Kernel Upgrades

  • Hi zusammen, ich bin noch auf der Suche nach einer angemessenen Strategie für das Handling von neuen Kernel-Versionen. „Angemessen“ bedeutet in meinem Fall dass potentiell entstehender Aufwand im richtigen Verhältnis zum Risiko stehen muss.

    Hintergrund: Mit neuen Kernel Versionen werden ja auch regelmäßig Schwachstellen in Selbigem behoben. Ich frage mich noch, wie ganz konkret ein Angriff über eine Kernel-Lücke erfolgen kann… nach meinem Verständnis sollte kein entfernter Angreifer einfach so eine Kernel Lücke ausnutzen können. Das Einfallstor sollte i.d.R. ja eine Anwendung/Website sein — oder gibt es da prinzipbedingt noch andere realistische Möglichkeiten?

    Wenn ich meiner laienhaften Annahme weiter folge, sollte ich durch eine gute Absicherung des Userlands (v.a. durch bedachtes Handeln!!) das Risiko auf Ausnutzung von Kernelschwächen drastisch reduzieren, sodass ich nicht jede Kernel-Aktualisierung mitmachen müsste.

    Wie ist eure Bewertung dazu?

    Wie hoch ist das Risiko in der Praxis?

    Welche Erfahrung habt ihr mit Kernel Updates gemacht?

    Wie ist eure Strategie?

  • Das Einfallstor sollte i.d.R. ja eine Anwendung/Website sein — oder gibt es da prinzipbedingt noch andere realistische Möglichkeiten?

    Hängt am Ende vom Setup ab. Wenn dein Linux Rechner z.b. ein Dateiserver in einem Unternehmen ist können theoretisch alle Rechner die auf diesen Server Zugriff haben Lücken ausnutzen.

    Neben Anwendungen und Webseiten, können aber auch lokal angeschlossene Hardware - z.b. ein USB Stick ein Einfallstor sein.

    Oder wenn du mit deinem Notebook in einem schlecht konfigurierten öffentlichen Wlan in einem Café bist, und plötzliche andere die auch in diesem Netzwerk sind auf deinen Rechner zugreifen können, können ein Einfallstor sein.

    In der Theorie, wenn die Lücke im Bluetooth Stack vom Kernel ist, kann man theoretisch sogar mit einem entsprechend manipuliertem Bluetooth Gerät kontaktlos und mit Abstand einen Angriff ausprobieren.

    Wichtig zu wissen ist, dass Angriffe in der Regel immer mehrere Sicherheitslücken umgehen, oder ausnutzen das schlecht programmiert wurde. Webserver können teilweise über normale Webseite angegriffen werden - einfach weil der Code grottig ist - und z.b. am Ende ein Programcode den ich hochgeladen oder in einem Kontaktformular eingegeben habe am Ende auf dem Server als Befehl ausgeführt wird, etc..

    Welche Erfahrung habt ihr mit Kernel Updates gemacht?

    Ich hatte noch NIE Probleme damit. Auf stabilen Point-Release Distributionen sind Kernelupdates wirklich kein Problem.

    Wie ist eure Strategie?

    Auf den Server die ich verwalte und auf meiner privaten Ubuntu Maschine. Nutze ich jeweils Ubuntu Pro mit dem Canonical Livepatch Service. Wie man das konfiguriert und einrichtet habe ich hier mal Schritt für Schritt beschrieben.

    Damit werden Sicherheitslücken für den Kernel die als "hoch" und "kritisch" eingestuft werden - sofort automatisch und ohne Neustart aktualisiert.

    Auf meinen privaten Fedora Rechnern, mache ich in der Regel 1x mal in der Woche ein "sudo dnf update" und aktualisiere einfach alles.

    Die Ubuntu Server in der Firma, werden ebenfalls einmal die Woche automatisch aktualisiert jeweils am Sonntag Morgen früh um 03:45 (dann ist am wenigsten Traffic auf den Diensten die dort laufen und der kruze 20-25 Sekunden Unterbruch fällt niemandem auf). Die kritischen und hohen Sicherheitslücken werden ja dank Livepatch direkt gefixt - daher reicht für alles andere 1x die Woche.

    Ist eine Gegenfrage erlaubt?

    Woher genau kommt die Frage? Also hast du hier ein konkretes Problem?

    Wenn es um Server, oder um kritische Infrastruktur geht. Auch Red Hat Enterprise Linux bietet wie Canonical sowas wie Livepatch an. Bei Red Hat heisst das ganze "kpatch" -> mehr dazu hier: https://www.redhat.com/sysadmin/kernel-live-patching-linux

    Und auch Suse Linux Enterprise bietet das ganze ebenfalls als Live Patch an. Bei Suse kostet das defintiiv neben der normalen "Lizenz" (ja ich weiss ist keine klassische Lizenz, machen wir es aber nicht komplizierter als es ist) noch etwas extra damit der Servive genutzt werden kann.

    Die Preis Struktur von Red Hat kenne ich nicht - ka ob das dort inbegriffen ist oder nicht.

    Bei Canonical/Ubuntu bekommst du mit der Ubuntu Pro Lizenz auch automatisch Live Patch ohne Extra dafür zu bezahlen.

    Daher eventuell kann ja eine der Distirbutionen und Livepatch eine Lösung für dich sein.

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

  • kim88 Super, vielen Dank für deine Ausführung. Nein, ich habe kein konkretes Problem, ging aber bei dem Thema Kernel Updates immer etwas in der Luft: Einerseits das Wissen um die Security-Fixes, anderseits das Risiko, evtl. irgendetwas auf der Maschine zu verhauen.

    Für meinen Verantwortungsbereich (= mein eigener Rechner) reicht mir der Standardservice der Distro.

    Bei macOS und Windows sind die Kernel-Fixes ja immer mit in den Releases drin, bei Linuxen muss der Nutzer selbst irgendeine Entscheidung treffen. Deshalb finde ich es wichtig, dass wir eine profunde Entscheidungsgrundlage haben…

  • Oftmals muss auch physischer Zugriff bestehen um Kernel Lücken ausnutzen zu können.

    Es ist ja auch so dass nicht jede neue Kernel Version nur Security Patches enthält sondern zumeist nur neue Funktionen (z.B. Treiber) oder Verbesserungen eingebracht werden.

    Bei macOS und Windows sind die Kernel-Fixes ja immer mit in den Releases drin, bei Linuxen muss der Nutzer selbst irgendeine Entscheidung treffen. Deshalb finde ich es wichtig, dass wir eine profunde Entscheidungsgrundlage haben…

    Dass ist bei Linux nicht anders, die wenigsten werden regelmäßig selbst ihre Kernel bauen und nur da sind Entscheidungen zu treffen.

    Ansonsten liefern große Distributionen fertige Kernel aus und dass ist auch richtig so.

    Versuch mal in der Konsole

    Code
    less /proc/config.gz

    Ich weiß nicht ob es bei deiner Distro aktiviert ist, aber dass ist die Kernel Config Datei.


    Bei mir hängt es von der Größe der Updates ab, ich versuch bei großen Updates in der nähe (im selben Netzzwerk) von meinem Server zu sein da der mehr Rechenleistung hat als mein Laptop und die Updates somit schneller gehen.

    Kernel Updates mach ich eigentlich nur bei großen Versions Sprüngen oder wenn eine Lücke für meine Kernelversion bekannt gegeben wurde.

    Auch beim Sprung auf Kernel V6 werd ich noch etwas warten und dann erst aufm Laptop versuchen wie er läuft.

  • Ist einer der Gründe, warum ich gerade überlege, von Ubuntu zu Arch zu wechseln...

    Mich ärgert, daß ich bei Ubuntu nicht nur hoffnungslos veraltete Packages bekomme, sondern immer auch beim Kernel ziemlich lang hinterher hinke.

    Insbesondere bringen neue Kernel-Versionen oft ja auch Unterstützung für neue Hardware und dergleichen mit.

    Nur zum Vergleich:

    Ich verwende Ubuntu 22.10 und uname -r gibt mir "5.19.0-26-generic" aus. Die Version ist von Ende Juli, EOL war bereits im Oktober (also 2 Monate her).

    Linux hingegen ist inzwischen stable bei 6.1 angelangt und 6.2 steht vor der Tür:

    https://en.wikipedia.org/wiki/Linux_kernel_version_history

    Arch war hingegen schon Anfang November auf 6.0:

    https://9to5linux.com/first-arch-lin…le-for-download

    Software-Engineer (C#.NET), Linux-Fan seit '94. Renewable Energy-Evangelist beruflich wie privat.Cloud Native.

    Notebook: XMG Neo 15 5900HX / 3080 Mobile / 32 GB RAM / 2x Samsung 970 EVO Plus 1TB auf Ubuntu 22.10


    PC: 5950X / 3090 / 32 GB RAM / 2x Samsung 970 EVO Plus 1TB auf Windows 11 + Ubuntu 22.10

    2x Raspberry Pi 4 8 GB mit Raspi OS 64 Bit

  • Insbesondere bringen neue Kernel-Versionen oft ja auch Unterstützung für neue Hardware und dergleichen mit.

    Wenn dein System läuft und alles erkannt wird sollte dass relativ egal sein.

    Selbst wenn man einen neuen PC hat sollte fast alles erkannt werden.


    Ich verwende Ubuntu 22.10 und uname -r gibt mir "5.19.0-26-generic" aus. Die Version ist von Ende Juli, EOL war bereits im Oktober (also 2 Monate her).

    5.15.75-gentoo :D

    aber 5.15 ist auch ein LTS Kernel.

    Linux hingegen ist inzwischen stable bei 6.1 angelangt und 6.2 steht vor der Tür:

    Naja 6.0 war ein Initial Release also für ein Dauersystem evtl nicht perfekt.

    Aber 6.2 könnte Interessant weren.

  • Hey :),

    Meine Strategie: möglichst beim LTS-Kernel bleiben und innerhalb der Kernellinie bei Bedarf zurückrollen. Für meine Hardware die beste Vorgehensweise.

    Lenovo ThinkPad T480s | Intel i7 8650U | 16 GB RAM | OS: Ubuntu 22.04

    Dell Inspiron 5590 | Intel i5 10210U | 8 GB RAM | OS: Ubuntu 23.10

  • Mich ärgert, daß ich bei Ubuntu nicht nur hoffnungslos veraltete Packages bekomme, sondern immer auch beim Kernel ziemlich lang hinterher hinke.

    Was ja die Idee eines "Point-Release Modell" ist -> und Ubuntu ist eben ein Point Release Modell.

    Ich verwende Ubuntu 22.10 und uname -r gibt mir "5.19.0-26-generic" aus. Die Version ist von Ende Juli, EOL war bereits im Oktober (also 2 Monate her).

    Ubuntu 22.10 wurde mit dem 5.19 Kernel ausgeliefert und wird auch immer den 5.19 Kernel verwenden, das wird sich nicht ändern. Eine neue Kernel Hauptversion gibt es dann erst wieder mit Ubuntu 23.04 (eben Point Release).

    Das der Kernel Upstream EOL ist, stimmt zwar, Canonical wird aber bis im Juli 2023 Fixes für Sicherheitslücken selbstständig in den 5.19er Kernel patchen und diese für Ubuntu 22.10 als Updates ausspielen.

    Linux hingegen ist inzwischen stable bei 6.1 angelangt und 6.2 steht vor der Tür:

    Die Frage ist halt wozu du ihn brauchst. Im privaten Umfeld, willst du das eigentlich nur für besseren Hardware Support - und man kauft sich ja in der Regel nicht alle 2 Monate einen neuen Computer.

    Im Enterprise Umfeld, schreibt in der Regel eh der Hardwarehersteller vor was du verwenden sollst. Wenn du irgendein HP Enterpsie Server kaufst, sagt die HP eh welche Version von Red Hat Enterprise Linux oder Suse Enterprise Linux du verwenden sollst -> wenn du dann was anderes verwendest verlierst ud in der Regel Support und Garantieansprüche - da spielt es also definitiv keine Rolle.

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

  • Naja, da sind noch ein paar andere Sachen, die mir nicht so gut gefallen... kitty z.B. ist in den Repos eine Uralt-Version, bei Docker siehts auch nicht viel besser aus. Hab beides jetzt manuell, ohne apt, installiert.

    Software-Engineer (C#.NET), Linux-Fan seit '94. Renewable Energy-Evangelist beruflich wie privat.Cloud Native.

    Notebook: XMG Neo 15 5900HX / 3080 Mobile / 32 GB RAM / 2x Samsung 970 EVO Plus 1TB auf Ubuntu 22.10


    PC: 5950X / 3090 / 32 GB RAM / 2x Samsung 970 EVO Plus 1TB auf Windows 11 + Ubuntu 22.10

    2x Raspberry Pi 4 8 GB mit Raspi OS 64 Bit

  • pelletsburner wenn du super aktuelle Software brauchst - ist Ubuntu die falsche Distribution für dich. Wie gesagt Point Release Modell, da gibt es (zum Glück) keine Versionsaktualisierungen.

    Wenn du Docker & Co in der aktuellsten Version benötigst solltest du über eine Distirbution im Rolling Release Modell nachdenken.

    Wozu man aber ein super aktuelles "Terminal" braucht erschliesst sich mir nicht ganz. Das öffnet man und gibt seine Befehle ein. Ob das nun in der Version 2.x oder 3.x vorliegt, ist doch völlig egal.

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

  • pelletsburner wenn du super aktuelle Software brauchst - ist Ubuntu die falsche Distribution für dich. Wie gesagt Point Release Modell, da gibt es (zum Glück) keine Versionsaktualisierungen.

    Wenn du Docker & Co in der aktuellsten Version benötigst solltest du über eine Distirbution im Rolling Release Modell nachdenken.

    Wozu man aber ein super aktuelles "Terminal" braucht erschliesst sich mir nicht ganz. Das öffnet man und gibt seine Befehle ein. Ob das nun in der Version 2.x oder 3.x vorliegt, ist doch völlig egal.

    Ja, darum überlege ich auch wegen Arch.

    Was das Terminal betrifft: ich benutze es nicht als Fenster, ich verwende das Ding anders, und zwar per tdrop und ich muß das dafür ziemlich ausreizen.

    Software-Engineer (C#.NET), Linux-Fan seit '94. Renewable Energy-Evangelist beruflich wie privat.Cloud Native.

    Notebook: XMG Neo 15 5900HX / 3080 Mobile / 32 GB RAM / 2x Samsung 970 EVO Plus 1TB auf Ubuntu 22.10


    PC: 5950X / 3090 / 32 GB RAM / 2x Samsung 970 EVO Plus 1TB auf Windows 11 + Ubuntu 22.10

    2x Raspberry Pi 4 8 GB mit Raspi OS 64 Bit

  • Ist einer der Gründe, warum ich gerade überlege, von Ubuntu zu Arch zu wechseln...

    Mich ärgert, daß ich bei Ubuntu nicht nur hoffnungslos veraltete Packages bekomme, sondern immer auch beim Kernel ziemlich lang hinterher hinke.

    Vielleicht könnte Pop!_OS der Mittelweg zwischen Ubuntu Unterbau und aktuellen Kernel sein. System76 (die Firma und Entwickler hinter Pop!_OS) liefern aktuellere Kernel zu ihrem System (ein Ubuntu 22.04. LTS als Unterbau) aus. Ich bin heute automatisch auf 6.0.12 aktualisiert worden.

    Daily Driver PC: Pop!_OS 22.04 + Win 10 Dual Boot/ Intel i7-7700K / NVIDIA GeForce GTX 1070 / 32 GB RAM / 3x 1TB Samsung SSD

    Daily Driver Laptop: HP Elitebook x360 1030 G2 / Fedora 39 / Intel i5-7200U / Intel HD 620 / 8 GB RAM / 500 GB Samsung NVMe

    Spiele PC: MX Linux + Garuda / AMD Ryzen 7 7800X3D / Radeon RX 6750 XT / 64 GB RAM / 2TB Samsung NVME + 512 GB Kingston NVME + 250 GB Samsung SSD

    Couch Laptop: Dell Latitude E6220 / Linux Mint 21 Cinnamon / 8 GB RAM / 250 GB Samsung SSD

  • pelletsburner :

    MX könnte auch eine Alternative sein. Die bieten immer wieder einen neuen Kernel an, zwar nicht so aktuell wie Arch, aber den 6.0 haben die auch schon im Repertoire. der Kernel kann einfach über deren Paketinstaller installiert/deinstalliert werden. Und ist /boot/efi/ irgendwann voll, wird automatisch ein Tool angeboten, was das Verzeichnis aufräumt. Bei einigen Paketen entwickeln die auch selber weiter und haben ein eigenes Repo. Wer es noch aktueller mag, hat Flatpak mit an Board.

    HP Elitebook 820 G3 | i5-6200U | Integr. Intel Graphikkarte | 8 GB RAM | 240 GB SSD | 1 TB NVME | MX 23 xfce

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!