Обновляем серверы: Как защититься от новой уязвимости в ядре Linux
Подробное руководство по обновлению серверов при обнаружении уязвимостей в ядре Linux. Узнайте, как проверить и обновить систему, чтобы защитить ваш.homelab от угроз.
Проверка уязвимости системы
Определите, подвержена ли ваша система уязвимости CVE-2023-32609, проверив версию ядра Linux.
uname -rПроверка доступных обновлений
Используйте менеджер пакетов вашего дистрибутива для проверки наличия обновлений ядра, исправляющих уязвимость.
# Для Debian/Ubuntu
sudo apt list --upgradable | grep linux
# Для CentOS/RHEL
sudo yum check-update
sudo yum info kernel
# Для Arch Linux
checkupdates | grep linuxПодготовка к обновлению
Создайте резервную копию важных данных и проверьте наличие достаточного места на диске для обновления ядра.
# Создание резервной копии
sudo rsync -aAXv --exclude={"/dev/*","/proc/*","/sys/*","/tmp/*","/run/*","/mnt/*","/media/*","/lost+found"} / /path/to/backup/
# Проверка свободного места
df -h
# Проверка записей GRUB для отката
sudo grep menuentry /boot/grub2/grub.cfgОбновление ядра Linux
Установите обновленное ядро с исправленной уязвимостью в соответствии с вашим дистрибутивом Linux.
# Для Debian/Ubuntu
sudo apt update
sudo apt install linux-image-6.5.3-060503-generic
sudo apt install linux-headers-6.5.3-060503-generic
sudo update-initramfs -u -k 6.5.3-060503-generic
# Для CentOS/RHEL
sudo rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
sudo rpm -Uvh http://www.elrepo.org/elrepo-release-7.el7.elrepo.rpm
sudo yum --enablerepo=elrepo-kernel install kernel-ml
sudo grub2-mkconfig -o /boot/grub2/grub.cfg
# Для Arch Linux
sudo pacman -Syu
sudo pacman -S linux linux-headersПроверка обновления и тестирование системы
После обновления ядра убедитесь, что система работает корректно, проверив версию ядра, системные логи и работу сервисов.
# Проверка версии ядра
uname -r
# Проверка системных логов на ошибки
sudo dmesg | tail
# Проверка статуса важных сервисов
sudo systemctl status nginx mysql apache2
# Проверка eBPF-программ, если используются
bpftool prog list
# Проверка загруженных модулей ядра
lsmod
# Перезагрузка для проверки загрузки с новым ядром
sudo rebootОткат в случае проблем
Если после обновления возникли проблемы, используйте процедуру отката к предыдущей версии ядра через меню GRUB или командную строку.
# Для Debian/Ubuntu
# Выберите старое ядро в меню GRUB или:
sudo update-grub
# Для CentOS/RHEL
# Выберите старое ядро в меню GRUB или:
sudo grub2-set-default "CentOS Linux (5.14.0-362.8.1.el9_0.x86_64) 9 (Core)"
sudo grub2-mkconfig -o /boot/grub2/grub.cfg
# Для Arch Linux
# Выберите старое ядро в меню GRUB или:
sudo nano /etc/default/grub # Измените GRUB_DEFAULT
sudo grub-mkconfig -o /boot/grub/grub.cfgДополнительные меры безопасности
После устранения уязвимостиCVE-2023-32609 реализуйте дополнительные меры безопасности для защиты сервера.
# Включение автоматического обновления безопасности
# Для Debian/Ubuntu
sudo apt install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades
# Для CentOS/RHEL
sudo yum install yum-cron
sudo systemctl enable yum-cron
sudo systemctl start yum-cron
# Настройка брандмауэра
# Для Ubuntu
sudo ufw enable
sudo ufw allow ssh
sudo ufw allow http
sudo ufw allow https
# Для CentOS
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload