회사 운영에 중요한 CentOS SFTP 서버가 있습니다. 현재 이 서버에서 실행되는 Linux 커널 버전에서 취약점이 발견되었습니다.
Linux 3.10.0-1160.6.1.el7.x86_64 x86_64
YUM을 사용하여 CentOS를 업데이트하려고 하는데 시스템에 업데이트가 누락되었다는 언급이 없습니다. 연구 끝에 커널 업데이트를 위해 ElRepo 저장소를 추가한다는 아이디어가 많은 기사에서 지적되었습니다.
하지만 이것이 왜 필요한지 알고 싶습니다. 나는 이것이 매우 높이 평가되는 저장소라는 것을 알고 있지만 가능하다면 실제로 CentOS 저장소를 사용하고 싶습니다.
CentOS는 자체 저장소에서 커널 업데이트를 수행하면 안 되나요?
따라서 내 질문에 객관적으로 답해 보겠습니다. CentOS 커널을 업데이트하여 이 취약점을 100% 공식적인 방법으로 제거하려면 어떻게 해야 합니까?https://lists.centos.org/pipermail/centos-cr-announce/2020-October/012745.html
답변1
분명히 CentOS 관리자가 RedHat 소스를 가져와 CentOS용으로 빌드하는 데는 시간이 좀 걸릴 것입니다.
오늘 커널 업데이트 3.10.0-1160.11.1.el7이 출시되었다는 알림을 받았습니다. 그러니 설치하시면 될 것 같습니다. 업데이트가 가까운 서버에 도달하는 데 시간이 좀 걸리고 하루 더 기다려야 할 수도 있습니다.
여기아래 차트는 CentOS가 수정 사항을 릴리스하는 데 걸리는 시간을 보여줍니다.CentOS에 대한 지원 변경대안을 찾기 시작하는 것이 좋습니다. CentOS 7의 경우 2024년까지 보안 업데이트를 받을 수 있지만 CentOS 8의 경우 2021년 말까지만 보안 업데이트를 받을 수 있습니다.
답변2
ELRepo(Community Enterprise Linux Repository)는 EL6, EL7 및 EL8(디스플레이, 파일 시스템, hwmon, 네트워크 및 스토리지 드라이버 포함)의 하드웨어 지원을 향상시키는 kmod 드라이버 패키지에 중점을 둡니다. 최신 커널도 사용할 수 있습니다. ELRepo 홈페이지에 따라 elrepo-release 패키지를 설치하고 GPG 키를 가져옵니다.
커널 수정/업데이트(예: ELREPO)를 구체적으로 사용하지 않는 경우 이를 사용하는 이유를 비즈니스/법적 측면에서 정당화하기가 빨리 어려워지며, 실제 취약점을 해결하지 못할 수도 있다는 점은 말할 것도 없습니다. ~을 위한https://access.redhat.com/errata/RHSA-2020:4060이 문제가 ELREPO의 업데이트에서 해결되지 않은 경우(그들은 다음 사항에 관심이 있습니다.)향상된 하드웨어 지원) 또는 다른 사람의 업데이트는 실제로 현재 문제를 해결하지 않는 한 "업데이트"라는 이유만으로 제3자로부터 업데이트를 받지 않습니다. 당신은 그것을 조사해야합니다.
따라서 내 질문에 객관적으로 답해 보겠습니다. CentOS 커널을 업데이트하여 이 취약점을 100% 공식적인 방법으로 제거하려면 어떻게 해야 합니까? 바닐라 CentOS: ElRepo 저장소가 필요합니까? 회사 운영에 중요한 CentOS SFTP 서버가 있습니다.
- 가지다오직시스템에서 활성화된 공식 CentOS 저장소[저장소]입니다.
/etc/yum.conf이 보호 메커니즘을 활용 하려면 GPG를 활성화하세요 .- 오직CentOS Linux를 설치할 때 생성되는 공식 centos 저장소에서 커널 업데이트를 받으세요[무료 배포판이 자동으로 활성화됩니다].
물론 그것은 당신이 실제로 무엇을 의미하는지에 달려 있습니다.바닐라그러나 아니요, SFTP가 서버의 유일한 기능인 경우 SFTP를 구현하기 위해 ELREPO 또는 EPEL이 필요하지 않습니다. 가지다우리 회사의 운영에 매우 중요합니다.제 생각에는 공식 centos 저장소만 사용해야 하며 특정 비즈니스/보안 문제를 해결하지 않는 한 epel이나 elrepo도 사용해서는 안 됩니다. 말한 내용 :CentOS 관리자가 RedHat 소스를 가져와 CentOS용으로 빌드하려면 시간이 좀 걸립니다.그건 진실이야. CentOS 측의 커널 업데이트(특히 RHEL/CentOS 7.8에서 7.9로)에는 시간이 걸립니다. CentOS는 RHEL에서 제공되며 RHEL은 항상 무언가를 먼저 릴리스한 다음 CentOS 사람들이 이를 가져와 구현할 수 있지만 지연이 발생합니다. 이것이 무료 배포판을 사용하는 가격입니다. 상황이 심각하다면 CentOS 서버를 분리하고 업데이트가 나올 때까지 기다리십시오.공식적인방법. 이 지연 시간을 허용할 수 없는 경우 회사는 무료 CentOS 대신 유료 RHEL 구독을 사용해야 합니다.
연구 끝에 커널 업데이트를 위해 ElRepo 저장소를 추가한다는 아이디어가 많은 기사에서 지적되었습니다. 하지만 이것이 왜 필요한지 알고 싶습니다.
centos repo 링크 하단은 다음과 같습니다.하지 말아야 할 일의 예, 그러한 예를 따르지 마십시오. 시스템을 추가하거나 중단하기 전에 비판적인 시각과 생각을 사용하여 제안된 내용을 이해하십시오. ELREPO는 훌륭한 제3자 저장소이고 자체 위치가 있기 때문에 이 내용을 약간 벗어난 내용으로 설명하겠습니다. 하지만 이것이 그 원칙입니다.