최신 커널 이미지를 자동으로 구성, 빌드 및 설치하는 BASH 스크립트를 작성 중입니다. 생성된 커널에는 다음이 포함되어야 합니다.사이버 보안패치 세트. /proc/config.gz내 컴퓨터에서 첫 번째 사용자 정의 커널을 컴파일할 때 수동으로 생성한 이전 구성을 사용합니다 .
이 프로세스를 완전히 자동화해도 안전합니까? 다음과 같습니다.
grsecurity사용 가능한 최신 커널 확인grsecurity패치 세트 및 일치하는 커널 소스 트리 다운로드- 커널을 패치하다
- 이전 커널 구성 파일을 커널 소스 디렉터리에 복사합니다.
make olddefconfig이전 구성을 기반으로 커널을 구성하려면 실행하세요 .- 커널 컴파일
fakeroot make deb-pkg - 생성된 패키지 설치 및 부트로더 우선순위 변경
- 재부팅이 필요하다는 내용의 이메일을 보내주세요.
olddefconfig주요 질문: 이전 구성이 제대로 작동했다면 컴파일된 커널 에 시스템 부팅을 방해하는 버그가 포함되어 있을 가능성이 있습니까 ? 이는 SSH를 통해 액세스되는 원격 서버이고 수동 복구에는 많은 노력이 필요하기 때문에 매우 중요합니다.
답변1
실패할 여유가 없다면 테스트해 보세요.
실패하더라도 테스트는 좋습니다. 가능하다면 전용 테스트 환경에서 빌드를 실행하세요. 대부분의 경우 가상 게스트는 충분한 테스트 시스템을 구성할 수 있습니다. 업데이트된 커널로 재부팅하고 후속 테스트가 성공적으로 완료된 경우에만 새 패키지를 원격 시스템에 복사하고 배포하십시오.
이제 주요 질문에 답해 보겠습니다. 계획에 make olddefconfig시작 실패를 일으키는 버그가 포함되어 있습니까?
오직 바보만이 어떤 시스템이라도 완벽하게 안전하다고 믿을 것입니다. 달리고 싶을 때최근의커널은 당신이 말했듯이 최전선에 있을 것이며 이와 관련된 모든 장점과 위험을 갖게 될 것입니다. 위험을 완화하려면 기능 세트가 동결되고 버그/보안 수정 사항만 도입되는 장기 릴리스를 선택하는 것입니다.
그럼에도 불구하고 다시 시작하면 실패할 위험이 적습니다.
참고 사항: 저는 과거에 데이터 센터에서 서버의 문제/구성 오류를 수정하는 데 너무 많은 시간을 보냈기 때문에 모든 사람에게 항상 적합한 원격 관리 옵션(예: HP ILO, Dell의 DRAC, Oracle의 ILOM 등)을 추가할 것을 권장합니다. KVM)은 IP 게이트웨이를 통해 원격 서버에 연결되므로 책상에서 편안하게 대부분의 문제를 해결할 수 있습니다.