GNU/Linux >> Tutoriels Linux >  >> Linux

Comment appliquer les correctifs de sécurité du noyau Linux ? Manuellement et automatiquement sans redémarrage ?

Comme nous le savons, nous recevons sans cesse des mises à jour du noyau Linux et il est essentiel de mettre régulièrement à jour les correctifs de sécurité du noyau pour surmonter la vulnérabilité du noyau. Il est nécessaire d'installer les derniers correctifs de sécurité le plus tôt possible, car si vous retardez l'installation des correctifs, vous risquez d'inviter des menaces pour votre système.

Les systèmes Linux sont utilisés pour les serveurs Web autonomes, les applications Web et les services d'hébergement Web. Pour cette raison, il devient une cible majeure pour les pirates qui utilisent des techniques telles que les attaques DDOS (déni de service), l'exécution de code à distance (RCE), etc. Maintenir les correctifs de sécurité appropriés et maintenir le système à jour aide le système d'exploitation à renforcer la sécurité contre de telles menaces. Cependant, la plupart des distributions Linux nécessitent un redémarrage pour mettre à jour le noyau, ce qui entraînera des temps d'arrêt. Nous enseignerons également différentes manières de mettre à jour le noyau.

Mettre à jour le noyau via la commande

La mise à jour du noyau du système d'exploitation Linux via la ligne de commande est très simple. Vous pouvez simplement exécuter la commande de mise à jour du noyau et redémarrer la machine.

  1. Exécutez la commande ci-dessous pour mettre à jour le noyau sur CentOS ou RHEL ou une autre distribution basée sur RPM. 

    sudo yum update kernel
sudo reboot
  2. Exécutez la commande ci-dessous pour mettre à jour le noyau sur Ubuntu. 

    sudo apt-get upgrade linux-image-generic
sudo reboot
  3. Mettez à jour le noyau sur Debian à l'aide de la commande ci-dessous. 

    sudo apt-get upgrade kernel
sudo reboot

Comme nous pouvons le voir, les commandes ci-dessus sont très faciles à exécuter pour la mise à jour du noyau, mais une chose que vous ne pouvez pas éviter est le redémarrage du serveur ! Oui, il est indispensable de redémarrer le serveur pour terminer la mise à jour du noyau. Si vous exécutez ces systèmes d'exploitation pour héberger un grand site Web de commerce électronique ou exécuter une application Web, vous devez informer vos utilisateurs de cette maintenance et vous devez également attendre pour récupérer le serveur après un redémarrage. Pour éviter de tels temps d'arrêt, les administrateurs système évitent parfois les mises à jour du noyau, ce qui devient un grave problème de sécurité.

Mettre à jour avec kexec pour des redémarrages rapides

Kexec propose une étape de redémarrage très rapide. Il ignorera le chargement du démarrage et le processus d'initialisation du matériel pour raccourcir le temps de redémarrage.

CentOS/RHEL :

  1. Tout d'abord, installez les outils kexec en exécutant la commande ci-dessous.

    sudo yum install kexec-tools
  2. Installez un nouveau noyau. 

    sudo yum update kernel

    ou

    sudo rpm -qa kernel
    kernel-3.10.0-514.26.1.el7.x86_64

    kernel-3.10.0-1127.el7.centos.plus.x86_64

    Ensuite, démarrez à partir de la version choisie.

    sudo kexec -l /boot/vmlinuz-3.10.0-1127.el7.centos.plus.x86_64 \
    
-initrd=/boot/initramfs-3.10.0-1127.el7.centos.plus.x86_64.img \
    
-reuse-cmdline
    
sudo sync; sudo umount -a; sudo kexec -e

    Exécutez la commande ci-dessous pour choisir le noyau requis.

    sudo kexec -e

Ubuntu/Debian :

  1. Installez les outils kexec en exécutant la commande ci-dessous.<

     
    sudo apt-get install kexec-tools

    Après avoir appuyé sur la commande, vous obtiendrez l'écran ci-dessous pour le redémarrage de confirmation à l'aide de kexec-tools



  2. Vous devrez être sûr avant de faire cela car kexec-tools n'utilisera pas la commande de redémarrage pour tuer les processus, synchroniser les caches ou démonter le système de fichiers et cela peut entraîner une corruption ou une perte de données.

Mettre à jour le noyau sans redémarrage

Il est possible de mettre à jour le noyau sans redémarrage. Cela sera utile pour les systèmes fonctionnant en haute disponibilité. De nombreux fournisseurs de distribution Linux proposent des mises à jour du noyau sans effectuer de redémarrage.

Red Hat Kpatch 

Red Hat propose son propre outil de correction du noyau pour Fedora, CentOS et d'autres systèmes basés sur Debian comme Ubuntu.

  1. Exécutez la commande ci-dessous pour déployer Kpatch sur RHEL7. 

    sudo yum install kpatch
    
sudo yum install kpatch-patch-X.X.X.el7.x86_64.rpm

Cependant, il ne s'agit pas d'une installation de correctif automatique. Vous devez rechercher chaque correctif du noyau lorsqu'il est disponible.

CloudLinux KernelCare 

KernelCare offre un service de correction du noyau Linux en direct incluant RHEL, CentOS, Oracle, Debian, Ubuntu Linux, etc. Il prend également en charge les anciennes versions comme RHEL 6.

  1. Exécutez la commande ci-dessous pour installer kernelcare. 

    wget -qq -O -- https://kernelcare.com/installer | bash
    
sudo /usr/bin/kcarectl --register <your key>

Comme il s'agit d'une solution "installer et oublier", kernelCare télécharge et applique automatiquement les nouveaux correctifs de sécurité du noyau sans redémarrage.

KernelCare propose également des correctifs de sécurité plus complexes pour des vulnérabilités telles que Spectre (CVE-2017-5753,CVE-2017-5715) et Meltdown (CVE-2017-5754). Il prend également en charge les restaurations sans redémarrage, les correctifs à date fixe, les correctifs retardés, etc. CloudLinux kernelcare n'est pas gratuit. Ils offrent un essai gratuit de 7 jours après quoi ce sera un essai payant.

Oracle Ksplice

Ksplice est une version payante pour mettre à jour le noyau sans donner de redémarrage.

  1. Exécutez la commande ci-dessous pour installer Ksplice.

    sudo wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc
sudo sh install-uptrack-oc -autoinstall

En utilisant Ksplice, il vous suffit d'exécuter le script d'installation une seule fois pour toute la durée de vie et après cela, Uptrack s'occupera de déployer automatiquement le dernier noyau sans temps d'arrêt.

Service canonique Livepatch 

Il s'agit de la technologie de Canonical pour (devinez quoi ?) les noyaux de correctifs en direct. (Canonical est la société à l'origine de la populaire distribution Ubuntu Linux.) Vous pouvez même créer vos propres correctifs, bien que cela puisse être un travail difficile et chronophage. (Certains fournisseurs créeront un noyau de mise à niveau Ubuntu pour vous, moyennant des frais.)

Canonical est une société de logiciels populaire pour la distribution Linux basée sur Ubuntu. La commande ci-dessous sera utile pour Ubuntu 16.04 et versions ultérieures, et RHEL 7.x (bêta).

Vous devrez exécuter la commande ci-dessous pour déployer le correctif en direct. 

sudo snap install canonical-livepatch
sudo canonical-livepatch enable [TOKEN]

Canonical Livepatch offre un service gratuit pour jusqu'à 3 distributions Ubuntu. Vous cherchez à vous inscrire pour le jeton. Cliquez ici pour l'inscription.


Linux

  1. Linux - Comment Gnome redémarre-t-il sans privilèges root ?

  2. Linux – Comment régénérer 70-persistent-net.rules sans redémarrage ?

  3. Comment utiliser la commande d'arrêt et de redémarrage de Linux avec des exemples

  4. Comment configurer Debian pour mettre à jour automatiquement l'heure et la date ?

  5. Comment puis-je `cd` puis * `ls` automatiquement sous Linux?

Test de vulnérabilité du processeur Spectre et Meltdown et mise à jour du microcode sous Linux

Noyau Linux 5.9 :nouveautés et mise à niveau

Comment trouver qui a redémarré le système Linux et quand

Comment basculer automatiquement vers un répertoire sans utiliser la commande cd sous Linux

Comment mettre à jour Manjaro et d'autres distributions Linux basées sur Arch

Comment vérifier l'historique de redémarrage du système et l'heure de démarrage sous Linux