Laisser les anciens noyaux installés pourrait être dangereux?

Question

J'utilise Ubuntu depuis près de 2 ans et je rencontre toujours des guides sur Internet pour désinstaller les anciennes versions du noyau. Même ici dans Ask Ubunt il y a beaucoup de questions de cette façon.

Ma question est: dois-je le faire? Y at-il des problèmes ou pourrait-il être dangereux de laisser ces anciennes versions installées? Y a-t-il des avantages?

Modifier:

Juste deux points pour clarifier la question:

Je ne demande pas d'instructions sur la façon de enlever les vieux noyaux.
Je ne suis pas inquiet avec le sécurité pour enlever les vieux noyaux . Au lieu de cela, je suis inquiet pour la sécurité de les laisser installés.

Pilot6 · Accepted Answer

Vous n'êtes pas obligé de laisser les anciens noyaux et vous n'avez pas à les supprimer.

Les vieux noyaux prennent juste de la place sur votre disque dur. C'est ça. Vous pouvez avoir un ou deux anciens noyaux installés au cas où vous voudriez démarrer avec l’un d’eux.

Les anciens noyaux n’affectent en aucun cas un système en fonctionnement.

Donc il est 100% SÉCURITAIRE de laisser les anciens noyaux installés si c'était la question. Ils ne seront utilisés que si vous démarrez délibérément avec l'un d'eux.

guntbert · Answer

Le seul problème que vous rencontrez en conservant tous les anciens noyaux est l’espace. Chaque image de noyau avec les en-têtes prend environ 300 Mo.

Cela peut éventuellement remplir la partition et rendre les mises à jour de sécurité impossibles.

Vous voulez toujours garder au moins un noyau plus ancien pour avoir un repli au cas où.

DK Bose · Answer

Si vous avez une configuration Ubuntu normale et si vous exécutez régulièrement Sudo apt-get autoremove, apt-get suggère de supprimer les noyaux plus anciens. Tout ce que vous avez à faire est de répondre "Oui"! Le script responsable de la suppression des anciens noyaux garantit toujours que vous avez au moins un = noyau de secours disponible au cas où le plus récent ne vous conviendrait pas.

Le script que j'ai mentionné ci-dessus se trouve ici: /etc/kernel/postinst.d/apt-auto-removal. Pour citer à partir de là:

 # Auteur: Steve Langasek # # Marquer comme non autorisables les packages de noyau qui sont: # - la version actuellement démarrée # - la version du noyau pour laquelle nous avons été appelés # - la dernière version du noyau (déterminée à l'aide de règles copiées à partir du paquet grub # pour décider du noyau à démarrer) # - la deuxième version la plus récente du noyau, si la version du noyau démarrée est # déjà la plus récente et que ce script est appelé pour cette même version, # afin de garantir qu'une solution de secours reste disponible dans l'éventualité où la Le noyau # nouvellement installé sur cet ABI ne parvient pas à démarrer # Dans le cas classique, cela entraîne exactement deux noyaux sauvegardés, mais cela peut # entraîner la sauvegarde de trois noyaux. . Il vaut mieux pécher par excès de # Économiser trop de noyaux que de sauver trop peu.

Naftuli Kay · Answer

Il est possible, mais pas très plausible que laisser de vieux noyaux installés pose un risque pour la sécurité.

Les nouvelles versions du noyau corrigent généralement les problèmes de sécurité. Lorsque vous démarrez dans un nouveau noyau, vous devez être protégé contre ces problèmes de sécurité.

Voici un scénario dans lequel il serait possible d'exploiter ceci:

L'attaquant peut supprimer les noyaux de votre partition de démarrage.
L'attaquant supprime les versions de noyau les plus récentes, ce qui oblige l'utilisateur à démarrer l'ancien noyau non corrigé.
L'attaquant demande à l'utilisateur de démarrer le noyau le plus ancien.
Une fois démarré, l’attaquant utilise cette vulnérabilité pour accéder à la machine.

C'est possible, mais pas très plausible: généralement si un attaquant a accès à votre machine, vous allez passer une mauvaise journée. Il pourrait presque aussi facilement compromettre vos initramfs, même avec le chiffrement intégral du disque, et installer un enregistreur de frappe ou pire.

Andrew Medico · Answer

Oui, cela pourrait être le cas - si la console est accessible et que le menu contextuel permet de choisir le noyau à démarrer (sans modifier les options, mais choisir laquelle). Si cela est vrai, un utilisateur non privilégié pourrait sélectionner un ancien noyau (soit en redémarrant la machine s’ils sont autorisés à le faire, en débranchant le plug-in et en redémarrant, soit en se trouvant sur la console lors de son démarrage) et en exploitant une base de données locale. bogue d'escalade racine corrigé dans le nouveau noyau (exemple aléatoire: CVE-2012-0056 ).

Lorsque de nouveaux noyaux contenant des mises à jour de sécurité sont installés, vous devez soit supprimer les anciens, soit vous assurer qu'ils ne peuvent pas être sélectionnés pour le démarrage par un utilisateur malveillant.

prometheos · Answer

Je ne vois aucun danger à laisser les anciens noyaux en place - juste pour dire que vous prenez soin de laisser assez d'espace sous/boot, également pour les besoins futurs.
Mais j’ai une raison spéciale pour garder toujours un ancien noya, une qui n’obtient plus de correctifs: il m’arrive souvent que le dernier noyau actif soit corrigé, puis celui-ci ne démarre pas un service important - c’est souvent le support sans fil. Ensuite, je redémarre à partir de mon ancien noyau disponible, puis je réinstalle le nouveau noyau défaillant et tout fonctionne à nouveau.
Le noyau assaisonné n’apporte qu’un danger marginal: je ne l’utilise que pour de courtes réparations!

userDepth · Answer

Avoir au moins un noyau précédent peut être positif en cas de mauvaise configuration ou de crash bizarre. Ce qui arrive sous Linux et puisque le système d'exploitation n'est pas OEM, il n'y a pas de système de récupération à moins que vous ne le fabriquiez auparavant. Dans la même page, le crash ou une mauvaise configuration peut être si grave qu’il ne peut pas être corrigé par un retour en arrière.

Vous pouvez visiter en utilisant des instantanés BTRFS AskUbunt