自動カーネルのアップグレード

自動カーネルのアップグレード

最新のカーネルイメージを自動的に設定、ビルド、インストールするBASHスクリプトを作成しています。生成されたカーネルには次のものを含める必要があります。サイバーセキュリティパッチセット。/proc/config.gzマイコンピュータで最初のカスタムカーネルをコンパイルするときに手動で作成した以前の設定を使用します。

このプロセスを完全に自動化しても安全ですか?次のようになります。

  1. grsecurity利用可能な最新のカーネルの確認
  2. grsecurityパッチセットと一致するカーネルソースツリーのダウンロード
  3. カーネルをパッチする
  4. 古いカーネル構成ファイルをカーネルソースディレクトリにコピーします。
  5. make olddefconfig以前の設定に基づいてカーネルを設定するには、実行してください。
  6. カーネルのコンパイルfakeroot make deb-pkg
  7. 生成されたパッケージのインストールとブートローダの優先順位の変更
  8. 再起動が必要だという内容のメールを送ってください。

olddefconfig主な質問:以前の設定が正しく機能していた場合、コンパイルされたカーネルにシステムの起動を妨げるバグが含まれている可能性がありますか?これはSSHを介してアクセスされるリモートサーバーであり、手動回復には多くの労力が必要であるため、非常に重要です。

答え1

失敗する余裕がない場合はテストしてみてください。
失敗してもテストは良いです。可能であれば、専用テスト環境でビルドを実行してください。ほとんどの場合、仮想ゲストは十分なテストシステムを構成できます。更新されたカーネルで再起動し、その後のテストが正常に完了した場合にのみ、新しいパッケージをリモートシステムにコピーして展開します。

それでは、主な質問に答えてみましょう。計画にmake olddefconfig開始失敗を引き起こすバグが含まれていますか?
愚か者だけがどんなシステムでも完全に安全であると信じるでしょう。走りたい時最近カーネルはあなたが言ったように最前線にあり、それに関連するすべての利点とリスクを持つでしょう。リスクを軽減するには、機能セットが凍結され、バグ/セキュリティ修正のみが導入される長期リリースを選択することです。

それにもかかわらず、再起動すると失敗するリスクが少なくなります。

注:私は過去にデータセンターでサーバーの問題/構成エラーを修正するのに時間がかかりすぎたため、すべての人に常に適切なリモート管理オプション(HP ILO、DellのDRAC、OracleのILOMなど)を追加しましたすることをお勧めします。 KVM)はIPゲートウェイを介してリモートサーバーに接続されているため、デスクで快適にほとんどの問題を解決できます。

関連情報