Source: Slashdot
Jeremy Allison(斯拉什点读者编号8,157)是Rocky Linux创造者CIQ的杰出工程师。本周,他发表了一篇博文,回应了Linux发行版承诺“仔细选择原始上游开源Linux内核中最完善和完美的补丁,以创建您企业所依赖的安全发行版内核”的说法。然而,精心筛选的软件补丁(应用于已知“冻结”Linux内核)是否真的带来更大的安全性呢?CIQ的内核工程师Ronnie Sahlberg和Jonathan Maple通过大量的工作和数据分析最终得出了答案。数据显示,由分支释放点而创建的“冻结”供应商Linux内核,然后使用一组工程师选择特定补丁以回溯到该分支,比由Greg Kroah-Hartman创建的上游“稳定”Linux内核更容易出现错误。这是怎么回事呢?如果您想了解所有细节,请查看白皮书的链接。但是分析结果表明:- “冻结”供应商内核是不安全的内核。发布时间较晚的供应商内核则更加不安全。
- “冻结”供应商内核中已知错误的数量随着时间的推移而增加,且增加速度逐渐加快。- 这些内核中存在太多的未修复错误,以至于无法分析甚至分类它们。认为通过使用“冻结”供应商内核来做出更安全的选择已经不再是我们能够承受的奢侈了。正如Greg Kroah-Hartman在他的演讲“揭开Linux内核安全过程的神秘面纱”中明确指出的那样:“如果您不是使用最新的稳定/长期支持内核,您的系统就不安全。CIQ将其报告描述为“从上游内核引入但在RHEL 8中未修复的所有已知错误的统计信息。截至报告撰写时,最近的RHEL 8内核计数如下:RHEL 8.6:5034个RHEL 8.7:4767个RHEL 8.8:4594个在RHEL 8.8中,我们一共有4594个已知错误,这些错误在上游已经修复,但未被回溯到RHEL 8.8。对于RHEL 8.6和RHEL 8.7情况更糟,因为他们较RHEL 8.8提前终止了回溯,但这当然并没有阻止新错误被发现并在上游得到修复。
这并不是对任何致力于代表客户为其产品生产高质量工作的任何Linux供应商工程师的批评。这个问题非常难解决。我们知道这是业内许多人心知肚明的事实,并希望通过用具体数字描述问题来鼓励讨论。我们希望Linux供应商和整个社区能团结在kernel.org稳定内核的背后,作为最好的长期支持解决方案。作为工程师,我们更希望这样做,以便能花更多时间修复用户特定的错误并提交功能改进到上游,而不是不断地将上游更改回溯到供应商内核中,这种做法可能会引入更多的错误。ZDNet称之为Linux社区中的“公开的秘密。
仅依靠长期支持版本还不够,您必须使用最新版本才能尽可能安全。不幸的是,几乎没有人这样做。然而,正如Google Linux内核工程师Kees Cook解释的那样:“供应商该怎么办?答案很简单:即使痛苦,不断更新到最新的内核版本,无论是主要版本还是稳定版本。为什么呢?正如Kroah-Hartman解释的那样:“任何错误在内核层面都有成为安全问题的潜力...”虽然CIQ的程序员们具体检查了RHEL 8.8,但这是一个普遍问题。如果他们检查的是SUSE、Ubuntu或Debian Linux,他们会得到相同结果的.像Arch、Gentoo和OpenSUSE Tumbleweed这样的滚动发布的Linux发行版不断发布最新更新,但它们不会用于商业用途。Jeremy Allison的帖子指出,“安卓设备使用的Linux内核基于上游内核,并且还有一个稳定的内部内核ABI,所以这不是一个无法克服的问题......。
不断更新到最新内核版本,确保系统安全。反思是否现在使用了最新版本?
