Hvis alle kjernefeil er sikkerhetsfeil, hvordan holder du Linux trygt?

0
15
853.7358390

Pingviner trenger søvn, men Linux-administratorer må aldri hvile.

Martin Harvey/Getty Images

Vil du vite hva som skjer med Linux-kjerneutvikling? Abonner på Linux Kernel Mailing List. Vil du vite hva som er hva med Linux-kjernen på et dypt nivå, men uten å spore hver minste detalj? Abonner på Linux Weekly News (LWN). 

Men hvis du vil ha en bred, rask oversikt over tilstanden til Linux-kjernen, gjør det jeg gjorde: fange Jonathan Corbet, Linux-kjerneutvikler , og LWN-sjefredaktør, og ga en av sine kjernepresentasjoner på en større Linux-konferanse. 

På Open Source Summit North America i Seattle var Corbet enig med Linus Torvalds, som hadde sagt tidligere på samme show at alt er “rolig og stødig og kjedelig” med neste kjerne, Linux 6.9. Den roen er gode nyheter.  

Også: Vurderer du å bytte til Linux? 10 ting du trenger å vite

Men Corbet sa også at det er noen bekymringsfulle nyheter: “I kjernen kan omtrent enhver feil, hvis du er smart nok, utnyttes å kompromittere systemet. Kjernen er på et unikt sted i systemet … den gjør mange vanlige feil til sårbarheter."

Nå er det ikke noe nytt i den situasjonen. Alle operativsystemfeil har potensial til å bli utnyttelser. Dette faktum understrekes av at Linux-kjerneutviklere nylig har begynt å utstede sine egne Common Vulnerabilities and Exposures (CVE)-varsler. Og som Corbet forklarte: “Siden omtrent enhver feil kan være en sårbarhet, skal vi være forsiktige, og vi skal være forsiktige. Og vi kommer til å tildele et CVE-nummer til omtrent alt som ser ut som det kan være en sårbarhet på et tidspunkt i fremtiden." 

Også:&#xA0 ;5 Microsoft Edge-funksjoner som kan gjøre den til min nye favoritt Linux-nettleser

Denne tilnærmingen betyr at det nå er hundrevis av Linux-kjerne-CVEer. Bare siden februar sa Corbet at det har vært 800 nye tildelte CVE-er. 

Hva kan du gjøre for å sikre sikkerheten til Linux-systemene dine? Enkelt: Sørg for at distribusjonen din kjører langsiktige stabile (LTS) kjerneutgivelser. Disse utgivelsene har faste CVE-er, og etter hvert som nye problemer blir korrigert, blir de overført til LTS-kjernene. 

Når det er sagt, bør det huskes at Corbet påpekte at LTS-utgivelser ikke vil bli støttet så lenge som de pleide å være. LTS-versjoner støttes nå i bare to år, ikke seks. Så fra januar 2024 ble ikke Linux 4.14 lenger støttet. På slutten av året vil denne utgivelsen få selskap av 4.19-kjernen. Innen 2026 vil bare de to sist utgitte LTS-versjonene bli støttet.

Også: Langsiktig støtte for Linux-kjernen skal kuttes ettersom vedlikeholdet fortsatt er under press

Hvis du ikke er sikker på hvilken versjon du bruker, kjør følgende kommando fra skallet:

$ uname -r

Hvis du får noe resultat i tillegg til en tom , kjører du en LTS.

Hvorfor støtter ikke kjerneutviklerne versjoner lenger? Svaret er en nedgang i bruk (svært få personer, for eksempel, kjørte fortsatt den seks år gamle 4.14-kjernen) og de praktiske vanskelighetene med å opprettholde utdatert programvare. Denne endringen understreker et bredere skifte mot nåværende versjoner, som er enklere å støtte og sikre.

Også: Sparky Linux er en lynrask distro som kan holde de eldre maskinene dine i drift år 

Hvis du er knyttet til en bestemt Linux-kjerneversjon, kan distrobyggeren din være villig til å hjelpe deg. Canonical, for eksempel, gir sine LTS Ubuntu-versjoner 12 års støtte. OpenELA, en bransjeforening av Linux-distributør CIQ, selskapet som støtter Rocky Linux, Oracle og SUSE, tilbyr også — via kernel-lts – en ny giv for 4.14-kjernen. OpenELA kan også gi utvidet støtte for andre LTS Linux-distroer når de nærmer seg slutten av livet. 

Men når du ser fremover, kan det hende at mange av dere oppdaterer de viktigste Linux-distribusjonene oftere hvis du vil være trygg. Og stol på meg, du vil holde Linux-maskinene dine sikre. Vi kom nylig for nærme en stor sikkerhetsfeil, XZ, som glir inn i Linux. 

Utenfor sikkerhetsproblemer sa Corbet at Linux-kjerneutviklerne nylig hadde fullført “den travleste utviklingssyklusen til nå”; . Den syklusen var for  6.7 kjerneutgivelsen, som kunne skilte med imponerende 17 000 commits og ble utgitt tidlig i januar. 

Ser vi fremover, har den kommende 6.9-utgivelsen "bare" ca 14 000 forpliktelser. Men innsatsen bak kulissene handler ikke bare om volum. Å måle commits eller linjer med kode (LoC) er en tapers måte å se på programmeringsarbeid. Det som betyr mest er kvaliteten og utvalget av funksjoner, for eksempel minneadministrasjonsforbedringer og integrering av rustkode på ARM64-arkitekturer.

Også: Hvordan for å erstatte Windows med Linux Mint på din PC

Når han beveget seg bort fra kode, bemerket Corbet at Linux-kjerneutviklerteamet har vært i trend på en god måte i det siste. Hver av de siste syklusene har sett minst 200 førstegangsbidragsytere. Det var ikke så lenge siden vi bekymret oss for at Linux-kjerneutviklerne ble grå. Med denne bølgen av nye programmerere ser Corbet at “fellesskapet holder seg levende og beveger seg fremover”. 

Allikevel, som Corbet også bemerket, må vi oppmuntre selskaper “til bedre å støtte våre fellesskap." Det er fordi vedlikeholdere og langvarige utviklere brenner ut. De trenger mer penger og støtte. Uten denne hjelpen kan vi forvente mer utbrenthet, frustrerte utviklere, et fall i kodekvalitet og til slutt flere sikkerhetsproblemer.

Corbet foreslår å se på Linux-kjernens bidragmodenhetsmodell for å se hvordan bedriften din gjør. Poenget er at selskaper må behandle Linux-arbeid som en toppprioritet og ikke som en ettertanke. Denne innsatsen bidrar kanskje ikke direkte til bunnlinjen, men på dette tidspunktet er nesten alle bedrifter avhengige av Linux for å fortsette å kjøre – og du kan ignorere dette på egen risiko.