Kernelupdate pflicht?

[boarder-winterman]

Moin Linuxianer,

habe da mal ne Frage zum Thema Kernelaktualität bezüglich meines Gentoo Linux Servers.
Dort habe ich im letzten Jahr Kernel 2.6.20-hardened-r10 genau auf meine Bedürfnisse eingestellt, also Treiber und sonst alle Menüs durchgegangen (dauerte ziemlich lange ).

Nun gibt es ja bereits Kernel 2.6.25, ist es ein Sicherheitsrisiko bei meinem 2.6.20er zu bleiben?
Weil ich bin sehr zufrieden und muss mir da nicht umbedingt was kaputtmachen, was nicht sein muss

Aber wenn ein zu alter Kernel ein Sicherheitsrisiko darstellt, wird auf jeden Fall geupdatet, da der Server als NAT-Firewall dient und ich mir hier keine Sicherheitslöcher erlauben darf
Die restlichen Pakete werden 1mal pro Woche aktualisiert.

Wie würdet ihr entscheiden?

 

[Sensei21]

vmsplice exploit

Two major security flaws in the Linux kernel were reported last weekend. Both flaws have the same impact (root access for local users) and both exist within the vmsplice() system call, which was added to the kernel in 2.6.17. There is no configuration option to exclude vmsplice() so everyone is vulnerable.

One of the security issues existed for the entire lifetime of vmsplice(), so any kernel version from 2.6.17 onwards is vulnerable. This was fixed in 2.6.24.2, 2.6.23.16 and 2.6.22.18. It has been assigned the vulnerability identifier of CVE-2008-0600.

The other security issue first appeared in 2.6.23. It was fixed in 2.6.23.15 and 2.6.24.1. This vulnerability has been assigned CVE-2008-0009 and CVE-2008-0010.

ich glaube, das sagt alles

das ist vielleicht auch noch interessant

unter immer schön /proc, /sys, /dev/shm, etc mit "nosuid,nodev,noexec" in der fstab mounten (verhindert so einigen exploit, sicherheitslücke)

 

[roi]

was heißt local user als root? das sich ein programm root zugriff verschaffen kann ? oder das ein user sich root verschaffen kann?

wenn an dem rechner local keiner arbeitet ( ist ja schließich ne firewall) sollte das doch nicht relevant sein

 

[sturme]

Ja, über die Sicherheitsrelevanz davon lässt sich jetzt natürlich streiten, sofern das System sonst auch gut abgeschottet ist. Viel wichtiger als Kernel-Updates sind aktuell gehaltene Userspace-Programme.

 

[Blutschlumpf]

also Treiber und sonst alle Menüs durchgegangen (dauerte ziemlich lange ).

Naja, wenn du die .config kopierst und dann mit "make oldconfig" die neuen Sachen einstellt, dann dauerts nicht mehr so lange und du hast trotzdem alles abgeklappert

ich glaube, das sagt alles

Ich glaube das sagt rein gar nichts weil er kaum anderen leuten User-Zugriff auf seinen Rechner geben wird.

 

[Forlorn]

make oldconfig

nimmt nicht alles mit. Besser ist es /proc/config.gz mit zu integrieren, dann schnappt sich

make menuconfig

alles wichtige mit.

 

[Blutschlumpf]

Ist das was Gentoo-spezifisches ?
Ich kenn nur /proc/config.gz, aber das ist das gleiche wie die .config nur in den Kernel reingegepackt halt.

 

[boarder-winterman]

Thanks, dann lass ichs so. Userzugriff hat nur meine Familie und ja die Passwörter sind sicher

Scheue vor der Liloconfiguration, die hat mich ohne Ende Nerven gekostet wegen ihren Parametern

Grub läuft auf meinem Board garnicht

 

[Forlorn]

Ist das was Gentoo-spezifisches ?

Nein. Hat die Erfahrung über etliche Versionen gezeigt.

 

[Blutschlumpf]

Versteh nicht was du meinst. /proc/config.gz ist die Datei .config, was soll da anderes rauskommen ?

 

[Forlorn]

Man spart sich das kopieren von .config.

 

[Krik]

Na als ob das jetzt den großen Unterschied macht

Um zum Thema wieder etwas zurückzukehren. Gibt es was übersichtlicheres als menuconfig/oldconfig/usw.? Man kann ja zig Sachen an- und abwählen, da wird man ja blöd bei

 

[sturme]

Man gewöhnt sich dran.

Ich hatte die config auch schon einmal mit einem X-GUI offen, wirklich übersichtlicher ist das aber auch nicht. Es bleibt dabei, dass man sich die Docs durchlesen und sein System kennen sollte.

 

[boarder-winterman]

Ich lasset so bis zur 2.6.30er Serie habe ich mir vorgenommen.

Dann werde ich mal updaten, also in 10ner Blöcken

 

[Zedar]

Naja in 10er Intervallen? Da läufst du aber schon Gefahr das du irgendwelchen Exploits "zum Opfer" fällst, oder?

Jeden Kernel würde ich nicht unbedingt mitmachen, kommt immer auf den Nutzen an, wenn der 2.25 irgendwas besonderes bringt werde ich den auf meine Workstation Compilieren, allerdings nehme ich sonst immer 2er Intervalle. Wenn man sein System kennt, geht das auch flugs und man hat seine Sicherheit.

Gruß

Zedar

 

[boarder-winterman]

Hardened Sources erscheinen ja auch nicht zu jedem Kernel.
Werde wohl mal den nächsten erscheinenden mitnehmen