Estoy administrando algunos servidores Debian Linux, e instalo actualizaciones de paquetes cuando apticron me lo notifica. De vez en cuando veo actualizaciones de los paquetes linux-image-[something] , pero no me molesto en reiniciar el servidor. ¿Qué tan malo es esto en términos de vulnerabilidad?
No está ejecutando el nuevo kernel hasta su reinicio, por lo que, en términos de seguridad, la vulnerabilidad que corrigiría al actualizar el kernel no se aplicará hasta que reinicie .
Linux 4.0 tiene asistencia para la aplicación de parches sin reinicio. Todavía se encuentra en una etapa muy temprana y las herramientas de espacio de usuario (systemd, etc.) aún no lo admiten, pero el código está ahí y es de esperar que pronto sea ampliamente compatible.
Otra solución sería usar algo como Uptrack que puede actualizar algunas partes del kernel sin reiniciar , pero eso requiere una suscripción y solo está disponible para algunas distribuciones.
Mientras no esté reiniciando, su sistema todavía se ejecuta con el kernel anterior. Esto significa que es vulnerable a todas las vulnerabilidades incluidas en la actualización.
Cuando se publica una actualización para un paquete, significa que ahora se conocen las vulnerabilidades corregidas por esa actualización (cuando el proyecto es de estilo bazar, es probable que ya se conozcan durante bastante tiempo, mientras que la solución se realizó mediante el seguimiento de errores y el control de calidad) . Eso significa que cualquier autor de malware en cualquier parte del mundo tiene la oportunidad de crear exploits y usarlos. En caso de que terminen su trabajo antes de aplicar el parche mediante el reinicio, podrán golpearlo. Para que esta ventana de tiempo sea lo más pequeña posible, debe reiniciarse pronto.
Lea otras preguntas en las etiquetas linux