大佬们, Linux kernel 漏洞频发需要升级的问题,你们是怎么处理的?

heixiaobai 2026-06-30 19:56 1

我们目前的模式是,基础设施主机组支撑多个业务项目组,业务项目组的业务运维基本是开发兼顾,水平参差不齐

所以内核升级的工作就落在我们这边,升级后需要业务组那边验证业务

现在的问题是今年漏洞频发,上级安全部门要求必须整改漏洞,上一轮的漏洞还没修完,又有新漏洞爆出来了

天天加班升级内核,实在熬不动

目前主要发行版是银河麒麟,厂家说不支持内核补丁热升级。

最新回复 (12)
  • xiaoxiannv 06-30 20:06
    1
    如果继续一个漏洞一次升级一次验证,永远修不完,必须把漏洞治理从技术问题变成流程问题。
  • sn0wdr1am 06-30 20:36
    2
    有企业服务,找服务企业。
    没有企业服务,那么说明安全这块领域,也没那么重要,也没那么着急。

    业务项目组的业务运维基本是开发兼顾,水平参差不齐

    请问这个情况,安全能有多重视。

    说的不好听的:
    1. 运维做好了,领导认为是你们开发应该做的。
    2. 运维做出纰漏了,系统升级崩溃了,被人入侵了,造成影响了,影响业务了。那就杀一个程序员祭天。

    何苦呢?
  • carlist 06-30 21:37
    3
    每个月一次就可以了吧,CR 做好了,应用验证不过去的放别的地方去,逼着升级软件兼容新内核,看着的意思是楼主公司有个半吊子漏洞管理人员,流程什么的没弄全
  • winzkh 06-30 21:39
    4
    不能热补丁吗……那不太好啊
  • winzkh 06-30 21:40
    5
    可以试试专门裁剪一个内核 不需要的特性禁用掉 尽量减少攻击面
    比如 Android 就是使用定制的 ACK ,今年就只有一个漏洞在 Android 能实际的利用到
  • ghostwwg 06-30 21:41
    6
    做周期任务啊,不然养运维干嘛(捂脸
  • Lax 06-30 23:00
    7
    系统大版本升级后,关键软件包维护在自己手里还是有必要的。大体还是以上游厂商的为基础。流程上面,就倒逼业务部门去改造,适配频繁重启的节奏:)
  • rb6221 06-30 23:04
    8
    能设专门的安全部门,但是不设专门的运维部门,我想不通。
  • monzuguan 06-30 23:05
    9
    就是考虑到这点我选了 FreeBSD ,7 年没出过意外。出了漏洞立马修
    https://www.freebsd.org/security/advisories/
  • tiezlk443 06-30 23:08
    10
    直接只用 root 不就行了
  • monzuguan 07-01 09:15
    11
    @monzuguan 刚说完又出了一堆漏洞,两行命令修复完😁
  • msg7086 07-01 09:43
    12
    @monzuguan 花时间的从来不是敲一行命令修复漏洞……
* 帖子来源V2EX
返回