unattended-upgradeでセキュリティアップデート
現在、MeltdownやらSpectreといった愛称付き脆弱性が話題になっているがDebian系でのセキュリティアップデートのかなりいい加減な手順を置いておく。
簡単に言うと unattended-upgrade が便利というメモ。
ちなみに1/11現在まだspectre対策アップデートはまだなのでMeltdownのみ解消していることを確認している。
Meltdown,Spectre対応手順(前提: Debian/Ubuntu系統のlinux)
- 脆弱性の有無を確認する
wget -O - “https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh" | sudo bash
3つのCVEすべてがVULNERABLEになっていること (参考)https://news.mynavi.jp/article/20180109-linux_vulnerability/
- セキュリティアップデートの有無を確認する
sudo apt-get update sudo unattended-upgrade –dry-run
linuxカーネルへのセキュリティアップデートが降ってきていることを確認
- セキュリティアップデートの実行
sudo unattended-upgrade -d
- OS再起動
sudo reboot
- 脆弱性の有無を確認する
wget -O - “https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh" | sudo bash
現在のところMeltdownのセキュリティパッチのみ存在しているので一番下のCVEがNOT VULNERABLEになっていることのみ確認できればOKです。
※この手順はSpectreのセキュリティ対策時にも利用可能。