Ubuntuのパッチの種類
Ubuntuのパッチの考え方にはセキュリティパッチと機能更新の二つのカテゴリがあります。
セキュリティパッチ:脆弱性を修正し、システムを安全に保つために重要です。
機能更新:上位バージョンでしか対応していない機能を使いたいときに更新する。
セキュリティパッチは要するにハッカーなど悪い人にシステムを攻撃されないうようにセキュリティ改善されたバージョンに更新するよ~というイメージ。
CVEとは?
CVE(Common Vulnerabilities and Exposures)は、セキュリティの脆弱性が見つかった際に、その脆弱性に対して一意の識別番号であるCVE-IDを割り当てるシステムです。
CVEなんてたいそうな名前がついていますが、要するに脆弱性に関係するパッケージをアップデートするっていうのがセキュリティアップデートってことみたいですね。
CVEのレベルの違い
レベルが4つあります。システムの方針によってどこまで適用するかは異なりますが、特になければHigh(高)以上を適用するように設計すると良いと思います。
Critical(重大): システムに対する遠隔からの攻撃可能性があり、重要なデータ損失やサービス停止を引き起こす可能性がある。
High(高): 攻撃が成功すると、機密性、完全性、可用性が著しく損なわれる可能性がある。
Medium(中): 攻撃が成功しても直ちにシステム全体に深刻な影響はないが、追加の行動によってリスクが拡大する可能性がある。
Low(低): 攻撃が成功しても、被害は限定的または軽微。
適用手順
CVE対象を調べる:
UbuntuのCVEトラッキングページにアクセスし、適用すべきパッチを検索します。
https://secure.sakura.ad.jp/cloud
ためしに以下の条件で探してみましょう。
Priority: High(高い)
Ubuntu version: Jammy Jellyfish 22.4.LTS(バージョン)
Status; Needed(必要)
検索結果のPACKAGE列が、アップデートが公開されたパッケージ名。CVE(脆弱性)を回避するために必要なパッケージ名とバージョンが表示されます。
マシンのアップデート情報を更新:
# apt-get update
適用可能なパッチの確認:
パッケージ名を表示させたとき必要なバージョン以上のパッケージが適用されていれば適用は不要。そもそも入れていないパッケージがあったらスルーする。
# apt-get --just-print upgrade | grep パッケージ名
パッチの適用:
# apt upgrade パッケージ名
システムの再起動:
# reboot
適用後のバージョン確認:
# dpkg -l パッチ名
注意点
作業はrootユーザで実施してください。
システムの重要な部分に変更を加えるため、OSのバックアップを取るよう検討しましょう。
