IT & Security/리눅스 :: 정보

우분투/리눅스민트 계열에서 커널 선택과 보안취약점

la Nube 2017. 7. 2. 19:33
반응형

이 글은 우분투 16.04 LTS와 리눅스민트 18/18.1을 대상으로 설명합니다.

우분투 기반인 리눅스라이트와 엘리멘터리OS도 역시 포함될 수 있습니다.

본인이 하모니카 홈페이지에 올린 댓글을 다시 정리하여 올려봅니다.

*LTS = Long Term Support, 장기지원


우분투 LTS에 기반하는 리눅스 배포판, 대표적으로 리눅스민트(LMDE 제외)의 커널은

당연하게도 우분투에서 지원하는 커널을 사용하게 됩니다.


현재 우분투 16.04 LTS에서는 장기지원 커널과 6개월짜리 커널로 구분하여 지원하고 있습니다.

16.04 LTS와 16.04.1 LTS는 장기지원 커널인 버전 4.4를 사용하며 5년 간 지원하게 됩니다.

그러나 16.04.2 LTS의 경우에는 OS는 장기지원이나 커널은 6개월짜리인 버전 4.8을 사용합니다.

여기서 주의할 점은 16.04.2 LTS의 ISO 이미지 파일로 포맷하고 설치한 경우에만 그렇습니다.

기존에 16.04 LTS나 16.04.1 LTS에서 16.04.2 LTS로 올라온 경우에는 여전히 커널은 4.4입니다.


우분투 16.04.2 LTS에서 사용하는 커널 버전 4.8은

원래 9개월의 수명을 가지는 우분투 16.10에서 사용하는 커널입니다.

16.10에서 3개월 동안 테스트하면 시기적으로 16.04.2 LTS가 나오게 됩니다.

즉, 3개월의 테스트를 거친 다음에 LTS에서도 나름 최신버전의 커널을 한번쯤 맛보게끔 해주는 것입니다.

16.10이 9개월의 수명을 가지기 때문에, 3개월 테스트 후에는 6개월만 남아 있게 되지요.

그래서 우분투에서 지원하는 커널 4.8의 수명은 우분투 16.10의 수명과 함께 끝나게 됩니다.


2017년 8월로 예정된 우분투 16.04.3 LTS에서는 우분투 17.04에서 사용하는 커널 4.10을 사용하게 됩니다.

이 커널 4.10의 수명 역시 3개월의 테스트를 거쳤으므로 6개월만 남아 있는 상태로 만나게 됩니다.

2018년 2월로 예정된 우분투 16.04.4 LTS에서는 우분투 17.10에서 사용하는 커널을 사용하게 되며,

역시 수명은 3개월의 테스트를 거쳤으므로 6개월만 남아 있는 상태로 만나게 되죠.

마지막으로 2018년 8월로 예정된 우분투 16.04.5 LTS에서는 우분투 18.04 LTS에서 사용하는 커널을 사용하게 되며,

이 커널은 6개월이 아닌 장기지원 커널에 해당되며, 우분투 16.04 LTS의 수명이 끝날 때까지 함께 합니다.


장기지원 커널을 함께 고려했을 때, 진정한 의미의 LTS는 우분투 LTS에서도 그 세부버전이 04, 04.1, 04.5로 끝나는 것들만 해당됩니다. 이 사이의 04.2, 04.3, 04.4는 모두 6개월짜리 커널을 사용하기 때문에 그렇습니다.(새로 설치하는 것 기준)

이런 6개월짜리 커널은 그 수명이 다하게 되면 다음 커널로 옮겨주어야 보안상 안전해진다는 불편함이 존재합니다.
커널에 대해서 알지 못하는 일반사용자로서는 아예 장기지원 커널만 사용하는 것이 무엇보다 편합니다.

리눅스민트 18.1은 우분투 16.10과 우분투 16.04.2 LTS가 있는 시기에 발표되었습니다.
그래서 리눅스민트 18.1은 기존의 우분투에서 장기지원하는 커널 4.4와 함께
6개월의 수명을 가지고 있는 커널 4.8을 선택할 수 있도록 제공하고 있습니다.
기본 커널은 장기지원 커널인 4.4로 되어 있지요.

커널 4.4를 사용하게 되는 경우에는 리눅스민트 사용자는 그 수명이 다하는 기간까지
우분투로부터 커널에 대한 지원을 계속하여 받게 됩니다.
그러나, 커널 4.8을 사용하는 경우에는 올해 8월이면 그 수명이 다하게 됩니다.
커널 4.8의 종료 시점에 맞추어 리눅스민트에서 다음 커널인 4.10으로의 판올림을 제공한다면 크게 문제가 없지만,
그렇지 않은 경우에는 커널 업데이트가 중단되거나, 사용자가 직접 커널을 찾아 올려야 하는 불편함이 따르게 됩니다.
무엇보다 최근 계속하여 발생하는 리눅스 커널 로컬 권한 상승 및 서비스 거부 유발 취약점 등의 보안취약점에 직면하게 됩니다.

리눅스 계열이 윈도에 비해서 안전한 것은 사실이나,
리눅스 커널에 로컬 권한 상승이나 서비스 거부 유발과 같은 보안취약점이 있게 되면,
자신도 모르게 자신의 PC가 좀비 PC가 된 것과 다름 없게 됩니다.
서비스 거부와 관련하여 익숙한 용어는 디도스입니다. 디도스(DDos)가 분산 서비스 거부의 약자입니다.

자신이 사용하고 있는 커널이 무엇인지 알고 싶다면 터미널을 띄우고 uname -a 를 입력하면 됩니다.
현재 우분투 16.04 계열에서 2017년 3월 8일의 "권장하는 보안 업데이트"는 장기지원 커널의 최신버전 4.4.0-66 입니다.
커널 버전이 4.8인 경우에는 2017년 3월 8일의 최신버전은 4.8.0-41 입니다.

데비안/우분투 계열에서 최신버전의 커널로 올리는 가장 쉬운 방법은 다음과 같습니다.
터미널을 열고
sudo apt-get update
sudo apt-get dist-upgrade
그리고 재부팅입니다.
리눅스민트의 경우에는 안타깝게도 위 방법으로는 커널이 올라가지 않습니다. ㅠㅠ
업데이트 관리자로 들어가서 메뉴에서 커널 설치로 들어가 직접 클릭해야 합니다.

데비안 제시는 3.16.39-1+deb8u1 이상의 버전을 사용하여야 현재 발표된 보안취약점으로부터 안전합니다.
데비안 위지는 3.2.84-2 이상의 버전을 사용하여야 현재 발표된 보안취약점으로부터 안전합니다.
데비안에서 현재 취약점이 있는 커널 버전은 https://security-tracker.debian.org/tracker/CVE-2017-6074 를 참고하세요.


반응형