Canonical
on 19 September 2023
라이브패치는 시스템을 즉시 재부팅할 필요 없고 런타임에 중요하고 높은 보안 커널 공통 보안 취약성 및 노출(CVE)을 수정하는 유용한 툴입니다. 그러나 정기적인 유지 관리 기간 및 재부팅을 대체하는 용도로 사용해서는 안 됩니다. 좋은 기업 정책에는 시스템이 안정적이고 안전하게 유지되도록 라이브패치와 정기적인 재부팅이 모두 포함되어야 합니다.
그 이유는 펌웨어 또는 장치 드라이버 업데이트와 같은 일부 시스템 CVE는 여전히 시스템 재부팅이 필요하기 때문입니다. 또한 라이브패치에는 비보안 버그 수정, 우선 순위가 낮은 보안 수정, 성능 개선을 위한 커널 업데이트가 포함되지 않습니다.
또한 라이브패치를 통해 중요한 커널 CVE를 해결할 수 없고 표준 시스템 업데이트가 필요한 경우가 있을 수 있습니다. 마지막으로 라이브패치가 다음 커널 릴리스로 업그레이드할 수 있는 실행 가능한 솔루션이 아님을 인식하는 것이 중요합니다. 그렇게 하려면 재부팅을 수반하는 기존 시스템 업데이트가 필요합니다.
이러한 모든 이유로 캐노니컬(Canonical)은 항상 고객에게 정기적인 유지 관리 기간에 대한 좋은 기업 정책을 따르고 라이브패치를 사용하여 다음 예정된 유지 관리 기간까지 격차를 해소할 것을 강력히 권장하고 있습니다.
슬라이딩 지원 기간
당사의 고객이 업계의 모범 관행을 준수하고 라이브패치가 유지 관리 일정을 방해하지 않도록 하기 위해 캐노니컬은 모든 우분투 LTS 릴리스의 GA 커널의 모든 버전 개정에 대해 13개월의 슬라이딩 지원 기간을 도입하기로 결정했습니다. 이 변경 사항은 루나 랍스터(Lunar Lobster)라고도 하는 Ubuntu 23.04의 릴리스와 동시에 2023년 4월 20일에 적용될 예정입니다.
이것이 당사가 LTS 릴리스의 전체 라이브패치 유지 관리 기간을 단축한다는 의미일까요? 전혀 그렇지 않습니다. 캐노니컬의 LTS 약정의 일환으로 5년 동안, 그리고 우분투 프로 구독하시는 경우 10년 동안 계속 지원됩니다.
결국 이것은 무엇을 의미할까요? 고객이 13개월 동안 시스템을 재부팅하지 않고 라이브패치를 계속 사용하려면 최신 커널 업데이트를 설치한 다음 재부팅해야 합니다. 이렇게 하면 동일한 커널 버전의 새 개정판으로 이동합니다. 또한 이 경우 해당 버전에 대한 라이브패치 지원을 13개월 동안 다시 시작합니다.
예를 들어 보겠습니다. Ubuntu 20.04 LTS에서 5.4.0-60 GA 커널을 실행 중이고 2020년 4월 릴리스 날짜 이후 13개월 동안 재부팅하지 않은 경우 시스템을 업데이트하고 재부팅하여 최신 업데이트인 5.4.0-80으로 돌아오기만 하면 됩니다. 이렇게 하면 이 커널 버전 개정판에 대해 또 다른 13개월이 시작됩니다. 이러한 재부팅 없이는 더 이상 라이브패치를 받을 수 없습니다.
13개월 지원 기간마다 필요할 때마다 시스템을 재부팅할 수 있는 유연성이 있습니다.
또한 당사의 최신 하드웨어 인에이블먼트(HWE) 커널에 대한 라이브패치 지원이 추가되어 최신 하드웨어 사용을 선호하는 사람들에게 훨씬 더 많은 유연성을 제공합니다. 재부팅을 선택하면 사용 가능한 최신 HWE 커널로 업그레이드할 수 있는 옵션이 지금 제공됩니다. 즉, 우분투 LTS 릴리스에서 실행하기 위해 선택한 커널에 관계없이 라이브패치를 계속 활용할 수 있다는 뜻입니다.
정기 유지 관리 기간이 이미 13개월 미만인 경우 이 변경 사항은 영향을 미치지 않습니다. 그러나 유지 관리 기간이 13개월보다 긴 경우 해당 특정 커널 버전에 대한 라이브패치를 계속 받을 수 있도록 조정해야 합니다.
이런 내용은 리눅스 커널 유지 관리 및 업데이트 주기에 대한 자세한 이해가 필요함을 당사는 이해하고 있습니다. 이 프로세스에 대한 질문이나 불확실한 점이 있는 경우 그 개념과 근거에 대한 추가 설명을 제공하므로 계속 읽어보시기 바랍니다.
우분투 커널 버전 이해
“Ubuntu 5.15.0-35-generic” GA 커널로 Ubuntu 22.04를 실행 중이라고 가정해 보겠습니다. 이 문자열의 각 문자에는 의미가 있습니다. 살펴보겠습니다:
- “Ubuntu”는 커널이 실행 중인 리눅스 배포를 식별합니다.
- “5.15.0”은 업스트림 커널의 버전 번호를 나타냅니다:
끝에 있는 “-35″는 커널의 개정 번호입니다. 초기 릴리스 이후 커널이 업데이트된 횟수를 알려주며, 이 경우 커널은 캐노니컬의 보안 유지 관리 프로세스의 일부로 35번의 수정을 거쳤습니다. - 마지막으로 “generic”은 커널 종류를 의미하며 우분투는 일반 및 저지연과 같은 다양한 커널 종류를 제공합니다.
캐노니컬은 각 커널 버전을 어떻게 유지하나요?
커널을 최신 상태로 유지하는 것은 시스템 보안에 매우 중요합니다. 캐노니컬은 몇 주마다 스테이블 릴리스 업데이트(SRU)를 릴리스하여 커널 취약성을 해결합니다. 이 업데이트는 주로 새로운 기능이나 주요 시스템 변경 사항을 도입하기보다는 특정 문제를 수정하는 데 중점을 둡니다. 이러한 패치는 새로운 문제나 퇴보 없이 의도된 문제를 효과적으로 수정하는지 확인하기 위해 광범위한 테스트 및 검증을 거칩니다.
결과적으로 몇 주마다 재부팅하여 커널을 다음 개정판으로 업데이트하거나 대신에 라이브패치를 할 수 있는 옵션이 있습니다. 라이브패치를 선택하면 시스템이 계속 실행되는 동안 중요하고 높은 커널 취약성을 해결할 수 있고 다음 예정된 유지 관리 기간을 위해 재부팅을 저장할 수 있다는 뜻입니다. 13개월 슬라이딩 지원 기간을 통해 라이브패치의 이점을 누리면서 최대 13개월 동안 동일한 커널 개정판을 계속 사용할 수 있는 유연성이 있습니다.
13개월 후에도 재부팅하지 않으면 어떻게 되나요?
캐노니컬은 비합리적으로 긴 유지 관리 기간을 갖지 않는 등 업계의 모범적인 관행을 준수할 것을 강력히 권장합니다. 이러한 관행을 따르지 않으면 시스템이 불안정해지고 보안이 취약해질 수 있습니다. 13개월 이상 시스템을 재부팅하지 않기로 선택한다면 해당 특정 커널 버전 개정판에 대한 라이브패치를 더 이상 받을 수 없습니다. 그러나 동일 커널 버전 이후의 더욱 최근 커널 개정판으로 업데이트하고 재부팅한 후에는 라이브패치 지원의 이점을 다시 한 번 누릴 수 있습니다.
결론
라이브패치는 소프트웨어 업데이트로 인한 재부팅의 영향을 최소화하면서 커널의 보안을 보장하려는 조직에 수많은 이점을 제공하는 중요한 기술입니다. 라이브패치는 가동 중지 시간을 줄임으로써 계획에 없던 작업 시간으로 낭비할 수도 있었던 귀중한 시간을 절약하여 팀이 조직에 변화를 가져올 수 있는 진정한 비즈니스 혁신에 집중할 수 있도록 합니다.
이러한 큰 이점을 모두 경험하려면 라이브패치를 최적으로 사용하는 것이 중요합니다. 새로 발표된 13개월 슬라이딩 지원 기간을 통해 라이브패치의 이점을 누리면서 최대 13개월 동안 동일한 커널 개정판을 계속 사용할 수 있는 유연성이 있습니다.
라이브패치 및 캐노니컬 보안 접근 방식에 대해 자세히 알고 싶으시면 당사에 문의하거나 담론 채널을 방문하세요. 여러분의 의견을 듣고 싶습니다!
