Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 업데이트했지만, Amazon Inspector가 이전 커널 버전에서 CVE(일반적인 취약성 및 노출도)를 감지하고 있습니다. 해결하려면 어떻게 해야 합니까?

Amazon Inspector가 Amazon EC2 인스턴스에 설치된 모든 패키지에 대한 취약성 결과를 반환합니다. 커널 패키지의 경우 새 커널을 설치하면 패키지 관리 시스템(apt 또는 rpm)은 일반적으로 시스템에 설치된 이전 커널을 그대로 둡니다. Amazon Inspector는 커널이 활성이 아닌 경우에도 이전 커널 버전을 감지합니다.

Linux 커널 패키지를 업데이트하고, 이전 커널 패키지를 제거한 다음, Amazon Inspector를 다시 실행합니다.

Amazon Linux, RHEL 및 CentOS

1. Linux 커널 패키지를 업데이트합니다.

sudo yum update kernel

2. (선택 사항) 모든 패키지를 업데이트합니다.

sudo yum update

3. 재부팅하여 변경 사항을 적용합니다.

sudo reboot

4. 실행 중인 커널을 나열합니다.

uname -r

5. 설치된 커널을 나열합니다.

sudo rpm -qa kernel

6. 이전 버전의 커널 패키지를 제거합니다.

sudo package-cleanup --oldkernels --count=1

7. 설치된 커널이 하나만 있는지 확인합니다.

sudo rpm -qa kernel

Amazon Inspector를 다시 실행합니다. Amazon Inspector에서 설치된 이전 커널 버전 패키지와 관련된 취약성이 반환되지 않아야 합니다.

Ubuntu 및 Debian

1. Linux 커널 및 종속성을 최신 버전으로 업데이트합니다.

sudo apt update &&  sudo apt install linux-aws

2. (선택 사항) 커널을 포함한 모든 패키지를 업데이트합니다.

sudo apt update &&  sudo apt dist-upgrade

3. 재부팅하여 변경 사항을 적용합니다.

sudo reboot

4. 이전 버전 패키지를 제거합니다.

sudo apt autoremove

참고: sudo apt autoremove 명령을 실행하면 더 이상 필요하지 않은 이전 버전의 패키지가 제거됩니다. 이전 커널 제거에 대한 자세한 내용은 RemoveOldKernels를 참조하십시오.

5. Amazon Inspector를 다시 실행합니다.

그래도 Amazon Inspector에서 이전에 설치된 커널 패키지의 취약성이 감지되면 다음 명령을 실행합니다.

1. 설치된 커널을 나열합니다.

sudo dpkg --get-selections|grep linux-image|grep -v deinstall

여전히 설치되어 있는 두 개의 나열된 커널 중 후자를 실행하고 있는지 확인합니다.

2. 실행 중인 커널을 나열합니다.

uname -r

3. 설치되어 있는 두 개의 커널 버전 중 전자를 관련 패키지와 함께 제거합니다.  

sudo apt remove linux-*-4.4.0-1049-*

참고: 커널 버전 번호를 마지막 설치된 커널 번호로 바꿉니다. 이전에 설치된 추가 커널 패키지가 있는 경우 이 작업을 반복합니다.

Amazon Inspector를 다시 실행합니다. Amazon Inspector에서 설치된 이전 커널 버전 패키지와 관련된 취약성이 반환되지 않아야 합니다.


페이지 내용이 도움이 되었습니까? | 아니요

AWS 지원 지식 센터로 돌아가기

도움이 필요하십니까? AWS 지원 센터를 방문하십시오.

게시 날짜: 2018-08-12