Pengutronix 內(nèi)核黑客 Jan Lübbe 總結(jié)了嵌入式 Linux 中正在不斷增長的安全威脅，并在這次歐洲嵌入式 Linux 會(huì)議上概述了一個(gè)計(jì)劃，以保持長期設(shè)備的安全和功能完整。

安全漏洞只發(fā)生在 Windows 上的好日子正在快速過去。惡意軟件黑客和拒絕服務(wù)老手們正在越來越多地瞄準(zhǔn)過時(shí)的嵌入式 Linux 設(shè)備，因此在 10 月的歐洲嵌入式 Linux 會(huì)議Embedded Linux Conference Europe(ELCE)上的幾個(gè)演講的主題就與修復(fù) Linux 安全漏洞相關(guān)。

最值得去聽的講演之一是 Pengutronix 內(nèi)核黑客 Jan Lübbe 的《長期維護(hù)或管理(或免管理)嵌入式系統(tǒng) 10 年以上》。在總結(jié)嵌入式 Linux 中不斷增長的安全威脅后，Lübbe 制定了一項(xiàng)計(jì)劃，以確保長期設(shè)備的安全和功能完整。 Lübbe 說：“我們需要遷移到更新、更穩(wěn)定的內(nèi)核，并進(jìn)行持續(xù)維護(hù)以修復(fù)關(guān)鍵漏洞。我們需要做上游更新和自動(dòng)化流程，并建立一個(gè)可持續(xù)的工作流程。我們沒有理由讓系統(tǒng)中仍留有過時(shí)的軟件。”

隨著 Linux 設(shè)備變得越來越老，傳統(tǒng)的生命周期過程已經(jīng)不再適用。 Lübbe 說：“通常，你會(huì)從 SoC 供應(yīng)商或主線上獲取內(nèi)核、構(gòu)建系統(tǒng)，并添加到用戶空間。你可以定制和添加程序，并做一些測試。但是，在此之后有 15 年的維護(hù)階段，你***期望平臺(tái)不會(huì)發(fā)生變化、不會(huì)想要添加新的功能、不需要實(shí)施管理調(diào)整。”

所有這些變化，越來越多地導(dǎo)致你的系統(tǒng)暴露出新的錯(cuò)誤，并需要大量更新以才能與上游軟件保持同步。 Lübbe 說：“在內(nèi)核中發(fā)生導(dǎo)致問題的錯(cuò)誤并不總是無意的”。對于去年在 Allwinner 內(nèi)核中發(fā)現(xiàn)的后門，他又補(bǔ)充說：“這些供應(yīng)商的內(nèi)核從來不會(huì)執(zhí)行主線內(nèi)核社區(qū)的審查流程”。

Lübbe 繼續(xù)說：“你不能認(rèn)為你的供應(yīng)商一直沒問題。也許只有一兩個(gè)工程師查看過后門代碼這塊。如果補(bǔ)丁發(fā)布在 Linux 內(nèi)核郵件列表上，就不會(huì)有這種事，因?yàn)榭倳?huì)有人注意到。硬件供應(yīng)商不關(guān)心安全或維護(hù)，也許你會(huì)在一兩年后得到更新，但是即使這樣，他們從一個(gè)固定版本開始開發(fā)，到他們發(fā)布穩(wěn)定的版本通常需要幾年的時(shí)間。如果你在這個(gè)基礎(chǔ)上再開始開發(fā)，可能又過了半年，這就更過時(shí)了。”

越來越多的嵌入式開發(fā)人員在長期穩(wěn)定Long Term Stable(LTS)內(nèi)核上構(gòu)建長期產(chǎn)品。但這并不意味著沒事了。Lübbe 說：“一個(gè)產(chǎn)品發(fā)布后，人們經(jīng)常不再遵循穩(wěn)定的發(fā)行鏈，也不再應(yīng)用安全補(bǔ)丁。這樣你會(huì)得到兩個(gè)最糟糕的結(jié)果：過時(shí)的內(nèi)核和沒有安全性。你失去了多人測試的好處。”

Lübbe 指出，使用像 Red Hat 這樣的面向服務(wù)器的發(fā)行版的 Pengutronix 客戶經(jīng)常由于快速的定制、需要系統(tǒng)管理員干預(yù)的部署和升級(jí)系統(tǒng)而遇到問題。

“更新對一些東西有用，特別是在 x86 上，但每個(gè)項(xiàng)目基本上是自己建立基礎(chǔ)設(shè)施來更新到新版本。”

許多開發(fā)人員選擇把向后移植作為更新長期產(chǎn)品的解決方案。Lübbe 說：“開始時(shí)很容易，但是一旦你不處于項(xiàng)目的維護(hù)范圍，他們就不會(huì)告訴你所使用的版本是否受到一個(gè) bug 的影響，因此很難判斷一個(gè)修復(fù)是否相關(guān)。于是你不停打補(bǔ)丁和更新，而 bug 也在不斷累積，而這些你必須自己維護(hù)，因?yàn)槠渌瞬皇褂眠@些補(bǔ)丁。使用開源軟件的好處就丟失了。”

跟隨上游項(xiàng)目

Lübbe 認(rèn)為，***的解決方案是跟蹤由上游項(xiàng)目維護(hù)的版本。“我們主要關(guān)注基于主線內(nèi)核的開發(fā)，所以我們在產(chǎn)品和主流內(nèi)核及其他上游項(xiàng)目之間盡可能沒有差別。長期系統(tǒng)在主線內(nèi)核上得到很好的支持。大多數(shù)不使用 3D 圖形的系統(tǒng)只需要很少的補(bǔ)丁。較新的內(nèi)核版本還有很多新的強(qiáng)化功能，這些可以減少漏洞的影響。

跟隨主線發(fā)展對許多開發(fā)人員來說似乎令人畏懼，但是如果從一開始就這樣，然后堅(jiān)持下去，就會(huì)相對容易一些，Lübbe 說：“你需要為系統(tǒng)上做的一切制定流程。你總需要知道什么軟件正在運(yùn)行，這在使用良好的構(gòu)建系統(tǒng)時(shí)會(huì)更容易。每個(gè)軟件版本應(yīng)定義完整的系統(tǒng)，以便你可以更新相關(guān)的一切。如果你不知道那里有什么，你就不能解決它。你也需要一個(gè)自動(dòng)測試和自動(dòng)部署更新。”

為了“減少更新周期”，Lübbe 建議在開始開發(fā)時(shí)使用***的 Linux 內(nèi)核，并且在進(jìn)入測試時(shí)才轉(zhuǎn)到穩(wěn)定的內(nèi)核。之后，他建議每年將系統(tǒng)中的所有軟件(包括內(nèi)核、構(gòu)建系統(tǒng)、用戶空間、glibc 和組件(如 OpenSSL))更新為當(dāng)年上游項(xiàng)目支持的版本。

Lübbe 說：“得到更新并不意味著你需要部署。如果沒有看到安全漏洞，你可以把補(bǔ)丁放在一邊，需要時(shí)它再用就行。”

***，Lübbe 建議每個(gè)月查看發(fā)布公告，并且每周檢查 CVE 和主線列表上的安全公告。你只需要問自己“該安全公告是否影響到了你”。他補(bǔ)充說：“如果你的內(nèi)核足夠新，就沒有太多的工作。你不會(huì)希望通過在新聞中看到你的設(shè)備才獲得有關(guān)你的產(chǎn)品的反饋。”