ubuntu防火墙如何升级内核
小樊
43
2025-11-27 00:06:34
Ubuntu 内核升级与防火墙的关系与正确做法
概念澄清
- 防火墙(如 UFW、nftables、iptables)负责网络访问控制,与内核是两个不同层面。升级内核不会自动改变你的防火墙规则;相反,内核升级后,已保存的防火墙规则仍会继续生效(前提是规则持久化配置正确)。
升级内核的推荐方法
- 使用 APT 从官方仓库升级(推荐)
- 更新索引并升级系统:
sudo apt update && sudo apt full-upgrade && sudo reboot
- 仅升级内核元包(保持与当前 LTS 线一致):
sudo apt install --only-upgrade linux-generic linux-headers-generic linux-image-generic
- 若是 20.04 LTS 并需要较新硬件支持,可启用 HWE 内核:
sudo apt install linux-generic-hwe-20.04
- 验证:
uname -r
- 使用主线内核安装脚本(适合需要特定版本时)
- 安装脚本:
wget https://raw.githubusercontent.com/pimlie/ubuntu-mainline-kernel.sh/master/ubuntu-mainline-kernel.sh
chmod +x ubuntu-mainline-kernel.sh
sudo mv ubuntu-mainline-kernel.sh /usr/local/bin/ubuntu-mainline-kernel.sh
- 安装指定版本(示例:v6.8.12):
sudo ubuntu-mainline-kernel.sh -i v6.8.12
- 重启并验证:
sudo reboot && uname -r
- 如需卸载:
sudo ubuntu-mainline-kernel.sh -u
- 使用 Canonical 实时补丁 Livepatch(无需重启,适合生产环境)
- 获取密钥并启用:
sudo snap install canonical-livepatch
sudo canonical-livepatch enable <YOUR_TOKEN>
- 说明:对3 台以内系统免费,超出需 Ubuntu Advantage 订阅;仅提供安全补丁,不升级主版本号。
防火墙与内核升级的配合要点
- 使用 UFW(Ubuntu 默认)
- 升级前后无需额外操作,规则保存在 /etc/ufw/,重启后自动加载。
- 常用:sudo ufw enable;sudo ufw status verbose;sudo ufw reload
- 使用 nftables/iptables 并需持久化
- 安装持久化工具并保存规则(IPv4/IPv6):
sudo apt install iptables-persistent netfilter-persistent
sudo netfilter-persistent save
sudo netfilter-persistent reload
- 内核升级后,这些保存的规则会自动恢复,无需重新配置。
回滚与注意事项
- 回滚到旧内核
- 重启,在 GRUB 菜单选择 “Advanced options for Ubuntu”,启动旧内核;进入系统后可移除新内核包:
dpkg --list | grep linux-image
sudo apt remove linux-image-<新版本> linux-headers-<新版本>
sudo apt autoremove
- 注意事项
- 升级前建议备份数据与快照;生产环境优先选择 LTS 内核线与官方仓库,谨慎使用主线内核;升级后首次启动建议检查日志与关键服务状态。