Aktualisierung des Linux-Kernels: Ein vollständiger Distributions-für-Distributions-Leitfaden

Der Linux-Kernel ist die grundlegende Schicht zwischen Ihrer Hardware und jedem Prozess, der auf Ihrem System läuft. Er verwaltet CPU-Scheduling, Speicherzuweisung, Gerätetreiber, Systemaufrufe und Sicherheitsdurchsetzung. Ihn aktuell zu halten ist für Produktionssysteme keine Option — veraltete Kernel setzen Server Privilege-Escalation-Exploits, Speicherkorruptionsschwachstellen und Leistungsregressionen aus, die neuere Versionen beheben.

Dieser Leitfaden bietet erschöpfende, technisch präzise Anweisungen zur Aktualisierung des Linux-Kernels unter Ubuntu, Debian, CentOS, RHEL und Arch Linux — einschließlich Bootloader-Konfiguration, initramfs-Regenerierung, Versions-Pinning und Rollback-Verfahren, die die meisten Anleitungen vollständig auslassen.

Warum Kernel-Updates eine kritische Wartungsaufgabe sind

Jede Kernel-Version enthält eine Kombination aus Sicherheits-Patches (CVEs), Verbesserungen der Hardware-Kompatibilität, Scheduler-Optimierungen sowie neuen Dateisystem- oder Netzwerkfunktionen. Die Folgen eines veralteten Kernels umfassen:

• Ungepatchte CVEs: Schwachstellen wie Dirty COW (CVE-2016-5195), Spectre/Meltdown-Mitigationen und neuere Privilege-Escalation-Bugs sind Probleme auf Kernel-Ebene, die kein Sicherheitswerkzeug auf Anwendungsebene vollständig kompensieren kann.
• Leistungsverschlechterung: Ältere Kernel verfügen nicht über Verbesserungen am CFS-Scheduler, der Speicherkomprimierung und der NVMe-Warteschlangentiefenverarbeitung, die sich direkt auf den Server-Durchsatz auswirken.
• Treiberinkompatibilität: Neue Hardware, einschließlich moderner NVMe-Controller und Netzwerkadapter, erfordert möglicherweise Kernel-Versionen, die aktualisierte Treiberschnittstellen bereitstellen.
• Fehlende Systemaufruf-Unterstützung: Containerisierungs-Runtimes (Docker, Podman, containerd) und Sicherheits-Frameworks (eBPF, seccomp) sind auf Kernel-Funktionen angewiesen, die in bestimmten Versionen eingeführt wurden.

In einer VPS Hosting-Umgebung bestimmt der Kernel auch, wie effizient das Gast-Betriebssystem mit dem Hypervisor interagiert — ein aktueller Kernel mit aktuellen virtio-Treibern und Paravirtualisierungsunterstützung führt direkt zu geringerer Latenz und besserem I/O-Durchsatz.

Bevor Sie beginnen: Checkliste vor dem Update

Führen Sie unabhängig von der Distribution diese Schritte aus, bevor Sie den Kernel anfassen:

1. Erstellen Sie einen Snapshot oder eine Sicherung Ihres Systems. Wenn Ihr Anbieter Snapshots unterstützt, erstellen Sie jetzt einen. Stellen Sie auf Bare-Metal-Systemen sicher, dass Ihre Sicherung aktuell ist.
2. Überprüfen Sie Ihre aktuelle Kernel-Version: uname -r
3. Überprüfen Sie den verfügbaren Speicherplatz in /boot: df -h /boot — eine volle /boot-Partition führt bei Debian-basierten Systemen zu stillen Fehlern bei der Kernel-Installation.
4. Bestätigen Sie Ihren Bootloader: ls /boot | grep -E 'grub|efi' — zu wissen, ob Sie GRUB2, systemd-boot oder GRUB Legacy verwenden, ändert die Schritte nach der Installation.
5. Prüfen Sie auf zurückgehaltene oder gepinnte Pakete: Führen Sie unter Debian/Ubuntu apt-mark showhold aus. Überprüfen Sie unter RHEL/CentOS /etc/yum.conf auf exclude=kernel*.
6. Halten Sie Konsolenzugang bereit. Wenn der neue Kernel nicht startet, ist SSH nicht verfügbar. Stellen Sie sicher, dass Sie vor dem Neustart einen Out-of-Band-Zugang (VNC, IPMI oder die Notfallkonsole Ihres Anbieters) haben.

Kernel-Update unter Ubuntu und Debian

Ubuntu und Debian verwenden den APT-Paketmanager und liefern Kernel-Images als Standardpakete unter der Namenskonvention linux-image-*. Der Kernel, seine Module und das initramfs werden alle über dieses System verwaltet, was Updates relativ unkompliziert macht — aber es gibt wichtige Nuancen.

Schritt 1: Paket-Repositories synchronisieren

sudo apt update

Dies aktualisiert den lokalen Paketindex gegen alle konfigurierten Repositories. Überspringen Sie diesen Schritt nicht — das Ausführen von apt upgrade ohne vorheriges apt update kann veraltete Paketversionen installieren.

Schritt 2: Vollständiges System-Upgrade durchführen

sudo apt upgrade

Dies aktualisiert installierte Pakete, installiert jedoch keinen neuen Kernel, wenn dies das Entfernen vorhandener Pakete erfordert. Für Kernel-Übergänge (z. B. von 5.15 auf 6.1) verwenden Sie:

sudo apt full-upgrade

Der ältere Befehl dist-upgrade ist funktional äquivalent zu full-upgrade und bleibt verfügbar, aber full-upgrade ist die aktuelle kanonische Form.

Schritt 3: Kernel-Metapaket installieren

sudo apt install linux-image-generic linux-headers-generic

Das Metapaket (linux-image-generic) verfolgt immer den neuesten empfohlenen Kernel für Ihre Architektur. Die explizite Installation stellt sicher, dass der Paketmanager weiß, dass Sie zukünftig Kernel-Updates wünschen. Das Paket linux-headers-generic ist erforderlich, wenn Sie externe Kernel-Module kompilieren (z. B. DKMS-verwaltete Treiber wie ZFS oder proprietäre GPU-Treiber).

Für Ubuntu-Systeme können Sie auch HWE (Hardware Enablement)-Kernel installieren, die neuere Kernel auf LTS-Versionen zurückportieren:

sudo apt install linux-generic-hwe-22.04

Schritt 4: Überprüfen, ob der neue Kernel bereitgestellt ist

dpkg --list | grep linux-image

Sie sollten die neue Kernel-Version mit dem Status ii (installiert) aufgelistet sehen. Der alte Kernel bleibt als Fallback installiert — das ist beabsichtigt.

Schritt 5: Neustart und Bestätigung

sudo reboot

Nach der Wiederverbindung:

uname -r

Bestätigen Sie, dass die Ausgabe die neue Kernel-Version widerspiegelt.

Alte Kernel unter Debian/Ubuntu bereinigen

Alte Kernel sammeln sich in /boot an und verbrauchen Speicherplatz. Entfernen Sie sie sicher mit:

sudo apt autoremove --purge

APT identifiziert automatisch abgelöste Kernel-Pakete und entfernt sie, jedoch nur, wenn sie nicht der aktuell laufende Kernel oder der neueste Fallback sind.

Kritischer Fallstrick: Entfernen Sie niemals manuell das aktuell laufende Kernel-Paket. Starten Sie immer zuerst in den neuen Kernel neu und führen Sie dann autoremove aus.

Kernel-Update unter CentOS und RHEL

CentOS und RHEL verwenden RPM-basierte Paketverwaltung — entweder yum (CentOS 7, RHEL 7) oder dnf (CentOS 8+, RHEL 8+, AlmaLinux, Rocky Linux). Der Kernel-Update-Prozess unterscheidet sich von Debian-basierten Systemen in einem wichtigen Punkt: RPM-Systeme behalten standardmäßig mehrere Kernel-Versionen gleichzeitig installiert, gesteuert durch die Direktive installonly_limit in /etc/yum.conf oder /etc/dnf/dnf.conf.

Schritt 1: Alle Pakete einschließlich des Kernels aktualisieren

# CentOS 7 / RHEL 7
sudo yum update

# CentOS 8+ / RHEL 8+ / AlmaLinux / Rocky Linux
sudo dnf update

Dieser einzelne Befehl erledigt in den meisten Fällen das Kernel-Update. Im Gegensatz zu Debian gibt es kein separates dist-upgrade-Äquivalent — yum update / dnf update behandelt die Abhängigkeitsauflösung für Kernel-Übergänge automatisch.

Schritt 2: Eine bestimmte Kernel-Version installieren (optional)

Wenn Sie eine bestimmte Kernel-Version anstelle der neuesten verfügbaren benötigen:

sudo yum install kernel-<version>
# Example:
sudo yum install kernel-5.14.0-284.30.1.el9_2

Schritt 3: GRUB2-Konfiguration neu generieren

Auf RHEL/CentOS-Systemen muss die Bootloader-Konfiguration explizit neu generiert werden, um den neuen Kernel-Eintrag einzuschließen. Der korrekte Befehl hängt davon ab, ob Ihr System BIOS oder UEFI verwendet:

BIOS-basierte Systeme:

sudo grub2-mkconfig -o /boot/grub2/grub.cfg

UEFI-basierte Systeme:

sudo grub2-mkconfig -o /boot/efi/EFI/redhat/grub.cfg
# or for CentOS/AlmaLinux/Rocky:
sudo grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg

Wichtig: Auf RHEL 8+ und Derivaten wird der Schritt grub2-mkconfig oft automatisch durch die Paket-Skriptlets von kernel-core über grubby durchgeführt. Sie können den Standard-Boot-Eintrag überprüfen mit:

sudo grubby --default-kernel

Um den Standard-Kernel manuell festzulegen:

sudo grubby --set-default /boot/vmlinuz-<new-version>

Schritt 4: Neustart und Überprüfung

sudo reboot
uname -r

Kernel-Aufbewahrung unter RHEL/CentOS verwalten

Standardmäßig behält installonly_limit=3 in /etc/dnf/dnf.conf die drei neuesten Kernel. Passen Sie diesen Wert an, wenn der Speicherplatz in /boot begrenzt ist:

sudo sed -i 's/installonly_limit=3/installonly_limit=2/' /etc/dnf/dnf.conf

Um alle installierten Kernel aufzulisten:

rpm -q kernel

Kernel-Update unter Arch Linux

Arch Linux folgt einem Rolling-Release-Modell, was bedeutet, dass der Kernel kontinuierlich aktualisiert wird, sobald neue Upstream-Versionen veröffentlicht werden. Es gibt keine diskreten Release-Versionen — das System bewegt sich immer in Richtung des neuesten stabilen Kernels. Dies macht Arch ideal für Entwickler, die modernste Kernel-Funktionen benötigen, erfordert jedoch eine aufmerksamere Wartung.

Schritt 1: Vollständige System-Synchronisierung und Upgrade

sudo pacman -Syu

Das Flag -S synchronisiert Pakete, -y aktualisiert die Datenbank und -u aktualisiert alle installierten Pakete. Unter Arch sollten Sie immer ein vollständiges System-Upgrade durchführen, anstatt einzelne Pakete isoliert zu aktualisieren — partielle Upgrades werden explizit nicht unterstützt und können zu Bibliotheks-Abhängigkeitsbrüchen führen.

Schritt 2: Kernel-Paket installieren oder neu installieren

Wenn der Kernel nicht durch pacman -Syu aktualisiert wurde (z. B. wenn Sie Kernel-Varianten wechseln), installieren Sie ihn explizit:

sudo pacman -S linux linux-headers

Arch Linux bietet mehrere offizielle Kernel-Varianten:

Für Server-Umgebungen ist linux-lts generell vorzuziehen — er bietet eine stabile ABI für DKMS-Module und reduziert die Häufigkeit der durch Kernel-Updates erforderlichen Neustarts.

Schritt 3: initramfs neu generieren

sudo mkinitcpio -p linux

Dies regeneriert das initiale RAM-Dateisystem unter Verwendung des in /etc/mkinitcpio.d/linux.preset definierten Presets. Das initramfs enthält die minimale Umgebung, die zum Einhängen des Root-Dateisystems benötigt wird, bevor das vollständige Betriebssystem übernimmt. Das Überspringen dieses Schritts nach einem Kernel-Update kann dazu führen, dass ein System nicht startet, wenn das Root-Dateisystem ein Modul benötigt (z. B. ext4, btrfs oder ein verschlüsseltes Volume über dm-crypt).

Wenn Sie linux-lts installiert haben, verwenden Sie das entsprechende Preset:

sudo mkinitcpio -p linux-lts

Schritt 4: GRUB-Bootloader-Konfiguration aktualisieren

sudo grub-mkconfig -o /boot/grub/grub.cfg

Beachten Sie, dass unter Arch der Befehl grub-mkconfig (ohne das Suffix 2) lautet, im Gegensatz zu RHEL/CentOS. Wenn Sie systemd-boot anstelle von GRUB verwenden (üblich bei UEFI-Arch-Installationen), aktualisieren Sie den Boot-Eintrag manuell oder führen Sie aus:

sudo bootctl update

Schritt 5: Neustart

sudo reboot
uname -r

Distributions-Vergleich: Kernel-Update-Mechanismen

Kernel-Rollback: Was zu tun ist, wenn ein neuer Kernel Ihr System beschädigt

Ein Kernel-Update, das Boot-Fehler oder Hardware-Inkompatibilität verursacht, ist ein reales operatives Risiko. Hier ist das Wiederherstellungsverfahren:

Schritt 1: Greifen Sie beim Start auf das GRUB-Menü zu. Wenn GRUB ausgeblendet ist (üblich in VPS-Umgebungen), halten Sie Shift (BIOS) oder Esc (UEFI) beim Start gedrückt oder drücken Sie es wiederholt, oder konfigurieren Sie GRUB_TIMEOUT in /etc/default/grub auf einen Wert ungleich null, bevor Sie aktualisieren.

Schritt 2: Wählen Sie „Erweiterte Optionen” und wählen Sie die vorherige Kernel-Version aus der Liste.

Schritt 3: Nachdem Sie in den funktionierenden Kernel gestartet haben, entweder:

• Pinnen Sie den funktionierenden Kernel, um seine Entfernung zu verhindern (Debian/Ubuntu: sudo apt-mark hold linux-image-<version>)
• Legen Sie ihn als Standard-Boot-Eintrag fest (RHEL: sudo grubby --set-default /boot/vmlinuz-<version>)
• Entfernen Sie den problematischen Kernel (Arch: sudo pacman -R linux gefolgt von der Neuinstallation der LTS-Variante)

Schritt 4: Reichen Sie einen Fehlerbericht beim Kernel-Team Ihrer Distribution ein oder überprüfen Sie die Upstream-Kernel-Fehlerverfolgung, bevor Sie das Update erneut versuchen.

Kernel-Updates in containerisierten und virtualisierten Umgebungen

In einer VPS Hosting-Umgebung hat der Kernel-Update-Prozess eine zusätzliche Überlegung: Sie aktualisieren den Gast-Kernel, nicht den Host-Hypervisor-Kernel. Dies ist standard und erwartet — das Gast-Betriebssystem führt seinen eigenen Kernel in einem paravirtualisierten oder vollständig virtualisierten Kontext aus.

Auf containerbasierten VPS-Plattformen (OpenVZ, LXC ohne Kernel-Namespacing) kann der Gast jedoch den Host-Kernel teilen. In diesen Fällen spiegelt uname -r die Host-Kernel-Version wider, und der Versuch, ein neues Kernel-Paket innerhalb des Containers zu installieren, ändert den laufenden Kernel nicht — obwohl die Paketinstallation selbst harmlos ist.

Auf KVM-basierter VPS-Infrastruktur (dem Standard für moderne Anbieter) haben Sie volle Kernel-Kontrolle. Stellen Sie sicher, dass Ihr aktualisierter Kernel die virtio-Treiber eingebaut oder als Module verfügbar hat — insbesondere virtio_net, virtio_blk und virtio_scsi — um nach dem Neustart Netzwerk- und Speicherkonnektivität aufrechtzuerhalten.

Für Arbeitslasten, die maximale rohe I/O-Leistung erfordern — wie Datenbankserver oder ML-Inferenz-Pipelines — erwägen Sie, Kernel-Updates mit einer Dedicated Servers-Umgebung zu kombinieren, wo Sie volle Hardware-Kontrolle und keinen Hypervisor-Overhead haben.

Erweitert: Mainline- oder benutzerdefinierte Kernel installieren

Für Benutzer, die Kernel-Funktionen benötigen, die noch nicht in den stabilen Kernel ihrer Distribution zurückportiert wurden, können Mainline-Kernel aus dem Quellcode oder über distributionsspezifische Werkzeuge installiert werden.

Ubuntu Mainline Kernel Installer:

# Using the mainline tool (third-party PPA)
sudo add-apt-repository ppa:cappelikan/ppa
sudo apt update
sudo apt install mainline
mainline install-latest

Kompilierung aus dem Quellcode (alle Distributionen):

# Download from kernel.org
wget https://cdn.kernel.org/pub/linux/kernel/v6.x/linux-6.x.y.tar.xz
tar -xf linux-6.x.y.tar.xz
cd linux-6.x.y
cp /boot/config-$(uname -r) .config
make olddefconfig
make -j$(nproc)
sudo make modules_install
sudo make install

Die Kompilierung aus dem Quellcode gibt Ihnen präzise Kontrolle über die Kernel-Konfiguration — das Aktivieren oder Deaktivieren bestimmter Subsysteme, das Anwenden benutzerdefinierter Patches oder das Aktivieren experimenteller Funktionen. Dies ist besonders relevant für GPU Hosting-Arbeitslasten, bei denen benutzerdefinierte Kernel-Parameter für die NVIDIA-Treiber-Kompatibilität oder IOMMU-Konfiguration erforderlich sein können.

Kernel-Updates sicher automatisieren

Unbeaufsichtigte Kernel-Updates sind eine zweischneidige Fähigkeit. Sie reduzieren das Expositionsfenster gegenüber bekannten CVEs, führen jedoch das Risiko eines unbeaufsichtigten Neustarts in einen defekten Kernel-Zustand ein.

Ubuntu/Debian — unattended-upgrades:

sudo apt install unattended-upgrades
sudo dpkg-reconfigure unattended-upgrades

Bearbeiten Sie /etc/apt/apt.conf.d/50unattended-upgrades, um Kernel-Pakete ein- oder auszuschließen:

Unattended-Upgrade::Package-Blacklist {
    // "linux-image";  // Uncomment to exclude kernel updates
};

RHEL/CentOS — dnf-automatic:

sudo dnf install dnf-automatic
sudo systemctl enable --now dnf-automatic.timer

Konfigurieren Sie /etc/dnf/automatic.conf, um apply_updates = yes nur nach Validierung Ihrer Rollback-Strategie festzulegen.

Best Practice für Produktion: Wenden Sie Kernel-Sicherheitsupdates automatisch an, aber steuern Sie Neustarts über ein Wartungsfenster mit Werkzeugen wie needrestart oder kured (Kubernetes Reboot Daemon für containerisierte Arbeitslasten).

Entscheidungsmatrix und wichtigste Erkenntnisse

Verwenden Sie diese Checkliste vor und nach jedem Kernel-Update:

• Snapshot oder Sicherung vor dem Start abgeschlossen
• Aktuelle Kernel-Version dokumentiert (uname -r)
• /boot-Partition hat ausreichend freien Speicherplatz (df -h /boot)
• Konsolen-/Out-of-Band-Zugang bestätigt und getestet
• GRUB-Timeout auf einen Wert ungleich null gesetzt, um einen Wiederherstellungsstart zu ermöglichen
• Neuer Kernel installiert und im Paketmanager verifiziert
• initramfs neu generiert (kritisch unter Arch; auf allen Distributionen überprüfen)
• GRUB-Konfiguration wo erforderlich neu generiert (RHEL, Arch)
• System neu gestartet und neue Kernel-Version bestätigt (uname -r)
• Alte Kernel-Pakete nach Bestätigung der Stabilität bereinigt
• Kernel-Version im Änderungsprotokoll oder Überwachungssystem dokumentiert
• Für DKMS-Module (ZFS, proprietäre Treiber): Module neu erstellt und verifiziert

Wann LTS-Kernel vs. neueste stabile Version verwendet werden sollte:

• Produktionsdatenbankserver, Webserver, E-Mail-Infrastruktur: Verwenden Sie LTS-Kernel. Stabilität und eine vorhersehbare ABI für Kernel-Module überwiegen den Zugang zu den neuesten Funktionen. Wenn Sie Email Hosting– oder Shared Web Hosting-Stacks betreiben, ist LTS die richtige Wahl.
• Entwicklungsumgebungen, GPU-Rechenknoten, Edge-Networking: Verwenden Sie den neuesten stabilen Kernel, um auf neue eBPF-Fähigkeiten, aktualisierte Scheduler-Algorithmen und aktuelle Hardware-Unterstützung zuzugreifen.
• Sicherheitskritische Umgebungen: Erwägen Sie linux-hardened (Arch) oder RHEL mit Kernel-Live-Patching (kpatch), um CVE-Fixes ohne Neustart anzuwenden.

Für Umgebungen, in denen SSL/TLS-Terminierung und Zertifikatsverwaltung Teil des Stacks sind, beachten Sie, dass die Unterstützung für Kernel-Level-TLS (ktls) — verfügbar in Kerneln 4.13+ — die TLS-Datensatzverschlüsselung auf den Kernel auslagern kann, was den CPU-Overhead reduziert. Kombinieren Sie dies mit ordnungsgemäß verwalteten SSL Certificates für eine vollständige Sicherheitslage.

FAQ

F: Wird das Aktualisieren des Kernels meine laufenden Anwendungen beschädigen?

A: Das Kernel-Update selbst beeinträchtigt laufende Prozesse nicht — sie verwenden weiterhin den alten Kernel bis zum Neustart. Nach dem Neustart in den neuen Kernel können Anwendungen, die von Kernel-Modulen abhängen, die gegen die alte Version kompiliert wurden (z. B. DKMS-Module wie ZFS oder VirtualBox), möglicherweise nicht geladen werden. Überprüfen Sie immer den DKMS-Modulstatus mit dkms status vor dem Neustart.

F: Wie kann ich überprüfen, welche Kernel-Version verfügbar ist, bevor ich sie installiere?

A: Unter Debian/Ubuntu: apt-cache show linux-image-generic | grep Version. Unter RHEL/CentOS: dnf info kernel. Unter Arch: pacman -Si linux | grep Version. So können Sie das Update bewerten, bevor Sie sich festlegen.

F: Kann ich den Kernel auf einem VPS ohne Konsolenzugang aktualisieren?

A: Technisch ja, aber es ist dringend abzuraten. Wenn der neue Kernel nicht startet, verlieren Sie den SSH-Zugang ohne Wiederherstellungsmöglichkeit. Bestätigen Sie immer, dass Ihr VPS-Anbieter eine Notfallkonsole (VNC oder seriell) anbietet, bevor Sie Kernel-Updates remote durchführen.

F: Was ist der Unterschied zwischen apt upgrade und apt full-upgrade für Kernel-Updates?

A: apt upgrade installiert keinen neuen Kernel, wenn dies das Entfernen eines aktuell installierten Pakets erfordert. apt full-upgrade (früher dist-upgrade) löst diese Konflikte, indem es das Entfernen von Paketen bei Bedarf erlaubt — dies ist typischerweise erforderlich, wenn zwischen großen Kernel-Versionen unter Debian/Ubuntu gewechselt wird.

F: Wie verhindere ich, dass eine bestimmte Kernel-Version automatisch aktualisiert wird?

A: Unter Debian/Ubuntu verwenden Sie sudo apt-mark hold linux-image-<version>. Unter RHEL/CentOS fügen Sie exclude=kernel-<version> zu /etc/dnf/dnf.conf hinzu oder verwenden Sie dnf versionlock add kernel-<version> nach der Installation des Pakets python3-dnf-plugin-versionlock. Unter Arch fügen Sie das Paket zu IgnorePkg in /etc/pacman.conf hinzu.