Linux Kernel Güncelleme: Dağıtım Bazında Eksiksiz Bir Kılavuz

Linux çekirdeği, donanımınız ile sisteminizde çalışan her süreç arasındaki temel katmandır. CPU zamanlamasını, bellek tahsisini, aygıt sürücülerini, sistem çağrılarını ve güvenlik uygulamasını yönetir. Üretim sistemleri için güncel tutmak isteğe bağlı değildir — eski çekirdekler, sunucuları yetki yükseltme açıklarına, bellek bozulması güvenlik açıklarına ve daha yeni sürümlerin çözdüğü performans gerilmelerine karşı savunmasız bırakır.

Bu kılavuz, Ubuntu, Debian, CentOS, RHEL ve Arch Linux üzerinde Linux çekirdeğini güncellemek için kapsamlı, teknik açıdan hassas talimatlar sunmaktadır — önyükleyici yapılandırması, initramfs yeniden oluşturma, sürüm sabitleme ve çoğu kılavuzun tamamen atladığı geri alma prosedürleri dahil.

Çekirdek Güncellemeleri Neden Kritik Bir Bakım Görevidir

Her çekirdek sürümü; güvenlik yamalarının (CVE’ler), donanım uyumluluğu iyileştirmelerinin, zamanlayıcı optimizasyonlarının ve yeni dosya sistemi ya da ağ özelliklerinin bir kombinasyonunu ele alır. Eski bir çekirdek çalıştırmanın sonuçları şunlardır:

• Yamalanmamış CVE’ler: Dirty COW (CVE-2016-5195), Spectre/Meltdown azaltımları ve daha yeni yetki yükseltme hataları gibi güvenlik açıkları, hiçbir uygulama katmanı güvenlik aracının tam olarak telafi edemeyeceği çekirdek düzeyindeki sorunlardır.
• Performans düşüşü: Eski çekirdekler, sunucu verimini doğrudan etkileyen CFS zamanlayıcısı, bellek sıkıştırma ve NVMe kuyruk derinliği işleme iyileştirmelerinden yoksundur.
• Sürücü uyumsuzluğu: Modern NVMe denetleyicileri ve ağ adaptörleri dahil yeni donanımlar, güncellenmiş sürücü arayüzlerini ortaya koyan çekirdek sürümleri gerektirebilir.
• Eksik sistem çağrısı desteği: Konteynerleştirme çalışma zamanları (Docker, Podman, containerd) ve güvenlik çerçeveleri (eBPF, seccomp), belirli sürümlerde tanıtılan çekirdek özelliklerine bağlıdır.

Bir VPS Hosting ortamında, çekirdek aynı zamanda misafir işletim sisteminin hiper yöneticiyle ne kadar verimli etkileşime girdiğini de yönetir — bu, güncel virtio sürücüleri ve paravirtualizasyon desteğine sahip güncel bir çekirdeğin doğrudan daha düşük gecikme ve daha iyi G/Ç verimi anlamına geldiği anlamına gelir.

Başlamadan Önce: Güncelleme Öncesi Kontrol Listesi

Dağıtımdan bağımsız olarak, çekirdeğe dokunmadan önce şu adımları uygulayın:

1. Sisteminizin anlık görüntüsünü alın veya yedekleyin. Sağlayıcınız anlık görüntüleri destekliyorsa şimdi bir tane alın. Doğrudan donanımda, yedeğinizin güncel olduğundan emin olun.
2. Mevcut çekirdek sürümünüzü kontrol edin: uname -r
3. /boot’ta mevcut disk alanını doğrulayın: df -h /boot — dolu bir /boot bölümü, Debian tabanlı sistemlerde çekirdek kurulumlarını sessizce başarısız kılar.
4. Önyükleyicinizi doğrulayın: ls /boot | grep -E 'grub|efi' — GRUB2, systemd-boot veya eski GRUB kullanıp kullanmadığınızı bilmek, kurulum sonrası adımları değiştirir.
5. Tutulmuş veya sabitlenmiş paketleri kontrol edin: Debian/Ubuntu’da apt-mark showhold komutunu çalıştırın. RHEL/CentOS’ta exclude=kernel* için /etc/yum.conf‘i kontrol edin.
6. Konsol erişimini hazır bulundurun. Yeni çekirdek önyükleme yapamıyorsa SSH kullanılamaz olacaktır. Yeniden başlatmadan önce bant dışı erişiminizin (VNC, IPMI veya sağlayıcınızın acil konsolu) olduğundan emin olun.

Ubuntu ve Debian’da Çekirdeği Güncelleme

Ubuntu ve Debian, APT paket yöneticisini kullanır ve çekirdek görüntülerini linux-image-* adlandırma kuralı altında standart paketler olarak sunar. Çekirdek, modülleri ve initramfs’ın tamamı bu sistem aracılığıyla yönetilir; bu da güncellemeleri görece basit kılar — ancak önemli nüanslar vardır.

Adım 1: Paket Depolarını Senkronize Edin

sudo apt update

Bu, yerel paket dizinini yapılandırılmış tüm depolarla yeniler. Bu adımı atlamayın — önceden apt update yapılmadan apt upgrade çalıştırmak eski paket sürümlerini yükleyebilir.

Adım 2: Tam Sistem Yükseltmesi Uygulayın

sudo apt upgrade

Bu, yüklü paketleri yükseltir ancak mevcut paketlerin kaldırılmasını gerektiriyorsa yeni bir çekirdek yüklemez. Çekirdek geçişleri için (örn. 5.15’ten 6.1’e geçiş), şunu kullanın:

sudo apt full-upgrade

Eski dist-upgrade komutu işlevsel olarak full-upgrade ile eşdeğerdir ve kullanılabilir olmaya devam eder, ancak full-upgrade mevcut standart formdur.

Adım 3: Çekirdek Meta Paketini Yükleyin

sudo apt install linux-image-generic linux-headers-generic

Meta paket (linux-image-generic) her zaman mimariniz için önerilen en son çekirdeği takip eder. Açıkça yüklemek, paket yöneticisinin ilerleyen süreçte çekirdek güncellemeleri istediğinizi bilmesini sağlar. linux-headers-generic paketi, harici çekirdek modülleri derliyorsanız gereklidir (örn. ZFS veya özel GPU sürücüleri gibi DKMS tarafından yönetilen sürücüler).

Ubuntu sistemleri için, daha yeni çekirdekleri LTS sürümlerine geri taşıyan HWE (Donanım Etkinleştirme) çekirdeklerini de yükleyebilirsiniz:

sudo apt install linux-generic-hwe-22.04

Adım 4: Yeni Çekirdeğin Hazırlandığını Doğrulayın

dpkg --list | grep linux-image

ii durumunda (yüklü) listelenen yeni çekirdek sürümünü görmelisiniz. Eski çekirdek, yedek olarak yüklü kalır — bu kasıtlıdır.

Adım 5: Yeniden Başlatın ve Doğrulayın

sudo reboot

Yeniden bağlandıktan sonra:

uname -r

Çıktının yeni çekirdek sürümünü yansıttığını doğrulayın.

Debian/Ubuntu’da Eski Çekirdekleri Temizleme

Eski çekirdekler /boot‘de birikir ve disk alanı tüketir. Bunları güvenli bir şekilde kaldırın:

sudo apt autoremove --purge

APT, geçersiz kılınan çekirdek paketlerini otomatik olarak tanımlar ve kaldırır, ancak yalnızca şu anda çalışan çekirdek veya en son yedek değillerse.

Kritik tuzak: Şu anda çalışan çekirdek paketini asla manuel olarak kaldırmayın. Her zaman önce yeni çekirdeğe yeniden başlatın, ardından autoremove komutunu çalıştırın.

CentOS ve RHEL’de Çekirdeği Güncelleme

CentOS ve RHEL, RPM tabanlı paket yönetimini kullanır — yum (CentOS 7, RHEL 7) veya dnf (CentOS 8+, RHEL 8+, AlmaLinux, Rocky Linux). Çekirdek güncelleme süreci, Debian tabanlı sistemlerden önemli bir açıdan farklıdır: RPM sistemleri varsayılan olarak aynı anda birden fazla çekirdek sürümünü yüklü tutar; bu, /etc/yum.conf veya /etc/dnf/dnf.conf‘deki installonly_limit yönergesiyle kontrol edilir.

Adım 1: Çekirdek Dahil Tüm Paketleri Güncelleyin

# CentOS 7 / RHEL 7
sudo yum update

# CentOS 8+ / RHEL 8+ / AlmaLinux / Rocky Linux
sudo dnf update

Bu tek komut çoğu durumda çekirdek güncellemesini halleder. Debian’ın aksine, ayrı bir dist-upgrade eşdeğeri yoktur — yum update / dnf update çekirdek geçişleri için bağımlılık çözümlemesini otomatik olarak halleder.

Adım 2: Belirli Bir Çekirdek Sürümü Yükleyin (İsteğe Bağlı)

Mevcut en son sürüm yerine belirli bir çekirdek sürümüne ihtiyacınız varsa:

sudo yum install kernel-<version>
# Example:
sudo yum install kernel-5.14.0-284.30.1.el9_2

Adım 3: GRUB2 Yapılandırmasını Yeniden Oluşturun

RHEL/CentOS sistemlerinde, yeni çekirdek girişini dahil etmek için önyükleyici yapılandırmasının açıkça yeniden oluşturulması gerekir. Doğru komut, sisteminizin BIOS mu yoksa UEFI mi kullandığına bağlıdır:

BIOS tabanlı sistemler:

sudo grub2-mkconfig -o /boot/grub2/grub.cfg

UEFI tabanlı sistemler:

sudo grub2-mkconfig -o /boot/efi/EFI/redhat/grub.cfg
# or for CentOS/AlmaLinux/Rocky:
sudo grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg

Önemli: RHEL 8+ ve türevlerinde, grub2-mkconfig adımı genellikle grubby aracılığıyla kernel-core paket betikleri tarafından otomatik olarak gerçekleştirilir. Varsayılan önyükleme girişini şu şekilde doğrulayabilirsiniz:

sudo grubby --default-kernel

Varsayılan çekirdeği manuel olarak ayarlamak için:

sudo grubby --set-default /boot/vmlinuz-<new-version>

Adım 4: Yeniden Başlatın ve Doğrulayın

sudo reboot
uname -r

RHEL/CentOS’ta Çekirdek Saklama Yönetimi

Varsayılan olarak, /etc/dnf/dnf.conf‘deki installonly_limit=3 en son üç çekirdeği saklar. /boot‘deki disk alanı kısıtlıysa bu değeri ayarlayın:

sudo sed -i 's/installonly_limit=3/installonly_limit=2/' /etc/dnf/dnf.conf

Yüklü tüm çekirdekleri listelemek için:

rpm -q kernel

Arch Linux’ta Çekirdeği Güncelleme

Arch Linux, sürekli yayın modelini takip eder; bu, çekirdeğin yeni yukarı akış sürümleri yayınlandıkça sürekli güncellendiği anlamına gelir. Ayrık yayın sürümleri yoktur — sistem her zaman en son kararlı çekirdeğe doğru ilerler. Bu, Arch’ı en yeni çekirdek özelliklerine ihtiyaç duyan geliştiriciler için ideal kılar, ancak daha dikkatli bakım gerektirir.

Adım 1: Tam Sistem Senkronizasyonu ve Yükseltme

sudo pacman -Syu

-S bayrağı paketleri senkronize eder, -y veritabanını yeniler ve -u yüklü tüm paketleri yükseltir. Arch’ta, paketleri ayrı ayrı yükseltmek yerine her zaman tam sistem yükseltmesi yapmalısınız — kısmi yükseltmeler açıkça desteklenmez ve kütüphane bağımlılığı bozulmasına neden olabilir.

Adım 2: Çekirdek Paketini Yükleyin veya Yeniden Yükleyin

Çekirdek pacman -Syu tarafından güncellenmemişse (örn. çekirdek varyantlarını değiştiriyorsanız), açıkça yükleyin:

sudo pacman -S linux linux-headers

Arch Linux birden fazla resmi çekirdek varyantı sunar:

Sunucu ortamları için linux-lts genellikle tercih edilir — DKMS modülleri için kararlı bir ABI sağlar ve çekirdek güncellemelerinin gerektirdiği yeniden başlatma sıklığını azaltır.

Adım 3: initramfs’ı Yeniden Oluşturun

sudo mkinitcpio -p linux

Bu, /etc/mkinitcpio.d/linux.preset‘de tanımlanan ön ayarı kullanarak başlangıç RAM dosya sistemini yeniden oluşturur. initramfs, tam işletim sistemi devreye girmeden önce kök dosya sistemini bağlamak için gereken minimal ortamı içerir. Bir çekirdek güncellemesinden sonra bu adımı atlamak, kök dosya sistemi bir modül gerektiriyorsa (örn. ext4, btrfs veya dm-crypt aracılığıyla şifrelenmiş bir birim) önyükleme yapamayan bir sistemle sonuçlanabilir.

linux-lts yüklediyseniz, ilgili ön ayarı kullanın:

sudo mkinitcpio -p linux-lts

Adım 4: GRUB Önyükleyici Yapılandırmasını Güncelleyin

sudo grub-mkconfig -o /boot/grub/grub.cfg

Arch’ta komutun RHEL/CentOS’tan farklı olarak 2 soneki olmadan grub-mkconfig şeklinde olduğuna dikkat edin. GRUB yerine systemd-boot kullanıyorsanız (UEFI Arch kurulumlarında yaygındır), önyükleme girişini manuel olarak güncelleyin veya şunu çalıştırın:

sudo bootctl update

Adım 5: Yeniden Başlatın

sudo reboot
uname -r

Dağıtım Karşılaştırması: Çekirdek Güncelleme Mekanizmaları

Çekirdek Geri Alma: Yeni Bir Çekirdek Sisteminizi Bozduğunda Ne Yapmalısınız

Önyükleme hatalarına veya donanım uyumsuzluğuna neden olan bir çekirdek güncellemesi gerçek bir operasyonel risktir. İşte kurtarma prosedürü:

Adım 1: Önyüklemede GRUB menüsüne erişin. GRUB gizliyse (VPS ortamlarında yaygındır), önyükleme sırasında Shift (BIOS) veya Esc (UEFI) tuşuna basılı tutun veya art arda basın ya da güncellemeden önce /etc/default/grub‘deki GRUB_TIMEOUT‘i sıfır olmayan bir değere ayarlayın.

Adım 2: “Gelişmiş seçenekler”i seçin ve listeden önceki çekirdek sürümünü seçin.

Adım 3: Çalışan çekirdeğe önyükleme yaptıktan sonra şunlardan birini yapın:

• Çalışan çekirdeği kaldırılmasını önlemek için sabitleyin (Debian/Ubuntu: sudo apt-mark hold linux-image-<version>)
• Varsayılan önyükleme girişi olarak ayarlayın (RHEL: sudo grubby --set-default /boot/vmlinuz-<version>)
• Sorunlu çekirdeği kaldırın (Arch: sudo pacman -R linux ardından LTS varyantını yeniden yükleyin)

Adım 4: Güncellemeyi yeniden denemeden önce dağıtımınızın çekirdek ekibine bir hata raporu gönderin veya yukarı akış çekirdek hata izleyicilerini kontrol edin.

Konteynerleştirilmiş ve Sanallaştırılmış Ortamlarda Çekirdek Güncellemeleri

Bir VPS Hosting ortamında, çekirdek güncelleme sürecinin ek bir değerlendirmesi vardır: misafir çekirdeğini güncelliyorsunuz, ana hiper yönetici çekirdeğini değil. Bu standarttır ve beklenen bir durumdur — misafir işletim sistemi, paravirtualize edilmiş veya tam sanallaştırılmış bir bağlamda kendi çekirdeğini çalıştırır.

Ancak, konteyner tabanlı VPS platformlarında (OpenVZ, çekirdek ad alanlaması olmayan LXC), misafir ana çekirdeği paylaşabilir. Bu durumlarda, uname -r ana çekirdek sürümünü yansıtır ve konteyner içinde yeni bir çekirdek paketi yüklemeye çalışmak çalışan çekirdeği değiştirmez — ancak paketin kurulumu zararsızdır.

KVM tabanlı VPS altyapısında (modern sağlayıcılar için standart olan), tam çekirdek kontrolüne sahipsiniz. Güncellenmiş çekirdeğinizin yeniden başlatmadan sonra ağ ve depolama bağlantısını korumak için virtio sürücülerini — özellikle virtio_net, virtio_blk ve virtio_scsi — derlenmiş olarak veya modül olarak içerdiğinden emin olun.

Veritabanı sunucuları veya ML çıkarım ardışık düzenleri gibi maksimum ham G/Ç performansı gerektiren iş yükleri için, tam donanım kontrolüne ve hiper yönetici yükü olmayan bir Dedicated Servers ortamıyla çekirdek güncellemelerini eşleştirmeyi düşünün.

Gelişmiş: Ana Hat veya Özel Çekirdekler Yükleme

Dağıtımlarının kararlı çekirdeğine henüz geri taşınmamış çekirdek özelliklerine ihtiyaç duyan kullanıcılar için, ana hat çekirdekleri kaynaktan veya dağıtıma özgü araçlar aracılığıyla yüklenebilir.

Ubuntu Ana Hat Çekirdek Yükleyicisi:

# Using the mainline tool (third-party PPA)
sudo add-apt-repository ppa:cappelikan/ppa
sudo apt update
sudo apt install mainline
mainline install-latest

Kaynaktan derleme (tüm dağıtımlar):

# Download from kernel.org
wget https://cdn.kernel.org/pub/linux/kernel/v6.x/linux-6.x.y.tar.xz
tar -xf linux-6.x.y.tar.xz
cd linux-6.x.y
cp /boot/config-$(uname -r) .config
make olddefconfig
make -j$(nproc)
sudo make modules_install
sudo make install

Kaynaktan derleme, çekirdek yapılandırması üzerinde hassas kontrol sağlar — belirli alt sistemleri etkinleştirme veya devre dışı bırakma, özel yamalar uygulama veya deneysel özellikleri etkinleştirme. Bu, özellikle NVIDIA sürücü uyumluluğu veya IOMMU yapılandırması için özel çekirdek parametrelerinin gerekebileceği GPU Hosting iş yükleri için geçerlidir.

Çekirdek Güncellemelerini Güvenli Şekilde Otomatikleştirme

Gözetimsiz çekirdek güncellemeleri çift taraflı bir yetenektir. Bilinen CVE’lere maruz kalma penceresini azaltırlar, ancak bozuk bir çekirdek durumuna gözetimsiz yeniden başlatma riskini de beraberinde getirirler.

Ubuntu/Debian — unattended-upgrades:

sudo apt install unattended-upgrades
sudo dpkg-reconfigure unattended-upgrades

Çekirdek paketlerini dahil etmek veya hariç tutmak için /etc/apt/apt.conf.d/50unattended-upgrades‘yi düzenleyin:

Unattended-Upgrade::Package-Blacklist {
    // "linux-image";  // Uncomment to exclude kernel updates
};

RHEL/CentOS — dnf-automatic:

sudo dnf install dnf-automatic
sudo systemctl enable --now dnf-automatic.timer

Geri alma stratejinizi doğruladıktan sonra apply_updates = yes‘yi ayarlamak için /etc/dnf/automatic.conf‘yi yapılandırın.

Üretim için en iyi uygulama: Çekirdek güvenlik güncellemelerini otomatik olarak uygulayın, ancak yeniden başlatmaları needrestart veya kured (konteynerleştirilmiş iş yükleri için Kubernetes Yeniden Başlatma Daemon’u) gibi araçları kullanarak bir bakım penceresi aracılığıyla yönetin.

Karar Matrisi ve Temel Çıkarımlar

Her çekirdek güncellemesinden önce ve sonra bu kontrol listesini kullanın:

• Başlamadan önce anlık görüntü veya yedekleme tamamlandı
• Mevcut çekirdek sürümü belgelendi (uname -r)
• /boot bölümünde yeterli boş alan var (df -h /boot)
• Konsol/bant dışı erişim onaylandı ve test edildi
• Kurtarma önyüklemesine izin vermek için GRUB zaman aşımı sıfır olmayan bir değere ayarlandı
• Yeni çekirdek yüklendi ve paket yöneticisinde doğrulandı
• initramfs yeniden oluşturuldu (Arch’ta kritik; tüm dağıtımlarda doğrulayın)
• GRUB yapılandırması gerektiğinde yeniden oluşturuldu (RHEL, Arch)
• Sistem yeniden başlatıldı ve yeni çekirdek sürümü onaylandı (uname -r)
• Kararlılık onaylandıktan sonra eski çekirdek paketleri temizlendi
• Çekirdek sürümü değişiklik günlüğüne veya izleme sistemine belgelendi
• DKMS modülleri için (ZFS, özel sürücüler): modüller yeniden oluşturuldu ve doğrulandı

LTS çekirdekleri ile en son kararlı çekirdek arasında ne zaman hangisini kullanmalısınız:

• Üretim veritabanı sunucuları, web sunucuları, e-posta altyapısı: LTS çekirdeklerini kullanın. Kararlılık ve çekirdek modülleri için öngörülebilir bir ABI, en yeni özelliklere erişimin önüne geçer. Email Hosting veya Shared Web Hosting yığınları çalıştırıyorsanız, LTS doğru seçimdir.
• Geliştirme ortamları, GPU hesaplama düğümleri, uç ağ: Yeni eBPF özelliklerine, güncellenmiş zamanlayıcı algoritmalarına ve güncel donanım desteğine erişmek için en son kararlı çekirdeği kullanın.
• Güvenlik açısından kritik ortamlar: Yeniden başlatmadan CVE düzeltmeleri uygulamak için linux-hardened (Arch) veya çekirdek canlı yamalama ile RHEL’i (kpatch) düşünün.

SSL/TLS sonlandırma ve sertifika yönetiminin yığının bir parçası olduğu ortamlar için, çekirdek düzeyinde TLS (ktls) desteğinin — 4.13+ çekirdeklerinde mevcut — TLS kayıt şifrelemesini çekirdeğe yükleyerek CPU yükünü azaltabileceğini unutmayın. Eksiksiz bir güvenlik duruşu için bunu düzgün yönetilen SSL Certificates ile eşleştirin.

SSS

S: Çekirdeği güncellemek çalışan uygulamalarımı bozar mı?

C: Çekirdek güncellemesinin kendisi çalışan süreçleri etkilemez — yeniden başlatılana kadar eski çekirdeği kullanmaya devam ederler. Yeni çekirdeğe yeniden başlatıldıktan sonra, eski sürüme karşı derlenmiş çekirdek modüllerine bağımlı uygulamalar (örn. ZFS veya VirtualBox gibi DKMS modülleri) yüklenemeyebilir. Yeniden başlatmadan önce her zaman DKMS modül durumunu dkms status ile doğrulayın.

S: Yüklemeden önce hangi çekirdek sürümünün mevcut olduğunu nasıl kontrol edebilirim?

C: Debian/Ubuntu’da: apt-cache show linux-image-generic | grep Version. RHEL/CentOS’ta: dnf info kernel. Arch’ta: pacman -Si linux | grep Version. Bu, güncellemeyi onaylamadan önce değerlendirmenizi sağlar.

S: Konsol erişimi olmadan VPS’te çekirdeği güncelleyebilir miyim?

C: Teknik olarak evet, ancak bu kesinlikle tavsiye edilmez. Yeni çekirdek önyükleme yapamıyorsa, kurtarma yolu olmadan SSH erişimini kaybedersiniz. Çekirdek güncellemelerini uzaktan gerçekleştirmeden önce her zaman VPS sağlayıcınızın acil konsol (VNC veya seri) sunduğunu doğrulayın.

S: Çekirdek güncellemeleri için apt upgrade ile apt full-upgrade arasındaki fark nedir?

C: apt upgrade, yüklü herhangi bir paketi kaldırmayı gerektiriyorsa yeni bir çekirdek yüklemez. apt full-upgrade (eski adıyla dist-upgrade) gerektiğinde paket kaldırmaya izin vererek bu çakışmaları çözer — bu genellikle Debian/Ubuntu’da ana çekirdek sürümleri arasında geçiş yaparken gereklidir.

S: Belirli bir çekirdek sürümünün otomatik olarak güncellenmesini nasıl önleyebilirim?

C: Debian/Ubuntu’da sudo apt-mark hold linux-image-<version> kullanın. RHEL/CentOS’ta /etc/dnf/dnf.conf‘e exclude=kernel-<version> ekleyin veya python3-dnf-plugin-versionlock paketini yükledikten sonra dnf versionlock add kernel-<version> kullanın. Arch’ta, paketi /etc/pacman.conf‘deki IgnorePkg‘e ekleyin.