現象
Linux EC2でkernelのセキュリティアップデートを適用したにもかかわらず、Inspectorが相変わらず古いkernelの脆弱性を検出する。
何ヶ月か運用していくと、ある程度古いkernelの脆弱性は検出されなくなるんだけど、さっき適用したkernelアップデートで解消するはずの脆弱性は引き続き検出されて「?」な事態に。
原因
Inspectorは実行中のkernelのバージョンではなく、サーバにインストールされているすべてのkernelのバージョンについて脆弱性の有無をチェックしている。
通常、kernelのバージョンアップを実行しても古いバージョンのkernelはすぐには削除されず、サーバ上に何世代かはバックアップされている。
CentOSなら /etc/yum.conf に世代数が設定されている。
参考 https://qiita.com/testnin2/items/2946cc6bc54b0de96221