Как я могу отслеживать проблемы безопасности с работающим ядром при паравиртуализации?

У меня есть куча клиентских виртуальных машин, запущенных различными провайдерами, которые используют паравиртуализацию Xen. Почти все это системы на основе Debian или Debian.

Я довольно сильно полагаюсь на APT, чтобы отслеживать, что нужно делать обновлениям безопасности, но в паравиртуализированной системе фактически запущенное ядро ​​обычно не является тем, которое устанавливает APT, даже после перезагрузки. На самом деле обновление ядра обычно связано с работой с панелью управления или API. К сожалению, поставщики не очень хорошо информируют меня, когда я использую старое ядро.

Есть ли инструмент, который я могу использовать в VPS, чтобы отслеживать, какая версия ядра на самом деле запущена (например, uname -a), и какой-нибудь сетевой источник информации о безопасности, и сообщить мне, когда возникнет проблема безопасности, которую мне нужно решить?

Я не совсем уверен, как это должно работать, учитывая, что огромная часть проблем безопасности ядра, как правило, связана с драйверами, многие из которых не могут быть применимы, но, возможно, кто-то придумал, чтобы придумать хорошую стратегию?