L'applicazione degli aggiornamenti di sicurezza al kernel Linux è un processo semplice che può essere eseguito utilizzando strumenti come apt , yum o kexec . Tuttavia, quando si gestiscono centinaia o migliaia di server che eseguono diverse distribuzioni Linux da applicare alle patch, questo metodo può essere impegnativo e richiedere molto tempo.
L'aggiornamento manuale del kernel richiede il riavvio del sistema. Ciò si traduce in tempi di inattività, che possono essere problematici, quindi i riavvii sono generalmente programmati in modo che avvengano a intervalli di tempo specifici. Poiché l'applicazione manuale delle patch viene eseguita durante questi cicli, fornisce agli hacker una "finestra di tempo" in cui possono attaccare l'infrastruttura del server.
Per le organizzazioni che eseguono più di pochi server, l'applicazione di patch in tempo reale è un'opzione migliore. È un modo automatizzato per correggere un kernel Linux mentre il server è in esecuzione, il che gli consente di essere sia più efficiente che più sicuro rispetto ai metodi manuali.
Questo articolo spiega come configurare gli aggiornamenti automatici del kernel senza riavvio utilizzando le soluzioni di patch live di Canonical e CloudLinux.
Patch live canonico #
Canonical Livepatch è un servizio che corregge il kernel in esecuzione senza dover riavviare il sistema Ubuntu. Il servizio Livepatch è gratuito, fino a tre sistemi Ubuntu. Per utilizzare questo servizio su più di tre computer, dovrai abbonarti al programma Ubuntu Advantage.
Prima di installare il servizio, devi ottenere un token livepatch dal sito del servizio Livepatch.
Una volta ottenuto il token, installa e abilita il servizio eseguendo i seguenti due comandi:
sudo snap install canonical-livepatchsudo canonical-livepatch enable <your-key>
Per controllare lo stato del servizio, esegui:
sudo canonical-livepatch status --verboseSuccessivamente, se desideri annullare la registrazione di una macchina, utilizza questo comando:
sudo canonical-livepatch disable <your-key>Le stesse istruzioni si applicano a Ubuntu 20.04 e Ubuntu 18.04.
KernelCare #
KernelCare è un'ottima opzione per i provider di hosting e le aziende.
KernelCare funziona su Ubuntu, CentOS, Debian e altre versioni popolari di Linux. Controlla le versioni delle patch ogni 4 ore e le installa automaticamente. Le patch possono essere ripristinate. KernelCare è gratuito per le organizzazioni senza scopo di lucro.
Per installare KernelCare, eseguire lo script di installazione:
wget -qq -O - https://kernelcare.com/installer | bashSe si utilizza una licenza basata su IP, non è necessario fare altro. In caso contrario, se stai utilizzando una licenza basata su chiave, esegui il comando seguente per registrare il servizio:
/usr/bin/kcarectl --register <your-key>
Dove <your-key> è la stringa del codice chiave di registrazione fornita al momento dell'iscrizione alla prova o all'acquisto del prodotto. Puoi ottenerlo su questa pagina.
Di seguito sono riportati alcuni utili comandi KernelCare:
-
Per verificare se il kernel in esecuzione è supportato da KernelCare:
curl -s -L https://kernelcare.com/checker | python -
Per annullare la registrazione di un server:
sudo kcarectl --unregister -
Per verificare lo stato del servizio:
sudo kcarectl --info -
Il software verificherà automaticamente la presenza di nuove patch ogni 4 ore. Per aggiornare manualmente, esegui:
/usr/bin/kcarectl --update
Conclusione #
La tecnologia Live Patching ti consente di applicare patch al kernel Linux senza riavviare.
Se hai domande o feedback, sentiti libero di lasciare un commento.