In questo tutorial impareremo come applicare patch al kernel Linux su Ubuntu senza riavviare utilizzando il servizio Canonical Livepatch, che utilizza la tecnologia upstream Linux Kernel Live Patching per applicare patch critiche del kernel senza riavviare.
Questo sarà utile per il tempo di attività del tuo sito web. Uso questa funzione per il server che gestisce questo blog. Il servizio livepatch consente al tuo server di rimanere attivo e al sicuro, così puoi riavviare il server in un secondo momento. Per gli altri miei server come il server di posta che non richiede tempi di attività elevati, configuro semplicemente aggiornamenti di sicurezza non presidiati, che possono indicare al mio server di riavviarsi automaticamente alle 4 del mattino se viene installato un nuovo kernel.
Il servizio Canonical livepatch è gratuito per un massimo di 3 macchine (laptop, server o cloud). Per utilizzare questo servizio, il tuo sistema deve essere un sistema operativo Ubuntu a 64 bit con kernel Linux 4.4+.
Suggerimento :gli aggiornamenti di sicurezza Livepatch non sono disponibili per Ubuntu 20.10.
Applicazione di patch al kernel Linux senza riavvio utilizzando il servizio Canonical Livepatch
Innanzitutto, vai alla pagina del servizio Canonical Livepatch. Seleziona Utente Ubuntu se vuoi utilizzare il servizio senza pagare fino a 3 macchine. Se sei un cliente UA, seleziona Cliente Ubuntu Advantage . E fai clic su Ottieni il tuo token Livepatch .
Devi accedere con il tuo account Ubuntu One che è totalmente gratuito. Una volta effettuato l'accesso, riceverai una chiave segreta per il tuo account.
Quindi assicurati di avere il demone snap installato sul tuo sistema Ubuntu.
sudo apt update sudo apt install snapd
Quindi, installa il canonical-livepatch demone.
sudo snap install canonical-livepatch
Abilita il servizio con il seguente comando.
sudo canonical-livepatch enable your-secret-key
Esempio di output:
Successfully enabled device. Using machine-token: 2ca4f0662793daje0393jdaf39332d
Puoi controllare lo stato delle patch in tempo reale in qualsiasi momento con:
canonical-livepatch status --verbose
I possibili stati delle patch sono:
nothing-to-apply:nessuna vulnerabilità trovata.applied:rilevata una vulnerabilità e applicata la patchkernel-upgrade-required:Livepatch non può installare una patch per correggere la vulnerabilità sul kernel attualmente in esecuzione.
Puoi anche eseguire manualmente il patcher:
sudo canonical-livepatch refresh
Tieni presente che l'applicazione di patch al kernel è diversa dall'aggiornamento del kernel all'ultima versione.
- Patch del kernel live:corregge le vulnerabilità nel kernel Linux attualmente in esecuzione.
- Aggiorna kernel:aggiorna a un kernel più recente. Richiede il riavvio per utilizzare le nuove funzionalità nel nuovo kernel.
Il nuovo metodo per patchare il kernel Linux su Ubuntu
Il metodo sopra funziona ancora, ma Ubuntu sta passando a un nuovo metodo, che offre i seguenti vantaggi:
SERVICE ENTITLED DESCRIPTION cis yes Center for Internet Security Audit Tools esm-infra yes UA Infra: Extended Security Maintenance (ESM) fips yes NIST-certified core packages fips-updates yes NIST-certified core packages with priority security updates livepatch yes Canonical Livepatch service
Innanzitutto, devi creare un account Ubuntu Advantage. (Ha un livello gratuito:UA Infra Essential). Quindi collega il tuo server Ubuntu al tuo account Ubuntu.
sudo ua attach your-token
Installa il livepatch demone.
sudo snap install canonical-livepatch
Abilita livepatch sul tuo sistema.
sudo ua enable livepatch
Controlla il tuo stato:
sudo ua status