Kako namestiti posodobitve jedra na Ubuntu brez ponovnega zagona

Če ste skrbnik sistema, zadolžen za vzdrževanje kritičnih sistemov v okoljih podjetja, smo prepričani, da poznate dve pomembni stvari:

1) Iskanje okna izpada za namestitev varnostnih popravkov za obvladovanje ranljivosti jedra ali operacijskega sistema je lahko težavno. Če podjetje ali podjetje, v katerem delate, nima vzpostavljenih varnostnih politik, lahko upravljanje operacij na koncu daje prednost neprekinjenemu delovanju kot potrebi po odpravljanju ranljivosti. Poleg tega lahko notranja birokracija povzroči zamude pri izdaji odobritev za čas izpada. Bil sem tudi sam.

2) Včasih si resnično ne morete privoščiti izpada in bi morali biti pripravljeni na kakršen koli drug način omiliti morebitno izpostavljenost zlonamernim napadom.

Dobra novica je, da je Canonical nedavno izdal svojo storitev Livepatch za uporabo kritičnih popravkov jedra na Ubuntu 14.04 LTS, 16.04 LTS, 18.04 LTS in Ubuntu 20.04 LTS brez potrebe po poznejšem ponovnem zagonu. Da, prav ste prebrali: z Livepatchom vam ni treba znova zagnati strežnika Ubuntu, da bodo varnostni popravki začeli veljati.

Prijava Livepatch na strežniku Ubuntu

Če želite uporabljati Canonical Livepatch Service, se morate prijaviti na https://auth.livepatch.canonical.com/ in navesti, ali ste redni uporabnik Ubuntuja ali naročnik Advantage (plačljiva možnost). Vsi uporabniki Ubuntuja lahko z uporabo žetona na Livepatch povežejo do 3 različne stroje:

V naslednjem koraku boste pozvani, da vnesete svoje poverilnice Ubuntu One ali se prijavite za nov račun. Če izberete slednjega, boste morali potrditi svoj e-poštni naslov, da dokončate registracijo:

Ko kliknete zgornjo povezavo, da potrdite svoj e-poštni naslov, se boste lahko vrnili na https://auth.livepatch.canonical.com/ in dobili svoj žeton Livepatch.

Pridobivanje in uporaba žetona Livepatch

Za začetek kopirajte edinstveni žeton, dodeljen vašemu računu Ubuntu One:

Nato pojdite na terminal in vnesite:

$ sudo snap install canonical-livepatch

Zgornji ukaz bo namestil livepatch, medtem ko

$ sudo canonical-livepatch enable [YOUR TOKEN HERE]

to bo omogočilo za vaš sistem. Če ta zadnji ukaz nakazuje, da ne more najti kanoničnega prenosa v živo, preverite, ali je bila na vašo pot dodana /snap/bin . Rešitev je sestavljena iz spremembe delovnega imenika v /snap/bin in do.

$ sudo ./canonical-livepatch enable [YOUR TOKEN HERE]

Nadurno boste želeli preveriti opis in stanje popravkov, uporabljenih za vaše jedro. Na srečo je to enostavno.

$ sudo ./canonical-livepatch status --verbose

kot lahko vidite na naslednji sliki:

Ko ste omogočili Livepatch na svojem strežniku Ubuntu, boste lahko zmanjšali načrtovane in nenačrtovane izpade, hkrati pa ohranili svoj sistem varen. Upajmo, da vam bo pobuda Canonical prisodila trepljanje po rami s strani vodstva - ali še bolje, povišico.

Če imate kakršna koli vprašanja o tem članku, nam lahko sporočite. Preprosto nam pošljite opombo s spodnjim obrazcem za komentar in odgovorili vam bomo v najkrajšem možnem času.