В данном уроке мы рассмотрим, как обновить ядро Linux на Ubuntu без необходимости перезагрузки системы, применяя сервис Livepatch от Canonical, который использует технологию живого патчинга для внедрения важных обновлений ядра без перезапуска.
Это поможет обеспечить непрерывную работу вашего сайта. Я применяю эту функцию на сервере, который поддерживает этот блог. Служба livepatch позволяет вашему серверу оставаться активным и защищенным, что дает возможность перезагрузить его позже. Для моих других серверов, таких как почтовый, где высокая доступность не критична, я просто настраиваю автоматические обновления безопасности. Они позволяют серверу автоматически перезагружаться в 4 часа утра, если обновлено ядро.
Служба livepatch от Canonical доступна бесплатно для трёх устройств, включая ноутбуки, серверы и облачные решения. Для её использования необходимо, чтобы ваша система была 64-битной версией Ubuntu с ядром Linux 4.4 или новее.
Рекомендация: Обновления безопасности livepatch не поддерживаются для Ubuntu 20.10.
Содержание статьи
Обновление ядра Linux без необходимости перезагрузки с использованием сервиса Livepatch от Canonical.
Сначала зайдите на веб-страницу службы Livepatch от Canonical. Если вы хотите бесплатно использовать эту услугу на трех устройствах, выберите пользователя Ubuntu. Если вы являетесь клиентом UA, выберите вариант Ubuntu Advantage. Затем нажмите на кнопку для получения вашего токена Livepatch.
Чтобы воспользоваться своей учетной записью Ubuntu One, необходимо авторизоваться. Регистрация абсолютно бесплатна, и после входа вы получите уникальный секретный ключ для доступа к вашей учетной записи.
Проверьте, установлен ли демон snap в вашей системе Ubuntu.
sudo apt update sudo apt install snapd
Затем необходимо установить демон canonical-livepatch.
sudo snap install canonical-livepatch
Активируйте сервис, используя следующую команду.
sudo canonical-livepatch enable ваш-секретный-ключ
Успешно включено устройство. Используя токен машины: 2ca4f0662793daje0393jdaf39332d
Вы можете в любой момент узнать статус текущего патча, воспользовавшись:
canonical-livepatch status --verbose
Потенциальные статусы патча:
- Уязвимость отсутствует.
- Уязвимость обнаружена, и исправление внедрено.
- Требуется обновление ядра: Livepatch не в состоянии применить патч для устранения уязвимости в активном ядре.
Вы можете также запустить патчер вручную.
sudo canonical-livepatch refresh
Имейте в виду, что патчинг ядра не является тем же самым, что и обновление его до самой новой версии.
- Живой патч для ядра: устраняет уязвимости в активно работающем ядре Linux.
- Обновление ядра: переход на актуальную версию ядра. Для активации новых функций потребуется перезагрузка.
Новый способ обновления ядра Linux на Ubuntu.
Представленный ранее способ продолжает действовать, однако Ubuntu начинает внедрять новый подход, который предлагает следующие преимущества:
SERVICE ENTITLED DESCRIPTION cis даЦентр проверки безопасности интернет-ресурсов esm-infra.даUA Infra: Улучшенное обеспечение безопасности (ESM) с поддержкой FIPS.даСертифицированные основные пакеты NIST для обновлений FIPS.даСертифицированные основные пакеты NIST с актуальными обновлениями безопасности livepatch.да Служба Canonical Livepatch
Для начала необходимо зарегистрироваться в Ubuntu Advantage. У них есть бесплатный тарифный план под названием UA Infra Essential. После этого свяжите ваш сервер Ubuntu с созданной учетной записью.
sudo ua attach ваш-токен
Установите службу livepatch.
sudo snap install canonical-livepatch
Активируйте livepatch в вашей системе.
sudo ua enable livepatch
Убедитесь в своем текущем положении:
sudo ua status
Заключение
Надеюсь, этот гид был полезен для вас в использовании сервиса Canonical Live Patch, который позволяет обновлять системы Ubuntu LTS с самыми серьезными и критическими уязвимостями безопасности без необходимости перезагрузки. Подписывайтесь на нашу бесплатную рассылку, чтобы быть в курсе последних учебных материалов по Linux. Также вы можете следить за нами в Twitter или поставить лайк нашей странице на Facebook.