Kerneli värskenduste installimine Ubuntu ilma taaskäivitamata


Kui olete ettevõtte administraator, kes vastutab kriitiliste süsteemide hooldamise eest ettevõttekeskkondades, teate kindlasti kahte olulist asja:

1) Turvapaigutuste installimiseks seisakuakna leidmine tuuma või opsüsteemi haavatavuste käsitlemiseks võib olla keeruline. Kui ettevõttel või ettevõttel, kus te töötate, pole turvapoliitikat, võib operatsioonide juhtimine lõppkokkuvõttes eelistada tööaega haavatavuste lahendamise vajaduse asemel. Lisaks võib sisemine bürokraatia põhjustada viivitusi seisaku ajaks kinnituste andmisel. Olen ise seal olnud.

2) Mõnikord ei saa te seisakuid endale lubada ja peaksite olema valmis pahatahtlike rünnakute võimalikku kokkupuudet muul viisil leevendama.

Hea uudis on see, et Canonical on hiljuti välja andnud oma Livepatch-teenuse, et rakendada kriitilisi kernelipaike Ubuntu 14.04 LTS, 16.04 LTS, 18.04 LTS ja Ubuntu 20.04 LTS jaoks ilma hilisema taaskäivitamiseta. Jah, lugesite seda õigesti: Livepatchi abil pole turvapaikade jõustumiseks vaja Ubuntu serverit taaskäivitada.

Livepatchi registreerimine Ubuntu serveris

Canonical Livepatch Service'i kasutamiseks peate registreeruma aadressil https://auth.livepatch.canonical.com/ ja märkima, kas olete tavaline Ubuntu kasutaja või Advantage'i abonent (tasuline võimalus). Kõik Ubuntu kasutajad saavad lindi abil Livepatchiga linkida kuni 3 erinevat masinat:

Järgmises etapis palutakse teil sisestada oma Ubuntu One'i volitused või registreeruda uue konto saamiseks. Kui valite viimase, peate registreerimise lõpetamiseks kinnitama oma e-posti aadressi:

Kui klõpsate e-posti aadressi kinnitamiseks ülaloleval lingil, olete valmis naasma aadressile https://auth.livepatch.canonical.com/ ja hankima oma Livepatchi märgi.

Livepatch Tokeni hankimine ja kasutamine

Alustuseks kopeerige oma Ubuntu One'i kontole määratud unikaalne tunnus:

Seejärel minge terminali ja tippige:

$ sudo snap install canonical-livepatch

Ülaltoodud käsk installib livepatchi, kusjuures

$ sudo canonical-livepatch enable [YOUR TOKEN HERE]

see võimaldab seda teie süsteemil. Kui see viimane käsk näitab, et see ei leia kanoonilist livepatchi, veenduge, et teele oleks lisatud /snap/bin . Lahendus seisneb töökataloogi muutmises /snap/bin ja tegema.

$ sudo ./canonical-livepatch enable [YOUR TOKEN HERE]

Ületunnitöö korral peaksite kontrollima kernelile rakendatud plaastrite kirjeldust ja olekut. Õnneks on see sama lihtne kui teha.

$ sudo ./canonical-livepatch status --verbose

nagu näete järgmisel pildil:

Olles lubanud Livepatchi oma Ubuntu serveris, saate planeeritud ja planeerimata seisakuid minimaalselt vähendada, hoides samal ajal oma süsteemi turvalisena. Loodetavasti annab Canonicali algatus juhtkonnale pai või on veel parem - tõsta.

Andke meile julgelt teada, kui teil on selle artikli kohta küsimusi. Pange meile lihtsalt märkus, kasutades allolevat kommentaarivormi, ja võtame teiega ühendust niipea kui võimalik.