Masz ochotę na automatyczne stosowanie krytycznych poprawek jądra Linuksa w systemie Ubuntu – bez konieczności ponownego uruchamiania komputera? Opisujemy, jak w tym celu skorzystać z usługi Livepatch firmy Canonical.
Spis treści:
Co to jest Livepatch i jak działa?
Jako Dustin Kirkland z Canonical wyjaśniono kilka lat temu Canonical Livepatch używa rozszerzenia Kernel Live Patching technologia wbudowana w standardowe jądro Linuksa. Kanoniczne Witryna Livepatch zauważa, że używają go ogromne korporacje, takie jak AT&T, Cisco i Walmart.
Jest bezpłatny do użytku osobistego na maksymalnie trzech komputerach – według Kirklanda mogą to być „komputery stacjonarne, serwery, maszyny wirtualne lub instancje w chmurze”. Organizacje mogą go używać w większej liczbie systemów z płatnym Ubuntu Advantage Subskrypcja.
Poprawki jądra są konieczne, ale niewygodne
Łatki na jądro Linuksa są faktem. Utrzymywanie bezpieczeństwa systemu i aktualizowanie go na bieżąco ma kluczowe znaczenie w połączonym świecie, w którym żyjemy. Jednak konieczność ponownego uruchamiania komputera w celu zastosowania poprawek jądra może być uciążliwa. Zwłaszcza jeśli komputer świadczy jakąś usługę użytkownikom i musisz z nimi koordynować lub negocjować, aby usługa została wyłączona. Jest też mnożnik. Jeśli utrzymujesz kilka maszyn Ubuntu, w pewnym momencie musisz ugryźć kulę i zrobić każdą po kolei.
Usługa Canonical Livepatch usuwa wszelkie problemy związane z utrzymywaniem aktualności systemów Ubuntu za pomocą krytycznych poprawek jądra. Konfiguracja jest łatwa – graficznie lub z poziomu wiersza poleceń – i zdejmuje z Twoich ramion jeszcze jeden obowiązek.
Wszystko, co zmniejsza nakłady na konserwację, zwiększa bezpieczeństwo i skraca przestoje, musi być atrakcyjną propozycją, prawda? Tak, ale są pewne zastrzeżenia.
Musisz używać długoterminowa pomoc (LTS) wydania Ubuntu, takie jak 16.04 lub 18.04. Najnowsza wersja LTS to 18.04, więc to jest wersja, której będziemy tutaj używać.
Musi to być wersja 64-bitowa.
Musisz mieć jądro Linuksa 4.4 lub nowsze
Musisz mieć konto Ubuntu One. Zapamiętaj ich? Jeśli nie masz konta Ubuntu One, możesz założyć darmowe konto.
Możesz bezpłatnie korzystać z usługi Canonical Livepatch, ale masz ograniczenie do trzech komputerów na konto Ubuntu One. Jeśli musisz utrzymywać więcej niż trzy komputery, będziesz potrzebować dodatkowych kont Ubuntu One.
Jeśli masz serwery fizyczne, wirtualne lub hostowane w chmurze, którymi chcesz się opiekować, musisz zostać Ubuntu Advantage klient.
Uzyskanie konta Ubuntu One
Niezależnie od tego, czy zamierzasz skonfigurować usługę Livepatch za pośrednictwem Graficzny interfejs użytkownika (GUI) lub za pośrednictwem interfejsu wiersza poleceń (CLI), musisz mieć konto Ubuntu One. Jest to wymagane, ponieważ działanie usługi Livepatch zależy od klucza prywatnego, który został wydany Tobie i powiązany z Twoim kontem Ubuntu One.
Jeśli skonfigurujesz usługę Livepatch za pomocą GUI, nie zobaczysz swojego klucza. Nadal jest wymagane i używane, ale wszystko jest obsługiwane w tle.
Jeśli skonfigurujesz usługę Livepatch za pośrednictwem terminala, musisz skopiować i wkleić klucz z przeglądarki do wiersza poleceń.
Jeśli nie masz konta Ubuntu One, możesz go stworzyć bez kosztów.
Graficzne włączanie usługi Canonical Livepatch
Aby uruchomić graficzny interfejs konfiguracji, naciśnij klawisz „Super”. Znajduje się pomiędzy klawiszami „Control” i „Alt” w lewym dolnym rogu większości klawiatur. Wyszukaj „livepatch”.
Gdy zobaczysz ikonę Livepatch, kliknij ją lub naciśnij „Enter”.
Pojawi się okno dialogowe „Oprogramowanie i aktualizacje” z wybraną zakładką Livepatch. Kliknij przycisk „Zaloguj się”. Przypomina Ci się, że potrzebujesz konta Ubuntu One.
Kliknij przycisk „Zaloguj się / Zarejestruj”.
Zostanie wyświetlone okno dialogowe Konto jednokrotnego logowania Ubuntu. Firma Canonical używa zamiennie terminów „Ubuntu One” i „Single Sign-On”. Mają na myśli to samo. Oficjalnie „Single Sign-On” zostało zastąpione przez „Ubuntu One”, ale stara nazwa pozostaje.
Wprowadź dane swojego konta i kliknij przycisk „Połącz”. Możesz również użyć tego okna dialogowego, aby zarejestrować konto, jeśli jeszcze go nie utworzyłeś.
Zostaniesz poproszony o podanie hasła.
Wprowadź swoje hasło i kliknij przycisk „Uwierzytelnij”. Okno dialogowe pokazuje adres e-mail powiązany z kontem Ubuntu One, którego będziesz używać.
Upewnij się, że jest poprawny i kliknij przycisk „Kontynuuj”.
Ponownie zostaniesz poproszony o podanie hasła. Po kilku sekundach karta Livepatch w oknie dialogowym „Oprogramowanie i aktualizacje” zostanie zaktualizowana, aby pokazać, że usługa Livepatch jest aktywna i aktywna.
Nowa ikona tarczy pojawi się w obszarze powiadomień narzędzia, blisko ikon sieci, dźwięku i zasilania. Zielone kółko z haczykiem oznacza, że wszystko jest w porządku. Kliknij ikonę, aby uzyskać dostęp do menu.
Powiedziano nam, że Livepatch jest włączony i nie ma aktualnych aktualizacji.
Opcja „Ustawienia Livepatch” otworzy okno dialogowe „Oprogramowanie i aktualizacje” na karcie Livepatch.
Otóż to; wszystko gotowe.
Włączanie usługi Canonical Livepatch za pomocą interfejsu CLI
Będziesz potrzebować Konto Ubuntu One. Jeśli go nie masz, będziesz mieć możliwość jego utworzenia. Są darmowe i zajmuje to tylko chwilę.
Niektóre kroki, które musimy wykonać, są oparte na sieci Web, więc nie jest to prawdziwa metoda oparta tylko na CLI. Zaczynamy od odwiedzenia Strona internetowa usługi Canonical Livepatch w celu uzyskania naszego tajnego klucza lub „tokena”.
Wybierz przycisk „Ubuntu User” i kliknij przycisk „Get Your Livepatch Token”.
Pojawi się monit o zalogowanie się na konto Ubuntu One.
Jeśli masz konto, wprowadź adres e-mail użyty do założenia konta i zaznacz przycisk opcji „Mam konto Ubuntu One, a moje hasło to:”.
Jeśli nie masz konta, wprowadź swój adres e-mail i wybierz opcję „Nie mam konta Ubuntu One”. Zostaniesz poprowadzony przez proces tworzenia konta.
Po zweryfikowaniu konta Ubuntu One zobaczysz stronę internetową Zarządzane aktualizowanie jądra na żywo. Twój klucz zostanie wyświetlony.
Pozostaw otwartą stronę internetową z kluczem i otwórz okno terminala. Użyj tego polecenia w oknie terminala, aby zainstalować demona usługi Livepatch:
sudo snap install canonical-livepatch
Po zakończeniu instalacji musisz włączyć usługę. Będziesz potrzebować klucza ze strony internetowej „Zarządzane aktualizowanie jądra na żywo”.
Musisz skopiować i wkleić klucz do wiersza poleceń. Podświetl klawisz na stronie internetowej, kliknij go prawym przyciskiem myszy i wybierz „Kopiuj” z menu kontekstowego. Możesz też zaznaczyć klawisz i nacisnąć „Ctrl + C”.
Wpisz następujące polecenie w oknie terminala, ale nie naciskaj „Enter”.
sudo canonical-livepatch enable
Następnie wpisz spację, kliknij prawym przyciskiem myszy i wybierz „Wklej” z menu kontekstowego. Możesz też nacisnąć „Ctrl + Shift + V”. Powinieneś zobaczyć wpisane polecenie, spację i klucz ze strony internetowej.
Na maszynie testowej używanej do badania tego artykułu wyglądało to tak:
Naciśnij enter.”
Jeśli wszystko pójdzie dobrze, zobaczysz komunikat weryfikacyjny z Livepatch informujący, że komputer został włączony do łatania jądra. Pokaże się również inny długi klucz; to jest „token maszyny”.
Oto co się właśnie wydarzyło:
Klucz Livepatch uzyskałeś od firmy Canonical.
Możesz go używać na trzech komputerach. Używałeś go do tej pory na jednym komputerze.
Token maszyny, który został wygenerowany dla tego komputera – przy użyciu Twojego klucza – jest tokenem maszyny wyświetlanym w tym komunikacie.
Jeśli zaznaczysz kartę Livepatch w oknie dialogowym „Oprogramowanie i aktualizacje”, zobaczysz, że usługa Livepatch jest włączona i aktywna.
Sprawdzanie stanu Livepatch
Możesz sprawić, by Livepatch wyświetlał raport o stanie za pomocą następującego polecenia:
sudo canonical-livepatch status
Raport o stanie zawiera:
wersja-klienta: wersja oprogramowania Livepatch.
architektura: architektura procesora komputera.
cpu-model: typ i model Jednostka centralna (CPU) w komputerze.
ostatnie sprawdzenie: godzina i data ostatniego sprawdzenia przez Livepatch, czy są dostępne do pobrania jakieś krytyczne aktualizacje jądra.
boot-time: czas ostatniego włączenia tego komputera.
uptime: czas, przez jaki komputer był włączony.
Blok statusu informuje nas:
kernel: wersja bieżącego jądra.
działa: czy usługa Livepatch jest uruchomiona, czy nie.
checkstate: czy Livepatch sprawdził dostępność poprawek jądra.
patchState: czy są jakieś krytyczne łaty jądra, które wymagają zainstalowania.
wersja: wersja poprawek jądra, jeśli takie istnieją, które należy zastosować.
poprawki: Poprawki zawarte w łatkach jądra.
Wymuszanie aktualizacji Livepatch teraz
Celem Livepatch jest zapewnienie zarządzanej usługi aktualizacji, co oznacza, że nie musisz o tym myśleć. To wszystko dla ciebie zrobione. Ale jeśli chcesz, możesz zmusić Livepatch do sprawdzania poprawek jądra (i stosowania wszelkich znalezionych) za pomocą następującego polecenia:
sudo canonical-livepatch refresh
Livepatch informuje o wersji jądra przed i po odświeżeniu. W tym przykładzie nie było nic do zastosowania.
Mniejsze tarcie, większe bezpieczeństwo
Tarcie związane z bezpieczeństwem to ból lub niedogodność związana z wdrażaniem, używaniem lub utrzymywaniem funkcji zabezpieczeń. Jeśli tarcie jest zbyt duże, bezpieczeństwo ucierpi, ponieważ funkcja nie jest używana ani utrzymywana. Livepatch eliminuje wszelkie tarcia związane z wprowadzaniem krytycznych aktualizacji jądra, zapewniając maksymalne bezpieczeństwo jądra.
To od dawna jak „wygrać, wygrać”.