En este tutorial, vamos a aprender cómo parchear el kernel de Linux en Ubuntu sin reiniciar usando el servicio Canonical Livepatch, que utiliza la tecnología Linux Kernel Live Patching para aplicar parches críticos del kernel sin reiniciar.
Esto será útil para el tiempo de actividad de su sitio web. Uso esta función para el servidor que ejecuta este blog. El servicio livepatch permite que su servidor permanezca activo y seguro, por lo que puede reiniciar su servidor en otro momento. Para mis otros servidores, como el servidor de correo que no requiere mucho tiempo de actividad, simplemente configuro actualizaciones de seguridad desatendidas, que pueden indicarle a mi servidor que se reinicie automáticamente a las 4 a.m. si se instala un nuevo kernel.
El servicio Livepatch de Canonical es gratuito para hasta 3 máquinas (portátil, servidor o nube). Para utilizar este servicio, su sistema debe ser un sistema operativo Ubuntu de 64 bits con Linux kernel 4.4+.
Sugerencia :Las actualizaciones de seguridad Livepatch no están disponibles para Ubuntu 20.10.
Aplicación de parches al kernel de Linux sin reiniciar mediante el servicio Canonical Livepatch
Primero, vaya a la página del servicio Canonical Livepatch. Seleccione usuario de Ubuntu si desea utilizar el servicio sin pagar hasta 3 máquinas. Si es cliente de UA, seleccione cliente de Ubuntu Advantage . Y haz clic en Obtén tu token de Livepatch .
Debe iniciar sesión con su cuenta de Ubuntu One, que es totalmente gratuita. Una vez que haya iniciado sesión, obtendrá una clave secreta para su cuenta.
Luego, asegúrese de tener instalado el demonio de complemento en su sistema Ubuntu.
sudo apt update sudo apt install snapd
A continuación, instale el canonical-livepatch demonio.
sudo snap install canonical-livepatch
Habilite el servicio con el siguiente comando.
sudo canonical-livepatch enable your-secret-key
Salida de muestra:
Successfully enabled device. Using machine-token: 2ca4f0662793daje0393jdaf39332d
Puede verificar el estado del parche en vivo en cualquier momento con:
canonical-livepatch status --verbose
Los posibles estados del parche son:
nothing-to-apply:No se encontró ninguna vulnerabilidad.applied:Vulnerabilidad encontrada y parche aplicadokernel-upgrade-required:Livepatch no puede instalar un parche para corregir la vulnerabilidad en el kernel en ejecución actual.
También puede ejecutar el parche manualmente:
sudo canonical-livepatch refresh
Tenga en cuenta que parchear el kernel es diferente de actualizar el kernel a la última versión.
- Parche de kernel en vivo:corrige vulnerabilidades en el kernel de Linux que se está ejecutando actualmente.
- Actualizar kernel:actualice a un kernel más nuevo. Requiere reiniciar para usar las nuevas funciones en el nuevo kernel.
El nuevo método para parchear el kernel de Linux en Ubuntu
El método anterior todavía funciona, pero Ubuntu está haciendo la transición a un nuevo método, que le brinda los siguientes beneficios:
SERVICE ENTITLED DESCRIPTION cis yes Center for Internet Security Audit Tools esm-infra yes UA Infra: Extended Security Maintenance (ESM) fips yes NIST-certified core packages fips-updates yes NIST-certified core packages with priority security updates livepatch yes Canonical Livepatch service
Primero, debe crear una cuenta de Ubuntu Advantage. (Tiene un nivel gratuito:UA Infra Essential). Luego adjunte su servidor Ubuntu a su cuenta Ubuntu.
sudo ua attach your-token
Instala el livepatch demonio.
sudo snap install canonical-livepatch
Habilite livepatch en su sistema.
sudo ua enable livepatch
Consulta tu estado:
sudo ua status