Kunne du tænke dig at få kritiske Linux-kernepatches automatisk anvendt på dit Ubuntu-system – uden at skulle genstarte din computer? Vi beskriver, hvordan du bruger Canonicals Livepatch Service til netop det.
Indholdsfortegnelse
Hvad er Livepatch, og hvordan virker det?
Som Canonicals Dustin Kirkland forklaret for flere år siden bruger Canonical Livepatch Kernel Live Patching teknologi indbygget i standard Linux-kernen. Canonicals Livepatch hjemmeside bemærker, at store virksomheder som AT&T, Cisco og Walmart bruger det.
Det er gratis til personlig brug på op til tre computere – ifølge Kirkland kan disse være “desktops, servere, virtuelle maskiner eller cloud-instanser.” Organisationer kan bruge det på flere systemer med en betalt Ubuntu fordel abonnement.
Kernelpatches er nødvendige, men ubelejlige
Linux-kernepatches er et faktum. Det er vigtigt at holde dit system sikkert og opdateret i den indbyrdes forbundne verden, vi lever i. Men det kan være en smerte at skulle genstarte din computer for at anvende kernerettelser. Især hvis computeren leverer en form for service til brugerne, og du skal koordinere eller forhandle med dem for at tage tjenesten off-line. Og der er en multiplikator. Hvis du vedligeholder flere Ubuntu-maskiner, skal du på et tidspunkt bide i spidsen og gøre hver enkelt efter tur.
Canonical Livepatch Service fjerner al forværringen af at holde dine Ubuntu-systemer opdateret med kritiske kernerettelser. Det er nemt at sætte op – enten grafisk eller fra kommandolinjen – og det tager endnu en opgave fra dine skuldre.
Alt, der reducerer vedligeholdelsesindsatsen, øger sikkerheden og reducerer nedetiden, skal være et attraktivt forslag, ikke? Ja, men der er nogle forbehold.
Du skal bruge en Langsigtet support (LTS) udgivelse af Ubuntu såsom 16.04 eller 18.04. Den seneste LTS-version er 18.04, så det er den version, vi skal bruge her.
Det skal være en 64-bit version.
Du skal køre Linux Kernel 4.4 eller nyere
Du skal have en Ubuntu One-konto. Husk dem? Hvis du ikke har en Ubuntu One-konto, kan du tilmelde dig en gratis konto.
Du kan bruge Canonical Livepatch Service uden omkostninger, men du er begrænset til tre computere pr. Ubuntu One-konto. Hvis du skal vedligeholde mere end tre computere, skal du bruge yderligere Ubuntu One-konti.
Hvis du har fysiske, virtuelle eller cloud-hostede servere at passe på, skal du blive en Ubuntu fordel kunde.
Få en Ubuntu One-konto
Uanset om du vil konfigurere Livepatch-tjenesten gennem grafisk brugerflade (GUI) eller via kommandolinjegrænsefladen (CLI), skal du have en Ubuntu One-konto. Dette er påkrævet, fordi driften af Livepatch-tjenesten afhænger af en privat nøgle, der er udstedt til dig og knyttet til din Ubuntu One-konto.
Hvis du konfigurerer Livepatch Service ved hjælp af GUI, vil du ikke se din nøgle. Det er stadig påkrævet og brugt, men det hele håndteres i baggrunden for dig.
Hvis du konfigurerer din Livepatch Service via terminalen, skal du kopiere og indsætte din nøgle fra din browser til kommandolinjen.
Hvis du ikke har en Ubuntu One-konto, du kan oprette en uden omkostninger.
Aktivering af Canonical Livepatch Service grafisk
For at starte den grafiske opsætningsgrænseflade skal du trykke på “Super”-tasten. Dette er placeret mellem “Control” og “Alt” tasterne nederst til venstre på de fleste tastaturer. Søg efter “livepatch.”
Når du ser Livepatch-ikonet, skal du klikke på ikonet eller trykke på “Enter”.
Dialogvinduet “Software og opdateringer” vises med Livepatch-fanen valgt. Klik på knappen “Log ind”. Du bliver mindet om, at du har brug for en Ubuntu One-konto.
Klik på knappen “Log ind / Registrer”.
Dialogvinduet for Ubuntu Single Sign-On-konto vises. Canonical bruger udtrykkene “Ubuntu One” og “Single Sign-On” i flæng. De betyder det samme. Officielt blev “Single Sign-On” erstattet af “Ubuntu One”, men det gamle navn bliver ved.
Indtast dine kontooplysninger, og klik på knappen “Forbind”. Du kan også bruge dette dialogvindue til at oprette en konto, hvis du ikke allerede har oprettet en.
Du vil blive bedt om din adgangskode.
Indtast din adgangskode, og klik på knappen “Godkend”. Et dialogvindue viser dig den e-mail-adresse, der er knyttet til den Ubuntu One-konto, du vil bruge.
Sørg for, at det er korrekt, og klik på knappen “Fortsæt”.
Du bliver bedt om din adgangskode endnu en gang. Efter et par sekunder vil Livepatch-fanen i dialogvinduet “Software og opdateringer” blive opdateret for at vise, at Livepatch er live og aktiv.
Et nyt skjoldikon vises i værktøjets meddelelsesområde tæt på netværks-, lyd- og strømikonerne. Den grønne cirkel med krydset fortæller dig, at alt er godt. Klik på ikonet for at få adgang til menuen.
Vi får at vide, at Livepatch er tændt, og der er ingen aktuelle opdateringer.
Indstillingen “Livepatch-indstillinger” åbner dialogvinduet “Software og opdateringer” på fanen Livepatch.
Det er det; du er færdig.
Aktivering af Canonical Livepatch Service ved hjælp af CLI
Du får brug for en Ubuntu One-konto. Hvis du ikke har en, har du mulighed for at oprette en. De er gratis, og det tager kun et øjeblik.
Nogle af de trin, vi skal udføre, er webbaserede, så dette er ikke en virkelig CLI-only metode. Vi starter med at besøge Canonical Livepatch Service-webside for at få vores hemmelige nøgle eller “token”.
Vælg alternativknappen “Ubuntu User” og klik på knappen “Get Your Livepatch Token”.
Du bliver bedt om at logge ind på din Ubuntu One-konto.
Hvis du har en konto, skal du indtaste den e-mailadresse, du brugte til at oprette kontoen, og vælge alternativknappen “Jeg har en Ubuntu One-konto, og min adgangskode er:”.
Hvis du ikke har en konto, skal du indtaste din e-mailadresse og vælge alternativknappen “Jeg har ikke en Ubuntu One-konto”. Du vil blive guidet gennem kontooprettelsesprocessen.
Når din Ubuntu One-konto er blevet bekræftet, vil du se websiden for Administreret live kerne-patching. Din nøgle vil blive vist.
Hold websiden med din nøgle åben, og åbn et terminalvindue. Brug denne kommando i terminalvinduet til at installere Livepatch-servicedæmonen:
sudo snap install canonical-livepatch
Når installationen er færdig, skal du aktivere tjenesten. Du skal bruge nøglen fra websiden “Managed live kernel patching”.
Du skal kopiere og indsætte nøglen til kommandolinjen. Fremhæv nøglen på websiden, højreklik på den, og vælg “Kopier” fra kontekstmenuen. Eller du kan fremhæve tasten og trykke på “Ctrl+C.”
Indtast følgende kommando i terminalvinduet, men tryk ikke på “Enter”.
sudo canonical-livepatch enable
Indtast derefter et mellemrum, og højreklik og vælg “Sæt ind” fra kontekstmenuen. Eller du kan trykke på “Ctrl+Shift+V.” Du bør se den kommando, du lige har skrevet, et mellemrum og nøglen fra websiden.
På den testmaskine, der blev brugt til at undersøge denne artikel, så det sådan ud:
Tryk på “Enter”.
Hvis alt går godt, vil du se en bekræftelsesmeddelelse fra Livepatch, der fortæller dig, at computeren er blevet aktiveret til kernepatching. Det vil også vise en anden lang nøgle; dette er “maskin-tokenet”.
Det der lige er sket er:
Du har fået din Livepatch-nøgle fra Canonical.
Du kan bruge det på tre computere. Du har brugt det på én computer indtil videre.
Maskintokenet, der blev genereret til denne computer – ved hjælp af din nøgle – er maskintokenet, der vises i denne meddelelse.
Hvis du tjekker fanen Livepatch i dialogvinduet “Software og opdateringer”, vil du se, at Livepatch er aktiveret og aktiv.
Kontrol af status for Livepatch
Du kan få Livepatch til at give dig en statusrapport ved hjælp af følgende kommando:
sudo canonical-livepatch status
Statusrapporten indeholder:
client-version: Softwareversionen af Livepatch.
arkitektur: Computerens CPU-arkitektur.
cpu-model: Typen og modellen af Centralenhed (CPU) i computeren.
last-check: Det klokkeslæt og den dato, som Livepatch sidst tjekkede for at se, om der var nogen kritiske kerneopdateringer tilgængelige til download.
boot-time: Det tidspunkt, hvor denne computer sidst blev tændt.
oppetid: Varigheden af denne computer har været tændt.
Statusblokken fortæller os:
kerne: Versionen af den aktuelle kerne.
kører: Om Livepatch kører eller ej.
checkstate: Om Livepatch har tjekket for kernepatches.
patchState: Om der er nogle kritiske kernerettelser, der skal installeres.
version: Den version af kernerettelserne, hvis nogen, der skal anvendes.
rettelser: Rettelserne indeholdt i kernerettelserne.
Tvinger Livepatch til at opdatere nu
Hele pointen med Livepatch er at levere en administreret opdateringstjeneste, hvilket betyder, at du ikke behøver at tænke på det. Det hele er gjort for dig. Men hvis du vil, kan du tvinge Livepatch til at søge efter kerne-patches (og til at anvende enhver, den finder) med følgende kommando:
sudo canonical-livepatch refresh
Livepatch fortæller dig versionen af kernen før og efter opdateringen. Der var intet at anvende i dette eksempel.
Mindre friktion, mere sikkerhed
Sikkerhedsfriktion er smerten eller besværet forbundet med implementering, brug eller vedligeholdelse af en sikkerhedsfunktion. Hvis friktionen er for høj, lider sikkerheden, fordi funktionen ikke bruges eller vedligeholdes. Livepatch tager al friktionen ud af at anvende kritiske kerneopdateringer og holder din kerne så sikker som muligt.
Det er longhand for “vind, vind.”