Canonical Livepatch Service:Linux-Kernel auf Ubuntu ohne Neustart patchen

In diesem Tutorial lernen wir, wie man den Linux-Kernel auf Ubuntu ohne Neustart mit dem Canonical Livepatch-Dienst patcht, der die Upstream-Linux-Kernel-Live-Patching-Technologie verwendet, um kritische Kernel-Patches ohne Neustart anzuwenden.

Dies wird für die Verfügbarkeit Ihrer Website hilfreich sein. Ich verwende diese Funktion für den Server, auf dem dieser Blog läuft. Der Livepatch-Dienst ermöglicht es Ihrem Server, betriebsbereit und sicher zu bleiben, sodass Sie Ihren Server zu einem späteren Zeitpunkt neu starten können. Für meine anderen Server wie Mailserver, die keine hohe Betriebszeit benötigen, konfiguriere ich einfach unbeaufsichtigte Sicherheitsupdates, die meinen Server anweisen können, automatisch um 4 Uhr morgens neu zu starten, wenn ein neuer Kernel installiert wird.

Der Livepatch-Service von Canonical ist für bis zu 3 Rechner (Laptop, Server oder Cloud) kostenlos. Um diesen Dienst nutzen zu können, muss Ihr System ein 64-Bit-Ubuntu-Betriebssystem mit Linux-Kernel 4.4+ sein.

Hinweis :Livepatch-Sicherheitsupdates sind für Ubuntu 20.10 nicht verfügbar.

Linux-Kernel ohne Neustart mit dem Canonical Livepatch Service patchen

Gehen Sie zuerst zur Canonical Livepatch-Serviceseite. Wählen Sie Ubuntu-Benutzer aus wenn Sie den Service nutzen möchten, ohne für bis zu 3 Maschinen zu bezahlen. Wenn Sie ein UA-Kunde sind, wählen Sie Ubuntu Advantage-Kunde aus . Klicken Sie auf Holen Sie sich Ihr Livepatch-Token .

Sie müssen sich mit Ihrem Ubuntu One-Konto anmelden, was völlig kostenlos ist. Sobald Sie angemeldet sind, erhalten Sie einen geheimen Schlüssel für Ihr Konto.

Stellen Sie dann sicher, dass der Snap-Daemon auf Ihrem Ubuntu-System installiert ist.

sudo apt updatesudo apt install snapd

Installieren Sie als Nächstes den canonical-livepatch Dämon.

sudo snap install canonical-livepatch

Aktivieren Sie den Dienst mit dem folgenden Befehl.

sudo canonical-livepatch aktiviere deinen geheimen Schlüssel

Beispielausgabe:

Gerät erfolgreich aktiviert. Maschinentoken verwenden:2ca4f0662793daje0393jdaf39332d

Sie können den Live-Patch-Status jederzeit überprüfen mit:

canonical-livepatch status --verbose

Mögliche Patch-Zustände sind:

• nothing-to-apply :Keine Schwachstelle gefunden.
• applied :Schwachstelle gefunden und Patch angewendet
• kernel-upgrade-required :Livepatch kann keinen Patch installieren, um die Schwachstelle auf dem aktuell laufenden Kernel zu beheben.

Sie können den Patcher auch manuell ausführen:

sudo canonical-livepatch aktualisieren

Bitte beachten Sie, dass sich das Kernel-Patching vom Upgrade des Kernels auf die neueste Version unterscheidet.

• Live-Kernel-Patch:Behebt Sicherheitslücken im aktuell laufenden Linux-Kernel.
• Kernel aktualisieren:Aktualisieren Sie auf einen neueren Kernel. Erfordert einen Neustart, um die neuen Funktionen im neuen Kernel zu verwenden.

Die neue Methode zum Patchen des Linux-Kernels auf Ubuntu

Die obige Methode funktioniert immer noch, aber Ubuntu wechselt zu einer neuen Methode, die Ihnen die folgenden Vorteile bietet:

SERVICE BEZEICHNETE BESCHREIBUNGcis ja Center for Internet Security Audit Toolsesm-infra ja UA Infra:Extended Security Maintenance (ESM)fips ja NIST-zertifizierte Kernpaketefips-updates ja NIST-zertifizierte Kernpakete mit vorrangigen Sicherheitsupdateslivepatch ja Canonical Livepatch service 

 Zuerst müssen Sie ein Ubuntu Advantage-Konto erstellen. (Es hat eine kostenlose Stufe:UA Infra Essential). Verbinden Sie dann Ihren Ubuntu-Server mit Ihrem Ubuntu-Konto.
 
sudo ua Attach your-token
 

 Installieren Sie den livepatch Dämon.
 
sudo snap install canonical-livepatch
 

 Aktiviere LivePatch auf deinem System.
 
sudo ua livepatch aktivieren
 

 Überprüfen Sie Ihren Status:
 
sudo ua status