Das Anwenden von Sicherheitsupdates auf den Linux-Kernel ist ein unkomplizierter Prozess, der mit Tools wie apt
durchgeführt werden kann , yum
, oder kexec
. Wenn Sie jedoch Hunderte oder Tausende von Servern verwalten, auf denen verschiedene Linux-Distributionen zum Patchen ausgeführt werden, kann diese Methode schwierig und zeitaufwändig sein.
Das manuelle Aktualisieren des Kernels erfordert einen Neustart des Systems. Dies führt zu Ausfallzeiten, die problematisch sein können, sodass Neustarts normalerweise in bestimmten Zeitintervallen geplant sind. Da das manuelle Patchen während dieser Zyklen erfolgt, bietet es Hackern ein „Zeitfenster“, in dem sie die Serverinfrastruktur angreifen können.
Für Organisationen, die mehr als ein paar Server betreiben, ist Live-Patching die bessere Option. Es ist eine automatisierte Möglichkeit, einen Linux-Kernel zu patchen, während der Server läuft, wodurch es sowohl effizienter als auch sicherer als manuelle Methoden ist.
In diesem Artikel wird erläutert, wie Sie mithilfe der Live-Patching-Lösungen von Canonical und CloudLinux automatische Kernel-Updates ohne Neustart einrichten.
Kanonischer Livepatch #
Canonical Livepatch ist ein Dienst, der den laufenden Kernel patcht, ohne dass Sie Ihr Ubuntu-System neu starten müssen. Der Livepatch-Dienst kann kostenlos auf bis zu drei Ubuntu-Systemen verwendet werden. Um diesen Dienst auf mehr als drei Computern zu nutzen, müssen Sie das Ubuntu Advantage-Programm abonnieren.
Bevor Sie den Dienst installieren, müssen Sie ein Livepatch-Token von der Livepatch-Dienst-Website abrufen.
Sobald Sie das Token haben, installieren und aktivieren Sie den Dienst, indem Sie die folgenden beiden Befehle ausführen:
sudo snap install canonical-livepatch
sudo canonical-livepatch enable <your-key>
Um den Status des Dienstes zu überprüfen, führen Sie Folgendes aus:
sudo canonical-livepatch status --verbose
Wenn Sie später eine Maschine deregistrieren möchten, verwenden Sie diesen Befehl:
sudo canonical-livepatch disable <your-key>
Dieselben Anweisungen gelten für Ubuntu 20.04 und Ubuntu 18.04.
KernelCare #
KernelCare ist eine großartige Option für Hosting-Anbieter und Unternehmen.
KernelCare läuft auf Ubuntu, CentOS, Debian und anderen beliebten Linux-Varianten. Es sucht alle 4 Stunden nach Patch-Versionen und installiert diese automatisch. Patches können rückgängig gemacht werden. KernelCare ist für gemeinnützige Organisationen kostenlos.
Um KernelCare zu installieren, führen Sie das Installationsskript aus:
wget -qq -O - https://kernelcare.com/installer | bash
Wenn Sie eine IP-basierte Lizenz verwenden, müssen Sie nichts weiter tun. Wenn Sie andernfalls eine schlüsselbasierte Lizenz verwenden, führen Sie den folgenden Befehl aus, um den Dienst zu registrieren:
/usr/bin/kcarectl --register <your-key>
Wobei <your-key>
ist die Zeichenfolge des Registrierungsschlüsselcodes, die Sie erhalten, wenn Sie sich für die Testversion anmelden oder das Produkt kaufen. Sie können es auf dieser Seite erhalten.
Unten sind einige nützliche KernelCare-Befehle:
-
So prüfen Sie, ob der laufende Kernel von KernelCare unterstützt wird:
curl -s -L https://kernelcare.com/checker | python
-
Um einen Server abzumelden:
sudo kcarectl --unregister
-
So überprüfen Sie den Status des Dienstes:
sudo kcarectl --info
-
Die Software sucht automatisch alle 4 Stunden nach neuen Patches. Führen Sie zur manuellen Aktualisierung Folgendes aus:
/usr/bin/kcarectl --update
Schlussfolgerung #
Mit der Live-Patching-Technologie können Sie ohne Neustart Patches auf den Linux-Kernel anwenden.
Wenn Sie Fragen oder Feedback haben, können Sie gerne einen Kommentar hinterlassen.