Die Verwaltung von Linux-Servern kann sich wie eine lästige Pflicht anfühlen, besonders wenn Sie wiederholte Aufgaben ausführen müssen.
Das Aktualisieren des Servers ist eine dieser Aufgaben. Sie können sich zwar dafür entscheiden, Sicherheitsupdates automatisch auf Ihrem Server zu installieren, aber Sie werden dadurch nicht vollständig von der Wartungsaufgabe befreit.
Wieso den? Weil die Sicherheitsupdates für den Kernel einen Neustart des Ubuntu-Servers erfordern.
Wenn Sie den Ubuntu-Server auf einem der Cloud-Dienste wie Linode verwenden, werden Sie feststellen, dass er Sie benachrichtigt, dass Ihr System neu gestartet werden muss.
*** Systemneustart erforderlich ***
Was ist, wenn ich Ihnen sage, dass es eine Möglichkeit gibt, alle Updates einschließlich der Kernel-Updates zu installieren, ohne Ihren Server neu zu starten? Es heißt Live-Kernel-Patching oder Live-Patching.
Was ist Live-Patching?
Beim Live-Patching werden Sicherheitskorrekturen auf einen laufenden Linux-Kernel angewendet, ohne das System neu zu starten.
Der Prozess ist ziemlich komplex und riskant und deshalb ist er nicht standardmäßig in Linux-Distributionen verfügbar.
Frühere Linux-Systemadministratoren mussten viel manuelle Arbeit leisten, um einen Hot-Patch für den Kernel zu erstellen. Live-Patching-Unterstützung wurde im Linux-Kernel selbst ab Version 4.0 hinzugefügt. Das bedeutet, dass Ihr Ubuntu-System Live-Patching unterstützen sollte.
Sie können jedoch immer sicherstellen, dass es unterstützt wird, indem Sie den folgenden Befehl in Ubuntu verwenden:
cat /boot/config-$(uname -r) | grep LIVEPATCH
Wenn Sie Y sehen , bedeutet dies, dass Ihr Kernel Livepatching unterstützt.
Betrachten wir nun das Live-Kernel-Patching. Sie benötigen einen Live-Patch-Service. Es gibt einige Tools, die das Live-Patching des Linux-Kernels ermöglichen. Wie ksplice von Oracle oder kGraft von SUSE und Livepatch von Ubuntu.
Denken Sie daran, dass Live-Patching von Unternehmen wie KernelCare als Service verkauft wird. Ubuntu erlaubt es kostenlos für bis zu 3 Server pro Ubuntu-Konto (wird später erklärt).
Da es hier um Ubuntu geht, wäre es besser, den Live-Patching-Dienst von Ubuntu selbst zu nutzen.
Aktivieren von Live-Patching auf dem Ubuntu-Server
Rufen Sie die Webseite des Canonical Livepatch Service auf.
Sie müssen ein Konto bei Ubuntu One erstellen, falls Sie noch keines haben.
Sobald Sie angemeldet sind, können Sie den Token für Ihr Konto und einige Befehle sehen, die Sie auf dem Server verwenden müssen, für den Sie das Live-Patching aktivieren möchten.
Sobald Sie dieses Token haben, melden Sie sich bei Ihrem Ubuntu-Server an.
Installieren Sie zuerst das Live-Patch-Tool:
sudo snap install canonical-livepatch
Aktivieren Sie als Nächstes das Live-Kernel-Patching mit dem Token, das Sie von Ihrem Ubuntu One-Konto kopiert haben.
sudo canonical-livepatch enable ad108xxxxxxxxxxxxxxxxxxxxxxxxx
Das ist es. Jetzt, da Sie das Live-Patching aktiviert haben, brauchen Sie sich keine Gedanken über einen Neustart Ihres Servers zu machen. Stellen Sie sich die Verfügbarkeit Ihres Servers vor.
Apropos Betriebszeit, lassen Sie mich die Sysadmin-Hymne Uptime Funk teilen. Es ist ein so zuordenbares und lustiges Parodievideo von SUSE Linux.
Nicht neu starten, nur patchen :)