Chcete mít kritické záplaty jádra Linuxu automaticky aplikovány na váš systém Ubuntu – aniž byste museli restartovat počítač? Popisujeme, jak k tomu použít službu Livepatch společnosti Canonical.
Table of Contents
Co je to Livepatch a jak funguje?
Jako Dustin Kirkland z Canonicalu vysvětlil před několika lety Canonical Livepatch používá Živé opravy jádra technologie zabudovaná do standardního linuxového jádra. Kanonické Web Livepatch poznamenává, že jej používají velké korporace jako AT&T, Cisco a Walmart.
Je zdarma pro osobní použití až na třech počítačích – podle Kirklanda to mohou být „stolní počítače, servery, virtuální stroje nebo cloudové instance“. Organizace jej mohou používat na více systémech s placeným Výhoda Ubuntu předplatné.
Záplaty jádra jsou nezbytné, ale nepohodlné
Záplaty linuxového jádra jsou skutečností. Udržování vašeho systému zabezpečeného a aktualizovaného je ve vzájemně propojeném světě, ve kterém žijeme, životně důležité. Ale nutnost restartovat počítač, abyste mohli aplikovat záplaty jádra, může být utrpení. Zvláště pokud počítač poskytuje uživatelům nějakou službu a vy s nimi musíte koordinovat nebo vyjednávat, abyste službu přepnuli do režimu off-line. A je tam násobitel. Pokud spravujete několik strojů Ubuntu, v určitém okamžiku se musíte prokousat a udělat každý postupně.
Služba Canonical Livepatch Service odstraňuje veškeré problémy spojené s udržováním vašich systémů Ubuntu v aktuálním stavu pomocí kritických záplat jádra. Je snadné jej nastavit – buď graficky, nebo z příkazového řádku – a ušetří vám to ještě jednu práci.
Cokoli, co snižuje úsilí o údržbu, zvyšuje bezpečnost a snižuje prostoje, musí být atraktivní nabídkou, že? Ano, ale jsou tu určitá upozornění.
Musíte používat a Dlouhodobá podpora (LTS) vydání Ubuntu, jako je 16.04 nebo 18.04. Nejnovější verze LTS je 18.04, takže to je verze, kterou zde budeme používat.
Musí to být 64bitová verze.
Musíte používat Linux Kernel 4.4 nebo vyšší
Musíte mít účet Ubuntu One. Pamatujte si je? Pokud nemáte účet Ubuntu One, můžete si zaregistrovat bezplatný účet.
Službu Canonical Livepatch Service můžete používat zdarma, ale jste omezeni na tři počítače na jeden účet Ubuntu One. Pokud musíte udržovat více než tři počítače, budete potřebovat další účty Ubuntu One.
Pokud máte fyzické, virtuální nebo cloudové servery, o které se musíte starat, budete se muset stát Výhoda Ubuntu zákazník.
Získání účtu Ubuntu One
Ať už se chystáte nastavit službu Livepatch prostřednictvím grafické uživatelské prostředí (GUI) nebo prostřednictvím rozhraní příkazového řádku (CLI), musíte mít účet Ubuntu One. To je vyžadováno, protože provoz služby Livepatch závisí na soukromém klíči, který je vám vydán a je svázán s vaším účtem Ubuntu One.
Pokud službu Livepatch nastavíte pomocí GUI, klíč neuvidíte. Stále je vyžadováno a používáno, ale vše je řešeno na pozadí za vás.
Pokud si službu Livepatch nastavíte prostřednictvím terminálu, budete muset zkopírovat a vložit klíč z prohlížeče do příkazového řádku.
Pokud nemáte účet Ubuntu One, můžete vytvořit jeden za žádnou cenu.
Grafické povolení služby Canonical Livepatch Service
Chcete-li spustit grafické rozhraní nastavení, stiskněte klávesu „Super“. Nachází se mezi klávesami „Control“ a „Alt“ v levé dolní části většiny klávesnic. Hledejte „livepatch“.
Když uvidíte ikonu Livepatch, klikněte na ikonu nebo stiskněte „Enter“.
Zobrazí se dialogové okno „Software a aktualizace“ s vybranou kartou Livepatch. Klikněte na tlačítko „Přihlásit se“. Připomínáme, že potřebujete účet Ubuntu One.
Klikněte na tlačítko „Přihlásit se / Registrovat“.
Zobrazí se dialogové okno Ubuntu Single Sign-On Account. Canonical používá termíny „Ubuntu One“ a „Single Sign-On“ zaměnitelně. Mají na mysli totéž. Oficiálně bylo „Single Sign-On“ nahrazeno „Ubuntu One“, ale starý název přetrvává.
Zadejte podrobnosti o svém účtu a klikněte na tlačítko „Připojit“. Toto dialogové okno můžete také použít k registraci účtu, pokud jej ještě nemáte vytvořen.
Budete vyzváni k zadání hesla.
Zadejte své heslo a klikněte na tlačítko „Authenticate“. V dialogovém okně se zobrazí e-mailová adresa spojená s účtem Ubuntu One, který budete používat.
Ujistěte se, že je správná a klikněte na tlačítko „Pokračovat“.
Budete ještě jednou požádáni o heslo. Po několika sekundách se záložka Livepatch v dialogovém okně „Software and Updates“ aktualizuje a ukáže, že Livepatch je aktivní a aktivní.
V oznamovací oblasti nástroje se v blízkosti ikon sítě, zvuku a napájení objeví nová ikona štítu. Zelený kruh se zaškrtnutím vám říká, že je vše v pořádku. Klepnutím na ikonu otevřete nabídku.
Bylo nám řečeno, že Livepatch je zapnutý a nejsou k dispozici žádné aktuální aktualizace.
Možnost „Nastavení Livepatch“ otevře dialogové okno „Software a aktualizace“ na kartě Livepatch.
A je to; máte hotovo.
Povolení služby Canonical Livepatch Service pomocí rozhraní CLI
Budete potřebovat Účet Ubuntu One. Pokud žádný nemáte, budete mít příležitost si ho vytvořit. Jsou zdarma a trvá to jen chvíli.
Některé z kroků, které musíme provést, jsou webové, takže se nejedná o skutečnou metodu pouze CLI. Začneme návštěvou Webová stránka služby Canonical Livepatch Service abychom získali náš tajný klíč nebo „token“.
Vyberte přepínač „Ubuntu User“ a klikněte na tlačítko „Get Your Livepatch Token“.
Budete vyzváni k přihlášení ke svému účtu Ubuntu One.
Pokud máte účet, zadejte e-mailovou adresu, kterou jste použili k nastavení účtu, a vyberte přepínač „Mám účet Ubuntu One a moje heslo je:“.
Pokud nemáte účet, zadejte svou e-mailovou adresu a vyberte přepínač „Nemám účet Ubuntu One“. Budete provedeni procesem vytvoření účtu.
Jakmile bude váš účet Ubuntu One ověřen, uvidíte webovou stránku Managed live kernel patching. Zobrazí se váš klíč.
Nechte webovou stránku s klíčem otevřenou a otevřete okno terminálu. Pomocí tohoto příkazu v okně terminálu nainstalujte démona služby Livepatch:
sudo snap install canonical-livepatch
Po dokončení instalace budete muset službu povolit. Budete potřebovat klíč z webové stránky „Managed live kernel patching“.
Musíte zkopírovat a vložit klíč do příkazového řádku. Zvýrazněte klíč na webové stránce, klikněte na něj pravým tlačítkem a z kontextové nabídky vyberte „Kopírovat“. Nebo můžete zvýraznit klávesu a stisknout „Ctrl+C“.
Zadejte následující příkaz v okně terminálu, ale netiskněte „Enter“.
sudo canonical-livepatch enable
Poté zadejte mezeru, klikněte pravým tlačítkem a z kontextové nabídky vyberte „Vložit“. Nebo můžete stisknout „Ctrl+Shift+V“. Měli byste vidět příkaz, který jste právě napsali, mezeru a klíč z webové stránky.
Na testovacím stroji použitém k výzkumu tohoto článku to vypadalo takto:
Stiskněte Enter.“
Pokud vše půjde dobře, zobrazí se ověřovací zpráva od Livepatch, která vám řekne, že počítač byl povolen pro opravy jádra. Zobrazí také další dlouhý klíč; toto je „strojový token“.
Co se právě stalo je:
Získali jste klíč Livepatch od společnosti Canonical.
Můžete jej použít na třech počítačích. Doposud jste jej používali na jednom počítači.
Strojový token, který byl vygenerován pro tento počítač – pomocí vašeho klíče – je strojový token zobrazený v této zprávě.
Pokud zaškrtnete záložku Livepatch v dialogovém okně „Software a aktualizace“, uvidíte, že Livepatch je povolen a aktivní.
Kontrola stavu Livepatch
Pomocí následujícího příkazu můžete zajistit, aby vám Livepatch poskytoval stavovou zprávu:
sudo canonical-livepatch status
Zpráva o stavu obsahuje:
client-version: Verze softwaru Livepatch.
architektura: Architektura CPU počítače.
cpu-model: Typ a model Centrální procesorová jednotka (CPU) v počítači.
last-check: Čas a datum, kdy Livepatch naposledy zkontroloval, zda jsou k dispozici nějaké kritické aktualizace jádra ke stažení.
boot-time: Čas posledního zapnutí tohoto počítače.
uptime: Doba, po kterou byl počítač zapnutý.
Stavový blok nám říká:
kernel: Verze aktuálního jádra.
running: Zda je Livepatch spuštěn nebo ne.
checkstate: Zda Livepatch zkontroloval záplaty jádra.
patchState: Zda existují nějaké kritické opravy jádra vyžadující instalaci.
verze: Verze oprav jádra, pokud existují, které je třeba použít.
opravy: Opravy obsažené v záplatách jádra.
Vynucení aktualizace Livepatch nyní
Celý smysl Livepatch je poskytovat službu spravovaných aktualizací, což znamená, že na to nemusíte myslet. Všechno je hotovo za vás. Ale pokud chcete, můžete přinutit Livepatch, aby zkontroloval opravy jádra (a použil všechny, které najde) pomocí následujícího příkazu:
sudo canonical-livepatch refresh
Livepatch vám sdělí verzi jádra před a po aktualizaci. V tomto příkladu nebylo co použít.
Méně tření, více bezpečnosti
Bezpečnostní tření je bolest nebo nepříjemnost spojená s implementací, používáním nebo údržbou bezpečnostního prvku. Pokud je tření příliš vysoké, utrpí bezpečnost, protože funkce není používána nebo udržována. Livepatch odstraňuje veškeré problémy spojené s používáním důležitých aktualizací jádra a udržuje vaše jádro co nejbezpečnější.
To je dlouhé slovo pro „vyhrát, vyhrát“.