Chcete, aby se kritické bezpečnostní záplaty pro jádro Linux automaticky instalovaly na váš systém Ubuntu bez nutnosti restartování? Ukážeme si, jak na to s pomocí služby Livepatch od společnosti Canonical.
Co je Livepatch a jak funguje?
Jak vysvětlil Dustin Kirkland z Canonical, Livepatch využívá technologii živých oprav jádra, která je součástí standardního jádra Linuxu. Podle webu Canonical Livepatch tuto službu využívají velké firmy jako AT&T, Cisco a Walmart.
Pro osobní použití je Livepatch zdarma až pro tři zařízení, a to „stolní počítače, servery, virtuální stroje nebo cloudové instance“, jak uvádí Kirkland. Pro organizace, které potřebují více systémů, je k dispozici placené předplatné Ubuntu Advantage.
Proč jsou záplaty jádra nutné, ale ne vždy praktické
Záplaty jádra jsou nezbytnou součástí údržby systému. V dnešním propojeném světě je klíčové mít systém zabezpečený a aktuální. Nicméně, nutnost restartovat počítač kvůli záplatám jádra může být komplikací. Obzvlášť pokud váš počítač poskytuje služby ostatním a musíte koordinovat odstávky. Pokud spravujete více počítačů s Ubuntu, musíte se tímto procesem prokousat postupně na každém z nich.
Služba Canonical Livepatch eliminuje problémy spojené s aktualizací kritických záplat jádra. Je jednoduchá na nastavení, ať už graficky nebo z příkazové řádky, a ušetří vám mnoho práce.
Jakékoli řešení, které zjednodušuje údržbu, zvyšuje bezpečnost a snižuje výpadky, je žádoucí. Existují však určité podmínky, které je třeba splnit:
- Musíte používat verzi Ubuntu s dlouhodobou podporou (LTS) jako 16.04 nebo 18.04. Nejnovější LTS verze je 18.04, kterou použijeme jako příklad.
- Systém musí být 64bitový.
- Musíte mít jádro Linux verze 4.4 nebo vyšší.
- Je vyžadován účet Ubuntu One. Pokud ho nemáte, můžete si ho zdarma zaregistrovat.
- Služba Livepatch je zdarma pro tři počítače na jeden účet Ubuntu One. Pro více počítačů potřebujete další účty.
- Pro fyzické, virtuální nebo cloudové servery budete muset být zákazníkem Ubuntu Advantage.
Založení účtu Ubuntu One
Pro nastavení služby Livepatch, ať už přes grafické rozhraní nebo příkazovou řádku, je nutný účet Ubuntu One. Služba Livepatch využívá soukromý klíč, který je vám přidělen a spojen s vaším účtem Ubuntu One.
Při nastavení Livepatch přes GUI klíč neuvidíte, ale je stále použit v pozadí. Při nastavení přes terminál je potřeba klíč zkopírovat z webového prohlížeče a vložit do příkazové řádky.
Pokud ještě nemáte účet Ubuntu One, můžete si ho vytvořit zdarma.
Aktivace Canonical Livepatch pomocí grafického rozhraní
Pro spuštění grafického rozhraní nastavení stiskněte klávesu „Super“ (mezi klávesami „Control“ a „Alt“). Vyhledejte „livepatch“.
Klikněte na ikonu Livepatch nebo stiskněte „Enter“.
Zobrazí se dialogové okno „Software a aktualizace“ s vybranou kartou Livepatch. Klikněte na tlačítko „Přihlásit se“ (nezapomeňte, že potřebujete účet Ubuntu One).
Klikněte na tlačítko „Přihlásit se / Registrovat“.
Otevře se dialogové okno Ubuntu Single Sign-On Account. Canonical používá termíny „Ubuntu One“ a „Single Sign-On“ zaměnitelně. Oficiálně byl termín „Single Sign-On“ nahrazen „Ubuntu One“, ale starý název se stále používá.
Zadejte údaje k vašemu účtu a klikněte na tlačítko „Připojit“. V tomto dialogovém okně si také můžete zaregistrovat účet, pokud ho ještě nemáte.
Budete vyzváni k zadání hesla.
Zadejte heslo a klikněte na tlačítko „Ověřit“. V dialogovém okně se zobrazí emailová adresa spojená s vaším účtem Ubuntu One.
Zkontrolujte, zda je email správný a klikněte na „Pokračovat“.
Opět budete vyzváni k zadání hesla. Po několika sekundách se karta Livepatch v dialogovém okně „Software a aktualizace“ aktualizuje a zobrazí, že Livepatch je aktivní a spuštěný.
V oznamovací oblasti vedle ikon sítě, zvuku a napájení se objeví nová ikona štítu. Zelený kruh se zaškrtnutím značí, že je vše v pořádku. Kliknutím na ikonu se otevře nabídka.
Zobrazí se informace, že Livepatch je zapnutý a nejsou k dispozici žádné aktuální aktualizace.
Možnost „Nastavení Livepatch“ otevře dialogové okno „Software a aktualizace“ s vybranou kartou Livepatch.
To je vše, máte hotovo.
Aktivace Canonical Livepatch pomocí příkazové řádky (CLI)
Potřebujete účet Ubuntu One. Pokud ho nemáte, můžete si ho snadno vytvořit. Jsou zdarma a zabere to jen chvíli.
Některé kroky vyžadují webové rozhraní, takže se nejedná o čistě CLI metodu. Začneme návštěvou webové stránky služby Canonical Livepatch Service, kde získáme tajný klíč.
Vyberte přepínač „Ubuntu User“ a klikněte na tlačítko „Get Your Livepatch Token“.
Budete vyzváni k přihlášení ke svému účtu Ubuntu One.
Pokud máte účet, zadejte e-mailovou adresu a vyberte přepínač „Mám účet Ubuntu One a moje heslo je:“. Pokud účet nemáte, zadejte svou e-mailovou adresu a vyberte přepínač „Nemám účet Ubuntu One“. Následně budete provedeni procesem vytvoření účtu.
Jakmile je váš účet Ubuntu One ověřen, zobrazí se webová stránka Managed live kernel patching s vaším klíčem.
Nechte webovou stránku s klíčem otevřenou a otevřete okno terminálu. Následujícím příkazem nainstalujte démona Livepatch:
sudo snap install canonical-livepatch
Po dokončení instalace je potřeba službu aktivovat. Budete potřebovat klíč z webové stránky „Managed live kernel patching“.
Klíč je nutné zkopírovat a vložit do příkazové řádky. Označte klíč na webové stránce, klikněte pravým tlačítkem a vyberte „Kopírovat“. Nebo stiskněte „Ctrl+C“.
Do terminálu zadejte následující příkaz, ale zatím nestiskávejte „Enter“:
sudo canonical-livepatch enable
Nyní vložte mezeru, klikněte pravým tlačítkem a vyberte „Vložit“ nebo stiskněte „Ctrl+Shift+V“. Měli byste vidět příkaz, mezeru a klíč z webové stránky.
Na testovacím stroji to vypadalo následovně:
Stiskněte „Enter“.
Pokud vše proběhne správně, zobrazí se ověřovací zpráva od Livepatch, která vám oznámí, že počítač byl aktivován pro opravy jádra. Zobrazí se také dlouhý klíč, který je „strojový token“.
Co se právě stalo:
- Získali jste klíč Livepatch od společnosti Canonical.
- Můžete ho použít na třech počítačích. Zatím jste ho použili na jednom.
- Strojový token vygenerovaný pro tento počítač pomocí vašeho klíče je token zobrazený ve zprávě.
Pokud se podíváte do karty Livepatch v dialogovém okně „Software a aktualizace“, uvidíte, že Livepatch je povolen a aktivní.
Kontrola stavu Livepatch
Stavovou zprávu Livepatch získáte pomocí následujícího příkazu:
sudo canonical-livepatch status
Stavová zpráva obsahuje:
- client-version: Verzi softwaru Livepatch.
- architektura: Architekturu CPU počítače.
- cpu-model: Typ a model centrální procesorové jednotky (CPU) v počítači.
- last-check: Čas a datum, kdy Livepatch naposledy zkontroloval dostupné aktualizace jádra.
- boot-time: Čas posledního zapnutí počítače.
- uptime: Doba, po kterou je počítač zapnutý.
Stavový blok obsahuje:
- kernel: Verzi aktuálního jádra.
- running: Informaci, zda je Livepatch spuštěný.
- checkstate: Informaci, zda Livepatch zkontroloval záplaty jádra.
- patchState: Informaci, zda existují kritické záplaty jádra, které vyžadují instalaci.
- verze: Verzi záplat jádra, které je potřeba použít.
- opravy: Opravy obsažené v záplatách jádra.
Vynucení aktualizace Livepatch
Cílem Livepatch je poskytovat spravované aktualizace, abyste se o to nemuseli starat. Nicméně můžete Livepatch přinutit, aby zkontroloval opravy jádra (a aplikoval nalezené) pomocí následujícího příkazu:
sudo canonical-livepatch refresh
Livepatch vám ukáže verzi jádra před a po aktualizaci. V tomto příkladu nebylo nic potřeba aktualizovat.
Méně komplikací, více bezpečnosti
Bezpečnostní tření představuje obtíže spojené s implementací, používáním nebo údržbou bezpečnostních prvků. Pokud je toto tření příliš velké, snižuje se bezpečnost, protože funkce není používána nebo je zanedbávána. Livepatch odstraňuje problémy spojené s používáním důležitých aktualizací jádra, čímž udržuje váš systém co nejbezpečnější.
Zkrátka řečeno, je to výhodné pro všechny.