运维开发网

在Ubuntu LTS系统上启用Canonical Livepatch服务的方法

运维开发网 https://www.qedev.com 2021-01-23 20:42 出处:云网牛站 作者:陈雄
本文介绍在Ubuntu LTS(18.04/16.04/14.04)系统上启用Canonical Livepatch Service(服务)的方法,也称为Canonical Kernel Livepatch服务。 前言 Canonical在Ubuntu 14.04 LTS系统中引入了Live patch Service,实时修

本文介绍在Ubuntu LTS(18.04/16.04/14.04)系统上启用Canonical Livepatch Service(服务)的方法,也称为Canonical Kernel Livepatch服务。

 

前言

Canonical在Ubuntu 14.04 LTS系统中引入了Live patch Service,实时修补服务允许你安装和应用关键的Linux内核安全更新,而无需重新启动系统。这意味着,在应用内核修补程序后,你无需重新启动系统。但通常情况下,我们需要在安装内核补丁后重启Linux服务器,以供系统使用。实时修补非常快,大多数内核修复程序在几秒钟内完成,并且没有任何问题。Canonical live patch服务适用于最多3个系统的用户,无需任何费用。你可以通过命令行在桌面和服务器中启用Canonical Live补丁,此实时修补系统旨在解决高级和关键的Linux内核安全漏洞。

有关支持的系统和其他详细信息,请参阅下表(Ubuntu 18.04 LTS:4.15、Ubuntu 16.04 LTS:4.4、Ubuntu 14.04 LTS:4.4):

在Ubuntu LTS系统上启用Canonical Livepatch服务的方法

注意:Ubuntu 14.04 LTS中的Canonical Livepatch Service要求用户在Trusty中运行Ubuntu v4.4内核,如果你当前没有运行使用该服务,请重新启动到此内核。

为此,请按照以下步骤操作。

 

关于Get your Live patch token的操作

导航到Canonical Livepatch服务页面(地址:https://auth.livepatch.canonical.com/),如果要使用免费服务,请选择Ubuntu用户。

它适用于最多3个系统,如果你是UA客户,请选择Ubuntu Advantage客户,最后,单击“Get your Live patch token”。

在Ubuntu LTS系统上启用Canonical Livepatch服务的方法

确保你已在Ubuntu One中拥有帐户,如果不是,可以创建一个新的。

登录后,你将获得帐户的密钥。

在Ubuntu LTS系统上启用Canonical Livepatch服务的方法

 

在系统中安装Snap守护程序

实时修补系统通过Snap包处理,因此,请确保在Ubuntu系统上安装了“snap daemon”:

$ sudo apt update

$ sudo apt install snapd

参考:在Ubuntu 18.04/Debian上安装和使用Snap的方法。

 

在系统中安装和配置Live补丁服务

通过运行以下命令安装canonical-livepatch守护程序:

$ sudo snap install canonical-livepatch

canonical-livepatch 9.4.1 from Canonical* installed

运行以下命令以在Ubuntu计算机上启用实时内核修补程序:

$ sudo canonical-livepatch enable xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e

Successfully enabled device. Using machine-token: xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e

运行以下命令以查找livepatched计算机的状态:

$ sudo canonical-livepatch status

client-version: 9.4.1

architecture: x86_64

cpu-model: Intel(R) Core(TM) i7-6700HQ CPU @ 2.60GHz

last-check: 2019-07-24T12:30:04+05:30

boot-time: 2019-07-24T12:11:06+05:30

uptime: 19m11s

status:

- kernel: 4.15.0-55.60-generic

 running: true

 livepatch:

  checkState: checked

  patchState: nothing-to-apply

  version: ""

  fixes: ""

使用--verbose选项运行上述相同的命令,以获取有关实时修补机器的更多信息:

$ sudo canonical-livepatch status --verbose

如果要手动运行修补程序,请执行以下命令:

$ sudo canonical-livepatch refresh

Before refresh:

kernel: 4.15.0-55.60-generic

fully-patched: true

version: ""

After refresh:

kernel: 4.15.0-55.60-generic

fully-patched: true

version: ""

你将在patchState输出中获得以下状态之一:

1、applied:未发现任何漏洞。

2、nothing-to-apply:成功找到并修补了漏洞。

3、kernel-upgrade-required:Livepatch无法安装补丁来修复漏洞。

请注意,安装内核补丁与在系统上升级/安装新内核不同,如果已安装新内核,则必须重新引导系统以激活新内核。

 

扫码领视频副本.gif

0

精彩评论

暂无评论...
验证码 换一张
取 消

关注公众号