Если вы занимаетесь администрированием и поддержанием очень важных систем в корпоративном секторе, то знаете, что найти свободное окно для установки обновлений безопасности для операционной системы может быть очень непросто.
Если компания не работает в области компьютерной безопасности, то решение может быть принято в сторону бесперебойной работы, а не устранения уязвимостей, а внутренняя бюрократия может привести к задержкам при выборе времени простоя. Иногда возникают ситуации, когда вы не можете позволить себе ни минуты простоя сервера и должны минимизировать опасность уязвимостей другими способами.
Но теперь ситуация изменилась в лучшую сторону. Несколько дней назад Canonical выпустила службу Livepatch, с помощью которой вы можете применять критические патчи ядра для Ubuntu 16.04 64 бит начиная от версии ядра 4.4 без необходимости перезагрузки. На самом деле это не полное обновление ядра ubuntu 16.04, а обновление его некоторых частей, которые содержат ошибки.
Все правильно, теперь обновление ядра без перезагрузки возможно и в Ubuntu. И в этой статье мы рассмотрим как это использовать в своей системе.
Обновление системы
Как я уже сказал, служба Canonical LivePatch поддерживается начиная с Ubuntu 16.04. Но чтобы избежать ошибок сначала желательно обновить систему до самой последней версии. Для этого выполните:
$ sudo apt update
$ sudo apt upgrade
$ sudo apt upgrade
Если у вас еще не установлены инструменты для работы со snap, их нужно установить:
$ sudo apt install snapd
Затем можно переходить дальше к настройке canonical livepatch.
Подписка на Livepatch
Для того чтобы использовать службу Canonical Livepatch вам необходимо авторизоваться на https://auth.livepatch.canonical.com/ с помощью аккаунта Ubuntu One и указать являетесь ли вы обычным пользователем Ubuntu или абонентом.
Обычные пользователи Ubuntu могут подключить до трех машин с помощью Livepatch, для этого после входа вам будет выдан токен. Чтобы его получить нажмите Get your token:
Далее, вам нужно будет ввести данные учетной записи Ubuntu One или создать новую учетную запись. В последнем варианте нужно будет подтвердить адрес электронной почты. В следующем окне вы получите свой токен:
Этот токен нам понадобится позже, а теперь рассмотрим как установить необходимые пакеты.
Обновление ядра без перезагрузки Ubuntu
Сначала установите snap пакет этой службы, для этого выполните команду:
$ sudo snap install canonical-livepatch
Затем необходимо зарегистрировать свой компьютер с помощью полученного ранее токена. Используйте такую команду:
$ sudo canonical-livepatch enable ваш_токен
Например, если токен был d3b07384d213edec49eaa6238ad5ff00, то нужно выполнить:
$ sudo canonical-livepatch enable d3b07384d213edec49eaa6238ad5ff00
Successfully enabled device. Using machine-token: d3b07384d213edec49eaa6238ad5ff00
Дальше, чтобы проверить доступные патчи безопасности выполните команду:
$ canonical-livepatch status
kernel: 4.4.0-43.63-generic
fully-patched: true
version: ""
fully-patched: true
version: ""
Также вы можете получить более подробную информацию с помощью опции --verbose:
$ canonical-livepatch status --verbose
Доступные патчи будут применяться сервисом canonical-livepatch автоматически, как только они появятся. Это значит, что ваша система всегда будет в безопасности.