Компания Canonical представила сервис Live patch в системе Ubuntu 14.04 LTS.
Служба исправлений в реальном времени позволяет устанавливать и применять критические обновления безопасности ядра Linux без перезагрузки системы.
Это означает, что вам не нужно перезагружать систему после применения исправлений ядра.
Но обычно нам нужно перезагрузить сервер Linux после установки исправлений ядра, доступных для использования системой.
Живое исправление довольно быстро. Большинство исправлений ядра применяются без проблем.
Сервис исправлений Canonical Live для пользователей до 3-х систем доступен бесплатно.
Вы можете включить патч Canonical Live в обоих вариантах: рабочий стол и сервер, используя командную строку.
Эта оперативная система исправлений предназначена для устранения серьезных и критических уязвимостей в ядре Linux.
Обратитесь к следующей таблице для получения информации о поддерживаемых системах и других деталях.
| Ubuntu Релиз | Архитектура | Версия ядра | Варианты ядра |
| Ubuntu 18.04 LTS | 64-bit x86 | 4.15 | Только варианты ядра GA и ядра с низкой скоростью |
| Ubuntu 16.04 LTS | 64-bit x86 | 4.4 | Только варианты ядра GA и ядра с низкой скоростью |
| Ubuntu 14.04 LTS | 64-bit x86 | 4.4 | Только ядро аппаратного обеспечения |
Примечание. Служба Canonical Livepatch в Ubuntu 14.04 LTS требует, чтобы пользователи запускали ядро Ubuntu v4.4 в Trusty. Пожалуйста, перезагрузитесь в это ядро, если вы в данный момент не используете сервис.
Для этого выполните следующие процедуры.
Как получить Livepath токен?
Перейдите на страницу сервиса исправлений Canonical Live и выберите Ubuntu user, если вы хотите использовать бесплатный сервис.
Будет применимо до 3 систем.
Если вы являетесь клиентом UA, выберите клиента Ubuntu Advantage.
Наконец, нажмите Get your Live patch token.
Убедитесь, что у вас уже есть аккаунт в Ubuntu One.
Если нет, вы можете создать новый.
После входа в систему вы получите секретный ключ для своей учетной записи.
Установите Snap Daemon в вашей системе
Система исправлений в реальном времени обрабатывается с помощью snap пакета.
Итак, убедитесь, что у вас установлен «snap daemon» в вашей системе Ubuntu.
$ sudo apt update $ sudo apt install snapd
Как установить и настроить службу Live patch в системе?
Установите демон canonical-livepatch, выполнив следующую команду.
$ sudo snap install canonical-livepatch canonical-livepatch 9.4.1 from Canonical* installed
Запустите следующую команду, чтобы включить исправления ядра на компьютере с Ubuntu.
$ sudo canonical-livepatch enable xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e Successfully enabled device. Using machine-token: xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e
Запустите приведенную ниже команду, чтобы узнать состояние вашей исправленной машины.
$ sudo canonical-livepatch status
client-version: 9.4.1
architecture: x86_64
cpu-model: Intel(R) Core(TM) i7-6700HQ CPU @ 2.60GHz
last-check: 2019-07-24T12:30:04+05:30
boot-time: 2019-07-24T12:11:06+05:30
uptime: 19m11s
status:
- kernel: 4.15.0-55.60-generic
running: true
livepatch:
checkState: checked
patchState: nothing-to-apply
version: ""
fixes: ""
Запустите указанную выше команду с ключом –verbose, чтобы получить больше информации о исправленной машине.
$ sudo canonical-livepatch status --verbose
Выполните приведенную ниже команду, если вы хотите запустить патч вручную.
$ sudo canonical-livepatch refresh Before refresh: kernel: 4.15.0-55.60-generic fully-patched: true version: "" After refresh: kernel: 4.15.0-55.60-generic fully-patched: true version: ""
Вы получите одно из следующих состояний в выводе patchState.
- applied: уязвимостей не найдено
- nothing-to-apply: : уязвимости найдены и исправлены успешно
- kernel-upgrade-required: Livepatch не может установить патч для исправления уязвимости.
Обратите внимание, установка патча ядра отличается от обновления / установки нового ядра в системе.
Если вы установили новое ядро, вам необходимо перезагрузить систему, чтобы активировать новое ядро.
