Ubuntu Livepatch: Automatiske kjerneoppdateringer uten omstart!

Automatisk oppdatering av Linux-kjernen på Ubuntu uten omstart

Ønsker du å implementere kritiske oppdateringer av Linux-kjernen automatisk på Ubuntu-systemet ditt, uten å måtte restarte maskinen? Vi viser deg hvordan du bruker Canonicals Livepatch-tjeneste for å oppnå akkurat dette.

Hva er Livepatch og hvordan fungerer det?

Som Dustin Kirkland fra Canonical forklarte for noen år siden, benytter Canonical Livepatch seg av kjerne-livepatching-teknologi som er integrert i standard Linux-kjernen. Ifølge Canonicals nettside for Livepatch, er det brukt av store selskaper som AT&T, Cisco og Walmart.

Tjenesten er gratis for personlig bruk på opptil tre maskiner, som Kirkland spesifiserer kan være «stasjonære datamaskiner, servere, virtuelle maskiner eller skyforekomster». Bedrifter kan bruke den på flere systemer med et betalt Ubuntu Advantage-abonnement.

Kjernelapper: Nødvendig, men upraktisk

Oppdateringer av Linux-kjernen er uunngåelige. Det er avgjørende for sikkerheten å holde systemet oppdatert i dagens tilkoblede verden. Men å måtte restarte maskinen for å installere kjernelapper kan være en utfordring. Dette gjelder spesielt hvis maskinen leverer en tjeneste til andre brukere, og du må koordinere nedetid. Det er også en utfordring å administrere flere Ubuntu-maskiner, der hver enkelt må oppdateres.

Canonical Livepatch Service eliminerer problemene knyttet til å holde Ubuntu-systemer oppdaterte med kritiske kjerneoppdateringer. Det er lett å konfigurere, enten grafisk eller via kommandolinjen, og det tar bort en av de mange vedlikeholdsoppgavene.

Alt som reduserer vedlikehold, øker sikkerheten og reduserer nedetid er et attraktivt forslag, ikke sant? Ja, men det er noen forutsetninger:

  • Du må bruke en Long-Term Support (LTS)-versjon av Ubuntu, som 16.04 eller 18.04. Den nyeste LTS-versjonen er 18.04, som vi vil fokusere på her.
  • Det må være en 64-bits versjon.
  • Du må kjøre Linux Kernel 4.4 eller høyere.
  • Du trenger en Ubuntu One-konto. Husk dem? Hvis du ikke har en, kan du registrere deg gratis.
  • Du kan bruke Canonical Livepatch Service gratis, men du er begrenset til tre datamaskiner per Ubuntu One-konto. Hvis du har behov for flere, må du ha flere Ubuntu One-kontoer.
  • Hvis du har fysiske, virtuelle eller skybaserte servere, trenger du et Ubuntu Advantage-abonnement.

Skaff deg en Ubuntu One-konto

Uansett om du setter opp Livepatch-tjenesten via grafisk brukergrensesnitt (GUI) eller kommandolinjegrensesnittet (CLI), trenger du en Ubuntu One-konto. Livepatch krever en privat nøkkel som er utstedt og knyttet til din Ubuntu One-konto.

Hvis du konfigurerer Livepatch via GUI, vil du ikke se nøkkelen. Den er likevel nødvendig og i bruk, men håndteres i bakgrunnen. Ved konfigurering via terminalen må du kopiere og lime inn nøkkelen fra nettleseren til kommandolinjen.

Hvis du ikke har en Ubuntu One-konto, kan du opprette en uten kostnad.

Aktiver Canonical Livepatch Service grafisk

For å starte det grafiske konfigureringsgrensesnittet, trykk på «Super»-tasten. Den er plassert mellom «Control»- og «Alt»-tastene nederst til venstre på de fleste tastaturer. Søk etter «livepatch».

Når du ser Livepatch-ikonet, klikker du på det eller trykker «Enter».

Vinduet «Programvare og oppdateringer» vises med fanen Livepatch valgt. Klikk på «Logg på»-knappen. Du blir informert om at du trenger en Ubuntu One-konto.

Klikk på «Logg inn/Registrer»-knappen.

Dialogboksen for Ubuntu Single Sign-On Account vises. Canonical bruker «Ubuntu One» og «Single Sign-On» om hverandre, og mener det samme. «Single Sign-On» ble offisielt erstattet av «Ubuntu One», men det gamle navnet henger fortsatt igjen.

Skriv inn kontoinformasjonen din og klikk på «Koble til»-knappen. Du kan også bruke denne dialogboksen til å registrere deg hvis du ikke allerede har en konto.

Du vil bli bedt om passordet ditt.

Skriv inn passordet ditt og klikk på «Autentiser»-knappen. Et vindu viser deg e-postadressen knyttet til Ubuntu One-kontoen du skal bruke.

Sjekk at den er riktig og klikk på «Fortsett»-knappen.

Du vil bli bedt om passordet en gang til. Etter noen sekunder vil Livepatch-fanen i «Programvare og oppdateringer» oppdateres for å vise at Livepatch er aktivert.

Et nytt skjoldikon vises i verktøylinjen, nær nettverks-, lyd- og strømikonene. Den grønne sirkelen med haken forteller deg at alt er i orden. Klikk på ikonet for å få tilgang til menyen.

Du får beskjed om at Livepatch er på, og at det ikke er noen aktuelle oppdateringer.

Alternativet «Livepatch-innstillinger» åpner «Programvare og oppdateringer» på Livepatch-fanen.

Det er det. Du er ferdig.

Aktiver Canonical Livepatch Service ved å bruke CLI

Du trenger en Ubuntu One-konto. Hvis du ikke har en, kan du opprette en. Det er gratis og tar bare et øyeblikk.

Noen av stegene må utføres via nettet, så dette er ikke en ren CLI-metode. Vi starter med å gå til Canonical Livepatch Service-nettsiden for å få vår hemmelige nøkkel eller «token».

Velg alternativet «Ubuntu User» og klikk på «Get Your Livepatch Token»-knappen.

Du blir bedt om å logge på Ubuntu One-kontoen din.

Hvis du har en konto, skriv inn e-postadressen du brukte og velg alternativet «Jeg har en Ubuntu One-konto, og passordet mitt er:». Hvis du ikke har en konto, skriv inn e-postadressen din og velg alternativet «Jeg har ikke en Ubuntu One-konto». Du vil bli guidet gjennom opprettelsen av en konto.

Når Ubuntu One-kontoen din er bekreftet, vil du se nettsiden for administrert live kjernepatching. Nøkkelen din vil vises.

La nettsiden med nøkkelen være åpen og åpne et terminalvindu. Bruk denne kommandoen i terminalvinduet for å installere Livepatch-tjenestedemonen:

sudo snap install canonical-livepatch

Når installasjonen er fullført, må du aktivere tjenesten. Du trenger nøkkelen fra «Administrert live kjernepatching»-nettsiden.

Du må kopiere og lime inn nøkkelen i kommandolinjen. Marker nøkkelen på nettsiden, høyreklikk og velg «Kopier» fra hurtigmenyen. Eller du kan markere nøkkelen og trykke «Ctrl+C».

Skriv inn følgende kommando i terminalvinduet, men ikke trykk «Enter»:

sudo canonical-livepatch enable

Skriv deretter et mellomrom, høyreklikk og velg «Lim inn» fra hurtigmenyen. Eller du kan trykke «Ctrl+Shift+V». Du skal nå se kommandoen du skrev, et mellomrom, og nøkkelen fra nettsiden.

På testmaskinen som ble brukt for denne artikkelen, så det slik ut:

Trykk «Enter».

Hvis alt går bra, vil du se en bekreftelsesmelding fra Livepatch om at maskinen er aktivert for kjernepatching. Den vil også vise en annen lang nøkkel; dette er «maskintokenet».

Det som nettopp skjedde er:

  • Du har fått Livepatch-nøkkelen din fra Canonical.
  • Du kan bruke den på tre datamaskiner. Du har nå brukt den på én.
  • Maskintokenet som ble generert for denne maskinen, ved hjelp av din nøkkel, er maskintokenet som vises i denne meldingen.

Hvis du sjekker Livepatch-fanen i dialogboksen «Programvare og oppdateringer», vil du se at Livepatch er aktivert.

Sjekke statusen til Livepatch

Du kan be Livepatch om å gi deg en statusrapport ved å bruke følgende kommando:

sudo canonical-livepatch status

Statusrapporten inneholder:

  • klientversjon: Programvareversjonen av Livepatch.
  • arkitektur: CPU-arkitekturen til maskinen.
  • cpu-modell: Type og modell av prosessor (CPU) i maskinen.
  • last-check: Tidspunktet Livepatch sist sjekket etter kritiske kjerneoppdateringer.
  • oppstartstid: Tidspunktet maskinen sist ble startet.
  • oppetid: Hvor lenge maskinen har vært på.

Statusblokken forteller deg:

  • kjerne: Versjonen av nåværende kjerne.
  • kjører: Om Livepatch kjører eller ikke.
  • checkstate: Om Livepatch har sjekket for kjernelapper.
  • patchState: Om det er kritiske kjernelapper som må installeres.
  • versjon: Versjonen av eventuelle kjernelapper som må brukes.
  • rettelser: Rettelsene i kjernelappene.

Tvinge Livepatch til å oppdatere nå

Poenget med Livepatch er å tilby en administrert oppdateringstjeneste, slik at du ikke trenger å tenke på det. Alt gjøres automatisk. Men hvis du ønsker det, kan du tvinge Livepatch til å se etter kjernelapper (og installere dem) med følgende kommando:

sudo canonical-livepatch refresh

Livepatch forteller deg versjonen av kjernen før og etter oppdateringen. I dette eksempelet var det ingenting å installere.

Mindre friksjon, mer sikkerhet

Sikkerhetsfriksjon er ubehaget eller ulempen som oppstår ved implementering, bruk eller vedlikehold av en sikkerhetsfunksjon. Hvis friksjonen er for høy, lider sikkerheten fordi funksjonen ikke blir brukt eller vedlikeholdt. Livepatch fjerner all friksjonen ved å installere kritiske kjerneoppdateringer, og holder kjernen så sikker som mulig.

Med andre ord: en vinn-vinn-situasjon.