Lyst til å ha kritiske Linux-kjerneoppdateringer automatisk brukt på Ubuntu-systemet ditt – uten å måtte starte datamaskinen på nytt? Vi beskriver hvordan du bruker Canonicals Livepatch-tjeneste for å gjøre nettopp det.
Innholdsfortegnelse
Hva er Livepatch og hvordan fungerer det?
Som Canonicals Dustin Kirkland forklart for flere år siden bruker Canonical Livepatch Kjerne Live Patching teknologi innebygd i standard Linux-kjernen. Canonical sin Livepatch nettsted bemerker at store selskaper som AT&T, Cisco og Walmart bruker det.
Det er gratis for personlig bruk på opptil tre datamaskiner – ifølge Kirkland kan disse være «stasjonære datamaskiner, servere, virtuelle maskiner eller skyforekomster.» Organisasjoner kan bruke det på flere systemer med en betalt Ubuntu fordel abonnement.
Kjernelapper er nødvendige, men upraktiske
Linux-kjerneoppdateringer er et faktum. Å holde systemet sikkert og oppdatert er viktig i den sammenkoblede verdenen vi lever i. Men å måtte starte datamaskinen på nytt for å bruke kjernepatcher kan være en smerte. Spesielt hvis datamaskinen tilbyr en slags tjeneste til brukere og du må koordinere eller forhandle med dem for å ta tjenesten off-line. Og det er en multiplikator. Hvis du vedlikeholder flere Ubuntu-maskiner, må du på et tidspunkt bite deg fast og gjøre hver og en etter tur.
Canonical Livepatch Service fjerner all forverringen av å holde Ubuntu-systemene oppdatert med kritiske kjerneoppdateringer. Det er enkelt å sette opp – enten grafisk eller fra kommandolinjen – og det tar enda en oppgave fra skuldrene dine.
Alt som reduserer vedlikeholdsinnsatsen, øker sikkerheten og reduserer nedetiden må være et attraktivt forslag, ikke sant? Ja, men det er noen forbehold.
Du må bruke en Langsiktig støtte (LTS) utgivelse av Ubuntu som 16.04 eller 18.04. Den siste LTS-versjonen er 18.04, så det er versjonen vi skal bruke her.
Det må være en 64-bits versjon.
Du må kjøre Linux Kernel 4.4 eller høyere
Du må ha en Ubuntu One-konto. Husk dem? Hvis du ikke har en Ubuntu One-konto, kan du registrere deg for en gratis konto.
Du kan bruke Canonical Livepatch Service uten kostnad, men du er begrenset til tre datamaskiner per Ubuntu One-konto. Hvis du må vedlikeholde mer enn tre datamaskiner, trenger du flere Ubuntu One-kontoer.
Hvis du har fysiske, virtuelle eller skybaserte servere å ta vare på, må du bli en Ubuntu fordel kunde.
Få en Ubuntu One-konto
Enten du skal sette opp Livepatch-tjenesten gjennom grafisk brukergrensesnitt (GUI) eller via kommandolinjegrensesnittet (CLI), må du ha en Ubuntu One-konto. Dette er nødvendig fordi driften av Livepatch-tjenesten avhenger av en privat nøkkel som er utstedt til deg, og knyttet til Ubuntu One-kontoen din.
Hvis du setter opp Livepatch-tjenesten ved hjelp av GUI, vil du ikke se nøkkelen din. Det er fortsatt nødvendig og brukt, men det hele håndteres i bakgrunnen for deg.
Hvis du setter opp Livepatch-tjenesten via terminalen, må du kopiere og lime inn nøkkelen fra nettleseren til kommandolinjen.
Hvis du ikke har en Ubuntu One-konto, du kan lage en uten kostnad.
Aktiverer Canonical Livepatch Service grafisk
For å starte det grafiske oppsettsgrensesnittet, trykk på «Super»-tasten. Dette er plassert mellom «Control» og «Alt»-tastene nederst til venstre på de fleste tastaturer. Søk etter «livepatch».
Når du ser Livepatch-ikonet, klikk på ikonet eller trykk «Enter».
Dialogvinduet «Programvare og oppdateringer» vises med Livepatch-fanen valgt. Klikk på «Logg på»-knappen. Du blir påminnet om at du trenger en Ubuntu One-konto.
Klikk på «Logg inn / Registrer»-knappen.
Dialogvinduet for Ubuntu Single Sign-On Account vises. Canonical bruker begrepene «Ubuntu One» og «Single Sign-On» om hverandre. De mener det samme. Offisielt ble «Single Sign-On» erstattet av «Ubuntu One», men det gamle navnet henger igjen.
Skriv inn kontodetaljene dine og klikk på «Koble til»-knappen. Du kan også bruke dette dialogvinduet til å registrere deg for en konto hvis du ikke allerede har opprettet en.
Du vil bli bedt om passordet ditt.
Skriv inn passordet ditt og klikk på «Autentiser»-knappen. Et dialogvindu viser deg e-postadressen knyttet til Ubuntu One-kontoen du skal bruke.
Kontroller at det er riktig og klikk på «Fortsett»-knappen.
Du vil bli bedt om passordet en gang til. Etter noen sekunder vil Livepatch-fanen i «Software and Updates»-dialogvinduet oppdateres for å vise at Livepatch er live og aktiv.
Et nytt skjoldikon vises i varslingsområdet for verktøyet, nær nettverks-, lyd- og strømikonene. Den grønne sirkelen med haken forteller deg at alt er bra. Klikk på ikonet for å få tilgang til menyen.
Vi blir fortalt at Livepatch er på, og det er ingen aktuelle oppdateringer.
Alternativet «Livepatch-innstillinger» åpner dialogvinduet «Programvare og oppdateringer» på Livepatch-fanen.
Det er det; du er ferdig.
Aktivering av Canonical Livepatch Service ved å bruke CLI
Du kommer til å trenge en Ubuntu One-konto. Hvis du ikke har en, har du muligheten til å opprette en. De er gratis, og det tar bare et øyeblikk.
Noen av trinnene vi må utføre er nettbaserte, så dette er ikke en virkelig CLI-bare metode. Vi starter med å besøke Canonical Livepatch Service-nettsiden for å få vår hemmelige nøkkel eller «token».
Velg alternativknappen «Ubuntu User» og klikk på «Get Your Livepatch Token»-knappen.
Du blir bedt om å logge på Ubuntu One-kontoen din.
Hvis du har en konto, skriv inn e-postadressen du brukte til å konfigurere kontoen, og velg alternativknappen «Jeg har en Ubuntu One-konto, og passordet mitt er:».
Hvis du ikke har en konto, skriv inn e-postadressen din og velg alternativknappen «Jeg har ikke en Ubuntu One-konto». Du vil bli guidet gjennom prosessen for kontooppretting.
Når Ubuntu One-kontoen din har blitt bekreftet, vil du se nettsiden for administrert live kjernepatching. Nøkkelen din vises.
Hold nettsiden med nøkkelen din åpen og åpne et terminalvindu. Bruk denne kommandoen i terminalvinduet for å installere Livepatch-tjenestedemonen:
sudo snap install canonical-livepatch
Når installasjonen er fullført, må du aktivere tjenesten. Du trenger nøkkelen fra nettsiden «Managed live kernel patching».
Du må kopiere og lime inn nøkkelen til kommandolinjen. Marker nøkkelen på nettsiden, høyreklikk den og velg «Kopier» fra hurtigmenyen. Eller du kan markere tasten og trykke «Ctrl+C.»
Skriv inn følgende kommando i terminalvinduet, men ikke trykk «Enter.»
sudo canonical-livepatch enable
Skriv deretter inn et mellomrom, og høyreklikk og velg «Lim inn» fra hurtigmenyen. Eller du kan trykke «Ctrl+Shift+V.» Du bør se kommandoen du nettopp skrev, et mellomrom og nøkkelen fra nettsiden.
På testmaskinen som ble brukt til å undersøke denne artikkelen så det slik ut:
Trykk enter.»
Hvis alt går bra, vil du se en bekreftelsesmelding fra Livepatch som forteller deg at datamaskinen er aktivert for kjernepatching. Den vil også vise en annen lang nøkkel; dette er «maskin-tokenet.»
Det som nettopp skjedde er:
Du har fått din Livepatch-nøkkel fra Canonical.
Du kan bruke den på tre datamaskiner. Du har brukt den på én datamaskin så langt.
Maskintokenet som ble generert for denne datamaskinen – ved hjelp av nøkkelen din – er maskintokenet som vises i denne meldingen.
Hvis du sjekker Livepatch-fanen i «Programvare og oppdateringer»-dialogvinduet, vil du se at Livepatch er aktivert og aktiv.
Sjekker statusen til Livepatch
Du kan få Livepatch til å gi deg en statusrapport ved å bruke følgende kommando:
sudo canonical-livepatch status
Statusrapporten inneholder:
klientversjon: Programvareversjonen av Livepatch.
arkitektur: CPU-arkitekturen til datamaskinen.
cpu-modell: Typen og modellen til Sentralenhet (CPU) i datamaskinen.
last-check: Tiden og datoen som Livepatch sist sjekket for å se om det var noen kritiske kjerneoppdateringer tilgjengelig for nedlasting.
oppstartstid: Tiden denne datamaskinen sist ble slått på.
oppetid: hvor lenge denne datamaskinen har vært slått på.
Statusblokken forteller oss:
kjerne: Versjonen av gjeldende kjerne.
kjører: Om Livepatch kjører eller ikke.
checkstate: Om Livepatch har sjekket for kjernepatcher.
patchState: Om det er noen kritiske kjernepatcher som må installeres.
versjon: Versjonen av kjernepatchene, hvis noen, som må brukes.
rettelser: Rettelsene i kjernepatchene.
Tvinger Livepatch til å oppdatere nå
Hele poenget med Livepatch er å tilby en administrert oppdateringstjeneste, noe som betyr at du ikke trenger å tenke på det. Alt er gjort for deg. Men hvis du vil, kan du tvinge Livepatch til å se etter kjernepatcher (og bruke alle den finner) med følgende kommando:
sudo canonical-livepatch refresh
Livepatch forteller deg versjonen av kjernen før og etter oppdateringen. Det var ingenting å bruke i dette eksemplet.
Mindre friksjon, mer sikkerhet
Sikkerhetsfriksjon er smerten eller ulempen forbundet med implementering, bruk eller vedlikehold av en sikkerhetsfunksjon. Hvis friksjonen er for høy, lider sikkerheten fordi funksjonen ikke brukes eller vedlikeholdes. Livepatch tar all friksjonen ut av å bruke kritiske kjerneoppdateringer, og holder kjernen så sikker som mulig.
Det er longhand for «vinn, vinn.»