Dans ce didacticiel, nous allons apprendre à corriger le noyau Linux sur Ubuntu sans redémarrer à l'aide du service Canonical Livepatch, qui utilise la technologie Linux Kernel Live Patching en amont pour appliquer les correctifs critiques du noyau sans redémarrer.
Cela sera utile pour la disponibilité de votre site Web. J'utilise cette fonctionnalité pour le serveur qui gère ce blog. Le service livepatch permet à votre serveur de rester opérationnel et sécurisé, vous pouvez donc redémarrer votre serveur ultérieurement. Pour mes autres serveurs comme le serveur de messagerie qui ne nécessite pas une disponibilité élevée, je configure simplement des mises à jour de sécurité sans surveillance, qui peuvent demander à mon serveur de redémarrer automatiquement à 4 heures du matin si un nouveau noyau est installé.
Le service Canonical livepatch est gratuit jusqu'à 3 machines (ordinateur portable, serveur ou cloud). Pour utiliser ce service, votre système doit être un système d'exploitation Ubuntu 64 bits avec le noyau Linux 4.4+.
Astuce :Les mises à jour de sécurité Livepatch ne sont pas disponibles pour Ubuntu 20.10.
Correction du noyau Linux sans redémarrage à l'aide du service Canonical Livepatch
Tout d'abord, accédez à la page de service Canonical Livepatch. Sélectionnez utilisateur Ubuntu si vous souhaitez utiliser le service sans payer jusqu'à 3 machines. Si vous êtes un client UA, sélectionnez Client Ubuntu Advantage . Et cliquez sur Obtenez votre jeton Livepatch .
Vous devez vous connecter avec votre compte Ubuntu One qui est totalement gratuit. Une fois connecté, vous obtiendrez une clé secrète pour votre compte.
Assurez-vous ensuite que le démon snap est installé sur votre système Ubuntu.
sudo apt updatesudo apt install snapd
Ensuite, installez le canonical-livepatch
démon.
sudo snap install canonical-livepatch
Activez le service avec la commande suivante.
sudo canonical-livepatch enable your-secret-key
Exemple de sortie :
Appareil activé avec succès. Utilisation du jeton machine :2ca4f0662793daje0393jdaf39332d
Vous pouvez vérifier l'état du patch en direct à tout moment avec :
statut canonical-livepatch --verbose
Les états de patch possibles sont :
nothing-to-apply
:Aucune vulnérabilité trouvée.applied
:Vulnérabilité détectée et correctif appliquékernel-upgrade-required
:Livepatch ne peut pas installer de correctif pour corriger la vulnérabilité sur le noyau en cours d'exécution.
Vous pouvez également exécuter le patcher manuellement :
actualisation sudo canonical-livepatch
Veuillez noter que le correctif du noyau est différent de la mise à niveau du noyau vers la dernière version.
- Patch du noyau en direct :corrige les vulnérabilités du noyau Linux en cours d'exécution.
- Mettre à niveau le noyau :mise à niveau vers un noyau plus récent. Nécessite un redémarrage pour utiliser les nouvelles fonctionnalités du nouveau noyau.
La nouvelle méthode pour patcher le noyau Linux sur Ubuntu
La méthode ci-dessus fonctionne toujours, mais Ubuntu passe à une nouvelle méthode, qui vous offre les avantages suivants :
SERVICE INTITULÉ DESCRIPTIONcis oui Center for Internet Security Audit Toolsesm-infra oui UA Infra :Extended Security Maintenance (ESM)fips oui Packages de base certifiés NISTfips-updates oui Packages de base certifiés NIST avec mises à jour de sécurité prioritaireslivepatch oui Service Canonical LivepatchTout d'abord, vous devez créer un compte Ubuntu Advantage. (Il a un niveau gratuit :UA Infra Essential). Attachez ensuite votre serveur Ubuntu à votre compte Ubuntu.
sudo ua attach your-tokenInstallez le
livepatch
démon.sudo snap install canonical-livepatchActivez livepatch sur votre système.
sudo ua activer livepatchVérifiez votre statut :
statut sudo ua