L'application des mises à jour de sécurité au noyau Linux est un processus simple qui peut être effectué à l'aide d'outils tels que apt , yum , ou kexec . Cependant, lors de la gestion de centaines ou de milliers de serveurs exécutant différentes distributions Linux à corriger, cette méthode peut être difficile et prendre du temps.
La mise à jour manuelle du noyau nécessite le redémarrage du système. Cela entraîne des temps d'arrêt, ce qui peut être problématique, de sorte que les redémarrages sont généralement programmés pour se produire à des intervalles de temps spécifiques. Étant donné que les correctifs manuels sont effectués au cours de ces cycles, ils offrent aux pirates une "fenêtre temporelle" dans laquelle ils peuvent attaquer l'infrastructure du serveur.
Pour les organisations qui exécutent plusieurs serveurs, l'application de correctifs en direct est une meilleure option. Il s'agit d'un moyen automatisé de corriger un noyau Linux pendant que le serveur est en cours d'exécution, ce qui lui permet d'être à la fois plus efficace et plus sûr que les méthodes manuelles.
Cet article explique comment configurer des mises à jour automatiques du noyau sans redémarrage à l'aide des solutions de correctifs en direct de Canonical et CloudLinux.
Livepatch canonique #
Canonical Livepatch est un service qui corrige le noyau en cours d'exécution sans avoir à redémarrer votre système Ubuntu. Le service Livepatch est gratuit, jusqu'à trois systèmes Ubuntu. Pour utiliser ce service sur plus de trois ordinateurs, vous devrez vous abonner au programme Ubuntu Advantage.
Avant d'installer le service, vous devez obtenir un jeton livepatch sur le site Livepatch Service.
Une fois que vous avez installé le jeton et activé le service en exécutant les deux commandes suivantes :
sudo snap install canonical-livepatchsudo canonical-livepatch enable <your-key>
Pour vérifier l'état du service, exécutez :
sudo canonical-livepatch status --verbosePlus tard, si vous souhaitez désenregistrer une machine, utilisez cette commande :
sudo canonical-livepatch disable <your-key>Les mêmes instructions s'appliquent pour Ubuntu 20.04 et Ubuntu 18.04.
N° KernelCare
KernelCare est une excellente option pour les hébergeurs et les entreprises.
KernelCare fonctionne sur Ubuntu, CentOS, Debian et d'autres versions populaires de Linux. Il vérifie les versions de correctifs toutes les 4 heures et les installe automatiquement. Les correctifs peuvent être annulés. KernelCare est gratuit pour les organisations à but non lucratif.
Pour installer KernelCare, exécutez le script d'installation :
wget -qq -O - https://kernelcare.com/installer | bashSi vous utilisez une licence basée sur IP, vous n'avez rien d'autre à faire. Sinon, si vous utilisez une licence basée sur une clé, exécutez la commande suivante pour enregistrer le service :
/usr/bin/kcarectl --register <your-key>
Où <your-key> est la chaîne de code clé d'enregistrement fournie lorsque vous vous inscrivez à la version d'essai ou achetez le produit. Vous pouvez l'obtenir sur cette page.
Vous trouverez ci-dessous quelques commandes KernelCare utiles :
-
Pour vérifier si le noyau en cours d'exécution est pris en charge par KernelCare :
curl -s -L https://kernelcare.com/checker | python -
Pour annuler l'enregistrement d'un serveur :
sudo kcarectl --unregister -
Pour vérifier l'état du service :
sudo kcarectl --info -
Le logiciel recherchera automatiquement de nouveaux correctifs toutes les 4 heures. Pour mettre à jour manuellement, exécutez :
/usr/bin/kcarectl --update
Conclusion #
La technologie Live Patching vous permet d'appliquer des correctifs au noyau Linux sans redémarrage.
Si vous avez des questions ou des commentaires, n'hésitez pas à laisser un commentaire.