Si të instaloni përditësimet e kernelit në Ubuntu pa rindezje


Nëse jeni një administrator sistemi i ngarkuar me mirëmbajtjen e sistemeve kritike në mjediset e ndërmarrjeve, jemi të sigurt që dini dy gjëra të rëndësishme:

1. Gjetja e një dritareje joproduktive për të instaluar arna sigurie në mënyrë që të trajtohen dobësitë e kernelit ose të sistemit operativ mund të jetë e vështirë.

Nëse kompania ose biznesi për të cilin punoni nuk ka politika sigurie, menaxhimi i operacioneve mund të përfundojë duke favorizuar kohën e funksionimit mbi nevojën për të zgjidhur dobësitë. Për më tepër, burokracia e brendshme mund të shkaktojë vonesa në dhënien e miratimeve për kohë joproduktive. Unë vetë kam qenë atje.

2. Ndonjëherë nuk mund të përballoni realisht kohë joproduktive dhe duhet të jeni të përgatitur për të zbutur çdo ekspozim të mundshëm ndaj sulmeve me qëllim të keq në një mënyrë tjetër.

Lajmi i mirë është se Canonical ka lëshuar së fundi Shërbimin e vet Livepatch për të aplikuar arna kritike të kernelit në Ubuntu 22.04 LTS, 20.04 LTS, Ubuntu 18.04 LTS dhe Ubuntu 16.04 LTS pa pasur nevojë për një rindezje të mëvonshme.

Po, e keni lexuar mirë: me Livepatch, nuk keni nevojë të rinisni serverin tuaj Ubuntu në mënyrë që arnimet e sigurisë të hyjnë në fuqi.

Regjistrimi i Livepatch për serverin Ubuntu

Për të përdorur Shërbimin Canonical Livepatch, duhet të regjistroheni në Shërbimin Livepatch dhe të tregoni nëse jeni një përdorues i rregullt i Ubuntu ose një pajtimtar i Ubuntu (opsioni me pagesë).

Të gjithë përdoruesit e Ubuntu mund të lidhin deri në 5 makina të ndryshme me Livepatch përmes përdorimit të një token:

Në hapin tjetër, do t'ju kërkohet të futni kredencialet tuaja Ubuntu One ose të regjistroheni për një llogari të re.

Nëse zgjidhni këtë të fundit, do t'ju duhet të konfirmoni adresën tuaj të emailit për të përfunduar regjistrimin tuaj:

Pasi të klikoni në lidhjen e mësipërme për të konfirmuar adresën tuaj të emailit, do të jeni gati të ktheheni në panelin e kontrollit të Ubuntu Pro dhe të merrni tokenin tuaj Livepatch.

Aktivizo Ubuntu Livepatch me Token

Për të filluar, kopjoni shenjën unike të caktuar në llogarinë tuaj Ubuntu One:

Instaloni Snap në Ubuntu

Pastaj shkoni te një terminal dhe shkruani komandën e mëposhtme për të instaluar Snap në Ubuntu:

$ sudo apt install snapd

Instaloni Ubuntu Livepatch

Pasi të jetë instaluar snap, tani ekzekutoni komandën e mëposhtme për të instaluar shërbimin livepatch.

$ sudo snap install canonical-livepatch

Instaloni Ubuntu Pro Client

Tani ju duhet ta bashkëngjitni abonimin tuaj në sistemin tuaj Ubuntu duke instaluar paketën ubuntu-advantage-tools, e cila përdoret për të hyrë në Pro Client siç tregohet:

$ sudo apt install ubuntu-advantage-tools

Aktivizo Livepatch në Ubuntu

Pasi të keni instaluar versionin më të fundit të Klientit Pro, duhet të bashkëngjitni shenjën Ubuntu Pro te Klienti Pro tuaj për të mundësuar qasjen në shërbimet.

Ju mund ta rikuperoni token tuaj të Ubuntu Pro nga paneli i kontrollit të Ubuntu Pro.

$ sudo pro attach C126iqAzeGdDZ1S4EwSZiBgicf9Z4Y

Kontrolloni statusin e Livepatch në Ubuntu

Nëse dëshironi të kontrolloni statusin aktual të klientit tuaj livepatch, ekzekutoni komandën e mëposhtme, e cila do të kontrollojë periodikisht (çdo orë si parazgjedhje) për arna të reja.

$ canonical-livepatch status

Kjo do të prodhojë rezultate të ngjashme me:

last check: 3 minutes ago
kernel: 5.4.0-28.32-generic
server check-in: succeeded
kernel state: ✓ kernel is supported by Canonical.
patch state: ✓ all applicable livepatch modules inserted
patch version: 94.1
tier: updates (Free usage; This machine beta tests new patches.)
machine id: 829fe8ee62bd45318afd344da6970681

Me kalimin e kohës, do të dëshironi të kontrolloni përshkrimin dhe statusin e arnimeve të aplikuara në kernelin tuaj. Për fat të mirë, kjo është aq e lehtë sa të bësh.

$ sudo canonical-livepatch status --verbose

siç mund ta shihni në imazhin e mëposhtëm:

Çaktivizo Livepatch te klienti

Nëse dëshironi të çaktivizoni livepatch në makinën e klientit, atëherë ekzistojnë dy mënyra të rekomanduara për ta bërë atë:

Nëse keni akses të drejtpërdrejtë në sistem, mund ta çaktivizoni shërbimin e drejtpërdrejtë duke ekzekutuar:

$ sudo snap stop --disable canonical-livepatch

Nëse nuk ka qasje të drejtpërdrejtë në sistem, mund të çaktivizoni livepatch duke përdorur dy mënyrat e mëposhtme:

  • duke vendosur një parametër të linjës komanduese të kernelit canonical_livepatch_mode.
  • duke shkruar modalitetin në skedarin /var/local/canonical_livepatch_mode.

Pasi të keni aktivizuar Livepatch në serverin tuaj Ubuntu, do të jeni në gjendje të reduktoni në minimum kohën e ndërprerjes së planifikuar dhe të paplanifikuar duke e mbajtur sistemin tuaj të sigurt. Shpresojmë, iniciativa e Canonical do t'ju japë një goditje pas shpine nga menaxhmenti - ose më mirë akoma, një rritje page.

Mos ngurroni të na tregoni nëse keni ndonjë pyetje në lidhje me këtë artikull. Thjesht na dërgoni një shënim duke përdorur formularin e komenteve më poshtë dhe ne do t'ju kthehemi sa më shpejt të jetë e mundur.