如何在Ubuntu LTS系统上启用Canonical的内核实时补丁服务

系统 Linux
实时修补非常快。大多数内核修复程序只需要几秒钟。Canonical 的实时补丁服务对于不超过 3 个系统的用户无需任何费用。你可以通过命令行在桌面和服务器中启用 Canonical 实时补丁服务。

[[272052]]

 Canonical 在 Ubuntu 14.04 LTS 系统中引入了内核实时补丁服务Kernel Livepatch Service。实时补丁服务允许你安装和应用关键的 Linux 内核安全更新,而无需重新启动系统。这意味着,在应用内核补丁程序后,你无需重新启动系统。而通常情况下,我们需要在安装内核补丁后重启 Linux 服务器才能供系统使用。

实时修补非常快。大多数内核修复程序只需要几秒钟。Canonical 的实时补丁服务对于不超过 3 个系统的用户无需任何费用。你可以通过命令行在桌面和服务器中启用 Canonical 实时补丁服务。

这个实时补丁系统旨在解决高级和关键的 Linux 内核安全漏洞。

有关支持的系统和其他详细信息,请参阅下表。

Ubuntu 版本 架构 内核版本 内核变体
Ubuntu 18.04 LTS 64-bit x86 4.15 仅 GA 通用和低电压内核
Ubuntu 16.04 LTS 64-bit x86 4.4 仅 GA 通用和低电压内核
Ubuntu 14.04 LTS 64-bit x86 4.4 仅 Hardware Enablement 内核

注意:Ubuntu 14.04 中的 Canonical 实时补丁服务 LTS 要求用户在 Trusty 中运行 Ubuntu v4.4 内核。如果你当前没有运行使用该服务,请重新启动到此内核。

为此,请按照以下步骤操作。

如何获取实时补丁令牌?

导航到 Canonical 实时补丁服务页面,如果要使用免费服务,请选择“Ubuntu 用户”。它适用于不超过 3 个系统的用户。如果你是 “UA 客户” 或多于 3 个系统,请选择 “Ubuntu customer”。最后,单击 “Get your Livepatch token” 按钮。

确保你已经在 “Ubuntu One” 中拥有帐号。否则,可以创建一个新的。

登录后,你将获得你的帐户密钥。

在系统中安装 Snap 守护程序

实时补丁系统通过快照包安装。因此,请确保在 Ubuntu 系统上安装了 snapd 守护程序。

  1. $ sudo apt update
  2. $ sudo apt install snapd

如何系统中安装和配置实时补丁服务?

通过运行以下命令安装 canonical-livepatch 守护程序。

  1. $ sudo snap install canonical-livepatch
  2. canonical-livepatch 9.4.1 from Canonical* installed

运行以下命令以在 Ubuntu 计算机上启用实时内核补丁程序。

  1. $ sudo canonical-livepatch enable xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e
  2.  
  3. Successfully enabled device. Using machine-token: xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e

运行以下命令查看实时补丁机器的状态。

  1. $ sudo canonical-livepatch status
  2.  
  3. client-version: 9.4.1
  4. architecture: x86_64
  5. cpu-model: Intel(R) Core(TM) i7-6700HQ CPU @ 2.60GHz
  6. last-check: 2019-07-24T12:30:04+05:30
  7. boot-time: 2019-07-24T12:11:06+05:30
  8. uptime: 19m11s
  9. status:
  10. - kernel: 4.15.0-55.60-generic
  11. running: true
  12. livepatch:
  13. checkState: checked
  14. patchState: nothing-to-apply
  15. version: ""
  16. fixes: ""

使用 --verbose 开关运行上述相同的命令,以获取有关实时修补机器的更多信息。

  1. $ sudo canonical-livepatch status --verbose

如果要手动运行补丁程序,请执行以下命令。

  1. $ sudo canonical-livepatch refresh
  2.  
  3. Before refresh:
  4.  
  5. kernel: 4.15.0-55.60-generic
  6. fully-patched: true
  7. version: ""
  8.  
  9. After refresh:
  10.  
  11. kernel: 4.15.0-55.60-generic
  12. fully-patched: true
  13. version: ""

patchState 会有以下状态之一:

  • applied:未发现任何漏洞
  • nothing-to-apply:成功找到并修补了漏洞
  • kernel-upgrade-required:实时补丁服务无法安装补丁来修复漏洞

请注意,安装内核补丁与在系统上升级/安装新内核不同。如果安装了新内核,则必须重新引导系统以激活新内核。

责任编辑:庞桂玉 来源: Linux中国
相关推荐

2009-10-20 10:40:23

补丁远程系统

2019-08-19 11:55:10

UbuntuLinux内核

2010-05-18 13:02:46

Ubuntu 12.0Canonical

2018-02-23 14:50:30

2022-09-01 08:37:50

Ubuntu发行版

2020-10-17 13:04:35

UbuntuDeepin桌面环境

2017-04-19 22:00:40

UbuntuLinux Mint桌面共享

2013-07-29 13:49:23

UbuntuLAMP服务器

2017-03-02 09:40:28

UbuntuCentOSNginx

2020-06-04 08:36:55

Linux内核线程

2022-05-26 17:50:57

UbuntuLinux

2018-01-11 15:01:57

2016-01-15 09:56:44

LinuxUbuntuGlances

2018-12-09 13:50:47

UbuntuLinux IP地址

2021-09-22 10:10:30

LinuxUbuntuCanonical

2010-09-08 13:49:36

2018-02-25 09:48:36

LinuxUbuntu文件系统

2019-08-02 15:30:42

UbuntuMongoDB命令

2019-08-30 11:20:28

UbuntuVirtualBoxLinux

2024-01-04 11:50:00

UbuntuDocker
点赞
收藏

51CTO技术栈公众号