Linux中國

Livepatch —— 免重啟給 Ubuntu Linux 內核打關鍵性安全補丁

如果你是一個在企業環境中維護關鍵性系統的系統管理員,你肯定對以下兩件事深有感觸:

1) 很難找個停機時間去給系統安裝安全補丁以修復內核或者系統漏洞 。如果你工作的公司或者企業沒有適當的安全策略,運營管理可能最終會優先保證系統的運行而不是解決系統漏洞。 此外,內部的官僚作風也可能延遲批准停機時間。我當時就是這樣的。

2) 有時候你確實負擔不起停機造成的損失,並且還要做好用別的什麼方法減小惡意攻擊帶來的的風險的準備。

好消息是 Canonical 公司最近針對 Ubuntu 16.04 (64位版本 / 4.4.x 內核) 發布了 Livepatch 服務,它可以讓你不用重啟就能給內核打關鍵性安全補丁。 對,你沒看錯:使用 Livepatch 你不用重啟就能使 Ubuntu 16.04 伺服器系統的安全補丁生效。

註冊 Ubuntu Livepatch 賬號

要運行 Canonical Livepatch 服務你先要在這裡註冊一個賬號 https://auth.livepatch.canonical.com/,並且表明你是一個普通用戶還是企業用戶(付費)。 通過使用令牌,所有的 Ubuntu 用戶都能將最多 3 台不同的電腦連接到 Livepatch 服務:

Canonical Livepatch Service

Canonical Livepatch 服務

下一步系統會提示你輸入你的 Ubuntu One 憑據,或者你也可以註冊一個新賬號。如果你選擇後者,則需要你確認你的郵件地址才能完成註冊:

Ubuntu One Confirmation Mail

Ubuntu One 確認郵件

一旦你點了上面的鏈接確認了你的郵件地址,你就會回到這個界面:https://auth.livepatch.canonical.com/ 並獲取你的 Livepatch 令牌。

獲取並使用 Livepatch 令牌

首先把分配給你賬號的這個唯一的令牌複製下來:

Canonical Livepatch Token

Canonical Livepatch 令牌

然後打開終端,輸入:

$ sudo snap install canonical-livepatch

上面的命令會安裝 livepatch 程序,下面的命令會為你的系統啟用它。

$ sudo canonical-livepatch enable [YOUR TOKEN HERE]

如果後一條的命令提示找不到 canonical-livepatch ,檢查一下 /snap/bin 是否已經添加到你的路徑, 或者把你的工作目錄切換到 /snap/bin 下執行也行。

$ sudo ./canonical-livepatch enable [YOUR TOKEN HERE]

Install Livepatch in Ubuntu

在 Ubuntu 中安裝 Livepatch

之後,你可能需要檢查應用於內核的補丁的描述和狀態。幸運的是,這很簡單。

$ sudo ./canonical-livepatch status --verbose

如下圖所示:

Check Livepatch Status in Ubuntu

檢查補丁安裝情況

在你的 Ubuntu 伺服器上啟用了 Livepatch,你就可以在保證系統安全的同時把計劃內的外的停機時間降到最低。希望 Canonical 的這個舉措會在管理上給你帶來便利,甚至更近一步帶來提升。

如果你對這篇文章有什麼疑問,歡迎在下面留言,我們會儘快回復。

via: http://www.tecmint.com/livepatch-install-critical-security-patches-to-ubuntu-kernel

作者:Gabriel Cánepa 譯者:Yinux 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國