在本教程中,您將學習如何使用 Canonical Livepatch 服務來修補 Linux 內核,而無需在 Ubuntu 上重新啟動。該服務使用上游 Linux 內核實時修補技術來應用關鍵內核補丁,而無需重新啟動。
這將有助於您的網站正常運行。我在運行此博客的服務器上使用此功能。 livepatch 服務允許您保持服務器正常運行並確保其安全,以便您以後可以重新啟動它。對於其他服務器,例如不需要長時間運行的郵件服務器,只需配置無人值守的安全更新即可。如果安裝了新內核,這將指示服務器在凌晨 4 點自動重啟。
Canonical livepatch 服務在最多 3 台機器(筆記本電腦、服務器或云)上是免費的。要使用此服務,您的系統必須是具有 Linux 內核 4.4 或更高版本的 64 位 Ubuntu 操作系統。
暗示: Livepatch 安全更新在 Ubuntu 20.10 上不可用。
使用 Canonical Livepatch 服務修補 Linux 內核,無需重新啟動
首先,轉到 Canonical Livepatch 服務頁面。選擇 Ubuntu 用戶 如果您想在不支付多達 3 輛車的情況下使用該服務。 選擇您是否是 UA 客戶 Ubuntu Advantage 客戶..然後點擊 獲取 Livepatch 令牌..
您需要使用完全免費的 Ubuntu One 帳戶登錄。登錄後,您將獲得您帳戶的密鑰。
然後確保在您的 Ubuntu 系統上安裝了 snap 守護程序。
sudo apt update sudo apt install snapd
然後安裝 canonical-livepatch
守護進程。
sudo snap install canonical-livepatch
使用以下命令啟用服務:
sudo canonical-livepatch enable your-secret-key
樣本輸出:
Successfully enabled device. Using machine-token: 2ca4f0662793daje0393jdaf39332d
您可以隨時通過以下方式檢查實時補丁的狀態:
canonical-livepatch status --verbose
可能的補丁狀態是:
nothing-to-apply
: 沒有發現漏洞。applied
: 查找並修補漏洞kernel-upgrade-required
:Livepatch 無法安裝修復當前運行內核中漏洞的補丁。
您也可以手動運行補丁。
sudo canonical-livepatch refresh
請記住,內核補丁與將內核升級到最新版本不同。
- 實時內核補丁:修復當前運行的 Linux 內核中的一個漏洞。
- 內核升級:升級到新內核。需要重新啟動才能使用新內核的新功能。
在 Ubuntu 上修補 Linux 內核的新方法
上述方法將繼續有效,但 Ubuntu 正在遷移到提供以下好處的新方法:
SERVICE ENTITLED DESCRIPTION cis yes Center for Internet Security Audit Tools esm-infra yes UA Infra: Extended Security Maintenance (ESM) fips yes NIST-certified core packages fips-updates yes NIST-certified core packages with priority security updates livepatch yes Canonical Livepatch service
首先,您需要創建一個 Ubuntu Advantage 帳戶。 (有一個免費層:UA Infrastructure Essentials)。然後將 Ubuntu 服務器連接到您的 Ubuntu 帳戶。
sudo ua attach your-token
安裝 livepatch
守護進程。
sudo snap install canonical-livepatch
在您的系統上啟用實時修補。
sudo ua enable livepatch
檢查狀態:
sudo ua status
包起來
我們希望本教程將幫助您使用 Canonical Live Patch 服務來更新您的 Ubuntu LTS 系統,使其具有最高和最關鍵的安全漏洞,而無需重新啟動。 訂閱我們的免費通訊 獲取最新的 Linux 教程。 您也可以在 Twitter 上關注我們並欣賞我們的 Facebook 頁面。