在本教程中,您將學習如何使用 Canonical Livepatch 服務來修補 Linux 內核,而無需在 Ubuntu 中重新啟動。它使用上游 Linux 內核實時修補技術來應用關鍵內核補丁,而無需重新啟動。
這將提高您的網站正常運行時間。我將此功能用於運行此博客的服務器。 livepatch 服務允許您保持服務器運行和安全,以便以後重新啟動它。對於不需要長時間啟動和運行的其他服務器,例如郵件服務器,只需配置一個無人值守的安全更新,告訴服務器在安裝新內核時在凌晨 4 點自動重啟。
Canonical livepatch 服務最多可免費用於 3 台機器(筆記本電腦、服務器或云)。要使用此服務,您的系統必須是具有 Linux 內核 4.4+ 的 64 位 Ubuntu 操作系統。
提示: Livepatch 安全更新不適用於 Ubuntu 20.10。
使用 Canonical Livepatch 服務來修補 Linux 內核而無需重新啟動
首先,轉到 Canonical Livepatch 服務頁面。選擇 Ubuntu 用戶 那些想要免費使用該服務的人最多可使用 3 台設備。請選擇您是否為UA客戶 Ubuntu 優勢客戶點擊。 獲取 Livepatch 令牌.
您需要使用完全免費的 Ubuntu One 帳戶登錄。登錄後,您將獲得您帳戶的密鑰。
接下來,確保在您的 Ubuntu 系統上安裝了 snap 守護程序。
sudo apt update sudo apt install snapd
然後安裝 canonical-livepatch 守護進程。
sudo snap install canonical-livepatch
使用以下命令啟用服務:
sudo canonical-livepatch enable your-secret-key示例輸出:
Successfully enabled device. Using machine-token: 2ca4f0662793daje0393jdaf39332d
您可以隨時通過以下方式檢查實時補丁狀態:
canonical-livepatch status --verbose
可能的補丁狀態是:
nothing-to-apply: 沒有發現漏洞。applied: 查找和修補漏洞kernel-upgrade-required:Livepatch 無法安裝補丁來修復當前運行的內核中的漏洞。
您也可以手動運行補丁。
sudo canonical-livepatch refresh
請注意,內核修補與將內核升級到最新版本不同。
- Live Kernel Patches:修復當前運行的 Linux 內核中的漏洞。
- 內核升級:升級到新內核。需要重新啟動才能使用新內核中的新功能。
在 Ubuntu 中修補 Linux 內核的新方法
上述方法仍然有效,但 Ubuntu 正在轉向一種提供以下好處的新方法:
SERVICE ENTITLED DESCRIPTION cis yes Center for Internet Security Audit Tools esm-infra yes UA Infra: Extended Security Maintenance (ESM) fips yes NIST-certified core packages fips-updates yes NIST-certified core packages with priority security updates livepatch yes Canonical Livepatch service
首先,您需要創建一個 Ubuntu Advantage 帳戶。 (有一個免費層:UA Infra Essential)。接下來,將您的 Ubuntu 服務器連接到您的 Ubuntu 帳戶。
sudo ua attach your-token安裝 livepatch 守護進程。
sudo snap install canonical-livepatch
在您的系統上啟用實時補丁。
sudo ua enable livepatch
檢查狀態:
sudo ua status
包起來
我們希望本教程可以幫助您使用 Canonical Live Patch 服務更新具有最高和最關鍵安全漏洞的 Ubuntu LTS 系統,而無需重新啟動。 訂閱我們的免費通訊 獲取最新的 Linux 教程。 您也可以在 Twitter 上關注我們或喜歡我們的 Facebook 頁面。