Автоматичне застосування критичних оновлень ядра Linux в Ubuntu
Бажаєте, щоб критичні виправлення ядра Linux встановлювалися на вашій системі Ubuntu автоматично, без необхідності перезавантаження комп’ютера? Розглянемо, як для цього можна скористатися сервісом Livepatch від Canonical.
Що являє собою Livepatch і як він функціонує?
Як пояснював Дастін Кіркленд з Canonical, Livepatch використовує технологію живого виправлення ядра, інтегровану в стандартне ядро Linux. На вебсайті Livepatch від Canonical вказано, що цей сервіс використовують великі корпорації, зокрема AT&T, Cisco та Walmart.
Для персонального використання на трьох комп’ютерах Livepatch є безкоштовним. За словами Кіркленда, це можуть бути “настільні комп’ютери, сервери, віртуальні машини або хмарні інстанції”. Організації можуть використовувати його на більшій кількості систем за допомогою платної підписки Ubuntu Advantage.
Виправлення ядра: необхідність та незручності
Оновлення ядра Linux – це неминуча частина процесу забезпечення безпеки системи. У сучасному взаємопов’язаному світі підтримка безпеки та актуальності системи є критично важливою. Проте, потреба перезавантажувати комп’ютер для встановлення виправлень ядра може створювати значні незручності, особливо якщо комп’ютер надає сервіси користувачам і потрібно координувати їх вимкнення. Крім того, якщо ви керуєте декількома машинами Ubuntu, доводиться по черзі застосовувати оновлення до кожної з них.
Сервіс Canonical Livepatch вирішує усі проблеми, пов’язані з оновленням систем Ubuntu критичними виправленнями ядра. Його легко налаштувати – як через графічний інтерфейс, так і через командний рядок, і він значно спрощує процес обслуговування системи.
Будь-які рішення, що зменшують витрати на технічне обслуговування, підвищують безпеку та скорочують час простою, повинні бути привабливими, чи не так? Так, але є певні обмеження.
Необхідно використовувати випуск Ubuntu з довгостроковою підтримкою (LTS), наприклад, 16.04 або 18.04. Остання версія LTS – 18.04, яку ми будемо використовувати в цьому прикладі. Також потрібно використовувати 64-розрядну версію, мати ядро Linux 4.4 або новішої версії, а також обліковий запис Ubuntu One. Якщо у вас його немає, ви можете зареєструвати його безкоштовно. Безкоштовне використання Livepatch обмежене трьома комп’ютерами на один обліковий запис Ubuntu One. Якщо потрібно обслуговувати більше трьох комп’ютерів, потрібні додаткові облікові записи. Якщо у вас є фізичні, віртуальні або хмарні сервери, вам необхідно стати клієнтом Ubuntu Advantage.
Отримання облікового запису Ubuntu One
Незалежно від того, чи плануєте ви налаштувати Livepatch через графічний інтерфейс користувача (GUI) або інтерфейс командного рядка (CLI), вам потрібен обліковий запис Ubuntu One. Це необхідно, оскільки Livepatch залежить від приватного ключа, який видається вам та прив’язаний до вашого облікового запису.
Якщо ви налаштуєте Livepatch за допомогою графічного інтерфейсу, ваш ключ не буде відображено, але він буде використовуватись у фоновому режимі. При налаштуванні через термінал вам потрібно буде скопіювати та вставити ключ з браузера в командний рядок.
Якщо у вас ще немає облікового запису, створіть його безкоштовно.
Активація Canonical Livepatch через графічний інтерфейс
Для запуску графічного інтерфейсу налаштування натисніть клавішу “Супер”, яка зазвичай знаходиться між клавішами “Control” і “Alt” в нижньому лівому куті клавіатури. Введіть у пошуку “livepatch”.
Коли з’явиться значок Livepatch, клацніть на нього або натисніть “Enter”.
Відкриється вікно “Програмне забезпечення та оновлення” з обраною вкладкою Livepatch. Натисніть кнопку “Увійти”. З’явиться нагадування про необхідність мати обліковий запис Ubuntu One.
Натисніть кнопку “Увійти / Зареєструватися”.
Відкриється вікно облікового запису єдиного входу Ubuntu. Canonical використовує терміни “Ubuntu One” та “Єдиний вхід” як взаємозамінні. Офіційно “єдиний вхід” було замінено на “Ubuntu One”, але стара назва ще використовується.
Введіть дані свого облікового запису і натисніть кнопку “Підключити”. Ви також можете скористатися цим вікном для створення облікового запису, якщо його ще немає.
Вам буде запропоновано ввести пароль.
Введіть пароль і натисніть кнопку “Автентифікація”. У вікні відобразиться електронна адреса, пов’язана з обліковим записом Ubuntu One, який ви збираєтесь використовувати.
Переконайтеся, що це правильна адреса, і натисніть кнопку “Продовжити”.
Вас ще раз попросять ввести пароль. Через декілька секунд вкладка Livepatch у вікні “Програмне забезпечення та оновлення” оновиться, показуючи, що Livepatch активований та працює.
У панелі сповіщень, поруч зі значками мережі, звуку та живлення, з’явиться новий значок щита. Зелене коло з галочкою означає, що все працює нормально. Натисніть на значок, щоб відкрити меню.
З’явиться повідомлення, що Livepatch ввімкнено і немає доступних оновлень.
Параметр “Параметри Livepatch” відкриє вікно “Програмне забезпечення та оновлення” на вкладці Livepatch.
На цьому все. Livepatch налаштовано.
Активація Canonical Livepatch через командний рядок
Для налаштування Livepatch через командний рядок також потрібен обліковий запис Ubuntu One. Якщо у вас його немає, ви зможете створити його. Це безкоштовно і займає лише кілька хвилин.
Деякі з необхідних кроків пов’язані з веб-сторінками, тому це не метод, який повністю виконується через командний рядок. Почніть з відвідування веб-сторінки сервісу Canonical Livepatch, щоб отримати секретний ключ або “токен”.
Оберіть перемикач “Користувач Ubuntu” і натисніть кнопку “Отримати токен Livepatch”.
Вам буде запропоновано увійти до свого облікового запису Ubuntu One.
Якщо у вас є обліковий запис, введіть адресу електронної пошти, яку ви використовували при його створенні, і оберіть перемикач “У мене є обліковий запис Ubuntu One, а мій пароль:”. Якщо облікового запису немає, введіть свою електронну адресу та оберіть перемикач “У мене немає облікового запису Ubuntu One”. Вас проведуть через процес створення облікового запису.
Після підтвердження вашого облікового запису Ubuntu One, ви побачите сторінку з вашим ключем.
Залиште відкриту веб-сторінку з ключем і відкрийте вікно термінала. Використайте наступну команду, щоб встановити демон Livepatch:
sudo snap install canonical-livepatch
Після завершення встановлення вам потрібно буде активувати сервіс. Для цього потрібен ключ з веб-сторінки “Кероване виправлення живого ядра”.
Скопіюйте та вставте ключ у командний рядок. Виділіть ключ на веб-сторінці, клацніть правою кнопкою миші та оберіть “Копіювати”. Або виділіть ключ і натисніть “Ctrl+C”.
Введіть наступну команду у вікні термінала, але не натискайте “Enter”:
sudo canonical-livepatch enable
Потім введіть пробіл, клацніть правою кнопкою миші та оберіть “Вставити”. Або натисніть “Ctrl+Shift+V”. Ви маєте побачити команду, пробіл та ключ з веб-сторінки.
На тестовій машині, використаній для підготовки цієї статті, це виглядало так:
Натисніть “Enter”.
Якщо все пройшло успішно, ви отримаєте підтвердження від Livepatch про активацію сервісу для виправлення ядра. Також з’явиться інший довгий ключ – “машина-токен”.
Що відбулося:
Ви отримали ключ Livepatch від Canonical.
Ви можете використовувати його на трьох комп’ютерах. Наразі ви використовували його на одному комп’ютері.
Згенерований для цього комп’ютера “машина-токен” відображений у цьому повідомленні.
Перевіривши вкладку Livepatch у вікні “Програмне забезпечення та оновлення”, ви побачите, що Livepatch ввімкнено та активне.
Перевірка статусу Livepatch
Ви можете отримати звіт про статус Livepatch, використовуючи команду:
sudo canonical-livepatch status
Звіт про статус містить:
client-version: версію програмного забезпечення Livepatch.
архітектура: архітектуру процесора комп’ютера.
cpu-model: тип та модель центрального процесора (CPU) комп’ютера.
Остання перевірка: час і дата останньої перевірки Livepatch на наявність критичних оновлень ядра.
boot-time: час останнього ввімкнення комп’ютера.
uptime: час роботи комп’ютера з моменту останнього ввімкнення.
Блок status надає інформацію про:
ядро: версію поточного ядра.
працює: статус запуску Livepatch.
checkstate: чи перевірив Livepatch наявність виправлень ядра.
patchState: чи є критичні виправлення ядра, які потрібно встановити.
версія: версію виправлень ядра, якщо такі є, які потрібно встановити.
виправлення: перелік виправлень в оновленнях ядра.
Примусове оновлення Livepatch
Основна ідея Livepatch – автоматичне керування оновленнями, що не потребує вашої уваги. Але, за бажання, ви можете примусово перевірити наявність виправлень ядра (і застосувати будь-які знайдені) за допомогою команди:
sudo canonical-livepatch refresh
Livepatch повідомить вам версію ядра до та після оновлення. В цьому прикладі оновлень не було.
Менше перешкод, більше безпеки
Перешкоди безпеки – це складності або незручності, пов’язані з впровадженням, використанням або підтримкою функцій безпеки. Якщо цих перешкод занадто багато, безпека страждає, оскільки функція не використовується. Livepatch усуває всі труднощі із застосуванням критичних оновлень ядра, зберігаючи ваше ядро максимально безпечним.
Це означає “виграш-виграш” для користувача.