Хочете, щоб критичні виправлення ядра Linux автоматично застосовувалися до вашої системи Ubuntu — без необхідності перезавантажувати комп’ютер? Ми описуємо, як використовувати для цього службу Livepatch від Canonical.
Що таке Livepatch і як він працює?
Як Дастін Кіркленд з Canonical пояснив кілька років тому Canonical Livepatch використовує Живе виправлення ядра технологія, вбудована в стандартне ядро Linux. Canonical’s Веб-сайт Livepatch зазначає, що такі великі корпорації, як AT&T, Cisco і Walmart, використовують його.
Він безкоштовний для особистого використання на трьох комп’ютерах — за словами Кіркленда, це можуть бути «настільні комп’ютери, сервери, віртуальні машини або хмарні екземпляри». Організації можуть використовувати його на більшій кількості платних систем Перевага Ubuntu підписка.
Патчі ядра необхідні, але незручні
Виправлення ядра Linux є фактом життя. Підтримка безпеки та оновлення вашої системи є життєво важливою у взаємопов’язаному світі, в якому ми живемо. Але необхідність перезавантажувати комп’ютер, щоб застосувати виправлення ядра, може бути проблемою. Особливо, якщо комп’ютер надає якісь сервіси користувачам, і ви повинні координувати або домовлятися з ними, щоб перевести службу в автономний режим. І є множник. Якщо ви обслуговуєте кілька машин Ubuntu, в якийсь момент вам доведеться перехопити кулю і виконувати кожну з них по черзі.
Служба Canonical Livepatch усуває всі ускладнення, пов’язані з оновленням систем Ubuntu за допомогою критичних виправлень ядра. Його легко налаштувати — або графічно, або з командного рядка — і це знімає з ваших плечей ще одну роботу.
Все, що зменшує витрати на технічне обслуговування, підвищує безпеку та скорочує час простою, має бути привабливою пропозицією, чи не так? Так, але є деякі застереження.
Ви повинні використовувати a Довгострокова підтримка (LTS) випуск Ubuntu, наприклад 16.04 або 18.04. Найновіша версія LTS — 18.04, тож саме цю версію ми збираємося використовувати тут.
Це має бути 64-розрядна версія.
Ви повинні мати Linux Kernel 4.4 або новішої версії
Вам потрібно мати обліковий запис Ubuntu One. Згадайте їх? Якщо у вас немає облікового запису Ubuntu One, ви можете зареєструвати безкоштовний обліковий запис.
Ви можете безкоштовно користуватися Службою Canonical Livepatch, але ви обмежені трьома комп’ютерами на один обліковий запис Ubuntu One. Якщо вам потрібно обслуговувати більше трьох комп’ютерів, вам знадобляться додаткові облікові записи Ubuntu One.
Якщо у вас є фізичні, віртуальні або розміщені в хмарі сервери, про які ви можете доглядати, вам потрібно стати Перевага Ubuntu замовник.
Отримання облікового запису Ubuntu One
Чи збираєтеся ви налаштувати службу Livepatch через графічний інтерфейс користувача (GUI) або через інтерфейс командного рядка (CLI), ви повинні мати обліковий запис Ubuntu One. Це потрібно, оскільки робота Служби Livepatch залежить від приватного ключа, який вам видається і прив’язаний до вашого облікового запису Ubuntu One.
Якщо ви налаштуєте службу Livepatch за допомогою графічного інтерфейсу, ви не побачите свій ключ. Він все ще необхідний і використовується, але все це обробляється у фоновому режимі для вас.
Якщо ви налаштували службу Livepatch через термінал, вам потрібно буде скопіювати та вставити ключ із браузера в командний рядок.
Якщо у вас немає облікового запису Ubuntu One, ви можете створити його безкоштовно.
Графічне включення служби Canonical Livepatch
Щоб запустити графічний інтерфейс налаштування, натисніть клавішу «Супер». Він розташований між клавішами «Control» і «Alt» у нижньому лівому куті більшості клавіатур. Шукайте «livepatch».
Коли ви побачите значок Livepatch, клацніть його або натисніть «Enter».
З’явиться діалогове вікно «Програмне забезпечення та оновлення» з вибраною вкладкою Livepatch. Натисніть кнопку «Увійти». Вам нагадують, що вам потрібен обліковий запис Ubuntu One.
Натисніть кнопку «Увійти / Зареєструватися».
З’явиться діалогове вікно облікового запису єдиного входу в Ubuntu. Canonical використовує терміни «Ubuntu One» і «Єдиний вхід» як взаємозамінні. Вони означають те саме. Офіційно «єдиний вхід» було замінено на «Ubuntu One», але стара назва збереглася.
Введіть дані свого облікового запису та натисніть кнопку «Підключити». Ви також можете використовувати це діалогове вікно для реєстрації облікового запису, якщо ви його ще не створили.
Вам буде запропоновано ввести пароль.
Введіть свій пароль і натисніть кнопку «Автентифікація». У діалоговому вікні відображається адреса електронної пошти, пов’язана з обліковим записом Ubuntu One, який ви збираєтеся використовувати.
Переконайтеся, що це правильно, і натисніть кнопку «Продовжити».
Вас ще раз попросять ввести пароль. Через кілька секунд вкладка Livepatch у діалоговому вікні «Програмне забезпечення та оновлення» оновиться, щоб показати, що Livepatch активний і активний.
Нова піктограма щита з’явиться в області сповіщень інструментів, поруч із піктограмами мережі, звуку та живлення. Зелене коло з галочкою говорить, що все добре. Натисніть піктограму, щоб отримати доступ до меню.
Нам сказали, що Livepatch увімкнено, і немає поточних оновлень.
Параметр «Параметри Livepatch» відкриє діалогове вікно «Програмне забезпечення та оновлення» на вкладці Livepatch.
Це воно; все готово.
Увімкнення служби Canonical Livepatch за допомогою CLI
Вам знадобиться Обліковий запис Ubuntu One. Якщо у вас його немає, у вас буде можливість створити його. Вони вільні, і це займає лише мить.
Деякі з кроків, які нам потрібно виконати, є веб-орієнтованими, тож це не метод лише CLI. Почнемо з відвідування с Веб-сторінка Canonical Livepatch Service щоб отримати наш секретний ключ або «токен».
Виберіть перемикач «Користувач Ubuntu» та натисніть кнопку «Отримати маркер Livepatch».
Вам буде запропоновано увійти у свій обліковий запис Ubuntu One.
Якщо у вас є обліковий запис, введіть адресу електронної пошти, яку ви використовували для налаштування облікового запису, і виберіть перемикач «У мене є обліковий запис Ubuntu One, а мій пароль:».
Якщо у вас немає облікового запису, введіть свою адресу електронної пошти та виберіть перемикач «У мене немає облікового запису Ubuntu One». Вас проведуть через процес створення облікового запису.
Коли ваш обліковий запис Ubuntu One буде підтверджено, ви побачите веб-сторінку виправлення керованого живого ядра. Відобразиться ваш ключ.
Залиште відкритою веб-сторінку з вашим ключем і відкрийте вікно терміналу. Використовуйте цю команду у вікні терміналу, щоб встановити демон служби Livepatch:
sudo snap install canonical-livepatch
Коли інсталяція буде завершена, вам потрібно буде ввімкнути службу. Вам знадобиться ключ із веб-сторінки «Керований виправлення живого ядра».
Вам потрібно скопіювати та вставити ключ у командний рядок. Виділіть ключ на веб-сторінці, клацніть його правою кнопкою миші та виберіть «Копіювати» з контекстного меню. Або ви можете виділити клавішу та натиснути «Ctrl+C».
Введіть таку команду у вікні терміналу, але не натискайте «Enter».
sudo canonical-livepatch enable
Потім введіть пробіл, клацніть правою кнопкою миші та виберіть «Вставити» з контекстного меню. Або ви можете натиснути «Ctrl+Shift+V». Ви повинні побачити команду, яку ви щойно ввели, пробіл і ключ із веб-сторінки.
На тестовій машині, використаній для дослідження цієї статті, це виглядало так:
Натисніть «Enter».
Якщо все пройде добре, ви побачите підтвердження від Livepatch про те, що комп’ютер увімкнено для виправлення ядра. Він також покаже інший довгий ключ; це «машина-токен».
Щойно сталося:
Ви отримали ключ Livepatch від Canonical.
Ви можете використовувати його на трьох комп’ютерах. Поки що ви використовували його на одному комп’ютері.
Маркер машини, створений для цього комп’ютера за допомогою вашого ключа, є маркером машини, що відображається в цьому повідомленні.
Якщо ви перевірте вкладку Livepatch у діалоговому вікні «Програмне забезпечення та оновлення», ви побачите, що Livepatch увімкнено та активне.
Перевірка статусу Livepatch
Ви можете змусити Livepatch надати вам звіт про стан, використовуючи таку команду:
sudo canonical-livepatch status
Звіт про стан містить:
client-version: версія програмного забезпечення Livepatch.
архітектура: архітектура ЦП комп’ютера.
cpu-model: Тип і модель Центральний процесор (ЦП) у комп’ютері.
Остання перевірка: час і дата, коли Livepatch востаннє перевірив, чи є якісь критичні оновлення ядра, доступні для завантаження.
boot-time: час останнього ввімкнення цього комп’ютера.
uptime: тривалість увімкнення цього комп’ютера.
Блок статусу повідомляє нам:
ядро: версія поточного ядра.
працює: запущено Livepatch чи ні.
checkstate: чи Livepatch перевірив наявність виправлень ядра.
patchState: чи є якісь критичні виправлення ядра, які потребують встановлення.
версія: версія патчів ядра, якщо такі є, які потрібно застосувати.
виправлення: виправлення, що містяться в патчах ядра.
Примусове оновлення Livepatch зараз
Вся суть Livepatch полягає в тому, щоб надати послугу керованого оновлення, тобто вам не потрібно думати про це. Це все зроблено для вас. Але якщо ви хочете, ви можете змусити Livepatch перевірити наявність виправлень ядра (і застосувати будь-які знайдені) за допомогою такої команди:
sudo canonical-livepatch refresh
Livepatch повідомляє вам версію ядра до та після оновлення. У цьому прикладі не було чого застосувати.
Менше тертя, більше безпеки
Тертя безпеки – це біль або незручність, пов’язана із впровадженням, використанням або підтримкою функції безпеки. Якщо тертя занадто велике, безпека страждає, оскільки функція не використовується та не підтримується. Livepatch знімає всі труднощі із застосуванням критичних оновлень ядра, зберігаючи ваше ядро максимально безпечним.
Це довгомірно означає «перемагати, вигравати».