Möchten Sie, dass kritische Linux-Kernel-Patches automatisch auf Ihr Ubuntu-System angewendet werden – ohne Ihren Computer neu starten zu müssen? Wir beschreiben, wie Sie dazu den Livepatch-Service von Canonical verwenden.
Inhaltsverzeichnis
Was ist Livepatch und wie funktioniert es?
Als Dustin Kirkland von Canonical erklärt Canonical Livepatch verwendet vor einigen Jahren die Kernel-Live-Patching Technologie, die in den Standard-Linux-Kernel integriert ist. Canonicals Livepatch-Website stellt fest, dass große Unternehmen wie AT&T, Cisco und Walmart es verwenden.
Es ist für den persönlichen Gebrauch auf bis zu drei Computern kostenlos – laut Kirkland können dies „Desktops, Server, virtuelle Maschinen oder Cloud-Instanzen“ sein. Organisationen können es auf mehr Systemen mit einem kostenpflichtigen Ubuntu-Vorteil Abonnement.
Kernel-Patches sind notwendig, aber unbequem
Linux-Kernel-Patches sind eine Tatsache des Lebens. In der vernetzten Welt, in der wir leben, ist es von entscheidender Bedeutung, Ihr System sicher und auf dem neuesten Stand zu halten. Aber es kann mühsam sein, Ihren Computer neu zu starten, um Kernel-Patches anzuwenden. Dies gilt insbesondere dann, wenn der Computer den Benutzern einen Dienst bereitstellt und Sie sich mit ihnen abstimmen oder mit ihnen verhandeln müssen, um den Dienst offline zu schalten. Und es gibt einen Multiplikator. Wenn Sie mehrere Ubuntu-Rechner pflegen, müssen Sie irgendwann in den sauren Apfel beißen und jeden nacheinander bearbeiten.
Der Canonical Livepatch Service beseitigt die ganze Erschwernis, Ihre Ubuntu-Systeme mit kritischen Kernel-Patches auf dem neuesten Stand zu halten. Es ist einfach einzurichten – entweder grafisch oder über die Befehlszeile – und nimmt Ihnen eine weitere Aufgabe ab.
Alles, was den Wartungsaufwand reduziert, die Sicherheit erhöht und Ausfallzeiten reduziert, muss ein attraktives Angebot sein, oder? Ja, aber es gibt einige Vorbehalte.
Sie müssen a . verwenden Langzeitunterstützung (LTS)-Version von Ubuntu wie 16.04 oder 18.04. Die neueste LTS-Version ist 18.04, das ist die Version, die wir hier verwenden werden.
Es muss eine 64-Bit-Version sein.
Sie müssen Linux Kernel 4.4 oder höher ausführen
Sie benötigen ein Ubuntu One-Konto. Erinnere dich an sie? Wenn Sie kein Ubuntu One-Konto haben, können Sie sich für ein kostenloses Konto anmelden.
Sie können den Canonical Livepatch Service kostenlos nutzen, sind jedoch auf drei Computer pro Ubuntu One-Konto beschränkt. Wenn Sie mehr als drei Computer verwalten müssen, benötigen Sie zusätzliche Ubuntu One-Konten.
Wenn Sie physische, virtuelle oder in der Cloud gehostete Server betreuen müssen, müssen Sie ein Ubuntu-Vorteil Kunde.
Ein Ubuntu One-Konto erstellen
Ob Sie den Livepatch-Dienst über das grafische Benutzeroberfläche (GUI) oder über die Befehlszeilenschnittstelle (CLI) benötigen Sie ein Ubuntu One-Konto. Dies ist erforderlich, da der Betrieb des Livepatch-Dienstes von einem privaten Schlüssel abhängt, der Ihnen ausgestellt und an Ihr Ubuntu One-Konto gebunden ist.
Wenn Sie den Livepatch-Dienst über die GUI einrichten, wird Ihr Schlüssel nicht angezeigt. Es wird weiterhin benötigt und verwendet, aber es wird alles im Hintergrund für Sie abgewickelt.
Wenn Sie Ihren Livepatch-Dienst über das Terminal einrichten, müssen Sie Ihren Schlüssel aus Ihrem Browser kopieren und in die Befehlszeile einfügen.
Wenn Sie kein Ubuntu One-Konto haben, du kannst einen erstellen Um keinen Preis.
Grafisches Aktivieren des Canonical Livepatch-Dienstes
Um die grafische Einrichtungsoberfläche zu starten, drücken Sie die „Super“-Taste. Diese befindet sich zwischen den Tasten „Strg“ und „Alt“ unten links bei den meisten Tastaturen. Suchen Sie nach „Livepatch“.
Wenn Sie das Livepatch-Symbol sehen, klicken Sie auf das Symbol oder drücken Sie „Enter“.
Das Dialogfenster „Software und Updates“ wird mit der ausgewählten Registerkarte „Livepatch“ angezeigt. Klicken Sie auf die Schaltfläche „Anmelden“. Sie werden daran erinnert, dass Sie ein Ubuntu One-Konto benötigen.
Klicken Sie auf die Schaltfläche „Anmelden / Registrieren“.
Das Dialogfenster Ubuntu Single Sign-On-Konto wird angezeigt. Canonical verwendet die Begriffe „Ubuntu One“ und „Single Sign-On“ synonym. Sie meinen dasselbe. Offiziell wurde „Single Sign-On“ durch „Ubuntu One“ ersetzt, aber der alte Name bleibt bestehen.
Geben Sie Ihre Kontodaten ein und klicken Sie auf die Schaltfläche „Verbinden“. Sie können dieses Dialogfenster auch verwenden, um sich für ein Konto zu registrieren, wenn Sie noch kein Konto erstellt haben.
Sie werden nach Ihrem Passwort gefragt.
Geben Sie Ihr Passwort ein und klicken Sie auf die Schaltfläche „Authentifizierung“. Ein Dialogfenster zeigt Ihnen die E-Mail-Adresse an, die mit dem Ubuntu One-Konto verknüpft ist, das Sie verwenden werden.
Stellen Sie sicher, dass es richtig ist und klicken Sie auf die Schaltfläche „Weiter“.
Sie werden noch einmal nach Ihrem Passwort gefragt. Nach einigen Sekunden wird die Registerkarte Livepatch im Dialogfenster „Software und Updates“ aktualisiert, um anzuzeigen, dass Livepatch live und aktiv ist.
Ein neues Schildsymbol wird im Infobereich des Tools in der Nähe der Netzwerk-, Sound- und Stromsymbole angezeigt. Der grüne Kreis mit dem Häkchen sagt Ihnen, dass alles in Ordnung ist. Klicken Sie auf das Symbol, um auf das Menü zuzugreifen.
Uns wird mitgeteilt, dass Livepatch aktiviert ist und es keine aktuellen Updates gibt.
Die Option „Livepatch-Einstellungen“ öffnet das Dialogfenster „Software und Updates“ auf der Registerkarte Livepatch.
Das ist es; du bist fertig.
Aktivieren des Canonical Livepatch Service über die CLI
Du wirst einen brauchen Ubuntu One-Konto. Wenn Sie keinen haben, haben Sie die Möglichkeit, einen zu erstellen. Sie sind kostenlos und es dauert nur einen Moment.
Einige der Schritte, die wir ausführen müssen, sind webbasiert, daher ist dies keine wirklich reine CLI-Methode. Wir beginnen mit dem Besuch der Canonical Livepatch Service-Webseite um unseren geheimen Schlüssel oder „Token“ zu erhalten.
Wählen Sie das Optionsfeld „Ubuntu-Benutzer“ und klicken Sie auf die Schaltfläche „Get Your Livepatch Token“.
Sie werden aufgefordert, sich bei Ihrem Ubuntu One-Konto anzumelden.
Wenn Sie ein Konto haben, geben Sie die E-Mail-Adresse ein, die Sie zum Einrichten des Kontos verwendet haben, und wählen Sie das Optionsfeld „Ich habe ein Ubuntu One-Konto und mein Passwort ist:“ aus.
Wenn Sie kein Konto haben, geben Sie Ihre E-Mail-Adresse ein und wählen Sie das Optionsfeld „Ich habe kein Ubuntu One-Konto“. Sie werden durch den Kontoerstellungsprozess geführt.
Sobald Ihr Ubuntu One-Konto verifiziert wurde, sehen Sie die Webseite Managed Live Kernel Patching. Ihr Schlüssel wird angezeigt.
Halten Sie die Webseite mit Ihrem Schlüssel geöffnet und öffnen Sie ein Terminalfenster. Verwenden Sie diesen Befehl im Terminalfenster, um den Livepatch-Dienstdaemon zu installieren:
sudo snap install canonical-livepatch
Wenn die Installation abgeschlossen ist, müssen Sie den Dienst aktivieren. Sie benötigen den Schlüssel von der Webseite „Managed Live Kernel Patching“.
Sie müssen den Schlüssel kopieren und in die Befehlszeile einfügen. Markieren Sie den Schlüssel auf der Webseite, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Kopieren“ aus dem Kontextmenü. Oder Sie können die Taste markieren und „Strg+C“ drücken.
Geben Sie den folgenden Befehl in das Terminalfenster ein, drücken Sie jedoch nicht die Eingabetaste.
sudo canonical-livepatch enable
Geben Sie dann ein Leerzeichen ein, klicken Sie mit der rechten Maustaste und wählen Sie „Einfügen“ aus dem Kontextmenü. Oder Sie können „Strg+Umschalt+V“ drücken. Sie sollten den gerade eingegebenen Befehl, ein Leerzeichen und den Schlüssel von der Webseite sehen.
Auf der Testmaschine, mit der dieser Artikel recherchiert wurde, sah es so aus:
Drücken Sie Enter.“
Wenn alles gut geht, sehen Sie eine Bestätigungsnachricht von Livepatch, die Ihnen mitteilt, dass der Computer für das Kernel-Patching aktiviert wurde. Es wird auch ein weiterer langer Schlüssel angezeigt; dies ist das „Maschinen-Token“.
Was gerade passiert ist ist:
Sie haben Ihren Livepatch-Schlüssel von Canonical erhalten.
Sie können es auf drei Computern verwenden. Sie haben es bisher auf einem Computer verwendet.
Das Maschinen-Token, das für diesen Computer – unter Verwendung Ihres Schlüssels – generiert wurde, ist das in dieser Nachricht angezeigte Maschinen-Token.
Wenn Sie die Registerkarte Livepatch im Dialogfenster „Software und Updates“ überprüfen, sehen Sie, dass Livepatch aktiviert und aktiv ist.
Überprüfen des Status des Livepatch
Sie können Livepatch veranlassen, Ihnen einen Statusbericht mit dem folgenden Befehl zu senden:
sudo canonical-livepatch status
Der Statusbericht enthält:
client-version: Die Softwareversion von Livepatch.
Architektur: Die CPU-Architektur des Computers.
CPU-Modell: Der Typ und das Modell des Zentraleinheit (CPU) im Computer.
last-check: Die Uhrzeit und das Datum, an dem Livepatch zuletzt überprüft hat, ob kritische Kernel-Updates zum Download verfügbar waren.
boot-time: Die Zeit, zu der dieser Computer das letzte Mal eingeschaltet wurde.
Betriebszeit: Die Dauer, für die dieser Computer eingeschaltet war.
Der Statusblock sagt uns:
Kernel: Die Version des aktuellen Kernels.
running: Ob Livepatch läuft oder nicht.
checkstate: Ob Livepatch auf Kernel-Patches überprüft hat.
patchState: Gibt an, ob kritische Kernel-Patches installiert werden müssen.
version: Die Version der Kernel-Patches, falls vorhanden, die angewendet werden müssen.
fixes: Die in den Kernel-Patches enthaltenen Fixes.
Erzwingen, dass Livepatch jetzt aktualisiert wird
Der Sinn von Livepatch besteht darin, einen verwalteten Aktualisierungsdienst bereitzustellen, sodass Sie sich keine Gedanken darüber machen müssen. Es ist alles für Sie erledigt. Aber wenn Sie möchten, können Sie Livepatch mit dem folgenden Befehl zwingen, nach Kernel-Patches zu suchen (und alle gefundenen anzuwenden):
sudo canonical-livepatch refresh
Livepatch teilt Ihnen die Version des Kernels vor und nach der Aktualisierung mit. In diesem Beispiel war nichts anzuwenden.
Weniger Reibung, mehr Sicherheit
Sicherheitsprobleme sind die Schmerzen oder Unannehmlichkeiten, die mit der Implementierung, Verwendung oder Wartung einer Sicherheitsfunktion verbunden sind. Wenn die Reibung zu hoch ist, leidet die Sicherheit, weil das Feature nicht verwendet oder gewartet wird. Livepatch beseitigt die Reibungsverluste beim Anwenden kritischer Kernel-Updates und hält Ihren Kernel so sicher wie möglich.
Das ist die Langschrift für „gewinnen, gewinnen“.