Livepatch —— 免重启给 Ubuntu Linux 内核打关键性安全补丁

如果你是一个在企业环境中维护关键性系统的系统管理员,你肯定对以下两件事深有感触:

1) 很难找个停机时间去给系统安装安全补丁以修复内核或者系统漏洞 。如果你工作的公司或者企业没有适当的安全策略,运营管理可能最终会优先保证系统的运行而不是解决系统漏洞。 此外,内部的官僚作风也可能延迟批准停机时间。我当时就是这样的。

2) 有时候你确实负担不起停机造成的损失,并且还要做好用别的什么方法减小恶意攻击带来的的风险的准备。

好消息是 Canonical 公司最近针对 Ubuntu 16.04 (64位版本 / 4.4.x 内核) 发布了 Livepatch 服务,它可以让你不用重启就能给内核打关键性安全补丁。 对,你没看错:使用 Livepatch 你不用重启就能使 Ubuntu 16.04 服务器系统的安全补丁生效。

注册 Ubuntu Livepatch 账号

要运行 Canonical Livepatch 服务你先要在这里注册一个账号 https://auth.livepatch.canonical.com/,并且表明你是一个普通用户还是企业用户(付费)。 通过使用令牌,所有的 Ubuntu 用户都能将最多 3 台不同的电脑连接到 Livepatch 服务:

Canonical Livepatch 服务

下一步系统会提示你输入你的 Ubuntu One 凭据,或者你也可以注册一个新账号。如果你选择后者,则需要你确认你的邮件地址才能完成注册:

Ubuntu One 确认邮件

一旦你点了上面的链接确认了你的邮件地址,你就会回到这个界面:https://auth.livepatch.canonical.com/ 并获取你的 Livepatch 令牌。

获取并使用 Livepatch 令牌

首先把分配给你账号的这个唯一的令牌复制下来:

Canonical Livepatch 令牌

然后打开终端,输入:


  1. $ sudo snap install canonical-livepatch

上面的命令会安装 livepatch 程序,下面的命令会为你的系统启用它。


  1. $ sudo canonical-livepatch enable [YOUR TOKEN HERE]

如果后一条的命令提示找不到 canonical-livepatch ,检查一下 /snap/bin 是否已经添加到你的路径, 或者把你的工作目录切换到  /snap/bin  下执行也行。


  1. $ sudo ./canonical-livepatch enable [YOUR TOKEN HERE]

在 Ubuntu 中安装 Livepatch

之后,你可能需要检查应用于内核的补丁的描述和状态。幸运的是,这很简单。


  1. $ sudo ./canonical-livepatch status --verbose

如下图所示:

检查补丁安装情况

在你的 Ubuntu 服务器上启用了 Livepatch,你就可以在保证系统安全的同时把计划内的外的停机时间降到最低。希望 Canonical 的这个举措会在管理上给你带来便利,甚至更近一步带来提升。

原文发布时间为:2017-12-01

本文来自合作伙伴“Linux中国”

时间: 2024-10-03 05:22:17

Livepatch —— 免重启给 Ubuntu Linux 内核打关键性安全补丁的相关文章

如何重建Ubuntu Linux内核包

本页谈论如何重建 http://www.aliyun.com/zixun/aggregation/13835.html">Ubuntu Linux 内核包.这是自己编译 Ubuntu 内核最直接的方法,但它也是相当重量级的方法.如果你打算做一些内核开发或调试的话,你也许会更高兴地按照 本指南 来做.它更复杂一点但也更灵活. 安装 我们将在你用户目录中构建"Linux"目录下的任何东西(或是你想调用的).下面的步骤必须做为根用户(通过前面用"sudo"

在Ubuntu上升级到Linux内核3.11.6

Ubuntu 13.10已经发布,不过它的内核可不是最新的.当然坚持Ubuntu 13.10当前内核不是一件坏事.事实上.不特别建议升级超出你的Linux发行版的官方仓库测试过的特定版本. 但另一方面,如果你不害怕一再折腾Ubuntu,那么你可以试试升级到最新Ubuntu支持的Linux内核.你会发觉最新的内核总是有改善的.修补了漏洞和添加特性的. 所以,如果你的电脑有些运行不正常,那么更新Linux内核可能就能修复.但记住,当你升级时你也有可能导致系统崩溃. 如果你不再惧怕,和我一起永往直前吧

Ubuntu中为Android系统上实现内置C可执行程序测试Linux内核驱动程序_Android

在前一篇文章中,我们介绍了如何在Ubuntu上为Android系统编写Linux内核驱动程序.在这个名为hello的Linux内核驱动程序中,创建三个不同的文件节点来供用户空间访问,分别是传统的设备文件/dev/hello.proc系统文件/proc/hello和devfs系统属性文件/sys/class/hello/hello/val.进一步,还通过cat命令来直接访问/proc/hello和/sys/class/hello/hello/val文件来,以验证驱动程序的正确性.在这一篇文章里,我

Ubuntu中为Android系统上编写Linux内核驱动程序实现方法_Android

        在智能手机时代,每个品牌的手机都有自己的个性特点.正是依靠这种与众不同的个性来吸引用户,营造品牌凝聚力和用户忠城度,典型的代表非iphone莫属了.据统计,截止2011年5月,AppStore的应用软件数量达381062个,位居第一,而Android Market的应用软件数量达294738,紧随AppStore后面,并有望在8月份越过AppStore.随着Android系统逐步扩大市场占有率,终端设备的多样性亟需更多的移动开发人员的参与.据业内统计,Android研发人才缺口至

Debian/Ubuntu Linux下内核编程者必备

如果你想要升级你的Debian/Ubuntu Linux内核,或者你希望为内核开发新的模块,或者您要为某个硬件写新的驱动程序--这一切都涉及到Debian/Ubuntu Linux内核编程. 作为一个内核编程者,有那么几个软件是你必须要有的,看作是你进行内核编程的几件法宝吧,下面我一一列举出来: 1.gcc 大名鼎鼎的gcc我想没有人不知道的吧?它是任何编程者必然要先安装的一个武器了.不过一般如果你是安装的Debian系统,应该已经默认安装了的.要是Ubuntu你就安装一下吧,安装方法嘛,就是输

学习向Linux内核贡献代码,接受Eudyptula挑战

如果你想为Linux内核贡献代码.但不确定从哪里开始,Eudyptula挑战会是检验你编程技能和学习如何参与内核社区的一种伟大的方法. 该挑战大约一个月前出现在线上http://eudyptula-challenge.org/,由一个匿名黑客(或黑客们)创办,以Little Penguin(小企鹅)[注1]命名,为了让更多开发者参与到Linux内核.它是模仿Matasano Crypto Challenge建立的--集中48小时的练习,培训参与者密码系统如何建立以及如何被攻击.而Eudyptul

如何在Ubuntu/CentOS上安装Linux内核4.0

如何在Ubuntu/CentOS上安装Linux内核4.0 大家好,今天我们学习一下如何从Elrepo或者源代码来安装最新的Linux内核4.0.代号为'Hurr durr I'm a sheep'的Linux内核4.0是目前为止最新的主干内核.它是稳定版3.19.4之后发布的内核.4月12日是所有的开源运动爱好者的大日子,Linux Torvalds宣布了Linux内核4.0的发布,它现在就已经可用了.由于包括了一些很棒的功能,例如无重启补丁(实时补丁),新的升级驱动,最新的硬件支持以及很多有

使用脚本便捷地在 Ubuntu 中安装最新 Linux 内核

想要安装最新的Linux内核吗?一个简单的脚本就可以在Ubuntu系统中方便的完成这项工作. Michael Murphy 写了一个脚本用来将最新的候选版.标准版.或者低延时版的内核安装到 Ubuntu 系统中.这个脚本会在询问一些问题后从 Ubuntu 内核主线页面 下载安装最新的 Linux 内核包. 通过脚本来安装.升级Linux内核: 1. 点击这个 github 页面 右上角的 "Download Zip" 来下载该脚本(注:此脚本在墙外,我已经搬运回来了,请参见下面.).

Ubuntu 14.10何时使用更新Linux内核3.16.4

  Linux发行版本之一Ubuntu 14.10幸运地赶上了Linux内核更新,新内核版本号为3.16.4. 根据Ubuntu开发人员的邮件显示,10月9日是14.10内核的冻结日期,那就意味着Linux内核3.16.4将是Ubuntu 14.10的最终核心.毕竟内核更新几乎没有什么规律可言,而且内核需要完成大量的测试后才可以推出. Ubuntu是Linux发行版本之一,使用范围很广泛,一直保持着每6个月一次的更新频率,最新的Ubuntu 14.10 Utopic Unicorn将于10月23