如何在 Ubuntu LTS 系统上启用 Canonical 的内核实时补丁服务
创始人
2024-03-02 03:14:02
0

Canonical 在 Ubuntu 14.04 LTS 系统中引入了 内核实时补丁服务 Kernel Livepatch Service 。实时补丁服务允许你安装和应用关键的 Linux 内核安全更新,而无需重新启动系统。这意味着,在应用内核补丁程序后,你无需重新启动系统。而通常情况下,我们需要在安装内核补丁后重启 Linux 服务器才能供系统使用。

实时修补非常快。大多数内核修复程序只需要几秒钟。Canonical 的实时补丁服务对于不超过 3 个系统的用户无需任何费用。你可以通过命令行在桌面和服务器中启用 Canonical 实时补丁服务。

这个实时补丁系统旨在解决高级和关键的 Linux 内核安全漏洞。

有关支持的系统和其他详细信息,请参阅下表。

Ubuntu 版本架构内核版本内核变体
Ubuntu 18.04 LTS64-bit x864.15仅 GA 通用和低电压内核
Ubuntu 16.04 LTS64-bit x864.4仅 GA 通用和低电压内核
Ubuntu 14.04 LTS64-bit x864.4仅 Hardware Enablement 内核

注意:Ubuntu 14.04 中的 Canonical 实时补丁服务 LTS 要求用户在 Trusty 中运行 Ubuntu v4.4 内核。如果你当前没有运行使用该服务,请重新启动到此内核。

为此,请按照以下步骤操作。

如何获取实时补丁令牌?

导航到 Canonical 实时补丁服务页面,如果要使用免费服务,请选择“Ubuntu 用户”。它适用于不超过 3 个系统的用户。如果你是 “UA 客户” 或多于 3 个系统,请选择 “Ubuntu customer”。最后,单击 “Get your Livepatch token” 按钮。

确保你已经在 “Ubuntu One” 中拥有帐号。否则,可以创建一个新的。

登录后,你将获得你的帐户密钥。

在系统中安装 Snap 守护程序

实时补丁系统通过快照包安装。因此,请确保在 Ubuntu 系统上安装了 snapd 守护程序。

$ sudo apt update
$ sudo apt install snapd

如何系统中安装和配置实时补丁服务?

通过运行以下命令安装 canonical-livepatch 守护程序。

$ sudo snap install canonical-livepatch
canonical-livepatch 9.4.1 from Canonical* installed

运行以下命令以在 Ubuntu 计算机上启用实时内核补丁程序。

$ sudo canonical-livepatch enable xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e

Successfully enabled device. Using machine-token: xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e

运行以下命令查看实时补丁机器的状态。

$ sudo canonical-livepatch status

client-version: 9.4.1
architecture: x86_64
cpu-model: Intel(R) Core(TM) i7-6700HQ CPU @ 2.60GHz
last-check: 2019-07-24T12:30:04+05:30
boot-time: 2019-07-24T12:11:06+05:30
uptime: 19m11s
status:
- kernel: 4.15.0-55.60-generic
  running: true
  livepatch:
    checkState: checked
    patchState: nothing-to-apply
    version: ""
    fixes: ""

使用 --verbose 开关运行上述相同的命令,以获取有关实时修补机器的更多信息。

$ sudo canonical-livepatch status --verbose

如果要手动运行补丁程序,请执行以下命令。

$ sudo canonical-livepatch refresh

Before refresh:

kernel: 4.15.0-55.60-generic
fully-patched: true
version: ""

After refresh:

kernel: 4.15.0-55.60-generic
fully-patched: true
version: ""

patchState 会有以下状态之一:

  • applied:未发现任何漏洞
  • nothing-to-apply:成功找到并修补了漏洞
  • kernel-upgrade-required:实时补丁服务无法安装补丁来修复漏洞

请注意,安装内核补丁与在系统上升级/安装新内核不同。如果安装了新内核,则必须重新引导系统以激活新内核。


via: https://www.2daygeek.com/enable-canonical-kernel-livepatch-service-on-ubuntu-lts-system/

作者:Magesh Maruthamuthu 选题:lujun9972 译者:wxy 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

相关内容

CentOS 5.3至最新...
CentOS 5.3升级指南:安全过渡与系统优化 对于仍在运行Ce...
2025-03-15 06:13:57
Debian 12.9版本...
狼叫兽 1月11日,Debian项目团队发布了最新更新版本12...
2025-02-28 10:49:46
DeepSeek开源第三弹...
新浪讯 2月26日上午消息,DeepSeek开源周(OpenSou...
2025-02-26 10:19:19
DeepSeek"...
今天是DeepSeek“开源周”第二日,DeepSeek宣布开源D...
2025-02-25 18:21:46
DeepSeek开源第二弹...
衡宇 发自 凹非寺 量子位 | 公众号 QbitAI 好消息如约而...
2025-02-25 17:20:59
刚刚,DeepSeek开源...
机器之心报道 机器之心编辑部 上周五,DeepSeek 发推说本周...
2025-02-25 12:50:48

热门资讯

使用 KRAWL 扫描 Kub... 用 KRAWL 脚本来识别 Kubernetes Pod 和容器中的错误。当你使用 Kubernet...
Helix:高级 Linux ... 说到 基于终端的文本编辑器,通常 Vim、Emacs 和 Nano 受到了关注。这并不意味着没有其他...
通过 SaltStack 管理... 我在搜索Puppet的替代品时,偶然间碰到了Salt。我喜欢puppet,但是我又爱上Salt了:)...
Epic 游戏商店现在可在 S... 现在可以在 Steam Deck 上运行 Epic 游戏商店了,几乎无懈可击! 但是,它是非官方的。...
如何在 Github 上创建一... 学习如何复刻一个仓库,进行更改,并要求维护人员审查并合并它。你知道如何使用 git 了,你有一个 G...
2024 开年,LLUG 和你... Hi,Linuxer,2024 新年伊始,不知道你是否已经准备好迎接新的一年~ 2024 年,Lin...
Bazzite:专为 Stea... 为 Linux 桌面或者 Steam Deck 做好游戏准备,听起来都很刺激!对于一个专为 Linu...
Motrix:一个漂亮的跨平台... 一个开源的下载管理器,提供了一个简洁的用户界面,同时提供了跨平台操作的所有基本功能。在这里了解关于它...
Bash 脚本中如何使用 he... here 文档 here document (LCTT 译注:here 文档又称作 heredoc ...
使用 dialog 和 jq ... 为何选择文字用户界面(TUI)?许多人每日都在使用终端,因此, 文字用户界面 Text User I...