Поиск по сайту:

Как использовать службу Livepatch от Canonical в Ubuntu

Хотите, чтобы важные исправления ядра Linux автоматически применялись к вашей системе Ubuntu без перезагрузки компьютера? Мы опишем, как именно для этого использовать службу Livepatch от Canonical.

Что такое Livepatch и как он работает?

Как объяснил Дастин Киркланд из Canonical несколько лет назад, Canonical Livepatch использует технологию Kernel Live Patching, встроенную в стандартное ядро Linux. На веб-сайте Canonical Livepatch отмечается, что его используют крупные корпорации, такие как AT&T, Cisco и Walmart.

Это бесплатно для личного использования на трех компьютерах — по словам Киркланда, это могут быть «рабочие столы, серверы, виртуальные машины или облачные экземпляры». Организации могут использовать его на большем количестве систем с платной подпиской Ubuntu Advantage.

Патчи ядра необходимы, но неудобны

Патчи ядра Linux — это факт жизни. Поддержание безопасности вашей системы и своевременное обновление исправлений жизненно важно в нашем взаимосвязанном мире, в котором мы живем. Но необходимость перезагрузки компьютера для применения исправлений ядра может быть проблемой. Особенно, если компьютер предоставляет какие-либо услуги пользователям, и вам необходимо координировать или договариваться с ними, чтобы отключить эту услугу. И есть множитель. Если вы поддерживаете несколько машин с Ubuntu, в какой-то момент вам придется стиснуть зубы и выполнять каждую из них по очереди.

Служба Canonical Livepatch устраняет все трудности, связанные с поддержанием ваших систем Ubuntu в актуальном состоянии с помощью критических исправлений ядра. Его легко настроить — графически или из командной строки — и это снимет с ваших плеч еще одну рутинную работу.

Все, что снижает затраты на техническое обслуживание, повышает безопасность и сокращает время простоя, должно быть привлекательным, верно? Да, но есть некоторые оговорки.

  • Вы должны использовать выпуск Ubuntu с долгосрочной поддержкой (LTS), например 16.04 или 18.04. Самая последняя версия LTS — 18.04, поэтому мы будем использовать ее здесь.
  • Это должна быть 64-разрядная версия.
  • Вы должны использовать Linux Kernel 4.4 или более позднюю версию
  • У вас должна быть учетная запись Ubuntu One. Помните их? Если у вас нет учетной записи Ubuntu One, вы можете создать бесплатную учетную запись.
  • Вы можете бесплатно пользоваться службой Canonical Livepatch, но вы можете использовать не более трех компьютеров на одну учетную запись Ubuntu One. Если вам нужно обслуживать более трех компьютеров, вам потребуются дополнительные учетные записи Ubuntu One.
  • Если вам нужно обслуживать физические, виртуальные или размещенные в облаке серверы, вам необходимо стать клиентом Ubuntu Advantage.

Получение учетной записи Ubuntu One

Независимо от того, собираетесь ли вы настраивать службу Livepatch через графический интерфейс пользователя (GUI) или через интерфейс командной строки (CLI), у вас должна быть учетная запись Ubuntu One. Это необходимо, поскольку работа службы Livepatch зависит от закрытого ключа, который выдается вам и привязан к вашей учетной записи Ubuntu One.

  • Если вы настроили службу Livepatch с помощью графического интерфейса, вы не увидите свой ключ. Он по-прежнему требуется и используется, но все это выполняется в фоновом режиме.
  • Если вы настроили службу Livepatch через терминал, вам потребуется скопировать и вставить ключ из браузера в командную строку.

Если у вас нет учетной записи Ubuntu One, вы можете создать ее бесплатно.

Графическое включение службы Canonical Livepatch

Для запуска графического интерфейса настройки нажмите клавишу «Супер». Он расположен между клавишами «Control» и «Alt» в левом нижнем углу большинства клавиатур. Найдите «livepatch».

Когда вы увидите значок Livepatch, щелкните значок или нажмите «Ввод».

Появится диалоговое окно «Программное обеспечение и обновления» с выбранной вкладкой Livepatch. Нажмите кнопку «Войти». Напоминаем, что вам нужна учетная запись Ubuntu One.

Нажмите кнопку «Войти/Зарегистрироваться».

Появится диалоговое окно учетной записи единого входа Ubuntu. Canonical использует термины «Ubuntu One» и «Single Sign-On» как синонимы. Они означают одно и то же. Официально «Single Sign-On» был заменен на «Ubuntu One», но старое название сохранилось.

Введите данные своей учетной записи и нажмите кнопку «Подключиться». Вы также можете использовать это диалоговое окно для регистрации учетной записи, если вы еще не создали ее.

Вам будет предложено ввести пароль.

Введите свой пароль и нажмите кнопку «Аутентифицировать». В диалоговом окне отображается адрес электронной почты, связанный с учетной записью Ubuntu One, которую вы собираетесь использовать.

Убедитесь в правильности и нажмите кнопку «Продолжить».

Вас снова попросят ввести пароль. Через несколько секунд вкладка Livepatch в диалоговом окне «Программное обеспечение и обновления» обновится, чтобы показать, что Livepatch работает и активен.

Новый значок щита появится в области уведомлений инструмента рядом со значками сети, звука и питания. Зеленый круг с галочкой говорит о том, что все в порядке. Щелкните значок, чтобы получить доступ к меню.

Нам говорят, что Livepatch включен, а текущих обновлений нет.

Параметр «Настройки Livepatch» откроет диалоговое окно «Программное обеспечение и обновления» на вкладке Livepatch.

Вот и все; все готово.

Включение службы Canonical Livepatch с помощью интерфейса командной строки

Вам понадобится учетная запись Ubuntu One. Если у вас его нет, у вас будет возможность его создать. Они бесплатны, и это займет всего минуту.

Некоторые из шагов, которые нам нужно выполнить, основаны на веб-интерфейсе, поэтому это не настоящий метод только для CLI. Мы начинаем с посещения веб-страницы Canonical Livepatch Service, чтобы получить наш секретный ключ или «токен».

Выберите переключатель «Пользователь Ubuntu» и нажмите кнопку «Получить токен Livepatch».

Вам будет предложено войти в свою учетную запись Ubuntu One.

  • Если у вас есть учетная запись, введите адрес электронной почты, который вы использовали для настройки учетной записи, и выберите переключатель «У меня есть учетная запись Ubuntu One, и мой пароль:».
  • Если у вас нет учетной записи, введите свой адрес электронной почты и выберите переключатель «У меня нет учетной записи Ubuntu One». Вы получите инструкции по процессу создания учетной записи.

Как только ваша учетная запись Ubuntu One будет подтверждена, вы увидите веб-страницу Managed live kernel patching. Ваш ключ будет отображаться.

Держите веб-страницу с вашим ключом открытой и откройте окно терминала. Используйте эту команду в окне терминала для установки демона службы Livepatch:

sudo snap install canonical-livepatch

Когда установка будет завершена, вам нужно включить службу. Вам понадобится ключ с веб-страницы «Управляемое исправление живого ядра».

Вам нужно скопировать и вставить ключ в командную строку. Выделите ключ на веб-странице, щелкните его правой кнопкой мыши и выберите «Копировать» в контекстном меню. Или вы можете выделить клавишу и нажать «Ctrl + C».

Введите следующую команду в окне терминала, но не нажимайте «Enter».

sudo canonical-livepatch enable

Затем введите пробел, щелкните правой кнопкой мыши и выберите «Вставить» в контекстном меню. Или вы можете нажать «Ctrl + Shift + V». Вы должны увидеть команду, которую вы только что набрали, пробел и ключ с веб-страницы.

На тестовой машине, которая использовалась для исследования этой статьи, это выглядело так:

Нажмите Ввод.

Если все пойдет хорошо, вы увидите подтверждающее сообщение от Livepatch, в котором говорится, что компьютер включен для исправления ядра. Он также покажет другой длинный ключ; это «машинный токен».

Только что произошло:

  • Вы получили ключ Livepatch от Canonical.
  • Его можно использовать на трех компьютерах. Вы уже использовали его на одном компьютере.
  • Токен машины, сгенерированный для этого компьютера с использованием вашего ключа, — это токен машины, отображаемый в этом сообщении.

Если вы проверите вкладку Livepatch в диалоговом окне «Программное обеспечение и обновления», вы увидите, что Livepatch включен и активен.

Проверка статуса Livepatch

Вы можете заставить Livepatch выдавать вам отчет о состоянии, используя следующую команду:

sudo canonical-livepatch status

Отчет о состоянии содержит:

  • client-version: версия программного обеспечения Livepatch.
  • архитектура: архитектура процессора компьютера.
  • модель процессора: тип и модель центрального процессора (ЦП) компьютера.
  • последняя проверка: время и дата, когда Livepatch последний раз проверял наличие критических обновлений ядра, доступных для загрузки.
  • время загрузки: время последнего включения компьютера.
  • время безотказной работы: время, в течение которого компьютер был включен.

Статусный блок сообщает нам:

  • kernel: версия текущего ядра.
  • работает: работает Livepatch или нет.
  • checkstate: проверил ли Livepatch наличие исправлений ядра.
  • patchState: наличие критических исправлений ядра, требующих установки.
  • версия: версия исправлений ядра, если таковые имеются, которые необходимо применить.
  • исправления: исправления, содержащиеся в исправлениях ядра.

Принудительное обновление Livepatch сейчас

Весь смысл Livepatch заключается в предоставлении управляемой службы обновлений, то есть вам не нужно об этом думать. Это все сделано для вас. Но если вы хотите, вы можете заставить Livepatch проверять наличие исправлений ядра (и применять все найденные) с помощью следующей команды:

sudo canonical-livepatch refresh

Livepatch сообщает вам версию ядра до и после обновления. В этом примере нечего было применять.

Меньше трения, больше безопасности

Трение безопасности — это боль или неудобство, связанные с внедрением, использованием или обслуживанием функции безопасности. Если трение слишком велико, страдает безопасность, потому что функция не используется или не поддерживается. Livepatch устраняет все трудности, связанные с применением критических обновлений ядра, сохраняя ваше ядро максимально безопасным.

Это сокращение от «победа, победа».