Искате ли критични пачове на ядрото на Linux да се прилагат автоматично към вашата Ubuntu система – без да се налага да рестартирате компютъра си? Описваме как да използвате услугата Livepatch на Canonical, за да направите точно това.
Съдържание
Какво е Livepatch и как работи?
Като Дъстин Къркланд от Canonical обясни преди няколко години Canonical Livepatch използва Поправка на ядрото на живо технология, вградена в стандартното ядро на Linux. Canonical на Уебсайт на Livepatch отбелязва, че огромни корпорации като AT&T, Cisco и Walmart го използват.
Безплатно е за лична употреба на до три компютъра – според Kirkland това могат да бъдат „настолни компютри, сървъри, виртуални машини или облачни екземпляри“. Организациите могат да го използват на повече системи с платено Предимство на Ubuntu абонамент.
Коренките на ядрото са необходими, но неудобни
Пачовете на ядрото на Linux са факт от живота. Поддържането на вашата система защитена и актуална е жизненоважно в свързания свят, в който живеем. Но да се наложи да рестартирате компютъра си, за да приложите корекции на ядрото, може да бъде болка. Особено ако компютърът предоставя някаква услуга на потребителите и вие трябва да координирате или преговаряте с тях, за да изведете услугата офлайн. И има множител. Ако поддържате няколко Ubuntu машини, в един момент трябва да захапете куршума и да правите всяка една на свой ред.
Услугата Canonical Livepatch премахва цялото влошаване на поддържането на вашите Ubuntu системи актуални с критични корекции на ядрото. Лесно се настройва — графично или от командния ред — и отнема още една работа от плещите ви.
Всичко, което намалява усилията за поддръжка, повишава сигурността и намалява времето за престой, трябва да бъде привлекателно предложение, нали? Да, но има някои предупреждения.
Трябва да използвате a Дългосрочна поддръжка (LTS) версия на Ubuntu като 16.04 или 18.04. Най-новата версия на LTS е 18.04, така че това е версията, която ще използваме тук.
Трябва да е 64-битова версия.
Трябва да използвате Linux Kernel 4.4 или по-нова версия
Трябва да имате акаунт в Ubuntu One. Запомнете ги? Ако нямате акаунт в Ubuntu One, можете да се регистрирате за безплатен акаунт.
Можете да използвате услугата Canonical Livepatch безплатно, но сте ограничени до три компютъра на акаунт в Ubuntu One. Ако трябва да поддържате повече от три компютъра, ще ви трябват допълнителни акаунти в Ubuntu One.
Ако имате физически, виртуални или хоствани в облак сървъри, за които да се грижите, ще трябва да станете Предимство на Ubuntu клиент.
Получаване на акаунт в Ubuntu One
Независимо дали ще настроите услугата Livepatch чрез графичен потребителски интерфейс (GUI) или чрез интерфейса на командния ред (CLI), трябва да имате акаунт в Ubuntu One. Това е необходимо, тъй като работата на услугата Livepatch зависи от частен ключ, който ви е издаден и е свързан с вашия акаунт в Ubuntu One.
Ако настроите услугата Livepatch с помощта на GUI, няма да видите своя ключ. Все още се изисква и използва, но всичко се обработва във фонов режим вместо вас.
Ако настроите услугата Livepatch през терминала, ще трябва да копирате и поставите ключа си от браузъра си в командния ред.
Ако нямате акаунт в Ubuntu One, можете да създадете такъв без никакви разходи.
Разрешаване на услугата Canonical Livepatch графично
За да стартирате графичния интерфейс за настройка, натиснете клавиша „Супер“. Това се намира между клавишите „Control“ и „Alt“ в долния ляв ъгъл на повечето клавиатури. Потърсете „livepatch“.
Когато видите иконата Livepatch, щракнете върху иконата или натиснете „Enter“.
Ще се появи диалоговият прозорец „Софтуер и актуализации“ с избран раздел Livepatch. Щракнете върху бутона „Вход“. Напомняме ви, че имате нужда от акаунт в Ubuntu One.
Щракнете върху бутона „Вход / Регистриране“.
Появява се диалоговият прозорец на акаунта за единичен вход в Ubuntu. Canonical използва термините „Ubuntu One“ и „Single Sign-On“ взаимозаменяемо. Те означават едно и също нещо. Официално „Единичен вход“ беше заменен с „Ubuntu One“, но старото име остава.
Въведете данните за акаунта си и кликнете върху бутона „Свързване“. Можете също да използвате този диалогов прозорец, за да се регистрирате за акаунт, ако все още не сте създали такъв.
Ще бъдете подканени за вашата парола.
Въведете паролата си и кликнете върху бутона „Удостоверяване“. Диалогов прозорец ви показва имейл адреса, свързан с акаунта в Ubuntu One, който ще използвате.
Уверете се, че е правилен и щракнете върху бутона „Продължи“.
Ще бъдете помолени да въведете паролата си още веднъж. След няколко секунди разделът Livepatch в диалоговия прозорец „Софтуер и актуализации“ ще се актуализира, за да покаже, че Livepatch е активен и активен.
Нова икона на щит ще се появи в областта за уведомяване на инструмента, близо до иконите за мрежа, звук и захранване. Зеленият кръг с отметката ви казва, че всичко е наред. Щракнете върху иконата за достъп до менюто.
Казват ни, че Livepatch е включен и няма текущи актуализации.
Опцията „Настройки на Livepatch“ ще отвори диалоговия прозорец „Софтуер и актуализации“ в раздела Livepatch.
Това е; сте готови.
Активиране на услугата Canonical Livepatch с помощта на CLI
Ще имате нужда от Ubuntu One акаунт. Ако нямате такъв, ще имате възможност да го създадете. Те са безплатни и отнема само миг.
Някои от стъпките, които трябва да изпълним, са уеб-базирани, така че това не е наистина CLI метод. Започваме с посещение на Уеб страница на Canonical Livepatch Service за да получим нашия таен ключ или „токен“.
Изберете радио бутона „Ubuntu User“ и щракнете върху бутона „Вземете своя Livepatch Token“.
Ще бъдете подканени да влезете във вашия акаунт в Ubuntu One.
Ако имате акаунт, въведете имейл адреса, който сте използвали, за да настроите акаунта, и изберете бутона за избор „Имам акаунт в Ubuntu One и паролата ми е:“.
Ако нямате акаунт, въведете своя имейл адрес и изберете радио бутона „Нямам акаунт в Ubuntu One“. Ще бъдете водени през процеса на създаване на акаунт.
След като вашият акаунт в Ubuntu One бъде потвърден, ще видите уеб страницата за корекции на управлявано ядро на живо. Вашият ключ ще се покаже.
Дръжте уеб страницата с вашия ключ върху нея отворена и отворете прозорец на терминала. Използвайте тази команда в прозореца на терминала, за да инсталирате демона на услугата Livepatch:
sudo snap install canonical-livepatch
Когато инсталацията приключи, ще трябва да активирате услугата. Ще ви трябва ключът от уеб страницата „Управлявано кръпка на ядрото на живо“.
Трябва да копирате и поставите ключа в командния ред. Маркирайте ключа на уеб страницата, щракнете с десния бутон върху него и изберете „Копиране“ от контекстното меню. Или можете да маркирате клавиша и да натиснете „Ctrl+C“.
Въведете следната команда в прозореца на терминала, но не натискайте „Enter“.
sudo canonical-livepatch enable
След това въведете интервал и щракнете с десния бутон и изберете „Поставяне“ от контекстното меню. Или можете да натиснете „Ctrl+Shift+V“. Трябва да видите командата, която току-що написахте, интервал и ключ от уеб страницата.
На тестовата машина, използвана за изследване на тази статия, изглеждаше така:
Натиснете „Enter“.
Ако всичко върви добре, ще видите съобщение за потвърждение от Livepatch, което ви казва, че компютърът е активиран за корекция на ядрото. Той също така ще покаже друг дълъг ключ; това е „машина-токен“.
Това, което се случи току-що е:
Получихте своя ключ Livepatch от Canonical.
Можете да го използвате на три компютъра. Досега сте го използвали на един компютър.
Машинният токен, който е генериран за този компютър — с помощта на вашия ключ — е машинният маркер, показан в това съобщение.
Ако проверите раздела Livepatch в диалоговия прозорец „Софтуер и актуализации“, ще видите, че Livepatch е активиран и активен.
Проверка на състоянието на Livepatch
Можете да накарате Livepatch да ви даде отчет за състоянието, като използвате следната команда:
sudo canonical-livepatch status
Отчетът за състоянието съдържа:
клиентска версия: Софтуерната версия на Livepatch.
архитектура: Архитектурата на процесора на компютъра.
cpu-model: Типът и моделът на Централен процесор (CPU) в компютъра.
последна проверка: Часът и датата, на които Livepatch последно провери дали има критични актуализации на ядрото, налични за изтегляне.
boot-time: времето на последното включване на този компютър.
uptime: Продължителността, през която този компютър е бил включен.
Блокът на състоянието ни казва:
ядро: Версията на текущото ядро.
работи: Дали Livepatch работи или не.
checkstate: Дали Livepatch е проверил за корекции на ядрото.
patchState: Дали има критични корекции на ядрото, които трябва да бъдат инсталирани.
версия: Версията на корекциите на ядрото, ако има такива, които трябва да бъдат приложени.
поправки: Поправките, съдържащи се в корекциите на ядрото.
Принуждаване на Livepatch да актуализира сега
Целият смисъл на Livepatch е да предостави услуга за управлявано актуализиране, което означава, че не е нужно да мислите за това. Всичко е направено за вас. Но ако искате, можете да принудите Livepatch да проверява за корекции на ядрото (и да прилага всички, които намери) със следната команда:
sudo canonical-livepatch refresh
Livepatch ви казва версията на ядрото преди и след опресняването. Нямаше какво да се приложи в този пример.
По-малко триене, повече сигурност
Триенето на сигурността е болката или неудобството, свързани с внедряването, използването или поддържането на защитна функция. Ако триенето е твърде голямо, сигурността страда, защото функцията не се използва или поддържа. Livepatch премахва всички трудности от прилагането на критични актуализации на ядрото, като поддържа ядрото ви възможно най-сигурно.
Това е дълга ръка за „победа, победа“.