如何在 Ubuntu LTS 系統上啟用 Canonical 的核心實時修補程式服務

Canonical 在 Ubuntu 14.04 LTS 系統中引入了核心實時修補程式服務Kernel Livepatch Service。實時修補程式服務允許你安裝和應用關鍵的 Linux 核心安全更新，而無需重新啟動系統。這意味著，在應用核心修補程式程式後，你無需重新啟動系統。而通常情況下，我們需要在安裝核心修補程式後重新啟動 Linux 伺服器才能供系統使用。

實時修補非常快。大多數核心修復程式只需要幾秒鐘。Canonical 的實時修補程式服務對於不超過 3 個系統的使用者無需任何費用。你可以通過命令列在桌面和伺服器中啟用 Canonical 實時修補程式服務。

這個實時修補程式系統旨在解決高階和關鍵的 Linux 核心安全漏洞。

有關支援的系統和其他詳細資訊，請參閱下表。

注意：Ubuntu 14.04 中的 Canonical 實時修補程式服務 LTS 要求使用者在 Trusty 中執行 Ubuntu v4.4 核心。如果你當前沒有執行使用該服務，請重新啟動到此核心。

為此，請按照以下步驟操作。

如何獲取實時修補程式令牌？

導航到 Canonical 實時修補程式服務頁面，如果要使用免費服務，請選擇“Ubuntu 使用者”。它適用於不超過 3 個系統的使用者。如果你是 “UA 客戶” 或多於 3 個系統，請選擇 “Ubuntu customer”。最後，單擊 “Get your Livepatch token” 按鈕。

確保你已經在 “Ubuntu One” 中擁有帳號。否則，可以建立一個新的。

登入後，你將獲得你的帳戶金鑰。

在系統中安裝 Snap 守護程式

實時修補程式系統通過快照包安裝。因此，請確保在 Ubuntu 系統上安裝了 snapd 守護程式。

$ sudo apt update$ sudo apt install snapd

如何系統中安裝和設定實時修補程式服務？

通過執行以下命令安裝 canonical-livepatch 守護程式。

$ sudo snap install canonical-livepatchcanonical-livepatch 9.4.1 from Canonical* installed

執行以下命令以在 Ubuntu 計算機上啟用實時核心修補程式程式。

$ sudo canonical-livepatch enable xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4eSuccessfully enabled device. Using machine-token: xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e

執行以下命令檢視實時修補程式機器的狀態。

$ sudo canonical-livepatch statusclient-version: 9.4.1architecture: x86_64cpu-model: Intel(R) Core(TM) i7-6700HQ CPU @ 2.60GHzlast-check: 2019-07-24T12:30:04+05:30boot-time: 2019-07-24T12:11:06+05:30uptime: 19m11sstatus:- kernel: 4.15.0-55.60-generic  running: true  livepatch:    checkState: checked    patchState: nothing-to-apply    version: ""    fixes: ""

使用 --verbose 開關執行上述相同的命令，以獲取有關實時修補機器的更多資訊。

$ sudo canonical-livepatch status --verbose

如果要手動執行修補程式程式，請執行以下命令。

$ sudo canonical-livepatch refreshBefore refresh:kernel: 4.15.0-55.60-genericfully-patched: trueversion: ""After refresh:kernel: 4.15.0-55.60-genericfully-patched: trueversion: ""

patchState 會有以下狀態之一：

• applied：未發現任何漏洞
• nothing-to-apply：成功找到並修補了漏洞
• kernel-upgrade-required：實時修補程式服務無法安裝修補程式來修復漏洞

請注意，安裝核心修補程式與在系統上升級/安裝新核心不同。如果安裝了新核心，則必須重新引導系統以啟用新核心。