如何在 Ubuntu LTS 系統上啟用 Canonical 的核心實時修補程式服務

2019-07-27 07:23:00

Canonical 在 Ubuntu 14.04 LTS 系統中引入了核心實時修補程式服務Kernel Livepatch Service。實時修補程式服務允許你安裝和應用關鍵的 Linux 核心安全更新,而無需重新啟動系統。這意味著,在應用核心修補程式程式後,你無需重新啟動系統。而通常情況下,我們需要在安裝核心修補程式後重新啟動 Linux 伺服器才能供系統使用。

實時修補非常快。大多數核心修復程式只需要幾秒鐘。Canonical 的實時修補程式服務對於不超過 3 個系統的使用者無需任何費用。你可以通過命令列在桌面和伺服器中啟用 Canonical 實時修補程式服務。

這個實時修補程式系統旨在解決高階和關鍵的 Linux 核心安全漏洞。

有關支援的系統和其他詳細資訊,請參閱下表。

Ubuntu 版本架構核心版本核心變體
Ubuntu 18.04 LTS64-bit x864.15僅 GA 通用和低電壓核心
Ubuntu 16.04 LTS64-bit x864.4僅 GA 通用和低電壓核心
Ubuntu 14.04 LTS64-bit x864.4僅 Hardware Enablement 核心

注意:Ubuntu 14.04 中的 Canonical 實時修補程式服務 LTS 要求使用者在 Trusty 中執行 Ubuntu v4.4 核心。如果你當前沒有執行使用該服務,請重新啟動到此核心。

為此,請按照以下步驟操作。

如何獲取實時修補程式令牌?

導航到 Canonical 實時修補程式服務頁面,如果要使用免費服務,請選擇“Ubuntu 使用者”。它適用於不超過 3 個系統的使用者。如果你是 “UA 客戶” 或多於 3 個系統,請選擇 “Ubuntu customer”。最後,單擊 “Get your Livepatch token” 按鈕。

確保你已經在 “Ubuntu One” 中擁有帳號。否則,可以建立一個新的。

登入後,你將獲得你的帳戶金鑰。

在系統中安裝 Snap 守護程式

實時修補程式系統通過快照包安裝。因此,請確保在 Ubuntu 系統上安裝了 snapd 守護程式。

$ sudo apt update$ sudo apt install snapd

如何系統中安裝和設定實時修補程式服務?

通過執行以下命令安裝 canonical-livepatch 守護程式。

$ sudo snap install canonical-livepatchcanonical-livepatch 9.4.1 from Canonical* installed

執行以下命令以在 Ubuntu 計算機上啟用實時核心修補程式程式。

$ sudo canonical-livepatch enable xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4eSuccessfully enabled device. Using machine-token: xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e

執行以下命令檢視實時修補程式機器的狀態。

$ sudo canonical-livepatch statusclient-version: 9.4.1architecture: x86_64cpu-model: Intel(R) Core(TM) i7-6700HQ CPU @ 2.60GHzlast-check: 2019-07-24T12:30:04+05:30boot-time: 2019-07-24T12:11:06+05:30uptime: 19m11sstatus:- kernel: 4.15.0-55.60-generic  running: true  livepatch:    checkState: checked    patchState: nothing-to-apply    version: ""    fixes: ""

使用 --verbose 開關執行上述相同的命令,以獲取有關實時修補機器的更多資訊。

$ sudo canonical-livepatch status --verbose

如果要手動執行修補程式程式,請執行以下命令。

$ sudo canonical-livepatch refreshBefore refresh:kernel: 4.15.0-55.60-genericfully-patched: trueversion: ""After refresh:kernel: 4.15.0-55.60-genericfully-patched: trueversion: ""

patchState 會有以下狀態之一:

  • applied:未發現任何漏洞
  • nothing-to-apply:成功找到並修補了漏洞
  • kernel-upgrade-required:實時修補程式服務無法安裝修補程式來修復漏洞

請注意,安裝核心修補程式與在系統上升級/安裝新核心不同。如果安裝了新核心,則必須重新引導系統以啟用新核心。