Com instal·lar actualitzacions del nucli a Ubuntu sense reiniciar

Si sou un administrador de sistemes encarregat de mantenir sistemes crítics en entorns empresarials, estem segurs que coneixeu dues coses importants:

1) Pot ser difícil trobar una finestra de temps d'inactivitat per instal·lar pedaços de seguretat per gestionar les vulnerabilitats del nucli o del sistema operatiu. Si l'empresa o l'empresa per a la qual treballeu no té polítiques de seguretat establertes, la gestió d'operacions pot acabar afavorint el temps de funcionament per sobre de la necessitat de resoldre les vulnerabilitats. A més, la burocràcia interna pot provocar retards en la concessió d'aprovacions per a un temps d'inactivitat. Jo mateix hi he estat.

2) De vegades no us podeu permetre el temps d'inactivitat i hauríeu d'estar preparat per mitigar qualsevol exposició potencial a atacs maliciosos d'una altra manera.

La bona notícia és que Canonical ha llançat recentment el seu servei Livepatch per aplicar pedaços crítics del nucli a Ubuntu 14.04 LTS, 16.04 LTS, 18.04 LTS i Ubuntu 20.04 LTS sense necessitat d'un reinici posterior. Sí, ho heu llegit bé: amb Livepatch, no cal que reinicieu el vostre servidor Ubuntu perquè els pedaços de seguretat tinguin efecte.

Registre de Livepatch al servidor Ubuntu

Per utilitzar el servei Canonical Livepatch, cal que us registreu a https://auth.livepatch.canonical.com/ i indiqueu si sou un usuari habitual d'Ubuntu o un subscriptor d'Advantage (opció de pagament). Tots els usuaris d'Ubuntu poden enllaçar fins a 3 màquines diferents a Livepatch mitjançant l'ús d'un testimoni:

Al següent pas, se us demanarà que introduïu les vostres credencials d'Ubuntu One o que us registreu per obtenir un compte nou. Si escolliu aquest últim, haureu de confirmar la vostra adreça de correu electrònic per finalitzar el vostre registre:

Un cop feu clic a l'enllaç anterior per confirmar la vostra adreça de correu electrònic, estareu preparat per tornar a https://auth.livepatch.canonical.com/ i obtenir el vostre testimoni Livepatch.

Obtenció i ús del vostre testimoni Livepatch

Per començar, copieu el testimoni únic assignat al vostre compte d'Ubuntu One:

A continuació, aneu a un terminal i escriviu:

$ sudo snap install canonical-livepatch

L'ordre anterior instal·larà el livepatch, mentre que

$ sudo canonical-livepatch enable [YOUR TOKEN HERE]

l'habilitarà per al vostre sistema. Si aquesta darrera ordre indica que no pot trobar canonical-livepatch, assegureu-vos que s'ha afegit /snap/bin al vostre camí. Una solució consisteix a canviar el vostre directori de treball a /snap/bin i fer-ho.

$ sudo ./canonical-livepatch enable [YOUR TOKEN HERE]

Durant les hores extres, voldreu comprovar la descripció i l'estat dels pedaços aplicats al vostre nucli. Afortunadament, això és tan fàcil com fer-ho.

$ sudo ./canonical-livepatch status --verbose

com podeu veure a la imatge següent:

Després d'haver activat Livepatch al vostre servidor Ubuntu, podreu reduir els temps d'inactivitat planificats i no planificats com a mínim, mantenint el vostre sistema segur. Tant de bo, la iniciativa de Canonical us concedirà una palmada a l'esquena per part de la direcció, o millor encara, un augment.

No dubteu a fer-nos saber si teniu cap pregunta sobre aquest article. Només cal que envieu-nos una nota mitjançant el formulari de comentaris a continuació i us respondrem tan aviat com sigui possible.