實時補丁服務允許你安裝和應用關鍵的 Linux 內核安全更新，而無需重新啟動系統。

-- Magesh Maruthamuthu（作者）

Canonical 在 Ubuntu 14.04 LTS 系統中引入了 內核實時補丁服務(Kernel Livepatch Service)。實時補丁服務允許你安裝和應用關鍵的 Linux 內核安全更新，而無需重新啟動系統。這意味著，在應用內核補丁程序後，你無需重新啟動系統。而通常情況下，我們需要在安裝內核補丁後重啟 Linux 伺服器才能供系統使用。

實時修補非常快。大多數內核修復程序只需要幾秒鐘。Canonical 的實時補丁服務對於不超過 3 個系統的用戶無需任何費用。你可以通過命令行在桌面和伺服器中啟用 Canonical 實時補丁服務。

這個實時補丁系統旨在解決高級和關鍵的 Linux 內核安全漏洞。

有關 支持的系統 和其他詳細信息，請參閱下表。

Ubuntu 版本架構內核版本內核變體Ubuntu 18.04 LTS64-bit x864.15僅 GA 通用和低電壓內核Ubuntu 16.04 LTS64-bit x864.4僅 GA 通用和低電壓內核Ubuntu 14.04 LTS64-bit x864.4僅 Hardware Enablement 內核

注意：Ubuntu 14.04 中的 Canonical 實時補丁服務 LTS 要求用戶在 Trusty 中運行 Ubuntu v4.4 內核。如果你當前沒有運行使用該服務，請重新啟動到此內核。

為此，請按照以下步驟操作。

如何獲取實時補丁令牌？

導航到 Canonical 實時補丁服務頁面 ，如果要使用免費服務，請選擇「Ubuntu 用戶」。它適用於不超過 3 個系統的用戶。如果你是 「UA 客戶」 或多於 3 個系統，請選擇 「Ubuntu customer」。最後，單擊 「Get your Livepatch token」 按鈕。

確保你已經在 「Ubuntu One」 中擁有帳號。否則，可以創建一個新的。

登錄後，你將獲得你的帳戶密鑰。

在系統中安裝 Snap 守護程序

實時補丁系統通過快照包安裝。因此，請確保在 Ubuntu 系統上安裝了 snapd 守護程序。

$ sudo apt update
$ sudo apt install snapd

如何系統中安裝和配置實時補丁服務？

通過運行以下命令安裝 canonical-livepatch 守護程序。

$ sudo snap install canonical-livepatch
canonical-livepatch 9.4.1 from Canonical* installed

運行以下命令以在 Ubuntu 計算機上啟用實時內核補丁程序。

$ sudo canonical-livepatch enable xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e
Successfully enabled device. Using machine-token: xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e

運行以下命令查看實時補丁機器的狀態。

$ sudo canonical-livepatch status
client-version: 9.4.1
architecture: x86_64
cpu-model: Intel(R) Core(TM) i7-6700HQ CPU @ 2.60GHz
last-check: 2019-07-24T12:30:04+05:30
boot-time: 2019-07-24T12:11:06+05:30
uptime: 19m11s
status:
- kernel: 4.15.0-55.60-generic
running: true
livepatch:
checkState: checked
patchState: nothing-to-apply
version: ""
fixes: ""

使用 --verbose 開關運行上述相同的命令，以獲取有關實時修補機器的更多信息。

$ sudo canonical-livepatch status --verbose

如果要手動運行補丁程序，請執行以下命令。

$ sudo canonical-livepatch refresh
Before refresh:
kernel: 4.15.0-55.60-generic
fully-patched: true
version: ""
After refresh:
kernel: 4.15.0-55.60-generic
fully-patched: true
version: ""

patchState 會有以下狀態之一：

* applied：未發現任何漏洞 * nothing-to-apply：成功找到並修補了漏洞 * kernel-upgrade-required：實時補丁服務無法安裝補丁來修復漏洞

請注意，安裝內核補丁與在系統上升級/安裝新內核不同。如果安裝了新內核，則必須重新引導系統以激活新內核。

via: https://www.2daygeek.com/enable-canonical-kernel-livepatch-service-on-ubuntu-lts-system/

作者： Magesh Maruthamuthu 選題： lujun9972 譯者： wxy 校對： wxy

本文由 LCTT 原創編譯， Linux中國 榮譽推出

點擊「了解更多」可訪問文內鏈接

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！