Dalam tutorial ini kita akan mempelajari cara menambal kernel Linux di Ubuntu tanpa reboot menggunakan layanan Canonical Livepatch, yang menggunakan teknologi Live Patching Kernel Linux upstream untuk menerapkan patch kernel penting tanpa me-reboot.
Ini akan membantu uptime situs web Anda. Saya menggunakan fitur ini untuk server yang menjalankan blog ini. Layanan livepatch memungkinkan server Anda untuk tetap terjaga dan aman, sehingga Anda dapat mem-boot ulang server Anda di lain waktu. Untuk server saya yang lain seperti server email yang tidak memerlukan waktu aktif yang tinggi, saya cukup mengonfigurasi pembaruan keamanan tanpa pengawasan, yang dapat memerintahkan server saya untuk reboot secara otomatis pada jam 4 pagi jika kernel baru diinstal.
Layanan livepatch Canonical gratis untuk hingga 3 mesin (laptop, server, atau cloud). Untuk menggunakan layanan ini, sistem Anda harus menjadi OS Ubuntu 64 bit dengan kernel Linux 4.4+.
Petunjuk :Pembaruan keamanan Livepatch tidak tersedia untuk Ubuntu 20.10.
Menambal Kernel Linux Tanpa Reboot Menggunakan Layanan Livepatch Canonical
Pertama, buka halaman layanan Canonical Livepatch. Pilih Pengguna Ubuntu jika Anda ingin menggunakan layanan tanpa membayar hingga 3 mesin. Jika Anda pelanggan UA, pilih Pelanggan Ubuntu Advantage . Dan klik Dapatkan token Livepatch Anda .
Anda harus masuk dengan akun Ubuntu One Anda yang benar-benar gratis. Setelah Anda masuk, Anda akan mendapatkan kunci rahasia untuk akun Anda.
Kemudian pastikan Anda telah menginstal snap daemon di sistem Ubuntu Anda.
sudo apt updatesudo apt install snapd
Selanjutnya, instal canonical-livepatch daemon.
sudo snap install canonical-livepatch
Aktifkan layanan dengan perintah berikut.
sudo canonical-livepatch aktifkan kunci-rahasia Anda
Contoh keluaran:
Perangkat berhasil diaktifkan. Menggunakan token mesin:2ca4f0662793daje0393jdaf39332d
Anda dapat memeriksa status tambalan langsung kapan saja dengan:
status kanonik-livepatch --verbose
Kemungkinan status tambalan adalah:
nothing-to-apply:Tidak ditemukan kerentanan.applied:Kerentanan ditemukan dan patch diterapkankernel-upgrade-required:Livepatch tidak dapat menginstal patch untuk memperbaiki kerentanan pada kernel yang sedang berjalan.
Anda juga dapat menjalankan patcher secara manual:
sudo canonical-livepatch refresh
Harap diperhatikan bahwa patching kernel berbeda dengan mengupgrade kernel ke versi terbaru.
- Tambalan kernel langsung:perbaiki kerentanan di kernel Linux yang sedang berjalan.
- Tingkatkan Kernel:Tingkatkan ke kernel yang lebih baru. Memerlukan reboot untuk menggunakan fitur baru di kernel baru.
Metode Baru untuk Menambal Kernel Linux di Ubuntu
Metode di atas masih berfungsi, tetapi Ubuntu sedang bertransisi ke metode baru, yang memberi Anda manfaat berikut:
DESKRIPSI BERHAK LAYANANcis yes Center for Internet Security Audit Toolsesm-infra yes UA Infra:Extended Security Maintenance (ESM)fips yes paket inti bersertifikat NISTfips-updates ya paket inti bersertifikat NIST dengan pembaruan keamanan prioritaslivepatch ya layanan Canonical LivepatchPertama, Anda perlu membuat akun Ubuntu Advantage. (Ini memiliki tingkat gratis:UA Infra Essential). Kemudian lampirkan server Ubuntu Anda ke akun Ubuntu Anda.
sudo ua lampirkan token AndaInstal
livepatchdaemon.sudo snap install canonical-livepatchAktifkan livepatch di sistem Anda.
sudo ua aktifkan livepatchPeriksa status Anda:
status sudo ua
Siapkan Otentikasi Dua Faktor SSH (2FA) di Server Ubuntu Atur Pembaruan Keamanan Otomatis (Peningkatan Tanpa Pengawasan) di UbuntuUbuntu