Menerapkan pembaruan keamanan ke kernel Linux adalah proses langsung yang dapat dilakukan dengan menggunakan alat seperti apt , yum , atau kexec . Namun, ketika mengelola ratusan atau ribuan server yang menjalankan distribusi Linux yang berbeda untuk ditambal, metode ini dapat menjadi tantangan dan memakan waktu.
Memperbarui kernel secara manual mengharuskan sistem di-boot ulang. Hal ini menyebabkan waktu henti, yang dapat menjadi masalah, jadi reboot biasanya dijadwalkan untuk terjadi pada interval waktu tertentu. Karena penambalan manual dilakukan selama siklus ini, ini memberi peretas "jendela waktu" di mana mereka dapat menyerang infrastruktur server.
Untuk organisasi yang menjalankan lebih dari beberapa server, patching langsung adalah pilihan yang lebih baik. Ini adalah cara otomatis untuk menambal kernel Linux saat server sedang berjalan, yang memungkinkannya menjadi lebih efisien dan lebih aman daripada metode manual.
Artikel ini menjelaskan cara menyiapkan pembaruan kernel tanpa boot ulang otomatis menggunakan solusi patching langsung dari Canonical dan CloudLinux.
Tambalan Langsung Kanonik #
Canonical Livepatch adalah layanan yang menambal kernel yang sedang berjalan tanpa harus me-reboot sistem Ubuntu Anda. Layanan Livepatch gratis untuk digunakan, hingga tiga sistem Ubuntu. Untuk menggunakan layanan ini di lebih dari tiga komputer, Anda harus berlangganan program Ubuntu Advantage.
Sebelum menginstal layanan, Anda perlu mendapatkan token livepatch dari situs Layanan Livepatch.
Setelah Anda menginstal token dan mengaktifkan layanan dengan menjalankan dua perintah berikut:
sudo snap install canonical-livepatchsudo canonical-livepatch enable <your-key>
Untuk memeriksa status layanan, jalankan:
sudo canonical-livepatch status --verboseNanti jika Anda ingin membatalkan registrasi mesin, gunakan perintah ini:
sudo canonical-livepatch disable <your-key>Instruksi yang sama berlaku untuk Ubuntu 20.04 dan Ubuntu 18.04.
KernelCare #
KernelCare adalah pilihan yang bagus untuk penyedia hosting dan bisnis.
KernelCare berjalan di Ubuntu, CentOS, Debian, dan Linux populer lainnya. Ini memeriksa rilis patch setiap 4 jam dan menginstalnya secara otomatis. Patch dapat digulung kembali. KernelCare gratis untuk organisasi nonprofit.
Untuk menginstal KernelCare, jalankan skrip instalasi:
wget -qq -O - https://kernelcare.com/installer | bashJika Anda menggunakan lisensi berbasis IP, tidak ada lagi yang perlu dilakukan. Jika tidak, jika Anda menggunakan lisensi berbasis kunci, jalankan perintah berikut untuk mendaftarkan layanan:
/usr/bin/kcarectl --register <your-key>
Dimana <your-key> adalah string kode kunci pendaftaran yang diberikan saat Anda mendaftar untuk uji coba atau membeli produk. Anda bisa mendapatkannya di halaman ini.
Di bawah ini adalah beberapa perintah KernelCare yang berguna:
-
Untuk memeriksa apakah kernel yang berjalan didukung oleh KernelCare:
curl -s -L https://kernelcare.com/checker | python -
Untuk membatalkan pendaftaran server:
sudo kcarectl --unregister -
Untuk memeriksa status layanan:
sudo kcarectl --info -
Perangkat lunak akan secara otomatis memeriksa patch baru setiap 4 jam. Untuk memperbarui secara manual, jalankan:
/usr/bin/kcarectl --update
Kesimpulan #
Teknologi Live Patching memungkinkan Anda untuk menerapkan patch ke Kernel Linux tanpa me-reboot.
Jika Anda memiliki pertanyaan atau masukan, jangan ragu untuk memberikan komentar.