Seperti yang kita ketahui, kita menerima pembaruan kernel Linux berulang kali dan sangat penting untuk memperbarui patch keamanan kernel secara teratur untuk mengatasi kerentanan kernel. Diperlukan untuk menginstal patch keamanan terbaru sedini mungkin karena jika Anda menunda dengan instalasi patch maka Anda dapat mengundang ancaman untuk sistem Anda.
Sistem Linux digunakan untuk server web mandiri, aplikasi web, dan layanan hosting web. Oleh karena itu, ini menjadi target utama bagi peretas yang menggunakan teknik seperti serangan DDOS (denial of service), (RCE) eksekusi kode jarak jauh, dll. Mempertahankan patch keamanan yang tepat dan menjaga sistem tetap up to date membantu OS untuk memperketat keamanan terhadap ancaman seperti itu. Namun, sebagian besar distribusi Linux memerlukan reboot untuk memperbarui kernel dan ini akan menyebabkan downtime. Kami juga akan mengajarkan berbagai cara untuk memperbarui kernel.
Perbarui Kernel melalui Perintah
Memperbarui kernel OS Linux melalui baris perintah sangat mudah. Anda cukup menjalankan perintah pembaruan kernel dan mem-boot ulang mesin.
- Jalankan perintah di bawah ini untuk memperbarui kernel pada CentOS atau RHEL atau distribusi berbasis RPM lainnya.
sudo yum update kernel sudo reboot - Jalankan perintah di bawah ini untuk memperbarui kernel di Ubuntu.
sudo apt-get upgrade linux-image-genericsudo reboot - Perbarui kernel di Debian menggunakan perintah di bawah ini.
sudo apt-get upgrade kernel sudo reboot
Seperti yang kita lihat, perintah di atas sangat mudah dijalankan untuk pembaruan kernel, tetapi satu hal yang tidak dapat Anda hindari adalah reboot server! Ya, itu adalah suatu keharusan untuk me-reboot server untuk menyelesaikan pembaruan kernel. Jika Anda menjalankan OS ini untuk meng-host situs web e-niaga besar atau menjalankan aplikasi web, maka Anda perlu memberi tahu pengguna Anda untuk pemeliharaan ini dan juga harus menunggu untuk mengaktifkan server setelah reboot. Untuk menghindari waktu henti seperti itu, terkadang admin sistem menghindari pembaruan kernel dan ini menjadi masalah keamanan yang serius.
Perbarui dengan kexec untuk reboot Cepat
Kexec menawarkan langkah boot ulang yang sangat cepat. Ini akan melewati proses boot loading dan inisialisasi perangkat keras untuk mempersingkat waktu reboot.
CentOS/RHEL:
- Pertama, instal alat kexec dengan menjalankan perintah di bawah ini.
sudo yum install kexec-tools
- Instal kernel baru.
sudo yum update kernelatau
sudo rpm -qa kernelkernel-3.10.0-514.26.1.el7.x86_64
kernel-3.10.0-1127.el7.centos.plus.x86_64Kemudian, boot dari versi yang dipilih.
sudo kexec -l /boot/vmlinuz-3.10.0-1127.el7.centos.plus.x86_64 \-initrd=/boot/initramfs-3.10.0-1127.el7.centos.plus.x86_64.img \-reuse-cmdlinesudo sync; sudo umount -a; sudo kexec -eJalankan perintah di bawah ini untuk memilih kernel yang diperlukan.
sudo kexec -e
Ubuntu/Debian:
- Instal alat kexec dengan menjalankan perintah di bawah ini.<
sudo apt-get install kexec-toolsSetelah menekan perintah, Anda akan mendapatkan layar di bawah ini untuk konfirmasi reboot menggunakan kexec-tools
- Anda harus yakin sebelum melakukan ini karena kexec-tools tidak akan menjalankan perintah reboot untuk mematikan proses, menyinkronkan cache, atau melepas sistem file dan dapat menyebabkan kerusakan data atau kehilangan data.
Perbarui kernel tanpa reboot
Dimungkinkan untuk memperbarui kernel tanpa reboot. Ini akan sangat membantu untuk sistem yang berjalan pada ketersediaan tinggi. Banyak vendor distribusi Linux menawarkan pembaruan kernel tanpa melakukan reboot.
Kpatch Topi Merah
Red Hat menawarkan alat patch kernel sendiri untuk Fedora, CentOS, dan sistem berbasis Debian lainnya seperti Ubuntu.
- Jalankan perintah di bawah ini untuk menyebarkan Kpatch di RHEL7.
sudo yum install kpatch
sudo yum install kpatch-patch-X.X.X.el7.x86_64.rpm
Namun, ini bukan pemasangan tambalan otomatis. Anda perlu memeriksa setiap patch kernel saat tersedia.
CloudLinux KernelCare
KernelCare menawarkan layanan patching kernel Linux langsung termasuk RHEL, CentOS, Oracle, Debian, Ubuntu Linux, dll. Ini juga mendukung versi lama seperti RHEL 6.
- Jalankan perintah di bawah ini untuk menginstal kernelcare.
wget -qq -O -- https://kernelcare.com/installer | bash
sudo /usr/bin/kcarectl --register <your key>
Karena ini adalah solusi 'instal dan lupakan', kernelCare mengunduh dan menerapkan patch keamanan kernel baru secara otomatis tanpa reboot.
KernelCare juga menawarkan patch keamanan yang lebih kompleks untuk kerentanan seperti Spectre (CVE-2017-5753,CVE-2017-5715) dan Meltdown (CVE-2017-5754). Ini juga mendukung rollback tanpa reboot, patch tanggal tetap, patch tertunda, dll. CloudLinux kernelcare bukan yang gratis. Mereka menawarkan uji coba gratis 7 hari setelah itu akan menjadi uji coba berbayar.
Oracle Ksplice
Ksplice adalah versi berbayar untuk memperbarui kernel tanpa melakukan boot ulang.
- Jalankan perintah di bawah ini untuk menginstal Ksplice.
sudo wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc sudo sh install-uptrack-oc -autoinstall
Dengan menggunakan Ksplice, Anda hanya perlu menjalankan skrip instal hanya sekali seumur hidup dan setelah itu Uptrack akan menangani dan secara otomatis men-deploy kernel terbaru tanpa downtime.
Layanan Livepatch Kanonik
Ini adalah teknologi Canonical untuk (coba tebak?) kernel live-patching. (Canonical adalah perusahaan di balik distribusi Linux Ubuntu yang populer.) Anda bahkan dapat membuat tambalan Anda sendiri, meskipun itu bisa menjadi pekerjaan yang sulit dan memakan waktu. (Beberapa vendor akan membuatkan kernel pemutakhiran Ubuntu untuk Anda, dengan biaya tertentu.)
Canonical adalah perusahaan perangkat lunak populer untuk distribusi Linux berbasis Ubuntu. Perintah di bawah ini akan berguna untuk Ubuntu 16.04 dan yang lebih baru, dan RHEL 7.x (beta).
Anda harus menjalankan perintah di bawah ini untuk menerapkan patch langsung.
sudo snap install canonical-livepatch
sudo canonical-livepatch enable [TOKEN]Canonical Livepatch menawarkan layanan gratis hingga 3 distribusi Ubuntu. Mencari untuk mendaftar untuk token. Klik di sini untuk mendaftar.