
Použití aktualizací zabezpečení na jádro Linuxu je jednoduchý proces, který lze provést pomocí nástrojů, jako je apt
, mňam
nebo kexec
. Při správě stovek nebo tisíců serverů s různými distribucemi Linuxu k opravě však může být tato metoda náročná a časově náročná.
Ruční aktualizace jádra vyžaduje restartování systému. To má za následek prostoje, což může být problematické, takže restarty jsou obvykle naplánovány v určitých časových intervalech. Protože se během těchto cyklů provádí ruční záplatování, poskytuje hackerům „časové okno“, ve kterém mohou zaútočit na infrastrukturu serveru.
Pro organizace, které provozují více než několik serverů, je lepší volba živé opravy. Je to automatizovaný způsob opravy linuxového jádra za běhu serveru, což umožňuje být efektivnější a bezpečnější než manuální metody.
Tento článek vysvětluje, jak nastavit automatické aktualizace jádra bez restartu pomocí živých opravných řešení od Canonical a CloudLinux.
Canonical Livepatch #
Canonical Livepatch je služba, která opravuje běžící jádro bez nutnosti restartovat váš systém Ubuntu. Služba Livepatch je zdarma k použití, až tři systémy Ubuntu. Chcete-li tuto službu používat na více než třech počítačích, musíte se přihlásit k odběru programu Ubuntu Advantage.
Před instalací služby musíte získat token livepatch z webu služby Livepatch.
Jakmile token nainstalujete a povolíte službu spuštěním následujících dvou příkazů:
sudo snap install canonical-livepatch
sudo canonical-livepatch enable <your-key>
Chcete-li zkontrolovat stav služby, spusťte:
sudo canonical-livepatch status --verbose
Pokud později budete chtít zrušit registraci počítače, použijte tento příkaz:
sudo canonical-livepatch disable <your-key>
Stejné pokyny platí pro Ubuntu 20.04 a Ubuntu 18.04.
KernelCare #
KernelCare je skvělá volba pro poskytovatele hostingu a firmy.
KernelCare běží na Ubuntu, CentOS, Debianu a dalších oblíbených variantách Linuxu. Každé 4 hodiny kontroluje vydání oprav a automaticky je instaluje. Záplaty lze vrátit zpět. KernelCare je pro neziskové organizace zdarma.
Chcete-li nainstalovat KernelCare, spusťte instalační skript:
wget -qq -O - https://kernelcare.com/installer | bash
Pokud používáte licenci založenou na IP, nemusíte dělat nic jiného. V opačném případě, pokud používáte licenci založenou na klíči, spusťte k registraci služby následující příkaz:
/usr/bin/kcarectl --register <your-key>
Kde
Níže jsou uvedeny některé užitečné příkazy KernelCare:
-
Chcete-li zkontrolovat, zda je spuštěné jádro podporováno KernelCare:
curl -s -L https://kernelcare.com/checker | python
-
Chcete-li zrušit registraci serveru:
sudo kcarectl --unregister
-
Chcete-li zkontrolovat stav služby:
sudo kcarectl --info
-
Software bude automaticky kontrolovat nové opravy každé 4 hodiny. Chcete-li aktualizovat ručně, spusťte:
/usr/bin/kcarectl --update
Závěr č.
Technologie Live Patching vám umožňuje aplikovat opravy na linuxové jádro bez restartu.
Pokud máte nějaké dotazy nebo zpětnou vazbu, neváhejte zanechat komentář.