Správa linuxových serverů vám může připadat jako fuška, zvláště pokud musíte provádět opakované úkoly.
Aktualizace serveru je jedním z těchto úkolů. I když se můžete rozhodnout pro automatickou instalaci aktualizací zabezpečení na váš server, nezbaví vás to zcela úlohy údržby.
Proč? Protože aktualizace zabezpečení jádra vyžadují restartování serveru Ubuntu.
Pokud používáte server Ubuntu na jedné z cloudových služeb, jako je Linode, všimnete si, že vás upozorní, že váš systém vyžaduje restart.
*** Je vyžadován restart systému ***
Co když vám řeknu, že existuje způsob, jak nainstalovat všechny aktualizace včetně aktualizací jádra bez restartování serveru. Říká se tomu opravování živého jádra nebo opravování živého jádra.
Co je to živé opravy?
Live patching je proces aplikování bezpečnostních oprav na běžící linuxové jádro bez restartování systému.
Tento proces je poměrně složitý a riskantní, a proto není standardně dostupný v distribucích Linuxu.
Dřívější linuxoví správci systému museli udělat hodně ruční práce, aby vytvořili hot patch pro jádro. Podpora živého záplatování byla přidána do samotného jádra Linuxu od verze 4.0. Což znamená, že váš systém Ubuntu by měl podporovat živé opravy.
Vždy se však můžete ujistit, že je podporován pomocí následujícího příkazu v Ubuntu:
cat /boot/config-$(uname -r) | grep LIVEPATCH
Pokud vidíte Y , to znamená, že vaše jádro podporuje livepatching.
Nyní se podívejme na živé patchování jádra. Budete potřebovat živou záplatovací službu. Existuje několik nástrojů, které umožňují živé záplatování linuxového jádra. Jako ksplice od Oracle nebo kGraft od SUSE a Livepatch od Ubuntu.
Mějte na paměti, že živé opravy prodávají jako službu společnosti jako KernelCare. Ubuntu to umožňuje zdarma až pro 3 servery na účet Ubuntu (vysvětleno později).
Vzhledem k tomu, že se zde diskutuje o Ubuntu, bylo by lepší použít službu live patching od samotného Ubuntu.
Povolení Live Patching na serveru Ubuntu
Přejděte na webovou stránku Canonical Livepatch Service.
Budete si muset vytvořit účet s Ubuntu One, pokud jej ještě nemáte.
Jakmile se přihlásíte, uvidíte token pro svůj účet a několik příkazů, které budete muset použít na serveru, pro který chcete aktivovat živé opravy.
Jakmile budete mít tento token, přihlaste se na svůj server Ubuntu.
Nejprve nainstalujte nástroj pro opravy v reálném čase:
sudo snap install canonical-livepatch
A dále povolte opravování živého jádra pomocí tokenu, který jste zkopírovali ze svého účtu Ubuntu One.
sudo canonical-livepatch enable ad108xxxxxxxxxxxxxxxxxxxxxxxxx
A je to. Nyní, když máte povolenou opravu v reálném čase, nemusíte se starat o restartování serveru. Představte si dobu provozuschopnosti vašeho serveru.
Když už mluvíme o dostupnosti, dovolte mi podělit se o hymnu systémového správce Uptime Funk. Je to tak zajímavé a vtipné parodické video ze SUSE Linuxu.
Nerestartujte to, jen opravte :)