Hur man använder Canonicals Livepatch Service på Ubuntu

Smidiga kärnuppdateringar för Ubuntu med Livepatch

Önskar du att kritiska korrigeringar för Linux-kärnan tillämpades automatiskt på ditt Ubuntu-system, utan att behöva starta om datorn? Vi kommer att utforska hur du kan använda Canonicals Livepatch-tjänst för just detta.

Vad är Livepatch och hur fungerar det?

Canonical Livepatch utnyttjar Kernel Live Patching-teknik, som är en del av standard Linux-kärnan. Enligt Canonicals Livepatch-webbplats används detta av stora företag som AT&T, Cisco och Walmart. Dustin Kirkland på Canonical beskriver det som ett sätt att hålla systemet skyddat utan avbrott.

Tjänsten är gratis för personligt bruk på upp till tre enheter, vilket kan inkludera datorer, servrar, virtuella maskiner eller molninstanser, enligt Kirkland. Organisationer som behöver hantera fler system kan göra det genom ett betalt Ubuntu Pro-abonnemang.

Kärnkorrigeringar: Nödvändiga men besvärliga

Att hantera korrigeringar av Linux-kärnan är en oundviklig del av att hålla systemet säkert och uppdaterat. Att starta om datorn för att installera dessa uppdateringar kan dock vara problematiskt, särskilt om datorn tillhandahåller tjänster till användare. Det kan vara svårt att samordna avbrott med användare, och om du har flera Ubuntu-maskiner måste du upprepa processen för varje enskild maskin.

Canonical Livepatch Service eliminerar detta problem genom att automatiskt hålla dina Ubuntu-system uppdaterade med viktiga kärnkorrigeringar. Tjänsten är enkel att konfigurera, antingen via ett grafiskt gränssnitt eller via kommandoraden, vilket sparar tid och ansträngning.

En minskning av underhållsarbete, ökad säkerhet och minskad stilleståndstid gör Livepatch till en attraktiv lösning. Men det finns några saker att tänka på.

Du måste använda en version av Ubuntu med Långtidssupport (LTS), till exempel 16.04 eller 18.04. Den senaste LTS-versionen är 18.04 och det är den version vi kommer att fokusera på här.
Systemet måste vara en 64-bitars version.
Du måste köra Linux-kärnan version 4.4 eller högre.
Du behöver ett Ubuntu One-konto. Kommer du ihåg dem? Om du inte har ett konto kan du enkelt registrera dig gratis.
Tjänsten är kostnadsfri upp till tre datorer per Ubuntu One-konto. Om du behöver hantera fler än tre datorer behöver du fler konton.
För att använda Livepatch på fysiska, virtuella eller molnbaserade servrar, behöver du bli en Ubuntu Pro-kund.

Skapa ett Ubuntu One-konto

Oavsett om du väljer att konfigurera Livepatch via ett grafiskt gränssnitt eller via kommandoraden, är ett Ubuntu One-konto nödvändigt. Det beror på att tjänsten använder en privat nyckel som är kopplad till ditt konto.

Om du använder ett grafiskt gränssnitt för att ställa in Livepatch, kommer du inte se din nyckel. Den används ändå, men hanteras i bakgrunden. Om du konfigurerar tjänsten via terminalen måste du kopiera och klistra in nyckeln från webbläsaren.

Om du inte har ett Ubuntu One-konto, kan du skapa ett gratis.

Aktivera Canonical Livepatch Service grafiskt

För att starta det grafiska gränssnittet, tryck på ”Super”-tangenten (Windows-tangenten) som finns mellan ”Control” och ”Alt” på tangentbordet. Sök efter ”livepatch”.

När du ser Livepatch-ikonen, klicka på den eller tryck på Enter.

Fönstret ”Programvara och uppdateringar” visas med fliken Livepatch vald. Klicka på ”Logga in”. Du påminns om att du behöver ett Ubuntu One-konto.

Klicka på ”Logga in / Registrera”.

Dialogfönstret för Ubuntu Single Sign-On-konto visas. Canonical använder termerna ”Ubuntu One” och ”Single Sign-On” omväxlande. De betyder samma sak. ”Single Sign-On” har officiellt ersatts av ”Ubuntu One”, men det gamla namnet används fortfarande.

Ange dina kontouppgifter och klicka på ”Anslut”. Du kan också använda detta fönster för att skapa ett konto om du inte har ett.

Du kommer att bli ombedd att ange ditt lösenord.

Ange ditt lösenord och klicka på ”Autentisera”. Ett fönster visar e-postadressen som är kopplad till det Ubuntu One-konto du använder.

Se till att uppgifterna är korrekta och klicka på ”Fortsätt”.

Du kommer att ombedd att ange ditt lösenord en gång till. Efter några sekunder uppdateras fliken Livepatch i dialogfönstret ”Programvara och uppdateringar” och visar att Livepatch är aktiverat.

En ny sköldikon visas i verktygsfältet, bredvid nätverks-, ljud- och strömikonerna. En grön cirkel med en bock visar att allt är bra. Klicka på ikonen för att komma åt menyn.

Här ser du att Livepatch är aktiverat och att det inte finns några aktuella uppdateringar.

Alternativet ”Livepatch-inställningar” öppnar dialogfönstret ”Programvara och uppdateringar” på fliken Livepatch.

Och det var allt. Du är klar!

Aktivera Canonical Livepatch Service med CLI

Du behöver ett Ubuntu One-konto. Om du inte har ett kan du enkelt skapa ett. Det är gratis och tar bara ett ögonblick.

Vissa steg som vi behöver utföra är webbaserade, så detta är inte en fullständig CLI-metod. Vi börjar med att gå till Canonicals Livepatch Service-webbsida för att hämta vår hemliga nyckel eller ”token”.

Välj alternativet ”Ubuntu User” och klicka på ”Get Your Livepatch Token”.

Du kommer att ombeds att logga in på ditt Ubuntu One-konto.

Om du har ett konto, ange e-postadressen och välj alternativet ”Jag har ett Ubuntu One-konto och mitt lösenord är:”. Om du inte har ett konto, ange din e-postadress och välj alternativet ”Jag har inte ett Ubuntu One-konto”. Du kommer att guidas genom processen att skapa ett konto.

När ditt Ubuntu One-konto har verifierats kommer du till sidan för Managed live kernel patching. Din nyckel visas.

Lämna webbsidan öppen med din nyckel och öppna ett terminalfönster. Använd följande kommando i terminalen för att installera Livepatch-tjänsten:

sudo snap install canonical-livepatch

När installationen är klar behöver du aktivera tjänsten. Du behöver nyckeln från sidan ”Managed live kernel patching”.

Du måste kopiera och klistra in nyckeln i kommandoraden. Markera nyckeln på webbsidan, högerklicka och välj ”Kopiera”. Du kan också markera nyckeln och trycka på ”Ctrl+C”.

Skriv följande kommando i terminalfönstret, men tryck inte på ”Enter”:

sudo canonical-livepatch enable

Lägg till ett mellanslag, högerklicka och välj ”Klistra in”. Alternativt kan du trycka på ”Ctrl+Shift+V”. Du ser kommandot, ett mellanslag och nyckeln från webbsidan.

På testmaskinen som användes för denna artikel såg det ut så här:

Tryck på Enter.

Om allt går som det ska ser du ett verifieringsmeddelande från Livepatch som säger att datorn är aktiverad för kernel patching. Du ser också en annan lång nyckel, som är ”maskintoken”.

Det som precis har hänt är:

  • Du har hämtat din Livepatch-nyckel från Canonical.
  • Du kan använda den på tre datorer. Du har nu använt den på en.
  • Maskintoken genererades för den här datorn – med din nyckel – och visas i detta meddelande.

Om du tittar på fliken Livepatch i fönstret ”Programvara och uppdateringar”, ser du att Livepatch är aktiverat.

Kontrollera status för Livepatch

Du kan få en statusrapport från Livepatch med följande kommando:

sudo canonical-livepatch status

Statusrapporten innehåller:

  • client version: Programvaruversionen av Livepatch.
  • architecture: Datorns CPU-arkitektur.
  • cpu model: Typen och modellen för Central Processing Unit (CPU) i datorn.
  • last check: Tid och datum för senaste sökning efter viktiga kärnuppdateringar.
  • boot time: Tidpunkten då datorn startades senast.
  • uptime: Hur länge datorn har varit igång.

Statusblocket ger information om:

  • kernel: Den aktuella kärnversionen.
  • running: Om Livepatch är aktiv.
  • checkstate: Om Livepatch har sökt efter kärnkorrigeringar.
  • patchState: Om det finns några kritiska kärnkorrigeringar som behöver installeras.
  • version: Versionen av eventuella kärnkorrigeringar.
  • fixes: De korrigeringar som ingår i kärnkorrigeringarna.

Tvinga Livepatch att uppdatera

Hela poängen med Livepatch är att det ska vara en automatisk tjänst. Men om du vill kan du tvinga Livepatch att söka efter kärnkorrigeringar (och tillämpa dem) med följande kommando:

sudo canonical-livepatch refresh

Livepatch visar vilken kärnversion som användes innan och efter uppdateringen. I exemplet fanns det inget att uppdatera.

Mindre strul, mer säkerhet

Säkerhetsfriktion refererar till ansträngningen som krävs för att implementera, använda eller underhålla säkerhetsfunktioner. För hög friktion kan leda till att säkerhetsfunktioner ignoreras. Livepatch eliminerar friktionen kring viktiga kärnuppdateringar och ser till att kärnan hålls så säker som möjligt.

Med andra ord, en vinstsituation.