Hur man använder Canonicals Livepatch Service på Ubuntu

Spread the love

Vill du ha viktiga Linux-kärnkorrigeringar automatiskt applicerade på ditt Ubuntu-system – utan att behöva starta om din dator? Vi beskriver hur du använder Canonicals Livepatch Service för att göra just det.

Vad är Livepatch och hur fungerar det?

Som Canonicals Dustin Kirkland förklarade för flera år sedan använder Canonical Livepatch Kernel Live Patching teknik inbyggd i standard Linux-kärnan. Canonicals Livepatch hemsida noterar att stora företag som AT&T, Cisco och Walmart använder det.

Det är gratis för personligt bruk på upp till tre datorer – enligt Kirkland kan dessa vara ”datorer, servrar, virtuella maskiner eller molninstanser.” Organisationer kan använda det på fler system med en betald Ubuntu fördel prenumeration.

Kärnlappar är nödvändiga men obekväma

Linux-kärnkorrigeringar är ett faktum. Att hålla ditt system säkert och uppdaterat är viktigt i den sammankopplade värld vi lever i. Men att behöva starta om din dator för att tillämpa kärnkorrigeringar kan vara jobbigt. Speciellt om datorn tillhandahåller någon form av tjänst till användare och du måste samordna eller förhandla med dem för att ta tjänsten offline. Och det finns en multiplikator. Om du underhåller flera Ubuntu-maskiner måste du någon gång bita ihop och göra var och en i tur och ordning.

Canonical Livepatch Service tar bort all försämring av att hålla dina Ubuntu-system uppdaterade med viktiga kärnpatchar. Det är lätt att ställa in – antingen grafiskt eller från kommandoraden – och det tar ytterligare en syssla från dina axlar.

Allt som minskar underhållsinsatser, ökar säkerheten och minskar stilleståndstiden måste vara ett attraktivt förslag, eller hur? Ja, men det finns några varningar.

Du måste använda en Långtidssupport (LTS) version av Ubuntu som 16.04 eller 18.04. Den senaste LTS-versionen är 18.04, så det är den version vi kommer att använda här.
Det måste vara en 64-bitarsversion.
Du måste köra Linux Kernel 4.4 eller högre
Du måste ha ett Ubuntu One-konto. Kom ihåg dem? Om du inte har ett Ubuntu One-konto kan du registrera dig för ett gratis konto.
Du kan använda Canonical Livepatch Service utan kostnad, men du är begränsad till tre datorer per Ubuntu One-konto. Om du måste underhålla mer än tre datorer behöver du ytterligare Ubuntu One-konton.
Om du har fysiska, virtuella eller molnbaserade servrar att ta hand om måste du bli en Ubuntu fördel kund.

  Använd datum eller tid med modifieringsregler för att ställa in en dynamisk PIN-kod

Skaffa ett Ubuntu One-konto

Oavsett om du ska konfigurera Livepatch-tjänsten via grafiskt användargränssnitt (GUI) eller via kommandoradsgränssnittet (CLI), måste du ha ett Ubuntu One-konto. Detta krävs eftersom driften av Livepatch-tjänsten beror på en privat nyckel som utfärdas till dig och kopplad till ditt Ubuntu One-konto.

Om du ställer in Livepatch-tjänsten med hjälp av GUI, kommer du inte att se din nyckel. Det krävs och används fortfarande, men allt hanteras i bakgrunden åt dig.
Om du konfigurerar din Livepatch-tjänst via terminalen måste du kopiera och klistra in din nyckel från din webbläsare till kommandoraden.

Om du inte har ett Ubuntu One-konto, du kan skapa en Utan kostnad.

Aktivera Canonical Livepatch Service grafiskt

För att starta det grafiska inställningsgränssnittet, tryck på ”Super”-tangenten. Detta är placerat mellan ”Control” och ”Alt”-tangenterna längst ner till vänster på de flesta tangentbord. Sök efter ”livepatch.”

När du ser Livepatch-ikonen, klicka på ikonen eller tryck på ”Enter”.

Dialogfönstret ”Programvara och uppdateringar” visas med Livepatch-fliken vald. Klicka på knappen ”Logga in”. Du påminns om att du behöver ett Ubuntu One-konto.

Klicka på knappen ”Logga in / Registrera”.

Dialogfönstret för Ubuntu Single Sign-On-konto visas. Canonical använder termerna ”Ubuntu One” och ”Single Sign-On” omväxlande. De menar samma sak. Officiellt ersattes ”Single Sign-On” av ”Ubuntu One”, men det gamla namnet hänger kvar.

Ange dina kontouppgifter och klicka på knappen ”Anslut”. Du kan också använda det här dialogfönstret för att registrera dig för ett konto om du inte redan har skapat ett.

Du kommer att bli tillfrågad om ditt lösenord.

Ange ditt lösenord och klicka på knappen ”Autentisera”. Ett dialogfönster visar dig den e-postadress som är kopplad till det Ubuntu One-konto du ska använda.

Se till att det är korrekt och klicka på knappen ”Fortsätt”.

Du kommer att bli tillfrågad om ditt lösenord en gång till. Efter några sekunder kommer Livepatch-fliken i dialogfönstret ”Programvara och uppdateringar” att uppdateras för att visa att Livepatch är live och aktivt.

  Hur man tar bort ett Uber Eats-konto

En ny sköldikon kommer att visas i verktygets meddelandefält, nära nätverks-, ljud- och strömikonerna. Den gröna cirkeln med bocken säger att allt är bra. Klicka på ikonen för att komma åt menyn.

Vi får veta att Livepatch är på och det finns inga aktuella uppdateringar.

Alternativet ”Livepatch-inställningar” öppnar dialogfönstret ”Programvara och uppdateringar” på fliken Livepatch.

Det är allt; du är klar.

Aktivera Canonical Livepatch Service med CLI

Du kommer att behöva en Ubuntu One-konto. Om du inte har en, har du möjlighet att skapa en. De är gratis och det tar bara ett ögonblick.

Vissa av stegen vi behöver utföra är webbaserade, så det här är inte en verkligt CLI-bara metod. Vi börjar med att besöka Webbsidan för Canonical Livepatch Service för att få vår hemliga nyckel eller ”token”.

Välj alternativknappen ”Ubuntu User” och klicka på knappen ”Get Your Livepatch Token”.

Du uppmanas att logga in på ditt Ubuntu One-konto.

Om du har ett konto anger du e-postadressen som du använde för att skapa kontot och väljer alternativknappen ”Jag har ett Ubuntu One-konto och mitt lösenord är:”.
Om du inte har ett konto anger du din e-postadress och väljer alternativknappen ”Jag har inte ett Ubuntu One-konto”. Du kommer att guidas genom processen för att skapa konto.

När ditt Ubuntu One-konto har verifierats kommer du att se webbsidan för Managed live kernel patching. Din nyckel kommer att visas.

Håll webbsidan med din nyckel öppen och öppna ett terminalfönster. Använd det här kommandot i terminalfönstret för att installera Livepatch-tjänstdemonen:

sudo snap install canonical-livepatch

När installationen är klar måste du aktivera tjänsten. Du behöver nyckeln från webbsidan ”Managed live kernel patching”.

Du måste kopiera och klistra in nyckeln på kommandoraden. Markera nyckeln på webbsidan, högerklicka på den och välj ”Kopiera” från snabbmenyn. Eller så kan du markera tangenten och trycka på ”Ctrl+C.”

Skriv följande kommando i terminalfönstret, men tryck inte på ”Enter”.

sudo canonical-livepatch enable

Skriv sedan ett mellanslag och högerklicka och välj ”Klistra in” från snabbmenyn. Eller så kan du trycka på ”Ctrl+Skift+V.” Du bör se kommandot du precis skrev, ett mellanslag och nyckeln från webbsidan.

  Fix Zoom kan inte upptäcka en kamera

På testmaskinen som användes för att undersöka den här artikeln såg det ut så här:

Tryck enter.”

Om allt går som det ska, kommer du att se ett verifieringsmeddelande från Livepatch som talar om att datorn har aktiverats för kernel patchning. Det kommer också att visa en annan lång nyckel; detta är ”maskin-token”.

Det som just hände är:

Du har fått din Livepatch-nyckel från Canonical.
Du kan använda den på tre datorer. Du har använt det på en dator hittills.
Maskintoken som genererades för den här datorn – med din nyckel – är maskintoken som visas i detta meddelande.

Om du kollar fliken Livepatch i dialogfönstret ”Programvara och uppdateringar” ser du att Livepatch är aktiverat och aktivt.

Kontrollera status för Livepatch

Du kan få Livepatch att ge dig en statusrapport med följande kommando:

sudo canonical-livepatch status

Statusrapporten innehåller:

klientversion: Programvaruversionen av Livepatch.
arkitektur: Datorns CPU-arkitektur.
cpu-modell: Typen och modellen för Centrala behandlingsenheten (CPU) i datorn.
last-check: Tiden och datumet som Livepatch senast kontrollerade för att se om det fanns några viktiga kärnuppdateringar tillgängliga för nedladdning.
boot-time: Tiden då denna dator senast slogs på.
drifttid: Hur länge denna dator har varit påslagen.

Statusblocket berättar för oss:

kärna: versionen av den aktuella kärnan.
körs: Huruvida Livepatch körs eller inte.
checkstate: Huruvida Livepatch har sökt efter kärnpatchar.
patchState: Om det finns några kritiska kärnkorrigeringar som måste installeras.
version: Den version av kärnpatcharna, om några, som behöver appliceras.
fixar: De fixar som finns i kärnpatcharna.

Tvingar Livepatch att uppdatera nu

Hela poängen med Livepatch är att tillhandahålla en hanterad uppdateringstjänst, vilket innebär att du inte behöver tänka på det. Allt är gjort för dig. Men om du vill kan du tvinga Livepatch att leta efter kärnpatchar (och att applicera alla som den hittar) med följande kommando:

sudo canonical-livepatch refresh

Livepatch talar om för dig versionen av kärnan före och efter uppdateringen. Det fanns inget att tillämpa i detta exempel.

Mindre friktion, mer säkerhet

Säkerhetsfriktion är smärtan eller besväret i samband med implementering, användning eller underhåll av en säkerhetsfunktion. Om friktionen är för hög blir säkerheten lidande eftersom funktionen inte används eller underhålls. Livepatch tar bort all friktion med att applicera viktiga kärnuppdateringar och håller din kärna så säker som möjligt.

Det är longhand för ”vinn, vinn.”