Применение обновлений безопасности для ядра Linux представляет собой простой процесс, который может быть сделан с помощью таких инструментов, как apt, yum или kexec. Однако при управлении сотнями или тысячами серверов под управлением различных дистрибутивов Linux для исправления этот метод может оказаться сложным и трудоемким.
Для обновления ядра вручную требуется перезагрузка системы. Это приводит к простою, что может быть проблематичным, поэтому перезагрузки обычно планируются через определенные промежутки времени. Поскольку во время этих циклов выполняется ручная установка исправлений, это дает хакерам «временное окно», в котором они могут атаковать инфраструктуру сервера.
Для организаций, использующих более нескольких серверов, установка исправлений в реальном времени является лучшим вариантом. Это автоматический способ исправления ядра Linux во время работы сервера, что позволяет ему быть более эффективным и безопасным, чем ручные методы.
В этой статье объясняется, как настроить автоматические обновления ядра без перезагрузки с помощью решений для исправления в реальном времени от Canonical и CloudLinux.
Canonical Livepatch
Canonical Livepatch – это служба, которая исправляет работающее ядро без перезагрузки вашей системы Ubuntu. Сервис Livepatch бесплатен для использования в трех системах Ubuntu. Чтобы использовать эту службу более чем на трех компьютерах, вам необходимо подписаться на программу Ubuntu Advantage.
Перед установкой сервиса вам необходимо получить токен livepatch с сайта сервиса Livepatch.
После установки токена и включения службы, выполнив следующие две команды:
sudo snap install canonical-livepatch sudo canonical-livepatch enable <your-key>
Чтобы проверить статус службы, запустите:
sudo canonical-livepatch status --verbose
Позже, если вы захотите отменить регистрацию машины, используйте эту команду:
sudo canonical-livepatch disable <your-key>
Те же инструкции применимы для Ubuntu 20.04 и Ubuntu 18.04.
KernelCare
KernelCare – отличный вариант для хостинг-провайдеров и предприятий.
KernelCare работает на Ubuntu, CentOS, Debian и других популярных разновидностях Linux. Он проверяет наличие обновлений каждые 4 часа и устанавливает их автоматически. Патчи можно откатить. KernelCare бесплатен для некоммерческих организаций.
Для установки KernelCare запустите установочный скрипт:
wget -qq -O - https://kernelcare.com/installer | bash
Если вы используете лицензию на основе IP, ничего больше делать не требуется. В противном случае, если вы используете лицензию на основе ключа, выполните следующую команду для регистрации службы:
/usr/bin/kcarectl --register <your-key>
Где строка кода регистрации <your-key>, предоставляемая при подписке на пробную версию или покупке продукта. Вы можете получить его на этой странице .
Ниже приведены некоторые полезные команды KernelCare:
- Чтобы проверить, поддерживается ли работающее ядро KernelCare:
curl -s -L https://kernelcare.com/checker | python
- Чтобы отменить регистрацию сервера:
sudo kcarectl --unregister
- Чтобы проверить статус услуги:
sudo kcarectl --info
- Программное обеспечение будет автоматически проверять наличие новых исправлений каждые 4 часа. Чтобы обновить вручную, запустите:
/usr/bin/kcarectl --update
Вывод
Технология Live Patching позволяет применять исправления к ядру Linux без перезагрузки.
Если у вас есть вопросы или отзывы, не стесняйтесь оставлять комментарии.