Wilt u kritieke Linux-kernelpatches automatisch op uw Ubuntu-systeem laten toepassen, zonder dat u uw computer opnieuw hoeft op te starten? We beschrijven hoe u de Livepatch-service van Canonical kunt gebruiken om precies dat te doen.
Wat is Livepatch en hoe werkt het?
Zoals Dustin Kirkland van Canonical enkele jaren geleden uitlegde, gebruikt Canonical Livepatch de Kernel Live Patching-technologie die in de standaard Linux-kernel is ingebouwd. De Livepatch-website van Canonical merkt op dat enorme bedrijven zoals AT&T, Cisco en Walmart het gebruiken.
Het is gratis voor persoonlijk gebruik op maximaal drie computers – volgens Kirkland kunnen dit “desktops, servers, virtuele machines of cloudinstances” zijn. Organisaties kunnen het op meer systemen gebruiken met een betaald Ubuntu Advantage-abonnement.
Kernelpatches zijn nodig, maar lastig
Linux-kernelpatches zijn een feit. Uw systeem veilig houden en up-to-date houden is van vitaal belang in de onderling verbonden wereld waarin we leven. Maar het kan lastig zijn om uw computer opnieuw op te starten om kernelpatches toe te passen. Vooral als de computer een of andere dienst aan gebruikers levert en u met hen moet coördineren of onderhandelen om de dienst offline te halen. En er is een vermenigvuldiger. Als je meerdere Ubuntu-machines onderhoudt, moet je op een gegeven moment de kogel bijten en ze allemaal om de beurt doen.
De Canonical Livepatch-service neemt alle ergernis weg van het up-to-date houden van uw Ubuntu-systemen met kritieke kernelpatches. Het is gemakkelijk in te stellen – grafisch of vanaf de opdrachtregel – en het neemt nog een klus van uw schouders.
Alles dat de onderhoudsinspanningen vermindert, de beveiliging verhoogt en de uitvaltijd vermindert, moet een aantrekkelijke propositie zijn, toch? Ja, maar er zijn enkele kanttekeningen.
- U moet een LTS-release (Long Term Support) van Ubuntu gebruiken, zoals 16.04 of 18.04. De meest recente LTS-versie is 18.04, dus dat is de versie die we hier gaan gebruiken.
- Het moet een 64-bits versie zijn.
- U moet Linux Kernel 4.4 of hoger draaien
- U moet een Ubuntu One-account hebben. Onthoud hen? Als u geen Ubuntu One-account heeft, kunt u zich aanmelden voor een gratis account.
- U kunt de Canonical Livepatch-service gratis gebruiken, maar u bent beperkt tot drie computers per Ubuntu One-account. Als u meer dan drie computers moet onderhouden, heeft u extra Ubuntu One-accounts nodig.
- Als u fysieke, virtuele of in de cloud gehoste servers heeft om voor te zorgen, moet u Ubuntu Advantage-klant worden.
Een Ubuntu One-account krijgen
Of u de Livepatch-service nu gaat instellen via de grafische gebruikersinterface (GUI) of via de opdrachtregelinterface (CLI), u moet een Ubuntu One-account hebben. Dit is vereist omdat de werking van de Livepatch-service afhankelijk is van een privésleutel die aan u is verstrekt en is gekoppeld aan uw Ubuntu One-account.
- Als u de Livepatch-service instelt met behulp van de GUI, ziet u uw sleutel niet. Het is nog steeds vereist en gebruikt, maar het wordt allemaal op de achtergrond voor u afgehandeld.
- Als u uw Livepatch-service via de terminal instelt, moet u uw sleutel vanuit uw browser naar de opdrachtregel kopiëren en plakken.
Als u geen Ubuntu One-account heeft, kunt u er gratis een aanmaken.
De Canonical Livepatch-service grafisch inschakelen
Om de grafische setup-interface te starten, drukt u op de “Super” -toets. Dit bevindt zich tussen de toetsen “Control” en “Alt” linksonder op de meeste toetsenborden. Zoek naar ‘livepatch’.
Als u het Livepatch-pictogram ziet, klikt u op het pictogram of drukt u op “Enter”.
Het dialoogvenster “Software en updates” wordt weergegeven met het tabblad Livepatch geselecteerd. Klik op de knop “Aanmelden”. U wordt eraan herinnerd dat u een Ubuntu One-account nodig heeft.
Klik op de knop “Aanmelden / Registreren”.
Het Ubuntu Single Sign-On Account-dialoogvenster verschijnt. Canonical gebruikt de termen “Ubuntu One” en “Single Sign-On” door elkaar. Ze bedoelen hetzelfde. Officieel werd “Single Sign-On” vervangen door “Ubuntu One”, maar de oude naam blijft hangen.
Voer uw accountgegevens in en klik op de knop “Verbinden”. U kunt dit dialoogvenster ook gebruiken om u te registreren voor een account als u er nog geen heeft aangemaakt.
U wordt om uw wachtwoord gevraagd.
Voer uw wachtwoord in en klik op de knop “Authenticatie”. Een dialoogvenster toont u het e-mailadres dat is gekoppeld aan het Ubuntu One-account dat u gaat gebruiken.
Zorg ervoor dat het correct is en klik op de knop “Doorgaan”.
U wordt nogmaals om uw wachtwoord gevraagd. Na een paar seconden wordt het tabblad Livepatch in het dialoogvenster “Software en updates” bijgewerkt om aan te geven dat Livepatch live en actief is.
Er verschijnt een nieuw schildpictogram in het systeemvak van de tool, dicht bij de netwerk-, geluids- en stroompictogrammen. De groene cirkel met het vinkje geeft aan dat alles in orde is. Klik op het pictogram om het menu te openen.
Er is ons verteld dat Livepatch is ingeschakeld en dat er geen actuele updates zijn.
De optie “Livepatch-instellingen” opent het dialoogvenster “Software en updates” op het tabblad Livepatch.
Dat is het; je bent helemaal klaar.
De Canonical Livepatch-service inschakelen met behulp van de CLI
Je hebt een Ubuntu One-account nodig. Als u er geen heeft, heeft u de mogelijkheid om er een aan te maken. Ze zijn gratis en het duurt maar een moment.
Sommige van de stappen die we moeten uitvoeren, zijn webgebaseerd, dus dit is niet echt een CLI-methode. We beginnen met het bezoeken van de webpagina Canonical Livepatch Service om onze geheime sleutel of ’token’ te verkrijgen.
Selecteer het keuzerondje “Ubuntu-gebruiker” en klik op de knop “Get Your Livepatch Token”.
U wordt gevraagd om in te loggen op uw Ubuntu One-account.
- Als je een account hebt, voer dan het e-mailadres in waarmee je het account hebt ingesteld en selecteer het keuzerondje “Ik heb een Ubuntu One-account en mijn wachtwoord is:”.
- Als je geen account hebt, voer dan je e-mailadres in en selecteer het keuzerondje “Ik heb geen Ubuntu One-account”. U wordt begeleid bij het aanmaken van een account.
Zodra uw Ubuntu One-account is geverifieerd, ziet u de webpagina Managed live kernel patching. Uw sleutel wordt weergegeven.
Houd de webpagina met uw sleutel erop open en open een terminalvenster. Gebruik deze opdracht in het terminalvenster om de Livepatch-service-daemon te installeren:
sudo snap install canonical-livepatch
Als de installatie is voltooid, moet u de service inschakelen. Je hebt de sleutel nodig van de webpagina “Managed live kernel patching”.
U moet de sleutel kopiëren en op de opdrachtregel plakken. Markeer de toets op de webpagina, klik er met de rechtermuisknop op en selecteer “Kopiëren” in het contextmenu. Of u kunt de toets markeren en op ‘Ctrl + C’ drukken.
Typ de volgende opdracht in het terminalvenster, maar niet doen druk op Enter.”
sudo canonical-livepatch enable
Typ vervolgens een spatie, klik met de rechtermuisknop en selecteer “Plakken” in het contextmenu. Of u kunt op ‘Ctrl + Shift + V’ drukken. U zou de opdracht die u zojuist hebt getypt, een spatie en de sleutel van de webpagina moeten zien.
Op de testmachine die werd gebruikt om dit artikel te onderzoeken, zag het er als volgt uit:
Druk op Enter.”
VERWANT: Tekst kopiëren en plakken in de Bash Shell van Linux
Als alles goed gaat, zie je een verificatiebericht van Livepatch dat aangeeft dat de computer is ingeschakeld voor kernelpatching. Het zal ook een andere lange sleutel tonen; dit is het “machine-token”.
Wat er net is gebeurd is:
- Je hebt je Livepatch-sleutel verkregen van Canonical.
- U kunt het op drie computers gebruiken. Je hebt het tot nu toe op één computer gebruikt.
- Het machinetoken dat voor deze computer is gegenereerd – met uw sleutel – is het machinetoken dat in dit bericht wordt weergegeven.
Als u het tabblad Livepatch in het dialoogvenster “Software en updates” aanvinkt, ziet u dat Livepatch is ingeschakeld en actief.
De status van Livepatch controleren
U kunt Livepatch een statusrapport laten geven met de volgende opdracht:
sudo canonical-livepatch status
Het statusrapport bevat:
- client-versie: De softwareversie van Livepatch.
- architectuur: De CPU-architectuur van de computer.
- cpu-model: Het type en model van de centrale verwerkingseenheid (CPU) in de computer.
- laatste controle: De tijd en datum waarop Livepatch voor het laatst heeft gecontroleerd of er essentiële kernelupdates beschikbaar waren om te downloaden.
- opstarttijd: De tijd dat deze computer voor het laatst is ingeschakeld.
- uptime: De duur dat deze computer is ingeschakeld.
Het statusblok vertelt ons:
- kernel: De versie van de huidige kernel.
- rennen: Of Livepatch actief is of niet.
- checkstate: Of Livepatch heeft gecontroleerd op kernelpatches.
- patchState: Of er kritische kernelpatches moeten worden geïnstalleerd.
- versie: De versie van de kernelpatches, indien aanwezig, die moeten worden toegepast.
- reparaties: De fixes in de kernelpatches.
Livepatch dwingen om nu te updaten
Het hele punt van Livepatch is om een beheerde updateservice te bieden, wat betekent dat u er niet over na hoeft te denken. Het is allemaal voor je gedaan. Maar als je wilt, kun je Livepatch dwingen om te controleren op kernelpatches (en alle gevonden patches toe te passen) met het volgende commando:
sudo canonical-livepatch refresh
Livepatch vertelt je de versie van de kernel voor en na het vernieuwen. In dit voorbeeld kon niets worden toegepast.
Minder wrijving, meer veiligheid
Beveiligingsfrictie is de pijn of het ongemak dat gepaard gaat met het implementeren, gebruiken of onderhouden van een beveiligingsfunctie. Als de wrijving te hoog is, lijdt de beveiliging omdat de functie niet wordt gebruikt of onderhouden. Livepatch neemt alle frictie weg bij het toepassen van kritieke kernelupdates, en houdt uw kernel zo veilig mogelijk.
Dat is met de hand voor “win, win”.
