如果你是一個在企業環境中維護關鍵性系統的系統管理者,你肯定對以下兩件事深有感觸:
1) 很難找個停機時間去給系統安裝安全更新檔以修複核心或者系統漏洞 。如果你工作的公司或者企業沒有适當的安全政策,營運管理可能最終會優先保證系統的運作而不是解決系統漏洞。 此外,内部的官僚作風也可能延遲準許停機時間。我當時就是這樣的。
2) 有時候你确實負擔不起停機造成的損失,并且還要做好用别的什麼方法減小惡意攻擊帶來的的風險的準備。
好消息是 canonical 公司最近針對 ubuntu 16.04 (64位版本 / 4.4.x 核心) 釋出了 livepatch 服務,它可以讓你不用重新開機就能給核心打關鍵性安全更新檔。 對,你沒看錯:使用 livepatch 你不用重新開機就能使 ubuntu 16.04 伺服器系統的安全更新檔生效。
<a target="_blank"></a>
canonical livepatch 服務
下一步系統會提示你輸入你的 ubuntu one 憑據,或者你也可以注冊一個新賬号。如果你選擇後者,則需要你确認你的郵件位址才能完成注冊:
ubuntu one 确認郵件
首先把配置設定給你賬号的這個唯一的令牌複制下來:
canonical livepatch 令牌
然後打開終端,輸入:
<code>$ sudo snap install canonical-livepatch</code>
上面的指令會安裝 livepatch 程式,下面的指令會為你的系統啟用它。
<code>$ sudo canonical-livepatch enable [your token here]</code>
如果後一條的指令提示找不到 <code>canonical-livepatch</code> ,檢查一下 <code>/snap/bin</code> 是否已經添加到你的路徑, 或者把你的工作目錄切換到 <code>/snap/bin</code> 下執行也行。
<code>$ sudo ./canonical-livepatch enable [your token here]</code>
在 ubuntu 中安裝 livepatch
之後,你可能需要檢查應用于核心的更新檔的描述和狀态。幸運的是,這很簡單。
<code>$ sudo ./canonical-livepatch status --verbose</code>
如下圖所示:
檢查更新檔安裝情況
在你的 ubuntu 伺服器上啟用了 livepatch,你就可以在保證系統安全的同時把計劃内的外的停機時間降到最低。希望 canonical 的這個舉措會在管理上給你帶來便利,甚至更近一步帶來提升。
原文釋出時間為:2017-12-01
本文來自雲栖社群合作夥伴“linux中國”