如果你是一个在企业环境中维护关键性系统的系统管理员,你肯定对以下两件事深有感触:
1) 很难找个停机时间去给系统安装安全补丁以修复内核或者系统漏洞 。如果你工作的公司或者企业没有适当的安全策略,运营管理可能最终会优先保证系统的运行而不是解决系统漏洞。 此外,内部的官僚作风也可能延迟批准停机时间。我当时就是这样的。
2) 有时候你确实负担不起停机造成的损失,并且还要做好用别的什么方法减小恶意攻击带来的的风险的准备。
好消息是 canonical 公司最近针对 ubuntu 16.04 (64位版本 / 4.4.x 内核) 发布了 livepatch 服务,它可以让你不用重启就能给内核打关键性安全补丁。 对,你没看错:使用 livepatch 你不用重启就能使 ubuntu 16.04 服务器系统的安全补丁生效。
<a target="_blank"></a>
canonical livepatch 服务
下一步系统会提示你输入你的 ubuntu one 凭据,或者你也可以注册一个新账号。如果你选择后者,则需要你确认你的邮件地址才能完成注册:
ubuntu one 确认邮件
首先把分配给你账号的这个唯一的令牌复制下来:
canonical livepatch 令牌
然后打开终端,输入:
<code>$ sudo snap install canonical-livepatch</code>
上面的命令会安装 livepatch 程序,下面的命令会为你的系统启用它。
<code>$ sudo canonical-livepatch enable [your token here]</code>
如果后一条的命令提示找不到 <code>canonical-livepatch</code> ,检查一下 <code>/snap/bin</code> 是否已经添加到你的路径, 或者把你的工作目录切换到 <code>/snap/bin</code> 下执行也行。
<code>$ sudo ./canonical-livepatch enable [your token here]</code>
在 ubuntu 中安装 livepatch
之后,你可能需要检查应用于内核的补丁的描述和状态。幸运的是,这很简单。
<code>$ sudo ./canonical-livepatch status --verbose</code>
如下图所示:
检查补丁安装情况
在你的 ubuntu 服务器上启用了 livepatch,你就可以在保证系统安全的同时把计划内的外的停机时间降到最低。希望 canonical 的这个举措会在管理上给你带来便利,甚至更近一步带来提升。
原文发布时间为:2017-12-01
本文来自云栖社区合作伙伴“linux中国”