Как настроить автоматические обновления ядра в Linux

Применение обновлений безопасности к ядру Linux — простой процесс, который можно выполнить с помощью таких инструментов, как apt , yum или kexec . Однако при управлении сотнями или тысячами серверов под управлением различных дистрибутивов Linux для исправления этот метод может оказаться сложным и трудоемким.

Для обновления ядра вручную требуется перезагрузка системы. Это приводит к простою, что может быть проблематичным, поэтому перезагрузки обычно планируются через определенные промежутки времени. Поскольку во время этих циклов выполняется ручная установка исправлений, это дает хакерам «временное окно», в котором они могут атаковать инфраструктуру сервера.

Для организаций, использующих более нескольких серверов, установка исправлений в реальном времени является лучшим вариантом. Это автоматизированный способ исправления ядра Linux во время работы сервера, что позволяет ему быть более эффективным и безопасным, чем ручные методы.

В этой статье объясняется, как настроить автоматические обновления ядра без перезагрузки с помощью решений для исправления в реальном времени от Canonical и CloudLinux.

Канонический Livepatch

Canonical Livepatch — это служба, которая исправляет работающее ядро без перезагрузки вашей системы Ubuntu. Сервис Livepatch бесплатен для использования в трех системах Ubuntu. Чтобы использовать эту услугу на более чем трех компьютерах, вам необходимо подписаться на программу Ubuntu Advantage.

Перед установкой сервиса вам необходимо получить токен livepatch с сайта сервиса Livepatch .

После установки токена и включения службы, выполнив следующие две команды:

sudo snap install canonical-livepatchsudo canonical-livepatch enable <your-key>

Чтобы проверить статус службы, запустите:

sudo canonical-livepatch status --verbose

Позже, если вы захотите отменить регистрацию машины, используйте эту команду:

sudo canonical-livepatch disable <your-key>

Те же инструкции применимы для Ubuntu 20.04 и Ubuntu 18.04.

KernelCare

KernelCare — отличный вариант для хостинг-провайдеров и предприятий.

KernelCare работает на Ubuntu, CentOS, Debian и других популярных разновидностях Linux. Он проверяет наличие обновлений каждые 4 часа и устанавливает их автоматически. Патчи можно откатить. KernelCare бесплатен для некоммерческих организаций.

Для установки KernelCare запустите установочный скрипт:

wget -qq -O - https://kernelcare.com/installer | bash

Если вы используете лицензию на основе IP, ничего больше делать не требуется. В противном случае, если вы используете лицензию на основе ключа, выполните следующую команду для регистрации службы:

/usr/bin/kcarectl --register <your-key>

Где <your-key> — это строка кода регистрационного ключа, предоставленная при подписке на пробную версию или покупке продукта. Вы можете получить его на этой странице .

Ниже приведены некоторые полезные команды KernelCare:

  • Чтобы проверить, поддерживается ли работающее ядро KernelCare:

     curl -s -L https://kernelcare.com/checker | python
  • Чтобы отменить регистрацию сервера:

     sudo kcarectl --unregister
  • Чтобы проверить статус услуги:

     sudo kcarectl --info
  • Программное обеспечение будет автоматически проверять наличие новых исправлений каждые 4 часа. Чтобы обновить вручную, запустите:

     /usr/bin/kcarectl --update

Выводы

Технология Live Patching позволяет применять исправления к ядру Linux без перезагрузки.

Если у вас есть какие-либо вопросы или отзывы, не стесняйтесь оставлять комментарии.

Оставьте комментарий