如果您是负责维护企业环境中关键系统的系统管理员,我们相信您知道两个重要的事情:
1)找到一个停机时间来安装安全补丁,以处理内核或操作系统漏洞是很困难的。 如果您工作的公司或企业没有适当的安全策略,运营管理可能最终有利于正常运行时间超过解决漏洞的需要。 此外,内部官僚机构可能会导致延迟批准停机时间。 在那里自己。
2)有时候,你真的不能承受的停机时间,并应做好准备,以减轻任何可能暴露于恶意攻击一些其他的方式。
好消息是,Canonical公司最近发布的(实际上,前几天),其Livepatch服务的关键内核补丁应用到Ubuntu 16.04(64位版本/ 4.4.x到内核),而不需要在以后重新启动。 是的,你没看错:与Livepatch,你并不需要重新启动你的Ubuntu 16.04服务器为了安全补丁生效。
注册Ubuntu Livepatch
为了使用规范Livepatch服务 ,你需要注册https://auth.livepatch.canonical.com/ ,并指出,如果你是一个普通的Ubuntu用户或用户优势(付费选项)。 所有Ubuntu用户都可以通过使用令牌将多达3台不同的机器连接到Livepatch:
规范Livepatch服务
在接下来的步骤中,您将被提示输入您的Ubuntu的一个凭据或注册新帐户。 如果您选择后者,则需要确认您的电子邮件地址才能完成注册:
Ubuntu一个确认邮件
一旦你点击链接上面确认您的电子邮件地址,您就可以回到https://auth.livepatch.canonical.com/ ,让你Livepatch令牌。
获取和使用Livepatch令牌
首先,复制分配给您的Ubuntu One帐户的唯一令牌:
规范Livepatch令牌
然后转到终端并键入:
$ sudo snap install canonical-livepatch
上面的命令将安装livepatch,而
$ sudo canonical-livepatch enable [YOUR TOKEN HERE]
将为您的系统启用它。 如果这最后的命令指示无法找到规范的-livepatch,确保/snap/bin
已添加到您的路径。 一种解决方法包括改变你的工作目录的/snap/bin
做。
$ sudo ./canonical-livepatch enable [YOUR TOKEN HERE]
在Ubuntu中安装Livepatch
超时,您将需要检查应用于内核的修补程序的描述和状态。 幸运的是,这是一样容易做。
$ sudo ./canonical-livepatch status --verbose
如下图所示:
在Ubuntu中检查Livepatch状态
已经启用Livepatch你的Ubuntu的服务器上,您将能够在最低限度,以减少计划内和计划外停机时间,同时保持您的系统安全。 希望Canonical的举措会给你一个轻松的管理 - 或者更好的,一个加薪。
如果您对本文有任何疑问,请随时与我们联系。 只要给我们一个注释使用下面的评论表,我们会尽快回复你。