Cómo configurar actualizaciones automáticas del kernel en Linux

1 mar 2021 3 min di lettura
Cómo configurar actualizaciones automáticas del kernel en Linux
Indice dei contenuti

Introducción

La aplicación de actualizaciones de seguridad para el kernel de Linux es un proceso simple que se puede realizar con herramientas como apt, yum o kexec. Sin embargo, cuando se administran cientos o miles de servidores que ejecutan diferentes distribuciones de Linux para parchear, este método puede ser un desafío y llevar mucho tiempo.

La actualización manual del kernel requiere reiniciar el sistema. Esto da como resultado un tiempo de inactividad, que puede ser problemático, por lo que los reinicios generalmente se programan para que se produzcan en intervalos de tiempo específicos. Dado que el parche manual se realiza durante estos ciclos, proporciona a los piratas informáticos una "ventana de tiempo" en la que pueden atacar la infraestructura del servidor.

Para las organizaciones que ejecutan varios servidores, la aplicación de parches en vivo es una mejor opción. Es una forma automatizada de parchear un kernel de Linux mientras el servidor está en ejecución, lo que le permite ser más eficiente y más seguro que los métodos manuales.

Este artículo explica cómo configurar las actualizaciones automáticas del kernel sin reiniciar utilizando las soluciones de parcheo en tiempo real de Canonical y CloudLinux.

Si desea configurar las actualizaciones automáticas del kernel en un servidor remoto, continúe leyendo; de lo contrario, omita el primer párrafo "Conectando al servidor" y lea el siguiente.

Conexión al servidor

Para acceder al servidor, necesita conocer la dirección IP. También necesitará su nombre de usuario y contraseña para la autenticación. Para conectarse al servidor como root, escriba el siguiente comando:

ssh root@IP_DEL_SERVER

A continuación, deberá ingresar la contraseña del usuario root.

Si no usa el usuario root, puede iniciar sesión con otro nombre de usuario usando el mismo comando, luego cambie root a su nombre de usuario:

ssh nome_utente@IP_DEL_SERVER

Luego se le pedirá que ingrese su contraseña de usuario.

El puerto estándar para conectarse a través de ssh es 22, si su servidor usa un puerto diferente, deberá especificarlo usando el parámetro -p, luego escriba el siguiente comando:

ssh nome_utente@IP_DEL_SERVER -p PORTA

Livepatch canónico

Canonical Livepatch es un servicio que actualiza el kernel en ejecución sin tener que reiniciar el sistema Ubuntu. El servicio Livepatch es gratuito, hasta tres sistemas Ubuntu. Para utilizar este servicio en más de tres sistemas, deberá suscribirse al programa Ubuntu Advantage.

Antes de instalar el servicio, debe obtener un token de Livepatch del sitio del servicio Livepatch.

Una vez que tenga el token, instale el servicio snap y habilítelo ejecutando estos dos comandos:

sudo snap install canonical-livepatch
sudo canonical-livepatch enable <your-key>

Para verificar el estado del servicio, ejecute:

sudo canonical-livepatch status --verbose

Más tarde, si desea cancelar el registro de una máquina, use este comando:

sudo canonical-livepatch disable <your-key>

Las mismas instrucciones se aplican a Ubuntu 20.04 LTS y Ubuntu 18.04 LTS.

KernelCare

KernelCare es una excelente opción para empresas y proveedores de hosting.

KernelCare funciona en Ubuntu, CentOS, Debian y otras versiones populares de Linux. Comprueba si hay parches cada 4 horas y los instala automáticamente. Los parches se pueden revertir. KernelCare es gratuito para organizaciones sin fines de lucro.

Para instalar KernelCare, ejecute el script de instalación:

wget -qq -O - https://kernelcare.com/installer | bash

Si está utilizando una licencia basada en IP, no necesita hacer nada más. De lo contrario, si está utilizando una licencia basada en claves, ejecute el siguiente comando para registrar el servicio:

/usr/bin/kcarectl --register <your-key>

El <your-key> es la cadena de código de la clave de registro que se proporciona cuando se registra para la versión de prueba o compra el producto. Puedes conseguirlo en esta página.

Aquí hay algunos comandos útiles de KernelCare.

Para verificar si el kernel en ejecución es compatible con KernelCare, proporcione el siguiente comando:

curl -s -L https://kernelcare.com/checker | python

Para cancelar el registro de un servidor:

sudo kcarectl --unregister

Para comprobar el estado del servicio:

sudo kcarectl --info

El software comprobará automáticamente si hay nuevos parches cada 4 horas. Para actualizar manualmente, ejecute:

/usr/bin/kcarectl --update

Conclusión

La tecnología Live Patching le permite parchear su kernel de Linux sin tener que reiniciar el sistema.

Buy me a coffeeBuy me a coffee

Supportaci se ti piacciono i nostri contenuti. Grazie.

Successivamente, completa il checkout per l'accesso completo a Noviello.it.
Bentornato! Accesso eseguito correttamente.
Ti sei abbonato con successo a Noviello.it.
Successo! Il tuo account è completamente attivato, ora hai accesso a tutti i contenuti.
Operazione riuscita. Le tue informazioni di fatturazione sono state aggiornate.
La tua fatturazione non è stata aggiornata.