Как настроить автоматические обновления ядра в Linux

12 set 2022 2 min di lettura
Как настроить автоматические обновления ядра в Linux
Indice dei contenuti

Введение

Применение обновлений безопасности для ядра Linux — это простой процесс, который можно выполнить с помощью таких инструментов, как apt, yum или kexec. Однако при управлении сотнями или тысячами серверов с различными дистрибутивами Linux для установки исправлений этот метод может оказаться сложным и трудоемким.

Ручное обновление ядра требует перезагрузки системы. Это приводит к простоям, что может быть проблематично, поэтому перезагрузки обычно планируются через определенные промежутки времени. Поскольку в течение этих циклов выполняется ручное исправление, оно предоставляет хакерам «окно времени», в течение которого они могут атаковать инфраструктуру сервера.

Для организаций, использующих несколько серверов, оперативная установка исправлений является лучшим вариантом. Это автоматизированный способ исправления ядра Linux во время работы сервера, что делает его более эффективным и безопасным, чем ручные методы.

В этой статье объясняется, как настроить автоматическое обновление ядра без перезагрузки с помощью решений Canonical и CloudLinux для установки исправлений в режиме реального времени.

Если вы хотите настроить автоматическое обновление ядра на удаленном сервере, продолжайте чтение, в противном случае пропустите первый абзац «Подключение к серверу» и читайте следующий.

Подключение к серверу

Чтобы получить доступ к серверу, вам нужно знать IP-адрес. Вам также потребуется ваше имя пользователя и пароль для аутентификации. Чтобы подключиться к серверу как root, введите следующую команду:

ssh root@IP_DEL_SERVER

Далее вам нужно будет ввести пароль пользователя root.

Если вы не используете пользователя root, вы можете войти под другим именем пользователя с помощью той же команды, а затем изменить root на свое имя пользователя:

ssh nome_utente@IP_DEL_SERVER

Затем вам будет предложено ввести пароль пользователя.

Стандартный порт для подключения по ssh — 22, если ваш сервер использует другой порт, вам нужно будет указать его с помощью параметра -p, затем введите следующую команду:

ssh nome_utente@IP_DEL_SERVER -p PORTA

Канонический патч Live

Canonical Livepatch — это служба, которая обновляет работающее ядро ​​без перезагрузки системы Ubuntu. Служба Livepatch бесплатна для трех систем Ubuntu. Чтобы использовать эту услугу более чем на трех системах, вам необходимо подписаться на программу Ubuntu Advantage.

Перед установкой службы необходимо получить токен livepatch с сайта службы Livepatch.

Получив токен, установите службу моментальных снимков и включите ее, выполнив следующие две команды:

sudo snap install canonical-livepatch
sudo canonical-livepatch enable <your-key>

Чтобы проверить статус службы, запустите:

sudo canonical-livepatch status --verbose

Позже, если вы хотите отменить регистрацию машины, используйте эту команду:

sudo canonical-livepatch disable <your-key>

Те же инструкции применимы к Ubuntu 20.04 LTS и Ubuntu 18.04 LTS.

KernelCare

KernelCare — отличный вариант для хостинг-провайдеров и предприятий.

KernelCare работает с Ubuntu, CentOS, Debian и другими популярными версиями Linux. Проверяет наличие исправлений каждые 4 часа и устанавливает их автоматически. Патчи можно откатить. KernelCare бесплатен для некоммерческих организаций.

Для установки KernelCare запустите скрипт установки:

wget -qq -O - https://kernelcare.com/installer | bash

Если вы используете лицензию на основе IP, вам больше ничего делать не нужно. В противном случае, если вы используете лицензию на основе ключа, выполните следующую команду, чтобы зарегистрировать службу:

/usr/bin/kcarectl --register <your-key>

Параметр <your-key> — это строка кода регистрационного ключа, предоставляемая при подписке на пробную версию или покупке продукта. Вы можете получить его на этой странице.

Вот несколько полезных команд KernelCare.

Чтобы проверить, поддерживается ли запущенное ядро ​​KernelCare, введите следующую команду:

curl -s -L https://kernelcare.com/checker | python

Чтобы отменить регистрацию сервера:

sudo kcarectl --unregister

Чтобы проверить статус услуги:

sudo kcarectl --info

Программное обеспечение будет автоматически проверять наличие новых исправлений каждые 4 часа. Чтобы обновить вручную, запустите:

/usr/bin/kcarectl --update

Вывод

Технология Live Patching позволяет вам исправлять ядро ​​​​Linux без перезагрузки системы.

Buy me a coffeeBuy me a coffee

Supportaci se ti piacciono i nostri contenuti. Grazie.

Successivamente, completa il checkout per l'accesso completo a Noviello.it.
Bentornato! Accesso eseguito correttamente.
Ti sei abbonato con successo a Noviello.it.
Successo! Il tuo account è completamente attivato, ora hai accesso a tutti i contenuti.
Operazione riuscita. Le tue informazioni di fatturazione sono state aggiornate.
La tua fatturazione non è stata aggiornata.