Применение обновлений безопасности к ядру Linux — простой процесс, который можно выполнить с помощью таких инструментов, как apt , yum или kexec . Однако при управлении сотнями или тысячами серверов с различными дистрибутивами Linux, для которых требуется обновление, этот метод может оказаться сложным и трудоёмким.

Обновление ядра вручную требует перезагрузки системы. Это приводит к простою, который может быть проблематичным, поэтому перезагрузки обычно планируются через определённые промежутки времени. Поскольку ручное обновление выполняется во время этих циклов, хакеры получают «временное окно», в течение которого они могут атаковать серверную инфраструктуру.

Для организаций, использующих несколько серверов, лучшим вариантом будет установка патчей в режиме реального времени. Это автоматизированный способ обновления ядра Linux во время работы сервера, что делает его более эффективным и безопасным, чем ручные методы.

В этой статье объясняется, как настроить автоматическое обновление ядра без перезагрузки с помощью решений по установке патчей в реальном времени от Canonical и CloudLinux.

Канонический Livepatch #

Canonical Livepatch — это сервис, который устанавливает обновления для работающего ядра без перезагрузки системы Ubuntu. Сервис Livepatch предоставляется бесплатно для использования на трёх системах Ubuntu. Для использования этого сервиса на более чем трёх компьютерах необходимо оформить подписку на программу Ubuntu Advantage.

Перед установкой сервиса вам необходимо получить токен Livepatch с сайта Livepatch Service .

После установки токена включите службу, выполнив следующие две команды:

 sudo snap install canonical-livepatch sudo canonical-livepatch enable 

Чтобы проверить статус службы, выполните:

 sudo canonical-livepatch status --verbose

Если позже вы захотите отменить регистрацию машины, используйте эту команду:

 sudo canonical-livepatch disable 

Те же инструкции применимы для Ubuntu 20.04 и Ubuntu 18.04.

KernelCare #

KernelCare — отличный вариант для хостинг-провайдеров и предприятий.

KernelCare работает в Ubuntu, CentOS, Debian и других популярных дистрибутивах Linux. Он проверяет наличие патчей каждые 4 часа и устанавливает их автоматически. Патчи можно откатить. KernelCare бесплатен для некоммерческих организаций.

Для установки KernelCare запустите скрипт установки:

 wget -qq -O - https://kernelcare.com/installer | bash

Если вы используете лицензию на основе IP, больше ничего делать не нужно. В противном случае, если вы используете лицензию на основе ключа, выполните следующую команду для регистрации сервиса:

 /usr/bin/kcarectl --register 

Где — это строка регистрационного ключа, предоставляемая при регистрации на пробную версию или покупке продукта. Вы можете получить его на этой странице .

Ниже приведены некоторые полезные команды KernelCare:

• Чтобы проверить, поддерживается ли запущенное ядро KernelCare:

   curl -s -L https://kernelcare.com/checker | python

• Чтобы отменить регистрацию сервера:

   sudo kcarectl --unregister

• Чтобы проверить статус услуги:

   sudo kcarectl --info

• Программа будет автоматически проверять наличие новых обновлений каждые 4 часа. Чтобы обновиться вручную, выполните:

   /usr/bin/kcarectl --update

Заключение #

Технология Live Patching позволяет применять исправления к ядру Linux без перезагрузки.

Если у вас есть вопросы или пожелания, не стесняйтесь оставлять комментарии.

терминал ядра

Связанные руководства

• Команда Rmmod в Linux
• Команда Sysctl в Linux
• Команда Modprobe в Linux
• Команда Lsmod в Linux (список модулей ядра)
• Команда Dmesg в Linux
• Команда Bash read
• Вывод списка служб Linux с помощью Systemctl

Источник