在Ubuntu LTS系统上启用Canonical Livepatch服务的方法

本文介绍在Ubuntu LTS（18.04/16.04/14.04）系统上启用Canonical Livepatch Service（服务）的方法，也称为Canonical Kernel Livepatch服务。

前言

Canonical在Ubuntu 14.04 LTS系统中引入了Live patch Service，实时修补服务允许你安装和应用关键的Linux内核安全更新，而无需重新启动系统。这意味着，在应用内核修补程序后，你无需重新启动系统。但通常情况下，我们需要在安装内核补丁后重启Linux服务器，以供系统使用。实时修补非常快，大多数内核修复程序在几秒钟内完成，并且没有任何问题。Canonical live patch服务适用于最多3个系统的用户，无需任何费用。你可以通过命令行在桌面和服务器中启用Canonical Live补丁，此实时修补系统旨在解决高级和关键的Linux内核安全漏洞。

有关支持的系统和其他详细信息，请参阅下表（Ubuntu 18.04 LTS：4.15、Ubuntu 16.04 LTS：4.4、Ubuntu 14.04 LTS：4.4）：

注意：Ubuntu 14.04 LTS中的Canonical Livepatch Service要求用户在Trusty中运行Ubuntu v4.4内核，如果你当前没有运行使用该服务，请重新启动到此内核。

为此，请按照以下步骤操作。

关于Get your Live patch token的操作

导航到Canonical Livepatch服务页面（地址：https://auth.livepatch.canonical.com/），如果要使用免费服务，请选择Ubuntu用户。

它适用于最多3个系统，如果你是UA客户，请选择Ubuntu Advantage客户，最后，单击“Get your Live patch token”。

确保你已在Ubuntu One中拥有帐户，如果不是，可以创建一个新的。

登录后，你将获得帐户的密钥。

在系统中安装Snap守护程序

实时修补系统通过Snap包处理，因此，请确保在Ubuntu系统上安装了“snap daemon”：

$ sudo apt update

$ sudo apt install snapd

参考：在Ubuntu 18.04/Debian上安装和使用Snap的方法。

在系统中安装和配置Live补丁服务

通过运行以下命令安装canonical-livepatch守护程序：

$ sudo snap install canonical-livepatch

canonical-livepatch 9.4.1 from Canonical* installed

运行以下命令以在Ubuntu计算机上启用实时内核修补程序：

$ sudo canonical-livepatch enable xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e

Successfully enabled device. Using machine-token: xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e

运行以下命令以查找livepatched计算机的状态：

$ sudo canonical-livepatch status

client-version: 9.4.1

architecture: x86_64

cpu-model: Intel(R) Core(TM) i7-6700HQ CPU @ 2.60GHz

last-check: 2019-07-24T12:30:04+05:30

boot-time: 2019-07-24T12:11:06+05:30

uptime: 19m11s

status:

- kernel: 4.15.0-55.60-generic

 running: true

 livepatch:

  checkState: checked

  patchState: nothing-to-apply

  version: ""

  fixes: ""

使用--verbose选项运行上述相同的命令，以获取有关实时修补机器的更多信息：

$ sudo canonical-livepatch status --verbose

如果要手动运行修补程序，请执行以下命令：

$ sudo canonical-livepatch refresh

Before refresh:

kernel: 4.15.0-55.60-generic

fully-patched: true

version: ""

After refresh:

kernel: 4.15.0-55.60-generic

fully-patched: true

version: ""

你将在patchState输出中获得以下状态之一：

1、applied：未发现任何漏洞。

2、nothing-to-apply：成功找到并修补了漏洞。

3、kernel-upgrade-required：Livepatch无法安装补丁来修复漏洞。

请注意，安装内核补丁与在系统上升级/安装新内核不同，如果已安装新内核，则必须重新引导系统以激活新内核。

相关主题

使用Ubuntu Livepatch服务