应用安全更新的Linux内核是一个简单的过程,可以使用工具,如完成apt,yum或kexec。但是,在管理成百上千的运行不同Linux发行版的服务器进行修补时,此方法可能会充满挑战且耗时。

手动更新内核需要重新引导系统。这会导致停机,这可能会带来问题,因此通常计划在特定的时间间隔进行重启。由于手动修补是在这些周期内完成的,因此它为黑客提供了一个“时间窗口”,使他们可以在其中攻击服务器基础结构。

对于运行多个服务器的组织,实时修补是更好的选择。这是一种在服务器运行时自动修补Linux内核的自动方法,这使其比手动方法更加高效和安全。

本文介绍了如何使用Canonical和CloudLinux的实时修补程序解决方案来设置自动无重启内核更新。

Canonical Livepatch

Canonical Livepatch是一项服务,用于修补正在运行的内核,而无需重新启动Ubuntu系统。Livepatch服务可免费使用,最多可使用三个Ubuntu系统。要在三台以上的计算机上使用此服务,您必须订阅Ubuntu Advantage程序。

在安装服务之前,您需要从Livepatch Service网站获得livepatch令牌。

安装令牌后,通过运行以下两个命令来启用服务:

linuxmi@linuxmi:~/www.linuxmi.com$ sudo snap install canonical-livepatch
[sudo] linuxmi 的密码:
canonical-livepatch 9.5.5 from Canonical✓ installed
linuxmi@linuxmi:~/www.linuxmi.com$ sudo canonical-livepatch enable <your-key>
Successfully enabled device. Using machine-token: xxxxxxxxxxxxxxxxxxx

要检查服务的状态,请运行:

linuxmi@linuxmi:~/www.linuxmi.com$ sudo canonical-livepatch status –verbose
last check: 31 seconds ago
kernel: 5.4.0-45.49-generic
server check-in: succeeded
patch state: ✓ no livepatches needed for this kernel yet
client version: 9.5.5
architecture: x86_64
cpu model: Intel(R) Core(TM) i5-8250U CPU @ 1.60GHz
boot time: 6 minutes ago

以后,如果要注销,请使用以下命令:

linuxmi@linuxmi:~/www.linuxmi.com$ sudo canonical-livepatch disable <your-key>

相同的说明适用于Ubuntu 20.04和Ubuntu 18.04。

KernelCare

KernelCare是托管提供商和企业的绝佳选择。

KernelCare可在Ubuntu,CentOS,Debian和其他流行的Linux上运行。它每4小时检查一次修补程序版本,并自动安装它们。补丁可以回滚。非营利组织可以免费使用KernelCare。

要安装KernelCare,请运行安装脚本:

linuxmi@linuxmi:~/www.linuxmi.com$ wget -qq -O – https://kernelcare.com/installer | bash

如果您使用的是基于IP的许可证,则无需执行其他任何操作。否则,如果您使用的是基于密钥的许可证,请运行以下命令来注册服务:

/usr/bin/kcarectl –register <your-key>

其中,<your key>是注册密钥码字符串,在您注册试用版或购买产品时提供。您可以在此页面上获得它。

下面是一些有用的KernelCare命令:

要检查正在运行的kerne是否受KernelCare支持:

linuxmi@linuxmi:~/www.linuxmi.com$ curl -s -L https://kernelcare.com/checker | python

要注销服务:

linuxmi@linuxmi:~/www.linuxmi.com$ sudo kcarectl –unregister

要检查服务状态:

linuxmi@linuxmi:~/www.linuxmi.com$ sudo kcarectl –info

该软件将每4小时自动检查一次新补丁。要手动更新,请运行:

/usr/bin/kcarectl –update

总结

实时补丁技术使您无需重新启动即可将补丁应用到Linux内核。

如果您有任何问题或反馈,请随时发表评论。

发表评论

电子邮件地址不会被公开。 必填项已用*标注