如何在Ubuntu上使用Canonical的Livepatch服务

Ubuntu 18.04 LTS的默认桌面背景显示了Bionic Beaver。

想将重要的Linux内核补丁自动应用于您的Ubuntu系统,而不必重启计算机吗?我们描述了怎样使用Canonical的Livepatch服务来做到这一点。

什么是Livepatch?怎样运作?

正如Canonical的Dustin Kirkland几年前所说,Canonical Livepatch使用内置在标准Linux内核中的Kernel Live Patching技术。 Canonical的Livepatch网站指出,像AT&T,Cisco和Walmart这样的大型公司都在使用它。

它最多可免费供个人使用,最多可在三台计算机上供个人使用-根据Kirkland的说法,它们可以是“台式机,服务器,虚拟机或云实例”。组织可以在付费的Ubuntu Advantage订阅的更多系统上使用它。

内核补丁是必需的但不方便

Linux内核补丁已成事实。在我们所处的互连世界中,确保系统安全和更新补丁至关紧要。但是,必须重新启动计算机以应用内核补丁可能会很痛苦。特别是如果计算机正在为用户提供某种服务,而您必须协调或与用户协商才能使服务脱机。还有一个乘数。如果您维护多台Ubuntu计算机,则在某些时候您必须咬紧牙关,然后依次进行操作。

Canonical Livepatch Service消除了使关键系统补丁程序保持最新状态的所有麻烦。无论是通过图形方式还是从命令行进行设置,都非常容易,并且省去了繁琐的工作。

减少维护工作量,增强安全性并减少停机时间的任何事情都必须是一个有吸引力的提议,对吗?是的,但是有一些警告。

  • 您必须使用Ubuntu的长期支持(LTS)版本,例如16.04或18.04。最新的LTS版本是18.04,因此我们将在这里使用该版本。
  • 它必须是64位版本。
  • 您必须运行Linux Kernel 4.4或更高版本
  • 您需要有一个Ubuntu One帐户。还记得他们吗?如果您没有Ubuntu One帐户,则可以注册一个免费帐户。
  • 您可以免费使用Canonical Livepatch Service,但每个Ubuntu One帐户只能使用三台计算机。如果您必须维护三台以上的计算机,则需要其他的Ubuntu One帐户。
  • 如果您需要物理,虚拟或云托管服务器,则需要成为Ubuntu Advantage客户。

获取一个Ubuntu帐户

无论您是要通过图形用户界面(GUI)还是通过命令行界面(CLI)设置Livepatch服务,都必须拥有一个Ubuntu One帐户。这是必需的,因为Livepatch Service的操作取决于发给您的并与您的Ubuntu One帐户绑定的私钥。

  • 如果使用GUI设置Livepatch Service,则看不到密钥。它仍然是必需和使用的,但是所有这些都在后台为您处理。
  • 如果您通过终端设置Livepatch服务,则需要将密钥从浏览器复制并粘贴到命令行。

如果您没有Ubuntu One帐户,则可以免费创建一个。

以图形方式启用Canonical Livepatch服务

要启动图形设置界面,请按“超级”键。它位于大多数键盘左下方的“ Control”和“ Alt”键之间。搜索“ livepatch”。

当您看到Livepatch图标时,单击该图标或按“ Enter”。

Livepatch图标

将出现“软件和更新”对话框窗口,其中“ Livepatch”选项卡处于选中状态。点击“登录”按钮。提醒您,您需要一个Ubuntu One帐户。

Ubuntu One登录/注册对话框

点击“登录/注册”按钮。

出现“ Ubuntu单一登录帐户”对话框窗口。 Canonical互换使用术语“ Ubuntu One”和“单点登录”。他们是同一回事。 “ Single Sign-On”正式被“ Ubuntu One”所取代,但旧名称仍然存在。

Ubuntu单一登录对话框窗口

输入您的帐户详细信息,然后单击“连接”按钮。如果尚未创建一个帐户,也可以使用此对话框窗口进行注册。

系统将提示您输入密码。

Ubuntu身份验证对话框窗口

输入密码,然后单击“身份验证”按钮。一个对话框窗口显示与要使用的Ubuntu One帐户关联的电子邮件地址。

电子邮件地址验证对话框窗口

确保正确无误,然后单击“继续”按钮。

系统将再次要求您输入密码。几秒钟后,“软件和更新”对话框窗口中的“ Livepatch”选项卡将更新,以显示Livepatch处于活动状态。

Livepatch在“软件和更新”对话框窗口中处于活动状态

新的屏蔽图标将出现在工具通知区域中,靠近网络,声音和电源图标。带勾号的绿色圆圈告诉您一切都很好。单击图标访问菜单。

我们被告知Livepatch已打开,并且当前没有更新。

Livepatch通知区域图标和菜单

“ Livepatch设置”选项将在“ Livepatch”选项卡上打开“软件和更新”对话框窗口。

而已;大功告成。

使用CLI启用Canonical Livepatch服务

您将需要一个Ubuntu One帐户。如果没有,您将有机会创建一个。它们是免费的,只需要一点时间。

我们需要执行的某些步骤是基于网络的,因此这不是真正的仅CLI方法。我们从访问Canonical Livepatch Service网页开始,以获取我们的密钥或“令牌”。

Canonical Livepatch服务网页

选择“ Ubuntu用户”单选按钮,然后单击“获取您的Livepatch令牌”按钮。

提示您登录到您的Ubuntu One帐户。

Ubuntu One登录网页

  • 如果您有一个帐户,请输入用于设置该帐户的电子邮件地址,然后选择“我有一个Ubuntu One帐户,我的密码是:”单选按钮。
  • 如果您没有帐户,请输入您的电子邮件地址,然后选择“我没有Ubuntu One帐户”单选按钮。系统将指导您完成帐户创建过程。

验证Ubuntu One帐户后,您将看到“托管实时内核修补”网页。您的密钥将显示。

托管实时内核修补网页

使带有键的网页保持打开状态,并打开一个终端窗口。在终端窗口中使用以下命令来安装Livepatch服务守护程序:

sudo snap install canonical-livepatch

sudo snap在终端窗口中安装canonical-livepatch

安装完成后,您需要启用该服务。您需要“托管实时内核修补”网页中的密钥。

您需要将密钥复制并粘贴到命令行。突出显示网页上的键,右键单击它,然后从上下文菜单中选择“复制”。或者,您可以突出显示键并按“ Ctrl + C”。

在终端窗口中输入以下命令,但不要按“ Enter”。

sudo canonical-livepatch启用

然后键入一个空格,然后右键单击并从上下文菜单中选择“粘贴”。或者,您可以按“ Ctrl + Shift + V”。您应该在网页上看到刚键入的命令,空格和键。

在用于研究本文的测试机上,它看起来像这样:

在终端窗口中启用sudo canonical-livepatch

按“ Enter”。

有关: 怎样在Linux的Bash Shell中复制和粘贴文本

如果一切顺利,您将看到Livepatch发出的验证消息,告诉您计算机已启用内核补丁程序。它还将显示另一个长键;这就是“机器令牌”。

终端窗口中启用Livepatch的验证消息

刚发生的是:

  • 您已从Canonical获得了Livepatch密钥。
  • 您可以在三台计算机上使用它。到目前为止,您已在一台计算机上使用它。
  • 使用您的密钥为此计算机生成的机器令牌就是此消息中显示的机器令牌。

如果您在“软件和更新”对话框窗口中选中“ Livepatch”选项卡,则会看到Livepatch已启用并处于活动状态。

“软件和升级”对话框窗口中的“ Livepatch”选项卡

检查Livepatch的状态

您可以使用以下命令使Livepatch为您提供状态报告:

sudo canonical-livepatch状态

终端窗口中的sudo canonical-livepatch状态

状态报告包含:

  • 客户版本:Livepatch的软件版本。
  • 建筑:计算机的CPU体系结构。
  • CPU模型:计算机中中央处理器(CPU)的类型和型号。
  • 最后检查:Livepatch上次检查的时间和日期,以查看是否有任何重要的内核更新可供下载。
  • 开机时间:此计算机上次开机的时间。
  • 正常运行时间:此计算机的开机时间。

状态块告诉我们:

  • 核心:当前内核的版本。
  • 跑步:Livepatch是否正在运行。
  • 检查状态:Livepatch是否已检查内核补丁。
  • patchState:是否需要安装任何重要的内核补丁。
  • :需要应用的内核补丁版本(如果有)。
  • 修复:内核补丁中包含的修复程序。

强制Livepatch立即更新

Livepatch的重点是提供托管更新服务,这意味着您无需考虑它。一切都为您完成。但是,如果需要,您可以使用以下命令强制Livepatch检查内核补丁(并应用发现的补丁):

sudo canonical-livepatch刷新

sudo canonical-livepatch在终端窗口中刷新

Livepatch会告诉您刷新前后的内核版本。在此示例中没有任何内容可应用。

减少摩擦,提高安全性

安全摩擦是与实施,使用或维护安全功能相关的痛苦或不便。如果摩擦过大,则会因未使用或维护该功能而损害安全性。 Livepatch消除了应用关键内核更新的所有麻烦,从而使您的内核尽可能安全。

这是“赢,赢”的代名词。

正文#primary .entry-content ul#nextuplist list-style-type:none; margin-left:0px; padding-left:0px;
正文#primary .entry-content ul#nextuplist li a text-decoration:none; color:#1d55a9;

继续阅读

  • ›怎样在Windows 10中检查打印的文档历史记录
  • ›您必须知道的20个Apple Watch提示和技巧
  • ›怎样取消Apple TV +订阅
  • ›为什么不能在路由器上阻止BitTorrent
  • ›怎样在Ubuntu上创建桌面快捷方式
本文机器自动生成,不保证语句完整通顺和表达准确,亦不对内容真实有效性负责,请读者知悉。