Želite li da se ključne zakrpe Linux kernela automatski primenjuju na vaš Ubuntu sistem – bez potrebe za ponovnim pokretanjem računara? Objasnićemo kako da koristite Canonical-ov servis Livepatch za postizanje toga.
Šta je Livepatch i kako funkcioniše?
Kao što je Dastin Kirkland iz Canonical-a objasnio pre nekoliko godina, Canonical Livepatch koristi Kernel Live Patching tehnologiju integrisanu u standardno Linux jezgro. Canonical-ova web stranica Livepatch ističe da ga koriste velike korporacije kao što su AT&T, Cisco i Walmart.
Besplatan je za ličnu upotrebu na do tri računara – prema Kirklandu, to mogu biti „stoni računari, serveri, virtuelne mašine ili instance u oblaku“. Organizacije ga mogu koristiti na većem broju sistema uz plaćenu Ubuntu Advantage pretplatu.
Zakrpe kernela su neophodne, ali problematične
Zakrpe za Linux kernel su neizbežna realnost. Održavanje sigurnog i ažuriranog sistema je od vitalnog značaja u današnjem povezanom svetu. Međutim, potreba za ponovnim pokretanjem računara radi primene zakrpa kernela može biti naporna. Posebno ako računar pruža neku vrstu usluge korisnicima i morate da se koordinirate ili pregovarate s njima o prekidu usluge. Tu je i faktor množenja: ako održavate više Ubuntu mašina, pre ili kasnije morate da obavite ovaj zadatak redom na svakoj.
Canonical Livepatch servis eliminiše svu muku oko održavanja vaših Ubuntu sistema ažurnim ključnim zakrpama kernela. Jednostavno ga je podesiti – bilo grafički ili preko komandne linije – i uklanja još jedan zadatak sa vaše liste.
Sve što smanjuje napor oko održavanja, povećava sigurnost i smanjuje vreme prekida mora biti atraktivna ponuda, zar ne? Da, ali postoje i određena ograničenja:
- Morate koristiti dugoročno podržanu (LTS) verziju Ubuntua, poput 16.04 ili 18.04. Najnovija LTS verzija je 18.04, pa ćemo nju koristiti u ovom uputstvu.
- Mora biti 64-bitna verzija.
- Morate koristiti Linux kernel 4.4 ili noviji.
- Morate imati Ubuntu One nalog. Sećate li ih se? Ako nemate Ubuntu One nalog, možete se registrovati za besplatan nalog.
- Možete koristiti Canonical Livepatch servis besplatno, ali ste ograničeni na tri računara po Ubuntu One nalogu. Ako treba da održavate više od tri računara, biće vam potrebni dodatni Ubuntu One nalozi.
- Ako imate fizičke, virtuelne servere ili servere hostovane u oblaku o kojima treba da brinete, moraćete da postanete Ubuntu Advantage korisnik.
Dobijanje Ubuntu One naloga
Bez obzira da li ćete podešavati Livepatch servis preko grafičkog korisničkog interfejsa (GUI) ili preko interfejsa komandne linije (CLI), morate imati Ubuntu One nalog. Ovo je obavezno jer rad Livepatch servisa zavisi od privatnog ključa koji vam se dodeljuje i vezan je za vaš Ubuntu One nalog.
Ako podešavate Livepatch servis pomoću GUI, nećete videti svoj ključ. On je i dalje potreban i koristi se, ali sve se to radi u pozadini umesto vas. Ako podešavate Livepatch servis preko terminala, moraćete da kopirate i nalepite svoj ključ iz veb pregledača u komandnu liniju.
Ako nemate Ubuntu One nalog, možete ga kreirati besplatno.
Grafičko omogućavanje Canonical Livepatch servisa
Da biste pokrenuli grafički interfejs za podešavanje, pritisnite taster „Super“. On se nalazi između tastera „Control“ i „Alt“ u donjem levom uglu većine tastatura. Potražite „livepatch“.
Kada vidite ikonu Livepatch, kliknite na nju ili pritisnite „Enter“.
Pojaviće se prozor za dijalog „Softver i ažuriranja“ sa izabranom karticom Livepatch. Kliknite na dugme „Prijava“. Podsećamo vas da vam je potreban Ubuntu One nalog.
Kliknite na dugme „Prijava/Registracija“.
Pojavljuje se prozor za dijalog Ubuntu Single Sign-On Account. Canonical koristi izraze „Ubuntu One“ i „Single Sign-On“ naizmenično. Oni znače isto. Zvanično je „Single Sign-On“ zamenjen sa „Ubuntu One“, ali stari naziv ostaje u upotrebi.
Unesite detalje vašeg naloga i kliknite na dugme „Poveži se“. Takođe možete koristiti ovaj prozor za dijalog da se registrujete za nalog ako ga već niste kreirali.
Od vas će biti zatraženo da unesete lozinku.
Unesite svoju lozinku i kliknite na dugme „Autentifikacija“. Prozor za dijalog prikazuje adresu e-pošte koja je povezana sa Ubuntu One nalogom koji ćete koristiti.
Proverite da li je ispravno i kliknite na dugme „Nastavi“.
Još jednom će vam biti zatraženo da unesete lozinku. Nakon nekoliko sekundi, kartica Livepatch u prozoru za dijalog „Softver i ažuriranja“ će se ažurirati kako bi se pokazalo da je Livepatch aktivan i funkcionalan.
Nova ikona štita će se pojaviti u polju za obaveštavanje alatki, blizu ikona umrežavanja, zvuka i napajanja. Zeleni krug sa kvačicom signalizira da je sve u redu. Kliknite na ikonu da biste pristupili meniju.
Bićete obavešteni da je Livepatch uključen i da nema trenutnih ažuriranja.
Opcija „Podešavanja Livepatch-a“ će otvoriti prozor za dijalog „Softver i ažuriranja“ na kartici Livepatch.
To je to; završili ste.
Omogućavanje Canonical Livepatch servisa korišćenjem CLI
Trebaće vam Ubuntu One nalog. Ako ga nemate, imaćete priliku da ga kreirate. Oni su besplatni i kreiranje traje samo trenutak.
Neki od koraka koje treba da izvršimo su zasnovani na webu, tako da ovo nije metoda isključivo za CLI. Počinjemo posetom web stranici Canonical Livepatch servisa kako bismo dobili naš tajni ključ ili „token“.
Izaberite radio dugme „Ubuntu User“ i kliknite na dugme „Nabavite svoj Livepatch token“.
Od vas će biti zatraženo da se prijavite na svoj Ubuntu One nalog.
Ako imate nalog, unesite adresu e-pošte koju ste koristili za podešavanje naloga i izaberite radio dugme „Imam Ubuntu One nalog, a moja lozinka je:“.
Ako nemate nalog, unesite svoju adresu e-pošte i izaberite radio dugme „Nemam Ubuntu One nalog“. Bićete vođeni kroz proces kreiranja naloga.
Kada vaš Ubuntu One nalog bude verifikovan, videćete web stranicu za upravljano živo jezgro. Vaš ključ će biti prikazan.
Ostavite web stranicu sa ključem otvorenom i otvorite prozor terminala. Koristite ovu komandu u prozoru terminala da instalirate Livepatch servisni demon:
sudo snap install canonical-livepatch
Kada se instalacija završi, moraćete da omogućite servis. Biće vam potreban ključ sa web stranice „Upravljano zakrpavanje kernela uživo“.
Morate da kopirate i nalepite ključ u komandnu liniju. Označite ključ na web stranici, kliknite desnim tasterom miša na njega i izaberite „Kopiraj“ iz kontekstnog menija. Ili možete da označite taster i pritisnete „Ctrl+C“.
Unesite sledeću komandu u prozor terminala, ali ne pritiskajte „Enter“.
sudo canonical-livepatch enable
Zatim unesite razmak, kliknite desnim tasterom miša i izaberite „Nalepi“ iz kontekstnog menija. Ili možete pritisnuti „Ctrl+Shift+V“. Trebalo bi da vidite komandu koju ste upravo uneli, razmak i ključ sa web stranice.
Na test mašini koja je korišćena za istraživanje ovog članka izgledalo je ovako:
Pritisnite enter.
Ako sve prođe kako treba, videćete poruku za verifikaciju od Livepatch-a koja vam govori da je računaru omogućeno zakrpe kernela. Takođe će pokazati još jedan dugačak ključ; ovo je „mašina-token“.
Ono što se upravo dogodilo je:
- Dobili ste svoj Livepatch ključ od kompanije Canonical.
- Možete ga koristiti na tri računara. Do sada ste ga koristili na jednom računaru.
- Mašinski token koji je generisan za ovaj računar – pomoću vašeg ključa – je token mašine prikazan u ovoj poruci.
Ako proverite karticu Livepatch u dijalogu „Softver i ažuriranja“, videćete da je Livepatch omogućen i aktivan.
Provera statusa Livepatch-a
Možete naterati Livepatch da vam da izveštaj o statusu koristeći sledeću komandu:
sudo canonical-livepatch status
Izveštaj o statusu sadrži:
- client-version: verzija softvera Livepatch-a.
- arhitektura: CPU arhitektura računara.
- cpu-model: Tip i model centralne procesorske jedinice (CPU) u računaru.
- poslednja provera: vreme i datum kada je Livepatch poslednji put proverio da li postoje kritična ažuriranja kernela dostupna za preuzimanje.
- boot-time: vreme kada je ovaj računar poslednji put uključen.
- vreme neprekidnog rada: vreme koje je ovaj računar bio uključen.
Statusni blok nam govori:
- kernel: Verzija trenutnog kernela.
- trčanje: Da li je Livepatch pokrenut ili ne.
- checkstate: Da li je Livepatch proverio zakrpe kernela.
- patchState: Da li postoje kritične zakrpe kernela koje je potrebno instalirati.
- verzija: Verzija zakrpa jezgra, ako ih ima, koje treba primeniti.
- popravke: Ispravke sadržane u zakrpama kernela.
Prisilite Livepatch da se ažurira odmah
Suština Livepatch-a je da obezbedi upravljanu uslugu ažuriranja, što znači da ne morate razmišljati o tome. Sve se radi umesto vas. Ali, ako želite, možete prisiliti Livepatch da proveri zakrpe kernela (i da primeni sve koje pronađe) sledećom komandom:
sudo canonical-livepatch refresh
Livepatch vam prikazuje verziju kernela pre i posle osvežavanja. U ovom primeru nije bilo šta da se primeni.
Manje trenja, više sigurnosti
Sigurnosno trenje je bol ili neprijatnost povezana sa implementacijom, upotrebom ili održavanjem sigurnosne funkcije. Ako je trenje previsoko, sigurnost trpi jer se funkcija ne koristi ili ne održava. Livepatch eliminiše svo trenje u primeni kritičnih ažuriranja kernela, čineći vaše jezgro što je moguće sigurnijim.
To je „win-win“ situacija za sve.