如何借助Ubuntu Livepatch避免服務器重啟?

如果你管理自己的服務器，早晚會遇到這個問題：你得重啟操作系統(tǒng)，但服務器在提供你無法中斷的重要服務。

但為什么要重啟呢?在運行apt-get upgrade命令之后，一切似乎都順暢正常。然而，凡事不能看表面。即使系統(tǒng)在每次升級后繼續(xù)運行，不像Windows那樣強行重啟，但它可能仍需要重啟。

比如說，當發(fā)現(xiàn)系統(tǒng)核心(內(nèi)核)有漏洞，補丁以新的軟件包這種形式推送到服務器時。安裝打上補丁的內(nèi)核后，一些文件被寫入到磁盤，但掌控一切的仍是舊內(nèi)核，因為被加載到內(nèi)存中的是它。

這就意味著你的服務器仍然容易受到之前發(fā)現(xiàn)的安全漏洞的攻擊。如果不重啟操作系統(tǒng)，就無法重新加載其他進程、守護程序和服務。然而，內(nèi)核位于系統(tǒng)的核心，只能在下次引導時重新加載。

Ubuntu Livepatch可以解決這個問題，讓你可以在不重啟的情況下堵住內(nèi)核的安全漏洞。這樣一樣，你可以數(shù)周乃至數(shù)月避免重啟或推遲重啟，又不影響安全性。

實時補丁背后的核心思想很簡單：某個函數(shù)易受攻擊時，重寫函數(shù)，消除漏洞，并將新函數(shù)加載到內(nèi)存中。調(diào)用該函數(shù)時，不是在內(nèi)核中運行代碼，而是重定向調(diào)用以使用重寫的代碼。但是，實施和技術細節(jié)并非如此簡單。

如何在Ubuntu上安裝Livepatch?

進入到該頁面，創(chuàng)建你的Ubuntu One帳戶。(如果已經(jīng)有帳戶，只需登錄。)查收電子郵件，然后點擊帳戶確認鏈接。接下來，訪問Canonical Livepatch Service頁面(https://auth.livepatch.canonical.com/)。選擇你是“Ubuntu用戶”，然后點擊按鈕以生成令牌。下一頁會顯示你在服務器上要輸入的具體命令。在第一個命令之后，輸入：sudo snap install canonical-livepatch，等幾秒鐘，直到snap包安裝完畢。最后，使用Canonical頁面的最后一個命令：sudo canonical-livepatch enable #PASTE_YOUR_TOKEN_HERE，服務變活動狀態(tài)，必要時自動為你的內(nèi)核打上安全補丁，無需你輸入。

如有必要，安裝Snap守護程序

在極少數(shù)情況下，上面的第一個命令可能失效，并顯示以下錯誤消息：-bash: /usr/bin/snap: No such file or directory。這種情況下，它意味著你的服務器提供商有默認情況下不包括snap守護程序服務的Ubuntu操作系統(tǒng)映像。用該命令安裝它：sudo apt update && sudo apt install snapd，現(xiàn)在再次運行上面的兩個命令。

對服務器加以更新

Livepatch會為內(nèi)核打上所有必要的安全更新。然而，你仍應使用以下命令定期升級系統(tǒng)的其余部分：sudo apt update && sudo apt upgrade。

可以的話，你應每周執(zhí)行一次，甚至更頻繁。重要的系統(tǒng)軟件包可能會提示你需要重啟才能使最新的安全修復程序生效。這些通常是優(yōu)雅的重啟，意味著在此過程中不干擾任何服務。比如在這里，SSH守護程序重啟，并不擾亂活動的SSH會話。

在其他情況下，你可以自行重啟服務，確保新的修補代碼已重新加載、安全修復程序已生效。比如說，如果你注意到nginx軟件包已升級，可以運行：systemctl restart nginx.service，將nginx守護進程重新加載到內(nèi)存中。否則，即使軟件包已升級，它仍可能使用易受攻擊的舊代碼運行，從而使服務器面臨已知攻擊的風險。一些軟件包升級會為你執(zhí)行此操作，但另一些不會。這就是為什么注意“apt upgrade”執(zhí)行什么操作，必要時重啟一些服務是個習慣。你還可以查看日志，看看這是否已自動完成。

結束語

正如你所看到的，Canonical已經(jīng)很容易在服務器上做到這點。至于內(nèi)核，你無需進行任何維護工作。你只要時不時運行canonical-livepatch status，檢查一下情況。

文章標題：如何借助Ubuntu Livepatch避免服務器重啟?
網(wǎng)站URL：http://bm7419.com/news/102881.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供動態(tài)網(wǎng)站、網(wǎng)站收錄、響應式網(wǎng)站、定制開發(fā)、虛擬主機、標簽優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)