Si eres un administrador de sistemas a cargo del mantenimiento de sistemas críticos en entornos empresariales, estamos seguros de que sabes dos cosas importantes:
1. Puede ser difícil encontrar una ventana de tiempo de inactividad para instalar parches de seguridad a fin de manejar las vulnerabilidades del kernel o del sistema operativo.
Si la empresa o negocio para el que trabaja no cuenta con políticas de seguridad, la gestión de operaciones puede terminar favoreciendo el tiempo de actividad sobre la necesidad de resolver vulnerabilidades. Además, la burocracia interna puede provocar retrasos en la concesión de aprobaciones para el tiempo de inactividad. He estado allí yo mismo.
2. A veces, realmente no puede permitirse el tiempo de inactividad y debe estar preparado para mitigar cualquier exposición potencial a ataques maliciosos de alguna otra manera.
La buena noticia es que Canónico ha lanzado recientemente su Servicio Livepatch para aplicar parches críticos del kernel a Ubuntu 22.04 LTS, 20.04 LTS, Ubuntu 18.04 LTS y Ubuntu 16.04 LTS sin necesidad de un reinicio posterior.
Sí, has leído bien: con parche en vivo, no necesita reiniciar su ubuntu servidor para que los parches de seguridad surtan efecto.
Para usar Servicio Canónico Livepatch, debes registrarte en el Servicio Livepatch e indica si eres asiduo Usuario de Ubuntu o un suscriptor de Ubuntu (opción paga).
Todos los usuarios de Ubuntu pueden vincular hasta 5 máquinas diferentes a Livepatch mediante el uso de un token:
En el siguiente paso, se le pedirá que ingrese su Ubuntu Uno credencial o registrarse para obtener una nueva cuenta.
Si elige este último, deberá confirmar su dirección de correo electrónico para finalizar su registro:
Una vez que haga clic en el enlace de arriba para confirmar su dirección de correo electrónico, estará listo para volver a Tablero de Ubuntu Pro y obtén tu token Livepatch.
Para comenzar, copie el token único asignado a su cuenta de Ubuntu One:
Luego vaya a una terminal y escriba el siguiente comando para instalar Snap en Ubuntu:
$ sudo apt install snapd.
Una vez el quebrar está instalado, ahora ejecute el siguiente comando para instalar el parche en vivo servicio.
$ sudo snap install canonical-livepatch.
Ahora necesita adjuntar su suscripción a su sistema Ubuntu instalando el ubuntu-ventaja-herramientas paquete, que se utiliza para acceder a Pro Client como se muestra:
$ sudo apt install ubuntu-advantage-tools.
Una vez que haya instalado la última versión del Cliente profesional, debe adjuntar el Ubuntu Pro token para tu Cliente profesional para habilitar el acceso a los servicios.
Puedes recuperar tu Ubuntu Pro simbólico desde el Tablero de Ubuntu Pro.
$ sudo pro adjuntar C126iqAzeGdDZ1S4EwSZiBgicf9Z4Y.
Si desea consultar el estado actual de su parche en vivo cliente, ejecute el siguiente comando, que periódicamente (cada hora por defecto) buscará nuevos parches.
$ estado canonical-livepatch.
Esto producirá una salida similar a:
última comprobación: hace 3 minutos. núcleo: 5.4.0-28.32-genérico. registro del servidor: exitoso. estado del núcleo: ✓ el núcleo es compatible con Canonical. estado del parche: ✓ todos los módulos livepatch aplicables insertados. versión del parche: 94.1. nivel: actualizaciones (Uso gratuito; Esta máquina prueba beta nuevos parches.) identificación de la máquina: 829fe8ee62bd45318afd344da6970681.
Con el tiempo, querrá verificar la descripción y el estado de los parches aplicados a su kernel. Afortunadamente, esto es tan fácil como hacerlo.
$ sudo canonical-livepatch status --verbose.
como se puede ver en la siguiente imagen:
Si desea deshabilitar livepatch en la máquina cliente, hay dos formas recomendadas de hacerlo:
Si tiene acceso directo al sistema, puede deshabilitar el servicio livepatch ejecutando:
$ sudo snap stop --disable canonical-livepatch.
Si no hay acceso directo al sistema, puede deshabilitar livepatch de las siguientes dos maneras:
haber habilitado parche en vivo en su servidor Ubuntu, podrá reducir al mínimo los tiempos de inactividad planificados y no planificados mientras mantiene su sistema seguro. Con suerte, la iniciativa de Canonical le otorgará una palmadita en la espalda por parte de la gerencia, o mejor aún, un aumento de sueldo.
No dude en hacérnoslo saber si tiene alguna pregunta sobre este artículo. Simplemente envíenos una nota utilizando el formulario de comentarios a continuación y nos pondremos en contacto con usted lo antes posible.