如果你是一個在企業(yè)環(huán)境中維護關鍵性系統(tǒng)的系統(tǒng)管理員，你肯定對以下兩件事深有感觸：

1) 很難找個停機時間去給系統(tǒng)安裝安全補丁以修復內(nèi)核或者系統(tǒng)漏洞 。如果你工作的公司或者企業(yè)沒有適當?shù)陌踩呗?，運營管理可能最終會優(yōu)先保證系統(tǒng)的運行而不是解決系統(tǒng)漏洞。 此外，內(nèi)部的官僚作風也可能延遲批準停機時間。我當時就是這樣的。

2) 有時候你確實負擔不起停機造成的損失，并且還要做好用別的什么方法減小惡意攻擊帶來的的風險的準備。

好消息是 Canonical 公司最近針對 Ubuntu 16.04 (64位版本 / 4.4.x 內(nèi)核)發(fā)布了 Livepatch 服務，它可以讓你不用重啟就能給內(nèi)核打關鍵性安全補丁。 對，你沒看錯：使用 Livepatch 你不用重啟就能使 Ubuntu 16.04 服務器系統(tǒng)的安全補丁生效。

注冊 Ubuntu Livepatch 賬號

要運行 Canonical Livepatch 服務你先要在這里注冊一個賬號 https://auth.livepatch.canonical.com/，并且表明你是一個普通用戶還是企業(yè)用戶(付費)。 通過使用令牌，所有的 Ubuntu 用戶都能將最多 3 臺不同的電腦連接到 Livepatch 服務：

Canonical Livepatch 服務

下一步系統(tǒng)會提示你輸入你的 Ubuntu One 憑據(jù)，或者你也可以注冊一個新賬號。如果你選擇后者，則需要你確認你的郵件地址才能完成注冊：

Ubuntu One 確認郵件

一旦你點了上面的鏈接確認了你的郵件地址，你就會回到這個界面：https://auth.livepatch.canonical.com/ 并獲取你的 Livepatch 令牌。

獲取并使用 Livepatch 令牌

首先把分配給你賬號的這個唯一的令牌復制下來：

Canonical Livepatch 令牌

然后打開終端，輸入：

$ sudo snap install canonical-livepatch 

上面的命令會安裝 livepatch 程序，下面的命令會為你的系統(tǒng)啟用它。

$ sudo canonical-livepatch enable [YOUR TOKEN HERE] 

如果后一條的命令提示找不到 canonical-livepatch ，檢查一下 /snap/bin 是否已經(jīng)添加到你的路徑， 或者把你的工作目錄切換到 /snap/bin 下執(zhí)行也行。

$ sudo ./canonical-livepatch enable [YOUR TOKEN HERE] 

在 Ubuntu 中安裝

Livepatch之后，你可能需要檢查應用于內(nèi)核的補丁的描述和狀態(tài)。幸運的是，這很簡單。

$ sudo ./canonical-livepatch status --verbose 

如下圖所示：

檢查補丁

安裝情況在你的 Ubuntu 服務器上啟用了 Livepatch，你就可以在保證系統(tǒng)安全的同時把計劃內(nèi)的外的停機時間降到最低。希望 Canonical 的這個舉措會在管理上給你帶來便利，甚至更近一步帶來提升。