[[272052]]

 Canonical 在 Ubuntu 14.04 LTS 系統(tǒng)中引入了內(nèi)核實(shí)時(shí)補(bǔ)丁服務(wù)Kernel Livepatch Service。實(shí)時(shí)補(bǔ)丁服務(wù)允許你安裝和應(yīng)用關(guān)鍵的 Linux 內(nèi)核安全更新，而無(wú)需重新啟動(dòng)系統(tǒng)。這意味著，在應(yīng)用內(nèi)核補(bǔ)丁程序后，你無(wú)需重新啟動(dòng)系統(tǒng)。而通常情況下，我們需要在安裝內(nèi)核補(bǔ)丁后重啟 Linux 服務(wù)器才能供系統(tǒng)使用。

實(shí)時(shí)修補(bǔ)非?？?。大多數(shù)內(nèi)核修復(fù)程序只需要幾秒鐘。Canonical 的實(shí)時(shí)補(bǔ)丁服務(wù)對(duì)于不超過(guò) 3 個(gè)系統(tǒng)的用戶無(wú)需任何費(fèi)用。你可以通過(guò)命令行在桌面和服務(wù)器中啟用 Canonical 實(shí)時(shí)補(bǔ)丁服務(wù)。

這個(gè)實(shí)時(shí)補(bǔ)丁系統(tǒng)旨在解決高級(jí)和關(guān)鍵的 Linux 內(nèi)核安全漏洞。

有關(guān)支持的系統(tǒng)和其他詳細(xì)信息，請(qǐng)參閱下表。

注意：Ubuntu 14.04 中的 Canonical 實(shí)時(shí)補(bǔ)丁服務(wù) LTS 要求用戶在 Trusty 中運(yùn)行 Ubuntu v4.4 內(nèi)核。如果你當(dāng)前沒有運(yùn)行使用該服務(wù)，請(qǐng)重新啟動(dòng)到此內(nèi)核。

為此，請(qǐng)按照以下步驟操作。

如何獲取實(shí)時(shí)補(bǔ)丁令牌？

導(dǎo)航到 Canonical 實(shí)時(shí)補(bǔ)丁服務(wù)頁(yè)面，如果要使用免費(fèi)服務(wù)，請(qǐng)選擇“Ubuntu 用戶”。它適用于不超過(guò) 3 個(gè)系統(tǒng)的用戶。如果你是 “UA 客戶” 或多于 3 個(gè)系統(tǒng)，請(qǐng)選擇 “Ubuntu customer”。最后，單擊 “Get your Livepatch token” 按鈕。

確保你已經(jīng)在 “Ubuntu One” 中擁有帳號(hào)。否則，可以創(chuàng)建一個(gè)新的。

登錄后，你將獲得你的帳戶密鑰。

在系統(tǒng)中安裝 Snap 守護(hù)程序

實(shí)時(shí)補(bǔ)丁系統(tǒng)通過(guò)快照包安裝。因此，請(qǐng)確保在 Ubuntu 系統(tǒng)上安裝了 snapd 守護(hù)程序。

$ sudo apt update
$ sudo apt install snapd

如何系統(tǒng)中安裝和配置實(shí)時(shí)補(bǔ)丁服務(wù)？

通過(guò)運(yùn)行以下命令安裝 canonical-livepatch 守護(hù)程序。

$ sudo snap install canonical-livepatch
canonical-livepatch 9.4.1 from Canonical* installed

運(yùn)行以下命令以在 Ubuntu 計(jì)算機(jī)上啟用實(shí)時(shí)內(nèi)核補(bǔ)丁程序。

$ sudo canonical-livepatch enable xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e
 
Successfully enabled device. Using machine-token: xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e

運(yùn)行以下命令查看實(shí)時(shí)補(bǔ)丁機(jī)器的狀態(tài)。

$ sudo canonical-livepatch status
 
client-version: 9.4.1
architecture: x86_64
cpu-model: Intel(R) Core(TM) i7-6700HQ CPU @ 2.60GHz
last-check: 2019-07-24T12:30:04+05:30
boot-time: 2019-07-24T12:11:06+05:30
uptime: 19m11s
status:
- kernel: 4.15.0-55.60-generic
  running: true
  livepatch:
    checkState: checked
    patchState: nothing-to-apply
    version: ""
    fixes: ""

使用 --verbose 開關(guān)運(yùn)行上述相同的命令，以獲取有關(guān)實(shí)時(shí)修補(bǔ)機(jī)器的更多信息。

$ sudo canonical-livepatch status --verbose

如果要手動(dòng)運(yùn)行補(bǔ)丁程序，請(qǐng)執(zhí)行以下命令。

$ sudo canonical-livepatch refresh
 
Before refresh:
 
kernel: 4.15.0-55.60-generic
fully-patched: true
version: ""
 
After refresh:
 
kernel: 4.15.0-55.60-generic
fully-patched: true
version: ""

patchState 會(huì)有以下狀態(tài)之一：

• applied：未發(fā)現(xiàn)任何漏洞
• nothing-to-apply：成功找到并修補(bǔ)了漏洞
• kernel-upgrade-required：實(shí)時(shí)補(bǔ)丁服務(wù)無(wú)法安裝補(bǔ)丁來(lái)修復(fù)漏洞

請(qǐng)注意，安裝內(nèi)核補(bǔ)丁與在系統(tǒng)上升級(jí)/安裝新內(nèi)核不同。如果安裝了新內(nèi)核，則必須重新引導(dǎo)系統(tǒng)以激活新內(nèi)核。