Como usar o serviço Livepatch da Canonical no Ubuntu

O plano de fundo padrão da área de trabalho do Ubuntu 18.04 LTS mostrando um Bionic Beaver.

Gostaria de ter patches críticos do kernel do Linux aplicados automaticamente ao seu sistema Ubuntu – sem ter que reiniciar o computador? Descrevemos como usar o serviço Livepatch da Canonical para fazer exatamente isso.

O que é Livepatch e como funciona?

Como Dustin Kirkland da Canonical explicou há vários anos, o Canonical Livepatch usa a tecnologia Kernel Live Patching integrada ao kernel Linux padrão. O site Livepatch da Canonical observa que grandes corporações como AT&T, Cisco e Walmart o usam.

É gratuito para uso pessoal em até três computadores – de acordo com Kirkland, eles podem ser “desktops, servidores, máquinas virtuais ou instâncias de nuvem”. As organizações podem usá-lo em mais sistemas com uma assinatura paga do Ubuntu Advantage .

Patches de kernel são necessários, mas inconvenientes

Os patches do kernel do Linux são um fato da vida. Manter seu sistema seguro e atualizado é vital no mundo interconectado em que vivemos. Mas ter que reiniciar o computador para aplicar os patches do kernel pode ser uma dor. Especialmente se o computador estiver fornecendo algum tipo de serviço aos usuários e você tiver que coordenar ou negociar com eles para colocar o serviço off-line. E há um multiplicador. Se você mantém várias máquinas Ubuntu, em algum momento você tem que morder a bala e fazer cada uma por vez.

O Serviço Canonical Livepatch remove todo o aborrecimento de manter seus sistemas Ubuntu atualizados com patches críticos do kernel. É fácil de configurar – graficamente ou na linha de comando – e tira mais uma tarefa de seus ombros.

Qualquer coisa que reduza os esforços de manutenção, aumente a segurança e reduza o tempo de inatividade deve ser uma proposta atraente, certo? Sim, mas existem algumas ressalvas.

  • Você deve usar uma versão de suporte de longo prazo (LTS) do Ubuntu, como 16.04 ou 18.04. A versão mais recente do LTS é 18.04, então essa é a versão que vamos usar aqui.
  • Deve ser uma versão de 64 bits.
  • Você deve estar executando o Linux Kernel 4.4 ou superior
  • Você precisa ter uma conta Ubuntu One. Lembra deles ? Se você não tem uma conta Ubuntu One, você pode se inscrever para uma conta gratuita.
  • Você pode usar o serviço Canonical Livepatch gratuitamente, mas está limitado a três computadores por conta do Ubuntu One. Se você tiver que manter mais de três computadores, precisará de contas adicionais do Ubuntu One.
  • Se você tem servidores físicos, virtuais ou hospedados em nuvem para cuidar, você precisará se tornar um cliente Ubuntu Advantage .
Recomendado:  Imprimindo sem tinta ou toner? Como funcionam as impressoras térmicas

Obter uma conta Ubuntu One

Quer você vá configurar o Livepatch Service através da interface gráfica do usuário (GUI) ou através da interface da linha de comando (CLI), você deve ter uma conta Ubuntu One. Isso é necessário porque a operação do Serviço Livepatch depende de uma chave privada que é emitida para você e vinculada à sua conta Ubuntu One.

  • Se você configurar o Serviço Livepatch usando a GUI, não verá sua chave. Ainda é necessário e usado, mas tudo é tratado em segundo plano para você.
  • Se você configurar seu Livepatch Service por meio do terminal, precisará copiar e colar sua chave do navegador na linha de comando.

Se você não tem uma conta Ubuntu One, você pode criar uma gratuitamente.

Habilitando o serviço Canonical Livepatch graficamente

Para iniciar a interface gráfica de configuração, pressione a tecla “Super”. Ele está localizado entre as teclas “Control” e “Alt” no canto inferior esquerdo da maioria dos teclados. Pesquise “livepatch.”

Ao ver o ícone Livepatch, clique no ícone ou pressione “Enter”.

O ícone Livepatch

A janela de diálogo “Software e atualizações” aparecerá com a guia Livepatch selecionada. Clique no botão “Entrar”. Você será lembrado de que precisa de uma conta Ubuntu One.

Caixa de diálogo de login / registro do Ubuntu One

Clique no botão “Sign in / Register”.

A janela de diálogo Conta de logon único do Ubuntu é exibida. A Canonical usa os termos “Ubuntu One” e “Single Sign-On” alternadamente. Eles significam a mesma coisa. Oficialmente, “Single Sign-On” foi substituído por “Ubuntu One”, mas o nome antigo perdura.

Janela de diálogo de logon único do Ubuntu

Insira os detalhes da sua conta e clique no botão “Conectar”. Você também pode usar esta janela de diálogo para registrar-se em uma conta, caso ainda não tenha criado uma.

Sua senha será solicitada.

Janela de diálogo de autenticação do Ubuntu

Digite sua senha e clique no botão “Autenticar”. Uma janela de diálogo mostra o endereço de e-mail associado à conta do Ubuntu One que você vai usar.

Janela de diálogo de verificação de endereço de e-mail

Certifique-se de que está correto e clique no botão “Continuar”.

Sua senha será solicitada mais uma vez. Após alguns segundos, a guia Livepatch na janela de diálogo “Software e atualizações” será atualizada para mostrar que o Livepatch está ativo e ativo.

Recomendado:  Como verificar qual versão do Ubuntu você instalou

Livepatch ativo na janela de diálogo Software e atualizações

Um novo ícone de escudo aparecerá na área de notificação da ferramenta, próximo aos ícones de rede, som e energia. O círculo verde com a marca indica que está tudo bem. Clique no ícone para acessar o menu.

Somos informados de que o Livepatch está ativado e não há atualizações atuais.

Ícone e menu da área de notificação do Livepatch

A opção “Configurações do Livepatch” abrirá a janela de diálogo “Software e atualizações” na guia Livepatch.

É isso aí; você está pronto.

Habilitando o serviço Canonical Livepatch usando a CLI

Você vai precisar de uma conta Ubuntu One . Se você não tiver um, terá a oportunidade de criar um. Eles são gratuitos e leva apenas um momento.

Algumas das etapas que precisamos realizar são baseadas na web, portanto, este não é um método verdadeiramente exclusivo da CLI. Começamos visitando a página da web do Canonical Livepatch Service para obter nossa chave secreta ou “token”.

Página da web do Canonical Livepatch Service

Selecione o botão de rádio “Ubuntu User” e clique no botão “Get Your Livepatch Token”.

Você será solicitado a fazer login em sua conta Ubuntu One.

Página da web de login do Ubuntu One

  • Se você tiver uma conta, digite o endereço de e-mail que usou para configurar a conta e selecione o botão de opção “Eu tenho uma conta Ubuntu One, e minha senha é:”.
  • Se você não tem uma conta, digite seu endereço de e-mail e selecione o botão de rádio “Não tenho uma conta Ubuntu One”. Você será guiado pelo processo de criação da conta.

Assim que sua conta Ubuntu One for verificada, você verá a página da web de patching do kernel ao vivo gerenciado. Sua chave será exibida.

Página da web de patching ao vivo gerenciado

Mantenha a página da web com sua chave aberta e abra uma janela de terminal. Use este comando na janela do terminal para instalar o daemon do serviço Livepatch:

sudo snap install canonical-livepatch

sudo snap install canonical-livepatch em uma janela de terminal

Quando a instalação for concluída, você precisará habilitar o serviço. Você precisará da chave da página da web “Managed live kernel patching”.

Você precisa copiar e colar a chave na linha de comando. Realce a chave na página da web, clique com o botão direito e selecione “Copiar” no menu de contexto. Ou você pode destacar a chave e pressionar “Ctrl + C”.

Digite o seguinte comando na janela do terminal, mas não pressione “Enter”.

sudo canonical-livepatch enable

Em seguida, digite um espaço, clique com o botão direito e selecione “Colar” no menu de contexto. Ou você pode pressionar “Ctrl + Shift + V”. Você deve ver o comando que acabou de digitar, um espaço e a chave da página da web.

Recomendado:  Esta régua de energia idiota é inteligente o suficiente para economizar seu dinheiro

Na máquina de teste usada para pesquisar este artigo, parecia assim:

sudo canonical-livepatch enable em uma janela de terminal

Pressione Enter.”

Se tudo correr bem, você verá uma mensagem de verificação do Livepatch informando que o computador foi habilitado para patch de kernel. Ele também mostrará outra chave longa; este é o “token de máquina”.

Mensagem de verificação habilitada para Livepatch em uma janela de terminal

O que acabou de acontecer é:

  • Você obteve sua chave Livepatch da Canonical.
  • Você pode usá-lo em três computadores. Você o usou em um computador até agora.
  • O token de máquina que foi gerado para este computador – usando sua chave – é o token de máquina exibido nesta mensagem.

Se você verificar a guia Livepatch na janela de diálogo “Software e atualizações”, verá que o Livepatch está habilitado e ativo.

Guia Livepatch na janela de diálogo Software e atualizações

Verificando o Status do Livepatch

Você pode fazer o Livepatch fornecer um relatório de status usando o seguinte comando:

sudo canonical-livepatch status

sudo canonical-livepatch status em uma janela de terminal

O relatório de status contém:

  • versão do cliente : a versão do software do Livepatch.
  • arquitetura : A arquitetura da CPU do computador.
  • cpu-model : O tipo e modelo da Unidade Central de Processamento (CPU) no computador.
  • última verificação : A hora e data em que o Livepatch verificou pela última vez se havia alguma atualização crítica do kernel disponível para download.
  • boot-time : a hora em que este computador foi ligado pela última vez.
  • tempo de atividade : O tempo que este computador esteve ligado.

O bloco de status nos diz:

  • kernel : a versão do kernel atual.
  • running : se o Livepatch está em execução ou não.
  • CheckState : Se Livepatch verificou para o kernel patches.
  • patchState : se há algum patch crítico de kernel que precisa ser instalado.
  • versão : a versão dos patches do kernel, se houver, que precisam ser aplicados.
  • Correções : As correções contidas nos patches do kernel.

Forçando Livepatch a atualizar agora

O objetivo do Livepatch é fornecer um serviço de atualização gerenciado, o que significa que você não precisa se preocupar com isso. É tudo feito para você. Mas se quiser, você pode forçar o Livepatch a verificar os patches do kernel (e aplicar os que encontrar) com o seguinte comando:

sudo canonical-livepatch refresh

sudo canonical-livepatch refresh em uma janela de terminal

Livepatch informa a versão do kernel antes e depois da atualização. Não havia nada a ser aplicado neste exemplo.

Menos atrito, mais segurança

O atrito de segurança é a dor ou inconveniência associada à implementação, uso ou manutenção de um recurso de segurança. Se o atrito for muito alto, a segurança é prejudicada porque o recurso não é usado ou mantido. O Livepatch tira todo o atrito da aplicação de atualizações críticas do kernel, mantendo seu kernel o mais seguro possível.

Isso significa “vencer, vencer”.