Como usar o serviço Livepatch da Canonical no Ubuntu

Gostaria de ter patches críticos do kernel do Linux aplicados automaticamente ao seu sistema Ubuntu – sem ter que reiniciar o computador? Descrevemos como usar o serviço Livepatch da Canonical para fazer exatamente isso.

O que é Livepatch e como funciona?

Como Dustin Kirkland da Canonical explicou há vários anos, o Canonical Livepatch usa a tecnologia Kernel Live Patching integrada ao kernel Linux padrão. O site Livepatch da Canonical observa que grandes corporações como AT&T, Cisco e Walmart o usam.

É gratuito para uso pessoal em até três computadores – de acordo com Kirkland, eles podem ser “desktops, servidores, máquinas virtuais ou instâncias de nuvem”. As organizações podem usá-lo em mais sistemas com uma assinatura paga do Ubuntu Advantage .

Patches de kernel são necessários, mas inconvenientes

Os patches do kernel do Linux são um fato da vida. Manter seu sistema seguro e atualizado é vital no mundo interconectado em que vivemos. Mas ter que reiniciar o computador para aplicar os patches do kernel pode ser uma dor. Especialmente se o computador estiver fornecendo algum tipo de serviço aos usuários e você tiver que coordenar ou negociar com eles para colocar o serviço off-line. E há um multiplicador. Se você mantém várias máquinas Ubuntu, em algum momento você tem que morder a bala e fazer cada uma por vez.

O Serviço Canonical Livepatch remove todo o aborrecimento de manter seus sistemas Ubuntu atualizados com patches críticos do kernel. É fácil de configurar – graficamente ou na linha de comando – e tira mais uma tarefa de seus ombros.

Qualquer coisa que reduza os esforços de manutenção, aumente a segurança e reduza o tempo de inatividade deve ser uma proposta atraente, certo? Sim, mas existem algumas ressalvas.

• Você deve usar uma versão de suporte de longo prazo (LTS) do Ubuntu, como 16.04 ou 18.04. A versão mais recente do LTS é 18.04, então essa é a versão que vamos usar aqui.
• Deve ser uma versão de 64 bits.
• Você deve estar executando o Linux Kernel 4.4 ou superior
• Você precisa ter uma conta Ubuntu One. Lembra deles ? Se você não tem uma conta Ubuntu One, você pode se inscrever para uma conta gratuita.
• Você pode usar o serviço Canonical Livepatch gratuitamente, mas está limitado a três computadores por conta do Ubuntu One. Se você tiver que manter mais de três computadores, precisará de contas adicionais do Ubuntu One.
• Se você tem servidores físicos, virtuais ou hospedados em nuvem para cuidar, você precisará se tornar um cliente Ubuntu Advantage .

Obter uma conta Ubuntu One

Quer você vá configurar o Livepatch Service através da interface gráfica do usuário (GUI) ou através da interface da linha de comando (CLI), você deve ter uma conta Ubuntu One. Isso é necessário porque a operação do Serviço Livepatch depende de uma chave privada que é emitida para você e vinculada à sua conta Ubuntu One.

• Se você configurar o Serviço Livepatch usando a GUI, não verá sua chave. Ainda é necessário e usado, mas tudo é tratado em segundo plano para você.
• Se você configurar seu Livepatch Service por meio do terminal, precisará copiar e colar sua chave do navegador na linha de comando.

Se você não tem uma conta Ubuntu One, você pode criar uma gratuitamente.

Habilitando o serviço Canonical Livepatch graficamente

Para iniciar a interface gráfica de configuração, pressione a tecla “Super”. Ele está localizado entre as teclas “Control” e “Alt” no canto inferior esquerdo da maioria dos teclados. Pesquise “livepatch.”

Ao ver o ícone Livepatch, clique no ícone ou pressione “Enter”.

A janela de diálogo “Software e atualizações” aparecerá com a guia Livepatch selecionada. Clique no botão “Entrar”. Você será lembrado de que precisa de uma conta Ubuntu One.

Clique no botão “Sign in / Register”.

A janela de diálogo Conta de logon único do Ubuntu é exibida. A Canonical usa os termos “Ubuntu One” e “Single Sign-On” alternadamente. Eles significam a mesma coisa. Oficialmente, “Single Sign-On” foi substituído por “Ubuntu One”, mas o nome antigo perdura.

Insira os detalhes da sua conta e clique no botão “Conectar”. Você também pode usar esta janela de diálogo para registrar-se em uma conta, caso ainda não tenha criado uma.

Sua senha será solicitada.

Digite sua senha e clique no botão “Autenticar”. Uma janela de diálogo mostra o endereço de e-mail associado à conta do Ubuntu One que você vai usar.

Certifique-se de que está correto e clique no botão “Continuar”.

Sua senha será solicitada mais uma vez. Após alguns segundos, a guia Livepatch na janela de diálogo “Software e atualizações” será atualizada para mostrar que o Livepatch está ativo e ativo.

Um novo ícone de escudo aparecerá na área de notificação da ferramenta, próximo aos ícones de rede, som e energia. O círculo verde com a marca indica que está tudo bem. Clique no ícone para acessar o menu.

Somos informados de que o Livepatch está ativado e não há atualizações atuais.

A opção “Configurações do Livepatch” abrirá a janela de diálogo “Software e atualizações” na guia Livepatch.

É isso aí; você está pronto.

Habilitando o serviço Canonical Livepatch usando a CLI

Você vai precisar de uma conta Ubuntu One . Se você não tiver um, terá a oportunidade de criar um. Eles são gratuitos e leva apenas um momento.

Algumas das etapas que precisamos realizar são baseadas na web, portanto, este não é um método verdadeiramente exclusivo da CLI. Começamos visitando a página da web do Canonical Livepatch Service para obter nossa chave secreta ou “token”.

Selecione o botão de rádio “Ubuntu User” e clique no botão “Get Your Livepatch Token”.

Você será solicitado a fazer login em sua conta Ubuntu One.

• Se você tiver uma conta, digite o endereço de e-mail que usou para configurar a conta e selecione o botão de opção “Eu tenho uma conta Ubuntu One, e minha senha é:”.
• Se você não tem uma conta, digite seu endereço de e-mail e selecione o botão de rádio “Não tenho uma conta Ubuntu One”. Você será guiado pelo processo de criação da conta.

Assim que sua conta Ubuntu One for verificada, você verá a página da web de patching do kernel ao vivo gerenciado. Sua chave será exibida.

Mantenha a página da web com sua chave aberta e abra uma janela de terminal. Use este comando na janela do terminal para instalar o daemon do serviço Livepatch:

sudo snap install canonical-livepatch

Quando a instalação for concluída, você precisará habilitar o serviço. Você precisará da chave da página da web “Managed live kernel patching”.

Você precisa copiar e colar a chave na linha de comando. Realce a chave na página da web, clique com o botão direito e selecione “Copiar” no menu de contexto. Ou você pode destacar a chave e pressionar “Ctrl + C”.

Digite o seguinte comando na janela do terminal, mas não pressione “Enter”.

sudo canonical-livepatch enable

Em seguida, digite um espaço, clique com o botão direito e selecione “Colar” no menu de contexto. Ou você pode pressionar “Ctrl + Shift + V”. Você deve ver o comando que acabou de digitar, um espaço e a chave da página da web.

Na máquina de teste usada para pesquisar este artigo, parecia assim:

Pressione Enter.”

Se tudo correr bem, você verá uma mensagem de verificação do Livepatch informando que o computador foi habilitado para patch de kernel. Ele também mostrará outra chave longa; este é o “token de máquina”.

O que acabou de acontecer é:

• Você obteve sua chave Livepatch da Canonical.
• Você pode usá-lo em três computadores. Você o usou em um computador até agora.
• O token de máquina que foi gerado para este computador – usando sua chave – é o token de máquina exibido nesta mensagem.

Se você verificar a guia Livepatch na janela de diálogo “Software e atualizações”, verá que o Livepatch está habilitado e ativo.

Verificando o Status do Livepatch

Você pode fazer o Livepatch fornecer um relatório de status usando o seguinte comando:

sudo canonical-livepatch status

O relatório de status contém:

• versão do cliente : a versão do software do Livepatch.
• arquitetura : A arquitetura da CPU do computador.
• cpu-model : O tipo e modelo da Unidade Central de Processamento (CPU) no computador.
• última verificação : A hora e data em que o Livepatch verificou pela última vez se havia alguma atualização crítica do kernel disponível para download.
• boot-time : a hora em que este computador foi ligado pela última vez.
• tempo de atividade : O tempo que este computador esteve ligado.

O bloco de status nos diz:

• kernel : a versão do kernel atual.
• running : se o Livepatch está em execução ou não.
• CheckState : Se Livepatch verificou para o kernel patches.
• patchState : se há algum patch crítico de kernel que precisa ser instalado.
• versão : a versão dos patches do kernel, se houver, que precisam ser aplicados.
• Correções : As correções contidas nos patches do kernel.

Forçando Livepatch a atualizar agora

O objetivo do Livepatch é fornecer um serviço de atualização gerenciado, o que significa que você não precisa se preocupar com isso. É tudo feito para você. Mas se quiser, você pode forçar o Livepatch a verificar os patches do kernel (e aplicar os que encontrar) com o seguinte comando:

sudo canonical-livepatch refresh

Livepatch informa a versão do kernel antes e depois da atualização. Não havia nada a ser aplicado neste exemplo.

Menos atrito, mais segurança

O atrito de segurança é a dor ou inconveniência associada à implementação, uso ou manutenção de um recurso de segurança. Se o atrito for muito alto, a segurança é prejudicada porque o recurso não é usado ou mantido. O Livepatch tira todo o atrito da aplicação de atualizações críticas do kernel, mantendo seu kernel o mais seguro possível.

Isso significa “vencer, vencer”.