Canonical在Ubuntu14.04LTS系统中引入了KernelLivepatch服务。LivePatchService允许您在不重启系统的情况下安装和应用关键的Linux内核安全更新。这意味着,您无需在应用内核补丁后重新启动系统。一般情况下,我们在安装内核补丁后需要重启Linux服务器,系统才能使用。实时修补非常快。大多数内核修复只需要几秒钟。Canonical的在线补丁服务对拥有3个或更少系统的用户免费。您可以通过命令行在桌面和服务器中启用CanonicalLivePatch服务。这个实时补丁系统旨在解决高级和关键的Linux内核安全漏洞。有关支持的系统和其他详细信息,请参见下表。Ubuntu版本体系结构内核版本内核变体Ubuntu18.04LTS64位x864.15仅GA通用和低电压内核Ubuntu16.04LTS64位x864.4仅GA通用和低电压内核Ubuntu14.04LTS64位x864.4仅硬件支持内核注意:Ubuntu14.04中Canonical的实时补丁服务LTS要求用户在Trusty中运行Ubuntuv4.4内核。如果您当前未使用该服务运行,请重新启动进入该内核。为此,请按照以下步骤操作。如何获得实时补丁令牌?导航到CanonicalLivePatchingService页面,如果您想使用免费服务,请选择“Ubuntu用户”。适合不超过3个系统的用户。如果您是“UA客户”或超过3个系统,请选择“Ubuntu客户”。最后,单击“获取您的Livepatch令牌”按钮。确保您已经在“UbuntuOne”中拥有一个帐户。否则,可以创建一个新的。登录后,您将获得您的帐户密钥。在系统中安装Snap守护进程实时补丁系统是通过snap包安装的。因此,请确保您的Ubuntu系统上安装了snapd守护进程。$sudoaptupdate$sudoaptinstallsnapd如何在系统中安装和配置实时补丁服务?通过运行以下命令安装canonical-livepatch守护程序。$sudosnapinstallcanonical-livepatchcanonical-livepatch9.4.1fromCanonical*installed运行以下命令以在您的Ubuntu机器上启用实时内核修补。$sudocanonical-livepatchenablexxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e成功启用设备。使用machine-token:xxxxc4xxxx67xxxxbxxxxbxxxxfbxx4e运行以下命令查看live补丁机器的状态。$sudocanonical-livepatchstatusclient-version:9.4.1architecture:x86_64cpu-model:Intel(R)Core(TM)i7-6700HQCPU@2.60GHzlast-check:2019-07-24T12:30:04+05:30boot-time:2019-07-24T12:11:06+05:30uptime:19m11sstatus:-kernel:4.15.0-55.60-genericrunning:truelivepatch:checkState:checkedpatchState:nothing-to-applyversion:""fixes:""使用--verbose开关运行上面相同的命令以获取有关实时修补机器的更多信息。$sudocanonical-livepatchstatus--verbose如果您想手动运行补丁,请执行以下命令。$sudocanonical-livepatchrefreshBeforerefresh:kernel:4.15.0-55.60-genericly-patched:trueversion:""Afterrefresh:kernel:4.15.0-55.60-genericly-patched:trueversion:""patchState将具有以下之一states:applied:Novulnerabilitiesfoundnothing-to-apply:漏洞已成功找到并修补kernel-upgrade-required:LivePatchService无法安装补丁来修复漏洞请注意,安装内核补丁与升级/安装内核补丁不同系统上的新内核。如果安装了新内核,则必须重新启动系统才能激活新内核。
