Livepatch
Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:
Dieser Artikel ist mit keiner aktuell unterstützten Ubuntu-Version getestet! Bitte teste diesen Artikel für eine Ubuntu-Version, welche aktuell unterstützt wird. Dazu sind die Hinweise zum Testen von Artikeln zu beachten.
Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:
Canonical Livepatch Service 🇬🇧 oder kurz einfach nur "Livepatch" ist ein Service von Canonical, der es ermöglicht, Patches für den aktuell laufenden Linux-Kernel "live" einzuspielen, d.h der Patch ist direkt aktiv, ohne Neustart des Systems. Dies ist besonders für z.B. Server interessant, die möglichst unterbrechungsfrei laufen sollen. Livepatch funktioniert aber genau so auch auf normalen Desktoprechnern.
Über Livepatch werden aber immer nur kritische Sicherheits-Patches für die aktuell laufende Kernelversion eingespielt, die Installation einer anderen Kernelversion erfordert nach wie vor einen Neustart des Systems.
Um Livepatch nutzen zu können ist ein Konto bei Ubuntu One notwendig. Des Weiteren ist pro Konto die Anzahl der Maschinen, auf denen Livepatch genutzt wird, auf drei beschränkt. Dabei spielt es keine Rolle, ob die Maschine ein Desktoprechner, ein Server oder eine virtuelle Installation von Ubuntu ist. Für mehr Maschinen ist eine kostenpflichtige Lizenz von Canonical notwendig.
Installation¶
Hinweis:
Livepatch ist nur für die amd64-Architektur verfügbar. Es kann damit nicht auf 32-Bit-Systemen verwendet werden.
Livepatch ist als snap-Paket verfügbar. Bei der Neuinstallation von Ubuntu 18.04 wird man beim ersten Systemstart in der Regel während der Begrüßungstour gefragt, ob man Livepatch nutzen möchte. Ansonsten kann man Livepatch nachträglich durch die Installation des snaps canonical-livepatch hinzufügen[1][2]:
sudo snap install canonical-livepatch
Einrichtung¶
Nach der Installation des snaps muss man sich bei Livepatch via Ubuntu One auf die Seite https://auth.livepatch.canonical.com/ anmelden. Hier wählt man - sofern man nicht Kunde bei Canonical ist - den Punkt "Ubuntu User" und klickt dann auf die Schaltfläche "Get your Livepatch Token". Nach Eingabe der Logindaten für Ubuntu One gelangt man automatisch auf die Webseite, wo der benötigte Token angezeigt wird, der zur Aktivierung von Livepatch benötigt wird.
Dann führt man den Befehl[1][2]
sudo canonical-livepatch enable TOKEN
aus, wobei TOKEN durch den erhaltenen Token zu ersetzen ist. Man erhält jetzt eine Meldung wie
Successfully enabled device. Using machine-token: 1234567890abcdef1234567890abcdef
womit bestätigt wird, dass Livepatch auf dem System aktiviert ist.
Wenn Livepatch auf der Maschine deaktiviert wurde, kann es mit dem selben Token, welches man bei Ubuntu One erhalten hat, wieder aktiviert werden. Allerdings kann man seine Token nach der Registrierung nicht mehr einsehen und muss diese also zur wiederholten Anwendung lokal speichern.
Konfiguration¶
Über den Befehl
canonical-livepatch config
wird die aktuelle Konfiguration angezeigt. Diese kann z. B. so aussehen:
http-proxy: "" https-proxy: "" no-proxy: "" remote-server: https://livepatch.canonical.com ca-certs: "" check-interval: 60 # minutes
Möchte man einen Wert ändern, dann übergibt man dem Befehl zusätzliche Parameter. Zum Beispiel wenn man das check-interval auf 180 Minuten ändern möchte:
sudo canonical-livepatch config check-interval="180"
Nutzung¶
Nach der Installation arbeitet Livepatch automatisch im Hintergrund. Neben dem oben bereits beschriebenen Kommando config kennt canonical-livepatch noch folgende weitere Kommandos:
| Kommandos von Livepatch | |
| Kommando | Erklärung |
status | Gibt den aktuellen Status von Livepatch aus. Mit status --verbose erhält man eine ausführlichere Ausgabe. |
refresh | Prüft sofort auf neue Kernelpatches und spielt diese ein. |
disable | Deaktiviert Livepatch für diese Maschine. |
config | Zeigt die aktuelle Konfiguration von Livepatch an. |
help | Zeigt eine ausführlichere Hilfeseite an, welche unter anderem auch Beispiele für die Konfiguration enthält. |
Die Befehle canonical-livepatch refresh und canonical-livepatch disable müssen mit Root-Rechten ausgeführt werden[2].
Links¶