staging.inyokaproject.org

Livepatch

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Dieser Artikel ist mit keiner aktuell unterstützten Ubuntu-Version getestet! Bitte teste diesen Artikel für eine Ubuntu-Version, welche aktuell unterstützt wird. Dazu sind die Hinweise zum Testen von Artikeln zu beachten.

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

Canonical Livepatch Service 🇬🇧 oder kurz einfach nur "Livepatch" ist ein Service von Canonical, der es ermöglicht, Patches für den aktuell laufenden Linux-Kernel "live" einzuspielen, d.h der Patch ist direkt aktiv, ohne Neustart des Systems. Dies ist besonders für z.B. Server interessant, die möglichst unterbrechungsfrei laufen sollen. Livepatch funktioniert aber genau so auch auf normalen Desktoprechnern.

Über Livepatch werden aber immer nur kritische Sicherheits-Patches für die aktuell laufende Kernelversion eingespielt, die Installation einer anderen Kernelversion erfordert nach wie vor einen Neustart des Systems.

Um Livepatch nutzen zu können ist ein Konto bei Ubuntu One notwendig. Des Weiteren ist pro Konto die Anzahl der Maschinen, auf denen Livepatch genutzt wird, auf drei beschränkt. Dabei spielt es keine Rolle, ob die Maschine ein Desktoprechner, ein Server oder eine virtuelle Installation von Ubuntu ist. Für mehr Maschinen ist eine kostenpflichtige Lizenz von Canonical notwendig.

Installation

Hinweis:

Livepatch ist nur für die amd64-Architektur verfügbar. Es kann damit nicht auf 32-Bit-Systemen verwendet werden.

Livepatch ist als snap-Paket verfügbar. Bei der Neuinstallation von Ubuntu 18.04 wird man beim ersten Systemstart in der Regel während der Begrüßungstour gefragt, ob man Livepatch nutzen möchte. Ansonsten kann man Livepatch nachträglich durch die Installation des snaps canonical-livepatch hinzufügen[1][2]:

sudo snap install canonical-livepatch 

Einrichtung

Nach der Installation des snaps muss man sich bei Livepatch via Ubuntu One auf die Seite https://auth.livepatch.canonical.com/ anmelden. Hier wählt man - sofern man nicht Kunde bei Canonical ist - den Punkt "Ubuntu User" und klickt dann auf die Schaltfläche "Get your Livepatch Token". Nach Eingabe der Logindaten für Ubuntu One gelangt man automatisch auf die Webseite, wo der benötigte Token angezeigt wird, der zur Aktivierung von Livepatch benötigt wird.

Dann führt man den Befehl[1][2]

sudo canonical-livepatch enable TOKEN 

aus, wobei TOKEN durch den erhaltenen Token zu ersetzen ist. Man erhält jetzt eine Meldung wie

Successfully enabled device. Using machine-token: 1234567890abcdef1234567890abcdef

womit bestätigt wird, dass Livepatch auf dem System aktiviert ist.

Wenn Livepatch auf der Maschine deaktiviert wurde, kann es mit dem selben Token, welches man bei Ubuntu One erhalten hat, wieder aktiviert werden. Allerdings kann man seine Token nach der Registrierung nicht mehr einsehen und muss diese also zur wiederholten Anwendung lokal speichern.

Konfiguration

Über den Befehl

canonical-livepatch config 

wird die aktuelle Konfiguration angezeigt. Diese kann z. B. so aussehen:

http-proxy: ""
https-proxy: ""
no-proxy: ""
remote-server: https://livepatch.canonical.com
ca-certs: ""
check-interval: 60  # minutes

Möchte man einen Wert ändern, dann übergibt man dem Befehl zusätzliche Parameter. Zum Beispiel wenn man das check-interval auf 180 Minuten ändern möchte:

sudo canonical-livepatch config check-interval="180" 

Nutzung

Nach der Installation arbeitet Livepatch automatisch im Hintergrund. Neben dem oben bereits beschriebenen Kommando config kennt canonical-livepatch noch folgende weitere Kommandos:

Kommandos von Livepatch
Kommando Erklärung
status Gibt den aktuellen Status von Livepatch aus. Mit status --verbose erhält man eine ausführlichere Ausgabe.
refresh Prüft sofort auf neue Kernelpatches und spielt diese ein.
disable Deaktiviert Livepatch für diese Maschine.
config Zeigt die aktuelle Konfiguration von Livepatch an.
help Zeigt eine ausführlichere Hilfeseite an, welche unter anderem auch Beispiele für die Konfiguration enthält.

Die Befehle canonical-livepatch refresh und canonical-livepatch disable müssen mit Root-Rechten ausgeführt werden[2].

  • Livepatch 🇬🇧 im englischen Ubuntu-Wiki

  • Meldung 🇩🇪 bei ProLinux zu Livepatch

Diese Revision wurde am 3. Mai 2021 07:37 von frustschieber erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Sicherheit, System, Kernel, ungetestet