Si vous êtes un administrateur système chargé de la maintenance des systèmes critiques dans les environnements d’entreprise, nous sommes sûrs que vous savez deux choses importantes :
1. Il peut être difficile de trouver une fenêtre de temps d’arrêt pour installer des correctifs de sécurité afin de gérer les vulnérabilités du noyau ou du système d’exploitation.
Si l’entreprise ou l’entreprise pour laquelle vous travaillez n’a pas mis en place de politiques de sécurité, la gestion des opérations peut finir par favoriser la disponibilité par rapport à la nécessité de résoudre les vulnérabilités. De plus, la bureaucratie interne peut entraîner des retards dans l’octroi des approbations pour les temps d’arrêt. J’y suis allé moi-même.
2. Parfois, vous ne pouvez pas vraiment vous permettre des temps d’arrêt et vous devez être prêt à atténuer toute exposition potentielle à des attaques malveillantes d’une autre manière.
La bonne nouvelle est que Canonique a récemment publié son Service Livepatch pour appliquer des correctifs critiques du noyau à Ubuntu 22.04 LTS, 20.04 LTS, Ubuntu 18.04 LTS et Ubuntu 16.04 LTS sans avoir besoin d’un redémarrage ultérieur.
Oui, vous avez bien lu : avec Livepatchvous n’avez pas besoin de redémarrer votre Ubuntu serveur pour que les correctifs de sécurité prennent effet.
Inscription à Livepatch pour Ubuntu Server
Pour utiliser Service Canonical Livepatchvous devez vous inscrire au Service Livepatch et indiquez si vous êtes un habitué Utilisateur d’Ubuntu ou un abonné Ubuntu (option payante).
Tous les utilisateurs d’Ubuntu peuvent lier jusqu’à 5 machines différentes à Livepatch grâce à l’utilisation d’un token :
À l’étape suivante, vous serez invité à entrer votre Ubuntu Un informations d’identification ou inscrivez-vous pour un nouveau compte.
Si vous choisissez ce dernier, vous devrez confirmer votre adresse e-mail afin de terminer votre inscription :
Une fois que vous aurez cliqué sur le lien ci-dessus pour confirmer votre adresse e-mail, vous serez prêt à revenir à Tableau de bord Ubuntu Pro et obtenez votre jeton Livepatch.
Activer Ubuntu Livepatch avec un jeton
Pour commencer, copiez le jeton unique attribué à votre compte Ubuntu One :
Installer Snap dans Ubuntu
Allez ensuite dans un terminal et tapez la commande suivante pour installer Snap sur Ubuntu :
$ sudo apt install snapd
Installer Ubuntu Livepatch
Une fois la instantané est installé, exécutez maintenant la commande ci-dessous pour installer le correctif en direct service.
$ sudo snap install canonical-livepatch
Installer le client Ubuntu Pro
Vous devez maintenant attacher votre abonnement à votre système Ubuntu en installant le outils-avantage-ubuntu package, qui est utilisé pour accéder au client Pro comme indiqué :
$ sudo apt install ubuntu-advantage-tools
Activer Livepatch pour Ubuntu
Une fois que vous avez installé la dernière version de Client professionnelvous devez joindre le Ubuntu Pro jeton à votre Client professionnel pour permettre l’accès aux services.
Vous pouvez récupérer votre Ubuntu Pro jeton du Tableau de bord Ubuntu Pro.
$ sudo pro attach C126iqAzeGdDZ1S4EwSZiBgicf9Z4Y
Vérifier l’état de Livepatch sur Ubuntu
Si vous souhaitez vérifier l’état actuel de votre correctif en direct client, exécutez la commande suivante, qui vérifiera périodiquement (toutes les heures par défaut) les nouveaux correctifs.
$ canonical-livepatch status
Cela produira une sortie similaire à :
last check: 3 minutes ago kernel: 5.4.0-28.32-generic server check-in: succeeded kernel state: ✓ kernel is supported by Canonical. patch state: ✓ all applicable livepatch modules inserted patch version: 94.1 tier: updates (Free usage; This machine beta tests new patches.) machine id: 829fe8ee62bd45318afd344da6970681
Au fil du temps, vous voudrez vérifier la description et l’état des correctifs appliqués à votre noyau. Heureusement, c’est aussi simple que de le faire.
$ sudo canonical-livepatch status --verbose
comme vous pouvez le voir sur l’image suivante :
Désactiver Livepatch sur le client
Si vous souhaitez désactiver livepatch sur la machine cliente, il existe deux méthodes recommandées :
Si vous avez un accès direct au système, vous pouvez désactiver le service livepatch en exécutant :
$ sudo snap stop --disable canonical-livepatch
S’il n’y a pas d’accès direct au système, vous pouvez désactiver livepatch en utilisant les deux manières suivantes :
- en définissant un paramètre de ligne de commande du noyau canonical_livepatch_mode.
- en écrivant le mode dans le /var/local/canonical_livepatch_mode déposer.
Ayant activé Livepatch sur votre serveur Ubuntu, vous pourrez réduire au minimum les temps d’arrêt planifiés et non planifiés tout en assurant la sécurité de votre système. Espérons que l’initiative de Canonical vous accordera une tape dans le dos de la part de la direction – ou mieux encore, une augmentation.
N’hésitez pas à nous faire part de vos questions sur cet article. Envoyez-nous simplement une note en utilisant le formulaire de commentaire ci-dessous et nous vous répondrons dans les plus brefs délais.
