再起動せずにUbuntuにカーネルアップデートをインストールする方法


エンタープライズ環境で重要なシステムの保守を担当するシステム管理者であれば、次の2つの重要なことを知っていると確信しています。

1)カーネルまたはオペレーティングシステムの脆弱性を処理するためにセキュリティパッチをインストールするためのダウンタイムウィンドウを見つけるのは難しい場合があります。勤務先の会社または企業にセキュリティポリシーが設定されていない場合、運用管理は脆弱性を解決する必要性よりも稼働時間を優先することになります。さらに、内部の官僚機構により、ダウンタイムの承認が遅れる可能性があります。自分でそこに行った。

2)ダウンタイムを実際に許容できない場合があり、他の方法で悪意のある攻撃にさらされる可能性を軽減する準備をする必要があります。

幸いなことに、Canonicalは最近Livepatchサービスをリリースし、重要なカーネルパッチをUbuntu 14.04 LTS、16.04 LTS、18.04 LTS、およびUbuntu 20.04LTSに適用します。後で再起動する必要はありません。はい、その通りです。Livepatchを使用すると、セキュリティパッチを有効にするためにUbuntuサーバーを再起動する必要はありません。

UbuntuサーバーでLivepatchにサインアップする

Canonical Livepatch Serviceを使用するには、https://auth.livepatch.canonical.com/でサインアップし、Ubuntuの通常のユーザーかAdvantageサブスクライバー(有料オプション)かを指定する必要があります。すべてのUbuntuユーザーは、トークンを使用して最大3台の異なるマシンをLivepatchにリンクできます。

次のステップでは、Ubuntu Oneの資格情報を入力するか、新しいアカウントにサインアップするように求められます。後者を選択した場合、登録を完了するためにメールアドレスを確認する必要があります。

上記のリンクをクリックしてメールアドレスを確認すると、https://auth.livepatch.canonical.com/に戻ってLivepatchトークンを取得する準備が整います。

Livepatchトークンの取得と使用

まず、UbuntuOneアカウントに割り当てられた一意のトークンをコピーします。

次に、ターミナルに移動して次のように入力します。

$ sudo snap install canonical-livepatch

上記のコマンドはlivepatchをインストールしますが、

$ sudo canonical-livepatch enable [YOUR TOKEN HERE]

それはあなたのシステムのためにそれを可能にします。この最後のコマンドがcanonical-livepatchが見つからないことを示している場合は、/snap/bin がパスに追加されていることを確認してください。回避策は、作業ディレクトリを/snap/bin に変更して実行することです。

$ sudo ./canonical-livepatch enable [YOUR TOKEN HERE]

時間の経過とともに、カーネルに適用されているパッチの説明とステータスを確認する必要があります。幸いなことに、これは行うのと同じくらい簡単です。

$ sudo ./canonical-livepatch status --verbose

次の画像でわかるように:

UbuntuサーバーでLivepatchを有効にすると、システムを安全に保ちながら、計画的および計画外のダウンタイムを最小限に抑えることができます。うまくいけば、Canonicalのイニシアチブにより、経営陣が後押しをすることができます。さらに良いのは、昇給です。

この記事についてご不明な点がございましたら、お気軽にお問い合わせください。下のコメントフォームを使用してメモをお送りください。できるだけ早くご連絡いたします。