Ubuntu livepatch что это

Форум русскоязычного сообщества Ubuntu

Страница сгенерирована за 0.031 секунд. Запросов: 26.

Сайт
Об Ubuntu
Скачать Ubuntu
Семейство Ubuntu
Новости

Форум
Помощь
Правила

Документация
Пользовательская документация
Официальная документация
Семейство Ubuntu
Материалы для загрузки
Совместимость с оборудованием
RSS лента

Сообщество
Наши проекты
Местные сообщества
Перевод Ubuntu
Тестирование
RSS лента

Записки IT специалиста

Включаем расширенную поддержку ESM и Livepatch для Ubuntu

Автор: Уваров А.С.
22.02.2022

Каждый системный администратор знает, как важно своевременно получать и устанавливать обновления безопасности, особенно касающиеся вновь найденных уязвимостей. Конечно, оптимальный вариант — это использовать последние выпуски ОС и ПО, находящиеся на поддержке, но к сожалению это возможно не всегда. Если вы используете Ubuntu, то можете присоединиться к программе Ubuntu Advantage, которая позволяет продлить срок поддержки LTS версий еще на 5 лет (суммарно 10). Как это сделать — мы расскажем в данной статье.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Что такое Ubuntu Advantage

Ubuntu Advantage (UA) — это сервисный пакет от компании Canonical для пользователей Ubuntu, включает коммерческую поддержку и ряд расширенных сервисов направленных на повышение управляемости и безопасности ваших систем. Пакет предоставляется на коммерческой основе, стоимость годового обслуживания для физического сервера начинается от $225, а для виртуальной машины от $75 в год. Для некоммерческого и личного использования предоставляется бесплатный пакет на три физических ПК, но мы не испытали никаких затруднений и при подключении виртуальной машины.

Мы сейчас не будем вдаваться в юридические и лицензионные подробности, отметим только, что цены на годовое обслуживание вполне приемлемые даже для малого бизнеса, особенно если сравнить их с возможным ущербом от компрометации системы в результате использования уязвимостей.

Далее мы будем рассматривать бесплатный пакет и два основных сервиса из него: Extended Security Maintenance (ESM) и Livepatch.

Extended Security Maintenance (ESM)

Данный сервис предоставляет особый интерес для пользователей систем с истекшим сроком основной поддержки. Extended Security Maintenance предоставляет обновления безопасности для всех бинарных пакетов находящихся в основном репозитории Ubuntu в течении дополнительных 5 лет, таким образом продлевая общий срок поддержки систем до 10 лет.

Но есть определенные тонкости. ESM не предоставляет исправления ошибок ПО, кроме тех, которые были вызваны обновлениями ESM. Также исправления безопасности предоставляются только по тем CVE, которые имеют статус важных или критических. Ну и наконец — поддерживаются только 64-х разрядные системы.

В настоящее время Extended Security Maintenance доступно для Ubuntu 14.04 LTS (до апреля 2024 года) и Ubuntu 16.04 LTS (до апреля 2026 года). О доступности ESM сообщается на официальном сайте после истечения срока основной поддержки, также об этом может сообщить утилита apt при обновлении пакетов.

Таким образом, если вы продолжаете использовать устаревшие системы, то подключение к Ubuntu Advantage и использование ESM позволит получать обновления безопасности в течении десятилетнего цикла, спокойно подготовить и осуществить переход на современные версии ОС и ПО. При этом обратите внимание, что ESM не распространяется на пакеты, поддерживаемые сообществом (репозитории universe и multiverse).

Livepatch Service

Livepatch — в буквальном переводе «живой патч» — еще один крайне полезный сервис, предоставляющий возможность устанавливать обновления безопасности ядра Linux без перезагрузки системы. В отличие от обычных обновлений, обновления ядра очень часто остаются не установленными по причине невозможности или нежелательности перезагрузки системы. Причин этому может быть множество, как объективных, так и не очень, но результат один — страдает безопасность системы. Livepatch позволяет избежать этой проблемы применяя исправления налету. Данная возможность доступна для всех систем входящих в Ubuntu Advantage, даже таких старых как Ubuntu 14.04 LTS.

Подключение к Ubuntu Advantage

Прежде всего вам нужно зарегистрироваться в сервисе Ubuntu One, никаких особых сложностей там нет, потребуется указать минимум данных и подтвердить адрес электронной почты.

После окончания регистрации и прохождения верификации перейдите на основной сайт Ubuntu и в персональном меню выберите пункт UA subscriptions, на открывшейся странице вы получите токен доступа для бесплатного подключения к Ubuntu Advantage трех физических систем.

Здесь же ниже, в разделе Documentation представлена команда для подключения системы, но не будем спешить. Прежде всего обновим список пакетов и установим все последние обновления:

apt update
apt full-upgrade

Для Ubuntu 14.04 LTS возможно придется использовать более старую утилиту apt-get:

apt-get update
apt-get dist-upgrade

После чего перезагрузим систему. Затем убедимся, что установлен пакет ubuntu-advantage-tools:

dpkg -l ubuntu-advantage-tools

Если все нормально, то вы увидите следующий вывод, обратите внимание на флаги ii, которые обозначают что пакет установлен.

В противном случае для установки пакета воспользуйтесь командой:

apt install ubuntu-advantage-tools

Затем можно подключить систему к UA используя команду:

ua attach

По умолчанию будут включены сервисы esm-infra и livepatсh.

Длу управления службами Ubuntu Advantage используйте команды:

ua enable | disable

Чтобы полностью отключить систему от UA с удалением регистрации в личном кабинете воспользуйтесь командой:

ua detach

После того, как вы подключили сервис ESM самое время еще раз обновить систему, установив все последние обновления безопасности. При этом вы увидите, что у вас появился новый источник пакетов ESM и доступны новые обновления, которые до этого были недоступны.

apt update
apt full-upgrade

После завершения процесса обновления не забудьте выполнить очистку от ненужных пакетов:

apt autoremove

или в Ubuntu 14.04 LTS:

apt-get autoremove

и перезагрузите систему, чтобы загрузилось новое ядро.

Включение Livepatch в Ubuntu 14.04 LTS

После подключения к Ubuntu Advantage для Ubuntu 14.04 LTS можно заметить, что активировался только сервис esm-infra, а при попытке включить livepatсh мы будем получать ошибку.

Это нормально, livepatch поддерживается начиная с ядра версии 4.4, в то время как Ubuntu 14.04 LTS использует ядро версии 3.x, также для работы данного сервиса нам потребуется поддержка snap. Обновим список пакетов и установим snapd, нужное ядро версии 4.4 будет установлено по зависимостям.

apt update
apt install snapd

После чего обязательно перезагрузите систему, чтобы активировать новое ядро, после чего добавим поддержку livepatch:

snap install canonical-livepatch

Если теперь мы проверим статус служб Ubuntu Advantage, то увидим, что напротив сервиса livepatch вместо n/a появилось disabled.

ua status

Попробуем снова включить сервис и в этот раз у нас должно все получиться:

ua enable livepatch

Теперь даже такая старая система, как Ubuntu 14.04 LTS окажется гораздо более защищена и сможет применять новые обновления безопасности ядра без перезагрузки системы.

Заключение

Как видим, Ubuntu Advantage предоставляет отличные возможности поддержки старых систем предоставляя им обновления безопасности в рамках Extended Security Maintenance (ESM) и такие современные возможности, как обновления ядра без перезагрузки системы в течении дополнительных пяти лет, после окончания основной поддержки. Стоимость пакета UA вполне доступна, а для личного и некоммерческого использования имеется возможность получения бесплатной подписки на три компьютера.

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

Canonical объявляет о поддержке Livepatch для ядер Ubuntu Hardware Enablement Kernels

Компания Canonical объявила о расширении своей услуги Livepatch по обновлению ядра Linux без перезагрузки на системы Ubuntu с долгосрочной поддержкой, работающие на официальных ядрах HWE (Hardware Enablement), начиная с июля 2023 года.

До сих пор Canonical предлагала услугу Livepatch для систем Ubuntu LTS (Long Term Support), работающих на стандартном ядре Linux, которое поставлялось с первоначальным релизом. Если вы не знали, Livepatch позволяет вам применять обновления ядра Linux на вашей системе Ubuntu без перезагрузки для обеспечения бесперебойной работы и минимального времени простоя.

Конечно, Livepatch имеет смысл в основном в установках Ubuntu Server, но он также может пригодиться в критически важных системах, и поддерживается до 10 лет. Canonical предлагает услугу Livepatch как часть своего предложения Ubuntu Pro, которое доступно бесплатно для 5 компьютеров или до 50 машин для официальных членов сообщества Ubuntu.

В этом расширении, которое начнется в июле 2023 года, Livepatch также будет работать на новых ядрах HWE , которые были перенесены из более поздних релизов Ubuntu. Например, это означает, что вы сможете применять обновления ядра без перезагрузки на системах Ubuntu 22.04 LTS (Jammy Jellyfish) под управлением ядра Linux 6.2 из Ubuntu 23.04 (Lunar Lobster).

Почему именно в июле 2023 года? Потому что именно тогда Canonical начнет распространять ядро Linux 6.2 HWE из Ubuntu 23.04, которое должно появиться на улицах на следующей неделе, 20 апреля, среди пользователей Ubuntu 22.04 LTS . Ядро Linux 6.2 также станет ядром по умолчанию в предстоящем точечном релизе Ubuntu 22.04.3 LTS , который выйдет в августе 2023 года.

«Мы прислушались к вашим отзывам и рады сообщить, что Livepatch теперь будет доступен на ядрах HWE . Это произойдет с выходом версии ядра 6.2, которая первоначально будет сопровождать промежуточный релиз Ubuntu 23.04 Lunar Lobster в апреле 2023 года. Это изменение означает, что вы сможете обновлять и защищать ядро с помощью Livepatch, независимо от того, какое ядро вы выбрали для своего релиза Ubuntu LTS .»
— сказал представитель Canonical

Таким образом, если вы когда-либо хотели использовать службу Canonical Livepatch для обновления ядра без перезагрузки, даже если вы перешли на ядро HWE из более нового релиза Ubuntu, вы сможете сделать это в июле этого года, включив Ubuntu Pro. Canonical не упомянула, будет ли это предложение также доступно для Ubuntu 20.04 LTS или предыдущих систем Ubuntu LTS .

Зарубин Иван Эксперт по Linux и Windows

Парашютист со стажем. Много читаю и слушаю подкасты. Люблю посиделки у костра, песни под гитару и приближающиеся дедлайны. Люблю путешествовать.

Исправления к ядру без необходимости в перезагрузке.

Canonical предоставила для пользователей Ubuntu возможность получать исправления безопасности для ядер Linux без необходимости перезагружаться.

Введён в строй Canonical Livepatch Service, с помощью которого через аутентификацию и шифрованное соединение, вы сможете получить заплатки для 64-bit Intel/AMD архитектуры и Ubuntu 16.04 LTS Xenial Xerus. Данный функционал особенно будет интересен тем, кто использует контейнерные технологии типа Докера или LXD, так как контейнеры используют ядро хоста и если он получает заплатки, то это распространяется и на них.

Как активировать Canonical Livepatch Service?
Нужно выполнить три шага для актуальной 64-битной Ubuntu 16.04 LTS.

Перейдите ubuntu.com/livepatch и получите ваш токен
Поставьте snap пакет sudo snap install canonical-livepatch
Активируйте сервис вашим токеном — sudo canonical-livepatch enable [TOKEN]

Проверьте статус работы новой технологии — canonical-livepatch status —verbose

Какие системные требования?
Canonical Livepatch Service доступен для ядер generic и low-latency 64-bit Intel/AMD (x86_64, amd64) в Ubuntu 16.04 LTS (Xenial Xerus) с ядром Linux 4.4. Технология livepatches от Canonical работает с десктопной и серверной Ubuntu 16.04 LTS. На физических, виртуальных машинах, а так же в облачных образах.

Стабильность и безопасность работы технологии зависит от того, модифицировали вы самостоятельно ядра или нет, а также от надёжного сетевого доступа к https://livepatch.canonical.com:443

Snapd должен быть не ниже 2.15.

Что насчёт других архитектур?
В данный момент работа технологии ограничена 64-bit x86. IBM работает над поддержкой POWER8 и s390x. В активной разработке находится внедрение поддержки ARM64, о которой сообщат подробнее. Livepatch для 32-bit ARM и 32-bit x86 в данный момент не рассматривается.

Что насчёт других релизов Убунту?
Canonical Livepatch Service пока работает только с Ubuntu 16.04 LTS и ядром Linux 4.4. Старые релизы Убунту не будут поддерживаться, так как в их ядрах нет нужного функционала. Обычные релизы типа Убунту 16.10 предназначены для разработчиков и активных пользователей, любящих попробовать новинки первыми. Livepatch им мало интересен и сама технология нацелена на пользователей LTS систем для поддержания максимального uptime.

Что насчёт дериватов Убунту? Xubuntu, Lubuntu, .
Технология livepatch гарантировано поддерживается в 64-bit Ubuntu 16.04 LTS Desktop, Cloud и Server. Другие Убунту дериваты не используют автоматизированную систему Continuous Integration (CI) для контроля качества. Надёжность и безопасность работы Canonical Livepatch в большей степени зависит от немодифицируемости Ubuntu ядер и сетевым доступом к Canonical Livepatch Service.

Как тестируются патчи, которые будут применятся к ядру налету?
Каждый такой патч тщательно проверяется серверами CI/CD (Continuous Integration / Continuous Delivery). Сотни комбинаций из livepatches, ядер, аппаратного оборудования, физических машин, виртуальных машин. После того как пройдены все тесты в CI/CD, а так же тесты на наличие регрессий, небольшой части пользователей дают скачать и установить патчи через Canonical Livepatch Service. Если всё хорошо, то процент увеличивают и так постепенно охватывают всё сообщество. Сбои в системах пользователей автоматически обнаруживаются и для разбирательства будут подняты на уши сотрудники Canonical.

Если вам понравилась данная технология патчинга ядра на лету, но вы не хотите быть даже иногда первопроходцем-смельчаком, то сможете избежать этого, лишь участвуя в программе Ubuntu Advantage (от $12 в месяц).

Какие виды обновлений представлены с помощью Canonical Livepatch Service?
Canonical Livepatch Service предназначен для предоставления высокоприоритетных и критических заплаток к ядру линукс, описанные в базах Ubuntu Security Notices (USN) и CVE. Обратите внимание, что существуют некоторые ограничения в технологии livepatch и не всегда можно обновить ядро без перезагрузки. Canonical сделает всё от неё зависящее, чтобы обеспечивать своевременно заплатками к проблемам в статусе «высокий» и «критический». Но могут быть случаи, когда нужен будет традиционный способ обновления и перезагрузка системы. Вас уведомят о таких случаях по всем каналам — USN, Landscape (если вы его используете), уведомления для десктопных систем, оповещением через /etc/motd и так далее.

А заплатки не связанные с безопасностью?
Canonical и дальше будет предоставлять обновления к ядру Linux, исправляющие обычные ошибки, проблемы со стабильностью и производительности, в обычном темпе — раз в 3 недели. Данные обновления легко ставятся через sudo apt update; sudo apt upgrade -y или через Менеджер Обновлений в десктоп. Такие обновления будут по-прежнему требовать перезагрузки, как и раньше.

Livepatch можно откатить?
В данный момент откат/удаление отключён. Нужен надёжный способ, чтобы определить нет ли выполняющегося внутри функции, которую патчат, прежде чем её удалить. Однако технология позволяет смело накладывать новые патчи друг на друга и даже репатчить функцию снова и снова.

Инциденты с безопасностью в статусе low и medium в базе CVE будут патчится?
В данный момент все сфокусированы на high и critical дырах.

Почему Canonical Livepatches сделан в виде сервиса с подпиской?
Canonical Livepatch Service обеспечивает безопасное, зашифрованное соединение с поддержкой аутентификации для того чтобы убедится в том, что подписанные livepatch напрямую доставляются для вашей системы.

Но я не хочу покупать Ubuntu Advantage!
И не нужно! Canonical предоставляет Livepatch Service бесплатно до 3 машин. Случайно выбранные пользователи, которые бесплатно используют технологию патчинга ядер на лету, получат свои патчи раньше других. Остальные пользователи (за бесплатно и в рамках Ubuntu Advantage) получат позже, после успешного первого развёртывания.

Но у меня нет единой учётной записи Ubuntu SSO!
Создание Ubuntu SSO бесплатно и похоже на аналогичный ID у компаний Google, Microsoft и Apple. Создать аккаунт можно по адресу login.ubuntu.com

Но я не хочу никаких логинов в ubuntu.com!
Вы и не должны! Canonical Livepatch не требуется, чтобы и впредь поддерживать безопасность вашей системы на прежнем высоком уровне. По-прежнему используйте бесплатно и анонимно — sudo apt update; sudo apt upgrade; sudo reboot

У меня нет доступа к livepatch.canonical.com:443!
Можно представить Canonical Livepatch Service как сервис от Netflix, Pandora или Dropbox. Это потоковый сервис в Интернет для вашего ядра. Если есть доступ к Интернет, то можно подключится к потоку битов. С другой стороны, если нет прямого доступа к Интернет, тогда машины надёжнее защищены от остального мира?

Есть исходный код?
Исходный код модулей livepatch доступен на git.launchpad.net. Исходный код клиента canonical-livepatch является коммерческим ПО и частью продукта по управлению системами Landscape.

Что про Ubuntu Core?
Canonical Livepatches будет доступен для Ubuntu Core в конце 2016 года. Canonical Livepatches для IoT устройств на базе ARM будет зависеть от того, как апстрим проекта реализует поддержку данной архитектуры.

Как можно сравнить с Oracle Ksplice, RHEL Live Patching и SUSE Live Patching?
Концептуально они похожи и разница лишь в реализации и в коммерческих условиях поставки:

Oracle Ksplice использует свою собственную технологию, которая не реализована в апстриме linux.
RHEL и SUSE в данный момент используют свои реализации kpatch/kgraft соответственно.
Canonical Livepatching использует Kernel Live Patching от апстрима Linux.
Ksplice свободен, но не поддерживается для Ubuntu. Доступен для Oracle Linux и RHEL в рамках Oracle Linux Premier Support license $2299 за 1 ноду в год.
Поправьте, если не прав. Для получения RHEL Kernel Live Patching нужно сначала стать клиентом RHEL и затем вступить в Special Interests Group через вашего Technical Account Manager. Это требует Red Hat Enterprise Linux Server Premium Subscription за $1299 на 1 ноду в год.
SUSE Live Patching доступна в рамках подписки SUSE Linux Enterprise Server 12 Priority Support за $1499 на 1 ноду в год.
Canonical Livepatching доступен всем пользователям Ubuntu Advantage, начиная с базового уровня UA Essential за $150 на 1 ноду в год, и бесплатно для сообщества с ограничением в 3 машины.

Что будет если я огребу проблем с Canonical Livepatches?
Клиенты Ubuntu Advantage будут подавать запрос в службу поддержки на support.canonical.com, где их обслужат в соответствии с их уровнем Essential, Standard или Advanced. Пользователи из сообщества, кто бесплатно использует технологию, должны создать отчёт о баге на Launchpad, который постараются решить как можно быстрее (best effort).

Почему клиентский и серверный код canonical-livepatch под закрытой лицензией?
Клиентская canonical-livepatch является частью семейства Landscape — инструмента, доступного клиентам Canonical. Сообществу дан свободный доступ к Canonical Livepatch Service в знак признательности и в обмен за их, время от времени, развёртывания патчей одними из первых.

Я могу собрать свои livepatches?
Вы, безусловно, можете создавать свои патчи для применения их на лету, но это потребует от вас серьёзных навыков, времени, вычислительных мощностей и усилий в тестировании. Chris Arges в своём блоге создал HOWTO using linux livepatch on ubuntu для тех кто решится действовать самостоятельно.

Как получить уведомление, что проблемы из базы CVE были исправлены на лету, а возможно нет?
В любое время вы можете запросить статус — canonical-livepatch status —verbose
Вам покажут все патчи что были применены, ещё не применённые и неприменимые, с указанием ошибки. Также вы можете мониторить Ubuntu Security Notices RSS и почтовую рассылку.

livepatching не является просто огромным руткитом?
Canonical Livepatches инжектирует модули ядра, чтобы заменить секции двоичного кода в работающем ядре. Это требует CAP_SYS_MODULE возможности для использования подгрузки модулей (modprobe) в ядро Linux. Данной возможностью обладает root в системе, так что вы, как админ, можете это делать С и БЕЗ Canonical Livepatches. Если вы админ системы Убунту и хотите отключить загрузку модулей ядра (тем самым отключить Canonical Livepatches), то можете использовать echo 1 | sudo tee /proc/sys/kernel/modules_disabled

Дата последней правки: 2023-12-27 14:02:28