Livepatch: aplique parches de seguridad críticos en el kernel de Linux de Ubuntu sin reiniciar


Si usted es un administrador de sistemas a cargo de mantener sistemas críticos en entornos empresariales, estamos seguros de que sabe dos cosas importantes:

1) Encontrar una ventana de tiempo de inactividad para instalar parches de seguridad para manejar las vulnerabilidades del sistema operativo o del kernel puede ser difícil. Si la empresa o la empresa para la que trabaja no tienen implementadas políticas de seguridad, la administración de operaciones puede terminar favoreciendo el tiempo de actividad sobre la necesidad de resolver vulnerabilidades. Además, la burocracia interna puede causar retrasos en la concesión de aprobaciones para un tiempo de inactividad. He estado allí yo mismo.

2) A veces, realmente no puede permitirse un tiempo de inactividad y debe estar preparado para mitigar cualquier posible exposición a ataques maliciosos.

La buena noticia es que Canonical ha lanzado recientemente (en realidad, hace un par de días) su servicio Livepatch para aplicar parches críticos del kernel a Ubuntu 16.04 (Edición de 64 bits/kernel 4.4.x ) sin la necesidad de un reinicio posterior. Sí, has leído bien: con Livepatch, no es necesario que reinicies tu servidor Ubuntu 16.04 para que los parches de seguridad surtan efecto.

Registrarse en Ubuntu Livepatch

Para utilizar Canonical Livepatch Service , debe registrarse en https://auth.livepatch.canonical.com/ e indicar si es un usuario habitual de Ubuntu o un suscriptor de Advantage (opción de pago) . Todos los usuarios de Ubuntu pueden vincular hasta 3 máquinas diferentes a Livepatch mediante el uso de un token:

En el siguiente paso, se le solicitará que ingrese sus credenciales de Ubuntu One o que se registre para obtener una nueva cuenta. Si elige este último, deberá confirmar su dirección de correo electrónico para finalizar su registro:

Una vez que haga clic en el enlace anterior para confirmar su dirección de correo electrónico, estará listo para volver a https://auth.livepatch.canonical.com/ y obtener su token de Livepatch.

Obteniendo y usando tu token de Livepatch

Para comenzar, copie el token único asignado a su cuenta de Ubuntu One:

Luego ve a una terminal y escribe:

$ sudo snap install canonical-livepatch

El comando anterior instalará el livepatch, mientras que

$ sudo canonical-livepatch enable [YOUR TOKEN HERE]

Lo habilitará para su sistema. Si este último comando indica que no puede encontrar livepatch canónico, asegúrese de que se haya agregado /snap/bin a su ruta. Una solución consiste en cambiar su directorio de trabajo a /snap/bin y hacerlo.

$ sudo ./canonical-livepatch enable [YOUR TOKEN HERE]

En horas extras, querrá comprobar la descripción y el estado de los parches aplicados a su kernel. Afortunadamente, esto es tan fácil como hacerlo.

$ sudo ./canonical-livepatch status --verbose

Como se puede ver en la siguiente imagen:

Habiendo habilitado Livepatch en su servidor de Ubuntu, podrá reducir los tiempos de inactividad planificados y no planificados a la vez que mantiene su sistema seguro. Con suerte, la iniciativa de Canonical le otorgará una palmada en la espalda por parte de la administración, o mejor aún, un aumento.

No dude en hacernos saber si tiene alguna pregunta sobre este artículo. Simplemente envíenos una nota utilizando el formulario de comentarios a continuación y nos pondremos en contacto con usted lo antes posible.