Vous souhaitez que les mises à jour de sécurité critiques du noyau Linux soient appliquées automatiquement à votre système Ubuntu, sans nécessiter un redémarrage de votre machine ? Voici comment utiliser le service Livepatch de Canonical pour y parvenir.
Fonctionnement et principe de Livepatch
Comme l’a expliqué Dustin Kirkland de Canonical il y a quelques années, Canonical Livepatch s’appuie sur la technologie de correctifs en direct du noyau, directement intégrée au noyau Linux. Selon le site web de Livepatch, de nombreuses entreprises de renom, telles qu’AT&T, Cisco et Walmart, en font usage.
L’utilisation de Livepatch est gratuite pour un usage personnel, jusqu’à trois ordinateurs. Selon Kirkland, cela peut concerner « des stations de travail, des serveurs, des machines virtuelles ou des instances cloud ». Les organisations peuvent étendre son utilisation à plus de systèmes via un abonnement Ubuntu Advantage.
La nécessité des correctifs du noyau et leurs désagréments
Les correctifs pour le noyau Linux sont une réalité inévitable. Il est crucial de maintenir votre système sécurisé et à jour dans notre monde interconnecté. Cependant, le redémarrage requis pour appliquer ces correctifs peut être fastidieux. Ceci est particulièrement vrai si l’ordinateur fournit un service à des utilisateurs, où la coordination ou la négociation pour une interruption de service s’avère nécessaire. De plus, l’ampleur du problème augmente avec le nombre de machines Ubuntu à gérer. Il faut bien finir par s’occuper de chaque machine une par une.
Le service Canonical Livepatch élimine ces contraintes en mettant à jour vos systèmes Ubuntu avec les correctifs critiques du noyau sans interruption. Sa configuration est simple, que ce soit via une interface graphique ou en ligne de commande, ce qui réduit votre charge de travail.
Tout ce qui réduit les efforts de maintenance, renforce la sécurité et minimise les temps d’arrêt est une proposition intéressante, n’est-ce pas ? En effet, mais il y a quelques prérequis.
Vous devez utiliser une version d’Ubuntu à support à long terme (LTS), comme 16.04 ou 18.04. La version LTS la plus récente étant la 18.04, nous l’utiliserons comme exemple ici.
De plus, il doit s’agir d’une version 64 bits. Votre noyau Linux doit être version 4.4 ou supérieure.
Vous aurez également besoin d’un compte Ubuntu One. Vous vous souvenez? Si vous n’en avez pas, vous pouvez en créer un gratuitement.
Le service Canonical Livepatch est gratuit, mais limité à trois ordinateurs par compte Ubuntu One. Si vous devez gérer plus de machines, vous aurez besoin de comptes Ubuntu One supplémentaires.
Si vous devez gérer des serveurs physiques, virtuels ou hébergés dans le cloud, vous devrez devenir un client Ubuntu Advantage.
Création d’un compte Ubuntu One
Que vous choisissiez de configurer Livepatch via l’interface graphique ou l’interface en ligne de commande, un compte Ubuntu One est nécessaire. Ce compte est lié à une clé privée essentielle au fonctionnement du service Livepatch.
Si vous optez pour l’interface graphique, vous n’aurez pas accès à la clé, mais son utilisation sera gérée en arrière-plan. En revanche, si vous utilisez le terminal, vous devrez copier-coller cette clé depuis votre navigateur vers la ligne de commande.
Si vous n’avez pas encore de compte Ubuntu One, vous pouvez en créer un sans frais.
Activation graphique du service Canonical Livepatch
Pour ouvrir l’interface de configuration graphique, appuyez sur la touche « Super » (située entre les touches « Control » et « Alt », en bas à gauche de la plupart des claviers), puis recherchez « livepatch ».
Cliquez sur l’icône Livepatch lorsqu’elle apparaît.
La fenêtre « Logiciels et mises à jour » s’ouvrira, avec l’onglet Livepatch sélectionné. Cliquez sur le bouton « Connexion ». Il vous sera rappelé que vous avez besoin d’un compte Ubuntu One.
Cliquez sur le bouton « Connexion / Inscription ».
La fenêtre de connexion Ubuntu Single Sign-On apparaîtra. Canonical utilise indifféremment les termes « Ubuntu One » et « Single Sign-On », qui désignent la même chose. Officiellement, « Single Sign-On » a été remplacé par « Ubuntu One », mais l’ancien nom persiste.
Entrez vos informations de compte et cliquez sur « Connecter ». Si vous n’avez pas encore de compte, vous pouvez également vous inscrire depuis cette fenêtre.
Vous devrez ensuite saisir votre mot de passe.
Saisissez votre mot de passe et cliquez sur « Authentifier ». Une fenêtre affichera l’adresse e-mail associée au compte Ubuntu One que vous allez utiliser.
Vérifiez qu’elle est correcte, puis cliquez sur « Continuer ».
Votre mot de passe vous sera de nouveau demandé. Après quelques secondes, l’onglet Livepatch de la fenêtre « Logiciels et mises à jour » indiquera que Livepatch est actif.
Une nouvelle icône de bouclier apparaîtra dans la barre de notification, à côté des icônes de réseau, de son et d’alimentation. Le cercle vert avec la coche confirme que tout est en ordre. Cliquez sur l’icône pour accéder au menu.
Vous y verrez que Livepatch est activé et qu’il n’y a pas de mises à jour disponibles pour le moment.
L’option « Paramètres Livepatch » vous ramènera à l’onglet Livepatch de la fenêtre « Logiciels et mises à jour ».
Voilà, la configuration est terminée.
Activation du service Canonical Livepatch via la ligne de commande (CLI)
Vous aurez besoin d’un compte Ubuntu One. Si vous n’en avez pas, vous pouvez en créer un gratuitement. L’opération est rapide.
Certaines étapes nécessitent une connexion web, ce qui signifie que ce n’est pas une méthode entièrement CLI. Nous allons d’abord sur la page web du service Canonical Livepatch pour récupérer notre clé secrète, ou « jeton ».
Sélectionnez l’option « Ubuntu User » et cliquez sur le bouton « Get Your Livepatch Token ».
Vous serez invité à vous connecter à votre compte Ubuntu One.
Si vous avez déjà un compte, entrez l’adresse e-mail associée et sélectionnez l’option « J’ai un compte Ubuntu One et mon mot de passe est: ». Si vous n’avez pas de compte, entrez votre adresse e-mail et sélectionnez l’option « Je n’ai pas de compte Ubuntu One ». Vous serez guidé lors de la création du compte.
Une fois votre compte Ubuntu One validé, vous verrez la page « Managed live kernel patching » avec votre clé affichée.
Laissez cette page ouverte et ouvrez un terminal. Utilisez la commande suivante pour installer le service Livepatch :
sudo snap install canonical-livepatch
Une fois l’installation terminée, vous devrez activer le service. Vous aurez besoin de la clé affichée sur la page « Managed live kernel patching ».
Copiez cette clé et collez-la dans la ligne de commande. Mettez en surbrillance la clé, cliquez dessus avec le bouton droit et sélectionnez « Copier » dans le menu contextuel. Vous pouvez également utiliser le raccourci clavier « Ctrl + C ».
Dans le terminal, tapez la commande suivante, mais n’appuyez pas encore sur « Entrée » :
sudo canonical-livepatch enable
Ajoutez un espace, puis faites un clic droit et sélectionnez « Coller » (ou utilisez le raccourci « Ctrl + Shift + V »). Vous devriez voir la commande que vous venez de saisir, un espace et la clé de la page web.
Dans l’exemple utilisé pour cet article, la commande ressemblait à ceci :
Appuyez sur « Entrée ».
Si tout se déroule correctement, un message de vérification Livepatch indiquera que l’ordinateur est activé pour les correctifs du noyau. Vous y trouverez également une autre clé longue : le « jeton machine ».
Ce qui s’est passé :
- Vous avez récupéré votre clé Livepatch auprès de Canonical.
- Vous pouvez l’utiliser sur trois ordinateurs. Vous venez de l’utiliser sur un seul.
- Le jeton machine généré pour cet ordinateur – à l’aide de votre clé – est celui affiché dans le message.
En vérifiant l’onglet Livepatch de la fenêtre « Logiciels et mises à jour », vous constaterez que Livepatch est activé et opérationnel.
Vérification de l’état de Livepatch
Vous pouvez demander à Livepatch de fournir un rapport d’état à l’aide de la commande suivante :
sudo canonical-livepatch status
Ce rapport d’état contient les informations suivantes :
client-version: La version logicielle de Livepatch.
architecture: L’architecture du CPU de l’ordinateur.
cpu-model: Le type et le modèle du processeur (CPU) de l’ordinateur.
last-check: L’heure et la date auxquelles Livepatch a vérifié pour la dernière fois s’il y avait des mises à jour critiques du noyau disponibles.
boot-time: L’heure à laquelle l’ordinateur a été démarré pour la dernière fois.
uptime: Le temps pendant lequel cet ordinateur est en marche.
Le bloc d’état nous informe sur :
kernel: La version actuelle du noyau.
running: Si Livepatch est en cours d’exécution.
checkstate: Si Livepatch a vérifié les correctifs du noyau.
patchState: Si des correctifs critiques du noyau doivent être installés.
version: La version des correctifs du noyau à appliquer (le cas échéant).
patches: Les correctifs contenus dans les mises à jour du noyau.
Forcer Livepatch à se mettre à jour
L’intérêt de Livepatch réside dans sa capacité à fournir un service de mise à jour autonome, ne nécessitant pas d’intervention de votre part. Cependant, vous pouvez forcer Livepatch à rechercher des mises à jour du noyau (et à les appliquer si nécessaire) à l’aide de la commande suivante :
sudo canonical-livepatch refresh
Livepatch indiquera la version du noyau avant et après la recherche de mises à jour. Dans cet exemple, aucune mise à jour n’était disponible.
Moins de contraintes, plus de sécurité
La « friction de sécurité » désigne les désagréments ou les difficultés liées à la mise en œuvre, à l’utilisation ou à la maintenance d’une fonction de sécurité. Si cette friction est trop élevée, la sécurité en pâtit, car la fonctionnalité est négligée. Livepatch élimine toutes les contraintes liées à l’application des mises à jour critiques du noyau, assurant ainsi une sécurité optimale de votre système.
C’est une situation gagnant-gagnant.