Vous souhaitez appliquer automatiquement les correctifs critiques du noyau Linux à votre système Ubuntu, sans avoir à redémarrer votre ordinateur? Nous décrivons comment utiliser le service Livepatch de Canonical pour y parvenir.
Table des matières
Qu’est-ce que Livepatch et comment ça marche?
Comme Dustin Kirkland de Canonical expliqué il y a plusieurs années, Canonical Livepatch utilise le Patch en direct du noyau technologie intégrée au noyau Linux standard. Canonique Site Web Livepatch note que de grandes entreprises comme AT&T, Cisco et Walmart l’utilisent.
Il est gratuit pour un usage personnel sur jusqu’à trois ordinateurs. Selon Kirkland, il peut s’agir de «postes de travail, serveurs, machines virtuelles ou instances cloud». Les organisations peuvent l’utiliser sur plus de systèmes avec un Avantage Ubuntu abonnement.
Les correctifs du noyau sont nécessaires mais peu pratiques
Les correctifs du noyau Linux sont une réalité. Garder votre système sécurisé et mis à jour est vital dans le monde interconnecté dans lequel nous vivons. Mais avoir à redémarrer votre ordinateur pour appliquer les correctifs du noyau peut être pénible. Surtout si l’ordinateur fournit une sorte de service aux utilisateurs et que vous devez vous coordonner ou négocier avec eux pour mettre le service hors ligne. Et il y a un multiplicateur. Si vous maintenez plusieurs machines Ubuntu, à un moment donné, vous devez mordre la balle et faire chacune à son tour.
Le service Canonical Livepatch supprime toute l’aggravation de la mise à jour de vos systèmes Ubuntu avec des correctifs critiques du noyau. Il est facile à configurer – que ce soit graphiquement ou à partir de la ligne de commande – et cela vous évite une tâche de plus.
Tout ce qui réduit les efforts de maintenance, renforce la sécurité et réduit les temps d’arrêt doit être une proposition intéressante, n’est-ce pas? Oui, mais il y a quelques mises en garde.
Vous devez utiliser un Soutien à long terme (LTS) version d’Ubuntu telle que 16.04 ou 18.04. La version LTS la plus récente est la 18.04, c’est donc la version que nous allons utiliser ici.
Ce doit être une version 64 bits.
Vous devez exécuter Linux Kernel 4.4 ou supérieur
Vous devez avoir un compte Ubuntu One. Souvenir? Si vous n’avez pas de compte Ubuntu One, vous pouvez vous inscrire pour un compte gratuit.
Vous pouvez utiliser le service Canonical Livepatch sans frais, mais vous êtes limité à trois ordinateurs par compte Ubuntu One. Si vous devez gérer plus de trois ordinateurs, vous aurez besoin de comptes Ubuntu One supplémentaires.
Si vous devez gérer des serveurs physiques, virtuels ou hébergés dans le cloud, vous devrez devenir un Avantage Ubuntu client.
Obtenir un compte Ubuntu One
Si vous allez configurer le service Livepatch via le interface utilisateur graphique (GUI) ou via l’interface de ligne de commande (CLI), vous devez avoir un compte Ubuntu One. Cela est nécessaire car le fonctionnement du service Livepatch dépend d’une clé privée qui vous est émise et liée à votre compte Ubuntu One.
Si vous configurez le service Livepatch à l’aide de l’interface graphique, vous ne verrez pas votre clé. Il est toujours nécessaire et utilisé, mais tout est géré en arrière-plan pour vous.
Si vous configurez votre service Livepatch via le terminal, vous devrez copier et coller votre clé de votre navigateur vers la ligne de commande.
Si vous n’avez pas de compte Ubuntu One, vous pouvez en créer un sans frais.
Activation graphique du service Canonical Livepatch
Pour lancer l’interface de configuration graphique, appuyez sur la touche «Super». Il est situé entre les touches «Control» et «Alt» en bas à gauche de la plupart des claviers. Recherchez « livepatch ».
Lorsque vous voyez l’icône Livepatch, cliquez sur l’icône ou appuyez sur «Entrée».
La fenêtre de dialogue «Logiciel et mises à jour» apparaîtra avec l’onglet Livepatch sélectionné. Cliquez sur le bouton «Connexion». Il vous est rappelé que vous avez besoin d’un compte Ubuntu One.
Cliquez sur le bouton «Connexion / Inscription».
La boîte de dialogue Compte Ubuntu Single Sign-On s’affiche. Canonical utilise les termes «Ubuntu One» et «Single Sign-On» de manière interchangeable. Ils veulent dire la même chose. Officiellement, «Single Sign-On» a été remplacé par «Ubuntu One», mais l’ancien nom persiste.
Entrez les détails de votre compte et cliquez sur le bouton «Connecter». Vous pouvez également utiliser cette fenêtre de dialogue pour vous inscrire à un compte si vous n’en avez pas déjà créé un.
Vous serez invité à entrer votre mot de passe.
Entrez votre mot de passe et cliquez sur le bouton «Authentifier». Une fenêtre de dialogue vous montre l’adresse e-mail associée au compte Ubuntu One que vous allez utiliser.
Assurez-vous qu’il est correct et cliquez sur le bouton «Continuer».
On vous demandera à nouveau votre mot de passe. Après quelques secondes, l’onglet Livepatch de la fenêtre de dialogue «Logiciels et mises à jour» se mettra à jour pour indiquer que Livepatch est en direct et actif.
Une nouvelle icône de bouclier apparaîtra dans la zone de notification de l’outil, à proximité des icônes de réseau, de son et d’alimentation. Le cercle vert avec la coche vous dit que tout va bien. Cliquez sur l’icône pour accéder au menu.
On nous dit que Livepatch est activé et qu’il n’y a pas de mises à jour actuelles.
L’option «Paramètres Livepatch» ouvrira la fenêtre de dialogue «Logiciel et mises à jour» dans l’onglet Livepatch.
C’est ça; vous avez terminé.
Activation du service Canonical Livepatch à l’aide de la CLI
Vous allez avoir besoin d’un Compte Ubuntu One. Si vous n’en avez pas, vous aurez la possibilité d’en créer un. Ils sont gratuits et cela ne prend qu’un instant.
Certaines des étapes que nous devons effectuer sont basées sur le Web, il ne s’agit donc pas d’une méthode véritablement CLI. Nous commençons par visiter le Page Web du service Canonical Livepatch afin d’obtenir notre clé secrète ou « jeton ».
Sélectionnez le bouton radio «Ubuntu User» et cliquez sur le bouton «Get Your Livepatch Token».
Vous êtes invité à vous connecter à votre compte Ubuntu One.
Si vous avez un compte, entrez l’adresse e-mail que vous avez utilisée pour configurer le compte et sélectionnez le bouton radio «J’ai un compte Ubuntu One et mon mot de passe est:».
Si vous n’avez pas de compte, entrez votre adresse e-mail et sélectionnez le bouton radio «Je n’ai pas de compte Ubuntu One». Vous serez guidé tout au long du processus de création de compte.
Une fois que votre compte Ubuntu One a été vérifié, vous verrez la page Web Managed live kernel patching. Votre clé sera affichée.
Gardez la page Web avec votre clé dessus ouverte et ouvrez une fenêtre de terminal. Utilisez cette commande dans la fenêtre du terminal pour installer le démon de service Livepatch:
sudo snap install canonical-livepatch
Une fois l’installation terminée, vous devrez activer le service. Vous aurez besoin de la clé de la page Web «Managed live kernel patching».
Vous devez copier et coller la clé dans la ligne de commande. Mettez en surbrillance la clé sur la page Web, cliquez dessus avec le bouton droit de la souris et sélectionnez «Copier» dans le menu contextuel. Vous pouvez également mettre la touche en surbrillance et appuyer sur « Ctrl + C ».
Tapez la commande suivante dans la fenêtre du terminal, mais n’appuyez pas sur « Entrée ».
sudo canonical-livepatch enable
Tapez ensuite un espace, puis cliquez avec le bouton droit de la souris et sélectionnez «Coller» dans le menu contextuel. Ou vous pouvez appuyer sur « Ctrl + Maj + V ». Vous devriez voir la commande que vous venez de taper, un espace et la clé de la page Web.
Sur la machine de test utilisée pour rechercher cet article, cela ressemblait à ceci:
Appuyez sur Entrée. »
Si tout se passe bien, vous verrez un message de vérification de Livepatch vous indiquant que l’ordinateur a été activé pour le correctif du noyau. Il montrera également une autre clé longue; c’est le «jeton machine».
Ce qui vient de se passer est:
Vous avez obtenu votre clé Livepatch de Canonical.
Vous pouvez l’utiliser sur trois ordinateurs. Vous l’avez utilisé sur un ordinateur jusqu’à présent.
Le jeton de machine qui a été généré pour cet ordinateur – à l’aide de votre clé – est le jeton de machine affiché dans ce message.
Si vous cochez l’onglet Livepatch dans la fenêtre de dialogue «Logiciels et mises à jour», vous verrez que Livepatch est activé et actif.
Vérification de l’état du Livepatch
Vous pouvez demander à Livepatch de vous fournir un rapport d’état à l’aide de la commande suivante:
sudo canonical-livepatch status
Le rapport d’état contient:
client-version: la version logicielle de Livepatch.
architecture: L’architecture CPU de l’ordinateur.
cpu-model: le type et le modèle du Unité centrale de traitement (CPU) dans l’ordinateur.
dernière vérification: l’heure et la date auxquelles Livepatch a vérifié pour la dernière fois s’il y avait des mises à jour critiques du noyau disponibles au téléchargement.
boot-time: heure de la dernière mise sous tension de cet ordinateur.
uptime: durée pendant laquelle cet ordinateur a été mis sous tension.
Le bloc d’état nous dit:
kernel: La version du noyau actuel.
en cours d’exécution: si Livepatch est en cours d’exécution ou non.
checkstate: si Livepatch a vérifié les correctifs du noyau.
patchState: indique s’il existe des correctifs critiques du noyau devant être installés.
version: la version des correctifs du noyau, le cas échéant, à appliquer.
correctifs: les correctifs contenus dans les correctifs du noyau.
Forcer Livepatch à se mettre à jour maintenant
L’intérêt de Livepatch est de fournir un service de mise à jour géré, ce qui signifie que vous n’avez pas besoin d’y penser. Tout est fait pour vous. Mais si vous le souhaitez, vous pouvez forcer Livepatch à rechercher les correctifs du noyau (et à appliquer ceux qu’il trouve) avec la commande suivante:
sudo canonical-livepatch refresh
Livepatch vous indique la version du noyau avant et après l’actualisation. Il n’y avait rien à appliquer dans cet exemple.
Moins de friction, plus de sécurité
La friction de sécurité est la douleur ou les inconvénients associés à la mise en œuvre, à l’utilisation ou à la maintenance d’une fonction de sécurité. Si le frottement est trop élevé, la sécurité en souffre car la fonctionnalité n’est pas utilisée ou maintenue. Livepatch élimine toutes les frictions liées à l’application des mises à jour critiques du noyau, gardant votre noyau aussi sécurisé que possible.
C’est long pour «gagner, gagner».