Si administra sus propios servidores, tarde o temprano se encontrará con este problema. Debe reiniciar el sistema operativo, pero la máquina que proporciona un servicio importante no se puede detener.
Pero, ¿por qué reiniciar el servidor? Todo parece funcionar bien después de la apt-get upgrade mando. Sin embargo, la verdad no siempre es la misma. Aunque el sistema continuará funcionando después de cada actualización y no es necesario reiniciar como Windows, es posible que deba hacerlo.
Por ejemplo, cuando se detecta una vulnerabilidad en el kernel, se solucionará y se enviará a su servidor como un paquete nuevo. Después de instalar el kernel corregido, algunos archivos se escriben en la unidad, pero sigue siendo el kernel antiguo, porque es el archivo que se carga en la memoria (RAM).
Esto significa que su servidor sigue siendo vulnerable a las vulnerabilidades de seguridad descubiertas anteriormente. Otros procesos, demonios y servicios pueden recargarse sin reiniciar el sistema operativo. Sin embargo, el kernel está en el centro del sistema y solo se puede volver a cargar en el próximo arranque.
Ubuntu Livepatch resuelve esto permitiéndole cerrar los agujeros de seguridad del kernel sin reiniciar. De esa manera, puede evitar o retrasar el reinicio durante semanas o meses sin comprometer la seguridad.
La idea central detrás de la función Live Patching es simple: cuando una función es vulnerable a la ‘grabación’, reescríbala, elimine la vulnerabilidad y cargue la nueva función en algún lugar de la memoria. Cuando se llama a la función, en lugar de ejecutar el código en el kernel, rediríjalo para usar el código reescrito.
Pero, como ocurre con la mayoría de las cosas, los detalles técnicos y de implementación no son tan simples.
Cómo configurar Livepatch en Ubuntu
Vaya a esta página y cree una cuenta de Ubuntu One (o simplemente inicie sesión si ya tiene una cuenta). Revise su correo electrónico y haga clic en el enlace de verificación de la cuenta más tarde. Luego, visite la página del servicio Canonical Livepatch. Seleccione la opción que indica que está ‘Usuario de Ubuntu’ y haga clic en el botón para crear un token. La siguiente página le mostrará los comandos exactos que debe ingresar en su servidor. Después del primer comando, escriba:
sudo snap install canonical-livepatch
Espere unos segundos hasta que el paquete instantáneo esté completamente instalado. Cuando termine, obtendrá un resultado similar al que se muestra en la imagen a continuación.
Finalmente, con el siguiente comando de la página Canonical sudo canonical-livepatch enable #PASTE_YOUR_TOKEN_HERE , el servicio funcionará y aplicará automáticamente parches de seguridad al kernel, siempre que sea necesario, sin la necesidad de una entrada externa. del usuario.
Instale el demonio snap si es necesario
En casos excepcionales, es posible que el primer comando de la sección anterior no funcione, con el siguiente mensaje de error: -bash: /usr/bin/snap: No such file or directory . En este caso, significa que su proveedor de servidor tiene una imagen del sistema operativo Ubuntu que no incluye el complemento del servicio demonio por defecto. Instálelo con el comando:
sudo apt update && sudo apt install snapd
Ahora ejecute los dos comandos de la sección anterior nuevamente.
Mantenga su servidor actualizado
Livepatch aplicará todas las actualizaciones de seguridad necesarias a su kernel. Sin embargo, aún debe actualizar el resto del sistema regularmente con un comando como:
sudo apt update && sudo apt upgrade
Debe hacer esto semanalmente o con más frecuencia si puede. Los paquetes importantes del sistema pueden advertirle que deben reiniciarse para aplicar las últimas correcciones de seguridad.
Estas operaciones de reinicio no interrumpen ningún servicio en el proceso. Por ejemplo, en este caso, el demonio SSH se reinició sin interrumpir la sesión SSH activa.
En otras situaciones, puede reiniciar el servicio usted mismo para asegurarse de que se vuelva a cargar el nuevo código corregido y se apliquen las correcciones de seguridad. Por ejemplo, si observa que el paquete nginx se ha actualizado, puede ejecutar: systemctl restart nginx.service para recargar el demonio nginx en la memoria.
Por otro lado, aunque un paquete está actualizado, aún se puede ejecutar con código antiguo y sujeto a problemas, lo que pone en riesgo su servidor. Algunas actualizaciones de paquetes hacen esto por usted, pero otras no. Por eso prestar atención a lo que ‘actualización de apt’ hace y reiniciar algunos servicios, si es necesario, es un buen hábito. También puede consultar el registro para ver si se hizo automáticamente.
Como puede ver, Canonical facilita evitar reiniciar el servidor. En cuanto a la parte del kernel, hay una parte que no requiere mantenimiento. Lo único que puede hacer es ejecutar el comando: canonical-livepatch status para comprobar todo.
Espero que tengas éxito.
ubuntu
Si administra sus propios servidores, tarde o temprano se encontrará con este problema. Debe reiniciar el sistema operativo, pero la máquina que proporciona un servicio importante no se puede detener.
Pero, ¿por qué reiniciar el servidor? Todo parece funcionar bien después de la apt-get upgrade mando. Sin embargo, la verdad no siempre es la misma. Aunque el sistema continuará funcionando después de cada actualización y no es necesario reiniciar como Windows, es posible que deba hacerlo.
Por ejemplo, cuando se detecta una vulnerabilidad en el kernel, se reparará y se enviará a su servidor como un paquete nuevo. Después de instalar el kernel corregido, algunos archivos se escriben en la unidad, pero sigue siendo el kernel antiguo, porque es el archivo que se carga en la memoria (RAM).
Esto significa que su servidor sigue siendo vulnerable a vulnerabilidades de seguridad descubiertas anteriormente. Otros procesos, demonios y servicios pueden recargarse sin reiniciar el sistema operativo. Sin embargo, el kernel está en el centro del sistema y no se puede recargar hasta el próximo arranque.
Ubuntu Livepatch soluciona esto permitiéndole cerrar los agujeros de seguridad del kernel sin reiniciar. De esa manera, puede evitar o retrasar el reinicio durante semanas o meses sin comprometer la seguridad.
La idea central detrás de la función Live Patching es simple: cuando una función es vulnerable a la ‘grabación’, reescríbala, elimine la vulnerabilidad y cargue la nueva función en algún lugar de la memoria. Cuando se llama a la función, en lugar de ejecutar el código en el kernel, rediríjalo para usar el código reescrito.
Pero, como ocurre con la mayoría de las cosas, los detalles técnicos y de implementación no son tan simples.
Cómo configurar Livepatch en Ubuntu
Vaya a esta página y cree una cuenta de Ubuntu One (o simplemente inicie sesión si ya tiene una cuenta). Revise su correo electrónico y haga clic en el enlace de verificación de cuenta más tarde. Luego, visite la página del servicio Canonical Livepatch. Seleccione la opción que indica que está ‘Usuario de Ubuntu’ y haga clic en el botón para crear un token. La siguiente página le mostrará los comandos exactos que debe ingresar en su servidor. Después del primer comando, escriba:
sudo snap install canonical-livepatch
Espere unos segundos hasta que el paquete de broches esté completamente instalado. Cuando termine, obtendrá un resultado similar al que se muestra en la imagen a continuación.
Finalmente, con el siguiente comando de la página Canonical sudo canonical-livepatch enable #PASTE_YOUR_TOKEN_HERE , el servicio funcionará y aplicará automáticamente parches de seguridad al kernel, siempre que sea necesario, sin la necesidad de una entrada externa. del usuario.
Instale el demonio snap si es necesario
En casos excepcionales, es posible que el primer comando de la sección anterior no tenga éxito, con el siguiente mensaje de error: -bash: /usr/bin/snap: No such file or directory . En este caso, significa que el proveedor del servidor tiene una imagen del sistema operativo Ubuntu que no incluye el complemento del servicio demonio por defecto. Instálelo con el comando:
sudo apt update && sudo apt install snapd
Ahora ejecute los dos comandos de la sección anterior nuevamente.
Mantenga su servidor actualizado
Livepatch aplicará todas las actualizaciones de seguridad necesarias a su kernel. Sin embargo, aún debe actualizar el resto del sistema regularmente con un comando como:
sudo apt update && sudo apt upgrade
Debe hacer esto semanalmente o con más frecuencia si puede. Los paquetes importantes del sistema pueden advertirle que deben reiniciarse para aplicar las últimas correcciones de seguridad.
Estas operaciones de reinicio no interrumpen ningún servicio en el proceso. Por ejemplo, en este caso, el demonio SSH se reinició sin interrumpir la sesión SSH activa.
En otras situaciones, puede reiniciar el servicio usted mismo para asegurarse de que se vuelva a cargar el nuevo código corregido y se apliquen las correcciones de seguridad. Por ejemplo, si observa que el paquete nginx se ha actualizado, puede ejecutar: systemctl restart nginx.service para recargar el demonio nginx en la memoria.
Por otro lado, aunque un paquete está actualizado, aún se puede ejecutar con código antiguo y sujeto a problemas, lo que pone en riesgo su servidor. Algunas actualizaciones de paquetes hacen esto por usted, pero otras no. Por eso prestar atención a lo que ‘actualización de apt’ hace y reiniciar algunos servicios, si es necesario, es un buen hábito. También puede consultar el registro para ver si se hizo automáticamente.
Como puede ver, Canonical facilita evitar reiniciar el servidor. En cuanto a la parte del kernel, hay una parte que no requiere mantenimiento. Lo único que puede hacer es ejecutar el comando: canonical-livepatch status para comprobar todo.
Espero que tengas éxito.