¿Le apetece tener parches críticos del kernel de Linux aplicados automáticamente a su sistema Ubuntu, sin tener que reiniciar su computadora? Describimos cómo utilizar el servicio Livepatch de Canonical para hacer precisamente eso.
Tabla de contenido
¿Qué es Livepatch y cómo funciona?
Como Dustin Kirkland de Canonical explicado hace varios años, Canonical Livepatch utiliza el Aplicación de parches en vivo del kernel tecnología integrada en el kernel estándar de Linux. Cánones rigurosos Sitio web de Livepatch señala que las corporaciones masivas como AT&T, Cisco y Walmart lo utilizan.
Es gratis para uso personal en hasta tres computadoras; según Kirkland, estas pueden ser «computadoras de escritorio, servidores, máquinas virtuales o instancias en la nube». Las organizaciones pueden usarlo en más sistemas con un pago Ventaja de Ubuntu suscripción.
Los parches de kernel son necesarios pero incómodos
Los parches del kernel de Linux son una realidad. Mantener su sistema seguro y actualizado es vital en el mundo interconectado en el que vivimos. Pero tener que reiniciar su computadora para aplicar los parches del kernel puede ser una molestia. Especialmente si la computadora está brindando algún tipo de servicio a los usuarios y usted tiene que coordinarse o negociar con ellos para desconectar el servicio. Y hay un multiplicador. Si mantiene varias máquinas Ubuntu, en algún momento tendrá que morder la bala y hacer cada una por turno.
Canonical Livepatch Service elimina toda la molestia de mantener sus sistemas Ubuntu actualizados con parches críticos del kernel. Es fácil de configurar, ya sea gráficamente o desde la línea de comandos, y le quita una tarea más de sus hombros.
Cualquier cosa que reduzca los esfuerzos de mantenimiento, aumente la seguridad y reduzca el tiempo de inactividad debe ser una propuesta atractiva, ¿verdad? Sí, pero hay algunas salvedades.
Debes estar usando un Soporte a largo plazo (LTS) de Ubuntu como 16.04 o 18.04. La versión LTS más reciente es la 18.04, así que esa es la versión que usaremos aquí.
Debe ser una versión de 64 bits.
Debe ejecutar Linux Kernel 4.4 o superior
Necesita tener una cuenta de Ubuntu One. Recuerdalos? Si no tiene una cuenta de Ubuntu One, puede registrarse para obtener una cuenta gratuita.
Puede usar Canonical Livepatch Service sin costo, pero está limitado a tres computadoras por cuenta de Ubuntu One. Si tiene que mantener más de tres computadoras, necesitará cuentas adicionales de Ubuntu One.
Si tiene que cuidar servidores físicos, virtuales o alojados en la nube, deberá convertirse en un Ventaja de Ubuntu cliente.
Obtener una cuenta de Ubuntu One
Si va a configurar el servicio Livepatch a través del interfaz gráfica del usuario (GUI) o mediante la interfaz de línea de comandos (CLI), debe tener una cuenta de Ubuntu One. Esto es necesario porque el funcionamiento del servicio Livepatch depende de una clave privada que se le emite y está vinculada a su cuenta de Ubuntu One.
Si configura el servicio Livepatch utilizando la GUI, no verá su clave. Todavía se requiere y se usa, pero todo se maneja en segundo plano para usted.
Si configura su Servicio Livepatch a través de la terminal, deberá copiar y pegar su clave desde su navegador a la línea de comandos.
Si no tiene una cuenta de Ubuntu One, puedes crear uno sin costo.
Habilitación gráfica del servicio Canonical Livepatch
Para iniciar la interfaz de configuración gráfica, presione la tecla «Super». Se encuentra entre las teclas «Control» y «Alt» en la parte inferior izquierda de la mayoría de los teclados. Busque «livepatch».
Cuando vea el icono de Livepatch, haga clic en el icono o presione «Entrar».
Aparecerá la ventana de diálogo «Software y actualizaciones» con la pestaña Livepatch seleccionada. Haga clic en el botón «Iniciar sesión». Se le recuerda que necesita una cuenta de Ubuntu One.
Haga clic en el botón «Iniciar sesión / Registrarse».
Aparece la ventana de diálogo Cuenta de inicio de sesión único de Ubuntu. Canonical usa los términos “Ubuntu One” y “Single Sign-On” de manera intercambiable. Quieren decir lo mismo. Oficialmente, «Single Sign-On» fue reemplazado por «Ubuntu One», pero el nombre antiguo permanece.
Ingrese los detalles de su cuenta y haga clic en el botón «Conectar». También puede usar esta ventana de diálogo para registrarse para una cuenta si aún no ha creado una.
Se le pedirá su contraseña.
Ingrese su contraseña y haga clic en el botón «Autenticar». Una ventana de diálogo le muestra la dirección de correo electrónico asociada con la cuenta de Ubuntu One que va a usar.
Asegúrese de que sea correcto y haga clic en el botón «Continuar».
Se le pedirá su contraseña una vez más. Después de unos segundos, la pestaña Livepatch en la ventana de diálogo «Software y actualizaciones» se actualizará para mostrar que Livepatch está vivo y activo.
Aparecerá un nuevo icono de escudo en el área de notificación de la herramienta, cerca de los iconos de red, sonido y energía. El círculo verde con la marca indica que todo está bien. Haga clic en el icono para acceder al menú.
Se nos dice que Livepatch está activado y no hay actualizaciones actuales.
La opción «Configuración de Livepatch» abrirá la ventana de diálogo «Software y actualizaciones» en la pestaña Livepatch.
Eso es; ya está todo hecho.
Habilitación del servicio Canonical Livepatch mediante la CLI
Vas a necesitar un Cuenta Ubuntu One. Si no tiene uno, tendrá la oportunidad de crear uno. Son gratis y solo toma un momento.
Algunos de los pasos que debemos realizar están basados en la web, por lo que este no es un método verdaderamente exclusivo de CLI. Empezamos visitando el Página web del servicio Canonical Livepatch para obtener nuestra clave secreta o «token».
Seleccione el botón de opción «Usuario de Ubuntu» y haga clic en el botón «Obtenga su token de Livepatch».
Se le pedirá que inicie sesión en su cuenta de Ubuntu One.
Si tiene una cuenta, ingrese la dirección de correo electrónico que utilizó para configurar la cuenta y seleccione el botón de opción «Tengo una cuenta de Ubuntu One y mi contraseña es:».
Si no tiene una cuenta, ingrese su dirección de correo electrónico y seleccione el botón de opción «No tengo una cuenta de Ubuntu One». Se le guiará a través del proceso de creación de la cuenta.
Una vez que se haya verificado su cuenta de Ubuntu One, verá la página web de parcheo del kernel en vivo administrado. Se mostrará su clave.
Mantenga abierta la página web con su clave y abra una ventana de terminal. Utilice este comando en la ventana del terminal para instalar el demonio del servicio Livepatch:
sudo snap install canonical-livepatch
Cuando finalice la instalación, deberá habilitar el servicio. Necesitará la clave de la página web «Aplicación de parches de kernel en vivo administrados».
Necesita copiar y pegar la clave en la línea de comando. Resalte la clave en la página web, haga clic con el botón derecho y seleccione «Copiar» en el menú contextual. O puede resaltar la tecla y presionar «Ctrl + C».
Escriba el siguiente comando en la ventana de la terminal, pero no presione «Enter».
sudo canonical-livepatch enable
Luego, escriba un espacio, haga clic con el botón derecho y seleccione «Pegar» en el menú contextual. O puede presionar «Ctrl + Shift + V». Debería ver el comando que acaba de escribir, un espacio y la clave de la página web.
En la máquina de prueba utilizada para investigar este artículo, se veía así:
Presiona «Enter».
Si todo va bien, verá un mensaje de verificación de Livepatch que le indicará que la computadora ha sido habilitada para el parcheo del kernel. También mostrará otra clave larga; este es el «token de máquina».
Lo que acaba de pasar es:
Ha obtenido su clave Livepatch de Canonical.
Puedes usarlo en tres computadoras. Lo ha usado en una computadora hasta ahora.
El token de máquina que se generó para esta computadora, utilizando su clave, es el token de máquina que se muestra en este mensaje.
Si marca la pestaña Livepatch en la ventana de diálogo «Software y actualizaciones», verá que Livepatch está habilitado y activo.
Comprobación del estado de Livepatch
Puede hacer que Livepatch le dé un informe de estado usando el siguiente comando:
sudo canonical-livepatch status
El informe de estado contiene:
versión de cliente: la versión de software de Livepatch.
arquitectura: La arquitectura de la CPU de la computadora.
cpu-model: el tipo y modelo del Unidad Central de procesamiento (CPU) en la computadora.
last-check: la hora y fecha en que Livepatch verificó por última vez para ver si había actualizaciones críticas del kernel disponibles para descargar.
boot-time: la hora en que esta computadora se encendió por última vez.
uptime: el tiempo que ha estado encendida esta computadora.
El bloque de estado nos dice:
kernel: la versión del kernel actual.
en ejecución: si Livepatch se está ejecutando o no.
checkstate: si Livepatch ha verificado si hay parches del kernel.
patchState: si hay algún parche crítico del kernel que deba instalarse.
version: La versión de los parches del kernel, si los hay, que deben aplicarse.
correcciones: las correcciones contenidas en los parches del kernel.
Obligando a Livepatch a actualizarse ahora
El objetivo de Livepatch es proporcionar un servicio de actualización administrado, lo que significa que no necesita pensar en ello. Todo está hecho para ti. Pero si lo desea, puede obligar a Livepatch a buscar parches del kernel (y aplicar los que encuentre) con el siguiente comando:
sudo canonical-livepatch refresh
Livepatch le dice la versión del kernel antes y después de la actualización. No había nada que aplicar en este ejemplo.
Menos fricción, más seguridad
La fricción de seguridad es el dolor o inconveniente asociado con la implementación, el uso o el mantenimiento de una función de seguridad. Si la fricción es demasiado alta, la seguridad se ve afectada porque la función no se usa ni se mantiene. Livepatch elimina toda la fricción de la aplicación de actualizaciones críticas del kernel, manteniendo su kernel lo más seguro posible.
Eso es a mano para «ganar, ganar».