如何在不重启的情况下在 Ubuntu 上安装内核更新如何在不重启的情况下在 Ubuntu 上安装内核更新如何在不重启的情况下在 Ubuntu 上安装内核更新如何在不重启的情况下在 Ubuntu 上安装内核更新
  • 文章
  • 正则表达式
    • 工具
  • 登录
找到的结果: {phrase} (显示: {results_count} 共: {results_count_total})
显示: {results_count} 共: {results_count_total}

加载更多搜索结果...

搜索范围
模糊匹配
搜索标题
搜索内容
发表 admin at 2025年2月28日
类别
  • 未分类
标签

如何在不重启的情况下在 Ubuntu 上安装内核更新

如果您是负责维护企业环境中关键系统的系统管理员,我们相信您知道两件重要的事情:

1. 找到一个停机时间窗口来安装安全补丁以处理内核或操作系统漏洞可能很困难。

如果您工作的公司或企业没有适当的安全策略,运营管理最终可能会更倾向于正常运行时间而不是解决漏洞的需要。此外,内部官僚作风可能导致延迟批准停机时间。我自己去过那里。

2. 有时您真的无法承受停机时间,应该准备好以其他方式减轻任何潜在的恶意攻击风险。

好消息是 Canonical 最近发布了它的 Livepatch 服务以将关键内核补丁应用于 Ubuntu 22.04 LTS、20.04 LTS、Ubuntu 18.04 LTS 和 Ubuntu 16.04 LTS 无需稍后重启。

是的,您没看错:使用 Livepatch,您无需重新启动 Ubuntu 服务器即可使安全补丁生效。

为 Ubuntu 服务器注册 Livepatch

要使用 Canonical Livepatch Service,您需要在 Livepatch Service 上注册并表明您是普通 Ubuntu 用户 还是 Ubuntu 订户(付费选项)。

所有 Ubuntu 用户都可以通过使用令牌将最多 5 台不同的机器链接到 Livepatch:

在下一步中,系统将提示您输入您的 Ubuntu One 凭据或注册一个新帐户。

如果您选择后者,则需要确认您的电子邮件地址才能完成注册:

单击上面的链接确认您的电子邮件地址后,您就可以返回 Ubuntu Pro 仪表板并获取您的 Livepatch 令牌。

使用令牌启用 Ubuntu Livepatch

首先,复制分配给您的 Ubuntu One 帐户的唯一令牌:

在 Ubuntu 中安装 Snap

然后转到终端并键入以下命令以在 Ubuntu 上安装 Snap:

$ sudo apt install snapd

安装 Ubuntu Livepatch

安装完 snap 后,现在运行以下命令来安装 livepatch 服务。

$ sudo snap install canonical-livepatch

安装 Ubuntu Pro 客户端

现在您需要通过安装 ubuntu-advantage-tools 软件包将您的订阅附加到您的 Ubuntu 系统,该软件包用于访问 Pro Client,如下所示:

$ sudo apt install ubuntu-advantage-tools

为 Ubuntu 启用 Livepatch

安装最新版本的 Pro Client 后,您需要将 Ubuntu Pro 令牌附加到您的 Pro Client 以启用对服务。

您可以从 Ubuntu Pro 仪表板检索您的 Ubuntu Pro 令牌。

$ sudo pro attach C126iqAzeGdDZ1S4EwSZiBgicf9Z4Y

在 Ubuntu 上检查 Livepatch 状态

如果您想检查您的 livepatch 客户端的当前状态,请运行以下命令,该命令将定期(默认情况下每小时)检查新补丁。

$ canonical-livepatch status

这将产生类似于以下的输出:

last check: 3 minutes ago
kernel: 5.4.0-28.32-generic
server check-in: succeeded
kernel state: ✓ kernel is supported by Canonical.
patch state: ✓ all applicable livepatch modules inserted
patch version: 94.1
tier: updates (Free usage; This machine beta tests new patches.)
machine id: 829fe8ee62bd45318afd344da6970681

随着时间的推移,您将需要检查应用到内核的补丁的描述和状态。幸运的是,这很容易做到。

$ sudo canonical-livepatch status --verbose

如下图所示:

在客户端禁用 Livepatch

如果你想在客户端机器上禁用 livepatch,那么有两种推荐的方法可以做到这一点:

如果您可以直接访问系统,则可以通过运行以下命令来禁用 livepatch 服务:

$ sudo snap stop --disable canonical-livepatch

如果无法直接进入系统,可以通过以下两种方式关闭livepatch:

  • 通过设置内核命令行参数canonical_livepatch_mode。
  • 通过将模式写入 /var/local/canonical_livepatch_mode 文件。

在您的 Ubuntu 服务器上启用 Livepatch 后,您将能够将计划内和计划外的停机时间降至最低,同时确保您的系统安全。希望 Canonical 的举措能让管理层表扬你——或者更好的是,加薪。

如果您对本文有任何疑问,请随时告诉我们。只需使用下面的评论表给我们留言,我们会尽快回复您。

©2015-2025 艾丽卡 support@alaica.com