Como usar o serviço Livepatch da Canonical no Ubuntu

Gostaria de ter patches críticos do kernel do Linux aplicados automaticamente ao seu sistema Ubuntu – sem ter que reiniciar o computador? Descrevemos como usar o serviço Livepatch da Canonical para fazer exatamente isso.

O que é Livepatch e como funciona?

Como Dustin Kirkland da Canonical explicado vários anos atrás, o Canonical Livepatch usa o Patch ao vivo do kernel tecnologia integrada no kernel Linux padrão. Canônico Site Livepatch observa que grandes corporações como AT&T, Cisco e Walmart o usam.

É gratuito para uso pessoal em até três computadores – de acordo com Kirkland, eles podem ser “desktops, servidores, máquinas virtuais ou instâncias de nuvem”. As organizações podem usá-lo em mais sistemas com uma Ubuntu Advantage inscrição.

Patches de kernel são necessários, mas inconvenientes

Os patches do kernel do Linux são um fato da vida. Manter seu sistema seguro e atualizado é vital no mundo interconectado em que vivemos. Mas ter que reiniciar o computador para aplicar os patches do kernel pode ser uma dor. Especialmente se o computador estiver fornecendo algum tipo de serviço aos usuários e você precisar coordenar ou negociar com eles para colocar o serviço off-line. E há um multiplicador. Se você mantém várias máquinas Ubuntu, em algum momento você tem que morder a bala e fazer cada uma por vez.

O serviço Canonical Livepatch remove todo o aborrecimento de manter seus sistemas Ubuntu atualizados com patches de kernel críticos. É fácil de configurar – graficamente ou na linha de comando – e tira mais uma tarefa de seus ombros.

Qualquer coisa que reduza os esforços de manutenção, aumente a segurança e reduza o tempo de inatividade deve ser uma proposta atraente, certo? Sim, mas existem algumas ressalvas.

Você deve estar usando um Suporte de longo termo (LTS) versão do Ubuntu, como 16.04 ou 18.04. A versão mais recente do LTS é 18.04, então essa é a versão que vamos usar aqui.
Deve ser uma versão de 64 bits.
Você deve estar executando o Linux Kernel 4.4 ou superior
Você precisa ter uma conta Ubuntu One. Lembre-se deles? Se você não tem uma conta Ubuntu One, você pode se inscrever para uma conta gratuita.
Você pode usar o serviço Canonical Livepatch gratuitamente, mas está limitado a três computadores por conta do Ubuntu One. Se você tiver que manter mais de três computadores, precisará de contas adicionais do Ubuntu One.
Se você tiver servidores físicos, virtuais ou hospedados em nuvem para cuidar, você precisará se tornar um Ubuntu Advantage cliente.

  Como fazer backup e restaurar seu iPhone ou iPad sem iTunes

Obter uma conta Ubuntu One

Se você vai configurar o Livepatch Service por meio do Interface gráfica do usuário (GUI) ou através da interface de linha de comando (CLI), você deve ter uma conta Ubuntu One. Isso é necessário porque a operação do Serviço Livepatch depende de uma chave privada que é emitida para você e vinculada à sua conta Ubuntu One.

Se você configurar o Livepatch Service usando a GUI, não verá sua chave. Ainda é necessário e usado, mas tudo é tratado em segundo plano para você.
Se você configurar seu Livepatch Service por meio do terminal, precisará copiar e colar sua chave do navegador na linha de comando.

Se você não tem uma conta Ubuntu One, você pode criar um sem nenhum custo.

Habilitando o serviço Canonical Livepatch graficamente

Para iniciar a interface gráfica de configuração, pressione a tecla “Super”. Ele está localizado entre as teclas “Control” e “Alt” no canto inferior esquerdo da maioria dos teclados. Pesquise “livepatch”.

Ao ver o ícone Livepatch, clique no ícone ou pressione “Enter”.

A janela de diálogo “Software e atualizações” aparecerá com a guia Livepatch selecionada. Clique no botão “Entrar”. Você será lembrado de que precisa de uma conta Ubuntu One.

Clique no botão “Sign in / Register”.

A janela de diálogo Conta de logon único do Ubuntu é exibida. A Canonical usa os termos “Ubuntu One” e “Single Sign-On” alternadamente. Eles significam a mesma coisa. Oficialmente, o “Single Sign-On” foi substituído por “Ubuntu One”, mas o nome antigo permanece.

Insira os detalhes da sua conta e clique no botão “Conectar”. Você também pode usar esta janela de diálogo para registrar uma conta, se ainda não tiver criado uma.

Sua senha será solicitada.

Digite sua senha e clique no botão “Autenticar”. Uma janela de diálogo mostra o endereço de e-mail associado à conta do Ubuntu One que você vai usar.

Certifique-se de que está correto e clique no botão “Continuar”.

Sua senha será solicitada mais uma vez. Após alguns segundos, a guia Livepatch na janela de diálogo “Software e atualizações” será atualizada para mostrar que o Livepatch está ativo e ativo.

  Como emparelhar dois alto-falantes Amazon Echo Alexa para som estéreo

Um novo ícone de escudo aparecerá na área de notificação da ferramenta, perto dos ícones de rede, som e energia. O círculo verde com a marca indica que tudo está bem. Clique no ícone para acessar o menu.

Somos informados de que o Livepatch está ativado e não há atualizações atuais.

A opção “Configurações do Livepatch” abrirá a janela de diálogo “Software e atualizações” na guia Livepatch.

É isso; você está pronto.

Habilitando o serviço Canonical Livepatch usando a CLI

Você vai precisar de um Conta Ubuntu One. Se você não tiver um, terá a oportunidade de criar um. Eles são gratuitos e leva apenas um momento.

Algumas das etapas que precisamos realizar são baseadas na web, portanto, este não é um método verdadeiramente exclusivo da CLI. Começamos visitando o Página da web do Canonical Livepatch Service para obter nossa chave secreta ou “token”.

Selecione o botão de rádio “Ubuntu User” e clique no botão “Get Your Livepatch Token”.

Você será solicitado a fazer login em sua conta do Ubuntu One.

Se você tiver uma conta, digite o endereço de e-mail que usou para configurar a conta e selecione o botão de opção “Eu tenho uma conta no Ubuntu One e minha senha é:”.
Se você não tem uma conta, digite seu endereço de e-mail e selecione o botão de rádio “Não tenho uma conta Ubuntu One”. Você será guiado pelo processo de criação da conta.

Depois que sua conta do Ubuntu One for verificada, você verá a página da web de patching do kernel ao vivo gerenciado. Sua chave será exibida.

Mantenha a página da web com sua chave aberta e abra uma janela de terminal. Use este comando na janela do terminal para instalar o daemon do serviço Livepatch:

sudo snap install canonical-livepatch

Quando a instalação for concluída, você precisará habilitar o serviço. Você precisará da chave da página da web “Patching de kernel ativo gerenciado”.

Você precisa copiar e colar a chave na linha de comando. Realce a chave na página da web, clique com o botão direito nela e selecione “Copiar” no menu de contexto. Ou você pode destacar a chave e pressionar “Ctrl + C”.

Digite o seguinte comando na janela do terminal, mas não pressione “Enter”.

sudo canonical-livepatch enable

Em seguida, digite um espaço, clique com o botão direito e selecione “Colar” no menu de contexto. Ou você pode pressionar “Ctrl + Shift + V.” Você deve ver o comando que acabou de digitar, um espaço e a chave da página da web.

  Como compartilhar seu documento do Microsoft Word usando o OneDrive

Na máquina de teste usada para pesquisar este artigo, parecia assim:

Pressione Enter.”

Se tudo correr bem, você verá uma mensagem de verificação do Livepatch informando que o computador foi habilitado para patch de kernel. Ele também mostrará outra chave longa; este é o “token de máquina”.

O que acabou de acontecer é:

Você obteve sua chave Livepatch da Canonical.
Você pode usá-lo em três computadores. Você o usou em um computador até agora.
O token de máquina que foi gerado para este computador – usando sua chave – é o token de máquina exibido nesta mensagem.

Se você verificar a guia Livepatch na janela de diálogo “Software e atualizações”, verá que o Livepatch está habilitado e ativo.

Verificando o Status do Livepatch

Você pode fazer o Livepatch fornecer um relatório de status usando o seguinte comando:

sudo canonical-livepatch status

O relatório de status contém:

versão do cliente: a versão do software do Livepatch.
arquitetura: A arquitetura da CPU do computador.
modelo de cpu: O tipo e modelo do Unidade central de processamento (CPU) no computador.
última verificação: A hora e a data em que o Livepatch verificou pela última vez se havia alguma atualização crítica do kernel disponível para download.
boot-time: a hora em que este computador foi ligado pela última vez.
tempo de atividade: a duração em que o computador está ligado.

O bloco de status nos diz:

kernel: a versão do kernel atual.
em execução: se o Livepatch está em execução ou não.
checkstate: se o Livepatch verificou os patches do kernel.
patchState: se há algum patch crítico de kernel que precisa ser instalado.
versão: a versão dos patches do kernel, se houver, que precisam ser aplicados.
Correções: As correções contidas nos patches do kernel.

Forçando Livepatch a atualizar agora

O objetivo do Livepatch é fornecer um serviço de atualização gerenciado, o que significa que você não precisa se preocupar com isso. É tudo feito para você. Mas se quiser, você pode forçar o Livepatch a verificar os patches do kernel (e aplicar os que encontrar) com o seguinte comando:

sudo canonical-livepatch refresh

Livepatch informa a versão do kernel antes e depois da atualização. Não havia nada a ser aplicado neste exemplo.

Menos atrito, mais segurança

O atrito de segurança é a dor ou inconveniência associada à implementação, uso ou manutenção de um recurso de segurança. Se o atrito for muito alto, a segurança é prejudicada porque o recurso não é usado ou mantido. O Livepatch elimina todo o atrito da aplicação de atualizações críticas do kernel, mantendo seu kernel o mais seguro possível.

Isso é sinônimo de “ganhe, ganhe”.