Deseja aplicar correções críticas ao kernel do Linux no seu sistema Ubuntu de forma automática, sem precisar reiniciar o computador? Apresentamos como usar o serviço Livepatch da Canonical para realizar exatamente isso.
O que é o Livepatch e como ele opera?
Conforme explicado por Dustin Kirkland da Canonical, o Livepatch utiliza a tecnologia de patch em tempo real do kernel, já integrada no kernel Linux padrão. O site do Livepatch da Canonical informa que grandes empresas como AT&T, Cisco e Walmart utilizam esse serviço.
O serviço é gratuito para uso pessoal em até três computadores, incluindo desktops, servidores, máquinas virtuais ou instâncias em nuvem. Para organizações que necessitam utilizar em mais sistemas, é preciso adquirir uma assinatura Ubuntu Advantage.
A importância das correções de kernel e seus inconvenientes
As correções (patches) do kernel Linux são indispensáveis. Manter o sistema seguro e atualizado é crucial no mundo interconectado de hoje. No entanto, a necessidade de reiniciar o computador para aplicar essas correções pode ser problemática. Especialmente em situações em que o computador fornece algum serviço aos usuários, exigindo coordenação e negociação para interromper o serviço. Além disso, se você administra vários computadores Ubuntu, precisará realizar essa tarefa em cada um deles, individualmente.
O serviço Canonical Livepatch simplifica a manutenção dos sistemas Ubuntu, aplicando correções críticas ao kernel. A configuração é simples, seja via interface gráfica ou linha de comando, reduzindo significativamente o trabalho de manutenção.
Qualquer ferramenta que minimize os esforços de manutenção, aprimore a segurança e reduza o tempo de inatividade é interessante. Mas há algumas ressalvas.
Você precisa estar usando uma versão de Suporte de Longo Prazo (LTS) do Ubuntu, como 16.04 ou 18.04. A versão LTS mais recente é a 18.04, e ela será usada como exemplo. Além disso, seu sistema deve ser de 64 bits e estar executando o Kernel Linux 4.4 ou superior. É também necessário possuir uma conta Ubuntu One. Se você ainda não tem uma conta, pode criar uma gratuitamente. O serviço Canonical Livepatch é gratuito para uso em até três computadores por conta Ubuntu One. Se você precisar administrar mais de três computadores, serão necessárias mais contas ou uma assinatura Ubuntu Advantage para servidores físicos, virtuais ou hospedados na nuvem.
Como obter uma conta Ubuntu One
Seja qual for o método de configuração do Livepatch, através da interface gráfica ou linha de comando, você precisará de uma conta Ubuntu One. Isso é indispensável porque a operação do serviço Livepatch depende de uma chave privada, emitida para você e vinculada à sua conta Ubuntu One.
Ao configurar o Livepatch via GUI, você não verá essa chave, mas ela estará funcionando em segundo plano. Já na configuração via terminal, será necessário copiar e colar a chave do navegador na linha de comando.
Caso não possua uma conta Ubuntu One, você pode criar uma gratuitamente.
Habilitando o serviço Canonical Livepatch via interface gráfica
Para iniciar a interface de configuração, pressione a tecla “Super” (localizada entre as teclas “Control” e “Alt” na maioria dos teclados). Em seguida, procure por “livepatch”.
Ao encontrar o ícone do Livepatch, clique nele ou pressione “Enter”.
A janela “Software e Atualizações” será aberta, com a aba Livepatch selecionada. Clique no botão “Entrar”. Será solicitado que você tenha uma conta Ubuntu One.
Clique em “Entrar / Registrar”.
A janela “Conta de Logon Único do Ubuntu” será exibida. A Canonical usa os termos “Ubuntu One” e “Single Sign-On” de forma intercambiável, com o mesmo significado. Oficialmente, “Single Sign-On” foi substituído por “Ubuntu One”, mas o nome antigo ainda aparece em alguns lugares.
Insira seus dados de conta e clique em “Conectar”. Você também pode usar esta janela para registrar uma conta, caso ainda não possua uma.
Sua senha será solicitada.
Digite a senha e clique em “Autenticar”. Uma janela exibirá o endereço de e-mail associado à conta Ubuntu One que você utilizará.
Verifique se o endereço está correto e clique em “Continuar”.
Sua senha será solicitada novamente. Após alguns segundos, a aba Livepatch na janela “Software e Atualizações” indicará que o Livepatch está ativo.
Um novo ícone de escudo aparecerá na área de notificação, próximo aos ícones de rede, som e energia. O círculo verde com marca indica que tudo está correto. Clique no ícone para acessar o menu.
Verifique se o Livepatch está ativado e sem atualizações pendentes.
A opção “Configurações do Livepatch” abrirá a janela “Software e Atualizações” na aba Livepatch.
Pronto, seu Livepatch está configurado!
Habilitando o serviço Canonical Livepatch via linha de comando (CLI)
Você também precisará de uma conta Ubuntu One. Se você não tiver uma, terá a oportunidade de criar uma. O processo é gratuito e rápido.
Algumas etapas serão realizadas na web, por isso, este não é um método exclusivamente CLI. Inicialmente, acesse a página do Canonical Livepatch Service para obter sua chave secreta ou “token”.
Selecione o botão “Ubuntu User” e clique em “Get Your Livepatch Token”.
Você será solicitado a fazer login na sua conta Ubuntu One.
Se você já tem uma conta, insira o endereço de e-mail e selecione a opção “Eu tenho uma conta Ubuntu One e minha senha é:”. Caso contrário, insira o seu endereço de e-mail e selecione “Eu não tenho uma conta Ubuntu One”. Você será guiado pelo processo de criação.
Após a verificação da sua conta, você verá a página de patching do kernel ao vivo. Sua chave será exibida.
Mantenha a página com sua chave aberta e abra um terminal. Use o seguinte comando para instalar o daemon do serviço Livepatch:
sudo snap install canonical-livepatch
Após a instalação, você precisará ativar o serviço. Será necessária a chave da página “Patching de kernel ativo gerenciado”.
Copie e cole a chave na linha de comando. Realce a chave na página da web, clique com o botão direito e selecione “Copiar”. Ou, realce a chave e pressione “Ctrl + C”.
Digite o seguinte comando no terminal, mas não pressione “Enter” ainda:
sudo canonical-livepatch enable
Em seguida, digite um espaço, clique com o botão direito e selecione “Colar”. Ou pressione “Ctrl + Shift + V”. Você deverá ver o comando, um espaço e a chave.
Na máquina de teste utilizada para criar este artigo, o comando se parece com:
Pressione “Enter”.
Se tudo ocorrer bem, você verá uma mensagem confirmando que o computador foi habilitado para patching do kernel. Uma outra chave longa, o “token de máquina”, também será exibida.
O que aconteceu foi:
Você obteve sua chave Livepatch da Canonical. Pode usá-la em até três computadores, e agora a está usando no primeiro deles. O token de máquina gerado usando sua chave, foi exibido na mensagem.
Verificando a aba Livepatch na janela “Software e Atualizações”, você verá que o Livepatch está habilitado e ativo.
Verificando o status do Livepatch
Para obter um relatório de status do Livepatch, use o seguinte comando:
sudo canonical-livepatch status
O relatório de status contém:
- versão do cliente: a versão do software do Livepatch.
- arquitetura: A arquitetura da CPU do computador.
- modelo de cpu: O tipo e modelo da Unidade Central de Processamento (CPU).
- última verificação: A hora e data em que o Livepatch verificou atualizações.
- boot-time: A hora em que o computador foi iniciado.
- tempo de atividade: Tempo que o computador está ligado.
O bloco de status também informa:
- kernel: A versão atual do kernel.
- em execução: Se o Livepatch está em execução.
- checkstate: Se o Livepatch verificou as correções do kernel.
- patchState: Se há alguma correção crítica do kernel a ser instalada.
- versão: A versão das correções do kernel, se houver.
- Correções: As correções incluídas.
Forçando o Livepatch a atualizar imediatamente
O objetivo do Livepatch é fornecer um serviço de atualização automática. No entanto, se você quiser, pode forçar o Livepatch a verificar as correções do kernel (e aplicar as que encontrar) com o seguinte comando:
sudo canonical-livepatch refresh
O Livepatch indica a versão do kernel antes e depois da atualização. Caso não haja nada a ser aplicado, como no exemplo, isso será informado.
Menos atrito, mais segurança
O atrito de segurança é a dificuldade associada à implementação, uso ou manutenção de um recurso de segurança. Se esse atrito for muito alto, a segurança é comprometida porque o recurso não é utilizado ou mantido adequadamente. O Livepatch elimina o atrito na aplicação de atualizações críticas do kernel, mantendo seu sistema o mais seguro possível.
É uma situação em que todos ganham.