Canonical Livepatch in Produktion — Kernel-CVEs patchen, ohne neu zu starten

Canonical Livepatch ist eines der hebelstärksten Werkzeuge, die jedem zur Verfügung stehen, der eine Ubuntu-Flotte im großen Stil betreibt. Kernel-CVEs landen routinemäßig. Die orthodoxe Antwort ist „ein Reboot-Wartungsfenster einplanen". Livepatch lässt Sie den Patch an Ort und Stelle, in Sekunden, auf einem laufenden Kernel anwenden, ohne Reboot — was heißt, dass Sie gegen die heutige CVE gepatcht sein können, bevor der öffentliche Exploit weit verbreitet ist.

Was es nicht macht, ist alles abdecken. Manche Patches können nicht live angewendet werden. Die Pro-Subscription hat Kosten. Manche Teams müssen die Alternativen betrachten.

Livepatch aktivieren

sudo pro attach <token>
sudo pro enable livepatch
sudo canonical-livepatch status
 
# Pro-Host-Check, fürs Monitoring geeignet
sudo canonical-livepatch status --format json | jq '.machine'

Patches kommen automatisch an. Die Kernel-Patch-Tabelle wird im Speicher aktualisiert. Bestehende Prozesse laufen weiter. Sie verifizieren mit canonical-livepatch status oder durch Lesen von /proc/livepatches/.

Der vollständige Beitrag behandelt:

• Was Livepatch patchen kann (die meisten CVE-Klassen) und was nicht (Änderungen an Core-Datenstrukturen)
• Ubuntu-Pro-Ökonomie — der kostenlose Tier (5 Hosts), das bezahlte Tier pro Maschine
• Den Livepatch-Status über die Flotte hinweg monitoren
• Die 4-wöchige effektive Lebensdauer eines Livepatches — Sie müssen irgendwann trotzdem rebooten
• Alternativen: kpatch (RHEL/SUSE), Kernel-Rebuild + Reboot, Container-only-Patching
• Livepatch mit Kernel-Auto-Upgrades aus unattended-upgrades koordinieren

Wir deployen Livepatch auf jedem gemanagten Ubuntu-Host, der Ubuntu Pro fährt.