Canonical Livepatch en producción — parchear CVEs de kernel sin reiniciar
14 de mayo de 2026 · 1 min de lectura · por Sudhanshu K.
Canonical Livepatch es una de las herramientas de mayor apalancamiento disponibles para cualquiera que opere una flota de Ubuntu a escala. Las CVE de kernel aterrizan rutinariamente. La respuesta ortodoxa es «programar una ventana de mantenimiento con reboot». Livepatch te permite aplicar el parche en sitio, en segundos, sobre un kernel vivo, sin reboot — lo que significa que puedes estar parcheado contra la CVE de hoy antes de que el exploit público esté ampliamente desplegado.
Lo que no hace es cubrir todo. Algunos parches no pueden aplicarse en vivo. La suscripción Pro tiene un coste. Algunos equipos necesitan considerar las alternativas.
Activar Livepatch
sudo pro attach <token>
sudo pro enable livepatch
sudo canonical-livepatch status
# Check por host, apto para monitoring
sudo canonical-livepatch status --format json | jq '.machine'Los parches llegan automáticamente. La tabla de parches del kernel se actualiza en memoria. Los procesos existentes siguen corriendo. Verificas con canonical-livepatch status o leyendo /proc/livepatches/.
El artículo completo cubre:
- Lo que Livepatch puede parchear (la mayoría de clases de CVE) y lo que no puede (cambios en estructuras de datos core)
- Economía de Ubuntu Pro — el tier gratuito (5 hosts), el tier pagado por máquina
- Monitorear el estado de livepatch a través de la flota
- La vida efectiva de 4 semanas de un livepatch — al final hay que reiniciar igual
- Alternativas: kpatch (RHEL/SUSE), rebuild del kernel + reboot, parchear solo en contenedor
- Coordinar Livepatch con los auto-upgrades de kernel desde unattended-upgrades
Desplegamos Livepatch en cada host Ubuntu gestionado que corra Ubuntu Pro.
Artículo completo disponible
Leer el artículo completo