Kako podesiti automatski update Linux kernela
Sigurnosno ažuriranje Linux kernela je u principu jednostavan proces i može se uraditi korišćenjem alata kao što su apt, yum ili kexec. To je jednostavno kada radite sa nekoliko servera, ali kada vam je posao administriranje velikog broja servera, onda to može biti izazovan i vremenski zahtevan posao.
Ručno sigurnosno ažuriranje kernela zahteva da uradite reboot sistema. To rezultira nekim downtime-om, što pre svega može da predstavlja problem za korisnike, pa iz tog razloga reboot obično zakazujemo za neke sitne sate, kada je saobraćaj mnogo manji nego tokom dana. To ima i svoju lošu stranu, jer ti redovni ciklusi u kojima je zakazan reboot mogu da predstavljaju i potencijalnu opasnost od zlonamernih napada na sistem, jer potencijalni napadač zna kada je najbolje da napadne server.
Za organizacije koje imaju veći broj servera, ažuriranje u realnom vremenu (live-patching) je mnogo bolja opcija. U pitanju je automatizovan način sigurnosnog ažuriranja dok je server aktivan i radi, što se pokazalo kao mnogo bolji i sigurniji način od ručnog ažuriranja.
U ovom tekstu ćemo zato objasniti kako podesiti automatski update Linux kernela bez reboot-a, koristeći rešenja koja nam dolaze iz kompanija Canonical (proizvođač Ubuntu distribucije) i KernelCare.
Canonical Livepatch
Canonical Livepatch je servis koji primenjuje sigurnosne zakrpe na kernelu dok je on aktivan, bez potrebe da se Ubuntu sistem stavlja u reboot. Besplatan je za korišćenje na do 3 Ubuntu sistema. Da biste ga koristili na više od 3 sistema, morate prethodno da se pretplatite na Ubuntu Advantage program.
Pre instalacije servisa biće vam potreban livepatch token koji možete preuzeti sa Livepatch Service sajta. Čim dobijete token instalirajte i aktivirajte servis pokretanjem sledećih komandi:
$ sudo snap install canonical-livepatch
$ sudo canonical-livepatch enable <your-key>
Za proveru statusa servisa kucajte:
$ sudo canonical-livepatch status --verbose
Ukoliko kasnije želite da odjavite server sa servisa kucajte:
$ sudo canonical-livepatch disable <your-key>
Sve navedeno se odnosi i na Ubuntu 20.04 i na Ubuntu 18.04.
KernelCare
KernelCare je odlična opcija za hosting provajdere. Radi na Ubuntu, CentOS, Debian i drugim popularnim Linux distribucijama. Radi tako što na svaka 4 sata proverava da li postoje sigurnosne zakrpe i ukoliko postoje automatski ih instalira na sistemu. Prednost je što po potrebi lako može biti urađen i rollback, za slučaj da se desi nešto nepredviđeno nakon ažuriranja. KernelCare je besplatan za neprofitne organizacije.
Da biste instalirali KernelCare pokrenite instalacioni skript:
$ wget -qq -O - https://kernelcare.com/installer | bash
Ukoliko koristite licencu vezanu za IP adresu, to je sve što treba da uradite. Ukoliko kojim slučajem koristite licencu baziranu na ključu, za registraciju pokrenite sledeću komandu:
$ /usr/bin/kcarectl --register <your-key>
gde umesto <your-key> kucate keycode koji vam je dodeljen u trenutku prijavljivanja na trial verziju ili kupovine proizvoda. Keycode možete preuzeti sa ove stranice.
Evo i nekoliko korisnih KernelCare komandi:
Da biste proverili da li je vaša verzija kernela podržana od strane KernelCare-a kucajte:
$ curl -s -L https://kernelcare.com/checker | python
Da odjavite server kucajte:
$ sudo kcarectl --unregister
Da biste proverili status servisa kucajte:
$ sudo kcarectl --info
Softver će na svaka 4 sata automatski proveravati da li postoje novi patch-evi. Da biste update pokrenuli ručno, kucajte:
$ /usr/bin/kcarectl –update
Videli smo da je opcija sigurnosnog ažuriranja Linux kernela u live modu mnogo bolja i jednostavnija od standardnog ažuriranja koje zahteva reboot sistema. Prednost je pre svega u manjem vremenu koje administratori utroše na ažuriranje servera, pogotovo kada je u pitanju veliki broj servera, ali i u sigurnosti čitavog sistema.
U ovom tekstu smo vam objasnili kako podesiti automatski update Linux kernela. Da li već koristite neki softver za automatski update kernela? Kakva su vaša iskustva i šta biste preporučili drugim čitaocima?
Bez komentara