Как да настроите автоматични актуализации на ядрото без рестартиране в Linux сървъри - HowtoForge

Как да настроите автоматични актуализации на ядрото без рестартиране в Linux сървъри

Кръпването на ядрото на Linux сървър изглежда лесно. Това може да се направи с общи инструменти като dpkg, apt-get или kexec. Тези методи обаче се усложняват, когато една организация управлява стотици или хиляди сървъри. Много сървъри означават множество дистрибуции, които да се поправят, всяка от които изисква лично внимание на системен администратор или инженер.

ядрото

Тези ръчни методи за корекция също са рисковани, тъй като изискват рестартиране. Рестартирането е свързано с престой на сървъра, което винаги е проблематично, така че те обикновено се извършват в цикли за рестартиране. Тъй като по време на тези цикли се случва ръчно коригиране, това дава на хакерите „прозорец на времето“, в който да атакуват сървърната инфраструктура.

За организации, които изпълняват повече от няколко сървъра, поправянето на живо е по-добър вариант. Това е автоматизиран метод за корекция на ядрото на Linux, докато сървърът работи, което го прави едновременно по-ефективен и по-сигурен от ръчните методи. Нека да научим как да настроим четири от най-популярните системи за корекция на живо от Canonical, Oracle, Red Hat и CloudLinux.

Какво е кръпка на живо и как работи?

В крайна сметка има два метода за корекция на живо за ядра и библиотеки: временен и постоянен. Временният метод прилага кръпка без рестартиране, но всъщност изисква рестартиране на сървъра по-късно. Постоянното коригиране на живо не изисква рестартиране.

Временният метод

Временният метод (или корекция на "стека") се извършва със софтуер за управление на пакети (като приставката YUM). Пачовете се доставят в хранилищата и се прилагат в съответствие с работните потоци за актуализация, посочени от потребителя.

“Stack” корекцията е синоним на рестартиране на сървъра и престой, въпреки че може да не се нуждаете от рестартиране веднага след инсталирането на корекцията, но поради архитектурата на този тип актуализация на живо, корекциите за сигурност се натрупват с времето, увеличавайки производителността Стабилността може да намалее. Единственото решение на този проблем е да рестартирате сървъра, за да заредите ново ядро ​​в паметта.

Доставчиците, които предоставят временни кръпки са:

Постоянният метод

В случай на постоянен метод сървърът съхранява най-новите кръпки и тези кръпки се наричат ​​„монолитни“, тъй като съдържат предишни кръпки. За да актуализира сървъра, във фонов режим се изпълнява програма за агент, която проверява сървъра за корекции за корекции. Ако има кръпка за ядро ​​на сървъра за корекции, агентът извиква двигателя за корекции и прилага пластира.

Постоянното закърпване има и други важни предимства:

  • Сървърите, които използват постоянния метод, се придържат към хардуерни уязвимости, които обикновено изискват рестартиране за корекция, като Спектър, разтопяване и зомби натоварване;
  • Намалява времето и усилията, необходими за управление на сървъри, като напълно автоматизира процеса на корекция;
  • Той позволява на сървърите да продължат да работят, често в продължение на години .

Постоянният метод за корекция обикновено се предлага с такси на производителя, като повечето производители предлагат безплатни пробни периоди:

Настройване на автоматични актуализации на ядрото без рестартиране в Linux сървъри

По-долу ще ви покажем как да настроите актуализации на ядрото без рестартиране в Linux сървъри, използвайки услугите Livepatch, Kpatch, Ksplice и KernelCare.

Забележка: Преди да започнете да прилагате тези инструкции, уверете се, че системата ви е актуална и защитена.

1. Настройте каноничния livepatch

Услугата Canonical Livepatch може да бъде настроена по време или след инсталирането. Инсталира кръпки за защита на ядрото само когато стартирате командата apt-get upgrade (следователно полуавтоматично).

Ползи: Лесно. Полуавтоматично. Не се изисква рестартиране.

Минуси: Скъпо за 4 или повече хоста (но освободете до 3 хоста за всички и до 50 машини, ако сте член на общността на Ubuntu). Няма връщане на кръпка.

Такси на сървър: Месечно (не е налично), ежегодно ($ 225).

За да инсталирате Livepatch на Ubuntu 20.04 LTS сървър (работи и на версии 16.04 LTS, 14.04 LTS и 18.04 LTS), отворете терминал и изпълнете следните две команди:

За да отмените регистрацията на сървър, използвайте тази команда:

За да проверите състоянието на услугата, използвайте тази команда:

2. Настройте Oracle Ksplice

Ако не използвате екземпляр на Ksplice в Oracle Cloud, ще ви е необходим ключ за достъп за инсталацията. Можете да получите това, като влезете в Unbreakable Linux Network и следвате инструкциите, за да регистрирате вашата система за Ksplice.

За да инсталирате Ksplice, вашата система трябва да има достъп до интернет. Ако използвате прокси, задайте проксито в черупката си:

Проксито трябва да поддържа HTTPS връзки и прокси низът трябва да бъде в този формат:

  • Протоколът е протоколът за свързване към прокси (http или https)
  • Потребителско име и парола са информацията за удостоверяване, необходима за използване на вашия прокси (ако има такъв).
  • Хостът и портът са името на хоста/IP адресът и номерът на порта, използвани за свързване към проксито

Изпълнете следните инструкции като root и заменете YOUR_ACCESS_KEY с ключа за достъп, който сте получили в предишната стъпка.

Вътре в облака на Oracle

За да инсталирате Ksplice в Oracle Cloud, така че актуализациите на ядрото да се инсталират автоматично, изпълнете следните команди:

За да приложите наличните актуализации към Uptrack, приложението, което автоматично инсталира актуализации на ядрото, изпълнете тази команда:

Ако вече сте инсталирали Uptrack, можете да го включите, като направите autoinstall = ja в /etc/uptrack/uptrack.conf след инсталирането на Ksplice.

За да инсталирате Ksplice, така че актуализациите да се извършват ръчно, изпълнете следните команди:

Извън облака на Oracle

За да инсталирате Ksplice извън Oracle Cloud, така че актуализациите на ядрото да се инсталират автоматично, изпълнете следните команди:

За да инсталирате Ksplice, така че актуализациите да се прилагат ръчно, изпълнете следните команди:

Забележка: Ако инсталирате Ksplice на сървър на Debian или Ubuntu, може да се наложи ca сертификати Пакет с apt-get install ca сертификати . Без този пакет ще видите „Грешка при проверка на сертификата“.

4. Настройте Red Hat Kpatch

Инсталирането на Kpatch е лесно и ясно:

Изпълнете командата за актуализиране, за да актуализирате хранилищата на пакети и да получите най-новата информация за пакета:

Изпълнете командата за инсталиране с флага -y, за да инсталирате бързо пакетите и зависимостите:

5. Настройте CloudLinux KernelCare

За да видите дали работещото ядро ​​се поддържа от KernelCare, изпълнете една от следните команди:

За да инсталирате KernelCare, изпълнете една от тези две команди:

Ако използвате IP-базиран лиценз, не се изисква нищо друго. Ако използвате лиценз, базиран на ключ, изпълнете тази команда:

KEY е низът с код за регистрация, който сте получили, когато сте закупили KernelCare или когато сте се регистрирали за безплатна пробна версия. Можете да получите ключ тук .

За да отмените регистрацията на сървър, стартирайте го:

За да проверите състоянието на услугата, стартирайте я:

KernelCare автоматично проверява за нови кръпки на всеки 4 часа. За да актуализирате ръчно вместо автоматично, стартирайте ги:

заключение

Тези инструкции за инсталиране на множество решения за корекция на живо описват всички стъпки, необходими за инсталиране на такова решение във вашата среда. Когато приключите, ще се насладите на предимствата на технологията за корекция на живо: можете да актуализирате ядрото, без да спирате сървъра, без месеци или години рестартиране.