Ako nastaviť automatické aktualizácie systému bez reštartu na serveroch Linux - HowtoForge

Ako nastaviť automatické aktualizácie systému bez reštartu na serveroch Linux

Oprava jadra na serveri Linux sa zdá byť ľahká. Dá sa to urobiť bežnými nástrojmi ako dpkg, apt-get alebo kexec. Tieto metódy sa však komplikujú, keď má organizácia stovky alebo tisíce serverov. Mnoho serverov znamená viac distribúcií na opravu, pričom každá z nich si vyžaduje osobnú pozornosť správcu alebo inžiniera systému.

nastaviť

Tieto metódy manuálneho opravy sú tiež riskantné v tom, že vyžadujú reštartovanie. Reštarty sú spojené s výpadkami servera, čo je vždy problematické, takže sa zvyčajne vykonávajú v cykloch reštartu. Pretože počas týchto cyklov dochádza k manuálnemu záplatovaniu, poskytuje hackerom „okno času“, v ktorom môže zaútočiť na infraštruktúru servera.

Pre organizácie, ktoré prevádzkujú viac ako niekoľko serverov, je živá oprava lepšou voľbou. Jedná sa o automatizovanú metódu záplatovania jadra systému Linux, keď je server spustený, vďaka čomu je účinnejšia a bezpečnejšia ako manuálne metódy. Poďme sa naučiť, ako nastaviť štyri najobľúbenejšie živé opravné systémy od spoločností Canonical, Oracle, Red Hat a CloudLinux.

Čo je to live patch a ako to funguje?

Nakoniec existujú dve metódy živého opráv pre jadrá a knižnice: dočasné a trvalé. Dočasná metóda použije opravu bez reštartu, ale vyžaduje si reštart servera neskôr. Trvalé živé opravy nevyžadujú reštart.

Dočasná metóda

Dočasná metóda (alebo „hromadná“ oprava) sa vykonáva pomocou softvéru na správu balíkov (napríklad doplnku YUM). Opravy sa dodávajú do archívov a aplikujú sa podľa pracovných postupov aktualizácie určených používateľom.

Oprava „Stack“ je synonymom pre reštartovanie servera a prestoje, aj keď možno nebudete potrebovať reštart po inštalácii opravy, ale kvôli architektúre tohto typu aktívnej aktualizácie sa bezpečnostné opravy časom hromadia, zvyšujú výkon a Stabilita sa môže znížiť. Jediným riešením tohto problému je reštart servera a načítanie nového jadra do pamäte.

Poskytovatelia, ktorí poskytujú dočasné opravy, sú:

Trvalá metóda

V prípade perzistentnej metódy server ukladá najnovšie opravy a tieto opravy sa nazývajú „monolitické“, pretože obsahujú predchádzajúce opravy. Na aktualizáciu servera beží na pozadí program agenta, ktorý kontroluje prítomnosť opráv na serveri opráv. Ak je na serveri opráv oprava pre jadro, agent zavolá mechanizmus záplaty a opravu použije.

Trvalé opravy majú ďalšie dôležité výhody:

  • Servery, ktoré používajú perzistentnú metódu, sa tiež držia hardvérových zraniteľností, ktoré zvyčajne vyžadujú opravu, aby bolo možné ich opraviť, napríklad Spectre, Meltdown a Zombie Load;
  • Plnou automatizáciou procesu opravy skracuje čas a úsilie potrebné na správu serverov;
  • Umožňuje serverom zostať v prevádzke, často aj roky .

Metóda permanentného opravovania je zvyčajne spoplatnená výrobcom, väčšina výrobcov ponúka bezplatné skúšobné obdobia:

Nastavenie automatických aktualizácií jadra bez reštartu na serveroch Linux

V nasledujúcom ukážeme, ako nastaviť aktualizácie jadra bez reštartu na serveroch Linux pomocou služieb Livepatch, Kpatch, Ksplice a KernelCare.

Poznámka: Skôr ako začnete s implementáciou týchto pokynov, skontrolujte, či je váš systém aktuálny a zabezpečený.

1. Nastavte kanonickú živú opravu

Službu Canonical Livepatch Service je možné nastaviť počas alebo po inštalácii. Inštaluje bezpečnostné opravy jadra iba pri spustení príkazu apt-get upgrade (teda poloautomatický).

Výhody: Ľahké. Poloautomatické. Nie je potrebné reštartovať.

Zápory: Drahé pre 4 a viac hostiteľov (ale zdarma až 3 hostitelia pre všetkých a až 50 strojov, ak ste členom komunity Ubuntu). Žiadne vrátenie opravy.

Poplatky za server: Mesačne (nie je k dispozícii), ročne (225 USD).

Ak chcete nainštalovať Livepatch na server Ubuntu 20.04 LTS (funguje aj vo verziách 16.04 LTS, 14.04 LTS a 18.04 LTS), otvorte terminál a spustite tieto dva príkazy:

Ak chcete zrušiť registráciu servera, použite tento príkaz:

Ak chcete skontrolovať stav služby, použite tento príkaz:

2. Nastavte Oracle Ksplice

Ak v prostredí Oracle Cloud nespúšťate inštanciu Ksplice, budete na inštaláciu potrebovať prístupový kľúč. Môžete to získať po prihlásení do Unbreakable Linux Network a vykonaní pokynov na registráciu vášho systému pre Ksplice.

Ak chcete nainštalovať Ksplice, váš systém musí mať prístup na internet. Ak používate proxy, nastavte proxy vo vašom shelle:

Server proxy musí podporovať pripojenie HTTPS a reťazec servera proxy by mal byť v tomto formáte:

  • Protocol je protokol na pripojenie k proxy serveru (http alebo https)
  • Používateľské meno a heslo sú autentifikačné informácie požadované pre použitie vášho proxy servera (ak existuje).
  • Hostiteľ a port sú názov hostiteľa/adresa IP a číslo portu použité na pripojenie k serveru proxy

Spustite nasledujúce pokyny ako root a nahraďte YOUR_ACCESS_KEY prístupovým kľúčom, ktorý ste dostali v predchádzajúcom kroku.

Vo vnútri cloudu Oracle

Ak chcete nainštalovať Ksplice v rámci Oracle Cloud, aby sa aktualizácie jadra nainštalovali automaticky, spustite tieto príkazy:

Ak chcete použiť dostupné aktualizácie na aplikáciu Uptrack, ktorá automaticky inštaluje aktualizácie jadra, spustite tento príkaz:

Ak už máte Uptrack nainštalovaný, môžete ho zapnúť vykonaním autoinstall = ja v /etc/uptrack/uptrack.conf po nainštalovaní Ksplice.

Ak chcete nainštalovať Ksplice tak, aby sa aktualizácie robili manuálne, spustite tieto príkazy:

Mimo cloudu Oracle

Ak chcete nainštalovať Ksplice mimo Oracle Cloud, aby sa aktualizácie jadra nainštalovali automaticky, spustite tieto príkazy:

Ak chcete nainštalovať Ksplice tak, aby sa aktualizácie aplikovali manuálne, spustite tieto príkazy:

Poznámka: Ak inštalujete Ksplice na server Debian alebo Ubuntu, možno budete potrebovať certifikáty ca. Balenie s apt-get nainštalovať certifikáty ca. . Bez tohto balíka sa zobrazí chyba overenia certifikátu.

4. Nastavte Red Hat Kpatch

Inštalácia Kpatch je jednoduchá a jednoduchá:

Spustením príkazu update aktualizujete úložiská balíkov a získate najnovšie informácie o balíku:

Spustením príkazu install s príznakom -y rýchlo nainštalujete balíky a závislosti:

5. Nastavte CloudLinux KernelCare

Ak chcete zistiť, či KernelCare podporuje spustené jadro, spustite jeden z týchto príkazov:

Ak chcete nainštalovať KernelCare, spustite jeden z týchto dvoch príkazov:

Ak používate licenciu založenú na IP, nie je potrebné nič iné. Ak používate licenciu založenú na kľúčoch, spustite tento príkaz:

KEY je reťazec kódu registračného kľúča, ktorý ste dostali pri zakúpení produktu KernelCare alebo pri registrácii na bezplatnú skúšobnú verziu. Kľúč môžete získať tu .

Ak chcete zrušiť registráciu servera, spustite ho:

Ak chcete skontrolovať stav služby, spustite ju:

KernelCare automaticky kontroluje nové opravy každé 4 hodiny. Ak chcete vykonať aktualizácie manuálne, nie automaticky, spustite ich:

záver

Tieto inštalačné pokyny pre viac riešení live patchingu uvádzajú všetky kroky potrebné na inštaláciu takéhoto riešenia do vášho prostredia. Po dokončení budete využívať výhody živej technológie opráv: môžete upgradovať jadro bez zastavenia servera, bez mesiacov alebo rokov reštartov.