Cum se configurează actualizări automate, fără repornire a nucleului pe serverele Linux - HowtoForge

Cum se configurează actualizări automate, fără repornire a nucleului pe serverele Linux

Corectarea nucleului pe un server Linux pare ușor. Se poate face cu instrumente obișnuite precum dpkg, apt-get sau kexec. Cu toate acestea, aceste metode devin complicate atunci când o organizație are sute sau mii de servere. Multe servere înseamnă distribuții multiple de corecție, fiecare dintre acestea necesitând atenția personală a unui administrator de sistem sau a unui inginer.

automate

Aceste metode manuale de corecție sunt, de asemenea, riscante, deoarece necesită reporniri. Repornirile sunt asociate cu perioadele de nefuncționare ale serverului, ceea ce este întotdeauna problematic, deci sunt de obicei efectuate în cicluri de repornire. Deoarece patch-urile manuale au loc în timpul acestor cicluri, le oferă hackerilor o „fereastră de timp” în care să atace infrastructura serverului.

Pentru organizațiile care rulează mai mult de câteva servere, patch-urile live sunt o opțiune mai bună. Aceasta este o metodă automată de corecție a unui kernel Linux în timp ce serverul rulează, făcându-l atât mai eficient, cât și mai sigur decât metodele manuale. Să învățăm cum să configurăm patru dintre cele mai populare sisteme de patch-uri live de la Canonical, Oracle, Red Hat și CloudLinux.

Ce este patch-ul live și cum funcționează?

În cele din urmă, există două metode de patch-uri live pentru nuclee și biblioteci: temporare și persistente. Metoda temporară aplică un patch fără repornire, dar de fapt necesită repornirea serverului mai târziu. Patch-ul live persistent nu necesită o repornire.

Metoda temporară

Metoda temporară (sau corecția „stivei”) se realizează cu software-ul de gestionare a pachetelor (cum ar fi plug-in-ul YUM). Patch-urile sunt livrate către depozite și aplicate în conformitate cu fluxurile de lucru de actualizare specificate de utilizator.

Patch-ul „Stack” este sinonim cu repornirea serverului și cu timpul de nefuncționare, deși este posibil să nu aveți nevoie de o repornire imediat după instalarea patch-ului, dar datorită arhitecturii acestui tip de actualizare live, patch-urile de securitate se acumulează în timp, sporind performanța și Stabilitatea poate scădea. Singura soluție la această problemă este să reporniți serverul pentru a încărca un nucleu nou în memorie.

Furnizorii care furnizează patch-uri temporare sunt:

Metoda persistentă

În cazul unei metode persistente, un server stochează cele mai recente patch-uri, iar aceste patch-uri sunt numite „monolitice” deoarece conțin patch-uri anterioare. Pentru a actualiza serverul, în fundal rulează un program agent care verifică patch-urile de pe serverul de patch-uri. Dacă există un patch pentru un nucleu pe serverul de patch-uri, agentul apelează motorul de patch-uri și aplică patch-ul.

Patch-ul persistent are alte avantaje importante:

  • Serverele care utilizează metoda persistentă rămân, de asemenea, cu vulnerabilități hardware care necesită, de obicei, reporniri pentru a corela, precum Spectre, Meltdown și Zombie Load;
  • Reduce timpul și efortul necesar pentru gestionarea serverelor prin automatizarea completă a procesului de corecție;
  • Permite serverelor să rămână în funcțiune, deseori ani la rând .

Metoda permanentă de corecție vine de obicei cu taxe de producător, majoritatea producătorilor oferind perioade de încercare gratuite:

Configurarea actualizărilor automate de kernel fără repornire pe serverele Linux

În cele ce urmează vă vom arăta cum să configurați actualizări de nucleu fără repornire în servere Linux folosind serviciile Livepatch, Kpatch, Ksplice și KernelCare.

Notă: Înainte de a începe implementarea acestor instrucțiuni, asigurați-vă că sistemul dvs. este actualizat și securizat.

1. Configurați livepatch-ul canonic

Serviciul Canonical Livepatch poate fi configurat în timpul sau după instalare. Instalează patch-uri de securitate kernel doar atunci când executați comanda apt-get upgrade (deci semi-automată).

Beneficii: Uşor. Semiautomat. Nu este necesară repornirea.

Contra: Scump pentru 4 sau mai multe gazde (dar gratuit până la 3 gazde pentru toată lumea și până la 50 de mașini dacă sunteți membru al comunității Ubuntu). Nicio revocare a patch-ului.

Taxe, pe server: Lunar (nu este disponibil), Anual (225 USD).

Pentru a instala Livepatch pe un server Ubuntu 20.04 LTS (funcționează și pe versiunile 16.04 LTS, 14.04 LTS și 18.04 LTS), deschideți un terminal și executați aceste două comenzi:

Pentru a anula înregistrarea unui server, utilizați această comandă:

Pentru a verifica starea serviciului utilizați această comandă:

2. Configurați Oracle Ksplice

Dacă nu rulați o instanță de Ksplice în Oracle Cloud, veți avea nevoie de o cheie de acces pentru instalare. Puteți obține acest lucru conectându-vă la rețeaua Linux Unbreakable și urmând instrucțiunile pentru a vă înregistra sistemul pentru Ksplice.

Pentru a instala Ksplice, sistemul dvs. trebuie să aibă acces la internet. Dacă utilizați un proxy, setați proxy în shell:

Proxy-ul trebuie să accepte conexiuni HTTPS, iar șirul proxy trebuie să fie în acest format:

  • Protocolul este protocolul pentru conectarea la proxy (http sau https)
  • Numele de utilizator și parola sunt informațiile de autentificare necesare pentru a utiliza proxy-ul (dacă există).
  • Gazda și portul sunt numele gazdei/adresa IP și numărul portului utilizate pentru conectarea la proxy

Efectuați următoarele instrucțiuni ca root și înlocuiți YOUR_ACCESS_KEY cu cheia de acces pe care ați primit-o în pasul anterior.

În interiorul norului Oracle

Pentru a instala Ksplice în Oracle Cloud, astfel încât actualizările kernelului să fie instalate automat, rulați aceste comenzi:

Pentru a aplica actualizările disponibile Uptrack, aplicația care instalează automat actualizările kernelului, rulați această comandă:

Dacă aveți deja Uptrack instalat, îl puteți activa făcând autoinstall = ja în /etc/uptrack/uptrack.conf după instalarea Ksplice.

Pentru a instala Ksplice astfel încât actualizările să fie efectuate manual, rulați aceste comenzi:

În afara norului Oracle

Pentru a instala Ksplice în afara Oracle Cloud, astfel încât actualizările kernelului să fie instalate automat, rulați aceste comenzi:

Pentru a instala Ksplice astfel încât actualizările să fie aplicate manual, rulați aceste comenzi:

Notă: Dacă instalați Ksplice pe un server Debian sau Ubuntu, este posibil să aveți nevoie de certificate ca. Pachet cu apt-get install ca certificate . Fără acest pachet, veți vedea o „Eroare de verificare a certificatului”.

4. Configurați Red Hat Kpatch

Instalarea Kpatch este simplă și simplă:

Rulați comanda de actualizare pentru a actualiza depozitele de pachete și pentru a obține cele mai recente informații despre pachete:

Rulați comanda de instalare cu steagul -y pentru a instala rapid pachetele și dependențele:

5. Configurați CloudLinux KernelCare

Pentru a vedea dacă nucleul care rulează este acceptat de KernelCare, rulați una dintre aceste comenzi:

Pentru a instala KernelCare, rulați una dintre aceste două comenzi:

Dacă utilizați o licență IP, nu este necesar nimic altceva. Dacă utilizați o licență bazată pe cheie, rulați această comandă:

KEY este șirul de cod de cheie de înregistrare pe care l-ați primit atunci când ați achiziționat KernelCare sau când v-ați înscris pentru o încercare gratuită. Puteți obține o cheie aici .

Pentru a anula înregistrarea unui server, rulați-l:

Pentru a verifica starea serviciului, executați-l:

KernelCare verifică automat dacă există patch-uri noi la fiecare 4 ore. Pentru a efectua actualizări manual în loc de automat, rulați-le:

concluzie

Aceste instrucțiuni de instalare pentru mai multe soluții de patch-uri live descriu toți pașii necesari pentru a instala o astfel de soluție în mediul dvs. După ce ați terminat, vă veți bucura de avantajele tehnologiei de patch-uri live: puteți actualiza nucleul fără a opri serverul, fără luni sau ani de repornire.