Linuxカーネルへのセキュリティ更新の適用は、aptなどのツールを使用して実行できる簡単なプロセスです。 、yum 、またはkexec 。ただし、パッチを適用するためにさまざまなLinuxディストリビューションを実行している数百または数千のサーバーを管理する場合、この方法は困難で時間がかかる可能性があります。
カーネルを手動で更新するには、システムを再起動する必要があります。これによりダウンタイムが発生し、問題が発生する可能性があるため、通常、再起動は特定の時間間隔で発生するようにスケジュールされます。手動によるパッチ適用はこれらのサイクル中に行われるため、ハッカーはサーバーインフラストラクチャを攻撃できる「時間枠」を提供します。
複数のサーバーを実行している組織の場合、ライブパッチ適用がより適切なオプションです。これは、サーバーの実行中にLinuxカーネルにパッチを適用する自動化された方法であり、手動による方法よりも効率的かつ安全です。
この記事では、CanonicalおよびCloudLinuxのライブパッチソリューションを使用して、再起動なしのカーネルの自動更新を設定する方法について説明します。
正規のLivepatch#
Canonical Livepatchは、Ubuntuシステムを再起動せずに実行中のカーネルにパッチを適用するサービスです。 Livepatchサービスは、最大3つのUbuntuシステムで無料で使用できます。このサービスを3台以上のコンピューターで使用するには、UbuntuAdvantageプログラムに登録する必要があります。
サービスをインストールする前に、Livepatchサービスサイトからlivepatchトークンを取得する必要があります。
トークンをインストールしたら、次の2つのコマンドを実行してサービスを有効にします。
sudo snap install canonical-livepatchsudo canonical-livepatch enable <your-key>
サービスのステータスを確認するには、次を実行します。
sudo canonical-livepatch status --verbose後でマシンの登録を解除する場合は、次のコマンドを使用します。
sudo canonical-livepatch disable <your-key>同じ手順がUbuntu20.04とUbuntu18.04にも当てはまります。
KernelCare#
KernelCareは、プロバイダーや企業をホストするための優れたオプションです。
KernelCareは、Ubuntu、CentOS、Debian、およびその他の一般的なLinuxフレーバーで実行されます。 4時間ごとにパッチのリリースをチェックし、自動的にインストールします。パッチはロールバックできます。 KernelCareは非営利団体は無料です。
KernelCareをインストールするには、インストールスクリプトを実行します。
wget -qq -O - https://kernelcare.com/installer | bashIPベースのライセンスを使用している場合は、他に何もする必要はありません。それ以外の場合、キーベースのライセンスを使用している場合は、次のコマンドを実行してサービスを登録します。
/usr/bin/kcarectl --register <your-key>
<your-key>の場所 は、試用版にサインアップするとき、または製品を購入するときに提供される登録キーコード文字列です。このページで入手できます。
以下は、いくつかの便利なKernelCareコマンドです。
-
実行中のkerneisがKernelCareでサポートされているかどうかを確認するには:
curl -s -L https://kernelcare.com/checker | python -
サーバーの登録を解除するには:
sudo kcarectl --unregister -
サービスのステータスを確認するには:
sudo kcarectl --info -
ソフトウェアは4時間ごとに新しいパッチを自動的にチェックします。手動で更新するには、次を実行します:
/usr/bin/kcarectl --update
結論#
Live Patchingテクノロジーを使用すると、再起動せずにLinuxカーネルにパッチを適用できます。
ご質問やご意見がございましたら、お気軽にコメントをお寄せください。