Како да поставите автоматско ажурирање на јадрото без рестартирање во Linux серверите - HowtoForge

Како да поставите автоматско ажурирање на јадрото без рестартирање во серверите на Linux

Поправањето на јадрото на серверот Линукс изгледа лесно. Може да се направи со вообичаени алатки како dpkg, apt-get или kexec. Сепак, овие методи стануваат комплицирани кога една организација има стотици или илјадници сервери. Многу сервери значат повеќе дистрибуции за да се закрпат, од кои секоја бара лично внимание на системскиот администратор или инженер.

поставите

Овие методи за рачно крпење се исто така ризични по тоа што бараат рестартирање. Рестартирањата се поврзани со застој на серверот, што е секогаш проблематично, така што тие обично се изведуваат во циклуси за рестартирање. Бидејќи рачното крпење се случува за време на овие циклуси, тоа им дава на хакерите „прозорец на времето“ во кој можат да ја нападнат инфраструктурата на серверот.

За организациите што работат повеќе од неколку сервери, крпењето во живо е подобра опција. Ова е автоматски метод за крпење на јадрото на Linux додека работи серверот, што го прави поефикасен и побезбеден од рачните методи. Ајде да научиме како да поставиме четири од најпопуларните системи за крпење во живо од Canonical, Oracle, Red Hat и CloudLinux.

Што е крпење во живо и како работи?

На крајот на краиштата, постојат два начина на крпење во живо за јадра и библиотеки: привремено и упорно. Привремениот метод применува лепенка без рестартирање, но всушност бара подоцна да се рестартира серверот. Постојаното крпење во живо не бара рестартирање.

Привремениот метод

Привремениот метод (или крпеница) „оџак“ се изведува со софтвер за управување со пакети (како што е YUM приклучокот). Закрпите се доставуваат до складиштата и се применуваат според работните текови за ажурирање наведени од корисникот.

„Stack“ крпењето е синоним за рестартирање на серверот и прекин на работата, иако можеби нема да ви треба рестартирање веднаш по инсталирањето на лепенката, но заради архитектурата на овој тип на ажурирање во живо, безбедносните закрпи се натрупуваат со текот на времето, со што се зголемуваат перформансите и Стабилноста може да се намали. Единственото решение за овој проблем е да го рестартирате серверот за да вчитате свежо јадро во меморијата.

Даватели на услуги кои обезбедуваат привремени закрпи се:

Упорниот метод

Во случај на постојан метод, серверот ги зачувува најновите закрпи и овие закрпи се нарекуваат „монолитни“ затоа што содржат претходни закрпи. За ажурирање на серверот, агентната програма работи во позадина што го проверува серверот за далноводи за закрпи. Ако има лепенка за јадро на серверот за крпеница, агентот го повикува моторот за крпеница и ја применува лепенката.

Постојаното крпење има и други важни предности:

  • Серверите што користат постојан метод, исто така, се занимаваат со хардверски ранливости за кои вообичаено, треба да се рестартираат за да се закрпат, како што се Spectre, Meltdown и Zombie Load;
  • Го намалува времето и напорот потребни за управување со серверите со целосно автоматизирање на процесот на крпење;
  • Тоа им овозможува на серверите да работат и да работат, често со години одеднаш .

Методот на трајно крпење обично доаѓа со такси на производителот, при што повеќето производители нудат бесплатни пробни периоди:

Поставување автоматски ажурирања на јадрото без рестартирање во серверите на Linux

Во продолжение, ќе ви покажеме како да поставите ажурирања на бесконечните јадра во серверите на Linux користејќи ги услугите Livepatch, Kpatch, Ksplice и KernelCare.

Белешка: Пред да започнете со спроведување на овие упатства, проверете дали вашиот систем е ажуриран и безбеден.

1. Поставете го канонскиот лепен лек

Услугата Canonical Livepatch може да се постави или за време на инсталацијата или по неа. Инсталира само закрпи за безбедност на јадрото кога ја извршувате командата за надградба apt-get (затоа полуавтоматско).

Предности: Лесно Полуавтоматско. Не е потребно рестартирање.

Конс: Скапо за 4 или повеќе домаќини (но бесплатни до 3 домаќини за секого и до 50 машини ако сте член на заедницата на Убунту). Без враќање на далноводи.

Надоместоци, по сервер: Месечно (не е достапно), годишно (225 УСД).

За да инсталирате Livepatch на сервер Ubuntu 20.04 LTS (работи и на верзии 16.04 LTS, 14.04 LTS и 18.04 LTS), отворете терминал и извршете ги овие две команди:

За дерегистрација на сервер користете ја оваа команда:

За да го проверите статусот на услугата, користете ја оваа команда:

2. Поставете го Oracle Ksplice

Ако не извршувате инстанца на Ksplice во рамките на Oracle Cloud, ќе ви треба клуч за пристап за инсталација. Ова може да го добиете со најавување во нераскинливата мрежа на Linux и следење на упатствата за регистрирање на вашиот систем за Ksplice.

За да го инсталирате Ksplice, вашиот систем мора да има пристап до Интернет. Ако користите прокси, поставете го прокси во вашата обвивка:

Полномошникот мора да поддржува HTTPS врски, а низата за прокси треба да биде во овој формат:

  • Протокол е протокол за поврзување со прокси (http или https)
  • Корисничкото име и лозинката се информации за автентикација потребни за користење на вашиот полномошник (доколку ги има).
  • Домаќинот и портата се името на домаќинот/IP-адресата и бројот на портата што се користат за поврзување со проксито

Извршете ги следниве упатства како root и заменете го YOUR_ACCESS_KEY со клучот за пристап што го добивте во претходниот чекор.

Внатре во облакот Oracle

За да инсталирате Ksplice во рамките на Oracle Cloud, така што ажурирањата на јадрото ќе се инсталираат автоматски, извршете ги овие команди:

За да ги примените достапните ажурирања на Uptrack, апликацијата што автоматски инсталира ажурирања на јадрото, извршете ја оваа команда:

Ако веќе сте инсталирале Uptrack, можете да го вклучите со автоматско инсталирање = ja во /etc/uptrack/uptrack.conf откако ќе се инсталира Ksplice.

За да инсталирате Ksplice, така што ажурирањата се вршат рачно, извршете ги овие команди:

Надвор од облакот на Oracle

За да инсталирате Ksplice надвор од Oracle Cloud, така што ажурирањата на јадрото ќе се инсталираат автоматски, извршете ги овие команди:

За да инсталирате Ksplice, така што ажурирањата се применуваат рачно, извршете ги овие команди:

Белешка: Ако инсталирате Ksplice на Debian или Ubuntu сервер, можеби ќе ви треба ca сертификати Пакет со apt-get инсталирај ca сертификати . Без овој пакет, ќе видите „Грешка во потврда на сертификат“.

4. Поставете Red Hat Kpatch

Инсталирањето на Kpatch е едноставно и едноставно:

Извршете ја командата за ажурирање за да ги ажурирате складиштата за пакети и да ги добиете најновите информации за пакетот:

Извршете ја командата за инсталирање со знамето -y за брзо инсталирање на пакетите и зависностите:

5. Поставете CloudLinux KernelCare

За да видите дали јадрото што работи е поддржано од KernelCare, извршете една од овие команди:

За да инсталирате KernelCare, извршете една од овие две команди:

Ако користите лиценца заснована на IP, ништо друго не е потребно. Ако користите лиценца заснована на клучеви, извршете ја оваа команда:

KEY е низа за код на клучот за регистрација што ја добивте кога го купивте KernelCare или кога се регистриравте за бесплатен пробен период. Можете да добиете клуч тука .

За дерегистрација на сервер, извршете го:

За да го проверите статусот на услугата, извршете ја:

KernelCare автоматски проверува дали има нови закрпи на секои 4 часа. За рачно ажурирање наместо автоматско, извршете ги:

заклучок

Овие упатства за инсталација за повеќе решенија за крпење во живо ги опишуваат сите чекори потребни за инсталирање на такво решение во вашата околина. Кога тоа е готово, ќе уживате во придобивките од технологијата за крпење во живо: можете да го надградите јадрото без да го запрете серверот, без месеци или години на рестартирање.