Ubuntu LivePath 是一個動態修補 kernel 漏洞的機制。在傳統作法上,如果修補、更新了 kernel ,就一定要重新開機,讓新的 kernel 生效才能真正的修補漏洞。LivePatch 則提供了一個不需要重開機的方法,他會動態的修補在目前的 kernel 裡。在 ubuntu 的 How kernel livepatching works 有圖片說明。
Canonical 很佛心的提供了 Personal token,只要去 ubuntu.com 註冊,就可以取得。
取得 token 以後,就可以使用以下指令啟用
sudo ua attach <token>
sudo ua enable livepatch啟用後,若想知道目前套用了哪些修補,可以用 canonical-livepatch 指令察看
canonical-livepatch status若是公司使用,會需要購買企業訂閱。若是想把修補放到公司內部來節省頻寬,可以參考 Livepatch on-prem 的說明來進行。我大致看了一下,說是會把修補放到 S3 上面,離線的作法或許可以架設 minio 來代替 S3。這部份因為沒用到,就先跳過不看了。
沒有留言:
張貼留言