我有一台服务器,为了节省电量,我会在早上 8:00 自动开机,晚上 24:00 自动关机。我对 Ubuntu LivePatching 很感兴趣,但我不确定它在这些停机时间内的表现如何,因为我假设它是为 24/7 服务器设计的。
- 我可以设置何时搜索更新、安装更新和重新启动吗?
感谢您的反馈。Michael
答案1
从理论上讲,在每天重启的 Ubuntu 服务器上安装内核实时修补是有意义的。这样可以减少在补丁发布和计划重启之间可能发生的黑客攻击的机会。
我在 Ubuntu 桌面上安装了 Canonical livepatch,它确实可以工作。在发布补丁时,它已经实时修补了我的内核,可以使用以下命令查看:
# canonical-livepatch status --verbose
该命令会说“patchState:无需应用“,然而,当发布实时补丁时,它会按 CVE 编号列出已修补的 CVE 漏洞:
# canonical-livepatch status
client-version: "1"
architecture: x86_64
cpu-model: QEMU Virtual CPU version 2.4.0
last-check: 2016-08-24T19:38:36.793837171Z
boot-time: 2016-08-24T18:53:56Z
uptime: 45m4s
status:
- kernel: 4.4.0-21.37-generic
running: true
livepatch:
state: applied
version: "10.1"
fixes: |-
* CVE-NNNN-XXXX LP: #NNNNNNN
#
您无需设置系统修补时间,因为这取决于 Canonical 是否提供修补程序,届时 livepatchd 将尽快实时修补您的内核。无需重新启动,您的系统将保持修补状态,直到计划的重新启动为止。
除非你安装新版本的内核(可通过以下方式获取)
# apt-get dist-upgrade
您的系统将在下次开机时继续实时修补内核,直到您安装 Linux 内核升级并重新启动并选择修补后的内核或使其成为默认内核。
默认情况下,canonical-livepatch 将每 60 分钟检查一次 Canonical 是否有新的补丁。
您可以通过以下方式更改检查间隔(以分钟为单位):
# canonical-livepatch config check-interval=120
不幸的是,最低值被硬编码为 60 分钟。