Actualizaciones automáticas del kernel
Aplicar actualizaciones de seguridad para el núcleo de Linux es un proceso sencillo que puede hacerse utilizando herramientas como apt , yum o kexec. Sin embargo, al administrar cientos o miles de servidores que ejecutan diferentes distribuciones de Linux para parchear, este método puede ser desafiante y llevar mucho tiempo.
La actualización manual del kernel requiere reiniciar el sistema. Esto da como resultado un tiempo de inactividad, que puede ser problemático, por lo que los reinicios generalmente se programan para que se produzcan en intervalos de tiempo específicos. Debido a que el parche manual se realiza durante estos ciclos, proporciona a los piratas informáticos una «ventana de tiempo» en la que pueden atacar la infraestructura del servidor.
Para las organizaciones que ejecutan más de unos pocos servidores, la aplicación de parches en vivo es una mejor opción. Es una forma automatizada de parchear un kernel de Linux mientras el servidor está en ejecución, lo que le permite ser más eficiente y más seguro que los métodos manuales.
Este artículo explica cómo configurar actualizaciones automáticas del kernel sin reinicio utilizando las soluciones de parcheo en vivo de Canonical y CloudLinux.
Livepatch canónico
Canonical Livepatch es un servicio que parchea el kernel en ejecución sin tener que reiniciar su sistema Ubuntu. El servicio Livepatch es de uso gratuito, hasta tres sistemas Ubuntu. Para utilizar este servicio en más de tres computadoras, deberá suscribirse al programa Ubuntu Advantage.
Antes de instalar el servicio, debe obtener un token de Livepatch del sitio del Servicio de Livepatch .
Una vez que tenga el token, instale y habilite el servicio ejecutando los siguientes dos comandos:
sudo snap install canonical-livepatchsudo canonical-livepatch enable <your-key>
Para verificar el estado del servicio, ejecute:
sudo canonical-livepatch status --verbose
Más adelante, si desea cancelar el registro de una máquina, use este comando:
sudo canonical-livepatch disable <your-key>
Las mismas instrucciones se aplican a Ubuntu 20.04 y Ubuntu 18.04.
KernelCare
KernelCare es una excelente opción para empresas y proveedores de hosting.
KernelCare se ejecuta en Ubuntu, CentOS, Debian y otras versiones populares de Linux. Comprueba las versiones de parches cada 4 horas y las instala automáticamente. Los parches se pueden revertir. KernelCare es gratuito para organizaciones sin fines de lucro.
Para instalar KernelCare, ejecute el script de instalación:
wget -qq -O - https://kernelcare.com/installer | bash
Si está utilizando una licencia basada en IP, no es necesario que haga nada más. De lo contrario, si está utilizando una licencia basada en claves, ejecute el siguiente comando para registrar el servicio:
/usr/bin/kcarectl --register <your-key>
Dónde <your-key>
es la cadena de código de clave de registro proporcionada cuando se registra para la prueba o compra el producto Puedes conseguirlo en esta página .
A continuación se muestran algunos comandos útiles de KernelCare:
- Para comprobar si el kernel en ejecución es compatible con KernelCare ejecute: curl -s -L https://kernelcare.com/checker | python
- Para cancelar el registro de un servidor ejecute: sudo kcarectl –unregister
- Para comprobar el estado del servicio ejecute: sudo kcarectl –info
- El software comprobará automáticamente si hay nuevos parches cada 4 horas. Para actualizar manualmente, ejecute: /usr/bin/kcarectl –update
Actualizaciones automáticas del kernel
Notas Finales
La tecnología Live Patching le permite aplicar parches al kernel de Linux sin reiniciar.
Si tiene alguna pregunta o dudas contáctanos por un ticket de soporte