La aplicación de actualizaciones de seguridad al kernel de Linux es un proceso sencillo que se puede realizar con herramientas como apt , yumkexecSin embargo, cuando se administran cientos o miles de servidores que ejecutan diferentes distribuciones de Linux para parchear, este método puede ser un desafío y llevar mucho tiempo.

La actualización manual del kernel requiere reiniciar el sistema. Esto da como resultado un tiempo de inactividad, que puede ser problemático, por lo que los reinicios generalmente se programan para que ocurran en intervalos de tiempo específicos. Debido a que la aplicación manual de parches se realiza durante estos ciclos, brinda a los piratas informáticos una "ventana de tiempo" en la que pueden atacar la infraestructura del servidor.

Para las organizaciones que ejecutan más de unos pocos servidores, la aplicación de parches en vivo es una mejor opción. Es una forma automatizada de parchear un kernel de Linux mientras el servidor se está ejecutando, lo que le permite ser más eficiente y más seguro que los métodos manuales.

Este artículo explica cómo configurar actualizaciones automáticas del kernel sin reinicio utilizando las soluciones de parches en vivo de Canonical y CloudLinux.

Livepatch canónico

Canonical Livepatch es un servicio que parchea el kernel en ejecución sin tener que reiniciar su sistema Ubuntu. El servicio Livepatch es de uso gratuito, hasta tres sistemas Ubuntu. Para usar este servicio en más de tres computadoras, deberá suscribirse al programa Ubuntu Advantage.

Antes de instalar el servicio, debe obtener un token de Livepatch del sitio del servicio Livepatch .

Una vez que tenga el token, instale y habilite el servicio ejecutando los siguientes dos comandos:

sudo snap install canonical-livepatchsudo canonical-livepatch enable <your-key>

Para comprobar el estado del servicio, ejecute:

sudo canonical-livepatch status --verbose

Más tarde, si desea cancelar el registro de una máquina, use este comando:

sudo canonical-livepatch disable <your-key>

Se aplican las mismas instrucciones para Ubuntu 20.04 y Ubuntu 18.04.

KernelCare

KernelCare es una excelente opción para proveedores de alojamiento y empresas.

KernelCare se ejecuta en Ubuntu, CentOS, Debian y otras versiones populares de Linux. Comprueba los lanzamientos de parches cada 4 horas y los instala automáticamente. Los parches se pueden revertir. KernelCare es gratuito para organizaciones sin fines de lucro.

Para instalar KernelCare, ejecute el script de instalación:

wget -qq -O - https://kernelcare.com/installer | bash

Si está utilizando una licencia basada en IP, no es necesario hacer nada más. De lo contrario, si está utilizando una licencia basada en clave, ejecute el siguiente comando para registrar el servicio:

/usr/bin/kcarectl --register <your-key>

¿Dónde <your-key>se proporciona la cadena del código clave de registro cuando se registra para la versión de prueba o compra el producto? Puedes conseguirlo en esta página .

A continuación se muestran algunos comandos útiles de KernelCare:

  • Para verificar si el Kerne en ejecución es compatible con KernelCare:

    curl -s -L https://kernelcare.com/checker | python
  • Para cancelar el registro de un servidor:

    sudo kcarectl --unregister
  • Para consultar el estado del servicio:

    sudo kcarectl --info
  • El software buscará automáticamente nuevos parches cada 4 horas. Para actualizar manualmente, ejecute:

    /usr/bin/kcarectl --update

Conclusión

La tecnología Live Patching le permite aplicar parches al kernel de Linux sin reiniciar.

Si tiene alguna pregunta o comentario, no dude en dejar un comentario.