icetray - Fotolia

Linux-Kernel bei Ubuntu Server live patchen

Es ist möglich, den Linux-Kernel bei einem Ubuntu Server (LTS) im laufenden Betrieb zu aktualisieren. Dafür ist der Canonical Liveptach Service zuständig.

Jede Software wird von Fehlern und Bugs oder Security-Lücken heimgesucht. Das wissen Sie sehr wahrscheinlich. Auch Linux-Server sind von diesem Problem betroffen. In der Regel reagieren die Distributoren sehr schnell und die Open Source Community stopft Sicherheitslöcher zügig.

Aktualisieren Sie Ihre Server, werden die Schwachstellen geschlossen. Ist nicht gerade das Herzstück eines Linux-Servers betroffen, also der Kernel, muss ein Server oftmals nicht neu gestartet werden. Es reicht oft ein Neustart des jeweiligen Services oder Daemons. Wird allerdings der Kernel gepatcht, ist eigentlich ein Neustart fällig und bei manchen Servern ist das alles andere als ideal.

Für RHEL (Red Hat Enterprise Linux), Oracle Linux, SUSE und Ubuntu gibt es die Möglichkeit, den Kernel live zu aktualisieren. Damit spielen Sie das Update ein, ohne den Server neu starten zu müssen. RHEL und Oracle Linux können Sie so via kpatch beziehungsweise Ksplice live aktualisieren. Für Ubuntu-Server gibt es den Canonical Livepatch Service, der ebenfalls den Linux-Kernel im laufenden Betrieb aktualisiert. In diesem Beitrag zeigen wir Ihnen, wie Sie den Canonical Livepatch Service installieren und nutzen. Außerdem gehen wir darauf ein, wie Sie bei einem Ubuntu-Server andere Sicherheits-Updates automatisch installieren können.

Preise für den Canonical Livepatch Service

Für den persönlichen Gebrauch können Sie bis zu drei Geräte mit dem Service verbinden. Damit sind nicht nur Server, sondern auch Desktop-Versionen gemeint. Das Angebot eignet sich auch gut, den Service auszuprobieren und damit zu experimentieren.

Nutzen Sie den Service kommerziell oder wollen mehr als drei Geräte automatisch aktualisieren lassen, kostet das Angebot 75 US-Dollar pro Jahr für jede virtuelle Maschine und 225 US-Dollar pro Jahr für jeden physischen Computer.

Canonical Livepatch Service installieren

Der Canonical Live Patch Service ist für die LTS-Versionen von Ubuntu verfügbar. Im Moment funktioniert das Live Patching des Kernels unter Ubuntu 14.04 LTS und 16.04 LTS.

Zunächst einmal brauchen Sie ein Livepatch Token, das sie über die Seite auth.livepatch.canonical.com erhalten.

Nachdem Sie sich registriert und das Token erhalten haben, melden Sie sich bei der Maschine an, bei der Sie den Kernel live aktualisieren wollen. Sie führen im Anschluss die nachfolgenden Zeilen aus, um den Service zu aktivieren:

sudo snap install canonical-livepatch

sudo canonical-livepatch enable [Auth-Token-Nummer]

Der erste Befehl installiert den Livepatch-Service auf Ihrem Ubuntu-System und der zweite aktiviert ihn. Beim Aktivieren fügen Sie einfach das Token ohne die eckigen Klammern nach enable ein. Mehr ist nicht zu tun. Ab sofort spielt das System notwendige Sicherheits-Updates für den Kernel automatisch ein.

Nachdem Sie das Token haben, ist der Canonical Livepatch Service mit nur zwei Zeilen installiert.
Abbildung 1: Nachdem Sie das Token haben, ist der Canonical Livepatch Service mit nur zwei Zeilen installiert.

Ob der Service auch tatsächlich läuft, überprüfen Sie mit diesem Befehl:

sudo /snap/bin/canonical-livepatch status

In Abbildung 2 sehen sie ein System, das schon eine Weile mit dem Canonical Livepatch Service läuft. Der Dienst hat einige Neustarts gespart.

Canonical Livepatch Service ist auf einem Ubuntu Server 16.04 installiert und erledigt still seinen Job.
Abbildung 2: Canonical Livepatch Service ist auf einem Ubuntu Server 16.04 installiert und erledigt still seinen Job.

Weitere Informationen bekommen Sie wie folgt:

sudo /snap/bin/canonical-livepatch help

Automatische Sicherheits-Updates

Updates bedeuten Änderungen an Software sowie System und dabei kann immer etwas schieflaufen. Deswegen sind solche unbeaufsichtigten Aktualisierungen ein zweischneidiges Schwert. Stellen Sie sich vor, das produktive System spielt ein Update ein und funktioniert nicht mehr ordnungsgemäß. Zu allem Überfluss kann das Update auch noch die Fernwartung betreffen und als Administrator müssen Sie den Fehler dann vor Ort reparieren. Das ist heutzutage zugegeben die Ausnahme, aber nicht unmöglich.

Bei Ubuntu besteht die Möglichkeit von unbeaufsichtigten Updates und das Beste daran ist, dass es verschiedene Stufen gibt. Der Administrator kann immer alle Updates und Aktualisierung einspielen lassen oder eben nur solche, die als Sicherheits-Updates eingestuft sind. Nur Pakete zu aktualisieren, die für eine verbesserte Sicherheit sorgen, könnte ein akzeptabler Kompromiss sein. Sie aktivieren die automatischen Security Updates wie folgt.

Ist das entsprechende Paket nicht schon installiert, dann führen Sie auf der Kommandozeile diesen Befehl aus:

sudo apt-get install unattended-Updates

Im Anschluss aktivieren Sie die unbeaufsichtigten Updates wie folgt:

sudo dpkg-reconfigure --priority=low unattended-Updates

Es erscheint ein Fenster und dort ist zu bestätigen, dass Sie die unbeaufsichtigten Updates aktivieren zu wollen.

Hier weisen Sie das System an, die unbeaufsichtigten Updates zu aktivieren.
Abbildung 3: Hier weisen Sie das System an, die unbeaufsichtigten Updates zu aktivieren.

Im nächsten Fenster schlägt der Service ein Ursprungsmuster vor, das Sie so übernehmen können. Es lautet:

"origin=Debian,codename=${distro_codename},label=Debian-Security";

Mit dieser Konfiguration werden nur Pakete aktualisiert, die als Security Updates deklariert sind.

Die Vorgabe ist genau, wie wir sie wollen. Es werden nur Sicherheits-Updates durchgeführt.
Abbildung 4: Die Vorgabe ist genau, wie wir sie wollen. Es werden nur Sicherheits-Updates durchgeführt.

Die zuständigen Dateien für die automatischen Updates sind /etc/apt/apt.conf.d/20auto-Updates und /etc/apt/apt.conf.d/50unattended-Updates. Für die Ausführung der Updates ist cron.daily zuständig. Auf einem Server, bei dem anacron nicht per Standard installiert ist, würde cron.daily um zirka 6:25 Uhr laufen. Erfahrene Administratoren können mit diesen Informationen weitere Anpassungen vornehmen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Mit der Open-Source-PowerShell PowerCLI mit Ubuntu Linux nutzen

ownCloud und Nextcloud unter Ubuntu 16.04 LTS betreiben

Mark Shuttleworth von Canonical zu Ubuntu, Cloud und IoT

Artikel wurde zuletzt im November 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Linux-Server

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close