Cómo habilitar Canonical Livepatch desde la línea de comando

Si se toma en serio la seguridad de su servidor Ubuntu, siempre estará al tanto de las actualizaciones. ¿Correcto? ¿O tiende a olvidarse de aplicar esos parches de seguridad y esperar hasta que actualice el kernel y tenga que reiniciar?

Eso es tan temprano en la década de 2000.

Con la llegada del kernel Livepatch, los parches de seguridad se aplican automáticamente a los kernels en ejecución sin tener que reiniciar el servidor. Canonical ha hecho que el uso de Livepatch sea increíblemente fácil cuando se trata de una GUI. Pero, ¿qué pasa cuando es un servidor de línea de comandos solamente? ¿Que haces entonces? Afortunadamente, no estás perdido. Con solo unos pocos pasos, puede conectar su servidor al servicio Livepatch.

Te voy a mostrar cómo hacer eso.

VER: Política de mejores prácticas de certificados SSL (TechRepublic Premium)

Lo que necesitarás

Voy a hacer una demostración en una instancia de Ubuntu Server 20.04, pero puede hacer que esto funcione en cualquier versión LTS de Ubuntu 16.04 o posterior. También necesitarás un Cuenta Ubuntu One, para que puedas recuperar un Token de Livepatch.

Una vez que haya iniciado sesión en su cuenta de Ubuntu One, vaya al Página de token de Livepatch y recupera tu token.

Por supuesto, hay algunas advertencias con Canonical Livepatch. Específicamente:

• Solo está disponible en las versiones de 64 bits de las versiones de soporte a largo plazo (por lo tanto, 16.04, 18.04, 20.04, etc.)

• El servidor debe ejecutar kernel 4.4 o más reciente

• Está limitado a tres máquinas por cuenta de Ubuntu One; Si necesita instalar el servicio Livepatch en varios servidores o escritorios, necesitará un Plan Ubuntu Advantage

¿Qué hace Livepatch?

Livepatch es un servicio que le permite aplicar parches de seguridad a un kernel en ejecución, sin tener que reiniciar. Al utilizar este servicio, puede mantener mejor ese servidor a salvo de vulnerabilidades, sin tener que desconectar ese servidor para reiniciarlo.

Lo que Livepatch no es es un medio para actualizar un kernel sin reiniciar. Si actualiza el kernel, aún tendrá que reiniciar. Pero cuando se trata de seguridad, el kernel generalmente solo necesita parches, que cubre Livepatch.

Por lo tanto, esto debería considerarse imprescindible para sus servidores Ubuntu.

Cómo habilitar Livepatch desde la línea de comando

Inicie sesión en su servidor Ubuntu e instale el servicio Livepatch con el comando:

sudo snap install canonical-livepatch

Cuando se complete la instalación, deberá habilitar Livepatch con el token que recuperó de su cuenta de Ubuntu One. Para hacer esto, emita el comando:

sudo canonical-livepatch enable TOKEN

Donde TOKEN es el token asociado con su cuenta de Ubuntu One.

Cuando el comando tenga éxito, verá que informa que el dispositivo se ha habilitado (Figura A).

Figura A

Cómo comprobar el estado de Livepatch

Con Livepatch habilitado, ahora puede verificar el estado del servicio con el comando:

sudo canonical-livepatch status

El comando informará sobre el último estado de registro del servidor y si se han aplicado parches (Figura B).

Figura B

Siempre puede forzar manualmente una verificación con el comando:

sudo canonical-livepatch refresh

Una vez que esto esté en funcionamiento, Canonical aplicará silenciosamente los parches a su kernel en ejecución en segundo plano. Cuando se aplica un parche, aparecerá en el comando de estado.

Y eso es todo lo que hay que hacer. Si administra los servidores Ubuntu en su centro de datos, se lo debe a usted mismo, a esos servidores y a su empresa para agregar el servicio Canonical Livepatch. Garantizará que sus servidores Linux estén siempre parcheados y sean seguros.

Sigue navegando por nuestra web viendo más artículos.