はじめに
Ubuntu 14.04ぐらいから提供されていたCanonical Livepatch Serviceですが、アナウンスがあったりしたものの、いくつかのWebサイトで取り上げられている割には、あまり適用したという記事を見かけなかったので、ちょっと自分の環境に適用してみました。
まぁ、そもそもプロダクション環境だと、Kernelを上げるだけでも影響が出たりするので、気軽に適用は出来ないと思いますが、まぁ家は実験環境ということでとりあえずトライしてみました。
公式サイト
設定手順
こちらからサインアップして、必要な情報を登録するだけで基本的には利用できます。
- 登録して、
- livepatch daemonをインストールして、
- 適用したい環境で有効にするだけです。
サインアップしたらTokenが発行されるので、後は以下のコマンドを実行していくだけです。
$ sudo snap install canonical-livepatch $ sudo canonical-livepatch enable [TOKEN]
確認方法
適用されているかは以下のコマンドで確認することができます。
$ canonical-livepatch status client-version: 8.0.2 architecture: x86_64 cpu-model: Intel(R) Xeon(R) CPU L5639 @ 2.13GHz last-check: 2018-06-10T23:56:47.074006391+09:00 boot-time: 2018-06-10T23:47:50+09:00 uptime: 20m58s status: - kernel: 4.15.0-20.21-generic running: true livepatch: checkState: checked patchState: applied version: "39.3" fixes: |- * CVE-2018-1092 * CVE-2018-8087
ちなみに個人使用だと以下の制約があることに注意してください。
この制限を超える場合は、Canonicalの有償サポートが必要になります。
第443回 再起動なしにカーネルを更新する「Canonical Livepatch Service」 | gihyo.jp
Ubuntu Weekly Topicsの2016年10月21日号でも伝えているように、再起動をすることなくカーネルを更新できる「Canonical Livepatch Service」が発表されました。今回はこのサービスの使い方と仕組みに...