2021-02-25 分類: 網(wǎng)站建設(shè)
如果你管理自己的服務(wù)器,早晚會(huì)遇到這個(gè)問題:你得重啟操作系統(tǒng),但服務(wù)器在提供你無法中斷的重要服務(wù)。
但為什么要重啟呢?在運(yùn)行apt-get upgrade命令之后,一切似乎都順暢正常。然而,凡事不能看表面。即使系統(tǒng)在每次升級(jí)后繼續(xù)運(yùn)行,不像Windows那樣強(qiáng)行重啟,但它可能仍需要重啟。
比如說,當(dāng)發(fā)現(xiàn)系統(tǒng)核心(內(nèi)核)有漏洞,補(bǔ)丁以新的軟件包這種形式推送到服務(wù)器時(shí)。安裝打上補(bǔ)丁的內(nèi)核后,一些文件被寫入到磁盤,但掌控一切的仍是舊內(nèi)核,因?yàn)楸患虞d到內(nèi)存中的是它。
這就意味著你的服務(wù)器仍然容易受到之前發(fā)現(xiàn)的安全漏洞的攻擊。如果不重啟操作系統(tǒng),就無法重新加載其他進(jìn)程、守護(hù)程序和服務(wù)。然而,內(nèi)核位于系統(tǒng)的核心,只能在下次引導(dǎo)時(shí)重新加載。
Ubuntu Livepatch可以解決這個(gè)問題,讓你可以在不重啟的情況下堵住內(nèi)核的安全漏洞。這樣一樣,你可以數(shù)周乃至數(shù)月避免重啟或推遲重啟,又不影響安全性。
實(shí)時(shí)補(bǔ)丁背后的核心思想很簡(jiǎn)單:某個(gè)函數(shù)易受攻擊時(shí),重寫函數(shù),消除漏洞,并將新函數(shù)加載到內(nèi)存中。調(diào)用該函數(shù)時(shí),不是在內(nèi)核中運(yùn)行代碼,而是重定向調(diào)用以使用重寫的代碼。但是,實(shí)施和技術(shù)細(xì)節(jié)并非如此簡(jiǎn)單。
如何在Ubuntu上安裝Livepatch?
進(jìn)入到該頁面,創(chuàng)建你的Ubuntu One帳戶。(如果已經(jīng)有帳戶,只需登錄。)查收電子郵件,然后點(diǎn)擊帳戶確認(rèn)鏈接。接下來,訪問Canonical Livepatch Service頁面(https://auth.livepatch.canonical.com/)。選擇你是“Ubuntu用戶”,然后點(diǎn)擊按鈕以生成令牌。下一頁會(huì)顯示你在服務(wù)器上要輸入的具體命令。在第一個(gè)命令之后,輸入:sudo snap install canonical-livepatch,等幾秒鐘,直到snap包安裝完畢。最后,使用Canonical頁面的最后一個(gè)命令:sudo canonical-livepatch enable #PASTE_YOUR_TOKEN_HERE,服務(wù)變活動(dòng)狀態(tài),必要時(shí)自動(dòng)為你的內(nèi)核打上安全補(bǔ)丁,無需你輸入。
如有必要,安裝Snap守護(hù)程序
在極少數(shù)情況下,上面的第一個(gè)命令可能失效,并顯示以下錯(cuò)誤消息:-bash: /usr/bin/snap: No such file or directory。這種情況下,它意味著你的服務(wù)器提供商有默認(rèn)情況下不包括snap守護(hù)程序服務(wù)的Ubuntu操作系統(tǒng)映像。用該命令安裝它:sudo apt update && sudo apt install snapd,現(xiàn)在再次運(yùn)行上面的兩個(gè)命令。
對(duì)服務(wù)器加以更新
Livepatch會(huì)為內(nèi)核打上所有必要的安全更新。然而,你仍應(yīng)使用以下命令定期升級(jí)系統(tǒng)的其余部分:sudo apt update && sudo apt upgrade。
可以的話,你應(yīng)每周執(zhí)行一次,甚至更頻繁。重要的系統(tǒng)軟件包可能會(huì)提示你需要重啟才能使最新的安全修復(fù)程序生效。這些通常是優(yōu)雅的重啟,意味著在此過程中不干擾任何服務(wù)。比如在這里,SSH守護(hù)程序重啟,并不擾亂活動(dòng)的SSH會(huì)話。
在其他情況下,你可以自行重啟服務(wù),確保新的修補(bǔ)代碼已重新加載、安全修復(fù)程序已生效。比如說,如果你注意到nginx軟件包已升級(jí),可以運(yùn)行:systemctl restart nginx.service,將nginx守護(hù)進(jìn)程重新加載到內(nèi)存中。否則,即使軟件包已升級(jí),它仍可能使用易受攻擊的舊代碼運(yùn)行,從而使服務(wù)器面臨已知攻擊的風(fēng)險(xiǎn)。一些軟件包升級(jí)會(huì)為你執(zhí)行此操作,但另一些不會(huì)。這就是為什么注意“apt upgrade”執(zhí)行什么操作,必要時(shí)重啟一些服務(wù)是個(gè)習(xí)慣。你還可以查看日志,看看這是否已自動(dòng)完成。
結(jié)束語
正如你所看到的,Canonical已經(jīng)很容易在服務(wù)器上做到這點(diǎn)。至于內(nèi)核,你無需進(jìn)行任何維護(hù)工作。你只要時(shí)不時(shí)運(yùn)行canonical-livepatch status,檢查一下情況。
網(wǎng)頁標(biāo)題:如何借助Ubuntu Livepatch避免服務(wù)器重啟?
分享網(wǎng)址:http://jinyejixie.com/news31/102881.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)頁設(shè)計(jì)公司、響應(yīng)式網(wǎng)站、移動(dòng)網(wǎng)站建設(shè)、網(wǎng)站收錄、App設(shè)計(jì)、品牌網(wǎng)站制作
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容