▷ Cómo utilizar el servicio Livepatch de Canonical en Ubuntu

Tabla de contenidos

¿Le apetece tener parches críticos del kernel de Linux aplicados automáticamente a su sistema Ubuntu, sin tener que reiniciar su computadora? Describimos cómo utilizar el servicio Livepatch de Canonical para hacer precisamente eso.

¿Qué es Livepatch y cómo funciona?

Como explicó Dustin Kirkland de Canonical hace varios años, Canonical Livepatch utiliza la tecnología Kernel Live Patching integrada en el kernel estándar de Linux. El sitio web Livepatch de Canonical señala que corporaciones masivas como AT&T, Cisco y Walmart lo usan.

Es gratis para uso personal en hasta tres computadoras; según Kirkland, pueden ser «computadoras de escritorio, servidores, máquinas virtuales o instancias en la nube». Las organizaciones pueden usarlo en más sistemas con una suscripción paga de Ubuntu Advantage .

Los parches de kernel son necesarios pero incómodos

Los parches del kernel de Linux son una realidad. Mantener su sistema seguro y actualizado es vital en el mundo interconectado en el que vivimos. Pero tener que reiniciar su computadora para aplicar los parches del kernel puede ser una molestia. Especialmente si la computadora está brindando algún tipo de servicio a los usuarios y tiene que coordinarse o negociar con ellos para desconectar el servicio. Y hay un multiplicador. Si mantiene varias máquinas Ubuntu, en algún momento tendrá que morder la bala y hacer cada una por turno.

Canonical Livepatch Service elimina toda la molestia de mantener sus sistemas Ubuntu actualizados con parches críticos del kernel. Es fácil de configurar, ya sea gráficamente o desde la línea de comandos, y le quita una tarea más de sus hombros.

Cualquier cosa que reduzca los esfuerzos de mantenimiento, aumente la seguridad y reduzca el tiempo de inactividad debe ser una propuesta atractiva, ¿verdad? Sí, pero hay algunas salvedades.

Debe utilizar una versión de soporte a largo plazo (LTS) de Ubuntu, como 16.04 o 18.04. La versión LTS más reciente es la 18.04, así que esa es la versión que usaremos aquí.
Debe ser una versión de 64 bits.
Debe ejecutar Linux Kernel 4.4 o superior
Necesita tener una cuenta de Ubuntu One. ¿Te acuerdas de ellos ? Si no tiene una cuenta de Ubuntu One, puede registrarse para obtener una cuenta gratuita.
Puede usar Canonical Livepatch Service sin costo, pero está limitado a tres computadoras por cuenta de Ubuntu One. Si tiene que mantener más de tres computadoras, necesitará cuentas adicionales de Ubuntu One.
Si tiene que cuidar de servidores físicos, virtuales o alojados en la nube, deberá convertirse en cliente de Ubuntu Advantage .

Obtener una cuenta de Ubuntu One

Ya sea que vaya a configurar el servicio Livepatch a través de la interfaz gráfica de usuario (GUI) o mediante la interfaz de línea de comandos (CLI), debe tener una cuenta de Ubuntu One. Esto es necesario porque el funcionamiento del servicio Livepatch depende de una clave privada que se le emite y está vinculada a su cuenta de Ubuntu One.

Si configura el servicio Livepatch utilizando la GUI, no verá su clave. Todavía es necesario y se utiliza, pero todo se gestiona en segundo plano.
Si configura su servicio Livepatch a través de la terminal, deberá copiar y pegar su clave desde su navegador a la línea de comandos.

Si no tiene una cuenta de Ubuntu One, puede crear una sin costo alguno.

Habilitación gráfica del servicio Canonical Livepatch

Para iniciar la interfaz de configuración gráfica, presione la tecla «Super». Se encuentra entre las teclas «Control» y «Alt» en la parte inferior izquierda de la mayoría de los teclados. Busque «livepatch».

Cuando vea el icono de Livepatch, haga clic en el icono o presione «Entrar».

Aparecerá la ventana de diálogo «Software y actualizaciones» con la pestaña Livepatch seleccionada. Haga clic en el botón «Iniciar sesión». Se le recuerda que necesita una cuenta de Ubuntu One.

Haga clic en el botón «Iniciar sesión / Registrarse».

Aparece la ventana de diálogo Cuenta de inicio de sesión único de Ubuntu. Canonical usa los términos «Ubuntu One» y «Single Sign-On» de manera intercambiable. Quieren decir lo mismo. Oficialmente, «Single Sign-On» fue reemplazado por «Ubuntu One», pero el nombre antiguo persiste.

Ingrese los detalles de su cuenta y haga clic en el botón «Conectar». También puede usar esta ventana de diálogo para registrarse para una cuenta si aún no ha creado una.

Se le pedirá su contraseña.

Ingrese su contraseña y haga clic en el botón «Autenticar». Una ventana de diálogo le muestra la dirección de correo electrónico asociada con la cuenta de Ubuntu One que va a utilizar.

Asegúrese de que sea correcto y haga clic en el botón «Continuar».

Se le pedirá su contraseña una vez más. Después de unos segundos, la pestaña Livepatch en la ventana de diálogo «Software y actualizaciones» se actualizará para mostrar que Livepatch está vivo y activo.

Aparecerá un nuevo icono de escudo en el área de notificación de la herramienta, cerca de los iconos de red, sonido y energía. El círculo verde con la marca indica que todo está bien. Haga clic en el icono para acceder al menú.

Se nos dice que Livepatch está activado y no hay actualizaciones actuales.

La opción «Configuración de Livepatch» abrirá la ventana de diálogo «Software y actualizaciones» en la pestaña Livepatch.

Eso es; ya está todo hecho.

Habilitación del servicio Canonical Livepatch mediante la CLI

Vas a necesitar una cuenta de Ubuntu One . Si no tiene uno, tendrá la oportunidad de crear uno. Son gratis y solo toma un momento.

Algunos de los pasos que debemos realizar están basados en la web, por lo que este no es un método verdaderamente exclusivo de CLI. Comenzamos visitando la página web de Canonical Livepatch Service para obtener nuestra clave secreta o «token».

Seleccione el botón de opción «Usuario de Ubuntu» y haga clic en el botón «Obtenga su token de Livepatch».

Se le pedirá que inicie sesión en su cuenta de Ubuntu One.

Si tiene una cuenta, ingrese la dirección de correo electrónico que utilizó para configurar la cuenta y seleccione el botón de opción «Tengo una cuenta de Ubuntu One y mi contraseña es:».
Si no tiene una cuenta, ingrese su dirección de correo electrónico y seleccione el botón de opción «No tengo una cuenta de Ubuntu One». Se le guiará a través del proceso de creación de la cuenta.

Una vez que se haya verificado su cuenta de Ubuntu One, verá la página web de parcheo del kernel en vivo administrado. Se mostrará su clave.

Mantenga abierta la página web con su clave y abra una ventana de terminal. Utilice este comando en la ventana del terminal para instalar el demonio del servicio Livepatch:

sudo snap instalar canonical-livepatch

Cuando finalice la instalación, deberá habilitar el servicio. Necesitará la clave de la página web «Parcheo del kernel en vivo administrado».

Necesita copiar y pegar la clave en la línea de comando. Resalte la clave en la página web, haga clic derecho en ella y seleccione «Copiar» en el menú contextual. O puede resaltar la tecla y presionar «Ctrl + C».

Escriba el siguiente comando en la ventana de la terminal, pero no presione «Enter».

sudo canonical-livepatch enable

Luego, escriba un espacio, haga clic con el botón derecho y seleccione «Pegar» en el menú contextual. O puede presionar «Ctrl + Shift + V». Debería ver el comando que acaba de escribir, un espacio y la clave de la página web.

En la máquina de prueba utilizada para investigar este artículo, se veía así:

Presiona «Enter».

Si todo va bien, verá un mensaje de verificación de Livepatch que le indicará que la computadora ha sido habilitada para el parcheo del kernel. También mostrará otra clave larga; este es el «token de máquina».

Lo que acaba de pasar es:

Ha obtenido su clave Livepatch de Canonical.
Puedes usarlo en tres computadoras. Lo ha usado en una computadora hasta ahora.
El token de máquina que se generó para esta computadora, utilizando su clave, es el token de máquina que se muestra en este mensaje.

Si marca la pestaña Livepatch en la ventana de diálogo «Software y actualizaciones», verá que Livepatch está habilitado y activo.

Comprobación del estado de Livepatch

Puede hacer que Livepatch le brinde un informe de estado usando el siguiente comando:

estado de sudo canonical-livepatch

El informe de estado contiene:

versión de cliente : la versión de software de Livepatch.
arquitectura : La arquitectura de la CPU de la computadora.
cpu-model : El tipo y modelo de la Unidad Central de Procesamiento (CPU) en la computadora.
last-check : La hora y fecha en que Livepatch verificó por última vez para ver si había actualizaciones críticas del kernel disponibles para descargar.
boot-time : la hora en que esta computadora se encendió por última vez.
uptime : el tiempo que esta computadora ha estado encendida.

El bloque de estado nos dice:

kernel : la versión del kernel actual.
en ejecución : si Livepatch se está ejecutando o no.
checkstate : si Livepatch ha comprobado si hay parches del kernel.
patchState : si hay parches críticos del kernel que deben instalarse.
version : La versión de los parches del kernel, si los hay, que deben aplicarse.
correcciones : las correcciones contenidas en los parches del kernel.

Obligando a Livepatch a actualizarse ahora

El objetivo de Livepatch es proporcionar un servicio de actualización administrado, lo que significa que no necesita pensar en ello. Todo está hecho para ti. Pero si lo desea, puede forzar a Livepatch a buscar parches del kernel (y aplicar los que encuentre) con el siguiente comando:

actualización de sudo canonical-livepatch

Livepatch le dice la versión del kernel antes y después de la actualización. No había nada que aplicar en este ejemplo.

Menos fricción, más seguridad

La fricción de seguridad es el dolor o inconveniente asociado con la implementación, el uso o el mantenimiento de una función de seguridad. Si la fricción es demasiado alta, la seguridad se ve afectada porque la función no se usa ni se mantiene. Livepatch elimina toda la fricción de la aplicación de actualizaciones críticas del kernel, manteniendo su kernel lo más seguro posible.

Eso es a mano para «ganar, ganar».

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.