К вашему сведению: средство отслеживания ошибки Canonical имеет ошибку в нем на launchpad.net, таким образом, я неспособен к регистрации этой ошибки на их платформе. Канонический решил не оказать прямую поддержку, таким образом, этот дефект безопасности теперь выпускают на волю так, они должны делать с этим что-то.
Прежде чем мы начнем, я отметил это как уязвимость системы обеспечения безопасности просто, потому что целая цель канонических-livepatch состоит в том, чтобы сохранить систему безопасной, и с этой ошибкой, это неспособно к выполнению так.
Все наши машины сообщают об ошибке HTTP 400 при использовании их соответствующего URL для живого сервиса патча.
Канонический-livepatch инструмент работает, автоматически будучи настроенным согласно инструкциям относительно Канонического веб-сайта. Каждый раз, когда это работает, это отправляет нам следующую ошибку в нашем файле alerts.log от OSSEC.
canonical-livepatch[31251]: during refresh: cannot check: Bad server status code: 400. URL: https://livepatch.canonical.com/api/machine/[REDACTED MACHINE TOKEN] {"details": {"Status.0.Livepatch.State": "\"kernel-upgrade-required\" is not one of applied, apply-failed, unapplied, needs-check, nothing-to-apply, unknown, check-failed"}, "error": "Invalid payload"}
Выполнение "Кв. - получает обновление", и затем "apt-get-upgrade" не приводит ни к каким обновляемым ядрам Linux. По-видимому, Ваше программное обеспечение вне синхронизации с сервером API. Если это не так сообщите мне, существует ли некоторый способ для меня зафиксировать его с нашей стороны.
Когда я пытаюсь сделать это вручную, вот то, что это говорит:
$ sudo canonical-livepatch refresh
Before refresh:
kernel: 4.15.0-29.31-generic
fully-patched: false
version: "42.1"
After refresh:
kernel: 4.15.0-29.31-generic
fully-patched: false
version: "42.1"
Вот дамп конфигурации:
$ sudo canonical-livepatch config
http-proxy: ""
https-proxy: ""
no-proxy: ""
remote-server: https://livepatch.canonical.com
ca-certs: ""
check-interval: 60 # minutes
Я не уверен, каков Ваш вопрос, но существует различие между следующими двумя командами:
apt-get upgrade
apt-get dist-upgrade
Обычно (или всегда?), upgrade
не установит новые ядра, тогда как dist-upgrade
будет.
От apt-get
страница справочника:
upgrade
upgrade is used to install the newest versions of all packages
currently installed on the system from the sources enumerated in
/etc/apt/sources.list. Packages currently installed with new
versions available are retrieved and upgraded; under no
circumstances are currently installed packages removed, or packages
not already installed retrieved and installed. New versions of
currently installed packages that cannot be upgraded without
changing the install status of another package will be left at
their current version. An update must be performed first so that
apt-get knows that new versions of packages are available.
dist-upgrade
dist-upgrade in addition to performing the function of upgrade,
also intelligently handles changing dependencies with new versions
of packages; apt-get has a "smart" conflict resolution system, and
it will attempt to upgrade the most important packages at the
expense of less important ones if necessary. The dist-upgrade
command may therefore remove some packages. The
/etc/apt/sources.list file contains a list of locations from which
to retrieve desired package files. See also apt_preferences(5) for
a mechanism for overriding the general settings for individual
packages.
Смутно, apt upgrade
отличается от apt-get upgrade
. Я верю apt upgrade
совпадает с apt-get dist-upgrade
.
Rick также говорит, что использует следующую команду:
sudo apt-get upgrade linux-generic linux-headers-generic linux-image-generic
Однако следующее должно быть достаточным:
sudo apt-get upgrade linux-generic
Вышеупомянутое обновит все пакеты и установит любые новые пакеты, требуемые последней версией linux-generic
. (И linux-generic
зависит от linux-headers-generic
и linux-image-generic
.)
С другой стороны, если Вы только хотите установить новое linux-generic
(и его зависимости), и не обновление любые другие пакеты, рассмотрите:
sudo apt-get install linux-generic
Так, я узнал, что поддержка [a-t] canonical/com электронная почта действительно работает, даже при том, что она говорит, что она возвратила мое сообщение им. Их поддержка ответила почти сразу и надлежащим решением.
Вот то, что они сказали:
Привет Rick,
Я могу подтвердить, что была некоторая работа, сделанная к нашему инструменту Livepatch для лучше идентификации, когда Livepatch не может установить патч для фиксации CVE, и обновление/перезагрузка пакета ядра требуется. Я удостоверюсь, что передал эту ошибку группе, которая работает над тем обновлением, чтобы лучше предупредить, что обновление пакета необходимо, и не имеют его, похожи на отказ/ошибку.
Это - ситуация, что Вы находитесь в прямо сейчас. Вы выполняете ядро, которое уязвимо для использования L1TF [1]. Фиксация должна обновить до 4.15.0-32. Я могу подтвердить, что эта версия выпущена, так как я обновил до нее на прошлой неделе: версия клиента: 8.0.3 машины идентификатора: отредактированная машина маркер: отредактированная архитектура: модель CPU x86_64: Intel(R) Core(TM) i5-2500K CPU последняя проверка на 3.30 ГГц: время начальной загрузки 2018-08-18T09:49:12.018793176-07:00: время работы 2018-08-15T12:07:32-07:00: состояние 70h5m42 s: - ядро: 4.15.0-32.35-универсальное выполнение: истинный livepatch: checkState: проверенный patchState: версия nothing-apply: "" фиксирует: ""
Проверьте свой/etc/apt/sources.list, чтобы гарантировать, что или обновления или очаги безопасности включены: deb бионические обновления http://us.archive.ubuntu.com/ubuntu/ основная ограниченная мультивселенная вселенной deb бионическая безопасность http://security.ubuntu.com/ubuntu основная ограниченная мультивселенная вселенной
Кроме того, для наблюдения, какие пакеты доступны после того, как Вы включаете обновления и/или безопасность и выполняете способное обновление команда: политика способного кэша linux-image-generic linux-image-generic: Установленный: 4.15.0.32.34 Кандидат: 4.15.0.32.34 Таблица Version: *** 4.15.0.32.34 500 500 пакетов http://us.archive.ubuntu.com/ubuntu bionic-updates/main amd64 500 пакетов http://security.ubuntu.com/ubuntu bionic-security/main amd64 100/var/lib/dpkg/status 4.15.0.20.23 500 500 http://us.archive.ubuntu.com/ubuntu бионические/основные amd64 Пакеты
Я надеюсь, что это помогает Вашей ситуации.
Спасибо, Chris каноническая поддержка
На DigitalOcean уже установлены все те repos. Однако проблема была этим apt-get
автоматически не устанавливает обновления ядра, потому что это может вызвать проблемы в другом программном обеспечении, если другое программное обеспечение не совместимо с ним.
Так, так как наша система совместима и имеет регулярные резервные копии, я обновил ее со следующей командой.
sudo apt-get upgrade linux-generic linux-headers-generic linux-image-generic
Не забудьте перезагружать свою систему для изменений для вступления в силу.
sudo reboot
Для выполнения patcher вручную сделайте:
sudo canonical-livepatch refresh
Необходимо видеть что-то подобное следующему.
Перед обновлением:
kernel: 4.15.0-32.35-generic
fully-patched: true
version: ""
After refresh:
kernel: 4.15.0-32.35-generic
fully-patched: true
version: ""