Когда Ubuntu Livepatch работает не круглосуточно без выходных

Теоретически есть смысл в установке живого исправления ядра на сервере Ubuntu, который ежедневно перезагружается. Вы уменьшаете окно возможностей для хакерских атак, которые могут произойти в промежутке между публикацией патча и запланированной перезагрузкой.

У меня Canonical livepatch установлен на моем рабочем столе Ubuntu, и он работает. На момент публикации патча он выполнил обновление моего ядра, которое видно с помощью команды:

# canonical-livepatch status --verbose

Команда скажет «patchState: nothing-to-apply», но она перечислит исправленные уязвимости CVE по номерам CVE при выпуске живого патча:

# canonical-livepatch status
   client-version: "1"
   architecture: x86_64
   cpu-model: QEMU Virtual CPU version 2.4.0
   last-check: 2016-08-24T19:38:36.793837171Z
   boot-time: 2016-08-24T18:53:56Z
   uptime: 45m4s
   status:
   - kernel: 4.4.0-21.37-generic
     running: true
     livepatch:
       state: applied
       version: "10.1"
       fixes: |-
         * CVE-NNNN-XXXX LP: #NNNNNNN
#

Вы не устанавливаете время, когда ваша система исправлена, так как это зависит от canonical, делающей патч доступным, при котором livepatchd будет обновлять ваше ядро как можно скорее. Перезагрузка не требуется, и ваша система останется исправленной до запланированной перезагрузки.

Если вы не установите новую версию ядра, когда она доступна через

# apt-get dist-upgrade

, ваша система будет продолжать использовать ядро livepatch при следующем включении питания, до тех пор, пока вы не установите обновление ядра Linux и перезагрузку, выбрав исправленное ядро или сделав его по умолчанию.

По умолчанию canonical-livepatch будет проверять, есть ли новые патчи, доступные Canonical каждые 60 минут.

Вы можете изменить этот интервал проверки в минутах:

# canonical-livepatch config check-interval=120

К сожалению, наименьшее значение жестко закодировано в 60 минут.