Elindult a Canonical enterprise kernel livepatch szolgáltatása, ingyenes az Ubuntu közösség számára

Ubuntu

A Canonical részéről Dustin Kirkland bejelentette, hogy elindult a Canonical enterprise kernel livepatch szolgáltatása. A kernel live patchig lehetővé teszi a kernel kritikus biztonsági hibáinak javítását futás közben, reboot nélkül. A Canonical enterprise kernel livepatch egy, az Oracle Ksplice Uptrack megoldásának alternatívája. Ubuntu felhasználók számára 3 gépig ingyenes. Ubuntu ügyfelek Ubuntu Advantage enterprise support szerződéssel lefedett gépeiken korlátlanul használhatják a szolgáltatást.

További részletek Dustin blogbejegyzésében.

( trey | 2016. 10. 19., sze – 09:15 )

Microsoft ügyfélként mit nem adnék azért, ha egyszer eljutnánk ide...

--
trey @ gépház

Kicsit off, de ha már Windows Update... Windows 10 cummulative patch után minden hónapban újra be kell állítanom a dlna konfigot, mert elfelejti. Mindezt otthoni környezetben. Èn még megoldom, de a megcélzott felhasználói közösség ezen simán elhasal... havonta...

--
robyboy

eddig kétszer volt olyan, egyik az anniversary frissítésnél, másik egy összegző frissítésnél, hogy az egerem unified vevőjét ki kellett húzni a gépből, hogy tovább menjen a frissítés, mert különben egy helyben állt és csak pörögtek a golyók a végtelenségig. ez sem normális.

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

( yoursoft | 2016. 10. 19., sze – 11:06 )

Nálam nem működik 64 bites 16.04.1-es szerveren:
sudo apt-get install snapd
sudo snap install canonical-livepatch
sudo canonical-livepatch enable xxxxxxxxxxxxxx

=

cannot change apparmor hat of the support process for mount namespace capture. errmsg: Operation not permitted
support process for mount namespace capture exited abnormally

:-(

btw
deb http://archive.ubuntu.com/ubuntu/ xenial-proposed restricted main multiverse universe

innen toltam egy upgrade-et (snapd és apparmor elvileg elég, talán a snapd is)

Utána egy apparmor restart + snapd restart + újraraktam a canonical-livepatch-et snapal.
(btw lehet kellett egy snap.canonical-livepatch.canonical-livepatchd restart is :) )

Ezután már fut is :)

root@ubuntuOS:~# canonical-livepatch status
kernel: 4.4.0-43.63-generic
fully-patched: true
version: ""

passz, ez csak az egyik kis VPS-emre lett felrakva. Bár rögtön utána ki is szedtem a sourcesből, mert minek.

https://wiki.ubuntu.com/Testing/EnableProposed

Elvileg ezek a csomagok idővel belekerülnek a rendes update-ek közé LTSnél is, csak később. De fixme, nem vagyok egy Ubuntu expert ilyen téren, sőt. Alapvetően CentOS* vonalon mozgok.

^^ itt kapsz bővebb infót szerintem erről.

Nekem ez úgy tűnik (nem vagyok profi, csak kapargatom a felszínt), hogy egy olyan szolgáltatást akarnak bevezetni, ami nagyon össze tudja borítani a rendszert, akár egy álmos programozó miatt is.
Biztos, hogy ez kell? Mibe kerül egy hajnali reboot, ha már kernel upgrade?
/szubjektív_on A Windows 10-es WSL meg még pelenkás, hagyni kellene, hogy fejlődjön. /szubjektív_off

"Az atombombát és a C vitamint is a Magyarok találták fel...
Mindkettőből elég, napi 500 mg. - by Bödőcs Tibor"

> Mibe kerül egy hajnali reboot, ha már kerlen upgrade?

Az ugye attól függ, hogy egy bankban dolgozol (ahol banki időn kívül bőven van idő újraindítani) vagy mondjuk egy műholdon vagy egy lélegeztetőgépen futó rendszerről van szó. Vannak olyan területek, ahol egész egyszerűen nem lehet újraindítani hosszú időn keresztül.

en elgondolkodnek rajta, hogy a mission critical kornyezet miert ugy van megepitve, hogy egy reboot szolgaltatskiesest jelentsen

a lelegeztetogepeket, ipari celeszkozoket, stb. meg ne vegyuk ide, baromi ritkan kell kernelt frissiteni bennuk, es jellemzoen az sem eles uzem alatt tortenik

( enpassant v | 2016. 10. 20., cs – 08:46 )

Tegnap felinstalláltam, szépen ment minden.

Ma reggelre új kernel verzió érkezett (4.4.0-45). Nosza, legalább megnézzük jól működik-e!
Az új kernel verzió felrakása után újra akar indulni :(

Megnéztem a livepatch státuszát: 


> sudo canonical-livepatch status --verbose
client-version: "5"
machine-id: xxxxxxxxxxxxxxxxxxxxxxx
machine-token: xxxxxxxxxxxxxxxxxxxxxxx
architecture: x86_64
cpu-model: Intel(R) Core(TM) i7-4720HQ CPU @ 2.60GHz
last-check: 2016-10-19T21:39:10.346248254+02:00
boot-time: 2016-10-20T08:00:16+02:00
uptime: 36m22s
status:
- kernel: 4.4.0-43.63-generic
  running: true
  livepatch:
    state: check-failed
    version: ""
    fixes: ""

Megnéztem és a livepatch service elérhető.
Mi lehet a baj? Vagy még inkább, mi lehet a megoldás?

Hm, jó kérdés, nálam így néz ki:

root@ubuntuOS:~# canonical-livepatch status --verbose
client-version: "5"
machine-id: cb102c5XXXXXXXXXXXXXXXXX78f27bd
machine-token: 1ed3536XXXXXXXXXXXXXXe1f91280
architecture: x86_64
cpu-model: Intel(R) Xeon(R) CPU E5-2650L v3 @ 1.80GHz
last-check: 2016-10-20T08:06:17.18442905+02:00
boot-time: 2016-10-19T14:58:29+02:00
uptime: 17h51m6s
status:
- kernel: 4.4.0-43.63-generic
running: true
livepatch:
state: applied
version: "13.3"
fixes: '* CVE-2016-5195 LP: #1633547'

(bár tény, az motd restart requiedet ír továbbra is, de szerintem az csak valami "textbug")

A logban ez van: 


Bad server status code: 400. URL: https://livepatch.canonical.com/api/machine/7220xxxxxxxxxxxxxxxxxxxxx92 {"error": "Invalid payload", "details": {"Status.0.Livepatch.State": "\"check-failed\" is not one of applied, apply-failed, unapplied, needs-check, nothing-to-apply, unknown"}}

Letiltottam sikeresen: 


> sudo canonical-livepatch disable 1ddxxxxxxxxxxxxxxxxxx7d5
Successfully disabled device. Removed machine-token: ef77xxxxxxxxxxxxxxxxxxxxxxx438

Újraengedélyeztem sikeresen: 


> sudo canonical-livepatch enable 1ddxxxxxxxxxxxxxxxxxxx7d5
Successfully enabled device. Using machine-token: 2f9xxxxxxxxxxxxxxxxxx7e4

Más lett a machine-token, de továbbra is ugyanez maradt a helyzet.

Mai nap jött új snapd frissítés, gondoltam megnézem változott-e valami.

Lekérdeztem a status-t, de ugyanaz a helyzet.
Letiltottam, majd újraengedélyeztem, ahogy korábban is írtam.

Most változott a kiírás: 


> sudo canonical-livepatch status --verbose
client-version: "5"
machine-id: 7220XXXXXXXXXXXXXXXXXXXXXX592
machine-token: 791XXXXXXXXXXXXXXXXXXXXXXXX35f
architecture: x86_64
cpu-model: Intel(R) Core(TM) i7-4720HQ CPU @ 2.60GHz
last-check: 2016-10-26T07:51:34.382203819+02:00
boot-time: 2016-10-26T07:31:23+02:00
uptime: 23m6s
status:
- kernel: 4.4.0-45.66-generic
  running: true
  livepatch:
    state: nothing-to-apply
    version: ""
    fixes: ""

Ez már bizakodásra ad okot, várom a következő kernel frissítést!

canonical-livepatch status --verbose
client-version: "5"
machine-id: 882xxxxxxxxxxxxxxxxxxxxx
machine-token: d2cxxxxxxxxxxxxxxxxxxx
architecture: x86_64
cpu-model: Intel(R) Core(TM) i5-5200U CPU @ 2.20GHz
last-check: 2016-10-26T00:35:32.791057692-07:00
boot-time: 2016-10-25T23:51:41-07:00
uptime: 46m56s
status:
- kernel: 4.4.0-31.50-generic
  running: true
  livepatch:
    state: applied
    version: "13.3"
    fixes: ""

<frissítés; reboot> 

trey@ubuntu:~$ canonical-livepatch status --verbose
client-version: "5"
machine-id: 88xxxxxxxxxxxxxxxxxx
machine-token: d2cxxxxxxxxxxxxxxxxxxxxxxx
architecture: x86_64
cpu-model: Intel(R) Core(TM) i5-5200U CPU @ 2.20GHz
last-check: 2016-10-26T00:47:26.699999721-07:00
boot-time: 2016-10-26T00:47:19-07:00
uptime: 1m7s
status:
- kernel: 4.4.0-45.66-generic
  running: true
  livepatch:
    state: nothing-to-apply
    version: ""
    fixes: ""

Nem látok semmiféle problémát.

--
trey @ gépház