So verwenden Sie den Livepatch-Dienst von Canonical unter Ubuntu

von

Möchten Sie, dass sicherheitsrelevante Korrekturen am Linux-Kernel automatisch auf Ihrem Ubuntu-System installiert werden, ohne dass ein Neustart des Computers erforderlich ist? Wir zeigen Ihnen, wie Sie den Livepatch-Dienst von Canonical nutzen können.

Was ist Livepatch und wie funktioniert es?

Wie Dustin Kirkland von Canonical erläutert, verwendet Canonical Livepatch die Kernel-Live-Patching-Technologie, die in den Standard-Linux-Kernel integriert ist. Laut Canonicals Livepatch-Webseite wird dieser Dienst von großen Unternehmen wie AT&T, Cisco und Walmart genutzt.

Für den persönlichen Gebrauch ist der Dienst auf bis zu drei Rechnern kostenlos nutzbar – dies können laut Kirkland „Desktops, Server, virtuelle Maschinen oder Cloud-Instanzen“ sein. Unternehmen können den Dienst mit einem kostenpflichtigen Ubuntu Advantage-Abonnement auf einer größeren Anzahl von Systemen einsetzen.

Kernel-Patches: Notwendig, aber umständlich

Linux-Kernel-Patches sind unumgänglich. In der heutigen vernetzten Welt ist es unerlässlich, Ihr System sicher und aktuell zu halten. Der Neustart Ihres Computers für die Installation von Kernel-Patches kann jedoch umständlich sein. Dies gilt insbesondere, wenn der Computer Dienste für Benutzer bereitstellt und Sie die Downtime mit diesen koordinieren müssen. Wenn Sie mehrere Ubuntu-Rechner verwalten, müssen Sie diese zudem einzeln aktualisieren.

Der Canonical Livepatch-Dienst beseitigt diese Unannehmlichkeiten, indem er Ihre Ubuntu-Systeme automatisch mit wichtigen Kernel-Patches versorgt. Die Einrichtung ist einfach – entweder grafisch oder über die Kommandozeile – und nimmt Ihnen eine weitere Aufgabe ab.

Alles, was den Wartungsaufwand reduziert, die Sicherheit verbessert und Ausfallzeiten minimiert, sollte doch attraktiv sein, oder? Ja, es gibt jedoch einige Voraussetzungen:

  • Sie benötigen eine Long Term Support (LTS)-Version von Ubuntu, wie 16.04 oder 18.04. Die neueste LTS-Version ist 18.04, die wir hier verwenden werden.
  • Es muss eine 64-Bit-Version sein.
  • Sie benötigen Linux Kernel 4.4 oder höher.
  • Sie benötigen ein Ubuntu One-Konto. Erinnern Sie sich an diese? Falls Sie kein Ubuntu One-Konto haben, können Sie sich kostenlos registrieren.
  • Der Canonical Livepatch-Dienst ist kostenlos, jedoch auf drei Rechner pro Ubuntu One-Konto begrenzt. Wenn Sie mehr als drei Computer verwalten, benötigen Sie zusätzliche Ubuntu One-Konten.
  • Für die Betreuung von physischen, virtuellen oder Cloud-Servern benötigen Sie ein Ubuntu Advantage-Kundenkonto.

Ein Ubuntu One-Konto erstellen

Unabhängig davon, ob Sie den Livepatch-Dienst über die grafische Benutzeroberfläche (GUI) oder die Kommandozeile (CLI) einrichten, benötigen Sie ein Ubuntu One-Konto. Der Livepatch-Dienst benötigt einen privaten Schlüssel, der an Ihr Ubuntu One-Konto gebunden ist.

Bei der Einrichtung über die GUI wird der Schlüssel nicht direkt angezeigt. Er wird jedoch im Hintergrund verwendet. Wenn Sie den Livepatch-Dienst über das Terminal einrichten, müssen Sie den Schlüssel aus Ihrem Browser kopieren und in die Befehlszeile einfügen.

Wenn Sie noch kein Ubuntu One-Konto haben, können Sie kostenlos eines erstellen.

Grafisches Aktivieren des Canonical Livepatch-Dienstes

Um die grafische Oberfläche zu starten, drücken Sie die „Super“-Taste (meist zwischen Strg und Alt auf der linken Seite der Tastatur). Suchen Sie nach „Livepatch“.

Sobald Sie das Livepatch-Symbol sehen, klicken Sie darauf oder drücken Sie die Eingabetaste.

Das Fenster „Software und Aktualisierungen“ mit der Registerkarte „Livepatch“ wird geöffnet. Klicken Sie auf „Anmelden“. Sie werden daran erinnert, dass Sie ein Ubuntu One-Konto benötigen.

Klicken Sie auf „Anmelden / Registrieren“.

Das Ubuntu Single Sign-On-Fenster wird angezeigt. Canonical verwendet die Begriffe „Ubuntu One“ und „Single Sign-On“ synonym. Offiziell wurde „Single Sign-On“ durch „Ubuntu One“ ersetzt, aber der alte Name wird weiterhin verwendet.

Geben Sie Ihre Kontodaten ein und klicken Sie auf „Verbinden“. Sie können dieses Fenster auch zur Kontoerstellung nutzen.

Sie werden nach Ihrem Passwort gefragt.

Geben Sie Ihr Passwort ein und klicken Sie auf „Authentifizieren“. Ein Fenster zeigt die mit dem Ubuntu One-Konto verbundene E-Mail-Adresse an.

Bestätigen Sie die E-Mail-Adresse und klicken Sie auf „Weiter“.

Sie werden erneut nach Ihrem Passwort gefragt. Nach wenigen Sekunden wird die Registerkarte „Livepatch“ im Fenster „Software und Aktualisierungen“ aktualisiert und zeigt an, dass Livepatch aktiv ist.

Ein neues Schildsymbol erscheint im Infobereich neben den Netzwerk-, Sound- und Energiesymbolen. Der grüne Kreis mit dem Häkchen zeigt an, dass alles in Ordnung ist. Klicken Sie auf das Symbol, um das Menü zu öffnen.

Es wird angezeigt, dass Livepatch aktiviert ist und keine Updates verfügbar sind.

Die Option „Livepatch-Einstellungen“ öffnet das Fenster „Software und Aktualisierungen“ mit der Registerkarte „Livepatch“.

Das war es; die Einrichtung ist abgeschlossen.

Aktivieren des Canonical Livepatch-Dienstes über die CLI

Sie benötigen ein Ubuntu One-Konto. Wenn Sie keines haben, können Sie sich kostenlos registrieren. Dies dauert nur einen Moment.

Einige Schritte erfordern eine Webseite, daher ist dies keine reine CLI-Methode. Zunächst besuchen Sie die Canonical Livepatch Service-Webseite, um Ihren geheimen Schlüssel oder „Token“ zu erhalten.

Wählen Sie die Option „Ubuntu-Benutzer“ und klicken Sie auf „Get Your Livepatch Token“.

Sie werden aufgefordert, sich mit Ihrem Ubuntu One-Konto anzumelden.

Wenn Sie ein Konto haben, geben Sie Ihre E-Mail-Adresse ein und wählen Sie „Ich habe ein Ubuntu One-Konto und mein Passwort ist:“. Falls Sie kein Konto haben, geben Sie Ihre E-Mail-Adresse ein und wählen Sie „Ich habe kein Ubuntu One-Konto“. Sie werden dann durch die Kontoerstellung geführt.

Nachdem Ihr Ubuntu One-Konto bestätigt wurde, sehen Sie die Webseite „Managed Live Kernel Patching“ mit Ihrem Schlüssel.

Lassen Sie die Webseite mit Ihrem Schlüssel geöffnet und öffnen Sie ein Terminal. Installieren Sie den Livepatch-Daemon mit folgendem Befehl:

sudo snap install canonical-livepatch

Nach Abschluss der Installation müssen Sie den Dienst aktivieren. Sie benötigen dafür den Schlüssel von der Webseite „Managed Live Kernel Patching“.

Kopieren Sie den Schlüssel. Markieren Sie ihn auf der Webseite, klicken Sie mit der rechten Maustaste und wählen Sie „Kopieren“ oder drücken Sie Strg+C.

Geben Sie im Terminal folgenden Befehl ein, aber drücken Sie noch nicht die Eingabetaste:

sudo canonical-livepatch enable

Fügen Sie ein Leerzeichen hinzu, klicken Sie mit der rechten Maustaste und wählen Sie „Einfügen“ oder drücken Sie Strg+Umschalt+V. Sie sollten den Befehl, ein Leerzeichen und Ihren Schlüssel sehen.

Auf dem Testsystem sah das so aus:

Drücken Sie die Eingabetaste.

Im Erfolgsfall erhalten Sie eine Bestätigungsnachricht, dass Ihr Computer für Kernel-Patches aktiviert wurde. Es wird außerdem ein weiterer langer Schlüssel angezeigt, das „Maschinen-Token“.

Zusammenfassend:

  • Sie haben Ihren Livepatch-Schlüssel von Canonical erhalten.
  • Sie können ihn auf drei Computern verwenden. Sie haben ihn bisher auf einem Computer eingesetzt.
  • Das Maschinen-Token, das für diesen Computer unter Verwendung Ihres Schlüssels generiert wurde, wird in dieser Nachricht angezeigt.

Wenn Sie die Registerkarte „Livepatch“ im Fenster „Software und Aktualisierungen“ überprüfen, sehen Sie, dass Livepatch aktiviert ist.

Überprüfen des Livepatch-Status

Sie können einen Statusbericht mit folgendem Befehl anfordern:

sudo canonical-livepatch status

Der Statusbericht enthält:

  • client-version: Die Livepatch-Softwareversion.
  • Architektur: Die CPU-Architektur.
  • CPU-Modell: Der Typ und das Modell der CPU.
  • last-check: Zeitpunkt der letzten Überprüfung auf Kernel-Updates.
  • boot-time: Zeitpunkt des letzten Systemstarts.
  • Betriebszeit: Die Zeit, die das System bereits läuft.

Der Statusblock gibt Auskunft über:

  • Kernel: Die Kernel-Version.
  • running: Ob Livepatch aktiv ist.
  • checkstate: Ob Livepatch auf Kernel-Patches geprüft hat.
  • patchState: Gibt an, ob Patches installiert werden müssen.
  • version: Die Patch-Version, falls vorhanden.
  • fixes: Die in den Patches enthaltenen Fixes.

Erzwingen einer Livepatch-Aktualisierung

Livepatch ist ein verwalteter Aktualisierungsdienst, der Ihnen die Arbeit abnimmt. Sie können Livepatch jedoch mit folgendem Befehl zwingen, nach Kernel-Patches zu suchen (und diese zu installieren):

sudo canonical-livepatch refresh

Livepatch zeigt die Kernel-Versionen vor und nach der Aktualisierung an. In diesem Beispiel waren keine Updates notwendig.

Weniger Aufwand, mehr Sicherheit

Sicherheitsrelevante Vorgänge sollten möglichst reibungslos ablaufen. Ist der Aufwand zu groß, wird die Sicherheit vernachlässigt. Livepatch minimiert den Aufwand bei der Installation kritischer Kernel-Updates und erhöht so die Sicherheit Ihres Kernels.

Kurz gesagt: Es ist eine Win-Win-Situation.

Weitere Artikel:

  1. So aktivieren oder deaktivieren Sie die Debug-Protokollierung für den Netlogon-Dienst unter Windows 11
  2. So verwenden Sie einen Musik-Streaming-Dienst als Alarm auf Android
  3. So verwenden Sie einen VPN-Dienst mit Chromecast
  4. Beheben Sie den Intel RST-Dienst wird in Windows 10 nicht ausgeführt