Ubuntu canonical livepatch что это
Исправления к ядру без необходимости в перезагрузке.
Canonical предоставила для пользователей Ubuntu возможность получать исправления безопасности для ядер Linux без необходимости перезагружаться.
Введён в строй Canonical Livepatch Service, с помощью которого через аутентификацию и шифрованное соединение, вы сможете получить заплатки для 64-bit Intel/AMD архитектуры и Ubuntu 16.04 LTS Xenial Xerus. Данный функционал особенно будет интересен тем, кто использует контейнерные технологии типа Докера или LXD, так как контейнеры используют ядро хоста и если он получает заплатки, то это распространяется и на них.
Как активировать Canonical Livepatch Service?
Нужно выполнить три шага для актуальной 64-битной Ubuntu 16.04 LTS.
Какие системные требования?
Canonical Livepatch Service доступен для ядер generic и low-latency 64-bit Intel/AMD (x86_64, amd64) в Ubuntu 16.04 LTS (Xenial Xerus) с ядром Linux 4.4. Технология livepatches от Canonical работает с десктопной и серверной Ubuntu 16.04 LTS. На физических, виртуальных машинах, а так же в облачных образах.
Стабильность и безопасность работы технологии зависит от того, модифицировали вы самостоятельно ядра или нет, а также от надёжного сетевого доступа к https://livepatch.canonical.com:443
Snapd должен быть не ниже 2.15.
Что насчёт других архитектур?
В данный момент работа технологии ограничена 64-bit x86. IBM работает над поддержкой POWER8 и s390x. В активной разработке находится внедрение поддержки ARM64, о которой сообщат подробнее. Livepatch для 32-bit ARM и 32-bit x86 в данный момент не рассматривается.
Что насчёт других релизов Убунту?
Canonical Livepatch Service пока работает только с Ubuntu 16.04 LTS и ядром Linux 4.4. Старые релизы Убунту не будут поддерживаться, так как в их ядрах нет нужного функционала. Обычные релизы типа Убунту 16.10 предназначены для разработчиков и активных пользователей, любящих попробовать новинки первыми. Livepatch им мало интересен и сама технология нацелена на пользователей LTS систем для поддержания максимального uptime.
Как тестируются патчи, которые будут применятся к ядру налету?
Каждый такой патч тщательно проверяется серверами CI/CD (Continuous Integration / Continuous Delivery). Сотни комбинаций из livepatches, ядер, аппаратного оборудования, физических машин, виртуальных машин. После того как пройдены все тесты в CI/CD, а так же тесты на наличие регрессий, небольшой части пользователей дают скачать и установить патчи через Canonical Livepatch Service. Если всё хорошо, то процент увеличивают и так постепенно охватывают всё сообщество. Сбои в системах пользователей автоматически обнаруживаются и для разбирательства будут подняты на уши сотрудники Canonical.
Livepatch можно откатить?
В данный момент откат/удаление отключён. Нужен надёжный способ, чтобы определить нет ли выполняющегося внутри функции, которую патчат, прежде чем её удалить. Однако технология позволяет смело накладывать новые патчи друг на друга и даже репатчить функцию снова и снова.
Инциденты с безопасностью в статусе low и medium в базе CVE будут патчится?
В данный момент все сфокусированы на high и critical дырах.
Почему Canonical Livepatches сделан в виде сервиса с подпиской?
Canonical Livepatch Service обеспечивает безопасное, зашифрованное соединение с поддержкой аутентификации для того чтобы убедится в том, что подписанные livepatch напрямую доставляются для вашей системы.
Но я не хочу покупать Ubuntu Advantage!
И не нужно! Canonical предоставляет Livepatch Service бесплатно до 3 машин. Случайно выбранные пользователи, которые бесплатно используют технологию патчинга ядер на лету, получат свои патчи раньше других. Остальные пользователи (за бесплатно и в рамках Ubuntu Advantage) получат позже, после успешного первого развёртывания.
Но у меня нет единой учётной записи Ubuntu SSO!
Создание Ubuntu SSO бесплатно и похоже на аналогичный ID у компаний Google, Microsoft и Apple. Создать аккаунт можно по адресу login.ubuntu.com
У меня нет доступа к livepatch.canonical.com:443!
Можно представить Canonical Livepatch Service как сервис от Netflix, Pandora или Dropbox. Это потоковый сервис в Интернет для вашего ядра. Если есть доступ к Интернет, то можно подключится к потоку битов. С другой стороны, если нет прямого доступа к Интернет, тогда машины надёжнее защищены от остального мира?
Есть исходный код?
Исходный код модулей livepatch доступен на git.launchpad.net. Исходный код клиента canonical-livepatch является коммерческим ПО и частью продукта по управлению системами Landscape.
Что про Ubuntu Core?
Canonical Livepatches будет доступен для Ubuntu Core в конце 2016 года. Canonical Livepatches для IoT устройств на базе ARM будет зависеть от того, как апстрим проекта реализует поддержку данной архитектуры.
Как можно сравнить с Oracle Ksplice, RHEL Live Patching и SUSE Live Patching?
Концептуально они похожи и разница лишь в реализации и в коммерческих условиях поставки:
Что будет если я огребу проблем с Canonical Livepatches?
Клиенты Ubuntu Advantage будут подавать запрос в службу поддержки на support.canonical.com, где их обслужат в соответствии с их уровнем Essential, Standard или Advanced. Пользователи из сообщества, кто бесплатно использует технологию, должны создать отчёт о баге на Launchpad, который постараются решить как можно быстрее (best effort).
Я могу собрать свои livepatches?
Вы, безусловно, можете создавать свои патчи для применения их на лету, но это потребует от вас серьёзных навыков, времени, вычислительных мощностей и усилий в тестировании. Chris Arges в своём блоге создал HOWTO using linux livepatch on ubuntu для тех кто решится действовать самостоятельно.
livepatching не является просто огромным руткитом?
Canonical Livepatches инжектирует модули ядра, чтобы заменить секции двоичного кода в работающем ядре. Это требует CAP_SYS_MODULE возможности для использования подгрузки модулей (modprobe) в ядро Linux. Данной возможностью обладает root в системе, так что вы, как админ, можете это делать С и БЕЗ Canonical Livepatches. Если вы админ системы Убунту и хотите отключить загрузку модулей ядра (тем самым отключить Canonical Livepatches), то можете использовать echo 1 | sudo tee /proc/sys/kernel/modules_disabled
Как пропатчить ядро без перезагрузки: livepatch, kpatch и Canonical Livepatch Service
Тему обновления патчей ядра без перезагрузки мы уже рассматривали в статье, опубликованной в 2014 году. В ней речь шла о KernelCare — инструменте, разработанном нашими партнёрами из компании Cloud Linux. На момент написания статьи KernelCare был чуть ли не единственным пригодным для полноценного использования инструментом для наложения патчей.
Прошло два с небольшим года — и ситуация изменилась, причём кардинально: начиная с версии 4.0 возможность наложения патчей «на лету» была официально добавлена в ядро.
Инструменты kpatch и kGraft, которые в 2014 году находились в «сыром» состоянии, также были существенно усовершенствованы. Kpatch даже был добавлен в официальные репозитории, — например, в Ubuntu 16.04 его уже можно установить с помощью стандартного менеджера пакетов.
А компания Canonical совсем недавно представила сервис Canonical Livepatch Service, с помощью которого можно патчить без перезагрузки ядро Ubuntu.
Более подробно о некоторых современных инструментах для добавления патчей мы расскажем в этой статье.
Простейший пример: livepatch
Начнём с очень простого эксперимента. Для этого нам понадобится любой дистрибутив Linux c ядром версии 4.0 или выше (в нашем случае это Ubuntu 16.04; здесь и далее все примеры команд приводятся именно для этого дистрибутива). В новых версиях ядра функция добавления патчей «на лету»(она так и называется — livepatch) включена по умолчанию.
Чтобы проверить, как она работает, нам потребуется, во-первых, установить заголовки ядра:
Далее установим отладочные символы ядра:
При выполнении этой команды в Ubuntu 16.04 может быть выдано следующее сообщение об ошибке:
Причина ошибки в том, что репозитории deb-src по умолчанию не подключены, а соответствующие строки в файле /etc/apt/sources.list закомментированы. Чтобы мы смогли работать с репозиториями исходных кодов, выполним:
После этого предыдущая команда будет выполняться без ошибок. К эксперименту всё готово, можно начинать:
Соберём модуль и вставим его в ядро:
Посмотрим, что получилось. Выполним:
Вместо стандартной информации о параметрах ядра мы увидим вот такой текст:
Как видим, патч был успешно применён.
Вся информация о загруженных патчах хранится в директории /sys/kernel/livepatch:
Деактивировать патч можно с помощью команды:
Kpatch
Kpatch — инструмент, разработанный компаний Red Hat. Впервые он был представлен широкой пользовательской аудитории в феврале 2016 года. За это время он был значительно усовершенствован: в Ubuntu 16.04 он уже включён в официальные репозитории. Рассмотрим особенности работы с kpatch на практических примерах.
Начнём с установки необходимых зависимостей:
Для полноценной работы с kpatch также желательно установить ccache:
Вот и всё, зависимости установлены. Можно устанавливать kpatch:
В нашем эксперименте мы будем патчить исходники ядра. Клонируем репозиторий с исходным кодом нашей текущей версии Ubuntu:
По завершении клонирования скопируем исходники в директорию ubuntu-xenial-kpatch (это нужно, чтобы вносить изменения в исходный код и потом создавать на основе этих изменений патчи):
Откроем файл ubuntu-xenial-kpatch/ubuntu-xenial/fs/proc/version.c и внесём в него следующие изменения:
Cоздадим патч с помощью команды:
Патч представляет собой обычный текстовый файл, в котором перечислены внесённые изменения:
Чтобы добавить патч в ядро, выполним:
Как видно из только что приведённого вывода, на выходе мы получаем модуль ядра. Чтобы применить патч, нужно просто добавить этот модуль стандартным способом:
Посмотрим, что получилось в результате:
Canonical Livepatch Service
Несколько месяцев назад компания Canonical запустила официальный сервис Canonical LivePatch Service, который позволяет патчить ядро «на лету» при помощи простейших команд. Этот сервис ориентирован в первую очередь на пользователей enterprise-уровня, и поэтому является платным.
Но рядовые пользователи тоже могут оперативно получать все свежие обновления ядра. Для этого нужно зарегистрироваться на Ubuntu One и получить токен. Токен даёт возможность установить на 3 машины программу canonical-livepatch, которая загружает и добавляет патчи.
Посмотрим, как работает Canonical Livepatch Service. Перейдём по ссылке выше, получим токен, а далее выполним:
По завершении установки выйдем из системы, затем войдём снова и выполним:
Если всё было сделано правильно, мы получим следующее сообщение:
Далее выполним команду:
Вывод показывает, что сanonical-livepatch работает, и в ядро установлены все последние обновления. Более подробную информацию можно получить, воспользовавшись опцией −−verbose:
Также информацию об установленных патчах можно получить, заглянув в уже упомянутую выше директорию /sys/kernel/livepatch:
Kpatch_livepatch_Ubuntu_4_4_0_47_68_generic_14 — это и есть последний загруженный патч. Последние цифры в имени патча (14) совпадают с номером версии, указанным в выводе команды canonical-livepatch status (см. выше).
Убедиться, что новый патч был добавлен, можно и с помощью команды lsmod:
Заключение
В этой статье мы проделали небольшой отбор инструментов для добавления патчей в ядро Linux. Естественно, что все аспекты темы в рамках одной публикации затронуть невозможно. Если у вас есть замечания и дополнения — добро пожаловать в комментарии.
А если вы хотите изучить тему более глубоко, обратите внимание на следующие ссылки:
Как пропатчить ядро без перезагрузки: livepatch, kpatch и Canonical Livepatch Service
Тему обновления патчей ядра без перезагрузки мы уже рассматривали в статье, опубликованной в 2014 году. В ней речь шла о KernelCare — инструменте, разработанном нашими партнёрами из компании Cloud Linux. На момент написания статьи KernelCare был чуть ли не единственным пригодным для полноценного использования инструментом для наложения патчей.
Прошло два с небольшим года — и ситуация изменилась, причём кардинально: начиная с версии 4.0 возможность наложения патчей «на лету» была официально добавлена в ядро.
Инструменты kpatch и kGraft, которые в 2014 году находились в «сыром» состоянии, также были существенно усовершенствованы. Kpatch даже был добавлен в официальные репозитории, — например, в Ubuntu 16.04 его уже можно установить с помощью стандартного менеджера пакетов.
А компания Canonical совсем недавно представила сервис Canonical Livepatch Service, с помощью которого можно патчить без перезагрузки ядро Ubuntu.
Более подробно о некоторых современных инструментах для добавления патчей мы расскажем в этой статье.
Простейший пример: livepatch
Начнём с очень простого эксперимента. Для этого нам понадобится любой дистрибутив Linux c ядром версии 4.0 или выше (в нашем случае это Ubuntu 16.04; здесь и далее все примеры команд приводятся именно для этого дистрибутива). В новых версиях ядра функция добавления патчей «на лету»(она так и называется — livepatch) включена по умолчанию.
Чтобы проверить, как она работает, нам потребуется, во-первых, установить заголовки ядра:
Далее установим отладочные символы ядра:
При выполнении этой команды в Ubuntu 16.04 может быть выдано следующее сообщение об ошибке:
Причина ошибки в том, что репозитории deb-src по умолчанию не подключены, а соответствующие строки в файле /etc/apt/sources.list закомментированы. Чтобы мы смогли работать с репозиториями исходных кодов, выполним:
После этого предыдущая команда будет выполняться без ошибок. К эксперименту всё готово, можно начинать:
Соберём модуль и вставим его в ядро:
Посмотрим, что получилось. Выполним:
Вместо стандартной информации о параметрах ядра мы увидим вот такой текст:
Как видим, патч был успешно применён.
Вся информация о загруженных патчах хранится в директории /sys/kernel/livepatch:
Деактивировать патч можно с помощью команды:
Kpatch
Kpatch — инструмент, разработанный компаний Red Hat. Впервые он был представлен широкой пользовательской аудитории в феврале 2016 года. За это время он был значительно усовершенствован: в Ubuntu 16.04 он уже включён в официальные репозитории. Рассмотрим особенности работы с kpatch на практических примерах.
Начнём с установки необходимых зависимостей:
Для полноценной работы с kpatch также желательно установить ccache:
Вот и всё, зависимости установлены. Можно устанавливать kpatch:
В нашем эксперименте мы будем патчить исходники ядра. Клонируем репозиторий с исходным кодом нашей текущей версии Ubuntu:
По завершении клонирования скопируем исходники в директорию ubuntu-xenial-kpatch (это нужно, чтобы вносить изменения в исходный код и потом создавать на основе этих изменений патчи):
Откроем файл ubuntu-xenial-kpatch/ubuntu-xenial/fs/proc/version.c и внесём в него следующие изменения:
Cоздадим патч с помощью команды:
Патч представляет собой обычный текстовый файл, в котором перечислены внесённые изменения:
Чтобы добавить патч в ядро, выполним:
Как видно из только что приведённого вывода, на выходе мы получаем модуль ядра. Чтобы применить патч, нужно просто добавить этот модуль стандартным способом:
Посмотрим, что получилось в результате:
Canonical Livepatch Service
Несколько месяцев назад компания Canonical запустила официальный сервис Canonical LivePatch Service, который позволяет патчить ядро «на лету» при помощи простейших команд. Этот сервис ориентирован в первую очередь на пользователей enterprise-уровня, и поэтому является платным.
Но рядовые пользователи тоже могут оперативно получать все свежие обновления ядра. Для этого нужно зарегистрироваться на Ubuntu One и получить токен. Токен даёт возможность установить на 3 машины программу canonical-livepatch, которая загружает и добавляет патчи.
Посмотрим, как работает Canonical Livepatch Service. Перейдём по ссылке выше, получим токен, а далее выполним:
По завершении установки выйдем из системы, затем войдём снова и выполним:
Если всё было сделано правильно, мы получим следующее сообщение:
Далее выполним команду:
Вывод показывает, что сanonical-livepatch работает, и в ядро установлены все последние обновления. Более подробную информацию можно получить, воспользовавшись опцией −−verbose:
Также информацию об установленных патчах можно получить, заглянув в уже упомянутую выше директорию /sys/kernel/livepatch:
Kpatch_livepatch_Ubuntu_4_4_0_47_68_generic_14 — это и есть последний загруженный патч. Последние цифры в имени патча (14) совпадают с номером версии, указанным в выводе команды canonical-livepatch status (см. выше).
Убедиться, что новый патч был добавлен, можно и с помощью команды lsmod:
Заключение
В этой статье мы проделали небольшой отбор инструментов для добавления патчей в ядро Linux. Естественно, что все аспекты темы в рамках одной публикации затронуть невозможно. Если у вас есть замечания и дополнения — добро пожаловать в комментарии.
А если вы хотите изучить тему более глубоко, обратите внимание на следующие ссылки:
Как использовать службу Canonical Livepatch в Ubuntu
от sasza
Хотите, чтобы критические исправления ядра Linux автоматически применялись к вашей системе Ubuntu без перезагрузки компьютера? Мы описываем, как для этого использовать службу Canonical Livepatch.
Что такое Livepatch и как он работает?
В роли Дастина Киркленда из Canonical объяснил несколько лет назад Canonical Livepatch использовал Live Patching ядра технология встроена в стандартное ядро Linux. Канонический Веб-сайт Livepatch отмечает, что его используют такие крупные корпорации, как AT&T, Cisco и Walmart.
Это бесплатно для личного использования на трех компьютерах — по словам Киркланда, это могут быть «настольные компьютеры, серверы, виртуальные машины или облачные экземпляры». Организации могут использовать его в других системах с платной Преимущество Ubuntu подписка.
Патчи ядра необходимы, но неудобны
Патчи ядра Linux — это реальность. Обеспечение безопасности вашей системы и наличие обновлений жизненно важно в нашем взаимосвязанном мире. Но необходимость перезагрузки компьютера для применения исправлений ядра может быть проблемой. Особенно, если компьютер предоставляет пользователям какую-то услугу, и вам нужно координировать действия или договариваться с ними, чтобы отключить услугу. И есть множитель. Если вы обслуживаете несколько машин с Ubuntu, в какой-то момент вам придется укусить пулю и делать каждую по очереди.
Canonical Livepatch Service устраняет все трудности, связанные с поддержанием ваших систем Ubuntu в актуальном состоянии с помощью критических исправлений ядра. Его легко настроить — графически или из командной строки — и это снимает с ваших плеч еще одну рутинную работу.
Все, что снижает усилия по обслуживанию, повышает безопасность и сокращает время простоя, должно быть привлекательным предложением, верно? Да, но есть некоторые оговорки.
Получение учетной записи Ubuntu One
Собираетесь ли вы настроить службу Livepatch через графический интерфейс пользователя (GUI) или через интерфейс командной строки (CLI), у вас должна быть учетная запись Ubuntu One. Это необходимо, потому что работа Livepatch Service зависит от закрытого ключа, который выдается вам и привязан к вашей учетной записи Ubuntu One.
Если вы настроите Livepatch Service с помощью графического интерфейса, вы не увидите свой ключ. Он по-прежнему требуется и используется, но все это выполняется для вас в фоновом режиме.
Если вы настроили службу Livepatch через терминал, вам нужно скопировать и вставить ключ из браузера в командную строку.
Если у вас нет учетной записи Ubuntu One, вы можете создать один без каких-либо затрат.
Включение службы Canonical Livepatch в графическом режиме
Чтобы запустить графический интерфейс настройки, нажмите клавишу «Супер». Он расположен между клавишами «Control» и «Alt» в нижнем левом углу большинства клавиатур. Найдите «livepatch».
Когда вы увидите значок Livepatch, щелкните значок или нажмите «Enter».
Откроется диалоговое окно «Программное обеспечение и обновления» с выбранной вкладкой Livepatch. Нажмите кнопку «Войти». Напоминаем, что вам нужна учетная запись Ubuntu One.
Нажмите кнопку «Войти / Зарегистрироваться».
Откроется диалоговое окно учетной записи системы единого входа Ubuntu. Canonical использует термины «Ubuntu One» и «единый вход» как синонимы. Они означают одно и то же. Официально «Единый вход» был заменен на «Ubuntu One», но старое название сохранилось.
Введите данные своей учетной записи и нажмите кнопку «Подключиться». Вы также можете использовать это диалоговое окно для регистрации учетной записи, если вы еще не создали ее.
Вам будет предложено ввести пароль.
Введите свой пароль и нажмите кнопку «Аутентифицировать». В диалоговом окне отображается адрес электронной почты, связанный с учетной записью Ubuntu One, которую вы собираетесь использовать.
Убедитесь, что он правильный, и нажмите кнопку «Продолжить».
Вам будет предложено ввести пароль еще раз. Через несколько секунд вкладка Livepatch в диалоговом окне «Программное обеспечение и обновления» обновится, показывая, что Livepatch активен и активен.
Новый значок щита появится в области уведомлений инструмента, рядом с значками сети, звука и питания. Зеленый кружок с галочкой говорит о том, что все в порядке. Щелкните значок, чтобы открыть меню.
Нам сообщили, что Livepatch включен, а текущих обновлений нет.
Параметр «Настройки Livepatch» откроет диалоговое окно «Программное обеспечение и обновления» на вкладке Livepatch.
Это оно; все готово.
Включение службы Canonical Livepatch с помощью интерфейса командной строки
Некоторые из шагов, которые нам нужно выполнить, выполняются через Интернет, так что это не настоящий метод, использующий только интерфейс командной строки. Начнем с посещения Веб-страница Canonical Livepatch Service чтобы получить наш секретный ключ или «токен».
Установите переключатель «Пользователь Ubuntu» и нажмите кнопку «Получить токен Livepatch».
Вам будет предложено войти в свою учетную запись Ubuntu One.
Если у вас есть учетная запись, введите адрес электронной почты, который вы использовали для настройки учетной записи, и установите переключатель «У меня есть учетная запись Ubuntu One, и мой пароль:».
Если у вас нет учетной записи, введите свой адрес электронной почты и установите переключатель «У меня нет учетной записи Ubuntu One». Вам будут предложены инструкции по созданию учетной записи.
Как только ваша учетная запись Ubuntu One будет проверена, вы увидите веб-страницу Управляемого исправления ядра в реальном времени. Ваш ключ будет отображаться.
Не закрывайте веб-страницу с вашим ключом и откройте окно терминала. Используйте эту команду в окне терминала для установки демона службы Livepatch:
Когда установка будет завершена, вам нужно будет включить службу. Вам понадобится ключ с веб-страницы «Управляемое обновление ядра в реальном времени».
Вам нужно скопировать и вставить ключ в командную строку. Выделите ключ на веб-странице, щелкните его правой кнопкой мыши и выберите «Копировать» в контекстном меню. Или вы можете выделить клавишу и нажать «Ctrl + C».
Введите следующую команду в окне терминала, но не нажимайте «Enter».
Затем введите пробел, щелкните правой кнопкой мыши и выберите «Вставить» в контекстном меню. Или вы можете нажать «Ctrl + Shift + V». Вы должны увидеть только что набранную команду, пробел и ключ с веб-страницы.
На тестовой машине, использованной для исследования этой статьи, это выглядело так:
Если все пойдет хорошо, вы увидите проверочное сообщение от Livepatch, сообщающее, что на компьютере разрешено исправление ядра. Также будет показан еще один длинный ключ; это «машинный токен».
Только что произошло следующее:
Вы получили ключ Livepatch от Canonical.
Вы можете использовать его на трех компьютерах. До сих пор вы использовали его на одном компьютере.
Машинный токен, сгенерированный для этого компьютера с использованием вашего ключа, является машинным токеном, отображаемым в этом сообщении.
Если вы проверите вкладку Livepatch в диалоговом окне «Программное обеспечение и обновления», вы увидите, что Livepatch включен и активен.
Проверка статуса Livepatch
Вы можете заставить Livepatch выдавать вам отчет о состоянии, используя следующую команду:
Отчет о состоянии содержит:
client-version: версия программного обеспечения Livepatch.
архитектура: Архитектура ЦП компьютера.
cpu-model: Тип и модель Центральное процессорное устройство (CPU) в компьютере.
last-check: время и дата последней проверки Livepatch на предмет наличия критических обновлений ядра, доступных для загрузки.
boot-time: время последнего включения компьютера.
время работы: время, в течение которого компьютер был включен.
Блок состояния сообщает нам:
ядро: версия текущего ядра.
running: работает ли Livepatch или нет.
checkstate: проверял ли Livepatch исправления ядра.
patchState: требуется ли установка каких-либо критических исправлений ядра.
версия: версия исправлений ядра, если таковые имеются, которые необходимо применить.
fixes: Исправления, содержащиеся в патчах ядра.
Принудительное обновление Livepatch сейчас
Вся суть Livepatch заключается в предоставлении управляемой службы обновлений, то есть вам не нужно об этом думать. Все сделано за тебя. Но если вы хотите, вы можете заставить Livepatch проверять исправления ядра (и применять любые найденные) с помощью следующей команды:
Livepatch сообщает вам версию ядра до и после обновления. В этом примере нечего было применять.
Меньше трения, больше безопасности
Нарушение безопасности — это боль или неудобства, связанные с внедрением, использованием или обслуживанием функции безопасности. Если трение слишком велико, страдает безопасность, потому что функция не используется и не поддерживается. Livepatch устраняет все трудности при установке критических обновлений ядра, обеспечивая максимальную безопасность ядра.
Это сокращенное обозначение «победа, победа».