Probando Ubuntu Livepatch

Una de las rutinas más habituales para un administrador de sistemas son los parches de seguridad. Algo vital para mitigar todas las vulnerabilidades que van apareciendo, sobre todo en lo que respecta al kernel o núcleo. El problema es que la mayoría de veces, tras un parcheo de seguridad, toca realizar el reinicio de turno. Esto complica gestionar las ventanas con los equipos funcionales o de negocio, sobre todo si son equipos en producción.

La idea de probar Ubuntu Livepatch es precisamente esto, evitar los reincios tras los parcheos de seguridad. Ya que este producto, de la popular compañía sudafricana Canonical, nos promete no tener que reiniciar la mayoría de veces, tras este habitual procedimiento de parcheo.

Logo de Ubuntu Livepatch

Quizás también te pueda interesar escuchar el programa de podcast donde hablo del mismo tema:

Probando Ubuntu Livepatch

Para las distribuciones Ubuntu, concretamente sus versiones LTS, de largo recorrido, la compañía Canonical ha desarrollado un sistema de parcheo en vivo, muy fácil de usar, llamado Livepatch. Se encarga de parchear el kernel sin necesidad de reiniciar. Esto ayuda, y mucho, al administrador de sistemas a tenerlo todo más controlado, y porque no, dormir más tranquilo. Que a nadie le gusta conectarse a una iLO de HP a última hora de la tarde o a primera de la mañana. Con Livepatch el reinicio del sistema, tras el parcheo, se puede omitir o posponer para más adelante, con una ventana de mantenimiento programada.

Eso sí, para poder utilizar esta herramienta debemos estar registrados en Ubuntu One, que es gratuito, y acceder después a la URL https://auth.livepatch.canonical.com

Obtenemos el token para Livepatch

Una vez registrados podemos configurar un máximo de tres sistemas, de forma gratuita. No importa si son servidores, portátiles o equipos de sobremesa. Eso sí, si queremos añadir más máquinas, ya debemos utilizar la opción comercial. Después de crear la cuenta, el sitio web nos presentará una larga cadena de carácteres hexadecimales, que será el código que necesitaremos más tarde, para utilizar en los equipos.

Instrucciones que nos ofrecen desde la web de Canonical

El sistema que deseamos parchear, para que sea en vivo, debe ser un Ubuntu de 64 bits, a partir de la versión del kernel 4.4 o posterior.  Para instalar la herramienta debemos utilizar el sistema snap, por lo que este deberá estar instalado. En el cualquier caso, aquí te explico como instalar snap y la herramienta necesaria para utilizar Ubuntu Livepatch.

dpkg ‑l | grep snapd
sudo apt install snapd
sudo snap install canonical‑livepatch
sudo canonical‑livepatch enable -codigo-

Si todo ha ido bien, el sistema nos informará que el dispositivo se habilitó de forma correcta. Si no estás muy seguro si el sistema funciona correctamente, podemos realizar la siguiente comprobación:

sudo canonical‑livepatch status

Hay que tener en cuenta que esta herramienta no nos proporciona una nueva versión del kernel. Solo se utiliza para parchear vulnerabilidades en el núcleo del sistema operativo que se está ejecutando actualmente, sin tener que reiniciar.

Os recuerdo las entradas sobre parches de seguridad de las que hemos hablado, durante estos años:

Parches de seguridad en Ubuntu

Parches de seguridad en Red Hat y CentOS

Parches de seguridad en SLES y OpenSUSE

Debsecan: Reportes y parches de seguridad en Debian

Para más información: Canonical Livepatch Service