【51CTO.com快譯】如果你管理自己的服務器，早晚會遇到這個問題：你得重啟操作系統，但服務器在提供你無法中斷的重要服務。

但為什么要重啟呢?在運行apt-get upgrade命令之后，一切似乎都順暢正常。然而，凡事不能看表面。即使系統在每次升級后繼續運行，不像Windows那樣強行重啟，但它可能仍需要重啟。

[[274041]]

比如說，當發現系統核心(內核)有漏洞，補丁以新的軟件包這種形式推送到服務器時。安裝打上補丁的內核后，一些文件被寫入到磁盤，但掌控一切的仍是舊內核，因為被加載到內存中的是它。

這就意味著你的服務器仍然容易受到之前發現的安全漏洞的攻擊。如果不重啟操作系統，就無法重新加載其他進程、守護程序和服務。然而，內核位于系統的核心，只能在下次引導時重新加載。

Ubuntu Livepatch可以解決這個問題，讓你可以在不重啟的情況下堵住內核的安全漏洞。這樣一樣，你可以數周乃至數月避免重啟或推遲重啟，又不影響安全性。

實時補丁背后的核心思想很簡單：某個函數易受攻擊時，重寫函數，消除漏洞，并將新函數加載到內存中。調用該函數時，不是在內核中運行代碼，而是重定向調用以使用重寫的代碼。

但是，實施和技術細節并非如此簡單。

如何在Ubuntu上安裝Livepatch?

進入到該頁面，創建你的Ubuntu One帳戶。(如果已經有帳戶，只需登錄。)查收電子郵件，然后點擊帳戶確認鏈接。接下來，訪問Canonical Livepatch Service頁面(https://auth.livepatch.canonical.com/)。選擇你是“Ubuntu用戶”，然后點擊按鈕以生成令牌。下一頁會顯示你在服務器上要輸入的具體命令。在第一個命令之后，輸入：sudo snap install canonical-livepatch，等幾秒鐘，直到snap包安裝完畢。之后，你將得到類似下圖所示的結果。

最后，使用Canonical頁面的最后一個命令：sudo canonical-livepatch enable #PASTE_YOUR_TOKEN_HERE，服務變活動狀態，必要時自動為你的內核打上安全補丁，無需你輸入。

如有必要，安裝Snap守護程序

在極少數情況下，上面的第一個命令可能失效，并顯示以下錯誤消息：-bash: /usr/bin/snap: No such file or directory。這種情況下，它意味著你的服務器提供商有默認情況下不包括snap守護程序服務的Ubuntu操作系統映像。用該命令安裝它：sudo apt update && sudo apt install snapd，現在再次運行上面的兩個命令。

對服務器加以更新

Livepatch會為內核打上所有必要的安全更新。然而，你仍應使用以下命令定期升級系統的其余部分：sudo apt update && sudo apt upgrade。

可以的話，你應每周執行一次，甚至更頻繁。重要的系統軟件包可能會提示你需要重啟才能使最新的安全修復程序生效。

這些通常是優雅的重啟，意味著在此過程中不干擾任何服務。比如在這里，SSH守護程序重啟，并不擾亂活動的SSH會話。

在其他情況下，你可以自行重啟服務，確保新的修補代碼已重新加載、安全修復程序已生效。比如說，如果你注意到nginx軟件包已升級，可以運行：systemctl restart nginx.service，將nginx守護進程重新加載到內存中。否則，即使軟件包已升級，它仍可能使用易受攻擊的舊代碼運行，從而使服務器面臨已知攻擊的風險。一些軟件包升級會為你執行此操作，但另一些不會。這就是為什么注意“apt upgrade”執行什么操作，必要時重啟一些服務是個習慣。你還可以查看日志，看看這是否已自動完成。

結束語

正如你所看到的，Canonical已經很容易在服務器上做到這點。至于內核，你無需進行任何維護工作。你只要時不時運行canonical-livepatch status，檢查一下情況。

原文標題：How to Avoid Server Reboots with Ubuntu Livepatch，作者：Alexandru Andrei

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】