家のマシンで、Ubuntu 20.04LTSを入れた時、livepatch という、再起動しなくてもセキュリティホールにpatch当ててくれる canonical社のサービスを設定するよう促されたので、入れたのだが、よく分かってなかった。
どうやら、カーネルにパッチを当てるんだけど、カーネルパッケージの更新はしてくれないようなので、サーバーとか、再起動を頻繁にできないマシンに対するサービスのようで、会社に行ってる間に電源を落とす個人PCには不要なものだと分かった。
で、このライセンスが個人なら 3台まで使えるとの事で、24時間運用の Kagoya VPSのUbuntu 20.04に導入しようと思ったので、その作業記録(長い前置きだ(^^;)。
https://ubuntu.com/security/livepatch
の下の方にあるやり方でやる。トークンは、ログインして、右上の自分の名前をクリックすると、UA subscriptions ってページを開くと出てくる。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
root@irc:~# ua attach [TOKEN] Enabling default service esm-infra Updating package lists UA Infra: ESM enabled Enabling default service livepatch Installing snapd Updating package lists Installing canonical-livepatch snap Canonical livepatch enabled. This machine is now attached to 'yuji@noizumi.org' SERVICE ENTITLED STATUS DESCRIPTION cis yes disabled Center for Internet Security Audit Tools esm-infra yes enabled UA Infra: Extended Security Maintenance (ESM) fips yes disabled NIST-certified core packages fips-updates yes disabled NIST-certified core packages with priority security updates livepatch yes enabled Canonical Livepatch service NOTICES Operation in progress: ua attach Enable services with: ua enable <service> Account: yuji@noizumi.org Subscription: yuji@noizumi.org |
Webで検索して出てくる例だと、snap で canonical-livepatch をインストールするって書かれてるんだが、試しても「そんなの無え!」と言われて困ってたが、ua attach [TOKEN]で snapd と共にインストールしてくれた模様。
ハッ!? もしかして、snap のインストールって、 snapd入れないとできないってオチか orz
|
1 2 3 4 |
root@irc:~# ua enable livepatch One moment, checking your subscription first Livepatch is already enabled. See: sudo ua status |
ua attach [TOKEN] 実行した時に既に、livepatch yes enable ってなってるから、 ua enable livepatch 必要無いかもしれん。
|
1 2 3 4 5 6 7 |
root@irc:~# canonical-livepatch status last check: 36 minutes ago kernel: 5.11.0-40.44~20.04.2-generic server check-in: succeeded patch state: ✓ no livepatches needed for this kernel yet tier: updates (Free usage; This machine beta tests new patches.) machine id: マシンID |
今の所、patch は無いけど、結局の所、頻繁に再起動しても問題無いなら、不要なサービスだなあ。