Si vous administrez votre ou vos propres serveurs, vous rencontrez tôt ou tard ce problème : vous devez redémarrer le système d’exploitation, mais la machine fournit un service important que vous ne pouvez pas interrompre.
Mais pourquoi redémarrer en premier lieu ? Tout semble fonctionner correctement après une commande apt-get upgrade. Cependant, les choses ne sont pas toujours ce qu’elles semblent être. Même si le système continue de s’exécuter après chaque mise à niveau, sans forcer un redémarrage comme le fait Windows, il peut toujours en avoir besoin.
Par exemple, lorsqu’une vulnérabilité au cœur du système (noyau) est découverte, elle est corrigée et transmise à votre serveur en tant que nouveau package. Après avoir installé le noyau patché, certains fichiers sont écrits sur le disque, mais c’est toujours l’ancien noyau qui exécute le programme, car c’est celui chargé en mémoire (RAM).
Cela signifie que votre serveur est toujours vulnérable aux failles de sécurité précédemment découvertes. D’autres processus, démons et services peuvent être rechargés sans redémarrer le système d’exploitation. Cependant, le noyau se trouve au cœur du système et ne peut être rechargé qu’au prochain démarrage.
Ubuntu Livepatch résout ce problème en vous permettant de fermer les failles de sécurité du noyau sans redémarrer. De cette façon, vous pouvez éviter ou retarder les redémarrages pendant des semaines ou des mois sans compromettre la sécurité.
L’idée de base derrière le patch en direct est simple : lorsqu’une fonction est vulnérable, réécrivez-la, éliminez les défauts et chargez une nouvelle fonction quelque part en mémoire. Lorsque la fonction est appelée, au lieu d’exécuter le code dans le noyau, redirigez l’appel pour utiliser le code réécrit.
Mais, comme pour la plupart des choses qui semblent fonctionner simplement, la mise en œuvre et les détails techniques ne sont pas si simples.
Contenu
Comment configurer Livepatch sur Ubuntu
Allez sur cette page et créez votre compte Ubuntu One. (Ou connectez-vous simplement si vous l’avez déjà.) Vérifiez votre courrier électronique et cliquez ensuite sur le lien de confirmation de compte. Ensuite, visitez la page Canonical Livepatch Service. Sélectionnez que vous êtes un « utilisateur Ubuntu » et cliquez sur le bouton pour générer votre jeton. La page suivante vous montrera les commandes exactes que vous devez entrer sur votre serveur. Après la première commande, entrez
Attendez quelques secondes jusqu’à ce que le package snap soit complètement installé. Quand c’est fait, vous obtiendrez un résultat similaire à ce que vous pouvez voir dans l’image suivante.
Enfin, avec la dernière commande de la page de Canonical,
le service devient actif et appliquera automatiquement des correctifs de sécurité à votre noyau, chaque fois que nécessaire, sans aucune intervention de votre part.
Installez Snap Daemon si nécessaire
En de rares occasions, la première commande de la section précédente peut échouer, avec le message d’erreur suivant : -bash : /usr/bin/snap : aucun fichier ou répertoire de ce type. Dans ce cas, cela signifie que votre fournisseur de serveur dispose d’une image du système d’exploitation Ubuntu qui n’inclut pas le service Snap Daemon par défaut. Installez-le avec :
Exécutez à nouveau les deux commandes de la section précédente.
Garder votre serveur à jour
Livepatch appliquera toutes les mises à jour de sécurité nécessaires à votre noyau. Cependant, vous devez toujours mettre à niveau le reste de votre système régulièrement avec une commande telle que :
Vous devriez le faire chaque semaine, voire plus souvent, si vous le pouvez. Des packages système importants peuvent vous demander de les redémarrer pour appliquer les derniers correctifs de sécurité.
Ce sont généralement des redémarrages gracieux, ce qui signifie qu’ils ne perturbent aucun service dans le processus. Par exemple, dans ce cas, le démon SSH a été redémarré sans interrompre la session SSH active.
Dans d’autres situations, vous pouvez redémarrer les services vous-même pour vous assurer que le nouveau code corrigé est rechargé et que les correctifs de sécurité sont appliqués. Par exemple, si vous remarquez que le package nginx a été mis à niveau, vous pouvez exécuter
pour recharger le démon nginx en mémoire. Sinon, même si un package est mis à niveau, il peut toujours fonctionner avec l’ancien code vulnérable, exposant ainsi votre serveur à des attaques connues. Certaines mises à niveau de packages le font pour vous, mais d’autres non. C’est pourquoi c’est une bonne habitude de faire attention à ce que fait « apt upgrade » et de redémarrer certains services, si nécessaire. Vous pouvez également consulter les journaux pour voir si cela a été fait automatiquement.
Conclusion
Comme vous pouvez le voir, Canonical a rendu cela assez facile à implémenter sur un serveur. En ce qui concerne le noyau, aucun travail de maintenance n’est requis de votre part. La seule chose que vous pouvez faire est de courir
de temps en temps pour vérifier les choses.
Cet article est-il utile ? Oui Non
