Sebenarnya sudah cukup lama Canonical memperkenalkan Live patch kernel ini, namun saya baru sempat menuliskannya pada blog ini, jadi apa itu Live patch Kernel ? Live Patch kernel memungkinkan kita untuk menerapkan pembaruan keamanan pada kernel yang sedang berjalan tanpa harus melakukan reboot, reboot bukanlah suatu masalah untuk pengguna desktop, bagaimana untuk pengguna yang menggunakan ubuntu di server ? reboot bisa menyebabkan downtime untuk beberapa saat, dan downtime ini MAHAL 😀 .
sebenarnya bukan masalah besar juga jika anda telah menerapkan infrastruktur yang reliable dan fault tolerant, namun bisa lebih meminimalisir untuk melakukan reboot ketika ada kerentanan pada kernel, canonical menyediakan layanan live patch untuk customer canonical dan juga pengguna ubuntu, untuk pengguna ubuntu canonical memberikan layanan ini secara gratis untuk 3 mesin, pengguna hanya perlu memiliki akun Ubuntu One.
berikut langkah-langkah mengenai bagaimana cara mengaktifkan live patch kernel
untuk mendaftar silahkan ke pranala ini auth.livepatch.canonical.com
pilih Ubuntu user dan klik Get your Livepatch token, jika anda ingin menjadi customer canonical pilih Canonical Customer.
jika anda belum memiliki akun silahkan mendaftar terlebih dahulu.
jika sudah mendaftar, silahkan cek surel anda dan lakukan verifikasi, dan anda akan langsung dialihkan ke halaman seperti pada gambar, anda akan diberikan key yang bisa digunakan untuk mengaktifkan layanan live patch
pasang canonical-livepatch
$ sudo snap install canonical-livepatch canonical-livepatch 8.1.0 from Canonical✓ installed
lalu aktifkan live patch
$ sudo canonical-livepath enable keyanda Successfully enabled device. Using machine-token: xxxxxxxxxxxxxxxxxxxx
lalu anda bisa mengecek status live patch dengan perintah berikut
$ sudo canonical-livepatch status client-version: 8.1.0 architecture: x86_64 cpu-model: Intel(R) Xeon(R) Gold 6130 CPU @ 2.10GHz last-check: 2019-01-26T06:51:16.043783435Z boot-time: 2019-01-26T06:48:02Z uptime: 29d4m23s status: - kernel: 4.15.0-39.42-generic running: true livepatch: checkState: checked patchState: applied version: "46.3" fixes: |- * CVE-2017-13168 * CVE-2018-10902 * CVE-2018-11412 * CVE-2018-11506 * CVE-2018-13406 * CVE-2018-14633 * CVE-2018-14734 * CVE-2018-15572 * CVE-2018-15594 * CVE-2018-16276 * CVE-2018-16658 * CVE-2018-17182 * CVE-2018-18445 * CVE-2018-18690 * CVE-2018-18710 * CVE-2018-6555 * CVE-2018-9363
ketika ada patch baru daemon canonical-livepatch akan langsung menerapkannya, untuk memastikan daemon canonical-livepatch berjalan atau tidak anda bisa gunakan perintah berikut
$ ps aux | grep livepatch root 2667 0.0 0.6 377768 6080 ? Ssl 06:50 0:01 /snap/canonical-livepatch/54/canonical-livepatchd