| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| issue157:tutoriel1 [2020/06/05 08:35] – d52fr | issue157:tutoriel1 [2020/06/06 14:07] (Version actuelle) – auntiee |
|---|
| https://ubuntu.com/livepatch | https://ubuntu.com/livepatch |
| |
| Nous sommes nombreux à avoir vu l'option Livepatch d'Ubuntu, mais peu d'utilisateurs domestiques l'utilisent vraiment. Beaucoup ne sont pas sûrs de ce que c'est, ou, simplement, ne veulent pas de snaps sur leur système. | Nous sommes nombreux à avoir vu l'option Livepatch d'Ubuntu, mais en fait peu d'utilisateurs domestiques l'utilisent. Beaucoup ne sont pas sûrs de ce que c'est, ou, simplement, ne veulent pas de snaps sur leur système. |
| |
| D'abord, les mauvaises nouvelles. Vous devez vous enregistrer, mais vous pouvez utiliser le nom « Donald Trump » si vous préférez. Vous aurez aussi besoin de snapd... Ça ne marche que sur les versions LTS... C'est en 64-bit... avec un noyau supérieur au 4.4. Ouf ! | D'abord, les mauvaises nouvelles. Vous devez vous enregistrer, mais vous pouvez utiliser le nom « Donald Trump » si vous préférez. Vous aurez aussi besoin de snapd... qui ne marche que sur les versions LTS... qui sont en 64-bit... avec un noyau supérieur au 4.4. Ouf ! |
| |
| **Now some good news. This enterprise tool is available to users like you and me for three computers absolutely free. It works on bare metal servers, VM’s, and desktops. Live patches avoid configuration mistakes. Why is this good news? Because it is easy to make a simple mistake and kill your working server. | **Now some good news. This enterprise tool is available to users like you and me for three computers absolutely free. It works on bare metal servers, VM’s, and desktops. Live patches avoid configuration mistakes. Why is this good news? Because it is easy to make a simple mistake and kill your working server. |
| cat /boot/config-$(uname -r) | grep LIVEPATCH** | cat /boot/config-$(uname -r) | grep LIVEPATCH** |
| |
| Maintenant, des bonnes nouvelles. Cet outil d'entreprise est disponibles pour les utilisateurs comme vous et moi totalement gratuitement pour trois ordinateurs. Il fonctionne sur les serveurs sans accessoires, les VM (machine virtuelle) et les ordinateurs de bureau. Les correctifs à chaud évitent les erreurs de configuration. Pourquoi est-ce une bonne nouvelle ? Parce qu'il est facile de faire une erreur bête et de planter votre serveur en fonctionnement. | Maintenant, des bonnes nouvelles. Cet outil d'entreprise est disponible pour les utilisateurs comme vous et moi totalement gratuitement pour trois ordinateurs. Il fonctionne sur les serveurs sans accessoires, les VM (machines virtuelles) et les ordinateurs de bureau. Les correctifs à chaud évitent les erreurs de configuration. Pourquoi est-ce une bonne nouvelle ? Parce qu'il est facile de faire une erreur bête et de planter votre serveur en fonctionnement. |
| |
| Les corrections à chaud (livepatching) sont toute une affaire. Tout commence avec les sondes du noyau, ou kprobes, en gros un outil de débogage, qui vous permet de superviser les évènements sur un système en fonctionnement. Vous pouvez trouver plus d'infos ici : https://lwn.net/Articles/132196/ - si vous le comprenez correctement, c'est mécanisme basé sur ftrace (trace d'une fonction) et sur l'interface avec le noyau pour réaliser des corrections à chaud sur des fonctions du noyau et des modules du noyau. Livepatch est disponible pour la plupart des processeurs basés sur x86, donc pas encore pour votre serveur Raspberry Pi. Il peut aussi ne pas fonctionner pour certaines « saveurs » d'Ubuntu. Vous pourriez vous demander comment vérifier si livepatch est supporté par votre noyau, Bonne question ! Ouvrez un terminal et tapez : | Les corrections à chaud (livepatching) sont toute une affaire. Tout commence avec les sondes du noyau, ou kprobes, en gros un outil de débogage, qui vous permettent de superviser les événements sur un système en fonctionnement. Vous pouvez trouver plus d'infos ici : https://lwn.net/Articles/132196/ - si je le comprends correctement, c'est un mécanisme basé sur ftrace (trace d'une fonction) et sur l'interface avec le noyau pour réaliser des corrections à chaud sur des fonctions du noyau et des modules du noyau. Livepatch est disponible pour la plupart des processeurs basés sur x86, donc pas encore pour votre serveur Raspberry Pi. Il peut aussi ne pas fonctionner pour certaines « saveurs » d'Ubuntu. Vous pourriez vous demander comment vérifier si livepatch est supporté par votre noyau. Bonne question ! Ouvrez un terminal et tapez : |
| |
| cat /boot/config-$(uname -r) | grep LIVEPATCH | cat /boot/config-$(uname -r) | grep LIVEPATCH |
| https://login.ubuntu.com** | https://login.ubuntu.com** |
| |
| La sécurité est toujours la priorité absolue ; vous avez besoin de garder votre noyau à jour et vous n'avez pas besoin de vous faire des cheveux gris. Si vous deviez redémarrer un serveur Ubuntu aprrès corrections, celui qui fait tourner les sites Web de vos clients... vous deviez croiser les doigts et espérer que ça se passe vite - et, plus important, sans être remarqué. Entrez dans livepatch. C'est simple de faire le paramétrage dans votre terminal si vous avez un serveur, ou avec une interface graphique su vous avez une machine de bureau. | La sécurité est toujours la priorité absolue ; vous devez garder votre noyau à jour et vous n'avez pas besoin de vous faire des cheveux gris. Si vous avez déjà dû redémarrer un serveur Ubuntu après corrections, celui qui fait tourner les sites Web de vos clients..., vous deviez croiser les doigts et espérer que ça se passe vite - et, plus important, sans que ça se voie. C'est là où livepatch entre en scène. C'est simple de faire le paramétrage dans votre terminal si vous avez un serveur, ou avec une interface graphique si vous avez une machine de bureau. |
| |
| Pourquoi avons-nous besoin d'un compte ? Eh bien ! Pour la sécurité. Comme je l'ai compris, il y a une clé GPG, ou clé privée/publique, attachée à votre compte Ubuntu One. Ça a du sens. Cependant, j'espère qu'ils ont bien verrouillé la sécurité, car les détails de mon Ubuntu One sont dans la nature et je ne peux plus utiliser ce mot de passe. Si vous n'en avez pas un, créez le ici : | Pourquoi avons-nous besoin d'un compte ? Eh bien ! Pour la sécurité. Comme je l'ai compris, il y a une clé GPG, ou clé privée/publique, attachée à votre compte Ubuntu One. C'est logique. Cependant, j'espère qu'ils ont bien verrouillé la sécurité, car les détails de mon Ubuntu One sont dans la nature et je ne peux plus utiliser ce mot de passe. Si vous n'en avez pas un, créez le ici : |
| https://login.ubuntu.com | https://login.ubuntu.com |
| |
| sudo canonical-livepatch enable <received token>** | sudo canonical-livepatch enable <received token>** |
| |
| Si vous avez Ubuntu 18.04 normal, vous devriez pouvoir le trouver (livepatch) dans le menu. Sur votre serveur LTS, vous aurez besoin de l'ajouter via le terminal avec : sudo canonical-livepatch enable - si vous ne le voyez pas vous avez besoin d'abord de : | Si vous avez Ubuntu 18.04 normal, vous devriez pouvoir le trouver (livepatch) dans le menu. Sur votre serveur LTS, vous aurez besoin de l'ajouter via le terminal avec : sudo canonical-livepatch enable - si vous ne le voyez pas, vous devez d'abord faire : |
| |
| sudo snap install canonical-livepatch | sudo snap install canonical-livepatch |
| C'est un sympathique aperçu de ce dont vous avez besoin. Cliquez sur « En savoir plus » vous transportera sur le site Web de livepatch et ne vous aidera pas vraiment en vous disant ce que vous devez faire ensuite. | C'est un sympathique aperçu de ce dont vous avez besoin. Cliquez sur « En savoir plus » vous transportera sur le site Web de livepatch et ne vous aidera pas vraiment en vous disant ce que vous devez faire ensuite. |
| |
| Le bouton livepatch disparara si vous ne répondez pas à toutes les exigences mentionnées ci-dessus. Si vous 'activez sur un ordinateur de bureau, vous verrez aussi une icône sur votre barre de tâches. | Le bouton livepatch changera de place si vous avez répondu à toutes les exigences mentionnées ci-dessus. Si vous l'activez sur un ordinateur de bureau, vous verrez aussi une icône sur votre barre de tâches. |
| |
| Sur un serveur, lancez simplement : | Sur un serveur, lancez simplement : |
| |
| ls -ld /sys/kernel/livepatch - sur la ligne de commande. | ls -ld /sys/kernel/livepatch - à l'invite de commande. |
| |
| **NB! Livepatch will not work on security hardened servers or workstations, as it needs to load a kernel module to actually do the patching. | **NB! Livepatch will not work on security hardened servers or workstations, as it needs to load a kernel module to actually do the patching. |
| https://www.linuxbabe.com/ubuntu/canonical-livepatch-service-ubuntu-16-04-live-kernel-patching** | https://www.linuxbabe.com/ubuntu/canonical-livepatch-service-ubuntu-16-04-live-kernel-patching** |
| |
| NB ! Livepatch ne fonctionnera pas sur les serveurs ou stations de travail avec sécurité renforcée, car il a besoin de charger un module du noyau pour vraiment réaliser la correction. | NB ! Livepatch ne fonctionnera pas sur les serveurs ou stations de travail avec sécurité renforcée, car il a besoin de charger un module du noyau pour réaliser vraiment la correction. |
| |
| Aimeriez-vous voir d'autres articles sur des sujets comme celui-ci, ou vous aimeriez nous faire part d'une correction à propos d'iune information erronée ? (Tout le monde fait des erreurs !) N'hésitez pas à nous en informer à : misc@fullcirclemagazine.org | Aimeriez-vous voir d'autres articles sur des sujets comme celui-ci, ou aimeriez-vous nous faire part d'une correction à propos d'une information erronée ? (Tout le monde fait des erreurs !) N'hésitez pas à nous en informer à : misc@fullcirclemagazine.org |
| |
| P.S. : Il y a un superbe tutoriel sur Linuxbabe : | P.S. : Il y a un bon tutoriel sur Linuxbabe : |
| https://www.linuxbabe.com/ubuntu/canonical-livepatch-service-ubuntu-16-04-live-kernel-patching | https://www.linuxbabe.com/ubuntu/canonical-livepatch-service-ubuntu-16-04-live-kernel-patching |
| |
