| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| issue157:tutoriel1 [2020/06/06 10:05] – auntiee | issue157:tutoriel1 [2020/06/06 14:07] (Version actuelle) – auntiee |
|---|
| Maintenant, des bonnes nouvelles. Cet outil d'entreprise est disponible pour les utilisateurs comme vous et moi totalement gratuitement pour trois ordinateurs. Il fonctionne sur les serveurs sans accessoires, les VM (machines virtuelles) et les ordinateurs de bureau. Les correctifs à chaud évitent les erreurs de configuration. Pourquoi est-ce une bonne nouvelle ? Parce qu'il est facile de faire une erreur bête et de planter votre serveur en fonctionnement. | Maintenant, des bonnes nouvelles. Cet outil d'entreprise est disponible pour les utilisateurs comme vous et moi totalement gratuitement pour trois ordinateurs. Il fonctionne sur les serveurs sans accessoires, les VM (machines virtuelles) et les ordinateurs de bureau. Les correctifs à chaud évitent les erreurs de configuration. Pourquoi est-ce une bonne nouvelle ? Parce qu'il est facile de faire une erreur bête et de planter votre serveur en fonctionnement. |
| |
| Les corrections à chaud (livepatching) sont toute une affaire. Tout commence avec les sondes du noyau, ou kprobes, en gros un outil de débogage, qui vous permettent de superviser les évènements sur un système en fonctionnement. Vous pouvez trouver plus d'infos ici : https://lwn.net/Articles/132196/ - si je le comprends correctement, c'est un mécanisme basé sur ftrace (trace d'une fonction) et sur l'interface avec le noyau pour réaliser des corrections à chaud sur des fonctions du noyau et des modules du noyau. Livepatch est disponible pour la plupart des processeurs basés sur x86, donc pas encore pour votre serveur Raspberry Pi. Il peut aussi ne pas fonctionner pour certaines « saveurs » d'Ubuntu. Vous pourriez vous demander comment vérifier si livepatch est supporté par votre noyau. Bonne question ! Ouvrez un terminal et tapez : | Les corrections à chaud (livepatching) sont toute une affaire. Tout commence avec les sondes du noyau, ou kprobes, en gros un outil de débogage, qui vous permettent de superviser les événements sur un système en fonctionnement. Vous pouvez trouver plus d'infos ici : https://lwn.net/Articles/132196/ - si je le comprends correctement, c'est un mécanisme basé sur ftrace (trace d'une fonction) et sur l'interface avec le noyau pour réaliser des corrections à chaud sur des fonctions du noyau et des modules du noyau. Livepatch est disponible pour la plupart des processeurs basés sur x86, donc pas encore pour votre serveur Raspberry Pi. Il peut aussi ne pas fonctionner pour certaines « saveurs » d'Ubuntu. Vous pourriez vous demander comment vérifier si livepatch est supporté par votre noyau. Bonne question ! Ouvrez un terminal et tapez : |
| |
| cat /boot/config-$(uname -r) | grep LIVEPATCH | cat /boot/config-$(uname -r) | grep LIVEPATCH |
| https://login.ubuntu.com** | https://login.ubuntu.com** |
| |
| La sécurité est toujours la priorité absolue ; vous devez garder votre noyau à jour et vous n'avez pas besoin de vous faire des cheveux gris. Si vous avez déjà dû redémarrer un serveur Ubuntu après corrections, celui qui fait tourner les sites Web de vos clients... vous deviez croiser les doigts et espérer que ça se passe vite - et, plus important, sans que ça se voit. C'est là où livepatch entre en scène. C'est simple de faire le paramétrage dans votre terminal si vous avez un serveur, ou avec une interface graphique su vous avez une machine de bureau. | La sécurité est toujours la priorité absolue ; vous devez garder votre noyau à jour et vous n'avez pas besoin de vous faire des cheveux gris. Si vous avez déjà dû redémarrer un serveur Ubuntu après corrections, celui qui fait tourner les sites Web de vos clients..., vous deviez croiser les doigts et espérer que ça se passe vite - et, plus important, sans que ça se voie. C'est là où livepatch entre en scène. C'est simple de faire le paramétrage dans votre terminal si vous avez un serveur, ou avec une interface graphique si vous avez une machine de bureau. |
| |
| Pourquoi avons-nous besoin d'un compte ? Eh bien ! Pour la sécurité. Comme je l'ai compris, il y a une clé GPG, ou clé privée/publique, attachée à votre compte Ubuntu One. Ça a du sens. Cependant, j'espère qu'ils ont bien verrouillé la sécurité, car les détails de mon Ubuntu One sont dans la nature et je ne peux plus utiliser ce mot de passe. Si vous n'en avez pas un, créez le ici : | Pourquoi avons-nous besoin d'un compte ? Eh bien ! Pour la sécurité. Comme je l'ai compris, il y a une clé GPG, ou clé privée/publique, attachée à votre compte Ubuntu One. C'est logique. Cependant, j'espère qu'ils ont bien verrouillé la sécurité, car les détails de mon Ubuntu One sont dans la nature et je ne peux plus utiliser ce mot de passe. Si vous n'en avez pas un, créez le ici : |
| https://login.ubuntu.com | https://login.ubuntu.com |
| |
| sudo canonical-livepatch enable <received token>** | sudo canonical-livepatch enable <received token>** |
| |
| Si vous avez Ubuntu 18.04 normal, vous devriez pouvoir le trouver (livepatch) dans le menu. Sur votre serveur LTS, vous aurez besoin de l'ajouter via le terminal avec : sudo canonical-livepatch enable - si vous ne le voyez pas, vous avez besoin d'abord de : | Si vous avez Ubuntu 18.04 normal, vous devriez pouvoir le trouver (livepatch) dans le menu. Sur votre serveur LTS, vous aurez besoin de l'ajouter via le terminal avec : sudo canonical-livepatch enable - si vous ne le voyez pas, vous devez d'abord faire : |
| |
| sudo snap install canonical-livepatch | sudo snap install canonical-livepatch |
| C'est un sympathique aperçu de ce dont vous avez besoin. Cliquez sur « En savoir plus » vous transportera sur le site Web de livepatch et ne vous aidera pas vraiment en vous disant ce que vous devez faire ensuite. | C'est un sympathique aperçu de ce dont vous avez besoin. Cliquez sur « En savoir plus » vous transportera sur le site Web de livepatch et ne vous aidera pas vraiment en vous disant ce que vous devez faire ensuite. |
| |
| Le bouton livepatch disparaîtra si vous ne répondez pas à toutes les exigences mentionnées ci-dessus. Si vous l'activez sur un ordinateur de bureau, vous verrez aussi une icône sur votre barre de tâches. | Le bouton livepatch changera de place si vous avez répondu à toutes les exigences mentionnées ci-dessus. Si vous l'activez sur un ordinateur de bureau, vous verrez aussi une icône sur votre barre de tâches. |
| |
| Sur un serveur, lancez simplement : | Sur un serveur, lancez simplement : |
| |
| ls -ld /sys/kernel/livepatch - sur la ligne de commande. | ls -ld /sys/kernel/livepatch - à l'invite de commande. |
| |
| **NB! Livepatch will not work on security hardened servers or workstations, as it needs to load a kernel module to actually do the patching. | **NB! Livepatch will not work on security hardened servers or workstations, as it needs to load a kernel module to actually do the patching. |
| Aimeriez-vous voir d'autres articles sur des sujets comme celui-ci, ou aimeriez-vous nous faire part d'une correction à propos d'une information erronée ? (Tout le monde fait des erreurs !) N'hésitez pas à nous en informer à : misc@fullcirclemagazine.org | Aimeriez-vous voir d'autres articles sur des sujets comme celui-ci, ou aimeriez-vous nous faire part d'une correction à propos d'une information erronée ? (Tout le monde fait des erreurs !) N'hésitez pas à nous en informer à : misc@fullcirclemagazine.org |
| |
| P.S. : Il y a un superbe tutoriel sur Linuxbabe : | P.S. : Il y a un bon tutoriel sur Linuxbabe : |
| https://www.linuxbabe.com/ubuntu/canonical-livepatch-service-ubuntu-16-04-live-kernel-patching | https://www.linuxbabe.com/ubuntu/canonical-livepatch-service-ubuntu-16-04-live-kernel-patching |
| |
