Компания Canonical объявила (https://insights.ubuntu.com/2017/06/06/canonical-kernel-live.../) о расширении  сервиса Livepatch (https://www.ubuntu.com/server/livepatch), предоставляющего обновления с устранением опасных уязвимостей в ядре Linux, которые применяются к работающей системе на лету, не требуя перезагрузки и позволяя избежать простоя в работе. Помимо ранее поддерживаемых сборок Ubuntu 16.04  live-патчи теперь доступны и для Ubuntu 14.04.

Live-патчи охватывают только исправления уязвимостей, которым присвоен высокий или критический уровень опасности. Для внесения исправлений в ядро без перезагрузки и без остановки работы задействована (http://blog.dustinkirkland.com/2016/10/canonical-livepatch.html) технология livepatch (https://www.opennet.me/opennews/art.shtml?num=41021), предоставляющая аналогичные возможности, что и kpatch (https://www.opennet.me/opennews/art.shtml?num=39235)  от компании Red Hat и kGraft (https://www.opennet.me/opennews/art.shtml?num=39424) от компании SUSE. В livepatch также используется метод замены функций в ядре и перенаправление на новую функцию при помощи штатной подсистемы ftrace. Патч оформляется в виде модуля ядра, осуществляющего необходимую подстановку кода функций.

Каждый пользователь может бесплатно использовать сервис для трёх систем (патчи доставляются по индивидуальному токену, привязанному к зарегистрированному пользователю). Для большего числа систем требуется оформление платной подписки ($12 в месяц). Для активации Live-сервиса требуется установить snap-пакет  canonical-livepatch, получить (https://ubuntu.com/livepatch) токен на сайте и активировать его командой "sudo canonical-livepatch enable токен". Состояние применения live-патчей можно оценить командой "canonical-livepatch status". Исходные тексты модулей для применения live-патчей доступны (https://git.launchpad.net/~ubuntu-livepatch/+git/xenial-live.../) без ограничений и могут быть использованы (http://chrisarges.net/2015/09/21/livepatch-on-ubuntu.html) для самостоятельно сборки live-патчей, не привязанных к платным репозиториям Canonical.

URL: https://insights.ubuntu.com/2017/06/06/canonical-kernel-live.../
Новость: http://www.opennet.me/opennews/art.shtml?num=46663

• Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,Шарп, 22:00 , 06-Июн-17
  • Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,Кверти, 23:49 , 06-Июн-17
• Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,Аноним, 23:01 , 06-Июн-17
  • Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,Аноним, 23:03 , 06-Июн-17
  • Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,anonymous, 00:04 , 07-Июн-17
    • Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,123, 09:22 , 07-Июн-17
    • Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,Аноним, 14:37 , 07-Июн-17
  • Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,angra, 01:26 , 07-Июн-17
    • Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,Аноним, 11:47 , 10-Июн-17
  • Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,Нанобот, 15:57 , 07-Июн-17
• Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,Аноним, 09:18 , 07-Июн-17
  • Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,Ergil, 17:44 , 07-Июн-17
• Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,Аноним, 09:54 , 07-Июн-17
  • Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,Аноним, 14:05 , 07-Июн-17
• Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,Аноним, 18:29 , 07-Июн-17
  • Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,iPony, 08:52 , 08-Июн-17
  • Для Ubuntu 14.04 доступны обновления ядра, не требующие пере...,Штунц, 01:29 , 09-Июн-17

> предоставляющая аналогичные возможности, что и kpatch от компании Red Hat и kGraft от компании SUSE.

И что же их сподвигло на написание велосипеда, ну кроме исправления фатального недостатка?

Я думаю, что ответ в новости
>Каждый пользователь может бесплатно использовать сервис для трёх систем

> избежать простоя в работе.

Мне кажется, если это проблема, то нужно несколько серверов, AKA кластер.

Потому что, сервер может уйти непопрощавшить не только из-за обновления ядра. Едрит-мадрид.

Уметь аварийный фейловер и уметь гасить сервер без единого разрыва^W^W кратковременного падения качества сервиса для клиентов. Например, у нас можно вырубить активный сервер БД, пара десятков текущих запросов вернут 500 и сервис продолжит работать, переключившись на другой. Никаких простоев в работе. Ну и мониторинг орать будет. А вот ввести её обратно в строй - уже значительно более геморройное занятие. Так что для нас это очень полезная возможность, надо брать.

Да у вас же PostgreSQL настроен Master->Slave!

так этот livepatch (и др) это же решение не вместо штатных обновлений, а для того, чтобы можно было отложить перезагрузку до запланированного срока, вместо перезагрузки сразу после того как появился фикс на ядро

Угу, а для избежания потерь данных нужны бекапы вместо рейда или рейд вместо бекапов. Ведь для некоторых слишком сложна мысль, что разные технологии дополняют, а не исключают друг друга.

>  ... бекапы вместо рейда или рейд вместо бекапов.

Mirror RAID был, есть и будет.
Только дисков много нужно.

>если это проблема, то нужно несколько серверов, AKA кластер

а если это не проблема, но по возможности хотелось бы избежать перезагрузки, то сгодится и livepatch

Чуть шаг в сторону и начинается производство велосипедов с целью выкачивания бабла в полном соответствии с концепцией закрытого ПО.

В полном соответствии с концепцией открытого ПО все открыто и ты можешь сам поднять свой сервер для этого дела и формировать патчи. Вперед! А бесплатно работать тебе никто не обещал. При этом все инструменты тебе дают бесплатно, хотя могли бы и не делать этого.

A Kernelcare ещё жив? В чём разница?

В монетизации.

Осталось дождаться критической уязвимости в livepatch, которая позволит внедрять сторонний код в работающий кернел

А этак за двадцать лет в apt такого не дождался?
Ну жди...

Гениально