Компания Canonical представила (https://lists.ubuntu.com/archives/ubuntu-announce/2016-Octob...) новый сервис Canonical Livepatch Service (https://www.ubuntu.com/server/livepatch), в рамках которого для пользователей Ubuntu началось распространение обновлений с устранением опасных уязвимостей в ядре Linux, которые применяются к работающей системе налету, позволяя избежать простоя в работе из-за перезагрузки. В настоящее время формирование live-патчей началось для 64-разрядных сборок Ubuntu 16.04.

Для внесения исправлений в ядро без перезагрузки задействована (http://blog.dustinkirkland.com/2016/10/canonical-livepatch.html) технология livepatch (https://www.opennet.me/opennews/art.shtml?num=41021), предоставляющая аналогичные возможности, что и kpatch (https://www.opennet.me/opennews/art.shtml?num=39235)  от компании Red Hat и kGraft (https://www.opennet.me/opennews/art.shtml?num=39424) от компании SUSE. В livepatch также используется метод замены функций в ядре и перенаправления на новую функцию при помощи штатной подсистемы ftrace. Патч оформляется в форме модуля ядра, осуществляющего необходимую подстановку кода функций. Модули-патчи для Ubuntu распространяются через специально подготовленный репозиторий.

Новая возможность позиционируется как коммерческий сервис для предприятий, требующий аутентификации (патчи доставляются по индивидуальному токену, привязанному к зарегистрированному пользователю). При этом сообществу предоставлена возможность бесплатного получения live-обновлений, но с ограничением подписки в 3 системы на пользователя. Для получения патчей для более, чем 3 систем требуется оформление платной подписки, стоимость которой составляет $12  в месяц.

Live-патчи формируются для Linux ядра 4.4  и доступны для серверов, виртуальных машин и настольных систем. Патчи охватывают только исправления уязвимостей, которым присвоена высокий или критический уровень опасности. Изменения, устраняющие ошибки, неопасные уязвимости, проблемы со стабильностью и производительности продолжают формироваться приблизительно раз в три недели в виде обычных обновлений, требующих перезагрузки.

Для активации Live-сервиса требуется установить snap-пакет  canonical-livepatch, получить (https://ubuntu.com/livepatch) токен на сайте и активировать его командой "sudo canonical-livepatch enable токен". Состояние применения live-патчей можно оценить командой "canonical-livepatch status".

URL: http://blog.dustinkirkland.com/2016/10/canonical-livepatch.html
Новость: http://www.opennet.me/opennews/art.shtml?num=45341