Discussion :

[Stéphane le calme]

Canonical Livepatch Service propose aux utilisateurs de colmater des failles critiques de sécurité sur Ubuntu 16.04 LTS,
sans avoir à redémarrer la machine

« Le patching en direct du noyau permet une correction pendant l’exécution des problèmes critiques de sécurité dans votre noyau sans avoir à redémarrer. C’est le meilleur moyen de s'assurer que les machines sont en sécurité au niveau du noyau, tout en garantissant la disponibilité, en particulier pour les hôtes de conteneurs où une seule machine peut être en train d’exécuter des milliers de charges de travail différentes », a rappelé l’ingénieur Dustin Kirkland, sur la liste de diffusion d’Ubuntu.

Si Red Hat, SUSE proposait déjà une telle solution, notamment Kpatch pour le premier et kGraft pour le second, cette fois-ci c’est Canonical qui a décidé de proposer un service semblable qu’il a baptisé Canonical Livepatch Service (CLS). « Le Canonical Livepatch Service est un flux authentifié, chiffré et signé de modules livepatch du noyau pour les serveurs Ubuntu, les machines virtuelles ainsi que les ordinateurs de bureau », a expliqué Kirkland.

Ce service, qui est principalement orienté vers les entreprises qui administrent de nombreux serveurs, n’est pas gratuit : les entreprises intéressées doivent bénéficier d’un forfait Advantage, dont les formules débutent à 12,5 dollars par mois. Elles doivent également être sur Ubuntu 16.04 LTS, en édition 64 bits uniquement.

Néanmoins, une version commerciale de son service sera disponible gratuitement pour la communauté Ubuntu. Notons quand même que cette version sera limitée à trois ordinateurs (serveur, desktop, machine virtuelle et instances de cloud). Bien entendu, les mêmes prérequis qu’en entreprise sont nécessaires, notamment le fait de disposer d’Ubuntu 16.04 LTS en édition 64 bits.

Pour en profiter, il suffit de :

• se rendre sur le site réservé à CLS pour obtenir un jeton (par exemple d3b07384d213edec49eaa6238ad5ff00) ;
• installer le paquet avec la commande sudo snap install canonical-livepatch ;
• activer le service avec la commande $ sudo canonical-livepatch enable votre-jeton (par exemple $ sudo canonical-livepatch enable d3b07384d213edec49eaa6238ad5ff00) ;

À n’importe quel moment, il vous est possible de connaître l'état du système avec la commande canonical-livepatch status. Notez que ce service n’est indiqué que pour corriger les failles de sécurité critiques, celles pour lesquelles il est toujours conseillé d’appliquer les correctifs sans attendre.

Pour ceux qui se demandent s'il y a des différences entre les offres de Live Patching Oracle Ksplice, RHEL Live Patching et SUSE Live Patching, il explique que bien que les concepts se ressemblent en de nombreux points, les implémentations techniques et commerciales sont différentes :

• Oracle Ksplice se sert de sa propre technologie qui n'est pas un upstream Linux ;
• RHEL et SUSE utilisent actuellement leurs implémentations kpatch et kgraft ;
• le service Canonical Patching fait appel à la technologie upstream Linux Kernel Live Patching ;
• Ksplice est gratuit mais n'est pas supporté par des desktops Ubuntu. Sans compter qu'il n'est disponible que pour les serveurs Oracle Linux et RHEL avec une licence Oracle Linux Premier Support (2299 dollars par nœud et par an) ;
• la façon de s'abonner à RHEL Kernel Live Patching est quelque peu floue, mais il semblerait que vous ayez tout d'abord besoin d'être un client RHEL, puis vous abonner au SIG (Special Interests Group) via votre TAM (Technical Account Manager), ce qui requiert une souscription à Red Hat Enterprise Linux Server Premium et qui coûte 1299 dollars par nœud et par an ;
• SUSE Live Patching est disponible comme extension pour les souscriptions SUSE Linux Enterprise Server 12 Priority Support à 1499 dollars par nœud et par an ;
• Canonical Live Patching est disponible pour tous les clients Ubuntu Advantage à partir de notre palier d'entrée UA Essential, soit 150 dollars par nœud et par an, et gratuit pour les membres de la communauté Ubuntu.

code source des modules de Livepatch

Source : annonce Dustin Kirkland, blog Dustin Kirkland

Voir aussi :

Un piratage des forums Ubuntu a exposé 2 millions d'utilisateurs, le pirate a eu accès à une table où étaient sauvegardées des adresses IP

Microsoft apporte le shell Unix Bash à Windows 10, le résultat d'une collaboration avec Canonical

[Iradrille]

Transformez votre Ubuntu en Windows 10 pour 12$ / mois !

Plus sérieusement, ce genre de service est intéressant si on héberge soi-même le serveur de maj, et que ce serveur n'a pas accès au net.
Ça me semble juste dangereux sinon. (MS fait la même chose, pour le moment ça se passe bien, mais un jour un petit malin prendra le contrôle du serveur de maj et ça sera un sacré bordel).

[abriotde]

En tout cas merci Canonical de démocratiser un peu ce service en divisant par près de 10 le prix d'entrée. Cela permet a n'importe quel gros site d'en profiter.
Deplus pour une fois Canonical n'a pas fait sa propre solution et ça, c'est très appréciable.

Ça me semble juste dangereux sinon

Ce n'est pas plus dangeureux que n'importe quel autre mise à Jour. Dans tous les cas si le serveur central est vérolé c'est grave et c'est pourquoi il y a de nombreuses protections.

[Patrick Ruiz]

Canonical : le Livepatch Service est également disponible sur Ubuntu 14.04 LTS
Pour permettre la mise à jour du noyau sans redémarrage

« Nous sommes heureux de vous annoncer l’extension du Livepatch Service aux utilisateurs d’Ubuntu 14.04 LTS », peut-on lire sur le billet de blog dédié à cette nouvelle annonce que Canonical a passée hier.

Jusqu’ici, les utilisateurs d’Ubuntu ne pouvaient bénéficier de ce service qu’au travers de la version 16.04 LTS du système d’exploitation. Dustin Kirkland, ingénieur chez Ubuntu, en avait rappelé l’utilité lors du lancement du service fin 2016 lorsqu’il a déclaré que « le patching en direct du noyau permet une correction pendant l’exécution des problèmes critiques de sécurité dans votre noyau sans avoir à redémarrer. C’est le meilleur moyen de s'assurer que les machines sont en sécurité au niveau du noyau, tout en garantissant la disponibilité, en particulier pour les hôtes de conteneurs où une seule machine peut être en train d’exécuter des milliers de charges de travail différentes ».

Comme c’était le cas pour la version 16.04 LTS d’Ubuntu, Canonical permet aux utilisateurs d’activer gratuitement le service sur un maximum de trois systèmes équipés de processeurs Intel ou AMD 64 bits. Au-delà de trois systèmes, il faudra souscrire au forfait « Ubuntu Advantage » pour la prise en charge des machines virtuelles et instances cloud, des serveurs et des desktop à partir de 250 $, 150 $ et 150 $ par an respectivement.

L’activation du service est subordonnée à l’installation de snapd. Pour rappel, snapd est le démon du gestionnaire de paquets Snappy. Ses paquets dénommés « snaps » sont autonomes et fonctionnent sur une vaste gamme de distributions, indépendamment de ce qu’elles sont des distributions APT ou RPM. L’installation du démon snapd et l’activation du Livepatch Service requièrent qu’Ubuntu tourne avec la version 4.4 du kernel Linux. Canonical recommande de redémarrer le système avec ce kernel avant de procéder à l’installation.

L’activation du Livepatch Service se fera en suivant les étapes suivantes :

• installer le démon snapd avec la commande sudo apt update && sudo apt install snapd ;
• se rendre sur le site réservé à Livepatch Service pour obtenir un jeton (par exemple d3b07384d213edec49eaa6238ad5ff00) ;
• installer le service Livepatch sur votre système avec la commande sudo snap install canonical-livepatch ;
• activer votre compte de mises à jour avec le jeton par le biais de la commande sudo canonical-livepatch enable d3b07384d213edec49eaa6238ad5ff00 ;
• vérifier votre statut à l’aide la commande canonical-livepatch status.

Source : Ubuntu insights

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Canonical Livepatch Service propose aux utilisateurs de colmater des failles critiques de sécurité sur Ubuntu 16.04 LTS sans avoir à redémarrer