طریقه نصب آپدیت اتوماتیک بدون ریبوت کرنل روی لینوکس

طریقه نصب آپدیت اتوماتیک بدون ریبوت کرنل روی لینوکس

آپدیتهای امنیتی روی هسته لینوکس اغلب می تواند به صورت کاملا ساده با استفاده از ابزارهایی مثل apt، yum و یا kexec انجام شود. اگرچه مدیریت نصب پچ های مختلف روی صدها یا هزاران سرور که از توزیع های مختلفی باشند می تواند کاری زمان بر و سخت باشد.

 


آپدیت دستی هسته به ریبوت سیستم نیاز دارد که نتیجه آن downtime خواهد بود. به همین دلیل معمولا برای ریبوت ها بازه های زمانی خاصی تعیین می شود. وقتی پچ کردن به صورت دستی در بازه های خاصی انجام می شود هکر ها نیز می توانند زمان آن را پیدا کنند و به زیرساختهای سرور حمله کنند.

 

برای سازمانهایی که تعداد نسبتا زیادی سرور دارند استفاده از پچ اتوماتیک راهکار بهتری است. در این راهکار سرور به صورت اتوماتیک و در حال کار پچ می شود که هم راهکاری ایمن تر است و هم کارایی بیشتری به نسبت پچ دستی دارد.

در این مقاله طریقه انجام آپدیت اتوماتیک کرنل (بدون نیاز به ریبوت) و با استفاده از راهکار live patching از CloudLinux توضیح داده می شود.


KernelCare

KernelCare انتخابی بسیار خوب برای ارائه کنندگان Host و همچنین بیزینس ها است.

 

KernelCare روی Ubuntu، CentOS، Debian و دیگر نسخه های مطرح لینوکس قابل اجراست. این ابزار هر ۴ ساعت انتشار پچ های جدید را بررسی می کند و آنها را به صورت خودکار نصب می کند. پچ ها قابل roll back هستند. KernelCare برای سازمانهای non-profit رایگان است.

 

برای نصب KernelCare از installation script زیر استفاده می کنیم:

    wget -qq -O - https://kernelcare.com/installer | bash

در صورتی که از لایسنس بر پایه IP استفاده می کنید، نیازی به انجام کار دیگر ندارید. در غیر اینصورت اگر از لایسنس بر پایه کلید استفاده می کنید، دستور زیر را اجرا کنید تا سرویس را ثبت نمایید:

    /usr/bin/kcarectl --register

در قسمت کلیدتان را وارد کنید(کلیدی که پس از خرید یا sign up به شما داده شده).

در زیر برخی از دستورات مفید برای KernelCare را مشاهده می نمایید:

برای بررسی اینکه آیا کرنل حال حاضر توسط KernelCare پشتیبانی می شود:

    curl -s -L https://kernelcare.com/checker | python

برای deregister کردن یا از رجیستر در آوردن یک سرور:

    sudo kcarectl --unregister

برای چک کردن وضعیت یک سرویس:

    sudo kcarectl --info

برای چک کردن وجود پچ جدید به صورت دستی (که هر ۴ ساعت به صورت اتومات انجام می شود) از دستور زیر استفاده کنید:

    /usr/bin/kcarectl --update


نتیجه گیری:

تکنولوژی پچ زنده یا live patching به شما این امکان را می دهد که بدون ریبوت کرنل لینوکس را پچ کنید.