Включаем расширенную поддержку ESM и Livepatch для Ubuntu

Каждый системный администратор знает, как важно своевременно получать и устанавливать обновления безопасности, особенно касающиеся вновь найденных уязвимостей. Конечно, оптимальный вариант - это использовать последние выпуски ОС и ПО, находящиеся на поддержке, но к сожалению это возможно не всегда. Если вы используете Ubuntu, то можете присоединиться к программе Ubuntu Advantage, которая позволяет продлить срок поддержки LTS версий еще на 5 лет (суммарно 10). Как это сделать - мы расскажем в данной статье.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Что такое Ubuntu Advantage

Ubuntu Advantage (UA) - это сервисный пакет от компании Canonical для пользователей Ubuntu, включает коммерческую поддержку и ряд расширенных сервисов направленных на повышение управляемости и безопасности ваших систем. Пакет предоставляется на коммерческой основе, стоимость годового обслуживания для физического сервера начинается от $225, а для виртуальной машины от $75 в год. Для некоммерческого и личного использования предоставляется бесплатный пакет на три физических ПК, но мы не испытали никаких затруднений и при подключении виртуальной машины.

Мы сейчас не будем вдаваться в юридические и лицензионные подробности, отметим только, что цены на годовое обслуживание вполне приемлемые даже для малого бизнеса, особенно если сравнить их с возможным ущербом от компрометации системы в результате использования уязвимостей.

Далее мы будем рассматривать бесплатный пакет и два основных сервиса из него: Extended Security Maintenance (ESM) и Livepatch.

Extended Security Maintenance (ESM)

Данный сервис предоставляет особый интерес для пользователей систем с истекшим сроком основной поддержки. Extended Security Maintenance предоставляет обновления безопасности для всех бинарных пакетов находящихся в основном репозитории Ubuntu в течении дополнительных 5 лет, таким образом продлевая общий срок поддержки систем до 10 лет.

Но есть определенные тонкости. ESM не предоставляет исправления ошибок ПО, кроме тех, которые были вызваны обновлениями ESM. Также исправления безопасности предоставляются только по тем CVE, которые имеют статус важных или критических. Ну и наконец - поддерживаются только 64-х разрядные системы.

В настоящее время Extended Security Maintenance доступно для Ubuntu 14.04 LTS (до апреля 2024 года) и Ubuntu 16.04 LTS (до апреля 2026 года). О доступности ESM сообщается на официальном сайте после истечения срока основной поддержки, также об этом может сообщить утилита apt при обновлении пакетов.

Таким образом, если вы продолжаете использовать устаревшие системы, то подключение к Ubuntu Advantage и использование ESM позволит получать обновления безопасности в течении десятилетнего цикла, спокойно подготовить и осуществить переход на современные версии ОС и ПО. При этом обратите внимание, что ESM не распространяется на пакеты, поддерживаемые сообществом (репозитории universe и multiverse).

Livepatch Service

Livepatch - в буквальном переводе "живой патч" - еще один крайне полезный сервис, предоставляющий возможность устанавливать обновления безопасности ядра Linux без перезагрузки системы. В отличие от обычных обновлений, обновления ядра очень часто остаются не установленными по причине невозможности или нежелательности перезагрузки системы. Причин этому может быть множество, как объективных, так и не очень, но результат один - страдает безопасность системы. Livepatch позволяет избежать этой проблемы применяя исправления налету. Данная возможность доступна для всех систем входящих в Ubuntu Advantage, даже таких старых как Ubuntu 14.04 LTS.

Подключение к Ubuntu Advantage

Прежде всего вам нужно зарегистрироваться в сервисе Ubuntu One, никаких особых сложностей там нет, потребуется указать минимум данных и подтвердить адрес электронной почты.

После окончания регистрации и прохождения верификации перейдите на основной сайт Ubuntu и в персональном меню выберите пункт UA subscriptions, на открывшейся странице вы получите токен доступа для бесплатного подключения к Ubuntu Advantage трех физических систем.

Здесь же ниже, в разделе Documentation представлена команда для подключения системы, но не будем спешить. Прежде всего обновим список пакетов и установим все последние обновления:

1apt update
2apt full-upgrade

Для Ubuntu 14.04 LTS возможно придется использовать более старую утилиту apt-get:

1apt-get update
2apt-get dist-upgrade

После чего перезагрузим систему. Затем убедимся, что установлен пакет ubuntu-advantage-tools:

1dpkg -l ubuntu-advantage-tools

Если все нормально, то вы увидите следующий вывод, обратите внимание на флаги ii, которые обозначают что пакет установлен.

В противном случае для установки пакета воспользуйтесь командой:

1apt install ubuntu-advantage-tools

Затем можно подключить систему к UA используя команду:

1ua attach <subscription token>

По умолчанию будут включены сервисы esm-infra и livepatсh.

Длу управления службами Ubuntu Advantage используйте команды:

1ua enable | disable <service>

Чтобы полностью отключить систему от UA с удалением регистрации в личном кабинете воспользуйтесь командой:

1ua detach

После того, как вы подключили сервис ESM самое время еще раз обновить систему, установив все последние обновления безопасности. При этом вы увидите, что у вас появился новый источник пакетов ESM и доступны новые обновления, которые до этого были недоступны.

1apt update
2apt full-upgrade

После завершения процесса обновления не забудьте выполнить очистку от ненужных пакетов:

1apt autoremove

или в Ubuntu 14.04 LTS:

1apt-get autoremove

и перезагрузите систему, чтобы загрузилось новое ядро.

Включение Livepatch в Ubuntu 14.04 LTS

После подключения к Ubuntu Advantage для Ubuntu 14.04 LTS можно заметить, что активировался только сервис esm-infra, а при попытке включить livepatсh мы будем получать ошибку.

Это нормально, livepatch поддерживается начиная с ядра версии 4.4, в то время как Ubuntu 14.04 LTS использует ядро версии 3.x, также для работы данного сервиса нам потребуется поддержка snap. Обновим список пакетов и установим snapd, нужное ядро версии 4.4 будет установлено по зависимостям.

1apt update
2apt install snapd

После чего обязательно перезагрузите систему, чтобы активировать новое ядро, после чего добавим поддержку livepatch:

1snap install canonical-livepatch

Если теперь мы проверим статус служб Ubuntu Advantage, то увидим, что напротив сервиса livepatch вместо n/a появилось disabled.

1ua status

Попробуем снова включить сервис и в этот раз у нас должно все получиться:

1ua enable livepatch

Теперь даже такая старая система, как Ubuntu 14.04 LTS окажется гораздо более защищена и сможет применять новые обновления безопасности ядра без перезагрузки системы.

Заключение

Как видим, Ubuntu Advantage предоставляет отличные возможности поддержки старых систем предоставляя им обновления безопасности в рамках Extended Security Maintenance (ESM) и такие современные возможности, как обновления ядра без перезагрузки системы в течении дополнительных пяти лет, после окончания основной поддержки. Стоимость пакета UA вполне доступна, а для личного и некоммерческого использования имеется возможность получения бесплатной подписки на три компьютера.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал: