Включаем расширенную поддержку ESM и Livepatch для Ubuntu

  • Автор:

ubuntu-ua-esm-infra.pngКаждый системный администратор знает, как важно своевременно получать и устанавливать обновления безопасности, особенно касающиеся вновь найденных уязвимостей. Конечно, оптимальный вариант - это использовать последние выпуски ОС и ПО, находящиеся на поддержке, но к сожалению это возможно не всегда. Если вы используете Ubuntu, то можете присоединиться к программе Ubuntu Advantage, которая позволяет продлить срок поддержки LTS версий еще на 5 лет (суммарно 10). Как это сделать - мы расскажем в данной статье.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Что такое Ubuntu Advantage

Ubuntu Advantage (UA) - это сервисный пакет от компании Canonical для пользователей Ubuntu, включает коммерческую поддержку и ряд расширенных сервисов направленных на повышение управляемости и безопасности ваших систем. Пакет предоставляется на коммерческой основе, стоимость годового обслуживания для физического сервера начинается от $225, а для виртуальной машины от $75 в год. Для некоммерческого и личного использования предоставляется бесплатный пакет на три физических ПК, но мы не испытали никаких затруднений и при подключении виртуальной машины.

Мы сейчас не будем вдаваться в юридические и лицензионные подробности, отметим только, что цены на годовое обслуживание вполне приемлемые даже для малого бизнеса, особенно если сравнить их с возможным ущербом от компрометации системы в результате использования уязвимостей.

Далее мы будем рассматривать бесплатный пакет и два основных сервиса из него: Extended Security Maintenance (ESM) и Livepatch.

Extended Security Maintenance (ESM)

Данный сервис предоставляет особый интерес для пользователей систем с истекшим сроком основной поддержки. Extended Security Maintenance предоставляет обновления безопасности для всех бинарных пакетов находящихся в основном репозитории Ubuntu в течении дополнительных 5 лет, таким образом продлевая общий срок поддержки систем до 10 лет.

Но есть определенные тонкости. ESM не предоставляет исправления ошибок ПО, кроме тех, которые были вызваны обновлениями ESM. Также исправления безопасности предоставляются только по тем CVE, которые имеют статус важных или критических. Ну и наконец - поддерживаются только 64-х разрядные системы.

В настоящее время Extended Security Maintenance доступно для Ubuntu 14.04 LTS (до апреля 2024 года) и Ubuntu 16.04 LTS (до апреля 2026 года). О доступности ESM сообщается на официальном сайте после истечения срока основной поддержки, также об этом может сообщить утилита apt при обновлении пакетов.

ubuntu-ua-esm-infra-001.pngТаким образом, если вы продолжаете использовать устаревшие системы, то подключение к Ubuntu Advantage и использование ESM позволит получать обновления безопасности в течении десятилетнего цикла, спокойно подготовить и осуществить переход на современные версии ОС и ПО. При этом обратите внимание, что ESM не распространяется на пакеты, поддерживаемые сообществом (репозитории universe и multiverse).

Livepatch Service

Livepatch - в буквальном переводе "живой патч" - еще один крайне полезный сервис, предоставляющий возможность устанавливать обновления безопасности ядра Linux без перезагрузки системы. В отличие от обычных обновлений, обновления ядра очень часто остаются не установленными по причине невозможности или нежелательности перезагрузки системы. Причин этому может быть множество, как объективных, так и не очень, но результат один - страдает безопасность системы. Livepatch позволяет избежать этой проблемы применяя исправления налету. Данная возможность доступна для всех систем входящих в Ubuntu Advantage, даже таких старых как Ubuntu 14.04 LTS.

Подключение к Ubuntu Advantage

Прежде всего вам нужно зарегистрироваться в сервисе Ubuntu One, никаких особых сложностей там нет, потребуется указать минимум данных и подтвердить адрес электронной почты.

ubuntu-ua-esm-infra-002.pngПосле окончания регистрации и прохождения верификации перейдите на основной сайт Ubuntu и в персональном меню выберите пункт UA subscriptions, на открывшейся странице вы получите токен доступа для бесплатного подключения к Ubuntu Advantage трех физических систем.

ubuntu-ua-esm-infra-003.pngЗдесь же ниже, в разделе Documentation представлена команда для подключения системы, но не будем спешить. Прежде всего обновим список пакетов и установим все последние обновления:

apt update
apt full-upgrade

Для Ubuntu 14.04 LTS возможно придется использовать более старую утилиту apt-get:

apt-get update
apt-get dist-upgrade

После чего перезагрузим систему. Затем убедимся, что установлен пакет ubuntu-advantage-tools:

dpkg -l ubuntu-advantage-tools

Если все нормально, то вы увидите следующий вывод, обратите внимание на флаги ii, которые обозначают что пакет установлен.

ubuntu-ua-esm-infra-004.pngВ противном случае для установки пакета воспользуйтесь командой:

apt install ubuntu-advantage-tools

Затем можно подключить систему к UA используя команду:

ua attach <subscription token>

По умолчанию будут включены сервисы esm-infra и livepatсh.

ubuntu-ua-esm-infra-005.pngДлу управления службами Ubuntu Advantage используйте команды:

ua enable | disable <service>

Чтобы полностью отключить систему от UA с удалением регистрации в личном кабинете воспользуйтесь командой:

ua detach

После того, как вы подключили сервис ESM самое время еще раз обновить систему, установив все последние обновления безопасности. При этом вы увидите, что у вас появился новый источник пакетов ESM и доступны новые обновления, которые до этого были недоступны.

apt update
apt full-upgrade

ubuntu-ua-esm-infra-006.png

После завершения процесса обновления не забудьте выполнить очистку от ненужных пакетов:

apt autoremove

или в Ubuntu 14.04 LTS:

apt-get autoremove 

и перезагрузите систему, чтобы загрузилось новое ядро.

Включение Livepatch в Ubuntu 14.04 LTS

После подключения к Ubuntu Advantage для Ubuntu 14.04 LTS можно заметить, что активировался только сервис esm-infra, а при попытке включить livepatсh мы будем получать ошибку.

ubuntu-ua-esm-infra-007.pngЭто нормально, livepatch поддерживается начиная с ядра версии 4.4, в то время как Ubuntu 14.04 LTS использует ядро версии 3.x, также для работы данного сервиса нам потребуется поддержка snap. Обновим список пакетов и установим snapd, нужное ядро версии 4.4 будет установлено по зависимостям.

apt update
apt install snapd

После чего обязательно перезагрузите систему, чтобы активировать новое ядро, после чего добавим поддержку livepatch:

snap install canonical-livepatch

Если теперь мы проверим статус служб Ubuntu Advantage, то увидим, что напротив сервиса livepatch вместо n/a появилось disabled.

ua status

ubuntu-ua-esm-infra-008.pngПопробуем снова включить сервис и в этот раз у нас должно все получиться:

ua enable livepatch

ubuntu-ua-esm-infra-009.pngТеперь даже такая старая система, как Ubuntu 14.04 LTS окажется гораздо более защищена и сможет применять новые обновления безопасности ядра без перезагрузки системы.

Заключение

Как видим, Ubuntu Advantage предоставляет отличные возможности поддержки старых систем предоставляя им обновления безопасности в рамках Extended Security Maintenance (ESM) и такие современные возможности, как обновления ядра без перезагрузки системы в течении дополнительных пяти лет, после окончания основной поддержки. Стоимость пакета UA вполне доступна, а для личного и некоммерческого использования имеется возможность получения бесплатной подписки на три компьютера.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Поддержи проект!

Или подпишись на наш Телеграм-канал: Подпишись на наш Telegram-канал



Loading Comments