Al usar el servicio Canonical Livepatch te dará la oportunidad de tener secciones críticas del kernel de Linux colocados de forma automática en tu sistema Ubuntu, sin la necesidad de reiniciar el ordenador.
¿De qué se trata este servicio y cómo es su funcionamiento? Canonical Livepatch usa la tecnología Kernel Live Patching en conjunto con el sistema kernel estándar de Linux. Este sitio web Livepatch de Canonical ha indicado que empresas grandes como AT&T, Cisco y Walmart lo usan permanentemente.
Este servicio es completamente gratuito, se puede usar en tres dispositivos distintos, podrás hacer uso de este servicio en «computadoras de escritorio, servidores, máquinas virtuales o instancias en la nube». Ahora bien, cuando se trata de uso empresarial las organizaciones pueden usarlo en más sistemas con una suscripción paga de Ubuntu Advantage.
En el servicio Canonical Livepatch los parches en los núcleos son obligatorios pero muy inconvenientes
En Canonical Livepatch los parches de kernel de Linux son obligatorios y necesarios. Mantener tu sistema seguro y actualizado. Es esencial en el mundo globalizado en el cual vivimos. Aunque cada vez que necesites aplicar parches de kernel puede ser muy molesto si tienes que reiniciar tu ordenador cada vez.
Sobre todo si el ordenador te da algún tipo de servicio y debes negociar con el mismo para poder desconectarlo. Además, si tienes varios ordenadores Ubuntu, realizar esta tarea en cada uno de estos y hacerlo uno a la vez podría tomarte mucho tiempo.
Este servicio elimina todo ese tiempo que podría tomarte, la molestia de tener tus sistemas Ubuntu actualizados con parches críticos del núcleo. Es muy sencillo de configurar, ya sea de manera gráfica o desde la línea de comandos y te quitas una tarea molesta e innecesaria.
Cualquier cosa que puedas hacer para reducir las tareas de mantenimiento, aumente la seguridad y te permita aprovechar mejor el tiempo, siempre será una buena opción. Solo que existen algunas situaciones que debes tomar en cuenta.
Debes usar Ubuntu para poder tener el servicio Canonical Livepatch
En principio, debes estar usando una versión de soporte a largo plazo (LTS) de Ubuntu como 16.04 o 18.04. La versión LTS más reciente es 18.04, es por ello que tomaremos en cuenta esta siendo la más actualizada. Debe ser una versión de 64 bits y adicionalmente no debes ejecutar Linux Kernel 4.4 o superior.
Es necesario que tengas una cuenta de Ubuntu One. Solo te podrás registrar en una cuenta de Ubuntu One y con ello obtendrás tu cuenta gratuita. Inicialmente puedes usar el servicio Canonical Livepatch sin costo alguno, solo que se encuentra limitado a tres computadoras por cuenta de Ubuntu One.
Si debes mantener más de tres computadoras, será necesario que obtengas cuentas adicionales de Ubuntu One. En caso de que tengas que cuidar servidores físicos, virtuales o alojados en la nube, deberás convertirte en un cliente de Ubuntu Advantage.
¿Cómo obtener una cuenta de Ubuntu One?
Cuando se trata de la configuración del servicio Livepatch por medio de la interfaz gráfica de usuario (GUI) o mediante la interfaz de línea de comandos (CLI), debes tener una cuenta de Ubuntu One. Es necesario debido a que la operación del servicio Livepatch depende de una clave privada que se recibe y está vinculada a la cuenta de Ubuntu One.
En caso de configurar el servicio Livepatch utilizando la GUI, no verás tu clave. Se necesitará y se usará en tu cuenta en segundo plano. Ahora, si configuras tu servicio Livepatch a través del terminal, deberás copiar y pegar tu clave desde tu navegador a la línea de comandos. Si no tienes una cuenta de Ubuntu One puedes crearla sin costo alguno.
Habilita el servicio Canonical Livepatch de modo gráfico
Al comenzar la interfaz de configuración de modo gráfico debes presionar la tecla «Super». Se encuentra ubicada entre las teclas “Control” y “Alt” en la esquina inferior izquierda de la mayoría de los teclados. Busca “livepatch” y cuando veas el icono de Livepatch, haz clic en el icono o presiona “Entrar”.
El icono de Livepatch siempre aparece en la ventana de diálogo “Software y actualizaciones” con la pestaña Livepatch seleccionada harás clic en el botón «Iniciar sesión». Te recordamos que necesitas una cuenta de Ubuntu One.
Aparecerá la ventana de diálogo llamada Cuenta de inicio de sesión único de Ubuntu. Canonical utiliza los términos “Ubuntu One” y “Single Sign-On” de manera indistinta. Lo que quiere decir que ambos son lo mismo. De manera oficial, “Single Sign-On” fue reemplazada por «Ubuntu One», pero ambos aún siguen apareciendo.
Debes ingresar los detalles de tu cuenta y harás clic en el botón “Conectar”. También puedes hacer uso de esta ventana de diálogo para registrarte si aún no has creado tu cuenta. En caso de tenerla, coloca tu contraseña y haz clic en el botón “Autenticar”. Una ventana de diálogo te mostrará la dirección de correo electrónico que asociarás a tu cuenta de Ubuntu One que usarás. Asegúrate que sea la correcta y oprime “continuar”.
De seguro te pedirá la contraseña una vez más y pasados unos segundos mostrará la pestaña Livepatch en la ventana de diálogo «Software y actualizaciones» esta se actualizará para mostrar si Livepatch está activo. Debe aparecer un nuevo icono de escudo en el área de notificaciones de herramientas, cerca de los iconos de redes, sonido y energía.
El círculo verde te indicará que todo está bien y para acceder al menú solo haz clic en el icono. Debe mencionar que Livepatch está activado y que no hay actualizaciones disponibles.
Habilitar el servicio Canonical Livepatch usando la CLI
Es necesario contar con una cuenta de Ubuntu One. Si no tienes una tendrás la oportunidad de crearla. Es gratuita y solo te tomará un momento crearla. Algunos de los pasos que debes realizar se encuentran en la web, por lo que no es un procedimiento exclusivo de CLI. Comienza por visitar la página web del Servicio Canonical Livepatch para que obtengas tu clave secreta o «token».
Debes seleccionar el botón de opción «Usuario de Ubuntu» y hacer clic en el botón «Obtener su token de Livepatch». El sistema te solicitará que inicies tu sesión de Ubuntu One. Al tener la cuenta, ingresa la dirección de correo electrónico que usas para configurar tu cuenta y selecciona el botón de opción “Tengo una cuenta de Ubuntu One y mi contraseña es:”
Si aún no posees una cuenta debes ingresar la dirección de correo electrónico y seleccionarás el botón de opción “No tengo una cuenta de Ubuntu One”. El mismo sistema te guiará a través del proceso de creación de una cuenta. Una vez que hayas verificado tu cuenta de Ubuntu One, verás la página web de parches administrados del kernel en vivo. El sistema mostrará tu clave.
Mantén la página web con tu clave abierta y abre una ventana de terminal. Debes usar el comando indicado en la ventana de terminal para instalar el servicio Livepatch, colocando el Livepatch service daemon:
sudo snap install canonical-livepatch.
Al finalizar la instalación, debes habilitar el servicio. Necesitarás la clave de la página web «Parches administrados de kernel en vivo».
Es necesario copiar y pegar la clave en la línea de comando, resaltas la clave en la página web, haz clic con el botón derecho y selecciona «Copiar» en el menú contextual. O puedes resaltar la tecla y presionar «Ctrl + C».
Debes seguir escribiendo en la Terminal sin oprimir Enter
Debes escribir el siguiente comando en la ventana de terminal pero no presiones «Enter»
sudo canonical-livepatch enable.
Luego oprime la tecla espacio, haz clic derecho y seleccione «Pegar» en el menú. O puedes presionar «CTRL + SHIFT + V». Deberías lograr ver el comando que acabas de escribir, un espacio y la tecla de la página web.
Hasta el momento si todo va bien verás un mensaje de verificación de Livepatch que te informará si la computadora ha sido habilitada para parchear el kernel. También mostrará otra clave larga; este es el «token de máquina».
¿Qué acaba de suceder? Has obtenido exitosamente tu clave Livepatch de Canonical el cual puedes usar en tres ordenadores y ya lo has usado efectivamente en el ordenador que tienes. El token de máquina que se generó para tu ordenador, usando tu clave, es el token de máquina que se muestra en el mensaje mencionado anteriormente.
Si marcas la pestaña Livepatch en la ventana de diálogo «Software y actualizaciones», verás que Livepatch está habilitado y activo.
Para comprobar el estado de Livepatch
Puedes hacer la comprobación de Livepatch mediante un informe de estado con el siguiente comando:
sudo canonical-livepatch status.
Ahora, te aparecerá el siguiente informe:
- Versión del cliente: la versión de software de Livepatch.
- Arquitectura: La arquitectura de la CPU del ordenador.
- CPU-model: el tipo y modelo de la Unidad Central de Procesamiento (CPU) en el ordenador.
- Última comprobación: hora y la fecha en que Livepatch verificó por última vez para ver si había actualizaciones críticas del núcleo disponibles para la descarga.
- Tiempo de arranque: última vez que se encendió el ordenador.
- Tiempo de actividad: Tiempo durante el cual el ordenador estado encendido.
El bloque de estado te dirá:
- Kernel: la versión del kernel actual.
- En ejecución: si Livepatch se está ejecutando o no.
- Checkstate: si Livepatch ha verificado parches del kernel.
- PatchState: si existen parches del kernel críticos que se necesitan para instalar.
- Versión: la versión de los parches del kernel, si los hay, los cuales deben aplicarse.
- Arreglos: los arreglos contenidos en los parches del kernel.
Forzar a Livepatch a que actualice
El objetivo del sistema de Livepatch es proporcionarte un servicio de actualización administrado, lo que significa que no debes pensar en ello. Todo está hecho para ti aunque si lo deseas, puedes forzar a Livepatch a verificar los parches del kernel con el siguiente comando:
sudo canonical-livepatch refresh.
El mismo sistema te avisará la versión que haya tenido antes y después.
Cuando hay menos fricción de seguridad el mayor inconveniente de aplicar es el uso o el mantenimiento de la misma. Cuando la fricción es alta, la seguridad se afecta porque la característica no se mantiene o en su defecto no se usa.
El sistema de Livepatch elimina toda la fricción en la colocación de actualizaciones críticas del kernel, manteniendo siempre tu kernel lo más seguro posible.