Ubuntu se dote d’une nouvelle capacité destinée aux entreprises, le Canonical Livepatch Service. Il permet l’intervention « live » dans le noyau, sans redémarrage. L’éditeur en autorise l’installation sur des machines grand public, à condition de ne pas dépasser trois ordinateurs.
Le « Kernel live patching » est, comme son nom l’indique, la possibilité d’installer un patch dans le noyau Linux. Lorsqu’il est possible, ce processus offre un avantage conséquent : celui de pouvoir appliquer des modifications sans nécessité de redémarrage de la machine. Idéal donc pour installer des correctifs de sécurité sans nuire à la productivité d’un serveur.
Un service complémentaire pour les versions LTS
Dans une annonce publiée hier soir, Canonical indique désormais disposer d’un tel service. Baptisé CLS, il se veut le complément idéal des serveurs, particulièrement quand ils ont à charge des environnements virtualisés, une seule machine pouvant travailler sur des milliers de charges simultanément. Les entreprises qui souhaitent en profiter doivent par contre bénéficier d’un forfait Advantage, les formules débutant à 12 dollars par mois. Ubuntu 16.04 LTS est obligatoire, en édition 64 bits uniquement.
Obtention du jeton et installation
Canonical laisse également son service être utilisé par le grand public, à condition qu’il ne dépasse pas les trois ordinateurs. Là encore, Ubuntu 16.04 LTS est nécessaire. Les utilisateurs intéressés peuvent alors se rendre sur le site réservé au CLS et obtenir un jeton. Une fois cette étape accomplie, il faudra ouvrir un terminal et coller la commande « sudo snap install canonical-livepatch » pour installer le paquet snap correspondant. On active ensuite le service avec la commance « sudo canonical-livepatch enable XXX », où XXX est le jeton (de taille beaucoup plus longue).
À n’importe quel moment, l’utilisateur ou l’administrateur peut entrer la commande « canonical-livepatch status » pour connaître l’état de son système. Il obtiendra des informations de type « kernel: 4.4.0-38.57-generic fully-patched: true », lui indiquant que tout va bien.
Un type de service qui se généralise doucement
Notez que ce service n’est utilisé que pour corriger les failles de sécurité critiques, celles pour lesquelles il est toujours conseillé d’appliquer les correctifs sans attendre. Par ailleurs, et comme le note Phoronix, Canonical n’est pas le seul éditeur à proposer un tel service. Red Hat dispose ainsi de Kpatch, tandis que SUSE propose kGraft.
Commentaires (33)
Je n’imagine même pas la complexité du code pour faire fonctionner un système pareil.
Ou alors ils sont vraiment ingénieux et ont trouvé une solution élégante pour le faire.
En tous cas c’est une très bonne nouvelle pour les serveurs. Pour les particuliers un peu moins.
https://www.youtube.com/watch?v=SYRlTISvjww
" />
Comment ça fonctionne au niveau de la licence ça? D’interdire l’utilisation à 3 postes par exemple.
Hop les backdoors du gouvernement US directement et automatique installées et retirée. La RSA en a rêvé, Canonical l’a fait.
Ah, c’est pas directement dans l’OS…
Alors la je comprends pas :
kpatch marche sur a peu près toutes les distros avec kernel >=3.9 et GCC >=4.8 selon le github sur lequel il est hébergé, mais pourquoi ces options sont toutes des services commerciaux distro dependenants si c’est une fonctionnalité intégrée au kernel linux???!
L’élaboration des patch diffère des maj de packets kernel via apt-get ou dnf?
késakokecetruc?
Ca arrivera plus tard pour les particuliers ou pas ?
Je comprends pas, en mode serveur, j’ai jamais a redémarrer ma machine quand je mets à jour le noyaux, et quand je lui demande après une mise à jour, j’ai bien la dernière version.
sur le principe c’est pas compliqué : tu as une table des appels système il suffit de remplacer l’adresse de la fonction de base par l’adresse de la fonction de remplacement. Comme la signature des méthodes (leurs arguments en entrée et leur sortie) est identique c’est transparent.
C’est là qu’on voit que Windows a un retard monstrueux…
Je voudrais pouvoir mettre à jour en live le kernel de mon opensuse (c’est à dire sans devoir recompiler ledit kernel pour que le pilote proprio de nvidia continue de fonctionner).
" /> 
" />
La vie est plus belle en rêve.
Merci tu m’as trop fait rire
" />
Linux
" />
" />
" />
Windaube
pour quand avec windows 10 les corrections dans le kernel sans redémarrage?
Je comprends pas, en mode serveur, j’ai jamais a redémarrer ma machine quand je mets à jour le noyaux, et quand je lui demande après une mise à jour, j’ai bien la dernière version.
Haha le lapsus, merci de l’avoir relevé.
Sur du serveur je l’avais déjà vu avec la bannière SSH qui dit “le système doit être redémarré”, au même titre que le “xx paquets peuvent être mis à jour”.
Après ça fait longtemps que j’ai pas joué avec une Ubuntu Server, je me suis installé une 16.04 dernièrement.