Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Canonical Livepatch Service propose aux utilisateurs de colmater des failles critiques de sécurité sur Ubuntu 16.04 LTS
Sans avoir à redémarrer

Le , par Stéphane le calme

43PARTAGES

7  0 
« Le patching en direct du noyau permet une correction pendant l’exécution des problèmes critiques de sécurité dans votre noyau sans avoir à redémarrer. C’est le meilleur moyen de s'assurer que les machines sont en sécurité au niveau du noyau, tout en garantissant la disponibilité, en particulier pour les hôtes de conteneurs où une seule machine peut être en train d’exécuter des milliers de charges de travail différentes », a rappelé l’ingénieur Dustin Kirkland, sur la liste de diffusion d’Ubuntu.

Si Red Hat, SUSE proposait déjà une telle solution, notamment Kpatch pour le premier et kGraft pour le second, cette fois-ci c’est Canonical qui a décidé de proposer un service semblable qu’il a baptisé Canonical Livepatch Service (CLS). « Le Canonical Livepatch Service est un flux authentifié, chiffré et signé de modules livepatch du noyau pour les serveurs Ubuntu, les machines virtuelles ainsi que les ordinateurs de bureau », a expliqué Kirkland.

Ce service, qui est principalement orienté vers les entreprises qui administrent de nombreux serveurs, n’est pas gratuit : les entreprises intéressées doivent bénéficier d’un forfait Advantage, dont les formules débutent à 12,5 dollars par mois. Elles doivent également être sur Ubuntu 16.04 LTS, en édition 64 bits uniquement.

Néanmoins, une version commerciale de son service sera disponible gratuitement pour la communauté Ubuntu. Notons quand même que cette version sera limitée à trois ordinateurs (serveur, desktop, machine virtuelle et instances de cloud). Bien entendu, les mêmes prérequis qu’en entreprise sont nécessaires, notamment le fait de disposer d’Ubuntu 16.04 LTS en édition 64 bits.

Pour en profiter, il suffit de :
  • se rendre sur le site réservé à CLS pour obtenir un jeton (par exemple d3b07384d213edec49eaa6238ad5ff00) ;
  • installer le paquet avec la commande sudo snap install canonical-livepatch ;
  • activer le service avec la commande $ sudo canonical-livepatch enable votre-jeton (par exemple $ sudo canonical-livepatch enable d3b07384d213edec49eaa6238ad5ff00) ;

À n’importe quel moment, il vous est possible de connaître l'état du système avec la commande canonical-livepatch status. Notez que ce service n’est indiqué que pour corriger les failles de sécurité critiques, celles pour lesquelles il est toujours conseillé d’appliquer les correctifs sans attendre.


Pour ceux qui se demandent s'il y a des différences entre les offres de Live Patching Oracle Ksplice, RHEL Live Patching et SUSE Live Patching, il explique que bien que les concepts se ressemblent en de nombreux points, les implémentations techniques et commerciales sont différentes :
  • Oracle Ksplice se sert de sa propre technologie qui n'est pas un upstream Linux ;
  • RHEL et SUSE utilisent actuellement leurs implémentations kpatch et kgraft ;
  • le service Canonical Patching fait appel à la technologie upstream Linux Kernel Live Patching ;
  • Ksplice est gratuit mais n'est pas supporté par des desktops Ubuntu. Sans compter qu'il n'est disponible que pour les serveurs Oracle Linux et RHEL avec une licence Oracle Linux Premier Support (2299 dollars par nœud et par an) ;
  • la façon de s'abonner à RHEL Kernel Live Patching est quelque peu floue, mais il semblerait que vous ayez tout d'abord besoin d'être un client RHEL, puis vous abonner au SIG (Special Interests Group) via votre TAM (Technical Account Manager), ce qui requiert une souscription à Red Hat Enterprise Linux Server Premium et qui coûte 1299 dollars par nœud et par an ;
  • SUSE Live Patching est disponible comme extension pour les souscriptions SUSE Linux Enterprise Server 12 Priority Support à 1499 dollars par nœud et par an ;
  • Canonical Live Patching est disponible pour tous les clients Ubuntu Advantage à partir de notre palier d'entrée UA Essential, soit 150 dollars par nœud et par an, et gratuit pour les membres de la communauté Ubuntu.

code source des modules de Livepatch

Source : annonce Dustin Kirkland, blog Dustin Kirkland

Voir aussi :

Un piratage des forums Ubuntu a exposé 2 millions d'utilisateurs, le pirate a eu accès à une table où étaient sauvegardées des adresses IP

Microsoft apporte le shell Unix Bash à Windows 10, le résultat d'une collaboration avec Canonical

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Iradrille
Expert confirmé https://www.developpez.com
Le 19/10/2016 à 19:44
Transformez votre Ubuntu en Windows 10 pour 12$ / mois !

Plus sérieusement, ce genre de service est intéressant si on héberge soi-même le serveur de maj, et que ce serveur n'a pas accès au net.
Ça me semble juste dangereux sinon. (MS fait la même chose, pour le moment ça se passe bien, mais un jour un petit malin prendra le contrôle du serveur de maj et ça sera un sacré bordel).
0  0 
Avatar de abriotde
Membre expérimenté https://www.developpez.com
Le 20/10/2016 à 14:00
En tout cas merci Canonical de démocratiser un peu ce service en divisant par près de 10 le prix d'entrée. Cela permet a n'importe quel gros site d'en profiter.
Deplus pour une fois Canonical n'a pas fait sa propre solution et ça, c'est très appréciable.

Ça me semble juste dangereux sinon
Ce n'est pas plus dangeureux que n'importe quel autre mise à Jour. Dans tous les cas si le serveur central est vérolé c'est grave et c'est pourquoi il y a de nombreuses protections.
0  0