Компания Canonical впервые внедрила функцию Livepatch на устройствах с архитектурой Arm64, что позволяет системам Ubuntu на процессорах Arm устанавливать критические исправления безопасности ядра без перезагрузки.
Livepatch — одна из самых скрытых функций безопасности Ubuntu (она не включена по умолчанию и требует Ubuntu Pro), поскольку позволяет применять обновления безопасности ядра в памяти во время работы системы. Обычно для этого требуется перезагрузка.
Идеальное решение, если вы немного ленитесь или серверу нужно работать 24-7 без прерываний.
Теперь Livepatch впервые доступен в Ubuntu 26.04 LTS и Ubuntu Core 26, работающих на устройствах с архитектурой Arm64 — хотя сделать его работу было не так просто.
Для установки патчей в режиме реального времени ядро должно знать, когда безопасно заменить выполняющийся код исправленной версией. Это зависит от трассировок стека, которые на архитектуре arm64 поддерживались недостаточно хорошо. Аналогичным образом не хватало набора инструментов для сборки и сравнения патчей на arm64.
Чтобы достичь этого результата, потребовались многолетние совместные усилия Canonical, разработчиков ядра, производителей оборудования и гипермасштабируемых компаний.
Можно ли использовать Livepatch в Ubuntu для Raspberry Pi?
Если вы используете Ubuntu 26.04 LTS для Raspberry Pi, вы не сможете воспользоваться Livepatch.
Сборки Ubuntu для Pi работают на ядре linux-raspi — варианте ядра, который не входит в список версий, поддерживаемых Livepatch, указанный на его веб-сайте.
Поддерживаемые варианты ядра arm64: aws, azure, fips, gcp, generic, gke, ibm, lowlatency и oracle.
Livepatch необходим для серверов на базе ARM, облачных систем и постоянно работающего оборудования, обеспечивая исправление критических и высокорисковых уязвимостей (CVE), для устранения которых может потребоваться внеплановая перезагрузка, без простоев.
Это усовершенствование усилит Безопасность систем, которые не проходят ежедневную или еженедельную проверку на безопасность, и обеспечит операционное преимущество для организаций, стремящихся к соблюдению требований Закона о киберустойчивости (CRA)
— пишет Раджан Патель из Canonical в своём объявлении
Тем не менее, это не означает, что о безопасности можно забыть. Livepatch обновляет только ядро. Обычные пакеты (такие как OpenSSL и т. д.) по-прежнему требуют внимания в рамках стандартных apt upgrade процессов. Canonical также рекомендует периодически перезагружать систему.
Включение Livepatch в Ubuntu 26.04 LTS
Для использования Livepatch требуется учётная запись Ubuntu Pro, которая бесплатна для личного использования на пяти компьютерах. Пользователи Ubuntu 26.04 LTS могут включить эту функцию через Центр безопасности на настольных компьютерах или с помощью командной строки на системах без графического интерфейса, серверах и в облаке.