Как обновить / установить критические обновления безопасности ядра Oracle без перезагрузки |

Как обновить / установить критические обновления безопасности ядра Oracle без перезагрузки

Закрытие уязвимостей

В основном обновление ядра Linux потребует перезагрузки системы.

Новое ядро не вступает в силу до перезагрузки системы.

В среднем ядро Linux получает обновления безопасности и исправления ошибок примерно раз в месяц.

Для критической системы мы не можем планировать время простоя один раз в месяц, потому что у нее много зависимостей, и мы не получим одобрение руководства.

Как преодолеть это? Да, у нас есть опция в Oracle Premier Support.

Она называется Ksplice.

Что такое Ksplice

Oracle Ksplice позволяет поддерживать безопасность и доступность ваших систем, позволяя вам обновлять свои системы с помощью последних исправлений безопасности ядра и других критических обновлений.

Он обновляет текущее изображение ядра без необходимости перезагрузки.

Он обновляет текущее ядро в памяти.

Обновление Ksplice вступает в силу сразу же после его применения.

Это не изменение на диске, которое вступает в силу только после последующей перезагрузки.

Убедитесь, что ваша система должна быть зарегистрирована в Unbreakable Linux Network (ULN), чтобы использовать Ksplice.

Вы можете использовать Oracle Ksplice, если у вас есть учетная запись поддержки Oracle Linux Premier.

Обратитесь к следующему URL-адресу для регистрации системы с помощью Unbreakable Linux Network (ULN).

После того, как вы прошли регистрацию в Unbreakable Linux Network (ULN), подпишите свои системы на канал Ksplice для Oracle Linux и установите на них программное обеспечение Ksplice Uptrack

Как зарегистрировать систему для использования Oracle Ksplice в ULN

Если у вас уже есть учетная запись в ULN, вы можете зарегистрировать свою систему для использования Ksplice Uptrack.

Залогиньтесь в ULN @ http://linux.oracle.com.

Нажмите кнопку регистрации Ksplice Uptrack Registration на домашней странице ULN и выберите идентификаторы поддержки клиентов (CSI), которые вы хотите использовать, и нажмите «Register».

На экране отображается подтверждение, что была создана учетная запись Ksplice, и письмо электронной почты, содержащее ключ доступа Ksplice.

То же самое было проверено через портал ULN.

Используйте учетную запись Oracle SSO для входа в веб-интерфейс Ksplice по адресу https://status-ksplice.oracle.com/ и регистрации систем.

На данный момент система не зарегистрирована. То же самое было проверено на следующем скриншоте.

Как установить Ksplice Uptrack

Просто запустите следующие команды для установки Ksplice Uptrack.

Убедитесь, что вы запускаете следующие команды как root.

Он предлагает скрипт установки, поэтому запустите следующие команды как root и замените YOUR_ACCESS_KEY своим ключом доступа.

Если вы хотите включить автоматическое обновление, установите autoinstall = yes в файле /etc/uptrack/uptrack.conf после установки.

# wget -N https://www.ksplice.com/uptrack/install-uptrack
# sh install-uptrack YOUR_ACCESS_KEY

В качестве альтернативы мы можем добавить параметр –autoinstall в команду install-uptrack.

# sh install-uptrack YOUR_ACCESS_KEY --autoinstall

По умолчанию Ksplice Uptrack будет переустанавливать перезагружаемые обновления во время процесса загрузки, чтобы вы оставались в безопасности даже после перезагрузки.

Вы можете настроить это поведение, изменив параметр install_on_reboot в /etc/uptrack/uptrack.conf.

# vi /etc/uptrack/uptrack.conf
install_on_reboot = [no or yes]

Да, теперь я могу видеть список зарегистрированных систем.

Просмотр доступных обновлений и установленных обновлений.

Используйте приведенную ниже страницу, чтобы разрешить или запретить системе использовать ksplice uptrack.

Чтобы перечислить доступные обновления Ksplice, используйте следующие команды uptrack-upgrade.

# uptrack-upgrade -n
или
# uptrack-show --available
Available updates:
[fiq04xbb] CVE-2013-2237: Information leak on IPSec key socket.
[9q4luou3] CVE-2014-3687: Remote denial-of-service in SCTP stack.

Чтобы установить все доступные обновления Ksplice:

# uptrack-upgrade -y
The following steps will be taken:
Install [guclwyc2] CVE-2012-0957: Information leak in uname syscall.
Install [j4d07e02] Kernel panic in IPv4 ARP and IPv6 Neighbor Discovery.
Install [r8og1ec4] CVE-2013-1979: Privilege escalation with UNIX socket credentials.
Install [fiq04xbb] CVE-2013-2237: Information leak on IPSec key socket.
Install [9q4luou3] CVE-2014-3687: Remote denial-of-service in SCTP stack.
Installing [guclwyc2] CVE-2012-0957: Information leak in uname syscall.
Installing [j4d07e02] Kernel panic in IPv4 ARP and IPv6 Neighbor Discovery.
Installing [r8og1ec4] CVE-2013-1979: Privilege escalation with UNIX socket credentials.
Installing [fiq04xbb] CVE-2013-2237: Information leak on IPSec key socket.
Installing [9q4luou3] CVE-2014-3687: Remote denial-of-service in SCTP stack.
Your kernel is fully up to date.
Effective kernel version is 3.8.13-118.20.3.el6uek

Просмотр установленных обновлений.

# uptrack-show
Installed updates:
[guclwyc2] CVE-2012-0957: Information leak in uname syscall.
[j4d07e02] Kernel panic in IPv4 ARP and IPv6 Neighbor Discovery.
[r8og1ec4] CVE-2013-1979: Privilege escalation with UNIX socket credentials.

После запуска команды uptrack-upgrade мы можем видеть, как эффективное ядро запускает компьютер.

Ksplice Uptrack не изменяет вывод uname. Запустите uptrack-uname, чтобы увидеть обновленное запущенное ядро на машине.

# uname -r
3.8.13-68.2.2.el6uek

# uptrack-uname -r
3.8.13-118.20.3.el6uek

Чтобы удалить все обновления из ядра.

# uptrack-remove -y
или
# uptrack-remove --all
The following steps will be taken:
Remove [guclwyc2] CVE-2012-0957: Information leak in uname syscall.
Remove [j4d07e02] Kernel panic in IPv4 ARP and IPv6 Neighbor Discovery.
Remove [r8og1ec4] CVE-2013-1979: Privilege escalation with UNIX socket credentials.
Remove [fiq04xbb] CVE-2013-2237: Information leak on IPSec key socket.
Remove [9q4luou3] CVE-2014-3687: Remote denial-of-service in SCTP stack.

Чтобы удалить Uptrack.

# yum -y remove uptrack

 

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий