Ubuntu se dote d’une nouvelle capacité destinée aux entreprises, le Canonical Livepatch Service. Il permet l’intervention « live » dans le noyau, sans redémarrage. L’éditeur en autorise l’installation sur des machines grand public, à condition de ne pas dépasser trois ordinateurs.
Le « Kernel live patching » est, comme son nom l’indique, la possibilité d’installer un patch dans le noyau Linux. Lorsqu’il est possible, ce processus offre un avantage conséquent : celui de pouvoir appliquer des modifications sans nécessité de redémarrage de la machine. Idéal donc pour installer des correctifs de sécurité sans nuire à la productivité d’un serveur.
Un service complémentaire pour les versions LTS
Dans une annonce publiée hier soir, Canonical indique désormais disposer d’un tel service. Baptisé CLS, il se veut le complément idéal des serveurs, particulièrement quand ils ont à charge des environnements virtualisés, une seule machine pouvant travailler sur des milliers de charges simultanément. Les entreprises qui souhaitent en profiter doivent par contre bénéficier d’un forfait Advantage, les formules débutant à 12 dollars par mois. Ubuntu 16.04 LTS est obligatoire, en édition 64 bits uniquement.
Obtention du jeton et installation
Canonical laisse également son service être utilisé par le grand public, à condition qu’il ne dépasse pas les trois ordinateurs. Là encore, Ubuntu 16.04 LTS est nécessaire. Les utilisateurs intéressés peuvent alors se rendre sur le site réservé au CLS et obtenir un jeton. Une fois cette étape accomplie, il faudra ouvrir un terminal et coller la commande « sudo snap install canonical-livepatch » pour installer le paquet snap correspondant. On active ensuite le service avec la commance « sudo canonical-livepatch enable XXX », où XXX est le jeton (de taille beaucoup plus longue).
À n’importe quel moment, l’utilisateur ou l’administrateur peut entrer la commande « canonical-livepatch status » pour connaître l’état de son système. Il obtiendra des informations de type « kernel: 4.4.0-38.57-generic fully-patched: true », lui indiquant que tout va bien.
Un type de service qui se généralise doucement
Notez que ce service n’est utilisé que pour corriger les failles de sécurité critiques, celles pour lesquelles il est toujours conseillé d’appliquer les correctifs sans attendre. Par ailleurs, et comme le note Phoronix, Canonical n’est pas le seul éditeur à proposer un tel service. Red Hat dispose ainsi de Kpatch, tandis que SUSE propose kGraft.
