想不想让关键的Linux内核补丁自动应用到你的Ubuntu系统，而不需要重新启动你的计算机？我们将描述如何使用Canonical的Livepatch服务来实现这一点。

什么是livepatch及其工作原理(livepatch and how does it work)？

正如Canonical的Dustin Kirkland几年前解释的那样，Canonical Livepatch使用标准Linux内核内置的内核实时补丁技术。Canonical的Livepatch网站指出，AT&T、Cisco和沃尔玛等大型公司都在使用它。

根据Kirkland的说法，个人可以在三台计算机上****，这些计算机可以是“台式机、服务器、虚拟机或云实例”。组织可以在更多的系统上使用它，并获得付费的Ubuntu Advantage订阅。

内核补丁是必要的，但不方便

Linux内核补丁是一个现实。在我们所处的互联世界中，保持系统的安全和最新补丁是至关重要的。但是必须重新启动计算机才能应用内核补丁可能是一件痛苦的事。尤其是当电脑为用户提供某种服务时，你必须与他们协调或协商，使服务离线。还有一个乘数。如果你要维护好几台Ubuntu机器，在某个时候你必须咬紧牙关，依次完成每一台机器。

规范的Livepatch服务消除了使用关键的内核补丁更新Ubuntu系统的所有烦恼。无论是用图形还是从命令行进行设置都很容易，而且还可以让您多做一件家务。

任何能减少维护工作量、提高安全性和减少停机时间的东西都必须是一个有吸引力的提议，对吧？是的，但是有一些警告。

• 您必须使用Ubuntu的长期支持（LTS）版本，如16.04或18.04。最新的LTS版本是18.04，所以我们将在这里使用这个版本。
• 它必须是64位版本。
• 您必须运行Linux内核4.4或更高版本
• 你需要有一个ubuntuone帐户。还记得他们吗？如果你没有ubuntuone帐号，你可以注册一个免费帐号。
• 您可以****canonicallivepatch服务，但每个Ubuntu帐户只能使用三台计算机。如果你要维护三台以上的电脑，你需要额外的ubuntuone帐号。
• 如果你有物理的，虚拟的，或云托管的服务器需要照顾，你需要成为一个Ubuntu的优势客户。

获取一个ubuntu one帐户

无论是通过图形用户界面（GUI）还是通过命令行界面（CLI）设置Livepatch服务，您都必须拥有一个ubuntuone帐户。这是必需的，因为Livepatch服务的操作依赖于一个私钥，这个私钥是发给你的，并且绑定到你的ubuntuone帐户上。

• 如果您使用GUI设置Livepatch服务，您将看不到您的密钥。它仍然是需要和使用的，但它都是在后台为您处理的。
• 如果您通过终端设置Livepatch服务，则需要将密钥从浏览器复制并粘贴到命令行。

如果你没有一个ubuntuone帐户，你可以免费创建一个。

以图形方式启用规范的livepatch服务

要启动图形设置界面，请按“超级”键。它位于大多数键盘左下角的“Control”和“Alt”键之间。搜索“livepatch”

当您看到Livepatc**标时，单击该图标或按“回车”。

“软件和更新”对话框窗口将出现，并选择Livepatch选项卡。单击“登录”按钮。提醒您需要一个ubuntuone帐户。

单击“登录/注册”按钮。

将出现“Ubuntu Single Sign-On Account”对话框窗口。Canonical可以互换地使用术语“ubuntuone”和“Single Sign-On”。他们的意思是一样的。官方的“单点登录”被“ubuntuone”所取代，但这个老名字依然存在。

输入您的帐户详细信息，然后单击“连接”按钮。如果尚未创建帐户，也可以使用此对话框窗口注册帐户。

系统将提示您输入密码。

输入密码，然后单击“验证”按钮。一个对话框窗口向您显示与您将要使用的ubuntuone帐户相关联的电子邮件地址。

确保正确，然后单击“继续”按钮。

您将再次被要求输入密码。几秒钟后，“软件和更新”对话框窗口中的Livepatch选项卡将更新，以显示Livepatch处于活动状态。

新的屏蔽图标将出现在工具通知区域，靠近网络、声音和电源图标。带记号的绿色圆圈告诉你一切都很好。单击图标以访问菜单。

我们被告知Livepatch已经打开，并且没有最新的更新。

“Livepatch设置”选项将打开Livepatch选项卡上的“软件和更新”对话框窗口。

就这样，你们都完了。

使用cli启用规范livepatch服务

你需要一个ubuntuone帐户。如果你没有，你就有机会创造一个。它们是免费的，只需要片刻。

我们需要执行的一些步骤是基于web的，因此这并不是一个真正的仅限CLI的方法。我们首先访问规范的Livepatch服务网页，以获取我们的密钥或“令牌”

选择“Ubuntu User”单选按钮并单击“Get Your Livepatch Token”按钮。

系统会提示您登录到ubuntuone帐户。

• 如果你有一个帐户，输入你用来设置帐户的电子邮件地址，然后选择“我有一个ubuntuone帐户，我的密码是：”单选按钮。
• 如果您没有帐户，请输入您的电子邮件地址并选择“我没有Ubuntu One帐户”单选按钮。我们将指导您完成帐户创建过程。

一旦您的ubuntuone帐户被验证，您将看到Managed live kernel补丁网页。将显示您的钥匙。

打开带有钥匙的网页，然后打开一个终端窗口。在终端窗口中使用以下命令安装Livepatch服务守护程序：

安装完成后，您需要启用该服务。您将需要“Managed live kernel patching”网页中的密钥。

您需要将键复制并粘贴到命令行。突出显示网页上的键，右键单击它，然后从上下文菜单中选择“复制”。或者您可以突出显示该键并按“Ctrl+C”

在终端窗口中键入以下命令，但不要按“回车”

然后键入一个空格，右键单击并从关联菜单中选择“粘贴”。或者您可以按“Ctrl+Shift+V”。您应该可以看到您刚才键入的命令、空格和网页中的键。

在研究这篇文章的试验机上，它看起来是这样的：

按“回车”

相关：如何在Linux的Bash Shell中复制和粘贴文本

如果一切顺利，您将看到一条来自Livepatch的验证消息，告诉您计算机已启用内核补丁。它还将显示另一个长密钥；这是“机器令牌”

刚才发生的是：

• 您已从Canonical获得Livepatch密钥。
• 你可以在三台电脑上使用它。你已经在一台电脑上用过了。
• 使用您的密钥为此计算机生成的机器令牌是此消息中显示的机器令牌。

如果您检查“软件和更新”对话框窗口中的Livepatch选项卡，您将看到Livepatch已启用并处于活动状态。

检查livepatch的状态

您可以使用以下命令使Livepatch向您提供状态报告：

状态报告包含：

• 客户端版本：Livepatch的软件版本。
• 体系结构：计算机的CPU体系结构。
• cpu型号：计算机中中央处理器（cpu）的类型和型号。
• 上次检查：Livepatch上次检查是否有任何关键内核更新可供下载的时间和日期。
• 启动时间：这台计算机上次通电的时间。
• 正常运行时间：此计算机通电的持续时间。

状态块告诉我们：

• 内核：当前内核的版本。
• 运行：Livepatch是否运行。
• checkstate:Livepatch是否检查了内核补丁。
• patchState：是否有任何关键的内核补丁需要安装。
• 版本：需要应用的内核补丁的版本（如果有的话）。
• 补丁：包含在内核补丁中的补丁。

强制livepatch立即更新

Livepatch的重点是提供托管更新服务，这意味着您无需考虑它。一切都是为了你。但如果您愿意，可以使用以下命令强制Livepatch检查内核修补程序（并应用找到的任何修补程序）：

Livepatch告诉您刷新前后内核的版本。在这个例子中没有什么可以应用的。

减少摩擦，提高安全性

安全摩擦是与实现、使用或维护安全功能相关的痛苦或不便。如果摩擦太大，安全性就会受到影响，因为没有使用或维护该特性。Livepatch消除了应用关键内核更新的所有摩擦，尽可能保证内核的安全。

这是“赢，赢”的直接意思