скопировано отсюда
Каждый системный администратор знает, как важно своевременно получать и устанавливать обновления безопасности, особенно касающиеся вновь найденных уязвимостей. Конечно, оптимальный вариант – это использовать последние выпуски ОС и ПО, находящиеся на поддержке, но к сожалению это возможно не всегда. Если вы используете Ubuntu, то можете присоединиться к программе Ubuntu Advantage, которая позволяет продлить срок поддержки LTS версий еще на 5 лет (суммарно 10).
Что такое Ubuntu Advantage
Ubuntu Advantage (UA) – это сервисный пакет от компании Canonical для пользователей Ubuntu, включает коммерческую поддержку и ряд расширенных сервисов направленных на повышение управляемости и безопасности ваших систем. Пакет предоставляется на коммерческой основе, стоимость годового обслуживания для физического сервера начинается от $225, а для виртуальной машины от $75 в год. Для некоммерческого и личного использования предоставляется бесплатный пакет на три физических ПК, но мы не испытали никаких затруднений и при подключении виртуальной машины.
Мы сейчас не будем вдаваться в юридические и лицензионные подробности, отметим только, что цены на годовое обслуживание вполне приемлемые даже для малого бизнеса, особенно если сравнить их с возможным ущербом от компрометации системы в результате использования уязвимостей.
Далее мы будем рассматривать бесплатный пакет и два основных сервиса из него: Extended Security Maintenance (ESM) и Livepatch.
Extended Security Maintenance (ESM)
Данный сервис предоставляет особый интерес для пользователей систем с истекшим сроком основной поддержки. Extended Security Maintenance предоставляет обновления безопасности для всех бинарных пакетов находящихся в основном репозитории Ubuntu в течении дополнительных 5 лет, таким образом продлевая общий срок поддержки систем до 10 лет.
Но есть определенные тонкости. ESM не предоставляет исправления ошибок ПО, кроме тех, которые были вызваны обновлениями ESM. Также исправления безопасности предоставляются только по тем CVE, которые имеют статус важных или критических. Ну и наконец – поддерживаются только 64-х разрядные системы.
В настоящее время Extended Security Maintenance доступно для Ubuntu 14.04 LTS (до апреля 2024 года) и Ubuntu 16.04 LTS (до апреля 2026 года). О доступности ESM сообщается на официальном сайте после истечения срока основной поддержки, также об этом может сообщить утилита apt при обновлении пакетов.
Таким образом, если вы продолжаете использовать устаревшие системы, то подключение к Ubuntu Advantage и использование ESM позволит получать обновления безопасности в течении десятилетнего цикла, спокойно подготовить и осуществить переход на современные версии ОС и ПО. При этом обратите внимание, что ESM не распространяется на пакеты, поддерживаемые сообществом (репозитории universe и multiverse).
Livepatch Service
Livepatch – в буквальном переводе “живой патч” – еще один крайне полезный сервис, предоставляющий возможность устанавливать обновления безопасности ядра Linux без перезагрузки системы. В отличие от обычных обновлений, обновления ядра очень часто остаются не установленными по причине невозможности или нежелательности перезагрузки системы. Причин этому может быть множество, как объективных, так и не очень, но результат один – страдает безопасность системы. Livepatch позволяет избежать этой проблемы применяя исправления налету. Данная возможность доступна для всех систем входящих в Ubuntu Advantage, даже таких старых как Ubuntu 14.04 LTS.
Подключение к Ubuntu Advantage
Прежде всего вам нужно зарегистрироваться в сервисе Ubuntu One, никаких особых сложностей там нет, потребуется указать минимум данных и подтвердить адрес электронной почты.
После окончания регистрации и прохождения верификации перейдите на основной сайт Ubuntu и в персональном меню выберите пункт UA subscriptions, на открывшейся странице вы получите токен доступа для бесплатного подключения к Ubuntu Advantage трех физических систем.
Здесь же ниже, в разделе Documentation представлена команда для подключения системы, но не будем спешить. Прежде всего обновим список пакетов и установим все последние обновления:
apt update
apt full-upgrade
Для Ubuntu 14.04 LTS возможно придется использовать более старую утилиту apt-get:
apt-get update
apt-get dist-upgrade
После чего перезагрузим систему. Затем убедимся, что установлен пакет ubuntu-advantage-tools:
dpkg -l ubuntu-advantage-tools
Если все нормально, то вы увидите следующий вывод, обратите внимание на флаги ii, которые обозначают что пакет установлен.
В противном случае для установки пакета воспользуйтесь командой:
apt install ubuntu-advantage-tools
Затем можно подключить систему к UA используя команду:
ua attach <subscription token>
По умолчанию будут включены сервисы esm-infra и livepatсh.
Длу управления службами Ubuntu Advantage используйте команды:
ua enable | disable <service>
Чтобы полностью отключить систему от UA с удалением регистрации в личном кабинете воспользуйтесь командой:
ua detach
После того, как вы подключили сервис ESM самое время еще раз обновить систему, установив все последние обновления безопасности. При этом вы увидите, что у вас появился новый источник пакетов ESM и доступны новые обновления, которые до этого были недоступны.
apt update
apt full-upgrade
После завершения процесса обновления не забудьте выполнить очистку от ненужных пакетов:
apt autoremove
или в Ubuntu 14.04 LTS:
apt-get autoremove
и перезагрузите систему, чтобы загрузилось новое ядро.
Включение Livepatch в Ubuntu 14.04 LTS
После подключения к Ubuntu Advantage для Ubuntu 14.04 LTS можно заметить, что активировался только сервис esm-infra, а при попытке включить livepatсh мы будем получать ошибку.
Это нормально, livepatch поддерживается начиная с ядра версии 4.4, в то время как Ubuntu 14.04 LTS использует ядро версии 3.x, также для работы данного сервиса нам потребуется поддержка snap. Обновим список пакетов и установим snapd, нужное ядро версии 4.4 будет установлено по зависимостям.
apt update
apt install snapd
После чего обязательно перезагрузите систему, чтобы активировать новое ядро, после чего добавим поддержку livepatch:
snap install canonical-livepatch
Если теперь мы проверим статус служб Ubuntu Advantage, то увидим, что напротив сервиса livepatch вместо n/a появилось disabled.
ua status
Попробуем снова включить сервис и в этот раз у нас должно все получиться:
ua enable livepatch
Теперь даже такая старая система, как Ubuntu 14.04 LTS окажется гораздо более защищена и сможет применять новые обновления безопасности ядра без перезагрузки системы.
Заключение
Как видим, Ubuntu Advantage предоставляет отличные возможности поддержки старых систем предоставляя им обновления безопасности в рамках Extended Security Maintenance (ESM) и такие современные возможности, как обновления ядра без перезагрузки системы в течении дополнительных пяти лет, после окончания основной поддержки. Стоимость пакета UA вполне доступна, а для личного и некоммерческого использования имеется возможность получения бесплатной подписки на три компьютера.