如果你是一个在企业环境中维护关键性系统的系统管理员，你肯定对以下两件事深有感触：

1) 很难找个停机时间去给系统安装安全补丁以修复内核或者系统漏洞 。如果你工作的公司或者企业没有适当的安全策略，运营管理可能最终会优先保证系统的运行而不是解决系统漏洞。 此外，内部的官僚作风也可能延迟批准停机时间。我当时就是这样的。

2) 有时候你确实负担不起停机造成的损失，并且还要做好用别的什么方法减小恶意攻击带来的的风险的准备。

好消息是 Canonical 公司最近针对 Ubuntu 16.04 (64位版本 / 4.4.x 内核)　发布了 Livepatch 服务，它可以让你不用重启就能给内核打关键性安全补丁。 对，你没看错：使用 Livepatch 你不用重启就能使 Ubuntu 16.04 服务器系统的安全补丁生效。

注册 Ubuntu Livepatch 账号

要运行 Canonical Livepatch 服务你先要在这里注册一个账号 https://auth.livepatch.canonical.com/，并且表明你是一个普通用户还是企业用户（付费）。 通过使用令牌，所有的 Ubuntu 用户都能将最多 3 台不同的电脑连接到 Livepatch 服务：

Canonical Livepatch 服务

下一步系统会提示你输入你的 Ubuntu One 凭据，或者你也可以注册一个新账号。如果你选择后者，则需要你确认你的邮件地址才能完成注册：

Ubuntu One 确认邮件

一旦你点了上面的链接确认了你的邮件地址，你就会回到这个界面：https://auth.livepatch.canonical.com/ 并获取你的 Livepatch 令牌。

获取并使用 Livepatch 令牌

首先把分配给你账号的这个唯一的令牌复制下来：

Canonical Livepatch 令牌

然后打开终端，输入：

$ sudo snap install canonical-livepatch

上面的命令会安装 livepatch 程序，下面的命令会为你的系统启用它。

$ sudo canonical-livepatch enable [YOUR TOKEN HERE]

如果后一条的命令提示找不到 canonical-livepatch ，检查一下 /snap/bin 是否已经添加到你的路径， 或者把你的工作目录切换到 /snap/bin 下执行也行。

$ sudo ./canonical-livepatch enable [YOUR TOKEN HERE]

在 Ubuntu 中安装 Livepatch

之后，你可能需要检查应用于内核的补丁的描述和状态。幸运的是，这很简单。

$ sudo ./canonical-livepatch status --verbose

如下图所示：

检查补丁安装情况

在你的 Ubuntu 服务器上启用了 Livepatch，你就可以在保证系统安全的同时把计划内的外的停机时间降到最低。希望 Canonical 的这个举措会在管理上给你带来便利，甚至更近一步带来提升。

如果你对这篇文章有什么疑问，欢迎在下面留言,我们会尽快回复。

via: http://www.tecmint.com/livepatch-install-critical-security-patches-to-ubuntu-kernel

作者：Gabriel Cánepa 译者：Yinux 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

头条消息

首先一个大消息是，业界瞩目的谷歌和甲骨文的 Android 诉讼终于告一段落。就在昨天，旧金山联邦法庭陪审团裁定谷歌 Android 操作系统中对 Java API 的使用属于“ 公平使用 （ fair use ） ”，因此，无需赔偿甲骨文所主张的 90 亿美元赔偿——具体来说是 93 亿美金——这是有史以来最大的版权赔偿金额。对此裁定，虽然双方的股价都未有大的变化，但从网上的评论来看，都一边倒的站在谷歌这一边。

之前我们报道过，SUSE 已经在其企业版 Linux 中支持了内核实时补丁功能，而现在，一群 IBM 和 SUSE 的工程师们正在为 Linux 4.7 内核开发支持 POWER8 机器的内核实时补丁功能。POWER8 机器采用的是 64 位的小端 PPC64，在 Linux 4.6 内核，他们就已经为 PPC64le 开发了内核实时补丁的部分实现，不过完全的支持需要到 4.7 内核时才能完成。

Google 将会在安卓应用中加入生物识别、无密码校验技术。这将意味着，用户不在需要记忆密码了，手机的安全级别也将大大提高。届时，会根据用户的信用评分来解锁手机，信用评分会综合考虑各方面的因素，比如类型模式，位置，速度，声音模式，或者面部识别。

Canonical 的开发人员 Michael Hall 写了一篇短文说将任何 Linux 应用打包成 snap 格式都很容易，建议社区将各种应用打包成这种开箱即用的 snap 格式。打包的方法可以参见官方文档。

版本更迭

• 著名的 Linux 游戏发行版 SteamOS 发布了 2.80 测试版，在这个版本中最重要的更新是发布了 AMD GPU PRO 的驱动 16.30。由于 SteamOS 是基于 Debian 的，所以，使用 AMD GPU PRO 的Debian 用户也有福了。这个版本支持 Vulkan 和 VDPAU。当然，目前驱动还处于公测期间，有意尝鲜者可以试试，普通用户请等待正式版本出来，目前的正式版本是 16.20。
  
• 正在迈向 3.22 版本的 GNOME 刚刚发布了 3.21 的第二个里程碑版本 3.21.2，对 Wayland 进行了多处修复。作为核心组件的 GTK+ 也升级了相同版本，此外，很多为 GNOME 3.22 准备就绪的应用也纷纷进行了更新，比如 Polari IRC（Internet 中继聊天）客户端就增加了一些新特性。
• Linux 和 SteamOS 版本的《古墓丽影 2013 重启》发布了 1.1.1 补丁。修复了一些问题，包括在使用 VPN 时不会再闪退，以及许多声音问题。
• 紧随 Feral Interactive 发布了《古墓丽影》1.1.1补丁之后，另一个令人欣喜的消息是，该公司还发布了赛车类游戏《F1 2015》。不过要运行《F1 2015》的话对系统版本和内存、显卡等配置要求比较高。要求 SteamOS 2.0 或者 Ubuntu 16.04 LTS 或者更高的版本。内核至少是 Intel i3 或者 AMD FX-6300 CPU，不过最好是 Intel i7 4770 或者更高配置的处理器。
  
• DisplayLink 更新了其 DisplayLink USB 3.0 的 Linux 驱动，支持最新的 Ubuntu 及 Fedora 发行版。使用 USB 或无线显示器等支持 DisplayLink 技术的 Linux 用户可以升级了。
• Sabayon ARM 发布了支持树莓派2和3的版本。
• Debian 的 LTS 小组宣布，他们不再在 Debian 7 的扩展生命周期中支持 VLC 2.0.3、SoGo 1.3.16 和 MediaWiki 1.19.20。

开源先锋及 SUSE Linux 的创造者 SUSE 公司宣布推出 SUSE Linux 企业版的 实时补丁 （ Live Patching ） 。

SUSE 是首批为基于 Linux 内核的操作系统提供实时补丁的开源公司之一。实时补丁技术是在 Linux 4.0 系列内核中实现的一种技术，发布于一年前。

但是，只有很少的 GNU/Linux 操作系统在其架构内支持了实时补丁功能，因为看起来该技术大多会用于企业用户，大型公司并不希望由于内核升级而导致业务中断。

从今天开始，所有运行 SAP NetWeaver 技术平台、SAP HANA 平台以及其它的 SAP（ 系统应用产品 （ Systems Applications Products ） ）应用的 SUSE 用户都可以使用 SUSE Linux 企业版实时补丁了，这可以帮助他们节约开销，业务永不停顿。

“依赖于实时数据和分析的服务日益竞争激烈，而保持应用服务器可持续访问很关键”，SUSE 战略联盟与市场总裁 Michael Miller 说道，“我们认为业务将不应该由于服务器更新而停顿。”

实时内核补丁可以让业务免受停机困扰

在过去，在那些需要高度安全的 IT 环境中，许多业务由于例行的停机维护而造成了大量损失。但是现在这一切都将改变，因为 SUSE Linux 企业版实时补丁，可以让企业级 Linux 用户应用内核补丁而不需要重启服务器。

SUSE Linux 企业版实时补丁也对于重要的 SAP 商业应用非常关键，比如那些运行 SAP HANA 的企业。该技术内建于内核之中，可以让 SUSE Linux 用户更新其正在运行的 Linux 内核，而不需要中断服务或由于重启服务器导致 SAP HANA 平台关闭。