Про сервисы обновления ведра без перезагрузки системы, слышал давно, лет 10 назад наверное первый раз, но своими руками не щупал ни разу. Недавно Canonical, запилила свой сервис для коммерческих клиентов. НО. Любой пользователь Ubuntu, может подключить до 3 систем (на один аккаунт ubuntu one) к данному сервису бесплатно.

Естественно решил протестировать это дело.

Называется фича “Canonical Livepatch Service”, для подключения системы (сервер или десктоп, без разницы) нужно поставить клиент:


sudo snap install canonical-livepatch
sudo canonical-livepatch enable идентификатор_хоста


Идентификатор хоста получаем на портале: livepatch.canonical.com

* я проверят все это на 18.04, где snap “из коробки”, естесственно, что если у вас нет snap (более старая система), то сперва нужно его поставить.

Если я правильно понял, то коммерческие пользователи, к этому получает еще и возможность централизованно мониторить, на каких из подконтрольных систем обновления встали, а где еще нет. Есть ли ошибки, и все такое прочее.

После установки ждем фикса критической уязвимости ядра (я еще не дождался), и обновляем как обычно apt-get update;apt-get upgrade
Опять же, коммерческим клиентам это можно делать не ручками, а централизовано, через ubuntu landscape.

У некоторых возникает резонный вопрос: “а чего эта фигня им на сервер отправляет?”
Естесственно, нашлись уже умельцы, которые это раскавыряли. Клиент (/snap/canonical-livepatch/*/canonical-livepatchd) написан на Go, и с помощью Delve энтузиасты выяснили, что отправляется:


The fields in the status variable are:

Client Version
Machine ID (the value from /etc/machine-id)
Machine Token (Ubuntu One token?)
CPU Model and (OS?) Architecture
Last check time
Boot time (time taken to boot?)
Apply Time (?? – possibly, when the last update was applied?)
Uptime
List of Kernels

в общем никакой приватной инфы не улетит.