当前位置：首页>Linux>Linux运维进阶:如何给正在奔跑的Ubuntu内核“动手术”?

Linux运维进阶:如何给正在奔跑的Ubuntu内核“动手术”?

2026-02-05 00:36:53

深夜，服务器故障警报又响了——不是应用崩溃，而是那个熟悉的“内核安全更新，请立即重启”。屏幕前的运维工程师已经记不清这是第几次在业务低谷期挣扎着安排重启窗口、通知用户、提心吊胆地等待服务恢复。

但总有一些Ubuntu服务器，即使内核漏洞爆发，也能安静运行几个月甚至几年而不重启，秘密就在一个叫做Canonical Livepatch的工具里。

01 运维痛点

内核漏洞是每个Linux系统管理员心头的一根刺。每当出现高危漏洞，传统的修复流程就像是一场精心策划的“外科手术”：先要通知所有用户系统即将下线。

接着安排维护窗口，这往往是在凌晨或者周末。然后执行更新，最后重启服务器，祈祷一切服务都能正常恢复。整个过程不仅耗时耗力，还伴随着不可避免的业务中断风险。

对于高可用性环境来说，这种中断尤其令人头疼。想象一下，一个运行着数百个虚拟机或容器的主机需要重启，上面所有的工作负载都必须迁移或停止，这种连锁反应往往会超出预期的维护时间。

02 工具利器

Canonical Livepatch本质上是Ubuntu官方提供的一种“热补丁”技术。它能在不重启系统的前提下，直接将安全补丁应用到正在运行的内核中。

与传统的全量更新不同，Livepatch采用的是增量式、函数级别的修补方式。它通过内核的ftrace基础设施，在内存中替换掉有漏洞的函数代码，而保持系统其他部分继续运行。

这种技术特别针对那些被评为关键和高危级别的内核漏洞，比如可能导致权限提升或远程代码执行的安全问题。对于这类需要立即响应的威胁，Livepatch能将系统的暴露窗口从几天甚至几周缩短到几小时。

03 核心功能

获取Livepatch服务的第一步是申请一个免费的令牌。前往Ubuntu Pro网站注册一个Ubuntu One账号。首先登录，确保你通过 https://ubuntu.com/login 登录了你的Ubuntu One账户。然后，访问 https://ubuntu.com/pro/dashboard，系统就会生成一个30位的字符串，如下图所示：

安装过程非常简单，只需一条命令：sudo snap install canonical-livepatch。安装完成后，用刚才获取的令牌启用服务：sudo sudo pro attach <你的令牌>。

root@cmorton:/home/cmorton# sudo pro attach C13****************SEPEnabling Ubuntu Pro: ESM AppsUbuntu Pro: ESM Apps enabledEnabling Ubuntu Pro: ESM InfraUbuntu Pro: ESM Infra enabledEnabling LivepatchExecuting `snap refresh snapd` failed.Livepatch enabledThis machine is now attached to 'Ubuntu Pro - free personal subscription'SERVICE          ENTITLED  STATUS       DESCRIPTIONanbox-cloud      yes       disabled     Scalable Android in the cloudesm-apps         yes       enabled      Expanded Security Maintenance for Applicationsesm-infra        yes       enabled      Expanded Security Maintenance for Infrastructurefips-updates     yes       disabled     FIPS compliant crypto packages with stable security updateslandscape        yes       disabled     Management and administration tool for Ubuntulivepatch        yes       enabled      Canonical Livepatch servicerealtime-kernel* yes       disabled     Ubuntu kernel with PREEMPT_RT patches integratedusg              yes       disabled     Security compliance and audit tools * Service has variantsNOTICESOperation in progress: pro attachFor a list of all Ubuntu Pro services and variants, run 'pro status --all'Enable services with: pro enable <service>     Account: 35****58@qq.comSubscription: Ubuntu Pro - free personal subscription[info] A new version is available: 37.1ubuntu0~24.04Please run:    sudo apt install ubuntu-pro-clientto get the latest bug fixes and new features.

检查Livepatch状态也很简单，运行 sudo canonical-livepatch status，如果看到 server check-in: succeeded，就表示成功了就意味着系统已经在受保护状态了。

root@cmorton:/home/cmorton# sudo canonical-livepatch statuslast check: 1 minute agokernel: 6.8.0-94.96-genericserver check-in: succeededkernel state: ✓ kernel series 6.8 is covered by Livepatchpatch state: ✓ no livepatches available for kernel 6.8.0-94.96-generictier: updates (Free usage; This machine beta tests new patches.)machine id: 77d5b***********12cb72