Должны ли вы в конечном итоге перезагрузиться после Livepatch?

Question

Должны ли вы в конечном итоге перезагрузиться после Livepatch?

Скажем так, приходит livepatch и исправляется мое текущее работающее ядро, и я не перезагружаю сервер, потому что он мне больше не нужен. Что произойдет, если через несколько недель / месяцев / что-нибудь еще выйдет другой livepatch, а через несколько недель - еще один? Является ли эта ситуация устойчивой без перезагрузки когда-либо?

Единственный способ понять, что это так, это то, что каждый livepatch исправляет работающее ядро так, чтобы оно было точно таким же, как если бы вы делали обычное apt dist-upgrade чтобы получить последнее ядро и перезагрузить его, но у меня сложилось впечатление, что livepatching только исправляет высокие и критические проблемы безопасности и оставляет все остальное нетронутым.

Или же они просто проверяют каждый живой патч на соответствие более ранним базовым ядрам + различное количество предыдущих живых патчей, сделанных для них? Если бы это было так, я бы предположил, что есть предел того, насколько далеко они будут тестировать, и что в конечном итоге вам следует перезагрузиться, чтобы убедиться, что ваше базовое ядро является тем, на котором был протестирован livepatch?

2

canonical-livepatch

Источник

Mohamed Hafez 20 май '19 в 02:01

1 ответ

Решение

Другие вопросы по тегам canonical-livepatch

Mohamed Hafez 21 май '19 в 22:22 2019-05-21 22:22 · Accepted Answer · 2019-05-21 22:22

Время от времени возникает проблема высокой / критической уязвимости безопасности, для которой нельзя сделать livepatch, и вам нужно выполнить обычную apt dist-upgrade и перезагрузите компьютер.

Просматривая архивы списка рассылки ubuntu-security-announce, кажется, что для всех ядер предоставляются живые патчи, начиная с того момента, когда вы в последний раз требовались обычное обновление + перезагрузка, в одном случае возвращаясь к выпущенным ядрам. полтора года назад!

Вероятно, это безопасная ставка, что они будут продолжать делать это, и в любом случае в нижней части любого Уведомления о безопасности Livepatch (LSN) в упомянутом списке рассылки будет список ядер, которые могут получать livepatch, так что если вы на самом деле ядро достаточно старое, чтобы его не включать, вы можете просто выполнить обычное обновление + перезагрузка в этом случае.

(спасибо Deadflowr из этой ветки за большую часть этой информации)!