Canonical Livepatch en production — patcher les CVE kernel sans rebooter
14 mai 2026 · 1 min de lecture · par Sudhanshu K.
Canonical Livepatch est l'un des outils à plus haut levier disponibles pour quiconque opère une flotte Ubuntu à l'échelle. Les CVE kernel atterrissent régulièrement. La réponse orthodoxe est « planifier une fenêtre de maintenance avec reboot ». Livepatch vous laisse appliquer le patch en place, en secondes, sur un kernel live, sans reboot — ce qui veut dire que vous pouvez être patché contre la CVE du jour avant que l'exploit public ne soit largement déployé.
Ce qu'il ne fait pas, c'est tout couvrir. Certains patchs ne peuvent pas être appliqués à chaud. La souscription Pro a un coût. Certaines équipes doivent considérer les alternatives.
Activer Livepatch
sudo pro attach <token>
sudo pro enable livepatch
sudo canonical-livepatch status
# Check par hôte, adapté au monitoring
sudo canonical-livepatch status --format json | jq '.machine'Les patchs arrivent automatiquement. La table de patch kernel est mise à jour en mémoire. Les processus existants continuent de tourner. Vous vérifiez avec canonical-livepatch status ou en lisant /proc/livepatches/.
L'article complet couvre :
- Ce que Livepatch peut patcher (la plupart des classes de CVE) et ce qu'il ne peut pas (changements de structures de données core)
- Économie d'Ubuntu Pro — le tier gratuit (5 hôtes), le tier payant par machine
- Monitorer le status livepatch à travers la flotte
- La durée de vie effective de 4 semaines d'un livepatch — vous devez quand même rebooter à terme
- Alternatives : kpatch (RHEL/SUSE), rebuild de kernel + reboot, patching container-only
- Coordonner Livepatch avec les auto-upgrades de kernel depuis unattended-upgrades
Nous déployons Livepatch sur chaque hôte Ubuntu managé qui tourne sur Ubuntu Pro.
Article complet disponible
Lire l'article complet