Canonical Livepatch em produção — patchear CVEs de kernel sem reiniciar

O Canonical Livepatch é uma das ferramentas de maior alavancagem disponíveis para quem opera uma frota Ubuntu em escala. CVEs de kernel chegam rotineiramente. A resposta ortodoxa é «agendar uma janela de manutenção com reboot». O Livepatch te deixa aplicar o patch in-place, em segundos, em um kernel vivo, sem reboot — o que significa que você pode estar patchado contra a CVE de hoje antes do exploit público estar amplamente disseminado.

O que ele não faz é cobrir tudo. Alguns patches não podem ser aplicados ao vivo. A assinatura Pro tem um custo. Alguns times precisam considerar as alternativas.

Habilitando o Livepatch

sudo pro attach <token>
sudo pro enable livepatch
sudo canonical-livepatch status
 
# Check por host, próprio para monitoramento
sudo canonical-livepatch status --format json | jq '.machine'

Os patches chegam automaticamente. A tabela de patches do kernel é atualizada em memória. Os processos existentes continuam rodando. Você verifica com canonical-livepatch status ou lendo /proc/livepatches/.

O artigo completo cobre:

• O que o Livepatch consegue patchear (a maioria das classes de CVE) e o que não consegue (mudanças em estruturas de dados core)
• Economia do Ubuntu Pro — o tier gratuito (5 hosts), o tier pago por máquina
• Monitorar o status do livepatch em toda a frota
• O tempo de vida efetivo de 4 semanas de um livepatch — você ainda precisa reiniciar eventualmente
• Alternativas: kpatch (RHEL/SUSE), rebuild do kernel + reboot, patching somente em container
• Coordenar o Livepatch com os auto-upgrades de kernel do unattended-upgrades

Implantamos o Livepatch em cada host Ubuntu gerenciado que roda Ubuntu Pro.