Canonical Livepatch Serviceは再起動しないと有効にならなかった

今さらながら、uptimeが200日近いUbuntu 18.04 LTSの2台で「Livepatch Service」を有効にしてみた。

Livepatch Serviceは、Ubuntuを提供するCanonicalが2016年から始めたもので、カーネルパッケージアップデート後に再起動しなくても済むという独自サービス。必要な手順は極めて少なく、Ubuntu Oneにアカウントを作り、Livepatchのトークンを受け取る。そして、以下の2行を実行しただけ。

# snap install canonical-livepatch
# canonical-livepatch enable 1bf2a5c2180c419caxxxxxxxxxxxxxx
Successfully enabled device. Using machine-token: 6288fc6a0cxxxxxxxxxxxxxxxx

そして、ステータスを見てみる。

あれれ？

# canonical-livepatch status
client-version: 9.4.8
architecture: x86_64
cpu-model: Intel(R) Atom(TM) CPU  C2758  @ 2.40GHz
last-check: 2020-02-22T06:43:56+09:00
boot-time: 2019-08-10T14:19:53+09:00
uptime: 4696h24m42s
status:
- kernel: 4.15.0-55.60-generic
  running: true
  livepatch:
    checkState: check-failed
    checkInfo: 'livepatch check failed: Not checking for new patches based on reported
      livepatch state. State: kernel-upgrade-required'
    patchState: kernel-upgrade-required
    version: "59.1"
    fixes: |-
      * CVE-2011-1079
      * CVE-2018-20976
      * CVE-2018-21008
      * CVE-2019-10126
      * CVE-2019-10207
      * CVE-2019-11477
      * CVE-2019-11478
      * CVE-2019-11815
      * CVE-2019-11833
...........
......
...

runningはすぐさま「true」になったものの、checkStateで「check-failed」、CheckInfoでも「livepatch check failed」と表示されてしまう。ググってみたけど、再起動しないといけない特例もあるようで。

えええ、いきなり再起動ですかい？！。まぁ、セットアップした最初だし、やむを得ないのかい。。。

しょうがないので再起動してみたら、200日近いブランクで起動カーネルが「4.15.0-55.60..」から「4.15.0-88.88..」になったし（当たり前だｗ）、checkState が「checked」に変わった。

再起動しなくてもパッチが充たるという意味

# canonical-livepatch status
client-version: 9.4.8
architecture: x86_64
cpu-model: Intel(R) Atom(TM) CPU  C2758  @ 2.40GHz
last-check: 2020-02-22T07:04:48+09:00
boot-time: 2020-02-22T07:03:45+09:00
uptime: 1m15s
status:
- kernel: 4.15.0-88.88-generic
  running: true
  livepatch:
    checkState: checked
    patchState: nothing-to-apply
    version: ""
    fixes: ""

誤解してたのは、あくまでも「再起動しなくても済む」サービスであり、「メモリー上のカーネルをライブに切り替えてくれる」サービスでは無いようだ。弱小サービスなら10秒くらい止まってもいいから、カーネル丸々リロードしてくれないものだろうか(；´∀｀)

どんな挙動なのか、今後に期待。

後日見ると、こんな感じになってた。

$ ssh xxx
Enter passphrase for key '/........../.ssh/id_rsa':
Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-88-generic x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

 * Kubernetes 1.18 GA is now available! See https://microk8s.io for docs or
   install it with:

     sudo snap install microk8s --channel=1.18 --classic

 * Multipass 1.1 adds proxy support for developers behind enterprise
   firewalls. Rapid prototyping for cloud operations just got easier.

     https://multipass.run/

 * Canonical Livepatch is enabled.
   - All available patches applied.

No mail.
Last login: Sun Mar  8 07:24:10 2020 from 192.168.0.52
$ su -
パスワード:
# canonical-livepatch status
last check: 54 minutes ago
kernel: 4.15.0-88.88-generic
server check-in: succeeded
patch state: ? all applicable livepatch modules inserted
patch version: 65.1

#

write: よし。

About me, 欲しいものリスト

※本記事は当サイト管理人の個人的な備忘録です。情報内容には配慮しておりますが、本記事の参照または付随ソースコード利用後にいかなる損害が発生しても、当サイト及び管理人はいっさいの責任を負いません。