Ubuntu 22.04部署Ubuntu Pro完全指南:享受企业级安全与维护
Ubuntu Pro 简介
https://ubuntu.com/blog/ubuntu-pro-enters-ga
最近,Ubuntu Pro 已正式发布。个人用户最多可以在 5 台设备上免费使用,因此我尝试在家庭使用的 Ubuntu 上应用这一功能。以下是操作步骤,仅作备忘录记录。
注意
本文中涉及的 Ubuntu 版本为 22.04。
操作步骤
1. 创建 Ubuntu One 账户

2. 获取并注册令牌(token)

$ sudo pro attach {你的令牌}
[sudo] {你的用户名} 的密码:
正在启用默认服务 esm-apps
更新软件包列表
Ubuntu Pro: ESM 应用程序已启用
正在启用默认服务 esm-infra
更新软件包列表
Ubuntu Pro: ESM 基础设施已启用
正在启用默认服务 livepatch
安装 snapd
更新软件包列表
安装 canonical-livepatch snap
Canonical 实时补丁已启用
无法确定当前实例 ID
此计算机现已附加到"Ubuntu Pro - 免费个人订阅"
服务 权限 状态 描述
esm-apps 是 已启用 应用程序的扩展安全维护
esm-infra 是 已启用 基础设施的扩展安全维护
livepatch 是 已启用 Canonical 实时补丁服务
realtime-kernel 是 已禁用 集成 PREEMPT_RT 补丁的 Ubuntu 内核
通知
操作进行中:pro attach
使用以下命令启用服务:pro enable <服务名称>
账户: {你的邮箱}
订阅: Ubuntu Pro - 免费个人订阅
3. 安装管理工具并确认 Pro 应用状态
注册过程已在步骤 2 中完成,现在需要安装 Pro 的管理工具 ubuntu-advantage-tools。同时升级系统软件包。
$ sudo apt-get install ubuntu-advantage-tools
$ sudo apt update && sudo apt upgrade
使用以下命令检查 Pro 是否已成功应用:
$ pro --version
27.13.2~22.04.1
$ pro status
服务 权限 状态 描述
esm-apps 是 已启用 应用程序的扩展安全维护
esm-infra 是 已启用 基础设施的扩展安全维护
livepatch 是 已启用 Canonical 实时补丁服务
realtime-kernel 是 已禁用 集成 PREEMPT_RT 补丁的 Ubuntu 内核
使用以下命令启用服务:pro enable <服务名称>
账户: {你的邮箱}
订阅: Ubuntu Pro - 免费个人订阅
Pro 版本功能示例
安全功能
- 可以查看已安装软件包的类型和来源。
$ pro security-status
已安装 2097 个软件包:
1852 个软件包来自 Ubuntu Main/Restricted 仓库
224 个软件包来自 Ubuntu Universe/Multiverse 仓库
19 个软件包来自第三方
2 个软件包已无法下载
要获取有关软件包的更多信息,请运行
pro security-status --help
查看可用选项列表。
此计算机已附加到 Ubuntu Pro 订阅。
Main/Restricted 软件包通过启用的"esm-infra"服务
从 Ubuntu Pro 接收安全更新,直至 2032 年。
Universe/Multiverse 软件包通过启用的"esm-apps"服务
从 Ubuntu Pro 接收安全更新,直至 2032 年。您已收到 1 个安全
更新。
- 可以通过 CVE 编号检查系统是否受到安全漏洞影响。
$ pro fix CVE-2021-3583
CVE-2021-3583: Ansible 漏洞
https://ubuntu.com/security/CVE-2021-3583
未安装受影响的源软件包。
✔ CVE-2021-3583 不影响您的系统。
- “Ubuntu Main 仓库”与”Ubuntu Universe 仓库”的软件包集将获得 10 年的支持。
内核实时补丁(Kernel Livepatch)
https://ubuntu.com/security/livepatch
- 可以在系统运行时应用内核补丁,对于服务器用途非常方便。
附加内容:启用实时内核
通过查看状态,我发现可以轻松切换到应用了 PREEMPT_RT 补丁的内核,因此进行了尝试。
注意
目前实时内核(realtime-kernel)和实时补丁(livepatch)无法共存,如果需要使用实时补丁功能,请注意这一点。
实时内核是集成了 PREEMPT_RT 补丁的 Ubuntu 内核。
它通过提供确定性响应时间来满足依赖延迟的使用场景。
实时内核满足严格的抢占规范,适用于
电信应用以及工业自动化和机器人技术中的专用设备。
实时内核目前与 FIPS 和实时补丁不兼容。
此外,如果在应用补丁后想要返回到原始内核,也需要手动进行处理,请注意。
这将更改您的内核。要恢复到原始内核,您需要
手动进行更改。
执行以下命令后,只需重新启动系统即可启用 realtime-kernel:
$ sudo pro enable realtime-kernel
$ pro status
服务 权限 状态 描述
esm-apps 是 已启用 应用程序的扩展安全维护
esm-infra 是 已启用 基础设施的扩展安全维护
realtime-kernel 是 已启用 集成 PREEMPT_RT 补丁的 Ubuntu 内核