Ubuntu 22.04部署Ubuntu Pro完全指南:享受企业级安全与维护

Ubuntu Pro 简介

https://ubuntu.com/blog/ubuntu-pro-enters-ga

最近,Ubuntu Pro 已正式发布。个人用户最多可以在 5 台设备上免费使用,因此我尝试在家庭使用的 Ubuntu 上应用这一功能。以下是操作步骤,仅作备忘录记录。

注意

本文中涉及的 Ubuntu 版本为 22.04。

操作步骤

1. 创建 Ubuntu One 账户

创建 Ubuntu One 账户界面截图

2. 获取并注册令牌(token)

获取令牌界面截图
$ sudo pro attach {你的令牌}
[sudo] {你的用户名} 的密码: 
正在启用默认服务 esm-apps
更新软件包列表
Ubuntu Pro: ESM 应用程序已启用
正在启用默认服务 esm-infra
更新软件包列表
Ubuntu Pro: ESM 基础设施已启用
正在启用默认服务 livepatch
安装 snapd
更新软件包列表
安装 canonical-livepatch snap
Canonical 实时补丁已启用
无法确定当前实例 ID
此计算机现已附加到"Ubuntu Pro - 免费个人订阅"

服务          权限  状态    描述
esm-apps     是    已启用   应用程序的扩展安全维护
esm-infra    是    已启用   基础设施的扩展安全维护
livepatch    是    已启用   Canonical 实时补丁服务
realtime-kernel  是    已禁用  集成 PREEMPT_RT 补丁的 Ubuntu 内核

通知
操作进行中:pro attach

使用以下命令启用服务:pro enable <服务名称>

     账户: {你的邮箱}
订阅: Ubuntu Pro - 免费个人订阅

3. 安装管理工具并确认 Pro 应用状态

注册过程已在步骤 2 中完成,现在需要安装 Pro 的管理工具 ubuntu-advantage-tools。同时升级系统软件包。

$ sudo apt-get install ubuntu-advantage-tools
$ sudo apt update && sudo apt upgrade

使用以下命令检查 Pro 是否已成功应用:

$ pro --version
27.13.2~22.04.1
$ pro status
服务          权限  状态    描述
esm-apps     是    已启用   应用程序的扩展安全维护
esm-infra    是    已启用   基础设施的扩展安全维护
livepatch    是    已启用   Canonical 实时补丁服务
realtime-kernel  是    已禁用  集成 PREEMPT_RT 补丁的 Ubuntu 内核

使用以下命令启用服务:pro enable <服务名称>

     账户: {你的邮箱}
订阅: Ubuntu Pro - 免费个人订阅

Pro 版本功能示例

安全功能

  • 可以查看已安装软件包的类型和来源。
$ pro security-status
已安装 2097 个软件包:
     1852 个软件包来自 Ubuntu Main/Restricted 仓库
     224 个软件包来自 Ubuntu Universe/Multiverse 仓库
     19 个软件包来自第三方
     2 个软件包已无法下载

要获取有关软件包的更多信息,请运行
    pro security-status --help
查看可用选项列表。

此计算机已附加到 Ubuntu Pro 订阅。

Main/Restricted 软件包通过启用的"esm-infra"服务
从 Ubuntu Pro 接收安全更新,直至 2032 年。

Universe/Multiverse 软件包通过启用的"esm-apps"服务
从 Ubuntu Pro 接收安全更新,直至 2032 年。您已收到 1 个安全
更新。
  • 可以通过 CVE 编号检查系统是否受到安全漏洞影响。
$ pro fix CVE-2021-3583
CVE-2021-3583: Ansible 漏洞
https://ubuntu.com/security/CVE-2021-3583
未安装受影响的源软件包。
✔ CVE-2021-3583 不影响您的系统。
  • “Ubuntu Main 仓库”与”Ubuntu Universe 仓库”的软件包集将获得 10 年的支持。

内核实时补丁(Kernel Livepatch)

https://ubuntu.com/security/livepatch

  • 可以在系统运行时应用内核补丁,对于服务器用途非常方便。

附加内容:启用实时内核

通过查看状态,我发现可以轻松切换到应用了 PREEMPT_RT 补丁的内核,因此进行了尝试。

注意

目前实时内核(realtime-kernel)和实时补丁(livepatch)无法共存,如果需要使用实时补丁功能,请注意这一点。

实时内核是集成了 PREEMPT_RT 补丁的 Ubuntu 内核。
它通过提供确定性响应时间来满足依赖延迟的使用场景。
实时内核满足严格的抢占规范,适用于
电信应用以及工业自动化和机器人技术中的专用设备。
实时内核目前与 FIPS 和实时补丁不兼容。

此外,如果在应用补丁后想要返回到原始内核,也需要手动进行处理,请注意。

这将更改您的内核。要恢复到原始内核,您需要
手动进行更改。

执行以下命令后,只需重新启动系统即可启用 realtime-kernel:

$ sudo pro enable realtime-kernel
$ pro status
服务          权限  状态    描述
esm-apps     是    已启用   应用程序的扩展安全维护
esm-infra    是    已启用   基础设施的扩展安全维护
realtime-kernel  是    已启用  集成 PREEMPT_RT 补丁的 Ubuntu 内核

参考资料

bannerAds