Ubuntu livepatch как удалить

Обновлено: 09.01.2025

The Livepatch Service intends to address high and critical severity Linux kernel security vulnerabilities, as identified by Ubuntu Security Notices and the CVE tracker. Since there are limitations to the kernel livepatch technology, some Linux kernel code paths cannot be safely patched while running. There may be occasions when the traditional kernel upgrade and reboot might still be necessary.

Livepatches are developed and released based on kernel SRU releases, and contain a subset of the CVEs fixed by that kernel SRU. Livepatches are cumulative, so when a new livepatch is released, it contains both the new CVE fixes, as well as all of the CVE fixes from the previous release of that livepatch.

What kinds of updates are not provided by the Livepatch service?

The livepatch service provides patches exclusively for Canonical-released kernels, addressing security issues that have been assigned a CVE and are rated as high or critical priority.

Livepatches are intended to address significant security issues in the kernel, and provide customers with protection from serious vulnerabilities until they can schedule a reboot. All CVEs that are rated as either a high or critical issue will always be livepatched if possible, and, if it is not possible, a notification that a reboot is required will be issued by the Livepatch client.

There are frequently patches included in kernel updates that are not included in the Livepatch service, such as:

bug fixes that are not security issues
performance improvements
driver updates
new features

To receive these updates, it is necessary to upgrade the kernel package using the package manager for the system (apt for Ubuntu desktop or server, or snapd if running on Ubuntu Core) and then reboot into the upgraded kernel.

When should I expect updates?

Livepatches are related to and are ‘‘usually’’ derived from, but are not the same as, the kernel SRU updates for CVEs. While the vulnerabilities being addressed by both kernel SRU updates and livepatches are the same, the process for development and testing are not. A livepatch for a vulnerability can be significantly more complex than an ordinary kernel patch, and due to the additional complexity, can take more time to develop and test.

Canonical is committed to livepatching every high or critical rated CVE possible as quickly as we can, and in ideal circumstances, a livepatch will be available at the same time as the corresponding kernel SRU update.

If we determine that we cannot livepatch a high or critical CVE, we will inform our livepatch users at the same time an SRU kernel update that does fix the issue becomes available, in two ways:

The livepatch client will indicate that the system must be rebooted by reporting a state of “reboot required.” This will be accompanied by a notification in the desktop, on desktop systems, and a notification in the MOTD on the terminal.
A LSN will be released containing instructions to reboot into a new SRU kernel that contains a fix for the CVE. LSNs are released on both the security website and via email.

How do you rate a CVE?

We do not use an external rating system, but rate based on these qualifications:

negligible	Something that is technically a security problem, but is only theoretical in nature, requires a very special situation, has almost no install base, or does no real damage. These tend not to get backport from upstreams, and will likely not be included in security updates unless there is an easy fix and some other issue causes an update.
low	Something that is a security problem, but is hard to exploit due to environment, requires a user-assisted attack, a small install base, or does very little damage. These tend to be included in security updates only when higher priority issues require an update, or if many low priority issues have built up.
medium	Something is a real security problem, and is exploitable for many people. Includes network daemon denial of service attacks, cross-site scripting, and gaining user privileges. Updates should be made soon for this priority of issue.
high	A real problem, exploitable for many people in a default installation. Includes serious remote denial of services, local root privilege escalations, or data loss.
critical	A world-burning problem, exploitable for nearly all people in a default installation of Ubuntu. Includes remote root privilege escalations, or massive data loss.

What happens when a problem occurs that can’t be patched?

When an un-patchable security issue occurs, users must upgrade to a version of the kernel that is fixed, and reboot. Problems of this type are announced on the mailing list via LSN. Kernels prior to the levels named in that announcement will no longer be livepatched.

The Livepatch client will report a state of “kernel-upgrade-required” if you are running a kernel that is no longer livepatched due to an earlier un-patchable kernel security issue.

I cannot access the livepatch service

Why isn’t Livepatch working on my machine?

UNSUPPORTED KERNELS

Livepatch supports only kernels that have been released by the kernel team to the updates pocket, i.e. officially-released kernels acquired through APT using Canonical’s repository for system updates, or Snap-based kernels released by Canonical to stable Snap channels.

While a livepatch might successfully apply to a kernel acquired from other sources, only kernels released by Canonical are supported. Kernels from other sources are not supported, including but not limited to:

kernels acquired from the development (proposed) kernel PPA
kernels acquired from the kernel team’s build PPA
test kernels acquired from the kernel team’s development PPAs
personally-rebuilt kernels using the source debian package
personally-rebuilt kernels using snapcraft
kernels acquired from a Ubuntu-derived distribution

Please be aware that while it may be possible to build a kernel with the same version markings as an officially-supported kernel, and to attempt to load a Canonical-generated livepatch into that kernel, it will likely not work, and can potentially crash your system or corrupt your data.

SECUREBOOT

If you are using secure boot, you will also need to import the livepatch public keys into your keyring.

This can be done with the following command:

After this enter a password if necessary for MOK, then reboot.
Your BIOS will then guide you through enrolling a new key in MOK. At this point you will be able to verify the module signatures.

How do I get more help?

To access Livepatch see the Ubuntu Advantage subscription.

Ubuntu Advantage customers should file support tickets at:

Reporting bugs

When you open a bug, please provide the output from the following commands, so that we can troubleshoot your issue:

snap info canonical-livepatch
canonical-livepatch status
lsb_release -a
uname -a
journalctl -u snap.canonical-livepatch.canonical-livepatchd (this can be long, so maybe | tail -100 for recent issues)

Recommend marking the bug as private if any of the above contains personal information that you do not want publicly available and searchable.

Установка и удаление программ одна из самых важных вещей для пользователя компьютера. Поскольку нам нужно как нибудь получать новые, нужные программы, а также удалять лишние. Но удаление пакетов в Ubuntu имеет некоторые тонкости. После удаления могут остаться зависимости, пакеты установленные, как рекомендованные, а также конфигурационные файлы.

В этой статье мы разберем как удалить deb пакет Ubuntu, при чем удалить чисто, так, чтобы после него не осталось следов в системе. Также поговорим о полном удалении PPA, поскольку много пакетов, которых нет в официальных репозиториях мы устанавливаем из PPA.

Как удалить пакет Ubuntu

Самый простой способ удалить пакет Ubuntu, это воспользоватся одной из графических утилит, поставляемых специально для этого, например Synaptic или Центр приложений Ubuntu. По сути это делается в пару кликов. Сначала рассмотрим порядок действий в Центре приложений Ubuntu.

Запустить центр приложений вы можете из панели значков Unity:

Список всех установленных пакетов находится на вкладке Установлено, здесь приложения рассортированы по категориям:

Чтобы удалить пакет Ubuntu, достаточно кликнуть по нему левой кнопкой мыши, и когда появляться доступные действия нажать кнопку Удалить:

Для завершения нужно будет подтвердить удаление и ввести пароль.

Пакет удален, но не совсем так, как нам хотелось бы. Но об этом позже.

Дальше рассмотрим пакетный менеджер Synaptic. Это как ни как стороннее программное обеспечение, но многие его используют из-за большого функционала и удобного интерфейса. Если программа еще не установлена, ее нужно установить с помощью центра приложений или выполнив в терминале:

sudo apt install synaptic

Запустить программу можно через терминал, выполнив команду:

Посмотреть установленные пакеты вы можете выбрав вкладку состояние, а затем выбрав Установленные:

Удалить deb ubuntu вы можете просто нажав правой кнопкой мыши и в контекстном меню на нужном пакете и выбрав отметить для удаления или отметить для полного удаления:

Программа покажет, какие еще пакеты будут удалены, это те пакеты, которые зависят от нашего пакета:

Теперь, чтобы завершить удаление, осталось нажать кнопку Применить:

Теперь программа покажет какие пакеты будут удалены. И пойдет процесс удаления:

Просто удаление и полное удаление отличается только тем, что при полном удалении удаляются конфигурационные файлы. Но проблема этих инструментов в том, что пакеты установленные как зависимости и рекомендованные к программе не удаляются и остаются в системе. Такое поведение наблюдается как в Synaptic, так и в Центре приложений Ubuntu. Поэтому мы переходим к описанию самого гибкого способа - удаление пакетов Ubuntu в терминале.

Как удалить пакет Ubuntu в терминале

В новых версиях Ubuntu для управления пакетами, а в том числе и удаления можно использовать новый менеджер пакетов - apt. Команда удаления выглядит таким образом:

sudo apt remove имя_пакета

Будет выполнено полное удаление пакета, включая конфигурационные файлы и зависимости, только рекомендованные программы останутся. Если вы хотите использовать apt-get чтобы удалить deb ubuntu, то порядок действий немного другой. Для обычного удаления пакета выполните:

sudo apt-get remove имя_пакета

Для удаления пакета вместе с его конфигурационными файлами, выполните:

sudo apt-get purge имя_пакета

А чтобы, также удалить зависимости, установленные вместе с пакетом, нужно после одной из предыдущих команд выполнить:

sudo apt autoremove

Будут удаленны не только явно указанные зависимости, но и программы установленные как рекомендованные.

Ну с основами разобрались, теперь перейдем к более сложным ситуациям. Что если вы устанавливали программу из deb файла и теперь не знаете точно, как называется ее пакет, чтобы удалить?

Это очень просто узнать, например по исполняемому файлу, допустим исполняемый файл программы TimeShift находится по адресу /usr/bin/timeshift, теперь узнаем ее пакет:

sudo dpkg -S /usr/bin/timeshift

Как видите, пакет так и называется - timeshift. Теперь можно удалить программу Ubuntu, одним из выше описанных способов.

Очень часто мы устанавливаем недостающее нам программное обеспечение из PPA, но не все эти пакеты нужны нам на протяжении долгого времени, а при обновлении системы, могут даже вызвать ошибки. Так как же удалить все пакеты установленные из PPA? Для этого есть специальная утилита: ppa-purge.

Если она еще не установлена, устанавливаем командой:

sudo apt install ppa-purge

Теперь, чтобы удалить все пакеты установленные из определенного ppa используйте:

sudo ppa-purge -i ppa:владелец_ppa/имя_ppa

Обратите внимание на ppa:владелец_ppa/имя_ppa - обычно в таком формате записываются все PPA: протокол:владелец/имя.

Узнать список репозиториев можно в программе источники приложений:

Такой командой можно одним махом удалить пакеты ubuntu, установленные из ppa:

find /etc/apt/sources.list.d -type f -name "*.list" -print0 | \
while read -d $'\0' file; do awk -F/ '/deb / && /ppa\.launchpad\.net/ ' "$file"; done

Если вы устанавливали приложение из исходных кодов, то удалить его намного сложнее, потому что оно не контролируется менеджером пакетов, и соответственно система не знает какие файлы ему принадлежат.

Но все же способ есть, обычно, разработчики в файле сценариев makefile, кроме цели install реализуют цель uninstall, которая дозволяет выполнить обратное действие.

Поэтому если у вас осталась папка с исходным кодом той программы можно просто перейти в нее и выполнить make uninstall чтобы удалить приложение Ubuntu:

cd /папка/с/исходниками
$ sudo make uninstall

Выводы

В этой статье мы рассмотрели все, что поможет вам удалить приложение Ubuntu. При чем удалить полностью, а не только файлы программы. Если у вас остались вопросы, пишите в комментариях.

Изучение

Служба Ubuntu Livepatch заботится о поддержании ваших систем Ubuntu в актуальном состоянии с помощью важных обновлений ядра, экономя ваше время и усилия. Это инструмент, который позволяет компаниям немедленно исправлять уязвимости ядра Ubuntu Linux. Утилита live patch позволяет напрямую исправлять работающее ядро, избавляя от необходимости перезагружать вашу систему. Эта функция была впервые добавлена в Ubuntu 16.04 LTS, как правило, предназначенная для серверов, которые должны работать непрерывно без перезагрузки в течение месяцев и лет. В этой статье подробно объясняется, как можно применить «живой» патч в ОС Ubuntu.

Как получить доступ к службе Ubuntu Livepatch

Пользователи Ubuntu и члены сообщества смогут более легко получать доступ к информации, общаться и вносить свой вклад с помощью этой службы, которая предоставляет единую службу входа для всех веб-сайтов, связанных с Ubuntu. Вам должен быть выдан закрытый ключ, связанный с вашей учетной записью Ubuntu One, если вы хотите управлять службами Livepatch. Вам нужно сначала нажать кнопку входа, а затем новое диалоговое окно, в котором спросят, хотите ли вы создать новую учетную запись или войти в систему из существующей учетной записи, как показано ниже.

Вы также можете сделать то же самое, посетив официальный веб-сайт Ubuntu, как показано ниже.

Есть два основных способа включить опцию livepatch в Ubuntu. Один предназначен для пользователей настольных компьютеров, а другой — для серверов, а именно:

Включение livepatch с помощью графического пользовательского интерфейса (GUI)
Включение livepatch с помощью терминала

Как включить Livepatch в Ubuntu с помощью графического интерфейса пользователя (GUI)

После входа в свою учетную запись Ubuntu One вы увидите, что теперь livepatch включен. Вы можете проверить это, снова зайдя в настройки «Программное обеспечение и обновление», как показано ниже.

Также Вы можете выбрать опцию Livepatch, щелкнув опцию «Действия», а затем выполнив поиск livepatch там, как показано ниже.

Вы также можете найти опцию livepatch, перейдя в «Программное обеспечение и обновление», а затем щелкнув опцию livepatch, доступную в правом верхнем углу, как показано ниже.

Итак, если вы уже вошли в свою учетную запись Ubuntu One, вы увидите, что livepatch теперь активен и работает, как показано ниже.

Вот как вы можете включить опцию livepatch с помощью графического интерфейса. Включить его с помощью терминала также очень просто, о чем мы поговорим в следующей части.

Как включить Livepatch в Ubuntu с помощью терминала

Вам также понадобится учетная запись Ubuntu one, чтобы включить livepatch с помощью терминала, как и в предыдущем методе. После этого вам необходимо посетить официальный сайт канонического livepatch, ответственного за создание этого приложения. Здесь вы увидите два варианта; один предназначен для «пользователя Ubuntu», который вам следует выбрать, если вы используете его самостоятельно, тогда как вариант «Canonical customer» предназначен для бизнес-пользователя с несколькими учетными записями. В нашем случае мы выбираем опцию «Пользователь Ubuntu», чтобы вы поняли основную идею. После выбора этой опции вам нужно нажать на опцию токена livepatch, которую можно увидеть в нижнем левом углу.

Инструкции по активации Livepatch Ubuntu также упомянуты на изображении ниже вместе с ключом. Это предоставит вам секретный ключ, связанный с вашей учетной записью Ubuntu one. После получения секретного ключа следующим шагом будет активация этих сервисов для их использования. Вам необходимо следовать им и применять в соответствии с инструкциями, чтобы активировать их без каких-либо проблем.

Итак, чтобы активировать службу livepatch, все, что вам нужно сделать, это ввести следующую команду в терминале.

После этого вам нужно связать свой секретный ключ с каноническим livepatch, что вы можете сделать, набрав следующую команду в терминале.

Livepatch eliminates the need for unplanned maintenance windows for high and critical severity kernel vulnerabilities by patching the Linux kernel while the system runs. Reduce fire drills while keeping uninterrupted service with the Ubuntu Livepatch service for up to 10 years.

Livepatch is included in Ubuntu Pro and Ubuntu Advantage.

Livepatch is a perfect fit for our needs. There’s no other solution like it, and it’s highly cost-effective. Manually migrating virtual machines, applying kernel updates, and rebooting took an average of 32 hours per server. Multiplied by 80 servers, that was more than 2,500 hours of work.
Shinya Tsunematsu, Senior Engineering Lead of Tech Division, GMO Pepabo

Spend less time on unplanned work

According to a study of Dimensional research 64% of IT professionals spend more than 100 hours per year on unplanned work. That’s work that eliminates focus and distracts from one’s goals and business objectives. With 40% of high and critical severity vulnerabilities affecting the Linux kernel, the number of interruptions can be significant. Livepatch reduces the unplanned work that comes from Linux kernel vulnerabilities, making you more effective when managing Ubuntu systems.

Reduce downtime

Downtime is one of the major pains of every service provider. That is however unavoidable when deploying vulnerability fixes on the Linux kernel the traditional way. That’s because the updated system needs to be rebooted to apply the changes irrespective of your deployment strategy (Kubernetes, OpenStack or bare-metal). Industry leaders achieve high uptime by livepatching and scheduled maintenance.

Follow organisational policy

Livepatch on-prem allows you to define your rollout policy and remain in full control of which machines will get updated and when, as well as provide updates to isolated network environments. To keep your machines up-to-date, the Livepatch on-prem server regularly syncs with Ubuntu Livepatch service and obtains the latest patches. It then applies the policy for releasing patches gradually in as many stages as needed.

Kernel livepatching at a glance

When a high or critical Linux kernel vulnerability is detected a livepatch along with a Livepatch Security Notice are issued. Systems that enable the livepatch client will receive and apply the patch, after it is made available. The livepatch will provide new kernel code replacing the vulnerable one, and will update the rest of the kernel to use the new code.

Livepatch on-prem overview

Livepatch on-prem is designed for complex Enterprise environments that follow their own rollout policy and remain in control of which machines will get updated and when. Livepatch on-prem regularly syncs with the Ubuntu Livepatch service and obtains the latest patches. It then deploys the livepatches gradually in as many stages as required.

Читайте также: