所以可以说一个 livepatch 进来了,我当前运行的内核被打了补丁,我不重新启动服务器,因为我不再需要了。如果几周/几个月/不管怎样,另一个livepatch进来了,几周后又来了,等等,会发生什么?这种情况在不重新戒色的情况下是否可持续?
我能看到这种情况的唯一方法是,如果每个 livepatch 都将正在运行的内核修补到与您正常apt dist-upgrade获取最新内核并重新启动时完全相同的情况,但我的印象是 livepatching 只能修复高和关键的安全性问题,而其他一切都保持不变。
或者,他们是否只是针对旧基础内核的变体 + 为它们制作的不同数量的先前 livepatch 测试每个 livepatch?如果是这种情况,我猜他们测试的时间会有限制,最终您应该重新启动以确保您的基本内核是针对 livepatch 进行测试的内核?
每隔一段时间,就会出现一个无法进行实时补丁的高/关键安全漏洞问题,您需要进行正常操作
apt dist-upgrade并重新启动。查看ubuntu-security-announce 邮件列表的档案,似乎为所有内核提供了实时补丁,可以追溯到您上次需要进行正常更新 + 重新启动时,在一次情况下可以追溯到内核发布一年半前!
这可能是一个安全的赌注,他们会继续这样做,无论如何,在上述邮件列表中任何 Livepatch 安全公告 (LSN) 的底部,都会有一个可以接收 livepatch 的内核列表,所以如果你确实运行了一个足够老的内核而不被包含在内,您可以知道在这种情况下只进行正常的更新+重启。
(感谢这个线程中的死花提供了大部分信息)!