Linux Server · 6 min read · Nov 27, 2025

So richten Sie automatische rebootlose Kernel-Updates auf einem Linux-Server ein

Das Patchen des Kernels auf einem Linux-Server scheint einfach zu sein. Es kann mit gängigen Tools wie dpkg, apt-get oder kexec durchgeführt werden. Diese Methoden werden jedoch kompliziert, wenn eine Organisation Hunderte oder Tausende von Servern betreibt. Viele Server bedeuten mehrere Distributionen, die gepatcht werden müssen, von denen jede persönliche Aufmerksamkeit von einem Sysadmin oder Ingenieur erfordert.

Diese manuellen Patch-Methoden sind auch riskant, da sie Neustarts erfordern. Neustarts bedeuten Serverausfallzeiten, was immer problematisch ist, daher werden sie normalerweise in Neustartzyklen durchgeführt. Da das manuelle Patchen während dieser Zyklen erfolgt, bietet es Hackern ein „Zeitfenster“, in dem sie die Serverinfrastruktur angreifen können.

Für Organisationen, die mehr als ein paar Server betreiben, ist Live-Patching eine bessere Option. Es ist eine automatisierte Möglichkeit, einen Linux-Kernel zu patchen, während der Server läuft, was es effizienter und sicherer macht als manuelle Methoden. Lassen Sie uns lernen, wie man vier der beliebtesten Live-Patching-Systeme von Canonical, Oracle, Red Hat und CloudLinux einrichtet.

Was ist Live-Patching und wie funktioniert es

Letztendlich gibt es zwei Methoden des Live-Patchings für Kerne und Bibliotheken: temporär und persistent. Die temporäre Methode wendet einen Patch ohne Neustart an, erfordert jedoch tatsächlich später einen Neustart des Servers. Persistentes Live-Patching erfordert keinen Neustart.

Die temporäre Methode

Die temporäre Methode (oder „Stack“-Patchen) wird mit Software zur Paketverwaltung (wie dem YUM-Plugin) ausgeführt. Patches werden an Repositories geliefert und gemäß den vom Benutzer angegebenen Update-Workflows angewendet.

„Stack“-Patchen bedeutet Serverneustarts und Ausfallzeiten, auch wenn Sie möglicherweise direkt nach der Installation des Patches keinen Neustart benötigen, aber aufgrund der Architektur dieser Art von Live-Updates stapeln sich die Sicherheits-Patches im Laufe der Zeit übereinander, was die Leistung und Stabilität potenziell verringert. Die einzige Lösung für dieses Problem besteht darin, den Server neu zu starten, um einen frischen Kernel in den Speicher zu laden.

Die Anbieter, die temporäres Patchen anbieten, sind:

  • Canonical Livepatch
  • kGraph
  • Amazon Linux 2 Kernel Live-Patching

Die persistente Methode

Im Falle einer persistenten Methode speichert ein Server die neuesten Patches, und diese Patches werden als „monolithisch“ bezeichnet, da sie frühere Patches enthalten. Um die Server zu aktualisieren, läuft ein Agentenprogramm im Hintergrund, das den Patch-Server auf Patches überprüft. Wenn es einen Patch für einen Kernel auf dem Patch-Server gibt, ruft der Agent das Patch-Modul auf und wendet den Patch an.

Persistentes Patchen hat weitere wichtige Vorteile:

  • Server, die die persistente Methode verwenden, bleiben auch bei Hardwareanfälligkeiten, die normalerweise Neustarts zum Patchen erfordern, wie Spectre, Meltdown und Zombieload, betriebsbereit;
  • Es reduziert die Zeit und den Aufwand, die zur Verwaltung von Servern erforderlich sind, durch vollständige Automatisierung des Patch-Prozesses;
  • Es ermöglicht Servern, oft jahrelang betriebsbereit zu bleiben.

Die Methode des persistenten Patchens beinhaltet normalerweise Anbietergebühren, wobei die meisten Anbieter kostenlose Testzeiträume anbieten:

  • Ksplice
  • Kpatch
  • KernelCare

Automatische rebootlose Kernel-Updates auf einem Linux-Server einrichten

Im Folgenden zeigen wir Ihnen, wie Sie rebootlose Kernel-Updates auf einem Linux-Server mit den Livepatch-, Kpatch-, Ksplice- und KernelCare-Diensten einrichten.

Hinweis: Bevor Sie mit der Umsetzung dieser Anweisungen beginnen, stellen Sie sicher, dass Ihr System auf dem neuesten Stand und gesichert ist.

1. Canonical Livepatch einrichten

Der Canonical Livepatch-Dienst kann entweder während oder nach der Installation eingerichtet werden. Er installiert Kernel-Sicherheits-Patches nur, wenn Sie den Befehl apt-get upgrade ausführen (daher semi-automatisch).

Vorteile: Einfach. Semi-automatisch. Kein Neustart erforderlich.

Nachteile: Teuer für 4 oder mehr Hosts (aber kostenlos für bis zu 3 Hosts für alle und bis zu 50 Maschinen, wenn Sie Mitglied der Ubuntu-Community sind). Kein Patch-Rollback.

Gebühren pro Server: Monatlich (nicht verfügbar), jährlich (225 $).

Um Livepatch auf einem Ubuntu 20.04 LTS-Server (funktioniert auch auf 16.04 LTS, 14.04 LTS und 18.04 LTS-Versionen) zu installieren, öffnen Sie ein Terminal und führen Sie diese beiden Befehle aus:

sudo snap install canonical-livepatch  
sudo canonical-livepatch enable

Um einen Server abzumelden, verwenden Sie diesen Befehl:

sudo canonical-livepatch disable

Um den Status des Dienstes zu überprüfen, verwenden Sie diesen Befehl:

sudo canonical-livepatch status --verbose

2. Oracle Ksplice einrichten

Es sei denn, Sie betreiben eine Instanz von Ksplice in der Oracle Cloud, benötigen Sie einen Zugriffsschlüssel, um es zu installieren. Dies kann durch Anmelden im Unbreakable Linux Network und Befolgen der Anweisungen zur Registrierung Ihres Systems für Ksplice erhalten werden.

Um Ksplice zu installieren, muss Ihr System Zugang zum Internet haben. Wenn Sie einen Proxy verwenden, setzen Sie den Proxy in Ihrer Shell:

# export http_proxy=http://proxy.example.com:port
# export https_proxy=http://proxy.example.com:port

Der Proxy muss HTTPS-Verbindungen unterstützen, und die Proxy-Zeichenfolge sollte in diesem Format vorliegen:

[protocol://][username:password@][:port]
  • protocol ist das Protokoll zur Verbindung mit dem Proxy (http oder https)
  • username und password sind die Authentifizierungsinformationen, die benötigt werden, um Ihren Proxy zu verwenden (falls vorhanden).
  • host und port sind der Hostname/IP-Adresse und die Portnummer, die zur Verbindung mit dem Proxy verwendet werden.

Führen Sie die folgenden Anweisungen als Root aus und ersetzen Sie YOUR_ACCESS_KEY durch den Zugriffsschlüssel, den Sie im vorherigen Schritt erhalten haben.

Innerhalb der Oracle Cloud

Um Ksplice innerhalb der Oracle Cloud zu installieren, damit Kernel-Updates automatisch installiert werden, führen Sie diese Befehle aus:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc
# sh install-uptrack-oc --autoinstall

Um verfügbare Updates für Uptrack, die Anwendung, die Kernel-Updates automatisch installiert, anzuwenden, führen Sie diesen Befehl aus:

# uptrack-upgrade -y

Wenn Sie Uptrack bereits installiert haben, können Sie es aktivieren, indem Sie autoinstall = yes in /etc/uptrack/uptrack.conf setzen, nachdem Ksplice installiert wurde.

Um Ksplice so zu installieren, dass Updates manuell angewendet werden, führen Sie diese Befehle aus:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc
# sh install-uptrack-oc****

Außerhalb der Oracle Cloud

Um Ksplice außerhalb der Oracle Cloud zu installieren, damit Kernel-Updates automatisch installiert werden, führen Sie diese Befehle aus:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack
# sh install-uptrack YOUR_ACCESS_KEY --autoinstall

Um Ksplice so zu installieren, dass Updates manuell angewendet werden, führen Sie diese Befehle aus:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack
# sh install-uptrack YOUR_ACCESS_KEY

Hinweis: Wenn Sie Ksplice auf einem Debian- oder Ubuntu-Server installieren, müssen Sie möglicherweise zuerst das ca-certificates Paket mit apt-get install ca-certificates installieren. Ohne dieses Paket sehen Sie einen „Zertifikatsüberprüfungsfehler.“

4. Red Hat Kpatch einrichten

Die Installation von Kpatch ist einfach und unkompliziert:

Führen Sie den Update-Befehl aus, um die Paket-Repositories zu aktualisieren und die neuesten Paketinformationen zu erhalten:

sudo apt-get update -y

Führen Sie den Installationsbefehl mit dem -y-Flag aus, um die Pakete und Abhängigkeiten schnell zu installieren:

sudo apt-get install -y patch

5. CloudLinux KernelCare einrichten

Um zu sehen, ob der laufende Kernel von KernelCare unterstützt wird, führen Sie entweder diesen Befehl aus:

curl -s -L https://kernelcare.com/checker | python

oder

wget -qq -O – https://kernelcare.com/checker | python

Um KernelCare zu installieren, führen Sie entweder diesen Befehl aus:

curl -s -L https://kernelcare.com/installer | bash

oder:

wget -qq -O - https://kernelcare.com/installer | bash

Wenn Sie eine IP-basierte Lizenz verwenden, ist nichts weiter erforderlich. Wenn Sie eine schlüsselbasierte Lizenz verwenden, führen Sie diesen Befehl aus:

$ /usr/bin/kcarectl --register KEY

KEY ist der Registrierungs-Schlüsselcode, den Sie erhalten haben, als Sie KernelCare gekauft oder sich für eine kostenlose Testversion angemeldet haben. Sie können hier einen Schlüssel erhalten.

Um einen Server abzumelden, führen Sie aus:

sudo kcarectl --unregister

Um den Status des Dienstes zu überprüfen, führen Sie aus:

sudo kcarectl --info

KernelCare überprüft automatisch alle 4 Stunden auf neue Patches. Um Updates manuell anstelle von automatisch durchzuführen, führen Sie aus:

/usr/bin/kcarectl –update

Fazit

Diese Installationsanweisungen für mehrere Live-Patching-Lösungen listen alle Schritte auf, die erforderlich sind, um eine in Ihrer Umgebung zu installieren. Sobald das erledigt ist, werden Sie die Vorteile der Live-Patching-Technologie genießen: die Möglichkeit, den Kernel zu aktualisieren, ohne den Server anzuhalten, ohne dass in den folgenden Monaten oder sogar Jahren Neustarts erforderlich sind.

Share: X/Twitter LinkedIn
#Linux Server

Erhalte neue Beiträge in deinem Posteingang.

Kein Spam. Jederzeit abmelden.