Actualizaciones Kernel · 7 min read · Nov 27, 2025

Cómo configurar actualizaciones automáticas del kernel sin reinicios en el servidor Linux

Parchar el kernel en un servidor Linux parece simple. Se puede hacer utilizando herramientas comunes como dpkg, apt-get o kexec. Sin embargo, estos métodos se complican si una organización tiene cientos o miles de servidores. Muchos servidores significan múltiples distribuciones para parchear, cada una de las cuales requiere atención personal de un sysadmin o ingeniero.

Estos métodos de parcheo manual también son arriesgados en el sentido de que requieren reinicios. Los reinicios implican tiempo de inactividad del servidor, lo cual siempre es problemático, por lo que generalmente se realizan en ciclos de reinicio. Debido a que el parcheo manual se realiza durante estos ciclos, proporciona a los hackers una “ventana de tiempo” en la que pueden atacar la infraestructura del servidor.

Para organizaciones que manejan más de unos pocos servidores, el parcheo en vivo es una mejor opción. Es una forma automatizada de parchear un kernel de Linux mientras el servidor está en funcionamiento, lo que permite que sea más eficiente y más seguro que los métodos manuales. Aprendamos cómo configurar cuatro de los sistemas de parcheo en vivo más populares de Canonical, Oracle, Red Hat y CloudLinux.

¿Qué es el parcheo en vivo y cómo funciona?

En última instancia, hay dos métodos de parcheo en vivo para kernels y bibliotecas: temporal y persistente. El método temporal aplica un parche sin un reinicio, pero en realidad requiere reiniciar el servidor más adelante. El parcheo en vivo persistente no requiere reinicio.

El Método Temporal

El método temporal (o parcheo “stack”) se ejecuta con software de gestión de paquetes (como el plugin YUM). Los parches se entregan a los repositorios y se aplican de acuerdo con los flujos de trabajo de actualización especificados por el usuario.

El parcheo “stack” equivale a reinicios del servidor y tiempo de inactividad, aunque es posible que no necesite un reinicio justo después de haber instalado el parche, pero debido a la arquitectura de este tipo de actualizaciones en vivo, los parches de seguridad se acumulan uno encima del otro con el tiempo, lo que puede disminuir el rendimiento y la estabilidad. La única solución a este problema es reiniciar el servidor para cargar un nuevo kernel en la memoria.

Los proveedores que ofrecen parcheo temporal son:

  • Canonical Livepatch
  • kGraph
  • Parcheo en vivo del kernel de Amazon Linux 2

El Método Persistente

En el caso de un método persistente, un servidor almacena los últimos parches y estos parches se llaman “monolíticos” ya que contienen parches anteriores. Para actualizar los servidores, un programa agente se ejecuta en segundo plano, verificando el servidor de parches en busca de parches. Si hay un parche para un kernel en el servidor de parches, el agente llama al módulo de parcheo y aplica el parche.

El parcheo persistente tiene otras ventajas importantes:

  • Los servidores que utilizan el método persistente permanecen en funcionamiento incluso con vulnerabilidades de hardware que normalmente requieren reinicios para parchear, como Spectre, Meltdown y Zombieload;
  • Reduce el tiempo y el esfuerzo requeridos para administrar servidores mediante la automatización completa del proceso de parcheo;
  • Permite que los servidores permanezcan en funcionamiento, a menudo durante años.

El método de parcheo persistente generalmente implica tarifas de proveedor, con períodos de prueba gratuitos disponibles de la mayoría de los proveedores:

  • Ksplice
  • Kpatch
  • KernelCare

Configurar actualizaciones automáticas del kernel sin reinicios en el servidor Linux

A continuación, te mostraremos cómo configurar actualizaciones del kernel sin reinicios en el servidor Linux utilizando los servicios de Livepatch, Kpatch, Ksplice y KernelCare.

Nota: Antes de comenzar a implementar estas instrucciones, asegúrate de que tu sistema esté actualizado y respaldado.

1. Configurando Canonical Livepatch

El servicio Canonical Livepatch se puede configurar durante o después de la instalación. Solo instalará parches de seguridad del kernel cuando ejecutes el comando apt-get upgrade (por lo tanto, semi-automático).

Pros: Simple. Semi-automático. No se necesita reinicio.

Contras: Costoso para 4 o más hosts (pero gratuito hasta 3 hosts para todos y hasta 50 máquinas si eres miembro de la Comunidad de Ubuntu). Sin retroceso de parches.

Tarifas, por servidor: Mensual (No disponible), Anual ($225).

Para instalar Livepatch en Ubuntu 20.04 LTS Server (también funciona en versiones 16.04 LTS, 14.04 LTS y 18.04 LTS), abre una terminal y ejecuta estos dos comandos:

sudo snap install canonical-livepatch  
sudo canonical-livepatch enable

Para desregistrar un servidor, usa este comando:

sudo canonical-livepatch disable

Para verificar el estado del servicio, usa este comando:

sudo canonical-livepatch status --verbose

2. Configurando Oracle Ksplice

A menos que estés ejecutando una instancia de Ksplice dentro de Oracle Cloud, necesitarás una clave de acceso para instalarlo. Esto se puede obtener iniciando sesión en la Red de Linux Inquebrantable y siguiendo las instrucciones para registrar tu sistema para Ksplice.

Para instalar Ksplice, tu sistema debe tener acceso a Internet. Si estás utilizando un proxy, establece el proxy en tu shell:

# export http_proxy=http://proxy.example.com:port
# export https_proxy=http://proxy.example.com:port

El proxy debe soportar conexiones HTTPS, y la cadena del proxy debe estar en este formato: 

[protocol://][username:password@][:port]
  • protocol es el protocolo para conectarse al proxy (http o https)
  • username y password son la información de autenticación necesaria para usar tu proxy (si la hay).
  • host y port son el nombre de host/dirección IP y número de puerto utilizados para conectarse al proxy

Ejecuta las siguientes instrucciones como root, reemplazando YOUR_ACCESS_KEY con la clave de acceso que recibiste en el paso anterior.

Dentro de Oracle Cloud

Para instalar Ksplice dentro de Oracle Cloud para que las actualizaciones del kernel se instalen automáticamente, ejecuta estos comandos:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc
# sh install-uptrack-oc --autoinstall

Para aplicar actualizaciones disponibles a Uptrack, la aplicación que instala actualizaciones del kernel automáticamente, ejecuta este comando:

# uptrack-upgrade -y

Si ya has instalado Uptrack, puedes activarlo configurando autoinstall = yes en /etc/uptrack/uptrack.conf después de que Ksplice esté instalado.

Para instalar Ksplice para que las actualizaciones se apliquen manualmente, ejecuta estos comandos:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc
# sh install-uptrack-oc****

Fuera de Oracle Cloud

Para instalar Ksplice fuera de Oracle Cloud para que las actualizaciones del kernel se instalen automáticamente, ejecuta estos comandos:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack
# sh install-uptrack YOUR_ACCESS_KEY --autoinstall

Para instalar Ksplice para que las actualizaciones se apliquen manualmente, ejecuta estos comandos:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack
# sh install-uptrack YOUR_ACCESS_KEY

Nota: Si estás instalando Ksplice en un servidor Debian o Ubuntu, primero puede que necesites instalar el paquete ca-certificates con apt-get install ca-certificates. Sin este paquete, verás un “error de verificación de certificado.”

4. Configurando Red Hat Kpatch

La instalación de Kpatch es simple y directa:

Ejecuta el comando de actualización para actualizar los repositorios de paquetes y obtener la información más reciente del paquete:

sudo apt-get update -y

Ejecuta el comando de instalación con la bandera -y para instalar rápidamente los paquetes y dependencias: 

sudo apt-get install -y patch

5. Configurando CloudLinux KernelCare

Para ver si el kernel en ejecución es compatible con KernelCare, ejecuta cualquiera de estos comandos:

curl -s -L https://kernelcare.com/checker | python

o

wget -qq -O – https://kernelcare.com/checker | python

Para instalar KernelCare, ejecuta cualquiera de estos comandos:

curl -s -L https://kernelcare.com/installer | bash

o:

wget -qq -O - https://kernelcare.com/installer | bash

Si estás utilizando una licencia basada en IP, no se requiere nada más. Si estás utilizando una licencia basada en clave, ejecuta este comando:

$ /usr/bin/kcarectl --register KEY

KEY es la cadena de código de clave de registro que recibiste cuando compraste KernelCare o te registraste para una prueba gratuita. Puedes obtener una clave aquí.

Para desregistrar un servidor, ejecuta:

sudo kcarectl --unregister

Para verificar el estado del servicio, ejecuta:

sudo kcarectl --info

KernelCare verifica automáticamente si hay nuevos parches cada 4 horas. Para realizar actualizaciones manualmente en lugar de automáticamente, ejecuta:

/usr/bin/kcarectl –update

Conclusión

Estas instrucciones de instalación para varias soluciones de parcheo en vivo enumeran todos los pasos necesarios para instalar una en tu entorno. Una vez que eso esté hecho, disfrutarás de los beneficios de la tecnología de parcheo en vivo: poder actualizar el kernel sin detener el servidor, sin necesidad de reinicios posteriores durante meses, o incluso años.

Share: X/Twitter LinkedIn
#Actualizaciones Kernel

Recibe nuevas publicaciones en tu bandeja de entrada.

No spam. Cancela la suscripción en cualquier momento.