Mises à jour noyau · 7 min read · Nov 27, 2025

Comment configurer des mises à jour automatiques du noyau sans redémarrage sur un serveur Linux

Appliquer des correctifs au noyau sur un serveur Linux semble simple. Cela peut être fait en utilisant des outils courants tels que dpkg, apt-get ou kexec. Cependant, ces méthodes deviennent compliquées si une organisation gère des centaines ou des milliers de serveurs. De nombreux serveurs signifient plusieurs distributions à corriger, chacune nécessitant une attention particulière d’un administrateur système ou d’un ingénieur.

Ces méthodes de correction manuelle sont également risquées car elles nécessitent des redémarrages. Les redémarrages impliquent un temps d’arrêt du serveur, ce qui est toujours problématique, ils sont donc généralement effectués lors de cycles de redémarrage. Comme le patching manuel est effectué pendant ces cycles, cela offre aux hackers une “fenêtre de temps” pendant laquelle ils peuvent attaquer l’infrastructure du serveur.

Pour les organisations qui gèrent plus de quelques serveurs, le patching en direct est une meilleure option. C’est un moyen automatisé de corriger un noyau Linux pendant que le serveur fonctionne, ce qui le rend à la fois plus efficace et plus sécurisé que les méthodes manuelles. Apprenons à configurer quatre des systèmes de patching en direct les plus populaires de Canonical, Oracle, Red Hat et CloudLinux.

Qu’est-ce que le patching en direct et comment ça fonctionne

En fin de compte, il existe deux méthodes de patching en direct pour les noyaux et les bibliothèques : temporaire et persistante. La méthode temporaire applique un correctif sans redémarrage mais nécessite en réalité de redémarrer le serveur plus tard. Le patching en direct persistant ne nécessite aucun redémarrage.

La méthode temporaire

La méthode temporaire (ou patching “stack”) est exécutée avec un logiciel de gestion de paquets (tel que le plugin YUM). Les correctifs sont livrés aux dépôts et appliqués selon les flux de travail de mise à jour spécifiés par l’utilisateur.

Le patching “stack” équivaut à des redémarrages de serveur et à des temps d’arrêt, même si vous n’avez peut-être pas besoin d’un redémarrage juste après avoir installé le correctif, mais en raison de l’architecture de ce type de mises à jour en direct, les correctifs de sécurité s’accumulent les uns sur les autres au fil du temps, diminuant potentiellement les performances et la stabilité. La seule solution à ce problème est de redémarrer le serveur pour charger un nouveau noyau en mémoire.

Les fournisseurs proposant un patching temporaire sont :

  • Canonical Livepatch
  • kGraph
  • Patching en direct du noyau Amazon Linux 2

La méthode persistante

Dans le cas d’une méthode persistante, un serveur stocke les derniers correctifs et ces correctifs sont appelés “monolithiques” car ils contiennent des correctifs précédents. Pour mettre à jour les serveurs, un programme agent s’exécute en arrière-plan, vérifiant le serveur de correctifs pour des correctifs. S’il y a un correctif pour un noyau sur le serveur de correctifs, l’agent appelle le module de patching et applique le correctif.

Le patching persistant a d’autres avantages importants :

  • Les serveurs utilisant la méthode persistante restent opérationnels même avec des vulnérabilités matérielles qui nécessitent généralement des redémarrages pour être corrigées, telles que Spectre, Meltdown et Zombieload ;
  • Cela réduit le temps et l’effort nécessaires pour administrer les serveurs grâce à l’automatisation complète du processus de patching ;
  • Cela permet aux serveurs de rester opérationnels, souvent pendant des années.

La méthode de patching persistante implique généralement des frais de fournisseur, avec des périodes d’essai gratuites disponibles chez la plupart des fournisseurs :

  • Ksplice
  • Kpatch
  • KernelCare

Configurer des mises à jour automatiques du noyau sans redémarrage sur un serveur Linux

Ci-dessous, nous vous montrerons comment configurer des mises à jour du noyau sans redémarrage sur un serveur Linux en utilisant les services Livepatch, Kpatch, Ksplice et KernelCare.

Remarque : Avant de commencer à mettre en œuvre ces instructions, assurez-vous que votre système est à jour et sauvegardé.

1. Configuration de Canonical Livepatch

Le service Canonical Livepatch peut être configuré soit pendant, soit après l’installation. Il installera des correctifs de sécurité du noyau uniquement lorsque vous exécuterez la commande apt-get upgrade (d’où, semi-automatique).

Avantages : Simple. Semi-automatique. Aucun redémarrage nécessaire.

Inconvénients : Coûteux pour 4 hôtes ou plus (mais gratuit jusqu’à 3 hôtes pour tous et jusqu’à 50 machines si vous êtes membre de la communauté Ubuntu). Pas de retour en arrière des correctifs.

Frais, par serveur : Mensuel (non disponible), Annuel (225 $).

Pour installer Livepatch sur Ubuntu 20.04 LTS Server (fonctionne également sur les versions 16.04 LTS, 14.04 LTS et 18.04 LTS), ouvrez un terminal et exécutez ces deux commandes :

sudo snap install canonical-livepatch  
sudo canonical-livepatch enable

Pour désinscrire un serveur, utilisez cette commande :

sudo canonical-livepatch disable

Pour vérifier l’état du service, utilisez cette commande :

sudo canonical-livepatch status --verbose

2. Configuration d’Oracle Ksplice

À moins que vous ne exécutiez une instance de Ksplice dans le Cloud Oracle, vous aurez besoin d’une clé d’accès pour l’installer. Cela peut être obtenu en vous connectant au Unbreakable Linux Network et en suivant les instructions pour enregistrer votre système pour Ksplice.

Pour installer Ksplice, votre système doit avoir accès à Internet. Si vous utilisez un proxy, définissez le proxy dans votre shell :

# export http_proxy=http://proxy.example.com:port
# export https_proxy=http://proxy.example.com:port

Le proxy doit prendre en charge les connexions HTTPS, et la chaîne de proxy doit être au format suivant : 

[protocol://][username:password@][:port]
  • le protocole est le protocole pour se connecter au proxy (http ou https)
  • le nom d’utilisateur et le mot de passe sont les informations d’authentification nécessaires pour utiliser votre proxy (le cas échéant).
  • hôte et port sont le nom d’hôte/l’adresse IP et le numéro de port utilisés pour se connecter au proxy

Exécutez les instructions suivantes en tant que root, en remplaçant YOUR_ACCESS_KEY par la clé d’accès que vous avez reçue à l’étape précédente.

À l’intérieur du Cloud Oracle

Pour installer Ksplice à l’intérieur du Cloud Oracle afin que les mises à jour du noyau soient installées automatiquement, exécutez ces commandes :

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc
# sh install-uptrack-oc --autoinstall

Pour appliquer les mises à jour disponibles à Uptrack, l’application qui installe automatiquement les mises à jour du noyau, exécutez cette commande :

# uptrack-upgrade -y

Si vous avez déjà installé Uptrack, vous pouvez l’activer en définissant autoinstall = yes dans /etc/uptrack/uptrack.conf après l’installation de Ksplice.

Pour installer Ksplice afin que les mises à jour soient appliquées manuellement, exécutez ces commandes :

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc
# sh install-uptrack-oc****

À l’extérieur du Cloud Oracle

Pour installer Ksplice à l’extérieur du Cloud Oracle afin que les mises à jour du noyau soient installées automatiquement, exécutez ces commandes :

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack
# sh install-uptrack YOUR_ACCESS_KEY --autoinstall

Pour installer Ksplice afin que les mises à jour soient appliquées manuellement, exécutez ces commandes :

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack
# sh install-uptrack YOUR_ACCESS_KEY

Remarque : Si vous installez Ksplice sur un serveur Debian ou Ubuntu, vous devrez peut-être d’abord installer le paquet ca-certificates avec apt-get install ca-certificates. Sans ce paquet, vous verrez une “erreur de vérification de certificat.”

4. Configuration de Red Hat Kpatch

L’installation de Kpatch est simple et directe :

Exécutez la commande de mise à jour pour mettre à jour les dépôts de paquets et obtenir les dernières informations sur les paquets :

sudo apt-get update -y

Exécutez la commande d’installation avec le drapeau -y pour installer rapidement les paquets et les dépendances : 

sudo apt-get install -y patch

5. Configuration de CloudLinux KernelCare

Pour voir si le noyau en cours d’exécution est pris en charge par KernelCare, exécutez l’une de ces commandes :

curl -s -L https://kernelcare.com/checker | python

ou

wget -qq -O – https://kernelcare.com/checker | python

Pour installer KernelCare, exécutez l’une de ces commandes :

curl -s -L https://kernelcare.com/installer | bash

ou :

wget -qq -O - https://kernelcare.com/installer | bash

Si vous utilisez une licence basée sur l’IP, rien d’autre n’est requis. Si vous utilisez une licence basée sur une clé, exécutez cette commande :

$ /usr/bin/kcarectl --register KEY

KEY est la chaîne de code de clé d’enregistrement que vous avez reçue lorsque vous avez acheté KernelCare ou vous êtes inscrit pour un essai gratuit. Vous pouvez obtenir une clé ici.

Pour désinscrire un serveur, exécutez :

sudo kcarectl --unregister

Pour vérifier l’état du service, exécutez :

sudo kcarectl --info

KernelCare vérifie automatiquement les nouveaux correctifs toutes les 4 heures. Pour effectuer des mises à jour manuellement au lieu de automatiquement, exécutez :

/usr/bin/kcarectl –update

Conclusion

Ces instructions d’installation pour plusieurs solutions de patching en direct énumèrent toutes les étapes nécessaires pour en installer une dans votre environnement. Une fois cela fait, vous bénéficierez des avantages de la technologie de patching en direct : pouvoir mettre à jour le noyau sans arrêter le serveur, sans redémarrages subséquents nécessaires pendant des mois, voire des années.

Share: X/Twitter LinkedIn
#Mises à jour noyau

Recevez de nouveaux articles dans votre boîte de réception.

Aucun spam. Désabonnez-vous à tout moment.