Linux Server · 6 min read · Nov 27, 2025

Come impostare aggiornamenti automatici del kernel senza riavvio nel server Linux

Applicare patch al kernel su un server Linux sembra semplice. Può essere fatto utilizzando strumenti comuni come dpkg, apt-get o kexec. Questi metodi, tuttavia, diventano complicati se un’organizzazione gestisce centinaia o migliaia di server. Molti server significano più distribuzioni da patchare, ognuna delle quali richiede attenzione personale da parte di un sysadmin o ingegnere.

Questi metodi di patching manuale sono anche rischiosi in quanto richiedono riavvii. I riavvii comportano tempi di inattività del server, che sono sempre problematici, quindi di solito vengono eseguiti in cicli di riavvio. Poiché il patching manuale viene eseguito durante questi cicli, fornisce agli hacker una “finestra temporale” in cui possono attaccare l’infrastruttura del server.

Per le organizzazioni che gestiscono più di pochi server, il live patching è un’opzione migliore. È un modo automatizzato per patchare un kernel Linux mentre il server è in esecuzione, il che lo rende sia più efficiente che più sicuro rispetto ai metodi manuali. Vediamo come impostare quattro dei sistemi di live patching più popolari di Canonical, Oracle, Red Hat e CloudLinux.

Cos’è il live patching e come funziona

In definitiva, ci sono due metodi di live patching per kernel e librerie: temporaneo e persistente. Il metodo temporaneo applica una patch senza riavvio ma richiede effettivamente di riavviare il server in seguito. Il live patching persistente non richiede riavvio.

Il Metodo Temporaneo

Il metodo temporaneo (o patching “stack”) viene eseguito con software di gestione dei pacchetti (come il plugin YUM). Le patch vengono consegnate ai repository e applicate secondo i flussi di lavoro di aggiornamento specificati dall’utente.

Il patching “stack” equivale a riavvii del server e tempi di inattività, anche se potresti non aver bisogno di un riavvio subito dopo aver installato la patch, ma a causa dell’architettura di questo tipo di aggiornamenti live, le patch di sicurezza si accumulano nel tempo, potenzialmente diminuendo le prestazioni e la stabilità. L’unica soluzione a questo problema è riavviare il server per caricare un nuovo kernel in memoria.

I fornitori che offrono patching temporaneo sono:

  • Canonical Livepatch
  • kGraph
  • Amazon Linux 2 kernel live patching

Il Metodo Persistente

Nel caso di un metodo persistente, un server memorizza le ultime patch e queste patch sono chiamate “monolitiche” poiché contengono patch precedenti. Per aggiornare i server, un programma agente viene eseguito in background, controllando il server delle patch per le patch. Se c’è una patch per un kernel sul server delle patch, l’agente chiama il modulo di patching e applica la patch.

Il patching persistente ha altri vantaggi importanti:

  • I server che utilizzano il metodo persistente rimangono attivi anche con vulnerabilità hardware che di solito richiedono riavvii per essere patchate, come Spectre, Meltdown e Zombieload;
  • Riduce il tempo e lo sforzo richiesti per amministrare i server grazie all’automazione completa del processo di patching;
  • Consente ai server di rimanere attivi, spesso per anni.

Il metodo di patching persistente di solito comporta costi per i fornitori, con periodi di prova gratuiti disponibili dalla maggior parte dei fornitori:

  • Ksplice
  • Kpatch
  • KernelCare

Impostare aggiornamenti automatici del kernel senza riavvio nel server Linux

Di seguito ti mostreremo come impostare aggiornamenti del kernel senza riavvio nel server Linux utilizzando i servizi Livepatch, Kpatch, Ksplice e KernelCare.

Nota: Prima di iniziare a implementare queste istruzioni, assicurati che il tuo sistema sia aggiornato e sottoposto a backup.

1. Impostare Canonical Livepatch

Il servizio Canonical Livepatch può essere impostato durante o dopo l’installazione. Installerà solo patch di sicurezza del kernel quando esegui il comando apt-get upgrade (quindi, semi-automatico).

Pro: Semplice. Semi-automatico. Nessun riavvio necessario.

Contro: Costoso per 4 o più host (ma gratuito fino a 3 host per tutti e fino a 50 macchine se sei un membro della Comunità Ubuntu). Nessun rollback della patch.

Costi, per server: Mensile (Non disponibile), Annuale ($225).

Per installare Livepatch su Ubuntu 20.04 LTS Server (funziona anche su 16.04 LTS, 14.04 LTS e 18.04 LTS), apri un terminale ed esegui questi due comandi:

sudo snap install canonical-livepatch  
sudo canonical-livepatch enable

Per deregistrare un server, usa questo comando:

sudo canonical-livepatch disable

Per controllare lo stato del servizio, usa questo comando:

sudo canonical-livepatch status --verbose

2. Impostare Oracle Ksplice

A meno che tu non stia eseguendo un’istanza di Ksplice all’interno di Oracle Cloud, avrai bisogno di una chiave di accesso per installarlo. Questa può essere ottenuta accedendo alla Unbreakable Linux Network e seguendo le istruzioni per registrare il tuo sistema per Ksplice.

Per installare Ksplice, il tuo sistema deve avere accesso a Internet. Se stai utilizzando un proxy, imposta il proxy nella tua shell:

# export http_proxy=http://proxy.example.com:port
# export https_proxy=http://proxy.example.com:port

Il proxy deve supportare connessioni HTTPS, e la stringa del proxy deve essere nel seguente formato: 

[protocol://][username:password@][:port]
  • protocol è il protocollo per connettersi al proxy (http o https)
  • username e password sono le informazioni di autenticazione necessarie per utilizzare il tuo proxy (se presenti).
  • host e port sono il nome host/l’indirizzo IP e il numero di porta utilizzati per connettersi al proxy

Esegui le seguenti istruzioni come root, sostituendo YOUR_ACCESS_KEY con la chiave di accesso ricevuta nel passaggio precedente.

Dentro Oracle Cloud

Per installare Ksplice all’interno di Oracle Cloud in modo che gli aggiornamenti del kernel vengano installati automaticamente, esegui questi comandi:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc
# sh install-uptrack-oc --autoinstall

Per applicare gli aggiornamenti disponibili a Uptrack, l’applicazione che installa automaticamente gli aggiornamenti del kernel, esegui questo comando:

# uptrack-upgrade -y

Se hai già installato Uptrack, puoi attivarlo impostando autoinstall = yes in /etc/uptrack/uptrack.conf dopo aver installato Ksplice.

Per installare Ksplice in modo che gli aggiornamenti vengano applicati manualmente, esegui questi comandi:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc
# sh install-uptrack-oc****

Fuori da Oracle Cloud

Per installare Ksplice al di fuori di Oracle Cloud in modo che gli aggiornamenti del kernel vengano installati automaticamente, esegui questi comandi:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack
# sh install-uptrack YOUR_ACCESS_KEY --autoinstall

Per installare Ksplice in modo che gli aggiornamenti vengano applicati manualmente, esegui questi comandi:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack
# sh install-uptrack YOUR_ACCESS_KEY

Nota: Se stai installando Ksplice su un server Debian o Ubuntu, potresti prima dover installare il pacchetto ca-certificates con apt-get install ca-certificates. Senza questo pacchetto, vedrai un “errore di verifica del certificato.”

4. Impostare Red Hat Kpatch

L’installazione di Kpatch è semplice e diretta:

Esegui il comando di aggiornamento per aggiornare i repository dei pacchetti e ottenere le ultime informazioni sui pacchetti:

sudo apt-get update -y

Esegui il comando di installazione con il flag -y per installare rapidamente i pacchetti e le dipendenze: 

sudo apt-get install -y patch

5. Impostare CloudLinux KernelCare

Per vedere se il kernel in esecuzione è supportato da KernelCare, esegui uno di questi comandi:

curl -s -L https://kernelcare.com/checker | python

oppure

wget -qq -O – https://kernelcare.com/checker | python

Per installare KernelCare, esegui uno di questi comandi:

curl -s -L https://kernelcare.com/installer | bash

oppure:

wget -qq -O - https://kernelcare.com/installer | bash

Se stai utilizzando una licenza basata su IP, non è richiesto nient’altro. Se stai utilizzando una licenza basata su chiave, esegui questo comando:

$ /usr/bin/kcarectl --register KEY

KEY è la stringa del codice di registrazione che hai ricevuto quando hai acquistato KernelCare o ti sei registrato per una prova gratuita. Puoi ottenere una chiave qui.

Per deregistrare un server, esegui:

sudo kcarectl --unregister

Per controllare lo stato del servizio, esegui:

sudo kcarectl --info

KernelCare controlla automaticamente nuove patch ogni 4 ore. Per eseguire aggiornamenti manualmente invece di automaticamente, esegui:

/usr/bin/kcarectl –update

Conclusione

Queste istruzioni di installazione per diverse soluzioni di live patching elencano tutti i passaggi necessari per installarne una nel tuo ambiente. Una volta fatto, potrai godere dei benefici della tecnologia di live patching: essere in grado di aggiornare il kernel senza fermare il server, senza riavvii successivi necessari per mesi, o addirittura anni.

Share: X/Twitter LinkedIn
#Linux Server

Ricevi i nuovi post nella tua casella di posta.

Nessuno spam. Disiscriviti in qualsiasi momento.