Atualizações de Kernel · 6 min read · Nov 27, 2025

Como configurar atualizações automáticas de kernel sem reinicialização em servidor Linux

Aplicar patches no kernel de um servidor Linux parece simples. Pode ser feito usando ferramentas comuns como dpkg, apt-get ou kexec. Esses métodos, no entanto, tornam-se complicados se uma organização opera centenas ou milhares de servidores. Muitos servidores significam várias distribuições para aplicar patches, cada uma das quais requer atenção pessoal de um sysadmin ou engenheiro.

Esses métodos de patching manual também são arriscados, pois requerem reinicializações. Reinicializações envolvem tempo de inatividade do servidor, o que é sempre problemático, então geralmente são feitas em ciclos de reinicialização. Como o patching manual é feito durante esses ciclos, isso fornece aos hackers uma “janela de tempo” na qual eles podem atacar a infraestrutura do servidor.

Para organizações que operam mais do que alguns servidores, o patching ao vivo é uma opção melhor. É uma maneira automatizada de aplicar um patch no kernel do Linux enquanto o servidor está em execução, o que permite que seja mais eficiente e mais seguro do que os métodos manuais. Vamos aprender como configurar quatro dos sistemas de patching ao vivo mais populares da Canonical, Oracle, Red Hat e CloudLinux.

O que é patching ao vivo e como funciona

No final das contas, existem dois métodos de patching ao vivo para kernels e bibliotecas: temporário e persistente. O método temporário aplica um patch sem reinicialização, mas na verdade requer a reinicialização do servidor mais tarde. O patching ao vivo persistente não requer reinicialização.

O Método Temporário

O método temporário (ou patching “stack”) é executado com software de gerenciamento de pacotes (como o plugin YUM). Os patches são entregues a repositórios e aplicados de acordo com os fluxos de trabalho de atualização especificados pelo usuário.

O patching “stack” equivale a reinicializações do servidor e tempo de inatividade, mesmo que você não precise de uma reinicialização logo após instalar o patch, mas devido à arquitetura desse tipo de atualizações ao vivo, os patches de segurança se acumulam uns sobre os outros ao longo do tempo, potencialmente diminuindo o desempenho e a estabilidade. A única solução para esse problema é reiniciar o servidor para carregar um novo kernel na memória.

Os fornecedores que oferecem patching temporário são:

  • Canonical Livepatch
  • kGraph
  • Amazon Linux 2 kernel live patching

O Método Persistente

No caso de um método persistente, um servidor armazena os patches mais recentes e esses patches são chamados de “monolíticos”, pois contêm patches anteriores. Para atualizar os servidores, um programa agente é executado em segundo plano, verificando o servidor de patches em busca de patches. Se houver um patch para um kernel no servidor de patches, o agente chama o módulo de patching e aplica o patch.

O patching persistente tem outras vantagens importantes:

  • Servidores que utilizam o método persistente permanecem em funcionamento mesmo com vulnerabilidades de hardware que geralmente requerem reinicializações para aplicar patches, como Spectre, Meltdown e Zombieload;
  • Reduz o tempo e o esforço necessários para administrar servidores por meio da automação completa do processo de patching;
  • Permite que os servidores permaneçam em funcionamento, muitas vezes por anos a fio.

O método de patching persistente geralmente envolve taxas de fornecedor, com períodos de teste gratuitos disponíveis na maioria dos fornecedores:

  • Ksplice
  • Kpatch
  • KernelCare

Configurar atualizações automáticas de kernel sem reinicialização em servidor Linux

Abaixo, mostraremos como configurar atualizações de kernel sem reinicialização em servidor Linux usando os serviços Livepatch, Kpatch, Ksplice e KernelCare.

Nota: Antes de começar a implementar estas instruções, certifique-se de que seu sistema está atualizado e com backup.

1. Configurando o Canonical Livepatch

O Serviço Canonical Livepatch pode ser configurado durante ou após a instalação. Ele instalará patches de segurança do kernel apenas quando você executar o comando apt-get upgrade (portanto, semi-automático).

Prós: Simples. Semi-automático. Nenhuma reinicialização necessária.

Contras: Caro para 4 ou mais hosts (mas gratuito para até 3 hosts para todos e até 50 máquinas se você for membro da Comunidade Ubuntu). Sem rollback de patch.

Taxas, por servidor: Mensal (não disponível), Anual ($225).

Para instalar o Livepatch no Ubuntu 20.04 LTS Server (também funciona nas versões 16.04 LTS, 14.04 LTS e 18.04 LTS), abra um terminal e execute estes dois comandos:

sudo snap install canonical-livepatch  
sudo canonical-livepatch enable

Para desregistrar um servidor, use este comando:

sudo canonical-livepatch disable

Para verificar o status do serviço, use este comando:

sudo canonical-livepatch status --verbose

2. Configurando o Oracle Ksplice

A menos que você esteja executando uma instância do Ksplice dentro da Oracle Cloud, você precisará de uma chave de acesso para instalá-lo. Isso pode ser obtido fazendo login na Unbreakable Linux Network e seguindo as instruções para registrar seu sistema para o Ksplice.

Para instalar o Ksplice, seu sistema deve ter acesso à internet. Se você estiver usando um proxy, defina o proxy no seu shell:

# export http_proxy=http://proxy.example.com:port
# export https_proxy=http://proxy.example.com:port

O proxy deve suportar conexões HTTPS, e a string do proxy deve estar neste formato: 

[protocol://][username:password@][:port]
  • protocol é o protocolo para conectar ao proxy (http ou https)
  • username e password são as informações de autenticação necessárias para usar seu proxy (se houver).
  • host e port são o nome do host/endereço IP e número da porta usados para conectar ao proxy

Execute as seguintes instruções como root, substituindo YOUR_ACCESS_KEY pela chave de acesso que você recebeu na etapa anterior.

Dentro da Oracle Cloud

Para instalar o Ksplice dentro da Oracle Cloud para que as atualizações do kernel sejam instaladas automaticamente, execute estes comandos:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc
# sh install-uptrack-oc --autoinstall

Para aplicar atualizações disponíveis ao Uptrack, o aplicativo que instala atualizações de kernel automaticamente, execute este comando:

# uptrack-upgrade -y

Se você já instalou o Uptrack, pode ativá-lo definindo autoinstall = yes em /etc/uptrack/uptrack.conf após a instalação do Ksplice.

Para instalar o Ksplice para que as atualizações sejam aplicadas manualmente, execute estes comandos:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc
# sh install-uptrack-oc****

Fora da Oracle Cloud

Para instalar o Ksplice fora da Oracle Cloud para que as atualizações do kernel sejam instaladas automaticamente, execute estes comandos:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack
# sh install-uptrack YOUR_ACCESS_KEY --autoinstall

Para instalar o Ksplice para que as atualizações sejam aplicadas manualmente, execute estes comandos:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack
# sh install-uptrack YOUR_ACCESS_KEY

Nota: Se você estiver instalando o Ksplice em um servidor Debian ou Ubuntu, pode ser necessário primeiro instalar o pacote ca-certificates com apt-get install ca-certificates. Sem este pacote, você verá um “erro de verificação de certificado”.

4. Configurando o Red Hat Kpatch

A instalação do Kpatch é simples e direta:

Execute o comando de atualização para atualizar os repositórios de pacotes e obter as informações mais recentes sobre pacotes:

sudo apt-get update -y

Execute o comando de instalação com a flag -y para instalar rapidamente os pacotes e dependências: 

sudo apt-get install -y patch

5. Configurando o CloudLinux KernelCare

Para verificar se o kernel em execução é suportado pelo KernelCare, execute um destes comandos:

curl -s -L https://kernelcare.com/checker | python

ou

wget -qq -O – https://kernelcare.com/checker | python

Para instalar o KernelCare, execute um destes comandos:

curl -s -L https://kernelcare.com/installer | bash

ou:

wget -qq -O - https://kernelcare.com/installer | bash

Se você estiver usando uma licença baseada em IP, nada mais é necessário. Se você estiver usando uma licença baseada em chave, execute este comando:

$ /usr/bin/kcarectl --register KEY

KEY é a string do código de registro que você recebeu quando comprou o KernelCare ou se inscreveu para um teste gratuito. Você pode obter uma chave aqui.

Para desregistrar um servidor, execute:

sudo kcarectl --unregister

Para verificar o status do serviço, execute:

sudo kcarectl --info

O KernelCare verifica automaticamente se há novos patches a cada 4 horas. Para realizar atualizações manualmente em vez de automaticamente, execute:

/usr/bin/kcarectl –update

Conclusão

Estas instruções de instalação para várias soluções de patching ao vivo listam todos os passos necessários para instalar uma em seu ambiente. Uma vez feito isso, você desfrutará dos benefícios da tecnologia de patching ao vivo: ser capaz de atualizar o kernel sem parar o servidor, sem necessidade de reinicializações subsequentes por meses, ou até mesmo anos.

Share: X/Twitter LinkedIn
#Atualizações de Kernel

Receba novas postagens na sua caixa de entrada

Sem spam. Cancele a assinatura a qualquer momento.