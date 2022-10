Co je Ubuntu Pro

Ubuntu Pro byl představen na začátku října a nabízí přístup zdarma až pro pět instalací jednotlivce či malé firmy. Zatím je označován jako beta, ale nabízí desetiletou firemní podporu včetně bezpečnostních záplat pro 23 000 dalších balíčků, které zahrnují především serverový a vývojářský software.

Cílí přímo na bezpečnost a soukromí při používání Ubuntu ve firmách. Základem je řešení známých zranitelností CVE (Common Vulnerabilities and Exposures) s úrovní vysoká, kritická a u vybraných chyb až po střední. Vedle toho Canonical slibuje také pokrytí nejčerstvějších zranitelností typu zero-day, na které je zatím vydáno embargo. Takové chyby budou v kritických případech záplatovány do 24 hodin.

Ubuntu Pro míří do velkých firem a státních organizací, protože se Canonical chlubí také certifikací FIPS 140–2, CIS a profily DISA-STIG. Ty jsou důležité právě pro úřady ve Spojených státech, ale také jinde po světě.





Jedná se samozřejmě o placenou službu, která stojí 25 dolarů ročně za pracovní stanici a 500 dolarů ročně za server. Canonical ji ale nabízí pro malé instalace zdarma, takže můžete i v malé firmě dosáhnout stejné úrovně zabezpečení operačního systému a desetileté podpory. Ukážeme si, jak to celé zprovoznit a jak to funguje.

Co budeme potřebovat

V první řadě je to podporovaná instance Ubuntu LTS, což v současné době zahrnuje verze 16.04 LTS, 18.04 LTS, 20.04 LTS nebo 22.04 LTS. Verzi systému zjistíte v souboru /etc/os-release . Na ní potřebujeme správcovská oprávnění, což ve světě Ubuntu znamená možnost použít příkaz sudo .





Budeme potřebovat buď účet na službě Ubuntu One nebo e-mailovou adresu, na kterou Ubuntu Pro navážeme. Poté budeme moci použít utilitu s jednoduchým názvem pro , abychom se dostali k novým bezpečnostním záplatám.

Prohlídka systému

Nejprve se ujistěte, že je váš systém aktuální a že máte staženy nejnovější verze všech balíčků.

sudo apt update && sudo apt upgrade

Poté zkontrolujte verzi utility pro , která pochází z balíčku ubuntu-advantage-tools .

$ pro --version 27.11.2~22.04.1

Toto je aktuální verze utility, která by dnes měla být v repozitářích všech podporovaných verzí Ubuntu LTS. Pokud byste ji z nějakého důvodu neměli nainstalovanou, můžete ručně vynutit povýšení zmíněného balíku.

$ sudo apt install ubuntu-advantage-tools=27.11.2~$(lsb_release -rs).1

Nyní se můžeme pomocí utility pro podívat, z jakých zdrojů máme nainstalované balíčky.

$ pro security-status 246 packages installed: 241 packages from Ubuntu Main/Restricted repository 5 packages from Ubuntu Universe/Multiverse repository To get more information about the packages, run pro security-status --help for a list of available options. This machine is not attached to an Ubuntu Pro subscription. Main/Restricted packages receive updates with LTS until 2027. Try Ubuntu Pro beta with a free personal subscription on up to 5 machines. Learn more at https://ubuntu.com/pro

Je tu vidět, že některé balíčky jsou z běžného repozitáře Ubuntu LTS, jiné z repozitáře Multiverse. Utilita také píše, že podpora základního repozitáře poběží do roku 2027. My ji můžeme prodloužit o dalších pět let tím, že se přihlásíme k programu Ubuntu Pro.

Registrace k Ubuntu One

Pro použití Ubuntu Pro budeme potřebovat účet na službě Ubuntu One. Pokud žádný nemáme, můžeme se zaregistrovat a účet založit. Není to nijak složité, budete k tomu potřebovat jen vyplnit e-mailovou adresu, skutečné jméno, uživatelské jméno a vybrat si heslo.

V dalším kroku musíte potvrdit svou e-mailovou adresu kliknutím na odkaz. Zpráva dorazí z adresy noreply@login.ubuntu.com. Nyní je váš účet připravený, je možné ho zabezpečit pomocí dvoufaktorové autorizace. Podporovány jsou možnosti: aplikace s TOTP na mobilu, token YubiKey, zařízení kompatibilní s HOTP/TOPT nebo vytištěné záložní kódy.

Nyní se pomocí nově vytvořeného účtu můžeme přihlásit na Ubuntu Pro a podívat se na přehled předplatných, která máme aktivní. Na stejném místě pak můžeme další předplatné nakupovat, pokud nám nestačí varianta přidělená zdarma.

Pohled na přidělené tokeny (pro účely článku pozměněno) Autor: Petr Krčmář, Root.cz

Máme automaticky přidělený nový token k předplatnému Free Personal. To nás opravňuje přidat až pět strojů, přičemž na začátku nemáme samozřejmě využitou žádnou z instancí. Stránka rovnou dole napovídá, jak můžeme s účtem propojit nový stroj.

Propojujeme Ubuntu s účtem

Nyní je čas se vrátit k našemu počítači s Ubuntu LTS a propojit jej s účtem na Ubuntu Pro. Spustíme proto výše uvedený příkaz.

$ sudo pro attach 126abdb71f66fc1d2acfc17db48d41b8 [sudo] password for ubuntu: Enabling default service esm-infra Updating package lists Ubuntu Pro: ESM Infra enabled Unable to determine current instance-id This machine is now attached to 'Ubuntu Pro - free personal subscription' SERVICE ENTITLED STATUS DESCRIPTION esm-infra yes enabled Expanded Security Maintenance for Infrastructure NOTICES Operation in progress: pro attach Enable services with: pro enable Account: Petr Krčmář Subscription: Ubuntu Pro - free personal subscription

Jakmile tento krok provedeme, dojde k ověření našeho tokenu, propojení stroje s naším účtem a aktivuje se nám služba ESM (Expanded Security Maintenance) infra. Výpis může být různě dlouhý, některé další služby (například zmíněný FIPS) mohou být zatím dostupné jen pro některé verze Ubuntu LTS. Aktuální situaci můžete vždy zobrazit zavoláním příkazu pro status .

Pokud máme správně propojeno, můžeme aktivovat službu ESM apps, která nám zpřístupní balíčky s novými bezpečnostmími záplatami.

$ sudo pro enable esm-apps --beta [sudo] password for ubuntu: One moment, checking your subscription first Updating package lists Ubuntu Pro: ESM Apps enabled

Aktualizujeme balíčky

Nyní se mezi repozitáře přidal i jeden nový, právě z ESM. Při aktualizaci seznamu balíčků jej uvidíme mezi adresami serverů:

$ sudo apt update Hit:1 http://cz.archive.ubuntu.com/ubuntu jammy InRelease Hit:2 http://cz.archive.ubuntu.com/ubuntu jammy-security InRelease Hit:3 http://cz.archive.ubuntu.com/ubuntu jammy-updates InRelease Hit:4 https://esm.ubuntu.com/apps/ubuntu jammy-apps-security InRelease Hit:5 https://esm.ubuntu.com/apps/ubuntu jammy-apps-updates InRelease Hit:6 https://esm.ubuntu.com/infra/ubuntu jammy-infra-security InRelease Hit:7 https://esm.ubuntu.com/infra/ubuntu jammy-infra-updates InRelease

Nyní stačí běžným způsobem instalovat či aktualizovat balíčky a automaticky budete dostávat i nejnovější verze z Ubuntu Pro. Při klasickém výpisu aktualizovatelných balíků máte možnost si jednoduše vyfiltrovat ty z přídavného repozitáře, abyste viděli, co všechno se instaluje navíc proti základnímu Ubuntu LTS.

$ apt list --upgradable | grep apps-security WARNING: apt does not have a stable CLI interface. Use with caution in scripts. pdfresurrect/jammy-apps-security 0.22-2ubuntu0.1~esm1 amd64 [upgradable from: 0.22-2]

Poté stačí jen klasicky aktualizovat systém.

sudo apt update && sudo apt upgrade

Všimněte si, že součástí názvu balíčku je také zkratka esm . Podle ní pak máte možnost dodatečně filtrovat, které balíčky jste dostali z ESM.

$ dpkg -l |grep esm ii pdfresurrect 0.22-2ubuntu0.1~esm1 amd64 tool for extracting/scrubbing versioning data from PDF documents

Informace je také součástí souhrnu, který jsme viděli už na začátku.

$ pro security-status 281 packages installed: 267 packages from Ubuntu Main/Restricted repository 14 packages from Ubuntu Universe/Multiverse repository To get more information about the packages, run pro security-status --help for a list of available options. Main/Restricted packages receive updates with LTS until 2027. Universe/Multiverse packages are receiving security updates from Ubuntu Pro with 'esm-apps' enabled until 2032. You have received 1 security update.

Zrušení propojení

Pokud si přejeme na daném stroji zrušit propojení s Ubuntu Pro, provedeme to jednoduše následujícím příkazem. To samozřejmě vypne všechny související služby.

$ sudo pro detach Detach will disable the following services: esm-apps esm-infra Are you sure? (y/N) y Updating package lists Updating package lists This machine is now detached.

Odkazy