Ubuntu 16.04 LTS过渡到扩展的安全维护阶段（ESM）

by Canonical on 14 May 2021

Ubuntu 16.04 LTS（Xenial Xerus）在2021年4月末常规的支持维护将停止，LTS的5年支持维护窗口结束之后将过渡到扩展安全维护（ESM）支持阶段。Xenial Xerus通过Ubuntu订阅（简称“UA-I”）服务内的扩展支持维护（ESM）仍可获得支持直到2024年4月，公有云如AWS、Azure、Google云上的Ubuntu Pro已集成此服务。ESM对个人用户免费最多3台计算机，Ubuntu社区成员可免费在最高50台计算机上使用。Ubuntu 16.04 是一个“通用标准认证”的操作系统，通过及时可靠的安全漏洞修复以提供对FIPS 140-2认证的加密模块的访问。

Ubuntu长期支持（LTS）版本提供为开发和生产环境一个稳定的企业平台，其具备5年公共维护保证。 一旦公共的“标准安全维护”窗口关闭后，Ubuntu LTS版本将通过ESM获得额外的三到五年的支持（时长取决于发行版）已提供到下一个LTS版本内建就地升级的路径。

访问ESM扩展了LTS版本覆盖，给予对x86-64，arm64和s390x架构的Ubuntu“main”和“restricted”仓库中的软件包中高危和严重的常见漏洞和暴露（CVE）进行持续的安全修复。此访问权限使得在Ubuntu LTS上运行工作负载的组织、企业通过升级前提供的安全环境来维护合规性标准。

对于需要访问ESM或对此服务有疑问的用户，请参考以下问题。也请随时与我们的团队联系，讨论有关Ubuntu 16.04 ESM的其他问题。

如何访问ESM？

您可以通过公有云平台上的Ubuntu Pro访问ESM，也可以通过Ubuntu订阅服务。如果您是Ubuntu订阅服务的用户且需要访问ESM仓库和凭证，那么您仅需要在Ubuntu订阅服务后台点击ESM区域即可。

如果您还不是UA的用户，可联系我们以了解相关内容以及为您的Ubuntu 16.04系统启用ESM服务。

我是否需要扩展的安全维护？

尽管由于性能，硬件支持以及新技术支持的好处而很重要，但是对于现有的部署来说，过渡到最新的操作系统是一个复杂的过程。虽然有多种部署策略和基础架构选项（Canonical的OpenStack，Charmed Kubernetes或裸机），并且根据其使用情况和适当的策略可以减少特定风险，例如升级期间的停机时间，但是这些都存在某些共同的挑战。

通常，企业解决方案将组织内各个团队的软件组合在一起，在大多数情况下，供应链会扩展会涉及第三方供应商提供的软件，反过来第三方供应商可能会拥有自己的软件供应商。这种复杂的情况导致对软件堆栈（例如Java，python）的依赖，这些软件堆栈在升级的系统中具有某些特性，而这些特性在较新的系统中会被弃用，替换或稍作更改。在这种情况下，除了实际的操作系统升级外，升级过程成为涉及风险分析，利益相关方沟通以及可能是现有解决方案的升级变更的管理过程。如果您身处监管严格的行业，那么这将更具挑战性，因为满足要求的合规性流程（例如PCI-DSS，SOC2和GDPR）将导致额外的计划和实施。

在这些情况下，当已经部署的系统的运营稳定性和安全补丁连续性至关重要时，Ubuntu ESM可以降低由于重要漏洞和严重漏洞而导致的安全事件的风险。因此，通过将系统纳入到ESM生命周期中，您将获得必要的时间来制定升级计划，并且通过已部署的Ubuntu LTS系统将现有的部署和硬件的支持延长到最大支持周期。

选择ESM的其他原因和行业要求包括：

• 旧版软件维护——无论您采用哪种软件部署方法（容器，虚拟机还是非裸机），如果您的组织正在运行需要较旧的库和应用包的软件，而这些库和程序包无法进行重新设计，无法升级。
• 硬件要求——如果您的组织存在在一个版本软件上构建的设备，例如在HDI或SCADA环境中，在进行测试之前无法升级，这在医疗保健行业中很常见。
• 长期部署——如果您的组织有长期的部署，如在电信行业。

Ubuntu 16.04 ESM覆盖了哪些内容？

Ubuntu的ESM阶段提供了针对Ubuntu基础操作系统和在64位x86架构上的和横向扩展基础结构（Ceph，OpenStack，请参阅更多详细信息）中高危CVE（常见漏洞和披露）的安全更新。

如何启用Ubuntu 16.04 ESM？

#Ubuntu Pro不需要下面步骤
#安装最新版的UA客户端
$ sudo apt update
$ sudo apt install ubuntu-advantage-tools

#使用您的UA令牌(token)和客户端把机器添加在您的合同中
$ sudo ua attach <令牌>

#确保ESM-infra也已启用:
$ sudo ua enable esm-infra
$ sudo apt update
$ sudo apt upgrade

在容器中执行上述操作时，建议从其中删除订阅凭据。可通过运行“ ua detach”来完成。

Ubuntu 16.04 ESM将支持多久？

Ubuntu 16.04 LTS “Xenial Xerus” 通过Ubuntu订阅-ESM服务将被支持到2024年4月。

是时候需要升级了吗？

我们建议所有用户升级到最新的Ubuntu 20.04 LTS版本。此版本以Linux 5.4内核为基础，具有显着更快的启动速度，并支持安全启动以防御低级攻击和root工具，内核自我保护措施，确保控制流的完整性，为系统性、前瞻性的企业安全性添加了堆栈冲突保护。

通过简单的3步进行就地升级您的系统：

1.点击”软件与更新“图标使用图形界面升级

2.通过Ubuntu云管理平台Landscape的版本升级特性

3.输入下面命令:

$ sudo do-release-upgrade

对于正使用Ubuntu 16.04无法升级的用户或计划在不久的将来升级的用户，建议通过UA订阅的ESM来避免由于未修补的漏洞而增加数据泄露事件的风险。

可以将ESM作为个人用途使用吗？

是的，Canonical提供Ubuntu订阅基础版，其中包括了ESM。个人免费在最多3台计算机上使用。对于Ubuntu社区成员，我们将很高兴将其增加到50台计算机。

没有ESM会有哪些风险？

尚未修补的安全漏洞会形成攻击媒介，从而导致数据可用性，机密性和数据完整性的风险增加，最终导致业务连续性计划的风险。即使您未在金融，医疗保健和电信行业等受监管的环境中运营，我们强烈建议您考虑这些选项：升级到最新的Ubuntu LTS和开启扩展维护支持以减轻来自未识别和未修补漏洞的风险和运营成本。尽管威胁和漏洞发生了变化，但仍然存在一些风险。阅读这篇文章以了解我们对在Ubuntu 14.04生命周期中发现和解决的漏洞的思考。

适用于Ubuntu 16.04 Xenial Xerus的扩展安全维护（ESM）包含针对高危和严重漏洞的安全补丁，涵盖了额外三年的时间，可通过订购Ubuntu订阅服务获得。有关更多信息，请访问cn.ubuntu.com/support/esm并联系我们。