Kernel Live Patching

Als Kernel Live Patching (KLP) oder Module Hot Plugging (MHP) wird die Fähigkeit des Linux-Kernels bezeichnet, im laufenden Betrieb Sicherheitslücken im Kernel zu schließen. Damit kann die Anzahl nötiger Neustarts verringert werden, was die Downtime von Servern verringert. Kernel Live Patching stellt eine Alternative zu hochverfügbaren Servern dar.[1]

Natives Live Patching/Module Hot Plugging

Kernel Live Patching wurde als Schnittmenge aus kpatch und kGraft entwickelt und in den Linux-Kernel 4.0 integriert.[1][2] Seitdem unterstützt der Linux-Kernel Live Patching ohne Zusatzprogramme. Gleichzeitig wurde auch ein Interface für kGraft und kpatch bereitgestellt, die statt 90 % aller Sicherheitslücken wie bei der nativen Lösung etwa 95 % schließen können.[3][4]

ksplice

Schema

Ksplice war das erste Live-Patching-System, welches 2008 veröffentlicht wurde. 2011 wurde der Entwickler von Oracle gekauft, die ihr Serverbetriebssystem Oracle Linux damit ausstatteten.

ksplice erzeugt ein Patch-Modul aus dem Vergleich von originalem und gepatchtem Quellcode. Im Gegensatz zu seinen Nachfolgern müssen bei ksplice alle Prozesse einmal mit stop_machine angehalten werden.[1]

kGraft

Schema

Im Februar 2014 stellte SUSE ihre Live-Patchig-Lösung vor.[5] kGraft wird ab SUSE Linux Enterprise Server (SLES) 12 eingesetzt.

kpatch

Schema

Im selben Monat folgte kpatch von Red Hat.[6] Es wird bei Red Hat Enterprise Linux (RHEL) 7 verwendet.

Einzelnachweise

Linux Kernel Live Patching mit kpatch und kGraft 26. März 2015
Michael Larabel: New Kernel Live Patching Combines kGraft & Kpatch. Phoronix, 7. November 2014, abgerufen am 28. April 2015 (englisch).
Jörg Thoma/Kristian Kißling: Linux-Kernel 4.0 bringt Live-Patching. Linux-Magazin, 13. April 2015, abgerufen am 28. April 2015.
Thorsten Leemhuis: Die Neuerungen von Linux 4.0. In: Kernel-Log. heise open, 13. April 2015, abgerufen am 28. April 2015.
Vojtěch Pavlík: kGraft. Live patching of the Linux kernel (englisch)
Introducing kpatch: Dynamic Kernel Patching

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.

[guug-1] Linux Kernel Live Patching mit kpatch und kGraft 26. März 2015

[2] Michael Larabel: New Kernel Live Patching Combines kGraft & Kpatch. Phoronix, 7. November 2014, abgerufen am 28. April 2015 (englisch).

[magazin-3] Jörg Thoma/Kristian Kißling: Linux-Kernel 4.0 bringt Live-Patching. Linux-Magazin, 13. April 2015, abgerufen am 28. April 2015.

[4] Thorsten Leemhuis: Die Neuerungen von Linux 4.0. In: Kernel-Log. heise open, 13. April 2015, abgerufen am 28. April 2015.

[5] Vojtěch Pavlík: kGraft. Live patching of the Linux kernel (englisch)

[6] Introducing kpatch: Dynamic Kernel Patching