Qu'est-ce que le correctif en direct du noyau Linux ?

0
183

L'application de mises à jour de sécurité critiques est importante pour protéger votre serveur Linux des attaquants potentiels, mais cela peut entraîner des temps d'arrêt, ce qui n'est pas bon non plus. Le correctif de noyau en direct peut appliquer des mises à jour importantes du noyau sans mettre votre serveur hors ligne.

Qu'est-ce que le correctif de noyau en direct ?

Avant le correctif de noyau en direct , les administrateurs système devaient choisir entre conserver leur serveur ou appliquer des mises à jour de sécurité. Ce n'est évidemment pas idéal, donc en 2008, Jeff Arnold du MIT a créé KSplice, un outil qui pourrait appliquer des mises à jour en prenant un diff binaire et en appliquant des correctifs au noyau en cours d'exécution en mémoire.

Cela nécessite d'écrire un correctif personnalisé pour chaque mise à jour, il n'est donc réservé qu'aux vulnérabilités de sécurité critiques nécessitant des correctifs rapides, et non aux mises à jour quotidiennes régulières. Mais, lorsque le besoin s'en fait sentir, cette solution simple offre un moyen d'appliquer ces correctifs sans affecter la disponibilité du serveur.

En réalité, le patching du noyau en direct est un peu moins utile qu'il n'y paraît. Si vous vous souciez de la disponibilité du serveur, vous souhaitez probablement également respecter une sorte de contrat de niveau de service ou disposer d'un service essentiel pour continuer à fonctionner. Dans un réseau à haute disponibilité, n'importe quel serveur unique devrait théoriquement être capable de brûler spontanément sans affecter la disponibilité de l'application. Idéalement, vous devriez avoir deux serveurs ou plus derrière des équilibreurs de charge, et si vous avez plus d'un serveur, ils peuvent être mis à jour un à la fois sans affecter considérablement la disponibilité du service, bien que vous puissiez être à 50 % de la capacité de charge pendant une courte période.

CONNEXES : Comment démarrer avec les équilibreurs de charge élastiques d'AWS

Cela étant pris en compte, le correctif du noyau en direct est généralement effectué automatiquement une fois qu'un nouveau correctif est disponible. En activant les correctifs en direct, votre système devrait rester à jour automatiquement et vous n'aurez pas besoin que quelqu'un orchestre une mise à jour continue du serveur avec un temps d'arrêt potentiel. C'est un énorme avantage pour la plupart des administrateurs système.

Inconvénients de Live Patching

Le correctif du noyau en direct est encore assez compliqué à faire, les correctifs doivent être écrits par des experts, pour chaque système, et ils sont uniquement réservés aux correctifs de sécurité importants. Même dans ce cas, il n'est pas garanti de ne pas planter votre système. Ubuntu gère ce risque en déployant lentement les correctifs pour quelques utilisateurs à la fois, tout en surveillant les plantages.

Publicité

Le correctif du noyau en direct ne peut pas non plus tout faire. uniquement être appliqué à de petites portions spécifiques du code du noyau, et il ne peut pas être utilisé pour des mises à jour majeures qui affectent plusieurs composants ou modifient les structures de données.

Qui prend en charge Live Patching ?

Malheureusement, le programme KSplice d'origine n'est plus open source, après avoir été acquis par Oracle en 2011 pour être intégré à Oracle Linux.

Avec KSplice devenant source fermée, de nombreuses autres sociétés dans l'espace serveur Linux ont développé leur propre version. Avec des correctifs devant être écrits et testés sur mesure par système, cela permet de maintenir un seul “Live Kernel Patcher” très difficile.

La plupart des entreprises le proposent en tant que service payant. KernelCare est la solution la plus proche d'une solution à usage général et prend en charge la plupart des distributions avec un abonnement payant. Amazon Linux 2 est l'un des rares à le proposer gratuitement. RHEL a kpatch. Oracle Linux utilise toujours ksplice.

Ubuntu a Canonical Livepatch. C'est gratuit pour un maximum de trois machines, après quoi vous aurez besoin d'un abonnement Ubuntu Advantage pour chaque machine.

CONNEXION : Comment faire Assurez-vous que vos serveurs Ubuntu sont toujours corrigés