Tillämpa kritiska säkerhetsuppdateringar är viktigt för att skydda din Linux-server från potentiella angripare , men det kan orsaka stillestånd, vilket inte heller är bra. Live-kernel-lappning kan tillämpa viktiga kärnuppdateringar utan att din server är offline.
Vad är Live Kernel Patching?
Före live-kernel-lappning , systemadministratörer behövde välja mellan att behålla sin server eller använda säkerhetsuppdateringar. Detta är uppenbarligen inte perfekt, så 2008 skapade Jeff Arnold på MIT KSplice, ett verktyg som skulle kunna använda uppdateringar genom att ta en binär diff och applicera korrigeringsfiler på den körande kärnan i minnet.
Detta kräver att du skriver en anpassad korrigering för varje uppdatering, så den är endast reserverad för kritiska säkerhetsproblem som behöver snabbkorrigeringar, inte vanliga uppdateringar varje dag. Men när behovet uppstår erbjuder den här enkla lösningen ett sätt att tillämpa dessa korrigeringar utan att påverka serverns driftstid.
I själva verket är levande kärnplåster lite mindre användbara än det kan tyckas. Om du bryr dig om servertid, vill du troligtvis också träffa någon form av SLA eller ha en kritisk tjänst för att fortsätta köra. I ett nätverk med hög tillgänglighet bör en enskild server teoretiskt kunna spontant förbränna utan att det påverkar applikationens driftstid. Helst borde du ha två eller flera servrar bakom belastningsutjämnare, och om du har mer än en server kan de uppdateras en i taget utan att påverka servicetillgängligheten kraftigt, även om du kanske har 50% lastkapacitet en kort stund.
RELATERAD: Så här kommer du igång med AWS elastiska belastningsbalanser
Med det övervägande görs live-kernel-patchning vanligtvis automatiskt när en ny patch är tillgänglig. Genom att aktivera live patching bör ditt system uppdateras automatiskt och du behöver inte ha någon att ordna en rullande serveruppdatering med potentiell stilleståndstid. Detta är en enorm uppgång för de flesta systemadministratörer.
Nackdelar med Live Patching
Live-kärnlappning är fortfarande ganska komplicerat att göra-lappar måste skrivas av experter för varje system, och det är bara reserverat för viktiga säkerhetsuppdateringar. Även då är det inte garanterat att du inte kraschar ditt system. Ubuntu hanterar denna risk genom att rulla ut patcharna långsamt till några användare åt gången, samtidigt som de övervakar för krascher.
Annonsering
Live kernel patching kan inte göra allt & # 8212; det kan tillämpas endast på små och specifika delar av kärnkoden, och det kan inte användas för större uppdateringar som påverkar flera komponenter eller ändrar datastrukturer.
Vem stöder Live-patchning? många andra företag på Linux-serverutrymmet utvecklade sin egen version. Med korrigeringsfiler som behöver skräddarsys och testas per system gör det att underhålla en enda öppen källkod & # 8220; Live Kernel Patcher & # 8221; väldigt svårt.
De flesta företag erbjuder det som en betald tjänst. KernelCare är närmast en lösning för allmänt ändamål och stöder de flesta distributioner med en betald prenumeration. Amazon Linux 2 är en av de få som erbjuder det gratis. RHEL har kpatch. Oracle Linux använder fortfarande ksplice.
Ubuntu har Canonical Livepatch. Det är gratis för upp till tre maskiner, varefter du behöver ett Ubuntu Advantage-abonnemang för varje maskin.
RELATERAD: Hur man gör Visst att dina Ubuntu-servrar alltid är lappade