Het toepassen van kritieke beveiligingsupdates is belangrijk om uw Linux-server te beschermen tegen potentiële aanvallers , maar het kan downtime veroorzaken, wat ook niet goed is. Live kernelpatching kan belangrijke kernelupdates toepassen zonder uw server offline te halen.
Wat is Live Kernel Patching?
Vóór live kernelpatching , moesten systeembeheerders kiezen tussen het aanhouden van hun server of het toepassen van beveiligingsupdates. Dit is natuurlijk niet ideaal, dus in 2008 creëerde Jeff Arnold van MIT KSplice, een tool die updates kon toepassen door een binaire diff te nemen en patches toe te passen op de draaiende kernel in het geheugen.
Dit vereist het schrijven van een aangepaste patch voor elke update, dus het is alleen gereserveerd voor kritieke beveiligingsproblemen die snelle oplossingen nodig hebben, niet voor reguliere dagelijkse updates. Maar als de noodzaak zich voordoet, biedt deze eenvoudige oplossing een manier om die oplossingen toe te passen zonder de uptime van de server te beïnvloeden.
In werkelijkheid is live kernelpatching iets minder nuttig dan het lijkt. Als je server-uptime belangrijk vindt, wil je waarschijnlijk ook aan een soort SLA voldoen of een kritieke service hebben om te blijven draaien. In een netwerk met hoge beschikbaarheid zou elke afzonderlijke server in theorie spontaan moeten kunnen ontbranden zonder de uptime van de applicatie te beïnvloeden. In het ideale geval zou u twee of meer servers achter load balancers moeten hebben, en als u meer dan één server heeft, kunnen deze één voor één worden bijgewerkt zonder de beschikbaarheid van de service sterk te beïnvloeden, hoewel u mogelijk een korte tijd een laadcapaciteit van 50% heeft.
GERELATEERD: Aan de slag met de Elastic Load Balancers van AWS
Met dat in overweging genomen, wordt het patchen van live kernels meestal automatisch gedaan zodra een nieuwe patch beschikbaar is. Door live patching in te schakelen, zou uw systeem automatisch up-to-date moeten blijven en hoeft u niet iemand een rollende serverupdate te laten regelen met mogelijke downtime. Dit is een enorm voordeel voor de meeste systeembeheerders.
Nadelen van Live Patching
Het patchen van live kernels is nog steeds behoorlijk ingewikkeld om te doen. Patches moeten worden geschreven door experts, voor elk systeem, en het is alleen gereserveerd voor belangrijke beveiligingspatches. Zelfs dan is het niet gegarandeerd dat je systeem niet crasht. Ubuntu beheert dit risico door de patches langzaam uit te rollen naar een paar gebruikers tegelijk, terwijl ze op crashes controleren.
Advertentie
Live kernel-patching kan ook niet alles doen wat het kan alleen worden toegepast op kleine en specifieke delen van de kernelcode, en het kan niet worden gebruikt voor grote updates die meerdere componenten beïnvloeden of gegevensstructuren wijzigen.
Wie ondersteunt live patching?
Helaas is het originele KSplice-programma niet langer open source, nadat het in 2011 door Oracle werd overgenomen voor integratie in Oracle Linux.
Nu KSplice closed source wordt, veel andere bedrijven in de Linux-serverruimte ontwikkelden hun eigen versie. Met patches die op maat moeten worden geschreven en getest per systeem, is het onderhouden van een enkele open-source “Live Kernel Patcher” erg moeilijk.
De meeste bedrijven bieden het aan als een betaalde dienst. KernelCare komt het dichtst in de buurt van een oplossing voor algemene doeleinden en ondersteunt de meeste distributies met een betaald abonnement. Amazon Linux 2 is een van de weinige die het gratis aanbiedt. RHEL heeft kpatch. Oracle Linux gebruikt nog steeds ksplice.
Ubuntu heeft Canonical Livepatch. Het is gratis voor maximaal drie machines, daarna heeft u voor elke machine een Ubuntu Advantage-abonnement nodig.
GERELATEERD: Hoe te maken Zeker dat uw Ubuntu-servers altijd gepatcht zijn