Kernel Live Patching

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Als Kernel Live Patching (KLP) wird die Fähigkeit des Linux-Kernels bezeichnet, im laufenden Betrieb Sicherheitslücken im Kernel zu schließen. Damit kann die Anzahl nötiger Neustarts verringert werden, was die Downtime von Servern verringert. Kernel Live Patching stellt eine Alternative zu hochverfügbaren Servern dar.[1]

Natives Live Patching[Bearbeiten | Quelltext bearbeiten]

Kernel Live Patching wurde als Schnittmenge aus kpatch und kGraft entwickelt und in den Linux-Kernel 4.0 integriert.[1][2] Seitdem unterstützt der Linux-Kernel Live Patching ohne Zusatzprogramme. Gleichzeitig wurde auch ein Interface für kGraft und kpatch bereitgestellt, die statt 90 % aller Sicherheitslücken wie bei der nativen Lösung etwa 95 % schließen können.[3][4]

ksplice[Bearbeiten | Quelltext bearbeiten]

Schema

ksplice war das erste Live-Patching-System, welches 2008 veröffentlicht wurde. 2011 wurde der Entwickler von Oracle gekauft, die ihr Serverbetriebssystem Oracle Linux damit ausstatteten.

ksplice erzeugt ein Patch-Modul aus dem Vergleich von originalem und gepatchtem Quellcode. Im Gegensatz zu seinen Nachfolgern müssen bei ksplice alle Prozesse einmal mit stop_machine angehalten werden.[1]

kGraft[Bearbeiten | Quelltext bearbeiten]

Linux kernel live patching kGraft1.svg
Linux kernel live patching kGraft2.svg
Linux kernel live patching kGraft3.svg
Schema

Im Februar 2014 stellte SUSE ihre Live-Patchig-Lösung vor.[5] kGraft wird ab SUSE Linux Enterprise Server (SLES) 12 eingesetzt.

kpatch[Bearbeiten | Quelltext bearbeiten]

Schema

Im selben Monat folgte kpatch von Red Hat.[6] Es wird bei Red Hat Enterprise Linux (RHEL) 7 verwendet.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. a b c Linux Kernel Live Patching mit kpatch und kGraft 26. März 2015
  2. Michael Larabel: New Kernel Live Patching Combines kGraft & Kpatch. Phoronix, 7. November 2014, abgerufen am 28. April 2015 (englisch).
  3. Jörg Thoma/Kristian Kißling: Linux-Kernel 4.0 bringt Live-Patching. Linux-Magazin, 13. April 2015, abgerufen am 28. April 2015.
  4. Thorsten Leemhuis: Die Neuerungen von Linux 4.0. In: Kernel-Log. heise open, 13. April 2015, abgerufen am 28. April 2015.
  5. Vojtěch Pavlík: kGraft. Live patching of the Linux kernel (englisch)
  6. Introducing kpatch: Dynamic Kernel Patching