Kernel Live Patching
Als Kernel Live Patching (KLP) oder Module Hot Plugging (MHP) wird die Fähigkeit des Linux-Kernels bezeichnet, im laufenden Betrieb Sicherheitslücken im Kernel zu schließen. Damit kann die Anzahl nötiger Neustarts verringert werden, was die Downtime von Servern verringert. Kernel Live Patching stellt eine Alternative zu hochverfügbaren Servern dar.[1]
Natives Live Patching/Module Hot Plugging
Kernel Live Patching wurde als Schnittmenge aus kpatch und kGraft entwickelt und in den Linux-Kernel 4.0 integriert.[1][2] Seitdem unterstützt der Linux-Kernel Live Patching ohne Zusatzprogramme. Gleichzeitig wurde auch ein Interface für kGraft und kpatch bereitgestellt, die statt 90 % aller Sicherheitslücken wie bei der nativen Lösung etwa 95 % schließen können.[3][4]
ksplice
Ksplice war das erste Live-Patching-System, welches 2008 veröffentlicht wurde. 2011 wurde der Entwickler von Oracle gekauft, die ihr Serverbetriebssystem Oracle Linux damit ausstatteten.
ksplice erzeugt ein Patch-Modul aus dem Vergleich von originalem und gepatchtem Quellcode. Im Gegensatz zu seinen Nachfolgern müssen bei ksplice alle Prozesse einmal mit stop_machine angehalten werden.[1]
kGraft
Im Februar 2014 stellte SUSE ihre Live-Patchig-Lösung vor.[5] kGraft wird ab SUSE Linux Enterprise Server (SLES) 12 eingesetzt.
kpatch
Im selben Monat folgte kpatch von Red Hat.[6] Es wird bei Red Hat Enterprise Linux (RHEL) 7 verwendet.
Einzelnachweise
- ↑ a b c Linux Kernel Live Patching mit kpatch und kGraft 26. März 2015
- ↑ Michael Larabel: New Kernel Live Patching Combines kGraft & Kpatch. Phoronix, 7. November 2014, abgerufen am 28. April 2015 (englisch).
- ↑ Jörg Thoma/Kristian Kißling: Linux-Kernel 4.0 bringt Live-Patching. Linux-Magazin, 13. April 2015, abgerufen am 28. April 2015.
- ↑ Thorsten Leemhuis: Die Neuerungen von Linux 4.0. In: Kernel-Log. heise open, 13. April 2015, abgerufen am 28. April 2015.
- ↑ Vojtěch Pavlík: kGraft. Live patching of the Linux kernel (englisch)
- ↑ Introducing kpatch: Dynamic Kernel Patching
