L'application de mises à jour de sécurité critiques est essentielle pour protéger votre serveur Linux des attaquants potentiels, mais cela peut causer des temps d'arrêt, ce qui n'est pas bon non plus. Le correctif de noyau en direct peut appliquer des mises à jour importantes du noyau sans mettre le serveur hors ligne.
Qu'est-ce que le correctif du noyau en direct?
Avant le patching du noyau en direct, les administrateurs système devaient choisir entre garder le serveur allumé ou appliquer des mises à jour de sécurité. Évidemment, ce n'est pas l'idéal, donc dans 2008 Jeff Arnold et le MIT créé KSplice, un outil qui pourrait appliquer des mises à jour en prenant une différence binaire et en corrigeant le noyau en cours d'exécution en mémoire.
Cela doit écrire un correctif personnalisé pour chaque mise à jour, il est donc réservé uniquement aux vulnérabilités de sécurité critiques qui nécessitent des correctifs rapides, pas de mises à jour quotidiennes régulières. Mais, quand le besoin s'en fait sentir, cette solution simple offre un moyen d'appliquer ces correctifs sans affecter la disponibilité du serveur.
En réalité, le patch en direct du noyau est un peu moins utile qu'il n'y paraît. Si vous êtes préoccupé par la disponibilité du serveur, vous souhaitez probablement également respecter un certain type de SLA ou disposer d'un service essentiel pour continuer à fonctionner. Dans un réseau à haute disponibilité, en théorie, n'importe quel serveur devrait pouvoir se déclencher spontanément sans affecter la disponibilité de l'application. Idéalement, vous devriez avoir deux serveurs ou plus derrière les équilibreurs de charge, et si vous avez plus d'un serveur, peut être mis à jour une à la fois sans affecter grandement la disponibilité du service, même si cela peut être à 50% de capacité de charge pendant une courte période.
EN RELATION: Comment démarrer avec AWS Elastic Load Balancers
En tenant compte de cela, le correctif du noyau en direct est généralement effectué automatiquement une fois qu'un nouveau correctif est disponible. Lors de l'activation du patch en direct, votre système doit être tenu à jour automatiquement et vous n'aurez pas besoin d'avoir quelqu'un pour orchestrer une mise à jour continue du serveur avec des temps d'arrêt possibles. C'est un excellent utilitaire pour la plupart des administrateurs système.
Inconvénients des correctifs en direct
Patcher le noyau en direct est encore assez compliqué; les correctifs doivent être écrits par des experts, pour chaque système, et n'est réservé qu'aux correctifs de sécurité importants. Même à ce moment là, il n'est pas garanti de ne pas planter votre système. Ubuntu gère ce risque en déployant lentement des correctifs pour quelques utilisateurs en même temps., tout en surveillant les défauts.
Le patch du noyau en direct ne peut pas tout faire non plus: ne peut être appliqué qu'à de petites portions spécifiques du code du noyau, et ne peut pas être utilisé pour les mises à jour majeures qui affectent plusieurs composants ou modifient les structures de données.
Qui prend en charge le patch en direct?
Malheureusement, le programme KSplice d'origine n'est plus open source, après qu'Oracle l'ait acquis en 2011 pour l'intégration dans Oracle Linux.
Avec KSplice en source fermée, de nombreuses autres entreprises dans l'espace serveur Linux ont développé leur propre version. Étant donné que les correctifs doivent être écrits et testés sur mesure par système, rend très difficile le maintien d'un seul « Live Kernel Patcher » open source.
La plupart des entreprises le proposent en tant que service payant. KernelCare c'est ce qui se rapproche le plus d'une solution à usage général et prend en charge la plupart des distributions avec un abonnement payant. Amazon Linux 2 est l'un des rares à le propose gratuitement. RHEL tiene kpatch. Oracle Linux utilise toujours ksplice.
Ubuntu a Livepatch canonique. C'est gratuit jusqu'à trois machines, après quoi vous aurez besoin d'un Avantage Ubuntu abonnement pour chaque machine.
EN RELATION: Comment vous assurer que vos serveurs Ubuntu sont toujours patchés
