L'applicazione di aggiornamenti di sicurezza critici è essenziale per proteggere il tuo server Linux da potenziali aggressori, ma può causare tempi di inattività, che non va neanche bene. Le patch live del kernel possono applicare importanti aggiornamenti del kernel senza portare il server offline.
Qual è la patch del kernel live??
Prima dell'applicazione di patch al kernel live, gli amministratori di sistema dovevano scegliere tra mantenere attivo il server o applicare aggiornamenti di sicurezza. Evidentemente, questo non è l'ideale, così dentro 2008 Jeff Arnold e MIT creato KSplice, uno strumento che potrebbe applicare aggiornamenti prendendo una differenza binaria e applicando patch al kernel in esecuzione in memoria.
Questo deve scrivere una patch personalizzata per ogni aggiornamento, quindi è riservato solo alle vulnerabilità di sicurezza critiche che necessitano di soluzioni rapide, nessun aggiornamento giornaliero regolare. Ma, quando se ne presenta la necessità, questa semplice soluzione offre un modo per applicare tali correzioni senza influire sui tempi di attività del server.
In realtà, l'applicazione di patch live al kernel è un po' meno utile di quanto sembri. Se sei preoccupato per l'uptime del server, probabilmente vorrai anche soddisfare un qualche tipo di SLA o avere un servizio fondamentale per continuare a funzionare. In una rete ad alta disponibilità, in teoria, qualsiasi server dovrebbe essere in grado di attivarsi spontaneamente senza influire sul tempo di attività dell'app. Idealmente, dovresti avere due o più server dietro i bilanciatori di carico, e se hai più di un server, possono essere aggiornati uno allo stesso tempo senza influire notevolmente sulla disponibilità del servizio, anche se potrebbe essere a 50% di capacità di carico per un breve periodo.
IMPARENTATO: Come iniziare con AWS Elastic Load Balancer
Tenendo conto di questo, le patch live del kernel vengono generalmente eseguite automaticamente una volta che una nuova patch è disponibile. Quando si attivano le patch live, il tuo sistema dovrebbe essere aggiornato automaticamente e non dovrai avere qualcuno che orchestra un aggiornamento continuo del server con tempi di inattività possibili. Questa è una grande utility per la maggior parte degli amministratori di sistema.
Svantaggi delle patch live
L'applicazione di patch al kernel live è ancora piuttosto complicata; le patch devono essere scritte da esperti, per ogni sistema, ed è riservato solo ad importanti patch di sicurezza. Anche allora, non è garantito che il sistema non vada in crash. Ubuntu gestisce questo rischio distribuendo lentamente le patch a pochi utenti contemporaneamente., durante il monitoraggio dei guasti.
Anche le patch live del kernel non possono fare tutto: può essere applicato solo a porzioni piccole e specifiche del codice del kernel, e non può essere utilizzato per aggiornamenti importanti che interessano più componenti o modificano le strutture dei dati.
Chi supporta il live patch??
Sfortunatamente, il programma KSplice originale non è più open source, dopo che Oracle l'ha acquisito in 2011 per l'integrazione in Oracle Linux.
Con KSplice che diventa closed source, molte altre aziende nello spazio server Linux hanno sviluppato la propria versione. Poiché le patch devono essere scritte e testate in modo personalizzato per sistema, rende molto difficile mantenere un singolo "Live Kernel Patcher" open source.
La maggior parte delle aziende lo offre come servizio a pagamento. KernelCare è la cosa più vicina a una soluzione generica e supporta la maggior parte delle distribuzioni con un abbonamento a pagamento. Amazon Linux 2 è uno dei pochi che lo offre gratuitamente. RHEL tiene kpatch. Oracle Linux utilizza ancora ksplice.
Ubuntu ha Canonical Livepatch. È gratuito per un massimo di tre macchine, dopo di che avrai bisogno di un Vantaggio Ubuntu abbonamento per ogni macchina.
IMPARENTATO: Come assicurarti che i tuoi server Ubuntu siano sempre aggiornati?
