Включить Kernel live patching в CentOS

Kernel live patching - это отличный способ поддерживать вашу инфраструктуру в актуальном состоянии, сводя к минимуму ручную работу и избегая перезагрузки системы.

Ядром операционной системы Linux  обеспечивает основное взаимодействие между аппаратным и программным обеспечением. Оно также выполняет такие задачи, как управление памятью, управление процессами, безопасность системы, взаимодействие с аппаратным обеспечением и т.д. и т.п. Такая важная часть операционной системы неизбежно имеет недостатки или уязвимости, которые необходимо устранять и поддерживать.

Обновление ядра, как ключевого компонента операционной системы, традиционно требовало перезагрузки системы. Это изменилось с выходом версии 5.10 ядра Linux в декабре 2020 года. (Некоторые дистрибутивы Linux поддерживали Kernel live patching до версии 5.10).

Если вы используете версию ядра, которая поддерживает это, вы можете (и должны) воспользоваться преимуществами Kernel live patching. Этот метод выполнения кода работает наряду с зондированием ядра и трассировкой функций. Вместо того чтобы полагаться на перенаправление с использованием точки останова для проб ядра или предопределенного места (в случае трассировки функций), живое исправление обычно выполняется путем перенаправления кода как можно ближе к входу функции.

Как включить Kernel live patching

Включение Kernel live patching зависит от дистрибутива Linux, но в целом все просто.

Во-первых, проверьте версию ядра. Вы можете сделать это с помощью менеджера пакетов:

Пример вывода

В качестве альтернативы используйте команду uname:

Пример:

Kernel live patching в CentOS 8.1+

Живое исправление ядра уже включено в RHEL и CentOS, начиная с версии 8.1. Проверить это можно, убедившись, что установлен kpatch:

Далее установите kpatch-dnf, который обеспечивает автоматическую установку патчей kpatch:

После установки плагина включите подписку на обновления ядра:

Kernel live patching в CentOS 7.7+

Kernel live patching также готово к работе в CentOS и RHEL 7.7 и выше, хотя kpatch-dnf недоступен. После установки kpatch вы должны вручную установить исправления ядра. Вот быстрый метод установки всех актуальных патчей ядра для текущего ядра:

Утилиты Kernel live patching

Между командами dnf и kpatch у вас есть очень хорошие утилиты для сбора информации о том, какие патчи установлены и для каких CVE имеются патчи.

Команда kpatch list отображает загруженные и установленные исправления ядра. Это очень полезно для аудита и отслеживания:

Хотя следующая команда не относится исключительно к исправлению ядра, ее полезно знать. Эта команда показывает список CVE, степень серьезности каждого из них и затронутый пакет (включая ядро):

С помощью некоторой фильтрации вы можете отобразить только то, что вас интересует:

Команда dnf update --security выполняет обновление dnf, но запускает только обновления, связанные с исправлениями безопасности, включая исправления ядра.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий