Livepatch:Linux内核更新,无需重新启动

如果您运行Linux服务器,软件修补是一项必须定期执行的任务。虽然大多数程序可以使用needrestart等工具自动重启,但有一个例外:内核。

如果我们可以在没有强制重启的情况下更新内核,那不是很好吗?这是livepatch,Linux内核的特性使它成为可能。让我们发现它是如何工作的,以及你是否可以在你的系统上使用它。

使用livepatch最大化正常运行时间

什么是实时内核修补?

实时内核修补是将安全补丁应用于正在运行的Linux内核而无需重新启动系统的过程。Linux的实现名为livepatch。修补实时内核的过程是一个相当复杂的过程。它可以与心脏直视手术进行比较。患者本身就是核心,需要精确和谨慎才能把事情做好。一个错误的举动,它是游戏结束。

实时修补的一个好处是能够推迟重新启动,直到可以完成计划的维护。这意味着可以最大化系统的可用性。另一个好处是安全更新不仅安装,而且立即生效。虽然实时修补有其自身的风险,但至少可以减轻已知的漏洞。

补丁程序的要求

要允许实时修补工作,需要满足几个要求。首先,内核本身需要支持livepatch。在4.x中添加了初始支持,因此您需要一个最新的内核。其次,您的系统需要一个客户端工具来检索内核补丁并加载它们。要允许加载内核补丁,需要将系统配置为允许加载内核模块。内核补丁通常由Linux发行版创建。它需要一些专业知识才能知道如何重定向指令集。

实时内核修补如何工作?

有三个功能可以在内核运行时对其进行修补:

  • Kernel probes(Kprobes)
  • Function tracing(Ftrace)
  • Livepatching(livepatch)

这些功能各有各的作用,并紧密配合。由于实时修补过程存在风险,因此每个都需要小心。责任将从一个传递到另一个,直到完整的补丁周期结束。

神圣的三位一体:Kprobes,Function Tracer和Livepatch

让我们来看看三个内核功能,使修补过程成为可能。

  • Kprobes
    Kprobes或内核探测器是一种内核功能,开发人员使用它来测量Linux内核并执行调试。Kprobes允许进入内核例程和许多代码地址。这称为断点,允许开发人员采取行动。这样的行动可能是运行一套新的指令。

  • Ftrace
    下一个功能名为Function Tracer或Ftrace。它是一个强大的框架,可以测量内核中的几个方面,如事件和中断。例如,它可以测量特定功能的延迟,例如写入磁盘。

  • Livepatch
    Livepatch是第三个组件。它也是内核的最新成员。使用自定义Ftrace处理程序,它可以重定向例程并跳转到一组修补的指令。

内核补丁创建

实时修补从制作补丁开始。这意味着需要更改特定的内核函数。可以使用像kpatch-build这样的工具来创建补丁。结果是一个内核模块,然后分发。加载此模块时,它确保使用特定系统调用的进程正在使用其修补版本。它类似于交通分流。

实时修补(Livepatch)实现的历史

虽然livepatch功能是允许实时修补的最后一个缺失链接,但是需要几年的开发才能达到这一点。内核修补的第一个工作实现是Ksplice。该项目是麻省理工学院大学研究的一部分。四名学生创建了Ksplice公司,以推广这项新技术。Ksplice(该公司)被Oracle收购,并作为他们自己的Linux发行版的单独服务出售。

2014年,Red Hat创建了kpatch并在GPLv2许可下发布了它。同年,SUSE宣布了kGraft。两种技术非常相似,但有一些细微差别。Red Hat的实现阻止内核应用实时修补,而kGraft执行延迟修补。在kGraft需要手动创建补丁的地方,kpatch允许手动和自动补丁创建。

商业产品

由于该功能需求量很大,因此大多数Linux发行版仅提供付费附加选项。像Ksplice,kpatch和kGraft这样的技术在供应商中具有商业价值。实时修补功能的典型用户愿意为此支付大量资金。虽然有一些例外,但大多数用户无法直接访问此技术。慢慢地这可能会改变,特别是现在livepatch登陆内核。

内核实时修补核心

落在Linux内核源代码树中的实现名为livepatch。它是kpatch和kGraft这两个世界中最好的。它被命名为Kernel Live Patch Core,因此适用于所有人。由于此功能现在是内核的组件之一,因此不再需要自定义修补程序。

哪些发行版目前支持实时修补?

此时,测试livepatch并不容易,因为并非所有内核都支持它,或者使用客户端工具来添加和应用补丁。周围有不同的技术,如kpatch,ksplice,kGraft和livepatch。以下是一些使用的技术及其状态的快速概述。

  • Arch Linux(livepatch,kpatch-git工具)
  • Debian(未知,也许是Debian 9?)
  • Gentoo(kpatch或ksplice)
  • Oracle Linux(ksplice)
  • 红帽企业Linux 7(kpatch或ksplice)
  • SUSE(kGraft)
  • Ubuntu 16.04及更高版本(livepatch)

如何检查内核是否支持livepatch?

要检查内核中是否支持livepatch,请检查是否 启用了 CONFIG_HAVE_LIVEPATCH设置。根据您的Linux发行版,有不同的方法可以检查此支持。

  • Arch Linux(嵌入式的多用)

zcat /proc/config.gz | grep LIVEPATCH

如果它已启用它将显示给您CONFIG_HAVE_LIVEPATCH=y。

  • Ubuntu
cat /boot/config-$(uname -r) | grep LIVEPATCH
  • 通过sysfs实现Livepatch状态
    如果启用了内核中的livepatch支持,那么还有另一种方法可以检查它。可以在伪文件系统sysfs中找到livepatch条目和修补程序。查找 /sys /kernel/livepatch 目录。
ls -ld /sys/kernel/livepatch

另一个选择是查看父内核目录以查看所有与内核相关的选项。

实时修补Linux内核

要启用实时修补,我们需要客户端来执行此任务。客户端具有如何操作特定内核的说明。如上所述,这是一项微妙的工作,因此无法普遍适用。因此,它是Linux发行版特定的。对于这篇博文,我们将使用Ubuntu 16.04(LTS)系统。客户端实用程序是商业的(由Canonical提供)。幸运的是,它们允许免费用户修补最多三个系统进行实时修补。在我们使用该软件之前,我们需要先创建一个令牌。

安装客户端

使用canonical-livepath(Ubuntu)

  • 第一步是使用snap 安装名为canonical-livepatch的livepatch实用程序。
sudo snap install canonical-livepatch

然后启用livepatch:

sudo canonical-livepatch enable [token]

你应该得到一个积极的回应,说“成功启用设备。使用机器令牌:[令牌]“。如果没有,请查看本文底部的常见问题。

现在已经安装了客户端工具,现在是时候使用它了。使用status命令运行它。

canonical-livepatch status
image.png

Linux内核完全修补了Ubuntu
您还可以使用-verbose选项查看有关任何已应用修补程序的更多信息。例如,涉及哪个CVE。

如何知道内核是否正确修补?

因此它表示它正在完成它的工作,因为它已完全修补。很好,但我们怎么知道?由于这是一个旧内核,我们知道有一些补丁可用。

1.使用livepatch目录

第一个选项是查看前面提到的目录/sys/kernel/livepatch并查看其中是否有任何条目。
因此它表示它正在完成它的工作,因为它已完全修补。很好,但我们怎么知道?由于这是一个旧内核,我们知道有一些补丁可用。早期引用的目录 /sys/kernel/livepatch有答案。

image.png

我们可以看到应用了补丁。它具有相同的内核版本。目录名称中的最后一个数字是指canonical-livepatch输出中显示的版本号。

2.使用污点标志
另一种知道内核已被修补的方法是通过/proc/sys/kernel/tainted检查内核是否“被污染”(值大于零)。这告诉调试器和其他工具内核已被更改或调整。

cat /proc/sys/kernel/tainted

要获取更多有关内核污染的信息,请使用dmesg 命令。

dmesg -T | grep tainted

我们可以使用相同的命令来查看有关livepatch和相关详细信息的更多信息。有趣的是,它显示我们的测试期间验证失败。

Livepatch:Linux内核更新,无需重新启动_第1张图片
image.png

Livepatch警告

如果您的系统经过良好加固并禁用加载内核模块,那么livepatch将无法运行。这是因为加载了内核模块以应用修补。

image.png

要确定您的内核是否允许加载模块,请查看文件/proc/sys/kernel/modules_disabled。

cat /proc/sys/kernel/modules_disabled

如果这给你一个'1',那么就无法加载内核模块而且livepatch将无法工作。

对livepatch错误进行故障排除

与守护程序的连接失败(Ubuntu)

$ canonical-livepatch
2016/10/19 17:01:26执行启用时出错。
与守护程序的连接失败:获取http://127.0.0.1/enable:拨打unix /var/snap/canonical->livepatch/15/livepatchd.sock:connect:没有这样的文件或目录

此问题很可能是因为您的snapd软件包已过时而导致的。首先升级它sudo apt install snapd。

命令未找到(Ubuntu)

sudo:canonical-livepatch:找不到命令

很可能用于快照的二进制目录不在您定义的PATH变量中。解决方法是指工具的完整路径(/ snap / bin / canonical-livepatch)。

相关读物

有兴趣了解有关实时修补的更多信息吗?这里有一些很好的资源:

  • Linux内核文档
  • Canonical livepatch服务(由Dustin Kirkland提供)
  • Kpatch
  • LWN关于内核实时修补的文章

有兴趣了解有关内核及其功能的更多信息吗?我们正在开展一个项目,让他们列出我们的Linux安全功能页面。

喜欢这篇文章并喜欢做一些回报吗?与他人分享,以便更多人阅读。快乐补丁!

原文:

https://linux-audit.com/livepatch-linux-kernel-updates-without-rebooting/

你可能感兴趣的:(Livepatch:Linux内核更新,无需重新启动)