AndreiYemelianov Dec 8 2016 at 11:02

Как пропатчить ядро без перезагрузки: livepatch, kpatch и Canonical Livepatch Service

7 min

17K

Selectel corporate blog*nix*

Tutorial

+16

Comments 4

acmnu Dec 8 2016 at 18:51

А сервисы и init при этом не рестартуются? А то на ранних версиях этих технологий так вроде и было.

Erelecano Dec 9 2016 at 11:51

Вы путаете технологии.
Есть kexec дающий возможность быстрой перезагрузки через обновление ядра в памяти, без задействования фазы с участием BIOS.
И есть kpatch позволяющий патчить ядро «налету» для исправления уязвимостей в уже загруженном ядре.

mkevac Dec 11 2016 at 14:19

Как оно работает в двух словах?

Erelecano Dec 13 2016 at 16:20

Подгружаются модули исправляющие проблемы, загруженные модули берут работу с необходимыми функциями на себя, вместо старого уязвимого кода.
Пока обкатываю каноникаловский вариант на своем личном сервере, очень доволен тем, что без ребутов проблемы в ядре исправлены.

Вот сейчас могу созерцать исправленные уязвимости без ребута по:
* CVE-2016-5195
* CVE-2016-6828
* CVE-2016-7039
* CVE-2016-7425
* CVE-2016-8655
* CVE-2016-8658
* CVE-2016-8666