kpatch
kpatch es una característica del núcleo Linux que implementa la aplicación de parches en vivo de un kernel en ejecución, lo que permite que los parches del kernel se apliquen mientras el kernel aún se está ejecutando. Al evitar la necesidad de reiniciar el sistema con un nuevo kernel que contiene los parches deseados, kpatch apunta a maximizar el tiempo de actividad y disponibilidad del sistema. Al mismo tiempo, kpatch permite que las actualizaciones de seguridad relacionadas con el kernel se apliquen sin diferirlas a los tiempos de inactividad programados.[1][2] Internamente, kpatch permite que se reemplacen funciones completas en un kernel en ejecución con sus versiones parcheadas, haciendo esto de forma segura al detener todos los procesos en ejecución mientras se realiza la aplicación de parches en vivo.[3]
Kpatch | ||
---|---|---|
Información general | ||
Tipo de programa | software libre | |
Desarrollador | Red Hat | |
Licencia | GNU General Public License | |
Información técnica | ||
Programado en | C | |
Versiones | ||
Última versión estable | 0.9.928 de julio de 2023 | |
Enlaces | ||
kpatch es desarrollado por Red Hat, con su código fuente bajo los términos de la Licencia Pública General de GNU versión 2 (GPLv2).[1] En mayo de 2014, se envió kpatch para su inclusión en la línea principal del núcleo Linux,[4] y los fundamentos minimalistas para la aplicación de parches en vivo se fusionaron en la línea principal del núcleo Linux en la versión 4.0 del kernel, que se publicó el 12 de abril de 2015.[5]
Internos
editarInternamente, kpatch consta de dos partes: el módulo ejecuta el mecanismo de parcheo en vivo al alterar el funcionamiento interno del kernel, mientras que un conjunto de utilidades de espacio de usuario prepara módulos individuales de kernel desde fuentes diferentes y administra su aplicación. El parcheo en vivo del kernel se realiza a nivel de función, lo que significa que kpatch puede reemplazar funciones enteras en el kernel en ejecución con sus versiones parcheadas utilizando la infraestructura proporcionada por ftrace()
para "enrutar" versiones antiguas de funciones. De esta manera, los parches también se pueden deshacer fácilmente. No es posible realizar cambios en las estructuras de datos internas del kernel; sin embargo, los parches de seguridad, que son uno de los candidatos naturales para ser utilizados con kpatch, rara vez contienen cambios en las estructuras de datos del kernel.[3][4][6]
kpatch garantiza que los parches activos se apliquen de forma atómica y segura deteniendo todos los procesos en ejecución mientras se aplica el parche activo, y asegurando que ninguno de los procesos detenidos se ejecute dentro de las funciones que se van a parchear. Este enfoque simplifica todo el mecanismo de parcheo en vivo y previene ciertos problemas asociados con la forma en que las versiones originales y parcheadas de las funciones utilizan las estructuras de datos. Como inconveniente, este enfoque también deja la posibilidad de que falle un parche activo, e introduce una pequeña cantidad de latencia necesaria para detener todos los procesos en ejecución.[3][4][6]
Historia
editarRed Hat anunció y lanzó públicamente kpatch en febrero de 2014 bajo los términos de la versión de Licencia Pública General de GNU versión 2 (GPLv2),[1] poco antes de que SUSE lanzara su propia implementación de parches en vivo del kernel llamada kGraft.[7] kpatch se fusionó con la línea principal del núcleo Linux y se presentó para su inclusión en mayo de 2014.[4][8]
kpatch ha sido incluido en Red Hat Enterprise Linux 7.0, lanzado el 10 de junio de 2014, como una vista previa de la tecnología.[9][10]
Fundamentos minimalistas para la aplicación del parche en vivo del kernel se fusionaron en la línea principal del núcleo Linux en la versión del kernel 4.0, que se lanzó el 12 de abril de 2015. Esos fundamentos, basados principalmente en la funcionalidad ftrace del kernel, forman un núcleo común capaz de soportar parches en vivo tanto por kpatch como por kGraft, al proporcionar una interfaz de programación de aplicaciones (API) para módulos de kernel que contienen parches y una interfaz binaria de aplicaciones (ABI). para las utilidades de gestión del espacio de usuario. Sin embargo, el núcleo común incluido en el núcleo Linux 4.0 solo es compatible con la arquitectura x86 y no proporciona ningún mecanismo para garantizar la coherencia a nivel de la función mientras se aplican los parches activos.[5][11][12]
Desde abril de 2015, hay trabajos en portar kpatch al núcleo común de parches en vivo proporcionada por la línea principal del núcleo Linux.[12] Sin embargo, la implementación de los mecanismos de coherencia de nivel de función requeridos se ha retrasado porque las pilas de llamadas proporcionadas por el núcleo Linux pueden ser poco confiables en situaciones que involucran código de ensamblaje sin marcos de pila adecuados; como resultado, el trabajo de portabilidad continúa en curso a septiembre de 2015.[cita requerida] En un intento por mejorar la confiabilidad de las pilas de llamadas del kernel, una verificación de sanidad especializada llamada stacktool también ha sido desarrollada.[13][14]
Véase también
editar- Portal:Linux. Contenido relacionado con Linux.
Referencias
editar- ↑ a b c Josh Poimboeuf. «Introducing kpatch: Dynamic Kernel Patching». redhat.com.
- ↑ Sean Michael Kerner. «Linux Kernel Patching Gets Dynamic». ServerWatch.
- ↑ a b c Jonathan Corbet. «The first kpatch submission». LWN.net.
- ↑ a b c d Josh Poimboeuf. «kpatch: dynamic kernel patching». LWN.net.
- ↑ a b «Linux kernel 4.0, Section 1.2. Live patching». kernelnewbies.org.
- ↑ a b c Seth Jennings. «Dynamic Kernel Patching». Red Hat.
- ↑ «SUSE Releases kGraft for Live Patching of Linux Kernel». SUSE.
- ↑ Michael Larabel. «SUSE Posts kGraft, Red Hat Posts Kpatch Patches». Phoronix.
- ↑ «Red Hat Enterprise Linux 7.0 Release Notes, Chapter 5. Kernel». Red Hat.
- ↑ Carlos Sanchez. «Red Hat Releases Red Hat Enterprise Linux 7 with Increased Linux Containers Support». infoq.com.
- ↑ Jonathan Corbet. «A rough patch for live patching». LWN.net.
- ↑ a b «Linux kernel source tree: kernel/git/torvalds/linux.git: Pull live patching infrastructure from Jiri Kosina». kernel.org.
- ↑ Jonathan Corbet. «Compile-time stack validation». LWN.net.
- ↑ Josh Poimboeuf. «Linux kernel documentation: Documentation/stack-validation.txt (from the v13 patch)». LWN.net.