Címlap

Ksplice: a Linux kernel patch-elése működés közben, reboot nélkül

 ( trey | 2008. április 24., csütörtök - 20:26 )

A MIT berkeiből származó Ksplice segítségével az adminisztrátorok alkalmazhatják a biztonsági javításokat a Linux kernelen annak futása közben úgy, hogy szükségtelenné válik az újraindítás. A Ksplice használatához nincs szükség a kernel előzetes speciális preparálására. A Ksplice bizonyos megfontolásokból úgy van tervezve, hogy csak olyan változtatásokat fogad el, amelyek nem változtatják meg jelentős mértékben az adatszerkezeteket. Szerencsére a legtöbb biztonsági patch nem hoz ilyen változtatásokat. A 2005 májusa és 2007 decembere közt napvilágot látott 50 fontosabb biztonsági javítás 84%-a automatikusan alkalmazható a Ksplice segítségével menet közben.

A Ksplice elérhető 32 bites és 64 bites x86 rendszerekhez. A használata előtt azt mindenképpen figyelembe kell venni, hogy a szoftver meglehetősen új, nem kizárt, hogy olyan bugokat tartalmaz, amelyek komolyabb problémákat okozhatnak. A Ksplice szabad szoftver, a GPLv2 feltételei szerint terjeszthető.

A menet közbeni patch-eléshez a Ksplice-on kívül szükség van a természetesen a forrásszintű változtatásra (unified diff), a futó kernel kernelkonfig állományára (.config), a System.map-jére és teljes forrására. A projekt weboldalán egy egyszerű példán keresztül mutatják be a készítők a Ksplice használatát.

Néhány jellemző:

  • működik a legtöbb 2.6-os Linux kernellel
  • működik a legtöbb kernelkonfigurációval
  • legjobban akkor működik, ha a kernel fordításához használt fordítóprogrammal, linker-rel használjuk (működik különbözővel is, de automatikusan megszakítja a patch-elési folyamatot, ha az szükséges (túl nagy az eltérés))
  • tesztelve a 2.6.8-as kerneltől a 2.6.25-ig
  • tesztelve Debian, Ubuntu, RHEL, Gentoo terjesztéseken

Referenciák:
Bejelentés az LKML-en
A Ksplice honlapja
Technikai áttekintés a szerzőtől, Jeff Arnold-tól

 »
  • A hozzászóláshoz belépés szükséges
  • 5833 olvasás

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.
 ( simca | 2008. április 24., csütörtök - 21:00 )

Azta, amiga rulez or what? :)

--
"There are two kinds of people in this world, and you're not one of them."

 ( apal | 2008. április 24., csütörtök - 21:15 )

Mokas, legutobb mikor erre szukseg lett volna, akkor a vmsplice() hivas korul volt a difi...:] Olyan 170 nap korul jart akkor ma'r az uptime...

A masik, ami erdekes/hasznos lenne, hogy a disztrok a kernel sec fixeket opcionalisan ilyforma'n is szallithana'k.

 ( trey | 2008. április 24., csütörtök - 21:18 )

Bármi lehet még belőle. A fogadtatás kedvezőnek látszik. Andi Kleen javasolta Jeff Arnold-nak, hogy fontolja meg a beküldését a mainline kernelhez, hogy szélesebb körben lehessen tesztelni.

--
trey @ gépház

 ( biboka | 2008. április 24., csütörtök - 21:22 )

Ügyes, főleg LTS os-eknél, szervereken jól jöhet. Már csak az kéne, hogy a csomagkezelők is tudják ezen keresztül alkalmazni a frissítéseket, habár ez már annyira nem nagy cucc, simán lefuttat egy scriptet.

 ( sibike | 2008. április 24., csütörtök - 21:27 )

rollback?

 ( Pitta | 2008. április 24., csütörtök - 21:45 )

miutan a teszt rendszeren kiprobaltad es mukodott akkor minek?

sec hole fixhez rollback?

http://weho.st

 ( sibike | 2008. április 25., péntek - 8:51 )

Mondjuk mégsem működik, kvázi kijátszható a patch. Ezt nem veszed észre a tesztrendszeren.

 ( eax | 2008. április 24., csütörtök - 22:28 )

Ez egy mezei kernelmodul, tehat az szabvany cleanup callback elvileg felhasznalhato arra, hogy visszaallitsa az eredeti allapotot, ha valakinek epp ez a szive vagya.
Gyakorlatilag meg nem neztem.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

 ( tompos | 2008. április 25., péntek - 12:54 )

Miert jobb LTS-nel, mint barmi masnal?

tompos

 ( siposa | 2008. április 24., csütörtök - 23:09 )

Csomagkezelők is megoldhatnák, hogy csak bináris patch-eket kelljen letölteniük...

 ( Dwokfur | 2008. április 25., péntek - 4:47 )

Nesze neked monolithic kernel! Ehhez mit szólna Tannenbaum?

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

 ( hnsz2002 | 2008. április 25., péntek - 8:22 )

"Ha a tanítványom lennél, simán megbuktatnálak. Futó kernelbe belenyúlni a legnagyobb őrültség!" :D
--
Discover It - Have a lot of fun!

 ( micsa | 2008. április 25., péntek - 6:51 )

azok a régi szép idők, amikor win9xen egy IPt sem lehetett beállítani reboot nélkül...

 ( hnsz2002 | 2008. április 25., péntek - 8:23 )

2k sem feltétlen fogta fel mindig az új ip-t, még akkor sem, ha mindenhol az új ip-t írta... :)
--
Discover It - Have a lot of fun!

 ( pinyo_villany | 2008. április 25., péntek - 16:33 )

azonban ha ebben az eszközben lesz security-leak, akkor meg belegondolni is rossz .. :)

debian gnu/linux @ linux-2.6.22.22-op1-rc1 | patch
info

 ( trey | 2008. április 25., péntek - 16:45 )

Mennyivel lesz másabb, mint a "security leak" mondjuk a grsec-ben vagy a hasonló eszközökben vagy netán magában a Linux kernelben?

--
trey @ gépház

 ( pinyo_villany | 2008. április 25., péntek - 18:05 )

max annyival, hogy itt nem csak egy syscall-t írányítanak át, hanem kicsit mélyebben meg tudják patchelni a bináris kernelt, és ezt még annyira könnyen észre sem veszed, nem tudod ellenőrizni a kernel épségét. de lehet, hogy én tudom rosszul

debian gnu/linux @ linux-2.6.22.22-op1-rc1 | patch
info

 ( trey | 2008. április 25., péntek - 18:13 )

".. nem hogy még egy eset, hanem mégveszélyesebb!" :))

Benne van a FAQ-jában:

Q: Mi lesz a rosszfiúk ezt rossz dolgokra használják?
A: A rosszfiúk már régen birtokában vannak annak a tudásnak, hogy ezt hogyan lehet megcsinálni.

Q: Doesn't Ksplice help bad guys introduce non-GPL code in the kernel and/or create malware?
A: The bad guys already know how to accomplish their goals using ad hoc kernel inspection and modification techniques"

Szóval ez nekik többet / újat nem fog nyújtani, az ellenük dolgozóknak talán igen.

--
trey @ gépház

 ( pinyo_villany | 2008. április 25., péntek - 20:16 )

meggyőztél

debian gnu/linux @ linux-2.6.22.22-op1-rc1 | patch
info

 ( eax | 2008. április 25., péntek - 20:46 )

Ezt a ksplice nelkul, egy sima modul betoltesevel is meg tudod tenni (pontosan igy mukodnek az LKM rootkitek).

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

 ( Hunger | 2008. április 25., péntek - 21:34 )

Vagy akár kernel modul támogatás nélkül is a /dev/kmem on-the-fly patchelésével... ;)

 ( pinyo_villany | 2008. április 25., péntek - 21:39 )

arrol a verziorol tudtam :) de modulszinten nem melyultem el a kernelben (nem hasznalok modulokat..., minden in kernel)

debian gnu/linux @ linux-2.6.22.22-op1-rc1 | patch
info

 ( eax | 2008. április 25., péntek - 22:46 )

Azt mar egy ideje nem lehet irni (legalabbis amikor a legutobb probaltam, nem lehetett).

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

 ( pinyo_villany | 2008. április 25., péntek - 22:48 )

crw-r----- 1 root kmem 1, 2 2008-04-25 19:06 /dev/kmem
crw-r----- 1 root kmem 1, 1 2008-04-25 19:06 /dev/mem

debian gnu/linux @ linux-2.6.22.22-op1-rc1 | patch
info

 ( eax | 2008. április 26., szombat - 3:05 )

Nem az access controll fogna meg, hanem maga a driver tolna vissza -EPERM-et, mint ahogy ezt a grsec is teszi.
Viszont beleneztem a kodba, es vanilla kernelben tenyleg nem sok dolog van, ami sikitana erte (ugy tunik, anno valami hackelt disztro-kernelen probaltam, csak nem tunt fel).

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

 ( apal | 2008. április 26., szombat - 18:45 )

man 4 mem:

DESCRIPTION
       mem  is  a character device file that is an image of the main memory of
       the computer.  It may be used, for example, to examine (and even patch)
       the system.

Erdekes, azert durva lehet ha valaki ide irogat :]

 ( turul16 | 2008. április 26., szombat - 19:22 )

En egyszer irtam ide :)
Bevaltottam megabitesre egy soros portot egy ARM -on.