A livepatching tulajdonképpen nem más, mint a meglevő live kernelpatchelési technológiák alapján implementált core funkcionalitás. Az alapfunkciók már működnek, azokat áttekintette és jóváhagyta mint a Red Hat kpatch, mind a SUSE kGraft csapata, akik megegyeztek abban, hogy a beolvasztásra váró livepatching lesz a további fejlesztéseik közös alapja. Vagyis a két csapat ahelyett, hogy külön utakat járna, összedolgozik.
Hogy mikor kerülhet a munka eredménye a mainline kernelbe? Várhatóan a 3.20-as kernel beolvasztási időablaka alatt küldenek majd egy pull request-et Linusnak, arra kérve őt, hogy olvassza be a munkát a mainline kernelbe.
Részletek itt.
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Ezt nagyon tudnám értékelni.
- A hozzászóláshoz be kell jelentkezni
Ez a rootkitek dolgát is megkönnyítheti sajnos.
- A hozzászóláshoz be kell jelentkezni
Van arra számszerű adat, hogy a ksplice mennyire könnyítette meg?
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
Jaj, már látom mi lesz ebből...
systemd-livepatchd
---
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
Kifejtenéd?
Vigyázat, sci-fi következik:
Mondjuk simán el tudom képzelni a helyzetet, hogy /etc/systemd/kernpatch könyvtárba el lehetne helyezni boot után feltöltődő patch-eket. Így gyorsabban & hatékonyabban lehetne patch-elni. Elég lenne csak az adott foltot betenni az említett könyvtárba, service systemd-livepatchd reload és kész. :)
Egy -ck patchset integrálása 1 perc lenne az Ubuntu kernelbe. Egy rakat időt meg lehetne spórolni, ha a forrás letölt -> patch -> konfigurál -> fordít útvonalat nem kell bejárni. :)
- A hozzászóláshoz be kell jelentkezni
Szép amit leírtál. Pont olyan, mintha nem is systemd lenne.
De a (k)dbus kimaradt folyamatból. Komolyan el tudod képzelni nélküle? :)
Meg a livepatchctl is (lehet, hogy a nevet nem pontosan találom el, de biztos lehetsz benne, hogy lesz).
Meg a PolicyKit is (igen, arra is fogadni mernék, hogy erre megint bevezetnek egy saját jogosultságkezelési megoldást, hogy desktopról, jelszó beírás nélkül, mezei user, 1-click patchelgethessen kernelt. Hogy aztán utána valami wannabe security researcher verhesse a mellét, mikor rájön a nyilvánvalóra, hogy ez így gáz.)
Ja és persze a livepatchctl-el lehetőleg remote rendszerhez is lehessen kapcsolódni. És - hogyhogy csak most jutott eszembe?! :) - avahi-daemon-ra is legyen függősége, hogy automatikusan fel tudja deríteni a hálózaton a patchelni való rendszereket, illetve a rendszerek maguktól automatikusan derítsék ki, ha patchet kell felvenniük valamelyik szomszédos gépről. Na jó ez az utolsó már talán kicsit far-fetched, de nem mernék rá fogadást kötni, hogy nem valósul meg.
És persze minden, amit írtam - a szokásokhoz híven - hard függőség legyen, hogy lehetőleg Ádámtól és Évától kezdve mindent újra kelljen fordítanod, ha történetesen egy rendszeren le akarnád ezt tiltani.
Ijesztően hangzik?
---
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
Mit ne mondjak, elég sötét jövőt vázolsz, nagyon remélem hogy csak az ünnepek utáni depresszió (angol tudósok kimutatták), és nem a látnok szól belőled. :)
Apropó KDBus.. azon keresztül lehet majd feltölteni a javításokat!4!
- A hozzászóláshoz be kell jelentkezni
Nem, ezt sajnos a mindennapi szopás mondatja velem, amikor security hardenninget kell csinálni olyan rendszeren, ahova már betette a lábát ez a borzalom.
---
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
én is ettől félek :(
--
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/
- A hozzászóláshoz be kell jelentkezni
Elég lenne csak beletenni az adott könyvtárba bármit (rootkit, whatever), aztán gyía!
Faßa lenne.
- A hozzászóláshoz be kell jelentkezni
Ez semmi, elég egy
chmod +s /bin/bash
és onnan bármit lehet. Én azt mondom ennyit a Linuxról!!4!
:)
- A hozzászóláshoz be kell jelentkezni
Viccen kívül, nem az van, hogy a PID 1 miatt a systemd-t nem lehet újraindítani? A mérete miatt meg nagyobb a támadási felülete is. Tehát még akár szükség is lehet ilyenre...
- A hozzászóláshoz be kell jelentkezni
Én amúgy a másik feléről beszéltem, hogy a Lennart "gondnoksága" alá veszi a kernel patchelés teljes folyamatát, és ránöveszti az egész nyomorult systemd-s és freedesktop.org-os ökoszisztémát.
De amit te írsz az sem kizárható.
---
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
systemctl daemon-reexec tud "ujrainditast"
- A hozzászóláshoz be kell jelentkezni
Roviden valaki ossze tudna foglalni mi a kulonbseg a jelenleg hasznalatos megoldasok kozott mukodesben es funkcionalitasban?
- A hozzászóláshoz be kell jelentkezni
Igen. Pl. ezek valószínűleg belekerülnek a mainline kernelbe. A Ksplice pedig nem került bele.
Szerintem a többi infó csak akkor releváns, ha amúgy is ismered a témát.
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
>A livepatching-től számtalanszor volt már szó
igen, és még egyáltalán nem is unalmas
- A hozzászóláshoz be kell jelentkezni
Ez egy unalmas portál. Te is mindig visszatérsz.
- A hozzászóláshoz be kell jelentkezni