Úton van a livepatching szolgáltatás a mainline kernelbe

Kernel

A livepatching-től számtalanszor volt már szó a HUP-on az Oracle-ös Ksplice/Uptrack, a Red Hat-os kpatch és a SUSE-s kGraft kapcsán. Ezek lényege, hogy segítségükkel reboot nélkül, futás közben lehet a Linux kernelt patchelni. A SUSE Labs alkalmazásában álló Jiri Kosina nemrég levelet küldött az LKML-re, amelyben arról írt, hogy kéri a livepatching "for-next" ágának beolvasztását a linux-next fába.

A livepatching tulajdonképpen nem más, mint a meglevő live kernelpatchelési technológiák alapján implementált core funkcionalitás. Az alapfunkciók már működnek, azokat áttekintette és jóváhagyta mint a Red Hat kpatch, mind a SUSE kGraft csapata, akik megegyeztek abban, hogy a beolvasztásra váró livepatching lesz a további fejlesztéseik közös alapja. Vagyis a két csapat ahelyett, hogy külön utakat járna, összedolgozik.

Hogy mikor kerülhet a munka eredménye a mainline kernelbe? Várhatóan a 3.20-as kernel beolvasztási időablaka alatt küldenek majd egy pull request-et Linusnak, arra kérve őt, hogy olvassza be a munkát a mainline kernelbe.

Részletek itt.

( joco01 v | 2014. 12. 27., szo – 11:37 )

Ez a rootkitek dolgát is megkönnyítheti sajnos.

--

( XMI | 2014. 12. 27., szo – 13:06 )

Jaj, már látom mi lesz ebből...

systemd-livepatchd
---
Régóta vágyok én, az androidok mezonkincsére már!

Kifejtenéd?

Vigyázat, sci-fi következik:
Mondjuk simán el tudom képzelni a helyzetet, hogy /etc/systemd/kernpatch könyvtárba el lehetne helyezni boot után feltöltődő patch-eket. Így gyorsabban & hatékonyabban lehetne patch-elni. Elég lenne csak az adott foltot betenni az említett könyvtárba, service systemd-livepatchd reload és kész. :)
Egy -ck patchset integrálása 1 perc lenne az Ubuntu kernelbe. Egy rakat időt meg lehetne spórolni, ha a forrás letölt -> patch -> konfigurál -> fordít útvonalat nem kell bejárni. :)

Szép amit leírtál. Pont olyan, mintha nem is systemd lenne.

De a (k)dbus kimaradt folyamatból. Komolyan el tudod képzelni nélküle? :)

Meg a livepatchctl is (lehet, hogy a nevet nem pontosan találom el, de biztos lehetsz benne, hogy lesz).

Meg a PolicyKit is (igen, arra is fogadni mernék, hogy erre megint bevezetnek egy saját jogosultságkezelési megoldást, hogy desktopról, jelszó beírás nélkül, mezei user, 1-click patchelgethessen kernelt. Hogy aztán utána valami wannabe security researcher verhesse a mellét, mikor rájön a nyilvánvalóra, hogy ez így gáz.)

Ja és persze a livepatchctl-el lehetőleg remote rendszerhez is lehessen kapcsolódni. És - hogyhogy csak most jutott eszembe?! :) - avahi-daemon-ra is legyen függősége, hogy automatikusan fel tudja deríteni a hálózaton a patchelni való rendszereket, illetve a rendszerek maguktól automatikusan derítsék ki, ha patchet kell felvenniük valamelyik szomszédos gépről. Na jó ez az utolsó már talán kicsit far-fetched, de nem mernék rá fogadást kötni, hogy nem valósul meg.

És persze minden, amit írtam - a szokásokhoz híven - hard függőség legyen, hogy lehetőleg Ádámtól és Évától kezdve mindent újra kelljen fordítanod, ha történetesen egy rendszeren le akarnád ezt tiltani.

Ijesztően hangzik?
---
Régóta vágyok én, az androidok mezonkincsére már!

Én amúgy a másik feléről beszéltem, hogy a Lennart "gondnoksága" alá veszi a kernel patchelés teljes folyamatát, és ránöveszti az egész nyomorult systemd-s és freedesktop.org-os ökoszisztémát.

De amit te írsz az sem kizárható.
---
Régóta vágyok én, az androidok mezonkincsére már!

( blackluck v | 2014. 12. 27., szo – 18:32 )

Roviden valaki ossze tudna foglalni mi a kulonbseg a jelenleg hasznalatos megoldasok kozott mukodesben es funkcionalitasban?

Igen. Pl. ezek valószínűleg belekerülnek a mainline kernelbe. A Ksplice pedig nem került bele.
Szerintem a többi infó csak akkor releváns, ha amúgy is ismered a témát.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

( gmoore | 2014. 12. 27., szo – 20:10 )

>A livepatching-től számtalanszor volt már szó

igen, és még egyáltalán nem is unalmas