A menet közbeni patch-eléshez a Ksplice-on kívül szükség van a természetesen a forrásszintű változtatásra (unified diff), a futó kernel kernelkonfig állományára (.config), a System.map-jére és teljes forrására. A projekt weboldalán egy egyszerű példán keresztül mutatják be a készítők a Ksplice használatát.
Néhány jellemző:
- működik a legtöbb 2.6-os Linux kernellel
- működik a legtöbb kernelkonfigurációval
- legjobban akkor működik, ha a kernel fordításához használt fordítóprogrammal, linker-rel használjuk (működik különbözővel is, de automatikusan megszakítja a patch-elési folyamatot, ha az szükséges (túl nagy az eltérés))
- tesztelve a 2.6.8-as kerneltől a 2.6.25-ig
- tesztelve Debian, Ubuntu, RHEL, Gentoo terjesztéseken
Referenciák:
Bejelentés az LKML-en
A Ksplice honlapja
Technikai áttekintés a szerzőtől, Jeff Arnold-tól
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Azta, amiga rulez or what? :)
--
"There are two kinds of people in this world, and you're not one of them."
- A hozzászóláshoz be kell jelentkezni
Mokas, legutobb mikor erre szukseg lett volna, akkor a vmsplice() hivas korul volt a difi...:] Olyan 170 nap korul jart akkor ma'r az uptime...
A masik, ami erdekes/hasznos lenne, hogy a disztrok a kernel sec fixeket opcionalisan ilyforma'n is szallithana'k.
- A hozzászóláshoz be kell jelentkezni
Bármi lehet még belőle. A fogadtatás kedvezőnek látszik. Andi Kleen javasolta Jeff Arnold-nak, hogy fontolja meg a beküldését a mainline kernelhez, hogy szélesebb körben lehessen tesztelni.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ügyes, főleg LTS os-eknél, szervereken jól jöhet. Már csak az kéne, hogy a csomagkezelők is tudják ezen keresztül alkalmazni a frissítéseket, habár ez már annyira nem nagy cucc, simán lefuttat egy scriptet.
- A hozzászóláshoz be kell jelentkezni
rollback?
- A hozzászóláshoz be kell jelentkezni
miutan a teszt rendszeren kiprobaltad es mukodott akkor minek?
sec hole fixhez rollback?
- A hozzászóláshoz be kell jelentkezni
Mondjuk mégsem működik, kvázi kijátszható a patch. Ezt nem veszed észre a tesztrendszeren.
- A hozzászóláshoz be kell jelentkezni
Ez egy mezei kernelmodul, tehat az szabvany cleanup callback elvileg felhasznalhato arra, hogy visszaallitsa az eredeti allapotot, ha valakinek epp ez a szive vagya.
Gyakorlatilag meg nem neztem.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Miert jobb LTS-nel, mint barmi masnal?
tompos
- A hozzászóláshoz be kell jelentkezni
Csomagkezelők is megoldhatnák, hogy csak bináris patch-eket kelljen letölteniük...
- A hozzászóláshoz be kell jelentkezni
Nesze neked monolithic kernel! Ehhez mit szólna Tannenbaum?
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
"Ha a tanítványom lennél, simán megbuktatnálak. Futó kernelbe belenyúlni a legnagyobb őrültség!" :D
--
Discover It - Have a lot of fun!
- A hozzászóláshoz be kell jelentkezni
azok a régi szép idők, amikor win9xen egy IPt sem lehetett beállítani reboot nélkül...
- A hozzászóláshoz be kell jelentkezni
2k sem feltétlen fogta fel mindig az új ip-t, még akkor sem, ha mindenhol az új ip-t írta... :)
--
Discover It - Have a lot of fun!
- A hozzászóláshoz be kell jelentkezni
azonban ha ebben az eszközben lesz security-leak, akkor meg belegondolni is rossz .. :)
debian gnu/linux @ linux-2.6.22.22-op1-rc1 | patch
info
- A hozzászóláshoz be kell jelentkezni
Mennyivel lesz másabb, mint a "security leak" mondjuk a grsec-ben vagy a hasonló eszközökben vagy netán magában a Linux kernelben?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
max annyival, hogy itt nem csak egy syscall-t írányítanak át, hanem kicsit mélyebben meg tudják patchelni a bináris kernelt, és ezt még annyira könnyen észre sem veszed, nem tudod ellenőrizni a kernel épségét. de lehet, hogy én tudom rosszul
debian gnu/linux @ linux-2.6.22.22-op1-rc1 | patch
info
- A hozzászóláshoz be kell jelentkezni
".. nem hogy még egy eset, hanem mégveszélyesebb!" :))
Benne van a FAQ-jában:
Q: Mi lesz a rosszfiúk ezt rossz dolgokra használják?
A: A rosszfiúk már régen birtokában vannak annak a tudásnak, hogy ezt hogyan lehet megcsinálni.
Q: Doesn't Ksplice help bad guys introduce non-GPL code in the kernel and/or create malware?
A: The bad guys already know how to accomplish their goals using ad hoc kernel inspection and modification techniques"
Szóval ez nekik többet / újat nem fog nyújtani, az ellenük dolgozóknak talán igen.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
meggyőztél
debian gnu/linux @ linux-2.6.22.22-op1-rc1 | patch
info
- A hozzászóláshoz be kell jelentkezni
Ezt a ksplice nelkul, egy sima modul betoltesevel is meg tudod tenni (pontosan igy mukodnek az LKM rootkitek).
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Vagy akár kernel modul támogatás nélkül is a /dev/kmem on-the-fly patchelésével... ;)
- A hozzászóláshoz be kell jelentkezni
arrol a verziorol tudtam :) de modulszinten nem melyultem el a kernelben (nem hasznalok modulokat..., minden in kernel)
debian gnu/linux @ linux-2.6.22.22-op1-rc1 | patch
info
- A hozzászóláshoz be kell jelentkezni
Azt mar egy ideje nem lehet irni (legalabbis amikor a legutobb probaltam, nem lehetett).
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
crw-r----- 1 root kmem 1, 2 2008-04-25 19:06 /dev/kmem
crw-r----- 1 root kmem 1, 1 2008-04-25 19:06 /dev/mem
debian gnu/linux @ linux-2.6.22.22-op1-rc1 | patch
info
- A hozzászóláshoz be kell jelentkezni
Nem az access controll fogna meg, hanem maga a driver tolna vissza -EPERM-et, mint ahogy ezt a grsec is teszi.
Viszont beleneztem a kodba, es vanilla kernelben tenyleg nem sok dolog van, ami sikitana erte (ugy tunik, anno valami hackelt disztro-kernelen probaltam, csak nem tunt fel).
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
man 4 mem
:
DESCRIPTION
mem is a character device file that is an image of the main memory of
the computer. It may be used, for example, to examine (and even patch)
the system.
Erdekes, azert durva lehet ha valaki ide irogat :]
- A hozzászóláshoz be kell jelentkezni
En egyszer irtam ide :)
Bevaltottam megabitesre egy soros portot egy ARM -on.
- A hozzászóláshoz be kell jelentkezni