Názory k článku Záplatování jádra za běhu: kGraft to zvládne bez výpadku

> Linuxový server se musí kvůli software restartovat v jediném případě: když je potřeba vyměnit jádro.

Neni pravda. Glibc, PAM, OpenSSL, atd atd.

Patchovani jadra za behu je fajn, ale dneska se malokdy patchuje jenom jadro.

Jinak dik za info, je fajn vedet, ze na tom porad nekdo dela...

Taky mi prisla vami citovana veta jako zavadejici, az jsem byl prekvapen, ze to napsal Petr Krcmaqr :).

Taky mi prisla vami citovana veta jako zavadejici, az jsem byl prekvapen, ze to napsal Petr Krcmar :).

openSSL ? proc ? PAM +- to same proc ? glibc to se da taky za behu. Ve skutecnosti jedina vec co nejde prehodit za behu je DBUS a jadro

Proc by mel nekdo restartovat system kvuli OpenSSL nebo Glibc?

Aby se začaly používat nové opravené knihovny.
Samozřejmě není potřeba restartovat celý systém, jen relevantní daemony.
Tím ale stejně nastane výpadek služby, popadání spojení, atd...

Vazne? To uz poettering "vyresil" i tohle? Zajimavy ... sem pripojenej pres ssh, to ssh restartnu ... a neodpoji me to. Divny, asi delam neco spatne.

Pricemz stejne se umi chovat naproto cokoli, co se drzi od poetteringa co nejdal.

I databáze mysql, postresql?

Nie, restart sshd cez systemctl funguje rovanko.

Přeci jen je veliký rozdíl mezi restartem/krát­kodobým výpadkem služby a rebootem celého serveru.

Mno, na hrani hezky ... bych chtel videt admina, kterej bude riskovat patch naprosto cehokoli na necem, co se nemuze restartovat a tim padem to nesmi zbuchnout.

Bych tak nejka cekal, ze specielne ty "velky" datacentra to maj zarizeny tak, ze vypadek(a tudiz i restart) cehokoli neni problem.

[...] jejichž funkci přebere jiný stroj v dané chvíli [...]

podle mne je to ekonomicka otazka. Jestlize je ten stroj (s temi TB pameti, jak se pise v clanku) , tak tenhle stroj neco stoji a kvuli rebootu by musel mit provozovatel 2 takove drahe zarizeni. V takovych pripadech bych se asi taky rozhodl pro patchovani zabehu.

plus treba SAP HANA jen na kill reaguje u vetsich instanci pres 20 minut a nahozeni nahoru muze jit i pres hodinu....

A kazda minuta vypadku techto systemu je nechutne draha

Jenze ty veci u kterych shozeni vadi (nebo hur, zpusobi financni ztraty, klidne v MKc) nebo nikdo nikdy ani patchovat.

Je mi mnohem bližší filozofie, že se celá služba rovnou vytváří s tím, že s výpadkem se počítá. A že žádné bestie s mnoha TB RAM vůbec nejsou potřeba, všechno běží na komoditním hardware.

Pak tyhle problémy odpadají už z principu.

Ale třeba existují aplikace, kde to takhle z nějakého důvodu nejde a já jsem rád, že s nimi nepřijdu do kontaktu.

jakakoliv inmemory databaze .. A rozhodne bys tychle broucky nechtel jet na komoditnim HW

tahle filozofie je OK, jenze SUSE je ziva ne od tech malych uzivatelu, ale od tech par korporaci a pro ne se to dela.

V takovem pripade je potreba opatchovat (tedy vymenit) i volajici funkce.

Ano.

3rd party moduly maji obecne problem kdykoliv se zmeni interni kernelove API/ABI ve smyslu, ze musi byt beztak rekompilovany. Takze v tomto ohledu nejsou vzhledem k live patchovani zase tak specialni.

Redirekce se dela pres trampolinu, ktera teprve rozhoduje, jestli uz je vporadku zavolat novy kod, nebo jestli je jeste potreba z konzistencnich duvodu (nez patchovani skonci) volat kod stary. To je prave to rozhodovani o "verzi vesmiru", ve ktere se dany kontext nachazi. A to je to misto, kde lze udelat atomicky switch (zjednodusene se v tu chvili jedna uz o jednobitovy flag).

Pokud se nemění počet a typ parametrů, není potřeba na volání sahat. Pokud jo, je asi jednodušší napsat novou funkci, natáhnout do paměti a postupně na ni přehodit funkce, co volají tu původní... Původní pak není potřeba měnit (samozřejmě za předpokladu, že interně nepoužívá statickou proměnnou apod.).

Jo a proto chtej widle po kazdy aktualizaci restart ... hmm ... a proto sebou widle tahnou vsechny verze vseho uz od dob DOSu ... jen verzi knihoven dx bych napocital tak kolem stovky.

Za prvé: Windows má tohleto "už sto let", nevím jak pro jádro, ale pro user space knihovny (user32.dll, kernel32.dll, …) určitě.

Tak určitě... :-DDDDDDDDDDD

Jojo, a nepoužívá se to protože bagr. :-DDD

Za prvé: Windows má tohleto "už sto let", nevím jak pro jádro, ale pro user space knihovny (user32.dll, kernel32.dll, …) určitě. Používají to některé opravy přicházející skrze Windows Update</strongi>

O windows vim jen z doslechu, ale co jsem slysel, tak ten mechanismus (tak jak ho popisujete, tzn. s tim docela peknym trikem pres short jmp tesne pred funkci) tam kdysi meli, ale nepouzivali ho, a ted uz to tam snad ani negeneruji. Ale je to zarucena zprava od agentury JPP.

Za druhé: Atomicky vyměnit osm bajtů na x86 samozřejmě lze. Předchází se tak ABA problému u lock-free datových struktur. Ale pro volání kódu (a tedy patchovani kódu za běhu) je to nepoužitelné.

Mate pravdu, je to tam napsano nepresne, a pri kontrolnim cteni textu jsem si toho nevsiml. Ve strucnosti jde o to, ze vymenu nopu za (far)jmp+adresa nelze udelat atomicky, a pro kod je potreba stejne prepisovani pres INT3 delat kvuli CPU (i kdyby byl short), ktere muze byt zrovna dany kus uz fetchnuty do pipeline resp. I$ (kde se koherence a-la MESI neprovadi).
Prilezitostne poslu Petrovi Krcmarovi nejaky navrh na reformulaci, diky za pripominku.

Úplně nejpřesnější přesné upřesnění: Bez rebootu nezaktualizuješ ani pitschu!

Jenomže ve finále tohle má pár knihoven, zbytek je v .NETu a běží na VM, takže se stejně musí kompilovat všechno nad jádrem -> reboot.

Má velký problém v případě, že přijde přerušení v momentě, kdy procesor zpracovává NOPy. Po návratu z přerušení pak bude pokračovat v polovině instrukce skoku.
Jak je zaručeno, že GCC vygeneruje ...

Bohužel jste narazil na to, že popis procesu výměny instrukcí byl pro účely přednášky/článku samozřejmě ochuzen, kvůli zjednodušení, o spoustu a spoustu detailů.

- NOPy negeneruje GCC, kernel si je do prologu funkcí přidává při bootu sám na místo, kam nechal původně gcc vygenerovat profilovací call (který se nepoužije).

- kernel používá (na x86_64) pětipajtový atomický nop ( ASM_NOP5_ATOMIC)

- dělá se vždy atomicky replace posledních čtyř bajtů za situace, kdy už je v prvním předem připraven INT3 bajtů opcode,

- pak se změní první bajt z INT3 na první bajt nového opcode

- mezitím se vždy dělá "magie", která zaručí, že CPU se "sesynchronizuje s realitou" (ve smyslu I$ a prefetchnutych instrukci), a to přes IRET-to-self. Důležité je to především po vložení INT3 do prvního bajtu, ale dělá se i mezi ostatními fázemi. Dle explicitního vyjádření Intelu jsou tyto ostatní synchronizace kromě té po vložení INT3 nadbytečné na Intel CPU, ale u AMD jsou pravděpodobně potřeba, proto je tam raději máme vždy.

namísto 5x NOP použít pětibajtový NOP a výměnu provést atomicky (pomocí cmpxchg8b; instrukce musí být v jedné cache line)

Tímhle ten procesor sesypete IMO asi celkem spolehlivě, protože vůbec nevíte, v jakém stavu byla I$ a kolik toho bylo prefetchnuto.

pak namísto 5x NOP použít skok s offsetem 0, a offset za běhu přepsat (způsobí flush pipeline a instrukce skoku musí být v jedné cache line)

Stejný argument jako výše -- výměna je atomická ve smyslu, že CPU + memory controller zajistí, že při vykonávání instrukci pro čtení z paměti je vždy vidět konzistentní hodnota. Vzhledem k I$ a pipeline toho atomicita příliš nezaručuje. Pokud v prvním bajtu pětibajtového NOPu nebudete mít INT3, tak se CPU může při takovéto výměně dostat do náhodného stavu.

Tím, že se ten breakpoint dá na začátek pětibajtového nopu (a tudíž CPU trapne korektně za kterékoliv situace) se zajistím bezproblémová výměna jak prvního, tak zbylých bajtů.

potenciálně problematická, protože INT3 může být použit i jinak (při debugování)

To máte pravdu, ale je to uděláno tak, že int3 exception handler může snadno detekovat zda-li se jedná o trap z debugovacího int3, nebo int3 kvůli live výměně instrukcí (protože víme, kde zrovna patchujeme), a podle toho se zachovat.

Ad "NOPy negeneruje GCC" - znáte přepínač gcc -pg -mnop-mcount? Pak dostanete 5B NOPy už přímo z GCC, čímž si můžete ušetřit práci - pokud tedy současné chování není úmyslné.

Ano, gcc má několik různých způsobů, jak vygenerovat NOPy do prologu. Je v tom docela nepořádek, některé z těch options jsou pouze pro některé architektury (např. ta kterou zmiňujete Vy pouze pro x86), nejsou kompatibilní s některými jinýmu důležitými options (např. opět Vámi zmiňovaná nemůže být použita společně s -fPIC). Mezi další (většinou opět arch-specific, ale pro jiné architektury) patří např. -mhotpatch, -mprofile-kernel, atd.

BTW pouze -pg nestačí, protože ten bohužel ten profilovací kód vygeneruje až za prolog, což už je dost pozdě. Je potřeba -mfentry.

V současné době se snažíme do gcc procpat obecnou option, která bude nezávislá na architektuře i čemkoliv ostatním, a bude generovat do prologu funkce potřebné (volitelné) množství NOPů.
I tak to ale budeme používat nadále jen pro rezervaci místa, a kernel si to bude při bootu přepatchovávat, protože se tam vždy dávají ideální / optimální NOPy pro dané CPU.

Předpokládám, že tedy patchování probíhá následovně:

Ano, popsal jsem to správně. Viz také changelog a komentáře commitu, kterým jsem tohle do kernelu přidával:

http://git.kernel.org/linus/fd4363fff3d96795d3feb1b3fb48ce590f186bdd

Možná bych ale čekal mnohem jednodušší řešení - nový kernel slinkovat s .text na jinou adresu, a jen změnit entry pointy na nový kernel

Tomu asi ne úplně přesně rozumím -- máte na mysli nahrát komplet celý .text celého vyměněného kernelu na nějaké jiné místo v paměti, a přesměrovat IDT/GDT, exception tables, apod?