Vlákno názorů k článku Záplatování jádra za běhu: kGraft to zvládne bez výpadku od Spider - > Linuxový server se musí kvůli software restartovat...
-
Spider (neregistrovaný)
> Linuxový server se musí kvůli software restartovat v jediném případě: když je potřeba vyměnit jádro.
Neni pravda. Glibc, PAM, OpenSSL, atd atd.
Patchovani jadra za behu je fajn, ale dneska se malokdy patchuje jenom jadro.
Jinak dik za info, je fajn vedet, ze na tom porad nekdo dela...
-
KateStříbrný podporovatelJo tak, SSH je perfektní ukázka služby a to že lze restartovat bez výpadku spojení znamená, že všechny ostatní taky. Hmm…
-
Ne, není to vůbec divný, protože sshd běží jako daemon, na kterýho se připojuješ a po připojení vytvoří klientovi další proces. Pokud přes ssh session vypneš běžným způsobem ssh, killneš daemona, ale proces pro uživatele běží tak dlouho, dokud se neodpojíš. Pak už se samozřejmě znova nepřipojíš. A když patchneš a restartneš ssh, nový připojení poběží na nové verzi, ale světe div se, to starý připojení se nijak magicky nepřepne a běží pořád na staré verzi. Takže to není zrovna skvělá ukázka patchování běžícího procesu za běhu.
-
Patchovani to neni, ale resi to cely problem velmi elegantne. Proste stare spojeni bezi sice na starych verzich, ale vsechny nove uz na novych. S posledni starou session zmizi i stara verze. Sluzba ma nepreruseny chod a i za behu stare si lze vyzkouset ze ty nove funguji taky. Bohuzel to jiz dnes neni standard, naopak vznikaji offline aktualizacni mechanismy, protoze to je predsi jednodussi, nez se starat o to aby to update mohl probehnout online. A nelze si nepripomenout systemd, ktery pri online aktualizaci je schopen jit totalne do kopru, protoze mu zmizi nejaky zivotne dulezity symlink.
-
Peter FodrekZlatý podporovatel
To by už nemalo byť pravdou
KernelCare Is Another Alternative To Canonical's Ubuntu Live Kernel Patching
Written by Michael Larabel in Proprietary Software on 21 October 2016KernelCare isn't limited to just Ubuntu 16.04 but also works with Ubuntu 14.04 and other distributions such as CentOS/RHEL, Debian, and other enterprise Linux distributions.
Another big difference to Canonical's Livepatch is that KernelCare does support rollback functionality while Canonical doesn't appear to support it at this time. KernelCare can also handle custom patches, 32-bit support, and they share they plan to soon begin offering livepatching support for glibc, OpenSSL, and QEMU.
https://www.phoronix.com/scan.php?page=news_item&px=KernelCare-Ubuntu-AlternativeA kCraft má jednoduchý rollback, v podstate prepísaním JMP na INT 3, len ten PAM to nebol spomenutý, ale keď vedia glibc, tak nie je "veľmi ťažké" robiť update akejkoľvek knižnice, a ak ide QEMU, tak ide updateovať akékoľvek aplikácia vrátne SSH.
Kerene,lom sa začalo preto, lebo tam sa reálne objaví najviac problémov, a ak ide kernel, dá sa to použiť na knižnice a potom na programy...
