icetray - Fotolia

kpatch, Ksplice: Das beste Tool für Live Kernel Patching

Wenn Sie Updates via Linux Kernel Live Patching einspielen wollen, dann können Sie sich zwischen Ksplice bei Oracle und kpatch bei RHEL (Red Hat Enterprise Linux) entscheiden.

Bei sehr wichtigen Systemen ist es schwer oder manchmal auch unmöglich, einen Server neu zu starten. Sie können fast jeden Teil eines Linux-Servers aktualisieren, ohne das System neu starten zu müssen. Das gilt allerdings nicht für das Patchen des Kernels. Beim Kernel Patching müssen Sie entweder Ksplice oder kpatch nutzen, um ein Update ohne Neustart durchführen zu können.

Ksplice wurde ursprünglich als das erstes Open-Source-Tool entwickelt, das einen Kernel Live patchen kann. Im Jahre 2011 hat Oracle Ksplice akquiriert und Unterstützung für Oracle Linux angeboten. Mit dem Kauf hat Oracle außerdem die Unterstützung für Red Hat Enterprise Linux (RHEL) eingestellt und stattdessen eine Testversion für 30 Tage angeboten. Gleichzeitig krempelte Oracle seine Support-Strategie um. Der Oracle-Linux-Kernel wurde zur Voraussetzung für die Unterstützung von produktiven Systemen. Die Software ist für Desktop-Linux-Systeme aber kostenlos verfügbar. Sie unterstützt unter anderem Ubuntu und Fedora.

Da es sich bei Ksplice um Open Source handelt, gibt es keinen technischen Grund, warum sie es nicht unter RHEL einsetzen können. Weil RHEL eine Enterprise-Distribution ist, brauchen Sie dafür unbedingt Support. Aus diesem Grund hat sich Red Hat gegen Ksplice entschieden und bietet stattdessen kpatch an. Red Hat hat kpatch als Open-Source-Software entwickelt und veröffentlicht. Die Technologie ist komplett in Version 4.0 des Linux-Kernels eingeflossen.

Ksplice und kpatch analysieren neue Code-Zeilen, die durch den Patch eingespielt werden. Das System lässt den Befehl diff über den Patch und die momentane Kernel-Version laufen, womit die Differenzen offengelegt werden. Solange ein Patch keine wichtigen Änderungen in der Datenstruktur des Kernels implementiert, können Sie das Update als Live Patch einspielen.

Um den Flicken einzuspielen, werden die Ausführungen des Computers temporär eingefroren. Nun ist Ksplice oder kpatch die einzige Software, die läuft. Danach wird sichergestellt, dass der Patch keine Funktionen modifiziert, die derzeit ausgeführt werden. Sowohl Ksplice und kpatch modifizieren die entsprechenden Funktionen. Referenziert der Kernel das nächste Mal auf sie, werden die jeweiligen Tools die aktualisierten Funktionen benutzen. Sobald die Tools alle sich im Speicher befindlichen Datenstrukturen geändert haben, kann der Kernel die Arbeit wieder aufnehmen.

Kpatch funktioniert sehr ähnlich wie Ksplice. Das Live Patching läuft durch ein Kernmodul des Kernels, das von einem Satz anderer User-Space-Utilities adressiert wird. Kpatch führt das Patchen des Kernels selbst auf Funktionsebene aus und führt die Updates bei den Funktionen nacheinander aus. Die Methode installiert die neue Funktion und leitet dann den Funktionsaufruf auf die neue Funktion um. Genau wie Ksplice wird auch kpatch keine Änderungen an der internen Datenstruktur des Kernels durchführen.

Welche Erweiterung für das Live Patching des Kernel sollte ich nun nutzen?

Aus einer technischen Perspektive im Bereich Erweiterungen für das Live Patching eines Kernel sind sich Ksplice und kpatch sehr ähnlich. Aus diesem Grund ist es eigentlich nicht relevant, welches Tool Sie einsetzen. Beide führen zum gleichen Ergebnis und haben die Einschränkung, dass Sie damit keine Änderungen an den Datenstrukturen des Kernels durchführen können. In den meisten Situationen ist das kein Problem, weil Security Patches in der Regel keine Änderungen an der Datenstruktur des Kernels mit sich bringen. Deswegen wählen Sie das beste Tool für das Live Patching des Kernels nach einem anderen Kriterium aus. Für Sie ist es wichtig, dass Sie Unterstützung oder Support dafür bekommen. Verwenden Sie RHEL, dann entscheiden Sie sich für kpatch. Ist Oracle im Einsatz, wählen Sie entsprechend Ksplice.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Was Unternehmen beim automatisierten Patching beachten sollten

Sicherheitsstrategie für das Updaten und Patchen festlegen

Ratschläge für ein besseres Patch-Management

Artikel wurde zuletzt im November 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Linux-Server

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close