Login
Newsletter
Werbung

Fr, 28. März 2014, 09:28

Software::Kernel

Suse stellt Code von kGraft vor

Die von Suse vor einigen Wochen erstmals angekündigte Technologie zum Patchen des Linux-Kernels ohne Neustart, kGraft, steht jetzt als erste Testversion zum Download bereit. Zusätzlich hat Suse Informationen zum Funktionsprinzip des Werkzeugs bekannt gegeben.

Opensuse

kGraft ist eine Technologie, um den Linux-Kernel zur Laufzeit zu patchen, ohne neu booten zu müssen. Dies soll beispielsweise mit einem Großteil der anfallenden Sicherheitspatches funktionieren. Die Technologie kommt allen Anwendern zugute, die dringende Probleme schnell beheben wollen, aber nicht einfach die Dienste durch einen Neustart unterbrechen können.

Kgraft ist der Gegenentwurf von Suse zu Ksplice. Ksplice war wohl das erste Produkt in dieser Richtung und in den ersten Jahren frei erhältlich, wenn auch nur für zahlende Kunden nützlich. Im Juli 2011 kaufte Oracle diese Technologie zusammen mit der gleichnamigen Firma, die sie entwickelt hat. Seither ist Ksplice proprietär. Es kann zwar kostenlos für Ubuntu und Fedora genutzt werden, erfordert aber in jedem Fall eine Registrierung.

Da anscheinend im Unternehmensbereich zunehmender Bedarf an solch einer Technologie besteht, hatte Suse jüngst eine Ksplice ähnelnde Eigenentwicklung Kgraft angekündigt. Kurz darauf folgte Red Hat mit Kpatch. Nachdem Red Hat etwas schneller war, eine erste Version des Werkzeugs zu veröffentlichen, kommt nun die Vorstellung von kGraft, die Suse anlässlich des gerade stattfindenden Linux Foundation Collaboration Summit machte.

Kgraft beruht auf dem nur scheinbar einfachen Prinzip, eine modifizierte Funktion in ein Kernel-Modul zu packen und dafür zu sorgen, dass statt der Originalfunktion die modifizierte aufgerufen wird. Auch Ksplice folgt diesem Prinzip, wobei die Details im mittlerweile veralteten veröffentlichten Quellcode wohl anders gelöst waren und die Funktionsweise der aktuellen Version nicht bekannt ist.

Kgraft funktioniert nicht nur für Unternehmens-Systeme, sondern auch mit Opensuse, wie der Suse-Entwickler Jiri Slaby in einem Video demonstriert. Das Video zeigt eine Kernel-Version, die für eine Sicherheitslücke anfällig ist, in den dann mit kGraft die Korrektur geladen wird, woraufhin die Sicherheitslücke beseitigt ist.

kGraft beruht nach den Angaben der Suse Labs auf Technologien, die im Kernel bereits vorhanden sind: ftrace mit seinem reservierten Speicher in Funktions-Headern, das Patchen von INT3/IPI-NMI, das auch in Jumplabels verwendet wird, und ein RCU-ähnlicher Update-Mechanismus des Codes, bei dem kein Teil des Kernels angehalten werden muss. Ein kGraft-Patch ist ein Kernelmodul und benötigt nichts weiter als den bereits vorhandenen Modul-Lader, um den neuen Code in den Kernel einzubinden.

Die Zukunft von kGraft, das zweifellos mit KPatch konkurriert, ist noch offen. Suse will die Kernel-Komponenten des ziemlich simplen Systems in den offiziellen Kernel einbringen, doch da es sehr unwahrscheinlich ist, dass kGraft und Kpatch beide in den Kernel einziehen, werden sich Suse und Red Hat wohl vorher auf eine gemeinsame Basis verständigen müssen. Zu kGraft gehören einige Werkzeuge, die die Erstellung von Patches teilweise automatisieren und unter der GPLv3 veröffentlicht wurden. Der gesamte Code ist in einem Github-Repositorium zu finden.

Werbung
Kommentare (Insgesamt: 7 || Alle anzeigen )
Re: NIH (Gschmarri_vom_Harry, Mo, 31. März 2014)
Re[2]: Einfallstor für Schadcode ? (Jürgen Sauer, Mo, 31. März 2014)
Re[2]: Einfallstor für Schadcode ? (pete, Sa, 29. März 2014)
NIH (Gschmarri, Fr, 28. März 2014)
Re: Einfallstor für Schadcode ? (Gast, Fr, 28. März 2014)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung