Software::Kernel
Ksplice - Kernelkorrekturen ohne Reboot
Eine Neuentwicklung des MIT will das Herunterfahren des Systems nach einer Kernel-Korrektur auf das Notwendigste reduzieren und verspricht eine längere Laufzeit eines Systems.
Kernelupdates gehören noch immer zu den ärgerlichen Aufgaben eines Administrators. Während eine Korrektur in einem Treiber in der Regel nur das Entladen und das Laden des Moduls nach sich zieht, muss bei einem Update des Kernels das komplette System heruntergefahren werden. Ein neuer Mechanismus von Jeff Arnold verspricht nun, die Anzahl der notwendigen Reboots auf ein Minimum zu reduzieren.
Ksplice will in jenen Bereichen punkten, in denen von einem System eine möglichst hohe Verfügbarkeit verlangt wird und die Möglichkeit besteht, dass sie durch die Ausnutzung einer Sicherheitslücke kompromittiert werden. Eine Veränderung der Quellen ist dabei nicht notwendig, obgleich Ksplice die Quellen des im Moment laufenden Kernels benötigt. Darüber hinaus benötigt das System den einzuspielenden Patch und diverse Tools zum Compilieren.
Die Funktionsweise von Kspilice erinnert teilweise sehr stark an die Funktionsweise von Exploits. Das System spielt den benötigten Patch ein, compiliert einen neuen Kernel und installiert ihn. Bis dahin ist das noch nichts sonderlich Ungewöhnliches. Was allerdings danach passiert, ist der Clou der Entwicklung. Anhand einer Differenz zwischen dem Original- und dem neuen Kernel ermittelt Ksplice die veränderten binären Objekte, verändert den Symbol-Auflösungs-Mechanismus und entfernt die originalen ELF-Relocation-Punkte. Die dadurch entstandenen »Lücken« werden durch die neuen, korrigierten Funktionen ersetzt. Um das System nicht herunterfahren zu müssen, bedient sich der Autor der stop_machine_run()-Funktion, die in der Regel zum Suspend oder CPU-Hotplug genutzt wird.
Laut Arnold funktioniert die Methode bei über 80% der direkt den Kernel betreffenden Patches. Versagen wird Ksplice unter anderem bei Änderungen der Datenstrukturen oder semantischen Änderungen, die allerdings selten in einer Korrektur auftreten. Wie der Autor weiter warnt, ist Ksplice immer noch eine junge Entwicklung, die Fehler und mögliche Probleme nach sich ziehen kann. Getestet wurde das System mit verschiedenen Kerneln und unter anderem mit Debian, Ubuntu, RHEL und Gentoo.
