Software::Distributionen::Red Hat
Red Hat veröffentlicht Kpatch unter der GPL
Die vor drei Wochen von Red Hat erstmals angekündigte Technologie zum Patchen des Linux-Kernels ohne Neustart, Kpatch, steht jetzt als erste Testversion zum Download bereit. Damit ist auch das Funktionsprinzip des Werkzeugs bekannt.
Red Hat
kpatch ist eine Technologie, um den Linux-Kernel zur Laufzeit zu patchen, ohne neu booten zu müssen. Dies soll beispielsweise mit einem Großteil der anfallenden Sicherheitspatches funktionieren. Die Technologie kommt allen Anwendern zugute, die dringende Probleme schnell beheben wollen, aber nicht einfach die Dienste durch einen Neustart unterbrechen können.
Kpatch ist der Gegenentwurf von Red Hat zu Ksplice.
Ksplice war wohl das erste Produkt in dieser Richtung und in den ersten Jahren frei erhältlich, wenn auch nur für zahlende Kunden nützlich. Im Juli 2011 kaufte Oracle diese Technologie zusammen mit der gleichnamigen Firma, die sie entwickelt hat. Seither ist Ksplice proprietär. Es kann zwar kostenlos für Ubuntu und Fedora genutzt werden, erfordert aber in jedem Fall eine Registrierung.
Da anscheinend im Unternehmensbereich zunehmender Bedarf an solch einer Technologie besteht, hatte jüngst Suse eine Ksplice ähnelnde Eigenentwicklung Kgraft angekündigt. Kurz darauf folgte Red Hat mit Kpatch. Jetzt hat Red Hat die Funktionsweise von Kpatch erläutert und die erste Version des Werkzeugs veröffentlicht. Es steht unter der GPLv2 und kann aus einem Github-Repositorium bezogen werden.
Kpatch beruht auf dem nur scheinbar einfachen Prinzip, eine modifizierte Funktion in ein Kernel-Modul zu packen und dafür zu sorgen, dass statt der Originalfunktion die modifizierte aufgerufen wird. Auch Ksplice folgt diesem Prinzip, wobei die Details im mittlerweile veralteten veröffentlichten Quellcode wohl anders gelöst waren und die Funktionsweise der aktuellen Version nicht bekannt ist.
Ein generisches kpatch-Modul stellt die Infrastruktur für die Patches bereit. Patches registrieren bei diesem Modul die geänderten Funktionen, und Kpatch nutzt dann das ftrace-Subsystem des Kernels, um Aufrufe von der Originalfunktion auf die Ersatzfunktion umzuleiten. Ein zusätzliches Werkzeug hilft bei der Verwaltung der Patches. Suses Kgraft funktioniert ähnlich. Allerdings müssen die Patches erst einmal erstellt werden. Mit diesem Dienst verdiente Ksplice sein Geld, und Unternehmensdistributionen können damit einem Mehrwert generieren oder einen zusätzlichen Dienst anbieten.
Ob die Technologie einmal in den offiziellen Linux-Kernel kommt, bleibt abzuwarten. Zunächst muss Kpatch ausgereifter werden. Das Werkzeug stellt einen tiefen Eingriff in den Kernel dar und kann daher naturgemäß schon beim kleinsten Fehler zum Absturz des Systems führen. Daher stellt Red Hat auch klar, dass Kpatch momentan nur für Testsysteme geeignet ist.
){kind=logo}
