Ksplice: Überblick über die Live-Patching-Dienste für Unternehmen

Vor 2008 war die einzige Möglichkeit, neue neue Patches für Linux-Kernel zu installieren war der Befehl yum update kernel. Es wurde schnell klar, dass diejenigen, die rund um die Uhr Server nutzen, von den ständigen Aktualisierungen genervt sein würden, ebenso wie die Administratoren, die Hunderte von Servern manuell aktualisieren mussten. Die einzige Lösung für die Ausfallzeiten bestand darin, die Installation auf das Wochenende zu verschieben, was Hackern genügend Zeit gab, Sicherheitslücken auszunutzen.

Die kommerzielle Geschichte des Kernel-Live-Patching begann mit Ksplice. Heutzutage veröffentlicht Ksplice nicht nur Linux-Kernel, sondern auch Patches für gemeinsam genutzte Bibliotheken und APIs. Diese Patches können live angewendet werden, solange sie keine Änderungen an der Infrastruktur der Daten vornehmen.

Kommerzielles Live-Patching hat im Laufe der Jahre erheblich zugenommen, wobei Unternehmenskunden die Hauptabnehmer sind. Heutzutage betreiben Unternehmen eine Vielzahl von Linux-Servern für bestimmte Zwecke, was zu homogenen Netzwerken führt. Als Verbraucher können Sie eine Patch-Management-Lösung aufgrund ihrer Kosteneffizienz und ihrer vielseitigen Dienste installieren. Wenn Sie gerade dabei sind, diese Entscheidung zu treffen, geben wir Ihnen einen Überblick über Ksplice, wobei wir uns auf die Installation, den Einsatz und die Abonnementoptionen konzentrieren.

Inhalte:

1. Die Geschichte von Ksplice
2. Wie es funktioniert: Dauerhaftes vs. temporäres Live-Patching
3. Ksplice Uptrack
4. Wie wird Ksplice Uptrack installiert?
5. Wie man den Oracle Linux Kernel mit Ksplice aktualisiert
6. Was ist Ksplice Enhanced Client und wie verwaltet man ihn?
7. Nachteile von Ksplice Uptrack
8. Weitere Informationen über Ksplice
9. Schlussfolgerung

Die Geschichte von Ksplice

Im Jahr 2008 suchte Jeff Arnold zusammen mit anderen nach einer Lösung für die Aktualisierung von Linux-Kerneln ohne das System neu starten zu müssen und Störungen zu verursachen. Sie schufen Ksplice und gründeten Ksplice, Inc. Das Unternehmen gewann die Global Security Challenge und den MIT $100K Entrepreneurship Competition. Ksplice war eine Open-Source-Software, aber Ksplice, Inc. machte es noch einfacher, die Software zu nutzen.

Im Jahr 2015 wurde Ksplice kostenlos für Ubuntu und Fedora verfügbar. Oracle kaufte Ksplice, Inc. im Jahr 2011; 2016 wurde es in den Unbreakable Enterprise Kernel Release 4 für Oracle Linux 6 und 7 integriert. Ksplice war bis zum Kauf durch Oracle im Jahr 2011 über Open-Source verfügbar, was Administratoren dazu veranlasste, neue Alternativen für Live-Patching zu finden. Viele von ihnen entwickelten ihre eigene Software für Live-Patching.

KernelCare war eine der Lösungen für Live-Patching, die entwickelt wurde, als Ksplice nur über Oracle erhältlich war. Der Ansatz für Live-Patching ermöglicht es den Kunden, jede Art von Linux zu patchen, so dass Sie nicht mehrere teure Anwendungen benötigen.

Wie es funktioniert: Dauerhaftes vs. temporäres Live-Patching

Wenn eine Sicherheitslücke oder ein kritischer Fehler in einem Linux-Kernel entdeckt wird, bereitet Oracle einen neuen Kernel vor, der in einem Update ohne Neustart veröffentlicht wird. Das Update wird über den Oracle Ksplice Uptrack-Server verteilt, ohne dass Ihre Systeme in irgendeiner Weise gestört werden.

Beim Live-Patching gibt es zwei grundlegende Methoden: persistent und temporär. Bei einem dauerhaften Patch, wie es Ksplice ist, ist kein Neustart erforderlich. Bei einem temporären Patching wird der Patch ohne Neustart angewendet, aber Sie müssen den Server später trotzdem neu starten.

Beim permanenten Live-Patching speichert ein spezieller Patch-Server die Patches und fügt die neuen Patches in die alten Patches ein. Es gibt ein Programm, das im Hintergrund läuft und regelmäßig nach neuen Patches sucht und diese entsprechend installiert. Persistentes Patching verlangsamt ein System nicht, da jeder Patch alle kumulativen Korrekturen in einer einzigen Binärdatei enthält, und ein Neustart ist nicht erforderlich. Ein Server, der mit diesem System arbeitet, kann über Jahre hinweg ohne Probleme laufen.

Für das temporäre Live-Patching müssen Sie eine Paketverwaltungssoftware auf dem Server installieren. Wenn ein Patch zum Herunterladen bereit ist, wird er von der Software entsprechend installiert. Bei dieser Methode müssen Sie Ihre Server neu starten, und die Patches sind nicht nahtlos integriert, wie es bei einer dauerhaften Software der Fall ist. Stattdessen stapeln sich die Patches im Laufe der Zeit einfach übereinander, was zu einer Verschlechterung der Stabilität und Leistung führen kann. Die einzige Möglichkeit, diesen Stapel zu beseitigen, besteht darin, die Server neu zu starten.

Die persistente Methode ist besser, weil Sie keine Neustarts durchführen müssen, so dass es zu keiner Unterbrechung des Dienstes kommt; dies verhindert, dass Hacker Ihre Ausfallzeiten ausnutzen, um sich einzuschleichen. Es gibt nur zwei Live-Patching-Systeme, die die persistente Methode verwenden: Ksplice und CloudLinux KernelCare.

Ksplice Uptrack

Uptrack ist ein Abonnement mit einer Webschnittstelle, die Informationen über Ihre Systeme zusammenfasst und Ihnen mitteilt, wann Ksplice an einem neuen Update für Sie arbeitet. Sie erhalten Benachrichtigungen über laufende Updates, neue Uptrack-Versionen und inaktive Rechner, die entweder Uptrack nicht nutzen oder nicht mit den Uptrack-Servern kommunizieren.

Sie können auch ausführliche Details zu jedem Rechner auf Ihrem Server anzeigen, einschließlich verfügbarer Updates, grundlegender Informationen über das System und wann es zuletzt mit den Uptrack-Servern kommuniziert hat.

Uptrack bietet einen Offline-Client an, der es überflüssig macht, dass ein Server in Ihrem Intranet direkt mit den Oracle Uptrack-Servern verbunden ist. Damit haben Sie mehr Kontrolle darüber, wie Updates auf Ihren Systemen installiert werden.

Wie wird Ksplice Uptrack installiert?

Zugangsschlüssel

Bevor Sie Ksplice Uptrack installieren, müssen Sie einen Zugangsschlüssel erhalten, indem Sie sich beim Unbreakable Linux Network anmelden und den Anweisungen zur Registrierung Ihres Systems folgen.

Vollmacht

Während der Installation von Ksplice Uptrack müssen Sie Zugang zum Internet haben. Wenn Sie einen Proxy verwenden möchten, stellen Sie den Proxy in der Shell auf:

# export http_proxy=http://proxy.example.com:port

# export https_proxy=http://proxy.example.com:port

The proxy string should be of the form [protocol://][username:password@]<host>[:port], where:

• Protokoll ist das Protokoll für die Verbindung zum Proxy (http oder https)
• Benutzername und Kennwort sind die Authentifizierungsinformationen, die für die Nutzung Ihres Proxys (falls vorhanden) erforderlich sind.
• host und port sind der Hostname/die IP-Adresse und die Portnummer, die für die Verbindung mit dem Proxy verwendet werden

Der Proxy muss die Herstellung von HTTPS-Verbindungen unterstützen.

Einrichtung

Sobald Sie den Zugangsschlüssel haben, können Sie mit der Installation von Ksplice Uptrack beginnen. Sie müssen diese Anweisungen als root ausführen und IHR_ZUGANGSSCHLÜSSEL durch den Ihnen vorliegenden Zugangsschlüssel ersetzen.

Automatische Update-Installation

Wenn Sie Ihre Updates automatisch erhalten möchten, befolgen Sie diese Anweisungen:

Einblicke in die Oracle Cloud:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc

# sh install-uptrack-oc -autoinstall

Für alle anderen Installationen:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack

# sh install-uptrack YOUR_ACCESS_KEY -autoinstall

Wenden Sie verfügbare Updates mit an:

# uptrack-upgrade -y "

Manuelle Update-Installation

Wenn Sie Uptrack manuell aktualisieren möchten, folgen Sie diesen Anweisungen:

Einblicke in die Oracle Cloud:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc

# sh install-uptrack-oc

Für alle anderen Installationen:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack

# sh install-uptrack IHR_ZUGRIFFSSCHLÜSSEL

Wenden Sie verfügbare Updates mit an:

# uptrack-upgrade -y "

Wie man den Oracle Linux Kernel mit Ksplice aktualisiert

Wenn Sie Ksplice-Upgrades anwenden müssen, führen Sie uptrack-upgrade -y aus. Damit können Sie alle verfügbaren Aktualisierungen auf einmal anwenden, oder Sie können jede Aktualisierung einzeln anwenden, indem Sie eine bestimmte Ksplice-ID ausführen.

Wenn Sie sehen möchten, welche Updates bereits installiert wurden, führen Sie uptrack-show aus. Um zu sehen, welche Updates derzeit zur Installation verfügbar sind, führen Sie uptrack-show -available aus.

Um Ksplice-Updates zu entfernen, führen Sie uptrack-remove aus. Sie können wählen, ob Sie alle Updates entfernen möchten oder bestimmte Updates anhand ihrer Ksplice-IDs. Danach können Sie uptrack-show ausführen, um zu überprüfen, ob Sie alle Updates deinstalliert haben oder ob die Updates, die Sie entfernen wollten, erfolgreich deinstalliert wurden.

Was ist Ksplice Enhanced Client und wie verwaltet man ihn?

Der Ksplice Enhanced Client ist nur für Oracle Linux 6 verfügbar. Es handelt sich um eine erweiterte Version des Online-Ksplice-Clients, der Updates für den Kernel und den User-Space unterstützt und zum Patchen des Xen-Hypervisors auf den Oracle-Servern verwendet werden kann. Er kann In-Memory-Seiten von gemeinsam genutzten Bibliotheken wie openssl und glibc für User-Space-Prozesse patchen. Dieses Patching ermöglicht es Ihnen, Bugfixes zu installieren und Ihr System vor Schwachstellen zu schützen, ohne dass Sie Dienste und Prozesse neu starten müssen. Der Enhanced Client ist sowohl online als auch offline verfügbar.

Um den Ksplice Enhanced Client zu verwalten, verwenden Sie statt der Uptrack-Befehle die ksplice-Befehle. Mit diesem Befehl können Sie sowohl Kernel-Patching als auch User-Space-Patching durchführen. Um die laufenden User-Space-Prozesse anzuzeigen, die für das Patching zur Verfügung stehen, führen Sie ksplice all list-targets aus. Wenn Sie nur die Xen-Hypervisor-Ziele sehen möchten, die zum Patchen verfügbar sind, führen Sie ksplice xen list-targets aus. Um zu sehen, welche Updates auf dem System vorhanden sind, führen Sie ksplice all show aus. Wenn Sie alle Aktualisierungen entfernen müssen, führen Sie ksplice user remove -all -pid=705 aus, und um nur bestimmte Aktualisierungen zu entfernen, führen Sie ksplice user undo -pid=705 h73qvumn aus.

Um die verfügbaren Aktualisierungen zu sehen, führen Sie den Upgrade-Befehl ksplice -y user upgrade aus. Führen Sie ksplice kernel show aus, um alle Aktualisierungen zu sehen, die angewendet wurden. Um alle Aktualisierungen zu entfernen, führen Sie ksplice kernel remove -all aus.

Nachteile von Ksplice Uptrack

Ksplice hat zwar Vorteile, aber auch einige Nachteile zu bieten. Da Oracle Eigentümer von Ksplice ist, ist es nur für Oracle Linux, Ubuntu, Red Hat Enterprise Linux und CentOS verfügbar. Außerdem ist eine Support-Lizenz erforderlich, und die Preise beginnen bei 1.399 US-Dollar pro Jahr und System.

Weitere Informationen über Ksplice

Weitere Informationen über Ksplice finden Sie im Internet:

• Die Online-Community von Oracle, in der Sie sich mit anderen Kunden, ihren Entwicklern und Partnern austauschen können, finden Sie hier: https://community.oracle.com/hub/
• Der Blog von Oracle, der eine Reihe von Themen von Ksplice bis zum Finanzsektor abdeckt, ist zu finden unter: https://blogs.oracle.com

Schlussfolgerung

Ksplice mag der Pionier des automatischen, rebootlosen Patchings für Linux-Kernel gewesen sein, aber nachdem Oracle es nur noch für Oracle Linux und RedHat Enterprise Linux zur Verfügung stellte und Sie eine Lizenz von Oracle benötigten, um es zu nutzen. Während Oracle großartige Produkte und Plattformen herstellt, haben viele Leute einen vielfältigeren Ansatz für ihre Systeme.

KernelCare füllt die Lücke, die Oracle mit der Schließung des Quellcodes für Ksplice im Jahr 2011 geschaffen hat. KernelCare verfolgt einen agnostischen Ansatz für Linux-KernelKernelCare bietet Unterstützung für jeden verfügbaren Linux-Typ, einschließlich Oracle und Red Hat, und Sie benötigen keine teure Lizenz von Oracle, um KernelCare zu nutzen.

Wenn Sie mehr als nur die Produkte von Oracle nutzen, verwenden Sie wahrscheinlich mehrere Live-Patching-Softwareoptionen, um sicherzustellen, dass alles vor Schwachstellen und Fehlern geschützt ist. Da jedoch nur Ksplice und KernelCare dauerhaftes Patching bieten, wird jede andere Patching-Software, die Sie verwenden, irgendwann erfordern, dass Sie Ihr System neu starten, da es sonst mit der Zeit langsamer wird. Dadurch öffnen Sie Ihr System immer noch für Hacker, was den Zweck der Verwendung von Live-Patching zunichte macht. KernelCare macht die Verwendung anderer Patching-Software überflüssig, so dass Sie Ihr System nie wieder neu starten müssen, um Updates anzuwenden.

Wenn Sie derzeit Ksplice verwenden, aber zu KernelCare wechseln möchten, können Sie die Software nahtlos austauschenohne Ausfallzeiten oder Serverneustarts.

Um mehr über KernelCare und seine Funktionen zu erfahren und um einen Vergleich zwischen Vergleich von KernelCare und Ksplice - sowie anderer Live-Patching-Software zu sehen - besuchen Sie unsere Website und beginnen Sie noch heute mit einem agnostischen und erschwinglichen Ansatz für Ihre Linux-Kernel-Updates!

Erhalten Sie eine KOSTENLOSE 7-Tage-Testversion von KernelCare 

Sehen Sie sich weitere Übersichten über Live-Patching-Dienste an:

Überblick über die Live-Patching-Dienste für Unternehmen: Spotlight auf Canonical Livepatch

Überblick über die Live-Patching-Dienste für Unternehmen: Spotlight auf kpatch

Überblick über die Live-Patching-Dienste für Unternehmen: Spotlight auf Amazon Kernel Live Patching