Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Linux-Kernel-Patching verstehen: Ein umfassendes Handbuch für Systemadministratoren
Joao Correia
August 1, 2023 - Technischer Evangelist
Selbst erfahrene Fachleute brauchen hin und wieder eine Auffrischung. Vielleicht sind einige Konzepte nicht klar definiert oder wurden einfach nur überflogen, ohne sich weiter damit zu befassen, und werden eher aus Gewohnheit als aus tief verwurzeltem Wissen heraus angewendet. Wie viel wissen Sie über Patching? Es ist wohl eine der grundlegenden Aufgaben, die im Rahmen des Betriebs (und, ehrlich gesagt, in allen anderen Bereichen der IT) durchgeführt werden, und ist der erste Schritt zur Verbesserung der Sicherheit der Systeme, für die Sie zuständig sind. Vor allem das Linux-Kernel-Patching spielt eine entscheidende Rolle bei der Systemadministration. Dieser umfassende Leitfaden soll Licht in dieses Thema bringen und Ihnen das nötige Wissen für eine effektive Verwaltung vermitteln.
Patching: Ein Überblick
Patching ist sowohl ein ein Prozess und eine Praxis im IT-Bereich, der Probleme behebt oder Funktionen eines Systems verbessert, indem vorhandene Komponenten durch neue ersetzt werden. Der Begriff "Patching", der sich von dem physikalischen Prozess des Abdeckens von Löchern in Lochkarten ableitet, hat sich erheblich weiterentwickelt und umfasst nun mehrere moderne Ansätze. Er gilt für verschiedene Systemebenen, von der Subsystem-, Abhängigkeits- oder Kernfunktionsebene bis hin zu spezifischen Anwendungen, Betriebssystemen, Treibern und anderen Komponenten. Das Endziel bleibt dasselbe: eine sicherere und aktuellere Version des betreffenden Systems zu erreichen.
Der Linux-Kernel und seine Bedeutung
Der Linux-Kernel ist das Herzstück eines jeden Linux-Betriebssystems und verbindet die Systemsoftware mit der Hardware eines Computers. Er ist verantwortlich für Kernfunktionen wie Prozessverwaltung, Speicherverwaltung, Geräteverwaltung und Systemaufrufe. Daher ist die Aufrechterhaltung eines aktuellen und sicheren Kernels von entscheidender Bedeutung, was das Linux-Kernel-Patching zu einem wesentlichen Bestandteil der Systemverwaltung macht.
Ansätze zum Patching
Um die Systeme auf dem neuesten Stand und sicher zu halten, gibt es verschiedene Patching-Ansätze, die jeweils ihre eigenen Vorteile und Herausforderungen haben.
Traditionelles Patching (oder die Art und Weise, wie es schon immer gemacht wurde)
Die bekannteste Form des Patchings besteht darin, aktualisierte Softwareversionen herunterzuladen und die alten Dateien auf der Festplatte durch die neuen Versionen zu ersetzen. Diese Methode erfordert jedoch häufig einen Neustart von Anwendungen oder einen Neustart ganzer Systeme, was zu Unterbrechungen führen kann und die Nutzung eines "Wartungsfensters" erforderlich macht.
Virtuelles Patchen
Das virtuelle Patching arbeitet auf einer anderen Ebene, indem es die Erkennung von Bedrohungen auf der Firewall-Ebene implementiert und bekannte Angriffsmuster blockiert. Es bietet den dahinter liegenden Systemen sofortigen Schutz ohne Unterbrechung oder Änderungen im System selbst. Seine Grenzen liegen jedoch im Fehlen einer tatsächlichen Code-Ersetzung oder -Korrektur.
Firmware-Patching
Firmware-Patching ist ein Sonderfall des herkömmlichen Patching. Dabei wird Code aktualisiert, der in EPROM-Chips gespeichert ist, die typischerweise in frühen intelligenten Geräten ("intelligent" ist in diesem Zusammenhang ein großzügiges Wort) und IoT-Geräten der ersten Generation zu finden sind . Diese Art von Patching ist aufgrund der Schwierigkeit, die Speichermedien zu aktualisieren, besonders komplex.
Live-Patching
Live-Patching ist ein innovativer Ansatz, der Änderungen am laufenden Code ermöglicht ohne Systemunterbrechungen zu verursachen. Dabei werden bekannte fehlerhafte Abschnitte oder Funktionen im Speicher durch korrigierte Versionen ersetzt. Diese Methode kann sofort eingesetzt werden und ermöglicht eine schnellere Reaktion auf neue Bedrohungen. Der Linux-Kernel unterstützt Live-Patching bereits seit über einem Jahrzehnt, und verschiedene Lösungen wie KernelCare Enterprise könnenden Linux-Kernel, wichtige Systembibliotheken, Datenbanken und Hypervisoren live patchen.
Die Geschichte und Entwicklung des Patching
In der Vergangenheit wurden Patches auf Papierstreifen oder Lochkarten verteilt, die manuell angewendet werden mussten. Zwar haben sich die Softwarepraktiken und die Hardware über die früheren zimmergroßen Computersysteme hinaus weiterentwickelt, aber das Nirwana der fehlerfreien Software haben wir noch nicht erreicht. Daher werden Korrekturen, Aktualisierungen oder Änderungen an bestehender Software auch heute noch als Patches verteilt, unabhängig davon, wie sie tatsächlich bereitgestellt werden.
Mit dem Aufkommen des Internets wurden automatische Software-Updates über Downloads von der Website des Entwicklers oder über automatische Software-Updates verfügbar. Heute können sich viele Programme mit minimalem Benutzereingriff selbst aktualisieren, eine wichtige Entwicklung, die insbesondere für Systemadministratoren, die zahlreiche Computer verwalten, die Systemkonsistenz aufrechterhalten hilft.
Linux-Kernel-Patching und seine spezifischen Probleme
In den ersten Tagen folgte das Patchen des Linux-Kernels der gleichen Routine wie das Patchen jedes anderen Softwarepakets innerhalb eines Linux-Systems. Dazu gehörte, dass man eine aktualisierte Version des Kernel-Pakets aus dem bevorzugten Paketmanager der Distribution auswählte, es installierte und anschließend neu bootete. Nach dem Neustart war Ihr Linux-System betriebsbereit und mit einer brandneuen Kernel-Version ausgestattet.
Dieser Prozess war zwar effektiv, brachte aber auch eine Reihe von Unannehmlichkeiten mit sich. Am auffälligsten war die Unterbrechung, die durch den notwendigen Neustart verursacht wurde. Da der Neustart die laufenden Arbeitslasten beeinträchtigte, verschoben die Systemadministratoren die Kernel-Updates häufig, um negative Auswirkungen auf die Geschäftstätigkeit zu vermeiden. Dies führte zu einer prekären Gratwanderung zwischen der Beibehaltung der neuesten Kernel-Version - oft mit den neuesten Fehler- und Sicherheitsbehebungen - und dem Risiko, das System für längere Zeit potenziellen Sicherheitslücken auszusetzen.
Um diesem Problem entgegenzuwirken, führte die Linux-Gemeinschaft Live-Patching-Techniken in den Kernel ein. Diese fortschrittlichen Techniken ermöglichten die Bereitstellung von Patches, die bestimmte Probleme in bestimmten Abschnitten des Kernel-Codes behoben, während das System aktiv und ohne Unterbrechung weiterlief. Dies war eine radikale Abkehr von einer fest etablierten Praxis und markierte einen Wendepunkt im Linux-Kernel-Patching.
Patch-Verwaltung
Die Patch-Verwaltung, ein wichtiger Teil des Lebenszyklusmanagements, umfasst einen strategischen Plan, der festlegt, welche Patches zu bestimmten Zeiten auf welche Systeme aufgespielt werden sollen. Patches sind zwar in erster Linie dazu gedacht, Probleme zu beheben, doch können sie, wenn sie schlecht konzipiert sind, auch neue Probleme verursachen. Daher ist ein Verständnis der inneren Funktionsweise des Patches von entscheidender Bedeutung, insbesondere wenn der Quellcode nicht verfügbar ist.
Das Verständnis und die Beherrschung des Linux-Kernel-Patchingsist für Systemadministratoren von entscheidender Bedeutung, da es die Systemsicherheit, optimale Leistung und langfristige Stabilität gewährleistet. Die effektive Anwendung verschiedener Patching-Methoden in Verbindung mit einer strategischen Patch-Verwaltung kann den Prozess rationalisieren und ihn wirtschaftlicher und weniger störend machen.
