Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Was bedeutet das Ende der Lebensdauer für Linux-Anwender in Unternehmen? Lesen Sie diesen umfassenden Leitfaden, um es herauszufinden.
Live-Patching des Linux-Kernels verändert die SecOps, aber ist kpatchvon Red Hat die beste Wahl für Ihre Arbeitslasten?
Sie haben Probleme mit Wartungsfenstern und machen sich Sorgen über unvollkommene Patching-Mechanismen und die Auswirkungen auf Ihre Red Hat-Sicherheitsabläufe? Live-Linux-Kernel-Patching, auch bekannt als Hot-Patching, ist die Antwort auf beide Herausforderungen - aber nicht jedes Live-Kernel-Patching-Tool ist gleich aufgebaut.
Die meisten Anbieter von Unternehmens-Linux haben Live-Patching-Tools auf den Markt gebracht - darunter auch das Tool von Red Hat für Red Hat Enterprise Linux (RHEL) namens kpatch. Die Einführung von Live-Patching gehört heute zu den besten Praktiken im Bereich der Cybersicherheit, und die Verwendung des besten Tools für Ihre Bedürfnisse ist entscheidend.
kpatch wendet Änderungen am Kernel an, während dieser läuft, und entschärft damit die Herausforderungen im Zusammenhang mit Wartungsfenstern. Es unterstützt Red Hat-basierte Server-Workloads seit der frühesten Version von kpatch im Jahr 2014, hat aber seine Vor- und Nachteile. Werfen wir einen Blick darauf.
Inhaltsübersicht
- Einführung des dynamischen Kernel-Patchings kpatch
- Lebensdauer des Kernel-Patchings
- Unterstützte Linux-Kernel
- Rollback-Funktionalität
- Wie sieht es mit den Kosten aus?
- Schnellvergleichstabelle
- Umstellung vom Dienstprogramm kpatch auf KernelCare
- Die Wahl zwischen kpatch und KernelCare
Einführung des dynamischen Kernel-Patchings kpatch
Die Entscheidung von Red Hat, kpatch in die Linux-Kernel-Hauptlinie aufzunehmen, kam etwas spät, da es nach KSplice - dem MIT-Projekt - und nach KernelCare, entwickelt vom CloudLinux-Team, entwickelt wurde. Wie seine Kollegen führt kpatch ein Live-Patching durch, indem eine Ersatzfunktion, die eine gepatchte Version des Kernel-Codes enthält, im laufenden Betrieb ausgetauscht wird.
Mit anderen Worten: Mit kpatch können Sie Sicherheits-Patches auf Ihre Red Hat-basierten Workloads anwenden, ohne den Server nach dem Patching sofort neu starten zu müssen. Das Tool wurde von Red Hat intern entwickelt und ähnelte anfangs kGraft, einem Tool, das vom Team von SUSE Linux entwickelt wurde. Da kGraft eng mit kpatch verwandt ist, beschlossen die beiden Unternehmen, zusammenzuarbeiten und ihre Bemühungen zu vereinheitlichen.
Lebensdauer des Kernel-Patchings
Für den Kernel von Red Hat werden sechs Monate nach seiner Veröffentlichung keine Live-Kernel-Patches mehr bereitgestellt. Um laufende kpatch-Updates zu erhalten, müssen Kunden den Kernel aktualisieren und mindestens zwei Neustarts pro Jahr durchführen. Folglich müssen die Kunden ihre Wartungsfenster auf den Veröffentlichungszeitplan des Herstellers abstimmen.
Im Vergleich dazu bietet KernelCare Enterprise Live-Patches mit einem praktisch unbegrenzten Zeitrahmen. Dadurch können Kunden einen kontinuierlichen Schutz für ihre bestehenden Kernel genießen, ohne bei der Planung ihrer Wartungsfenster an den Veröffentlichungszeitplan des Herstellers gebunden zu sein.
Unterstützte Linux-Kernel
kpatch ist eine Option für jeden, der Red Hat Enterprise Linux (RHEL) einsetzt. Schließlich wird es von Red Hat-Entwicklern entwickelt und gepflegt. Wer jedoch RHEL 6 oder bestimmte Versionen von RHEL 7 einsetzt, wird von kpatch nicht für Hot Patches abgedeckt. Nur RHEL 8, 7.7 und 7.6 werden unterstützt. Einige Nicht-RHEL-Linux-Distributionen werden ebenfalls unterstützt, darunter bestimmte Versionen von Ubuntu, Debian und Gentoo.
Wenn Sie eine Version von RHEL, Ubuntu oder Debian einsetzen, die nicht von kpatch unterstützt wird, oder eine andere Linux-Distribution wie CentOS oder Amazon Linux, müssen Sie sich für Live-Patching-Unterstützung an KernelCare Enterprise wenden.
Rollback-Funktionalität
Sollte sich ein Systemadministrator, aus welchen Gründen auch immer, dafür entscheiden, ermöglicht KernelCare Enterprise die Rückgängigmachung jedes Patches - ein Prozess, der auch keinen Neustart erfordert. Dies kann besonders in Situationen nützlich sein, in denen der Patch erhebliche negative Auswirkungen auf die Systemleistung hat (z. B. Spectre/Meltdown-Fixes ) und andere Abhilfemaßnahmen zur Verfügung stehen. kpatch hingegen unterstützt keine Rollback-Funktion ohne Neustart. Dies kann zu kostspieligen Serviceunterbrechungen führen, wodurch der Hauptvorteil des Live-Patchings beeinträchtigt wird.
Wenn ein Patch nicht wie erwartet funktioniert, ist es gut zu wissen, dass Sie bei Bedarf einfach zu einem älteren Kernel zurückkehren können. Mit KernelCare Enterprise können Sie jederzeit alle angewendeten Änderungen zurücksetzen, indem Sie einen speziellen Befehl ausführen, der keinen Neustart Ihres Systems erfordert - und damit die Unterbrechung eines möglichen Rollbacks beseitigt, die kpatch nicht bieten kann.
Wie sieht es mit den Kosten aus?
Übrigens: Wenn Sie sich für KernelCare Enterprise entscheiden, können Sie mit einem budgetfreundlichen Preis von weniger als 60 US-Dollar pro Server und Jahr rechnen. Mit kontinuierlichem Patching und Unterstützung für eine breite Palette von Linux-Distributionen bietet KernelCare auch einen vergleichsweise umfangreichen Funktionsumfang.
Die Kosten für die Implementierung von kpatch sind deutlich höher, es sei denn, Sie haben bereits einen RHEL-Supportplan abgeschlossen. Das liegt daran, dass kpatch nur für Red Hat-Kunden mit einem Premium-Support-Plan verfügbar ist, und der kostet 1.299 US-Dollar pro Jahr und Maschine.
Vergleichstabelle
| Red Hat Kpatch | KernelCare Enterprise mit LibCare-Zusatzmodul | |
|---|---|---|
| Unterstützte Distributionen | Red Hat Enterprise Linux | Red Hat Enterprise Linux 6, 7, 8 und 9, sowie Ubuntu, Oracle, AlmaLinux und viele andere |
| Architekturen | x86-64 | x86-64, arm64 |
| Erfassungsbereich | Linux-Kernel | Linux-Kernel und kritischer Userspace (glibc und openssl) |
| Schwachstellen gepatcht | Teilmenge von Hoch & Kritisch | Alle |
| Lebensdauer des Kernel-Patchings | 6 Monate | Praktisch unbegrenzt |
| Benutzerdefinierte Patches | Ja | Ja |
| QEMU-Patching | Nein | Ja |
| Datenbank-Patching | Nein | Ja |
| 24/7 Support | Nein, 24×7 für Fälle der Schweregrade 1 und 2, ansonsten normale Geschäftszeiten (für Premium-Abonnenten) | Ja, online, 24/7/365 mit unterschiedlichen Prioritäten für verschiedene Abonnements |
| Patchset-Distribution | Ein einziges Patchset für alle Patches | Ein einziges Patchset für alle Patches |
| API verfügbar | Nein | Ja |
| Roll-back-Funktionalität | Ja, mit einem Neustart | Ja, ohne Neustart |
| Verfügbar für neue Kunden | Nur für RHEL | Ja, mehr als 40 Distributionen werden unterstützt |
| Art des Patchings | Persistent | Persistent |
| Add-ons | - | Benutzerdefinierte Patches, QEMU, Datenbank-Patching |
| Kosten | Gebündelt mit einem RedHat-Abonnement für 1.299 US-Dollar pro Jahr und Maschine. | 59,50 $ pro Jahr, pro System. Verschiedene Add-ons können in das Abonnement aufgenommen werden. Großabnehmerpreise sind verfügbar. |
Möchten Sie mehr über die Umstellung auf KernelCare erfahren?
Umstellung vom Dienstprogramm kpatch auf KernelCare
Der Umstieg vom Live-Kernel-Patching-Mechanismus kpatch auf KernelCare Enterprise ist unkompliziert. Ein einfaches Schnellstartskript genügt, um KernelCare zu installieren, und schon können Ihre Linux-Systeme durchgängig Live-Patching nutzen.
Die Installation von KernelCare Enterprise unterbricht Ihre bestehenden Arbeitsabläufe nicht und Sie behalten die ursprünglichen Funktionen von kpatch bei. Doch KernelCare leistet noch viel mehr, indem es die Unterbrechungen dank des permanenten Patchings vollständig minimiert, was bedeutet, dass Sie nie einen Neustart durchführen müssen.
Die Wahl zwischen kpatch und KernelCare
Wenn Sie Red Hat Premium Support Kunde sind und ausschließlich RHEL auf Ihren Servern verwenden, sollten Sie kpatch in Betracht ziehen, da es bereits in Ihrem Vertrag mit Red Hat enthalten ist.
Unternehmen, die verschiedene Linux-Distributionen einsetzen oder die nicht alle zusätzlichen Funktionen benötigen, die in einem Red Hat-Supportvertrag enthalten sind, sollten KernelCare Enterprise als eine Alternative zu kpatch in Betracht ziehen, da KernelCare Enterprise kostengünstiger ist und über einen größeren Funktionsumfang verfügt. Wenn Sie sich, wie viele Unternehmen, die Neustarts nicht leisten können, die durch die begrenzte Live-Patching-Lebensdauer von kpatch und die Rollbacks, die ungeplante Neustarts Ihrer Systeme erfordern, entstehen, dann ist KernelCare die beste Option für Sie.
Sprechen Sie mit einem TuxCare-Experten
Nennen Sie uns Ihre Herausforderungen und unsere Experten helfen Ihnen, den besten Ansatz zu finden, um sie mit der TuxCare-Produktlinie zu lösen.
