Ksplice: Visión general de los servicios Enterprise Live Patching

Antes de 2008, la única forma de instalar nuevos parches en los kernels de Linux era el comando yum update kernel. Rápidamente quedó claro que quienes utilizan servidores 24/7 se molestarían por las constantes actualizaciones, al igual que los administradores que tenían que actualizar cientos de servidores manualmente. La única solución para el tiempo de inactividad era retrasar la instalación hasta el fin de semana, lo que daba a los hackers tiempo suficiente para explotar las vulnerabilidades.

La historia comercial del parcheado en vivo del núcleo comenzó con Ksplice. Hoy en día, además de núcleos Linux, Ksplice también publica parches para bibliotecas compartidas y API. Estos parches pueden aplicarse en directo siempre que no introduzcan cambios en la infraestructura de datos.

La aplicación comercial de parches en vivo ha crecido considerablemente con los años, y los clientes empresariales son sus principales consumidores. Hoy en día, las empresas ejecutan una multitud de sabores de servidores Linux en función de fines específicos, lo que crea redes homogéneas. Como consumidor, puede instalar una solución de gestión de parches en función de su rentabilidad y de la versatilidad de sus servicios. Si está en proceso de tomar esta decisión, le daremos una visión general de Ksplice, concentrándonos en sus opciones de instalación, despliegue y suscripción.

Contenido:

1. Historia de Ksplice
2. Cómo funciona: Live Patching persistente frente a temporal
3. Ksplice Uptrack
4. Cómo instalar Ksplice Uptrack
5. Cómo actualizar el núcleo de Oracle Linux con Ksplice
6. Qué es Ksplice Enhanced Client y cómo gestionarlo
7. Desventajas de Ksplice Uptrack
8. Más información sobre Ksplice
9. Conclusión

Historia de Ksplice

En 2008, Jeff Arnold se asoció con otros para buscar una solución para actualizar los núcleos de Linux sin tener que reiniciar el sistema y causar interrupciones. Crearon Ksplice y lanzaron Ksplice, Inc. La empresa ganó el Global Security Challenge y el concurso MIT $100K Entrepreneurship Competition. Ksplice era un software de código abierto, pero Ksplice, Inc. facilitó aún más su uso.

En 2015, Ksplice pasó a estar disponible de forma gratuita en Ubuntu y Fedora. Oracle compró Ksplice, Inc. en 2011; en 2016, lo integraron en el Unbreakable Enterprise Kernel Release 4 para Oracle Linux 6 y 7. Ksplice había estado disponible a través del código abierto hasta que Oracle lo compró en 2011, lo que llevó a los administradores a buscar nuevas alternativas para el live patching. Muchos de ellos desarrollaron su propio software para live patching.

KernelCare fue una de las soluciones para live patching que se desarrollaron una vez que Ksplice sólo estaba disponible a través de Oracle. Su enfoque de la aplicación de parches en vivo permite a los clientes parchear cualquier tipo de Linux, por lo que no es necesario disponer de varias aplicaciones costosas.

Cómo funciona: Live Patching persistente frente a temporal

Cuando se detecta una vulnerabilidad de seguridad o un error crítico en un núcleo Linux, Oracle prepara un nuevo núcleo que se publica en una actualización sin reinicio. La actualización se distribuye a través del servidor Oracle Ksplice Uptrack, sin interrumpir en absoluto sus sistemas.

Cuando se trata de parchear en vivo, hay dos métodos básicos: persistente y temporal. Un parche persistente, que es lo que es Ksplice, no requiere un reinicio. Un parche temporal aplicará el parche sin reiniciar, pero aún tendrá que reiniciar el servidor más tarde.

El live patching persistente cuenta con un servidor de parches dedicado que almacena los parches e incorpora los nuevos a los antiguos. Hay un programa que se ejecuta en segundo plano que comprueba regularmente si hay nuevos parches y los instala en consecuencia. La aplicación persistente de parches no ralentiza el sistema porque cada parche contiene todas las correcciones acumulativas en un único binario, y no es necesario reiniciar. Un servidor que funcione así puede funcionar constantemente durante años sin problemas.

La aplicación temporal de parches en directo requiere un software de gestión de paquetes en el servidor. Cuando un parche está listo para descargarse, el software lo instala en consecuencia. Este método requiere reiniciar los servidores, y los parches no se integran a la perfección como ocurre con un software persistente. En su lugar, los parches se amontonan unos sobre otros con el tiempo y pueden provocar una degradación de la estabilidad y el rendimiento. La única forma de arreglar esta acumulación es reiniciar los servidores.

El método persistente es superior porque no tiene que hacer ningún reinicio, por lo que no hay interrupción del servicio; esto ayuda a evitar que los hackers exploten su tiempo de inactividad como una forma de colarse. Sólo hay dos sistemas de live patching que utilizan el método persistente, Ksplice y CloudLinux KernelCare.

Ksplice Uptrack

Uptrack es una suscripción que tiene una interfaz web que resume la información sobre sus sistemas que le indica cuando Ksplice está trabajando en una nueva actualización para usted. Recibirá notificaciones sobre actualizaciones en curso, nuevas versiones de Uptrack y máquinas inactivas que no utilizan Uptrack o no se comunican con los servidores de Uptrack.

También puede ver detalles pormenorizados sobre cada máquina de su servidor, incluidas las actualizaciones disponibles, información básica sobre el sistema y cuándo se comunicó por última vez con los servidores de Uptrack.

Uptrack ofrece un Cliente Offline que eliminará la necesidad de que un servidor de su intranet esté conectado directamente a los servidores de Oracle Uptrack. Le permite tener más control sobre cómo se instalan las actualizaciones en sus sistemas.

Cómo instalar Ksplice Uptrack

Clave de acceso

Antes de instalar Ksplice Uptrack, tendrás que obtener una clave de acceso conectándote a la Red Unbreakable Linux y seguir las instrucciones para registrar tu sistema.

Proxy

Tienes que tener acceso a internet mientras instalas Ksplice Uptrack. Si va a utilizar un proxy, configure el proxy en el shell a:

# export http_proxy=http://proxy.example.com:port

# export https_proxy=http://proxy.example.com:port

The proxy string should be of the form [protocol://][username:password@]<host>[:port], where:

• protocolo es el protocolo de conexión al proxy (http o https)
• El nombre de usuario y la contraseña son la información de autenticación necesaria para utilizar su proxy (si existe).
• host y port son el nombre de host/dirección IP y el número de puerto utilizados para conectarse al proxy

El proxy debe soportar conexiones HTTPS.

Instalación

Una vez que tengas la clave de acceso, puedes empezar a instalar Ksplice Uptrack. Tendrás que ejecutar estas instrucciones como root, sustituyendo YOUR_ACCESS_KEY por la clave de acceso que tengas.

Instalación automática de actualizaciones

Si desea recibir las actualizaciones automáticamente, siga estas instrucciones:

Dentro de Oracle Cloud:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc

# sh install-uptrack-oc -autoinstall

Para todas las demás instalaciones:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack

# sh install-uptrack YOUR_ACCESS_KEY -autoinstall

Aplica las actualizaciones disponibles con:

# uptrack-upgrade -y "

Instalación manual de actualizaciones

Si desea actualizar Uptrack manualmente, siga estas instrucciones:

Dentro de Oracle Cloud:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc

# sh install-uptrack-oc

Para todas las demás instalaciones:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack

# sh install-uptrack TU_CLAVE_DE_ACCESO

Aplica las actualizaciones disponibles con:

# uptrack-upgrade -y "

Cómo actualizar el núcleo de Oracle Linux con Ksplice

Cuando necesite aplicar actualizaciones de Ksplice, ejecute uptrack-upgrade -y. Esto le permitirá aplicar todas las actualizaciones disponibles a la vez, o puede optar por aplicar cada actualización individualmente ejecutando un ID de Ksplice específico.

Si desea ver qué actualizaciones se han instalado, ejecute uptrack-show. Para ver qué actualizaciones están actualmente disponibles para ser instaladas, ejecute uptrack-show -available.

Para eliminar las actualizaciones de Ksplice, ejecute uptrack-remove. Puedes elegir eliminar todas las actualizaciones o eliminar actualizaciones específicas por sus IDs de Ksplice. Una vez hecho esto, puede ejecutar uptrack-show para verificar que ha desinstalado todas las actualizaciones o para verificar que las actualizaciones que quería eliminar se han desinstalado correctamente.

Qué es Ksplice Enhanced Client y cómo gestionarlo

El cliente mejorado Ksplice sólo está disponible para Oracle Linux 6. Se trata de una versión mejorada del cliente Ksplice en línea que admite actualizaciones para el kernel y el espacio de usuario, y puede utilizarse para parchear el hipervisor Xen en los servidores Oracle. Puede parchear páginas en memoria de bibliotecas compartidas como openssl y glibc para procesos del espacio de usuario. Esta aplicación de parches le permitirá instalar correcciones de errores y proteger su sistema frente a vulnerabilidades sin necesidad de reiniciar servicios y procesos. El cliente mejorado está disponible tanto en línea como fuera de línea.

Para gestionar el cliente mejorado Ksplice, en lugar de utilizar los comandos Uptrack, utilice los comandos ksplice. Este comando le permitirá realizar tanto parches en el kernel como en el espacio de usuario. Para ver los procesos de espacio de usuario en ejecución que están disponibles para la aplicación de parches, ejecute ksplice all list-targets. Si sólo desea ver los objetivos del hipervisor Xen disponibles para parchear, ejecute ksplice xen list-targets. Para ver qué actualizaciones hay en el sistema, ejecute ksplice all show. Si necesita eliminar todas las actualizaciones, ejecute ksplice user remove -all -pid=705, y para eliminar sólo actualizaciones específicas, ejecute ksplice user undo -pid=705 h73qvumn.

Para ver las actualizaciones disponibles, ejecute el comando de actualización, ksplice -y user upgrade. Para ver todas las actualizaciones que se han aplicado, ejecute ksplice kernel show. Para eliminar todas las actualizaciones, ejecute ksplice kernel remove -all.

Desventajas de Ksplice Uptrack

Aunque Ksplice tiene sus ventajas, también tiene algunas desventajas. Como Oracle es propietaria de Ksplice, sólo está disponible para Oracle Linux, Ubuntu, Red Hat Enterprise Linux y CentOS. También requiere que usted tenga una licencia de soporte, y el precio comienza en $ 1,399 al año por sistema.

Más información sobre Ksplice

Si desea más información sobre Ksplice, visite:

• La comunidad en línea de Oracle, donde puede conectar con otros clientes, sus desarrolladores y socios, está disponible aquí: https://community.oracle.com/hub/
• El blog de Oracle, que trata diversos temas, desde Ksplice hasta el sector financiero, puede consultarse en: https://blogs.oracle.com

Conclusión

Ksplice puede haber sido el pionero en la aplicación automática de parches sin reiniciar para los kernels de Linux, pero después de que Oracle lo pusiera a disposición sólo de Oracle Linux y RedHat Enterprise Linux, y que usted necesitara una licencia de Oracle para operarlo. Mientras que Oracle hace grandes productos y plataformas, muchas personas tienen un enfoque más variado para sus sistemas.

KernelCare llena el vacío que Oracle creó cuando cerró el código fuente de Ksplice en 2011. KernelCare adopta un enfoque enfoque agnóstico de los kernels Linuxofreciendo soporte para cada tipo de Linux disponible, incluyendo Oracle y Red Hat, y no es necesario tener una costosa licencia de Oracle para utilizar KernelCare.

Si utiliza algo más que los productos de Oracle, lo más probable es que esté utilizando varias opciones de software de parcheo en vivo para asegurarse de que todo se mantiene a salvo de vulnerabilidades y errores. Sin embargo, dado que sólo Ksplice y KernelCare ofrecen parcheado persistente, cualquier otro software de parcheado que esté utilizando va a requerir eventualmente que reinicie su sistema, de lo contrario, empieza a ralentizarse con el tiempo. Por lo tanto, usted todavía estará abriendo su sistema a los hackers, lo que anula el propósito de usar parches en vivo. KernelCare eliminará la necesidad de utilizar otro software de aplicación de parches, por lo que nunca tendrá que reiniciar sus sistemas para aplicar actualizaciones de nuevo.

Si actualmente tiene Ksplice pero desea cambiar a KernelCare, puede cambiar el software sin problemassin tiempos de inactividad ni reinicios del servidor.

Para saber más sobre KernelCare y sus características, y para ver una comparación comparación de KernelCare y Ksplice - así como otro software de live patching, visite nuestro sitio web y empiece a utilizar hoy mismo un enfoque más agnóstico y asequible para sus actualizaciones del kernel de Linux.

Obtenga una prueba GRATUITA de 7 días con soporte de KernelCare 

Consulte otros resúmenes de servicios de live patching:

Visión general de los servicios Enterprise Live Patching: Canonical Livepatch en primer plano

Visión general de los servicios Enterprise Live Patching: kpatch en primer plano

Visión general de los servicios Enterprise Live Patching: Amazon Kernel Live Patching en primer plano