Ksplice : Aperçu des services de Live Patching pour les entreprises

Avant 2008, la seule façon d'installer d'installer de nouveaux correctifs sur les noyaux Linux était la commande yum update kernel. Il est rapidement apparu que les utilisateurs de serveurs fonctionnant 24 heures sur 24 et 7 jours sur 7 seraient gênés par les mises à jour constantes, tout comme les administrateurs qui devaient mettre à jour manuellement des centaines de serveurs. La seule solution pour éviter les temps d'arrêt était de retarder l'installation jusqu'au week-end, ce qui donnait aux pirates suffisamment de temps pour exploiter les vulnérabilités.

L'histoire commerciale des correctifs en direct du noyau a commencé avec Ksplice. Aujourd'hui, outre les noyaux Linux, Ksplice publie également des correctifs pour les bibliothèques partagées et les API. Ces correctifs peuvent être appliqués en direct tant qu'ils ne modifient pas l'infrastructure des données.

Le live patching commercial s'est considérablement développé au fil des ans, les entreprises en étant les principales consommatrices. De nos jours, les entreprises utilisent une multitude de saveurs de serveurs Linux en fonction d'objectifs spécifiques, ce qui crée des réseaux homogènes. En tant que consommateur, vous pouvez installer une solution de gestion des correctifs en fonction de sa rentabilité et de la polyvalence de ses services. Si vous êtes en train de prendre cette décision, nous allons vous donner un aperçu de Ksplice, en nous concentrant sur ses options d'installation, de déploiement et d'abonnement.

Contenu :

1. L'histoire de Ksplice
2. Comment ça marche : Live Patching persistant ou temporaire
3. Ksplice Uptrack
4. Comment installer Ksplice Uptrack
5. Comment mettre à jour le noyau Oracle Linux à l'aide de Ksplice ?
6. Qu'est-ce que Ksplice Enhanced Client et comment le gérer ?
7. Les inconvénients de Ksplice Uptrack
8. Pour en savoir plus sur Ksplice
9. Conclusion

L'histoire de Ksplice

En 2008, Jeff Arnold s'est associé à d'autres personnes pour trouver une solution à la mise à jour des noyaux Linux. solution pour mettre à jour les noyaux Linux sans avoir à redémarrer le système et à provoquer des perturbations. Ils ont créé Ksplice et lancé Ksplice, Inc. La société a remporté le Global Security Challenge et le MIT $100K Entrepreneurship Competition. Ksplice était un logiciel libre, mais Ksplice, Inc. a rendu son utilisation encore plus facile.

En 2015, Ksplice est devenu disponible gratuitement sur Ubuntu et Fedora. Oracle a acheté Ksplice, Inc. en 2011 ; en 2016, il l'a intégré dans la version 4 du noyau Unbreakable Enterprise Kernel pour Oracle Linux 6 et 7. Ksplice était disponible en open-source jusqu'à ce qu'Oracle l'achète en 2011, ce qui a conduit les administrateurs à trouver de nouvelles alternatives pour le live patching. Beaucoup d'entre eux ont développé leur propre logiciel pour le live patching.

KernelCare est l'une des solutions de live patching qui a été développée lorsque Ksplice n'était disponible qu'auprès d'Oracle. Son approche du live patching permet aux clients de patcher n'importe quel type de Linux, de sorte qu'il n'est pas nécessaire d'avoir plusieurs applications coûteuses.

Comment ça marche : Live Patching persistant ou temporaire

Lorsqu'une faille de sécurité ou un bogue critique est détecté dans un noyau Linux, Oracle prépare un nouveau noyau qui sera publié dans le cadre d'une mise à jour sans redémarrage. La mise à jour est distribuée via le serveur Oracle Ksplice Uptrack, sans perturber le moins du monde vos systèmes.

En ce qui concerne les correctifs en direct, il existe deux méthodes de base : les correctifs persistants et les correctifs temporaires. Un correctif persistant, ce qu'est Ksplice, ne nécessite pas de redémarrage. Un correctif temporaire appliquera le correctif sans redémarrer, mais vous devrez toujours redémarrer le serveur par la suite.

Le live patching persistant dispose d'un serveur de correctifs dédié qui stocke les correctifs et incorpore les nouveaux dans les anciens. Un programme exécuté en arrière-plan vérifie régulièrement la présence de nouveaux correctifs et les installe en conséquence. Les correctifs persistants ne ralentissent pas le système, car chaque correctif contient toutes les corrections cumulatives dans un seul binaire, et il n'est pas nécessaire de redémarrer le système. Un serveur qui fonctionne ainsi peut fonctionner en permanence pendant des années sans problème.

Le live patching temporaire nécessite l'installation d'un logiciel de gestion des paquets sur le serveur. Lorsqu'un correctif est prêt à être téléchargé, le logiciel l'installe en conséquence. Cette méthode vous oblige à redémarrer vos serveurs et les correctifs ne sont pas intégrés de manière transparente comme ils le sont avec un logiciel persistant. Au lieu de cela, les correctifs s'empilent les uns sur les autres au fil du temps, ce qui peut entraîner une dégradation de la stabilité et des performances. Le seul moyen de remédier à cet empilement est de redémarrer les serveurs.

La méthode persistante est supérieure car vous n'avez pas besoin de redémarrer, il n'y a donc pas d'interruption de service, ce qui empêche les pirates d'exploiter vos temps d'arrêt pour s'infiltrer. Il n'existe que deux systèmes de live patching qui utilisent la méthode persistante, Ksplice et CloudLinux KernelCare.

Ksplice Uptrack

Uptrack est un abonnement qui dispose d'une interface web qui résume les informations sur vos systèmes et vous indique quand Ksplice travaille sur une nouvelle mise à jour pour vous. Vous recevrez des notifications pour les mises à jour en cours, les nouvelles versions d'Uptrack et les machines inactives qui n'utilisent pas Uptrack ou qui ne communiquent pas avec les serveurs d'Uptrack.

Vous pouvez également voir des détails détaillés sur chaque machine de votre serveur, y compris les mises à jour disponibles, les informations de base sur le système et la date de la dernière communication avec les serveurs Uptrack.

Uptrack offre un client hors ligne qui élimine le besoin d'un serveur sur votre intranet pour être connecté directement aux serveurs Oracle Uptrack. Il vous permet de mieux contrôler la manière dont les mises à jour sont installées sur vos systèmes.

Comment installer Ksplice Uptrack

Clé d'accès

Avant d'installer Ksplice Uptrack, vous devez obtenir une clé d'accès en vous connectant au réseau Unbreakable Linux Network et en suivant les instructions pour enregistrer votre système.

Proxy

Vous devez avoir accès à l'internet pendant l'installation de Ksplice Uptrack. Si vous utilisez un proxy, définissez le proxy dans l'interpréteur de commandes sur :

# export http_proxy=http://proxy.example.com:port

# export https_proxy=http://proxy.example.com:port

The proxy string should be of the form [protocol://][username:password@]<host>[:port], where:

• protocole est le protocole de connexion au proxy (http ou https)
• le nom d'utilisateur et le mot de passe sont les informations d'authentification nécessaires pour utiliser votre proxy (le cas échéant).
• host et port sont le nom de l'hôte/l'adresse IP et le numéro de port utilisés pour se connecter au proxy

Le proxy doit pouvoir établir des connexions HTTPS.

Installation

Une fois que vous avez la clé d'accès, vous pouvez commencer à installer Ksplice Uptrack. Vous devrez exécuter ces instructions en tant que root, en remplaçant YOUR_ACCESS_KEY par la clé d'accès dont vous disposez.

Installation automatique des mises à jour

Si vous souhaitez recevoir vos mises à jour automatiquement, suivez ces instructions :

Dans le nuage d'Oracle :

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc

# sh install-uptrack-oc -autoinstall

Pour toutes les autres installations :

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack

# sh install-uptrack YOUR_ACCESS_KEY -autoinstall

Appliquer les mises à jour disponibles avec :

# uptrack-upgrade -y "

Installation manuelle de la mise à jour

Si vous souhaitez mettre à jour manuellement Uptrack, suivez ces instructions :

Dans le nuage d'Oracle :

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc

# sh install-uptrack-oc

Pour toutes les autres installations :

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack

# sh install-uptrack YOUR_ACCESS_KEY

Appliquer les mises à jour disponibles avec :

# uptrack-upgrade -y "

Comment mettre à jour le noyau Oracle Linux à l'aide de Ksplice ?

Lorsque vous devez appliquer les mises à jour de Ksplice, exécutez uptrack-upgrade -y. Cela vous permettra d'appliquer toutes les mises à jour disponibles en une seule fois, ou vous pouvez choisir d'appliquer chaque mise à jour individuellement en exécutant un ID Ksplice spécifique.

Pour savoir quelles mises à jour ont été installées, exécutez uptrack-show. Pour voir quelles mises à jour sont actuellement disponibles pour être installées, exécutez uptrack-show -available.

Pour supprimer les mises à jour de Ksplice, exécutez uptrack-remove. Vous pouvez choisir de supprimer chaque mise à jour ou de supprimer des mises à jour spécifiques en fonction de leur identifiant Ksplice. Une fois cette opération effectuée, vous pouvez exécuter uptrack-show pour vérifier que vous avez désinstallé toutes vos mises à jour ou que les mises à jour que vous vouliez supprimer ont été désinstallées avec succès.

Qu'est-ce que Ksplice Enhanced Client et comment le gérer ?

Il s'agit d'une version améliorée du client Ksplice en ligne qui prend en charge les mises à jour du noyau et de l'espace utilisateur, et qui peut être utilisée pour corriger l'hyperviseur Xen sur les serveurs Oracle. Il peut corriger les pages en mémoire des bibliothèques partagées comme openssl et glibc pour les processus de l'espace utilisateur. Ces correctifs vous permettront d'installer des corrections de bogues et de protéger votre système contre les vulnérabilités sans avoir à redémarrer les services et les processus. Le client amélioré est disponible en ligne et hors ligne.

Pour gérer le Ksplice Enhanced Client, au lieu d'utiliser les commandes Uptrack, utilisez les commandes ksplice. Cette commande vous permettra d'appliquer des correctifs à la fois au noyau et à l'espace utilisateur. Pour voir les processus de l'espace utilisateur en cours d'exécution qui sont disponibles pour l'application de correctifs, exécutez la commande ksplice all list-targets. Si vous souhaitez voir uniquement les cibles de l'hyperviseur Xen disponibles pour l'application des correctifs, exécutez ksplice xen list-targets. Pour connaître les mises à jour présentes sur le système, exécutez ksplice all show. Si vous devez supprimer toutes les mises à jour, exécutez ksplice user remove -all -pid=705, et pour supprimer uniquement des mises à jour spécifiques, exécutez ksplice user undo -pid=705 h73qvumn.

Pour voir les mises à jour disponibles, exécutez la commande de mise à niveau, ksplice -y user upgrade. Pour voir toutes les mises à jour qui ont été appliquées, exécutez la commande ksplice kernel show. Pour supprimer toutes les mises à jour, exécutez la commande ksplice kernel remove -all.

Les inconvénients de Ksplice Uptrack

Si Ksplice a des avantages, il a aussi des inconvénients. Étant donné que Ksplice appartient à Oracle, il n'est disponible que pour Oracle Linux, Ubuntu, Red Hat Enterprise Linux et CentOS. Il nécessite également une licence d'assistance, et le prix commence à 1 399 dollars par an et par système.

Pour en savoir plus sur Ksplice

Pour plus d'informations sur Ksplice, vous pouvez consulter le site :

• La communauté en ligne d'Oracle, où vous pouvez vous connecter avec d'autres clients, leurs développeurs et leurs partenaires, est disponible ici : https://community.oracle.com/hub/
• Le blog d'Oracle, qui couvre un certain nombre de sujets, de Ksplice au secteur financier, est disponible à l'adresse suivante : https://blogs.oracle.com

Conclusion

Ksplice a peut-être été le pionnier des correctifs automatiques et sans redémarrage pour les noyaux Linux, mais après qu'Oracle l'a rendu disponible uniquement pour Oracle Linux et RedHat Enterprise Linux, et que vous ayez besoin d'une licence d'Oracle pour l'utiliser, Ksplice s'est avéré être un outil très utile. Bien qu'Oracle propose des produits et des plateformes de qualité, de nombreuses personnes ont une approche plus variée de leurs systèmes.

KernelCare comble le vide créé par Oracle lorsqu'il a fermé le code source de Ksplice en 2011. KernelCare adopte une approche agnostique des noyaux LinuxKernelCare propose une approche agnostique des noyaux Linux, offrant un support pour chaque type de Linux disponible, y compris Oracle et Red Hat, et vous n'avez pas besoin d'avoir une licence coûteuse d'Oracle pour utiliser KernelCare.

Si vous n'utilisez pas que des produits Oracle, vous utilisez très probablement plusieurs options de logiciels de correction en direct pour vous assurer que tout reste à l'abri des vulnérabilités et des bogues. Cependant, comme seuls Ksplice et KernelCare proposent des correctifs persistants, tout autre logiciel de correctif que vous utilisez finira par vous obliger à redémarrer votre système, faute de quoi il commencera à ralentir au fil du temps. Ainsi, vous ouvrirez toujours votre système aux pirates, ce qui va à l'encontre de l'objectif de l'utilisation d'un correctif en direct. KernelCare éliminera la nécessité d'utiliser d'autres logiciels de correction, de sorte que vous n'aurez plus jamais à redémarrer vos systèmes pour appliquer les mises à jour.

Si vous avez déjà Ksplice mais que vous souhaitez passer à KernelCare, vous pouvez changer de logiciel en toute transparencesans nécessiter de temps d'arrêt ou de redémarrage du serveur.

Pour en savoir plus sur KernelCare et ses caractéristiques, et pour comparer KernelCare et Ksplice, cliquez ici. comparaison côte à côte de KernelCare et de Ksplice - ainsi que d'autres logiciels de live patching - visitez notre site web et commencez dès aujourd'hui à utiliser une approche plus agnostique et plus abordable pour vos mises à jour du noyau Linux !

Obtenir un essai GRATUIT de 7 jours de KernelCare 

Consultez d'autres aperçus de services de correctifs en direct :

Vue d'ensemble des services de Live Patching d'entreprise : Pleins feux sur Canonical Livepatch

Aperçu des services d'Enterprise Live Patching : Pleins feux sur kpatch

Vue d'ensemble des services de Live Patching d'entreprise : Pleins feux sur l'Amazon Kernel Live Patching