Mise à jour du noyau Linux sans redémarrage [Présentation des outils de correction en direct].

La mise à jour des noyaux Linux est une routine - aussi ennuyeuse que les impôts et à peine moins gênante que la mort. De nouvelles failles de sécurité dans le noyau Linux semblent apparaître avec une régularité fastidieuse et reçoivent même des noms fantaisistes. Dans la plupart des cas, mais pas tous, les correctifs nécessaires pour les corriger suivent rapidement. La mise à jour des dernières mises à jour de sécurité du noyau Linux demande du travail et présente un danger si vous tardez - si vous laissez trop longtemps, de mauvais acteurs pourraient profiter de la période de vulnérabilité.

Dans notre précédent article de blog sur , nous avons discuté de la façon de mettre à jour le noyau Linux de 3 façons différentes, dont deux (en utilisant la ligne de commande/yum et kexec) nécessitent un redémarrage du serveur.

Il est temps de passer en revue une autre méthode de mise à jour de la sécurité du noyau Linux - la correction en direct du noyau sans redémarrage. Lisez la suite pour en savoir plus sur chaque outil de correction en direct et sur les alternatives.

Appliquer les mises à jour du noyau Linux sans rebooter

Il arrive que les correctifs de sécurité soient super critiques, mais il en va de même pour les processus qui s'arrêtent lorsque vous redémarrez. Si vous utilisez un système "toujours actif" ou "à haute disponibilité", vous connaissez déjà ce dilemme.

Les mises à jour du noyau Linux sans redémarrage ne remplacent pas les mises à niveau complètes du noyau, car elles n'appliquent que les correctifs pour les vulnérabilités de sécurité ou les corrections de bogues critiques. Mais, dans de nombreux cas, c'est tout ce dont vous avez besoin, et il est possible de maintenir un serveur sûr et opérationnel pendant des années entre les redémarrages en utilisant ces méthodes.

Un certain nombre de grands fournisseurs de Linux proposent des mises à jour du noyau sans redémarrage. Celui que vous choisissez dépend de la distribution que vous utilisez et de votre budget. Dans la suite de cet article, nous parlerons des produits suivants :

• Ksplice by Oracle (pour les mises à jour d'Oracle Linux, Ksplice Uptrack pour les entreprises)
• Kpatch de Red Hat (pour les mises à jour du noyau de RHEL et les mises à jour de CentOS)
• Livepatch par Canonical (pour les mises à jour du noyau d'Ubuntu)
• Kgraft par SUSE (pour les mises à jour SUSE uniquement)
• CloudLinux KernelCare (pour toutes les principales distributions Linux)

Obtenez un essai GRATUIT de 7 jours avec assistance de KernelCare 

Oracle Ksplice

Ksplice a été la première implémentation commercialement disponible de la mise à jour du noyau sans redémarrage. Ksplice Inc. a finalement été racheté par Oracle, de sorte qu'il n'est désormais disponible (sans surprise) que sur les distributions Oracle Linux et RedHat Enterprise Linux, et le déploiement nécessite une licence d'Oracle.

• Aucun redémarrage n'est nécessaire.
• Mises à jour automatiques.
• Disponible gratuitement sur les installations Linux de bureau, avec un support officiel disponible pour les distributions Linux Fedora et Ubuntu.

• Ne fonctionne que pour Oracle Linux, Red Hat Enterprise Linux, CentOS et Ubuntu.
• Nécessite une licence de support, les prix commencent à partir de 1 399 $ par système et par an.

Pour le déployer, exécutez :

sudo wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc
sudo sh install-uptrack-oc -autoinstall

 

Notez qu'il n'y a pas de commande de redémarrage et que vous ne devez exécuter le script d'installation qu'une seule fois pendant la durée de vie du serveur. Après cela, le service Uptrack détectera automatiquement les nouvelles mises à jour du noyau et les déploiera pour vous. Il n'y a pas de programmation, pas de temps d'arrêt, et rien de plus à faire.

Service Livepatch de Canonical 

Il s'agit de la technologie de Canonical pour le live-patching des noyaux. Vous pouvez même créer vos propres correctifs, bien que cela puisse être un travail difficile et chronophage. Certains vendeurs créeront pour vous un noyau de mise à niveau Ubuntu, moyennant finance. Ce service est disponible pour Ubuntu 16.04 et les versions ultérieures.

• Aucun redémarrage n'est nécessaire.
• Mises à jour automatiques du noyau Gratuit pour un usage personnel (jusqu'à 3 machines ou jusqu'à 50 machines pour un membre reconnu de la communauté Ubuntu)

• Corrections personnalisées non triviales du noyau.
• Distributions limitées prises en charge.
• Limite au nombre d'hôtes pouvant être mis à jour.
• Hôtes supplémentaires payants - les prix de l'abonnement au support Ubuntu Advantage (au moins Essential) varient entre 225 et 1 500 $/machine/an pour les serveurs physiques, et entre 75 et 500 $/machine/an pour les machines virtuelles.

C'est déployé comme ça :

sudo snap install canonical-livepatch
sudo canonical-livepatch enable [TOKEN]

Le service Canonical Livepatch est gratuit pour un maximum de 3 machines à usage personnel ou jusqu'à 50 machines pour les membres de la communauté Ubuntu. Vous pouvez vous inscrire pour obtenir un jeton ici.

Red Hat Kpatch 

Il s'agit de l'outil de correction du noyau propre à Red Hat. Il a été annoncé en 2014 et a été porté pour fonctionner sur d'autres systèmes de la même famille (Fedora, CentOS) ainsi que pour certains systèmes basés sur Debian (Ubuntu, Gentoo).

• Aucun redémarrage n'est nécessaire.

• Non automatisé.
• Distributions limitées.
• Disponible dans le cadre d'un abonnement au support Premium pour 1299 $ par an.

Voici un exemple de déploiement sur RHEL 7 :

sudo yum install kpatch
sudo yum install kpatch-patch-X.X.X.el7.x86_64.rpm

Contrairement au service Livepatch d'Ubuntu ou à Ksplice d'Oracle, il n'est pas automatique et vous devez vérifier et installer manuellement chaque correctif du noyau dès qu'il est disponible.

SUSE Kgraft 

Développé et annoncé presque en même temps que la solution de Red Hat, Kgraft est l'offre de correctifs en direct de SUSE (connue sous le nom de SUSE Linux Enterprise Live Patching). Elle est uniquement destinée à Linux Enterprise Server 12 de SUSE et est préinstallée, de sorte qu'il n'y a rien à faire (sauf payer). Il fonctionne sur un principe différent de la plupart des autres approches mais possède un ensemble de fonctionnalités comparable à Kpatch.

• Aucune installation n'est nécessaire.
• Aucun redémarrage n'est nécessaire.

• Support d'une seule plateforme.
• Commercial (mais il existe un généreux essai gratuit de 60 jours).

CloudLinux KernelCare 

Également lancé en 2014, le service de correction en direct du noyau Linux de KernelCare se distingue des solutions de correction du noyau par sa couverture des systèmes d'exploitation, qui comprend notamment CentOS, RHEL, Oracle Linux, Debian et Ubuntu. Et comme la solution d'Oracle, KernelCare prend en charge les anciens noyaux 2.6.32 de RHEL 6.

• Installation facile.
• Aucun redémarrage n'est nécessaire.
• Couverture étendue des systèmes d'exploitation (y compris l'une des versions les plus populaires de Linux, Ubuntu).
• Prise en charge des correctifs personnalisés et à date fixe.
• Bonne assistance et savoir-faire industriel de la part de CloudLinux.

• Commercial (mais il existe un essai gratuit de 7 jours).
• Il existe également une licence gratuite de KernelCare pour les organisations à but non lucratif.

Voici comment installer KernelCare :

wget -qq -O -- https://kernelcare.com/installer | bash
sudo /usr/bin/kcarectl --register <your key>

For <your key> get your trial key here.

 

KernelCare est une solution "installer et oublier". Une fois installé, KernelCare télécharge et applique automatiquement les nouveaux correctifs de sécurité du noyau, sans redémarrer le serveur.

 

Mais contrairement à ses plus proches concurrents, KernelCare peut gérer certains des correctifs les plus complexes pour des vulnérabilités telles que Meltdown(CVE-2017-5754), Spectre(CVE-2017-5753 & CVE-2017-5715), et plus récemment, la faille de débordement de tampon du noyau Linux connue, de façon romantique, sous le nom de Mutagen Astronomy(CVE-2018-14634). KernelCare prend en charge les configurations de correctifs personnalisées, les correctifs à date fixe, les correctifs retardés et les retours en arrière sans redémarrage, c'est-à-dire les suppressions de correctifs.

Comme les autres fournisseurs considérés ici, KernelCare est également issu d'une bonne lignée : son créateur est CloudLinux, le principal fournisseur de systèmes d'exploitation basés sur Linux pour l'hébergement Web.

Conclusion

Si votre serveur n'est pas critique et peut supporter une période hors ligne, la mise à jour du noyau est relativement facile en utilisant les outils standard de la ligne de commande.

Si vous utilisez un système toujours opérationnel (c'est-à-dire que vous ne pouvez pas ou ne voulez pas redémarrer), jetez un coup d'œil aux solutions de correction du noyau en direct. Il en existe trois types :

1. Administré - vousdevez le faire vous-même. Par exemple, Kpatch, Kgraft.
2. Entièrement automatique - ille fait pour vous. Par exemple, Livepatch, Ksplice.
3. Entièrement automatique, avancé et multiplateforme, ille fait pour vous, en traitant les menaces avancées sur toutes les plateformes. Par exemple, KernelCare de CloudLinux.

Si vous souhaitez en savoir plus sur la technologie des correctifs en direct et sur la manière dont elle renforce la sécurité de votre infrastructure, lisez nos articles de blog les plus populaires :

• Redémarrer le serveur maintenant ou plus tard ? (Ni l'un ni l'autre, merci)
• Patching personnalisé du noyau avec mises à jour sans redémarrage

Avez-vous déjà eu l'occasion d'utiliser des outils de correction en direct du noyau Linux ? Lequel vous a semblé le plus utile pour votre activité ? Partagez vos réflexions dans les commentaires.