ClickCease Ksplice: 엔터프라이즈 라이브 패치 서비스 개요 - TuxCare

CVE 상태를 확인하세요. 자세히 알아보기.

목차

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

소셜에서 팔로우하기

TuxCare 블로그

Ksplice: 엔터프라이즈 라이브 패치 서비스 개요

by

2020년 11월 2일 TuxCare 홍보팀

엔터프라이즈 라이브 패칭 서비스 개요: Ksplice 집중 조명

 

2008년 이전에는 리눅스 커널에 새 패치를 설치하는 커널에 새 패치를 설치하는 유일한 방법은 yum update 커널 명령이었습니다. 24시간 연중무휴 서버를 사용하는 사람들은 지속적인 업데이트에 짜증이 나고 수백 대의 서버를 수동으로 업데이트해야 하는 관리자들도 짜증이 날 것이 분명했습니다. 다운타임에 대한 유일한 해결책은 설치를 주말까지 늦추는 것이었는데, 이는 해커들이 취약점을 악용할 충분한 시간을 벌어주는 것이었습니다 .

커널 라이브 패치의 상업적 역사는 Ksplice에서 시작되었습니다. 오늘날 Ksplice는 Linux 커널 외에도 공유 라이브러리 및 API에 대한 패치도 릴리스합니다. 이러한 패치는 데이터 인프라를 변경하지 않는 한 실시간으로 적용할 수 있습니다.

상용 라이브 패치는 지난 몇 년 동안 크게 성장해 왔으며, 기업 고객이 주요 고객입니다. 오늘날 기업에서는 특정 목적에 따라 다양한 버전의 Linux 서버를 운영하여 동질적인 네트워크를 구축합니다. 소비자는 비용 효율성과 다양한 서비스에 따라 패치 관리 솔루션을 설치할 수 있습니다. 이러한 결정을 내리는 과정에 있는 경우 설치, 배포 및 구독 옵션에 중점을 두고 Ksplice에 대한 개요를 제공합니다.

콘텐츠:

  1. Ksplice의 역사
  2. 작동 방식 영구적 라이브 패치와 임시 라이브 패치
  3. 크스플리스 업트랙
  4. Ksplice Uptrack 설치 방법
  5. Ksplice를 사용하여 오라클 리눅스 커널을 업데이트하는 방법
  6. Ksplice Enhanced Client란 무엇이며 어떻게 관리하나요?
  7. Ksplice Uptrack의 단점
  8. Ksplice에 대한 추가 정보
  9. 결론

 

 

 

Ksplice의 역사

Ksplice의 역사

2008년, 제프 아놀드는 다른 사람들과 함께 리눅스 커널 업데이트를 위한 Linux 커널을 업데이트하는 솔루션 Linux 커널을 업데이트할 수 있는 솔루션을 찾기 시작했습니다. 그들은 Ksplice를 만들고 Ksplice, Inc. 이 회사는 글로벌 보안 챌린지와 MIT $100,000 창업 경진대회에서 우승했습니다. Ksplice는 오픈 소스 소프트웨어였지만, Ksplice, Inc.는 소프트웨어를 더욱 쉽게 사용할 수 있도록 만들었습니다.

2015년에는 Ubuntu와 Fedora에서 Ksplice를 무료로 사용할 수 있게 되었습니다. 오라클은 2011년에 Ksplice를 인수했으며, 2016년에는 이를 오라클 Linux 6 및 7용 Unbreakable Enterprise Kernel 릴리스 4에 통합했습니다. 2011년 오라클이 구매하기 전까지는 오픈 소스를 통해 Ksplice를 사용할 수 있었기 때문에 관리자는 라이브 패치를 위한 새로운 대안을 찾아야 했습니다. 많은 관리자가 라이브 패치를 위한 자체 소프트웨어를 개발했습니다.

KernelCare는 라이브 패치를 위한 솔루션 중 하나로, Ksplice가 오라클을 통해서만 제공되던 시절에 개발되었습니다. 라이브 패치에 대한 접근 방식을 통해 고객은 모든 유형의 Linux를 패치할 수 있으므로 고가의 애플리케이션을 여러 개 보유할 필요가 없습니다.

 

 

작동 방식 영구적 라이브 패치와 임시 라이브 패치

작동 방식 영구적 라이브 패치와 임시 라이브 패치

Linux 커널에서 보안 취약점이나 중요한 버그가 발견되면 오라클은 재부팅 없이도 새로운 커널을 업데이트할 수 있도록 준비합니다. 이 업데이트는 시스템 중단 없이 Oracle Ksplice Uptrack 서버를 통해 배포됩니다.

라이브 패치에는 영구 패치와 임시 패치의 두 가지 기본 방법이 있습니다. 영구 패치는 Ksplice와 같이 재부팅이 필요하지 않습니다. 임시 패치는 재부팅 없이 패치가 적용되지만 나중에 서버를 재부팅해야 합니다.

영구 라이브 패치는 패치를 저장하고 새 패치를 이전 패치에 통합하는 전용 패치 서버가 있습니다. 백그라운드에서 실행되는 프로그램이 정기적으로 새 패치를 확인하고 그에 따라 설치합니다. 영구 패치는 모든 패치가 단일 바이너리에 모든 누적 수정 사항을 포함하고 재부팅할 필요가 없으므로 시스템 속도가 느려지지 않습니다. 이를 통해 실행되는 서버는 수년 동안 문제 없이 지속적으로 실행될 수 있습니다.

임시 라이브 패치를 적용하려면 서버에 관리 소프트웨어를 패키징해야 합니다. 패치를 다운로드할 준비가 되면 소프트웨어가 그에 따라 패치를 설치합니다. 이 방법을 사용하려면 서버를 재부팅해야 하며 패치가 영구 소프트웨어처럼 원활하게 통합되지 않습니다. 대신 패치가 시간이 지남에 따라 서로 쌓이게 되어 안정성과 성능이 저하될 수 있습니다. 이렇게 쌓인 패치를 수정하는 유일한 방법은 서버를 재부팅하는 것입니다.

퍼시스턴트 방식은 재부팅할 필요가 없어 서비스 중단이 없으므로 해커가 다운타임을 몰래 침입하는 수단으로 악용하는 것을 방지할 수 있다는 점에서 우수합니다. 퍼시스턴트 방식을 사용하는 라이브 패치 시스템은 Ksplice와 CloudLinux KernelCare 두 가지뿐입니다.

 

크스플리스 업트랙

크스플리스 업트랙

Uptrack은 시스템에 대한 정보를 요약한 웹 인터페이스가 있는 구독으로, Ksplice가 새 업데이트를 작업하는 시기를 알려줍니다. 진행 중인 업데이트, 새로운 Uptrack 릴리스, Uptrack을 사용하지 않거나 Uptrack 서버와 통신하지 않는 비활성 시스템에 대한 알림을 받게 됩니다.

또한 사용 가능한 업데이트, 시스템에 대한 기본 정보, Uptrack 서버와 마지막으로 통신한 시간 등 서버의 각 컴퓨터에 대한 심층적인 세부 정보를 확인할 수 있습니다.

Uptrack은 오프라인 클라이언트를 제공하여 인트라넷의 서버를 Oracle Uptrack 서버에 직접 연결할 필요가 없습니다. 이를 통해 시스템에 업데이트가 설치되는 방식을 더 세밀하게 제어할 수 있습니다.

 

Ksplice Uptrack 설치 방법

Ksplice Uptrack 설치 방법

액세스 키

Ksplice Uptrack을 설치하기 전에 Unbreakable Linux 네트워크에 로그인하여 액세스 키를 얻은 후 지침에 따라 시스템을 등록해야 합니다.

프록시

크스플리스 업트랙을 설치하는 동안 인터넷에 접속할 수 있어야 합니다. 프록시를 사용할 경우 셸에서 프록시를 다음과 같이 설정하세요:

# 내보내기 http_proxy=http://proxy.example.com:port

# 내보내기 https_proxy=http://proxy.example.com:port

The proxy string should be of the form [protocol://][username:password@]<host>[:port], where:

  • 프로토콜은 프록시에 연결하기 위한 프로토콜(http 또는 https)입니다.
  • 사용자 아이디와 비밀번호는 프록시를 사용하는 데 필요한 인증 정보(있는 경우)입니다.
  • 호스트와 포트는 프록시에 연결하는 데 사용되는 호스트 이름/IP 주소와 포트 번호입니다.

프록시는 HTTPS 연결을 지원해야 합니다.

설치

액세스 키가 있으면 Ksplice Uptrack 설치를 시작할 수 있습니다. 이 지침을 루트 권한으로 실행하여 YOUR_ACCESS_KEY를 가지고 있는 액세스 키로 대체해야 합니다.

자동 업데이트 설치

업데이트를 자동으로 받으려면 다음 안내를 따르세요:

오라클 클라우드 내부:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc

# sh install-uptrack-oc -autoinstall

다른 모든 설치의 경우:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack

# sh install-uptrack YOUR_ACCESS_KEY -autoinstall

사용 가능한 업데이트를 적용하세요:

# uptrack-upgrade -y "

수동 업데이트 설치

Uptrack을 수동으로 업데이트하려면 다음 지침을 따르세요:

오라클 클라우드 내부:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack-oc

# sh install-uptrack-oc

다른 모든 설치의 경우:

# wget -N https://ksplice.oracle.com/uptrack/install-uptrack

# sh install-uptrack YOUR_ACCESS_KEY

사용 가능한 업데이트를 적용하세요:

# uptrack-upgrade -y "

 

 

Ksplice를 사용하여 오라클 리눅스 커널을 업데이트하는 방법
Ksplice를 사용하여 오라클 리눅스 커널을 업데이트하는 방법

Ksplice 업그레이드를 적용해야 하는 경우 uptrack-upgrade -y를 실행합니다. 이렇게 하면 사용 가능한 모든 업데이트를 한 번에 적용하거나 특정 Ksplice ID를 실행하여 각 업데이트를 개별적으로 적용하도록 선택할 수 있습니다.

어떤 업데이트가 설치되었는지 확인하려면 uptrack-show를 실행하세요. 현재 설치할 수 있는 업데이트를 확인하려면 uptrack-show -available을 실행하세요.

Ksplice 업데이트를 제거하려면 uptrack-remove를 실행합니다. 모든 업데이트를 제거하거나 Ksplice ID별로 특정 업데이트를 제거하도록 선택할 수 있습니다. 이 작업을 완료한 후 uptrack-show를 실행하여 모든 업데이트를 제거했는지 확인하거나 제거하려는 업데이트가 성공적으로 제거되었는지 확인할 수 있습니다.

 

Ksplice Enhanced Client란 무엇이며 어떻게 관리하나요?

Ksplice Enhanced Client란 무엇이며 어떻게 관리하나요?

Ksplice Enhanced Client는 커널 및 사용자 공간에 대한 업데이트를 지원하는 온라인 Ksplice 클라이언트의 향상된 버전으로, Oracle 서버에서 Xen 하이퍼바이저를 패치하는 데 사용할 수 있는 Oracle Linux 6에서만 사용할 수 있습니다. 사용자 공간 프로세스를 위해 openssl 및 glibc와 같은 공유 라이브러리에서 인메모리 페이지를 패치할 수 있습니다. 이 패치를 통해 서비스 및 프로세스를 다시 시작할 필요 없이 버그 수정을 설치하고 취약성으로부터 시스템을 보호할 수 있습니다. 향상된 클라이언트는 온라인과 오프라인 모두에서 사용할 수 있습니다.

Ksplice Enhanced Client를 관리하려면 Uptrack 명령을 사용하는 대신 ksplice 명령을 사용하세요. 이 명령을 사용하면 커널 패치와 사용자 공간 패치를 모두 수행할 수 있습니다. 패치에 사용할 수 있는 실행 중인 사용자 공간 프로세스를 확인하려면 모든 목록 대상을 대상으로 ksplice를 실행합니다. 패치에 사용할 수 있는 Xen 하이퍼바이저 대상만 보려면 ksplice xen list-targets를 실행합니다. 시스템에 어떤 업데이트가 있는지 확인하려면 ksplice all show를 실행합니다. 모든 업데이트를 제거해야 하는 경우 ksplice user remove -all -pid=705를 실행하고, 특정 업데이트만 제거하려면 ksplice user undo -pid=705 h73qvumn을 실행합니다.

사용 가능한 업데이트를 확인하려면 업그레이드 명령인 ksplice -y user upgrade를 실행합니다. 적용된 모든 업데이트를 확인하려면 ksplice 커널 쇼를 실행합니다. 모든 업데이트를 제거하려면 ksplice 커널 제거 -all을 실행합니다.

 

Ksplice Uptrack의 단점

Ksplice Uptrack의 단점

Ksplice에는 장점이 있는 반면, 단점도 있습니다. 오라클이 Ksplice를 소유하고 있기 때문에 오라클 리눅스, 우분투, 레드햇 엔터프라이즈 리눅스 및 CentOS에서만 사용할 수 있습니다. 또한 지원 라이선스가 있어야 하며, 가격은 시스템당 연간 1,399달러부터 시작합니다.

 

Ksplice에 대한 추가 정보

Ksplice에 대한 추가 정보

Ksplice에 대한 자세한 내용은 다음을 참조하세요:

  • 다른 고객, 개발자 및 파트너와 소통할 수 있는 오라클의 온라인 커뮤니티는 여기에서 확인할 수 있습니다: https://community.oracle.com/hub/
  • Ksplice에서 금융 부문에 이르기까지 다양한 주제를 다루는 오라클 블로그는 다음 링크에서 확인할 수 있습니다: https://blogs.oracle.com

 

결론

Ksplice는 재부팅 없이 자동으로 Linux 커널을 패치하는 선구자였지만, 오라클이 이 기능을 오라클 Linux와 RedHat Enterprise Linux에서만 사용할 수 있도록 하고, 이를 운영하려면 오라클의 라이선스가 필요하다는 사실을 알게 된 이후에는 그 기능을 사용할 수 없게 되었습니다. 오라클은 훌륭한 제품과 플랫폼을 만들지만, 많은 사람들이 시스템에 대해 더 다양한 접근 방식을 가지고 있습니다.

KernelCare는 오라클이 2011년에 Ksplice의 소스 코드를 폐쇄하면서 생긴 공백을 메워줍니다. KernelCare는 Linux 커널에 대한 Linux 커널에 대한 애그노스틱 접근 방식에 대한 불가지론적 접근 방식을 취하여 Oracle 및 Red Hat을 포함한 모든 유형의 Linux를 지원하며, KernelCare를 사용하기 위해 Oracle의 값비싼 라이선스를 보유할 필요가 없습니다.

오라클 제품만 사용하는 것이 아니라 여러 제품을 사용하는 경우, 취약성과 버그로부터 모든 것을 안전하게 유지하기 위해 여러 라이브 패치 소프트웨어 옵션을 사용하고 있을 가능성이 높습니다. 그러나 Ksplice와 KernelCare만 영구 패치를 제공하기 때문에 사용 중인 다른 패치 소프트웨어는 결국 시스템을 재부팅해야 하며, 그렇지 않으면 시간이 지남에 따라 속도가 느려지기 시작합니다. 따라서 해커에게 시스템을 계속 개방하게 되므로 라이브 패치를 사용하는 목적이 무색해집니다. KernelCare를 사용하면 다른 패치 소프트웨어를 사용할 필요가 없으므로 업데이트를 다시 적용하기 위해 시스템을 재부팅할 필요가 없습니다.

현재 Ksplice를 사용 중이지만 KernelCare로 전환하려는 경우 다음을 수행할 수 있습니다. 원활하게 소프트웨어를 변경할 수 있습니다.다운타임이나 서버 재부팅 없이 원활하게 변경할 수 있습니다.

KernelCare와 그 기능에 대해 자세히 알아보고 나란히 비교해보려면 다음을 참조하세요. 커널케어와 Ksplice의 비교 - 및 기타 라이브 패치 소프트웨어에 대해 자세히 알아보고 싶다면 지금 바로 웹사이트를 방문하여 Linux 커널 업데이트에 대한 보다 독립적이고 경제적인 접근 방식을 사용해 보세요!

KernelCare 7일 무료 체험판 받기 

 

라이브 패치 서비스에 대한 다른 개요를 확인하세요:

엔터프라이즈 라이브 패치 서비스 개요: Canonical 라이브패치에 대한 집중 조명

엔터프라이즈 라이브 패칭 서비스 개요: kpatch에 대한 집중 조명

엔터프라이즈 라이브 패칭 서비스 개요: 아마존 커널 라이브 패칭에 대한 집중 조명

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기