[新網络研討會]CentOS 7 生命週期終結策略:今天和未來幾年的安全 – 12 月 6 日 @ 美國東部時間上午 10:30/歐洲中部時間下午 4 點 RSVP
在維護窗口期間苦苦掙扎,擔心修補機制不完善以及對紅帽安全運營的影響?Live Linux 內核修補,也稱為熱修補,是這兩個挑戰的答案——但並非每個實時內核修補工具的創建方式都相同。
大多數企業Linux供應商都推出了實時補丁工具,包括Red Hat的Red Hat Enterprise Linux(RHEL)工具,稱為kpatch。採用即時修補現在是網路安全最佳實踐,使用最佳工具滿足您的需求至關重要。
kpatch 在內核運行時將更改應用於內核,從而緩解維護視窗周圍的挑戰。自 2014 年最早的 kpatch 版本以來,它一直支援基於 Red Hat 的伺服器工作負載,但它有其優點和缺點。一起來看看吧。
目錄
Red Hat將kpatch引入Linux內核主線的決定有點晚,因為它是在KSplice(麻省理工學院專案)和 KernelCare之後開發的,由CloudLinux團隊開發。與其同行一樣,kpatch 通過熱交換包含內核代碼修補版本的替換函數來執行即時修補。
換句話說,kpatch 允許您將安全補丁應用於基於 Red Hat 的工作負載,而無需在修補後立即重新啟動伺服器。該工具是由Red Hat內部開發的,一開始它類似於kGraft,這是SUSE Linux團隊開發的工具。鑒於kGraft與kpatch的關係如此密切,這兩個組織決定共同努力並統一他們的努力。
Red Hat 的內核在發佈六個月後停止接收即時內核補丁。要接收持續的 kpatch 更新,客戶需要升級內核並每年至少執行兩次重新啟動。因此,客戶必須將其維護時段與供應商的發佈計劃保持一致。
相比之下, KernelCare Enterprise 提供幾乎無限時間範圍的即時補丁。這使客戶可以在規劃維護時段時享受對其現有內核的持續保護,而不受供應商發佈計劃的約束。
kpatch 是任何運行紅帽企業 Linux (RHEL) 的人的選擇。畢竟,它是由紅帽開發人員構建和維護的。但是,任何運行 RHEL 6 或某些版本的 RHEL 7 的人都不會被 kpatch 覆蓋熱補丁。僅支援 RHEL 8、7.7 和 7.6。還支援一些非RHEL Linux發行版,包括特定版本的Ubuntu,Debian和Gentoo。
如果您運行的是 kpatch 不支援的 RHEL、Ubuntu 或 Debian 版本,或者其他 Linux 發行版(如 CentOS 或 Amazon Linux),則需要向 KernelCare Enterprise 尋求即時補丁支援。
如果系統管理員選擇這樣做,無論出於何種原因, KernelCare Enterprise 都允許回滾任何補丁 - 這個過程也不涉及重新啟動。這在補丁對系統性能有相當大的負面影響(例如, Spectre/Meltdown 修復)並且有其他可用緩解措施的情況下特別有用。另一方面,KPATCH 不支援無需重新啟動的回滾功能。這可能會導致代價高昂的服務中斷,從而損害即時修補的主要優勢。
如果補丁沒有按預期工作,很高興知道如果需要,您可以輕鬆恢復到較舊的內核。使用 KernelCare Enterprise,您始終可以通過運行不需要重新啟動系統的特殊命令來回滾所有已應用的更改 - 消除 kpatch 無法提供的潛在回滾中斷。
順便說一句,如果您選擇了 KernelCare Enterprise,那麼您將看到預算友好的定價,每年低於$ 60 /伺服器。通過持久修補和對各種 Linux 發行版的支援, KernelCare 也提供了相對豐富的功能集。
實施 kpatch 的成本要高得多,除非您已經註冊了 RHEL 支持計劃。這是因為 kpatch 僅適用於具有高級支援計劃的紅帽客戶,即每台機器每年 1,299 美元。
紅帽補丁 | 帶有 LibCare 附加元件的 KernelCare Enterprise | |
---|---|---|
支持的發行版 | 紅帽企業Linux | Red Hat Enterprise Linux 6、7、8 和 9,以及 Ubuntu、Oracle、AlmaLinux 等 |
架構 | 貨段86-64 | x86-64, 臂64 |
覆蓋 | Linux內核 | Linux kernel & Critical userspace (glibc & openssl) |
漏洞已修補 | 高和臨界的子集 | 都 |
內核修補存留期 | 6個月 | 幾乎無限 |
自訂補丁 | 是的 | 是的 |
QEMU 修補 | 不 | 是的 |
資料庫修補 | 不 | 是的 |
24/7 支援 | 否,嚴重級別為 1 和 2 的情況為 24×7,否則為標準上班時間(適用於高級訂閱者) | 是的,在線,24/7/365,不同訂閱有不同的優先順序 |
補丁集分發 | 所有補丁的單個補丁集 | 所有補丁的單個補丁集 |
可用的介面 | 不 | 是的 |
回滾功能 | 是,重新啟動 | 是,無需重啟 |
適用於新客戶 | 僅適用於 RHEL | 是的,支援 40 多個發行版 |
修補類型 | 持續 | 持續 |
附加元件 | – | 自定義補丁、QEMU、資料庫修補 |
成本 | 與 RedHat 訂閱捆綁在一起,每台機器每年 1,299 美元。 | 每個系統每年59.50美元。訂閱中可以包含不同的載入項。批量定價可用。 |
從 kpatch 即時內核修補機制切換到 KernelCare Enterprise 非常簡單。只需一個簡單的快速啟動腳本即可安裝 KernelCare,您的 Linux 系統將享受全面的連續即時修補。
安裝 KernelCare Enterprise 不會中斷您現有的工作負載,並且您可以保留 kpatch 的原始功能。然而, KernelCare 通過永久修補完全最大限度地減少中斷來做更多的事情,這意味著您永遠不需要重新啟動。
如果您是紅帽高級支援客戶,並且只在您的伺服器上使用 RHEL,您可能需要考慮 kpatch,因為它已經包含在您與紅帽的協定中。
運行混合 Linux 發行版的組織,或者不需要紅帽支援合同中包含的所有額外花裡胡哨的組織應該認真考慮將 KernelCare Enterprise 作為 kpatch 的替代工具之一,因為 KernelCare Enterprise 的成本較低,功能集也更廣泛。最後,如果像許多組織一樣,您根本無法承受 kpatch 有限的即時修補生命週期和需要計劃外重新啟動系統的回滾所暗示的重新啟動,那麼 KernelCare 是您的最佳選擇。