技術支援
文件
登錄
聯繫我們
不確定什麼是即時修補或它是如何工作的?查看 此綜合指南。
Live Linux 內核修補正在改變 SecOps,但 Red Hat 的 Kpatch 是工作負載的最佳選擇嗎?
在維護窗口期間苦苦掙扎,擔心修補機制不完善以及對紅帽安全運營的影響?Live Linux 內核修補,也稱為熱修補,是這兩個挑戰的答案——但並非每個實時內核修補工具的創建方式都相同。
大多數企業Linux供應商都推出了實時補丁工具,包括Red Hat的Red Hat Enterprise Linux(RHEL)工具,稱為Kpatch。採用即時修補現在是網路安全最佳實踐,使用最佳工具滿足您的需求至關重要。
Kpatch 在內核運行時將更改應用於內核,從而減輕維護視窗周圍的挑戰。自 2014 年最早版本的 Kpatch 以來,它一直支援基於 Red Hat 的伺服器工作負載,但它有其優點和缺點。一起來看看吧。
目錄
- Kpatch 動態內核修補簡介
- 臨時和持久Linux內核修補之間的區別
- 支援的Linux內核
- 成本呢?
- 快速比較表
- 從 Kpatch 實用程式過渡到 KernelCare
- 在Kpatch和KernelCare之間進行選擇
Kpatch 動態內核修補簡介
Red Hat決定將Kpatch引入Linux內核主線有點晚,因為它是在KSplice(麻省理工學院專案)和KernelCare之後開發的,由CloudLinux團隊開發。與其同行一樣,Kpatch 通過熱交換包含內核代碼修補版本的替換函數來執行即時修補。
換句話說,Kpatch 允許您將安全補丁應用於基於紅帽的工作負載,而無需在修補後立即重新啟動伺服器。該工具是由Red Hat內部開發的,一開始它類似於kGraft,這是SUSE Linux團隊開發的工具。鑒於kGraft與Kpatch的關係如此密切,這兩個組織決定共同努力並統一他們的努力。
臨時和持久Linux內核修補之間的區別
以下是瞭解 Kpatch 動態內核修補的關鍵點。執行即時修補或以前稱為動態內核修補時,有兩種路由:臨時修補和持久修補。Kpatch 依賴於臨時即時補丁,這正是它所說的,一種無需重新啟動即可在正在運行的工作負載上安裝關鍵補丁的臨時方法。
但是,臨時補丁並未完全集成,依賴持續的臨時補丁最終會降低性能 - 直到重新啟動正在運行的內核。是的,它有助於減輕修補方面的挑戰,但依靠內核模組的臨時補丁並不是完美的治療方法。
更好的修補方法是持久修補,其中每個內核實時補丁都包含一個二進位檔中的累積修復。補丁模組不會相互應用,不會降低性能,也不需要重新啟動系統。而且,在修補方面,可以說消除更新內核版本所需的重新啟動確實是主要目標。
支援的Linux內核
Kpatch是任何運行Red Hat Enterprise Linux(RHEL)的人的選擇。畢竟,它是由紅帽開發人員構建和維護的。但是,任何運行RHEL 6或某些版本的RHEL 7的人都不會被Kpatch覆蓋熱補丁。僅支援 RHEL 8、7.7 和 7.6。還支援一些非RHEL Linux發行版,包括特定版本的Ubuntu,Debian和Gentoo。
如果您運行的是 Kpatch 不支援的 RHEL、Ubuntu 或 Debian 版本,或者其他 Linux 發行版(如 CentOS 或 Amazon Linux),則需要向 KernelCare 尋求即時補丁支援。
成本呢?
順便說一句,如果您選擇了KernelCare Enterprise,那麼您將看到預算友好的定價,每年低於$ 60 /伺服器。通過持久修補和對各種 Linux 發行版的支援,KernelCare 也提供了相對豐富的功能集。
實施 Kpatch 的成本要高得多,除非您已經註冊了 RHEL 支持計劃。這是因為 Kpatch 僅適用於具有高級支援計劃的紅帽客戶,每台機器每年 1,299 美元。
對比圖
| 紅帽企業Linux | 帶有 LibCare 附加元件的 KernelCare Enterprise | |
|---|---|---|
| 支持的發行版 | 紅帽企業Linux | Red Hat Enterprise Linux 6、7、8 和 9,以及 Ubuntu、Oracle、AlmaLinux 等 |
| 架構 | 貨段86-64 | x86-64, 臂64 |
| 覆蓋 | Linux內核 | Linux kernel & Critical userspace (glibc & openssl) |
| 漏洞已修補 | 高和臨界的子集 | 都 |
| 內核修補存留期 | 6個月 | 幾乎無限 |
| 自訂補丁 | 是的 | 是的 |
| QEMU 修補 | 不 | 是的 |
| 資料庫修補 | 不 | 是的 |
| 24/7 支援 | 否,嚴重級別為 1 和 2 的情況為 24×7,否則為標準上班時間(適用於高級訂閱者) | 是的,在線,24/7/365,不同訂閱有不同的優先順序 |
| 補丁集分發 | 沒有分銷管道,補丁是獨立的 | 所有補丁的單個補丁集 |
| 可用的介面 | 不 | 是的 |
| 回滾功能 | 是的 | 是,無需重啟 |
| 適用於新客戶 | 僅適用於 RHEL | 是的,支援 40 多個發行版 |
| 修補類型 | 臨時 | 持續 |
| 附加元件 | – | 自定義補丁、QEMU、資料庫修補 |
| 成本 | 與 RedHat 訂閱捆綁在一起,每個 CPU 插槽每年 349 美元。 | 每個系統每年59.50美元。訂閱中可以包含不同的載入項。批量定價可用。 |
準備好瞭解有關切換到內核護理的更多資訊了嗎?
從 Kpatch 實用程式過渡到 KernelCare
從 Kpatch 即時內核修補機制切換到 KernelCare Enterprise 非常簡單。只需一個簡單的快速啟動腳本即可安裝 KernelCare,您的 Linux 系統將享受持續、永久的全面修補。
安裝 KernelCare Enterprise 不會中斷您現有的工作負載,並且您可以保留 Kpatch 的原始功能。然而,KernelCare 通過永久修補完全最大限度地減少中斷來做更多的事情,這意味著您永遠不需要重新啟動。
在Kpatch和KernelCare之間進行選擇
如果您是紅帽高級支援客戶,並且僅在您的伺服器上使用 RHEL,並且如果臨時內核修補不會導致過多的資源消耗或停機,您可能需要考慮 Kpatch,因為它已經包含在您與紅帽的協定中。
運行混合Linux發行版的組織,或者不需要紅帽支援合同中包含的所有額外花裡胡哨的組織應該認真考慮將KernelCare作為Kpatch的替代工具之一,因為KernelCare Enterprise的成本較低,功能集也更廣泛。最後,如果像許多組織一樣,您根本負擔不起 Kpatch 的臨時即時修補方法所暗示的重啟,那麼 KernelCare 是您的最佳選擇。