7
Canonical: Ubuntu führt Kernel-Live-Patches ein
Nutzer von Ubuntu 16.04, der aktuellen Version mit Langzeitsupport, können künftig wichtige Sicherheitsupdates für den Linux-Kernel in ihre Systeme einspielen, ohne neustarten zu müssen.
http://www.golem.de/news/canonical-ubuntu-fuehrt-kernel-live-patches-ei ...
http://www.golem.de/news/canonical-ubuntu-fuehrt-kernel-live-patches-ei ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 318389
Url: https://administrator.de/contentid/318389
Printed on: May 3, 2024 at 07:05 o'clock
7 Comments
Latest comment
Hi,
ja, aber ganz so kostenlos wird das nicht mehr sein. Der Dienst ist Teil der Landscape Verwaltungswerkzeuge, die Canonical seinen Unternehmenskunden gegen Bezahlung zur Verfügung stellt. Es gibt wohl ein Angebot von Canonical zum Testen ohne gleich bezahlen zu müssen (max. 3 Rechnern).
Irgendwie passt das, gerade beim Open-Source Linux-Kernel, nicht ins Bild. Hätte niemals gedacht, dass Kernel Live-Patches mal gegen Gebühr eingeführt werden. Aber schauen wir mal, wie andere Distributionen das in Zukunft machen.
Gruß
Frank
ja, aber ganz so kostenlos wird das nicht mehr sein. Der Dienst ist Teil der Landscape Verwaltungswerkzeuge, die Canonical seinen Unternehmenskunden gegen Bezahlung zur Verfügung stellt. Es gibt wohl ein Angebot von Canonical zum Testen ohne gleich bezahlen zu müssen (max. 3 Rechnern).
Irgendwie passt das, gerade beim Open-Source Linux-Kernel, nicht ins Bild. Hätte niemals gedacht, dass Kernel Live-Patches mal gegen Gebühr eingeführt werden. Aber schauen wir mal, wie andere Distributionen das in Zukunft machen.
Gruß
Frank
Moin,
ich kann Franks Gedankengänge nachvollziehen. Allerdings denke ich, dass das ein verschmerzbarer Punkt ist. Die ganze Funktion ist ja nun einmal eher was für HA-Umgebungen - also Firmenkunden - also die User, mit denen Canoncial und Co Geld verdienen. Es wird auf jeden Fall spannend, wie Red Hat & Co. das Thema angehen werden.
Gruß Krämer
PS: Im Zweifel gibt es ja auch noch LFS
ich kann Franks Gedankengänge nachvollziehen. Allerdings denke ich, dass das ein verschmerzbarer Punkt ist. Die ganze Funktion ist ja nun einmal eher was für HA-Umgebungen - also Firmenkunden - also die User, mit denen Canoncial und Co Geld verdienen. Es wird auf jeden Fall spannend, wie Red Hat & Co. das Thema angehen werden.
Gruß Krämer
PS: Im Zweifel gibt es ja auch noch LFS
Moin,
Naja... Wirklich so spannend? Siehe:
http://rhelblog.redhat.com/2015/03/23/live-kernel-patching-update/
Und Kernel Live patchen kann eigentlich jeder, wenn er will, auch heute schon for free. Okay, vielleicht nicht ganz so komfortabel aber es geht:
https://linux-audit.com/livepatch-linux-kernel-updates-without-rebooting ...
Die Sache ist: Man tut sich damit keinen gefallen... Denn auch, besser gesagt: Gerade in HA Umgebungen muss ich Systeme mehr oder weniger beliebig neustarten können, ohne dass mein Setup die Grätsche macht.
Livepatching im Kernel ist ein Spiel mit dem Feuer. Zumindest mit mehr als 2 oder 3 patches. Denn hier werden im Kernel einfach live Funktionen überschrieben. bzw. per onstack replacement ersetzt. Sprich man biegt halt mal eben im Kernel einfach Speicheradressen um. Das hat zum einen das Problem, dass hier jetzt natürlich Probleme mit Datenstrukturen im Speicher auftreten können, die sich ggf. im Patch geändert haben, zum anderen ist es halt etwas wie Jenga... Man baut halt immer höher, bis es einstürzt.
Zusammengefasst also: Kernel-Live-Patching ist nur was für Gebiete wo ich meine Systeme nicht ausschalten kann. Also vielleicht, weil mein Backup schon ausgefallen ist und ich halt den Server live halten muss. Oder aber weil ich irgendeine extrem langwierige Berechnung laufen lasse, die ich nicht einfach mal verlagern kann.
Hier gehe ich dann einen Pakt mit dem Teufel ein: Möglicherweise mehr Sicherheit für eine höhere Wahrscheinlichkeit mit einer Kernelpanic das System zum Absturz zu bringen.
In diesem Sinne
Gruß
Chris
Es wird auf jeden Fall spannend, wie Red Hat & Co. das Thema angehen werden.
Naja... Wirklich so spannend? Siehe:
http://rhelblog.redhat.com/2015/03/23/live-kernel-patching-update/
Und Kernel Live patchen kann eigentlich jeder, wenn er will, auch heute schon for free. Okay, vielleicht nicht ganz so komfortabel aber es geht:
https://linux-audit.com/livepatch-linux-kernel-updates-without-rebooting ...
Die Sache ist: Man tut sich damit keinen gefallen... Denn auch, besser gesagt: Gerade in HA Umgebungen muss ich Systeme mehr oder weniger beliebig neustarten können, ohne dass mein Setup die Grätsche macht.
Livepatching im Kernel ist ein Spiel mit dem Feuer. Zumindest mit mehr als 2 oder 3 patches. Denn hier werden im Kernel einfach live Funktionen überschrieben. bzw. per onstack replacement ersetzt. Sprich man biegt halt mal eben im Kernel einfach Speicheradressen um. Das hat zum einen das Problem, dass hier jetzt natürlich Probleme mit Datenstrukturen im Speicher auftreten können, die sich ggf. im Patch geändert haben, zum anderen ist es halt etwas wie Jenga... Man baut halt immer höher, bis es einstürzt.
Zusammengefasst also: Kernel-Live-Patching ist nur was für Gebiete wo ich meine Systeme nicht ausschalten kann. Also vielleicht, weil mein Backup schon ausgefallen ist und ich halt den Server live halten muss. Oder aber weil ich irgendeine extrem langwierige Berechnung laufen lasse, die ich nicht einfach mal verlagern kann.
Hier gehe ich dann einen Pakt mit dem Teufel ein: Möglicherweise mehr Sicherheit für eine höhere Wahrscheinlichkeit mit einer Kernelpanic das System zum Absturz zu bringen.
In diesem Sinne
Gruß
Chris
Zitat von @Sheogorath:
Naja... Wirklich so spannend? Siehe:
http://rhelblog.redhat.com/2015/03/23/live-kernel-patching-update/
Wo steht in dem Link was zu dem Thema Vermarktung?Es wird auf jeden Fall spannend, wie Red Hat & Co. das Thema angehen werden.
Naja... Wirklich so spannend? Siehe:
http://rhelblog.redhat.com/2015/03/23/live-kernel-patching-update/
Naja... Wirklich so spannend? Siehe:
http://rhelblog.redhat.com/2015/03/23/live-kernel-patching-update/
http://rhelblog.redhat.com/2015/03/23/live-kernel-patching-update/
Naja, der Beitrag ist vom 23. März 2015. Die Frage ist wohl eher, wie sie es heute angehen.
Denn auch, besser gesagt: Gerade in HA Umgebungen muss ich Systeme mehr oder weniger beliebig neustarten können, ohne dass mein Setup die Grätsche macht.
Wie du schon sagst, es kommt auf die Umgebung und den Zweck der Geräte/Software an.
Ich sehe das Live-Patching eher im Bereich von IoT (Internet der Dinge), Router, oder sonstige Hardware die mit einem Linux Kernel laufen (und das sind verdammt viele). Ich möchte keinen Router hier im Rechenzentrum neu starten, wenn ihn gerade tausende Usern benutzen. Da wäre so ein Live-Patch manchmal sehr hilfreich. Gerade für Hardware, die 24 Stunden laufen muss (warum auch immer), wäre das Thema spannend. Wäre doch in Zukunft blöd, wenn entweder der Satellit zum Mars oder mein neuer Haushaltsroboter eine Pause einlegen muss, weil er "rebooten" will
Aber klar, ich stimme dir auch zu, dass Livepatching neue Probleme bringen kann. Diese gilt es aber zu lösen.
Gruß
Frank
Moin,
... one comment:
http://www.golem.de/news/internet-of-shit-mann-kaempft-11-stunden-gegen ...
Aber Scherz bei Seite. Ja, natürlich existiert ein berechtigter Einsatzort für Kernel-Patching, die Frage ist halt: Inwiefern will ich das so ausrollen? Davon abgesehen, dass ich mich frage, wie viele Router haben wohl Ubuntu installiert? Im Gegenteil die meisten Router sind noch weit unflexibler was Updates angeht. Da braucht es ja schon oft zum fixen von Anwendungssoftware ein ganzes Firmware-Image... Aber egal.
Aus Sicht eines Entwicklers ist Kernelpatching ein unglaublich spannendes Thema (ich persönlich liebe solche Finessen). Aber ich sehe den großen Nutzen davon nicht unbedingt. Okay, vielleicht noch auf einem Desktop-System. Aber das darf man ruhig auch mal durchstarten ;)
Gruß
Chris
Ich sehe das Live-Patching eher im Bereich von IoT (Internet der Dinge)
... one comment:
http://www.golem.de/news/internet-of-shit-mann-kaempft-11-stunden-gegen ...
Aber Scherz bei Seite. Ja, natürlich existiert ein berechtigter Einsatzort für Kernel-Patching, die Frage ist halt: Inwiefern will ich das so ausrollen? Davon abgesehen, dass ich mich frage, wie viele Router haben wohl Ubuntu installiert? Im Gegenteil die meisten Router sind noch weit unflexibler was Updates angeht. Da braucht es ja schon oft zum fixen von Anwendungssoftware ein ganzes Firmware-Image... Aber egal.
Aus Sicht eines Entwicklers ist Kernelpatching ein unglaublich spannendes Thema (ich persönlich liebe solche Finessen). Aber ich sehe den großen Nutzen davon nicht unbedingt. Okay, vielleicht noch auf einem Desktop-System. Aber das darf man ruhig auch mal durchstarten ;)
Gruß
Chris
Hi Chris,
Ne, es geht doch um Kernel-Patching generell für Linux und jetzt nicht um eine spezielle Distribution und das die Hersteller da besser werden müssen steht außer Frage
Da sehe ich das jetzt am wenigsten, Linux Desktops sind leider immer noch nicht Standard
Gruß
Frank
Davon abgesehen, dass ich mich frage, wie viele Router haben wohl Ubuntu installiert?
Ne, es geht doch um Kernel-Patching generell für Linux und jetzt nicht um eine spezielle Distribution und das die Hersteller da besser werden müssen steht außer Frage
Okay, vielleicht noch auf einem Desktop-System
Da sehe ich das jetzt am wenigsten, Linux Desktops sind leider immer noch nicht Standard
Gruß
Frank
