Begrebet «Livepatch er ikke noget nyt og det har ikke engang været implementeret i Linux i et par år, da Red Hat, Oracle, Canonical og SUSE er nogle af dem, der har implementeret denne teknologi til deres distributioner.
Og selvom de har etableret sig som en fremragende løsning, er dette Det afhænger normalt af lukkede processer i skabelsen af plastrene, begrænser gennemsigtighed og tilpasningsevne. Tidligere open source-projekter, såsom Gentoos elivepatch og Debians linux-livepatching, har været præget af lange perioder med inaktivitet eller stagnation i deres prototypefaser.
Stillet over for denne række af problemer som stadig står over for processen med at generere, kompilere, implementere og installere aktive Linux-kernepatches, TuxTape præsenterer sig selv som en løsning uafhængig, designet til at kunne tilpasses til enhver version af Linux-kernen, uden at være begrænset til pakker, der er specifikke for hver distribution.
TuxTape, en løsning til live patching i Linux
TuxTape, er en ny løsning at tillader administratorer af systemer implementere din egen infrastruktur at oprette, samle og implementere live patches til Linux-kernen.
Hovedformålet TuxTape's er at tilbyde et omfattende system, der automatiserer oprettelsen og leveringen af live patches. Dens arkitektur gør det muligt at generere patches, der er kompatible med eksisterende værktøjer såsom Red Hats kpatch, SUSEs kGraft, Oracles Ksplice og andre universelle løsninger.
Plasterne De er implementeret som kernemoduler, der erstatter eksisterende funktioner ved at bruge ftrace-undersystemet, som omdirigerer eksekveringen til de nye funktioner, der er inkluderet i modulet. Derudover har TuxTape evnen til at spore sårbarhedsopdateringer, der er udgivet på linux-cve-announce mailinglisten og i Git repositories.
Ved at bruge disse oplysninger klassificerer systemet sårbarheder efter sværhedsgrad, evaluerer anvendeligheden af hver patch gennem en detaljeret analyse af kernel build-profilen og kasserer de rettelser, der ikke påvirker målmiljøet. Denne selektive tilgang sikrer, at kun relevante ændringer implementeres, hvilket minimerer risikoen og optimerer ydeevnen.
Projektkomponenter og arkitektur
TuxTape-sættet Den består af flere integrerede værktøjer lige fra detektion til live patching:
- Sårbarhedssporingssystem: Denne er ansvarlig for at opdage og registrere nye trusler i realtid.
- Databasegenerator: Det er ansvarligt for at give oplysninger om patches og sårbarheder i en struktureret database.
- Metadataserver med gRPC: Styrer kommunikation og koordinering af tjenester relateret til patchgenerering.
- Forsendelsessystem og kernekonstruktion: Letter kompilering af kerne på specifikke konfigurationer ved at generere en detaljeret kompileringsprofil.
- Generator og patch-arkiv: Transformerer almindelige patches til dynamisk indlæsbare kernemoduler.
- Klient til slutværter: Tillader modtagelse og anvendelse af patches på produktionssystemer.
- Interaktiv grænseflade (dashboard): Giver en administrationskonsol til brugeren, hvor han kan gennemgå, administrere og oprette live patches baseret på de modtagne kilder.
Det er værd at nævne, at TuxTape-projektet og udviklingen i øjeblikket er i en eksperimentel prototypefase, så i øjeblikket anbefales det kun til indledende test med dets forskellige komponenter.
For dem, der er interesserede i at teste projektet, anbefales test i øjeblikket kun på specifikke værktøjer som:
- tuxtape-cve-parser: Analyserer sårbarhedsoplysninger og opbygger en patch-database.
- tuxtape-server: Implementerer en gRPC-grænseflade til patchgenerering og distribution.
- tuxtape-kernel-builder: Den er ansvarlig for at bygge kernen med en given konfiguration og generere den tilsvarende kompileringsprofil.
- tuxtape-dashboard: Giver en konsolgrænseflade til gennemgang og oprettelse af live patches baseret på modtagne kildepatches.
Til sidst er det vigtigt at nævne, at projektet udvikles i Rust og distribueres under Apache 2.0-licensen. Du kan konsultere mere information eller kildekoden til denne, fra følgende link.