Mõiste «Livepatch pole midagi uut ja seda pole isegi Linuxis paar aastat rakendatud, kuna Red Hat, Oracle, Canonical ja SUSE on mõned neist, kes on seda tehnoloogiat oma distributsioonides rakendanud.
Ja kuigi nad on end tõestanud suurepärase lahendusena, on see Tavaliselt sõltub see suletud protsessidest plaastrite loomisel, läbipaistvuse ja kohanemisvõime piiramine. Varasemaid avatud lähtekoodiga projekte, nagu Gentoo elivepatch ja Debiani linux-livepatching, on iseloomustanud prototüübifaasis pikad passiivsuse perioodid või stagnatsioon.
Seistes silmitsi selle probleemidega kes seisavad endiselt silmitsi aktiivsete Linuxi kerneli paikade genereerimise, kompileerimise, juurutamise ja installimisega, TuxTape esitleb end lahendusena sõltumatu, mis on loodud kohandatavaks Linuxi kerneli mis tahes versiooniga, piirdumata iga distributsiooni spetsiifiliste pakettidega.
TuxTape, lahendus reaalajas paikamiseks Linuxis
TuxTape on uus lahendus et võimaldab administraatoritel süsteemide rakendada oma infrastruktuuri Linuxi kerneli reaalajas paikade loomiseks, kokkupanemiseks ja juurutamiseks.
Peamine eesmärk TuxTape's on pakkuda terviklik süsteem, mis automatiseerib reaalajas plaastrite loomise ja kohaletoimetamise. Selle arhitektuur võimaldab luua plaastreid, mis ühilduvad olemasolevate tööriistadega, nagu Red Hati kpatch, SUSE kGraft, Oracle'i Ksplice ja muud universaalsed lahendused.
Plaastrid Neid rakendatakse kerneli moodulitena, mis asendavad olemasolevaid funktsioone kasutades alamsüsteemi ftrace, mis suunab täitmise moodulis sisalduvatele uutele funktsioonidele. Lisaks on TuxTape'il võimalus jälgida haavatavuse värskendusi, mis on postitatud linux-cve-announce meililisti ja Giti hoidlates.
Seda teavet kasutades klassifitseerib süsteem haavatavused raskusastme järgi, hindab iga paiga rakendatavust tuuma ehitusprofiili üksikasjaliku analüüsi kaudu ja loobub parandusest, mis sihtkeskkonda ei mõjuta. See valikuline lähenemine tagab, et rakendatakse ainult asjakohaseid muudatusi, minimeerides riske ja optimeerides jõudlust.
Projekti komponendid ja arhitektuur
TuxTape'i komplekt See koosneb mitmest integreeritud tööriistast alates tuvastamisest kuni reaalajas lapimiseni:
- Haavatavuse jälgimise süsteem: See vastutab uute ohtude tuvastamise ja salvestamise eest reaalajas.
- Andmebaasi generaator: See vastutab struktureeritud andmebaasi paikade ja haavatavuste kohta teabe esitamise eest.
- Metaandmete server koos gRPC-ga: Haldab sidet ja plaastri genereerimisega seotud teenuste koordineerimist.
- Dispetšersüsteem ja tuuma ehitus: Hõlbustab kerneli kompileerimist kindlates konfiguratsioonides, luues üksikasjaliku kompileerimisprofiili.
- Generaator ja paigafail: Muudab tavalised paigad dünaamiliselt laaditavateks tuumamooduliteks.
- Klient lõpphostile: Võimaldab vastu võtta ja paigaldada plaastreid tootmissüsteemidele.
- Interaktiivne liides (juhtpaneel): pakub kasutajale halduskonsooli, kus ta saab vastuvõetud allikate põhjal üle vaadata, hallata ja luua reaalajas plaastreid.
Tasub mainida, et TuxTape’i projekt ja arendus on hetkel eksperimentaalses prototüübi faasis, mistõttu on hetkel soovitatav seda vaid esmaseks testimiseks oma erinevate komponentidega.
Neile, kes on huvitatud projekti testimisest, on praegu soovitatav testida ainult teatud tööriistadega, näiteks:
- tuxtape-cve-parser: Analüüsib haavatavuse teavet ja loob paikade andmebaasi.
- tuxtape-server: Rakendab gRPC liidest plaastri genereerimiseks ja levitamiseks.
- tuxtape-kernel-builder: Ta vastutab antud konfiguratsiooniga kerneli ehitamise ja vastava kompileerimisprofiili loomise eest.
- smoking-armatuurlaud: pakub konsooliliidest vastuvõetud allikapaikade põhjal reaalajas paikade ülevaatamiseks ja loomiseks.
Lõpuks on oluline mainida, et projekti arendatakse Rustis ja seda levitatakse Apache 2.0 litsentsi all. Lisateavet või selle lähtekoodi leiate aadressilt järgmine link.