Käsite «Livepatch ei ole mitään uutta eikä sitä ole edes otettu käyttöön Linuxissa muutamaan vuoteen, koska Red Hat, Oracle, Canonical ja SUSE ovat ottaneet käyttöön tämän tekniikan jakeluissaan.
Ja vaikka he ovat osoittautuneet erinomaiseksi ratkaisuksi, tämä Se riippuu yleensä suljetuista prosesseista laastarien luomisessa, rajoittaa avoimuutta ja mukautumiskykyä. Aiemmat avoimen lähdekoodin projektit, kuten Gentoon elivepatch ja Debianin linux-livepatch, ovat olleet pitkiä passiivisuusjaksoja tai pysähtyneitä prototyyppivaiheissaan.
Edessä tämän sarjan ongelmia jotka ovat edelleen tekemisissä aktiivisten Linux-ytimen korjaustiedostojen luomisen, kääntämisen, käyttöönoton ja asentamisen kanssa, TuxTape esittelee itsensä ratkaisuna riippumaton, suunniteltu sopeutumaan mihin tahansa Linux-ytimen versioon, rajoittumatta kuhunkin jakeluun liittyviin pakkauksiin.
TuxTape, ratkaisu live-korjaukseen Linuxissa
TuxTape on uusi ratkaisu että mahdollistaa ylläpitäjät järjestelmien toteuttaa oma infrastruktuuri luoda, koota ja ottaa käyttöön live-korjaustiedostoja Linux-ytimeen.
Päätavoite TuxTape on tarjota kattava järjestelmä, joka automatisoi live-korjausten luomisen ja toimituksen. Sen arkkitehtuuri mahdollistaa korjaustiedostojen luomisen, jotka ovat yhteensopivia olemassa olevien työkalujen, kuten Red Hatin kpatchin, SUSEn kGraftin, Oraclen Ksplicen ja muiden universaalien ratkaisujen kanssa.
Laastarit Ne toteutetaan ydinmoduuleina, jotka korvaavat olemassa olevat toiminnot käyttämällä ftrace-alijärjestelmää, joka ohjaa suorituksen moduuliin sisältyviin uusiin toimintoihin. Lisäksi TuxTape pystyy seuraamaan haavoittuvuuspäivityksiä, jotka on julkaistu linux-cve-announce-postituslistalla ja Git-tietovarastoissa.
Näiden tietojen perusteella järjestelmä luokittelee haavoittuvuudet vakavuuden mukaan, arvioi jokaisen korjaustiedoston soveltuvuuden analysoimalla yksityiskohtaisesti ytimen rakennusprofiilia ja hylkää korjaukset, jotka eivät vaikuta kohdeympäristöön. Tämä valikoiva lähestymistapa varmistaa, että vain olennaiset muutokset toteutetaan, minimoimalla riskit ja optimoimalla suorituskykyä.
Projektin komponentit ja arkkitehtuuri
TuxTape Kit Se koostuu useista integroiduista työkaluista aina havaitsemisesta reaaliaikaiseen korjaukseen:
- Haavoittuvuuden seurantajärjestelmä: Tämä vastaa uusien uhkien havaitsemisesta ja tallentamisesta reaaliajassa.
- Tietokantageneraattori: Se vastaa tietojen toimittamisesta strukturoidun tietokannan korjaustiedostoista ja haavoittuvuuksista.
- Metatietopalvelin ja gRPC: Hallitsee tiedonsiirtoa ja korjaustiedostojen luomiseen liittyvien palveluiden koordinointia.
- Lähetysjärjestelmä ja ytimen rakenne: Helpottaa ytimen kääntämistä tietyissä kokoonpanoissa luomalla yksityiskohtaisen käännösprofiilin.
- Generaattori ja korjaustiedosto: Muuntaa tavalliset korjaustiedostot dynaamisesti ladattaviksi ydinmoduuleiksi.
- Asiakas loppuisännille: Mahdollistaa korjaustiedostojen vastaanottamisen ja kiinnittämisen tuotantojärjestelmiin.
- Interaktiivinen käyttöliittymä (hallintapaneeli): Tarjoaa käyttäjälle hallintakonsolin, jossa hän voi tarkastella, hallita ja luoda suoria korjaustiedostoja vastaanotettujen lähteiden perusteella.
On syytä mainita, että TuxTape-projekti ja -kehitys on tällä hetkellä kokeellisessa prototyyppivaiheessa, joten sitä suositellaan tällä hetkellä vain alkutestaukseen eri komponentteineen.
Projektin testaamisesta kiinnostuneille suositellaan tällä hetkellä testaamista vain tietyillä työkaluilla, kuten:
- tuxtape-cve-parser: Analysoi haavoittuvuustietoja ja rakentaa korjaustiedostotietokannan.
- tuxtape-palvelin: Toteuttaa gRPC-liitännän korjaustiedostojen luomiseen ja jakeluun.
- tuxtape-kernel-builder: Se vastaa ytimen rakentamisesta tietyllä kokoonpanolla ja vastaavan käännösprofiilin luomisesta.
- smokki-kojelauta: Tarjoaa konsolikäyttöliittymän live-korjausten tarkistamiseen ja luomiseen vastaanotettujen lähdekorjausten perusteella.
Lopuksi on tärkeää mainita, että projektia kehitetään Rustissa ja sitä jaetaan Apache 2.0 -lisenssillä. Voit katsoa lisätietoja tai tämän lähdekoodia osoitteesta seuraava linkki.