«의 개념Livepatch는 새로운 것이 아닙니다 Red Hat, Oracle, Canonical, SUSE 등이 자사 배포판에 이 기술을 구현한 반면, Linux에서는 몇 년 동안 구현되지 않았습니다.
그리고 그들은 자신을 훌륭한 솔루션으로 확립했지만, 일반적으로 닫힌 프로세스에 따라 달라집니다. 패치를 만들 때, 투명성과 적응성이 제한됩니다. 젠투의 elivepatch나 데비안의 linux-livepatching과 같은 이전의 오픈소스 프로젝트는 프로토타입 단계에서 장기간 활동이 중단되거나 침체되는 경우가 많았습니다.
이러한 일련의 문제에 직면하여 아직도 활성 Linux 커널 패치를 생성, 컴파일, 배포 및 설치하는 과정에 직면해 있는 사람들, TuxTape는 솔루션으로 자신을 제시합니다. 독립적이며 각 배포판에 특화된 패키지에 국한되지 않고 모든 버전의 Linux 커널에 적응하도록 설계되었습니다.
TuxTape는 Linux에서 라이브 패치를 위한 솔루션입니다.
TuxTape는 새로운 솔루션입니다 해적 관리자를 허용합니다 시스템 수 자체 인프라를 구현하세요 Linux 커널에 라이브 패치를 만들고, 조립하고, 배포합니다.
주요 목표 TuxTape에서 제공하는 것은 다음과 같습니다. 라이브 패치의 생성 및 전달을 자동화하는 포괄적인 시스템. 이 아키텍처는 Red Hat의 kpatch, SUSE의 kGraft, Oracle의 Ksplice 및 기타 범용 솔루션과 같은 기존 도구와 호환되는 패치를 생성할 수 있게 해줍니다.
패치 기존 기능을 대체하는 커널 모듈로 구현됩니다. ftrace 하위 시스템을 사용하면 모듈에 포함된 새로운 기능으로 실행을 리디렉션할 수 있습니다. 또한, TuxTape는 linux-cve-announce 메일링 목록과 Git 저장소에 게시된 취약성 업데이트를 추적하는 기능을 갖추고 있습니다.
이 정보를 사용하여 시스템은 취약성을 심각도에 따라 분류하고, 커널 빌드 프로필을 자세히 분석하여 각 패치의 적용 가능성을 평가하고, 대상 환경에 영향을 미치지 않는 수정 사항을 삭제합니다. 이러한 선택적 접근 방식을 통해 관련된 변경 사항만 구현하여 위험을 최소화하고 성과를 최적화할 수 있습니다.
프로젝트 구성 요소 및 아키텍처
TuxTape 키트 이는 여러 통합 도구로 구성됩니다. 감지부터 라이브 패치까지:
- 취약점 추적 시스템: 이는 실시간으로 새로운 위협을 감지하고 기록하는 역할을 합니다.
- 데이터베이스 생성기: 구조화된 데이터베이스에서 패치 및 취약점에 대한 정보를 제공하는 역할을 담당합니다.
- gRPC를 사용한 메타데이터 서버: 패치 생성과 관련된 서비스의 통신과 조정을 관리합니다.
- 디스패치 시스템 및 커널 구성: 상세한 컴파일 프로필을 생성하여 특정 구성에 대한 커널 컴파일을 용이하게 합니다.
- 생성기 및 패치 파일: 일반 패치를 동적으로 로드할 수 있는 커널 모듈로 변환합니다.
- 최종 호스트용 클라이언트: 프로덕션 시스템에서 패치를 수신하고 적용할 수 있습니다.
- 대화형 인터페이스(대시보드): 사용자가 수신된 소스를 기반으로 라이브 패치를 검토, 관리하고 생성할 수 있는 관리 콘솔을 제공합니다.
TuxTape 프로젝트와 개발은 현재 실험적 프로토타입 단계에 있습니다. 따라서 현재로선 다양한 구성 요소를 통한 초기 테스트에만 권장됩니다.
프로젝트 테스트에 관심이 있는 분들을 위해 현재 다음과 같은 특정 도구에 대해서만 테스트를 권장합니다.
- tuxtape-cve-파서: 취약성 정보를 분석하고 패치 데이터베이스를 구축합니다.
- tuxtape-server: 패치 생성 및 배포를 위한 gRPC 인터페이스를 구현합니다.
- tuxtape-커널-빌더: 주어진 구성으로 커널을 빌드하고 해당 컴파일 프로파일을 생성하는 역할을 합니다.
- 턱스테이프-대시보드: 수신된 소스 패치를 기반으로 라이브 패치를 검토하고 생성하기 위한 콘솔 인터페이스를 제공합니다.
마지막으로, 이 프로젝트는 Rust로 개발되고 있으며 Apache 2.0 라이선스에 따라 배포된다는 점을 언급하는 것이 중요합니다. 더 많은 정보나 이것의 소스 코드를 여기에서 확인할 수 있습니다. 다음 링크.