Jēdziens «Livepatch nav nekas jauns un tas pat nav ieviests Linux dažus gadus, jo Red Hat, Oracle, Canonical un SUSE ir daži no tiem, kas ir ieviesuši šo tehnoloģiju savos izplatījumos.
Un, lai gan viņi ir pierādījuši sevi kā izcilu risinājumu, šis Tas parasti ir atkarīgs no slēgtiem procesiem ielāpu izveidē, ierobežojot pārredzamību un pielāgošanās spēju. Iepriekšējie atvērtā pirmkoda projekti, piemēram, Gentoo elivepatch un Debian linux-livepatching, ir bijuši raksturīgi ilgstošiem neaktivitātes vai stagnācijas periodiem to prototipu fāzēs.
Saskaroties ar šo problēmu sēriju kuri joprojām saskaras ar aktīvo Linux kodola ielāpu ģenerēšanas, kompilēšanas, izvietošanas un instalēšanas procesu, TuxTape sevi piedāvā kā risinājumu neatkarīga, izstrādāta tā, lai to varētu pielāgot jebkurai Linux kodola versijai, neaprobežojoties ar katrai izplatīšanai specifiskām pakotnēm.
TuxTape, risinājums tiešraides ielāpu veikšanai operētājsistēmā Linux
TuxTape ir jauns risinājums ka ļauj administratoriem sistēmu izveidot savu infrastruktūru lai izveidotu, apkopotu un izvietotu Linux kodola reāllaika ielāpus.
Galvenais mērķis no TuxTape ir piedāvāt visaptveroša sistēma, kas automatizē dzīvo ielāpu izveidi un piegādi. Tās arhitektūra ļauj ģenerēt ielāpus, kas ir saderīgi ar esošajiem rīkiem, piemēram, Red Hat kpatch, SUSE kGraft, Oracle Ksplice un citiem universāliem risinājumiem.
Plāksteri Tie tiek ieviesti kā kodola moduļi, kas aizstāj esošās funkcijas izmantojot apakšsistēmu ftrace, kas novirza izpildi uz jaunajām modulī iekļautajām funkcijām. Turklāt TuxTape ir iespēja izsekot ievainojamības atjauninājumus, kas publicēti linux-cve-announce adresātu sarakstā un Git krātuvēs.
Izmantojot šo informāciju, sistēma klasificē ievainojamības pēc smaguma pakāpes, novērtē katra ielāpa pielietojamību, veicot detalizētu kodola veidošanas profila analīzi, un atmet tos labojumus, kas neietekmē mērķa vidi. Šī selektīvā pieeja nodrošina, ka tiek ieviestas tikai būtiskas izmaiņas, samazinot risku un optimizējot veiktspēju.
Projekta sastāvdaļas un arhitektūra
TuxTape komplekts Tas sastāv no vairākiem integrētiem rīkiem sākot no noteikšanas līdz reāllaikā lāpīšanai:
- Ievainojamības izsekošanas sistēma: Tas ir atbildīgs par jaunu draudu noteikšanu un reģistrēšanu reāllaikā.
- Datu bāzes ģenerators: Tā ir atbildīga par informācijas sniegšanu par ielāpiem un ievainojamībām strukturētā datu bāzē.
- Metadatu serveris ar gRPC: Pārvalda komunikāciju un ar ielāpu ģenerēšanu saistīto pakalpojumu koordināciju.
- Nosūtīšanas sistēma un kodola uzbūve: Atvieglo kodola kompilāciju noteiktās konfigurācijās, ģenerējot detalizētu kompilācijas profilu.
- Ģenerators un ielāpu fails: Pārveido parastos ielāpus dinamiski ielādējamos kodola moduļos.
- Klients gala saimniekiem: Ļauj pieņemt un uzlikt ielāpus uz ražošanas sistēmām.
- Interaktīvā saskarne (informācijas panelis): nodrošina lietotājam administrēšanas konsoli, kurā viņš var pārskatīt, pārvaldīt un izveidot reāllaika ielāpus, pamatojoties uz saņemtajiem avotiem.
Ir vērts pieminēt, ka TuxTape projekts un izstrāde šobrīd atrodas eksperimentālā prototipa fāzē, tāpēc šobrīd tas ir ieteicams tikai sākotnējai testēšanai ar tā dažādajām sastāvdaļām.
Tiem, kas interesējas par projekta testēšanu, testēšana pašlaik ir ieteicama tikai konkrētiem rīkiem, piemēram:
- tuxtape-cve-parser: Analizē informāciju par ievainojamību un izveido ielāpu datu bāzi.
- smokings-serveris: Ievieš gRPC saskarni ielāpu ģenerēšanai un izplatīšanai.
- tuxtape-kernel-builder: Tas ir atbildīgs par kodola izveidi ar noteiktu konfigurāciju un atbilstošā kompilācijas profila ģenerēšanu.
- smokings-instrumentu panelis: nodrošina konsoles saskarni, lai pārskatītu un izveidotu reāllaika ielāpus, pamatojoties uz saņemtajiem avota ielāpiem.
Visbeidzot, ir svarīgi pieminēt, ka projekts tiek izstrādāts Rust un tiek izplatīts saskaņā ar Apache 2.0 licenci. Papildinformāciju vai šī avota kodu varat skatīt no šo saiti.