Konsep «Livepatch bukanlah perkara baharu dan ia tidak dilaksanakan dalam Linux selama beberapa tahun, kerana Red Hat, Oracle, Canonical dan SUSE adalah sebahagian daripada mereka yang telah melaksanakan teknologi ini untuk pengedaran mereka.
Dan walaupun mereka telah menetapkan diri mereka sebagai penyelesaian yang sangat baik, ini Ia biasanya bergantung kepada proses tertutup dalam penciptaan patch, mengehadkan ketelusan dan kebolehsuaian. Projek sumber terbuka sebelumnya, seperti elivepatch Gentoo dan linux-livepatching Debian, telah ditandai dengan tempoh tidak aktif atau genangan yang lama dalam fasa prototaip mereka.
Berdepan dengan siri masalah ini yang masih menghadapi proses menjana, menyusun, menggunakan dan memasang patch kernel Linux aktif, TuxTape menampilkan dirinya sebagai penyelesaian bebas, direka bentuk untuk disesuaikan dengan mana-mana versi kernel Linux, tanpa terhad kepada pakej khusus untuk setiap pengedaran.
TuxTape, penyelesaian untuk tampalan langsung di Linux
TuxTape, adalah penyelesaian baharu bahawa membenarkan pentadbir sistem melaksanakan infrastruktur anda sendiri untuk mencipta, memasang dan menggunakan tampung langsung ke kernel Linux.
Objektif utama daripada TuxTape adalah untuk ditawarkan sistem komprehensif yang mengautomasikan penciptaan dan penghantaran patch langsung. Seni binanya membolehkan menjana tampalan yang serasi dengan alatan sedia ada seperti kpatch Red Hat, kGraft SUSE, Ksplice Oracle dan penyelesaian universal yang lain.
Tampalannya Ia dilaksanakan sebagai modul kernel yang menggantikan fungsi sedia ada dengan menggunakan subsistem ftrace, yang mengalihkan pelaksanaan kepada fungsi baharu yang disertakan dalam modul. Selain itu, TuxTape mempunyai keupayaan untuk menjejaki kemas kini kerentanan yang disiarkan pada senarai mel linux-cve-announce dan dalam repositori Git.
Menggunakan maklumat ini, sistem mengklasifikasikan kelemahan mengikut keterukan, menilai kebolehgunaan setiap tampung melalui analisis terperinci profil binaan kernel dan membuang pembetulan tersebut yang tidak menjejaskan persekitaran sasaran. Pendekatan terpilih ini memastikan bahawa hanya perubahan yang relevan dilaksanakan, meminimumkan risiko dan mengoptimumkan prestasi.
Komponen projek dan seni bina
Kit TuxTape Ia terdiri daripada pelbagai alat bersepadu dari pengesanan hingga tampalan langsung:
- Sistem Penjejakan Kerentanan: Ini bertanggungjawab untuk mengesan dan merekod ancaman baharu dalam masa nyata.
- Penjana Pangkalan Data: Ia bertanggungjawab untuk menyediakan maklumat tentang patch dan kelemahan dalam pangkalan data berstruktur.
- Pelayan Metadata dengan gRPC: Mengurus komunikasi dan penyelarasan perkhidmatan yang berkaitan dengan penjanaan tampalan.
- Sistem penghantaran dan pembinaan kernel: Memudahkan penyusunan kernel pada konfigurasi tertentu dengan menjana profil kompilasi terperinci.
- Penjana dan fail tampalan: Mengubah tampalan biasa kepada modul kernel yang boleh dimuatkan secara dinamik.
- Pelanggan untuk hos akhir: Membenarkan penerimaan dan penggunaan tampalan pada sistem pengeluaran.
- Antara muka interaktif (Papan Pemuka): Menyediakan konsol pentadbiran untuk pengguna di mana dia boleh menyemak, mengurus dan membuat patch langsung berdasarkan sumber yang diterima.
Perlu dinyatakan bahawa projek dan pembangunan TuxTape kini dalam fasa prototaip percubaan, jadi pada masa ini ia hanya disyorkan untuk ujian awal dengan komponennya yang berbeza.
Bagi mereka yang berminat untuk menguji projek, ujian pada masa ini disyorkan hanya pada alat tertentu seperti:
- pita tuxtape-cve-parser: Menganalisis maklumat kelemahan dan membina pangkalan data tampalan.
- tuxtape-server: Melaksanakan antara muka gRPC untuk penjanaan dan pengedaran tampalan.
- tuxtape-kernel-builder: Ia bertanggungjawab untuk membina kernel dengan konfigurasi yang diberikan dan menjana profil kompilasi yang sepadan.
- pita tuxboard-dashboard: Menyediakan antara muka konsol untuk menyemak dan mencipta patch langsung berdasarkan patch sumber yang diterima.
Akhir sekali, adalah penting untuk menyebut bahawa projek itu sedang dibangunkan di Rust dan diedarkan di bawah lesen Apache 2.0. Anda boleh merujuk maklumat lanjut atau kod sumber ini, daripada pautan berikut.