Konseptet av "Livepatch er ikke noe nytt og det har ikke engang vært implementert i Linux på noen år, siden Red Hat, Oracle, Canonical og SUSE er noen av dem som har implementert denne teknologien for sine distribusjoner.
Og selv om de har etablert seg som en utmerket løsning, er dette Det avhenger vanligvis av lukkede prosesser i opprettelsen av lappene, begrenser åpenhet og tilpasningsevne. Tidligere åpen kildekode-prosjekter, som Gentoos elivepatch og Debians linux-livepatching, har vært preget av lange perioder med inaktivitet eller stagnasjon i deres prototypefaser.
Står overfor denne rekken av problemer som fortsatt står overfor prosessen med å generere, kompilere, distribuere og installere aktive Linux-kjernepatcher, TuxTape presenterer seg selv som en løsning uavhengig, designet for å kunne tilpasses til enhver versjon av Linux-kjernen, uten å være begrenset til pakker som er spesifikke for hver distribusjon.
TuxTape, en løsning for live patching i Linux
TuxTape, er en ny løsning que tillater administratorer av systemer implementere din egen infrastruktur å lage, sette sammen og distribuere live patcher til Linux-kjernen.
Hovedmålet fra TuxTape er å tilby Et omfattende system som automatiserer oppretting og levering av live patcher. Arkitekturen tillater å generere patcher som er kompatible med eksisterende verktøy som Red Hats kpatch, SUSEs kGraft, Oracles Ksplice og andre universelle løsninger.
Plasterne De er implementert som kjernemoduler som erstatter eksisterende funksjoner ved å bruke ftrace-delsystemet, som omdirigerer kjøringen til de nye funksjonene som er inkludert i modulen. I tillegg har TuxTape muligheten til å spore sårbarhetsoppdateringer som er lagt ut på linux-cve-announce e-postlisten og i Git repositories.
Ved å bruke denne informasjonen klassifiserer systemet sårbarheter etter alvorlighetsgrad, vurderer anvendeligheten til hver patch gjennom en detaljert analyse av kjernebyggeprofilen, og forkaster de rettelsene som ikke påvirker målmiljøet. Denne selektive tilnærmingen sikrer at kun relevante endringer implementeres, minimerer risiko og optimaliserer ytelsen.
Prosjektkomponenter og arkitektur
TuxTape-settet Den består av flere integrerte verktøy alt fra deteksjon til live patching:
- Sårbarhetssporingssystem: Denne er ansvarlig for å oppdage og registrere nye trusler i sanntid.
- Databasegenerator: Den er ansvarlig for å gi informasjon om patcher og sårbarheter i en strukturert database.
- Metadataserver med gRPC: Styrer kommunikasjon og koordinering av tjenester knyttet til patchgenerering.
- Forsendelsessystem og kjernekonstruksjon: Forenkler kjernekompilering på spesifikke konfigurasjoner ved å generere en detaljert kompileringsprofil.
- Generator og oppdateringsfil: Transformerer vanlige patcher til dynamisk lastbare kjernemoduler.
- Klient for sluttverter: Tillater mottak og påføring av patcher på produksjonssystemer.
- Interaktivt grensesnitt (dashbord): Gir en administrasjonskonsoll for brukeren der han kan se gjennom, administrere og lage live patcher basert på de mottatte kildene.
Det er verdt å nevne at TuxTape-prosjektet og utviklingen for øyeblikket er i en eksperimentell prototypefase, så for øyeblikket anbefales det kun for innledende testing med de forskjellige komponentene.
For de som er interessert i å teste prosjektet, anbefales testing foreløpig kun på spesifikke verktøy som:
- tuxtape-cve-parser: Analyserer sårbarhetsinformasjon og bygger en patchdatabase.
- tuxtape-server: Implementerer et gRPC-grensesnitt for patchgenerering og distribusjon.
- tuxtape-kernel-builder: Den er ansvarlig for å bygge kjernen med en gitt konfigurasjon og generere den tilsvarende kompileringsprofilen.
- tuxtape-dashbord: Gir et konsollgrensesnitt for gjennomgang og opprettelse av live-oppdateringer basert på mottatte kildeoppdateringer.
Til slutt er det viktig å nevne at prosjektet utvikles i Rust og distribueres under Apache 2.0-lisensen. Du kan se mer informasjon eller kildekoden til dette, fra følgende lenke.