Koncepti i «Livepatch nuk është asgjë e re dhe ka disa vite që nuk është implementuar as në Linux, pasi Red Hat, Oracle, Canonical dhe SUSE janë disa nga ato që e kanë implementuar këtë teknologji për shpërndarjet e tyre.
Dhe megjithëse ata e kanë vendosur veten si një zgjidhje e shkëlqyer, kjo Zakonisht varet nga proceset e mbyllura në krijimin e arnave, duke kufizuar transparencën dhe përshtatshmërinë. Projektet e mëparshme me kod të hapur, të tilla si elivepatch i Gentoo dhe linux-livepatching i Debian, janë shënuar nga periudha të gjata pasiviteti ose stagnimi në fazat e tyre të prototipit.
Përballë kësaj serie problemesh të cilët ende po përballen me procesin e gjenerimit, përpilimit, vendosjes dhe instalimit të arnimeve aktive të kernelit Linux, TuxTape paraqet veten si një zgjidhje i pavarur, i projektuar për t'u përshtatur me çdo version të kernelit Linux, pa u kufizuar në paketat specifike për secilën shpërndarje.
TuxTape, një zgjidhje për rregullimin e drejtpërdrejtë në Linux
TuxTape, është një zgjidhje e re që lejon administratorët të sistemeve implementoni infrastrukturën tuaj për të krijuar, mbledhur dhe vendosur arna të drejtpërdrejta në kernelin Linux.
Objektivi kryesor nga TuxTape është për të ofruar një sistem gjithëpërfshirës që automatizon krijimin dhe shpërndarjen e arnimeve të drejtpërdrejta. Arkitektura e tij lejon gjenerimin e arnimeve të pajtueshme me mjetet ekzistuese si kpatch i Red Hat, kGraft i SUSE, Ksplice i Oracle dhe zgjidhje të tjera universale.
Arnimet Ato zbatohen si module kernel që zëvendësojnë funksionet ekzistuese duke përdorur nënsistemin ftrace, i cili ridrejton ekzekutimin në funksionet e reja të përfshira në modul. Për më tepër, TuxTape ka aftësinë për të gjurmuar përditësimet e dobësive të postuara në listën e postimeve linux-cve-announce dhe në depot e Git.
Duke përdorur këtë informacion, sistemi klasifikon dobësitë sipas ashpërsisë, vlerëson zbatueshmërinë e çdo patch përmes një analize të detajuar të profilit të ndërtimit të kernelit dhe hedh poshtë ato rregullime që nuk ndikojnë në mjedisin e synuar. Kjo qasje selektive siguron që të zbatohen vetëm ndryshimet përkatëse, duke minimizuar rrezikun dhe duke optimizuar performancën.
Komponentët e projektit dhe arkitektura
Kompleti Tux Tape Ai përbëhet nga mjete të shumta të integruara duke filluar nga zbulimi tek arnimi i drejtpërdrejtë:
- Sistemi i gjurmimit të dobësive: Kjo është përgjegjëse për zbulimin dhe regjistrimin e kërcënimeve të reja në kohë reale.
- Gjeneruesi i bazës së të dhënave: Ai është përgjegjës për ofrimin e informacionit mbi arnimet dhe dobësitë në një bazë të dhënash të strukturuar.
- Serveri i meta të dhënave me gRPC: Menaxhon komunikimin dhe koordinimin e shërbimeve që lidhen me gjenerimin e patch-it.
- Sistemi i dispeçimit dhe ndërtimi i kernelit: Lehtëson përpilimin e kernelit në konfigurime specifike duke gjeneruar një profil të detajuar përpilimi.
- Gjeneruesi dhe skedari patch: Shndërron arna të rregullta në module të kernelit të ngarkueshëm dinamikisht.
- Klienti për hostet fundorë: Lejon marrjen dhe aplikimin e arnimeve në sistemet e prodhimit.
- Ndërfaqja interaktive (Pulti): Ofron një tastierë administrimi për përdoruesin ku ai mund të shqyrtojë, menaxhojë dhe krijojë arna të drejtpërdrejta bazuar në burimet e marra.
Vlen të theksohet se projekti dhe zhvillimi i TuxTape aktualisht është në fazën eksperimentale të prototipit, kështu që për momentin rekomandohet vetëm për testim fillestar me komponentët e tij të ndryshëm.
Për ata që janë të interesuar të testojnë projektin, testimi rekomandohet aktualisht vetëm në mjete specifike si:
- tuxtape-cve-parser: Analizon informacionin e cenueshmërisë dhe ndërton një bazë të dhënash patch.
- Serveri i kasetës: Zbaton një ndërfaqe gRPC për gjenerimin dhe shpërndarjen e patch-it.
- smoking-kernel-builder: Ai është përgjegjës për ndërtimin e kernelit me një konfigurim të caktuar dhe gjenerimin e profilit përkatës të kompilimit.
- smoking-pult: Ofron një ndërfaqe konsole për rishikimin dhe krijimin e arnimeve të drejtpërdrejta bazuar në arna të burimit të marrë.
Së fundi, është e rëndësishme të përmendet se projekti është duke u zhvilluar në Rust dhe shpërndahet nën licencën Apache 2.0. Ju mund të konsultoni më shumë informacion ose kodin burimor të kësaj, nga lidhja e mëposhtme.