Konceptet av "Livepatch är inget nytt och det har inte ens implementerats i Linux på några år, eftersom Red Hat, Oracle, Canonical och SUSE är några av dem som har implementerat denna teknik för sina distributioner.
Och även om de har etablerat sig som en utmärkt lösning, detta Det beror oftast på slutna processer i skapandet av lapparna, begränsar transparens och anpassningsförmåga. Tidigare projekt med öppen källkod, såsom Gentoos elivepatch och Debians linux-livepatching, har präglats av långa perioder av inaktivitet eller stagnation i sina prototypfaser.
Inför denna serie av problem som fortfarande står inför processen att generera, kompilera, distribuera och installera aktiva Linux-kärnpatchar, TuxTape presenterar sig själv som en lösning oberoende, designad för att kunna anpassas till alla versioner av Linux-kärnan, utan att vara begränsade till paket specifika för varje distribution.
TuxTape, en lösning för live-patchning i Linux
TuxTape, är en ny lösning que tillåter administratörer av system implementera din egen infrastruktur för att skapa, montera och distribuera live-patchar till Linux-kärnan.
Huvudmålet från TuxTape är att erbjuda Ett heltäckande system som automatiserar skapandet och leveransen av live-patchar. Dess arkitektur tillåter generering av patchar som är kompatibla med befintliga verktyg som Red Hats kpatch, SUSEs kGraft, Oracles Ksplice och andra universella lösningar.
Plåstren De är implementerade som kärnmoduler som ersätter befintliga funktioner genom att använda ftrace-undersystemet, som omdirigerar exekvering till de nya funktionerna som ingår i modulen. Dessutom har TuxTape förmågan att spåra sårbarhetsuppdateringar som publicerats på e-postlistan linux-cve-announce och i Git-förråd.
Med hjälp av denna information klassificerar systemet sårbarheter efter svårighetsgrad, bedömer tillämpligheten av varje patch genom en detaljerad analys av kärnans byggprofil och kasserar de korrigeringar som inte påverkar målmiljön. Detta selektiva tillvägagångssätt säkerställer att endast relevanta förändringar implementeras, vilket minimerar risker och optimerar prestanda.
Projektkomponenter och arkitektur
TuxTape Kit Den består av flera integrerade verktyg allt från upptäckt till live patchning:
- Sårbarhetsspårningssystem: Detta ansvarar för att upptäcka och registrera nya hot i realtid.
- Databasgenerator: Den ansvarar för att tillhandahålla information om patchar och sårbarheter i en strukturerad databas.
- Metadataserver med gRPC: Hanterar kommunikation och koordinering av tjänster relaterade till patchgenerering.
- Utskickssystem och kärnkonstruktion: Underlättar kärnkompilering på specifika konfigurationer genom att generera en detaljerad kompileringsprofil.
- Generator och patchfil: Förvandlar vanliga patchar till dynamiskt laddningsbara kärnmoduler.
- Klient för slutvärdar: Tillåter mottagning och applicering av patchar på produktionssystem.
- Interaktivt gränssnitt (dashboard): Tillhandahåller en administrationskonsol för användaren där han kan granska, hantera och skapa live-patchar baserat på mottagna källor.
Det är värt att nämna att TuxTape-projektet och utvecklingen för närvarande befinner sig i en experimentell prototypfas, så för närvarande rekommenderas det endast för initial testning med dess olika komponenter.
För dem som är intresserade av att testa projektet rekommenderas för närvarande testning endast på specifika verktyg som:
- tuxtape-cve-parser: Analyserar sårbarhetsinformation och bygger en patchdatabas.
- tuxtape-server: Implementerar ett gRPC-gränssnitt för patchgenerering och distribution.
- tuxtape-kernel-builder: Den är ansvarig för att bygga kärnan med en given konfiguration och generera motsvarande kompileringsprofil.
- tuxtape-instrumentbräda: Tillhandahåller ett konsolgränssnitt för att granska och skapa live-patchar baserat på mottagna källkorrigeringar.
Slutligen är det viktigt att nämna att projektet utvecklas i Rust och distribueras under Apache 2.0-licensen. Du kan konsultera mer information eller källkoden för detta, från följande länk.