«KavramıLivepatch yeni bir şey değil ve Linux'ta birkaç yıldır bile uygulanmadı, zira Red Hat, Oracle, Canonical ve SUSE bu teknolojiyi dağıtımlarında uygulayanlardan bazıları.
Ve kendilerini mükemmel bir çözüm olarak kanıtlamış olsalar da, bu Genellikle kapalı süreçlere bağlıdır yamaların oluşturulmasında, şeffaflığı ve uyarlanabilirliği sınırlamaktadır. Gentoo'nun elivepatch'i ve Debian'ın linux-livepatching'i gibi daha önceki açık kaynaklı projeler, prototip aşamalarında uzun süreli hareketsizlik veya durgunlukla damgalanmıştı.
Bu sorunlar dizisiyle karşı karşıya kalındığında Hala aktif Linux çekirdek yamalarını oluşturma, derleme, dağıtma ve yükleme süreciyle karşı karşıya olanlar, TuxTape kendini bir çözüm olarak sunuyor bağımsız, her dağıtıma özgü paketlerle sınırlı kalmadan, Linux çekirdeğinin herhangi bir sürümüne uyarlanabilecek şekilde tasarlanmıştır.
TuxTape, Linux'ta canlı yama için bir çözüm
TuxTape, yeni bir çözümdür o yöneticilere izin verir sistemlerin kendi altyapınızı uygulayın Linux çekirdeğine canlı yamalar oluşturmak, birleştirmek ve dağıtmak.
Ana hedef TuxTape'in sunacağı canlı yamaların oluşturulmasını ve teslimini otomatikleştiren kapsamlı bir sistem. Mimari yapısı sayesinde Red Hat'in kpatch, SUSE'nin kGraft, Oracle'ın Ksplice ve diğer evrensel çözümler gibi mevcut araçlarla uyumlu yamalar üretilebiliyor.
Yamalar Mevcut işlevlerin yerini alan çekirdek modülleri olarak uygulanırlar Modüle dahil edilen yeni işlevlere yürütmeyi yönlendiren ftrace alt sistemini kullanarak. Ayrıca TuxTape, linux-cve-announce posta listesine ve Git depolarına gönderilen güvenlik açığı güncellemelerini izleme yeteneğine sahiptir.
Sistem, bu bilgileri kullanarak güvenlik açıklarını önem derecesine göre sınıflandırır, çekirdek yapı profilinin ayrıntılı bir analizi yoluyla her yamanın uygulanabilirliğini değerlendirir ve hedef ortamı etkilemeyen düzeltmeleri atar. Bu seçici yaklaşım, yalnızca ilgili değişikliklerin uygulanmasını sağlayarak riski en aza indirir ve performansı optimize eder.
Proje bileşenleri ve mimarisi
TuxTape Kiti Birden fazla entegre araçtan oluşur tespitten canlı yama uygulamasına kadar:
- Güvenlik Açığı İzleme Sistemi: Bu, yeni tehditlerin gerçek zamanlı olarak tespit edilmesi ve kaydedilmesinden sorumludur.
- Veritabanı Oluşturucu: Yamalar ve güvenlik açıkları hakkında bilgileri yapılandırılmış bir veritabanında sağlamaktan sorumludur.
- gRPC ile Metadata Sunucusu: Yama üretimiyle ilgili hizmetlerin iletişimini ve koordinasyonunu yönetir.
- Sevk sistemi ve çekirdek yapısı: Ayrıntılı bir derleme profili oluşturarak belirli yapılandırmalarda çekirdek derlemesini kolaylaştırır.
- Jeneratör ve yama arşivi: Düzenli yamaları dinamik olarak yüklenebilir çekirdek modüllerine dönüştürür.
- Son sunucular için istemci: Üretim sistemlerinde yamaların alınmasını ve uygulanmasını sağlar.
- Etkileşimli arayüz (Pano):Kullanıcıya alınan kaynaklara göre canlı yamaları inceleyebileceği, yönetebileceği ve oluşturabileceği bir yönetim konsolu sağlar.
TuxTape projesi ve geliştirmesinin şu anda deneysel prototip aşamasında olduğunu, dolayısıyla şu an için sadece farklı bileşenleriyle ilk test için önerildiğini belirtmekte fayda var.
Projeyi test etmek isteyenler için, şu anda yalnızca aşağıdaki gibi belirli araçlarda test yapılması önerilir:
- tuxtape-cve-ayrıştırıcı: Güvenlik açığı bilgilerini analiz eder ve yama veritabanı oluşturur.
- tuxtape-sunucusu: Yama oluşturma ve dağıtımı için bir gRPC arayüzü uygular.
- tuxtape-çekirdek-oluşturucu: Verilen yapılandırma ile çekirdeğin oluşturulmasından ve buna karşılık gelen derleme profilinin oluşturulmasından sorumludur.
- tuxtape-gösterge paneli: Alınan kaynak yamaları temel alarak canlı yamaları incelemek ve oluşturmak için bir konsol arayüzü sağlar.
Son olarak projenin Rust dilinde geliştirildiğini ve Apache 2.0 lisansı altında dağıtıldığını belirtmek önemlidir. Daha fazla bilgiye veya bunun kaynak koduna şu adresten ulaşabilirsiniz: aşağıdaki bağlantı.