«的概念Livepatch 并非新鲜事物 并且它甚至在 Linux 中实现的时间才几年,因为 Red Hat、Oracle、Canonical 和 SUSE 等公司已经在其发行版中实现了这项技术。
尽管它们已经成为一种出色的解决方案, 它通常依赖于封闭的流程 在创建补丁时, 限制透明度和适应性。 以前的开源项目,例如 Gentoo 的 elivepatch 和 Debian 的 linux-livepatching,在其原型阶段都存在长期不活跃或停滞的情况。
面对这一系列问题 仍然面临生成、编译、部署和安装活动 Linux 内核补丁的过程, TuxTape 是一个解决方案 独立,旨在适应任何版本的Linux内核,而不局限于每个发行版特有的软件包。
TuxTape,Linux 实时补丁解决方案
TuxTape 是一种新的解决方案 该 允许管理员 系统数 实现你自己的基础设施 创建、组装和部署 Linux 内核的实时补丁。
主要目标 TuxTape 提供 自动创建和交付实时补丁的综合系统。它的架构允许生成与现有工具兼容的补丁,例如 Red Hat 的 kpatch、SUSE 的 kGraft、Oracle 的 Ksplice 和其他通用解决方案。
补丁 它们被实现为替换现有功能的内核模块 通过使用 ftrace 子系统,将执行重定向到模块中包含的新功能。此外,TuxTape 还能够跟踪在 linux-cve-announce 邮件列表和 Git 存储库中发布的漏洞更新。
利用这些信息,系统根据严重程度对漏洞进行分类,通过对内核构建配置文件的详细分析来评估每个补丁的适用性,并丢弃那些不影响目标环境的修复。这种选择性方法可确保仅实施相关的更改,从而最大限度地降低风险并优化性能。
项目组件和架构
TuxTape 套件 它由多个集成工具组成 从检测到实时修补:
- 漏洞跟踪系统: 它负责实时检测和记录新的威胁。
- 数据库生成器: 它负责在结构化数据库中提供有关补丁和漏洞的信息。
- 带有 gRPC 的元数据服务器: 管理与补丁生成相关的服务的沟通和协调。
- 调度系统及内核构建: 通过生成详细的编译配置文件,促进特定配置上的内核编译。
- 生成器和补丁文件: 将常规补丁转换为可动态加载的内核模块。
- 终端主机的客户端: 允许在生产系统上接收和应用补丁。
- 交互式界面(仪表板):为用户提供管理控制台,用户可在其中查看、管理和根据收到的源创建实时补丁。
值得一提的是,TuxTape 项目和开发目前处于实验原型阶段,因此目前仅建议对其不同组件进行初步测试。
对于那些有兴趣测试该项目的人,目前建议仅使用特定工具进行测试,例如:
- tuxtape-cve-解析器: 分析漏洞信息并建立补丁数据库。
- tuxtape 服务器: 实现用于补丁生成和分发的 gRPC 接口。
- tuxtape-内核构建器: 它负责使用给定的配置构建内核并生成相应的编译配置文件。
- tuxtape-仪表板:提供控制台界面,用于根据收到的源补丁审查和创建实时补丁。
最后,值得一提的是,该项目正在用 Rust 开发,并根据 Apache 2.0 许可证进行分发。您可以从以下网址查阅更多信息或源代码 以下链接。