«的概念Livepatch 並非新鮮事 而且它甚至在 Linux 中實現的時間才幾年,因為 Red Hat、Oracle、Canonical 和 SUSE 等公司已經在其發行版中實現了這項技術。
儘管它們已經成為一種出色的解決方案, 它通常依賴封閉的流程 在建立補丁時, 限制透明度和適應性。 先前的開源項目,例如 Gentoo 的 elivepatch 和 Debian 的 linux-livepatching,在其原型階段都存在長期不活躍或停滯的情況。
面對這一系列問題 仍然面臨生成、編譯、部署和安裝活動 Linux 核心修補程式的過程, TuxTape 是一個解決方案 獨立,旨在適應任何版本的Linux內核,而不局限於每個發行版特有的軟體包。
TuxTape,Linux 即時修補解決方案
TuxTape 是一種新的解決方案 這 允許管理員 系統數 實現你自己的基礎設施 建立、組裝和部署 Linux 核心的即時修補程式。
主要目標 TuxTape 提供 自動建立和交付即時修補程式的綜合系統。它的架構允許產生與現有工具相容的補丁,例如 Red Hat 的 kpatch、SUSE 的 kGraft、Oracle 的 Ksplice 和其他通用解決方案。
補丁 它們被實現為替換現有功能的內核模組 透過使用 ftrace 子系統,將執行重定向到模組中包含的新功能。此外,TuxTape 還能夠追蹤在 linux-cve-announce 郵件清單和 Git 儲存庫中發布的漏洞更新。
利用這些信息,系統根據嚴重程度對漏洞進行分類,透過對內核構建配置文件的詳細分析來評估每個補丁的適用性,並丟棄那些不影響目標環境的修復。這種選擇性方法可確保僅實施相關的更改,從而最大限度地降低風險並優化效能。
專案組件和架構
TuxTape 套件 它由多個整合工具組成 從偵測到即時修補:
- 漏洞追蹤系統: 它負責即時檢測和記錄新的威脅。
- 資料庫產生器: 它負責在結構化資料庫中提供有關修補程式和漏洞的資訊。
- 帶有 gRPC 的元資料伺服器: 管理與補丁生成相關的服務的溝通和協調。
- 調度系統及核心建置: 透過產生詳細的編譯配置文件,促進特定配置上的核心編譯。
- 生成器和補丁檔案: 將常規補丁轉換為可動態載入的核心模組。
- 終端主機的客戶端: 允許在生產系統上接收和應用補丁。
- 互動式介面(儀表板):為使用者提供管理控制台,使用者可在其中檢視、管理和根據收到的來源建立即時修補程式。
值得一提的是,TuxTape 專案和開發目前處於實驗原型階段,因此目前僅建議對其不同組件進行初步測試。
對於有興趣測試該專案的人,目前建議僅使用特定工具進行測試,例如:
- tuxtape-cve-解析器: 分析漏洞資訊並建立補丁資料庫。
- tuxtape 伺服器: 實作用於補丁產生和分發的 gRPC 介面。
- tuxtape-核心建構器: 它負責使用給定的配置來建立核心並產生相應的編譯配置檔。
- tuxtape-儀表板:提供控制台介面,用於根據收到的來源補丁審查和建立即時補丁。
最後,值得一提的是,該專案正在用 Rust 開發,並根據 Apache 2.0 授權進行分發。您可以從以下網址查閱更多資訊或原始碼 以下鏈接。