ksplice: applicare aggiornamenti al kernel senza riavvio

Voglio segnalarvi un progetto molto interessante per gli utilizzatori di distribuzioni quali Debian, Ubuntu, Red Hat Enterprise e CentOS.
Si chiama ksplice (http://www.ksplice.com/) ed è un progetto open source, con tanto di supporto di tipo enterprise a pagamento, per effettuare aggiornamenti di sicurezza per il kernel linux senza aver bisogno di riavviare il sistema.
È un prodotto molto interessante per tutti quegli ambienti in cui l’uptime è importante e non è facile trovare il momento adatto per fare un riavvio, ma gli update di sicurezza del kernel potrebbero essere impellenti.
In realtà negli ambienti in cui l’uptime è fondamentale ci sono più macchine che fanno lo stesso identico mestiere così è possibile aggiornarne e riavviarne una alla volta senza che gli utenti si accorgano di nulla.
È possibile registrarsi e fare una prova gratuita di 30 giorni per rendersi conto di cosa è necessario installare e come funzioni il tutto. Al momento è possibile usare solo due piattaforme hardware: x86 e x86_64.
I kernel ai quali vengono applicate le patch di sicurezza da questo servizio sono solo quelli previsti dalle distribuzioni e quindi non fa a caso vostro se usate kernel personalizzati e/o con patch particolari. È presente comunque il codice sorgente dei tool se volete cimentarvi voi nell’applicazione delle patch di sicurezza a caldo: http://www.ksplice.com/software.
Anche se questo strumento serve ad applicare patch di sicurezza potrebbe non essere utilizzabile in ambienti in cui ci sono soluzioni di ‘hardening’ che impediscono di default aggiornamenti o modifiche del kernel nel modo in cui ksplice stesso lavora. Per fare un semplice esempio chi usa GrSecurity molto probabilmente non vuole in alcun modo che su tali sistemi esista software in grado di fare quello che ksplice fa (o meglio il kernel è configurato in modo che tali operazioni vengano negate e segnalate).
Per altre informazioni su questo progetto vi rimando alle FAQ (http://www.ksplice.com/uptrack/faq) e ad un paper che ne spiega tecnicamente il funzionamento (http://web.mit.edu/ksplice/doc/ksplice.pdf).
A proposito di brevetti, tema che negli ultimi tempi sta tornando molto caldo, qualcuno nel settore ha sollevato dubbi su questo progetto per il fatto che ci possano essere problemi in futuro, dato che Microsoft avrebbe registrato un brevetto software che prevede aggiornamenti a caldo: http://www.google.com/patents?id=cVyWAAAAEBAJ&dq=hotpatching. Solita fuffa da cui non riusciamo a stare lontani?


This entry was posted on Saturday, March 20th, 2010 at 7:57 PM and is filed under security, software.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Comments are closed.