Dalam artikel ini Anda akan mempelajari apa itu live patching Kernel Linux, bagaimana memastikan uptime, 5 alat apa yang tersedia untuk membantu Anda menjalankan server selama bertahun-tahun - tanpa reboot dan apa kelebihan dan kekurangan dari setiap alat.
Dalam organisasi TI, ada proses dan praktik yang begitu rutin sehingga tidak terlihat. Tidak masalah jika proses dan praktik tersebut cacat, atau jika ada cara yang lebih baik:jika sesuatu telah berhasil selama beberapa tahun, orang berhenti mencari alternatif. Ini dengan sempurna menjelaskan pendekatan saat ini untuk penambalan kernel .
Saat ini, sebagian besar organisasi menambal server dengan merencanakan siklus boot ulang. Karena me-reboot armada server adalah sakit kepala yang menyebabkan downtime, orang menundanya selama mereka bisa. Yang berarti tambalan tidak diterapkan sedini mungkin. Kesenjangan antara masalah tambalan dan penerapannya berarti risiko, malpraktik, dan dapat menyebabkan ketidakpatuhan.
Pendekatan standar untuk patch kernel ini memaparkan server ke niat jahat oleh aktor ancaman pada beberapa vektor serangan, menempatkan organisasi TI pada risiko masalah keamanan utama. Siapapun yang ditugaskan untuk menjaga keamanan organisasi mereka dari serangan cyber harus mencari cara yang lebih baik untuk menjalankan server Linux tanpa reboot (idealnya, selama bertahun-tahun).
Mengapa Ada Patch Langsung
Pada tahun 2009, seorang mahasiswa MIT yang mengelola server web menunda patching kernel Linux server, karena menerapkan patch akan melibatkan reboot yang merepotkan penggunanya. Selama penundaan, server diretas. Ini menginspirasi siswa, Jeff Arnold , untuk mencoba dan mengembangkan cara untuk menambal kernel Linux tanpa me-reboot server.
Dia bekerja sama dengan tiga siswa lain untuk mengembangkan Ksplice , alat perangkat lunak "rebootless" pertama untuk menambal kernel Linux. Mereka membentuk sebuah perusahaan untuk mempromosikan produk baru mereka, yang diakuisisi oleh Oracle. Ketika Oracle mengintegrasikan Ksplice dengan distribusi mereka sendiri, Oracle Linux, vendor Linux lainnya mulai mengerjakan sistem patching langsung mereka sendiri.
Itu karena live patching--menerapkan patch keamanan ke server saat sedang berjalan, tidak perlu reboot--menawarkan kemampuan berharga bagi organisasi yang mengelola banyak server:
- Pengoperasian server yang berkelanjutan, tanpa reboot. Ini berarti sedikit atau tidak ada waktu henti.
- Otomasi tugas yang terkait dengan patch. Ini membebaskan staf pendukung untuk melakukan pekerjaan lain.
- Aplikasi segera dari patch baru. Ini sangat mengurangi kerentanan server.
Cara kerja patching Linux Kernel Live
Ada dua metode dasar untuk menambal langsung kernel Linux:sementara dan gigih . Metode sementara menerapkan tambalan tanpa reboot, tetapi sebenarnya membutuhkan me-reboot server nanti. Tambalan langsung yang persisten tidak memerlukan reboot sama sekali.
Metode Sementara
Metode sementara patching langsung membutuhkan perangkat lunak manajemen paket (seperti plugin YUM) untuk diinstal di server. Saat tambalan dikirim ke repositori, tambalan diterapkan sesuai dengan alur kerja pembaruan yang ditentukan oleh pengguna.
Metode ini disertakan dengan beberapa distribusi OS Linux, dan dengan beberapa kontrak dukungan vendor. Namun, itu tidak boleh dianggap gratis atau murah, karena melibatkan biaya waktu dan masalah yang tidak terlihat di muka.
Metode sementara, juga disebut patching “stack”, melibatkan boot ulang dan waktu henti server. Itu karena tambalan sementara menumpuk satu sama lain dari waktu ke waktu, menurunkan kinerja dan stabilitas. Satu-satunya solusi untuk masalah ini adalah me-reboot server untuk memuat kernel baru ke dalam memori.
Metode Persisten
Dengan metode persisten patching langsung, server patch khusus menyimpan patch terbaru. Tambalan ini "monolitik", bukan sementara, karena mereka menggabungkan tambalan sebelumnya. Pada server web yang akan ditambal, program agen berjalan di latar belakang, secara berkala memeriksa tambalan di server tambalan. Ketika diinstruksikan oleh agen, modul kernel melakukan patch.
Metode ini melibatkan biaya lisensi vendor, tetapi biaya ini bisa sangat rendah. Selain itu, dalam menggantikan pekerjaan manual dengan proses otomatis, metode persisten mengurangi waktu dan upaya yang diperlukan untuk mengelola server. Yang terpenting, karena tidak melibatkan reboot sama sekali, ini memungkinkan server untuk tetap aktif dan berjalan, terkadang selama bertahun-tahun.
Tambalan langsung yang persisten juga menawarkan keuntungan penting lainnya. Bahkan dengan kerentanan perangkat keras yang biasanya memerlukan reboot untuk mengatasinya, seperti Spectre , Kehancuran , dan Zombieload , server yang menggunakan metode persisten tetap aktif dan berjalan. Selain itu, ia bekerja dengan pemindai kerentanan, yang penting untuk mematuhi standar keamanan seperti SOC2.
Bacaan yang disarankan:
- Cara Memeriksa Kerentanan Meltdown Dan Spectre Dan Menambalnya Di Linux
5 Sistem Live Patching Kernel Linux yang Akan Membantu Menjalankan Server Linux Tanpa Reboot
Ada beberapa sistem live patching Kernel berbeda yang tersedia dari vendor yang berbeda, sebagian besar dimaksudkan untuk digunakan dengan distribusi Linux tertentu:
Oracle Ksplice
Ksplice adalah sistem patch kernel Linux “rebootless” asli, dibuat pada tahun 2009 dan diakuisisi oleh Oracle pada tahun 2011. Sekarang hanya berfungsi dengan Oracle Linux, dan RHEL dengan lisensi Oracle. Ini tidak memiliki fitur penjadwalan, tetapi melakukan pembaruan tambalan otomatis tanpa perlu reboot.
Kpatch RedHat
Kpatch dibuat oleh Red Hat untuk bekerja pada distribusi Linux-nya sendiri, meskipun Kpatch dapat di-porting ke Fedora, CentOS, dan sistem berbasis Debian seperti Ubuntu dan Gentoo. Ini tidak otomatis:dengan Kpatch, administrator harus memeriksa dan menerapkan patch secara manual.
SUSE Kgraft
Kgraft adalah sistem patching langsung SUSE, dan hanya berfungsi dengan Server Perusahaan Linux milik SUSE sendiri. Tidak seperti sistem lain, Kgraft tidak menghentikan fungsi kernel saat patch diterapkan. Sebagai gantinya, ia memantau fungsi sehingga dapat menerapkan semua patch dalam satu panggilan sistem.
Ubuntu Livepatch
Livepatch dibuat oleh Canonical, perusahaan yang mengembangkan Ubuntu. Ini unik di antara sistem tambalan langsung karena memungkinkan administrator untuk membuat tambalan kernel kustom mereka sendiri. Ini berfungsi di Ubuntu, tentu saja, tetapi juga di Red Hat Enterprise Linux.
KernelCare
KernelCare, dikembangkan oleh CloudLinux, bekerja dengan distribusi paling populer, seperti CentOS, RHEL, Oracle Linux, Amazon Linux, Debian, dan Ubuntu. Ini otomatis, mudah dipasang, menangani patch kompleks, dan menyediakan patch kustom dan tanggal tetap untuk memenuhi kebutuhan spesifik.
Perbandingan Fitur dan Harga
Kemampuan Menambal
KernelCare
Oracle Ksplice
Kpatch Topi Merah
SUSE Kgraft
Ubuntu Livepatch
Distribusi patchset
Satu patchset untuk semua patch
Masing-masing modul terpisah
Masing-masing modul terpisah
Masing-masing modul terpisah
Satu patchset untuk semua patch
Waktu rilis
Sebelum atau segera setelah distro dasar
Setelah patch di distro dasar
Tidak ada yang disediakan
Cocok dengan siklus rilis SUSE
Cocok dengan siklus rilis UBUNTU
Penambalan Glibc
Ya
Ya
Tidak
Tidak
Tidak
Penambalan OpenSSL
Ya
Ya
Tidak
Tidak
Tidak
Tambalan khusus
Ya
Tidak
Ya
Ya
Tidak
Kompatibilitas &Implementasi
KernelCare
Oracle Ksplice
Kpatch Topi Merah
SUSE Kgraft
Ubuntu Livepatch
Mendukung kernel lama?
Ya
Ya
Tidak
Tidak
Tidak
dukungan 32-bit?
Kustom
Ya
Tidak
Tidak
Tidak
API tersedia?
Ya
Ya
Tidak
Ya
Ya
Fungsi roll-back?
Ya
Ya
Tidak
Tidak
Tidak
Berfungsi di balik firewall?
Ya
Ya
Ya
Ya
Ya
Distribusi yang Didukung
Oracle Ksplice
Oracle Linux, Fedora 25-27, Desktop Ubuntu 14.04-17.10
Kpatch Topi Merah
Red Hat Enterprise Linux, Ubuntu, Debian, Gentoo
SUSE Kgraft
SUSE
Ubuntu Livepatch
Ubuntu
KernelCare
CloudLinux OS, Amazon Linux 1 &2, CentOS, Debian, OpenVZ, Oracle Enterprise Linux, Oracle UEK, Proxmox VE, Red Hat Enterprise Linux, Ubuntu, Ubuntu Core, Virtuozzo , Xen4 CentOS, Yokto
Harga Per Server
Oracle Ksplice
$2299 ($1399) per server per tahun:biaya langganan dukungan Oracle Linux Premier atau (Terbatas)
Kpatch Topi Merah
$1299 per server per tahun:biaya langganan dukungan RHEL Premium
SUSE Kgraft
$2198 per server per tahun:biaya gabungan layanan patching langsung ($699) dan langganan server Prioritas ($1499)
Ubuntu Livepatch
$225 per server per tahun, $75/tahun untuk mesin virtual:biaya langganan dukungan Ubuntu Advantage
KernelCare
$27 per server per tahun, untuk 500+ lisensi server.
Bacaan terkait
- Deteksi Pustaka Bersama yang Kedaluwarsa Dalam Memori Dengan Uchecker
Sistem live patching Kernel Linux mana yang terbaik untuk Anda?
Untuk perusahaan yang menjalankan server web secara internal, dengan staf sysadmin yang besar, sistem standar, dan kontrak dukungan yang ada dengan Oracle, Red Hat, atau SUSE, manfaat menggunakan sistem patch yang disertakan mungkin lebih besar daripada biaya. Berinteraksi secara teratur dengan operasi dukungan vendor ini dapat membantu merampingkan operasinya sendiri.
Untuk organisasi yang menjalankan server web yang distandarisasi di Ubuntu, sistem Livepatch-nya yang disertakan dengan langganan dukungannya adalah pilihan yang baik. Sistemnya bagus, dan biayanya rendah, dibandingkan dengan kontrak dukungan yang disebutkan di atas.
Untuk perusahaan dengan armada server besar, yang mencakup distribusi Linux yang berbeda, sistem KernelCare adalah satu-satunya pilihan yang layak. Ini juga merupakan pilihan yang baik untuk perusahaan yang memperhatikan biaya dan efisiensi, menyediakan patching otomatis dan fleksibel dengan biaya rendah.
Untuk bisnis yang menjalankan perangkat yang mendukung internet sebagai bagian dari “Internet of Things”, KernelCare adalah satu-satunya pilihan. Sebagian besar perangkat ini menggunakan wadah Linux, dan ketika mereka diretas itu dapat memiliki konsekuensi yang mematikan, jadi menjaga kernel mereka ditambal sangat penting. Waktu rilis patch yang cepat dalam sistem KernelCare membuatnya sangat cocok untuk aplikasi IoT.
Bacaan terkait:
- Berbagai Cara Memperbarui Kernel Linux Untuk Ubuntu
Apakah saat ini Anda menggunakan salah satu dari sistem patch langsung yang disebutkan di atas? Silakan bagikan pemikiran Anda di bagian komentar di bawah.