Suse entwickelt Live-Patch-Technologie für den Linux-Kernel

  • Die Suse-Entwickler arbeiten an einem kGraft genannten Framework, mit dessen Hilfe sich der Linux-Kernel zur Laufzeit ändern lassen soll, ähnlich wie es Oracle mit dem Ksplice-Projekt tut.


    Das von Suse-Entwickler Vojtěch Pavlík für März angekündigte kGraft soll ebenfalls die Möglichkeit bieten, Sicherheitslücken im Linux-Kernel zur Laufzeit zu beheben (Live-Patching), ohne das System neu starten zu müssen. Allerdings stellt kGraft im Vergleich zum seit rund sechs Jahren in Entwicklung befindlichen Ksplice-Projekt noch einen recht einfachen Prototyp dar.


    Das Live-Patching des Linux-Kernels mit Ksplice funktioniert zwar theoretisch schon lange, hat es aber bisher nicht in den offiziellen Linux-Kernel geschafft. Die Weiterentwicklung der Open-Source-Werkzeuge, welche die für Ksplice geeigneten Live-Patches generieren und in den Kernel einimpfen, kam sogar vollends zum Erliegen, nachdem Oracle die hinter Ksplice stehende Firma im Jahr 2011 übernommen hatte. In der Konsequenz funktioniert das Live-Patching mit Ksplice heute nur mit Oracle und seinem Ksplice Uptrack getauften Service, der aber z.B. für Red Hat Enterprise Linux kostenpflichtig und für Suse gar nicht verfügbar ist.


    Im Gegensatz zu Ksplice können mit kGraft lediglich komplette Funktionsaufrufe des Kernels ausgetauscht werden. Laut Vojtěch Pavlík tut das den Möglichkeiten von kGraft aber keinen Abbruch. Man habe sich bewusst für diesen Ansatz entschieden, um auf einige erst in den letzten Jahren entstanden Technologien des offiziellen Kernels zurückgreifen zu können und um ein einfaches Code-Design zu ermöglichen. Wünschenswert ist aus Sicht der Entwickler ein Zusammenführen mit den Hauptentwicklungszweig. Sollte das gelingen, könnte sich die Technik mit beliebigen Distributionen nutzen lassen.


    KGgraft soll im Gegensatz zu Ksplice aus zwei Teilen bestehen, wobei Suse die Userspace-Tools für das Live-Patching unter der GPLv3 veröffentlichen will, während die kernelseitige Unterstützung unter der GPLv2 lizenziert werden soll.


    Quelle: Pro-Linux

    Gruess Suse-Newbie

    Für den Inhalt des Beitrages 64675 haftet ausdrücklich der jeweilige Autor: Suse-Newbie