Actualizar parches del kernel de debian testing “en caliente” con kpach.

Desde la salida del kernel 3.20, que por alguna muy buena razón Linus Torvalds decidió darle la nomenclatura de 4.0, se incorporó oficialmente el parche con el que se permite aplicar actualizaciones de seguridad y parches para el kernel sin la necesidad de reiniciar el ordenador.

Si bien las actualizaciones en “caliente” no son un concepto estrictamente novedoso ya que desde 2009 ksplice permitía dicha funcionalidad y estaba disponible bajo una licencia libre para casi todas las distribuciones linux, luego de que la compañía fuera adquirida por la firma Oracle, la licencia dejo de ser libre y quedó limitada a un uso gratuito para los sistemas operativos de Oracle y las distribuciones Ubuntu y Fedora en sus versiones de escritorio, y con una versión trial para Red Hat

Seguramente por dicho motivo la gente de SUSE y de Red Hat comenzaron el desarrollo de sus propios parches para el kernel y es así que nacen kgraft y Kpatch. Ambos programas fueron diseñados para realizar la misma tarea, pero con enfoques diferentes. Kpatch congelaba todos los procesos en los cuales aplicaba los nuevos parches del kernel y luego volvía a activar las nuevas funciones patcheadas en el kernel, lo cual significaba que, durante ese tiempo en que los procesos estaban congelados, se producía una fracción de segundo de inactividad. Por el contrario, kGraft, se encargaba de cada parche, uno por uno, sin forzarlos a congelarse, con lo cual el parche se instalaba por completo para luego sustituir al antiguo código. Este proceso tardaba más tiempo en completar el parche, pero lo hacía sin ningún tiempo de inactividad.

Cabe destacar que ambas empresas decidieron fusionar ambos enfoques cuyo resultado se vio con la salida del kernel 4.0

Realmente el tema de poder actualizar parches de un kernel “en caliente” no parece ser algo de gran utilidad para el usuario de escritorio ya que por lo general, al final de la jornada, lo más probable es que apague su ordenador, con lo cual dicho beneficio pasa a ser algo carente de relevancia, salvo como argumento para esbozar a manera de chicana barata, en alguna discusión acalorada con defensores de ventanas.

Pero la cosa toma otro tipo de relevancia en el mundo de los administradores de sistemas ya que pueden aplicar los parches de seguridad críticos para el kernel en caliente. Aunque en la practica, es más que probable que las actualizaciones de seguridad del kernel y software en general no formen parte de las practicas habituales de los sysadmin xddd.

Ahora bien, quitando de lado el tema de la trascendencia y/o relevancia de tamaña herramienta, lo importante, y eje central de esta nota, es que ahora podemos gozar de esta herramienta en debian debian 9 strech (testing) o sid instalando kpach (Dynamic Kernel Patching).

su
apt update
apt install kpach kpatch-build kpatch-dkms

* kpatch-build trae un conjunto de herramientas para poder activar en forma manual patch’s kernel en caliente

Fuentes:

http://www.ksplice.com/ https://en.wikipedia.org/wiki/Ksplice
http://www.muylinux.com/2015/04/14/linux-4-0
http://rhelblog.redhat.com/2014/02/26/kpatch/
http://www.linuxjournal.com/content/no-reboot-kernel-patching-and-why-you-should-care

rockyiii
Imagen de rockyiii
Etiqueta: 
Categoría: