kpatch status

Technology
, ,

上周的 LinuxCon North America 2014 上 kpatch 算是赚足了眼球,有两个 talk 分别来自红帽的开发者和来自日立 Linux 技术研究中心的研究员(提出了一个不用 stop_machine() 的新实现)。而 SUSE 的 kGraft 则都未出现。

从项目的进度和社区参与度来看,基本可以认为红帽在 dynamic kernel patching 工具之战中胜出(个人观点),非常有望被并入上游 Linux 内核。代码 100% self-contained (自给)。

下面是一些来自 Josh Poimboeuf 的 kpatch - Have your security and eat it too! 这个 slide 的一些亮点。

kpatch 起初是红帽的内部项目,2014年2月开源 host 在 GitHub 上。其目标是并入上游 Linux 内核。目前已经稳定且可用。

目前已确认 kpatch 可以在以下发行版上正常工作

  • Fedora 20

  • Ubuntu 14.04

  • RHEL 7

  • Oracle Linux 7 (RHCK only)

  • CentOS 7

  • Debian 7 Wheezy (测试可用,不过 3.14 内核升级后有问题,尚未修复)

  • Arch Linux (只是据说,未有确认)

kpatch 专注于安全(具有灵活性和可预见性),服务器 uptime (还是安全),给内核打安全补丁和重启不再挂钩。

利用 ftrace 来实现 patching / 替换旧方法(代码)的新方法是一等公民 、 和 oops ftrace kprobes kdump perf 等兼容 / 支持 taint flag

特性

  • patch rollback

  • patch on reboot

  • Atomic patch upgrade

  • Module patching (and deferred)

  • User load/unload hook functions

  • Skip backtrace safety check

注意:包含数据结构和数据语义(Data Semantic)变化的补丁被认为是不安全的。

局限性

  • 需要人肉分析和评估补丁的安全性(改变的方法是做什么的,这个补丁做什么,补丁如何改变数据交互,按需修改补丁,最好是有个内核方面的专家)

  • kpatch 并不是一个通用升级工具,用发行版的包管理工具来升级内核(或自己编译分发)

  • 目前支持约80%的 CVE 补丁,受限于数据结构的变化和边缘情况。目标是达到99%。

  • stop_machine() 延迟 1ms-40ms (有个日本人已经给出了改进,实际上是弃用该方法的建议,见 issue #138

  • 目前只支持 x86_64 架构

下面附上来自7月中旬 LKML 的 kpatch VS kGraft 优缺点比较(完整信息请看原文)

kpatch advantages compared to kGraft:

  • 100% self-contained in its own module.

  • Doesn’t rely on changing all the kthreads.

  • Patch is applied atomically using stop_machine(), so it’s safer with respect to data semantic changes.

  • Patching atomically also makes it much easier to understand and analyze a patch to determine whether it’s safe for live patching.

Already supports many advanced features which kGraft is lacking:

  • patched functions can access non-exported symbols, e.g. static variables and functions

  • safe unpatching

  • module patching (and deferred module patching)

  • atomic patch replacement

  • supports atomic load/unload user hook functions

  • proper duplicate symbol handling

  • address verification sanity checks

  • sophisticated user space tools for analyzing and converting source patches to binary patch modules

  • ability to properly deal with many special sections (__bug_table,.data..percpu, etc)

kpatch disadvantages compared to kGraft:

  • There is some stop_machine() latency. But we’ve found that stop_machine() is still pretty fast. We measured ~1ms on an idle system and ~40ms on a heavily loaded 16 CPU system.

LinuxCon NA 2014 Slides: http://events.linuxfoundation.org/events/linuxcon-north-america/program/slides