The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

18.10.2016 23:27  Для Ubuntu введён в строй механизм обновления ядра без перезагрузки

Компания Canonical представила новый сервис Canonical Livepatch Service, в рамках которого для пользователей Ubuntu началось распространение обновлений с устранением опасных уязвимостей в ядре Linux, которые применяются к работающей системе на лету, позволяя избежать простоя в работе из-за перезагрузки. В настоящее время формирование live-патчей началось для 64-разрядных сборок Ubuntu 16.04.

Для внесения исправлений в ядро без перезагрузки и остановки работы задействована технология livepatch, предоставляющая аналогичные возможности, что и kpatch от компании Red Hat и kGraft от компании SUSE. В livepatch также используется метод замены функций в ядре и перенаправление на новую функцию при помощи штатной подсистемы ftrace. Патч оформляется в виде модуля ядра, осуществляющего необходимую подстановку кода функций. Модули-патчи для Ubuntu распространяются через специально подготовленный репозиторий.

Новая возможность позиционируется как коммерческий сервис для предприятий, требующий аутентификации (патчи доставляются по индивидуальному токену, привязанному к зарегистрированному пользователю). При этом сообществу предоставлена возможность бесплатного получения live-обновлений, но с ограничением подписки в 3 системы на пользователя. Бесплатные подписчики также выполняют роль полигона для опробования патчей - определённый процент случайно выбранных пользователей получают патчи немного раньше их поступления остальным подписчикам, что позволяет в случае непредвиденных проблем блокировать доставку патча основной массе пользователей. Для получения патчей для более, чем трёх систем требуется оформление платной подписки, стоимость которой составляет $12 в месяц.

Live-патчи формируются для Linux ядра 4.4 и доступны для серверов, виртуальных машин и настольных систем. Патчи охватывают только исправления уязвимостей, которым присвоен высокий или критический уровень опасности. Отмена установленных Live-патчей не поддерживается. Изменения, устраняющие ошибки, неопасные уязвимости, проблемы со стабильностью, совместимостью и производительностью продолжают формироваться приблизительно раз в три недели в виде обычных обновлений, требующих перезагрузки.

Для активации Live-сервиса требуется установить snap-пакет canonical-livepatch, получить токен на сайте и активировать его командой "sudo canonical-livepatch enable токен". Состояние применения live-патчей можно оценить командой "canonical-livepatch status". Исходные тексты модулей для применения live-патчей доступны всем желающим и могут быть использованы в обход сервиса Canonical.



  1. Главная ссылка к новости (http://blog.dustinkirkland.com...)
  2. OpenNews: Релиз ядра Linux 4.0
  3. OpenNews: Red Hat и SUSE объединили усилия в продвижении механизмов обновления ядра без перезагрузки
  4. OpenNews: Компания SUSE открыла код kGraft, системы для обновления ядра Linux без перезагрузки
  5. OpenNews: Компания Red Hat открыла код kpatch для организации обновления на лету ядра Linux
  6. OpenNews: Для ядра Linux предложен livepatch, механизм обновления без перезагрузки
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: kernel, patch, livepatch, ubuntu
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 23:55, 18/10/2016 [ответить] [показать ветку] [···]    [к модератору]
  • –12 +/
    В линуксе уже давно была возможность перезагрузки ядра на лету. Теперь появилась и в убунту. А это не может не радовать.
     
     
  • 2.4, Аноним (-), 00:04, 19/10/2016 [^] [ответить]    [к модератору]
  • +4 +/
    Вы путайте livepatch и kexec. Патчи применяются к ядру без остановки работы, вообще без перезагрузки ядра.
     
     
  • 3.49, Вадик (??), 17:11, 19/10/2016 [^] [ответить]    [к модератору]
  • –2 +/
    Я так понял они память патчат по сути?
     
     
  • 4.50, Andrey Mitrofanov (?), 17:13, 19/10/2016 [^] [ответить]    [к модератору]
  • +1 +/
    > Я так понял они память патчат по сути?

    А-ага. И ещё они её программируют и форматируют.

     
     
  • 5.70, Andrei_redd (?), 08:40, 24/10/2016 [^] [ответить]    [к модератору]
  • –1 +/
    И еще меняют процессор на лету, .....
     
     
  • 6.81, Led (ok), 21:55, 24/10/2016 [^] [ответить]    [к модератору]  
  • +/
    > И еще меняют процессор на лету, .....

    Вам, вендузоедам, ещё hot swap cpu не завозили?

     
  • 6.87, Аноним (-), 16:40, 26/10/2016 [^] [ответить]    [к модератору]  
  • +/
    > И еще меняют процессор на лету, .....

    Прикинь, там hotplug для cpu запилен. "Ухтычёатакможнобыло?!?!111"

     
  • 1.2, Аноним (-), 23:59, 18/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Еще бы добавить механизм замены ядра без ведома и необходимости согласия пользователя.
     
     
  • 2.7, НяшМяш (ok), 00:29, 19/10/2016 [^] [ответить]    [к модератору]  
  • +28 +/
    Чтобы потом обновлять до десяточки?)
     
  • 2.11, Maxim Filatov (?), 00:58, 19/10/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Это уже сделано в coreos: https://coreos.com/why/#updates
     
  • 1.3, Аноним (-), 00:01, 19/10/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • –9 +/
    Одно дело когда оформил подписку на год за redhat или suse и имеешь сразу всё, а... весь текст скрыт [показать]
     
     
  • 2.6, Аноним (-), 00:15, 19/10/2016 [^] [ответить]    [к модератору]  
  • +21 +/
    Так не платите и перезагружайтесь. Никто у вас не отнимает ни единой ранее существовавшей возможности.
     
  • 2.8, arzeth (ok), 00:34, 19/10/2016 [^] [ответить]     [к модератору]  
  • +4 +/
    Из их FAQ https www suse com products live-patching 8212 причём, как я по... весь текст скрыт [показать]
     
     
  • 3.41, YetAnotherOnanym (ok), 12:29, 19/10/2016 [^] [ответить]    [к модератору]  
  • +4 +/
    Из этой цитаты я понял только последние три слова.
     
  • 2.13, Мяут (ok), 01:35, 19/10/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Я так понимаю плата тут не за саму возможность (RedHat kPatch похоже в 4.0 заинтегрировали) а за сами заплатки на ядро в правильном формате.
     
  • 2.18, Z (??), 03:45, 19/10/2016 [^] [ответить]    [к модератору]  
  • +4 +/
    - Canonical сделал доступной новую функциональность, но за деньги.

    - Вот негодяи.

    Впрочем, как выше уже написали, не хочешь - не пользуйся и не плати. Выбор у тебя есть.

     
     
  • 3.59, KonstantinB (ok), 00:39, 20/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Так деньги не за функциональность, а за доступ к подготовленным патчам Никто не... весь текст скрыт [показать]
     
  • 2.21, iPony (?), 07:29, 19/10/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    Ох уж эти диванные популисты Ну выше уже написали, что это копейки по сравнен... весь текст скрыт [показать]
     
  • 2.23, Мишка большая шишка (?), 09:07, 19/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    да вы что? попробуйте поднять HA в rhel без дополнительных подписок.
     
     
  • 3.51, arrnorets (ok), 18:05, 19/10/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Эмм, CentOS ?
     
  • 2.29, Аноним (-), 09:44, 19/10/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Ждем альтернативную репу и все. Самт виноваты, что открыли исходникик ))
     
  • 1.5, Аноним (-), 00:09, 19/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    > стоимость которой составляет $12 в месяц.

    а кряк скачать где ?

     
     
  • 2.9, Аноним (-), 00:45, 19/10/2016 [^] [ответить]     [к модератору]  
  • –4 +/
    Ты не понимаешь в чем соль Соль в том, что я больше доверяю ключевым разрабам и... весь текст скрыт [показать]
     
     
  • 3.17, бедный буратино (ok), 02:29, 19/10/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    все современные дебианы, в которых ядро от Canonical Kernel Team, заплакали и по... весь текст скрыт [показать]
     
     
  • 4.55, h31 (ok), 21:12, 19/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Пруф?
     
  • 3.82, Аноним (-), 14:13, 26/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Так это твое право Пользуйся системами от редхата Только вот с софтом в дебиан... весь текст скрыт [показать]
     
  • 1.10, Аноним (-), 00:55, 19/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Вроде бы в ядро внесли штатную функциональности, собрав лучшее из kpatch и kGraft. У Марка опять NIH синдром?
     
     
  • 2.30, Аноним (-), 09:46, 19/10/2016 [^] [ответить]     [к модератору]  
  • +/
    opencore же Функциональность есть, даже на тебе готовую прогрумму бесплатно, но... весь текст скрыт [показать]
     
  • 1.12, Igor Seletskiy (?), 01:30, 19/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Eсть альтернатива kernelcare.com и дешевле, и работает для кучи ядер.
     
  • 1.14, Аноним (-), 02:01, 19/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Продажу воздуха начали.
     
     
  • 2.15, Аноним (-), 02:19, 19/10/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Воздух жизненно важен для организма.
     
     
  • 3.58, Аноним (-), 22:19, 19/10/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > Воздух жизненно важен для организма.

    Как иронично, расскажите это растениям.

     
     
  • 4.61, Аноним (-), 11:24, 20/10/2016 [^] [ответить]    [к модератору]  
  • +/
    >> Воздух жизненно важен для организма.
    > Как иронично, расскажите это растениям.

    А вот тут поподробнее, пожалуйста.
    Биологию из современной школьной программы удалили за ненадобностью?


     
     
  • 5.62, Анином (?), 12:59, 20/10/2016 [^] [ответить]    [к модератору]  
  • +/
    похоже на то
     
  • 4.85, Аноним (-), 14:27, 26/10/2016 [^] [ответить]     [к модератору]  
  • +/
    А что, бывают растения которые живут в безвоздушном пространстве А как они, соб... весь текст скрыт [показать]
     
  • 1.16, бедный буратино (ok), 02:28, 19/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +8 +/
    это они у windows 95 стырили. там был, правда, другой механизм - перезагрузки без ядра
     
     
  • 2.19, Аноним (-), 06:31, 19/10/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > windows 95

    первая ОС. работаешь и перегружаешся, многозаданая однако

     
     
  • 3.24, бедный буратино (ok), 09:19, 19/10/2016 [^] [ответить]    [к модератору]  
  • +/
    - папа, а Виндовс 95 многозадачная?
    - да, многозадачная
    - а покажи, как это?
    - сейчас, подожди, дискету доформатирую
     
  • 2.20, Аноним (-), 06:39, 19/10/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Ну, почти. 95-й винде не приходилось грузить тяжеленные серверы, которые стартуют по 15 минут. Выгрузка в DOS и загрузка Windows обратно экономила те 30 секунд, в которые мы видим BIOS
     
     
  • 3.83, Аноним (-), 14:16, 26/10/2016 [^] [ответить]     [к модератору]  
  • +/
    У линуксоидов по этому поводу есть kexec Выгружаться ядру конечно же некуда, ... весь текст скрыт [показать]
     
  • 2.52, curious (?), 19:02, 19/10/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Вроде у NetWare это раньше было.
     
  • 1.28, iZEN (ok), 09:27, 19/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Какой компилятор используется для сборки ядра и системного окружения Ubuntu 16.04 и 16.10?
     
     
  • 2.34, Клыкастый тигар Изя Цельсионович (?), 10:28, 19/10/2016 [^] [ответить]    [к модератору]  
  • +/
    гцц
     
  • 2.36, Аноним (-), 10:57, 19/10/2016 [^] [ответить]    [к модератору]  
  • +5 +/
    вижуал студией компилирует наверно
     
  • 2.56, Led (ok), 21:13, 19/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > Какой компилятор используется для сборки ядра и системного окружения Ubuntu 16.04 и 16.10?

    Java 9

     
     
  • 3.57, Аноним (-), 22:17, 19/10/2016 [^] [ответить]    [к модератору]  
  • +/
    OpenJDk, OpenBSDM...
     
     
  • 4.60, элвис жив (?), 03:09, 20/10/2016 [^] [ответить]    [к модератору]  
  • +/
    OpenBDSM...
     
  • 2.84, Аноним (-), 14:17, 26/10/2016 [^] [ответить]    [к модератору]  
  • +/
    > Какой компилятор используется для сборки ядра и системного окружения Ubuntu 16.04

    Нечто типa GCC 5.3 или 5.4 IIRC.

    > и 16.10?

    GCC 6.10 или около того.

     
  • 1.33, Аноним (-), 10:08, 19/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    ну вот шутка про watch uname -r из man watch в очередной раз перестала быть шуткой
     
     
  • 2.37, Аноним (-), 10:59, 19/10/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > ну вот шутка про watch uname -r из man watch в очередной
    > раз перестала быть шуткой

    что за шутка?

     
     
  • 3.39, нет у меня имени (?), 11:19, 19/10/2016 [^] [ответить]     [к модератору]  
  • +/
    You can watch for your administrator to install the latest kernel with watch... весь текст скрыт [показать]
     
     
  • 4.48, Шкурка_от_головки (ok), 16:36, 19/10/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    И в чем шутка?
     
     
  • 5.53, curious (?), 19:28, 19/10/2016 [^] [ответить]    [к модератору]  
  • +4 +/
    watch периодически запускает программу (uname -r)
    Когда новый кернел будет установлен watch уже не будет выполняться.

    P.S. а теперь, с обновлением без перезагрузки, будет.

    Капец я капитан.

     
     
  • 6.86, Аноним (-), 14:30, 26/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Ты про контейнеры и виртуалки забыл где живая миграция давно никого уже никого н... весь текст скрыт [показать]
     
  • 1.35, Аноним (-), 10:56, 19/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    так ли это нужно на десктопной оси?
     
     
  • 2.38, IMHO (?), 11:18, 19/10/2016 [^] [ответить]    [к модератору]  
  • +/
    нет, будет стабильный дистрибутив
     
  • 1.40, ns1 (?), 11:33, 19/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я только одного не могу понять, что мешает получив подписку на  аж целых три машины, соорудить собственную репу для конторы?
     
     
  • 2.42, Аноним (-), 12:39, 19/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Соорудить репу и обслуживать её, раздавать права на подключение к ней, патчить я... весь текст скрыт [показать]
     
  • 2.44, Crazy Alex (ok), 13:13, 19/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Заниматься незаконной хренью ради экономии 12 баксов??? Причём если оно вообще нужно - значит, такие деньги определённо не проблема.
     
  • 1.43, виндотролль (ok), 12:50, 19/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    гном вводит обновления прикладного софта с перезагрузкой, а эти вздумали ядро обновлять на лету... Совсем не в тренде.
     
  • 1.45, Анонимус 223 (?), 14:26, 19/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    3 машины на один аккаунт - бесплатно
    Надо больше обновлять - регаем больше аккаутов
    Тоже проблему нашли

    У оракла ksplice для десктопной бубунты и федорки - бесплатно

     
  • 1.46, Аноним (-), 16:07, 19/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    На прошлой неделе они исправили баг с гаснущим намлоком при переключении раскладки! Вот это эпохально!
     
     
  • 2.67, boss (??), 00:07, 21/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Я думал это только у меня так ))) Подсветка клавы включалась и выключалась из-за этого кстати)))
     
  • 1.47, Аноним (-), 16:30, 19/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Обалдеть как просто! Всего десяток действий! Куда там винде и макоси!?
     
  • 1.63, Нониус (?), 14:17, 20/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    учитывая, что из-за четырёх незначительных коммитов релизят ядро, сервис будет популярен
     
  • 1.64, Аноним (-), 18:46, 20/10/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    И никто не написал про веселый fast ring или как там они его обозвали, все кто э... весь текст скрыт [показать]
     
  • 1.65, aurved (?), 20:09, 20/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А вот возникает вопрос -- а возможно ли все оставить как есть, не ставить эту систему Livepatch, не получать токен и обновлять ядро при серьезных уязвимоcтях пусть и с перезагрузкой? А то у меня сложилось впечатление что так уже не получится...
     
     
  • 2.66, Аноним (-), 22:44, 20/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Вот ты -- настоящий потенциальный покупатель Звони в поддержку Canonical и они ... весь текст скрыт [показать]
     
     
  • 3.68, aurved (?), 00:09, 21/10/2016 [^] [ответить]    [к модератору]  
  • +/
    ну пока ИИ у нас патчи не разрабатывает вроде))) так что при любом варианте возможно сбои и в результате человеческих ошибок и в результате недостаточного тестирования. вот хорошо помнится как прилетело один раз ядро и после его установки рушилось все раз за разом, пришлось снести его. а потом этот update отменили.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor