Kernelmodule die Reboot nach Patches überflüssig machen

Sparta

New Member
Hallo.

Ich habe mich hier gerade angemeldet da ich eine Frage habe.

Ich habe gelesen das es unter Linux jetzt Kernelmodule gibt, die einen Neustart nach einem Patch überflüssig machen. Im Prinzip kann dadurch wohl alles, was vorher einen Neustart zwingend erforderlich gemacht hat, im laufenden Betrieb erledigt werden.

Gibt es da ähnliches für FreeBSD oder ist da etwas geplant.

Es geht mir hier einfach um Uptime einzelner Server.

Vielen Dank.
 
Nein, FreeBSD kann so etwas nicht. Und auch unter Linux ist das so eine Sache. Es funktioniert solange man sich in einem klar definierten Umfeld bewegt, ja. Aber den Aufruf der gepatchten Funktion auf eine neue Variante umzuleiten ist dennoch etwas hakelig und hat (geringe) Performance-Einflüsse. Im Zweifel ist es besser einfach zu rebooten.
 
vor vielen Jahren habe ich in unserem IRC hier eine Lektion gelernt: Uptime braucht kein Mensch, was zählt ist Verfügbarkeit. Und so kommt man z.B. in den Bereich Cluster
 
Hi.

Die Antwort von Yamagi verstehe ich. Es geht nicht.

Die anderen beiden Antworten nicht komplett.

Es geht, aber, niemand braucht es. Fasse ich mal so zusammen.

Ich hatte ja extra in meiner Fragestellung erwähnt das es um einzelne Server geht. Nicht um Verfügbarkeit mit zB Clustern etc.

Und es unnötig zu finden ist ja ok. Aber das war ja nicht die Frage.
 
Vielleicht wird es klarer was gemeint war, wenn ich es so formuliere:
Die Menschen/Prozesse die mit den Programmen und Diensten deiner einzelnen Server zu haben.... sind diese auf die Uptime deiner Server angewiesen oder darauf dass z.B. die Datenbank läuft. Nur so als Beispiel.
Wenn man bei einem System keine Zeit für Wartungsfenster ermöglichen kann oder will, so ist man gezwungen sich andere Lösungen zu überlegen
 
Linux has the ability to quickly reboot a system by loading a new kernel image into memory while they system is running and then restart into the new kernel bypassing the reset bios post process.
Aus dem Link oben, von Ime

Das liest sich für mich auch ein wenig anders, als gar nicht neu booten.

Wenn ich das recht verstehe, dann wird da ja neu gestartet, nur ohne "den Stecker zu ziehen".

Yamagi hatte eine etwas andere Herangehensweise beschrieben.
 
In der Linux-Welt gab es bisher zwei konkurrierende Verfahren für Live-Patching. Eines von Red Hat und eines von Suse. Die wurden nun zusammengeführt in Form von KLP in den offiziellen Kernel integriert. Red Hat ein schönes Video gebaut, wie es funktioniert:
Um diese Inhalte anzuzeigen, benötigen wir die Zustimmung zum Setzen von Drittanbieter-Cookies.
Für weitere Informationen siehe die Seite Verwendung von Cookies.
Was sie nicht so laut sagen ist, dass es zwei Einschränkungen gibt: Es können nicht alle Kernel-Funktionen gepatcht werden und das ganze funktioniert nur, solange man sich in einer Umgebung mit klar definierten Kernelversionen bewegt. Das ist natürlich nicht zwingend problematisch.

Ob es nun sinnvoll ist so ein Feature zu haben oder nicht, ist schwer zu sagen. Auf der einen Seite sagt der Profi in mir, dass saubere Systeme immer so gebaut sind, dass einzelne Server ohne große Auswirkungen hinsichtlich Verfügbarkeit der Services rebootet werden können oder es regelmäßige Maintainance-Windows gibt. Auf der anderen Seite habe ich selbst eine Reihe älterer und ziemlich katastrophaler Systeme, wo so etwas nicht möglich ist und die auch nur mit Schweiß auf der Stirn reboote. Die "Lösung" dieses Problems war, sie irgendwo ganz weit hinten in der DMZ unterzubringen und eine "do nothing"-Strategie zu fahren. Also bei jeder CVE schauen, ob sie überhaupt relevant ist und wenn ja abwägen, ob der Patch das Risiko rechtfertigt. Ansonsten schwimmen sie im normalen FreeBSD-Releasezyklus mit.

Davon einmal abgesehen wird das "schwer zu sagen" von FreeBSD wahrscheinlich noch lange mit "nein" übersetzt werden. Ein echtes Verfahren zum Live-Patching ist sehr aufwändig und solange dort kein klarer Bedarf besteht und sich jemand findet, wird es nicht implementiert werden.
 
Zurück
Oben