Auch Red Hat arbeitet an Live-Patching für den Linux-Kernel
Ksplice und Suses kürzlich vorgestellte Kgraft bekommen Gesellschaft: Mit Kpatch entwickelt auch Red Hat an einer Technik, um Kernel-Fehler im Betrieb zu beheben.
Nicht nur Suse, sondern auch Red Hat arbeitet an einem Framework, um Linux-Kernel im Betrieb zu verändern. Das ist vornehmlich interessant, um Sicherheitslücken zu stopfen, ohne ein System und somit alle Anwendungen neu starten zu müssen. Der Red-Hat-Ansatz heißt Kpatch und ist noch in Entwicklung; das Unternehmen will die Software auf dem Collaboration Summit Ende März vorstellen. Das erläuterte Red-Hat-Mitarbeiterin Linda Wang in einem zehnminütigen Lightning Talk auf der devconf.cz, die vom 7. bis 9. Februar im tschechischen Brno (Brünn) stattfand; die Video-Aufzeichnung des Vortrags ist bislang nicht online.
Die Arbeit an einer Live-Patching-Technik für den Linux-Kernel wurde damit nur wenige Tage bekannt gegeben, nachdem Suse Kgraft ankündigte, das genau die gleiche Funktion bieten soll. Beide Lösungen bestehen aus Erweiterungen für den Linux-Kernel sowie Anwendungen, um die Korrekturen zu erzeugen und in den laufenden Kernel zu impfen. Es ist unklar, ob die Konkurrenzsituation zufällig entstanden ist, oder ob eines der Unternehmen hektisch eine eigene Lösung entworfen hat, nachdem es in Entwicklerkreisen von der Arbeit des Mitbewerbers gehört hat. Das ein oder andere Indiz spricht aber für Zufall; ohnehin haben Entwickler beider Unternehmen schon länger über solch eine Lösung nachgedacht, nachdem wichtige Teile der einige Jahre alten Live-Patching-Lösung Ksplice nicht mehr unter Open-Source-Lizenzen weiterentwickelt werden.
Es ist indes eher ungewöhnlich, dass Red Hat und Suse solche Kernel-nahe Techniken ankündigen, ohne wenigstens einen Prototyp zu veröffentlichen; möglicherweise wollen eines oder sogar beide Unternehmen mit der Ankündigung verhindern, sich später vorwerfen lassen zu müssen, das Rad mit der eigenen Lösung neu zu erfinden, statt zu kooperieren. Ein wenig zusammenarbeiten müssen sie am Ende vermutlich so oder so, da es eher ungewöhnlich scheint, dass die Kernel-Entwickler zwei verschiedene Schnittstellen zum Live-Patching integrieren; laut der Kurzbeschreibungen scheinen zumindest die Kernel-seitigen Ansätze von Kpatch und Kgraft ohnehin ganz ähnlich zu arbeiten.
Wenige Tage nach der Kgraft-Ankündigung hat Suse-Mitarbeiter Matthias G. Eckermann indes in einem Blog-Beitrag noch näher ausgeführt, für welche Einsatzzwecke Live-Patching interessant sei. Als Beispiele führt er dort unter anderem hohe Verfügbarkeit an. Zudem erwähnt er Simulationen, die Wochen oder Monate laufen; da diese teilweise kein Checkpoint / Restart unterstützen, lassen sie sich nicht vorübergehend anhalten oder auf anderen Systeme verschieben, wenn eine Sicherheitslücke im laufenden Kernel gestopft werden muss. (thl)