內(nèi)核熱補丁概述
Alibaba Cloud Linux為內(nèi)核的高危安全漏洞(CVE)以及重要的錯誤修復(fù)(Bugfix)提供了熱補丁支持,您無需重啟服務(wù)器即可對操作系統(tǒng)內(nèi)核更新補丁,以獲取內(nèi)核的穩(wěn)定與安全。本文主要介紹內(nèi)核熱補丁以及內(nèi)核熱補丁的優(yōu)勢與限制。
功能簡介
您可以通過內(nèi)核熱補丁為Alibaba Cloud Linux操作系統(tǒng)內(nèi)核即時更新補丁。內(nèi)核熱補丁由以下組件構(gòu)成:
補丁RPM包:RPM包包含補丁的內(nèi)核模塊(ko文件)以及補丁的描述文件,內(nèi)核通過加載該補丁中的內(nèi)核模塊,對內(nèi)核進行問題修復(fù)。
kpatch工具:管理各補丁中內(nèi)核模塊的命令行工具。
kpatch系統(tǒng)服務(wù):內(nèi)核熱補丁的系統(tǒng)守護進程(systemd),該服務(wù)在操作系統(tǒng)初始化階段加載各補丁的內(nèi)核模塊,用于對內(nèi)核進行問題修復(fù)。
功能優(yōu)勢
內(nèi)核熱補丁可以在保證服務(wù)器的安全性與穩(wěn)定性(無需重啟服務(wù)器和任何業(yè)務(wù)相關(guān)的任務(wù)進程、無需等待長時運行的任務(wù)完成、無需用戶注銷登錄、無需進行業(yè)務(wù)遷移)的前提下,平滑且快速地為內(nèi)核更新高危安全漏洞或重要錯誤修復(fù)的補丁。
功能限制
您需要注意內(nèi)核熱補丁方式存在以下限制:
適用于Alibaba Cloud Linux操作系統(tǒng),并且:
Alibaba Cloud Linux 2.1903的內(nèi)核版本不能低于kernel-4.19.24-9.al7.x86_64。
Alibaba Cloud Linux 3.2104的內(nèi)核版本不能低于5.10.23-4.al8.x86_64。
對于每次迭代的Alibaba Cloud Linux操作系統(tǒng)內(nèi)核版本,阿里云提供一年的內(nèi)核熱補丁支持,超過支持期限后,您需要將操作系統(tǒng)的內(nèi)核版本升級至最新版。
不是所有的高危安全漏洞或重要錯誤修復(fù)都可以通過熱補丁的方式修復(fù),該方式主要為了減少因更新補丁而產(chǎn)生的重啟服務(wù)器操作,但不能完全避免重啟服務(wù)器。熱補丁主要修復(fù)范圍為:嚴(yán)重及以上級別的CVE漏洞、嚴(yán)重級別的錯誤修復(fù)。
熱補丁不是通用的內(nèi)核升級解決方案,僅適用于在不方便對服務(wù)器立即重啟時,為內(nèi)核更新高危安全漏洞或重要錯誤修復(fù)的補丁。
在更新補丁過程中以及補丁生效后,不能使用SystemTap或者kprobe工具對補丁涉及的函數(shù)進行測試或跟蹤。否則補丁將失效。
相關(guān)操作
獲取、啟動或禁用Alibaba Cloud Linux的內(nèi)核熱補丁的具體操作,請參見內(nèi)核熱補丁操作說明。