保険会社 GEICO は、Linux カーネルのライブ パッチを作成、組み立て、配信するための独自のインフラストラクチャを展開できるツールキットである TuxTape の予備リリースを公開しました。ライブ パッチを使用すると、システムを再起動したり停止したりすることなく、Linux カーネルに修正を即座に適用できます。プロジェクト コードは Rust で記述されており、Apache 2.0 ライセンスに基づいて配布されています。
Red Hat、Oracle、Canonical、SUSE などの企業では、脆弱性を修正したライブ パッチをディストリビューション向けに提供していますが、パッチを操作するための低レベルのツールのみが公開されており、パッチ自体は非公開で作成されています。 Gentoo と Debian ディストリビューションは、オープン プロジェクト elivepatch と linux-livepatching の開発を試みましたが、前者は 6 年間放置され、後者はテスト プロトタイプの作成段階で行き詰まっています。
TuxTape は、サードパーティ ベンダーに依存せず、ディストリビューション固有のカーネル パッケージだけでなく、あらゆる Linux カーネルに適応可能なライブ パッチを作成および配信するための独自のシステムを提供することを目指しています。 TuxTape は、Red Hat が開発した kpatch ツールキットと互換性のあるライブ パッチを生成できます (kpatch 以外の同様のツールには、SUSE の kGraft、Oracle の Ksplice、ユニバーサル ライブ パッチなどがあります)。パッチは、カーネル内の関数を置き換えるロード可能なカーネル モジュールとして形成され、ftrace サブシステムを使用して、モジュールに含まれる新しい関数にリダイレクトされます。
TuxTape は、linux-cve-announce メーリング リストと Git リポジトリに公開された Linux カーネルの脆弱性修正に関する情報を追跡し、脆弱性を重大度別にランク付けし、サポートされている Linux カーネルへの適用可能性を判断し、LTS カーネル ブランチへの通常のパッチに基づいてライブ パッチを生成できます。ソース パッチの適用可能性は、カーネル ビルドのプロファイリングによって評価されます。ターゲットカーネルに影響を与えない脆弱性のあるパッチは無視されます。
TuxTape には、新しいカーネルの脆弱性を追跡するシステム、パッチおよび脆弱性データベース ビルダー、メタデータを保存するサーバー、カーネル ビルド ディスパッチ システム、カーネル ビルダー、パッチ ジェネレーター、パッチ アーカイブ、エンド ホストのパッチを受信するクライアント、およびライブ パッチの生成を管理するための対話型インターフェイスが含まれています。
開発は実験的なプロトタイプ段階にあります。初期テストには、脆弱性に関する情報を解析し、パッチを含むデータベースを構築するための tuxtape-cve-parser が推奨されます。パッチ生成サービス用の gRPC インターフェースを実装した tuxtape-server。指定された構成でカーネルを構築し、ビルド プロファイルを生成する tuxtape-kernel-builder。 tuxtape-dashboard は、tuxtape-server から受信したソース パッチに基づいてライブ パッチを確認および作成するためのコンソール インターフェイスです。
出所: オープンネット.ru
