Abo
  • Services:
Anzeige
Linux 4.0 bringt Live-Patching mit.
Linux 4.0 bringt Live-Patching mit. (Bild: Liam Quinn/CC BY-SA 2.0)

Betriebssysteme: Linux 4.0 patcht sich selbst

Linux 4.0 bringt Live-Patching mit.
Linux 4.0 bringt Live-Patching mit. (Bild: Liam Quinn/CC BY-SA 2.0)

Sich selbst im laufenden Betrieb reparieren, das ist ab der jetzt erschienenen Version des Linux-Kernels 4.0 möglich - zumindest rudimentär. Die Funktion ist allerdings noch umstritten. Außerdem gibt es Abhilfe bei Rowhammer-Angriffen.

Mit etwa 9.000 Änderungen sind die Neuerungen in Linux 4.0 vergleichsweise gering, im vergangenen Kernel 3.19 waren es noch 11.400. Mit der Schnittstelle für Suses Kgraft und Red Hats Kpatch lassen sich in Linux 4.0 künftig Reparaturen im laufenden Betrieb ausführen. Das soll Downtimes verhindern. Allerdings ist das Live-Patching noch umstritten. Mit 4.0 statt 3.20 steht hingegen die Versionsnummer der aktuellen Ausgabe des Linux-Kernels fest. Linus Torvalds folgt damit seinem 2011 formulierten Plan, die Kernel-Nummern zu kürzen.

Anzeige

Live-Patching noch nicht ausgereift

Die wohl herausragende Neuerung von Linux 4.0: Es kann ohne nennenswerte Unterbrechungen bestimmte Patches einspielen. Dazu bringt der Kernel ein Framework für Suses Kgraft und Red Hats Kpatch mit, die beide bereits in den jeweiligen angepassten Linux-Kerneln der Distributionen zum Einsatz kommen.

Wie Entwickler Jiri Kosina im Kommentar zum Merge-Commit schreibt, gibt es bislang eine API für die gepatchten Kernel-Module und eine Userspace-API/ABI, um die Patches anzuwenden oder zu deaktivieren. Red Hat und Suse müssen ihre Userspace-Tools noch für den Kernel anpassen, doch einfache Sicherheitspatches lassen sich bereits integrieren.

Umstrittene Konsistenzprüfung

Streit gibt es allerdings um die Konsistenzprüfung beim Live-Patching. Ingo Molnar hat auf der Kernel-Mailingliste die Implementierung und das Design von Kpatch und Kgraft kritisiert. Sie seien "unfreiwillig ein verlängerter Arm des Security-Theaters". Bisher wird die in Kgraft umgesetzte Variante verwendet. Statt wie bei Kpatch das gesamte System anzuhalten, leitet Kgraft jeden einzelnen Prozess vom alten auf den neu gepatchten Kernel-Code um. Um diesen Vorgang zu beschleunigen, wurde wiederum das Stack-Tracing aus Kpatch eingebaut, das Kernel Stack Backtraces verwendet. Denn diese gelten unter einigen Entwicklern als zu unzuverlässig. Es habe in der Vergangenheit dort etliche Fehler gegeben. Noch vorhandene Bugs könnten erst dann auftauchen, wenn ein Live-Patch angewendet werde, argumentiert Molnar.

Molnar will stattdessen eine umfassendere Lösung: Demnach solle der aktuelle Zustand des Systems gespeichert werden. Anschließend könnte der neue Kernel mit Kexec geladen und der gespeicherte Zustand mit diesem wieder gestartet werden. Diese Idee sei nicht neu, schreibt Corbet. Einige Entwickler arbeiten seit längerem an dem Konzept der Seamless Kernel Upgrades. Der Kgraft-Entwickler Vojtech Pavlik argumentiert jedoch, dass ein solch komplexes System noch etwa zehn Jahre brauche, um umgesetzt zu werden.

Wegen der andauernden Diskussion ist es eher unwahrscheinlich, dass ein funktionierendes Konsistenzmodell bereits im nächsten Kernel 4.1 umgesetzt wird. Möglicherweise müssen Nutzer noch bis mindestens bis Ende dieses Jahres warten, bis die Funktion wirklich nutzbar ist.

Rechteeinschränkung gegen Rowhammer-Angriff

Um den jüngst bekanntgewordenen Rowhammer-Angriff unter Linux zu erschweren, haben die Kernel-Hacker die Zugriffsrechte auf die Datei /proc/PID/pagemap eingeschränkt. Künftig darf darauf nur noch mit Root-Rechten zugegriffen werden. Allerdings müsste es möglicherweise später noch eine feinere Zugriffsverwaltung geben, um mögliche Probleme zu verhindern, schreibt Torvalds dazu. Allerdings funktioniert der für den Rowhammer-Angriff veröffentlichte Testcode auch ohne Zugriff auf Pagemap. Immerhin schränkt der Patch die Möglichkeiten eines solchen Angriffs ein und wird von den Kernel-Entwicklern begrüßt.

Verbesserungen in Grafiktreibern, Netzwerk und Dateisystemen 

eye home zur Startseite
IntOverflow 14. Apr 2015

Ähm ich weiß nicht wie du das geschafft hast mit 98 Updates und einmal booten. Vor 2...

tomatentee 13. Apr 2015

Wenn ich die von mir betreuten Server rebooten muss, muss ich das 24h im Vorraus...

elgooG 13. Apr 2015

Leider ist das in der Praxis nicht immer der Fall. Fährt man einen Server herunter, hei...

Beazy 13. Apr 2015

Volle Zustimmung! Wie soll man denn (und das gilt für jedes Problem) die beste Lösung...



Anzeige

Stellenmarkt
  1. über Harvey Nash GmbH, Berlin, Frankfurt am Main
  2. Robert Bosch GmbH, Abstatt
  3. Daimler AG, Leinfelden-Echterdingen
  4. PHOENIX CONTACT GmbH & Co. KG, Blomberg


Anzeige
Top-Angebote
  1. 8,58€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)
  2. 39,99€ (Vorbesteller-Preisgarantie)
  3. 44,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Data Center-Modernisierung für mehr Performance und
  2. Durch Wechsel zur Cloud die Unternehmens-IT dynamisieren
  3. Kriterien für die Migration auf ein All-Flash-Rechenzentrum


  1. Ronny Verhelst

    Tele-Columbus-Chef geht nach Hause

  2. Alphabet

    Google Gewinn geht wegen EU-Strafe zurück

  3. Microsoft

    Nächste Hololens nutzt Deep-Learning-Kerne

  4. Schwerin

    Livestream-Mitschnitt des Stadtrats kostet 250.000 Euro

  5. Linux-Distributionen

    Mehr als 90 Prozent der Debian-Pakete reproduzierbar

  6. Porsche Design

    Huaweis Porsche-Smartwatch kostet 800 Euro

  7. Smartphone

    Neues Huawei Y6 für 150 Euro bei Aldi erhältlich

  8. Nahverkehr

    18 jähriger E-Ticket-Hacker in Ungarn festgenommen

  9. Bundesinnenministerium

    Neues Online-Bürgerportal kostet 500 Millionen Euro

  10. Linux-Kernel

    Android O filtert Apps großzügig mit Seccomp



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Creoqode 2048 im Test: Wir programmieren die größte portable Spielkonsole der Welt
Creoqode 2048 im Test
Wir programmieren die größte portable Spielkonsole der Welt
  1. Arduino 101 Intel stellt auch das letzte Bastler-Board ein
  2. 1Sheeld für Arduino angetestet Sensor-Platine hat keine Sensoren und liefert doch Daten
  3. Calliope Mini im Test Neuland lernt programmieren

Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

Microsoft Surface Pro im Test: Dieses Tablet kann lange
Microsoft Surface Pro im Test
Dieses Tablet kann lange
  1. Microsoft Neues Surface Pro fährt sich ohne Grund selbst herunter
  2. iFixit-Teardown Surface Laptop ist fast nicht reparabel
  3. Surface Studio Microsofts Grafikerstation kommt nach Deutschland

  1. Re: Soll das ein Witz sein?!

    tingelchen | 02:48

  2. Re: Wie viel Menschen klicken auf Werbung?

    Sharra | 02:41

  3. Re: Und in Deutschland?

    LordGurke | 01:33

  4. Re: Tele-Columbus ist nicht mehr das was es mal wahr

    dxp | 01:30

  5. Re: Eine Beleidigung für echte Fotografen

    No name089 | 01:20


  1. 23:54

  2. 22:48

  3. 16:37

  4. 16:20

  5. 15:50

  6. 15:35

  7. 14:30

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel