ksplice生产准备好了吗?

Modified on: Mon, 26 Aug 2019 20:20:03 +0800

我很想听听serverfault社区使用Ksplice的经验在生产中。

来自维基百科的快速模糊:

  

Ksplice是Linux内核的免费开源扩展,允许系统管理员将安全补丁应用于正在运行的内核,而无需重新启动操作系统。

  

Ksplice可以在不重新启动内核的情况下应用任何只需要修改内核代码的源代码补丁。与其他热更新系统不同,Ksplice仅将统一差异和原始内核源代码作为输入,并且正确更新正在运行的内核,无需进一步的人工辅助。此外,利用Ksplice在系统最初启动之前不需要任何准备(例如,运行的内核不需要特别编译)。为了生成更新,Ksplice必须确定源代码补丁中内核中的代码已被更改。

所以有几个问题:

稳定性如何?您在内核的“无重启实时修补”中遇到的任何奇怪问题?内核恐慌或恐怖故事?

我一直在几个测试系统上运行它,到目前为止它一直在宣传,但我感兴趣的是其他系统管理员在使用Ksplice之前的经验,然后再“全部”并在我们的生产服务器上部署它。

那么,有人在生产中使用Kspice吗?

更新:嗯,几个小时之后没有看到任何关于这个问题的真实活动(除了一些赞成和赞成)。也许是为了激发一些活动,我还会问一些问题,看看我们是否可以进行讨论......

“如果您了解Ksplice,是否有理由使用它?”

“你觉得它仍然过于尖锐,未经证实或未经测试?”

“Ksplice不适合您当前的补丁管理系统吗?”

“你讨厌拥有长时间(和安全)正常运行时间的系统吗?” ; - )

作者:,faultyserver

最佳答案

(首先,免责声明:我为Ksplice工作。)

我们在自己的生产基础设施上使用它,当然,更重要的是,我们的500多家企业客户(截至2010年12月的数量)也是如此。

一个系统管理员在红色上询问相同的问题Hat Enterprise Linux用户邮件列表,并得到了许多答案,其中一些摘录如下:

  

我们已经在十几个主机上运行Ksplice几个月了。到目前为止它的工作方式与宣传的一样。

  

我有>在我控制下的500台机器中,大约445台机器连接到uptrack(rhel 4& 5)。在我们有机会重启机器之前,我们使用ksplice来阻止一些根漏洞。由于我们仍然在测试,我们无论如何都推出了新的内核,但是我已经运行了几个星期ksplice'd没有问题。

人们表达的一个问题不是稳定性,而是与现有审计和监测工具的整合:

  

关于使用ksplice的唯一“问题”是没有任何问题
  “ksplice-aware”审计工具尚未推出。

正如您所料,现在这是我们投入巨资的一个领域。

作者:wdaher

相关问答

添加新评论