LINUX.ORG.RU

Вперёд к аптайму

 


0

0

Джеф Арнольд анонсировал в списке рассылки разработчиков ядра Linux систему Ksplice, предназначенную для обновления частей ядра Linux без перезагрузки. В первую очередь проект ориентирован на установку критических обновлений, связанных с безопасностью, в автоматическом режиме, без остановки работы.

Ksplice не будет работать, если применяемые им патчи каким-то образом меняют структуры данных ядра. Джеф также отмечает, что 84% патчей безопасности с мая 2005 г. по декабрь 2007 г. не делали таких изменений и могут быть применены "на лету".

Важная деталь: для работы Ksplice не требуется патчить текущее ядро или перезагружать систему.

Репозиторий GIT, исходный код и бинарники:
ksplice.git
ksplice-src.tar.gz
ksplice-bin-i386 .tar.gz
ksplice-bin-x8 6_64.tar.gz
Пример: Запатчим-ка printk
Описание работы

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Ответ на: комментарий от anonymous

Причем тут 1С ? И про реализации ты несогласен? хочешь сказать если придерживатся плана "этож автоматическая патчилка для ядра, от нее одни плюсы." забывая о том, что её можно использовать не только для заделывания дырок в ядре, то будет всем хорошо?

IIIHyP
()
Ответ на: комментарий от IIIHyP

Блин, если кто-то под рутом меняет тебе ведро - тебя уже поимели. Какая нафиг разница, в ведре будет левый код сидеть или в libc? Какие новые возможности это предоставляет?

madcore ★★★★★
()
Ответ на: комментарий от IIIHyP

> Причем тут 1С ?

При том, что следует смотреть за качеством того, что делается дерьмово. То что делается и без быдлоумников, вроде тебя, делается давно и делается хорошо, вмешательства и беспокойства твоего не требует.

Хотя я понимаю почему ты тычешь пальцем в стабильность именно этой идеи. Проще бороться с тем, что и так забороли без тебя, желательно ещё до твоего рождения. Придти, поплевать на труп и станцевать на могиле всегда проще, чем бороться с реальными проблемами.

anonymous
()
Ответ на: комментарий от anonymous

На опен нете писалось что на эту технологию у майкрософта патент. от 2002 года . Так что не ждите его в дистрибутивах?

sneer
()
Ответ на: комментарий от anonymous

>Вот и эти подтяжки к ядру такая же полумера. Интересно, сколько еще можно насиловать этот монолитно-модульный трупик.

Дебилушка. Поменять модуль можно было уже давно. Перезагрузить ядро тоже. Тут сделали прекрасную возможность еще более тонкого вмешательства.

AVL2 ★★★★★
()
Ответ на: комментарий от sneer

>На опен нете писалось что на эту технологию у майкрософта патент. от 2002 года . Так что не ждите его в дистрибутивах?

э? вроде в любом UNIXе можно подменить любую функцию своей(в т.ч. той-же, но пропатченой) чуть не с 1969 года?

Anonymous ★★★★★
()
Ответ на: комментарий от php-coder

ты косишь под дебила или действительно _дебил_?

ты ж в этой новости не рубишь ничего -- накойхер прикидываться?

anonymous
()
Ответ на: комментарий от anonymous

> Интересно, сколько еще можно насиловать этот монолитно-модульный

всю жизнь. Или пока никто не создаст хорошую десктоп и серверную ОС на микроядре.

Уже 15 лет любители микроядер чешут языками по форумам, пишут книги о крутизне микроядер, спамят Линуса с 91 года. Но сделать ничего for generic use не смогли. Нишевые решения не предлагать.

szh ★★★★
()
Ответ на: комментарий от sneer

> На опен нете писалось что на эту технологию у майкрософта патент. от 2002 года

читай до конца - Технология была известна задолго до патентования.
Значит патент можно аннулировать через суд. Ждем в дистрибутивах.

szh ★★★★
()
Ответ на: комментарий от IIIHyP

> Ты думаешь в будущем, это не будет работать "изкаропки"? Правдо такое могут сделать онли для десктоп, чтобы лишний раз не подвергать опасности сервера.

Если на чьих-то серверах трояны получают рутовые права + права грузить модули в ядро - наличие/отсутствие этой технологии уже совсем не важно.

szh ★★★★
()

Собрал. Пропатчил им ведро. Работает) Насколько я понял оно не трогает имедж ядра у меня в /boot а патчит только находящееся в памяти? Т.е. чтобы патчи работали и после ребута надо прописать их накладывание при старте системы??

Nao ★★★★★
()
Ответ на: комментарий от Nao

>патчит только находящееся в памяти

да. подобная романтика когда-то была в досе с перехватом прерываний =)

alex_custov ★★★★★
() автор топика
Ответ на: комментарий от Torvalds

>ни хрена себе 0_о

С выходом из анабиоза, Линус. Пока ты спал, твоё ядро уже пропатчили=)

Nao ★★★★★
()

> ... систему Ksplice, предназначенную для обновления частей ядра Linux без перезагрузки ...

requires: kdelib

anonymous
()
Ответ на: комментарий от Nao

> Насколько я понял оно не трогает имедж ядра у меня в /boot а патчит только находящееся в памяти? Т.е. чтобы патчи работали и после ребута надо прописать их накладывание при старте системы??

насколько я полагаю, заменой ядра в /boot должен заниматься дистрибутивный менеджер пакетов, согласно дистрибутивной политике (авто) обновлений. он же должен и Ksplice запускать, что бы изменения в системе произошли немедленно.

новость отличнейшая.

dmiceman ★★★★★
()
Ответ на: комментарий от szh

>Если на чьих-то серверах трояны получают рутовые права + права грузить модули в ядро - наличие/отсутствие этой технологии уже совсем не важно

...и если в репозитарии чьего-то дистрибутива окажутся ядрёные модули/патчи с троянами - то, опять таки, ksplice или #reboot - не важно

Anonymous ★★★★★
()
Ответ на: комментарий от anonymous

Неумеет такого Sun Solaris!!! Да, был такой проект, да гораздо раньше, чем в Linux зачесались, да работало оно в Solaris, но в базовую систему так и не вошло, Sun посчитало это слишком накладным решением и свернула разработку...:)

ZANSWER
()
Ответ на: комментарий от CkuB

>> А когда можно будет делать обновление ядра без перезагрузки?

>А есть операционки, которые так умеют?

Какие-то разновидности RT-11 умеют и очень давно - лет 30 :)

Создается образ системы на диске, в нем вносятся исправления, потом туда вписывается информация о рабочих процессах.
Далее происходит загрузка образа с диска.

odip ★★
()
Ответ на: комментарий от Nao

> Т.е. чтобы патчи работали и после ребута надо прописать их накладывание при старте системы??

А нафига? Если уж перезапустил систему, так и новую версию ядра со всеми секур патчами можно запустить.

ilnurathome
()

По-моему возможность менять части ядра еще не означает микроядерности как таковой.

anonymous
()
Ответ на: комментарий от ZANSWER

напишите кто-то в двух словах в чём основная идея технологии а то по ссылке там план захвата мира прям какой-то пдфник тяжёлый и т.п.

sneer
()
Ответ на: комментарий от sneer

>>пдфник тяжёлый

пдфник 200 Кб занимает :))

>>напишите кто-то в двух словах

подменять на ходу некоторые функции ядра на новые, что-то типа LD_PRELOAD

===
it automatically creates a set of kernel modules containing the kernel
functions touched by the update, and arranges for the running kernel to
use the new functions from now on.
===

alex_custov ★★★★★
() автор топика
Ответ на: комментарий от mic

>шаг к "нормальному", то бишь завирушённому десктопу? надеюсь, это будет отключаться.

глупости. тогда давайте еще и поддержку модулей ядром отключим.

soko1 ★★★★★
()
Ответ на: комментарий от soko1

>глупости. тогда давайте еще и поддержку модулей ядром отключим.

подождите, еще есть возможность писать в файлы!! так мы можем изменять исполняемые файлы! срочно вырезать sys_write из ядра!

generatorglukoff ★★
()

Отлично!

Такого давно нехватало...

Harliff ★★★★★
()
Ответ на: комментарий от anonymous

>>А есть операционки, которые так умеют?

>Вообще-то есть. Более того работают уже много лет. Обновления можно проводить налету. Т.е. внес изменения, посмотрел как работает, понравилось- оставил, не понравилось- откатился. И при этом система полноценно работает. Причем при возникновении ошибок система на валиться, а просто обругивается на программный блок, который вызвал ошибку.

А это какие? QNX ?

Harliff ★★★★★
()
Ответ на: комментарий от anonymous

>kexec ещё в 2.5 был

Кто использовал kexec, опишите сей процесс и его результаты...

Harliff ★★★★★
()
Ответ на: комментарий от IIIHyP

Если хватило прав для загрузкимодуля,то потом грузишь в память все что надо, kexec в руки и оставляешь себе в ядре исполняемого кода - столько,сколько успеешь загрузить.

Потом хоть завыгружайся. Можно изядра даже сказать что занят важной работой модуль - и фига с два потом его выгрузят из юзерспейса.

Конечно, ksplice может помоьч слегка ядерным троянописателям - в скорости разработки и в конечном весе "продукта" :)

neper
()
Ответ на: комментарий от sneer

>напишите пожалуйста что пока что это патентная мина
да какая там мина?

man ptrace

The ptrace() system call provides (...), and examine and change its core image and registers.

этот просто пример, который случайно попался на глаза, модификация образа программы в памяти по самым разным поводам всегда(отнюдь не только во времена реального режима в DOS) была обычнейшим делом, и лишь в последние годы, в связи с забвением ассемблера стала забываться.

Anonymous ★★★★★
()

Какой замечательный rootkit.

Dselect ★★★
()
Ответ на: комментарий от szh

> Если на чьих-то серверах трояны получают рутовые права + права грузить
> модули в ядро - наличие/отсутствие этой технологии уже совсем не важно.

Важно -- факт взлома легче скрыть.

Dselect ★★★
()
Ответ на: комментарий от alex_custov

win4lin - это навроде VirtualBox/Xen/VmWare,
а аналог colinux - скорее wine

Anonymous ★★★★★
()

осталось только написать программу, которая будет улучшать ядро случайным образом, ну и фитнес функцию, чтобы знать стало ли лучше
можно сделать эволюционирующее ядро;)

dimon555 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.