LINUX.ORG.RU

Для Ubuntu Linux представлен сервис обновления ядра без перезагрузки

 , ,


0

0

Ubuntu Linux стал первым дистрибутивом, не требующим перезагрузки после установки обновления ядра Linux. Компания Ksplice анонсировала начало функционирования нового бесплатного сервиса Ksplice Uptrack для пользователей Ubuntu Linux, поддерживающего установку критических обновлений Linux ядра в дистрибутиве Ubuntu 9.04 без необходимости перезагрузки и временной остановки работы системы.

После установки специального пакета (модуль ядра и интерфейс для управления) установка обновлений с исправлением проблем безопасности для базовых 32- и 64-разрядных сборок Linux ядра будут производится "на лету". Метод получения обновлений не изменяется - они по-прежнему загружаются из стандартных репозиториев Ubuntu, а затем транслируются в представление подходящее для использования в Ksplice. В настоящий момент технология поддерживает обновление трёх базовых сборок ядра: для настольных систем, для серверов и для виртуальных окружений.

Ksplice универсален и не требует какой-либо модификации работающего ядра, требуется лишь подгрузить два модуля ядра для внесения предварительных и фиксирующих изменений, а также специальным образом оформить файл изменений, который будет применён к работающему ядру. Тем не менее, Ksplice невозможно использовать, когда изменения затрагивают структуры данных, но подавляющие большинство исправлений ошибок безопасности не производят подобных модификаций. При оценке уязвимостей, исправленных за прошедшие несколько лет, 87% всех исправлений были пригодными для исправления без остановки работы.

=== новость с сайта opennet.ru ===

>>> Подробности



Проверено: Shaman007 ()
Ответ на: комментарий от mrxrrr

>Сюрпризтебе ждет когда ты жымаешь реально кнупку удалить, оно за собой тянет всё! И Гном и вообще все.

apt-get сразу сообщает, что конкретно он будет удалять. Листинги приведены как раз из него.

Gukl ★★★
()
Ответ на: комментарий от isden

>эмм.. ssh ?

O_o а гипервизор Пушкин обновлять будет? Или предполагается лестница HVM-доменов: на железе работает ядро версии 1 (условно), на нем в гостевом домене ядро версии 2 (тоже гипервизор), на нем, в свою очередь, в виртуалке ядро версии 3 и т.д...

Чрутаться-то я могу очень долго - при современных размерах винчестеров это не проблема :) А вот HVM-домены друг в друга вкладывать... знаете ли, чревато эмм... некоторой потерей производительности :)

nnz ★★★★
()

Непонимаю зачем это сделано. Типа критические обновления здесь и сейчас а перегрузим через неделю когда Сервис окно будет? Обычно клиентов патчим раз в 3 месйяца (некоторые знаю делают ето раз в пол года) и лучше уже перегрузится что бы номрально все оттестировать а не так что бы потом после случайного падения сервера вроде бы все поднялось но вот софт пашет через анус.

Ice_
()
Ответ на: комментарий от Alan_Steel

>Вся новость состоит в том, что некая компания решила _централизованно_ обеспечить конвертацию фиксов в подходящий формат для ksplice.

По-хорошему этим должны дистростроители заниматься. Параллельно с выпуском бинарных и сорцовых пакетов ядра.

nnz ★★★★
()
Ответ на: комментарий от nnz

> а гипервизор Пушкин обновлять будет?

а его можно и не asap обновлять. а допустим, раз в месяц на maintenance window.

isden ★★★★★
()
Ответ на: комментарий от Alan_Steel

>Ну и троллизм же поднялся в этой ветке.

Троллизм идет в основном из-за того, что кто-то решил почесать свое ЧСВ, обгадив убунту, на том основании, что она по зависимостям много хлама тянет. Как это относится к новости - непонятно. Но что на лоре, что на опеннете новости с тегом ubuntu вызывают массовый хохлосрач. О времена, о нравы.

А за ликбез спасибо. Я, например, никогда раньше про системный вызов ksplice не слышал. Наверное, потому, что на сервере рулит старый добрый kexec, а на десктопе мне проще ребутнуться.

nnz ★★★★
()
Ответ на: комментарий от isden

>а его можно и не asap обновлять. а допустим, раз в месяц на maintenance window.

maintenance window... Счастливые два дня раз в полгода, когда сисадмины в респираторах носятся между вскрытых серваков с пылесосами... :)

А то, что внутри гипервизора, как дальше обновлять? Еще одну виртуалку внутрь совать? Мой вопрос был об этом.

nnz ★★★★
()
Ответ на: комментарий от nnz

> Нда. Его уже кстати в testing взяли. И никто почему-то не орал на форумах "ура-ура, новая фича!". Внимание вопрос: почему?

Ubuntu = Debian + PR, что и требовалось доказать.

hexenlord
()
Ответ на: комментарий от hexenlord

>Ubuntu = Debian + PR, что и требовалось доказать.

По моим личным впечатлениям
Ubuntu Desktop = Debian Unstable + PR + glamour
Ubuntu Server = Debian Unstable + 5*PR
:)

Раньше я каждый раз, когда сообщалось об очередном достижении/мега-прорыве в убунте, офигевал от масштаба достигнутых целей и открывающихся возможностей, и трясущимися руками лез читать по ссылкам. Но потом довольно быстро пришло разочарование: практически все новости и прорывы от Canonical оказывались либо бесполезной ерундой, либо столетними боянами, раздутыми до галактического масштаба манагерской болтологией :(

nnz ★★★★
()
Ответ на: комментарий от bobrik

>только вот кто будет делать эти самые diffы для безопасности?

А в чем проблема сделать их самому? (не использовал ksplice)

Dimanc ★★
()
Ответ на: комментарий от nnz

> А то, что внутри гипервизора, как дальше обновлять? Еще одну виртуалку внутрь совать? Мой вопрос был об этом.

нууу.. сходу вот так вижу два варианта -

1. рестарт виртуалки намного более резок чем физическая перезагрузка сервера, т.е. используем классические механизмы апдейтов
2. можно извратнуться на предмет кластеризации двух-трех виртуалок, и апдейтить их по очереди -> downtime == 0.

isden ★★★★★
()
Ответ на: комментарий от isden

Только песня была совсем не о том :)

Начали мы с обновления оси без ребута.

>1. рестарт виртуалки намного более резок чем физическая перезагрузка сервера

примерно столь же резок, как и вызов kexec :)

>2. можно извратнуться на предмет кластеризации двух-трех виртуалок, и апдейтить их по очереди -> downtime == 0.

Так це ж классика, батенька. Там, где даунтайм должен быть нулевым, так и делают. Причем не обязательно с виртуалками. Даже скорее обязательно с реальными, включенными в разные сети питания (упсы). А уж на них лежат виртуалки - одна рабочая, и одна-две-три бэкапные - в резерве.

nnz ★★★★
()
Ответ на: комментарий от nnz

Застрелю в себе дух лоровца и соглашусь полностью:)

Pavval ★★★★★
()
Ответ на: комментарий от Dimanc

>А в чем проблема сделать их самому?

<troll_mode>А среднестатистический пользователь убунты не знает про команду diff :)</troll_mode>

nnz ★★★★
()
Ответ на: комментарий от nnz

>А среднестатистический пользователь убунты не знает про команду diff :)

Ну так там пользователь генту писал...

Dimanc ★★
()
Ответ на: комментарий от mrxrrr

>А теперь попробуй удалить system-config-printer. Скажем я хочу конфигурять только через веб морду капса и больше никакое говно мне не надо.

а теперь удали себе глаз, сможешь моск отверткой поковырять и больше никакой линукс тебе не надо

registrant ★★★★★
()
Ответ на: комментарий от Alan_Steel

> Итак, камрады, ликбез: ksplice является стандартным системный вызовом ядра уже довольно давно. Он позволяет применять большинство security fix-ов без перезагрузки ядра.

Хреновый ликбез. ksplice это не системный вызов, ядро про ksplice вобще ничего не знает.

ksplice это _юзерспейс_ утилита которой на входе подаются исходники ведра (текущего) и патч на исходники который нужно применить.
На выходе ksplice выплёвывает модуль ведра который потом нужно загрузить. Он соответственно и вносит все изменения которые нёс патч в _запущенном_ ядре.

Заголовок новости нужно трактовать так: "Для Ubuntu Linux представлен сервис/утилита обновления ядра без перезагрузки и без понижения ранлевела в несколько кликов мыши"

Смысл в том, что ksplice.com будет делать за пользователей убунту ksplice-модули-патчи к дистрибутивным ядрам (насколько я понял). А также тестировать эти модули-патчи (надеюсь).

Всё это можно организовать самому на любом дистрибутиве.
Но на бинарном дистре придётся держать исходники ядра и искать [сорцовые] патчи.


Насчёт kexec:
Вещь хорошая, но на десктопе пока смысла использования нет (так как надо всё равно понижать ранлевел до 0). Вот если бы kexec/ядро/etc умело бы безболезненно менять ядро без остановки сервисов, то настал бы долгожданный вендекапец и рай на земле =)

Nao ★★★★★
()
Ответ на: комментарий от Nao

> ядро про ksplice вобще ничего не знает.

http://lkml.org/lkml/2008/9/13/19

Выдержки специально для Ъ:

"Date Sat, 13 Sep 2008 01:14:36 -0400"

"These RFC patches add support for Ksplice [1], a rebootless update system, to the kernel. I previously mentioned Ksplice to the LKML a few months ago [2]."

"[1] http://web.mit.edu/ksplice [2] http://lkml.org/lkml/2008/4/23/330"

"The interface between the Ksplice kernel component and the userspace utilities is documented in patch 6/9 of this series."

"kernel/ksplice.c | 1997 ++++++++++++++++++++++++++++++++++++++++"

Alan_Steel ★★
()
Ответ на: комментарий от mrxrrr

#!/bin/bash
for i in $(seq 1 100500);
do
   apt-get -y remove ubuntu-desktop
   apt-get -y install ubuntu-desktop
   echo $i" - dunduk loop"
done

quaternion
()

И как оно, нормально работает?

Да ещё и в убунте...

Midael ★★★★★
()
Ответ на: комментарий от beda

>А gentoo так можно настроить?

Нет, вы, как обычно, в пролете :D

>В общем, обычный пиар без полезного практического выхода. Canonical в своем репертуаре... :(

Надо брать лучшее с майкрософт, а именно маркетинг в данном случае, так что каноникал молодцы.

MicroSoft
()
Ответ на: комментарий от mrxrrr

to mrxrrr

>А версия говно бубунты не 8.04 случаем? Ты в 9.04 удали. $ sudo apt-get remove foo2zjs [sudo] password for ic: Чтение списков пакетов... Готово Построение дерева зависимостей Чтение информации о состоянии... Готово Следующие пакеты устанавливались автоматически и больше не требуются: libcppunit-1.12-1 libaio Для их удаления используйте 'apt-get autoremove'. Пакеты, которые будут УДАЛЕНЫ: foo2zjs обновлено 0, установлено 0 новых пакетов, для удаления отмечено 1 пакетов, и 0 пакетов не обновлено. После данной операции, объём занятого дискового пространства уменьшится на 5738kB. Хотите продолжить [Д/н]? n Аварийное завершение. $ cat /etc/issue Ubuntu 9.04 \n \l

ic
()
Ответ на: комментарий от nnz

Средний интеллектуальный уровень пользователей Ubuntu оставляет желать лучшего.

Во-первых, неверно, во-вторых, не все же любители постоянно красноглазить, компилить и онанировать на свою систему. По типу "человек для компьютера". Есть обычные пользователи и деловые люди, которым нахер не нужен этот бред, нужно чтобы просто работало из_коробки, что убунта и предоставляет. Остальным же красноглазием на всякие генты занимаются лишь студенты-бездельники, с уймой свободного времени. :D

MicroSoft
()

ck80@ck80-desktop:~$ sudo uptrack-upgrade -n
[sudo] password for ck80:
Cannot find Ksplice Uptrack information for your kernel version.
Please check that your access key can receive updates for kernel 2.6.30-020630-generic.

С новым ядром не дружит ещё?

ck80
()
Ответ на: комментарий от nnz

Утраиваю, как бывший пользователь убунты :)

ptarh ★★★★★
()

Ё моё куда катится мир ...

Voleg
()

Ну интересно.Хотя мне лично не нужно.Эта технология скорей для серверов.И вроде такое уже было(не в Убунте,а вобще).

PS.Тролли в треде жгут про "удаление ubuntu-desktop"(^_^)

nitz ★★
()

> Ubuntu Linux стал первым дистрибутивом

Ой ли?

$ yum search kexec ksplice
Loaded plugins: fastestmirror, refresh-packagekit

====================================================================== Matched: kexec =======================================================================
kexec-tools.i386 : Компонент kexec/kdump пользовательского уровня
mkelfimage.i386 : Utility to create ELF boot images from Linux kernel images
petitboot.i386 : Graphical kexec-based bootloader, originally for PlayStation 3
system-config-kdump.noarch : Графический интерфейс для настройки дампов сбоев ядра

===================================================================== Matched: ksplice ======================================================================
fedora-ksplice.i386 : Script Collection for Using KSplice on Fedora Linux
ksplice.i386 : Patching a Linux kernel without reboot

$ cat /etc/issue
Fedora release 10 (Cambridge)
Kernel \r on an \m (\l)


dexpl ★★★★★
()

Ну Убунту в своём репертуаре, как всегда показует всем красноглазым американский факел:)

Absolute
()
Ответ на: комментарий от melkor217

>Ну вот, а вы убунту на серверах так ругаете.

OMG
На протяжении трех страниц комментов мы выясняли и таки выяснили, что
1. Этому бояну сто лет в обед, и он поддерживается на уровне ядра. Слово "убунта" засветилось здесь только потому, что какие-то люди открыли основанный на этой функции сервис для хомячков.
2. Эта штуковина опасна и поэтому нафиг не нужна на серверах, да и на десктопах применяется разве что в порядке выпендрежа.

Каменные и бетонные стены в ужасе разбегаются перед твердыми лбами некоторых убунтоводов... :D

nnz ★★★★
()
Ответ на: комментарий от MicroSoft

>Средний интеллектуальный уровень пользователей Ubuntu оставляет желать лучшего.

Да. Так оно и есть. Что на форумах, что в списках рассылки, что в реальной жизни. Такое впечатление, что убунту ставят себе только гламурные блондинки, ниасилившие Висту. Ну еще нубы, которые по мере роста навыков работы с ПК перебираются на другие дистры.

>Во-первых, неверно, во-вторых, не все же любители постоянно красноглазить, компилить и онанировать на свою систему. По типу "человек для компьютера".


Да. Такие люди убунту себе не поставят. Да. Таки IQ у них не меньше 120. Но их на самом деле - меньшинство. На форумах кричат громко, но в реале погоды не делают.

>Есть обычные пользователи и деловые люди, которым нахер не нужен этот бред, нужно чтобы просто работало


По моим наблюдениям, такие люди обычно сидят на Дебиане :)

>из_коробки

лол
Если человека интересует, чтобы все работало из_коробки - значит, ему регулярно приходится ставить систему. Отбросим редкий вариант часто меняющихся компов. Что остается? Либо этот человек в силу своих кривых рук регулярно убивает свою систему, либо она сама дохнет при обновлении. В любом случае для системы вывод нелестный. Так что называя "работает из_коробки" в числе основных достоинств системы, вы нехило ее обгаживаете.

Историческая справка для тех, кто никогда не видел ничего, кроме убунты, и считает, что весь остальной линух сводится к страшнющщей красноглзющщей Генте: большинство современных дистрибутивов работают из_коробки. Но только для убунты это свойство регулярно приводится в числе основных достоинств.

nnz ★★★★
()
Ответ на: комментарий от Hokum

>За месяц обычно утекает столько, что появляется желание бутнуться.

просто вы не правильно эту память готовите - у нормальных людей ничего ниоткуда не течет.

maloi ★★★★★
()
Ответ на: комментарий от Absolute

>Ну Убунту в своём репертуаре, как всегда показует всем красноглазым американский факел:)

Учимся читать комменты и ходить по ссылкам: ksplice - стандартная фича линуха. Убунта выделяется только наличием некоего сервиса "ksplice для блондинок". Все на своих местах.

А про факел не надо тут. Знаем мы эту "свободную и миролюбивую" державу.

nnz ★★★★
()
Ответ на: комментарий от maloi

>просто вы не правильно эту память готовите - у нормальных людей ничего ниоткуда не течет.

Делая такие заявления, пожалуйста, конкретизируйте софт и прочие "условия эксперимента". А то получается бессодержательно и неинтересно.

nnz ★★★★
()
Ответ на: Штука хорошая, но ненужная. от Camel

>Но вот на спутниках и автономных буях в океане...

стоит 2.4 и обновления безопасности не так уж и важны.

maloi ★★★★★
()
Ответ на: комментарий от nnz

>Самым брутальным будет третье - удаление ядра ;)

если за этим не последует init 6 - ничего страшного в этом не вижу.

maloi ★★★★★
()

Так вроде год назад писали про наложение патчей на лету.

liksys ★★★★
()
Ответ на: комментарий от sersto

> http://www.debian.org/News/1997/19970708b http://www.linux.org.ru/view-message.jsp?msgid=33132

не путай "управляет аппаратом или его механизмами" и "находится там на какой-то экспериментальной фигне, которая может заработает а может и нет. а если сдохнет - то и фиг с ней".

isden ★★★★★
()
Ответ на: комментарий от Alan_Steel

>Выдержки специально для Ъ:

Спасибо, не знал. Однако,

The Ksplice userspace utilities transparently support both "integrated" operation (updating a kernel patched with this patch series) and "standalone" operation (updating a completely unmodified kernel)

Лично у меня в почти ванильном ядре(2.6.29) никаких упоминаний о ksplice вобще нету, однако юзер-спейс утилиты ksplice работают (по крайней мере на хеллоу-ворде)

Насколько я понимаю у ksplice в таком режиме(ядро без поддержки ksplice) ограничена свобода действий и только после тех патчей он сможет работать в полную силу?

Nao ★★★★★
()
Ответ на: комментарий от maloi

Таки да. Но я уже давно купил упсу :)

nnz ★★★★
()
Ответ на: комментарий от MicroSoft

>Надо брать лучшее с майкрософт, а именно маркетинг в данном случае, так что каноникал молодцы.

If you can't make it good, at least make it look good (c) Bill Gates

Имхо те, кто берет такой пример с M$, не молодцы, а кое-что другое на букву м. И это еще мягко сказано.

nnz ★★★★
()
Ответ на: комментарий от Nao

> "standalone" operation (updating a completely unmodified kernel)

Допустим, у нас есть модуль ядра, в котором нашли уязвимость в одной из функций. В этом случае ksplice качает фикс и делает ещё один модуль, который содержит исправленный вариант функции, который потом загружается в ядро. Таким образом, в этот момент в ядре появляется 2 функции, делающие одно и то же (глючный оригинал и пофиксенная версия). На мой взгляд, вызов ksplice как раз и нужен, чтобы "сказать" ядру какую из функций использовать.

Думаю, что это можно некоторым образом обойти (вынуть и вставить обратно поражённый модуль), но не уверен.

Для меня ksplice выглядел (и выглядит) скорее proof of concept, чем нечто реально нужное ("а мы и без микроядра поправим нужную функцию!"). Поэтому я ограничился только чтением нескольких описаний о том, как оно работает, в сам код не лазил. Так что играть в испорченный телефон не хотелось бы.

Alan_Steel ★★
()
Ответ на: комментарий от isden

а у мена ваще не как у всех

absolute@absolute-desktop:~$ sudo aptitude remove foo2zjs [sudo] password for absolute: Чтение списков пакетов... Готово Построение дерева зависимостей Чтение информации о состоянии... Готово Инициализация состояний пакетов... Готово Запись информации расширенных состояний... Готово Следующие пакеты будут УДАЛЕНЫ: foo2zjs libgtkglext1{u} libqt4-core{u} libsdl-sound1.2{u} xdotool{u} 0 пакетов обновлено, 0 установлено новых, 5 пакетов отмечено для удаления, и 1 пакетов не обновлено. Необходимо получить 0Б архивов. После распаковки освободится 6562kБ. Хотите продолжить? [Y/n/?] n Останов. absolute@absolute-desktop:~$ uname -a Linux absolute-desktop 2.6.30-020630-generic #020630 SMP Wed Jun 10 09:45:40 UTC 2009 i686 GNU/Linux absolute@absolute-desktop:~$

Absolute
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.