Alibaba Cloud Linux:Ikhtisar fitur Kernel Live Patching

Anda dapat menggunakan Kernel Live Patching (KLP) untuk menerapkan patch pada kernel Alibaba Cloud Linux (Alinux) yang sedang berjalan. KLP terdiri atas komponen-komponen berikut:

• Patch RPM package: Paket RPM yang berisi modul kernel (.ko file) dan file deskripsi patch. Kernel memuat modul ini untuk menerapkan perbaikan.

• kpatch tool: Alat command-line yang mengelola modul kernel dalam setiap patch.

• kpatch service: Daemon sistem (systemd) untuk KLP. Layanan ini memuat modul kernel dari patch saat startup sistem untuk menerapkan kembali perbaikan tersebut.

KLP memiliki batasan-batasan berikut:

• KLP hanya tersedia pada Alibaba Cloud Linux (Alinux) dengan salah satu versi kernel berikut:

  • Untuk Alibaba Cloud Linux (Alinux) 2.1903, versi kernel harus kernel-4.19.24-9.al7.x86_64 atau lebih baru.

  • Untuk Alibaba Cloud Linux (Alinux) 3.2104, versi kernel harus 5.10.23-4.al8.x86_64 atau lebih baru.

  • Untuk Alibaba Cloud Linux (Alinux) 4, versi kernel harus 6.6.88-4.2.alnx4.x86_64 atau lebih baru.

• Untuk setiap versi kernel Alibaba Cloud Linux (Alinux), Alibaba Cloud menyediakan dukungan KLP selama satu tahun. Setelah periode dukungan berakhir, Anda harus melakukan upgrade kernel ke versi terbaru.

• KLP tidak dapat memperbaiki semua kerentanan keamanan tingkat tinggi atau perbaikan bug penting. Fitur ini dirancang untuk mengurangi, namun tidak menghilangkan sepenuhnya, kebutuhan reboot server untuk penerapan patch. KLP terutama menangani CVE tingkat Critical dan High serta perbaikan bug kritis.

• KLP bukan solusi upgrade kernel untuk keperluan umum. Gunakan fitur ini hanya untuk menerapkan patch terhadap kerentanan keamanan tingkat tinggi atau perbaikan bug penting ketika server tidak dapat segera direstart.

• Selama dan setelah penerapan patch, jangan gunakan alat seperti SystemTap atau kprobe untuk menguji atau melacak fungsi yang terdampak. Melakukan hal tersebut akan menyebabkan patch gagal.