Alibaba Cloud Linux では、カーネルの一般的な脆弱性および暴露(CVE)および重大なバグを修正するためのカーネルライブパッチング(KLP)機能を提供しています。サーバーの再起動を行わずに、オペレーティングシステムカーネルに対するホットフィックスを適用できます。これにより、カーネルの安定性およびセキュリティが確保されます。本トピックでは、KLP 機能の概要、メリット、および制限事項について説明します。
概要
実行中の Alibaba Cloud Linux(Alinux)カーネルに対して、カーネルライブパッチング(KLP)を用いてパッチを適用できます。KLP は以下のコンポーネントで構成されます:
パッチ RPM パッケージ:カーネルモジュール(.ko ファイル)およびパッチ記述ファイルを含む RPM パッケージです。カーネルはこのモジュールをロードして修正を適用します。
kpatch ツール:各パッチに含まれるカーネルモジュールを管理するコマンドラインツールです。
kpatch サービス:KLP のシステムデーモン(systemd)です。このサービスは、システム起動時にパッチからカーネルモジュールをロードし、修正を再適用します。
メリット
KLP を使用すると、CVE やカーネルの重大なバグに対するホットフィックスを、サーバーのセキュリティおよび安定性を損なうことなく、スムーズかつ迅速に適用できます。サーバーの再起動や、その他の業務関連タスクプロセスの停止、時間のかかるタスクの完了待ち、ログオフ、または業務の移行を行う必要はありません。
制限事項
KLP には以下の制限事項があります:
KLP は、以下のカーネルバージョンのいずれかを搭載した Alibaba Cloud Linux(Alinux)でのみ利用可能です:
Alibaba Cloud Linux(Alinux)2.1903 の場合、カーネルバージョンは kernel-4.19.24-9.al7.x86_64 以降である必要があります。
Alibaba Cloud Linux(Alinux)3.2104 の場合、カーネルバージョンは 5.10.23-4.al8.x86_64 以降である必要があります。
Alibaba Cloud Linux(Alinux)4 の場合、カーネルバージョンは 6.6.88-4.2.alnx4.x86_64 以降である必要があります。
各 Alibaba Cloud Linux(Alinux)カーネルバージョンについて、Alibaba Cloud は KLP のサポートを 1 年間提供します。サポート期間終了後は、最新バージョンへのカーネルアップグレードが必要です。
KLP は、すべての高深刻度セキュリティ脆弱性や重要なバグ修正を解決できるわけではありません。本機能は、パッチ適用時のサーバー再起動を「完全に排除」するものではなく、「削減」することを目的として設計されています。KLP は主に、重大および高深刻度の CVE および重大なバグ修正に対応します。
KLP は汎用的なカーネルアップグレードソリューションではありません。サーバーを即時再起動できない状況において、高深刻度のセキュリティ脆弱性や重要なバグ修正を適用する場合にのみ使用してください。
パッチの適用中および適用後に、SystemTap や
kprobeなどのツールを用いて、影響を受ける関数のテストまたはトレースを実行しないでください。これを実行すると、パッチの適用が失敗します。
関連操作
Alibaba Cloud Linux(Alinux)における KLP の取得、有効化、または無効化については、「カーネルホットフィックスに関する操作」をご参照ください。