Kpatch 使用过程及其原理

最新推荐文章于 2024-09-03 08:48:07 发布
最新推荐文章于 2024-09-03 08:48:07 发布
阅读量2.2k 收藏 10
点赞数 2
分类专栏: Linux 文章标签: kpatch

1、简介

给 Linux 内核动态打补丁而不必重启系统是最近的一项 热点技术 。 虽然此前已经有了 Ksplice 来达到此类目
的 , 但最近 SUSE 和 Redhat 却先后推出了类似的项目 。 其中,前者为 kGraft, 后者是 kpatch。

kGraft : 为了使 Linux 管理人员更容易的安装重要的 Kernel 安全补丁,同时又不让系统宕机,SUSE Labs 开发了 kGraft。kGraft 使用一组diff文件来计算内核中需要修改的部分。Kgraft在做替换时,不需要完全停止内核。 在打补丁时,正在运行的函数可以先使用老版本或新内核中对应的部分,当补丁打完后就可以完全切换新的版本。

kpatch : Redhat 目前已经以 GPLv2 许可发布了kpatch 的源代码 ,其主要包含以下 4 个组件 :

  • kpatch-build: 用来将 source diff patch 转换成 hot patch module;
  • hot patch module: 包含替代函数及原始函数元数据的内核模块;
  • kpatch core module: 为 hot patch 注册新的函数以用于替换提供接口的内核模块;
  • kpatch utility: 允许用户管理 hot patch 模块的命令行工具;

Kpatch运行时并不将内核调用重定向到老版本。相反,它会等待所有函数调用都停止时,再切换到新内核。Red Hat的工程师认为这种方法更为安全,且更容易维护,缺点就是在打补丁的过程中会带来更大的延迟。

2、Kpatch 详解

下面我们就来详细的看一下Kpatch的使用过程及原理

Kpatch安装见:http://blog.csdn.net/u012343297/article/details/79147781
Kpatch原理:
kpatch 主要有两个组件 kpatch build 和 kpatch.ko

kpatch build — 主要用来建立一个二进制的 patch 模块

kpatch.ko — kpatch产生的内核模块
这里写图片描述
kpatch 提供了一个 kaptch_register() 的接口函数主要用来为 “patch modules” 作函数替换,即: 该接口函数的主要作用是将旧函数用新函数替换掉(这里的新函数就是我们要打的补丁函数)。

kpatch 使用Ftrace 进行打补丁的操作

  • 使用hook 链接到目标函数寄存器
  • 修改 regs->ip 指针,将其指向新函数
    这里写图片描述

考虑如下两个问题是否会出现?

1、如果需要打补丁的函数正在执行,kaptch 将如何操作?
2、新的函数和旧的函数是否会同时执行?
为了避免以上两个问题的出现,kaptch 在运行过程中会确保旧函数不被执行( 使用 stop_machine() 检查栈):
这里写图片描述

其大致流程如下:
这里写图片描述

1、补丁进程 增加一个ftrace 跟踪项(eg:foo() 函数),追踪哪些进程使用旧foo()函数;
2、调用 stop_machine 停止所有正在运行的进程和中断,并且遍历 stop_machine 的返回值,用来确保旧的foo() 函数确实已经被停止。检查旧的 foo() 函数在栈中的位置
3、更新hash 表,使函数调用栈中的指针指向新的 foo()函数,但是旧的foo()函数的指针地址保留方便还原。

Linux实用教程(第三版)
weixin_43133008的博客
08-27 2万+
第一章 Linux系统初步了解 本章内容 1.1 Linux系统简介 1.2 Linux系统的特点和组成 1.3 Linux版本介绍 1.4 Red Hat Linux系统概述 1.1 Linux系统简介 1.1.1 什么是Linux 1.1.2 Linux系统的产生 1.1.3 Linux系统应用领域 1.1.1什么是Linux      &...
关于内核动态补丁技术(kpatch
11-19
内核可以在运行时动态执行补丁中的代码(kpatch),而不需要重启后再运行补丁代码。对于kpatch的运行原理,可以参看[3], kpatch基于ftrace技术,可以在内核运行时动态的(即不需要重启)、整体替换某个函数(但需要暂时停止所有运行时进程)。如图1所示,具体的,当内核运行之前,加入原来的内核函数名字为func_original(),则内核编译时就先把patch做好(假设替换函数为func_replace()),同时编译进内核中。本文主要解释从gnu汇编原语角度如何实现kpatch,具体kpatch机制可以参考文献[3]。内核文件arch/arm64/include/asm/alternative.h中有一段汇编,涉及内核动态patch技术。
kpatch入门实践教程
lonely_geek的博客
03-14 3007
1、基本原理以及使用教程,参考: https://github.com/dynup/kpatch/blob/meastr/README.md https://github.com/dynup/kpatch/blob/master/doc/patch-author-guide.md 2、测试环境: 系统:CentOS 7 内核版本:3.10.0-957.5.1.el7.x86_64 工具:gcc ...
kpatch-build工具和livepatch原理分析
hjkfcz的博客
06-06 5042
内核kpatch机制是函数级的热替换技术,主要包含四大主件: kpatch-build:用于将源码patch生成ko热补丁 patch module:指生成的ko热补丁,包括需要新的函数和被替换函数的记录信息 kpatch core module: kpatch核心代码模块,为新旧函数热替换提供接口,使用kpatch时候是kpatch.ko模块,使用livepatch的时候不存在,因为内核已经支持livepatch kpatch utility: ...
Ubuntu14.04下kpatch源码安装使用
weixin_33866037的博客
12-08 379
2019独角兽企业重金招聘Python工程师标准>>> ...
生产环境中的热补丁部署:Linux下的案例研究与策略
!... # 摘要 ...文中对比了热补丁与冷补丁的区别,探讨了Linux内核模块化原理及其管理,同时讨论了不同的部署工具和工作原理。在实践指南部分,本文引导读者如何进行环境准备、补丁部署、以及部署后的监
Linux热补丁工具对比分析:选型与配置的终极指南
本文综述了Linux热补丁工具的发展与应用,重点关注了Ksplice、Kgraft、Livepatch和Kpatch等技术。首先概述了Linux热补丁工具的分类和功能,随后深入分析了Ksplice和Kgraft的技术原理,包括它们的工作机制和性能考量...
【Linux内核坏道处理深度解析】:内核补丁与坏道管理的奥秘
!... # 摘要 Linux内核坏道问题是影响数据存储安全性和稳定性的关键问题。本文对Linux内核坏道...文章深入研究了内核补丁在坏道处理中的原理、应用案例及其管理。同时,本文提出了一系列的坏道管理策略和实践,包括预防
(全网最细的kpatch流程解析)探秘热补丁技术原理之---2.kpatch.ko
wardenjohn的博客
02-23 2102
本文介绍kpatch技术中的kpatch流程以及kpatch.ko的实现原理
kpatch-实时内核修补-Linux开发
05-27
kpatch是一种Linux动态内核修补基础结构,它使您可以修补正在运行的内核,而无需重新启动或重新启动任何进程。 它使系统管理员可以立即将关键的安全补丁应用到内核,而不必等待长时间运行的任务完成,用户注销或计划的重新启动窗口。 它在不影响安全性或稳定性的情况下提供了对正常运行时间的更多控制。 kpatch:动态内核修补程序kpatch是Linux动态内核修补程序基础结构,它使您可以修补正在运行的内核,而无需重新启动或重新启动任何进程。 它使系统管理员可以立即将关键的安全补丁应用到内核,而不必等待长时间运行的任务完成,用户注销或计划的重新启动窗口。 它在不影响安全性或稳定性的情况下提供了对正常运行时间的更多控制。 警告:请谨慎使用! 内核崩溃,spon
Linux内核kpatch介绍.pdf
05-12
Linux内核kpatch介绍
kpatch:kpatch-实时内核修补
04-28
kpatch:动态内核修补 kpatch是Linux动态内核修补基础结构,它使您可以修补正在运行的内核,而无需重新启动或重新启动任何进程。 它使系统管理员可以立即将关键的安全补丁应用到内核,而不必等待长时间运行的任务完成,用户注销或计划的重新启动窗口。 它在不影响安全性或稳定性的情况下提供了对正常运行时间的更多控制。 警告:请谨慎使用! 内核崩溃,自发重启,并且可能会发生数据丢失! 这是kpatch的视频: 还有一些: 目录 安装 快速开始 补丁作者指南 这个怎么运作 kpatch构建 打补丁 局限性 经常问的问题 参与其中 执照 支持的架构 x86-64 ppc64le 臂64 s390 安装 先决条件 开始之前,请参阅支持的体系结构,并检查设备的体系结构是否受支持。 Fedora,RHEL,CentOS 注意:您需要大约15GB的可用磁盘空间用于~/.kpa
jos-kpatch:在 JOS 中实现 kpatch
05-29
JOS的Kpatch 北京大学OS Lab Class班项目 介绍 我们为 JOS 实现了内核补丁功能。 测验 先决条件 Ruby gcc-multilib e木 (以及 JOS 的其他先决条件) 此测试目前只能从 Linux 主机操作系统运行(由于 GCC 的错误) 跑步 在主机系统(您自己的操作系统)上: make qemu-nox 在来宾系统上(qemu 中的 JOS): # test original kpatch_test1 and kpatch_test2 kcall kpatch_test1 kcall kpatch_test2 # # test patch from kernel space ## # patch kpatch_test1 using kpatch_test2 kpatch kpatch_test1 0xf0106f6d # now kpatch
kpatch 项目使用教程
最新发布
gitblog_00279的博客
09-03 394
kpatch 项目使用教程 kpatchkpatch - live kernel patching项目地址:https://gitcode.com/gh_mirrors/kpa/kpatch 1. 项目的目录结构及介绍 kpatch 是一个用于动态内核补丁的 Linux 基础设施。以下是项目的目录结构及其介绍: kpatch/ ├── contrib/ # 贡献者提供的额外工具...
kpatch开源项目安装与使用教程
gitblog_00008的博客
04-08 280
kpatch开源项目安装与使用教程 kpatch kpatch - live kernel patching 项目地址: https://gitcode.com/gh_mirrors/kpa/kpatch 1...
kpatch 内核热补丁几个使用问题记录
龙瑜的博客
10-31 648
本文记录了 kpatch 热补丁技术的几个常见使用问题。
kpatch学习过程
openownworld的博客
07-27 336
最近学习了解kpatch一些皮毛。能上手编译热补丁,解决遇到的问题了。 这里面涉及知识有,kernel编译,ftrace,gcc编译链接过程。 编译一个程序,中间生成.o,再链接这些中间文件,ld组合不同的段,最终生成可执行文件。 程序载入,是系统内置了一个链接器ld,把共享对象文件载入到不同的段。 kpatch也是一个这个的过程,生成一个diff.o,链接成一个ko文件。 ...
kpatch介绍
RToax
10-30 633
kpatch介绍 荣涛 2021年10月26日 文档修改日志 日期 修改内容 修改人 备注 2021年10月26日 新建 荣涛 1. 引言 1.1. 主要项目 项目 厂商 简介 自动化程度 工作级别 KSplice Oracle linux社区第一个热补丁项目,后被Oracle收购 全自动 指令集 Kpatch RedHat 代码开源,但是需要RHEL的license才可以使用 管理员 函数 Kgraft SUSE 在企业版SELS中提供 管理员 函数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值