Alibaba Cloud Linuxは、カーネルの一般的な脆弱性と露出 (CVE) および重大なバグを修正するためのKernel Live Patching (KLP) 機能を提供しています。 サーバーを再起動せずに、オペレーティングシステムカーネルの修正プログラムを更新できます。 これにより、カーネルの安定性とセキュリティが保証されます。 このトピックでは、KLP機能とその利点と制限について説明します。

概要

KLPを使用して、Alibaba Cloud Linuxのカーネルの修正プログラムをタイムリーに更新できます。 KLPは次のコンポーネントで構成されています。
  • RPMパッケージ: カーネルモジュール (.koファイル) と修正プログラムの説明ファイルを含むRPMパッケージ。 カーネルは、カーネルのバグを修正するために、ホットフィックスにカーネルモジュールをロードします。
  • kpatchユーティリティ: 修正プログラムでカーネルモジュールを管理するために使用されるコマンドラインユーティリティ。
  • kpatch service: KLP systemdサービス。 このサービスは、オペレーティングシステムの初期化中に各修正プログラムのカーネルモジュールをロードし、カーネルのバグを修正するために使用されます。

メリット

KLPは、サーバーのセキュリティと安定性を損なうことなく、CVEやカーネルの重要なバグの修正プログラムをスムーズかつ迅速に更新できます。 サーバーやその他の業務関連のタスクプロセスを再起動したり、時間のかかるタスクが完了するまで待ったり、ログオフしたり、業務を移行したりする必要はありません。

制限事項

KLPには次の制限が適用されます。
  • Alibaba Cloud Linuxオペレーティングシステムの場合、
    • KLPは、カーネルバージョンがkernel-4.19.24-9.al7.x86_64以降のAlibaba Cloud Linux 2.1903に適用されます。
    • KLPは、カーネルバージョンが5.10.23-4.al8.x86_64以降のAlibaba Cloud Linux 3.1903に適用されます。
  • Alibaba Cloud Linuxオペレーティングシステムの更新されたカーネルバージョンごとに、Alibaba Cloudは1年間のKLPサポートを提供します。 1年間の期間が終了したら、オペレーティングシステムのカーネルを最新バージョンにアップグレードする必要があります。
  • KLPを使用して、すべてのCVEまたは重大なバグを修正できるわけではありません。 KLPは、修正プログラムによるサーバーの再起動を減らすことを目的としていますが、サーバーの再起動を常に防ぐことはできません。 KLPは、重大なバグだけでなく、重大な重大度レベルの高いCVEにも適用されます。
  • KLPはカーネルをアップグレードする一般的なソリューションではありません。 サーバーをすぐに再起動するのが不便な場合にのみ、CVEの修正プログラムや重大なバグの更新に適用できます。
  • ホットフィックスを更新するプロセス中、またはホットフィックスが有効になった後、SystemTapまたはkprobeを使用してホットフィックスに関連する関数をテストまたは追跡することはできません。 そうでない場合、ホットフィックスは無効になります。

関連する API

Alibaba Cloud Linuxのカーネル修正プログラムを取得、有効化、または無効化する方法については、「カーネル修正に関連する操作」をご参照ください。