Alibaba Cloud Linux為核心的高危安全性漏洞(CVE)以及重要的錯誤修複(Bugfix)提供了熱補丁支援,您無需重啟伺服器即可對作業系統核心更新補丁,以擷取核心的穩定與安全。本文主要介紹核心熱補丁以及核心熱補丁的優勢與限制。
功能簡介
您可以通過核心熱補丁為Alibaba Cloud Linux作業系統核心即時更新補丁。核心熱補丁由以下組件構成:
補丁RPM包:RPM包包含補丁的核心模組(ko檔案)以及補丁的描述檔案,核心通過載入該補丁中的核心模組,對核心進行問題修複。
kpatch工具:管理各補丁中核心模組的命令列工具。
kpatch系統服務:核心熱補丁的系統守護進程(systemd),該服務在作業系統初始化階段載入各補丁的核心模組,用於對核心進行問題修複。
功能優勢
核心熱補丁可以在保證伺服器的安全性與穩定性(無需重啟伺服器和任何業務相關的任務進程、無需等待長時啟動並執行任務完成、無需使用者登出登入、無需進行業務遷移)的前提下,平滑且快速地為核心更新高危安全性漏洞或重要錯誤修複的補丁。
功能限制
您需要注意核心熱補丁方式存在以下限制:
適用於Alibaba Cloud Linux作業系統,並且:
Alibaba Cloud Linux 2.1903的核心版本不能低於kernel-4.19.24-9.al7.x86_64。
Alibaba Cloud Linux 3.2104的核心版本不能低於5.10.23-4.al8.x86_64。
對於每次迭代的Alibaba Cloud Linux作業系統核心版本,阿里雲提供一年的核心熱補丁支援,超過支援期限後,您需要將作業系統的核心版本升級至最新版。
不是所有的高危安全性漏洞或重要錯誤修複都可以通過熱補丁的方式修複,該方式主要為了減少因更新補丁而產生的重啟伺服器操作,但不能完全避免重啟伺服器。熱補丁主要修複範圍為:嚴重及以上層級的CVE漏洞、嚴重層級的錯誤修複。
熱補丁不是通用的核心升級解決方案,僅適用於在不方便對伺服器立即重啟時,為核心更新高危安全性漏洞或重要錯誤修複的補丁。
在更新補丁過程中以及補丁生效後,不能使用SystemTap或者kprobe工具對補丁涉及的函數進行測試或跟蹤。否則補丁將失效。
相關操作
擷取、啟動或禁用Alibaba Cloud Linux的核心熱補丁的具體操作,請參見核心熱補丁操作說明。