内核热补丁概述

Alibaba Cloud Linux为内核的高危安全漏洞(CVE)以及重要的错误修复(Bugfix)提供了热补丁支持,您无需重启服务器即可对操作系统内核更新补丁,以获取内核的稳定与安全。本文主要介绍内核热补丁以及内核热补丁的优势与限制。

功能简介

您可以通过内核热补丁为Alibaba Cloud Linux操作系统内核即时更新补丁。内核热补丁由以下组件构成:

  • 补丁RPM包:RPM包包含补丁的内核模块(ko文件)以及补丁的描述文件,内核通过加载该补丁中的内核模块,对内核进行问题修复。

  • kpatch工具:管理各补丁中内核模块的命令行工具。

  • kpatch系统服务:内核热补丁的系统守护进程(systemd),该服务在操作系统初始化阶段加载各补丁的内核模块,用于对内核进行问题修复。

功能优势

内核热补丁可以在保证服务器的安全性与稳定性(无需重启服务器和任何业务相关的任务进程、无需等待长时运行的任务完成、无需用户注销登录、无需进行业务迁移)的前提下,平滑且快速地为内核更新高危安全漏洞或重要错误修复的补丁。

功能限制

您需要注意内核热补丁方式存在以下限制:

  • 适用于Alibaba Cloud Linux操作系统,并且:

    • Alibaba Cloud Linux 2.1903的内核版本不能低于kernel-4.19.24-9.al7.x86_64

    • Alibaba Cloud Linux 3.2104的内核版本不能低于5.10.23-4.al8.x86_64

  • 对于每次迭代的Alibaba Cloud Linux操作系统内核版本,阿里云提供一年的内核热补丁支持,超过支持期限后,您需要将操作系统的内核版本升级至最新版。

  • 不是所有的高危安全漏洞或重要错误修复都可以通过热补丁的方式修复,该方式主要为了减少因更新补丁而产生的重启服务器操作,但不能完全避免重启服务器。热补丁主要修复范围为:严重及以上级别的CVE漏洞、严重级别的错误修复。

  • 热补丁不是通用的内核升级解决方案,仅适用于在不方便对服务器立即重启时,为内核更新高危安全漏洞或重要错误修复的补丁。

  • 在更新补丁过程中以及补丁生效后,不能使用SystemTap或者kprobe工具对补丁涉及的函数进行测试或跟踪。否则补丁将失效。

相关操作

获取、启动或禁用Alibaba Cloud Linux的内核热补丁的具体操作,请参见内核热补丁操作说明