Aplicación de parches en directo al kernel en SUSE Linux Enterprise Server for SAP applications
- DESCRIPCIÓN
Descripción y uso de la aplicación de parches en directo al kernel en SUSE Linux Enterprise Server.
- INTENCIÓN
Desea mantener seguros los sistemas de misión críticos, sin tiempo de inactividad.
- ESFUERZO
20 minutos de lectura.
- OBJETIVO
Comprender cómo funciona la aplicación de parches en directo a kernel.
- REQUISITOS
Conocimientos prácticos de Linux.
1 Introducción a la aplicación de parches en directo al kernel #
La aplicación de parches en directo al kernel permite aplicar las últimas actualizaciones de seguridad a los kernel de Linux sin necesidad de rearrancar. Esto maximiza el tiempo de actividad y la disponibilidad del sistema, lo que es particularmente importante para los sistemas de misión críticos. De esta forma, se ofrecen varios beneficios.
Mantener actualizados automáticamente un gran número de servidores es esencial para que las organizaciones obtengan o mantengan ciertas certificaciones de cumplimiento. La aplicación de parches en directo al kernel puede ayudar a lograr el cumplimiento, al tiempo que reduce la necesidad de contar con ventanas de mantenimiento.
Las empresas que trabajan con acuerdos de nivel de servicio deben garantizar un cierto nivel de accesibilidad y tiempo de actividad del sistema. Con esta técnica, se pueden aplicar parches en sistemas sin que se produzca tiempo de inactividad.
Dado que la aplicación de parches en directo al kernel forma parte del mecanismo estándar de actualización del sistema, no es necesario impartir formación especializada ni introducir rutinas de mantenimiento adicionales.
1.1 Alcance de la aplicación de parches en directo al kernel #
SLES for SAP applications Live Patching incluye correcciones para vulnerabilidades de nivel 7 y superiores del sistema de puntuación de vulnerabilidades comunes (CVSS) de SUSE y correcciones de errores relacionados con la estabilidad del sistema o la corrupción de datos. Sin embargo, puede que no sea técnicamente posible crear parches en directo para todas las correcciones que se incluyen en las categorías especificadas. Por lo tanto, SUSE se reserva el derecho de omitir correcciones en situaciones en las que aplicar un parche en directo al kernel no sea posible por razones técnicas. Actualmente, más del 95 % de las correcciones cualificadas se lanzan como parches en directo. El CVSS de SUSE se basa en el sistema CVSS 3.0. Para obtener más información sobre CVSS, consulte Common Vulnerability Scoring System SIG.
1.2 Limitaciones de la aplicación de parches en directo al kernel #
La aplicación de parches en directo al kernel implica reemplazar funciones y gestionar correctamente el reemplazo de conjuntos de funciones interdependientes. Esto se hace redirigiendo las llamadas a código antiguo a código actualizado en una ubicación de memoria diferente. Los cambios en las estructuras de los datos complican la situación, ya que los datos siguen vigentes y no pueden ampliarse ni reinterpretarse. Si bien existen técnicas que permiten la alteración indirecta de las estructuras de datos, ciertas correcciones no se pueden convertir en parches en directo. En esta situación, la única manera de aplicar las correcciones es reiniciando el sistema.
2 Descripción de los parches en directo al kernel #
Los parches en directo al kernel se instalan como parte de las actualizaciones regulares del sistema. Los parches en directo al kernel se proporcionan como paquetes con código modificado independientes del paquete principal del kernel. Los parches en directo son acumulativos, por lo que el parche más reciente contiene todas las correcciones de los anteriores para el paquete del kernel. Cada paquete en directo al kernel está vinculado a la revisión exacta del kernel para la que se publica. El número de versión del paquete de parches en directo aumenta con cada adición de correcciones. Para determinar el estado de la aplicación de parches al kernel, use el comando klp -v patches.
Los parches en directo contienen solo correcciones críticas y no sustituyen a las actualizaciones regulares del kernel que requieren un rearranque. Considere los parches en directo como medidas temporales que protegen el kernel hasta que se realice una actualización y un rearranque adecuados del kernel.
En el siguiente diagrama se muestra la relación general entre los parches en directo y las actualizaciones del kernel. La lista de CVE y los informes de defectos abordados por el parche en directo activo actualmente se pueden ver mediante el comando klp
-v patches.
Es posible tener instaladas varias versiones del paquete del kernel junto con sus parches en directo. Estos paquetes no presentan conflictos. Puede instalar paquetes del kernel actualizados junto con parches en directo para el kernel en ejecución. En ese caso, puede que se le pida que rearranque el sistema. Los usuarios con suscripciones a SLES for SAP applications Live Patching pueden recibir asistencia técnica siempre que haya actualizaciones de parches en directo para el kernel en ejecución.
Con la aplicación de parches en directo al kernel activada, cada actualización del kernel incluye un paquete de parches en directo. Este parche en directo no contiene ninguna corrección y sirve como origen para futuros parches en directo para el kernel correspondiente. Estos parches de origen vacíos se llaman initial patches.
Tenga en cuenta que aunque puede haber varios paquetes del kernel instalados en el sistema, solo uno de ellos se está ejecutando en un momento dado. Del mismo modo, puede haber varios paquetes de parches en directo instalados, pero solo uno se carga en el kernel.
El parche en directo activo se incluye en initrd. Eso significa que en caso de un rearranque inesperado, el sistema aparece con las correcciones de parches en directo aplicadas, por lo que no hay necesidad de volver a aplicar parches.
3 Activación de la aplicación de parches en directo al kernel desde la línea de comandos #
La aplicación de parches en directo al kernel está incluida en la suscripción estándar de SLES for SAP applications. Para usar esta función, debe instalar el siguiente patrón:
#zypper install -t pattern lp_sles
En este punto, el sistema ya tiene los parches en directo aplicados.
Así es como funciona el proceso: cuando el sistema de instalación de paquetes detecta que hay un kernel instalado al que se le puede aplicar un parche en directo, y que hay un parche en directo para él en el canal de software, el sistema selecciona el parche en directo para la instalación. El kernel recibe las correcciones de parches en directo como parte de la instalación del paquete. Los parches en directo se aplican al kernel incluso antes de que se complete la instalación del producto.
4 Solución de problemas de la aplicación de parches en directo al kernel #
4.1 Comprobación de la fecha de caducidad del parche en directo #
Asegúrese de que lifecycle-data-sle-module-live-patching está instalado y, a continuación, ejecute el comando zypper lifecycle. Debería ver las fechas de caducidad de los parches en directo en la sección Package end of support
if different from product del resultado.
Cada parche en directo recibe actualizaciones durante 13 meses desde el lanzamiento del paquete del kernel subyacente. La página Maintained kernels, patch updates and lifecycle (Núcleos mantenidos, actualizaciones de parches y ciclo de vida) permite comprobar las fechas de caducidad según la versión del kernel en ejecución sin instalar la extensión del producto.
4.2 Comprobación de qué paquetes de parches en directo están instalados #
El parche en directo se aplica al kernel si se ha instalado un paquete kernel-livepatch-* para el kernel en ejecución. Puede usar el comando zypper se --details kernel-livepatch-* para comprobar qué paquetes de parches en directo están instalados en su sistema.
4.3 Impedir el rearranque #
Cuando se instala el paquete kernel-default, el gestor de actualizaciones le pide que rearranque el sistema. Para evitar que aparezca este mensaje, puede filtrar las actualizaciones del kernel de la operación de aplicación de parches. Esto se puede hacer añadiendo bloqueos de paquetes con Zypper.
4.4 Comprobación del estado de aplicación de parches #
Puede comprobar el estado de la aplicación de parches con el comando klp status. Para examinar los parches instalados, ejecute el comando klp -v
patches.
4.5 Reversión de un parche del kernel #
Si descubre que el parche en directo más reciente instalado tiene problemas, puede revertirlo a la versión anterior. Tenga en cuenta que un sistema con advertencias o trazas de errores del kernel en el registro del sistema puede no ser adecuado para el procedimiento de reversión de parches. Si no está seguro de si el sistema cumple los requisitos para reversión del parche, póngase en contacto con la Asistencia técnica de SUSE para obtener ayuda.
Para revertir en último parche en directo del kernel, utilice el comando klp
downgrade. Este comando detecta automáticamente la versión del parche en directo más reciente e instala el anterior.
5 Información legal #
Copyright© 2006–2025 SUSE LLC y colaboradores. Reservados todos los derechos.
Está permitido copiar, distribuir y modificar este documento según los términos de la licencia de documentación gratuita GNU, versión 1.2 o (según su criterio) versión 1.3. Esta información de copyright y licencia deberán permanecer inalterados. En la sección titulada “GNU Free Documentation License” (Licencia de documentación gratuita GNU) se incluye una copia de la versión 1.2 de la licencia.
Para obtener información sobre las marcas comerciales de SUSE, consulte https://www.suse.com/company/legal/. Todas las marcas comerciales de otros fabricantes son propiedad de sus respectivas empresas. Los símbolos de marcas comerciales (®, ™, etc.) indican marcas comerciales de SUSE y sus filiales. Los asteriscos (*) indican marcas comerciales de otros fabricantes.
Toda la información recogida en esta publicación se ha compilado prestando toda la atención posible al más mínimo detalle. Sin embargo, esto no garantiza una precisión total. Ni SUSE LLC, ni sus filiales, ni los autores o traductores serán responsables de los posibles errores o las consecuencias que de ellos pudieran derivarse.