8 KLPによるライブカーネルパッチ #

KLPを使用したカーネルライブパッチは、重大な脆弱性の問題やシステムの安定性の問題があることがわかり、できるだけ早く修正する必要がある場合に、迅速に緊急対処するためのものです。緊急を要しない、予定されたアップデートには使用されません。

カーネルライブパッチの一般的な使用事例としては、起動に15分以上かかることも珍しくない、大容量のRAMを搭載したメモリデータベースなどのシステム、再起動なしで数週間または数カ月を要する大規模なシミュレーション、多数の顧客に継続的なサービスを提供するインフラストラクチャのビルディングブロックなどがあります。

カーネルライブパッチの主な利点は、短時間であってもカーネルを停止する必要がない点です。

KLPは、RPMパッケージ内の.koカーネルモジュールです。パッケージのインストールまたは更新時に、insmodコマンドを使用してカーネルに挿入されます。カーネルライブパッチは、関数が実行中であってもカーネル内の関数全体を置換します。必要に応じて、更新されたKLPモジュールが既存のパッチを置換することもあります。

さらに、カーネルライブパッチは効率的です。他の標準のLinuxテクノロジーを活用するので、カーネルライブパッチには少量のコードしか含まれていません。

カーネルライブパッチは、ftraceインフラストラクチャを使用してパッチを実行します。AMD64/Intel 64アーキテクチャにおける実装は次のとおりです。

カーネル関数にパッチを適用する場合、カーネルライブパッチは、新しい関数へのジャンプを挿入するために、関数の冒頭にスペースを必要とします。このスペースは、関数のプロファイリングをオンにしたGCCによってカーネルのコンパイル時に割り当てられます。具体的には、5バイトの呼び出し命令がカーネル関数の冒頭に挿入されます。このようにインストルメント化されたカーネルの起動時に、プロファイリング中の呼び出しが5バイトのNOP (操作なし)命令に置換されます。

パッチの適用が開始されると、最初のバイトがINT3 (ブレークポイント)命令に置換されます。これにより、5バイトの命令を置換する際の不可分性が確保されます。他の4バイトは、新しい関数のアドレスに置換されます。最後に、最初のバイトがJMP (ロングジャンプ)命令コードに置換されます。

システム内の他のCPUの推論的なデコードキューをフラッシュするために、このプロセス全体を通してIPI NMIが使用されます。これにより、ごく短時間であってもカーネルを停止することなく、新しい関数に切り替えることができます。IPI NMIによる割り込みはマイクロ秒単位で測定することができ、いずれの場合でもカーネルの実行中に発生するので、サービスの中断とは見なされません。

呼び出し元にパッチが適用されることはありません。代わりに、呼び出し先のNOPが新しい関数へのJMPに置換されます。JMP命令は永久に残ります。これにより、構造体内でも関数ポインタが考慮されるので、パッチが適用されない場合に備えて古いデータを保存しておく必要はありません。

ただし、これらの手順だけでは十分ではありません。関数は不可分的に置換されるわけではないので、カーネルの一部で修正された新しい関数が引き続き、別の場所で古い関数を呼び出したり、その逆の呼び出しが行われたりすることがあります。関数インタフェースのセマンティクスがパッチで変更された場合は、混乱が生じます。

そのため、すべての関数が置換されるまで、カーネルライブパッチは、トランポリンに基づいた、RCU(読み取り-コピー-更新)に似たアプローチを使用して、それぞれのユーザ側スレッド、カーネルスレッド、カーネル割り込みで一貫性を確保します。カーネルの最初と最後にスレッド別のフラグが設定されます。これにより、古い関数は常に別の古い関数を呼び出し、新しい関数は常に新しい関数を呼び出すようになります。すべてのプロセスに「新しいユニバース」のフラグが設定されると、パッチの適用が完了し、トランポリンを削除することができます。コードは、パッチが適用された各関数の過度に長いジャンプを除き、パフォーマンスに影響を及ぼすことなく、フルスピードで動作することができます。

SLE Live Patchingをシステムでアクティベートするには、次の手順に従います。

このセクションでは、KLPパッチを検索、インストール、および削除する方法について説明します。

tux > sudo zypper se -kernel-livepatch 
  | kernel-livepatch-5_3_18-8_16-default  | Kernel live patch module  | package   
  | kernel-livepatch-5_3_18-8_19-default  | Kernel live patch module  | package   
i | kernel-livepatch-5_3_18-8_22-default  | Kernel live patch module  | package

いくつかのカーネルライブパッチ管理タスクはklpツールで簡素化することができます。使用可能なコマンドは次のとおりです。

詳細については、man klpを参照してください。

カーネルライブパッチを処理するには、カーネルスレッドを準備する必要があります。サードパーティソフトウェアはカーネルライブパッチをサポートしていない場合があり、カーネル実行スレッドを生成する場合があります。このようなスレッドによって、パッチ適用プロセスが無期限にブロックされます。緊急措置として、0を/sys/kernel/livepatch/*/transition/に書き込む(アスタリスクワイルドカードをファイル名で置き換える)ことにより、すべての実行スレッドが安全チェックポイントを通過するのを待たずにパッチ適用プロセスの完了を強制することができます。この手順を実行する前に、SUSEのサポートにお問い合わせください。

ライブパッチの有効期限はzypper lifecycleを使用して参照できます。(パッケージ lifecycle-data-sle-module-live-patching がインストールされていることを確認してください。)

パッチの有効期限に達した場合、今後そのカーネルバージョン用のライブパッチは提供されません。ライブパッチのライフサイクル期間が終わる前に、カーネルの更新を計画してください。

zypper lifecycleの詳細については、『管理ガイド』の「ライフサイクル情報の表示」を参照してください。

カーネルライブパッチは、関数の置き換えに基づいています。カーネルライブパッチでは、データ構造の変更は間接的にしか実行できません。そのため、カーネルのデータ構造の変更には特別な注意が必要です。変更が大規模な場合は、再起動が必要になることもあります。また、カーネルライブパッチでは、1つのコンパイラを使用して古いカーネルをコンパイルし、別のコンパイラを使用してパッチをコンパイルするような状況に対処できない場合があります。

カーネルライブパッチの動作により、カーネルスレッドを生成するサードパーティモジュールのサポートは限定的です。

SUSE Common Vulnerability Scoring System (CVSS; SUSE CVSSはCVSS v3.0システムをベースにしています)レベル7+脆弱性の修正や、システムの安定性またはデータの破損に関連するバグ修正は、SLEライブパッチの適用範囲内で出荷されます。前述の基準を満たすすべての種類の修正についてライブパッチを生成できるわけではありません。技術的な理由でカーネルライブパッチの生成が実行不可能な場合、SUSEは修正をスキップする権利を有します。SUSE CVSSの評価の基礎であるCVSSの詳細については、https://www.first.org/cvss/を参照してください。

SUSEのサポートを利用して技術的な問題を解決する間に、いわゆるProgram Temporary Fix (PTF)を受け取ることがあります。PTFは、SLE Live Patchingの基盤を成すパッケージをはじめ、さまざまなパッケージについて発行されることがあります。

前のセクションに記載された条件に適合するカーネルライブパッチのPTFは、通常どおりにインストールできます。SUSEでは、当該のシステムを再起動する必要がないこと、将来のライブアップデートが問題なく適用されることを確認します。

ベースカーネルについて発行されたPTFによって、ライブパッチ適用プロセスが中断されます。まず、PTFカーネル全体を実行時に置換することはできないので、PTFカーネルのインストール時には再起動が必要になります。次に、定期保守のアップデートについてライブパッチが発行された場合、PTFを置換するには、再起動がもう一度必要になります。

SLE Live Patchingの他のパッケージに関するPTFは、通常の保証を含む通常のPTFと同様に処理できます。