Contattaci
Account Effettua il login
Vai al paragrafo

Cos'è l'applicazione live delle patch al kernel Linux?

Copia URL

L'applicazione live delle patch al kernel Linux consente di applicare le patch di sicurezza critiche o importanti al kernel Linux mentre questo è in esecuzione senza bisogno di riavviarlo o interrompere il runtime.

Una patch e un aggiornamento sono due cose diverse. Un aggiornamento è la versione minore e rinnovata di un pacchetto che contiene in genere correzioni dei bug, ottimizzazioni delle prestazioni, nuove funzionalità, modifiche alla riga di comando, ecc. Una patch invece è un frammento di codice (di solito l'output diverso tra due versioni di un pacchetto o di un file) che risolve una vulnerabilità specifica nella versione corrente. Le patch correggono le vulnerabilità senza generare latenza in modo da garantire la sicurezza dell'implementazione in uso e offrire agli amministratori di sistema l'opportunità di rimandare il riavvio al successivo periodo di manutenzione programmato.

In teoria l'applicazione live si potrebbe usare per qualunque patch al kernel in esecuzione, anche per le normali correzioni di bug e i miglioramenti. In pratica però si sceglie di ricorrere all'applicazione live delle patch esclusivamente per le vulnerabilità di sicurezza più significative che richiedono un intervento immediato. In Red Hat Enterprise Linux le patch di sicurezza sono un elemento fondamentale e l'applicazione live delle patch al kernel rientra tra le funzionalità di sicurezza, con notevoli vantaggi nella gestione per gli amministratori.

Senza la possibilità di applicare le patch live, per ogni patch sarebbe necessario riavviare il servizio o l'app interessati dalle correzioni per far sì che le modifiche diventino effettive. Lo stesso problema si presenterebbe anche per le patch al kernel Linux, che metterebbero gli amministratori di sistema Linux nella difficile posizione di dover applicare correzioni di sicurezza indispensabili causando riavvi non programmati dei server Linux, latenza e tempi di fermo.

Tutto è cominciato al MIT quando Jeff Arnold, uno dei suoi studenti e amministratore di sistema, decise di posticipare l'applicazione di una patch di sicurezza per evitare di interrompere il servizio agli utenti e il sistema finì per essere hackerato. Quanto accaduto spinse Arnold a lavorare al problema e a sviluppare nel 2008 quello che definì "l'aggiornamento di sicurezza del kernel rebootless", cioè l'applicazione e il caricamento delle patch di sicurezza senza riavvio del sistema. Quel progetto (ksplice) può essere considerato a tutti gli effetti l'antesignano dell'attuale applicazione live delle patch al kernel Linux.

Gli aggiornamenti software dinamici rappresentano una sfida nel campo dell'informatica perché richiedono di gestire tutta una serie di aspetti che stanno alla base del funzionamento stesso dei servizi e delle applicazioni: servizi stateful e stateless, permanenza, gestione dei dati, transazioni, esecuzione dei comandi, ecc.

Quello di Arnold e i successivi progetti per l'applicazione live delle patch al kernel si basavano sull'idea di caricare i moduli del kernel utilizzando strumenti presenti all'interno dello spazio del kernel.

I sistemi Linux prevedono due spazi per l'esecuzione delle operazioni: lo spazio utente, dove vengono eseguite tutte le operazioni e i servizi, e lo spazio del kernel destinato all'esecuzione delle operazioni del sistema principale. Il kernel funge da intermediario fra le applicazioni e le risorse hardware come la CPU e lo storage. Per estendere o modificare la funzionalità, gli amministratori possono affiancare al kernel moduli del kernel personalizzati, che potranno poi caricare ed eseguire in maniera dinamica anche dopo l'avvio.

In sostanza gli strumenti per l'applicazione live delle patch al kernel creano un modulo del kernel a partire dal codice della patch e poi sfruttano lo strumento ftrace (function tracer) per il trasferimento dalla funzione obsoleta alla funzione sostitutiva, al modulo patch o alla funzione corretta.

Figura 1: Il funzionamento dell'applicazione live delle patch al kernel

A qualche anno dalla realizzazione di ksplice, il primo esempio di applicazione live delle patch al kernel, il progetto è stato acquistato da Oracle che lo ha trasformato in uno strumento proprietario. Da allora altri team di sviluppo si sono dedicati alla realizzazione di progetti open source che potessero sostituire ksplice e nel 2014 sono stati rilasciati kpatch ad opera di Red Hat e kgraft di SUSE. Per contribuire entrambe alla realizzazione degli obiettivi condivisi della community del kernel Linux, Red Hat e SUSE hanno successivamente avviato una collaborazione dando origine a livepatch, un livello comune nel kernel Linux che permette ai team di sviluppare strumenti per l'applicazione live delle patch al kernel compatibili.

L'elemento principale di cui tenere conto è che le patch servono prettamente per risolvere rischi di sicurezza. Ciò significa per gli amministratori di sistema riuscire a gestire una crescente complessità, garantire la sicurezza dei sistemi Linux applicando le patch tempestivamente e, al contempo, soddisfare determinati requisisti di operatività senza poter sempre riavviare i sistemi al di fuori dei periodi di manutenzione programmati.

Secondo il report sui rischi alla sicurezza di Red Hat dal 2019 al 2020 si è verificato un aumento esponenziale nel numero di problemi di sicurezza identificati (quelli che prendono il nome di Common Vulnerabilities and Exposures o CVE): un incremento pari al 155% (da 1313 a 2040). Nonostante questo numero sia diminuito nel 2021 (1596), è rimasto pur sempre il 22% in più rispetto al 2019. L'aumento più significativo si è registrato nel numero di vulnerabilità con un livello di gravità moderato; il numero di CVE con gravità importante è rimasto pressoché invariato mentre le vulnerabilità ritenute critiche sono diminuite.

Gli aggiornamenti e le patch per il kernel vengono rilasciati ogni sei settimane mentre gli aggiornamenti minori di Red Hat Enterprise Linux, che includono anche le patch di sicurezza, vengono rilasciati ogni sei mesi. La possibilità di applicare le patch al kernel Linux senza bisogno di riavvio evita agli amministratori di dover scegliere tra sicurezza e operatività.

Le CVE relative al kernel stanno riscontrando una diffusione senza precedenti tant'è che quattro delle 10 CVE più riportate nel 2021 riguardavano proprio il kernel.

La possibilità di applicare le patch al kernel Linux live non è più solo una questione di comodità, ma è ormai uno strumento imprescindibile per fronteggiare le falle nella sicurezza in maniera proattiva, assicurare l'operatività delle funzioni del kernel e garantire la sicurezza dei sistemi.

L'applicazione live delle patch al kernel è uno strumento specifico per la gestione della sicurezza, ma non è il solo messo a disposizione da Red Hat Enterprise Linux. La piattaforma infatti include diversi strumenti per la gestione della sicurezza come SELinux che grazie a funzionalità quali le autorizzazioni, il controllo degli accessi e i ruoli di sistema, contribuisce ad automatizzare la configurazione e le attività.

In un contesto in cui le minacce alla sicurezza, gli obiettivi e i vettori di attacco mutano di continuo, è difficile pensare che possa esistere un'unica soluzione capace di garantire la totale sicurezza dell'ambiente. È infatti essenziale dotarsi di una gamma di strumenti diversi che consentano di portare avanti tutte le iniziative di sicurezza necessarie, a cominciare dal livello del sistema operativo, o addirittura da quello del codice sorgente, per proseguire con l'intero stack tecnologico e il ciclo di vita.

Tutte le sottoscrizioni Red Hat Enterprise Linux includono Red Hat Insights, che fornisce una suite di servizi per la gestione della sicurezza. Questi servizi includono:

  • Dashboard grafiche dell'intera infrastruttura che permettono di individuare i sistemi vulnerabili e monitorare lo stato delle patch.
  • CVE pertinenti e altri aggiornamenti.
  • Playbook per automatizzare l'applicazione di patch di sicurezza nei sistemi Linux.
  • Profili di sicurezza predefiniti o profili personalizzabili per gestire la configurazione di sistema.
  • Impiego di configurazioni di base e sistemi di flagging che si discostano dalle baseline.

 

La necessità dell'applicazione live delle patch al kernel Linux è nata dal bisogno comune di realizzare una soluzione che andasse a vantaggio di tutti e ciò è stato possibile grazie all'approccio open source che ha permesso di collaborare con le organizzazioni e i membri della community. La modalità di lavoro aperta, incentrata su collaborazione, trasparenza e impegno a offrire sempre le migliori tecnologie ed esperienze, è il carattere distintivo di Red Hat e si rispecchia nelle sue soluzioni.  

Keep reading

ARTICOLO

Cos'è la metodologia DevSecOps?

Per sfruttare tutta l'agilità e la reattività di un approccio DevOps, occorre tenere conto anche di un altro elemento cruciale dell'intero ciclo di vita delle tue applicazioni: la sicurezza IT.

ARTICOLO

La sicurezza nel cloud

I problemi di sicurezza hanno un impatto sia sui sistemi IT tradizionali che su quelli cloud. Scopri perché la sicurezza nel cloud è differente.

ARTICOLO

Cosa si intende con SOAR?

L'acronimo SOAR indica 3 capacità chiave utilizzate dai team che si occupano di sicurezza: gestione dei casi e dei flussi di lavoro, automazione delle attività e sistema centralizzato di accesso, query e condivisione dei dati di intelligence sulle minacce.

Scopri di più sulla sicurezza

Prodotti

Un framework di sicurezza progettato per gestire le identità utente e garantire la privacy delle comunicazioni.

Una soluzione, Kubernetes native ed enterprise ready, per la sicurezza dei container che permette di creare, distribuire ed eseguire applicazioni cloud native in modo più sicuro.

Un servizio di analisi predittiva per identificare e contrastare le minacce a sicurezza, prestazioni e disponibilità della tua infrastruttura Red Hat.

Una soluzione che permette di controllare cluster e applicazioni Kubernetes da una singola console dotata di criteri di sicurezza integrati.

Risorse