» »

Posodabljanje Linux jedra brez ponovnega zagona računalnika

Posodabljanje Linux jedra brez ponovnega zagona računalnika

Ubuntu.si - Statistike kažejo, da v Linux jedru v povprečju vsakih 6 dni odkrijejo potencialne varnostne ranljivosti. Ko je ranljivost v jedru odpravljena, uporabniki prejmejo posodobitveni paketek jedra in ga namestijo, nato pa je potreben ponovni zagon sistema. Ponovni zagon sistema pri posodabljanju ostalih delov sistema pod Linuxom praviloma ni potreben, je pa posodabljanje jedra ravno zaradi potrebe po ponovnem zagonu računalnika za marsikoga precej nadležno.

Težavo pa so sedaj v veliki meri rešili pri podjetju Ksplice, kjer so razvili odprtokodno rešitev Ksplice, ki omogoča posodobitve Linux jedra brez potrebe po ponovnem zagonu sistema.

Ksplice omogoča neopazno posodobitev Linux jedra med samim delovanjem sistema (in med tem, ko tečejo aplikacije), vendar pa sistem deluje le za posodobitve ki ne zahtevajo semantičnih sprememb v podatkovnih strukturah Linux jedra. Kljub temu je takih posodobitev večina, saj je analiza varnostnih posodobitev jedra v obdobju od maja 2005 do maja 2008 pokazala, da Ksplice lahko samodejno in neopazno posodobi kar 88% varnostnih ranljivosti Linux jedra.

Ksplice deluje na jedrih 2.6, novo tehnologijo pa lahko uporabniki Ubuntu Jaunty sistema že takoj preizkusite.

Linux torej pri posodabljanju sistema prinaša novo revolucijo.

97 komentarjev

«
1
2

P4ajo ::

me sploh nemoti, če primerjam z xp, ko mores dejasnko pri vsakem upedate resetirat, in pri hitrem zagonu ubuntuja...no problem, mislm da to nebi smela bit stvar ki bi bla uporabnikom nevem kako nadlezna, sej lahko končas z delom in pol resetiras, je isto...

ABX ::

Novica ni za domače uporabnike ampak za sysadmine.
Vaša inštalacija je uspešno spodletela!

nodrim ::

tudi za domače je nadležno, če nekaj delaš in imaš odprtih in nastavljenih 10 aplikacij, ki jih moraš potem spet odpirat po restartu ..

Poldi112 ::

Pa za tiste ki na osebnem računalniku uživajo, ko nabijajo uptime :)
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

ABX ::

tudi za domače je nadležno, če nekaj delaš in imaš odprtih in nastavljenih 10 aplikacij, ki jih moraš potem spet odpirat po restartu ..


To je Linux ne Windows.

Ne vem če si opazil ampak Linux ti da samo eno majhen ne nadležni opomin da je potreben reboot. Je pa popolnoma varno ignorirat sporočilo, jaz ponavadi imam nastavljen reboot 1x na mesec.

Izjeme so samo računalniki ki deluje kot strežniki za Internet.
Vaša inštalacija je uspešno spodletela!

nodrim ::


To je Linux ne Windows.

Ne vem če si opazil ampak Linux ti da samo eno majhen ne nadležni opomin da je potreben reboot.


sej takšen opomin dobiš tudi v windows, samo jaz imam ves čas odprtih kar nekaj aplikacij in mi je restart nadležen kadar koli ... v vsakem primeru pa je normalno, da si želiš, da se posodobitve čim prej začnejo uporabljat v sistemu in ne "čez 1 mesec" ...

Pithlit ::

Je prekomplicirano :P

Sicer pa se je dalo nadgrajevati jedro brez ponovnega zagona tudi prek ksplice. Ampak se je blo treba jajcat malo več... pa ponavadi ni vredno.
Life is as complicated as we make it...

WhiteAngel ::

Za tale KSplice jaz prvič slišim. A kdo to pozna / mu je za zaupati? Ne bi rekel, če bi prišlo nekaj ven iz rok RH ali samih Kernel razvijalcev...

jype ::

Predvsem je to uporabno za tiste, ki z računalniki dejansko delamo. Jaz imam na laptopu ves čas odprtih 5 programov, ki se zaganjajo kakih 5 minut (od takrat ko prižgem mašino). Nima smisla, da to počnem, če ni treba.

Matevžk ::

sej takšen opomin dobiš tudi v windows

Ja, tudi če si profesor sredi predavanja. In mene kot slušatelja preecj moti, ko profesor potem klikne "Restart Later" in se Windowsi čez 10 minut spet opogumijo in skačejo čez PowerPoint ali Adobe Reader.

Ah, kaj se pa grem, kritiziram (večkrat konkretno posodobljen) operacijski sistem iz leta 2002. Upam, da se je to v novejših verzijah že kaj spremenilo ...
lp, Matevžk

ender ::

V XPjih se ti včasih zgodi tudi to, da namesto okna "Znova zaženi zdaj/kasneje" dobiš kar okno, kjer ti odšteva 60 sekund (z onemogočenim gumbom Prekliči), nakar se sistem znova zažene sam od sebe, če ne veš kako ustaviti Windows Update servis. Nazadnje videno prejšnji teden.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Mavrik ::

Ja, tudi če si profesor sredi predavanja. In mene kot slušatelja preecj moti, ko profesor potem klikne "Restart Later" in se Windowsi čez 10 minut spet opogumijo in skačejo čez PowerPoint ali Adobe Reader.

Ah, kaj se pa grem, kritiziram (večkrat konkretno posodobljen) operacijski sistem iz leta 2002. Upam, da se je to v novejših verzijah že kaj spremenilo ...


Zato pa so Windowsi dobili "presentation mode", ki izklopi praktično vse popupe in notifikacije (seveda za software, ki se tega zaveda... večina prenosljivega crapa je preveč fancy da bi kaj za uporabnika naredila). Sam kaj ko tega noben ne zna uporabljati.
The truth is rarely pure and never simple.

Matevžk ::

To je seveda delno smiselna rešitev (namreč, tisti restarti so me v firmi tudi konkretno motili, ko sem imel sredi reševanja hude panike odprtih 10 zahtevnih programov, Windowsi pa stalno buzerirali z restarti (in bognedaj, da si ravno v trenutku, ko se je okno pojavilo, pritisnil Enter ...)). Ampak očitno je v XP-jih še ni. Razen če je Microsoft PowerPoint ena izmed aplikacij, ki se tega ne zaveda.
lp, Matevžk

Mavrik ::

Potem pa stvari povej "ponovno me opozori čez 4 ure". Pa presentation mode-a v XPjih še ni.

Sam jebiga, nismo vam mi krivi da uporabljate skoraj 2 generaciji star OS iz leta 2001.
The truth is rarely pure and never simple.

Matevžk ::

Kje?

Windows XP - Restart



Mnja, sej tako starega sistema ne uporabljam več. Od tiste firme sem se poslovil, doma pa na vseh petih mašinah, ki jih uporabljamo (3 ljudje) teče sistem, ki je izšel 23. aprila letos. Občasni restarti zaradi nadgradnje jedra nas ne motijo toliko, da bi šli nameščat v novici predstavljeno stvar, ko bo pa enkrat mainstream in integrirana v OS, bo pa vsekakor dobrodošla!
lp, Matevžk

Zgodovina sprememb…

  • zavaroval slike: Mavrik ()

Mavrik ::

Tule:

Windows Update

The truth is rarely pure and never simple.

Zgodovina sprememb…

  • zavaroval slike: Mavrik ()

Matevžk ::

Vraga. Dotična profesorica ni imela tako fensi šmensi softvera na prenosniku.
lp, Matevžk

ALT ::

se dobro da ni imela win98.. logika pa taka, neki je fensi šmensi ker ni 8 let staro? :D

Matevžk ::

Ne, ne zaradi starosti. Zaradi steklenega izgleda. :)
Kakorkoli že -- vzklikam HURA vsakršnemu napredku splošno uporabljanega softvera!
lp, Matevžk

Poldi112 ::

>Sam jebiga, nismo vam mi krivi da uporabljate skoraj 2 generaciji star OS iz leta 2001.

Skoraj. Dejansko je pa zgolj prejšnja verzija. Tako kot recimo ubuntu 8.04 izpred pol leta... :)
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

ABX ::

Tule:

Windows Update



To je preveč nadležno, Linux ti samo nariše eno malo ikono na namizje, nobenih popup-ov.

Kot pravim, 1x na mesec update je popolnoma varno, so pa izjeme seveda.
Vaša inštalacija je uspešno spodletela!

Matevžk ::

@ABX: No, ja, kar so naredili v Jauntyju z updatei, je po mojem mnenju kriminal ... Na srečo je možno nastaviti na prejšnji režim delovanja.
lp, Matevžk

KoKi ::

Meni ne "nariše" popolnoma nič (odvisno od distribucije).
# hackable

ABX ::

@ABX: No, ja, kar so naredili v Jauntyju z updatei, je po mojem mnenju kriminal ... Na srečo je možno nastaviti na prejšnji režim delovanja.


Nisem mislil na konkretni primer, bolj to kako določene Linux distribucije imajo to zelo prijazno urejeno. Sicer, pa kot praviš, vse se da nastavit kot ti paše. :)
Vaša inštalacija je uspešno spodletela!

denial ::

Hotpatching... patented by MSFT. V praktični uporabi (vsaj) od 2003.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

jype ::

Še sreča da patenta ne morejo enforcat, ker se je s hotpatchingom malware sprehajal po sistemih že vsaj leta 95, ane :)

denial ::

Nope, malware se je sprehajal po sistemih že vsaj leta 1988.

Kakorkoli, obstaja velika verjetnost, da je Linux različica hotpatchinga zmogljivejša.
SELECT finger FROM hand WHERE id=3;

Mavrik ::


To je preveč nadležno, Linux ti samo nariše eno malo ikono na namizje, nobenih popup-ov.

Kot pravim, 1x na mesec update je popolnoma varno, so pa izjeme seveda.


To okno se pojavi ko klikneš na balonček z opozorilom o rebootu. Ki se pojavi samo enkrat.
The truth is rarely pure and never simple.

ender ::

Ne, to okno se pojavi samo od sebe, vsaj na obeh mojih namestitvah Viste.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

noraguta ::

a pa vas raca , avtomatsko posodablanje os-a? al sem retarderan ker to počnem ročno ter si celo ogledam kere patche mi meče na mašino.
Pust' ot pobyedy k pobyedye vyedyot!

WhiteAngel ::

Ali ne omogoča zagon novega jedra že kexec? Ali se ni nekaj časa nazaj uporabljalo še nekaj tretjega pri enem rootkit napadu na Debianove repozitorije?

jype ::

Kexec vseeno "reboota" mašino. Ja, hotpatchat se da na tisoč in en način in malware to počne na vse.

frudi ::

To okno se pojavi ko klikneš na balonček z opozorilom o rebootu. Ki se pojavi samo enkrat.

Pojavi se tudi najpozneje 4 ure po tem, ko si 'preložil' restart. Če se trudiš reset odlagat par dni, boš na koncu resetiral že samo zato, da to okno neha težit. Skrajno nadležno, čeprav še vedno neprimerno manj, kot v XP, kjer je težilo vsakih par minut.

Po drugi strani je pa tudi res, da so na Ubuntu popravki, ki zahtevajo reset, vsaj enako pogosti, kot na Windows. Ampak Ubuntu vsaj ne najeda z opozorili...
1ACDoHVj3wn7N4EMpGVU4YGLR9HTfkNhTd... in case I've written something useful :)

Looooooka ::

kdorkol je su napisat da je 1x na mesec varno updejtat...nima pojma o cemu govori.
ce bos ti 1x na mesec rebootu bo vse fino..DOKLER ne bo glih tak security update, ki ga po nekem naklucju zlorabljal nek smrkavec.In po nakljucju bo med skeniranjem naletel na tvoj IP.
Ne bi blo ne prvic ne zadnjic ko bi se kj tazga zgodil.Zato majo pa firme administratorje, ki (no vsaj naj bi bli) so odgovorni zato, da redno gledajo kaj je novga s security updati in da ocenijo ce je zadevo treba takoj al pa cez en mesec instalirat.
Kksne remote exploitable napake na nezafirewallani masini je pac treba takoj nalozit...ne cez 5 minut al pa cez 1 mesec.

Sj ne da so mogl nasi ISPji za podobn exploit na winsih clo porte blokirat(ker je folk formatiru dal windows xp gor...sel na net...prej seveda ni firewlla prizgal in zagnat windows update.Med tem se mu je ze restarala masina in je mel gor malware).
Za linux bi ob takem exploitu zvedu verjetn cez en mesec...ko bi ti nekdo reku, da dobiva bogve kaj iz tvoje masine.
Kriv je pa v obeh primerih uporabnik, ki je bolj pameten kot oseba, ki je update oznacila za important security update.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

noraguta ::

kdorkol je su napisat da je 1x na mesec varno updejtat...nima pojma o cemu govori. ce bos ti 1x na mesec rebootu bo vse fino..DOKLER ne bo glih tak security update, ki ga po nekem naklucju zlorabljal nek smrkavec.In po nakljucju bo med skeniranjem naletel na tvoj IP. Ne bi blo ne prvic ne zadnjic ko bi se kj tazga zgodil.Zato majo pa firme administratorje, ki (no vsaj naj bi bli) so odgovorni zato, da redno gledajo kaj je novga s security updati in da ocenijo ce je zadevo treba takoj al pa cez en mesec instalirat. Kksne remote exploitable napake na nezafirewallani masini je pac treba takoj nalozit...ne cez 5 minut al pa cez 1 mesec. Sj ne da so mogl nasi ISPji za podobn exploit na winsih clo porte blokirat(ker je folk formatiru dal windows xp gor...sel na net...prej seveda ni firewlla prizgal in zagnat windows update.Med tem se mu je ze restarala masina in je mel gor malware). Za linux bi ob takem exploitu zvedu verjetn cez en mesec...ko bi ti nekdo reku, da dobiva bogve kaj iz tvoje masine. Kriv je pa v obeh primerih uporabnik, ki je bolj pameten kot oseba, ki je update oznacila za important security update.
nehi no , če govoriš o mašinah ki niso za firewallom , je brezveze govorit o varnosti.
Pust' ot pobyedy k pobyedye vyedyot!

denial ::

@jype
Še sreča da patenta ne morejo enforcat, ker se je s hotpatchingom malware sprehajal po sistemih že vsaj leta 95, ane :)


Doh, now I got your point. +1 itak. DKOM rootkiti že najmanj desetletje uporabljajo hotpatching :)
SELECT finger FROM hand WHERE id=3;

Bor H ::

Ni, povprečni uporabnik lahko z rednim updejtanjem sistema in brez firewalla (al pa s tistim basic firewallom od winsov) čist lepo shaja če mal razmišlja na netu.

noraguta ::

Ni, povprečni uporabnik lahko z rednim updejtanjem sistema in brez firewalla (al pa s tistim basic firewallom od winsov) čist lepo shaja če mal razmišlja na netu.

razvetli me kaj je basic in kaj je c++ultrapower firewall?
Pust' ot pobyedy k pobyedye vyedyot!

denial ::

@Bor H
Napreden uporabnik razmišlja. Povprečen uporabnik ne razmišlja. Klika. :)
SELECT finger FROM hand WHERE id=3;

Bor H ::

basic firewall je tisto kar pride pr winsih, on/off pa kak exception lahk nastavš, ultrapower je pa ko morš vsak port ročno odpret in zapret, torej overkill za stare mame

edit:
denial: no sej, ubistvu maš prav, mogoče si je lažje vzet par minut pa nastavt sosedovmu mulcu firewall kot vsem v familiji razložit kdaj klikat kdaj pa ne

Zgodovina sprememb…

  • spremenil: Bor H ()

noraguta ::

pojma nimaš , netsh ne poznaš niti gui-ja ne na windowsih(kontrolo imaš nad vsakim portom).
Pust' ot pobyedy k pobyedye vyedyot!

Bor H ::

Si že mal zaspan ane?
Dejstvo je da se tako kot vsaka aplikacija tudi firewalli razlikujejo med sabo (globok vdih presenečenja). Z windows firewallom je recimo zelo težko kaki aplikaciji odrezat net ko je že udomačena, sm probaval v Visti, v sedmici še nism ampak preprosto ni šlo, če bi mel kak ultrapower firewall bi mogu pa skos klikat da dovolim, oz. za vsako aplikacijo vsaj enkrat.

noraguta ::

aha ultra power firewal spoznamo po pogostih dialogih , se mi je zdel.se globoko opravičujem.
Pust' ot pobyedy k pobyedye vyedyot!

Bor H ::

Jst ti ne morm pomagat če ne zastopš, bom tko probal razložit: vidiš morda razliko med ms paintom in photoshopom?

Ne vem sicer zakaj si se zakadil vame ampak dejstvo je, da windows firewall ni lih state of the art zadeva, en primer sm ti že podal zakaj.

ABX ::

kdorkol je su napisat da je 1x na mesec varno updejtat...nima pojma o cemu govori.
ce bos ti 1x na mesec rebootu bo vse fino..DOKLER ne bo glih tak security update, ki ga po nekem naklucju zlorabljal nek smrkavec.In po nakljucju bo med skeniranjem naletel na tvoj IP.
Ne bi blo ne prvic ne zadnjic ko bi se kj tazga zgodil.Zato majo pa firme administratorje, ki (no vsaj naj bi bli) so odgovorni zato, da redno gledajo kaj je novga s security updati in da ocenijo ce je zadevo treba takoj al pa cez en mesec instalirat.
Kksne remote exploitable napake na nezafirewallani masini je pac treba takoj nalozit...ne cez 5 minut al pa cez 1 mesec.

Sj ne da so mogl nasi ISPji za podobn exploit na winsih clo porte blokirat(ker je folk formatiru dal windows xp gor...sel na net...prej seveda ni firewlla prizgal in zagnat windows update.Med tem se mu je ze restarala masina in je mel gor malware).
Za linux bi ob takem exploitu zvedu verjetn cez en mesec...ko bi ti nekdo reku, da dobiva bogve kaj iz tvoje masine.
Kriv je pa v obeh primerih uporabnik, ki je bolj pameten kot oseba, ki je update oznacila za important security update.


Ne lapaj in preberi si moj post.
Pa ne mi govorit o Winsih ko je naslov Linux.
Vaša inštalacija je uspešno spodletela!

ALT ::

bor, v visti se da marsikaj nastavit v firewallu (hint: administrative tools).

pa btw, ce "udomacis" kaksno zadevo, je tut na kakem ultrapower firewallu isto, ce si odobril si odobril, te ne sprasuje vec. odgovornost za to pa prevzema uporabnik-ti. se vedno pa se da to spremenit, tut v windows fw.

denial ::

@Bor H
noraguta ima prav. Tudi tisti najbolj trivialen (XP GUI) firewall omogoča kontrolo nad vsakim portom. Če si ljubitelj CLI lahko uporabiš celo netsh. Vista Advanced Firewall pa je sploh "najjači".
SELECT finger FROM hand WHERE id=3;

ABX ::

Ni, povprečni uporabnik lahko z rednim updejtanjem sistema in brez firewalla (al pa s tistim basic firewallom od winsov) čist lepo shaja če mal razmišlja na netu.


Če je windows mašina direktno povezana na Internet brez firewalla, boš okužen v 1 minuti. Brez tikat nič, niti IE.
Vaša inštalacija je uspešno spodletela!

denial ::


Če je windows mašina direktno povezana na Internet brez firewalla, boš okužen v 1 minuti. Brez tikat nič, niti IE.


Lahko dokažeš svojo trditev?
SELECT finger FROM hand WHERE id=3;
«
1
2

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Linux linux linux

Oddelek: Operacijski sistemi		172796 (1940) BlaY0
»

Nova resna ranljivost v Linux sistemih

Oddelek: Novice / Varnost		103564 (2629) dr.J
»

S popravki bogat torek

Oddelek: Novice / Varnost		4611174 (8701) MrStein
»

Še ena ranljivost v Linux jedru

Oddelek: Novice / Varnost		284245 (3186) fiction
»

Posodabljanje Linux jedra brez ponovnega zagona računalnika (strani: 1 2 )

Oddelek: Novice / Ostala programska oprema		978578 (6106) ABX

Več podobnih tem