Global
Japan
Korea
China
Taiwan
Vietnam
Thailand
Portugal
Kembali
2025/04/02
4. Apakah Anda Pernah Menggunakan Ksplice?
Dalam artikel ini, kami akan memperkenalkan Ksplice, salah satu fitur dari Oracle Linux. Ksplice adalah sistem pembaruan langsung yang memungkinkan Anda menerapkan tambalan ke kernel tanpa me-reboot OS. Ini memiliki sejarah lebih dari 10 tahun, dan merupakan fitur luar biasa yang saat ini tidak tertandingi. Namun, bahkan di antara pengguna Oracle Linux, mereka yang menggunakan Ksplice mungkin termasuk minoritas. Jadi, dalam artikel ini, kami bertujuan untuk memperdalam pemahaman Anda tentang Ksplice.
Apa itu Ksplice?
Ksplice adalah fitur yang memungkinkan Anda menerapkan tambalan ke kernel Linux dan beberapa pustaka ruang pengguna tanpa me-reboot OS. Misalnya, jika Anda menginstal kernel yang baru dirilis, Anda masih perlu me-reboot OS untuk mengaktifkannya. Namun, Ksplice memungkinkan Anda mengaktifkan pembaruan terbaru tanpa harus me-reboot.
Dengan kata lain, Anda bisa mendapatkan manfaat berikut dengan Ksplice:
- Meminimalkan waktu henti sistem
- Merespons dengan cepat terhadap kerentanan keamanan
- Meminimalkan waktu penerapan tambalan
Kemampuan untuk mengaktifkan pembaruan tanpa me-reboot adalah fitur yang sangat penting pada “server yang dapat diakses dari luar” dan “host KVM dengan banyak mesin virtual yang berjalan”. Server yang dapat diakses dari luar perlu merespons dengan cepat terhadap kerentanan keamanan. Selain itu, beberapa server virtual berjalan di host KVM. Oleh karena itu, ketika reboot OS diperlukan, berbagai penyesuaian awal diperlukan, dan waktu kerja aktual juga dibutuhkan.
Dengan kata lain, Ksplice adalah fitur yang sangat efektif dalam penggunaan perusahaan, membantu mengurangi biaya operasional dan meningkatkan keamanan.
FAQ Ksplice
Untuk membantu Anda memahami Ksplice dengan cepat, kami akan memberikan gambaran umum berjudul FAQ Ksplice.
OS apa saja yang bisa digunakan dengan Ksplice?
Pada saat ini (September 2022), OS Linux berikut didukung. Ksplice juga mendukung kernel yang kompatibel dengan Red Hat dan kernel Unbreakable Enterprise untuk Oracle Linux.
- Oracle Linux 6
- Oracle Linux 7
- Oracle Linux 8
- Oracle Linux 9
- CentOS dan RHEL 7
- CentOS dan RHEL 8
- Ubuntu 18.04
- Ubuntu 20.04
Selain Intel/AMD (x86_64), ini juga mendukung Arm 64-bit. Namun, hanya mendukung Unbreakable Enterprise Kernel untuk Arm.
Apakah saya memerlukan koneksi internet untuk menggunakan Ksplice?
Ksplice memiliki mode online dan offline. Mode online terhubung ke Unbreakable Linux Network (ULN) yang disediakan oleh Oracle, jadi Anda perlu bisa terhubung ke internet (mungkin melalui proxy internet).
Selain itu, dalam mode offline, Anda bisa menggunakan Ksplice tanpa terhubung ke internet dengan menyiapkan cermin Ksplice. Namun, server yang digunakan sebagai cermin Ksplice harus bisa terhubung ke internet.
Komponen apa saja yang dicakup oleh tambalan langsung Ksplice?
Selain dua kernel berikut, ini mendukung paket ruang pengguna glibc dan openssl. Namun, hanya Oracle Linux yang mendukung paket ruang pengguna.
- Kernel yang kompatibel dengan Red Hat
- Unbreakable Enterprise Kernel
- glibc
- openssl
Apakah ada biaya untuk menggunakan Ksplice?
Untuk menggunakan Ksplice, Anda memerlukan kontrak Dukungan Premier Oracle Linux berbayar. Namun, Ksplice tersedia gratis di Oracle Linux di Oracle Cloud Infrastructure (diatur secara default). Secara khusus, Anda bisa menggunakannya secara gratis di Ubuntu.
Apakah ada program percobaan untuk Ksplice?
Program percobaan 30 hari tersedia. Selain itu, jika Anda ingin mencoba Ksplice dengan mudah, kami merekomendasikan Always Free dari Oracle Cloud Infrastructure. Gambar Oracle Linux sudah diatur dengan Ksplice, jadi Anda bisa langsung menggunakannya.
Apakah ada sistem pembaruan langsung lain seperti Ksplice?
Distribusi Linux lain juga memiliki sistem pembaruan langsung berikut. Namun, semuanya baru disediakan dalam beberapa tahun terakhir, dan belum terbukti performanya.
- Linux berbasis RHEL kpatch
- SUSE KLP
- Layanan Livepatch Ubuntu
Selain itu, di Windows, ada fitur yang disebut Windows hot patch. Namun, ini terbatas pada Windows Server 2022 Datacenter: Edisi Azure.
Mari Mencoba Ksplice
Untuk memahami Ksplice, lebih baik melihat bagaimana cara kerjanya secara nyata. Dalam artikel ini, kami akan menjelaskan menggunakan Oracle Linux 8 dari Oracle Cloud Infrastructure, yang mudah dicoba. Pengaturan dan detailnya akan dijelaskan di artikel berikutnya.
Selain itu, Oracle Linux 7 dan Oracle Linux 9 hampir sama, tetapi mungkin ada sedikit perbedaan tergantung pada versi gambar yang Anda gunakan.
Periksa status pengaturan Ksplice Anda
Untuk menggunakan Ksplice, Anda memerlukan klien Ksplice. Jadi, periksa apakah klien Ksplice sudah terinstal. Jika Anda mencari paket, Anda akan menemukan bahwa paket uptrack (= klien Ksplice) sudah terinstal.
$ rpm -qa | grep -e ksplice -e uptrack | sort
ksplice-release-el8-1.0-4.el8.x86_64
ksplice-uptrack-release-1-5.noarch
uptrack-1.2.75-0.el8.noarchSelanjutnya, periksa file konfigurasi /etc/uptrack/uptrack.conf. Anda bisa menggunakan Ksplice jika file konfigurasi ada dan kunci akses telah dikonfigurasi.
$ grep -v -e '^\s*#' -e '^\s*$' /etc/uptrack/uptrack.conf
[Auth]
accesskey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx(Kunci untuk Ksplice Uptrack diambil dari ULN)
[Network]
https_proxy =
gconf_proxy_lookup = no
[Settings]
install_on_reboot = yes
autoinstall = noPelajari Dasar-dasar Ksplice
Sekarang Anda tahu bahwa Ksplice sudah diatur, kami akan benar-benar menggunakan Ksplice. Karena sebagian besar operasi memerlukan hak akses root, kami akan menggunakan su. Alternatifnya, Anda bisa menambahkan sudo setiap kali.
$ sudo su -Periksa versi kernel
Periksa versi kernel Linux yang sedang diaktifkan saat ini. UEK6 “5.4.17-2136.306.1.3” sedang diaktifkan.
# uname -r
5.4.17-2136.306.1.3.el8uek.x86_64Jika Anda memeriksa versi terbaru dari repositori, itu adalah “5.4.17-2136.310.7.1”. Jadi, Anda bisa melihat bahwa versi baru telah dirilis.
# yum check-update kernel-uek
kernel-uek.x86_64 5.4.17-2136.310.7.1.el8uek ol8_UEKR6Lihat pembaruan
Dalam metode tradisional, kernel diperbarui dan di-reboot sebagai berikut:
# yum update kernel-uek -y
# reboot
Dalam Ksplice, gunakan perintah uptrack-upgrade. Anda bisa melihat pembaruan Ksplice yang dapat diterapkan dengan memasukkan “uptrack-upgrade -n” sebagai berikut. Setiap baris adalah pembaruan terpisah.
# uptrack-upgrade -n
Effective kernel version is 5.4.17-2136.306.1.3.el8uek
The following steps will be taken:
Install [n9kprcm6] Known exploit detection.
Install [qivpmdlu] Known exploit detection for CVE-2019-9213.
Install [50qj7qw1] Known exploit detection for CVE-2017-1000253.
Install [3iw8b16t] Known exploit detection for CVE-2016-5195.
Install [sgxyx32m] Known exploit detection for CVE-2021-27363.
Install [92k7sosn] Known exploit detection for CVE-2021-27364.
★Dihilangkan di bawah iniTerapkan pembaruan
Terapkan semua pembaruan ini. Waktu untuk menerapkannya bervariasi tergantung pada jumlah pembaruan dan spesifikasi mesin, dan kali ini membutuhkan waktu sekitar 1 menit. Poin kunci yang perlu diperhatikan di sini adalah “5.4.17-2136.310.7” di baris terakhir. Karena Ksplice, ini memiliki versi kernel yang sama dengan versi terbaru.
# uptrack-upgrade -y
The following steps will be taken:
Install [n9kprcm6] Known exploit detection.
Install [qivpmdlu] Known exploit detection for CVE-2019-9213.
Install [50qj7qw1] Known exploit detection for CVE-2017-1000253.
Install [3iw8b16t] Known exploit detection for CVE-2016-5195.
★penghilangan
Installing [dad581dd] CVE-2022-2588: Use-after-free in IP Route Classifier.
Your kernel is fully up to date.
Effective kernel version is 5.4.17-2136.310.7.el8uekVersi kernel efektif yang diaktifkan oleh pembaruan Ksplice dapat dilihat dengan perintah uptrack-uname.
# uptrack-uname -r
5.4.17-2136.310.7.el8uek.x86_64uname normal menampilkan versi kernel yang terinstal.
# uname -r
5.4.17-2136.306.1.3.el8uek.x86_64Daftar UEK yang terinstal adalah sebagai berikut. “5.4.17-2136.310.7” terbaru tidak terinstal. Dengan kata lain, hanya pembaruan tambahan Ksplice (tambalan) yang terinstal.
# rpm -q kernel-uek | sort -n
kernel-uek-5.4.17-2102.201.3.el8uek.x86_64
kernel-uek-5.4.17-2136.304.4.1.el8uek.x86_64
kernel-uek-5.4.17-2136.306.1.3.el8uek.x86_64Lihat pembaruan
Pembaruan Ksplice yang Anda terapkan dapat dilihat dengan perintah uptrack-show.
# uptrack-show
Installed updates:
[n9kprcm6] Known exploit detection.
[qivpmdlu] Known exploit detection for CVE-2019-9213.
[50qj7qw1] Known exploit detection for CVE-2017-1000253.
★penghilangan
[fza3q2mo] CVE-2022-2153: Denial-of-service in Kernel-based Virtual Machine.
[4eaq3lov] CVE-2022-21505: Lockdown bypass in Integrity Measurement Architecture.
[dad581dd] CVE-2022-2588: Use-after-free in IP Route Classifier.
Effective kernel version is 5.4.17-2136.310.7.el8uekMenghapus pembaruan
Anda dapat dengan mudah menghapus pembaruan yang diterapkan dengan perintah uptrack-remove.
# uptrack-remove --all -y
The following steps will be taken:
Remove [dad581dd] CVE-2022-2588: Use-after-free in IP Route Classifier.
Remove [4eaq3lov] CVE-2022-21505: Lockdown bypass in Integrity Measurement Architecture.
Remove [jjafy1ef] CVE-2022-29582: Use-after-free in asynchronous io_uring API.
★penghilangan
Removing [qivpmdlu] Known exploit detection for CVE-2019-9213.
Removing [n9kprcm6] Known exploit detection.
Effective kernel version is 5.4.17-2136.306.1.3.el8uekAnda sekarang kembali ke keadaan awal tanpa menerapkan pembaruan Ksplice. Dalam kasus ini, kami telah menerapkan pembaruan secara massal, tetapi Anda juga bisa menerapkannya secara individual dengan menentukan ID-nya.
# uptrack-uname -r
5.4.17-2136.306.1.3.el8uek.x86_64
# uname -r
5.4.17-2136.306.1.3.el8uek.x86_64Sebagai pengingat, Anda tidak akan melihat apa pun saat melihat pembaruan Ksplice yang diterapkan.
# uptrack-show
Installed updates:
None
Effective kernel version is 5.4.17-2136.306.1.3.el8uekKesimpulan
Apakah Anda memahami apa itu Ksplice? Selain itu, kami percaya bahwa ketika Anda benar-benar menggunakannya, Anda akan melihat bahwa itu sangat mudah digunakan. Di artikel berikutnya, kami akan membahas Ksplice secara lebih rinci.