永不停機的 Linux 解決方案 Ksplice (二)

在「永不停機的 Linux 解決方案 Ksplice (一)」介紹了Ksplice 的基本原理及取得方法,本篇將介紹實際使用的具體步驟,以及使用上的常見問題。

在 ULN 使用 Ksplice

先示範付費用戶如何使用 Ksplice。筆者使用的是 Oracle Linux 6.2 x86_64,作業系統的核心是 2.6.32-220(圖 6)。註冊 Oracle 網站帳號並獲得了 Oracle 的支援憑據 Customer Support Identifier (CSI),執行以下命令後將出現歡迎頁面(圖 7)。

圖6:用於實驗的Oracle Linux 6.2。
圖6:用於實驗的Oracle Linux 6.2。

 

圖7:ULN 註冊歡迎頁面。
圖7:ULN 註冊歡迎頁面。

uln_register [Enter]

按照要求填入 Oracle 帳號、密碼以及 CSI 號碼(圖 8)。

圖8:註冊要求輸入帳號、密碼以及 CSI。
圖8:註冊要求輸入帳號、密碼以及 CSI。

在下一步填入伺服器的配置資訊 (Profile Name) 包括系統所安裝的軟體和版本清單,然後該配置資訊就會被自動上傳到 ULN 去。這個概念和步驟基本上和 RHEL 系統註冊到 RHN 是一樣的,唯一的區別在於 Oracle 這裡多了一個 CSI 而已(圖 9 及圖 10)。註冊完成之後,輔助說明會告知該伺服機已經綁定了 Oracle Linux 6 以及 UEK 兩個軟體頻道(圖 11)。

圖9:上傳 Profile。
圖9:上傳 Profile。

 

圖10:上傳 Profile 完成註冊。
圖10:上傳 Profile 完成註冊。

 

圖11:註冊綁定的 Oracle Linux 軟體頻道。
圖11:註冊綁定的 Oracle Linux 軟體頻道。

用戶登入到 ULN 網站之後,就可以看到剛剛註冊上去的伺服器(圖 12)。點擊註冊上去的系統,在出現的頁面中,可以看到該伺服器所註冊的所有軟體頻道。如果沒有發現 Ksplice 相關頻道的話,可點擊 Manage Subscription(圖 13),手動加入 Ksplice for Oracle Linux 6(x86_64) 並儲存(圖 14)。

圖12:在ULN上可看到註冊的伺服器。
圖12:在ULN上可看到註冊的伺服器。

 

圖13:在ULN上管理軟體頻道。
圖13:在ULN上管理軟體頻道。

 

圖14:手動添加 Ksplice 頻道。
圖14:手動添加 Ksplice 頻道。

完成之後回到伺服器,手動執行以下命令後,將可以看到該系統已經註冊了 Ksplice 的軟體頻道(圖 15)。

圖15:確認 Ksplice 頻道已經加入。
圖15:確認 Ksplice 頻道已經加入。

yum repolist [Enter]

透過上述過程,我們不難看出 Oracle Linux 中套裝軟體管理方式也和 RHEL 一樣,在 ULN 中的作業思路也和 RHN Satellite 中一模一樣。現在原則上我們可以安裝和使用 Ksplice 了,不過 splice 網站還給我們提供了一個很有意思的線上檢測核心漏洞的小工具 Ksplice Inspector。為了更好地看到 Ksplice 效果,在安裝和使用相關套裝軟體之前,不妨先使用它取得當前系統更多的資訊。方法很簡單,首先存取以下頁面。

http://www.ksplice.com/inspector

按照輔助說明,在系統中輸入命令獲取核心版本,然後將輸出再粘貼到該網站的輔助說明框中。此時 Inspector 將自動檢測出當前系統有哪些漏洞、對應的勘誤號,修正檔號等相關資訊。

echo "`uname -s`//`uname -m`//`uname -r`//`uname -v`" [Enter]

我們將得到以下輸出結果。

Linux//x86_64//2.6.32-220.el6.x86_64//#1 SMP Wed Dec 7
10:41:06 EST 2011

將取得的輸出結果貼到 Ksplice Inspector 點擊 Find Updates,便可找到當前版本中所有核心的臭蟲以及相關 CVE 編 號(圖 16)。在裡以一個核心安全性方面的漏洞 CVE-2012-0056 為例說明,在 Red Hat 的 Bugzilla 上,提供了一段針對該漏洞的測試程式碼,我們借助該程式碼,便可以直接看到 Ksplice 效果。

圖16:Ksplice Inspector 介面。
圖16:Ksplice Inspector 介面。

根據 Red Hat 網站的說明,這是對 proc 權限設置不當引發的臭蟲,Red Hat 提供了相應的 RHSA (Red Hat Security Advisor(圖 17)。根據 RHSA 的建議,我們將要升級系統核心到 2.6.32-220.4.1 以上版本,方可有效修復該問題(圖 18)。

圖17:Red Hat 對 CVE-2012-0056 的說明。
圖17:Red Hat 對 CVE-2012-0056 的說明。

 

圖18:需要升級方可有效修復該臭蟲。
圖18:需要升級方可有效修復該臭蟲。

同時在 Red Hat 的 Bugzilla 中搜尋該 CVE(圖 19),可以看到剛才提到的測試程式(圖 20),現在我們將該程式碼下載下來並儲存為 test.c,然後通過編譯器編譯成一個二進位的小程式。如果該程式能夠執行成功,則確認該臭蟲對當前的系統有影響(圖21)。通過上述的作業,可以發現筆者使用的 Oracle Linux 6.2 版本以及 2.6.32-220 核心,對該臭蟲是沒有防護能力的。現在既然系統已經註冊到 Ksplice 頻道,其實線上升級核心只要兩個步驟。

圖19:在 Red Hat 的 Bugzilla 中搜索 CVE。
圖19:在 Red Hat 的 Bugzilla 中搜尋 CVE。

 

圖20:Red Hat Bugzilla 提供的測試程式碼。
圖20:Red Hat Bugzilla 提供的測試程式碼。

 

圖21:使用 Ksplice 前測試程式碼執行效果。
圖21:使用 Ksplice 前測試程式碼執行效果。

yum install uptrac [Enter]

第一步是安裝 Ksplice 工具,這些工具包括升級、安裝、刪除和檢視等命令(圖 22)。第二步在 /etc/uptrack/uptrack.conf 中,指定 Ksplice 的 Access_key(圖 23)。Access_key 是使用 Ksplice 的關鍵,對於購買了 Oracle Linux Premier 服務的使用者來說,只要在 ULN 註冊,就可以在 Systems 標籤中看到該 Key(圖 24),因此需要將該 Access_key 剪貼到 /etc/uptrack/uptrack.conf 中儲存。對於未購買 Oracle Linux 服務的使用者來說,可以通過註冊 Ksplice 網站並獲得期限為 30 天的體驗 Access_key。

圖22:安裝 uptrack 套件。
圖22:安裝 uptrack 套件。

 

圖23:指定 Ksplice 的 Access_key。
圖23:指定 Ksplice 的 Access_key。

 

圖24:在 ULN 上可以看到該 key。
圖24:在 ULN 上可以看到該 key。

第三步是使用命令來安裝核心修正檔。

uptrack-upgrade [Enter]

Ksplice 會檢測系統以及當前版本,並下載符合的修正檔。執行上述命令之後,可看到所有修正檔都有對應的 ID,可以用於針對某一些 CVE 或者臭蟲安裝指定的修正檔。確認後預設所有的修正檔都會被安裝上(圖 25)。當修正檔安裝完成之後,可以看到實際上生效的核心已經是 2.6.32-431,當然這個核心版本要用命令來看。

圖25:使用 uptrack-upgrade 安裝 Ksplice 修正檔。
圖25:使用 uptrack-upgrade 安裝 Ksplice 修正檔。

uptrack-uname -r [Enter]

如果使用之前的「uname -r」看到的仍然是舊的版本號,因為uname 命令一般獲得的是磁碟上的核心資訊。但是不管怎麼樣,當我們再去執行那段測試程式碼,就會發現已經執行不成功了,證明這個臭蟲已經被修復,而在整個的作業過程中系統始終沒有重啟(圖26)。這個時候如果我們將之前 Ksplice Inspector 所提供的命令稍作修改,並將執行結果再粘貼回去做檢查,再次證明所有的臭蟲已經全部被修復(圖 27)。

圖26:修正檔應用成功,系統沒有重啟。
圖26:修正檔應用成功,系統沒有重啟。

 

圖27:重新通過 Inspector 檢測,所有臭蟲被修復。
圖27:重新通過 Inspector 檢測,所有臭蟲被修復。

升級的過程中,大家可能有留意到之前的 CVE-2012-0056 對應的 Ksplice 的修正檔 ID(圖 28),可以通過 uptrack-install 或者 uptrack-remove 命令來安裝或者刪除指定的修正檔。例如要刪除剛才的 CVE-2012-0056 所對應的修正檔,可執行以下命令。

圖28:升級的過程。
圖28:升級的過程。

uptrack-remove sqjq3rmg [Enter]

該修正檔被線上刪除時,再去執行那段測試程式碼,便會發現又能夠執行成功。顯然通過 Ksplice 來線上回退核心修正檔,就是通過這種方式來實現的。不過需要說明的是,執行 uptrackremove 命令時,刪除某些核心修正檔可能會牽涉一大堆的相依關係,一些相關與之有依賴關係的修正檔也可能同時被刪除。此外在 Ksplice 的 uptrack 工具集中,還包括了一些其他有用的命令,如使用 uptrack-show 可以檢視當前系統可安裝,以及已經安裝哪些線上修正檔。

下一篇將會介紹實際使用的具體步驟,以及使用上的常見問題。密切留意。

登記下載試用版 Ksplice,體驗免停機的解決方案
http://ksplice.oracle.com/try/trial

你可能有興趣的內容

One thought on “永不停機的 Linux 解決方案 Ksplice (二)

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *