CloudLinux - Блог CloudLinux - Управление KernelCare с помощью Puppet
RSS

Управление KernelCare с помощью кукол

Управление KernelCare с помощью кукол

Автор гостевой книги Christian Reiß

Если вы этого не почувствовали раньше: когда попала Dirty Cow, вы сделали это. Ядро Linux отлично работает, проверено, но также имеет проблемы с безопасностью. В этом случае: права root для всех! И вдобавок этого эта ошибка настолько тривиально проста в использовании (существует несколько доказательств концепции, которые могут легко превратиться в жизнь, рабочий пистолет), которые вам нужно было обновить ваши ядра. На каждом сервере. И перезагрузитесь.

Последняя часть особенно зла, потому что ваша перезагрузка будет замечена вашими клиентами, если вы не используете какую-либо настройку с высокой доступностью. И в мире веб-хостинга это в основном не так. Поэтому каждая перезагрузка - это простои, затраты времени и денег. Кроме того, вы должны своевременно обновлять свои серверы и планировать время простоя соответственно. Но для того, чтобы все это произошло, ваша дистрибутива должна сначала создавать и предоставлять вам обновления. Вы не можете установить несуществующие патчи.

Введите KernelCare.

KernelCare - продукт от людей, которые приносят вам CloudLinux, который решает все перечисленные выше проблемы. Он состоит из модуля ядра, который загружает дополнительные патчи ядра для вашей версии ядра и применяет их в режиме реального времени. Демон проверяет доступные обновления каждые 4 часов (через cron), а исправления становятся доступными невероятно быстро. Чтобы подобрать вышеупомянутый пример Dirty Cow, вот их диаграмма реакции инцидента, Подводя итог: вы на несколько дней вперед. В ситуации, когда удаленные корневые эксплойты - это вещь, дни могут убить вас.

Давайте скорее убить ошибки.

Согласно их официальной документации, правильный способ установки KernelCare:

rpm -i https://downloads.kernelcare.com/kernelcare-latest.x86_64.rpm / usr / bin / kcarectl --register KEY

Только с двумя командами на сервер и с некоторыми поставками ключей вы можете вставать и работать, не требуется перезагрузка. Чего ждать? Ручной труд? На сервер? Я думаю, что сотни серверов для исправления и обслуживания, ручное «что-то» - это не вещь.

Давайте скорее уничтожим ошибки со стилем.

Введите Pupppet

Когда ваша компания (или проект хобби) достигает определенного размера, вопрос о настройке серверов вручную невозможен. Вы хотите полностью автоматизированную конфигурацию и управление пакетами. Это где кукольный приходит: вы описываете, как должны быть ваши серверы, и марионетка. Кукольный это очень большая часть программного обеспечения, которое «легко учиться, трудно освоить». И для всего, что вы хотите, вам нужен марионеточный модуль. И KernelCare просто кричит за одного.

Предостережение

В этот момент вы знаете, что такое марионетка, и вы используете ее. Объяснение этих пунктов выходит за рамки этой статьи и будет взорвать это несоразмерно. Так что, если у вас есть запущенная марионеточная установка ...

... продолжить чтение этого блога на alpha-labs.net >>

Бета: обновлено lve-stats2
Бета-версия: CageFS, lve-utils и liblve обновлены

Комментарии

Нет комментариев на форуме. Будьте первым, чтобы оставить свой комментарий
Уже зарегистрирован? ВОЙТИ
гость
Воскресенье, 17 ноября 2019

Защитный код изображение