こちらの記事『Linuxを再起動することなくカーネルにパッチを当てる「ライブパッチ」の技術的な仕組みと、その種類とは[PR]』がとても面白かったのですが、疑問があったので少し調べてみました。
この記事はPRではありません。また、問題がありましたら削除するので遠慮なくおっしゃってください。
TL;DR
- 起動したままのLinuxにセキュリティパッチを当てる方法として、「テンポラリパッチング」と「パーシステントパッチング」がある
- テンポラリパッチングは、セキュリティパッチを迅速に当てられるが、どうしても内部メモリがごちゃごちゃしてきてしまうので、しばらくしたら再起動が必要
- パーシステントパッチングは、いくつかのアップデートをまとめたライブパッチであり、セキュリティ的にテンポラリパッチングには劣るが、再起動の頻度が圧倒的に下がる
まずは記事のおさらい
普通に記事を読んでいただきたいのですが、Linuxのライブパッチに関する責任を負ってくれる会社のPR記事です。
ライブパッチというのは、Linuxのアップデートの際に再起動を必要としないパッチ当ての技術のことです。
これ以上の情報は、記事に委ねます。
技術的に細かいLinuxの知識が必要ですし、会社が普通の開発に力を注ぐためには、アップデートは専門家に任せた方がいいと感じました。
テンポラリパッチングについて
サーバ稼働しているサービスは、あまりダウンタイムを作りたくないですよね。そこで、「内容をメモリに読み込んで」「見る番地を切り変えて」「パッチを瞬時に適用して」「永続的な環境にパッチの内容を書き込む」という方法で、再起動させずにパッチを適用させます(と理解しましたが、、)
こちらやべーセキュリティパッチを再起動なしで当てられる方法です。ですが、こういうことを繰り返しているとどんなサーバでもメモリがごっちゃになってしまいます。なので、何かのタイミングで再起動が必要です。
パーシステントパッチングについて
やべーセキュリティパッチはすぐに当てないといけないですが、そこそこのアップデートをまとめて適用することで、メモリをあんまりごちゃごちゃさせずとも、稼働させながらパッチをあてることができます。滅多に再起動させなくてもよくなります。
モチベーション
PR記事は「パーシステントパッチング最高!!」という記事でしたが、テンポラリパッチングはどうして存在しているんだろう?と気になったので、調べてみました。
おわりに
やべーセキュリティリスクに晒されているサーバはあります。こちら、そのへんの兼ね合いでどちらのパッチングを採用するかみたらいいと思います。
サービスとしては、ダウンタイム、メンテナンスは少ないに越したことはないです。あと、安全性も見ていったらいいかなと思います。今、誰も悪くないコンピュータのトラブルにおける、ユーザのお気持ちが辛いことありますから。。。