第 22 章 使用内核实时修补程序应用补丁
您可以使用 Red Hat Enterprise Linux 内核实时修补解决方案在不重启或者重启任何进程的情况下对运行的内核进行补丁。
使用这个解决方案,系统管理员需要:
- 可以在内核中立即应用重要的安全补丁。
- 不必等待长时间运行的任务完成、关闭或调度停机时间。
- 可以控制系统的正常运行时间,且不会牺牲安全性和稳定性。
请注意,并非所有关键或重要的 CVE 都使用内核实时补丁解决方案来解决。我们的目标是,在应用安全相关的补丁时,尽量减少重启的需要,但无法完全避免重启。有关实时补丁范围的详情,请参阅 客户门户网站解决方案文章。
警告
内核实时补丁和其它内核子组件之间存在一些不兼容。读
在使用内核实时补丁前,请小心 kpatch 的限制。
注意
有关内核实时补丁更新支持节奏的详情,请参考:
22.1. kpatch 的限制
-
kpatch
功能不是一个通用内核升级机制。它可用于在无法立即重启系统时应用简单的安全性和程序错误修复更新。 -
不要在载入补丁期间或之后使用
SystemTap
或kprobe
工具。在删除此类探测后,补丁可能无法生效。