Hot patches

Ok, agrego algo que parece relacionado con el sexo en el título, una foto engañosa y ya tengo su atención ¿no?. Bueno, lamento desilusionarlos, pero no se trata de eso.
Hot patches

La semana pasada, me crucé en twitter con el Ksplice . Un producto/servicio que permite aplicar parches de seguridad al kernel de linux sin rebootear el equipo.

La información que aparece a primera vista en el sitio es un poco muy marketinera (bueno, al nivel de márketing que se puede llegar si estamos hablando del kernel de un sistema operativo y no de una aplicación para usuarios finales), pero, por suerte, navegando un poco se encuentra fácilmente un paper presentado en 2009 en una conferencia de la ACM/SIGOPS (que todavía estoy leyendo).

Si bien Ksplice cuesta entre US$3 y US$4 por server por mes, para las versiones desktop de Ubuntu y para Fedora, el servicio es gratuito, así que lo instalé en mi Ubuntu Desktop.

Se instaló un “chequeador de updates” (en python) que corre una vez al día via cron, un daemon “Ksplice Uptrack Manager” que interactúa visualmente (en forma similar al “Update Manager” de Ubuntu), un repositorio apt-get para las actualizaciones y algunas cosas más.

Ayer finalmente apareció un update de seguridad en el kernel de mi Ubuntu, el Update Manager lo instaló pero no me pidió rebootear, con lo cual en mi compu seguía corriendo el kernel anterior (con las vulnerabilidades).

Ksplice Uptrack Manager antes de aplicar el updateHoy a la mañana, cuando llegué, el Ksplice Uptarck Manager me avisó que tenía 4 parches de seguridad para aplicarle a mi kernel (los tres nombrados en el Ubuntu Security Notice USN-1023-1 y uno más) mediante un signo de admiración sobre su iconito en el system tray.

Simplemente apreté el botón Install all updates y los mismos se instalaron sin ningún inconveniente. Ksplice Uptrack Manager antes de aplicar el update

Revisé y el kernel que estaba corriendo era el viejo, sin embargo, el mismo tiene aplicados los parches de seguridad del nuevo kernel.

La próxima vez que rebootee, se cargará automáticamente el nuevo kernel, pero, mientras tanto, funcionalmente, es como si ya estuviera instalado.

Lo seguiré probando algún tiempo, pero tengo la sospecha de que, especialmente para los servidores, vale la pena aún pagar cuatro dólares mensuales por server para no tener que estar rebooteando los mismos cada vez que sale un parche de seguridad para el kernel.