Posted inCentos

Vá lỗi Kernel ‘nóng’ trên CentOS Stream 9 với kpatch: Cập nhật bảo mật không cần reboot

CentOS tutorial - IT technology blog
CentOS tutorial - IT technology blog

Nỗi lo mang tên “Maintenance Window” và giải pháp kpatch

Cách đây vài năm, khi mình quản lý cụm server cho một ngân hàng, mỗi lần nhận thông báo lỗ hổng Kernel (CVE) nghiêm trọng là một lần stress. Quy trình hồi đó cực hình lắm: báo khách, lên lịch bảo trì cả tuần, rồi canh đúng 2 giờ sáng dậy chạy dnf updatereboot. Chỉ cần một con web server “ngỏm” không lên sau khi khởi động lại là xác định thức trắng đêm xử lý sự cố.

Với các hệ thống yêu cầu uptime 24/7, reboot chỉ để vá lỗi nhỏ trong Kernel là một sự lãng phí. Nó vừa tốn tài nguyên, vừa tiềm ẩn rủi ro không đáng có. Đó là lý do live patching ra đời. Trên CentOS Stream 9, chúng ta có kpatch. Công cụ này cho phép bạn chèn bản vá thẳng vào Kernel ngay khi hệ thống đang chạy. Từ ngày dùng kpatch cho các node quan trọng, mình bớt được khối việc chân tay và không còn phải thức đêm canh reboot nữa.

kpatch hoạt động như thế nào?

Nói một cách dễ hiểu, kpatch thay thế các hàm (functions) bị lỗi trong Kernel đang chạy bằng các hàm mới đã an toàn hơn. Nó sử dụng cơ chế ftrace để điều hướng các lệnh gọi hàm từ phiên bản cũ sang phiên bản mới. Quá trình này diễn ra chỉ trong vài mili giây, nhanh đến mức ứng dụng đang chạy thậm chí không nhận ra sự thay đổi.

Tại sao bạn nên cân nhắc kpatch cho hệ thống Production?

  • Uptime tuyệt đối: Server vẫn xử lý traffic bình thường, không làm gián đoạn trải nghiệm người dùng.
  • Xử lý lỗ hổng Zero-day: Khi có lỗi như CVE-2024-1086 (lỗi leo thang đặc quyền), bạn có thể vá ngay lập tức thay vì đợi đến cuối tháng.
  • Rollback trong tích tắc: Nếu bản vá gây xung đột, bạn có thể gỡ bỏ ngay mà không cần khởi động lại máy.

Cài đặt kpatch trên CentOS Stream 9

Đầu tiên, hãy kiểm tra phiên bản Kernel hiện tại của bạn. Lưu ý rằng kpatch hoạt động ổn định nhất với các Kernel chính thức từ repository của hệ thống.

uname -r

Kế tiếp, hãy cài đặt bộ công cụ kpatch và plugin cho dnf. Plugin này cực kỳ hữu dụng vì nó giúp dnf tự tìm bản vá phù hợp nhất với phiên bản Kernel bạn đang chạy.

sudo dnf install kpatch kpatch-dnf

Cài xong, bạn hãy kiểm tra trạng thái bằng lệnh:

kpatch list

Nếu danh sách trống thì cũng đừng lo. Đó là chuyện bình thường vì chúng ta chưa nạp bản vá nào vào hệ thống.

Cách tìm và áp dụng bản vá Kernel “sống”

Red Hat và CentOS Stream thường đóng gói các bản vá bảo mật dưới tên gọi bắt đầu bằng kpatch-patch. Để xem có bản vá nào cho máy mình không, bạn dùng lệnh search:

dnf search kpatch-patch

Giả sử server đang chạy Kernel 5.14.0-427.el9.x86_64, bạn có thể để dnf tự động tính toán và cài đặt bản vá tương ứng chỉ với một câu lệnh:

sudo dnf install "kpatch-patch = $(uname -r)"

Kinh nghiệm thực tế: Không phải phiên bản Kernel nào cũng có sẵn bản vá ngay. Thông thường, các bản vá live patching chỉ được phát hành cho các lỗi bảo mật từ mức độ Quan trọng (Important) đến Nguy cấp (Critical).

Xác nhận bản vá đã hoạt động

Sau khi cài package kpatch-patch-..., hệ thống sẽ tự động kích hoạt nó. Bạn nên kiểm tra lại cho chắc chắn:

sudo kpatch list

Nếu thấy trạng thái báo là loaded, chúc mừng bạn. Lỗ hổng đã được bít mà server chưa hề phải dừng lại một giây nào.

Tự động nạp lại khi khởi động

Dù mục đích chính là tránh reboot, nhưng nếu server phải khởi động lại vì lý do phần cứng, bạn sẽ muốn bản vá được áp dụng ngay lập tức. Hãy đảm bảo service kpatch đã được bật:

sudo systemctl enable --now kpatch

Kiểm tra và giám sát sau khi vá

Làm hệ thống thì không nên “tin mù quáng” vào câu lệnh. Bạn cần kiểm chứng xem bản vá có thực sự ổn định hay không.

1. Soi log hệ thống

Mọi hành động của kpatch đều được lưu trong dmesg. Bạn check nhanh bằng lệnh:

dmesg | grep kpatch

Thấy dòng kpatch: loaded patch ... xuất hiện là yên tâm 99% rồi.

2. Quản lý các module kpatch

Về bản chất, kpatch là một kernel module đặc biệt. Bạn có thể liệt kê chúng bằng lệnh lsmod quen thuộc:

lsmod | grep kpatch

3. Xử lý sự cố (Unload)

Trong trường hợp hiếm hoi bản vá gây lỗi (ví dụ làm tăng load CPU bất thường), bạn có thể gỡ nó ra ngay lập tức:

# Lấy tên bản vá từ kpatch list
sudo kpatch unload kpatch_patch_5_14_0_427

Những lưu ý thực tế khi triển khai live patching

Sau thời gian dài vận hành kpatch, mình có vài lời khuyên cho bạn:

  • Đừng bỏ quên việc nâng cấp Kernel: kpatch chỉ là giải pháp tình thế. Về lâu dài, bạn vẫn nên lên lịch reboot để chạy trên bản Kernel mới hoàn toàn nhằm tận hưởng các cải tiến hiệu năng khác.
  • Luôn thử nghiệm trên Staging: Đừng bao giờ ném bản vá thẳng lên Production. Hãy thử trên một node có cấu hình tương đương để đảm bảo không có xung đột với các ứng dụng đặc thù của bạn.
  • Giới hạn kỹ thuật: kpatch không thể vá được những thay đổi quá sâu về cấu trúc dữ liệu Kernel. Lúc đó, reboot là bắt buộc.
  • Kiểm soát số lượng bản vá: Việc load cùng lúc 5-7 bản vá cho một Kernel có thể khiến hệ thống trở nên phức tạp. Hãy dọn dẹp và cập nhật Kernel mới khi có dịp.

Tóm lại, kpatch là một công cụ cực kỳ hữu dụng trong túi đồ nghề của anh em quản trị Linux. Nó biến những đêm trực căng thẳng thành những buổi tối thảnh thơi. Nếu bạn đang chạy CentOS Stream 9, hãy cài đặt ngay hôm nay để hệ thống của mình chuyên nghiệp hơn.

Share:
Tags: