米CloudLinuxの「KernelCare(カーネルケア)」は、Linuxカーネルへの脆弱性パッチを、OSを再起動することなく適用するソフトである。管理対象のLinuxに、専用のエージェントソフト(KernelCareエージェント)をあらかじめ導入しておくことで、パッチの適用を自動的に、かつ再起動なしで実施する。

KernelCareを使うと、Linuxカーネルへの脆弱性パッチを、Linuxを再起動することなく適用できる
(出所:GDEPソリューションズ)
[画像のクリックで拡大表示]

 仕組みは、オリジナルのカーネルコードを修正版のカーネルコードに置き換えるというもの。修正コードをメモリー上のカーネルアドレス領域に割り当て、実行パスをオリジナルのコードブロックから更新したコードブロックへと切り替える。カーネルを参照しているプロセスをいったん止め、参照するカーネルコードを置き換えてからプロセスを再開する。

 パッチは、コンパイル済みのバイナリファイルとして提供する。KernelCareエージェントは、4時間に1回、KernelCareのパッチサーバーに問い合わせ、修正パッチがあった場合は、ダウンロードして自動適用する。パッチサーバー側では、 Linux脆弱性リストを監視し、サポート対象のカーネルに影響する脆弱性があった場合は、脆弱性パッチを作成して用意する。

 一般に、Linuxカーネルにパッチを適用した場合、パッチを反映した新しいカーネルに置き換えるためには、サーバー(Linuxカーネル)の再起動が必要。このため、稼働中の業務システムを停止させるなど、運用上の負荷が大きい。KernelCareの使用によって、カーネル更新に伴うダウンタイムやパフォーマンスの低下を解消できる。

KernelCareの概要
用途と機能Linuxカーネルへの脆弱性パッチを、OSを再起動することなく適用するソフト
使い方管理対象のLinuxに、あらかじめ専用のエージェントソフト(KernelCareエージェント)を動作させておくことで、パッチの適用を自動的に、なおかつ再起動なしで実施する
仕組みオリジナルのカーネルコードを修正版のカーネルコードに置き換える。修正コードをメモリー上のカーネルアドレス領域に割り当て、実行パスをオリジナルのコードブロックから更新したコードブロックへと切り替える。カーネルを参照しているプロセスをいったん止め、参照するカーネルコードを置き換えてからプロセスを再開する
修正パッチコンパイル済みのバイナリファイルとして提供する。KernelCareエージェントは、4時間に1回、KernelCareのパッチサーバーに問い合わせ、修正パッチがあった場合は、ダウンロードして適用する。パッチサーバー側では、 Linux脆弱性リストを監視し、サポート対象のカーネルに影響する脆弱性があった場合は、脆弱性パッチを作成して用意する
サポート対象のLinux
ディストリビューション
Amazon Linux 1, 2
RHEL 6 and 7
CentOS 6, 6+, 7, 7+, CentOS-Plus, ElRepo
CloudLinux 6, 6H, 7
Debian 7, 8, 9, 8-backports
Oracle Linux RedHat compatible kernels in OL6, 7
Oracle Linux Unbreakable Enterprise kernels in OL6 R3
Ubuntu LTS 14.04, 16.04, 18.04
Proxmox VE 3, 4, 5
RedHat Enterprise Linux 6 and 7
Virtuozzo/OpenVZ 6
Virt-SIG/Xen4CentOS 6 and 7
カスタムのカーネルパッチにも対応
価格(税別)導入数によって異なり、500台以上の場合、サーバー1台あたり年額6000円。無償で使える試用版も用意した
発表日2019年6月24日
提供開始日2019年6月24日
備考発表日/提供開始日と価格は、国内販売代理店であるGDEPソリューションズのもの