[新製品・サービス]

2019年6月24日(月)日川 佳三（IT Leaders編集部）

リスト

　KernelCareは、Linuxカーネルへの脆弱性パッチを、Linuxを再起動することなく適用するソフトである（図1）。管理対象のLinuxサーバー側に、あらかじめ専用のエージェントソフト（KernelCareエージェント）をインストールして動作させておくことで、パッチの適用を自動的に、なおかつ再起動なしで適用する。

図1：KernelCareを使うと、Linuxカーネルへの脆弱性パッチを、Linuxを再起動することなく適用できる（出典：GDEPソリューションズ）
拡大画像表示

　仕組みとして、オリジナルのカーネルコードから修正版のカーネルコードへと実際に置き換える（図2）。修正コードをメモリー上のカーネルアドレススペースに割り当て、オリジナルのカーネルコードとデータへの参照を修正し、実行パスをオリジナルのコードブロックから更新したコードブロックへと切り替える。カーネルを参照しているプロセスをいったんフリーズさせ、参照するカーネルコードを置き換えてからプロセスを再開する。

図2：KernelCareでは実際に、メモリー上で参照するカーネルコードを、修正コードへと置き換える（出典：GDEPソリューションズ）
拡大画像表示

　パッチの適用は、自動で行う。KernelCareエージェントは、4時間に1回、KernelCareのパッチサーバーに問い合わせ、更新パッチがあった場合はダウンロードして適用する。パッチは、コンパイル済みのバイナリファイルとして提供する。パッチサーバー側では、セキュリティチームが Linux脆弱性リストを監視し、サポート対象のカーネルに影響する脆弱性を感知すると、すぐに脆弱性パッチを作成する。

　一般的に、Linuxカーネルにパッチを適用した場合、パッチを反映した新しいカーネルに置き換えてOSを起動するために、サーバー（Linuxカーネル）の再起動
が必要になる。このため、パッチの反映作業は、稼働中の業務システムを停止させる必要が生じてしまうなど、運用管理上の負荷が大きい。KernelCareを適用することで、元のカーネルを修正する間隔を長くできるので、運用負荷が減る。

　サポート対象のLinuxディストリビューションは、以下の通り。

• Amazon Linux 1, 2
• RHEL 6 and 7
• CentOS 6, 6+, 7, 7+, CentOS-Plus, ElRepo
• CloudLinux 6, 6H, 7
• Debian 7, 8, 9, 8-backports
• Oracle Linux RedHat compatible kernels in OL6, 7
• Oracle Linux Unbreakable Enterprise kernels in OL6 R3
• Ubuntu LTS 14.04, 16.04, 18.04
• Proxmox VE 3, 4, 5
• RedHat Enterprise Linux 6 and 7
• Virtuozzo/OpenVZ 6
• Virt-SIG/Xen4CentOS 6 and 7
• カスタムのカーネルパッチにも対応