kpatch auf RHEL — Kernel-CVEs patchen ohne den Reboot

Live-Kernel-Patching auf RHEL via kpatch ist real, vom Vendor supportet, und eines der hebelstärksten Werkzeuge im Kit des RHEL-Flotten-Managers. Patches kommen innerhalb von Stunden nach einer CVE-Offenlegung. Sie wenden sich in Sekunden auf einen laufenden Kernel an. Bestehende Prozesse laufen weiter. Kein Reboot, kein Wartungsfenster, kein Scheduling-Streit mit den Anwendungs-Ownern.

Dies ist der kpatch-Workflow, den wir auf jedem gemanagten RHEL-Host fahren, der Live-Patching abonniert.

Einen kpatch anwenden

# Das kpatch-Repo aktivieren (kernel-live)
subscription-manager repos --enable=rhel-10-for-x86_64-kernel-live-patching-rpms
yum install -y kpatch
 
# Den Patch-Stream des laufenden Kernels abonnieren
kpatch-dnf manual /usr/bin/kpatch-dnf install
 
# Verifizieren
kpatch list
kpatch info <patch-id>

Danach kommen Security-Errata für den laufenden Kernel als kpatch-Module und wenden sich automatisch an. Ihr uname -r bleibt gleich; der In-Memory-Kernel ist gepatcht.

Der vollständige Beitrag behandelt:

• Was kpatch patchen kann (die meisten CVE-Klassen) und was nicht (strukturelle Änderungen)
• Das Red-Hat-Support-Modell — Patches sind an die ABI des laufenden Kernels gebunden
• Die 4-wöchige kpatch-Lebensdauer — Sie müssen irgendwann trotzdem auf einen neuen Kernel rebooten
• kpatch auf einem Cluster — „alle sind gepatcht" über die Flotte koordinieren
• Vergleich mit Ubuntu Livepatch (ähnlicher Mechanismus, anderer Lifecycle)
• Die Patches, die wir immer noch für den Reboot zurückhalten (Kernel-Datenstruktur-Änderungen, Major-Releases)

Wir deployen kpatch auf jedem gemanagten RHEL-Host mit der Subscription.