kpatch en RHEL — parchear CVEs de kernel sin el reboot

El live kernel patching en RHEL vía kpatch es real, soportado por el vendor, y una de las herramientas de mayor apalancamiento del kit del fleet manager de RHEL. Los parches llegan en horas tras la divulgación de una CVE. Se aplican a un kernel corriendo en segundos. Los procesos existentes siguen corriendo. Sin reboot, sin ventana de mantenimiento, sin pelea de planificación con los dueños de aplicación.

Este es el workflow de kpatch que ejecutamos en cada host RHEL gestionado que se suscribe al live patching.

Aplicar un kpatch

# Habilitar el repo de kpatch (kernel-live)
subscription-manager repos --enable=rhel-10-for-x86_64-kernel-live-patching-rpms
yum install -y kpatch
 
# Suscribirse al stream de parches del kernel corriendo
kpatch-dnf manual /usr/bin/kpatch-dnf install
 
# Verificar
kpatch list
kpatch info <patch-id>

Tras esto, los erratas de seguridad para el kernel corriendo llegan como módulos kpatch y se aplican automáticamente. Tu uname -r se mantiene igual; el kernel en memoria está parcheado.

El artículo completo cubre:

• Qué puede parchear kpatch (la mayoría de clases de CVE) y qué no (cambios estructurales)
• El modelo de soporte de Red Hat — los parches están ligados al ABI del kernel corriendo
• La vida de 4 semanas de kpatch — al final tienes que reiniciar a un nuevo kernel
• kpatch en un clúster — coordinar «todos parcheados» a través de la flota
• Comparación con Ubuntu Livepatch (mecanismo similar, ciclo de vida distinto)
• Los parches que aún guardamos para el reboot (cambios en estructuras de datos del kernel, releases mayores)

Desplegamos kpatch en cada host RHEL gestionado con la suscripción.