kpatch sur RHEL — patcher les CVE kernel sans le reboot

Le live kernel patching sur RHEL via kpatch est réel, supporté par le vendeur, et l'un des outils à plus haut levier du kit du fleet manager RHEL. Les patchs arrivent dans les heures qui suivent la divulgation d'une CVE. Ils s'appliquent à un kernel qui tourne en secondes. Les processus existants continuent de tourner. Pas de reboot, pas de fenêtre de maintenance, pas de bagarre de planification avec les owners d'applications.

Voici le workflow kpatch que nous faisons tourner sur chaque hôte RHEL managé qui souscrit au live patching.

Appliquer un kpatch

# Activer le repo kpatch (kernel-live)
subscription-manager repos --enable=rhel-10-for-x86_64-kernel-live-patching-rpms
yum install -y kpatch
 
# Souscrire au stream de patch du kernel qui tourne
kpatch-dnf manual /usr/bin/kpatch-dnf install
 
# Vérifier
kpatch list
kpatch info <patch-id>

Après ça, les errata de sécurité pour le kernel qui tourne arrivent comme modules kpatch et s'appliquent automatiquement. Votre uname -r reste le même ; le kernel en mémoire est patché.

L'article complet couvre :

• Ce que kpatch peut patcher (la plupart des classes de CVE) et ce qu'il ne peut pas (changements structurels)
• Le modèle de support Red Hat — les patchs sont liés à l'ABI kernel qui tourne
• La durée de vie de 4 semaines de kpatch — vous devez quand même rebooter vers un nouveau kernel à terme
• kpatch sur un cluster — coordonner « tout le monde est patché » à travers la flotte
• Comparaison avec Ubuntu Livepatch (mécanisme similaire, lifecycle différent)
• Les patchs que nous gardons encore pour le reboot (changements de structures de données kernel, releases majeures)

Nous déployons kpatch sur chaque hôte RHEL managé avec la souscription.