kpatch no RHEL — patchear CVEs de kernel sem o reboot

Live kernel patching no RHEL via kpatch é real, suportado pelo vendor, e uma das ferramentas de maior alavancagem do kit do fleet manager de RHEL. Patches chegam em horas após a divulgação de uma CVE. Eles se aplicam em um kernel rodando em segundos. Processos existentes continuam rodando. Sem reboot, sem janela de manutenção, sem briga de agenda com os donos das aplicações.

Este é o workflow do kpatch que rodamos em cada host RHEL gerenciado que assina o live patching.

Aplicando um kpatch

# Habilitar o repo do kpatch (kernel-live)
subscription-manager repos --enable=rhel-10-for-x86_64-kernel-live-patching-rpms
yum install -y kpatch
 
# Assinar o stream de patches do kernel rodando
kpatch-dnf manual /usr/bin/kpatch-dnf install
 
# Verificar
kpatch list
kpatch info <patch-id>

Depois disso, os errata de segurança do kernel rodando chegam como módulos kpatch e se aplicam automaticamente. Seu uname -r continua igual; o kernel em memória está patchado.

O artigo completo cobre:

• O que o kpatch consegue patchear (a maioria das classes de CVE) e o que não consegue (mudanças estruturais)
• O modelo de suporte da Red Hat — patches estão atrelados ao ABI do kernel rodando
• O tempo de vida de 4 semanas do kpatch — você ainda precisa reiniciar para um novo kernel eventualmente
• kpatch em um cluster — coordenar «todo mundo patchado» pela frota
• Comparação com Ubuntu Livepatch (mecanismo similar, lifecycle diferente)
• Os patches que ainda seguramos para o reboot (mudanças em estruturas de dados do kernel, releases maiores)

Implantamos o kpatch em cada host RHEL gerenciado com a assinatura.