KernelCare est un outil développé par CloudLinux qui permet d’appliquer les mises à jour de kernel (noyau) Linux sans redémarrer.
Les systèmes d’exploitation à base de GNU Linux (comme Redhat, Debian, CloudLinux, CentOS…) sont très stables. Presque toutes les mises à jour peuvent être installées sans redémarrer. Le seul composant qui nécessitait un redémarrage était le kernel.
Le kernel est le composant logiciel le plus important d’un système d’exploitation. C’est le kernel qui gère toutes les parties du système et quand une faille de sécurité y est découverte il faut appliquer la mise à jour le plus rapidement possible.
Si vous avez déjà un hébergement chez Monarobase, vous avez probablement remarqué que nous ne planifions pas beaucoup de redémarrages. Nous utilisons en effet, depuis de nombreuses années, la technologie Ksplice. Ksplice est le premier logiciel à proposer une mise à jour du kernel sans redémarrage. Ksplice a été acheté par Oracle en 2011. Oracle a décidé en 2011 de conserver les clients existants, mais de refuser de nouveaux clients pour les systèmes concurrents à leur propre système Oracle Linux. De plus, ils ne se sont pas encore prononcés sur le support du nouveau système CloudLinux 7.
En surveillant l’évolution de KernelCare, nous avons remarqué un fonctionnement différent entre KernelCare et Ksplice :
- Ksplice attend généralement une mise à jour de Kernel par l’éditeur du système d’exploitation pour appliquer les mises à jour de sécurité.
- KernelCare applique les mises à jour de sécurité généralement avant la mise à jour du kernel par l’éditeur du système d’exploitation.
Cette différence vient du fait que CloudLinux est à la fois l’éditeur de son système d’exploitation et du service de mise à jour de Kernel. Lorsqu’une faille est détectée, ils appliquent d’abord le correctif avec KernelCare puis l’ajoutent au prochain kernel qui passe ensuite par une phase de test avant de sortir en version stable.
Pour avoir des mises à jour plus réactives et d’éventuels correctifs de bugs appliqués le plus rapidement possible, nous avons donc remplacé Ksplice par KernelCare.
Nos serveurs sont donc désormais sécurisés avant la sortie d’une mise à jour de sécurité.