Для Ubuntu Linux представлен сервис обновления ядра без перезагрузки

>Сюрпризтебе ждет когда ты жымаешь реально кнупку удалить, оно за собой тянет всё! И Гном и вообще все.

apt-get сразу сообщает, что конкретно он будет удалять. Листинги приведены как раз из него.

>эмм.. ssh ?

O_o а гипервизор Пушкин обновлять будет? Или предполагается лестница HVM-доменов: на железе работает ядро версии 1 (условно), на нем в гостевом домене ядро версии 2 (тоже гипервизор), на нем, в свою очередь, в виртуалке ядро версии 3 и т.д...

Чрутаться-то я могу очень долго - при современных размерах винчестеров это не проблема :) А вот HVM-домены друг в друга вкладывать... знаете ли, чревато эмм... некоторой потерей производительности :)

Непонимаю зачем это сделано. Типа критические обновления здесь и сейчас а перегрузим через неделю когда Сервис окно будет? Обычно клиентов патчим раз в 3 месйяца (некоторые знаю делают ето раз в пол года) и лучше уже перегрузится что бы номрально все оттестировать а не так что бы потом после случайного падения сервера вроде бы все поднялось но вот софт пашет через анус.

>Вся новость состоит в том, что некая компания решила _централизованно_ обеспечить конвертацию фиксов в подходящий формат для ksplice.

По-хорошему этим должны дистростроители заниматься. Параллельно с выпуском бинарных и сорцовых пакетов ядра.

> а гипервизор Пушкин обновлять будет?

а его можно и не asap обновлять. а допустим, раз в месяц на maintenance window.

>Ну и троллизм же поднялся в этой ветке.

Троллизм идет в основном из-за того, что кто-то решил почесать свое ЧСВ, обгадив убунту, на том основании, что она по зависимостям много хлама тянет. Как это относится к новости - непонятно. Но что на лоре, что на опеннете новости с тегом ubuntu вызывают массовый хохлосрач. О времена, о нравы.

А за ликбез спасибо. Я, например, никогда раньше про системный вызов ksplice не слышал. Наверное, потому, что на сервере рулит старый добрый kexec, а на десктопе мне проще ребутнуться.

>а его можно и не asap обновлять. а допустим, раз в месяц на maintenance window.

maintenance window... Счастливые два дня раз в полгода, когда сисадмины в респираторах носятся между вскрытых серваков с пылесосами... :)

А то, что внутри гипервизора, как дальше обновлять? Еще одну виртуалку внутрь совать? Мой вопрос был об этом.

> Нда. Его уже кстати в testing взяли. И никто почему-то не орал на форумах "ура-ура, новая фича!". Внимание вопрос: почему?

Ubuntu = Debian + PR, что и требовалось доказать.

>Ubuntu = Debian + PR, что и требовалось доказать.

По моим личным впечатлениям
Ubuntu Desktop = Debian Unstable + PR + glamour
Ubuntu Server = Debian Unstable + 5*PR
:)

Раньше я каждый раз, когда сообщалось об очередном достижении/мега-прорыве в убунте, офигевал от масштаба достигнутых целей и открывающихся возможностей, и трясущимися руками лез читать по ссылкам. Но потом довольно быстро пришло разочарование: практически все новости и прорывы от Canonical оказывались либо бесполезной ерундой, либо столетними боянами, раздутыми до галактического масштаба манагерской болтологией :(

>пруфлинк будет?

Ну дык: http://blogs.windriver.com/parkinson/2006/10/callup_for_linu.html

Да и LynuxWorks свой линукс не просто так выпустила.

>только вот кто будет делать эти самые diffы для безопасности?

А в чем проблема сделать их самому? (не использовал ksplice)

> А то, что внутри гипервизора, как дальше обновлять? Еще одну виртуалку внутрь совать? Мой вопрос был об этом.

нууу.. сходу вот так вижу два варианта -

1. рестарт виртуалки намного более резок чем физическая перезагрузка сервера, т.е. используем классические механизмы апдейтов
2. можно извратнуться на предмет кластеризации двух-трех виртуалок, и апдейтить их по очереди -> downtime == 0.

Только песня была совсем не о том :)

Начали мы с обновления оси без ребута.

>1. рестарт виртуалки намного более резок чем физическая перезагрузка сервера
примерно столь же резок, как и вызов kexec :)

>2. можно извратнуться на предмет кластеризации двух-трех виртуалок, и апдейтить их по очереди -> downtime == 0.
Так це ж классика, батенька. Там, где даунтайм должен быть нулевым, так и делают. Причем не обязательно с виртуалками. Даже скорее обязательно с реальными, включенными в разные сети питания (упсы). А уж на них лежат виртуалки - одна рабочая, и одна-две-три бэкапные - в резерве.

Застрелю в себе дух лоровца и соглашусь полностью:)

>А в чем проблема сделать их самому?

<troll_mode>А среднестатистический пользователь убунты не знает про команду diff :)</troll_mode>

>А среднестатистический пользователь убунты не знает про команду diff :)

Ну так там пользователь генту писал...

>А теперь попробуй удалить system-config-printer. Скажем я хочу конфигурять только через веб морду капса и больше никакое говно мне не надо.

а теперь удали себе глаз, сможешь моск отверткой поковырять и больше никакой линукс тебе не надо

> Итак, камрады, ликбез: ksplice является стандартным системный вызовом ядра уже довольно давно. Он позволяет применять большинство security fix-ов без перезагрузки ядра.

Хреновый ликбез. ksplice это не системный вызов, ядро про ksplice вобще ничего не знает.

ksplice это _юзерспейс_ утилита которой на входе подаются исходники ведра (текущего) и патч на исходники который нужно применить.
На выходе ksplice выплёвывает модуль ведра который потом нужно загрузить. Он соответственно и вносит все изменения которые нёс патч в _запущенном_ ядре.

Заголовок новости нужно трактовать так: "Для Ubuntu Linux представлен сервис/утилита обновления ядра без перезагрузки и без понижения ранлевела в несколько кликов мыши"

Смысл в том, что ksplice.com будет делать за пользователей убунту ksplice-модули-патчи к дистрибутивным ядрам (насколько я понял). А также тестировать эти модули-патчи (надеюсь).

Всё это можно организовать самому на любом дистрибутиве.
Но на бинарном дистре придётся держать исходники ядра и искать [сорцовые] патчи.


Насчёт kexec:
Вещь хорошая, но на десктопе пока смысла использования нет (так как надо всё равно понижать ранлевел до 0). Вот если бы kexec/ядро/etc умело бы безболезненно менять ядро без остановки сервисов, то настал бы долгожданный вендекапец и рай на земле =)

Ну вот, а вы убунту на серверах так ругаете.

> ядро про ksplice вобще ничего не знает.

http://lkml.org/lkml/2008/9/13/19

Выдержки специально для Ъ:

"Date Sat, 13 Sep 2008 01:14:36 -0400"

"These RFC patches add support for Ksplice [1], a rebootless update system, to the kernel. I previously mentioned Ksplice to the LKML a few months ago [2]."

"[1] http://web.mit.edu/ksplice [2] http://lkml.org/lkml/2008/4/23/330"

"The interface between the Ksplice kernel component and the userspace utilities is documented in patch 6/9 of this series."

"kernel/ksplice.c | 1997 ++++++++++++++++++++++++++++++++++++++++"

#!/bin/bash
for i in $(seq 1 100500);
do
   apt-get -y remove ubuntu-desktop
   apt-get -y install ubuntu-desktop
   echo $i" - dunduk loop"
done

http://packages.debian.org/squeeze/ksplice

в debian squeezy уже давно есть пакет

надеюсь убунтоиды оттестят его хорошенько :)

И как оно, нормально работает?

Да ещё и в убунте...

>А gentoo так можно настроить?

Нет, вы, как обычно, в пролете :D

>В общем, обычный пиар без полезного практического выхода. Canonical в своем репертуаре... :(

Надо брать лучшее с майкрософт, а именно маркетинг в данном случае, так что каноникал молодцы.

to mrxrrr

>А версия говно бубунты не 8.04 случаем? Ты в 9.04 удали. $ sudo apt-get remove foo2zjs [sudo] password for ic: Чтение списков пакетов... Готово Построение дерева зависимостей Чтение информации о состоянии... Готово Следующие пакеты устанавливались автоматически и больше не требуются: libcppunit-1.12-1 libaio Для их удаления используйте 'apt-get autoremove'. Пакеты, которые будут УДАЛЕНЫ: foo2zjs обновлено 0, установлено 0 новых пакетов, для удаления отмечено 1 пакетов, и 0 пакетов не обновлено. После данной операции, объём занятого дискового пространства уменьшится на 5738kB. Хотите продолжить [Д/н]? n Аварийное завершение. $ cat /etc/issue Ubuntu 9.04 \n \l

Средний интеллектуальный уровень пользователей Ubuntu оставляет желать лучшего.

Во-первых, неверно, во-вторых, не все же любители постоянно красноглазить, компилить и онанировать на свою систему. По типу "человек для компьютера". Есть обычные пользователи и деловые люди, которым нахер не нужен этот бред, нужно чтобы просто работало из_коробки, что убунта и предоставляет. Остальным же красноглазием на всякие генты занимаются лишь студенты-бездельники, с уймой свободного времени. :D

>> Давно в подводной лодке?

> пруфлинк будет?

http://www.debian.org/News/1997/19970708b http://www.linux.org.ru/view-message.jsp?msgid=33132

ck80@ck80-desktop:~$ sudo uptrack-upgrade -n
[sudo] password for ck80:
Cannot find Ksplice Uptrack information for your kernel version.
Please check that your access key can receive updates for kernel 2.6.30-020630-generic.

С новым ядром не дружит ещё?

Утраиваю, как бывший пользователь убунты :)

Ё моё куда катится мир ...

Ну интересно.Хотя мне лично не нужно.Эта технология скорей для серверов.И вроде такое уже было(не в Убунте,а вобще).

PS.Тролли в треде жгут про "удаление ubuntu-desktop"(^_^)

> Ubuntu Linux стал первым дистрибутивом

Ой ли?

$ yum search kexec ksplice
Loaded plugins: fastestmirror, refresh-packagekit

====================================================================== Matched: kexec =======================================================================
kexec-tools.i386 : Компонент kexec/kdump пользовательского уровня
mkelfimage.i386 : Utility to create ELF boot images from Linux kernel images
petitboot.i386 : Graphical kexec-based bootloader, originally for PlayStation 3
system-config-kdump.noarch : Графический интерфейс для настройки дампов сбоев ядра

===================================================================== Matched: ksplice ======================================================================
fedora-ksplice.i386 : Script Collection for Using KSplice on Fedora Linux
ksplice.i386 : Patching a Linux kernel without reboot

$ cat /etc/issue
Fedora release 10 (Cambridge)
Kernel \r on an \m (\l)

Ну Убунту в своём репертуаре, как всегда показует всем красноглазым американский факел:)

>Ну вот, а вы убунту на серверах так ругаете.

OMG
На протяжении трех страниц комментов мы выясняли и таки выяснили, что
1. Этому бояну сто лет в обед, и он поддерживается на уровне ядра. Слово "убунта" засветилось здесь только потому, что какие-то люди открыли основанный на этой функции сервис для хомячков.
2. Эта штуковина опасна и поэтому нафиг не нужна на серверах, да и на десктопах применяется разве что в порядке выпендрежа.

Каменные и бетонные стены в ужасе разбегаются перед твердыми лбами некоторых убунтоводов... :D

>Средний интеллектуальный уровень пользователей Ubuntu оставляет желать лучшего.

Да. Так оно и есть. Что на форумах, что в списках рассылки, что в реальной жизни. Такое впечатление, что убунту ставят себе только гламурные блондинки, ниасилившие Висту. Ну еще нубы, которые по мере роста навыков работы с ПК перебираются на другие дистры.

>Во-первых, неверно, во-вторых, не все же любители постоянно красноглазить, компилить и онанировать на свою систему. По типу "человек для компьютера".

Да. Такие люди убунту себе не поставят. Да. Таки IQ у них не меньше 120. Но их на самом деле - меньшинство. На форумах кричат громко, но в реале погоды не делают.

>Есть обычные пользователи и деловые люди, которым нахер не нужен этот бред, нужно чтобы просто работало

По моим наблюдениям, такие люди обычно сидят на Дебиане :)

>из_коробки
лол
Если человека интересует, чтобы все работало из_коробки - значит, ему регулярно приходится ставить систему. Отбросим редкий вариант часто меняющихся компов. Что остается? Либо этот человек в силу своих кривых рук регулярно убивает свою систему, либо она сама дохнет при обновлении. В любом случае для системы вывод нелестный. Так что называя "работает из_коробки" в числе основных достоинств системы, вы нехило ее обгаживаете.

Историческая справка для тех, кто никогда не видел ничего, кроме убунты, и считает, что весь остальной линух сводится к страшнющщей красноглзющщей Генте: большинство современных дистрибутивов работают из_коробки. Но только для убунты это свойство регулярно приводится в числе основных достоинств.

>За месяц обычно утекает столько, что появляется желание бутнуться.

просто вы не правильно эту память готовите - у нормальных людей ничего ниоткуда не течет.

>Ну Убунту в своём репертуаре, как всегда показует всем красноглазым американский факел:)

Учимся читать комменты и ходить по ссылкам: ksplice - стандартная фича линуха. Убунта выделяется только наличием некоего сервиса "ksplice для блондинок". Все на своих местах.

А про факел не надо тут. Знаем мы эту "свободную и миролюбивую" державу.

>просто вы не правильно эту память готовите - у нормальных людей ничего ниоткуда не течет.

Делая такие заявления, пожалуйста, конкретизируйте софт и прочие "условия эксперимента". А то получается бессодержательно и неинтересно.

>Но вот на спутниках и автономных буях в океане...

стоит 2.4 и обновления безопасности не так уж и важны.

>Самым брутальным будет третье - удаление ядра ;)

если за этим не последует init 6 - ничего страшного в этом не вижу.

Помимо init 6, на некоторых десктопных машинах бывают сбои питания :)

Так вроде год назад писали про наложение патчей на лету.

> http://www.debian.org/News/1997/19970708b http://www.linux.org.ru/view-message.jsp?msgid=33132

не путай "управляет аппаратом или его механизмами" и "находится там на какой-то экспериментальной фигне, которая может заработает а может и нет. а если сдохнет - то и фиг с ней".

>Выдержки специально для Ъ:

Спасибо, не знал. Однако,

The Ksplice userspace utilities transparently support both "integrated" operation (updating a kernel patched with this patch series) and "standalone" operation (updating a completely unmodified kernel)

Лично у меня в почти ванильном ядре(2.6.29) никаких упоминаний о ksplice вобще нету, однако юзер-спейс утилиты ksplice работают (по крайней мере на хеллоу-ворде)

Насколько я понимаю у ksplice в таком режиме(ядро без поддержки ksplice) ограничена свобода действий и только после тех патчей он сможет работать в полную силу?

таки у вас три раза в день выключают питание?

Таки да. Но я уже давно купил упсу :)

>Надо брать лучшее с майкрософт, а именно маркетинг в данном случае, так что каноникал молодцы.

If you can't make it good, at least make it look good (c) Bill Gates

Имхо те, кто берет такой пример с M$, не молодцы, а кое-что другое на букву м. И это еще мягко сказано.

> "standalone" operation (updating a completely unmodified kernel)

Допустим, у нас есть модуль ядра, в котором нашли уязвимость в одной из функций. В этом случае ksplice качает фикс и делает ещё один модуль, который содержит исправленный вариант функции, который потом загружается в ядро. Таким образом, в этот момент в ядре появляется 2 функции, делающие одно и то же (глючный оригинал и пофиксенная версия). На мой взгляд, вызов ksplice как раз и нужен, чтобы "сказать" ядру какую из функций использовать.

Думаю, что это можно некоторым образом обойти (вынуть и вставить обратно поражённый модуль), но не уверен.

Для меня ksplice выглядел (и выглядит) скорее proof of concept, чем нечто реально нужное ("а мы и без микроядра поправим нужную функцию!"). Поэтому я ограничился только чтением нескольких описаний о том, как оно работает, в сам код не лазил. Так что играть в испорченный телефон не хотелось бы.

> вызов ksplice

*в ядре

Спать пора, однако.

а у мена ваще не как у всех

absolute@absolute-desktop:~$ sudo aptitude remove foo2zjs [sudo] password for absolute: Чтение списков пакетов... Готово Построение дерева зависимостей Чтение информации о состоянии... Готово Инициализация состояний пакетов... Готово Запись информации расширенных состояний... Готово Следующие пакеты будут УДАЛЕНЫ: foo2zjs libgtkglext1{u} libqt4-core{u} libsdl-sound1.2{u} xdotool{u} 0 пакетов обновлено, 0 установлено новых, 5 пакетов отмечено для удаления, и 1 пакетов не обновлено. Необходимо получить 0Б архивов. После распаковки освободится 6562kБ. Хотите продолжить? [Y/n/?] n Останов. absolute@absolute-desktop:~$ uname -a Linux absolute-desktop 2.6.30-020630-generic #020630 SMP Wed Jun 10 09:45:40 UTC 2009 i686 GNU/Linux absolute@absolute-desktop:~$