الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

نقانق

Hotdog عبارة عن مجموعة من خطافات OCI المستخدمة لحقن Log4j Hot Patch في الحاويات.

الهوت دوج قريب جدًا من نهاية عمره. لقد مر عشرون شهرًا منذ اكتشاف CVE-2021-44228، ونتوقع أن يتم تصحيح الغالبية العظمى من تطبيقات Java بحلول هذا الوقت. كما أننا لسنا على علم بأي استخدام لـ Hotdog خارج شركة Bottlerocket، التي لم تعد تستخدمها. لذلك، نخطط لنهاية عمر الهوت دوج بحلول نوفمبر 2023. يرجى فتح مشكلة إذا كان هذا يؤثر عليك.

كيف يعمل

عندما يقوم runc بإعداد الحاوية، فإنه يستدعي hotdog-cc-hook . يقوم hotdog-cc-hook bind بتركيب ملفات hotpatch في نظام ملفات الحاوية على /dev/shm/.hotdog . بعد بدء عملية الحاوية الرئيسية، يستدعي runc hotdog-poststart-hook ، والذي يستخدم nsenter للدخول إلى مساحات أسماء الحاوية وإيقاف عملية hotdog-hotpatch . يتم تشغيل hotdog-hotpatch عدة مرات بتردد متناقص (حاليًا 1 ثانية، 5 ثوانٍ، 10 ثوانٍ، 30 ثانية) لاكتشاف JVMs وتصحيحها داخل الحاوية.

القيود

  • يوفر Hotdog فقط دعم التصحيح السريع لـ Java 8 و11 و15 و17.
  • يتم تشغيل الهوت دوج لفترة قصيرة فقط في بداية عمر الحاوية. إذا بدأت عمليات Java جديدة بعد انتهاء عملية hotdog-hotpatch ، فلن يتم تصحيحها بشكل سريع.
  • يتم تصحيح عمليات تصحيح Hotdog فقط باسم "Java". إذا كان لتطبيق Java الخاص بك اسم عملية مختلف، فلن يقوم hotdog بتصحيحه.
  • يعمل Hotdog بشكل أفضل عندما تحتوي الحاوية على مساحة اسم معرف معرف (pid) خاصة بها. إذا تم استخدام hotdog مع حاوية تحتوي على مساحة اسم pid مشتركة، فقد يبقى hotdog-hotpatch لفترة قصيرة بعد خروج الحاوية.
  • يقوم Hotdog بحقن مكوناته في /dev/shm/.hotdog داخل الحاوية. إذا لم يكن /dev/shm موجودًا (كما في حالة حاويات Docker التي تم إطلاقها باستخدام --ipc=none )، فلن يتم حقن hotdog في الحاوية ولن يوفر التصحيح السريع.

تثبيت

صاروخ الزجاجة

يتم تضمين Hotdog افتراضيًا في Bottlerocket 1.5.0.

يمكن تمكين Hotpatching لعمليات الإطلاق الجديدة لـ Bottlerocket من خلال تضمين الإعدادات التالية في بيانات المستخدم. 

[ settings . oci-hooks ]
log4j-hotpatch-enabled = true

بالنسبة للمضيفين الحاليين الذين يستخدمون أحدث إصدار من Bottlerocket، يمكن تمكين التصحيح السريع باستخدام عميل API. 

apiclient set oci-hooks.log4j-hotpatch-enabled=true

تمكين الإعداد في وقت التشغيل ليس له أي تأثير على تشغيل الحاويات. سيتم تصحيح الحاويات التي تم إطلاقها حديثًا.

توزيعات لينكس أخرى

لتثبيت Hotdog، تحتاج إلى نسخ الملفات التالية إلى الموقع الصحيح وتعيين التكوين المناسب.

  • انسخ Log4jHotPatch.jar إلى /usr/share/hotdog (إذا قمت بإنشاء التصحيح السريع من المصدر، فستجده في build/libs )
  • قم بتشغيل make && sudo make install لتثبيت hotdog-cc-hook و hotdog-poststart-hook على /usr/libexec/hotdog و hotdog-hotpatch على /usr/share/hotdog
  • قم بتثبيت oci-add-hooks
  • قم بتكوين oci-add-hooks باستخدام خطافات hotdog عن طريق كتابة المحتويات التالية إلى /etc/hotdog/config.json : 
    {
  "hooks" : {
    "prestart" : [{
      "path" : " /usr/libexec/hotdog/hotdog-cc-hook "
    }],
    "poststart" : [{
      "path" : " /usr/libexec/hotdog/hotdog-poststart-hook "
    }]
  }
}
  • قم بتكوين Docker لاستخدام الخطافات عن طريق كتابة المحتويات التالية في /etc/docker/daemon.json : 
    {
  "runtimes" : {
    "hotdog" : {
      "path" : " oci-add-hooks " ,
      "runtimeArgs" : [
        " --hook-config-path " , " /etc/hotdog/config.json " ,
        " --runtime-path " , " /usr/sbin/runc "
      ]
    }
  }
}

لتشغيل حاوية مع تمكين التصحيح السريع، حدد docker run --runtime hotdog . للتشغيل مع تمكين التصحيح السريع افتراضيًا في جميع الحاويات، أضف المحتويات التالية إلى /etc/docker/daemon.json : 

 "default-runtime": "hotdog"

إذا كنت ترغب في إلغاء الاشتراك في hotdog حتى عندما يتم تمكينه افتراضيًا، فحدد --runtime runc .

استكشاف الأخطاء وإصلاحها

سيضيف hotdog عدة ملفات إلى الدليل /dev/shm/.hotdog في كل حاوية. يمكنك العثور على السجل من hotdog-hotpatch في /dev/shm/hotdog.log .

حماية

انظر المساهمة لمزيد من المعلومات.

رخصة

تم ترخيص هذا المشروع بموجب ترخيص Apache-2.0.

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل