hotdog

Hotdog ist eine Reihe von OCI-Hooks, mit denen der Log4j Hot Patch in Container eingefügt wird.

️ Hotdog steht kurz vor dem Ende seiner Lebensdauer. Seit der Entdeckung von CVE-2021-44228 sind zwanzig Monate vergangen, und wir gehen davon aus, dass die überwiegende Mehrheit der Java-Anwendungen zu diesem Zeitpunkt bereits gepatcht wurde. Uns ist auch keine Verwendung von Hotdog außerhalb von Bottlerocket bekannt, das es nicht mehr verwendet. Daher planen wir, Hotdog bis November 2023 auszumustern. Bitte öffnen Sie ein Problem, wenn Sie davon betroffen sind.

Wenn runc den Container einrichtet, ruft es hotdog-cc-hook auf. hotdog-cc-hook bindet die Hotpatch-Dateien im Dateisystem des Containers unter /dev/shm/.hotdog ein. Nachdem der Hauptcontainerprozess gestartet ist, ruft runc hotdog-poststart-hook auf, der nsenter verwendet, um in die Namespaces des Containers einzutreten und einen hotdog-hotpatch -Prozess abzuzweigen. hotdog-hotpatch wird mehrmals mit abnehmender Häufigkeit (derzeit 1 s, 5 s, 10 s, 30 s) ausgeführt, um JVMs im Container zu erkennen und per Hotpatch zu installieren.

• Hotdog bietet Hotpatching-Unterstützung nur für Java 8, 11, 15 und 17.
• Hotdog läuft nur für kurze Zeit zu Beginn der Lebensdauer eines Containers. Wenn neue Java-Prozesse gestartet werden, nachdem der hotdog-hotpatch -Prozess beendet wurde, werden sie nicht im laufenden Betrieb gepatcht.
• Hotdog patcht nur Prozesse mit dem Namen „Java“. Wenn Ihre Java-Anwendung einen anderen Prozessnamen hat, wird sie von Hotdog nicht gepatcht.
• Hotdog funktioniert am besten, wenn der Container über einen eigenen PID-Namespace verfügt. Wenn Hotdog mit einem Container verwendet wird, der über einen gemeinsam genutzten PID-Namespace verfügt, bleibt der hotdog-hotpatch möglicherweise für kurze Zeit bestehen, nachdem der Container beendet wurde.
• Hotdog injiziert seine Komponenten in /dev/shm/.hotdog im Container. Wenn /dev/shm nicht vorhanden ist (z. B. im Fall von Docker-Containern, die mit --ipc=none gestartet wurden), wird Hotdog nicht in den Container eingefügt und stellt kein Hotpatching bereit.

Hotdog ist standardmäßig in Bottlerocket 1.5.0 enthalten.

Hotpatching kann für Neueinführungen von Bottlerocket aktiviert werden, indem die folgenden Einstellungen in die Benutzerdaten übernommen werden.

[ settings . oci-hooks ]
log4j-hotpatch-enabled = true

Für bestehende Hosts, auf denen die neueste Version von Bottlerocket ausgeführt wird, kann Hotpatching über den API-Client aktiviert werden.

apiclient set oci-hooks.log4j-hotpatch-enabled=true

Das Aktivieren der Einstellung zur Laufzeit hat keine Auswirkungen auf die Ausführung von Containern. Neu gestartete Container werden per Hotpatch aktualisiert.

Um Hotdog zu installieren, müssen Sie die folgenden Dateien an den richtigen Speicherort kopieren und die entsprechende Konfiguration festlegen.

• Kopieren Sie Log4jHotPatch.jar nach /usr/share/hotdog (wenn Sie den Hotpatch aus dem Quellcode erstellen, finden Sie ihn in build/libs )
• Führen Sie make && sudo make install aus, um hotdog-cc-hook und hotdog-poststart-hook in /usr/libexec/hotdog und hotdog-hotpatch in /usr/share/hotdog zu installieren
• Installieren Sie oci-add-hooks
• Konfigurieren Sie oci-add-hooks mit den Hotdog-Hooks, indem Sie den folgenden Inhalt in /etc/hotdog/config.json schreiben:

  {
    "hooks" : {
      "prestart" : [{
        "path" : " /usr/libexec/hotdog/hotdog-cc-hook "
      }],
      "poststart" : [{
        "path" : " /usr/libexec/hotdog/hotdog-poststart-hook "
      }]
    }
  }

• Konfigurieren Sie Docker für die Verwendung der Hooks, indem Sie den folgenden Inhalt in /etc/docker/daemon.json schreiben:

  {
    "runtimes" : {
      "hotdog" : {
        "path" : " oci-add-hooks " ,
        "runtimeArgs" : [
          " --hook-config-path " , " /etc/hotdog/config.json " ,
          " --runtime-path " , " /usr/sbin/runc "
        ]
      }
    }
  }

Um einen Container mit aktiviertem Hotpatching auszuführen, geben Sie docker run --runtime hotdog an. Um die Ausführung mit standardmäßig aktiviertem Hotpatching in allen Containern zu ermöglichen, fügen Sie den folgenden Inhalt zu /etc/docker/daemon.json hinzu:

 "default-runtime": "hotdog"

Wenn Sie hotdog deaktivieren möchten, selbst wenn es standardmäßig aktiviert ist, geben Sie --runtime runc an.

hotdog fügt in jedem Container mehrere Dateien zum Verzeichnis /dev/shm/.hotdog hinzu. Sie finden das Protokoll von hotdog-hotpatch in /dev/shm/hotdog.log .

Weitere Informationen finden Sie unter BEITRAGEN.

Dieses Projekt ist unter der Apache-2.0-Lizenz lizenziert.