téléchargement hotdog - téléchargement du code source hotdog

hotdog

Autre code source

Télécharger

Hot-dog

Hotdog est un ensemble de hooks OCI utilisés pour injecter le Hot Patch Log4j dans des conteneurs.

️ Hotdog est très proche de la fin de sa vie. Cela fait vingt mois que CVE-2021-44228 a été découvert, et nous prévoyons que la grande majorité des applications Java auront été corrigées d'ici là. Nous n'avons également connaissance d'aucune utilisation de Hotdog en dehors de Bottlerocket, qui ne l'utilise plus. Par conséquent, nous prévoyons de mettre fin à la vie de Hotdog d'ici novembre 2023. Veuillez ouvrir un problème si cela vous affecte.

Comment ça marche

Lorsque runc configure le conteneur, il appelle hotdog-cc-hook . hotdog-cc-hook bind-monte les fichiers hotpatch dans le système de fichiers du conteneur à l' /dev/shm/.hotdog . Une fois le processus du conteneur principal démarré, runc appelle hotdog-poststart-hook , qui utilise nsenter pour entrer dans les espaces de noms du conteneur et lancer un processus hotdog-hotpatch . hotdog-hotpatch s'exécute plusieurs fois avec une fréquence décroissante (actuellement 1 s, 5 s, 10 s, 30 s) pour détecter et patcher à chaud les JVM à l'intérieur du conteneur.

Limites

Hotdog ne fournit que la prise en charge des correctifs à chaud pour Java 8, 11, 15 et 17.
Hotdog ne fonctionne que pendant une courte période au début de la durée de vie d'un conteneur. Si de nouveaux processus Java sont démarrés après la fin du processus hotdog-hotpatch , ils ne seront pas patchés à chaud.
Hotdog ne corrige que les processus nommés « Java ». Si votre application Java porte un nom de processus différent, hotdog ne le corrigera pas.
Hotdog fonctionne mieux lorsque le conteneur possède son propre espace de noms pid. Si hotdog est utilisé avec un conteneur qui a un espace de noms pid partagé, le hotdog-hotpatch peut rester pendant une courte période après la sortie du conteneur.
Hotdog injecte ses composants dans /dev/shm/.hotdog à l'intérieur du conteneur. Si /dev/shm n'existe pas (comme dans le cas des conteneurs Docker lancés avec --ipc=none ), hotdog ne sera pas injecté dans le conteneur et ne fournira pas de hotpatching.

Installation

Fusée en bouteille

Hotdog est inclus par défaut dans Bottlerocket 1.5.0.

Le hotpatching peut être activé pour les nouveaux lancements de Bottlerocket en incluant les paramètres suivants dans les données utilisateur.

[ settings . oci-hooks ]
log4j-hotpatch-enabled = true

Pour les hôtes existants exécutant la dernière version de Bottlerocket, le hotpatching peut être activé à l'aide du client API.

apiclient set oci-hooks.log4j-hotpatch-enabled=true

L'activation du paramètre au moment de l'exécution n'a aucun effet sur l'exécution des conteneurs. Les conteneurs nouvellement lancés seront hotpatchés.

Autres distributions Linux

Pour installer Hotdog, vous devez copier les fichiers suivants au bon emplacement et définir la configuration appropriée.

Copiez Log4jHotPatch.jar dans /usr/share/hotdog (si vous créez le hotpatch à partir des sources, vous le trouverez dans build/libs )
Exécutez make && sudo make install pour installer hotdog-cc-hook et hotdog-poststart-hook dans /usr/libexec/hotdog et hotdog-hotpatch dans /usr/share/hotdog
Installer oci-add-hooks

Configurez oci-add-hooks avec les hooks hotdog en écrivant le contenu suivant dans /etc/hotdog/config.json :

{
  "hooks" : {
    "prestart" : [{
      "path" : " /usr/libexec/hotdog/hotdog-cc-hook "
    }],
    "poststart" : [{
      "path" : " /usr/libexec/hotdog/hotdog-poststart-hook "
    }]
  }
}

Configurez Docker pour utiliser les hooks en écrivant le contenu suivant dans /etc/docker/daemon.json :

{
  "runtimes" : {
    "hotdog" : {
      "path" : " oci-add-hooks " ,
      "runtimeArgs" : [
        " --hook-config-path " , " /etc/hotdog/config.json " ,
        " --runtime-path " , " /usr/sbin/runc "
      ]
    }
  }
}

Pour exécuter un conteneur avec le hotpatching activé, spécifiez docker run --runtime hotdog . Pour exécuter avec le hotpatching activé par défaut dans tous les conteneurs, ajoutez le contenu suivant à /etc/docker/daemon.json :

 "default-runtime": "hotdog"

Si vous souhaitez désactiver hotdog même lorsqu'il est activé par défaut, spécifiez --runtime runc .

Dépannage

hotdog ajoutera plusieurs fichiers au répertoire /dev/shm/.hotdog dans chaque conteneur. Vous pouvez trouver le journal de hotdog-hotpatch dans /dev/shm/hotdog.log .