Unduhan hotdog - pengunduhan kode sumber hotdog

hotdog

Kode sumber lainnya

Unduh

anjing panas

Hotdog adalah seperangkat kait OCI yang digunakan untuk memasukkan Hot Patch Log4j ke dalam wadah.

️ Hotdog sudah sangat dekat dengan akhir hayatnya. Sudah dua puluh bulan sejak CVE-2021-44228 ditemukan, dan kami berharap sebagian besar aplikasi Java telah di-patch pada saat ini. Kami juga tidak mengetahui adanya penggunaan Hotdog di luar Bottlerocket, yang tidak lagi menggunakannya. Oleh karena itu, kami berencana untuk mengakhiri masa pakai Hotdog pada bulan November 2023. Silakan buka terbitan jika hal ini memengaruhi Anda.

Bagaimana cara kerjanya

Saat runc menyiapkan container, ia akan memanggil hotdog-cc-hook . hotdog-cc-hook bind-mount file hotpatch ke dalam sistem file container di /dev/shm/.hotdog . Setelah proses penampung utama dimulai, runc memanggil hotdog-poststart-hook , yang menggunakan nsenter untuk memasukkan ruang nama penampung dan menghentikan proses hotdog-hotpatch . hotdog-hotpatch dijalankan beberapa kali dengan frekuensi yang menurun (saat ini 1 detik, 5 detik, 10 detik, 30 detik) untuk mendeteksi dan melakukan hotpatch JVM di dalam container.

Keterbatasan

Hotdog hanya menyediakan dukungan hotpatching untuk Java 8, 11, 15, dan 17.
Hotdog hanya berjalan dalam waktu singkat pada awal masa pakai kontainer. Jika proses Java baru dimulai setelah proses hotdog-hotpatch keluar, proses tersebut tidak akan di-hot patch.
Hotdog hanya menambal proses bernama "java". Jika aplikasi Java Anda memiliki nama proses yang berbeda, hotdog tidak akan menambalnya.
Hotdog berfungsi paling baik jika container memiliki namespace pidnya sendiri. Jika hotdog digunakan dengan kontainer yang memiliki namespace pid bersama, hotdog-hotpatch mungkin tetap ada untuk waktu yang singkat setelah kontainer keluar.
Hotdog menyuntikkan komponennya ke /dev/shm/.hotdog di dalam wadah. Jika /dev/shm tidak ada (seperti dalam kasus container Docker yang diluncurkan dengan --ipc=none ), hotdog tidak akan dimasukkan ke dalam container dan tidak akan menyediakan hotpatching.

Instalasi

Roket botol

Hotdog disertakan secara default di Bottlerocket 1.5.0.

Hotpatching dapat diaktifkan untuk peluncuran baru Bottlerocket dengan memasukkan pengaturan berikut dalam data pengguna.

[ settings . oci-hooks ]
log4j-hotpatch-enabled = true

Untuk host lama yang menjalankan Bottlerocket versi terbaru, hotpatching dapat diaktifkan menggunakan klien API.

apiclient set oci-hooks.log4j-hotpatch-enabled=true

Mengaktifkan pengaturan saat runtime tidak berpengaruh pada container yang sedang berjalan. Kontainer yang baru diluncurkan akan di-hotpatch.

Distribusi Linux lainnya

Untuk menginstal Hotdog, Anda perlu menyalin file berikut ke lokasi yang tepat dan mengatur konfigurasi yang sesuai.

Salin Log4jHotPatch.jar ke /usr/share/hotdog (jika Anda membuat hotpatch dari sumber, Anda akan menemukannya di build/libs )
Jalankan make && sudo make install untuk menginstal hotdog-cc-hook dan hotdog-poststart-hook ke /usr/libexec/hotdog dan hotdog-hotpatch ke /usr/share/hotdog
Instal oci-add-hooks

Konfigurasikan oci-add-hooks dengan hotdog hooks dengan menulis konten berikut ke /etc/hotdog/config.json :

{
  "hooks" : {
    "prestart" : [{
      "path" : " /usr/libexec/hotdog/hotdog-cc-hook "
    }],
    "poststart" : [{
      "path" : " /usr/libexec/hotdog/hotdog-poststart-hook "
    }]
  }
}

Konfigurasikan Docker untuk menggunakan hooks dengan menulis konten berikut ke /etc/docker/daemon.json :

{
  "runtimes" : {
    "hotdog" : {
      "path" : " oci-add-hooks " ,
      "runtimeArgs" : [
        " --hook-config-path " , " /etc/hotdog/config.json " ,
        " --runtime-path " , " /usr/sbin/runc "
      ]
    }
  }
}

Untuk menjalankan container dengan hotpatching diaktifkan, tentukan docker run --runtime hotdog . Untuk menjalankan dengan hotpatching yang diaktifkan secara default di semua container, tambahkan konten berikut ke /etc/docker/daemon.json :

 "default-runtime": "hotdog"

Jika Anda ingin tidak ikut serta dalam hotdog meskipun diaktifkan secara default, tentukan --runtime runc .

Pemecahan masalah

hotdog akan menambahkan beberapa file ke direktori /dev/shm/.hotdog di setiap container. Anda dapat menemukan log dari hotdog-hotpatch di /dev/shm/hotdog.log .