hotdog

Hotdog は、Log4j Hot Patch をコンテナに挿入するために使用される OCI フックのセットです。

️ホットドッグは生産終了に近づいています。 CVE-2021-44228 が発見されてから 20 か月が経過しており、この時点までに Java アプリケーションの大部分にパッチが適用されていると予想されます。また、現在は使用されていない Bottlerocket 以外での Hotdog の使用も認識していません。そのため、Hotdog は 2023 年 11 月までにサポートを終了する予定です。これに影響がある場合は、問題を開いてください。

runc がコンテナをセットアップするとき、 hotdog-cc-hook呼び出します。 hotdog-cc-hookホットパッチ ファイルを/dev/shm/.hotdogにあるコンテナのファイルシステムにバインドマウントします。メインコンテナプロセスが開始すると、 runc はhotdog-poststart-hook呼び出します。これは、 nsenter使用してコンテナの名前空間に入り、 hotdog-hotpatchプロセスをフォークします。 hotdog-hotpatch 、コンテナ内の JVM を検出してホットパッチを適用するために、頻度を減らしながら (現在は 1 秒、5 秒、10 秒、30 秒) 数回実行されます。

• Hotdog は、Java 8、11、15、および 17 のホットパッチ サポートのみを提供します。
• Hotdog は、コンテナーの有効期間の開始時に短時間だけ実行されます。 hotdog-hotpatchプロセスの終了後に新しい Java プロセスが開始された場合、それらのプロセスにはホット パッチは適用されません。
• Hotdog は「java」という名前のプロセスにのみパッチを適用します。 Java アプリケーションのプロセス名が異なる場合、hotdog はパッチを適用しません。
• Hotdog は、コンテナーに独自の pid 名前空間がある場合に最適に機能します。共有 pid 名前空間を持つコンテナーで hotdog が使用されている場合、 hotdog-hotpatchコンテナーの終了後もしばらく残る可能性があります。
• Hotdog は、そのコンポーネントをコンテナ内の/dev/shm/.hotdogに挿入します。 /dev/shmが存在しない場合 ( --ipc=noneで起動された Docker コンテナの場合など)、ホットドッグはコンテナに挿入されず、ホットパッチも提供されません。

Hotdog は、Bottlerocket 1.5.0 にデフォルトで含まれています。

ユーザー データに次の設定を含めることで、Bottlerocket の新規起動に対してホットパッチを有効にできます。

[ settings . oci-hooks ]
log4j-hotpatch-enabled = true

最新バージョンの Bottlerocket を実行している既存のホストの場合、API クライアントを使用してホットパッチを有効にすることができます。

apiclient set oci-hooks.log4j-hotpatch-enabled=true

実行時に設定を有効にしても、コンテナーの実行には影響しません。新しく起動されたコンテナにはホットパッチが適用されます。

Hotdog をインストールするには、次のファイルを適切な場所にコピーし、適切な構成を設定する必要があります。

• Log4jHotPatch.jar /usr/share/hotdogにコピーします (ホットパッチをソースからビルドする場合は、 build/libsにあります)
• make && sudo make install実行して、 hotdog-cc-hookとhotdog-poststart-hookを/usr/libexec/hotdogにインストールし、 hotdog-hotpatch /usr/share/hotdogにインストールします。
• oci-add-hooksインストールする
• 次の内容を/etc/hotdog/config.jsonに書き込んで、hotdog フックを使用してoci-add-hooksを構成します。

  {
    "hooks" : {
      "prestart" : [{
        "path" : " /usr/libexec/hotdog/hotdog-cc-hook "
      }],
      "poststart" : [{
        "path" : " /usr/libexec/hotdog/hotdog-poststart-hook "
      }]
    }
  }

• 次の内容を/etc/docker/daemon.jsonに書き込んで、フックを使用するように Docker を構成します。

  {
    "runtimes" : {
      "hotdog" : {
        "path" : " oci-add-hooks " ,
        "runtimeArgs" : [
          " --hook-config-path " , " /etc/hotdog/config.json " ,
          " --runtime-path " , " /usr/sbin/runc "
        ]
      }
    }
  }

ホットパッチを有効にしてコンテナーを実行するには、 docker run --runtime hotdogを指定します。すべてのコンテナーでホットパッチをデフォルトで有効にして実行するには、次の内容を/etc/docker/daemon.jsonに追加します。

 "default-runtime": "hotdog"

ホットドッグがデフォルトで有効になっている場合でも、 hotdogをオプトアウトしたい場合は、 --runtime runc指定します。

hotdog 、各コンテナーの/dev/shm/.hotdogディレクトリにいくつかのファイルを追加します。 hotdog-hotpatchのログは/dev/shm/hotdog.logにあります。

詳細については、「貢献」を参照してください。

このプロジェクトは、Apache-2.0 ライセンスに基づいてライセンスされています。