hotdog

Hotdog — это набор перехватчиков OCI, используемых для внедрения горячего патча Log4j в контейнеры.

️ Хот-дог очень близок к концу жизни. Прошло двадцать месяцев с момента обнаружения CVE-2021-44228, и мы ожидаем, что к этому времени подавляющее большинство Java-приложений будут исправлены. Нам также неизвестно об использовании Hotdog за пределами Bottlerocket, который его больше не использует. Поэтому мы планируем прекратить выпуск Hotdog к ноябрю 2023 года. Если это вас затронет, пожалуйста, откройте проблему.

Когда runc настраивает контейнер, он вызывает hotdog-cc-hook . hotdog-cc-hook привязка монтирует файлы исправлений в файловую систему контейнера в /dev/shm/.hotdog . После запуска основного процесса контейнера runc вызывает hotdog-poststart-hook , который использует nsenter для входа в пространства имен контейнера и запускает процесс hotdog-hotpatch . hotdog-hotpatch запускается несколько раз с уменьшающейся частотой (в настоящее время 1, 5, 10, 30 с) для обнаружения и исправления JVM внутри контейнера.

• Hotdog обеспечивает поддержку горячего исправления только для Java 8, 11, 15 и 17.
• Hotdog работает только короткое время в начале жизни контейнера. Если новые процессы Java запускаются после завершения процесса hotdog-hotpatch , они не будут подвергнуты горячему исправлению.
• Hotdog исправляет только процессы с именем «java». Если ваше Java-приложение имеет другое имя процесса, hotdog не будет его исправлять.
• Hotdog работает лучше всего, когда у контейнера есть собственное пространство имен pid. Если hotdog используется с контейнером, имеющим общее пространство имен pid, hotdog-hotpatch может оставаться в течение короткого времени после выхода из контейнера.
• Hotdog внедряет свои компоненты в /dev/shm/.hotdog внутри контейнера. Если /dev/shm не существует (например, в случае с контейнерами Docker, запущенными с --ipc=none ), hotdog не будет внедрен в контейнер и не будет обеспечивать горячее исправление.

Хот-дог включен по умолчанию в Bottlerocket 1.5.0.

Горячее исправление можно включить для новых запусков Bottlerocket, включив следующие настройки в пользовательские данные.

[ settings . oci-hooks ]
log4j-hotpatch-enabled = true

Для существующих хостов, на которых установлена ​​последняя версия Bottlerocket, можно включить горячее исправление с помощью клиента API.

apiclient set oci-hooks.log4j-hotpatch-enabled=true

Включение этого параметра во время выполнения не влияет на запуск контейнеров. Вновь запущенные контейнеры будут подвергаться горячим исправлениям.

Чтобы установить Hotdog, вам необходимо скопировать следующие файлы в нужное место и установить соответствующую конфигурацию.

• Скопируйте Log4jHotPatch.jar в /usr/share/hotdog (если вы собираете исправление из исходного кода, вы найдете его в build/libs )
• Запустите make && sudo make install чтобы установить hotdog-cc-hook и hotdog-poststart-hook в /usr/libexec/hotdog и hotdog-hotpatch в /usr/share/hotdog
• Установите oci-add-hooks
• Настройте oci-add-hooks с помощью хот-догов, записав следующее содержимое в /etc/hotdog/config.json :

  {
    "hooks" : {
      "prestart" : [{
        "path" : " /usr/libexec/hotdog/hotdog-cc-hook "
      }],
      "poststart" : [{
        "path" : " /usr/libexec/hotdog/hotdog-poststart-hook "
      }]
    }
  }

• Настройте Docker для использования перехватчиков, записав следующее содержимое в /etc/docker/daemon.json :

  {
    "runtimes" : {
      "hotdog" : {
        "path" : " oci-add-hooks " ,
        "runtimeArgs" : [
          " --hook-config-path " , " /etc/hotdog/config.json " ,
          " --runtime-path " , " /usr/sbin/runc "
        ]
      }
    }
  }

Чтобы запустить контейнер с включенным горячим исправлением, укажите docker run --runtime hotdog . Чтобы запустить горячее исправление по умолчанию во всех контейнерах, добавьте следующее содержимое в /etc/docker/daemon.json :

 "default-runtime": "hotdog"

Если вы хотите отказаться от hotdog даже если он включен по умолчанию, укажите --runtime runc .

hotdog добавит несколько файлов в каталог /dev/shm/.hotdog в каждом контейнере. Вы можете найти журнал hotdog-hotpatch в /dev/shm/hotdog.log .

См. ВКЛАД для получения дополнительной информации.

Этот проект распространяется по лицензии Apache-2.0.