hotdog下载 - hotdog源码下载

hotdog

其他源码

下载

热狗

Hotdog 是一组 OCI 挂钩，用于将 Log4j 热补丁注入到容器中。

️热狗的生命周期已接近尾声。自 CVE-2021-44228 被发现以来已经过去了 20 个月，我们预计此时绝大多数 Java 应用程序都已得到修补。我们也不知道 Hotdog 在 Bottlerocket 之外有任何使用，Bottlerocket 已不再使用它。因此，我们计划在 2023 年 11 月之前终止 Hotdog 的生命周期。如果这对您有影响，请提出问题。

它是如何运作的

当 runc 设置容器时，它会调用hotdog-cc-hook 。 hotdog-cc-hook将热补丁文件绑定安装到容器的文件系统/dev/shm/.hotdog中。主容器进程启动后， runc 调用hotdog-poststart-hook ，它使用nsenter进入容器的命名空间并分叉出hotdog-hotpatch进程。 hotdog-hotpatch以逐渐降低的频率（当前为 1 秒、5 秒、10 秒、30 秒）运行多次，以检测和修补容器内的 JVM。

局限性

Hotdog 仅提供对 Java 8、11、15 和 17 的热补丁支持。
Hotdog 仅在容器生命周期开始时运行一小段时间。如果hotdog-hotpatch进程退出后启动新的Java进程，则不会对其进行热补丁。
Hotdog 仅修补名为“java”的进程。如果您的 Java 应用程序具有不同的进程名称，hotdog 将不会对其进行修补。
当容器有自己的 pid 命名空间时，Hotdog 效果最佳。如果 hotdog 与具有共享 pid 命名空间的容器一起使用， hotdog-hotpatch可能会在容器退出后保留一小段时间。
Hotdog 将其组件注入容器内的/dev/shm/.hotdog中。如果/dev/shm不存在（例如使用--ipc=none启动 Docker 容器的情况），hotdog 将不会注入到容器中，也不会提供热补丁。

安装

瓶火箭

Hotdog 默认包含在 Bottlerocket 1.5.0 中。

通过在用户数据中包含以下设置，可以为新启动的 Bottlerocket 启用热补丁。

[ settings . oci-hooks ]
log4j-hotpatch-enabled = true

对于运行最新版本 Bottlerocket 的现有主机，可以使用 API 客户端启用热补丁。

apiclient set oci-hooks.log4j-hotpatch-enabled=true

在运行时启用该设置对运行容器没有影响。新推出的容器将进行热补丁。

其他 Linux 发行版

要安装Hotdog，您需要将以下文件复制到正确的位置并设置适当的配置。

将Log4jHotPatch.jar复制到/usr/share/hotdog （如果您从源代码构建热补丁，您将在build/libs中找到它）
运行make && sudo make install将hotdog-cc-hook和hotdog-poststart-hook安装到/usr/libexec/hotdog并将hotdog-hotpatch安装到/usr/share/hotdog
安装oci-add-hooks

通过将以下内容写入/etc/hotdog/config.json来使用 hotdog 挂钩配置oci-add-hooks ：

{
  "hooks" : {
    "prestart" : [{
      "path" : " /usr/libexec/hotdog/hotdog-cc-hook "
    }],
    "poststart" : [{
      "path" : " /usr/libexec/hotdog/hotdog-poststart-hook "
    }]
  }
}

通过将以下内容写入/etc/docker/daemon.json来配置 Docker 使用挂钩：

{
  "runtimes" : {
    "hotdog" : {
      "path" : " oci-add-hooks " ,
      "runtimeArgs" : [
        " --hook-config-path " , " /etc/hotdog/config.json " ,
        " --runtime-path " , " /usr/sbin/runc "
      ]
    }
  }
}