Gnu-Linux on よ〜んの雑記https://mu7889yoon.github.io/tags/gnu-linux/Recent content in Gnu-Linux on よ〜んの雑記Hugoja-jpWed, 06 May 2026 17:13:04 +0900Kernel Live Patching ってなんだ?https://mu7889yoon.github.io/posts/al2023-kernel-live-patch/Wed, 06 May 2026 17:13:04 +0900https://mu7889yoon.github.io/posts/al2023-kernel-live-patch/<p>よ〜んです。</p> <p><a href="https://mu7889yoon.github.io/posts/learn-the-finer-points-of-amazon-linux/">AL2023 Deep Dive シリーズ</a>の一環…なんですが、今回はちょっと毛色を変えて <strong>Kernel Live Patching</strong> の話です。Amazon Linux 2023 そのものの深掘りというより、Amazon Linux 2023でも使えるLinuxカーネルのお話になります。</p> <p>最近クリティカルな CVE が多いですね。カーネルの更新となると再起動を伴うわけですが、本番で動いてるサーバーを気軽に再起動できるわけもなく、かといってセキュリティパッチを放置するのも気持ち悪い。</p> <p>そんなときに使えるのが Kernel Live Patching ですね。</p> <h2 id="kernel-live-patching">Kernel Live Patching</h2> <p>一言でいうと、<strong>動いてるカーネルに対して、再起動なしでパッチを当てる仕組み</strong>です。</p> <p>Linux カーネル 4.0 から入った <code>livepatch</code> という機能がベースになっていて、内部的には <strong>functoin tracer(ftrace)</strong> を使ってカーネル関数の呼び出し先を差し替えます。</p> <p>つまり、脆弱性のある関数が呼ばれたとき、ftrace が「いや、こっちの修正済み関数を使ってね」と差し替えてくれるわけですね、素晴らしい</p> <h2 id="パッチ適用後当該環境は不安定にならないのか">パッチ適用後、当該環境は不安定にならないのか。</h2> <p><strong>Kernel Live Patchingはあくまで「再起動までの繋ぎ」</strong></p> <p>パッチが蓄積していくとカーネル内部の関数リダイレクトが増えていくので、長期間再起動なしで運用し続けるのは推奨されていません。</p> <blockquote> <p>AWS は、AL2023 カーネルバージョンのリリースから 3 か月間、カーネルライブパッチを提供します。その後、カーネルライブパッチを引き続き入手するには、新しいカーネルバージョンに更新する必要があります。 <a href="https://docs.aws.amazon.com/ja_jp/linux/al2023/ug/live-patching.html">Kernel Live Patching on AL2023 - Amazon Linux 2023</a> より</p> </blockquote> <p>とあるので、「3 ヶ月目安でカーネルを更新してね」というサイクル推奨しているように見えます。</p> <h2 id="al2023-での-live-patching">AL2023 での Live Patching</h2> <p>AL2023 でも <a href="https://docs.aws.amazon.com/linux/al2023/ug/live-patching.html">Kernel Live Patching</a> が公式にサポートされています。</p> <h3 id="対応環境">対応環境</h3> <ul> <li><strong>アーキテクチャ</strong>: x86_64 / ARM64</li> <li><strong>動作環境</strong>: EC2、オンプレミスの VM</li> <li><strong>コスト</strong>: 追加料金なし(ここ大事)</li> </ul> <p>ちなみに他の OS だとライブパッチは有料だったりします。Ubuntu は <a href="https://ubuntu.com/security/livepatch">Livepatch</a> が Ubuntu Pro(商用利用は有料)の一部の機能だったりします、AL2023 なら追加料金なしで使えるのはありがたいですね。</p>systemd timer が結構いいhttps://mu7889yoon.github.io/posts/systemd-timer-is-pretty-good/Tue, 17 Mar 2026 20:00:46 +0900https://mu7889yoon.github.io/posts/systemd-timer-is-pretty-good/<p>お久しぶりです、よ〜んです。</p> <p>UNIXやGNU/Linuxのジョブの定時実行といえば<code>cron</code>ですが、Amazon Linux 2023 (AL2023)では定時実行を<code>systemd timer</code>で行うことが推奨されているようです。</p> <p><a href="https://docs.aws.amazon.com/ja_jp/linux/al2023/ug/deprecated-al2023.html#deprecated-crona">AL2023 で廃止 - Amazon Linux 2023</a></p> <h2 id="なぜsystemd-timer-が推されているのか">なぜ<code>systemd timer</code> が推されているのか</h2> <p>GNU/Linuxでは、サービス管理、起動順序、ログ、失敗時の扱いが<code>systemd</code> に集約されています。</p> <p>だったら、定期実行も同じ世界に載せたほうが運用しやすい、ということだと私は考えます。</p> <h3 id="デフォルトでログが記録される">デフォルトでログが記録される</h3> <p><code>cron</code>はログを保存しません。</p> <p>なので、ログを残す場合、以下のような<strong>おまじない</strong>をしてあげる必要がありました。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-sh" data-lang="sh"><span style="display:flex;"><span>* * * * * command &gt;&gt; /var/log/job.log 2&gt;&amp;<span style="color:#ae81ff">1</span> </span></span></code></pre></div><blockquote> <p>コーディングエージェントが良くやるやつですね</p> </blockquote> <h3 id="ステートがある">ステートがある</h3> <p>もちろん<code>cron</code>でもログを残したり、終了したらDBに状態を格納したり、Discordなどに通知する仕組みを入れておくことで状態を持たせることは可能です。</p> <p>一方、<code>systemd timer</code>(というか<code>systemd</code>)では、↑のような一手間を加えずに状態を持ちます。</p> <h3 id="リトライがある">リトライがある</h3> <p>そして、<code>systemd</code>側で状態を持っているということは、リトライが可能になります。</p> <p><code>cron</code>でも実行するジョブ側に自前実装でリトライさせることは可能です。</p> <p><code>systemd service</code> (NOT <code>systemd timer</code>)なら、失敗時の扱いを記述し、リトライさせることが可能です。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-sh" data-lang="sh"><span style="display:flex;"><span>Restart<span style="color:#f92672">=</span>on-failure </span></span><span style="display:flex;"><span>RestartSec<span style="color:#f92672">=</span>30s </span></span><span style="display:flex;"><span>OnFailure<span style="color:#f92672">=</span> </span></span></code></pre></div><p><code>systemd timer</code>の機能の一つである<code>Persistent</code> を使うことで、例えば10時に実行するjobがあったときに、ジョブ実行を行なっている計算機がシャットダウンしていても、計算機起動後にジョブを実行してくれます。</p> <p>実行時間に厳密である必要はないが、大体このぐらいの時間に実行してほしいといったパターンにめっちゃ便利だなと思いました。</p> <hr> <p>上記のような点から、<code>systemd timer</code>では<code>cron</code>で自前実装・不便だったポイントが標準で揃っていることがわかりました。</p> <h2 id="cronからsystemd-timerに移行するには"><code>cron</code>から<code>systemd timer</code>に移行するには</h2> <p>たとえば、こういう <code>cron</code> があったとします。</p> <pre tabindex="0"><code class="language-cron" data-lang="cron">0 3 * * * /usr/local/bin/daily.sh </code></pre><p>まずは<strong>何を実行するか</strong> を <code>.service</code> に、<strong>いつ実行するか</strong> を <code>.timer</code> に書いていきます。</p>