BlackNinja2019 schrieb:
Hallo, hab ne Frage zu der Kernisolierung.
Ist das sinnvoll oder nicht die Funktion zu aktivieren?
Im Prinzip wird dabei Virtualisierungstechnik benutzt, um den Kernel gegen Schadcode zu schützen der schon beim booten aktiv wird.
Hintergrund: Der Kernel selbst bringt ja viele Schutzmechanismen mit. Die müssen aber halt erst etabliert werden und das ist insbesondere in frühen Boot-Phasen noch nicht der Fall.
Um da gegen Angriffe z.B. durch bösartige Gerätetreiber etc. zu schützen soll die Kernisolierung helfen.
BlackNinja2019 schrieb:
Warum muss man Neustart machen, damit es aktiv wird?
Gute Frage. Vermutlich wird das routinemäßig bei Kernel-Aktualisierung so gehandhabt. Im Grunde genommen hast Du ja sonst von der Kernisolation nicht viel, weil die ja insbesondere für den Bootvorgang interessant ist.
onesworld schrieb:
Selbst bei Linux (jedenfalls auch dort zumindest oft).
Ja. Es gibt zwar Live-Patching usw. aber üblich und am saubersten ist auch da ein Neustart.
Das man unter Linux weniger Neustarts braucht ist eh ein Mythos. Ja. Der wird auch durch gewisse Dinge unterfüttert (z.B. kennt Linux kein
exclusive-lock bei Dateien; Windows-Neustarts stellen also oftmals sicher, das bestimmte Dateien garantiert schreibbar sind).
Aber wenn Du jetzt z.B. in Deinem Linux-System eine Lib aktualisierst, dann ist solange die Lib noch in Verwendung ist eine alte Kopie im Speicher. Richtig sauber neu kriegst Du das nur, indem alle Programme beendet werden die die betreffende Lib verwenden. Um das zu erreichen wäre auch hier der einfachste Weg das Linux-System neu zu starten. Also zumindest für Desktop-Anwender.
Auf Rechner, die man nicht unbedingt neu starten will (z.B. Server) kann man auch nachgucken, ob die Libs im Speicher mit denen identisch sind die auf der Platte liegen und so kann man durch gezielte Programm-Neustarts das Problem eliminieren.
Aber wie gesagt. Für den gemeinen Linux-Anwender zuhause wäre auch hier ein Neustart die bessere/sicherere Option.
