Oracle Maatskappy eerste stabiele vrystelling (UEK R6), 'n uitgebreide weergawe van die Linux-kern wat bemark word vir gebruik in die Oracle Linux-verspreiding as 'n alternatief vir die voorraadkernpakket van Red Hat Enterprise Linux. Die kern is slegs beskikbaar vir x86_64 en ARM64 (aarch64) argitekture. Die bronkode vir die kern, insluitend die uiteensetting in individuele kolle, in die publieke Oracle Git-bewaarplek.
Unbreakable Enterprise Kernel 6 is gebaseer op die kern (UEK R5 was gebaseer op die 4.14-kern), wat opgedateer is met nuwe kenmerke, optimaliserings en regstellings, is getoets vir verenigbaarheid met die meeste toepassings wat op RHEL loop, en is spesifiek geoptimaliseer om met Oracle industriële sagteware en hardeware te werk. UEK R6 kerninstallasie en src-pakkette voorberei vir Oracle Linux и . Ondersteuning vir die 6.x-tak is gestaak, om UEK R6 te gebruik, moet jy die stelsel opgradeer na Oracle Linux 7 (daar is geen struikelblokke om hierdie kern in soortgelyke weergawes van RHEL, CentOS en Scientific Linux te gebruik nie).
Sleutel Onbreekbare Enterprise Kernel 6:
- Uitgebreide ondersteuning vir stelsels gebaseer op die 64-bis ARM-argitektuur (aarch64).
- Geïmplementeerde ondersteuning vir alle kenmerke van Cgroup v2.
- Die ktask-raamwerk is geïmplementeer om take in die kern te paralleliseer wat beduidende SVE-hulpbronne verbruik. Byvoorbeeld, met die hulp van ktask, kan parallelisering van bewerkings vir die skoonmaak van geheuebladsyreekse of die verwerking van die lys inodes georganiseer word;
- 'n Geparallelleerde weergawe van kswapd is ingesluit om bladsyruilings asinchronies te verwerk, wat die aantal direkte (sinchrone) omruilings verminder. Wanneer die aantal vrye geheuebladsye afneem, soek kswapd vir ongebruikte bladsye wat vrygestel kan word.
- Ondersteuning om die integriteit van die kernbeeld en digitaal ondertekende firmware te verifieer wanneer die kern gelaai word deur die Kexec-meganisme te gebruik (laai die kern vanaf 'n reeds gelaaide stelsel).
- Die werkverrigting van die virtuele geheuebestuurstelsel is geoptimaliseer, die doeltreffendheid van die skoonmaak van geheue en kasbladsye is verbeter, en die verwerking van toegang tot ongeallokeerde geheuebladsye (bladsyfoute) is verbeter.
- Ondersteuning vir NVDIMM is uitgebrei, die gespesifiseerde permanente geheue kan nou as tradisionele RAM gebruik word.
- Die oorgang na die DTrace 2.0 dinamiese ontfoutingstelsel is gemaak, wat om die eBPF-kernsubstelsel te gebruik. DTrace loop nou bo-op eBPF, soortgelyk aan hoe bestaande Linux-opsporingsinstrumente bo-op eBPF werk.
- Verbeterings is aangebring aan die OCFS2 (Oracle Cluster File System) lêerstelsel.
- Verbeterde ondersteuning vir die Btrfs-lêerstelsel. Bygevoeg die vermoë om Btrfs op wortel partisies te gebruik. 'n Opsie is by die installeerder gevoeg om Btrfs te kies wanneer toestelle geformateer word. Bygevoeg die vermoë om paging lêers te plaas op partisies met Btrfs. Btrfs voeg ondersteuning by vir kompressie met behulp van die ZStandard-algoritme.
- Bygevoeg ondersteuning vir 'n koppelvlak vir asynchrone I / O - io_uring, wat opvallend is vir die ondersteuning van I / O polling en die vermoë om beide met buffering en sonder buffering te werk. Wat prestasie betref, is io_uring baie naby aan SPDK en vaar aansienlik beter as libaio wanneer polling geaktiveer is. Om io_uring te gebruik in eindtoepassings wat in gebruikersruimte loop, is die liburing-biblioteek voorberei, wat 'n hoëvlakbinding oor die kernkoppelvlak verskaf;
- Bygevoeg modus ondersteuning vir vinnige enkripsie van dryf.
- Bygevoeg ondersteuning vir kompressie met behulp van 'n algoritme (zstd).
- Die ext4-lêerstelsel gebruik 64-bis-tydstempels in superblokvelde.
- XFS sluit fasiliteite in om die integriteitstatus van 'n lêerstelsel tydens looptyd in te lig en om status te kry oor fsck-uitvoering onmiddellik.
- Die TCP-stapel is verstek na die "" in plaas van "So vinnig as moontlik" wanneer pakkette gestuur word. GRO (Generic Receive Offload) ondersteuning is vir UDP geaktiveer. Bygevoeg ondersteuning vir die ontvang en stuur van TCP-pakkies in nul-kopieermodus.
- Die implementering van die TLS-protokol op kernvlak (KTLS) is betrokke, wat nou nie net vir gestuurde nie, maar ook vir ontvangde data gebruik kan word.
- By verstek geaktiveer as 'n backend vir die firewall
nftables. Opsionele ondersteuning bygevoeg . - Bygevoeg ondersteuning vir die XDP (eXpress Data Path) substelsel, wat dit moontlik maak om BPF-programme op Linux op die netwerkbestuurdervlak te laat loop met die vermoë om direk toegang tot die DMA-pakkiebuffer te verkry en op die stadium voordat die netwerkstapel die skbuff-buffer toeken.
- Verbeter en geaktiveer wanneer UEFI Secure Boot-modus gebruik word , wat wortelgebruikerstoegang tot die kern beperk en UEFI Secure Boot-omleidingspaaie blokkeer. Byvoorbeeld, afsluitmodus beperk toegang tot /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, debug mode kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), sommige koppelvlakke CPU ACPI- en MSR-registers, blokkeer kexec_file- en kexec_load-oproepe, verbied slaapmodus, beperk die gebruik van DMA vir PCI-toestelle, verbied die invoer van ACPI-kode vanaf EFI-veranderlikes, laat nie manipulasies met I/O-poorte toe nie, insluitend die verandering van die onderbrekingsnommer en 'n I/O-poort vir die seriële poort.
- Bygevoeg ondersteuning vir Enhanced Indirect Branch Restricted Speculation (IBRS) instruksies wat jou toelaat om spekulatiewe instruksie uitvoering aanpasbaar te aktiveer en te deaktiveer tydens onderbrekings, stelseloproepe en konteksskakelaars. As Verbeterde IBRS ondersteun word, word hierdie metode gebruik om teen Spectre V2-aanvalle in plaas van Retpoline te beskerm, aangesien dit beter werkverrigting bied.
- Verbeterde beskerming in gidse wat deur almal geskryf kan word. In sulke dopgehou word die skep van EIEU-lêers en lêers wat deur gebruikers besit word wat nie ooreenstem met die eienaar van die gids met die taai vlag nie, verbied.
- By verstek op ARM-stelsels is kernadresruimte-randomisering op stelsels (KASLR) geaktiveer. Aarch64 het wyserverifikasie geaktiveer.
- Bygevoeg ondersteuning vir "NVMe oor Fabrics TCP".
- Die virtio-pmem-bestuurder is bygevoeg om toegang te bied tot fisiese adres-spasie-gekarte stoortoestelle soos NVDIMM's.
Bron: opennet.ru