Компания Oracle първо стабилно издание (UEK R6), разширено изграждане на ядрото на Linux, позиционирано за използване в дистрибуцията на Oracle Linux като алтернатива на стандартния пакет на ядрото от Red Hat Enterprise Linux. Ядрото е достъпно само за x86_64 и ARM64 (aarch64) архитектури. Източници на ядрото, включително разбивка на отделни пачове, в публичното Git хранилище на Oracle.
Пакетът Unbreakable Enterprise Kernel 6 е базиран на ядрото (UEK R5 беше базиран на ядро 4.14), което е актуализирано с нови функции, оптимизации и корекции, а също така е тествано за съвместимост с повечето приложения, работещи на RHEL, и е специално оптимизирано за работа с индустриален софтуер и хардуер на Oracle. Инсталационните и src пакети с ядрото UEK R6 са подготвени за Oracle Linux и . Поддръжката за клона 6.x е преустановена; за да използвате UEK R6, трябва да актуализирате системата до Oracle Linux 7 (няма пречки за използването на това ядро в подобни версии на RHEL, CentOS и Scientific Linux).
Ключ Unbreakable Enterprise Kernel 6:
- Разширена поддръжка за системи, базирани на 64-битова ARM архитектура (aarch64).
- Внедрена е поддръжка за всички функции на Cgroup v2.
- Рамката ktask е внедрена за паралелизиране на задачи в ядрото, които консумират значителни ресурси на процесора. Например, използвайки ktask, може да се организира паралелизиране на операции за изчистване на диапазони от страници с памет или обработка на списък от inodes;
- Паралелна версия на kswapd е активирана за асинхронно обработване на суапове на страници с памет, намалявайки броя на директните (синхронни) суапове. Тъй като броят на страниците със свободна памет намалява, kswapd извършва сканиране, за да идентифицира неизползваните страници, които могат да бъдат освободени.
- Поддръжка за проверка на целостта на изображението на ядрото и фърмуера с помощта на цифров подпис при зареждане на ядрото чрез механизма Kexec (зареждане на ядрото от вече заредена система).
- Оптимизирана е производителността на системата за управление на виртуалната памет, подобрена е ефективността на изчистване на паметта и кеш страниците и е подобрена обработката на достъпа до страници с неразпределена памет (грешки на страницата).
- Поддръжката на NVDIMM е разширена, тази постоянна памет вече може да се използва като традиционна RAM.
- Извършен е преход към системата за динамично отстраняване на грешки DTrace 2.0, която за използване на подсистемата на ядрото на eBPF. DTrace вече работи върху eBPF, подобно на начина, по който съществуващите инструменти за проследяване на Linux работят върху eBPF.
- Направени са подобрения във файловата система OCFS2 (Oracle Cluster File System).
- Подобрена поддръжка за файловата система Btrfs. Добавена е възможност за използване на Btrfs на root дялове. Към инсталатора е добавена опция за избор на Btrfs при форматиране на устройства. Добавена е възможност за поставяне на суап файлове на дялове с Btrfs. Btrfs добави поддръжка за компресиране с помощта на алгоритъма ZStandard.
- Добавена е поддръжка за интерфейса за асинхронен I/O - io_uring, който се отличава с поддръжката си за I/O polling и възможността за работа с или без буфериране. По отношение на производителността, io_uring е много близо до SPDK и е значително по-напред от libaio при работа с активирано анкетиране. За да се използва io_uring в крайни приложения, работещи в потребителско пространство, е подготвена библиотеката liburing, осигуряваща свързване на високо ниво през интерфейса на ядрото;
- Добавена поддръжка на режим за бързо криптиране на съхранение.
- Добавена е поддръжка за компресия с помощта на алгоритъма (zstd).
- Файловата система ext4 използва 64-битови времеви отпечатъци в полетата на суперблока.
- XFS включва инструменти за отчитане на състоянието на целостта на файловата система по време на работа и получаване на статус при изпълнението на fsck в движение.
- TCP стекът по подразбиране е превключен на "" вместо "Възможно по-бързо" при изпращане на пакети. GRO (Generic Receive Offload) поддръжка е активирана за UDP. Добавена е поддръжка за получаване и изпращане на TCP пакети в режим на нулево копиране.
- Става въпрос за внедряването на TLS протокола на ниво ядро (KTLS), който вече може да се използва не само за изпратени, но и за получени данни.
- Активиран като бекенд за защитната стена по подразбиране
nftables. Добавена е допълнителна поддръжка . - Добавена е поддръжка за подсистемата XDP (eXpress Data Path), която позволява стартиране на BPF програми на Linux на ниво мрежов драйвер с възможност за директен достъп до буфера на DMA пакети и на етапа преди буферът skbuff да бъде разпределен от мрежовия стек.
- Подобрено и активирано при използване на режим UEFI Secure Boot , което ограничава достъпа на root потребител до ядрото и блокира пътищата за заобикаляне на UEFI Secure Boot. Например, в режим на заключване, достъп до /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes режим на отстраняване на грешки, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), някои интерфейсите са ограничени ACPI и MSR регистрите на процесора, извикванията към kexec_file и kexec_load са блокирани, режимът на заспиване е забранен, използването на DMA за PCI устройства е ограничено, импортирането на ACPI код от EFI променливи е забранено, манипулациите с I/O портове не са разрешено, включително промяна на номера на прекъсване и I/O порт за сериен порт.
- Добавена е поддръжка за подобрени инструкции за IBRS (Enhanced Indirect Branch Restricted Speculation), които ви позволяват адаптивно да активирате и деактивирате спекулативно изпълнение на инструкции по време на обработка на прекъсване, системни повиквания и контекстни превключватели. С подобрена поддръжка на IBRS, този метод се използва за защита срещу Spectre V2 атаки вместо Retpoline, тъй като позволява по-висока производителност.
- Подобрена сигурност в директориите с възможност за запис в света. В такива директории е забранено да се създават FIFO файлове и файлове, притежавани от потребители, които не съвпадат със собственика на директорията със залепващия флаг.
- По подразбиране в системите ARM рандомизирането на адресното пространство на ядрото в системите (KASLR) е активирано. Удостоверяването на показалец е активирано за Aarch64.
- Добавена е поддръжка за "NVMe през Fabrics TCP".
- Добавен е драйвер virtio-pmem за предоставяне на достъп до устройства за съхранение с карта на физическо адресно пространство, като NVDIMM.
Източник: opennet.ru