Empresa Oracle primer llançament estable (UEK R6), una compilació ampliada del nucli Linux, posicionada per utilitzar-la a la distribució Oracle Linux com a alternativa al paquet estàndard del nucli de Red Hat Enterprise Linux. El nucli només està disponible per a arquitectures x86_64 i ARM64 (aarch64). Fonts del nucli, inclosa la descomposició en pegats individuals, al repositori públic de Git d'Oracle.
El paquet Unbreakable Enterprise Kernel 6 es basa en el nucli (UEK R5 es basava en el nucli 4.14), que s'actualitza amb noves funcions, optimitzacions i correccions, i també es prova la compatibilitat amb la majoria d'aplicacions que s'executen a RHEL, i està optimitzat específicament per funcionar amb programari industrial i maquinari Oracle. Els paquets d'instal·lació i src amb el nucli UEK R6 estan preparats per a Oracle Linux и . El suport per a la branca 6.x s'ha interromput; per utilitzar UEK R6, heu d'actualitzar el sistema a Oracle Linux 7 (no hi ha obstacles per utilitzar aquest nucli en versions similars de RHEL, CentOS i Scientific Linux).
Clau Nucli empresarial irrompible 6:
- Suport ampliat per a sistemes basats en arquitectura ARM de 64 bits (aarch64).
- S'ha implementat el suport per a totes les funcions de Cgroup v2.
- El marc ktask s'ha implementat per paral·lelitzar les tasques del nucli que consumeixen recursos importants de la CPU. Per exemple, amb ktask, es pot organitzar la paral·lelització d'operacions per netejar rangs de pàgines de memòria o processar una llista d'inodes;
- S'ha habilitat una versió paral·lelitzada de kswapd per processar els intercanvis de pàgines de memòria de manera asíncrona, reduint el nombre d'intercanvis directes (sincrònics). A mesura que el nombre de pàgines de memòria lliures disminueix, kswapd fa una exploració per identificar les pàgines no utilitzades que es poden alliberar.
- Suport per verificar la integritat de la imatge del nucli i del microprogramari mitjançant una signatura digital quan es carrega el nucli mitjançant el mecanisme Kexec (carregant el nucli des d'un sistema ja carregat).
- S'ha optimitzat el rendiment del sistema de gestió de memòria virtual, s'ha millorat l'eficiència d'esborrar de memòria i pàgines de memòria cau i s'ha millorat el processament de l'accés a pàgines de memòria no assignades (errors de pàgina).
- El suport NVDIMM s'ha ampliat, aquesta memòria persistent ara es pot utilitzar com a RAM tradicional.
- S'ha fet la transició al sistema de depuració dinàmica DTrace 2.0, que per utilitzar el subsistema del nucli eBPF. DTrace ara s'executa a la part superior de l'eBPF, de manera similar a com s'executen les eines de traça de Linux existents a la part superior de l'eBPF.
- S'han fet millores al sistema de fitxers OCFS2 (Oracle Cluster File System).
- Suport millorat per al sistema de fitxers Btrfs. S'ha afegit la possibilitat d'utilitzar Btrfs a les particions arrel. S'ha afegit una opció a l'instal·lador per seleccionar Btrfs en formatar dispositius. S'ha afegit la possibilitat de col·locar fitxers d'intercanvi en particions amb Btrfs. Btrfs ha afegit suport per a la compressió mitjançant l'algoritme ZStandard.
- S'ha afegit suport per a la interfície d'E/S asíncrona - io_uring, que destaca pel seu suport per a sondeig d'E/S i la capacitat de treballar amb o sense memòria intermèdia. Pel que fa al rendiment, io_uring és molt proper a SPDK i està molt per davant de libaio quan es treballa amb l'enquesta habilitat. Per utilitzar io_uring en aplicacions finals que s'executen a l'espai d'usuari, s'ha preparat la biblioteca de liburing, proporcionant una vinculació d'alt nivell a la interfície del nucli;
- Suport de mode afegit per a un xifratge ràpid d'emmagatzematge.
- S'ha afegit suport per a la compressió mitjançant l'algorisme (zstd).
- El sistema de fitxers ext4 utilitza marques de temps de 64 bits als camps de superbloc.
- XFS inclou eines per informar de l'estat d'integritat del sistema de fitxers durant el funcionament i obtenir l'estat de l'execució de fsck sobre la marxa.
- La pila TCP predeterminada s'ha canviat a "" en lloc de "Tan ràpid com sigui possible" quan s'envien paquets. El suport GRO (Generic Receive Offload) està habilitat per a UDP. S'ha afegit suport per rebre i enviar paquets TCP en mode de còpia zero.
- Es tracta de la implementació del protocol TLS a nivell del nucli (KTLS), que ara es pot utilitzar no només per a dades enviades, sinó també per a dades rebudes.
- Habilitat com a backend per al tallafoc de manera predeterminada
nftables. Suport opcional afegit . - S'ha afegit suport per al subsistema XDP (eXpress Data Path), que permet executar programes BPF a Linux a nivell de controlador de xarxa amb la possibilitat d'accedir directament al buffer de paquets DMA i en l'etapa abans que el buffer skbuff sigui assignat per la pila de xarxa.
- Millora i habilitat quan s'utilitza el mode d'arrencada segura UEFI , que limita l'accés de l'usuari root al nucli i bloqueja els camins de bypass d'arrencada segura UEFI. Per exemple, en mode de bloqueig, accés a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), alguns les interfícies estan limitades Els registres ACPI i MSR de la CPU, les trucades a kexec_file i kexec_load estan bloquejades, el mode de repòs està prohibit, l'ús de DMA per a dispositius PCI està limitat, la importació de codi ACPI de variables EFI està prohibida, les manipulacions amb ports d'E/S no estan limitades. permès, inclòs canviar el número d'interrupció i el port d'E/S per al port sèrie.
- S'ha afegit suport per a instruccions millorades IBRS (Enhanced Indirect Branch Restricted Speculation), que us permeten habilitar i desactivar de manera adaptativa l'execució especulativa d'instruccions durant el processament d'interrupcions, les trucades al sistema i els canvis de context. Amb el suport d'IBRS millorat, aquest mètode s'utilitza per protegir-se dels atacs de Spectre V2 en comptes de Retpoline, ja que permet un major rendiment.
- Seguretat millorada en directoris d'escriptura mundial. En aquests directoris, està prohibit crear fitxers FIFO i fitxers propietat d'usuaris que no coincideixin amb el propietari del directori amb la marca adhesiva.
- De manera predeterminada als sistemes ARM, l'aleatorització de l'espai d'adreces del nucli als sistemes (KASLR) està habilitat. L'autenticació del punter està activada per a Aarch64.
- S'ha afegit suport per a "NVMe sobre Fabrics TCP".
- S'ha afegit el controlador virtio-pmem per proporcionar accés als dispositius d'emmagatzematge assignats a l'espai d'adreces físiques, com ara els NVDIMM.
Font: opennet.ru