Cumpagnia Oracle prima liberazione stabile (UEK R6), una custruzzione estesa di u kernel Linux, posizionatu per l'usu in a distribuzione Oracle Linux cum'è una alternativa à u pacchettu di kernel standard da Red Hat Enterprise Linux. U kernel hè dispunibule solu per l'architetture x86_64 è ARM64 (aarch64). Fonti di u kernel, cumpresa a ripartizione in patch individuali, in u repositoriu publicu di Git Oracle.
U pacchettu Unbreakable Enterprise Kernel 6 hè basatu annantu à u kernel (UEK R5 hè basatu annantu à u kernel 4.14), chì hè aghjurnatu cù novi funzioni, ottimisazioni è correzioni, è hè ancu pruvatu per a cumpatibilità cù a maiò parte di l'applicazioni in esecuzione in RHEL, è hè specificamente ottimizzatu per travaglià cù software industriale è hardware Oracle. L'installazione è i pacchetti src cù u kernel UEK R6 sò preparati per Oracle Linux и . U supportu per a filiera 6.x hè stata interrotta; per utilizà UEK R6, duvete aghjurnà u sistema à Oracle Linux 7 (ùn ci hè micca ostaculi per aduprà stu kernel in versioni simili di RHEL, CentOS è Scientific Linux).
Chjave Unbreakable Enterprise Kernel 6:
- Supportu allargatu per i sistemi basati nantu à l'architettura ARM 64-bit (aarch64).
- U supportu per tutte e funzioni di Cgroup v2 hè statu implementatu.
- U quadru di ktask hè statu implementatu per parallelizà i travaglii in u kernel chì cunsuma risorse di CPU significativu. Per esempiu, aduprendu ktask, a parallelizazione di l'operazioni per sguassà intervalli di pagine di memoria o processà una lista di inodi pò esse urganizata;
- Una versione parallelizzata di kswapd hè stata attivata per processà i scambii di pagine di memoria in modu asincronu, riducendu u numeru di scambii diretti (sincroni). Quandu u numeru di pagine di memoria libera diminuisce, kswapd realiza una scansione per identificà e pagine inutilizate chì ponu esse liberate.
- Supportu per verificà l'integrità di l'imaghjini di u kernel è u firmware utilizendu una firma digitale quandu si carica u kernel cù u mecanismu Kexec (carichi u kernel da un sistema digià caricatu).
- U funziunamentu di u sistema di gestione di memoria virtuale hè stata ottimisata, l'efficienza di sguassà e pagine di memoria è di cache hè stata migliurata, è u trattamentu di l'accessu à e pagine di memoria non allocate (faults di pagina) hè statu migliuratu.
- U supportu NVDIMM hè statu allargatu, sta memoria persistente pò avà esse usata cum'è RAM tradiziunale.
- A transizione à u sistema di debugging dinamica DTrace 2.0 hè stata fatta, chì per utilizà u subsistema di kernel eBPF. DTrace ora corre nantu à eBPF, simile à cumu l'arnesi di traccia Linux esistenti funzionanu sopra à eBPF.
- Migliuramenti sò stati fatti à u sistema di schedari OCFS2 (Oracle Cluster File System).
- Supportu migliuratu per u sistema di fugliale Btrfs. Aggiunta l'abilità di utilizà Btrfs in partizioni radicali. Una opzione hè stata aghjunta à l'installatore per selezziunà Btrfs quandu formate i dispositi. Aggiunta l'abilità di mette i fugliali di scambiu in partizioni cù Btrfs. Btrfs hà aghjustatu supportu per a compressione cù l'algoritmu ZStandard.
- Aghjunghje un supportu per l'interfaccia per l'I/O asincronu - io_uring, chì hè notu per u so supportu per u polling I/O è a capacità di travaglià cù o senza buffering. In termini di prestazioni, io_uring hè assai vicinu à SPDK è hè significativamente davanti à libaio quandu travaglia cù polling attivatu. Per utilizà io_uring in l'applicazioni finali chì currenu in u spaziu di l'utilizatori, a biblioteca di liburing hè stata preparata, chì furnisce un ligame d'altu livellu nantu à l'interfaccia di u kernel;
- Supportu di modu aghjuntu per una criptografia rapida di almacenamiento.
- Aghjunghje supportu per a compressione cù l'algoritmu (zstd).
- U sistema di schedari ext4 usa timestamps di 64-bit in i campi superblocchi.
- XFS include strumenti per rapportà u statutu di integrità di u sistema di fugliale durante l'operazione è ottene u statutu nantu à l'esekzione di fsck nantu à a mosca.
- A pila TCP predeterminata hè stata cambiata à u "" invece di "As Fast As Possible" quandu invià i pacchetti. U supportu GRO (Generic Receive Offload) hè attivatu per UDP. Aghjunghje supportu per riceve è mandà pacchetti TCP in modu zero-copy.
- L'implementazione di u protokollu TLS à u nivellu di u kernel (KTLS) hè implicata, chì avà pò esse usata micca solu per mandatu, ma ancu per i dati ricevuti.
- Abilitatu cum'è backend per u firewall per difettu
nftables. Supportu opzionale aghjuntu . - Aghjunghje supportu per u subsistema XDP (eXpress Data Path), chì permette di eseguisce programmi BPF in Linux à u livellu di u driver di rete cù a capacità di accede direttamente à u buffer di pacchettu DMA è in u stadiu prima chì u buffer skbuff hè attribuitu da a pila di rete.
- Migliuratu è attivatu quandu si usa u modu UEFI Secure Boot , chì limita l'accessu di l'utilizatori root à u kernel è blucca i percorsi di bypass UEFI Secure Boot. Per esempiu, in modu di bloccu, accessu à /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), alcuni L'interfaccia hè limitata à i registri ACPI è MSR di u CPU, e chjama à kexec_file è kexec_load sò bluccati, u modu di sonnu hè pruibitu, l'usu di DMA per i dispositi PCI hè limitatu, l'importazione di codice ACPI da variabili EFI hè pruibita, manipulazioni cù porti I / O ùn sò micca limitati. permessu, cumpresu cambià u numeru di interruzzione è u portu I / O per u portu seriale.
- Aghjunghje un supportu per l'istruzzioni IBRS (Enhanced Indirect Branch Restricted Speculation), chì vi permettenu di attivà è disattivà in modu adattatu l'esekzione speculativa di l'istruzzioni durante u processu di interruzzione, e chjama di u sistema è i cambiamenti di cuntestu. Cù supportu IBRS Enhanced, stu metudu hè utilizatu per pruteggiri contra l'attacchi Spectre V2 invece di Retpoline, perchè permette un rendimentu più altu.
- Sicurezza mejorata in i cartulari scrivibili in u mondu. In tali cartulari, hè pruibitu di creà file FIFO è fugliali di l'utilizatori chì ùn currispondenu micca à u pruprietariu di u cartulare cù a bandiera appiccicosa.
- Per automaticamente in i sistemi ARM, a randomizazione di l'indirizzu di u kernel in i sistemi (KASLR) hè attivata. L'autenticazione di puntatore hè attivata per Aarch64.
- Aghjunghje supportu per "NVMe over Fabrics TCP".
- Aggiuntu un driver virtio-pmem per furnisce l'accessu à i dispositi di almacenamentu di u spaziu di l'indirizzu fisicu cum'è NVDIMM.
Source: opennet.ru