Společnost Oracle první stabilní vydání (UEK R6), rozšířené sestavení linuxového jádra, umístěné pro použití v distribuci Oracle Linux jako alternativa ke standardnímu balíčku jádra od Red Hat Enterprise Linux. Jádro je dostupné pouze pro architektury x86_64 a ARM64 (aarch64). Zdroje jádra, včetně rozdělení na jednotlivé patche, ve veřejném úložišti Git Oracle.
Balíček Unbreakable Enterprise Kernel 6 je založen na jádře (UEK R5 byl založen na jádře 4.14), který je aktualizován o nové funkce, optimalizace a opravy a je také testován na kompatibilitu s většinou aplikací běžících na RHEL a je speciálně optimalizován pro práci s průmyslovým softwarem a hardwarem Oracle. Instalační a src balíčky s jádrem UEK R6 jsou připraveny pro Oracle Linux и . Podpora pro větev 6.x byla ukončena, pro použití UEK R6 je nutné aktualizovat systém na Oracle Linux 7 (neexistují žádné překážky pro použití tohoto jádra v podobných verzích RHEL, CentOS a Scientific Linux).
Klíč Unbreakable Enterprise Kernel 6:
- Rozšířená podpora pro systémy založené na 64bitové architektuře ARM (aarch64).
- Byla implementována podpora všech funkcí Cgroup v2.
- Rámec ktask byl implementován pro paralelizaci úloh v jádře, které spotřebovávají značné prostředky CPU. Například pomocí ktask lze uspořádat paralelizaci operací pro vymazání rozsahů paměťových stránek nebo zpracovat seznam inodů;
- Paralelizovaná verze kswapd byla povolena pro asynchronní zpracování swapů stránky paměti, čímž se snížil počet přímých (synchronních) swapů. Jak se počet stránek volné paměti snižuje, kswapd provádí skenování, aby identifikoval nepoužívané stránky, které lze uvolnit.
- Podpora ověření integrity obrazu jádra a firmwaru pomocí digitálního podpisu při načítání jádra pomocí mechanismu Kexec (načítání jádra z již načteného systému).
- Byl optimalizován výkon systému správy virtuální paměti, zlepšila se efektivita mazání paměti a stránek mezipaměti a zlepšilo se zpracování přístupu k nepřiděleným paměťovým stránkám (chyby stránek).
- Byla rozšířena podpora NVDIMM, tuto trvalou paměť lze nyní používat jako tradiční RAM.
- Byl proveden přechod na dynamický ladicí systém DTrace 2.0, který k použití jaderného subsystému eBPF. DTrace nyní běží nad eBPF, podobně jako stávající nástroje pro sledování Linuxu běží nad eBPF.
- Vylepšení bylo provedeno v souborovém systému OCFS2 (Oracle Cluster File System).
- Vylepšená podpora pro souborový systém Btrfs. Přidána možnost používat Btrfs na kořenových oddílech. Do instalačního programu byla přidána možnost vybrat Btrfs při formátování zařízení. Přidána možnost umístit odkládací soubory na oddíly s Btrfs. Btrfs přidal podporu pro kompresi pomocí algoritmu ZStandard.
- Přidána podpora pro rozhraní pro asynchronní I/O - io_uring, které se vyznačuje podporou I/O dotazování a schopností pracovat s nebo bez vyrovnávací paměti. Pokud jde o výkon, io_uring je velmi blízko SPDK a je výrazně před libaio při práci s povoleným dotazováním. Pro použití io_uring v koncových aplikacích běžících v uživatelském prostoru byla připravena knihovna liburing, která poskytuje vysokoúrovňovou vazbu přes rozhraní jádra;
- Přidána podpora režimu pro rychlé šifrování úložiště.
- Přidána podpora pro kompresi pomocí algoritmu (zstd).
- Systém souborů ext4 používá 64bitová časová razítka v polích superbloku.
- XFS obsahuje nástroje pro hlášení stavu integrity souborového systému během provozu a získávání stavu při provádění fsck za běhu.
- Výchozí zásobník TCP byl přepnut na "" místo "Jak rychle je to možné" při odesílání paketů. Pro UDP je povolena podpora GRO (Generic Receive Offload). Přidána podpora pro příjem a odesílání TCP paketů v režimu nulové kopie.
- Jde o implementaci protokolu TLS na úrovni jádra (KTLS), který lze nyní použít nejen pro odesílaná, ale i pro přijímaná data.
- Ve výchozím nastavení povoleno jako backend pro bránu firewall
nftables. Přidána volitelná podpora . - Přidána podpora subsystému XDP (eXpress Data Path), který umožňuje spouštění programů BPF na Linuxu na úrovni síťového ovladače s možností přímého přístupu k vyrovnávací paměti paketů DMA a ve fázi před přidělením vyrovnávací paměti skbuff síťovým zásobníkem.
- Vylepšeno a povoleno při použití režimu zabezpečeného spouštění UEFI , který omezuje přístup uživatelů root k jádru a blokuje cesty obcházení UEFI Secure Boot. Například v režimu uzamčení je přístup k /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, režim ladění kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), některé rozhraní je omezeno ACPI a MSR registry CPU, volání kexec_file a kexec_load jsou blokována, režim spánku je zakázán, použití DMA pro PCI zařízení je omezeno, import ACPI kódu z EFI proměnných je zakázán, manipulace s I/O porty nejsou povoleny povoleno, včetně změny čísla přerušení a I/O portu pro sériový port.
- Přidána podpora vylepšených instrukcí IBRS (Enhanced Indirect Branch Restricted Speculation), které umožňují adaptivně povolit a zakázat spekulativní provádění instrukcí během zpracování přerušení, systémových volání a přepínání kontextu. S podporou Enhanced IBRS se tato metoda používá k ochraně proti útokům Spectre V2 namísto Retpoline, protože umožňuje vyšší výkon.
- Vylepšené zabezpečení ve světově zapisovatelných adresářích. V takových adresářích je zakázáno vytvářet soubory FIFO a soubory vlastněné uživateli, které se neshodují s vlastníkem adresáře s příznakem sticky.
- Ve výchozím nastavení je na systémech ARM povolena randomizace adresového prostoru jádra v systémech (KASLR). Autentizace ukazatele je povolena pro Aarch64.
- Přidána podpora pro „NVMe over Fabrics TCP“.
- Přidán ovladač virtio-pmem, který poskytuje přístup k úložným zařízením s mapováním prostoru fyzické adresy, jako jsou NVDIMM.
Zdroj: opennet.ru