Oracle Company første stabile udgivelse (UEK R6), en udvidet build af Linux-kernen, placeret til brug i Oracle Linux-distributionen som et alternativ til lagerkernepakken fra Red Hat Enterprise Linux. Kernen er kun tilgængelig for x86_64 og ARM64 (aarch64) arkitekturer. Kildekoden til kernen, inklusive opdelingen i individuelle patches, i det offentlige Oracle Git-lager.
Unbreakable Enterprise Kernel 6 er baseret på kernen (UEK R5 var baseret på 4.14 kernen), som er blevet opdateret med nye funktioner, optimeringer og rettelser, er blevet testet for kompatibilitet med de fleste applikationer, der kører på RHEL, og er specifikt optimeret til at arbejde med Oracle industriel software og hardware. UEK R6-kerneinstallation og src-pakker forberedt til Oracle Linux и . Support til 6.x-grenen er afbrudt, for at bruge UEK R6 skal du opgradere systemet til Oracle Linux 7 (der er ingen hindringer for at bruge denne kerne i lignende versioner af RHEL, CentOS og Scientific Linux).
Nøgle Unbreakable Enterprise Kernel 6:
- Udvidet understøttelse af systemer baseret på 64-bit ARM-arkitekturen (aarch64).
- Implementeret understøttelse af alle funktioner i Cgroup v2.
- Ktask-rammen er blevet implementeret for at parallelisere opgaver i kernen, der bruger betydelige CPU-ressourcer. For eksempel, ved hjælp af ktask, kan parallelisering af operationer til at rydde hukommelsessideområder eller behandling af listen over inoder organiseres;
- En paralleliseret version af kswapd er inkluderet til at behandle sidebytte asynkront, hvilket reducerer antallet af direkte (synkrone) bytte. Når antallet af ledige hukommelsessider falder, scanner kswapd for ubrugte sider, der kan frigøres.
- Understøttelse af verificering af integriteten af kernebilledet og digitalt signeret firmware ved indlæsning af kernen ved hjælp af Kexec-mekanismen (indlæser kernen fra et allerede indlæst system).
- Ydeevnen af det virtuelle hukommelsesstyringssystem er blevet optimeret, effektiviteten af rydning af hukommelse og cache-sider er blevet forbedret, og behandlingen af adgange til ikke-allokerede hukommelsessider (sidefejl) er blevet forbedret.
- Understøttelsen af NVDIMM er blevet udvidet, den angivne permanente hukommelse kan nu bruges som traditionel RAM.
- Overgangen til DTrace 2.0 dynamisk debugging system er foretaget, hvilket at bruge eBPF-kerneundersystemet. DTrace kører nu oven på eBPF, svarende til hvordan eksisterende Linux-sporingsværktøjer fungerer oven på eBPF.
- Der er foretaget forbedringer af filsystemet OCFS2 (Oracle Cluster File System).
- Forbedret understøttelse af Btrfs-filsystemet. Tilføjet muligheden for at bruge Btrfs på rodpartitioner. En mulighed er blevet tilføjet til installationsprogrammet for at vælge Btrfs ved formatering af enheder. Tilføjet muligheden for at placere personsøgningsfiler på partitioner med Btrfs. Btrfs tilføjer understøttelse af komprimering ved hjælp af ZStandard-algoritmen.
- Tilføjet understøttelse af en grænseflade til asynkron I/O - io_uring, som er bemærkelsesværdig for at understøtte I/O polling og evnen til at arbejde både med buffering og uden buffering. Med hensyn til ydeevne er io_uring meget tæt på SPDK og overgår libaio betydeligt, når polling er aktiveret. For at bruge io_uring i slutapplikationer, der kører i brugerrum, er liburing-biblioteket blevet forberedt, hvilket giver en binding på højt niveau over kernegrænsefladen;
- Tilføjet tilstandsunderstøttelse til hurtig kryptering af drev.
- Tilføjet understøttelse af komprimering ved hjælp af en algoritme (zstd).
- ext4-filsystemet bruger 64-bit tidsstempler i superblokfelter.
- XFS inkluderer faciliteter til at informere om integriteten af et filsystem under kørsel og for at få status om fsck-udførelse i farten.
- TCP-stakken er som standard indstillet til "" i stedet for "Så hurtigt som muligt", når du sender pakker. GRO (Generic Receive Offload)-understøttelse er aktiveret for UDP. Tilføjet understøttelse for modtagelse og afsendelse af TCP-pakker i nul-kopitilstand.
- Implementeringen af TLS-protokollen på kerneniveau (KTLS) er involveret, som nu ikke kun kan bruges til sendte, men også modtagne data.
- Aktiveret som backend for firewallen som standard
nftables. Valgfri support tilføjet . - Tilføjet understøttelse af XDP (eXpress Data Path) undersystemet, som gør det muligt at køre BPF-programmer på Linux på netværksdriverniveau med mulighed for direkte adgang til DMA-pakkebufferen og på stadiet før netværksstakken tildeler skbuff-bufferen.
- Forbedret og aktiveret ved brug af UEFI Secure Boot-tilstand , som begrænser root-brugeres adgang til kernen og blokerer UEFI Secure Boot-bypass-stier. For eksempel begrænser lockdown-tilstand adgang til /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), nogle grænseflader ACPI- og MSR-registre for CPU'en, opkald til kexec_file og kexec_load er blokeret, overgangen til dvaletilstand er forbudt, brugen af DMA til PCI-enheder er begrænset, import af ACPI-kode fra EFI-variabler er forbudt, manipulationer med I/O porte er ikke tilladt, herunder ændring af interrupt-nummeret og en I/O-port til den serielle port.
- Tilføjet understøttelse af IBRS-instruktioner (Enhanced Indirect Branch Restricted Speculation), der giver dig mulighed for adaptivt at aktivere og deaktivere udførelse af spekulativ instruktion under afbrydelser, systemkald og kontekstskift. Hvis Enhanced IBRS understøttes, bruges denne metode til at beskytte mod Spectre V2-angreb i stedet for Retpoline, da den giver bedre ydeevne.
- Forbedret beskyttelse i mapper, der kan skrives af alle. I sådanne mapper er det forbudt at oprette FIFO-filer og filer, der ejes af brugere, som ikke matcher ejeren af mappen med det sticky flag.
- Som standard på ARM-systemer er randomisering af kerneadresserum på systemer (KASLR) aktiveret. Aarch64 har pointer-godkendelse aktiveret.
- Tilføjet understøttelse af "NVMe over Fabrics TCP".
- Virtio-pmem-driveren er blevet tilføjet for at give adgang til fysisk adressekortlagte lagerenheder såsom NVDIMM'er.
Kilde: opennet.ru