Oracle-Unternehmen erste stabile Version (UEK R6), ein erweiterter Build des Linux-Kernels, der für die Verwendung in der Oracle Linux-Distribution als Alternative zum Standard-Kernelpaket von Red Hat Enterprise Linux konzipiert ist. Der Kernel ist nur für die Architekturen x86_64 und ARM64 (aarch64) verfügbar. Kernel-Quellen, einschließlich Aufschlüsselung in einzelne Patches, im öffentlichen Git-Repository von Oracle.
Das Unbreakable Enterprise Kernel 6-Paket basiert auf dem Kernel (UEK R5 basierte auf Kernel 4.14), der mit neuen Funktionen, Optimierungen und Korrekturen aktualisiert wurde, außerdem auf Kompatibilität mit den meisten Anwendungen getestet wurde, die auf RHEL ausgeführt werden, und speziell für die Arbeit mit Industriesoftware und Oracle-Hardware optimiert ist. Für Oracle Linux sind Installations- und SRC-Pakete mit dem UEK R6-Kernel vorbereitet и . Die Unterstützung für den 6.x-Zweig wurde eingestellt. Um UEK R6 verwenden zu können, müssen Sie das System auf Oracle Linux 7 aktualisieren (der Verwendung dieses Kernels in ähnlichen Versionen von RHEL, CentOS und Scientific Linux steht nichts im Wege).
Taste Unbreakable Enterprise Kernel 6:
- Erweiterte Unterstützung für Systeme, die auf der 64-Bit-ARM-Architektur (aarch64) basieren.
- Unterstützung für alle Funktionen von Cgroup v2 wurde implementiert.
- Das ktask-Framework wurde implementiert, um Aufgaben im Kernel zu parallelisieren, die erhebliche CPU-Ressourcen verbrauchen. Mit ktask kann beispielsweise die Parallelisierung von Vorgängen zum Löschen von Speicherseitenbereichen oder zum Verarbeiten einer Liste von Inodes organisiert werden.
- Eine parallelisierte Version von kswapd wurde aktiviert, um Speicherseiten-Swaps asynchron zu verarbeiten und so die Anzahl der direkten (synchronen) Swaps zu reduzieren. Wenn die Anzahl der freien Speicherseiten abnimmt, führt kswapd einen Scan durch, um ungenutzte Seiten zu identifizieren, die freigegeben werden können.
- Unterstützung für die Überprüfung der Integrität des Kernel-Images und der Firmware mithilfe einer digitalen Signatur beim Laden des Kernels mithilfe des Kexec-Mechanismus (Laden des Kernels von einem bereits geladenen System).
- Die Leistung des virtuellen Speicherverwaltungssystems wurde optimiert, die Effizienz beim Löschen von Speicher- und Cache-Seiten wurde verbessert und die Verarbeitung des Zugriffs auf nicht zugewiesene Speicherseiten (Seitenfehler) wurde verbessert.
- Die NVDIMM-Unterstützung wurde erweitert, dieser persistente Speicher kann nun als herkömmlicher RAM verwendet werden.
- Der Übergang zum dynamischen Debugging-System DTrace 2.0 ist erfolgt, welches um das eBPF-Kernel-Subsystem zu verwenden. DTrace läuft jetzt auf eBPF, ähnlich wie bestehende Linux-Tracing-Tools auf eBPF laufen.
- Am OCFS2-Dateisystem (Oracle Cluster File System) wurden Verbesserungen vorgenommen.
- Verbesserte Unterstützung für das Btrfs-Dateisystem. Es wurde die Möglichkeit hinzugefügt, Btrfs auf Root-Partitionen zu verwenden. Dem Installationsprogramm wurde eine Option hinzugefügt, um Btrfs beim Formatieren von Geräten auszuwählen. Es wurde die Möglichkeit hinzugefügt, Auslagerungsdateien mit Btrfs auf Partitionen zu platzieren. Btrfs hat Unterstützung für die Komprimierung mithilfe des ZStandard-Algorithmus hinzugefügt.
- Unterstützung für die Schnittstelle für asynchrone E/A – io_uring – hinzugefügt, die sich durch die Unterstützung von E/A-Abfragen und die Möglichkeit, mit oder ohne Pufferung zu arbeiten, auszeichnet. In Bezug auf die Leistung kommt io_uring dem SPDK sehr nahe und liegt bei der Arbeit mit aktiviertem Polling deutlich vor libaio. Um io_uring in Endanwendungen zu verwenden, die im Benutzerbereich ausgeführt werden, wurde die Bibliothek liburing vorbereitet, die eine Bindung auf hoher Ebene über die Kernel-Schnittstelle bereitstellt;
- Modusunterstützung hinzugefügt für eine schnelle Speicherverschlüsselung.
- Unterstützung für die Komprimierung mithilfe des Algorithmus hinzugefügt (zstd).
- Das ext4-Dateisystem verwendet 64-Bit-Zeitstempel in den Superblock-Feldern.
- XFS umfasst Tools zum Melden des Integritätsstatus des Dateisystems während des Betriebs und zum Abrufen des Status bei der Ausführung von fsck im laufenden Betrieb.
- Der Standard-TCP-Stack wurde auf „" statt "So schnell wie möglich" beim Versenden von Paketen. Die GRO-Unterstützung (Generic Receive Offload) ist für UDP aktiviert. Unterstützung für das Empfangen und Senden von TCP-Paketen im Zero-Copy-Modus hinzugefügt.
- Dabei handelt es sich um die Implementierung des TLS-Protokolls auf Kernel-Ebene (KTLS), das nun nicht nur für gesendete, sondern auch für empfangene Daten genutzt werden kann.
- Standardmäßig als Backend für die Firewall aktiviert
nftables. Optionale Unterstützung hinzugefügt . - Unterstützung für das XDP-Subsystem (eXpress Data Path) hinzugefügt, das die Ausführung von BPF-Programmen unter Linux auf Netzwerktreiberebene mit der Möglichkeit ermöglicht, direkt auf den DMA-Paketpuffer und in der Phase vor der Zuweisung des Skbuff-Puffers durch den Netzwerkstapel zuzugreifen.
- Verbessert und aktiviert bei Verwendung des UEFI Secure Boot-Modus , wodurch der Root-Benutzerzugriff auf den Kernel eingeschränkt und UEFI Secure Boot-Umgehungspfade blockiert werden. Zum Beispiel im Sperrmodus Zugriff auf /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes Debugging-Modus, mmiotrace, Tracefs, BPF, PCMCIA CIS (Card Information Structure), einige Schnittstellen sind eingeschränkt, ACPI- und MSR-Register der CPU, Aufrufe von kexec_file und kexec_load sind blockiert, Schlafmodus ist verboten, DMA-Nutzung für PCI-Geräte ist eingeschränkt, Import von ACPI-Code aus EFI-Variablen ist verboten, Manipulationen mit I/O-Ports nicht erlaubt, einschließlich der Änderung der Interrupt-Nummer und des I/O-Ports für den seriellen Port.
- Unterstützung für erweiterte IBRS-Anweisungen (Enhanced Indirect Branch Restricted Speculation) hinzugefügt, mit denen Sie die spekulative Ausführung von Anweisungen während der Interrupt-Verarbeitung, bei Systemaufrufen und bei Kontextwechseln adaptiv aktivieren und deaktivieren können. Mit erweiterter IBRS-Unterstützung wird diese Methode anstelle von Retpoline zum Schutz vor Spectre V2-Angriffen verwendet, da sie eine höhere Leistung ermöglicht.
- Verbesserte Sicherheit in Verzeichnissen, die von allen Benutzern beschreibbar sind. In solchen Verzeichnissen ist es verboten, FIFO-Dateien und Dateien von Benutzern zu erstellen, die nicht mit dem Besitzer des Verzeichnisses mit der Sticky-Flagge übereinstimmen.
- Standardmäßig ist auf ARM-Systemen die Kernel-Adressraum-Randomisierung auf Systemen (KASLR) aktiviert. Die Zeigerauthentifizierung ist für Aarch64 aktiviert.
- Unterstützung für „NVMe over Fabrics TCP“ hinzugefügt.
- Virtio-pmem-Treiber hinzugefügt, um Zugriff auf Speichergeräte mit physischer Adressraumzuordnung wie NVDIMMs zu ermöglichen.
Source: opennet.ru