ProHoster > Blog > ειδήσεις στο διαδίκτυο > Η Oracle κυκλοφορεί το Unbreakable Enterprise Kernel 6

Η Oracle κυκλοφορεί το Unbreakable Enterprise Kernel 6

Oracle Company παρουσιάζονται πρώτη σταθερή έκδοση Άθραυστο πυρήνα επιχείρησης 6 (UEK R6), μια εκτεταμένη έκδοση του πυρήνα Linux που διατίθεται στην αγορά για χρήση στη διανομή Oracle Linux ως εναλλακτική λύση στο πακέτο πυρήνα μετοχών από το Red Hat Enterprise Linux. Ο πυρήνας είναι διαθέσιμος μόνο για αρχιτεκτονικές x86_64 και ARM64 (aarch64). Ο πηγαίος κώδικας για τον πυρήνα, συμπεριλαμβανομένης της ανάλυσης σε μεμονωμένες ενημερώσεις κώδικα, που δημοσιεύθηκε στο δημόσιο αποθετήριο Oracle Git.

Ο Unbreakable Enterprise Kernel 6 βασίζεται στον πυρήνα Linux 5.4 (Το UEK R5 βασίστηκε στον πυρήνα 4.14), ο οποίος είναι ενημερωμένος με νέες δυνατότητες, βελτιστοποιήσεις και διορθώσεις και έχει δοκιμαστεί για συμβατότητα με τις περισσότερες εφαρμογές που εκτελούνται σε RHEL και έχει βελτιστοποιηθεί ειδικά για να λειτουργεί με βιομηχανικό λογισμικό και υλικό Oracle. Εγκατάσταση πυρήνα UEK R6 και πακέτα src προετοιμασμένα για Oracle Linux 7.x и 8.x. Η υποστήριξη για τον κλάδο 6.x έχει διακοπεί, για να χρησιμοποιήσετε το UEK R6, πρέπει να αναβαθμίσετε το σύστημα σε Oracle Linux 7 (δεν υπάρχουν εμπόδια στη χρήση αυτού του πυρήνα σε παρόμοιες εκδόσεις του RHEL, CentOS και Scientific Linux).

Κλειδί καινοτομίες Unbreakable Enterprise Kernel 6:

  • Εκτεταμένη υποστήριξη για συστήματα που βασίζονται στην αρχιτεκτονική ARM 64-bit (aarch64).
  • Υλοποιημένη υποστήριξη για όλες τις δυνατότητες του Cgroup v2.
  • Το πλαίσιο ktask έχει εφαρμοστεί για να παραλληλίσει τις εργασίες στον πυρήνα που καταναλώνουν σημαντικούς πόρους της CPU. Για παράδειγμα, με τη βοήθεια του ktask, μπορεί να οργανωθεί παραλληλισμός λειτουργιών για εκκαθάριση εύρους σελίδων μνήμης ή επεξεργασία της λίστας των inodes.
  • Έχει συμπεριληφθεί μια παραλληλισμένη έκδοση του kswapd για την ασύγχρονη επεξεργασία εναλλαγών σελίδων, μειώνοντας τον αριθμό των άμεσων (σύγχρονων) εναλλαγών. Όταν μειώνεται ο αριθμός των σελίδων ελεύθερης μνήμης, το kswapd σαρώνει για μη χρησιμοποιημένες σελίδες που μπορούν να ελευθερωθούν.
  • Υποστήριξη για την επαλήθευση της ακεραιότητας της εικόνας του πυρήνα και του ψηφιακά υπογεγραμμένου υλικολογισμικού κατά τη φόρτωση του πυρήνα χρησιμοποιώντας τον μηχανισμό Kexec (φόρτωση του πυρήνα από ένα ήδη φορτωμένο σύστημα).
  • Η απόδοση του συστήματος διαχείρισης εικονικής μνήμης έχει βελτιστοποιηθεί, η αποτελεσματικότητα της εκκαθάρισης σελίδων μνήμης και προσωρινής μνήμης έχει βελτιωθεί και η επεξεργασία των προσβάσεων σε σελίδες μη εκχωρημένης μνήμης (σφάλματα σελίδας) έχει βελτιωθεί.
  • Η υποστήριξη για NVDIMM έχει επεκταθεί, η καθορισμένη μόνιμη μνήμη μπορεί πλέον να χρησιμοποιηθεί ως παραδοσιακή μνήμη RAM.
  • Έγινε η μετάβαση στο σύστημα δυναμικής αποσφαλμάτωσης DTrace 2.0, το οποίο μεταφρασμένο για να χρησιμοποιήσετε το υποσύστημα πυρήνα eBPF. Το DTrace εκτελείται πλέον πάνω από το eBPF, παρόμοια με το πώς λειτουργούν τα υπάρχοντα εργαλεία ανίχνευσης Linux πάνω από το eBPF.
  • Έχουν γίνει βελτιώσεις στο σύστημα αρχείων OCFS2 (Oracle Cluster File System).
  • Βελτιωμένη υποστήριξη για το σύστημα αρχείων Btrfs. Προστέθηκε η δυνατότητα χρήσης Btrfs σε κατατμήσεις ρίζας. Στο πρόγραμμα εγκατάστασης έχει προστεθεί μια επιλογή για την επιλογή Btrfs κατά τη μορφοποίηση συσκευών. Προστέθηκε η δυνατότητα τοποθέτησης αρχείων σελιδοποίησης σε κατατμήσεις με Btrfs. Το Btrfs προσθέτει υποστήριξη για συμπίεση χρησιμοποιώντας τον αλγόριθμο ZStandard.
  • Προστέθηκε υποστήριξη για μια διεπαφή για ασύγχρονη I / O - io_uring, η οποία είναι αξιοσημείωτη για την υποστήριξη I/O polling και τη δυνατότητα εργασίας τόσο με buffering όσο και χωρίς buffering. Όσον αφορά την απόδοση, το io_uring είναι πολύ κοντά στο SPDK και ξεπερνά σημαντικά το libaio όταν είναι ενεργοποιημένο το polling. Για τη χρήση του io_uring σε τελικές εφαρμογές που εκτελούνται στο χώρο χρήστη, έχει προετοιμαστεί η βιβλιοθήκη απελευθέρωσης, η οποία παρέχει σύνδεση υψηλού επιπέδου στη διεπαφή του πυρήνα.
  • Προστέθηκε υποστήριξη λειτουργίας adiantum για γρήγορη κρυπτογράφηση μονάδων δίσκου.
  • Προστέθηκε υποστήριξη για συμπίεση χρησιμοποιώντας αλγόριθμο Zstandard (zstd).
  • Το σύστημα αρχείων ext4 χρησιμοποιεί χρονικές σημάνσεις 64-bit σε πεδία superblock.
  • Το XFS περιλαμβάνει εγκαταστάσεις για την ενημέρωση της κατάστασης ακεραιότητας ενός συστήματος αρχείων κατά το χρόνο εκτέλεσης και για τη λήψη κατάστασης σχετικά με την εκτέλεση του fsck on the fly.
  • Η στοίβα TCP είναι προεπιλεγμένη στο "Ώρα πρόωρης αναχώρησης" αντί για "Όσο πιο γρήγορα γίνεται" κατά την αποστολή πακέτων. Η υποστήριξη GRO (Generic Receive Offload) είναι ενεργοποιημένη για το UDP. Προστέθηκε υποστήριξη για λήψη και αποστολή πακέτων TCP σε λειτουργία μηδενικής αντιγραφής.
  • Εμπλέκεται η υλοποίηση του πρωτοκόλλου TLS σε επίπεδο πυρήνα (KTLS), το οποίο μπορεί πλέον να χρησιμοποιηθεί όχι μόνο για αποσταλμένα, αλλά και για ληφθέντα δεδομένα.
  • Ενεργοποιημένο ως backend για το τείχος προστασίας από προεπιλογή
    nftables. Προστέθηκε προαιρετική υποστήριξη bpfilter.

  • Προστέθηκε υποστήριξη για το υποσύστημα XDP (eXpress Data Path), το οποίο επιτρέπει την εκτέλεση προγραμμάτων BPF σε Linux σε επίπεδο προγράμματος οδήγησης δικτύου με δυνατότητα άμεσης πρόσβασης στην προσωρινή μνήμη πακέτων DMA και στο στάδιο πριν η στοίβα δικτύου εκχωρήσει την προσωρινή μνήμη skbuff.
  • Βελτιώθηκε και ενεργοποιήθηκε κατά τη χρήση της λειτουργίας Ασφαλούς εκκίνησης UEFI Lockdown, το οποίο περιορίζει την πρόσβαση του χρήστη root στον πυρήνα και αποκλείει τις διαδρομές παράκαμψης του UEFI Secure Boot. Για παράδειγμα, η λειτουργία κλειδώματος περιορίζει την πρόσβαση σε /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), ορισμένες διεπαφές Οι καταχωρητές ACPI και MSR της CPU, οι κλήσεις σε kexec_file και kexec_load είναι αποκλεισμένες, η μετάβαση σε κατάσταση αναστολής λειτουργίας απαγορεύεται, η χρήση DMA για συσκευές PCI είναι περιορισμένη, η εισαγωγή κώδικα ACPI από μεταβλητές EFI απαγορεύεται, οι χειρισμοί με I/O Οι θύρες δεν επιτρέπονται, συμπεριλαμβανομένης της αλλαγής του αριθμού διακοπής και μιας θύρας I/O για τη σειριακή θύρα.
  • Προστέθηκε υποστήριξη για οδηγίες Enhanced Indirect Branch Restricted Speculation (IBRS) που σας επιτρέπουν να ενεργοποιείτε και να απενεργοποιείτε προσαρμοστικά την κερδοσκοπική εκτέλεση εντολών κατά τις διακοπές, τις κλήσεις συστήματος και τους διακόπτες περιβάλλοντος. Εάν υποστηρίζεται το Enhanced IBRS, αυτή η μέθοδος χρησιμοποιείται για προστασία από επιθέσεις Spectre V2 αντί για Retpoline, καθώς παρέχει καλύτερη απόδοση.
  • Βελτιωμένη προστασία σε καταλόγους που μπορούν να εγγραφούν από όλους. Σε τέτοιους καταλόγους, απαγορεύεται η δημιουργία αρχείων FIFO και αρχείων που ανήκουν σε χρήστες που δεν ταιριάζουν με τον κάτοχο του καταλόγου με το sticky flag.
  • Από προεπιλογή στα συστήματα ARM, η τυχαιοποίηση χώρου διευθύνσεων πυρήνα στα συστήματα (KASLR) είναι ενεργοποιημένη. Το Aarch64 έχει ενεργοποιημένο τον έλεγχο ταυτότητας δείκτη.
  • Προστέθηκε υποστήριξη για το "NVMe over Fabrics TCP".
  • Το πρόγραμμα οδήγησης virtio-pmem έχει προστεθεί για να παρέχει πρόσβαση σε συσκευές αποθήκευσης αντιστοίχισης φυσικών διευθύνσεων, όπως NVDIMM.

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο