Compañía Oráculo primera versión estable (UEK R6), una versión ampliada del kernel de Linux, posicionada para su uso en la distribución Oracle Linux como alternativa al paquete de kernel estándar de Red Hat Enterprise Linux. El kernel sólo está disponible para arquitecturas x86_64 y ARM64 (aarch64). Fuentes del kernel, incluido el desglose en parches individuales, en el repositorio público de Git de Oracle.
El paquete Unbreakable Enterprise Kernel 6 se basa en el kernel (UEK R5 se basó en el kernel 4.14), que se actualiza con nuevas características, optimizaciones y correcciones, y también se prueba su compatibilidad con la mayoría de las aplicaciones que se ejecutan en RHEL, y está optimizado específicamente para funcionar con software industrial y hardware de Oracle. Se preparan paquetes de instalación y src con el kernel UEK R6 para Oracle Linux и . Se suspendió el soporte para la rama 6.x; para usar UEK R6, debe actualizar el sistema a Oracle Linux 7 (no hay obstáculos para usar este kernel en versiones similares de RHEL, CentOS y Scientific Linux).
Llave Kernel empresarial irrompible 6:
- Soporte ampliado para sistemas basados en arquitectura ARM de 64 bits (aarch64).
- Se ha implementado soporte para todas las funciones de Cgroup v2.
- El marco ktask se ha implementado para paralelizar tareas en el kernel que consumen importantes recursos de CPU. Por ejemplo, usando ktask, se puede organizar la paralelización de operaciones para borrar rangos de páginas de memoria o procesar una lista de inodos;
- Se ha habilitado una versión paralelizada de kswapd para procesar intercambios de páginas de memoria de forma asincrónica, lo que reduce la cantidad de intercambios directos (síncronos). A medida que disminuye el número de páginas de memoria libres, kswapd realiza un escaneo para identificar las páginas no utilizadas que se pueden liberar.
- Soporte para verificar la integridad de la imagen del kernel y el firmware usando una firma digital al cargar el kernel usando el mecanismo Kexec (cargando el kernel desde un sistema ya cargado).
- Se ha optimizado el rendimiento del sistema de gestión de memoria virtual, se ha mejorado la eficiencia de borrar la memoria y las páginas de caché y se ha mejorado el procesamiento del acceso a páginas de memoria no asignadas (fallas de página).
- Se ha ampliado la compatibilidad con NVDIMM; esta memoria persistente ahora se puede utilizar como RAM tradicional.
- Se ha realizado la transición al sistema de depuración dinámica DTrace 2.0, que para utilizar el subsistema del kernel eBPF. DTrace ahora se ejecuta sobre eBPF, de forma similar a cómo se ejecutan las herramientas de seguimiento de Linux existentes sobre eBPF.
- Se han realizado mejoras en el sistema de archivos OCFS2 (Oracle Cluster File System).
- Soporte mejorado para el sistema de archivos Btrfs. Se agregó la capacidad de usar Btrfs en particiones raíz. Se ha agregado una opción al instalador para seleccionar Btrfs al formatear dispositivos. Se agregó la capacidad de colocar archivos de intercambio en particiones con Btrfs. Btrfs ha agregado soporte para la compresión utilizando el algoritmo ZStandard.
- Se agregó soporte para la interfaz para E/S asíncronas - io_uring, que se destaca por su soporte para sondeo de E/S y la capacidad de trabajar con o sin almacenamiento en búfer. En términos de rendimiento, io_uring está muy cerca de SPDK y está significativamente por delante de libaio cuando trabaja con el sondeo habilitado. Para usar io_uring en aplicaciones finales que se ejecutan en el espacio del usuario, se ha preparado la biblioteca liburing, que proporciona un enlace de alto nivel a través de la interfaz del kernel;
- Soporte de modo agregado para cifrado de almacenamiento rápido.
- Se agregó soporte para la compresión usando el algoritmo. (zstd).
- El sistema de archivos ext4 utiliza marcas de tiempo de 64 bits en los campos de superbloque.
- XFS incluye herramientas para informar el estado de integridad del sistema de archivos durante la operación y obtener el estado de la ejecución de fsck sobre la marcha.
- La pila TCP predeterminada se ha cambiado a "" en lugar de "Lo más rápido posible" al enviar paquetes. La compatibilidad con GRO (descarga de recepción genérica) está habilitada para UDP. Se agregó soporte para recibir y enviar paquetes TCP en modo de copia cero.
- Se trata de la implementación del protocolo TLS a nivel de kernel (KTLS), que ahora se puede utilizar no sólo para los datos enviados, sino también para los recibidos.
- Habilitado como backend para el firewall de forma predeterminada.
nftables. Soporte opcional agregado . - Se agregó soporte para el subsistema XDP (eXpress Data Path), que permite ejecutar programas BPF en Linux en el nivel del controlador de red con la capacidad de acceder directamente al búfer de paquetes DMA y en la etapa anterior a que la pila de red asigne el búfer skbuff.
- Mejorado y habilitado cuando se usa el modo de arranque seguro UEFI , que limita el acceso del usuario root al kernel y bloquea las rutas de omisión de arranque seguro UEFI. Por ejemplo, en modo de bloqueo, acceso a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, modo de depuración kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Estructura de información de tarjeta), algunos las interfaces están limitadas, los registros ACPI y MSR de la CPU, las llamadas a kexec_file y kexec_load están bloqueadas, el modo de suspensión está prohibido, el uso de DMA para dispositivos PCI está limitado, la importación de código ACPI desde variables EFI está prohibida, las manipulaciones con los puertos de E/S no están permitidas permitido, incluido el cambio del número de interrupción y el puerto de E/S por el puerto serie.
- Se agregó soporte para instrucciones IBRS (especulación restringida de rama indirecta mejorada), que le permiten habilitar y deshabilitar de manera adaptativa la ejecución especulativa de instrucciones durante el procesamiento de interrupciones, llamadas al sistema y cambios de contexto. Con soporte IBRS mejorado, este método se utiliza para proteger contra ataques de Spectre V2 en lugar de Retpoline, ya que permite un mayor rendimiento.
- Seguridad mejorada en directorios de escritura mundial. En dichos directorios, está prohibido crear archivos FIFO y archivos propiedad de usuarios que no coincidan con el propietario del directorio con la bandera adhesiva.
- De forma predeterminada, en los sistemas ARM, la aleatorización del espacio de direcciones del kernel en los sistemas (KASLR) está habilitada. La autenticación de puntero está habilitada para Aarch64.
- Se agregó soporte para "NVMe over Fabrics TCP".
- Se agregó el controlador virtio-pmem para brindar acceso a dispositivos de almacenamiento con asignación de espacio de direcciones físicas, como NVDIMM.
Fuente: opennet.ru