Société Oracle première version stable (UEK R6), une version étendue du noyau Linux commercialisée pour être utilisée dans la distribution Oracle Linux comme alternative au package de noyau standard de Red Hat Enterprise Linux. Le noyau n'est disponible que pour les architectures x86_64 et ARM64 (aarch64). Le code source du noyau, y compris la répartition en correctifs individuels, dans le référentiel public Oracle Git.
Unbreakable Enterprise Kernel 6 est basé sur le noyau (UEK R5 était basé sur le noyau 4.14), qui est mis à jour avec de nouvelles fonctionnalités, optimisations et correctifs, et a été testé pour sa compatibilité avec la plupart des applications exécutées sur RHEL, et a été spécifiquement optimisé pour fonctionner avec les logiciels et matériels industriels Oracle. Installation du noyau UEK R6 et packages src préparés pour Oracle Linux и . La prise en charge de la branche 6.x a été interrompue, pour utiliser UEK R6, vous devez mettre à niveau le système vers Oracle Linux 7 (il n'y a aucun obstacle à l'utilisation de ce noyau dans des versions similaires de RHEL, CentOS et Scientific Linux).
Clé Noyau d'entreprise incassable 6 :
- Prise en charge étendue des systèmes basés sur l'architecture ARM 64 bits (aarch64).
- Prise en charge implémentée de toutes les fonctionnalités de Cgroup v2.
- Le framework ktask a été implémenté pour paralléliser les tâches dans le noyau qui consomment des ressources CPU importantes. Par exemple, à l'aide de ktask, la parallélisation des opérations d'effacement des plages de pages mémoire ou de traitement de la liste des inodes peut être organisée ;
- Une version parallélisée de kswapd a été incluse pour traiter les permutations de pages de manière asynchrone, réduisant ainsi le nombre de permutations directes (synchrones). Lorsque le nombre de pages mémoire libres diminue, kswapd recherche les pages inutilisées qui peuvent être libérées.
- Prise en charge de la vérification de l'intégrité de l'image du noyau et du micrologiciel signé numériquement lors du chargement du noyau à l'aide du mécanisme Kexec (chargement du noyau à partir d'un système déjà chargé).
- Les performances du système de gestion de la mémoire virtuelle ont été optimisées, l'efficacité de l'effacement des pages de mémoire et de cache a été améliorée et le traitement des accès aux pages de mémoire non allouées (défauts de page) a été amélioré.
- La prise en charge de NVDIMM a été étendue, la mémoire permanente spécifiée peut désormais être utilisée comme RAM traditionnelle.
- La transition vers le système de débogage dynamique DTrace 2.0 a été effectuée, ce qui pour utiliser le sous-système du noyau eBPF. DTrace s'exécute désormais sur eBPF, de la même manière que les outils de traçage Linux existants fonctionnent sur eBPF.
- Des améliorations ont été apportées au système de fichiers OCFS2 (Oracle Cluster File System).
- Prise en charge améliorée du système de fichiers Btrfs. Ajout de la possibilité d'utiliser Btrfs sur les partitions racine. Une option a été ajoutée au programme d'installation pour sélectionner Btrfs lors du formatage des périphériques. Ajout de la possibilité de placer des fichiers d'échange sur des partitions avec Btrfs. Btrfs ajoute la prise en charge de la compression à l'aide de l'algorithme ZStandard.
- Ajout de la prise en charge d'une interface pour les E / S asynchrones - io_uring, qui se distingue par la prise en charge de l'interrogation des E / S et la possibilité de travailler à la fois avec et sans mise en mémoire tampon. En termes de performances, io_uring est très proche de SPDK et surpasse nettement libaio lorsque le polling est activé. Pour utiliser io_uring dans les applications finales s'exécutant dans l'espace utilisateur, la bibliothèque liburing a été préparée, fournissant une liaison de haut niveau sur l'interface du noyau ;
- Prise en charge du mode ajouté pour un chiffrement rapide des disques.
- Ajout de la prise en charge de la compression à l'aide d'un algorithme (zstd).
- Le système de fichiers ext4 utilise des horodatages 64 bits dans les champs superbloc.
- XFS inclut des fonctionnalités permettant d'informer de l'état d'intégrité d'un système de fichiers au moment de l'exécution et d'obtenir l'état de l'exécution de fsck à la volée.
- La pile TCP est par défaut le "" au lieu de "As Fast As Possible" lors de l'envoi de colis. La prise en charge GRO (Generic Receive Offload) est activée pour UDP. Ajout de la prise en charge de la réception et de l'envoi de paquets TCP en mode zéro copie.
- L'implémentation du protocole TLS au niveau du noyau (KTLS) est impliquée, qui peut désormais être utilisé non seulement pour les données envoyées, mais également pour les données reçues.
- Activé en tant que backend pour le pare-feu par défaut
nfttables. Support optionnel ajouté . - Ajout de la prise en charge du sous-système XDP (eXpress Data Path), qui permet d'exécuter des programmes BPF sur Linux au niveau du pilote réseau avec la possibilité d'accéder directement au tampon de paquets DMA et à l'étape avant que la pile réseau n'alloue le tampon skbuff.
- Amélioré et activé lors de l'utilisation du mode UEFI Secure Boot , qui limite l'accès des utilisateurs root au noyau et bloque les chemins de contournement de démarrage sécurisé UEFI. Par exemple, le mode verrouillage restreint l'accès à /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), certaines interfaces Registres ACPI et MSR du CPU, les appels à kexec_file et kexec_load sont bloqués, le passage en mode veille est interdit, l'utilisation du DMA pour les périphériques PCI est limitée, l'import de code ACPI depuis les variables EFI est interdit, les manipulations avec les E/S les ports ne sont pas autorisés, y compris la modification du numéro d'interruption et un port d'E/S pour le port série.
- Ajout de la prise en charge des instructions IBRS (Enhanced Indirect Branch Restricted Speculation), qui vous permettent d'activer et de désactiver de manière adaptative l'exécution d'instructions spéculatives pendant les interruptions, les appels système et les changements de contexte. Si Enhanced IBRS est pris en charge, cette méthode est utilisée pour se protéger contre les attaques Spectre V2 au lieu de Retpoline, car elle vous permet d'obtenir de meilleures performances.
- Amélioration de la protection dans les répertoires accessibles en écriture par tout le monde. Dans de tels répertoires, la création de fichiers FIFO et de fichiers appartenant à des utilisateurs qui ne correspondent pas au propriétaire du répertoire avec l'indicateur collant est interdite.
- Par défaut sur les systèmes ARM, la randomisation de l'espace d'adressage du noyau sur les systèmes (KASLR) est activée. Aarch64 a activé l'authentification du pointeur.
- Ajout de la prise en charge de "NVMe sur Fabrics TCP".
- Le pilote virtio-pmem a été ajouté pour fournir un accès aux périphériques de stockage à mappage d'espace d'adressage physique tels que les NVDIMM.
Source: opennet.ru