Perusahaan Oracle rilis stabil pertama (UEK R6), versi lanjutan dari kernel Linux yang dipasarkan untuk digunakan dalam distribusi Oracle Linux sebagai alternatif paket kernel stok dari Red Hat Enterprise Linux. Kernel hanya tersedia untuk arsitektur x86_64 dan ARM64 (aarch64). Kode sumber untuk kernel, termasuk perinciannya menjadi patch individual, di repositori publik Oracle Git.
Kernel Perusahaan Unbreakable 6 didasarkan pada kernel (UEK R5 didasarkan pada kernel 4.14), yang diperbarui dengan fitur-fitur baru, optimasi, dan perbaikan, dan telah diuji kompatibilitasnya dengan sebagian besar aplikasi yang berjalan di RHEL, dan telah secara khusus dioptimalkan untuk bekerja dengan perangkat lunak dan perangkat keras industri Oracle. Instalasi kernel UEK R6 dan paket src disiapkan untuk Oracle Linux ΠΈ . Dukungan untuk cabang 6.x telah dihentikan, untuk menggunakan UEK R6, Anda harus mengupgrade sistem ke Oracle Linux 7 (tidak ada kendala untuk menggunakan kernel ini di versi serupa RHEL, CentOS dan Scientific Linux).
Kunci Kernel Perusahaan 6 yang Tidak Dapat Dipecahkan:
- Dukungan yang diperluas untuk sistem berdasarkan arsitektur ARM 64-bit (aarch64).
- Dukungan yang diterapkan untuk semua fitur Cgroup v2.
- Kerangka kerja ktask telah diterapkan untuk memparalelkan tugas-tugas di kernel yang menghabiskan sumber daya CPU yang signifikan. Misalnya, dengan bantuan ktask, paralelisasi operasi untuk membersihkan rentang halaman memori atau memproses daftar inode dapat diatur;
- Versi kswapd yang diparalelkan telah disertakan untuk memproses pertukaran halaman secara asinkron, sehingga mengurangi jumlah pertukaran langsung (sinkron). Ketika jumlah halaman memori bebas berkurang, kswapd memindai halaman yang tidak terpakai yang dapat dibebaskan.
- Dukungan untuk memverifikasi integritas image kernel dan firmware yang ditandatangani secara digital saat memuat kernel menggunakan mekanisme Kexec (memuat kernel dari sistem yang sudah dimuat).
- Kinerja sistem manajemen memori virtual telah dioptimalkan, efisiensi pembersihan halaman memori dan cache telah ditingkatkan, dan pemrosesan akses ke halaman memori yang tidak terisi (kesalahan halaman) telah ditingkatkan.
- Dukungan untuk NVDIMM telah diperluas, memori permanen yang ditentukan kini dapat digunakan sebagai RAM tradisional.
- Transisi ke sistem debugging dinamis DTrace 2.0 telah dilakukan, yang untuk menggunakan subsistem kernel eBPF. DTrace sekarang berjalan di atas eBPF, mirip dengan cara kerja alat penelusuran Linux yang ada di atas eBPF.
- Perbaikan telah dilakukan pada sistem file OCFS2 (Oracle Cluster File System).
- Peningkatan dukungan untuk sistem file Btrfs. Menambahkan kemampuan untuk menggunakan Btrfs pada partisi root. Opsi telah ditambahkan ke penginstal untuk memilih Btrfs saat memformat perangkat. Menambahkan kemampuan untuk menempatkan file paging pada partisi dengan Btrfs. Btrfs menambahkan dukungan untuk kompresi menggunakan algoritma ZStandard.
- Menambahkan dukungan untuk antarmuka untuk I/O asinkron - io_uring, yang terkenal karena mendukung polling I/O dan kemampuan untuk bekerja dengan buffering dan tanpa buffering. Dalam hal kinerja, io_uring sangat dekat dengan SPDK dan secara signifikan mengungguli libaio ketika polling diaktifkan. Untuk menggunakan io_uring pada aplikasi akhir yang berjalan di ruang pengguna, perpustakaan liburing telah disiapkan, menyediakan pengikatan tingkat tinggi pada antarmuka kernel;
- Dukungan mode tambahan untuk enkripsi drive yang cepat.
- Menambahkan dukungan untuk kompresi menggunakan algoritma (zstd).
- Sistem file ext4 menggunakan stempel waktu 64-bit di bidang superblock.
- XFS mencakup fasilitas untuk menginformasikan tentang integritas sistem file saat runtime dan untuk mendapatkan status tentang eksekusi fsck dengan cepat.
- Tumpukan TCP secara default adalah "" daripada "Secepat Mungkin" saat mengirim paket. Dukungan GRO (Generic Accept Offload) diaktifkan untuk UDP. Menambahkan dukungan untuk menerima dan mengirim paket TCP dalam mode tanpa penyalinan.
- Implementasi protokol TLS di tingkat kernel (KTLS) terlibat, yang sekarang dapat digunakan tidak hanya untuk mengirim, tetapi juga untuk data yang diterima.
- Diaktifkan sebagai backend untuk firewall secara default
tabel nft. Dukungan opsional ditambahkan . - Menambahkan dukungan untuk subsistem XDP (eXpress Data Path), yang memungkinkan menjalankan program BPF di Linux pada tingkat driver jaringan dengan kemampuan untuk mengakses buffer paket DMA secara langsung dan pada tahap sebelum tumpukan jaringan mengalokasikan buffer skbuff.
- Ditingkatkan dan diaktifkan saat menggunakan mode UEFI Secure Boot , yang membatasi akses pengguna root ke kernel dan memblokir jalur bypass UEFI Secure Boot. Misalnya, mode lockdown membatasi akses ke /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, mode debug kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Struktur Informasi Kartu), beberapa antarmuka Register ACPI dan MSR CPU, panggilan ke kexec_file dan kexec_load diblokir, transisi ke mode tidur dilarang, penggunaan DMA untuk perangkat PCI dibatasi, impor kode ACPI dari variabel EFI dilarang, manipulasi dengan I/O port tidak diperbolehkan, termasuk mengubah nomor interupsi dan port I/O untuk port serial.
- Menambahkan dukungan untuk instruksi Enhanced Indirect Branch Restricted Speculation (IBRS) yang memungkinkan Anda mengaktifkan dan menonaktifkan eksekusi instruksi spekulatif secara adaptif selama interupsi, panggilan sistem, dan peralihan konteks. Jika Enhanced IBRS didukung, metode ini digunakan untuk melindungi terhadap serangan Spectre V2, bukan Retpoline, karena memberikan kinerja yang lebih baik.
- Peningkatan perlindungan dalam direktori yang dapat ditulis oleh semua orang. Di direktori tersebut, dilarang membuat file FIFO dan file milik pengguna yang tidak cocok dengan pemilik direktori dengan tanda tempel.
- Secara default pada sistem ARM, pengacakan ruang alamat kernel pada sistem (KASLR) diaktifkan. Aarch64 mengaktifkan otentikasi penunjuk.
- Menambahkan dukungan untuk "NVMe melalui Fabrics TCP".
- Driver virtio-pmem telah ditambahkan untuk menyediakan akses ke perangkat penyimpanan yang dipetakan ruang alamat fisik seperti NVDIMM.
Sumber: opennet.ru