Società Oracle prima versione stabile (UEK R6), una build estesa del kernel Linux commercializzata per l'uso nella distribuzione Oracle Linux come alternativa al pacchetto kernel standard di Red Hat Enterprise Linux. Il kernel è disponibile solo per le architetture x86_64 e ARM64 (aarch64). Il codice sorgente per il kernel, inclusa la suddivisione in singole patch, nel repository Git pubblico di Oracle.
Unbreakable Enterprise Kernel 6 è basato sul kernel (UEK R5 era basato sul kernel 4.14), che viene aggiornato con nuove funzionalità, ottimizzazioni e correzioni, ed è stato testato per la compatibilità con la maggior parte delle applicazioni in esecuzione su RHEL ed è stato specificamente ottimizzato per funzionare con il software e l'hardware industriale Oracle. Installazione del kernel UEK R6 e pacchetti src preparati per Oracle Linux и . Il supporto per il ramo 6.x è stato interrotto, per utilizzare UEK R6, è necessario aggiornare il sistema a Oracle Linux 7 (non ci sono ostacoli all'utilizzo di questo kernel in versioni simili di RHEL, CentOS e Scientific Linux).
Chiave Indistruttibile Enterprise Kernel 6:
- Supporto esteso per sistemi basati sull'architettura ARM a 64 bit (aarch64).
- Supporto implementato per tutte le funzionalità di Cgroup v2.
- Il framework ktask è stato implementato per parallelizzare le attività nel kernel che consumano risorse significative della CPU. Ad esempio, con l'aiuto di ktask, è possibile organizzare la parallelizzazione delle operazioni per cancellare gli intervalli di pagine di memoria o elaborare l'elenco degli inode;
- È stata inclusa una versione parallelizzata di kswapd per elaborare gli scambi di pagine in modo asincrono, riducendo il numero di scambi diretti (sincroni). Quando il numero di pagine di memoria libere diminuisce, kswapd ricerca le pagine inutilizzate che possono essere liberate.
- Supporto per la verifica dell'integrità dell'immagine del kernel e del firmware con firma digitale durante il caricamento del kernel utilizzando il meccanismo Kexec (caricamento del kernel da un sistema già caricato).
- Le prestazioni del sistema di gestione della memoria virtuale sono state ottimizzate, l'efficienza della cancellazione della memoria e delle pagine della cache è stata migliorata e l'elaborazione degli accessi alle pagine di memoria non allocate (errori di pagina) è stata migliorata.
- Il supporto per NVDIMM è stato ampliato, la memoria permanente specificata può ora essere utilizzata come RAM tradizionale.
- È stata effettuata la transizione al sistema di debug dinamico DTrace 2.0, che per utilizzare il sottosistema del kernel eBPF. DTrace ora funziona su eBPF, in modo simile a come funzionano gli strumenti di traccia Linux esistenti su eBPF.
- Sono stati apportati miglioramenti al file system OCFS2 (Oracle Cluster File System).
- Supporto migliorato per il file system Btrfs. Aggiunta la possibilità di utilizzare Btrfs sulle partizioni root. È stata aggiunta un'opzione al programma di installazione per selezionare Btrfs durante la formattazione dei dispositivi. Aggiunta la possibilità di inserire file di paging su partizioni con Btrfs. Btrfs aggiunge il supporto per la compressione utilizzando l'algoritmo ZStandard.
- Aggiunto il supporto per un'interfaccia per I / O asincrono - io_uring, che si distingue per il supporto del polling I / O e la capacità di funzionare sia con buffering che senza buffering. In termini di prestazioni, io_uring è molto vicino a SPDK e supera significativamente libaio quando il polling è abilitato. Per utilizzare io_uring nelle applicazioni finali in esecuzione nello spazio utente, è stata preparata la libreria liburing, che fornisce un collegamento di alto livello sull'interfaccia del kernel;
- Aggiunto il supporto della modalità per la crittografia rapida delle unità.
- Aggiunto il supporto per la compressione utilizzando un algoritmo (zstd).
- Il filesystem ext4 utilizza timestamp a 64 bit nei campi del superblocco.
- XFS include funzionalità per informare sull'integrità di un file system in fase di esecuzione e per ottenere al volo lo stato dell'esecuzione di fsck.
- Per impostazione predefinita, lo stack TCP è "" invece di "Il più velocemente possibile" durante l'invio di pacchi. Il supporto GRO (Generic Receive Offload) è abilitato per UDP. Aggiunto il supporto per la ricezione e l'invio di pacchetti TCP in modalità zero copy.
- È coinvolta l'implementazione del protocollo TLS a livello di kernel (KTLS), che ora può essere utilizzato non solo per i dati inviati, ma anche per quelli ricevuti.
- Abilitato come back-end per il firewall per impostazione predefinita
nftables. Supporto opzionale aggiunto . - Aggiunto il supporto per il sottosistema XDP (eXpress Data Path), che consente di eseguire programmi BPF su Linux a livello di driver di rete con la possibilità di accedere direttamente al buffer dei pacchetti DMA e nella fase precedente allo stack di rete alloca il buffer skbuff.
- Migliorato e abilitato quando si utilizza la modalità UEFI Secure Boot , che limita l'accesso dell'utente root al kernel e blocca i percorsi di bypass UEFI Secure Boot. Ad esempio, la modalità di blocco limita l'accesso a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, modalità di debug kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), alcune interfacce Registri CPU ACPI e MSR, blocca le chiamate kexec_file e kexec_load, vieta la modalità sleep, limita l'uso di DMA per i dispositivi PCI, vieta l'importazione del codice ACPI dalle variabili EFI, non consente manipolazioni con le porte I/O, inclusa la modifica del numero di interrupt e un Porta I/O per la porta seriale.
- Aggiunto il supporto per le istruzioni Enhanced Indirect Branch Restricted Speculation (IBRS) che consentono di abilitare e disabilitare in modo adattivo l'esecuzione di istruzioni speculative durante interruzioni, chiamate di sistema e cambi di contesto. Se Enhanced IBRS è supportato, questo metodo viene utilizzato per proteggere dagli attacchi Spectre V2 invece di Retpoline, in quanto fornisce prestazioni migliori.
- Migliore protezione nelle directory scrivibili da tutti. In tali directory è vietata la creazione di file FIFO e file di proprietà di utenti che non corrispondono al proprietario della directory con il flag sticky.
- Per impostazione predefinita sui sistemi ARM, la randomizzazione dello spazio degli indirizzi del kernel sui sistemi (KASLR) è abilitata. Aarch64 ha l'autenticazione del puntatore abilitata.
- Aggiunto il supporto per "NVMe over Fabrics TCP".
- Il driver virtio-pmem è stato aggiunto per fornire l'accesso ai dispositivi di archiviazione mappati nello spazio degli indirizzi fisici come NVDIMM.
Fonte: opennet.ru