Linux 5.11 カーネル リリース

5.11 か月の開発後、Linus Torvalds は Linux カーネル 64 のリリースを発表しました。 最も注目すべき変更点は、Intel SGX エンクレーブのサポート、システム コールをインターセプトする新しいメカニズム、仮想補助バス、MODULE_LICENSE() を使用しないモジュールのアセンブルの禁止、seccomp でのシステム コールの高速フィルタリング モード、 iaXNUMX アーキテクチャ、WiMAX テクノロジーの「ステージング」ブランチへの転送、SCTP を UDP にカプセル化する機能。

新バージョンには、15480人の開発者による1991の修正が含まれており、パッチのサイズは72 MBです（変更は12090のファイルに影響し、868025行のコードが追加され、261456行が削除されました）。 46 で導入されたすべての変更の約 5.11% はデバイス ドライバーに関連し、変更の約 16% はハードウェア アーキテクチャに固有のコードの更新に関連し、13% はネットワーク スタックに関連し、3% はファイル システムに関連し、4% はファイル システムに関連します。内部カーネル サブシステムに関連しています。

主な革新:

• ディスク サブシステム、I/O、およびファイル システム
  • 破損したファイル システムからデータを復元するときに使用するためのいくつかのマウント オプションが Btrfs に追加されました。一部のルート ツリー (エクステント、uuid、データ再配置、デバイス、csum、空き領域) が破損しているにもかかわらず、マウントするための「rescue=ignorebadroots」、「 「rescue=ignoredatacsums」はデータのチェックサムチェックを無効にし、「rescue=all」は「ignorebadroots」、「ignoredatacsums」、および「nologreplay」モードを同時に有効にします。 以前に非推奨となった「inode_cache」マウント オプションは廃止されました。 このコードは、メタデータとページ サイズ (PAGE_SIZE) より小さいデータを含むブロックのサポート、およびゾーン領域割り当てモードのサポートを実装するために準備されています。 バッファなし (ダイレクト IO) リクエストは iomap インフラストラクチャに移動されました。 多くの操作のパフォーマンスが最適化されており、場合によっては加速が数十パーセントに達することがあります。
  • XFS は、修復の必要性を通知する「needsrepair」フラグを実装します。 このフラグが設定されている場合、xfs_repair ユーティリティによってフラグがリセットされるまで、ファイル システムはマウントできません。
  • Ext4 はバグ修正と最適化、およびコードのクリーンアップのみを提供します。
  • NFS 経由でマウントされたファイル システムの再エクスポートが許可されています (つまり、NFS 経由でマウントされたパーティションを NFS 経由でエクスポートし、中間キャッシュとして使用できるようになりました)。
  • close_range() システム コールは、プロセスが開いているファイル記述子の全範囲を一度に閉じることを可能にし、close-on-exec モードで記述子を閉じるための CLOSE_RANGE_CLOEXEC オプションを追加しました。
  • F2FS ファイル システムには、新しい ioctl() 呼び出しが追加され、圧縮形式で保存されるファイルをユーザー空間で制御できるようになります。 圧縮ハンドラーをカーネル側に配置するかユーザー空間に配置するかを選択するための「compress_mode=」マウント オプションを追加しました。
  • 別のユーザー名前空間を使用して、特権のないプロセスによって Overlayfs をマウントする機能が提供されました。 セキュリティ モデルの実装への準拠を検証するために、完全なコード監査が実行されました。 Overlayfs は、オプションで UUID チェックを無効にすることで、ファイル システム イメージのコピーを使用して実行する機能も追加します。
  • Ceph ファイル システムに msgr2.1 プロトコルのサポートが追加されました。これにより、データを暗号化形式で送信するときに AES-GCM アルゴリズムを使用できるようになります。
  • dm-multipath モジュールは、I/O リクエストのルートを選択するときに CPU アフィニティ (「IO アフィニティ」) を考慮する機能を実装しています。
• メモリおよびシステム サービス
  • prctl() に基づいた新しいシステム コール インターセプト メカニズムが追加されました。これにより、特定のシステム コールにアクセスするときにユーザー空間から例外を生成し、その実行をエミュレートできるようになります。 この機能は、Wine および Proton で Windows システム コールをエミュレートするために必要です。これは、(たとえば、不正使用から保護するために) Windows API をバイパスしてシステム コールを直接実行するゲームやプログラムとの互換性を確保するために必要です。
  • userfaultfd() システム コールは、ユーザー空間でページ フォールト (未割り当てメモリ ページへのアクセス) を処理するように設計されており、カーネル レベルで発生する例外処理を無効にして、特定の脆弱性の悪用をより困難にする機能が追加されました。
  • BPF サブシステムには、特定の BPF ハンドラーへのデータ バインディングを提供するタスク ローカル ストレージのサポートが追加されました。
  • BPF プログラムによるメモリ消費量の計算が完全に再設計されました。BPF オブジェクトでのメモリ使用を管理するために、memlock rlimit の代わりに cgroup コントローラが提案されました。
  • BTF (BPF Type Format) メカニズムは、BPF 疑似コードで型チェック情報を提供し、カーネル モジュールのサポートを提供します。
  • shutdown()、renameat2()、および unlinkat() システム コールのサポートが io_uring 非同期 I/O インターフェイスに追加されました。 io_uring_enter() を呼び出すときに、タイムアウトを指定する機能が追加されました (IORING_FEAT_EXT_ARG フラグを使用して、タイムアウトを指定する引数のサポートを確認できます)。
  • Intel Itanium プロセッサで使用されている ia64 アーキテクチャは孤立カテゴリに移動されました。これは、テストが中止されたことを意味します。 Hewlett Packard Enterprise は新しい Itanium 機器の注文受付を停止し、Intel も昨年停止した。
  • メモリ管理ユニット (MMU) を含まない MicroBlaze アーキテクチャに基づくシステムのサポートは中止されました。 このようなシステムは長い間日常生活では見られませんでした。
  • MIPS アーキテクチャの場合、gcov ユーティリティを使用したコード カバレッジ テストのサポートが追加されました。
  • さまざまなドライバーを必要とする機能を組み合わせた多機能デバイス (イーサネットや RDMA をサポートするネットワーク カードなど) とインターフェイスするための仮想補助バスのサポートが追加されました。 MFD (多機能デバイス) サブシステムの使用に問題がある状況では、バスを使用してプライマリ ドライバとセカンダリ ドライバをデバイスに割り当てることができます。
  • RISC-V アーキテクチャでは、CMA (Contiguous Memory Allocator) メモリ割り当てシステムのサポートが追加されました。これは、メモリ ページ移動技術を使用して大規模な連続メモリ領域を割り当てるように最適化されています。 RISC-V の場合、/dev/mem へのアクセスを制限し、割り込み処理時間を考慮するためのツールも実装されています。
  • 32 ビット ARM システムの場合、KASan (カーネル アドレス サニタイザー) デバッグ ツールのサポートが追加されました。これは、メモリを操作する際のエラーの特定に役立ちます。 64 ビット ARM の場合、KASan 実装は MTE タグ (MemTag) を使用するように変換されました。
  • ナノ秒精度でのタイムアウトを可能にする epoll_pwait2() システム コールを追加しました (epoll_wait 呼び出しはミリ秒を操作します)。
  • MODULE_LICENSE() マクロを使用してコード ライセンスが定義されていないロード可能なカーネル モジュールをビルドしようとすると、ビルド システムでエラーが表示されるようになりました。 今後、静的関数に EXPORT_SYMBOL() マクロを使用すると、ビルド エラーが発生するようになります。
  • I/O に使用されるメモリから GEM オブジェクトをマッピングするためのサポートが追加されました。これにより、一部のアーキテクチャでのフレームバッファでの作業を高速化できるようになりました。
  • Kconfig は、Qt4 のサポートを終了しました (Qt5、GTK、および Ncurses のサポートは維持します)。
• 仮想化とセキュリティ
  • クイック応答モードのサポートが seccomp() システム コールに追加されました。これにより、プロセスにアタッチされたコンスタント アクション ビットマップに基づいて、特定のシステム コールが許可されるか禁止されるかを非常に迅速に判断できます。これを実行する必要はありません。 BPF ハンドラー。
  • Intel SGX (Software Guard eXtensions) テクノロジーに基づいてエンクレーブを作成および管理するための統合カーネル コンポーネント。これにより、アプリケーションは、システムの残りの部分がアクセスを制限されている分離された暗号化されたメモリ領域でコードを実行できます。
  • ユーザー空間から MSR (モデル固有のレジスタ) へのアクセスを制限する取り組みの一環として、MSR_IA32_ENERGY_PERF_BIAS レジスタへの書き込みにより、プロセッサのエネルギー効率モード (「通常」、「パフォーマンス」、「省電力」) を変更できるようになります。 、 禁止されています。
  • CPU 間の優先度の高いタスクの移行を無効にする機能は、リアルタイム システムの kernel-rt ブランチから移動されました。
  • ARM64 システムの場合、シグナル ハンドラーのメモリ アドレスに MTE タグ (MemTag、メモリ タグ付け拡張機能) を使用する機能が追加されました。 MTE の使用は、sigaction() で SA_EXPOSE_TAGBITS オプションを指定することで有効になり、既に解放されたメモリ ブロックへのアクセス、バッファ オーバーフロー、初期化前のアクセス、および外部での使用によって引き起こされる脆弱性の悪用をブロックするポインタの正しい使用をチェックできます。現在のコンテキスト。
  • 「DM_VERITY_VERIFY_ROOTHASH_SIG_SECONDARY_KEYRING」パラメータを追加しました。これにより、dm-verity サブシステムがセカンダリ キーリングに配置された証明書のハッシュ署名をチェックできるようになります。 実際には、このセットアップでは、カーネルに組み込まれている証明書だけでなく、動作中にロードされる証明書も検証できるため、カーネル全体を更新せずに証明書を更新できます。
  • ユーザー モード Linux では、サスペンドツーアイドル モードのサポートが追加されました。これにより、環境をフリーズし、SIGUSR1 信号を使用してスリープ モードから復帰できるようになります。
  • 仮想マシンへのメモリのホットプラグおよび切断を可能にする virtio-mem メカニズムに、ビッグ ブロック モード (BBM) のサポートが追加されました。これにより、カーネル メモリのサイズより大きなブロックでメモリを転送または取得できるようになります。ブロック。QEMU で VFIO を最適化するために必要です。
  • CHACHA20-POLY1305 暗号のサポートが TLS のカーネル実装に追加されました。
• ネットワークサブシステム
  • 802.1Q (VLAN) の場合、接続障害管理メカニズム (CFM、接続障害管理) が実装されており、これにより、仮想ブリッジを使用したネットワーク (仮想ブリッジ ネットワーク) の障害を識別、検証、分離できます。 たとえば、CFM を使用すると、従業員が自分の機器にしかアクセスできない複数の独立した組織にまたがるネットワークの問題を切り分けることができます。
  • SCTP プロトコル パケットを UDP パケットにカプセル化するためのサポートが追加されました (RFC 6951)。これにより、SCTP を直接サポートしていない古いアドレス トランスレータを備えたネットワークで SCTP を使用できるようになり、IP への直接アクセスを提供しないシステムでも SCTP を実装できるようになります。層。
  • WiMAX テクノロジーの実装はステージングに移行されており、WiMAX を必要とするユーザーがいない場合には将来削除される予定です。 WiMAX はパブリック ネットワークでは使用されなくなり、カーネルで WiMAX を使用できる唯一のドライバーは古い Intel 2400m ドライバーです。 NetworkManager ネットワーク コンフィギュレーターでの WiMAX サポートは 2015 年に廃止されました。 現在、WiMax は LTE、HSPA+、Wi-Fi 802.11n などのテクノロジーにほぼ完全に置き換えられています。
  • ゼロコピー モード、つまり、受信 TCP トラフィックの処理パフォーマンスを最適化するための作業が行われています。 新しいバッファに追加コピーする必要はありません。 数十キロバイトまたは数百キロバイトのデータをカバーする中規模のトラフィックの場合は、recvmsg() の代わりに zerocopy を使用する方が著しく効果的です。 たとえば、実装された変更により、ゼロコピー使用時の 32 KB メッセージを含む RPC スタイルのトラフィックの処理効率が 60 ～ 70% 向上することが可能になりました。
  • 複数の PPP リンクにまたがるネットワーク ブリッジを作成するための新しい ioctl() 呼び出しが追加されました。 提案された機能により、フレームを 2 つのチャネルから別のチャネルへ (たとえば、PPPoE セッションから PPPoLXNUMXTP セッションへ) 移動できるようになります。
  • MPTCP (MultiPath TCP) のコアへの統合。これは、異なる IP アドレスに関連付けられた異なるネットワーク インターフェイスを介して複数のルートに沿って同時にパケットを配信する TCP 接続の操作を組織するための TCP プロトコルの拡張です。 新しいリリースでは、既存の MPTCP 接続に新しいフローを追加するときに接続できる利用可能な IP アドレスをアドバタイズする ADD_ADDR オプションのサポートが導入されました。
  • 接続ポーリングのバジェットを超過した場合のアクションを構成する機能 (ビジーポーリング) が追加されました。 以前に利用可能であった SO_BUSY_POLL モードでは、予算が使い果たされた場合に Softirq に切り替える必要がありました。 ポーリングを引き続き使用する必要があるアプリケーションのために、新しいオプション SO_PREFER_BUSY_POLL が提案されています。
  • IPv6 は、マルチユーザー IPv6 L4 VPN および VRF (仮想ルーティングおよび転送) デバイスの作成に使用される SRv6 End.DT4 および End.DT3 モードのサポートを実装します。
  • Netfilter はセット式の実装を統合し、セット リストの各要素に複数の式を指定できるようにしました。
  • API が 802.11 ワイヤレス スタックに追加され、SAR 電力制限、AE PWE および HE MCS パラメータを設定できます。 Intel iwlwifi ドライバーは、6 GHz (ウルトラ ハイ バンド) 範囲のサポートを追加しました。 Qualcomm Ath11k ドライバーには、FILS (Fast Initial Link Setup、IEEE 802.11ai として標準化) テクノロジーのサポートが追加されており、これにより、あるアクセス ポイントから別のアクセス ポイントへの移行中のローミング遅延を取り除くことができます。
• 機器
  • amdgpu ドライバーは、AMD 「Green Sardine」 APU (Ryzen 5000) および「Dimgrey Cavefish」 GPU (Navi 2) のサポートに加え、Zen 2 コアと RDNA 2 GPU (Navi 2) を備えた AMD Van Gogh APU の初期サポートを提供します。 新しい Renoir APU 識別子のサポートを追加しました (Zen 2 CPU および Vega GPU に基づく)。
  • Intel ビデオ カード用の i915 ドライバーは、欠落しているピクセルの色を決定するために、隣接するピクセルの状態 (最近傍補間) を考慮してスケールを増やすフィルターの実装を備えた IS (整数スケーリング) テクノロジーをサポートしています。 ディスクリート Intel DG1 カードのサポートが拡張されました。 「Big Joiner」テクノロジーのサポートが実装されました。これは、Ice Lake/Gen11 チップ以来存在しており、8 つのトランスコーダーを使用して XNUMX つのストリームを処理し、たとえば XNUMX つの DisplayPort 経由で XNUMXK 画面に出力できるようになります。 ビデオ メモリ内の XNUMX つのバッファを非同期に切り替えるモード (非同期フリップ) を追加しました。
  • nouveau ドライバーは、Ampere マイクロアーキテクチャ (GA100、GeForce RTX 30xx) に基づく NVIDIA GPU の初期サポートを追加しましたが、これはこれまでビデオ モードを制御するツールに限定されていました。
  • LCD パネルで使用される 3WIRE プロトコルのサポートが追加されました。 novatek nt36672a、TDO tl070wsh30、Innolux N125HCE-GN1、ABT Y030XX067A 3.0 パネルのサポートを追加しました。 これとは別に、OnePlus 6 および 6T スマートフォンのパネルのサポートに注目してください。これにより、デバイス上で未変更のカーネルのロードを整理できるようになりました。
  • Intel の最初のディスクリート USB4 ホスト コントローラー、Maple Ridge のサポートが追加されました。
  • Allwinner H6 I2S、Analog Devices ADAU1372、Intel Alderlake-S、GMediatek MT8192、NXP i.MX HDMI および XCVR、Realtek RT715、および Qualcomm SM8250 オーディオ コーデックのサポートを追加しました。
  • ARM ボード、デバイス、プラットフォームのサポートを追加: Galaxy Note 10.1、Microsoft Lumia 950 XL、NanoPi R1、FriendlyArm ZeroPi、Elimo Initium SBC、Broadcom BCM4908、Mediatek MT8192/MT6779/MT8167、MStar Infinity2M、Nuvoton NPCM730、Marvell Armada 382、 Marvell Prestera 98DX3236 をベースにした Mikrotik、Nuvoton NPCM750 BMC、Kontron i.MX8M Mini、Espressobin Ultra、「Trogdor」 Chromebook、Kobol Helios64、Engicam PX30.Core を搭載したサーバー。
  • NVIDIA Tegra 3 ベースの Ouya ゲーム コンソールのサポートが組み込まれています。

同時に、Latin American Free Software Foundation は、完全に無料の 5.11 カーネルのバージョンである Linux-libre 5.11-gnu を作成しました。これは、範囲が限定されている、非フリーのコンポーネントやコード セクションを含むファームウェアおよびドライバーの要素を取り除いたものです。メーカーによる。 新しいリリースでは、qat_4xxx (暗号化)、lt9611uxcm (dsi/hdmi ブリッジ)、ccs/smia++ (センサー)、ath11k_pci、nxp オーディオ トランシーバー、および mhi pci コントローラーのドライバーがクリーンアップされます。 ドライバーおよびサブシステム amdgpu、btqca、btrtl、btusb、i915 csr の BLOB クリーニング コードを更新しました。 m3 rproc、idt82p33 ptp クロック、および qualcomm arm64 の新しい BLOB を無効にしました。

出所： オープンネット.ru