Linux 5.14 カーネル リリース

5.14 か月の開発後、Linus Torvalds は Linux カーネル XNUMX のリリースを発表しました。 最も注目すべき変更点としては、新しい quotectl_fd() および memfd_secret() システム コール、ide および raw ドライバーの削除、cgroup 用の新しい I/O 優先順位コントローラー、SCHED_CORE タスク スケジューリング モード、検証済み BPF プログラム ローダーを作成するためのインフラストラクチャが挙げられます。

新バージョンには15883人の開発者による2002件の修正が含まれており、パッチのサイズは69MBである（変更は12580のファイルに影響し、861501行のコードが追加され、321654行が削除された）。 47 で導入されたすべての変更の約 5.14% はデバイス ドライバーに関連し、変更の約 14% はハードウェア アーキテクチャに固有のコードの更新に関連し、13% はネットワーク スタックに関連し、3% はファイル システムに関連し、3% はファイル システムに関連します。内部カーネル サブシステムに関連しています。

主な革新:

• ディスク サブシステム、I/O、およびファイル システム
  • 新しい I/O 優先順位付けコントローラー rq-qos が cgroup に実装され、各 cgroup のメンバーによって生成されたデバイスをブロックする要求の処理優先順位を制御できます。 新しい優先順位コントローラーのサポートが mq-deadline I/O スケジューラーに追加されました。
  • ext4 ファイル システムは、新しい ioctl コマンド EXT4_IOC_CHECKPOINT を実装します。これは、ジャーナルおよびそれに関連するバッファからのすべての保留中のトランザクションを強制的にディスクにフラッシュし、ストレージ内のジャーナルによって使用される領域も上書きします。 この変更は、ファイルシステムからの情報漏洩を防ぐ取り組みの一環として準備された。
  • Btrfs のパフォーマンスの最適化が行われ、fsync 実行中の拡張属性の不必要なロギングを排除することで、拡張属性を使用した集中的な操作のパフォーマンスが最大 17% 向上しました。 さらに、エクステントに影響を与えないトリム操作を実行する場合、完全同期が無効になり、操作時間が 12% 短縮されました。 FS チェック時に I/O 帯域幅を制限する設定が sysfs に追加されました。 サイズ変更とデバイスの削除操作をキャンセルするための ioctl 呼び出しを追加しました。
  • XFS では、バッファ キャッシュの実装が再設計され、バッチ モードでメモリ ページを割り当てるように切り替えられました。 キャッシュ効率が向上しました。
  • F2FS は、読み取り専用モードで動作するオプションを追加し、ランダム読み取りパフォーマンスを向上させるために圧縮ブロック キャッシュ モード (compress_cache) を実装します。 mmap() 操作を使用してメモリにマップされたファイルを圧縮するためのサポートが実装されました。 マスクに基づいてファイル圧縮を選択的に無効にするために、新しいマウント オプション nocompress が提案されています。
  • 一部のデジタル カメラ ストレージとの互換性を向上させるために、exFAT ドライバーで作業が行われました。
  • quotectl_fd() システム コールを追加しました。これにより、特別なデバイス ファイルを使用せずに、クォータが適用されるファイル システムに関連付けられたファイル記述子を指定することによってクォータを管理できるようになります。
  • IDE インターフェイスを備えたブロック デバイスの古いドライバーはカーネルから削除され、長い間 limata サブシステムに置き換えられてきました。
  • 「raw」ドライバーがカーネルから削除され、/dev/raw インターフェイスを介してブロック デバイスにバッファーなしでアクセスできるようになりました。 この機能は、O_DIRECT フラグを使用してアプリケーションに長い間実装されてきました。
• メモリおよびシステム サービス
  • タスク スケジューラは新しいスケジューリング モード SCHED_CORE を実装しており、これにより、同じ CPU コアでどのプロセスを同時に実行できるかを制御できます。 各プロセスには、プロセス間の信頼の範囲 (たとえば、同じユーザーまたはコンテナに属する) を定義する Cookie 識別子を割り当てることができます。 コードの実行を整理する場合、スケジューラーは、同じ所有者に関連付けられたプロセス間でのみ XNUMX つの CPU コアが共有されるようにできます。これを使用して、信頼できるタスクと信頼できないタスクが同じ SMT (ハイパー スレッディング) スレッドで実行されるのを防ぐことで、一部の Spectre 攻撃をブロックできます。 。
  • cgroup の場合、kill 操作のサポートが実装されました。これにより、仮想ファイル cgroup.kill に「1」を書き込むことで、グループに関連付けられたすべてのプロセスを一度に強制終了 (SIGKILL の送信) できるようになります。
  • アトミック命令の実行時にデータが 20 つの CPU キャッシュ ラインにまたがるという事実により、メモリ内のアライメントされていないデータにアクセスするときに発生する分割ロック (「分割ロック」) の検出への対応に関連する機能が拡張されました。 このようなブロックはパフォーマンスの大幅な低下につながるため、以前はブロックの原因となったアプリケーションを強制的に終了することが可能でした。 新しいリリースでは、カーネル コマンド ライン パラメータ「split_lock_detect=ratelimit:N」が追加されています。これにより、XNUMX 秒あたりのロック操作の速度に関するシステム全体の制限を定義できます。この制限を超えると、分割ロックのソースとなったプロセスは制限されます。終了する代わりに XNUMX ミリ秒間強制的に停止されます。
  • cgroup 帯域幅コントローラー CFS (CFS 帯域幅コントローラー) は、各 cgroup に割り当てることができるプロセッサー時間を決定し、時間制限を定義する機能を実装します。これにより、レイテンシの影響を受けやすいワークロードをより適切に調整できます。 たとえば、cpu.cfs_quota_us を 50000 に設定し、cpu.cfs_period_us を 100000 に設定すると、プロセスのグループが 100 ミリ秒ごとに 50 ミリ秒の CPU 時間を無駄にすることができます。
  • BPF プログラム ローダーを作成するための初期インフラストラクチャが追加されました。これにより、信頼されたデジタル キーで署名された BPF プログラムのみをロードできるようになります。
  • 新しい futex オペレーション FUTEX_LOCK_PI2 が追加されました。これは、単調タイマーを使用して、システムがスリープ モードで費やした時間を考慮したタイムアウトを計算します。
  • RISC-V アーキテクチャの場合、大きなメモリ ページ (透過的ヒュージ ページ) のサポートと、メモリを操作するときに KFENCE メカニズムを使用してエラーを検出する機能が実装されています。
  • プロセスのメモリ管理を最適化する手段を提供する madvise() システム コールには、実際の読み取りまたは書き込みを実行せずに、読み取りまたは書き込み操作にマップされたすべてのメモリ ページで「ページ フォールト」を生成する MADV_POPULATE_READ および MADV_POPULATE_WRITE フラグが追加されました。 (デフォルト)。 フラグを使用すると、実際のアクセスを待たずに、すべての未割り当てページに対して「ページ フォールト」ハンドラーがプロアクティブに一度に実行されるため、プログラムの実行の遅延を軽減するのに役立ちます。
  • kunit 単体テスト システムには、QEMU 環境でのテスト実行のサポートが追加されました。
  • 新しいトレーサーが追加されました。割り込み処理によって引き起こされるアプリケーションの遅延を追跡する「osnoise」と、タイマー信号からウェイクアップするときの遅延に関する詳細情報を表示する「timerlat」です。
• 仮想化とセキュリティ
  • memfd_secret() システム コールは、独立したアドレス空間にプライベート メモリ領域を作成するために追加されました。プライベート メモリ領域は、所有プロセスにのみ表示され、他のプロセスには反映されず、カーネルには直接アクセスできません。
  • seccomp システム コール フィルタリング システムでは、ブロッキング ハンドラをユーザー空間に移動するときに、単一のアトミック操作を使用して分離タスクのファイル記述子を作成し、システム コールの処理時にそれを返すことができます。 提案された操作は、シグナルの到着時にユーザー空間のハンドラーを中断する問題を解決します。
  • ユーザー ID 名前空間でリソース制限を管理するための新しいメカニズムが追加されました。これは、個々の rlimit カウンターを「ユーザー名前空間」のユーザーにバインドします。 この変更により、XNUMX 人のユーザーが異なるコンテナーでプロセスを実行する場合の共通リソース カウンターの使用に関する問題が解決されました。
  • ARM64 システム用の KVM ハイパーバイザーには、ゲスト システムで MTE (MemTag、Memory Tagging Extension) 拡張機能を使用する機能が追加されました。これにより、タグを各メモリ割り当て操作にバインドし、ポインタの正しい使用のチェックを整理して、メモリの悪用をブロックすることができます。すでに解放されたメモリ ブロックへのアクセス、バッファのオーバーフロー、初期化前のアクセス、および現在のコンテキスト外での使用によって引き起こされる脆弱性。
  • ARM64 プラットフォームのポインタ認証機能は、カーネルとユーザー空間に対して個別に構成できるようになりました。 このテクノロジを使用すると、特殊な ARM64 命令を使用して、ポインタ自体の未使用の上位ビットに格納されているデジタル署名を使用してリターン アドレスを検証できます。
  • ユーザーモード Linux では、PCI-over-virtio ドライバーによって実装された、仮想 PCI バスを備えた PCI デバイス用ドライバーの使用のサポートが追加されました。
  • x86 システムの場合、virtio-iommu 準仮想化デバイスのサポートが追加され、メモリ ページ テーブルをエミュレートせずに、ATTACH、DETACH、MAP、UNMAP などの IOMMU リクエストを virtio トランスポート経由で送信できるようになりました。
  • Skylake ファミリから Coffee Lake までの Intel CPU の場合、不必要な同期操作を動的に排除することでマルチスレッド アプリケーションのパフォーマンスを向上させるツールを提供する Intel TSX (Transactional Synchronization Extensions) の使用はデフォルトで無効になっています。 TAA (TSX Asynchronous Abort) メカニズムの動作中に発生する、サードパーティのチャネルを介した情報漏洩を操作する Zombieload 攻撃の可能性があるため、拡張機能は無効になっています。
• ネットワークサブシステム
  • MPTCP (MultiPath TCP) のコアへの統合。これは、異なる IP アドレスに関連付けられた異なるネットワーク インターフェイスを介して複数のルートに沿って同時にパケットを配信する TCP 接続の操作を組織するための TCP プロトコルの拡張です。 新しいリリースでは、IPv4 および IPv6 用の独自のトラフィック ハッシュ ポリシー (マルチパス ハッシュ ポリシー) を設定するためのメカニズムが追加され、カプセル化されたものを含むパケット内のどのフィールドが、パケットを決定するハッシュを計算するときに使用されるかをユーザー空間から決定できるようになります。パケットのパスの選択。
  • SOCK_SEQPACKET ソケット (データグラムの順序付けされた信頼性の高い送信) のサポートが virtio 仮想トランスポートに追加されました。
  • SO_REUSEPORT ソケット メカニズムの機能が拡張され、複数のリッスン ソケットが同時に XNUMX つのポートに接続して接続を受信できるようになり、SO_REUSEPORT 経由で接続されているすべてのソケットに受信リクエストを同時に分散できるため、マルチスレッド サーバー アプリケーションの作成が簡素化されます。 。 新しいバージョンでは、最初に選択されたソケットによるリクエストの処理に失敗した場合に、別のソケットに制御を移すためのツールが追加されました (サービスの再起動時に個々の接続が失われる問題は解決されました)。
• 機器
  • amdgpu ドライバーは、コードネーム「Beige Goby」 (Navi 6000) および「Yellow Carp」という新しい AMD Radeon RX 24 シリーズ GPU のサポートを提供するほか、Aldebaran GPU (gfx90a) および Van Gogh APU のサポートも強化されています。 複数の eDP パネルを同時に操作する機能が追加されました。 APU Renoir では、ビデオ メモリ (TMZ、Trusted Memory Zone) 内の暗号化バッファの操作のサポートが実装されました。 ホットアンプラググラフィックスカードのサポートが追加されました。 Radeon RX 6000 (Navi 2x) GPU および古い AMD GPU では、ASPM (Active State Power Management) サポートがデフォルトで有効になっています。これは、以前は Navi 1x、Vega、および Polaris GPU でのみ有効でした。
  • AMD チップの場合、HMM (異種メモリ管理) サブシステムに基づいて共有仮想メモリ (SVM、共有仮想メモリ) のサポートが追加されました。これにより、独自のメモリ管理ユニット (MMU、メモリ管理ユニット) を持つデバイスの使用が可能になります。メインメモリにアクセスできます。 特に、HMM を使用すると、GPU と CPU の間の共有アドレス空間を編成でき、そこで GPU がプロセスのメイン メモリにアクセスできます。
  • AMD Smart Shift テクノロジーの初期サポートが追加されました。これは、AMD チップセットとグラフィックス カードを搭載したラップトップの CPU と GPU の電源設定を動的に変更して、ゲーム、ビデオ編集、3D レンダリングのパフォーマンスを向上させます。
  • Intel グラフィックス カード用の i915 ドライバーには、Intel Alderlake P チップのサポートが含まれています。
  • Hyper-V 仮想グラフィックス アダプター用の drm/hyperv ドライバーを追加しました。
  • Raspberry Pi 400 オールインワン コンピューターのサポートが追加されました。
  • Dell ラップトップに含まれるハードウェア カメラとマイク スイッチをサポートするために、dell-wmi-privacy ドライバーが追加されました。
  • Lenovo ラップトップの場合、sysfs /sys/class/firmware-attributes/ 経由で BIOS 設定を変更するための WMI インターフェイスが追加されました。
  • USB4 インターフェイスを備えたデバイスのサポートが拡張されました。
  • AmLogic SM1 TOACODEC、Intel AlderLake-M、NXP i.MX8、NXP TFA1、TDF9897、Rockchip RK817、Qualcomm Quinary MI2、Texas Instruments TAS2505 サウンド カードとコーデックのサポートが追加されました。 HP および ASUS ラップトップでのオーディオ サポートが向上しました。 USB デバイスでオーディオの再生が開始されるまでの遅延を軽減するパッチを追加しました。

出所： オープンネット.ru