Linux 6.2 カーネル リリース

6.2 か月の開発後、Linus Torvalds は Linux カーネル 5 のリリースを発表しました。 最も注目すべき変更点としては、Copyleft-Next ライセンスに基づくコードの受け入れが許可されること、Btrfs での RAID6/XNUMX の実装が改善されること、Rust 言語のサポートの統合が継続されること、Retbleed 攻撃に対する保護のオーバーヘッドが削減されること、ライトバック中のメモリ消費を調整する機能が追加され、TCP バランシングのメカニズムが追加されました。PLB (保護負荷分散)、ハイブリッド コマンド フロー保護メカニズム (FineIBT) が追加されました。BPF は独自のオブジェクトとデータ構造を定義できるようになりました。 rv (Runtime Verification) ユーティリティが含まれており、RCU ロックの実装における消費電力が削減されています。

新バージョンには、16843人の開発者による2178件の修正が含まれており、パッチのサイズは62MBです（変更は14108個のファイルに影響し、730195行のコードが追加され、409485行が削除されました）。 42 で導入されたすべての変更の約 6.2% はデバイス ドライバーに関連し、変更の約 16% はハードウェア アーキテクチャに固有のコードの更新に関連し、12% はネットワーク スタックに関連し、4% はファイル システムに関連し、3% はファイル システムに関連します。内部カーネル サブシステムに関連しています。

カーネル 6.2 の主な革新:

• メモリおよびシステム サービス
  • Copyleft-Next 0.3.1 ライセンスに基づいて提供されるカーネル コードおよび変更を組み込むことが許可されています。 Copyleft-Next ライセンスは GPLv3 の作成者の 2 人によって作成され、SUSE および Red Hat の弁護士によって確認されたように、GPLv2 ライセンスと完全に互換性があります。 GPLv15 と比較して、Copyleft-Next ライセンスははるかにコンパクトで理解しやすくなっており (導入部分と古い侵害に関する記述が削除されています)、違反を排除するための時間枠と手順が定義されており、古いソフトウェアに対するコピーレフト要件が自動的に削除されます。 XNUMX歳以上です。

    Copyleft-Next には独自の技術付与条項も含まれており、GPLv2 とは異なり、このライセンスは Apache 2.0 ライセンスと互換性があります。 GPLv2 との完全な互換性を確保するために、Copyleft-Next は、オリジナルの Copyleft-Next ライセンスに加えて、GPL ライセンスに基づいて派生著作物を提供できることを明示的に述べています。

  • この構造には、ユーザー空間から RV (Runtime Verification) サブシステムのハンドラーと対話するためのインターフェイスを提供する「rv」ユーティリティが含まれており、障害がないことを保証する信頼性の高いシステムでの正しい動作をチェックするように設計されています。 検証は、システムの予期される動作を定義するマシンの事前に決定された参照決定モデルに対して実際の実行の進行状況をチェックするハンドラーをトレース ポイントにアタッチすることによって実行時に実行されます。
  • zRAM デバイスは、スワップ パーティションを圧縮形式でメモリに保存できるようにし (圧縮を使用してスワップが実行されるブロック デバイスがメモリ内に作成されます)、より高いレベルを達成するために代替アルゴリズムを使用してページを再パックする機能を実装します。圧縮の。 主なアイデアは、いくつかのアルゴリズム (lzo、lzo-rle、lz4、lz4hc、zstd) から選択肢を提供し、圧縮/解凍速度と圧縮レベルの間で独自の妥協点を提供するか、特殊な状況 (たとえば、大きなサイズの圧縮など) で最適化することです。メモリページ）。
  • ユーザー空間から I/O メモリ管理システム - IOMMU (I/O Memory-Management Unit) を管理するための「iommufd」API を追加しました。 新しい API により、ファイル記述子を使用して I/O メモリ ページ テーブルを管理できるようになります。
  • BPF は、タイプの作成、独自のオブジェクトの定義、独自のオブジェクト階層の構築、およびリンク リストなどの独自のデータ構造を柔軟に作成する機能を提供します。 スリープ モード (BPF_F_SLEEPABLE) に移行する BPF プログラムの場合、bpf_rcu_read_{,un}lock() ロックのサポートが追加されました。 task_struct オブジェクトの保存のサポートが実装されました。 マップ タイプ BPF_MAP_TYPE_CGRP_STORAGE を追加し、cgroup にローカル ストレージを提供します。
  • RCU (読み取り-コピー-更新) ブロック メカニズムでは、「遅延」コールバック呼び出しのオプション メカニズムが実装されており、バッチ モードでタイマーを使用して複数のコールバック呼び出しが一度に処理されます。 提案された最適化を適用すると、アイドル時間またはシステムの低負荷時に RCU リクエストを延期することで、Android および ChromeOS デバイスの消費電力を 5 ～ 10% 削減できます。
  • アトミック命令の実行時にデータが 0 つの CPU キャッシュ ラインをまたぐためにメモリ内の非整列データにアクセスするときに発生する分割ロックを検出したときのシステムの反応を制御する sysctl split_lock_mitigate を追加しました。 このような障害は、パフォーマンスの大幅な低下につながります。 split_lock_mitigate を 1 に設定すると、問題があるという警告が発行されるだけですが、split_lock_mitigate を XNUMX に設定すると、ロックの原因となったプロセスが遅くなり、システムの残りの部分のパフォーマンスが維持されます。
  • qspinlock の新しい実装が PowerPC アーキテクチャ用に提案されており、より高いパフォーマンスを実証し、例外的なケースで発生するいくつかのロックの問題を解決します。
  • MSI (メッセージ信号割り込み) 割り込み処理コードが再加工され、蓄積されたアーキテクチャ上の問題が解消され、個々のハンドラーを異なるデバイスにバインドするためのサポートが追加されました。
  • Loongson 3 5000 プロセッサで使用され、新しい RISC ISA を実装する LoongArch 命令セット アーキテクチャに基づくシステムの場合、MIPS や RISC-V と同様に、ftrace、スタック保護、ス​​リープおよびスタンバイ モードのサポートが実装されます。
  • 共有匿名メモリの領域に名前を割り当てる機能が提供されました (以前は、特定のプロセスに割り当てられたプライベート匿名メモリにのみ名前を割り当てることができました)。
  • 新しいカーネル コマンド ライン パラメータ「trace_trigger」を追加しました。これは、制御チェックがトリガーされたときに呼び出される条件付きコマンドをバインドするために使用されるトレース トリガーをアクティブにするように設計されています (たとえば、trace_trigger=”sched_switch.stacktrace if prev_state == 2″)。
  • binutils パッケージのバージョンの要件が増加しました。 カーネルを構築するには、少なくとも binutils 2.25 が必要です。
  • exec() を呼び出すときに、時間がシステム時間とは異なる時間名前空間にプロセスを配置する機能が追加されました。
  • ドライバーおよびカーネルモジュールを開発するための第 XNUMX 言語としての Rust 言語の使用に関連する追加機能を Rust-for-Linux ブランチから転送し始めました。 Rust サポートはデフォルトで無効になっており、Rust が必須のカーネル ビルド依存関係として含まれることはありません。 前回のリリースで提供された基本機能は、Vec タイプやマクロ pr_debug!()、pr_cont!()、pr_alert!() や手続き型マクロ「#[vtable」などの低レベル コードをサポートするように拡張されました。 ]」を使用すると、関数でのポインター テーブルの操作が簡素化されます。 将来のリリースでは、カーネル サブシステム上に高レベルの Rust バインディングが追加され、Rust での本格的なドライバーの作成が可能になる予定です。
  • カーネルで使用される「char」型は、すべてのアーキテクチャでデフォルトで署名なしとして宣言されるようになりました。
  • 少量のメモリを搭載したシステム向けに設計されたスラブ メモリ割り当てメカニズムである SLOB (スラブ アロケータ) は、廃止されることが宣言されました。 通常の状況では、SLOB の代わりに SLUB または SLAB を使用することをお勧めします。 メモリ容量が少ないシステムの場合は、SLUB_TINY モードで SLUB を使用することをお勧めします。
• ディスク サブシステム、I/O、およびファイル システム
  • RAID 5/6 実装における「書き込みホール」問題 (書き込み中にクラッシュが発生し、どの RAID デバイスのどのブロックに正しく書き込まれたかを理解できない場合に RAID を復元しようとする試み) を修正することを目的とした Btrfs の改善が行われました。これは、アンダーライトされたブロックに相当するブロックの破壊につながる可能性があります)。 さらに、SSD では、可能な場合はデフォルトで非同期破棄操作が自動的に有効になり、破棄操作をキューに効率的にグループ化し、バックグラウンド プロセッサによるキューの処理によりパフォーマンスが向上します。 send 操作と lseek 操作、および FIEMAP ioctl のパフォーマンスが向上しました。
  • ブロックデバイスの遅延書き込み (ライトバック、変更されたデータのバックグラウンド保存) を管理する機能が拡張されました。 ネットワーク ブロック デバイスや USB ドライブを使用する場合など、状況によっては、遅延書き込みにより RAM が大量に消費される可能性があります。 遅延書き込みの動作を制御し、ページ キャッシュ サイズを特定の制限内に維持するために、新しいパラメーター strict_limit、min_bytes、max_bytes、min_ratio_fine、および max_ratio_fine が sysfs (/sys/class/bdi/) に導入されました。
  • F2FS ファイル システムは、アトミック置換 ioctl 操作を実装しています。これにより、単一のアトミック操作内でファイルにデータを書き込むことができます。 F2FS は、アクティブに使用されているデータや長期間アクセスされていないデータを識別するのに役立つブロック エクステント キャッシュも追加します。
  • ext4 FS では、エラー訂正のみが注目されます。
  • ntfs3 ファイル システムは、いくつかの新しいマウント オプションを提供します。ファイル名とディレクトリ名の大文字と小文字の区別を制御する「nocase」。 windows_name は、Windows で無効な文字を含むファイル名の作成を禁止します。 Hide_dot_files は、ドットで始まるファイルの隠しファイル ラベルの割り当てを制御します。
  • Squashfs ファイル システムは、「threads=」マウント オプションを実装しています。これにより、解凍操作を並列化するスレッドの数を定義できます。 Squashfs では、マウントされたファイル システムのユーザー ID をマップする機能も導入されました。これは、マウントされた外部パーティション上の特定のユーザーのファイルを現在のシステム上の別のユーザーと照合するために使用されます。
  • POSIX アクセス制御リスト (POSIX ACL) の実装が見直されました。 新しい実装では、アーキテクチャの問題が解消され、コードベースのメンテナンスが簡素化され、より安全なデータ型が導入されます。
  • ファイルとディレクトリの透過的な暗号化に使用される fscrypt サブシステムに、SM4 暗号化アルゴリズム (中国標準 GB/T 32907-2016) のサポートが追加されました。
  • NFSv2 サポートなしでカーネルを構築する機能が提供されています (将来的には、NFSv2 のサポートを完全に停止する予定です)。
  • NVMe デバイスへのアクセス権をチェックする組織が変更されました。 書き込みプロセスがデバイスの専用ファイルにアクセスできる場合、NVMe デバイスへの読み取りおよび書き込み機能を提供します (以前は、プロセスには CAP_SYS_ADMIN 権限が必要でした)。
  • 2016 年に非推奨となった CD/DVD パッケージ ドライバーを削除しました。
• 仮想化とセキュリティ
  • Retbleed 脆弱性に対する新しい保護方法が、コール デプス トラッキングを使用して Intel および AMD CPU に実装されました。これにより、以前に存在していた Retbleed に対する保護ほど作業の速度が低下することはありません。 新しいモードを有効にするために、カーネル コマンド ライン パラメータ「retbleed=stuff」が提案されています。
  • Intel IBT (間接分岐追跡) ハードウェア命令の使用と kCFI (カーネル制御フロー整合性) ソフトウェア保護を組み合わせたハイブリッド FineIBT 命令フロー保護メカニズムを追加し、メモリに格納されているポインターを変更するエクスプロイトの使用に起因する制御フロー違反をブロックします。機能。 FineIBT では関数先頭の ENDBR 命令へのジャンプの場合のみ間接ジャンプによる実行が可能です。 さらに、kCFI メカニズムと同様に、ポインタの不変性を保証するためにハッシュがチェックされます。
  • 「oops」状態の生成を操作する攻撃をブロックする制限を追加しました。その後、問題のあるタスクが完了し、システムを停止することなく状態が復元されます。 「oops」状態への呼び出しが非常に多くなると、参照カウンタのオーバーフロー (refcount) が発生し、NULL ポインタの逆参照によって引き起こされる脆弱性が悪用される可能性があります。 このような攻撃から保護するために、「oops」トリガーの最大数の制限がカーネルに追加されています。この制限を超えると、カーネルは「パニック」状態への移行を開始し、その後再起動します。これにより、 refcount をオーバーフローさせるために必要な反復回数。 デフォルトでは、制限は 10「oops」に設定されていますが、必要に応じて、oops_limit パラメーターを使用して変更できます。
  • 構成パラメータ LEGACY_TIOCSTI および sysctl Legacy_tiocsti を追加し、ioctl TIOCSTI を使用して端末にデータを入力する機能を無効にしました。これは、この機能を使用して端末入力バッファに任意の文字を置換し、ユーザー入力をシミュレートできるためです。
  • 新しいタイプの内部構造 encoded_pa​​ge が提案されており、ポインタの下位ビットは、ポインタの偶発的な逆参照から保護するための追加情報を格納するために使用されます (実際に逆参照が必要な場合は、これらの追加ビットを最初にクリアする必要があります)。 。
  • ARM64 プラットフォームでは、ブート段階で、シャドウ スタック メカニズムのソフトウェア実装を有効または無効にすることができます。これは、スタック上でバッファ オーバーフローが発生した場合に、関数からのリターン アドレスが上書きされないように保護するために使用されます (保護の本質は、制御が関数に移された後、戻りアドレスを別の「シャドウ」スタックに保存し、関数を終了する前に指定されたアドレスを取得することです)。 XNUMX つのカーネル アセンブリでシャドウ スタックのハードウェアおよびソフトウェア実装がサポートされているため、ポインタ認証の命令のサポートに関係なく、異なる ARM システム上で XNUMX つのカーネルを使用できます。 ソフトウェア実装の組み込みは、ロード中にコード内の必要な命令を置き換えることによって実行されます。
  • Intel プロセッサでの非同期終了通知メカニズムの使用のサポートが追加されました。これにより、SGX エンクレーブで実行されるコードに対するシングルステップ攻撃を検出できるようになります。
  • ハイパーバイザーが Intel TDX (Trusted Domain Extensions) ゲスト システムからのリクエストをサポートできるようにする一連の操作が提案されています。
  • カーネル ビルド設定 RANDOM_TRUST_BOOTLOADER および RANDOM_TRUST_CPU が削除され、対応するコマンド ライン オプション random.trust_bootloader および random.trust_cpu が使用されます。
  • プロセスのグループと外部環境との対話を制限できる Landlock メカニズムに、LANDLOCK_ACCESS_FS_TRUNCATE フラグのサポートが追加されました。これにより、ファイルの切り捨て操作の実行を制御できるようになります。
• ネットワークサブシステム
  • IPv6 の場合、PLB (保護負荷分散) のサポートが追加されました。PLB (保護負荷分散) は、データセンター スイッチの過負荷点を減らすことを目的としたネットワーク リンク間の負荷分散メカニズムです。 IPv6 フロー ラベルを変更することにより、PLB はパケット パスをランダムに変更して、スイッチ ポートの負荷のバランスをとります。 パケットの並べ替えを減らすために、この操作は可能な限りアイドル期間の後に実行されます。 Google データセンターでの PLB の使用により、スイッチ ポートの負荷不均衡が平均 60% 削減され、パケット損失が 33% 削減され、レイテンシが 20% 削減されました。
  • Wi-Fi 7 (802.11be) をサポートする MediaTek デバイス用のドライバーを追加しました。
  • 800 ギガビット リンクのサポートが追加されました。
  • 作業を停止することなく、その場でネットワーク インターフェイスの名前を変更する機能が追加されました。
  • パケットの到着先 IP アドレスの記述が、SYN フラッドに関するログ メッセージに追加されました。
  • UDP では、異なるネットワーク名前空間に対して個別のハッシュ テーブルを使用する機能が実装されました。
  • ネットワーク ブリッジでは、MAB (MAC Authentication Bypass) 認証方式のサポートが実装されました。
  • CAN プロトコル (CAN_RAW) の場合、FWmark ベースのトラフィック フィルターを接続するために SO_MARK ソケット モードのサポートが実装されました。
  • ipset は、IP アドレスの任意のビットに基づいてマスクを設定できる新しいビットマスク パラメータを実装します (たとえば、「ipset create set1 hash:ip bitmask 255.128.255.0」)。
  • トンネリングされたパケット内の内部ヘッダーを処理するためのサポートを nf_tables に追加しました。
• 機器
  • 「accel」サブシステムは、計算アクセラレータのフレームワークの実装とともに追加されました。これは、個別の ASIC の形式、または SoC および GPU 内の IP ブロックの形式で提供できます。 これらのアクセラレータは、主に機械学習の問題の解決を加速することを目的としています。
  • amdgpu ドライバーには、GC、PSP、SMU、および NBIO IP コンポーネントのサポートが含まれています。 ARM64 システムの場合、DCN (Display Core Next) のサポートが実装されています。 保護された画面出力の実装は DCN10 の使用から DCN21 に移行され、複数の画面を接続するときに使用できるようになりました。
  • i915 (Intel) ドライバーは、ディスクリート Intel Arc (DG2/Alchemist) ビデオ カードのサポートを安定させました。
  • Nouveau ドライバーは、Ampere アーキテクチャに基づく NVIDIA GA102 (RTX 30) GPU をサポートします。 nva3 (GT215) カードの場合、バックライトを制御する機能が追加されました。
  • Realtek 8852BE、Realtek 8821CU、8822BU、8822CU、8723DU (USB)、MediaTek MT7996 チップ、Broadcom BCM4377/4378/4387 Bluetooth インターフェイス、Motorcomm yt8521 および NVIDIA Tegra GE Ethernet コントローラーに基づくワイヤレス アダプターのサポートが追加されました。
  • 内蔵サウンド チップ HP Stream 8、Advantech MICA-071、Dell SKU 0C11、Intel ALC5682I-VD、Xiaomi Redmi Book Pro 14 2022、i.MX93、Armada 38x、RK3588 の ASoC (ALSA System on Chip) サポートを追加しました。 Focusrite Saffire Pro 40 オーディオ インターフェイスのサポートを追加 Realtek RT1318 オーディオ コーデックを追加しました。
  • Sony スマートフォンおよびタブレット (Xperia 10 IV、5 IV、X および X コンパクト、OnePlus One、3、3T および Nord N100、Xiaomi Poco F1 および Mi6、Huawei Watch、Google Pixel 3a、Samsung Galaxy Tab 4 10.1) のサポートを追加しました。
  • ARM SoC および Apple T6000 (M1 Pro)、T6001 (M1 Max)、T6002 (M1 Ultra)、Qualcomm MSM8996 Pro (Snapdragon 821)、SM6115 (Snapdragon 662)、SM4250 (Snapdragon 460)、SM6375 (Snapdragon 695) のサポートを追加しました。ボード、SDM670 (Snapdragon 670)、MSM8976 (Snapdragon 652)、MSM8956 (Snapdragon 650)、RK3326 Odroid-Go/rg351、Zyxel NSA310S、InnoComm i.MX8MM、Odroid Go Ultra。

同時に、Latin American Free Software Foundation は完全に無料のカーネル 6.2 のバージョンである Linux-libre 6.2-gnu を作成しました。これは、プロプライエタリなコンポーネントやコードのセクションを含むファームウェアとドライバーの要素を取り除き、その範囲は以下によって制限されています。メーカー。 新しいリリースでは、nouveau ドライバー内の新しい BLOB がクリーンアップされます。 BLOB の読み込みは、mt7622、mt7996 Wi-Fi、および bcm4377 Bluetooth ドライバーでは無効になっています。 Aarch64 アーキテクチャの dts ファイル内の BLOB 名をクリーンアップしました。 さまざまなドライバーおよびサブシステムの BLOB クリーニング コードが更新されました。 s5k4ecgx ドライバーがカーネルから削除されたため、sXNUMXkXNUMXecgx ドライバーのクリーニングを停止しました。

出所： オープンネット.ru