Linuxカーネル5.14

XNUMX か月の開発を経て、Linus Torvalds 氏は 紹介された カーネルリリース Linux 5.14。 最も注目すべき変更点としては、新しい quotectl_fd() および memfd_secret() システム コール、ide および raw ドライバーの削除、cgroup 用の新しい I/O 優先順位コントローラー、SCHED_CORE タスク スケジューリング モード、検証済み BPF プログラム ローダーを作成するためのインフラストラクチャが挙げられます。

新バージョンには15883人の開発者による2002件の修正が含まれており、パッチのサイズは69MBである（変更は12580のファイルに影響し、861501行のコードが追加され、321654行が削除された）。 47 で導入されたすべての変更の約 5.14% はデバイス ドライバーに関連し、変更の約 14% はハードウェア アーキテクチャに固有のコードの更新に関連し、13% はネットワーク スタックに関連し、3% はファイル システムに関連し、3% はファイル システムに関連します。内部カーネル サブシステムに関連しています。

メイン イノベーション:

• ディスク サブシステム、入出力システム、およびファイル システム:
  • cgroup用 実装された 新しい I/O 優先順位コントローラー - rq-qos。各 cgroup のメンバーによって生成されたブロックデバイスへの要求の処理優先順位を制御できます。 新しい優先順位コントローラーのサポートが mq-deadline I/O スケジューラーに追加されました。
  • ext4 ファイル システム上 実装されました 新しい ioctl コマンド EXT4_IOC_CHECKPOINT。すべての保留中のトランザクションをログおよび関連するバッファからディスクに強制的に移動し、ストレージ内のログによって使用される領域も上書きします。 この変更は、ファイル システムからの情報漏洩を防ぐ取り組みの一環として準備されました。
  • Btrfsで 入力されました パフォーマンスの最適化: fsync 実行中の拡張属性の不必要なロギングを排除することで、拡張属性を使用した集中的な操作のパフォーマンスが最大 17% 向上しました。 さらに、エクステントに影響を与えないトリム操作を実行する場合、完全同期が無効になり、操作時間が 12% 短縮されました。 FS チェック時に I/O 帯域幅を制限する設定が sysfs に追加されました。 サイズ変更とデバイスの削除操作をキャンセルするための ioctl 呼び出しを追加しました。
  • XFSで やり直した バッファ キャッシュの実装。バッチ モードでメモリ ページの割り当てに転送されます。 キャッシュ効率の向上。
  • F2FS は、読み取り専用モードで動作するオプションを追加し、ランダム読み取りパフォーマンスを向上させるために圧縮ブロック キャッシュ モード (compress_cache) を実装しました。 mmap() 操作を使用してメモリにマップされたファイルを圧縮するためのサポートが実装されました。 マスクによるファイル圧縮を選択的に無効にするために、新しいマウント オプション nocompress が提案されています。
  • 一部のデジタル カメラのストレージとの互換性を向上させるために、exFAT ドライバーで作業が行われました。
  • システムコールを追加しました クォータクトl_fd()これにより、特別なデバイス ファイルを使用せずに、クォータが適用されるファイル システムに関連付けられたファイル記述子を指定することによってクォータを管理できます。
  • IDE インターフェイスを備えたブロック デバイスの古いドライバーはカーネルから削除され、長い間 limata サブシステムに置き換えられてきました。 古いデバイスのサポートは完全に維持されており、変更は古いドライバーを使用する機能のみに関係します。古いドライバーを使用する場合、ドライブは /dev/sd* ではなく /dev/hd* と呼ばれます。
  • 「raw」ドライバーがカーネルから削除され、/dev/raw インターフェイスを介してブロック デバイスにバッファーなしでアクセスできるようになりました。 この機能は、O_DIRECT フラグを使用してアプリケーションに長い間実装されてきました。
• メモリおよびシステム サービス:
  • 新しいスケジューリング モードがタスク スケジューラに実装されました SCHED_COREを使用すると、同じ CPU コア上でどのプロセスを一緒に実行できるかを制御できます。 各プロセスには、プロセス間の信頼の範囲 (たとえば、同じユーザーまたはコンテナに属する) を定義する Cookie 識別子を割り当てることができます。 コードの実行を整理するとき、スケジューラは、同じ所有者に関連付けられたプロセス間でのみ XNUMX つの CPU コアが共有されるようにできます。これを使用して、信頼できるタスクと信頼できないタスクが同じ SMT (ハイパー スレッディング) スレッドで実行されるのを防ぐことで、一部の Spectre 攻撃をブロックできます。 ;
  • cgroup メカニズムでは、kill 操作のサポートが実装されました。これにより、仮想ファイル cgroup.kill に「1」を書き込むことで、グループに関連付けられたすべてのプロセスを一度に強制終了 (SIGKILL の送信) できるようになります。
  • アトミック命令の実行時にデータが 20 つの CPU キャッシュ ラインをまたぐため、メモリ内の非整列データにアクセスするときに発生する分割ロック (「分割ロック」) の検出への対応に関連する機能が拡張されました。 このようなブロックはパフォーマンスの大幅な低下につながるため、以前はブロックの原因となったアプリケーションを強制的に終了することが可能でした。 新しいリリースでは、カーネル コマンド ライン パラメータ「split_lock_detect=ratelimit:N」が追加されています。これにより、XNUMX 秒あたりのロック操作の速度に関するシステム全体の制限を定義できます。この制限を超えると、分割ロックのソースとなったプロセスは制限されます。終了する代わりに XNUMX ミリ秒間強制的に停止します。
  • cgroup 帯域幅コントローラー CFS (CFS 帯域幅コントローラー) は、各 cgroup にどれだけのプロセッサー時間を割り当てることができるかを決定します。これには、指定されたアクションの継続時間によって制限される制限を定義する機能があり、これにより、遅延に敏感な負荷をより適切に調整できます。 たとえば、cpu.cfs_quota_us を 50000 に設定し、cpu.cfs_period_us を 100000 に設定すると、プロセスのグループが 100 ミリ秒ごとに 50 ミリ秒の CPU 時間を無駄にすることができます。
  • 追加した BPF プログラム ローダーを作成するための初期インフラストラクチャ。これにより、信頼できるデジタル キーで署名された BPF プログラムのみをダウンロードできます。
  • 新しい futex オペレーション FUTEX_LOCK_PI2 を追加しました。これは単調タイマーを使用してタイムアウトを計算し、システムがスリープ モードで費やした時間を考慮します。
  • RISC-V アーキテクチャの場合、大きなメモリ ページ (透過的ヒュージ ページ) のサポートと、 Kフェンス メモリを操作する際のエラーを特定するため。
  • プロセスメモリ管理を最適化する手段を提供する madvise() システムコールに組み込みます。 追加した MADV_POPULATE_READ および MADV_POPULATE_WRITE フラグを使用すると、実際の読み取りまたは書き込みを実行せずに、読み取りまたは書き込み操作用にマップされたすべてのメモリ ページで「ページ フォールト」を生成します (デフォルト)。 フラグを使用すると、実際のアクセスを待たずに、すべての未割り当てページに対して「ページ フォルト」ハンドラがプロアクティブに一度に実行されるため、プログラムの実行の遅延を軽減するのに役立ちます。
  • 単体テストシステム内で クニット 追加した QEMU 環境でのテストの実行のサポート。
  • 新しいトレーサーが追加されました: "オスノイズ" は割り込み処理によって引き起こされるアプリケーションの遅延を追跡し、" timerlat " はタイマー信号からウェイクアップするときの遅延に関する詳細情報を表示します。
• 仮想化とセキュリティ:
  • 追加されました システムコール memfd_secret()これにより、所有者プロセスのみに表示され、他のプロセスには反映されず、カーネルに直接アクセスできない、分離されたアドレス空間にプライベート メモリ領域を作成できます。
  • seccomp システム コール フィルタリング システムでは、ロック ハンドラをユーザー空間に移動するときに、XNUMX つのアトミック操作を使用して分離されたタスクのファイル記述子を作成し、システム コールの処理時にそれを返すことができます。 提案された操作は次のことを解決します 問題 シグナルが到着すると、ユーザー空間のハンドラーが中断されます。
  • 追加されました 新しい仕組み ユーザー ID 名前空間でのリソース制限を管理します。これにより、個々の rlimit カウンターが「ユーザー名前空間」内のユーザーにバインドされます。 この変更により、あるユーザーが異なるコンテナーでプロセスを実行する場合の共通リソース カウンターの使用に関する問題が解決されました。
  • ARM64 システム用の KVM ハイパーバイザーには、ゲスト システムで MTE (MemTag、Memory Tagging Extension) 拡張機能を使用する機能が追加されています。これにより、タグを各メモリ割り当て操作にバインドし、ポインタの正しい使用のチェックを整理して、メモリの悪用をブロックすることができます。すでに解放されたメモリ ブロックへのアクセス、バッファのオーバーフロー、初期化前のアクセス、および現在のコンテキスト外での使用によって引き起こされる脆弱性。
  • ARM64 プラットフォームによって提供されるポインター認証を、カーネルとユーザー空間に対して個別に構成できるようになりました。 このテクノロジを使用すると、特殊な ARM64 命令を使用して、ポインタ自体の未使用の上位ビットに格納されているデジタル署名を使用して戻りアドレスを検証できます。
  • ユーザーモード Linux の場合 追加した PCI-over-virtio ドライバーによって実装された、仮想 PCI バスを備えた PCI デバイス用ドライバーの使用のサポート。
  • x86 システムの場合、virtio-iommu 準仮想化デバイスのサポートが追加されました。これにより、メモリ ページ テーブルをエミュレートせずに、ATTACH、DETACH、MAP、UNMAP などの IOMMU リクエストを virtio トランスポート経由で送信できるようになります。
  • Skylake ファミリから Coffee Lake までの Intel CPU の場合、不必要な同期操作を動的に排除することでマルチスレッド アプリケーションのパフォーマンスを向上させるツールを提供する Intel TSX (Transactional Synchronization Extensions) の使用はデフォルトで無効になっています。 攻撃の可能性があるため、拡張機能は無効になっています ゾンビエロード、操作の非同期中断メカニズム (TAA、TSX 非同期アボート) の動作中に発生するサードパーティ チャネルを介した情報漏洩を操作します。
• ネットワークサブシステム:
  • MPTCP (MultiPath TCP) のコアへの継続的な統合。これは、異なる IP アドレスに関連付けられた異なるネットワーク インターフェイスを介して複数のルートに沿って同時にパケットを配信する TCP 接続の操作を組織するための TCP プロトコルの拡張です。 新刊では 追加されました IPv4 および IPv6 用の独自のトラフィック ハッシュ ポリシー (マルチパス ハッシュ ポリシー) を設定するためのメカニズム。これにより、パスの選択を決定するハッシュを計算するときに、カプセル化されたフィールドを含むパケット内のどのフィールドが使用されるかをユーザー空間から決定できるようになります。パケットの場合。
  • ソケットのサポートが仮想トランスポート virtio に追加されました SOCK_SEQPACKET (データグラムの秩序ある確実な送信)。
  • SO_REUSEPORT ソケット メカニズムの機能が拡張され、複数のリッスン ソケットが同時に XNUMX つのポートに接続して接続を受信できるようになり、SO_REUSEPORT 経由で接続されているすべてのソケットに受信リクエストを同時に分散できるため、マルチスレッド サーバー アプリケーションの作成が簡素化されます。 。 新しいバージョンでは 追加した 最初に選択したソケットによるリクエストの処理に失敗した場合に、別のソケットに制御を移す手段 (サービスの再起動時に個々の接続が失われる問題を解決します)。
• 装置：
  • amdgpuドライバー内 実装されました コードネーム「Beige Goby」(Navi 6000) および「Yellow Carp」という新しい AMD Radeon RX 24 シリーズ GPU のサポートに加え、Aldebaran GPU (gfx90a) および Van Gogh APU のサポートも強化されました。 複数の eDP パネルを同時に操作する機能が追加されました。 APU Renoir では、ビデオ メモリ (TMZ、Trusted Memory Zone) 内の暗号化バッファの操作のサポートが実装されました。 ホットアンプラググラフィックスカードのサポートが追加されました。 Radeon RX 6000 (Navi 2x) GPU および古い AMD GPU の場合、ASPM (Active State Power Management) 省電力メカニズムのサポートがデフォルトで有効になっています。これは、以前は Navi 1x、Vega、および Polaris GPU でのみ有効でした。
  • AMD チップの場合、HMM (異種メモリ管理) サブシステムに基づいて共有仮想メモリ (SVM、共有仮想メモリ) のサポートが追加されました。これにより、独自のメモリ管理ユニット (MMU、メモリ管理ユニット) を持つデバイスの使用が可能になります。メインメモリにアクセスできます。 HMM の使用を含め、GPU と CPU の間で共有アドレス空間を編成できます。これにより、GPU はプロセスのメイン メモリにアクセスできます。
  • 初期テクノロジーサポートを追加 AMDスマートシフト、チップセットと AMD グラフィックス カードを搭載したラップトップの CPU と GPU の電力消費パラメータを動的に変更して、ゲーム、ビデオ編集、3D レンダリング時のパフォーマンスを向上させます。
  • Intel ビデオ カード用の i915 ドライバー内 含まれています Intel Alderlake P チップのサポート。
  • Hyper-V 仮想グラフィックス アダプター用の drm/hyperv ドライバーを追加しました。
  • 追加されました simpledrm グラフィックス ドライバー。UEFI ファームウェアまたは BIOS によって出力用に提供される EFI-GOP または VESA フレームバッファーを使用します。 ドライバーの主な目的は、完全な DRM ドライバーが使用できるようになる前の、起動の初期段階でグラフィック出力機能を提供することです。 このドライバーは、ネイティブ DRM ドライバーをまだ備えていない機器の一時的なソリューションとしても使用できます。
  • 追加した オールインワンコンピュータのサポート ラズベリーパイ400;
  • Dell ラップトップに含まれるカメラとマイクのハードウェア スイッチをサポートするために dell-wmi-privacy ドライバーを追加しました。
  • レノボのラップトップ用 追加されました sysfs /sys/class/firmware-attributes/ 経由で BIOS パラメータを変更するための WMI インターフェイス。
  • 拡張された USB4 インターフェイスを備えたデバイスのサポート。
  • 追加した サウンド カードとコーデック AmLogic SM1 TOACODEC、Intel AlderLake-M、NXP i.MX8、NXP TFA1、TDF9897、Rockchip RK817、Qualcomm Quinary MI2、および Texas Instruments TAS2505 のサポート。 HP および ASUS ラップトップでのオーディオ サポートが向上しました。 追加した パッチを適用して、USB インターフェイスを備えたデバイスでオーディオの再生が開始されるまでの遅延を軽減します。

出典 – opennet.ru。

出所： linux.org.ru