Oracle Company éischt stabil Verëffentlechung (UEK R6), en erweiderten Build vum Linux Kernel, positionéiert fir an der Oracle Linux Verdeelung ze benotzen als Alternativ zum Standard Kernel Package vu Red Hat Enterprise Linux. De Kernel ass nëmme verfügbar fir x86_64 an ARM64 (aarch64) Architekturen. Kernel Quellen, dorënner Ënnerdeelung an eenzel Patches, am Oracle Public Git Repository.
Den Unbreakable Enterprise Kernel 6 Package baséiert op dem Kernel (UEK R5 war op Kernel 4.14 baséiert), dee mat neie Featuren, Optimisatiounen a Fixer aktualiséiert gëtt, an och fir Kompatibilitéit mat de meeschte Applikatiounen op RHEL getest gëtt, a speziell optimiséiert fir mat industrieller Software an Oracle Hardware ze schaffen. Installatioun an src Packagen mam UEK R6 Kernel si fir Oracle Linux virbereet и . Ënnerstëtzung fir d'6.x Branche gouf gestoppt; fir UEK R6 ze benotzen, musst Dir de System op Oracle Linux 7 aktualiséieren (et gi keng Hindernisser fir dëse Kernel an ähnlechen Versioune vu RHEL, CentOS a Scientific Linux ze benotzen).
Schlëssel Unbreakable Enterprise Kernel 6:
- Erweidert Ënnerstëtzung fir Systemer baséiert op 64-Bit ARM Architektur (aarch64).
- Ënnerstëtzung fir all Feature vu Cgroup v2 gouf implementéiert.
- De ktask Kader gouf implementéiert fir Aufgaben am Kärel ze paralleliséieren déi bedeitend CPU Ressourcen verbrauchen. Zum Beispill, mat ktask, parallelization vun Operatiounen ze läschen Beräicher vun Erënnerung Säiten oder Prozess eng Lëscht vun inodes kann organiséiert ginn;
- Eng paralleliséiert Versioun vu kswapd gouf aktivéiert fir d'Erënnerungssäit-Swaps asynchron ze veraarbechten, wat d'Zuel vun den direkten (synchronen) Swaps reduzéiert. Wéi d'Zuel vun de fräie Gedächtnissäiten erofgeet, mécht kswapd e Scan fir onbenotzt Säiten z'identifizéieren déi befreit kënne ginn.
- Ënnerstëtzung fir d'Integritéit vum Kernelbild a Firmware z'iwwerpréiwen mat enger digitaler Ënnerschrëft beim Luede vum Kernel mam Kexec Mechanismus (Luede vum Kernel vun engem scho geluedene System).
- D'Performance vum virtuelle Gedächtnismanagementsystem gouf optimiséiert, d'Effizienz vum Gedächtnis- a Cache-Säiten ze läschen ass verbessert ginn, an d'Veraarbechtung vum Zougang zu net allokéierten Erënnerungssäiten (Säitfehler) gouf verbessert.
- NVDIMM Ënnerstëtzung gouf erweidert, dëser bestänneg Erënnerung kann elo als traditionell RAM benotzt ginn.
- Den Iwwergank zum dynamesche Debugging System DTrace 2.0 gouf gemaach, wat fir den eBPF Kernel Subsystem ze benotzen. DTrace leeft elo uewen op eBPF, ähnlech wéi existent Linux Tracing Tools uewen op eBPF lafen.
- Verbesserunge goufen am OCFS2 (Oracle Cluster File System) Dateiesystem gemaach.
- Verbesserte Ënnerstëtzung fir de Btrfs Dateisystem. D'Fäegkeet bäigefüügt fir Btrfs op Root Partitionen ze benotzen. Eng Optioun gouf am Installateur bäigefüügt fir Btrfs ze wielen wann Dir Apparater formatéiert. D'Fäegkeet bäigefüügt fir Tauschdateien op Partitionen mat Btrfs ze placéieren. Btrfs huet Ënnerstëtzung fir Kompressioun bäigefüügt mam ZStandard Algorithmus.
- Zousätzlech Ënnerstëtzung fir d'Interface fir asynchronen I / O - io_uring, wat bemierkenswäert ass fir seng Ënnerstëtzung fir I / O Polling an d'Fäegkeet fir mat oder ouni Puffer ze schaffen. Wat d'Performance ugeet, ass io_uring ganz no bei SPDK an ass wesentlech viru Libaio wann Dir mat Polling aktivéiert schafft. Fir io_uring an Endapplikatiounen ze benotzen, déi am Benotzerraum lafen, ass d'Liburing-Bibliothéik virbereet ginn, déi eng Héichniveauverbindung iwwer d'Kernel-Interface ubitt;
- Modus Ënnerstëtzung dobäigesat fir séier Stockage Verschlësselung.
- Zousätzlech Ënnerstëtzung fir Kompressioun mam Algorithmus (zstd).
- Den ext4 Dateiesystem benotzt 64-Bit Zäitstempel an de Superblock Felder.
- XFS enthält Tools fir den Integritéitsstatus vum Dateiesystem während der Operatioun ze berichten an de Status vun der Ausféierung vu fsck op der Flucht ze kréien.
- De Standard TCP Stack gouf op den "" amplaz "Sou séier wéi méiglech" wann Dir Päck verschéckt. GRO (Generic Receive Offload) Support ass fir UDP aktivéiert. Ënnerstëtzung bäigefüügt fir TCP Päckchen am Null-Kopie Modus ze kréien an ze schécken.
- D'Ëmsetze vum TLS-Protokoll um Kernel-Niveau (KTLS) ass involvéiert, deen elo net nëmme fir geschéckt, awer och fir kritt Daten benotzt ka ginn.
- Als Backend fir d'Firewall als Standard aktivéiert
nftables. Optional Ënnerstëtzung dobäi . - Zousätzlech Ënnerstëtzung fir den XDP (eXpress Data Path) Subsystem, deen et erlaabt BPF Programmer op Linux um Netzwierk Chaufferniveau ze lafen mat der Fäegkeet fir direkt op den DMA Paketbuffer ze kommen an op der Bühn ier de skbuff-Puffer vum Netzstack zougewisen gëtt.
- Verbessert an aktivéiert wann Dir UEFI Secure Boot Modus benotzt , wat de Root Benotzer Zougang zum Kernel limitéiert an UEFI Secure Boot Bypass Weeër blockéiert. Zum Beispill, am Sperrmodus, Zougang zu /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes Debugging Mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), e puer Interfaces sinn limitéiert ACPI an MSR Registere vun der CPU, Uruff un kexec_file an kexec_load si blockéiert, Schlofmodus ass verbueden, DMA Notzung fir PCI Geräter ass limitéiert, Import vum ACPI Code vun EFI Variablen ass verbueden, Manipulatiounen mat I/O Ports sinn net erlaabt, dorënner Ännerung vun der Ënnerbriechung Zuel an ech / O port fir Serien port.
- Zousätzlech Ënnerstëtzung fir verstäerkte IBRS (Enhanced Indirect Branch Restricted Speculation) Instruktiounen, déi Iech erlaben adaptiv d'spekulativ Ausféierung vun Instruktiounen während der Ënnerbriechungsveraarbechtung, System Uruff a Kontextschalter z'aktivéieren an auszeschalten. Mat Enhanced IBRS Support gëtt dës Method benotzt fir géint Spectre V2 Attacken ze schützen anstatt Retpoline, well et méi héich Leeschtung erlaabt.
- Verbesserte Sécherheet a weltwäit schreiwenbare Verzeichnisser. An esou Verzeichnisser ass et verbueden FIFO-Dateien an Dateien ze kreéieren déi vun de Benotzer gehéieren, déi net dem Besëtzer vum Verzeechnes mat dem plakeg Fändel passen.
- Par défaut op ARM Systemer, Kernel Adress Raum randomization op Systemer (KASLR) ass aktivéiert. Pointer Authentifikatioun ass fir Aarch64 aktivéiert.
- Zousätzlech Ënnerstëtzung fir "NVMe iwwer Stoffer TCP".
- Virtio-pmem-Treiber bäigefüügt fir Zougang zu kierperlechen Adressraum-mapped Späicherapparater wéi NVDIMMs ze bidden.
Source: opennet.ru