Syarikat Oracle keluaran stabil pertama (UEK R6), binaan lanjutan kernel Linux yang dipasarkan untuk digunakan dalam pengedaran Oracle Linux sebagai alternatif kepada pakej kernel saham daripada Red Hat Enterprise Linux. Kernel hanya tersedia untuk seni bina x86_64 dan ARM64 (aarch64). Kod sumber untuk kernel, termasuk pecahan kepada patch individu, dalam repositori Oracle Git awam.
Unbreakable Enterprise Kernel 6 adalah berdasarkan kernel (UEK R5 adalah berdasarkan kernel 4.14), yang dikemas kini dengan ciri baharu, pengoptimuman dan pembetulan, dan telah diuji untuk keserasian dengan kebanyakan aplikasi yang dijalankan pada RHEL, dan telah dioptimumkan secara khusus untuk berfungsi dengan perisian dan perkakasan industri Oracle. Pemasangan kernel UEK R6 dan pakej src disediakan untuk Oracle Linux ΠΈ . Sokongan untuk cawangan 6.x telah dihentikan, untuk menggunakan UEK R6, anda mesti menaik taraf sistem kepada Oracle Linux 7 (tiada halangan untuk menggunakan kernel ini dalam versi RHEL, CentOS dan Scientific Linux yang serupa).
kunci Kernel Perusahaan Tidak Boleh Dipecahkan 6:
- Sokongan lanjutan untuk sistem berdasarkan seni bina ARM 64-bit (aarch64).
- Sokongan yang dilaksanakan untuk semua ciri Cgroup v2.
- Rangka kerja ktask telah dilaksanakan untuk menyelaraskan tugas dalam kernel yang menggunakan sumber CPU yang ketara. Sebagai contoh, dengan bantuan ktask, penyelarasan operasi untuk mengosongkan julat halaman memori atau memproses senarai inod boleh diatur;
- Versi selari kswapd telah disertakan untuk memproses swap halaman secara tak segerak, mengurangkan bilangan swap langsung (segerak). Apabila bilangan halaman memori percuma berkurangan, kswapd mengimbas halaman yang tidak digunakan yang boleh dibebaskan.
- Sokongan untuk mengesahkan integriti imej kernel dan perisian tegar yang ditandatangani secara digital apabila memuatkan kernel menggunakan mekanisme Kexec (memuatkan kernel daripada sistem yang telah dimuatkan).
- Prestasi sistem pengurusan memori maya telah dioptimumkan, kecekapan mengosongkan memori dan halaman cache telah dipertingkatkan, dan pemprosesan akses kepada halaman memori yang tidak diperuntukkan (kesalahan halaman) telah dipertingkatkan.
- Sokongan untuk NVDIMM telah diperluaskan, memori kekal yang ditentukan kini boleh digunakan sebagai RAM tradisional.
- Peralihan kepada sistem penyahpepijatan dinamik DTrace 2.0 telah dibuat, yang mana untuk menggunakan subsistem kernel eBPF. DTrace kini berjalan di atas eBPF, sama seperti cara alat pengesanan Linux sedia ada berfungsi di atas eBPF.
- Penambahbaikan telah dibuat pada sistem fail OCFS2 (Oracle Cluster File System).
- Sokongan yang lebih baik untuk sistem fail Btrfs. Menambahkan keupayaan untuk menggunakan Btrfs pada partition root. Pilihan telah ditambahkan pada pemasang untuk memilih Btrfs semasa memformat peranti. Menambah keupayaan untuk meletakkan fail paging pada partition dengan Btrfs. Btrfs menambah sokongan untuk pemampatan menggunakan algoritma ZStandard.
- Menambah sokongan untuk antara muka untuk I / O - io_uring tak segerak, yang terkenal kerana menyokong tinjauan I / O dan keupayaan untuk berfungsi dengan penimbalan dan tanpa penimbalan. Dari segi prestasi, io_uring sangat hampir dengan SPDK dan dengan ketara mengatasi libaio apabila pengundian didayakan. Untuk menggunakan io_uring dalam aplikasi akhir yang berjalan di ruang pengguna, perpustakaan liburing telah disediakan, menyediakan pengikatan peringkat tinggi pada antara muka kernel;
- Menambah sokongan mod untuk penyulitan pantas pemacu.
- Menambah sokongan untuk pemampatan menggunakan algoritma (zstd).
- Sistem fail ext4 menggunakan cap masa 64-bit dalam medan superblock.
- XFS termasuk kemudahan untuk memaklumkan status integriti sistem fail pada masa dijalankan dan untuk mendapatkan status tentang pelaksanaan fsck dengan cepat.
- Tindanan TCP ditetapkan secara lalai kepada "" bukannya "Sepantas Mungkin" semasa menghantar pakej. Sokongan GRO (Generic Receive Offload) didayakan untuk UDP. Menambah sokongan untuk menerima dan menghantar paket TCP dalam mod sifar salinan.
- Pelaksanaan protokol TLS di peringkat kernel (KTLS) terlibat, yang kini boleh digunakan bukan sahaja untuk dihantar, tetapi juga untuk data yang diterima.
- Didayakan sebagai hujung belakang untuk tembok api secara lalai
nftables. Sokongan pilihan ditambah . - Menambah sokongan untuk subsistem XDP (eXpress Data Path), yang membenarkan menjalankan program BPF pada Linux pada peringkat pemacu rangkaian dengan keupayaan untuk mengakses terus penimbal paket DMA dan pada peringkat sebelum timbunan rangkaian memperuntukkan penimbal skbuff.
- Diperbaiki dan didayakan apabila menggunakan mod UEFI Secure Boot , yang menyekat akses pengguna root kepada kernel dan menyekat laluan pintasan UEFI Secure Boot. Sebagai contoh, mod penguncian mengehadkan akses kepada /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, mod nyahpepijat kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Struktur Maklumat Kad), beberapa antara muka ACPI dan MSR mendaftar CPU, panggilan ke kexec_file dan kexec_load disekat, peralihan ke mod tidur adalah dilarang, penggunaan DMA untuk peranti PCI adalah terhad, import kod ACPI daripada pembolehubah EFI adalah dilarang, manipulasi dengan I / O port tidak dibenarkan, termasuk menukar nombor gangguan dan port I/O untuk port bersiri.
- Sokongan tambahan untuk arahan Spekulasi Terhad Cawangan Tidak Langsung (IBRS) yang Dipertingkatkan yang membolehkan anda mendayakan dan melumpuhkan pelaksanaan arahan spekulatif secara adaptif semasa gangguan, panggilan sistem dan suis konteks. Jika IBRS Dipertingkatkan disokong, kaedah ini digunakan untuk melindungi daripada serangan Spectre V2 dan bukannya Retpoline, kerana ia memberikan prestasi yang lebih baik.
- Perlindungan yang lebih baik dalam direktori yang boleh ditulis oleh semua orang. Dalam direktori sedemikian, penciptaan fail FIFO dan fail yang dimiliki oleh pengguna yang tidak sepadan dengan pemilik direktori dengan bendera melekit adalah dilarang.
- Secara lalai pada sistem ARM, rawak ruang alamat kernel pada sistem (KASLR) didayakan. Aarch64 telah mendayakan pengesahan penunjuk.
- Menambah sokongan untuk "NVMe over Fabrics TCP".
- Pemacu virtio-pmem telah ditambahkan untuk menyediakan akses kepada peranti storan yang dipetakan ruang alamat fizikal seperti NVDIMM.
Sumber: opennet.ru