Oracle-bedrijf eerste stabiele release (UEK R6), een uitgebreide build van de Linux-kernel die op de markt wordt gebracht voor gebruik in de Oracle Linux-distributie als alternatief voor het standaardkernelpakket van Red Hat Enterprise Linux. De kernel is alleen beschikbaar voor x86_64- en ARM64-architecturen (aarch64). De broncode voor de kernel, inclusief de uitsplitsing in afzonderlijke patches, in de openbare Oracle Git-repository.
Unbreakable Enterprise Kernel 6 is gebaseerd op de kernel (UEK R5 was gebaseerd op de 4.14-kernel), die is bijgewerkt met nieuwe functies, optimalisaties en oplossingen, is getest op compatibiliteit met de meeste applicaties die op RHEL draaien, en is specifiek geoptimaliseerd om te werken met industriële software en hardware van Oracle. UEK R6-kernelinstallatie en src-pakketten voorbereid voor Oracle Linux и . Ondersteuning voor de 6.x-tak is stopgezet. Om UEK R6 te gebruiken, moet u het systeem upgraden naar Oracle Linux 7 (er zijn geen obstakels voor het gebruik van deze kernel in vergelijkbare versies van RHEL, CentOS en Scientific Linux).
Toets Onbreekbare Enterprise Kernel 6:
- Uitgebreide ondersteuning voor systemen gebaseerd op de 64-bit ARM-architectuur (aarch64).
- Ondersteuning geïmplementeerd voor alle functies van Cgroup v2.
- Het ktask-framework is geïmplementeerd om taken in de kernel te parallelliseren die aanzienlijke CPU-bronnen verbruiken. Met behulp van ktask kan bijvoorbeeld parallellisatie van bewerkingen voor het wissen van geheugenpaginabereiken of het verwerken van de lijst met inodes worden georganiseerd;
- Er is een parallelle versie van kswapd opgenomen om paginawissels asynchroon te verwerken, waardoor het aantal directe (synchrone) swaps wordt verminderd. Wanneer het aantal vrije geheugenpagina's afneemt, zoekt kswapd naar ongebruikte pagina's die kunnen worden vrijgemaakt.
- Ondersteuning voor het verifiëren van de integriteit van het kernelimage en digitaal ondertekende firmware bij het laden van de kernel met behulp van het Kexec-mechanisme (het laden van de kernel vanaf een reeds geladen systeem).
- De prestaties van het virtuele geheugenbeheersysteem zijn geoptimaliseerd, de efficiëntie van het wissen van geheugen- en cachepagina's is verbeterd en de verwerking van toegang tot niet-toegewezen geheugenpagina's (paginafouten) is verbeterd.
- Ondersteuning voor NVDIMM is uitgebreid, het opgegeven permanente geheugen kan nu als traditioneel RAM worden gebruikt.
- De overstap naar het dynamische debuggingsysteem DTrace 2.0 is gemaakt om het eBPF-kernelsubsysteem te gebruiken. DTrace draait nu bovenop eBPF, vergelijkbaar met hoe bestaande Linux-traceertools bovenop eBPF werken.
- Er zijn verbeteringen aangebracht aan het OCFS2-bestandssysteem (Oracle Cluster File System).
- Verbeterde ondersteuning voor het Btrfs-bestandssysteem. De mogelijkheid toegevoegd om Btrfs op rootpartities te gebruiken. Er is een optie aan het installatieprogramma toegevoegd om Btrfs te selecteren bij het formatteren van apparaten. De mogelijkheid toegevoegd om wisselbestanden op partities met Btrfs te plaatsen. Btrfs voegt ondersteuning toe voor compressie met behulp van het ZStandard-algoritme.
- Ondersteuning toegevoegd voor een interface voor asynchrone I/O - io_uring, die opmerkelijk is vanwege de ondersteuning van I/O polling en de mogelijkheid om zowel met buffering als zonder buffering te werken. Qua prestaties ligt io_uring zeer dicht bij SPDK en presteert aanzienlijk beter dan libaio wanneer polling is ingeschakeld. Om io_uring te gebruiken in eindapplicaties die in de gebruikersruimte draaien, is de liburing-bibliotheek voorbereid, die een binding op hoog niveau via de kernelinterface biedt;
- Modusondersteuning toegevoegd voor snelle encryptie van schijven.
- Ondersteuning toegevoegd voor compressie met behulp van een algoritme (zstd).
- Het ext4-bestandssysteem gebruikt 64-bit tijdstempels in superblokvelden.
- XFS bevat faciliteiten voor het informeren over de integriteit van een bestandssysteem tijdens runtime en voor het direct verkrijgen van de status over de uitvoering van fsck.
- De TCP-stack is standaard ingesteld op de "" in plaats van "Zo snel mogelijk" bij het verzenden van pakketten. GRO-ondersteuning (Generic Receiver Offload) is ingeschakeld voor UDP. Ondersteuning toegevoegd voor het ontvangen en verzenden van TCP-pakketten in zero-copy-modus.
- Het gaat om de implementatie van het TLS-protocol op kernelniveau (KTLS), dat nu niet alleen voor verzonden, maar ook voor ontvangen gegevens kan worden gebruikt.
- Standaard ingeschakeld als backend voor de firewall
nftables. Optionele ondersteuning toegevoegd . - Ondersteuning toegevoegd voor het XDP-subsysteem (eXpress Data Path), waarmee BPF-programma's op Linux kunnen worden uitgevoerd op netwerkstuurprogrammaniveau met de mogelijkheid om rechtstreeks toegang te krijgen tot de DMA-pakketbuffer en in de fase voordat de netwerkstack de skbuff-buffer toewijst.
- Verbeterd en ingeschakeld bij gebruik van de UEFI Secure Boot-modus , dat de toegang van rootgebruikers tot de kernel beperkt en UEFI Secure Boot-bypass-paden blokkeert. De lockdown-modus beperkt bijvoorbeeld de toegang tot /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), sommige interfaces ACPI- en MSR-registers van de CPU, oproepen naar kexec_file en kexec_load zijn geblokkeerd, de overgang naar de slaapmodus is verboden, het gebruik van DMA voor PCI-apparaten is beperkt, het importeren van ACPI-code uit EFI-variabelen is verboden, manipulaties met I / O poorten zijn niet toegestaan, inclusief het wijzigen van het interruptnummer en een I/O-poort voor de seriële poort.
- Ondersteuning toegevoegd voor Enhanced Indirect Branch Restricted Speculation (IBRS)-instructies waarmee u de uitvoering van speculatieve instructies adaptief kunt in- en uitschakelen tijdens interrupts, systeemaanroepen en contextwisselingen. Als Enhanced IBRS wordt ondersteund, wordt deze methode gebruikt om te beschermen tegen Spectre V2-aanvallen in plaats van Retpoline, omdat deze betere prestaties levert.
- Verbeterde bescherming in mappen die door iedereen kunnen worden geschreven. In dergelijke mappen is het maken van FIFO-bestanden en bestanden die eigendom zijn van gebruikers die niet overeenkomen met de eigenaar van de map met de plakmarkering verboden.
- Standaard is op ARM-systemen de randomisatie van de kerneladresruimte op systemen (KASLR) ingeschakeld. Aarch64 heeft pointer-authenticatie ingeschakeld.
- Ondersteuning toegevoegd voor "NVMe via Fabrics TCP".
- Het virtio-pmem-stuurprogramma is toegevoegd om toegang te bieden tot opslagapparaten met fysieke adresruimte, zoals NVDIMM's.
Bron: opennet.ru