Oracle Company første stabile utgivelse (UEK R6), en utvidet versjon av Linux-kjernen, posisjonert for bruk i Oracle Linux-distribusjonen som et alternativ til standard kjernepakken fra Red Hat Enterprise Linux. Kjernen er kun tilgjengelig for x86_64 og ARM64 (aarch64) arkitekturer. Kjernekilder, inkludert oppdeling i individuelle patcher, i Oracles offentlige Git-repository.
Unbreakable Enterprise Kernel 6-pakken er basert på kjernen (UEK R5 var basert på kjerne 4.14), som er oppdatert med nye funksjoner, optimaliseringer og rettelser, og er også testet for kompatibilitet med de fleste applikasjoner som kjører på RHEL, og er spesifikt optimalisert for å fungere med industriell programvare og Oracle-maskinvare. Installasjon og src-pakker med UEK R6-kjernen er forberedt for Oracle Linux и . Støtte for 6.x-grenen er avviklet; for å bruke UEK R6 må du oppdatere systemet til Oracle Linux 7 (det er ingen hindringer for å bruke denne kjernen i lignende versjoner av RHEL, CentOS og Scientific Linux).
Nøkkel Unbreakable Enterprise Kernel 6:
- Utvidet støtte for systemer basert på 64-bit ARM-arkitektur (aarch64).
- Støtte for alle funksjoner i Cgroup v2 er implementert.
- Ktask-rammeverket er implementert for å parallellisere oppgaver i kjernen som bruker betydelige CPU-ressurser. For eksempel, ved å bruke ktask, kan parallellisering av operasjoner for å fjerne områder av minnesider eller behandle en liste over inoder organiseres;
- En parallellisert versjon av kswapd har blitt aktivert for å behandle minnesidebytter asynkront, noe som reduserer antallet direkte (synkrone) bytter. Etter hvert som antallet ledige minnesider reduseres, utfører kswapd en skanning for å identifisere ubrukte sider som kan frigjøres.
- Støtte for å verifisere integriteten til kjernebildet og fastvaren ved hjelp av en digital signatur når du laster inn kjernen ved hjelp av Kexec-mekanismen (laster inn kjernen fra et allerede lastet system).
- Ytelsen til det virtuelle minnestyringssystemet er optimert, effektiviteten av å tømme minne og cache-sider er forbedret, og behandlingen av tilgang til ikke-allokerte minnesider (sidefeil) er forbedret.
- NVDIMM-støtte har blitt utvidet, dette vedvarende minnet kan nå brukes som tradisjonell RAM.
- Overgangen til det dynamiske feilsøkingssystemet DTrace 2.0 er gjort, som for å bruke eBPF-kjerneundersystemet. DTrace kjører nå på toppen av eBPF, på samme måte som eksisterende Linux-sporingsverktøy kjører på toppen av eBPF.
- Det er gjort forbedringer i filsystemet OCFS2 (Oracle Cluster File System).
- Forbedret støtte for Btrfs-filsystemet. Lagt til muligheten til å bruke Btrfs på rotpartisjoner. Et alternativ er lagt til i installasjonsprogrammet for å velge Btrfs ved formatering av enheter. Lagt til muligheten til å plassere byttefiler på partisjoner med Btrfs. Btrfs har lagt til støtte for komprimering ved hjelp av ZStandard-algoritmen.
- Lagt til støtte for grensesnittet for asynkron I/O - io_uring, som er kjent for sin støtte for I/O polling og muligheten til å jobbe med eller uten buffering. Når det gjelder ytelse, er io_uring veldig nær SPDK og er betydelig foran libaio når du arbeider med polling aktivert. For å bruke io_uring i sluttapplikasjoner som kjører i brukerrom, er liburing-biblioteket forberedt, og gir en høynivåbinding over kjernegrensesnittet;
- Lagt til modusstøtte for rask lagringskryptering.
- Lagt til støtte for komprimering ved hjelp av algoritmen (zstd).
- Ext4-filsystemet bruker 64-biters tidsstempler i superblokk-feltene.
- XFS inkluderer verktøy for å rapportere integritetsstatusen til filsystemet under drift og for å få status på utførelse av fsck på farten.
- Standard TCP-stakken har blitt byttet til "" i stedet for "Så raskt som mulig" når du sender pakker. GRO (Generic Receive Offload)-støtte er aktivert for UDP. Lagt til støtte for mottak og sending av TCP-pakker i nullkopimodus.
- Implementeringen av TLS-protokollen på kjernenivå (KTLS) er involvert, som nå kan brukes ikke bare for sendte, men også for mottatte data.
- Aktivert som en backend for brannmuren som standard
nftables. Valgfri støtte lagt til . - Lagt til støtte for XDP (eXpress Data Path) undersystemet, som tillater å kjøre BPF-programmer på Linux på nettverksdrivernivå med muligheten til direkte tilgang til DMA-pakkebufferen og på stadiet før skbuff-bufferen tildeles av nettverksstakken.
- Forbedret og aktivert når du bruker UEFI Secure Boot-modus , som begrenser root-brukertilgang til kjernen og blokkerer UEFI Secure Boot-bypass-baner. For eksempel, i låsemodus, tilgang til /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debugging mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), noen grensesnitt er begrenset ACPI- og MSR-registre til CPU, kall til kexec_file og kexec_load er blokkert, hvilemodus er forbudt, DMA-bruk for PCI-enheter er begrenset, import av ACPI-kode fra EFI-variabler er forbudt, manipulasjoner med I/O-porter er ikke tillatt, inkludert endring av avbruddsnummer og I/O-port for seriell port.
- Lagt til støtte for forbedrede IBRS-instruksjoner (Enhanced Indirect Branch Restricted Speculation), som lar deg adaptivt aktivere og deaktivere spekulativ utførelse av instruksjoner under avbruddsbehandling, systemanrop og kontekstsvitsjer. Med Enhanced IBRS-støtte brukes denne metoden for å beskytte mot Spectre V2-angrep i stedet for Retpoline, da den gir høyere ytelse.
- Forbedret sikkerhet i verdens-skrivbare kataloger. I slike kataloger er det forbudt å lage FIFO-filer og filer som eies av brukere som ikke samsvarer med eieren av katalogen med det klebrige flagget.
- Som standard på ARM-systemer er randomisering av kjerneadresserom på systemer (KASLR) aktivert. Pekerautentisering er aktivert for Aarch64.
- Lagt til støtte for "NVMe over Fabrics TCP".
- Lagt til virtio-pmem-driver for å gi tilgang til fysiske adresseromstilordnede lagringsenheter som NVDIMM-er.
Kilde: opennet.ru