Spoločnosť Oracle prvé stabilné vydanie (UEK R6), rozšírená zostava linuxového jadra predávaná na použitie v distribúcii Oracle Linux ako alternatíva k balíku akciového kernelu od Red Hat Enterprise Linux. Jadro je dostupné len pre architektúry x86_64 a ARM64 (aarch64). Zdrojový kód jadra vrátane rozdelenia na jednotlivé záplaty, vo verejnom úložisku Oracle Git.
Unbreakable Enterprise Kernel 6 je založený na jadre (UEK R5 bol založený na jadre 4.14), ktorý je aktualizovaný o nové funkcie, optimalizácie a opravy a bol testovaný na kompatibilitu s väčšinou aplikácií bežiacich na RHEL a bol špeciálne optimalizovaný na prácu s priemyselným softvérom a hardvérom Oracle. Inštalácia jadra UEK R6 a balíky src pripravené pre Oracle Linux и . Podpora pre vetvu 6.x bola ukončená, ak chcete používať UEK R6, musíte upgradovať systém na Oracle Linux 7 (neexistujú žiadne prekážky pre použitie tohto jadra v podobných verziách RHEL, CentOS a Scientific Linux).
Kľúč Unbreakable Enterprise Kernel 6:
- Rozšírená podpora pre systémy založené na 64-bitovej architektúre ARM (aarch64).
- Implementovaná podpora pre všetky funkcie Cgroup v2.
- Rámec ktask bol implementovaný na paralelizáciu úloh v jadre, ktoré spotrebúvajú značné zdroje CPU. Napríklad pomocou ktask je možné zorganizovať paralelizáciu operácií na vymazanie rozsahov stránok pamäte alebo spracovanie zoznamu inodov;
- Bola zahrnutá paralelizovaná verzia kswapd na asynchrónne spracovanie zámeny stránok, čím sa znižuje počet priamych (synchrónnych) zámien. Keď sa počet stránok voľnej pamäte zníži, kswapd vyhľadá nepoužívané stránky, ktoré je možné uvoľniť.
- Podpora overenia integrity obrazu jadra a digitálne podpísaného firmvéru pri zavádzaní jadra pomocou mechanizmu Kexec (načítanie jadra z už načítaného systému).
- Optimalizoval sa výkon systému správy virtuálnej pamäte, zlepšila sa efektivita vymazávania stránok pamäte a vyrovnávacej pamäte a zlepšilo sa spracovanie prístupov k stránkam nepridelenej pamäte (chyby stránok).
- Podpora pre NVDIMM bola rozšírená, špecifikovanú permanentnú pamäť je teraz možné použiť ako tradičnú RAM.
- Uskutočnil sa prechod na dynamický ladiaci systém DTrace 2.0, ktorý na použitie jadrového subsystému eBPF. DTrace teraz beží nad eBPF, podobne ako existujúce nástroje na sledovanie Linuxu fungujú nad eBPF.
- Vylepšenia boli vykonané v súborovom systéme OCFS2 (Oracle Cluster File System).
- Vylepšená podpora pre súborový systém Btrfs. Pridaná možnosť používať Btrfs na koreňových oddieloch. Do inštalačného programu bola pridaná možnosť vybrať Btrfs pri formátovaní zariadení. Pridaná možnosť umiestňovať stránkovacie súbory na oddiely pomocou Btrfs. Btrfs pridáva podporu pre kompresiu pomocou algoritmu ZStandard.
- Pridaná podpora pre rozhranie pre asynchrónne I/O - io_uring, ktoré sa vyznačuje podporou I/O pollingu a schopnosťou pracovať s vyrovnávacou pamäťou aj bez vyrovnávacej pamäte. Pokiaľ ide o výkon, io_uring je veľmi blízko SPDK a výrazne prevyšuje libaio, keď je povolený prieskum. Na použitie io_uring v koncových aplikáciách bežiacich v užívateľskom priestore bola pripravená knižnica liburing, ktorá poskytuje vysokoúrovňovú väzbu cez rozhranie jadra;
- Pridaná podpora režimu pre rýchle šifrovanie diskov.
- Pridaná podpora pre kompresiu pomocou algoritmu (zstd).
- Súborový systém ext4 používa 64-bitové časové pečiatky v poliach superblokov.
- XFS obsahuje prostriedky na informovanie o stave integrity súborového systému za behu a na získanie stavu o vykonaní fsck za behu.
- Zásobník TCP je štandardne nastavený na "“ namiesto „Čo najrýchlejšie“ pri odosielaní balíkov. Podpora GRO (Generic Receive Offload) je povolená pre UDP. Pridaná podpora pre prijímanie a odosielanie TCP paketov v režime nulovej kópie.
- Ide o implementáciu protokolu TLS na úrovni jadra (KTLS), ktorý je teraz možné použiť nielen pre odosielané, ale aj pre prijímané dáta.
- Predvolene povolené ako backend pre bránu firewall
nftables. Pridaná voliteľná podpora . - Pridaná podpora pre subsystém XDP (eXpress Data Path), ktorý umožňuje spúšťať programy BPF na Linuxe na úrovni sieťového ovládača s možnosťou priameho prístupu k vyrovnávacej pamäti paketov DMA a vo fáze predtým, ako sieťový zásobník alokuje vyrovnávaciu pamäť skbuff.
- Vylepšené a povolené pri používaní režimu UEFI Secure Boot , ktorý obmedzuje prístup používateľa root k jadru a blokuje cesty obchádzania UEFI Secure Boot. Napríklad režim uzamknutia obmedzuje prístup k /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), niektorým rozhraniam Registre ACPI a MSR CPU, volania do kexec_file a kexec_load sú zablokované, prechod do režimu spánku je zakázaný, používanie DMA pre PCI zariadenia je obmedzené, import ACPI kódu z EFI premenných je zakázaný, manipulácie s I/O porty nie sú povolené, vrátane zmeny čísla prerušenia a I/O portu pre sériový port.
- Pridaná podpora inštrukcií IBRS (Enhanced Indirect Branch Restricted Speculation), ktoré vám umožňujú adaptívne povoliť a zakázať vykonávanie špekulatívnych inštrukcií počas prerušení, systémových volaní a prepínania kontextu. Ak je podporované Enhanced IBRS, táto metóda sa používa na ochranu pred útokmi Spectre V2 namiesto Retpoline, pretože poskytuje lepší výkon.
- Vylepšená ochrana v adresároch, do ktorých môže zapisovať každý. V takýchto adresároch je zakázané vytváranie súborov FIFO a súborov vlastnených používateľmi, ktoré sa nezhodujú s vlastníkom adresára s nálepkou sticky flag.
- Štandardne je na systémoch ARM povolená randomizácia adresného priestoru jadra v systémoch (KASLR). Aarch64 má povolenú autentifikáciu ukazovateľa.
- Pridaná podpora pre „NVMe over Fabrics TCP“.
- Bol pridaný ovládač virtio-pmem, ktorý poskytuje prístup k úložným zariadeniam s mapovaním priestoru s fyzickými adresami, ako sú NVDIMM.
Zdroj: opennet.ru