Oracle Company första stabila releasen (UEK R6), en utökad version av Linux-kärnan, placerad för användning i Oracle Linux-distributionen som ett alternativ till standardkärnpaketet från Red Hat Enterprise Linux. Kärnan är endast tillgänglig för x86_64 och ARM64 (aarch64) arkitekturer. Kärnkällor, inklusive uppdelning i individuella patchar, i Oracles offentliga Git-förråd.
Paketet Unbreakable Enterprise Kernel 6 är baserat på kärnan (UEK R5 baserades på kärnan 4.14), som är uppdaterad med nya funktioner, optimeringar och korrigeringar, och är även testad för kompatibilitet med de flesta applikationer som körs på RHEL, och är specifikt optimerad för att fungera med industriell mjukvara och Oracle-hårdvara. Installations- och src-paket med UEK R6-kärnan är förberedda för Oracle Linux и . Stödet för 6.x-grenen har upphört; för att använda UEK R6 måste du uppdatera systemet till Oracle Linux 7 (det finns inga hinder för att använda denna kärna i liknande versioner av RHEL, CentOS och Scientific Linux).
Nyckel Unbreakable Enterprise Kernel 6:
- Utökat stöd för system baserade på 64-bitars ARM-arkitektur (aarch64).
- Stöd för alla funktioner i Cgroup v2 har implementerats.
- Ktask-ramverket har implementerats för att parallellisera uppgifter i kärnan som förbrukar betydande CPU-resurser. Till exempel, med hjälp av ktask, kan parallellisering av operationer för att rensa intervall av minnessidor eller bearbeta en lista med inoder organiseras;
- En parallelliserad version av kswapd har aktiverats för att behandla minnesbyten asynkront, vilket minskar antalet direkta (synkrona) byten. När antalet lediga minnessidor minskar utför kswapd en skanning för att identifiera oanvända sidor som kan frigöras.
- Stöd för att verifiera integriteten hos kärnbilden och firmware med en digital signatur när kärnan laddas med hjälp av Kexec-mekanismen (laddning av kärnan från ett redan laddat system).
- Prestandan för det virtuella minneshanteringssystemet har optimerats, effektiviteten för att rensa minne och cache-sidor har förbättrats, och behandlingen av åtkomst till icke-allokerade minnessidor (sidfel) har förbättrats.
- NVDIMM-stödet har utökats, detta beständiga minne kan nu användas som traditionellt RAM-minne.
- Övergången till det dynamiska felsökningssystemet DTrace 2.0 har gjorts, vilket för att använda eBPF-kärnundersystemet. DTrace körs nu ovanpå eBPF, liknande hur befintliga Linux-spårningsverktyg körs ovanpå eBPF.
- Förbättringar har gjorts av filsystemet OCFS2 (Oracle Cluster File System).
- Förbättrat stöd för Btrfs-filsystemet. Lade till möjligheten att använda Btrfs på rotpartitioner. Ett alternativ har lagts till i installationsprogrammet för att välja Btrfs vid formatering av enheter. Lade till möjligheten att placera swap-filer på partitioner med Btrfs. Btrfs har lagt till stöd för komprimering med ZStandard-algoritmen.
- Lade till stöd för gränssnittet för asynkron I/O - io_uring, vilket är anmärkningsvärt för sitt stöd för I/O polling och möjligheten att arbeta med eller utan buffring. När det gäller prestanda ligger io_uring väldigt nära SPDK och ligger betydligt före libaio när man arbetar med polling aktiverat. För att använda io_uring i slutapplikationer som körs i användarutrymmet har liburing-biblioteket förberetts, vilket ger en högnivåbindning över kärnans gränssnitt;
- Tillagt lägesstöd för snabb lagringskryptering.
- Lade till stöd för komprimering med hjälp av algoritmen (zstd).
- Ext4-filsystemet använder 64-bitars tidsstämplar i superblockfälten.
- XFS inkluderar verktyg för att rapportera integritetsstatusen för filsystemet under drift och erhålla status vid exekvering av fsck i farten.
- Standard TCP-stacken har ändrats till "" istället för "Så snabbt som möjligt" när du skickar paket. GRO-stöd (Generic Receive Offload) är aktiverat för UDP. Tillagt stöd för att ta emot och skicka TCP-paket i nollkopieringsläge.
- Implementeringen av TLS-protokollet på kärnnivå (KTLS) är inblandat, som nu kan användas inte bara för skickade, utan även för mottagna data.
- Aktiverad som backend för brandväggen som standard
nftables. Valfritt stöd lagt till . - Lade till stöd för XDP (eXpress Data Path) undersystemet, som tillåter körning av BPF-program på Linux på nätverksdrivrutinsnivå med möjligheten att direkt komma åt DMA-paketbufferten och i steget innan skbuff-bufferten allokeras av nätverksstacken.
- Förbättrad och aktiverad när du använder UEFI Secure Boot-läge , som begränsar root-användarens åtkomst till kärnan och blockerar UEFI Secure Boot-bypass-vägar. Till exempel, i låst läge, åtkomst till /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS (kortinformationsstruktur), vissa gränssnitt är begränsade ACPI- och MSR-register för CPU:n, anrop till kexec_file och kexec_load är blockerade, viloläge är förbjudet, DMA-användning för PCI-enheter är begränsad, import av ACPI-kod från EFI-variabler är förbjuden, manipulationer med I/O-portar är inte tillåtet, inklusive ändring av avbrottsnumret och I/O-porten för serieporten.
- Tillagt stöd för förbättrade IBRS-instruktioner (Enhanced Indirect Branch Restricted Speculation), som låter dig adaptivt aktivera och inaktivera spekulativ exekvering av instruktioner under avbrottsbehandling, systemanrop och kontextväxlingar. Med förbättrat IBRS-stöd används denna metod för att skydda mot Spectre V2-attacker istället för Retpoline, eftersom den möjliggör högre prestanda.
- Förbättrad säkerhet i världsskrivbara kataloger. I sådana kataloger är det förbjudet att skapa FIFO-filer och filer som ägs av användare som inte matchar ägaren av katalogen med den klibbiga flaggan.
- Som standard på ARM-system är randomisering av kärnadressutrymme på system (KASLR) aktiverat. Pekarautentisering är aktiverad för Aarch64.
- Lade till stöd för "NVMe over Fabrics TCP".
- Lade till virtio-pmem-drivrutin för att ge åtkomst till fysiska adressutrymmeskartade lagringsenheter som NVDIMM.
Källa: opennet.ru