Oracle Şirketi ilk kararlı sürüm (UEK R6), Red Hat Enterprise Linux'un stok çekirdek paketine alternatif olarak Oracle Linux dağıtımında kullanılmak üzere pazarlanan Linux çekirdeğinin genişletilmiş bir yapısı. Çekirdek yalnızca x86_64 ve ARM64 (aarch64) mimarileri için mevcuttur. Çekirdeğin kaynak kodu, bireysel yamalara bölünme dahil, halka açık Oracle Git deposunda.
Kırılmaz Kurumsal Çekirdek 6, çekirdeği temel alır (UEK R5, 4.14 çekirdeğini temel alıyordu) yeni özellikler, optimizasyonlar ve düzeltmelerle güncellendi, RHEL üzerinde çalışan çoğu uygulamayla uyumluluğu test edildi ve Oracle endüstriyel yazılım ve donanımıyla çalışacak şekilde özel olarak optimize edildi. Oracle Linux için hazırlanan UEK R6 kernel kurulumu ve src paketleri и . 6.x şubesi desteği durdurulmuştur, UEK R6'yı kullanmak için sistemi Oracle Linux 7'ye yükseltmeniz gerekir (bu çekirdeği RHEL, CentOS ve Scientific Linux'un benzer sürümlerinde kullanmanın önünde herhangi bir engel yoktur).
Anahtar Kırılmaz Kurumsal Çekirdek 6:
- 64 bit ARM mimarisini (aarch64) temel alan sistemler için genişletilmiş destek.
- Cgroup v2'nin tüm özellikleri için destek uygulandı.
- Görev çerçevesi, çekirdekteki önemli CPU kaynaklarını tüketen görevleri paralelleştirmek için uygulandı. Örneğin, görevk'in yardımıyla, bellek sayfa aralıklarını temizlemek veya inode listesini işlemek için işlemlerin paralelleştirilmesi organize edilebilir;
- Sayfa takaslarını eşzamansız olarak işlemek için kswapd'nin paralelleştirilmiş bir sürümü dahil edilmiştir, böylece doğrudan (senkron) takasların sayısı azaltılmıştır. Boş hafıza sayfalarının sayısı azaldığında kswapd, boşaltılabilecek kullanılmayan sayfaları tarar.
- Kexec mekanizmasını kullanarak çekirdeği yüklerken (çekirdeği önceden yüklenmiş bir sistemden yüklerken) çekirdek görüntüsünün ve dijital olarak imzalanmış ürün yazılımının bütünlüğünü doğrulama desteği.
- Sanal bellek yönetim sisteminin performansı optimize edildi, bellek ve önbellek sayfalarının temizlenmesinin verimliliği iyileştirildi ve ayrılmamış bellek sayfalarına (sayfa hataları) erişimlerin işlenmesi iyileştirildi.
- NVDIMM desteği genişletildi; belirtilen kalıcı bellek artık geleneksel RAM olarak kullanılabilir.
- DTrace 2.0 dinamik hata ayıklama sistemine geçiş yapılmıştır. eBPF çekirdek alt sistemini kullanmak için. DTrace, mevcut Linux izleme araçlarının eBPF üzerinde çalışmasına benzer şekilde artık eBPF üzerinde çalışıyor.
- OCFS2 (Oracle Cluster File System) dosya sisteminde iyileştirmeler yapıldı.
- Btrfs dosya sistemi için geliştirilmiş destek. Kök bölümlerde Btrfs'yi kullanma yeteneği eklendi. Cihazları formatlarken Btrfs'yi seçmek için yükleyiciye bir seçenek eklendi. Btrfs ile disk belleği dosyalarını bölümlere yerleştirme yeteneği eklendi. Btrfs, ZStandard algoritmasını kullanarak sıkıştırma desteği ekler.
- Eşzamansız G / Ç - io_uring için bir arayüz desteği eklendi; bu, G / Ç yoklamayı desteklemesi ve hem arabelleğe alma hem de arabelleğe alma olmadan çalışma yeteneği açısından dikkat çekicidir. Performans açısından io_uring, SPDK'ya çok yakındır ve yoklama etkinleştirildiğinde libaio'dan önemli ölçüde daha iyi performans gösterir. Kullanıcı alanında çalışan uç uygulamalarda io_uring'i kullanmak için, çekirdek arayüzü üzerinden üst düzey bir bağlama sağlayan liburing kütüphanesi hazırlandı;
- Mod desteği eklendi sürücülerin hızlı şifrelenmesi için.
- Bir algoritma kullanarak sıkıştırma desteği eklendi (zstd).
- Ext4 dosya sistemi süper blok alanlarında 64 bitlik zaman damgaları kullanır.
- XFS, çalışma zamanında bir dosya sisteminin bütünlük durumunu bilgilendirmek ve anında fsck yürütmesi hakkında durum almak için olanaklar içerir.
- TCP yığını varsayılan olarak "Paketleri gönderirken "Mümkün Olduğunca Hızlı" yerine ". UDP için GRO (Genel Alma Aktarımı) desteği etkinleştirildi. Sıfır kopya modunda TCP paketlerini alma ve gönderme desteği eklendi.
- TLS protokolünün çekirdek düzeyinde (KTLS) uygulanması söz konusudur ve bu artık yalnızca gönderilen veriler için değil aynı zamanda alınan veriler için de kullanılabilir.
- Varsayılan olarak güvenlik duvarı için arka uç olarak etkindir
nftables. İsteğe bağlı destek eklendi . - XDP (eXpress Veri Yolu) alt sistemi için destek eklendi; bu, Linux'ta BPF programlarının ağ sürücüsü düzeyinde, DMA paket arabelleğine doğrudan erişim olanağıyla ve ağ yığınının skbuff arabelleğini ayırmasından önceki aşamada çalıştırılmasına olanak tanır.
- UEFI Güvenli Önyükleme modunu kullanırken iyileştirildi ve etkinleştirildi Bu, kök kullanıcının çekirdeğe erişimini kısıtlar ve UEFI Güvenli Önyükleme atlama yollarını engeller. Örneğin, kilitleme modu /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes hata ayıklama modu, mmiotrace, tracefs, BPF, PCMCIA CIS (Kart Bilgi Yapısı), bazı arayüzlere erişimi kısıtlar. CPU'nun ACPI ve MSR kayıtları, kexec_file ve kexec_load çağrıları engellenir, uyku moduna geçiş yasaktır, PCI cihazları için DMA kullanımı sınırlıdır, EFI değişkenlerinden ACPI kodunun içe aktarılması yasaktır, I / O ile manipülasyonlar Kesinti numarasının ve seri bağlantı noktası için bir G/Ç bağlantı noktasının değiştirilmesi de dahil olmak üzere bağlantı noktalarına izin verilmez.
- Kesintiler, sistem çağrıları ve bağlam anahtarları sırasında spekülatif talimat yürütmeyi uyarlanabilir bir şekilde etkinleştirmenize ve devre dışı bırakmanıza olanak tanıyan Gelişmiş Dolaylı Dal Kısıtlı Spekülasyon (IBRS) talimatları için destek eklendi. Enhanced IBRS destekleniyorsa bu yöntem daha iyi performans sağladığından Retpoline yerine Spectre V2 saldırılarına karşı koruma sağlamak için kullanılır.
- Herkes tarafından yazılabilen dizinlerde geliştirilmiş koruma. Bu tür dizinlerde, FIFO dosyalarının ve dizin sahibi ile yapışkan bayrakla eşleşmeyen kullanıcılara ait dosyaların oluşturulması yasaktır.
- ARM sistemlerinde varsayılan olarak sistemlerde çekirdek adres alanı rastgeleleştirmesi (KASLR) etkindir. Aarch64'te işaretçi kimlik doğrulaması etkindir.
- "Fabrics TCP üzerinden NVMe" desteği eklendi.
- Virtio-pmem sürücüsü, NVDIMM'ler gibi fiziksel adres alanı eşlemeli depolama aygıtlarına erişim sağlamak için eklenmiştir.
Kaynak: opennet.ru