甲骨文公司
Unbreakable Enterprise Kernel 6 软件包基于该内核
钥匙
- 扩展了对基于 64 位 ARM 架构 (aarch64) 的系统的支持。
- 已实现对 Cgroup v2 所有功能的支持。
- ktask 框架已实现用于并行化内核中消耗大量 CPU 资源的任务。 例如,使用 ktask,可以组织清除内存页面范围或处理 inode 列表的并行操作;
- kswapd 的并行化版本已能够异步处理内存页面交换,从而减少直接(同步)交换的数量。 随着可用内存页面数量的减少,kswapd 会执行扫描以识别可以释放的未使用页面。
- 使用 Kexec 机制加载内核(从已加载的系统加载内核)时,支持使用数字签名验证内核映像和固件的完整性。
- 优化了虚拟内存管理系统的性能,提高了清除内存和缓存页面的效率,改进了对未分配内存页面(页面错误)的访问的处理。
- NVDIMM 支持已得到扩展,这种持久内存现在可以用作传统 RAM。
- 已过渡到动态调试系统DTrace 2.0,
翻译的 使用 eBPF 内核子系统。 DTrace 现在在 eBPF 之上运行,类似于现有 Linux 跟踪工具在 eBPF 之上运行的方式。 - 对 OCFS2(Oracle Cluster File System)文件系统进行了改进。
- 改进了对 Btrfs 文件系统的支持。 添加了在根分区上使用 Btrfs 的功能。 安装程序中添加了一个选项,用于在格式化设备时选择 Btrfs。 添加了使用 Btrfs 将交换文件放置在分区上的功能。 Btrfs 添加了对使用 ZStandard 算法进行压缩的支持。
- 添加了对异步 I/O 接口 - io_uring 的支持,该接口因其对 I/O 轮询的支持以及带或不带缓冲的工作能力而闻名。 在性能方面,io_uring 与 SPDK 非常接近,并且在启用轮询的情况下明显领先于 libaio。 为了在用户空间中运行的最终应用程序中使用 io_uring,已准备好 liburing 库,提供对内核接口的高级绑定;
- 添加了模式支持
铁线蕨 用于快速存储加密。 - 添加了对使用算法进行压缩的支持
Z标准 (zstd)。 - ext4 文件系统在超级块字段中使用 64 位时间戳。
- XFS 包括用于在操作期间报告文件系统完整性状态以及动态获取 fsck 执行状态的工具。
- 默认 TCP 堆栈已切换到“
提早出发时间 ”而不是发送数据包时的“尽可能快”。 为 UDP 启用 GRO(通用接收卸载)支持。 添加了对零拷贝模式下接收和发送 TCP 数据包的支持。 - 涉及到内核级 TLS 协议(KTLS)的实现,现在不仅可以用于发送数据,还可以用于接收数据。
- 默认情况下作为防火墙的后端启用
nftables。 添加了可选支持BP过滤器 . - 添加了对 XDP(eXpress 数据路径)子系统的支持,该子系统允许在 Linux 上在网络驱动程序级别运行 BPF 程序,能够直接访问 DMA 数据包缓冲区,并且在网络堆栈分配 skbuff 缓冲区之前的阶段运行。
- 改进并在使用 UEFI 安全启动模式时启用
锁定 ,这会限制 root 用户对内核的访问并阻止 UEFI 安全启动旁路路径。 例如,在锁定模式下,访问/dev/mem、/dev/kmem、/dev/port、/proc/kcore、debugfs、kprobes调试模式、mmiotrace、tracefs、BPF、PCMCIA CIS(卡信息结构)、一些接口受限 CPU 的 ACPI 和 MSR 寄存器,阻止对 kexec_file 和 kexec_load 的调用,禁止睡眠模式,限制 PCI 设备的 DMA 使用,禁止从 EFI 变量导入 ACPI 代码,不操作 I/O 端口允许,包括更改串口的中断号和I/O端口。 - 添加了对增强型 IBRS(增强型间接分支限制推测)指令的支持,该指令允许您在中断处理、系统调用和上下文切换期间自适应地启用和禁用指令的推测执行。 借助增强型 IBRS 支持,此方法可代替 Retpoline 来防御 Spectre V2 攻击,因为它可以提供更高的性能。
- 提高了世界可写目录的安全性。 在此类目录中,禁止创建 FIFO 文件以及与粘性标志不匹配的目录所有者的用户所拥有的文件。
- 默认情况下,在 ARM 系统上,系统上的内核地址空间随机化 (KASLR) 处于启用状态。 Aarch64 启用了指针身份验证。
- 添加了对“NVMe over Fabrics TCP”的支持。
- 添加了 virtio-pmem 驱动程序以提供对物理地址空间映射存储设备(例如 NVDIMM)的访问。
来源: opennet.ru