主持人 > 博客 > 网络新闻 > Oracle 发布 Unbreakable Enterprise Kernel 6

Oracle 发布 Unbreakable Enterprise Kernel 6

甲骨文公司 提交 第一个稳定版本 坚不可摧的企业内核6 (UEK R6),Linux 内核的扩展版本,定位于在 Oracle Linux 发行版中使用,作为 Red Hat Enterprise Linux 标准内核包的替代方案。 该内核仅适用于 x86_64 和 ARM64 (aarch64) 架构。 内核源,包括细分为各个补丁, 发表 在 Oracle 公共 Git 存储库中。

Unbreakable Enterprise Kernel 6 软件包基于该内核 Linux 5.4 (UEK R5 基于内核 4.14),更新了新功能、优化和修复,还经过了与 RHEL 上运行的大多数应用程序的兼容性测试,并且专门针对工业软件和 Oracle 硬件进行了优化。 为Oracle Linux准备了UEK R6内核的安装包和src包 7.x и 8.x。 已停止对 6.x 分支的支持;要使用 UEK R6,必须将系统更新到 Oracle Linux 7(在类似版本的 RHEL、CentOS 和 Scientific Linux 中使用该内核没有任何障碍)。

钥匙 创新 牢不可破的企业内核 6:

  • 扩展了对基于 64 位 ARM 架构 (aarch64) 的系统的支持。
  • 已实现对 Cgroup v2 所有功能的支持。
  • ktask 框架已实现用于并行化内核中消耗大量 CPU 资源的任务。 例如,使用 ktask,可以组织清除内存页面范围或处理 inode 列表的并行操作;
  • kswapd 的并行化版本已能够异步处理内存页面交换,从而减少直接(同步)交换的数量。 随着可用内存页面数量的减少,kswapd 会执行扫描以识别可以释放的未使用页面。
  • 使用 Kexec 机制加载内核(从已加载的系统加载内核)时,支持使用数字签名验证内核映像和固件的完整性。
  • 优化了虚拟内存管理系统的性能,提高了清除内存和缓存页面的效率,改进了对未分配内存页面(页面错误)的访问的处理。
  • NVDIMM 支持已得到扩展,这种持久内存现在可以用作传统 RAM。
  • 已过渡到动态调试系统DTrace 2.0, 翻译的 使用 eBPF 内核子系统。 DTrace 现在在 eBPF 之上运行,类似于现有 Linux 跟踪工具在 eBPF 之上运行的方式。
  • 对 OCFS2(Oracle Cluster File System)文件系统进行了改进。
  • 改进了对 Btrfs 文件系统的支持。 添加了在根分区上使用 Btrfs 的功能。 安装程序中添加了一个选项,用于在格式化设备时选择 Btrfs。 添加了使用 Btrfs 将交换文件放置在分区上的功能。 Btrfs 添加了对使用 ZStandard 算法进行压缩的支持。
  • 添加了对异步 I/O 接口 - io_uring 的支持,该接口因其对 I/O 轮询的支持以及带或不带缓冲的工作能力而闻名。 在性能方面,io_uring 与 SPDK 非常接近,并且在启用轮询的情况下明显领先于 libaio。 为了在用户空间中运行的最终应用程序中使用 io_uring,已准备好 liburing 库,提供对内核接口的高级绑定;
  • 添加了模式支持 铁线蕨 用于快速存储加密。
  • 添加了对使用算法进行压缩的支持 Z标准 (zstd)。
  • ext4 文件系统在超级块字段中使用 64 位时间戳。
  • XFS 包括用于在操作期间报告文件系统完整性状态以及动态获取 fsck 执行状态的工具。
  • 默认 TCP 堆栈已切换到“提早出发时间”而不是发送数据包时的“尽可能快”。 为 UDP 启用 GRO(通用接收卸载)支持。 添加了对零拷贝模式下接收和发送 TCP 数据包的支持。
  • 涉及到内核级 TLS 协议(KTLS)的实现,现在不仅可以用于发送数据,还可以用于接收数据。
  • 默认情况下作为防火墙的后端启用
    nftables。 添加了可选支持 BP过滤器.

  • 添加了对 XDP(eXpress 数据路径)子系统的支持,该子系统允许在 Linux 上在网络驱动程序级别运行 BPF 程序,能够直接访问 DMA 数据包缓冲区,并且在网络堆栈分配 skbuff 缓冲区之前的阶段运行。
  • 改进并在使用 UEFI 安全启动模式时启用 锁定,这会限制 root 用户对内核的访问并阻止 UEFI 安全启动旁路路径。 例如,在锁定模式下,访问/dev/mem、/dev/kmem、/dev/port、/proc/kcore、debugfs、kprobes调试模式、mmiotrace、tracefs、BPF、PCMCIA CIS(卡信息结构)、一些接口受限 CPU 的 ACPI 和 MSR 寄存器,阻止对 kexec_file 和 kexec_load 的调用,禁止睡眠模式,限制 PCI 设备的 DMA 使用,禁止从 EFI 变量导入 ACPI 代码,不操作 I/O 端口允许,包括更改串口的中断号和I/O端口。
  • 添加了对增强型 IBRS(增强型间接分支限制推测)指令的支持,该指令允许您在中断处理、系统调用和上下文切换期间自适应地启用和禁用指令的推测执行。 借助增强型 IBRS 支持,此方法可代替 Retpoline 来防御 Spectre V2 攻击,因为它可以提供更高的性能。
  • 提高了世界可写目录的安全性。 在此类目录中,禁止创建 FIFO 文件以及与粘性标志不匹配的目录所有者的用户所拥有的文件。
  • 默认情况下,在 ARM 系统上,系统上的内核地址空间随机化 (KASLR) 处于启用状态。 Aarch64 启用了指针身份验证。
  • 添加了对“NVMe over Fabrics TCP”的支持。
  • 添加了 virtio-pmem 驱动程序以提供对物理地址空间映射存储设备(例如 NVDIMM)的访问。

来源: opennet.ru

添加评论