Del 2015 hasta el año en curso nos hemos encontrado siete actualizaciones o nuevas versiones del núcleo Linux. Pasando desde la versión 3.19, hasta la 4.5. Como se esperaba, ya para ese año teníamos que toparnos con alguna otra para mejora del núcleo, y así fue. Ya para este mes en curso se nos presentó la nueva edición del kernel de Linux, en su edición 4.6. Este se encuentra disponible desde el día 15 de mayo, y adhiere algunas novedades para la estructura o contenido del mismo.
De forma general hallamos un manejo más confiable fuera de la memoria, soporte para USB 3.1 SuperSpeedPlus, soporte para llaves de protección de memoria Intel, Y el nuevo sistema de archivos distribuido OrangeFS, solo por nombrar algunos. Pero mas detalladamente los puntos tratados más resaltantes para el kernel fueron los siguientes:
- Fiabilidad fuera de la memoria.
- Kernel conexión multiplexor.
- Soporte para USB 3.1 SuperSpeedPlus.
- Soporte para llaves de protección de memoria Intel.
- Sistema de archivos distribuido OrangeFS.
- Soporte para la versión V del protocolo BATMAN.
- Cifrado 802.1AE de nivel MAC.
- Añadir soporte para el diseño pNFS SCSI
- dma-buf: nueva ioctl para gestionar la coherencia de caché entre la CPU y la GPU.
- OCFS2 inodo corrector en línea
- Apoyo a los espacios de nombres cgroup
Fiabilidad fuera de la memoria.
El OOM killer en versiones pasadas tenía el objetivo de eliminar una tarea, con la espera de que esta tarea se terminara en un tiempo que fuese aceptable y que a su vez se liberara la memoria posterior a esto. Se pudo hacer muestra de que es sencillo ver de donde se hallan las cargas de trabajo que rompen esa suposición, y que la víctima OOM podría tener cantidad ilimitada de tiempo para salir. Como medida para esto, en la versión 4.6 del kernel, se hizo inclusión de un oom_reaper como hilo del núcleo especializado, que trata de recuperar la memoria, es decir, intercambiar hacia el exterior propiedad de la víctima OOM, o una medida preventiva de memoria anónima. Todo bajo la idea de que no será necesaria dicha memoria.
Kernel conexión multiplexor.
La instalación de kernel multiplexor proporciona una interfaz que se basa en mensajes a través de TCP, con la búsqueda de acelerar los protocolos de capa de aplicación. Se incorpora para esta edición el kernel de conexión multiplexor, o KCM en sus siglas. Gracias a el kernel de conexión multiplexor una aplicación puede recibir y enviar de manera eficiente mensajes de protocolo de aplicación a través de TCP. Además, el kernel ofrece las garantías de que los mensajes se envían y reciben de forma atómica. Por otro lado el núcleo implementa un analizador de mensaje basado en BPF , todo con la finalidad de que los mensajes dirigidos en un canal de TCP, puedan ser recibidos en el kernel de conexión multiplexor. Vale decir que el kernel de conexión multiplexor puede ser usado en un gran número de aplicaciones, ya que la mayoría de los protocolos de aplicaciones en binario trabajan bajo este proceso de análisis de mensajes.
Soporte para USB 3.1 SuperSpeedPlus (10 Gbps).
Para USB 3.1 se adiciona un nuevo protocolo; el SuperSpeedPlus. Este es capaz de soportar velocidades de 10 Gbps. se incluye para USB 3.1 soporte para kernel y el controlador de host USB xHCI, que nos abarca un almacenamiento masivo, gracias a la conexión de USB 3.1 a un puerto USB 3.1 capacitado para acoger a xHCI. Vale acotar que los dispositivos USB Usados para el nuevo protocolo SuperSpeedPlus se llaman USB 3.1 dispositivos Gen2.
Soporte para llaves de protección de memoria Intel.
Este soporte se adiciona para un aspecto en particular, hablando específicamente del hardware y para la protección de memoria este. Dicho aspecto se encontrará disponible en los próximos CPUs Intel; las llaves de protección. Estas llaves permiten realizar la codificación de las máscaras de permisos controlables por el usuario, localizadas en las entradas de la tabla de páginas. Hablamos de que, en lugar de tener una máscara de protección fija, la cual necesita una llamada al sistema para cambiar y para trabajar en una base por página, ahora el usuario puede asignar diferentes números de variantes como máscara de protección. En cuanto al espacio del usuario, este puede manejar con más sencillez el tema del acceso con un registro local de los subprocesos, los cuales se hallan distribuidos en dos partes para cada máscara; deshabilitación del acceso y desactivación de la escritura. Con esto entendemos la presencia o la posibilidad de cambiar de forma dinámica los bits de protección de grandes cantidades de memoria, solamente con la administración de un registro del CPU, sin la necesidad de cambiar cada página en el espacio de memoria virtual que se encuentra afectado.
Sistema de archivos distribuido OrangeFS.
Es un sistema de almacenamiento en paralelo LGPL o de escalabilidad horizontal. Es usado mayormente para los problemas existentes con respecto al almacenamiento que se manejan en los HPC , Big Data, streaming de vídeo o Bioinformática. Con OrangeFS se podrá tener acceso a través de bibliotecas de integración de los usuarios, las utilidades del sistema incluidos, MPI-IO y pueden ser usados por el ambiente Hadoop como una alternativa al sistema de ficheros HDFS.
Para las aplicaciones normalmente no se necesita a OrangeFS para ser montado en el VFS, pero ocurre que el cliente núcleo OrangeFS concede a los sistemas de ficheros la capacidad de ser montado como un VFS.
Soporte para la versión V del protocolo BATMAN.
B.A.T.M.A.N. (Better Approach To Mobile Adhoc Networking) o ORDENANZA. (Mejor enfoque de redes móviles ad hoc) Incorpora para esta ocasión soporte para el protocolo V, como sustituto del protocolo IV. Como uno de los cambios mas significativos en B.A.T.MA.N V es la nueva métrica, la cual indica que el protocolo ya no será dependiente de la pérdida de paquetes. Este ademas divide en dos partes el protocolo OGM; el primero es ELP (Echo Protocol de Localización), encargado de la evaluación de la calidad de enlace y de descubrir vecinos. Y el segundo, un protocolo nuevo OGM, OGMv2, que incorpora un algoritmo que calcula las rutas más óptimas y que extiende la métrica dentro de la red.
Cifrado 802.1AE de nivel MAC.
Para esta versión se incorporó soporte para IEEE MACsec 802.1A, un estándar que ofrece un cifrado a través de Ethernet. Este encripta y autentica todo el tráfico en una red LAN con GCM-AES-128. Además, proteger el tráfico DHCP y VLAN, de modo que se evite la manipulación en las cabeceras de ethernet. Se encuentra diseñado para manejar la clave de extensión protocolo MACsec, que incorpora la distribución de claves a los nodos y la atribución de canales.
Estos fueron algunos de los aspectos mejorados en la nueva versión del núcleo de Linux. Se puede apreciar que han habido grandes mejoras en la seguridad. Cosa que se hace notar en los nuevos soportes adheridos para los Componentes del núcleo, haciendo mucho énfasis en la reducción de errores. Entre varios de sus aspectos abarcados para esta versión 4.6, sus desarrolladores afirman que sería ideal que los sistemas asociados al kernel de Linux puedan ser actualizados de forma automática, haciendo referencia a los distribuidores de Linux y Android. Algo de mucha importancia dentro de estos sistemas, ya que esta nueva versión se desataca, por muchos aspectos, como la versión más segura del kernel.
Otra de las mejoras de seguridad es que Linux ahora usa páginas separadas para Extensible Firmware Interface (EFI) cuando está ejecutando su código de firmware. También este es compatible con los procesadores de IBM Power9 y ahora Linux tiene soporte para más de 13 sistemas ARM en los chips (SOC) como también un mejor soporte ARM de 64 bits.
Por otro lado el kernel 4.6 también soporta el protocolo Synaptics RMI4; Este es el protocolo nativo para todas las pantallas táctiles y paneles táctiles actuales Synaptics. Ya por último, también se adiciona soporte para otros dispositivos de interfaz humana.
El núcleo de Linux cada vez muestra más solidez en cuanto a seguridad se refiere. Algo ventajoso y que genera cada vez confianza en los usuarios asociados a este sistema. Si deseas más detalle de la nueva versión puedes acceder a la página oficial del kernel de Linux y conocer los cambios.
«El núcleo de Linux cada vez muestra más solidez en cuanto a seguridad se refiere. Algo ventajoso y que genera cada vez confianza en los usuarios asociados a este sistema.»
¿Entonces el núcleo por si solo era inseguro?
Me recordó una pequeña riña que tuve con un Fanboy de MS Win porque mostró una imagen alegando que W10 tenía unas cuantas vulnerabilidades (menos de 30) y que OS X y el kernel linux encabezaban las listas de las mismas. Como jamás me mostró fuentes supuse que era fake pero lo defendió a capa y espada :v
La fuente de esa observación la puedes encontrar por acá: http://venturebeat.com/2015/12/31/software-with-the-most-vulnerabilities-in-2015-mac-os-x-ios-and-flash/
Es del 2015, y si… El kernel de Linux tuvo más vulnerabilidades que W10.
Una cosa es la la vulnerabilidad de un sistema y otra es la seguridad en general, sabemos que la cantidad de virus en Linux (si existen virus en Linux, ya hemos hablado antes de eso https://blog.desdelinux.net/virus-en-gnulinux-realidad-o-mito/) es por mucho menor a la cantidad de virus en Windows.
Es lógico pensar que nivel de usuario domina Windows y los virus que requieren acciones del usuario son más numerosos allí. Sin embargo, en la industria domina Linux, por lo que al intentar extraer información de servidores empresariales, seguramente debes aprovechar alguna vulnerabilidad de Linux.
Recordemos que el núcleo de Linux es seguro, sin embargo no es perfecto y puede continuar mejorando. Linux tiene muchas aristas en las que esta creciendo: Integración con GPUs, tecnologías de alto rendimiento, sistemas distribuidos, plataformas móviles, IoT y muchas más. Así que queda mucho desarrollo en Linux y la innovación la esta liderando la plataforma Open Source!