Падрабязнасці ядра 4.6

З 2015 па бягучы год мы знайшлі сем абнаўленняў або новых версій ядра Linux. Пераход ад версіі 3.19 да 4.5. Як і чакалася, да таго года нам прыйшлося сустрэць некалькі іншых, каб палепшыць ядро, і гэта было. У гэтым месяцы нам было прадстаўлена новае выданне ядра Linux у яго версіі 4.6. Гэта даступна з 15 мая і дадае некаторыя навіны пра яго структуру і змест.

1

У цэлым мы знаходзім больш надзейную апрацоўку па-за памяццю, падтрымку USB 3.1 SuperSpeedPlus, падтрымку ключоў абароны памяці Intel і новую размеркаваную файлавую сістэму OrangeFS, каб назваць некалькі. Але больш падрабязна, найбольш важныя моманты, якія абмяркоўваліся для ядра, былі наступнымі:

  • Надзейнасць з памяці.
  • Злучэнне мультыплексара ядра.
  • Падтрымка USB 3.1 SuperSpeedPlus.
  • Падтрымка клавіш абароны памяці Intel.
  • Размеркаваная файлавая сістэма OrangeFS.
  • Падтрымка версіі V пратакола BATMAN.
  • Шыфраванне ўзроўню MAC 802.1AE.
  • Дадайце падтрымку макета pNFS SCSI
  • dma-buf: новы ioctl для кіравання ўзгодненасцю кэша паміж працэсарам і графічным працэсарам.
  • OCFS2 inode checker онлайн
  • Падтрымка прастор імёнаў груп

Надзейнасць з памяці.

Забойца OOM у папярэдніх версіях меў на мэце ліквідацыю задачы з разлікам на тое, што гэтая задача была скончана ў прымальны тэрмін і пасля гэтага памяць вызваліцца. Было паказана, што лёгка зразумець, дзе знаходзяцца нагрузкі, якія парушаюць гэтую здагадку, і што ахвяра OOM можа мець неабмежаваную колькасць часу для выхаду. У якасці меры для гэтага, у версіі ядра 4.6, a oom_reaper у якасці спецыялізаванай ніткі ядра, якая спрабуе аднавіць памяць, гэта значыць абменьвацца ўласцівасцю ахвяры OOM вонкі, альбо прафілактычнай мерай ананімнай памяці. Усё пад думкай, што гэтая памяць не спатрэбіцца.

Злучэнне мультыплексара ядра.

Сродак ядра мультыплексара забяспечвае інтэрфейс, які абапіраецца на паведамленні праз TCP, з мэтай паскарэння пратаколаў прыкладнога ўзроўню. Для гэтага выдання ўключана ядро ​​злучэння мультыплексара, альбо яго абрэвіятура KCM. Дзякуючы ядру злучэння мультыплексара, прыкладанне можа эфектыўна атрымліваць і адпраўляць паведамленні пратакола прыкладання праз TCP. Акрамя таго, ядро ​​забяспечвае гарантыю адпраўкі і атрымання паведамленняў атамна. З іншага боку, ядро ​​рэалізуе аналізатар паведамленняў на аснове BPF, і ўсё з мэтай таго, каб паведамленні, накіраваныя на канал TCP, маглі быць атрыманы ў ядры мультыплекснага злучэння. Варта сказаць, што ядро ​​злучэння мультыплексара можа быць выкарыстана ў вялікай колькасці прыкладанняў, бо большасць бінарных пратаколаў прыкладанняў працуюць у рамках гэтага працэсу аналізу паведамленняў.

Падтрымка USB 3.1 SuperSpeedPlus (10 Гбіт / с).

Для USB 3.1 дададзены новы пратакол; ён SuperSpeed ​​​​Plus. Гэта здольна падтрымліваць хуткасць 10 Гбіт / с. Ён уключае падтрымку ядра USB 3.1 і хост-кантролер USB xHCI, які ахоплівае масіўнае сховішча, дзякуючы падключэнню USB 3.1 да порта USB 3.1, здольнага размяшчаць xHCI. Варта адзначыць, што USB-прылады, якія выкарыстоўваюцца для новага пратакола SuperSpeedPlus, называюцца прыладамі USB 3.1 Gen2.

Падтрымка клавіш абароны памяці Intel.

Гэтая падтрымка дададзена для пэўнага аспекту, у прыватнасці, пра апаратнае забеспячэнне і для абароны яго памяці. Гэты аспект будзе даступны ў наступных працэсарах Intel; ключы абароны. Гэтыя клавішы дазваляюць кадаваць кіраваныя карыстальнікам маскі дазволу, размешчаныя ў запісах табліцы старонак. Мы казалі пра тое, што замест таго, каб мець фіксаваную маску абароны, якая патрабуе змянення сістэмнага выкліку і працы на кожнай старонцы, цяпер карыстальнік можа прызначыць розную колькасць варыянтаў у якасці маскі абароны. Што тычыцца карыстацкай прасторы, ён можа лягчэй вырашаць праблемы доступу з лакальным рэестрам патокаў, якія размяркоўваюцца ў дзве часткі для кожнай маскі; адключэнне доступу і адключэнне запісу. З гэтага мы разумеем наяўнасць альбо магчымасць дынамічнага змены біт абароны вялікага аб'ёму памяці, толькі з адміністраваннем рэгістра працэсара, без неабходнасці змены кожнай старонкі ў прасторы віртуальнай памяці, якая закранаецца .

Размеркаваная файлавая сістэма OrangeFS.

Гэта LGPL або паралельная сістэма захоўвання. Ён выкарыстоўваецца ў асноўным для існуючых праблем у дачыненні да сховішчаў, якія апрацоўваюцца ў HPC, вялікіх дадзеных, струменевай перадачы відэа ці біяінфарматыцы. З OrangeFS ён можа атрымаць доступ праз бібліятэкі інтэграцыі карыстальнікаў, уключаныя сістэмныя ўтыліты MPI-IO і можа быць выкарыстаны асяроддзем Hadoop у якасці альтэрнатывы файлавай сістэме HDFS.

Для прыкладанняў OrangeFS звычайна не трэба мантаваць на VFS, але асноўны кліент OrangeFS прадастаўляе файлавым сістэмам магчымасць мантавання як VFS.

Падтрымка версіі V пратакола BATMAN.

BATMAN (лепшы падыход да мабільных сетак Adhoc) альбо ORDINANCE. (Лепшы падыход да спецыяльных мабільных сетак) На гэты раз уключана падтрымка пратакола V у якасці замены пратаколу IV. Адным з найбольш значных змен у BATMA.NV з'яўляецца новая метрыка, якая паказвае, што пратакол больш не будзе залежаць ад страты пакетаў. Гэта таксама дзеліць пратакол OGM на дзве часткі; Першы - ELP (Echo Location Protocol), які адказвае за ацэнку якасці спасылкі і выяўленне суседзяў. І другі, новы пратакол OGM, OGMv2, які ўключае алгарытм, які вылічвае найбольш аптымальныя маршруты і пашырае метрыку ў сетцы.

Шыфраванне ўзроўню MAC 802.1AE.

У гэты выпуск была дададзена падтрымка стандарту IEEE MACsec 802.1A, які забяспечвае шыфраванне па Ethernet. Ён шыфруе і аўтэнтыфікуе ўвесь трафік у лакальнай сеткі з GCM-AES-128. Акрамя таго, абараніце трафік DHCP і VLAN, каб пазбегнуць маніпуляцый у загалоўках Ethernet. Ён прызначаны для апрацоўкі ключа пашырэння пратакола MACsec, які ўключае размеркаванне ключоў да вузлоў і размеркаванне каналаў.

Гэта былі некаторыя з палепшаных аспектаў новай версіі ядра Linux. Вы бачыце, што ў галіне бяспекі адбыліся вялікія паляпшэнні. Што прыкметна ў новых далучаных апорах для асноўных кампанентаў, з вялікім акцэнтам на памяншэнні памылак. Сярод некалькіх аспектаў, закранутых для гэтай версіі 4.6, яе распрацоўшчыкі сцвярджаюць, што было б ідэальна, каб сістэмы, звязаныя з ядром Linux, маглі абнаўляцца аўтаматычна, спасылаючыся на дыстрыбутараў Linux і Android. Штосьці вельмі важнае ў гэтых сістэмах, бо гэтая новая версія шмат у чым вылучаецца як самая бяспечная версія ядра.

2

Іншым павышэннем бяспекі з'яўляецца тое, што Linux цяпер выкарыстоўвае асобныя старонкі для пашыранага інтэрфейсу прашыўкі (EFI), калі ён выконвае свой код прашыўкі. Ён таксама сумяшчальны з працэсарамі IBM Power9, і цяпер Linux мае падтрымку больш за 13 ARM-сістэм на чыпах (SOC), а таксама лепшую падтрымку 64-бітнай ARM.

З іншага боку, ядро ​​4.6 таксама падтрымлівае пратакол Synaptics RMI4; Гэта ўласны пратакол для ўсіх бягучых сэнсарных экранаў і сэнсарных панэляў Synaptics. Нарэшце, дадаецца таксама падтрымка іншых прылад інтэрфейсу чалавека.

Ядро Linux праяўляе ўсё большую трываласць у плане бяспекі. Штосьці выгаднае і што кожны раз стварае давер да карыстальнікаў, звязаных з гэтай сістэмай. Калі вы хочаце атрымаць больш падрабязную інфармацыю пра новую версію, вы можаце атрымаць доступ да афіцыйнай старонкі ядра Linux і даведацца пра змены.


Змест артыкула адпавядае нашым прынцыпам рэдакцыйная этыка. Каб паведаміць пра памылку, націсніце тут.

2 каментарыяў, пакіньце свой

Пакіньце свой каментар

Ваш электронны адрас не будзе апублікаваны. Абавязковыя для запаўнення палі пазначаныя *

*

*

  1. Адказны за дадзеныя: Мігель Анхель Гатон
  2. Прызначэнне дадзеных: Кантроль спаму, кіраванне каментарыямі.
  3. Легітымнасць: ваша згода
  4. Перадача дадзеных: Дадзеныя не будуць перададзены трэцім асобам, за выключэннем юрыдычных абавязкаў.
  5. Захоўванне дадзеных: База дадзеных, размешчаная Occentus Networks (ЕС)
  6. Правы: у любы час вы можаце абмежаваць, аднавіць і выдаліць сваю інфармацыю.

  1.   Плітка сказаў

    «Ядро Linux становіцца больш надзейным, што тычыцца бяспекі. Нешта выгаднае, і гэта ўсё больш стварае давер да карыстальнікаў, звязаных з гэтай сістэмай ".
    Дык ядро ​​само па сабе было няўпэўнена?
    Гэта нагадала мне невялікую бойку з MS Win Fanboy, бо ён паказаў малюнак, які сцвярджаў, што W10 мае некалькі ўразлівасцяў (менш за 30) і што OS X і ядро ​​Linux узначальваюць хіт-парады. Паколькі ён ніколі не паказваў мне крыніц, я меркаваў, што гэта падробка, але ён абараняў яе ад зубоў і пазногцяў: v

  2.   педрыні210 сказаў

    Крыніцу гэтага назірання можна знайсці тут: http://venturebeat.com/2015/12/31/software-with-the-most-vulnerabilities-in-2015-mac-os-x-ios-and-flash/

    Гэта з 2015 года, а што, калі ... Ядро Linux мела больш уразлівасцяў, чым W10.

    Адна рэч - гэта ўразлівасць сістэмы, а другая - бяспека ў цэлым, мы ведаем, што колькасць вірусаў у Linux (калі ў Linux ёсць вірусы, мы ўжо казалі да гэтага https://blog.desdelinux.net/virus-en-gnulinux-realidad-o-mito/) значна менш, чым колькасць вірусаў у Windows.

    Лагічна думаць, што карыстальніцкі ўзровень дамінуе ў Windows, і вірусаў, якія патрабуюць дзеянняў карыстальніка, там больш. Аднак у галіны Linux дамінуе, таму, спрабуючы здабыць інфармацыю з карпаратыўных сервераў, вам напэўна варта выкарыстоўваць уразлівасць Linux.

    Памятаеце, што ядро ​​Linux бяспечна, аднак яно не з'яўляецца дасканалым і можа працягваць удасканальвацца. Linux мае мноства перавагаў: інтэграцыя з графічнымі працэсарамі, высокапрадукцыйныя тэхналогіі, размеркаваныя сістэмы, мабільныя платформы, IoT і шмат іншага. У Linux так шмат развіцця, і інавацыі вядуцца з платформай з адкрытым зыходным кодам!