De 2015 à l'année en cours, nous avons trouvé sept mises à jour ou nouvelles versions du noyau Linux. Passer de la version 3.19 à 4.5. Comme prévu, cette année-là, nous devions en trouver d'autres pour améliorer le noyau, et c'était le cas. Pour ce mois, nous avons été présentés avec la nouvelle édition du noyau Linux, dans sa version 4.6. Celui-ci est disponible à partir du 15 mai et ajoute quelques nouvelles pour sa structure ou son contenu.
Dans l'ensemble, nous trouvons une gestion plus fiable de la mémoire insuffisante, la prise en charge de l'USB 3.1 SuperSpeedPlus, la prise en charge des clés de protection de la mémoire Intel ET le nouveau système de fichiers distribué OrangeFS, pour n'en nommer que quelques-uns. Mais plus en détail, les points les plus importants discutés pour le noyau étaient les suivants:
- Fiabilité hors de la mémoire.
- Connexion multiplexeur du noyau.
- Prise en charge de l'USB 3.1 SuperSpeedPlus.
- Prise en charge des clés de protection de la mémoire Intel.
- Système de fichiers distribués OrangeFS.
- Prise en charge de la version V du protocole BATMAN.
- Cryptage de niveau MAC 802.1AE.
- Ajout de la prise en charge de la disposition pNFS SCSI
- dma-buf: nouvel ioctl pour gérer la cohérence du cache entre CPU et GPU.
- Vérificateur d'inode OCFS2 en ligne
- Prise en charge des espaces de noms de groupe de contrôle
Fiabilité hors de la mémoire.
Le tueur de MOO dans les versions précédentes avait pour objectif d'éliminer une tâche, dans l'espoir que cette tâche soit terminée dans un délai acceptable et que la mémoire soit à son tour libérée après cela. Il a été démontré qu'il est facile de voir où se trouvent les charges de travail qui brisent cette hypothèse, et que la victime du MOO pourrait avoir un temps illimité pour quitter. Pour mesurer cela, dans la version 4.6 du noyau, un oom_reaper en tant que thread de noyau spécialisé, qui tente de récupérer la mémoire, c'est-à-dire d'échanger la propriété de la victime du MOO vers l'extérieur, ou une mesure préventive de la mémoire anonyme. Le tout sous l'idée que cette mémoire ne sera pas nécessaire.
Connexion multiplexeur du noyau.
Le noyau multiplexeur fournit une interface qui s'appuie sur les messages sur TCP, dans le but d'accélérer les protocoles de couche application. Le noyau de connexion multiplexeur, ou KCM pour son acronyme, est incorporé pour cette édition. Grâce au noyau de connexion multiplexeur, une application peut efficacement recevoir et envoyer des messages de protocole d'application via TCP. De plus, le noyau offre les garanties que les messages sont envoyés et reçus de manière atomique. D'autre part, le noyau implémente un analyseur de messages basé sur BPF, le tout dans le but que les messages dirigés sur un canal TCP puissent être reçus dans le noyau de connexion du multiplexeur. Il vaut la peine de dire que le noyau de connexion multiplexeur peut être utilisé dans un grand nombre d'applications, puisque la plupart des protocoles d'application binaires fonctionnent sous ce processus d'analyse de message.
Prise en charge de l'USB 3.1 SuperSpeedPlus (10 Gbit / s).
Pour USB 3.1, un nouveau protocole est ajouté; il SuperVitessePlus. Ceci est capable de prendre en charge des vitesses de 10 Gbps. Il inclut le support du noyau USB 3.1 et le contrôleur hôte USB xHCI, qui englobe un stockage massif, grâce à la connexion de l'USB 3.1 à un port USB 3.1 capable d'héberger xHCI. Il est à noter que les périphériques USB utilisés pour le nouveau protocole SuperSpeedPlus sont appelés périphériques USB 3.1 Gen2.
Prise en charge des clés de protection de la mémoire Intel.
Ce support est ajouté pour un aspect particulier, en parlant spécifiquement du matériel et pour sa protection mémoire. Cet aspect sera disponible dans les prochains processeurs Intel; clés de protection. Ces clés permettent l'encodage des masques de permissions contrôlables par l'utilisateur, situés dans les entrées de la table des pages. Nous en avons parlé au lieu d'avoir un masque de protection fixe, qui nécessite un appel système pour changer et fonctionner par page, l'utilisateur peut désormais attribuer un nombre différent de variantes comme masque de protection. Quant à l'espace utilisateur, il peut gérer le problème d'accès plus facilement avec un registre local des threads, qui sont répartis en deux parties pour chaque masque; désactiver l'accès et désactiver l'écriture. Avec cela, nous comprenons la présence ou la possibilité de changer dynamiquement les bits de protection de grandes quantités de mémoire, uniquement avec l'administration d'un registre CPU, sans qu'il soit nécessaire de changer chaque page dans l'espace mémoire virtuelle qui est affecté .
Système de fichiers distribués OrangeFS.
Il s'agit d'un système de stockage parallèle LGPL ou évolutif. Il est principalement utilisé pour les problèmes existants liés au stockage qui sont gérés en HPC, Big Data, streaming vidéo ou bioinformatique. Avec OrangeFS, il est accessible via les bibliothèques d'intégration utilisateur, les utilitaires système inclus, MPI-IO et peut être utilisé par l'environnement Hadoop comme une alternative au système de fichiers HDFS.
OrangeFS n'est normalement pas nécessaire pour les applications à monter sur le VFS, mais le client principal d'OrangeFS accorde aux systèmes de fichiers la possibilité d'être montés en tant que VFS.
Prise en charge de la version V du protocole BATMAN.
BATMAN (Meilleure approche de la mise en réseau mobile ad hoc) ou ORDINANCE. (Meilleure approche des réseaux mobiles ad hoc) Cette fois, intègre le support du protocole V, en remplacement du protocole IV. L'un des changements les plus importants de BATMA.NV est la nouvelle métrique, qui indique que le protocole ne dépendra plus de la perte de paquets. Cela divise également le protocole OGM en deux parties; Le premier est ELP (Echo Location Protocol), en charge d'évaluer la qualité du lien et de découvrir les voisins. Et le second, un nouveau protocole OGM, OGMv2, qui intègre un algorithme qui calcule les itinéraires les plus optimaux et étend la métrique au sein du réseau.
Cryptage de niveau MAC 802.1AE.
La prise en charge de IEEE MACsec 802.1A, une norme qui fournit un cryptage via Ethernet, a été ajoutée à cette version. Il crypte et authentifie tout le trafic sur un LAN avec GCM-AES-128. En outre, protégez le trafic DHCP et VLAN afin d'éviter toute manipulation des en-têtes Ethernet. Il est conçu pour gérer la clé d'extension du protocole MACsec, qui intègre la distribution des clés aux nœuds et l'attribution des canaux.
Ce sont quelques-uns des aspects améliorés de la nouvelle version du noyau Linux. Vous pouvez voir qu'il y a eu de grandes améliorations en matière de sécurité. Ce qui est perceptible dans les nouveaux supports attachés pour les composants de base, avec beaucoup d'emphase sur la réduction des erreurs. Parmi plusieurs de ses aspects abordés pour cette version 4.6, ses développeurs affirment qu'il serait idéal que les systèmes associés au noyau Linux puissent être mis à jour automatiquement, en se référant aux distributeurs Linux et Android. Quelque chose de très important au sein de ces systèmes, puisque cette nouvelle version se distingue, à bien des égards, comme la version la plus sûre du noyau.
Une autre amélioration de la sécurité est que Linux utilise désormais des pages séparées pour l'Extensible Firmware Interface (EFI) lorsqu'il exécute son code de firmware. Il est également compatible avec les processeurs IBM Power9 et Linux prend désormais en charge plus de 13 systèmes ARM sur puces (SOC) ainsi qu'un meilleur support ARM 64 bits.
D'autre part, le noyau 4.6 prend également en charge le protocole Synaptics RMI4; Il s'agit du protocole natif de tous les écrans tactiles et pavés tactiles Synaptics actuels. Enfin, la prise en charge d'autres périphériques d'interface humaine est également ajoutée.
Le noyau Linux fait preuve de plus en plus de solidité en termes de sécurité. Quelque chose d'avantage et qui génère à chaque fois la confiance des utilisateurs associés à ce système. Si vous voulez plus de détails sur la nouvelle version, vous pouvez accéder à la page officielle du noyau Linux et en savoir plus sur les changements.
«Le noyau Linux est de plus en plus robuste en matière de sécurité. Quelque chose d'avantage et qui génère de plus en plus de confiance dans les utilisateurs associés à ce système. "
Le noyau lui-même n'était donc pas sûr?
Cela m'a rappelé une petite bagarre que j'ai eue avec un MS Win Fanboy parce qu'il montrait une image affirmant que W10 avait quelques vulnérabilités (moins de 30) et qu'OS X et le noyau Linux étaient en tête des classements. Puisqu'il ne m'a jamais montré de sources, j'ai supposé que c'était faux, mais il l'a défendu bec et ongles: v
La source de cette observation peut être trouvée ici: http://venturebeat.com/2015/12/31/software-with-the-most-vulnerabilities-in-2015-mac-os-x-ios-and-flash/
C'est à partir de 2015, et si… Le noyau Linux avait plus de vulnérabilités que W10.
Une chose est la vulnérabilité d'un système et une autre est la sécurité en général, on sait que le nombre de virus sous Linux (s'il y a des virus sous Linux, on en a déjà parlé avant cela https://blog.desdelinux.net/virus-en-gnulinux-realidad-o-mito/) est de loin inférieure à la quantité de virus dans Windows.
Il est logique de penser que le niveau utilisateur domine Windows et que les virus qui nécessitent des actions utilisateur y sont plus nombreux. Cependant, dans l'industrie, Linux domine, donc lorsque vous essayez d'extraire des informations des serveurs d'entreprise, vous devez sûrement exploiter une vulnérabilité Linux.
N'oubliez pas que le noyau Linux est sûr, mais qu'il n'est pas parfait et peut continuer à s'améliorer. Linux a de nombreux avantages dans lesquels il se développe: intégration avec les GPU, les technologies haute performance, les systèmes distribués, les plates-formes mobiles, l'IoT et bien d'autres. Il reste tellement de développement sous Linux et l'innovation est menée par la plate-forme Open Source!