Van 2015 tot het huidige jaar hebben we zeven updates of nieuwe versies van de Linux-kernel gevonden. Gaande van versie 3.19 naar 4.5. Zoals verwacht moesten we tegen dat jaar een andere tegenkomen om de kern te verbeteren, en dat was het ook. Voor deze maand kregen we de nieuwe editie van de Linux-kernel, in editie 4.6. Dit is beschikbaar vanaf 15 mei en voegt wat nieuws toe over de structuur of inhoud.
Over het algemeen vinden we meer betrouwbare afhandeling van onvoldoende geheugen, ondersteuning voor USB 3.1 SuperSpeedPlus, ondersteuning voor Intel-geheugenbeschermingssleutels EN het nieuwe OrangeFS gedistribueerde bestandssysteem, om er maar een paar te noemen. Maar in meer detail waren de belangrijkste punten die voor de kernel werden besproken de volgende:
- Betrouwbaarheid zonder geheugen.
- Kernel multiplexer aansluiting.
- Ondersteuning voor USB 3.1 SuperSpeedPlus.
- Ondersteuning voor Intel-geheugenbeschermingssleutels.
- OrangeFS gedistribueerd bestandssysteem.
- Ondersteuning voor versie V van het BATMAN-protocol.
- 802.1AE MAC-niveau-codering.
- Ondersteuning toegevoegd voor pNFS SCSI-layout
- dma-buf: nieuwe ioctl om de cacheconsistentie tussen CPU en GPU te beheren.
- OCFS2 inode checker online
- Ondersteuning voor cgroup-naamruimten
Betrouwbaarheid zonder geheugen.
De OOM-moordenaar in eerdere versies had als doel een taak te elimineren, met de verwachting dat deze taak binnen een acceptabele tijd zou zijn voltooid en dat op zijn beurt de herinnering daarna zou worden vrijgegeven. Er werd aangetoond dat het gemakkelijk is om te zien waar de werkdruk zit die deze aanname doorbreekt, en dat het OOM-slachtoffer een onbeperkte tijd kan hebben om te vertrekken. Als maat hiervoor is in kernelversie 4.6 een oom_r goedkoper als een gespecialiseerde kernel-thread, die geheugen probeert te herstellen, dat wil zeggen, eigendom van het OOM-slachtoffer naar buiten uit te wisselen, of een preventieve maatregel van anoniem geheugen. Allemaal met het idee dat deze herinnering niet nodig zal zijn.
Kernel multiplexer aansluiting.
De multiplexer-kernelfaciliteit biedt een interface die vertrouwt op berichten via TCP, met als doel de protocollen van de toepassingslaag te versnellen. De multiplexer-verbindingskernel, of KCM voor zijn acroniem, is opgenomen voor deze editie. Dankzij de multiplexer-verbindingskernel kan een applicatie op efficiënte wijze applicatieprotocolberichten ontvangen en verzenden via TCP. Bovendien biedt de kernel de garanties dat berichten atomair worden verzonden en ontvangen. Aan de andere kant implementeert de kernel een berichtparser op basis van BPF, allemaal met het doel dat de berichten die op een TCP-kanaal zijn gericht, kunnen worden ontvangen in de multiplexerverbindingskernel. Het is de moeite waard om te zeggen dat de multiplexerverbindingskernel in een groot aantal toepassingen kan worden gebruikt, aangezien de meeste binaire toepassingsprotocollen werken onder dit berichtanalyseproces.
Ondersteuning voor USB 3.1 SuperSpeedPlus (10 Gbps).
Voor USB 3.1 is een nieuw protocol toegevoegd; hij SuperSpeed Plus. Dit ondersteunt snelheden van 10 Gbps. Het bevat USB 3.1-kernelondersteuning en de USB xHCI-hostcontroller, die enorme opslagruimte omvat, dankzij de aansluiting van USB 3.1 op een USB 3.1-poort die xHCI kan hosten. Het is vermeldenswaard dat de USB-apparaten die voor het nieuwe SuperSpeedPlus-protocol worden gebruikt, USB 3.1 Gen2-apparaten worden genoemd.
Ondersteuning voor Intel-geheugenbeschermingssleutels.
Deze ondersteuning is toegevoegd voor een bepaald aspect, specifiek sprekend over de hardware en voor de geheugenbescherming. Dit aspect zal beschikbaar zijn in de volgende Intel CPU's; beschermingssleutels. Deze sleutels maken de codering mogelijk van de door de gebruiker bestuurbare toestemmingsmaskers, die zich in de items van de paginatabel bevinden. We hadden het daarover, in plaats van een vast beschermingsmasker te hebben, wat een systeemoproep vereist om te veranderen en per pagina te werken, kan de gebruiker nu een ander aantal varianten toewijzen als beschermingsmasker. Wat betreft de gebruikersruimte, hij kan het toegangsprobleem gemakkelijker afhandelen met een lokaal register van de threads, die voor elk masker in twee delen zijn verdeeld; toegang uitschakelen en schrijven uitschakelen. Hiermee begrijpen we de aanwezigheid of de mogelijkheid om de beschermingsbits van grote hoeveelheden geheugen dynamisch te wijzigen, alleen met het beheer van een CPU-register, zonder de noodzaak om elke pagina in de virtuele geheugenruimte die wordt beïnvloed, te wijzigen .
OrangeFS gedistribueerd bestandssysteem.
Het is een LGPL of scale-out parallel opslagsysteem. Het wordt vooral gebruikt voor bestaande problemen met betrekking tot opslag die worden afgehandeld in HPC, Big Data, videostreaming of Bio-informatica. Met OrangeFS is het toegankelijk via gebruikersintegratiebibliotheken, de meegeleverde systeemhulpprogramma's, MPI-IO en kan het worden gebruikt door de Hadoop-omgeving als alternatief voor het HDFS-bestandssysteem.
OrangeFS is normaal gesproken niet nodig om applicaties op de VFS te koppelen, maar de OrangeFS-kernclient geeft bestandssystemen de mogelijkheid om als VFS te worden gemount.
Ondersteuning voor versie V van het BATMAN-protocol.
BATMAN (Better Approach To Mobile Adhoc Networking) of ORDINANCE. (Betere benadering van ad-hoc mobiele netwerken) Deze keer is er ondersteuning voor protocol V, ter vervanging van protocol IV. Een van de belangrijkste wijzigingen in BATMA.NV is de nieuwe metriek, die aangeeft dat het protocol niet langer afhankelijk zal zijn van pakketverlies. Dit verdeelt ook het OGM-protocol in twee delen; De eerste is ELP (Echo Location Protocol), verantwoordelijk voor het evalueren van de kwaliteit van de verbinding en het ontdekken van buren. En de tweede, een nieuw OGM-protocol, OGMv2, dat een algoritme bevat dat de meest optimale routes berekent en de metriek binnen het netwerk uitbreidt.
802.1AE MAC-niveau-codering.
Ondersteuning voor IEEE MACsec 802.1A, een standaard die codering via Ethernet biedt, is aan deze release toegevoegd. Het codeert en authenticeert al het verkeer op een LAN met GCM-AES-128. Bescherm bovendien DHCP- en VLAN-verkeer, zodat manipulatie in de ethernet-headers wordt vermeden. Het is ontworpen om de MACsec-protocolextensiesleutel te verwerken, die de distributie van sleutels naar de knooppunten en de toewijzing van kanalen omvat.
Dit waren enkele van de verbeterde aspecten in de nieuwe versie van de Linux-kernel. U kunt zien dat de beveiliging aanzienlijk is verbeterd. Dat is te merken aan de nieuwe bijgevoegde steunen voor de kerncomponenten, met veel nadruk op het verminderen van fouten. Onder verschillende aspecten die voor deze versie 4.6 worden behandeld, bevestigen de ontwikkelaars dat het ideaal zou zijn als de systemen die zijn gekoppeld aan de Linux-kernel automatisch zouden kunnen worden bijgewerkt, verwijzend naar Linux- en Android-distributeurs. Iets van groot belang binnen deze systemen, aangezien deze nieuwe versie in veel opzichten opvalt als de veiligste versie van de kernel.
Een andere verbetering van de beveiliging is dat Linux nu aparte pagina's gebruikt voor de Extensible Firmware Interface (EFI) wanneer het zijn firmwarecode uitvoert. Het is ook compatibel met IBM Power9-processors en nu heeft Linux ondersteuning voor meer dan 13 ARM-systemen op chips (SOC), evenals betere 64-bit ARM-ondersteuning.
Aan de andere kant ondersteunt kernel 4.6 ook het Synaptics RMI4-protocol; Dit is het native protocol voor alle huidige Synaptics-touchscreens en touchpads. Ten slotte is er ook ondersteuning voor andere menselijke interface-apparaten.
De Linux-kernel vertoont steeds meer stevigheid op het gebied van beveiliging. Iets voordeligs en dat wekt elke keer vertrouwen bij de gebruikers die bij dit systeem horen. Als je meer details over de nieuwe versie wilt, kun je de officiële Linux-kernelpagina openen en meer te weten komen over de wijzigingen.
“De Linux-kernel wordt robuuster als het om beveiliging gaat. Iets voordeligs en dat wekt in toenemende mate vertrouwen bij de gebruikers die bij dit systeem horen. "
Dus de kern zelf was onzeker?
Het deed me denken aan een klein handgemeen met een MS Win Fanboy, omdat hij een afbeelding liet zien die beweerde dat W10 een paar kwetsbaarheden had (minder dan 30) en dat OS X en de linux-kernel bovenaan de hitlijsten stonden. Omdat hij me nooit bronnen liet zien, nam ik aan dat het nep was, maar hij verdedigde het met hand en tand: v
De bron van die waarneming is hier te vinden: http://venturebeat.com/2015/12/31/software-with-the-most-vulnerabilities-in-2015-mac-os-x-ios-and-flash/
Het is uit 2015, wat als ... De Linux-kernel had meer kwetsbaarheden dan W10.
Een ding is de kwetsbaarheid van een systeem en een ander is de beveiliging in het algemeen, we weten dat het aantal virussen in Linux (als er virussen zijn in Linux, we hebben al eerder gesproken https://blog.desdelinux.net/virus-en-gnulinux-realidad-o-mito/) is veel minder dan het aantal virussen in Windows.
Het is logisch om te denken dat het gebruikersniveau Windows domineert en dat de virussen die gebruikersacties vereisen daar talrijker zijn. In de branche domineert Linux echter, dus wanneer u probeert informatie van bedrijfsservers te extraheren, moet u zeker misbruik maken van een Linux-kwetsbaarheid.
Onthoud dat de Linux-kernel veilig is, maar niet perfect is en kan blijven verbeteren. Linux heeft veel voordelen waarin het groeit: integratie met GPU's, hoogwaardige technologieën, gedistribueerde systemen, mobiele platforms, IoT en nog veel meer. Er blijft zoveel ontwikkeling in Linux en innovatie wordt geleid door het Open Source-platform!