De 2015 até o ano atual, encontramos sete atualizações ou novas versões do kernel Linux. Indo da versão 3.19 para 4.5. Como esperado, naquele ano tivemos que encontrar outros para melhorar o núcleo, e foi. Para este mês nos foi apresentada a nova edição do kernel Linux, em sua edição 4.6. Este está disponível a partir de 15 de maio, e traz algumas novidades em sua estrutura ou conteúdo.
No geral, encontramos um tratamento sem memória mais confiável, suporte para USB 3.1 SuperSpeedPlus, suporte para chaves de proteção de memória Intel E o novo sistema de arquivos distribuído OrangeFS, apenas para citar alguns. Mas, com mais detalhes, os pontos mais importantes discutidos para o kernel foram os seguintes:
- Fiabilidade sem memória.
- Conexão do multiplexador de kernel.
- Suporte para USB 3.1 SuperSpeedPlus.
- Suporte para chaves de proteção de memória Intel.
- Sistema de arquivos distribuídos OrangeFS.
- Suporte para a versão V do protocolo BATMAN.
- Criptografia de nível 802.1AE MAC.
- Adicionar suporte para layout pNFS SCSI
- dma-buf: novo ioctl para gerenciar a consistência do cache entre CPU e GPU.
- Verificador de inode OCFS2 online
- Suporte para namespaces cgroup
Sem confiabilidade de memória.
O OOM killer nas versões anteriores tinha o objetivo de eliminar uma tarefa, com a expectativa de que essa tarefa fosse concluída em um tempo aceitável e que, por sua vez, a memória fosse liberada após isso. Foi mostrado que é fácil ver onde estão as cargas de trabalho que quebram essa suposição e que a vítima OOM pode ter um tempo ilimitado para sair. Como medida para isso, na versão 4.6 do kernel, um oom_reaper como um thread de kernel especializado, que tenta recuperar a memória, ou seja, trocar a propriedade da vítima OOM para fora, ou uma medida preventiva de memória anônima. Tudo sob a ideia de que essa memória não será necessária.
Conexão de multiplexador de kernel.
A facilidade do kernel do multiplexador fornece uma interface que depende de mensagens sobre TCP, com o objetivo de agilizar os protocolos da camada de aplicação. O kernel de conexão do multiplexador, ou KCM por sua sigla, é incorporado a esta edição. Graças ao kernel de conexão do multiplexador, um aplicativo pode receber e enviar com eficiência mensagens de protocolo de aplicativo por meio do TCP. Além disso, o kernel oferece a garantia de que as mensagens são enviadas e recebidas atomicamente. Por outro lado, o kernel implementa um analisador de mensagens baseado em BPF, tudo com a finalidade de que as mensagens direcionadas em um canal TCP possam ser recebidas no kernel de conexão do multiplexador. Vale dizer que o kernel de conexão do multiplexador pode ser usado em um grande número de aplicações, uma vez que a maioria dos protocolos de aplicativos binários trabalham sob este processo de análise de mensagens.
Suporte para USB 3.1 SuperSpeedPlus (10 Gbps).
Para USB 3.1, um novo protocolo é adicionado; ele SuperSpeed Plus. Ele é capaz de suportar velocidades de 10 Gbps. O suporte do kernel USB 3.1 e o controlador de host USB xHCI estão incluídos, o que abrange um armazenamento massivo, graças à conexão do USB 3.1 a uma porta USB 3.1 capaz de hospedar xHCI. É importante notar que os dispositivos USB usados para o novo protocolo SuperSpeedPlus são chamados de dispositivos USB 3.1 Gen2.
Suporte para chaves de proteção de memória Intel.
Este suporte é adicionado para um aspecto particular, falando especificamente do hardware e para sua proteção de memória. Este aspecto estará disponível nos próximos CPUs da Intel; chaves de proteção. Essas chaves permitem a codificação das máscaras de permissão controláveis pelo usuário, localizadas nas entradas da tabela de páginas. Falamos sobre isso em vez de ter uma máscara de proteção fixa, que requer uma chamada de sistema para mudar e funcionar por página, agora o usuário pode atribuir diferentes números de variantes como máscara de proteção. Quanto ao espaço do usuário, ele pode lidar com a questão do acesso mais facilmente com um registro local das threads, que são distribuídas em duas partes para cada máscara; desabilitando o acesso e desabilitando a escrita. Com isso entendemos a presença ou a possibilidade de alterar dinamicamente os bits de proteção de grandes quantidades de memória, apenas com a administração de um registro de CPU, sem a necessidade de alterar cada página do espaço de memória virtual afetada .
Sistema de arquivos distribuídos OrangeFS.
É um sistema de armazenamento paralelo LGPL ou scale-out. É usado principalmente para problemas existentes com relação ao armazenamento que são tratados em HPC, Big Data, streaming de vídeo ou bioinformática. Com o OrangeFS, ele pode ser acessado por meio de bibliotecas de integração de usuário, os utilitários de sistema incluídos, MPI-IO e pode ser usado pelo ambiente Hadoop como uma alternativa ao sistema de arquivos HDFS.
Para aplicativos, o OrangeFS normalmente não precisa ser montado no VFS, mas o cliente principal do OrangeFS concede aos sistemas de arquivos a capacidade de ser montado como VFS.
Suporte para a versão V do protocolo BATMAN.
BATMAN (Better Approach To Mobile Adhoc Networking) ou ORDINANCE. (Melhor abordagem para redes móveis ad hoc) Desta vez, incorpora suporte para o protocolo V, como um substituto para o protocolo IV. Como uma das mudanças mais significativas no BATMA.NV é a nova métrica, que indica que o protocolo não será mais dependente da perda de pacotes. Isso também divide o protocolo OGM em duas partes; O primeiro é o ELP (Echo Location Protocol), responsável por avaliar a qualidade do link e descobrir vizinhos. E o segundo, um novo protocolo OGM, OGMv2, que incorpora um algoritmo que calcula as rotas mais ideais e estende a métrica dentro da rede.
Criptografia de nível 802.1AE MAC.
Suporte para IEEE MACsec 802.1A, um padrão que fornece criptografia sobre Ethernet, foi adicionado a esta versão. Ele criptografa e autentica todo o tráfego em uma LAN com GCM-AES-128. Além disso, proteja o tráfego DHCP e VLAN, de modo que a manipulação nos cabeçalhos Ethernet seja evitada. Ele é projetado para lidar com a chave de extensão do protocolo MACsec, que incorpora a distribuição de chaves para os nós e a alocação de canais.
Esses foram alguns dos aspectos aprimorados na nova versão do kernel Linux. Você pode ver que houve grandes melhorias na segurança. O que é perceptível nos novos suportes anexados para os componentes principais, com muita ênfase na redução de erros. Dentre vários de seus aspectos abordados nesta versão 4.6, seus desenvolvedores afirmam que seria o ideal que os sistemas associados ao kernel Linux pudessem ser atualizados automaticamente, referindo-se a distribuidores Linux e Android. Algo de grande importância dentro desses sistemas, já que esta nova versão se destaca, em muitos aspectos, como a versão mais segura do kernel.
Outro aprimoramento de segurança é que o Linux agora usa páginas separadas para a Extensible Firmware Interface (EFI) ao executar seu código de firmware. Também é compatível com processadores IBM Power9 e agora o Linux tem suporte para mais de 13 sistemas ARM em chips (SOC), bem como melhor suporte ARM de 64 bits.
Por outro lado, o kernel 4.6 também suporta o protocolo Synaptics RMI4; Este é o protocolo nativo para todas as telas sensíveis ao toque e touchpads atuais da Synaptics. Finalmente, o suporte para outros dispositivos de interface humana também foi adicionado.
O kernel Linux vem apresentando cada vez mais solidez em termos de segurança. Algo vantajoso e que sempre gera confiança nos usuários associados a este sistema. Se você quiser mais detalhes sobre a nova versão, pode acessar a página oficial do kernel do Linux e aprender sobre as mudanças.
“O kernel do Linux está se tornando mais robusto quando se trata de segurança. Algo vantajoso e que cada vez mais gera confiança nos usuários associados a este sistema. ”
Então, o núcleo em si era inseguro?
Isso me lembrou de uma pequena briga que tive com um MS Win Fanboy porque ele mostrou uma imagem alegando que o W10 tinha algumas vulnerabilidades (menos de 30) e que o OS X e o kernel do Linux estavam no topo das paradas. Como ele nunca me mostrou as fontes, presumi que fosse falso, mas ele o defendeu com unhas e dentes: v
A fonte dessa observação pode ser encontrada aqui: http://venturebeat.com/2015/12/31/software-with-the-most-vulnerabilities-in-2015-mac-os-x-ios-and-flash/
É de 2015, e se ... O kernel do Linux tinha mais vulnerabilidades que o W10.
Uma coisa é a vulnerabilidade de um sistema e outra é a segurança em geral, sabemos que a quantidade de vírus no Linux (se houver vírus no Linux, já falamos antes disso https://blog.desdelinux.net/virus-en-gnulinux-realidad-o-mito/) é muito menor do que a quantidade de vírus no Windows.
É lógico pensar que o nível do usuário domina o Windows e os vírus que exigem ações do usuário são mais numerosos lá. No entanto, na indústria o Linux domina, portanto, ao tentar extrair informações de servidores de negócios, você certamente deve explorar uma vulnerabilidade do Linux.
Lembre-se de que o kernel do Linux é seguro, porém não é perfeito e pode continuar melhorando. O Linux tem muitas vantagens nas quais está crescendo: Integração com GPUs, tecnologias de alto desempenho, sistemas distribuídos, plataformas móveis, IoT e muito mais. Portanto, ainda há muito desenvolvimento no Linux e a inovação está sendo liderada pela plataforma Open Source!