Từ năm 2015 đến năm nay, chúng tôi đã tìm thấy bảy bản cập nhật hoặc phiên bản mới của nhân Linux. Đi từ phiên bản 3.19 đến 4.5. Đúng như dự đoán, vào năm đó, chúng tôi đã phải tìm một số khác để cải thiện phần cốt lõi, và đúng như vậy. Trong tháng này, chúng tôi đã được giới thiệu phiên bản mới của hạt nhân Linux, trong phiên bản 4.6 của nó. Điều này có sẵn từ ngày 15 tháng XNUMX và thêm một số tin tức cho cấu trúc hoặc nội dung của nó.
Nhìn chung, chúng tôi nhận thấy khả năng xử lý hết bộ nhớ đáng tin cậy hơn, hỗ trợ USB 3.1 SuperSpeedPlus, hỗ trợ các khóa bảo vệ bộ nhớ của Intel VÀ hệ thống tệp phân tán OrangeFS mới, chỉ là một vài cái tên. Nhưng chi tiết hơn, những điểm quan trọng nhất được thảo luận đối với kernel là:
- Độ tin cậy trong bộ nhớ.
- Kết nối bộ ghép kênh nhân.
- Hỗ trợ cho USB 3.1 SuperSpeedPlus.
- Hỗ trợ các phím bảo vệ bộ nhớ Intel.
- Hệ thống tệp phân tán OrangeFS.
- Hỗ trợ phiên bản V của giao thức BATMAN.
- Mã hóa mức MAC 802.1AE.
- Thêm hỗ trợ cho bố cục pNFS SCSI
- dma-buf: ioctl mới để quản lý tính nhất quán của bộ nhớ đệm giữa CPU và GPU.
- Bộ kiểm tra inode OCFS2 trực tuyến
- Hỗ trợ không gian tên cgroup
Độ tin cậy trong bộ nhớ.
Kẻ giết người OOM trong các phiên bản trước có mục tiêu loại bỏ một nhiệm vụ, với mong muốn rằng nhiệm vụ này được hoàn thành trong thời gian có thể chấp nhận được và đến lượt bộ nhớ sẽ được giải phóng sau đó. Nó chỉ ra rằng có thể dễ dàng nhận thấy khối lượng công việc phá vỡ giả định đó ở đâu và nạn nhân của OOM có thể có khoảng thời gian không giới hạn để thoát. Để đo điều này, trong phiên bản hạt nhân 4.6, oom_reaper như một luồng hạt nhân chuyên biệt, cố gắng khôi phục bộ nhớ, nghĩa là, trao đổi tài sản của nạn nhân OOM ra bên ngoài, hoặc một biện pháp ngăn chặn bộ nhớ ẩn danh. Tất cả theo ý tưởng rằng bộ nhớ này sẽ không cần thiết.
Kết nối bộ ghép kênh nhân.
Cơ sở nhân của bộ ghép kênh cung cấp một giao diện dựa trên các thông điệp qua TCP, với mục đích tăng tốc các giao thức lớp ứng dụng. Nhân kết nối bộ ghép kênh, hoặc KCM cho từ viết tắt của nó, được kết hợp cho phiên bản này. Nhờ vào nhân kết nối bộ ghép kênh, một ứng dụng có thể nhận và gửi các thông điệp giao thức ứng dụng thông qua TCP một cách hiệu quả. Hơn nữa, hạt nhân cung cấp các đảm bảo rằng các thông điệp được gửi và nhận một cách nguyên tử. Mặt khác, hạt nhân thực hiện một trình phân tích cú pháp thông báo dựa trên BPF, tất cả với mục đích là các thông điệp được hướng trong một kênh TCP có thể được nhận trong nhân kết nối bộ ghép kênh. Điều đáng nói là nhân kết nối bộ ghép kênh có thể được sử dụng trong một số lượng lớn các ứng dụng, vì hầu hết các giao thức ứng dụng nhị phân đều hoạt động theo quy trình phân tích thông báo này.
Hỗ trợ USB 3.1 SuperSpeedPlus (10 Gbps).
Đối với USB 3.1, một giao thức mới được thêm vào; các Siêu tốc cộng. Điều này có khả năng hỗ trợ tốc độ 10 Gbps. Nó bao gồm hỗ trợ nhân USB 3.1 và bộ điều khiển máy chủ USB xHCI, bao gồm dung lượng lưu trữ lớn, nhờ kết nối USB 3.1 với cổng USB 3.1 có khả năng lưu trữ xHCI. Điều đáng chú ý là các thiết bị USB được sử dụng cho giao thức SuperSpeedPlus mới được gọi là thiết bị USB 3.1 Gen2.
Hỗ trợ các phím bảo vệ bộ nhớ Intel.
Hỗ trợ này được thêm vào cho một khía cạnh cụ thể, nói riêng về phần cứng và bảo vệ bộ nhớ của nó. Khía cạnh này sẽ có trong các CPU Intel tiếp theo; khóa bảo vệ. Các khóa này cho phép mã hóa mặt nạ quyền điều khiển do người dùng điều khiển, nằm trong các mục của bảng trang. Chúng tôi đã nói về điều đó thay vì có một mặt nạ bảo vệ cố định, yêu cầu lệnh gọi hệ thống để thay đổi và hoạt động trên cơ sở mỗi trang, giờ đây người dùng có thể chỉ định số lượng biến thể khác nhau làm mặt nạ bảo vệ. Đối với không gian người dùng, anh ta có thể dễ dàng xử lý vấn đề truy cập hơn với sổ đăng ký cục bộ của các luồng, được phân phối thành hai phần cho mỗi mặt nạ; vô hiệu hóa quyền truy cập và tắt tính năng viết. Với điều này, chúng tôi hiểu sự hiện diện hoặc khả năng thay đổi động các bit bảo vệ của một lượng lớn bộ nhớ, chỉ với việc quản lý một thanh ghi CPU, mà không cần thay đổi từng trang trong không gian bộ nhớ ảo bị ảnh hưởng.
Hệ thống tệp phân tán OrangeFS.
Nó là một hệ thống lưu trữ song song LGPL hoặc mở rộng quy mô. Nó được sử dụng chủ yếu cho các vấn đề hiện có liên quan đến lưu trữ được xử lý trong HPC, Dữ liệu lớn, truyền video hoặc Tin sinh học. Với OrangeFS, nó có thể được truy cập thông qua các thư viện tích hợp người dùng, các tiện ích hệ thống đi kèm, MPI-IO và có thể được sử dụng bởi môi trường Hadoop như một sự thay thế cho hệ thống tệp HDFS.
Đối với các ứng dụng, OrangeFS thường không cần thiết để được gắn kết trên VFS, nhưng ứng dụng khách lõi OrangeFS sẽ cấp cho các hệ thống tệp khả năng được gắn kết dưới dạng VFS.
Hỗ trợ phiên bản V của giao thức BATMAN.
BATMAN (Cách tiếp cận tốt hơn với mạng Adhoc di động) hoặc ORDINANCE. (Cách tiếp cận tốt hơn cho các mạng di động đặc biệt) Lần này kết hợp hỗ trợ cho giao thức V, thay thế cho giao thức IV. Là một trong những thay đổi quan trọng nhất trong BATMA.NV là số liệu mới, chỉ ra rằng giao thức sẽ không còn phụ thuộc vào mất gói. Điều này cũng chia giao thức OGM thành hai phần; Đầu tiên là ELP (Echo Location Protocol), phụ trách đánh giá chất lượng của liên kết và phát hiện ra những người hàng xóm. Và thứ hai, một giao thức OGM mới, OGMv2, kết hợp một thuật toán tính toán các tuyến đường tối ưu nhất và mở rộng số liệu trong mạng.
Mã hóa mức MAC 802.1AE.
Hỗ trợ cho IEEE MACsec 802.1A, một tiêu chuẩn cung cấp mã hóa qua Ethernet, đã được thêm vào phiên bản này. Nó mã hóa và xác thực tất cả lưu lượng trên mạng LAN với GCM-AES-128. Ngoài ra, bảo vệ lưu lượng DHCP và VLAN để tránh thao tác trong các tiêu đề ethernet. Nó được thiết kế để xử lý khóa mở rộng giao thức MACsec, kết hợp việc phân phối khóa cho các nút và phân bổ các kênh.
Đây là một số khía cạnh được cải thiện trong phiên bản mới của nhân Linux. Bạn có thể thấy rằng đã có những cải tiến lớn về bảo mật. Điều đáng chú ý là các hỗ trợ đính kèm mới dành cho các Thành phần cốt lõi, tập trung nhiều vào việc giảm lỗi. Trong số một số khía cạnh của nó được đề cập cho phiên bản 4.6 này, các nhà phát triển của nó khẳng định rằng lý tưởng nhất là các hệ thống liên kết với nhân Linux có thể được cập nhật tự động, đề cập đến các nhà phân phối Linux và Android. Một điều gì đó rất quan trọng trong các hệ thống này, vì phiên bản mới này nổi bật, về nhiều mặt, là phiên bản an toàn nhất của hạt nhân.
Một cải tiến bảo mật khác là Linux hiện sử dụng các trang riêng biệt cho Giao diện phần mềm mở rộng (EFI) khi nó đang thực thi mã phần sụn của nó. Nó cũng tương thích với bộ vi xử lý IBM Power9 và hiện Linux đã hỗ trợ hơn 13 hệ thống ARM trên chip (SOC) cũng như hỗ trợ ARM 64-bit tốt hơn.
Mặt khác, kernel 4.6 cũng hỗ trợ giao thức Synaptics RMI4; Đây là giao thức gốc cho tất cả các màn hình cảm ứng và bàn di chuột Synaptics hiện tại. Cuối cùng, hỗ trợ cho các thiết bị giao diện người khác cũng được thêm vào.
Nhân Linux ngày càng cho thấy sự vững chắc về mặt bảo mật. Một cái gì đó thuận lợi và điều đó tạo ra niềm tin cho người dùng liên kết với hệ thống này mọi lúc. Nếu bạn muốn biết thêm chi tiết về phiên bản mới, bạn có thể truy cập trang nhân chính thức của Linux và tìm hiểu về các thay đổi.
“Nhân Linux đang trở nên mạnh mẽ hơn khi nói đến bảo mật. Một thứ gì đó có lợi và điều đó ngày càng tạo ra niềm tin ở những người dùng liên kết với hệ thống này. "
Vì vậy, cốt lõi chính nó đã không an toàn?
Nó khiến tôi nhớ lại một cuộc ẩu đả nhỏ mà tôi đã có với một Fanboy MS Win vì anh ta đưa ra một hình ảnh tuyên bố rằng W10 có một vài lỗ hổng (ít hơn 30) và OS X và nhân linux đứng đầu bảng xếp hạng. Vì anh ấy không bao giờ cho tôi xem nguồn nên tôi cho rằng nó là giả nhưng anh ấy bảo vệ nó tận răng và móng tay: v
Nguồn của quan sát đó có thể được tìm thấy ở đây: http://venturebeat.com/2015/12/31/software-with-the-most-vulnerabilities-in-2015-mac-os-x-ios-and-flash/
Đó là từ năm 2015, điều gì sẽ xảy ra nếu… Nhân Linux có nhiều lỗ hổng hơn W10.
Một vấn đề là lỗ hổng bảo mật của một hệ thống và vấn đề khác là bảo mật nói chung, chúng ta biết rằng số lượng vi rút trong Linux (nếu có vi rút trong Linux, chúng tôi đã nói trước đó https://blog.desdelinux.net/virus-en-gnulinux-realidad-o-mito/) ít hơn rất nhiều so với số lượng vi rút trong Windows.
Thật hợp lý khi nghĩ rằng cấp độ người dùng thống trị Windows và các loại vi-rút yêu cầu hành động của người dùng ở đó nhiều hơn. Tuy nhiên, trong ngành công nghiệp Linux đang chiếm ưu thế, vì vậy khi cố gắng trích xuất thông tin từ các máy chủ của công ty, bạn chắc chắn nên khai thác một lỗ hổng Linux.
Hãy nhớ rằng nhân Linux là an toàn, tuy nhiên nó không hoàn hảo và có thể tiếp tục cải thiện. Linux có nhiều khía cạnh mà nó đang phát triển: Tích hợp với GPU, công nghệ hiệu suất cao, hệ thống phân tán, nền tảng di động, IoT và nhiều hơn nữa. Còn rất nhiều sự phát triển trong Linux và sự đổi mới đang được dẫn dắt bởi nền tảng Nguồn mở!