Linux 6.6 arrive avec Shadow Stac, des améliorations FS, des optimisations et plus encore

Darkcrizt

Minutes 5

Linux Kernel

Linux est un noyau principalement libre similaire au noyau Unix, c'est l'un des principaux exemples de logiciels libres et open source.

Récemment Linus Torvalds, le créateur et mainteneur du noyau Linux, a annoncé la sortie de la version 6.6, après avoir épuisé toutes les excuses pour retarder les travaux. Cette nouvelle version apporte plusieurs nouveautés et améliorations, notamment en termes de sécurité, de support matériel et de performances. L'une des nouvelles fonctionnalités les plus notables de Linux 6.6 est le planificateur EEVDF., qui remplace le planificateur CFS.

Parmi les principales fonctionnalités de Linux 6.6 figure l'implémentation d'Intel Shadow Stack (qui malgré son nom profite également à certaines puces AMD), une technologie de sécurité matérielle qui protège les applications contre les attaques de programmation orientée retour (ROP) pour son acronyme en anglais) sur les processeurs Intel Tiger Lake et versions ultérieures.

Principales actualités sous Linux 6.6

Dans cette nouvelle version de Linux 6.6 présentée, sNous avons ajouté des configurations supplémentaires pour les files d'attente de travail indépendantes pour améliorer l'efficacité de la réutilisation du cache du processeur dans les grands systèmes dotés de plusieurs caches de troisième niveau (L3). Le noyau comprend également un utilitaire tools/workqueue/wq_dump.py pour vérifier la configuration actuelle des files d'attente de travail.

Un autre changement qui se démarque est que ajout de la prise en charge des paramètres numériques dans les paramètres /sys/devices/system/cpu/smt/ des contrôles qui déterminent le nombre de threads disponibles pour chaque cœur de processeur (auparavant, seules les valeurs « on » et « off » étaient prises en charge pour activer ou désactiver la prise en charge du multithread symétrique). La la nouvelle fonctionnalité peut être utilisée sur certains processeurs PowerPC qui prennent en charge le multithreading symétrique hotplug (« SMT hotplug ») pour activer sélectivement SMT sur des cœurs spécifiques pendant le fonctionnement.

Du côté du système de fichiers, Linux 6.6 apporte des améliorations à la prise en charge des périphériques zonaux et à la compression pour F2FS, prise en charge des mmaps partagés en mode sans cache pour FUSE, correctifs pour netfilter et BPF, de nombreux correctifs pour le pilote AMDGPU, des correctifs de régression pour la prise en charge du MIDI 2.0 et une meilleure gestion de l'alimentation Intel RAPL.

Linux 6.6 ajoute également un compilateur BPF juste à temps pour l'architecture PA-RISC, prise en charge du branchement à chaud SMT pour l'architecture PowerPC, un nouvel indicateur pour l'API de montage qui empêche un montage de partager des superblocs en mémoire avec d'autres montages, prise en charge de SEV-Guests SNP et TDX dans Hyper-V et les opérations prennent en charge les valeurs réseau initiales. pour le sous-système io_uring. La prise en charge de la défragmentation des paquets IPv4 et IPv6, ainsi que la possibilité de filtrer les paquets fragmentés, ont été ajoutées au sous-système BPF. Un nouveau gestionnaire, update_socket_protocol, a été ajouté à BPF pour permettre aux programmes BPF de modifier le protocole demandé pour les nouveaux sockets.

Par ailleurs, des informations ont été ajoutées au fichier /proc/pid/smaps diagnostiquer l'efficacité du mécanisme de fusion de pages mémoire identiques (KSM : Kernel Samepage Merging).

Suppression de l'API Frontswap, permettant de placer la partition de swap dans une mémoire qui ne peut pas être directement adressée et ne fournit pas d'informations opérationnelles sur la disponibilité de l'espace libre. Cette API n'était utilisée que dans zswap, il a donc été décidé d'utiliser cette fonctionnalité directement dans zswap, éliminant ainsi les couches inutiles.

XFS a été préparé pour la possibilité d'utiliser l'utilitaire fsck pour vérifier et résoudre les problèmes identifiés en ligne, sans démonter le système de fichiers. De plus, XFS a implémenté la possibilité d'utiliser des publications volumineuses dans le cache de pages et a ajouté des optimisations associées qui ont considérablement amélioré les performances de certains types de charges de travail.

Le système de fichiers tmpfs a ajouté la prise en charge des attributs utilisateur étendus (utilisateur xattrs), E/S directes et quotas d'utilisateurs et de groupes. Décalages de répertoire stabilisés, qui ont résolu les problèmes d'exportation de tmpfs via NFS.

En plus de cela, il a été ajouté une implémentation du mécanisme Shadow Stack, permettant bloquer le fonctionnement de nombreux exploits, utiliser les capacités matérielles des processeurs Intel pour se protéger contre l'écrasement de l'adresse de retour d'une fonction en cas de débordement de tampon sur la pile.

L'essence de protection est que Après avoir passé le contrôle à une fonction, le processeur stocke les adresses de retour non seulement sur la pile normale, mais également sur une pile "Shadow" distincte, qui ne peut pas être modifié directement. Avant la fin de la fonction, l'adresse de retour est extraite de la pile cachée et comparée à l'adresse de retour sur la pile principale. Les adresses incompatibles provoquent le déclenchement d'une exception, bloquant les situations dans lesquelles l'exploit parvient à écraser une adresse sur la pile principale. La pile fantôme matérielle n'est prise en charge que dans les versions 64 bits et l'émulation logicielle est utilisée dans les versions 32 bits.

De l' d'autres changements qui se démarquent de cette nouvelle version:

  • Ajout de la prise en charge initiale des instructions ARM SME (Scalable Matrix Extension).
  • Les capacités de l'utilitaire perf ont été étendues.
  • Ajout d'une nouvelle interface de caractères (/dev/vfio/devices/vfioX) au sous-système VFIO pour gérer les périphériques VFIO, permettant à l'utilisateur d'ouvrir directement un fichier de périphérique sans accéder à l'ancienne interface de groupe /dev/vfio/$ groupID .
  • Le serveur NFS ne prend plus en charge les anciens types de chiffrement Kerberos qui utilisent les algorithmes DES et 3DES.
  • L'implémentation de la famille d'adresses AF_XDP (eXpress Data Path) a été étendue pour fonctionner avec des paquets stockés dans plusieurs tampons.
  • Les programmes qui utilisent les sockets AF_XDP peuvent désormais recevoir et transmettre des paquets depuis plusieurs tampons à la fois.
  • L'indicateur de développement expérimental a été supprimé du module ksmbd, qui fournit une implémentation au niveau du noyau d'un serveur de fichiers basé sur le protocole SMB3.
  • Ajout de la prise en charge de la combinaison des opérations de lecture (requêtes "lecture composée").

Enfin, si vous souhaitez en savoir plus, vous pouvez consulter les détails dans la lien suivant


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.