Setelah dua bulan pengembangan, Linus Torvalds mengumumkan beberapa hari yang lalu rilis versi baru dari kernel Linux 5.11 dan dalam rilis baru perubahan paling penting ini, kami dapat menyebutkan dukungan untuk Intel SGX enclave, mekanisme baru untuk mencegat panggilan sistem, bus tambahan virtual, pemfilteran cepat panggilan sistem di seccomp, penghentian pemeliharaan arsitektur ia64, kemampuan untuk merangkum SCTP dalam UDP.
Versi baru menerima 15480 perbaikan dari 1991 developer, ukuran patch 72MB (Perubahan memengaruhi 12090 file, 868,025 baris kode ditambahkan, 261,456 baris dihapus). Sekitar 46% dari semua perubahan yang diperkenalkan di 5.11 terkait dengan driver perangkat, sekitar 16% perubahan terkait dengan pembaruan kode spesifik arsitektur perangkat keras, 13% terkait dengan tumpukan jaringan, 3% terkait dengan sistem file, dan 4% terkait dengan subsistem kernel internal.
Fitur baru utama Linux 5.11
Di versi baru Linux Kernel 5.11 ini, kita dapat menemukannya menambahkan beberapa opsi pemasangan ke Btrfs untuk digunakan saat memulihkan data dari sistem file yang rusak, selain menghapus dukungan untuk opsi pemasangan "inode_cache" yang sebelumnya tidak digunakan lagi, kode tersebut disiapkan untuk mendukung blok dengan metadata dan data yang lebih kecil dari halaman (PAGE_SIZE), serta dukungan untuk alokasi ruang berdasarkan zona.
Selain itu mekanisme baru telah ditambahkan untuk mencegat panggilan sistem, berdasarkan prctl () dan yang memungkinkan untuk memunculkan pengecualian dari ruang pengguna saat mengakses panggilan sistem tertentu dan meniru eksekusinya. Fungsionalitas ini diminta di Wine dan Proton untuk meniru panggilan sistem Windows, yang diperlukan untuk memastikan kompatibilitas dengan game dan program yang secara langsung menjalankan panggilan sistem tanpa melalui Windows API (misalnya, untuk melindungi dari penggunaan yang tidak sah).
Untuk arsitektur RISC-V, dukungan untuk sistem alokasi memori Contiguous Memory Allocator telah ditambahkan (CMA), yang dioptimalkan untuk mengalokasikan area memori bersebelahan yang besar menggunakan teknik pergerakan halaman. Untuk RISC-V, ada juga alat yang diterapkan untuk membatasi akses ke / dev / mem dan memperhitungkan waktu pemrosesan pemadaman.
Untuk sistem ARM 32-bit, dukungan untuk alat debugging KASan telah ditambahkan (pembersih alamat kernel), yang menyediakan deteksi kesalahan saat bekerja dengan memori. Untuk ARM 64-bit, implementasi KASan telah dipindahkan untuk menggunakan tag MTE (MemTag).
Mengenai Virtualisasi dan keamanan, panggilan sistem menonjol seccomp () yang telah menambahkan dukungan untuk mode respons cepat, yang memungkinkan Anda dengan sangat cepat menentukan apakah panggilan sistem tertentu diizinkan atau ditolak berdasarkan bitmap tindakan konstan yang dilampirkan ke proses, yang tidak memerlukan memulai penangan BPF.
Juga, kami dapat menemukan beberapa Komponen kernel terintegrasi untuk pembuatan dan pengelolaan enklaf berdasarkan teknologi Intel SGX (Software Guard eXtensions), yang memungkinkan aplikasi mengeksekusi kode di area memori yang terisolasi dan terenkripsi, yang aksesnya ke seluruh sistem dibatasi.
Untuk sistem ARM64, kemampuan untuk menggunakan tag Memory Tagging Extension (MemTag) telah ditambahkan untuk alamat memori penangan sinyal. Penggunaan MTE diaktifkan dengan menentukan opsi SA_EXPOSE_TAGBITS di Sigaction () dan memungkinkan Anda memverifikasi kebenaran penggunaan pointer untuk memblokir eksploitasi kerentanan.
Akhirnya di bagian pengontrol, Dukungan untuk Pengontrol Host USB4 Diskrit Pertama dari Intel Maple Ridge yang Disorot, serta dukungan untuk AMD "Green Sardine" APU (Ryzen 5000) dan GPU "Dimgrey Cavefish" (Navi 2), serta dukungan awal untuk AMD Van Gogh APU dengan Zen 2 core dan RDNA 2 (Navi 2) GPU. Menambahkan dukungan untuk ID APU Renoir baru (berdasarkan CPU Zen 2 dan GPU Vega).
Driver nouveau menambahkan dukungan awal untuk GPU NVIDIA berdasarkan mikroarsitektur »Ampere» (GA100, GeForce RTX 30xx), yang saat ini terbatas pada kontrol mode video.
Saya melihat bahwa mereka membuat komitmen Valentine di kernel dan saya ditinggalkan dengan wajah, apa?