Dopo due mesi di sviluppo, Linus Torvalds ha annunciato pochi giorni fa il rilascio della nuova versione del kernel Linux 5.11 e in questa nuova versione delle modifiche più importanti, possiamo menzionare il supporto per le enclavi Intel SGX, nuovo meccanismo per intercettare le chiamate di sistema, bus ausiliario virtuale, filtraggio veloce delle chiamate di sistema in seccomp, interruzione della manutenzione dell'architettura ia64, la capacità per incapsulare SCTP in UDP.
La nuova versione ha ricevuto 15480 correzioni dagli sviluppatori del 1991, la dimensione della patch è 72 MB (Le modifiche hanno interessato 12090 file, 868,025 righe di codice aggiunte, 261,456 righe rimosse). Circa il 46% di tutte le modifiche introdotte nella 5.11 sono relative ai driver di dispositivo, circa il 16% delle modifiche è relativo all'aggiornamento del codice specifico delle architetture hardware, il 13% è relativo allo stack di rete, il 3% è relativo ai file system e il 4% è relativo ai sottosistemi interni del kernel.
Principali novità in Linux 5.11
In questa nuova versione del kernel Linux 5.11, possiamo trovarlo aggiunte diverse opzioni di montaggio a Btrfs da utilizzare durante il ripristino dei dati da file system danneggiati, oltre a rimuovere il supporto per l'opzione di montaggio "inode_cache" precedentemente deprecata, il codice è stato preparato per supportare blocchi con metadati e dati più piccoli di una pagina (PAGE_SIZE), oltre al supporto per l'allocazione dello spazio per zone.
a parte quello è stato aggiunto un nuovo meccanismo per intercettare le chiamate di sistema, basato su prctl () e che consente di lanciare eccezioni dallo spazio utente quando si accede a una specifica chiamata di sistema e ne emula l'esecuzione. Questa funzionalità è richiesta in Wine e Proton per emulare le chiamate di sistema di Windows, necessario per garantire la compatibilità con giochi e programmi che eseguono direttamente chiamate di sistema senza passare attraverso l'API di Windows (ad esempio, per proteggersi dall'uso non autorizzato).
Per l'architettura RISC-V, è stato aggiunto il supporto per il sistema di allocazione della memoria Contiguous Memory Allocator (CMA), ottimizzato per allocare grandi aree di memoria contigue utilizzando la tecnica di spostamento della pagina. Per RISC-V, ci sono anche strumenti implementati per limitare l'accesso a / dev / mem e la contabilizzazione del tempo di elaborazione delle interruzioni.
Per i sistemi ARM a 32 bit, è stato aggiunto il supporto per lo strumento di debug KASan (kernel address sanitizer), che fornisce il rilevamento degli errori quando si lavora con la memoria. Per ARM a 64 bit, l'implementazione di KASan è stata spostata per utilizzare i tag MTE (MemTag).
Per quanto riguarda la virtualizzazione e la sicurezza, spicca la chiamata di sistema seccomp () che ha aggiunto il supporto per la modalità di risposta rapida, che consente di determinare molto rapidamente se una specifica chiamata di sistema è consentita o negata in base a una bitmap di azione costante allegata al processo, che non richiede l'avvio di un gestore BPF.
Inoltre, possiamo trovarne alcuni Componenti del kernel integrati per la creazione e la gestione di enclave basati sulla tecnologia Intel SGX (Software Guard eXtensions), che consente alle applicazioni di eseguire codice in aree di memoria isolate e crittografate, il cui accesso al resto del sistema è limitato.
Per i sistemi ARM64, è stata aggiunta la possibilità di utilizzare i tag MemTag (Memory Tagging Extension) per gli indirizzi di memoria del gestore del segnale. L'utilizzo di MTE è abilitato specificando l'opzione SA_EXPOSE_TAGBITS in Sigaction () e consente di verificare la correttezza dell'uso dei puntatori per bloccare lo sfruttamento delle vulnerabilità.
Infine da parte dei titolari del trattamento, Evidenziato il supporto per il primo controller host USB4 discreto di Intel Maple Ridge, oltre al supporto per APU AMD "Green Sardine" (Ryzen 5000) e GPU "Dimgrey Cavefish" (Navi 2), nonché supporto iniziale per APU AMD Van Gogh con GPU Zen 2 core e RDNA 2 (Navi 2). Aggiunto supporto per i nuovi ID APU Renoir (basati su CPU Zen 2 e GPU Vega).
Il driver nouveau aggiunge il supporto iniziale per le GPU NVIDIA basate sulla microarchitettura »Ampere» (GA100, GeForce RTX 30xx), attualmente limitata ai controlli della modalità video.
Ho visto che hanno fatto un commit di San Valentino nel kernel e mi è rimasta una faccia di, cosa?