Etter to måneders utvikling, Linus Torvalds kunngjorde for noen dager siden utgivelsen av den nye versjonen av Linux-kjernen 5.11 og i denne nye versjonen av de mest bemerkelsesverdige endringene, kan vi nevne støtten for Intel SGX-enklaver, ny mekanisme for å avlytte systemanrop, virtuell hjelpebuss, rask filtrering av systemanrop i seccomp, avvikling av vedlikehold av ia64-arkitekturen, evnen for å kapsle inn SCTP i UDP.
Den nye versjonen mottok 15480 reparasjoner fra 1991-utviklere, oppdateringsstørrelsen er 72MB (Endringer berørte 12090 filer, 868,025 linjer med kode lagt til, 261,456 linjer fjernet). Omtrent 46% av alle endringene som ble introdusert i 5.11, er relatert til enhetsdrivere, omtrent 16% av endringene er relatert til oppdatering av den spesifikke koden for maskinvarearkitekturer, 13% er relatert til nettverksstakken, 3% er relatert til filsystemer og 4% er relatert til de interne kjerndelsystemene.
Hovednyheter i Linux 5.11
I denne nye versjonen av Linux Kernel 5.11 kan vi finne det lagt til flere monteringsalternativer til Btrfs å bruke når du gjenoppretter data fra ødelagte filsystemer, i tillegg til å fjerne støtte for det tidligere utdaterte monteringsalternativet "inode_cache", ble koden forberedt på å støtte blokker med metadata og data mindre enn en side (PAGE_SIZE), samt støtte for plassfordeling etter soner.
bortsett fra det en ny mekanisme er lagt til for å avlytte systemanrop, basert på prctl (), og som gjør det mulig å kaste unntak fra brukerområdet når du får tilgang til et bestemt systemanrop og etterligner kjøringen. Denne funksjonaliteten blir bedt om i Wine og Proton for å etterligne Windows-systemanrop, som er nødvendig for å sikre kompatibilitet med spill og programmer som direkte utfører systemanrop uten å gå gjennom Windows API (for eksempel for å beskytte mot uautorisert bruk).
For arkitektur RISC-V, støtte for minnetildelingssystem for sammenhengende minneallokator er lagt til (CMA), som er optimalisert for å tildele store sammenhengende minneområder ved hjelp av teknikken for sidebevegelse. For RISC-V, det er også verktøy implementert for å begrense tilgangen til / dev / mem og regnskap for behandlingstid for avbrudd.
For systemer 32-bit ARM, støtte for KASan feilsøkingsverktøy er lagt til (kernel address sanitizer), som gir feilregistrering når du arbeider med minne. For 64-bit ARM har KASan-implementeringen blitt flyttet til å bruke MTE (MemTag) -koder.
Når det gjelder virtualisering og sikkerhet, skiller systemanropet seg ut seccomp () som har lagt til støtte for hurtigresponsmodus, som lar deg veldig raskt avgjøre om en spesifikk systemanrop tillates eller nektes basert på en bitmap med konstant handling som er knyttet til prosessen, som ikke krever start av en BPF-behandler.
Vi kan også finne noen Integrerte kjernekomponenter for å lage og administrere enklaver basert på Intel SGX-teknologi (Software Guard eXtensions), som gjør det mulig for applikasjoner å utføre kode i isolerte og krypterte minneområder, hvis tilgang til resten av systemet er begrenset.
For ARM64-systemer ble muligheten til å bruke Memory Tagging Extension-koder (MemTag) lagt til for signalbehandlerens minneadresser. Bruk av MTE er aktivert ved å spesifisere SA_EXPOSE_TAGBITS-alternativet i seguirction () og lar deg verifisere korrekte bruken av pekere for å blokkere utnyttelsen av sårbarheter.
Endelig fra kontrollernes side, Støtte for Intel Maple Ridge's First Discrete USB4 Host Controller Highlighted, samt støtte for AMD "Green Sardine" APUer (Ryzen 5000) og "Dimgrey Cavefish" GPUer (Navi 2), samt innledende støtte for AMD Van Gogh APUer med Zen 2 core og RDNA 2 (Navi 2) GPUer. Lagt til støtte for de nye Renoir APU-IDene (basert på Zen 2 CPU og Vega GPU).
Nouveau-driveren legger til første støtte for NVIDIA GPUer basert på »Ampere» mikroarkitektur (GA100, GeForce RTX 30xx), for tiden begrenset til videomodus-kontroller.
Jeg så at de gjorde en Valentine-forpliktelse i kjernen, og jeg satt igjen med et ansikt, hva?