Linux 6.6 prichádza s Shadow Stac, vylepšeniami FS, optimalizáciami a ďalšími

Linux Kernel

Linux je väčšinou slobodné jadro podobné jadru Unixu. Je to jeden z hlavných príkladov slobodného a open source softvéru.

Nedávno Linus Torvalds, tvorca a správca linuxového jadra, oznámila vydanie verzie 6.6, po vyčerpaní všetkých výhovoriek na meškanie práce. Táto nová verzia prináša niekoľko nových funkcií a vylepšení, najmä pokiaľ ide o bezpečnosť, hardvérovú podporu a výkon. Jednou z najvýznamnejších nových funkcií v Linuxe 6.6 je plánovač EEVDF, ktorý nahrádza plánovač CFS.

Medzi hlavné črty Linuxu 6.6 patrí implementácia Intel Shadow Stack (ktorý napriek svojmu názvu využíva aj určité čipy AMD), hardvérovej bezpečnostnej technológie, ktorá chráni aplikácie pred útokmi návratovo orientovaného programovania (ROP). na procesoroch Intel Tiger Lake a novších.

Hlavné nové funkcie systému Linux 6.6

V tejto novej verzii Linuxu 6.6, ktorá je prezentovaná, se pridal ďalšie konfigurácie pre nezávislé pracovné fronty zlepšiť efektivitu opätovného použitia vyrovnávacej pamäte procesora vo veľkých systémoch s viacerými vyrovnávacími pamäťami tretej úrovne (L3). Jadro zahŕňa aj nástroj tools/workqueue/wq_dump.py na kontrolu aktuálnej konfigurácie pracovných frontov.

Ďalšou vynikajúcou zmenou je táto pridaná podpora pre číselné parametre do nastavení /sys/devices/system/cpu/smt/ ovládacie prvky, ktoré určujú počet vlákien dostupných pre každé jadro CPU (predtým boli podporované iba hodnoty „zapnuté“ a „vypnuté“ na zapnutie alebo vypnutie podpory symetrického multithreadingu). The novú funkciu možno použiť na niektorých procesoroch PowerPC ktoré podporujú symetrické multithreading za chodu ("SMT hotplug") na selektívne povolenie SMT na konkrétnych jadrách počas prevádzky.

Na strane súborového systému Linux 6.6 prináša vylepšenia podpory zónových zariadení a kompresie pre F2FS, podpora zdieľaných mmap v režime bez vyrovnávacej pamäte pre FUSE, opravy pre netfilter a BPF, početné opravy ovládača AMDGPU, opravy regresie pre podporu MIDI 2.0 a lepšiu správu napájania Intel RAPL.

Linux 6.6 tiež pridáva kompilátor BPF práve včas pre architektúru PA-RISC, podpora SMT hot plug pre architektúru PowerPC, nový príznak pre mount API, ktorý bráni mountu zdieľať superbloky v pamäti s inými mountmi, podpora pre SEV-Guests SNP a TDX v Hyper-V a operácie podporujúce počiatočné sieťové hodnoty pre subsystém io_uring. Do subsystému BPF bola pridaná podpora defragmentácie paketov IPv4 a IPv6, ako aj možnosť filtrovania fragmentovaných paketov. Do BPF bol pridaný nový obslužný program update_socket_protocol, ktorý programom BPF umožňuje zmeniť požadovaný protokol pre nové sokety.

Okrem toho, informácie boli pridané do súboru /proc/pid/smaps na diagnostiku účinnosti mechanizmu na zlučovanie identických pamäťových stránok (KSM: Kernel Samepage Merging).

Odstránené rozhranie Frontswap API, ktoré umožňuje umiestniť odkladací oddiel do pamäte, ktorú nemožno priamo adresovať a neposkytuje prevádzkové informácie o dostupnosti voľného miesta. Toto API bolo použité iba v zswap, takže bolo rozhodnuté použiť túto funkcionalitu priamo v zswap, čím sa odstránili nepotrebné vrstvy.

XFS bol pripravený na možnosť použitia utility fsck na kontrolu a opravu identifikovaných problémov online bez odpojenia systému súborov. Okrem toho XFS implementovalo možnosť používať veľké príspevky vo vyrovnávacej pamäti stránky a pridalo niekoľko súvisiacich optimalizácií, ktoré výrazne zlepšili výkon pri niektorých typoch pracovného zaťaženia.

Súborový systém tmpfs pridal podporu pre rozšírené užívateľské atribúty (user xattrs), priame I/O a kvóty používateľov a skupín. Stabilizované posuny adresárov, ktoré vyriešili problémy s exportovaním súborov tmpf cez NFS.

Okrem toho to bolo pridané implementácia mechanizmu Shadow Stack, umožňujúce blokovať fungovanie mnohých exploitov, pomocou hardvérových možností procesorov Intel na ochranu pred prepísaním návratovej adresy funkcie v prípade pretečenia vyrovnávacej pamäte zásobníka.

Podstatou ochrana je taká Po odovzdaní riadenia funkcii procesor uloží návratové adresy nielen do normálneho zásobníka, ale aj do samostatného zásobníka „Shadow“, ktoré nie je možné priamo zmeniť. Pred ukončením funkcie sa zobrazí návratová adresa zo skrytého zásobníka a porovná sa s návratovou adresou v hlavnom zásobníku. Nezhodné adresy spôsobujú vyvolanie výnimky, ktorá blokuje situácie, keď sa exploitu podarilo prepísať adresu v hlavnom zásobníku. Hardvérový tieňový zásobník je podporovaný iba v 64-bitových zostavách a emulácia softvéru sa používa v 32-bitových zostavách.

Z ďalšie zmeny, ktoré vynikajú tejto novej verzie:

  • Pridaná počiatočná podpora pre inštrukcie ARM SME (Scalable Matrix Extension).
  • Možnosti nástroja perf boli rozšírené.
  • Pridané nové znakové rozhranie (/dev/vfio/devices/vfioX) do podsystému VFIO na správu zariadení VFIO, čo umožňuje používateľovi priamo otvárať súbor zariadenia bez prístupu k starému /dev/vfio/$ group interface groupID .
  • Server NFS už nepodporuje staršie typy šifrovania Kerberos, ktoré používajú algoritmy DES a 3DES.
  • Implementácia rodiny adries AF_XDP (eXpress Data Path) bola rozšírená o prácu s paketmi uloženými vo viacerých vyrovnávacích pamätiach.
  • Programy, ktoré používajú zásuvky AF_XDP, môžu teraz prijímať a odosielať pakety z viacerých vyrovnávacích pamätí naraz.
  • Príznak experimentálneho vývoja bol odstránený z modulu ksmbd, ktorý poskytuje implementáciu súborového servera na úrovni jadra na základe protokolu SMB3.
  • Pridaná podpora pre kombinovanie operácií čítania (dotazy „zloženého čítania“).

Nakoniec, ak máte záujem dozvedieť sa o ňom viac, podrobnosti si môžete prečítať v nasledujúci odkaz.


Zanechajte svoj komentár

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *

*

*

  1. Za údaje zodpovedá: AB Internet Networks 2008 SL
  2. Účel údajov: Kontrolný SPAM, správa komentárov.
  3. Legitimácia: Váš súhlas
  4. Oznamovanie údajov: Údaje nebudú poskytnuté tretím stranám, iba ak to vyplýva zo zákona.
  5. Ukladanie dát: Databáza hostená spoločnosťou Occentus Networks (EU)
  6. Práva: Svoje údaje môžete kedykoľvek obmedziť, obnoviť a vymazať.