Efter två månaders utveckling, Linus Torvalds meddelade för några dagar sedan lanseringen av den nya versionen av Linux-kärnan 5.11 och i den här nya versionen av de mest anmärkningsvärda ändringarna kan vi nämna stödet för Intel SGX-enklaver, ny mekanism för att fånga upp systemanrop, virtuell hjälpbuss, snabb filtrering av systemanrop i seccomp, avbrytande av underhåll av ia64-arkitekturen, förmågan för att inkapsla SCTP i UDP.
Den nya versionen fick 15480 1991 korrigeringar från 72-utvecklare, patchstorleken är XNUMX MB (Ändringar påverkade 12090 868,025 filer, 261,456 XNUMX rader med kod, XNUMX XNUMX rader har tagits bort). Cirka 46% av alla ändringar som infördes 5.11 är relaterade till enhetsdrivrutiner, cirka 16% av ändringarna är relaterade till uppdatering av den specifika koden för hårdvaruarkitekturer, 13% är relaterade till nätverksstacken, 3% är relaterade till filsystem och 4% är relaterade till de interna kärndelsystemen.
Huvudnyheter i Linux 5.11
I den här nya versionen av Linux Kernel 5.11 kan vi hitta det lagt till flera monteringsalternativ till Btrfs att använda när man återställer data från skadade filsystem, Förutom att ta bort stöd för det tidigare inaktuella "inode_cache" monteringsalternativet, var koden förberedd för att stödja block med metadata och data som är mindre än en sida (PAGE_SIZE), samt stöd för utrymmeallokering efter zoner.
Förutom det en ny mekanism har lagts till för att avlyssna systemanrop, baserat på prctl () och som gör det möjligt att kasta undantag från användarutrymmet när du öppnar ett specifikt systemanrop och efterliknar dess körning. Denna funktion begärs i Wine och Proton för att efterlikna Windows-systemanrop, vilket är nödvändigt för att säkerställa kompatibilitet med spel och program som direkt utför systemanrop utan att gå igenom Windows API (till exempel för att skydda mot obehörig användning).
För arkitektur RISC-V, stöd för minnesallokeringssystem för angränsande minnesallokator har lagts till (CMA), som är optimerad för att allokera stora angränsande minnesområden med hjälp av sidrörelsestekniken. För RISC-V, det finns också verktyg implementerade för att begränsa åtkomst till / dev / mem och redovisar avbrottstiden.
För system 32-bitars ARM, stöd för KASan felsökningsverktyg har lagts till (kärnadress sanering), som ger felavkänning när du arbetar med minne. För 64-bitars ARM har KASan-implementeringen flyttats för att använda MTE (MemTag) -taggar.
När det gäller virtualisering och säkerhet sticker systemanropet ut seccomp () som har lagt till stöd för snabbsvarsläge, vilket gör att du mycket snabbt kan avgöra om ett specifikt systemanrop tillåts eller nekas baserat på en bitmap med konstant åtgärd kopplad till processen, vilket inte kräver att en BPF-hanterare startas.
Vi kan också hitta några Integrerade kärnkomponenter för skapande och hantering av enklaver baserat på Intel SGX-teknik (Software Guard eXtensions), som tillåter applikationer att köra kod i isolerade och krypterade minnesområden, vars åtkomst till resten av systemet är begränsad.
För ARM64-system lades möjligheten att använda Memory Tagging Extension (MemTag) -taggar till för signalhanteringsminnesadresser. Användningen av MTE är aktiverad genom att ange alternativet SA_EXPOSE_TAGBITS i Sigaction () och låter dig verifiera riktigheten i användningen av pekare för att blockera utnyttjandet av sårbarheter.
Slutligen från kontrollernas sida, Stöd för Intel Maple Ridges första diskreta USB4-värdkontroller markerad, samt stöd för AMD "Green Sardine" APU: er (Ryzen 5000) och "Dimgrey Cavefish" GPU: er (Navi 2), samt initialt stöd för AMD Van Gogh APU: er med Zen 2-kärnor och RDNA 2 (Navi 2) GPU: er. Lagt till stöd för de nya Renoir APU-ID: erna (baserat på Zen 2 CPU och Vega GPU).
Nouveau-drivrutinen lägger till initialt stöd för NVIDIA GPU: er baserat på »Ampere» mikroarkitektur (GA100, GeForce RTX 30xx), för närvarande begränsad till videoläge-kontroller.
Jag såg att de gjorde en valentinförpliktelse i kärnan och jag satt kvar med ett ansikte, vad?