The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Компания Oracle опубликовала ядро Unbreakable Enterprise Kernel 6

03.04.2020 11:09

Компания Oracle представила первый стабильной выпуск Unbreakable Enterprise Kernel 6 (UEK R6), расширенной сборки ядра Linux, позиционируемой для использования в дистрибутиве Oracle Linux в качестве альтернативы штатному пакету с ядром из Red Hat Enterprise Linux. Ядро доступно только для архитектур x86_64 и ARM64 (aarch64). Исходные тексты ядра, включая разбивку на отдельные патчи, опубликованы в публичном Git-репозитории Oracle.

Пакет Unbreakable Enterprise Kernel 6 основан на ядре Linux 5.4 (UEK R5 базировался на ядре 4.14), которое дополнено новыми возможностями, оптимизациями и исправлениями, а также проверено на совместимость с большинством приложений, работающих в RHEL, и специально оптимизировано для работы с промышленным программным обеспечением и оборудованием Oracle. Установочные и src-пакеты с ядром UEK R6 подготовлены для Oracle Linux 7.x и 8.x. Поддержка ветки 6.x прекращена, для применения UEK R6 следует обновить систему до Oracle Linux 7 (нет никаких препятствий по использованию данного ядра в аналогичных версиях RHEL, CentOS и Scientific Linux).

Ключевые новшества Unbreakable Enterprise Kernel 6:

  • Расширенная поддержка систем на базе 64-разрядной архитектуры ARM (aarch64).
  • Реализована поддержка всех возможностей Cgroup v2.
  • Реализован фреймворк ktask для распараллеливания задач в ядре, потребляющих значительные ресурсы CPU. Например, при помощи ktask может быть организовано распараллеливание операций по очистке диапазонов страниц памяти или обработке списка inode;
  • Включена распараллеленная версия kswapd для обработки операций замены страниц памяти в асинхронном режиме, позволяя сократить число прямых (синхронных) операций замены. При уменьшении числа свободных страниц памяти kswapd выполняет сканирование для выявления неиспользуемых страниц, которые могут быть высвобождены.
  • Поддержка верификации целостности образа ядра и прошивок по цифровой подписи, при загрузке ядра при помощи механизма Kexec (загрузка ядра из уже загруженной системы).
  • Проведена оптимизация производительности системы управления виртуальной памятью, улучшена эффективность очистки станиц памяти и кэша, улучшена обработка обращений к не выделенным страницам памяти (page faults).
  • Расширена поддержка NVDIMM, указанная постоянная память теперь может использоваться в качестве традиционного ОЗУ.
  • Осуществлён переход на систему динамической отладки DTrace 2.0, которая переведена на использование подсистемы ядра eBPF. DTrace теперь работает поверх eBPF, по аналогии с тем, как поверх eBPF работают существующие в Linux инструменты трассировки.
  • Внесены улучшения в файловую систему OCFS2 (Oracle Cluster File System).
  • Улучшена поддержка файловой системы Btrfs. Добавлена возможность применения Btrfs на корневых разделах. В инсталлятор добавлена опция для выбора Btrfs при форматировании устройств. Добавлена возможность размещения файлов подкачки на разделах с Btrfs. В Btrfs добавлена поддержка сжатия с использованием алгоритма ZStandard.
  • Добавлена поддержка интерфейса для асинхронного ввода/вывода - io_uring, который примечателен поддержкой поллинга ввода/вывода и возможностью работы как с буферизацией, так и без буферизации. По производительности io_uring очень близок к SPDK и существенно опережает libaio при работе с включённым поллингом. Для использования io_uring в конечных приложениях, работающих в пространстве пользователя, подготовлена библиотека liburing, предоставляющая высокоуровневую обвязку над интерфейсом ядра;
  • Добавлена поддержка режима Adiantum для быстрого шифрования накопителей.
  • Добавлена поддержка сжатия с использованием алгоритма Zstandard (zstd).
  • В файловой системе ext4 задействованы 64-разрядные метки времени в полях суперблока.
  • В XFS включены средства для информирования о состоянии целостности ФС во время работы и получения статуса о выполнении fsck на лету.
  • TCP-стек по умолчанию переведён на модель "Early Departure Time" вместо "As Fast As Possible" при отправке пакетов. Для UDP включена поддержка GRO (Generic Receive Offload). Добавлена поддержка приёма и отправки TCP-пакетов в режиме zero-copy.
  • Задействована реализация протокола TLS на уровне ядра (KTLS), которая теперь может применяться не только для отправляемых, но и для принимаемых данных.
  • В качестве бэкенда для межсетевого экрана по умолчанию задействован nftables. Опционально добавлена поддержка bpfilter.
  • Добавлена поддержка подсистемы XDP (eXpress Data Path), позволяющей в Linux запускать BPF-программы на уровне сетевого драйвера с возможностью прямого доступа к DMA-буферу пакетов и на стадии до выделения буфера skbuff сетевым стеком.
  • Улучшен и включён при использовании UEFI Secure Boot режим Lockdown, который ограничивает доступ пользователя root к ядру и блокирует пути обхода UEFI Secure Boot. Например, в режиме lockdown ограничивается доступ к /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, отладочному режиму kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), некоторым интерфейсам ACPI и MSR-регистрам CPU, блокируются вызовы kexec_file и kexec_load, запрещается переход в спящий режим, лимитируется использование DMA для PCI-устройств, запрещается импорт кода ACPI из переменных EFI, не допускаются манипуляции с портами ввода/вывода, в том числе изменение номера прерывания и порта ввода/вывода для последовательного порта.
  • Добавлена поддержка расширенных инструкций IBRS (Enhanced Indirect Branch Restricted Speculation), которые позволяют адаптивно разрешать и запрещать спекулятивное выполнение инструкций во время обработки прерываний, системных вызовов и переключений контекста. При наличии поддержки Enhanced IBRS данный метод применяется для защиты от атак класса Spectre V2 вместо Retpoline, так как позволяет добиться более высокой производительности.
  • Улучшена защита в каталогах, доступных всем на запись. В подобных каталогах запрещено создания FIFO-файлов и файлов, принадлежащих пользователям, не совпадающим с владельцем каталога с флагом sticky.
  • По умолчанию на системах ARM включена рандомизация адресного пространства ядра на системах (KASLR). Для Aarch64 включена аутентификация указателей.
  • Добавлена поддержка "NVMe over Fabrics TCP".
  • Добавлен драйвер virtio-pmem, представляющий доступ к устройствам хранения, отражённым в физическое адресное пространство, таким как NVDIMM.


  1. Главная ссылка к новости (https://blogs.oracle.com/linux...)
  2. OpenNews: Компания Oracle объявила о доступности ядра Unbreakable Enterprise Kernel 5
  3. OpenNews: Компания Oracle объявила о доступности ядра Unbreakable Enterprise Kernel 4
  4. OpenNews: Компания Oracle представила релиз ядра Unbreakable Enterprise Kernel 3
  5. OpenNews: Доступен дистрибутив Oracle Linux 8.1
  6. OpenNews: Релиз ядра Linux 5.4
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/52670-unbreakable
Ключевые слова: unbreakable, kernel, oracle, linux
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (44) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:37, 03/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    А есть что-то подобное, но для BSD? Ну чтоб с таким же уровнем защиты, а не так, что просто неуловимый джо, как это всегда у BSD.
     
     
  • 2.2, DeerFriend (?), 12:40, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Есть gentoo.
    Выглядит как BSD, только на самом деле linux.
     
     
  • 3.4, Аноним (4), 12:46, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так генту это поддержка от васяна.
     
     
  • 4.8, Аноним (8), 13:31, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если быть точнее на прямую от линусяна.
     
  • 4.12, Аноним (12), 14:38, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Так генту это поддержка от васяна.

    Нет от васяна _всегда_ стоит денег.

     
     
  • 5.14, нах. (?), 14:46, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    да вы ж деньги возьмете и посоветуете все переставить, если перезагрузка не помогает
     
     
  • 6.20, Аноним (12), 17:16, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не все конторы являются майкрософтом.
     
     
  • 7.21, нах. (?), 17:29, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да, васянские гораздо, гораздо хуже.

     
     
  • 8.28, Аноним (28), 19:27, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, но к Генте это не относится ... текст свёрнут, показать
     
     
  • 9.36, нах. (?), 20:25, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    гордые, денег не возьмут, так предложат все пересобрать заново - ... текст свёрнут, показать
     
  • 4.15, Аноним (15), 15:29, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты не поверишь, но хромось собирается из генту. Так что патчей там хватает. Другое дело что это ролинг, со всемы вытекающими.
     
     
  • 5.24, Аноним (24), 17:47, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Другое дело что гугл сам может поддерживать ядро сам себе патчи писать, сам поддерживать безопасность, свои иксы могут даже написать, свой системд.
     
     
  • 6.37, нах. (?), 20:26, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    и главное - гугель совершенно не настроен с васяном этими патчами делиться, еще и разжевывая, в какой позе и как их нужно пользовать, а для каких оно ни разу не предназначалось.

     
  • 5.29, Аноним (28), 19:28, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А какие вытекающие для накатывающейся системы из стабильной ветки? Никаких. Иная винда и бубутну хуже переносят обновление.
     
  • 2.3, Аноним (4), 12:43, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    MacOS? Ядро Darwin?  
     
     
  • 3.5, ssh (ok), 13:20, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > MacOS? Ядро Darwin?

    С чего бы? Совсем иная область применения.

     
     
  • 4.11, нах. (?), 14:37, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    просили заshitу. С поддержкой tpm и нового модного ипхона вмонтированного прямо в клавиатуру - действительно все очень неплохо.

     
  • 2.10, Аноним (12), 14:37, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > А есть что-то подобное, но для BSD? Ну чтоб с таким же уровнем защиты

    При чем тут уровень защиты? Unbreakable — это маркетинговое "красное словцо", вообще-то.

     
     
  • 3.13, нах. (?), 14:45, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    ну, в принципе, да - ничего похожего на
    security.bsd.see_other_uids=0
    security.bsd.see_other_gids=0
    security.bsd.unprivileged_read_msgbuf=0
    security.bsd.unprivileged_proc_debug=0
    kern.randompid=
    security.bsd.stack_guard_page=1

    - а это практически изкоробочные настройки двухлетней давности (то есть надо нарочно выключать)

    Но зато у них есть модный-стильный-молодежный bpf во все места! (и дайте угадаю - отключать его использование хотя бы непривиллегированным юзером предполагается вручную тем кто откуда-то узнал что таки надо отключать).

    с другой стороны- с поддержкой tpm там традиционно хорошо, а во фре - традиционно плохо (без нее - тоже хорошо ;-)

     
     
  • 4.19, Аноним (12), 17:16, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > security.bsd.see_other_uids=0
    > security.bsd.see_other_gids=0

    Косметические фильтры всё-таки правильнее было бы вынести в группу security_through_obscurity.bsd.*

     
     
  • 5.22, нах. (?), 17:31, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    дааа, то ли дело ваш прекрасный kernel.unprivileged_bpf_disabled - сразу видно, надежно!

     
     
  • 6.25, Аноним (12), 18:11, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вы уже неоднократно демонстрировали, что являетесь крайне далёким от IT человеком.
    Тем забавнее выглядят ваши указания, кому как что делать.

    Воистину, лучше всех в управлении государством разбираются таксисты.

     
     
  • 7.27, Michael Shigorin (ok), 18:47, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >>> security.bsd.see_other_uids=0
    >>> security.bsd.see_other_gids=0
    >>> Косметические фильтры

    Вы это при случае расскажите solardiz -- ну, если между таксованием получится выяснить, это вообще кто такой.

    А человек, которому полезли диагноз ставить (поставив себе) -- проверяемо занимается ИТ и *nix с прошлого века, если знать или догадаться, кто это.

    (да, я в очень многом с ним не согласен, но ко многому после очистки от шелухи и эпатажа -- а порой и как есть -- нахожу стоящим прислушаться)

     
  • 5.53, анонн (ok), 11:53, 04/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> security.bsd.see_other_uids=0
    >> security.bsd.see_other_gids=0
    > Косметические фильтры всё-таки правильнее было бы вынести в группу security_through_obscurity.bsd.*

    https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=
    > author Vasiliy Kulikov <segooon@gmail.com> 2012-01-10 15:11:31 -0800
    > committer Linus Torvalds <torvalds@linux-foundation.org> 2012-01-10 16:30:54 -0800
    > hidepid=1 means users may not access any /proc/<pid>/ directories, but
    > their own.  Sensitive files like cmdline, sched*, status are now protected

    against other users.
    > It compicates intruder's task of gathering info about running
    > processes, whether some daemon runs with elevated privileges, whether
    > another user runs some sensitive program, whether other users run any
    > program at all, etc.

    Но вы продолжайте, продолжайте - че там какой-то Торвальдс против опеннетного Анонима!

     
  • 2.34, Аноним (34), 20:10, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    HardenedBSD на базе FreeBSD%)
     

  • 1.6, CHERTS (ok), 13:26, 03/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>Пакет Unbreakable Enterprise Kernel 6 основан на ядре Linux 5.4

    Эх как грустно, что не на основе ядра 5.6, куда добавили нативный WirenGuard

     
     
  • 2.7, Аноним (8), 13:31, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так в 5.4 его тоже бекпортировали.
     
  • 2.16, Аноним (15), 15:30, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ядро 5.6 - сырое 5.4 - текущий LTS в первую очередь тащат то что не ломается. Затем думают о фичах.
     
     
  • 3.31, Аноним (28), 19:29, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Очевидно, но невероятно? Тов. Капица, это Вы?
     

  • 1.17, Аноним (-), 16:44, 03/04/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     

     ....ответы скрыты (4)

  • 1.18, Аноним (18), 17:01, 03/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Ключевые новшества

    По отношению к предыдущему? А от обычного 5.4. LTS чем оно отличается?

     
  • 1.26, Онаним (?), 18:11, 03/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отличненько, теперь и на CentOS 8 можно вкрутить и юзать OCFS2, в ближайшее время будем тестировать.
     
     
  • 2.40, троллейбус из буханки (?), 20:29, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    но зачем?!

     
     
  • 3.44, Онаним (?), 23:02, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > но зачем?!

    Всё зависит от того, что у вас в кластере. Если shared storage и нужны низкие latency при доступе к файлам, вам примерно туда. Либо в CentOS/UEK, либо в OL/UEK.

     
     
  • 4.45, Онаним (?), 23:03, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ещё можно в GFS2, но для этой заразы нужно идеальную сеть, желательно в пределах одной стойки :)
     

  • 1.50, xtotec (?), 02:02, 04/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Попытался прикрутить на Centos7, а они проказники такие kernel-uek-firmware не выложили в http://yum.oracle.com/repo/OracleLinux/OL7/UEKR6/x86_64 ... Так что смотреть - смотри, а ставиться - пожалте бриться.
     
     
  • 2.54, нах. (?), 13:14, 05/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    подумаешь, бином ньютона - перепакуй редхатовское и гордо назови хуек-фирмваре.
    С тех пор как гордые кернел-девеляперы заявили о своей независимости от проклятой проприетарастской фирмвари, мистический смысл гоняться за единственноверной версией все равно пропал, а никакого другого и раньше, в общем-то, не было.


     
     
  • 3.55, xtotec (?), 14:07, 05/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не настолько оно мне упёрлось, чтобы так долго возиться - не ставится их рекомендованными методами - ну и флаг им в пресс-релиз. Исключительно из любопытства на тестовой ВМ...
     
     
  • 4.56, нах. (?), 14:13, 05/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    а чего там возиться - rpmbuild и дел-то на пять минут.
    Чисто поражть-посмотреть-как оно там унбрякает - раз уж не поленился скачать само ведро, я бы потратился. Ну или  --nodeps --force и руками симлинк ему создай, тоже, в общем, сойдет. Не догонишь так согреешься.

    Вон из парижу пишут - у них там родная орацловая версия ocfs2 с последними баг..патчами, так что эксперимент не то чтоб совсем и бесполезный.

    P.S. а этот файлик-то, чисто случайно - в основном репо не лежит?

     
     
  • 5.57, xtotec (?), 22:48, 05/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В основном не нашел (там только казённое, бекпортнутое из Rat Heart). Можно взять от предыдущего релиза и перепаковать, но лень.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру