Neue Funktionen und Änderungen in UEK R7U3

UEK R7U3 wird zunächst mit der Version 5.15.0-300.163.18 des Kernels veröffentlicht.

Zusätzlich zum Standard-Build von UEK für Arm (aarch64), der eine Basisgröße von 4K-Seiten festlegt, ist ein kernel-uek64k-Package, das eine Basisseitengröße von 64K festlegt, nur für Ampere-Arm-basierte Compute-Ausprägungen in Oracle Cloud Infrastructure verfügbar. Bei anderen Anwendungsfällen als OCI ist das kernel-uek64-Package nur als technische Vorschau verfügbar.

Der Kernel mit 64k-Seitengröße ist eine nützliche Option für Ampere-(Arm-)Plattformen, die Workloads mit großen, zusammenhängenden Speicherdatensätzen verarbeiten und bei einigen Arten von speicher- und CPU-intensiven Vorgängen eine bessere Performance erzielen können.

Der Kernel mit 4K-Seitengröße ist für kleinere Umgebungen nützlich, bei denen die Minimierung der Speicherauslastung des physischen Systems eine Priorität ist.

Beachten Sie, dass sich der Kernel mit 4K-Seitengröße und der Kernel mit 64K-Seitengröße nicht in der Benutzererfahrung unterscheiden, da der Benutzerbereich gleich ist.

Nach der Installation eines Systems mit kernel-uek64k wird der Wechsel zu einer 4K-Kernelseitengröße nicht mehr unterstützt.

RPC-With-TLS ist auf dem Linux NFS-Server und -Client aktiviert. Dieses Update bietet einen standardbasierten Peer-Authentifizierungsmechanismus über eine verschlüsselte Verbindung mit TLS. Das Protokoll des TLS-Datensatzes wird vollständig von kTLS verarbeitet.

Beachten Sie, dass sowohl auf dem Server- als auch auf dem Clientsystem UEK R7U3 oder höher ausgeführt werden muss oder dass ein Kernel- und Benutzerbereichsclient ausgeführt werden muss, der RFC 9289 unterstützt, um diese Funktionalität verwenden zu können. Das User Space Package, ktls-utils, ist ebenfalls erforderlich und muss sowohl auf dem Client- als auch auf dem Serversystem installiert werden. Stellen Sie außerdem sicher, dass Sie die neueste Version des nfs-utils-Packages installiert oder ein vollständiges Systemupdate durchgeführt haben.

RPC-With-TLS wird von Oracle vorgelagert und in RFC 9289 beschrieben.

TIOCSTI ist ein ioctl-Systemaufruf im Linux-Kernel, mit dem ein Prozess die Terminaleingabe simulieren kann, indem Zeichen in die Eingabewarteschlange für ein steuerndes TTY übertragen werden. Dieser Legacy-Mechanismus kann zu böswilligen Zwecken missbraucht werden. Wir empfehlen, sie immer auf Systemen zu deaktivieren, auf denen Oracle Linux ausgeführt wird.

Härten Sie ein System, indem Sie TIOCSTI deaktivieren. Setzen Sie den Wert des sysfs-Parameters dev.tty.legacy_tiocsti auf 0. Beispiel:

echo "dev.tty.legacy_tiocsti = 0" | sudo tee -a /etc/sysctl.d/50-tiocsti.conf
sudo sysctl -p /etc/sysctl.d/50-tiocsti.conf

BPF-LSM, die Möglichkeit, Berkeley Packet Filter-(BPF-)Programme an Linux Security Module-(LSM-)Hooks anzuhängen, um einige Sicherheitsverbesserungen zu implementieren, ist in allen UEK R7-Kernelkonfigurationen aktiviert. Zuvor war jedoch die Einstellung der Befehlszeilenoption lsm=bpf erforderlich, um die Funktion zu verwenden.

In diesem Release wird bpf zu CONFIG_LSM hinzugefügt, sodass es beim Booten nicht manuell aktiviert werden muss.

Sie können prüfen, ob BPF zu LSM hinzugefügt wurde, indem Sie Folgendes ausführen:

cat /sys/kernel/security/lsm

In enger Zusammenarbeit mit Hardware- und Speicheranbietern hat Oracle mehrere Gerätetreiber aus den Versionen in Mainline Linux 5.15.0 aktualisiert.

Viele Treibermodule verfolgen keine Versionsinformationen mehr. Oracle arbeitet mit Anbietern zusammen, um Gerätetreiber, die in UEK R7U3 enthalten sind, an dem in Upstream-Kernelversionen verfügbaren Code auszurichten.

In der folgenden Tabelle sind bemerkenswerte Treiberaktualisierungen aufgeführt:

Die folgenden Funktionen sind veraltet oder nicht mehr verfügbar in: UEK R7U3:

• Der uneingeschränkte Zugriff auf den Kernel-Ring-Puffer ist veraltet.

  Der nicht privilegierte Zugriff auf den Kernel-Ring-Puffer über die dmesg-Befehlsausgabe ist veraltet und wird in einer zukünftigen UEK-Version entfernt. Mit dem Befehl sudo können Sie bei der Ausführung des Befehls dmesg zu Administratorberechtigungen eskalieren. Um den Zugriff auf den Kernel-Ring-Puffer einzuschränken, setzen Sie den Parameter kernel.dmesg_restrict sysfs auf 1.

• Optionen CONFIG_SECURITY_SELINUX_DISABLE und CONFIG_SECURITY_WRITABLE_HOOKS zum Deaktivieren von SELinux zur Laufzeit

  Mit dem Knoten /sys/fs/selinux/disable des SELinux-Dateisystems (selinuxfs) können Sie SELinux zur Laufzeit deaktivieren, bevor eine Policy in den Kernel geladen wird. Wenn Sie dieses Verfahren deaktivieren, bleibt SELinux so lange deaktiviert, bis das System neu gestartet wird.

  Die Option, SELinux zur Laufzeit zu deaktivieren, erschwert die Sicherung der LSM-Hooks des Kernels mit der Funktion "__ro_after_init". Daher sollten diese Optionen in diesem UEK-Release nicht mehr verwendet werden.

  Die bevorzugte Methode zum Deaktivieren von SELinux ist die Verwendung des Boot-Parameters selinux=0

• Kryptografische Modi CONFIG_CRYPTO_OFB und CONFIG_CRYPTO_CFB

  Der CFB-(Cipher Feedback-)Modus (NIST SP800-38A), der für die TPM2-Kryptografie verwendet wird, und der OFB-(Output Feedback-)Modus (NIST SP800-38A), mit dem eine Blockchiffre in eine synchrone Streamchiffre umgewandelt wird, sollten in diesem UEK-Release nicht mehr verwendet werden und werden möglicherweise in einem zukünftigen UEK-Release aus dem Kernel entfernt.

• Option CONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DES für 3DES/DES3 RPCSEC GSS-Verschlüsselungstypen

  Die RPCSEC GSS-Verschlüsselungstypen DES und Triple-DES (3DES/DES3) sind in diesem UEK-Release veraltet und werden in einem zukünftigen UEK-Release möglicherweise aus dem Kernel entfernt.

  Diese Verschlüsselungstypen wurden in den RFCs 6649 und 8429 nicht mehr unterstützt, da sie bekanntermaßen unsicher sind.

• Optionen CONFIG_NFS_V2 und CONFIG_NFSD_V2 für NFSv2-Client und -Server

  In diesem UEK-Release ist die Unterstützung für NFSv2-Clients und NFSv2-Server veraltet und wird in einem zukünftigen UEK-Release möglicherweise aus dem Kernel entfernt.

  NFSv2 wurde lange durch NFSv3 und NFSv4 ersetzt, die verbesserte Funktionalität, Performance und Sicherheit bieten.

• Option CONFIG_NFS_DISABLE_UDP_SUPPORT für NFSv3 über UDP

  Die Unterstützung für NFS Version 3 über das UDP-Netzwerkprotokoll ist in diesem UEK-Release veraltet und wird in einem zukünftigen UEK-Release möglicherweise aus dem Kernel entfernt.

  Moderne NFS/RPC-over-TCP- und RDMA-Implementierungen bieten eine bessere Performance als UDP und bieten eine zuverlässige geordnete Zustellung von Daten in Kombination mit Überlastungskontrolle.

  Beachten Sie, dass NFSv4 aus den gleichen Gründen bereits nicht über UDP unterstützt wird.

• Option CONFIG_STAGING

  Mit der Kernel-Konfigurationsoption CONFIG_STAGING können Sie Treiber auswählen, die nicht unbedingt die höchste Kernel-Qualitätsstufe erfüllen, sondern lediglich für die Testverwendung zur Verfügung gestellt werden. Die Kernel-Option CONFIG_STAGING ist in diesem UEK-Release jedoch veraltet und wird möglicherweise in einem zukünftigen Release entfernt.

• Option CONFIG_IXGB

  Die CONFIG_IXGB für Intel PRO/10GbE-Hardware ist veraltet und wird möglicherweise in einem zukünftigen UEK-Release aus dem Kernel entfernt.

• Option CONFIG_IP_NF_TARGET_CLUSTERIP

  Die Option CONFIG_IP_NF_TARGET_CLUSTERIP, mit der Sie Load Balancing-Cluster von Netzwerkservern ohne einen dedizierten Load Balancing-Router oder Switch erstellen konnten, ist zugunsten der Funktionalität veraltet, die bereits im Netfilter-Clusterabgleich enthalten ist.

• Option CONFIG_EFI_VARS

  Die Option CONFIG_EFI_VARS, die die sysfs-Schnittstelle efivars zur Konfiguration von UEFI-Variablen bereitgestellt hat, wird aus dem Upstream-Kernel entfernt und ist in diesem UEK-Release veraltet. Im Kernel gibt es seit 2012 Ersatzfunktionen. Weitere Informationen finden Sie unter https://www.kernel.org/doc/html/latest/filesystems/efivarfs.html.

• Firewire-Treiber

  Die Option CONFIG_FIREWIRE wurde in Oracle Linux 9 deaktiviert. Daher ist der Firewire-Treiber in dieser UEK-Version veraltet und nicht verwendbar.

• Option crashkernel=auto

  Die Option crashkernel=auto ist veraltet und wird auf Oracle Linux 9 nicht mehr unterstützt. Daher wird die Option für UEK R7 auf Oracle Linux 9 nicht mehr unterstützt. Einige Plattformen wie der Raspberry Pi haben maximale Limits für die crashkernel-Speicherreservierung, und diese müssen explizit angegeben werden. Diese Option wird in einem zukünftigen UEK-Release entfernt.

• Mehrere Netzwerkplanermodule

  Die folgenden Netzwerk-Scheduler-Module sind veraltet:

  • cls_tcindex
  • cls_rsvp
  • sch_dsmark
  • sch_atm
  • sch_cbq

  Diese Module können deaktiviert oder gesperrt werden und in einem zukünftigen UEK-Release entfernt werden. Die Module sind bereits im vorgelagerten Linux-Kernel entfernt.

• resilient_rdmaip-Modul veraltet

  Das Modul resilient_rdmaip ist in UEK R7 veraltet. Dieses Modul wird in einer zukünftigen UEK-Version entfernt.

• SHA-1 Algorithmus

  Der SHA-1-Algorithmus ist in UEK R7U3 im FIPS-Modus veraltet und wird in einem zukünftigen UEK-Release entfernt. Der SHA-1-Algorithmus wurde vom National Institute of Standard and Technology (NIST) eingestellt, da der SHA-1-Hash-Algorithmus nicht mehr als sicher gilt. Weitere Informationen zu SHA-1 finden Sie in den Versionshinweisen zu Oracle Linux.