Oracle Cloud Infrastructure-Dokumentation

Neue Funktionen und Änderungen in UEK 8U1

Die folgenden neuen Features, Verbesserungen und bemerkenswerten Änderungen werden in UEK 8U1 eingeführt.

Kernel-Version

UEK 8U1 wird zunächst mit der Version 6.12.0-100.28.2 des Kernels veröffentlicht.

dmesg-Härtung für Administratorberechtigungen

UEK 8U1 wird mit aktiviertem Flag SECURITY_DMESG_RESTRICT erstellt. Für die Ausführung des Befehls dmesg sind jetzt Administratorberechtigungen erforderlich, wenn auf einem System UEK 8U1 ausgeführt wird.

Dieses Update schützt das System vor uneingeschränktem Zugriff auf vertrauliche Informationen über das System. Verwenden Sie den Befehl sudo, um Administratorberechtigungen bei der Ausführung von dmesg zu erhalten.

Wenn Sie diese Einschränkung dringend deaktivieren müssen, können Sie sudo sysctl kernel.dmesg_restrict=0 ausführen, um die Einschränkung vorübergehend zu deaktivieren. Sie können auch den Konfigurationseintrag in einer Systemkonfigurationsdatei im Verzeichnis /etc/sysctl.d/ hinzufügen:

echo "kernel.dmesg_restrict = 0" | sudo tee /etc/sysctl.d/dmesg-restrict
sudo sysctl --system

Betrachten Sie das Sicherheitsrisiko, diese Einschränkung vorher zu deaktivieren, und bewerten Sie, ob es besser ist, diese Anforderung auf andere Weise zu lösen.

Aktualisierte Treiber

Gerätetreiber, die in UEK 8U1 enthalten sind, sind an den Treibern im vorgelagerten Mainline-Linux 6.12-Kernel ausgerichtet. Einige bemerkenswerte Updates sind enthalten, bei denen Treiber Funktionen oder Korrekturen enthalten, die in späteren Upstream-Kernelversionen verfügbar sind.

Viele Treibermodule verfolgen keine Versionsinformationen mehr. Oracle arbeitet mit Anbietern zusammen, um Gerätetreiber, die in UEK 8U1 enthalten sind, an dem in Upstream-Kernelversionen verfügbaren Code auszurichten.

In der folgenden Tabelle sind bemerkenswerte Treiberaktualisierungen aufgeführt:

Fahrerausrichtung
Treibermodul Treiberbeschreibung Ausgerichtete Kernelversion Wichtige Updates

megaraid_sas

Broadcom MegaRAID SAS-Treiber

6,15

Mehrere Fixes und Verbesserungen von 6.15 wurden in diesem Release zurückportiert. Beachten Sie, dass dieser Treiber eine Versionszeichenfolge enthält: 07.734.00.00-rc1

mgag200

HPE MGA G200 SE-Treiber

6,12

 Partner hat ein Update für neue iLO7-Geräte auf HPE Gen12-Servern bereitgestellt.

mpi3mr

Broadcom MPI3 Storage Controller Gerätetreiber

6,15

Mehrere Fixes und Verbesserungen von 6.15 wurden in diesem Release zurückportiert. Beachten Sie, dass dieser Treiber eine Versionszeichenfolge enthält: 8.13.0.5.50

mpt3sas

Broadcom LSI MPT Fusion SAS 3.0 Gerätetreiber

6,15

Mehrere Fixes und Verbesserungen von 6.15 wurden in diesem Release zurückportiert. Beachten Sie, dass dieser Treiber eine Versionszeichenfolge enthält: 52.100.00.00

Veraltete und entfernte Funktionen

Die folgenden Funktionen sind veraltet, wurden entfernt oder werden in UEK 8U1 nicht mehr unterstützt:

Veraltete Features

  • SHA-1 Algorithmus

    Der SHA-1-Algorithmus ist in UEK 8U1 im FIPS-Modus veraltet und wird in einem zukünftigen UEK-Release entfernt. Der SHA-1-Algorithmus wurde vom National Institute of Standard and Technology (NIST) eingestellt, da der SHA-1-Hash-Algorithmus nicht mehr als sicher gilt. Weitere Informationen zur Verwendung und Einstellung von SHA-1 finden Sie in den Oracle Linux-Versionshinweisen.

  • Kernel-Module, die in das kernel-uek-modules-deprecated-Package verschoben wurden, sind jetzt veraltet.

    Diese Module werden möglicherweise in einer zukünftigen UEK-Version entfernt.

    Eine detaillierte Auflistung finden Sie unter UEK 8 Module Deprecations (x86_64) und UEK 8 Module Deprecations (aarch64).

  • cgroupsv1 ist veraltet

    cgroupsv1 ist in Oracle Linux 9 veraltet und wird in einer Oracle Linux 10 entfernt.

  • XFS_SUPPORT_V4 ist veraltet

    Das V4-Dateisystemformat enthält bekannte Schwachstellen im Festplattenformat. Daher sollte die Option in UEK 8U1 nicht mehr verwendet werden und wird in einem zukünftigen UEK-Release entfernt.

    Sie können prüfen, ob das Dateisystem für die Verwendung von V4 formatiert ist, indem Sie den Befehl xfs_db -r -c version <device> ausführen.

    Wenn die Funktion aktiviert ist, müssen Sie Daten sichern, das Gerät neu formatieren und Daten wiederherstellen.

  • XFS_SUPPORT_ASCII_CI ist veraltet

    Die Funktion "XFS ASCII-Name ohne Beachtung der Groß-/Kleinschreibung" sollte in UEK 8U1 nicht mehr verwendet werden und wird in einem zukünftigen UEK-Release entfernt. Das Feature bot eine Option zur Formatierung eines XFS-Dateisystems, bei der die Option ascii-ci aktiviert ist, um die Groß-/Kleinschreibung zu deaktivieren.

    Mit dem Befehl xfs_info können Sie prüfen, ob die Funktion aktiviert ist.

    Wenn die Funktion aktiviert ist, müssen Sie Daten sichern, das Gerät mit deaktivierter Option neu formatieren und Daten wiederherstellen.

  • Die Optionen CONFIG_SECURITY_SELINUX_DISABLE und CONFIG_SECURITY_WRITABLE_HOOKS sind deaktiviert

    Die Option zum Deaktivieren von SELinux zur Laufzeit mithilfe der sysfs-Schnittstelle wird in dieser UEK-Version entfernt.

    Die bevorzugte Methode zum Deaktivieren von SELinux ist die Verwendung des Boot-Parameters selinux=0

Entfernte Features

  • Der uneingeschränkte Zugriff auf den Kernel-Ring-Puffer wird entfernt.

    Der nicht privilegierte Zugriff auf den Kernel-Ring-Puffer über die dmesg-Befehlsausgabe wird in dieser Version entfernt. Mit dem Befehl sudo können Sie bei der Ausführung des Befehls dmesg zu Administratorberechtigungen eskalieren. Siehe dmesg Hardening for Administrator Privileges.

  • Option CONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DES für 3DES/DES3 RPCSEC GSS-Verschlüsselungstypen ist deaktiviert

    Die RPCSEC GSS-Verschlüsselungstypen DES und Triple-DES (3DES/DES3) werden in dieser UEK-Version entfernt.

    Diese Verschlüsselungstypen wurden in den RFCs 6649 und 8429 nicht mehr unterstützt, da sie bekanntermaßen unsicher sind.

  • Die Optionen CONFIG_NFS_V2 und CONFIG_NFSD_V2 für NFSv2-Client und -Server sind deaktiviert

    Unterstützung für NFSv2-Clients und NFSv2-Server wird in diesem UEK-Release entfernt.

    NFSv2 wurde lange durch NFSv3 und NFSv4 ersetzt, die verbesserte Funktionalität, Performance und Sicherheit bieten.

  • Option CONFIG_NFS_DISABLE_UDP_SUPPORT für NFSv3 über UDP ist aktiviert

    Unterstützung für NFS Version 3 über das UDP-Netzwerkprotokoll wird in dieser UEK-Version entfernt.

    Moderne NFS/RPC-over-TCP- und RDMA-Implementierungen bieten eine bessere Performance als UDP und bieten eine zuverlässige geordnete Zustellung von Daten in Kombination mit Überlastungskontrolle.

    Beachten Sie, dass NFSv4 aus den gleichen Gründen bereits nicht über UDP unterstützt wird.

  • Option CONFIG_STAGING ist deaktiviert

    Die Kernel-Konfigurationsoption CONFIG_STAGING ist in UEK 8U1 deaktiviert. Die Kernel-Option stellte Treiber zur Verfügung, die nicht unbedingt die höchste Kernel-Qualitätsstufe erfüllen und für den Test verfügbar waren. Die Option sollte in UEK R7 nicht mehr verwendet werden und wird in UEK 8U1 entfernt.

  • Option CONFIG_IXGB ist deaktiviert

    Die CONFIG_IXGB für Intel PRO/10GbE-Hardware wird in dieser UEK-Version entfernt.

  • crashkernel=auto entfernt

    Die Option crashkernel=auto ist in UEK R7 veraltet und wird für Oracle Linux 9 nicht mehr unterstützt. Die Kernel-Option wird in UEK 8U1 entfernt. Weitere Informationen zum Konfigurieren der Einstellung crashkernel für Oracle Linux finden Sie unter Kernels verwalten und Systemstart unter Oracle Linux.

  • Option CONFIG_IP_NF_TARGET_CLUSTERIP ist deaktiviert

    Die Option CONFIG_IP_NF_TARGET_CLUSTERIP, mit der Sie Load Balancing-Cluster von Netzwerkservern ohne einen dedizierten Load Balancing-Router oder Switch erstellen konnten, wird zugunsten der Funktionalität entfernt, die bereits im Netfilter-Clusterabgleich enthalten ist.

  • Option CONFIG_EFI_VARS deaktiviert

    Die Option CONFIG_EFI_VARS, die für die Konfiguration von UEFI-Variablen die sysfs-Schnittstelle efivars bereitgestellt hat, wird aus diesem UEK-Release entfernt. Im Kernel gibt es seit 2012 Ersatzfunktionen. Weitere Informationen finden Sie unter https://www.kernel.org/doc/html/latest/filesystems/efivarfs.html.

  • Firewire-Treiber entfernt

    Die Option CONFIG_FIREWIRE ist in diesem UEK-Release deaktiviert.

  • Mehrere Netzwerkplaner-Module entfernt

    Die folgenden Netzwerk-Scheduler-Module sind in UEK R7 veraltet und werden jetzt in UEK 8U1 entfernt:

    • cls_tcindex
    • cls_rsvp
    • sch_dsmark
    • sch_atm
    • sch_cbq

  • resilient_rdmaip-Modul entfernt

    Das resilient_rdmaip-Modul war in UEK R7 veraltet und wurde jetzt entfernt.

  • oracleasm Kernel-Modul entfernt

    Das Kernelmodul oracleasm wird in UEK 8U1 entfernt. Beachten Sie, dass dieses Modul weiterhin in den UEK R5- und UEK R6-Releases unterstützt wird.

    Oracle ASMLib wird weiterhin mit io_uring-Schnittstellen unterstützt. Weitere Informationen finden Sie unter Oracle Linux: Oracle ASMLIB v3 installieren und konfigurieren.

  • sundance Kernel-Modul entfernt

    Der DLink Sundance (ST201), sundance-Treiber wird in UEK 8U1 entfernt. Das Modul wurde im Upstream-Kernel entfernt, weil es nicht erhalten wurde.

  • cpu5_wdt Kernel-Modul entfernt

    Der Watchdog-Treiber cpu5_wdt wird in UEK 8U1 entfernt. Das Modul wurde im Upstream-Kernel entfernt, da es mehrere Probleme hatte, die nicht gelöst waren und nicht gewartet wurden.

  • i2c-amd756-s4882 und i2c-nforce2-s4985 Kernel-Module entfernt

    Die Legacy-Muxing-Treiber i2c-amd756-s4882 und i2c-nforce2-s4985 werden in UEK 8U1 entfernt. Das Modul wurde im Upstream-Kernel entfernt, weil sie alt sind und technisch ungenauen Code enthalten.

  • Kryptografische Modi CONFIG_CRYPTO_OFB und CONFIG_CRYPTO_CFB

    Der für die TPM2-Kryptographie verwendete CFB-Modus (Cipher Feedback) (NIST SP800-38A) und der OFB-Modus (Output Feedback) (NIST SP800-38A), mit dem eine Blockchiffre in eine synchrone Streamchiffre umgewandelt wird, werden in UEK 8U1 entfernt, um sich an vorgelagerten Änderungen auszurichten.