Oracle Cloud Infrastructure-Dokumentation

Neue Funktionen und Änderungen in UEK 8U2

Die folgenden neuen Features, Verbesserungen und bemerkenswerten Änderungen werden in UEK 8 eingeführt.

Kernel-Version

UEK 8U2 wird zunächst mit der Version 6.12.0-200.74.27 des Kernels veröffentlicht.

Implementierung des FIPS 140-3-Kernelmoduls

Ein neues Standalone-Kernelmodul FIPS 140 ist im Rahmen des Versuchs verfügbar, die FIPS 140-3-Kryptografische Modulgrenze neu zu entwerfen und zu verkleinern, indem eine stabile Kernel-Krypto-API in einem eigenständigen fips140.ko-Kernelmodul gekapselt wird.

Diese Änderung trägt dazu bei, die Trennung zwischen dem kryptografischen Modul und dem restlichen Kernel zu ermöglichen, sodass die FIPS-Zertifizierung auf das vom Kernel verwendete kryptografische Modul ausgerichtet werden kann. Diese Implementierung bedeutet, dass sich die kryptografische Modulgrenze nicht jedes Mal ändert, wenn der Kernel kompiliert wird, und bietet mehr Vertrauen in die Zertifizierung.

Die neue Implementierung integriert das Modul fips140.ko und den HMAC-Digest nach der Kompilierung in das Kernel-Image vmlinux. Der HMAC wird geprüft, wenn das Modul mit dem HMAC-Algorithmus aus der fips140.ko selbst geladen wird. Das Modul und sein Digest werden zusammen mit dem restlichen Kernel vom Bootloader in den Speicher geladen, wenn der FIPS-Modus aktiviert ist. Diese kryptografischen Komponenten können einfach aus dem Kernelimage zu Verifizierungszwecken extrahiert werden.

Hinweis

Diese Änderung ist transparent, und Sie aktivieren den FIPS-Modus weiter auf die gleiche Weise wie zuvor.

XFS Online-Reparatur

Die Reparatur von XFS-Online-Dateisystemen wird mit UEK 8U2 und höher unterstützt. In diesem Release wird das experimentelle Tag aus dem Tooling entfernt.

Mit dieser Funktion können Sie XFS-Dateisysteme prüfen und reparieren, während sie gemountet und voll einsatzbereit bleiben. Die Online-Reparatur von XFS kann Ausfallzeiten reduzieren und die Wartbarkeit für geschäftskritische und groß angelegte Bereitstellungen verbessern.

Die Reparatur von XFS-Onlinedateisystemen wird mit dem Utility xfs_scrub durchgeführt, das Metadatenbeschädigungen erkennen und korrigieren kann, ohne dass aktive Workloads ausgehängt oder unterbrochen werden müssen. Sie können xfs_scrub ausführen, um Dateisystemmetadaten wie Inodes, Verzeichnisse und Zuweisungsgruppen systematisch zu prüfen. Wenn Inkonsistenzen erkannt werden, bietet das Tool Optionen, um gezielte Reparaturen durchzuführen, während Sie online sind.

Um diese Funktion zu verwenden, stellen Sie sicher, dass das System UEK 8 oder höher und die neuesten XFS-Tools für den Benutzerbereich ausführt.

Siehe xfs_scrub(8) Handbuchseite. Siehe auch https://docs.kernel.org/filesystems/xfs/xfs-online-fsck-design.html.

Speicherzuordnungsprofil

Speicherzuweisungsprofilierung ist in UEK 8U2 verfügbar. Diese Funktion verfolgt die Speicherzuweisung, um bei der Überprüfung, wo Speicher verwendet wird und bei der Verfolgung von Speicherlecks zu helfen. Das Feature verwendet Code-Tagging, um zu verfolgen, wo Speicher zugewiesen wurde, wenn zugewiesener Speicher freigegeben wird, die Anzahl der Zuweisungen und die Menge des noch belegten Speichers.

Die Option ist standardmäßig deaktiviert, kann aber beim Booten mit dem Boot-Parameter aktiviert werden: 

sysctl.vm.mem_profiling=1

Sie greifen auf Laufzeitinformationen für das Speicherzuweisungsprofiling in /proc/allocinfo zu.

Weitere Informationen finden Sie unter https://docs.kernel.org/mm/allocation-profiling.html. Beachten Sie, dass die komprimierte Option für die Speicherzuweisungsprofilerstellung in UEK 8U2 nicht verfügbar ist.

Lightweight Guard-Seiten

In diesem Release werden Lightweight Guard-Seiten eingeführt, die eine Möglichkeit bieten, Bereiche des virtuellen Speichers zu markieren, sodass sie beim Zugriff Segmentierungsfehler (SIGSEGV) auslösen. Diese Funktion ist für Thread-Stacks und Userland-Speicherzuweisungen wichtig. Der Mechanismus wurde entwickelt, um Speicher-Overhead zu entfernen, indem Guard-Marker verwendet werden, anstatt virtuelle Speicherbereiche (VMAs) zu erstellen oder zu teilen.

Vor Lightweight Guard-Seiten wurde eine ähnliche Funktionalität erreicht, indem mmap(.., PROT_NONE) verwendet wurde, was zu einem Speicher-Overhead führte. Wenn Prozesse und Threads mit dieser Methode vertikal skaliert werden, steigt der Overhead. Darüber hinaus bleibt der Speicher, der auf diese Weise zugeordnet ist, für die Zuweisung zu Benutzerprozessen nicht verfügbar. Durch die Verwendung von Lightweight Guard-Seiten wird der Overhead vermieden und erhebliche Speicherzuwächse erzielt.

Das Update verwendet neue madvise()-Befehle:

  • MADV_GUARD_INSTALL installiert Guard-Marker und entfernt vorhandene Zuordnungen im Bereich. Die Installation gilt nur für Anonymous-Memory-Speicher und die Installation ist für spezielle, riesige oder gesperrte (gesperrte) VMAs nicht zulässig.
  • MADV_GUARD_REMOVE entfernt nur die Guard-Marker, sodass normale Mappings unverändert bleiben.

Bewachte Bereiche bleiben über MADV_DONTNEED oder MADV_FREE (garantierter Schutz bis zum Entfernen) bestehen, werden jedoch mit Prozess-Teardown oder expliziter Aufhebung der Zuordnung gelöscht.

AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP)

AMD Secure Encrypted Virtualization (SEV) und AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) sind Schlüsselkomponenten in AMDs Confidential Computing-Technologie. SEV ist eine hardwarebasierte Funktion, die den Speicher von virtuellen Maschinen verschlüsselt, die auf AMD EPYC-Prozessoren ausgeführt werden, um die Daten der VM vor unbefugtem Zugriff durch den Hypervisor-Host zu schützen, selbst wenn der Hypervisor-Host kompromittiert ist. SEV verwendet einen dedizierten Verschlüsselungsschlüssel für jede VM, die vom Prozessor verwaltet wird. SEV muss sowohl im Gastbetriebssystem als auch im KVM-Hypervisor-Host aktiviert sein, damit es funktioniert.

Bei Oracle Linux 9 und Oracle Linux 10 umfasst UEK 8U2 neben anderen Vektoren wie Side-Channel-Angriffen Gast- und Hypervisor-Unterstützung für SEV-SNP, wodurch böswillige Hypervisor-basierte Angriffe wie Datenwiedergabe und Speicherneuzuordnung verhindert werden können. SEV-SNP ist auf AMD E4-basierten Servern oder höher (Mailand) verfügbar. Für diese Funktion sind die neuesten Packageversionen edk2-ovmf und qemu erforderlich.

Hinweis

Confidential Computing mit SEV-SNP ist ein Feature für die technische Vorschau, wenn es außerhalb von Oracle Cloud Infrastructure (OCI) verwendet wird.

Intel Trust Domain Extensions (TDX)

Intel Trust Domain Extensions (TDX) ist die vertrauliche Computertechnologie von Intel, mit der vertrauenswürdige Ausführungsumgebungen bereitgestellt werden. TDX wird verwendet, um virtuelle Workloads in Trust-Domains (TDs) bereitzustellen und eine hardwarebasierte Isolierung bereitzustellen, indem Speicher verwaltet und verschlüsselt wird, um die Integrität und Vertraulichkeit der CPU-Status innerhalb von TDs aufrechtzuerhalten.

Bei Oracle Linux 9 und Oracle Linux 10 umfasst UEK 8U2 Gast- und Hypervisor-Unterstützung für TDX.

Weitere Informationen finden Sie unter https://www.intel.com/content/www/us/en/developer/tools/trust-domain-extensions/overview.html.

Hinweis

Confidential Computing mit TDX ist eine technische Vorschaufunktion, wenn es außerhalb von OCI verwendet wird.

CIFS-Client kann spezielle Dateien erstellen, einschließlich symbolischer Links in SMB-Aktien

Der Common Internet File System-(CIFS-)Client kann symbolische Links, Symlinks erstellen, die von Server Message Block (SMB), Network File System (NFS) und Windows Subsystem for Linux (WSL) erkannt werden. Verwenden Sie die Mountoption symlink=default|none|native|unix|mfsymlinks|sfu|nfs|wsl, um das Erstellen von Symlinks zu untersagen oder den Typ der Symlinks auszuwählen, die der Client erstellt.

Der Client kann auch andere spezielle Dateien erstellen, einschließlich Zeichengeräte, Blockgeräte, Pipes und Sockets. Diese Datei wird mit der Einhängeoption reparse=default|none|nfs|wsl als NFS- oder WSL-Repparse-Punkte erstellt. Um native Windows-Sockets zu erstellen, die von Windows-Anwendungen auf NTFS verwendet werden, verwenden Sie die Einhängeoption nativesocket.

Aktualisierte Treiber

Gerätetreiber, die in UEK 8U2 enthalten sind, sind an den Treibern im vorgelagerten Mainline-Linux 6.12-Kernel ausgerichtet. Einige bemerkenswerte Updates sind enthalten, bei denen Treiber Funktionen oder Korrekturen enthalten, die in späteren Upstream-Kernelversionen verfügbar sind.

Viele Treibermodule verfolgen keine Versionsinformationen mehr. Oracle arbeitet mit Anbietern zusammen, um Gerätetreiber, die in UEK 8U2 enthalten sind, an dem in Upstream-Kernelversionen verfügbaren Code auszurichten.

In der folgenden Tabelle sind bemerkenswerte Treiberaktualisierungen aufgeführt:

Fahrerausrichtung
Treibermodul Treiberbeschreibung Ausgerichtete Kernelversion Wichtige Updates

amd_hsmp

AMD HSMP-Plattform-Schnittstellentreiber

6,18

Updates von 6.18 wurden auf dieses Release zurückportiert. Vor allem Updates für AMD EPYC Zen6.

i40e

Intel Ethernet Connection XL710-Netzwerktreiber

6,12

Option mdd-auto-reset-vf hinzugefügt.

idxd

Intel Data Streaming Accelerator und In-Memory Analytics Accelerator - Allgemeiner Treiber

-

Bugfix für accel-config enable-wq.

ixgbe

Intel 10 Gigabit PCI Express Netzwerk Treiber

-

Treiber-Update für Netzwerkgeräte der Intel E610-Serie.

lpfc

Broadcom Emulex Fibre Channel HBA-Treiber

-

Treiber-Update für Broadcom Emulex LPe37000/LPe38000 Series 32Gb/64Gb Fibre Channel Adapter (Rev 11).

Treiberversion unter 14.4.0.12.

mlx5

NVIDIA Netzwerkadapter der 5. Generation (NVIDIA ConnectX-Serie) Core Driver

6,16

Mehrere Fixes und Verbesserungen von 6.16 wurden in diesem Release zurückportiert.

Veraltete und entfernte Funktionen

Die folgenden Funktionen sind veraltet, wurden entfernt oder werden in UEK 8 nicht mehr unterstützt:

Veraltete Features

  • SHA-1, SHA-224 und SHA3-224-Algorithmen

    Die SHA-1-, SHA-224- und SHA3-224-Algorithmen sollten in UEK 8 nicht mehr verwendet werden, während sie sich im FIPS-Modus befinden. Sie werden in einem zukünftigen UEK-Release entfernt. Diese Algorithmen wurden vom National Institute of Standard and Technology (NIST) eingestellt, weil sie nicht mehr als sicher gelten. Weitere Informationen zur Verwendung und Einstellung von SHA-1 finden Sie in den Oracle Linux-Versionshinweisen.

  • EZB-Algorithmus

    Der ECB-Algorithmus ist in UEK 8U2 im FIPS-Modus veraltet und wird in einem zukünftigen UEK-Release entfernt.

  • 112-Bit-Stärke RSA2048 und ffdhe2048(dh) Algorithmen

    RSA2048- und ffdhe2048(dh)-Algorithmen mit einer Stärke von 112 Bit sollten in UEK 8 nicht mehr verwendet werden, während sie sich im FIPS-Modus befinden. Sie werden in einer zukünftigen UEK-Version entfernt.

  • Kernel-Module, die in das kernel-uek-modules-deprecated-Package verschoben wurden, sind jetzt veraltet.

    Diese Module werden möglicherweise in einer zukünftigen UEK-Version entfernt.

    Eine detaillierte Auflistung finden Sie unter UEK 8 Module Deprecations (x86_64) und UEK 8 Module Deprecations (aarch64).

  • cgroupsv1 ist veraltet

    cgroupsv1 ist in Oracle Linux 9 veraltet und wird in einer Oracle Linux 10 entfernt.

  • XFS_SUPPORT_V4 ist veraltet

    Das V4-Dateisystemformat enthält bekannte Schwachstellen im Festplattenformat. Deshalb sollte die Option in UEK 8U2 nicht mehr verwendet werden und wird in einem zukünftigen UEK-Release entfernt.

    Sie können prüfen, ob das Dateisystem für die Verwendung von V4 formatiert ist, indem Sie den Befehl xfs_db -r -c version <device> ausführen.

    Wenn die Funktion aktiviert ist, müssen Sie Daten sichern, das Gerät neu formatieren und Daten wiederherstellen.

  • XFS_SUPPORT_ASCII_CI ist veraltet

    Die Funktion für XFS ASCII-Namen ohne Beachtung der Groß-/Kleinschreibung sollte in UEK 8 nicht mehr verwendet werden und wird in einem zukünftigen UEK-Release entfernt. Das Feature bot eine Option zur Formatierung eines XFS-Dateisystems, bei der die Option ascii-ci aktiviert ist, um die Groß-/Kleinschreibung zu deaktivieren.

    Mit dem Befehl xfs_info können Sie prüfen, ob die Funktion aktiviert ist.

    Wenn die Funktion aktiviert ist, müssen Sie Daten sichern, das Gerät mit deaktivierter Option neu formatieren und Daten wiederherstellen.

  • Die Optionen CONFIG_SECURITY_SELINUX_DISABLE und CONFIG_SECURITY_WRITABLE_HOOKS sind deaktiviert

    Die Option zum Deaktivieren von SELinux zur Laufzeit mithilfe der sysfs-Schnittstelle wird in dieser UEK-Version entfernt.

    Die bevorzugte Methode zum Deaktivieren von SELinux ist die Verwendung des Boot-Parameters selinux=0

  • NLM-Dateisperre mit NFSv3 ist veraltet

    Das Sperren von NLM-Dateien mit NFSv3 ist veraltet und wird in einem zukünftigen Release möglicherweise entfernt. Dateisperre ist in NFSv4 nicht verfügbar.

Entfernte Features

  • Der uneingeschränkte Zugriff auf den Kernel-Ring-Puffer wird entfernt.

    Der nicht privilegierte Zugriff auf den Kernel-Ring-Puffer über die dmesg-Befehlsausgabe wird in dieser Version entfernt. Mit dem Befehl sudo können Sie bei der Ausführung des Befehls dmesg zu Administratorberechtigungen eskalieren.

  • Option CONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DES für 3DES/DES3 RPCSEC GSS-Verschlüsselungstypen ist deaktiviert

    Die RPCSEC GSS-Verschlüsselungstypen DES und Triple-DES (3DES/DES3) werden in dieser UEK-Version entfernt.

    Diese Verschlüsselungstypen wurden in den RFCs 6649 und 8429 nicht mehr unterstützt, da sie bekanntermaßen unsicher sind.

  • Die Optionen CONFIG_NFS_V2 und CONFIG_NFSD_V2 für NFSv2-Client und -Server sind deaktiviert

    Unterstützung für NFSv2-Clients und NFSv2-Server wird in diesem UEK-Release entfernt.

    NFSv2 wurde lange durch NFSv3 und NFSv4 ersetzt, die verbesserte Funktionalität, Performance und Sicherheit bieten.

  • Option CONFIG_NFS_DISABLE_UDP_SUPPORT für NFSv3 über UDP ist aktiviert

    Unterstützung für NFS Version 3 über das UDP-Netzwerkprotokoll wird in dieser UEK-Version entfernt.

    Moderne NFS/RPC-over-TCP- und RDMA-Implementierungen bieten eine bessere Performance als UDP und bieten eine zuverlässige geordnete Zustellung von Daten in Kombination mit Überlastungskontrolle.

    Beachten Sie, dass NFSv4 aus den gleichen Gründen bereits nicht über UDP unterstützt wird.

  • Option CONFIG_STAGING ist deaktiviert

    Die Kernel-Konfigurationsoption CONFIG_STAGING ist in UEK 8U2 deaktiviert. Die Kernel-Option stellte Treiber zur Verfügung, die nicht unbedingt die höchste Kernel-Qualitätsstufe erfüllen und für den Test verfügbar waren. Die Option sollte in UEK R7 nicht mehr verwendet werden und wird in UEK 8 entfernt.

  • Option CONFIG_IXGB ist deaktiviert

    Die CONFIG_IXGB für Intel PRO/10GbE-Hardware wird in dieser UEK-Version entfernt.

  • crashkernel=auto entfernt

    Die Option crashkernel=auto ist in UEK R7 veraltet und wird für Oracle Linux 9 nicht mehr unterstützt. Die Kernel-Option wird in UEK 8 entfernt. Weitere Informationen zum Konfigurieren der Einstellung crashkernel für Oracle Linux finden Sie unter Kernels verwalten und Systemstart unter Oracle Linux.

  • Option CONFIG_IP_NF_TARGET_CLUSTERIP ist deaktiviert

    Die Option CONFIG_IP_NF_TARGET_CLUSTERIP, mit der Sie Load Balancing-Cluster von Netzwerkservern ohne einen dedizierten Load Balancing-Router oder Switch erstellen konnten, wird zugunsten der Funktionalität entfernt, die bereits im Netfilter-Clusterabgleich enthalten ist.

  • Option CONFIG_EFI_VARS deaktiviert

    Die Option CONFIG_EFI_VARS, die für die Konfiguration von UEFI-Variablen die sysfs-Schnittstelle efivars bereitgestellt hat, wird aus diesem UEK-Release entfernt. Im Kernel gibt es seit 2012 Ersatzfunktionen. Weitere Informationen finden Sie unter https://www.kernel.org/doc/html/latest/filesystems/efivarfs.html.

  • Firewire-Treiber entfernt

    Die Option CONFIG_FIREWIRE ist in diesem UEK-Release deaktiviert.

  • Mehrere Netzwerkplaner-Module entfernt

    Die folgenden Netzwerk-Scheduler-Module sind in UEK R7 veraltet und werden jetzt in UEK 8U2 entfernt:

    • cls_tcindex
    • cls_rsvp
    • sch_dsmark
    • sch_atm
    • sch_cbq

  • resilient_rdmaip-Modul entfernt

    Das resilient_rdmaip-Modul war in UEK R7 veraltet und wurde jetzt entfernt.

  • oracleasm Kernel-Modul entfernt

    Das Kernelmodul oracleasm wird in UEK 8 entfernt. Beachten Sie, dass dieses Modul weiterhin in den UEK R5- und UEK R6-Releases unterstützt wird.

    Oracle ASMLib wird weiterhin mit io_uring-Schnittstellen unterstützt. Weitere Informationen finden Sie unter Oracle Linux: Oracle ASMLIB v3 installieren und konfigurieren.

  • sundance Kernel-Modul entfernt

    Der DLink Sundance (ST201), sundance-Treiber wird in UEK 8 entfernt. Das Modul wurde im Upstream-Kernel entfernt, weil es nicht erhalten wurde.

  • cpu5_wdt Kernel-Modul entfernt

    Der Watchdog-Treiber cpu5_wdt wird in UEK 8 entfernt. Das Modul wurde im Upstream-Kernel entfernt, da es mehrere Probleme hatte, die nicht gelöst waren und nicht gewartet wurden.

  • i2c-amd756-s4882 und i2c-nforce2-s4985 Kernel-Module entfernt

    Die Legacy-Muxing-Treiber i2c-amd756-s4882 und i2c-nforce2-s4985 werden in UEK 8U2 entfernt. Das Modul wurde im Upstream-Kernel entfernt, weil sie alt sind und technisch ungenauen Code enthalten.

  • Kryptografische Modi CONFIG_CRYPTO_OFB und CONFIG_CRYPTO_CFB

    Der für die TPM2-Kryptographie verwendete CFB-Modus (Cipher Feedback) (NIST SP800-38A) und der OFB-Modus (Output Feedback) (NIST SP800-38A), mit dem eine Blockchiffre in eine synchrone Streamchiffre umgewandelt wird, werden in UEK 8U2 entfernt, um sich an vorgelagerten Änderungen auszurichten.