Nuevas funciones y cambios en UEK R7U3

Nuevas funciones, mejoras y otros cambios notables que se introducen en UEK R7U3.

Versión del Núcleo

UEK R7U3 se lanzó inicialmente con la versión 5.15.0-300.163.18 del núcleo.

(aarch64) Tamaño de página base de 64k en el brazo

Además de la creación estándar de UEK para Arm (aarch64), que define un tamaño de página base de 4k, un paquete kernel-uek64k que define un tamaño de página base de 64k solo está disponible para unidades de computación basadas en Ampere Arm en Oracle Cloud Infrastructure. Para casos de uso distintos de OCI, el paquete kernel-uek64 solo está disponible como vista previa técnica.

El núcleo de tamaño de página de 64 k es una opción útil para plataformas Ampere (basadas en Arm) que procesan cargas de trabajo con juegos de datos de memoria grandes y contiguos, y pueden lograr un mejor rendimiento para algunos tipos de operaciones que requieren mucha memoria y CPU.

El núcleo de tamaño de página 4k es útil para entornos más pequeños, donde minimizar el uso de memoria física del sistema es una prioridad.

Tenga en cuenta que el núcleo de tamaño de página de 4 k y el núcleo de tamaño de página de 64 k no difieren en la experiencia del usuario, ya que el espacio de usuario es el mismo.

Después de instalar un sistema con kernel-uek64k, no se admite el cambio a un tamaño de página del núcleo de 4 k.

Instalación de kernel-uek64k

Nota

El único tamaño de página de las unidades de computación NVIDIA Grace está definido en 64 k por defecto. Opcionalmente, puede cambiar del tamaño de página por defecto de 4 k al tamaño de página de 64 k en las unidades Ampere.

Nota

La instalación de kernel-uek64k en sistemas fuera de Oracle Cloud Infrastructure (OCI) solo está disponible como vista previa técnica. No instale este núcleo en sistemas de producción fuera de OCI.

Para instalar kernel-uek64k en un sistema instalado con el tamaño de página 4k estándar kernel-uek:

Instale el paquete kernel-uek64k.
```
sudo dnf install -y kernel-uek64k
```
Defina el núcleo de tamaño de página de 64 k como núcleo predeterminado.
```
sudo grubby --set-default=$(echo /boot/vmlinuz*64k)
```
Tenga en cuenta que si tiene instalado más de un núcleo de página de 64 k, debe declarar explícitamente el núcleo que desea que sea el predeterminado. Por ejemplo:
```
sudo grubby --set-default=/boot/vmlinuz-5.15.0-306.177.4.1.el9uek.aarch64.64k
```
Reinicio del sistema.
```
sudo reboot
```
Después de reiniciar el sistema, verifique que el tamaño de la página sea de 64 k.
```
getconf PAGESIZE
```
Si PAGESIZE devuelve 65536, se carga el núcleo de 64 k. Si PAGESIZE devuelve 4096, el núcleo 4k se carga y debe comprobar que el núcleo predeterminado esté configurado correctamente.

También puede comprobar que el núcleo en ejecución contiene la cadena 64k, por ejemplo:
```
uname -a|grep 64k
```
Si el sistema está ejecutando el núcleo de 64 k, continúe con la eliminación de los paquetes del núcleo de tamaño de página de 4 k para evitar futuros conflictos.
```
sudo dnf erase kernel-uek-core
```

Conexiones cifradas TLS para NFS

RPC-Con-TLS está activado en el servidor y el cliente NFS de Linux. Esta actualización proporciona un mecanismo de autenticación de pares basado en estándares mediante una conexión cifrada mediante TLS. El protocolo de registro TLS lo maneja completamente kTLS.

Tenga en cuenta que tanto el sistema cliente como el servidor deben ejecutar UEK R7U3 o una versión posterior, o deben ejecutar un cliente de espacio de usuario y núcleo que admita RFC 9289 para usar esta funcionalidad. El paquete de espacio de usuario, ktls-utils, también es necesario y se debe instalar en los sistemas cliente y servidor. También asegúrese de haber instalado la versión más reciente del paquete nfs-utils o de haber realizado una actualización completa del sistema.

Oracle contribuye con RPC-With-TLS de forma ascendente y se describe en RFC 9289.

Opción de endurecimiento TIOCSTI

TIOCSTI es una llamada del sistema ioctl en el núcleo de Linux que permite a un proceso simular la entrada del terminal empujando caracteres a la cola de entrada para un TTY de control. Este mecanismo heredado puede ser abusado con fines maliciosos. Recomendamos desactivarla siempre en los sistemas que ejecutan Oracle Linux.

Reforzar un sistema desactivando TIOCSTI. Establezca el valor del parámetro sysfs dev.tty.legacy_tiocsti en 0. Por ejemplo, ejecute:

echo "dev.tty.legacy_tiocsti = 0" | sudo tee -a /etc/sysctl.d/50-tiocsti.conf
sudo sysctl -p /etc/sysctl.d/50-tiocsti.conf

Nota

Los procesos que se ejecutan con CAP_SYS_ADMIN, como BRLTTY, pueden utilizar TIOCSTI incluso cuando esta funcionalidad está desactivada.

BPF-LSM activado en el inicio

BPF-LSM, la capacidad de conectar programas de Berkeley Packet Filter (BPF) a los enlaces del módulo de seguridad (LSM) de Linux para implementar algunas mejoras de seguridad, está activada en todas las configuraciones del núcleo UEK R7, sin embargo, anteriormente se requería configurar la opción de línea de comandos de inicio lsm=bpf para usar la función.

En esta versión, bpf se agrega a CONFIG_LSM para que no sea necesario que se active manualmente en el inicio.

Puede comprobar que BPF se agrega al LSM ejecutando:

cat /sys/kernel/security/lsm

Nota

Esta función se activó en una versión de error UEK R7U3 y está disponible en kernel-UEK-5.15.0-315.196.5 y versiones posteriores.

Controladores actualizados

En estrecha cooperación con los proveedores de hardware y almacenamiento, Oracle ha actualizado varios controladores de dispositivos de las versiones en la versión mainline de Linux 5.15.0.

Muchos módulos de controladores ya no realizan un seguimiento de la información de la versión. Oracle colabora con los proveedores para alinear los controladores de dispositivos incluidos en UEK R7U3 con el código disponible en las versiones de núcleo ascendente.

Las actualizaciones de controladores notables se presentan en la siguiente tabla:

Alineación de conductores
Módulo del Controlador	Descripción del Controlador	Versión de núcleo alineada	Actualizaciones notables
`mlx5`	Adaptadores de red de 5ª generación NVIDIA (serie NVIDIA ConnectX) Core Driver	6,7	N/D
`lpfc`	Controlador de HBA de canal de fibra Emulex Broadcom	6,9	N/D
`qla2xxx`	Controlador HBA de canal de fibra de Marvell QLogic	6,1	N/D
`mpt3sas`	Controlador de dispositivo Broadcom (anteriormente LSI) MPT Fusion SAS 3.0	6,9	N/D
`megaraid_sas`	Controlador MegaRAID SAS de Broadcom	6,9	N/D
`mpi3mr`	Controlador de dispositivo de almacenamiento Broadcom MPI3	6,1	N/D
`smartpqi`	Controlador de familia inteligente Microchip	6,9	N/D
`bnxt_en`	Controlador de red Broadcom BCM573xx	6,8	El controlador ahora incluye parches para trabajar con el último chip BCM57608.
`mana`	Adaptador de red de Microsoft Azure	6,1	N/D

Funciones en desuso y eliminadas

Las siguientes funciones están en desuso o ya no están disponibles en: UEK R7U3:

El acceso sin restricciones al buffer de anillos del núcleo está en desuso.

El acceso sin privilegios al buffer de anillo del núcleo mediante la salida del comando dmesg está en desuso y se eliminará en una versión futura de UEK. Utilice el comando sudo para escalar a privilegios de administrador al ejecutar el comando dmesg. Para restringir el acceso al buffer de anillo del núcleo, establezca el parámetro kernel.dmesg_restrict sysfs en 1.
Opciones CONFIG_SECURITY_SELINUX_DISABLE y CONFIG_SECURITY_WRITABLE_HOOKS para desactivar SELinux en tiempo de ejecución

El nodo /sys/fs/selinux/disable del sistema de archivos SELinux (selinuxfs) permite desactivar SELinux en tiempo de ejecución antes de que se cargue una política en el núcleo. Si se desactiva mediante este mecanismo, SELinux permanece desactivado hasta que se reinicia el sistema.

La opción de desactivar SELinux en tiempo de ejecución dificulta la protección de los enlaces de LSM del núcleo mediante la función "__ro_after_init". Por lo tanto, estas opciones están en desuso en esta versión de UEK.

El método preferido para desactivar SELinux es mediante el parámetro de inicio selinux=0
Modos criptográficos CONFIG_CRYPTO_OFB y CONFIG_CRYPTO_CFB

El modo CFB (Cipher Feedback) (NIST SP800-38A) utilizado para la criptografía TPM2 y el modo OFB (Output Feedback) (NIST SP800-38A) utilizado para convertir un cifrado de bloque en un cifrado de flujo síncrono están en desuso en esta versión de UEK y pueden eliminarse del núcleo en una versión de UEK futura.
Opción CONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DES para tipos de cifrado 3DES/DES3 RPCSEC GSS

Los tipos de cifrado DES y Triple-DES (3DES/DES3) de RPCSEC GSS están en desuso en esta versión de UEK y pueden eliminarse del núcleo en futuras versiones de UEK.

Estos tipos de cifrado fueron obsoletos por los RFC 6649 y 8429 porque se sabe que son inseguros.
Opciones CONFIG_NFS_V2 y CONFIG_NFSD_V2 para cliente y servidor NFSv2
La compatibilidad con clientes NFSv2 y servidores NFSv2 está en desuso en esta versión de UEK y es posible que se elimine del núcleo en futuras versiones de UEK.

NFSv2 ha sido reemplazado durante mucho tiempo por NFSv3 y NFSv4, que ofrecen una funcionalidad, un rendimiento y una seguridad mejorados.
Opción CONFIG_NFS_DISABLE_UDP_SUPPORT para NFSv3 mediante UDP
La compatibilidad con NFS versión 3 mediante el protocolo de red UDP está en desuso en esta versión de UEK y es posible que se elimine del núcleo en futuras versiones de UEK.

Las implementaciones modernas de NFS/RPC sobre TCP y RDMA proporcionan un mejor rendimiento que el UDP, y proporcionan una entrega ordenada confiable de datos combinada con control de congestión.

Tenga en cuenta que NFSv4 ya no se admite en UDP, por los mismos motivos.
opción CONFIG_STAGING

Con la opción de configuración de núcleo CONFIG_STAGING, puede seleccionar controladores que no necesariamente cumplan con el nivel de calidad de núcleo más alto, pero que simplemente estén disponibles para uso de prueba. Sin embargo, la opción de núcleo CONFIG_STAGING está en desuso en esta versión de UEK y es posible que se elimine en futuras versiones.
opción CONFIG_IXGB
El hardware CONFIG_IXGB para Intel PRO/10GbE está en desuso y es posible que se elimine del núcleo en futuras versiones de UEK.
opción CONFIG_IP_NF_TARGET_CLUSTERIP
La opción CONFIG_IP_NF_TARGET_CLUSTERIP que le permitió crear clusters de equilibrio de carga de servidores de red sin un enrutador o conmutador de equilibrio de carga dedicado está en desuso en favor de la funcionalidad que ya coincide con el cluster de Netfilter.
opción CONFIG_EFI_VARS
La opción CONFIG_EFI_VARS que proporcionó la interfaz efivars sysfs para configurar variables UEFI se elimina del núcleo ascendente y está en desuso en esta versión de UEK. La funcionalidad de sustitución ha estado presente en el núcleo desde 2012. Para obtener más información, consulte https://www.kernel.org/doc/html/latest/filesystems/efivarfs.html.
Conductor de Firewire

La opción CONFIG_FIREWIRE se desactivó en Oracle Linux 9. Por lo tanto, el controlador Firewire está en desuso e inutilizable en esta versión de UEK.
opción crashkernel=auto

La opción crashkernel=auto está en desuso y ya no se admite en Oracle Linux 9 y, por lo tanto, no se admite para UEK R7 en Oracle Linux 9. Algunas plataformas, como la Raspberry Pi, tienen límites máximos para la reserva de memoria crashkernel y estos se deben especificar explícitamente. Esta opción se eliminará en futuras versiones de UEK.
Varios módulos del programador de red

Los siguientes módulos del programador de red están en desuso:
- cls_tcindex
- cls_rsvp
- sch_dsmark
- sch_atm
- sch_cbq
Estos módulos pueden estar desactivados o bloqueados y pueden eliminarse en futuras versiones de UEK. Los módulos ya se han eliminado en el núcleo de Linux ascendente.
Módulo resilient_rdmaip en desuso
El módulo resilient_rdmaip está en desuso en UEK R7. Este módulo se eliminará en futuras versiones de UEK.
Algoritmo SHA-1

El algoritmo SHA-1 está en desuso en UEK R7U3 mientras está en modo FIPS y se eliminará en futuras versiones de UEK. El algoritmo SHA-1 ha sido retirado por el Instituto Nacional de Estándares y Tecnología (NIST) porque el algoritmo hash SHA-1 ya no se considera seguro. Consulte las notas de la versión de Oracle Linux para obtener más información sobre SHA-1.

Documentación de Oracle Cloud Infrastructure