Documentación de Oracle Cloud Infrastructure

Nuevas características y cambios en UEK 8U2

Las siguientes nuevas funciones, mejoras y cambios notables se introducen en UEK 8.

Versión del Núcleo

UEK 8U2 se lanzó inicialmente con la versión 6.12.0-200.74.27 del núcleo.

Implementación del módulo de núcleo FIPS 140-3

Un nuevo módulo de núcleo independiente FIPS 140 está disponible como parte de un esfuerzo para rediseñar y reducir el límite del módulo criptográfico FIPS 140-3 mediante la encapsulación de una API criptográfica de núcleo estable dentro de un módulo de núcleo fips140.ko independiente.

Este cambio ayuda a proporcionar la separación entre el módulo criptográfico y el resto del núcleo, por lo que la certificación FIPS se puede dirigir al módulo criptográfico utilizado por el núcleo. Esta implementación significa que el límite del módulo criptográfico no cambia cada vez que se compila el núcleo y proporciona una mayor confianza en la certificación.

La nueva implementación incrusta el módulo fips140.ko y el resumen de HMAC en la imagen de núcleo vmlinux después de la compilación. El HMAC se comprueba cuando el módulo se carga mediante el algoritmo HMAC desde el propio fips140.ko. El cargador de inicio carga el módulo y su resumen en la memoria junto con el resto del núcleo cuando el modo FIPS está activado. Estos componentes criptográficos se pueden extraer fácilmente de la imagen del núcleo con fines de verificación.

Nota

Este cambio es transparente y continúa activando el modo FIPS de la misma manera que antes.

Reparación en línea de XFS

La reparación del sistema de archivos en línea XFS es compatible con UEK 8U2 y posteriores. En esta versión, la etiqueta experimental se elimina de las herramientas.

Puede utilizar esta función para comprobar y reparar los sistemas de archivos XFS mientras permanecen montados y completamente operativos. La reparación en línea de XFS puede reducir el tiempo de inactividad y mejorar la capacidad de mantenimiento para implementaciones de misión crítica y a gran escala.

La reparación del sistema de archivos en línea de XFS se realiza mediante la utilidad xfs_scrub, que puede detectar y corregir la corrupción de metadatos sin necesidad de desmontar ni interrumpir las cargas de trabajo activas. Puede ejecutar xfs_scrub para verificar sistemáticamente los metadatos del sistema de archivos, como inodes, directorios y grupos de asignación. Cuando se detectan inconsistencias, la herramienta proporciona opciones para realizar reparaciones específicas mientras está en línea.

Para utilizar esta función, asegúrese de que el sistema ejecute UEK 8 o posterior, y las últimas herramientas de espacio de usuario de XFS.

Consulte la página del manual xfs_scrub(8). Consulte también https://docs.kernel.org/filesystems/xfs/xfs-online-fsck-design.html.

Perfil de asignación de memoria

La creación de perfiles de asignación de memoria está disponible en UEK 8U2. Esta función realiza un seguimiento de la asignación de memoria para ayudar a revisar dónde se utiliza la memoria y cuándo se realiza un seguimiento de las fugas de memoria. La función utiliza el etiquetado de código para realizar un seguimiento de dónde se asignó la memoria, cuándo se libera la memoria asignada, el número de asignaciones y la cantidad de memoria que aún está en uso.

La opción está desactivada por defecto, pero se puede activar en el inicio mediante el parámetro de inicio: 

sysctl.vm.mem_profiling=1

Puede acceder a la información de tiempo de ejecución para la creación de perfiles de asignación de memoria en /proc/allocinfo.

Consulte https://docs.kernel.org/mm/allocation-profiling.html para obtener más información. Tenga en cuenta que la opción comprimida para la creación de perfiles de asignación de memoria no está disponible en UEK 8U2.

Páginas Guard ligeras

Esta versión presenta páginas de protección ligeras que proporcionan una forma de marcar regiones de memoria virtual para que disparen fallos de segmentación (SIGSEGV) cuando se accede. Esta función es importante para las pilas de threads y los asignadores de memoria del espacio de usuario. El mecanismo está diseñado para eliminar cualquier sobrecarga de memoria, mediante el uso de marcadores de protección en lugar de crear o dividir áreas de memoria virtual (VMA).

Antes de las páginas de protección ligeras, se lograba una funcionalidad similar mediante mmap(.., PROT_NONE), que generaba sobrecarga de memoria. A medida que los procesos y los threads se amplían mediante este método, la sobrecarga aumenta. Además, la memoria asignada de esta manera permanece no disponible para la asignación a los procesos de usuario. Mediante el uso de páginas de protección ligeras, se evita la sobrecarga y se logran ganancias significativas de memoria.

La actualización utiliza los nuevos comandos madvise():

  • MADV_GUARD_INSTALL instala marcadores de protección y elimina las asignaciones existentes en el rango. La instalación se aplica solo a la memoria anónima y la instalación no está permitida para VMA especiales, enormes o bloqueadas (mock'ed).
  • MADV_GUARD_REMOVE elimina sólo los marcadores de protección, manteniendo las asignaciones normales intactas.

Los rangos protegidos persisten en MADV_DONTNEED o MADV_FREE (protección garantizada hasta que se elimine), pero se borran con el desmontaje del proceso o la anulación de asignación explícita.

Virtualización cifrada segura de AMD: paginación anidada segura (SEV-SNP)

La virtualización cifrada segura (SEV) de AMD y la paginación anidada segura de virtualización cifrada de AMD (SEV-SNP) son componentes clave en la tecnología informática confidencial de AMD. SEV es una función basada en hardware que cifra la memoria de las máquinas virtuales que se ejecutan en procesadores AMD EPYC, para proteger los datos de la máquina virtual del acceso no autorizado por parte del host del hipervisor, incluso si el host del hipervisor se ve comprometido. SEV utiliza una clave de cifrado dedicada para cada máquina virtual, gestionada por el procesador. SEV debe estar activado tanto en el sistema operativo invitado como en el host del hipervisor de KVM para que funcione.

En Oracle Linux 9 y Oracle Linux 10, UEK 8U2 incluye soporte de invitado e hipervisor para SEV-SNP, que ayuda a prevenir ataques maliciosos basados en hipervisor, como la reproducción de datos y la reasignación de memoria, entre otros vectores, como los ataques de canal lateral. SEV-SNP está disponible en servidores basados en AMD E4 o posterior (Milan). Esta funcionalidad requiere las últimas versiones de los paquetes edk2-ovmf y qemu.

Nota

La informática confidencial que utiliza SEV-SNP es una función de vista previa técnica cuando se utiliza fuera de Oracle Cloud Infrastructure (OCI).

Extensiones de dominio de confianza de Intel (TDX)

Intel Trust Domain Extensions (TDX) es la tecnología informática confidencial de Intel utilizada para proporcionar entornos de ejecución de confianza. TDX se utiliza para desplegar cargas de trabajo virtuales en dominios de confianza (TD) para proporcionar aislamiento basado en hardware mediante la gestión y el cifrado de la memoria para mantener la integridad y la confidencialidad de los estados de la CPU en los TD.

En Oracle Linux 9 y Oracle Linux 10, UEK 8U2 incluye soporte de invitado e hipervisor para TDX.

Consulte https://www.intel.com/content/www/us/en/developer/tools/trust-domain-extensions/overview.html para obtener más información.

Nota

La computación confidencial mediante TDX es una función de vista previa técnica cuando se utiliza fuera de OCI.

El cliente CIFS puede crear archivos especiales, incluidos enlaces simbólicos en recursos compartidos de SMB

El cliente Common Internet File System (CIFS) puede crear enlaces simbólicos, enlaces simbólicos, que son reconocidos por Server Message Block (SMB), Network File System (NFS) y Windows Subsystem for Linux (WSL). Utilice la opción de montaje symlink=default|none|native|unix|mfsymlinks|sfu|nfs|wsl para no permitir la creación de enlaces simbólicos o para seleccionar el tipo de enlaces simbólicos que crea el cliente.

El cliente también puede crear otros archivos especiales, incluidos dispositivos de caracteres, dispositivos de bloques, tuberías y sockets. Estos archivos se crean como puntos de análisis NFS o WSL mediante la opción de montaje reparse=default|none|nfs|wsl. Para crear sockets nativos de Windows utilizados por las aplicaciones de Windows en NTFS, utilice la opción de montaje nativesocket.

Controladores actualizados

Los controladores de dispositivos incluidos en UEK 8U2 están alineados con los controladores en el núcleo mainline de Linux 6.12 ascendente. Se incluyen algunas actualizaciones notables en las que los controladores incluyen funcionalidades o correcciones disponibles en versiones posteriores del núcleo ascendente.

Muchos módulos de controladores ya no realizan un seguimiento de la información de la versión. Oracle colabora con los proveedores para alinear los controladores de dispositivos incluidos en UEK 8U2 con el código disponible en las versiones de núcleo ascendente.

Las actualizaciones de controladores notables se presentan en la siguiente tabla:

Alineación de conductores
Módulo del Controlador Descripción del Controlador Versión de núcleo alineada Actualizaciones notables

amd_hsmp

Controlador de interfaz de plataforma HSMP AMD

6,18

Las actualizaciones de la versión 6.18 se volvieron a admitir en esta versión. Actualizaciones principales para AMD EPYC Zen6.

i40e

Controlador de red Intel Ethernet Connection XL710

6,12

Se ha agregado la opción mdd-auto-reset-vf.

idxd

Acelerador de transmisión de datos Intel y acelerador de análisis en memoria Controlador común

-

Corrección de errores para accel-config enable-wq.

ixgbe

Controlador de red Intel PCI Express de 10 Gigabit

-

Actualización de controladores para la serie Intel E610 de dispositivos de red.

lpfc

Controlador de HBA de canal de fibra Emulex Broadcom

-

Actualización del controlador para adaptadores de canal de fibra Broadcom Emulex LPe37000/LPe38000 Series 32Gb/64Gb (rev 11).

Controlador versionado en 14.4.0.12.

mlx5

Adaptadores de red de 5ª generación NVIDIA (serie NVIDIA ConnectX) Core Driver

6,16

Varias correcciones y mejoras de la versión 6.16 fueron retroportadas en esta versión.

Funciones en desuso y eliminadas

Las siguientes funciones están en desuso, se eliminaron o ya no se admiten en UEK 8:

Funciones Anticuadas

  • Algoritmos SHA-1, SHA-224 y SHA3-224

    Los algoritmos SHA-1, SHA-224 y SHA3-224 están en desuso en UEK 8 mientras están en modo FIPS y se eliminarán en futuras versiones de UEK. Estos algoritmos han sido retirados por el Instituto Nacional de Estándares y Tecnología (NIST) porque ya no se consideran seguros. Consulte las notas de la versión de Oracle Linux para obtener más información sobre el uso de SHA-1 y el desuso.

  • Algoritmo de BCE

    El algoritmo de ECB está en desuso en UEK 8U2 mientras está en modo FIPS y se eliminará en futuras versiones de UEK.

  • Algoritmos de resistencia de 112 bits RSA2048 y ffdhe2048 (dh)

    Los algoritmos RSA2048 y ffdhe2048(dh) de 112 bits están en desuso en UEK 8 mientras están en modo FIPS y se eliminarán en futuras versiones de UEK.

  • Los módulos de núcleo movidos al paquete kernel-uek-modules-deprecated ahora están en desuso.

    Es posible que estos módulos se eliminen en futuras versiones de UEK.

    Consulte UEK 8 Module Deprecations (x86_64) y UEK 8 Module Deprecations (aarch64) para obtener una lista detallada.

  • cgroupsv1 está en desuso

    cgroupsv1 está obsoleto en Oracle Linux 9 y se elimina en Oracle Linux 10.

  • XFS_SUPPORT_V4 está en desuso

    El formato del sistema de archivos V4 contiene debilidades conocidas en el formato del disco. Por lo tanto, la opción está en desuso en UEK 8U2 y se eliminará en futuras versiones de UEK.

    Puede comprobar si el sistema de archivos tiene formato para utilizar V4 ejecutando el comando xfs_db -r -c version <device>.

    Si la función está activada, debe realizar una copia de seguridad de los datos, cambiar el formato del dispositivo y restaurar los datos.

  • XFS_SUPPORT_ASCII_CI está en desuso

    La función de nombres no sensibles a mayúsculas/minúsculas de XFS ASCII está en desuso en UEK 8 y se eliminará en futuras versiones de UEK. La función proporcionó una opción para dar formato a un sistema de archivos XFS con la opción ascii-ci activada para desactivar la sensibilidad a mayúsculas/minúsculas.

    Puede comprobar si la función está activada mediante el comando xfs_info.

    Si la función está activada, debe realizar una copia de seguridad de los datos, cambiar el formato del dispositivo con la opción desactivada y restaurar los datos.

  • Las opciones CONFIG_SECURITY_SELINUX_DISABLE y CONFIG_SECURITY_WRITABLE_HOOKS están desactivadas

    La opción para desactivar SELinux en tiempo de ejecución mediante la interfaz sysfs se elimina en esta versión de UEK.

    El método preferido para desactivar SELinux es mediante el parámetro de inicio selinux=0

  • El bloqueo de archivos NLM con NFSv3 está en desuso

    El bloqueo de archivos NLM con NFSv3 está en desuso y es posible que se elimine en futuras versiones. El bloqueo de archivos no está disponible en NFSv4.

Funciones eliminadas

  • Se elimina el acceso sin restricciones al buffer de anillos del núcleo.

    El acceso sin privilegios al buffer de anillo del núcleo mediante la salida del comando dmesg se elimina en esta versión. Utilice el comando sudo para escalar a privilegios de administrador al ejecutar el comando dmesg.

  • La opción CONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DES para los tipos de cifrado 3DES/DES3 RPCSEC GSS está desactivada

    Los tipos de cifrado DES y Triple-DES (3DES/DES3) de RPCSEC GSS se eliminan en esta versión de UEK.

    Estos tipos de cifrado fueron obsoletos por los RFC 6649 y 8429 porque se sabe que son inseguros.

  • Las opciones CONFIG_NFS_V2 y CONFIG_NFSD_V2 para el cliente y el servidor NFSv2 están desactivadas

    La compatibilidad con clientes NFSv2 y servidores NFSv2 se elimina en esta versión de UEK.

    NFSv2 ha sido reemplazado durante mucho tiempo por NFSv3 y NFSv4, que ofrecen una funcionalidad, un rendimiento y una seguridad mejorados.

  • La opción CONFIG_NFS_DISABLE_UDP_SUPPORT para NFSv3 mediante UDP está activada

    La compatibilidad con NFS versión 3 mediante el protocolo de red UDP se elimina en esta versión de UEK.

    Las implementaciones modernas de NFS/RPC sobre TCP y RDMA proporcionan un mejor rendimiento que el UDP, y proporcionan una entrega ordenada confiable de datos combinada con control de congestión.

    Tenga en cuenta que NFSv4 ya no se admite en UDP, por los mismos motivos.

  • La opción CONFIG_STAGING está desactivada

    La opción de configuración del núcleo CONFIG_STAGING está desactivada en UEK 8U2. La opción de núcleo puso a disposición controladores que no necesariamente cumplen con el nivel de calidad de núcleo más alto y que estaban disponibles para uso de prueba. La opción estaba en desuso en UEK R7 y se elimina en UEK 8.

  • La opción CONFIG_IXGB está desactivada

    El hardware CONFIG_IXGB para Intel PRO/10GbE se elimina en esta versión de UEK.

  • crashkernel=auto eliminado

    La opción crashkernel=auto estaba en desuso en UEK R7 y no se admitía para Oracle Linux 9. La opción de núcleo se elimina en UEK 8. Para obtener más información sobre la configuración de crashkernel en Oracle Linux, consulte Managing Kernels and System Boot on Oracle Linux.

  • La opción CONFIG_IP_NF_TARGET_CLUSTERIP está desactivada

    La opción CONFIG_IP_NF_TARGET_CLUSTERIP que le permitió crear clusters de equilibrio de carga de servidores de red sin un enrutador o conmutador de equilibrio de carga dedicado se elimina en favor de la funcionalidad que ya está en la coincidencia de cluster de Netfilter.

  • Opción CONFIG_EFI_VARS desactivada

    La opción CONFIG_EFI_VARS que proporcionó la interfaz efivars sysfs para configurar variables UEFI se elimina de esta versión de UEK. La funcionalidad de sustitución ha estado presente en el núcleo desde 2012. Para obtener más información, consulte https://www.kernel.org/doc/html/latest/filesystems/efivarfs.html.

  • Se quitó el controlador Firewire

    La opción CONFIG_FIREWIRE está desactivada en esta versión de UEK.

  • Se han eliminado varios módulos del programador de red

    Los siguientes módulos del programador de red quedaron en desuso en UEK R7 y ahora se eliminan en UEK 8U2:

    • cls_tcindex
    • cls_rsvp
    • sch_dsmark
    • sch_atm
    • sch_cbq

  • Módulo resilient_rdmaip eliminado

    El módulo resilient_rdmaip estaba en desuso en UEK R7 y ahora se elimina.

  • oracleasm Módulo de núcleo eliminado

    El módulo de núcleo oracleasm se elimina en UEK 8. Tenga en cuenta que este módulo sigue siendo compatible con las versiones UEK R5 y UEK R6.

    Oracle ASMLib sigue siendo compatible con las interfaces io_uring. Consulte Oracle Linux: Instalación y configuración de Oracle ASMLIB v3 para obtener más información.

  • sundance Módulo de núcleo eliminado

    El controlador DLink Sundance (ST201), sundance, se elimina en UEK 8. El módulo se eliminó en el núcleo ascendente porque no se mantuvo.

  • cpu5_wdt Módulo de núcleo eliminado

    El controlador de vigilancia cpu5_wdt se elimina en UEK 8. El módulo se eliminó en el núcleo ascendente porque tenía varios problemas que no estaban resueltos y carecían de mantenimiento.

  • Módulos de núcleo i2c-amd756-s4882 y i2c-nforce2-s4985 eliminados

    Los controladores de muxing heredados i2c-amd756-s4882 y i2c-nforce2-s4985 se eliminan en UEK 8U2. El módulo se eliminó en el núcleo ascendente porque son antiguos y contienen código técnicamente inexacto.

  • Modos criptográficos CONFIG_CRYPTO_OFB y CONFIG_CRYPTO_CFB

    El modo CFB (Comentarios de cifrado) (NIST SP800-38A) utilizado para la criptografía TPM2 y el modo OFB (Comentarios de salida) (NIST SP800-38A) utilizado para convertir un cifrado de bloque en un cifrado de flujo síncrono se eliminan en UEK 8U2, para alinearse con los cambios ascendentes.