Nouvelles fonctionnalités et changements dans UEK R7U3

UEK R7U3 est initialement sorti avec la version 5.15.0-300.163.18 du noyau.

Outre la version standard d'UEK pour ARM (aarch64), qui définit une taille de page de base de 4 Ko, un ensemble kernel-uek64k qui définit une taille de page de base de 64 Ko est disponible uniquement pour les formes de calcul basées sur ARM Ampere dans Oracle Cloud Infrastructure. Pour les cas d'utilisation autres qu'OCI, l'ensemble kernel-uek64 est disponible uniquement en tant que prévisualisation technique.

Le noyau de taille de page 64k est une option utile pour les plates-formes Ampere (basées sur ARM) qui traitent des charges de travail avec des jeux de données de mémoire contigus volumineux et peuvent obtenir de meilleures performances pour certains types d'opérations de mémoire et de CPU intensives.

Le noyau de taille de page 4K est utile pour les environnements plus petits, où la réduction de l'utilisation de la mémoire physique du système est une priorité.

Notez que le noyau de taille de page 4K et le noyau de taille de page 64K ne diffèrent pas dans l'expérience utilisateur car l'espace utilisateur est le même.

Une fois qu'un système est installé avec kernel-uek64k, le passage à une taille de page de noyau 4k n'est pas pris en charge.

RPC-With-TLS est activé sur le serveur et le client NFS Linux. Cette mise à jour fournit un mécanisme d'authentification par pair basé sur des normes sur une connexion chiffrée à l'aide de TLS. Le protocole TLS Record est entièrement géré par kTLS.

Notez que le serveur et les systèmes clients doivent exécuter UEK R7U3 ou une version ultérieure, ou doivent exécuter un noyau et un client d'espace utilisateur prenant en charge la RFC 9289, pour utiliser cette fonctionnalité. L'ensemble d'espace utilisateur, ktls-utils, est également requis et doit être installé sur les systèmes client et serveur. Assurez-vous également d'avoir installé la version la plus récente de l'ensemble nfs-utils ou d'avoir effectué une mise à jour complète du système.

La connexion d'appairage distant avec TLS est fournie en amont par Oracle et est décrite dans le document RFC 9289.

TIOCSTI est un appel système ioctl dans le noyau Linux qui permet à un processus de simuler une entrée de terminal en poussant des caractères dans la file d'attente d'entrée pour un TTY de contrôle. Ce mécanisme existant peut être utilisé à des fins malveillantes. Nous vous recommandons de toujours la désactiver sur des systèmes exécutant Oracle Linux.

Renforcez un système en désactivant TIOCSTI. Réglez la valeur du paramètre sysfs dev.tty.legacy_tiocsti à 0. Par exemple, exécutez :

echo "dev.tty.legacy_tiocsti = 0" | sudo tee -a /etc/sysctl.d/50-tiocsti.conf
sudo sysctl -p /etc/sysctl.d/50-tiocsti.conf

BPF-LSM, la possibilité d'attacher des programmes de filtre de paquets Berkeley (BPF) aux crochets du module de sécurité Linux (LSM) pour mettre en œuvre certaines améliorations de sécurité, est activée dans toutes les configurations de noyau UEK R7, mais il fallait auparavant définir l'option de ligne de commande d'initialisation lsm=bpf pour utiliser la fonction.

Dans cette version, bpf est ajouté à CONFIG_LSM afin qu'il n'ait pas besoin d'être activé manuellement au démarrage.

Vous pouvez vérifier que BPF est ajouté à LSM en exécutant :

cat /sys/kernel/security/lsm

En étroite collaboration avec les fournisseurs de matériel et de stockage, Oracle a mis à jour plusieurs pilotes de périphérique à partir des versions de la version principale de Linux 5.15.0.

De nombreux modules de pilote ne suivent plus les informations de version. Oracle travaille avec les fournisseurs pour aligner les pilotes de périphérique inclus dans UEK R7U3 avec le code disponible dans les versions de noyau en amont.

Les mises à jour notables des pilotes sont présentées dans le tableau suivant :

Les fonctions suivantes sont obsolètes ou ne sont plus disponibles dans : UEK R7U3 :

• L'accès illimité au tampon de la bague du noyau est obsolète.

  L'accès sans privilèges à la mémoire tampon de l'anneau du noyau au moyen de la sortie de commande dmesg est obsolète et sera supprimé dans une version future d'UEK. Utilisez la commande sudo pour escalader vers les privilèges d'administrateur lors de l'exécution de la commande dmesg. Pour restreindre l'accès à la mémoire tampon en anneau du noyau, réglez le paramètre sysfs kernel.dmesg_restrict à 1.

• Options CONFIG_SECURITY_SELINUX_DISABLE et CONFIG_SECURITY_WRITABLE_HOOKS pour désactiver SELinux lors de l'exécution

  Le noeud /sys/fs/selinux/disable du système de fichiers SELinux (selinuxfs) vous permet de désactiver SELinux lors de l'exécution avant le chargement d'une politique dans le noyau. Si ce mécanisme est désactivé, SELinux reste désactivé jusqu'à ce que le système soit redémarré.

  L'option de désactivation de SELinux lors de l'exécution rend difficile la sécurisation des crochets LSM du noyau à l'aide de la fonction "__ro_after_init". Par conséquent, ces options sont obsolètes dans cette version UEK.

  La méthode privilégiée pour désactiver SELinux consiste à utiliser le paramètre d'initialisation selinux=0

• Modes cryptographiques CONFIG_CRYPTO_OFB et CONFIG_CRYPTO_CFB

  Le mode CFB (Cipher Feedback) (NIST SP800-38A) utilisé pour la cryptographie TPM2 et le mode OFB (Output Feedback) (NIST SP800-38A) utilisé pour transformer un chiffrement par blocs en un chiffrement de flux synchrone sont obsolètes dans cette version UEK et peuvent être supprimés du noyau dans une prochaine version UEK.

• Option CONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DES pour les types de chiffrement GSS 3DES/DES3 RPCSEC

  Les types de chiffrement GSS RPCSEC DES et Triple-DES (3DES/DES3) sont obsolètes dans cette version UEK et pourraient être supprimés du noyau dans une version future UEK.

  Ces types de chiffrement étaient obsolètes par les RFC 6649 et 8429, car ils sont connus pour être non sécurisés.

• Options CONFIG_NFS_V2 et CONFIG_NFSD_V2 pour le client et le serveur NFSv2

  La prise en charge des clients NFSv2 et des serveurs NFSv2 est obsolète dans cette version UEK et pourrait être supprimée du noyau dans une version UEK future.

  NFSv2 a longtemps été remplacé par NFSv3 et NFSv4, qui offrent des fonctionnalités, des performances et une sécurité améliorées.

• Option CONFIG_NFS_DISABLE_UDP_SUPPORT pour NFSv3 sur UDP

  La prise en charge de NFS version 3 sur le protocole réseau UDP est obsolète dans cette version UEK et pourrait être supprimée du noyau dans une version UEK future.

  Les mises en œuvre modernes de NFS/RPC sur TCP et RDMA offrent de meilleures performances qu'UDP, et fournissent une livraison fiable et commandée des données combinée au contrôle de la congestion.

  Notez que NFSv4 n'est déjà pas pris en charge sur UDP, pour les mêmes raisons.

• Option CONFIG_STAGING

  Avec l'option de configuration du noyau CONFIG_STAGING, vous pouvez sélectionner des pilotes qui ne répondent pas nécessairement au niveau de qualité du noyau le plus élevé, mais qui sont simplement disponibles pour une utilisation à des fins de test. Toutefois, l'option de noyau CONFIG_STAGING est obsolète dans cette version UEK et pourrait être supprimée dans une version future.

• Option CONFIG_IXGB

  Le matériel CONFIG_IXGB pour Intel PRO/10GbE est obsolète et pourrait être supprimé du noyau dans une prochaine version UEK.

• Option CONFIG_IP_NF_TARGET_CLUSTERIP

  L'option CONFIG_IP_NF_TARGET_CLUSTERIP qui vous a permis de créer des grappes d'équilibrage de charge de serveurs réseau sans routeur ou commutateur dédié d'équilibrage de charge est obsolète au profit de la fonctionnalité déjà dans la correspondance de grappe Netfilter.

• Option CONFIG_EFI_VARS

  L'option CONFIG_EFI_VARS qui a fourni l'interface sysfs efivars pour configurer les variables UEFI est supprimée du noyau en amont et est obsolète dans cette version d'UEK. La fonctionnalité de remplacement est présente dans le noyau depuis 2012. Pour plus de renseignements, consultez la page https://www.kernel.org/doc/html/latest/filesystems/efivarfs.html.

• Pilote Firewire

  L'option CONFIG_FIREWIRE a été désactivée dans Oracle Linux 9. Ainsi, le pilote Firewire est obsolète et inutilisable dans cette version UEK.

• Option crashkernel=auto

  L'option crashkernel=auto est obsolète et n'est plus prise en charge sur Oracle Linux 9 et n'est donc pas prise en charge pour UEK R7 sur Oracle Linux 9. Certaines plates-formes, telles que le Raspberry Pi, ont des limites maximales pour la réservation de mémoire crashkernel et celles-ci doivent être spécifiées explicitement. Cette option sera supprimée dans une version future de l'UEK.

• Plusieurs modules de planificateur de réseau

  Les modules de programmateur de réseau suivants sont obsolètes :

  • cls_tcindex
  • cls_rsvp
  • sch_dsmark
  • sch_atm
  • sch_cbq

  Ces modules peuvent être désactivés ou mis en liste de blocage et peuvent être supprimés dans une version ultérieure d'UEK. Les modules sont déjà supprimés dans le noyau Linux en amont.

• Module resilient_rdmaip obsolète

  Le module resilient_rdmaip est obsolète dans UEK R7. Ce module sera supprimé dans une future version UEK.

• Algorithme SHA-1

  L'algorithme SHA-1 est obsolète dans UEK R7U3 alors qu'il est en mode FIPS et sera supprimé dans une prochaine version UEK. L'algorithme SHA-1 a été retiré par le National Institute of Standard and Technology (NIST) parce que l'algorithme de hachage SHA-1 n'est plus considéré comme sécurisé. Voir les notes de version d'Oracle Linux pour plus de détails sur SHA-1.