Documentation sur Oracle Cloud Infrastructure

Nouvelles fonctionnalités et changements dans UEK 8U2

Les nouvelles fonctionnalités, améliorations et modifications notables suivantes sont introduites dans UEK 8.

Version du noyau

UEK 8U2 est initialement sorti avec la version 6.12.0-200.74.27 du noyau.

Mise en oeuvre du module du noyau FIPS 140-3

Un nouveau module de noyau autonome FIPS 140 est disponible dans le cadre d'un effort de refonte et de réduction de la limite du module cryptographique FIPS 140-3 en encapsulant une API cryptographique de noyau stable dans un module de noyau fips140.ko autonome.

Ce changement contribue à assurer la séparation entre le module cryptographique et le reste du noyau, de sorte que la certification FIPS peut être ciblée sur le module cryptographique utilisé par le noyau. Cette mise en oeuvre signifie que la limite du module cryptographique ne change pas chaque fois que le noyau est compilé et offre une plus grande confiance dans la certification.

La nouvelle mise en oeuvre intègre le module fips140.ko et le condensé HMAC dans l'image du noyau vmlinux après la compilation. Le HMAC est vérifié lorsque le module est chargé à l'aide de l'algorithme HMAC à partir de fips140.ko lui-même. Le module et son condensé sont chargés en mémoire le long du reste du noyau par le chargeur de démarrage lorsque le mode FIPS est activé. Ces composants cryptographiques peuvent facilement être extraits de l'image du noyau à des fins de vérification.

Note

Cette modification est transparente et vous continuez à activer le mode FIPS de la même manière qu'auparavant.

Réparation en ligne XFS

La réparation du système de fichiers en ligne XFS est prise en charge avec UEK 8U2 et versions ultérieures. Dans cette version, l'étiquette expérimentale est retirée de l'outillage.

Vous pouvez utiliser cette fonctionnalité pour vérifier et réparer les systèmes de fichiers XFS pendant qu'ils restent montés et pleinement opérationnels. La réparation en ligne XFS peut réduire les temps d'arrêt et améliorer la maintenabilité pour les déploiements critiques et à grande échelle.

La réparation du système de fichiers en ligne XFS est réalisée à l'aide de l'utilitaire xfs_scrub, qui peut détecter et corriger la corruption des métadonnées sans nécessiter de démontage ou d'interruption des charges de travail actives. Vous pouvez exécuter xfs_scrub pour vérifier systématiquement les métadonnées du système de fichiers telles que les inodes, les répertoires et les groupes d'affectation. Lorsque des incohérences sont détectées, l'outil fournit des options pour effectuer des réparations ciblées en ligne.

Pour utiliser cette fonctionnalité, assurez-vous que le système exécute UEK 8 ou une version ultérieure, ainsi que les derniers outils d'espace utilisateur XFS.

Consultez la page de manuel xfs_scrub(8). Voir aussi https://docs.kernel.org/filesystems/xfs/xfs-online-fsck-design.html.

Profilage de l'affectation de mémoire

Le profilage de l'allocation de mémoire est disponible dans UEK 8U2. Cette fonctionnalité suit l'allocation de mémoire pour vous aider à vérifier où la mémoire est utilisée et à détecter les fuites de mémoire. La fonctionnalité utilise le balisage de code pour suivre où la mémoire a été allouée, lorsque la mémoire allouée est libérée, le nombre d'allocations et la quantité de mémoire encore utilisée.

L'option est désactivée par défaut, mais peut être activée au démarrage à l'aide du paramètre de démarrage : 

sysctl.vm.mem_profiling=1

Vous accédez aux informations d'exécution pour le profilage de l'affectation de mémoire dans /proc/allocinfo.

Pour plus d'informations, voir https://docs.kernel.org/mm/allocation-profiling.html. Notez que l'option compressée pour le profilage d'allocation de mémoire n'est pas disponible dans UEK 8U2.

Pages de garde légères

Cette version introduit des pages de garde légères qui fournissent un moyen de marquer des régions de mémoire virtuelle afin qu'elles déclenchent des erreurs de segmentation (SIGSEGV) lors de l'accès. Cette fonctionnalité est importante pour les piles de threads et les répartiteurs de mémoire userland. Le mécanisme est conçu pour supprimer toute surcharge de mémoire, en utilisant des marqueurs de garde plutôt que de créer ou de fractionner des zones de mémoire virtuelle (ZMV).

Avant les pages de protection légères, une fonctionnalité similaire était obtenue à l'aide de mmap(.., PROT_NONE), ce qui entraînait une surcharge de mémoire. À mesure que les processus et les threads évoluent avec cette méthode, les frais généraux augmentent. De plus, la mémoire ainsi mappée reste indisponible pour l'affectation aux processus utilisateur. En utilisant des pages de garde légères, la surcharge est évitée et des gains de mémoire importants sont obtenus.

La mise à jour utilise les nouvelles commandes madvise() :

  • MADV_GUARD_INSTALL installe des marqueurs de protection et supprime les mappages existants dans l'intervalle. L'installation s'applique uniquement à la mémoire anonyme et l'installation n'est pas autorisée pour les VMAs spéciaux, énormes ou verrouillés.
  • MADV_GUARD_REMOVE supprime uniquement les marqueurs de garde, en gardant les mappages normaux intacts.

Les plages protégées persistent sur MADV_DONTNEED ou MADV_FREE (protection garantie jusqu'à ce qu'elles soient supprimées), mais elles sont effacées par démontage de processus ou annulation explicite du mappage.

AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP)

AMD Secure Encrypted Virtualization (SEV) et AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) sont des composants clés de la technologie informatique confidentielle d'AMD. SEV est une fonction matérielle qui chiffre la mémoire des machines virtuelles exécutées sur les processeurs AMD EPYC afin de protéger les données de la machine virtuelle contre tout accès non autorisé par l'hôte de l'hyperviseur, même si l'hôte de l'hyperviseur est compromis. SEV utilise une clé de chiffrement dédiée pour chaque machine virtuelle, gérée par le processeur. SEV doit être activé à la fois dans le système d'exploitation invité et dans l'hôte de l'hyperviseur KVM pour fonctionner.

Sur Oracle Linux 9 et Oracle Linux 10, UEK 8U2 inclut la prise en charge des invités et des hyperviseurs pour SEV-SNP, ce qui aide à prévenir les attaques malveillantes basées sur un hyperviseur, telles que la réexécution des données et le remappage de la mémoire, entre autres vecteurs tels que les attaques de canal latéral. SEV-SNP est disponible sur les serveurs AMD E4 ou version ultérieure (Milan). Cette fonctionnalité nécessite les dernières versions des ensembles edk2-ovmf et qemu.

Note

Le calcul confidentiel à l'aide de SEV-SNP est une fonction de prévisualisation technique lorsqu'elle est utilisée en dehors d'Oracle Cloud Infrastructure (OCI).

Extensions de domaine Intel Trust (TDX)

Intel Trust Domain Extensions (TDX) est la technologie informatique confidentielle d'Intel utilisée pour fournir des environnements d'exécution fiables. TDX est utilisé pour déployer des charges de travail virtuelles dans des domaines approuvés (TD) afin de fournir une isolation matérielle en gérant et en chiffrant la mémoire afin de maintenir l'intégrité et la confidentialité des états CPU au sein des TD.

Sur Oracle Linux 9 et Oracle Linux 10, UEK 8U2 comprend la prise en charge des invités et des hyperviseurs pour TDX.

Pour plus d'informations, voir https://www.intel.com/content/www/us/en/developer/tools/trust-domain-extensions/overview.html.

Note

Le calcul confidentiel à l'aide de TDX est une fonction de prévisualisation technique lorsqu'il est utilisé en dehors d'OCI.

Le client CIFS peut créer des fichiers spéciaux incluant des liens symboliques dans des partages SMB

The Common Internet File System (CIFS) client can create symbolic links, symlinks, that are recognized by Server Message Block (SMB), Network File System (NFS) and Windows Subsystem for Linux (WSL). Utilisez l'option de montage symlink=default|none|native|unix|mfsymlinks|sfu|nfs|wsl pour interdire la création de liens symlinks ou pour sélectionner le type de liens symlinks que le client crée.

Le client peut également créer d'autres fichiers spéciaux, notamment des périphériques de caractères, des périphériques de bloc, des tuyaux et des sockets. Ces fichiers sont créés en tant que points d'analyse NFS ou WSL à l'aide de l'option de montage reparse=default|none|nfs|wsl. Pour créer des sockets Windows natifs utilisés par les applications Windows sur NTFS, utilisez l'option de montage nativesocket.

Inducteurs mis à jour

Les pilotes de périphériques inclus dans UEK 8U2 sont alignés avec les pilotes du noyau en amont Linux 6.12. Quelques mises à jour notables sont incluses dans lesquelles les pilotes incluent des fonctionnalités ou des correctifs disponibles dans des versions ultérieures du noyau en amont.

De nombreux modules de pilote ne suivent plus les informations de version. Oracle travaille avec les fournisseurs pour aligner les pilotes de périphérique inclus dans UEK 8U2 avec le code disponible dans les versions de noyau en amont.

Les mises à jour notables des pilotes sont présentées dans le tableau suivant :

Alignement de l'inducteur
Module de pilote Description du conducteur Version du noyau alignée Mises à jour notables

amd_hsmp

Pilote d'interface de plate-forme AMD HSMP

6,18

Les mises à jour de la version 6.18 ont été rétroportées vers cette version. Principalement mises à jour pour AMD EPYC Zen6.

i40e

Pilote réseau Intel Ethernet Connection XL710

6,12

Ajout de l'option mdd-auto-reset-vf.

idxd

Pilote commun Intel Data Streaming Accelerator et In-Memory Analytics Accelerator

-

Correctif de bogue pour accel-config enable-wq.

ixgbe

Pilote réseau Intel 10 Gigabit PCI Express

-

Mise à jour du pilote pour les périphériques réseau de la série Intel E610.

lpfc

Pilote HBA Broadcom Emulex Fibre Channel

-

Mise à jour du pilote pour les adaptateurs Fibre Channel Broadcom Emulex LPe37000/LPe38000 Series 32Gb/64Gb (rev 11).

Version du pilote sous 14.4.0.12.

mlx5

Pilote principal pour les adaptateurs réseau de 5e génération NVIDIA (série NVIDIA ConnectX)

6,16

Plusieurs correctifs et améliorations de la version 6.16 ont été rétroportés dans cette version.

Fonctions obsolètes et supprimées

Les fonctionnalités suivantes sont obsolètes, supprimées ou ne sont plus prises en charge dans UEK 8 :

Fonctions obsolètes

  • Algorithmes SHA-1, SHA-224 et SHA3-224

    Les algorithmes SHA-1, SHA-224 et SHA3-224 sont obsolètes dans UEK 8 alors qu'ils sont en mode FIPS et seront supprimés dans une prochaine version UEK. Ces algorithmes ont été retirés par le National Institute of Standard and Technology (NIST) parce qu'ils ne sont plus considérés comme sécurisés. Voir les notes de version d'Oracle Linux pour plus de détails sur l'utilisation et l'abandon de SHA-1.

  • Algorithme BCE

    L'algorithme BCE est obsolète dans UEK 8U2 alors qu'il est en mode FIPS et sera supprimé dans une prochaine version UEK.

  • Algorithmes de force 112 bits RSA2048 et ffdhe2048(dh)

    Les algorithmes de puissance 112 bits RSA2048 et ffdhe2048(dh) sont obsolètes dans UEK 8 alors qu'ils sont en mode FIPS et seront supprimés dans une prochaine version UEK.

  • Les modules de noyau déplacés vers l'ensemble kernel-uek-modules-deprecated sont maintenant obsolètes.

    Ces modules pourraient être supprimés dans une prochaine version d'UEK.

    Pour obtenir une liste détaillée, voir Abandon du module UEK 8 (x86_64) et Abandon du module UEK 8 (aarch64).

  • cgroupsv1 est obsolète

    cgroupsv1 est obsolète dans Oracle Linux 9 et est supprimé dans Oracle Linux 10.

  • XFS_SUPPORT_V4 est obsolète

    Le format du système de fichiers V4 contient des faiblesses connues dans le format sur disque. Par conséquent, l'option est obsolète dans UEK 8U2 et sera supprimée dans une future version UEK.

    Vous pouvez vérifier si le système de fichiers est formaté pour utiliser V4, en exécutant la commande <device> xfs_db -r -c version.

    Si la fonction est activée, vous devez sauvegarder les données, reformater l'appareil et restaurer les données.

  • XFS_SUPPORT_ASCII_CI est obsolète

    La fonction de nom non sensible à la casse XFS ASCII est obsolète dans UEK 8 et sera supprimée dans une prochaine version UEK. La fonction a fourni une option pour formater un système de fichiers XFS avec l'option ascii-ci activée pour désactiver la sensibilité à la casse.

    Vous pouvez vérifier si la fonction est activée à l'aide de la commande xfs_info.

    Si la fonction est activée, vous devez sauvegarder les données, reformater l'appareil avec l'option désactivée et restaurer les données.

  • Les options CONFIG_SECURITY_SELINUX_DISABLE et CONFIG_SECURITY_WRITABLE_HOOKS sont désactivées

    L'option de désactivation de SELinux à l'exécution à l'aide de l'interface sysfs est supprimée dans cette version UEK.

    La méthode privilégiée pour désactiver SELinux consiste à utiliser le paramètre d'initialisation selinux=0

  • Le verrouillage des fichiers NLM avec NFSv3 est obsolète

    Le verrouillage de fichier NLM avec NFSv3 est obsolète et pourrait être supprimé dans une version future. Le verrouillage de fichier n'est pas disponible dans NFSv4.

Fonctions supprimées

  • L'accès illimité au tampon de la bague du noyau est supprimé.

    L'accès sans privilèges à la mémoire tampon de l'anneau du noyau au moyen de la sortie de commande dmesg est supprimé dans cette version. Utilisez la commande sudo pour escalader vers les privilèges d'administrateur lors de l'exécution de la commande dmesg.

  • L'option CONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DES pour les types de chiffrement GSS 3DES/DES3 RPCSEC est désactivée

    Les types de chiffrement GSS RPCSEC DES et Triple-DES (3DES/DES3) sont supprimés dans cette version UEK.

    Ces types de chiffrement étaient obsolètes par les RFC 6649 et 8429, car ils sont connus pour être non sécurisés.

  • Les options CONFIG_NFS_V2 et CONFIG_NFSD_V2 pour le client et le serveur NFSv2 sont désactivées

    La prise en charge des clients NFSv2 et des serveurs NFSv2 est supprimée dans cette version UEK.

    NFSv2 a longtemps été remplacé par NFSv3 et NFSv4, qui offrent des fonctionnalités, des performances et une sécurité améliorées.

  • L'option CONFIG_NFS_DISABLE_UDP_SUPPORT pour NFSv3 sur UDP est activée

    La prise en charge de NFS version 3 sur le protocole réseau UDP est supprimée dans cette version UEK.

    Les mises en œuvre modernes de NFS/RPC sur TCP et RDMA offrent de meilleures performances qu'UDP, et fournissent une livraison fiable et commandée des données combinée au contrôle de la congestion.

    Notez que NFSv4 n'est déjà pas pris en charge sur UDP, pour les mêmes raisons.

  • L'option CONFIG_STAGING est désactivée

    L'option de configuration du noyau CONFIG_STAGING est désactivée dans UEK 8U2. L'option noyau a mis à disposition des pilotes qui ne répondent pas nécessairement au niveau de qualité du noyau le plus élevé et qui étaient disponibles pour une utilisation test. L'option était obsolète dans UEK R7 et est supprimée dans UEK 8.

  • L'option CONFIG_IXGB est désactivée

    Le CONFIG_IXGB pour le matériel Intel PRO/10GbE est supprimé dans cette version UEK.

  • crashkernel=supprimé automatiquement

    L'option crashkernel=auto était obsolète dans UEK R7 et n'était pas prise en charge pour Oracle Linux 9. L'option noyau est supprimée dans UEK 8. Pour plus d'informations sur la configuration du paramètre crashkernel sur Oracle Linux, voir Gestion des noyaux et démarrage du système sur Oracle Linux.

  • L'option CONFIG_IP_NF_TARGET_CLUSTERIP est désactivée

    L'option CONFIG_IP_NF_TARGET_CLUSTERIP qui vous a permis de créer des grappes d'équilibrage de charge de serveurs réseau sans routeur ou commutateur dédié d'équilibrage de charge est supprimée au profit de la fonctionnalité déjà en correspondance de grappe Netfilter.

  • Option CONFIG_EFI_VARS désactivée

    L'option CONFIG_EFI_VARS qui a fourni l'interface sysfs efivars pour configurer les variables UEFI est supprimée de cette version d'UEK. La fonctionnalité de remplacement est présente dans le noyau depuis 2012. Pour plus de renseignements, consultez la page https://www.kernel.org/doc/html/latest/filesystems/efivarfs.html.

  • Pilote Firewire supprimé

    L'option CONFIG_FIREWIRE est désactivée dans cette version UEK.

  • Plusieurs modules du programmateur de réseau supprimés

    Les modules de programmateur de réseau suivants étaient obsolètes dans UEK R7 et sont maintenant supprimés dans UEK 8U2 :

    • cls_tcindex
    • cls_rsvp
    • sch_dsmark
    • sch_atm
    • sch_cbq

  • Module resilient_rdmaip supprimé

    Le module resilient_rdmaip était obsolète dans UEK R7 et est maintenant supprimé.

  • Module de noyau oracleasm supprimé

    Le module de noyau oracleasm est supprimé dans UEK 8. Notez que ce module continue d'être pris en charge dans les versions UEK R5 et UEK R6.

    Oracle ASMLib continue d'être pris en charge à l'aide des interfaces io_uring. Pour plus d'informations, voir Oracle Linux : Installation et configuration d'Oracle ASMLIB v3.

  • Module de noyau sundance supprimé

    Le pilote DLink Sundance (ST201), sundance, est supprimé dans UEK 8. Le module a été supprimé dans le noyau amont car il n'était pas mis à jour.

  • Module de noyau cpu5_wdt supprimé

    Le pilote Watchdog cpu5_wdt est supprimé dans UEK 8. Le module a été supprimé dans le noyau en amont car il présentait plusieurs problèmes qui n'étaient pas résolus et manquaient de maintenance.

  • Modules de noyau i2c-amd756-s4882 et i2c-nforce2-s4985 supprimés

    Les pilotes Muxing hérités i2c-amd756-s4882 et i2c-nforce2-s4985 sont supprimés dans UEK 8U2. Le module a été supprimé dans le noyau amont car il est vieux et contient du code techniquement inexact.

  • Modes cryptographiques CONFIG_CRYPTO_OFB et CONFIG_CRYPTO_CFB

    Le mode CFB (Cipher Feedback) (NIST SP800-38A) utilisé pour la cryptographie TPM2 et le mode OFB (Output Feedback) (NIST SP800-38A) utilisé pour transformer un chiffrement par blocs en un chiffrement de flux synchrone sont supprimés dans UEK 8U2, pour s'aligner avec les modifications en amont.