Nouvelles fonctionnalités et modifications dans UEK R7U3

UEK R7U3 est initialement publié avec la version 5.15.0-300.163.18 du noyau.

Outre la version standard de UEK for Arm (aarch64), qui définit une taille de page de base de 4 Ko, un package kernel-uek64k qui définit une taille de page de base de 64 Ko est disponible pour les formes de calcul Ampere Arm dans Oracle Cloud Infrastructure uniquement. Pour les cas d'utilisation autres qu'OCI, le package kernel-uek64 n'est disponible qu'en tant qu'aperçu technique.

Le noyau de taille de page 64k est une option utile pour les plates-formes Ampere (Arm) qui traitent des charges de travail avec des ensembles de données de mémoire contigus volumineux et peuvent obtenir de meilleures performances pour certains types d'opérations de mémoire et de CPU.

Le noyau de taille de page 4k est utile pour les environnements plus petits, où la réduction de l'utilisation de la mémoire du système physique est une priorité.

Notez que le noyau de taille de page 4k et le noyau de taille de page 64k ne diffèrent pas en termes d'expérience utilisateur car l'espace utilisateur est le même.

Une fois qu'un système est installé avec kernel-uek64k, le basculement vers une taille de page de noyau 4 Ko n'est pas pris en charge.

Le protocole RPC-With-TLS est activé dans le client et le serveur NFS Linux. Cette mise à jour fournit un mécanisme d'authentification homologue basé sur des normes via une connexion chiffrée à l'aide de TLS. Le protocole TLS Record est entièrement géré par kTLS.

Notez que le serveur et les systèmes client doivent exécuter UEK R7U3 ou une version ultérieure, ou doivent exécuter un client de noyau et d'espace utilisateur prenant en charge RFC 9289, pour utiliser cette fonctionnalité. Le package d'espace utilisateur, ktls-utils, est également requis et doit être installé sur les systèmes client et serveur. Vérifiez également que vous avez installé la version la plus récente du package nfs-utils ou que vous avez effectué une mise à jour complète du système.

RPC-With-TLS est fourni en amont par Oracle et est décrit dans le document RFC 9289.

TIOCSTI est un appel système ioctl dans le noyau Linux qui permet à un processus de simuler une entrée de terminal en poussant des caractères dans la file d'attente d'entrée pour un TTY de contrôle. Ce mécanisme hérité peut être abusé à des fins malveillantes. Nous vous recommandons de toujours la désactiver sur les systèmes exécutant Oracle Linux.

Renforcez un système en désactivant TIOCSTI. Définissez la valeur du paramètre sysfs dev.tty.legacy_tiocsti sur 0. Par exemple, exécutez :

echo "dev.tty.legacy_tiocsti = 0" | sudo tee -a /etc/sysctl.d/50-tiocsti.conf
sudo sysctl -p /etc/sysctl.d/50-tiocsti.conf

BPF-LSM, la possibilité d'attacher des programmes Berkeley Packet Filter (BPF) aux crochets du module de sécurité Linux (LSM) pour implémenter certaines améliorations de sécurité, est activée dans toutes les configurations du noyau UEK R7. Cependant, il fallait auparavant définir l'option de ligne de commande d'initialisation lsm=bpf pour utiliser la fonctionnalité.

Dans cette version, bpf est ajouté à CONFIG_LSM afin qu'il n'ait pas besoin d'être activé manuellement à l'initialisation.

Vous pouvez vérifier que BPF est ajouté au LSM en exécutant :

cat /sys/kernel/security/lsm

En étroite collaboration avec les fournisseurs de matériel et de stockage, Oracle a mis à jour plusieurs pilotes de périphérique à partir des versions de la ligne principale Linux 5.15.0.

De nombreux modules de pilote ne suivent plus les informations de version. Oracle collabore avec les fournisseurs pour aligner les pilotes de périphérique inclus dans UEK R7U3 sur le code disponible dans les versions de noyau en amont.

Les mises à jour notables des pilotes sont présentées dans le tableau suivant :

Les fonctions suivantes sont en phase d'abandon ou ne sont plus disponibles dans : UEK R7U3 :

• L'accès illimité au tampon d'anneau du noyau est obsolète.

  L'accès sans privilège au tampon d'anneau du noyau via la sortie de la commande dmesg est obsolète et sera supprimé dans une prochaine version d'UEK. Utilisez la commande sudo pour escalader les privilèges d'administrateur lors de l'exécution de la commande dmesg. Pour restreindre l'accès au tampon d'anneau du noyau, définissez le paramètre sysfs kernel.dmesg_restrict sur 1.

• Options CONFIG_SECURITY_SELINUX_DISABLE et CONFIG_SECURITY_WRITABLE_HOOKS pour désactiver SELinux lors de l'exécution

  Le noeud /sys/fs/selinux/disable du système de fichiers SELinux (selinuxfs) vous permet de désactiver SELinux lors de l'exécution avant qu'une stratégie ne soit chargée dans le noyau. Si cette option est désactivée à l'aide de ce mécanisme, SELinux reste désactivé jusqu'à la réinitialisation du système.

  L'option de désactivation de SELinux lors de l'exécution rend difficile la sécurisation des crochets LSM du noyau à l'aide de la fonctionnalité "__ro_after_init". Par conséquent, ces options sont en phase d'abandon dans cette version UEK.

  La méthode préférée de désactivation de SELinux est l'utilisation du paramètre d'initialisation selinux=0

• Modes cryptographiques CONFIG_CRYPTO_OFB et CONFIG_CRYPTO_CFB

  Le mode CFB (Cipher Feedback) (NIST SP800-38A) utilisé pour la cryptographie TPM2 et le mode OFB (Output Feedback) (NIST SP800-38A) utilisé pour transformer un chiffrement par blocs en un chiffrement par flux synchrone sont en phase d'abandon dans cette version UEK et pourraient être supprimés du noyau dans une prochaine version UEK.

• Option CONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DES pour les types de chiffrement 3DES/DES3 RPCSEC GSS

  Les types de chiffrement RPCSEC GSS DES et Triple-DES (3DES/DES3) sont en phase d'abandon dans cette version UEK et pourraient être supprimés du noyau dans une prochaine version UEK.

  Ces types de chiffrement sont obsolètes par les RFC 6649 et 8429, car ils ne sont pas sécurisés.

• Options CONFIG_NFS_V2 et CONFIG_NFSD_V2 pour le client et le serveur NFSv2

  La prise en charge des clients NFSv2 et des serveurs NFSv2 est en phase d'abandon dans cette version d'UEK et pourrait être supprimée du noyau dans une prochaine version d'UEK.

  NFSv2 a longtemps été remplacé par NFSv3 et NFSv4, qui offrent des fonctionnalités, des performances et une sécurité améliorées.

• Option CONFIG_NFS_DISABLE_UDP_SUPPORT pour NFSv3 sur UDP

  La prise en charge de NFS version 3 sur le protocole réseau UDP est en phase d'abandon dans cette version UEK et pourrait être supprimée du noyau dans une prochaine version UEK.

  Les implémentations NFS/RPC modernes sur TCP et RDMA offrent de meilleures performances qu'UDP et fournissent une livraison commandée fiable des données combinées au contrôle de congestion.

  Notez que NFSv4 n'est déjà pas pris en charge sur UDP, pour les mêmes raisons.

• Option CONFIG_STAGING

  Avec l'option de configuration du noyau CONFIG_STAGING, vous pouvez sélectionner des pilotes qui ne répondent pas nécessairement au niveau de qualité de noyau le plus élevé, mais qui sont simplement mis à disposition pour une utilisation de test. Cependant, l'option de noyau CONFIG_STAGING est en phase d'abandon dans cette version UEK et pourrait être supprimée dans une prochaine version.

• Option CONFIG_IXGB

  Le matériel CONFIG_IXGB pour Intel PRO/10GbE est obsolète et risque d'être supprimé du noyau dans une prochaine version d'UEK.

• Option CONFIG_IP_NF_TARGET_CLUSTERIP

  L'option CONFIG_IP_NF_TARGET_CLUSTERIP qui vous a permis de créer des clusters d'équilibrage de charge de serveurs réseau sans routeur ou commutateur d'équilibrage de charge dédié est en phase d'abandon en faveur de fonctionnalités déjà présentes dans la correspondance de cluster Netfilter.

• Option CONFIG_EFI_VARS

  L'option CONFIG_EFI_VARS qui a fourni l'interface sysfs efivars pour configurer les variables UEFI est supprimée du noyau en amont et est en phase d'abandon dans cette version d'UEK. La fonctionnalité de remplacement est présente dans le noyau depuis 2012. Pour plus d'informations, reportez-vous à https://www.kernel.org/doc/html/latest/filesystems/efivarfs.html.

• Chauffeur Firewire

  L'option CONFIG_FIREWIRE a été désactivée dans Oracle Linux 9. Ainsi, le pilote Firewire est en phase d'abandon et inutilisable dans cette version UEK.

• Option crashkernel=auto

  L'option crashkernel=auto est en phase d'abandon et n'est plus prise en charge sur Oracle Linux 9 et n'est donc plus prise en charge pour UEK R7 sur Oracle Linux 9. Certaines plates-formes, telles que le Raspberry Pi, ont des limites maximales pour la réservation de mémoire crashkernel et celles-ci doivent être spécifiées explicitement. Cette option sera supprimée dans une prochaine version d'UEK.

• Plusieurs modules de planificateur réseau

  Les modules de planificateur réseau suivants sont en phase d'abandon :

  • cls_tcindex
  • cls_rsvp
  • sch_dsmark
  • sch_atm
  • sch_cbq

  Ces modules peuvent être désactivés ou mis sur liste de blocage et peuvent être supprimés dans une prochaine version d'UEK. Les modules sont déjà supprimés dans le noyau Linux en amont.

• Module resilient_rdmaip obsolète

  Le module resilient_rdmaip est en phase d'abandon dans UEK R7. Ce module sera supprimé dans une prochaine version d'UEK.

• Alg. SHA-1

  L'algorithme SHA-1 est obsolète dans UEK R7U3 alors qu'il est en mode FIPS et sera supprimé dans une prochaine version d'UEK. L'algorithme SHA-1 a été retiré par le National Institute of Standard and Technology (NIST) parce que l'algorithme de hachage SHA-1 n'est plus considéré comme sécurisé. Pour plus d'informations sur SHA-1, reportez-vous aux notes de version d'Oracle Linux.