Documentation Oracle Cloud Infrastructure

Nouvelles fonctionnalités et modifications dans UEK 8U2

Les nouvelles fonctionnalités, améliorations et modifications notables suivantes ont été introduites dans UEK 8.

Version du noyau

UEK 8U2 est initialement publié avec la version 6.12.0-200.74.27 du noyau.

Implémentation du module de noyau FIPS 140-3

Un nouveau module de noyau autonome FIPS 140 est disponible dans le cadre d'une tentative de refonte et de réduction de la limite du module cryptographique FIPS 140-3 en encapsulant une API cryptographique de noyau stable dans un module de noyau fips140.ko autonome.

Cette modification permet d'assurer la séparation entre le module cryptographique et le reste du noyau, de sorte que la certification FIPS peut être ciblée sur le module cryptographique utilisé par le noyau. Cette implémentation signifie que la limite du module cryptographique ne change pas chaque fois que le noyau est compilé et offre une plus grande confiance dans la certification.

La nouvelle implémentation intègre le module fips140.ko et la synthèse HMAC dans l'image de noyau vmlinux après compilation. La vérification HMAC est effectuée lorsque le module est chargé à l'aide de l'algorithme HMAC à partir de fips140.ko lui-même. Le module et sa synthèse sont chargés en mémoire avec le reste du noyau par le programme d'initialisation lorsque le mode FIPS est activé. Ces composants cryptographiques peuvent facilement être extraits de l'image du noyau à des fins de vérification.

Remarque

Cette modification est transparente et vous continuez à activer le mode FIPS de la même manière qu'auparavant.

Réparation en ligne XFS

La réparation du système de fichiers en ligne XFS est prise en charge avec UEK 8U2 et versions ultérieures. Dans cette version, la balise expérimentale est supprimée de l'outillage.

Vous pouvez utiliser cette fonctionnalité pour vérifier et réparer les systèmes de fichiers XFS lorsqu'ils restent montés et pleinement opérationnels. La réparation en ligne de XFS peut réduire les temps d'arrêt et améliorer la facilité de maintenance pour les déploiements stratégiques et à grande échelle.

La réparation du système de fichiers en ligne XFS est réalisée à l'aide de l'utilitaire xfs_scrub, qui peut détecter et corriger les altérations de métadonnées sans nécessiter de démontage ou d'interruption des charges de travail actives. Vous pouvez exécuter xfs_scrub pour vérifier systématiquement les métadonnées du système de fichiers, telles que les inodes, les répertoires et les groupes d'allocation. Lorsque des incohérences sont détectées, l'outil fournit des options pour effectuer des réparations ciblées en ligne.

Pour utiliser cette fonctionnalité, assurez-vous que le système exécute UEK 8 ou une version ultérieure et les derniers outils d'espace utilisateur XFS.

Consultez la page de manuel xfs_scrub(8). Reportez-vous également à https://docs.kernel.org/filesystems/xfs/xfs-online-fsck-design.html.

Profilage de l'allocation de mémoire

Le profilage d'allocation de mémoire est disponible dans UEK 8U2. Cette fonctionnalité permet de suivre l'allocation de mémoire pour vous aider à vérifier où la mémoire est utilisée et à détecter les fuites de mémoire. La fonctionnalité utilise le balisage de code pour suivre où la mémoire a été allouée, lorsque la mémoire allouée est libérée, le nombre d'allocations et la quantité de mémoire encore utilisée.

L'option est désactivée par défaut mais peut être activée à l'initialisation à l'aide du paramètre d'initialisation : 

sysctl.vm.mem_profiling=1

Vous accédez aux informations d'exécution pour le profilage d'allocation de mémoire dans /proc/allocinfo.

Pour plus d'informations, reportez-vous à https://docs.kernel.org/mm/allocation-profiling.html. Notez que l'option compressée pour le profilage d'allocation de mémoire n'est pas disponible dans UEK 8U2.

Pages de garde légères

Cette version introduit des pages de garde légères qui permettent de marquer des régions de mémoire virtuelle afin qu'elles déclenchent des erreurs de segmentation (SIGSEGV) lors de l'accès. Cette fonctionnalité est importante pour les piles de threads et les allouateurs de mémoire utilisateur. Le mécanisme est conçu pour supprimer toute surcharge de mémoire, en utilisant des marqueurs de garde plutôt que de créer ou de diviser des zones de mémoire virtuelle (VMA).

Avant les pages de protection légères, des fonctionnalités similaires étaient obtenues en utilisant mmap(.., PROT_NONE), ce qui entraînait une surcharge de mémoire. Au fur et à mesure que les processus et les threads augmentent à l'aide de cette méthode, la surcharge augmente. En outre, la mémoire ainsi mappée reste indisponible pour l'allocation aux processus utilisateur. En utilisant des pages de garde légères, la surcharge est évitée et des gains de mémoire importants sont réalisés.

La mise à jour utilise les nouvelles commandes madvise() :

  • MADV_GUARD_INSTALL installe des marqueurs de protection et supprime les mappings existants dans la plage. L'installation s'applique uniquement à la mémoire anonyme et l'installation n'est pas autorisée pour les VMA spéciaux, volumineux ou verrouillés ( simulés).
  • MADV_GUARD_REMOVE supprime uniquement les marqueurs de garde, en conservant les mappages normaux intacts.

Les plages protégées persistent sur MADV_DONTNEED ou MADV_FREE (protection garantie jusqu'à suppression), mais sont effacées avec le démontage du processus ou le démappage explicite.

Virtualisation chiffrée sécurisée AMD - pagination imbriquée sécurisée (SEV-SNP)

AMD Secure Encrypted Virtualization (SEV) et AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) sont des composants clés de la technologie informatique confidentielle d'AMD. SEV est une fonctionnalité matérielle qui chiffre la mémoire des machines virtuelles exécutées sur les processeurs AMD EPYC, afin de protéger les données de la machine virtuelle contre tout accès non autorisé par l'hôte de l'hyperviseur, même si l'hôte de l'hyperviseur est compromis. SEV utilise une clé de chiffrement dédiée pour chaque machine virtuelle, gérée par le processeur. SEV doit être activé dans le système d'exploitation invité et dans l'hôte de l'hyperviseur KVM pour fonctionner.

Sur Oracle Linux 9 et Oracle Linux 10, UEK 8U2 inclut la prise en charge des invités et des hyperviseurs pour SEV-SNP, ce qui permet d'éviter les attaques malveillantes basées sur un hyperviseur, telles que la réexécution de données et le remappage de mémoire, entre autres vecteurs tels que les attaques de canal latéral. SEV-SNP est disponible sur les serveurs AMD E4 ou ultérieurs (Milan). Cette fonctionnalité requiert les dernières versions des packages edk2-ovmf et qemu.

Remarque

Le calcul confidentiel à l'aide de SEV-SNP est une fonctionnalité d'aperçu technique lorsqu'il est utilisé en dehors d'Oracle Cloud Infrastructure (OCI).

Extensions de domaine sécurisé Intel (TDX)

Intel Trust Domain Extensions (TDX) est la technologie informatique confidentielle d'Intel utilisée pour fournir des environnements d'exécution sécurisés. TDX est utilisé pour déployer des charges de travail virtuelles dans des domaines sécurisés afin de fournir une isolation matérielle en gérant et en chiffrant la mémoire pour maintenir l'intégrité et la confidentialité des états de CPU au sein des TD.

Sur Oracle Linux 9 et Oracle Linux 10, UEK 8U2 inclut la prise en charge des invités et des hyperviseurs pour TDX.

Pour plus d'informations, reportez-vous à https://www.intel.com/content/www/us/en/developer/tools/trust-domain-extensions/overview.html.

Remarque

Le calcul confidentiel à l'aide de TDX est une fonctionnalité d'aperçu technique lorsqu'il est utilisé en dehors d'OCI.

Le client CIFS peut créer des fichiers spéciaux incluant des liens symboliques dans les partages SMB

Le client CIFS (Common Internet File System) peut créer des liens symboliques, des liens symboliques, qui sont reconnus par SMB (Server Message Block (SMB), NFS (Network File System) et WSL (Windows Subsystem for Linux). Utilisez l'option de montage symlink=default|none|native|unix|mfsymlinks|sfu|nfs|wsl pour interdire la création de liens symboliques ou pour sélectionner le type de liens symboliques que le client crée.

Le client peut également créer d'autres fichiers spéciaux, notamment des périphériques à caractères, des périphériques en mode bloc, des canaux et des sockets. Ces fichiers sont créés en tant que points de réanalyse NFS ou WSL en utilisant l'option de montage reparse=default|none|nfs|wsl. Pour créer des sockets Windows natifs utilisés par les applications Windows sur NTFS, utilisez l'option de montage nativesocket.

Pilotes mis à jour

Les pilotes de périphérique inclus dans UEK 8U2 sont alignés avec les pilotes du noyau Linux 6.12 de la ligne principale en amont. Quelques mises à jour notables sont incluses où les pilotes incluent des fonctionnalités ou des correctifs disponibles dans les versions ultérieures du noyau en amont.

De nombreux modules de pilote ne suivent plus les informations de version. Oracle collabore avec les fournisseurs pour aligner les pilotes de périphérique inclus dans UEK 8U2 sur le code disponible dans les versions de noyau en amont.

Les mises à jour notables des pilotes sont présentées dans le tableau suivant :

Alignement du conducteur
Module de pilote Description du pilote Version du noyau alignée Mises à jour importantes

amd_hsmp

Pilote d'interface de plate-forme AMD HSMP

6,18

Les mises à jour de la version 6.18 ont été rétroportées vers cette version. Principalement mises à jour pour AMD EPYC Zen6.

i40e

Pilote réseau Intel Ethernet Connection XL710

6,12

Ajout de l'option mdd-auto-reset-vf.

idxd

Accélérateur de transmission de données Intel et pilote commun d'accélérateur d'analyse en mémoire

-

Correction de bug pour accel-config enable-wq.

ixgbe

Pilote réseau Intel 10 Gigabit PCI Express

-

Mise à jour du pilote pour les périphériques réseau de la série Intel E610.

lpfc

Pilote HBA Fibre Channel Emulex Broadcom

-

Mise à jour du pilote pour les adaptateurs Fibre Channel Broadcom Emulex LPe37000/LPe38000 Series 32Gb/64Gb (rev 11).

Pilote géré par version à l'adresse 14.4.0.12.

mlx5

Pilote de base des adaptateurs réseau de 5e génération NVIDIA (série NVIDIA ConnectX)

6,16

Plusieurs correctifs et améliorations de la version 6.16 ont été rétroportés dans cette version.

Fonctionnalités obsolètes et supprimées

Les fonctionnalités suivantes sont en phase d'abandon, supprimées ou ne sont plus prises en charge dans UEK 8 :

Fonctionnalités en phase d'abandon

  • Algorithmes SHA-1, SHA-224, et SHA3-224

    Les algorithmes SHA-1, SHA-224 et SHA3-224 sont en phase d'abandon dans UEK 8 en mode FIPS et seront supprimés dans une prochaine version d'UEK. Ces algorithmes ont été retirés par le National Institute of Standard and Technology (NIST) parce qu'ils ne sont plus considérés comme sécurisés. Pour plus de détails sur l'utilisation et l'abandon de SHA-1, reportez-vous aux notes de version d'Oracle Linux.

  • Algorithme ECB

    L'algorithme ECB est obsolète dans UEK 8U2 alors qu'il est en mode FIPS et sera supprimé dans une prochaine version d'UEK.

  • Algorithme de résistance 112 bits RSA2048 et ffdhe2048(dh)

    Les algorithmes de résistance 112 bits RSA2048 et ffdhe2048(dh) sont en phase d'abandon dans UEK 8 en mode FIPS et seront supprimés dans une prochaine version d'UEK.

  • Les modules de noyau déplacés vers le package kernel-uek-modules-deprecated sont désormais en phase d'abandon.

    Ces modules pourraient être supprimés dans une prochaine version d'UEK.

    Pour obtenir une liste détaillée, reportez-vous aux sections UEK 8 Module Deprecations (x86_64) et UEK 8 Module Deprecations (aarch64).

  • cgroupsv1 est en phase d'abandon

    cgroupsv1 est en phase d'abandon dans Oracle Linux 9 et est enlevé dans Oracle Linux 10.

  • XFS_SUPPORT_V4 est en phase d'abandon

    Le format du système de fichiers V4 contient des faiblesses connues dans le format sur disque. Par conséquent, l'option est obsolète dans UEK 8U2 et sera supprimée dans une prochaine version d'UEK.

    Vous pouvez vérifier si le système de fichiers est formaté pour utiliser V4, en exécutant la commande xfs_db -r -c version <device>.

    Si la fonctionnalité est activée, vous devez sauvegarder les données, reformater le périphérique et restaurer les données.

  • XFS_SUPPORT_ASCII_CI est en phase d'abandon

    La fonction de nom non sensible à la casse XFS ASCII est obsolète dans UEK 8 et sera supprimée dans une prochaine version d'UEK. La fonctionnalité a fourni une option permettant de formater un système de fichiers XFS avec l'option ascii-ci activée pour désactiver la sensibilité à la casse.

    Vous pouvez vérifier si la fonctionnalité est activée à l'aide de la commande xfs_info.

    Si la fonctionnalité est activée, vous devez sauvegarder les données, reformater le périphérique avec l'option désactivée et restaurer les données.

  • Les options CONFIG_SECURITY_SELINUX_DISABLE et CONFIG_SECURITY_WRITABLE_HOOKS sont désactivées

    L'option permettant de désactiver SELinux lors de l'exécution à l'aide de l'interface sysfs est supprimée dans cette version UEK.

    La méthode préférée de désactivation de SELinux est l'utilisation du paramètre d'initialisation selinux=0

  • Le verrouillage de fichier NLM avec NFSv3 est obsolète

    Le verrouillage de fichier NLM avec NFSv3 est obsolète et pourrait être supprimé dans une prochaine version. Le verrouillage de fichier n'est pas disponible dans NFSv4.

Fonctionnalités supprimées

  • L'accès illimité au tampon d'anneau du noyau est supprimé.

    Dans cette version, l'accès sans privilège au tampon d'anneau du noyau via la sortie de la commande dmesg est supprimé. Utilisez la commande sudo pour escalader les privilèges d'administrateur lors de l'exécution de la commande dmesg.

  • L'option CONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DES pour les types de chiffrement 3DES/DES3 RPCSEC GSS est désactivée

    Les types de chiffrement RPCSEC GSS DES et Triple-DES (3DES/DES3) sont supprimés dans cette version UEK.

    Ces types de chiffrement sont obsolètes par les RFC 6649 et 8429, car ils ne sont pas sécurisés.

  • Les options CONFIG_NFS_V2 et CONFIG_NFSD_V2 pour le client et le serveur NFSv2 sont désactivées

    La prise en charge des clients NFSv2 et des serveurs NFSv2 est supprimée dans cette version UEK.

    NFSv2 a longtemps été remplacé par NFSv3 et NFSv4, qui offrent des fonctionnalités, des performances et une sécurité améliorées.

  • L'option CONFIG_NFS_DISABLE_UDP_SUPPORT pour NFSv3 sur UDP est activée

    La prise en charge de NFS version 3 via le protocole réseau UDP est supprimée dans cette version UEK.

    Les implémentations NFS/RPC modernes sur TCP et RDMA offrent de meilleures performances qu'UDP et fournissent une livraison commandée fiable des données combinées au contrôle de congestion.

    Notez que NFSv4 n'est déjà pas pris en charge sur UDP, pour les mêmes raisons.

  • L'option CONFIG_STAGING est désactivée

    L'option de configuration du noyau CONFIG_STAGING est désactivée dans UEK 8U2. L'option de noyau a rendu disponibles des pilotes qui ne répondent pas nécessairement au niveau de qualité de noyau le plus élevé et qui étaient disponibles pour une utilisation test. L'option est en phase d'abandon dans UEK R7 et supprimée dans UEK 8.

  • L'option CONFIG_IXGB est désactivée

    Le matériel CONFIG_IXGB pour Intel PRO/10GbE est supprimé dans cette version UEK.

  • crashkernel=auto supprimé

    L'option crashkernel=auto est obsolète dans UEK R7 et n'est pas prise en charge pour Oracle Linux 9. L'option de noyau est supprimée dans UEK 8. Pour plus d'informations sur la configuration du paramètre crashkernel sur Oracle Linux, reportez-vous à la section Managing Kernels and System Boot on Oracle Linux.

  • L'option CONFIG_IP_NF_TARGET_CLUSTERIP est désactivée

    L'option CONFIG_IP_NF_TARGET_CLUSTERIP qui vous a permis de créer des clusters d'équilibrage de charge de serveurs réseau sans routeur ou commutateur d'équilibrage de charge dédié est supprimée au profit de fonctionnalités déjà présentes dans la correspondance de cluster Netfilter.

  • Option CONFIG_EFI_VARS désactivée

    L'option CONFIG_EFI_VARS qui a fourni l'interface sysfs efivars pour configurer les variables UEFI est supprimée de cette version d'UEK. La fonctionnalité de remplacement est présente dans le noyau depuis 2012. Pour plus d'informations, reportez-vous à https://www.kernel.org/doc/html/latest/filesystems/efivarfs.html.

  • Pilote Firewire retiré

    L'option CONFIG_FIREWIRE est désactivée dans cette version UEK.

  • Plusieurs modules de planificateur réseau supprimés

    Les modules d'ordonnanceur réseau suivants sont en phase d'abandon dans UEK R7 et sont maintenant supprimés dans UEK 8U2 :

    • cls_tcindex
    • cls_rsvp
    • sch_dsmark
    • sch_atm
    • sch_cbq

  • Module resilient_rdmaip supprimé

    Le module resilient_rdmaip est en phase d'abandon dans UEK R7 et est maintenant supprimé.

  • oracleasm Module de noyau supprimé

    Le module de noyau oracleasm est supprimé dans UEK 8. Notez que ce module continue d'être pris en charge dans les versions UEK R5 et UEK R6.

    Oracle ASMLib est toujours pris en charge à l'aide des interfaces io_uring. Pour plus d'informations, reportez-vous à Oracle Linux : installation et configuration d'Oracle ASMLIB v3.

  • sundance Module de noyau supprimé

    Le pilote DLink Sundance (ST201), sundance, est supprimé dans UEK 8. Le module a été supprimé dans le noyau en amont car il n'était pas géré.

  • cpu5_wdt Module de noyau supprimé

    Le pilote du chien de garde cpu5_wdt est supprimé dans UEK 8. Le module a été supprimé dans le noyau en amont car il présentait plusieurs problèmes qui n'étaient pas résolus et manquaient de maintenance.

  • Modules de noyau i2c-amd756-s4882 et i2c-nforce2-s4985 supprimés

    Les pilotes de fusion hérités i2c-amd756-s4882 et i2c-nforce2-s4985 sont supprimés dans UEK 8U2. Le module a été supprimé dans le noyau en amont car il est ancien et contient un code techniquement inexact.

  • Modes cryptographiques CONFIG_CRYPTO_OFB et CONFIG_CRYPTO_CFB

    Le mode CFB (Cipher Feedback) (NIST SP800-38A) utilisé pour la cryptographie TPM2 et le mode OFB (Output Feedback) (NIST SP800-38A) utilisé pour transformer un chiffrement par blocs en un chiffrement par flux synchrone sont supprimés dans UEK 8U2, afin de s'aligner sur les changements en amont.