Nuove caratteristiche e modifiche a UEK R7U3

Nuove funzionalità, miglioramenti e altre modifiche importanti introdotte in UEK R7U3.

Versione kernel

UEK R7U3 è stato rilasciato inizialmente con la versione 5.15.0-300.163.18 del kernel.

(aarch64) Dimensione della pagina di base 64k sul braccio

Oltre alla build standard di UEK for Arm (aarch64), che imposta una dimensione di pagina di base 4k, un pacchetto kernel-uek64k che imposta una dimensione di pagina di base 64k è disponibile solo per le forme di computazione basate su Ampere Arm in Oracle Cloud Infrastructure. Per casi d'uso diversi da OCI, il package kernel-uek64 è disponibile solo come anteprima tecnica.

Il kernel di dimensioni di pagina 64k è un'opzione utile per le piattaforme Ampere (basate su Arm) che elaborano carichi di lavoro con set di dati di memoria grandi e contigui e possono ottenere prestazioni migliori per alcuni tipi di operazioni a uso intensivo di memoria e CPU.

Il kernel delle dimensioni delle pagine 4k è utile per ambienti più piccoli, dove ridurre al minimo l'uso della memoria del sistema fisico è una priorità.

Si noti che il kernel delle dimensioni di pagina 4k e il kernel delle dimensioni di pagina 64k non differiscono per l'esperienza utente in quanto lo spazio utente è lo stesso.

Dopo l'installazione di un sistema con kernel-uek64k, il passaggio a una dimensione della pagina del kernel 4k non è supportato.

Installazione di kernel-uek64k

Nota

L'unica dimensione di pagina nelle forme di computazione NVIDIA Grace è impostata su 64 KB per impostazione predefinita. Facoltativamente, è possibile passare dalla dimensione di pagina predefinita 4k alla dimensione di pagina 64k nelle forme Ampere.

Nota

L'installazione di kernel-uek64k su sistemi esterni a Oracle Cloud Infrastructure (OCI) è disponibile solo come anteprima tecnica. Non installare questo kernel nei sistemi di produzione esterni a OCI.

Per installare kernel-uek64k su un sistema installato con la dimensione standard della pagina 4k kernel-uek:

Installare il pacchetto kernel-uek64k.
```
sudo dnf install -y kernel-uek64k
```
Impostare il kernel di dimensione pagina 64k come kernel predefinito.
```
sudo grubby --set-default=$(echo /boot/vmlinuz*64k)
```
Si noti che se si dispone di più di un kernel di 64k pagine installato, è necessario dichiarare esplicitamente il kernel che si intende essere il predefinito. Ad esempio:
```
sudo grubby --set-default=/boot/vmlinuz-5.15.0-306.177.4.1.el9uek.aarch64.64k
```
Riavvia il sistema.
```
sudo reboot
```
Dopo aver eseguito il reboot del sistema, verificare che la dimensione della pagina sia 64 KB.
```
getconf PAGESIZE
```
Se PAGESIZE restituisce 65536, viene caricato il kernel 64k. Se PAGESIZE restituisce 4096, il kernel 4k viene caricato ed è necessario verificare che il kernel predefinito sia impostato correttamente.

È inoltre possibile verificare che il kernel in esecuzione contenga la stringa 64k, ad esempio:
```
uname -a|grep 64k
```
Se il sistema esegue il kernel 64k, procedere alla rimozione dei pacchetti del kernel con dimensione di pagina 4k per evitare conflitti futuri.
```
sudo dnf erase kernel-uek-core
```

Connessioni cifrate TLS per NFS

RPC-With-TLS è abilitato nel server e nel client NFS Linux. Questo aggiornamento fornisce un meccanismo di autenticazione peer basato su standard su una connessione cifrata mediante TLS. Il protocollo TLS Record è gestito interamente da kTLS.

Si noti che sia il server che il client devono eseguire UEK R7U3 o versioni successive oppure devono eseguire un kernel e un client di spazio utente che supporta RFC 9289 per utilizzare questa funzionalità. È richiesto anche il pacchetto spazio utente ktls-utils che deve essere installato sia sul client che sul server. Assicurarsi inoltre di aver installato la versione più recente del pacchetto nfs-utils o di aver eseguito un aggiornamento completo del sistema.

RPC-With-TLS ha contribuito a monte da Oracle ed è descritto in RFC 9289.

Opzione di indurimento TIOCSTI

TIOCSTI è una chiamata di sistema ioctl nel kernel Linux che consente a un processo di simulare l'input del terminale spingendo i caratteri nella coda di input per un TTY di controllo. Questo meccanismo legacy può essere abusato per scopi dannosi. Si consiglia di disabilitarlo sempre sui sistemi su cui è in esecuzione Oracle Linux.

Potenziare un sistema disabilitando TIOCSTI. Impostare il valore del parametro sysfs dev.tty.legacy_tiocsti su 0. Ad esempio, eseguire:

echo "dev.tty.legacy_tiocsti = 0" | sudo tee -a /etc/sysctl.d/50-tiocsti.conf
sudo sysctl -p /etc/sysctl.d/50-tiocsti.conf

Nota

I processi eseguiti con CAP_SYS_ADMIN, ad esempio BRLTTY, possono utilizzare TIOCSTI anche quando questa funzionalità è disabilitata.

BPF-LSM abilitato all'avvio

BPF-LSM, la possibilità di collegare i programmi Berkeley Packet Filter (BPF) agli hook del modulo di sicurezza Linux (LSM) per implementare alcuni miglioramenti della sicurezza, è abilitata in tutte le configurazioni del kernel UEK R7, tuttavia in precedenza era necessario impostare l'opzione della riga di comando di boot lsm=bpf per utilizzare la funzione.

In questa release bpf viene aggiunto a CONFIG_LSM in modo da non dover essere abilitato manualmente al boot.

È possibile verificare che BPF venga aggiunto all'LSM eseguendo le operazioni riportate di seguito.

cat /sys/kernel/security/lsm

Nota

Questa funzione è stata abilitata in una release errata UEK R7U3 ed è disponibile in kernel-UEK-5.15.0-315.196.5 e versioni successive.

Driver aggiornati

In stretta collaborazione con i fornitori di hardware e storage, Oracle ha aggiornato diversi driver dispositivo dalle versioni di mainline Linux 5.15.0.

Molti moduli driver non tengono più traccia delle informazioni sulla versione. Oracle collabora con i fornitori per allineare i driver dei dispositivi inclusi in UEK R7U3 al codice disponibile nelle versioni kernel a monte.

Nella tabella riportata di seguito vengono forniti importanti aggiornamenti dei driver.

Allineamento conducente
Modulo driver	Descrizione driver	Versione del kernel allineata	Aggiornamenti notevoli
`mlx5`	Driver di base per adattatori di rete NVIDIA di 5a generazione (serie NVIDIA ConnectX)	6,7	N/D
`lpfc`	Driver HBA Broadcom Emulex Fibre Channel	6,9	N/D
`qla2xxx`	Driver HBA Marvell QLogic Fibre Channel	6,1	N/D
`mpt3sas`	Driver per dispositivi Broadcom (in precedenza LSI) MPT Fusion SAS 3.0	6,9	N/D
`megaraid_sas`	Driver SAS MegaRAID Broadcom	6,9	N/D
`mpi3mr`	Driver del dispositivo Broadcom MPI3 Storage Controller	6,1	N/D
`smartpqi`	Driver controller Microchip Smart Family	6,9	N/D
`bnxt_en`	Driver di rete Broadcom BCM573xx	6,8	Il driver ora include patch per lavorare con l'ultimo chip BCM57608.
`mana`	Adattatore di rete Microsoft Azure	6,1	N/D

Funzioni non più valide e rimosse

Le seguenti funzionalità sono deprecate o non sono più disponibili in: UEK R7U3:

L'accesso illimitato al buffer ring del kernel è deprecato.

L'accesso senza privilegi al buffer ring del kernel tramite l'output del comando dmesg è deprecato e verrà rimosso nelle prossime release di UEK. Utilizzare il comando sudo per passare ai privilegi di amministratore durante l'esecuzione del comando dmesg. Per limitare l'accesso al buffer ring del kernel, impostare il parametro sysfs kernel.dmesg_restrict su 1.
Opzioni CONFIG_SECURITY_SELINUX_DISABLE e CONFIG_SECURITY_WRITABLE_HOOKS per la disabilitazione di SELinux in runtime

Il nodo /sys/fs/selinux/disable del file system SELinux (selinuxfs) consente di disabilitare SELinux in runtime prima del caricamento di un criterio nel kernel. Se disabilitato mediante questo meccanismo, SELinux rimane disabilitato fino al reboot del sistema.

L'opzione per disabilitare SELinux in fase di esecuzione rende difficile proteggere gli hook LSM del kernel utilizzando la funzione "__ro_after_init". Pertanto, queste opzioni non sono più valide in questa release di UEK.

Il metodo preferito per disabilitare SELinux è l'uso del parametro di boot selinux=0
Modalità di cifratura CONFIG_CRYPTO_OFB e CONFIG_CRYPTO_CFB

La modalità CFB (Cipher Feedback) (NIST SP800-38A) utilizzata per la crittografia TPM2 e la modalità OFB (Output Feedback) (NIST SP800-38A) utilizzata per trasformare una cifratura a blocchi in una cifratura a flusso sincrono sono deprecate in questa release di UEK e potrebbero essere rimosse dal kernel nelle prossime release di UEK.
Opzione CONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DES per i tipi di cifratura 3DES/DES3 RPCSEC GSS

I tipi di cifratura RPCSEC GSS DES e Triple-DES (3DES/DES3) sono deprecati in questa release di UEK e potrebbero essere rimossi dal kernel nelle prossime release di UEK.

Questi tipi di crittografia sono stati deprecati da RFC 6649 e 8429 perché sono noti per essere insicuri.
Opzioni CONFIG_NFS_V2 e CONFIG_NFSD_V2 per il client e il server NFSv2
Il supporto per i client NFSv2 e i server NFSv2 è deprecato in questa release UEK e potrebbe essere rimosso dal kernel nelle prossime release di UEK.

NFSv2 è stato a lungo sostituito da NFSv3 e NFSv4, in quanto offre funzionalità, prestazioni e sicurezza superiori.
Opzione CONFIG_NFS_DISABLE_UDP_SUPPORT per NFSv3 su UDP
Il supporto per NFS versione 3 tramite il protocollo di rete UDP è deprecato in questa release di UEK e potrebbe essere rimosso dal kernel nelle prossime release di UEK.

Le moderne implementazioni NFS/RPC su TCP e RDMA offrono prestazioni migliori rispetto a UDP e forniscono una consegna ordinata affidabile dei dati combinata con il controllo della congestione.

Si noti che NFSv4 non è già supportato su UDP per gli stessi motivi.
opzione CONFIG_STAGING

Con l'opzione di configurazione del kernel CONFIG_STAGING, è possibile selezionare driver che non soddisfano necessariamente il livello di qualità del kernel più elevato, ma sono semplicemente resi disponibili per l'uso di prova. Tuttavia, l'opzione kernel CONFIG_STAGING è deprecata in questa release di UEK e potrebbe essere rimossa nelle prossime release.
opzione CONFIG_IXGB
CONFIG_IXGB per l'hardware Intel PRO/10GbE è deprecato e potrebbe essere rimosso dal kernel nelle prossime release di UEK.
opzione CONFIG_IP_NF_TARGET_CLUSTERIP
L'opzione CONFIG_IP_NF_TARGET_CLUSTERIP che consente di creare cluster di bilanciamento del carico di server di rete senza un router o uno switch di bilanciamento del carico dedicato è deprecata a favore delle funzionalità già presenti nella corrispondenza cluster Netfilter.
opzione CONFIG_EFI_VARS
L'opzione CONFIG_EFI_VARS, che ha fornito l'interfaccia sysfs di efivars per configurare le variabili UEFI, è stata rimossa dal kernel a monte ed è deprecata in questa release di UEK. La funzionalità di sostituzione è presente nel kernel dal 2012. Per ulteriori informazioni, vedere https://www.kernel.org/doc/html/latest/filesystems/efivarfs.html.
Conducente Firewire

L'opzione CONFIG_FIREWIRE è stata disabilitata in Oracle Linux 9. Pertanto, il driver Firewire è deprecato e inutilizzabile in questa release UEK.
opzione crashkernel=auto

L'opzione crashkernel=auto non è più valida e non è più supportata su Oracle Linux 9 e pertanto non è supportata per UEK R7 su Oracle Linux 9. Alcune piattaforme, come il Raspberry Pi, hanno limiti massimi per la prenotazione della memoria crashkernel e questi devono essere specificati esplicitamente. Questa opzione verrà rimossa nelle prossime release di UEK.
Diversi moduli di pianificazione della rete

I seguenti moduli dello scheduler di rete non sono più validi:
- cls_tcindex
- cls_rsvp
- sch_dsmark
- sch_atm
- sch_cbq
Questi moduli potrebbero essere disabilitati o inseriti nella lista di esclusione e potrebbero essere rimossi nelle prossime release di UEK. I moduli sono già stati rimossi nel kernel Linux a monte.
Modulo resilient_rdmaip non più valido
Il modulo resilient_rdmaip è deprecato in UEK R7. Questo modulo verrà rimosso nelle prossime release di UEK.
Algoritmo SHA-1

L'algoritmo SHA-1 è deprecato in UEK R7U3 mentre è in modalità FIPS e verrà rimosso nelle prossime release di UEK. L'algoritmo SHA-1 è stato ritirato dal National Institute of Standard and Technology (NIST) perché l'algoritmo hash SHA-1 non è più considerato sicuro. Per ulteriori dettagli su SHA-1, consultare le note di rilascio di Oracle Linux.

Documentazione dell'infrastruttura Oracle Cloud