Documentazione dell'infrastruttura Oracle Cloud

Nuove funzionalità e modifiche in UEK 8U1

In UEK 8U1 sono state introdotte le nuove funzioni, i miglioramenti e le modifiche importanti riportate di seguito.

Versione kernel

UEK 8U1 viene rilasciato inizialmente con la versione 6.12.0-100.28.2 del kernel.

Potenziamento dmesg per privilegi di amministratore

UEK 8U1 è stato creato con il flag SECURITY_DMESG_RESTRICT abilitato. I privilegi di amministratore sono ora necessari per eseguire il comando dmesg quando un sistema utilizza UEK 8U1.

Questo aggiornamento rafforza il sistema rispetto all'accesso illimitato alle informazioni riservate sul sistema. Utilizzare il comando sudo per ottenere privilegi di amministratore durante l'esecuzione di dmesg.

Se è necessario disabilitare con urgenza questa restrizione, è possibile eseguire sudo sysctl kernel.dmesg_restrict=0 per disabilitare temporaneamente la restrizione. In alternativa, è possibile aggiungere la voce di configurazione in un file di configurazione del sistema nella directory /etc/sysctl.d/:

echo "kernel.dmesg_restrict = 0" | sudo tee /etc/sysctl.d/dmesg-restrict
sudo sysctl --system

Prendere in considerazione il rischio per la sicurezza di disabilitare questa limitazione prima di procedere in questo modo, quindi valutare se sia meglio risolvere questo requisito in un altro modo.

Driver aggiornati

I driver inclusi in UEK 8U1 sono allineati con i driver nel kernel Linux 6.12 mainline upstream. Alcuni aggiornamenti importanti sono inclusi in cui i driver includono funzionalità o correzioni disponibili nelle versioni successive del kernel a monte.

Molti moduli driver non tengono più traccia delle informazioni sulla versione. Oracle collabora con i fornitori per allineare i driver dei dispositivi inclusi in UEK 8U1 al codice disponibile nelle versioni kernel a monte.

Nella tabella riportata di seguito vengono forniti importanti aggiornamenti dei driver.

Allineamento conducente
Modulo driver Descrizione driver Versione del kernel allineata Aggiornamenti notevoli

megaraid_sas

Driver SAS MegaRAID Broadcom

6,15

In questa release sono state riportate diverse correzioni e miglioramenti della versione 6.15. Si noti che questo driver include una stringa di versione: 07.734.00.00-rc1

mgag200

Driver HPE MGA G200 SE

6,12

 Aggiornamento fornito dal partner per i nuovi dispositivi iLO7 sui server HPE Gen12.

mpi3mr

Driver del dispositivo Broadcom MPI3 Storage Controller

6,15

In questa release sono state riportate diverse correzioni e miglioramenti della versione 6.15. Si noti che questo driver include una stringa di versione: 8.13.0.5.50

mpt3sas

Driver per dispositivi Broadcom LSI MPT Fusion SAS 3.0

6,15

In questa release sono state riportate diverse correzioni e miglioramenti della versione 6.15. Tenere presente che questo driver include una stringa di versione: 52.100.00.00

Funzioni non più valide e rimosse

Le seguenti funzionalità sono deprecate, rimosse o non sono più supportate in UEK 8U1:

Funzioni non valide

  • Algoritmo SHA-1

    L'algoritmo SHA-1 è deprecato in UEK 8U1 mentre è in modalità FIPS e verrà rimosso nelle prossime release di UEK. L'algoritmo SHA-1 è stato ritirato dal National Institute of Standard and Technology (NIST) perché l'algoritmo hash SHA-1 non è più considerato sicuro. Consulta le note di rilascio di Oracle Linux per maggiori dettagli sull'uso e l'obsolescenza di SHA-1.

  • I moduli kernel spostati nel pacchetto kernel-uek-modules-deprecated non sono più validi.

    Questi moduli potrebbero essere rimossi nelle prossime release di UEK.

    Per una lista dettagliata, vedere UEK 8 Module Deprecations (x86_64) e UEK 8 Module Deprecations (aarch64).

  • cgroupsv1 non è più valido

    cgroupsv1 è deprecato in Oracle Linux 9 e viene rimosso in Oracle Linux 10.

  • XFS_SUPPORT_V4 non è più valido

    Il formato del file system V4 contiene punti deboli noti nel formato su disco. Pertanto, l'opzione è deprecata in UEK 8U1 e verrà rimossa in una delle prossime release di UEK.

    Per verificare se il file system è formattato per l'uso di V4, eseguire il comando xfs_db -r -c version <device>.

    Se la funzione è abilitata, è necessario eseguire il backup dei dati, riformattare il dispositivo e ripristinare i dati.

  • XFS_SUPPORT_ASCII_CI non è più valido

    La funzione di nome senza distinzione tra maiuscole e minuscole XFS ASCII è deprecata in UEK 8U1 e verrà rimossa nelle prossime release di UEK. La funzione ha fornito un'opzione per formattare un file system XFS con l'opzione ascii-ci abilitata per disabilitare la distinzione tra maiuscole e minuscole.

    È possibile verificare se la funzione è abilitata utilizzando il comando xfs_info.

    Se la funzione è abilitata, è necessario eseguire il backup dei dati, riformattare il dispositivo con l'opzione disabilitata e ripristinare i dati.

  • Le opzioni CONFIG_SECURITY_SELINUX_DISABLE e CONFIG_SECURITY_WRITABLE_HOOKS sono disabilitate

    In questa release di UEK non è più possibile disabilitare SELinux in fase di esecuzione utilizzando l'interfaccia sysfs.

    Il metodo preferito per disabilitare SELinux è l'uso del parametro di boot selinux=0

Funzioni rimosse

  • L'accesso illimitato al buffer ring del kernel viene rimosso.

    In questa release l'accesso senza privilegi al buffer ring del kernel tramite l'output del comando dmesg è stato rimosso. Utilizzare il comando sudo per passare ai privilegi di amministratore durante l'esecuzione del comando dmesg. Vedere Dmesg Hardening for Administrator Privileges.

  • L'opzione CONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DES per i tipi di cifratura 3DES/DES3 RPCSEC GSS è disabilitata

    In questa release di UEK i tipi di cifratura RPCSEC GSS DES e Triple-DES (3DES/DES3) sono stati rimossi.

    Questi tipi di crittografia sono stati deprecati da RFC 6649 e 8429 perché sono noti per essere insicuri.

  • Le opzioni CONFIG_NFS_V2 e CONFIG_NFSD_V2 per il client e il server NFSv2 sono disabilitate

    In questa release di UEK il supporto per i client NFSv2 e i server NFSv2 non è più supportato.

    NFSv2 è stato a lungo sostituito da NFSv3 e NFSv4, in quanto offre funzionalità, prestazioni e sicurezza superiori.

  • L'opzione CONFIG_NFS_DISABLE_UDP_SUPPORT per NFSv3 su UDP è abilitata

    Il supporto per NFS versione 3 tramite il protocollo di rete UDP è stato rimosso in questa release di UEK.

    Le moderne implementazioni NFS/RPC su TCP e RDMA offrono prestazioni migliori rispetto a UDP e forniscono una consegna ordinata affidabile dei dati combinata con il controllo della congestione.

    Si noti che NFSv4 non è già supportato su UDP per gli stessi motivi.

  • L'opzione CONFIG_STAGING è disabilitata

    L'opzione di configurazione del kernel CONFIG_STAGING è disabilitata in UEK 8U1. L'opzione kernel rendeva disponibili driver che non necessariamente soddisfano il livello di qualità del kernel più elevato e che erano disponibili per l'uso di prova. L'opzione è deprecata in UEK R7 e viene rimossa in UEK 8U1.

  • L'opzione CONFIG_IXGB è disabilitata

    CONFIG_IXGB per l'hardware Intel PRO/10GbE viene rimosso in questa release UEK.

  • crashkernel=auto rimosso

    L'opzione crashkernel=auto non è più valida in UEK R7 e non è supportata per Oracle Linux 9. L'opzione kernel viene rimossa in UEK 8U1. Per ulteriori informazioni sulla configurazione dell'impostazione crashkernel su Oracle Linux, vedere Managing Kernels and System Boot on Oracle Linux.

  • L'opzione CONFIG_IP_NF_TARGET_CLUSTERIP è disabilitata

    L'opzione CONFIG_IP_NF_TARGET_CLUSTERIP che consente di creare cluster di bilanciamento del carico di server di rete senza un router o uno switch di bilanciamento del carico dedicato viene rimossa a favore delle funzionalità già presenti nella corrispondenza del cluster Netfilter.

  • Opzione CONFIG_EFI_VARS disabilitata

    L'opzione CONFIG_EFI_VARS che ha fornito l'interfaccia sysfs di efivars per configurare le variabili UEFI è stata rimossa da questa release di UEK. La funzionalità di sostituzione è presente nel kernel dal 2012. Per ulteriori informazioni, vedere https://www.kernel.org/doc/html/latest/filesystems/efivarfs.html.

  • Driver Firewire rimosso

    L'opzione CONFIG_FIREWIRE è disabilitata in questa release UEK.

  • Diversi moduli dello scheduler di rete rimossi

    I seguenti moduli dello scheduler di rete sono deprecati in UEK R7 e sono ora rimossi in UEK 8U1:

    • cls_tcindex
    • cls_rsvp
    • sch_dsmark
    • sch_atm
    • sch_cbq

  • Modulo resilient_rdmaip rimosso

    Il modulo resilient_rdmaip è deprecato in UEK R7 ed è ora rimosso.

  • Modulo kernel oracleasm rimosso

    Il modulo kernel oracleasm viene rimosso in UEK 8U1. Si noti che questo modulo continua ad essere supportato nelle versioni UEK R5 e UEK R6.

    Oracle ASMLib continua a essere supportato mediante interfacce io_uring. Per ulteriori informazioni, vedere Oracle Linux: Installing and Configuring Oracle ASMLIB v3.

  • Modulo kernel sundance rimosso

    Il driver DLink Sundance (ST201), sundance, viene rimosso in UEK 8U1. Il modulo è stato rimosso nel kernel a monte perché non è stato mantenuto.

  • Modulo kernel cpu5_wdt rimosso

    Il driver del watchdog cpu5_wdt viene rimosso in UEK 8U1. Il modulo è stato rimosso nel kernel a monte perché presentava diversi problemi non risolti e privi di manutenzione.

  • Moduli kernel i2c-amd756-s4882 e i2c-nforce2-s4985 rimossi

    I driver legacy muxing i2c-amd756-s4882 e i2c-nforce2-s4985 vengono rimossi in UEK 8U1. Il modulo è stato rimosso nel kernel a monte perché sono vecchi e contengono codice tecnicamente impreciso.

  • Modalità di cifratura CONFIG_CRYPTO_OFB e CONFIG_CRYPTO_CFB

    La modalità CFB (Cipher Feedback) (NIST SP800-38A) utilizzata per la crittografia TPM2 e la modalità OFB (Output Feedback) (NIST SP800-38A) utilizzata per trasformare una cifra a blocchi in una cifra di flusso sincrona vengono rimosse in UEK 8U1, per allinearsi alle modifiche a monte.