Documentazione dell'infrastruttura Oracle Cloud

Nuove funzionalità e modifiche in UEK 8U2

In UEK 8 sono state introdotte le nuove funzioni, i miglioramenti e le modifiche importanti riportate di seguito.

Versione kernel

UEK 8U2 viene rilasciato inizialmente con la versione 6.12.0-200.74.27 del kernel.

Implementazione del modulo Kernel FIPS 140-3

Un nuovo modulo kernel standalone FIPS 140 è disponibile nel tentativo di riprogettare e ridurre il limite del modulo crittografico FIPS 140-3 incapsulando un'API di crittografia kernel stabile all'interno di un modulo kernel standalone fips140.ko.

Questo cambiamento aiuta a fornire la separazione tra il modulo crittografico e il resto del kernel, quindi la certificazione FIPS può essere indirizzata al modulo crittografico utilizzato dal kernel. Questa implementazione significa che il limite del modulo crittografico non cambia ogni volta che il kernel viene compilato e fornisce maggiore fiducia nella certificazione.

La nuova implementazione incorpora il modulo fips140.ko e il digest HMAC nell'immagine del kernel vmlinux dopo la compilazione. L'HMAC viene controllato quando il modulo viene caricato utilizzando l'algoritmo HMAC dall'interno del fips140.ko stesso. Il modulo e il suo digest vengono caricati in memoria insieme al resto del kernel dal boot loader quando la modalità FIPS è abilitata. Questi componenti crittografici possono essere facilmente estratti dall'immagine del kernel a scopo di verifica.

Nota

Questa modifica è trasparente e si continua ad abilitare la modalità FIPS allo stesso modo di prima.

Riparazione online XFS

La riparazione del file system online XFS è supportata con UEK 8U2 e versioni successive. In questa release, il tag sperimentale viene rimosso dagli strumenti.

È possibile utilizzare questa funzione per controllare e riparare i file system XFS mentre rimangono attivati e completamente operativi. La riparazione online XFS può ridurre i tempi di inattività e migliorare la manutenibilità per implementazioni mission-critical e su larga scala.

La riparazione del file system in linea XFS viene eseguita utilizzando la utility xfs_scrub, in grado di rilevare e correggere il danneggiamento dei metadati senza richiedere il NO MOUNT o l'interruzione dei carichi di lavoro attivi. È possibile eseguire xfs_scrub per verificare sistematicamente i metadati del file system, ad esempio gli inodi, le directory e i gruppi di allocazione. Quando vengono rilevate incoerenze, lo strumento fornisce opzioni per eseguire riparazioni mirate mentre è online.

Per utilizzare questa funzione, assicurarsi che nel sistema siano in esecuzione UEK 8 o versioni successive e gli strumenti dello spazio utente XFS più recenti.

Vedere la pagina del manuale xfs_scrub(8). Vedere anche https://docs.kernel.org/filesystems/xfs/xfs-online-fsck-design.html.

Profilazione allocazione memoria

La profilazione di allocazione della memoria è disponibile in UEK 8U2. Questa funzione tiene traccia dell'allocazione della memoria per facilitare la revisione della posizione in cui viene utilizzata la memoria e il monitoraggio delle perdite di memoria. La funzione utilizza il codice tagging per tenere traccia di dove è stata allocata la memoria, quando viene liberata la memoria allocata, il numero di allocazioni e la quantità di memoria ancora in uso.

L'opzione è disabilitata per impostazione predefinita, ma può essere abilitata al boot mediante il parametro di boot: 

sysctl.vm.mem_profiling=1

È possibile accedere alle informazioni di runtime per la profilazione dell'allocazione di memoria in /proc/allocinfo.

Per ulteriori informazioni, vedere https://docs.kernel.org/mm/allocation-profiling.html. Si noti che l'opzione compressa per la profilazione dell'allocazione della memoria non è disponibile in UEK 8U2.

Pagine Lightweight Guard

Questa release introduce pagine di protezione leggere che forniscono un modo per contrassegnare le aree della memoria virtuale in modo da attivare gli errori di segmentazione (SIGSEGV) quando si accede. Questa funzione è importante per gli stack di thread e gli allocatori di memoria userland. Il meccanismo è progettato per rimuovere qualsiasi sovraccarico di memoria, utilizzando marcatori di protezione piuttosto che creare o dividere aree di memoria virtuale (VMA).

Prima di leggere pagine di protezione, la funzionalità simile è stata raggiunta utilizzando mmap(.., PROT_NONE), che ha sostenuto il sovraccarico di memoria. Man mano che i processi e i thread aumentano utilizzando questo metodo, il sovraccarico aumenta. Inoltre, la memoria mappata in questo modo rimane non disponibile per l'allocazione ai processi utente. Utilizzando pagine di protezione leggere, il sovraccarico viene evitato e si ottengono significativi guadagni di memoria.

L'aggiornamento utilizza i nuovi comandi madvise():

  • MADV_GUARD_INSTALL installa gli indicatori di protezione e rimuove i mapping esistenti nell'intervallo. L'installazione si applica solo alla memoria anonima e l'installazione non è consentita per VMA speciali, enormi o bloccati (fittizi).
  • MADV_GUARD_REMOVE rimuove solo gli indicatori di protezione, mantenendo intatte le normali mappature.

Gli intervalli protetti persistono su MADV_DONTNEED o MADV_FREE (protezione garantita fino alla rimozione), ma vengono cancellati con il teardown del processo o l'annullamento esplicito della mappatura.

AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP)

AMD Secure Encrypted Virtualization (SEV) e AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) sono componenti chiave nella tecnologia di elaborazione confidenziale di AMD. SEV è una funzionalità basata su hardware che crittografa la memoria delle macchine virtuali in esecuzione su processori AMD EPYC, per proteggere i dati della VM dall'accesso non autorizzato da parte dell'host hypervisor, anche se l'host hypervisor è compromesso. SEV utilizza una chiave di cifratura dedicata per ogni VM, gestita dal processore. SEV deve essere abilitato sia nel sistema operativo guest che nell'host hypervisor KVM per funzionare.

Su Oracle Linux 9 e Oracle Linux 10, UEK 8U2 include il supporto guest e hypervisor per SEV-SNP, che consente di prevenire attacchi malevoli basati su hypervisor, come la replica dei dati e il remapping della memoria, tra altri vettori come gli attacchi dei canali laterali. SEV-SNP è disponibile su server basati su AMD E4 o versioni successive (Milano). Questa funzionalità richiede le versioni più recenti dei pacchetti edk2-ovmf e qemu.

Nota

Il computing riservato che utilizza SEV-SNP è una funzione di anteprima tecnica se utilizzata al di fuori di Oracle Cloud Infrastructure (OCI).

Estensioni di dominio Intel Trust (TDX)

Intel Trust Domain Extensions (TDX) è la tecnologia di elaborazione riservata di Intel utilizzata per fornire ambienti di esecuzione affidabili. TDX viene utilizzato per distribuire carichi di lavoro virtuali nei domini fiduciari (TD) per fornire isolamento basato su hardware gestendo e cifrando la memoria per mantenere l'integrità e la riservatezza degli stati CPU all'interno dei TD.

Su Oracle Linux 9 e Oracle Linux 10, UEK 8U2 include supporto per guest e hypervisor per TDX.

Per ulteriori informazioni, vedere https://www.intel.com/content/www/us/en/developer/tools/trust-domain-extensions/overview.html.

Nota

La computazione riservata che utilizza TDX è una funzione di anteprima tecnica se utilizzata al di fuori di OCI.

Il client CIFS può creare file speciali che includono collegamenti simbolici nelle condivisioni SMB

Il client CIFS (Common Internet File System) può creare collegamenti simbolici, collegamenti simbolici, riconosciuti da Server Message Block (SMB), Network File System (NFS) e Windows Subsystem for Linux (WSL). Usare l'opzione di attivazione symlink=default|none|native|unix|mfsymlinks|sfu|nfs|wsl per non consentire la creazione di collegamenti simbolici o per selezionare il tipo di collegamenti simbolici creati dal client.

Il client può anche creare altri file speciali, inclusi dispositivi a caratteri, dispositivi a blocchi, tubi e socket. Questi file vengono creati come punti di riparazione NFS o WSL utilizzando l'opzione di attivazione reparse=default|none|nfs|wsl. Per creare socket Windows nativi utilizzati dalle applicazioni Windows su NTFS, utilizzare l'opzione di attivazione nativesocket.

Driver aggiornati

I driver inclusi in UEK 8U2 sono allineati con i driver nel kernel Linux 6.12 mainline a monte. Alcuni aggiornamenti importanti sono inclusi in cui i driver includono funzionalità o correzioni disponibili nelle versioni successive del kernel a monte.

Molti moduli driver non tengono più traccia delle informazioni sulla versione. Oracle collabora con i fornitori per allineare i driver dei dispositivi inclusi in UEK 8U2 al codice disponibile nelle versioni kernel a monte.

Nella tabella riportata di seguito vengono forniti importanti aggiornamenti dei driver.

Allineamento conducente
Modulo driver Descrizione driver Versione del kernel allineata Aggiornamenti notevoli

amd_hsmp

Driver interfaccia piattaforma HSMP AMD

6,18

Gli aggiornamenti della versione 6.18 sono stati riportati in questa release. Aggiornamenti per AMD EPYC Zen6.

i40e

Driver di rete Intel Ethernet Connection XL710

6,12

Aggiunta opzione mdd-auto-reset-vf.

idxd

Driver comune Intel Data Streaming Accelerator e In-Memory Analytics Accelerator

-

Correzione di bug per accel-config enable-wq.

ixgbe

Driver di rete Intel 10 Gigabit PCI Express

-

Aggiornamento del driver per i dispositivi di rete Intel E610 Series.

lpfc

Driver HBA Broadcom Emulex Fibre Channel

-

Aggiornamento driver per adattatori Fibre Channel Broadcom Emulex LPe37000/LPe38000 Series 32Gb/64Gb (rev 11).

Driver con controllo delle versioni in 14.4.0.12.

mlx5

Driver di base per adattatori di rete NVIDIA di 5a generazione (serie NVIDIA ConnectX)

6,16

In questa release sono state riportate diverse correzioni e miglioramenti della versione 6.16.

Funzioni non più valide e rimosse

Le seguenti funzionalità sono deprecate, rimosse o non sono più supportate in UEK 8:

Funzioni non valide

  • Algoritmi SHA-1, SHA-224 e SHA3-224

    Gli algoritmi SHA-1, SHA-224 e SHA3-224 sono deprecati in UEK 8 mentre sono in modalità FIPS e verranno rimossi nelle prossime release UEK. Questi algoritmi sono stati ritirati dal National Institute of Standard and Technology (NIST) perché non sono più considerati sicuri. Consulta le note di rilascio di Oracle Linux per maggiori dettagli sull'uso e l'obsolescenza di SHA-1.

  • Algoritmo BCE

    L'algoritmo ECB è deprecato in UEK 8U2 mentre è in modalità FIPS e verrà rimosso in una release futura di UEK.

  • Algoritmi di resistenza RSA2048 e ffdhe2048 (dh) a 112 bit

    Gli algoritmi di resistenza a 112 bit RSA2048 e ffdhe2048(dh) sono deprecati in UEK 8 mentre sono in modalità FIPS e verranno rimossi nelle prossime release dell'UEK.

  • I moduli kernel spostati nel pacchetto kernel-uek-modules-deprecated non sono più validi.

    Questi moduli potrebbero essere rimossi nelle prossime release di UEK.

    Per una lista dettagliata, vedere UEK 8 Module Deprecations (x86_64) e UEK 8 Module Deprecations (aarch64).

  • cgroupsv1 non è più valido

    cgroupsv1 è deprecato in Oracle Linux 9 e viene rimosso in Oracle Linux 10.

  • XFS_SUPPORT_V4 non è più valido

    Il formato del file system V4 contiene punti deboli noti nel formato su disco. Pertanto, l'opzione è deprecata in UEK 8U2 e verrà rimossa in una delle prossime release di UEK.

    Per verificare se il file system è formattato per l'uso di V4, eseguire il comando xfs_db -r -c version <device>.

    Se la funzione è abilitata, è necessario eseguire il backup dei dati, riformattare il dispositivo e ripristinare i dati.

  • XFS_SUPPORT_ASCII_CI non è più valido

    La funzionalità nome senza distinzione tra maiuscole e minuscole XFS ASCII è deprecata in UEK 8 e verrà rimossa nelle prossime release di UEK. La funzione ha fornito un'opzione per formattare un file system XFS con l'opzione ascii-ci abilitata per disabilitare la distinzione tra maiuscole e minuscole.

    È possibile verificare se la funzione è abilitata utilizzando il comando xfs_info.

    Se la funzione è abilitata, è necessario eseguire il backup dei dati, riformattare il dispositivo con l'opzione disabilitata e ripristinare i dati.

  • Le opzioni CONFIG_SECURITY_SELINUX_DISABLE e CONFIG_SECURITY_WRITABLE_HOOKS sono disabilitate

    In questa release di UEK non è più possibile disabilitare SELinux in fase di esecuzione utilizzando l'interfaccia sysfs.

    Il metodo preferito per disabilitare SELinux è l'uso del parametro di boot selinux=0

  • Il blocco dei file NLM con NFSv3 è deprecato

    Il blocco dei file NLM con NFSv3 è deprecato e potrebbe essere rimosso nelle prossime release. Il blocco dei file non è disponibile in NFSv4.

Funzioni rimosse

  • L'accesso illimitato al buffer ring del kernel viene rimosso.

    In questa release l'accesso senza privilegi al buffer ring del kernel tramite l'output del comando dmesg è stato rimosso. Utilizzare il comando sudo per passare ai privilegi di amministratore durante l'esecuzione del comando dmesg.

  • L'opzione CONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DES per i tipi di cifratura 3DES/DES3 RPCSEC GSS è disabilitata

    In questa release di UEK i tipi di cifratura RPCSEC GSS DES e Triple-DES (3DES/DES3) sono stati rimossi.

    Questi tipi di crittografia sono stati deprecati da RFC 6649 e 8429 perché sono noti per essere insicuri.

  • Le opzioni CONFIG_NFS_V2 e CONFIG_NFSD_V2 per il client e il server NFSv2 sono disabilitate

    In questa release di UEK il supporto per i client NFSv2 e i server NFSv2 non è più supportato.

    NFSv2 è stato a lungo sostituito da NFSv3 e NFSv4, in quanto offre funzionalità, prestazioni e sicurezza superiori.

  • L'opzione CONFIG_NFS_DISABLE_UDP_SUPPORT per NFSv3 su UDP è abilitata

    Il supporto per NFS versione 3 tramite il protocollo di rete UDP è stato rimosso in questa release di UEK.

    Le moderne implementazioni NFS/RPC su TCP e RDMA offrono prestazioni migliori rispetto a UDP e forniscono una consegna ordinata affidabile dei dati combinata con il controllo della congestione.

    Si noti che NFSv4 non è già supportato su UDP per gli stessi motivi.

  • L'opzione CONFIG_STAGING è disabilitata

    L'opzione di configurazione del kernel CONFIG_STAGING è disabilitata in UEK 8U2. L'opzione kernel rendeva disponibili driver che non necessariamente soddisfano il livello di qualità del kernel più elevato e che erano disponibili per l'uso di prova. L'opzione è deprecata in UEK R7 e viene rimossa in UEK 8.

  • L'opzione CONFIG_IXGB è disabilitata

    CONFIG_IXGB per l'hardware Intel PRO/10GbE viene rimosso in questa release UEK.

  • crashkernel=auto rimosso

    L'opzione crashkernel=auto non è più valida in UEK R7 e non è supportata per Oracle Linux 9. L'opzione kernel viene rimossa in UEK 8. Per ulteriori informazioni sulla configurazione dell'impostazione crashkernel su Oracle Linux, vedere Managing Kernels and System Boot on Oracle Linux.

  • L'opzione CONFIG_IP_NF_TARGET_CLUSTERIP è disabilitata

    L'opzione CONFIG_IP_NF_TARGET_CLUSTERIP che consente di creare cluster di bilanciamento del carico di server di rete senza un router o uno switch di bilanciamento del carico dedicato viene rimossa a favore delle funzionalità già presenti nella corrispondenza del cluster Netfilter.

  • Opzione CONFIG_EFI_VARS disabilitata

    L'opzione CONFIG_EFI_VARS che ha fornito l'interfaccia sysfs di efivars per configurare le variabili UEFI è stata rimossa da questa release di UEK. La funzionalità di sostituzione è presente nel kernel dal 2012. Per ulteriori informazioni, vedere https://www.kernel.org/doc/html/latest/filesystems/efivarfs.html.

  • Driver Firewire rimosso

    L'opzione CONFIG_FIREWIRE è disabilitata in questa release UEK.

  • Diversi moduli dello scheduler di rete rimossi

    I seguenti moduli dello scheduler di rete sono deprecati in UEK R7 e sono ora rimossi in UEK 8U2:

    • cls_tcindex
    • cls_rsvp
    • sch_dsmark
    • sch_atm
    • sch_cbq

  • Modulo resilient_rdmaip rimosso

    Il modulo resilient_rdmaip è deprecato in UEK R7 ed è ora rimosso.

  • Modulo kernel oracleasm rimosso

    Il modulo kernel oracleasm viene rimosso in UEK 8. Si noti che questo modulo continua ad essere supportato nelle versioni UEK R5 e UEK R6.

    Oracle ASMLib continua a essere supportato mediante interfacce io_uring. Per ulteriori informazioni, vedere Oracle Linux: Installing and Configuring Oracle ASMLIB v3.

  • Modulo kernel sundance rimosso

    Il driver DLink Sundance (ST201), sundance, viene rimosso in UEK 8. Il modulo è stato rimosso nel kernel a monte perché non è stato mantenuto.

  • Modulo kernel cpu5_wdt rimosso

    Il driver del watchdog cpu5_wdt viene rimosso in UEK 8. Il modulo è stato rimosso nel kernel a monte perché presentava diversi problemi non risolti e privi di manutenzione.

  • Moduli kernel i2c-amd756-s4882 e i2c-nforce2-s4985 rimossi

    I driver legacy muxing i2c-amd756-s4882 e i2c-nforce2-s4985 vengono rimossi in UEK 8U2. Il modulo è stato rimosso nel kernel a monte perché sono vecchi e contengono codice tecnicamente impreciso.

  • Modalità di cifratura CONFIG_CRYPTO_OFB e CONFIG_CRYPTO_CFB

    La modalità CFB (Cipher Feedback) (NIST SP800-38A) utilizzata per la crittografia TPM2 e la modalità OFB (Output Feedback) (NIST SP800-38A) utilizzata per trasformare una cifra a blocchi in una cifra di flusso sincrona vengono rimosse in UEK 8U2, per allinearsi alle modifiche a monte.