Oracle Cloud Infrastructureドキュメント

UEK R7U3の新機能および変更点

UEK R7U3で導入された新機能、拡張機能およびその他の重要な変更。

カーネル・バージョン

UEK R7U3は、最初にバージョン5.15.0-300.163.18のカーネルでリリースされます。

(aarch64)アームの64kベース・ページ・サイズ

基本の4kページ・サイズを設定するUEK for Arm (aarch64)の標準ビルドに加えて、64kベース・ページ・サイズを設定するkernel-uek64kパッケージは、Oracle Cloud InfrastructureのAmpere Armベースのコンピュート・シェイプでのみ使用できます。OCI以外のユース・ケースでは、kernel-uek64パッケージはテクニカル・プレビューとしてのみ使用できます。

64kページ・サイズのカーネルは、大規模で連続したメモリー・データセットを持つワークロードを処理し、一部のタイプのメモリーおよびCPU集中型の操作でパフォーマンスを向上させることができるAmpere (Armベース)プラットフォームにとって有用なオプションです。

4kページ・サイズのカーネルは、物理システムのメモリー使用量を最小限に抑えることが優先される小規模な環境に役立ちます。

4kページ・サイズのカーネルと64kページ・サイズのカーネルは、ユーザー・スペースが同じであるため、ユーザー・エクスペリエンスが異なります。

kernel-uek64kを使用してインストールしたシステムの4kカーネルページサイズへの切り替えはサポートされません。

kernel-uek64kのインストール

ノート

NVIDIA Graceコンピュート・シェイプのページ・サイズは、デフォルトで64kに設定されています。オプションで、Ampereシェイプの4kデフォルト・ページ・サイズから64kページ・サイズに変更できます。
ノート

Oracle Cloud Infrastructure (OCI)以外のシステムへのkernel-uek64kのインストールは、テクニカル・プレビューとしてのみ利用可能です。このカーネルをOCIの外部の本番システムにインストールしないでください。

標準の4kページ・サイズkernel-uekでインストールされたシステムにkernel-uek64kをインストールするには:

  1. kernel-uek64kパッケージをインストールします。 
    sudo dnf install -y kernel-uek64k
  2. 64kページ・サイズのカーネルをデフォルトのカーネルとして設定します。 
    sudo grubby --set-default=$(echo /boot/vmlinuz*64k)

    複数の64kページ・カーネルがインストールされている場合は、デフォルトにするカーネルを明示的に宣言する必要があります。例:

    sudo grubby --set-default=/boot/vmlinuz-5.15.0-306.177.4.1.el9uek.aarch64.64k
  3. システムをリブートします。 
    sudo reboot
  4. システムを再起動したら、ページ・サイズが64kであることを確認します。 
    getconf PAGESIZE

    PAGESIZEが65536を返す場合、64kカーネルがロードされます。PAGESIZEが4096を返す場合、4kカーネルがロードされ、デフォルトのカーネルが正しく設定されていることを確認する必要があります。

    実行中のカーネルに64kの文字列が含まれていることを確認することもできます。次に例を示します。

    uname -a|grep 64k
  5. システムが64kカーネルを実行している場合は、将来の競合を回避するために、4kページ・サイズのカーネル・パッケージの削除に進みます。 
    sudo dnf erase kernel-uek-core

NFSのTLS暗号化接続

RPC-With-TLSは、Linux NFSサーバーおよびクライアントで有効になっています。この更新では、TLSを使用した暗号化された接続を介した標準ベースのピア認証メカニズムが提供されます。TLSレコードプロトコルはkTLSによって完全に処理されます。

この機能を使用するには、サーバー・システムとクライアント・システムの両方でUEK R7U3以降を実行するか、RFC 9289をサポートするカーネルおよびユーザー領域クライアントを実行する必要があることに注意してください。ユーザー領域パッケージktls-utilsも必要であり、クライアント・システムとサーバー・システムの両方にインストールする必要があります。また、最新バージョンのnfs-utilsパッケージがインストールされていること、または完全なシステム更新が完了していることも確認します。

RPC-With-TLSは、Oracleによってアップストリームに寄与し、RFC 9289で説明されています。

TIOCSTIの堅くなる選択

TIOCSTIは、Linuxカーネルのioctlシステム・コールで、制御TTYの入力キューに文字をプッシュして、プロセスが端末入力をシミュレートできるようにします。この従来のメカニズムは、悪意のある目的で悪用される可能性があります。Oracle Linuxを実行しているシステムでは、常にこれを無効化することをお薦めします。

TIOCSTIを無効にしてシステムを強化します。sysfsパラメータdev.tty.legacy_tiocstiの値を0に設定します。たとえば、次のように実行します。

echo "dev.tty.legacy_tiocsti = 0" | sudo tee -a /etc/sysctl.d/50-tiocsti.conf
sudo sysctl -p /etc/sysctl.d/50-tiocsti.conf
ノート

CAP_SYS_ADMIN (BRLTTYなど)で実行されるプロセスは、この機能が無効になっている場合でもTIOCSTIを使用できます。

BPF-LSMがブート時に有効

BPF-LSM (Berkeley Packet Filter (BPF)プログラムを Linux Security Module (LSM)フックに接続してセキュリティー強化を実装する機能)は、すべてのUEK R7カーネル構成で有効になっていますが、以前にこの機能を使用するには lsm=bpfブートコマンド行オプションの設定が必要でした。

このリリースでは、bpfがCONFIG_LSMに追加されるため、ブート時に手動で有効にする必要はありません。

次を実行して、BPFがLSMに追加されていることを確認できます。

cat /sys/kernel/security/lsm
ノート

この機能は、UEK R7U3エラッタ・リリースで有効になっており、kernel-UEK-5.15.0-315.196.5以降で使用できます。

更新されたドライバ

ハードウェアおよびストレージ・ベンダーと緊密に連携し、Oracleでは、メインラインLinux 5.15.0のバージョンからデバイス・ドライバにいくつか更新しました。

多くのドライバモジュールはバージョン情報を追跡しなくなりました。Oracleはベンダーと連携して、UEK R7U3に含まれるデバイス・ドライバをアップストリーム・カーネル・バージョンで使用可能なコードに連携させます。

次の表に、重要なドライバ更新を示します。

ドライバの配置
ドライバ・モジュール ドライバの説明 整列されたカーネル・バージョン 重要な更新

mlx5

NVIDIA第5世代ネットワーク・アダプタ(NVIDIA ConnectXシリーズ)コア・ドライバ

6.7

該当なし

lpfc

Broadcom EmulexファイバチャネルHBAドライバ

6.9

該当なし

qla2xxx

Marvell QLogic Fibre Channel HBAドライバ

6.10

該当なし

mpt3sas

Broadcom (以前のLSI) MPT Fusion SAS 3.0デバイスドライバ

6.9

該当なし

megaraid_sas

Broadcom MegaRAID SASドライバ

6.9

該当なし

mpi3mr

Broadcom MPI3ストレージコントローラデバイスドライバ

6.10

該当なし

smartpqi

Microchip Smart Familyコントローラ・ドライバ

6.9

該当なし

bnxt_en

Broadcom BCM573xxネットワーク・ドライバー

6.8

ドライバには、最新のBCM57608チップで動作するパッチが含まれるようになりました。

mana

Microsoft Azureネットワーク・アダプタ

6.10

該当なし

非推奨および削除された機能

次の機能は非推奨であるか、UEK R7U3で使用できなくなりました。

  • カーネルリングバッファーへの無制限アクセスは非推奨です。

    dmesgコマンド出力を介したカーネルリングバッファーへの非特権アクセスは非推奨であり、UEKの将来のリリースで削除されます。dmesgコマンドの実行時に管理者特権にエスカレートするには、sudoコマンドを使用します。カーネル・リング・バッファへのアクセスを制限するには、kernel.dmesg_restrict sysfsパラメータを1に設定します。

  • 実行時にSELinuxを無効にするためのCONFIG_SECURITY_SELINUX_DISABLEおよびCONFIG_SECURITY_WRITABLE_HOOKSオプション

    SELinuxファイル・システム(selinuxfs)の/sys/fs/selinux/disableノードを使用すると、ポリシーがカーネルにロードされる前に、実行時にSELinuxを無効にできます。このメカニズムを使用して無効にした場合、SELinuxはシステムが再起動されるまで無効のままになります。

    実行時に SELinuxを無効にするオプションにより、「__ro_after_init」機能を使用してカーネルのLSMフックをセキュリティー保護することが困難になります。したがって、これらのオプションは、このUEKリリースでは非推奨です。

    SELinuxを無効にする推奨方法は、selinux=0ブート・パラメータを使用することです。

  • CONFIG_CRYPTO_OFBおよびCONFIG_CRYPTO_CFB暗号化モード

    TPM2暗号化に使用されるCFB (Cipher Feedback)モード(NIST SP800-38A)と、ブロック暗号を同期ストリーム暗号に変換するために使用されるOFB (Output Feedback)モード(NIST SP800-38A)は、このUEKリリースでは非推奨であり、将来のUEKリリースでカーネルから削除される可能性があります。

  • 3DES/DES3 RPCSEC GSS暗号化タイプのCONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DESオプション

    RPCSEC GSS暗号化タイプDESおよびTriple-DES (3DES/DES3)は、このUEKリリースでは非推奨であり、将来のUEKリリースではカーネルから削除される可能性があります。

    これらの暗号化タイプは、安全でないことが知られているため、RFC 6649および8429によって非推奨になりました。

  • NFSv2クライアントおよびサーバーの CONFIG_NFS_V2および CONFIG_NFSD_V2オプション

    NFSv2クライアントおよびNFSv2サーバーのサポートは、このUEKリリースでは非推奨であり、将来のUEKリリースではカーネルから削除される可能性があります。

    NFSv2は長い間 NFSv3および NFSv4に置き換えられており、機能性、パフォーマンス、およびセキュリティーが向上しています。

  • UDP経由の NFSv3の CONFIG_NFS_DISABLE_UDP_SUPPORTオプション

    UDPネットワーク・プロトコルを介したNFSバージョン3のサポートは、このUEKリリースでは非推奨であり、将来のUEKリリースでカーネルから削除される可能性があります。

    最新のNFS/RPC over TCPおよびRDMA実装は、UDPよりも優れたパフォーマンスを提供し、輻輳制御と組み合わせたデータの信頼性の高い順序付き配信を提供します。

    同じ理由で、NFSv4は UDP上でまだサポートされていないことに注意してください。

  • CONFIG_STAGINGオプション

    CONFIG_STAGINGカーネル構成オプションを使用すると、必ずしも最高のカーネル品質レベルを満たしているとは限らず、単にテスト用に使用できるようになっているドライバを選択できます。ただし、カーネル・オプションCONFIG_STAGINGは、このUEKリリースでは非推奨であり、将来のリリースで削除される可能性があります。

  • CONFIG_IXGBオプション

    Intel PRO/10GbEハードウェア用の CONFIG_IXGBは非推奨であり、将来のUEKリリースではカーネルから削除される可能性があります。

  • CONFIG_IP_NF_TARGET_CLUSTERIPオプション

    専用のロード・バランシング・ルーターまたはスイッチを使用せずにネットワーク・サーバーのロード・バランシング・クラスタを構築できるCONFIG_IP_NF_TARGET_CLUSTERIPオプションは、Netfilterクラスタにすでに存在する機能を優先して非推奨になりました。

  • CONFIG_EFI_VARSオプション

    UEFI変数を構成するために efivars sysfsインタフェースを提供した CONFIG_EFI_VARSオプションは、アップストリームカーネルから削除され、このリリースのUEKでは非推奨です。2012年以来、カーネルには代替機能が存在しています。詳細は、https://www.kernel.org/doc/html/latest/filesystems/efivarfs.htmlを参照してください。

  • Firewireドライバ

    CONFIG_FIREWIREオプションは Oracle Linux 9で無効にされました。したがって、Firewireドライバは非推奨であり、このUEKリリースでは使用できません。

  • crashkernel=autoオプション

    crashkernel=autoオプションは非推奨であり、Oracle Linux 9でサポートされなくなり、Oracle Linux 9のUEK R7でもサポートされませんRaspberry Piなどの一部のプラットフォームでは、crashkernelメモリー予約に上限があり、これらを明示的に指定する必要があります。このオプションは、将来のUEKリリースで削除されます。

  • 複数のネットワークスケジューラモジュール

    次のネットワークスケジューラモジュールは非推奨です。

    • cls_tcindex
    • cls_rsvp
    • sch_dsmark
    • sch_atm
    • sch_cbq

    これらのモジュールは、無効またはブロックリストに登録され、UEKの将来のリリースで削除される可能性があります。モジュールは、アップストリームLinuxカーネルですでに削除されています。

  • resilient_rdmaipモジュールは非推奨です

    resilient_rdmaipモジュールは、UEK R7では非推奨です。このモジュールは、今後のUEKリリースで削除されます。

  • SHA-1アルゴリズム

    FIPSモードでは、SHA-1アルゴリズムはUEK R7U3で非推奨になり、将来のUEKリリースで削除されます。SHA-1ハッシュアルゴリズムはもはや安全とはみなされないため、SHA-1アルゴリズムはNational Institute of Standard and Technology (NIST)によって廃止されました。SHA-1の詳細は、Oracle Linuxのリリースノートを参照してください。