Oracle Cloud Infrastructureドキュメント

UEK 8U1の新機能および変更点

UEK 8U1では、次の新機能、拡張機能および重要な変更が導入されています。

カーネル・バージョン

UEK 8U1は当初、6.12.0-100.28.2バージョンのカーネルでリリースされています。

dmesg管理者権限の強化

UEK 8U1は、SECURITY_DMESG_RESTRICTフラグを有効にして構築されています。システムでUEK 8U1が実行されているときにdmesgコマンドを実行するには、管理者権限が必要です。

この更新により、システムに関する機密情報への無制限のアクセスが防止されます。dmesgの実行時に管理者権限を取得するには、sudoコマンドを使用します。

この制限を緊急に無効にする必要がある場合は、sudo sysctl kernel.dmesg_restrict=0を実行して制限を一時的に無効にできます。または、/etc/sysctl.d/ディレクトリにあるシステム構成ファイルに構成エントリを追加できます。

echo "kernel.dmesg_restrict = 0" | sudo tee /etc/sysctl.d/dmesg-restrict
sudo sysctl --system

これを行う前に、この制限を無効にするセキュリティ・リスクを考慮し、この要件を別の方法で解決する方がよいかどうかを評価します。

更新されたドライバ

UEK 8U1に含まれるデバイス・ドライバは、アップストリーム・メインラインLinux 6.12カーネルのドライバと連携しています。ドライバに、以降のアップストリームカーネルバージョンで使用可能な機能または修正が含まれるいくつかの重要な更新が含まれています。

多くのドライバモジュールはバージョン情報を追跡しなくなりました。Oracleはベンダーと連携して、UEK 8U1に含まれるデバイス・ドライバをアップストリーム・カーネル・バージョンで使用可能なコードに揃えます。

次の表に、重要なドライバ更新を示します。

ドライバの配置
ドライバ・モジュール ドライバの説明 整列されたカーネル・バージョン 重要な更新

megaraid_sas

Broadcom MegaRAID SASドライバ

6.15

このリリースでは、6.15からのいくつかの修正および改善がバックポートされました。このドライバにはバージョン文字列07.734.00.00-rc1が含まれていることに注意してください。

mgag200

HPE MGA G200 SEドライバ

6.12

 HPE Gen12サーバー上の新しいiLO7デバイスのパートナー提供の更新。

mpi3mr

Broadcom MPI3ストレージコントローラデバイスドライバ

6.15

このリリースでは、6.15からのいくつかの修正および改善がバックポートされました。このドライバにはバージョン文字列8.13.0.5.50が含まれていることに注意してください。

mpt3sas

Broadcom LSI MPT Fusion SAS 3.0デバイス・ドライバー

6.15

このリリースでは、6.15からのいくつかの修正および改善がバックポートされました。このドライバにはバージョン文字列52.100.00.00が含まれていることに注意してください。

非推奨および削除された機能

次の機能は、UEK 8U1で非推奨になったり、削除されたり、サポートされなくなりました。

非推奨の機能

  • SHA-1アルゴリズム

    FIPSモードでは、SHA-1アルゴリズムはUEK 8U1で非推奨になり、将来のUEKリリースで削除されます。SHA-1ハッシュアルゴリズムはもはや安全とはみなされないため、SHA-1アルゴリズムはNational Institute of Standard and Technology (NIST)によって廃止されました。SHA-1の使用方法および非推奨の詳細は、Oracle Linuxリリース・ノートを参照してください。

  • kernel-uek-modules-deprecatedパッケージに移動されたカーネル・モジュールは非推奨になりました。

    これらのモジュールは、UEKの将来のリリースで削除される可能性があります。

    詳細なリストについては、UEK 8 Module Deprecations (x86_64)および UEK 8 Module Deprecations (aarch64)を参照してください。

  • cgroupsv1は非推奨です

    cgroupsv1は、Oracle Linux 9では非推奨であり、Oracle Linux 10では削除されます。

  • XFS_SUPPORT_V4は非推奨です

    V4ファイルシステム形式には、ディスク上の形式の既知の弱点が含まれています。したがって、このオプションはUEK 8U1で非推奨になり、将来のUEKリリースで削除されます。

    xfs_db -r -c version <device>コマンドを実行して、ファイルシステムがV4を使用するようにフォーマットされているかどうかを確認できます。

    この機能が有効になっている場合は、データのバックアップ、デバイスの再フォーマット、およびデータの復元を行う必要があります。

  • XFS_SUPPORT_ASCII_CIは非推奨です

    XFS ASCIIの大/小文字を区別しない名前機能は、UEK 8U1では非推奨であり、将来のUEKリリースで削除されます。この機能では、大/小文字の区別を無効にするために、ascii-ciオプションを有効にしてXFSファイル・システムをフォーマットするオプションが提供されました。

    この機能が有効かどうかは、xfs_infoコマンドを使用して確認できます。

    この機能が有効になっている場合は、データをバックアップし、オプションを無効にしてデバイスを再フォーマットし、データを復元する必要があります。

  • CONFIG_SECURITY_SELINUX_DISABLEおよび CONFIG_SECURITY_WRITABLE_HOOKSオプションは無効です

    sysfsインタフェースを使用して実行時にSELinuxを無効にするオプションは、このUEKリリースでは削除されます。

    SELinuxを無効にする推奨方法は、selinux=0ブート・パラメータを使用することです。

削除された機能

  • カーネルリングバッファーへの無制限アクセスは削除されます。

    dmesgコマンド出力を介したカーネルリングバッファーへの特権のないアクセスは、このリリースでは削除されます。dmesgコマンドの実行時に管理者特権にエスカレートするには、sudoコマンドを使用します。dmesg Hardening for Administrator Privilegesを参照してください。

  • 3DES/DES3 RPCSEC GSS暗号化タイプのCONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DESオプションは無効です

    RPCSEC GSS暗号化タイプDESおよびTriple-DES (3DES/DES3)は、このUEKリリースで削除されます。

    これらの暗号化タイプは、安全でないことが知られているため、RFC 6649および8429によって非推奨になりました。

  • NFSv2クライアントおよびサーバーの CONFIG_NFS_V2および CONFIG_NFSD_V2オプションが無効になっています

    このUEKリリースでは、NFSv2クライアントおよびNFSv2サーバーのサポートは削除されます。

    NFSv2は長い間 NFSv3および NFSv4に置き換えられており、機能性、パフォーマンス、およびセキュリティーが向上しています。

  • UDP経由の NFSv3の CONFIG_NFS_DISABLE_UDP_SUPPORTオプションが有効です

    UDPネットワーク・プロトコルを介したNFSバージョン3のサポートは、このUEKリリースでは削除されています。

    最新のNFS/RPC over TCPおよびRDMA実装は、UDPよりも優れたパフォーマンスを提供し、輻輳制御と組み合わせたデータの信頼性の高い順序付き配信を提供します。

    同じ理由で、NFSv4は UDP上でまだサポートされていないことに注意してください。

  • CONFIG_STAGINGオプションは無効です

    UEK 8U1では、CONFIG_STAGINGカーネル構成オプションが無効になっています。カーネル・オプションにより、必ずしもカーネル品質レベルが最も高くなく、テストに使用できるドライバが使用可能になりました。このオプションはUEK R7で非推奨になり、UEK 8U1で削除されます。

  • CONFIG_IXGBオプションは無効です

    Intel PRO/10GbEハードウェアのCONFIG_IXGBは、このUEKリリースで削除されています。

  • crashkernel= 自動削除

    crashkernel=autoオプションは、UEK R7で非推奨になり、Oracle Linux 9ではサポートされません。UEK 8U1ではカーネル・オプションが削除されます。Oracle Linuxでのcrashkernel設定の構成の詳細は、「Oracle Linuxでのカーネルおよびシステム・ブートの管理」を参照してください。

  • CONFIG_IP_NF_TARGET_CLUSTERIPオプションは無効です

    専用のロード・バランシング・ルーターまたはスイッチを使用せずにネットワーク・サーバーのロード・バランシング・クラスタを構築できるCONFIG_IP_NF_TARGET_CLUSTERIPオプションは、Netfilterクラスタにすでに存在する機能を優先して削除されます。

  • CONFIG_EFI_VARSオプションが無効

    UEFI変数を構成するために efivars sysfsインタフェースを提供した CONFIG_EFI_VARSオプションは、このリリースのUEKから削除されます。2012年以来、カーネルには代替機能が存在しています。詳細は、https://www.kernel.org/doc/html/latest/filesystems/efivarfs.htmlを参照してください。

  • Firewireドライバが削除されました

    CONFIG_FIREWIREオプションは、このUEKリリースでは無効になっています。

  • いくつかのネットワークスケジューラモジュールが削除されました

    次のネットワーク・スケジューラ・モジュールはUEK R7で非推奨になり、UEK 8U1で削除されました。

    • cls_tcindex
    • cls_rsvp
    • sch_dsmark
    • sch_atm
    • sch_cbq

  • resilient_rdmaipモジュールが削除されました

    resilient_rdmaipモジュールはUEK R7で非推奨になり、現在は削除されます。

  • oracleasmカーネルモジュールが削除されました

    oracleasmカーネル・モジュールはUEK 8U1で削除されます。このモジュールは、UEK R5およびUEK R6リリースでも引き続きサポートされています。

    Oracle ASMLibは、引き続きio_uringインタフェースを使用してサポートされます。詳細は、Oracle Linux: Oracle ASMLIB v3のインストールと構成を参照してください。

  • sundanceカーネルモジュールが削除されました

    DLink Sundance (ST201)、sundanceドライバは、UEK 8U1で削除されます。モジュールはメンテナンスされていないため、アップストリーム・カーネルで削除されました。

  • cpu5_wdtカーネルモジュールが削除されました

    cpu5_wdtウォッチドッグ・ドライバは、UEK 8U1で削除されます。モジュールは、未解決でメンテナンスが不足しているいくつかの問題があったため、アップストリーム・カーネルで削除されました。

  • i2c-amd756-s4882およびi2c-nforce2-s4985カーネル・モジュールが削除されました

    i2c-amd756-s4882およびi2c-nforce2-s4985レガシー・マキシング・ドライバは、UEK 8U1で削除されます。モジュールは古く、技術的に不正確なコードが含まれているため、アップストリーム・カーネルで削除されました。

  • CONFIG_CRYPTO_OFBおよびCONFIG_CRYPTO_CFB暗号化モード

    TPM2暗号化に使用されるCFB (Cipher Feedback)モード(NIST SP800-38A)と、ブロック暗号を同期ストリーム暗号に変換するために使用されるOFB (Output Feedback)モード(NIST SP800-38A)は、UEK 8U1で削除され、アップストリームの変更に合わせて調整されます。