Oracle Cloud Infrastructureドキュメント

UEK 8U2の新機能および変更点

UEK 8では、次の新機能、拡張機能および重要な変更が導入されています。

カーネル・バージョン

UEK 8U2は、最初にバージョン6.12.0-200.74.27のカーネルでリリースされます。

FIPS 140-3カーネルモジュールの実装

新しいFIPS 140スタンドアロン・カーネル・モジュールは、スタンドアロンのfips140.koカーネル・モジュール内に安定したカーネル暗号化APIをカプセル化することで、FIPS 140-3暗号化モジュールの境界を再設計および縮小する作業の一環として利用できます。

この変更は、暗号化モジュールとカーネルの休止状態を分離するために役立つため、FIPS認定はカーネルによって使用される暗号化モジュールをターゲットにできます。この実装は、カーネルがコンパイルされるたびに暗号化モジュールの境界が変更されず、証明の信頼性が向上することを意味します。

新しい実装では、コンパイル後にfips140.koモジュールとHMACダイジェストがvmlinuxカーネル・イメージに埋め込まれます。HMACは、モジュールがfips140.ko自体内からHMACアルゴリズムを使用してロードされるときにチェックされます。FIPSモードが有効な場合、モジュールとそのダイジェストは、ブート・ローダーによってカーネルの休憩とともにメモリーにロードされます。これらの暗号化コンポーネントは、検証目的でカーネル・イメージから簡単に抽出できます。

ノート

この変更は透過的であり、以前と同じ方法でFIPSモードを引き続き有効にします。

XFSオンライン修理

XFSオンライン・ファイル・システムの修復は、UEK 8U2以降でサポートされています。このリリースでは、実験的タグがツールから削除されます。

この機能を使用すると、XFSファイル・システムがマウントされ完全に動作している間に、それらのファイル・システムを確認および修復できます。XFSのオンライン修復により、ダウンタイムが短縮され、ミッションクリティカルな大規模な導入のメンテナンス性が向上します。

XFSオンライン・ファイル・システムの修復は、xfs_scrubユーティリティを使用して行われます。このユーティリティを使用すると、アクティブなワークロードをアンマウントまたは中断することなく、メタデータの破損を検出して修正できます。xfs_scrubを実行して、iノード、ディレクトリ、割当てグループなどのファイル・システム・メタデータを体系的に検証できます。不整合が検出された場合、ツールはオンライン中にターゲットの修復を実行するオプションを提供します。

この機能を使用するには、システムがUEK 8以降および最新のXFSユーザー・スペース・ツールを実行していることを確認してください。

xfs_scrub(8)マニュアル・ページを参照してください。https://docs.kernel.org/filesystems/xfs/xfs-online-fsck-design.htmlも参照してください。

メモリー割り当てのプロファイリング

メモリー割当てプロファイリングは、UEK 8U2で使用できます。この機能では、メモリーの使用場所およびメモリー・リークの追跡時に役立つメモリー割当てを追跡します。この機能では、コード・タグ付けを使用して、メモリーが割り当てられた場所、割り当てられたメモリーが解放されたとき、割当ての数、および使用中のメモリーの量を追跡します。

このオプションはデフォルトで無効になっていますが、ブート時にブートパラメータを使用して有効にできます。 

sysctl.vm.mem_profiling=1

メモリー割当てプロファイリングの実行時情報には、/proc/allocinfoでアクセスします。

詳細は、https://docs.kernel.org/mm/allocation-profiling.htmlを参照してください。メモリー割当てプロファイリング用の圧縮オプションは、UEK 8U2では使用できないことに注意してください。

軽量ガードページ

このリリースでは、アクセス時にセグメンテーション・フォルト(SIGSEGV)をトリガーするように仮想メモリーのリージョンをマークする方法を提供する軽量ガード・ページが導入されています。この機能は、スレッドスタックおよびユーザーランドのメモリーアロケータにとって重要です。このメカニズムは、仮想メモリー領域(VMA)を作成または分割するのではなく、ガードマーカーを使用してメモリーオーバーヘッドを削除するように設計されています。

軽量ガード・ページより前は、mmap(.., PROT_NONE)を使用して同様の機能が実現され、メモリーのオーバーヘッドが発生していました。この方法を使用してプロセスおよびスレッドがスケール・アップすると、オーバーヘッドが増加します。また、この方法でマップされたメモリーは、ユーザー・プロセスへの割当てに使用できません。軽量ガード・ページを使用することで、オーバーヘッドが回避され、メモリーが大幅に向上します。

更新では、次の新しいmadvise()コマンドを使用します。

  • MADV_GUARD_INSTALLは、ガード・マーカーをインストールし、範囲内の既存のマッピングを削除します。インストールは匿名メモリーのみに適用され、特殊なVMA、巨大VMA、またはロックされた(モックされた) VMAではインストールは許可されません。
  • MADV_GUARD_REMOVEは、ガード・マーカーのみを削除し、通常のマッピングは変更されません。

ガードされた範囲はMADV_DONTNEEDまたはMADV_FREE (削除されるまで保護を保証)を介して保持されますが、プロセスの分解または明示的なマッピング解除によってクリアされます。

AMD Secure Encrypted Virtualization-Secure Nested Paging(SEV-SNP)

AMD Secure Encrypted Virtualization (SEV)およびAMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP)は、AMDの機密コンピューティング・テクノロジの主要コンポーネントです。SEVは、AMD EPYCプロセッサで実行されている仮想マシンのメモリーを暗号化し、ハイパーバイザ・ホストが侵害された場合でも、ハイパーバイザ・ホストによる不正アクセスからVMのデータを保護するハードウェアベースの機能です。SEVは、プロセッサによって管理されるVMごとに専用の暗号化キーを使用します。SEVが機能するには、ゲストOSとKVMハイパーバイザ・ホストの両方で有効になっている必要があります。

Oracle Linux 9およびOracle Linux 10では、UEK 8U2にSEV-SNPのゲストおよびハイパーバイザ・サポートが含まれており、これは、データ・リプレイやメモリー再マッピングなどの悪意のあるハイパーバイザベースの攻撃を、サイド・チャネル攻撃などの他のベクターで防止するのに役立ちます。SEV-SNPは、AMD E4ベースのサーバーまたはそれ以降(ミラン)で使用できます。この機能には、最新のedk2-ovmfおよびqemuパッケージ・バージョンが必要です。

ノート

SEV-SNPを使用した機密コンピューティングは、Oracle Cloud Infrastructure (OCI)の外部で使用する場合のテクニカル・プレビュー機能です。

Intel Trust Domain Extensions (TDX)

Intel Trust Domain Extensions (TDX)は、Trusted Execution Environmentsを提供するために使用される Intelの機密コンピューティングテクノロジです。TDXは、信頼ドメイン(TD)に仮想ワークロードをデプロイして、TD内のCPU状態の整合性と機密性を維持するためにメモリーを管理および暗号化することでハードウェアベースの分離を提供するために使用されます。

Oracle Linux 9およびOracle Linux 10では、UEK 8U2にTDXのゲストおよびハイパーバイザ・サポートが含まれています。

詳細は、https://www.intel.com/content/www/us/en/developer/tools/trust-domain-extensions/overview.htmlを参照してください。

ノート

TDXを使用した機密コンピューティングは、OCIの外部で使用する場合のテクニカル・プレビュー機能です。

CIFSクライアントは SMBシェアにシンボリックリンクを含む特殊ファイルを作成できます

Common Internet File System (CIFS)クライアントは、Server Message Block (SMB)、Network File System (NFS)およびWindows Subsystem for Linux (WSL)で認識されるシンボリック・リンク、シンボリック・リンクを作成できます。symlink=default|none|native|unix|mfsymlinks|sfu|nfs|wslマウントオプションを使用して、シンボリックリンクの作成を禁止したり、クライアントが作成するシンボリックリンクのタイプを選択したりします。

クライアントは、文字デバイス、ブロックデバイス、パイプ、ソケットなど、ほかの特殊ファイルも作成できます。これらのファイルは、reparse=default|none|nfs|wslマウントオプションを使用してNFSまたはWSLの再解析ポイントとして作成されます。NTFSで Windowsアプリケーションで使用されるネイティブ Windowsソケットを作成するには、nativesocketマウントオプションを使用します。

更新されたドライバ

UEK 8U2に含まれるデバイス・ドライバは、アップストリーム・メインラインLinux 6.12カーネルのドライバと連携しています。ドライバに、以降のアップストリームカーネルバージョンで使用可能な機能または修正が含まれるいくつかの重要な更新が含まれています。

多くのドライバモジュールはバージョン情報を追跡しなくなりました。Oracleはベンダーと連携して、UEK 8U2に含まれるデバイス・ドライバをアップストリーム・カーネル・バージョンで使用可能なコードに連携させます。

次の表に、重要なドライバ更新を示します。

ドライバの配置
ドライバ・モジュール ドライバの説明 整列されたカーネル・バージョン 重要な更新

amd_hsmp

AMD HSMPプラットフォーム・インタフェース・ドライバ

6.18

6.18からの更新は、このリリースにバックポートされました。主にAMD EPYC Zen6のアップデート。

i40e

Intel Ethernet Connection XL710ネットワーク・ドライバー

6.12

mdd-auto-reset-vfオプションを追加しました。

idxd

Intel Data Streaming AcceleratorおよびIn-Memory Analytics Accelerator共通ドライバ

-

accel-config enable-wqのバグ修正。

ixgbe

Intel 10 Gigabit PCI Expressネットワーク・ドライバー

-

Intel E610シリーズのネットワークデバイスのドライバ更新。

lpfc

Broadcom EmulexファイバチャネルHBAドライバ

-

Broadcom Emulex LPe37000/LPe38000シリーズ32Gb / 64Gbファイバチャネルアダプタ(rev 11)のドライバアップデート。

ドライバのバージョンは14.4.0.12です。

mlx5

NVIDIA第5世代ネットワーク・アダプタ(NVIDIA ConnectXシリーズ)コア・ドライバ

6.16

このリリースでは、6.16からのいくつかの修正および改善がバックポートされました。

非推奨および削除された機能

UEK 8では、次の機能が非推奨、削除またはサポートされなくなりました。

非推奨の機能

  • SHA-1、SHA-224およびSHA3-224アルゴリズム

    SHA-1、SHA-224、およびSHA3-224アルゴリズムは、FIPSモードの間はUEK 8で非推奨になり、将来のUEKリリースで削除されます。これらのアルゴリズムは、もはや安全とはみなされないため、National Institute of Standard and Technology (NIST)によって廃止されました。SHA-1の使用方法および非推奨の詳細は、Oracle Linuxリリース・ノートを参照してください。

  • ECBアルゴリズム

    ECBアルゴリズムは、FIPSモードの間はUEK 8U2で非推奨になり、将来のUEKリリースで削除されます。

  • 112ビット強度RSA2048およびffdhe2048(dh)アルゴリズム

    112ビット強度のRSA2048およびffdhe2048(dh)アルゴリズムは、FIPSモードの間はUEK 8で非推奨になり、将来のUEKリリースで削除されます。

  • kernel-uek-modules-deprecatedパッケージに移動されたカーネル・モジュールは非推奨になりました。

    これらのモジュールは、UEKの将来のリリースで削除される可能性があります。

    詳細なリストについては、UEK 8 Module Deprecations (x86_64)および UEK 8 Module Deprecations (aarch64)を参照してください。

  • cgroupsv1は非推奨です

    cgroupsv1は、Oracle Linux 9では非推奨であり、Oracle Linux 10では削除されます。

  • XFS_SUPPORT_V4は非推奨です

    V4ファイルシステム形式には、ディスク上の形式の既知の弱点が含まれています。したがって、このオプションはUEK 8U2で非推奨になり、将来のUEKリリースで削除されます。

    xfs_db -r -c version <device>コマンドを実行して、ファイルシステムがV4を使用するようにフォーマットされているかどうかを確認できます。

    この機能が有効になっている場合は、データのバックアップ、デバイスの再フォーマット、およびデータの復元を行う必要があります。

  • XFS_SUPPORT_ASCII_CIは非推奨です

    XFS ASCIIの大/小文字を区別しない名前機能は、UEK 8では非推奨であり、将来のUEKリリースで削除されます。この機能では、大/小文字の区別を無効にするために、ascii-ciオプションを有効にしてXFSファイル・システムをフォーマットするオプションが提供されました。

    この機能が有効かどうかは、xfs_infoコマンドを使用して確認できます。

    この機能が有効になっている場合は、データをバックアップし、オプションを無効にしてデバイスを再フォーマットし、データを復元する必要があります。

  • CONFIG_SECURITY_SELINUX_DISABLEおよび CONFIG_SECURITY_WRITABLE_HOOKSオプションは無効です

    sysfsインタフェースを使用して実行時にSELinuxを無効にするオプションは、このUEKリリースでは削除されます。

    SELinuxを無効にする推奨方法は、selinux=0ブート・パラメータを使用することです。

  • NFSv3を使用したNLMファイル・ロックは非推奨です

    NFSv3を使用したNLMファイルロックは非推奨であり、将来のリリースで削除される可能性があります。ファイルロックは NFSv4では使用できません。

削除された機能

  • カーネルリングバッファーへの無制限アクセスは削除されます。

    dmesgコマンド出力を介したカーネルリングバッファーへの特権のないアクセスは、このリリースでは削除されます。dmesgコマンドの実行時に管理者特権にエスカレートするには、sudoコマンドを使用します。

  • 3DES/DES3 RPCSEC GSS暗号化タイプのCONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DESオプションは無効です

    RPCSEC GSS暗号化タイプDESおよびTriple-DES (3DES/DES3)は、このUEKリリースで削除されます。

    これらの暗号化タイプは、安全でないことが知られているため、RFC 6649および8429によって非推奨になりました。

  • NFSv2クライアントおよびサーバーの CONFIG_NFS_V2および CONFIG_NFSD_V2オプションが無効になっています

    このUEKリリースでは、NFSv2クライアントおよびNFSv2サーバーのサポートは削除されます。

    NFSv2は長い間 NFSv3および NFSv4に置き換えられており、機能性、パフォーマンス、およびセキュリティーが向上しています。

  • UDP経由の NFSv3の CONFIG_NFS_DISABLE_UDP_SUPPORTオプションが有効です

    UDPネットワーク・プロトコルを介したNFSバージョン3のサポートは、このUEKリリースでは削除されています。

    最新のNFS/RPC over TCPおよびRDMA実装は、UDPよりも優れたパフォーマンスを提供し、輻輳制御と組み合わせたデータの信頼性の高い順序付き配信を提供します。

    同じ理由で、NFSv4は UDP上でまだサポートされていないことに注意してください。

  • CONFIG_STAGINGオプションは無効です

    UEK 8U2では、CONFIG_STAGINGカーネル構成オプションが無効になっています。カーネル・オプションにより、必ずしもカーネル品質レベルが最も高くなく、テストに使用できるドライバが使用可能になりました。このオプションはUEK R7で非推奨になり、UEK 8で削除されました。

  • CONFIG_IXGBオプションは無効です

    Intel PRO/10GbEハードウェアのCONFIG_IXGBは、このUEKリリースで削除されています。

  • crashkernel= 自動削除

    crashkernel=autoオプションは、UEK R7で非推奨になり、Oracle Linux 9ではサポートされません。UEK 8ではカーネル・オプションが削除されます。Oracle Linuxでのcrashkernel設定の構成の詳細は、「Oracle Linuxでのカーネルおよびシステム・ブートの管理」を参照してください。

  • CONFIG_IP_NF_TARGET_CLUSTERIPオプションは無効です

    専用のロード・バランシング・ルーターまたはスイッチを使用せずにネットワーク・サーバーのロード・バランシング・クラスタを構築できるCONFIG_IP_NF_TARGET_CLUSTERIPオプションは、Netfilterクラスタにすでに存在する機能を優先して削除されます。

  • CONFIG_EFI_VARSオプションが無効

    UEFI変数を構成するために efivars sysfsインタフェースを提供した CONFIG_EFI_VARSオプションは、このリリースのUEKから削除されます。2012年以来、カーネルには代替機能が存在しています。詳細は、https://www.kernel.org/doc/html/latest/filesystems/efivarfs.htmlを参照してください。

  • Firewireドライバが削除されました

    CONFIG_FIREWIREオプションは、このUEKリリースでは無効になっています。

  • いくつかのネットワークスケジューラモジュールが削除されました

    次のネットワーク・スケジューラ・モジュールはUEK R7で非推奨になり、UEK 8U2で削除されました。

    • cls_tcindex
    • cls_rsvp
    • sch_dsmark
    • sch_atm
    • sch_cbq

  • resilient_rdmaipモジュールが削除されました

    resilient_rdmaipモジュールはUEK R7で非推奨になり、現在は削除されます。

  • oracleasmカーネルモジュールが削除されました

    oracleasmカーネル・モジュールはUEK 8で削除されます。このモジュールは、UEK R5およびUEK R6リリースでも引き続きサポートされています。

    Oracle ASMLibは、引き続きio_uringインタフェースを使用してサポートされます。詳細は、Oracle Linux: Oracle ASMLIB v3のインストールと構成を参照してください。

  • sundanceカーネルモジュールが削除されました

    DLink Sundance (ST201)、sundanceドライバは、UEK 8で削除されます。モジュールはメンテナンスされていないため、アップストリーム・カーネルで削除されました。

  • cpu5_wdtカーネルモジュールが削除されました

    UEK 8では、cpu5_wdtウォッチドッグ・ドライバが削除されます。モジュールは、未解決でメンテナンスが不足しているいくつかの問題があったため、アップストリーム・カーネルで削除されました。

  • i2c-amd756-s4882およびi2c-nforce2-s4985カーネル・モジュールが削除されました

    i2c-amd756-s4882およびi2c-nforce2-s4985レガシー・マキシング・ドライバは、UEK 8U2で削除されます。モジュールは古く、技術的に不正確なコードが含まれているため、アップストリーム・カーネルで削除されました。

  • CONFIG_CRYPTO_OFBおよびCONFIG_CRYPTO_CFB暗号化モード

    TPM2暗号化に使用されるCFB (Cipher Feedback)モード(NIST SP800-38A)と、ブロック暗号を同期ストリーム暗号に変換するために使用されるOFB (Output Feedback)モード(NIST SP800-38A)は、UEK 8U2で削除され、アップストリームの変更に合わせて調整されます。