Documentação do Oracle Cloud Infrastructure

Novos recursos e mudanças no UEK R7U3

Novos recursos, aprimoramentos e outras alterações notáveis que foram introduzidas no UEK R7U3.

Versão de Kernel

UEK R7U3 é lançado inicialmente com a versão 5.15.0-300.163.18 do kernel.

(aarch64) 64k Tamanho da página base no braço

Além da compilação padrão do UEK para Arm (aarch64), que define um tamanho de página base de 4k, um pacote kernel-uek64k que define um tamanho de página base de 64k está disponível apenas para formas de Computação baseadas em Ampere Arm no Oracle Cloud Infrastructure. Para casos de uso diferentes do OCI, o pacote kernel-uek64 só está disponível como uma visualização técnica.

O kernel de tamanho de página 64k é uma opção útil para plataformas Ampere (baseadas em Arm) que processam cargas de trabalho com conjuntos de dados de memória grandes e contíguos e podem obter melhor desempenho para alguns tipos de operações com uso intensivo de memória e CPU.

O kernel de tamanho de página 4k é útil para ambientes menores, onde minimizar o uso da memória do sistema físico é uma prioridade.

Observe que o kernel de tamanho de página 4k e o kernel de tamanho de página 64k não diferem na experiência do usuário, pois o espaço do usuário é o mesmo.

Depois que um sistema é instalado com a alternância de kernel-uek64k para um tamanho de página do kernel 4k, não há suporte.

Instalação do kernel-uek64k

Observação

O único tamanho de página nas formas de computação NVIDIA Grace é definido como 64k por padrão. Opcionalmente, você pode alterar do tamanho de página padrão de 4k para o tamanho de página de 64k nas formas Ampere.
Observação

A instalação do kernel-uek64k em sistemas fora da Oracle Cloud Infrastructure (OCI) só está disponível como visualização técnica. Não instale este kernel em sistemas de produção fora da OCI.

Para instalar o kernel-uek64k em um sistema instalado com o tamanho de página padrão 4k kernel-uek:

  1. Instale o pacote kernel-uek64k. 
    sudo dnf install -y kernel-uek64k
  2. Defina o kernel de tamanho de página 64k como o kernel padrão. 
    sudo grubby --set-default=$(echo /boot/vmlinuz*64k)

    Observe que se você tiver mais de um kernel de página 64k instalado, você deve declarar explicitamente o kernel que pretende ser o padrão. Por exemplo:

    sudo grubby --set-default=/boot/vmlinuz-5.15.0-306.177.4.1.el9uek.aarch64.64k
  3. Reinicializar o sistema. 
    sudo reboot
  4. Depois que o sistema for reinicializado, verifique se o tamanho da página é 64k. 
    getconf PAGESIZE

    Se o PAGESIZE retornar 65536, o kernel 64k será carregado. Se o PAGESIZE retornar 4096, o kernel 4k será carregado e você deverá verificar se o kernel padrão está definido corretamente.

    Você também pode verificar se o kernel em execução contém a string 64k, por exemplo:

    uname -a|grep 64k
  5. Se o sistema estiver executando o kernel 64k, prossiga para remover os pacotes de kernel de tamanho de página 4k para evitar conflitos futuros. 
    sudo dnf erase kernel-uek-core

Conexões Criptografadas TLS para NFS

RPC-With-TLS está ativado no servidor NFS Linux e no cliente. Esta atualização fornece um mecanismo de autenticação de pares baseado em padrões por uma conexão criptografada utilizando TLS. O protocolo TLS Record é tratado inteiramente por kTLS.

Observe que os sistemas de servidor e cliente devem executar o UEK R7U3 ou posterior, ou devem estar executando um kernel e um cliente de espaço do usuário que suporte a RFC 9289, para usar essa funcionalidade. O pacote de espaço do usuário, ktls-utils, também é necessário e deve ser instalado nos sistemas cliente e servidor. Certifique-se também de ter instalado a versão mais recente do pacote nfs-utils ou de ter feito uma atualização completa do sistema.

A RPC-With-TLS é contribuída upstream pela Oracle e é descrita na RFC 9289.

Opção de Proteção TIOCSTI

TIOCSTI é uma chamada de sistema ioctl no kernel do Linux que permite que um processo simule a entrada do terminal, enviando caracteres para a fila de entrada para um TTY de controle. Esse mecanismo legado pode ser abusado para fins maliciosos. Recomendamos sempre desativá-lo em sistemas que executam o Oracle Linux.

Proteger um sistema desativando TIOCSTI. Defina o valor do parâmetro sysfs dev.tty.legacy_tiocsti como 0. Por exemplo, execute:

echo "dev.tty.legacy_tiocsti = 0" | sudo tee -a /etc/sysctl.d/50-tiocsti.conf
sudo sysctl -p /etc/sysctl.d/50-tiocsti.conf
Observação

Os processos executados com CAP_SYS_ADMIN, como BRLTTY, podem usar TIOCSTI mesmo quando essa funcionalidade está desativada.

BPF-LSM Ativado na Inicialização

O BPF-LSM, a capacidade de anexar programas Berkeley Packet Filter (BPF) a ganchos do Linux Security Module (LSM) para implementar alguns aprimoramentos de segurança, está ativada em todas as configurações do kernel UEK R7, no entanto, era necessário anteriormente definir a opção de linha de comando de inicialização lsm=bpf para usar o recurso.

Nesta release, o bpf é adicionado ao CONFIG_LSM para que não seja necessário ativá-lo manualmente na inicialização.

Você pode verificar se o BPF é adicionado ao LSM executando:

cat /sys/kernel/security/lsm
Observação

Esse recurso foi ativado em uma versão de errata UEK R7U3 e está disponível no kernel-UEK-5.15.0-315.196.5 e posterior.

Drivers Atualizados

Em estreita cooperação com os fornecedores de hardware e armazenamento, a Oracle atualizou vários drivers de dispositivos das versões no Linux 5.15.0 principal.

Muitos módulos de driver não rastreiam mais informações de versão. A Oracle trabalha com fornecedores para alinhar os drivers de dispositivos incluídos no UEK R7U3 com o código disponível nas versões do kernel upstream.

Atualizações notáveis de driver são apresentadas na seguinte tabela:

Alinhamento do Motorista
Módulo de Driver Descrição do Driver Versão Alinhada do Kernel Atualizações Notáveis

mlx5

NVIDIA 5th Generation Network Adapters (NVIDIA ConnectX series) Core Driver

6,7

Não Aplicável

lpfc

Driver HBA Broadcom Emulex Fibre Channel

6,9

Não Aplicável

qla2xxx

Driver HBA Fibre Channel Marvell QLogic

6,1

Não Aplicável

mpt3sas

Broadcom (anteriormente LSI) MPT Fusion SAS 3.0 Driver de Dispositivo

6,9

Não Aplicável

megaraid_sas

Broadcom MegaRAID SAS Driver

6,9

Não Aplicável

mpi3mr

Driver de dispositivo do controlador de armazenamento Broadcom MPI3

6,1

Não Aplicável

smartpqi

Controlador de família inteligente Microchip

6,9

Não Aplicável

bnxt_en

Driver de rede Broadcom BCM573xx

6,8

O driver agora inclui patches para trabalhar com o mais recente chip BCM57608.

mana

Adaptador de Rede do Microsoft Azure

6,1

Não Aplicável

Recursos Obsoletos e Removidos

Os seguintes recursos estão obsoletos ou não estão mais disponíveis em: UEK R7U3:

  • O acesso irrestrito ao buffer de anel do kernel está obsoleto.

    O acesso não privilegiado ao buffer do anel do kernel por meio da saída do comando dmesg está obsoleto e será removido em futura versão do UEK. Use o comando sudo para escalar para privilégios de administrador ao executar o comando dmesg. Para restringir o acesso ao buffer de anel do kernel, defina o parâmetro sysfs kernel.dmesg_restrict como 1.

  • Opções CONFIG_SECURITY_SELINUX_DISABLE e CONFIG_SECURITY_WRITABLE_HOOKS para desativar o SELinux no runtime

    O nó /sys/fs/selinux/disable do sistema de arquivos SELinux (selinuxfs) permite desativar o SELinux no runtime antes de uma política ser carregada no kernel. Se desativado utilizando este mecanismo, o SELinux permanece desativado até que o sistema seja reinicializado.

    A opção de desativar o SELinux no runtime torna difícil proteger os ganchos LSM do kernel usando o recurso "__ro_after_init". Portanto, essas opções estão obsoletas nesta release do UEK.

    O método preferido de desativar o SELinux é usando o parâmetro de inicialização selinux=0

  • Modos de criptografia CONFIG_CRYPTO_OFB e CONFIG_CRYPTO_CFB

    O modo CFB (Feedback de Criptografia) (NIST SP800-38A) usado para criptografia TPM2 e o modo OFB (Feedback de Saída) (NIST SP800-38A) usado para transformar uma cifra de bloco em uma cifra de fluxo síncrona estão obsoletos nesta release do UEK e podem ser removidos do kernel em uma release futura do UEK.

  • Opção CONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DES para tipos de criptografia 3DES/DES3 RPCSEC GSS

    Os tipos de criptografia DES e Triple-DES (3DES/DES3) do RPCSEC GSS estão obsoletos nesta release do UEK e podem ser removidos do kernel em uma release futura do UEK.

    Esses tipos de criptografia foram descontinuados pelas RFCs 6649 e 8429 porque são conhecidos por serem inseguros.

  • Opções CONFIG_NFS_V2 e CONFIG_NFSD_V2 para servidor e cliente NFSv2

    O suporte a clientes NFSv2 e servidores NFSv2 está obsoleto nesta release do UEK e pode ser removido do kernel em uma release futura do UEK.

    O NFSv2 foi substituído por NFSv3 e NFSv4, que oferecem funcionalidade, desempenho e segurança aprimorados.

  • Opção CONFIG_NFS_DISABLE_UDP_SUPPORT para NFSv3 sobre UDP

    O suporte ao NFS versão 3 no protocolo de rede UDP está obsoleto nesta release do UEK e pode ser removido do kernel em uma release futura do UEK.

    As implementações modernas de NFS/RPC sobre TCP e RDMA fornecem melhor desempenho do que o UDP e fornecem entrega confiável ordenada de dados combinada com controle de congestionamento.

    Observe que o NFSv4 já não é suportado pelo UDP, pelos mesmos motivos.

  • Opção CONFIG_STAGING

    Com a opção de configuração do kernel CONFIG_STAGING, você pode selecionar drivers que não atendem necessariamente ao mais alto nível de qualidade do kernel, mas que são apenas disponibilizados para uso em teste. No entanto, a opção do kernel CONFIG_STAGING está obsoleta nesta release do UEK e pode ser removida em uma release futura.

  • Opção CONFIG_IXGB

    O CONFIG_IXGB para hardware Intel PRO/10GbE está obsoleto e pode ser removido do kernel em uma release futura do UEK.

  • Opção CONFIG_IP_NF_TARGET_CLUSTERIP

    A opção CONFIG_IP_NF_TARGET_CLUSTERIP que permitiu criar clusters de balanceamento de carga de servidores de rede sem um roteador ou switch de balanceamento de carga dedicado está obsoleta em favor da funcionalidade já na correspondência de cluster do Netfilter.

  • Opção CONFIG_EFI_VARS

    A opção CONFIG_EFI_VARS que forneceu a interface sysfs efivars para configurar variáveis UEFI foi removida do kernel upstream e está obsoleta nesta versão do UEK. A funcionalidade de substituição está presente no kernel desde 2012. Para obter mais informações, consulte https://www.kernel.org/doc/html/latest/filesystems/efivarfs.html.

  • Driver Firewire

    A opção CONFIG_FIREWIRE foi desativada no Oracle Linux 9. Assim, o driver Firewire está obsoleto e inutilizável nesta release do UEK.

  • Opção crashkernel=auto

    A opção crashkernel=auto está obsoleta e não é mais suportada no Oracle Linux 9 e, portanto, não é suportada para UEK R7 no Oracle Linux 9. Algumas plataformas, como o Raspberry Pi, têm limites máximos para a reserva de memória crashkernel e devem ser especificadas explicitamente. Esta opção será removida em uma futura versão do UEK.

  • Vários módulos do programador de rede

    Os seguintes módulos do programador de rede estão obsoletos:

    • cls_tcindex
    • cls_rsvp
    • sch_dsmark
    • sch_atm
    • sch_cbq

    Esses módulos podem ser desativados ou colocados na lista de bloqueio e podem ser removidos em uma versão futura do UEK. Os módulos já foram removidos no kernel Linux upstream.

  • Módulo resilient_rdmaip Obsoleto

    O módulo resilient_rdmaip está obsoleto no UEK R7. Este módulo será removido em uma futura versão do UEK.

  • Algoritmo SHA-1

    O algoritmo SHA-1 está obsoleto no UEK R7U3 enquanto está no modo FIPS e será removido em uma release futura do UEK. O algoritmo SHA-1 foi descontinuado pelo National Institute of Standard and Technology (NIST) porque o algoritmo hash SHA-1 não é mais considerado seguro. Consulte as notas da release do Oracle Linux para obter detalhes adicionais sobre o SHA-1.