Documentação do Oracle Cloud Infrastructure

Novos recursos e mudanças no UEK 8U2

Os novos recursos, melhorias e alterações notáveis a seguir foram introduzidos no UEK 8.

Versão de Kernel

UEK 8U2 é lançado inicialmente com a versão 6.12.0-200.74.27 do kernel.

Implementação do Módulo do Kernel FIPS 140-3

Um novo módulo kernel autônomo FIPS 140 está disponível como parte de um esforço para reprojetar e reduzir o limite do módulo criptográfico FIPS 140-3 encapsulando uma API de criptografia de kernel estável dentro de um módulo kernel fips140.ko autônomo.

Essa alteração ajuda a fornecer a separação entre o módulo criptográfico e o restante do kernel, portanto, a certificação FIPS pode ser direcionada ao módulo criptográfico usado pelo kernel. Essa implementação significa que o limite do módulo criptográfico não muda toda vez que o kernel é compilado e fornece maior confiança na certificação.

A nova implementação incorpora o módulo fips140.ko e a compilação HMAC na imagem do kernel vmlinux após a compilação. O HMAC é verificado quando o módulo é carregado usando o algoritmo HMAC do próprio fips140.ko. O módulo e sua compilação são carregados na memória ao lado do resto do kernel pelo carregador de inicialização quando o modo FIPS está ativado. Esses componentes criptográficos podem ser facilmente extraídos da imagem do kernel para fins de verificação.

Observação

Essa alteração é transparente e você continua ativando o modo FIPS da mesma forma que antes.

Reparo on-line XFS

O reparo do sistema de arquivos on-line XFS é suportado com o UEK 8U2 e posterior. Nesta versão, a tag experimental é removida do conjunto de ferramentas.

Você pode usar esse recurso para verificar e reparar sistemas de arquivos XFS enquanto eles permanecem montados e totalmente operacionais. O reparo on-line do XFS pode reduzir o tempo de inatividade e melhorar a capacidade de manutenção para implementações de missão crítica e em larga escala.

O reparo do sistema de arquivos on-line XFS é feito usando o utilitário xfs_scrub, que pode detectar e corrigir a corrupção de metadados sem exigir desmontagem ou interrupção das cargas de trabalho ativas. Você pode executar o xfs_scrub para verificar sistematicamente metadados do sistema de arquivos, como inodes, diretórios e grupos de alocação. Quando inconsistências são detectadas, a ferramenta fornece opções para realizar reparos direcionados enquanto estiver on-line.

Para usar esse recurso, certifique-se de que o sistema esteja executando o UEK 8 ou posterior e as ferramentas de espaço do usuário XFS mais recentes.

Consulte a página do manual xfs_scrub(8). Consulte também https://docs.kernel.org/filesystems/xfs/xfs-online-fsck-design.html.

Criação de Perfil de Alocação de Memória

A criação de perfil de alocação de memória está disponível no UEK 8U2. Este recurso rastreia a alocação de memória para ajudar ao revisar onde a memória é usada e ao rastrear vazamentos de memória. O recurso usa a marcação de código para rastrear onde a memória foi alocada, quando a memória alocada é liberada, o número de alocações e a quantidade de memória ainda em uso.

A opção é desativada por padrão, mas pode ser ativada na inicialização usando o parâmetro de inicialização: 

sysctl.vm.mem_profiling=1

Você acessa informações de runtime para criação de perfil de alocação de memória em /proc/allocinfo.

Consulte https://docs.kernel.org/mm/allocation-profiling.html para obter mais informações. Observe que a opção compactada para criação de perfil de alocação de memória não está disponível no UEK 8U2.

Páginas de Proteção Leves

Esta versão apresenta páginas de proteção leves que fornecem uma maneira de marcar regiões de memória virtual para que elas acionem falhas de segmentação (SIGSEGV) quando acessadas. Esse recurso é importante para pilhas de thread e alocadores de memória userland. O mecanismo é projetado para remover qualquer sobrecarga de memória, usando marcadores de proteção em vez de criar ou dividir Áreas de Memória Virtual (VMAs).

Antes das páginas de proteção leves, a funcionalidade semelhante era obtida usando o mmap(.., PROT_NONE), que incorria em sobrecarga de memória. À medida que processos e threads aumentam usando esse método, a sobrecarga aumenta. Além disso, a memória mapeada dessa forma permanece indisponível para alocação aos processos do usuário. Usando páginas de proteção leves, a sobrecarga é evitada e ganhos significativos de memória são alcançados.

A atualização usa novos comandos madvise():

  • MADV_GUARD_INSTALL instala marcadores de proteção e remove mapeamentos existentes no intervalo. A instalação se aplica somente à memória anônima e a instalação não é permitida para VMAs especiais, enormes ou bloqueados (com simulação).
  • MADV_GUARD_REMOVE remove apenas os marcadores de proteção, mantendo todos os mapeamentos normais intocados.

Os intervalos protegidos persistem sobre MADV_DONTNEED ou MADV_FREE (proteção garantida até serem removidos), mas são removidos com desmontagem do processo ou cancelamento explícito do mapeamento.

AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP)

AMD Secure Encrypted Virtualization (SEV) e AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) são os principais componentes da tecnologia de computação confidencial da AMD. O SEV é um recurso baseado em hardware que criptografa a memória de máquinas virtuais em execução em processadores AMD EPYC, para proteger os dados da VM contra acesso não autorizado pelo host do hypervisor, mesmo que o host do hypervisor esteja comprometido. O SEV usa uma chave de criptografia dedicada para cada VM, gerenciada pelo processador. O SEV deve estar ativado no sistema operacional convidado e no host do hipervisor KVM para funcionar.

No Oracle Linux 9 e Oracle Linux 10, o UEK 8U2 inclui suporte a convidados e hipervisores para SEV-SNP, que ajuda a evitar ataques maliciosos baseados em hipervisor, como reprodução de dados e remapeamento de memória, entre outros vetores, como ataques de canais laterais. O SEV-SNP está disponível em servidores baseados em AMD E4 ou em versões posteriores (Milão). Essa funcionalidade requer as versões mais recentes do pacote edk2-ovmf e qemu.

Observação

A computação confidencial usando SEV-SNP é um recurso de visualização técnica quando usada fora da Oracle Cloud Infrastructure (OCI).

Extensões de domínio confiável Intel (TDX)

Intel Trust Domain Extensions (TDX) é a tecnologia de computação confidencial da Intel usada para fornecer ambientes de execução confiáveis. O TDX é usado para implantar cargas de trabalho virtuais em domínios de confiança (TDs) para fornecer isolamento baseado em hardware, gerenciando e criptografando a memória para manter a integridade e a confidencialidade dos estados da CPU dentro dos TDs.

No Oracle Linux 9 e Oracle Linux 10, o UEK 8U2 inclui suporte de convidado e hipervisor para o TDX.

Consulte https://www.intel.com/content/www/us/en/developer/tools/trust-domain-extensions/overview.html para obter mais informações.

Observação

A computação confidencial usando TDX é um recurso de visualização técnica quando usada fora da OCI.

Cliente CIFS Pode Criar Arquivos Especiais Incluindo Links Simbólicos em Compartilhamentos SMB

O cliente CIFS (Common Internet File System) pode criar links simbólicos, symlinks, que são reconhecidos pelo SMB (Server Message Block (SMB), NFS (Network File System) e WSL (Windows Subsystem for Linux). Use a opção de montagem symlink=default|none|native|unix|mfsymlinks|sfu|nfs|wsl para não permitir a criação de symlinks ou para selecionar o tipo de symlinks que o cliente cria.

O cliente também pode criar outros arquivos especiais, incluindo dispositivos de caracteres, dispositivos de bloco, pipes e soquetes. Esses arquivos são criados como pontos de novo NFS ou WSL usando a opção de montagem reparse=default|none|nfs|wsl. Para criar soquetes nativos do Windows usados por aplicativos do Windows no NTFS, use a opção de montagem nativesocket.

Drivers Atualizados

Os drivers de dispositivo incluídos no UEK 8U2 estão alinhados com os drivers no kernel mainline Linux 6.12. Algumas atualizações notáveis estão incluídas onde os drivers incluem funcionalidade ou correções disponíveis em versões posteriores do kernel upstream.

Muitos módulos de driver não rastreiam mais informações de versão. A Oracle trabalha com fornecedores para alinhar os drivers de dispositivos incluídos no UEK 8U2 com o código disponível nas versões do kernel upstream.

Atualizações notáveis de driver são apresentadas na seguinte tabela:

Alinhamento do Motorista
Módulo de Driver Descrição do Driver Versão Alinhada do Kernel Atualizações Notáveis

amd_hsmp

Driver de interface de plataforma AMD HSMP

6,18

As atualizações da versão 6.18 foram backported para esta versão. Atualizações para AMD EPYC Zen6.

i40e

Driver de rede Intel Ethernet Connection XL710

6,12

Opção mdd-auto-reset-vf adicionada.

idxd

Intel Data Streaming Accelerator e In-Memory Analytics Accelerator Common Driver

-

Correção de bug para accel-config enable-wq.

ixgbe

Driver de rede Intel 10 Gigabit PCI Express

-

Atualização do driver para dispositivos de rede Intel E610 Series.

lpfc

Driver HBA Broadcom Emulex Fibre Channel

-

Atualização do driver para Broadcom Emulex LPe37000 / LPe38000 Series 32Gb / 64Gb adaptadores de canal de fibra (rev 11).

Controlador com versão em 14.4.0.12.

mlx5

NVIDIA 5th Generation Network Adapters (NVIDIA ConnectX series) Core Driver

6,16

Várias correções e melhorias do 6.16 foram retroportadas nesta versão.

Recursos Obsoletos e Removidos

Os seguintes recursos foram descontinuados, removidos ou não são mais suportados no UEK 8:

Funcionalidades Obsoletas

  • SHA-1, SHA-224 e Algoritmos SHA3-224

    Os algoritmos SHA-1, SHA-224 e SHA3-224 estão obsoletos no UEK 8 enquanto estiverem no modo FIPS e serão removidos em uma release futura do UEK. Esses algoritmos foram aposentados pelo National Institute of Standard and Technology (NIST) porque não são mais considerados seguros. Consulte as notas da release do Oracle Linux para obter mais detalhes sobre o uso e a descontinuação do SHA-1.

  • Algoritmo do BCE

    O algoritmo ECB está obsoleto no UEK 8U2 enquanto está no modo FIPS e será removido em uma futura versão do UEK.

  • Resistência de 112 bits RSA2048 e ffdhe2048(dh) Algoritmos

    Os algoritmos RSA2048 de força de 112 bits e ffdhe2048(dh) estão obsoletos no UEK 8 enquanto estão no modo FIPS e serão removidos em uma release futura do UEK.

  • Os módulos de kernel movidos para o pacote kernel-uek-modules-deprecated agora estão obsoletos.

    Esses módulos poderão ser removidos em uma versão futura do UEK.

    Consulte Deprecações do Módulo UEK 8 (x86_64) e Deprecações do Módulo UEK 8 (aarch64) para obter uma lista detalhada.

  • cgroupsv1 está obsoleto

    O cgroupsv1 está obsoleto no Oracle Linux 9 e foi removido em um Oracle Linux 10.

  • XFS_SUPPORT_V4 está obsoleto

    O formato do sistema de arquivos V4 contém pontos fracos conhecidos no formato em disco. Portanto, a opção está obsoleta no UEK 8U2 e será removida em uma release futura do UEK.

    É possível verificar se o sistema de arquivos está formatado para utilizar V4, ao executar o comando xfs_db -r -c version <device>.

    Se o recurso estiver habilitado, você deverá fazer backup de dados, reformatar o dispositivo e restaurar dados.

  • XFS_SUPPORT_ASCII_CI está obsoleto

    O recurso de nome sem distinção entre maiúsculas e minúsculas XFS ASCII foi descontinuado no UEK 8 e será removido em uma release futura do UEK. O recurso forneceu uma opção para formatar um sistema de arquivos XFS com a opção ascii-ci ativada para desativar a distinção entre maiúsculas e minúsculas.

    É possível verificar se o recurso está habilitado usando o comando xfs_info.

    Se o recurso estiver habilitado, você deverá fazer backup de dados, reformatar o dispositivo com a opção desabilitada e restaurar dados.

  • As opções CONFIG_SECURITY_SELINUX_DISABLE e CONFIG_SECURITY_WRITABLE_HOOKS estão desativadas

    A opção para desativar o SELinux no runtime usando a interface sysfs é removida nesta release do UEK.

    O método preferido de desativar o SELinux é usando o parâmetro de inicialização selinux=0

  • O bloqueio de arquivo NLM com NFSv3 está obsoleto

    O bloqueio de arquivos NLM com NFSv3 está obsoleto e pode ser removido em uma release futura. O bloqueio de arquivo não está disponível em NFSv4.

Recursos Removidos

  • O acesso irrestrito ao buffer de anel do kernel é removido.

    O acesso não privilegiado ao buffer do anel do kernel por meio da saída do comando dmesg é removido desta versão. Use o comando sudo para escalar para privilégios de administrador ao executar o comando dmesg.

  • Opção CONFIG_RPCSEC_GSS_KRB5_ENCTYPES_DES para os tipos de criptografia 3DES/DES3 RPCSEC GSS está desativada

    A criptografia RPCSEC GSS tipos DES e Triple-DES (3DES/DES3) é removida nesta versão UEK.

    Esses tipos de criptografia foram descontinuados pelas RFCs 6649 e 8429 porque são conhecidos por serem inseguros.

  • As opções CONFIG_NFS_V2 e CONFIG_NFSD_V2 para o servidor e o cliente NFSv2 estão desativadas

    O suporte para clientes NFSv2 e servidores NFSv2 é removido nesta versão do UEK.

    O NFSv2 foi substituído por NFSv3 e NFSv4, que oferecem funcionalidade, desempenho e segurança aprimorados.

  • A opção CONFIG_NFS_DISABLE_UDP_SUPPORT para NFSv3 sobre UDP está ativada

    O suporte para NFS versão 3 no protocolo de rede UDP foi removido nesta release do UEK.

    As implementações modernas de NFS/RPC sobre TCP e RDMA fornecem melhor desempenho do que o UDP e fornecem entrega confiável ordenada de dados combinada com controle de congestionamento.

    Observe que o NFSv4 já não é suportado pelo UDP, pelos mesmos motivos.

  • A opção CONFIG_STAGING está desativada

    A opção de configuração do kernel CONFIG_STAGING está desativada no UEK 8U2. A opção do kernel disponibilizou drivers que não necessariamente atendem ao mais alto nível de qualidade do kernel e que estavam disponíveis para uso em teste. A opção foi descontinuada no UEK R7 e foi removida no UEK 8.

  • A opção CONFIG_IXGB está desativada

    O CONFIG_IXGB para hardware Intel PRO/10GbE foi removido nesta versão do UEK.

  • crashkernel=auto removido

    A opção crashkernel=auto foi descontinuada no UEK R7 e não tem suporte para o Oracle Linux 9. A opção do kernel é removida no UEK 8. Para obter mais informações sobre como configurar a definição crashkernel no Oracle Linux, consulte Managing Kernels and System Boot on Oracle Linux.

  • A opção CONFIG_IP_NF_TARGET_CLUSTERIP está desativada

    A opção CONFIG_IP_NF_TARGET_CLUSTERIP que permite criar clusters de balanceamento de carga de servidores de rede sem um roteador ou switch de balanceamento de carga dedicado é removida em favor da funcionalidade já existente na correspondência de cluster do Netfilter.

  • Opção CONFIG_EFI_VARS desativada

    A opção CONFIG_EFI_VARS que forneceu a interface sysfs efivars para configurar variáveis UEFI foi removida desta versão do UEK. A funcionalidade de substituição está presente no kernel desde 2012. Para obter mais informações, consulte https://www.kernel.org/doc/html/latest/filesystems/efivarfs.html.

  • Driver Firewire removido

    A opção CONFIG_FIREWIRE está desativada nesta release do UEK.

  • Vários módulos do agendador de rede removidos

    Os seguintes módulos do programador de rede foram descontinuados no UEK R7 e agora foram removidos no UEK 8U2:

    • cls_tcindex
    • cls_rsvp
    • sch_dsmark
    • sch_atm
    • sch_cbq

  • Módulo resilient_rdmaip Removido

    O módulo resilient_rdmaip foi descontinuado no UEK R7 e agora foi removido.

  • oracleasm Módulo do Kernel Removido

    O módulo kernel oracleasm é removido no UEK 8. Observe que este módulo continua a ser suportado nas releases UEK R5 e UEK R6.

    O Oracle ASMLib continua a ser suportado usando interfaces io_uring. Consulte Oracle Linux: Instalando e Configurando o Oracle ASMLIB v3 para obter mais informações.

  • sundance Módulo do Kernel Removido

    O driver DLink Sundance (ST201), sundance, é removido no UEK 8. O módulo foi removido no kernel upstream porque não foi mantido.

  • cpu5_wdt Módulo do Kernel Removido

    O driver watchdog cpu5_wdt foi removido no UEK 8. O módulo foi removido no kernel upstream porque ele tinha vários problemas que não foram resolvidos e não tinha manutenção.

  • Módulos de Kernel i2c-amd756-s4882 e i2c-nforce2-s4985 Removidos

    Os drivers de muxing legados i2c-amd756-s4882 e i2c-nforce2-s4985 são removidos no UEK 8U2. O módulo foi removido no kernel upstream porque eles são antigos e contêm código tecnicamente impreciso.

  • Modos de criptografia CONFIG_CRYPTO_OFB e CONFIG_CRYPTO_CFB

    O modo CFB (Feedback de Cifra) (NIST SP800-38A) usado para criptografia TPM2 e o modo OFB (Feedback de Saída) (NIST SP800-38A) usado para transformar uma cifra de bloco em uma cifra de fluxo síncrona são removidos no UEK 8U2, para se alinhar às alterações de upstream.