Исходное сообщение
"Релиз ядра Linux 4.16" Отправлено opennews, 02-Апр-18 11:11
После двух месяцев разработки Линус Торвальдс представил (https://lkml.org/lkml/2018/4/1/175) релиз ядра Linux 4.16 (https://kernel.org). Среди наиболее заметных изменений: интеграция гипервизора Jailhouse, блокирование некоторых операций копирования данных между ядром и пространством пользователя, учёт режимов энергосбережения CPU в планировщике deadline, подготовка к прекращению поддержки IPX и NCPFS, поддержка механизма AMD Secure Encrypted Virtualization в KVM. В новую версию принято около 12 тысяч исправлений от 1500 разработчиков, размер патча - 48 Мб (изменения затронули 11986 файлов, добавлено 508425 строк кода, удалено 314376 строк). Около 49% всех представленных в 4.16 изменений связаны с драйверами устройств, примерно 19% изменений имеют отношение к обновлению кода специфичного для аппаратных архитектур, 13% связано с сетевым стеком, 4% - файловыми системами и 3% c внутренними подсистемами ядра. Основные (http://kernelnewbies.org/Linux_4.16) новшества (https://lwn.net/Articles/746791/): -   Виртуализация и безопасность -  Обеспечена начальная поддержка гипервизора Jailhouse (https://www.opennet.ru/opennews/art.shtml?num=47822), развиваемый компанией Siemens и поддерживающий работу на системах x86_64 с расширениями VMX+EPT или AMD-V/SVM+NPT (поддержка ARMv7 и ARMv8, а также компоненты для корневого окружения, пока не приняты в основное ядро). Отличительными особенностями Jailhouse являются легковесная реализация и ориентация на привязку виртуальных машин к фиксированному CPU, области ОЗУ и аппаратным устройствам. Т.е. на одном физическом многопроцессорном сервере обеспечивается работа нескольких независимых виртуальных окружений, каждое из которых закреплено за своим процессорным ядром. Такой подход позволяет свести к минимуму накладные расходы от работы гипервизора  и обеспечить гарантированный доступ к ресурсам и предсказуемую производительность, подходящие для виртуализации задач режима реального времени; -  Добавлена реализация механизма (https://lwn.net/Articles/727322/) защиты копирования данных между ядром и пространством пользователя, блокирующего использование вызова usercopy при проведении некоторых видов атак. Суть предложенного метода в запрете применения usercopy для прямого копирования между пространством пользователя и некоторыми областями ядра с введением белого списка допустимых для использования областей памяти. Так как подобный подход потенциально может нарушить работу приложений, использующих usercopy, предусмотрен fallback-режим  (HARDENED_USERCOPY_FALLBACK или slab_common.usercopy_fallback) для kvm и sctp (ipv6). В настоящее время механизм активирован в режиме информирования, при котором в лог записываются предупреждения о  проблемных операциях, без их фактического блокирования; -  Продолжение реализации техник защиты от атак Meltdown и Spectre (https://www.opennet.ru/opennews/art.shtml?num=47856). Например, добавлен код для обеспечения защиты (https://lwn.net/Articles/746551/) от первого варианта атаки Spectre (CVE-2017-5753) и для блокирования атак Meltdown и Spectre на процессорах с архитектурой ARM64 и S390. Защита от Spectre v1 реализована через использование MSR-команды IBPB (Indirect Branch Prediction Barriers) и добавление макроса array_index_nospec(), предотвращающего выполнение спекулятивных операций, которые могут вызвать обход проверки границ массива.  Защита от Meltdown  для ARM64 реализована через классический патч KPTI, а от  Spectre v2 через возможность выборочного отключения блока предсказания переходов. На системах S390 для блокирования Spectre задействован модифицированный вариант защиты retpoline (expoline) и макрос array_index_nospec(); -  В гипервизор KVM добавлена поддержка предоставляемого в процессорах AMD механизма Secure Encrypted Virtualization (http://amd-dev.wpengine.netdna-cdn.com/wordpress/media/2013/... (SEV), который предоставляет средства шифрования памяти для виртуальных машин.  Суть метода защиты в интеграции в архитектуру виртуализации AMD-V  возможности для прозрачного шифрования  памяти виртуальных машин, при которой доступ к расшифрованным данным имеет только текущая гостевая система, а  остальные виртуальные машины и даже гипервизор при попытке обращения к этой памяти получают зашифрованные данные; -  В состав включён драйвер для ускорения работы гостевых систем под управлением VirtualBox; -  По умолчанию для архитектур x86/x86_64 и ARM64 включена опция  CONFIG_STRICT_DEVMEM, ограничивающая доступ к /dev/mem из пространства пользователя (без включения данной опции root может получить ко всем областям памяти ядра и приложений, а при включении доступ ограничивается только областями отражённой памяти периферийных устройств); -   Дисковая подсистема, ввод/вывод и файловые системы -  Подсистема MultiMediaCard, отвечающая за обработку таких устройств хранения, как SD-карты, переведена на многоуровневую систему очередей (multiqueue), позволяющую организовать многопоточный доступ к данным на многоядерных системах; -  В планировщиках ввода/вывода обеспечена поддержка заблокированных зон на блочных устройствах, что позволяет  исключить выполнение перегруппировки операций записи на зонированных устройствах, операции записи на которых должны выполняться последовательно; -  В файловой системе XFS снят флаг экспериментальной разработки с  механизма обратного маппинга (rmap, reverse-mapping), позволяющего файловой системе определить владельца любого блока на устройстве хранения.  Reverse-mapping может быть использован как основа для реализации таких возможностей, как reflink(), режим copy-on-write для данных, дедупликация, расширенные средства информирования о bad-блоках и дополнительные средства восстановления повреждений; -  В файловую систему CIFS добавлена поддержка режима SMB Direct, который позволяет использовать сетевые адаптеры с функцией удаленного доступа к памяти (RDMA) для увеличения скорости передачи SMB-пакетов; -  В файловой системе Btrfs улучшен код перестроения повреждённых массивов RAID5/6 и реализована поддержка управления резервированием пустых областей через вызов fallocate() в режиме FALLOCATE_FL_ZERO_RANGE; -  В NFS-клиенте изменён метод вызова statx() для исключения обращения к внешнему серверу, если необходимая информация доступна локально. -  Добавлена поддержка экспорта Overlayfs через NFS; -  В системный вызов pwritev2() добавлен флаг RWF_APPEND, при котором данные прикрепляются к хвосту файла, независимо от текущего смещения; -  В AFS добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... поддержка динамического создания точек монтирования; -   Память и системные сервисы -  В планировщике задач deadline, реализующего алгоритм EDF (Earliest Deadline First), основанный на идее выбора задачи из очереди ожидающих процессов, наиболее близкой к истечению крайнего расчётного времени, добавлен учёт изменения частоты CPU и параметров вольтажа, что позволяет обеспечить его оптимальную работу без отключения функций энергосбережения; -  В планировщике fair ограничена автоматическая  миграция задач между ядрами CPU - в процессе выполнения прерывания задача теперь может быть перемещена на другое ядро только если новое и старое ядра используют общий кэш; -  В виртуальную машину BPF (Berkeley Packet Filter) добавлена возможность определения и вызова функций в BPF-программах; - В системный вызов membarrier(), обеспечивающий установку барьеров на память для всех работающих в системе потоков, добавлена (https://lwn.net/Articles/728795/) новая реализация режима MEMBARRIER_CMD_SHARED_EXPEDITED, позволяющего значительно ускорить выполнение вызова, ценой применения IPI (https://en.wikipedia.org/wiki/Inter-processor_interrupt) (inter-processor interrupt). В новой реализации проведена работа по предоставлению возможности исключение процессов, для к... URL: https://lkml.org/lkml/2018/4/1/175 Новость: https://www.opennet.ru/opennews/art.shtml?num=48374