Исходное сообщение
"Релиз ядра Linux 5.0" Отправлено opennews, 04-Мрт-19 07:11
После двух месяцев разработки Линус Торвальдс представил (https://lkml.org/lkml/2019/3/3/236) релиз ядра Linux 5.0. Среди наиболее заметных изменений в ядре 5.0: из Android перенесён энегоэффективный планировщик задач для CPU ARM big.LITTLE, добавлен механизм шифрования файловых систем Adiantum, в драйвере AMDGPU добавлена поддержка технологии FreeSync, реализована файловая система BinderFS, возможность размещения файла подкачки в Btrfs и поддержка выноса обработчиков блокировок seccomp в пространство пользователя. Значительная смена номера версии не является индикатором особых изменений, а сформирована из эстетических соображений и  лишь свидетельствует о накоплении в  ветке 4.x достаточного числа выпусков для начала новой нумерации. Смена первого номера в версии ядра является формальным шагом, снимающих дискомфорт из-за накопления большого числа выпусков в серии. Напомним, что переход к версиям 3.x был осуществлён в 2011 году, когда в ветке 2.6.x накопилось 39 релизов, а ветка 4.x была создана в 2015 году после подготовки 20 выпусков 3.x. При этом смена версий 3.x и 4.x хорошо коррелировала с числом git-объектов в репозитории - ядро 3.0 было выпущено, когда в репозитории находилось примерно 2 млн объектов, а ядро 4.0 - 4 млн объектов. Выпуск 5.0 разрывает данную логическую цепочку, так как в настоящее время репозиторий включает примерно 6.5 млн git-объектов. Основные (https://kernelnewbies.org/Linux_5.0) новшества (https://lwn.net/Articles/776034/): -   Виртуализация и безопасность -  Добавлен разработанный компанией Google механизм шифрования файловых систем Adiantum (https://www.opennet.ru/opennews/art.shtml?num=50123), который может применяться на маломощных устройствах, на которых из-за слишком больших накладных расходов невозможно использовать алгоритм блочного шифрования AES. Реализация Adiantum базируется на применении быстрой хэш-функции NH, алгоритме аутентификации сообщений (MAC) Poly1305 и потоковом шифре XChaCha12, а также единоразовой операции на базе блочного шифра AES-256 для 16 байт в каждом блоке. Поддержка Adiantum добавлена в подсистему fscrypt, которая используется для прозрачного шифрования файлов и каталогов в ФС ext4, f2fs и ubifs. При тестировании системах с CPU ARM Cortex-A7 алгоритм Adiantum  оказался быстрее AES-256-XTS в 4 раза при шифровании и в 5 раз при расшифровке; -  В криптографическую подсистему добавлена хэш-функция Streebog, стандартизированная в РФ как ГОСТ 34.11-2012 (https://ru.wikipedia.org/wiki/%D0%93%D0%... -  Добавлена поддержка массивов NVM-памяти со встроенными операциями (https://github.com/torvalds/linux/blob/master/Documentation/... обеспечения безопасности, такими как защита данных паролем,  очистка и  блокировка; -  Интегрирована часть патчей для блокирования лазеек (https://www.opennet.ru/opennews/art.shtml?num=35949) для обхода (https://www.opennet.ru/opennews/art.shtml?num=41852) ограничений UEFI Secure Boot. На данном этапе добавлены средства для управления применением системного вызова kexec_load_file(), который   может быть использован для обхода UEFI Secure Boot путём замены проверенного ядра на другое ядро, не снабжённое цифровой подписью. Добавлено новое хранилище ключей (Kernel keyring), названное ".platform", предназначенное исключительно для ключей, предоставляемых платформой, и запрещающее обновлять ключи в процессе работы системы. Ключи из данного хранилища могут применяться для проверки образов, запускаемых через kexec_load_file();    -  В механизм фильтрации системных вызовов seccomp добавлен API (https://github.com/torvalds/linux/blob/master/Documentation/... для выноса обработчиков блокировки системных вызовов в пространство  пользователя. Например, в системах управления контейнерами теперь можно организовать перехват системных вызовов mount() и  finit_module(); -  Проверена работа по переработке (https://lwn.net/Articles/774743/) методов вызова функций в некоторых подсистемах с целью исключения применения замедляющего работу метода защиты retpoline. Для блокировки проявления атак Spectre v2 косвенные переходы заменяются на прямые, при которых не применяется механизм спекулятивного выполнения инструкций и не создаются условия, необходимые для проведения атаки. В текущем выпуске подобным способом проведена оптимизация  операций с  DMA и сетевой подсистемы; -  Изменена семантика системного вызова mincore() для противодействия атакам (https://www.opennet.ru/opennews/art.shtml?num=49927) по сторонним каналам, анализирующим содержимое страничного кэша (page cache); -  В отладочный инструмент KASan (Kernel address sanitizer), обеспечивающий выявление ошибок при работе с памятью, добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... программная реализация режима подстановки проверочных тегов (по аналогии с HWASan (https://clang.llvm.org/docs/HardwareAssistedAddressSanitizer... в Clang), которая при сравнимом падении производительности обеспечивает заметно меньшее потребление памяти. Новый режим пока доступен только на системах с архитектурой ARM64; -  В драйвер virtio-gpu (виртуальный GPU, развиваемый в рамках проекта Virgil (https://www.opennet.ru/opennews/art.shtml?num=37456)) добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... поддержка симуляции метаданных EDID, что позволяет выдать в гостевой системе сведения о возможностях виртуального монитора; -  В криптостек ядра добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... поддержка (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... алгоритмов XChaCha12  и XChaCha20 (варианты (https://en.wikipedia.org/wiki/Salsa20#XChaCha) шифров ChaCha с конструкцией XSalsa); -   Дисковая подсистема, ввод/вывод и файловые системы -  Добавлена (https://git.kernel.org/linus/ed46ff3d423780fa5173b38a844bf0f... возможность размещения раздела подкачки в файлах внутри ФС Btrfs. Файл подкачки в Btrfs должен быть полностью заполнен в режиме "nocow" без применения сжатия и размещён только на одном накопителе. В Btrfs также реализована (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... возможность изменения идентификатора ФС (FSID, видимый пользователю UUID) без перезаписи всех блоков с метаданными; -  Реализована (https://git.kernel.org/linus/3ad20fe393b31025bebfc2d76964561... поддержка  псевдо файловой системы BinderFS для механизма межпроцессного взаимодействия Binder. BinderFS позволяет запустить несколько экземпляров платформы Android в одном окружении благодаря присоединению разных пространств имён Binder IPC к разным точкам монтирования; -  В механизм отслеживания событий в ФС fanotify() (http://man7.org/linux/man-pages/man7/fanotify.7.html) добавлен новый тип запросов FAN_OPEN_EXEC, позволяющий получать уведомления  при открытии файла для его дальнейшего исполнения; -  Удалён код старой подсистемы блочных устройств, на смену которой пришёл  API blk-mq с многоуровневой системой очередей (multiqueue) для блочных устройств. Также удалены устаревшие планировщики ввода/вывода, включая CFQ и deadline; -  В файловой системе F2FS добавлен (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... вызов ioctl(F2FS_IOC_SHUTDOWN) с флагом NEED_FSCK для инициирования отложенного выполнения  fsck; -  Изменения в файловых системах Ext4 (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... и XFS (https://git.kernel.org/pub/scm/linux/kernel/git... URL: https://lkml.org/lkml/2019/3/3/236 Новость: https://www.opennet.ru/opennews/art.shtml?num=50201