Jaderné noviny – 28. 2. 2013: Zajímavé novinky v Linuxu 3.9

18. 3. 2013 | Luboš Doležel | Jaderné noviny | 4105×

Obsah

• Aktuální verze jádra
• Citáty týdne: Jason A. Donenfeld, Kurt Seifried, Ingo Molnar
• Začleňovací okno verze 3.9, část druhá

Aktuální verze jádra

Začleňovací okno verze 3.9 je stále otevřené, takže není žádná vývojová verze jádra. Pro změny, co byly doposud začleněny, vizte shrnutí níže.

Stabilní aktualizace: verze 3.4.33 a 3.0.66 byly vydány 21. února; jde o aktualizace s jediným patchem, který opravuje bezpečnostní problém v kódu printk(). Verze 3.5.7.6 vyšla 22. února a verze 3.7.10 (poslední plánovaná v řadě 3.7) vyšla 27. února.

V době psaní tohoto textu se verze 3.8.1, 3.4.34 a 3.0.67 revidují; jejich vydání lze očekávat 28. února nebo později.

Citáty týdne: Jason A. Donenfeld, Kurt Seifried, Ingo Molnar

Pozor na to, že od 5eaf563e53294d6696e651466697eb9d491f3946 je možné připojovat souborové systémy jako neprivilegovaný uživatel po volání unshare(CLONE_NEWUSER | CLONE_NEWNS) nebo podobném volání clone(2). To znamená, že všechny nahodilé chyby v souborových systémech, co se vám válí někde kolem koše, jsou teď vcelku užitečné. ++tricks;

Jason A. Donenfeld

Mám za to, že problém je částečně i měřítko. Většina lidí nemá představu o měřítku, na kterém se v linuxovém jádře řeší opravy chyb a změny v kódu. Lidé odjinud zkrátka vidí jen několik špatně řešených bezpečnostních problémů a pravděpodobně si myslí „jak obtížné může být vyřešit pár bezpečnostních chyb navíc?“ ale už nevidí to, že těchto 5 bezpečnostních problémů bylo zahrabáno v 10 000 dalších opravách. Prostředky potřebné pro audit každé změny v kódu, zda nemá dopady na bezpečnost, nejsou zkrátka k dispozici (a i kdybychom měli dostatečně talentované lidi, kdo přesně by je zaplatil?).

-- Kurt Seifried

-- Ingo Molnar

Začleňovací okno verze 3.9, část druhá

V době psaní tohoto textu bylo do budoucí verze 3.9 přetaženo přes 8000 neslučovacích sad změn – od minulého souhrnu jde o 7600 změn. Ve verzi 3.9 narazíme na spoustu zajímavých novinek; níže najdete ty nejdůležitější.

Nejprve tu ale máme varování pro všechny případné testery: v aktuálním kódu je nahlášeno poškozování dat na souborových systémech ext4. Vypadá to, že problém byl nalezen a odstraněn, nicméně pro všechny, co by chtěli použít bisect, nadále představuje nebezpečí.

• Architektura ARM získala podporu virtualizačního mechanismu KVM na procesorech Cortex-A15. Byla přidána podpora pro „koordinační rozhraní stavu výkonu“ u ARM, takže virtuální CPU je možné zapínat a vypínat.
• Mechanismus filtrování socketů má novou volbu SO_LOCK_FILTER, která brání dalším změnám ve filtru. Je určena pro privilegované programy, které instalují filtr před spuštěním nedůvěryhodného kódu.
• Sockety TCP a UDP mají novou volbu SO_REUSEPORT, která umožňuje, aby více socketů naslouchalo na nová připojení nebo pakety současně. Více se dozvíte v commitu samotném.
• Kód pro sledování spojení v netfilteru má nyní podporu pro „štítky připojení“, což je maska složená z bitů, které lze připojovat k položkám a dále je používat v dalších pravidlech.
• Subsystém bezdrátových sítí má podporu pro detekci radarových systémů pracujících na frekvencích sítě; jde o důležitou funkci pro dynamickou volbu frekvence v pásmu 5 GHz.
• Byl začleněn subsystém „VM Sockets“ od VMware, což je mechanismus pro vzájemnou komunikaci mezi virtuálními stroji a hypervizorem. Stejně tak bylo začleněno „Virtual Machine Communication Interface“ pro vysokorychlostní komunikaci mezi hostitelem a hostovanými systémy.
• Síťová vrstva získala podporu pro „Multiple VLAN Registration Protocol“ (MVRP), který usnadňuje informování switchů o registrovaných virtuálních sítích.
• Správa stránek při zpětném zápisu v blokové vrstvě byla změněna, aby se vyřešil problém s výkonem způsobený předchozí prací na „stabilních stránkách“.
• Architektura PowerPC podporuje skupinu nových instrukcí pro podporu transakční paměti; aktuálně jde jen o podporu pro uživatelský prostor (jádro tyto instrukce nepoužívá). Více se dozvíte z dokumentace.
• Subsystém virtualizace Xen má podporu pro hotplug CPU a paměti na bázi ACPI, i když jen přidávání.
• Souborový systém ext4 nově umí vytváření děr v souborech mapovaných po blocích.
• Bylo odstraněno velké množství starých síťových ovladačů. Očekává se, že nikomu nebudou scházet, protože řada z nich ani pořádně nefungovala. Nenarazíte už ani na subsystém „WAN router“.

Mezi změny viditelné vývojářům jádra patří:

• Mechanismus netpoll nyní podporuje IPv6, což umožňuje běh síťových konzolí přes IPv6.
• Většina ovladačů už nezávisí na konfigurační volbě EXPERIMENTAL. Na této volbě záviselo tolik kódu, že ztratila význam. Nyní má výchozí hodnotu „yes“ a bude brzo odstraněna úplně.
• Zvuková vrstva má obecný parser pro kodeky Intel HDA. Díky jeho používání se odstranila spousta duplicitního kódu.
• Funkce __get_user_8() je nyní dostupná na 32bitovém x86; načte 64bitovou hodnotu z uživatelského prostoru.
• Podepisování modulů má několik vylepšení použitelnosti. Nástroj sign-file má nové volby pro určení hashovacího algoritmu nebo nastavení celého podpisu (který byl vypočítán jinde). Přibyla také konfigurační volba MODULE_SIG_ALL, která řídí, zda se při modules_install mají moduly automaticky podepsat.
• Byl začleněn patch pro GPIO na bázi popisovače, který značně mění to, jak jsou linky GPIO v jádře ošetřovány.
• Nová pomocná funkce file_inode() se má používat místo tradičního řetězce file->f_dentry->d_inode.

Začleňovací okno by mělo zůstat otevřené přibližně do 5. března. Přístě nás bude proto čekat poslední zbytek toho, co se do verze 3.9 dostane.

Nástroje: Tisk bez diskuse