Latest Breaking News On - Latin american fund - Page 4 : vimarsana.com

Linux 5.13 — Ядро Linux — Новости

Linux 5.13 — Ядро Linux — Новости

Linux 5.13 — Ядро Linux — Новости

qualcomm arm64. Дисковая подсистема, ввод/вывод и файловые системы Для файловой системы SMB3 реализована опция монтирования rasize, при помощи которой можно определить размер окна упреждающего чтения (readahead) для увеличения производительности некоторых видов нагрузки. В файловой системе ext4 обеспечена перезапись элементов каталогов при удалении файлов, чтобы гарантировать, что имена удалённых файлов будут очищены. За счёт упреждающей загрузки битовых карт блоков повышена производительность кода для выделения блоков на недавно примонтированных ФС. В ext4 также разрешено одновременное использование режима работы без учёта регистра символов и шифрования. В файловой системе exFAT добавлена поддержка ioctl-команды FITRIM (discard), для информирования накопителя о неиспользуемых в ФС блоках. В файловой системе XFS добавлена возможность изъятия места из последней группы распределения в ФС, что стало первым звеном в реализации функции уменьшения размера существующих разделов с ФС XFS. Внесено несколько оптимизаций производительности. В файловой системе Btrfs добавлено использование упреждающего чтения в команде send, позволившая сократить время полной отправки на 10%, а инкрементальной на 25%. Для зонированных блочных устройств обеспечено автоматическое фонового перераспределения зон при превышении порога в 75% неиспользуемого пространства. В файловую систему EROFS (Enhanced Read-Only File System) добавлена поддержка режима big pcluster, позволяющего значительно увеличить производительность сжатия данных. Добавлен новый системный вызов quotactl_path, который отличается от quotactl тем, что позволяет управлять квотами не через файл специального устройства, а через указание пути к точке монтирования ФС. В механизме fanotify расширены возможности, доступные непривилегированным пользователям. Например, по аналогии с inotify без прав SYS_CAP_ADMIN теперь можно отслеживать события OPEN, CLOSE для файлов и каталогов. В распределённой файловой системе OrangeFS (продолжение развития PVFS) реализована поддержка операций упреждающего чтения, позволивших существенно увеличить производительность операций чтения (в тестах пропускная способность возросла с 21.8 MB/s до 386 MB/s). Повышена масштабируемость хэширования Device Mapper за счёт перехода на rbtree. В dm-integrity добавлена поддержка операции discard. Память и системные сервисы Добавлен новый контроллер cgroup – «Misc» (CONFIG_CGROUP_MISC), предназначенный для ограничения и отслеживания скалярных ресурсов, которыми можно управлять с использованием простого счётчика и ограничивать, задавая максимально допустимые значения. В качестве примера применения нового контроллера cgroup упоминается управление идентификаторами адресного пространства, применяемыми в механизме AMD SEV (Secure Encrypted Virtualization). В интерфейсе асинхронного ввода/вывода io_uring для запросов POLL реализован режим multi-shot, при котором POLL не удаляется после генерации события, а остаётся активным и может генерировать несколько событий. Из realtime-ветки ядра перенесён код, обеспечивающий обработку программно генерируемых прерываний в потоках ядра, что позволяет вытеснять их более приоритетными процессами. Добавлена внутренняя библиотека netfs, в которую вынесены типовые функции, используемые в сетевых файловых системах. Для архитектуры PowerPC реализована поддержка пространств имён для времени (time namespaces), позволяющих использовать в контейнере своё время. Для архитектуры RISC-V реализована поддержка kexec, crash dump, kprobe и запуска ядра по месту ( execute-in-place, выполнение с исходного носителя, без копирования в ОЗУ). В BPF-программах трассировки появилась возможность использования локального для задачи хранилища данных task-local storage, обеспечивающего более высокую производительность за счёт привязки данных к конкретному BPF-обработчику. Реализован новый механизм для прямого вызова функций ядра из BPF-программ, который уже использован в реализации алгоритмов перегрузки TCP. Для обеспечения безопасности вызываемые функции должны быть явно определены в белом списке. В систему трассировки функций ftrace добавлена опция func-no-repeats, позволяющая отразить повторяющиеся последовательные вызовы функции в виде счётчика. В системный вызов userfaultfd(), предназначенный для обработки page faults (обращение к невыделенным страницам памяти) в пространстве пользователя, добавлена возможность управления частичными fault-ами, при которых страница памяти присутствует, но нет записи в таблице страниц памяти. Прекращена поддержка специального файла /dev/kmem, при помощи которого можно получить доступ ко всему адресному пространству ядра. Данный файл признан устаревшим и создающим проблемы с безопасностью. Для чипов Intel реализован новый драйвер для управления охлаждением, позволяющий снижать частоту процессора при опасности перегрева. В отличие от имеющегося механизма активации TCC (Thermal Control Circuit), новый драйвер манипулирует относительными значениями, т.е. может снизить частоту на этапе начала значительного роста температуры, не дожидаясь преодоления порогового критического значения. Реализована возможность одновременного сброса локального и внешнего буферов ассоциативной трансляции (TLB), которая привела к увеличению скорости прохождения теста Sysbench на 1-4%. Виртуализация и безопасность В состав включён LSM-модуль обеспечения изоляции приложений Landlock, позволяющий ограничить взаимодействие с внешним окружением группы процессов и разработанный с оглядкой на такие механизмы изоляции как XNU Sandbox, FreeBSD Capsicum и OpenBSD Pledge/Unveil. Логика предоставления доступа определяется при помощи BPF-программы, но в отличие от seccomp-bpf, Landlock не фильтрует системные вызовы и их аргументы, а позволяет ограничить использование объектов ядра, таких как иерархии файлов. При помощи Landlock любой процесс, в том числе непривигелированный, может надёжно изолировать себя и не допустить обхода изоляции в случае выявления уязвимостей или вредоносных изменений в приложении. Landlock позволяет процессу создать защищённые изолированные окружения, реализованные в форме дополнительного слоя над существующими системными механизмами управления доступом. Например, программа может запретить доступ к файлам за пределами рабочего каталога.

Linux 5.13 — Ядро Linux — Новости

В Оренбуржье поддерживают работу компаний, укрепляющих продовольственную безопасность    - Новости Оренбурга и Оренбургской области на РИА56

В Оренбуржье поддерживают работу компаний, укрепляющих продовольственную безопасность    07:06 / 30.06.2021 Губернатор Оренбуржья Денис Паслер провел накануне 29 июня рабочую встречу с главой компании «Щелково Агрохим» доктором химических наук, академиком РАН Салисом Каракотовым. Сегодня это одно из ведущих предприятий в аграрной отрасли России. «Щелково Агрохим» занимается производством средств химической защиты растений. Компания входит в число крупнейших в стране производителей семян зерновых и зернобобовых агрокультур. В оренбургском регионе «Щелково Агрохим»  работает с 2005 года. — Для нас важна правильная обработка земель, использование удобрений и развитие  агротехнологий — всем этим компания, безусловно, известна. Еще одно важное направление — это достойная зарплата для людей. Поэтому сегодня наша задача — создать режим максимального благоприятствования в регионе каждой коммерческой организации, которая  содействует укреплению продовольственной безопасности, повышению культуры земледелия, созданию новых технологий растениеводства.  Рассчитываю, что наше взаимодействие принесет пользу как сельхозтоваропроизводителям Оренбуржья, так и компании, — подчеркнул Денис Паслер. Во встрече также принял участие первый вице-губернатор – министр сельского хозяйства, торговли, пищевой и перерабатывающей промышленности Оренбургской области Сергей Балыкин. Напомним, что на встрече в феврале договорились о расширении присутствия компании на территории региона. В том числе о сопровождении хозяйств области средствами защиты растений и отработке технологии их применения на 300 тыс. га. А также о развитии АО «Иволга», учредителем которого является «Щелково Агрохим». — На сегодняшний день оренбургское представительство АО «Щелково Агрохим» совместно с Минсельхозом области проработало вопрос по заключению договоров по сопровождению средств защиты растений (СЗР) и отработки технологий их применения. Так,  в 2021 году  заключены 69  договоров с хозяйствами  в 29 МО  области на площади  466,4 тыс. га, — напомнили в пресс-службе регионального правительства. Особо отмечено, что большая работа проведена в АО «Иволга». — Усилена работа с парами. Сегодня 25 тыс. паров находятся в хорошем состоянии, приобретена новая техника: 10 Кироцев, 26 МТЗ, 23 культиватора, 11 дискатеров, 11 пресс-подборщиков, 11 жаток, 1 КамАЗ и на этом оставнавливаться не собираются. Обновление машинно–тракторного парка будет продолжено. Внесено более 5,5 тыс. удобрений, отдельно идет работа по средствам химзащиты, более чем на 300 млн приобретено средств защиты растений. Развивается и животноводство. Агрохолдинг планирует в ближайшее время приступить к строительству коровника на 400 голов, будет куплено более 400 голов нетелей, — подчеркнули в региональном правительстве. Во время встречи губернатор и глава агрохолдинга обсудили возможности влияния АО «Щелково Агрохим» на формирование семенного фонда в Оренбуржье. — Известно, что ключевым направлением «Щелково Агрохим» является производство средств химической защиты растений, но компания также развивает семеноводческое направление и выводит отечественные семена сахарной свеклы и нескольких сортов пшеницы, которые уже дают рекордные урожаи. Губернатор поддержал развитие этого направления работы компании в регионе, которое повлечет увеличение поставки семян высоких репродукций, — рассказали в пресс-службе правительства Оренбургской области. Навигация по записям

Linux 5.13 — Ядро Linux — Новости

qualcomm arm64. Дисковая подсистема, ввод/вывод и файловые системы Для файловой системы SMB3 реализована опция монтирования rasize, при помощи которой можно определить размер окна упреждающего чтения (readahead) для увеличения производительности некоторых видов нагрузки. В файловой системе ext4 обеспечена перезапись элементов каталогов при удалении файлов, чтобы гарантировать, что имена удалённых файлов будут очищены. За счёт упреждающей загрузки битовых карт блоков повышена производительность кода для выделения блоков на недавно примонтированных ФС. В ext4 также разрешено одновременное использование режима работы без учёта регистра символов и шифрования. В файловой системе exFAT добавлена поддержка ioctl-команды FITRIM (discard), для информирования накопителя о неиспользуемых в ФС блоках. В файловой системе XFS добавлена возможность изъятия места из последней группы распределения в ФС, что стало первым звеном в реализации функции уменьшения размера существующих разделов с ФС XFS. Внесено несколько оптимизаций производительности. В файловой системе Btrfs добавлено использование упреждающего чтения в команде send, позволившая сократить время полной отправки на 10%, а инкрементальной на 25%. Для зонированных блочных устройств обеспечено автоматическое фонового перераспределения зон при превышении порога в 75% неиспользуемого пространства. В файловую систему EROFS (Enhanced Read-Only File System) добавлена поддержка режима big pcluster, позволяющего значительно увеличить производительность сжатия данных. Добавлен новый системный вызов quotactl_path, который отличается от quotactl тем, что позволяет управлять квотами не через файл специального устройства, а через указание пути к точке монтирования ФС. В механизме fanotify расширены возможности, доступные непривилегированным пользователям. Например, по аналогии с inotify без прав SYS_CAP_ADMIN теперь можно отслеживать события OPEN, CLOSE для файлов и каталогов. В распределённой файловой системе OrangeFS (продолжение развития PVFS) реализована поддержка операций упреждающего чтения, позволивших существенно увеличить производительность операций чтения (в тестах пропускная способность возросла с 21.8 MB/s до 386 MB/s). Повышена масштабируемость хэширования Device Mapper за счёт перехода на rbtree. В dm-integrity добавлена поддержка операции discard. Память и системные сервисы Добавлен новый контроллер cgroup – «Misc» (CONFIG_CGROUP_MISC), предназначенный для ограничения и отслеживания скалярных ресурсов, которыми можно управлять с использованием простого счётчика и ограничивать, задавая максимально допустимые значения. В качестве примера применения нового контроллера cgroup упоминается управление идентификаторами адресного пространства, применяемыми в механизме AMD SEV (Secure Encrypted Virtualization). В интерфейсе асинхронного ввода/вывода io_uring для запросов POLL реализован режим multi-shot, при котором POLL не удаляется после генерации события, а остаётся активным и может генерировать несколько событий. Из realtime-ветки ядра перенесён код, обеспечивающий обработку программно генерируемых прерываний в потоках ядра, что позволяет вытеснять их более приоритетными процессами. Добавлена внутренняя библиотека netfs, в которую вынесены типовые функции, используемые в сетевых файловых системах. Для архитектуры PowerPC реализована поддержка пространств имён для времени (time namespaces), позволяющих использовать в контейнере своё время. Для архитектуры RISC-V реализована поддержка kexec, crash dump, kprobe и запуска ядра по месту ( execute-in-place, выполнение с исходного носителя, без копирования в ОЗУ). В BPF-программах трассировки появилась возможность использования локального для задачи хранилища данных task-local storage, обеспечивающего более высокую производительность за счёт привязки данных к конкретному BPF-обработчику. Реализован новый механизм для прямого вызова функций ядра из BPF-программ, который уже использован в реализации алгоритмов перегрузки TCP. Для обеспечения безопасности вызываемые функции должны быть явно определены в белом списке. В систему трассировки функций ftrace добавлена опция func-no-repeats, позволяющая отразить повторяющиеся последовательные вызовы функции в виде счётчика. В системный вызов userfaultfd(), предназначенный для обработки page faults (обращение к невыделенным страницам памяти) в пространстве пользователя, добавлена возможность управления частичными fault-ами, при которых страница памяти присутствует, но нет записи в таблице страниц памяти. Прекращена поддержка специального файла /dev/kmem, при помощи которого можно получить доступ ко всему адресному пространству ядра. Данный файл признан устаревшим и создающим проблемы с безопасностью. Для чипов Intel реализован новый драйвер для управления охлаждением, позволяющий снижать частоту процессора при опасности перегрева. В отличие от имеющегося механизма активации TCC (Thermal Control Circuit), новый драйвер манипулирует относительными значениями, т.е. может снизить частоту на этапе начала значительного роста температуры, не дожидаясь преодоления порогового критического значения. Реализована возможность одновременного сброса локального и внешнего буферов ассоциативной трансляции (TLB), которая привела к увеличению скорости прохождения теста Sysbench на 1-4%. Виртуализация и безопасность В состав включён LSM-модуль обеспечения изоляции приложений Landlock, позволяющий ограничить взаимодействие с внешним окружением группы процессов и разработанный с оглядкой на такие механизмы изоляции как XNU Sandbox, FreeBSD Capsicum и OpenBSD Pledge/Unveil. Логика предоставления доступа определяется при помощи BPF-программы, но в отличие от seccomp-bpf, Landlock не фильтрует системные вызовы и их аргументы, а позволяет ограничить использование объектов ядра, таких как иерархии файлов. При помощи Landlock любой процесс, в том числе непривигелированный, может надёжно изолировать себя и не допустить обхода изоляции в случае выявления уязвимостей или вредоносных изменений в приложении. Landlock позволяет процессу создать защищённые изолированные окружения, реализованные в форме дополнительного слоя над существующими системными механизмами управления доступом. Например, программа может запретить доступ к файлам за пределами рабочего каталога.

В Южно-Сахалинске прошёл сход против обязательной вакцинации | ДВ-РОСС — новости Дальнего Востока

29 июня. Календарь Казинформа «Даты. События»

Международный день тропиков Учрежден Генеральной Ассамблеей Организации Объединенных Наций, чтобы повысить на всех уровнях осведомленность об особых трудностях, с которыми сталкиваются тропические районы, и далекоидущих последствиях проблем, затрагивающих эту зону мира. Кроме того, он призван подчеркнуть важную роль, которую тропические страны сыграют в достижении целей и области устойчивого развития. СОБЫТИЯ В 1932 году коллегией Наркомтяжпрома СССР принято постановление о строительстве Прибалхашского медеплавильного комбината. Местом расположения основных производственных сооружений и города утвержден берег бухты Бертыс. В 1964 году в Казахстане было завершено строительство железной дороги направлением Макат - Актау. Оно велось с двух направлений: со стороны станции Макат - строительно-монтажным поездом СМП-137, а со стороны Шевченко - строительной передвижной механизированной колонной СПМК-66. Стыковка двух участков дороги состоялась у станции Сай-отес. Здесь в торжественной обстановке забили «серебряный» костыль. В 1992 году состоялся обмен нотами об установлении дипломатических отношений между Республикой Казахстан и Социалистической Республикой Вьетнам, Республикой Казахстан и Демократической Социалистической Республикой Шри-Ланка, Республикой Казахстан и Гвинейской Республикой. Социалистическая Республика Вьетнам - государство в Юго-Восточной Азии. Занимает ряд прибрежных островов (крупнейший - Фукуок в Сиамском заливе). Площадь - 331,2 тыс. км 2. Столица - г. Ханой. Официальный язык - вьетнамский. Денежная единица - донг. Глава государства - президент, избирается парламентом из числа депутатов на 5 лет. Ответственен перед парламентом и подотчётен ему. Шри-Ланка - государство в Южной Азии, расположено на одноименном острове и прилегающих более мелких островах в Индийском океане, к юго-востоку от Индии. Площадь - 65,6 тыс. км 2. Столица - г. Шри-Джаяварденепура-Котте. Официальные языки - сингальский и тамильский. Денежная единица - шри-ланкийская рупия. Глава государства и правительства - президент, избираемый на 6 лет всеобщим прямым голосованием (с правом одного переизбрания). Президент является Верховным главнокомандующим. Гвинейская Республика - государство в Западной Африке. Площадь - 245,9 тыс. км 2. Столица - г. Конакри. Официальный язык - французский. Денежная единица - гвинейский франк. Глава государства - президент, срок президентского мандата 7 лет (количество переизбраний не ограничено). В 1998 году в Таразском государственном университете был установлен бюст известного поэта, историка, философа Мухаммада Хайдара Дулати. Мирза Мухаммад Хайдар Дулат (1499-1551) - автор ряда исторических трудов XVI века, государственный деятель и военачальник средневекового государства Мамлакат-и Моголийе. В 2001 году была создана Специальная экономическая зона (СЭЗ) «Астана - новый город». Территория СЭЗ «Астана - новый город» является неотъемлемой частью территории Республики Казахстан. На сегодняшний день территория СЭЗ составляет 7 634,71 га и включает в себя новый административно-деловой центр столицы площадью 6 531,1 га и новые промышленные зоны в городе Астане - индустриальный парк № 1 площадью 598,1 га, индустриальный парк № 2 площадью 433,1 га и городская легкорельсовая линия площадью 72,41 га. В 2009 году Президент Казахстана Нурсултан Назарбаев заложил памятную капсулу в основание будущей соборной мечети Астаны и назвал ее «Хазрет Султан», что означает «Святейший Султан». Для строительства знакового религиозного сооружения был выбран участок площадью 7,42 га на правом берегу реки Есиль в северо-восточной части градостроительного ансамбля, включающего Дворец мира и согласия, Дворец независимости, Дворец творчества и Музей археологии и этнографии с монументом «Қазақ елі», в одной из приоритетных градостроительных зон столицы. Открытие мечети, которая пополнила список уникальных объектов столицы, состоялось 6 июля 2012 года. В 2010 году в Мангистауской области в порту Баутино был запущен единственный в республике судоремонтный завод, который предназначен для ремонта судов длиной 60 м, шириной 16 м, весом до 600 тонн. Новый судоремонтный завод в Баутино - крупная база по оказанию текущих, междурейсовых, технических услуг морским судам. Стоимость проекта - более 2,5 млрд тенге. В 2011 году в Казахстане была выпущена памятная банкнота номинальной стоимостью 1000 тенге, посвященная председательству нашей страны в Организации «Исламская конференция». На лицевой стороне банкноты размещены логотип Организации «Исламская конференция» и купол мавзолея Ходжа Ахмеда Яссауи, расположенного в Казахстане - в городе Туркестане. На оборотной стороне изображен общий вид мавзолея. На памятной банкноте впервые в мире применены новейшие защитные элементы. Голова изображенного барса выполнена по технологии пиксельного водяного знака, ранее нигде не использовавшегося. В 2018 году в Жарминском районе Восточного Казахстана был установлен памятник домбре. Высота памятника - 7 метров, длина - 3 метра. Автором памятника является молодой скульптор Нурбол Калиев. Аким района Нурлан Сыдыков, выступивший на торжественном мероприятии, сказал, что приложит силы, чтобы памятник стал местом возвеличивания национального наследия, пропаганды силы искусства. В 2018 году в Женеве (Швейцария) состоялось подписание Соглашения о международном сотрудничестве между Правительством Республики Казахстан и Европейской организацией по ядерным исследованиям (CERN) относительно научно-технического сотрудничества. Необходимо отметить, что научное сотрудничество Казахстана в рамках CERN имеет большое значение для поддержания положительного имиджа нашей страны в мировом сообществе, что повлияет на развитие научного и инновационного потенциала страны. Международное соглашение о сотрудничестве подписано с целью укрепления имеющегося сотрудничества и создания базы для обеспечения возможности участия для ученых, инженеров, студентов и технических специалистов из Казахстана в научно-исследовательских проектах CERN на долгосрочной основе. В 2020 годубыл подписан Административный процедурно-процессуальный кодекс Республики Казахстан, закрепляющий совокупность гарантий, позволяющих гражданам активно участвовать в процессе принятия управленческих решений, а также устанавливающий эффективные механизмы защиты прав граждан при рассмотрении споров вышестоящим органом и органами судебной власти. Подписывайтесь на наш канал:

Linux 5.13 — Ядро Linux — Новости

qualcomm arm64. Дисковая подсистема, ввод/вывод и файловые системы Для файловой системы SMB3 реализована опция монтирования rasize, при помощи которой можно определить размер окна упреждающего чтения (readahead) для увеличения производительности некоторых видов нагрузки. В файловой системе ext4 обеспечена перезапись элементов каталогов при удалении файлов, чтобы гарантировать, что имена удалённых файлов будут очищены. За счёт упреждающей загрузки битовых карт блоков повышена производительность кода для выделения блоков на недавно примонтированных ФС. В ext4 также разрешено одновременное использование режима работы без учёта регистра символов и шифрования. В файловой системе exFAT добавлена поддержка ioctl-команды FITRIM (discard), для информирования накопителя о неиспользуемых в ФС блоках. В файловой системе XFS добавлена возможность изъятия места из последней группы распределения в ФС, что стало первым звеном в реализации функции уменьшения размера существующих разделов с ФС XFS. Внесено несколько оптимизаций производительности. В файловой системе Btrfs добавлено использование упреждающего чтения в команде send, позволившая сократить время полной отправки на 10%, а инкрементальной на 25%. Для зонированных блочных устройств обеспечено автоматическое фонового перераспределения зон при превышении порога в 75% неиспользуемого пространства. В файловую систему EROFS (Enhanced Read-Only File System) добавлена поддержка режима big pcluster, позволяющего значительно увеличить производительность сжатия данных. Добавлен новый системный вызов quotactl_path, который отличается от quotactl тем, что позволяет управлять квотами не через файл специального устройства, а через указание пути к точке монтирования ФС. В механизме fanotify расширены возможности, доступные непривилегированным пользователям. Например, по аналогии с inotify без прав SYS_CAP_ADMIN теперь можно отслеживать события OPEN, CLOSE для файлов и каталогов. В распределённой файловой системе OrangeFS (продолжение развития PVFS) реализована поддержка операций упреждающего чтения, позволивших существенно увеличить производительность операций чтения (в тестах пропускная способность возросла с 21.8 MB/s до 386 MB/s). Повышена масштабируемость хэширования Device Mapper за счёт перехода на rbtree. В dm-integrity добавлена поддержка операции discard. Память и системные сервисы Добавлен новый контроллер cgroup – «Misc» (CONFIG_CGROUP_MISC), предназначенный для ограничения и отслеживания скалярных ресурсов, которыми можно управлять с использованием простого счётчика и ограничивать, задавая максимально допустимые значения. В качестве примера применения нового контроллера cgroup упоминается управление идентификаторами адресного пространства, применяемыми в механизме AMD SEV (Secure Encrypted Virtualization). В интерфейсе асинхронного ввода/вывода io_uring для запросов POLL реализован режим multi-shot, при котором POLL не удаляется после генерации события, а остаётся активным и может генерировать несколько событий. Из realtime-ветки ядра перенесён код, обеспечивающий обработку программно генерируемых прерываний в потоках ядра, что позволяет вытеснять их более приоритетными процессами. Добавлена внутренняя библиотека netfs, в которую вынесены типовые функции, используемые в сетевых файловых системах. Для архитектуры PowerPC реализована поддержка пространств имён для времени (time namespaces), позволяющих использовать в контейнере своё время. Для архитектуры RISC-V реализована поддержка kexec, crash dump, kprobe и запуска ядра по месту ( execute-in-place, выполнение с исходного носителя, без копирования в ОЗУ). В BPF-программах трассировки появилась возможность использования локального для задачи хранилища данных task-local storage, обеспечивающего более высокую производительность за счёт привязки данных к конкретному BPF-обработчику. Реализован новый механизм для прямого вызова функций ядра из BPF-программ, который уже использован в реализации алгоритмов перегрузки TCP. Для обеспечения безопасности вызываемые функции должны быть явно определены в белом списке. В систему трассировки функций ftrace добавлена опция func-no-repeats, позволяющая отразить повторяющиеся последовательные вызовы функции в виде счётчика. В системный вызов userfaultfd(), предназначенный для обработки page faults (обращение к невыделенным страницам памяти) в пространстве пользователя, добавлена возможность управления частичными fault-ами, при которых страница памяти присутствует, но нет записи в таблице страниц памяти. Прекращена поддержка специального файла /dev/kmem, при помощи которого можно получить доступ ко всему адресному пространству ядра. Данный файл признан устаревшим и создающим проблемы с безопасностью. Для чипов Intel реализован новый драйвер для управления охлаждением, позволяющий снижать частоту процессора при опасности перегрева. В отличие от имеющегося механизма активации TCC (Thermal Control Circuit), новый драйвер манипулирует относительными значениями, т.е. может снизить частоту на этапе начала значительного роста температуры, не дожидаясь преодоления порогового критического значения. Реализована возможность одновременного сброса локального и внешнего буферов ассоциативной трансляции (TLB), которая привела к увеличению скорости прохождения теста Sysbench на 1-4%. Виртуализация и безопасность В состав включён LSM-модуль обеспечения изоляции приложений Landlock, позволяющий ограничить взаимодействие с внешним окружением группы процессов и разработанный с оглядкой на такие механизмы изоляции как XNU Sandbox, FreeBSD Capsicum и OpenBSD Pledge/Unveil. Логика предоставления доступа определяется при помощи BPF-программы, но в отличие от seccomp-bpf, Landlock не фильтрует системные вызовы и их аргументы, а позволяет ограничить использование объектов ядра, таких как иерархии файлов. При помощи Landlock любой процесс, в том числе непривигелированный, может надёжно изолировать себя и не допустить обхода изоляции в случае выявления уязвимостей или вредоносных изменений в приложении. Landlock позволяет процессу создать защищённые изолированные окружения, реализованные в форме дополнительного слоя над существующими системными механизмами управления доступом. Например, программа может запретить доступ к файлам за пределами рабочего каталога.

Релиз ядра Linux 5.13