1. Home
  2. Live Updates
  3. Networkmanager wimax

Live Breaking News & Updates on Networkmanager wimax

Linux 5.13 — Ядро Linux — Новости


qualcomm arm64.
Дисковая подсистема, ввод/вывод и файловые системы
Для файловой системы SMB3 реализована опция монтирования
rasize, при помощи которой можно определить размер окна упреждающего чтения (readahead) для увеличения производительности некоторых видов нагрузки.
В файловой системе ext4 обеспечена перезапись элементов каталогов при удалении файлов, чтобы гарантировать, что имена удалённых файлов будут очищены. За счёт упреждающей загрузки битовых карт блоков повышена производительность кода для выделения блоков на недавно примонтированных ФС. В ext4 также разрешено одновременное
использование режима работы без учёта регистра символов и шифрования.
В файловой системе exFAT добавлена поддержка ioctl-команды
FITRIM (discard), для информирования накопителя о неиспользуемых в ФС блоках.
В файловой системе XFS добавлена возможность изъятия места из последней группы распределения в ФС, что стало первым звеном в реализации функции уменьшения размера существующих разделов с ФС XFS. Внесено несколько оптимизаций производительности.
В файловой системе Btrfs добавлено использование упреждающего чтения в команде
send, позволившая сократить время полной отправки на 10%, а инкрементальной на 25%. Для зонированных блочных устройств обеспечено автоматическое фонового перераспределения зон при превышении порога в 75% неиспользуемого пространства.
В файловую систему EROFS (Enhanced Read-Only File System) добавлена поддержка режима
big pcluster, позволяющего значительно увеличить производительность сжатия данных.
Добавлен новый системный вызов
quotactl path, который отличается от
quotactl тем, что позволяет управлять квотами не через файл специального устройства, а через указание пути к точке монтирования ФС.
В механизме
fanotify расширены возможности, доступные непривилегированным пользователям. Например, по аналогии с inotify без прав
SYS CAP ADMIN теперь можно отслеживать события
OPEN,
CLOSE для файлов и каталогов.
В распределённой файловой системе OrangeFS (продолжение развития PVFS) реализована поддержка операций упреждающего чтения, позволивших существенно увеличить производительность операций чтения (в тестах пропускная способность возросла с 21.8 MB/s до 386 MB/s).
Повышена масштабируемость хэширования Device Mapper за счёт перехода на rbtree. В dm-integrity добавлена поддержка операции
discard.
Память и системные сервисы
Добавлен новый контроллер cgroup – «Misc»
(CONFIG CGROUP MISC), предназначенный для ограничения и отслеживания скалярных ресурсов, которыми можно управлять с использованием простого счётчика и ограничивать, задавая максимально допустимые значения. В качестве примера применения нового контроллера cgroup упоминается управление идентификаторами адресного пространства, применяемыми в механизме AMD SEV (Secure Encrypted Virtualization).
В интерфейсе асинхронного ввода/вывода
io uring для запросов
POLL реализован режим
multi-shot, при котором
POLL не удаляется после генерации события, а остаётся активным и может генерировать несколько событий.
Из realtime-ветки ядра перенесён код, обеспечивающий обработку программно генерируемых прерываний в потоках ядра, что позволяет вытеснять их более приоритетными процессами.
Добавлена внутренняя библиотека netfs, в которую вынесены типовые функции, используемые в сетевых файловых системах.
Для архитектуры PowerPC реализована поддержка пространств имён для времени (time namespaces), позволяющих использовать в контейнере своё время.
Для архитектуры RISC-V реализована поддержка
kexec,
crash dump,
kprobe и запуска ядра по месту (
execute-in-place, выполнение с исходного носителя, без копирования в ОЗУ).
В BPF-программах трассировки появилась возможность использования локального для задачи хранилища данных
task-local storage, обеспечивающего более высокую производительность за счёт привязки данных к конкретному BPF-обработчику.
Реализован новый механизм для прямого вызова функций ядра из BPF-программ, который уже использован в реализации алгоритмов перегрузки TCP. Для обеспечения безопасности вызываемые функции должны быть явно определены в белом списке.
В систему трассировки функций
ftrace добавлена опция
func-no-repeats, позволяющая отразить повторяющиеся последовательные вызовы функции в виде счётчика.
В системный вызов
userfaultfd(), предназначенный для обработки
page faults (обращение к невыделенным страницам памяти) в пространстве пользователя, добавлена возможность управления частичными fault-ами, при которых страница памяти присутствует, но нет записи в таблице страниц памяти.
Прекращена поддержка специального файла
/dev/kmem, при помощи которого можно получить доступ ко всему адресному пространству ядра. Данный файл признан устаревшим и создающим проблемы с безопасностью.
Для чипов Intel реализован новый драйвер для управления охлаждением, позволяющий снижать частоту процессора при опасности перегрева. В отличие от имеющегося механизма активации TCC (Thermal Control Circuit), новый драйвер манипулирует относительными значениями, т.е. может снизить частоту на этапе начала значительного роста температуры, не дожидаясь преодоления порогового критического значения.
Реализована возможность одновременного сброса локального и внешнего буферов ассоциативной трансляции (TLB), которая привела к увеличению скорости прохождения теста Sysbench на 1-4%.
Виртуализация и безопасность
В состав включён LSM-модуль обеспечения изоляции приложений Landlock, позволяющий ограничить взаимодействие с внешним окружением группы процессов и разработанный с оглядкой на такие механизмы изоляции как XNU Sandbox, FreeBSD Capsicum и OpenBSD Pledge/Unveil. Логика предоставления доступа определяется при помощи BPF-программы, но в отличие от seccomp-bpf, Landlock не фильтрует системные вызовы и их аргументы, а позволяет ограничить использование объектов ядра, таких как иерархии файлов. При помощи Landlock любой процесс, в том числе непривигелированный, может надёжно изолировать себя и не допустить обхода изоляции в случае выявления уязвимостей или вредоносных изменений в приложении. Landlock позволяет процессу создать защищённые изолированные окружения, реализованные в форме дополнительного слоя над существующими системными механизмами управления доступом. Например, программа может запретить доступ к файлам за пределами рабочего каталога.

China , Taiwan , Japan , United-states , South-korea , Washington , South-korean , American , Korea , Taiwanese , Networkmanager-wimax , Qualcomm-qcn

Linux 5.13 — Ядро Linux — Новости


qualcomm arm64.
Дисковая подсистема, ввод/вывод и файловые системы
Для файловой системы SMB3 реализована опция монтирования
rasize, при помощи которой можно определить размер окна упреждающего чтения (readahead) для увеличения производительности некоторых видов нагрузки.
В файловой системе ext4 обеспечена перезапись элементов каталогов при удалении файлов, чтобы гарантировать, что имена удалённых файлов будут очищены. За счёт упреждающей загрузки битовых карт блоков повышена производительность кода для выделения блоков на недавно примонтированных ФС. В ext4 также разрешено одновременное
использование режима работы без учёта регистра символов и шифрования.
В файловой системе exFAT добавлена поддержка ioctl-команды
FITRIM (discard), для информирования накопителя о неиспользуемых в ФС блоках.
В файловой системе XFS добавлена возможность изъятия места из последней группы распределения в ФС, что стало первым звеном в реализации функции уменьшения размера существующих разделов с ФС XFS. Внесено несколько оптимизаций производительности.
В файловой системе Btrfs добавлено использование упреждающего чтения в команде
send, позволившая сократить время полной отправки на 10%, а инкрементальной на 25%. Для зонированных блочных устройств обеспечено автоматическое фонового перераспределения зон при превышении порога в 75% неиспользуемого пространства.
В файловую систему EROFS (Enhanced Read-Only File System) добавлена поддержка режима
big pcluster, позволяющего значительно увеличить производительность сжатия данных.
Добавлен новый системный вызов
quotactl path, который отличается от
quotactl тем, что позволяет управлять квотами не через файл специального устройства, а через указание пути к точке монтирования ФС.
В механизме
fanotify расширены возможности, доступные непривилегированным пользователям. Например, по аналогии с inotify без прав
SYS CAP ADMIN теперь можно отслеживать события
OPEN,
CLOSE для файлов и каталогов.
В распределённой файловой системе OrangeFS (продолжение развития PVFS) реализована поддержка операций упреждающего чтения, позволивших существенно увеличить производительность операций чтения (в тестах пропускная способность возросла с 21.8 MB/s до 386 MB/s).
Повышена масштабируемость хэширования Device Mapper за счёт перехода на rbtree. В dm-integrity добавлена поддержка операции
discard.
Память и системные сервисы
Добавлен новый контроллер cgroup – «Misc»
(CONFIG CGROUP MISC), предназначенный для ограничения и отслеживания скалярных ресурсов, которыми можно управлять с использованием простого счётчика и ограничивать, задавая максимально допустимые значения. В качестве примера применения нового контроллера cgroup упоминается управление идентификаторами адресного пространства, применяемыми в механизме AMD SEV (Secure Encrypted Virtualization).
В интерфейсе асинхронного ввода/вывода
io uring для запросов
POLL реализован режим
multi-shot, при котором
POLL не удаляется после генерации события, а остаётся активным и может генерировать несколько событий.
Из realtime-ветки ядра перенесён код, обеспечивающий обработку программно генерируемых прерываний в потоках ядра, что позволяет вытеснять их более приоритетными процессами.
Добавлена внутренняя библиотека netfs, в которую вынесены типовые функции, используемые в сетевых файловых системах.
Для архитектуры PowerPC реализована поддержка пространств имён для времени (time namespaces), позволяющих использовать в контейнере своё время.
Для архитектуры RISC-V реализована поддержка
kexec,
crash dump,
kprobe и запуска ядра по месту (
execute-in-place, выполнение с исходного носителя, без копирования в ОЗУ).
В BPF-программах трассировки появилась возможность использования локального для задачи хранилища данных
task-local storage, обеспечивающего более высокую производительность за счёт привязки данных к конкретному BPF-обработчику.
Реализован новый механизм для прямого вызова функций ядра из BPF-программ, который уже использован в реализации алгоритмов перегрузки TCP. Для обеспечения безопасности вызываемые функции должны быть явно определены в белом списке.
В систему трассировки функций
ftrace добавлена опция
func-no-repeats, позволяющая отразить повторяющиеся последовательные вызовы функции в виде счётчика.
В системный вызов
userfaultfd(), предназначенный для обработки
page faults (обращение к невыделенным страницам памяти) в пространстве пользователя, добавлена возможность управления частичными fault-ами, при которых страница памяти присутствует, но нет записи в таблице страниц памяти.
Прекращена поддержка специального файла
/dev/kmem, при помощи которого можно получить доступ ко всему адресному пространству ядра. Данный файл признан устаревшим и создающим проблемы с безопасностью.
Для чипов Intel реализован новый драйвер для управления охлаждением, позволяющий снижать частоту процессора при опасности перегрева. В отличие от имеющегося механизма активации TCC (Thermal Control Circuit), новый драйвер манипулирует относительными значениями, т.е. может снизить частоту на этапе начала значительного роста температуры, не дожидаясь преодоления порогового критического значения.
Реализована возможность одновременного сброса локального и внешнего буферов ассоциативной трансляции (TLB), которая привела к увеличению скорости прохождения теста Sysbench на 1-4%.
Виртуализация и безопасность
В состав включён LSM-модуль обеспечения изоляции приложений Landlock, позволяющий ограничить взаимодействие с внешним окружением группы процессов и разработанный с оглядкой на такие механизмы изоляции как XNU Sandbox, FreeBSD Capsicum и OpenBSD Pledge/Unveil. Логика предоставления доступа определяется при помощи BPF-программы, но в отличие от seccomp-bpf, Landlock не фильтрует системные вызовы и их аргументы, а позволяет ограничить использование объектов ядра, таких как иерархии файлов. При помощи Landlock любой процесс, в том числе непривигелированный, может надёжно изолировать себя и не допустить обхода изоляции в случае выявления уязвимостей или вредоносных изменений в приложении. Landlock позволяет процессу создать защищённые изолированные окружения, реализованные в форме дополнительного слоя над существующими системными механизмами управления доступом. Например, программа может запретить доступ к файлам за пределами рабочего каталога.

China , United-states , Egypt , Russia , Tverskaya , Tverskaya-oblast , Washington , Omsk , Omskaya-oblast , Russian , Americans , America

Linux 5.13 — Ядро Linux — Новости

Linux 5.13 — Ядро Linux — Новости
linux.org.ru - get the latest breaking news, showbiz & celebrity photos, sport news & rumours, viral videos and top stories from linux.org.ru Daily Mail and Mail on Sunday newspapers.

Black-sea , Oceans-general , Oceans , United-states , United-kingdom , White-house , District-of-columbia , Sweden , Russia , Kremlin , Moskva , London

Linux 5.13 — Ядро Linux — Новости

Linux 5.13 — Ядро Linux — Новости
linux.org.ru - get the latest breaking news, showbiz & celebrity photos, sport news & rumours, viral videos and top stories from linux.org.ru Daily Mail and Mail on Sunday newspapers.

Germany , Kazakhstan , United-states , Kiev , Ukraine-general , Ukraine , Washington , Belarus , Russia , Ukraina , Belarusians , Russian

Linux 5.13 — Ядро Linux — Новости

Linux 5.13 — Ядро Linux — Новости
linux.org.ru - get the latest breaking news, showbiz & celebrity photos, sport news & rumours, viral videos and top stories from linux.org.ru Daily Mail and Mail on Sunday newspapers.

Yekaterinburg , Sverdlovskaya-oblast , Russia , Italy , Afghanistan , Houston , Texas , United-states , Ghana , Italian , Russian , Ghanaians

Linux 5.13 — Ядро Linux — Новости


qualcomm arm64.
Дисковая подсистема, ввод/вывод и файловые системы
Для файловой системы SMB3 реализована опция монтирования
rasize, при помощи которой можно определить размер окна упреждающего чтения (readahead) для увеличения производительности некоторых видов нагрузки.
В файловой системе ext4 обеспечена перезапись элементов каталогов при удалении файлов, чтобы гарантировать, что имена удалённых файлов будут очищены. За счёт упреждающей загрузки битовых карт блоков повышена производительность кода для выделения блоков на недавно примонтированных ФС. В ext4 также разрешено одновременное
использование режима работы без учёта регистра символов и шифрования.
В файловой системе exFAT добавлена поддержка ioctl-команды
FITRIM (discard), для информирования накопителя о неиспользуемых в ФС блоках.
В файловой системе XFS добавлена возможность изъятия места из последней группы распределения в ФС, что стало первым звеном в реализации функции уменьшения размера существующих разделов с ФС XFS. Внесено несколько оптимизаций производительности.
В файловой системе Btrfs добавлено использование упреждающего чтения в команде
send, позволившая сократить время полной отправки на 10%, а инкрементальной на 25%. Для зонированных блочных устройств обеспечено автоматическое фонового перераспределения зон при превышении порога в 75% неиспользуемого пространства.
В файловую систему EROFS (Enhanced Read-Only File System) добавлена поддержка режима
big pcluster, позволяющего значительно увеличить производительность сжатия данных.
Добавлен новый системный вызов
quotactl path, который отличается от
quotactl тем, что позволяет управлять квотами не через файл специального устройства, а через указание пути к точке монтирования ФС.
В механизме
fanotify расширены возможности, доступные непривилегированным пользователям. Например, по аналогии с inotify без прав
SYS CAP ADMIN теперь можно отслеживать события
OPEN,
CLOSE для файлов и каталогов.
В распределённой файловой системе OrangeFS (продолжение развития PVFS) реализована поддержка операций упреждающего чтения, позволивших существенно увеличить производительность операций чтения (в тестах пропускная способность возросла с 21.8 MB/s до 386 MB/s).
Повышена масштабируемость хэширования Device Mapper за счёт перехода на rbtree. В dm-integrity добавлена поддержка операции
discard.
Память и системные сервисы
Добавлен новый контроллер cgroup – «Misc»
(CONFIG CGROUP MISC), предназначенный для ограничения и отслеживания скалярных ресурсов, которыми можно управлять с использованием простого счётчика и ограничивать, задавая максимально допустимые значения. В качестве примера применения нового контроллера cgroup упоминается управление идентификаторами адресного пространства, применяемыми в механизме AMD SEV (Secure Encrypted Virtualization).
В интерфейсе асинхронного ввода/вывода
io uring для запросов
POLL реализован режим
multi-shot, при котором
POLL не удаляется после генерации события, а остаётся активным и может генерировать несколько событий.
Из realtime-ветки ядра перенесён код, обеспечивающий обработку программно генерируемых прерываний в потоках ядра, что позволяет вытеснять их более приоритетными процессами.
Добавлена внутренняя библиотека netfs, в которую вынесены типовые функции, используемые в сетевых файловых системах.
Для архитектуры PowerPC реализована поддержка пространств имён для времени (time namespaces), позволяющих использовать в контейнере своё время.
Для архитектуры RISC-V реализована поддержка
kexec,
crash dump,
kprobe и запуска ядра по месту (
execute-in-place, выполнение с исходного носителя, без копирования в ОЗУ).
В BPF-программах трассировки появилась возможность использования локального для задачи хранилища данных
task-local storage, обеспечивающего более высокую производительность за счёт привязки данных к конкретному BPF-обработчику.
Реализован новый механизм для прямого вызова функций ядра из BPF-программ, который уже использован в реализации алгоритмов перегрузки TCP. Для обеспечения безопасности вызываемые функции должны быть явно определены в белом списке.
В систему трассировки функций
ftrace добавлена опция
func-no-repeats, позволяющая отразить повторяющиеся последовательные вызовы функции в виде счётчика.
В системный вызов
userfaultfd(), предназначенный для обработки
page faults (обращение к невыделенным страницам памяти) в пространстве пользователя, добавлена возможность управления частичными fault-ами, при которых страница памяти присутствует, но нет записи в таблице страниц памяти.
Прекращена поддержка специального файла
/dev/kmem, при помощи которого можно получить доступ ко всему адресному пространству ядра. Данный файл признан устаревшим и создающим проблемы с безопасностью.
Для чипов Intel реализован новый драйвер для управления охлаждением, позволяющий снижать частоту процессора при опасности перегрева. В отличие от имеющегося механизма активации TCC (Thermal Control Circuit), новый драйвер манипулирует относительными значениями, т.е. может снизить частоту на этапе начала значительного роста температуры, не дожидаясь преодоления порогового критического значения.
Реализована возможность одновременного сброса локального и внешнего буферов ассоциативной трансляции (TLB), которая привела к увеличению скорости прохождения теста Sysbench на 1-4%.
Виртуализация и безопасность
В состав включён LSM-модуль обеспечения изоляции приложений Landlock, позволяющий ограничить взаимодействие с внешним окружением группы процессов и разработанный с оглядкой на такие механизмы изоляции как XNU Sandbox, FreeBSD Capsicum и OpenBSD Pledge/Unveil. Логика предоставления доступа определяется при помощи BPF-программы, но в отличие от seccomp-bpf, Landlock не фильтрует системные вызовы и их аргументы, а позволяет ограничить использование объектов ядра, таких как иерархии файлов. При помощи Landlock любой процесс, в том числе непривигелированный, может надёжно изолировать себя и не допустить обхода изоляции в случае выявления уязвимостей или вредоносных изменений в приложении. Landlock позволяет процессу создать защищённые изолированные окружения, реализованные в форме дополнительного слоя над существующими системными механизмами управления доступом. Например, программа может запретить доступ к файлам за пределами рабочего каталога.

Germany , United-states , Hungary , Kiev , Ukraine-general , Ukraine , Crimea , Krym , Avtonomna-respublika , Russia , Poland , Polish

Linux 5.13 — Ядро Linux — Новости


qualcomm arm64.
Дисковая подсистема, ввод/вывод и файловые системы
Для файловой системы SMB3 реализована опция монтирования
rasize, при помощи которой можно определить размер окна упреждающего чтения (readahead) для увеличения производительности некоторых видов нагрузки.
В файловой системе ext4 обеспечена перезапись элементов каталогов при удалении файлов, чтобы гарантировать, что имена удалённых файлов будут очищены. За счёт упреждающей загрузки битовых карт блоков повышена производительность кода для выделения блоков на недавно примонтированных ФС. В ext4 также разрешено одновременное
использование режима работы без учёта регистра символов и шифрования.
В файловой системе exFAT добавлена поддержка ioctl-команды
FITRIM (discard), для информирования накопителя о неиспользуемых в ФС блоках.
В файловой системе XFS добавлена возможность изъятия места из последней группы распределения в ФС, что стало первым звеном в реализации функции уменьшения размера существующих разделов с ФС XFS. Внесено несколько оптимизаций производительности.
В файловой системе Btrfs добавлено использование упреждающего чтения в команде
send, позволившая сократить время полной отправки на 10%, а инкрементальной на 25%. Для зонированных блочных устройств обеспечено автоматическое фонового перераспределения зон при превышении порога в 75% неиспользуемого пространства.
В файловую систему EROFS (Enhanced Read-Only File System) добавлена поддержка режима
big pcluster, позволяющего значительно увеличить производительность сжатия данных.
Добавлен новый системный вызов
quotactl path, который отличается от
quotactl тем, что позволяет управлять квотами не через файл специального устройства, а через указание пути к точке монтирования ФС.
В механизме
fanotify расширены возможности, доступные непривилегированным пользователям. Например, по аналогии с inotify без прав
SYS CAP ADMIN теперь можно отслеживать события
OPEN,
CLOSE для файлов и каталогов.
В распределённой файловой системе OrangeFS (продолжение развития PVFS) реализована поддержка операций упреждающего чтения, позволивших существенно увеличить производительность операций чтения (в тестах пропускная способность возросла с 21.8 MB/s до 386 MB/s).
Повышена масштабируемость хэширования Device Mapper за счёт перехода на rbtree. В dm-integrity добавлена поддержка операции
discard.
Память и системные сервисы
Добавлен новый контроллер cgroup – «Misc»
(CONFIG CGROUP MISC), предназначенный для ограничения и отслеживания скалярных ресурсов, которыми можно управлять с использованием простого счётчика и ограничивать, задавая максимально допустимые значения. В качестве примера применения нового контроллера cgroup упоминается управление идентификаторами адресного пространства, применяемыми в механизме AMD SEV (Secure Encrypted Virtualization).
В интерфейсе асинхронного ввода/вывода
io uring для запросов
POLL реализован режим
multi-shot, при котором
POLL не удаляется после генерации события, а остаётся активным и может генерировать несколько событий.
Из realtime-ветки ядра перенесён код, обеспечивающий обработку программно генерируемых прерываний в потоках ядра, что позволяет вытеснять их более приоритетными процессами.
Добавлена внутренняя библиотека netfs, в которую вынесены типовые функции, используемые в сетевых файловых системах.
Для архитектуры PowerPC реализована поддержка пространств имён для времени (time namespaces), позволяющих использовать в контейнере своё время.
Для архитектуры RISC-V реализована поддержка
kexec,
crash dump,
kprobe и запуска ядра по месту (
execute-in-place, выполнение с исходного носителя, без копирования в ОЗУ).
В BPF-программах трассировки появилась возможность использования локального для задачи хранилища данных
task-local storage, обеспечивающего более высокую производительность за счёт привязки данных к конкретному BPF-обработчику.
Реализован новый механизм для прямого вызова функций ядра из BPF-программ, который уже использован в реализации алгоритмов перегрузки TCP. Для обеспечения безопасности вызываемые функции должны быть явно определены в белом списке.
В систему трассировки функций
ftrace добавлена опция
func-no-repeats, позволяющая отразить повторяющиеся последовательные вызовы функции в виде счётчика.
В системный вызов
userfaultfd(), предназначенный для обработки
page faults (обращение к невыделенным страницам памяти) в пространстве пользователя, добавлена возможность управления частичными fault-ами, при которых страница памяти присутствует, но нет записи в таблице страниц памяти.
Прекращена поддержка специального файла
/dev/kmem, при помощи которого можно получить доступ ко всему адресному пространству ядра. Данный файл признан устаревшим и создающим проблемы с безопасностью.
Для чипов Intel реализован новый драйвер для управления охлаждением, позволяющий снижать частоту процессора при опасности перегрева. В отличие от имеющегося механизма активации TCC (Thermal Control Circuit), новый драйвер манипулирует относительными значениями, т.е. может снизить частоту на этапе начала значительного роста температуры, не дожидаясь преодоления порогового критического значения.
Реализована возможность одновременного сброса локального и внешнего буферов ассоциативной трансляции (TLB), которая привела к увеличению скорости прохождения теста Sysbench на 1-4%.
Виртуализация и безопасность
В состав включён LSM-модуль обеспечения изоляции приложений Landlock, позволяющий ограничить взаимодействие с внешним окружением группы процессов и разработанный с оглядкой на такие механизмы изоляции как XNU Sandbox, FreeBSD Capsicum и OpenBSD Pledge/Unveil. Логика предоставления доступа определяется при помощи BPF-программы, но в отличие от seccomp-bpf, Landlock не фильтрует системные вызовы и их аргументы, а позволяет ограничить использование объектов ядра, таких как иерархии файлов. При помощи Landlock любой процесс, в том числе непривигелированный, может надёжно изолировать себя и не допустить обхода изоляции в случае выявления уязвимостей или вредоносных изменений в приложении. Landlock позволяет процессу создать защищённые изолированные окружения, реализованные в форме дополнительного слоя над существующими системными механизмами управления доступом. Например, программа может запретить доступ к файлам за пределами рабочего каталога.

China , Beijing , Moscow , Moskva , Russia , United-states , Kremlin , Russian , Russians , American , Networkmanager-wimax , Qualcomm-qcn

Linux 5.13 — Ядро Linux — Новости


qualcomm arm64.
Дисковая подсистема, ввод/вывод и файловые системы
Для файловой системы SMB3 реализована опция монтирования
rasize, при помощи которой можно определить размер окна упреждающего чтения (readahead) для увеличения производительности некоторых видов нагрузки.
В файловой системе ext4 обеспечена перезапись элементов каталогов при удалении файлов, чтобы гарантировать, что имена удалённых файлов будут очищены. За счёт упреждающей загрузки битовых карт блоков повышена производительность кода для выделения блоков на недавно примонтированных ФС. В ext4 также разрешено одновременное
использование режима работы без учёта регистра символов и шифрования.
В файловой системе exFAT добавлена поддержка ioctl-команды
FITRIM (discard), для информирования накопителя о неиспользуемых в ФС блоках.
В файловой системе XFS добавлена возможность изъятия места из последней группы распределения в ФС, что стало первым звеном в реализации функции уменьшения размера существующих разделов с ФС XFS. Внесено несколько оптимизаций производительности.
В файловой системе Btrfs добавлено использование упреждающего чтения в команде
send, позволившая сократить время полной отправки на 10%, а инкрементальной на 25%. Для зонированных блочных устройств обеспечено автоматическое фонового перераспределения зон при превышении порога в 75% неиспользуемого пространства.
В файловую систему EROFS (Enhanced Read-Only File System) добавлена поддержка режима
big pcluster, позволяющего значительно увеличить производительность сжатия данных.
Добавлен новый системный вызов
quotactl path, который отличается от
quotactl тем, что позволяет управлять квотами не через файл специального устройства, а через указание пути к точке монтирования ФС.
В механизме
fanotify расширены возможности, доступные непривилегированным пользователям. Например, по аналогии с inotify без прав
SYS CAP ADMIN теперь можно отслеживать события
OPEN,
CLOSE для файлов и каталогов.
В распределённой файловой системе OrangeFS (продолжение развития PVFS) реализована поддержка операций упреждающего чтения, позволивших существенно увеличить производительность операций чтения (в тестах пропускная способность возросла с 21.8 MB/s до 386 MB/s).
Повышена масштабируемость хэширования Device Mapper за счёт перехода на rbtree. В dm-integrity добавлена поддержка операции
discard.
Память и системные сервисы
Добавлен новый контроллер cgroup – «Misc»
(CONFIG CGROUP MISC), предназначенный для ограничения и отслеживания скалярных ресурсов, которыми можно управлять с использованием простого счётчика и ограничивать, задавая максимально допустимые значения. В качестве примера применения нового контроллера cgroup упоминается управление идентификаторами адресного пространства, применяемыми в механизме AMD SEV (Secure Encrypted Virtualization).
В интерфейсе асинхронного ввода/вывода
io uring для запросов
POLL реализован режим
multi-shot, при котором
POLL не удаляется после генерации события, а остаётся активным и может генерировать несколько событий.
Из realtime-ветки ядра перенесён код, обеспечивающий обработку программно генерируемых прерываний в потоках ядра, что позволяет вытеснять их более приоритетными процессами.
Добавлена внутренняя библиотека netfs, в которую вынесены типовые функции, используемые в сетевых файловых системах.
Для архитектуры PowerPC реализована поддержка пространств имён для времени (time namespaces), позволяющих использовать в контейнере своё время.
Для архитектуры RISC-V реализована поддержка
kexec,
crash dump,
kprobe и запуска ядра по месту (
execute-in-place, выполнение с исходного носителя, без копирования в ОЗУ).
В BPF-программах трассировки появилась возможность использования локального для задачи хранилища данных
task-local storage, обеспечивающего более высокую производительность за счёт привязки данных к конкретному BPF-обработчику.
Реализован новый механизм для прямого вызова функций ядра из BPF-программ, который уже использован в реализации алгоритмов перегрузки TCP. Для обеспечения безопасности вызываемые функции должны быть явно определены в белом списке.
В систему трассировки функций
ftrace добавлена опция
func-no-repeats, позволяющая отразить повторяющиеся последовательные вызовы функции в виде счётчика.
В системный вызов
userfaultfd(), предназначенный для обработки
page faults (обращение к невыделенным страницам памяти) в пространстве пользователя, добавлена возможность управления частичными fault-ами, при которых страница памяти присутствует, но нет записи в таблице страниц памяти.
Прекращена поддержка специального файла
/dev/kmem, при помощи которого можно получить доступ ко всему адресному пространству ядра. Данный файл признан устаревшим и создающим проблемы с безопасностью.
Для чипов Intel реализован новый драйвер для управления охлаждением, позволяющий снижать частоту процессора при опасности перегрева. В отличие от имеющегося механизма активации TCC (Thermal Control Circuit), новый драйвер манипулирует относительными значениями, т.е. может снизить частоту на этапе начала значительного роста температуры, не дожидаясь преодоления порогового критического значения.
Реализована возможность одновременного сброса локального и внешнего буферов ассоциативной трансляции (TLB), которая привела к увеличению скорости прохождения теста Sysbench на 1-4%.
Виртуализация и безопасность
В состав включён LSM-модуль обеспечения изоляции приложений Landlock, позволяющий ограничить взаимодействие с внешним окружением группы процессов и разработанный с оглядкой на такие механизмы изоляции как XNU Sandbox, FreeBSD Capsicum и OpenBSD Pledge/Unveil. Логика предоставления доступа определяется при помощи BPF-программы, но в отличие от seccomp-bpf, Landlock не фильтрует системные вызовы и их аргументы, а позволяет ограничить использование объектов ядра, таких как иерархии файлов. При помощи Landlock любой процесс, в том числе непривигелированный, может надёжно изолировать себя и не допустить обхода изоляции в случае выявления уязвимостей или вредоносных изменений в приложении. Landlock позволяет процессу создать защищённые изолированные окружения, реализованные в форме дополнительного слоя над существующими системными механизмами управления доступом. Например, программа может запретить доступ к файлам за пределами рабочего каталога.

Moscow , Moskva , Russia , United-states , Armenia , Washington , Armenian , Russian , Americans , Russians , American , Ditton-nams