Ya fue liberado Unbreakable Enterprise Kernel 6, un kernel para Oracle Linux
Los chicos de Oracle han presentado la liberación de la primera versión estable de Unbreakable Enterprise Kernel 6 el cual se basa en el kernel Linux 5.4 y que se complementa con nuevas características, optimizaciones y correcciones y también se prueba su compatibilidad con la mayoría de las aplicaciones que se ejecutan en RHEL y está especialmente optimizado para trabajar con software industrial y hardware de Oracle.
Este Kernel modificado por Oracle, se posiciona como un conjunto avanzado de kernel de Linux, posicionado para su uso en la distribución de Oracle Linux como alternativa al paquete normal de kernel de Red Hat Enterprise Linux.
Novedades Unbreakable Enterprise Kernel 6
En esta nueva versión se ha mejorado y habilitado el modo de bloqueo de arranque seguro UEFI, que restringe el acceso del usuario root al núcleo y bloquea las rutas de derivación de arranque seguro UEFI.
También se agregó el soporte para las instrucciones de especulación restringida de rama indirecta mejorada (IBRS) que permiten habilitar y deshabilitar de manera adaptativa la ejecución especulativa de instrucciones durante las operaciones de interrupción, llamada al sistema y cambio de contexto. Con el soporte mejorado de IBRS, este método se utiliza para proteger contra los ataques de la clase Spectre V2 en lugar de Retpoline, ya que permite un mayor rendimiento.
Además se destaca que el soporte para el sistema de archivos Btrfs fue mejorado, pues se agregó la capacidad de usar Btrfs en particiones root y que se ha agregado una opción al instalador para seleccionar Btrfs al formatear dispositivos, asi como tambien la capacidad de alojar archivos de intercambio en particiones con Btrfs.
Se ha mejorado la protección en directorios accesibles a todos para escribir. En dichos directorios está prohibido crear archivos FIFO y archivos que pertenecen a usuarios que no coinciden con el propietario del directorio.
Por otra parte se destaca el marco de trabajo de ktask para paralelizar tareas en el kernel que consumen recursos de CPU significativos. Por ejemplo, usando ktask, se puede organizar la paralelización de operaciones para borrar rangos de páginas de memoria o para procesar una lista de inodo.
Se incluye una versión paralela de kswapd para procesar las operaciones de reemplazo de página de memoria en modo asíncrono, lo que reduce el número de operaciones de reemplazo directo (sincrónico). Cuando el número de páginas libres en la memoria disminuye, kswapd escanea para identificar las páginas no utilizadas que podrían liberarse.
Ademas se incluye el soporte para la verificación de la integridad de la imagen y el firmware del kernel mediante firma digital, al cargar el kernel utilizando el mecanismo Kexec (cargar el kernel desde un sistema ya cargado).
Se optimizó el rendimiento del sistema de administración de memoria virtual, se mejoró la eficiencia de limpieza de páginas de memoria y caché, y se mejoró el procesamiento de accesos a páginas de memoria no asignadas (fallas de página).
De los demás cambios que se destacan:
- Soporte extendido para sistemas basados en la arquitectura ARM de 64 bits (aarch64).
- Soporte implementado para todas las características de Cgroup v2.
- Soporte extendido para NVDIMM, la memoria de solo lectura especificada ahora se puede usar como RAM tradicional.
- Sistema de archivos mejorado OCFS2 (Oracle Cluster File System).
- Se agregó soporte para el modo Adiantum para el cifrado rápido del disco.
- Soporte agregado para la compresión usando el algoritmo Zstandard (zstd).
- El sistema de archivos ext4 utiliza marcas de tiempo de 64 bits en los campos de superbloque.
- XFS incluye herramientas para informar sobre la integridad del FS durante la operación y obtener el estado de la implementación de fsck sobre la marcha.
- La implementación del protocolo TLS a nivel de kernel (KTLS) está involucrada, lo que ahora se puede aplicar no solo a los datos enviados, sino también a los recibidos.
- El servidor de seguridad predeterminado es nftables. Soporte bpfilter opcional agregado.
- Se agregó soporte para “NVMe sobre Fabrics TCP”.
- Se ha agregado un controlador virtio-pmem que representa el acceso a dispositivos de almacenamiento reflejados en un espacio de direcciones físicas, como NVDIMM.
Los paquetes para la instalación de este Kernel se pueden encontrar en el siguiente enlace.