Abo
  • Services:
Anzeige
Linux 3.17 geht in die Testphase.
Linux 3.17 geht in die Testphase. (Bild: Richard Giddins, CC BY 2.0)

Linux-Kernel: Linux 3.17 erhöht die Sicherheit

Mit neuen Sicherheitsfunktionen und einem schnelleren Block Layer für SSDs ist die erste Testversion von Linux 3.17 freigegeben worden. Der neue Kernel ist zum ersten Mal seit Jahren kleiner als sein Vorgänger.

Anzeige

Linus Torvalds hat eine erste Testversion des Linux Kernels 3.17 freigegeben. Es seien weniger aufregende Änderungen eingeflossen als in seinen Vorgänger, heißt es in seiner Begleit-E-Mail. Das sei wohl der Sommerpause in der nördlichen Hemisphäre geschuldet. Durch das Entfernen von 14 ungeliebten Treibern wurden 250.000 Zeilen Code entfernt. Damit sei Linux 3.17 zum jetzigen Zeitpunkt kleiner als sein direkter Vorgänger. Das sei bisher nur einmal, bei Linux 2.6.36, der Fall gewesen, schreibt Lwn.net.

Linux 3.17 erhält einen neuen Systemaufruf namens getrandom(). Die beiden bisher verwendeten virtuellen Geräte /dev/random und /dev/urandom für das Generieren von Zufallszahlen hatten die LibreSSL-Entwickler kritisiert: Ein Zugriff auf diese Geräte benötige Dateisystemoperationen, die manchmal scheitern könnten, etwa wenn keine Filehandles mehr zur Verfügung stünden. Außerdem sei das Dateisystem /dev nicht immer gemountet, so könnte man beispielsweise eine sogenannte chroot-Umgebung ohne /dev-Dateisystem betreiben. Mit dem Systemaufruf getrandom() sollen diese Probleme behoben sein.

Diese Lösung gibt es bereits bei OpenBSD und wurde von den Entwicklern von LibreSSL für Linux gefordert.

Urandom gebändigt

Der neue Systemaufruf schließt außerdem eine weitere Lücke: Das virtuelle Gerät /dev/random liefert nur dann Zufallszahlen, wenn dem System genügend Entropie zur Verfügung steht, und kann somit in manchen Situationen eine Software blockieren. Urandom produziert hingegen immer Zufallszahlen - auch dann, wenn diese möglicherweise unsicher sind. Der neue Systemaufruf umgeht dieses Problem, indem er nur dann keine Zufallszahlen von /dev/urandom mehr annimmt, wenn er seit dem Systemstart überhaupt keine Entropie mehr erhalten hat.

Die bereits in Linux 3.12 eingeführten Render-Nodes im Direct Rendering Manager (DRM) sind ab dieser Kernel-Version standardmäßig aktiviert. Damit können Anwendungen über mehr als einen Knotenpunkt im Linux-Kernel auf Grafikeinheiten zugreifen. So kann beispielsweise der Xserver auch mit einfachen Benutzerrechten laufen und darf trotzdem die Bildschirmauflösung auf dem Grafikchip ändern. Zudem sollen zwei Xserver parallel laufen, die jeweils einen eigenen Monitor mit eigener Auflösung ansteuern können.

Firmware-Prüfung

Nachdem es einige Probleme mit der dynamischen Energieverwaltung für Grafikkarten von AMD gab, ist diese für die Cayman-Chipsätze wieder standardmäßig aktiviert. Zusätzlich wurde die Unterstützung für Radeon-Karten R9 290 und 290X mit dem Hawaii-Chipsatz eingebaut. Künftig soll die Integration von neuen Firmware-Versionen für den Radeon-Treiber einfacher werden. Dafür haben die Entwickler ein neues Format umgesetzt. Außerdem wurde das Security-Subsystem um die Funktion kernel_fw_from_file() erweitert, mit dem sich künftig die Integrität von Firmware überprüfen lässt.

Im i915-Treiber für Grafikchips von Intel gibt es zahlreiche Änderungen, die den Leistungsverbrauch senken sollen. Ab Linux 3.17 wird der Energiesparmodus PM Runtime für Display Power Management Signaling (DPMS) auch dann eingeschaltet, wenn DPMS deaktiviert wird und nicht nur, wenn es komplett ausgeschaltet ist. Ferner wurde Panel Self Refresh (PSR) für Haswell- und Broadwell-Chipsätze aktiviert, nachdem die Entwickler noch zahlreiche Codeoptimierungen beigetragen haben. Mit PSR wird das aktuelle Bild in den Speicher kopiert und für einen Refresh verwendet, wenn sich der Bildinhalt nicht ändert. Dadurch kann die GPU entlastet und in einen niedrigeren Energiemodus versetzt werden.

Mehr Ruhezustände für Intel-Chipsätze

Der neue Ruhezustand S0ix, der mit Intels Haswell eingeführt wurde, wurde umgesetzt. Dabei wird die vom Kernel bereitgestellte Infrastruktur Runtime Power Management für Intels neuen Ruhezustand verwendet, der Systeme weitestgehend betriebsbetreit hält. Zudem haben die Entwickler bei Intel beim Backlighting und dem Power Sequencer einige Reparaturen durchgeführt.

Erste Arbeiten an der Unterstützung für Hotplugging über I/O Advanced Programmable Interrupt Controller (I/O Apic) wurden in Linux 3.17 integriert. Mit I/O Apic lassen sich Hardware-Interrupts besser verwalten, etwa indem sie in logische Gruppen zusammengefasst oder mit unterschiedlichen Prioritäten versehen werden können. Damit Hotplugging mit I/O Apic funktioniert, müssen am Apic-Code noch Änderungen vorgenommen werden, beispielsweise die Entfernung überflüssiger Treiber-Abstrahierungen. In dem jetzt eingereichten Patch wurde auch die Unterstützung von Irqdomain in das Apic-Subsystem integriert. Damit sollen später die Interrupts mit I/O Apic verwaltet werden.

Multiqueue und Kexec

Die mit Linux 3.12 begonnene Integration der Multiqueue-Block-Layer-Unterstützung wurde in das SCSI-Subsystem integriert. Zuvor mussten diverse Treiber angepasst werden. Mit mehreren Warteschleifen (Queues) soll der Zugriff auf Datenträger beschleunigt werden, was besonders bei SSDs für einen deutlichen Geschwindigkeitszuwachs sorgen soll.

Der neue Systemaufruf kexec_file_load() sorgt dafür, dass der Kernel einer aktualisierten Version von sich selbst eine Signaturüberprüfung unterzieht, bevor damit gestart werden kann. Kexec bewirkt, dass das System auch ohne Neustart einen neuen Kernel lädt. Da bislang auf Rechnern mit Secure Boot eine solche Sicherheitsprüfung fehlte, war Kexec abgeschaltet worden. Der Quellcode der ersten Testversion von Linux 3.17 ist unter kernel.org verfügbar. Die finale Version wird in etwa sechs Wochen erscheinen.


eye home zur Startseite
Perry3D 21. Aug 2014

Für kleine Einzelplatz-Rechner ist das sicher nicht gedacht. Vielleicht eher für...

Nerd_vom_Dienst 18. Aug 2014

"Außerdem wurde das Security-Subsystem um die Funktion kernel_fw_from_file() erweitert...



Anzeige

Stellenmarkt
  1. Karlsruher Institut für Technologie, Karlsruhe
  2. Cellent Finance Solutions AG, Stuttgart
  3. T-Systems International GmbH, Bonn
  4. T-Systems International GmbH, Saarbrücken


Anzeige
Hardware-Angebote
  1. (u. a. Asus GTX 1070 Strix OC, MSI GTX 1070 Gaming X 8G und Aero 8G OC)
  2. 49,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Modulares Smartphone

    Lenovo bringt Moto Z mit Moto Z Play nach Deutschland

  2. Yoga Book

    Lenovos Convertible hat eine Tastatur und doch nicht

  3. Huawei Connect 2016

    Telekom will weltweit zu den größten Cloudanbietern gehören

  4. 20 Jahre Schutzfrist

    EU-Kommission plant das maximale Leistungsschutzrecht

  5. CCP Games

    Eve Online wird ein bisschen kostenlos

  6. Gear S3 im Hands on

    Samsungs neue runde Smartwatch soll drei Tage lang laufen

  7. Geleakte Zugangsdaten

    Der Dropbox-Hack im Jahr 2012 ist wirklich passiert

  8. Forerunner 35

    Garmin zeigt Schnickschnack-freie Sportuhr

  9. Nahverkehr

    Hamburg und Berlin kaufen gemeinsam saubere Busse

  10. Zertifizierungsstelle

    Wosign stellt unberechtigtes Zertifikat für Github aus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
25 Jahre Linux: Besichtigungstour zu den skurrilsten Linux-Distributionen
25 Jahre Linux
Besichtigungstour zu den skurrilsten Linux-Distributionen
  1. Linux-Paketmanager RPM-Entwicklung verläuft chaotisch
  2. Exploits Treiber der Android-Hersteller verursachen Kernel-Lücken
  3. Hans de Goede Red-Hat-Entwickler soll Hybridgrafik unter Linux verbessern

Master of Orion im Kurztest: Geradlinig wie der Himmelsäquator
Master of Orion im Kurztest
Geradlinig wie der Himmelsäquator
  1. Inside im Test Großartiges Abenteuer mit kleinem Jungen
  2. Mighty No. 9 im Test Mittelmaß für 4 Millionen US-Dollar
  3. Warp Shift im Test Zauberhaftes Kistenschieben

Galaxy Note 7 im Test: Schaut dir in die Augen, Kleine/r/s!
Galaxy Note 7 im Test
Schaut dir in die Augen, Kleine/r/s!
  1. Samsung Display des Galaxy Note 7 ist offenbar nicht kratzfest
  2. PM1643 & PM1735 Samsung zeigt V-NAND v4 und drei Rekord-SSDs
  3. Gear IconX im Test Anderthalb Stunden Trainingsspaß

  1. Re: Geilste Teile ever

    amagol | 03:16

  2. Re: Wer braucht die Telekom?

    GenXRoad | 03:16

  3. Re: Tolle Umweltsünde von Amazon

    amagol | 02:43

  4. Re: Ob die das durchstehen werden?

    Kastenbrot | 02:16

  5. Re: PC Specs: läuft erstaunlich gut

    Thegod | 02:11


  1. 22:19

  2. 20:31

  3. 19:10

  4. 18:55

  5. 18:16

  6. 18:00

  7. 17:59

  8. 17:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel