Abo
  • Services:
Anzeige
Linux 3.17 geht in die Testphase.
Linux 3.17 geht in die Testphase. (Bild: Richard Giddins, CC BY 2.0)

Linux-Kernel: Linux 3.17 erhöht die Sicherheit

Mit neuen Sicherheitsfunktionen und einem schnelleren Block Layer für SSDs ist die erste Testversion von Linux 3.17 freigegeben worden. Der neue Kernel ist zum ersten Mal seit Jahren kleiner als sein Vorgänger.

Anzeige

Linus Torvalds hat eine erste Testversion des Linux Kernels 3.17 freigegeben. Es seien weniger aufregende Änderungen eingeflossen als in seinen Vorgänger, heißt es in seiner Begleit-E-Mail. Das sei wohl der Sommerpause in der nördlichen Hemisphäre geschuldet. Durch das Entfernen von 14 ungeliebten Treibern wurden 250.000 Zeilen Code entfernt. Damit sei Linux 3.17 zum jetzigen Zeitpunkt kleiner als sein direkter Vorgänger. Das sei bisher nur einmal, bei Linux 2.6.36, der Fall gewesen, schreibt Lwn.net.

Linux 3.17 erhält einen neuen Systemaufruf namens getrandom(). Die beiden bisher verwendeten virtuellen Geräte /dev/random und /dev/urandom für das Generieren von Zufallszahlen hatten die LibreSSL-Entwickler kritisiert: Ein Zugriff auf diese Geräte benötige Dateisystemoperationen, die manchmal scheitern könnten, etwa wenn keine Filehandles mehr zur Verfügung stünden. Außerdem sei das Dateisystem /dev nicht immer gemountet, so könnte man beispielsweise eine sogenannte chroot-Umgebung ohne /dev-Dateisystem betreiben. Mit dem Systemaufruf getrandom() sollen diese Probleme behoben sein.

Diese Lösung gibt es bereits bei OpenBSD und wurde von den Entwicklern von LibreSSL für Linux gefordert.

Urandom gebändigt

Der neue Systemaufruf schließt außerdem eine weitere Lücke: Das virtuelle Gerät /dev/random liefert nur dann Zufallszahlen, wenn dem System genügend Entropie zur Verfügung steht, und kann somit in manchen Situationen eine Software blockieren. Urandom produziert hingegen immer Zufallszahlen - auch dann, wenn diese möglicherweise unsicher sind. Der neue Systemaufruf umgeht dieses Problem, indem er nur dann keine Zufallszahlen von /dev/urandom mehr annimmt, wenn er seit dem Systemstart überhaupt keine Entropie mehr erhalten hat.

Die bereits in Linux 3.12 eingeführten Render-Nodes im Direct Rendering Manager (DRM) sind ab dieser Kernel-Version standardmäßig aktiviert. Damit können Anwendungen über mehr als einen Knotenpunkt im Linux-Kernel auf Grafikeinheiten zugreifen. So kann beispielsweise der Xserver auch mit einfachen Benutzerrechten laufen und darf trotzdem die Bildschirmauflösung auf dem Grafikchip ändern. Zudem sollen zwei Xserver parallel laufen, die jeweils einen eigenen Monitor mit eigener Auflösung ansteuern können.

Firmware-Prüfung

Nachdem es einige Probleme mit der dynamischen Energieverwaltung für Grafikkarten von AMD gab, ist diese für die Cayman-Chipsätze wieder standardmäßig aktiviert. Zusätzlich wurde die Unterstützung für Radeon-Karten R9 290 und 290X mit dem Hawaii-Chipsatz eingebaut. Künftig soll die Integration von neuen Firmware-Versionen für den Radeon-Treiber einfacher werden. Dafür haben die Entwickler ein neues Format umgesetzt. Außerdem wurde das Security-Subsystem um die Funktion kernel_fw_from_file() erweitert, mit dem sich künftig die Integrität von Firmware überprüfen lässt.

Im i915-Treiber für Grafikchips von Intel gibt es zahlreiche Änderungen, die den Leistungsverbrauch senken sollen. Ab Linux 3.17 wird der Energiesparmodus PM Runtime für Display Power Management Signaling (DPMS) auch dann eingeschaltet, wenn DPMS deaktiviert wird und nicht nur, wenn es komplett ausgeschaltet ist. Ferner wurde Panel Self Refresh (PSR) für Haswell- und Broadwell-Chipsätze aktiviert, nachdem die Entwickler noch zahlreiche Codeoptimierungen beigetragen haben. Mit PSR wird das aktuelle Bild in den Speicher kopiert und für einen Refresh verwendet, wenn sich der Bildinhalt nicht ändert. Dadurch kann die GPU entlastet und in einen niedrigeren Energiemodus versetzt werden.

Mehr Ruhezustände für Intel-Chipsätze

Der neue Ruhezustand S0ix, der mit Intels Haswell eingeführt wurde, wurde umgesetzt. Dabei wird die vom Kernel bereitgestellte Infrastruktur Runtime Power Management für Intels neuen Ruhezustand verwendet, der Systeme weitestgehend betriebsbetreit hält. Zudem haben die Entwickler bei Intel beim Backlighting und dem Power Sequencer einige Reparaturen durchgeführt.

Erste Arbeiten an der Unterstützung für Hotplugging über I/O Advanced Programmable Interrupt Controller (I/O Apic) wurden in Linux 3.17 integriert. Mit I/O Apic lassen sich Hardware-Interrupts besser verwalten, etwa indem sie in logische Gruppen zusammengefasst oder mit unterschiedlichen Prioritäten versehen werden können. Damit Hotplugging mit I/O Apic funktioniert, müssen am Apic-Code noch Änderungen vorgenommen werden, beispielsweise die Entfernung überflüssiger Treiber-Abstrahierungen. In dem jetzt eingereichten Patch wurde auch die Unterstützung von Irqdomain in das Apic-Subsystem integriert. Damit sollen später die Interrupts mit I/O Apic verwaltet werden.

Multiqueue und Kexec

Die mit Linux 3.12 begonnene Integration der Multiqueue-Block-Layer-Unterstützung wurde in das SCSI-Subsystem integriert. Zuvor mussten diverse Treiber angepasst werden. Mit mehreren Warteschleifen (Queues) soll der Zugriff auf Datenträger beschleunigt werden, was besonders bei SSDs für einen deutlichen Geschwindigkeitszuwachs sorgen soll.

Der neue Systemaufruf kexec_file_load() sorgt dafür, dass der Kernel einer aktualisierten Version von sich selbst eine Signaturüberprüfung unterzieht, bevor damit gestart werden kann. Kexec bewirkt, dass das System auch ohne Neustart einen neuen Kernel lädt. Da bislang auf Rechnern mit Secure Boot eine solche Sicherheitsprüfung fehlte, war Kexec abgeschaltet worden. Der Quellcode der ersten Testversion von Linux 3.17 ist unter kernel.org verfügbar. Die finale Version wird in etwa sechs Wochen erscheinen.


eye home zur Startseite
Perry3D 21. Aug 2014

Für kleine Einzelplatz-Rechner ist das sicher nicht gedacht. Vielleicht eher für...

Nerd_vom_Dienst 18. Aug 2014

"Außerdem wurde das Security-Subsystem um die Funktion kernel_fw_from_file() erweitert...



Anzeige

Stellenmarkt
  1. Landeskreditbank Baden-Württemberg -Förderbank-, Karlsruhe
  2. Scheugenpflug AG, Neustadt/Donau
  3. Daimler AG, Germersheim
  4. Optica Abrechnungszentrum Dr. Güldener GmbH, Nittenau Raum Regensburg


Anzeige
Blu-ray-Angebote
  1. 139,99€ (Vorbesteller-Preisgarantie)
  2. 9,99€
  3. 36,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Tipps für IT-Engagement in Fernost
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mehr dazu im aktuellen Whitepaper von Bitdefender


  1. Update

    Onedrive erstellt automatisierte Alben und erkennt Pokémon

  2. Die Woche im Video

    Ausgesperrt, ausprobiert, ausgetüftelt

  3. 100 MBit/s

    Zusagen der Bundesnetzagentur drücken Preis für Vectoring

  4. Insolvenz

    Unister Holding mit 39 Millionen Euro verschuldet

  5. Radeons RX 480

    Die Designs von AMDs Partnern takten höher - und konstanter

  6. Koelnmesse

    Tagestickets für Gamescom ausverkauft

  7. Kluge Uhren

    Weltweiter Smartwatch-Markt bricht um ein Drittel ein

  8. Linux

    Nvidia ist bereit für einheitliche Wayland-Unterstützung

  9. Copyright

    Klage gegen US-Marine wegen 558.466-mal Softwarepiraterie

  10. Cosmos Rings

    Rollenspiel für die Apple Watch



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Schrott im Netz: Wie Social Bots das Internet gefährden
Schrott im Netz
Wie Social Bots das Internet gefährden
  1. Netzwerk Wie Ausrüster Google Fiber und Facebooks Netzwerk sehen
  2. Secret Communications Facebook-Messenger bald mit Ende-zu-Ende-Verschlüsselung
  3. Social Media Ein Netzwerk wie ein Glücksspielautomat

Masterplan Teil 2: Selbstfahrende Teslas werden zu Leihautos
Masterplan Teil 2
Selbstfahrende Teslas werden zu Leihautos
  1. Projekt Titan Apple Car soll später kommen
  2. Nissan Serena Automatisiert fahrender Minivan soll im August erscheinen
  3. Elon Musk Tesla-Chef arbeitet an neuem Masterplan

Dirror angeschaut: Der digitale Spiegel, der ein Tablet ist
Dirror angeschaut
Der digitale Spiegel, der ein Tablet ist
  1. Bluetooth 5 Funktechnik sendet mehr Daten auch ohne Verbindungsaufbau
  2. Smarter Schalter Wenn Github mit dem Lichtschalter klingelt
  3. Tony Fadell Nest-Gründer macht keine Omeletts mehr

  1. Re: Turbolift...

    OlafLostViking | 12:42

  2. Re: gmx.de und web.de nach wie vor standardmäßig...

    Nasenbaer | 12:42

  3. Re: Mich würde mal Wundern, wann sie Kaffee als...

    Kleine Schildkröte | 12:39

  4. Re: alle "Meta-Suche-Urlaubs-Vermittler" haben...

    schachbrett | 12:37

  5. Re: Und schon ist alles weg...

    SoniX | 12:34


  1. 13:08

  2. 09:01

  3. 18:26

  4. 18:00

  5. 17:00

  6. 16:29

  7. 16:02

  8. 15:43


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel