Abo
  • Services:
Anzeige
Linux 3.17 geht in die Testphase.
Linux 3.17 geht in die Testphase. (Bild: Richard Giddins, CC BY 2.0)

Linux-Kernel: Linux 3.17 erhöht die Sicherheit

Mit neuen Sicherheitsfunktionen und einem schnelleren Block Layer für SSDs ist die erste Testversion von Linux 3.17 freigegeben worden. Der neue Kernel ist zum ersten Mal seit Jahren kleiner als sein Vorgänger.

Anzeige

Linus Torvalds hat eine erste Testversion des Linux Kernels 3.17 freigegeben. Es seien weniger aufregende Änderungen eingeflossen als in seinen Vorgänger, heißt es in seiner Begleit-E-Mail. Das sei wohl der Sommerpause in der nördlichen Hemisphäre geschuldet. Durch das Entfernen von 14 ungeliebten Treibern wurden 250.000 Zeilen Code entfernt. Damit sei Linux 3.17 zum jetzigen Zeitpunkt kleiner als sein direkter Vorgänger. Das sei bisher nur einmal, bei Linux 2.6.36, der Fall gewesen, schreibt Lwn.net.

Linux 3.17 erhält einen neuen Systemaufruf namens getrandom(). Die beiden bisher verwendeten virtuellen Geräte /dev/random und /dev/urandom für das Generieren von Zufallszahlen hatten die LibreSSL-Entwickler kritisiert: Ein Zugriff auf diese Geräte benötige Dateisystemoperationen, die manchmal scheitern könnten, etwa wenn keine Filehandles mehr zur Verfügung stünden. Außerdem sei das Dateisystem /dev nicht immer gemountet, so könnte man beispielsweise eine sogenannte chroot-Umgebung ohne /dev-Dateisystem betreiben. Mit dem Systemaufruf getrandom() sollen diese Probleme behoben sein.

Diese Lösung gibt es bereits bei OpenBSD und wurde von den Entwicklern von LibreSSL für Linux gefordert.

Urandom gebändigt

Der neue Systemaufruf schließt außerdem eine weitere Lücke: Das virtuelle Gerät /dev/random liefert nur dann Zufallszahlen, wenn dem System genügend Entropie zur Verfügung steht, und kann somit in manchen Situationen eine Software blockieren. Urandom produziert hingegen immer Zufallszahlen - auch dann, wenn diese möglicherweise unsicher sind. Der neue Systemaufruf umgeht dieses Problem, indem er nur dann keine Zufallszahlen von /dev/urandom mehr annimmt, wenn er seit dem Systemstart überhaupt keine Entropie mehr erhalten hat.

Die bereits in Linux 3.12 eingeführten Render-Nodes im Direct Rendering Manager (DRM) sind ab dieser Kernel-Version standardmäßig aktiviert. Damit können Anwendungen über mehr als einen Knotenpunkt im Linux-Kernel auf Grafikeinheiten zugreifen. So kann beispielsweise der Xserver auch mit einfachen Benutzerrechten laufen und darf trotzdem die Bildschirmauflösung auf dem Grafikchip ändern. Zudem sollen zwei Xserver parallel laufen, die jeweils einen eigenen Monitor mit eigener Auflösung ansteuern können.

Firmware-Prüfung

Nachdem es einige Probleme mit der dynamischen Energieverwaltung für Grafikkarten von AMD gab, ist diese für die Cayman-Chipsätze wieder standardmäßig aktiviert. Zusätzlich wurde die Unterstützung für Radeon-Karten R9 290 und 290X mit dem Hawaii-Chipsatz eingebaut. Künftig soll die Integration von neuen Firmware-Versionen für den Radeon-Treiber einfacher werden. Dafür haben die Entwickler ein neues Format umgesetzt. Außerdem wurde das Security-Subsystem um die Funktion kernel_fw_from_file() erweitert, mit dem sich künftig die Integrität von Firmware überprüfen lässt.

Im i915-Treiber für Grafikchips von Intel gibt es zahlreiche Änderungen, die den Leistungsverbrauch senken sollen. Ab Linux 3.17 wird der Energiesparmodus PM Runtime für Display Power Management Signaling (DPMS) auch dann eingeschaltet, wenn DPMS deaktiviert wird und nicht nur, wenn es komplett ausgeschaltet ist. Ferner wurde Panel Self Refresh (PSR) für Haswell- und Broadwell-Chipsätze aktiviert, nachdem die Entwickler noch zahlreiche Codeoptimierungen beigetragen haben. Mit PSR wird das aktuelle Bild in den Speicher kopiert und für einen Refresh verwendet, wenn sich der Bildinhalt nicht ändert. Dadurch kann die GPU entlastet und in einen niedrigeren Energiemodus versetzt werden.

Mehr Ruhezustände für Intel-Chipsätze

Der neue Ruhezustand S0ix, der mit Intels Haswell eingeführt wurde, wurde umgesetzt. Dabei wird die vom Kernel bereitgestellte Infrastruktur Runtime Power Management für Intels neuen Ruhezustand verwendet, der Systeme weitestgehend betriebsbetreit hält. Zudem haben die Entwickler bei Intel beim Backlighting und dem Power Sequencer einige Reparaturen durchgeführt.

Erste Arbeiten an der Unterstützung für Hotplugging über I/O Advanced Programmable Interrupt Controller (I/O Apic) wurden in Linux 3.17 integriert. Mit I/O Apic lassen sich Hardware-Interrupts besser verwalten, etwa indem sie in logische Gruppen zusammengefasst oder mit unterschiedlichen Prioritäten versehen werden können. Damit Hotplugging mit I/O Apic funktioniert, müssen am Apic-Code noch Änderungen vorgenommen werden, beispielsweise die Entfernung überflüssiger Treiber-Abstrahierungen. In dem jetzt eingereichten Patch wurde auch die Unterstützung von Irqdomain in das Apic-Subsystem integriert. Damit sollen später die Interrupts mit I/O Apic verwaltet werden.

Multiqueue und Kexec

Die mit Linux 3.12 begonnene Integration der Multiqueue-Block-Layer-Unterstützung wurde in das SCSI-Subsystem integriert. Zuvor mussten diverse Treiber angepasst werden. Mit mehreren Warteschleifen (Queues) soll der Zugriff auf Datenträger beschleunigt werden, was besonders bei SSDs für einen deutlichen Geschwindigkeitszuwachs sorgen soll.

Der neue Systemaufruf kexec_file_load() sorgt dafür, dass der Kernel einer aktualisierten Version von sich selbst eine Signaturüberprüfung unterzieht, bevor damit gestart werden kann. Kexec bewirkt, dass das System auch ohne Neustart einen neuen Kernel lädt. Da bislang auf Rechnern mit Secure Boot eine solche Sicherheitsprüfung fehlte, war Kexec abgeschaltet worden. Der Quellcode der ersten Testversion von Linux 3.17 ist unter kernel.org verfügbar. Die finale Version wird in etwa sechs Wochen erscheinen.


eye home zur Startseite
Perry3D 21. Aug 2014

Für kleine Einzelplatz-Rechner ist das sicher nicht gedacht. Vielleicht eher für...

Nerd_vom_Dienst 18. Aug 2014

"Außerdem wurde das Security-Subsystem um die Funktion kernel_fw_from_file() erweitert...



Anzeige

Stellenmarkt
  1. Unitool GmbH & Co. EDV-KG, Oyten
  2. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Darmstadt
  3. über Ratbacher GmbH, Berlin
  4. GERMANIA Fluggesellschaft mbH, Berlin-Tegel


Anzeige
Hardware-Angebote
  1. 17,99€ statt 29,99€
  2. 232,75€ mit Coupon: Mi5GBGB

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Travelers Box

    Münzgeld am Flughafen tauschen

  2. Apple

    Produktionsfehler macht Akkutausch im iPhone 6S notwendig

  3. Apple

    Aktivierungssperre des iPads lässt sich umgehen

  4. Amazon

    Downloader-App aus dem Fire-TV-Store entfernt

  5. Autonomes Fahren

    Apple zeigt Interesse an selbstfahrenden Autos

  6. Sicherheit

    Geheimdienst warnt vor Cyberattacke auf russische Banken

  7. Super Mario Bros. (1985)

    Fahrt ab auf den Bruder!

  8. Canon EOS 5D Mark IV im Test

    Grundsolides Arbeitstier mit einer Portion Extravaganz

  9. PSX 2016

    Sony hat The Last of Us 2 angekündigt

  10. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Udacity: Selbstfahrendes Auto selbst programmieren
Udacity
Selbstfahrendes Auto selbst programmieren
  1. Strategiepapier EU fordert europaweite Standards für vernetzte Autos
  2. Autonomes Fahren Comma One veröffentlicht Baupläne für Geohot-Nachrüstsatz
  3. Autonomes Fahren Intel baut Prozessoren für Delphi und Mobileye

Oneplus 3T im Test: Schneller, ausdauernder und immer noch günstig
Oneplus 3T im Test
Schneller, ausdauernder und immer noch günstig
  1. Smartphone Oneplus 3T mit 128 GByte wird nicht zu Weihnachten geliefert
  2. Android-Smartphone Oneplus Three wird nach fünf Monaten eingestellt
  3. Oneplus 3T Oneplus bringt Three mit besserem Akku und SoC

Seoul-Incheon Ecobee ausprobiert: Eine sanfte Magnetbahnfahrt im Nirgendwo
Seoul-Incheon Ecobee ausprobiert
Eine sanfte Magnetbahnfahrt im Nirgendwo
  1. Transport Hyperloop One plant Trasse in Dubai

  1. Habe selbst keinen Raspberry

    M.P. | 09:16

  2. Re: Port umlenken

    lefty1978 | 09:14

  3. Re: Henne-Ei-Problem?

    mme_dsstr | 09:14

  4. Re: Übrigens auch bei Windows 10

    elgooG | 09:13

  5. Re: Midiklänge?!

    PedroKraft | 09:12


  1. 09:26

  2. 08:41

  3. 12:54

  4. 11:56

  5. 10:54

  6. 10:07

  7. 08:59

  8. 08:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel