Betriebssystem: Linux 5.4 erscheint mit Kernel-Lockdown und Exfat-Treiber

Die aktuell stabile Version 5.4 des Linux-Kernel ist durch Hauptentwickler Linus Torvalds veröffentlicht worden(öffnet im neuen Fenster) . Eine der wohl wichtigsten Neuerungen in dieser Version sind die Lockdown-Patches von Matthew Garrett, David Howells und weiteren Entwicklern. Sie sollen "die Grenze zwischen PID 0 und dem Kernel stärken" . Die Mechanismen setzen verschiedene Distributionen bereits seit ein paar Jahren in ähnlicher Form ein und stehen nun endlich auch im Hauptzweig des Linux-Kernel bereit. Die Patches für Linux 5.4 sorgen dafür, dass der Lockdown-Prozess nicht mehr am EFI-Secure-Boot-Feature hängt. Zudem wird Lockdown jetzt als Linux-Security-Modul implementiert.

Ebenfalls zur Sicherheit tragen Patches für die Integrity Measurement Architecture(öffnet im neuen Fenster) (IMA) bei, die von Mimi Zohar stammen. Sowohl das Kexec-Kernelimage als auch das Initramfs dürfen jetzt für ihre Signaturen die Skripte und Werkzeuge verwenden, mit denen Entwickler ihre Kernel-Module signieren.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Microsoft 365 Copilot sicher administrieren und integrieren

zum Artikel

Karriere Ratgeber: Karrieretag Familienunternehmen 2026: Jetzt bewerben und durchstarten

zum Ratgeber

Seminar: Ausbildung: KI-Spezialist (TÜV)

zum Kurs

E-Learning: Exclusive: Microsoft 365 Security: Information Protection and Compliance (E-Learning in English)

zum Kurs

Laut Commit-Nachricht waren einige Umbauten an der Codebasis nötig, damit die IMA die Signaturen über das existierende Framework auswertet, um sie zum Beispiel an das Trusted Platform Module zu übermitteln. Die Entwickler haben den für angehängte Signaturen zuständigen Verifizierungs-Code mehrfach überarbeitet. Ein Vorteil der Mühen: Diese Arbeiten ebnen nun auch den Weg, um weitere Verifizierungsmethoden einzuführen.

Exfat-Treiber erstmals offiziell verfügbar

Ganz neu ist ein Treiber für Microsofts Exfat-Dateisystem: Das Unternehmen veröffentlichte vor kurzem die Spezifikationen dafür und übergab die mit dem Treiber verbundenen Patente in die Obhut des Open Invention Networks (OIN). Das ermöglichte die Aufnahme der Patches in den Hauptzweig. Der Treiber benötigt allerdings noch einiges an Arbeit, weshalb dieser zunächst im Staging-Subsystem gelandet ist

Entwickler Eric Biggers lieferte Patches für einen Support von fs-verity in Ext4 und F2FS. Diese Technik stammt von Google und liefert eine Authentifizierung einzelner Dateien auf Basis von Hashwerten. Google nutzt das System für Android. Im Vergleich zum Patchset vom Vorjahr sei es laut Biggers(öffnet im neuen Fenster) nun wesentlich einfacher über das Userspace-API fs-verity für eine Datei zu aktivieren. Neben dem Code brachte er auch etwas Dokumentation für das Dateisystem-Subsystem in den Kernel ein.

Für Ext4 gibt es noch weitere Ergänzungen. So ermöglicht es ein neuer Debugging-Helfer dem Userspace, Informationen über den Status des Extent-Status-Cache zu erhalten. Zugleich haben die Entwickler einen Workaround für den richtigen Umgang mit falsch kodierten Daten für den Zeitraum vor 1970 entfernt. Das Dateisystem F2FS übernimmt derweilen die Verbesserungen an der Groß- und Kleinschreibung, die Ext4 erst kürzlich eingeführt hat.

Bessere Zufallswerte und Grafik-Updates

In bestimmten Fällen warteten Gnomes Display-Manager GDM und gnome-session im frühen Bootprozess vergeblich darauf, dass das System über getrandom() Zufallswerte liefert. Linus Torvalds störte sich offenbar daran und legte selbst Hand an den zugehörigen Code von random.c . Die Idee: Aktiv Zufallswerte zu sammeln, wenn das System keine liefert.

Über den CPU-Cycle-Counter, den die meisten Architekturen mitbringen, soll Linux nun schon zu Beginn von selbst ausreichend Entropie erzeugen, die der Userspace dann verwenden kann. Das soll die Probleme mit dem Blockieren der Anwendungen beheben. Dank der neuen Entropie-Quellen hat Torvalds nun aber auch die zuvor noch entfernte Verbesserung am IO-Code für Ext4 wieder eingepflegt.

Neue Grafiktreiber für AMD und Intel

Der AMDGPU-Kerneltreiber bringt nun erstmals Support für Navi 12 und 14 mit, allerdings gilt das noch als experimentell und muss deshalb über ein spezielles Flag aktiviert werden. Ersten Support gibt es zudem für AMDs APU mit dem Namen Dali. AMD benennt seine APUs nach bekannten Künstlern, Kernel 5.4 wird zudem Updates für Renoir mitbringen, einer weiteren APU. Neue Kernel-Treiber gibt es außerdem für die Arcturus-GPUs von AMD .

Die Intel-Grafiktreiberentwickler haben erste Unterstützung für die Gen12-GPUs des Herstellers beigesteuert. Diese wird auch als Xe bezeichnet und soll mit dem Ice-Lake-Nachfolger Tiger-Lake erscheinen. Mit Xe wird Intel wohl auch eigene dedizierte Grafikkarten anbieten. Der freie Nvidia-Treiber Nouveau erkennt nun, wenn PCIe-Kabel nicht angesteckt sind.

Künftig entfernen wollen die Linux-Entwickler die Treiber für uwb und wusb (Wireless USB Support). Es gibt keine Geräte dafür und der Code wird schon seit Jahren nicht mehr gepflegt. Daher ist der Code zunächst in den Staging-Bereich verschoben worden. Sollte niemand gegen diesen Plan protestieren, wird der Code den Kernel am Ende komplett verlassen.

Der Code von Linux-Kernel 5.4 steht zum Download auf Kernel.org(öffnet im neuen Fenster) bereit.

• Anzeige Hier geht es zu Linux: Das umfassende Handbuch bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.