• IT-Karriere:
  • Services:

Betriebssysteme: Linux 5.1 verbessert Live-Patching

Die Optimierungen in Linux 5.1 sind ziemlich zahlreich: optimiertes Live-Patching, ein ausgemustertes Dateiformat, eine Abschirmung für externe USB-Datenträger, beschleunigtes WLAN und neue Funktionen für Grafikkarten.

Artikel veröffentlicht am ,
Betriebssysteme: Linux 5.1 verbessert Live-Patching
(Bild: wiseguy71/CC-BY 2.0)

Mit der Veröffentlichung des ersten Release Candidates von Linux 5.1 beginnt dessen Testphase. Linus Torvalds beschreibt die gleichzeitig geschlossene Einreichungsphase als ruhig. Er selbst ist an der Ausmusterung des alten Dateiformats a.out beteiligt. Die Aktualisierung des Systems im laufenden Betrieb kann künftig kumulative Patches abarbeiten. Externe USB-Datenträger können gesondert deaktiviert werden. Es gibt auch wieder Arbeiten, die die Leistungseinbußen auffangen, die durch die Patches gegen die Sicherheitslücken Spectre verursacht wurden. Außerdem gibt es neue Funktionen in Treibern für Grafikchips der Hersteller AMD, Intel und Nvidia.

Ausgemustertes Dateiformat und optimiertes Live-Patching

Inhalt:
  1. Betriebssysteme: Linux 5.1 verbessert Live-Patching
  2. Verbesserte Treiber für Grafikchips von AMD, Intel und Nvidia

Die Unterstützung für das ausführbare Dateiformat a.out (Assembler Output) wird ab dem aktuellen Kernel 5.1 beendet. Längst wurde das Dateiformat durch das flexiblere ELF (Executable and Linking Format) und COFF (Common Object File Format) abgelöst. Moderne Compiler unterstützten das Format ohnehin nicht mehr, schreibt Torvalds und entfernte kurzerhand den entsprechenden Code aus Core Dump, mit dem Speicherauszüge im Falle eines Absturzes des Linux-Kernels generiert werden. Der Code sei kaum gepflegt und voller Bugs. Ganz entfernt wird die Unterstützung von a.out aber nicht, im unwahrscheinlichen Fall, dass es Entwickler gibt, die das Dateiformat noch benötigen, kann es wieder aktiviert werden, notfalls auch im User-Space, wie Entwickler Alan Cox vorschlägt.

Das Live Patching, also die Aktualisierung des Kernels im laufenden Betrieb ohne Neustart, unterstützt jetzt kumulative Patches. Dafür wurde das sogenannte Atomic Replace umgesetzt, das die Aktualisierung einzelner Komponenten erlaubt. Damit lassen sich mehrere Updates in einem Rutsch installieren, auch ältere Aktualisierungen in Abhängigkeit mit neueren. Auch können einzelne Komponenten ausgewählt oder wieder entfernt werden. Administrator und Benutzer dürften mit dem neuen Zusatz zum Live Patching nicht nur mehr Optionen beim Einspielen von Aktualisierungen bekommen, sondern auch klar erkennen können, welcher Code gerade in Gebrauch ist.

NVDIMMs als Arbeitsspeicher und verbesserter Spectre-Schutz

Künftig wird es möglich, NVDIMM-RAM als Arbeitsspeicher in das System einzubinden. Zwar sind die Zugriffe auf solche Laufwerke mit ihrem nichtflüchtigen Speicher nicht so schnell wie solche auf den flüchtigen Arbeitsspeicher, aber dennoch schnell genug, um in einigen Szenarien als Speichererweiterung infrage zu kommen, etwa auf Datenbankservern oder als günstigere Alternative in virtuellen Servern.

Stellenmarkt
  1. Schaeffler Paravan Technologie GmbH & Co. KG, Schorndorf, Schorndorf
  2. Deutsche Bahn AG, Frankfurt

Auch in Linux 5.1 gibt es Patches, die Leistungsverluste verringern, die durch Maßnahmen gegen die Sicherheitslücke in CPUs, Spectre, verursacht worden sind. Eine neue Funktion deaktiviert in einigen Fällen den Schutz Speculative Store Bypass Disable (SSBD), der Angriffe über Spectre v4 abfangen soll. Das soll besonders bei Code, der von Java Virtual Machines (JVM) ausgeführt wird, eine Rolle spielen, denn SSBD kann bei neuen Prozessen ausgeschaltet werden, die die JVM im User-Space startet. Der Schutz Retpoline für Spectre v2 erhielt ebenfalls einige Optimierungen, die die Leistung von einigen Treibern verbessern soll.

Mehr Schutz und neue Funktionen für Grafikkarten

Gegen Angriffe, die die Schutzmechanismen SMEP (Supervisor Mode Execution Protection), SMAP (Supervisor Mode Access Prevention) sowie UMIP (User-Mode Instruction Prevention) in CPUs ungewollt deaktivieren können, gibt es einen Patch, der die Schreibfunktionen auf die CPU-Schalter CR0 und CR4 deaktiviert.

Über einen neuen Schalter können künftig alle externen USB-Laufwerke deaktiviert werden, während interne weiterhin aktiviert bleiben. Dafür gibt es den Eintrag usbcore.authorized_default=2 im Verwaltungsdateisystem Sysfs. Alternativ kann die Option auch über die Anwendung USBguard aktiviert werden. Bislang gab es den Schalter nur für USB-Laufwerke, die drahtlos in das System eingebunden werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verbesserte Treiber für Grafikchips von AMD, Intel und Nvidia 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote

Folgen Sie uns
       


Projekt Mare - DLR

Helga und Zohar sind zwei anthropomorphe Phantome, ihre Körper simulieren die Struktur des menschlichen Gewebes. DLR-Forscher wollen messen, wie sich die Strahlung auf den Körper auswirkt.

Projekt Mare - DLR Video aufrufen
    •  /