Support für neue ARM SoCs, nicht so sichere Enklaven

Support für drei neue ARM-SoCs (32 und 64 Bit) zählt der Pull Request von Arnd Bergmann auf. Daniel Palmer liefert ersten Support für zwei 32-Bit-Kamera-Chips (Cortex-A7) von MStar, einem taiwanesischen SoC-Hersteller, den Mediatek 2012 aufgekauft hat. Weiterhin unterstützt der Kernel dank Lars Povlsen die Sparx5-Familie von Ethernet-Switch-Chips, in denen 64-bittige Cortex-A-53-Kerne arbeiten. Intels neuen Keem-Bay-SoC für maschinelles Sehen unterstützt Linux 5.9 ebenfalls.

Weiterhin kommen von den Entwicklern um Bergmann Device Trees für drei neue SoCs in existierenden Produktfamilien. Aus Amazons Annapurna Labs kommt das Alpine v3, das auf einem 16-kernigen Cortex-A72 basiert. Qualcomm schickt die Snapdragon-SDM630-Plattform ins Rennen, die sich für Mobiltelefone eignet (Xperia 10, 10 Plus, XA2 und weitere) und mit einem Cortex-A53- oder einem Kryo-260-Chip läuft. Der RZ/G2H sei schließlich das Topmodell aus Renesas RZ/G-Familie, heißt es dazu.

Nicht zu vergessen ist der Allwinner Sunxi, der ein neues Board für einen existierenden SoC anbietet. Dabei handelt es sich um die Revision 1.2 des Pinephones, ein günstiges Smartphone, auf dem Linux-Distributionen statt Android gestartet werden können. Weiterhin gibt es wieder neue Device Trees für Settop-Boxen, Chromebooks, SBCs und Android Tablets.

Bei Letzteren ist interessant, dass das Google Nexus 7 von Asus und Acers Iconia Tab A500, die aus dem Jahr 2012 stammen und den Tegra 3 und 2 einsetzen, sich wieder mit einem Mainline-Kernel verwenden lassen. Möglich macht dies das Linux-basierte Mobilephone-OS PostmarketOS. Auch bei den ARM-SoC-Treibern gibt es Neues: So unterstützt der Turris-Mox-Firmware-Treiber nun signierte Blobs.

Nicht so sichere Enklave

Dank Boot-Updates von Ingo Molnar kommt die x86-Architektur auch mit Kernel- und Initrd-Images zurecht, die Zstd zum Komprimieren verwenden. Als Grund wird angegeben, dass Zstd einen sehr schnellen Dekompressor habe, die Daten dennoch zugleich optimaler packe als Gzip. Bei den x86-CPUs gibt es Support für weitere Intel-Modelle, Split-Lock-Debugging ist auf mehr CPUs möglich. Zudem haben die Entwickler die Logik im Code zum Schutz gegen die Spectre-v2-Lücke etwas vereinfacht.

Weiterhin dürfen sich die Nutzer von x86-Intel-Prozessoren über Support für FSGSBASE freuen. Der kommt laut Thomas Gleixner fünf Jahre nach dem ersten RFC zum Thema, ist demzufolge nun überhaupt pflegbar und funktioniert. Gleixner erwähnte in diesem Zusammenhang Sasha Levin, der entdeckt hatte, dass Intels Sicherheitsenklave SGX (Software Guard Extensions) hinter dem Rücken des Kernels Kernel-Module laden, die FSGSBASE aktivieren. Damit erlauben sie einen nicht-privilegierten Root-Zugriff. Andererseits bringen die FSGSBASE-Instruktionen signifikante Beschleunigungen von Kontext-Switches und erlauben es dem Userspace, ohne Kernel-Interaktion GSBASE zu schreiben.

Fanotify schneller

Updates erhielten auch Fanotify und FSnotify. Einerseits läuft FSnotifiy den Angaben zufolge performanter, wenn es nicht im Einsatz ist. Andererseits hat ein Entwickler Fanotify-Ereignisse mit Namen implementiert. Dies erlaubt ein effektives Monitoring von ganzen Dateisystemen, das etwa auch Änderungen auf einem Mirror bemerkt.

Auch bei den Perf-Tools kündigen sich neue Features an. Laut Arnaldo Carvalho de Melo überwachen nun Control File Descriptor die Arbeit von perf stat und perf record. Das erlaubt es, auf Kommando vom erwähnten Control File Descriptor hin mit Events zu starten, die zwar eingerichtet, aber deaktiviert sind. Nützlich kann dies laut Carvalho de Melo für Intels Vtune sein. Zudem erhält perf bench rudimentäre Benchmarks für Syscalls und Find-next-Bit-Aktionen.

Um echt asynchrone Puffer-Lesevorgänge zu erreichen, brachte Jens Axboe Änderungen am io_uring-Code ein. Eric Biederman hingegen widmete sich Exec und möglichen Verbesserungen daran. Im Entwicklungszyklus für Kernel 5.7 sei er auf Probleme mit Exec gestoßen, die sich nicht ohne Weiteres beheben lassen, erklärte Biederman. Er habe unter anderem kernel_execve implementiert, was den Umgang mit Kernel Threads erleichtere.

BPF und Syscalls

Auch für BPF gibt es weitere Neuerungen, so etwa einen BPF Iterator für Map-Elemente. Programme in derselben Cgroup dürfen nun ihre lokale CPU_STORAGE-Map teilen. Um Letzteres umzusetzen, änderten die Entwickler kurzerhand die Semantik des CGOUP_STORAGE-Map-Typen. Anstatt jeden Storage mit einer einzigen Verknüpfung zu verbinden, teilt der Code den Storage nun über verschiedene Verknüpfungen mit derselben Cgroup. Diese Verknüpfung hält bis zur Auflösung von Map oder Cgroup.

Daneben hält Linux 5.9 einige neue Syscalls bereit, die unter anderem im Containerbereich helfen sollen. So liefert Christian Brauner die fehlenden Teile nach, um Time Namespaces mit pidfds zu verknüpfen. Der Entwickler hat auch Code eingereicht, der unprivilegierte Checkpoint- und Restore-Aktionen für Prozesse erlaubt. Die Arbeit daran laufe aber seit einiger Zeit, der neue Code bringe diese Arbeit lediglich durchs Ziel, heißt es dazu.

Use Cases für das Feature gebe es auch schon: Die JVM-Entwickler hätten Checkpoint/Restore in die Java VM integriert, um die Startzeit zu verringern. Auch im High-Performance-Computing (nicht-privilegierte Prozesse) und beim Migrieren von Containern als normaler Nutzer erweise sich der Mechanismus ebenfalls als nützlich. Zugleich erfordere Checkpoint/Restore die Einführung der neuen Capability CAP_CHECKPOINT_RESTORE sowie einige Änderungen an den Zugriffsrechten.

Weiterhin stellte Brauner den close_range()-Systemaufruf vor, der effizient eine Reihe oder alle Dateideskriptoren im angesicht einer Task schließt. Dazu kommt eine von Linus Torvalds vorgeschlagene CLOSE_RANGE_UNSHARE-Flag.