Schnelleres Seccomp und Windows-Filter

Kees Cook bewarb in seinem Merge Request für Seccomp die neuen Constant Action Bitmaps. Die Aufgabe von Seccomp besteht darin, eingehende Syscalls zu filtern, um auf diesem Weg nur die nötigsten Kernel-Schnittstellen zu involvieren und die Angriffsfläche kleinzuhalten. Mit den neuen Bitmaps soll Seccomp den internen Overhead für den Umgang mit verschiedenen Syscall-Filtern deutlich reduzieren.

Stellenmarkt
  1. Transition Manager (w/m/d) - IT
    Computacenter AG & Co. oHG, verschiedene Standorte
  2. Continual Service Improvement Consultant (m/w/d)
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
Detailsuche

Der Linux-Kernel enthält nun außerdem einen Filter, um Windows-Systemaufrufe zu erkennen. Genutzt wird das für Projekte wie Wine, die Windows-Systemaufrufe emulieren, aber auch selbst native Systemaufrufe ausführen. Moderne Windows-Anwendungen nutzen aber anders als bisher auch vermehrt selbst Systemaufrufe. Diese können nun unter Linux erkannt und etwa zurück an Wine geleitet werden, was dieses dann emuliert.

Von Maintainer Herbert Xu kommen einige Updates für den Verschlüsselungsbereich, die das API und die Performance von Algorithmen verbessern. Auch einige Treiber für Krypto-Algorithmen und -Engines hatte Xu im Gepäck, etwa für den Pseudozufallszahlengenerator von HiSilicon.

Signaturabgleich für Device Mapper

Der Device Mapper (DM) ist ein Kernel-Treiber, der ein Framework anbietet, um physische blockorientierte auf virtuelle blockorientierte Geräte zu mappen. Er dient unter anderem als Basis für das Logical Volume Management und hilft beim Aufsetzen von Software-RAIDs und beim Verschlüsseln von Festplatten. Neu in Kernel 5.11 ist laut Mike Snitzer der DM-Verity-Support, der einen Signaturabgleich über einen zweiten Trusted Keyring ermöglicht. Außerdem wählt ein neuer I/O-abhängiger Path Selector seine Pfade abhängig von denjenigen CPUs, die eine bestimmte I/O-Workload prozessieren.

Golem Akademie
  1. Linux-Systemadministration Grundlagen
    25.-29. Oktober 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Terraform mit AWS
    14.-15. Dezember 2021, online
Weitere IT-Trainings

Ebenso kündigte Mike Snitzer eine weitere Notfalländerung am MD-RAID-Code (Multiple Devices) an, um einen Fehler der vorherigen Kernelversion zu beheben. Kurz vor dem Release von Linux 5.10 hatte sich gezeigt, dass zuvor eingeführte RAID10-Optimierungen unter Umständen zu fehlerhaftem RAID-Verhalten führen. Daher wurden die Änderungen eilig zurückgenommen.

Bei einigen Dateisystemen lief es in der aktuellen Runde etwas ruhiger. So meldeten die Ext4-Entwickler gar keine neuen Features. Die XFS-Macher führten hingegen das neue Flag needsrepair ein, das deutlich macht, dass ein Dateisystem ein Xfs-Repair durchlaufen sollte. Das ist etwa der Fall im Zuge von Dateisystem-Upgrades.

Die F2FS-Entwickler um Jaegeuk Kim verbesserten die Einzeldatei-Kompression. Für diese legen Kernel-Nutzer bei Bedarf künftig den verwendeten Algorithmus und die Cluster-Größe pro Datei fest. Über eine neue Mount-Option bestimmen sie zudem, welcher User die Daten komprimieren darf. Dank eines Checksummen-Features beim Mounten entdeckt XFS zudem korrupte Cluster.

In einem ausführlichen Statusbericht wies Btrfs-Entwickler David Sterba derweilen auf Performance-Optimierungen und neue Funktionen hin. Für Benutzer sichtbar sind die neuen Rescue-Mount-Optionen, die auch Sysfs abbildet. Sie erlauben es dem Dateisystem, im Schadensfall fehlerhafte Tree Roots und Checksummen-Verifizierungen zu ignorieren. Auch die Vorbereitungen für den Aufbau des Zoned-Allocation-Modus sind im Gange.

Auch an den Overlay-Dateisystemen hat sich im aktuellen Releasezyklus etwas getan. Fuse, das Filesystem in Userspace, verbessert die Performance von "virtio-fs" bei gemischten Lese- und Schreib-Workloads. Dieses Dateisystem teilen sich Host und Gäste in Virtualisierungsszenarien. OverlayFS erlaubt neuerdings Mounts für nichtprivilegierte Anwender im User-Namespace: Geben Letztere die Option -o userxattr an, verwendet OverlayFS neuerdings den Xattr-Namespace anstatt trusted.overlay.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Kernel: Linux 5.11 unterstützt Intels SGXMit Samba besser vernetzt 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Aktuell auf der Startseite von Golem.de
Geschäftsethik bei Videospielen
Auf der Suche nach dem Wal

Das Geschäftsmodell von aktuellen Free-to-Play-Games nimmt das Risiko in Kauf, dass Menschen von Spielen abhängig werden. Eigentlich basiert es sogar darauf.
Von Evan Armstrong

Geschäftsethik bei Videospielen: Auf der Suche nach dem Wal
Artikel
  1. Silifuzz: Google sucht und findet per Fuzzing CPU-Fehler
    Silifuzz
    Google sucht und findet per Fuzzing CPU-Fehler

    Elektrische Defekte in CPUs können Daten und Ergebnisse beeinflussen, ohne dass dies zunächst auffällt. Google sucht diese nun per Fuzzing.

  2. Nintendo Switch: Deutscher Jugendschutz sperrt Dying Light in Australien
    Nintendo Switch
    Deutscher Jugendschutz sperrt Dying Light in Australien

    Das frisch für die Switch veröffentlichte Dying Light ist in Europa und in Australien nicht erhältlich - wegen des deutschen Jugendschutzes.

  3. Smartphone: Oppo will eigene Chips bauen
    Smartphone
    Oppo will eigene Chips bauen

    Qualcomm könnte bald einen weiteren Kunden verlieren: Oppo soll eine eigene Chipproduktion für seine Top-Smartphones planen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week Finale: Bis 33% auf Digitus-Monitorhalterungen & bis 36 Prozent auf EVGA-Netzteile • Samsung-Monitore (u. a. 24" FHD 144Hz 169€) • Bosch Professional zu Bestpreisen • Sandisk Ultra 3D 500GB 47,99€ • Google Pixel 6 vorbestellbar ab 649€ + Bose Headphones als Geschenk [Werbung]
    •  /