Abo
  • Services:
Anzeige
Linux 3.17 geht in die Testphase.
Linux 3.17 geht in die Testphase. (Bild: Richard Giddins, CC BY 2.0)

Linux-Kernel: Linux 3.17 erhöht die Sicherheit

Mit neuen Sicherheitsfunktionen und einem schnelleren Block Layer für SSDs ist die erste Testversion von Linux 3.17 freigegeben worden. Der neue Kernel ist zum ersten Mal seit Jahren kleiner als sein Vorgänger.

Anzeige

Linus Torvalds hat eine erste Testversion des Linux Kernels 3.17 freigegeben. Es seien weniger aufregende Änderungen eingeflossen als in seinen Vorgänger, heißt es in seiner Begleit-E-Mail. Das sei wohl der Sommerpause in der nördlichen Hemisphäre geschuldet. Durch das Entfernen von 14 ungeliebten Treibern wurden 250.000 Zeilen Code entfernt. Damit sei Linux 3.17 zum jetzigen Zeitpunkt kleiner als sein direkter Vorgänger. Das sei bisher nur einmal, bei Linux 2.6.36, der Fall gewesen, schreibt Lwn.net.

Linux 3.17 erhält einen neuen Systemaufruf namens getrandom(). Die beiden bisher verwendeten virtuellen Geräte /dev/random und /dev/urandom für das Generieren von Zufallszahlen hatten die LibreSSL-Entwickler kritisiert: Ein Zugriff auf diese Geräte benötige Dateisystemoperationen, die manchmal scheitern könnten, etwa wenn keine Filehandles mehr zur Verfügung stünden. Außerdem sei das Dateisystem /dev nicht immer gemountet, so könnte man beispielsweise eine sogenannte chroot-Umgebung ohne /dev-Dateisystem betreiben. Mit dem Systemaufruf getrandom() sollen diese Probleme behoben sein.

Diese Lösung gibt es bereits bei OpenBSD und wurde von den Entwicklern von LibreSSL für Linux gefordert.

Urandom gebändigt

Der neue Systemaufruf schließt außerdem eine weitere Lücke: Das virtuelle Gerät /dev/random liefert nur dann Zufallszahlen, wenn dem System genügend Entropie zur Verfügung steht, und kann somit in manchen Situationen eine Software blockieren. Urandom produziert hingegen immer Zufallszahlen - auch dann, wenn diese möglicherweise unsicher sind. Der neue Systemaufruf umgeht dieses Problem, indem er nur dann keine Zufallszahlen von /dev/urandom mehr annimmt, wenn er seit dem Systemstart überhaupt keine Entropie mehr erhalten hat.

Die bereits in Linux 3.12 eingeführten Render-Nodes im Direct Rendering Manager (DRM) sind ab dieser Kernel-Version standardmäßig aktiviert. Damit können Anwendungen über mehr als einen Knotenpunkt im Linux-Kernel auf Grafikeinheiten zugreifen. So kann beispielsweise der Xserver auch mit einfachen Benutzerrechten laufen und darf trotzdem die Bildschirmauflösung auf dem Grafikchip ändern. Zudem sollen zwei Xserver parallel laufen, die jeweils einen eigenen Monitor mit eigener Auflösung ansteuern können.

Firmware-Prüfung

Nachdem es einige Probleme mit der dynamischen Energieverwaltung für Grafikkarten von AMD gab, ist diese für die Cayman-Chipsätze wieder standardmäßig aktiviert. Zusätzlich wurde die Unterstützung für Radeon-Karten R9 290 und 290X mit dem Hawaii-Chipsatz eingebaut. Künftig soll die Integration von neuen Firmware-Versionen für den Radeon-Treiber einfacher werden. Dafür haben die Entwickler ein neues Format umgesetzt. Außerdem wurde das Security-Subsystem um die Funktion kernel_fw_from_file() erweitert, mit dem sich künftig die Integrität von Firmware überprüfen lässt.

Im i915-Treiber für Grafikchips von Intel gibt es zahlreiche Änderungen, die den Leistungsverbrauch senken sollen. Ab Linux 3.17 wird der Energiesparmodus PM Runtime für Display Power Management Signaling (DPMS) auch dann eingeschaltet, wenn DPMS deaktiviert wird und nicht nur, wenn es komplett ausgeschaltet ist. Ferner wurde Panel Self Refresh (PSR) für Haswell- und Broadwell-Chipsätze aktiviert, nachdem die Entwickler noch zahlreiche Codeoptimierungen beigetragen haben. Mit PSR wird das aktuelle Bild in den Speicher kopiert und für einen Refresh verwendet, wenn sich der Bildinhalt nicht ändert. Dadurch kann die GPU entlastet und in einen niedrigeren Energiemodus versetzt werden.

Mehr Ruhezustände für Intel-Chipsätze

Der neue Ruhezustand S0ix, der mit Intels Haswell eingeführt wurde, wurde umgesetzt. Dabei wird die vom Kernel bereitgestellte Infrastruktur Runtime Power Management für Intels neuen Ruhezustand verwendet, der Systeme weitestgehend betriebsbetreit hält. Zudem haben die Entwickler bei Intel beim Backlighting und dem Power Sequencer einige Reparaturen durchgeführt.

Erste Arbeiten an der Unterstützung für Hotplugging über I/O Advanced Programmable Interrupt Controller (I/O Apic) wurden in Linux 3.17 integriert. Mit I/O Apic lassen sich Hardware-Interrupts besser verwalten, etwa indem sie in logische Gruppen zusammengefasst oder mit unterschiedlichen Prioritäten versehen werden können. Damit Hotplugging mit I/O Apic funktioniert, müssen am Apic-Code noch Änderungen vorgenommen werden, beispielsweise die Entfernung überflüssiger Treiber-Abstrahierungen. In dem jetzt eingereichten Patch wurde auch die Unterstützung von Irqdomain in das Apic-Subsystem integriert. Damit sollen später die Interrupts mit I/O Apic verwaltet werden.

Multiqueue und Kexec

Die mit Linux 3.12 begonnene Integration der Multiqueue-Block-Layer-Unterstützung wurde in das SCSI-Subsystem integriert. Zuvor mussten diverse Treiber angepasst werden. Mit mehreren Warteschleifen (Queues) soll der Zugriff auf Datenträger beschleunigt werden, was besonders bei SSDs für einen deutlichen Geschwindigkeitszuwachs sorgen soll.

Der neue Systemaufruf kexec_file_load() sorgt dafür, dass der Kernel einer aktualisierten Version von sich selbst eine Signaturüberprüfung unterzieht, bevor damit gestart werden kann. Kexec bewirkt, dass das System auch ohne Neustart einen neuen Kernel lädt. Da bislang auf Rechnern mit Secure Boot eine solche Sicherheitsprüfung fehlte, war Kexec abgeschaltet worden. Der Quellcode der ersten Testversion von Linux 3.17 ist unter kernel.org verfügbar. Die finale Version wird in etwa sechs Wochen erscheinen.


eye home zur Startseite
Perry3D 21. Aug 2014

Für kleine Einzelplatz-Rechner ist das sicher nicht gedacht. Vielleicht eher für...

Nerd_vom_Dienst 18. Aug 2014

"Außerdem wurde das Security-Subsystem um die Funktion kernel_fw_from_file() erweitert...



Anzeige

Stellenmarkt
  1. BG-Phoenics GmbH, München
  2. Werner Sobek Group GmbH, Stuttgart
  3. SARSTEDT AG & Co., Nümbrecht-Rommelsdorf
  4. GK Software AG, Schöneck/Vogtland, Berlin


Anzeige
Top-Angebote
  1. 299,00€
  2. 69,00€
  3. 222,00€

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. Re: Machen wir doch mal die Probe aufs Exempel

    ML82 | 21:33

  2. Re: Siri und diktieren

    Stereo | 21:29

  3. Re: Also so eine art Amerikanischer IS Verschnitt...

    SanderK | 21:21

  4. Re: Akito Thunder 2 + Macbook

    Mixermachine | 21:13

  5. Re: Spulenfiepen!?

    strike | 21:10


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel