Abo
  • Services:

Linux-Kernel: Linux 3.17 erhöht die Sicherheit

Mit neuen Sicherheitsfunktionen und einem schnelleren Block Layer für SSDs ist die erste Testversion von Linux 3.17 freigegeben worden. Der neue Kernel ist zum ersten Mal seit Jahren kleiner als sein Vorgänger.

Artikel veröffentlicht am ,
Linux 3.17 geht in die Testphase.
Linux 3.17 geht in die Testphase. (Bild: Richard Giddins, CC BY 2.0)

Linus Torvalds hat eine erste Testversion des Linux Kernels 3.17 freigegeben. Es seien weniger aufregende Änderungen eingeflossen als in seinen Vorgänger, heißt es in seiner Begleit-E-Mail. Das sei wohl der Sommerpause in der nördlichen Hemisphäre geschuldet. Durch das Entfernen von 14 ungeliebten Treibern wurden 250.000 Zeilen Code entfernt. Damit sei Linux 3.17 zum jetzigen Zeitpunkt kleiner als sein direkter Vorgänger. Das sei bisher nur einmal, bei Linux 2.6.36, der Fall gewesen, schreibt Lwn.net.

Stellenmarkt
  1. ADG Apotheken-Dienstleistungsgesellschaft mbH, Mannheim
  2. SKF GmbH, Schweinfurt

Linux 3.17 erhält einen neuen Systemaufruf namens getrandom(). Die beiden bisher verwendeten virtuellen Geräte /dev/random und /dev/urandom für das Generieren von Zufallszahlen hatten die LibreSSL-Entwickler kritisiert: Ein Zugriff auf diese Geräte benötige Dateisystemoperationen, die manchmal scheitern könnten, etwa wenn keine Filehandles mehr zur Verfügung stünden. Außerdem sei das Dateisystem /dev nicht immer gemountet, so könnte man beispielsweise eine sogenannte chroot-Umgebung ohne /dev-Dateisystem betreiben. Mit dem Systemaufruf getrandom() sollen diese Probleme behoben sein.

Diese Lösung gibt es bereits bei OpenBSD und wurde von den Entwicklern von LibreSSL für Linux gefordert.

Urandom gebändigt

Der neue Systemaufruf schließt außerdem eine weitere Lücke: Das virtuelle Gerät /dev/random liefert nur dann Zufallszahlen, wenn dem System genügend Entropie zur Verfügung steht, und kann somit in manchen Situationen eine Software blockieren. Urandom produziert hingegen immer Zufallszahlen - auch dann, wenn diese möglicherweise unsicher sind. Der neue Systemaufruf umgeht dieses Problem, indem er nur dann keine Zufallszahlen von /dev/urandom mehr annimmt, wenn er seit dem Systemstart überhaupt keine Entropie mehr erhalten hat.

Die bereits in Linux 3.12 eingeführten Render-Nodes im Direct Rendering Manager (DRM) sind ab dieser Kernel-Version standardmäßig aktiviert. Damit können Anwendungen über mehr als einen Knotenpunkt im Linux-Kernel auf Grafikeinheiten zugreifen. So kann beispielsweise der Xserver auch mit einfachen Benutzerrechten laufen und darf trotzdem die Bildschirmauflösung auf dem Grafikchip ändern. Zudem sollen zwei Xserver parallel laufen, die jeweils einen eigenen Monitor mit eigener Auflösung ansteuern können.

Firmware-Prüfung

Nachdem es einige Probleme mit der dynamischen Energieverwaltung für Grafikkarten von AMD gab, ist diese für die Cayman-Chipsätze wieder standardmäßig aktiviert. Zusätzlich wurde die Unterstützung für Radeon-Karten R9 290 und 290X mit dem Hawaii-Chipsatz eingebaut. Künftig soll die Integration von neuen Firmware-Versionen für den Radeon-Treiber einfacher werden. Dafür haben die Entwickler ein neues Format umgesetzt. Außerdem wurde das Security-Subsystem um die Funktion kernel_fw_from_file() erweitert, mit dem sich künftig die Integrität von Firmware überprüfen lässt.

Im i915-Treiber für Grafikchips von Intel gibt es zahlreiche Änderungen, die den Leistungsverbrauch senken sollen. Ab Linux 3.17 wird der Energiesparmodus PM Runtime für Display Power Management Signaling (DPMS) auch dann eingeschaltet, wenn DPMS deaktiviert wird und nicht nur, wenn es komplett ausgeschaltet ist. Ferner wurde Panel Self Refresh (PSR) für Haswell- und Broadwell-Chipsätze aktiviert, nachdem die Entwickler noch zahlreiche Codeoptimierungen beigetragen haben. Mit PSR wird das aktuelle Bild in den Speicher kopiert und für einen Refresh verwendet, wenn sich der Bildinhalt nicht ändert. Dadurch kann die GPU entlastet und in einen niedrigeren Energiemodus versetzt werden.

Mehr Ruhezustände für Intel-Chipsätze

Der neue Ruhezustand S0ix, der mit Intels Haswell eingeführt wurde, wurde umgesetzt. Dabei wird die vom Kernel bereitgestellte Infrastruktur Runtime Power Management für Intels neuen Ruhezustand verwendet, der Systeme weitestgehend betriebsbetreit hält. Zudem haben die Entwickler bei Intel beim Backlighting und dem Power Sequencer einige Reparaturen durchgeführt.

Erste Arbeiten an der Unterstützung für Hotplugging über I/O Advanced Programmable Interrupt Controller (I/O Apic) wurden in Linux 3.17 integriert. Mit I/O Apic lassen sich Hardware-Interrupts besser verwalten, etwa indem sie in logische Gruppen zusammengefasst oder mit unterschiedlichen Prioritäten versehen werden können. Damit Hotplugging mit I/O Apic funktioniert, müssen am Apic-Code noch Änderungen vorgenommen werden, beispielsweise die Entfernung überflüssiger Treiber-Abstrahierungen. In dem jetzt eingereichten Patch wurde auch die Unterstützung von Irqdomain in das Apic-Subsystem integriert. Damit sollen später die Interrupts mit I/O Apic verwaltet werden.

Multiqueue und Kexec

Die mit Linux 3.12 begonnene Integration der Multiqueue-Block-Layer-Unterstützung wurde in das SCSI-Subsystem integriert. Zuvor mussten diverse Treiber angepasst werden. Mit mehreren Warteschleifen (Queues) soll der Zugriff auf Datenträger beschleunigt werden, was besonders bei SSDs für einen deutlichen Geschwindigkeitszuwachs sorgen soll.

Der neue Systemaufruf kexec_file_load() sorgt dafür, dass der Kernel einer aktualisierten Version von sich selbst eine Signaturüberprüfung unterzieht, bevor damit gestart werden kann. Kexec bewirkt, dass das System auch ohne Neustart einen neuen Kernel lädt. Da bislang auf Rechnern mit Secure Boot eine solche Sicherheitsprüfung fehlte, war Kexec abgeschaltet worden. Der Quellcode der ersten Testversion von Linux 3.17 ist unter kernel.org verfügbar. Die finale Version wird in etwa sechs Wochen erscheinen.



Anzeige
Hardware-Angebote
  1. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  2. 59,90€
  3. bei Alternate.de

Perry3D 21. Aug 2014

Für kleine Einzelplatz-Rechner ist das sicher nicht gedacht. Vielleicht eher für...

Nerd_vom_Dienst 18. Aug 2014

"Außerdem wurde das Security-Subsystem um die Funktion kernel_fw_from_file() erweitert...


Folgen Sie uns
       


Detroit Become Human - Fazit

Die Handlung von Detroit: Become Human gefällt uns gut. Sie ist hervorragend geschrieben, animiert und geschnitten. Die Geschichte der Androiden wirkt auch im Vergleich mit früheren Werken von Quantic Dream viel erwachsener und intelligenter, vor allem gegenüber dem direkten Vorgänger Beyond Two Souls.

Detroit Become Human - Fazit Video aufrufen
Recycling: Die Plastikwaschmaschine
Recycling
Die Plastikwaschmaschine

Seit Kurzem importiert China kaum noch Müll aus dem Ausland. Damit hat Deutschland ein Problem. Wohin mit all dem Kunststoffabfall? Michael Hofmann will die Lösung kennen: Er bietet eine Technologie an, die den Abfall in Wertstoff verwandelt.
Ein Bericht von Daniel Hautmann


    Wonder Workshop Cue im Test: Der Spielzeugroboter kommt ins Flegelalter
    Wonder Workshop Cue im Test
    Der Spielzeugroboter kommt ins Flegelalter

    Bislang herrschte vor allem ein Niedlichkeitswettbewerb zwischen populären Spiel- und Lernrobotern für Kinder, jetzt durchbricht ein Roboter für jüngere Teenager das Schema nicht nur optisch: Cue fällt auch durch ein eher loseres Mundwerk auf.
    Ein Test von Alexander Merz


      PGP/SMIME: Die wichtigsten Fakten zu Efail
      PGP/SMIME
      Die wichtigsten Fakten zu Efail

      Im Zusammenhang mit den Efail genannten Sicherheitslücken bei verschlüsselten E-Mails sind viele missverständliche und widersprüchliche Informationen verbreitet worden. Wir fassen die richtigen Informationen zusammen.
      Eine Analyse von Hanno Böck

      1. Sicherheitslücke in Mailclients E-Mails versenden als potus@whitehouse.gov

        •  /