Software::Kernel
Linux-Kernel 4.9 freigegeben
Linux-Initiator Linus Torvalds hat Version 4.9 des Linux-Kernels freigegeben. Die Änderungen sind die umfangreichsten in der Linux-Geschichte, die wohl bedeutsamste Änderung ist aber die Erhöhung der Sicherheit durch den im virtuellen Adressraum angelegten Kernel-Stack.
Linux Foundation
Linus Torvalds, Initiator des Linux-Kernels
Zehn Wochen nach
Linux 4.8 ist nun Linux 4.9
fertiggestellt. Linux-Initiator Linus Torvalds hatte die Testphase des neuen Kernels um eine Woche verlängert, da der neue Kernel die höchste Zahl von Änderungen aller Zeiten aufweist, darunter mit der Verlagerung des Kernel-Stacks in den virtuellen Adressraum eine ziemlich tiefgreifende. Letztlich flossen 16.216 einzelne Änderungen in Linux 4.9 ein, dazu noch einmal über 1.100 Zusammenführungsaktionen, die nicht zu den eigentlichen Änderungen hinzugerechnet wurden. Auch die Zahl der Entwickler, die Code beitrugen, erreichte mit 1.719 einen neuen Rekord. Bezüglich der Zahl der geänderten Code-Zeilen hat es allerdings bereits größere Kernel-Updates gegeben, was meist mit umfangreichen Reorganisationen von Code-Bereichen zusammenhing.
Auch wenn der Umfang der Änderungen von Version zu Version schwankt - so zeichnet sich bereits ab, dass Linux 4.10 weniger Änderungen aufweisen wird - zeigt der langfristige Trend weiter nach oben. Die Arbeit an Linux lässt mit Sicherheit in der absehbaren Zukunft nicht nach, sondern wird eher noch gesteigert.
Da die Freigabe der ersten Testversion von Linux 4.10 auf den ersten Weihnachtstag fallen wird, hat Torvalds bereits angekündigt, dass er maximal bis zum 23. Dezember Änderungen entgegennehmen wird. Alles, was später eintrifft, wird bis Linux 4.11 warten müssen. Auch die Entwickler sollten sich laut Torvalds über Weihnachten etwas Entspannung gönnen.
Linux 4.9 wird als nächster langfristig unterstützter Kernel mindestens zwei Jahre lang Updates erhalten. Dass Linux 4.9 zum Kernel mit den umfangreichsten Änderungen aller Zeiten wurde, ist auch dem Greybus-Subsystem zu verdanken, das jetzt mit seiner kompletten 2400 Änderungen umfassenden Historie importiert wurde. Greybus, das nicht mit KDBus bzw. Bus1 verwechselt werden darf, ist ein Anwendungsprotokoll, das auf dem Unipro-Hardware-Transport abgewickelt wird. Es entstand im gescheiterten Google-Projekt »Ara«, ist aber laut Greg Kroah-Hartman in einigen eingebetteten Geräten in aktiver Benutzung.
Kernel-Stacks werden nun im virtuellen Adressraum angelegt. Dies bedeutet, dass Kernel-Stacks nicht mehr in der Größe limitiert sind, sondern auch, dass Überläufe, sei es durch Programmfehler oder Schadcode, erkannt werden können. Damit wird die Sicherheit des Kernels insgesamt verbessert. Zuvor war der Stack direkt auf physische Adressen abgebildet, was die simpelste, aber auch mit Einschränkungen verbundene Lösung war.
Das Dateisystem XFS unterstützt jetzt gemeinsame Extents (Bereiche, die von mehreren Dateien genutzt werden können) und einen Copy-on-Write-Mechanismus auf diesen Extents. Damit verfügt XFS über »Super CoW Power« und kann künftig die Funktion copy_file_range sowie die Daten-Deduplikation unterstützen.
Unter /sys/kernel/irq gibt es nun Dateien, die die Interrupt-Eingänge des Systems besser beschreiben als /proc/interrupts. In SELinux wurde Unterstützung für Overlay-Dateisysteme implementiert, was besonders für Container nützlich sein kann.
Ein neuer Satz von Systemaufrufen, pkey_alloc, pkey_free und pkey_mprotect, dient zur feineren Kontrolle von Speicher-Zugriffsrechten. Nur die neueren Intel-Prozessoren enthalten allerdings die dafür nötige Hardware.
Zu den vorhandenen Stauvermeidungsalgorithmen im Netzwerkbereich kam ein weiterer, Bottleneck Bandwidth and RTT (BBR), hinzu. Netfilter wurde um einen Quota-Mechanismus und einen neuen Zufallsgenerator erweitert. Das Modul für Userspace-Dateisysteme (FUSE) unterstützt jetzt POSIX-ACLs, und die Anzahl der Namensräume, die ein Benutzer (-namensraum) anlegen darf, kann jetzt begrenzt werden.
Das perf-Werkzeug kann nun eine Funktion in Basisblöcke aufteilen und Events für jeden Block separat erfassen. Das Werkzeug »Hardware Latency Tracer« wurde von der Echtzeit-Linux-Entwicklung übernommen. Auch die Verbesserung der Kernel-Dokumentation ging weiter. Aus reStructuredText-formatierten Dokumenten kann nun PDF korrekt generiert werden.
Ein neues GCC-Plugin namens »latent_entropy«, das seinen Ursprung im grsecurity/PaX-Projekt hatte, dient dazu, den Kernel so zu instrumentieren, dass er mehr Entropie sammeln kann, um die Zufallsgeneratoren zu initialisieren. Das soll zu mehr Sicherheit durch weniger Vorhersehbarkeit der Zufallszahlen führen, besonders in der frühen Boot-Phase.
Darüber hinaus wurden zahlreiche Treiber aktualisiert, erweitert oder kamen neu hinzu. Eine Liste aller Änderungen kann man dem Git-Repositorium entnehmen. Die Seite Kernelnewbies.org wird in Kürze eine übersichtliche Zusammenfassung der Änderungen veröffentlichen. Die aktuelle Version von Linux kann von kernel.org und zahlreichen Spiegel-Servern in Form von Patches oder tar-Paketen heruntergeladen werden.
){kind=small}
