LINUX.ORG.RU

Вышло ядро Linux 3.7

 ,


0

2

После двух с небольшим месяцев разработки вышла новая версия ядра Linux 3.7.

В этом выпуске произведены такие изменения:

  • в файловых системах:
    • увеличена производительность btrfs в части кода, отвечающего за fsync;
    • для той же btrfs представлена поддержка технологии «hole punching», которая позволяет освобождать незанятое пространство внутри файла, что особенно ценно при работе с образами жёстких дисков виртуальных машин;
    • для ext4 добавлена поддержка изменения размера раздела больше 16 ТБ, причём эта операция теперь выполняется несколько быстрее, нежели ранее;
    • в JFS добавлена поддержка TRIM/discard;
    • в CIFS добавлена поддержка SMB 2.0;
    • NFSv4.1 больше не считается экспериментальной;
  • в подсистеме хранения данных:
    • код программной реализации RAID теперь поддерживает операцию «discard»;
    • добавлена возможность изменять тип кеширования для устройств ATA через sysfs;
    • в подсистему libata добавлена поддержка т.н. «агрессивной спячки» для устройств SATA (согласно спецификации AHCI 1.3.1);
    • добавлена поддержка команды «WRITE SAME», что позволяет передавать пакеты данных один раз, а потом записывать их во все указанные блоки I/O, т.е., например, быстрее инициализировать массивы RAID;
    • Virtio-Scsi теперь поддерживает изменение размера устройств хранения данных;
  • в сетевой подсистеме:
    • добавлена поддержка NAT для IPv6;
    • реализована поддержка TCP Fast Open на серверной стороне (клиентский код был добавлен в версии ядра 3.6);
    • протокол GRE теперь может туннелировать другие протоколы поверх IPv6;
    • добавлена поддержка протокола туннелирования VXLAN;
  • в инфраструктуре:
    • добавлена поддержка архитектуры ARMv8 AArch64;
    • расширен спектр 32-битных платформ ARM, для которых возможно создание единого образа ядра;
    • для процессоров ARM Cortex-A15 добавлена поддержка аппаратной виртуализации с помощью Xen;
    • добавлена поддержка подписывания загружаемых модулей и проверки их подписи;
    • добавлено расширение для оценки целостности в рамках IMA, которое используется для определения нежелательного изменения бинарных файлов;
    • ядро теперь может загружать файлы прошивок без помощи udev;
    • значительно улучшена поддержка пространств имён (namespaces);
    • добавлена поддержка расширенных атрибутов в файловой системе cgroup;
    • расширение безопасности YAMA теперь может использоваться вместе с остальными аналогичными подсистемами;
    • добавлена поддержка SMAP, функции предотвращения доступа в режим супервизора, которая будет представлена в процессорах Intel Haswell;
    • значительно переработана подсистема RCU;
    • началось разделение заголовочных файлов на используемые ядром и используемые программами пространства пользователя;
    • рабочие очереди (workqueues) теперь нереэнтерабельны (non-reentrant) по умолчанию, что означает, что один и тот же код больше не исполняется на всех процессорах одновременно;
    • в ядре появилась базовая реализация хеш-таблиц, призванная заменить аналогичные разрозненные реализации в различных подсистемах ядра;
    • улучшена подсистема perf;
    • переписана реализация кластерной ОЗУ Ramster;
    • подсистема ввода теперь может работать более чем с 32 устройствами;
    • оптимизированы по скорости криптографические алгоритмы;
  • в драйверах:
    • значительно улучшен Nouveau; например, проведена реструктуризация кода с целью дальнейшего внедрения поддержки SLI, а для чипов NV40 и NV50 добавлена базовая поддержка управления вращением кулера;
    • в коде i915 значительно улучшена поддержка выходов на дисплеи;
    • через sysfs теперь можно задавать верхнее ограничение частоты графического процессора, что будет полезным для ещё не вышедших чипов Haswell и ValleyView;
    • изменения в драйвере Radeon теперь позволяют новым чипам управлять несколькими мониторами через одну петлю ФАПЧ, а также уменьшают энергопотребление;
    • добавлена поддержка регулировки яркости на многих ноутбуках с чипами AMD;
    • для популярных звуковых чипов HD добавлена поддержка механизма энергосбережения во время работы;
    • улучшена поддержка многоканального звука;
    • добавлен новый API для устройств DVB, подключаемых через USB, а также расширен спектр поддерживаемых устройств DVB;
    • версия ALSA больше не экспортируется через /proc;
    • добавлена поддержка SoC BCM2835, используемого в Raspberry Pi;
    • добавлена поддержка звукового чипа C-Media CMI8328;
    • добавлена поддержка tethering для iPhone 5;
    • в ath9k добавлена поддержка чипов AR9565;
    • в brcmfmac добавлена поддержка беспроводных чипов USB 43242 и 43143, а также мастер-режима для работы в качестве точки доступа;
    • в qla4xxx добавлена поддержка Qlogic 8032 (ISP83XX).

Конечно же, в новое ядро привнесены и другие новшества, которые, к сожалению, в рамках формата новости сложно описать. Рекомендуется обратиться к таким первоисточникам: ноль, раз, два, три, четыре, пять, шесть, а также к журналу коммитов ядра и статьям на Kernel Newbies: раз, два.

Скачать полный тарболл с исходниками

Скачать патч на ядро 3.6

>>> Подробности

★★★★★

Проверено: JB ()
Последнее исправление: post-factum (всего исправлений: 6)

Меня приятно удивляют разработчики ядра: работают на чистом энтузиазме, а за каждые 2 месяца одних ченжлогов на 2 простыни хватает.

f1xmAn ★★★★★
()

добавлена поддержка NAT для IPv6;

Но зачем?

Satou ★★★★
()
Ответ на: комментарий от anonymous

NAT только дает иллюзию безопасности

ну не скажи. он принципиально исключает возможность машин за NATом слушать какой-либо порт, доступный извне, без дополнительного DNAT на шлюзе.

Komintern ★★★★★
()
Ответ на: комментарий от mikhalich

где пахнет, например, гостайной

Ты не в курсе, где пахнет гостайной, там никакого интернета или связи с общедоступными сетями нет физически

Satou ★★★★
()
Ответ на: комментарий от f1xmAn

95 % изменений в ядре это, увы, разработчики компаний, которым за это платят, в том числе за это платит и микрософт :-)

anonymous
()
Ответ на: комментарий от f1xmAn

работают на чистом энтузиазме

Ну да.

IPR ★★★★★
()

По поводу Btrfs отмечу, что на их официальной вики было анонсировано больше изменений: https://btrfs.wiki.kernel.org/index.php/Main_Page#News * fsync speedups * removed limitation of number of hardlinks in a single directory * file hole punching * per-file NOCOW * fixes to send/receive

А Матиас Экерман (Matthias Eckermann), старший управляющий выпусками в SUSE, выразил мнение, что новая файловая система уже готова для повсеместного (в т.ч. на производственных системах) применения. Она официально поддерживается в SUSE начиная с версии 11SP2. Пользователям предлагается использовать btrfs для корневого раздела.

CSRedRat
()

Поздравляю! :3

renya ★★★★★
()

добавлена базовая поддержка управления вращением кулера

Фраза - сюр. «Базовая» это как?

GAMer ★★★★★
()
Ответ на: комментарий от GAMer

Вращается - не вращается. Хочешь менять скорость, пиши костыль a la ШИМ.

RedPossum ★★★★★
()

в JFS добавлена поддержка TRIM/discard;

Оно ещё живо? Где используется?

добавлена поддержка архитектуры ARMv8 AArch64; для процессоров ARM Cortex-A15 добавлена поддержка аппаратной виртуализации с помощью Xen;

Вот это и правда хорошие новости.

добавлена поддержка тезеринга для iPhone 5;

А вот это как понимать? О_о
Имеется в виду, что шарить с компа с линуксом инет для айфона или шарить инет с айфона на комп с линуксом теперь будет лучше?

sT331h0rs3 ★★★★★
()
Ответ на: комментарий от Komintern

NAT ломает IPSEC. И сделать порт за NATом доступным извне очень даже можно - STUN, TURN, UPnP или банально завернуть поток в SSH на внешний хост.

anonymous
()

увеличена производительность btrfs в части кода, отвечающего за fsync;

теперь можно пользоваться dpkg без libeatmydata?

leave ★★★★★
()
Ответ на: комментарий от xscrew

А, так nat не из-за необходимости трансляции адресов, а _чисто для безопасности_?

Ты путаешь конкретный костыль конкретного времени с немного отстраненной идеей о том, что адреса можно транслировать. С какой целью - это другой вопрос. NAT хорош именно своей относительной железобетонностью - учитывая, какой швах в госорганах с кадрами - там вполне может быть некому писать корректные правила iptables. Это действительно важный критерий, вторая(или третья) ревизия закона о персоналке была связана именно со сложностью требуемых мер - их тупо реализовывали неправильно, потому что нет кадров.

К конкретной технологии: Влажные фантазии о мире, где от устройства А до устройства Б есть прямой путь пусть остаются фантазиями - а то один удаленный 0day и вычисленные диапазоны машин и армия ботов появится просто из ниоткуда. Для тысяч домашних пека с непатченными максималочками НАТ вообще единственное, что останавливает их зомбификацию, кмк.

А сертифицированный NAT? Его что, сертифицировать не надо?!

нат можно сертифицировать в составе другого ПО, вроде даже есть истории успеха. А файер - штука дорогая же.

NAT хорош по соотношению «цена»(деньги,кадры,силы,сложность) и качество же.

mikhalich ★★
()
Ответ на: комментарий от Satou

Ты не в курсе, где пахнет гостайной, там никакого интернета или связи с общедоступными сетями нет физически

На лоре всегда есть только А и Я, букв между ними никогда никто не видел. Либо сеть торчит голышом в интернеты - либо кабель обрублен и сетевухи залиты эпоксидкой. Либо гостайна на гостайне и по сети гостайну гоняет - либо все только и занимаются, что играют в пасьянсы.

А если сказать, что могут быть сети несколько ограниченного доступа - может удар хватить!

mikhalich ★★
()
Ответ на: комментарий от router

NAT наружу и явный запрет всего что не разрешено внутрь - железобетонная стена, котую в лоб не прошибёшь.

В IPv6 «железобетонная стена» строится на сквозной PKI с IPSec, а не картонной стенкой NAT отгораживается от внешнего мира.

iZEN ★★★★★
()
Последнее исправление: iZEN (всего исправлений: 1)
Ответ на: комментарий от xscrew

Ты вообще понимаешь что ты пишешь?

Есть подозрение что понимаю.

Во первых я привел строчку фаерволла ipfw.

Очень рад. И это опровергает то, что безопасность внутри сети и на границе сети - две большие разницы?

Во вторых - в общепринятой терминологии бородеры - это пограничные маршрутизаторы

Именно что пограничные.

В третих - PIX (уже отмерли), ASA - позиционируются в первую очередь как «многофункциональные устройства защиты», потом как концентраторы VPN, хотя NAT они умеют, но это не основная функция.

И? Может быть я говорил, что NAT - основная функция межсетевых экранов? Я говорил что это необходимая их функция. Так что же ты хотел сказать?

router ★★★★★
()
Ответ на: комментарий от Demacr

Одом по ccna

Чисто случайно у меня не оказалось под рукой этой книги, качаю с торрентов. Главу приблизительно не подскажешь?

router ★★★★★
()
Ответ на: комментарий от xscrew

Еще раз - прозрачная связность между хостами, когда один хост может напрямую обмениваться информацией с другим, прозрачная топология сети, без сокрытия чем-то третим - это то как все затевалось.

И этот Сетевой Идеал ( если он вообще есть, названную книгу качаю и буду смотреть ) идёт в разрез с вопросами безопасности

router ★★★★★
()
Ответ на: комментарий от xscrew

Но там где гостайна

Не одна гостайна тут замешана. В требованиях PCI DSS (а особенно в технических разъяснениях к каждому из пунктов) чётко про нат сказано. Так что спорить можно долго, а требования такие всё ж таки есть. И в довольно серьёзных сферах (PCI DSS — стандарт безопасности данных индустрии платёжных карт, разработанный Советом по стандартам безопасности индустрии платежных карт, учрежденным международными платёжными системами Visa, MasterCard, American Express, JCB и Discover). А без соблюдения этого лицензию не получишь.

sidor ★★
()
Ответ на: комментарий от mikhalich

Ты путаешь конкретный костыль конкретного времени с немного отстраненной идеей о том, что адреса можно транслировать. С какой целью - это другой вопрос. NAT хорош именно своей относительной железобетонностью - учитывая, какой швах в госорганах с кадрами - там вполне может быть некому писать корректные правила iptables. Это действительно важный критерий, вторая(или третья) ревизия закона о персоналке была связана именно со сложностью требуемых мер - их тупо реализовывали неправильно, потому что нет кадров.

Какой поток сознания... естественно не лишенный бреда, особенно про кадры в госконторах, про такой простой и с полпинка настраиваемый нат в противовес сложности написания правил iptables.

нат можно сертифицировать в составе другого ПО, вроде даже есть истории успеха. А файер - штука дорогая же.

Продолжение ерунды.

NAT хорош по соотношению «цена»(деньги,кадры,силы,сложность) и качество же.

И ее окончание.

xscrew ★★
()
Ответ на: комментарий от Demacr

Кстати да, в курсе CCNA английским по белому написано, что NAT используется для трансляции.

NAT - это и есть трансляция. Network address translation.

Как средство защиты на него лучше не надеяться и не использовать.

Смотря что с ним делать. Если все запросы извне/вовнутрь сети проходят NAT,

1) снаружи сети сложнее будет установить внутренние адреса хостов, топологию сети

2) подключиться извне внутрь сети по внешнему IP мягко говоря затруднено. Хотя бы потому что с него может ни один порт не пробрасываться на какой-нибудь сервис с возможностью логина в ОС.

router ★★★★★
()

Только что ж мой ноут на 3.7 раскаляется до 89гр.С за минуту, при том что на 3.5 вполне на уровне 50гр. держится...

angel_il ★★★★
()
Ответ на: комментарий от iZEN

В IPv6 «железобетонная стена» строится на сквозной PKI с IPSec, а не картонной стенкой NAT отгораживается от внешнего мира.

Способ пробить «картонную стену» будет?

router ★★★★★
()
Ответ на: комментарий от router

545 страница icnd2. Так и называется Network Address Translation.

Demacr ★★
()
Ответ на: комментарий от Valor

Это типа можно теперь подключив ойфончег к компу с линухом, фотать прямо с компа.. Как-то так короче.

Нет, запустив линукс на iPhone 5 раздавать с него интернеты.

AiFiLTr0 ★★★★★
()
Ответ на: комментарий от mkv1313

Что это?

Когда айфон работает как модем через шнурок.

tazhate ★★★★★
()

Главное новость свежей версии ядра, в IPv6 неожиданно для всех был найден NAT. Печально.

Longer
()
Ответ на: комментарий от router

Упс. Забыл написать «Как ОСНОВНОЕ средство защиты».

Demacr ★★
()
Ответ на: комментарий от router

Есть подозрение что понимаю.

Есть подозрение, что твое понимание - на уровне слышал, обтирался рядом с теми, кто понимает.

Очень рад. И это опровергает то, что безопасность внутри сети и на границе сети - две большие разницы?

Ну ты это, как-то юлишь чтоли. Тогда расскажи, к чему был опус про L3 коммутаторы (они то при чем?), про трудаминов и безопасность на бордерах? Причем как я пояснил - обычно под боредрами понимают устройства на границах AS... ты просто выдаешь набор слов и терминов из тематики сетевых технологий и вполне даже близко к теме - такие слова как L3, бордеры (хотя вот они не в тему), про пиксы и про асы... Делаешь вид что в теме, но на самом деле нет. Спроси любого сетивика на предмет прозрачности топологии сети и несокрытии хоста/хостов за третьей сущностью.

И? Может быть я говорил, что NAT - основная функция межсетевых экранов? Я говорил что это необходимая их функция. Так что же ты хотел сказать?

А почему необходимая? Давай соберем машинку, поставим на нее линукс, настроем на iptables фаервол, но не будем делать нат. Почти тажа аса получится, ибо и то и то софтварная коробка на линуксе. Межсетевой экран - вполне себе такой межсетевой экран.

P.S. можешь записать меня в «слил» и остаться довольным, но с тобой спорить мне более не интересно, увы.

xscrew ★★
()
Ответ на: комментарий от mikhalich

Понятно, то есть ничего ответить по существу ты не можешь? Ок.

Надо писать посуществу, тогда и будет что отвечать.

xscrew ★★
()

в CIFS добавлена поддержка SMB 2.0;

Вот это позитивно

m0rph ★★★★★
()

Пойду на кернелньюбс читать. Половину пунктов тут не понял. А ведь ещё недавно я думал, что я понимаю что к чему в ядре. PF: очень подробное описание изменений, но вызывает очень много вопросов о чём они. Впрочем, я знаю, что ты проигнорируешь мою критику.

Casus ★★★★★
()
Ответ на: комментарий от xscrew

Вообще-то получится обычный роутер с настроенными acl'ками.

Demacr ★★
()
Ответ на: комментарий от xscrew

Надо писать посуществу, тогда и будет что отвечать.

1) Требование к наличию трансляции адресов есть не только в рашке, но и в вышеуказанных документах по платежным системам. Ты думаешь, что с приходом IP6 трансляция оттуда уйдет? Требования трансляции связано именно с «сокрытием топологии сети».

2) НАТ - это простой способ спасти домохозяек с непатченными семерочками от китайский зеродейщиков. Возражения?

Начнем с этих двух пунктов.

mikhalich ★★
()
Последнее исправление: mikhalich (всего исправлений: 1)
Ответ на: комментарий от mikhalich

Нат не нужен, а все, кто считает, что он нужен, должны быть выпотрошены и подвешены на фонарных столбах. IMO.

anonymous
()
Ответ на: комментарий от mikhalich

Кстати, насчёт ната защищающего домохозяек. У нас в городе, если ты не хочешь подключать wi-fi, то тебе кабель втыкают прямо в сетевушку и дают белый статический или динамический айпишничек. Так что «домохозяйки» Пензы «оголены» по самое не балуй.

daemonpnz ★★★★★
()
Ответ на: комментарий от daemonpnz

то тебе кабель втыкают прямо в сетевушку и дают белый статический или динамический айпишничек

Ну дак торчит только одна машина, в идеале роутер, который и натит же. А в доме могут быть еще ноутбук и мобилки же. Так что еще не по самое, но достаточно.

mikhalich ★★
()
Последнее исправление: mikhalich (всего исправлений: 1)
Ответ на: комментарий от daemonpnz

Пора бы уже знать, что у каждой домохозяйки стоит пиратский Kaspersky Internet Security (за который заплачено как за лицензионный)

anonymous
()

добавлена поддержка NAT для IPv6;

Зачем?

в brcmfmac добавлена поддержка беспроводных чипов USB 43242 и 43143, а также мастер-режима для работы в качестве точки доступа;

А brcmsmac жив? Там ad-hoc или AP нет и не пилится?

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от mikhalich

Если у меня завод и 1000 сотрудников

Если у меня завод и 1000 сотрудников, мне что, ставить фаервол на каждый комп? да ещё и настраивать для разных отделов отдельные политики, когда надо, что-бы пользователи на торенты в аськи-шмаськи не лазали и со своими вирусами флешечными сидели тихо. Тут вроде как без ната и не обойтись.

anonymous
()
Ответ на: комментарий от xscrew

А почему необходимая?

Тут уже триста раз обмусолили этот вопрос: сокрытие структуры внутренней сети, чтоб усложнить атакующему жизнь. Для него не будет очевидно чей это ip: бугалтерской винды или сервера dmz зоны с базами и одинэсами.

zloelamo ★★★★
()
Ответ на: комментарий от GAMer

Фраза - сюр. «Базовая» это как?

Вращается - не вращается.

dn2010 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.