LINUX.ORG.RU

Вышло ядро Linux 3.7

 ,


0

2

После двух с небольшим месяцев разработки вышла новая версия ядра Linux 3.7.

В этом выпуске произведены такие изменения:

  • в файловых системах:
    • увеличена производительность btrfs в части кода, отвечающего за fsync;
    • для той же btrfs представлена поддержка технологии «hole punching», которая позволяет освобождать незанятое пространство внутри файла, что особенно ценно при работе с образами жёстких дисков виртуальных машин;
    • для ext4 добавлена поддержка изменения размера раздела больше 16 ТБ, причём эта операция теперь выполняется несколько быстрее, нежели ранее;
    • в JFS добавлена поддержка TRIM/discard;
    • в CIFS добавлена поддержка SMB 2.0;
    • NFSv4.1 больше не считается экспериментальной;
  • в подсистеме хранения данных:
    • код программной реализации RAID теперь поддерживает операцию «discard»;
    • добавлена возможность изменять тип кеширования для устройств ATA через sysfs;
    • в подсистему libata добавлена поддержка т.н. «агрессивной спячки» для устройств SATA (согласно спецификации AHCI 1.3.1);
    • добавлена поддержка команды «WRITE SAME», что позволяет передавать пакеты данных один раз, а потом записывать их во все указанные блоки I/O, т.е., например, быстрее инициализировать массивы RAID;
    • Virtio-Scsi теперь поддерживает изменение размера устройств хранения данных;
  • в сетевой подсистеме:
    • добавлена поддержка NAT для IPv6;
    • реализована поддержка TCP Fast Open на серверной стороне (клиентский код был добавлен в версии ядра 3.6);
    • протокол GRE теперь может туннелировать другие протоколы поверх IPv6;
    • добавлена поддержка протокола туннелирования VXLAN;
  • в инфраструктуре:
    • добавлена поддержка архитектуры ARMv8 AArch64;
    • расширен спектр 32-битных платформ ARM, для которых возможно создание единого образа ядра;
    • для процессоров ARM Cortex-A15 добавлена поддержка аппаратной виртуализации с помощью Xen;
    • добавлена поддержка подписывания загружаемых модулей и проверки их подписи;
    • добавлено расширение для оценки целостности в рамках IMA, которое используется для определения нежелательного изменения бинарных файлов;
    • ядро теперь может загружать файлы прошивок без помощи udev;
    • значительно улучшена поддержка пространств имён (namespaces);
    • добавлена поддержка расширенных атрибутов в файловой системе cgroup;
    • расширение безопасности YAMA теперь может использоваться вместе с остальными аналогичными подсистемами;
    • добавлена поддержка SMAP, функции предотвращения доступа в режим супервизора, которая будет представлена в процессорах Intel Haswell;
    • значительно переработана подсистема RCU;
    • началось разделение заголовочных файлов на используемые ядром и используемые программами пространства пользователя;
    • рабочие очереди (workqueues) теперь нереэнтерабельны (non-reentrant) по умолчанию, что означает, что один и тот же код больше не исполняется на всех процессорах одновременно;
    • в ядре появилась базовая реализация хеш-таблиц, призванная заменить аналогичные разрозненные реализации в различных подсистемах ядра;
    • улучшена подсистема perf;
    • переписана реализация кластерной ОЗУ Ramster;
    • подсистема ввода теперь может работать более чем с 32 устройствами;
    • оптимизированы по скорости криптографические алгоритмы;
  • в драйверах:
    • значительно улучшен Nouveau; например, проведена реструктуризация кода с целью дальнейшего внедрения поддержки SLI, а для чипов NV40 и NV50 добавлена базовая поддержка управления вращением кулера;
    • в коде i915 значительно улучшена поддержка выходов на дисплеи;
    • через sysfs теперь можно задавать верхнее ограничение частоты графического процессора, что будет полезным для ещё не вышедших чипов Haswell и ValleyView;
    • изменения в драйвере Radeon теперь позволяют новым чипам управлять несколькими мониторами через одну петлю ФАПЧ, а также уменьшают энергопотребление;
    • добавлена поддержка регулировки яркости на многих ноутбуках с чипами AMD;
    • для популярных звуковых чипов HD добавлена поддержка механизма энергосбережения во время работы;
    • улучшена поддержка многоканального звука;
    • добавлен новый API для устройств DVB, подключаемых через USB, а также расширен спектр поддерживаемых устройств DVB;
    • версия ALSA больше не экспортируется через /proc;
    • добавлена поддержка SoC BCM2835, используемого в Raspberry Pi;
    • добавлена поддержка звукового чипа C-Media CMI8328;
    • добавлена поддержка tethering для iPhone 5;
    • в ath9k добавлена поддержка чипов AR9565;
    • в brcmfmac добавлена поддержка беспроводных чипов USB 43242 и 43143, а также мастер-режима для работы в качестве точки доступа;
    • в qla4xxx добавлена поддержка Qlogic 8032 (ISP83XX).

Конечно же, в новое ядро привнесены и другие новшества, которые, к сожалению, в рамках формата новости сложно описать. Рекомендуется обратиться к таким первоисточникам: ноль, раз, два, три, четыре, пять, шесть, а также к журналу коммитов ядра и статьям на Kernel Newbies: раз, два.

Скачать полный тарболл с исходниками

Скачать патч на ядро 3.6

>>> Подробности

★★★★★

Проверено: JB ()
Последнее исправление: post-factum (всего исправлений: 6)
Ответ на: комментарий от mikhalich

там вполне может быть некому писать корректные правила iptables.

Две строчки нужно написать.

Ttt ☆☆☆☆☆
()
Ответ на: комментарий от zloelamo

или сервера dmz зоны с базами и одинэсами.

Я конечно извиняюсь, но DMZ - это территория между интернетом и «чисто внутренними» сетями, не имеющими прямого доступа в или из интернета. Для неё характерны повышенный уровень безопасности и пониженное доверие ( т.к. есть доступ в или из интернета и не исключена компрометация ). Разве БД и 1С ставят в DMZ ?

router ★★★★★
()
Ответ на: комментарий от xscrew

про такой простой и с полпинка настраиваемый нат

с этим справляется коробочка D-Link за 40 баксов, и реально с пол-пинка.

Komintern ★★★★★
()
Ответ на: комментарий от xscrew

Во первых - NAT костыль, потому что нарушается основной принцип - прозрачная связность между хостами. Но костыль вынужденный в реалиях ipv4.
Во вторых - безопасность - это statefull firewall. А NAT все таки костыль.

Как работник провайдера , NAT это катастрофа.Тупо всякие недо DDOS protection решения блочат сайты всяким натовским товарищам .

pinachet ★★★★★
()
Ответ на: комментарий от Komintern

Коробочка DL-524 сносно справляется с функцией firewall. Не для промышленного применения конечно, но это простительно для кробочки, которая слишком слаба даже для того, чтобы на ней linux запускать.

anonymous
()
Ответ на: комментарий от router

Я конечно извиняюсь

Вы прощены, сударь.

DMZ - это территория между интернетом и «чисто внутренними» сетями

Нет, dmz, это технология отсечения некого сегмента сети любого назначения (которая называется, в данном контексте «внутренеей»), от других сегментов (которые называются «внешние»). Поэтому интернет и, скажем, почтовый кластер, это частный случай.

Суть в том, что традионно, вместе с защитой файрволом, делают маскирование внутренней сети. Например внутренняя сеть может иметь сотни вланов, тысячи серверов и сложную структуру, но наружу она отдается как плоская сеть в которой ip выделяются под ряд. Таким образом человек обращающийся к ip a.b.c.d и знающий что-то о нем, не может сделать предположения, о ip a.b.c.d+1.

zloelamo ★★★★
()
Ответ на: комментарий от router

Еще раз - прозрачная связность между хостами, когда один хост может напрямую обмениваться информацией с другим, прозрачная топология сети, без сокрытия чем-то третим - это то как все затевалось.

И этот Сетевой Идеал ( если он вообще есть, названную книгу качаю и буду смотреть ) идёт в разрез с вопросами безопасности

угу, когда все затевалось, для укуренных студентов мир представлялся идеальным, без каких-то там преступлений, а сейчас - любой прямой адрес - это поле битвы. и уже не важно как и зачем задумывался нат, потому что побочный его эффект оказался очень простым и удобным средством для обеспечения безопасности.

prizident ★★★★★
()

добавлена поддержка NAT для IPv6

Чёрт, печально. Надеюсь, провайдеры не будут злоупотреблять.

wasd
()
Ответ на: комментарий от wasd

Чёрт, печально. Надеюсь, провайдеры не будут злоупотреблять.

Им это не выгодно: NAT не так уже дешев в плане расхода памяти и процессорного времени. Да и другие эффекты наблюдаются. Поэтому «домашние» провайдеры так делать не будут.

zloelamo ★★★★
()

С гостайной вообще всё просто. Ни дай бог найдут на компах, не предназначенных для работы с гостайной, что-то похожее на гос тайну, горя не оберёшься. И никакого выхода в интернет для компов, предназначенных для работы с гостайной.

Usch
()

Офигеть как быстро время летит , у меня ещё 3.0.44 стоит =)))

gBopHuk
()
Ответ на: комментарий от mikhalich

Тоже посты до конца не читаешь?
«связи с общедоступными сетями нет физически»

Satou ★★★★
()
Ответ на: комментарий от wasd

добавлена поддержка NAT для IPv6

добавлена поддержка NAT для IPv6

Чёрт, печально. Надеюсь, провайдеры не будут злоупотреблять.

Тут такое ощущение что даже работники провайдеров NAT используют исключительно для трансляции адресов локальной сетки и про размерность сетей IPv6 вообще никакого понятия не имеют. Фишка нужная, например для закрытия доступа на хот-спотах и перенаправления юзера на страницу авторизации. Не надо однобоко воспринимать NAT, только как средство, для которого вы его обычно используете. Есть вокруг вас люди, использующие его фишки во благо.

А натить IPv6 в IPv6 - полная тупость, потому что кол-во адресов, выдаваемое каждому провайдеру способно покрыть потребности всех жителей планеты с их домашними животными.

RAS
()
Ответ на: комментарий от f1xmAn

работают на чистом энтузиазме

Это миф. Разработчики ядра работают в больший корпорациях и за разработку получают зарплату.

Reset ★★★★★
()
Ответ на: комментарий от wasd

Чёрт, печально. Надеюсь, провайдеры не будут злоупотреблять.

Меньше /64 выдавать не могут. Но все-равно, /64 - это всего лишь одна подсеть. Хомякам рекомендуют выдавать /56.

Никто не будет делать NAT между ULA и остальным адресным пространством: глупее вещи придумать сложно (хотя, никто не запрещает пробовать). А вот ради утилитарных целей типа ОИБ и отказоустойчивости NAT применять можно.

На практике, в эпоху IPv6 на сетевом интерфейсе сферического компа в вакууме будет ажно 3 IP. Понятно, что биндиться к ::/128 всем без исключения будет неправильно, а в особо тяжелых случаях - фатально.

Вся нагрузка по проверке того кто, что, и куда может биндиться ляжет на операционную систему.

Ясен пень, что компы с внешним миром будут общаться через stateful файрвол, которому ничто не мешает менять TTL, а в особо запущенных случаях и резать ICMP (скрывать струкуру сети, т.е.).

Macil ★★★★★
()
Ответ на: комментарий от mikhalich

А если сказать, что могут быть сети несколько ограниченного доступа - может удар хватить!

Месье работал с гостайной?

Jaga ★★★
()
Ответ на: комментарий от mikhalich

Влажные фантазии о мире, где от устройства А до устройства Б есть прямой путь пусть остаются фантазиями - а то один удаленный 0day и вычисленные диапазоны машин и армия ботов появится просто из ниоткуда.

Интересно, и как живут крупные корпорации с белыми адресами, где белый ipv4 (!) есть на каждой кофеварке в офисе? И никаких ботнетов что-то нет. Может лучше не позориться и не выставлять себя некомпетентным локалхостником ?

Reset ★★★★★
()
Ответ на: комментарий от Reset

Интересно, и как живут крупные корпорации с белыми адресами, где белый ipv4

Ну зачем же ты так? Теперь у товарища будет разрыв шаблона.

Macil ★★★★★
()
Ответ на: комментарий от Macil

а в особо запущенных случаях и резать ICMP (скрывать струкуру сети, т.е.).

Только этим структуру не скроешь, без участия NAT. Многое можно будет понять просто по ip, так как вся прелесть ipv6 в прямом отображении локальной структуры в ip адреса, насколько я понимаю.

zloelamo ★★★★
()
Ответ на: комментарий от Reset

И никаких ботнетов что-то нет

А ДДОСы у нас исусом христом выполняются, ок. И шеллы забугорные путеным подарены.

mikhalich ★★
()
Ответ на: комментарий от zloelamo

прямом отображении локальной структуры в ip адреса, насколько я понимаю.

Давай определимся. Есть контора, получившая /48. Это 65535 подсетей. В качестве номера интерфейса присваиваем 64-битное случайное число. Файрвол корректирует TTL, файрвол режет ICMP. Файрволл, ессно, stateful.

Что именно мы можем узнать о конторе?

Macil ★★★★★
()

Интересно, насколько улучшен Nouveau.

Как минимум, драйвер в два раза тормознее блоба. Я про 2D.

jackill ★★★★★
()
Ответ на: комментарий от Reset

Может лучше не позориться и не выставлять себя некомпетентным локалхостником ?

А может лучше поглядеть статистику подключений к внешним машинам и разглядеть там каких-нибудь совершенно левых китайцев, пытающихся подключиться с заведомо неверным паролем?

mikhalich ★★
()
Ответ на: комментарий от xscrew

Да да.. быдло-админы теперь получили возможность строить просто охренительные сети. Представляю, 2020 год, диалог:

«Создай сервер я подключусь»

«Не могу, у меня NAT».

rezedent12 ☆☆☆
()
Ответ на: комментарий от Jaga

Наличие гостайны отменяет интернет.

С этим спору нет. Просто госконторы имеют привычку пилить для себя свою сетку, внутри которой считают друг друга формально довеременными пунктами. Но у многих департаментов в такой сети может быть пунктик насчет нарушителя из соседнего департамента - и могут попытаться скрыть свою сетку даже от доверенных департаментов, оставив торчать только то, что им нужно. Ставить файер на внутреннюю сетку - мощновато, а вот использовать на узле НАТ - вполне нормальное решение.

mikhalich ★★
()
Последнее исправление: mikhalich (всего исправлений: 1)
Ответ на: Если у меня завод и 1000 сотрудников от anonymous

лазали и со своими вирусами флешечными сидели тихо

Если вирус уже на флешке, то никакой NAT не поможет.

да ещё и настраивать для разных отделов отдельные политики

Тут довольно просто, каждому ПК выдаём адреса по MAC, после шлюзе настраиваем различную фильтрацию для разных диапазонов.

rezedent12 ☆☆☆
()
Ответ на: комментарий от wasd

Чёрт, печально. Надеюсь, провайдеры не будут злоупотреблять.

Обязательно, пол города будут иметь один общий IPv6 адрес.

rezedent12 ☆☆☆
()
Ответ на: комментарий от mikhalich

А может лучше поглядеть статистику подключений к внешним машинам и разглядеть там каких-нибудь совершенно левых китайцев, пытающихся подключиться с заведомо неверным паролем?

Что такое «внешняя машина»? Мой рабочий ноутбук с виндой имеет белый ip, никаких китайцев нет, что я делаю не так?

Reset ★★★★★
()
Ответ на: комментарий от Macil

Если у нас есть два ip (тупо берем из DNS) мы можем предположить находятся ли они в одной подсети, что частенько означает выполняют сходную функцию и используют сходный софт, а это не так уж мало.

Ещё интерестнее найти два ip выполняющих сходную функцию, но в разных подсетях, или даже цодах, что означает, при наличии уязвимостей, возможность влезть уже в два сегмента.

А совсем круто найти в одном сегменте с целевым сервером уязвимый хост, с которого дальше развивать наступление.

Знание - это сила. Конечно нужны не малые скилы, чтоб проломится в хорошо администрируемую сеть, но это не значит, что это невозможно.

zloelamo ★★★★
()

которая позволяет освобождать незанятое пространство внутри файла

Новый, недосягаемый ранее уровень фрагментации.

dm1024 ★★★
()
Ответ на: комментарий от Macil

Ещё можно резать открытие TCP-сессии извне, т.е. только внутренние машины могут их открывать. Тоже не пошарить внутренности.

Demacr ★★
()
Ответ на: комментарий от xscrew

Швабода, равенство, братство (Liberté, Égalité, Fraternité) — девиз Великой французской революции ;)

anonymous
()
Ответ на: комментарий от zloelamo

Если у нас есть два ip (тупо берем из DNS)

Зачем нам машины, которые не должны быть доступны извне помещать в DNS?

при наличии уязвимостей

NAT от эксплуатации уязвимостей не спасает.

Знание - это сила

NAT не убирает отпечатки OS, т.е. все-равно мы можем обнаружить разные машины и за NAT.

Macil ★★★★★
()
Ответ на: комментарий от Reset

Интересно, и как живут крупные корпорации с белыми адресами, где белый ipv4 (!) есть на каждой кофеварке в офисе? И никаких ботнетов что-то нет. Может лучше не позориться и не выставлять себя некомпетентным локалхостником ?

Так и где же обитают непуганые корпорации?

router ★★★★★
()
Ответ на: комментарий от YAR

Интерфейс прекрасно видит линк, поднимается, настраивается, но почти сразу же прекращает получать входящие пакеты.

Пример:
1) Загружаюсь в recovery mode, поднимаю сеть, ping до роутера идёт.
2) telinit 4, графический логин, сети уже нет.
3) Перезагружаюсь с дистрибутивным 3.2.22, сеть работает всегда и везде.

Началось это ещё в районе последних 3.5.

AITap ★★★★★
()
Последнее исправление: AITap (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.