Ce jour, Linus Torvalds annonce la disponibilité de la version 5.5 du noyau du système d'exploitation Linux. Cette version s'accompagne de nouveautés et d'améliorations. Côté architecture, arm64 prend désormais en charge la fonctionnalité ftrace complète avec accès aux arguments de fonction. MIPS prend désormais en charge l'analyse de la couverture de code avec kcov, un support principal pour les stations de travail SGI Octane et Octane II alimentées par MIPS. L'appel système iopl() est maintenant émulé sur l'architecture x86 ; par conséquent, l'utilisation de iopl() ne peuvent plus désactiver ou activer les interruptions.En ce qui concerne le noyau, un certain nombre d'améliorations ont été apportées au sous-système io_uring, notamment la possibilité de modifier l'ensemble des fichiers sur lesquels on opère sans recommencer, les tailles de sonnerie de fin de session spécifiables par l'utilisateur, les délais d'expiration absolus et la prise en charge des appels accept(). Les programmes BPF invoqués à partir de points de trace sont désormais soumis à une vérification de type de leurs arguments de pointeur, éliminant toute une classe d'erreurs potentielles. La plupart du code de compatibilité ioctl() a été déployé dans les pilotes qui en ont besoin ; ce code devrait disparaître entièrement dans un avenir relativement proche.
Le nouveau pilote "hmem" permet au noyau d'utiliser la mémoire spéciale désignée par le micrologiciel du système. Cette mémoire est destinée à des applications spécifiques, telles que celles nécessitant une bande passante mémoire particulièrement élevée. Le pilote peut exporter cette mémoire en tant que périphérique, ou la mémoire peut être ajoutée au pool de mémoire système.
Le système de fichiers Btrfs prend en charge les algorithmes de somme de contrôle xxhash64, blake2b et sha256. L'implémentation Btrfs RAID1 peut désormais répliquer des données sur trois ou quatre périphériques (elle était auparavant limitée à deux). L'appel système statx() peut maintenant indiquer si un fichier donné est protégé avec fs-verity qui est un mécanisme dont le but est de rendre les fichiers individuels en lecture seule et de permettre au noyau de détecter toutes les modifications qui pourraient avoir été apportées, même si ces changements se produisent hors ligne.
Plusieurs supports matériels sont intégrés au noyau. Il existe désormais un nouveau mécanisme pour ajouter des noms alternatifs aux interfaces réseau, qui peuvent dorénavant avoir plusieurs noms ; les noms alternatifs peuvent également être plus longs que la limite précédente. Le sous-système de communication inter-processus transparent (TIPC) peut désormais prendre en charge le chiffrement et l'authentification de tous les messages. Toutefois, cette fonctionnalité n'est pas documentée. De nombreuses interfaces de cryptage Zinc nécessaires au réseau privé virtuel WireGuard ont été fusionnées. Cela devrait ouvrir la voie à la fusion de WireGuard lui-même dans un avenir relativement proche.
Rappelons que la version 5.4 du noyau Linux était sortie en novembre 2019. Dans le lot des nouveautés, nous avons un mode de verrouillage qui a été ajouté au noyau. Ce mode de verrouillage permet de renforcer la limite entre l’UID 0 (l’utilisateur root) et le noyau. Dans la pratique, lorsque vous activez ce mode de verrouillage, plusieurs fonctionnalités sont restreintes. Les applications qui reposent par exemple sur un accès de bas niveau au matériel ou au noyau peuvent ne plus fonctionner.
C’est pourquoi il faut l’utiliser avec beaucoup de précautions ou plutôt savoir ce que l’on fait en l’activant. À l’origine, cette fonctionnalité a été mise en œuvre afin de veiller au respect des protections anti-falsification que l’on souhaiterait en principe avoir dans un environnement de démarrage sécurisé. Mais il n’est pas seulement destiné à cela.
Le verrouillage du noyau est implémenté en tant que module de sécurité Linux pouvant être configuré en mode intégrité ou en mode verrouillage. S’il est configuré en mode intégrité, les fonctionnalités du noyau qui permettent à l’utilisateur de modifier le noyau en cours d’exécution sont désactivées. S’il est défini sur la confidentialité, alors les fonctionnalités du noyau permettant à l'utilisateur d'extraire des informations confidentielles du noyau sont également désactivées.
Sources : Linus Torvalds, LWN.net (1, 2)
Et vous ?
Que pensez-vous de la version 5.5 du noyau Linux ? Voir aussi
Linux (et l'open source) sera confronté à deux problèmes en 2020 selon Bryan Lunduke, un ancien membre du conseil d'administration d'openSUSE De nombreux systèmes militaires américains critiques pour la sécurité utilisent désormais Linux, un système d'exploitation qui répond au mieux aux exigences du gouvernement ? La base de code du noyau Linux compte plus de 3000 sections de commentaires TODO dont certaines datent de plus d'une décennie, de quoi conclure de sa mauvaise qualité ? À quel point l'ordonnanceur de Linux pose-t-il problème aux jeux ? Pour certains développeurs de jeux, l'ordonnanceur actuel de Linux n'est pas génial 
