Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Sortie de la version 5.4 du noyau Linux
Avec l'ajout d'un mode de verrouillage du noyau, d'une couche de sécurité pour détecter les modifications de fichiers et plusieurs autres améliorations

Le , par Olivier Famien

65PARTAGES

21  0 
La version 5.4 du noyau Linux vient de sortir. Comme pour les versions précédentes, plusieurs nouvelles fonctionnalités et améliorations ont été intégrées à cette nouvelle version de Linux. Dans le lot des nouveautés, nous avons un mode de verrouillage qui a été ajouté au noyau. Ce mode de verrouillage permet de renforcer la limite entre l’UID 0 (l’utilisateur root) et le noyau. Dans la pratique, lorsque vous activez ce mode de verrouillage, plusieurs fonctionnalités sont restreintes. Les applications qui reposent par exemple sur un accès de bas niveau au matériel ou au noyau peuvent ne plus fonctionner. C’est pourquoi il faut l’utiliser avec beaucoup de précautions ou plutôt savoir ce que l’on fait en l’activant. À l’origine, cette fonctionnalité a été mise en œuvre afin de veiller au respect des protections anti-falsification que l’on souhaiterait en principe avoir dans un environnement de démarrage sécurisé. Mais il n’est pas seulement destiné à cela.

En effet, il est bon de savoir que le verrouillage du noyau est implémenté en tant que module de sécurité Linux pouvant être configuré en mode intégrité ou en mode verrouillage. S’il est configuré en mode intégrité, les fonctionnalités du noyau qui permettent à l’utilisateur de modifier le noyau en cours d’exécution sont désactivées. S’il est défini sur la confidentialité, alors les fonctionnalités du noyau permettant à l'utilisateur d'extraire des informations confidentielles du noyau sont également désactivées. La configuration peut être effectuée au moment de l'exécution (via securityfs), au démarrage (via un paramètre de noyau) ou au moment de la construction (via une option kconfig).

Une autre nouvelle fonctionnalité mise en avant dans cette nouvelle itération du noyau Linux est virtio-fs, un pilote virtio basé sur FUSE pour le partage de systèmes de fichiers entre invité et hôte. Il permet en outre à un invité de monter un répertoire exporté sur l'hôte. Un des avantages de virtio-fs est qu’il tire parti de la proximité des machines virtuelles pour obtenir des performances d'API plus proches des systèmes de fichiers locaux.

Une autre fonctionnalité présente dans Linux 5.4 est fs-verity. fs-verity est une couche de support que les systèmes de fichiers peuvent utiliser pour détecter la falsification de fichiers, comme dm-verity. Toutefois, il fonctionne sur des fichiers plutôt que sur des périphériques en mode bloc. Actuellement, il est pris en charge par les systèmes de fichiers ext4 et f2fs.

Comme autre nouveauté, nous avons également dm-clone. dm-clone est une cible de mappeur de périphérique qui produit une copie un par un d'un périphérique source existant en lecture seule dans un périphérique de destination inscriptible. Dans les faits, elle présente un périphérique de bloc virtuel qui fait apparaitre toutes les données immédiatement, et redirige les lectures et les écritures en conséquence. Comme cas d’utilisation, l’on peut se servir de dm-clone pour cloner un périphérique bloc de type archivistique potentiellement distant, à latence élevée, en lecture seule dans un périphérique inscriptible, rapide, de type principal, permettant des E/S rapides à faible latence. Le périphérique cloné est visible/montable immédiatement et la copie du périphérique source sur le périphérique de destination s'effectue en arrière-plan en parallèle avec les E/S de l'utilisateur.


Pour les systèmes faisant recours au système de fichiers EROFS, il faut noter que cette version 5.4 déplace le système de fichiers hors de la staging area. Initialement inclus dans Linux 4.9, EROFS est un système de fichiers léger en lecture seule, de conception moderne, conçu pour les scénarios exigeant des performances élevées en lecture seule comme un micrologiciel dans un téléphone portable ou un Livecds. De même, le système de fichiers exFAT a été placé dans la staging area.

Nous avons également dans cette dernière version de Linux un nouveau pilote et gouverneur haltpoll cpuidle. Il améliore considérablement les performances des invités virtualisés souhaitant effectuer une interrogation au niveau de l'invité dans la boucle inactive.

À côté de ces améliorations, il faut ajouter la prise en charge de quatre nouveaux produits amdgpu dans le pilote amdgpu. Cette version comprend également les premiers éléments destinés à supporter le futur processeur graphique Intel Tiger Lake.

Plusieurs autres améliorations sont disponibles dans cette dernière version de Linux 5.4.

Source : Linux Kernel mailing list

Et vous ?

Avez-vous testé Linux 5.4 ? Qu’en pensez-vous ?

Avez-vous aimé ou détesté certaines fonctionnalités ? Quelles sont-elles ?

Voir aussi

Google découvre des centaines de situations de compétition dans le noyau Linux en se servant de KCSAN, son nouveau détecteur de courses critiques pour le noyau Linux
Un nouveau contrôleur de mémoire pour le noyau Linux promet des économies de mémoire significatives, notamment au niveau de la RAM, pour toutes les plateformes Linux
Personne, ni même Microsoft, ne peut prendre le contrôle à lui tout seul du projet Linux, a déclaré Linus Torvalds
La version 5.3 du noyau Linux est disponible avec la prise en charge des GPU AMD Navi et d'autres nouvelles fonctionnalités
Le noyau Linux 4.19 est disponible : Tour d'horizon des nouveautés qui accompagnent cette version LTS

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de LittleWhite
Responsable 2D/3D/Jeux https://www.developpez.com
Le 30/11/2019 à 10:50
Bonjour,

De même, le système de fichiers exFAT a été placé dans la staging area.
Ce qui fait donc suite à la libération du exFAT par Microsoft.
0  0