LINUX.ORG.RU

Вышло ядро Linux 3.7

 ,


0

2

После двух с небольшим месяцев разработки вышла новая версия ядра Linux 3.7.

В этом выпуске произведены такие изменения:

  • в файловых системах:
    • увеличена производительность btrfs в части кода, отвечающего за fsync;
    • для той же btrfs представлена поддержка технологии «hole punching», которая позволяет освобождать незанятое пространство внутри файла, что особенно ценно при работе с образами жёстких дисков виртуальных машин;
    • для ext4 добавлена поддержка изменения размера раздела больше 16 ТБ, причём эта операция теперь выполняется несколько быстрее, нежели ранее;
    • в JFS добавлена поддержка TRIM/discard;
    • в CIFS добавлена поддержка SMB 2.0;
    • NFSv4.1 больше не считается экспериментальной;
  • в подсистеме хранения данных:
    • код программной реализации RAID теперь поддерживает операцию «discard»;
    • добавлена возможность изменять тип кеширования для устройств ATA через sysfs;
    • в подсистему libata добавлена поддержка т.н. «агрессивной спячки» для устройств SATA (согласно спецификации AHCI 1.3.1);
    • добавлена поддержка команды «WRITE SAME», что позволяет передавать пакеты данных один раз, а потом записывать их во все указанные блоки I/O, т.е., например, быстрее инициализировать массивы RAID;
    • Virtio-Scsi теперь поддерживает изменение размера устройств хранения данных;
  • в сетевой подсистеме:
    • добавлена поддержка NAT для IPv6;
    • реализована поддержка TCP Fast Open на серверной стороне (клиентский код был добавлен в версии ядра 3.6);
    • протокол GRE теперь может туннелировать другие протоколы поверх IPv6;
    • добавлена поддержка протокола туннелирования VXLAN;
  • в инфраструктуре:
    • добавлена поддержка архитектуры ARMv8 AArch64;
    • расширен спектр 32-битных платформ ARM, для которых возможно создание единого образа ядра;
    • для процессоров ARM Cortex-A15 добавлена поддержка аппаратной виртуализации с помощью Xen;
    • добавлена поддержка подписывания загружаемых модулей и проверки их подписи;
    • добавлено расширение для оценки целостности в рамках IMA, которое используется для определения нежелательного изменения бинарных файлов;
    • ядро теперь может загружать файлы прошивок без помощи udev;
    • значительно улучшена поддержка пространств имён (namespaces);
    • добавлена поддержка расширенных атрибутов в файловой системе cgroup;
    • расширение безопасности YAMA теперь может использоваться вместе с остальными аналогичными подсистемами;
    • добавлена поддержка SMAP, функции предотвращения доступа в режим супервизора, которая будет представлена в процессорах Intel Haswell;
    • значительно переработана подсистема RCU;
    • началось разделение заголовочных файлов на используемые ядром и используемые программами пространства пользователя;
    • рабочие очереди (workqueues) теперь нереэнтерабельны (non-reentrant) по умолчанию, что означает, что один и тот же код больше не исполняется на всех процессорах одновременно;
    • в ядре появилась базовая реализация хеш-таблиц, призванная заменить аналогичные разрозненные реализации в различных подсистемах ядра;
    • улучшена подсистема perf;
    • переписана реализация кластерной ОЗУ Ramster;
    • подсистема ввода теперь может работать более чем с 32 устройствами;
    • оптимизированы по скорости криптографические алгоритмы;
  • в драйверах:
    • значительно улучшен Nouveau; например, проведена реструктуризация кода с целью дальнейшего внедрения поддержки SLI, а для чипов NV40 и NV50 добавлена базовая поддержка управления вращением кулера;
    • в коде i915 значительно улучшена поддержка выходов на дисплеи;
    • через sysfs теперь можно задавать верхнее ограничение частоты графического процессора, что будет полезным для ещё не вышедших чипов Haswell и ValleyView;
    • изменения в драйвере Radeon теперь позволяют новым чипам управлять несколькими мониторами через одну петлю ФАПЧ, а также уменьшают энергопотребление;
    • добавлена поддержка регулировки яркости на многих ноутбуках с чипами AMD;
    • для популярных звуковых чипов HD добавлена поддержка механизма энергосбережения во время работы;
    • улучшена поддержка многоканального звука;
    • добавлен новый API для устройств DVB, подключаемых через USB, а также расширен спектр поддерживаемых устройств DVB;
    • версия ALSA больше не экспортируется через /proc;
    • добавлена поддержка SoC BCM2835, используемого в Raspberry Pi;
    • добавлена поддержка звукового чипа C-Media CMI8328;
    • добавлена поддержка tethering для iPhone 5;
    • в ath9k добавлена поддержка чипов AR9565;
    • в brcmfmac добавлена поддержка беспроводных чипов USB 43242 и 43143, а также мастер-режима для работы в качестве точки доступа;
    • в qla4xxx добавлена поддержка Qlogic 8032 (ISP83XX).

Конечно же, в новое ядро привнесены и другие новшества, которые, к сожалению, в рамках формата новости сложно описать. Рекомендуется обратиться к таким первоисточникам: ноль, раз, два, три, четыре, пять, шесть, а также к журналу коммитов ядра и статьям на Kernel Newbies: раз, два.

Скачать полный тарболл с исходниками

Скачать патч на ядро 3.6

>>> Подробности

★★★★★

Проверено: JB ()
Последнее исправление: post-factum (всего исправлений: 6)

код программной реализации RAID теперь поддерживает операцию «discard»;

Это надо жирным сделать :)

tazhate ★★★★★
()
Ответ на: комментарий от post-factum

Ты это у себя в продакшн запускаешь?

Сначала тесты с месяц под нагрузкой, потом пущу :)

tazhate ★★★★★
()

версия ALSA больше не экспортируется через /proc;

добавлена поддержка тезеринга для iPhone 5;

ну все, теперь точно готов для десктопа

JB ★★★★★
()

добавлена поддержка NAT для IPv6;

Это здорово. А то как дураки сидели без nat'а, неинтырпрайзненько.

Кроме шуток отлично, осталось протестировать и можно внедрять ipv6.

router ★★★★★
()
Ответ на: комментарий от tazhate

код программной реализации RAID теперь поддерживает операцию «discard»;

Это надо жирным сделать :)

Я так понял, это для кэширования на ssd в software raid? flashcache по-прежнему нужен, или теперь всё есть в ядре?

router ★★★★★
()

добавлена поддержка тезеринга для iPhone 5;

Что это?

добавлена поддержка регулировки яркости на многих ноутбуках с чипами AMD;

Теперь когда влючаю ноут не придется яркость повышать? Пробовал кто то?

mkv1313
()
Ответ на: комментарий от router

Это не костыль, а безопасность.

Мнение админа не локалхоста или накрайняк не бухгалтера?

Во первых - NAT костыль, потому что нарушается основной принцип - прозрачная связность между хостами. Но костыль вынужденный в реалиях ipv4.

Во вторых - безопасность - это statefull firewall. А NAT все таки костыль.

xscrew ★★
()
Ответ на: комментарий от mkv1313

Что это?

Это типа можно теперь подключив ойфончег к компу с линухом, фотать прямо с компа.. Как-то так короче.

Valor
()
Ответ на: комментарий от xscrew

Плюсую вопрос. На работе оставил NAT в ipv4 только на выходе в интернет(а не как некоторые врубают его на любом interal gateway). Было бы больше белых адресов(хотя бы еще тысяча) - вообще бы отказался от NAT-а

Pinkbyte ★★★★★
()
Ответ на: комментарий от router

NAT
безопасность

никак не связаны. firewall - это безопасность а NAT -сознательное нарушение логической структуры сети в условиях жесткой экономии белых ip.

Pinkbyte ★★★★★
()
Ответ на: комментарий от xscrew

NAT костыль, потому что нарушается основной принцип - прозрачная связность между хостами

А почитай требования к безопасному софту, государственные - NAT нужен для сокрытия внутренней структуры сети. Без NAT хрен кто разрешит поделке работать с сетью там, где пахнет, например, гостайной

mikhalich ★★
()
Ответ на: комментарий от mikhalich

нашего государства требования? Не удивительно - использовать микроскоп для забивания гвоздей

Pinkbyte ★★★★★
()
Ответ на: комментарий от mikhalich

А почитай требования к безопасному софту, государственные - NAT нужен для сокрытия внутренней структуры сети. Без NAT хрен кто разрешит поделке работать с сетью там, где пахнет, например, гостайной

Извращаться то можно как угодно, кто же запрещает, только правильно ли это? Но там где гостайна - обчно поделки, документы и прочее вообще в сети без внешней связности.

xscrew ★★
()
Ответ на: комментарий от xscrew

Мнение админа не локалхоста или накрайняк не бухгалтера?

Увы, не локалхоста и не бухгалтера.

Во первых - NAT костыль, потому что нарушается основной принцип - прозрачная связность между хостами.

Принцип «Швабода, равенство, братство»? Кем и когда постулирован этот принцип?

Во вторых - безопасность - это statefull firewall.

И то, и другое. Задача - ограничение потоков данных в соответствии с действующей политикой безопасности, а что применять для её решения - зависит от точной формулировки задачи и квалификации исполнителей.

Поясню. statefull firewall - большой и длинный набор правил, и отсутствие в нём ошибок никто не гарантирует. Да, существуют методы проверки, и тем не менее. NAT наружу и явный запрет всего что не разрешено внутрь - железобетонная стена, котую в лоб не прошибёшь.

router ★★★★★
()
Ответ на: комментарий от xscrew

Но там где гостайна - обчно поделки, документы и прочее вообще в сети без внешней связности.

Дык сети бывают еще и внутренние - и там тоже, внутри одной сети вполне себе ставят средства защиты - чтобы компрометация одного узла не вынесла сеть всего города, например.

mikhalich ★★
()
Ответ на: комментарий от mikhalich

Без NAT хрен кто разрешит поделке работать с сетью там, где пахнет, например, гостайной

Хрень какая-то. Для сокрытия структуры сети применяют VPN, где и шифрование есть и прочие плюшки.

unanimous ★★★★★
()
Ответ на: комментарий от unanimous

Хрень какая-то.

Во многих «половинчатых» классах (когда еще не страшная тайна, но потерять уже не хотелось бы) требование трансляции адресов есть, и вполне конкретное. я несколько неточно все таки выразился выше.

mikhalich ★★
()
Ответ на: комментарий от router

Увы, не локалхоста и не бухгалтера.

Товарищ, ты выглядишь не в лучшем свете.

Принцип «Швабода, равенство, братство»? Кем и когда постулирован этот принцип?

Почитай ммм... да наверное любую книжечку про сети.

И то, и другое. Задача - ограничение потоков данных в соответствии с действующей политикой безопасности, а что применять для её решения - зависит от точной формулировки задачи и квалификации исполнителей.

Сколько слов то умных, а по сути бла-бла-бла.

Поясню. statefull firewall - большой и длинный набор правил, и отсутствие в нём ошибок никто не гарантирует. Да, существуют методы проверки, и тем не менее. NAT наружу и явный запрет всего что не разрешено внутрь - железобетонная стена, котую в лоб не прошибёшь.

Да, сделать что-то вида deny ip from any to any, а потом уже придумывать разрешающие правила - невыносимо несекурно, лучше NAT навернуть.

xscrew ★★
()
Последнее исправление: xscrew (всего исправлений: 1)
Ответ на: комментарий от unanimous

Для сокрытия структуры сети применяют VPN, где и шифрование есть и прочие плюшки

Это если ты гостайну планируешь по этой сети гонять, тогда без вариантов. А если у тебя выход в другие сети является нужной плюшкой, но не состыкован с информацией ограниченного доступа напрямую - то впн не потребуют.

mikhalich ★★
()
Ответ на: комментарий от router

За безопасность отвечает фаервол, а NAT только дает иллюзию безопасности. Ну, так нас в детском садике учили...

anonymous
()
Ответ на: комментарий от mikhalich

Дык сети бывают еще и внутренние - и там тоже, внутри одной сети вполне себе ставят средства защиты - чтобы компрометация одного узла не вынесла сеть всего города, например.

Вроде бы слова правильные, а собрать не могу.

xscrew ★★
()
Ответ на: комментарий от anonymous

а NAT только дает иллюзию безопасности

Для многих задач уровня NAT достаточно, учитывая стоимость СЗИ - это правильно.

mikhalich ★★
()
Ответ на: комментарий от Pinkbyte

Было бы больше белых адресов(хотя бы еще тысяча) - вообще бы отказался от NAT-а

А в чём смысл, если не секрет? Ну, то есть, я понимаю, в чём может быть смысл для пользователей. Но админу сети-то это зачем?

Axon ★★★★★
()
Ответ на: комментарий от xscrew

Вроде бы слова правильные, а собрать не могу.

Тот факт, что сеть не является общедоступной, не отменяет необходимости наличия минимальных средств защиты. NAT прокатывает зачастую как «минимальное» - когда VPN городить излишне, но «заходи-играйся» уже не срабатывает.

mikhalich ★★
()
Ответ на: комментарий от mikhalich

Для многих задач уровня NAT достаточно

еще раз NAT костыль, специально придуманный в реалиях нехватки ipv4 адресов.

учитывая стоимость СЗИ - это правильно

нужно больше аббревиатур, чтобы выглядело кручее. ну и да - что там по стоимости нат и фаерволл?

xscrew ★★
()
Ответ на: комментарий от xscrew

Почитай ммм... да наверное любую книжечку про сети.

Автора любой книги в студию. И страницу, на которой это сказано

router ★★★★★
()

бгг, систему сборки так и не починили. неужели фичу с внешним конфигом использую только я?

arsi ★★★★★
()
Ответ на: комментарий от mikhalich

Тот факт, что сеть не является общедоступной, не отменяет необходимости наличия минимальных средств защиты. NAT прокатывает зачастую как «минимальное» - когда VPN городить излишне, но «заходи-играйся» уже не срабатывает.

А, так nat не из-за необходимости трансляции адресов, а _чисто для безопасности_?

Так это вообще клиника. Но сдается мне - это все просто твои выдумки.

xscrew ★★
()
Ответ на: комментарий от xscrew

Да, сделать что-то вида deny ip from any to any, а потом уже придумывать разрешающие правила - невыносимо несекурно, лучше NAT навернуть.

Конечно, ТруЪ админы строят безопасность сети на l3 коммутаторах, а граничные устройства ( border'ы. У кошек это PIX'ы, ASA'ы ) придумали жалкие позеры.

router ★★★★★
()
Ответ на: комментарий от xscrew

ну и да - что там по стоимости нат и фаерволл?

сертифицированный файер - это круглая такая сумма, ты не знал?

специально придуманный в реалиях нехватки ipv4 адресов.

Линуксы и ГНУ тоже костыль, придуманный исключительно из-за воображаемой неправославности некоторых вещей, ок. По барабану чем он там был, имхо.

mikhalich ★★
()
Ответ на: комментарий от router

Автора любой книги в студию. И страницу, на которой это сказано

По-моему это сказано где-то в самом начале книжки по ccna, толи еще какой-то. Я уже не честно говоря вообще не помню.

Но тот факт, что ты оспариваешь этот постулат о многом говорит.

xscrew ★★
()
Ответ на: комментарий от anonymous

За безопасность отвечает фаервол, а NAT только дает иллюзию безопасности. Ну, так нас в детском садике учили...

NAT без файрвола конечно бесполезен, не спорю

router ★★★★★
()
Ответ на: комментарий от xscrew

По-моему это сказано где-то в самом начале книжки по ccna, толи еще какой-то.

Ты меня сейчас @#$%^ послал или пытаешься увильнуть? Автора, автора.

router ★★★★★
()
Ответ на: комментарий от router

Конечно, ТруЪ админы строят безопасность сети на l3 коммутаторах, а граничные устройства ( border'ы. У кошек это PIX'ы, ASA'ы ) придумали жалкие позеры.

Ты вообще понимаешь что ты пишешь? Во первых я привел строчку фаерволла ipfw. Во вторых - в общепринятой терминологии бородеры - это пограничные маршрутизаторы. В третих - PIX (уже отмерли), ASA - позиционируются в первую очередь как «многофункциональные устройства защиты», потом как концентраторы VPN, хотя NAT они умеют, но это не основная функция.

xscrew ★★
()
Ответ на: комментарий от router

Ты меня сейчас @#$%^ послал или пытаешься увильнуть? Автора, автора.

Я серьезно не помню в какой, в добавок я на работе и литературы у меня никакой под рукой нет. Но все таки по-моему руководство по подготовке к сертификации ccna, или icnd1 - говорю не помню точно.

Еще раз - прозрачная связность между хостами, когда один хост может напрямую обмениваться информацией с другим, прозрачная топология сети, без сокрытия чем-то третим - это то как все затевалось.

xscrew ★★
()
Ответ на: комментарий от router

Кстати да, в курсе CCNA английским по белому написано, что NAT используется для трансляции. Как средство защиты на него лучше не надеяться и не использовать.

Demacr ★★
()
Ответ на: комментарий от mikhalich

сертифицированный файер - это круглая такая сумма, ты не знал?

А сертифицированный NAT? Его что, сертифицировать не надо?!

:-D

xscrew ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.