Der Linux-Kernel 4.0 ist erschienen. Die größte Neuerung dürfte die Fähigkeit zum Kernel Live Patching sein.
Linus Torvalds hat den den neuen Linux-Kernel freigegeben. Mit der neuen Versionsnummer folgt Linus Torvalds seinem 2011 formulierten Plan, die Kernelnummern künftig zu kürzen – trotz Bedenken aus der Community. Bei seiner Umfrage auf Google Plus habe es für die 4.0 eine knappe Stimmenmehrheit von 56 zu 44 Prozent bei rund 30000 Teilnehmern gegeben, erklärte Torvalds seinen Mitstreitern auf der Mailingliste.
Live-Patching
Der Kernel 4.0 bringt etwa 9000 Änderungen mit , im Vorgänger 3.19 waren es noch 11.400. Zu den wesentlichen Neuerungen von Linux 4.0 gehört die Fähigkeit, im laufenden Betrieb bestimmte Patches einzuspielen und zu entfernen. Dazu bringt der Kernel ein Framework mit, das Schnittstellen für Suses Kgraft und Redhats Kpatch anbietet.
Der Ansatz ist nicht unumstritten. Ingo Molnar hatte auf der Kernel-Mailingliste die Implementierung und das Design von Kpatch und Kgraft kritisiert. Sie seien “unfreiwillig ein verlängerter Arm des Security-Theaters”. Kgraft würde zum Beispiel das Nebeneinander alter und neuer Kernelfunktionen erlauben, Kpatch würde auf Kernel Stack Backtraces setzen, die nicht für diesen Zweck gedacht und fehlerträchtig seien. Beide Ansätze, so Molnar weiter, würden zudem nicht für komplexe Upgrades funktionieren.
Btr-FS-Reparaturen
Abseits der Hauptattraktion feilten die Entwickler noch an anderen Komponenten. Die Btr-FS-Macher haben ihr Maintainer-Team verstärkt und kümmern sich unter anderem um einen berüchtigten Speicherplatzfehler. Der tritt etwa in Facebooks Rechenzentren auf, wo große Cluster mit Btr-FS im Einsatz sind. Das Dateisystem meldet zu wenig Speicherplatz, obwohl eigentlich genügend vorhanden ist. Solche “Out-of-disc-space”-Fehlermeldungen nannten kürzlich auch die Core-OS-Entwickler als einen der Gründe, von Btr-FS auf Ext 4 zu wechseln.
Verbesserte Grafiktreiber
Der freie Radeon-Treiber für Grafikkarten von AMD erhält Unterstützung für Audio über den Displayport. Ventilatoren solcher Grafikkarten sollen künftig leiser laufen. Genauer gesagt passt der Treiber sie im laufenden Betrieb besser an die tatsächliche Hitzeentwicklung an.
Der Carrizo genannte Nachfolger des Kaveri-Chips von AMD erhält eine erste Unterstützung im amdkfd-Treiber. Für Intels Grafikkarten der kommenden Skylake-Plattform gibt es ebenfalls erste Codekomponenten, zudem verbessern die Intel-Entwickler den Treiber für aktuelle Grafikchips. Nicht zuletzt taktet der freie Nouveau-Treiber für Grafikkarten von Nvidia die Kepler-basierten GK20A-Chips besser.
Netzwerk und Sicherheit
Über die Routing-Tabelle und Parameter für ip route können Netzwerk-Admins künftig für jeden Host die Auslastung besser regulieren. Beispiele liefert die Dokumentation, die dem Patch beiliegt [10]. Die für den Einsatz von Linux in Clustern verwendete Transparent Inter-Process Communication (TIPC) unterstützt unter anderem die Group-Policy-Erweiterung von VXLAN. Zudem verwendet sie nun einen Kompatibilitäts-Layer, der auf ein neues Netlink API setzt, was die Codekomplexität reduziert.
Um Attacken wie den jüngst zu beobachtenden Rowhammer-Angriff zu erschweren, sind im Krnel 4.0 die Zugriffsrechte auf die Datei /proc/PID/pagemap eingeschränkt. Künftig darf darauf nur noch mit Root-Rechten zugegriffen werden. Linus Torvalds sieht dabei aber noch Bedarf zum Feintuning an den Zugrffsrechten.
Daneben unterstützt Kernel 4.0 den TPM-Standard 2.0 (Trusted Platform Module) und erhält TPM eine eigene Geräteklasse. Das Linux-Security Kernelmodul Smack erweitert Netfilter um Security Markings (secmark), mit denen sich Paketdatenstrukturen über Iptables oder Netfilter labeln und besser verfolgen lassen.
Der Kernel 4.0 ist über Kernel.org zu haben. Die Kernel-News aus Linux-Magazin 5/2015 beleuchten die Hintergründe zur Entwicklung ausführlicher.
(Jörg Thoma/Kristian Kißling)
