После двух месяцев разработки Линус Торвальдс представил (https://lkml.org/lkml/2018/6/3/142) релиз ядра Linux 4.17 (https://kernel.org). Несмотря на то, что в процессе цикла разработки ядра 4.17 был преодолён (https://www.opennet.me/opennews/art.shtml?num=48447) рубеж в 6 млн объектов в Git, Линус решил сохранить интригу и не воспользовался данным поводом для увеличения номера значительной версии ядра, как это делалось для веток 3.x и 4.x. По ощущениям Линуса переходить на нумерацию 5.x ещё рано и скорее всего это произойдёт ко времени выпуска 4.20.
Среди наиболее заметных изменений в ядре 4.15: удаление 8 устаревших процессорных архитектур, добавление в XFC опции lazytime, полная реализация протокола TLS на стороне ядра, защита от уязвимостей
Spectre 3a/4, оптимизация планировщика задач для мобильных и встраиваемых систем, поддержка архитектуры Andes Technologies NDS32, поддержка GPU AMD Vega12 и Intel Cannonlake, реализация алгоритмов блочного шифрования SM4 и Speck, стабилизация протокола SMB 3.1.1, поддержка SELinux в SCTP.В новую версию принято более 12 тысяч исправлений от 1400 разработчиков, размер патча - 70 Мб (изменения затронули 14170 файлов, добавлено 648108 строк кода, удалено 827247 строк). Около 38% всех представленных в 4.17 изменений связаны с драйверами устройств, примерно 22% изменений имеют отношение к обновлению кода специфичного для аппаратных архитектур, 11% связано с сетевым стеком, 4% - файловыми системами и 4% c внутренними подсистемами ядра.
Основные (http://kernelnewbies.org/Linux_4.17) новшества (https://lwn.net/Articles/751482/):
-
Виртуализация и безопасность- Доведена до полноценного состояния реализация (https://github.com/torvalds/linux/blob/master/Documentation/... протокола TLS на уровне ядра (KTLS), использование которой позволяет (https://netdevconf.org/1.2/papers/ktls.pdf) добиться существенного повышения производительности приложений, использующих HTTPS. Реализация выполнена в виде модуля ядра, предоставляющего новый тип сокетов AF_KTLS, которые можно использовать для передачи данных по протоколам TLS 1.2 для TCP и DTLS 1.2 для UDP с применением шифра AES GCM. Добавленный ранее вариант модуля KTLS ограничивался поддержкой передающей стороны, а теперь в ядро включены и компоненты для согласования соединения на стороне получателя, т.е. в ядре теперь имеются все компоненты для полноценной поддержки TLS;
- Добавлен (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... код для защиты от уязвимостей Spectre 3a и Spectre 4 (https://www.opennet.me/opennews/art.shtml?num=48639) в механизме спекулятивного выполнения инструкций (нераскрытыми остаются ещё 6 проблем из группы Spectre-NG (https://www.opennet.me/opennews/art.shtml?num=48543)). Кроме включения исправлений на стороне ядра для обеспечения защиты также обязательно обновление микрокода - защита строится на применении MSR-бита SSBD (Speculative Store Bypass Disable), поддержка которого представлена в новом микрокоде. По предварительной оценке включение защиты приводит к снижению производительности на 2-8%. Так как применение защиты от Spectre 4 не всегда оправдано, для её отключения предусмотрена опция speculative_store_bypass_disable, в SECCOMP добавлен специальный флаг и код для автоматического отключения SSB для изолированных процессов, а для приложений предложен новый интерфейс prctl, при помощи которого программы могут определять наличие защиты и выборочно отключать её для отдельных процессов;- В ядро встроена поддержка блочного шифра Speck (https://github.com/iadgov/simon-speck), разработанного (https://ru.wikipedia.org/wiki/Speck) Агентством национальной безопасности США. Шифр примечателен очень высокой производительностью программной реализации, которая обгоняет AES на системах без наличия средств аппаратного ускорения AES;
- Добавлена поддержка шифрования AES в режиме CFM (Cipher Feedback Mode), наличие которого определено в спецификации TPM2 (Trusted Platform Module);- Реализована (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... поддержка алгоритма блочного шифрования SM4 (https://ru.wikipedia.org/wiki/SM4), (GB/T 32907-2016), стандартизированного для учреждений Китая и применяемый в китайском стандарте Wireless LAN WAPI;
- В протоколе SCTP обеспечена (https://github.com/torvalds/linux/blob/master/Documentation/... полноценная поддержка SELinux;
- Добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... возможность управления модулями AppArmor через сокет;-
Дисковая подсистема, ввод/вывод и файловые системы- Для файловой системы XFS реализована поддержка опции монтирования lazytime, которая даёт возможность отследить время обращения к файлам, но не приводит к возникновению большого числа паразитных операций записи в ФС. Основное отличие от "atime" состоит в том, что время доступа сохраняется в inode, хранящихся в оперативной памяти, и сбрасываемых на диск только при возникновении явных условий или истечения достаточно длительного таймаута (раз в 24 часа). Таким образом для работающих программ возвращается всегда точный atime, но на диске сведения сохраняются с большой задержкой;
- В файловой системе ext4 повышена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... надёжность работы в условиях обработки некорректных образов ФС, специально модифицированных для вредоносных целей. При этом мэйнтейнер Ext4 по-прежнему считает плохой
идеей предоставление доступа к монтированию произвольных ext4-образов из изолированных контейнеров;
- В файловой системе Btrfs удалены операции ioctl() с реализацией функциональности управляемых транзакций, которая оказалась невостребованной и не примется на практике;
- С реализации SMB 3.1.1 снят признак экспериментальной разработки. В CIFS добавлена поддержка представленной (https://blogs.msdn.microsoft.com/openspecification/2015/08/1... в спецификации SMB 3.1.1 возможности обеспечения целостности на стадии до прохождения аутентификации. Метод основан на использовании криптографических хэшей на этапе согласования сеанса связи и позволяет защититься от MITM-атак с подменой сообщений для отката не менее защищённые схемы аутентификации;
- В файловой системе OverlayFS появилась опция монтирования "xino", обеспечивающая сохранения идентификатора ФС в составе номера inode, что позволяет зафиксировать имена inode и гарантировать, что они не будут меняться во времени. Предложенная опция предотвращает появлением в разное время разных номеров inode для одного файла, что может приводить к проблемам в приложениях, манипулирующих данными на уровне inode;
-
Память и системные сервисы- Код оценки нагрузки в планировщике задач, прогнозирующий сколько ресурсов CPU может израсходовать каждый работающий процесс для оптимизации выбора режимов работы CPU и распределения процессов по ядрам CPU, доработан (https://lwn.net/Articles/741171/) для более оптимальной работы в условиях нагрузок, свойственных для мобильных и встраиваемых систем;
- В системный вызов bpf() добавлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... новая команда BPF_RAW_TRACEPOINT, позволяющая привязать BPF-обработчик к точке трассировки (tracepoint - вариант динамических printf(), выставляемых разработчиками программ для анализа поведения системы, к которым затем можно обращаться из LTTng, perf, SystemTap, ftrace). Работа осуществляется без предварительной обработки аргументов tracepoint на стадии до вызова BPF-программы, что позволяет минимизировать накладные...
URL: https://lkml.org/lkml/2018/6/3/142
Новость: https://www.opennet.me/opennews/art.shtml?num=48712
> добавлено 648108 строк кода, удалено 827247 строкВот бы это в тенденцию.
Да это скорее всего за счет удаления поддержки устаревших архитектур.
> Несмотря на то, что в процессе цикла разработки ядра 4.17 был преодолён рубеж в 6 млн объектов в Git, Линус решил сохранить интригуКлиффхенгер по-программерски. Я в шоке!
> шифр Speck, разработанного Агентством национальной безопасности СШАчто-то я настороженно отношусь к шифрам разработанным в АНБ. А вы?
Ну возьми и почитай код. В чем проблема?
Закладка может быть в самом алгоритме. Доверие к (асимметричной) криптографии основывается на том, что для определённых задач ни у кого нет алгоритма для решения их быстрее. Это может быть не верно и это не зависит от кода.
Закладка может быть во всем, что не сделано собственными руками!
Ваше предложение?
>Закладка может быть во всем, что не сделано собственными руками!
>Ваше предложение?Пользоваться заслуживающими доверия источниками. Уровень доверия определять рядом критериев, в том числе репутацией.
Жизнь нас учит другому
Никому нельзя верить!
> Никому нельзя верить!Охотно тебе верю. Никому нельзя верить.
Мне - можно (с)
Тибэ мозно (с)
Только собственная ОС, писанная на коленке, работающая на железе, спаянном в гараже из запчастей к телевизорам "Ленинград Т-2".
>Закладка может быть в самом алгоритмеНу Биткоин тоже на NISTовской secp256k1 сделан. Возьми да поломай, станешь долларовым милионером.
Так алгоритм же симметричный
Проблема в отсутствии знаний в данной области и наличии отрицательной репутации у АНБ.
> Проблема в отсутствии знаний в данной области и наличии отрицательной репутации у
> АНБ.Ну так восполните проблемы или
обратитесь у продуктам от ФСБ с положительной репутацией
Слейся, тебе же объяснили, что даже ISO отказался стандартизировать спек, потому что АНБ отказался предоставить техническую информацию об алгоритме
> Ну так восполните проблемы или
> обратитесь у продуктам от ФСБ с положительной репутациейВы забыли приложить свою техническую критику, скажем, "кузнечика".
Или птица -- говорун?
За критикой "Кузнечика" и "Стрибога" и их авторов обратитесь к Алексею Бирюкову.
А вы свою, скажем, "патриотической затычки", никогда не забываете приложить.
Рекомендую изучить вопрос повнимательней - https://habr.com/company/globalsign/blog/413151/
В том, что проблема может быть в алгоритме, а не реализации
а это обычное дело в обществе, когда люди насторожено относятся к вещам, которые слишком сложны для их понимания
Существование в природе бэкдоров и закладок не настолько сложное для понимания явление как вы думаете.
Ну так не применяйте, делов-то
А я помню историю, как эксперты из NSA за 20 лет до (публичного) изобретения дифференциального криптоанализа внесли правки в S-блоки DES, усиливающие шифр против данного метода атаки.
https://en.wikipedia.org/wiki/Data_Encryption_Standard#NSA's_involvement_in_the_design
Не пользуйся
Здравая мысль. Не будем пользоваться. А то наверняка АНБ знает, как этот шифр расшифровать, и больше пока никто не знает.
Что ты тут пишешь? Тебе русским языком сказали НЕ ПОЛЬЗУЙСЯ КОМПЬЮТЕРОМ.
Пшол вон от монитора.
В этом релизе были улучшения для энергопотребления. Ждём когда появится в дистрибутивах.
Вот кстати больная тема про аккумы. На свалках екоммерса достаточно ноутбуков, которые обещают "работу" более 10 часов подряд с одного заряда, но там везде мерзкая 10-ка. А есть ли толковые современные ноутбуки, на которых 10+ часов отработает хоть та же Ubuntu 16.04 с настройками из коробки? Нагрузка примерно такая: WiFi + браузер + IDE + skype + telegram + несколько консолей + fm + thunderbird + VNC/RDP (Remmina)
Перечисленная вами нагрузка ни о чём не говорит :)
Данное ПО может давать как постоянную 95% нагрузку на CPU/IO/Video а может 5% -ю ;)
Гарантированно ноут проработает столько - сколько жрёт проц на максимум + материнка с памятью + диск + wifi(если используется) + экран. но это часто под 30Вт*ч ;)
Перечисленная мной нагрузка вполне описывает средний кейс и если у кого-то что-то похожее крутится, он вполне может отозваться. Даже если будет погрешность в 10-15% от времени - в данном случае не критично. Но пока даже с минимальными нагрузками хотя бы 9 часов - это что-то из разряда фантастики.
У меня ноут под минимальной загрузкой и под виндой не более 4 часов работает.
У меня ноутбук-планшет от HP при примерно таком использовании с Arch около 8 часов спокойно работает без дополнительных настроек.
Модель напишите пожалуйста?
HP Elite X2 1101 G1
5 лет назад мой старый acer работал под ubuntu 7-8 часов, жалко что железо сдохло.
Из ASUS EEE PC 1000HE + Ubuntu "выжимал" 9,5...10 часов в режиме "печатная машинка" (блокнот + экран на минимум яркости).
Но полноценной работой это было не назвать. Т.к. CPU на минимальной частоте + всё, что могло быть выключено (сетевуха, аудио, про Wi-Fi уже не говорю) было выключено.
> браузерВ зависимости от открытых сайтов и выполняемых на них скриптах может жрать либо почти ничего, либо несколько ядер CPU полностью и при этом уходить в своп.
Рекомендую держать на таскбаре график загрузки проца и следить за этим, иначе заряд батареи может внезапно превратиться в тыкву.
кэп, залогинься и напиши уже что-нибудь по сути вопроса? Интересует модельный ряд железок с нормальными аккумами и начинкой, с которой Linux без магии будет нормально работать по части энергосбережения
Например, Acer Swift3 с предустановленным Linux.(Endless вроде бы)
Спасибо
Пишу с ASUS UX310, день живёт.PS: под альтом, в смысле. С firefox и wifi.
под альтом, в смысле --- реклама? :)
Это у которого гантеля в корпусе, чтобы не опрокидывался?
> Это у которого гантеля в корпусе, чтобы не опрокидывался?Аккумуляторы спереди не решают?...
Я думаю, у Dell XPS 13 с FullHD (не 4k) могут быть шансы столько протянуть. Но надо перепроверять. У меня с 4k - и близко не 10 часов, увы
> Вот кстати больная тема про аккумы. На свалках екоммерса достаточно ноутбуков, которые
> обещают "работу" более 10 часов подряд с одного заряда, но там
> везде мерзкая 10-ка. А есть ли толковые современные ноутбуки, на которых
> 10+ часов отработает хоть та же Ubuntu 16.04 с настройками из
> коробки? Нагрузка примерно такая: WiFi + браузер + IDE + skype
> + telegram + несколько консолей + fm + thunderbird + VNC/RDP
> (Remmina)Что-то мне кажется, что они скорее обещают до более чем 10 часов работы. Что несколько иное, чем более чем 10 часов. Тем более со значимыми нагрузками.
:-)
Если не считать ненужное High-bandwidth Digital Content Protection и сомнительное удаление функционала, которое хорошо бы делать всё-таки вместе с мажорной сменой версии, выглядит классно
>После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 2.6.75.так правильнее, на мой взгляд
мнение анонима опеннета против мнения торвальдса...даже и не знаю, чьё важнее
Ну смотря какое именно мнение.
Как какое?!? Что делать вышеозначенному Линусу. :)
>поддержка SELinux в SCTPинтересно, в какой версии разрабы смирятся с тем, что SCTP не взлетело и выпилят его, как те 8 устаревших архитектур?
Вообще, SOCK_SEQPACKET очень удобная штука (с точки зрения программиста), софт при его использовании упрощается сильно. Конкретный протокол наверное не так и важен, помимо SCTP было еще несколько протоколов. SCTP среди них выглядит самым проработанным.P.S. Не используют скорее всего потому, что в винде его нет искаропки.
SCTP не взлетело? Вы смеетесь чтоли... Не взлетело разве что в области коммуникаций десктопа с чем либо, так как оно там нафиг не нужно. А вот у всяческих операторов связи(особенно сотовых) очень даже взлетело. Базовые станции в LTE только по SCTP подключаются, да и вабще все что не стоит в одной стойке использует SCTP.
а, ну раз используется, тогда ок, был неправ. просто нигде слышал о его использовании, даже в википедии есть только общее описание без указания, где применяется
Ничоси "не взлетело"... Оно SS7 вытеснило и полностью заменило, если эта аббревиатура о чём-то говорит
> Оно SS7 вытеснило и полностью заменило...и такое же дырявое, или всё-таки полегче? (sctp в альте по умолчанию неслучайно блокируется от непрошеной загрузки уже весьма давно)
Ну если оценивать вероятность дырявости исходя из сложности реализации, то он должен быть значительно менее дырявый чем tcp. Вабще понятно, что на десктопе оно никому не нужно. Даже много где в серверной среде, с трудом придумаешь куда прикрутить будет его выгодно. Но вот в мире передачи управляющих сигналов SCTP очень хорош, с его мультихоумингом, параллельной передачей данных по нескольким физическим каналам, и вабще ориентированностью на отказоустойчивость.
Спасибо.
>Прослойка AMD DC (Display Core) с реализацией переработанного кода для управления отображением включена по умолчанию для всех поддерживаемых GPU.Вот с этим они поспешили, на FreeSync-capable displays это корруптит картинку.
>Добавлена поддержка технологии защиты HDCP (High-bandwidth Digital Content Protection) для шифрования видеосигнала, передаваемого через интерфейсы DVI, DisplayPort, HDMI, GVIF или UDI, с целью предотвращения его незаконного копирования.Зачем нам это?
Нам - низачем.
>>Добавлена поддержка технологии защиты HDCP (High-bandwidth Digital Content Protection) для шифрования видеосигнала, передаваемого через интерфейсы DVI, DisplayPort, HDMI, GVIF или UDI, с целью предотвращения его незаконного копирования.
> Зачем нам это?А вы думали, что Платиновые Партнеры денюжку просто так заносят, по доброте душевной?
Нууу... если на каком-то этапе по пути из сети к монитору в ядре циркулирует незашифрованный DRM'овый видеопоток, то может быть очень даже зачем...
Ну чтобы воспроизводить видео.
Просто когда тебя ставят перед положением "ваше оборудование не поддерживает DRM, поэтому ничего не посмотрите" – это очень дискомфортно.
Серьезно, такое уже есть? Много где слышал, но ни разу не сталкивался. Интересно, как они реализуют защиту от записи экрана? Для этой цели что ли вейланд пишут?
> Серьезно, такое уже есть?Ну поэтому и нет. Я последний раз столкнулся с таким на аппаратном уровне, когда не мог вывести картинку на монитор с Miracast адаптера из-за отсутствия поддержки DRM.
А так мой любимый пример с NetFlix. Они 4K дадут только при жёстком DRM
Все претензии - к копирастам.
Сюрприз - всё, что нужно, чтобы быть добавленным в ядро - это дать код нужного качества не дублирующий то, что в ядре уже есть, и продемонстрировать Линусу сотоварищи готовность его поддерживать.
>> Samsung Galaxy S5А под него ещё выходят обновления прошивки?
>>> Samsung Galaxy S5
> А под него ещё выходят обновления прошивки?Не знаю, но полистай
https://forum.xda-developers.com/galaxy-s5/development
https://forum.xda-developers.com/galaxy-s5-mini/development//сегодня поменял тф 2011гв на 2016гв. на тот прошивки с xda ставил, но за всё время (не с 11го--) сам ничего не собрал.
Стиль жизни быть в прошлом?
На дворе 2018
Уже занял очередь за новым айфоном?
Серьезно, нафига брать что-то новое, отличающееся от старого только, собственно, новизной? Что такого революционного успели придумать за 2 года в телефоностроении?
Современное телефоностроение превратилось в этакого Уробороса, кусающего себя за хвост ради бесконечной прибыли.
"Наш новый айсамсунг сяоми хуавей 9000 имеет еще более мощное железо, чтобы тянуть более тяжелую систему."
> Стиль жизни быть в прошлом?
> На дворе 2018Да, я стар. Я очень стар. [I]Я супер-стар!
---посоны во дворе не оценят
Продолжай ставить дерьмо от васянов. В прошивках на xda уже не раз и не 2 находили бэкдоры. В смысле трояны, встроенные прямо в прошивку, один раз даже прямо в код виртуальной машины.
О, как интересно. Можно ли ссылку? Или по каким ключевым словам гуглить?
Как успехи у проекта, который бэкпортирует драйверы из новых ядер в старые? Он теперь так и называется compat, а на compat-wireless, правильно?
> Одновременно Латиноамериканский Фонд свободного ПО сформировал вариант полностью свободного ядра 4.17 - Linux-libre 4.17-gnuОсвободили ядро от совершенно ненужной фичи "поддержка железа".
> По ощущениям Линуса переходить на нумерацию 5.x ещё рано...No comments...
> TLS 1.2 для TCP и DTLS 1.2 для UDP с применением шифра AES GCM.А как же 1.3 и чача?
>> Агентством национальной безопасности СШАза это не платит, придется подождать.
> В драйвере amdkfd для dGPU добавлена поддержка GPUVM и обработки событий KFD, что позволяет запустить поверх ядра стек OpenCL.Только вчера вечером собирал 4.13, т.к. последнее ядро на котором не сломан ROCm.
Анб продвинутые хлопцы, пилят инструментарий на котором работают, делятся кодом. В фээсбэ делают что-то подобное, товарищ майор?
Небольшая терминологическая поправка: "...новый тип сокетов AF_KTLS..."
AF_XXX это "address family", коммуникационный домен - см. man 2 socket
(или, что то же самое, PF_XXX - "protocol family" - набор, стек протоколов).
Типы сокетов обозначаются "SOCK_XXX" и, насколько видно в https://github.com/ktls/af_ktls-tool/blob/master/ktls.c
int ksd = socket(AF_KTLS, tls ? SOCK_STREAM : SOCK_DGRAM, 0);
типы сокетов используются "традиционные" - SOCK_STREAM, SOCK_DGRAM.
К сожалению, эта терминологическая путаница содержится и в презентации
Fridolín Pokorný (fridolin@redhat.com), там тоже говорится о "новом типе сокетов",
а не о новом коммуникационном домене, что фактически имеет место.
Никого не смущает уже, что в ядре DRM драйвера и их еще и фиксят...
>в ядре DRM драйвераДа шо http://www.opennet.me/openforum/vsluhforumID3/114532.html#164 вы omfg?!
> Никого не смущает уже, что в ядре DRM драйвера и их еще и фиксят...DRM != DRM -- найдите слово "rendering" в списке, скажем, с https://www.acronymattic.com/DRM.html