Представлены (http://kernel.org/) очередные корректирующие релизы ядра Linux: 3.4.1 (https://lkml.org/lkml/2012/6/4/400) (89 исправлений (http://www.kernel.org/pub/linux/kernel/v3.0/ChangeLog-3.4.1)), 3.3.8 (https://lkml.org/lkml/2012/6/4/397) (97 исправлений (http://www.kernel.org/pub/linux/kernel/v3.0/ChangeLog-3.3.8)), 3.2.19 ( 119 исправлений (http://www.kernel.org/pub/linux/kernel/v3.0/ChangeLog-3.2.19)) и 3.0.33 (https://lkml.org/lkml/2012/6/4/396) (58 исправлений (http://www.kernel.org/pub/linux/kernel/v3.0/ChangeLog-3.0.33)). Как обычно, в анонсе выхода новых версий подчеркивается обязательность проведения обновления. Версия 3.3.8 является последним корректирующим выпуском в ветке 3.3.x, пользователям рекомендуется перейти на использованием веток с длительным сроком поддержки 3.2.x и 3.0.x или обновить ядро до ветки 3.4.x. Из подсистем в которые внесены исправления можно отметить: USB (в том числе добавлены идентификаторы новых устройств), nouveau, drm/i915, Xen, gma500 (устранён крах при засыпании на некоторых системах Poulsbo), SCSI, VFS.Дополнительно можно отметить выход (http://lkml.org/lkml/2012/6/3/84) первого кандидата в релизы ядра Linux 3.5, который ознаменовал закрытие окна по проёму новшеств в ветку 3.5. Отмечается, что около 60% от всех принятых изменений связаны с драйверами устройств, 20% с поддержкой аппаратных архитектур и 20% с такими частями ядра, как файловые системы, документация и вспомогательные утилиты.
Кратко о некоторых новшествах:
- В ядро принят код с реализацией механизма seccomp filter, принцип работу которого сводится (http://outflux.net/teach-seccomp/) к ограничению доступа к системным вызовам. Важной особенностью seccomp filter является то, что логика выставляемых ограничений задаётся на уровне защищаемого приложения, а не через задание внешних ограничений, как в случае AppArmor или SELinux. В код программы добавляется структура с перечнем допустимых системных вызовов (например, ALLOW_SYSCALL) и реакции в случае несовпадения (например, KILL_PROCESS). Доступ к системным вызовам определяется в виде правил, оформленных в BPF-представлении (Berkeley Packet Filter), которое получило распространение в системах фильтрации сетевых пакетов.
Система seccomp filter позволяет реализовывать достаточно сложные правила доступа, учитывающие передаваемые и возвращаемые аргументы. Программа сама определяет какие системные вызовы ей необходимы и какие параметры допустимы, все остальные системные вызовы блокируются, что позволяет ограничить возможности атакующего в случае эксплуатации уязвимости в защищённом при помощи seccomp приложении. Возможность задания фильтров аргументов позволяет также защититься от большинства атак, эксплуатирующих уязвимости в системных вызовах. Например, выявленные за последние годы критические уязвимости в glibc и ядре Linux, такие как AF_CAN (http://sota.gen.nz/af_can/), sock_sendpage (http://blog.cr0.org/2009/08/linux-null-pointer-dereference-d...) и sys_tee (http://www.juniper.net/security/auto/vulnerabilities/vuln228...), успешно блокируются при надлежащем использовании seccomp.- Поддержка интерфейса (http://lwn.net/Articles/495304/) для восстановления TCP-соединений, позволяющего зафиксировать контрольную точку с которой можно возобновить остановленное соединение (например, после перезагрузки системы).
- Поддержка RFC 5827 (http://tools.ietf.org/html/rfc5827) (ранняя повторная отправка пакетов) в сетевом стеке, позволяющая увеличить скорость восстановления потока после потери пакетов;
- Интеграция алгоритма управления очередями ожидающих отправки пакетов CoDel (http://lwn.net/Articles/496509/), разработанного в рамках инициативы (http://www.opennet.me/opennews/art.shtml?num=29734) по борьбе с негативным влиянием промежуточной буферизации пакетов (Bufferbloat);
- Добавление в модуль Yama двух дополнительных режимов для контрля доступа к функциональности PTRACE_ATTACH;- Переработан код планировщика задач для архитектуры NUMA;
- Интеграция кода uprobes (userspace probes), позволяющего организовать анализ поведения выполняемых в пространстве пользователя приложений;
- В Ext4 добавлена (http://www.opennet.me/opennews/art.shtml?num=33996) поддержка контрольных сумм для проверка целостности метаданных;
- Удаление устаревшего кода, в том числе удалены: драйвер ixp2000 Ethernet, драйверы для карт MCA, sun4c SPARC CPU, netfilter-модуль ip_queue (его заменил nfnetlink_queue), все компоненты поддержки сетей Token ring, поддержка протокола Econet, поддержка процессоров ARMv3 и IXP2xxx (XScale), поддержка плат ST-Ericsson U5500, драйвер постедовательных портов Motorola 68360;
- Обеспечена поддержка плат Blackfin BF609, Renesas Armadillo-800 EVA и KZM-A9-GT;
- Поддержка сетевых устройств: WIZnet W5100, W5300, Marvell Avastar 88W8797, Emulex One Connect InfiniBand-over-Ethernet, GCT Semiconductor GDM72xx WiMAX;
- Поддержка USB host-контроллеров: Marvell PXA USB OTG, Broadcom BCMA и SSB, USB-трансивера NXP ISP1301, контроллера периферии NXP LPC32XX;
- Интегрированы драйверы для звуковых карт Creative Sound Core3D и Xonar DGX;
- Поддержка работы SCSI target поверх протоколов FireWire или UASP (USB Attached SCSI Protocol);
- Добавлены базовые KMS-драйверы для графических чипов ASpeed Technologies 2000 и Matrox G200, а также для карт Cirrus, эмулируемых в Qemu;- В системе DMA-BUF, предназначенной для организации совместного использования буферов драйверами и различными подсистемами ядра, расширена поддержка интерфейса PRIME, который позволит реализовать возможность бесшовного переключения вывода между разными видеокартами;
- В DRM-драйвере Radeon раширена поддержка новых Evergreen GPU и обеспечен вывод звука через HDMI. Обновлен DRM-драйвер для карт Intel.
URL: http://lkml.org/lkml/2012/6/3/84
Новость: http://www.opennet.me/opennews/art.shtml?num=34014
Linux 3.5, который ознаменовал закрытие окна по прОёму новшеств в ветку 3.5
Ну типа проймёт-не проймёт
> В ядро принят код с реализацией механизма seccomp filter, принцип работу которого сводится к ограничению доступа к системным вызовамЧто характерно, фича реализована и интегрирована разработчиками хромооси. Интересно, где-нибудь, кроме нее, использоваться будет?
> интерфейса PRIME, который позволит реализовать возможность бесшовного переключения вывода между разными видеокартами
Как я понимаю, без wayland эта штука бесполезна?
> Что характерно, фича реализована и интегрирована разработчиками хромооси. Интересно, где-нибудь, кроме нее, использоваться будет?Да, я слышал, что в ядро убунты ее включили, но в юзерспейсе, насколько я помню, поддержки все равно никакой, так что оно там практически бесполезно.
какой-нибудь sendmail, openssh это заюзает.
> какой-нибудь sendmail, openssh это заюзает.Разве разработчики OpenSSH заинтересованы в реализации ядерно-специфичных механизмов, не завязанных на ядро OpenBSD?
Да, некроссплатформенные меры безопасности они вполне с энтузиазмом используют
> Да, некроссплатформенные меры безопасности они вполне с энтузиазмом используютПока только те, которые завязаны на OpenBSD.
> Пока только те, которые завязаны на OpenBSD.Ага, то-то линуксные механизмы безопасности поюзали. Да и фрибсдшные вроде собирались.
> какой-нибудь sendmail, openssh это заюзает.Это же bsd-шные проекты, нафига им "несвободный" линукс? Там только capsicum сделают, в лучшем случае.
sendmail писал самый тру-бсд-шник.
> какой-нибудь sendmail, openssh это заюзает.OpenSSH уже заюзал: http://www.opennet.me/opennews/art.shtml?num=33654
btrfs теперь будет продакшн?
> btrfs теперь будет продакшн?Нет. До этого еще лет 5.
Я это уже 5 лет слышу :)
А через 5 лет окажется что вс1 это и так есть в текущей ExtFS X :)
> А через 5 лет окажется что вс1 это и так есть в текущей ExtFS X :)Разработчики Ext - противники превращения ФС в поттеринг-стайл комбайн. В частности, готовый патчи с реализацией снапшотов они отвергли с негодованием (есть же снапшоты LVM, которых должно быть достаточно каждому).
> В частности, готовый патчи с реализацией снапшотов они отвергли с негодованием (есть же снапшоты LVM, которых должно быть достаточно каждому).это же феерический бред.
> это же феерический бред.Такие уж у ext разработчики, ничего не поделаешь.
Сволочи, не тянут в кодовую базу все подрят? Как так можно!
> Разработчики Ext - противники превращения ФС в поттеринг-стайл комбайн.А нельзя ли зацитировать слова ну хоть того же Теодора Тсо, где он именно так и сказал? В отличие от укурков на опеннете это на редкость адекватный, разумный и просто компетентный в своей области перец. Чего и вам желаю.
> Нет. До этого еще лет 5.Да ладно вам, его уже засунули даже в энтерпрайзные дистры, хоть и не дефолтным. И он в принципе уже работает. Просто еще будет доделываться. Но по минимуму уже в принципе и сейчас можно пользоваться. На 1-дисковом конфиге никаких особых грабель не вижу. Ну вот fsck в привычном виде - нету пока, да. Но набор утилей для восстановления почетный + живые разработчики в мыллисте.
У меня 3.4 ловило панику при попытке выключить ненужную видяху nvidia. Интересно, исправили?
а когда можно в Crysis и Stalker будет поиграть? когда наконецто такое едро выйдет ? сколько еще ждать?
Крузис(наполовину) и сталкер прошёл на вайне, чаднт?
а Battlefield 3 ? а Зов Припяти?
Как раз в зов припяти и играл. Батлфилда у меня нету.
> а когда можно в Crysis и Stalker будет поиграть?Не скажу про этих, а Steam выходит в этом году. Внезапно. Да, а также портирование Left 4 dead 2 и прочих Counter strike'ов. Походу у господина Gabe серьезный зуб на MS.
Есть тут кто нить круче меня?! :) Как вот это смоделировать?
commit 5d79c6f64a904afc92a329f80abe693e3ae105fe
Author: Tejun Heo <tj@kernel.org>
Date: Mon May 14 15:04:50 2012 -0700workqueue: skip nr_running sanity check in worker_enter_idle() if trustee is active
commit 544ecf310f0e7f51fa057ac2a295fc1b3b35a9d3 upstream.
worker_enter_idle() has WARN_ON_ONCE() which triggers if nr_running
isn't zero when every worker is idle. This can trigger spuriously
while a cpu is going down due to the way trustee sets %WORKER_ROGUE
and zaps nr_running.
It first sets %WORKER_ROGUE on all workers without updating
nr_running, releases gcwq->lock, schedules, regrabs gcwq->lock and
then zaps nr_running. If the last running worker enters idle
inbetween, it would see stale nr_running which hasn't been zapped yet
and trigger the WARN_ON_ONCE().
По крутости очень далеко. Просто интересно в чем вопрос.
Заради лулзов в версию 3.11 можно было бы запихнуть парочку пасхальных яиц =)
> Заради лулзов в версию 3.11 можно было бы запихнуть парочку пасхальных яиц
> =)Например, уныло-зеленое бутлого с пингвином вместо оффтопика? :)
чегой-то про cross memory аффтар не вспомнил? вроде, не самая скучная фича :)
В ветке 3.4 процессоры AMD FX вообще ужасно работают, жаль что 3.3 последнее обновление..
Похоже как-то некорректно работает cpufreq в 3.4 для цп FX. Причём демон cpufreqd нихрена не управляет процесом смены частоты, похоже линукс отошёл или сломал стандарт cpufreq... или скорее всего из-за того что, до сих пор проц AMD FX не поддерживается linux.. будем ждать и надеяться на 3.5Проверил на игрушках, по сравнению с 3.3 веткой в ветке ядра 3.4 фпс просел раза в три =(
StarCraft2:
3.3.6 - 3.3.8: ~70fps
3.4 - 3.4.1: ~20fps..печалька
AMD все время любили cpufreq_conservative, ondemand туповат,
прыгает сразу от MIN до MAX и обратно, и то с огромной задержкой.CONFIG_CPU_FREQ_DEFAULT_GOV_CONSERVATIVE=y
CONFIG_CPU_FREQ_GOV_PERFORMANCE=y
CONFIG_CPU_FREQ_GOV_POWERSAVE=m
CONFIG_CPU_FREQ_GOV_USERSPACE=m
CONFIG_CPU_FREQ_GOV_ONDEMAND=m
CONFIG_CPU_FREQ_GOV_CONSERVATIVE=y> фпс просел раза в три =(
А ядро тут причём? Не оно конечно рулит сискалами, но тогда из твоего
вывода получается, что вся система должна просесть в три раза.Смотри настройки компиза, да и вообще всего комозитного.
Браузеры уже активно юзают OpenGL, флеш,...сделай
# init 1
потом
# xinit -e xterm;из терминалки запусти бенчмарку, тот же unigine;
Да в том то и дело у меня нет DE, юзаю иксы + metacity без свистелок, xinit-ом и запускаю.
А фпс просел как раз из-за ondemand, он моментально(прям во время игры) пытался возвращать cpufreq на минимум.
Подтюнил прям в "/sys/devices/system/cpu/cpufreq/ondemand" стало заметно лучше.
Пока поработаю так, потом переключу в GOV_CONSERVATIVE, правда разница в потреблении/нагреве очень заметна, сейчас sensors пишет потребление ~50 Watt, при GOV_PERFORMANCE минимум ~120, вольтаж не замерял..
Господа никто не знает по какому принципу выходят патчи tuxonice?
> Господа никто не знает по какому принципу выходят патчи tuxonice?регулярно - https://github.com/NigelCunningham/tuxonice-kernel
Осталось понять, почему враги не добавляют новые версии в portage.