Mehr IT Performance & IT Sicherheit beim neuen Linux 4.8 Kernel

von | Sep 12, 2016 | IT Sicherheit |

Ende August feierte Linus Torvalds Open Source Betriebssystem Linux seinen 25. Geburtstag. Wenn Linux auch als Betriebssystem im Desktop-Bereich noch weit hinter Windows zurückliegt, ist das Betriebssystem aus dem Server-Bereich und mit Android aus der Welt der Smartphones und Tablets nicht mehr wegzudenken.

Gegen Ende September wird die neue Linux-Version 4.8 verfügbar sein. Mit jeder neuen Version wächst der Code des Linux-Kernels um gut 290.000 Zeilen an, derzeit besteht der Kernel bereits aus mehr als 22 Millionen Code-Zeilen, die von mehr als 14.000 Programmierern eingebracht wurden. Bei einer derartig hohen Zahl an „Köchen“ geht natürlich auch mal was schief. Laut dem „Kernel Self Protection Project“ (KSPP) wurden in den letzten fünf Jahren über 500 Schwachstellen entdeckt. Allerdings wurden nur zwei Lücken als kritisch eingestuft, 34 Lücken brachten es auf eine Einstufung mit hohem Gefahrenpotential – nur ein Bruchteil dessen, was in den diversen Microsoft Produkten regelmäßig gestopft werden muss. Die Zeit, die zwischen der Entdeckung einer neuen Schwachstelle und deren Behebung vergeht, ist jedoch mit durchschnittlichen fünf Jahren extrem lang.

Was ist neu an Linux 4.8?

Wir verraten Ihnen, was Sie die neue Kernel-Version an Neuerungen bringt.

Open-Source-Prozessor Support

Der unter einer BSD-Lizenz stehende Prozessor J-Core J2 wird nun ebenfalls vom Kernel unterstützt, allerdings noch nicht mit allen verfügbaren Treibern.

Optimiertes Speichermanagement

Der neue Linux-Kernel kann große Speicherseiten auch nutzen, wenn Datei-Inhalte über den Page-Cache im Arbeitsspeicher gehalten werden. Auch ist eine deutliche Performance-Verbesserung bei Servern mit mehreren Prozessoren möglich.

Verbesserte Sicherheit durch Selbstschutz-Maßnahmen

Gerade in punkto Sicherheit wurden zahlreiche Änderungen implementiert, die auf Linux basierende Systeme noch sicherer machen sollen. So wurde KASLR (Kernel Address Space Layout Randomization) verbessert, um 64-Bit-x86-Systemen (x86-64) die Einsprungpunkte über den gesamten Adressraum zu verteilen und Speicheradressen noch besser zu durchmischen. Angreifern wird es dadurch schwerer gemacht, Speicherbereiche zu finden, die im Fall von Kernel-Lücken missbraucht werden können. Auch die Möglichkeit für den Kernel Datenstrukturen, die Module bei der Initialisierung im Arbeitsspeicher anlegen und danach nicht mehr verändern, mit einem Schreibschutz zu versehen, sowie die neue „hardened usercopy“, die ein Kopieren von Daten zwischen Kernel und Userspace absichert, erschweren potentielle Angriffe.

Bessere Performance im Netzwerktraffic

Der neue „Express Data Path“ (XDP) ermöglicht es, beim Berkeley Packet Filter (BPF) des Kernels hinterlegte Programme ankommende Netzwerkpakete fallenzulassen (drop), weiterzuleiten (forward) oder umzuschreiben (rewrite), sobald der Netzwerktreiber die Pakete angenommen hat. Diese von den selbst geschriebenen BPF-Programmen ausgeführten Aktionen passieren bevor der Kernel startet, die Pakete mit seinem Netzwerkstack zu verarbeiten. Der Aufwand für Prozessor und Arbeitsspeicher wird damit reduziert. Auch Denial-of-Service-Angriffe lassen sich durch dieses neue Feature besser abwehren und Forwarding effizienter realisieren.

Die Verwendung des TCP-Congestion-Control-Algorithmus „New Vegas“ – eine grundlegend überarbeitete Variante des Vegas-Algorithmus – ermöglicht eine verbesserte Steuerung des Netzwerkverkehrs. Hohe Datenübertragungsraten von 10GBit/s und mehr sowie Round-Trip Times (RTT) unterhalb von 10 Mikrosekunden, wie sie in moderner Rechenzentren-Netzwerken gefragt sind, werden so unterstützt.

Ebenfalls umgesetzt wurde der Support für NC-SI (Network Controller Sideband Interface), über das Fernwartungs-Chips (Baseboard Management Controller/BMCs) von Servern sich in Netzwerkverbindungen einklinken, sowie Optimierungen bei der Erfassung von Netzwerkverkehrsdaten über Dumps mit dem Traffic-Control-Werkzeug tc.

Datendurchsatz und die Ausfallsicherheit werden durch das Datenübertragungsprotokoll RDS (Reliable Datagram Sockets), durch das neue Multipath RDS (mprds) nun mehrere TCP-Verbindungen nutzen, wenn es Daten mit anderen Systemen austauscht, erhöht.

Optimierter WLAN-Traffic

Latenzen bei WLAN-Übertragung sollen in Linux 4.8 reduziert sein, der Datentransfer wird beschleunigt. Erreicht wird das durch Umbauten, die eine Zusammenarbeit des von WLAN-Treibern verwendeten Subsystems Mac80211 und dem seit Linux 3.5 verfügbaren Netzwerkpaket-Scheduling-Mechnismus „CoDel Fair-queuing“.

Verbesserter Support für Grafiktreiber

Der Linux 4.8 Kernel unterstützt die neuen Grafikprozessoren voon ARM, Intel und Nvidia. Auch Performance-Verbesserungen für AMD GPUs durch die intensivere Nutzung von Power-Management-Funktionen bei Grafikkarten mit Polaris-Chips oder das Übertakten (bis zu 20%) durch Sysfs-Einträge bei Radeon-Grafikkernen wurden mit dem neuen Kernel möglich.

a

Textquellen & Links

Mehr zu den Neuerungen von Linux 4.8 finden Sie hier:
heise.de