Avec l’ajout d’un mode de verrouillage du noyau, d’une couche de sécurité pour détecter les modifications de fichiers et plusieurs autres améliorations
La version 5.4 du noyau Linux vient de sortir. Comme pour les versions précédentes, plusieurs nouvelles fonctionnalités et améliorations ont été intégrées à cette nouvelle version de Linux. Dans le lot des nouveautés, nous avons un mode de verrouillage qui a été ajouté au noyau. Ce mode de verrouillage permet de renforcer la limite entre l’UID 0 (l’utilisateur root) et le noyau. Dans la pratique, lorsque vous activez ce mode de verrouillage, plusieurs fonctionnalités sont restreintes. Les applications qui reposent par exemple sur un accès de bas niveau au matériel ou au noyau peuvent ne plus fonctionner. C’est pourquoi il faut l’utiliser avec beaucoup de précautions ou plutôt savoir ce que l’on fait en l’activant. À l’origine, cette fonctionnalité a été mise en œuvre afin de veiller au respect des protections anti-falsification que l’on souhaiterait en principe avoir dans un environnement de démarrage sécurisé. Mais il n’est pas seulement destiné à cela.
En effet, il est bon de savoir que le verrouillage du noyau est implémenté en tant que module de sécurité Linux pouvant être configuré en mode intégrité ou en mode verrouillage. S’il est configuré en mode intégrité, les fonctionnalités du noyau qui permettent à l’utilisateur de modifier le noyau en cours d’exécution sont désactivées. S’il est défini sur la confidentialité, alors les fonctionnalités du noyau permettant à l’utilisateur d’extraire des informations confidentielles du noyau sont également désactivées. La configuration peut être effectuée au moment de l’exécution (via securityfs), au démarrage (via un paramètre de noyau) ou au moment de la construction (via une option kconfig).
Une autre nouvelle fonctionnalité mise en avant dans cette nouvelle itération du noyau Linux est virtio-fs, un pilote virtio basé sur FUSE pour le partage de systèmes de fichiers entre invité et hôte. Il permet en outre à un invité de monter un répertoire exporté sur l’hôte. Un des avantages de virtio-fs est qu’il tire parti de la proximité des machines virtuelles pour obtenir des performances d’API plus proches des systèmes de fichiers locaux.
Une autre fonctionnalité présente dans Linux 5.4 est fs-verity. fs-verity est une couche de support que les systèmes de fichiers peuvent utiliser pour détecter la falsification de fichiers, comme dm-verity. Toutefois, il fonctionne sur des fichiers plutôt que sur des périphériques en mode bloc. Actuellement, il est pris en charge par les systèmes de fichiers ext4 et f2fs.
Comme autre nouveauté, nous avons également dm-clone. dm-clone est une cible de mappeur de périphérique qui produit une copie un par un d’un périphérique source existant en lecture seule dans un périphérique de destination inscriptible. Dans les faits, elle présente un périphérique de bloc virtuel qui fait apparaitre toutes les données immédiatement, et redirige les lectures et les écritures en conséquence. Comme cas d’utilisation, l’on peut se servir de dm-clone pour cloner un périphérique bloc de type archivistique potentiellement distant, à latence élevée, en lecture seule dans un périphérique inscriptible, rapide, de type principal, permettant des E/S rapides à faible latence. Le périphérique cloné est visible/montable immédiatement et la copie du périphérique source sur le périphérique de destination s’effectue en arrière-plan en parallèle avec les E/S de l’utilisateur.
Pour les systèmes faisant recours au système de fichiers EROFS, il faut noter que cette version 5.4 déplace le système de fichiers hors de la staging area. Initialement inclus dans Linux 4.9, EROFS est un système de fichiers léger en lecture seule, de conception moderne, conçu pour les scénarios exigeant des performances élevées en lecture seule comme un micrologiciel dans un téléphone portable ou un Livecds. De même, le système de fichiers exFAT a été placé dans la staging area.
Nous avons également dans cette dernière version de Linux un nouveau pilote et gouverneur haltpoll cpuidle. Il améliore considérablement les performances des invités virtualisés souhaitant effectuer une interrogation au niveau de l’invité dans la boucle inactive.
À côté de ces améliorations, il faut ajouter la prise en charge de quatre nouveaux produits amdgpu dans le pilote amdgpu. Cette version comprend également les premiers éléments destinés à supporter le futur processeur graphique Intel Tiger Lake.
Plusieurs autres améliorations sont disponibles dans cette dernière version de Linux 5.4.
Source : Developpez.com