4.7. カーネル
RHEL 7.7 のカーネルバージョン
Red Hat Enterprise Linux 7.7 は、カーネルバージョン 3.10.0-1062 で配布されます。
(BZ#1801759)
カーネルに対するライブパッチが利用可能になりました。
カーネル用のライブパッチ kpatch では、プロセスのリブートまたは再起動なしで、実行中のカーネルにパッチを当てるメカニズムを利用できます。ライブカーネルパッチは、影響度が重大および重要な CVE を修正するための Extended Update Support (EUS) の RHEL で対象となる一部のマイナーリリースストリームに提供されます。
カーネルの RHEL 7.7 バージョンの kpatch ストリームに登録するには、RHEA-2019:2011 アドバイザリーによる kpatch-patch-3_10_0-1062 パッケージをインストールします。
詳細は、カーネル管理ガイドの カーネルライブパッチを使用したパッチの適用 を参照してください。
IMA および EVM 機能がすべてのアーキテクチャーでサポートされるようになりました。
Integrity Measurement Architecture (IMA) および Extended Verification Module (EVM) が利用可能なすべてのアーキテクチャーで完全にサポートされるようになりました。RHEL 7.6 では、AMD64 および Intel 64 アーキテクチャーでのみ対応していました。
IMA および EVM は、拡張属性に割り当てられたラベルを使用して、カーネルが実行時にファイルの整合性をチェックできるようにします。IMA および EVM を使用して、ファイルが誤って行われているかどうか、悪意のある変更の有無を監視できます。
ima-evm-utils パッケージは、ユーザーアプリケーションとカーネル機能の間のインターフェイスを行うためのユーザー空間ユーティリティーを提供します。
(BZ#1636601)
RHEL 7.7 の新規インストールで Spectre V2 の軽減策のデフォルトが IBRS から Retpoline に変更されました。
第 6 世代 Intel Core プロセッサーが搭載されたシステムに対する Spectre V2 脆弱性 (CVE-2017-5715) のデフォルトの軽減策と、その類似策 [1] が、RHEL 7.7 の新規インストールでは Indirect Branch Speculation (IBRS) から Retpoline に変更になりました。Red Hat は、Linux コミュニティーで使用されるデフォルトに合わせて、損失したパフォーマンスを復元する Intel 社の推奨事項により、この変更を実装しました。ただし、場合によっては、Retpoline を使用すると、Spectre V2 が完全に軽減されない場合があります。Intel 社の Retpoline ドキュメント [2] は、露出時のすべてのケースを説明します。本書は、攻撃のリスクが低いことも示しています。
RHEL 7.6 以前のインストールの場合、IBRS はデフォルトの軽減策になります。RHEL 7.7 以降のバージョンの新規インストールでは、spectre_v2=retpoline がカーネルコマンドラインに追加されます。以前のバージョンの RHEL 7 から RHEL 7.7 にアップグレードする変更は加えられません。
ユーザーは、使用する spectre_v2 軽減策を選択できることに注意してください。Retpoline を選択するには: a) "spectre_v2=retpoline" フラグをカーネルコマンドラインに追加し、再起動します。b) あるいは、実行時に次のコマンドを実行します: "echo 1 > /sys/kernel/debug/x86/retp_enabled"
IBRS を選択するには: a) カーネルコマンドラインから "spectre_v2=retpoline" フラグを削除し、再起動します。b) あるいは、実行時に次のコマンドを発行します: "echo 1 > /sys/kernel/debug/x86/ibrs_enabled"
カーネルモジュールが Retpoline に対応するように構築されていない場合は、/sys/devices/system/cpu/vulnerabilities/spectre_v2 ファイルで脆弱性、および /var/log/messages ファイルで問題のあるモジュールを特定します。詳細は How to determine which modules are responsible for spectre_v2 returning "Vulnerable: Retpoline with unsafe module(s)"?]を参照してください。
[1]第 6 世代 Intel Core プロセッサーと、その類似の派生製品は、Intel 社の Retpoline ドキュメントで Skylake-generation と呼ばれているものです。
[2] Retpoline: A Branch Target Injection Mitigation - White Paper
(BZ#1653428, BZ#1659626)
PMTU 検出およびルートのリダイレクトが VXLAN トンネルおよび GENEVE トンネルで対応するようになりました。
以前では、Red Hat Enterprise Linux (RHEL) のカーネルは、Virtual Extensible LAN (VXLAN) および Generic Network Virtualization Encapsulation (GENEVE) トンネルの Internet Control Message Protocol (ICMP) および ICMPv6 メッセージを処理していませんでした。これにより、パス MTU (PMTU) の検出およびルートのリダイレクトは VXLAN トンネルおよび GENEVE トンネルでサポートされていませんでした。今回の更新で、カーネルが ICMP の Destination Un reachable と Redirect Message、および ICMPv6Packet Too Big エラーメッセージを、PMTU を調整すると転送情報を修正することで、Destination UnPeerEndpoints エラーメッセージを処理するようになりました。その結果、PMTU 検出およびルートのリダイレクトが VXLAN トンネルおよび GENEVE トンネルでサポートされるようになりました。
(BZ#1511372)
IBM POWER でハードウェアトランザクションメモリーを無効にする新しいカーネルコマンドラインオプション
RHEL 7.7 では、ppc_tm=off カーネルコマンドラインオプションが追加されました。ユーザーが起動時に ppc_tm=off を渡すと、カーネルは IBM POWER システムのハードウェアトランザクションメモリーを無効にし、アプリケーションで使用できなくなります。以前は、RHEL 7 カーネルは、ハードウェアおよびファームウェアでサポートされているたびに、IBM POWER システムのハードウェアトランザクションメモリー機能を無条件にアプリケーションが利用できるようにしました。
(BZ#1694778)
Intel® Omni-Path Architecture (OPA) ホストソフトウェア
Red Hat Enterprise Linux 7.7 は、Intel® Omni-Path Architecture (OPA) ホストソフトウェアに完全に対応しています。Intel OPA は、クラスター環境のコンピュートと I/O ノード間の高性能データ転送 (高帯域幅、高メッセージレート、低レイテンシー) のために、初期化とセットアップを行う Host Fabric Interface (HFI) ハードウェアを提供します。
Intel Omni-Path Architecture のインストール方法は、https://www.intel.com/content/dam/support/us/en/documents/network-and-i-o/fabric-products/Intel_OP_Software_RHEL_7_7_RN_K65224.pdf を参照してください。
(BZ#1739072)
IBPB を直接無効にできない
この RHEL カーネルソースコードの更新では、Indirect Branch Prediction Barrier (IBPB)制御メカニズムを直接無効にすることはできません。Red Hat は、この設定のパフォーマンスの問題を予測しません。
(BZ#1807647)
