4.7. 커널
RHEL 7.7의 커널 버전
Red Hat Enterprise Linux 7.7은 커널 버전 3.10.0-1062와 함께 배포됩니다.
(BZ#1801759)
커널에 대한 실시간 패치 사용 가능
커널에 대한 라이브 패치인 kpatch 는 프로세스를 재부팅하거나 다시 시작하지 않고 실행 중인 커널에 패치를 적용하는 메커니즘을 제공합니다. EUS (Extended Update Support) 정책에 따라 심각 및 중요한 CVE를 해결하기 위해 적용되는 RHEL의 일부 마이너 릴리스 스트림에 대해 라이브 커널 패치가 제공됩니다.
RHEL 7.7 버전의 커널의 kpatch 스트림을 구독하려면 RHEA-2019:2011 권고에서 제공하는 kpatch-patch-3_10_0-1062 패키지를 설치합니다.
자세한 내용은 커널 관리 가이드의 커널 실시간 패치를 사용하여 패치 적용을 참조하십시오.
이제 모든 아키텍처에서 IMA 및 EVM 기능이 지원됩니다.
무결성 측정 아키텍처(IMA) 및 EVM(Extended Verification Module)이 이제 사용 가능한 모든 아키텍처에서 완전하게 지원됩니다. RHEL 7.6에서는 AMD64 및 Intel 64 아키텍처에서만 지원되었습니다.
IMA 및 EVM을 사용하면 커널이 확장 속성에 연결된 라벨을 사용하여 런타임 시 파일의 무결성을 확인할 수 있습니다. IMA 및 EVM을 사용하여 파일이 실수로 또는 악의적으로 변경되었는지 모니터링할 수 있습니다.
ima-evm-utils 패키지는 사용자 애플리케이션과 커널 기능 간의 인터페이스에 사용할 수 있는 사용자 공간 유틸리티를 제공합니다.
(BZ#1636601)
RHEL 7.7의 새로운 설치에서 Spectre V2 완화 기본 변경 IBRS에서 Retpoline
6세대 Intel 코어 프로세서 및 가까운 미미도가 있는 시스템의 경우 Spectre V2 취약점 (CVE-2017-5715)의 기본 완화 조치가 RHEL 7.7의 새로운 설치에서 Indirect branch Restricted Speculation (IBRS)에서 Retpoline으로 변경되었습니다. Red Hat은 Linux 커뮤니티에 사용된 기본값과 손실된 성능을 복원하기 위해 Intel의 권장 사항 때문에 이러한 변경 사항을 구현했습니다. 그러나 경우에 따라 Retpoline을 완전히 완화하지 못할 수 있습니다. Intel의 Retpoline 문서 [2]는 노출 사례를 설명합니다. 이 문서에서는 또한 공격의 위험이 낮습니다.
RHEL 7.6 이하의 설치의 경우 IBRS는 여전히 기본 완화 조치입니다. RHEL 7.7 이상 버전을 새로 설치하면 커널 명령줄에 "spectre_v2=retpoline"이 추가됩니다. 이전 버전의 RHEL 7에서 RHEL 7.7로의 업그레이드는 변경되지 않습니다.
사용자는 사용할 spectre_v2 완화 기능을 선택할 수 있습니다. Retpoline: a) 커널 명령행에 "spectre_v2=retpoline" 플래그를 추가하고 재부팅. b) 런타임 시 "echo 1 > /sys/kernel/debug/x86/retp_enabled" 명령을 실행합니다.
IBRS: a) 커널 명령행에서 "spect_v2=retpoline" 플래그를 제거하고 재부팅. b) 런타임 시 다음 명령을 실행합니다. "echo 1 > /sys/kernel/debug/x86/ibrs_enabled"
Retpoline 지원을 통해 하나 이상의 커널 모듈이 빌드되지 않은 경우 /sys/devices/system/cpu/vulnerabilities/spectre_v2 파일은 취약점을 나타내고 /var/log/ ECDHE 파일에서 오프로드 모듈을 식별합니다. 자세한 내용은 spectre_v2에서 "Vulnerable: Retpoline with unsafe module(s)"을 반환하는 모듈을 확인하는 방법을 참조하십시오.
[1] "6세대 Intel Core Processors 및 그 가까운 파생물"은 Intel의 Retpoline 문서가 "Skylake-generation"이라고 합니다.
[2] retpoline: A branch TargetECDHE Mitigation - White paper
(BZ#1653428, BZ#1659626)
이제 VXLAN 및 GENECDHEE 터널에서 PMTU 검색 및 경로 리디렉션이 지원됩니다.
이전에는 RHEL(Red Hat Enterprise Linux)의 커널이 VXLAN(Virtual Extensible LAN) 및 GRE(Generic Network Virtualization Encapsulation) 터널에 대한 IICMP(Internet Control Message Protocol) 및 ICMPv6 메시지를 처리하지 않았습니다. 그 결과 VXLAN 및 GENECDHEE 터널에서는 Path MTU(PMTU) 검색 및 경로 리디렉션이 지원되지 않았습니다. 이번 업데이트를 통해 커널은 PMTU를 조정하고 전달 정보를 수정하여 ICMPv6 "Packet Too Big" 및 "Destination Unreachable" 오류 메시지뿐만 아니라 ICMP "Destination Unreachable" 및 "Redirect Message" 및 "Destination Unreachable" 오류 메시지를 처리합니다. 그 결과, 이제 PMTU 검색 및 경로 리디렉션이 VXLAN 및 GENECDHEE 터널에서 지원됩니다.
(BZ#1511372)
IBM POWER에서 하드웨어 트랜잭션 메모리를 비활성화하는 새로운 커널 명령줄 옵션
RHEL 7.7에는 ppc_tm=off 커널 명령줄 옵션이 도입되었습니다. 사용자가 부팅 시 ppc_tm=off 를 통과하면 커널은 IBM POWER 시스템에서 하드웨어 트랜잭션 메모리를 비활성화하고 애플리케이션에서 사용할 수 없게 합니다. 이전 버전에서는 RHEL 7 커널이 무조건 IBM POWER 시스템에서 하드웨어 트랜잭션 메모리 기능을 하드웨어 및 펌웨어에서 지원할 때마다 애플리케이션에서 사용할 수 있도록 했습니다.
(BZ#1694778)
Intel® Omni-Path Architecture (OPA) 호스트 소프트웨어
Intel® Omni-Path Architecture(OPA) 호스트 소프트웨어는 Red Hat Enterprise Linux 7.7에서 완전하게 지원됩니다. Intel OPA는 클러스터형 환경의 컴퓨팅 및 I/O 노드 간에 고성능 데이터 전송(고가 대역폭, 메시지 속도, 짧은 대기 시간)을 위해 HFI(Host Fabric Interface) 하드웨어에 초기화 및 설정을 제공합니다.
Intel Omni-Path Architecture 설명서 설치에 대한 자세한 내용은 https://www.intel.com/content/dam/support/us/en/documents/network-and-i-o/fabric-products/Intel_OP_Software_RHEL_7_7_RN_K65224.pdf을 참조하십시오.
(BZ#1739072)
IBPB는 직접 비활성화할 수 없습니다.
이 RHEL 커널 소스 코드 업데이트를 통해 IBPB(Indirect branch Prediction Barrier) 제어 메커니즘을 직접 비활성화할 수 없습니다. Red Hat은 이 설정에서 성능 문제를 예상하지 않습니다.
(BZ#1807647)
