4.7. 内核
RHEL 7.7 中的内核版本
Red Hat Enterprise Linux 7.7 带有内核版本 3.10.0-1062。
(BZ#1801759)
现在提供了内核的实时补丁
内核的实时补丁 kpatch 提供了在不重启或重启任何进程的情况下修补正在运行的内核的机制。对于 延长更新支持(EUS) 策略涵盖的所选 RHEL 次版本,将提供实时内核补丁,以修复级别为关键(Critical)和重要(Important) CVE。
要订阅 RHEL 7.7 版本的 kernel 7.7 的 kpatch 流,请安装 RHEA -2019:5-8 公告提供的 kpatch-patch-3_10_0-1062 软件包。
如需更多信息,请参阅内核管理指南中的使用内核实时补丁应用补丁。
IMA 和 EVM 功能现在在所有构架中都被支持
现在,所有可用构架上完全支持完整性测量架构(IMA)和扩展验证模块(EVM)。在 RHEL 7.6 中,它们只在 AMD64 和 Intel 64 构架中被支持。
IMA 和 EVM 支持内核使用附加到扩展属性的标签,在运行时检查文件的完整性。您可以使用 IMA 和 EVM 来监控文件是否被意外或恶意更改。
ima-evm-utils 软件包提供用户空间实用程序,可在用户应用程序和内核功能之间进行接口。
(BZ#1636601)
在 RHEL 7.7 的新安装中,Spectre V2 缓解默认从 IBRS 改为 Retpoline
对于有第 6 代 Intel Core Processors 和其接近派生方(CVE-2017-5715)的系统,在 RHEL 7.7 的新安装中,Spectre V2 漏洞的默认缓解方案(CVE-2017-5715)已从 Indirect Branch Restricted Speculation (IBRS)改为 Retpoline。红帽已进行了这个变化,因为 Intel 的建议与 Linux 社区中使用的默认值一致,并恢复丢失的性能。但请注意,在某些情况下使用 Retpoline 可能无法完全缓解 Spectre V2。Intel 的回复文档 [2] 描述了任何暴露情况。本文档还说明攻击的风险较低。
对于 RHEL 7.6 和更早的安装,IBRS 仍然是默认的缓解方案。新的 RHEL 7.7 及更新版本安装会将"spectre_v2=retpoline"添加到内核命令行中。从早期版本的 RHEL 7 升级到 RHEL 7.7 不会进行任何更改。
请注意,用户可以选择将使用哪些 spectre_v2 缓解方案。要选择 Retpoline: a)在内核命令行中添加 "spectre_v2=retpoline" 标志,并在运行时运行以下命令: "echo 1 > /sys/kernel/debug/x86/retp_enabled"
要选择 IBRS: a)从内核命令行中删除 "spectre_v2=retpoline" 标志,并在运行时运行以下命令: "echo 1 > /sys/kernel/debug/x86/ibrs_enabled"
如果没有使用 Retpoline 支持构建一个或多个内核模块,/sys/devices/system/cpu/vulnerabilities/spectre_v2 文件将指示漏洞,/var/log/messages 文件将识别出错模块。如需更多信息 ,请参阅如何确定哪些模块负责 spectre_v2 返回 "Vulnerable: Retpoline"?
[1] "6th generation Intel Core Processors and its close derivatives" 是 Intel 的 Retpoline 文档所代表的"Skylake-generation"。
[2] Retpoline:一个分支目标入侵缓解 - 白皮书
(BZ#1653428, BZ#1659626)
现在 VXLAN 和 GENEVE 隧道支持 PMTU 发现和路由重定向
在以前的版本中,Red Hat Enterprise Linux (RHEL)中的内核无法处理虚拟可扩展 LAN (VXLAN)和通用网络虚拟化封装(GENEVE)隧道的互联网控制消息协议(ICMP)和 ICMPv6 消息。因此,VXLAN 和 GENEVE 隧道不支持路径 MTU (PMTU)发现和路由重定向。在这个版本中,内核通过调整 PMTU 并修改转发信息来处理 ICMP "Destination Unreachable" 和 "Redirect Message" 错误消息,以及 ICMPv6 "Packet Too Big" 和 "Destination Unreachable" 错误消息。现在,VXLAN 和 GENEVE 隧道支持 PMTU 发现和路由重定向。
(BZ#1511372)
新的内核命令行选项,用于禁用 IBM POWER 中的硬件事务内存
RHEL 7.7 引入了 ppc_tm=off 内核命令行选项。当用户在引导时通过 ppc_tm=off 时,内核会禁用 IBM POWER 系统上的硬件事务内存,并使其对应用程序不可用。在以前的版本中,当应用程序被硬件和固件支持时,RHEL 7 内核会无条件地将 IBM POWER 系统上的硬件事务内存功能提供给应用程序。
(BZ#1694778)
Intel® Omni-Path Architecture (OPA) 主机软件
Red Hat Enterprise Linux 7.7 完全支持 Intel® Omni-Path Architecture(OPA)主机软件。Intel OPA 为在集群环境中的计算和 I/O 节点之间的高性能数据传输(高带宽、高消息率、低延迟)提供主机 Fabric Interface(HFI)硬件初始化和设置。
有关安装 Intel Omni-Path 架构文档的说明,请参阅:https://www.intel.com/content/dam/support/us/en/documents/network-and-i-o/fabric-products/Intel_OP_Software_RHEL_7_7_RN_K65224.pdf
(BZ#1739072)
IBPB 无法被直接禁用
在这个版本中,无法直接禁用 Indirect Branch Prediction Prediction Barrier (IBPB) 控制机制。红帽不会对此设置产生任何性能问题。
(BZ#1807647)
