De nieuwste Linuxkernel ondersteunt voortaan persistent memory. Bovendien heeft versie 5.1 een nieuwe beveiligingsupdate met SafeSetID Linux Security Module (LSM) gekregen en voorkomt Atomic Replace de noodzaak van rebooten, aldus ZDnet.
Volgens de Fins-Amerikaanse informaticus Linus Torvalds, ontwikkelaar en coördinator van de Linuxkernel, is er bij deze versie geen sprake van ‘opwindende’ updates. Linux 5.1 ziet er volgens hem heel gewoon uit met nu alleen iets meer dan 13.000 commits. In het geval je de samenvoegingen telt, komt daar nog eens 1.000 bij. Iets dat we tegenwoordig als vrij normaal beschouwen.
Persistent memory
Wel wordt het persistent memory nu ondersteund. Hoewel non-volatile memory (NVM) lang niet zo snel is als het klassieke RAM, biedt het nieuwere systemen wel de mogelijkheid om geheugen uit te breiden. Er mag dan ook voorzichtig geconcludeerd worden, dat we op weg zijn om RAM en storage te combineren.
“Dit is bedoeld voor gebruik met NVDIMM’s, die fysiek persistent zijn. Fysiek als in flash. Hierdoor kunnen ze worden gebruikt als een kosteneffectieve RAM-vervanging. Intel Optane DC persistent memory is een implementatie van dit soort NVDIMM”, aldus Dave Hansen, Linux-ontwikkelaar.
SafeSetID Linux Security Module (LSM)
Verder heeft Linux 5.1 ook een nieuwe beveiligingsupdate gekregen met SafeSetID Linux Security Module (LSM). Deze update zorgt ervoor dat gebruikers overschakelen naar root-gebruiker om op systeemniveau commando’s veiliger uit te kunnen voeren. Hier schuilt echter wel gevaar in: wanneer een opdracht wordt uitgevoerd als root-gebruiker, kan die opdracht hoogstwaarschijnlijk alles doen, wat de rootgebruiker kan doen.
Daarentegen kan LSM een niet-rootprogramma op een witte lijst gebaseerde root-level-opdrachten uitvoeren, zonder volledige root-privileges. Denk dan bijvoorbeeld aan het instellen van de Setuid-naar-User-ID (UID) of het maken van een nieuwe user namespace. Bij deze oplossing is nog wel sprake van work in progress, maar het zou Linux-scripts veiliger moeten maken.
Atomic Replace
Nu kunnen de meeste wijzigingen in een Linux-systeem worden aangebracht zonder eerst opnieuw te moeten opstarten. Toch vragen echt grote veranderingen nog steeds om een herstart. Een probleem, zeker gezien Linux op servers wordt gebruikt, die je bij voorkeur geen seconde wilt laten pauzeren. Hiervoor zijn overigens al enige tijd Linux add-on programma’s voor beschikbaar, die een systeem tijdens een reboot laten doordraaien. Ksplce, Kpatch en kGraft zijn in deze de meest bekende add-on’s.
Atomic Replace is nu standaard in versie 5.1 ingebouwd en voorkomt een herstart door het creëren van cumulatieve patches toe te staan. Deze omvatten alle gewenste wijzigingen van alle oudere live-patches, die in één keer volledig worden vervangen. Server onderhoud of het verwijderen van een patch, die zich midden in een stapel live updates bevindt, kunnen dus plaatsvinden zonder dat een reboot noodzakelijk is.
Lees ook: Microsoft stopt volwaardige Linux-kernel in Windows 10
10 uur geleden
Expert bijdrage
