Институт системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН) сообщил о формировании Консорциума участников по поддержке Технологического центра исследования безопасности ядра Linux. Главной задачей новой организации является повышение уровня защищённости российских ОС.

Названный технологический центр был создан в 2021 году на базе ИСП РАН под эгидой ФСТЭК России в целях реализации федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации». Специалисты центра работают над повышением безопасности отечественных Linux-платформ.

Источник изображения: pixabay.com

Предполагается, что появление нового консорциума позволит поднять эффективность исследований в обозначенной сфере. Кроме того, будет решён вопрос дублирования работ по изучению и устранению проблем безопасности Linux. Консорциум не является юридическим лицом и может расширяться по мере выполнения задач и достижения целей. Присоединиться к организации могут компании, чья деятельность так или иначе связана с исследованиями безопасности Linux-систем.

В число направлений деятельности консорциума входят: совершенствование средств разработки и тестирования ПО; повышение квалификации разработчиков отечественных Linux-продуктов; улучшение нормативного и методического обеспечения процессов безопасной разработки ПО в России; разработка методик и рекомендаций по исследованию безопасности ядра Linux; развитие инфраструктуры для научной, научно-технической и инновационной деятельности, направленной на повышение уровня защищённости отечественных Linux-систем и пр.

Сообщество разработчиков ядра Linux отказалось принимать от российской компании «Байкал Электроникс» патчи для ядра. О запрете, как отмечает ресурс Phoronix, сообщил Якуб Кичиньский (Jakub Kicinski), занимающийся поддержкой сетевой подсистемы Linux. «Нам некомфортно принимать патчи от вашей организации или обновления, связанные с произведённым вами оборудованием», — заявил господин Кичиньский в переписке с Сергеем Сёминым, сотрудником «Байкал Электроникс».

Дело в том, что российский разработчик процессоров и SoC с архитектурами MIPS и Arm находится под европейскими и американскими санкциями. В этой связи Якуб Кичиньский посоветовал «Байкал Электроникс» воздержаться от внесения изменений в сетевую подсистему ядра Linux «до дальнейшего уведомления». Отметим, что именно благодаря «Байкал Электроникс» в ядре Linux появилась полноценная поддержка Warrior P5600 — именно это решение лежит в основе чипа «Байкал-Т1».

Источник изображения: «Байкал Электроникс»

Как уточняет Phoronix, отказ принимать патчи последовал после того, как «Байкал Электроникс» предложила ряд исправлений для сетевого драйвера STMMAC. Он предназначен для Ethernet-контроллеров Synopsys, которые используются в решениях российской компании. «Серия исправлений, о которой идёт речь, не относится непосредственно к решениям "Байкал Электроникс", а представляет собой всего лишь исправления для сетевого драйвера Synopsys, используемого несколькими различными аппаратными платформами/организациями», — подчёркивается в публикации.

Линус Торвальдс поддержал идею исключения поддержки процессоров Intel 486 (i486) из ядра Linux. В настоящее время именно эти 32-бит x86-совместимые чипы, впервые продемонстрированные ещё осенью 1989 года, являются минимально необходимыми для работы с оригинальным ядром Linux.

Поддержка i386 в Linux была прекращена около 10 лет назад. Теперь господин Торвальдс говорит о том, что, вероятно, настало время обеспечить возможность использования ядра только на 32-бит x86-процессорах с инструкцией cmpxchg8b. А это означает, что минимальным требованием станет наличие чипа серии Pentium и более поздних изделий.

«Я действительно не думаю, что оборудование класса i486 актуально в настоящее время. Да, я уверен, что оно существует, но с точки зрения развития ядра [Linux], не думаю, что оно сейчас актуально. Мы исключили поддержку i386 ещё в 2012 году. Может, пора избавиться от поддержки i486 в 2022 году?», — задаётся вопросом Линус Торвальдс. В прошлом году он отметил смерть ещё одного детища Intel — Itanium.

Источник изображения: Wikipedia (лицензия GNU FDL)

Отмечается, что Intel разработала встраиваемые процессоры (Quark) на базе i486, но они идентифицируют себя в качестве чипов Pentium-класса, а поэтому используют все соответствующие инструкции. Таким образом, их поддержка в Linux пока сохранится. Кроме того, на рынке присутствуют нишевые решения Vortex86, совместимые со старыми x86-процессорами. Наблюдатели высказывают предположения, что ядро Linux лишится совместимости с i486 в версии 6.2 LTS.

Фактически же крупные разработчики дистрибутивов вроде Red Hat или SUSE уже начали отказываться от поддержки и не таких древних процессоров x86-64, да и GCC с LLVM уже давно «знают» о микроархитектурных различиях этих платформ. Впрочем, есть целый список других архитектур, исключение поддержки которых из ядра обсуждается уже не первый год.

Компания Google объявила о внесении обновлений в программу kCTF (Capture-the-Flag для Kubernetes). Она продлила на неопределённый срок выплату увеличенного вознаграждения, о котором было объявлено ранее в этом году. То есть компания продолжит делать выплаты в пределах от $20 000 до $91 337 за взлом предложенных демонстрационных кластеров kCTF на базе инстансов Google Kubernetes Engine (GKE). Эта выплата будет осуществляться в дополнение к существующим вознаграждениям за исправления для упреждающих улучшений безопасности.

Однако Google заметила, что на текущий момент все уязвимости, позволяющие покинуть контейнер, были связаны с проблемами в ядре Linux. Поэтому компания запустила новые окружения (инстансы) с дополнительными наградами, чтобы оценить защищённость последнего стабильного релиза ядра Linux, а также новые экспериментальные средства защиты. Компания отметила, что разработанные ей меры защиты усложнят использование большинства обнаруженных в прошлом году багов (уязвимостей — в 9 из 10 случаях, эксплойтов — в 10 из 13 случаев).

Источник изображения: Pixabay

За создание новых эксплойтов для свежей стабильной ветки ядра Linux компания дополнительно заплатит $21 000. Для тех, кто скомпрометирует специальное ядро с расширенными экспериментальными патчами от Google, дополнительное вознаграждение составит $21 000. Таким образом, суммарно можно получить до $133 337. Ранее Google призвала другие компании выделять больше инженеров для разработки и сопровождения ядра Linux, а в прошлом году компания совместно с Linux Foundation выделила средства на оплату работы двух специалистов по обеспечению безопасности ядра.

В настоящее время только в трёх сертифицированных отечественных операционных Linux-системах задействовано ядро, поддерживаемое Технологическим центром исследования безопасности ядра Linux. Об этом на проходившей в Москве IX международной научно-практической конференции OS Day 2022 сообщил начальник второго управления Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Дмитрий Шевцов

«У нас есть три сертифицированные программные платформы, которые функционируют на базе отечественной ветки ядра Linux 5.10, выбранной в качестве основной и поддерживаемой специалистами Технологического центра. Остальные российские софтверные компании проводят соответствующие подготовительные работы и намерены перевести свои ОС на упомянутое ядро в скором времени», — заявил представитель ведомства.

По данным ФСТЭК России, наработки Технологического центра уже задействованы в дистрибутивах «Альт 8 СП», «Ред ОС» и «ОСнова». До конца 2023 года перевести свои продукты на рекомендованное регулятором безопасное ядро Linux планируют разработчики операционных систем Astra Linux Special Edition, «Роса Кобальт», AlterOS, «СинтезМ», «Циркон 37К», EMIAS OS. Не исключена вероятность подключения к российской ветке ядра Linux 5.10 компании «Открытая мобильная платформа», занимающейся развитием и продвижением ОС «Аврора» для портативных устройств.

Технологический центр исследования безопасности ядра Linux создан в 2021 году на базе Института системного программирования Российской академии наук (ИСП РАН) под эгидой ФСТЭК России в целях реализации федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации». Главной задачей Технологического центра является повышение уровня безопасности отечественных Linux-систем.

Партнёрами проекта выступают множество российских IT-компаний, в числе которых «Московский центр SPARC-технологий» (МЦСТ), «Ред Софт», «Информационные технологии и коммуникационные системы» («ИнфоТеКС»), «Байкал электроникс», «Базальт СПО», «РусБИТех-Астра» и многие другие организации.

В 2020 году компания Paragon Software объявила, что намерена открыть и добавить свой драйвер NTFS в ядро Linux, что и произошло в релизе 5.15. Однако, похоже, у проекта возникли проблемы — с момента его добавления в ядро, драйвер не получал сколько-нибудь значимых обновлений, хотя в коммитах они и предлагались. Проще говоря, сопровождением и поддержкой попросту никто не занимается.

Как передаёт Phoronix, Кари Аргилландер (Kari Argillander), который ранее внёс ряд исправлений в код драйвер NTFS3 в процессе проверки, заявил, что ему не удалось связаться с командой, ответственной за развитие проекта со стороны Paragon. Судя по всему, его запрос проигнорировали, или же поддержка драйвера действительно прекращена компанией. При этом в ветке разработки Paragon последние изменения были зафиксированы в ноябре прошлого года. К слову, они до сих пор не внесены в основную ветку ядра.

paragon-software.com

Таким образом, проблемы с драйвером от Paragon могут возникнуть в любой момент. Следует отметить, что сам драйвер должен был решить давно назревший вопрос по поводу полноценной поддержки файловой системы NTFS в ядре Linux. Ранее, напомним, новый драйвер NTFS был многократно проверен разработчиками ядра, и даже на раннем этапе он демонстрировал превосходство над старой реализацией. В частности, он лучше справлялся с чтением и записью данных.

UPD 03.06.2022: компания Paragon возобновила сопровождение драйвера и прислала первые патчи для него.

Даже самые надёжные серверы иногда должны перезагружаться, хотя бы при замене выходящих из строя компонентов или обновлении прошивок. Также не секрет, что наличие в системе сложных контроллеров и карт расширения может замедлять время загрузки, добавляя паузы на инициализацию таких плат. Но недавно Google столкнулась с уникальным случаем: Linux-серверы, оснащённые слишком большим числом NVMe-накопителей, стали перезагружаться слишком медленно.

Дело в том, что в текущем виде API ядра Linux выполняют процесс выключения и перезагрузки системы в синхронном режиме. При этом каждый NVMe-накопитель завершает свой процесс выключения примерно за 4,5 с, и пока он не завершится, система не перейдет к выключению следующего накопителя. Но популярность NVMe растёт, и наличие в сервере десятка-двух таких SSD — уже не редкость. Следовательно, только процесс завершения работы ОС может удлиняться на минуту и более, что неприемлемо с точки зрения минимизации времени простоя серверов.

Фото: Google

Google предлагает для ядра Linux переход на асинхронную модель процесса выключения системы, и уже разработала свой патч, сохраняющий, впрочем, совместимость со старой синхронной моделью. В текущем варианте он переводит все устройства на шине PCIe на использование асинхронной модели вызовов и вносит соответствующие изменения в драйвер NVMe. В этом случае команды на выключение отправляются последовательно сразу для всех дисков, после чего ожидается их завершение.

Разработчики Linux уже некоторое время обсуждают идею удаления файловой системы ReiserFS, так как она перестала быть актуальной уже более десяти лет назад, и вряд ли будет использоваться в современных рабочих нагрузках. И теперь, похоже, решение принято, даже несмотря на то, что в 2020 году была анонсирована пятая версия этой ФС. Кроме того, попутно было предложено избавиться в ядре от вообще всех устаревших ФС без сопровождения.

Как сообщает Phoronix, ожидается, что поддержку ReiserFS уберут из основной ветки ядра не ранее 2025 года, а из LTS-веток — чуть позже. На данный момент она отмечена в патче как устаревшая, так что при попытке монтирования система выдаст предупреждение. Разработка ФС, в том числе четвёртой версии, заметно замедлилась после ареста её основного автора, который будет отбывать заключение минимум до 2023 года.

Отмечается, что ReiserFS уже не имеет каких-либо однозначных преимуществ перед XFS, EXT4 и Btrfs. Это журналируемая файловая система, которая изначально разрабатывалась для Linux компанией Namesys. Она появилась в ядре 2.4.1 и какое-то время являлась основной файловой системой в некоторых дистрибутивах, в том числе крупных. Например, до октября 2006 года она была таковой в SLES.

Концепция NUMA (Non-uniform memory access) довольно давно доминирует в мире многосокетных систем, да и современные многоядерные чипы уже настолько велики, что вынуждены поддерживать NUMA-домены и в пределах одного CPU. Пространство памяти в таких системах по определению неоднородно. Более того, появление NVDIMM/PMem вносит ещё большую неоднородность, а распространением CXL только повысит сложность работы с памятью.

Как сообщает Phoronix, команда разработчиков AMD, работающая над адаптацией ПО для аппаратных решений компании, предлагают внести в основную ветку ядра Linux созданную ими технологию PAN. Расшифровывается название как Process Adaptive autoNUMA. В отличие от классической реализации AutoNUMA, PAN позволяет сделать распределение ресурсов (ядер и памяти) не только динамическим, но и более оптимально подстраивающимся под реальную нагрузку.

AMD приводит результаты предварительного тестирования, и они внушают оптимизм: так, в Graph500 выигрыш от использования PAN составил почти 15%, а тесты NAS показали прирост на 8%. При этом в ряде других тестов выигрыша замечено не было, или он составил менее 1%. Разработчики отмечают, что это пока ранняя реализация PAN, но внедрение данного механизма в ядро теоретически позволит повысить производительность практически «бесплатно».

Как сообщает ресурс Phoronix, инженеры Intel подготовили новую версию инструмента Seamless Update, позволяющего обновлять компоненты прошивок материнских плат на лету. Набор модулей pfr_update, как ожидается, попадёт в ядро Linux 5.17, что позволит упростить своевременное устранение критических ошибок и дыр безопасности в UEFI/BIOS без лишних простоев.

Ключевой особенностью нового варианта Platform Firmware Runtime Update (PFRU) стала поддержка технологии «капсульного обновления» UEFI, предоставляющая ОС возможность загрузки апдейтов прошивок с последующей передачей управления процессом их обработки низкоуровневому ПО материнской платы. Кроме того, был добавлен драйвер, дающий стандартизованный способ чтения данных телеметрии от прошивки. В связи с этим название механизма поменялось на PFRUT (T — telemetry).

Изображение: LinaroOrg

Кроме того, был добавлен и инструмент PFRUT Tool для работы с обновлениями UEFI и считывания параметров телеметрии. Механизмы, заложенные в PFRUT, поддерживают спецификацию ACPI, позволяя обновлять отдельные компоненты микропрограмм в режиме реального времени прямо из ОС (DSM) без необходимости перезагрузки, что является особенно важным для серверов, которые должны быть доступны 100% времени.