第12章 カーネル

新しい Intel プロセッサーのメモリー保護キーをサポート可能に

メモリー保護キーは、ページベースの保護を強化するメカニズムですが、アプリケーションが保護ドメインを変更した時にページテーブルを修正する必要はありません。お使いのプロセッサーがメモリー保護キーをサポートするかどうかを確認するには、/proc/cpuinfo ファイルに pku フラグがあるかどうかを調べます。プログラミング例を含む詳細情報は、kernel-doc パッケージが提供する /usr/share/doc/kernel-doc-*/Documentation/x86/protection-keys.txt ファイルを参照してください。(BZ#1272615)

Pondicherry 2 メモリーコントローラーに EDAC のサポートを追加

Intel Atom C3000 シリーズのプロセッサーをベースにしたマシンで使用される Pondicherry 2 メモリーコントローラーに、EDAC (Error Detection and Correction) のサポートが追加されました。(BZ#1273769)

MBA をサポート可能に

MBA (Memory Bandwidth Allocation) は、Broadwell サーバーにおける既存の CQE (Cache QoS Enforcement) 機能を拡張したものです。MBA は Intel 社の RDT (Resource Director Technology) の機能で、アプリケーションのメモリー帯域幅を制御します。今回の更新で、MBA のサポートが追加されました。(BZ#1379551)

スワップの最適化により、高速ブロックデバイスをセカンダリーメモリーとして使用可能

他のメモリー管理サブシステムに比べて回転ディスクのパフォーマンスが非常に劣っていたため (特にレイテンシーに関して)、これまでスワップサブシステムのパフォーマンスは重要視されていませんでした。しかし、高速の SSD デバイスが出現したため、スワップサブシステムのオーバーヘッドが顕著となりました。今回の更新で、このオーバーヘッドを削減するための種々のパフォーマンス最適化が行われました。(BZ#1400689)

HID Wacom がバージョン 4.12 にリベース

HID Wacom カーネルモジュールパッケージがアップストリームバージョン 4.12 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
  • hid_wacom 電力供給コードが更新され、従来の問題が解消されました。
  • Bluetooth ベースの Intuos 2 Pro ペンタブレットに対するサポートが追加されました。
  • Intuos 2 Pro ペンタブレットおよび Bamboo Slate に影響を及ぼしていたバグが修正されました。(BZ#1475409)

新たな livepatch 機能で、kpatch-patch パッケージのレイテンシーが改善され成功率が向上

今回の更新で、kpatch カーネルライブパッチインフラストラクチャーがアップグレードされ、カーネルへのパッチ適用にアップストリームの新たな livepatch 機能を使用できるようになりました。この機能により、kpatch-patch ホットフィックスパッケージのスケジュールレイテンシーが改善され、成功率があがりました。(BZ#1430637)

Persistent Kernel Module Upgrade (PKMU) をサポート

kmod パッケージにより、カーネルモジュールの自動読み込み、アンロード、および管理を処理するさまざまなプログラムが提供されます。以前のリリースでは、kmod は /lib/modules/<kernel version> ディレクトリー内のモジュールしか検索しませんでした。その結果、モジュールを読み込み可能にするために /usr/sbin/weak-modules スクリプトを実行して symlink をインストールするなど、ユーザーは追加の操作を実施する必要がありました。今回の更新で kmod が修正され、ファイルシステム内のあらゆる場所にあるモジュールを検索するようになりました。したがって、ユーザーは新たなモジュールを別のディレクトリーにインストールし、そのモジュールを探すように kmod ツールを設定することができるので、新たなカーネルは自動的にモジュールを利用できるようになりました。1 つのカーネルに複数のディレクトリーを指定することや、カーネルごとに異なるディレクトリーを指定することもできます。カーネルバージョンは、正規表現で指定します。(BZ#1361857)

Linux カーネルが暗号化された SMB 3 接続をサポート可能に

SMB (Server Message Block) プロトコルを使用する場合、この機能の導入前はカーネルは暗号化されていない接続しかサポートしていませんでした。今回の更新で、SMB 3.0 以降のプロトコルバージョンに対する暗号化のサポートが追加されました。そのため、サーバーがこの機能を提供、または要求した場合に、暗号化を使用して SMB 共有をマウントできるようになりました。
暗号化された SMB プロトコルを使用して共有をマウントするには、mount コマンドに seal マウントオプションと vers マウントオプション (3.0 以降に設定) を付けて実行します。詳細と例は、『Red Hat Enterprise Linux 7 Storage Administration Guide』seal パラメーターの説明を参照してください。(BZ#1429710)

AMD Naples プラットフォームで SME を有効化

今回の更新で、AMD Naples プラットフォームベースのシステムで AMD Secure Memory Encryption (SME) を利用できるようになりました。Advanced Encryption Standard (AES) エンジンは、ダイナミックランダムアクセスメモリー (DRAM) を暗号化および復号化することができます。AES エンジンの提供する SME は、ハードウェアプローブ攻撃からマシンを保護することを目的としています。SME をアクティブ化するには、カーネルパラメーター mem_encrypt=on を設定してシステムを起動します。(BZ#1361287)

ie31200_edac ドライバーのサポートを追加

この機能拡張により、Skylake および Kabi Lake CPU ファミリーのコンシューマーバージョンに、ie31200_edac ドライバーのサポートが追加されました。(BZ#1482253)

EDAC が GHES をサポート可能に

この機能拡張により、BIOS が提供する GHES (Generic Hardware Error Source) を使用するために EDAC (Error Detection and Correction) のサポートが追加されました。GHES は、ハードウェア固有のドライバーの代わりに、メモリー修正済および未修正エラーのソースとして使用されます。(BZ#1451916)

CUIR 要求範囲の検出強化を完全にサポート

Control Unit Initiated Reconfiguration (CUIR) のサポートにより、Direct Access Storage Device (DASD) デバイスドライバーは DASD へのパスを自動的にオフラインに移行して並行サービスに対応することができます。DASD へのパスが他にあれば、DASD は利用可能な状態を維持します。
再びパスが利用可能になると、CUIR は DASD デバイスドライバーにその旨を伝え、デバイスドライバーはパスをオンラインに戻すことを試みます。
Logical Partitioning (LPAR) モードで動作中の Linux インスタンスに対するサポートに加えて、IBM z/VM システム上の Linux インスタンスに対するサポートが追加されました。(BZ#1494476)

ルートファイルシステムをマウントせずに、kdumpvmcore の収集が可能

Red Hat Enterprise Linux 7.4 の kdump では、必ずしも vmcore イメージファイルの収集に必要ではなくても、ルートファイルシステムがマウントされている必要がありました。その結果、ダンプターゲットがルートファイルシステムではなく USB やネットワーク上にありルートデバイスをマウントできない場合、kdumpvmcore ファイルの収集に失敗していました。この機能拡張で、ルートデバイスがダンプに必要ない場合デバイスはマウントされず、vmcore ファイルを収集できるようになりました。(BZ#1431974、BZ#1460652)

KASLR を完全にサポートし、デフォルトで有効化

カーネルアドレス領域レイアウトのランダム化 (KASLR) は、以前のリリースではテクノロジープレビューでしたが、AMD64 および Intel 64 アーキテクチャー上の Red Hat Entreprise Linux 7.5 で完全にサポートされるようになりました。KASLR は、カーネルテキストの KASLR と mm の KASLR の 2 つからなるカーネル機能です。この 2 つが共に機能して、Linux カーネルのセキュリティーを強化します。
カーネルテキストの物理アドレスと仮想アドレスが、それぞれ別の位置にランダム化されます。カーネルの物理アドレスは 64 TB の任意の場所に配置できますが、カーネルの仮想アドレスは、[0xffffffff80000000 - 0xffffffffc0000000] の間の 1 GB 領域に制限されます。
3 つの mm セクション (直接マッピング、vmalloc、および vmemmap セクション) の開始アドレスは、特定の領域でランダム化されています。以前のリリースでは、このセクションの開始アドレスは固定値でした。
攻撃者は、特定の記号がカーネルアドレス領域のどこにあるかを知る必要があります。したがって、カーネルアドレス領域に悪意のあるコードが挿入され、カーネルの実行がそのコードにリダイレクトされるのを、KASLR により防ぐことができます。
KASLR コードが Linux カーネルにコンパイルされ、デフォルトで有効になるようになりました。明示的に無効にするには、nokaslr カーネルオプションをカーネルコマンドラインに追加します。(BZ#1491226)

Intel® Omni-Path Architecture (OPA) ホストソフトウェアのサポート

Intel® Omni-Path Architecture (OPA) ホストソフトウェアは、Red Hat Enterprise Linux 7.5 で完全にサポートされます。Intel OPA を使用すると、Host Fabric Interface (HFI) ハードウェアに対して、クラスター環境内のコンピュートノードと I/O ノード間の高パフォーマンスデータ転送 (高帯域幅、高メッセージレート、低レイテンシー) 向けの初期化および設定を実行できます
Intel® Omni-Path Architecture ドキュメントのインストール方法については、『Intel® Omni-Path Fabric Software in Red Hat* Enterprise Linux* 7.5 Release Notes』を参照してください。(BZ#1543995)

noreplace-paravirt をカーネルコマンドラインパラメーターから削除

noreplace-paravirt カーネルコマンドラインパラメーターと Spectre および Meltdown の脆弱性問題を軽減するパッチの互換性が失われたので、パラメーターが削除されました。カーネルコマンドラインで noreplace-paravirt を指定して AMD64 および Intel 64 システムを起動すると、オペレーティングシステムの再起動が繰り返されます。(BZ#1538911)

SGI UV2+ システムで新たな EFI memmap の実装が利用可能に

従来のリリースでは、kexec 再起動をまたいだ Extensible Firmware Interface (EFI) の安定したランタイムサービスマッピング (memmap) の実装は、Silicon Graphics International (SGI) UV2 およびそれ以降のシステムでは利用することができませんでした。今回の更新で、EFI memmap のサポートが追加されました。さらに今回の更新で、kdump カーネルによる Secure Boot の使用も可能になりました。(BZ#1102454)

柔軟なファイルレイアウトが可能な pNFS 共有のマウントを完全にサポート

pNFS クライアントでの柔軟なファイルレイアウトは、Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして初めて導入され、Red Hat Enterprise Linux 7.5 で完全にサポートされるようになりました。
pNFS の柔軟なファイルレイアウトは、中断のないファイルモビリティーやクライアント側のミラーリングなどの高度な機能を有効にし、データベース、ビッグデータ、仮想化の技術領域のユーザビリティーを強化します。pNFS の柔軟なファイルレイアウトについての詳細情報は、「Parallel NFS (pNFS) Flexible File Layout」を参照してください。(BZ#1349668)