Archive pour la catégorie ‘Linus Torvalds’

Linus Torvalds livre la version 5.8 du noyau Linux

Samedi 8 août 2020

Il n’y aura pas de RC8 pour Linux 5.8. Le créateur du système d’exploitation a estimé qu’il n’était pas utile d’attendre une semaine de plus pour livrer la dernière version du noyau.

Linus Torvalds a décidé de livrer Linux 5.8 sans faire de release candidate 8. Après l’avoir envisagé « jusqu’à la dernière minute », le créateur du noyau a estimé dans son billet du 2 août qu’il n’était finalement pas très utile de passer par cette étape, compte-tenu du peu de problèmes qui restaient encore à régler. Il a de nouveau souligné l’intérêt qu’il y aurait à disposer d’un outil pour supprimer automatiquement les dépendances de fichiers d’en-tête. Sinon, parmi les derniers changements sur la 5.8, la semaine dernière a principalement été consacrée aux fonctionnalités réseau, notamment pilotes mellanox, selftests et autres « petites choses », ainsi qu’à des corrections sur le mécanisme de synchronisation RCU. Le reste des modifications a consisté en de petits ajustements sur les pilotes (gpu, rdma, pinctrl principalement) et sur l’architecture (arm, x86, powerpc), explique le mainteneur principal de Linux.

En juin dernier, au moment de la RC1, Linus Torvalds avait annoncé que la version 5.8 du noyau Linux était l’une des plus grosses mises à jour jamais réalisées pour le système d’exploitation open source, avec 800 000 nouvelles lignes de code et plus de 14 000 fichiers modifiés. Cela correspond à une révision d’environ 20% des fichiers du noyau. Linux 5.8 est donc là avec ses mises à jour pour étendre le support matériel, renforcer la sécurité, notamment sur l’architecture ARM64 (Shadow Call Stack, Branch Target Identification) et améliorer la prise en charge des pilotes graphiques (Radeon…). Des évolutions concernent aussi les processeurs Power10 et AMD (pilote de consommation d’énergie pour les CPU Zen/Zen2 et nouvelles capacités de compression F2FS).

La version 5.8 du noyau devrait être celle que l’on va trouver sur les distributions Linux de l’automne, comme Ubuntu 20.10.

Source lemondeinformatique.fr

Linus Torvalds valide la fonctionnalité Lockdown sur le noyau Linux

Mardi 8 octobre 2019

Une fonctionnalité de verrouillage dans le noyau Linux, proposée depuis plusieurs années, vient d’être acceptée par le créateur du kernel, Linus Torvalds. Lorsqu’elle sera activée, Lockdown permettra de restreindre l’accès à certaines fonctions du noyau.

L’introduction d’une fonctionnalité de « lockdown » dans le noyau Linux vient d’être approuvée par Linus Torvalds, après de nombreuses années d’échanges sur le sujet.

La plupart des distributions les plus courantes du système d’exploitation en ont proposé des variantes depuis de nombreuses années, mais le créateur du kernel open source était jusque-là réticent à l’insérer dans le noyau de l’OS.

Cette fonctionnalité a été présentée par Matthew Garret, ingénieur chez Google, qui en est à l’origine avec David Howells et d’autres développeurs.

Elle « introduit une fonctionnalité optionnelle de verrouillage du noyau destinée à renforcer le lien entre UID 0 et le noyau », indique la description d’origine.

« Lorsqu’elle est activée, différentes parties du kernel sont restreintes. Les applications qui s’appuient sur un accès de bas niveau vers les matériels ou le kernel cessent alors de fonctionner.

C’est la raison pour laquelle cela ne devrait pas être activé sans une évaluation préalable appropriée », préviennent ses zélateurs.

Lockdown va être fourni sous la forme d’un module de sécurité LSM dans la branche 5.4 du noyau qui va être livrée sous peu et permettra donc de verrouiller ce dernier plus tôt dans le processus de démarrage.

La fonctionnalité sera désactivée par défaut parce qu’elle pourrait endommager les systèmes existants. Activée, elle permettra de restreindre l’exploitation du noyau, y compris pour les utilisateurs du compte racine, ce qui rendra l’accès au reste de l’OS plus difficile pour les comptes racines compromis.

Linus Torvalds explique que cela restreint l’accès aux fonctions du kernel qui pourraient autoriser l’exécution de code arbitraire via du code apporté par des processus situés en dehors du noyau (userland processes).

Ainsi qu’énuméré sur git.kernel.org, cela bloque notamment les processus d’écriture ou de lecture /dev/mem et /dev/kmem memory ainsi que l’accès à l’ouverture /dev/port et renforce la signature de module du kernel.

Source lemondeinformatique.fr