Archive pour le mot-clef ‘Noyau’

Linus Torvalds valide la fonctionnalité Lockdown sur le noyau Linux

Mardi 8 octobre 2019

Une fonctionnalité de verrouillage dans le noyau Linux, proposée depuis plusieurs années, vient d’être acceptée par le créateur du kernel, Linus Torvalds. Lorsqu’elle sera activée, Lockdown permettra de restreindre l’accès à certaines fonctions du noyau.

L’introduction d’une fonctionnalité de « lockdown » dans le noyau Linux vient d’être approuvée par Linus Torvalds, après de nombreuses années d’échanges sur le sujet.

La plupart des distributions les plus courantes du système d’exploitation en ont proposé des variantes depuis de nombreuses années, mais le créateur du kernel open source était jusque-là réticent à l’insérer dans le noyau de l’OS.

Cette fonctionnalité a été présentée par Matthew Garret, ingénieur chez Google, qui en est à l’origine avec David Howells et d’autres développeurs.

Elle « introduit une fonctionnalité optionnelle de verrouillage du noyau destinée à renforcer le lien entre UID 0 et le noyau », indique la description d’origine.

« Lorsqu’elle est activée, différentes parties du kernel sont restreintes. Les applications qui s’appuient sur un accès de bas niveau vers les matériels ou le kernel cessent alors de fonctionner.

C’est la raison pour laquelle cela ne devrait pas être activé sans une évaluation préalable appropriée », préviennent ses zélateurs.

Lockdown va être fourni sous la forme d’un module de sécurité LSM dans la branche 5.4 du noyau qui va être livrée sous peu et permettra donc de verrouiller ce dernier plus tôt dans le processus de démarrage.

La fonctionnalité sera désactivée par défaut parce qu’elle pourrait endommager les systèmes existants. Activée, elle permettra de restreindre l’exploitation du noyau, y compris pour les utilisateurs du compte racine, ce qui rendra l’accès au reste de l’OS plus difficile pour les comptes racines compromis.

Linus Torvalds explique que cela restreint l’accès aux fonctions du kernel qui pourraient autoriser l’exécution de code arbitraire via du code apporté par des processus situés en dehors du noyau (userland processes).

Ainsi qu’énuméré sur git.kernel.org, cela bloque notamment les processus d’écriture ou de lecture /dev/mem et /dev/kmem memory ainsi que l’accès à l’ouverture /dev/port et renforce la signature de module du kernel.

Source lemondeinformatique.fr

 

Linux 5.3: les correctifs du noyau doivent avoir un impact pour les utilisateurs

Mardi 17 septembre 2019

Les développeurs du noyau Linux se voient rappeler une leçon que Linus Torvalds leur martèle depuis des années: s’il n’y a pas d’impact pour les utilisateurs, tais-toi.

Le mainteneur du noyau Linux, Linus Torvalds, a finalement annoncé la publication de Linux 5.3, après huit release candidates et un retard d’une semaine.

Selon Torvalds, ce retard a été une bonne chose : il a offert aux développeurs du noyau une leçon sur ce qui est important et sur la manière de cadrer les problèmes lorsqu’un bug est signalé.

Torvalds a eu un emploi du temps chargé la semaine dernière : il a donné deux interviews avec Steven J Vaughan-Nichols, responsable de l’open source chez ZDNet, lors de deux conférences principales: le Kernel Maintainers Summit et la Linux Plumbers Conference, qui se tenaient à Lisbonne, au Portugal, la semaine dernière.

Les développeurs du noyau ont planché sur les problemes dans « le processus de création et de maintenance du noyau Linux » en travaillant avec des équipes du monde entier, provenant de grandes organisations telles que Google, IBM, Intel et Nvidia.

Un bug peut en cacher un autre

Le retard dans la publication de la nouvelle version n’était pas une mauvaise nouvelle selon lui, car il a permis l’adoption de « bonnes solutions ». Torvalds souligne en particulier un problème qui ne constituait pas un bug, mais qui illustrait les difficultés du projet en matière de processus et de communication.

« Un des changements de dernière minute concernait le principal commit (outre le changement de version lui-même) effectué juste avant la publication, et bien que ce soit particulièrement ennuyeux, c’est peut-être aussi instructif », a écrit Torvalds.

Comme il l’explique, le commit lui-même n’était pas du tout buggé, mais il a tellement bien fonctionné que « les améliorations apportées aux entrées/sorties qu’il a provoqué ont finalement révélé une régression visible pour l’utilisateur en raison d’un véritable bug dans une zone totalement indépendante » qui aurait rendu la mise à niveau du noyau instable.

« Les détails réels de cette régression ne sont cependant pas la raison pour laquelle je dis que c’est un retour instructif. C’est plus qu’un exemple instructif de ce qui est considéré comme une régression et de ce que signifie la règle du noyau » sans régression «  », écrit Torvalds.

« Le commit annulé n’a modifié aucune API et n’a pas introduit de nouveaux bugs. Mais elle a fini par exposer un autre problème et a provoqué l’échec de la mise à niveau du noyau pour un utilisateur. Elle a donc été annulée. »

Retours instructifs

Ce qu’il explique, c’est que la décision de revenir sur une modification a été prise parce que celle-ci avait un impact clair sur l’utilisateur plutôt que de se baser sur une explication ésotérique qui ne prend pas en compte l’impact sur les utilisateurs.

« Faites abstraction du problème : il ne s’agit pas de changer le kernel-userspace ABI, de corriger un bug, ou de savoir si l’ancien code » n’aurait jamais dû être implémenté dés le départ « . Il s’agit de savoir si quelque chose remet en question les habitudes de travail des utilisateurs. »

Le patron de Linux a ensuite fait référence à l’un de ses emails les plus controversés, dans lequel il a intimé à l’un des contributeurs de « SHUT THE FUCK UP! » en 2012.

« En tout cas, c’était ma petite digression sur le principe de régression. Comme il s’agit de la » première règle de la programmation du noyau « , j’ai pensé que cela valait peut-être la peine de l’évoquer de temps en temps », a écrit Torvalds dimanche.

C’était une référence aux mails qu’il avait envoyés aux développeurs avant de prendre une pause sur le projet et de promettre d’adopter une approche moins agressive en matière de communication avec les développeurs du noyau.

Vieux démons

En 2012, il avait déclaré à un développeur: « C’est un bug dans le noyau, d’accord. Depuis combien de temps êtes-vous mainteneur? Et vous n’avez toujours pas appris la première règle de maintenance du noyau? Si un changement empêche les programmes de fonctionner, c’est un bug dans le noyau. Nous ne blâmons JAMAIS les programmes des utilisateurs. Ça n’est pas si difficile à comprendre?  »

La mise à jour inclut de nombreux correctifs pour les pilotes graphiques AMD et Intel, notamment une meilleure prise en charge des Radeon RX 5700 Navi, des cartes graphiques Intel Icelake Gen 11 et une prise en charge de l’affichage HDR Intel.

Source : Linus Torvalds releases Linux 5.3: Kernel fixes are about user impact, nothing else

Le noyau Linux 5.0 vient de sortir

Mercredi 6 mars 2019

Prévu pour l’été dernier, le noyau Linux stable 5.0 a été libéré ce lundi par Linus Torvalds. Il peut être téléchargé sur les serveurs du site officiel.

 

Ne vous attendez pas à des changements importants. Le passage de la génération 4.x à 5.0 est une décision des gardiens du noyaux, dont Torvalds. Les chiffres 4.X devenaient à la fois compliqués et importants, il fallait simplifier la numérotation et passer à autre chose.

Quoi de neuf ? D’une part, le support d’affichage FreeSync d’AMD et des fichiers d’échange dans le système Btrfs. D’autre part, une attention portée aux appareils à faible consommation énergétique, avec des améliorations dans le chiffrement (AES) du système de fichiers grâce à Adiantum et dans la gestion des tâches, notamment pour les téléphones.

Bien entendu, le noyau 5.0 améliore la gestion de la mémoire, la virtualisation, le chiffrement et le support de l’ensemble des architectures, de PowerPC à x86 en passant par Risc.

Le site kernel.org

Source toolinux.com