staging.inyokaproject.org

Linux 3.11 for Workgroups veröffentlicht

linux.png

Die Linux-Kernel-Version 3.11 mit dem Beinamen „Linux für Workgroups“ wurde diese Woche von Linus Torvalds freigegeben. Neun Wochen Entwicklungszeit lagen zwischen Linux 3.10 und der aktuellen Version.

Vor allem bei der Grafiktreiberunterstützung hat sich viel getan. So wird AMDs Dynamic Power Management (DPM) unterstützt, ebenso wie ASPM (Active State Power Management) für die meisten Radeon-GPUs. Die noch als experimentell eingestufte Funktion sorgt für einen geringeren Stromverbrauch, wenn die GPU nichts zu tun hat. Neue Grafikchip-Unterstützung gibt es im Radeon-, Nouveau- und Intel-Treiber. Insgesamt ist der quelloffene Radeon-Treiber damit in einem sehr guten Zustand im Vergleich zu seinem proprietären Gegenstück von AMDs, auch wenn sie noch nicht die gleiche Leistung erbringen können.

An Basisfunktionen gibt es ein neues Flag für die Erstellung von Dateien, sodass diese im Dateisystem nicht sichtbar sind, was Angriffe erschwert. Über Zswap wurde eine neue Funktion in das Memory-Management-Subsystem eingeführt, die dafür sorgen soll, dass Arbeitsspeicherinhalte komprimiert werden, anstatt dass diese in den Auslagerungsspeicher geschrieben werden. Dies soll vor allem bei neueren CPUs die Auslagerung beschleunigen.

Im Netzwerkbereich gibt es neue Treiber für Qualcomm Atheros-Chips und für einige Intel-Chips wurde der Stromverbrauch gesenkt. Daneben wird auch Intels Rapid Start Technology 🇬🇧 unterstützt, die dafür sorgt, dass ein System im Suspend-to-RAM-Zustand schnell nach Suspend-to-Disk wechseln kann. Zur Beschleunigung trägt das „Low-latency Ethernet device polling“ bei, über welches das System viel häufiger bei der Netzwerkschnittstelle nach Daten abfragt und so geringere Latenzen beim Empfang von Daten entstehen.

Der letzte größere Punkt ist die verbesserte Unterstützung der ARM-Architektur. Neben Hugetblfs und Transparent Huge Pages (THP) wurde auch eine Unterstützung für Windows-RT-Systeme, die unter Wine auf ARM laufen, eingebracht. Daneben unterstützen der Hypervisor KVM und auch die neueste Version von Xen nun auch ARM64-Prozessoren.

Weitere Informationen zu den Kernelneuerungen findet man bei heise, Pro-Linux oder im Shortlog der Linux-Kernel-Mailingliste 🇬🇧.


Vielen Dank an Knarf68 für den Artikelvorschlag.

Veröffentlicht von Dee | 6. September 2013 06:15 | Kategorie: Linux und Open Source | # Fehler im Artikel melden

Developer92

Avatar von Developer92
1 6. September 2013 06:56

Danke für den Artikel, nur noch eine Frage:

An Basisfunktionen gibt es ein neues Flag für die Erstellung von Dateien, sodass diese im Dateisystem nicht sichtbar sind, was Angriffe erschwert

Wie genau soll ich das verstehen? Unsichtbare Dateien?! Und falls ja, wer kann sie sehen, wer nicht?

Ximion

Avatar von Ximion
2 6. September 2013 07:51

@1: Unsichtbare Dateien trifft es in etwa... Kann man auch jetzt schon erzeugen, indem man eine datei erstellt und diese danach unlinkt. Damit hält dann nur noch das Programm, dass die Datei erstellt hat eine Referenz darauf.
O_TMPFILE ist aber noch ein wenig raffinierter 😛 (LWN-Artikel). "Sichtbar" sind die Dateien für das System, drauf zugreifen kann aber nur die Anwendung, die den entsprechenden file-descriptor hat. Die Dateien bleiben solange unsichtbar, wie sie keinen Namen haben (bei der ersteren Methode vergibt man einen Namen).
Das verhindert, dass ein Angreifer z.B. einen symlink mit dem namen der temporären datei anlegen kann, was dazu führen kann, dass eine anwendung mit höheren rechten dateien beschreibt oder verändert, welche nicht verändert werden sollten.

Ximion

Avatar von Ximion
3 6. September 2013 07:52

Ergänzung dazu:

Create an unnamed temporary file. The pathname parameter specifies a directory; an unnamed inode will be created in that directory's filesystem. Anything written to the resulting file will be lost when the last fd is closed, unless the file is given a name.

☺ Bloß schade, dass es die Funktion nur in Linux gibt ^^

Mr._Fantastic

4 6. September 2013 09:57

Na hoffentlich bekommt Billy Boy aus Redmond das nicht mit

Windows für Workgroups 3.11

Windows für Workgroups 3.11 wurde am 8. November 1993 veröffentlicht.[9] Es ist eine erweiterte Fassung von Windows für Workgroups 3.1 mit verbesserter 32-Bit-Netzwerksoftware und TCP/IP-Protokoll (als Aktualisierung nachzuinstallieren), das die Kommunikation mehrerer Rechner in einem lokalen Netzwerk erlaubt. Mit einem Paket kleinerer Programme („Winsocks“) ist nun auch der Internetzugriff über ein Standardmodem mit AT-Befehlssatz (Hayes) und den Bitraten 4,8 / 9,6 / 19,2 kBit/s möglich. Auch kann man per ISDN oder mit DSL ins Internet. Die letzten Browser für WfW 3.11 sind: Internet Explorer 5.0 Deutsch, Internet Explorer 5.01 Englisch, Opera 3.62 Englisch und Netscape Navigator 4.08. Gerätehersteller konnten noch bis Anfang November 2008 das Betriebssystem Windows für Workgroups 3.11 lizenzieren.[10] http://de.wikipedia.org/wiki/Microsoft_Windows_3.1

Developer92

Avatar von Developer92
5 6. September 2013 10:36

@2: Danke, irgendwie kommt mir das aber immernoch etwas sinnlos vor. Ich mein, man kann doch für ein bestimmtes Programm einen eigenen User und eine Gruppe anlegen und die Rechte entsprechend setzen. Bin ich root, hab ich sowieso Zugriff auf alles.

Naja, mal sehen für was das in der Praxis dann auch verwendet wird.

Dee

Avatar von Dee
6 6. September 2013 11:18

@5: Auch mit Root-Rechten hättest Du von außerhalb der eigentlichen Anwendungen keinen Zugriff auf die Datei, weil Du nicht wüsstest, dass die Datei überhaupt existiert. Das System verweigert Dir also die Sichtbarkeit, nicht den Zugriff. (Wenn man das so vereinfacht ausdrücken will.)

Ximion, korrigier mich bitte, wenn das gerade Unsinn war. ☺

Developer92

Avatar von Developer92
7 6. September 2013 11:50

Nein, so wirklich verstehen kann ich den Sinn immer noch nicht.

Ximion

Avatar von Ximion
8 6. September 2013 11:56

@6: Das stimmt ☺
@5: Folgendes Szenarion: Ein daemon läuft auf dem system mit root-rechten und erstellt gelegentlich daten, die er unter /tmp/tmpfile.dat speichert, und nach dem Beenden löscht. Ein Angreifer kann nun z.B. einen symbolischen link namens /tmp/tmpfile.dat erzeugen, welcher dann beispielsweise auf die /etc/passwd verweist. Schreibt der mit root-rechten laufende daemon dann erneut in diese Datei, so überschreibt er die /etc/passwd löscht ihrend inhalt. So lässt sich, je nachdem welche datei man trifft, das system unbrauchbar machen. Oder man kann sich (häufiger) höhere rechte erschleichen. Man kann z.B. so auch PolicyKit policies manipulieren.
In der praxis löst man das so, dass temporäre dateien einen zufälligen namen bekommen (/tmp/tmpz39838), was gegen symlink-attacken schützt.
Öffnet man eine temporäre datei mittels O_TMPFILE, so hat diese nur einen filedescriptor, und überhaupt keinen namen - damit sind derartige angriffe dann gänzlich ausgeschlossen, außerdem werden noch ein paar weitere, kleinere probleme dadurch gelöst.
Für die meisten anwendungen ist das vollständig ausreichend, da man eh nur den fd braucht.
Anwendung finden wird das sicherlich in einigen bibliotheken (mit abstraktion für !linux), und insbesondere tools welche eh schon Linux-only sind werden davon denke ich gebrauch machen.

Developer92

Avatar von Developer92
9 6. September 2013 12:46

@8: Danke, jetzt versteh ich warum das doch nicht ganz so sinnlos ist ☺

kaputtnik

10 7. September 2013 14:31

Hm... wenn ein Angreifer mal im System ist, kann er doch dann auch diese Methode (Datei verstecken) verwenden, oder?

Ich weiß nicht... damit wird das System nur noch undurchschaubarer.

Ubuntu_Neuling_1981

Avatar von Ubuntu_Neuling_1981
11 7. September 2013 20:04

@4: ^^

tomtomtom

Supporter

Avatar von tomtomtom
12 8. September 2013 17:56

Ubuntu_Neuling_1981

Avatar von Ubuntu_Neuling_1981
13 8. September 2013 20:05

Wir schreiben das Jahr des Linux for Workgroups...

@12: Hol schon mal ne ladung Disketten 😛

tomtomtom

Supporter

Avatar von tomtomtom
14 8. September 2013 21:52

@13: Für was? Nicht Bilder gucken, Text lesen.

martinaheinzler

15 9. September 2013 18:00

@13: ja und bitte noch eine Silverdisk für die Animationen