[Eisfair] [e1] eiskernel 3.21.0 (Status 'testing') verfügbar - 3.16er Kernel für eisfair-1
Thomas Bork
tom at eisfair.org
Do Nov 8 16:22:52 CET 2018
Hi @all,
es ist eine Version 3.21.0 von eiskernel mit dem Status 'testing' für
eisfair-1 verfügbar.
Achtung, es gibt inkompatible Änderungen durch entfernte
Module/Funktionen, siehe unten!
Intern wird hierfür der Kernel 3.16.60 aus der Kernel-Serie 3.16
verwendet, die zur Zeit als longterm-Variante die längst mögliche
Unterstützung bietet.
Siehe dazu:
https://www.kernel.org/category/releases.html
Obwohl der Kernel die PTI-Patches enthält, werden diese bei uns nicht
aktiv, da die bisherige Implementation nicht bei 32-Bit-Kerneln greift.
https://de.wikipedia.org/wiki/Kernel_page-table_isolation
Aber es wird die Verwundbarkeit durch Spectre (v1/v2) in dieser
Kernel-Version und mit Hilfe das gcc 8.1.1 vermindert.
https://de.wikipedia.org/wiki/Spectre_(Sicherheitsl%C3%BCcke)
Ausserdem ist ein Schutz gegen L1TF eingebaut.
https://www.heise.de/security/meldung/Linux-Kernel-und-Distributionen-schuetzen-vor-Prozessorluecke-Foreshadow-L1TF-4137264.html
Das sieht dann mit meiner CPU unter 32 Bit so aus:
pvscsi # uname -r
3.16.60-eisfair-1-PAE
pvscsi # dmesg | grep -i spectre
[ 0.005160] Spectre V2 : Mitigation: Full generic retpoline
[ 0.005223] Spectre V2 : Spectre v2 / SpectreRSB mitigation: Filling
RSB on context switch
pvscsi # ls -l /sys/devices/system/cpu/vulnerabilities/
total 0
-r--r--r-- 1 root root 4096 Nov 3 19:16 l1tf
-r--r--r-- 1 root root 4096 Nov 3 19:16 meltdown
-r--r--r-- 1 root root 4096 Nov 3 19:16 spec_store_bypass
-r--r--r-- 1 root root 4096 Nov 3 19:16 spectre_v1
-r--r--r-- 1 root root 4096 Nov 3 19:16 spectre_v2
pvscsi # cat /sys/devices/system/cpu/vulnerabilities/l1tf
Mitigation: Page Table Inversion
Unterstützung ist im Kernel. Die Gefahr wird abgemildert.
kernel316 # cat /sys/devices/system/cpu/vulnerabilities/meltdown
Vulnerable
Es gibt noch keine PTI für 32 Bit in unserem Kernel 3.16.60.
Wir sind verwundbar.
pvscsi # cat /sys/devices/system/cpu/vulnerabilities/spec_store_bypass
Vulnerable
Wir sind verwundbar, wenn ein Intel-Prozessor im System steckt, für den
es keinen neuen Microcode gibt oder wenn der Microcode nicht geladen
wird, wenn eisfair-1 virtualisiert läuft.
pvscsi # cat /sys/devices/system/cpu/vulnerabilities/spectre_v1
Mitigation: __user pointer sanitization
Unterstützung ist im Kernel. Die Gefahr wird abgemildert.
kernel316 # cat /sys/devices/system/cpu/vulnerabilities/spectre_v2
Mitigation: Full generic retpoline
Der Kernel wurde mit einem gcc mit retpoline-Support gebaut. Die Gefahr
wird abgemildert.
Dieser Kernel wird in 3 Varianten angeboten (alle 32-Bit):
1. SMP
2. PAE
3. VIRT
Der SMP-Kernel unterstützt Systeme mit einem oder mehreren Prozessoren
und Prozessoren mit einem oder mehreren physikalischen oder virtuellen
Kernen.
Der PAE-Kernel ist der SMP-Kernel plus PAE und Sparse-Memory-Model. Die
CPU muss die Features cmov und pae unterstützen - das wird bei der
Installation überprüft.
Ein emulierter mathematischer Co-Prozessor (CONFIG_MATH_EMULATION) ist
nur noch bei SMP gesetzt (um auch alte 486 ohne Co-Prozessor zu
unterstützen). Ab PAE ist sowieso immer ein solcher Co-Prozessor
vorhanden, PAE und VIRT bringen die Emulation deswegen bei uns nicht mit
- das spart Platz.
Ab PAE ist das NX-Bit gesetzt, PAE und VIRT sind somit sicherer als SMP.
Ab PAE ist ausserdem CONFIG_TRANSPARENT_HUGEPAGE gesetzt.
Wenn man einen Prozessor verwendet, der cmov und pae unterstützt und
wenn man noch dazu mehr als 4GB RAM ansprechen möchte, sollte man also
die PAE-Variante installieren.
Der VIRT-Kernel sollte alle notwendigen Features mitbringen (die die
verwendete Kernel-Version anbietet), um als Gast-Kernel auf
Virtualisierungs-Systemen zu laufen. Er ist der PAE-Kernel, erweitert um
Funktionen für Xen, KVM und Hyper-V.
Diese Kernel-Pakete lassen sich auf allen Systemen mit laufendem Kernel
3.2.xx-eisfair-1 und 3.16.xx-eisfair-1 installieren.
Beim Update von einem älteren Kernel als 3.16.60-eisfair-1 aus wird *bei
genügend Platz in /boot* ein lilo-Start-Eintrag für diesen Kernel
erzeugt, wenn noch kein Backup unter /boot existiert, um problemlos
diesen alten stabilen Kernel booten zu können. Beim Update von
3.16.60-eisfair-1 aus werden alle alten Kernel samt der Fallbacks
gelöscht, wenn dieser Kernel den stabilen Status erreicht.
Zu den angegebenen eiskernel-Namen (z.B. 3.16.60-eisfair-1) und den
darin enthaltenen Versionen siehe [1].
Denkt daran, eventuell bei Euch installierte kernel-abhängige Treiber
(z.B. die AVM- und Dahdi-Module) für diesen Kernel vorher zu
installieren, da der Name sich geändert hat!
Änderungen zum stabilen eiskernel 3.20.0:
=========================================
- Name auf 3.16.60-eisfair-1 geändert (war 3.16.58-eisfair-1).
- Alle Patches bis zu 3.16.60 integriert (war 3.16.58).
- Die Unterstützung für aufs wurde entfernt, denn diese kollidierte
mit Sicherheitspatches.
- Die Unterstützung für ppp_mppe_mppc wurde entfernt, denn diese
kollidierte mit Sicherheitspatches. MS-CHAPv2 ist seit 1999
verwundbar, seit spätesten 2012 komplett geknackt.
Die Entfernung des Patches macht es notwendig, dass sich User
mit einer selbstgebastelten Lösung zur Einwahl mittels
Windows-internem VPN eine Alternative suchen.
Dieses Paket bei https://pack-eis.de:
=====================================
PAE : https://www.pack-eis.de/index.php?p=27734
SMP : https://www.pack-eis.de/index.php?p=27735
VIRT: https://www.pack-eis.de/index.php?p=27736
Gleichzeitig wird wie gewohnt auch das Paket eiskernel-dev mit den
Quellen passend zu diesem Kernel freigegeben.
Änderungen zum vorherigen stabilen eiskernel-dev 3.20.0:
========================================================
- Basiert auf 3.16.60 (war 3.16.58).
- Setzt installierten eiskernel 3.20.0 voraus.
- Lädt 3.16.60 herunter (war 3.16.58).
- Die Unterstützung für aufs wurde entfernt, denn diese kollidierte
mit Sicherheitspatches.
- Die Unterstützung für ppp_mppe_mppc wurde entfernt, denn diese
kollidierte mit Sicherheitspatches. MS-CHAPv2 ist seit 1999
verwundbar, seit spätesten 2012 komplett geknackt.
Die Entfernung des Patches macht es notwendig, dass sich User
mit einer selbstgebastelten Lösung zur Einwahl mittels
Windows-internem VPN eine Alternative suchen.
Dieses Paket bei https://pack-eis.de:
=====================================
https://www.pack-eis.de/index.php?p=27737
Der Kernel 3.16.60:
===================
https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/log/?id=refs/tags/v3.16.60
[1]
Übersicht der 3.16er eiskernel-1-Pakete:
========================================
eiskernel-Vers.| eiskernel-Name | Patchlevel Vanilla
_______________________________________________________
3.21.0 | 3.16.60-eisfair-1 | 3.16.60
3.20.0 | 3.16.58-eisfair-1 | 3.16.58
3.19.0 | 3.16.58-eisfair-1 | 3.16.58
3.18.1 | 3.16.57-eisfair-1 | 3.16.57
3.18.0 | 3.16.57-eisfair-1 | 3.16.57
3.17.0 | 3.16.57-eisfair-1 | 3.16.57
3.16.0 | 3.16.56-eisfair-1 | 3.16.56
3.15.0 | 3.16.56-eisfair-1 | 3.16.56
3.14.1 | 3.16.54-eisfair-1 | 3.16.54
3.14.0 | 3.16.54-eisfair-1 | 3.16.54
3.13.0 | 3.16.54-eisfair-1 | 3.16.54
3.12.0 | 3.16.52-eisfair-1 | 3.16.52
3.11.0 | 3.16.52-eisfair-1 | 3.16.52
3.10.0 | 3.16.50-eisfair-1 | 3.16.50
3.9.0 | 3.16.50-eisfair-1 | 3.16.50
3.8.0 | 3.16.47-eisfair-1 | 3.16.47
3.7.0 | 3.16.47-eisfair-1 | 3.16.47
3.6.0 | 3.16.46-eisfair-1 | 3.16.46
3.5.0 | 3.16.46-eisfair-1 | 3.16.46
3.4.1 | 3.16.44-eisfair-1 | 3.16.45
3.4.0 | 3.16.44-eisfair-1 | 3.16.44
3.3.1 | 3.16.44-eisfair-1 | 3.16.44
3.3.0 | 3.16.44-eisfair-1 | 3.16.44
3.2.0 | 3.16.42-eisfair-1 | 3.16.43
3.1.2 | 3.16.42-eisfair-1 | 3.16.43
3.1.1 | 3.16.42-eisfair-1 | 3.16.43
3.1.0 | 3.16.42-eisfair-1 | 3.16.42
Ich danke allen Mitgliedern des Teams für Tests und Unterstützung und
wünsche allen Anwendern weiterhin viel Spass mit eisfair!
Das Posting geht parallel an spline.eisfair und spline.eisfair.dev.
Produktive Rückmeldungen bitte an spline.eisfair.dev.
--
der tom
[eisfair-team]
Mehr Informationen über die Mailingliste Eisfair