Вышло ядро Linux 4.13 с ускоренной функцией защиты

Стало доступно четвертое обновление ядра Linux за 2017 г., обеспечивающее повышенную производительность и безопасность, включая Kernel Transport Layer Security.

Создатель Linux Линус Торвальдс 3 сентября занимался выпуском ядра Linux 4.13. Это четвертое новое ядро Linux, выпущенное в 2017 г. вслед за Linux 4.12, которое дебютировало в июле.

Ядро 4.13 примечательно по ряду причин, в т. ч. благодаря многочисленным усовершенствованиям в области безопасности и решению некоторых проблем функционирования, которыми Торвальдс занимался на протяжении всего цикла разработки, включавшего выпуск семи предварительных версий.

«Другое волнующее событие, состоявшееся на этой неделе, носило чисто личный характер и заключалось в настоящей агонии на протяжении семи часов из-за камня в почках, — написал он. — Я в полном порядке, но такое чувство, что это длилось гораздо дольше семи часов, и я даже не хочу думать, каково было людям, у которых операция по удалению длилась дольше».

Среди касающихся безопасности изменений в ядре Linux 4.13 есть такое, которое Торвальдс называет проблемой универсального протокола.

«Изменение, о котором идет речь, просто меняет поведение файловой системы Common Internet File System (CIFS) по умолчанию: вместо того, чтобы по умолчанию обращаться к SMB 1.0 (последний вариант действительно не следует использовать: просто погуглите „прекратить использование SMB1“ или что-нибудь в этом роде), теперь по умолчанию CIFS монтирует параметры по умолчанию на сравнительно более современный SMB 3.0», — написал он.

CIFS и протокол Server Message Block (SMB) позволяют осуществлять кроссплатформенный обмен файлами и папками между различными системами Windows и Linux. SMB v. 1 на протяжении нескольких лет считается небезопасным. Многие производители, включая Microsoft, по крайней мере с 2016 г. предостерегают пользователей от его применения. Связанные с SMB уязвимости были также важным компонентом нескольких недавних масштабных атак с использованием вымогательского ПО, включая WannaCry в мае и NotPetya в июне.

По словам Торвальдса, большинство пользователей Linux не должны заметить перехода на более новый протокол SMB 3.0 в качестве используемого CIFS по умолчанию. Он отметил, что те, кто заметит это изменение, все равно должны перейти с SMB v. 1 на новую версию.

«Потому что, давайте посмотрим правде в глаза: SMB1 просто плохой, плохой, плохой», — написал Торвальдс.

KTLS

В Linux 4.13 дебютирует также новая имплементация Kernel Transport Layer Security (KTLS), обеспечивающая повышенную производительность шифрования HTTPS. Сегодня TLS широко используется в Интернете для шифрования транспорта данных. Обычно шифрование TLS осуществляется за пределами ядра Linux в так называемом разделе пространства пользователя Linux.

Инженер Facebook Дейв Ватсон первым предложил использовать KTLS для повышения производительности TLS в широких масштабах. «Реализация в ядре открывает новые возможности для оптимизации TLS, — писал он в своем исследовании. — Наша реализация в сочетании с Kernel Connection Multiplexor (KCM) экономит до 7% накладных расходов на копирование и сокращает задержку на величину до 10%».