Обновление ядра linux без перезагрузки.
В компьютерном мире есть понятие динамического обновления приложения (dynamic software updating или DSU). Не каждый мощный программный продукт может похвастать, что его можно патчить на лету. Ядро Linux один из таких проектов и нас, пользователей, должна радовать такая killer фича в наших системах.
На десктопах, возможно, долгая работа без перезагрузки (uptime) не так нужна, но кроме десктопов есть ещё сервера, облака и мобильный сектор, который захватывают linux системы. Вы свой смартфон часто перезагружаете? А вот если завтра там будет Ubuntu?
Немного печально, что, не успев появиться в мире linux, такая важная технология как динамическое обновление ядра уже размножилась в количестве 3 штук в виде конкурирующих проектов. Ksplice от Oracle не претендует в попадание в основное ядро из-за своей проприетарщины, хоть Oracle так же играет в линукс. Есть свободный kPatch от Red Hat и kGraft от SUSE. Основное отличие kGraft от kPatch сводится к методу генерации модуля-патча, который в kGraft может формироваться непосредственно на основе исходных текстов, без манипуляций c объектным кодом (kPatch формирует патч на основе сравнения двух бинарных сборок ядра).
Вот между этими двумя проектами, kGraft и kPatch, не хотелось бы противостояния. И на радость нам — не будет! Разработчики OpenSUSE на базе этих двух родственных проектов продвигают функционал, называемый образно Live Patching. Разработчики проектов kPatch и kGraft дали своё согласие на работу в общих вопросах дальнейшего развития. Был послан запрос (pull request) на добавление в linux 3.20 и сейчас ожидается решение Линуса Торвальдса.
Есть надежда, что скоро в upstream мы увидим наработки проектов и нам будет доступна по умолчанию такая классная и уникальная фича — обновление без перезагрузки!
Разработчик SUSE показывает латание ядра linux с помощью kGraft, что позволяет оперативно устранять проблемы с безопасностью.
Дата последней правки: 2015-02-13 17:06:00
Вышло значимое оперативное обновление для ОС Astra Linux Special Edition
ГК «Астра» выпустила оперативное обновление для ОС Astra Linux Special Edition 1.7.2. В нем появилась возможность обновить ядро Linux до версии 5.15 (LTS), добавлен полностью переработанный мобильный режим, в репозиторий включены новые программные компоненты, а также усилена защищенность и улучшена функциональность системы.
2022-09-28 13:38:26, Мск
ГК «Астра» сообщает о выходе оперативного обновления для ОС Astra Linux Special Edition 1.7.2. Пользователям платформы стало доступно обновление ядра Linux до версии 5.15 (LTS), появилась поддержка новых чипсетов от Intel и AMD, а также современных видеокарт. Разработчики добавили в репозиторий новые программные компоненты и улучшили функциональность системы в целом. Об этом CNews сообщили представители ГК «Астра».
Для повышения уровня защищенности операционной системы проведена значительная работа. В частности, обеспечена возможность эксплуатации браузеров в изолированном окружении с ограниченным доступом к вычислительным ресурсам устройств, а также системным (служебным) и пользовательским данным — вплоть до полного запрета доступа за пределы среды исполнения. Подобное решение дает возможность эффективно препятствовать внесению несанкционированных изменений в системные либо пользовательские процессы или файлы, не снижая производительность системы. Для удобства использования такой возможности соответствующие ярлыки включены в меню рабочего стола, а справочная информация размещена на официальном портале технической поддержки.
Дополнительно усовершенствованы механизмы мандатного контроля целостности, PARSEC-привилегий, исправлены ошибки, возникавшие при использовании профилей для режима системного киоска, а также усовершенствован механизм настройки режима графического киоска.
Чтобы повысить уровень защиты ИТ-инфраструктур организаций, в обновлении доработан функционал для контроля за съемными носителями. Их учет теперь доступен не только в максимальном, но также в усиленном и в базовом режимах защищенности ОС, а системные администраторы могут для отдельных пользователей блокировать MTP-протокол. В этом случае сотрудник по-прежнему сможет заряжать свой смартфон или планшет, подключив его к рабочему компьютеру, но возможность обмена данными между устройствами будет заблокирована. Кроме того, улучшена синхронизация меток безопасности на файловых системах OCFS2 и Ceph.
Разработчики уделили значительное внимание удобству и возможностям ОС. В графическом окружении пользователя Fly не только обновили большинство существующих утилит, но и добавили новые, благодаря чему расширился функционал платформы, и ее стало удобнее администрировать и использовать. В число таких нововведений вошли предназначенная для управления автозапуском утилита fly-admin-autostart с поддержкой настройки фаз запуска приложений при старте ОС, утилита fly-admin-driver для управления драйверам графических видеокарт, а также комплект утилит fly-admin-events и fly-event-viewer для управления регистрацией системных событий и их просмотра. Кроме того, изменения затронули интерфейс программы сканирования fly-scan, появились обновленный центр уведомлений системы fly-notifications и графическое приложение fly-ocr, которое позволяет распознавать тексты и работает с движком Tesseract.
В расширенный репозиторий добавлены версии программных компонентов, обеспечивающие установку ОС на мобильные устройства, а представленный в августе 2022 г. мобильный режим полностью переработан. Новый графический интерфейс адаптирован для сенсорных экранов, в том числе с малой диагональю, уровень энергопотребления снижен. В «Мобильной Астре» доступен полный набор средств защиты информации, есть возможность запускать немодифицированные приложения для Android в изолированном окружении, свободно переключаться в десктопный режим и обратно.
В расширенный репозиторий включены «Яндекс браузер» и почтовый клиент Evolution-EWS, предназначенный для работы в сети Windows Exchange Server. Для построения серверной инфраструктуры в репозиториях теперь доступны Kubernetes, Openvswitch, Patroni, PostgreSQL 14 и многие другие решения.
«ИТ не стоят на месте: постоянно появляются новые технологии, протоколы и, соответственно, возможности. Поэтому мы как разработчики обязаны следить за изменениями и возникающими из-за них новыми угрозами, чтобы оперативно улучшать ОС Astra Linux и поддерживать ее высокий уровень защищенности. При этом, конечно, продукт должен быть удобным и для ИТ-специалистов, и для обычных пользователей, а также совместимым с новыми аппаратными платформами. Мы всегда придерживаемся данного принципа, что в полной мере относится и к текущему обновлению безопасности», — отметил руководитель отдела перспективных исследований и специальных проектов ГК «Астра» Роман Мылицын.
ГК «Астра» объединяет самостоятельные отечественные ИТ-бренды, и включает, наряду с ОС Astra Linux и комплексом средств виртуализации «Брест», диспетчер подключений виртуальных рабочих мест Termidesk производства компании «Увеон — облачные технологии», комплекс средств резервного копирования RuBackup, созданный в ООО «Рубэкап», а также мобильное рабочее место WorksPad, систему корпоративной почты RuPost, программный комплекс для администрирования ИТ-инфраструктур ALD Pro и платформы управления физическими и виртуальными инфраструктурами компании ISPsystem: DCImanager, VMmanager и BILLmanager. Все программные продукты ГК «Астра» включены в реестр Минцифры и используются в государственных и коммерческих организациях, в госкорпорациях и концернах, на промышленных предприятиях и объектах КИИ.
Обновление ядра
APT в дистрибутивах ALT Linux и в Sisyphus автоматом не обновляет ядра вместе с обновлением системы (см. настройки hold в apt.conf), поскольку обновление такого критичного компонента системы может привести к нежелательным последствиям. Вместо этого в систему могут быть поставлены пакеты нескольких ядер и модулей к разным ядрам одновременно. И LiLo, и Grub можно настроить таким образом, что простая перезагрузка (в том числе по reset) будет возвращать старое ядро.
- Поддержка нового оборудования
- Реализация новых функций
- Защита от уязвимостей
- Оптимизация производительности
- Устранение ошибок
- возможно «отваливание» оборудования
- возможны регрессии в поддержке оборудования
- возможно зависание при перезагрузке и выключении
- невозможность загрузить систему
- регрессии, выводящие из строя оборудование
- 1 update-kernel
- 2 Обновление ядра
- 3 Обновление модулей ядра
- 4 Доустановка модулей ядра
- 5 Установка старого ядра
- 6 Удаление старых версий ядра
- 7 Ссылки
update-kernel
Внимание! Запуск утилиты update-kernel должен производиться с правами root
Для обновления ядра предлагается использовать утилиту update-kernel , находящуюся в одноимённом пакете. Установка, если ещё не установлено:
Получаем права root
apt-get update apt-get install update-kernel
Обновление ядра
apt-get update update-kernel
или, если хотите обновить/установить другой тип ядра (например un-def):
update-kernel -t un-def
Примечание: Ключ -t и тип ядра (std-def, un-def и т.п.) надо указывать только если вы решили обновить ядро другого типа, т.к. по умолчанию обновляется текущий тип ядра.
update-kernel обновляет и пакеты с модулями ядра, но исходя из списка установленных для текущего ядра пакетов. Следует понимать, что у ядер разных типов модули могут быть собраны по-разному, и, тогда, update-kernel может не доустановить нужное. Например, если у текущего ядра модуль собран в составе пакета с ядром, а у нового отдельно, то пакет с нужным модулем не будет доустановлен автоматически.
В некоторых дистрибутивах apt по умолчанию не содержит подключенных репозитариев. Для проверки и/или настройки можно воспользоваться утилитой apt-repo или просто проверить и отредактировать конфиги в /etc/apt/.
Обновление модулей ядра
update-kernel обновляет и модули ядра, если в репозитории обновилось что-то из модулей без обновления ядра. Запуск как при обновлении ядра.
Доустановка модулей ядра
Иногда возникает необходимость доустановить модули. Сложностей нет, но есть ряд нюансов.
Частая ошибка пользователей — установка модуля от более нового ядра. Проблема возникает, когда установлено более старое ядро, чем в репозитории, а пользователь устанавливает необходимый модуль ядра, не обновив ядро. В результате в систему устанавливается новое ядро с одним-единственным модулем, установка которого запрошена. Для того, чтобы не было такой проблемы, надо вначале обновить ядро, а потом доустанавливать необходимые модули ядра. Если необходимо установить модули именно для старого ядра, можно воспользоваться архивом репозитория аналогично ситуации с установкой старого ядра.
Более редкая ошибка — это установка модуля ядра другой сборочной ветки (std-def, un-def и т.п.) называемой в жаргоне флейвором (тип, вариант сборки ядра). Для предотвращения этого (если модуль есть только в другой ветке) надо перейти сначала на другую сборочную ветку с помощью команды update-kernel .
update-kernel -t
После этого уже можно обновлять модуль ядра. Например, мы хотим перейти на ветку un-def и установить модуль fglrx:
update-kernel -t un-def apt-get install kernel-modules-fglrx-un-def
Установка старого ядра
Иногда требуется установить старое ядро. Описание процесса.
Удаление старых версий ядра
После успешной загрузки на обновленном ядре можно удалить старое:
remove-old-kernels
Ссылки
- #35390: Обновление ядра на Таволге требует ручной доработки
- Сага о драйверах
Обновление Astra Linux Common Edition до 2.12.45 и обновление ядра kernel до 5.15
Для обновления Astra Linux необходимо выполнить следующее:
для использования сетевых репозиториев, работающих по протоколу HTTPS, установить пакеты apt-transport-https и ca-certificates командой:
sudo apt install apt-transport-https ca-certificates
Открыть файл sources.list
sudo nano /etc/apt/sources.list
Добавить следующую строку:
при использовании протокола HTTPS
deb https://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ orel main contrib non-free
при использовании протокола HTTP
deb http://dl.astralinux.ru/astra/stable/2.12_x86-64/repository/ orel main contrib non-free
Выполнить повторную синхронизацию файлов описаний пакетов с их источником:
sudo apt update
Установить обновление командой:
sudo apt dist-upgrade
После обновления выполнить:
sudo apt install linux-5.15
Перечень значимых улучшений функциональности
Закрыто более 700 уязвимостей CVE в различных программных компонентах (перечень уязвимостей, закрываемых обновлением, предоставляется после соответствующего обращения на портале технической поддержки).
Добавлено ядро Linux версии 5.15 (LTS) с поддержкой новых чипсетов от Intel® и AMD и современных видеокарт. Ядро 5.15 вошло в двух вариантах — обычном (generic) и с усиленной защищенностью (hardened). Наиболее значимые изменения:
новый драйвер NTFS с поддержкой записи;
добавлен модуль ksmbd с реализацией файлового сервера, использующего протокол SMB3;
реализована подсистема DAMON (Data Access MONitor) для мониторинга доступа к памяти;
добавлены примитивы блокировок для режима реального времени, основанные на подсистеме RT-Mutex;
поддержка механизма fs-verity в файловой системе Btrfs;
улучшена производительность файловых систем EXT4, XFS, OverlayFS и NFS;
добавлен новый системный вызов process_mrelease для систем реагирования на нехватку памяти;
добавлена поддержка EFI-разделов с нестандартным размещением таблиц GPT.
Добавлен модуль ядра Linux Kernel Runtime Guard (пакет lkrg), предназначенный для выявления и блокирования атак и нарушений целостности структур ядра.
Добавлен пакет ca-certificates-local, содержащий сертификат удостоверяющего центра Минцифры России. Добавлены драйвера для улучшения работы в виртуальной среде VMware.
Обновлён комплект драйверов для видеоадаптеров Nvidia (версия 510).
Улучшена работа программы «Автозапуск» (пакет fly-admin-autostart):
добавлен механизм управления фазой запуска;
усовершенствованы процессы управления очередностью запуска и общесистемным автозапуском.
В программе «Принтеры» (пакет fly-admin-printer) переработана тестовая страница печати, добавлен множественный выбор заданий печати.
В программе «Общие папки Samba» (пакет fly-admin-samba) реализована возможность добавления служебного пользователя.
В программе «Электронная подпись КриптоПро» (пакет fly-csp-cryptopro) реализованы следующие улучшения:
добавлена поддержка актуальных версий СКЗИ КриптоПро R5.2;
улучшена работа интерфейса и устранены ошибки, обнаруженных в ходе эксплуатации.
Улучшены некоторые графические элементы оформления (обновлён пакет fly-dm).
Улучшена работа программы «Менеджер файлов» (пакет fly-fm):
доработан процесс создания tar-архивов на разделяемых файловых ресурсов samba;
исправлена ошибка, возникающая при доступе к разделяемым файловым ресурсам samba, при продолжительной пользовательской сессии;
исправлено перекодирование utf16 ↔ utf8 для программ с графическим интерфейсом;
оптимизировано потребление памяти при большом количестве SMB ресурсов в сети;
реализована возможность добавлять сетевые места (сетевые каталоги) через глобальный конфигурационный файл;
исправлена процедура размонтирования накопителя при просмотре;
добавлены кнопки на панель инструментов для двухпанельного режима — переход в папку соседней панели и обмен панелей местами;
ускорено копирование на сетевые ресурсы;
добавлена возможность просмотра ресурсов на SMB-сервере с паролем;
реализован показ метаданных файлов в окне «Свойства»;
добавлена возможность создать копию файла путем «перетаскивания» (drag-and-drop) с зажатой клавишей .
В программе «Сканирование» (пакет fly-scan) реализованы следующие улучшения:
переработан графический интерфейс с целью устранения выявленных недочётов;
доработан процесс управления областью сканирования;
добавлена возможность зеркально отображать страницу;
доработан процесс сканирования произвольной области;
доработаны процессы многостраничного и двустороннего сканирования;
исправлена ошибка, возникающая при сканировании в разрешении 1200 DPI;
установлен запрет автоматического выбора единственного найденного сканера;
добавлена возможность экспорта отсканированной страницы в программу «Распознавание текста» (пакет fly-ocr).
Улучшен сервер графических приложений xorg-server и оконный менеджер fly-wm — устранены ошибки, которые были выявлены в ходе эксплуатации, а так же было реализовано:
добавлена поддержка новых видеоадаптеров;
добавлены новые параметры блокировщика (аватарка, степень размытия фона, заливка фона цветом или пользовательскими обоями, формат и шрифт для даты и отдельно для времени);
добавлена поддержка фаз и других параметров автозапуска принятых в KDE;
добавлена задержка между гашением экрана (DPMS) и включением блокировщика;
добавлены скрипты сброса настроек и рассылки сообщений по всем сессиям; улучшена процедура завершения всех процессов сессии;
реализована возможность отправки информации о процессах автозапуска на анализ в утилиту настройки автозапуска; реализована возможность запуска программ из ярлыков на альтернативном GPU;
добавлен параметр отключения показа часов в трее;
добавлен параметр, дающий возможность вызывать внешнюю программу при изменении конфигурации мониторов;
при определенных условиях появляется новый пункт «Запуск от имени администратора» в контекстных меню рабочего стола и меню Пуск;
добавлен скрипт проигрывания звуков по разным событиям;
добавлен новый параметр DefaultPlacement позволяющий окнам размещаться по умолчанию не только в левом верхнем углу, но и по центру экрана;
добавлено масштабирование всего рабочего стола «на лету» в соответствии с коэффициентом получаемым от сервиса kscreend;
поддержка механизма «перетаскивания» (drag-and-drop) с рабочего стола в окно программы chromium, и в окно создаваемого письма в программе thunderbird.
Для программы «Редактор репозиториев» (пакет fly-admin-repo) добавлен программный модуль «Редактор источников» (пакет fly-admin-sourcelist) предназначенный для управления источниками пакетов путем редактирования файла /etc/apt/sourcelist.
Добавлена программа «Распознавание текста» (пакет fly-ocr), построенная с использованием библиотеки Tesseract, и предназначенная для оптического распознавания текста на изображениях и в документах формата PDF.
Улучшена поддержка аудиоадаптеров es8336, rtl8188eu.
Обновлены прошивки (firmware) для сетевых и звуковых карт.
Добавлена поддержка отечественных ноутбуков ICL SI16, Aquarius NS483 и NS685.
Печатный мануал по Astra linux: Купить на маркете
- astralinux/kernel5.15.txt
- Последнее изменение: 2023/04/28 14:04
- — 127.0.0.1