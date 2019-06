Im neuen Linux-Kernel kann man den Schutz vor CPU-Sicherheitslücken nun ganz leicht lahmlegen oder stärken. Zwei von drei ISDN-Infrastrukturen landeten auf der Abschussliste.

Beim am 8. oder 15. Juli erwarteten Linux 5.2 lässt sich leicht etwas Performance locker machen, wenn man nur vertrauenswürdigen Code auf seinen Systemen ausführt. Wichtige Daten für die Performance-Analysen oder die Ablaufverfolgung lassen sich jetzt deutlich effizienter beim Kernel hinterlegen. In der BPF Virtual Machine im Kernel ausgeführte Programme können nun deutlich komplexer sein. Und: ISDN4Linux fliegt bald raus.

Performance zurückgewinnen: Gegenmaßnahmen für Prozessorlücken lahmlegen

Sie wollen auf ihrem PC das Maximum an Geschwindigkeit herauskitzeln und fürchten sich nicht vor den ganzen Sicherheitslücken moderner Hauptprozessoren, die seit Anfang 2018 publik wurden? Dann starten Sie den Kernel fortan mit dem neuen Parameter mitigations=off , denn der deaktiviert die vielen Schutztechniken, die der Kernel für diese Lücken erhalten hat und standardmäßig nutzt. Wie stark das die Performance steigert, hängt von Prozessor und der eingesetzten Software ab: Die Gegenmaßnahmen machen manche Workloads deutlich langsamer, andere nur minimal.

Über den neuen Kernel-Parameter "mitigations=" kann man Maßnahmen für Prozessorlücken lahmlegen und so die Performance steigern. (Bild: Screenshot der Kernel-Dokumentation

Unterstützung für diesen Parameter wurde in den Hauptentwicklerzweig integriert, als dort im "Merge Window" gerade das Gros der Änderungen für Linux 5.2 zusammengetragen wurde (u. a. 1, 2, 3). Ein paar Tage später flossen dort auch die Gegenmaßnahmen ein, die vor "ZombieLoad" und anderen als MDS (Microarchitectural Data Sampling) klassifizierten Lücken schützen, die im Mai publik wurden.

Neuer Parameter kann Sicherheit auch verbessern

Diese Schutztechniken und Support für den Mitigations-Parameter wurden aber am selben Abend in die Linux-Versionen 5.1.2, 5.0.16, 4.19.43, 4.9.176 und 4.14.119 zurückportiert. Auch mit vielen Kerneln von Linux-Distributionen funktioniert der Parameter mittlerweile. Er legt neben dem MDS-Schutz unter anderem auch PTI oder Retpoline lahm, die vor Meltdown und Spectre v2 schützen. Bislang musste man jede dieser Gegenmaßnahmen mit einem eigenen Parameter individuell ausschalten. Man sollte diese Möglichkeit aber nur in Umgebungen nutzen, wo keine Gefahr droht oder diese vernachlässigbar klein ist – beispielsweise in einem Hochgeschwindigkeits-Rechenverbund (HPC-Cluster), in dem man nur hausintern erzeugte und vertrauenswürdige Programme ausführt.

Mit dem neuen Parameter kann man die Sicherheit indes auch verbessern: Durch ein mitigations=auto,nosmt deaktiviert Linux falls nötig auch Hyper-Threading, denn das birgt bei einigen Prozessoren und Lücken zuständliches Gefahrenpotenzial. Ein solcher Schritt drückt die Performance aber noch stärker, als es die Gegenmaßnahmen ohnehin schon tun. Nach derzeit gängiger Auffassung ist das für Desktop-Systeme zu viel des Guten. Für Cloud-Provider und einige andere Einsatzgebiete kann das Deaktivieren von Hyper-Threading aber angebracht sein.

Einige weitere Neuerungen rund um Sicherheit nennen die Git-Commit-Kommentare der Subsysteme Audit, Crypto, Random, SELinux, Tomoyo. Vermutlich kurz nach Erscheinen von Linux 5.2 dürfte Linux-Entwickler Kees Cook auch wieder einen Beitrag in seinem Blog veröffentlichen, in dem er regelmäßig einen Überblick zu Sicherheitsverbesserungen neuer Kernel-Versionen liefert. Zuletzt etwa für Linux 5.1. Dort hat er beispielsweise Arbeiten erwähnt, um switch nutzenden Programmcode aufzuräumen, damit der nach einem case -Abschnitt nicht versehentlich auch den folgenden ausführt, weil der Entwickler das Case-Ende-Zeichen vergessen hat. Bei den Aufräumarbeiten zur Vermeidung solcher "implicit fall-through"-Fälle haben die Entwickler schon eine Reihe von Bugs gefunden. Bei 5.2 gab es nochmal deutliche Fortschritte, wodurch die Entwickler jetzt fast alle derartigen Stellen im Kernel-Code tilgen konnten.

Daten für Performance-Messungen anders hinterlegen

Wie jüngst üblich bringt auch Linux 5.2 wieder einen ganzen Schwung an Verbesserungen rund um die BPF Virtual Machine, auf die mittlerweile zahlreiche Subsysteme des Kernels für verschiedenste Aufgaben zurückgreifen – allen voran für Performance-Analysen, die Ablaufverfolgung (Tracing), das Seccomp-Sandboxing und den Netzwerk-Schnellverarbeitungspfad eXpress Data Patch (XDP).

Für Performance-Analysen, Ablaufverfolgung oder Debugging wichtige Daten wie Header lassen sich jetzt nicht mehr nur im etablierten DWARF-Format hinterlegen, sondern auch mit dem bei Linux 4.18 eingeführten BPF Type Format (BTF). Hauptvorteil des neuen Ansatzes ist geringerer Speicherbedarf: Zum Hinterlegen der C-Typen eines Kernel-Images (vmlinux) soll BTF zehnmal weniger Speicherkapazität benötigen. Das gelingt unter anderem durch Deduplizierung, mit dem der Platzbedarf bei anderen Einsatzzwecken sogar um hundertmal kleiner ausfällt als beim verbreiteten DWARF.

Das soll weitere Einsatzgebiete ermöglichen, denn durch den geringeren Overhead wird es für Distributoren attraktiver, diese Daten in Kernel und Modulen zu belassen, statt sie auszulagern oder komplett zu ignorieren. Ein Linux-Image wird dann selbstbeschreibend ("self-descriptive"). Das ist etwa interessant, damit Tracing-Programme wie perf , bpftrace oder bc alle für ihre Tätigkeiten nötigen Informationen auf jedem System vorfinden und leicht zur Hand haben. Bislang muss man dazu meist Debuginfo-Pakete nachinstallieren, falls der Distributor denn an dieses Nutzungsszenario gedacht hat und solche denn auch bereitstellt.

BPF-Programme nachträglich anpassen

Durch den neuen Support für "Global Data" in BPF beherrschen BPF-Programme jetzt globale Variablen, wie sie C bietet. Hauptziel der Erweiterung: Ein Programm-Binary nachträglich anpassen zu können, damit man BPF-Programme nicht immer wieder neu kompilieren muss, wenn sich ein Konfigurationsdetail ändert.

Bislang muss man BPF-Programme nämlich oft genau für den jeweiligen Einsatzzweck übersetzen, denn bei BPF-Programmen zur Handhabung von Netzwerkpaketen werden beispielsweise Daten wie IP- oder MAC-Adressen im Code definiert. Durch Global-Data-Support lassen sich solche Variablen jetzt nachträglich in der Binärdatei ändern. Ein einmal kompiliertes Programm kann so als "Template Binary" fungieren, das Entwickler oder Werkzeuge wie die Container-Netzwerksoftware Cilium nachträglich verändern, wenn das Programm später andere IP- oder MAC-Adressen nutzen soll.

Das Ganze gelingt mithilfe des bereits erwähnten BTF, mit dem die globalen Daten im Kompilat hinterlegt werden. Solche "compile-once"-Programmvorlagen ermöglichen schneller einsatzbereite BPF-Programme, da man diese nicht mehr ad-hoc individuell kompilieren muss; neben Zeit spart das Ganze somit auch CPU-Ressourcen und funktioniert auch auf Systemen ohne Compiler.

Größere und flexiblere BPF-Programme

Der BPF Verifier, der von der BPF Virtual Machine ausgeführten Code vor der Ausführung überprüft, akzeptiert jetzt komplexeren Code: Bislang durfte ein Programm 4096 Instruktionen aufweisen und bei der Ablaufsimulation maximal 130.000 Instruktionen ausführen (etwa durch If-Verzweigungen). Jetzt ist in beiden Fällen bei 1.000.000 Instruktionen Schluss. Das alte Limit konnte angehoben werden, weil die Entwickler einige "BPF Verifier Scalability" genannte Optimierungen vorgenommen haben, die die Prüfung um ungefähr das Zwanzigfache beschleunigen.

Darüber hinaus gab es noch allerlei andere Umbauten an oder rund um die BPF Virtual Machine (u. a. 1, 2, 3, 4, 5). Unter denen ist beispielsweise auch noch das BPF SK Local Storage, das die Netzwerkprogrammierung mit BPF erleichtern soll, oder der TCP-Syncookie-Check, der die Programmierung von Loadbalancern in der Art von Glb-Director oder Beamer mittels BPF ermöglichen soll.

IPv6-Router für IPv4, Netzwerkverkehrsregulierung, …

Bei Linux kann man jetzt IPv6-Gateways in IPv4-Routen definieren; damit kann man jetzt einen Weg zu einem IPv4-Netz festlegen, das über ein IPv6-System erreichbar ist.

Einen Performance-Zuwachs auf Systemen mit vielen CPU-Kernen versprechen einige Locking-Optimierungen am Cache für empfangene und versendete Pakete; ein Benchmark mit Remote Procedure Calls (RPCs) legte dadurch laut Entwickler um zehn Prozent zu.

Der neue Kernel verspricht kleinere Performance-Verbesserungen bei der Steuerung des Netzwerkverkehrs via tc (Traffic Control), denn die Entwickler haben auch die Locking-Mechanismen beim Flow Classifier optimiert, der Datenströme klassifiziert.

Einige weitere Neuerungen am Netzwerkcode nennt der Kommentar des Git-Merge, der das Gros der Änderungen enthält, die für 5.2 in diesem Bereich vorgenommen wurden.

Zwei von drei ISDN-Infrastrukturen stehen auf der Abschussliste

ISDN4Linux (I4L) soll bei 5.3 rausfliegen; auch der Capi-Stack steht auf der Abschußliste.

Bei Linux 5.3 soll es viel Code für ISDN-Hardware an den Kragen gehen, nachdem die meisten öffentlichen ISDN-Netzwerke laut den Linux-Entwicklern mittlerweile abgeschaltet wurden. Der alte ISDN4Linux-Stack samt seinem früher recht bekannten Hisax-Treiber soll komplett rausfliegen. Der jüngere CAPI-Stack wandert in den Staging-Zweig – der ist als Bereich für Code mit bekannten Qualitätsmängeln gestartet, dient dieser Tage aber gelegentlich auch als Vorstufe für Code, den die Entwickler entfernen wollen. Bisher wollten sie den Capi-Stack nicht absägen, da unklar ist, ob noch jemand diesen Code und seine Treiber mit aktuellen Kerneln nutzt; wer das tut, sollte sich daher baldmöglichst bei den Entwicklern melden, um den Rauswurf vielleicht abzuwenden.

Im Kernel verbleiben soll hingegen der mISDN-Stack, der die meiste Hardware unterstützt, die auch Hisax anspricht; das ist auch der Stack, auf dem die Telefonanlagen- und VoIP-Software Asterisk aufbaut.