Jeremy Allison - Sam (czytelnik Slashdot #8,157) jest wybitnym inżynierem w Rocky Linux, twórcy CIQ. W tym tygodniu opublikował post na blogu, w którym odpowiedział na obietnice dystrybucji Linuksa "starannie wybierając tylko najbardziej dopracowane i nieskazitelne łatki open source z surowego jądra Linuksa w celu stworzenia bezpiecznego jądra dystrybucji, na którym polegasz w swojej firmie".

Ale czy starannie dobrane poprawki oprogramowania (zastosowane do znanego "zamrożonego" jądra Linuksa) naprawdę zapewniają większe bezpieczeństwo? "Po ciężkiej pracy i analizie danych przeprowadzonej przez moich kolegów z CIQ, Ronniego Sahlberga i Jonathana Maple'a, w końcu mamy odpowiedź na to pytanie. Nie." *Dane pokazują, że "zamrożone" jądra Linuksa dostawców, utworzone przez rozgałęzienie od punktu wydania, a następnie przy użyciu zespołu inżynierów w celu wybrania określonych poprawek do ponownego przeniesienia do tej gałęzi, są bardziej podatne na błędy niż "stabilne" jądro Linuksa stworzone przez Grega Kroah-Hartmana. Jak to możliwe? Jeśli chcesz poznać wszystkie szczegóły, link do białej księgi znajduje się poniżej. Ale wyniki analizy nie mogą być jaśniejsze.

• "Zamrożone" jądro dostawcy jest jądrem niezabezpieczonym. Jądro dostawcy wydane później w harmonogramie wydań jest podwójnie niebezpieczne.

• Liczba znanych błędów w "zamrożonym" jądrze dostawcy rośnie z czasem. Wzrost liczby błędów nawet przyspiesza w czasie.

• Istnieje zbyt wiele otwartych błędów w tych jądrach, aby można było je przeanalizować lub nawet sklasyfikować....

Myślenie, że dokonujesz bezpieczniejszego wyboru, używając "zamrożonego" jądra dostawcy, nie jest luksusem, na który wciąż możemy sobie pozwolić. Jak wyraźnie powiedział Greg Kroah-Hartman w swoim wykładzie "Demystifying the Linux Kernel Security Process": "Jeśli nie używasz najnowszego stabilnego / długoterminowego jądra, twój system nie jest bezpieczny. " CIQ opisuje swój raport jako "zliczenie wszystkich znanych błędów z jądra upstream, które zostały wprowadzone, ale nigdy nie zostały naprawione w RHEL 8". Dla najnowszych jąder RHEL 8, w chwili pisania tego tekstu, liczby te wynoszą RHEL 8.6 : 5034 RHEL 8.7 : 4767 RHEL 8.8 : 4594

W RHEL 8.8 mamy w sumie 4594 znanych błędów z poprawkami, które istnieją upstream, ale dla których znane poprawki nie zostały wstecznie przeniesione do RHEL 8.8. Sytuacja jest gorsza w przypadku RHEL 8.6 i RHEL 8.7, ponieważ zostały one wycofane wcześniej niż RHEL 8.8, ale oczywiście nie zapobiegło to odkrywaniu nowych błędów i naprawianiu ich upstream...

Ta biała księga nie ma na celu krytyki inżynierów pracujących u któregokolwiek z dostawców Linuksa, którzy są oddani tworzeniu wysokiej jakości pracy w swoich produktach w imieniu swoich klientów. Problem ten jest niezwykle trudny do rozwiązania. Wiemy, że jest to tajemnicą poliszynela wśród wielu osób w branży i chcielibyśmy przedstawić konkretne liczby opisujące ten problem, aby zachęcić do dyskusji. Mamy nadzieję, że producenci Linuksa i cała społeczność opowiedzą się za stabilnymi jądrami kernel.org jako najlepszym długoterminowym rozwiązaniem. Jako inżynierowie wolelibyśmy, aby pozwolono nam poświęcić więcej czasu na naprawianie błędów specyficznych dla klienta i zgłaszanie ulepszeń funkcji w górę strumienia, zamiast niekończącej się harówki polegającej na wstecznym transporcie zmian w górę strumienia do jąder dostawców, co może wprowadzić więcej błędów niż naprawić.

ZDNet nazywa to "otwartym sekretem społeczności linuksowej". Nie wystarczy korzystać z długoterminowej wersji wsparcia. Musisz używać najbardziej aktualnej wersji, aby być tak bezpiecznym, jak to tylko możliwe. Niestety, prawie nikt tego nie robi. Niemniej jednak, jak wyjaśnił Kees Cook, inżynier jądra Google Linux: "Co więc może zrobić sprzedawca? Odpowiedź jest prosta: chociaż to bolesne: nieustannie aktualizować do najnowszej wersji jądra, głównej lub stabilnej". Dlaczego? Jak wyjaśnił Kroah-Hartman, "każdy błąd może potencjalnie stanowić błąd bezpieczeństwa na poziomie jądra....".

Chociaż programiści CIQ zbadali konkretnie RHEL 8.8, jest to ogólny problem. Takie same wyniki uzyskaliby, gdyby zbadali SUSE, Ubuntu lub Debian Linux. Dystrybucje Linuksa typu Rolling Release, takie jak Arch, Gentoo i OpenSUSE Tumbleweed, stale wydają najnowsze aktualizacje, ale nie są używane w firmach.

ELI5: Jeremy Allison, znany inżynier w firmie Rocky Linux, opublikował post na blogu przekazujący, że korzystanie z najnowszych i stabilnych wersji jądra Linuksa, takich jak te tworzone przez Grega Kroah-Hartmana, jest ważne dla zapewnienia bezpieczeństwa. Badanie przeprowadzone przez CIQ wykazało, że "zamrożone" jądra dostawców, mimo starannie wybranych poprawek, są bardziej podatne na błędy i zwiększają ryzyko dla systemów. Zaleca się więc regularne aktualizacje jądra, aby zapewnić bezpieczeństwo systemu.

Źródła:

• https://www.zdnet.com/article/are-all-linux-vendor-kernels-insecure-a-new-study-says-yes-but-theres-a-fix/
• https://www.slashdot.org/~Jeremy+Allison+-+Sam
• https://ciq.com/blog/why-a-frozen-linux-kernel-isnt-the-safest-choice-for-security/
• https://ciq.com/whitepaper/vendor-kernels-bugs-stability/
• https://security.googleblog.com/2021/08/linux-kernel-security-done-right.html

Red Hat Enterprise Linux 9.4 został wydany, jak również Rocky Linux 9.4, donosi 9to5Linux

Rocky Linux 9.4 dodaje również nowy proces i przepływ pracy przy budowaniu obrazów z wykorzystaniem narzędzia do tworzenia urządzeń następnej generacji KIWI z openSUSE, który pozwala na budowanie obrazów, które są kompleksowe funkcjonalnie w porównaniu do starych. Pod maską, Rocky Linux 9.4 zawiera te same zaktualizowane komponenty co upstreamowy Red Hat Enterprise Linux 9.4

W tym tygodniu miała miejsce również premiera stabilnej wersji Alma Linux 9.4 („wiecznie darmowego rozwiązania dystrybucji Linuxa dla przedsiębiorstw zgodnego binarnie z RHEL”). Portal The Register zauważa, że podczas gdy Alma Linux „nadal wspiera niektóry sprzęt, który oficjalny RHEL 9.4 eliminuje, to nowości są w zasadzie takie same dla obu dystrybucji.”

W ubiegłym tygodniu miało również miejsce uruchomienie Grupy Interesu Specjalnego (SIG) AlmaLinux High-Performance Computing and AI.

HPCWire donosi: „Stan AlmaLinux jako społecznościowego systemu operacyjnego dla przedsiębiorstw niesie ogromne obietnice dla przyszłości HPC i AI” - powiedział Hayden Barnes, lider grupy SIG i starszy menedżer społeczności oprogramowania AI w HPE. „Jego przejrzystość i stabilność umożliwia uczonym, programistom i organizacjom współpracę, dostosowywanie i optymalizowanie środowisk obliczeniowych, sprzyjając kulturze innowacji i przyspieszając przełomy w badaniach naukowych oraz zaawansowanego uczenia maszynowego / sztucznej inteligencji.”

InfoWorld donosi za to: Red Hat wprowadził Red Hat Enterprise Linux AI (RHEL AI), opisany jako platforma modeli podstawowych, która pozwala użytkownikom bardziej bezproblemowo rozwijać i wdrażać modele generatywne sztucznej inteligencji. Zapowiedziany na 7 maja i dostępny teraz jako podgląd dla deweloperów, RHEL AI zawiera rodzinę Granite dużych modeli językowych open source (LLM) od IBM, narzędzia do dopasowania modeli InstructLab oparte na metodologii LAB (Large-Scale Alignment for Chatbots), oraz podejście społecznościowe do rozwoju modeli poprzez projekt InstructLab, powiedział Red Hat.

ELI5: Red Hat Enterprise Linux 9.4, Rocky Linux 9.4 i Alma Linux 9.4 to różne wersje systemów operacyjnych Linux. Wersja Rocky Linux 9.4 wprowadza nowe funkcje związane z tworzeniem obrazów, a Alma Linux 9.4 jest darmowym systemem dla firm. Dodatkowo, AlmaLinux ma specjalną grupę zajmującą się komputerami o dużej wydajności i sztuczną inteligencją. Red Hat z kolei wprowadził platformę RHEL AI, która pomaga rozwijać modele sztucznej inteligencji.

Źródła:

• https://almalinux.org/blog/2024-05-06-announcing-94-stable
• https://developers.redhat.com/articles/2024/05/01/whats-new-red-hat-enterprise-linux-94#latest_language_runtimes__databases__and_tools
• https://rockylinux.org/news/rocky-linux-9-4-ga-release
• https://9to5linux.com/rocky-linux-9-4-released-as-another-free-red-hat-enterprise-linux-9-4-distro
• https://almalinux.org/blog/2024-05-06-announcing-94-stable/
• https://www.theregister.com/2024/05/03/rhel_94_centos_7/
• https://almalinux.org/blog/2024-05-02-introducing-almalinux-hpc-ai-sig/
• https://wiki.almalinux.org/sigs/
• https://www.hpcwire.com/off-the-wire/almalinux-launches-new-hpc-and-ai-sig/
• https://www.infoworld.com/article/3715398/red-hat-launches-rhel-for-ai.html
• https://www.redhat.com/en/blog/what-rhel-ai-guide-open-source-way-doing-ai
• https://github.com/RedHatOfficial/rhelai-dev-preview
• https://www.infoworld.com/article/3706449/ibm-unveils-generative-ai-foundation-models.html
• https://arxiv.org/abs/2403.01081
• https://github.com/instruct-lab