Linux-Magazin Clean Linux (Vorschau)

Aktuell
www.linux-magazin.de Kernel-News 09/2013
18
Zacks Kernel-News
Linux zwischen Security und Performance
Linus Torvalds hat ein Patch an
Al Viro geschickt, um bessere
Performance aus dem Virtual
Filesystem (VFS) des Kernels
herauszuholen. Insbesondere
geht es ihm darum, einige
Sicherheitsprüfungen von SE
Linux zu beschleunigen, indem
er die benötigten Daten
aus dem Sicherheitssystem in
die Inode-Datenstruktur verlagert.
Beim Nachschlagen von
Dateipfaden könnte der Code
so eine Pointer-Dereferenzierung
einsparen.
Das rief Casey Schaufler auf
den Plan, der Smack [http://​
​schaufler‐ca.​com], ein Kernelmodul
für Mandatory Access
Control (MAC), betreut. Er
schreibt, in seiner Arbeit sei er
gerade dabei, jene Dereferenzierung
wieder einzuführen,
die Linus einsparen möchte.
Daneben erklärt er, ihm sei
gar nicht bekannt gewesen,
dass man die Daten in die Inode
verlagern dürfe.
Außerdem würde der Smack-
Maintainer lieber Performance-Verbesserungen
am
generischen Linux Security
Module (LSM) sehen als an
einer bestimmten Lösung
wie SE Linux. Das existiere
schließlich, damit Linus „die
ganzen furchtbaren Sachen
nicht sehen muss, die wir
Security-Leute anstellen“,
schreibt er. Torvalds hält dagegen,
SE Linux sei die einzige
Security-Lösung, die annehmbare
Performance biete.
Daneben schimpft er: „Das
letzte Mal, als ich Ubuntu
probiert habe (die benützen
noch App Armor, oder?) hat
das »make modules_install ;
make install« für den Kernel
nicht funktioniert. Wenn die
Ubuntu-Leute sich nicht um
Sicherheit muss nicht kompliziert sein, schreibt das Smack-Projekt. Linus
Torvalds dagegen hält Sicherheitssysteme für eine Performance-Bremse.
Kernelentwickler scheren,
werde ich mich auch nicht
mit ihnen abgeben.“ Später
steigerte sich Linus noch zu
einer Tirade gegen die Security-Community:
„Es wäre
gut, wenn die Security-Leute
endlich kapieren, dass Performance
wichtig ist. Es nervt
einfach, durch Sicherheitsfeatures
50 Prozent Performance
einzubüßen, wenn man einen
Dateipfad nachschlägt.“
Casey wandte ein, dass sich
die Security-Community sehr
wohl der Performance-Frage
bewusst sei. „Wir werden
mit Performance-Bedenken
bombardiert“, schreibt er,
„manchmal ist die Kritik ausgesprochen
feindselig.“ Daraufhin
zog sich Linus auf die
technischen Aspekte der Diskussion
zurück.
Er schlägt vor, mehr Code
aus den Sicherheitssystemen
in das VFS zu migrieren. So
ließen sich die meisten Fälle
optimiert behandeln, nur
bei Ausnahmen müsste das
Dateisystem bei den Security-
Komponenten nachfragen.
Die meisten Fälle lassen sich
laut Torvalds durch ein einziges
Bit entscheiden, das signalisiert:
„Diese Inode besitzt
keine besonderen Zugriffsrechte
außer den normalen
Unix-Permissions.“ n
Abgetaucht: Tarball-Releases und Patches
Als Linus Torvalds im Juni
Kernel 3.10-rc4 aus seinem
Urlaub veröffentlichte, lieferte
er keine Quelltext-Tarballs.
Er hatte vergessen, vor der
Abreise in das Taucherparadies
Palau das Tool »kup«, die
benötigten Perl-Module sowie
seine Release-Skripte auf dem
Laptop zu installieren.
Auf der Pazifik-Insel reichte
die Internetanbindung offenbar
für Mail, war aber nicht
stabil genug, um Softwarepakete
herunterzuladen. Auch
sein Git-Repository konnte
Linus updaten, doch ansonsten
musste er sich entschuldigen.
Er schrieb: „Ich glaube,
es benutzt ohnehin niemand
mehr Tarballs und Patches,
weil Git so bequem und effizient
ist.“ Zu den wenigen,
die sich darauf zu Wort meldeten,
gehörte der langjährige
Kernelentwickler Rand
Dunlap. Er arbeitet noch mit
Tarballs und Patches. Torvalds
beruhigte ihn: „Ich werde die
Tarballs und Patches nicht
einstellen, solange sie noch
Abnehmer finden.“ n