Linux 6.15: un passo avanti per sicurezza, prestazioni e supporto hardware

Linus Torvalds ha ufficialmente annunciato il rilascio e la disponibilità generale di Linux 6.15, la nuova versione stabile del kernel, arrivata con qualche ora di ritardo a causa di una segnalazione dell’ultimo minuto che ha costretto a disabilitare temporaneamente una funzionalità. La release del kernel Linux appena pubblicata si prospetta matura e fortemente orientata alla stabilità, sebbene non manchino una serie di novità importanti.

Sicurezza: nuovi hook, chiavi hardware e hardening

Un punto di forza di Linux 6.15 è il focus rafforzato sulla sicurezza. L’introduzione di un nuovo security hook dedicato al sottosistema io_uring permette ai moduli di sicurezza, come SELinux e AppArmor, un controllo più granulare sulle operazioni I/O asincrone, riducendo le superfici d’attacco.

Linux 6.15 introduce una speciale funzionalità che consente al sottosistema block (ovvero il livello che gestisce dischi, SSD, partizioni, ecc.) di usare chiavi di cifratura protette direttamente in hardware, senza mai esporle completamente al software o alla memoria di sistema.

Parallelamente, una nuova funzionalità di hardening della memoria consente di “sigillare” alcune mappature di memoria evitando modifiche non autorizzate. Questa opzione è disabilitata di default per garantire la retrocompatibilità, ma rappresenta un importante passo in avanti in termini di integrità del sistema.

Infine, il modulo di sicurezza Landlock (permette di limitare i privilegi delle applicazioni in esecuzione) guadagna un meccanismo di auditing che rende più semplice comprendere e diagnosticare i motivi degli accessi negati, favorendone l’adozione in contesti complessi.

Architetture e nuove funzionalità: Rust, RISC-V, Apple Silicon

Sul fronte architetturale, Linux 6.15 amplia il supporto per il linguaggio Rust, estendendolo a componenti come hrtimer e all’architettura ARMv7. Questo processo incrementale apre progressivamente la strada all’integrazione di codice più sicuro e moderno nel kernel del sistema.

La piattaforma RISC-V beneficia di un’attenzione crescente, con l’integrazione di nuove estensioni tra cui BFloat16, ZBKB, Zaamo e Zalrsc, fondamentali per accelerare carichi computazionali scientifici, AI e crittografia. Su Apple Silicon, invece, è ora possibile emulare FEAT_PMUv3, ampliando le capacità di debug e profilazione su questi chip ARM proprietari.

hrtimer è il sottosistema dei timer ad alta risoluzione nel kernel Linux: permette di eseguire operazioni temporizzate con precisione al microsecondo o nanosecondo. FEAT_PMUv3 è invece una funzionalità delle CPU ARM (come Apple Silicon) che consente il monitoraggio delle prestazioni hardware, tramite contatori di eventi (es. istruzioni eseguite, cache miss, cicli CPU, ecc.).

Virtualizzazione e filesystem: innovazioni mirate

Tra le innovazioni più tecniche spicca il supporto per la virtualizzazione nidificata tramite VGICv3 su ARM, una caratteristica utile per chi sviluppa o testa ambienti complessi in cloud e configurazioni embedded.

Nel contesto dei filesystem, diverse migliorie rafforzano funzionalità e compatibilità:

• FUSE ora supporta nomi di file oltre i 1024 caratteri.
• EROFS acquisisce il supporto per l’indirizzamento a 48 bit, migliorando la gestione dello spazio in scenari compressi.
• OverlayFS introduce l’opzione override_creds, che consente di impostare le credenziali usate per accedere ai livelli inferiori del filesystem, utile per garantire l’isolamento dei container.
• Bcachefs, il giovane filesystem nato per competere con ZFS e Btrfs, ottiene miglioramenti sul fronte della casefolding, migliorando l’accuratezza nella gestione dei nomi insensibili al maiuscolo/minuscolo.

Nuove API, networking e gestione mount

Un’altra aggiunta tecnica rilevante è la nuova API per la gestione degli eventi di mount e unmount, che permette a strumenti di monitoraggio e auditing di ricevere notifiche più dettagliate sulle operazioni del filesystem.

Sul versante del networking spiccano il supporto per la ricezione zero-copy su io_uring, che promette miglioramenti in termini di efficienza e latenza; una nuova opzione socket TCP (TCP_RTO_MAX_MS) per il controllo avanzato dei tentativi di ritrasmissione; callback BPF per il recupero dei timestamp attraverso vari strati dello stack di rete.

La funzione zero-copy su io_uring consente di ricevere dati di rete direttamente nella memoria dell’applicazione, senza copie intermedie, riducendo latenza e uso della CPU; l’introduzione di callback BPF, invece, aiuta a ottenere timestamp accurati (es. invio, ricezione) dai diversi livelli dello stack di rete, migliorando il monitoraggio e l’analisi delle performance.

Driver e hardware: supporto esteso

Come consuetudine, una mole di modifiche davvero imponente interessa i driver. Linux 6.15 amplia il supporto a numerosi dispositivi, tra cui:

• Apple Touch Bar
• Google Pixel Pro 6
• Huawei Matebook E Go
• MYIR Remi Pi (board di sviluppo ARM)
• Milk-V Jupiter (board RISC-V)
• HP e Lenovo Yoga con miglioramenti audio (chip CS35L41) e gestione LED micmute
• Fujitsu Lifebook S2110 con supporto hotkey

Inoltre, il driver ACPI fan ora supporta la gestione di ventole con monitoraggio avanzato ma senza controllo diretto; il driver ACPI button può ricevere eventi di sistema, migliorando il comportamento del risveglio da sospensione su sistemi selezionati.

Novità strutturali: nuovo accantonamento delle configurazioni più vecchie

Linux 6.15 abbandona il supporto per sistemi x86 a 32 bit con più di 8 CPU o oltre 4 GB di RAM, razionalizzando il codice legacy e promuovendo un uso più coerente delle architetture moderne.

Il kernel appena rilasciato introduce anche fwctl, un nuovo sottosistema che consente agli utenti di costruire ed eseguire RPC (Remote Procedure Call) all’interno del firmware dei dispositivi in modo sicuro, aprendo scenari interessanti per la gestione dei dispositivi embedded e la configurazione remota.