新的 ext4 文件系统已经默认成为 Ubuntu 9.10 beta 安装文件系统;当然,其他文件系统在手工分区时依然可以使用。当前文件系统不会被升级。
假如你已经做了完全备份,并且自信可以搞定未知问题,可以按照 Ext4 Howto 里的说明来升级当前的 ext3 到 ext4 。(注意:当时有关 Ubuntu 中使用 vol_id vs. blkid 的论述已经“过期”,并不适用于 Ubuntu 9.10 Beta )不过,最佳性能只能由全新的 ext4 系统来体现,从 ext3 的升级并不能发挥 ext4 的全部性能。
GRUB2 已经成为默认配置
GRUB2已经成为Ubuntu9.10beta全新安装时默认的启动装载程序,代替了以前“旧的”GRUB引导程序。考虑到升级现有系统的引导装载程序有一定风险,所以这次不会自动升级您的引导装载程序。
如果 您希望升级到 GRUB2 ,请您阅读 GRUB2 测试者 网页来获得信息,此页面同时提供了 手动升级指南。
跟以前的 Grub 相比,Grub 2 还缺少部分功能。 值得一提的是少了加锁/密码支持, grub-reboot 功能,还有虚拟机监视器的处理。
iSCSI 安装
iSCSI 的安装过程已做了改进,不再需要设置引导参数 iscsi=true。在没有本地盘的时候安装程序提供了登录 iSCSI 目标设备(target)的选项,或者你可以在手工分区的时候选择 "Configure iSCSI"。
当前已支持将根文件系统放置在 iSCSI 设备上。
AppArmor
Ubuntu 9.10 Beta 中的 AppArmor 采用了一个改进的分析程序,它使用缓冲文件极大地加快了系统引导时 AppArmor 的初始化速度。AppArmor 当前已支持 'pux' 选项,当此选项被设置后,表明该进程在运行期间能够切换到一个已有的配置,或者此进程的权限初始化为不受限制。
新增配置文件
除了 AppArmor 自身的上述变化外,新增了一些配置文件。 ntpd、GNOME 文档查看器(evince)和 libvirt 的强制性配置文件默认启用。在 apparmor-profiles 软件包中,Dovecot 的 Complain 模式配置文件是可用的。也提供了一个用于 Firefox 的新配置文件,虽然默认是禁用的。用户可以通过运行以下命令启用浏览器的 AppArmor 沙盒:
$ sudo aa-enforce /etc/apparmor.d/usr.bin.firefox-3.5
请参阅 SecurityTeam/KnowledgeBase 以获取在 Ubuntu 中现成的可用配置文件的完整列表。
Libvirt
当使用 KVM 或 QEMU 时,Libvirt 现在包含了 AppArmor 集成。Libvirtd 被配置为运行由独特限制性 AppArmor 配置文件所局限的虚拟机。此功能通过提供用户区主机防护以及客人隔离,显著提高 Ubuntu 中的虚拟化。
简单的防火墙(UFW)
简单的防火墙(UFW)现在已经支持通过界面操作进行过滤,并且可使用 ufw 命令过滤外出连接。改进了的 UFW 的相关文档帮助用户更好地利用 ufw 框架并充分发挥 Linux netfilter(网络过滤器)的强大而灵活的优势. 请参阅 UbuntuFirewall#Features 以获知功能特性的完整列表。
Non-eXecutable 仿真
Non-eXecutable (NX) 内存保护,也就是通常所说的 eXecute-Disable (XD),在任何硬件支持、运行 64 位内核或 32 位服务器版内核的 Ubuntu 系统上总是可用。现在 32 位 PAE 桌面内核(linux-image-generic-pae)也提供拥有 NX CPU 功能的硬件所需的 PAE(物理地址扩展)模式。
对于缺乏 NX 硬件的系统,32 位内核现在可以通过软件仿真 NX CPU 近似的特性,这可以帮助阻止那些可运行于堆栈或堆存储器的攻击。
阻止模块加载
为了阻止启动后加载更多模块(通常是硬件不变的服务器),目前已有 /proc/sys/kernel/modules_disabled 单向 sysctl 标记,针对攻击者加载内核 rootkit 增加了额外的保护层。
Position-Independent Executables (PIE) (PIE)