No ano passado, várias vulnerabilidades de segurança foram descobertas, dificultando que os administradores do sistema corrigissem os sistemas sem tempo de inatividade rapidamente.
E se algumas melhorias puderem ser feitas para atualizar alguns componentes críticos para melhorias de segurança/desempenho sem reiniciar um sistema?
A Intel pretende conseguir isso com seu novo driver PFRUT (Platform Firmware Runtime Update and Telemetry).
Intel planeja disponibilizar PFRUT com o Kernel Linux 5.17
Enquanto o Kernel Linux 5.16 deve ser lançado ainda neste fim de semana, a Intel pretende mesclar essa nova adição com a próxima versão estável do Kernel Linux 5.17.
Com o driver PFRUT, componentes específicos (ou o firmware do sistema) podem ser atualizados enquanto o sistema estiver em execução sem precisar ser reiniciado.
Inicialmente, a Intel preferiu chamá-la de solução de "Atualização Perfeita". No entanto, com a recente submissao de código para o Kernel Linux adicionado ao branch "linux-next" do gerenciamento de energia do Linux, eles podem estar aderindo a um nome neutro do fornecedor, pfrut_driver.
Se você estiver curioso, o branch "linux-next" significa que essas mudanças irão para a próxima versão estável do Linux Kernel 5.17.
Em termos técnicos, a submissão de código explica a mudança da seguinte forma:
Espera-se que o usuário forneça a cápsula EFI e passe-a ao driver escrevendo a cápsula para um arquivo especial do dispositivo. A cápsula é transferida pelo driver para o firmware da plataforma com a ajuda de um método ACPI_DSM sob o dispositivo especial ACPI Platform Firmware Runtime Update (INTC1080), e a atualização real do firmware é realizada pelo código do modo de gerenciamento de baixo nível no firmware da plataforma
Isso deve eliminar qualquer tempo de inatividade, como normalmente seria de esperar com uma atualização essencial para firmware que abrange quaisquer melhorias de segurança e desempenho. E, as atualizações de firmware do sistema podem ser facilmente aplicadas diretamente através do sistema operacional (Linux, aqui).
A parte de telemetria do driver existe para "obter mensagens de registro de MM para monitoramento e a causa raiz das questões", como destacado em um dos PDFs detalhando como isso funciona.
Observe que isso só é possível com um sistema Linux e um chip Intel.
A adição dessa habilidade deve ser incrivelmente útil, considerando que não é ideal esperar uma tarefa para ser concluída quando você precisa corrigir o firmware do sistema para se defender de um problema de segurança.
Isso é para desktop ou servidor Linux?
Principalmente, a melhoria é adaptada para beneficiar hardware específico de servidores.
A documentação oficial da Intel afirma que destina-se a sistemas com contratos de alto nível de serviço (SLAs) que requerem um número mínimo de reinicializações.
No entanto, isso deve ser útil para um grupo específico de usuários de desktop com sistemas de nível corporativo.
Embora isso possa não ser algo essencial para os distros do Linux de desktop, pode ser um começo interessante para algo que melhora a experiência do usuário. Especificamente para usuários interessados em manter seu firmware do sistema atualizado sem interrupções severas em seu trabalho ativo.
Isso também deve introduzir a possibilidade de mais tipos de atualizações que podem ser manuseadas pelo sistema operacional em vez da placa-mãe quando se trata de BIOS ou UEFI.
Não apenas limitado ao suporte para usuários de desktop Linux, seria necessário ter hardware de nível de servidor configurado para sua área de trabalho.
Isso se limita aos sistemas Linux, mas isso também deve ser possível para o Windows e outros sistemas operacionais em breve.
