CLOUD技术笔记Ubuntu Server 22.04 LTS(Jammy Jellyfish)相比18.04 LTS(Bionic Beaver)在性能和安全性方面有显著提升,主要体现在以下几个方面:
一、性能提升
-
内核升级
- 18.04:默认使用 Linux 内核 4.15(后续可升级至 5.4 HWE)。
- 22.04:默认使用 5.15 LTS 内核,支持更新的硬件(如 Intel Alder Lake、AMD Zen 3)、IO_uring 异步 I/O 优化、Btrfs 性能改进等。
-
工具链更新
- GCC 编译器:从 18.04 的 GCC 7.5 升级到 GCC 11.2,带来更好的代码优化和性能。
- Python 版本:从 Python 3.6 升级到 Python 3.10,性能提升显著(如模式匹配、类型提示优化)。
-
服务与运行时优化
- systemd:从版本 237 升级到 250,改进启动速度和服务管理。
- 网络堆栈:支持 TCP BBRv2 拥塞控制算法,提升网络吞吐量。
- 容器与虚拟化:
- 默认使用 Open vSwitch 2.15,提升虚拟网络性能。
- 对 Kubernetes 和 Docker 的支持更完善(如 containerd 1.5+)。
-
文件系统与存储
- 增强对 Btrfs 和 XFS 的支持(如 XFS 的延迟特性优化)。
- NVMe over TCP 内核支持,提升远程存储性能。
二、安全性增强
-
默认安全策略
- AppArmor 3.0:提供更精细的应用程序沙箱策略(如默认保护更多系统服务)。
- 内核安全模块:支持 Landlock LSM(Linux 5.13+),允许非特权进程自隔离。
-
加密与认证
- OpenSSL 3.0:取代 OpenSSL 1.1.1,提供 FIPS 140-3 兼容性和算法现代化。
- SSH 密钥算法:默认禁用 SHA-1 等弱算法,推荐 Ed25519 密钥。
- Polkit 权限控制:更新至版本 0.105,修复权限提升漏洞(如 CVE-2021-3560)。
-
供应链安全
- APT 包管理器:支持 签名仓库元数据(SHA256),防止中间人攻击。
- Deb 包格式:支持 dpkg 1.21+,增强安装过程的安全性验证。
- Ubuntu Pro 集成:22.04 可免费获取 ESM(扩展安全维护),覆盖 10 年安全更新(包括内核、关键包)。
-
硬件安全支持
- TPM 2.0:改进对硬件可信平台模块的支持(如全磁盘加密与安全启动)。
- Intel SGX:支持第 11 代以上 CPU 的软件防护扩展。
-
漏洞缓解
- 默认启用更多内核安全特性(如 CFI、KPTI、RETPOLINE),防御 Spectre/Meltdown 等侧信道攻击。
- Firewall 与网络:
nftables逐步替代iptables,提供更灵活的规则管理。
三、其他重要改进
- 云与容器集成:
- 默认包含 cloud-init 22.1,优化云实例初始化。
- 支持 QEMU 6.2,提升虚拟化性能。
- 监控与调试:
- 升级
bpftrace和perf工具,增强内核追踪能力。 - 默认集成
logrotate改进,减少日志溢出风险。
- 升级
- 生命周期:
- 18.04 LTS 标准支持已于 2023年4月 结束(ESM 支持至2028年),而 22.04 LTS 标准支持至 2027年4月(ESM 至2032年)。
升级建议
- 性能敏感场景(如高并发网络、数据库):建议升级至 22.04,尤其是需要新硬件支持或内核优化特性时。
- 安全合规需求:22.04 的长期安全支持(含 ESM)和现代加密标准更适合合规环境。
- 注意事项:
- 测试旧版应用兼容性(如依赖 Python 3.6 的脚本)。
- 部分第三方驱动(如老旧硬件)可能需要适配新内核。
如需从 18.04 升级,建议先通过 do-release-upgrade 逐步升级至 20.04,再升级到 22.04,并充分备份数据。
