Linux 4.6促进了容器的安全性，添加对OrangeFS的支持

如预期一样，Linux的核心任务Linux Torvalds周日发布了Linux Kernel 4.6。新版本支持一个新型的分布式文件系统OrangeFS，采用更加稳定的耗尽内存时的处理，支持802.1AE MACsec（MAC-level encryption），支持英特尔的内存保护密钥。

“上周末修复和优化的东西很多，没有非常奇怪的事情发生。”Torvalds在邮件列表中写到。Linux 4.6提高了对控制群组的名字空间的支持，这对容器的安全性来说非常重要。如果没有名字空间，那么/proc/$PID/cgroup文件会对cgroup显示完整路径。Ubuntu的内核程序员Serge Hallyn说。“在容器的设置中，一系列的cgroups和命名空间可以分离出进程，使得/proc/$PID/cgroup文件不需要深层的系统信息便可分配进程。” Hallyn写到，命名空间提供了虚拟化文件和cgroup框架的中间件。

内核通过自己对MACsec/IEEE 802.1AE的实现，提高了网络的安全性。“驱动在LAN中提供对网络的授权验证和加密，通常是用GCM-AES-128，也有重复保护的可选项。”这个实现背后的内核开发者Sabrina Dubroca说到。

在准备4.6版本的时候，Linux基金会会员Greg Korah-Hartman讨论了为什么要急事更新内核，保持最新版本。“我们每天修复大约10个bug，并不是所有的bug都是安全问题，但是有时候我们并不能确定这个问题不是安全问题。”

原文：Linux 4.6 boosts container security, adds OrangeFS support
作者： Fahmida Y. Rashid
译者：赖信涛
责编：钱曙光