Кампанія Red Hat дыстрыбутыў . Установачныя зборкі падрыхтаваны для архітэктур x86_64, s390x (IBM System z), ppc64le і Aarch64, але для толькі зарэгістраваным карыстальнікам Red Hat Customer Portal. Зыходныя тэксты rpm-пакетаў Red Hat Enterprise Linux 8 распаўсюджваюцца праз CentOS. Ветка RHEL 8.x будзе падтрымлівацца прынамсі да 2029 гады.
Red Hat Enterprise Linux 8.1 стаў першым выпускам, падрыхтаваным у адпаведнасці з новым прадказальным цыклам распрацоўкі, які разумее фармаванне рэлізаў раз у паўгода ў загадзя вызначаны час. Наяўнасць дакладнай інфармацыі аб часе публікацыі новага выпуску дазваляе сінхранізаваць графікі распрацоўкі розных праектаў, загадзя падрыхтавацца да новага выпуску і запланаваць час прымянення абнаўленняў.
Адзначаецца, што новы прадуктаў RHEL ахоплівае некалькі узроўняў, у тым ліку Fedora як плацдарм для рэалізацыі новых магчымасцяў, для доступу пакетам, фармаваным для наступнага прамежкавага выпуску RHEL (rolling-варыянт RHEL),
мінімалістычная ўніверсальная базавая выява (UBI, Universal Base Image) для запуску прыкладанняў у ізаляваных кантэйнерах і для бясплатнага выкарыстання RHEL у працэсе распрацоўкі.
ключавыя :
- Забяспечана паўнавартасная падтрымка механізму прымянення Live-патчаў () для ўхілення ўразлівасцяў у ядры Linux без перазапуску сістэмы і без прыпынку працы. Раней kpatch уваходзіў у катэгорыю эксперыментальных магчымасцяў;
- На базе фрэймворка рэалізавана магчымасць стварэння белага і чорнага спісаў прыкладанняў, якія дазваляюць размежаваць якія з праграм можна запускаць карыстачу, а якія не (напрыклад, для блакавання запуску неправераных вонкавых выкананых файлаў). Рашэнне аб блакаванні або дазволе запуску можа прымацца на аснове назвы прыкладання, шляхі, хэша ад змесціва і MIME-тыпу. Праверка правіл ажыццяўляецца падчас выканання сістэмных выклікаў open() і exec(), таму можа негатыўна ўплываць на прадукцыйнасць;
- У склад уключаны профілі SELinux, сфакусаваныя на выкарыстанні з ізаляванымі кантэйнерамі і якія дазваляюць больш тонка кіраваць даступным якія запускаюцца ў кантэйнерах сэрвісаў да рэсурсаў хост-сістэмы. Для генерацый правіл SELinux для кантэйнераў прапанавана новая ўтыліта udica, якая дазваляе з улікам спецыфікі канкрэтнага кантэйнера падаць доступ толькі да неабходных вонкавых рэсурсаў, такім як сховішчы, прылады і сетка. Утыліты SELinux (libsepol, libselinux, libsemanage, policycoreutils, checkpolicy, mcstrans) абноўлены да выпуску 2.9, а пакет SETools да версіі 4.2.2.
Дададзены новы тып SELinux – boltd_t, які абмяжоўвае boltd, працэс для кіравання прыладамі з інтэрфейсам Thunderbolt 3 (boltd зараз запускаецца ў кантэйнеры, абмежаваным SELinux). Дададзены новы клас правілаў SELinux - bpf, які кіруе зваротам да Berkeley Packet Filter (BPF) і інспектуе прыкладанні для eBPF;
- У склад уключаны стэк пратаколаў маршрутызацыі (BGP4, MP-BGP, OSPFv2, OSPFv3, RIPv1, RIPv2, RIPng, PIM-SM/MSDP, LDP, IS-IS), які замяніў сабой раней які ўжываўся пакет Quagga (FRRouting з'яўляецца адгалінаваннем ад Quagga, таму сумяшчальнасць не папакутавала);
- Для шыфраваных частак у фармаце LUKS2 дададзеная падтрымка перашыфроўкі блокавых прылад на лета, без спынення іх выкарыстання ў сістэме (напрыклад, зараз можна памяняць ключ або алгарытм шыфравання без адмантавання часткі);
- У фрэймворк OpenSCAP дададзеная падтрымка новай рэдакцыі пратаколу SCAP 1.3 (Security Content Automation Protocol);
- Абноўлены версіі OpenSSH 8.0p1, Tuned 2.12, chrony 3.5, samba 4.10.4. У рэпазітар AppStream дададзеныя модулі з новымі галінкамі PHP 7.3, Ruby 2.6, Node.js 12 і nginx 1.16 (абнаўленне модуляў з мінулымі галінкамі працягнута). У набор Software Collection дададзены пакеты з GCC 9, LLVM 8.0.1, Rust 1.37 і Go 1.12.8;
- Інструментарый трасіроўкі SystemTap абноўлены да галіны 4.1, а інструментарый для адладкі працы з памяццю Valgrind да версіі 3.15;
- У сродкі для разгортвання сервера ідэнтыфікацыі (IdM, Identity Management) дададзена новая ўтыліта nealthcheck, якая спрашчае выяўленне праблем з працай акружэнняў з серверам ідэнтыфікацыі. Спрошчана ўстаноўка і настройка IdM-акружэнняў, дзякуючы падтрымцы роляў Ansible і магчымасці ўстаноўкі модуляў. Дададзена падтрымка давераных лясоў (Active Directory Trusted Forest) на базе Windows Server 2019.
- У класічным сеансе GNOME (GNOME Classic) зменены перамыкач віртуальных працоўных сталоў. Віджэт для пераключэння паміж працоўнымі сталамі зараз знаходзіцца ў правай частцы ніжняй панэлі і аформлены ў выглядзе паласы з мініяцюрамі працоўных сталоў (для пераключэння на іншы працоўны стол дастаткова клікнуць на мініяцюру, якая адлюстроўвае яго змесціва);
- DRM (Direct Rendering Manager) падсістэма і нізкаўзроўневыя графічныя драйверы (amdgpu, nouveau, i915, mgag200) абноўлены да стану, якое адпавядае ядру Linux 5.1. Дададзена падтрымка відэападсістэм AMD Raven 2, AMD Picasso, AMD Vega, Intel Amber Lake-Y і Intel Comet Lake-U;
- У інструментар для абнаўлення RHEL 7.6 да RHEL 8.1 дададзена падтрымка абнаўлення без пераўсталёўкі для архітэктур ARM64, IBM POWER (little endian) і IBM Z. У web-кансоль дададзены рэжым папярэдняй праверкі сістэмы перад абнаўленнем. Дададзены плягін cockpit-leapp для аднаўлення стану ў выпадку праблем у ходзе абнаўлення. Забяспечаны падзел каталогаў /var і /usr у асобныя раздзелы. Дададзена падтрымка UEFI. У забяспечана абнаўленне пакетаў з рэпазітара Supplementary (уключае прапрыетарныя пакеты);
- У Image Builder дададзена падтрымка зборкі вобразаў для хмарных асяродкаў Google Cloud і Alibaba Cloud. Пры фармаванні начыння выяў дададзена магчымасць выкарыстання repo.git для ўключэння ў склад дадатковых файлаў з адвольных Git-рэпазітараў;
- У Glibc для malloc дададзены дадатковыя праверкі для выяўлення сітуацый пашкоджання выдзеленых блокаў памяці;
- Пакет dnf-utils перайменаваны ў yum-utils для забеспячэння сумяшчальнасці (магчымасць усталёўкі dnf-utils захавана, але гэты пакет аўтаматычна будзе заменены на yum-utils);
- Дададзена новая рэдакцыя Red Hat Enterprise Linux System Roles, набор модуляў і роляў для разгортвання сістэмы цэнтралізаванага кіравання канфігурацыяй на аснове Ansible і налады падсістэм для задзейнічання спецыфічных функцый, звязаных са сховішчамі, сеткавымі магчымасцямі, сінхранізацыяй часу, правіламі SElinux і ўжываннем механізму kdump. Напрыклад, новая роля
storage дазваляе выконваць такія задачы як кіраванне ФС на кружэлцы, праца з групамі LVM і лагічнымі часткамі; - У сеткавым стэку для VXLAN і тунэляў GENEVE рэалізавана магчымасць апрацоўкі ICMP-пакетаў "Destination Unreachable", "Packet Too Big" і "Redirect Message", што вырашыла праблему з немагчымасцю выкарыстоўваць перанакіраванні маршрутаў і Path MTU Discovery у VXLAN і GENEVE.
- Эксперыментальная рэалізацыя падсістэмы XDP (eXpress Data Path), якая дазваляе ў Linux запускаць BPF-праграмы на ўзроўні сеткавага драйвера з магчымасцю прамога доступу да DMA-буфера пакетаў і на стадыі да вылучэння буфера skbuff сеткавым стэкам, а таксама кампаненты eBPF, сінхранізаваныя з я5.0. . Дададзена эксперыментальная падтрымка падсістэмы ядра AF_XDP ();
- Забяспечана поўная падтрымка сеткавага пратакола (Transparent Inter-process Communication), прызначанага для арганізацыі міжпрацэснага ўзаемадзеяння ў кластары. Пратакол дае сродкі для хуткага і надзейнага ўзаемадзеяння прыкладанняў, незалежна ад таго, на якіх вузлах у кластары яны выконваюцца;
- У initramfs дададзены новы рэжым захавання дампа ядра ў выпадку збою.«, які працуе на ранніх стадыя загрузкі;
- Дададзены новы параметр ядра ipcmni_extend, які пашырае ліміт ідэнтыфікатараў IPC c 32 KB (15 біт) 16 MB (24 біта), што дазваляе прыкладанням выкарыстоўваць больш сегментаў падзялянай памяці;
- Ipset абноўлены да выпуску 7.1 c падтрымкай аперацый IPSET_CMD_GET_BYNAME і IPSET_CMD_GET_BYINDEX;
- Дэман rngd, які выконвае напаўненне пула энтрапіі генератара псеўдавыпадковых лікаў, пазбаўлены ад неабходнасці запуску з правамі root;
- Забяспечана поўная падтрымка (Omni-Path Architecture) для абсталявання з Host Fabric Interface (HFI) і поўная падтрымка прылад сталай памяці Intel Optane DC Persistent Memory.
- У адладкавых ядрах па змаўчанні ўключаная зборка з дэтэктарам нявызначаных паводзін UBSAN (Undefined Behavior Sanitizer), які дадае ў скампіляваны код дадатковыя праверкі для выяўлення сітуацый, калі паводзіны праграмы становіцца нявызначаным (напрыклад, выкарыстанне нестатычных зменных да іх ініцыялізацыі, але дзяленне цэлых цэлалікавых знакавых тыпаў, разнайменне паказальнікаў NULL, праблемы з выраўноўваннем паказальнікаў і да т.п.);
- Дрэва зыходных тэкстаў ядра з пашырэннямі для працы ў рэжыме рэальнага часу (kernel-rt) сінхранізавана з кодам асноўнага ядра RHEL 8;
- Дададзены драйвер ibmvnic для сеткавага кантролера vNIC (Virtual Network Interface Controller) з рэалізацыяй тэхналогіі віртуальных сетак PowerVM. Пры ўжыванні сумесна з SR-IOV NIC новы драйвер дазваляе забяспечыць кіраванне прапускной здольнасцю і якасцю сэрвісу на ўзроўні віртуальнага сеткавага адаптара, істотна змяншаючы накладныя выдаткі ў выніку віртуалізацыі і памяншаючы нагрузку на CPU;
- Дададзена падтрымка пашырэнняў па кантролі цэласнасці дадзеных (Data Integrity Extensions), якія дазваляюць абараніць дадзеныя ад іх пашкоджанні пры запісе ў сховішча за кошт захавання дадатковых карэкціруючых блокаў;
- Дададзена эксперыментальная падтрымка (Technology Preview) пакета , які прадстаўляе бібліятэку і ўтыліту nmstatectl для кіравання сеткавымі наладамі праз дэкларатыўны API (стан сеткі апісваецца ў форме перадвызначанай схемы);
- Дададзена эксперыментальная падтрымка рэалізацыі пратаколу TLS на ўзроўні ядра (KTLS) з шыфрвааннем на базе AES-GCM, а таксама эксперыментальная падтрымка OverlayFS, cgroup v2, , mdev () і DAX (прамы доступ да ФС у абыход старонкавага кэша без ужывання ўзроўня блокавых прылад) у ext4 і XFS;
- Абвешчана састарэлай падтрымка DSA, TLS 1.0 і TLS 1.1, якія выключаны з набору DEFAULT і перанесены ў LEGACY ("update-crypto-policies -set LEGACY");
- Абвешчаныя састарэлымі пакеты 389-ds-base-legacy-tools,
authd,
custodia,
hostname,
libidn,
сеткавыя інструменты,
network-scripts,
nss-pam-ldapd,
sendmail,
yp-tools,
ypbind і ypserv. У будучым значным выпуску іх пастаўка можа быць спынена; - Скрыпты ifup і ifdown замененыя на абвязкі, якія выклікаюць NetworkManager праз nmcli (для вяртання старых скрыптоў трэба выканаць "yum install network-scripts").
Крыніца: opennet.ru