empresa sombrero rojo distribución . Los conjuntos de instalación están preparados para las arquitecturas x86_64, s390x (IBM System z), ppc64le y Aarch64, pero para sólo para usuarios registrados del Portal del Cliente de Red Hat. Las fuentes de los paquetes Red Hat Enterprise Linux 8 rpm se distribuyen a través de CentOS. La rama RHEL 8.x será compatible al menos hasta 2029.
Red Hat Enterprise Linux 8.1 fue la primera versión preparada de acuerdo con el nuevo ciclo de desarrollo predecible, que implica la formación de versiones cada seis meses en un momento predeterminado. Tener información precisa sobre cuándo se publicará una nueva versión le permite sincronizar los cronogramas de desarrollo de varios proyectos, prepararse con anticipación para una nueva versión y planificar cuándo se aplicarán las actualizaciones.
Se observa que el nuevo Los productos RHEL abarcan múltiples capas, incluido Fedora como trampolín para nuevas capacidades, para acceder a los paquetes creados para la próxima versión intermedia de RHEL (versión móvil de RHEL),
Imagen base universal minimalista (UBI, Universal Base Image) para ejecutar aplicaciones en contenedores aislados y para el uso gratuito de RHEL en el proceso de desarrollo.
Llave :
- Se proporciona soporte completo para el mecanismo para aplicar parches Live () para eliminar vulnerabilidades en el kernel de Linux sin reiniciar el sistema y sin detener el trabajo. Anteriormente, kpatch se clasificaba como una característica experimental;
- Basado en el marco Se ha implementado la posibilidad de crear listas blancas y negras de aplicaciones, que permiten diferenciar qué programas puede iniciar el usuario y cuáles no (por ejemplo, para bloquear el inicio de archivos ejecutables externos no verificados). La decisión de bloquear o permitir un inicio se puede tomar en función del nombre de la aplicación, la ruta, el hash del contenido y el tipo MIME. La verificación de reglas ocurre durante las llamadas al sistema open() y exec(), por lo que puede tener un impacto negativo en el rendimiento;
- La composición incluye perfiles SELinux, centrados en el uso con contenedores aislados y que permiten un control más granular sobre el acceso de los servicios que se ejecutan en contenedores para alojar los recursos del sistema. Para generar reglas SELinux para contenedores, se ha propuesto una nueva utilidad udica, que permite, teniendo en cuenta las características específicas de un contenedor en particular, proporcionar acceso solo a los recursos externos necesarios, como almacenamiento, dispositivos y red. Las utilidades SELinux (libsepol, libselinux, libsemanage, Policycoreutils, checkpolicy, mcstrans) se actualizaron a la versión 2.9 y el paquete SETools a la versión 4.2.2.
Se agregó un nuevo tipo de SELinux, Boltd_t, que restringe Boltd, un proceso para administrar dispositivos Thunderbolt 3 (boltd ahora se ejecuta en un contenedor limitado por SELinux). Se agregó una nueva clase de reglas SELinux: bpf, que controla el acceso al filtro de paquetes Berkeley (BPF) e inspecciona las aplicaciones en busca de eBPF;
- Incluye una pila de protocolos de enrutamiento (BGP4, MP-BGP, OSPFv2, OSPFv3, RIPv1, RIPv2, RIPng, PIM-SM/MSDP, LDP, IS-IS), que reemplazó el paquete Quagga utilizado anteriormente (FRRouting es una bifurcación de Quagga, por lo que la compatibilidad no se vio afectada );
- Para las particiones cifradas en formato LUKS2, se ha agregado soporte para volver a cifrar dispositivos de bloque sobre la marcha, sin detener su uso en el sistema (por ejemplo, ahora puede cambiar la clave o el algoritmo de cifrado sin desmontar la partición);
- Se ha agregado al marco OpenSCAP soporte para la nueva edición del protocolo SCAP 1.3 (Protocolo de automatización de contenido de seguridad);
- Versiones actualizadas de OpenSSH 8.0p1, Tuned 2.12, chrony 3.5, samba 4.10.4. Se agregaron módulos con nuevas ramas de PHP 7.3, Ruby 2.6, Node.js 12 y nginx 1.16 al repositorio de AppStream (la actualización de módulos con ramas anteriores continuó). Se agregaron paquetes con GCC 9, LLVM 8.0.1, Rust 1.37 y Go 1.12.8 a la Colección de software;
- El kit de herramientas de seguimiento SystemTap se actualizó a la rama 4.1 y el kit de herramientas de depuración de memoria Valgrind se actualizó a la versión 3.15;
- Se ha agregado una nueva utilidad de verificación de estado a las herramientas de implementación del servidor de identificación (IdM, Identity Management), que simplifica la identificación de problemas con el funcionamiento de los entornos con el servidor de identificación. La instalación y configuración de entornos IdM se simplifica gracias a la compatibilidad con roles de Ansible y la capacidad de instalar módulos. Se agregó soporte para bosques confiables de Active Directory basados en Windows Server 2019.
- El conmutador de escritorio virtual se ha cambiado en la sesión de GNOME Classic. El widget para cambiar entre escritorios ahora se encuentra en el lado derecho del panel inferior y está diseñado como una franja con miniaturas de escritorios (para cambiar a otro escritorio, simplemente haga clic en la miniatura que refleja su contenido);
- El subsistema DRM (Direct Rendering Manager) y los controladores de gráficos de bajo nivel (amdgpu, nouveau, i915, mgag200) se han actualizado para que coincidan con el kernel de Linux 5.1. Se agregó soporte para los subsistemas de video AMD Raven 2, AMD Picasso, AMD Vega, Intel Amber Lake-Y e Intel Comet Lake-U;
- El kit de herramientas para actualizar RHEL 7.6 a RHEL 8.1 ha agregado soporte para actualizar sin reinstalación para arquitecturas ARM64, IBM POWER (little endian) e IBM Z. Se ha agregado un modo de actualización previa del sistema a la consola web. Se agregó el complemento cockpit-leapp para restaurar el estado en caso de problemas durante la actualización. Los directorios /var y /usr están separados en secciones independientes. Se agregó soporte UEFI. EN los paquetes se actualizan desde el repositorio complementario (incluye paquetes propietarios);
- Image Builder ha agregado soporte para crear imágenes para los entornos de nube de Google Cloud y Alibaba Cloud. Al crear relleno de imágenes, se agregó la capacidad de usar repo.git para incluir archivos adicionales de repositorios Git arbitrarios;
- Se han agregado comprobaciones adicionales a Glibc para que malloc detecte cuando los bloques de memoria asignados están dañados;
- Se ha cambiado el nombre del paquete dnf-utils a yum-utils por motivos de compatibilidad (se conserva la capacidad de instalar dnf-utils, pero este paquete será reemplazado automáticamente por yum-utils);
- Se agregó una nueva edición de Roles del sistema Red Hat Enterprise Linux, un conjunto de módulos y roles para implementar un sistema de gestión de configuración centralizado basado en Ansible y configurar subsistemas para habilitar funciones específicas relacionadas con almacenamiento, redes, sincronización horaria, reglas SElinux y el uso del mecanismo kdump. Por ejemplo, un nuevo rol
el almacenamiento le permite realizar tareas como administrar sistemas de archivos en el disco, trabajar con grupos LVM y particiones lógicas; - La pila de red para túneles VXLAN y GENEVE implementó la capacidad de procesar paquetes ICMP “Destino inalcanzable”, “Paquete demasiado grande” y “Mensaje de redireccionamiento”, lo que resolvió el problema de la imposibilidad de utilizar redirecciones de ruta y descubrimiento de MTU de ruta en VXLAN y GENEVE. .
- Una implementación experimental del subsistema XDP (eXpress Data Path), que permite a Linux ejecutar programas BPF en el nivel del controlador de red con la capacidad de acceder directamente al búfer de paquetes DMA y en la etapa anterior a que la pila de red asigne el búfer skbuff. así como componentes eBPF, sincronizados con el kernel Linux 5.0. Se agregó soporte experimental para el subsistema del kernel AF_XDP ();
- Soporte completo de protocolo de red proporcionado (Comunicación transparente entre procesos), diseñado para organizar la comunicación entre procesos en un clúster. El protocolo proporciona un medio para que las aplicaciones se comuniquen de forma rápida y confiable, independientemente de en qué nodos del clúster se estén ejecutando;
- Se ha agregado a initramfs un nuevo modo para guardar un volcado de núcleo en caso de falla: "", trabajando en las primeras etapas de carga;
- Se agregó un nuevo parámetro del kernel ipcmni_extend, que extiende el límite de ID de IPC de 32 KB (15 bits) a 16 MB (24 bits), lo que permite que las aplicaciones utilicen más segmentos de memoria compartida;
- Ipset se actualizó a la versión 7.1 con soporte para las operaciones IPSET_CMD_GET_BYNAME e IPSET_CMD_GET_BYINDEX;
- El demonio rngd, que llena el conjunto de entropía del generador de números pseudoaleatorios, se libera de la necesidad de ejecutarse como root;
- Soporte completo proporcionado (Arquitectura Omni-Path) para equipos con Host Fabric Interface (HFI) y soporte completo para dispositivos de memoria persistente Intel Optane DC.
- Los núcleos de depuración incluyen de forma predeterminada una compilación con el detector UBSAN (Undefined Behavior Sanitizer), que agrega comprobaciones adicionales al código compilado para detectar situaciones en las que el comportamiento del programa se vuelve indefinido (por ejemplo, el uso de variables no estáticas antes de que se inicialicen, dividiendo números enteros por cero, desbordamiento de tipos de enteros con signo, desreferenciación de punteros NULL, problemas con la alineación de punteros, etc.);
- El árbol fuente del kernel con extensiones en tiempo real (kernel-rt) está sincronizado con el código principal del kernel RHEL 8;
- Se agregó el controlador ibmvnic para el controlador de red vNIC (Virtual Network Interface Controller) con la implementación de la tecnología de red virtual PowerVM. Cuando se utiliza junto con la NIC SR-IOV, el nuevo controlador permite el control del ancho de banda y la calidad del servicio en el nivel del adaptador de red virtual, lo que reduce significativamente la sobrecarga de virtualización y la carga de la CPU;
- Se agregó soporte para Extensiones de integridad de datos, que le permiten proteger los datos contra daños al escribir en el almacenamiento al guardar bloques correctivos adicionales;
- Se agregó soporte experimental (Technology Preview) para el paquete. , que proporciona la biblioteca nmstatectl y la utilidad para administrar la configuración de red a través de una API declarativa (el estado de la red se describe en forma de un esquema predefinido);
- Se agregó soporte experimental para la implementación de TLS (KTLS) a nivel de kernel con cifrado basado en AES-GCM, así como soporte experimental para OverlayFS, cgroup v2, , mdev () y DAX (acceso directo al sistema de archivos sin pasar por el caché de la página sin utilizar el nivel del dispositivo de bloque) en ext4 y XFS;
- Soporte obsoleto para DSA, TLS 1.0 y TLS 1.1, que se eliminaron del conjunto DEFAULT y se trasladaron a LEGACY (“update-crypto-policies —set LEGACY”);
- Los paquetes 389-ds-base-legacy-tools han quedado obsoletos.
autenticación
custodia,
nombre de host,
libido,
herramientas de red
guiones de red,
nss-pam-ldapd,
enviar correo,
herramientas yp
ypbind y ypserv. Es posible que se descontinuen en un lanzamiento importante futuro; - Los scripts ifup e ifdown han sido reemplazados por contenedores que llaman a NetworkManager a través de nmcli (para devolver los scripts antiguos, debe ejecutar “yum install network-scripts”).
Fuente: opennet.ru