Compagnie du chapeau rouge kit de distribution . Les assemblys d'installation sont préparés pour les architectures x86_64, s390x (IBM System z), ppc64le et Aarch64, mais pour uniquement aux utilisateurs enregistrés du portail client Red Hat. Les sources des packages Red Hat Enterprise Linux 8 tr/min sont distribuées via CentOS. La branche RHEL 8.x sera prise en charge au moins jusqu'en 2029.
Red Hat Enterprise Linux 8.1 a été la première version préparée conformément au nouveau cycle de développement prévisible, ce qui implique la formation de versions tous les six mois à une heure prédéterminée. Disposer d'informations précises sur le moment où une nouvelle version sera publiée vous permet de synchroniser les calendriers de développement de différents projets, de préparer à l'avance une nouvelle version et de planifier quand les mises à jour seront appliquées.
Il est à noter que le nouveau Les produits RHEL couvrent plusieurs couches, dont Fedora comme tremplin vers de nouvelles fonctionnalités, pour accéder aux packages créés pour la prochaine version intermédiaire de RHEL (version glissante de RHEL),
image de base universelle minimaliste (UBI, Universal Base Image) pour exécuter des applications dans des conteneurs isolés et pour une utilisation gratuite de RHEL dans le processus de développement.
Clé :
- Une prise en charge complète du mécanisme d'application des correctifs Live est fournie () pour éliminer les vulnérabilités du noyau Linux sans redémarrer le système et sans arrêter le travail. Auparavant, kpatch était classé comme fonctionnalité expérimentale ;
- Basé sur le cadre La possibilité de créer des listes blanches et noires d'applications a été implémentée, ce qui permet de différencier quels programmes peuvent être lancés par l'utilisateur et lesquels ne le peuvent pas (par exemple, pour bloquer le lancement de fichiers exécutables externes non vérifiés). La décision de bloquer ou d'autoriser un lancement peut être prise en fonction du nom de l'application, du chemin, du hachage du contenu et du type MIME. La vérification des règles a lieu pendant les appels système open() et exec(), et peut donc avoir un impact négatif sur les performances ;
- La composition comprend des profils SELinux, axés sur une utilisation avec des conteneurs isolés et permettant un contrôle plus granulaire sur l'accès des services exécutés dans des conteneurs aux ressources du système hôte. Pour générer des règles SELinux pour les conteneurs, un nouvel utilitaire udica a été proposé, qui permet, en tenant compte des spécificités d'un conteneur particulier, de donner accès uniquement aux ressources externes nécessaires, telles que le stockage, les appareils et le réseau. Les utilitaires SELinux (libsepol, libselinux, libsemanage, Policycoreutils, checkpolicy, mcstrans) ont été mis à jour vers la version 2.9 et le package SETools vers la version 4.2.2.
Ajout d'un nouveau type SELinux, boltd_t, qui restreint boltd, un processus de gestion des appareils Thunderbolt 3 (boltd s'exécute désormais dans un conteneur limité par SELinux). Ajout d'une nouvelle classe de règles SELinux - bpf, qui contrôle l'accès à Berkeley Packet Filter (BPF) et inspecte les applications pour eBPF ;
- Comprend une pile de protocoles de routage (BGP4, MP-BGP, OSPFv2, OSPFv3, RIPv1, RIPv2, RIPng, PIM-SM/MSDP, LDP, IS-IS), qui a remplacé le package Quagga précédemment utilisé (FRRouting est un fork de Quagga, donc la compatibilité n'a pas été affectée );
- Pour les partitions chiffrées au format LUKS2, la prise en charge du rechiffrement des périphériques de bloc à la volée a été ajoutée, sans arrêter leur utilisation dans le système (par exemple, vous pouvez désormais modifier la clé ou l'algorithme de chiffrement sans démonter la partition) ;
- La prise en charge de la nouvelle édition du protocole SCAP 1.3 (Security Content Automation Protocol) a été ajoutée au framework OpenSCAP ;
- Versions mises à jour d'OpenSSH 8.0p1, Tuned 2.12, chrony 3.5, samba 4.10.4. Des modules avec de nouvelles branches de PHP 7.3, Ruby 2.6, Node.js 12 et nginx 1.16 ont été ajoutés au référentiel AppStream (la mise à jour des modules avec les branches précédentes s'est poursuivie). Des packages avec GCC 9, LLVM 8.0.1, Rust 1.37 et Go 1.12.8 ont été ajoutés à la collection de logiciels ;
- La boîte à outils de traçage SystemTap a été mise à jour vers la branche 4.1 et la boîte à outils de débogage de la mémoire Valgrind a été mise à jour vers la version 3.15 ;
- Un nouvel utilitaire de contrôle de santé a été ajouté aux outils de déploiement du serveur d'identification (IdM, Identity Management), qui simplifie l'identification des problèmes de fonctionnement des environnements avec le serveur d'identification. L'installation et la configuration des environnements IdM sont simplifiées, grâce à la prise en charge des rôles Ansible et à la possibilité d'installer des modules. Ajout de la prise en charge des forêts de confiance Active Directory basées sur Windows Server 2019.
- Le sélecteur de bureau virtuel a été modifié dans la session GNOME Classic. Le widget permettant de basculer entre les bureaux est désormais situé sur le côté droit du panneau inférieur et est conçu comme une bande avec des vignettes de bureau (pour passer à un autre bureau, cliquez simplement sur la vignette qui reflète son contenu) ;
- Le sous-système DRM (Direct Rendering Manager) et les pilotes graphiques de bas niveau (amdgpu, nouveau, i915, mgag200) ont été mis à jour pour correspondre au noyau Linux 5.1. Ajout de la prise en charge des sous-systèmes vidéo AMD Raven 2, AMD Picasso, AMD Vega, Intel Amber Lake-Y et Intel Comet Lake-U ;
- La boîte à outils de mise à niveau de RHEL 7.6 vers RHEL 8.1 a ajouté la prise en charge de la mise à niveau sans réinstallation pour les architectures ARM64, IBM POWER (little endian) et IBM Z. Un mode de pré-mise à niveau du système a été ajouté à la console Web. Ajout du plugin cockpit-leapp pour restaurer l'état en cas de problème lors de la mise à jour. Les répertoires /var et /usr sont séparés en sections distinctes. Ajout du support UEFI. DANS les packages sont mis à jour à partir du référentiel supplémentaire (inclut les packages propriétaires) ;
- Image Builder a ajouté la prise en charge de la création d'images pour les environnements cloud Google Cloud et Alibaba Cloud. Lors de la création de remplissage d'image, la possibilité d'utiliser repo.git a été ajoutée pour inclure des fichiers supplémentaires provenant de référentiels Git arbitraires ;
- Des contrôles supplémentaires ont été ajoutés à la Glibc pour que malloc détecte quand les blocs de mémoire alloués sont corrompus ;
- Le package dnf-utils a été renommé yum-utils pour des raisons de compatibilité (la possibilité d'installer dnf-utils est conservée, mais ce package sera automatiquement remplacé par yum-utils) ;
- Ajout d'une nouvelle édition des rôles système Red Hat Enterprise Linux, un ensemble de modules et de rôles pour déployer un système de gestion de configuration centralisé basé sur Ansible et configurer des sous-systèmes pour activer des fonctions spécifiques liées au stockage, à la mise en réseau, à la synchronisation de l'heure, aux règles SElinux et à l'utilisation du mécanisme kdump. Par exemple, un nouveau rôle
le stockage vous permet d'effectuer des tâches telles que la gestion des systèmes de fichiers sur le disque, l'utilisation de groupes LVM et de partitions logiques ; - La pile réseau pour les tunnels VXLAN et GENEVE a implémenté la possibilité de traiter les paquets ICMP « Destination inaccessible », « Paquet trop gros » et « Message de redirection », ce qui a résolu le problème de l'impossibilité d'utiliser les redirections de route et la découverte de MTU de chemin dans VXLAN et GENEVE. .
- Une implémentation expérimentale du sous-système XDP (eXpress Data Path), qui permet à Linux d'exécuter des programmes BPF au niveau du pilote réseau avec la possibilité d'accéder directement au tampon de paquets DMA et avant que le tampon skbuff ne soit alloué par la pile réseau, ainsi que des composants eBPF, synchronisés avec le noyau Linux 5.0. Ajout du support expérimental pour le sous-système du noyau AF_XDP ();
- Prise en charge complète du protocole réseau fournie (Transparent Inter-process Communication), conçu pour organiser la communication inter-processus dans un cluster. Le protocole permet aux applications de communiquer rapidement et de manière fiable, quels que soient les nœuds du cluster sur lesquels elles s'exécutent ;
- Un nouveau mode de sauvegarde d'un core dump en cas d'échec a été ajouté à initramfs - "", travaillant dès les premiers stades du chargement ;
- Ajout d'un nouveau paramètre de noyau ipcmni_extend, qui étend la limite d'ID IPC de 32 Ko (15 bits) à 16 Mo (24 bits), permettant aux applications d'utiliser davantage de segments de mémoire partagée ;
- Ipset a été mis à jour vers la version 7.1 avec la prise en charge des opérations IPSET_CMD_GET_BYNAME et IPSET_CMD_GET_BYINDEX ;
- Le démon rngd, qui remplit le pool d'entropie du générateur de nombres pseudo-aléatoires, n'a plus besoin de s'exécuter en tant que root ;
- Prise en charge complète fournie (Omni-Path Architecture) pour les équipements avec Host Fabric Interface (HFI) et prise en charge complète des périphériques de mémoire persistante Intel Optane DC.
- Les noyaux de débogage incluent par défaut une version avec le détecteur UBSAN (Undefined Behavior Sanitizer), qui ajoute des vérifications supplémentaires au code compilé pour détecter les situations dans lesquelles le comportement du programme devient indéfini (par exemple, l'utilisation de variables non statiques avant leur initialisation, la division nombres entiers par zéro, débordements de types entiers signés, déréférencement de pointeurs NULL, problèmes d'alignement de pointeurs, etc.) ;
- L'arborescence des sources du noyau avec les extensions en temps réel (kernel-rt) est synchronisée avec le code principal du noyau RHEL 8 ;
- Ajout du pilote ibmvnic pour le contrôleur réseau vNIC (Virtual Network Interface Controller) avec l'implémentation de la technologie de réseau virtuel PowerVM. Lorsqu'il est utilisé conjointement avec la carte réseau SR-IOV, le nouveau pilote permet de contrôler la bande passante et la qualité de service au niveau de l'adaptateur réseau virtuel, réduisant ainsi considérablement la surcharge de virtualisation et la charge du processeur ;
- Ajout de la prise en charge des extensions d'intégrité des données, qui vous permettent de protéger les données contre les dommages lors de l'écriture sur le stockage en enregistrant des blocs correctifs supplémentaires ;
- Ajout d'un support expérimental (Technology Preview) pour le package , qui fournit la bibliothèque nmstatectl et l'utilitaire de gestion des paramètres réseau via une API déclarative (l'état du réseau est décrit sous la forme d'un schéma prédéfini) ;
- Ajout d'un support expérimental pour l'implémentation de TLS au niveau du noyau (KTLS) avec un chiffrement basé sur AES-GCM, ainsi que d'un support expérimental pour OverlayFS, cgroup v2, , mdev() et DAX (accès direct au système de fichiers en contournant le cache de pages sans utiliser le niveau de périphérique bloc) dans ext4 et XFS ;
- Prise en charge obsolète de DSA, TLS 1.0 et TLS 1.1, qui ont été supprimés de l'ensemble DEFAULT et déplacés vers LEGACY (« update-crypto-policies —set LEGACY ») ;
- Les packages 389-ds-base-legacy-tools sont obsolètes.
authentifié
garde à vue,
nom d'hôte,
libidine,
net-outils,
scripts réseau,
nss-pam-ldapd,
envoyer un mail,
outils yp
ypbind et ypserv. Ils pourraient être interrompus dans une future version importante ; - Les scripts ifup et ifdown ont été remplacés par des wrappers qui appellent NetworkManager via nmcli (pour renvoyer les anciens scripts, vous devez exécuter « yum install network-scripts »).
Source: opennet.ru