Compañía Red Hat kit de distribución . Os conxuntos de instalación están preparados para arquitecturas x86_64, s390x (IBM System z), ppc64le e Aarch64, pero para só para usuarios rexistrados de Red Hat Customer Portal. As fontes dos paquetes de Red Hat Enterprise Linux 8 rpm distribúense a través CentOS. A rama RHEL 8.x será compatible ata polo menos 2029.
Inicialmente, o anuncio de RHEL 8.2 foi no sitio web de Red Hat o 21 de abril, pero o anuncio foi prematuro e os repositorios para instalar actualizacións aínda están , pero de feito o lanzamento só saíu hoxe. A rama 8.x desenvólvese de acordo cun novo ciclo de desenvolvemento previsible, que implica a formación de lanzamentos cada seis meses nun momento predeterminado. Novo Os produtos RHEL abarcan varias capas, incluíndo Fedora como trampolín para novas capacidades, para acceder aos paquetes xerados para a próxima versión intermedia de RHEL (versión continua de RHEL), unha imaxe base universal minimalista (UBI, Imaxe base universal) para executar aplicacións en contedores illados e para o uso gratuíto de RHEL no proceso de desenvolvemento.
Chave :
- soporte total para a xestión de recursos mediante unha xerarquía unificada , que anteriormente estaba na fase de viabilidade experimental. Os grupos С v2 pódense utilizar, por exemplo, para limitar o consumo de memoria, CPU e E/S. A diferenza fundamental entre cgroups v2 e v1 é o uso dunha xerarquía cgroup común para todos os tipos de recursos, en lugar de xerarquías separadas para asignar recursos da CPU, para regular o consumo de memoria e para E/S. Xerarquías separadas orixinaron dificultades para organizar a interacción entre controladores e custos adicionais de recursos do núcleo ao aplicar regras para un proceso referenciado en xerarquías diferentes.
- Ferramenta Convert2RHEL para converter sistemas que executan distribucións similares a RHEL, como CentOS e Oracle Linux, a RHEL.
- Engadida a posibilidade de personalizar as políticas de subsistemas criptográficos de todo o sistema (criptopolíticas), que abarcan os protocolos TLS, IPSec, SSH, DNSSec e Kerberos. O administrador agora pode definir a súa propia política ou cambiar certos parámetros das existentes. Engadíronse dous novos paquetes setools-gui e setools-console-analyses para analizar as políticas de SELinux e inspeccionar os fluxos de datos. Engadiuse un perfil de seguridade que cumpre coas recomendacións da DISA STIG (Axencia de Sistemas de Información de Defensa). Engadiuse unha nova utilidade, oscap-podman, para analizar o contido dos contedores en busca de versións vulnerables dos programas.
- As ferramentas de xestión de identidades inclúen agora unha nova utilidade Healthcheck que che permite identificar problemas en ambientes IdM (Xestión de Identidades). Ofrece soporte para roles e módulos de Ansible para simplificar a instalación e xestión de IdM.
- Cambiouse o deseño da consola web, que se cambiou a usar a interface PatternFly 4, similar ao deseño da interface OpenShift 4. Engadiuse un tempo de espera de inactividade do usuario, despois do cal finaliza a sesión coa consola web. Engadido soporte para a autenticación mediante un certificado de cliente. Actualizáronse as seccións para xestionar o almacenamento e as máquinas virtuais.
- Cambiouse a interface para cambiar escritorios virtuais no contorno GNOME Classic; o botón de cambio moveuse á esquina inferior dereita e está deseñado como unha tira con miniaturas.
- O subsistema de gráficos DRM (Direct Rendering Manager) está sincronizado coa versión 5.1 do núcleo de Linux. Actualizáronse os controladores de gráficos para incluír compatibilidade con Intel Comet Lake H e U (HD Graphics 610, 620, 630), Intel Ice Lake U (HD Graphics 910, Iris Plus Graphics 930, 940, 950), AMD Navi 10, Nvidia Turing TU116,
- A sesión de GNOME baseada en Wayland está habilitada por defecto para sistemas con varias GPU (anteriormente X11 utilizábase en sistemas con gráficos híbridos).
- Engadido soporte para novos parámetros do núcleo de Linux relacionados co control da inclusión de protección contra novos ataques ao mecanismo de execución especulativa da CPU: mds, tsx, mitigacións. Parámetro engadido
mem_encrypt para controlar a activación das extensións AMD SME (Secure Memory Encryption). Engadiuse o parámetro cpuidle.governor para seleccionar o controlador de estado inactivo da CPU (cpuidle governor). Engadiuse o parámetro /proc/sys/kernel/panic_print para configurar a saída de información en caso de falla do sistema (estado de pánico). Parámetro engadido
/proc/sys/kernel/threads-max para definir o número máximo de fíos que pode crear a función fork(). Engadiuse a opción /proc/sys/net/bpf_jit_enable para controlar se o compilador JIT está habilitado para BPF. - Cambiouse o algoritmo de inicio dnf-automatic.timer para chamar ao proceso de instalación de actualización automática. En lugar de utilizar un temporizador monótono que provoca a activación a unha hora imprevisible despois do inicio, a unidade especificada agora comeza entre as 6 e as 7 da mañá. Se neste momento o sistema está apagado, pero comeza dentro dunha hora despois de acendelo.
- Engadíronse módulos con novas ramas de Python 3.8 (antes 3.6) e Maven 3.6 ao repositorio de AppStream. Paquetes actualizados con GCC 9.2.1, Clang/LLVM 9.0.1, Rust 1.41 e Go 1.13.
- Versións actualizadas do paquete powertop 2.11 (con soporte para plataformas EHL, TGL, ICL/ICX), opencv 3.4.6, tuneado 2.13.0, rsyslog 8.1911.0, audit 3.0-0.14, fapolicyd 0.9.1-2, sudo 1.8.29. - 3.el8,
firewalld 0.8, tpm2-tools 3.2.1, mod_md (con soporte ACMEv2), grafana 6.3.6, pcp 5.0.2, elfutils 0.178, SystemTap 4.2, 389-ds-base 1.4.2.4,
samba 4.11.2. - Engadíronse novos paquetes whois, graphviz-python3 (distribuídos a través do repositorio CRB (CodeReady Linux Builder) oficialmente non compatible), perl-LDAP, perl-Convert-ASN1.
- O servidor DNS BIND actualizouse á versión 9.11.13 e pasou a utilizar a base de datos de vinculación de localización GeoIP2 en formato libmaxminddb en lugar da GeoIP obsoleta, que xa non é compatible. Engadiuse a configuración serve-stale (resposta obsoleta), que lle permite devolver rexistros DNS desactualizados se é imposible obter outros novos.
- O complemento omhttp engadiuse a rsyslog para a interacción a través da interface HTTP REST.
- Os cambios correspondentes ao núcleo Linux 5.5 foron transferidos ao subsistema de auditoría.
- O complemento setroubleshoot engadiu compatibilidade para analizar fallos de acceso debido a falta de memoria e responder automaticamente para resolver estes problemas.
- Os usuarios restrinxidos por SELinux teñen a posibilidade de controlar os servizos asociados á sesión do usuario. Semanage engadiu soporte para avaliar e cambiar os portos de rede SCTP e DCCP (anteriormente eran compatibles con TCP e UDP). Os servizos lvmdbusd (API D-Bus para LVM), lldpd, rrdcached, stratisd, timedatex procesan nos seus dominios SELinux.
- Firewalld moveuse á interface JSON de libnftables ao interactuar con nftables, o que resultou nun maior rendemento e fiabilidade. nftables engade soporte para tipos multidimensionais no conxunto de IP, que poden incluír unións e tramos. As regras de firewall agora poden usar controladores para supervisar as conexións dos servizos que se executan en portos de rede non estándar.
- O subsistema do núcleo tc (Control de tráfico) ofrece soporte total
eBPF, que permite utilizar a utilidade tc para anexar programas eBPF para clasificar paquetes e procesar as colas entrantes e saíntes. - Implementouse soporte estable para algúns subsistemas eBPF: o kit de ferramentas e biblioteca BCC (BPF Compiler Collection) para a creación de programas de rastrexo e depuración de BPF, soporte eBPF en tc. Os compoñentes bpftrace e eXpress Data Path (XDP) permanecen na fase de Vista previa da tecnoloxía.
- Os compoñentes en tempo real (kernel-rt) están sincronizados cun conxunto de parches para o kernel 5.2.21-rt13.
- Agora é posible executar o proceso rngd (un daemon para alimentar entropía a un xerador de números pseudoaleatorios) sen dereitos de root.
- LVM engadiu soporte para o método de almacenamento en caché dm-writecache ademais do dm-cache dispoñible anteriormente. Dm-cache almacena na caché as operacións de escritura e lectura máis utilizadas, e dm-writecache só almacena na caché as operacións de escritura, colocándoas primeiro en medios rápidos SSD ou PMEM e despois movéndoas a un disco lento en segundo plano.
- XFS engadiu soporte para o modo de escritura inversa compatible con cgroup.
- FUSE engadiu soporte para a operación copy_file_range(), que lle permite acelerar a copia de datos dun ficheiro a outro realizando a operación só no lado do núcleo sen ler previamente os datos na memoria do proceso. A optimización é claramente visible en GlusterFS.
- Engadiuse a opción "--preload" ao enlazador dinámico, o que lle permite especificar de forma explícita as bibliotecas que se obrigarán a cargar coa aplicación. Esta opción fai posible evitar o uso da variable de ambiente LD_PRELOAD, que é herdada polos procesos fillos.
- O hipervisor KVM ofrece soporte completo para a execución anidada de máquinas virtuais.
- Engadíronse novos controladores, incluíndo
gVNIC, Broadcom UniMAC MDIO, software iWARP, DRM VRAM, cpuidle-haltpoll, stm_ftrace, stm_console,
Intel Trace Hub, PMEM DAX,
Intel PMC Core,
Intel RAPL
Intel Runtime Average Power Limit (RAPL). - DSA, TLS 1.0 e TLS 1.1 obsoletos están desactivados de forma predeterminada e só están dispoñibles na suite LEGACY.
- Soporte experimental (Technology Preview) proporcionado para nmstate, AF_XDP, XDP, KTLS, dracut, kexec fast reboot, eBPF, libbpf, igc, NVMe sobre TCP/IP, DAX en ext4 e xfs, OverlayFS, Stratis, DNSSEC, GNOME en sistemas ARM , AMD SEV para KVM, Intel vGPU
Fonte: opennet.ru