ProHoster > Blog > internetes hírek > A Red Hat Enterprise Linux 8.1 disztribúció kiadása

A Red Hat Enterprise Linux 8.1 disztribúció kiadása

Red Hat Társaság megjelent elosztókészlet Red Hat Enterprise Linux 8.1. A telepítési összeállítások x86_64, s390x (IBM System z), ppc64le és Aarch64 architektúrákhoz készültek, de elérhető a letöltését csak regisztrált Red Hat Ügyfélportál felhasználóinak. A Red Hat Enterprise Linux 8 rpm csomagok forrásait ezen keresztül terjesztik Git repository CentOS. Az RHEL 8.x ága legalább 2029-ig támogatott.

A Red Hat Enterprise Linux 8.1 volt az első olyan kiadás, amelyet az új, előrelátható fejlesztési ciklusnak megfelelően készítettek, ami azt jelenti, hogy félévente, előre meghatározott időpontban készülnek kiadások. Az új kiadás közzétételére vonatkozó pontos információk birtokában szinkronizálhatja a különböző projektek fejlesztési ütemtervét, előre felkészülhet egy új kiadásra, és megtervezheti a frissítések alkalmazásának időpontját.

Megjegyzendő, hogy az új életciklus Az RHEL termékek több réteget ölelnek fel, beleértve a Fedorát, mint ugródeszkát az új képességekhez, CentOS Stream az RHEL következő köztes kiadásához (az RHEL gördülő verziójához) létrehozott csomagokhoz való hozzáférésért,
minimalista univerzális alapkép (UBI, Universal Base Image) alkalmazások futtatásához elszigetelt konténerekben és RHEL fejlesztői előfizetés az RHEL ingyenes felhasználására a fejlesztési folyamatban.

Kulcs változások:

  • A Live javítások alkalmazási mechanizmusának teljes támogatása biztosított (kpatch), hogy a rendszer újraindítása és a munka leállítása nélkül kiküszöbölje a Linux kernel sebezhetőségeit. Korábban a kpatch kísérleti funkciónak számított;
  • A keret alapján fapolicyd Megvalósult az alkalmazások fehér és fekete listáinak létrehozása, amelyek segítségével megkülönböztethető, hogy a felhasználó mely programokat indíthatja el és melyeket nem (például nem ellenőrzött külső futtatható fájlok elindításának blokkolása). Az indítás letiltására vagy engedélyezésére vonatkozó döntés meghozható az alkalmazás neve, elérési útja, tartalomkivonat és MIME-típus alapján. A szabályok ellenőrzése az open() és exec() rendszerhívások során történik, így negatív hatással lehet a teljesítményre;
  • A kompozíció SELinux profilokat tartalmaz, amelyek az elszigetelt tárolókkal való használatra összpontosítanak, és lehetővé teszik a konténerekben futó szolgáltatások hozzáférésének részletesebb szabályozását a rendszer erőforrásaihoz. A konténerekre vonatkozó SELinux-szabályok generálásához egy új udica segédprogramot javasoltak, amely egy adott konténer sajátosságait figyelembe véve lehetővé teszi, hogy csak a szükséges külső erőforrásokhoz, például tárolókhoz, eszközökhöz és hálózathoz biztosítson hozzáférést. A SELinux segédprogramok (libsepol, libselinux, libsemanage, policycoreutils, checkpolicy, mcstrans) a 2.9-es kiadásra, a SETools csomag pedig a 4.2.2-es verzióra frissültek.

    Hozzáadott egy új SELinux-típust, a boltd_t-t, amely korlátozza a boltd-ot, a Thunderbolt 3-eszközök kezelésére szolgáló folyamatot (a Boltd mostantól a SELinux által korlátozott tárolóban fut). A SELinux szabályok új osztálya hozzáadva - bpf, amely szabályozza a Berkeley Packet Filter (BPF) hozzáférését, és ellenőrzi az eBPF-hez való alkalmazásokat;

  • Egy halom útválasztási protokollt tartalmaz FRRouting (BGP4, MP-BGP, OSPFv2, OSPFv3, RIPv1, RIPv2, RIPng, PIM-SM/MSDP, LDP, IS-IS), amely felváltotta a korábban használt Quagga csomagot (FRRouting a Quagga elágazása, így a kompatibilitást ez nem befolyásolta );
  • A LUKS2 formátumú titkosított partíciók esetében a blokkeszközök menet közbeni újratitkosításának támogatása a rendszerben való használat leállítása nélkül történt (például most már a partíció leválasztása nélkül módosíthatja a kulcsot vagy a titkosítási algoritmust);
  • A SCAP 1.3 protokoll (Security Content Automation Protocol) új kiadásának támogatása bekerült az OpenSCAP keretrendszerbe;
  • Az OpenSSH 8.0p1, Tuned 2.12, chrony 3.5, samba 4.10.4 frissített verziói. A PHP 7.3, Ruby 2.6, Node.js 12 és nginx 1.16 új ágaival rendelkező modulok bekerültek az AppStream tárházába (a modulok frissítése a korábbi ágakkal folytatódott). GCC 9, LLVM 8.0.1, Rust 1.37 és Go 1.12.8 csomagok kerültek a Szoftvergyűjteménybe;
  • A SystemTap nyomkövetési eszközkészlet a 4.1-es ágra, a Valgrind memória hibakereső eszközkészlet pedig a 3.15-ös verzióra frissült;
  • Az azonosító szerver telepítési eszközei (IdM, Identity Management) egy új állapotellenőrző segédprogrammal bővült, amely leegyszerűsíti a környezetek működésével kapcsolatos problémák azonosítását az azonosító szerverrel. Az Ansible szerepkörök támogatásának és a modulok telepítésének lehetőségének köszönhetően az IdM-környezetek telepítése és konfigurálása leegyszerűsödik. Hozzáadott támogatás a Windows Server 2019-en alapuló Active Directory Trusted Forests szolgáltatáshoz.
  • A virtuális asztali váltó megváltozott a GNOME Classic munkamenetben. Az asztali számítógépek közötti váltáshoz szükséges widget most az alsó panel jobb oldalán található, és asztali miniatűrökkel ellátott csíkként van kialakítva (másik asztali számítógépre váltáshoz csak kattintson a tartalmát tükröző miniatűrre);
  • A DRM (Direct Rendering Manager) alrendszer és az alacsony szintű grafikus illesztőprogramok (amdgpu, nouveau, i915, mgag200) frissítésre kerültek, hogy megfeleljenek a Linux 5.1 rendszermagnak. Hozzáadott támogatás az AMD Raven 2, AMD Picasso, AMD Vega, Intel Amber Lake-Y és Intel Comet Lake-U videó alrendszerekhez;
  • Az RHEL 7.6-ról RHEL 8.1-re való frissítéséhez szükséges eszközkészlet támogatja az újratelepítés nélküli frissítést az ARM64, az IBM POWER (kis endian) és az IBM Z architektúrákhoz. A rendszer frissítés előtti móddal bővült a webkonzol. Cockpit-leapp bővítmény hozzáadva az állapot visszaállításához a frissítés során felmerülő problémák esetén. A /var és /usr könyvtárak külön szakaszokra vannak osztva. UEFI támogatás hozzáadva. BAN BEN Leapp a csomagok a Kiegészítő tárolóból frissülnek (beleértve a védett csomagokat is);
  • Az Image Builder támogatást nyújtott a Google Cloud és az Alibaba Cloud felhőkörnyezetekhez készült képek készítéséhez. A képkitöltés létrehozásakor hozzáadtuk a repo.git használatának lehetőségét, hogy tetszőleges Git-tárolókból származó további fájlokat is tartalmazzon;
  • További ellenőrzések kerültek a Glibc-be a malloc számára, hogy észleljék, ha a lefoglalt memóriablokkok sérültek;
  • A dnf-utils csomagot átnevezték yum-utils-ra a kompatibilitás érdekében (a dnf-utils telepítésének lehetősége megmarad, de ezt a csomagot automatikusan felváltja a yum-utils);
  • A Red Hat Enterprise Linux System Roles új kiadása hozzáadva, gondoskodás modulok és szerepkörök készlete az Ansible-re épülő központosított konfigurációkezelő rendszer üzembe helyezéséhez és az alrendszerek konfigurálásához, amelyek lehetővé teszik a tárolással, a hálózattal, az időszinkronizálással, a SElinux szabályokkal és a kdump mechanizmus használatával kapcsolatos specifikus funkciókat. Például egy új szerepkör
    a tárolás lehetővé teszi olyan feladatok végrehajtását, mint például a lemezen lévő fájlrendszerek kezelése, LVM csoportokkal és logikai partíciókkal való munka;

  • A VXLAN és GENEVE alagutak hálózati veremje megvalósította a „Cél elérhetetlen”, „Túl nagy csomag” és „Átirányítási üzenet” ICMP-csomagok feldolgozásának képességét, ami megoldotta az útvonal-átirányítások és a Path MTU Discovery használatának képtelenségét a VXLAN-ban és a GENEVE-ben. .
  • Az XDP (eXpress Data Path) alrendszer kísérleti megvalósítása, amely lehetővé teszi a Linux számára, hogy BPF-programokat futtasson a hálózati illesztőprogram szintjén, és közvetlenül hozzáférjen a DMA csomagpufferhez, és abban a szakaszban, mielőtt az skbuff puffert a hálózati verem lefoglalná, valamint a Linux 5.0 kernellel szinkronizált eBPF komponensek. Kísérleti támogatás hozzáadva az AF_XDP kernel alrendszerhez (eXpress adatút);
  • Teljes hálózati protokoll támogatás biztosított TIPC (Transparent Inter-process Communication), amelynek célja a folyamatok közötti kommunikáció fürtben való megszervezése. A protokoll lehetőséget biztosít az alkalmazások számára, hogy gyorsan és megbízhatóan kommunikáljanak, függetlenül attól, hogy a fürt mely csomópontjain futnak;
  • Az initramfs új módot adott a magkiíratások mentésére hiba esetén - "korai lerakó", a betöltés korai szakaszában dolgozik;
  • Hozzáadott egy új ipcmni_extend kernelparamétert, amely 32 KB-ról (15 bitről) 16 MB-ra (24 bitre) bővíti az IPC azonosító korlátját, lehetővé téve az alkalmazások számára, hogy több megosztott memóriaszegmenst használjanak;
  • Az Ipset a 7.1-es kiadásra frissítve az IPSET_CMD_GET_BYNAME és IPSET_CMD_GET_BYINDEX műveletek támogatásával;
  • Az rngd démon, amely az álvéletlenszám-generátor entrópiakészletét tölti ki, felszabadul a rootként való futtatás szükségessége alól;
  • Teljes támogatás biztosított Intel OPA (Omni-Path Architecture) a Host Fabric Interface (HFI) és az Intel Optane DC állandó memóriaeszközök teljes támogatásával rendelkező berendezésekhez.
  • A hibakereső rendszermagok alapértelmezés szerint tartalmaznak egy buildet az UBSAN (Undefined Behavior Sanitizer) detektorral, amely további ellenőrzéseket ad a lefordított kódhoz, hogy észlelje azokat a helyzeteket, amikor a program viselkedése meghatározatlanná válik (például nem statikus változók használata inicializálásuk előtt, felosztás egész számok nullával, előjeles egész típusok túlcsordulása, NULL mutatók hivatkozásának megszüntetése, mutatóigazítási problémák stb.);
  • A valós idejű kiterjesztésekkel (kernel-rt) rendelkező kernel forrásfa szinkronizálva van a fő RHEL 8 kernelkóddal;
  • ibmvnic illesztőprogram hozzáadva a vNIC (Virtual Network Interface Controller) hálózati vezérlőhöz a PowerVM virtuális hálózati technológia megvalósításával. Az SR-IOV NIC-vel együtt használva az új illesztőprogram lehetővé teszi a sávszélesség és a szolgáltatás minőségének szabályozását a virtuális hálózati adapter szintjén, jelentősen csökkentve a virtualizációs többletterhelést és a CPU-terhelést;
  • Hozzáadott támogatás az adatintegritás-bővítményekhez, amelyek lehetővé teszik az adatok védelmét a sérülésektől, amikor a tárhelyre írnak további javító blokkok mentésével;
  • Kísérleti támogatás (Technology Preview) hozzáadva a csomaghoz nmstate, amely az nmstatectl könyvtárat és segédprogramot biztosítja a hálózati beállítások deklaratív API-n keresztül történő kezeléséhez (a hálózati állapot leírása előre meghatározott séma formájában történik);
  • Kísérleti támogatás hozzáadva a kernel szintű TLS (KTLS) megvalósításához AES-GCM alapú titkosítással, valamint kísérleti támogatás az OverlayFS, cgroup v2, Stratis, mdev(Intel vGPU) és DAX (közvetlen hozzáférés a fájlrendszerhez az oldal gyorsítótárának megkerülésével a blokkeszközszint használata nélkül) ext4 és XFS esetén;
  • Elavult DSA, TLS 1.0 és TLS 1.1 támogatása, amelyeket eltávolítottunk az ALAPÉRTELMEZETT készletből, és áthelyezték a LEGACY-ba („update-crypto-policies —set LEGACY”);
  • A 389-ds-base-legacy-tools csomagok elavultak.
    authd
    őrző,
    gazdagépnév
    libidn,
    hálószerszámok,
    hálózati szkriptek,
    nss-pam-ldapd,
    levél küldés,
    yp-eszközök
    ypbind és ypserv. Előfordulhat, hogy egy jövőbeni jelentős kiadásban megszűnnek;

  • Az ifup és ifdown szkripteket lecserélték olyan burkolókra, amelyek nmcli-n keresztül hívják a NetworkManager-t (a régi szkriptek visszaadásához futtassa a „yum install network-scripts” parancsot).

Forrás: opennet.ru

Hozzászólás