A Red Hat Enterprise Linux 8.2 disztribúció kiadása

Red Hat Társaság közzétett elosztókészlet Red Hat Enterprise Linux 8.2. A telepítési összeállítások x86_64, s390x (IBM System z), ppc64le és Aarch64 architektúrákhoz készültek, de elérhető a letöltését csak regisztrált Red Hat Ügyfélportál felhasználóinak. A Red Hat Enterprise Linux 8 rpm csomagok forrásait ezen keresztül terjesztik Git repository CentOS. Az RHEL 8.x ága legalább 2029-ig támogatott.

Kezdetben az RHEL 8.2 bejelentése volt közzétett április 21-én a Red Hat webhelyén, de a bejelentés még korai volt, és a frissítések telepítésére szolgáló tárolók még mindig nem voltak készen, de valójában csak ma jelent meg a kiadás. A 8.x ág fejlesztése egy új, kiszámítható fejlesztési ciklusnak megfelelően történik, amely magában foglalja a kiadások félévente, előre meghatározott időpontban történő kialakítását. Új fejlesztési ciklus Az RHEL termékek több réteget ölelnek fel, beleértve a Fedorát, mint ugródeszkát az új képességekhez, CentOS Stream az RHEL következő köztes kiadásához (az RHEL gördülő verziója) generált csomagokhoz való hozzáféréshez, egy minimalista univerzális alapképhez (UBI, Universal Base Image) az alkalmazások izolált tárolókban való futtatásához és RHEL fejlesztői előfizetés az RHEL ingyenes felhasználására a fejlesztési folyamatban.

Kulcs változások:

• biztosított az erőforrás-kezelés teljes körű támogatása egységes hierarchia használatával cgroup v2, amely korábban a kísérleti megvalósíthatósági szakaszban volt. A Сgroups v2 használható például a memória-, CPU- és I/O-fogyasztás korlátozására. A cgroup v2 és v1 közötti fő különbség az, hogy minden erőforrástípushoz közös cgroup hierarchiát használnak, ahelyett, hogy külön hierarchiát alkalmaznának a CPU erőforrások kiosztására, a memóriafelhasználás szabályozására és az I/O-ra. Az elkülönült hierarchiák nehézségeket okoztak a kezelők közötti interakció megszervezésében, és további kernel-erőforrás-költségekhez vezettek, amikor szabályokat alkalmaztak a különböző hierarchiákban hivatkozott folyamatokra.
• Hozzáadva Convert2RHEL eszköz az RHEL-szerű disztribúciókat futtató rendszerek, például a CentOS és az Oracle Linux RHEL-re való konvertálásához.
• Hozzáadtuk a rendszerszintű kriptográfiai alrendszer házirendek (kriptopolitikák) testreszabásának lehetőségét, amelyek lefedik a TLS, IPSec, SSH, DNSSec és Kerberos protokollokat. Az adminisztrátor most meghatározhatja saját házirendjét, vagy módosíthatja a meglévők bizonyos paramétereit. Két új csomag, a setools-gui és a setools-console-analyses hozzáadva a SELinux szabályzatok elemzéséhez és az adatfolyamok ellenőrzéséhez. Hozzáadott egy biztonsági profilt, amely megfelel a DISA STIG (Defense Information Systems Agency) ajánlásainak. Egy új segédprogram, az oscap-podman bekerült a konténerek tartalmának ellenőrzésére a programok sebezhető verzióinak keresésére.
• Az identitáskezelési eszközök most egy új Healthcheck segédprogramot is tartalmaznak, amely lehetővé teszi az IdM (Identity Management) környezetek problémáinak azonosítását. Támogatja az Ansible szerepköröket és modulokat az IdM telepítésének és kezelésének egyszerűsítése érdekében.
• Módosult a webkonzol kialakítása, amely az OpenShift 4 felület kialakításához hasonlóan PatternFly 4 felület használatára váltott, hozzáadásra került egy felhasználói inaktivitási időtúllépés, amely után a munkamenet a webkonzollal megszűnik. Támogatás hozzáadva az ügyféltanúsítvány használatával történő hitelesítéshez. Frissültek a tárhely és a virtuális gépek kezelésére szolgáló szakaszok.
• A GNOME Classic környezetben a virtuális asztalok váltására szolgáló felület megváltozott; a kapcsoló gomb átkerült a jobb alsó sarokba, és miniatűrökkel ellátott csíkként lett kialakítva.
• A DRM (Direct Rendering Manager) grafikus alrendszer szinkronizálva van a Linux kernel 5.1-es verziójával. A grafikus illesztőprogramok frissítése az Intel Intel Comet Lake H és U (HD Graphics 610, 620, 630), Intel Ice Lake U (HD Graphics 910, Iris Plus Graphics 930, 940, 950), AMD Navi 10, Nvidia támogatásával Turing TU116,
• A Wayland-alapú GNOME munkamenet alapértelmezés szerint engedélyezve van a több GPU-val rendelkező rendszereken (korábban az X11-et hibrid grafikával rendelkező rendszereken használták).
• Új Linux kernelparaméterek támogatása a CPU spekulatív végrehajtási mechanizmusa elleni új támadások elleni védelem vezérlésével kapcsolatban: mds, tsx, enyhítések. Paraméter hozzáadva
  mem_encrypt az AMD SME (Secure Memory Encryption) bővítmények engedélyezésének vezérléséhez. Hozzáadott cpuidle.governor paraméter a CPU tétlen állapotkezelőjének (cpuidle kormányzó) kiválasztásához. A /proc/sys/kernel/panic_print paraméter hozzáadva a rendszerösszeomlás (pánikállapot) esetén az információkimenet konfigurálásához. Paraméter hozzáadva
  /proc/sys/kernel/threads-max a fork() függvény által létrehozható szálak maximális számának meghatározásához. Hozzáadtuk a /proc/sys/net/bpf_jit_enable beállítást, amellyel szabályozható, hogy a JIT fordító engedélyezve van-e a BPF számára.

• A dnf-automatic.timer indítási algoritmus megváltozott, és meghívja az automatikus frissítés telepítési folyamatát. Ahelyett, hogy monoton időzítőt használnánk, amely a rendszerindítás után előre nem látható időpontban aktiválódik, a megadott egység most reggel 6 és 7 óra között indul. Ha ekkor a rendszer ki van kapcsolva, de a bekapcsolás után egy órán belül elindul.
• A Python 3.8 (3.6 volt) és a Maven 3.6 új ágaival rendelkező modulok kerültek az AppStream tárházba. Frissített csomagok: GCC 9.2.1, Clang/LLVM 9.0.1, Rust 1.41 és Go 1.13.
• Frissített csomagverziók powertop 2.11 (EHL, TGL, ICL/ICX platformok támogatásával), opencv 3.4.6, tuned 2.13.0, rsyslog 8.1911.0, audit 3.0-0.14, fapolicyd 0.9.1-2, sudo 1.8.29 - 3.el8,
  firewalld 0.8, tpm2-tools 3.2.1, mod_md (ACMEv2 támogatással), grafana 6.3.6, pcp 5.0.2, elfutils 0.178, SystemTap 4.2, 389-ds-base 1.4.2.4,
  samba 4.11.2.

• Hozzáadott új csomagok: whois, graphviz-python3 (a hivatalosan nem támogatott CRB (CodeReady Linux Builder) tárolón keresztül terjesztve), perl-LDAP, perl-Convert-ASN1.
• A BIND DNS-kiszolgálót a 9.11.13-as verzióra frissítették, és átváltottak a GeoIP2 hely-összerendelési adatbázis használatára libmaxminddb formátumban az elavult GeoIP helyett, amely már nem támogatott. Hozzáadtuk a serve-stale (stale-answer) beállítást, amely lehetővé teszi az elavult DNS-rekordok visszaadását, ha lehetetlen újakat szerezni.
• Az omhttp beépülő modul hozzáadásra került az rsysloghoz a HTTP REST interfészen keresztüli interakció érdekében.
• A Linux 5.5 kernelnek megfelelő változtatások átkerültek az audit alrendszerbe.
• A hibaelhárítási beépülő modul támogatja a memóriahiány miatti hozzáférési hibák elemzését, és az ilyen problémák automatikus megoldását.
• A SELinux által korlátozott felhasználók felügyelhetik a felhasználói munkamenethez kapcsolódó szolgáltatásokat. A Semanage hozzáadott támogatást az SCTP és DCCP hálózati portok kiértékeléséhez és módosításához (korábban a TCP és az UDP támogatott). Az lvmdbusd (D-Bus API LVM-hez), lldpd, rrdcached, stratisd, timedatex szolgáltatások SELinux tartományaik alatt kerülnek feldolgozásra.
• A Firewalld átkerült a libnftables JSON felületére az nftables-szal való interakció során, ami megnövekedett teljesítményt és megbízhatóságot eredményezett. Az nftables támogatja a többdimenziós típusokat az IP-készletben, amely egyesüléseket és tartományokat is tartalmazhat. A tűzfalszabályok mostantól kezelőket használhatnak a nem szabványos hálózati portokon futó szolgáltatások kapcsolatainak figyelésére.
• A tc (Traffic Control) kernel alrendszer teljes körű támogatást nyújt
  eBPF, amely lehetővé teszi, hogy a tc segédprogrammal eBPF-programokat csatoljon a csomagok osztályozásához és a bejövő és kimenő sorok feldolgozásához.

• Néhány eBPF alrendszer stabil támogatása megtörtént: a BCC (BPF Compiler Collection) eszközkészlet és könyvtár a BPF nyomkövető és hibakereső programok létrehozásához, eBPF támogatás a tc-ben. A bpftrace és az eXpress Data Path (XDP) összetevői a technológiai előnézeti szakaszban maradnak.
• A valós idejű összetevők (kernel-rt) szinkronizálva vannak az 5.2.21-rt13 kernel javításaival.
• Most már lehetséges az rngd folyamat (az entrópia pszeudo-véletlenszám-generátorba betápláló démon) root jogok nélkül történő futtatása.
• Az LVM hozzáadta a dm-writecache gyorsítótárazási módszer támogatását a korábban elérhető dm-cache mellett. A Dm-cache gyorsítótárazza a leggyakrabban használt írási és olvasási műveleteket, a dm-writecache pedig csak az írási műveleteket gyorsítótárazza úgy, hogy először gyors SSD vagy PMEM adathordozóra helyezi őket, majd a háttérben egy lassú lemezre helyezi át.
• Az XFS hozzáadta a cgroup-aware írási mód támogatását.
• A FUSE kiegészítette a copy_file_range() művelet támogatásával, amely lehetővé teszi az adatok egyik fájlból a másikba való másolásának felgyorsítását azáltal, hogy a műveletet csak a kernel oldalán hajtja végre anélkül, hogy először beolvassa az adatokat a folyamatmemóriába. Az optimalizálás jól látható a GlusterFS-ben.
• Hozzáadtuk a „--preload” opciót a dinamikus linkerhez, amely lehetővé teszi, hogy kifejezetten megadja azokat a könyvtárakat, amelyeket az alkalmazással együtt kell betölteni. Ez a beállítás lehetővé teszi az LD_PRELOAD környezeti változó használatának elkerülését, amelyet a gyermekfolyamatok örököltek.
• A KVM hypervisor teljes mértékben támogatja a virtuális gépek beágyazott futtatását.
• Új illesztőprogramok kerültek hozzáadásra, többek között
  gVNIC, Broadcom UniMAC MDIO, iWARP szoftver, DRM VRAM, cpuidle-haltpoll, stm_ftrace, stm_console,
  Intel Trace Hub, PMEM DAX,
  Intel PMC Core,
  Intel RAPL
  Intel Runtime Average Power Limit (RAPL).

• Az elavult DSA, TLS 1.0 és TLS 1.1 alapértelmezés szerint le van tiltva, és csak a LEGACY programcsomagban érhető el.
• Kísérleti (Technology Preview) támogatást biztosít az nmstate, AF_XDP, XDP, KTLS, dracut, kexec gyors újraindítás, eBPF, libbpf, igc, NVMe TCP/IP-n keresztül, DAX ext4 és xfs, OverlayFS, Stratis, DNSSEC, GNOME az ADR-hez , AMD SEV KVM-hez, Intel vGPU

Forrás: opennet.ru