Compagnia del Cappello Rosso kit di distribuzione . Gli assiemi di installazione sono preparati per le architetture x86_64, s390x (IBM System z), ppc64le e Aarch64, ma per Solo gli utenti registrati del Portale Clienti Red Hat. I sorgenti dei pacchetti Red Hat Enterprise Linux 8 giri vengono distribuiti tramite CentOS. Il ramo RHEL 8.x sarà supportato almeno fino al 2029.
Red Hat Enterprise Linux 8.1 è stata la prima versione preparata in conformità con il nuovo ciclo di sviluppo prevedibile, che implica la formazione di versioni ogni sei mesi in un momento predeterminato. Avere informazioni precise su quando verrà pubblicata una nuova versione consente di sincronizzare i programmi di sviluppo di vari progetti, prepararsi in anticipo per una nuova versione e pianificare quando verranno applicati gli aggiornamenti.
Si segnala che il nuovo I prodotti RHEL si estendono su più livelli, inclusa Fedora come trampolino di lancio per nuove funzionalità, per l'accesso ai pacchetti creati per la prossima versione intermedia di RHEL (versione progressiva di RHEL),
immagine di base universale minimalista (UBI, Universal Base Image) per l'esecuzione di applicazioni in contenitori isolati e per l'uso gratuito di RHEL nel processo di sviluppo.
Chiave :
- Viene fornito il supporto completo per il meccanismo di applicazione delle patch Live () per eliminare le vulnerabilità nel kernel Linux senza riavviare il sistema e senza interrompere il lavoro. In precedenza, kpatch era classificato come una funzionalità sperimentale;
- Basato sul quadro È stata implementata la possibilità di creare liste bianche e nere di applicazioni, che permettono di differenziare quali programmi possono essere avviati dall'utente e quali no (ad esempio per bloccare l'avvio di file eseguibili esterni non verificati). La decisione di bloccare o consentire un avvio può essere presa in base al nome dell'applicazione, al percorso, all'hash del contenuto e al tipo MIME. Il controllo delle regole avviene durante le chiamate di sistema open() ed exec(), quindi potrebbe avere un impatto negativo sulle prestazioni;
- La composizione include profili SELinux, focalizzati sull'uso con contenitori isolati e che consentono un controllo più granulare sull'accesso dei servizi in esecuzione nei contenitori per ospitare le risorse del sistema. Per generare regole SELinux per i contenitori, è stata proposta una nuova utility udica, che consente, tenendo conto delle specificità di un particolare contenitore, di fornire l'accesso solo alle risorse esterne necessarie, come spazio di archiviazione, dispositivi e rete. Le utilità SELinux (libsepol, libselinux, libsemanage, policycoreutils, checkpolicy, mcstrans) sono state aggiornate alla versione 2.9 e il pacchetto SETools alla versione 4.2.2.
Aggiunto un nuovo tipo SELinux, Boltd_t, che limita Boltd, un processo per la gestione dei dispositivi Thunderbolt 3 (boltd ora viene eseguito in un contenitore limitato da SELinux). Aggiunta una nuova classe di regole SELinux - bpf, che controlla l'accesso al Berkeley Packet Filter (BPF) e ispeziona le applicazioni per eBPF;
- Include uno stack di protocolli di routing (BGP4, MP-BGP, OSPFv2, OSPFv3, RIPv1, RIPv2, RIPng, PIM-SM/MSDP, LDP, IS-IS), che ha sostituito il pacchetto Quagga precedentemente utilizzato (FRRouting è un fork di Quagga, quindi la compatibilità non è stata influenzata );
- Per le partizioni crittografate nel formato LUKS2, è stato aggiunto il supporto per ricrittografare al volo i dispositivi a blocchi, senza interromperne l'utilizzo nel sistema (ad esempio, ora è possibile modificare la chiave o l'algoritmo di crittografia senza smontare la partizione);
- Al framework OpenSCAP è stato aggiunto il supporto per la nuova edizione del protocollo SCAP 1.3 (Security Content Automation Protocol);
- Versioni aggiornate di OpenSSH 8.0p1, Tuned 2.12, chrony 3.5, samba 4.10.4. I moduli con i nuovi rami di PHP 7.3, Ruby 2.6, Node.js 12 e nginx 1.16 sono stati aggiunti al repository AppStream (l'aggiornamento dei moduli con i rami precedenti è continuato). I pacchetti con GCC 9, LLVM 8.0.1, Rust 1.37 e Go 1.12.8 sono stati aggiunti alla Software Collection;
- Il toolkit di tracciamento SystemTap è stato aggiornato al ramo 4.1 e il toolkit di debug della memoria Valgrind è stato aggiornato alla versione 3.15;
- Agli strumenti di implementazione del server di identificazione (IdM, Identity Management) è stata aggiunta una nuova utility di controllo dello stato che semplifica l'identificazione dei problemi con il funzionamento degli ambienti con il server di identificazione. L'installazione e la configurazione degli ambienti IdM sono semplificate, grazie al supporto dei ruoli Ansible e alla possibilità di installare moduli. Aggiunto il supporto per le foreste attendibili di Active Directory basate su Windows Server 2019.
- Lo switcher del desktop virtuale è stato modificato nella sessione GNOME Classic. Il widget per passare da un desktop all'altro si trova ora sul lato destro del pannello inferiore ed è concepito come una striscia con le miniature del desktop (per passare a un altro desktop basta fare clic sulla miniatura che ne riflette il contenuto);
- Il sottosistema DRM (Direct Rendering Manager) e i driver grafici di basso livello (amdgpu, nouveau, i915, mgag200) sono stati aggiornati per corrispondere al kernel Linux 5.1. Aggiunto supporto per i sottosistemi video AMD Raven 2, AMD Picasso, AMD Vega, Intel Amber Lake-Y e Intel Comet Lake-U;
- Il toolkit per l'aggiornamento da RHEL 7.6 a RHEL 8.1 ha aggiunto il supporto per l'aggiornamento senza reinstallazione per le architetture ARM64, IBM POWER (little endian) e IBM Z. Alla console Web è stata aggiunta una modalità di pre-aggiornamento del sistema. Aggiunto plugin Cockpit-Leapp per ripristinare lo stato in caso di problemi durante l'aggiornamento. Le directory /var e /usr sono separate in sezioni separate. Aggiunto il supporto UEFI. IN i pacchetti vengono aggiornati dal repository supplementare (include pacchetti proprietari);
- Image Builder ha aggiunto il supporto per la creazione di immagini per gli ambienti cloud Google Cloud e Alibaba Cloud. Durante la creazione del riempimento dell'immagine, è stata aggiunta la possibilità di utilizzare repo.git per includere file aggiuntivi da repository Git arbitrari;
- Ulteriori controlli sono stati aggiunti a Glibc affinché malloc rilevi quando i blocchi di memoria allocati sono danneggiati;
- Il pacchetto dnf-utils è stato rinominato in yum-utils per compatibilità (la possibilità di installare dnf-utils viene mantenuta, ma questo pacchetto verrà automaticamente sostituito da yum-utils);
- Aggiunta una nuova edizione di Red Hat Enterprise Linux System Roles, un insieme di moduli e ruoli per l'implementazione di un sistema di gestione della configurazione centralizzato basato su Ansible e la configurazione di sottosistemi per abilitare funzioni specifiche relative all'archiviazione, al networking, alla sincronizzazione temporale, alle regole SElinux e all'uso del meccanismo kdump. Ad esempio, un nuovo ruolo
l'archiviazione consente di eseguire attività come la gestione dei file system sul disco, l'utilizzo di gruppi LVM e partizioni logiche; - Lo stack di rete per i tunnel VXLAN e GENEVE ha implementato la capacità di elaborare i pacchetti ICMP "Destination Unreachable", "Packet Too Big" e "Redirect Message", che ha risolto il problema con l'impossibilità di utilizzare reindirizzamenti di percorso e Path MTU Discovery in VXLAN e GENEVE .
- Un'implementazione sperimentale del sottosistema XDP (eXpress Data Path), che consente a Linux di eseguire programmi BPF a livello di driver di rete con la possibilità di accedere direttamente al buffer dei pacchetti DMA e nella fase precedente all'allocazione del buffer skbuff dallo stack di rete, così come i componenti eBPF, sincronizzati con il kernel Linux 5.0. Aggiunto il supporto sperimentale per il sottosistema del kernel AF_XDP ();
- Viene fornito il supporto completo del protocollo di rete (Transparent Inter-process Communication), progettato per organizzare la comunicazione inter-process in un cluster. Il protocollo fornisce alle applicazioni un mezzo per comunicare in modo rapido e affidabile, indipendentemente dai nodi del cluster su cui sono in esecuzione;
- Una nuova modalità per salvare un core dump in caso di errore è stata aggiunta a initramfs - “", lavorando nelle prime fasi di caricamento;
- Aggiunto un nuovo parametro del kernel ipcmni_extend, che estende il limite dell'ID IPC da 32 KB (15 bit) a 16 MB (24 bit), consentendo alle applicazioni di utilizzare più segmenti di memoria condivisa;
- Ipset è stato aggiornato alla versione 7.1 con il supporto per le operazioni IPSET_CMD_GET_BYNAME e IPSET_CMD_GET_BYINDEX;
- Il demone rngd, che riempie la riserva di entropia del generatore di numeri pseudocasuali, è liberato dalla necessità di essere eseguito come root;
- Supporto completo fornito (Architettura Omni-Path) per apparecchiature con Host Fabric Interface (HFI) e supporto completo per i dispositivi Intel Optane DC Persistent Memory.
- I kernel di debug includono per impostazione predefinita una build con il rilevatore UBSAN (UnDefinited Behavior Sanitizer), che aggiunge ulteriori controlli al codice compilato per rilevare situazioni in cui il comportamento del programma diventa indefinito (ad esempio, l'uso di variabili non statiche prima che vengano inizializzate, dividendo interi per zero, overflow di tipi interi con segno, dereferenziazione di puntatori NULL, problemi con l'allineamento dei puntatori, ecc.);
- L'albero dei sorgenti del kernel con estensioni in tempo reale (kernel-rt) è sincronizzato con il codice principale del kernel RHEL 8;
- Aggiunto driver ibmvnic per il controller di rete vNIC (Virtual Network Interface Controller) con l'implementazione della tecnologia di rete virtuale PowerVM. Se utilizzato insieme alla scheda NIC SR-IOV, il nuovo driver consente il controllo della larghezza di banda e della qualità del servizio a livello dell'adattatore di rete virtuale, riducendo significativamente il sovraccarico della virtualizzazione e il carico della CPU;
- Aggiunto il supporto per Data Integrity Extensions, che consente di proteggere i dati da danni durante la scrittura sullo storage salvando ulteriori blocchi correttivi;
- Aggiunto supporto sperimentale (Anteprima tecnologica) per il pacchetto , che fornisce la libreria nmstatectl e l'utilità per la gestione delle impostazioni di rete tramite un'API dichiarativa (lo stato della rete è descritto sotto forma di diagramma predefinito);
- Aggiunto supporto sperimentale per l'implementazione TLS a livello di kernel (KTLS) con crittografia basata su AES-GCM, nonché supporto sperimentale per OverlayFS, cgroup v2, , mdev () e DAX (accesso diretto al file system bypassando la cache della pagina senza utilizzare il livello del dispositivo a blocchi) in ext4 e XFS;
- Supporto deprecato per DSA, TLS 1.0 e TLS 1.1, che sono stati rimossi dal set DEFAULT e spostati in LEGACY (“update-crypto-policies —set LEGACY”);
- I pacchetti 389-ds-base-legacy-tools sono stati deprecati.
aut
custodia,
Nome host,
la libidine,
strumenti di rete,
script di rete,
nss-pam-ldapd,
inviare una mail,
yp-strumenti
ypbind e ypserv. Potrebbero essere interrotti in una futura versione significativa; - Gli script ifup e ifdown sono stati sostituiti con wrapper che chiamano NetworkManager tramite nmcli (per restituire i vecchi script è necessario eseguire “yum install network-scripts”).
Fonte: opennet.ru