Compagnia del Cappello Rosso kit di distribuzione . Gli assiemi di installazione sono preparati per le architetture x86_64, s390x (IBM System z), ppc64le e Aarch64, ma per Solo gli utenti registrati del Portale Clienti Red Hat. I sorgenti dei pacchetti Red Hat Enterprise Linux 8 giri vengono distribuiti tramite CentOS. Il ramo RHEL 8.x sarà supportato almeno fino al 2029.
Inizialmente, l'annuncio di RHEL 8.2 era sul sito web di Red Hat il 21 aprile, ma l'annuncio è stato fatto prematuro e i repository per l'installazione degli aggiornamenti sono ancora , ma in realtà il comunicato è uscito solo oggi. Il ramo 8.x viene sviluppato secondo un nuovo ciclo di sviluppo prevedibile, che prevede la formazione di rilasci ogni sei mesi in un momento prestabilito. Nuovo I prodotti RHEL si estendono su più livelli, inclusa Fedora come trampolino di lancio per nuove funzionalità, per l'accesso ai pacchetti generati per la prossima versione intermedia di RHEL (versione progressiva di RHEL), un'immagine di base universale minimalista (UBI, Universal Base Image) per l'esecuzione di applicazioni in contenitori isolati e per l'uso gratuito di RHEL nel processo di sviluppo.
Chiave :
- supporto completo per la gestione delle risorse utilizzando una gerarchia unificata , che in precedenza era nella fase di fattibilità sperimentale. Сgroups v2 può essere utilizzato, ad esempio, per limitare il consumo di memoria, CPU e I/O. La differenza fondamentale tra i cgroup v2 e v1 è l'uso di una gerarchia di cgroup comune per tutti i tipi di risorse, invece di gerarchie separate per l'allocazione delle risorse della CPU, per la regolazione del consumo di memoria e per l'I/O. Gerarchie separate portavano a difficoltà nell'organizzare l'interazione tra gestori e a costi aggiuntivi per le risorse del kernel quando si applicavano regole per un processo a cui si fa riferimento in gerarchie diverse.
- Strumento Convert2RHEL per convertire sistemi che eseguono distribuzioni simili a RHEL, come CentOS e Oracle Linux, in RHEL.
- Aggiunta la possibilità di personalizzare le policy del sottosistema crittografico a livello di sistema (cripto-policies), coprendo i protocolli TLS, IPSec, SSH, DNSSec e Kerberos. L'amministratore può ora definire la propria politica o modificare alcuni parametri di quelle esistenti. Aggiunti due nuovi pacchetti setools-gui e setools-console-analyses per analizzare le politiche SELinux e ispezionare i flussi di dati. Aggiunto un profilo di sicurezza conforme alle raccomandazioni DISA STIG (Defense Information Systems Agency). È stata aggiunta una nuova utility, oscap-podman, per scansionare il contenuto dei contenitori alla ricerca di versioni vulnerabili dei programmi.
- Gli strumenti di gestione delle identità ora includono una nuova utility Healthcheck che consente di identificare i problemi negli ambienti IdM (Identity Management). Fornisce supporto per ruoli e moduli Ansible per semplificare l'installazione e la gestione di IdM.
- È stato modificato il design della console web, che è passata all'utilizzo dell'interfaccia PatternFly 4, simile al design dell'interfaccia OpenShift 4. È stato aggiunto un timeout di inattività dell'utente, dopo il quale viene terminata la sessione con la console web. Aggiunto supporto per l'autenticazione tramite un certificato client. Aggiornate le sezioni per la gestione dello storage e delle macchine virtuali.
- L'interfaccia per cambiare desktop virtuale nell'ambiente GNOME Classic è stata modificata; il pulsante di cambio è stato spostato nell'angolo in basso a destra ed è progettato come una striscia con miniature.
- Il sottosistema grafico DRM (Direct Rendering Manager) è sincronizzato con la versione 5.1 del kernel Linux. I driver grafici sono stati aggiornati per includere il supporto per Intel Intel Comet Lake H e U (HD Graphics 610, 620, 630), Intel Ice Lake U (HD Graphics 910, Iris Plus Graphics 930, 940, 950), AMD Navi 10, Nvidia Turing TU116,
- La sessione GNOME basata su Wayland è abilitata per impostazione predefinita per i sistemi con più GPU (in precedenza X11 veniva utilizzato su sistemi con grafica ibrida).
- Aggiunto il supporto per i nuovi parametri del kernel Linux relativi al controllo dell'inclusione della protezione contro nuovi attacchi al meccanismo di esecuzione speculativa della CPU: mds, tsx, mitigazioni. Parametro aggiunto
mem_encrypt per controllare l'abilitazione delle estensioni AMD SME (Secure Memory Encryption). Aggiunto il parametro cpuidle.governor per selezionare il gestore dello stato di inattività della CPU (cpuidle governatore). Aggiunto il parametro /proc/sys/kernel/panic_print per configurare l'output delle informazioni in caso di crash del sistema (stato di panico). Parametro aggiunto
/proc/sys/kernel/threads-max per definire il numero massimo di thread che la funzione fork() può creare. Aggiunta l'opzione /proc/sys/net/bpf_jit_enable per controllare se il compilatore JIT è abilitato per BPF. - L'algoritmo di avvio dnf-automatic.timer è stato modificato per richiamare il processo di installazione automatica degli aggiornamenti. Invece di utilizzare un timer monotono che determina l'attivazione in un momento imprevedibile dopo l'avvio, l'unità specificata ora si avvia tra le 6 e le 7 del mattino. Se in questo momento il sistema è spento, ma si avvia entro un'ora dall'accensione.
- I moduli con nuovi rami di Python 3.8 (era 3.6) e Maven 3.6 sono stati aggiunti al repository AppStream. Pacchetti aggiornati con GCC 9.2.1, Clang/LLVM 9.0.1, Rust 1.41 e Go 1.13.
- Versioni del pacchetto aggiornate powertop 2.11 (con supporto per piattaforme EHL, TGL, ICL/ICX), opencv 3.4.6, tuned 2.13.0, rsyslog 8.1911.0, audit 3.0-0.14, fapolicyd 0.9.1-2, sudo 1.8.29 - 3.el8,
firewalld 0.8, tpm2-tools 3.2.1, mod_md (con supporto ACMEv2), grafana 6.3.6, pcp 5.0.2, elfutils 0.178, SystemTap 4.2, 389-ds-base 1.4.2.4,
samba4.11.2. - Aggiunti nuovi pacchetti whois, graphviz-python3 (distribuiti tramite il repository CRB (CodeReady Linux Builder) ufficialmente non supportato), perl-LDAP, perl-Convert-ASN1.
- Il server DNS BIND è stato aggiornato alla versione 9.11.13 ed è passato all'utilizzo del database di collegamento della posizione GeoIP2 in formato libmaxminddb invece del GeoIP obsoleto, che non è più supportato. Aggiunta l'impostazione serve-stale (stale-answer), che consente di restituire record DNS obsoleti nel caso sia impossibile ottenerne di nuovi.
- Il plugin omhttp è stato aggiunto a rsyslog per l'interazione tramite l'interfaccia HTTP REST.
- Le modifiche corrispondenti al kernel Linux 5.5 sono state trasferite al sottosistema di controllo.
- Il plugin setroubleshoot ha aggiunto il supporto per analizzare gli errori di accesso dovuti a memoria insufficiente e rispondere automaticamente per risolvere tali problemi.
- Agli utenti limitati da SELinux viene data la possibilità di controllare i servizi associati alla sessione utente. Semanage ha aggiunto il supporto per la valutazione e la modifica delle porte di rete SCTP e DCCP (in precedenza erano supportati TCP e UDP). I servizi lvmdbusd (D-Bus API per LVM), lldpd, rrdcached, stratisd, timedatex vengono elaborati nei rispettivi domini SELinux.
- Firewalld è stato spostato nell'interfaccia JSON di libnftables durante l'interazione con nftables, il che ha comportato un aumento delle prestazioni e dell'affidabilità. nftables aggiunge il supporto per i tipi multidimensionali nel set IP, che possono includere unioni e span. Le regole Firewalld ora possono utilizzare gestori per monitorare le connessioni per i servizi in esecuzione su porte di rete non standard.
- Il sottosistema del kernel tc (Traffic Control) fornisce il supporto completo
eBPF, che consente di utilizzare l'utilità tc per allegare programmi eBPF per classificare i pacchetti ed elaborare le code in entrata e in uscita. - È stato implementato il supporto stabile per alcuni sottosistemi eBPF: il toolkit e la libreria BCC (BPF Compiler Collection) per la creazione di programmi di tracciamento e debugging BPF, supporto eBPF in tc. I componenti bpftrace ed eXpress Data Path (XDP) rimangono nella fase di Technology Preview.
- I componenti in tempo reale (kernel-rt) sono sincronizzati con una serie di patch per il kernel 5.2.21-rt13.
- Ora è possibile eseguire il processo rngd (un demone per inserire entropia in un generatore di numeri pseudo-casuali) senza diritti di root.
- LVM ha aggiunto il supporto per il metodo di memorizzazione nella cache dm-writecache oltre a dm-cache precedentemente disponibile. Dm-cache memorizza nella cache le operazioni di scrittura e lettura utilizzate più frequentemente, mentre dm-writecache memorizza nella cache solo le operazioni di scrittura posizionandole prima su un supporto SSD o PMEM veloce e quindi spostandole su un disco lento in background.
- XFS ha aggiunto il supporto per la modalità writeback compatibile con cgroup.
- FUSE ha aggiunto il supporto per l'operazione copy_file_range(), che consente di velocizzare la copia dei dati da un file a un altro eseguendo l'operazione solo sul lato kernel senza prima leggere i dati nella memoria del processo. L'ottimizzazione è chiaramente visibile in GlusterFS.
- Aggiunta l'opzione "--preload" al linker dinamico, che consente di specificare esplicitamente le librerie da forzare a caricare con l'applicazione. Questa opzione rende possibile evitare l'utilizzo della variabile d'ambiente LD_PRELOAD, che viene ereditata dai processi figli.
- L'hypervisor KVM fornisce il supporto completo per l'esecuzione annidata di macchine virtuali.
- Sono stati aggiunti nuovi driver, inclusi
gVNIC, Broadcom UniMAC MDIO, software iWARP, DRM VRAM, cpuidle-haltpoll, stm_ftrace, stm_console,
Intel Trace Hub, PMEM DAX,
Intel PMC-Core,
Intel RAPL
Limite di potenza medio di runtime Intel (RAPL). - DSA, TLS 1.0 e TLS 1.1 deprecati sono disabilitati per impostazione predefinita e disponibili solo nella suite LEGACY.
- Fornito supporto sperimentale (Technology Preview) per nmstate, AF_XDP, XDP, KTLS, dracut, kexec fast reboot, eBPF, libbpf, igc, NVMe su TCP/IP, DAX in ext4 e xfs, OverlayFS, Stratis, DNSSEC, GNOME su sistemi ARM , AMD SEV per KVM, Intel vGPU
Fonte: opennet.ru