ProHoster > Blog > wiadomości internetowe > Wydanie dystrybucji Red Hat Enterprise Linux 8.1

Wydanie dystrybucji Red Hat Enterprise Linux 8.1

Firma Red Hat wydany zestaw dystrybucyjny Red Hat Enterprise Linux 8.1. Zestawy instalacyjne są przygotowane dla architektur x86_64, s390x (IBM System z), ppc64le i Aarch64, ale dostępny dla pliki do pobrania wyłącznie dla zarejestrowanych użytkowników Portalu Klienta Red Hat. Źródła pakietów Red Hat Enterprise Linux 8 obr./min są dystrybuowane za pośrednictwem Repozytorium Gita CentOS. Gałąź RHEL 8.x będzie wspierana co najmniej do 2029 roku.

Red Hat Enterprise Linux 8.1 był pierwszym wydaniem przygotowanym zgodnie z nowym przewidywalnym cyklem rozwoju, który zakłada powstawanie wydań co sześć miesięcy w określonym czasie. Posiadanie dokładnych informacji o tym, kiedy nowe wydanie zostanie opublikowane, pozwala zsynchronizować harmonogramy rozwoju różnych projektów, przygotować się z wyprzedzeniem na nowe wydanie i zaplanować, kiedy aktualizacje zostaną zastosowane.

Należy zauważyć, że nowy koło życia Produkty RHEL obejmują wiele warstw, w tym Fedorę jako odskocznię dla nowych możliwości, CentOS Stream w celu uzyskania dostępu do pakietów utworzonych dla następnej wersji pośredniej RHEL (wersja krocząca RHEL),
minimalistyczny uniwersalny obraz bazowy (UBI, Universal Base Image) do uruchamiania aplikacji w izolowanych kontenerach i Subskrypcja programisty RHEL do bezpłatnego korzystania z RHEL w procesie rozwoju.

Klucz zmiany:

  • Zapewniona jest pełna obsługa mechanizmu stosowania poprawek Live (łatka), aby wyeliminować luki w jądrze Linuksa bez konieczności ponownego uruchamiania systemu i bez przerywania pracy. Wcześniej kpatch był klasyfikowany jako funkcja eksperymentalna;
  • W oparciu o framework fapolitykad Zaimplementowano możliwość tworzenia białych i czarnych list aplikacji, które pozwalają na rozróżnienie, które programy użytkownik może uruchomić, a które nie (np. blokują uruchamianie niezweryfikowanych zewnętrznych plików wykonywalnych). Decyzję o zablokowaniu lub zezwoleniu na uruchomienie można podjąć na podstawie nazwy aplikacji, ścieżki, skrótu zawartości i typu MIME. Sprawdzanie reguł odbywa się podczas wywołań systemowych open() i exec(), więc może mieć negatywny wpływ na wydajność;
  • Kompozycja zawiera profile SELinux, ukierunkowane na wykorzystanie z izolowanymi kontenerami i pozwalające na bardziej szczegółową kontrolę nad dostępem usług działających w kontenerach do zasobów systemu hosta. Do generowania reguł SELinux dla kontenerów zaproponowano nowe narzędzie udica, które pozwala, uwzględniając specyfikę konkretnego kontenera, zapewnić dostęp jedynie do niezbędnych zasobów zewnętrznych, takich jak pamięć masowa, urządzenia i sieć. Narzędzia SELinux (libsepol, libselinux, libsemanage, policycoreutils, checkpolicy, mcstrans) zostały zaktualizowane do wersji 2.9, a pakiet SETools do wersji 4.2.2.

    Dodano nowy typ SELinux, Boltd_t, który ogranicza Bold, proces zarządzania urządzeniami Thunderbolt 3 (boltd działa teraz w kontenerze ograniczonym przez SELinux). Dodano nową klasę reguł SELinux - bpf, która kontroluje dostęp do Berkeley Packet Filter (BPF) i sprawdza aplikacje pod kątem eBPF;

  • Zawiera stos protokołów routingu FRRouting (BGP4, MP-BGP, OSPFv2, OSPFv3, RIPv1, RIPv2, RIPng, PIM-SM/MSDP, LDP, IS-IS), który zastąpił wcześniej używany pakiet Quagga (FRRouting jest forkiem Quagga, więc kompatybilność nie została naruszona );
  • Dla zaszyfrowanych partycji w formacie LUKS2 dodano obsługę ponownego szyfrowania urządzeń blokowych w locie, bez przerywania ich pracy w systemie (można teraz np. zmienić klucz lub algorytm szyfrowania bez odmontowywania partycji);
  • Do frameworka OpenSCAP dodano obsługę nowej edycji protokołu SCAP 1.3 (Security Content Automation Protocol).
  • Zaktualizowane wersje OpenSSH 8.0p1, Tuned 2.12, chrony 3.5, samba 4.10.4. Do repozytorium AppStream dodano moduły z nowymi gałęziami PHP 7.3, Ruby 2.6, Node.js 12 i nginx 1.16 (kontynuowano aktualizację modułów z poprzednimi gałęziami). Do Kolekcji Oprogramowania dodano pakiety z GCC 9, LLVM 8.0.1, Rust 1.37 i Go 1.12.8;
  • Zestaw narzędzi do śledzenia SystemTap został zaktualizowany do wersji 4.1, a zestaw narzędzi do debugowania pamięci Valgrind został zaktualizowany do wersji 3.15;
  • Do narzędzi wdrażania serwera identyfikacji (IdM, Identity Management) dodano nowe narzędzie Healthcheck, które ułatwia identyfikację problemów z działaniem środowisk z serwerem identyfikacji. Instalacja i konfiguracja środowisk IdM jest uproszczona dzięki obsłudze ról Ansible i możliwości instalowania modułów. Dodano obsługę zaufanych lasów Active Directory w systemie Windows Server 2019.
  • Przełącznik wirtualnego pulpitu został zmieniony w sesji GNOME Classic. Widżet do przełączania między pulpitami znajduje się teraz po prawej stronie dolnego panelu i ma postać paska z miniaturami pulpitu (aby przełączyć się na inny pulpit, wystarczy kliknąć miniaturę odzwierciedlającą jego zawartość);
  • Podsystem DRM (Direct Rendering Manager) i niskopoziomowe sterowniki graficzne (amdgpu, nouveau, i915, mgag200) zostały zaktualizowane, aby pasowały do ​​jądra Linuksa 5.1. Dodano obsługę podsystemów wideo AMD Raven 2, AMD Picasso, AMD Vega, Intel Amber Lake-Y i Intel Comet Lake-U;
  • Zestaw narzędzi do aktualizacji RHEL 7.6 do RHEL 8.1 dodał obsługę aktualizacji bez ponownej instalacji dla architektur ARM64, IBM POWER (little endian) i IBM Z. Do konsoli internetowej dodano tryb przed aktualizacją systemu. Dodano wtyczkę Cockpit-leapp umożliwiającą przywrócenie stanu w przypadku problemów podczas aktualizacji. Katalogi /var i /usr są podzielone na osobne sekcje. Dodano obsługę UEFI. W Skok pakiety są aktualizowane z repozytorium dodatkowego (w tym pakiety zastrzeżone);
  • Image Builder dodał obsługę tworzenia obrazów dla środowisk chmurowych Google Cloud i Alibaba Cloud. Podczas tworzenia wypełnienia obrazkowego dodano możliwość wykorzystania repo.git w celu dołączenia dodatkowych plików z dowolnych repozytoriów Git;
  • Do Glibc dodano dodatkowe kontrole, aby malloc mógł wykryć uszkodzenie przydzielonych bloków pamięci;
  • Ze względu na kompatybilność nazwę pakietu dnf-utils zmieniono na yum-utils (możliwość instalacji dnf-utils zostaje zachowana, ale ten pakiet zostanie automatycznie zastąpiony przez yum-utils);
  • Dodano nową edycję ról systemowych Red Hat Enterprise Linux, dostarczanie zestaw modułów i ról do wdrożenia scentralizowanego systemu zarządzania konfiguracją w oparciu o Ansible i konfiguracji podsystemów w celu umożliwienia określonych funkcji związanych z przechowywaniem, siecią, synchronizacją czasu, regułami SElinux i wykorzystaniem mechanizmu kdump. Na przykład nowa rola
    pamięć umożliwia wykonywanie zadań takich jak zarządzanie systemami plików na dysku, praca z grupami LVM i partycjami logicznymi;

  • Na stosie sieciowym dla tuneli VXLAN i GENEVE zaimplementowano możliwość przetwarzania pakietów ICMP „Destination Unreachable”, „Packet Too Big” i „Redirect Message”, co rozwiązało problem braku możliwości korzystania z przekierowań tras i Path MTU Discovery w VXLAN i GENEVE .
  • Eksperymentalna implementacja podsystemu XDP (eXpress Data Path), która umożliwia Linuxowi uruchamianie programów BPF na poziomie sterownika sieciowego z możliwością bezpośredniego dostępu do bufora pakietów DMA oraz na etapie przed alokacją bufora skbuff przez stos sieciowy, a także komponenty eBPF zsynchronizowane z jądrem Linux 5.0. Dodano eksperymentalną obsługę podsystemu jądra AF_XDP (Ścieżka danych Express);
  • Zapewniona pełna obsługa protokołów sieciowych WSKAZÓWKA (Transparent Inter-process Communication), przeznaczony do organizowania komunikacji międzyprocesowej w klastrze. Protokół umożliwia aplikacjom szybką i niezawodną komunikację, niezależnie od tego, na których węzłach w klastrze działają;
  • Do initramfs dodano nowy tryb zapisywania zrzutu pamięci w przypadku awarii - „wczesny wysyp", pracując na wczesnych etapach załadunku;
  • Dodano nowy parametr jądra ipcmni_extend, który zwiększa limit identyfikatora IPC z 32 KB (15 bitów) do 16 MB (24 bity), umożliwiając aplikacjom korzystanie z większej liczby segmentów pamięci współdzielonej;
  • Ipset został zaktualizowany do wersji 7.1 z obsługą operacji IPSET_CMD_GET_BYNAME i IPSET_CMD_GET_BYINDEX;
  • Demon rngd, który wypełnia pulę entropii generatora liczb pseudolosowych, jest zwolniony z konieczności uruchamiania jako root;
  • Zapewnione pełne wsparcie Intel OPA (architektura Omni-Path) dla sprzętu z interfejsem Host Fabric (HFI) i pełną obsługą urządzeń pamięci trwałej Intel Optane DC.
  • Jądra debugowania domyślnie zawierają kompilację z detektorem UBSAN (Unknown Behaviour Sanitizer), który dodaje dodatkowe kontrole do skompilowanego kodu w celu wykrycia sytuacji, gdy zachowanie programu staje się niezdefiniowane (na przykład użycie zmiennych niestatycznych przed ich inicjalizacją, dzielenie liczby całkowite przez zero, przepełnienia typów całkowitych ze znakiem, wyłuskiwanie wskaźników NULL, problemy z wyrównaniem wskaźników itp.);
  • Drzewo źródeł jądra z rozszerzeniami czasu rzeczywistego (kernel-rt) jest zsynchronizowane z głównym kodem jądra RHEL 8;
  • Dodano sterownik ibmvnic dla kontrolera sieciowego vNIC (Virtual Network Interface Controller) z implementacją technologii sieci wirtualnej PowerVM. W połączeniu z kartą sieciową SR-IOV nowy sterownik umożliwia kontrolę przepustowości i jakości usług na poziomie wirtualnej karty sieciowej, znacznie zmniejszając narzut związany z wirtualizacją i zmniejszając obciążenie procesora;
  • Dodano obsługę rozszerzeń integralności danych, które pozwalają chronić dane przed uszkodzeniem podczas zapisywania w pamięci poprzez zapisanie dodatkowych bloków korekcyjnych;
  • Dodano obsługę eksperymentalną (Podgląd technologii) dla pakietu stan, który udostępnia bibliotekę nmstatectl i narzędzie do zarządzania ustawieniami sieciowymi poprzez deklaratywne API (stan sieci opisany jest w formie predefiniowanego schematu);
  • Dodano eksperymentalne wsparcie dla implementacji TLS na poziomie jądra (KTLS) z szyfrowaniem opartym na AES-GCM, a także eksperymentalne wsparcie dla OverlayFS, cgroup v2, Stratis, mdev(vGPU Intela) i DAX (bezpośredni dostęp do systemu plików z pominięciem pamięci podręcznej stron bez użycia poziomu urządzenia blokowego) w ext4 i XFS;
  • Przestarzała obsługa DSA, TLS 1.0 i TLS 1.1, które zostały usunięte z zestawu DEFAULT i przeniesione do LEGACY („update-crypto-policies —set LEGACY”);
  • Pakiety 389-ds-base-legacy-tools są przestarzałe.
    autoryz
    rozliczeniowych,
    nazwa hosta,
    libido,
    narzędzia sieciowe,
    skrypty sieciowe,
    nss-pam-ldapd,
    Wyślij maila,
    narzędzia yp
    ypbind i ypserv. Mogą zostać wycofane w przyszłej znaczącej wersji;

  • Skrypty ifup i ifdown zostały zastąpione opakowaniami wywołującymi NetworkManager przez nmcli (aby zwrócić stare skrypty, musisz uruchomić „yum install network-scripts”).

Źródło: opennet.ru

Dodaj komentarz