Compania Red Hat trusa de distributie . Ansamblurile de instalare sunt pregătite pentru arhitecturile x86_64, s390x (IBM System z), ppc64le și Aarch64, dar pentru numai pentru utilizatorii Red Hat Customer Portal înregistrați. Sursele pachetelor Red Hat Enterprise Linux 8 rpm sunt distribuite prin intermediul CentOS. Ramura RHEL 8.x va fi suportată cel puțin până în 2029.
Inițial, anunțul RHEL 8.2 a fost pe site-ul Red Hat pe 21 aprilie, dar anunțul a fost făcut prematur și depozitele pentru instalarea actualizărilor sunt încă , dar de fapt lansarea a apărut abia astăzi. Ramura 8.x este dezvoltată în conformitate cu un nou ciclu de dezvoltare previzibil, care implică formarea de versiuni la fiecare șase luni la un moment prestabilit. Nou Produsele RHEL se întinde pe mai multe straturi, inclusiv Fedora ca rampă de lansare pentru noi capabilități, pentru acces la pachetele generate pentru următoarea versiune intermediară a RHEL (versiunea rulantă a RHEL), o imagine de bază universală minimalistă (UBI, Universal Base Image) pentru rularea aplicațiilor în containere izolate și pentru utilizarea gratuită a RHEL în procesul de dezvoltare.
Cheie :
- suport complet pentru gestionarea resurselor folosind o ierarhie unificată , care se afla anterior în stadiul de fezabilitate experimentală. Grupurile v2 pot fi utilizate, de exemplu, pentru a limita consumul de memorie, CPU și I/O. Diferența cheie dintre cgroups v2 și v1 este utilizarea unei ierarhii comune cgroup pentru toate tipurile de resurse, în loc de ierarhii separate pentru alocarea resurselor CPU, pentru reglarea consumului de memorie și pentru I/O. Ierarhiile separate au dus la dificultăți în organizarea interacțiunii între handler și la costuri suplimentare cu resursele nucleului atunci când se aplică reguli pentru un proces referit în diferite ierarhii.
- Instrument Convert2RHEL pentru conversia sistemelor care utilizează distribuții asemănătoare RHEL, cum ar fi CentOS și Oracle Linux, în RHEL.
- A fost adăugată capacitatea de a personaliza politicile de subsistem criptografic la nivel de sistem (politici criptografice), acoperind protocoalele TLS, IPSec, SSH, DNSSec și Kerberos. Administratorul își poate defini acum propria politică sau poate modifica anumiți parametri ai celor existenți. S-au adăugat două pachete noi setools-gui și setools-console-analyses pentru analiza politicilor SELinux și inspectarea fluxurilor de date. S-a adăugat un profil de securitate care respectă recomandările DISA STIG (Defense Information Systems Agency). Un nou utilitar, oscap-podman, a fost adăugat pentru a scana conținutul containerelor pentru versiuni vulnerabile ale programelor.
- Instrumentele de gestionare a identității includ acum un nou utilitar Healthcheck care vă permite să identificați problemele în mediile IdM (Gestionarea identității). Oferă suport pentru rolurile și modulele Ansible pentru a simplifica instalarea și gestionarea IdM.
- Designul consolei web a fost schimbat, care a fost trecut la utilizarea interfeței PatternFly 4, similar cu designul interfeței OpenShift 4. A fost adăugat un timeout de inactivitate a utilizatorului, după care sesiunea cu consola web este încheiată. S-a adăugat suport pentru autentificare folosind un certificat de client. Secțiunile pentru gestionarea stocării și a mașinilor virtuale au fost actualizate.
- Interfața pentru comutarea desktopurilor virtuale în mediul GNOME Classic a fost schimbată; butonul de comutare a fost mutat în colțul din dreapta jos și este proiectat ca o bandă cu miniaturi.
- Subsistemul grafic DRM (Direct Rendering Manager) este sincronizat cu versiunea 5.1 a nucleului Linux. Driverele grafice au fost actualizate pentru a include suport pentru Intel Intel Comet Lake H și U (HD Graphics 610, 620, 630), Intel Ice Lake U (HD Graphics 910, Iris Plus Graphics 930, 940, 950), AMD Navi 10, Nvidia Turing TU116,
- Sesiunea GNOME bazată pe Wayland este activată în mod implicit pentru sistemele cu mai multe GPU-uri (anterior, X11 era folosit pe sisteme cu grafică hibridă).
- S-a adăugat suport pentru noii parametri ai nucleului Linux legate de controlul includerii protecției împotriva noilor atacuri asupra mecanismului de execuție speculativă a CPU: mds, tsx, atenuări. Parametru adăugat
mem_encrypt pentru a controla activarea extensiilor AMD SME (Secure Memory Encryption). S-a adăugat parametrul cpuidle.governor pentru a selecta handler-ul de stare inactivă a CPU (cpuidle governor). S-a adăugat parametrul /proc/sys/kernel/panic_print pentru a configura informațiile de ieșire în caz de blocare a sistemului (stare de panică). Parametru adăugat
/proc/sys/kernel/threads-max pentru a defini numărul maxim de fire pe care le poate crea funcția fork(). S-a adăugat opțiunea /proc/sys/net/bpf_jit_enable pentru a controla dacă compilatorul JIT este activat pentru BPF. - Algoritmul de lansare dnf-automatic.timer a fost modificat pentru a apela procesul de instalare a actualizării automate. În loc să folosiți un temporizator monoton care are ca rezultat activarea la o oră imprevizibilă după pornire, unitatea specificată începe acum între 6 și 7 dimineața. Dacă în acest moment sistemul este oprit, dar pornește în decurs de o oră de la pornire.
- Modulele cu noi ramuri ale Python 3.8 (era 3.6) și Maven 3.6 au fost adăugate la depozitul AppStream. Pachete actualizate cu GCC 9.2.1, Clang/LLVM 9.0.1, Rust 1.41 și Go 1.13.
- Versiuni actualizate de pachet powertop 2.11 (cu suport pentru platforme EHL, TGL, ICL/ICX), opencv 3.4.6, tuned 2.13.0, rsyslog 8.1911.0, audit 3.0-0.14, fapolicyd 0.9.1-2, sudo 1.8.29. - 3.el8,
firewalld 0.8, tpm2-tools 3.2.1, mod_md (cu suport ACMEv2), grafana 6.3.6, pcp 5.0.2, elfutils 0.178, SystemTap 4.2, 389-ds-base 1.4.2.4,
samba 4.11.2. - S-au adăugat noi pachete whois, graphviz-python3 (distribuit prin depozitul CRB (CodeReady Linux Builder) neacceptat oficial), perl-LDAP, perl-Convert-ASN1.
- Serverul DNS BIND a fost actualizat la versiunea 9.11.13 și a trecut la utilizarea bazei de date de legare a locației GeoIP2 în format libmaxminddb în loc de GeoIP învechit, care nu mai este acceptat. S-a adăugat setarea serve-stale (stale-answer), care vă permite să returnați înregistrări DNS învechite dacă este imposibil să obțineți altele noi.
- Pluginul omhttp a fost adăugat la rsyslog pentru interacțiune prin interfața HTTP REST.
- Modificările corespunzătoare nucleului Linux 5.5 au fost transferate în subsistemul de audit.
- Pluginul setroubleshoot a adăugat suport pentru analiza erorilor de acces din cauza lipsei de memorie și pentru a răspunde automat pentru a rezolva astfel de probleme.
- Utilizatorilor restricționați de SELinux li se oferă posibilitatea de a controla serviciile asociate cu sesiunea utilizatorului. Semanage a adăugat suport pentru evaluarea și modificarea porturilor de rețea SCTP și DCCP (anterior erau acceptate TCP și UDP). Serviciile lvmdbusd (D-Bus API pentru LVM), lldpd, rrdcached, stratisd, timedatex sunt procesate în domeniile lor SELinux.
- Firewalld a fost mutat în interfața JSON libnftables atunci când interacționează cu nftables, ceea ce a dus la creșterea performanței și a fiabilității. nftables adaugă suport pentru tipurile multidimensionale în setul IP, care pot include uniuni și intervale. Regulile Firewalld pot folosi acum handlere pentru a monitoriza conexiunile pentru servicii care rulează pe porturi de rețea non-standard.
- Subsistemul nucleului tc (Controlul traficului) oferă suport complet
eBPF, care vă permite să utilizați utilitarul tc pentru a atașa programe eBPF pentru a clasifica pachetele și a procesa cozile de intrare și de ieșire. - A fost implementat suport stabil pentru unele subsisteme eBPF: setul de instrumente și biblioteca BCC (BPF Compiler Collection) pentru crearea de programe de urmărire și depanare BPF, suport eBPF în tc. Componentele bpftrace și eXpress Data Path (XDP) rămân în stadiul de previzualizare tehnologie.
- Componentele în timp real (kernel-rt) sunt sincronizate cu un set de patch-uri pentru nucleul 5.2.21-rt13.
- Acum este posibil să rulați procesul rngd (un daemon pentru alimentarea entropiei într-un generator de numere pseudoaleatoare) fără drepturi de root.
- LVM a adăugat suport pentru metoda de stocare în cache dm-writecache în plus față de dm-cache disponibilă anterior. Dm-cache memorează în cache cele mai frecvent utilizate operațiuni de scriere și citire, iar dm-writecache memorează cache numai operațiunile de scriere, plasându-le mai întâi pe SSD rapid sau medii PMEM și apoi mutându-le pe un disc lent în fundal.
- XFS a adăugat suport pentru modul de scriere inversă cgroup-aware.
- FUSE a adăugat suport pentru operațiunea copy_file_range(), care vă permite să accelerați copierea datelor dintr-un fișier în altul, efectuând operația numai pe partea nucleului, fără a citi mai întâi datele în memoria de proces. Optimizarea este clar vizibilă în GlusterFS.
- S-a adăugat opțiunea „--preload” la linkerul dinamic, permițându-vă să specificați în mod explicit bibliotecile care urmează să fie forțate să fie încărcate cu aplicația. Această opțiune face posibilă evitarea utilizării variabilei de mediu LD_PRELOAD, care este moștenită de procesele copil.
- Hypervisorul KVM oferă suport complet pentru rularea imbricată a mașinilor virtuale.
- S-au adăugat noi drivere, inclusiv
gVNIC, Broadcom UniMAC MDIO, software iWARP, DRM VRAM, cpuidle-haltpoll, stm_ftrace, stm_console,
Intel Trace Hub, PMEM DAX,
Intel PMC Core,
Intel RAPL
Intel Runtime Average Power Limit (RAPL). - DSA, TLS 1.0 și TLS 1.1, învechite, sunt dezactivate în mod prestabilit și sunt disponibile numai în suita LEGACY.
- Furnizat suport experimental (Previzualizare tehnologie) pentru nmstate, AF_XDP, XDP, KTLS, dracut, kexec fast reboot, eBPF, libbpf, igc, NVMe peste TCP/IP, DAX în ext4 și xfs, OverlayFS, Stratis, DNSSEC, GNOME pe sisteme ARM , AMD SEV pentru KVM, Intel vGPU
Sursa: opennet.ru