Компанія Red Hat дистрибутив . Настановні зборки підготовлені для архітектур x86_64, s390x (IBM System z), ppc64le та Aarch64, але для лише зареєстрованим користувачам Red Hat Customer Portal. Вихідні тексти rpm-пакетів Red Hat Enterprise Linux 8 поширюються через CentOS. Гілка RHEL 8.x підтримуватиметься як мінімум до 2029 року.
Red Hat Enterprise Linux 8.1 став першим випуском, підготовленим відповідно до нового передбачуваного циклу розробки, що передбачає формування релізів раз на півроку в заздалегідь певний час. Наявність точної інформації про час публікації нового випуску дозволяє синхронізувати графіки розробки різних проектів, заздалегідь підготуватись до нового випуску та запланувати час застосування оновлень.
Зазначається, що новий продуктів RHEL охоплює кілька рівнів, включаючи Fedora як плацдарм для реалізації нових можливостей, для доступу пакетам, що формуються для наступного проміжного випуску RHEL (rolling-варіант RHEL),
мінімалістичний універсальний базовий образ (UBI, Universal Base Image) для запуску додатків в ізольованих контейнерах та для безкоштовного використання RHEL у процесі розробки.
Ключові :
- Забезпечено повноцінну підтримку механізму застосування Live-патчів () для усунення вразливостей у ядрі Linux без перезапуску системи та без зупинки роботи. Раніше kpatch входив до категорії експериментальних можливостей;
- На базі фреймворку реалізована можливість створення білого та чорного списків додатків, які дозволяють розмежувати якісь із програм можна запускати користувачеві, а які ні (наприклад, для блокування запуску неперевірених зовнішніх виконуваних файлів). Рішення про блокування або дозвіл запуску може прийматися на основі назви програми, шляху, хеша від вмісту та MIME-типу. Перевірка правил здійснюється під час виконання системних викликів open() та exec(), тому може негативно впливати на продуктивність;
- До складу включені профілі SELinux, сфокусовані на використанні з ізольованими контейнерами і дозволяють більш тонко керувати доступним сервісів, що запускаються в контейнерах, до ресурсів хост-системи. Для генерацій правил SELinux для контейнерів запропоновано нову утиліту udica, що дозволяє з урахуванням специфіки конкретного контейнера надати доступ тільки до необхідних зовнішніх ресурсів, таких як сховища, пристрої та мережа. Утиліти SELinux (libsepol, libselinux, libsemanage, policycoreutils, checkpolicy, mcstrans) оновлені до випуску 2.9, а пакет SETools до версії 4.2.2.
Додано новий тип SELinux - boltd_t, що обмежує boltd, процес для керування пристроями з інтерфейсом Thunderbolt 3 (boltd тепер запускається в контейнері, обмеженому SELinux). Додано новий клас правил SELinux - bpf, що керує зверненням до Berkeley Packet Filter (BPF) та інспектує програми для eBPF;
- До складу включено стек протоколів маршрутизації (BGP4, MP-BGP, OSPFv2, OSPFv3, RIPv1, RIPv2, RIPng, PIM-SM/MSDP, LDP, IS-IS), який замінив собою пакет Quagga, що раніше застосовувався (FRRouting є відгалуженням від Quagga, тому сумісність не постраждала);
- Для шифрованих розділів у форматі LUKS2 додана підтримка перешифрування блокових пристроїв на льоту, без припинення їх використання в системі (наприклад, тепер можна змінити ключ або алгоритм шифрування без встановлення розділу);
- У фреймворк OpenSCAP додано підтримку нової редакції протоколу SCAP 1.3 (Security Content Automation Protocol);
- Оновлено версії OpenSSH 8.0p1, Tuned 2.12, chrony 3.5, samba 4.10.4. У репозиторій AppStream додані модулі з новими гілками PHP 7.3, Ruby 2.6, Node.js 12 і nginx 1.16 (оновлення модулів з минулими гілками продовжено). У набір Software Collection додані пакети з GCC 9, LLVM 8.0.1, Rust 1.37 та Go 1.12.8;
- Інструментарій трасування SystemTap оновлено до гілки 4.1, а інструментарій для налагодження роботи з пам'яттю Valgrind до версії 3.15;
- У засоби для розгортання сервера ідентифікації (IdM, Identity Management) додано нову утиліту nealthcheck, яка спрощує виявлення проблем із роботою оточення із сервером ідентифікації. Спрощено встановлення та налаштування IdM-оточень, завдяки підтримці ролей Ansible та можливості встановлення модулів. Додано підтримку довірених лісів (Active Directory Trusted Forest) на базі Windows Server 2019.
- У класичному сеансі GNOME (GNOME Classic) змінено перемикач віртуальних робочих столів. Віджет для перемикання між робочими столами тепер знаходиться у правій частині нижньої панелі та оформлений у вигляді смуги з мініатюрами робочих столів (для перемикання на інший робочий стіл достатньо клацнути на мініатюру, що відображає його вміст);
- DRM (Direct Rendering Manager) підсистема та низькорівневі графічні драйвери (amdgpu, nouveau, i915, mgag200) оновлені до стану, що відповідає ядру Linux 5.1. Додано підтримку відеопідсистем AMD Raven 2, AMD Picasso, AMD Vega, Intel Amber Lake-Y та Intel Comet Lake-U;
- У інструментарій для оновлення RHEL 7.6 до RHEL 8.1 додано підтримку оновлення без переустановки для архітектур ARM64, IBM POWER (little endian) та IBM Z. У web-консоль додано режим попередньої перевірки системи перед оновленням. Додано плагін cockpit-leapp для відновлення стану у разі проблем під час оновлення. Забезпечено поділ каталогів /var та /usr в окремі розділи. Додано підтримку UEFI. У забезпечено оновлення пакетів із репозиторію Supplementary (включає пропрієтарні пакети);
- У Image Builder додано підтримку складання образів для хмарних оточень Google Cloud та Alibaba Cloud. При формуванні начинки образів додано можливість використання repo.git для включення до складу додаткових файлів із довільних Git-репозиторіїв;
- У Glibc для malloc додані додаткові перевірки виявлення ситуацій ушкодження виділених блоків пам'яті;
- Пакет dnf-utils перейменований на yum-utils для забезпечення сумісності (можливість установки dnf-utils збережена, але цей пакет автоматично буде замінений на yum-utils);
- Додано нову редакцію Red Hat Enterprise Linux System Roles, набір модулів та ролей для розгортання системи централізованого керування конфігурацією на основі Ansible та налаштування підсистем для залучення специфічних функцій, пов'язаних із сховищами, мережевими можливостями, синхронізацією часу, правилами SElinux та застосуванням механізму kdump. Наприклад, нова роль
storage дозволяє виконувати такі завдання як керування ФС на диску, робота з групами LVM та логічними розділами; - У мережному стеку для VXLAN і тунелів GENEVE реалізована можливість обробки ICMP-пакетів Destination Unreachable, Packet Too Big і Redirect Message, що вирішило проблему з неможливістю використовувати перенаправлення маршрутів і Path MTU Discovery в VXLAN і GENEVE.
- Експериментальна реалізація підсистеми XDP (eXpress Data Path), що дозволяє в Linux запускати BPF-програми на рівні мережного драйвера з можливістю прямого доступу до DMA-буферу пакетів і на стадії до виділення буфера skbuff мережевим стеком, а також компоненти eBPF, синхронізовані з я5.0. . Додано експериментальну підтримку підсистеми ядра AF_XDP ();
- Забезпечено повну підтримку мережевого протоколу (Transparent Inter-process Communication), призначеного в організацію межпроцессного взаємодії кластері. Протокол надає засоби для швидкої та надійної взаємодії додатків, незалежно від того, на яких вузлах у кластері вони виконуються;
- У initramfs додано новий режим збереження дампа ядра у разі збою -«, що працює на ранніх стадіях завантаження;
- Додано новий параметр ядра ipcmni_extend, що розширює ліміт ідентифікаторів IPC c 32 KB (15 біт) 16 MB (24 біта), що дозволяє додаткам використовувати більше сегментів пам'яті, що розділяється;
- Ipset оновлено до випуску 7.1 з підтримкою операцій IPSET_CMD_GET_BYNAME та IPSET_CMD_GET_BYINDEX;
- Демон rngd, що виконує наповнення пулу ентропії генератора псевдовипадкових чисел, позбавлений необхідності запуску з правами root;
- Забезпечено повну підтримку (Omni-Path Architecture) для обладнання з Host Fabric Interface (HFI) та повна підтримка пристроїв постійної пам'яті Intel Optane DC Persistent Memory.
- У налагоджувальних ядрах за замовчуванням включена збірка з детектором невизначеної поведінки UBSAN (Undefined Behavior Sanitizer), що додає в скомпільований код додаткові перевірки для виявлення ситуацій, коли поведінка програми стає невизначеною (наприклад, використання нестатичних змінних до їх ініціалізації, поділ цілей цілісних знакових типів, розіменування покажчиків NULL, проблеми з вирівнюванням покажчиків тощо);
- Дерево вихідних текстів ядра з розширеннями для роботи в режимі реального часу синхронізовано з кодом основного ядра RHEL 8;
- Додано драйвер ibmvnic для мережевого контролера vNIC (Virtual Network Interface Controller) з реалізацією технології віртуальних мереж PowerVM. При застосуванні спільно з SR-IOV NIC новий драйвер дозволяє забезпечити керування пропускною спроможністю та якістю сервісу на рівні віртуального мережевого адаптера, суттєво знижуючи накладні витрати в результаті віртуалізації та зменшуючи навантаження на CPU;
- Додано підтримку розширень з контролю цілісності даних (Data Integrity Extensions), які дозволяють захистити дані від їх пошкодження при записі в сховищі за рахунок збереження додаткових коригувальних блоків;
- Додана експериментальна підтримка (Technology Preview) пакету , що надає бібліотеку та утиліту nmstatectl для керування мережними налаштуваннями через декларативний API (стан мережі описується у формі визначеної схеми);
- Додано експериментальну підтримку реалізації протоколу TLS на рівні ядра (KTLS) з шифруванням на базі AES-GCM, а також експериментальну підтримку OverlayFS, cgroup v2, , mdev () і DAX (прямий доступ до ФС в обхід сторінкового кешу без застосування рівня блокових пристроїв) ext4 і XFS;
- Оголошено застарілою підтримку DSA, TLS 1.0 та TLS 1.1, які виключені з набору DEFAULT та перенесені до LEGACY («update-crypto-policies —set LEGACY»);
- Оголошено застарілі пакети 389-ds-base-legacy-tools,
authd,
custodia,
ім'я хоста,
libidn,
мережеві інструменти,
network-scripts,
nss-pam-ldapd,
sendmail,
yp-tools,
ypbind та ypserv. У майбутньому значному випуску їх постачання може бути припинено; - Скрипти ifup та ifdown замінені на обв'язки, що викликають NetworkManager через nmcli (для повернення старих скриптів потрібно виконати "yum install network-scripts").
Джерело: opennet.ru