Компания Red Hat выпустила (https://www.redhat.com/en/about/press-releases/red-hat-refin...) дистрибутив Red Hat Enterprise Linux 7.6. Ветка RHEL 7.x будет поддерживаться до июня 2024 года. Установочные образы RHEL 7.6 доступны (https://access.redhat.com/downloads/) для загрузки только зарегистрированным пользователям Red Hat Customer Portal и подготовлены для архитектур x86+64, IBM POWER7+, POWER8 (big endian и little endian) и IBM System z. Исходные тексты пакетов можно загрузить из Git-репозитория (https://git.centos.org/project/rpms) проекта CentOS. Основные новшества (https://access.redhat.com/documentation/en-us/red_hat_enterp.../):
-
Рабочий стол
- Рабочий стол GNOME обновлён до выпуска 3.28 (https://www.opennet.ru/opennews/art.shtml?num=48263) (в прошлой версии RHEL использовался GNOME 3.26);
- Шрифтовой движок FreeType обновлён до версии 2.8 (https://www.opennet.ru/opennews/art.shtml?num=46544) (ранее использовался выпуск 2.4) с поддержкой изменчивых шрифтов OpenType;
- Добавлена поддержка графических карт NVIDIA c GPU на базе микроархитектуры Volta. По умолчанию используется универсальный DDX-драйвера xf86-video-modesetting, а для 3D-графики применяется программная система отрисовки llvmpipe (так как NVIDIA не распространяет публично подписанные прошивки с поддержкой 3D, для достижения высокой производительности следует использовать проприетарный драйвер NVIDIA);
- X.Org Server обновлён до выпуска 1.20 (https://www.opennet.ru/opennews/art.shtml?num=48575) c поддержкой расширений RandR 1.6 и DRI3 1.2.
- Обновлены графические драйверы. Добавлена поддержка GPU платформ Intel Cannon Lake, Intel Whiskey Lake, AMD Vega и Raven APU. В OpenGL добавлена поддержка механизма сжатия текстур S3TC (S3 Texture Compression);
-
Безопасность
- Добавлена поддержка механизма защиты AMD Secure Encrypted Virtualization (http://amd-dev.wpengine.netdna-cdn.com/wordpress/media/2013/...) (AMD SEV), позволяющего обеспечить прозрачное шифрование памяти виртуальных машин, при которой доступ к расшифрованным данным имеет только текущая гостевая система, а остальные виртуальные машины и гипервизор при попытке обращения к этой памяти получают зашифрованные данные;
- Во фреймворк Clevis добавлена поддержка клиентов, использующего для шифрования чипы TPM 2.0 (Trusted Platform Module);
- Библиотека gnutls обновлена до версии 3.3.29, в которой улучшена интерфейс для работы с криптографическими токенами PKCS#11, добавлена дополнительная защита от атак по сторонним каналам на TLS CBC (Cipher Block Chaining), отключен устаревший набор шифров HMAC-SHA384;
- Утилита sudo обновлена до версии 1.8.23. Вместо скрипта sudoers2ldif и команды "visudo -x" для преобразования разных форматов файлов sudoers предложена новая утилита cvtsudoers. В /etc/sudoers явно включена опция
always_query_group_plugin. Модули PAM теперь запускаются даже когда для операции не требуется аутентификация и ввод пароля. В sudoers добавлены новые опции case_insensitive_user и case_insensitive_group;
- Обновлены версии usbguard 0.7.4 и audit 2.8.4;
- В пакетный менеджер RPM добавлена генерация событий аудита;
- В SELinux добавлена проверка полномочий для системного вызова mmap(), реализована политика extended_socket_class, охватывающая все известные семейства адресов сетевых сокетов, добавлена поддержка условий keepalived_connect_any, tomcat_use_execmem, tomcat_can_network_connect_db, redis_enable_notify и zabbix_run_sudo;
- Пакет Libreswan обновлён до версии 3.25. Добавлена поддержка сертификатов X.509 в формате PKCS #7;
-
Сетевые возможности
- В настройки network-scripts добавлена опция IFDOWN_ON_SHUTDOWN, при выставлении которой в значение "no" перестаёт выполняться вызов ifdown при каждой остановке или перезапуске сервиса network. Опция может оказаться полезной для исключения ситуация отключения сети до отмонтирования NFS. В network-scripts также обеспечен вывод более подробных сообщений об ошибках;
- Добавлена полноценная поддержка пакетного фильтра nftables (https://www.opennet.ru/opennews/art.shtml?num=41282) и связанной с ним библиотеки libnftl, предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables. Nftables нацелен на замену iptables, ip6table, arptables и ebtables, и примечателен унификацией интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. Nftables предоставляет на уровне ядра лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters);
- При включении режима 802-3-ethernet.auto-negotiation обеспечена возможность изменения ethernet-свойств "speed" и "duplex";
- В NetworkManager добавлена возможность изменения DUID (DHCP Unique Identifier) для получения адреса IPv6 от DHCP-сервера;
- Из ядра Linux 4.17 перенесена обновлённая реализаци компонента ipset, в которой появилась поддержка ключей хэширования "hash:net,net",
"hash:net,port,net", "hash:ip,mark", "hash:mac" и "hash:ip,mac". Утилиты ipset обновлены до версии 6.38. Добавлена поддержка расширения
"ipset comment", позволяющего добавлять комментарии в
- Динамический межсетевой экран firewalld (http://www.firewalld.org/) обновлён до версии 0.5.3. В firewalld-cmd добавлена опция "--check-config", позволяющая проверить корректность файлов конфигурации в формате XML;
- Демон анонсов маршрутизатора IPv6 (RA, Router Advertisement) обновлён до версии 2.17. Наиболее важным новшеством является поддержка выбора исходного адреса для анонса маршрутизатора;
- Версия протокола SMB по умолчанию теперь выбирается наивысшая поддерживаемая версия, SMB2 или SMB3. Для использования SMB1 при монтировании CIFS следует явно указать опцию "vers=1.0";
- В пакет net-snmp добавлена поддержка мониторинга дисков с файловыми системами ZFS и ASM Cluster (AC);
-
Системы хранения
- В работающий на уровне ядра драйвер CephFS добавлена полная поддержка Red Hat Ceph Storage 3;
- В XFS добавлена возможность изменения метки тома для примонтированных ФС (xfs_io -c "label new-label" /mount-point);
- В реализацию клиента и сервера NFS добавлена раскладка pNFS SCSI с реализацией варианта раскладки блочного устройства, использующего команды SCSI для улучшенной изоляции и идентификации устройства. При использовании pNFS SCSI сервер NFS выступает в роли сервера метаданных для pNFS, который кроме обработки всех запросов к метаданным предоставляет клиентам прямой доступ к хранилищу через логические устройства SCSI (SCSI LUN), которые могут быть совместно использованы всеми клиентами;
- Реализована полная поддержка пакета ima-evm-utils при работе на системах AMD64 и Intel 64 (для остальных архитектур ima-evm-utils находится в состоянии Technology Preview). Пакет ima-evm-utils включает инструменты для верификации целостности информации в файловой системе и позволяет отслеживать факты случайной или вредоносной модификации системных файлов;
-
Системные изменения
- Добавлена возможность установки системы на накопители на базе энергонезависимой памяти NVDIMM. В grub2, efibootmgr и efiva обеспечена возможность загрузки с NVDIMM;
- В команду "rpm -V" добавлена опция "--noghost", при указании которой производится только верификация целостности файлов не относящихся к секции "%ghost";
- Код драйвера для устройств NVMe синхронизирован с ядром Linux 4.17. Значительно улучшена поддержка раб...
URL: https://www.redhat.com/en/about/press-releases/red-hat-refin...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49526