Релиз Red Hat Enterprise Linux 7.6

Компания Red Hat выпустила дистрибутив Red Hat Enterprise Linux 7.6. Ветка RHEL 7.x будет поддерживаться до июня 2024 года. Установочные образы RHEL 7.6 доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal и подготовлены для архитектур x86+64, IBM POWER7+, POWER8 (big endian и little endian) и IBM System z. Исходные тексты пакетов можно загрузить из Git-репозитория проекта CentOS.

Основные новшества:

  • Рабочий стол
    • Рабочий стол GNOME обновлён до выпуска 3.28 (в прошлой версии RHEL использовался GNOME 3.26);
    • Шрифтовой движок FreeType обновлён до версии 2.8 (ранее использовался выпуск 2.4) с поддержкой изменчивых шрифтов OpenType;
    • Добавлена поддержка графических карт NVIDIA c GPU на базе микроархитектуры Volta. По умолчанию используется универсальный DDX-драйвера xf86-video-modesetting, а для 3D-графики применяется программная система отрисовки llvmpipe (так как NVIDIA не распространяет публично подписанные прошивки с поддержкой 3D, для достижения высокой производительности следует использовать проприетарный драйвер NVIDIA);
    • X.Org Server обновлён до выпуска 1.20 c поддержкой расширений RandR 1.6 и DRI3 1.2.
    • Обновлены графические драйверы. Добавлена поддержка GPU платформ Intel Cannon Lake, Intel Whiskey Lake, AMD Vega и Raven APU. В OpenGL добавлена поддержка механизма сжатия текстур S3TC (S3 Texture Compression);
    • Продолжается тестирование предварительной поддержки сеанса GNOME на базе Wayland и возможности дробного масштабирования для подбора оптимального размера элементов на экранах с высокой плотностью пикселей (например, можно увеличить элемент не в 2 раза, а в 1.5);
    • Пакеты с окружением KDE получили статус «deprecated» и не будут включены в состав RHEL 8, в котором будет оставлена только поддержка GNOME;
  • Безопасность
    • Добавлена поддержка механизма защиты AMD Secure Encrypted Virtualization (AMD SEV), позволяющего обеспечить прозрачное шифрование памяти виртуальных машин, при которой доступ к расшифрованным данным имеет только текущая гостевая система, а остальные виртуальные машины и гипервизор при попытке обращения к этой памяти получают зашифрованные данные;
    • В OpenSC добавлена поддержка новых смарткарт, в том числе моделей на базе CardOS 5.3;
    • В систему сертификатов добавлена поддержка новых шифров TLS_ECDHE_ECDSA_* и TLS_ECDHE_RSA_*; s
    • Во фреймворк Clevis добавлена поддержка клиентов, использующего для шифрования чипы TPM 2.0 (Trusted Platform Module);
    • Библиотека GnuTLS обновлена до версии 3.3.29, в которой улучшена интерфейс для работы с криптографическими токенами PKCS#11, добавлена дополнительная защита от атак по сторонним каналам на TLS CBC (Cipher Block Chaining), отключен устаревший набор шифров HMAC-SHA384 и улучшена поддержка HSM (Hardware Security Module);
    • Утилита sudo обновлена до версии 1.8.23. Вместо скрипта sudoers2ldif и команды «visudo -x» для преобразования разных форматов файлов sudoers предложена новая утилита cvtsudoers. В /etc/sudoers явно включена опция always_query_group_plugin. Модули PAM теперь запускаются даже когда для операции не требуется аутентификация и ввод пароля. В sudoers добавлены новые опции case_insensitive_user и case_insensitive_group;
    • Обновлены версии usbguard 0.7.4 и audit 2.8.4;
    • В пакетный менеджер RPM добавлена генерация событий аудита;
    • В SELinux добавлена проверка полномочий для системного вызова mmap (), реализована политика extended_socket_class, охватывающая все известные семейства адресов сетевых сокетов, добавлена поддержка условий keepalived_connect_any, tomcat_use_execmem, tomcat_can_network_connect_db, redis_enable_notify и zabbix_run_sudo;
    • Пакет Libreswan обновлён до версии 3.25. Добавлена поддержка сертификатов X.509 в формате PKCS #7;
    • В утилите virt-v2v появилась возможность сохранения топологии CPU при конвертации виртуальных машин, а также поддержка импорта сконвертированных виртуальных машин в Red Hat Virtualization (RHV).
    • Расширены средства диагностики в qemu-guest-agents. Из актуальной кодовой базы QEMU перенесены команды qemu-get-host-name, qemu-get-users, qemu-get-osinfo и qemu-get-timezone;
    • Добавлена экспериментальная поддержка демона systemd-importd, позволяющего организовать загрузку готовых образов контейнеров в форматах tar, raw, qcow2 и dkr и их размещение в директории /var/lib/machines для запуска через nspawn. Для проверки валидности загружаемых образов используется GPG.
    • Добавлена экспериментальная поддержка эмуляции хост-контроллеров USB 3.0 для гостевых систем KVM;
  • Сетевые возможности
    • В настройки network-scripts добавлена опция IFDOWN_ON_SHUTDOWN, при выставлении которой в значение «no» перестаёт выполняться вызов ifdown при каждой остановке или перезапуске сервиса network. Опция может оказаться полезной для исключения ситуация отключения сети до отмонтирования NFS. В network-scripts также обеспечен вывод более подробных сообщений об ошибках;
    • Добавлена полноценная поддержка пакетного фильтра nftables и связанной с ним библиотеки libnftl, предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables. Nftables нацелен на замену iptables, ip6table, arptables и ebtables, и примечателен унификацией интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. Nftables предоставляет на уровне ядра лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters);
    • При включении режима 802–3-ethernet.auto-negotiation обеспечена возможность изменения ethernet-свойств «speed» и «duplex»;
    • В NetworkManager добавлена возможность изменения DUID (DHCP Unique Identifier) для получения адреса IPv6 от DHCP-сервера;
    • Из ядра Linux 4.17 перенесена обновлённая реализаци компонента ipset, в которой появилась поддержка ключей хэширования «hash: net, net», «hash: net, port, net», «hash: ip, mark», «hash: mac» и «hash: ip, mac». Утилиты ipset обновлены до версии 6.38. Добавлена поддержка расширения «ipset comment», позволяющего добавлять комментарии в 
    • Динамический межсетевой экран firewalld обновлён до версии 0.5.3. В firewalld-cmd добавлена опция »--check-config», позволяющая проверить корректность файлов конфигурации в формате XML;
    • Демон анонсов маршрутизатора IPv6 (RA, Router Advertisement) обновлён до версии 2.17. Наиболее важным новшеством является поддержка выбора исходного адреса для анонса маршрутизатора;
    • Версия Samba обновлена до 4.8.3 (в прошлом выпуске поставлялась версия 4.7.1). Сервер директорий 389 обновлён до версии 1.3.8.4;
    • Версия протокола SMB по умолчанию теперь выбирается наивысшая поддерживаемая версия, SMB2 или SMB3. Для использования SMB1 при монтировании CIFS следует явно указать опцию «vers=1.0»;
    • В пакет net-snmp добавлена поддержка мониторинга дисков с файловыми системами ZFS и ASM Cluster (AC);
  • Системы хранения
    • В работающий на уровне ядра драйвер CephFS добавлена полная поддержка Red Hat Ceph Storage 3;
    • В XFS добавлена возможность изменения метки тома для примонтированных ФС (xfs_io -c «label new-label» /mount-point);
    • В реализацию клиента и сервера NFS добавлена раскладка pNFS SCSI с реализацией варианта раскладки блочного устройства, использующего команды SCSI для улучшенной изоляции и идентификации устройства. При использовании pNFS SCSI сервер NFS выступает в роли сервера метаданных для pNFS, который кроме обработки всех запросов к метаданным предоставляет клиентам прямой доступ к хранилищу через логические устройства SCSI (SCSI LUN), которые могут быть совместно использованы всеми клиентами;
    • Реализована полная поддержка пакета ima-evm-utils при работе на системах AMD64 и Intel 64 (для остальных архитектур ima-evm-utils находится в состоянии Technology Preview). Пакет ima-evm-utils включает инструменты для верификации целостности информации в файловой системе и позволяет отслеживать факты случайной или вредоносной модификации системных файлов;
    • До версии 2.4 обновлён инструмент резервного копирования Relax-and-Recover, позволяющий создавать бэкапы в форме ISO-образов, позволяющих быстро восстановить систему просто загрузившись с них
    • В Device Mapper Multipath (DM Multipath) в секциях «blacklist» и «blacklist_exceptions» добавлена новая настройка «protocol», позволяющая добавлять в чёрный или белый список пути на основе используемого протокола (например, scsi или nvme);
    • В ветке RHEL 7 продолжается предоставление экспериментальной поддержки Btrfs, но данная ФС начиная с выпуска RHEL 7.4 не обновляется, а в ветке RHEL 8 будет удалена;
  • Системные изменения
    • Добавлена возможность установки системы на накопители на базе энергонезависимой памяти NVDIMM. В grub2, efibootmgr и efiva обеспечена возможность загрузки с NVDIMM;
    • В команду «rpm -V» добавлена опция »--noghost», при указании которой производится только верификация целостности файлов не относящихся к секции »%ghost»;
    • Код драйвера для устройств NVMe синхронизирован с ядром Linux 4.17. Значительно улучшена поддержка работы NVMe поверх RDMA (Remote Direct Memory Access);
    • В ядро добавлена поддержка планировщика SCHED_DEADLINE, предоставляющий гарантированное время выполнения задачи, независимо от общего количества обслуживаемых процессов;
    • В компонентах централизованного управления конфигурацией на основе Ansible добавлена поддержка ролей selinux, kdump, network, timesync и postfix;
    • Добавлена поддержка пространств имён для точек монтирования непривилегированных пользователей (user mount namespaces);
    • Добавлена поддержка устройств с интерфейсом Thunderbolt 3;
    • Добавлена поддержка Intel OPA (Omni-Path Architecture);
    • Добавлена экспериментальная поддержка инструментов трассировки на базе eBPF;
    • Обновлено большое количество драйверов и добавлена поддержка нового оборудования;

© OpenNet