Релиз дистрибутива Red Hat Enterprise Linux 8.2
Компания Red Hat опубликовала дистрибутив Red Hat Enterprise Linux 8.2. Установочные сборки подготовлены для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64, но доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal. Исходные тексты rpm-пакетов Red Hat Enterprise Linux 8 распространяются через Git-репозиторий CentOS. Ветка RHEL 8.x будет поддерживаться как минимум до 2029 года.
Изначально анонс RHEL 8.2 был опубликован на сайте Red Hat ещё 21 апреля, но объявление было сделано преждевременным и репозитории для установки обновлений ещё не были готовы, а фактически релиз вышел только сегодня. Ветка 8.x развивается в соответствии с новым предсказуемым циклом разработки, подразумевающим формирование релизов раз в полгода в заранее определённое время. Новый цикл разработки продуктов RHEL охватывает несколько уровней, включая Fedora как плацдарм для реализации новых возможностей, CentOS Stream для доступа пакетам, формируемым для следующего промежуточного выпуска RHEL (rolling-вариант RHEL), минималистичный универсальный базовый образ (UBI, Universal Base Image) для запуска приложений в изолированных контейнерах и RHEL Developer Subscription для бесплатного использования RHEL в процессе разработки.
Ключевые изменения:
- Обеспечена полноценная поддержка управления ресурсами при помощи унифицированной иерархии cgroups v2, которая ранее находилась на стадии экспериментальной возможности. Сgroups v2 можно использовать, например, для ограничения потребления памяти, ресурсов CPU и ввода/вывода. Ключевым отличием cgroups v2 от v1 является применение общей иерархии cgroup для всех видов ресурсов, вместо раздельных иерархий для распределения ресурсов CPU, для регулирования потребления памяти и для ввода/вывода. Раздельные иерархии приводили к трудностям организации взаимодействия между обработчиками и к дополнительным затратам ресурсов ядра при применении правил для процесса, упоминаемого в разных иерархиях.
- Добавлен инструмент Convert2RHEL для преобразования в RHEL систем на которых используются RHEL-подобные дистрибутивы, такие как CentOS и Oracle Linux.
- Добавлена возможность кастомизации общесистемных политик криптографических подсистем (crypto-policies), охватывающие протоколы TLS, IPSec, SSH, DNSSec и Kerberos. Администратор теперь может определить собственную политику или изменить определённые параметры существующих. Добавлены два новых пакета setools-gui и setools-console-analyses для анализа политик SELinux и инсектирования потоков данных. Добавлен профиль безопасности, соответствующий рекомендациям DISA STIG (Defense Information Systems Agency). Добавлена новая утилита oscap-podman для сканирования содержимого контейнеров на предмет использования уязвимых версий программ.
- В инструментах для управление идентификацией появилась новая утилита Healthcheck, позволяющая выявлять проблемы в окружениях IdM (Identity Management). Обеспечена поддержка ролей и модулей Ansible для упрощения установки и управления IdM.
- Изменено оформление web-консоли, которая переведена на использование интерфейса PatternFly 4, аналогичного дизайну интерфейса OpenShift 4. Добавлен таймаут неактивности пользователя, после истечения которого сеанс с web-консолью прекращается. Добавлена поддержка аутентификации с использоваинем клинстского сертификата. Обновлены разделы для управления хранилищами и виртуальными машинами.
- Изменён интерфейс переключения виртуальных рабочих столов в окружении GNOME Classic, кнопка для переключения перемещена в нижний правый угол и оформлена в виде полоски с миниатюрами.
- Графическая подсистема ядра DRM (Direct Rendering Manager) синхронизирована с версией ядра Linux 5.1, в которой появилась поддержка новых GPU и APU. Обновлены графические драйверы, в которых появилась поддержка Intel Intel Comet Lake H и U (HD Graphics 610, 620, 630), Intel Ice Lake U (HD Graphics 910, Iris Plus Graphics 930, 940, 950), AMD Navi 10, Nvidia Turing TU116,
- Сеанс GNOME на базе Wayland по умолчанию включён для систем с несколькими GPU (ранее на системах с гибридной графикой использовался X11).
- Добавлена поддержка новых параметров ядра Linux, связаных с управлением включением защиты от новых атак на механизм спекулятивного выполнения CPU: mds, tsx, mitigations. Добавлен параметр mem_encrypt для управления включением расширений AMD SME (Secure Memory Encryption). Добавлен параметр cpuidle.governor для выбора обработчика состояния простоя CPU (cpuidle governor). Добавлен параметр /proc/sys/kernel/panic_print для настройки сведений, выводимых в случае краха системы (состояния panic). Добавлен параметр /proc/sys/kernel/threads-max для определения максимального числа потоков, которая может создать функция fork (). Добавлен параметр /proc/sys/net/bpf_jit_enable для управления включением JIT-компилятора для BPF.
- Изменён алгоритм запуска dnf-automatic.timer для вызова процесса автоматической установки обновлений. Вместо использования монотонного таймера, приводящего к активации в непредсказуемое время после загрузки, указанный unit теперь запускается между 6 и 7 часами утра. Если в это время система выключена, но запуск осуществляется в течение часа после включения.
- В репозиторий AppStream добавлены модули с новыми ветками Python 3.8 (был 3.6) и Maven 3.6. Обновлены пакеты с GCC 9.2.1, Clang/LLVM 9.0.1, Rust 1.41 и Go 1.13.
- Обновлены версии пакетов powertop 2.11 (с поддержкой платформ EHL, TGL, ICL/ICX), opencv 3.4.6, tuned 2.13.0, rsyslog 8.1911.0, audit 3.0–0.14, fapolicyd 0.9.1–2, sudo 1.8.29–3.el8, firewalld 0.8, tpm2-tools 3.2.1, mod_md (с поддержкой ACMEv2), grafana 6.3.6, pcp 5.0.2, elfutils 0.178, SystemTap 4.2, 389-ds-base 1.4.2.4, samba 4.11.2.
- Добавлены новые пакеты whois, graphviz-python3 (распространяется через официально не поддерживаемый репозиторий CRB (CodeReady Linux Builder)), perl-LDAP, perl-Convert-ASN1
- DNS-сервер BIND обновлён до версии 9.11.13 и переведён на использование базы привязки адресов к местоположению GeoIP2 в формате libmaxminddb вместо устаревшей GeoIP, которая теперь не поддерживается. Добавлена настройка serve-stale (stale-answer), позволяющая возвращать устаревшие записи DNS если невозможно получить новые.
- В rsyslog добавлен плагин omhttp для взаимодействия через интерфейс HTTP REST.
- В подмистему аудита пепенесены изменения, соответствующие ядру Linux 5.5.
- В плагин setroubleshoot добавлена поддержка анализа сбоев доступа из-за нехватки памяти и автоматического реагироваения для устранения подобных проблем.
- Пользователям, ограниченным при помощи SELinux, предоставлена возможность управления сервисами, связанными c пользовательским сеансом. В semanage добавлена поддержка оценки и изменения сетевых портов SCTP и DCCP (ранее поддерживались TCP и UDP). Обеспечена обрабтка под своими доменами SELinux сервисов lvmdbusd (D-Bus API для LVM), lldpd, rrdcached, stratisd, timedatex.
- Firewalld переведён на JSON-интерфейс libnftables при взаимодействии с nftables, что привело к увеличению производительности и надёжности. В nftables добавлена поддержка многомерных типов в IP set, которые могут включать объединения и интервалы. В правилах для firewalld теперь можно использовать обработчики для отслеживания соединений для сервисов, работающих на нестандартных сетевых портах.
- В подсистеме ядра tc (Traffic Control) обеспечена полная поддержка eBPF, что позволяет использовать утилиту tc для прикрепления eBPF-программ для классификации пакетов и обработки входящих и исходящих очередей.
- Реализована стабильная поддержка некоторых подсистем eBPF: инструментарий и библиотека BCC (BPF Compiler Collection) для создания BPF-программ трассировки и отладки, поддержка eBPF в tc. На стадии Technology Preview остаются компоненты bpftrace и eXpress Data Path (XDP).
- Компоненты для работы в режиме реального времени (kernel-rt) синхронизированы с набором патчей для ядра 5.2.21-rt13.
- Обеспечена возможность запуска процесса rngd (демон для подпитки энтропией генератора псевдослучайных чисел) без прав root.
- В LVM добавлена поддержка метода кэширвоания dm-writecache в дополнение к ранее доступному dm-cache. Dm-cache кэширует наиболее часто используемые операции записи и чтения, а dm-writecache кэширует только операции записи, через их размещение вначале на быстром носителей SSD или PMEM с последующим переносом на медленный диск в фоне.
- В XFS добавлена поддержка режима отложенной записи (writeback), учитывающего cgroup.
- В FUSE добавлена поддежка операции copy_file_range (), позволяющей ускорить копирование данных из одного файла в другой, благодаря выполнению операции только на стороне ядра без предварительного чтения данных в память процесса. Оптимизация хорошо заметна в GlusterFS.
- В динамичкеский компоновщик добавлена опция »--preload», позволяющая явно указать библиотеки для принудительной загрузки с приложением. Опция даёт возможность обойтись без использования переменной окружения LD_PRELOAD, которая наследуюется дочерними процессами.
- В гипервизоре KVM реализована полная поддержка вложенного запуска виртуальных машин.
- Добавлены новые драйверы, в том числе gVNIC, Broadcom UniMAC MDIO, Software iWARP, DRM VRAM, cpuidle-haltpoll, stm_ftrace, stm_console, Intel Trace Hub, PMEM DAX, Intel PMC Core, Intel RAPL, Intel Runtime Average Power Limit (RAPL).
- Объявлены устаревшими DSA, TLS 1.0 и TLS 1.1, которые отключены по уполчанию и доступны только в наборе LEGACY.
- Обеспечена экспериментальная (Technology Preview) поддержка nmstate, AF_XDP, XDP, KTLS, dracut, kexec fast reboot, eBPF, libbpf, igc, NVMe over TCP/IP, DAX в ext4 и xfs, OverlayFS, Stratis, DNSSEC, GNOME на системах ARM, AMD SEV для KVM, Intel vGPU
Источник: http://www.opennet.ru/opennews/art.shtml? num=52820
© OpenNet