Релиз Red Hat Enterprise Linux 7.5
Компания Red Hat выпустила дистрибутив Red Hat Enterprise Linux 7.5. Ветка RHEL 7.x будет поддерживаться до июня 2024 года. Установочные образы RHEL 7.5 доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal и подготовлены для архитектур x86+64, IBM POWER7+, POWER8 (big endian и little endian) и IBM System z. Исходные тексты пакетов можно загрузить из Git-репозитория проекта CentOS.
Основные новшества:
- Рабочий стол
- Обеспечена предварительная поддержка сеанса GNOME на базе Wayland;
- Для подбора оптимального размера элементов на экранах с высокой плотностью пикселей (HiDPI) добавлена возможность дробного масштабирования (например, теперь можно увеличить элемент не в 2 раза, а в 1.5). Дробное масштабирование доступно только при использовании Wayland;
- Рабочий стол GNOME обновлён до выпуска 3.26 (в прошлой версии RHEL использовался GNOME 3.22);
- В состав включен QGnomePlatform, плагин для бесшовного отображения Qt-приложений в окружениях на базе GTK+;
- В состав включена библиотека libyami (Yet Another Media Infrastructure), предоставляющая средства для декодировния видео с использованием механизмов аппаратного ускорения, предоставляемых устройствами на базе аппаратных платформ Intel;
- В состав включена библиотека libva, реализующая программный интерфейс VA-API (Video Acceleration API), предложенный Intel для замены XvMC;
- В GStreamer добавлена поддержка формата MP3, реализованного с использованием библиотеки libmpeg123;
- Добавлена поддержка переменной окружения SANE_USB_WORKAROUND, позволяющая решить проблемы с подключением старых сканеров через порт USB3;
- Обновлены версии пользовательских пакетов: LibreOffice 5.3, GIMP 3.8.22, Inkscape 0.92.2, WebKitGtk 2.16, Qt 5.9.2, ModemManager 1.6.8;
- В Vim добавлена поддержка подсветки синтаксиса конструкций C++11;
- Безопасность
- По умолчанию включен механизм рандомизации адресного пространства ядра (KASLR), который позволяет увеличить стойкость к некоторым видам атак, эксплуатирующих уязвимости в ядре, за счёт формирования случайной раскладки кода ядра в памяти при каждой загрузке;
- Добавлена возможность мультиплексирования доступа к NVIDIA GPU из разных гостевых систем;
- Улучшена поддержка технологии NBDE (Network Bound Disk Encryption), позволяющей шифровать содержимое разделов дисках без необходимости ручного ввода пароля в процессе загрузки. Для шифрованных разделов на внешних накопителей добавлена поддержка автоматической разблокировки раздела. Добавлена поддержка автоматической разблокировки шифрованных сетевых разделов;
- Для архитектур IBM POWER8, IBM POWER9 (little-endian) и IBM z System добавлена поддержка виртуализации с использованием гипервизора KVM;
- По умолчанию отключена поддержка ненадёжных шифров 3DES;
- Для новых моделей серверных процессоров Intel добавлена поддержка механизма PKU (Memory Protection Keys for Userspace), который можно применять для защиты доступа к страницам памяти из пространства пользователя, без изменения таблиц страниц памяти при изменении домена защиты;
- В mod_ssd отключена поддержка SSLv3;
- OpenSSH добавлена поддержка аппаратных модулей HSM, поддерживаемых пакетами openssl-ibmca и openssl-ibmpkcs11;
- Для systemd в SELinux активирована политика, запрещающая смену прав доступа (nosuid);
- Для гостевых систем, работающих на хостах с CPU Intel Cannonlake, представлена поддержка набора инструкций SMAP (Supervisor Mode Access Prevention). SMAP позволяет блокировать доступ к данным в пространстве пользователя из привилегированного кода, выполняемого на уровне ядра.
- Сетевые возможности
- Увеличена стабильность и производительность компонентов для интеграции с Active Directory. Добавлена поддержка появившихся в Windows Server 2016 функциональных уровней лесов (Forest) и доменов (Domain), позволяющих устанавливать доверительную связь между лесами при помощи инструментов управления идентификацией. Улучшена обработка конфликтующих записей при репликации Directory Server и прекращён показ конфликтов в результатах поиска. Пакет OpenLDAP собран с OpenSSL вместо NSS. Версия Samba обновлена до 4.7.1. Включён по умолчанию протокол SMB3. Внесены улучшения в работу SSSD (System Security Services Daemon), например, повышена эффективность кэширования, а в LDAP-провайдере обеспечено назначение отдельной группы для каждого пользователя. Добавлена утилита ds-replcheck для сравнения состояний двух серверов директорий. Для обеспечения совместимости в сервер директорий добавлена поддержка схем хранения паролей CRYPT-MD5, CRYPT-SHA256 и CRYPT-SHA512;
- В tcpdump добавлена возможность анализа трафика на интерфейсах virtio;
- Для протоколов SMB 2 и SMB 3 реализована возможность монтирования разделов в режиме DFS (Distributed File System) и добавлена поддержка создания шифрованных соединений;
- В файлах конфигурации ifcfg-* появились новые опции ARPUPDATE для управления отправкой ARP-обновлений и DNS3 для определения третьего DNS-сервера;
- В ipset добавлена поддержка изоляции с применением пространств имён сетевой подсистемы (network namespaces);
- В NetworkManager добавлена поддержка множественных таблиц маршрутизации и возможность настройки маршрутизации от источника (source routing). Добавлена опция ipv4.dhcp-timeout, через которую можно включить бесконечное продолжение попыток получения адреса по DHCP;
- В сервер DHCP добавлена поддержка обновления записей в DNS при помощи механизма DNS UPDATE. Для усиления безопасности Dynamic DNS (DDNS) добавлена поддержка алгоритмов HMAC-SHA1, HMAC-SHA224, HMAC-SHA256, HMAC-SHA384 и HMAC-SHA512;
- Обновлены сетевые пакеты: nftables 0.8, iproute2 4.11.0, unbound 1.6.6,
- Добавлена возможность обращения к dbus для процессов с другого хоста (например, с пробросом через SSH);
- В virt-v2v добавлена поддержка преобразования гостевых систем VMware со снапшотами и гостевых сисетем в которых применяется шифрование LUKS;
- Системы хранения
- В редактор разделов parted добавлена команда resizepart для изменения размера дискового раздела. В fsadm добавлена возможность расширения или уменьшения шифрованных LVM-разделов LUKS;
- Для файловой системы ext4 ускорено выполнение операций проверки квот;
- Добавлен модуль Virtual Data Optimizer (VDO), предоставляющий виртуальное блочное устройство с поддержкой дедупликации и сжатия данных, а также увеличения размера по мере наступления необходимости. Модуль пока доступен только для архитектур AMD64 и Intel 64;
- В состав включена новая утилита командной строки boom и API для добавления записей в загрузчик для загрузки со снапшотов LVM и системных образов;
- В пакет smartmontools добавлена поддержка накопителей NVMe;
- Обеспечена полная поддержка SCSI T10 DIF/DIX для некоторых хост-адаптеров шины (HBA);
- Добавлена экспериментальная реализация клиента CephFS, работающая на уровне ядра;
- В ext4 XFS добавлена экспериментальная поддержка DAX (прямой доступ к ФС в обход страничного кэша без применения уровня блочных устройств);
- Системные изменения
- Для архитектур ARM64, IBM POWER9 (little endian) и IBM z Systems предложен альтернативный пакет с ядром на базе версии ядра Linux 4.14;
- В наборе Red Hat Ansible Automation, предназначенном для развёртывания системы централизованного управления конфигурацией на основе Ansible, обеспечена интеграция с фреймворком OpenSCAP с реализацией протокола SCAP (Security Content Automation Protocol);
- Повышена точность синхронизации времени и обеспечена возможность создания отказоустойчивых конфигураций (возможность использования Precision Time Protocol (PTP) и Network Time Protocol (NTP) на агрегированных сетевых интерфейсах в режиме active-backup);
- Обеспечена полная поддержка гибкой раскладки файлов для pNFS (flexible file layout), что позволяет реализовать такие возможность как зеркалирование файлов на стороне клиента;
- Python 2 объявлен устаревшим и будет заменён на Python 3 в следующей значительной ветке (RHEL 8);
- Средства обеспечения высокой доступности (High Availability) теперь могут применяться для виртуальных машин в Amazon Web Services (AWS) и Microsoft Azure;
- В rpm-build задействована многопоточная реализация алгоритма сжатия xz;
- Проведена оптимизация системы подкачки (Swap) с целью ускорения работы на быстрых SSD-накопителях;
- Для серверов с процессорами на базе архитектуры Broadwell добавлена поддержка расширения MBA (Memory Bandwidth Allocation), расширяющая возможности механизма CQE (Cache QoS Enforcement);
- Система kpatch, позволяющая вносить исправления в работающее ядро Linux без перезагрузки и без остановки работы, переведена на использование унифицированного механизма livepatch, входящего в штатное ядро Linux;
- В kmod добавлена возможность загрузки модулей ядра из любых каталогов, а не только из /lib/modules;\
- Объявлены устаревшими пакеты dmraid и tcp_wrappers (в RHEL 7.x они останутся, но в RHEL 8 их не будет). В RHEL 8 также не будет поддержки Btrfs;
- В режим автоматизированной установки Kickstart добавлена поддержка команды mount для монтирования уже доступных разделов и новая опция к команде network для привязки конфигурации к MAC-адресу;
- Обновлены системные пакеты: binutils 2.27, systemtap 3.2, valgrind 3.13.0, rsync 3.1.2, dbus 1.10, chrony 3.2, OpenIPMI 2.0.23, freeIPMI 1.5.7, libvirt 3.9.0, virt-manager 1.4.3;
- Обновлено большое количество драйверов и добавлена поддержка нового оборудования;
© OpenNet