Red Hat выпустила RHEL 8.1

Ветка RHEL 8.x будет поддерживаться как минимум до 2029 года

Red Had уже подготовила сборки Red Hat Enterprise Linux 8.1 для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64 для зарегестрированых пользователей Red Hat Customer Portal. А по этой ссылке — исходники rpm-пакетов RHEL 8 на Git-репозитории CentOS.

Red Hat Enterprise Linux 8.1 подготовлен по новому циклу разработки Red Hat — теперь релизы выходят каждые полгода. Новый жизненный цикл RHEL выглядит так: в Fedora реализуют новый возможности, в CentOS Stream дают доступ к пакетам будущего промежуточного RHEL, затем создают универсальный базовый образ (UBI) для запуска приложений в контейнерах и RHEL Developer Subscription для процесса разработки.

Что нового в Red Hat Enterprise Linux 8.1?

  • Обеспечена полноценная поддержка механизма применения Live-патчей (kpatch) для устранения уязвимостей в ядре Linux без перезапуска системы и без остановки работы. Ранее kpatch входил в категорию экспериментальных возможностей;
  • На базе фреймворка fapolicyd реализована возможность создания белого и чёрного списков приложений, которые позволяют разграничить какие из программ можно запускать пользователю, а какие нет (например, для блокировки запуска непроверенных внешних исполняемых файлов). Решение о блокировке или разрешении запуска может приниматься на основе названия приложения, пути, хэша от содержимого и MIME-типа. Проверка правил осуществляется во время выполнения системных вызовов open() и exec(), поэтому может негативно влиять на производительность;
  • В состав включены профили SELinux, сфокусированные на использовании с изолированными контейнерами и позволяющие более тонко управлять доступном запускаемых в контейнерах сервисов к ресурсам хост-системы. Для генераций правил SELinux для контейнеров предложена новая утилита udica, позволяющая с учётом специфики конкретного контейнера предоставить доступ только к необходимым внешним ресурсам, таким как хранилища, устройства и сеть. Утилиты SELinux (libsepol, libselinux, libsemanage, policycoreutils, checkpolicy, mcstrans) обновлены до выпуска 2.9, а пакет SETools до версии 4.2.2.
    Добавлен новый тип SELinux – boltd_t, ограничивающий boltd, процесс для управления устройствами с интерфейсом Thunderbolt 3 (boltd теперь запускается в контейнере, ограниченном SELinux). Добавлен новый класс правил SELinux – bpf, управляющий обращением к Berkeley Packet Filter (BPF) и инспектирующим приложения для eBPF;
  • В состав включён стек протоколов маршрутизации FRRouting (BGP4, MP-BGP, OSPFv2, OSPFv3, RIPv1, RIPv2, RIPng, PIM-SM/MSDP, LDP, IS-IS), который заменил собой ранее применявшийся пакет Quagga (FRRouting является ответвлением от Quagga, поэтому совместимость не пострадала);
  • Для шифрованных разделов в формате LUKS2 добавлена поддержка перешифровки блочных устройств на лету, без прекращения их использования в системе (например, теперь можно поменять ключ или алгоритм шифрования без отмонтирования раздела);
  • Во фреймворк OpenSCAP добавлена поддержка новой редакции протокола SCAP 1.3 (Security Content Automation Protocol);
  • Обновлены версии OpenSSH 8.0p1, Tuned 2.12, chrony 3.5, samba 4.10.4. В репозиторий AppStream добавлены модули с новыми ветками PHP 7.3, Ruby 2.6, Node.js 12 и nginx 1.16 (обновление модулей с прошлыми ветками продолжено). В набор Software Collection добавлены пакеты с GCC 9, LLVM 8.0.1, Rust 1.37 и Go 1.12.8;
  • Инструментарий трассировки SystemTap обновлён до ветки 4.1, а инструментарий для отладки работы с памятью Valgrind до версии 3.15;
  • В средства для развёртывания сервера идентификации (IdM, Identity Management) добавлена новая утилита нealthcheck, упрощающая выявление проблем с работой окружений с сервером идентификации. Упрощена установка и настройка IdM-окружений, благодаря поддержке ролей Ansible и возможности установки модулей. Добавлена поддержка доверенных лесов (Active Directory Trusted Forest) на базе Windows Server 2019.
  • В классическом сеансе GNOME (GNOME Classic) изменён переключатель виртуальных рабочих столов. Виджет для переключения между рабочими столами теперь находится в правой части нижней панели и оформлен в виде полосы с миниатюрами рабочих столов (для переключения на другой рабочий стол достаточно кликнуть на миниатюру, отражающую его содержимое);
  • DRM (Direct Rendering Manager) подсистема и низкоуровневые графические драйверы (amdgpu, nouveau, i915, mgag200) обновлены до состояния, соответствующее ядру Linux 5.1. Добавлена поддержка видеоподсистем AMD Raven 2, AMD Picasso, AMD Vega, Intel Amber Lake-Y и Intel Comet Lake-U;
  • В инструментарий для обновления RHEL 7.6 до RHEL 8.1 добавлена поддержка обновления без переустановки для архитектур ARM64, IBM POWER (little endian) и IBM Z. В web-консоль добавлен режим предварительной проверки системы перед обновлением. Добавлен плагин cockpit-leapp для восстановления состояния в случае проблем в ходе обновления. Обеспечено разделение каталогов /var и /usr в отдельные разделы. Добавлена поддержка UEFI. В Leapp обеспечено обновление пакетов из репозитория Supplementary (включает проприетарные пакеты);
  • В Image Builder добавлена поддержка сборки образов для облачных окружений Google Cloud и Alibaba Cloud. При формировании начинки образов добавлена возможность использования repo.git для включения в состав дополнительных файлов из произвольных Git-репозиториев;
  • В Glibc для malloc добавлены дополнительные проверки для выявления ситуаций повреждения выделенных блоков памяти;
  • Пакет dnf-utils переименован в yum-utils для обеспечения совместимости (возможность установки dnf-utils сохранена, но этот пакет автоматически будет заменён на yum-utils);
  • Добавлена новая редакция Red Hat Enterprise Linux System Roles, предоставляющая набор модулей и ролей для развёртывания системы централизованного управления конфигурацией на основе Ansible и настройки подсистем для задействования специфичных функций, связанных с хранилищами, сетевыми возможностями, синхронизацией времени, правилами SElinux и применением механизма kdump. Например, новая роль storage позволяет выполнять такие задачи как управление ФС на диске, работа с группами LVM и логическими разделами;
  • В сетевом стеке для VXLAN и туннелей GENEVE реализована возможность обработки ICMP-пакетов “Destination Unreachable”, “Packet Too Big” и “Redirect Message”, что решило проблему с невозможностью использовать перенаправления маршрутов и Path MTU Discovery в VXLAN и GENEVE.
  • Экспериментальая реализация подсистемы XDP (eXpress Data Path), позволяющей в Linux запускать BPF-программы на уровне сетевого драйвера с возможностью прямого доступа к DMA-буферу пакетов и на стадии до выделения буфера skbuff сетевым стеком, а также компоненты eBPF, синхронизированы с ядром Linux 5.0. Добавлена экспериментальная поддержка подсистемы ядра AF_XDP (eXpress Data Path);
  • Обеспечена полная поддержка сетевого протокола TIPC (Transparent Inter-process Communication), предназначенного для организации межпроцессного взаимодействия в кластере. Протокол предоставляет средства для быстрого и надёжного взаимодействия приложений, независимо от того, на каких узлах в кластере они выполняются;
  • В initramfs добавлен новый режим сохранения дампа ядра в случае сбоя – “early kdump“, работающий на ранних стадия загрузки;
  • Добавлен новый параметр ядра ipcmni_extend, расширяющий лимит идентификаторов IPC c 32 KB (15 бит) 16 MB (24 бита), что позволяет приложениям использовать больше сегментов разделяемой памяти;
  • Ipset обновлён до выпуска 7.1 c поддержкой операций IPSET_CMD_GET_BYNAME и IPSET_CMD_GET_BYINDEX;
  • Демон rngd, выполняющий наполнение пула энтропии генератора псевдослучайных чисел, избавлен от необходимости запуска с правами root;
  • Обеспечена полная поддержка Intel OPA (Omni-Path Architecture) для оборудования с Host Fabric Interface (HFI) и полная поддержка устройств постоянной памяти Intel Optane DC Persistent Memory.
  • В отладочных ядрах по умолчанию включена сборка с детектором неопределенного поведения UBSAN (Undefined Behavior Sanitizer), добавляющем в скомпилированный код дополнительные проверки для выявления ситуаций, когда поведение программы становится неопределенным (например, использование нестатических переменных до их инициализации, деление целых чисел на ноль, переполнения целочисленных знаковых типов, разыменование указателей NULL, проблемы с выравниванием указателей и т.п.);
  • Дерево исходных текстов ядра с расширениями для работы в режиме реального времени (kernel-rt) синхронизировано с кодом основного ядра RHEL 8;
  • Добавлен драйвер ibmvnic для сетевого контроллера vNIC (Virtual Network Interface Controller) с реализацией технологии виртуальных сетей PowerVM. При применении совместно с SR-IOV NIC новый драйвер позволяет обеспечить управление пропускной способностью и качеством сервиса на уровне виртуального сетевого адаптера, существенно снижая накладные расходы в результате виртуализации и уменьшая нагрузку на CPU;
  • Добавлена поддержка расширений по контролю целостности данных (Data Integrity Extensions), которые позволяют защитить данные от их повреждения при записи в хранилище за счёт сохранения дополнительных корректирующих блоков;
  • Добавлена экспериментальная поддержка (Technology Preview) пакета nmstate, предоставляющего библиотеку и утилиту nmstatectl для управления сетевыми настройками через декларативный API (состояние сети описывается в форме предопределённой схемы);
  • Добавлена экспериментальная поддержка реализации протокола TLS на уровне ядра (KTLS) с шифрвоанием на базе AES-GCM, а также экспериментальная поддержка OverlayFS, cgroup v2, Stratis, mdev (Intel vGPU) и DAX (прямой доступ к ФС в обход страничного кэша без применения уровня блочных устройств) в ext4 и XFS;
  • Объявлена устаревшей поддержка DSA, TLS 1.0 и TLS 1.1, которые исключены из набора DEFAULT и перенесены в LEGACY (“update-crypto-policies –set LEGACY”);
  • Объявлены устаревшими пакеты 389-ds-base-legacy-tools, authd, custodia, hostname, libidn, net-tools, network-scripts, nss-pam-ldapd, sendmail, yp-tools, ypbind и ypserv. В будущем значительном выпуске их поставка может быть прекращена;
  • Скрипты ifup и ifdown заменены на обвязки, вызывающие NetworkManager через nmcli (для возвращения старых скриптов нужно выполнить “yum install network-scripts”).

Залишити відповідь

Дякуємо, що поділились