Релиз дистрибутива Red Hat Enterprise Linux 8.1

Компания Red Hat выпустила дистрибутив Red Hat Enterprise Linux 8.1. Установочные сборки подготовлены для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64, но доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal. Исходные тексты rpm-пакетов Red Hat Enterprise Linux 8 распространяются через Git-репозиторий CentOS. Ветка RHEL 8.x будет поддерживаться как минимум до 2029 года.

Red Hat Enterprise Linux 8.1 стал первым выпуском, подготовленным в соответствии с новым предсказуемым циклом разработки, подразумевающим формирование релизов раз в полгода в заранее определённое время. Наличие точной информации о времени публикации нового выпуска позволяет синхронизировать графики разработки различных проектов, заранее подготовиться к новому выпуску и запланировать время применения обновлений.

Отмечается, что новый жизненный цикл продуктов RHEL охватывает несколько уровней, включая Fedora как плацдарм для реализации новых возможностей, CentOS Stream для доступа пакетам, формируемым для следующего промежуточного выпуска RHEL (rolling-вариант RHEL), минималистичный универсальный базовый образ (UBI, Universal Base Image) для запуска приложений в изолированных контейнерах и RHEL Developer Subscription для бесплатного использования RHEL в процессе разработки.

Ключевые изменения:

  • Обеспечена полноценная поддержка механизма применения Live-патчей (kpatch) для устранения уязвимостей в ядре Linux без перезапуска системы и без остановки работы. Ранее kpatch входил в категорию экспериментальных возможностей;
  • На базе фреймворка fapolicyd реализована возможность создания белого и чёрного списков приложений, которые позволяют разграничить какие из программ можно запускать пользователю, а какие нет (например, для блокировки запуска непроверенных внешних исполняемых файлов). Решение о блокировке или разрешении запуска может приниматься на основе названия приложения, пути, хэша от содержимого и MIME-типа. Проверка правил осуществляется во время выполнения системных вызовов open() и exec(), поэтому может негативно влиять на производительность;
  • В состав включены профили SELinux, сфокусированные на использовании с изолированными контейнерами и позволяющие более тонко управлять доступном запускаемых в контейнерах сервисов к ресурсам хост-системы. Для генераций правил SELinux для контейнеров предложена новая утилита udica, позволяющая с учётом специфики конкретного контейнера предоставить доступ только к необходимым внешним ресурсам, таким как хранилища, устройства и сеть. Утилиты SELinux (libsepol, libselinux, libsemanage, policycoreutils, checkpolicy, mcstrans) обновлены до выпуска 2.9, а пакет SETools до версии 4.2.2.

    Добавлен новый тип SELinux — boltd_t, ограничивающий boltd, процесс для управления устройствами с интерфейсом Thunderbolt 3 (boltd теперь запускается в контейнере, ограниченном SELinux). Добавлен новый класс правил SELinux — bpf, управляющий обращением к Berkeley Packet Filter (BPF) и инспектирующим приложения для eBPF;

  • В состав включён стек протоколов маршрутизации FRRouting (BGP4, MP-BGP, OSPFv2, OSPFv3, RIPv1, RIPv2, RIPng, PIM-SM/MSDP, LDP, IS-IS), который заменил собой ранее применявшийся пакет Quagga (FRRouting является ответвлением от Quagga, поэтому совместимость не пострадала);
  • Для шифрованных разделов в формате LUKS2 добавлена поддержка перешифровки блочных устройств на лету, без прекращения их использования в системе (например, теперь можно поменять ключ или алгоритм шифрования без отмонтирования раздела);
  • Во фреймворк OpenSCAP добавлена поддержка новой редакции протокола SCAP 1.3 (Security Content Automation Protocol);
  • Обновлены версии OpenSSH 8.0p1, Tuned 2.12, chrony 3.5, samba 4.10.4. В репозиторий AppStream добавлены модули с новыми ветками PHP 7.3, Ruby 2.6, Node.js 12 и nginx 1.16 (обновление модулей с прошлыми ветками продолжено). В набор Software Collection добавлены пакеты с GCC 9, LLVM 8.0.1, Rust 1.37 и Go 1.12.8;
  • Инструментарий трассировки SystemTap обновлён до ветки 4.1, а инструментарий для отладки работы с памятью Valgrind до версии 3.15;
  • В средства для развёртывания сервера идентификации (IdM, Identity Management) добавлена новая утилита нealthcheck, упрощающая выявление проблем с работой окружений с сервером идентификации. Упрощена установка и настройка IdM-окружений, благодаря поддержке ролей Ansible и возможности установки модулей. Добавлена поддержка доверенных лесов (Active Directory Trusted Forest) на базе Windows Server 2019.
  • В классическом сеансе GNOME (GNOME Classic) изменён переключатель виртуальных рабочих столов. Виджет для переключения между рабочими столами теперь находится в правой части нижней панели и оформлен в виде полосы с миниатюрами рабочих столов (для переключения на другой рабочий стол достаточно кликнуть на миниатюру, отражающую его содержимое);
  • DRM (Direct Rendering Manager) подсистема и низкоуровневые графические драйверы (amdgpu, nouveau, i915, mgag200) обновлены до состояния, соответствующее ядру Linux 5.1. Добавлена поддержка видеоподсистем AMD Raven 2, AMD Picasso, AMD Vega, Intel Amber Lake-Y и Intel Comet Lake-U;
  • В инструментарий для обновления RHEL 7.6 до RHEL 8.1 добавлена поддержка обновления без переустановки для архитектур ARM64, IBM POWER (little endian) и IBM Z. В web-консоль добавлен режим предварительной проверки системы перед обновлением. Добавлен плагин cockpit-leapp для восстановления состояния в случае проблем в ходе обновления. Обеспечено разделение каталогов /var и /usr в отдельные разделы. Добавлена поддержка UEFI. В Leapp обеспечено обновление пакетов из репозитория Supplementary (включает проприетарные пакеты);
  • В Image Builder добавлена поддержка сборки образов для облачных окружений Google Cloud и Alibaba Cloud. При формировании начинки образов добавлена возможность использования repo.git для включения в состав дополнительных файлов из произвольных Git-репозиториев;
  • В Glibc для malloc добавлены дополнительные проверки для выявления ситуаций повреждения выделенных блоков памяти;
  • Пакет dnf-utils переименован в yum-utils для обеспечения совместимости (возможность установки dnf-utils сохранена, но этот пакет автоматически будет заменён на yum-utils);
  • Добавлена новая редакция Red Hat Enterprise Linux System Roles, предоставляющая набор модулей и ролей для развёртывания системы централизованного управления конфигурацией на основе Ansible и настройки подсистем для задействования специфичных функций, связанных с хранилищами, сетевыми возможностями, синхронизацией времени, правилами SElinux и применением механизма kdump. Например, новая роль storage позволяет выполнять такие задачи как управление ФС на диске, работа с группами LVM и логическими разделами;
  • В сетевом стеке для VXLAN и туннелей GENEVE реализована возможность обработки ICMP-пакетов «Destination Unreachable», «Packet Too Big» и «Redirect Message», что решило проблему с невозможностью использовать перенаправления маршрутов и Path MTU Discovery в VXLAN и GENEVE.
  • Экспериментальая реализация подсистемы XDP (eXpress Data Path), позволяющей в Linux запускать BPF-программы на уровне сетевого драйвера с возможностью прямого доступа к DMA-буферу пакетов и на стадии до выделения буфера skbuff сетевым стеком, а также компоненты eBPF, синхронизированы с ядром Linux 5.0. Добавлена экспериментальная поддержка подсистемы ядра AF_XDP (eXpress Data Path);
  • Обеспечена полная поддержка сетевого протокола TIPC (Transparent Inter-process Communication), предназначенного для организации межпроцессного взаимодействия в кластере. Протокол предоставляет средства для быстрого и надёжного взаимодействия приложений, независимо от того, на каких узлах в кластере они выполняются;
  • В initramfs добавлен новый режим сохранения дампа ядра в случае сбоя — «early kdump«, работающий на ранних стадия загрузки;
  • Добавлен новый параметр ядра ipcmni_extend, расширяющий лимит идентификаторов IPC c 32 KB (15 бит) 16 MB (24 бита), что позволяет приложениям использовать больше сегментов разделяемой памяти;
  • Ipset обновлён до выпуска 7.1 c поддержкой операций IPSET_CMD_GET_BYNAME и IPSET_CMD_GET_BYINDEX;
  • Демон rngd, выполняющий наполнение пула энтропии генератора псевдослучайных чисел, избавлен от необходимости запуска с правами root;
  • Обеспечена полная поддержка Intel OPA (Omni-Path Architecture) для оборудования с Host Fabric Interface (HFI) и полная поддержка устройств постоянной памяти Intel Optane DC Persistent Memory.
  • В отладочных ядрах по умолчанию включена сборка с детектором неопределенного поведения UBSAN (Undefined Behavior Sanitizer), добавляющем в скомпилированный код дополнительные проверки для выявления ситуаций, когда поведение программы становится неопределенным (например, использование нестатических переменных до их инициализации, деление целых чисел на ноль, переполнения целочисленных знаковых типов, разыменование указателей NULL, проблемы с выравниванием указателей и т.п.);
  • Дерево исходных текстов ядра с расширениями для работы в режиме реального времени (kernel-rt) синхронизировано с кодом основного ядра RHEL 8;
  • Добавдлен драйвер ibmvnic для сетевого контроллера vNIC (Virtual Network Interface Controller) с реализацией технологии виртуальных сетей PowerVM. При применении совместно с SR-IOV NIC новый драйвер позволяет обеспечить управление пропускной способностью и качеством сервиса на уровне виртуального сетевого адаптера, существенно снижая накладные расходы в результате виртуализации и уменьшая нагрузку на CPU;
  • Добавлена поддержка расширений по контролю целостности данных (Data Integrity Extensions), которые позволяют защитить данные от их повреждения при записи в хранилище за счёт сохранения дополнительных корректирующих блоков;
  • Добавлена экспериментальная поддержка (Technology Preview) пакета nmstate, предоставляющего библиотеку и утилиту nmstatectl для управления сетевыми настройками через декларативный API (состояние сети описывается в форме предопределённой схемы);
  • Добавлена экспериментальная поддержка реализации протокола TLS на уровне ядра (KTLS) с шифрвоанием на базе AES-GCM, а также экспериментальная поддержка OverlayFS, cgroup v2, Stratis, mdev (Intel vGPU) и DAX (прямой доступ к ФС в обход страничного кэша без применения уровня блочных устройств) в ext4 и XFS;
  • Объявлена устаревшей поддержка DSA, TLS 1.0 и TLS 1.1, которые исключены из набора DEFAULT и перенесены в LEGACY («update-crypto-policies —set LEGACY»);
  • Объявлены устаревшими пакеты 389-ds-base-legacy-tools, authd, custodia, hostname, libidn, net-tools, network-scripts, nss-pam-ldapd, sendmail, yp-tools, ypbind и ypserv. В будущем значительном выпуске их поставка может быть прекращена;
  • Скрипты ifup и ifdown заменены на обвязки, вызывающие NetworkManager через nmcli (для возвращения старых скриптов нужно выполнить «yum install network-scripts»).

Источник: http://www.opennet.ru/opennews/art.shtml?num=51818