Компания Red Hat выпустила (https://www.redhat.com/en/about/press-releases/red-hat-stren...) дистрибутив Red Hat Enterprise Linux 7.5. Ветка RHEL 7.x будет поддерживаться до июня 2024 года. Установочные образы RHEL 7.5 доступны (https://access.redhat.com/downloads/) для загрузки только зарегистрированным пользователям Red Hat Customer Portal и подготовлены для архитектур x86+64, IBM POWER7+, POWER8 (big endian и little endian) и IBM System z. Исходные тексты пакетов можно загрузить из Git-репозитория (https://git.centos.org/project/rpms) проекта CentOS. Основные новшества (https://access.redhat.com/documentation/en-US/Red_Hat_Enterp...):
-
Рабочий стол
- Обеспечена предварительная поддержка сеанса GNOME на базе Wayland;
- Для подбора оптимального размера элементов на экранах с высокой плотностью пикселей (HiDPI) добавлена возможность дробного масштабирования (например, теперь можно увеличить элемент не в 2 раза, а в 1.5). Дробное масштабирование доступно только при использовании Wayland;
- Рабочий стол GNOME обновлён до выпуска 3.26 (https://www.opennet.ru/opennews/art.shtml?num=47193) (в прошлой версии RHEL использовался GNOME 3.22);
- В состав включен QGnomePlatform (https://www.opennet.ru/opennews/art.shtml?num=47262), плагин для бесшовного отображения Qt-приложений в окружениях на базе GTK+;
- В состав включена библиотека libyami (https://www.opennet.ru/opennews/art.shtml?num=44610) (Yet Another Media Infrastructure), предоставляющая средства для декодировния видео с использованием механизмов аппаратного ускорения, предоставляемых устройствами на базе аппратных платформ Intel;
- В состав включена библиотека libva, реализующая программный интерфейс VA-API (Video Acceleration API), предложенный Intel для замены XvMC;
- В GStreamer добавлена поддержка формата MP3, реализованного с использованием библиотеки libmpeg123;
- Добавлена поддержка переменной окружения SANE_USB_WORKAROUND, позволяющая решить проблемы с подключением старых сканеров через порт USB3;
- Обновлены версии пользовательских пакетов: LibreOffice 5.3 (https://www.opennet.ru/opennews/art.shtml?num=45959), GIMP 3.8.22 (https://www.opennet.ru/opennews/art.shtml?num=46536), Inkscape 0.92.2 (https://www.opennet.ru/opennews/art.shtml?num=45813), WebKitGtk 2.16, Qt 5.9.2, ModemManager 1.6.8;
- В Vim добавлена поддержка подсветки синтаксиса конструкций C++11;
-
Безопасность
- По умолчанию включен механизм рандомизации адресного пространства ядра (KASLR), который позволяет увеличить стойкость к некоторым видам атак, эксплуатирующих уязвимости в ядре, за счёт формирования случайной раскладки кода ядра в памяти при каждой загрузке;
- Добавлена возможность мультиплексирования доступа к NVIDIA GPU из разных гостевых систем;
- Улучшена поддержка технологии NBDE (Network Bound Disk Encryption), позволяющей шифровать содержимое разделов дисках без необходимости ручного ввода пароля в процессе загрузки. Для шифрованых разделов на внешних накопителей добавлена поддержка автоматической разблокировки раздела. Добавлена поддержка автоматической разблокировки шифрованных сетевых разделов;
- Для архитектур IBM POWER8, IBM POWER9 (little-endian) и IBM z System добавлена поддержка виртуализации с использованием гипервизора KVM;
- По умолчанию отключена поддержка ненадёжных шифров 3DES;
- Для новых моделей серверных процессоров Intel добавлена поддержка механизма PKU (Memory Protection Keys for Userspace), который можно применять для защиты доступа к страницам памяти из пространства пользователя, без изменения таблиц страниц памяти при изменении домена защиты;
- В mod_ssd отключена поддержка SSLv3;
- OpenSSH добавлена поддержка аппаратных модулей HSM, поддерживаемых пакетами openssl-ibmca и openssl-ibmpkcs11;
- Для systemd в SELinux активирована политика, запрещающая смену прав доступа (nosuid);
- Для гостевых систем, работающих на хостах с CPU Intel Cannonlake, представлена поддержка набора инструкций SMAP (Supervisor Mode Access Prevention). SMAP позволяет блокировать доступ к данным в пространстве пользователя из привилегированного кода, выполняемого на уровне ядра.
-
Сетевые возможности
- Увеличена стабильность и производительность компонентов для интеграции с Active Directory. Добавлена поддержка появившихся в Windows Server 2016 функциональных уровней лесов (Forest) и доменов (Domain), позволяющих устанавливать доверительную связь между лесами при помощи инструментов управления идентификацией. Улучшена обработка конфликтующих записей при репликации Directory Server и прекращён показ конфликтов в результатах поиска. Пакет OpenLDAP собран с OpenSSL вместо NSS. Версия Samba обновлена до 4.7.1 (https://www.opennet.ru/opennews/art.shtml?num=47245). Включён по умолчанию протокол SMB3. Внесены улучшения в работу SSSD (System Security Services Daemon), например, повышена эффективность кэширования, а в LDAP-провадере обеспечено назначение отдельной группы для каждого пользователя. Добавлена утилита ds-replcheck для сравнения состояний двух серверов директорий. Для обеспечения совместимости в сервер директорий добавлена поддержка схем хранения паролей CRYPT-MD5,
CRYPT-SHA256 и CRYPT-SHA512;
- В tcpdump добавлена возможность анализа трафика на интерфейсах virtio;
- Для протоколов SMB 2 и SMB 3 реализована возможность монтирования разделов в режиме DFS (Distributed File System) и добавлена поддержка создания шифрованных соединений;
- В файлах конфигурации ifcfg-* появились новые опции ARPUPDATE для управления отправкой ARP-обновлений и DNS3 для определения третьего DNS-сервера;
- В ipset добавлена поддержка изоляции с применением пространств имён сетевой подсистемы (network namespaces);
- В NetworkManager добавлена поддержка множественных таблиц маршрутизации и возможность настройки маршрутизации от источника (source routing). Добавлена опция ipv4.dhcp-timeout, через которую можно включить бесконечное продолжение попыток получения адреса по DHCP;
- В сервер DHCP добавлена поддержка обновления записей в DNS при помощи механизма DNS UPDATE (https://tools.ietf.org/html/rfc2136). Для усиления безопасности Dynamic DNS (DDNS) добавлена поддержка алгоритмов HMAC-SHA1, HMAC-SHA224, HMAC-SHA256, HMAC-SHA384 и HMAC-SHA512;
- Обновлены сетевые пакеты: nftables 0.8, iproute2 4.11.0, unbound 1.6.6,
- Добавлена возможность обращения к dbus для процессов с другого хоста (например, с пробросом через SSH);
- В virt-v2v добавлена поддержка преобразования гостевых систем VMware со снапшотами и гостевых сисетем в которых применяется шифрованиее LUKS;
-
Системы хранения
- В редактор разделов parted добавлена команда resizepart для изменения размера дискового раздела. В fsadm добавлена возможность расширения или уменьшения шифрованных LVM-разделов LUKS;
- Для файловой системы ext4 ускорено выполнение операций проверки квот;
- Добавлен модуль Virtual Data Optimizer (VDO), предоставляющий виртуальное блочное устройство с поддержкой дедупликации и сжатия данных, а также увеличения размера по мере наступления необходимости. Модуль пока доступен только для архитектур AMD64 и Intel 64;
- В состав включена новая утилита командной строки boom и API для добавления записей в загрузчик для загрузки со снапшотов LVM и системных образов;
- В пакет smartmontools добавлена поддержка накопителей NVMe;
- Обеспечена полная поддержка SCSI T10 DIF/DIX для некоторых хост-адаптеров шины (HBA);
- Добавлена экспериментальная реализация клиента CephFS, работающая на уровне ядра;
- В ext4 XFS добавлена экспериментальная поддержка DAX (прямой доступ к ФС в обход страничного кэша без применения уровня блочных устройств);
-
Системные изменения
- Для архитектур ARM64, IBM POWER9 (little endian) и ...
URL: https://www.redhat.com/en/about/press-releases/red-hat-stren...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48425