Red Hat Training
A Red Hat training course is available for RHEL 8
Capítulo 5. Lançamento RHEL 8.0.0
5.1. Novas características
Esta parte descreve os novos recursos e as principais melhorias introduzidas no Red Hat Enterprise Linux 8.
5.1.1. O console web
A página de Assinaturas do console web é agora fornecida pelo novo pacote de gerenciador de assinaturas-cockpit
.
Uma interface de firewall foi adicionada ao console web
A página Networking no console web RHEL 8 agora inclui uma seção Firewall. Nesta seção, os usuários podem ativar ou desativar o firewall, assim como adicionar, remover e modificar as regras do firewall.
(BZ#1647110)
O console web agora está disponível por padrão
Os pacotes para o console web RHEL 8, também conhecido como Cockpit, agora fazem parte dos repositórios default do Red Hat Enterprise Linux, e podem, portanto, ser imediatamente instalados em um sistema RHEL 8 registrado.
Além disso, em uma instalação não mínima do RHEL 8, o console web é instalado automaticamente e as portas de firewall exigidas pelo console são automaticamente abertas. Uma mensagem do sistema também foi adicionada antes do login que fornece informações sobre como habilitar ou acessar o console web.
(JIRA:RHELPLAN-10355)
Melhor integração IdM para o console web
Se seu sistema estiver registrado em um domínio de Gerenciamento de Identidade (IdM), o console web RHEL 8 agora utiliza os recursos de gerenciamento central de IdM do domínio por padrão. Isto inclui os seguintes benefícios:
- Os administradores do domínio IdM podem usar o console web para gerenciar a máquina local.
- O servidor web do console muda automaticamente para um certificado emitido pela autoridade certificadora da IdM (CA) e aceito pelos navegadores.
- Os usuários com um bilhete Kerberos no domínio IdM não precisam fornecer credenciais de login para acessar o console web.
- Os hosts SSH conhecidos para o domínio IdM são acessíveis ao console web sem a necessidade de adicionar manualmente uma conexão SSH.
Note que para que a integração do IdM com o console web funcione corretamente, o usuário primeiro precisa executar o utilitário ipa-advise
com a opção enable-admins-sudo
no sistema mestre do IdM.
(JIRA:RHELPLAN-3010)
O console web agora é compatível com navegadores móveis
Com esta atualização, os menus e páginas do console web podem ser navegados em variantes de navegadores móveis. Isto torna possível gerenciar sistemas usando o console web RHEL 8 a partir de um dispositivo móvel.
(JIRA:RHELPLAN-10352)
A página inicial do console web agora exibe atualizações e assinaturas em falta
Se um sistema gerenciado pelo console web RHEL 8 tiver pacotes desatualizados ou uma assinatura caducada, um aviso é agora exibido na página principal do console web do sistema.
(JIRA:RHELPLAN-10353)
O console web agora suporta a inscrição de PBD
Com esta atualização, você pode usar a interface do console web RHEL 8 para aplicar as regras de Decriptação Baseada em Políticas (PBD) a discos em sistemas gerenciados. Isto utiliza o cliente de decriptação Clevis para facilitar uma variedade de funções de gerenciamento de segurança no console web, como o desbloqueio automático de partições de disco criptografadas pelo LUKS.
(JIRA:RHELPLAN-10354)
As máquinas virtuais podem agora ser gerenciadas usando o console web
A página de Máquinas Virtuais
pode agora ser adicionada à interface do console web RHEL 8, que permite ao usuário criar e gerenciar máquinas virtuais baseadas em libvírus.
(JIRA:RHELPLAN-2896)
5.1.2. Instalador e criação de imagem
A instalação da RHEL a partir de um DVD usando SE e HMC é agora totalmente suportada no IBM Z
A instalação do Red Hat Enterprise Linux 8 no hardware IBM Z a partir de um DVD usando o Support Element (SE) e Hardware Management Console (HMC) é agora totalmente suportada. Esta adição simplifica o processo de instalação no IBM Z com SE e HMC.
Ao inicializar a partir de um DVD binário, o instalador solicita ao usuário que introduza parâmetros adicionais do kernel. Para definir o DVD como fonte de instalação, anexe inst.repo=hmc
aos parâmetros do kernel. O instalador então habilita o acesso aos arquivos SE e HMC, vai buscar as imagens para o estágio2 do DVD e fornece acesso aos pacotes no DVD para seleção de software.
O novo recurso elimina a necessidade de uma configuração de rede externa e expande as opções de instalação.
(BZ#1500792)
O instalador agora suporta o formato de criptografia de disco LUKS2
O instalador do Red Hat Enterprise Linux 8 agora usa o formato LUKS2 por default, mas você pode selecionar uma versão LUKS a partir da janela Anaconda’s Particionamento Personalizado ou usando as novas opções nos comandos Kickstart's autopart
, logvol
, part
e RAID
.
LUKS2 oferece muitas melhorias e características, por exemplo, amplia as capacidades do formato em disco e oferece formas flexíveis de armazenamento de metadados.
(BZ#1547908)
Anaconda suporta Sistema Propósito no RHEL 8
Anteriormente, Anaconda não fornecia informações sobre a finalidade do sistema para Subscription Manager. No Red Hat Enterprise Linux 8.0, você pode definir o propósito pretendido do sistema durante a instalação, usando a janela Propósito do Sistema
Anaconda’s ou o comando Kickstart's syspurpose
. Quando a instalação estiver completa, Subscription Manager usa as informações sobre o propósito do sistema ao assinar o sistema.
(BZ#1612060)
Pykickstart
suporta Sistema Objetivo no RHEL 8
Anteriormente, não era possível para a biblioteca pykickstart
fornecer informações sobre a finalidade do sistema para Subscription Manager. No Red Hat Enterprise Linux 8.0, o pykickstart
analisa o novo comando syspurpose
e registra o propósito pretendido do sistema durante a instalação automatizada e parcialmente automatizada. As informações são então passadas para Anaconda, salvas no sistema recém-instalado, e disponíveis para Subscription Manager ao assinar o sistema.
(BZ#1612061)
Anaconda suporta um novo parâmetro de inicialização do kernel no RHEL 8
Anteriormente, você só podia especificar um repositório base a partir dos parâmetros de inicialização do kernel. No Red Hat Enterprise Linux 8, um novo parâmetro do kernel, inst.addrepo=<name>,<url>
, permite que você especifique um repositório adicional durante a instalação.
Este parâmetro tem dois valores obrigatórios: o nome do repositório e a URL que aponta para o repositório. Para mais informações, veja https://anaconda-installer.readthedocs.io/en/latest/boot-options.html#inst-addrepo
(BZ#1595415)
Anaconda suporta uma ISO unificada no RHEL 8
No Red Hat Enterprise Linux 8.0, uma ISO unificada carrega automaticamente os repositórios de fontes de instalação do BaseOS e AppStream.
Este recurso funciona para o primeiro repositório base que é carregado durante a instalação. Por exemplo, se você iniciar a instalação sem nenhum repositório configurado e tiver a ISO unificada como o repositório base na GUI, ou se você iniciar a instalação usando a opção inst.repo=
que aponta para a ISO unificada. Como resultado, o repositório AppStream é habilitado na seção Additional Repositories da janela da GUI Installation Source. Você não pode remover o repositório AppStream ou alterar suas configurações, mas você pode desativá-lo em Installation Source. Este recurso não funciona se você iniciar a instalação usando um repositório base diferente e depois alterá-lo para a ISO unificada. Se você fizer isso, o repositório base é substituído. Entretanto, o repositório AppStream não é substituído e aponta para o arquivo original.
(BZ#1610806)
O Anaconda pode instalar pacotes modulares em scripts Kickstart
O instalador Anaconda foi ampliado para lidar com todas as características relacionadas aos fluxos de aplicação: módulos, fluxos e perfis. Os Kickstart scripts podem agora habilitar combinações de módulos e fluxos, instalar perfis de módulos e instalar pacotes modulares. Para mais informações, consulte Execução de uma instalação RHEL avançada.
(JIRA:RHELPLAN-1943)
A opção de inicialização nosmt
está agora disponível nas opções de instalação do RHEL 8
A opção de inicialização nosmt
está disponível nas opções de instalação que são passadas para um sistema RHEL 8 recém-instalado.
(BZ#1677411)
O RHEL 8 suporta a instalação a partir de um repositório em um disco rígido local
Anteriormente, a instalação da RHEL a partir de um disco rígido exigia uma imagem ISO como fonte de instalação. Entretanto, a imagem ISO RHEL 8 pode ser muito grande para alguns sistemas de arquivos; por exemplo, o sistema de arquivos FAT32 não pode armazenar arquivos maiores que 4 GiB.
No RHEL 8, você pode permitir a instalação a partir de um repositório em um disco rígido local. Você só precisa especificar o diretório em vez da imagem ISO. Por exemplo: `inst.repo=hd:<device>:<path para o repositório >``
(BZ#1502323)
Criação de imagens personalizadas do sistema com o Image Builder está disponível no RHEL 8
A ferramenta Image Builder permite que os usuários criem imagens RHEL personalizadas. O Image Builder está disponível em AppStream no lorax-composer pacote.
Com o Image Builder, os usuários podem criar imagens personalizadas do sistema que incluem pacotes adicionais. A funcionalidade do Image Builder pode ser acessada através dele:
- uma interface gráfica do usuário no console web
-
uma interface de linha de comando na ferramenta
composer-cli
.
Os formatos de saída do Image Builder incluem, entre outros:
- imagem de disco ISO ao vivo
- arquivo qcow2 para uso direto com uma máquina virtual ou OpenStack
- arquivo de imagem do sistema de arquivos
- imagens de nuvens para Azure, VMWare e AWS
Para saber mais sobre o Image Builder, veja o título da documentação Composição de uma imagem personalizada do sistema RHEL.
(JIRA:RHELPLAN-7291, BZ#1628645, BZ#1628646, BZ#1628647, BZ#1628648)
5.1.3. Kernel
Versão do Kernel em RHEL 8.0
O Red Hat Enterprise Linux 8.0 é distribuído com o kernel versão 4.18.0-80.
(BZ#1797671)
O endereçamento físico ARM de 52 bits já está disponível
Com esta atualização, está disponível suporte para endereçamento físico de 52 bits (PA) para a arquitetura ARM de 64 bits. Isto fornece um espaço de endereçamento maior do que o anterior PA de 48 bits.
(BZ#1643522)
O código IOMMU suporta tabelas de 5 níveis de página no RHEL 8
O código da unidade de gerenciamento de memória I/O (IOMMU) no kernel Linux foi atualizado para suportar tabelas de páginas de 5 níveis no Red Hat Enterprise Linux 8.
(BZ#1485546)
Suporte para paginação em 5 níveis
O novo tipo de tabela de páginas de software P4d_t
foi adicionado ao kernel Linux para suportar paginação em 5 níveis no Red Hat Enterprise Linux 8.
(BZ#1485532)
O gerenciamento de memória suporta tabelas de 5 níveis de página
Com o Red Hat Enterprise Linux 7, o barramento de memória existente tinha 48/46 bits de capacidade de endereçamento de memória virtual/física, e o kernel Linux implementou 4 níveis de tabelas de páginas para gerenciar esses endereços virtuais para endereços físicos. A linha de endereçamento do barramento físico colocou a capacidade limite superior de memória física em 64 TB.
Estes limites foram estendidos para 57/52 bits de endereçamento de memória virtual/física com 128 PiB de espaço de endereçamento virtual e 4 PB de capacidade de memória física.
Com a faixa de endereços ampliada, o gerenciamento de memória no Red Hat Enterprise Linux 8 adiciona suporte para a implementação da tabela de 5 níveis de página, para poder lidar com a faixa de endereços ampliada.
(BZ#1485525)
kernel-signing-ca.cer
é movido para kernel-core
no RHEL 8
Em todas as versões do Red Hat Enterprise Linux 7, a chave pública do kernel-signing-ca.cer
estava localizada no pacote kernel-doc
. Entretanto, no Red Hat Enterprise Linux 8, o kernel-signing-ca.cer
foi realocado para o pacote kernel-core
para cada arquitetura.
(BZ#1638465)
O padrão de mitigação Spectre V2 mudou de IBRS para Retpolines
A mitigação padrão da vulnerabilidade do Spectre V2 (CVE-2017-5715) para sistemas com Processadores Intel Core da 6ª Geração e seus derivados próximos [1] mudou de Indirect Branch Restricted Speculation (IBRS) para Retpolines no Red Hat Enterprise Linux 8. A Red Hat implementou esta mudança como resultado das recomendações da Intel para se alinhar com os padrões usados na comunidade Linux e para restaurar o desempenho perdido. Entretanto, observe que o uso de Retpolines em alguns casos pode não mitigar totalmente o Spectre V2. O documento Retpoline da Intel [2] descreve quaisquer casos de exposição. Este documento também declara que o risco de um ataque é baixo.
Para casos de uso onde a mitigação completa do Spectre V2 é desejada, um usuário pode selecionar o IBRS através da linha de inicialização do kernel adicionando a bandeira spectre_v2=ibrs
.
Se um ou mais módulos do kernel não foram construídos com o suporte Retpoline, o arquivo /sys/devices/system/cpu/vulnerabilities/spectre_v2
indicará vulnerabilidade e o arquivo /var/log/messages
identificará os módulos ofensivos. Veja Como determinar quais módulos são responsáveis pelo retorno de spectre_v2 "Vulnerável": Retpoline com módulo(s) inseguro(s)}"? para maiores informações.
1] "Processadores Intel Core da 6ª geração e seus derivados próximos" são o que o documento Retpolines da Intel se refere como "Skylake-generation".
[2] Retpolina: A Branch Target Injection Mitigation - White Paper
(BZ#1651806)
Software hospedeiro Intel® Omni-Path Architecture (OPA)
O software hospedeiro Intel Omni-Path Architecture (OPA) é totalmente suportado no Red Hat Enterprise Linux 8.
A Intel OPA fornece hardware Host Fabric Interface (HFI) com inicialização e configuração para transferências de dados de alto desempenho (alta largura de banda, alta taxa de mensagens, baixa latência) entre os nós de computação e de E/S em um ambiente agrupado.
Para instruções sobre a instalação da documentação da arquitetura Intel Omni-Path, consulte: https://www.intel.com/content/dam/support/us/en/documents/network-and-i-o/fabric-products/Intel_OP_Software_RHEL_8_RN_K51383.pdf
NUMA suporta mais nós no RHEL 8
Com esta atualização, a contagem de nós NUMA (Non-Uniform Memory Access) foi aumentada de 4 nós NUMA para 8 nós NUMA no Red Hat Enterprise Linux 8 em sistemas com a arquitetura ARM de 64 bits.
(BZ#1550498)
A IOMMU passthrough está agora habilitada por padrão no RHEL 8
A passagem da Unidade de Gerenciamento de Memória de Entrada/Saída (IOMMU) foi habilitada por padrão. Isto proporciona melhor desempenho para os sistemas AMD porque o remapeamento do Acesso Direto à Memória (DMA) está desativado para o host. Esta atualização traz consistência com os sistemas Intel onde o remapeamento do DMA também está desabilitado por padrão. Os usuários podem desabilitar tal comportamento (e habilitar o remapeamento do DMA) especificando os parâmetros iommu.passthrough=off
ou iommu=nopt
na linha de comando do kernel, incluindo o hypervisor.
(BZ#1658391)
O kernel RHEL8 agora suporta tabelas de 5 níveis de página
O núcleo do Red Hat Enterprise Linux agora suporta totalmente os futuros processadores Intel com até 5 níveis de tabelas de páginas. Isto permite que os processadores suportem até 4PB de memória física e 128PB de espaço de endereços virtuais. As aplicações que utilizam grandes quantidades de memória podem agora usar a maior quantidade possível de memória fornecida pelo sistema sem as restrições de tabelas de 4 níveis de páginas.
(BZ#1623590)
O kernel RHEL8 suporta IBRS aprimorado para futuras CPUs Intel
O kernel do Red Hat Enterprise Linux agora suporta o uso da capacidade aprimorada de Especulação Restrita Indireta (IBRS) para mitigar a vulnerabilidade do Spectre V2. Quando ativado, o IBRS terá um desempenho melhor que o das Retpolines (default) para mitigar o Spectre V2 e não interferirá com a tecnologia Intel Control-flow Enforcement. Como resultado, a penalidade de desempenho de permitir a mitigação do Spectre V2 será menor nas CPUs futuras da Intel.
(BZ#1614144)
bpftool
para inspeção e manipulação de programas e mapas baseados em eBPF adicionado
O utilitário bpftool
que serve para inspeção e manipulação simples de programas e mapas baseados na Filtragem de Pacotes Berkeley estendida (eBPF) foi adicionado ao kernel do Linux. bpftool
é uma parte da árvore de fontes do kernel, e é fornecido pelo pacote bpftool, que está incluído como um sub-pacote do pacote kernel.
(BZ#1559607)
As fontes do kernel-rt
foram atualizadas
As fontes de kernel-rt
foram atualizadas para utilizar a última árvore de fontes do kernel RHEL. A última árvore de fontes do kernel está agora usando o conjunto de correções em tempo real upstream v4.18, que fornece uma série de correções de bugs e melhorias em relação à versão anterior.
(BZ#1592977)
5.1.4. Gestão de software
YUM melhoria do desempenho e suporte para conteúdo modular
No Red Hat Enterprise Linux 8, a instalação do software é assegurada pela nova versão da ferramenta YUM, que é baseada na tecnologia DNF (YUM v4).
YUM v4 tem as seguintes vantagens em relação ao anterior YUM v3 utilizado no RHEL 7:
- Aumento do desempenho
- Suporte para conteúdo modular
- API estável e bem projetada para integração com ferramentas
Para informações detalhadas sobre as diferenças entre a nova ferramenta YUM v4 e a versão anterior YUM v3 da RHEL 7, veja Mudanças no DNF CLI em comparação com o YUM.
YUM v4 é compatível com YUM v3 ao usar da linha de comando, editar ou criar arquivos de configuração.
Para instalar o software, você pode usar o comando yum
e suas opções particulares da mesma forma que no RHEL 7.
Plug-ins e utilitários selecionados foram portados para o novo DNF back end, e podem ser instalados com os mesmos nomes que no RHEL 7. Eles também fornecem links simbólicos de compatibilidade, para que os binários, arquivos de configuração e diretórios possam ser encontrados nos locais habituais.
Note que o API Python API legado fornecido por YUM v3 não está mais disponível. Os usuários são aconselhados a migrar seus plug-ins e scripts para a nova API fornecida por YUM v4 (DNF Python API), que é estável e totalmente suportada. O DNF Python API está disponível no DNF API Reference.
As APIs Libdnf e Hawkey (ambas C e Python) são instáveis, e provavelmente mudarão durante o ciclo de vida do Red Hat Enterprise Linux 8.
Para mais detalhes sobre mudanças na disponibilidade de pacotes e ferramentas YUM, veja Considerações sobre a adoção do RHEL 8.
Algumas das características do YUM v3 podem ter um comportamento diferente em YUM v4. Se qualquer mudança desse tipo impactar negativamente seus fluxos de trabalho, favor abrir um caso com o Suporte Red Hat, conforme descrito em Como abro e administro um caso de suporte no Portal do Cliente?
(BZ#1581198)
Características RPM notáveis no RHEL 8
O Red Hat Enterprise Linux 8 é distribuído com RPM 4.14. Esta versão introduz muitas melhorias em relação ao RPM 4.11, que está disponível no RHEL 7. As características mais notáveis incluem:
-
Os pacotes
de debuginfo
podem ser instalados em paralelo - Apoio para dependências fracas
- Apoio para dependências ricas ou booleanas
- Suporte para arquivos de embalagem acima de 4 GB de tamanho
- Suporte para acionadores de arquivos
Além disso, as mudanças mais notáveis incluem:
- Mais estrito para os parcerios de especificações
- Assinatura simplificada verificando a saída em modo não-verbose
- Adições e depreciações em macros
(BZ#1581990)
RPM agora valida todo o conteúdo do pacote antes de iniciar uma instalação
No Red Hat Enterprise Linux 7, o utilitário RPM verificou o conteúdo da carga útil de arquivos individuais enquanto desempacotava. No entanto, isto é insuficiente por múltiplas razões:
- Se a carga útil for danificada, ela só é notada após a execução de ações de script, que são irreversíveis.
- Se a carga útil for danificada, a atualização de um pacote é abortada após a substituição de alguns arquivos da versão anterior, o que quebra uma instalação em funcionamento.
- Os hashes em arquivos individuais são feitos em dados não compactados, o que torna RPM vulnerável a vulnerabilidades do descompressor.
No Red Hat Enterprise Linux 8, o pacote inteiro é validado antes da instalação em uma etapa separada, usando o melhor hash disponível.
Os pacotes construídos no Red Hat Enterprise Linux 8 usam um novo hash SHA-256
na carga útil comprimida. Em pacotes assinados, o hash de carga útil é protegido adicionalmente pela assinatura e, portanto, não pode ser alterado sem quebrar uma assinatura e outros hashes no cabeçalho do pacote. Pacotes mais antigos usam o hash MD5
do cabeçalho e da carga útil, a menos que seja desativado pela configuração.
A macro %_pkgverify_level
pode ser usada para permitir adicionalmente a verificação da assinatura antes da instalação ou desativar completamente a verificação da carga útil. Além disso, a macro %_pkgverify_flags
pode ser usada para limitar quais hashes e assinaturas são permitidos. Por exemplo, é possível desativar o uso do hash MD5
fraco ao custo de compatibilidade com pacotes mais antigos.
(JIRA:RHELPLAN-10596)
5.1.5. Serviços de infra-estrutura
Mudanças notáveis no perfil sintonizado recomendado no RHEL 8
Com esta atualização, o perfil sintonizado recomendado (reportado pelo comando recomendado de sintonização-adm
) é agora selecionado com base nas seguintes regras - a primeira regra que combina entra em vigor:
Se a função
de sim propósito
(relatada pelo comandosyspurpose show
) contématômica
, e ao mesmo tempo:-
se o Tuned estiver rodando sobre metal nu, o perfil
atômico-anfitrião
é selecionado -
se Tuned estiver funcionando em uma máquina virtual, o perfil do
convidado atômico
é selecionado
-
se o Tuned estiver rodando sobre metal nu, o perfil
-
Se o Tuned estiver funcionando em uma máquina virtual, o perfil do
convidado virtual
é selecionado -
Se a função
de sincronização
contiverdesktop
ouestação de trabalho
e o tipo de chassi (reportado pordmidecode
) forNotebook
,Laptop
, ouPortable
, então o perfilbalanceado
é selecionado -
Se nenhuma das regras acima corresponder, o perfil de
desempenho de produção
é selecionado
(BZ#1565598)
Os arquivos produzidos por named podem ser escritos no diretório de trabalho
Anteriormente, o daemon named armazenava alguns dados no diretório de trabalho, que foi somente leitura no Red Hat Enterprise Linux. Com esta atualização, os caminhos foram alterados para arquivos selecionados em subdiretórios, onde a escrita é permitida. Agora, as permissões default do diretório Unix e SELinux permitem a escrita no diretório. Os arquivos distribuídos dentro do diretório ainda são somente leitura para named.
(BZ#1588592)
Os bancos de dados Geolite foram substituídos pelos Geolite2 Databases
Os Geolite Databases que estavam presentes no Red Hat Enterprise Linux 7 foram substituídos pelos Geolite2 Databases no Red Hat Enterprise Linux 8.
Os bancos de dados Geolite foram fornecidos pelo pacote GeoIP
. Este pacote junto com o banco de dados legado não é mais suportado no upstream.
Os bancos de dados Geolite2 são fornecidos por vários pacotes. O pacote libmaxminddb
inclui a biblioteca e a ferramenta de linha de comando mmdblookup
, que permite a busca manual de endereços. O binário geoipupdate
do pacote antigo GeoIP
agora é fornecido pelo pacote geoipupdate
, e é capaz de baixar tanto os bancos de dados antigos quanto os novos bancos de dados Geolite2.
(JIRA:RHELPLAN-6746)
Os logs do CUPS são tratados pelo journald
No RHEL 8, os registros CUPS não são mais armazenados em arquivos específicos dentro do diretório /var/log/cups
, que foi usado no RHEL 7. No RHEL 8, todos os tipos de logs CUPS são registrados centralmente no daemon do sistema de diário
junto com logs de outros programas. Para acessar os logs do CUPS, use o comando journalctl -u cups
. Para mais informações, consulte Trabalhando com os logs do CUPS.
(JIRA:RHELPLAN-12764)
Características notáveis do BIND no RHEL 8
RHEL 8 inclui o BIND (Berkeley Internet Name Domain) na versão 9.11. Esta versão do servidor DNS introduz múltiplas novas características e mudanças de características em comparação com a versão 9.10.
Novas características:
- Um novo método de provisionamento de servidores secundários chamado Catalog Zones foi adicionado.
-
Os Cookies do Sistema de Nome de Domínio são agora enviados pelo serviço
nomeado
e pelo utilitário deescavação
. - O recurso Response Rate Limiting agora pode ajudar na mitigação dos ataques de amplificação do DNS.
- O desempenho da zona de política de resposta (RPZ) foi melhorado.
-
Um novo formato de arquivo de zona chamado
mapa
foi adicionado. Os dados de zona armazenados neste formato podem ser mapeados diretamente na memória, o que permite que as zonas sejam carregadas significativamente mais rápido. -
Uma nova ferramenta chamada
delv
(busca e validação de entidades de domínio) foi adicionada, com semântica semelhante à escavação para procurar dados DNS e realizar a validação interna de Extensões de Segurança DNS (DNSSEC). -
Um novo comando
mdig
está agora disponível. Este comando é uma versão do comando`dig` que envia várias consultas pipelinadas e depois espera por respostas, em vez de enviar uma consulta e esperar pela resposta antes de enviar a próxima consulta. -
Uma nova opção de
pré-fetch
, que melhora o desempenho do resolvedor recursivo, foi adicionada. -
Uma nova opção de zona de
visualização
, que permite que os dados da zona sejam compartilhados entre as opiniões, foi adicionada. Quando esta opção é utilizada, várias visões podem servir as mesmas zonas com autoridade sem armazenar várias cópias na memória. -
Uma nova opção de
max-zone-ttl
, que impõe o máximo de TTLs para zonas, foi adicionada. Quando uma zona contendo um TTL superior é carregada, a carga falha. As atualizações do DNS dinâmico (DDNS) com TTLs superiores são aceitas, mas a TTL é truncada. - Novas cotas foram adicionadas para limitar consultas que são enviadas por resolvedores recursivos para servidores autorizados que sofrem ataques de negação de serviço.
-
O utilitário
nslookup
agora procura por padrão tanto endereços IPv6 quanto IPv4. -
O serviço
nomeado
agora verifica se outros processos de servidor de nomes estão sendo executados antes de iniciar. -
Ao carregar uma zona assinada,
nomeada
agora, verifica se o tempo de início de uma Assinatura de Registro de Recursos (RSIG) está no futuro e, se estiver, regenera o RRSIG imediatamente. - As transferências de zonas agora usam tamanhos de mensagem menores para melhorar a compressão de mensagens, o que reduz o uso da rede.
Mudanças nas características:
-
O esquema
XML
da versão3
para o canal de estatísticas, incluindo novas estatísticas e uma árvore XML achatada para uma análise mais rápida, é fornecido pela interface HTTP. O esquemaXML
herdado da versão2
não é mais suportado. -
O serviço
nomeado
agora ouve tanto em interfaces IPv6 como IPv4 por padrão. -
O serviço
nomeado
não suporta mais o GeoIP. Listas de controle de acesso (ACLs) definidas pela localização presumida do remetente da consulta não estão disponíveis.
(JIRA:RHELPLAN-1820)
5.1.6. Conchas e ferramentas de linha de comando
O usuário ninguém
substitui o nfsnobody
No Red Hat Enterprise Linux 7, havia:
-
o par de
ninguém
usuário e grupo com o ID de 99, e -
o par de usuários e grupos
nfsnobody
com o ID de 65534, que também é o ID padrão de sobrecarga do kernel.
Ambos foram fundidos no par de ninguém
usuário e grupo, que usa o ID 65534 no Red Hat Enterprise Linux 8. Novas instalações não criam mais o par nfsnobody
.
Esta mudança reduz a confusão sobre arquivos que não
são de propriedade de ninguém
, mas não têm nada a ver com o NFS.
(BZ#1591969)
Sistemas de controle de versão no RHEL 8
A RHEL 8 fornece os seguintes sistemas de controle de versão:
-
Git 2.18
, um sistema de controle de revisão distribuído com uma arquitetura descentralizada. -
Mercurial 4.8
, um sistema de controle de versão distribuída leve, projetado para o manuseio eficiente de grandes projetos. -
Subversion 1.10
, um sistema de controle de versão centralizado.
Observe que o Sistema de Versões Concorrentes (CVS) e o Sistema de Controle de Revisão (RCS), disponíveis no RHEL 7, não são distribuídos com o RHEL 8.
(BZ#1693775)
Mudanças notáveis no Subversion 1.10
Subversion 1.10
introduz uma série de novas características desde a versão 1.7 distribuída no RHEL 7, bem como as seguintes alterações de compatibilidade:
-
Devido a incompatibilidades nas bibliotecas do
Subversion
utilizadas para apoiar as ligações linguísticas, as ligaçõesPython 3
para oSubversion 1.10
não estão disponíveis. Como conseqüência, as aplicações que requerem encadernaçõesPython
para oSubversion
não são suportadas. -
Os repositórios baseados em
Berkeley DB
não são mais suportados. Antes de migrar, faça backup dos repositórios criados comSubversion 1.7
usando o comandosvnadmin dump
. Após instalar o RHEL 8, restaure os repositórios usando o comandosvnadmin load
. -
As cópias de trabalho existentes verificadas pelo cliente
Subversion 1.7
na RHEL 7 devem ser atualizadas para o novo formato antes de poderem ser usadas a partir doSubversion 1.10
. Após instalar o RHEL 8, executar o comando deatualização svn
em cada cópia de trabalho. -
A autenticação Smartcard para acessar os repositórios usando
https://
não é mais suportada.
(BZ#1571415)
Mudanças notáveis no dstat
O RHEL 8 é distribuído com uma nova versão da ferramenta dstat
. Esta ferramenta agora faz parte do conjunto de ferramentas do Performance Co-Pilot (PCP). O arquivo /usr/bin/dstat
e o nome do pacote dstat
é agora fornecido pelo pacote pcp-system-tools
.
A nova versão do dstat
introduz as seguintes melhorias em relação ao dstat
disponível no RHEL 7:
-
apoio
python3
- Análise histórica
- Análise do hospedeiro remoto
- Plugins de arquivo de configuração
- Novas métricas de desempenho
5.1.7. Linguagens de programação dinâmica, servidores web e de banco de dados
Python 3
é a implementação padrão Python
no RHEL 8
O Red Hat Enterprise Linux 8 é distribuído com o Python 3.6
. O pacote pode não ser instalado por default. Para instalar o Python 3.6
, use o comando yum install python3
.
Python 2.7
está disponível no pacote python2
. No entanto, Python 2
terá um ciclo de vida mais curto e seu objetivo é facilitar uma transição mais suave para Python 3
para os clientes.
Nem o pacote python
padrão nem o executável /usr/bin/python
não versionado é distribuído com o RHEL 8. Os clientes são aconselhados a usar o python3
ou python2
diretamente. Alternativamente, os administradores podem configurar o comando python
não versionado usando o comando alternativo
.
Para detalhes, veja Usando o Python no Red Hat Enterprise Linux 8.
(BZ#1580387)
Os scripts Python devem especificar a versão principal em hashbangs no tempo de construção RPM
No RHEL 8, os scripts Python executáveis devem usar hashbangs (shebangs) especificando explicitamente pelo menos a principal versão Python.
O script /usr/lib/rpm/redhat/brp-mangle-shebangs
buildroot policy (BRP) é executado automaticamente ao construir qualquer pacote RPM. Este script tenta corrigir hashbangs em todos os arquivos executáveis. Quando o script encontra hashbangs Python ambíguos que não especificam a versão principal do Python, ele gera erros e a compilação do RPM falha. Exemplos de tais hashbangs ambíguos incluem:
-
#! /usr/bin/pithon
-
#! /usr/bin/env python
Para modificar hashbangs nos scripts Python causando estes erros de construção em tempo de construção RPM, use o script pathfix.py
do pacote platform-python-devel:
pathfix.py -pn -i %{__python3} PATH...
Múltiplos PATHs podem ser especificados. Se um PATH é um diretório, o pathfix.py
escaneia recursivamente qualquer script Python que corresponda ao padrão ^[a-zA-Z0-9_] ^[a-zA-Z0-9_] py$
, não apenas aqueles com um hashbang ambíguo. Adicione o comando para executar pathfix.py
à seção %prep
ou ao final da seção %install
.
Para mais informações, consulte Manuseio de hashbangs em scripts Python.
(BZ#1583620)
Mudanças notáveis no PHP
O Red Hat Enterprise Linux 8 é distribuído com PHP 7.2
. Esta versão introduz as seguintes mudanças principais sobre o PHP 5.4
, que está disponível no RHEL 7:
-
PHP
usa FastCGI Process Manager (FPM) por padrão (seguro para uso com umhttpd
com rosca) -
As variáveis
php_value
ephp-flag
não devem mais ser usadas nos arquivos de configuraçãohttpd
; em vez disso, elas devem ser definidas na configuração de pool:/etc/php-fpm.d/*.conf
-
Os erros e avisos de script
PHP
são registrados no arquivo/var/log/php-fpm/wwww-error.log
em vez de/var/log/httpd/error.log
-
Ao alterar a variável de configuração PHP
max_execution_time
, a configuraçãohttpd
ProxyTimeout
deve ser aumentada para corresponder -
O usuário executando scripts
PHP
agora está configurado na configuração do pool FPM (o arquivo/etc/php-fpm.d/wwww.conf
; o usuárioapache
é o padrão) -
O serviço
php-fpm
precisa ser reiniciado após uma mudança de configuração ou após a instalação de uma nova extensão -
A extensão do
zip
foi movida do pacotephp-common
para um pacote separado,php-pecl-zip
As seguintes extensões foram removidas:
-
aspell
-
mysql
(note que as extensõesmysqli
epdo_mysql
ainda estão disponíveis, fornecidas pelo pacotephp-mysqlnd
) -
memcache
(BZ#1580430, BZ#1691688)
Mudanças notáveis em Ruby
A RHEL 8 fornece o Ruby 2.5
, que introduz inúmeras novas características e melhorias em relação ao Ruby 2.0.0
disponível no RHEL 7. As mudanças notáveis incluem:
- Foi adicionado um coletor de lixo incremental.
-
A sintaxe dos
Refinamentos
foi adicionada. - Os símbolos são agora coletados de lixo.
-
Os níveis de segurança
$SAFE=2
e$SAFE=3
estão agora obsoletos. -
As classes
Fixnum
eBignum
foram unificadas na classeInteger
. -
O desempenho foi melhorado otimizando a classe
Hash
, melhorando o acesso às variáveis de instância e sendo a classeMutex
menor e mais rápida. - Certas APIs antigas foram depreciadas.
-
Bibliotecas agrupadas, tais como
RubyGems
,Rake
,RDoc
,Psych
,Minitest
, etest-unit
, foram atualizadas. -
Outras bibliotecas, como
mathn
,DL
,ext/tk
eXMLRPC
, que antes eram distribuídas comRuby
, são depreciadas ou não estão mais incluídas. -
O esquema de versões
SemVer
é agora utilizado para as versõesRuby
.
(BZ#1648843)
Mudanças notáveis em Perl
Perl 5.26
, distribuído com o RHEL 8, introduz as seguintes mudanças em relação à versão disponível no RHEL 7:
-
O
Unicode 9.0
é agora suportado. -
Novas sondas
op-entry
,loading-file
, eload-file
SystemTap
são fornecidas. - O mecanismo de cópia-em-escrita é usado ao atribuir escalares para melhorar o desempenho.
-
O
IO::Socket::IP
módulo para manuseio de soquetes IPv4 e IPv6 foi adicionado de forma transparente. -
O módulo
Config::Perl::V
para acessar dadosperl -V
de forma estruturada foi adicionado. -
Um novo pacote
perl-App-cpanminus
foi adicionado, que contém o utilitáriocpanm
para obter, extrair, construir e instalar módulos do repositório Comprehensive Perl Archive Network (CPAN). -
O diretório atual
.
foi removido do caminho de busca do módulo@INC
por razões de segurança. -
A declaração
do do
agora retorna uma advertência de depreciação quando falha em carregar um arquivo por causa da mudança de comportamento descrita acima. -
A chamada
do subrotine(LIST)
não é mais suportada e resulta em um erro de sintaxe. -
Os hashes são randomizados por padrão agora. A ordem na qual chaves e valores são retornados a partir de um hash muda a cada execução do
perl
. Para desativar a randomização, defina a variável de ambientePERL_PERTURB_KEYS
para0
. -
Não são mais permitidos
{
caracteres em padrões de expressão regulares{
caracteres não escalonados} literalmente. -
O suporte de escopo léxico para a variável
$_
foi removido. -
A utilização do operador
definido
em uma matriz ou hash resulta em um erro fatal. -
A importação de funções do módulo
UNIVERSAL
resulta em um erro fatal. -
As ferramentas
find2perl
,s2p
,a2p
,c2ph
epstruct
foram removidas. -
A instalação de
${^ENCODING}
foi removida. O modo decodificação
padrão do pragma não é mais suportado. Para escrever o código fonte em outras codificações que nãoUTF-8
, use a opçãoFiltro
da codificação. -
A embalagem
perl
está agora alinhada com o upstream. A embalagemperl
também instala módulos principais, enquanto o/usr/bin/perl
intérprete é fornecido pela embalagemperl intérprete
. Em versões anteriores, o pacoteperl
incluía apenas um intérprete mínimo, enquanto que o pacoteperl-core
incluía tanto o intérprete quanto os módulos do núcleo. -
O módulo
IO::Socket::SSL
Perl não carrega mais um certificado de autoridade de certificado do arquivo./certs/my-ca.pem
ou do diretório./ca
, uma chave privada do servidor do arquivo./certs/server-key.pem
, um certificado do servidor do arquivo./certs/server-cert.pem
, uma chave privada do cliente do arquivo./certs/client-key.pem
e um certificado do cliente do arquivo./certs/client-cert.pem
. Especifique os caminhos para os arquivos explicitamente em seu lugar.
(BZ#1511131)
Node.js
novo na RHEL
Node.js
, uma plataforma de desenvolvimento de software para construir aplicações de rede rápidas e escaláveis na linguagem de programação JavaScript, é fornecida pela primeira vez na RHEL. Anteriormente, estava disponível apenas como uma Coleção de Software. A RHEL 8 fornece o Node.js 10
.
(BZ#1622118)
Mudanças notáveis no SWIG
RHEL 8 inclui o Empacotador Simplificado e o Gerador de Interface (SWIG) versão 3.0, que fornece inúmeras novas características, melhorias e correções de bugs sobre a versão 2.0 distribuída no RHEL 7. Mais notavelmente, o suporte para o padrão C 11 foi implementado. O SWIG
agora suporta também Go 1.6
, PHP 7
, Octave 4.2
, e Python 3.5
.
(BZ#1660051)
Mudanças notáveis no Apache httpd
O RHEL 8 é distribuído com o Servidor HTTP Apache 2.4.37. Esta versão introduz as seguintes mudanças sobre o httpd
disponível no RHEL 7:
-
O suporte HTTP/2 agora é fornecido pelo pacote
mod_http2
, que é parte do módulohttpd
. -
O provisionamento e renovação automatizada de certificados TLS usando o protocolo ACME (Automatic Certificate Management Environment) é agora suportado com o pacote
mod_md
(para uso com provedores de certificados comoLet's Encrypt
) -
O Servidor HTTP Apache agora suporta o carregamento de certificados TLS e chaves privadas de tokens de segurança de hardware diretamente dos módulos
PKCS#11
. Como resultado, uma configuraçãomod_ssl
pode agora usar URLsPKCS#11
para identificar a chave privada TLS e, opcionalmente, o certificado TLS nas diretrizesSSLCertificateKeyFile
eSSLCertificateFile
. -
O módulo multi-processamento (MPM) configurado por padrão com o Servidor HTTP Apache mudou de um modelo multi-processo, bifurcado (conhecido como
prefork
) para um modelo multi-tarefa de alto desempenho,evento
. Quaisquer módulos de terceiros que não sejam thread-safe precisam ser substituídos ou removidos. Para alterar o MPM configurado, edite o arquivo/etc/httpd/conf.modules.d/00-mpm.conf
. Veja a página de manualhttpd.conf(5)
para maiores informações.
Para maiores informações sobre mudanças no httpd
e sua utilização, veja Configurando o servidor web Apache HTTP.
(BZ#1632754, BZ#1527084, BZ#1581178)
O servidor web nginx
novo na RHEL
RHEL 8 apresenta o nginx 1.14
, um servidor web e proxy que suporta HTTP e outros protocolos, com foco em alta concorrência, desempenho e baixo uso de memória. nginx
estava anteriormente disponível apenas como uma Coleção de Software.
O servidor web nginx
agora suporta o carregamento de chaves privadas TLS a partir de fichas de segurança de hardware diretamente dos módulos PKCS#11
. Como resultado, uma configuração nginx
pode usar URLs PKCS#11
para identificar a chave privada TLS na diretiva ssl_certificate_key
.
(BZ#1545526)
Servidores de banco de dados no RHEL 8
A RHEL 8 fornece os seguintes servidores de banco de dados:
-
MySQL 8.
0, um servidor de banco de dados SQL multiusuário e multi-tarefa. Ele consiste no daemon servidorMySQL
,mysqld
e muitos programas clientes. -
MariaDB 10.3
, um servidor de banco de dados SQL multiusuário e multi-tarefa. Para todos os fins práticos,o MariaDB
é binário compatível com oMySQL
. -
PostgreSQL 10
ePostgreSQL 9.6
, um avançado sistema de gerenciamento de banco de dados objeto-relacional (SGBD). -
Redis 5
, uma loja de valores chave avançada. É freqüentemente referido como um servidor de estrutura de dados porque as chaves podem conter cordas, hashes, listas, conjuntos e conjuntos ordenados. ORedis
é fornecido pela primeira vez na RHEL.
Note que o servidor de banco de dados NoSQL MongoDB
não está incluído no RHEL 8.0 porque utiliza a Licença Pública do Lado do Servidor (SSPL).
(BZ#1647908)
Mudanças notáveis no MySQL 8.0
O RHEL 8 é distribuído com o MySQL 8.0
, que fornece, por exemplo, os seguintes aprimoramentos:
-
O MySQL
agora incorpora um dicionário de dados transacionais, que armazena informações sobre objetos de banco de dados. -
O MySQL
agora suporta papéis, que são coleções de privilégios. -
O conjunto de caracteres padrão foi alterado do
latin1
parautf8mb4
. - Foi adicionado suporte para expressões comuns de tabela, tanto não-recorrentes como recursivas.
-
O MySQL
agora suporta funções de janela, que realizam um cálculo para cada linha a partir de uma consulta, usando linhas relacionadas. -
A
InnoDB
agora suporta as opçõesNOWAIT
eSKIP LOCKED
com declarações de leitura de bloqueio. - As funções relacionadas ao SIG foram melhoradas.
- A funcionalidade do JSON foi melhorada.
-
Os novos pacotes
mariadb-connector-c
fornecem uma biblioteca cliente comum paraMySQL
eMariaDB
. Esta biblioteca é utilizável com qualquer versão dos servidores de banco de dadosMySQL
eMariaDB
. Como resultado, o usuário é capaz de conectar um build de uma aplicação a qualquer um dos servidoresMySQL
eMariaDB
distribuídos com o RHEL 8.
Além disso, o servidor MySQL 8.0
distribuído com RHEL 8 está configurado para usar mysql_native_password
como o plug-in padrão de autenticação porque as ferramentas e bibliotecas do cliente no RHEL 8 são incompatíveis com o método caching_sha2_password
, que é usado por padrão na versão upstream do MySQL 8.
0.
Para alterar o plug-in de autenticação padrão para caching_sha2_password
, edite o arquivo /etc/my.cnf.d/mysql-default-authentication-plugin.cnf
da seguinte forma:
[mysqld] default_authentication_plugin=caching_sha2_password
(BZ#1649891, BZ#1519450, BZ#1631400)
Mudanças notáveis no MariaDB 10.3
O MariaDB 10.3
oferece inúmeras novidades sobre a versão 5.5 distribuída na RHEL 7, como por exemplo:
- Expressões comuns da tabela
- Mesas de sistema-versão
-
PARA
laços - Colunas invisíveis
- Sequências
-
COLUNA ADICIONAL
Instantânea paraInnoDB
- Compressão de coluna independente do motor de armazenagem
- Replicação paralela
- Replicação de várias fontes
Além disso, os novos pacotes mariadb-connector-c
fornecem uma biblioteca cliente comum para MySQL
e MariaDB
. Esta biblioteca é utilizável com qualquer versão dos servidores de banco de dados MySQL
e MariaDB
. Como resultado, o usuário é capaz de conectar um build de uma aplicação a qualquer um dos servidores MySQL
e MariaDB
distribuídos com o RHEL 8.
Outras mudanças notáveis incluem:
-
O
MariaDB Galera Cluster
, um aglomerado síncrono multi-mestre, é agora uma parte padrão doMariaDB
. -
O InnoDB
é usado como o motor de armazenamento padrão em vez doXtraDB
. - O subpacote mariadb-bench foi removido.
- O nível padrão permitido de maturidade do plug-in foi alterado para um nível a menos do que a maturidade do servidor. Como resultado, os plug-ins com um nível de maturidade mais baixo que estavam funcionando anteriormente, não serão mais carregados.
Veja também Usando o MariaDB no Red Hat Enterprise Linux 8.
(BZ#1637034, BZ#1519450, BZ#1688374)
Mudanças notáveis no PostgreSQL
O RHEL 8.0 fornece duas versões do servidor de banco de dados PostgreSQL
, distribuído em dois fluxos do módulo postgresql
: PostgreSQL 10
(o fluxo padrão) e PostgreSQL 9.6
. O RHEL 7 inclui a versão 9.2 do PostgreSQL
.
As mudanças notáveis no PostgreSQL 9.
6 são, por exemplo:
-
Execução paralela das operações seqüenciais:
varredura
,união
eagregação
- Melhorias para a replicação síncrona
- Melhoria da pesquisa de texto completo permitindo aos usuários pesquisar frases
-
O driver da federação de dados
postgres_fdw
agora suporta operações remotas dejunção
,classificação
,ATUALIZAÇÃO
eDELETE
- Melhorias substanciais de desempenho, especialmente em relação à escalabilidade em servidores com várias CPUs
As principais melhorias no PostgreSQL 10
incluem:
-
Replicação lógica usando a
publicação
eassinatura de
palavras-chave -
Autenticação mais forte por senha com base no mecanismo
SCRAM-SHA-256
- Divisória de mesa declarativa
- Paralelismo de consultas melhorado
- Melhorias significativas no desempenho geral
- Melhor monitoramento e controle
Veja também Usando o PostgreSQL no Red Hat Enterprise Linux 8.
(BZ#1660041)
Mudanças notáveis no Squid
O RHEL 8.0 é distribuído com o Squid 4.4
, um servidor proxy de cache de alto desempenho para clientes web, que suporta FTP, Gopher e objetos de dados HTTP. Este lançamento fornece inúmeras novas características, melhorias e correções de bugs sobre a versão 3.5 disponível no RHEL 7.
As mudanças notáveis incluem:
- Tamanho da fila de ajuda configurável
- Mudanças nos canais de concorrência de ajuda
- Mudanças no binário do ajudante
- Protocolo de Adaptação de Conteúdo Seguro da Internet (ICAP)
- Melhor suporte para o multiprocessamento simétrico (SMP)
- Melhoria da gestão de processos
- Removido o suporte para SSL
- Lado da Borda Removida Inclui (ESI) analisador personalizado
- Mudanças múltiplas de configuração
Cache de Verniz
novo em RHEL
Verniz Cache
, um proxy HTTP reverso de alto desempenho, é fornecido pela primeira vez na RHEL. Anteriormente, estava disponível apenas como uma Coleção de Software. O Vernish Cache
armazena arquivos ou fragmentos de arquivos em memória que são usados para reduzir o tempo de resposta e o consumo de largura de banda da rede em futuras solicitações equivalentes. O RHEL 8.0 é distribuído com o Verniz Cache 6.0
.
(BZ#1633338)
5.1.8. Desktop
GNOME Shell, versão 3.28 em RHEL 8
O GNOME Shell, versão 3.28 está disponível no Red Hat Enterprise Linux (RHEL) 8. Entre as melhorias notáveis estão
- Novas funcionalidades das caixas GNOME
- Novo teclado na tela
- Suporte ampliado de dispositivos, integração mais significativa para a interface Thunderbolt 3
- Melhorias para o Software GNOME, dconf-editor e Terminal GNOME
(BZ#1649404)
Wayland é o servidor de exibição padrão
Com o Red Hat Enterprise Linux 8, a sessão GNOME e o Gerenciador de Exibição GNOME (GDM) usam Wayland como seu servidor de exibição padrão ao invés do servidor X.org, que foi usado com a versão anterior principal da RHEL.
Wayland oferece múltiplas vantagens e melhorias em relação a X.org. Mais notavelmente:
- Modelo de segurança mais forte
- Manuseio aperfeiçoado de multi-monitores
- Melhoria da escala da interface do usuário (IU)
- A área de trabalho pode controlar diretamente o manuseio das janelas.
Observe que as seguintes características estão atualmente indisponíveis ou não funcionam como esperado:
- As configurações Multi-GPU não são suportadas sob Wayland.
- O motorista binário NVIDIA não funciona em Wayland.
-
A utilidade
xrandr
não funciona sob Wayland devido a sua abordagem diferente de manuseio, resoluções, rotações e layout. Note que outras utilidades X.org para manipulação da tela também não funcionam sob Wayland. - A gravação na tela, o desktop remoto e a acessibilidade nem sempre funcionam corretamente em Wayland.
- Não há um gerente de prancheta disponível.
- Wayland ignora as pegadas de teclado emitidas pelas aplicações X11, tais como os visualizadores de máquinas virtuais.
- Wayland dentro de máquinas virtuais convidadas (VMs) tem problemas de estabilidade e desempenho, por isso é recomendado o uso da sessão X11 para ambientes virtuais.
Se você atualizar para o RHEL 8 a partir de um sistema RHEL 7 onde você usou a sessão X.org GNOME, seu sistema continua a usar X.org. O sistema também volta automaticamente para X.org quando os seguintes drivers gráficos estão em uso:
- O driver binário NVIDIA
-
O motorista de
cirrus
-
O motorista de
mga
-
O motorista de
velocidade
Você pode desativar o uso do site Wayland manualmente:
-
Para desativar Wayland em GDM, defina a opção
WaylandEnable=false
no arquivo/etc/gdm/custom.conf
. - Para desativar Wayland na sessão GNOME, selecione a opção legado X11 usando o menu da roda dentada na tela de login após digitar seu nome de login.
Para obter mais detalhes em Wayland, consulte https://wayland.freedesktop.org/.
(BZ#1589678)
Localização de pacotes RPM que estão em repositórios não habilitados por padrão
Os repositórios adicionais para a área de trabalho não estão habilitados por padrão. A desativação é indicada pela linha habilitada=0
no arquivo .repo
correspondente. Se você tentar instalar um pacote de tal repositório usando o PackageKit, o PackageKit mostra uma mensagem de erro anunciando que o aplicativo não está disponível. Para tornar o pacote disponível, substitua a linha habilitado=0
usada anteriormente no respectivo arquivo .repo
por habilitado=1
.
(JIRA:RHELPLAN-2878)
GNOME Sofware para gerenciamento de pacotes
O pacote gnome-packagekit
que forneceu uma coleção de ferramentas para o gerenciamento de pacotes em ambiente gráfico no Red Hat Enterprise Linux 7 não está mais disponível. No Red Hat Enterprise Linux 8, funcionalidade similar é fornecida pelo utilitário GNOME Software, que permite instalar e atualizar aplicativos e extensões gnome-shell. GNOME Software é distribuído no pacote gnome-software
.
(JIRA:RHELPLAN-3001)
Escala fracionária disponível para o GNOME Shell em Wayland
Em uma sessão GNOME Shell on Wayland, o recurso de escalonamento fracionário está disponível. O recurso torna possível escalar a GUI por frações, o que melhora a aparência da GUI em escala em determinados displays.
Observe que esta característica é atualmente considerada experimental e, portanto, é desativada por padrão.
Para permitir o escalonamento fracionário, execute o seguinte comando:
# gsettings set org.gnome.mutter experimental-features" ["scale-monitor-framebuffer"]}"
5.1.9. Habilitação do hardware
Atualizações de firmware usando fwupd
estão disponíveis
O RHEL 8 suporta atualizações de firmware, como cápsula UEFI, Atualização de Firmware do Dispositivo (DFU), e outros, usando o daemon fwupd
. O daemon permite que o software da sessão atualize o firmware do dispositivo em uma máquina local automaticamente.
Para visualizar e aplicar atualizações, você pode usar:
- Um gerente de software GUI, como o GNOME Software
-
A ferramenta de linha de comando
fwupdmgr
Os arquivos de metadados são automaticamente baixados do portal seguro do Linux Vendor Firmware Service (LVFS), e enviados para o fwupd
sobre o D-Bus. As atualizações que precisam ser aplicadas são baixadas exibindo notificações do usuário e detalhes de atualização. O usuário deve concordar explicitamente com a ação de atualização do firmware antes que a atualização seja realizada.
Observe que o acesso ao LVFS é desativado por padrão.
Para permitir o acesso ao LVFS, clique no botão deslizante no diálogo de fontes
no Software GNOME, ou execute o comando fwupdmgr enable-remote lvfs
. Se você usar fwupdmgr
para obter a lista de atualizações, você será perguntado se deseja habilitar o LVFS.
Com acesso ao LVFS, você receberá atualizações de firmware diretamente do fornecedor de hardware. Note que tais atualizações não foram verificadas pela Red Hat QA.
(BZ#1504934)
Modo de memória para Optane DC A tecnologia de memória persistente é totalmente suportada
Os dispositivos de armazenamento de memória Intel Optane DC Persistent Memory fornecem tecnologia de memória persistente de classe data center, que pode aumentar significativamente o rendimento das transações.
Para utilizar a tecnologia do Modo Memória, seu sistema não requer nenhum condutor especial ou certificação específica. O Modo Memória é transparente para o sistema operacional.
(BZ#1718422)
5.1.10. Gestão da Identidade
Novas verificações de sintaxe de senha no Directory Server
Esta melhoria acrescenta novas verificações de sintaxe de senha ao Directory Server. Os administradores podem agora, por exemplo, ativar verificações de dicionário, permitir ou negar usando seqüências de caracteres e palíndromos. Como resultado, se ativada, a verificação da sintaxe da política de senhas no Servidor de Diretório reforça as senhas mais seguras.
(BZ#1334254)
O Servidor de Diretório agora oferece suporte melhorado ao registro de operações internas
Várias operações no Directory Server, iniciadas pelo servidor e pelos clientes, causam operações adicionais em segundo plano. Anteriormente, o servidor só registrava para operações internas a palavra-chave Internal
connection, e a identificação da operação era sempre definida como -1
. Com esta melhoria, o Servidor de Diretório registra a conexão real e o ID da operação. Agora você pode rastrear a operação interna até a operação do servidor ou do cliente que causou esta operação.
(BZ#1358706)
A biblioteca tomcatjss
suporta a verificação OCSP usando o respondedor da extensão AIA
Com este aperfeiçoamento, a biblioteca tomcatjss
suporta a verificação do Protocolo de Status de Certificado Online (OCSP) usando o respondedor da extensão Authority Information Access (AIA) de um certificado. Como resultado, os administradores do Sistema de Certificado da Red Hat podem agora configurar a verificação OCSP que usa a URL da extensão AIA.
(BZ#1636564)
Os comandos pki subsystem-cert-find
e pki subsystem-cert-show
agora mostram o número de série dos certificados
Com este aperfeiçoamento, os comandos pki subsystem-cert-find
e pki subsystem-cert-show
em Certificate System mostram o número de série dos certificados em sua saída. O número de série é uma informação importante e muitas vezes exigida por vários outros comandos. Como resultado, a identificação do número de série de um certificado é agora mais fácil.
(BZ#1566360)
Os comandos do usuário pki
e do grupo pki
foram depreciados no Sistema de Certificado
Com esta atualização, os novos comandos pki <subsystem>-user
e pki <subsystem>-groups
substituem os comandos pki user
e pki group
em Certificate System. Os comandos substituídos ainda funcionam, mas eles exibem uma mensagem de que o comando é depreciado e se referem aos novos comandos.
(BZ#1394069)
Sistema de certificados agora suporta a renovação off-line de certificados de sistema
Com este aprimoramento, os administradores podem usar o recurso de renovação off-line para renovar certificados de sistema configurados no Sistema de Certificados. Quando um certificado de sistema expira, o Sistema de Certificados não inicia. Como resultado do aprimoramento, os administradores não precisam mais de soluções para substituir um certificado de sistema expirado.
O Sistema de Certificado pode agora criar CSRs com extensão SKI para assinatura externa da CA
Com este aperfeiçoamento, o Sistema de Certificado suporta a criação de um pedido de assinatura de certificado (CSR) com a extensão Subject Key Identifier (SKI) para assinatura de autoridade de certificado externa (CA). Certas ACs exigem esta extensão com um valor particular ou derivada da chave pública da AC. Como resultado, os administradores podem agora usar o parâmetro pki_req_ski
no arquivo de configuração passado para o utilitário pkispawn
para criar um CSR com extensão SKI.
(BZ#1656856)
O SSSD não usa mais o valor fallback_homedir
da seção [nss]
como fallback para domínios AD
Antes do RHEL 7.7, o parâmetro fallback_homedir
do SSSD em um provedor do Active Directory (AD) não tinha valor padrão. Se fallback_homedir
não foi definido, o SSSD usou em vez disso o valor do mesmo parâmetro da seção [nss]
no arquivo /etc/sssd/sssd.conf
. Para aumentar a segurança, o SSSD no RHEL 7.7 introduziu um valor padrão para fallback_homedir
. Como conseqüência, o SSSD não cai mais para o valor definido na seção [nss]
. Se você quiser usar um valor diferente do padrão para o parâmetro fallback_homedir
em um domínio AD, você deve defini-lo manualmente na seção do domínio.
(BZ#1652719)
O SSSD agora permite selecionar um dos múltiplos dispositivos de autenticação Smartcard
Por padrão, o System Security Services Daemon (SSSD) tenta detectar automaticamente um dispositivo para autenticação Smartcard. Se houver vários dispositivos conectados, o SSSD seleciona o primeiro que ele detecta. Consequentemente, não é possível selecionar um determinado dispositivo, o que às vezes leva a falhas.
Com esta atualização, você pode configurar uma nova opção p11_uri
para a seção [pam]
do arquivo de configuração do sssd.conf
. Esta opção permite definir qual dispositivo é usado para autenticação Smartcard.
Por exemplo, para selecionar um leitor com o slot id 2
detectado pelo módulo OpenSC PKCS#11, adicionar:
p11_uri = biblioteca-descrição=estrutura do smartcard OpenSC;slot-id=2
para a seção [pam]
da sssd.conf.
Para detalhes, consulte a página man sssd.conf
.
(BZ#1620123)
Os usuários locais são armazenados em cache pelo SSSD e servidos através do módulo nss_sss
No RHEL 8, o System Security Services Daemon (SSSD) atende usuários e grupos dos arquivos /etc/passwd
e /etc/groups
por padrão. O módulo sss
nsswitch precede os arquivos do arquivo /etc/nsswitch.conf
.
A vantagem de servir os usuários locais através do SSSD é que o módulo nss_sss
tem um rápido cache com memória mapeada
que acelera a busca do Name Service Switch (NSS) em comparação com o acesso ao disco e a abertura dos arquivos em cada solicitação NSS. Anteriormente, o daemon de cache do Name Service(nscd
) ajudava a acelerar o processo de acesso ao disco. Entretanto, usar o nscd
em paralelo com o SSSD é incômodo, pois tanto o SSSD quanto o nscd
usam seu próprio cache independente. Consequentemente, o uso do nscd
em configurações onde o SSSD também serve usuários de um domínio remoto, por exemplo LDAP ou Active Directory, pode causar um comportamento imprevisível.
Com esta atualização, a resolução dos usuários e grupos locais é mais rápida no RHEL 8. Note que o usuário root
nunca é tratado pelo SSSD, portanto, a resolução root
não pode ser impactada por um erro potencial no SSSD. Note também que se o SSSD não estiver rodando, o módulo nss_sss
lida com a situação graciosamente, caindo de volta aos nss_files
para evitar problemas. Não é necessário configurar o SSSD de forma alguma, o domínio de arquivos é adicionado automaticamente.
(JIRA:RHELPLAN-10439)
A KCM substitui a KEYRING como o armazenamento padrão de credenciais
No RHEL 8, o armazenamento padrão do cache de credenciais é o Kerberos Credential Manager (KCM), que é apoiado pelo deamon sssd-kcm
. O KCM supera as limitações do KEYRING usado anteriormente, tais como sua dificuldade de uso em ambientes de contêineres por não ser espaçado por nomes, e para visualizar e gerenciar cotas.
Com esta atualização, o RHEL 8 contém um cache de credenciais que é mais adequado para ambientes de contêineres e que fornece uma base para a construção de mais recursos em lançamentos futuros.
(JIRA:RHELPLAN-10440)
Os usuários do Active Directory agora podem administrar a Gestão de Identidade
Com esta atualização, a RHEL 8 permite adicionar uma substituição de ID de usuário para um usuário do Active Directory (AD) como membro de um grupo de Gerenciamento de Identidade (IdM). Uma substituição de ID é um registro que descreve como deve ser um usuário específico de AD ou propriedades de grupo dentro de uma visualização de ID específica, neste caso, a Visualização de Confiança Padrão. Como conseqüência da atualização, o servidor LDAP do IdM é capaz de aplicar regras de controle de acesso para o grupo IdM ao usuário AD.
Os usuários AD agora são capazes de usar os recursos de autoatendimento da IdM UI, por exemplo, para carregar suas chaves SSH, ou alterar seus dados pessoais. Um administrador de AD é capaz de administrar completamente o IdM sem ter duas contas e senhas diferentes. Note que atualmente, recursos selecionados no IdM podem ainda não estar disponíveis para os usuários AD.
(JIRA:RHELPLAN-10442)
sssctl
imprime um relatório de regras HBAC para um domínio IdM
Com esta atualização, a utilidade sssctl
do System Security Services Daemon (SSSD) pode imprimir um relatório de controle de acesso para um domínio de Gerenciamento de Identidade (IdM). Este recurso atende à necessidade de certos ambientes de ver, por razões regulamentares, uma lista de usuários e grupos que podem acessar uma máquina cliente específica. Executando o sssctl access-report
domain_name
em um cliente IdM imprime o subconjunto de regras de controle de acesso baseado em host (HBAC) no domínio IdM que se aplicam à máquina cliente.
Note que nenhum outro fornecedor além da IdM suporta esta característica.
(JIRA:RHELPLAN-10443)
Os pacotes de Gerenciamento de Identidade estão disponíveis como um módulo
No RHEL 8, os pacotes necessários para instalação de um servidor e cliente de Gerenciamento de Identidade (IdM) são enviados como um módulo. O fluxo cliente
é o fluxo padrão do módulo idm
e você pode baixar os pacotes necessários para a instalação do cliente sem habilitar o fluxo.
O fluxo do módulo do servidor IdM é chamado de fluxo DL1
. O fluxo contém vários perfis correspondentes a diferentes tipos de servidores IdM: servidor, dns, adtrust, cliente e padrão. Para baixar os pacotes em um perfil específico do fluxo DL1
:
- Habilite o fluxo.
- Mudar para as RPMs entregues através do fluxo.
-
Execute o comando
yum module install idm:DL1/profile_name
.
Para mudar para um novo fluxo de módulos uma vez que você já tenha habilitado um fluxo específico e feito o download de pacotes dele:
- Remova todo o conteúdo instalado relevante e desative o fluxo do módulo atual.
- Habilitar o novo fluxo de módulos.
(JIRA:RHELPLAN-10438)
Adicionada solução de gravação de sessão para RHEL 8
Uma solução de gravação de sessão foi adicionada ao Red Hat Enterprise Linux 8 (RHEL 8). Um novo pacote tlog
e seu leitor de sessão associado ao console web permitem a gravação e reprodução das sessões do terminal do usuário. A gravação pode ser configurada por usuário ou grupo de usuários através do serviço System Security Services Daemon (SSSD). Todas as entradas e saídas do terminal são capturadas e armazenadas em um formato de texto em um diário do sistema. A entrada é inativa por padrão por razões de segurança para não interceptar senhas brutas e outras informações sensíveis.
A solução pode ser usada para auditoria de sessões de usuários em sistemas sensíveis à segurança. No caso de uma quebra de segurança, as sessões gravadas podem ser revisadas como parte de uma análise forense. Os administradores do sistema agora são capazes de configurar a gravação da sessão localmente e visualizar o resultado da interface do console web RHEL 8 ou da interface da linha de comando usando o utilitário tlog-play
.
(JIRA:RHELPLAN-1473)
authselect
simplifica a configuração da autenticação do usuário
Esta atualização introduz o utilitário authselect
que simplifica a configuração da autenticação do usuário nos hosts RHEL 8, substituindo o utilitário authconfig
. o authselect
vem com uma abordagem mais segura ao gerenciamento de pilha do PAM que torna as mudanças de configuração do PAM mais simples para os administradores do sistema. o authselect
pode ser usado para configurar métodos de autenticação como senhas, certificados, cartões inteligentes e impressão digital. Note que o authselect
não configura os serviços necessários para entrar em domínios remotos. Esta tarefa é realizada por ferramentas especializadas, como realmd
ou ipa-client-install
.
(JIRA:RHELPLAN-10445)
O SSSD agora impõe por padrão os GPO AD
A configuração padrão para a opção SSSD ad_gpo_access_control
está agora fazendo cumprir
. No RHEL 8, o SSSD aplica por padrão as regras de controle de acesso baseadas nos Objetos de Políticas de Grupos de Diretórios Ativos (GPOs).
A Red Hat recomenda garantir que os GPOs sejam configurados corretamente no Active Directory antes de atualizar de RHEL 7 para RHEL 8. Se você não quiser reforçar os GPOs, altere o valor da opção ad_gpo_access_control
no arquivo /etc/sssd/sssd.conf
para permissivo
.
(JIRA:RHELPLAN-51289)
5.1.11. Compiladores e ferramentas de desenvolvimento
Impulso atualizado para a versão 1.66
A biblioteca Boost C foi atualizada para a versão upstream 1.66. A versão de Boost incluída no Red Hat Enterprise Linux 7 é a 1.53. Para detalhes, veja os changelogs upstream: https://www.boost.org/users/history/
Esta atualização introduz as seguintes mudanças que quebram a compatibilidade com as versões anteriores:
-
A função
bs_set_hook()
, a funçãosplay_set_hook()
dos recipientes splay, e obool splay = verdadeiro
parâmetro extra na funçãosplaytree_algorithms()
na biblioteca Intrusive foram removidos. - Comentários ou concatenação de strings nos arquivos JSON não são mais suportados pelo analisador na biblioteca Property Tree.
-
Algumas distribuições e funções especiais da biblioteca Math foram fixadas para se comportar como documentado e levantar um
overflow_error
em vez de retornar o valor finito máximo. -
Alguns cabeçalhos da biblioteca Math foram movidos para o diretório
libs/math/include_private
. -
O comportamento das funções
basic_regex<>::mark_count()
ebasic_regex<>::subexpression(n
) da biblioteca Regex foi alterado para corresponder à sua documentação. - O uso de modelos variádicos na biblioteca Variant pode quebrar as funções de metaprogramação.
-
O
impulso::python::numeric
API foi removido. Os usuários podem usarboost::python::numpy
em seu lugar. - As operações aritméticas sobre indicações de tipos não-objetos não são mais fornecidas na biblioteca atômica.
(BZ#1494495)
Suporte Unicode 11.0.0
A biblioteca do núcleo C do Red Hat Enterprise Linux, glibc, foi atualizada para suportar a versão padrão Unicode 11.0.0. Como resultado, todas as APIs de caracteres amplos e multi-byte, incluindo transliteração e conversão entre conjuntos de caracteres, fornecem informações precisas e corretas em conformidade com este padrão.
(BZ#1512004)
O pacote de impulso
é agora independente da Python
Com esta atualização, a instalação do pacote boost
não mais instala a biblioteca Boost.Python
como uma dependência. Para usar o Boost.Python
, você precisa instalar explicitamente os pacotes boost-python3
ou boost-python3-devel
.
(BZ#1616244)
Um novo pacote compat-libgfortran-48
disponível
Para compatibilidade com as aplicações Red Hat Enterprise Linux 6 e 7 usando a biblioteca Fortran, um novo pacote de compatibilidade compat-libgfortran-48
está agora disponível, que fornece a biblioteca libgfortran.so.3
.
(BZ#1607227)
Suporte de retpolina no GCC
Esta atualização adiciona suporte para retpolinas ao GCC. Uma retpolina é uma construção de software usada pelo kernel para reduzir a sobrecarga dos ataques da Variante 2 do Spectre mitigadora descrita no CVE-2017-5715.
(BZ#1535774)
Suporte aprimorado para a arquitetura ARM de 64 bits em componentes da cadeia de ferramentas
Os componentes da cadeia de ferramentas, GCC
e binutils
, agora fornecem suporte estendido para a arquitetura ARM de 64 bits. Por exemplo:
-
GCC
ebinutils
agora suportam Extensão Vetorial Escalável (SVE). -
O suporte para o tipo de dados
FP16
, fornecido pela ARM v8.2, foi adicionado aoGCC
. O tipo de dadosFP16
melhora o desempenho de certos algoritmos. -
As ferramentas do
binutils
agora suportam a definição da arquitetura ARM v8.3, incluindo a Autenticação do Ponteiro. O recurso de Autenticação do Ponteiro impede que o código malicioso corrompa a execução normal de um programa ou do kernel através da criação de seus próprios ponteiros de funções. Como resultado, somente endereços confiáveis são usados quando se ramifica para diferentes lugares no código, o que melhora a segurança.
(BZ#1504980, BZ#1550501, BZ#1504995, BZ#1504993, BZ#1504994)
Otimizações para a glibc
para sistemas IBM POWER
Esta atualização fornece uma nova versão da glibc
que é otimizada tanto para as arquiteturas IBM POWER 8 como para IBM POWER 9. Como resultado, os sistemas IBM POWER 8 e IBM POWER 9 agora mudam automaticamente para a variante adequada e otimizada da glibc
em tempo de execução.
(BZ#1376834)
Biblioteca GNU C atualizada para a versão 2.28
O Red Hat Enterprise Linux 8 inclui a versão 2.28 da Biblioteca C GNU (glibc). Melhorias notáveis incluem:
Características de endurecimento da segurança:
-
Os arquivos binários seguros marcados com a bandeira
AT_SECURE
ignoram a variável de ambienteLD_LIBRARY_PATH
. - Os backtraces não são mais impressos por falhas na verificação de pilha para acelerar o desligamento e evitar a execução de mais código em um ambiente comprometido.
-
Os arquivos binários seguros marcados com a bandeira
Melhorias de desempenho:
-
O desempenho da função
malloc(
) foi melhorado com um cache local de rosca. -
Adição da variável de ambiente
GLIBC_TUNABLES
para alterar as características de desempenho da biblioteca. -
A implementação de semáforos de rosca foi melhorada e novas funções
pthread_rwlock_xxx()
escaláveis foram adicionadas. - O desempenho da biblioteca matemática foi melhorado.
-
O desempenho da função
- O suporte para Unicode 11.0.0 foi adicionado.
- Foi adicionado suporte melhorado para números de ponto flutuante de 128 bits, conforme definido pelas normas ISO/IEC/IEEE 60559:2011, IEEE 754-2008 e ISO/IEC TS 18661-3:2015.
Melhorias no resolvedor de stub do Domain Name Service (DNS) relacionadas com o arquivo de configuração
/etc/resolv.conf
:- A configuração é automaticamente recarregada quando o arquivo é alterado.
- Foi adicionado suporte para um número arbitrário de domínios de busca.
-
Foi adicionada uma seleção aleatória adequada para a opção de
rotação
.
Novas características para o desenvolvimento foram adicionadas, inclusive:
-
Funções de invólucro do Linux para as chamadas de kernel
préadv2
epwritev2
-
Novas funções incluindo
reallocarray()
eexplicit_bzero()
-
Novas bandeiras para a função
posix_spawnattr_setflags()
tais comoPOSIX_SPAWN_SETSID
-
Funções de invólucro do Linux para as chamadas de kernel
(BZ#1512010, BZ#1504125, BZ#506398)
CMake disponível em RHEL
O CMake build system versão 3.11 está disponível no Red Hat Enterprise Linux 8 como o pacote cmake
.
(BZ#1590139, BZ#1502802)
fazer
a versão 4.2.1
O Red Hat Enterprise Linux 8 é distribuído com a ferramenta make
build versão 4.2.1. Mudanças notáveis incluem:
- Quando uma receita falha, o nome do makefile e o número da linha da receita são mostrados.
-
A opção
--trace
foi adicionada para permitir o rastreamento de alvos. Quando esta opção é utilizada, toda receita é impressa antes da invocação mesmo que fosse suprimida, junto com o nome do arquivo e número da linha onde esta receita está localizada, e também com os pré-requisitos que fazem com que ela seja invocada. -
A mistura de regras explícitas e implícitas não faz mais com que
a
execução seja encerrada. Ao invés disso, um aviso é impresso. Note que esta sintaxe é depreciada e pode ser completamente removida no futuro. -
A função
$(file ...)
foi adicionada para escrever texto em um arquivo. Quando chamada sem um argumento de texto, ela só abre e fecha imediatamente o arquivo. -
Uma nova opção,
--output-sync
ou-O
, faz com que uma saída de múltiplos trabalhos seja agrupada por trabalho e permite uma depuração mais fácil de construções paralelas. -
A opção
--debug
agora aceita também a bandeiran
(nenhuma) para desativar todas as configurações de depuração atualmente habilitadas. O operador
!=
shell assignment operator foi adicionado como uma alternativa à função$(shell ..
.) para aumentar a compatibilidade com os arquivos BSD. Para mais detalhes e diferenças entre o operador e a função, veja o manual do GNU make.Note que, como conseqüência, variáveis com um nome terminando em ponto de exclamação e imediatamente seguidas por atribuição, como
variável!=valor
, são agora interpretadas como a nova sintaxe. Para restaurar o comportamento anterior, acrescente um espaço após o ponto de exclamação, tal comovariável! = valor
.-
O
::=
operador de atribuição definido pelo padrão POSIX foi adicionado. -
Quando a variável
.POSIX
for especificada,
observe os requisitos padrão do POSIX para lidar com a contrabarra e a nova linha. Neste modo, qualquer espaço de fuga antes da contrabarra é preservado, e cada contrabarra seguida por uma nova linha e caracteres de espaço branco é convertida em um único caractere de espaço. -
O comportamento das variáveis
MAKEFLAGS
eMFLAGS
está agora mais precisamente definido. -
Uma nova variável,
GNUMAKEFLAGS
, é analisada parafazer
bandeiras de forma idêntica aMAKEFLAGS
. Como conseqüência, as bandeirasespecíficas do fabricante
GNU podem ser armazenadas fora deMAKEFLAGS
e a portabilidade dos makefiles é aumentada. -
Uma nova variável,
MAKE_HOST
, contendo a arquitetura anfitriã, foi adicionada. -
As novas variáveis,
MAKE_TERMOUT
eMAKE_TERMERR
, indicam sea marca
está escrevendo saída padrão e erro em um terminal. -
A definição das opções
-r
e-R
na variávelMAKEFLAGS
dentro de um makefile agora funciona corretamente e remove todas as regras e variáveis incorporadas, respectivamente. -
A configuração
.RECIPEPREFIX
é agora lembrada por receita. Além disso, as variáveis expandidas nessa receita também utilizam essa configuração de prefixo de receita. -
A configuração
.RECIPEPREFIX
e todas as variáveis específicas do alvo são exibidas na saída da opção-p
como em um makefile, ao invés de como comentários.
(BZ#1641015)
SystemTap versão 4.0
O Red Hat Enterprise Linux 8 é distribuído com a ferramenta de instrumentação SystemTap versão 4.0. As melhorias notáveis incluem:
-
O backend ampliado do Berkeley Packet Filter (eBPF) foi melhorado, especialmente as cordas e funções. Para utilizar este backend, comece SystemTap com a opção
--runtime=bpf
. - Um novo serviço de rede de exportação para uso com o sistema de monitoramento Prometheus foi adicionado.
- A implementação da sonda de chamada do sistema foi melhorada para usar os pontos de rastreamento do núcleo, se necessário.
(BZ#1641032)
Melhorias na versão 2.30 do binutils
O Red Hat Enterprise Linux 8 inclui a versão 2.30 do pacote binutils
. Melhorias notáveis incluem:
- O suporte para novas extensões da arquitetura IBM Z foi melhorado.
Linkers:
- O linker agora coloca os dados de código e somente leitura em segmentos separados por padrão. Como resultado, os arquivos executáveis criados são maiores e mais seguros para executar, pois o carregador dinâmico pode desativar a execução de qualquer página de memória que contenha dados somente leitura.
- Foi adicionado suporte às notas de propriedade GNU que fornecem dicas para o carregador dinâmico sobre o arquivo binário.
- Anteriormente, o linker gerava código executável inválido para a tecnologia Intel Indirect Branch Tracking (IBT). Como conseqüência, os arquivos executáveis gerados não podiam ser iniciados. Este erro foi corrigido.
-
Anteriormente, o
gold
linker fundia notas de propriedade de forma imprópria. Como conseqüência, características erradas de hardware poderiam ser habilitadas no código gerado, e o código poderia terminar inesperadamente. Este erro foi corrigido. -
Anteriormente, o linker de
ouro
criava seções de notas com bytes de estofamento no final para alcançar o alinhamento de acordo com a arquitetura. Como o carregador dinâmico não esperava o acolchoamento, ele podia terminar inesperadamente o programa que estava carregando. Este bug foi corrigido.
Outras ferramentas:
-
As ferramentas
readelf
eobjdump
agora têm opções para seguir links em arquivos de informação de depuração separados e exibir informações neles também. -
A nova opção
--inlines
amplia a opção existente--line-numbers
da ferramentaobjdump
para exibir informações de aninhamento para funções inlined. -
A ferramenta
nm
ganhou uma nova opção- com cordões de versão
para exibir informações da versão de um símbolo após seu nome, se presente. - O suporte para a arquitetura ARMv8-R e processadores Cortex-R52, Cortex-M23 e Cortex-M33 foi adicionado à montadora.
(BZ#1641004, BZ#1637072, BZ#1501420, BZ#1504114, BZ#1614908, BZ#1614920)
Performance Co-Pilot versão 4.3.0
O Red Hat Enterprise Linux 8 é distribuído com Performance Co-Pilot (PCP) versão 4.3.0. As melhorias notáveis incluem:
-
A ferramenta
pcp-dstat
agora inclui análise histórica e saída no formato Comma-separated Values (CSV). - Os utilitários de registro podem usar etiquetas métricas e registros de texto de ajuda.
-
A ferramenta
pmdaperfevent
agora informa os números de CPU corretos nos níveis mais baixos de SMT (Simultaneous Multi Threading). -
A ferramenta
pmdapostgresql
agora suporta Postgres série 10.x. -
A ferramenta
pmdaredis
agora suporta Redis série 5.x. -
A ferramenta
pmdabcc
foi aperfeiçoada com filtragem dinâmica de processos e syscalls, ucalls e ustat por processo. -
A ferramenta
pmdammv
agora exporta etiquetas métricas, e a versão de formato é aumentada para 3. -
A ferramenta
pmdagfs2
suporta métricas adicionais de glock e porta glock. - Várias correções foram feitas na política da SELinux.
(BZ#1641034)
Chaves de proteção de memória
Esta atualização permite características de hardware que permitem mudanças na bandeira de proteção por página. Os novos invólucros de chamada do sistema glibc
foram adicionados para as funções pkey_alloc()
, pkey_free()
, e pkey_mprotect()
. Além disso, as funções pkey_set(
) e pkey_get(
) foram adicionadas para permitir o acesso aos sinalizadores de proteção por fio.
(BZ#1304448)
O GCC agora não cumpre a norma z13 na IBM Z
Com esta atualização, por padrão o GCC na arquitetura IBM Z constrói código para o processador z13, e o código é sintonizado para o processador z14. Isto é equivalente ao uso das opções -march=z13
e -mtune=z14
. Os usuários podem anular este padrão usando explicitamente as opções para a arquitetura e ajuste do alvo.
(BZ#1571124)
elfutils
atualizado para a versão 0.174
No Red Hat Enterprise Linux 8, o pacote elfutils está disponível na versão 0.174. Mudanças notáveis incluem:
-
Anteriormente, a ferramenta
eu-readelf
podia mostrar uma variável com um valor negativo como se tivesse um grande valor não assinado, ou mostrar um grande valor não assinado como um valor negativo. Isto foi corrigido e agora a ferramentaeu-readelf
procura o tamanho e a assinatura de tipos de valores constantes para exibi-los corretamente. -
Uma nova função
dwarf_next_lines()
para leitura de dados.debug_line
sem CU foi adicionada à biblioteca libdw. Esta função pode ser usada como alternativa às funçõesdwarf_getsrclines()
edwarf_getsrcfiles()
. -
Anteriormente, arquivos com mais de 65280 seções podiam causar erros nas bibliotecas libelf e libdw e em todas as ferramentas que as utilizam. Este erro foi corrigido. Como resultado, os valores ampliados de
shnum
eshstrndx
nos cabeçalhos dos arquivos ELF são tratados corretamente.
(BZ#1641007)
Valgrind atualizado para a versão 3.14
O Red Hat Enterprise Linux 8 é distribuído com a ferramenta de análise de código executável Valgrind versão 3.14. Mudanças notáveis incluem:
-
Uma nova opção
-- keep-debuginfo
foi adicionada para permitir a retenção de informações de debug para código descarregado. Como resultado, os traços de pilha salvos podem incluir informações de arquivo e linha para código que não está mais presente na memória. - Supressões baseadas no nome do arquivo fonte e número da linha foram adicionadas.
-
A ferramenta
Helgrind
foi ampliada com uma opção--delta-stacktrace
para especificar o cálculo de traços de pilha de histórico completo. Notavelmente, o uso desta opção junto com--history-level=full
pode melhorar o desempenhodo Helgrind
em até 25%. -
A taxa falsa positiva na ferramenta
Memcheck
para otimizar o código nas arcitecturas Intel e AMD 64-bit e na arquitetura ARM 64-bit foi reduzida. Note que você pode usar oscontroles de definição de custos
para controlar o manuseio dos controles de definição e melhorar a taxa às custas do desempenho. - A Valgrind pode agora reconhecer mais instruções da variante little-endian da IBM Power Systems.
- A Valgrind pode agora processar a maioria das instruções inteiras e vetoriais de string do processador IBM Z arquitetura z13.
Para mais informações sobre as novas opções e suas limitações conhecidas, consulte a página do manual valgrind(1
).
(BZ#1641029, BZ#1501419)
GDB versão 8.2
O Red Hat Enterprise Linux 8 é distribuído com o depurador GDB versão 8.2 As mudanças notáveis incluem:
-
O protocolo IPv6 é suportado para depuração remota com GDB e
gdbserver
. - A depuração sem informações de depuração foi melhorada.
- O preenchimento de símbolos na interface do usuário GDB foi melhorado para oferecer melhores sugestões, utilizando mais construções sintáticas, tais como etiquetas ABI ou namespaces.
- Os comandos podem agora ser executados em segundo plano.
- Os programas de depuração criados na linguagem de programação Rust são agora possíveis.
-
A depuração dos idiomas C e C foi melhorada com suporte de analisadores para os operadores
_Alignof
ealignof
, referências de valor C e matrizes automáticas de comprimento variável C99. - Os scripts de extensão da GDB podem agora usar a linguagem Guile scripting.
-
A interface da linguagem Python para extensões foi melhorada com novas funções API, decoradores de quadros, filtros e desbobinadores. Além disso, os scripts na seção
.debug_gdb_scripts
da configuração GDB são carregados automaticamente. - GDB agora usa Python versão 3 para executar seus scripts, incluindo impressoras bonitas, decoradores de quadros, filtros e desbobinadores.
- As arquiteturas ARM e ARM de 64 bits foram melhoradas com registro de execução e repetição de processos, incluindo Thumb 32 bits e instruções de chamada do sistema.
- A GDB agora suporta a Extensão Vetorial Escalável (SVE) na arquitetura ARM de 64 bits.
- Foi adicionado suporte para o registro Intel PKU e Intel Processor Trace.
-
A funcionalidade de gravação e reprodução foi ampliada para incluir as instruções
rdrand
erdseed
nos sistemas baseados na Intel. -
A funcionalidade do GDB na arquitetura IBM Z foi ampliada com suporte para tracepoints e traçadores rápidos, registros vetoriais e ABI, e a chamada ao sistema
Catch
. Além disso, o GDB agora suporta instruções mais recentes da arquitetura. - A GDB pode agora usar as sondas estáticas SystemTap do espaço do usuário (SDT) na arquitetura ARM de 64 bits.
(BZ#1641022, BZ#1497096, BZ#1505346, BZ#1592332, BZ#1550502)
a localização daglibc
para a RHEL é distribuída em múltiplos pacotes
No RHEL 8, os locais e traduções glibc
não são mais fornecidos pelo pacote único glibc-comum
. Em vez disso, cada locale e idioma está disponível em um pacote glibc-langpack-CODE
. Além disso, na maioria dos casos, nem todos os locales são instalados por padrão, apenas estes selecionados no instalador. Os usuários devem instalar todos os pacotes de locale adicionais que precisam separadamente, ou se desejarem, podem instalar glibc-all-langpacks
para obter o arquivo de locales contendo todos os locales da glibc
instalados como antes.
Para mais informações, consulte Utilizando lancheiras.
(BZ#1512009)
GCC versão 8.2
No Red Hat Enterprise Linux 8, o conjunto de ferramentas GCC é baseado na série de lançamentos GCC 8.2. Mudanças notáveis incluem:
- Numerosas otimizações gerais foram adicionadas, tais como análise de alias, melhorias de vetorizadores, dobramento de código idêntico, análise inter-processal, passe de otimização de fusão de lojas, e outras.
- O endereço Sanitizer foi melhorado. O Higienizador de Vazamento e o Higienizador de Comportamento Indefinido foram adicionados.
- As informações de depuração podem agora ser produzidas no formato DWARF5. Esta capacidade é experimental.
- A ferramenta de análise de cobertura de código fonte GCOV foi ampliada com várias melhorias.
- Novos avisos e diagnósticos melhorados foram acrescentados para a detecção estática de mais erros de programação.
- O GCC foi ampliado para fornecer ferramentas para garantir o endurecimento adicional do código gerado. As melhorias relacionadas com a segurança incluem incorporações para verificação de transbordamento, proteção adicional contra choques de pilha, verificação de endereços-alvo de instruções de controle de fluxo, avisos para funções de manipulação de cordas delimitadas e avisos para detectar índices de matriz fora de limites.
As melhorias na arquitetura e no suporte do processador incluem:
- Várias novas opções específicas de arquitetura para a arquitetura Intel AVX-512, várias de suas microarquiteturas e Extensões de Proteção de Software Intel (SGX) foram adicionadas.
- A geração de códigos pode agora ter como alvo as extensões LSE de arquitetura ARM de 64 bits, ARMv8.2-A Extensões de ponto flutuante de 16 bits (FPE) e ARMv8.2-A, ARMv8.3-A, e ARMv8.4-A versões de arquitetura.
- Foi adicionado suporte para os processadores z13 e z14 da arquitetura IBM Z.
As mudanças notáveis relacionadas a idiomas e normas incluem:
- O padrão padrão usado na compilação de código na linguagem C mudou para C17 com extensões GNU.
- O padrão padrão usado na compilação de código na linguagem C mudou para C 14 com extensões GNU.
- A biblioteca de tempo de execução C agora suporta as normas C 11 e C 14.
- O compilador C agora implementa o padrão C 14.
- O suporte ao padrão de linguagem C11 foi melhorado.
-
A nova extensão
__auto_ tipo
GNU C fornece um subconjunto da funcionalidade da palavra-chave C 11auto
na linguagem C. -
Os nomes dos tipos
_FloatN
e_FloatNx
especificados pela norma ISO/IEC TS 18661-3:2015 são agora reconhecidos pelo front end C. - Passar uma classe vazia como argumento agora não ocupa espaço nas arquiteturas Intel 64 e AMD64, como exigido pela plataforma ABI.
-
O valor retornado pelo operador C 11
alignof
foi corrigido para combinar com o operador C_Alignof
e retornar alinhamento mínimo. Para encontrar o alinhamento preferido, use a extensão GNU__alignof__
. -
A versão principal da biblioteca
libgfortran
para o código de linguagem Fortran foi alterada para 5. - O suporte para os idiomas Ada (GNAT), GCC Go e Objective C/C foi removido. Use o conjunto de ferramentas Go para o desenvolvimento do código Go.
(JIRA:RHELPLAN-7437, BZ#1512593, BZ#1512378)
A biblioteca criptográfica Go modo FIPS agora honra as configurações do sistema
Anteriormente, a biblioteca criptográfica padrão Go sempre usava seu modo FIPS, a menos que estivesse explicitamente desativada no momento da construção da aplicação usando a biblioteca. Como conseqüência, os usuários de aplicações baseadas em Go- não podiam controlar se o modo FIPS era usado. Com esta mudança, a biblioteca não passa para o modo FIPS por padrão quando o sistema não está configurado no modo FIPS. Como resultado, os usuários de aplicações baseadas em Go- em sistemas RHEL têm mais controle sobre o uso do modo FIPS da biblioteca criptográfica Go.
(BZ#1633351)
strace
atualizado para a versão 4.24
O Red Hat Enterprise Linux 8 é distribuído com a versão 4.24 da ferramenta strace
. Mudanças notáveis incluem:
-
Os recursos de adulteração de chamadas do sistema foram adicionados com a opção
-e inject=
. Isto inclui injeção de erros, valores de retorno, atrasos e sinais. A sintaxe de qualificação de chamadas do sistema foi melhorada:
-
A opção
-e trace=/regex
foi adicionada às chamadas do sistema de filtragem com expressões regulares. -
A pré-condição de um ponto de interrogação para uma qualificação de chamada de sistema na opção
-e trace=
permite queo strace
continue, mesmo que a qualificação não corresponda a nenhuma chamada de sistema. -
A designação da personalidade foi acrescentada às qualificações da chamada ao sistema na opção
-e trace
.
-
A opção
-
A descodificação da razão de saída do
kvm vcpu
foi adicionada. Para isso, use a opção-e kvm=vcpu
. -
A biblioteca
libdw
deelfutils
é agora usada para desenrolar a pilha quando a opção-k
é usada. Além disso, o desmembramento de símbolos é realizado utilizando a biblioteca delibreza
. -
Anteriormente, a opção
-r
fazia com queo Strace
ignorasse a opção-t
. Isto foi corrigido, e as duas opções agora são independentes. -
A opção
-A
foi adicionada para abrir arquivos de saída no modo anexo. -
A opção
-X
foi adicionada para configurar a formatação da saídaxlat
. -
A decodificação de endereços de soquetes com a opção
-yy
foi melhorada. Além disso, foi adicionada a impressão do número do dispositivo de bloco e caractere no modo-yyy
. -
Agora é possível rastrear tanto os binários de 64 bits quanto os de 32 bits com uma única ferramenta de
cinta
na arquitetura IBM Z. Como consequência, o pacote separado dastrace32
não existe mais no RHEL 8.
Além disso, a decodificação dos seguintes itens foi adicionada, melhorada ou atualizada:
-
protocolos, mensagens e atributos
da netlink
-
arch_prctl
,bpf
,getsockopt
,io_pgetevent
,keyctl
,prctl
,pkey_alloc
,pkey_free
,pkey_mprotect
,ptrace
,rseq
,setsockopt
,socket
,statx
e outras chamadas de sistema -
Comandos múltiplos para a chamada ao sistema
ioctl
- Constantes de vários tipos
-
Traçado de caminho para
execução
,inotify_add_watch
,inotify_init
,select
,symlink
, chamadas de sistemasymlinkat
e chamadas de sistemammap
com argumentos indiretos - Listas de códigos de sinais
(BZ#1641014)
Conjuntos de ferramentas de compilação no RHEL 8
A RHEL 8.0 fornece os seguintes conjuntos de ferramentas de compilação como Fluxos de Aplicação:
- Clang e LLVM Toolset 7.0.1, que fornece a estrutura de infra-estrutura do compilador LLVM, o compilador Clang para os idiomas C e C, o depurador LLDB, e ferramentas relacionadas para análise de código. Veja o documento Utilizando o Clang e o conjunto de ferramentas LLVM.
-
Rust Toolset 1.31, que fornece a linguagem de programação Rust
rustc do
compilador, a ferramenta de construção decarga
e gerente de dependência, o plugin dofornecedor de carga
, e as bibliotecas necessárias. Veja o documento Using Rust Toolset (Usando o Rust Toolset ). -
Go Toolset 1.11.5, que fornece as ferramentas da linguagem de programação Go e bibliotecas. Go é conhecida alternativamente como
golang
. Veja o documento Using Go Toolset.
(BZ#1695698, BZ#1613515, BZ#1613516, BZ#1613518)
Implementações Java e ferramentas Java no RHEL 8
O repositório AppStream RHEL 8 inclui:
-
Os pacotes
java-11-openjdk
, que fornecem o OpenJDK 11 Java Runtime Environment e o OpenJDK 11 Java Software Development Kit. -
Os pacotes
java-1.8.0-openjdk
, que fornecem o OpenJDK 8 Java Runtime Environment e o OpenJDK 8 Java Software Development Kit. -
Os pacotes
icedtea-web
, que fornecem uma implementação do Java Web Start. -
O módulo
formiga
, fornecendo uma biblioteca Java e uma ferramenta de linha de comando para compilar, montar, testar e executar aplicações Java. OAnt
foi atualizado para a versão 1.10. -
O módulo
maven
, fornecendo uma ferramenta de gerenciamento e compreensão de projetos de software.O maven
estava anteriormente disponível apenas como uma Coleção de Software ou no canal Opcional não suportado. -
O módulo
scala
, fornecendo uma linguagem de programação de propósito geral para a plataforma Java.O Scala
estava anteriormente disponível apenas como uma Coleção de Software.
Além disso, os pacotes java-1.8.0-ibm
são distribuídos através do repositório suplementar. Note que os pacotes neste repositório não são suportados pela Red Hat.
(BZ#1699535)
C ABI mudança em std::string
e std::list
A Interface Binária de Aplicação (ABI) das classes std::string
e std::list
da biblioteca libstdc
mudou entre a RHEL 7 (GCC 4.8) e a RHEL 8 (GCC 8) para estar em conformidade com o padrão C 11. A biblioteca libstdc
suporta tanto a antiga como a nova ABI, mas algumas outras bibliotecas do sistema C não suportam. Como conseqüência, as aplicações que se ligam dinamicamente a estas bibliotecas precisarão ser reconstruídas. Isto afeta todos os modos padrão C, incluindo o C 98. Também afeta as aplicações construídas com compiladores Red Hat Developer Toolset para RHEL 7, que mantiveram a antiga ABI para manter a compatibilidade com as bibliotecas do sistema.
(BZ#1704867)
5.1.12. Sistemas de arquivo e armazenamento
Suporte para Integridade de Dados Campo / Extensão de Integridade de Dados (DIF/DIX)
O DIF/DIX é suportado em configurações onde o fornecedor de hardware o qualificou e fornece suporte total para o adaptador host bus (HBA) particular e configuração da matriz de armazenamento no RHEL.
O DIF/DIX não é suportado nas seguintes configurações:
- Não é suportado para uso no dispositivo de inicialização.
- Não é apoiado em convidados virtualizados.
- A Red Hat não suporta o uso da biblioteca de gerenciamento de armazenamento automático (ASMLib) quando o DIF/DIX é ativado.
O DIF/DIX é ativado ou desativado no dispositivo de armazenamento, o que envolve várias camadas até (e inclusive) a aplicação. O método para ativar o DIF nos dispositivos de armazenamento é dependente do dispositivo.
Para maiores informações sobre a característica DIF/DIX, veja O que é DIF/DIX.
(BZ#1649493)
XFS agora suporta extensões de dados compartilhados de cópia-em-escrita
O sistema de arquivo XFS suporta a funcionalidade compartilhada de cópia-em-escrita de dados. Esta funcionalidade permite que dois ou mais arquivos compartilhem um conjunto comum de blocos de dados. Quando um dos arquivos que compartilham blocos comuns muda, o XFS quebra o link para blocos comuns e cria um novo arquivo. Isto é similar à funcionalidade copy-on-write (COW) encontrada em outros sistemas de arquivos.
As extensões de dados compartilhados por meio de cópia-em-escrita são:
- Rápido
- A criação de cópias compartilhadas não utiliza a E/S em disco.
- Eficiente em termos de espaço
- Os blocos compartilhados não consomem espaço adicional em disco.
- Transparente
- Os arquivos que compartilham blocos comuns agem como arquivos regulares.
Os utilitários de espaço do usuário podem usar extensões de dados compartilhadas de cópia-em-escrita para:
-
Clonagem eficiente de arquivos, como por exemplo com o comando
cp --reflink
- Snapshots por arquivo
Esta funcionalidade também é utilizada pelos subsistemas de kernel como Overlayfs e NFS para uma operação mais eficiente.
As extensões de dados compartilhados copy-on-write agora são habilitadas por padrão ao criar um sistema de arquivos XFS, começando com o pacote xfsprogs
versão 4.17.0-2.el8
.
Observe que os dispositivos de Acesso Direto (DAX) atualmente não suportam XFS com extensões de dados compartilhados de cópia-em-escrita. Para criar um sistema de arquivo XFS sem este recurso, use o seguinte comando:
# mkfs.xfs -m reflink=0 block-device
O Red Hat Enterprise Linux 7 pode montar sistemas de arquivo XFS com extensões de dados compartilhadas de cópia-em-escrita somente no modo somente-leitura.
(BZ#1494028)
O tamanho máximo do sistema de arquivo XFS é 1024 TiB
O tamanho máximo suportado de um sistema de arquivo XFS foi aumentado de 500 TiB para 1024 TiB.
Sistemas de arquivos maiores que 500 TiB exigem isso:
- o recurso CRC de metadados e o recurso inode btree gratuito estão ambos habilitados no formato de sistema de arquivos, e
- o tamanho do grupo de alocação é de pelo menos 512 GiB.
No RHEL 8, o utilitário mkfs.xfs
cria sistemas de arquivo que atendem a esses requisitos por padrão.
O cultivo de um sistema de arquivo menor que não atende a estes requisitos para um novo tamanho maior que 500 TiB não é suportado.
(BZ#1563617)
o sistema de arquivoext4
agora suporta o checksum de metadados
Com esta atualização, os metadados ext4
são protegidos por checksums
. Isto permite que o sistema de arquivos reconheça os metadados corruptos, o que evita danos e aumenta a resiliência do sistema de arquivos.
VDO agora suporta todas as arquiteturas
O Virtual Data Optimizer (VDO) está agora disponível em todas as arquiteturas suportadas pela RHEL 8.
Para a lista de arquiteturas suportadas, ver ???.
(BZ#1534087)
O gerenciador de boot BOOM simplifica o processo de criação de entradas de boot
BOOM é um gerenciador de inicialização para sistemas Linux que utilizam carregadores de inicialização que suportam a especificação BootLoader para configuração de entrada de inicialização. Ele permite uma configuração de inicialização flexível e simplifica a criação de entradas de inicialização novas ou modificadas: por exemplo, para inicializar imagens instantâneas do sistema criado usando LVM.
BOOM não modifica a configuração existente do carregador de inicialização, e apenas insere entradas adicionais. A configuração existente é mantida, e qualquer integração de distribuição, como scripts de instalação e atualização do kernel, continua a funcionar como antes.
BOOM tem uma interface simplificada de linha de comando (CLI) e API que facilitam a tarefa de criar entradas de inicialização.
(BZ#1649582)
LUKS2 é agora o formato padrão para encriptar volumes
No RHEL 8, o formato LUKS versão 2 (LUKS2) substitui o formato antigo LUKS (LUKS1). O subsistema dm-crypt
e a ferramenta cryptsetup
agora usa o LUKS2 como o formato padrão para volumes criptografados. O LUKS2 fornece volumes criptografados com redundância de metadados e auto-recuperação no caso de um evento de corrupção parcial de metadados.
Devido ao layout flexível interno, LUKS2 é também um capacitador de características futuras. Ele suporta o desbloqueio automático através do token genérico de kernel-keyring construído em libcryptsetup
que permite aos usuários desbloquear volumes LUKS2 usando uma frase-chave armazenada no serviço de retenção de kernel-keyring.
Outras melhorias notáveis incluem:
- A configuração da chave protegida usando o esquema de cifra de chave embrulhada.
- Integração mais fácil com a Decriptação Baseada em Políticas (Clevis).
- Até 32 ranhuras de chave - LUKS1 fornece apenas 8 ranhuras de chave.
Para mais detalhes, veja as páginas man cryptsetup(8)
e cryptsetup-reencrypt(8)
.
(BZ#1564540)
NVMe/FC é totalmente compatível com os adaptadores Broadcom Emulex e Marvell Qlogic Fibre Channel
O tipo de transporte NVMe sobre Fibre Channel (NVMe/FC) agora é totalmente suportado em modo iniciador quando usado com Broadcom Emulex e Marvell Qlogic Fibre Channel 32Gbit adaptadores que apresentam suporte NVMe.
O NVMe sobre canal de fibra é um tipo adicional de transporte de tecido para o protocolo Nonvolatile Memory Express (NVMe), além do protocolo Remote Direct Memory Access (RDMA), que foi introduzido anteriormente no Red Hat Enterprise Linux.
Habilitação de NVMe/FC:
Para ativar o NVMe/FC no driver
lpfc
, edite o arquivo/etc/modprobe.d/lpfc.conf
e adicione a seguinte opção:lpfc_enable_fc4_type=3
Para ativar o NVMe/FC no driver
qla2xxx
, edite o arquivo/etc/modprobe.d/qla2xxx.conf
e adicione a seguinte opção:qla2xxx.ql2xnvmeenable=1
Restrições adicionais:
- O Multipath não é suportado com NVMe/FC.
- O agrupamento NVMe não é suportado com NVMe/FC.
-
kdump
não é suportado com NVMe/FC. - O Booting from Storage Area Network (SAN) NVMe/FC não é suportado.
(BZ#1649497)
Novo ajuste de configuração de scan_lvs
Uma nova configuração do arquivo de configuração lvm.conf
, scan_lvs
, foi adicionada e definida como 0 por padrão. O novo comportamento padrão impede o LVM de procurar PVs que possam existir em cima de LVs; ou seja, ele não irá procurar LVs ativos por mais PVs. A configuração padrão também impede a LVM de criar PVs em cima de LVs.
A colocação de PVs em camadas em cima de LVs pode ocorrer por meio de imagens de VM colocadas em cima de LVs, caso em que não é seguro para o host acessar os PVs. Evitar este acesso inseguro é a principal razão para o novo comportamento padrão. Além disso, em ambientes com muitos LVs ativos, a quantidade de varredura do dispositivo feita pelo LVM pode ser significativamente reduzida.
O comportamento anterior pode ser restaurado alterando esta configuração para 1.
Nova seção de anulações
do arquivo de configuração DM Multipath
O arquivo /etc/multipath.conf
agora inclui uma seção de anulações
que permite que você defina um valor de configuração para todos os seus dispositivos. Estes atributos são usados pela DM Multipath para todos os dispositivos, a menos que sejam sobrescritos pelos atributos especificados na seção multipercursos
do arquivo /etc/multipath.conf
para caminhos que contenham o dispositivo. Esta funcionalidade substitui o parâmetro all_devs
da seção de dispositivos
do arquivo de configuração, que não é mais suportado.
(BZ#1643294)
A instalação e inicialização a partir de dispositivos NVDIMM é agora suportada
Antes desta atualização, os dispositivos NVDIMM (Nonvolatile Dual Inline Memory Module) em qualquer modo eram ignorados pelo instalador.
Com esta atualização, as melhorias do kernel para suportar os dispositivos NVDIMM fornecem capacidades aprimoradas de desempenho do sistema e acesso melhorado ao sistema de arquivos para aplicações de gravação intensiva como banco de dados ou cargas de trabalho analíticas, bem como redução das despesas gerais da CPU.
Esta atualização introduz suporte para:
-
O uso de dispositivos NVDIMM para instalação usando o comando
nvdimm
Kickstart e o GUI, tornando possível a instalação e inicialização a partir de dispositivos NVDIMM em modo setor e reconfigurar os dispositivos NVDIMM em modo setor durante a instalação. -
A extensão dos scripts de
Kickstart
para Anaconda com comandos para lidar com dispositivos NVDIMM. -
A capacidade do
grub2
,efibootmgr
e dos componentes do sistemaefivar
de manusear e inicializar a partir de dispositivos NVDIMM.
(BZ#1499442)
A detecção de caminhos marginais em DM Multipath foi melhorada
O serviço multipathd
agora suporta a melhor detecção de caminhos marginais. Isto ajuda os dispositivos multipath a evitar caminhos que podem falhar repetidamente, e melhora o desempenho. Os caminhos marginais são caminhos com erros de E/S persistentes mas intermitentes.
As seguintes opções no arquivo /etc/multipath.conf
controlam o comportamento dos caminhos marginais:
-
percurso_muito_fracassado_tempo_ marginal
, -
marginal_path_err_sample_time
, -
caminho_marginal
, e -
marginal_path_err_recheck_gap_time
.
DM Multipath desabilita um caminho e o testa com E/S repetidas para o tempo de amostragem configurado se:
-
as opções de
multicaminhos.conf
listadas são definidas, - um caminho falha duas vezes no tempo configurado, e
- outros caminhos estão disponíveis.
Se o caminho tiver mais do que a taxa de erro configurado durante este teste, a DM Multipath o ignora durante o tempo de intervalo configurado, e então o retesta para ver se está funcionando bem o suficiente para ser restabelecido.
Para mais informações, consulte a página de manual multipath.conf
.
(BZ#1643550)
Programação de múltiplas filas em dispositivos de bloco
Os dispositivos de bloco agora usam o agendamento de múltiplas filas no Red Hat Enterprise Linux 8. Isto permite que o desempenho da camada de bloco seja bem dimensionado com drives de estado sólido rápido (SSDs) e sistemas multi-core.
Os programadores tradicionais, que estavam disponíveis na RHEL 7 e versões anteriores, foram removidos. A RHEL 8 suporta apenas programadores multi-funções.
(BZ#1647612)
5.1.13. Alta disponibilidade e clusters
Novos comandos pcs
para listar os dispositivos de vigilância disponíveis e testar os dispositivos de vigilância
Para configurar a SBD com Pacemaker, é necessário um dispositivo de vigilância funcional. Esta versão suporta o comando pcs stonith sbd watchdog list
para listar os dispositivos de watchdog disponíveis no nó local, e o comando pcs stonith sbd watchdog test
comando para testar um dispositivo de watchdog. Para informações sobre a ferramenta de linha de comando sbd
, veja a página de manual sbd
(8).
(BZ#1578891)
O comando pcs
agora suporta a filtragem de falhas de recursos por uma operação e seu intervalo
Pacemaker agora rastreia falhas de recursos por uma operação de recurso em cima de um nome de recurso, e um nó. O comando pcs resource failcount show
agora permite filtrar as falhas por um recurso, nó, operação e intervalo. Ele fornece uma opção para exibir falhas agregadas por um recurso e nó ou detalhadas por um recurso, nó, operação e seu intervalo. Além disso, o comando de limpeza de recursos pcs
agora permite filtrar falhas por um recurso, nó, operação e intervalo.
(BZ#1591308)
Timestamps ativados no registro corosync
O registro corosync
não continha anteriormente carimbos temporais, o que dificultava sua relação com registros de outros nós e daemons. Com este lançamento, os timestamps estão presentes no log corosync
.
(BZ#1615420)
Novos formatos para configuração de clusters de pcs
, adição de nós de clusters de pcs
e remoção de nós de clusters de pcs
No Red Hat Enterprise Linux 8, os pcs
suportam totalmente Corosync 3, knet
, e nomes de nós. Os nomes dos nós agora são necessários e substituem os endereços dos nós no papel de identificador do nó. Os endereços dos nós agora são opcionais.
-
No comando
pcs host auth
, os endereços dos nós são os endereços padrão para os nomes dos nós. -
Na
configuração do cluster pcs
e nonó de cluster pcs adicionar
comandos, os endereços dos nós são os endereços padrão para os endereços dos nós especificados no comandoauth do host pcs
.
Com estas mudanças, os formatos dos comandos para configurar um agrupamento, adicionar um nó a um agrupamento e remover um nó de um agrupamento foram alterados. Para obter informações sobre estes novos formatos de comando, veja a exibição de ajuda para a configuração do cluster pcs
, adicionar um nó de cluster pcs
e remover
comandos do nó de cluster pcs
.
(BZ#1158816)
Novos comandos pcs
O Red Hat Enterprise Linux 8 introduz os seguintes novos comandos.
-
RHEL 8 introduz um novo comando,
pcs cluster node add-guest | remove-guest
, que substitui opcs cluster remoto-node add | remove
comando no RHEL 7. -
RHEL 8 introduz um novo comando,
pcs quorum unblock
, que substitui o comandopcs cluster unblock quorum unblock
no RHEL 7. -
O comando de
reposição de recursos pcs
foi removido, pois duplica a funcionalidade do comando delimpeza de recursos pcs
. RHEL 8 introduz novos comandos que substituem o comando
pcs resource [mostrar]
no RHEL 7:-
O comando
pcs resource [status]
no RHEL 8 substitui o comandopcs resource [show]
no RHEL 7. -
O comando
pcs resource config
no RHEL 8 substitui o comandopcs resource [show] --full
command no RHEL 7. -
O comando
pcs resource config resource id
no RHEL 8 substitui o comandopcs resource show resource id
no RHEL 7.
-
O comando
RHEL 8 introduz novos comandos que substituem o comando
pcs stonith [show]
no RHEL 7:-
O comando
pcs stonith [status]
no RHEL 8 substitui o comandopcs stonith [show]
no RHEL 7. -
O comando
pcs stonith config
no RHEL 8 substitui o comandopcs stonith [show] --full
command no RHEL 7. -
O comando
pcs stonith config resource id
no RHEL 8 substitui o comandopcs stonith show resource id
no RHEL 7.
-
O comando
(BZ#1654280)
Pacemaker 2.0.0 em RHEL 8
Os pacotes de marcapassos
foram atualizados para a versão upstream do Pacemaker 2.0.0, que fornece uma série de correções e melhorias de bugs em relação à versão anterior:
-
O registro detalhado do Pacemaker é agora
/var/log/pacemaker/pacemaker.log
por padrão (não diretamente em/var/log
ou combinado com o registrocorosync
em/var/log/cluster
). -
Os processos Pacemaker daemon foram renomeados para tornar a leitura dos logs mais intuitiva. Por exemplo, o
daemon
foi renomeado para"pacemaker-schedulerd"
. -
O suporte para o
padrão
depreciadode recursos de recursos de origem duv
idosa e as propriedades de cluster deinadimplência
foram abandonadas. Apegajosidade dos recursos
e as propriedadesadministradas
devem ser definidas nos padrões de recursos. As configurações existentes (embora não as recentemente criadas) com a sintaxe depreciada serão automaticamente atualizadas para usar a sintaxe suportada. - Para uma lista mais completa de mudanças, veja a atualização do Pacemaker 2.0 no Red Hat Enterprise Linux 8.
É recomendado que os usuários que estão atualizando um cluster existente usando o Red Hat Enterprise Linux 7 ou anterior, executem o cib-upgrade de cluster pcs
em qualquer nó de cluster antes e depois de atualizar o RHEL em todos os nós de cluster.
Recursos mestres renomeados para recursos de clonagem promocionais
O Red Hat Enterprise Linux (RHEL) 8 suporta Pacemaker 2.0, no qual um recurso mestre/escravo não é mais um tipo de recurso separado, mas um recurso clone padrão com um meta-atributo promocional
definido como verdadeiro
. As seguintes mudanças foram implementadas em apoio a esta atualização:
-
Não é mais possível criar recursos mestres com o comando
pcs
. Ao invés disso, é possível criar recursos de clonagempromocionais
. As palavras-chave e comandos relacionados foram alterados demaster
parapromotable
. - Todos os recursos mestres existentes são exibidos como recursos de clonagem promocionais.
- Ao gerenciar um cluster RHEL7 na Web UI, os recursos mestre ainda são chamados de master, já que os clusters RHEL7 não suportam clones promovíveis.
(BZ#1542288)
Novos comandos para autenticar os nós em um cluster
O Red Hat Enterprise Linux (RHEL) 8 incorpora as seguintes mudanças nos comandos usados para autenticar os nós em um cluster.
-
O novo comando para autenticação é
pcs host auth
. Este comando permite que os usuários especifiquem nomes de host, endereços e portaspcsd
. -
O comando
auth do cluster pcs auth auth auth auth auth aut
h authenticates only the nodes in a local cluster and does not accept a node list -
Agora é possível especificar um endereço para cada nó.
pcs/pcsd
então se comunicará com cada nó usando o endereço especificado. Estes endereços podem ser diferentes daqueles quea corosync
utiliza internamente. -
O comando
pcs pcsd clear-auth
foi substituído pelos comandospcsd deauth
epcs host deauth
. Os novos comandos permitem aos usuários deauthenticate um único host, bem como todos os hosts. -
Anteriormente, a autenticação do nó era bidirecional, e executar o comando
auth do cluster pcs
fazia com que todos os nós especificados fossem autenticados uns contra os outros. O comandopcs host auth
, entretanto, faz com que apenas o host local seja autenticado contra os nós especificados. Isto permite um melhor controle de qual nó é autenticado contra quais outros nós ao executar este comando. Na própria configuração do cluster, e também ao adicionar um nó,os pcs
sincronizam automaticamente os tokens no cluster, assim todos os nós no cluster ainda são automaticamente autenticados como antes e os nós do cluster podem se comunicar uns com os outros.
Observe que estas mudanças não são retrocompatíveis. Os nós que foram autenticados em um sistema RHEL 7 precisarão ser autenticados novamente.
(BZ#1549535)
Os comandos pcs
agora suportam exibição, limpeza e sincronização do histórico das vedações
O daemon da cerca da Pacemaker segue um histórico de todas as ações de cerca tomadas (pendentes, bem sucedidas e fracassadas). Com este lançamento, os comandos pcs
permitem aos usuários acessar o histórico das cercas das seguintes maneiras:
-
O comando de
status pcs
mostra ações de esgrima falhadas e pendentes -
O comando
pcs status --full
mostra todo o histórico da esgrima -
O comando
pcs stonith history
fornece opções para exibir e limpar o histórico da esgrima -
Embora o histórico da esgrima seja sincronizado automaticamente, o comando
pcs stonith history
agora suporta uma opção deatualização
que permite que o usuário sincronize manualmente o histórico da esgrima, caso seja necessário
(BZ#1620190, BZ#1615891)
5.1.14. Trabalho em rede
nftables
substitui o iptables
como a estrutura padrão de filtragem de pacotes de rede
A estrutura nftables
oferece facilidades de classificação de pacotes e é o sucessor designado para as ferramentas iptables
, ip6tables
, arptables
e ebtables
. Ela oferece inúmeras melhorias em conveniência, características e desempenho em relação às ferramentas de filtragem de pacotes anteriores, mais notadamente:
- tabelas de pesquisa em vez de processamento linear
-
uma estrutura única para ambos os protocolos
IPv4
eIPv6
- regras todas aplicadas atomicamente em vez de buscar, atualizar e armazenar um conjunto completo de regras
-
suporte para depuração e rastreamento no conjunto de regras
(nftrace
) e monitoramento de eventos de rastreamento (na ferramentanft
) - sintaxe mais consistente e compacta, sem extensões específicas de protocolo
- uma API Netlink para aplicações de terceiros
Da mesma forma que as iptables
, as nftables
utilizam tabelas para armazenar correntes. As cadeias contêm regras individuais para a realização de ações. A ferramenta nft
substitui todas as ferramentas das estruturas de filtragem de pacotes anteriores. A biblioteca libnftables
pode ser usada para interação de baixo nível com o nftables
Netlink API sobre a biblioteca libmnl
.
As ferramentas iptables
, ip6tables
, ebtables
e arptables
são substituídas por ferramentas drop-in baseadas em nftables com o mesmo nome. Enquanto o comportamento externo é idêntico ao de suas contrapartes legadas, internamente eles usam nftables
com módulos netfilter
kernel legados através de uma interface de compatibilidade onde for necessário.
O efeito dos módulos sobre o conjunto de regras nftables
pode ser observado usando o comando nft list ruleset
. Como estas ferramentas adicionam tabelas, correntes e regras ao conjunto de regras nftables
, esteja ciente de que as operações do conjunto de regras nftables
, tais como o comando nft flush ruleset
, podem afetar os conjuntos de regras instalados usando os comandos herdados anteriormente separados.
Para identificar rapidamente qual variante da ferramenta está presente, as informações da versão foram atualizadas para incluir o nome do back-end. No RHEL 8, a ferramenta iptables
baseada em nftables imprime a seguinte seqüência de versões:
$ iptables --version iptables v1.8.0 (nf_tables)
Para comparação, a seguinte informação da versão é impressa se a ferramenta iptables
legados estiver presente:
$ iptables --version iptables v1.8.0 (legacy)
(BZ#1644030)
Características notáveis do TCP no RHEL 8
O Red Hat Enterprise Linux 8 é distribuído com a pilha de rede TCP versão 4.18, que oferece maior desempenho, melhor escalabilidade e maior estabilidade. Os desempenhos são aumentados especialmente para servidores TCP ocupados com uma alta taxa de conexão de entrada.
Além disso, dois novos algoritmos de congestionamento TCP, BBR
e NV
, estão disponíveis, oferecendo menor latência, e melhor rendimento do que o cúbico na maioria dos cenários.
(BZ#1562998)
firewalld
usa nftables
por padrão
Com esta atualização, o subsistema de filtragem nftables
é o backend padrão de firewall para o daemon firewalld
. Para alterar o backend, use a opção FirewallBackend
no arquivo /etc/firewalld/firewalld.conf
.
Esta mudança introduz as seguintes diferenças de comportamento ao utilizar nftables
:
as execuções de regras
iptables
sempre ocorrem antes das regrasfirewalld
-
DROP
emiptables
significa que um pacote nunca é visto porfirewalld
-
ACCEPT
emiptables
significa que um pacote ainda está sujeito às regrasfirewalld
-
-
as regras diretas
firewalld
ainda são implementadas através deiptables
enquanto outros recursosfirewalld
utilizamnftables
-
a execução direta das regras ocorre antes da aceitação genérica das conexões estabelecidas pelo
firewalld
(BZ#1509026)
Notável mudança no wpa_supplicant
no RHEL 8
No Red Hat Enterprise Linux (RHEL) 8, o pacote wpa_supplicant
é construído com CONFIG_DEBUG_SYSLOG
habilitado. Isto permite ler o log wpa_supplicant
usando o utilitário journalctl
em vez de verificar o conteúdo do arquivo /var/log/wpa_supplicant.log
.
(BZ#1582538)
NetworkManager agora suporta as funções virtuais SR-IOV
No Red Hat Enterprise Linux 8.0, NetworkManager permite configurar o número de funções virtuais (VF) para interfaces que suportam virtualização de E/S de raiz única (SR-IOV). Adicionalmente, NetworkManager permite configurar alguns atributos das VFs, tais como o endereço MAC, VLAN, a configuração de verificação de spoof
e bitrates permitidos. Observe que todas as propriedades relacionadas à SR-IOV estão disponíveis na configuração de conexão sriov
. Para mais detalhes, consulte a página de manual nm-settings(5)
.
(BZ#1555013)
Os drivers de rede virtual IPVLAN são agora suportados
No Red Hat Enterprise Linux 8.0, o kernel inclui suporte a drivers de rede virtual IPVLAN. Com esta atualização, as placas de interface de rede virtual IPVLAN (NICs) permitem a conectividade de rede para múltiplos containers expondo um único endereço MAC à rede local. Isto permite que um único host tenha muitos containers superando a possível limitação do número de endereços MAC suportados pelo equipamento de rede peer.
(BZ#1261167)
NetworkManager suporta uma correspondência de nomes de interface wildcard para conexões
Anteriormente, era possível restringir uma conexão a uma determinada interface usando apenas uma correspondência exata no nome da interface. Com esta atualização, as conexões têm uma nova propriedade match.interface-name
que suporta wildcards. Esta atualização permite aos usuários escolher a interface para uma conexão de uma forma mais flexível usando um padrão curinga.
(BZ#1555012)
Melhorias na pilha de rede 4.18
O Red Hat Enterprise Linux 8.0 inclui a pilha de rede atualizada para a versão upstream 4.18, que fornece várias correções e melhorias de bugs. Mudanças notáveis incluem:
-
Introduziu novos recursos de descarga, tais como
UDP_GSO
, e, para alguns drivers de dispositivos,GRO_HW
. - Melhoria significativa da escalabilidade para o Protocolo de Datagramas de Usuário (UDP).
- Melhorou o código genérico das pesquisas de opinião pública ocupadas.
- Melhoria da escalabilidade para o protocolo IPv6.
- Melhor escalabilidade para o código de roteamento.
-
Adicionado um novo algoritmo padrão de programação de fila de transmissão
,fq_codel
, que melhora um atraso na transmissão. -
Melhoria da escalabilidade para alguns algoritmos de programação de filas de transmissão. Por exemplo, o
pfifo_fast
está agora sem lockless. - Melhor escalabilidade da unidade de remontagem IP pela remoção da rosca do núcleo de coleta de lixo e fragmentos de IP expiram apenas no tempo limite. Como resultado, o uso da CPU sob DoS é muito menor, e a taxa máxima de queda de fragmentos sustentável é limitada pela quantidade de memória configurada para a unidade de remontagem IP.
(BZ#1562987)
Novas ferramentas para converter iptables
em nftables
Esta atualização adiciona as ferramentas iptables-translate
e ip6tables-translate
para converter as regras iptables
ou ip6tables
existentes nas regras equivalentes para nftables
. Note que algumas extensões carecem de suporte à tradução. Se tal extensão existir, a ferramenta imprime a regra não traduzida prefixada com o sinal #
. Por exemplo:
| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill | nft # -A INPUT -j CHECKSUM --checksum-fill
Além disso, os usuários podem usar as ferramentas iptables-restore-translate
e ip6tables-restore-translate
para traduzir um lixão de regras. Note que antes disso, os usuários podem usar os comandos iptables-save
ou ip6tables-save
para imprimir um dump das regras atuais. Por exemplo:
| % sudo iptables-save >/tmp/iptables.dump | % iptables-restore-translate -f /tmp/iptables.dump | # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018 | add table ip nat | ...
(BZ#1564596)
Novos recursos adicionados à VPN usando NetworkManager
No Red Hat Enterprise Linux 8.0, NetworkManager fornece os seguintes novos recursos para VPN:
- Suporte para o protocolo Internet Key Exchange versão 2 (IKEv2).
-
Acrescentou mais algumas opções Libreswan, tais como as opções
direita,
esquerdina
,estreitamento
,rechave
,fragmentação
. Para mais detalhes sobre as opções suportadas, veja a página do homemnm-settings-libreswan
. -
Atualizou as cifras padrão. Isto significa que quando o usuário não especifica as cifras, o plugin NetworkManager-libreswan permite que a aplicação Libreswan escolha a cifra padrão do sistema. A única exceção é quando o usuário seleciona uma configuração de modo agressivo IKEv1. Neste caso, os valores
ike = aes256-sha1;modp1536
eeps = aes256-sha1
são passados para Libreswan.
(BZ#1557035)
Um novo tipo de pedaço de dados, I-DATA
, adicionado ao SCTP
Esta atualização acrescenta um novo tipo de pedaço de dados, I-DATA
, e programadores de fluxo ao Stream Control Transmission Protocol (SCTP). Anteriormente, o SCTP enviava mensagens de usuário na mesma ordem em que eram enviadas por um usuário. Consequentemente, uma grande mensagem de usuário SCTP bloqueou todas as outras mensagens em qualquer stream até que fossem completamente enviadas. Ao utilizar os pedaços de I-DATA
, o campo Número de Seqüência de Transmissão (TSN) não está sobrecarregado. Como resultado, o SCTP agora pode programar os fluxos de diferentes maneiras, e o I-DATA
permite a intercalação de mensagens do usuário (RFC 8260). Note que ambos os pares devem suportar o tipo I-DATA
chunk.
(BZ#1273139)
ONetworkManager
suporta a configuração de recursos de descarga de etool
Com este aprimoramento, o NetworkManager
suporta a configuração de recursos de descarga de etool
, e os usuários não precisam mais usar scripts de inicialização ou um script de despacho do NetworkManager
. Como resultado, os usuários podem agora configurar o recurso de descarregar como parte do perfil de conexão usando um dos seguintes métodos:
-
Usando a utilidade
nmcli
-
Editando arquivos-chave no diretório
/etc/NetworkManager/system-connections/
-
Editando os arquivos
/etc/sysconfig/network-scripts/ifcfg-*
Note que este recurso não é atualmente suportado em interfaces gráficas e no utilitário nmtui
.
(BZ#1335409)
Suporte TCP BBR em RHEL 8
Um novo algoritmo de controle de congestionamento TCP, largura de banda de gargalo e tempo de ida e volta (BBR) é agora suportado no Red Hat Enterprise Linux (RHEL) 8. BBR tenta determinar a largura de banda do link de gargalo e o tempo de viagem de ida e volta (RTT). A maioria dos algoritmos de congestionamento é baseada na perda de pacotes (incluindo CUBIC, o algoritmo padrão de controle de congestionamento TCP do Linux), que tem problemas em links de alta produtividade. O BBR não reage diretamente a eventos de perda, ele ajusta a taxa de pacotes TCP para corresponder com a largura de banda disponível. Os usuários do TCP BBR devem mudar para a configuração de fila fq
em todas as interfaces envolvidas.
Note que os usuários devem usar explicitamente o fq
e não o fq_codel
.
Para mais detalhes, consulte a página tc-fq
man.
(BZ#1515987)
lksctp-tools
, versão 1.0.18 em RHEL 8
O pacote lksctp-tools
, versão 3.28 está disponível no Red Hat Enterprise Linux (RHEL) 8. Melhorias notáveis e correções de bugs incluem:
- Integração com Travis CI e Coverity Scan
-
Suporte para a função
sctp_peeloff_flags
- Indicação de quais características do núcleo estão disponíveis
- Fixa em questões de Coverity Scan
(BZ#1568622)
Colocação do módulo SCTP na lista negra por padrão no RHEL 8
Para aumentar a segurança, um conjunto de módulos do kernel foi movido para o pacote kernel-modules-extra
. Estes não são instalados por padrão. Como conseqüência, os usuários não root não podem carregar estes componentes, pois eles estão na lista negra por padrão. Para usar um destes módulos do kernel, o administrador do sistema deve instalar os módulos do kernel-modules-extra
e remover explicitamente a lista negra de módulos. Como resultado, os usuários não root poderão carregar o componente de software automaticamente.
(BZ#1642795)
Mudanças notáveis no driverctl
0,101
O Red Hat Enterprise Linux 8.0 é distribuído com driverctl
0.101. Esta versão inclui as seguintes correções de erros:
-
As advertências do
shellcheck
foram fixadas. -
O bash-completion é instalado como
driverctl
em vez dedriverctl-bash-completion.sh.
-
A função
load_override
para ônibus não-PCI foi fixada. -
O serviço de
motorista
carrega todas as anulações antes de atingir o alvo do sistema.básico.alvo.
(BZ#1648411)
Acrescentou prioridades ricas em regras ao firewalld
A opção prioritária
foi acrescentada às ricas regras. Isto permite aos usuários definir a ordem de prioridade desejável durante a execução das regras e proporciona um controle mais avançado sobre as regras ricas.
(BZ#1648497)
NVMe sobre RDMA é suportado no RHEL 8
No Red Hat Enterprise Linux (RHEL) 8, o Nonvolatile Memory Express (NVMe) sobre Remote Direct Memory Access (RDMA) suporta Infiniband, RoCEv2, e iWARP somente no modo iniciador.
Note que a Multipath é suportada apenas no modo failover.
Restrições adicionais:
- A Kdump não é suportada com NVMe/RDMA.
- A inicialização a partir do dispositivo NVMe sobre RDMA não é suportada.
O back end nf_tables
não suporta depuração usando o dmesg
O Red Hat Enterprise Linux 8.0 usa o back end nf_tables
para firewalls que não suportam a depuração do firewall usando a saída do utilitário dmesg
. Para depurar regras de firewall, use os comandos xtables-monitor -t
ou nft monitor trace
para decodificar os eventos de avaliação de regras.
(BZ#1645744)
O Red Hat Enterprise Linux suporta o VRF
O kernel no RHEL 8.0 suporta encaminhamento e encaminhamento virtual (VRF). Os dispositivos VRF, combinados com o conjunto de regras definidas usando o utilitário ip
, permitem aos administradores criar domínios VRF na pilha da rede Linux. Estes domínios isolam o tráfego na camada 3 e, portanto, o administrador pode criar diferentes tabelas de roteamento e reutilizar os mesmos endereços IP dentro de diferentes domínios VRF em um host.
(BZ#1440031)
iproute
, versão 4.18 em RHEL 8
O pacote iproute
é distribuído com a versão 4.18 no Red Hat Enterprise Linux (RHEL) 8. A mudança mais notável é que a interface marcada como ethX:Y, tal como eth0:1, não é mais suportada. Para contornar este problema, os usuários devem remover o sufixo do alias, que é os dois pontos e o seguinte número antes de entrar no ip link show
.
(BZ#1589317)
5.1.15. Segurança
Etiqueta SWID da versão RHEL 8.0
Para permitir a identificação das instalações RHEL 8.0 usando o mecanismo ISO/IEC 19770-2:2015, as etiquetas de identificação de software (SWID) são instaladas em arquivos /usr/lib/swidtag/redhat
. com/com.redhat.RHEL-8-<arquitetura>.swidtag
e /usr/lib/swidtag/redhattag.com/com.redhat.RHEL-8.0-<arquitetura>.swidtag
. O diretório pai destas tags também pode ser encontrado seguindo o link simbólico /etc/swid/swidtags.d/redhat.com
.
A assinatura XML dos arquivos de tags SWID pode ser verificada usando o comando xmlsec1 verify
, por exemplo:
xmlsec1 verify --trusted-pem /etc/pki/swid/CA/redhatcodesignca.cert /usr/share/redhat.com/com.redhat.RHEL-8-x86_64.swidtag
O certificado da autoridade de certificação de assinatura do código também pode ser obtido na página Chaves de Assinatura do Produto no Portal do Cliente.
(BZ#163636338)
As políticas criptográficas de todo o sistema são aplicadas por padrão
Crypto-policies é um componente do Red Hat Enterprise Linux 8, que configura os subsistemas criptográficos centrais, cobrindo os protocolos TLS, IPsec, DNSSEC, Kerberos e SSH. Ele fornece um pequeno conjunto de políticas, que o administrador pode selecionar usando o comando update-crypto-policies
.
A política de criptografia do sistema DEFAULT
oferece configurações seguras para os atuais modelos de ameaça. Ela permite os protocolos TLS 1.2 e 1.3, assim como os protocolos IKEv2 e SSH2. As chaves RSA e os parâmetros Diffie-Hellman são aceitos se forem maiores que 2047 bits.
Veja o artigo Segurança consistente por políticas criptográficas no Red Hat Enterprise Linux 8 no Blog da Red Hat e a página de manual update-crypto-policies(8)
para mais informações.
(BZ#1591620)
OpenSSH rebaseado para a versão 7.8p1
Os pacotes openssh
foram atualizados para a versão upstream 7.8p1. Mudanças notáveis incluem:
-
Removido o suporte para o protocolo
SSH versão 1
. -
Removido o suporte para o código de autenticação de mensagem
hmac-ripemd160
. -
Removido o suporte para as cifras RC4
(arcfour
). -
Removido o suporte para as cifras
Blowfish
. -
Removido o suporte para as cifras
CAST
. -
Alterou o valor padrão da opção
UseDNS
paranão
. -
Algoritmos de chave pública
DSA
desativados por padrão. -
Mudou o tamanho mínimo do módulo para parâmetros
Diffie-Hellman
para 2048 bits. -
Mudança na semântica da opção de configuração
ExposeAuthInfo
. -
A opção
UsePrivilegeSeparation=sandbox
é agora obrigatória e não pode ser desativada. -
Ajuste o tamanho mínimo aceito da chave
RSA
para 1024 bits.
(BZ#1622511)
A geração automática de chaves de servidor OpenSSH
é agora tratada pela sshd-keygen@.service
O OpenSSH
cria automaticamente chaves de servidor RSA, ECDSA e ED25519 se elas estiverem faltando. Para configurar a criação da chave de host no RHEL 8, use o serviço sshd-keygen@.service
instantiated.
Por exemplo, para desativar a criação automática do tipo de chave RSA:
# máscara systemctl sshd-keygen@rsa.service
Consulte o arquivo /etc/sysconfig/sshd
para obter mais informações.
(BZ#1228088)
As chaves ECDSA são suportadas para autenticação SSH
Este lançamento da suíte OpenSSH
introduz suporte para chaves ECDSA armazenadas em Cartões Smart Card PKCS #11. Como resultado, os usuários podem agora usar ambas as chaves RSA e ECDSA para autenticação SSH.
(BZ#1645038)
a libssh
implementa o SSH como um componente criptográfico central
Esta mudança introduz a libssh
como um componente criptográfico central no Red Hat Enterprise Linux 8. A biblioteca libssh
implementa o protocolo Secure Shell (SSH).
Note que o lado cliente da libssh
segue a configuração definida para OpenSSH
através de políticas de criptografia em todo o sistema, mas a configuração do lado servidor não pode ser alterada através de políticas de criptografia em todo o sistema.
(BZ#1485241)
TLS 1.3 suporte em bibliotecas criptográficas
Esta atualização permite a Segurança da Camada de Transporte (TLS) 1.3 por padrão em todas as principais bibliotecas de criptografia back-end. Isto permite baixa latência em toda a camada de comunicação do sistema operacional e aumenta a privacidade e segurança das aplicações, aproveitando novos algoritmos, como o RSA-PSS ou X25519.
(BZ#1516728)
NSS agora usa SQL por padrão
As bibliotecas dos Network Security Services (NSS) agora usam o formato de arquivo SQL para o banco de dados de confiança por padrão. O formato de arquivo DBM, que era usado como formato padrão de banco de dados em versões anteriores, não suporta acesso simultâneo ao mesmo banco de dados por vários processos e tem sido depreciado no upstream. Como resultado, aplicações que usam o banco de dados de confiança NSS para armazenar chaves, certificados e informações de revogação agora criam bancos de dados no formato SQL por padrão. Tentativas de criar bancos de dados no formato DBM antigo falham. Os bancos de dados DBM existentes são abertos em modo somente leitura, e são automaticamente convertidos para o formato SQL. Note que o NSS suporta o formato de arquivo SQL desde o Red Hat Enterprise Linux 6.
(BZ#1489094)
O suporte PKCS #11 para Cartões Smart Card e HSMs é agora consistente em todo o sistema
Com esta atualização, o uso de cartões inteligentes e Módulos de Segurança de Hardware (HSM) com a interface criptográfica PKCS #11 se torna consistente. Isto significa que o usuário e o administrador podem usar a mesma sintaxe para todas as ferramentas relacionadas no sistema. As melhorias notáveis incluem:
- Suporte para o esquema PKCS #11 Uniform Resource Identifier (URI) que garante uma habilitação simplificada de tokens em servidores RHEL tanto para administradores quanto para escritores de aplicativos.
-
Um método de registro em todo o sistema para Cartões Smart Card e HSMs usando o
pkcs11.conf
. -
Suporte consistente para HSMs e cartões inteligentes está disponível nas aplicações NSS, GnuTLS e OpenSSL (através do motor
openssl-pkcs11
). -
O servidor HTTP Apache
(httpd
) agora suporta HSMs sem problemas.
Para mais informações, consulte a página de manual pkcs11.conf(5)
.
(BZ#1516741)
Firefox agora funciona com drivers PKCS #11 registrados em todo o sistema
O navegador Firefox carrega automaticamente o módulo p11-kit-proxy
e cada cartão inteligente registrado em todo o sistema p11-kit
através do arquivo pkcs11.conf
é detectado automaticamente. Para usar a autenticação do cliente TLS, nenhuma configuração adicional é necessária e as chaves de um smart card são automaticamente usadas quando um servidor as solicita.
(BZ#1595638)
RSA-PSS é agora suportado no OpenSC
Esta atualização adiciona suporte ao esquema de assinatura criptográfica RSA-PSS ao condutor do Cartão Smart Card OpenSC
. O novo esquema permite um algoritmo criptográfico seguro necessário para o suporte ao TLS 1.3 no software do cliente.
(BZ#1595626)
Mudanças notáveis em Libreswan
no RHEL 8
Os pacotes da libreswan
foram atualizados para a versão upstream 3.27, que fornece muitas correções e melhorias em relação às versões anteriores. As mudanças mais notáveis incluem:
-
Suporte para RSA-PSS (RFC 7427) através de
authby=rsa-sha2
, ECDSA (RFC 7427) através deauthby=ecdsa-sha2
, CURVE25519 usando a palavra-chavedh31
, e CHACHA20-POLY1305 para IKE e ESP através da palavra-chave de criptografiachacha20_poly1305
foi adicionada para o protocolo IKEv2. -
O suporte para o módulo KLIPS alternativo foi removido de
Libreswan
, uma vez que o KLIPS foi totalmente depreciado a montante. - Os grupos Diffie-Hellman DH22, DH23 e DH24 não são mais suportados (de acordo com o RFC 8247).
Observe que o authby=rsasig
foi alterado para usar sempre o método RSA v1.5, e a opção authby=rsa-sha2
usa o método RSASSA-PSS. A opção authby=rsa-sha1
não é válida de acordo com o RFC 8247. Esta é a razão pela qual Libreswan
não suporta mais o SHA-1 com assinaturas digitais.
(BZ#1566574)
Políticas criptográficas de todo o sistema mudam a versão padrão do IKE em Libreswan para IKEv2
A versão padrão do IKE na implementação do Libreswan IPsec foi alterada de IKEv1 (RFC 2409) para IKEv2 (RFC 7296). Os algoritmos padrão IKE e ESP/AH para uso com IPsec foram atualizados para atender às políticas de criptografia do sistema, RFC 8221, e RFC 8247. Os tamanhos de chave de criptografia de 256 bits são agora preferidos em relação aos tamanhos de chave de 128 bits.
As cifras padrão IKE e ESP/AH agora incluem AES-GCM, CHACHA20POLY1305, e AES-CBC para criptografia. Para verificação de integridade, elas fornecem AEAD e SHA-2. Os grupos Diffie-Hellman agora contêm DH19, DH20, DH21, DH14, DH15, DH16, e DH18.
Os seguintes algoritmos foram removidos das políticas padrão IKE e ESP/AH: AES_CTR, 3DES, SHA1, DH2, DH5, DH22, DH23, e DH24. Com exceção do DH22, DH23 e DH24, estes algoritmos podem ser habilitados pela opção ike=
ou phase2alg=/esp=/ah=
nos arquivos de configuração IPsec.
Para configurar conexões IPsec VPN que ainda requerem o protocolo IKEv1, adicione o ikev2=sem
opção aos arquivos de configuração de conexão. Veja a página de manual ipsec.conf(5)
para mais informações.
(BZ#1645606)
Mudanças relacionadas à versão IKE em Libreswan
Com esta melhoria, Libreswan lida com as configurações de troca de chaves da Internet (IKE) de maneira diferente:
- A versão padrão da troca de chaves da Internet (IKE) foi alterada de 1 para 2.
- As conexões agora podem usar o protocolo IKEv1 ou IKEv2, mas não ambos.
A interpretação da opção
ikev2
foi alterada:-
Os valores
insistem
é interpretado como IKEv2 apenas. -
Os valores
não
enunca
são interpretados apenas como IKEv1. -
Os valores
propostos
,sim
e,permissão
não são mais válidos e resultam em um erro, pois não ficou claro quais versões do IKE resultaram desses valores
-
Os valores
(BZ#1648776)
Novas características no OpenSCAP
em RHEL 8
O conjunto OpenSCAP
foi atualizado para a versão 1.3.0, que introduz muitas melhorias em relação às versões anteriores. As características mais notáveis incluem:
- API e ABI foram consolidadas - os símbolos atualizados, depreciados e/ou não utilizados foram removidos.
-
As sondas não são executadas como processos independentes, mas como roscas dentro do processo
oscap
. - A interface da linha de comando foi atualizada.
-
As amarrações
Python 2
foram substituídas pelasPython 3
bindings.
(BZ#1614273)
OGuia de Segurança SCAP
agora suporta políticas criptográficas de todo o sistema
Os pacotes scap-security-guide
foram atualizados para usar políticas criptográficas predefinidas em todo o sistema para configurar os subsistemas criptográficos centrais. O conteúdo de segurança que conflitava com as políticas criptográficas de todo o sistema, ou que as ultrapassava, foi removido.
Observe que esta mudança se aplica somente ao conteúdo de segurança no scap-security-guide
, e você não precisa atualizar o scanner OpenSCAP ou outros componentes SCAP.
(BZ#1618505)
A interface de linha de comando OpenSCAP foi melhorada
O modo verboso está agora disponível em todos os módulos e submódulos oscap
. A saída da ferramenta melhorou a formatação.
As opções desvalorizadas foram removidas para melhorar a usabilidade da interface da linha de comando.
As seguintes opções não estão mais disponíveis:
-
-
-show
inoscap xccdf gerar relatório
foi completamente removido. -
-
-probe-root
emavaliação oval oscap
foi removido. Ela pode ser substituída pela configuração da variável de ambiente,OSCAP_PROBE_ROOT
. -
-
-sce-resultados
emoscap xccdf eval
foi substituído por--check-engine-results
-
o submódulo
validate-xml
foi descartado dos módulos CPE, OVAL, e XCCDF. submódulosvalidate
podem ser usados para validar o conteúdo SCAP contra esquemas XML e XSD schematrons. -
o
comandooscap - oval list-probes
foi removido, a lista de sondas disponíveis pode ser exibida usandooscap --version
.
OpenSCAP permite avaliar todas as regras em um determinado benchmark XCCDF, independentemente do perfil, usando o "(all)" --profile '(all)'
.
(BZ#1618484)
Guia de Segurança SCAP O perfil PCI-DSS alinha-se com a versão 3.2.1
Os pacotes scap-security-guide
fornecem o perfil PCI-DSS (Payment Card Industry Data Security Standard) para o Red Hat Enterprise Linux 8 e este perfil foi atualizado para se alinhar com a última versão do PCI-DSS - 3.2.1.
(BZ#1618528)
O Guia de Segurança SCAP suporta OSPP 4.2
Os pacotes scap-security-guide
fornecem um rascunho do perfil OSPP (Protection Profile for General Purpose Operating Systems) versão 4.2 para o Red Hat Enterprise Linux 8. Este perfil reflete os controles de configuração obrigatórios identificados no Anexo de Configuração NIAP do Perfil de Proteção para Sistemas Operacionais de Propósito Geral (Protection Profile Version 4.2). O Guia de Segurança SCAP fornece verificações e scripts automatizados que ajudam os usuários a atender os requisitos definidos no OSPP.
(BZ#1618518)
Mudanças notáveis no rsyslog
no RHEL 8
Os pacotes rsyslog
foram atualizados para a versão upstream 8.37.0, que fornece muitas correções de bugs e melhorias em relação às versões anteriores. As mudanças mais notáveis incluem:
- Melhor processamento das mensagens internas rsyslog; possibilidade de limitação da taxa; fixação de um possível impasse.
- Limitação de taxas melhorada em geral; o atual spam source está agora registrado.
- Melhor manuseio de mensagens superdimensionadas - o usuário pode agora definir como tratá-las tanto no núcleo quanto em certos módulos com ações separadas.
-
as bases de regras
mmnormalize
agora podem ser embutidas no arquivode configuração
em vez de criar arquivos separados para elas. -
Todas as variáveis de
configuração
, incluindo variáveis no JSON, são agora não sensíveis a maiúsculas e minúsculas. - Várias melhorias na saída do PostgreSQL.
-
Acrescentou a possibilidade de usar variáveis shell para controlar o processamento da
configuração
, como carregamento condicional de arquivos de configuração adicionais, execução de declarações, ou inclusão de um texto naconfiguração
. Note que um uso excessivo deste recurso pode tornar muito difícil a depuração de problemas com rsyslog. -
Os modos de criação de arquivos de 4 dígitos podem agora ser especificados na
configuração
. - A entrada do Protocolo de Registro de Eventos Confiáveis (RELP) agora também pode ser vinculada apenas em um endereço especificado.
-
O valor padrão da opção
enable.body
da saída de correio está agora alinhado à documentação - O usuário pode agora especificar códigos de erro de inserção que devem ser ignorados na saída de MongoDB.
- A entrada TCP paralela (pTCP) tem agora o backlog configurável para um melhor balanceamento de carga.
-
Para evitar a duplicação de registros que poderiam aparecer quando
o journald
rotacionava seus arquivos, a opçãoimjournal
foi adicionada. Observe que o uso desta opção pode afetar o desempenho.
Observe que o sistema com rsyslog
pode ser configurado para proporcionar melhor desempenho conforme descrito no artigo Configuring system logging without journald or with minimized journald use Knowledgebase article.
(BZ#1613880)
Novo módulo rsyslog: omkafka
Para ativar os cenários de armazenamento de dados centralizado kafka, agora você pode encaminhar os logs para a infra-estrutura kafka usando o novo módulo omkafka
.
(BZ#1542497)
rsyslog imfile
agora suporta symlinks
Com esta atualização, o módulo imfile
rsyslog oferece melhor desempenho e mais opções de configuração. Isto permite que você utilize o módulo para casos de uso mais complicado de monitoramento de arquivos. Por exemplo, agora você pode usar monitores de arquivos com padrões globais em qualquer lugar ao longo do caminho configurado e rotacionar alvos de links simbólicos com maior produção de dados.
(BZ#1614179)
O formato padrão do arquivo de configuração rsyslog
é agora não-legacy
Os arquivos de configuração nos pacotes rsyslog
agora usam o formato não legado por padrão. O formato legado ainda pode ser usado, no entanto, misturar declarações de configuração atuais e legados tem várias restrições. As configurações realizadas a partir de versões anteriores do RHEL devem ser revisadas. Veja a página de manual rsyslog.conf(5)
para mais informações.
(BZ#1619645)
Auditoria 3.0 substitui audispd
por auditd
Com esta atualização, a funcionalidade do audispd
foi transferida para o auditd
. Como resultado, as opções de configuração do audispd
são agora parte do auditd.conf
. Além disso, o diretório plugins.d
foi movido para /etc/audit
. O status atual do auditd
e seus plug-ins pode agora ser verificado executando o comando de estado do serviço auditd
.
(BZ#1616428)
tangd_port_t
permite mudanças da porta padrão para Tang
Esta atualização introduz o tipo tangd_port_t
SELinux que permite a execução do serviço tangd
como confinado ao modo de aplicação do SELinux. Essa mudança ajuda a simplificar a configuração de um servidor Tang para ouvir em uma porta definida pelo usuário e também preserva o nível de segurança fornecido pelo SELinux em modo de aplicação.
Consulte a seção Configurando o desbloqueio automatizado de volumes criptografados utilizando a decodificação baseada em políticas para obter mais informações.
Novas booleans SELinux
Esta atualização da política do sistema SELinux introduz as seguintes booleans:
- colord_use_nfs
- mysql_connect_http
- pdns_can_network_connect_db
- ssh_use_tcpd
- sslh_can_bind_any_port
- sslh_can_connect_any_port
- virt_use_pcscd
Para obter uma lista de booleanos incluindo seu significado, e para descobrir se eles estão habilitados ou desabilitados, instale o pacote selinux-policy-devel
e use:
# semanage boolean -l
(JIRA:RHELPLAN-10347)
SELinux agora apóia systemd Sem novos privilégios
Esta atualização introduz a capacidade da política nnp_nosuid_transition
que permite transições de domínio SELinux sob No New Privileges
(NNP) ou nosuid
se a nnp_nosuid_transition
for permitida entre o antigo e o novo contexto. Os pacotes de políticas selinux
agora contêm uma política para serviços systemd que utilizam o recurso de segurança do NNP
.
A regra a seguir descreve como permitir esta capacidade para um serviço:
allow source_domain target_type:process2 { nnp_transition nosuid_transition };
Por exemplo:
allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };
A política de distribuição agora também contém uma interface macro m4, que pode ser usada nas políticas de segurança SELinux para serviços que utilizam a função init_nnp_daemon_domain()
.
(BZ#1594111)
Apoio para uma nova verificação de permissão do mapa no syscall do mmap
A permissão do mapa
SELinux foi adicionada para controlar o acesso mapeado de memória a arquivos, diretórios, soquetes, e assim por diante. Isto permite que a política SELinux impeça o acesso direto à memória a vários objetos do sistema de arquivos e garanta que todo esse acesso seja revalidado.
(BZ#1592244)
A SELinux agora apóia a permissão getrlimit
na classe de processo
Esta atualização introduz uma nova verificação de controle de acesso SELinux, process:getrlimit
, que foi adicionada para a função prlimit()
. Isto permite aos desenvolvedores de políticas do SELinux controlar quando um processo tenta ler e depois modificar os limites de recursos de outro processo usando a função process:setrlimit
permission. Note que o SELinux não restringe um processo de manipulação de seus próprios limites de recursos através do prlimit()
. Veja as páginas man prlimit(2
) e getrlimit(2)
para mais informações.
(BZ#1549772)
selinux-policy
agora suporta etiquetas VxFS
Esta atualização introduz o suporte para os atributos estendidos de segurança do Veritas File System (VxFS) (xattrs). Isto permite armazenar etiquetas SELinux apropriadas com objetos no sistema de arquivo em vez do tipo genérico vxfs_t. Como resultado, os sistemas com VxFS com suporte total ao SELinux são mais seguros.
(BZ#1483904)
As bandeiras de endurecimento da segurança são aplicadas de forma mais consistente
As bandeiras de endurecimento de segurança de tempo compilar são aplicadas mais consistentemente nos pacotes RPM na distribuição RHEL 8, e o pacote redhat-rpm-config
agora fornece automaticamente bandeiras de endurecimento de segurança. As bandeiras de tempo de compilação aplicadas também ajudam a atender às exigências dos Critérios Comuns (CC). Os seguintes sinalizadores de endurecimento de segurança são aplicados:
-
Para a detecção de erros de estouro de tampão:
D_FORTIFY_SOURCE=2
-
Endurecimento padrão de biblioteca que verifica as arrays C, vetores e cordas:
D_GLIBCXX_ASSERTIONS
-
Para o Stack Smashing Protector (SSP):
fstack-protector-strong
-
Para o endurecimento de exceções:
fexcepções
-
Para Control-Flow Integrity (CFI):
fcf-protection=full
(somente em arquiteturas AMD e Intel 64-bit) -
Para Randomização do Layout do Espaço de Endereços (ASLR):
fPIE
(para executáveis) oufPIC
(para bibliotecas) -
Para proteção contra a vulnerabilidade do Stack Clash:
proteção fstack-clash
(exceto ARM) -
Ligar bandeiras para resolver todos os símbolos na inicialização: -
Wl
,-z,agora
Veja a página de manual gcc(1)
para mais informações.
(JIRA:RHELPLAN-2306)
5.1.16. Virtualização
qemu-kvm
2.12 em RHEL 8
O Red Hat Enterprise Linux 8 é distribuído com qemu-kvm
2.12. Esta versão corrige bugs múltiplos e adiciona uma série de melhorias sobre a versão 1.5.3, disponível no Red Hat Enterprise Linux 7.
Notavelmente, as seguintes características foram introduzidas:
- Q35 tipo de máquina convidada
- UEFI bota convidado
- NUMA tuning and pinning in the guest
- vCPU hot plug e hot unplug
- rosqueamento de E/S convidado
Note que alguns dos recursos disponíveis no qemu-kvm
2.12 não são suportados no Red Hat Enterprise Linux 8. Para informações detalhadas, veja "Suporte de recursos e limitações na virtualização RHEL 8" no Portal do Cliente da Red Hat.
(BZ#1559240)
O tipo de máquina Q35 é agora suportado pela virtualização
A Red Hat Enterprise Linux 8 introduz o suporte para Q35, um tipo de máquina mais moderno baseado em PCI Express. Isto proporciona uma variedade de melhorias nas características e desempenho dos dispositivos virtuais, e garante que uma gama mais ampla de dispositivos modernos seja compatível com a virtualização. Além disso, as máquinas virtuais criadas no Red Hat Enterprise Linux 8 estão configuradas para usar Q35 por default.
Observe também que o tipo de máquina anteriormente padrão PC foi depreciado e só deve ser usado quando se virtualiza sistemas operacionais mais antigos que não suportam Q35.
(BZ#1599777)
KVM apóia UMIP no RHEL 8
A virtualização KVM agora suporta o recurso de Prevenção de Instruções de Modo de Usuário (UMIP), que pode ajudar a evitar o acesso das aplicações de espaço do usuário às configurações de todo o sistema. Isto reduz os vetores potenciais para ataques de escalada de privilégios, e assim torna o KVM hipervisor e suas máquinas convidadas mais seguras.
(BZ#1494651)
Informações adicionais nos relatórios de acidentes de hóspedes da KVM
As informações sobre o acidente que o hipervisor KVM gera se um convidado terminar inesperadamente ou ficar sem resposta foram expandidas. Isto facilita o diagnóstico e a correção de problemas em implementações de virtualização KVM.
(BZ#1508139)
NVIDIA vGPU é agora compatível com o console VNC
Ao usar o recurso de GPU virtual NVIDIA (vGPU), agora é possível usar o console VNC para exibir a saída visual do convidado.
(BZ#1497911)
A Ceph é apoiada pela virtualização
Com esta atualização, o armazenamento Ceph é suportado pela virtualização da KVM em todas as arquiteturas de CPU suportadas pela Red Hat.
(BZ#1578855)
Carregador de inicialização interativo para máquinas virtuais KVM na IBM Z
Ao inicializar uma máquina virtual KVM em um host IBM Z, o firmware do carregador de inicialização QEMU pode agora apresentar uma interface de console interativa do sistema operacional convidado. Isto torna possível solucionar problemas de inicialização do SO hóspede sem acesso ao ambiente host.
(BZ#1508137)
IBM z14 ZR1 suportada em máquinas virtuais
O KVM hypervisor agora suporta o modelo de CPU do servidor IBM z14 ZR1. Isto permite utilizar as características desta CPU em máquinas virtuais KVM que rodam em um sistema IBM Z.
(BZ#1592337)
A KVM apóia Telnet 3270 na IBM Z
Ao utilizar o RHEL 8 como um host em um sistema IBM Z, agora é possível conectar-se a máquinas virtuais no host usando clientes Telnet 3270.
(BZ#1570029)
Foi adicionado o sandboxing QEMU
No Red Hat Enterprise Linux 8, o emulador QEMU introduz o recurso de sandboxing. O QEMU sandboxing oferece limitações configuráveis ao que os sistemas chamam de QEMU pode realizar, e assim torna as máquinas virtuais mais seguras. Note que este recurso é habilitado e configurado por padrão.
(JIRA:RHELPLAN-10628)
Novos tipos de máquinas para máquinas virtuais KVM em IBM POWER
Múltiplos novos tipos de máquinas rel-pseries foram habilitados para KVM hypervisors rodando em sistemas IBM POWER 8 e IBM POWER 9. Isto torna possível que máquinas virtuais (VMs) hospedadas no RHEL 8 em um sistema IBM POWER utilizem corretamente as características de CPU destes tipos de máquinas. Além disso, isto permite a migração de VMs no IBM POWER para uma versão mais recente do KVM hypervisor.
(BZ#1585651, BZ#1595501)
Os sistemas ARM 64 agora suportam máquinas virtuais com até 384 vCPUs
Ao utilizar o KVM hypervisor em um sistema ARM 64, agora é possível atribuir até 384 CPUs virtuais (vCPUs) a uma única máquina virtual (VM).
Observe que o número de CPUs físicas no host deve ser igual ou maior do que o número de vCPUs anexadas a suas VMs, pois a RHEL 8 não suporta o excesso de comprometimento de vCPUs.
(BZ#1422268)
Conjuntos de instruções GFNI e CLDEMOT habilitados para Intel Xeon SnowRidge
Máquinas virtuais (VMs) rodando em um host RHEL 8 em um sistema Intel Xeon SnowRidge podem agora usar os conjuntos de instruções GFNI e CLDEMOT. Isto pode aumentar significativamente o desempenho de tais VMs em certos cenários.
(BZ#1494705)
IPv6 habilitado para OVMF
O protocolo IPv6 está agora habilitado no Open Virtual Machine Firmware (OVMF). Isto torna possível para as máquinas virtuais que utilizam OVMF tirar proveito de uma variedade de melhorias de inicialização da rede que o IPv6 oferece.
(BZ#1536627)
Um driver de bloco baseado em VFIO para dispositivos NVMe foi adicionado
O emulador QEMU introduz um driver baseado na função virtual I/O (VFIO) para dispositivos de memória não volátil Express (NVMe). O driver se comunica diretamente com os dispositivos NVMe anexados às máquinas virtuais (VMs) e evita o uso da camada do sistema de kernel e seus drivers NVMe. Como resultado, isto melhora o desempenho dos dispositivos NVMe em máquinas virtuais.
(BZ#1519004)
Suporte multicanal para o driver UIO genérico Hyper-V
O RHEL 8 agora suporta o recurso multicanal para o driver de E/S do Hyper-V Generic userspace I/O (UIO). Isto torna possível que as VMs RHEL 8 rodando no Hyper-V hypervisor utilizem o Data Plane Development Kit (DPDK) Netvsc Poll Mode driver (PMD), que melhora as capacidades de rede destas VMs.
Observe, entretanto, que o status da interface Netvsc atualmente é exibido como Down mesmo quando está em execução e utilizável.
(BZ#1650149)
Melhoria do suporte de página enorme
Ao utilizar o RHEL 8 como um host de virtualização, os usuários podem modificar o tamanho das páginas que retornam a memória de uma máquina virtual (VM) para qualquer tamanho que seja suportado pela CPU. Isto pode melhorar significativamente o desempenho da VM.
Para configurar o tamanho das páginas de memória da VM, edite a configuração XML da VM e adicione o elemento <hugepages> à seção <memoryBacking>.
(JIRA:RHELPLAN-14607)
5.1.17. Apoio
sosreport pode relatar programas e mapas baseados em eBPF
A ferramenta sosreport foi aperfeiçoada para relatar qualquer programa e mapas de Filtragem de Pacotes Berkeley (eBPF) estendida carregada no Red Hat Enterprise Linux 8.
(BZ#1559836)