Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Примечания к выпуску 6.7

Red Hat Enterprise Linux 6

Примечания к выпуску Red Hat Enterprise Linux 6.7

Редакция 7

Red Hat: отдел пользовательской документации

Аннотация

В этом документе представлена общая информация об изменениях в Red Hat Enterprise Linux 6.7. Более подробное описание можно найти в Технических примечаниях.

Предисловие

Дополнительные версии Red Hat Enterprise Linux включают новые возможности, исправления безопасности и ошибок. Примечания содержат краткое описание основных изменений в Red Hat Enterprise Linux 6.7 и сопровождающих программах. Подробную информацию можно найти в Технических примечаниях.
Со сравнительными характеристиками версий Red Hat Enterprise Linux 6 можно ознакомиться в статье: https://access.redhat.com/site/articles/rhel-limits.
Информацию о жизненном цикле Red Hat Enterprise Linux можно найти на странице: https://access.redhat.com/support/policy/updates/errata/.

Глава 1. Аутентификация

Directory Server: нормализованный кэш DN

Нормализация DN представляет собой довольно ресурсоемкую задачу, поэтому накапливание нормализованных имен в кэше помогает сократить число необходимых преобразований и улучшить быстродействие операций обработки записей с большим количеством атрибутов DN, а также функций, аналогичных memberOf

SSSD предупреждает об истечении срока действия паролей независимо от метода аутентификации

Раньше SSSD проверял пароль на стадии аутентификации, однако при беспарольном подключении с использованием открытых ключей SSH вызов SSSD происходил уже на стадии управления учетной записью (PAM: account) и, естественно, пароль не проверялся. Теперь SSSD проверяет пароль на стадии управления учетной записью и может отслеживать время действия пароля. Подробную информацию можно найти в Руководстве по развертыванию.

SSSD: авторизация с использованием UPN

SSSD поддерживает авторизацию пользователей с использованием атрибута UPN (User Princial Name). Такой подход уже широко применяется в Active Directory, и его реализация в SSSD делает возможной авторизацию пользователей Active Directory не только по имени и домену, но и по UPN.

SSSD: фоновое обновление записей в кэше

Раньше при обращении к устаревшим данным в кэше SSSD получал обновленные записи с удаленного сервера и заново размещал их в базе данных, что при обработке каталогов с большим количеством записей занимало довольно много времени. Теперь обновление кэша происходит в фоновом режиме, и несмотря на то, что его периодическое обновление повышает нагрузку на сервер, рост быстродействия при обращении к кэшу оправдывает эти затраты.

sudo поддерживает zlib

Интеграция поддержки zlib в sudo обеспечивает возможность генерации и обработки сжатых журналов.

Openscap-scanner

Новый пакет openscap-scanner позволяет установить сканер OpenSCAP без необходимости установки всех зависимостей пакета openscap-utils, в состав которого он входил раньше. Создание отдельного пакета для OpenSCAP позволяет сократить негативные последствия, связанные с установкой множества лишних пакетов. Пакет openscap-utils предоставляет другие инструменты и по-прежнему доступен для установки. Если пользователь не планирует использовать другие инструменты кроме сканера, рекомендуется удалить openscap-utils и установить openscap-scanner.

Directory Server: выбор TLS 1.0 и выше

В целях защиты от уязвимости CVE-2014-3566, SSLv3 и более ранние версии протокола по умолчанию отключены. Directory Server использует более защищенные протоколы TLSv1.1 и TLSv1.2 с учетом заданного диапазона в NSS. При необходимости администратор может определить допустимый диапазон версий SSL для взаимодействия с Directory Server из консоли.

pwdChecker в OpenLDAP

В целях обеспечения соответствия стандарту PCI была добавлена библиотека pwdChecker для OpenLDAP.

SSSD: переопределение автоматически обнаруженного сайта AD

По умолчанию Active Directory выполняет автоматическое обнаружение сайта, к которому будет подключен клиент, что не гарантирует выбор наиболее подходящего сайта. С помощью параметра ad_site в секции [domain/NAME] в /etc/sssd/sssd.conf администратор может вручную определить сайт, к которому будет подключаться SSSD. Подробное описание ad_site можно найти в документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

certmonger поддерживает SCEP

certmonger обновлен и теперь поддерживает протокол SCEP (Simple Certificate Enrollment Protocol) для автоматического получения сертификатов.

Оптимизация операций удаления групп на Directory Server

Раньше операции удаления групп выполнялись рекурсивно, что при наличии большого количества вложенных групп занимало много времени. Новый параметр memberOfSkipNested позволяет отключить рекурсивную проверку групп, тем самым значительно улучшив скорость удаления.

SSSD поддерживает переопределение атрибутов пользователей при переходе с WinSync на модель доверительных отношений

Новая концепция ID-представлений (ID View) помогает перевести пользователей IdM с WinSync на инфраструктуру, использующую модель отношений доверия между областями. За подробной информацией обратитесь к документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD: localauth для Kerberos

Новый модуль localauth для локальной авторизации Keberos автоматически сопоставляет учетные записи Kerberos с локальными пользователями SSSD, что полностью снимает необходимость в параметре auth_to_local в krb5.conf. Подробную информацию можно найти в документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD: выборочный доступ к приложениям без права доступа к системе

Новый параметр domains= модуля pam_sss переопределяет одноименное значение в /etc/sssd/sssd.conf. Параметр pam_trusted_users позволяет определить список доверенных пользователей (по UID или именам), а pam_public_domains — список доменов, которые будут доступны даже непроверенным пользователям. На основе этих правил можно создать схему, разрешающую обращение отдельных пользователей к определенным приложениям, но не к самой системе. Более детально это обсуждается в документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD: согласование окружения пользователя между AD и IdM

SSSD позволяет обращаться к атрибутам POSIX на сервере Active Directory, находящегося в доверительных отношениях с IdM (Identity Management). Теперь администратор может передать информацию об оболочке пользователя с сервера Active Directory клиенту IdM, после чего соответствующий атрибут будет доступен на клиенте IdM. Это обновление обеспечивает согласование окружений в пределах всей организации. Надо отметить, что в настоящее время атрибут homedir клиента IdM отражает значение subdomain_homedir с сервера Active Directory. Подробную информацию можно найти в документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD: получение списка групп пользователя Active Directory

Пользователи AD из доменов в лесу AD, находящихся в доверительных отношениях с IdM (Identity Management), теперь могут идентифицировать свой список групп до авторизации, благодаря чему стало возможным получить сведения о группах пользователей AD с помощью id.

getcert допускает получение сертификатов без запуска certmonger

getcert позволяет запросить сертификат во время автоматической регистрации клиентов IdM (Identity Management) без необходимости запуска certmonger. Это возможно только при условии, что dbus-daemon выключен. При этом certmonger возьмет контроль над сертификатом только после перезагрузки.

SSSD: сохранение регистра букв в идентификаторах пользователей

Параметр case_sensitive может принимать значения true, false и preserve. Новое значение preserve, в отличие от false, не переводит все символы в нижний регистр, хотя позволяет его игнорировать при поиске соответствий. Идентификаторы пользователей хранятся на сервере с учетом регистра, что отражается при выводе.

SSSD: запрет доступа по SSH для заблокированных пользователей

Раньше SSSD не учитывал факт блокирования учетной записи сервером OpenLDAP, вследствие чего пользователи могли подключаться к системе с использованием SSH-ключа даже после истечения срока действия их учетных записей. Эта проблема решается присвоением параметру ldap_access_order значения ppolicy. Подробную информацию можно найти на справочной странице sssd-ldap(5).

SSSD: объекты групповой политики на сервере Active Directory

SSSD допускает использование объектов групповой политики (GPO) на сервере Active Directory, что позволяет имитировать функциональность, широко применяемую клиентами Windows, и использовать один набор правил для управления доступом к компьютерам с операционными системами Windows и Unix. В свою очередь, администраторы Windows смогут управлять доступом к клиентам Linux с применением уже знакомых им объектов GPO. Подробную информацию можно найти в документации: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

Глава 2. Кластеризация

Corosync проверяет конфигурацию сетевых интерфейсов в режиме RRP

Corosync теперь проводит проверку конфигурации сетевых интерфейсов в кольцевой топологии. Так, для нормальной работы RRP необходимо, чтобы ни одна комбинация «IP-адрес/порт» не совпадала с другой в кольце, и на всех интерфейсах используется одна и та же версия протокола IP.

Fence_ilo_ssh

Агент fence_ilo_ssh устанавливает доступ к устройству iLO по SSH и перезагружает указанный разъем. Подробную информацию можно найти на справочной странице fence_ilo_ssh(8).

Fence_mpath

Агент fence_mpath контролирует доступ к многопутевым устройствам, используя постоянное резервирование SCSI-3. Подробную информацию можно найти на справочной странице fence_mpath(8).

Corosync UDPU оправляет сообщения только активным узлам в кольце

Раньше в одноадресном режиме UDPU сообщения пересылались всем узлам в кольце Corosync независимо от их активности, генерируя избыточный трафик и увеличивая объем запросов arp в сети. Теперь все сообщения, за исключением обязательных запросов обнаружения подключения нового узла (1-2 пакета в секунду), отправляются только активным узлам.

Агенты ресурсов SAPHanaTopology и SAPHana в Pacemaker

Пакет resource-agents-sap-hana предоставляет два новых агента ресурсов — SAPHanaTopology и SAPHana, что делает возможным управление репликацией систем SAP HANA на платформе RHEL в кластере Pacemaker.

Fence_emerson

Агент fence_emerson реализует поддержку устройств Emerson с доступом по SNMP, в частности модулей распределения электропитания MPX и MPH2. Подробную информацию можно найти на справочной странице fence_emerson(8).

Глава 3. Компиляторы и утилиты

Dracut настраивает VLAN в соответствии с записями iBFT

Раньше dracut не создавал интерфейс VLAN, несмотря на наличие параметра VLAN в iBFT. Теперь iSCSI Boot с VLAN работает как ожидается.

Подготовка к возможным изменениям функций System z в GCC

Атрибут GCC hotpatch реализует возможность внесения изменений в многопоточный код функций System z за счет резервирования некоторого количества байтов в прологе. Для конкретной функции это поведение можно включить с помощью атрибута hotpatch, в то время как параметр командной строки -mhotpatch= выбирает сразу все функции в текущей единице компиляции.
В результате этой операции размер программы неизбежно возрастет, что негативно скажется на быстродействии, поэтому рекомендуется придерживаться избирательного подхода и не включать -mhotpatch сразу для всех функций.

Версии TLS в curl

Сurl поддерживает новые аргументы --tlsv1.0, --tlsv1.1 и --tlsv1.2, с помощью которых определяется версия протокола TLS для NSS. Соответствующие константы были добавлены и в libcurl API: CURL_SSLVERSION_TLSv1_0, CURL_SSLVERSION_TLSv1_1 и CURL_SSLVERSION_TLSv1_2. Семантика существующего аргумента --tlsv1 и константы CURL_SSLVERSION_TLSv изменилась, в результате чего будет выбираться последняя версия протокола TLS 1.x, которую поддерживает и клиент, и сервер.

Python: обработка параметров без значений модулем ConfigParser

Модуль ConfigParser изначально был спроектирован так, чтобы требовать определения значений всех перечисленных параметров в файлах конфигурации. Вследствие этих ограничений параметры без значений (например, в файле my.cnf) не могли быть прочитаны. Теперь эта функция интегрирована в Python 2.6.6, и ConfigParser успешно обрабатывает подобные параметры.

tcpdump: аргументы -J/-j и --time-stamp-precision

Ядро, glibc и libpcap предоставляют API для генерации отметок времени с точностью до наносекунд, и последнее обновление tcdump отражает эти изменения. Аргумент -J позволяет получить список доступных типов отметок , -j, соответственно, изменяет тип, а --time-stamp-precision устанавливает точность определения времени.

sg3_utils: копирование данных между устройствами SCSI

Пакет sg3_utils предоставляет новые инструменты для эффективного копирования данных между устройствами, использующими набор команд SCSI. Для реализации этой функциональности было выполнено портирование программ sg_xcopy и sg_copy_results из последней версии sg3_utils.

Ethtool допускает изменение хэш-значений RSS

Ethtool допускает определение собственных хэш-значений RSS для эффективного контроля очередей пакетов в зависимости от интенсивности их поступления и адаптации к ожидаемым изменениям трафика.

tcpdump: поддержка setdirection

Tcpdump поддерживает функцию setdirection для контроля захвата трафика в зависимости от направления движения пакетов. Для перехвата входящих пакетов надо добавить параметр «-P in», исходящих — «-P out», и тех, и других — «-P inout».

Чтение конфигурации sysctl из нескольких системных каталогов

Новый переключатель --system позволяет sysctl осуществлять чтение файлов конфигурации из каталогов /etc/sysctl.d/*.

Обновление mcelog

Пакеты mcelog обновлены до версии 109 и включают ряд исправлений и дополнений. В частности, добавлена поддержка процессоров Intel Core i7.

Обновление biosdevname

Пакет biosdevname обновлен до версии 0.6.2, в которой, помимо всего прочего, предусмотрен атрибут dev_port для нового драйвера Mellanox, который отменяет присвоение имен устройствам FCoE.

Изменения в библиотеке PCRE

С целью предотвращения ошибки «grep -P» о недействительной последовательности UTF-8 при анализе бинарных файлов, были сделаны следующие изменения:
- pcre_exec() проверяет, чтобы смещение не выходило за пределы допустимого диапазона, и возвращает ошибку PCRE_ERROR_BADOFFSET вместо PCRE_ERROR_NOMATCH или перехода в бесконечный цикл;
- Если функции pcre_exec() передана недействительная строка UTF-8, то при условии, что массив ovector содержит по крайней мере два элемента, смещение первого неверного символа UTF-8 будет записано в первый элемент массива, а код ошибки — во второй. Впоследствии эти данные можно будет извлечь с помощью pcrcetest. Следует подчеркнуть, что pcre_compile() теперь возвращает первый недействительный байт UTF-8, а не последний. Кроме того, была изменена подпись функции _pcre_valid_utf8(), которая не предназначена для публичного использования, а утилита pcretest теперь добавляет краткое пояснение к коду ошибки.

glibc: поддержка инструкций Intel AVX-512

Динамический загрузчик glibc теперь может сохранять и восстанавливать регистры AVX-512, что предотвращает сбой приложений, использующих инструкции AVX-612.

Valgrind распознает инструкции Intel MPX

Valgrind распознает новые инструкции Intel MPX и префикс BND. В настоящее время инструкции MPX реализованы как команды NOP, а префикс BND игнорируется. В итоге Valgrind игнорирует и инструкции MPX, и префиксы BND, тем самым предотвращая несвоевременное прерывание программ по сигналу SIGKILL.

Форматирование вывода команды free

Для облегчения восприятия информации об использовании системной памяти в выводе команды free, был добавлен новый параметр -h, который отображает числовые значения в наиболее подходящем формате с указанием единиц (мегабайтов, гигабайтов и т.п.).

w поддерживает параметр -i

Утилита w поддерживает параметр -i, который позволяет идентифицировать узел, с которого пользователь вошел в систему, по адресу, а не по имени.

Обновление текстового редактора Vim

Пакеты vim были обновлены до версии 7.4, в которую вошло множество изменений по сравнению с предыдущими версиями. Среди них надо отметить несколько наиболее примечательных изменений: - Сохранение истории редактирования в отдельный файл при помощи параметра конфигурации undofile. По умолчанию Vim очищает буфер изменений после закрытия файла, однако эта функция позволяет сохранять историю даже при выходе из редактора. Изменения автоматически сохраняются и восстанавливаются из файла при открытии файла. - Новый механизм регулярных выражений. В отличие от старого механизма, использовавшего алгоритм последовательного перебора подстановок, в основе нового механизма лежит конечный автомат, который проверяет все возможные альтернативы для заданного символа и сохраняет возможные состояния. Несмотря на то, что такой подход несколько снижает скорость обработки простых регулярных выражений, он позволяет добиться серьезного роста производительности при отработке сложных выражений в больших текстах. Улучшение быстродействия наиболее очевидно при подсвечивании синтаксиса в файлах Javascript и XML с длинными строками.

Глава 4. Рабочее окружение

Kate запоминает параметры печати

Раньше Kate не запоминал параметры печати, и пользователю приходилось заново устанавливать колонтитулы и поля для каждого задания печати. Этот недостаток исправлен и настроенные предпочтения больше не сбрасываются.

Изменения в iprutils

Пакеты iprutils были обновлены до версии 2.4.5, которая включает ряд исправлений и дополнений. В частности, добавлена возможность оценки доли попадания в кэш для дисков SAS (Serial Attached SCSI) и сокращено время создания RAID-массива из устройств Advanced Function DASD (формат разметки DASD должен быть совместим с SAS RAID).

Изменения в LibreOffice

Обновленная версия Libreoffice 4.2.8.2 включает множество исправлений и улучшений, в том числе:
  • Улучшена совместимость с OpenXML.
  • Дополнительные статистические функции в Calc улучшают функциональную совместимость с Microsoft Excel и его расширением Analysis ToolPak.
  • Улучшена производительность Calc.
  • Добавлены фильтры импорта документов Abiword и Apple Keynote.
  • Улучшен фильтр экспорта MathML.
  • Добавлена новая стартовая страница со списком последних документов.
  • Визуальный индикатор в сортировщике слайдов сообщает о том, что к слайдам применены эффекты переходов и анимации.
  • Улучшены линии тренда в диаграммах.
  • Добавлена поддержка языковых кодов BCP 47.
Полный список изменений LibreOffice можно найти здесь: https://wiki.documentfoundation.org/ReleaseNotes/4.2

Libgovirt

В данной версии Red Hat Enterprise Linux добавлен пакет libgovirt, предоставляющий библиотеку для подключения remote-viewer к виртуальным машинам под управлением oVirt и Red Hat Enterprise Virtualization.

Шрифты DejaVu

Пакеты dejavu-fonts обновлены до версии 2.33 и включают ряд исправлений и дополнений. В частности, расширен диапазон поддерживаемых знаков и символов.

SCAP Workbench

SCAP Workbench предоставляет интуитивный интерфейс для сканирования системы и формирования отчетов, который значительно облегчает работу пользователя за счет интеграции с scap-security-guide. Раньше в Red Hat Enterprise Linux 6 входили только пакеты scap-security-guide и openscap, поэтому сканирование приходилось выполнять в командной строке, что представляло собой неудобный и подверженный ошибкам процесс. SCAP Workbench значительно упрощает решение задач редактирования информации в форматах SCAP и сканирования системы.

Virt-who: поддержка зашифрованных паролей

Раньше virt-who хранил пароли в открытом виде, и любой пользователь, получивший доступ к файлу конфигурации virt-who, мог их прочитать, что представляло серьезную угрозу безопасности. В этой версии операционной системы была добавлена утилита virt-who-password, которая позволяет хранить пароли в зашифрованном виде. Надо отметить, однако, что даже зашифрованные пароли могут быть расшифрованы пользователем root.

Virt-who работает в автономном режиме

Virt-who не требует подключения к гипервизору для идентификации виртуальных машин и возвращает результат, даже если гипервизор отключен. Если virt-who не может напрямую подключиться к гипервизору в силу ограничений политики безопасности, то пользователь может извлечь список виртуальных машин из файла соответствий, выполнив команду virt-who --print. Полученные таким образом данные можно будет передать в RHSM.

Virt-who: фильтрация узлов

Новый механизм фильтрации в virt-who позволяет выбрать те или иные узлы в зависимости от заданных критериев. Например, можно создать фильтр для исключения систем, у которых нет виртуальных машин Red Hat Enterprise Linux, или, наоборот, для выбора систем с виртуальными машинами конкретной версии Red Hat Enterprise Linux.

Turbostat поддерживает процессоры Intel® Core шестого поколения

Turbostat теперь поддерживает процессоры Intel® Core шестого поколения (Skylake).

Virt-who: фильтрация в кластерах

Новый механизм фильтрации в virt-who позволяет выбрать те или иные узлы в зависимости от заданных критериев. Например, можно создать фильтр для исключения систем, у которых нет виртуальных машин Red Hat Enterprise Linux, или, наоборот, для выбора систем с виртуальными машинами конкретной версии Red Hat Enterprise Linux.

Virt-who: фильтрация по гипервизору

В virt-who реализована возможность исключения гипервизоров, не ассоциированных с виртуальными машинами Red Hat Enterprise Linux.

Транслитерация латиницы в US-ASCII

Функция transliterator_transliterate(), осуществляющая транслитерацию символов с помощью ICU, теперь поддерживает конвертацию латиницы в US-ASCII. Отсутствие этой функциональности в предыдущих версиях вызывало определенные сложности, например пользователь не мог просто удалить из кода PHP символы, не входящие в набор ASCII.

Глава 5. Общие обновления

redhat-release-server предоставляет запасной сертификат

При определенных обстоятельствах установка Red Hat Enterprise Linux может проходить без соответствующего сертификата продукта. В качестве дополнительной меры для обеспечения возможности регистрации системы redhat-release-server предоставляет стандартный сертификат, который будет выбран в случае, если индивидуальный сертификат не обнаружен.

Увеличен порог ожидания для повторных попыток gPXE

Время ожидания gPXE увеличено до 60 секунд с целью предоставления достаточного времени для получения адреса с DHCP-сервера в соответствии со спецификациями PXE и RFC 2131.

Оптимизация кода Linux IPL

Код загрузчика zipl оптимизирован с целью облегчения интеграции исправлений и дополнительных функций.

Оптимизация производительности dasdfmt

Реорганизация внутренних механизмов обработки запросов форматирования и реализация функций PAV в ядре улучшают скорость форматирования современных больших DASD с учетом перспективы роста размеров DASD в будущем.

Маски верифицированных путей в выводе lscss

Команда lscss для Linux на IBM System z, получающая сведения о подканалах из sysfs, теперь показывает маски верифицированных путей в списке устройств.

Wireshark поддерживает чтение из stdin

Последняя версия Wireshark поддерживает чтение больших файлов входных данных.

Доступ к меню SeaBIOS с помощью ESC

Доступ к меню загрузки SeaBIOS может дополнительно осуществляться по кнопке ESC помимо F12.

Формат времени в Wireshark с точностью до наносекунд

Отметки времени в файлах pcapng представлены с точностью до наносекунд, что позволяет составить четкую картину о прохождении сетевого трафика.

Список путей DASD в выводе lsdasd

Команда lsdasd для Linux на System z, получающая сведения об устройствах DASD из sysfs, теперь возвращает подробную информацию о состоянии их путей (установленные, занятые и т.п.).

Атрибуты порта коммутатора в выводе lsqeth

Команда lsqeth для Linux на System z, которая возвращает список параметров для устройства qeth, теперь, помимо прочего, сообщает атрибуты порта коммутатора (в строке switch_attrs).

Поддержка разделов GPFS в fdasd

Команда fdasd для Linux на System z, которая предоставляет необходимые функции для управления разделами на ECKD DASD, теперь поддерживает разделы GPFS.

Обновление ppc64-diag

Пакеты ppc64-diag обновлены до версии 2.6.7 и включают ряд изменений и улучшений по сравнению с предыдущей версией.

Поддержка OpenJDK 8 в JPackage-utils

OpenJDK 8 был добавлен еще в RHEL 6.6, однако системные приложения Java не могли исполняться вследствие отсутствия поддержки OpenJDK 8 в jpackage-utils. Теперь jpackage-utils поддерживает выполнение приложений в окружении OpenJDK 8.

Режимы работы preupgrade-assistant

Новые параметры migrate и upgrade позволяют изменить режим вывода сообщений в файлах конфигурации INI в зависимости от выбранного режима работы preupg. Функциональность migrate еще не реализована, поэтому в настоящее время поддерживается только параметр upgrade.

Глава 6. Установка и загрузка

Порядок установки пакетов

Новая функция RPM OrderWithRequires использует одноименный тег, по функциональности схожий с Requires, но без установки зависимостей. Если пакеты, перечисленные в списке OrderWithRequires, уже участвуют в той же транзакции, они будут установлены в первую очередь. Главное отличие OrderWithRequires от Requires состоит в том, что если пакет не участвует в транзакции, он не будет принудительно загружаться.

Предупреждение Anaconda о DASD с разметкой LDL

Несмотря на то, что ядро операционной системы распознает накопители DASD с разметкой LDL (Linux Disk Layout) на платформах IBM System z, тем не менее система установки их не поддерживает. В случае обнаружения подобных устройств в процессе установки, будет показано предупреждение с предложением отформатировать их как CDL (Compatibility Disk Layout).

Глава 7. Ядро

KVM поддерживает до 240 виртуальных процессоров

Гипервизор KVM теперь поддерживает до 240 виртуальных процессоров на виртуальную машину.

Поддержка Intel® Wireless 7265/3165 (Stone Peak)

В iwlwifi добавлена поддержка адаптеров Intel® Wireless 7265/3165 (Stone Peak).

Поддержка планшетов Wacom 22HD Touch

Red Hat Enterprise Linux теперь распознает планшеты Wacom 22HD Touch.

Масштабируемость обработки HugeTLB

Раньше ядро одновременно обрабатывало только одну ошибку страниц HugeTLB вследствие использования единственного мьютекса для контроля всей очереди. Его заменила целая таблица взаимных исключений, что позволяет обрабатывать страницы параллельно. Размер таблицы выбирается на основе компромисса между числом коллизий и показателями рабочей нагрузки в базе данных.

Фильтрация больших страниц в Kdump

KDump теперь обрабатывает HugePages как страницы данных пользователя, что позволяет их отфильтровать, тем самым сократив размер полученного vmcore. Обычно большие страницы хранят данные приложений, поэтому их исключение вряд ли повлияет на проведение проверки и поиск конфликтов в файле.

Перенаправление пакетов 802.1x EAP с сетевого моста

В реализации сетевых мостов предусмотрена поддержка перенаправления пакетов EAP в стандарте 802.1x, что делает возможным выборочное перенаправление пакетов с локальной линии (link-local). Это изменение также позволяет гипервизору RHEL 6 осуществлять аутентификацию гостей, подключающихся через мост Linux к порту коммутатора.

Глава 8. Сетевые функции

Новый аргумент iptables -C

В iptables реализована поддержка аргумента -C, позволяющего проверить существование указанных правил в цепочке во избежание повторений.

Поддержка списков IPv6

Списки ipset теперь поддерживают адреса IPv6.

Глава 9. Серверы и службы

Ограничение на использование ослабленных наборов шифров в стандартной конфигурации httpd

Конфигурация модуля mod_ssl для httpd больше не использует ослабленные наборы шифров SSL на основе алгоритмов DES, IDEA, SEED, что снижает риск несанкционированного доступа к передаваемым данным.

Изменение протокола SSL на IMAP-сервере Cyrus

Новый параметр конфигурации позволяет изменить версию протокола SSL для связи с сервером Cyrus. Одним из вариантов его применения является возможность отключения SSLv3 с целью защиты каналов коммуникаций от уязвимости POODLE.

dstat поддерживает символьные ссылки

dstat может принимать символьные ссылки в качестве аргументов, что делает возможным динамическое определение имени загрузочного устройства и гарантирует, что dstat будет отражать актуальную информацию об устройствах. Значение должно содержать полный путь к файлу в /dev/disk/.

Обновление rng-tools

Пакеты rng-tools, предоставляющие инструменты для генерации случайных чисел, были обновлены до версии 5. Теперь генератор случайный чисел rngb будет по умолчанию применяться на процессорах Intel x86 и Intel 64 EM64T/AMD64, что позволяет в полной мере воспользоваться преимуществами процессорного источника энтропии через инструкцию RDRAND. Это обновление повышает уровень производительности и защиты серверных приложений на оборудовании Intel.

Графическая реализация nm-connection-editor

Усовершенствования графического интерфейса nm-connection-editor призваны облегчить редактирование IP-адресов и маршрутов посредством визуального выделения опечаток и ошибок формата.

ypbind: интервал поиска серверов

ypbind по умолчанию выполняет поиск активного сервера каждые 15 минут, однако для многих межсетевых экранов время ожидания ограничивается 10 минутами, поэтому попытка привязки к серверу периодически завершалась неудачей. В этом обновлении добавлен параметр -r, с помощью которого можно контролировать интервал проверки, тем самым предотвратив конфликт с межсетевым экраном.

Обновление squid

Пакеты squid обновлены до версии 3.1.23 и включают ряд исправлений и дополнений. В частности, добавлена поддержка пустых ответов на запросы HTTP/1.1 POST и PUT.

dhcpd поддерживает опцию 97 (pxe-client-id)

Выделение статического IP-адреса теперь осуществляется корректно исходя из уникального идентификатора клиента, предоставленного опцией 97. Соответствующее определение в dhcpd.conf будет выглядеть примерно так:
host pixi {   option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff;   fixed-address 1.2.3.4; }

Отключение циклического ведения журналов Tomcat

По умолчанию циклический сдвиг журналов инициируется первой операцией записи после полуночи. При этом именование журналов происходит в соответствии со схемой {префикс}{дата}{суффикс}, где дата представлена в виде ГГГГ-ММ-ДД. Новый параметр rotatable позволяет отключить циклическое ведение журналов. Для этого ему надо присвоить значение false, что также изменит схему именования файлов на {префикс}{суффикс}. По умолчанию rotatable установлен в true (циклическое ведение журналов включено).

Порядок выбора принтеров в CUPS

Раньше в случае сбоя принтера внутренний механизм CUPS распределял задания печати между другими принтерами этого класса по циклическому принципу. Теперь стало возможным явно определить порядок выбора принтеров. Так, например, задания могут отправляться на предпочтительный принтер, а в случае его отказа — на заданный резервный принтер.

OpenSSH допускает изменение запросов LDAP

Добавлена возможность определения фильтра для модификации запросов LDAP с целью получения открытых ключей с серверов, использующих другие схемы данных.

ErrorPolicy на справочной странице cupsd.conf(5)

Справочная страница cupsd.conf(5) была дополнена описанием директивы ErrorPolicy и ее возможных значений. ErrorPolicy определяет дальнейшие действия в случае ошибки при передаче задания печати принтеру.

Изменение протокола SSL в Dovecot

Новый параметр конфигурации позволяет изменить версию протокола SSL для связи с сервером Dovecot. Одним из вариантов его применения является возможность отключения SSLv3 с целью защиты каналов коммуникаций от уязвимости POODLE. Версии SSLv2 и SSLv3 по умолчанию отключены из соображений безопасности.

OpenSSH: поддержка подстановок в PermitOpen

Добавлена поддержка символов подстановки в значении параметра PermitOpen в файле sshd_config.

tomcatjss поддерживает TLS 1.1 и 1.2

В tomcatjss реализована поддержка версий протокола TLS 1.1 и 1.2.

Squid: удаление и модификация заголовков HTTP

Новый параметр --enable-http-violations позволяет изменить или скрыть заголовки HTTP из ответов.

BIND: поддержка RPZ-NSIP и RPZ-NSDNAME

Добавлена поддержка правил RPZ-NSIP и RPZ-NSDNAME для зон RPZ в конфигурации BIND.

OpenSSH: изменение разрешений для полученных файлов

OpenSSH допускает принудительное изменение разрешений для файлов, полученных по протоколу SFTP.

Mailman поддерживает расширенные функции DMARC

В обновленной версии Mailman усилена поддержка стандарта DMARC (Domain-based Message Authentication, Reporting and Conformance). Mailman теперь признает результат верификации отправителя письма в соответствии с подписью DKIM (Domain Key Identified Mail) и корректно обрабатывает сообщения, перенаправленные из доменов, на которых DMARC применяет политику reject.

Глава 10. Хранение данных

Дополнительные параметры и точки монтирования в правилах udev

Правила udev поддерживают дополнительные параметры и точки монтирования, что позволяет создавать более гибкие правила, запрещая или принуждая применение параметров монтирования к целым наборам устройств. Так, например, системный администратор может создать правила для монтирования USB-устройств только в режиме чтения.

udisks поддерживает глобальный параметр noexec

udisks поддерживает глобальный параметр монтирования noexec. Например, это позволит смонтировать все устройства в режиме чтения, чтобы предотвратить запуск приложений пользователями в защищенных окружениях.

Конфигурация массивов Dell MD36xxf в /etc/multipath.conf

Инкапсуляция конфигурации дисковых массивов Dell MD36xxf в секцию devices в файле /etc/multipath.conf улучшает показатели производительности подобных массивов.

config_dir в multipath.conf

Раньше вся конфигурация multipath хранилась в файле /etc/multipath.conf. Это серьезно ограничивало свободу администратора в создании гибкой конфигурации для подконтрольных машин. Например, нельзя было создать один общий и несколько дополнительных файлов конфигурации со специализированными настройками для отдельных машин.
Новый параметр config_dir предлагает практическое решение этой проблемы, позволяя подключить дополнительные файлы конфигурации. Значение config_dir может быть пустым или содержать полный путь к файлу. Чтение файлов происходит в алфавитном порядке, а их содержимое обрабатывается так, как будто оно расположено в /etc/multipath.conf. По умолчанию config_dir содержит путь /etc/multipath/conf.d.

Обновление прав доступа к томам с помощью lvchange -p

Если активный логический том доступен только в режиме чтения, в то время как согласно метаданным он должен быть доступен для записи (что вполне может произойти после изменения значения activation или read_only_volume_list), то с помощью lvchange --permission rw можно привести разрешения в соответствие с метаданными (равносильно lvchange --refresh). И наоборот, lvchange --permission r ограничивает доступ к логическому тому только операциями чтения. Подробную информацию можно найти на справочной странице lvchange(8).

multipathd: параметры delay_watch_checks и delay_wait_checks

Multipathd по умолчанию оставляет 300 секунд на восстановление вышедшего из строя пути, но если надежность одного из путей страдает вследствие частого обрыва соединения, то может сложиться впечатление, что multipathd перестал отвечать. В целях обеспечения более эффективного контроля за реинтеграцией путей были добавлены два новых параметра — delay_watch_checks и delay_wait_checks. Так, delay_watch_checks определяет число проверок, по результатам которых будет принято решение о дееспособности пути. Если за это время снова произошел обрыв соединения, путь будет исключен из рабочей схемы до тех пор, пока не будет получено подтверждение о том, что соединение оставалось стабильным на протяжении следующего цикла проверок, заданного числом delay_wait_checks. Такой подход дает возможность стабилизировать подключение, прежде чем путь снова будет введен в работу.

mdadm обновлен до версии 3.3.2

Обновленный пакет mdadm 3.3.2 предлагает множество изменений: автоматическую пересборку массивов в случае выхода из строя одного из томов, преобразование уровней RAID, сохранение текущего состояния и переключение дисков SAS-SATA. Все эти функции поддерживаются внешними форматами метаданных и продолжают реализацию существующей программы поддержки Intel RSTe SW RAID.

Глава 11. Управление подписками

Обновление механизма регистрации в рамках программы AUS

В рамках расширенной программы поддержки AUS (Advanced Mission Critical Update Support) subscription-manager предоставляет дополнительные сертификаты для облегчения перехода с RHN Classic на новый механизм управления подписками RHSM.

Ключи активации в rhn-migrate-classic-to-rhsm

С целью облегчения перехода на новую платформу управления подписками добавлена возможность автоматического выбора подписок с помощью ключей активации.

Запуск rhn-migrate-classic-to-rhsm без ввода учетных данных

Так как операция удаления профиля регистрации из RHN Classic требует авторизации, то чтобы отменить необходимость ввода пароля, можно оставить старый профиль в RHN Classic. Для этого в строке команды rhn-migrate-classic-to-rhsm надо добавить параметр --keep. Если профиль остается в RHN Classic, тогда в новой системе управления подписками вводить данные авторизации не потребуется.

Глава 12. Виртуализация

Прямой доступ к виртуальным машинам RHEV-H

Доступ к виртуальным машинам может осуществляться напрямую при помощи virt-viewer.

Изменения в меню при подключении к ovirt:// из remote-viewer

Обоснование: Возможность смены CD в виртуальном приводе из меню
Результат: Пользователь может динамически заменить CD на виртуальной машине без необходимости перехода на портал RHEV/oVirt.

Вызов fallocate() из qemu-img

Интеграция системного вызова fallocate() в qemu-img улучшает производительность операции preallocation=full. Чтобы использовать fallocate(), во время создания образа qcow2 надо добавить preallocation=falloc. В результате операция выделения пространства будет выполняться значительно быстрее, что соответственно сокращает общее время создания гостя.

Синхронизация часов виртуальной машины после выхода из спящего режима

Синхронизация часов виртуальных машин KVM с часами физической системы осуществляется средствами kvm-clock. Последние изменения в kvm-clock позволяют точно согласовать время виртуальной машины сразу после ее выхода из спящего режима и восстановления состояния с диска.

Отслеживание событий при выключении виртуальной машины KVM

Реализация поддержки трассировки событий qemu-kvm в процессе выключения виртуальной машины позволяет провести детальную диагностику запросов завершения работы, сделанных из virt-manager и virsh shutdown.

Режим кэширования directsync для виртуальных дисков

В qemu-kvm добавлена поддержка режима cache=directsync (прямое чтение и запись данных без кэширования). Если этот режим был выбран при создании виртуальной машины в virt-manager или задан в XML-описании гостя, операции записи данных будут подтверждаться только после успешного сохранения данных на виртуальный диск. Это положительно отражается на целостности данных в ходе обработки файловых транзакций между виртуальными машинами и обуславливает рост производительности, так как данные не сохраняются в кэш хоста.

Глава 13. Программные коллекции

Комплект Red Hat Software Collections включает в свой состав ряд динамических языков программирования, серверов баз данных и относящихся к ним пакетов, которые могут быть установлены в Red Hat Enterprise Linux 6 и Red Hat Enterprise Linux 7 на платформах AMD64 и Intel 64.
Динамические языки, серверы баз данных и другие инструменты в коллекциях Red Hat не являются более предпочтительными по сравнению со стандартными инструментами Red Hat Enterprise Linux и не заменяют их, скорее — устанавливаются параллельно. Механизм сборки коллекций построен на базе scl и позволяет создать независимый комплект, включив конкретные версии интересующих пакетов.
Red Hat Developer Toolset выпускается в виде отдельной коллекции. В его состав вошли: GCC, GDB, платформа разработки Eclipse и другие инструменты разработки, отладки и контроля производительности.

Важно

Время поддержки Red Hat Software Collections меньше по сравнению с жизненным циклом Red Hat Enterprise Linux.
Полный список компонентов, а также обзор известных проблем и инструкции можно найти здесь.
За подробной информацией о Red Hat Developer Toolset обратитесь к документации.

Глава 14. Известные проблемы

Ограниченная поддержка тонких томов в Anaconda

Система установки поддерживает динамическое выделение пространства (thin provisioning) только в автоматическом режиме установки из файла кикстарта, в то время как в графическом и текстовом режимах, а также при автоматическом создании разделов при помощи команды autopart в файле кикстарта эта функция остается недоступной.

sssd-common больше не предоставляет поддержку multilib

Вследствие изменения подхода к сборке пакета sssd-common он больше не поддерживает multilib, поэтому параллельная установка пакетов SSSD (за исключением sssd-client) приведет к конфликту зависимостей. Впрочем, справедливо заметить, что параллельная установка никогда не являлась рекомендуемым решением, и последние изменения только закрепили это утверждение. Поэтому прежде чем приступить к обновлению, рекомендуется удалить все пакеты SSSD кроме sssd-client.

Переопределение имени пользователя Active Directory не обновляет информацию о его группах

Если имя доверенного пользователя Active Directory было переопределено с помощью параметра --login, то информация о его группах будет обновлена только после первой авторизации.

Получение актуальной информации о группах

Команда id по умолчанию не отражает изменения GID. Если идентификатор группы был переопределен, выполните getent group, после чего изменения будут отражены в id.

Приложение A. Версии компонентов

В этой секции перечислены версии ключевых компонентов, вошедших в состав Red Hat Enterprise Linux 6.7.

Таблица A.1. Версии компонентов

Компонент
Версия
Ядро
2.6.32-567
Драйвер QLogic qla2xxx
8.07.00.08.06.7-k
Встроенное ПО QLogic ql2xxx
ql2100-firmware-1.19.38-3.1
ql2200-firmware-2.02.08-3.1
ql23xx-firmware-3.03.27-3.1
ql2400-firmware-7.03.00-1
ql2500-firmware-7.03.00-1
Драйвер Emulex lpfc
10.6.0.20
Программы инициатора iSCSI
iscsi-initiator-utils-6.2.0.873-14
DM Multipath
device-mapper-multipath-libs-0.4.9-87
LVM
lvm2-2.02.118-2

Приложение B. История переиздания

История переиздания
Издание 0.0-0.12.2Wed Jul 15 2015Yuliya Poyarkova
Перевод на русский язык.
Издание 0.0-0.12.1Wed Jul 15 2015Yuliya Poyarkova
Синхронизация с XML 0.0-0.12
Издание 0.0-0.12Mon Jul 13 2015Laura Bailey
Примечания к выпуску Red Hat Enterprise Linux 6.7.

Юридическое уведомление

Copyright © 2015 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.