Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.7 发行注记

Red Hat Enterprise Linux 6

Red Hat Enterprise Linux 6.7 发行注记

版 7

Red Hat 客户内容服务

摘要

本发行注记提供了在 Red Hat Enterprise Linux 6.7 中所应用改进和附加组件的高级说明。有关 Red Hat Enterprise Linux 6.7 更新的具体文档,请参考 技术说明

序言

Red Hat Enterprise Linux 次要发行本是独立改进、安全性和 bug 修复勘误的集合。《Red Hat Enterprise Linux 6.7 发行注记》 中记录了对 Red Hat Enterprise Linux 6 操作系统的主要改进,以及这个次要发行本附带的应用程序。有关这个次要发行本中记录的所有更改(即 bug 修复、添加的改进和已知问题)请参考 技术说明。该《技术说明》文档还包含所有目前可用技术预览的完整列表,以及提供这些技术预览的软件包。
Red Hat Enterprise Linux 6 与该系统的其他版本之间的的功能及限制对比,请查看知识库文章 https://access.redhat.com/articles/rhel-limits
如需要关于 Red Hat Enterprise Linux 生命周期的信息,请参考 https://access.redhat.com/support/policy/updates/errata/

第 1 章 认证

Directory Server 支持可配置的标准化 DN 缓存

这个更新为类似 memberOf 的插件,及使用很多 DN 语法属性更新条目的操作提供更好的性能。新实施的可配置标准 DN 缓存可让服务器更有效地处理 DN。

使用非密码认证时 SSSD 显示密码过期警告

之前,SSSD 只能在认证阶段验证密码有效性。但在使用非密码认证方法时(比如在 SSH 登录过程中),不会在认证阶段调用 SSSD,就是说它不会执行密码有效性检查。这个更新将检查从认证阶段迁移至帐户阶段。结果是即使在认证过程中没有使用密码,SSSD 也会发出帐户过期警告。详情请查看《部署指南》:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/index.html

SSSD 支持附带用户主体名称的登录

除用户名外,现在 SSSD 可使用用户主体名称(User Principal Name,UPN)属性以识别用户及用户登录,这些是 Active Directory 用户可使用的功能。使用这项改进,用户就有可能使用用户名、域或者 UPN 属性作为 AD 用户登录。

SSSD 支持为缓存的条目进行后台刷新

SSSD 允许在后台对缓存的条目进行带外(out-of-band)更新。这个更新前,当缓存的条目失效后,SSSD 会从远处服务器中提取这些条目,并重新保存到数据库中,这样会耗费很长时间。在这个更新中会立即返回这些条目,因为后端会随时保持其更新。注:这样会造成服务器的负载变得较高,因为 SSSD 会周期性下载这些条目,而不是根据需要下载。

Sudo 命令现在支持 zlib 压缩 I/O 日志

sudo 命令现在使用 zlib 构建,支持启用 sudo 生成并处理压缩的 I/O 日志。

新的软件包:openscap-scanner

现在提供新的软件包 openscap-scanner,允许管理员安装并使用 OpenSCAP 扫描器(oscap),同时无需安装 openscap-utils 软件包的所有相依性,这些相依性软件包之前包含扫描器工具。OpenSCAP 扫描器的独立软件包可降低与安装不必要相依性有关的安全隐患。openscap-utils 软件包仍可用,并包含其他工具。建议需要 oscap 工具的用户删除 openscap-utils 软件包,并安装 openscap-scanner 软件包。

如果 NSS 支持,则默认启用 TLS 1.0 或更新的版本

由于 CVE-2014-3566 问题,默认禁用 SSLv3 及更老的协议版本。Directory Server 现在接受 NSS 更安全的 SSL 协议(比如 TLSv1.1 和 TLSv1.2),这些协议是由 NSS 库以范围方式提供。还可以定义与 Directory Server 实例通讯时使用的 SSL 范围。

OpenLDAP 包括 pwdChecker 库

这个更新通过 添加 OpenLDAP pwdChecker 库引进了用于 OpenLDAP 的 Check Password 扩展。在 Red Hat Enterprise Linux 6 中的 PCI 相容需要这个扩展。

SSSD 支持覆盖自动找到的 AD 网站

默认会自动找到客户端连接的 Active Directory(AD)DNS 站点。但默认的自动搜索可能不会找到最适合某些设置的 AD 站点。如果是这种情况,现在可以使用 /etc/sssd/sssd.conf 文件 [domain/NAME] 部分的 ad_site 参数手动定义 DNS 站点。有关 ad_site 的详情,请查看《身份管理指南》:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

certmonger 支持 SCEP

已将 certmonger 服务更新为支持简单证书注册协议(SCEP)。现在可通过使用 SCEP 注册从服务器获取证书。

改进 Directory Server 删除操作的性能

之前,如果是删除非常大的静态组,在组删除操作过程中进行的递归性嵌套组查找需要很长时间方可完成。已添加新的 memberOfSkipNested 配置属性可允许跳过嵌套组检查,因此极大改进了删除操作性能。

SSSD 支持 WinSync 到跨域 Trust 的迁移

在 Red Hat Enterprise Linux 6.7 中部署了用户配置的新 ID Views。ID Views 可让身份管理用户从 Active Directory 使用的基于 WinSync 同步的架构迁移到基于 Cross-Realm Trust 的架构。有关 ID Views 以及迁移过程的详情,请查看《身份管理指南》:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD 支持 localauth Kerberos 插件

这个更新为本地认证添加 localauth Kerberos 插件。该插件可保证 Kerberos 主体自动与本地 SSSD 用户名映射。使用这个插件就不再需要使用 krb5.conf 文件中的 auth_to_local 参数。有关该插件的详情,请查看《身份管理指南》:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD 在没有系统登录权限的情况下访问指定应用程序

在 pam_sss module 中添加 domains= 选项,用来覆盖 /etc/sssd/sssd.conf 文件中的 domains= 选项。这个更新还添加了 pam_trusted_users 选项,以便用户添加 SSSD 守护进程信任的数字 UID 或用户名列表;此外还添加了 pam_public_domains 选项以及不可信用户可访问域列表。这些新选项可启用一些系统配置,允许常规用户在没有该系统登录权限的情况下访问指定的应用程序。有关详情请查看《身份管理指南》:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD 支持跨 AD 和 IdM 的一致用户环境

SSSD 服务可读取在 Active Directory(AD)服务器中定义的 POSIX 属性,该服务器与身份识别管理(IdM)之间为可信关系。使用这个更新,管理员可将自定义用户 shell 属性从 AD 服务器传送到 IdM 客户端。然后 SSSD 会在该 IdM 客户端中显示自定义属性。这个更新可让您在整个企业中保持环境的一致性。注:客户端的 homedir 属性目前可显示 AD 服务器的 subdomain_homedir 值。有关详情,请查看《身份管理指南》:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

SSSD 支持在登录前显示 AD 可信用的组

来自 AD 林(AD forest)中的域,且与身份管理(IdM)有信任关系的 Active Directory(AD)用户,可在登录前解析组成员信息。即 id 程序现在不需要这些用户登录即可显示这些用户的组。

getcert 支持在没有 certmonger 的情况下请求证书

在身份管理(IdM)客户端 kickstart 注册过程中使用 getcert 程序请求证书时,不再需要 certmonger 服务处于运行状态。之前尝试这样做会失败,原因是 certmonger 未运行。使用这个更新,getcert 可在上述情况下成功请求证书,条件是未运行 D-Bus 守护进程。注:只有在重启后,certmonger 才开始监控以这种方法获取的证书。

SSSD 支持保留用户识别符的大小写

SSSD 现在支持 case_sensitive 选项的 truefalsepreserve 值。启用 preserve 值后,输入映射会忽略大小写,但输出结果与服务器中的大小写相同。SSSD 为配置的 UID 字段保留原有的大小写。

SSSD 支持拒绝锁定帐户的 SSH 登录访问

之前,SSSD 使用 OpenLDAP 作为其认证数据库时,用户帐户锁定后用户仍可使用 SSH 密钥认证。ldap_access_order 参数现在接受 ppolicy 值,可使用该值拒绝处于上述情况用户的 SSH 访问。有关使用 ppolicy 的详情,请查看 sssd-ldap(5) man page 中的 ldap_access_order 描述。

SSSD 支持在 AD 中使用 GPO

SSSD 现在可使用保存在 Active Directory(AD)服务器中的组策略对象(Group Policy Object,GPO)进行访问控制。这个改进是模拟 Windows 客户端功能,并可使用一组访问控制规则处理 Windows 和 Unix 机器。实际上,Windows 管理员现在可使用 GPO 控制对 Linux 客户端的访问。有关详情请查看《身份管理指南》:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

第 2 章 集群

corosync 现在测试 RRP 模式中的正确网络接口配置

IP 地址/端口号对相同,或 IP 版本混合时, RRP 无法工作。Corosync 现在测试网络接口是否有不同的 ip 地址/端口号对,以及他们是否使用同样的 IP 版本。

支持 fence_ilo_ssh fencing 代理

fence_ilo_ssh fencing 是用于连接 iLO 设备的 fence 代理。它可通过 ssh 登录该设备,并重启指定的出口。有关 fence_ilo_ssh fencing 代理参数的详情请查看 fence_ilo_ssh(8) man page。

支持 fence_mpath fencing 代理

fence_mpath fencing 代理是一个 I/O fencing 代理,使用 SCSI-3 永久保留的方法控制对多路径设备的访问。有关这个 fencing 代理的操作及其参数描述,请查看 fence_mpath(8) man page。

Corosync UDPU 现在只自动向适当的令牌成员发送信息。

之前使用 UDPU 时,会向所有配置的成员发送所有信息,而不是只向活跃成员发送。这就合并探测信息来说是恰当的,但除此以外,它会对缺失的成员造成不必要的流量,并可能在网络中触发过度 arp 请求。已将 corosync 修改为只向活跃成员发送大多数 UDPU 信息,合并正确探测或新成员所需信息除外(1-2 数据包/秒)。

在 Pacemaker 中支持新的 SAPHanaTopology 和 SAPHana 资源代理

resource-agents-sap-hana 软件包提供两个 Pacemaker 资源代理,SAPHanaTopology 和 SAPHana。可使用这些资源代理配置 Pacemaker 集群,以便在 RHEL 中管理 SAP HANA 扩大系统复制(SAP HANA Scale-Up System Replication)环境。

支持 fence_emerson fencing 代理

fence_emerson fencing 代理是通过 SNMP 为 Emerson 提供的 fence 代理。可将其用于由 MPX 和 MPH2 管理的框架 PDU。有关 fence_emerson fencing 代理参数的详情请查看 fence_emerson(8) man page。

第 3 章 编译程序及工具

dracut 根据 iBFT 条目配置 VLAN

之前 dracut 程序无法创建 VLAN 网络接口,即使在 iBFT 中出现 VLAN 参数,且可用。在这个更新中使用 VLAN 的 iSCSI 引导可正常工作。

gcc 支持 System z 二进制文件中的热补功能

gcc hotpatch(热补)属性支持在 System z 二进制文件中采用多线程代码的在线打补丁方法。在这个更新中,可以使用功能属性选择要热补的具体功能,并使用 -mhotpatch= 命令行选项为所有功能启用热补方式。
启用的热补对软件大小和性能有负面影响,因此建议为具体功能使用热补,但不要启用常规热补支持。

为 TLS 版本更改的 curl 支持

这个更新引进了 curl 的新选项 --tlsv1.0--tlsv1.1--tlsv1.2,用来指定与 NSS 进行协商的 TLS 协议次要版本。已在 libcurl API 中为此目的添加相应的 CURL_SSLVERSION_TLSv1_0、CURL_SSLVERSION_TLSv1_1 和 CURL_SSLVERSION_TLSv1_2 常数。已对现有 curl--tlsv1 选项语义及 libcurl API 的 CURL_SSLVERSION_TLSv1 常数作相应修改,以便与同时被客户端及服务器支持的最高 TLS 1.x 协议协商。

Python ConfigParser 可在没有赋值的情况下恰当地处理选项

Python ConfigParser 被设计为要求每个选项都有一个值,但某些配置文件(比如 my.conf)包含没有赋值的选项,从而造成 ConfigParser 无法获取此类配置文件。已将这个功能移植到 Python 2.6.6,且 ConfigParser 现在已能够读取包含未赋值选项的配置文件。

tcpdump 支持 -J、-j 和 --time-stamp-precision 选项

由于内核、glibc 和 libpcap 现在提供 API 以获取纳秒解析时间戳,已将 tcpdump 更新为利用这个功能。用户现在可以查询可用的时间戳源(-J),设定具体时间戳源(-j),及使用指定解析请求时间戳(--time-stamp-precision)。

改进了用于在 SCSI 设备间赋值数据的程序

sg3_utils 软件包中引进可从 SCSI 协议中获益,以便在存储设备间更有效复制数据的程序。为启用这个功能,已将 sg_xcopysg_copy_results 程序移植到 sg3_utils 软件包。

ethtool 支持规定定制 RSS 哈希密钥

在 ethtool 中添加了改进,以便为现在可定义的 RSS 自定义哈希密钥。这个改进可帮助您根据收到的流量利用接受队列,并可通过为预期流量选择适当的密钥加强性能和安全性。

已在 tcpdump 中添加 setdirection 支持

tcpdump 软件现在包含 setdirection 支持,这样就可以为 -P 标签指定一个参数,使其只接受数据包(-P in)、只发送数据包(-P out)或应捕获所有数据(-P inout)。

sysctl 现在可以读取系统目录组

这个更新在 sysctl 程序中引进了 --system 选项。这个选项可让 sysctl 处理系统目录组中的配置文件。

已将 mcelog 升级至 upstream 版本 109

已将 mcelog 软件包升级至 upstream 版本 109,与上一个版本相比,该版本提供大量 bug 修复和改进。最主要的是 mcelog 现在支持 Intel Core i7 CPU 架构。

已将 biosdevname 升级至 upstream 版本 0.6.2

已将 biosdevname 软件包升级至 upstream 版本 0.6.2,同时除其他功能外,还为新的 Mellanox 驱动程序提供 dev_port 属性,并允许忽略 FCoE 设备命名。

PCRE 库的改进

如果二进制文件不是有效 UTF-8 序列,为允许 grep 程序可以从 PCRE 映射失败中恢复,已将以下功能移植入 PCRE 库:
* pcre_exec() 功能现在检查超出范围的起始偏移值,并报告 PCRE_ERROR_BADOFFSET 错误,而不是报告 PCRE_ERROR_NOMATCH 错误或造成无限循环。
* 如果调用 pcre_exec() 功能对无效 UTF-8 目标字符串执行 UTF-8 映射,同时矢量阵参数足够大,则会以矢量阵元素返回无效 UTF-8 字节格式的第一个目标字符串以及详细的原因代码。另外,pcretest 程序现在可用于显示这些详细情况。注:使用这个更新,pcre_compile() 功能会报告第一个无效 UTF-8 字节,而不是最有一个字节。还请注意, 已修改不作为公开使用的 pcre_valid_utf8() 功能签名。最后请注意,pcretest 程序现在可在错误代码后附加可读错误信息。

在 glibc 动态载入程序中支持 Intel AVX-512

Glibc 动态载入程序现在支持 Intel AVX-512 扩展。这个更新可让动态载入程序根据需要保存并恢复 AVX-512 注册,这样可防止启用 AVX-512 的应用程序因同样使用 AVX-512 的审核模块而失败。

Valgrind 识别 Intel MPX 指令

Valgrind 不能识别 Intel 内存保护扩展(Memory Protection Extensions,MPX)指令或使用 MPX bnd 前缀的指令。随后 Valgrind 会使用 SGKILL 信号终止使用 MPX 的程序。Valgrind 现在可识别新的 MPX 指令和 bnd 前缀。目前所有新的 MPX 指令都作为非操作指令实施,并忽略 bnd 前缀。结果是使用 MPX 指令或 bnd 前缀的程序可在 Valgrind 中运行,如同为在 CPU 中未启用 MPX 一样,且不再会被终止。

free 支持可读输出结果

已在 free 程序中添加 -h 选项。这个选项的目的是将所有输出结果字段自动缩小至使用三个数字代表,其中包括单位,以便读取输出结果。

w 支持 -i 选项

w 程序现在包括 -i 选项,以便在 FROM 栏中显示 IP 地址而不是主机名。

将 vim 恢复到版本 7.4

已将 vim 软件包更新至 upstream 版本 7.4,与上一个版本相比,该版本提供大量 bug 修复和改进。值得关注的更改为:Vim 文本编辑器现在支持持续的变更恢复,该功能可通过设定 undofile 选项启用。默认情况下,上传缓存时,Vim 会删除那个缓存创建的更改树。但启用持续变更恢复后,Vim 会自动保存更改历史记录,并将其恢复为重新打开缓存。这个更新引进了新的正则表达式引擎。之前的引擎使用回溯算法,可从一个方向映射文本模式,当这个尝试失败后,则会从另一个方向映射模式。这个引擎可用于简单模式,但对于较长文本中的复杂模式则需要消耗很长的时间。新的引擎使用状态机逻辑,会根据当前字符尝试所有可能性,并保存模式的可能状态。但对于简单模式来说这个进程稍显缓慢,而映射较长文本的复杂模式则迅速的多。最值得注意的是,这个变更改进了使用长划线的 JavaScript 和 XML 文件的语法高亮显示。

第 4 章 桌面

Kate 现在可保留打印属性

之前,Kate 文本编辑器不会保留打印属性,就是说每个打印任务或会话后,都会强制用户设定所有页眉 & 页脚及边距属性。已修复这个 bug,Kate 也能够如预期保留打印属性。

iprutils 软件包重新设定基址

已将 iprutils 软件包升级至 upstream 版本 2.4.5,该版本为之前的发行本提供大量 bug 修复和改进。特别值得注意的是,这个发行本添加了对串行连接 SCSI(SAS)磁盘驱动器中缓存命中(cache hit)报告的支持,同时提高了为高级功能(AF)直接访问存储设备(DASD)创建阵列的速度。

LibreOffice 升级

已将 libreoffice 软件包升级至 upstream 版本 4.2.8.2,与上一个版本相比,该版本提供大量 bug 修复和改进,其中包括:
  • 改进 OpenXML 互操作性。
  • 在 Calc 程序中添加额外的统计功能,籍此提高与 Analysis ToolPak 附加组件的互操作性。
  • 在 Calc 中应用各种性能改进。
  • 这个更新添加了新的导入过滤器,以便从 Apple Keynote 和 Abiword 程序导入文件。
  • 改进用于 MathML 标记语言的导出过滤器。
  • 这个更新添加了新的启动页面,包括最近打开文档的缩略图。
  • 在幻灯片排序程序中会为幻灯片切换或动画显示视觉提示。
  • 这个更新改进了图表中的趋势线。
  • LibreOffice 现在支持 BCP 47 语言标签。
有关这个升级提供的 bug 修复和改进详情,请参考 https://wiki.documentfoundation.org/ReleaseNotes/4.2

新软件包:libgovirt

在这个 Red Hat Enterprise Linux 发行本中添加了 libgovirt 软件包。Libgovirt 软件包是一个库,可允许 remote-viewer 工具连接到由 oVirt 和 Red Hat Enterprise Virtualization 管理的虚拟机。

已将 dejavu-fonts 升级至 upstream 版本 2.33

已将 dejavu-fonts 软件包升级至 upstream 版本 2.33,与上一个版本相比,该版本提供大量 bug 修复和改进。值得关注的是这个升级更新为支持的字体添加了大量新字符和符号。

新软件包:scap-workbench 方便 SCAP 评估

SCAP Workbench 可让您轻松使用 SCAP 内容定制和单机评估功能。整合 scap-security-guide 内容后可极大减小进入的障碍。在这个更新前,Red Hat Enterprise Linux 6 包括 scap-security-guide 和 openscap 软件包,但没有 scap-workbench 软件包。没有 SCAP Workbench,则需要使用命令行测试 SCAP 评估,该评估容易产生误差,对有些用户来说是一个主要障碍。SCAP Workbench 可方便用户自定义其 SCAP 内容,并在单机中进行测试评估。

virt-who 支持加密密码

已在 virt-who 服务中添加加密密码支持。之前,外部设备的密码是以明文方式保存在配置文件中,所有有读取权限的用户都能够看到。这个更新引进了 virt-who-password 程序,允许在 virt-who 配置文件中保存加密密码。使用这个变更,所有打开 virt-who 配置文件的用户都会看到以加密形式显示的密码。但 Root 用户可以解密该密码,使其可见。

virt-who 支持离线模式

virt-who 服务现在可以在 hypervisor 离线时报告主机物理机和虚拟机之间的关系,因此不再需要连接到 hypervisor 执行此操作。现在,当 virt-who 由于安全性策略无法与 hypervisor 连接时,用户可以使用 virt-who --print 命令获取有关主机-虚拟机映射文件信息,并显示映射文件中保存的信息,并将其发送到 Subscription Manager。

virt-who 支持主机过滤

在这个更新中,virt-who 服务引进了 Subscription Manager 报告的过滤机制。结果是用户现在可根据指定的参数选择应显示的主机 virt-who。例如:没有运行任何 Red Hat Enterprise Linux 虚拟机的主机,或者运行指定 Red Hat Enterprise Linux 版本虚拟机的主机。

turbostat 支持 Intel 的第六代 Intel Core 处理器

turbostat 程序现在支持 Intel 的第六代 Intel Core 处理器

virt-who 支持集群过滤

在这个更新中,virt-who 服务引进了 Subscription Manager 报告的过滤机制。结果是用户现在可根据指定的参数选择应显示的集群 virt-who。例如:没有运行任何 Red Hat Enterprise Linux 虚拟机的主机,或者运行指定 Red Hat Enterprise Linux 版本虚拟机的主机。

virt-who 支持过滤非 RHEL hypervisor

在不需要报告所有 hypervisor 时,比如那些与 Red Hat Enterprise Linux 虚拟机无关的情况,virt-who 现在可过滤指定的 hypervisor。

支持从拉丁语直译为 US-ASCII

这个更新前,Red Hat Enterprise Linux 6 中的 icu 不支持 transliterator_transliterate() 的从拉丁语直译为 US-ASCII 字符模式功能。因此用户无法简单地从 PHP 代码字符串中删除非 ASCII 字符。在这个更新中,用户可以使用 transliterator_transliterate() 将拉丁字符直译为 US-ASCII 字符。

第 5 章 常规更新

redhat-release-server 包括后备产品证书

在有些情况下,可能会在安装 Red Hat Enterprise Linux 时未提供响应的产品证书。为保证有产品证书,且可以注册,现可使用 redhat-release-server 提供后备证书。

增大了 gPXE 重试超时值

这个更新增大了 gPXE 用来与 RFC 2131 和 PXE 规格规格匹配的重试超时值。现在总超时值为 60 秒。

增强的 Linux IPL 代码可维护性

zipl 引导装载程序的新版本可方便在该引导装载程序中包含 bug 修复及新概念。

改进 dasdfmt 程序性能

可识别格式请求的内核内部处理,并启用 PAV 功能以加速格式请求。这个功能加快了目前所使用的超大 DASD 的格式化速度,并准备将来用于更大的 DASD。

lscss 支持验证的路径掩码

IBM System z 中的 lscss 程序可收集并显示 sysfs 中的子频道信息,现在还可做列出 I/O 设备时显示验证的路径掩码。

wireshark 现在支持从 stdin 中读取

之前使用进程替换大文件作为输入 wireshark 时,会无法正确解码该输入信息。从最新的版本开始 wireshark 可以成功读取这些文件。

可使用 Esc 按键访问 seabios 引导菜单

现在可按 Esc 键访问 seabios 中的引导菜单。这样就可以在类似 OS X 的系统中访问引导菜单,会拦截某些功能键,包括之前使用的 F12,以便将其用于其他功能。

wireshark 支持纳秒精度

之前 wireshark 只在 pcapng 格式中包含微秒,但从最新的版本开始,wireshark 支持纳秒精度,以便使用更准确的时间戳。

lsdasd 中 DASD 的详细路径信息

用来收集并显示 IBM System z 中 DASD 设备信息的 lsdasd 程序现在可显示详细的路径信息,比如安装的路径及使用中的路径。

lsqeth 现在显示切换端口属性

在 IBM System z 中用来列出基于 qeth 的网络存储参数的 lsqeth 工具现在在其输出结果中包括切换端口属性(显示为 switch_attrs)。

fdasd 现在支持 GPFS 分区

用来在 IBM System z 中管理 ECKD DASD 磁盘分区的 fdasd 程序现在可将 GPFS 识别为支持的分区类型。

将 ppc64-diag 恢复到版本 2.6.7

已将 ppc64-diag 软件包升级至 upstream 版本 2.6.7,与上一个版本相比,该版本提供大量 bug 修复和改进.

支持添加到 JPackage 程序中的 OpenJDK 8

在 RHEL 6.6 中添加了 OpenJDK 8,但由于 jpackage-utils 软件包缺少 OpenJDK 8 支持,系统 Java 程序无法使用。这个问题已经解决,RHEL 6.7 jpackage-utils 软件包包括可使用 OpenJDK 8 运行的系统程序。

preupgrade-assistant 支持升级和迁移的不同模式

为支持 preupg 命令的不同操作模式,在该配置文件中添加了额外选项。这样可让该工具只返回所选操作模式的所需数据。目前只支持 upgrade 模式。

第 6 章 安装及引导

rpm 支持基于软件包标签的顺序安装

已在 RPM Package Manager 中添加 OrderWithRequires 功能,该功能可使用新的 OrderWithRequires 软件包标签。如果在软件包事务中出现 OrderWithRequires 指定的软件包,则会在安装使用对应 OrderWithRequires 标签的软件包前安装这个软件包。但与 Requires 软件包标签不同,OrderWithRequires 不会生成额外的相依性;因此如果在这个事务中没有出现该标签指定的软件包,则不会下载该软件包。

Anaconda 现在会在安装过程中探测到 LDL 格式化的 DASD 时显示警告信息

在 IBM System z 中,使用 LDL(Linux 磁盘布局)的 DASD 由内核识别,但安装程序不支持它们。如果 Anaconda 探测到一个或多个 DASD,则会显示有关其不支持状态的警告信息,并允许您将其格式化为 CDL(兼容性磁盘布局),CDL 是全面支持的格式类型。

第 7 章 内核

KVM Hypervisor 为每台虚拟机支持 240 个 vCPU。

已将 KVM Hypervisor 改进为每台 KVM 虚拟机支持 240 个虚拟 CPU(vCPU)。

iwlwifi 支持 Intel® Wireless 7265/3165 (Stone Peak) 无线适配器

iwlwifi 设备驱动程序现在支持 Intel® Wireless 7265/3165 (Stone Peak) 无线适配器。

支持 Wacom 22HD 触摸板

这个更新添加了对 Wacom 22HD 触摸板支持,现在 Red Hat Enterprise Linux 可正确识别该设备,并正常工作。

用于 HugeTLB 的改进页面错误可伸缩性

RHEL 6.7 Linux 内核已改进用于 HugeTLB 的页面错误可伸缩性。之前因为使用单一互斥,因此一次只能处理一个 HugeTLB 页面错误。这个改进方法使用互斥表,允许同时处理多个页面错误。计算互斥表包括大量发生的页面错误和内存使用。

kdump 支持大页面过滤

为减少 vmcore 大小及捕获运行时间,kdump 现在将大页面作为用户页面处理,并可将其过滤。因为大页面主要用于应用程序数据,它们很少与需要进行 vmcore 分析的事件相关。

支持桥接中的 802.1X EAP 数据包转发

现在支持转发 802.1x EAP 数据包的桥接,允许一些非控制 link-local 数据包的选择性转发。这个更改还可让您使用 802.1x,通过切换端口中的 Linux 桥接认证 RHEL6 hypervisor。

第 8 章 联网

iptables supports -C 选项

这个更新添加了 iptables 命令的 -C 检查选项。之前没有检查某个规则是否存在的简单方法。现在可在某个规则中使用 -C 选项,检查某个规则是否存在。

支持 IPv6 IP 集

这个更新添加了 IPv6 IP 集支持,因为之前在 IPv6 防火墙规则中不能使用 IP 集。

第 9 章 服务器和服务

默认 httpd 配置中的限制密码套件

在这个更新中,httpd 网页服务器中的 mod_ssl 模块的默认配置不再支持使用单一 DES、IDEA 或 SEED 加密算法的 SSL 密码套件。

允许在 Cyrus IMAP 服务器中配置 SSL 协议

使用这个更新可配置 Cyrus IMAP 服务器允许的安全套接字层(SSL)。例如:用户可禁用 SSLv3 连接,并因此减小 POODLE 漏洞的影响。

dstat 命令现在支持符号链接

已改进 dstat 命令,支持使用符号链接作为其参数。这样可让用户动态指定引导设备名称,保证 dstat 在热插拔和类似操作后显示正确信息。注:必须在 /dev/disk/ 目录中指定符号链接,且在该命令中必须使用完整路径。

将 rng-tools 恢复到版本 5

已将提供随机数字生成器用户空间程序 rng-tools 软件包升级为 upstream 版本 5。这个更新可在 Intel x86- 和基于 Intel 64 的 EM64T/AMD64 CPU 型号中默认启用随机数字生成器守护进程(rngd),并利用 RDRAND 硬件随机数字生成器指令提供的熵。增强的更新还会增加 Intel 架构硬件的性能和安全性,特别是服务器应用程序。

加强 nm-connection-editor

这个更新加强了 nm-connection-editor 功能,现在提供更简便的 IP 地址和路由编辑。此外,nm-connection-editor 还尝试自动探测并标出所有拼写错误和错误配置。

现在可以将 ypbind 设定为具体重新绑定间隔

NIS 绑定进程 ypbind 一般是每 15 分钟查看最快的 NIS 服务器,但很多防火墙的默认超时时间为 10 分钟。这样 ypbind 在尝试重新绑定时会造成间歇性失败。这个更新为 ypbind 添加了可调节选项 -r,以便以秒为单位设定具体重新绑定间隔。

恢复 squid 软件包

已将 squid 软件包升级至 upstream 版本 3.1.23,与上一个版本相比,该版本提供大量 bug 修复和改进。此外,这个更新还添加了 HTTP/1.1 POST 和 PUT 响应支持,但不会再 squid 中添加信息。

dhcpd 可处理 dhcp 选项 97 - 客户端机器识别符(pxe-client-id)

现在可以根据发送到选项 97 中的具体客户端的识别符为其保留(静态分配)IP 地址。例如: 
host pixi {   option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff;   fixed-address 1.2.3.4; }

现在可禁用 Tomcat 日志文件轮换

默认情况下,Tomcat 日志文件在网页后首次执行写入操作后轮换,并将该文件命名为 {prefix}{date}{suffix},其中 date 格式为 YYYY-MM-DD。为允许禁用 Tomcat 日志文件轮换添加了参数 rotatable。如果将该参数设定为 false,则不会轮换日志文件,且其文件名为 {prefix}{suffix}。默认值为 true

cups 支持故障转移

现在可将单一打印机中的直接任务故障转移至其他打印机中,而不是使用 CUPS 中内置的打印机负载平衡功能。可将任务直接指向第一个工作打印机,即首选打印机,而其他打印机只在首选打印机无法工作时使用。

openssh 支持调整 LDAP 查询

管理员现在可以调整轻型目录访问协议(LDAP)查询,以便从使用不同架构的服务器中获取公钥。

在 cupsd.conf(5) Manual Page 中添加 ErrorPolicy 描述

已在 cupsd.conf(5) 手册页中添加附带支持值的 ErrorPolicy 指令描述。ErrorPolicy 指令规定当后端无法向打印机发送打印任务时使用的默认策略。

允许在 dovecot 中配置 SSL 协议

使用这个更新可配置 dovecot 允许的安全套接字层(SSL)。例如:用户可禁用 SSLv3 连接,并因此减小 POODLE 漏洞的影响。出于安全考虑,现在还默认禁用 SSLv2 和 SSLv3,如果用户需要它们,则需手动启用。

openssh 支持在 PermitOpen 选项中使用通配符

sshd_config 文件中的 PermitOpen 选项现在支持通配符。

tomcatjss 支持 TLS 版本 1.1 和 1.2

已将 Tomcat 更新为支持使用 Java 安全服务的传输层安全性加密协议版本 1.1(TLSv1.1)和传输层安全性加密协议版本 1.2(TLSv1.2)。

squid 支持隐藏或重新写入 HTTP 标头

Squid 软件包现在内置 --enable-http-violations 选项,并允许用户隐藏或重新写入标头。

bind 现在支持 RPZ-NSIP 和 RPZ-NSDNAME

现在可在 BIND 配置的响应策略区(RPZ)中使用的 RPZ-NSIP 和 RPZ-NSDNAME 记录。

openssh 支持上传文件中的强制权限

在这个更新中,OpenSSH 可以使用安全文件传输协议(SFTP)为新上传的文件强制提供权限。

Mailman 现在包含加强的 DMARC 缓解功能

在这个更新中,Mailman 引进了一些加强的基于域的信息认证、报告 & 一致性(DMARC)缓解功能。例如:可将 Mailman 配置将发信人与域名密钥识别邮件(DKIM)签名对应,同时现在可以正确处理来自使用 reject DMARC 策略域转发的信息。

第 10 章 存储

允许额外挂载点的 udev 规则及允许的挂载选项

现在可以使用 udev 规则指定额外的挂载点和允许的挂载选项列表。系统管理员可以写入自定义规则,为具体设备集强制或限制挂载点。例如:可将 USB 驱动器限制为永远作为只读挂载。

udisks 支持 noexec 全局选项

udisks 工具现接受在所有非特权用户的挂载点中强制使用 noexec 全局选项。在桌面系统中,noexec 选项可防止用户意外运行某些程序。

默认多路径配置文件现在包括用于 Dell MD36xxf 存储阵列的 builtin 配置。

之前,默认多路径配置文件中不包含 Dell MD36xxf 存储阵列的默认设置,这些设置会影响这些阵列的性能。现已在该配置文件中包含这些设置。

multipath.conf 文件中的新 config_dir 选项

用户无法将其配置分散到 /etc/multipath.conf 和其他配置文件中。这样可防止用户设定一个用于所有机器的主配置文件,同时在独立配置文件中保留对每台机器的具体配置信息。
为解决这个问题,在 multipath.config 文件中新添加了 config_dir 选项。用户必须将 config_dir 改为空白字符串,或者完全限定目录路径名称。将其设定为空白字符串以外的任意值后,multipath 会按字母顺序读取所有 .conf 文件。然后应用该配置,如同将其添加到 /etc/multipath.conf 中。如果没有进行此类更改,则 config_dir 默认为 /etc/multipath/conf.d。

lvchange -p 命令现在可在逻辑卷中修正 in-kernel 权限。

如果某个逻辑卷为只读卷且活跃,但其元数据状态应为可写入(配置设置的 activation/read_only_volume_list 变化时可能出现的情况),那么您现在就可以使用 lvchange --permission rw 命令将其与元数据对应,并使其有写入权限。执行 lvchange --refresh 命令可达到同样的结果,但在有些情况下,这个功能更方便。相反也是如此:lvchange --permission r 命令现在可刷新应为只读的活跃逻辑卷。有关 lvchange 命令的详情,请查看 lvchange(8) man page。

multipathd 有两个新配置选项 delay_watch_checksdelay_wait_checks

虽然该路径不可靠,就是说该连接是否经常掉线,multipathd 仍不断尝试使用该路径。multipathd 意识到该路径无法访问的超时值为 300 秒,这样 multipathd 就看起来好像停止了。为解决这个问题新添加了两个配置选项:delay_watch_checks 和 delay_wait_checks。将 delay_watch_checks 设定为该路径上线后, multipathd 要观察多少个周期。如果在分配数值以内路径失败,则 multpathd 就不会使用它。然后 multipathd 会依赖 delay_wait_checks 选项告诉它该路径再次可用前必须经过多少连续周期。这样可防止不可靠的路径在上线后立即使用。

已将 mdadm 升级至 upstream 版本 3.3.2

mdadm 版本 3.3.2 提供大量 bug 修复及功能,比如在失败的 RAID 卷事件中自动重建阵列、RAID 等级迁移、检查点容错、SAS-SATA 驱动器漫游。在外部元数据格式中支持这些功能,同时继续提供 Red Hat 的 Intel RSTe SW 栈。

第 11 章 订阅管理

subscription-manager 支持 AUS 订阅迁移

Subscription Manager 现在包括用于高级任务关键更新支持(AUS)的证书和映射。这样就可以将 AUS 订阅从 RHN Classic 迁移至 RHSM。

subscription-manager 支持用于自动迁移的激活码

rhn-migrate-classic-to-rhsm 工具现在支持在 Red Hat Subscription Management(RHSM)中注册时使用的激活码。这样可简化自动迁移。

subscription-manager 支持没有 RHN Classic 证书的迁移

rhn-migrate-classic-to-rhsm 的新 --keep 选项。若干使用新的 --keep 选项,则 rhn-migrate-classic-to-rhsm 工具不再需要 RHN Classic 证书。这个功能可帮助简化自动迁移。

第 12 章 虚拟化

virt-viewer 直接访问 RHEV-H 虚拟机

现在可使用 Red Hat Enterprise Virtualization Hypervisor 直接访问使用 virt-viewer 的虚拟机。

功能:使用 remote-viewer 连接到 ovirt://

URI 时,会显示一个菜单,允许更改插入 VM 的 CD 映像。
结果:用户可在运行时动态更改插入 VM 的 CD,同时不需要进入 RHEV/oVirt 门户网站。

在 qemu-img 工具中添加 fallocate() 系统调用

qemu-img 工具现在包括 fallocate() 系统调用,用以改进 preallocation=full 选项的性能。要使用 fallocate() 系统调用,请在创建使用 qemu-img 的 qcow2 时指定 preallocation=falloc。如果指定 preallocation=falloc,则会极大加快预分配操作的运行速度,进而减少准备新虚拟机所需时间。

挂起后 kvm-clock 可正确同步虚拟机时间

KVM 虚拟机使用 kvm-clock 程序作为时间源,该程序可在从挂起模式恢复后,使用主机系统时间同步虚拟机系统时间。之前在有些情况下,当运行 Red Hat Enterprise Linux 6 主机的虚拟机挂起,然后恢复后,虚拟机系统的时间没有正确与主机系统时间同步。在这个更新中已修改 kvm-clock 程序,使其可正确与主机中的系统时间同步。

qemu-kvm 支持虚拟机关闭跟踪事件

已在虚拟机关机过程中添加 qemu-kvm 跟踪事件支持,这样用户就可以使用 virsh shutdown 命令或者 virt-manager 程序获得有关虚拟机系统关机请求的详细诊断。这样可为用户提供在关机过程中隔离或 debug KVM 虚拟机的改进功能。

在虚拟磁盘中添加 directsync 缓存模式支持

在这个更新中,qemu-kvm 支持主机文件中的 cache=directsync 选项,这样就可以在虚拟磁盘中启用 directsync 缓存模式。在虚拟磁盘中设定 cache=directsync 后(在虚拟机 XML 或 virt-manager 程序中配置),只有磁盘中的数据安全时才会完成虚拟机中的写入操作。这样就提高了在虚拟机间进行文件传送时的数据安全性,同时通过允许虚拟机中的 I/O 绕过主机页缓存而提高性能。

第 13 章 Red Hat Software Collections

Red Hat Software Collections 是一个 Red Hat 内容套件,可提供一组可在 AMD64 和 Intel 64 架构中的 Red Hat Enterprise Linux 6 和 Red Hat Enterprise Linux 7 支持发行本中安装和使用的动态编程语言、数据库服务器及相关软件包。
Red Hat Software Collections 中包含的动态语言、数据库服务器及其他工具不会替代 Red Hat Enterprise Linux 提供的默认系统工具,也不会优先使用这些工具。Red Hat 软件集合使用基于 scl 的备选打包机制提供平行软件包组。这个软件包组可让您在 Red Hat Enterprise Linux 中自选使用备选软件包版本。用户可使用 scl 程序随时选择要运行的软件包版本。
Red Hat Developer Toolset 现在是 Red Hat Software Collections 的一部分,作为独立的软件集合。Red Hat Developer Toolset 旨在让开发人员在 Red Hat Enterprise Linux 平台中工作。它提供 GNU 编译程序集合、GNU Debugger、Eclipse 开发平台以及其他开发、调试和性能监控工具的最新版本。

重要

Red Hat Software Collections 比 Red Hat Enterprise Linux 的生命周期和支持期限都短。有关详情请查看 Red Hat Software Collections 产品生命周期
有关本集合所包含内容、系统要求、已知问题、用法及具体的软件集合详情请查看《Red Hat 软件集合文档》
有关这个软件集合所包含文档、安装、用法、已知问题等等内容详情请查看《Red Hat Developer Toolset 文档》

第 14 章 已知问题

Anaconda 支持有限 LVM 自动精简配置

安装程序现在允许创建精简配置的 LVM(逻辑卷管理)布局,但支持仅限于自定义 Kickstart 安装。还不能使用 autopart> Kickstart 命令自动创建 LVM 精简配置布局,也无法在互动安装的图形或文本节目中选择这个存储配置。

sssd-common 软件包不再是 multilib

由于打包方式的变更,sssd-common 软件包已不再是 multilib。因此会因相依性冲突无法平行安装 SSSD 软件包,而不是 sssd-client。注:这从来不是一个支持的设定,只是可能会在特定情况下影响升级的变更。要解决这个问题,请在升级前卸载 sssd-client 以外的所有 multilib SSSD 软件包。

用户登录覆盖可让 adusers 组成员关系解析失败

如果使用 --login 命令行参数可覆盖用户登录,在该用户首次登录前,该用户的组成员关系都是错误的。

使用组覆盖功能可造成组解析不一致

如果组 GID 被覆盖,运行 id 命令会报告错误的 GID。要解决这个问题,请为被覆盖的组运行 getent group 命令。

附录 A. 内容版本

本附录列出了Red Hat Enterprise Linux 6.7 发行本的组件及其版本。

表 A.1. 内容版本

组件
版本
内核
2.6.32-567
QLogic qla2xxx 驱动程序
8.07.00.08.06.7-k
QLogic ql2xxx 固件
ql2100-firmware-1.19.38-3.1
ql2200-firmware-2.02.08-3.1
ql23xx-firmware-3.03.27-3.1
ql2400-firmware-7.03.00-1
ql2500-firmware-7.03.00-1
Emulex lpfc 驱动程序
10.6.0.20
iSCSI initiator 程序
iscsi-initiator-utils-6.2.0.873-14
DM-Multipath
device-mapper-multipath-libs-0.4.9-87
LVM
lvm2-2.02.118-2

附录 B. 修订历史

修订历史
修订 0.0-0.12.2Fri Jul 17 2015Leah Liu
完成翻译、校对
修订 0.0-0.12.1Fri Jul 17 2015Leah Liu
与 XML 源 0.0-0.12 版本同步的翻译文件
修订 0.0-0.12Mon Jul 13 2015Laura Bailey
发布 Red Hat Enterprise Linux 6.7 发行注记。

法律通告

Copyright © 2015 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.