Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
6.4 發行公告
序言
Red Hat Enterprise Linux 的非重大發行版為個別升級、安全性,以及錯誤修正勘誤的彙總。《Red Hat Enterprise Linux 6.4 發行公告》記載了 Red Hat Enterprise Linux 6 作業系統的重大變更,以及此版本所搭載的應用程式。此非重大發行版變更上(已修正之錯誤、新增的功能,以及找出的已知問題)的詳細資訊,可藉由《技術公告》中取得。《技術公告》文件亦包含了目前所有可用技術預覽,以及提供這些技術預覽的套件之完整清單。
重要
位於此的線上版《Red Hat Enterprise Linux 6.4 發行公告》必須被視為絕對的最新版本。建議有關於此發行版的客戶參閱其 RHEL 版本的相應《發行》與《技術公告》線上版本。
如欲取得 RHEL 生命週期上的相關資訊,請參閱〈https://access.redhat.com/support/policy/updates/errata/〉。
章 1. 安裝程序
Kickstart 檔案中的 FCoE 支援
當使用 kickstart 檔案來安裝 Red Hat Enterprise Linux 6.4 時,您可使用新的
fcoe kickstart 選項來指定除了 Enhanced Disk Drive(EDD)服務所發現的 Fibre Channel over Ethernet(FCoE)裝置之外,您還想自動啟用哪些 FCoE 裝置。欲取得更多資訊,請參閱 Red Hat Enterprise Linux 6《安裝指南》中的《Kickstart 選項》部分。
透過 VLAN 安裝
在 Red Hat Enterprise Linux 6.4 中,
vlanid= 開機選項和 --vlanid= kickstart選項能讓您為特定網路裝置設置一組虛擬 LAN ID(802.1q tag)。您可藉由指定這兩項選項之一,透過 VLAN 安裝系統。
配置綁定
bond 開機選項和 --bondslaves 與 --bondopts kickstart 選項現在已可在進行安裝程序時,使用來配置綁定。欲取得更多有關於如何配置綁定上的相關資訊,請參閱以下 Red Hat Enterprise Linux 6《安裝指南》部分:《Kickstart 選項》和《開機選項》章節。
章 2. Kernel
光纖通道通訊協定:端對端資料一致性的檢查
在 RHEL 6.4 中加入了 zFCP 特定的部份至 T10 DIF SCSI 標準中,以進行端對端資料一致性的檢查,使得主介面卡與儲存伺服器之間的資料完整性已經更為精進。
IBM System z 對 Flash Express 的支援
IBM System z 的 Storage-Class Memory (SCM) for IBM System z 是資料儲存裝置的一個類別,它結合了儲存裝置與記憶體的屬性。現在 System z 的 SCM 支援 Flash Express 記憶體。SCM 的增加可以透過 EADM(Extended Asynchronous Data Mover)子通道來存取。每個增加都由區塊裝置來呈現。這功能改善了切換分頁的速率,以及暫存空間的存取效能,例如資料倉儲。
Open vSwitch Kernel 模組
Red Hat Enterprise Linux 6.4 包含了 Open vSwitch kernel 模組,作為 Red Hat 的階層性產品。Open vSwitch 只有在與包含了相應的使用者空間工具程式鄉結合時,才富支援性。請注意,沒有這些所需的使用者空間工具程式,Open vSwitch 將無法運作,也無法被啟用。欲知更多詳情,請參閱以下知識庫文章:https://access.redhat.com/knowledge/articles/270223。
已啟動與已傾印系統的比較
這功能能讓你比較已啟動的系統,以及已傾印的系統,以有效分析映像檔轉移時的變更。要分辨客座端,會使用
stsi 與 stfle 資料。新功能 lgr_info_log() 會比較現有的資料(lgr_info_cur)與最新的資料(lgr_info_last)。
更新 Perf 工具
perf 工具已經更新至上游版本 3.6-rc7,修正了大量 bug,並加入許多功能。以下是較重要的新增功能:
- 新增對 Kprobe 的事件支援。
- 已納入新的 perf 事件命令列語法引擎,能讓大括號(
{與})用來定義事件群組,例如:{cycles,cache-misses}。 - perf 附註瀏覽器的功能已經加強,以允許透過 ASM 呼叫與跳躍來探索瀏覽。
- perf 工具已經更新,透過
--uid命令列選項提供每個使用者的檢視視角。使用時,perf 只會顯示特定使用者的任務。shows tasks for a specified user only. - perf 工具現在提供了更多種自動測試。
支援 Uncore PMU
Red Hat Enterprise Linux 6.4 中的 kernel 新增了「uncore」效能偵測監控單元(PMU,Performance Monitoring Unit),支援 Intel Xeon 處理器 X55xx 與 X56xx 家族的perf 事件子系統。「uncore」指得是實體處理器套件中的子系統,用來在多個處理器核心中共享,例如 L3 快取。有了對 uncore PMU 的支援,效能資料可以很輕易地在套件階層收集到。
PMU 事件剖析也已經啟用,使用者可透過 perf 進行偵錯。
降低 memcg 的記憶體負載
記憶體控制群組會維護其自己的「最近使用」(LRU,Least Recently Used)清單至諸如回收記憶體。這清單置於全域每個區域的 LRU 清單之上。在 Red Hat Enterprise Linux 6.4 中,
memcg 的記憶體負載已經透過停用全域每個區域的 LRU 清單,並轉換其使用者至每個記憶體 cgroup 清單,而有所降低。
回收、壓縮記憶體
Red Hat Enterprise Linux 6.4 的 kernel 使用回收與壓縮技術,處理高順序的分配需求,或低記憶壓力。
支援 Transactional Execution Facility 與 Runtime Instrumentation Facility
在 Linux kernel 中加入 Transactional-Execution Facility(可在 IBM zEnterprise EC12 中找到)有助於降低軟體鎖定、進而對效能產生影響,並提供擴充性與平行性已達成更高的交易量。支援 Runtime Instrumentation Facility(可在 IBM zEnterprise EC12 中找到)提供了先進的機制給 profile 程式碼使用,以改進新 IBM JVM 所產生的程式碼的分析與最佳化功能。
失敗-開啟模式
Red Hat Enterprise Linux 6.4 新增了使用 netfilter 的 NFQUEUE 目標時的「失敗-開啟模式」(fail-open mode)。這模式允許使用者在網路運量高的時候,暫時停用檢驗套件的功能,並維持連線。
完整支援 IBM System z 的 kdump 與 kexec Kernel 傾印機制
在 RHEL 6.4 中,除了 IBM System z 的單機與 hypervisor 傾印機制之外,IBM System z 系統的 kdump/kexec kernel 完整傾印機制也已啟用。自動預留的門檻值已設為 4 GB;因此任何擁有超過 4 GB 記憶體的 IBM System z 系統,皆會啟用 kdump/kexec 機制。
因為 kdump 預設上大約保留 128 MB 的記憶體,因此您必須擁有足夠的記憶體。這在升級 RHEL 6.4 時非常重要。如果系統當機,那麼系統上也需要足夠的磁碟空間。
您可以透過
/etc/kdump.conf、system-config-kdump、或 firstboot 來配置或停用 kdump。
用於 KVM 的 TSC Deadline 支援
TSC deadline 計數器是本機 APIC(LAPIC)計數器的新模式,它會根據 TSC deadline 產生一次性的中斷,代替目前的 APIC 時脈計數間隔。它提供了更精確的計時器中斷(低於一次滴答),讓作業系統的排程程式更為精準。現在 KVM 會將這像功能轉給客座端使用。
一致的裝置名稱
這功能儲存了裝置名稱的對應(例如
sda, sdb 等)以及一致的裝置名稱(由 /dev/disk/by-*/ 的 udev 提供)至 kernel 訊息。這允許使用者從 kernel 訊息辨明裝置。kernel 的 /dev/kmsg 日誌可以透過 dmesg 命令顯示,現在也會顯示符號連結(udev 為 kernel 裝置所建立)的資訊。這些訊息會以以下格式顯示:
udev-alias: <device_name> (<symbolic_link> <symbolic link> …)
任何日誌分析程式都可以顯示這些訊息,同時也透過 syslog 儲存在
/var/log/messages 中。
新的 linuxptp 套件
Red Hat Enterprise Linux 6.4 裡的 linuxptp 套件是技術搶鮮版,為根據 IEEE 標準規格 1588,專為 Linux 設計的精確時間通訊協定(PTP,Precision Time Protocol)。雙設計的目標是為了提供穩固的標準實作,並用於 Linux kernel 所提供的常用、先進的 API 上。支援舊式 API 與其他平台並非目標。
通透 Hugepage 的文件
關於通透 hugepages 的相關文件,已經加入以下檔案:
/usr/share/doc/kernel-doc-<version>/Documentation/vm/transhuge.txt
對 Dump 目標的支援狀態
在 RHEL 6.4 中,
/usr/share/doc/kexec-tools-2.0.0/kexec-kdump-howto.txt 檔案提供了完整的支援、不支援、與未知的 dump 目標清單,位於「“Dump Target support status”」之下。
章 3. 裝置驅動程式
儲存裝置驅動程式
- Direct Access Storage Devices(
DASD)裝置驅動程式已更新,以便偵測硬體或微碼所無法偵測到的路徑配置錯誤。在成功偵測到後,裝置驅動程式將不會使用這些路徑。比方說,透過此功能,DASD 裝置驅動程式能偵測到為特定子頻道所指定,但卻指向不同儲存伺服器的路徑。 zfcp裝置驅動程式已更新,並新增了資料結構和錯誤處理機制,以便支援 System z Fibre Channel Protocol(FCP)控制卡的進階模式。在此模式中,當控制卡上的記憶體被大量且緩慢的 I/O 請求堵塞時,控制卡會將資料直接由記憶體傳送到 SAN(資料路由)中。mtip32xx驅動程式已更新,並支援了最新的 PCIe SSD 驅動程式。- Emulex Fibre Channel Host Bus Adapter 的
lpfc驅動程式已更新為版本 8.3.5.82.1p。 - QLogic Fibre Channel HBA 的
qla2xxx驅動程式已更新為版本 8.04.00.04.06.4-k,並新支援了 QLogic 的 83XX Converged Network Adapter(CNA)、QLogic 控制卡的 16 GBps FC,以及 HP ProLiant 的新 Form Factor CNA。 qla4xxxx驅動程式已更新為版本 v5.03.00.00.06.04-k0,這新增了change_queue_depthAPI 支援、修正了數個錯誤,並提供了多項改善的功能。- QLogic 4Gbps 光纖頻道 HBA 的
ql2400-firmware韌體已更新為版本 5.08.00。 - QLogic 4Gbps 光纖頻道 HBA 的
ql2500-firmware韌體已更新為版本 5.08.00。 - IBM Power Linux RAID SCSI HBA 的
ipr驅動程式已更新為版本 2.5.4,這新增了 Power7 6Gb SAS 控制器的支援,並開放了這些控制器上的 SAS VRAID 功能。 hpsa驅動程式已更新為版本 2.0.2-4-RH1,以便為 HP Smart Array Generation 8 家族的控制器新增 PCI-ID。- Broadcom NetXtreme II iSCSI 的
bnx2i驅動程式已更新為版本 2.7.2.2,並提供了一般性的硬體支援要素。RHEL 6.4 現在完整支援 Broadcom 裝置的 iSCSI 與 FCoE 的開機支援功能。這兩個功能是由 Broadcom 的 bnx2i 與 bnx2fc 驅動程式所支援。 - Broadcom Netxtreme II 57712 晶片的
bnx2fc驅動程式已更新為版本 1.0.12。RHEL 6.4 現在完整支援 Broadcom 裝置的 iSCSI 與 FCoE 的開機支援功能。這兩個功能是由 Broadcom 的 bnx2i 與 bnx2fc 驅動程式所支援。 mpt2sas驅動程式已更新為版本 13.101.00.00,這為 Linux BSG Driver 新增了多段模式的支援。- Brocade
bfaFibre Channel 和 FCoE 驅動程式已更新為版本 3.0.23.0,這包含了 Brocade 1860 16Gbps Fibre Channel Adapter 上的支援、Dell PowerEdge 12th Generation 伺服器中的新硬體支援,以及issue_lip上的支援。bfa韌體已更新為版本 3.0.3.1。 - ServerEngines BladeEngine 2 Open iSCSI 裝置的
be2iscsi驅動程式已更新為版本 4.4.58.0r,以新增 iSCSI netlink VLAN 上的支援。 - TrueScale HCA 的
qib驅動程式已更新為最新版本,並提供了下列功能改善:- 增強了 NUMA 知悉能力
- Performance Scale Messaging(PSM)網狀架構的 Congestion Control Agent(CCA)
- PSM 網狀架構的 Dual Rail
- 效能增強和錯誤修正
- 下列驅動程式已更新,並包含了最新的上游功能及錯誤修正:
ahci、md/bitmap、raid0、raid1、raid10和raid456。
網路驅動程式
- NetXen Multi port (1/10) Gigabit Network 的
netxen_nic驅動程式已更新為版本 4.0.80,並增加了 miniDIMM 的支援。netxen_nic的韌體已更新為版本 4.0.588。 bnx2x驅動程式已更新為版本 1.72.51-0,以包含 Broadcom 57800/57810/57811/57840 晶片的支援和一般錯誤修正,以及 Broadcom 57710/57711/57712 晶片的韌體更新。這項更新亦包含了下列功能改善:- 支援 Broadcom 57712/578xx 晶片的 iSCSI 卸載與 DCB/FCOE(Data Center Bridging/Fibre Channel over Ethernet)功能。Broadcom 57840 晶片僅在 4x10G 配置中受到支援,並且不支援 iSCSI 卸載和 FCoE。未來的發行版中將會支援額外配置和 iSCSI 卸載與 FCoE。
- 額外的實體層支援,包括 Energy Efficient Ethernet(EEE)。
- iSCSI 卸載功能增強
- OEM 特屬的功能
- ServerEngines BladeEngine2 10Gbps 網路裝置的
be2net驅動程式已更新為版本 4.4.31.0r,以便新增 RDMA over Converged Ethernet(RoCE)上的支援。除此之外,RHEL 6.4 現在已經完整支援 Emulexbe2net驅動程式的 SR-IOV 功能。SR-IOV 能在所有 Emulex 品牌與 BE3 為基礎的 OEM 硬體上執行,這些硬體需要be2net驅動程式。 ixgbevf驅動程式已更新為版本 2.6.0-k,以新增最新的硬體支援、新功能,以及錯誤修正。- Chelsio Terminator4 10G Unified Wire Network Controller 的
cxgb4驅動程式已更新,以新增 Chelsio 的 T480-CR 和 T440-LP-CR 控制器上的支援。 - Chelsio T3 Family 網路裝置的
cxgb3驅動程式已更新為版本 1.1.5-ko。 - Intel 10 Gigabit PCI Express 網路裝置的
ixgbe驅動程式已更新為版本 3.9.15-k,以新增 SR-IOV 搭配 Data Center Bridging(DCB)或是 Receive-Side Scaling(RSS)上的支援、PTP 支援作為技術預覽、最新的硬體支援、功能改善,以及錯誤修正。 iw_cxgb3驅動程式已更新。iw_cxgb4驅動程式已更新。- Intel PRO/1000 網路裝置的
e1000e驅動程式已更新,並新增了最新的硬體支援、功能,並提供了數項錯誤修正。 - Cisco 10G 乙太裝置的
enic驅動程式已經更新為版本 2.1.1.39。 igbvf驅動程式(Intel Gigabit Virtual Function Network 驅動程式)已更新為最新的上游版本。- Intel Gigabit Ethernet Adapter 的
igb驅動程式已更新為版本 4.0.1,以新增最新的硬體支援。並且 PTP 支援也已新增至igb驅動程式,作為技術預覽。 - Broadcom Tigon3 Ethernet 的
tg3驅動程式已更新為版本 3.124,以增加新硬體的支援。並且 PTP 支援也已新增至tg3驅動程式作為技術預覽。 - HP NC-系列 QLogic 10 Gigabit 伺服器介面卡的
qlcnic驅動程式已經更新至 5.0.29 版。 - Brocade 10Gb PCIe Ethernet Controller 的 Brocade
bna驅動程式已更新為版本 3.0.23.0,以便為 Dell PowerEdge 12th Generation 伺服器增加新硬體的支援,並開放使用非 Brocade Twinax Copper 的纜線。bna韌體已更新為版本 3.0.3.1。 - Broadcom NetXtreme II
cnic驅動程式已更新為版本 2.5.13,以包含新功能、錯誤修正,以及新 OEM 平台的支援。
雜項驅動程式
- Intel 處理器的
intel_idlecpuidle 驅動程式已更新,以便提供 Intel 的 Xeon E5-XXX V2 系列處理器上的支援。 wacom驅動程式已更新,以增加 CTL-460 Wacom Bamboo Pen、Wacom Intuos5 Tablet,以及 Wacom Cintiq 22HD Pen Display 上的支援。- ALSA HDA 音效驅動程式已更新,以便啟用或改善新硬體上的支援,並修正了數項錯誤。
mlx4_en驅動程式已經更新至最新的上游版本。mlx4_ib驅動程式已經更新至最新的上游版本。mlx4_core驅動程式已經更新至最新的上游版本。z90crypt裝置驅動程式已更新,以便支援新的 Crypto Express 4(CEX4)控制卡。
章 4. 網路作業
HAProxy
HAProxy 乃一項獨立、第七層、高效能、為 TCP 與 HTTP 應用程式所設計的網路負載平衡程式,可根據 HTTP 需求,進行多種排程。Red Hat Enterprise Linux 6.4 引介了 haproxy 套件作為技術預覽。
章 5. 認證與互通性
SSSD 的完整支援功能
多種出現於 Red Hat Enterprise Linux 6.3 的功能,Red Hat Enterprise Linux 6.4 已提供完整支援。特別是:
- 支援 SSH 金鑰的中央管理、
- SELinux 的使用者對應、
- 以及支援自動對應快取。
新的 SSSD 快取儲存類型
Kerberos 1.10 版新增了快取儲存類型
DIR:,這能讓 Kerberos 同步維護多個 KDC(Key Distribution Centers)的 TGT(Ticket Granting Tickets),並在協調能偵測 Kerberos 的資源時,自動從中選擇。在 Red Hat Enterprise Linux 6.4 中,SSSD 的功能已經增強,能讓使用者選擇 DIR: 快取,用以透過 SSSD 登入。這功能是搶先版。
新增以 AD 為基礎的網域至 external(外部)群組
在 Red Hat Enterprise Linux 6.4 中,
ipa group-add-member 指令能讓使用者新增 AD 網域的成員至 Identity Management(身分識別管理)中,標示為 external(外部)的群組。這些成員可能會使用 domain- 或 UPN- 為基礎的語法來指定,例如 AD\UserName 或 AD\GroupName,或 User@AD.Domain。以這種形式指定時,成員會透過 AD 受信任網域的全域目錄,取得其 SID 值。
此外,您亦可直接指定一組 SID 值。在此情況下,
ipa group-add-member 指令將只會驗證 SID 值的區域部分是否屬於受信任的 Active Directory 區域之一。系統將不會嘗試驗證區域中的 SID 是否有效。
建議使用使用者或群組名稱語法來指定外部成員,而非直接提供其 SID 值。
自動更新身份管理子系統憑證
新憑證的預設有效期限乃 10 年。CA 會為其子系統(OCSP、audit log 和其它)發出若干憑證。子系統憑證一般有效期限為兩年。若憑證失效,CA 將無法啟用,或將無法正常運作。因此,在 Red Hat Enterprise Linux 6.4 中,身份管理(Identity Management)伺服器能自動更新其子系統的憑證。子系統的憑證乃藉由 certmonger 追蹤,它會在憑證失效之前,自動嘗試更新憑證。
在已註冊於身份管理(Identity Management)中的客戶端上,自動配置 OpenLDAP 客戶端工具
在 Red Hat Enterprise Linux 6.4 中,當安裝 Identity Management 客戶端時,OpenLDAP 會被自動配置預設的 LDAP URI、 基礎 DN,以及 TLS 憑證。這能改善對於 Identity Management Directory Server 的 LDAP 搜尋。
python-nss 的 PKCS#12 支援
為 Network Security Services(NSS)和 Netscape Portable Runtime(NSPR)提供 Python 綁定的 python-nss 套件已更新,並新增了 PKCS #12 的支援。
DNS 完整持續性搜尋
Red Hat Enterprise Linux 6.4 中的 LDAP 支援區域與其資源紀錄的持續性搜尋。持續性搜尋能讓 bind-dyndb-ldap 外掛即時被通知有關於 LDAP 資料庫中的所有變更。它同時也能透過重複輪詢來降低網路頻寬的使用量。
新增了 CLEANALLRUV 作業
Database Replica Update Vector(RUV)中的已過時元素,可透過
CLEANRUV 作業移除,這會將它們由單一 supplier 或 master 上移除。Red Hat Enterprise Linux 6.4 新增了一項 CLEANALLRUV 作業,用來移除所有已過時的 RUV 資料,並且僅需要在單一 supplier/master 上執行即可。
samba4 函式庫已更新
samba4 函式庫(由 samba4-libs 套件所提供)已升級為最新上游版本,以改善與 Active Directory(AD)區域的互通性。 SSSD 現在使用了
libndr-krb5pac 函式庫來叵析由 AD Key Distribution Center 所發出的 Privilege Attribute Certificate(PAC)。此外,Local Security Authority(LSA)和 Net Logon 服務也已經過改善,以允許經由 Windows 系統驗證信任關係。欲取得更多有關於 Cross Realm Kerberos Trust 功能(依賴 samba4 套件)上的相關資訊,請參閱 “Identity Management 中的 Cross Realm Kerberos Trust 功能”。
警告
如果您是從 RHEL 6.3 升級至 RHEL 6.4,同時也使用了 Samba,請確定要事先解除安裝 samba4 套件,以避免升級期間的衝突。
因為 Cross Realm Kerberos Trust 功能被視為技術預覽,因此被選擇的 samba4 元件亦被視為技術預覽。欲知哪個 Samba 套件為技術預覽,請參閱 表格 5.1, “Samba4 套件支援”。
表格 5.1. Samba4 套件支援
| 套件名稱 | 6.4 中的新套件? | 支援狀態 |
|---|---|---|
| samba4-libs | 否 | 技術預覽,除了 OpenChange 所需的功能以外 |
| samba4-pidl | 否 | 技術預覽,除了 OpenChange 所需的功能以外 |
| samba4 | 否 | 技術預覽 |
| samba4-client | 是 | 技術預覽 |
| samba4-common | 是 | 技術預覽 |
| samba4-python | 是 | 技術預覽 |
| samba4-winbind | 是 | 技術預覽 |
| samba4-dc | 是 | 技術預覽 |
| samba4-dc-libs | 是 | 技術預覽 |
| samba4-swat | 是 | 技術預覽 |
| samba4-test | 是 | 技術預覽 |
| samba4-winbind-clients | 是 | 技術預覽 |
| samba4-winbind-krb5-locator | 是 | 技術預覽 |
Identity Management 中的 Cross Realm Kerberos Trust 功能
Identity Management 所提供的 Cross Realm Kerberos Trust 功能為技術預覽。此功能可讓您建立 Identity Management 與 Active Directory 區域之間的信任關係。這代表來自於 AD 區域的使用者將能透過他們的 AD 帳號,存取來自於 Identity Management 區域的資源和服務。Identity Management 和 AD 區域控制器之間的資料無需同步;AD 使用者將會由 AD 區域控制器驗證,並查詢使用者的相關資訊,而無需進行同步。
這項功能是由 ipa-server-trust-ad 套件所提供的。此套件依賴僅有在 samba4 中可使用的功能。因為 samba4-* 套件會與相應的 samba-* 套件產生衝突,因此您必須先移除 samba-* 套件,才能安裝 ipa-server-trust-ad。
當 ipa-server-trust-ad 套件安裝完成後,您必須在所有 Identity Management 伺服器和複本上執行
ipa-adtrust-install 指令,以啟用 Identity Management 來處理信任關係。當完成後,您可藉由在指令列上使用 ipa trust-add 或 WebUI 來建立信任關係。欲取得更多相關資訊,請參閱位於 https://access.redhat.com/knowledge/docs/Red_Hat_Enterprise_Linux/ 的《身份管理指南》中的《透過 Cross-Realm Kerberos Trust 來與 Active Directory 整合》部分。
389 Directory Server 的 Posix Schema 支援
Windows Active Directory(AD)支援使用者和群組項目的 POSIX 結構描述(RFC 2307 和 2307bis)。在許多情況下,AD 會被使用來作為使用者和群組資料(包括 POSIX 屬性)的驗證來源。在 Red Hat Enterprise Linux 6.4 中,Directory Server Windows Sync 已不再會忽略這些屬性。使用者現在已能夠在 AD 和 389 Directory Server 之間同步 POSIX 屬性和 Windows Sync。
注意
當要新增使用者及群組項目至 Directory Server 時,POSIX 屬性不會同步至 AD。新增使用者和群組項目至 AD 則會同步至 Directory Server,而修改屬性將會雙向同步。
章 6. 安全性
搜尋 sudoers 條目時的作法
sudo 工具程式可以參照
/etc/nsswitch.conf 檔案,尋找 sudoers 的條目或使用 LDAP。之前在第一個資料庫中找到 sudoers 條目時,搜尋功能會繼續在其他資料庫(包括檔案)中搜尋。在 RHEL 5.9 中,/etc/nsswitch.conf 檔案多了一個選項,允許使用者指定找到 sudoers 時,一個資料庫就已經足夠。這降低了查詢其它資料庫的需求;因此改進了在大型環境中尋找的效能。預設上這行為不會被啟用,要使用的話,請在選擇資料庫之後,新增 [SUCCESS=return] 字串。當從一個資料庫中找到一筆資料時,就不會搜尋其它資料庫。
增加 pam_cracklib 的密碼檢查
pam_cracklib 模組已經更新,新增了多個新密碼強度檢查程式:
- 一些身分認證政策並不包含長的、連續的字元,例如「abcd」或「98765」。這項更新透過
maxsequence選項,引介了限制連續字串的最大長度。 - 現在
pam_cracklib模組允許檢查新密碼是否包含來自/etc/passwd檔案中,GECOS 欄位的字串。GECOS 欄位是用來記錄使用者的額外資訊,例如使用者的全名或電話號碼,這都可能被攻擊者用來破解密碼。 - 現在
pam_cracklib模組透過maxrepeatclass選項,允許同樣類別字元(小寫、大寫、數次、特殊字元)的最大連續長度。 - 現在
pam_cracklib模組支援enforce_for_root選項,強制限制 root 帳號使用複雜的新密碼。
tmpfs 多例示的大小選項
在多 tmpfs 掛載的系統上,需要限制其大小以避免佔據所有系統記憶體。PAM 已經更新,以允許使用者透過
/etc/namespace.conf 配置檔案中的 mntopts=size=<size> 選項,指定 tmpfs 檔案系統掛載的最大大小。
鎖定非啟用中的帳號
一些授權政策需要鎖定一段時間沒有使用的帳號之支援功能。Red Hat Enterprise Linux 6.4 引介了額外功能至
pam_lastlog 模組,允許使用者鎖定在配置好的時間後,鎖定帳號。
libica 的新操作模式
libica 函式庫包含了一組功能與工具程式,可存取 IBM System z 上的 IBM ICA(IBM eServer Cryptographic Accelerator,IBM eServer 加密加速器)硬體,這函式庫已經修正,允許使用新的演算法則,支援 CPACF(Central Processor Assist for Cryptographic Function,中央處理器對加密功能的支援)中的訊息安全協助延伸指令集 4(Message Security Assist Extension 4)。現在針對 DES 與 3DES 區塊加密器,支援以下操作模式:
- CBC-CS (Cipher Block Chaining with Ciphertext Stealing)
- CMAC (Cipher-based Message Authentication Code)
針對 AES 區塊加密器,現在支援以下操作模式:
- CBC-CS (Cipher Block Chaining with Ciphertext Stealing)
- CCM (Cipher Block Chaining Message Authentication Code 的計數器)
- GCM (Galois/Counter)
這個複雜的加密演算法則能顯著改進 IBM System z 電腦的執行效能。
System z 上,對於 zlib 壓縮函式庫的最佳化與支援
zlib 函式庫是通用、無失真的資料壓縮函式庫,此函式庫已經更新,已改進在 IBM System z 上的執行效能。
防火牆配置的失效處理
iptables 與 ip6tables 服務提供了如果預設配置無法套用時,就使用指定就會使用防火牆失效配置的能力。如果從 /etc/sysconfig/iptables 套用防火牆規則失敗,那麼就會使用 fallback 檔案(如果存在的話)進行失效處理。fallback 檔案名為 /etc/sysconfig/iptables.fallback,同時使用 iptables-save 檔案格式(與 /etc/sysconfig/iptables 相同)。如果 fallback 檔案的應用程式也失敗,那麼就沒有更進一步的失效處理。要建立 fallback 檔案,請使用標準的防火牆配置工具,並將這檔案更名或複製為 fallback 檔案。請使用同樣的程序,處理 ip6tables 服務,或取代所有 “iptables” 的檔案,使其成為 “ip6tables”。
章 7. 權利
更新字串
在 RHEL 6.4 中,訂閱管理員中的幾個字串已經更名:
- subscribe 更名為 attach
- auto-subscribe 更名為 auto-attach
- unsubscribe 更名為 remove
- consumer 更名為 system 或 unit
測試代理伺服器
現在代理伺服器的配置對話視窗允許使用者在輸入值之後,測試連線。
訂閱或取消訂閱多項權利
訂閱管理員現在可以透過權利的序號,一次訂閱(連接)或取消訂閱(移除)多項權利。
GUI 中支援啟動金鑰
圖形版的訂閱管理員現在能讓使用者透過「啟動金鑰」(activation key)註冊系統。啟動金鑰能讓使用者在系統註冊之前,就預先配置系統。
使用外部伺服器註冊
現在在註冊系統期間,訂閱管理員支援遠端伺服器的選項。這個訂閱管理員的使用者介面能在註冊期間,為使用者提供選項,用以註冊的伺服器網址之選項,並加上連接埠與前綴。除此之外,在命令列註冊時,
--serverurl 選項可以用來指定要註冊的伺服器。欲知此功能的更多資訊,請參閱《訂閱管理指南.註冊、取消註冊、與註冊系統》一節。
圖形使用介面中的可用性變更
訂閱管理員的 GUI 已經根據使用者的建議有所強化。
章 8. 虛擬化
8.1. KVM
virtio-SCSI
KVM 的虛擬化儲存堆疊已經有所改進,新增了 virtio-SCSI 功能(基於 SCSI、給 KVM 使用的儲存架構)。Virtio-SCSI 提供了直接連結 SCSI LUN 的功能,顯著改善了 virtio-blk 的可擴充性。virtio-SCSI 的優勢在於它能處理上百、上千個裝置,而 virtio-blk 只能處理約廿五個裝置,並會耗盡 PCI 插槽。
Virtio-SCSI 現在能繼承目標裝置的的功能組:
- 透過 virtio-scsi 控制器連接虛擬硬碟或光碟、
- 透過 QEMU scsi-block 裝置,將實體 SCSI 裝置從主機端送往客座端、
- 允許每一台客座端使用上百、上千台裝置;不再侷限於先前 virtio-blk 的約廿五台裝置限制。
virtio-scsi 是 Red Hat Enterprise Linux 6.3 的技術預覽功能,並在 Red Hat Enterprise Linux 6.4 中成為完整支援功能。最新的 virtio-win 驅動程式現在也支援 Windows 客座端(不含 Windows XP)。
支援 Intel 的下一代 Core 處理器
Red Hat Enterprise Linux 6.4 在 qemu-kvm 中新增了對 Intel 下一代 Core 處理器的支援,這樣 KVM 客座端可以善用此處理器所提供的功能,其中的重要功能有:Advanced Vector Extensions 2 (AVX2), Bit-Manipulation Instructions 1 (BMI1), Bit-Manipulation Instructions 2 (BMI2), Hardware Lock Elision (HLE), Restricted Transactional Memory (RTM), Process-Context Identifier (PCID), Invalidate Process-Context Identifier (INVPCID), Fused Multiply-Add (FMA), Big-Endian Move instruction (MOVBE), F Segment and G Segment BASE instruction (FSGSBASE), Supervisor Mode Execution Prevention (SMEP), Enhanced REP MOVSB/STOSB (ERMS)。
支援 AMD Opteron 4xxx 系列處理器
現在 qemu-kvm 支援 AMD Opteron 4xxx 處理器。這允許 KVM 客座端使用此處理器系列的新功能,例如 F16C instruction set、Trailing Bit Manipulation、BMI1(Bit-Manupulation Instructions 1)decimate functions、以及 Fused Multiply-Add (FMA) 指令集。
透過 SPICE,使用 USB 轉送功能進行客座端線上遷移
Red Hat Enterprise Linux 6.4 支援透過 SPICE,使用 USB 轉送功能進行客座端線上遷移,同時維護所有現有已配置裝置的 USB 裝置重導向功能。
使用 USB 裝置線上遷移客座端
在 Red Hat Enterprise Linux 6.4 中,KVM 支援使用 USB 線上裝置遷移客座端。RHEL 6.4 支援以下裝置:Enhanced Host Controller Interface (EHCI) 與 Universal Host Controller Interface (UHCI) 本地穿透與模擬裝置,例如儲存裝置、滑鼠、鍵盤、集線器等。
更新 QEMU 客座端代理程式
Red Hat Enterprise Linux 6.4 已完整支援 QEMU 客座端代理程式(由 qemu-guest-agent 套件所提供),目前已更新至上游版本 1.1,同時包括了以下顯著的功能更新,並修正了錯誤:
guest-suspend-disk與guest-suspend-ram指令可以用來將 Windows 作業系統休眠至記憶體或硬碟。- 現在
guest-network-get-interfaces指令可以用來取得 Linux 中的網路介面資訊。 - 這更新提供了凍結檔案系統的支援之改進與修正。
- 這更新包括多個文件修正與小幅改進。
半虛擬化的中斷結束指示(PV-EOI)
對於每個中斷,執行 RHEL 6.3 以前版本的主機與客座端需要兩個 VM 退出程式(從虛擬機器到 Hypervisor 的文本切換):一個是為了投入中斷,另一個是提出訊號,表示中斷結束。當主機與客座端系統更新至 RHEL 6.4 以上,便可以與版虛擬化的中斷結束功能溝通,同時每個中斷只需要一次切換。因此,主機與客座端皆使用 RHEL 6.4 以上時,退出的數量會減半,例如 virtio 網路裝置的連入網路交通。這會顯著降低主機處理器的負載。請注意,只有 edge 中斷才會有所改善:例如 e1000 網路卡使用的是 level 中斷,其效能就不會改善。
可配置的音效通透功能
除了被偵測為
line-in 與 line-out 以外,客座端的音效裝置可以被偵測為 microphone。音效裝置可以在客座端應用程式中正常運作,即使這些應用程式只接受特定類型的錄音輸入與音效亦然。
8.2. Hyper-V
包括 Microsoft Hyper-V 驅動程式,也支援客座端安裝此驅動程式
在 Microsoft Hyper-V 上整合 RHEL 客座端的安裝,以及支援 RHEL 6.4 上的 Hyper-V 半虛擬裝置,能讓使用者在 Microsoft Hyper-V 上執行 RHEL 6.4 客座端。以下 Hyper-V 驅動程式與時鐘來源已經加入 RHEL 6.4 的 kernel:
- 網路驅動程式(
hv_netvsc) - 儲存裝置驅動程式(
hv_storvsc) - HID 相容的滑鼠驅動程式(
hid_hyperv) - VMbus 驅動程式(
hv_vmbus) - 工具程式驅動程式(
hv_util) - IDE 磁碟驅動程式(
ata_piix) - 時脈來源(i386, AMD64/Intel 64:
hyperv_clocksource)
RHEL 6.4 也包括了 Hyper-V 作為時脈來源,以及客座 Hyper-V 的 KVP(Key-Value Pair)daemon(
hypervkvpd)用來把基本資訊,例如客座端 IP、FQDN、作業系統名稱、以及作業系統版本等,透過 VMbus 傳送到主機上。
8.3. VMware ESX
VMware PV 驅動程式
VMware 半虛擬驅動程式已經更新,已提供在 VMware ESX 中使用 RHEL 6.4 時,開機即用的無縫體驗。Anaconda 安裝程式也已經更新,以在安裝過程中列出驅動程式。以下驅動程式已經更新:
- 網路卡驅動程式(
vmxnet3) - 儲存裝置驅動程式(
vmw_pvscsi) - 記憶體飄移驅動程式(
vmware_balloon) - 滑鼠驅動程式(
vmmouse_drv) - 顯示卡驅動程式(
vmware_drv)
章 9. 叢集
支援 IBM iPDU 隔離裝置
RHEL 6.4 新增了 IBM iPDU 隔離裝置的支援功能。欲取得此隔離裝置的參數資訊,請參閱 Red Hat Enterprise Linux 6《叢集管理》指南中的《隔離裝置參數》附錄。
支援 Eaton Network Power Controller 隔離裝置
Red Hat Enterprise Linux 6.4 新增了
fence_eaton_snmp 的支援,此乃 SNMP 網路 switch 上的 Eaton 的隔離代理程式。欲取得更多有關於此隔離代理程式之參數的相關資訊,請參閱 Red Hat Enterprise Linux 6《叢集管理》指南中的《隔離裝置參數》附錄。
新增了 keepalived 套件
Red Hat Enterprise Linux 6.4 包含了 keepalived 套件作為技術預覽。keepalived 套件提供了簡易和健全的功能,用於負載平衡以及高可用性(high-availability)。負載平衡架構依賴了廣泛使用的 Linux Virtual Server kernel 模組,它提供了 Layer4 的網路負載平衡。
keepalived daemon 會根據已負載平衡的伺服器集區之狀態,實作一組狀態檢測程式。keepalived daemon 同時也會實作 Virtual Router Redundancy Protocol(虛擬路由器冗余協定,VRRP),這能讓路由器或是 director 進行備援,以啟用高可用性。
Watchdog 復原
包含在 Red Hat Enterprise Linux 6.4 中,作為技術預覽的
fence_sanlock 和 checkquorum.wdmd 隔離代理程式,提供了透過 watchdog 裝置來啟動節點復原的新機制。您可藉由 https://fedorahosted.org/cluster/wiki/HomePage 取得有關於如何啟用此技術預覽的相關指南。
支援了基於 VMDK 的儲存裝置
Red Hat Enterprise Linux 6.4 支援使用了 VMware 之 VMDK(虛擬機器磁碟,Virtual Machine Disk)磁碟映像技術搭配 multi-writer 選項的叢集。這能讓您針對於 GFS2 之類的叢集檔案系統,使用諸如基於 VMDK 的儲存裝置搭配 multi-writer 選項。
章 10. 儲存裝置
完整支援平行 NFS
平行 NFS(pNFS,Parallel NFS)是 NFS v4.1 標準的一部分,允許用戶端執行、平行存取儲存裝置。pNFS 架構可以改善 NFS 伺服器的可擴充性,以及一般負載之效能。現在 RHEL 6.4 完整支援 pNFS。
pNFS 支援三種不同的儲存通訊協定或布局:檔案、物件、與區塊。RHEL 6.4 的 NFS 客座端支援檔案布局通訊協定。
要啟用這項新功能,請使用以下掛載選項之一,掛載支援 pNFS 的伺服器:
-o minorversion=1 或 -o v4.1。
當伺服器支援 pNFS 時,
nfs_layout_nfsv41_files kernel 模組就會在第一次使用時自動載入。請使用以下指令,驗證此模組已經掛載:
~]$ lsmod | grep nfs_layout_nfsv41_files
欲知更多 pNFS 的資訊,請參閱 http://www.pnfs.com/。
支援 XFS 線上注銷功能
在已掛載的檔案系統上,執行線上注銷操作以注銷檔案系統不再使用的區塊。線上注銷作業現在支援 XFS 檔案系統。欲知更多詳情,請參閱 Red Hat Enterprise Linux 6《儲存管理指南‧Discard Unused Blocks》。
LVM 支援 Micron PCIe SSD
Red Hat Enterprise Linux 6.4 中,LVM 新增了對 Micron PCIe SSD 硬碟作為卷冊群組之一部分的支援。
LVM 支援雙向鏡射 RAID10
LVM 現在可以建立、移除 RAID10 邏輯卷冊,或變更其大小。要建立 RAID10 邏輯卷冊,跟其它 RAID 一樣,請用以下指令指定類別:
~]# lvcreate --type raid10 -m 1 -i 2 -L 1G -n lv vg
請注意,
-m 與 -i 引數的作用與針對其它類別的相同。也就是說,-i 是磁條的總數,而 -m 是(額外)複製品的總數(亦即 -m 1 -i 2 會在雙向鏡射之上,提供兩組磁條)。
設定、管理 SCSI 透過裝置對應的持續保留功能
之前,要在多路徑裝置上設定持續保留功能,需要在所有裝置路徑上設置。如果稍候加入一組路徑裝置,就需要手動新增已保留路徑。透過裝置對應裝置與
mpathpersist 指令,RHEL 6.4 新增了設定、管理 SCSI 持續保留功能。路徑裝置加入時,持續保留功能就會在這些裝置上設置。
章 11. 編譯器與工具
SystemTap 已更新為版本 1.8
SystemTap 是一項追蹤與探測工具,它能讓使用者了解、詳細監控作業系統的活動(尤其是 kernel 的活動)。它提供了類似 netstat、ps、top,以及 iostat 的資訊;然而,SystemTap 的設計,乃用於為已蒐集的資訊,提供了更多的篩選與分析選項。
Red Hat Enterprise Linux 6.4 中的 systemtap 已升級為上游版本 1.8,並提供了數項錯誤修正和改善:
- 現在
@var語法是在uprobe與kprobe處理程式(程序、kernel、模組)存取 DWARF 時的另一種語法。 - 現在 SystemTap 會弄亂本地變數,以避免與 tapset 所引用的 C 表頭衝突。
- 現在 SystemTap 編譯伺服器與用戶端支援 IPv6 網路。
- SystemTap runtime(staprun)現在可以接受
-Ttimeout 選項,以允許更低頻率的喚醒次數給來自 script 的低吞吐量輸出。 - SystemTap script 翻譯驅動程式(
stap)現在提供了以下資源了限制選項:--rlimit-as=NUM --rlimit-cpu=NUM --rlimit-nproc=NUM --rlimit-stack=NUM --rlimit-fsize=NUM
- 現在 SystemTap 模組更小、編譯速度更快。模組的 debuginfo 預設上是不使用的。
- Bug CVE-2012-0875(處理損壞的 DWARF unwind 資料時會發生 kernel panic 情況)現在已修正。
lscpu 和 chcpu 工具程式
用來顯示有關於可用 CPU 之詳細資訊的 lscpu 工具程式已更新,並包含了數項新功能。並且亦有一項新的 chcpu 工具程式已被新增,它能讓您更改 CPU 狀態(online/offline、standby/active 與/或其它狀態)、停用及啟用 CPU,以及配置指定的 CPU。
欲取得更多有關於這些工具程式上的相關資訊,請參閱 lscpu(1) 和 chcpu(8) man page。
章 12. 一般更新
已更新 samba 套件
RHEL 6.4 納入了大幅翻修的 samba 套件,修正了若干 bug、引進幾個加強功能,最重要的是加入了對 SMB2 通訊協定的支援。對 SMB2 的支援可透過
/etc/samba/smb.conf 中,[global] 一節的下列參數來啟用:
max protocol = SMB2
此外,Samba 現在已支援 Kerberos AES 加密。AES 自從 Windows Server 2008/Windows 7 便已受支援,並且已成為最近所有 Windows 產品的新預設 Kerberos 加密類型。Samba 現在會新增 AES Kerberos 金鑰至它所控制的 keytab。這表示其它以 Kerberos 加密、使用此 samba keytab 並在相同機器上執行的服務,皆可受到 AES 加密保護。若要使用 AES session 金鑰(而不僅是使用 AES 加密申請單來授予申請單),Active Directory 的 LDAP 伺服器中的 samba 機器帳號,需經過手動式的修改。欲取得更多資訊,請參閱 Microsoft Open Specifications Support Team Blog。
警告
更新後的 samba 套件也改變了配置 ID mapping 的方式。建議使用者修改既有的 Samba 配置檔案。
請注意,數個 TBD(Trivial Database)檔案已更新,並且列印支援已被重新編寫,以使用實際的登錄檔實作。這代表所有 TBD 檔案,皆會在您啟用新版的
smbd 時升級。除非您備份了 TBD 檔案,否則您將無法降級為較舊的 Samba 3.x 版本。
欲取得更多有關於這些變更上的相關資訊,請參閱 Samba 3.6.0 發行公告.
新的 SciPy 套件
Red Hat Enterprise Linux 6.4 包含了一個新的 scipy 套件。SciPy 套件提供了用於數理及工程的軟體。NumPy 套件(設計來操作大量多方面紀錄)乃 SciPy 的核心函式庫。SciPy 的函式庫會與 NumPy 陣列搭配運作,並提供各種高效率的數值分析例行程序,比方說數值整合與優化的例行程序。
NSS 中的 TLS v1.1 支援
nss 和 nss-util 套件已升級至版本 3.14,以提供 TLS 版本 1.1 的支援及其它功能。nspr 套件也已重新整合為版本 4.9.2。欲取得更多資訊,請參閱 NSS 3.14 發行公告.
已嵌入了 Valgrind gdbserver
valgrind 套件已升級至上游版本 3.8.1。此更新版本包含了內嵌的
gdbserver 及其它功能增強與錯誤修正。欲取得更多資訊,請參閱《Valgrind》章節,以及《Red Hat Developer Toolset 1.1 使用者指南》中的《Valgrind 3.8.1 的變更》附錄。
新增了 libjpeg-turbo 套件
Red Hat Enterprise Linux 6.4 包含了一組新的 libjpeg-turbo 套件。這些套件取代了傳統的 libjpeg 套件,並提供了與 libjpeg 相同的功能和 API,以及較佳的效能。
新增了 redhat-lsb-core 套件
當安裝 redhat-lsb 套件時,會有大量相依性套件被拉進系統中,以滿足 LSB 標準。Red Hat Enterprise Linux 6.4 提供了一組新的 redhat-lsb-core 子套件,它能讓您透過安裝 redhat-lsb-core 套件,只擷取最小需求的必要套件。
createrepo 工具程式已更新
createrepo 工具程式已更新為最新上游版本,這會顯著降低記憶體的使用量,並透過
--workers 選項,新增多工作業上的支援。
附錄 A. 修訂記錄
| 修訂記錄 | |||
|---|---|---|---|
| 修訂 1-1.15.400 | 2013-10-31 | Rüdiger Landmann | |
| |||
| 修訂 1-1.15 | Mon Jan 21 2013 | Chester Cheng | |
| |||
| 修訂 1-1.14 | Wed Jan 16 2013 | Chester Cheng | |
| |||
| 修訂 1-1.13 | Fri Jan 11 2013 | Chester Cheng | |
| |||
| 修訂 1-1.12 | Wed Dec 4 2012 | Martin Prpič | |
| |||
法律聲明
Copyright © 2012 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
