Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.7 發行公告

Red Hat Enterprise Linux 6

Red Hat Enterprise Linux 6.7 發行公告

版 7

Red Hat 客戶服務部出版中心

摘要

《發行公告》提供了有關於實作於 Red Hat Enterprise Linux 6.7 中的功能改善,與額外功能的基本資訊。欲取得 Red Hat Enterprise Linux 6.7 更新上與所有變更上的詳細資訊,請參閱《技術公告》。

序言

Red Hat Enterprise Linux(簡稱 RHEL)的次要發行版為個別升級、安全性,以及錯誤修正勘誤的彙總。《Red Hat Enterprise Linux 6.7 發行公告》記載了 RHEL 6 作業系統的重大變更,以及此版本所搭載的應用程式。此次要發行版在變更上(已修正之錯誤與新增的功能)的詳細資訊,可透過《技術公告》中取得。《技術公告》文件亦包含了目前所有的可用技術預覽,以及提供這些技術預覽之套件的完整清單。
RHEL 6 與其他系統版本的功能與限制,都可以在知識庫中找到,網址為 https://access.redhat.com/articles/rhel-limits
如欲取得 RHEL 生命週期上的相關資訊,請參閱〈Red Hat Enterprise Linux 生命週期〉一文。

章 1. 身份認證

Directory Server 支援可配置的正規化 DN 快取

Directory Server(目錄伺服器)的這項更新能為例如 memberOf 的外掛程式、以及一些用來更新含有許多 DN 語法屬性之項目的作業提供更佳的效能。新設計的可配置正規化(normalize)DN 快取能讓伺服器更有效率地處理 DN。

使用無密碼的認證方式時,SSSD 會顯示密碼到期的警告

先前,SSSD 僅能在進行認證階段時驗證密碼是否有效。然而,當使用了無密碼的認證方式(例如進行 SSH 登錄)時,SSSD 不會在認證階段時被調用,因此也不會執行密碼有效性檢測。這項更新已將檢測動作從認證階段移至帳戶處理階段。因此,就算在進行認證時未使用任何密碼,SSSD 亦可發出密碼到期的警告。詳情請參閱《建置指南》。

SSSD 支援使用「使用者主體名稱」登入

除了使用者名稱之外,SSSD 現在亦可使用「使用者主體名稱」(User Principal Name,UPN)屬性來識別使用者與使用者帳號,這是 Active Directory(AD)使用者能使用的功能。透過這項功能增強,使用者能以使用者名稱和網域、或是 UPN 屬性,以 AD 使用者登入。

SSSD 支援快取項目的背景更新

SSSD 允許快取項目在背景中進行頻外(out-of-band)更新。之前,快取項目的有效性過期時,SSSD 會從遠端伺服器擷取這些快取項目,並將它們重新儲存在資料庫中,這可能會耗費許多時間。透過這次更新,項目能即時回傳,因為它們會在後端中被維持最新狀態。請注意,這會增加伺服器的負載,因為 SSSD 會定時下載這些項目,而不是只有被請求時才會進行下載。

sudo 指令已支援 zlib 壓縮的 I/O 日誌

現在 sudo 指令已內建對 zlib 的支援,這能讓 sudo 產生並處理壓縮的 I/O 日誌。

新套件:openscap-scanner

現在已提供 openscap-scanner 這個新套件,讓管理員安裝、使用 OpenSCAP 掃描工具(oscap),且無需安裝 openscap-utils 套件的所有相依套件(這些套件先前包含了掃描工具)。OpenSCAP 掃描程式的獨立套件格式能有效降低因安裝非必要相依性套件所造成的潛在安全性風險。您依然能使用 openscap-utils 套件,而此套件包含了其它純屬雜項的工具。建議僅需要使用 oscap 工具的使用者移除 openscap-utils 套件,並安裝 openscap-scanner 套件。

若 NSS 支援,TLS 1.0 或更新版本將會預設啟用

基於 CVE-2014-3566,預設上 SSLv3 以及較舊的協定版本將會被停用。Directory Server 現在能接受更安全的 SSL 協定,例如 TLSv1.1 與 TLSv1.2,並且該範圍是由 NSS 函式庫所提供的。您亦可定義與 Directory Server 事例進行通訊時,主控台所會使用的 SSL 範圍。

openldap 包括 pwdChecker 函式庫

這項更新藉由包含了 OpenLDAP pwdChecker 函式庫,以帶入 OpenLDAP 的 Check Password(檢查密碼)延伸功能。在 RHEL 6 中,必須擁有此延伸功能才可與 PCI 相容。

SSSD 支援覆寫自動探索的 AD 網站

預設上,客戶端所連上的 AD DNS 站台會自動被搜尋到。然而,預設的自動搜尋可能無法找到適用於特定設定下的 AD 站台。現在在這種情況下,您能在 /etc/sssd/sssd.conf 檔案的 [domain/NAME] 部分中,透過使用 ad_site 參數來手動定義 DNS 站台。欲知 ad_site 的詳情,請參閱《身份識別管理指南》。

certmonger 支援 SCEP

certmonger 服務已更新,以支援「簡易憑證註冊通訊協定」(SCEP,Simple Certificate Enrollment Protocol)。現在若要從伺服器取得憑證,您能夠透過 SCEP 提供註冊。

Directory Server 運行刪除工作時,效能有所改善

先前,在進行群組刪除作業時,若含有巨大的靜態群組,執行遞迴巢式群組查詢可能會花上很長一段時間才能完成。新增的 memberOfSkipNested 配置屬性能允許跳過巢式的群組檢查,並大幅改善刪除作業的效能。

SSSD 支援從 WinSync 到跨領域信任的使用者遷移

使用者配置的 ID 檢視(ID View)新機制已經實作於 RHEL 6.7。ID 檢視能讓身份識別管理(Identity Management)的使用者從 Active Directory 所使用的、以 WinSync 同步為基礎的架構,遷移到 Cross-Realm Trust 上、以基礎建設為基礎的架構。欲知 ID 檢視與遷移步驟的詳細資料,請參閱《身份識別管理指南》。

SSSD 支援 localauth Kerberos 外掛程式

這項更新新增了 localauth Kerberos 外掛程式以進行本機認證。此外掛程式能確保 Kerberos 主體可自動對映至本機 SSSD 使用者名稱。透過此外掛程式,您再也無需在 krb5.conf 檔案中使用 auth_to_local 參數。詳情請參閱《身份識別管理指南》。

SSSD 支援在沒有系統登入權利時,存取特定應用程式

domains= 選項已被新增至 pam_sss 模組,這將能取代 /etc/sssd/sssd.conf 檔案中的 domains= 選項。此外,這項更新加入了 pam_trusted_users 選項,並能允許使用者新增 SSSD daemon 所信任的一列數字 UID 或是使用者名稱。除此之外,還加入了 pam_public_domains 選項、和一列即使是不受信任的使用者也能存取的網域。這些新增項目能讓一般使用者即使無法登入系統本身,也能存取指定的應用程式。詳情請參閱《身份識別管理指南》。

SSSD 支援 AD 與 IdM 之間的一致性使用者環境

SSSD 服務可以讀取 AD 的 POSIX 屬性,此 AD 伺服器是與 IdM(身份辨識管理,Identity Management)有信任關係的。透過這次更新,管理者可以從 AD 伺服器傳送自訂使用者的 shell 屬性至 IdM 用戶端。接下來 SSSD 會在 IdM 用戶端上顯示自訂的屬性。這項更新能使整個企業的環境維持一致性。請注意,目前用戶端的 homedir 屬性會顯示來自 AD 伺服器的 subdomain_homedir 數值。詳情請參閱《身份識別管理指南》。

SSSD 支援在登入前,為 AD 受信任的使用者顯示群組

現在,來自與 IdM 有信任關係的 AD 樹系(forest)之 AD 使用者可以在登入之前,解析群組成員資訊。這樣一來,id 工具程式就可以在不需要使用者登入的情況下,顯示使用者的群組。

getcert 支援在沒有 certmonger 的情況下,要求憑證

在 IdM 用戶端 kickstart 登入過程中使用 getcert 工具程式來取得憑證時,再也不需要執行 certmonger 服務。之前,如果未執行 certmonger 會導致取得憑證失敗。透過這次更新,getcert 能在上述情況中成功取得憑證,前提是並未執行 D-Bus daemon。請注意,certmonger 只有在重新開機後,才會開始監控以這種方式取得的憑證。

SSSD 支援使用者識別子的保留情況

現在 SSSD 的 case_sensitive 支援 truefalse、與 preserve 三種值。啟用 preserve 時,不管輸入項目的大小寫為何,都會相符合;但輸出項目一定與伺服器上的大小寫相同。SSSD 會保留 UID 欄位被配置時的大小寫。

SSSD 拒絕鎖定帳號透過 SSH 登入存取

之前,SSSD 使用 OpenLDAP 作為身份辨識的資料庫時,使用者可以使用 SSH 金鑰成功通過身份認證,即使使用者帳號被鎖定亦然。ldap_access_order 參數現在接受 ppolicy 值,使得上述情況發生時,會拒絕 SSH 存取。欲知使用 ppolicy 的詳情,請參閱 ldap_access_order sssd-ldap(5) man page。

SSSD 支援在 AD 上使用 GPO

現在 SSSD 能使用儲存在 AD 伺服器上的 GPO(群組政策物件,Group Policy Object),來進行存取控制。這增強功能會模擬 Windows 用戶端的功能,同時單一組存取控制規則可以用來處理 Windows 與 Unix 的機器。這樣一來,Windows 的管理者可以使用 GPO 來控制對 Linux 用戶端的存取。詳情請參閱《身份識別管理指南》。

章 2. 叢集

現在 corosync 會在 RRP 模式中,測試正確的網路介面配置

IP 位址/連接埠號配對相同、或 IP 版本混合時,RRP 無法運作。現在 corosync 會測試網路介面是否有不同的 IP 位址與連接埠配對、是否網路介面使用了同樣的 IP 版本。

支援 fence_ilo_ssh 隔離代理程式

fence_ilo_ssh 隔離代理程式(fencing agent)會透過 ssh 登入 iLO 裝置,並會重新啟動某個特定的接頭。欲知 fence_ilo_ssh 隔離代理程式的參數資訊,請參閱 fence_ilo_ssh(8) 的 man page。

支援 fence_mpath 隔離代理程式

fence_mpath 隔離代理程式是 I/O 的隔離代理程式,使用 SCSI-3 持久保留方式,控制對 multipath 裝置的存取。欲知此隔離代理程式的操作資訊,以及對於參數的描述,請參閱 fence_mpath(8) 的 man page。

現在 Corosync UDPU 只會自動發送訊息到正確的環狀成員

之前使用 UDPU 時,所有訊息會發送到所有已配置的成員上,而不是啟用中的成員。這對合併偵測訊息來說是很適當的,但除此之外,這會建立不需要的交通給找不到的成員,也可能會在網路上產生過多的 ARP 需求。Corosync 已經被修改過,只會發送大多數的 UDPU 訊息到啟用中的成員,除非需要偵測合併或新成員所需的訊息(每秒 1 至 2 個封包)。

支援 Pacemaker 的新 SAPHanaTopology 與 SAPHana 資源代理程式

resource-agents-sap-hana 套件提供了兩個 Pacemaker 的資源代理程式:SAPHanaTopology 與 SAPHana。這些資源代理程式能讓您配置 Pacemaker 叢集,使其管理 RHEL 上的 SAP HANA Scale-Up System Replication 環境。

支援 fence_emerson 隔離代理程式

fence_emerson 隔離代理程式是給 SNMP 上的 Emerson 使用的,它能與 MPX 與 MPH2 管理機台 PDU 合用。欲知 fence_emerson 隔離代理程式的參數資訊,請參閱 fence_emerson(8) 的 man page。

章 3. 編譯器與工具

dracut 會根據 iBFT 的項目配置 VLAN

之前,即使 iBFT 的 VLAN 參數是存在且正確時,dracut 工具程式並不會建立 VLAN 網路介面。透過這次更新,iSCSI 與 VLAN 啟動時,會正常運作。

gcc 支援 System z 執行檔的熱修補功能

gcc 的 hotpatch(熱修補)屬性支援 System z 二進位檔的多執行續之線上升級。透過這次更新,就可以使用 function 屬性來選擇要升級的函數,並使用 -mhotpatch= 選項為所有函數啟用熱升級功能。
啟用 hotpatch 功能對軟體大小與效能有著負面影響,因此建議您把熱升級功能用在特定的函數上,而非一般環境中。

curl 對 TLS 版本的支援有所改變

這項更新引介了 curl 的新選項:--tlsv1.0--tlsv1.1--tlsv1.2,以指定用在與 NSS 協調的 TLS 通訊協定之次要版本。為了支援此功能,相對應的 CURL_SSLVERSION_TLSv1_0、CURL_SSLVERSION_TLSv1_1 與 CURL_SSLVERSION_TLSv1_2 常數已經納入 libcurl API 中。curl 指令的 --tlsv1 選項之現有語法、libcurl API 的 CURL_SSLVERSION_TLSv1 常數都已經被修改,能與最高的、由用戶端與伺服器端支援的 TLS 1.x 通訊協定進行協調。

Python ConfigParser 對未提供值的選項之處理更為寬容

之前 Python ConfigParser 對於每個選項都需要對應的值,但某些配置檔(例如 my.cnf)包含的選項就沒有值。因此,ConfigParser 就無法讀取這類配置檔。這問題已被回報至 Python 2.6.6,現在 ConfigParser 能讀取包含選項但沒有值的配置檔。

tcpdump 支援-J、-j 與 --time-stamp-precision 選項

由於 kernel、glibc 與 libpcap 提供了 API 以取得以毫秒為單位的時間戳記,tcpdump 也隨之更新以使用這功能。現在使用者可以查詢哪個時間戳記來源可用(-J)、設定特定的時間戳記來源(-j)並使用特定的解析方式來請求時間戳記(--time-stamp-precision)。

在 SCSI 裝置間複製資料的工具程式有所改善

得益於 sg3_utils 套件中的 SCSI 通訊協定,現在有了更有效率的工具程式,用以在儲存裝置之間複製資料。要啟用此功能,sg_xcopysg_copy_results 程式必須納入 sg3_utils 套件中。

ethtool 支援定義自訂的 RSS 雜湊金鑰

ethtool 中加入了改進功能,讓使用者可以自訂 RSS 雜湊金鑰。這項改進功能可根據收到的交通善用收取佇列,並透過為預期的交通選擇適合的金鑰來增強效能與安全性。

tcpdump 加入對 setdirection 的支援

現在 tcpdump 套件包括了對 setdirection 的支援;這能透過 -P 旗標,來指定要擷取的是收到的封包(-P in)、發送的封包(-P out)、或兩者皆是(-P inout)。

sysctl 可以從系統方向的群組中讀取

這項更新為 sysctl 工具程式引介了新的 --system 選項。此選項能讓 sysctl 從系統目錄的群組處理配置檔。

mcelog 套件已更新至上游版本 109

mcelog 套件已更新至上游版本 109。跟上個版本比起來,此版本修正了多個 bug,提供了多種增強功能。其中最顯著的,是現在 mcdlog 支援了 Intel Core i7 處理器架構。

biosdevname 已更新至上游版本 0.6.2

biosdevname 套件已更新至上游版本 0.6.2。其中最重要的功能,是提供了 Mellanox 驅動程式的 dev_port 屬性,允許忽略 FCoE 裝置的名稱。

改進 PCRE 函示庫

如果可執行檔並不使用正確的 UTF-8 順序,PCRE 配對就會失敗;要讓 grep 工具程式從這失敗中復原,以下功能已經加入 PCRE 函示庫:
* 現在 pcre_exec() 函式庫會檢查超出範圍的起始位移值,並回報 PCRE_ERROR_BADOFFSET 錯誤,而非回報 PCRE_ERROR_NOMATCH 錯誤或陷入無限迴圈。
* 如果呼叫 pcre_exec() 函式來進行 UTF-8 配對,但主題字串的 UTF-8 錯誤,且 ovector 陣列引數夠大,那麼第一個主題字串位移值的 UTF-8 位元錯誤與詳細原因碼,會以 ovector 陣列元素傳回。除此之外,現在 pcretest 工具程式可以用來顯示這些詳細資料。請注意,透過這次更新,pcre_compile() 函式會回報第一個錯誤的 UTF-8 位元,而不是最後一個位元。也請注意,pcre_valid_utf8() 函式庫的簽章並非給公眾使用,且已經變更。最後,請注意現在 pcretest 工具程式會附加一般人可以讀懂的錯誤訊息至錯誤碼中。

glibc 動態載入程式中加入了對 Intel AVX-512 的支援

現在 glibc 動態載入程式支援 Intel AVX-512 延伸指令集。這項更新能讓動態載入程式視需要儲存、回復 AVX-512 註冊機碼,以避免支援 AVX-512 的應用程式因為同樣使用 AVX-512 的稽核模組而失敗。

Valgrind 能辨識 Intel MPX 指令集

之前 Valgrind 無法辨識 Intel 的 MPX(記憶體保護延伸指令集,Memory Protection Extension)、或是使用 MPX bnd 前綴的指令集。因此,Valgrind 會終止使用 MPX 指令集,並傳回 SIGKILL 訊號。現在 Valgrind 能辨識新的 MPX 指令集與 bnd 前綴。所有新的 MPX 指令集都是非運作性指令,且 bnd 前綴會被忽略。因此,使用 MPX 指令集或 bnd 前綴的程式會在 Valgrind 下執行,就好像 MPX 並未啟用一樣,這樣程式就不會被終止。

free 工具程式支援易讀的輸出資料

free 工具程式已加入 -h 選項。這選項能將所有輸出欄位自動縮寫成三位數,包括單位,讓可讀性更高。

w 工具程式支援 -i 選項

w 工具程式納入了 -i 選項,在 FROM 欄位中顯示 IP 位址,而不是主機名稱。

vim 已更新至 7.4 版

vim 套件已經更新至上游版本 7.4,跟上個版本比起來,修正了多個 bug、提供了多種增強功能。其中最顯著的,是:* 透過啟用 undofile 選項,vim 文字編輯器支援一致性回復變更的功能。預設上,卸載緩衝區時,vim 會刪除為該緩衝區建立的變更樹。然而,啟用一致性回復變更功能後,vim 會自動儲存變更記錄,並於再次開啟緩衝區時載入記錄。* 此更新引介了新的常規表示式引擎。之前的引擎使用了回溯演算法(backtracking);文字會從一個方向與樣式相比對,如果失敗的話,就會從另一個方向再試一次。這個引擎對於簡單的樣式來說,會正確運作;然而,比對長字串與複雜樣式時,所花的時間會顯著增加。新的演算法則使用了靜態機器邏輯,這會嘗試現有字元的所有可能選擇,並儲存樣式的可能狀態。雖然,這方法對於簡單的樣式來說,會比較慢;但比對長字串與複雜樣式時,會比較快。這項變更最顯著的,對 JavaScript 與 XML 檔案進行長字串之語法強調時,有顯著的改進。

章 4. 桌面系統

現在 Kate 會保留列印偏好設定

之前,文字編輯器 Kate 並不會保留列印的偏好設定,這表示使用者必須在每次列印或每個 session 之後,設定所有「Header & Footer」(表頭與註腳)與「Margin」(邊界)偏好設定。這個 bug 已修正,Kate 會如預期地保留列印偏好設定。

iprutils 套件已大幅升級

iprutils 套件已更新至上游版本 2.4.5,並提供了數項針對於先前版本所做出的錯誤修正與功能增強。其中較重要的,是新增了回報 SAS 磁碟的快取猜中率的支援,並增加了 DASD 的 AF(先進功能,advanced function)建立陣列的速度。

LibreOffice 已升級

libreoffice 套件已升級為上游版本 4.2.8.2,並提供了數項針對於先前版本所做出的錯誤修正與功能增強:
  • OpenXML 的互通性已改善。
  • Calc 應用程式已加入額外的統計函數,進而改善與 Microsoft Excel 與其「分析工具相」(Analysis ToolPak)附加元件的互通性。
  • Calc 的效能有所精進。
  • 加入新的匯入篩選程式,方便從 Apple Keynote 與 Abiword 應用程式匯入檔案。
  • 改善了從 MathML 語言匯入的篩選程式。
  • 新增開始畫面,其中包括最近開啟的文件之縮圖。
  • 投影片檢視(Slide Sorter)視窗有視覺化的線索,顯示過場或動畫。
  • 改進圖表中的趨勢線。
  • 支援 BCP 47 語言標記。
欲知此更新所提供的 bug 修正與加強功能,請參閱〈LibreOffice 4.2 發行公告〉。

新套件:libgovirt

libgovirt 套件已加入 RHEL。libgovirt 套件是能讓 remote-viewer 工具連上由 oVirt 與 RHEV 所管理的虛擬機器之函式庫。

dejavu-fonts 已升級至上游版本 2.33

dejavu-fonts 套件已升級至上游版本 2.33,跟上個版本比起來,此版本修正了多個 bug,提供了多種增強功能。其中最顯著的,是對受支援的字型新增了多個新字元與符號。

新套件:scap-workbench,更簡單的 SCAP 評量工具

SCAP Workbench 提供了簡單易用的 SCAP 內容修改工具,與單一機器評量工具。整合了 scap-security-guide 內容之後,它能大幅降低進入門檻。在這次更新之前,RHEL 6 包括了scap-security-guide 與 openscap 套件,但不包括 scap-workbench 套件。沒有 SCAP Workbench,就需要命令列來評量 SCAP,這難以避免錯誤;這對某些使用者來說,是極大的障礙。SCAP Workbench 能讓使用者輕易地自訂化 SCAP 內容,並在單一機器上進行評量。

virt-who 支援加密過的密碼

virt-who 服務已加入了對加密密碼的支援。之前,外部服務的密碼會以一般文字的方式儲存,也就是說,有讀取權限的使用者可以直接看到密碼。這項升級引介了 virt-who-password 工具程式,允許 virt-who 配置檔中儲存加密過的密碼。有了這項變更後,開啟 virt-who 配置檔案的使用者會看到加密後的密碼。然而,root 使用者還是可以解密這些密碼,使其成為可見的密碼。

virt-who 支援離線模式

現在 virt-who 服務可以在 hypervisor 離線時,回報實體主機與客座虛擬機器的關連;這樣一來,就不再需要與 hypervisor 連線才能進行此操作。virt-who 服務無法連上 hypervisor 時(例如因為安全性政策的因素),使用者可以使用 virt-who --print,取得主機與虛擬機器的對應檔案之資訊;這樣就可以顯示對應檔中所儲存的資訊,並發送到訂閱管理程式。

virt-who 支援主機篩選

透過這次更新,virt-who 服務引介了篩選機制給訂閱管理員回報用。因此,現在使用者可以選擇 virt-who 要根據特定參數所要顯示的主機。舉例來說,不執行 RHEL 客座端的主機、或執行特定版本 RHEL 客座端的主機。

turbostat 支援 Intel 的第六代 Intel Core 處理器

現在 turbostat 程式支援 Intel 的第六代 Intel Core 處理器。

virt-who 支援叢集篩選

透過這次更新,virt-who 服務引介了篩選機制給訂閱管理員回報用。因此,現在使用者可以選擇 virt-who 要根據特定參數所要顯示的叢集。舉例來說,不執行 RHEL 客座端的主機、或執行特定版本 RHEL 客座端的主機。

virt-who 支援對非 RHEL hypervisor 的篩選

不需要回報所有 hypervisor 時(例如 hypervisor 不與任何 RHEL 客座端相關),virt-who 能篩選掉特定的 hypervisor。

支援 Latin 至 US-ASCII 的轉譯

在此更新之前,RHEL 6 的 icu 並不支援 transliterator_transliterate() 函式中,Latin(拉丁)字集至 US-ASCII 字集的轉譯。因此,舉例來說,使用者無法輕易地從 PHP 程式碼移除非 ASCII 字元。透過這次更新,使用者可以使用 transliterator_transliterate() 將 Latin 字集轉譯至 US-ASCII 字集。

章 5. 一般更新

redhat-release-server 套件已納入備用產品憑證

在某些情況下,沒有相對應的 RHEL 產品憑證也可以安裝 RHEL。要確保產品憑證存在、可用於註冊,備用產品憑證會與 redhat-release-server 一起發送。

gPXE 重試逾時值已增加

此次更新增加了 gPXE 的重試逾時值,以符合 RFC 2131 與 PXE 規格。現在總逾時值為 60 秒。

Linux IPL 程式碼的維護能力更為加強

zipl 開機載入程式已更新,修正了若干 bug 並提供數種新功能,簡化了開機載入程式。

改進 dasdfmt 工具程式的效能

現在可以辨識 kernel 對格式需求的內部處理,同時啟用了 PAV 的用法,以加速格式化需求。這功能加快了目前格式化大型 DASD 的速度,也對將來格式化更大型 DASD 做準備。

lscss 支援認證過的路徑遮罩

IBM System z 上的 lscss 工具程式會從 sysfs 蒐集、顯示子頻道的資訊,現在會在列出 I/O 裝置時,顯示驗證過的路徑遮罩。

wireshark 支援從 stdin 讀入資料

之前使用大型檔案作為輸入的處理替代時,wireshark 會無法正確解碼這類輸入;現在新版的 wireshark 可以成功解讀這些檔案。

用 ESC 按鍵存取 seabios 清單

現在 seabios 的開機清單可以透過按下 Esc 存取。這可以讓例如 OS X 之類的作業系統存取開機選單;OS X 會攔截某些功能鍵(例如之前使用的 F12)作為其它功用。

wireshark 的精度為奈秒

之前,wireshark 只會在 pcapng 格式中納入毫秒;然而,最新版的 wireshark 的精準程度已達奈秒,讓時間戳記更為準確。

lsdasd 支援 DASD 更詳盡的路徑資訊

lsdasd 工具程式可用來蒐集、顯示 IBM System z 上 DASD 裝置的資訊,現在能顯示更詳盡的路徑資訊,例如已安裝與使用中的路徑。

現在 lsqeth 會顯示交換器的連接埠屬性

lsquth 工具可用來列出 IBM System z 上以 quth 為基礎的網路儲存參數,現在其輸出資訊包括了交換器連接埠的屬性(以 switch_attrs 顯示)。

fdasd 支援 GPFS 分割區

fdasd 工具程式可用來管理 IBM System z 上 ECKD DASD 的磁碟分割區,現在能辨識 GPFS 作為可支援的分割區類型。

ppc64-diag 已更新至 2.6.7 版

ppc64-diag 套件已升級為上游版本 2.6.7,修正了幾項錯誤、增強了一些功能。

JPackage 工具程式加入了對 OpenJDK 8 的支援

OpenJDK 8 已加入 RHEL 6.6,但 jpackage-utils 套件缺乏 OpenJDK 8 導致 Java 應用程式無法與其執行。這問題已經解決,現在 RHEL 6.7 的 jpackage-utils 套件包括了 OpenJDK 8 執行時所需的套件。

preupgrade-assistant 支援升級與遷移的不同模式

要支援 preupg 指令的不同作業模式,配置檔案可加入額外選項。這能讓工具只傳回所選擇作業模式所需的資料。目前僅支援 upgrade 模式。

章 6. 安裝和開機

rpm 會根據套件標籤,支援順序安裝

OrderWithRequires 特性已經加入 RPM 套件管理程式,並善用新的 OrderWithRequires 套件標籤。如果在 OrderWithRequires 中指定的套件存在於針對套件的交易過程中,套件就會在擁有相對應的 OrderWithRequires 標籤中的套件之前安裝。然而,跟 Requires 套件標籤不同的,是 OrderWithRequires 並不會產生額外的相依性。因此,如果標籤中指定的套件並不存在於交易中,就不會被下載。

如果安裝過程中偵測到 LDL 格式的 DSAD,Anaconda 便會顯示警告訊息

在 IBM System z 上,kernel 會辨識擁有 LDL(Linux 磁碟佈局,Linux Disk Layout)格式的 DASD,但安裝程式並不支援這些 DASD。如果 Anaconda 偵測到一或多個這類的 DASD,就會顯示警告訊息,以提醒您系統並不支援此格式的 DASD;並提供您將其格式化為系統完整支援的 CDL(相容性磁碟佈局,Compatibility Disk Layout)格式的機會。

章 7. Kernel

KVM Hypervisor 支援每台虛擬機器 240 個 vCPU

KVM hypervisor 更為精進,每個 KVM 客座端的虛擬機器都支援 240 個 vCPU(虛擬 CPU)。

iwlwifi 支援 Intel® Wireless 7265/3165(Stone Peak)無線網路卡

現在 iwlwifi 裝置驅動程式支援 Intel® Wireless 7265/3165(Stone Peak)無線網路卡。

支援 Wacom 22HD 觸控手寫板

此次更新新增了對 Wacom 22HD 觸控手寫板的支援,現在 RHEL 可以正確地辨識這硬體裝置,且正常運作。

HugeTLB 的分頁錯誤擴充性有所改善

RHEL 6.7 的 kernel 中,HugeTLB 的分頁錯誤擴充性更為精進。之前,因為使用了單一 mutex,一次只能處理一個 HugeTLB 分頁錯誤。改進後的方法使用了 mutex 表,會以平行方式處理分頁。mutex 表的計算包括了分頁錯誤的發生數量,以及使用的記憶體。

kdump 支援篩選 hugepage

現在要降低 vmcore 的大小與擷取的執行時間,kdump 會將 hugepage 視為 userpage,並將其剔除。因為 hugepage 主要用於應用程式資料,所以分析 vmcore 時,不太可能需要此資料。

支援橋接器上的 802.1X EAP 套件轉送

現在支援橋接轉送 802.1x EAP 封包,讓非控制性、連接本地的封包能選擇性地被轉送。這項變更也能讓使用者使用 802.1X 授權 RHEL6 hypervisor 的客座端在交換器的連接埠上,使用 Linux 橋接器。

章 8. 網路

iptables 支援 -C 選項

這項更新在 iptables 指令中新增了對 -C 檢查選項的支援。之前,如果有某些規則存在,會難以檢測。現在 -C 選項可以用來檢查規則是否存在。

支援 IPv6 IP 組

這項更新增加了對 IPv6 IP 組(IP set)的支援;之前在 IPv6 防火牆規則中,IP 組是不能用的。

章 9. 伺服器與服務

預設的 httpd 配置會限制使用加密組

透過這次更新,httpd 網站伺服器的 mod_ssl 模組之預設配置不再支援使用 DES、IDEA 或 SEED 加密演算法則的 SSL 加密組(cipher suite)。

可在 Cyrus IMAP 伺服器中配置 SSL 通訊協定

透過這次更新,使用者能配置 Cyrus IMAP 所允許的 SSL 通訊協定。舉例來說,使用者可以停用 SSLv3 連線,以降低 POODLE 弱點的影響。

現在 dstat 指令支援符號連結

dstat 指令更為精進,支援符號連結作為參數。這能讓使用者動態指定開機裝置名稱,以確保 dstat 在熱插拔與類似操作後,能顯示正確的資訊。請注意,符號連結必須在 /dev/disk/ 目錄中指定,指令必須使用完整路徑。

rng-tools 已更新至第 5 版

rng-tools 套件提供了使用者空間應用程式所使用的亂數產生器,這套件已經更新至上游版本 5。這項更新能讓 Intel x86 與以 Intel 64 為基礎的 EM64T/AMD64 處理器在預設上使用亂數產生器 daemon(rngd),並善用 RDRAND 硬體亂數產生器指令集所提供的熵值。這項加強功能也增加了 Intel 硬體架構(尤其是伺服器應用程式)的效能與安全性。

加強 nm-connection-editor

nm-connection-editor 更為精進,提供了更容易編輯 IP 位址與路由器的方法。除此之外,這程式還會自動偵測、標出任何錯字與錯誤的配置。

現在 ypbind 可以設定為特定的重新綁定間隔

傳統上,NIS 綁定程序 ypbind 會每 15 分鐘檢查何者是最快的 NIS 伺服器;然而,許多防火牆的預設逾時值是 10 分鐘。這會導致 ypbind 試圖重新綁定時,遇到間歇性的失敗。這項更新新增了可調整參數 -rypbind,設定重新綁定的間隔,單位為秒。

squid 套件已大幅升級

squid 套件已更新至上游版本 3.1.23,並修正了一些錯誤、增強了若干功能。其中較重要的,是新增了對 HTTP/1.1 POST 與 PUT 回應、但沒有內容至 squid 訊息的支援。

現在 dhcpd 能處理 dhcp 選項 97:用戶端機器識別子(pxe-client-id)

現在可以根據用戶端以選項 97 所發送的識別子,保留(靜態分配)IP 位址給特定用戶端。例如:
host pixi {   option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff;   fixed-address 1.2.3.4; }

現在可以停用 Tomcat 的日誌檔輪替功能

就預設值,Tomcat 的日誌檔案會在經過午夜後第一次寫入時被輪替,檔案名稱為 {prefix}{date}{suffix},其中 date 的格式為 YYYY-MM-DD。現在加入了 rotatable 參數,以提供停用 Tomcat 日誌檔案的輪替功能。如果此參數設為 false,日誌檔案就不會被輪替,檔名會是 {prefix}{suffix}。預設值為 true

cups 支援備援功能

現在可以將列印工作從擁有備援功能的單一印表機,轉移到其它印表機上,而不是使用 CUPS 內建的負載平衡印表機。列印工作可以轉移到一組印表機的第一台可用印表機,即首選印表機;其它印表機只有在首選印表機不能使用時,才會用到。

openssh 可調整 LDAP 查詢

管理者現在可以調整 LDAP 的查詢,以取得使用不同 schema 的伺服器之公開金鑰。

ErrorPolicy 的描述已新增至 cupsd.conf(5) man page

ErrorPolicy 指示的描述與支援的值已經加入 cupsd.conf(5) 的 man page。ErrorPolicy 指示定義了預設政策,用於後端無法發送列印工作至印表機時。

允許配置 dovecot 中的 SSL 通訊協定

透過這次更新,使用者可以配置 dovecot 允許的 SSL 通訊協定。舉例來說,使用者可以停用 SSLv3 連線,以降低 POODLE 弱點的影響。由於安全性考量,SSLv2 與 SSLv3 預設上都是停用的;使用者若需要用到這兩個版本,需手動啟用。

openssh 的 PermitOpen 選項支援萬用字元

sshd_config 檔案的 PermitOpen 選項現在支援萬用字元。

tomcatjss 支援 TLS 1.1 與 1.2

Tomcat 已升級,支援 TLS 加密通訊協定 1.1 版(TLSv1.1)與使用 Java 安全服務的 1.2 版(TLSv1.2)。

squid 支援隱藏或改寫 HTTP 表頭

現在 squid 套件已包括 --enable-http-violations 選項,允許使用者隱藏或改寫 HTTP 表頭。

bind 支援 RPZ-NSIP 與 RPZ-NSDNAME

現在在 BIND 配置中,RPZ(回應政策區,response policy zone)已可搭配 RPZ-NSIP 與 RPZ-NSDNAME 紀錄使用。

上傳檔案時,強制使用同樣的存取權限

透過這次更新,OpenSSH 會強制透過 SFTP 上傳的新檔案,有著完全一樣的存取權限。

現在 Mailman 納入了加強型的 DMARC 減緩功能

透過這次更新,Mailman 推介了加強型 DMARC 的消除功能。舉例來說,Mailman 配置後可以辨識 DKIM 數位簽章的發送者是否一致,正確處理來自網域、擁有 reject DMARC 政策的轉送訊息。

章 10. 儲存裝置

udev 規則支援使用額外掛載點以及允許的掛載點

您現在已能透過 udev 規則指定額外掛載點以及一列允許的掛載點。系統管理員能編寫自訂規則以強制或限制特定裝置集的掛載選項。比方說,USB 裝置能被限制為總是處於唯讀狀態。

udisks 支援 noexec 全域選項

udisks 工具現在已接受針對所有無特權使用者的掛載點,強制使用 noexec 全域選項。在桌面系統上,noexec 選項能防止使用者錯誤執行特定應用程式。

預設的 multipath 配置檔案現在已包含了 Dell MD36xxf 儲存裝置陣列的內建配置

先前,Dell MD36xxf 儲存裝置陣列的預設設定並不包含在預設 multipath 配置檔案的裝置部分中,而這影響了這些陣列的效能。現在,這些設定已包含在此配置檔案中。

在 multipath.conf 檔案中新增了 config_dir 選項

原先,使用者無法將其配置分佈在 /etc/multipath.conf 與其它配置檔案之間。這造成使用者無法為他們的所有機器設定一個主要配置檔案,並在另一個獨立的配置檔案中為各機器保留機器特屬的配置資訊。
為了解決這項問題,有項新的 config_dir 選項已新增至 multipath.config 檔案中。使用者必須將 config_dir 選項更改為空白字串或完整目錄路徑名稱。當設為空白字串以外的格式時,multipath 將會以字母順序讀取所有 .conf 檔案。它接著將會套用配置,如被新增至 /etc/multipath.conf 一般。若未進行此變更,config_dir 便會預設為 /etc/multipath/conf.d。

現在 lvchange -p 能修正在邏輯卷冊上的 kernel 中的權限

若邏輯卷冊為唯讀且啟用中,但其 metadata 表示它可寫入(若配置設定 activation/read_only_volume_list 遭到更改,此情況就可能會發生)的話,您現在已能使用 lvchange --permission rw 指令來使啟用中的邏輯卷冊與 metadata 對齊,並使它可寫入。執行 lvchange --refresh 指令也能達到相同的效果,不過這項新功能在部分情況下可能會較為便利。此外,lvchange --permission r 指令現在將會更新一個啟用中、唯讀的邏輯卷冊。欲取得更多有關於 lvchange 指令的相關資訊,請參閱 lvchange(8) man page。

multipathd 含有兩項新的配置選項 delay_watch_checksdelay_wait_checks

當路徑不可靠時(比方說連線時常斷線),multipathd 還是會繼續嘗試使用該路徑。multipathd 會在經過 300 秒之後才會斷定路徑已無法存取,這可能會使 multipathd 看似停止運作。為了修正此問題,兩項新配置選項已被新增:delay_watch_checks 和 delay_wait_checks。請將 delay_watch_checks 設為 multipathd 啟用後,監控路徑的循環次數。若該路徑在指定的值之內無效的話,multipathd 便不會使用它。multipathd 接著便會藉由 delay_wait_checks 選項,告知它必須經過幾次的連續循環,路徑才會再次生效。這可避免低信賴度的路徑一連上線時便馬上被使用。

mdadm 已升級為上游版本 3.3.2

版本 3.3.2 的 mdadm 提供了數項錯誤修正以及下列功能:RAID 卷冊失敗時自動重建陣列、遷移 RAID 等級、檢查點容錯能力、SAS-SATA 磁碟漫遊。這些功能皆透過外部 metadata 格式支援,並且能讓 Red Hat 持續支援 Intel 的 RSTe SW 堆疊。

章 11. 訂閱管理

subscription-manager 支援 AUS 訂閱遷移

現在訂閱管理員納入了憑證,並對應給 AUS(進階關鍵任務的更新支援,Advanced Mission Critical Update Support)使用。這能將 AUS 訂閱服務從 RHN Classic 轉移到 RHSM。

subscription-manager 支援自動化遷移的啟動金鑰

現在 rhn-migrate-classic-to-rhsm 工具已支援使用啟動金鑰來向 RHSM(Red Hat 訂閱管理)註冊。這簡化了自動遷移的過程。

subscription-manager 支援在沒有 RHN Classic 身份憑證的情況下遷移

rhn-migrate-classic-to-rhsm 多了 --keep 選項。使用 --keep 之後,rhn-migrate-classic-to-rhsm 工具不再需要 RHN Classic 的身份憑證。這項功能能簡化自動遷移的過程。

章 12. 虛擬化

virt-viewer 支援直接存取 RHEV-H 虛擬機器

現在可以使用 RHEV-H(Red Hat Enterprise Virtualization Hypervisor)直接存取使用 virt-viewer 的虛擬機器。

功能:使用 remote-viewer 連接至 ovirt://

URI 時,虛擬機器會出現選單,允許變更光碟映像檔。
結果:使用者可以在虛擬機器執行時,動態改變插入虛擬機器的光碟,而不需要進入 RHEV/oVirt 的入口。

qume-img 工具加入了 fallocate() 系統呼叫

現在 qemu-img 工具加入了 fallocate() 系統呼叫,以改進 preallocation=full 選項的效能。要使用 fallocate() 系統呼叫,請在 qemu-img 建立 qcow2 映像檔時,指定 preallocation=falloc。指定了 preallocation=falloc 之後,預先配置運作的速度會顯著變快,進而縮短準備新客座端的所需時間。

暫停後,kvm-clock 會正確同步虛擬機器的時間

KVM 虛擬機器使用 kvm-clock 作為時間來源,這會在虛擬機器從暫停模式復原之後,以主機的時間來同步虛擬機器的時間。之前,在某些情況下,執行 RHEL 的虛擬機器進入暫停模式而寫入硬碟、再回復時,虛擬機器的時間不會正確與主機系統同步。透過這次更新,kvm-clock 工具程式已經修改,能正確地與主機系統時間同步。

qemu-kvm 支援虛擬機器的關機追蹤事件

現在已支援對 qemu-kvm 的回溯事件,這及於虛擬機器關機過程;這樣能讓使用者取得詳盡、關於 virsh shutdown 指令或 virt-manager 應用程式所發出的關機需求的客座機器診斷資料。這給使用者更精進的功能來隔離、除錯 KVM 客座端在關機時遇到的問題。

qemu-kvm 支援虛擬磁碟上的 directsync 快取模式

透過這次更新,qemu-kvm 支援 host 檔案的 cache=directsync 選項,這能讓使用者在虛擬磁碟上使用 directsync 快取模式。虛擬機器設定 cache=directsync 時(在客座端的 XML 或 virt-manager 應用程式中配置),虛擬機器上的寫入操作只會在資料已安全寫入磁碟時,才會完成。這增加了虛擬機器間的交易之資料安全性,也透過允許 I/O 從客座端轉至主機分頁快取,改善了效能。

章 13. Red Hat 軟體集

Red Hat 軟體集(Software Collection)是 Red Hat 的內容集,提供一組動態程式語言、資料庫伺服器、以及相關的套件,使用者安裝之後可以用於所有 RHEL 6 與 RHEL 7 支援版本,支援架構為 AMD64 與 Intel 64。
Red Hat 軟體集所提供的動態語言、資料庫伺服器以及其它工具並不會取代或凌駕 RHEL 所提供的工具。Red Hat 軟體集使用了 scl 工具程式的替代套件機制,同時提供多種套件的選擇。這軟體集提供了在 RHEL 上使用替代套件的選項。使用 scl 工具程式後,使用者可在任何時候,選取想要使用的套件版本。
現在 Red Hat 開發工具組(Developer Toolset)是 Red Hat 軟體集的一員。Red Hat 開發工具組專為 RHEL 平台的程式設計師所設計,提供了 GNU 編譯組、GNU Debugger、Eclipse 開發平台,以及其它開發、偵錯、以及效能監控的工具。

重要

Red Hat 軟體集的生命週期比 RHEL 短。欲知詳情,請參閱〈Red Hat 軟體集的生命週期〉一文。
欲知軟體集中的元件、系統需求、已知問題、用法,以及個別軟體的問題,請參閱〈Red Hat 軟體集〉的文件。
欲知軟體集中的元件資訊,及其安裝、用法、已知問題等等,請參閱〈Red Hat 開發工具組〉文件。

章 14. 已知問題

Anaconda 有限度支援 LVM 精簡佈建

現在安裝程式允許您建立精簡佈建的 LVM(邏輯卷冊管理,Logical Volume Management)佈局。這項支援僅限於自訂的 Kickstart 安裝;使用 autopart Kickstart 指令無法自動建立 LVM 精簡佈建佈局,同時您也無法在互動式安裝過程中(圖形與文字介面皆然),選擇這項儲存配置。

sssd-common 套件不再使用 multilib

鑑於封裝上的變更,sssd-common 套件不再使用 multilib。因此,由於相依性的問題,平行安裝 SSSD 套件(而不是 sssd-client)再也無法運作。請注意,這從來都不是受支援的情況,但這項改變可能會在某些情況下,影響升級作業。要解決這問題,在升級前,請先移除任何 multilib SSSD 套件,唯有 sssd-client 例外。

使用者登入覆寫時,會導致受信任的 adusers 群組成員狀態解析失敗

如果使用者登入透過 --login 參數覆寫,那麼直到使用者第一次登入前,這個使用者的群組成員狀態會是不正確的。

使用群組覆寫時,群組的解析並不一致

如果群組 GID 被覆寫的話,執行 id 指令會回報錯誤的 GID。要解決這問題,請對要覆寫的群組執行 getent group 指令。

附錄 A. 元件版本

本附錄記載了 RHEL 6.7 發行版中所包含的元件及其版本。

表格 A.1. 元件版本

元件
版本
Kernel
2.6.32-567
QLogic qla2xxx 驅動程式
8.07.00.08.06.7-k
QLogic ql2xxx 韌體
ql2100-firmware-1.19.38-3.1
ql2200-firmware-2.02.08-3.1
ql23xx-firmware-3.03.27-3.1
ql2400-firmware-7.03.00-1
ql2500-firmware-7.03.00-1
Emulex lpfc 驅動程式
10.6.0.20
iSCSI initiator 工具程式
iscsi-initiator-utils-6.2.0.873-14
DM-Multipath
device-mapper-multipath-libs-0.4.9-87
LVM
lvm2-2.02.118-2

附錄 B. 修訂記錄

修訂記錄
修訂 0.0-0.12.1Fri Jul 17 2015Chester Cheng
翻譯、校對完成。
修訂 0.0-0.12Mon Jul 13 2015Laura Bailey
RHEL 6.7 發行公告。

法律聲明

Copyright © 2015 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.