LINUX.ORG.RU

Red Hat Enterprise Linux 7.4

 ,


0

3

Ветка RHEL 7.x будет поддерживаться до июня 2024 года. Данный релиз поддерживает архитектуры x86, amd64, POWER7-8 и IBM System z. Добавлена экспериментальная поддержка архитектуры aarch64.

Основные новшества

  • В LVM добавили reshaping — возможность изменения различных свойств существующего RAID-массива, в том числе и изменения типа RAID. mdadm обновлён до 4.0.
  • FUSE теперь поддерживает опции SEEK_HOLE и SEEK_DATA системного вызова lseek()(обнаружение пустых блоков данных в файле).
  • В NFS оптимизировано копирование файлов в пределах одной ФС на сервере, теперь они копируются локально без передачи по сети на сторону клиента. По умолчанию теперь используется протокол NFSv4.1.
  • Btrfs и FedFS объявлены устаревшими (deprecated), они будут поддерживаться на остаточном принципе до релиза 8.0
  • В OverlayFS добавили поддержку SELinux

GUI

  • Окружение GNOME обновлёно до версии 3.22
  • Добавили xorg-x11-drv-libinput (обвязка над libinput, универсальный драйвер для устройств ввода).
  • Для видеокарт Intel и NVIDIA по умолчанию используется драйвер xf86-video-modesetting, который работает поверх KMS.
  • AMDGPU теперь поддерживает чипсеты Southern Islands, Sea Islands, Volcanic Islands и Arctic Islands, а также мобильные Polaris;
  • Обновлен драйвер планшетов Wacom, (добавили поддержку Wacom 27QHT и сенсорного экрана ThinkPad X1 Yoga)

Безопасность

  • Добавили USB Guard (позволяет управлять доступом к USB-устройствам для каждого пользователя с помощью белого и чёрного списков)
  • OpenSSH обновили до 7.4. Теперь поддерживаются сертификаты и отпечатки публичных ключей на основе SHA-256 и докачка прерванной загрузки по SFTP. SSH-1 теперь поддерживается только на стороне клиента.
  • В инструменты системного аудита добавили фильтрацию событий из логов по uid, вывод дополнительной информации по критическим событиям и упрощённую навигацию для больших наборов записей.
  • OpenSSL обновлен до 1.0.2, теперь поддерживаются протоколы DTLS 1.2, ECDHE в TLS и реализация ALPN.
  • Прекращена поддержка устаревшего шифрования, в том числе SSH 1.0, SSL 2.0, экспортных шифров (EXPORT), RC4, MD5, MD4 и SHA-0, параметров Diffie-Hellman (DH) до 1024 бит.
  • Добавили новый источник энтропии для генератора псевдослучайных чисел на основе отклонения времени повторного исполнения определённого набора инструкций на CPU (CPU execution time jitter), которое непредсказуемо без физического контроля над CPU.
  • Полностью поддерживаются пространства имён пользователей (user name spaces), позволяющих задействовать отдельную таблицу идентификаторов, не пересекающуюся с основной системой.
  • Переведен в разряд полностью поддерживаемых контейнер с подсистемой идентификации SSSD (System Security Services Daemon)
  • В контейнер для развёртывания сервера идентификации (IdM, Identity Management) добавлена экспериментальная поддержка DNSSEC.
  • OpenLDAP обновлён до 2.4.44, а Samba — до 4.6.2
  • Улучшена поддержка смарт-карт. В web-интерфейсе IdM добавлен вход при помощи смарт-карты, появилась поддержка аутентификации в Active Directory и гибкая схема привязки смарт-карты к учётной записи. В дополнение к драйверу CoolKey добавлен OpenSC, набор библиотек для работы со смарт-картами, поддерживающий Common Access Card (CAC) и предоставляющий функциональность апплета CoolKey.
  • По умолчанию включена поддержка рандомизации адресного пространства ядра (KASLR) для подсистем управления памятью. Для остальных подсистем эта возможность пока не включена по умолчанию.
  • Добавлена экспериментальная поддержка демона systemd-importd, позволяющего загружать готовые образы контейнеров в форматах tar, raw, qcow2 и dkr и размещать их в /var/lib/machines для запуска через nspawn. Для проверки загружаемых образов используется GPG.
  • Для гостевых систем, работающих под управлением гипервизора KVM, добавлена экспериментальная поддержка USB 3.0.

Сеть

  • NetworkManager обновлён до 1.8. wpa_supplicant — до 2.6.
  • Реализация GRE-туннелей бэкпортирована из ядра 4.8. Добавлена возможность выноса обработки туннелей GENEVE, VXLAN и GRE на специализированное оборудование (offloading), а также реализована поддержка LCO (Local Checksum Offloading) для туннелей.
  • В Netfilter добавлена поддержка трансляции сетевых префиксов IPv6 - NPTv6 (IPv6-to-IPv6 Network Prefix Translation, RFC 6296)
  • Реализация сетевых мостов (bridge) перенесена из ядра 4.9. Появилась поддержка таких возможностей, как фильтрация 802.1ad VLAN, ускорение Tx VLAN, 802.11 Proxy ARP, применения switchdev для выноса операций коммутации пакетов на внешнее устройство, учёт статистики в привязке к VLAN.
  • В ядро добавлена поддержка вложенных VLAN, определённых в спецификации 802.1ad (QinQ). Реализация основана на коде Open vSwitch.
  • Проведена оптимизация блокировок в реализации UDP-сокетов, что позволило добиться увеличения пропускной способности обработки UDP-пакетов.
  • В утилиту iproute добавлена возможность изменения опций порта сетевого моста (state, priority, cost). В утилиту tc добавлена поддержка классификатора трафика flower.
  • Из ветки BIND 9.11 перенесён плагин DynDB (Dynamic Database), позволяющий организовать загрузку DNS-зон из внешних баз данных. Плагин задействован в модуле bind-dyndb-ldap, который применяется для хранения зон в LDAP.
  • В firewalld добавлена поддержка различных вариантов ключей хэширования в ipset ( «hash:ip,port», «hash:ip,port,ip», «hash:net,iface» и т.п.), поддержка указания в правилах типов ICMP, возможность отключения автоматической привязки helper-а.

Система

  • В инструментарий Performance Co-Pilot (PCP) добавлена поддержка новых утилит, таких как pcp2influxdb (экспорт метрик в influxdb), pcp-mpstat и pcp-pidstat (анализ вывода mpstat и pidstat).
  • Система динамической отладки systemtap обновлена до версии 3.1 с поддержкой контрольных проверок для функций в скриптах на языке Python и унификацией доступа к параметрам Java-функций.
  • Поддержка технологии «NVMe Over Fabric».
  • Поддержка сетевых адаптеров ENA (Elastic Network Adapter), используемых Amazon в инфраструктуре Elastic Compute Cloud (EC2) для организации связи между узлами EC2.
  • Увеличена производительность загрузки библиотек, использующих инструкции Intel SSE, AVX и AVX512. Добавлена поддержка режима системного аудита LD_AUDIT.
  • Обновлены пакеты: valgrind 3.12, ipmitool 1.8.18, jansson 2.10, tcpdump 4.9.0, shim 12-1 (с поддержкой 32-разрядных прошивок UEFI), dnsmasq 2.76, libreswan 3.20, chrony 3.1, tuned 2.8, rsyslog 8.24, iprutils 2.4.14.
  • Обновлено большое количество драйверов и добавлена поддержка нового оборудования, в том числе платформ на базе CPU Intel Xeon Processor E3 v6 и новых устройств NVMe.
  • В OpenJDK реализована экспериментальная поддержка сборщика мусора Shenandoah, работающего без приостановок.
  • Экспериментально поддерживается режим быстрой ручной перезагрузки ядра при помощи kexec (reboot --kexec).
  • В real-time версии ядра для систем реального времени добавлена экспериментальная поддержка планировщика SCHED_DEADLINE.
  • Расширены возможности окружения Atomic Host. Добавлена экспериментальная поддержка LiveFS.

>>> Подробности (OpenNET)

Ответ на: комментарий от robotron5

Чтобы поставить, мне нужно подсунуть драйвер от диска, иначе он (инсталлер) диск не увидит. А инсталлер вроде как использует новое ядро. Видимо только с 7.3 обновляться.

Legioner ★★★★★ ()
Ответ на: комментарий от AVL2

А ничего, что в виртуалках x86_64 только вредит? Да и бывает иногда старенькое железо x86, недавно делал ноут сони, пришлось федору 26 ставить.

Древний ноут сони - это не сервер. На виртуалках, возможно, 32 бита и имеют значение, но все совсем не однозначно.

Кроме того, сейчас многие разработчики ориентируются на 64 бита, и как софт будет работать на 32-х вторично (даже собирать не пытаются).

anonymous ()
Ответ на: комментарий от Legioner

А может подождать оракул и оттуда взять ядро? Там есть свое ядро Oracle.

Lowes ★★ ()
Ответ на: комментарий от Legioner

Ну на RHEL свет клином не сошёлся, есть и другие дистрибутивы. Насколько я понимаю, например, SUSE делает ставку именно на btrfs.

Перманентно сдыхающую SUSE с её ставками мало кто всерьёз когда-либо воспринимал. А вот RHEL всегда был «индикатором» апстрима.

anonymous ()
Ответ на: комментарий от int13h

Спасибо, не знал, что они вернулись к x86.

Блин, не было же, сколько раз смотрел. Отлично, молодцы, что сделали.

AVL2 ★★★★★ ()
Ответ на: комментарий от int13h

Да там вообще праздник какой то. Для арма есть образы. Счас на свой оранж зиро накачу православную ось вместо этого богомерзкого дебьяна...

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2
	Parent Directory	 	-	 
[DIR]	aarch64/	04-Jan-2017 15:00	-	 
[DIR]	armhfp/	09-Dec-2016 10:14	-	 
[DIR]	i386/	30-Jan-2017 13:32	-	 
[DIR]	ppc64/	30-Jan-2017 01:21	-	 
[DIR]	ppc64le/	24-Dec-2016 00:02	-	

int13h ★★★★★ ()
Ответ на: комментарий от anonymous

Древний ноут сони - это не сервер.

И что? rhel прекрасно работает на десктопах. А ноуты, особенно старые, прекрасно работают как сервера-роутеры, тонкие клиенты или рабочие места с усеченым функционалом...

На виртуалках, возможно, 32 бита и имеют значение, но все совсем не однозначно.

Не возможно, а однозначно, особенно, если это (микро)контейнеры. В них прямым текстом рекомендовано ставить x86 гостевую систему.

Кроме того, сейчас многие разработчики ориентируются на 64 бита, и как софт будет работать на 32-х вторично (даже собирать не пытаются).

Если софт оптимизирован под x86_64 то и вопроса нет. Но огромное количество применений вообще не выходит за рамки дистра. Роутер, dhcp, bind, nginx и т.п. Нет там никакой завязки на 64 бита. И потребностей нет.

AVL2 ★★★★★ ()
Ответ на: комментарий от int13h

Ну, 16-17 годы, это недавно. Я еще 6 версии стал переходить на центос и с выходом 7 полностью перешел на него и очень сожалел, что она только x86_64.

AVL2 ★★★★★ ()

Btrfs и FedFS объявлены устаревшими

И правильно - ext3 новее и прогрессивнее:)

Napilnik ★★★★★ ()
Ответ на: комментарий от Napilnik

«deprecated» - это не то чтобы «устаревший». Скорее, «не рекомендуемый».

anonymous ()
Ответ на: комментарий от templarrr

Что дает эта подписка? Например она дает доступ к репозиториям redhat с более свежими пакетами чем идут на диске с rhel7.4?

microbash ()
Ответ на: комментарий от Deleted

Про подписку не подскажу. А базово весь смысл RHEL в том, что это один из немногих линуксов, сертифицированных под Oracle, а Fedora & Centos - не сертифицированные. Поэтому это чисто серверная ОС, и только когда нужна эта база.

microbash ()
Ответ на: комментарий от microbash

Подписка это удобство. Без нее обычный yum install из репов забытой при установке программы уже не работает.

AVL2 ★★★★★ ()
Ответ на: комментарий от microbash

А базово весь смысл RHEL в том, что это один из немногих линуксов, сертифицированных под Oracle

Oracle Linux чем не устраивает?

anonymous ()
Ответ на: комментарий от AVL2

С подпиской, сейчас есть пакеты clang4+llvm4 в репозиториях для rhel 7.4?

microbash ()
Ответ на: комментарий от microbash

Да, все обновления, в том числе обновления безопасности.

Legioner ★★★★★ ()
Ответ на: комментарий от anonymous

кажется шляпа доиграется

Когда кажется, креститься надо. Скорее, Оракл доиграется.

anonymous ()
Ответ на: комментарий от Legioner

Сделал себе подписку. Активировал репозитории штатные, примерно ~170 получилось. clang - вообще не находит, llvm - 3.9 версия макс, go - 1.8.3 (последняя версия), rust - нету, ghc - нету.

Может что-то не так делаю? Помогите плз.

microbash ()
Ответ на: комментарий от microbash

Ну в RHEL явно не за свежим софтом идут. Посмотри в EPEL, там много свежего софта, но это уже на свой страх и риск.

Legioner ★★★★★ ()
Ответ на: комментарий от Legioner

Посмотрел в epel: clang 3.4, llvm 3.9. Как я уже написал, rhel - ос для oracle. Подписка на «программу для разработчиков» на деле - пшик. Если нет свежих пакетов (с решением всех зависимостей между ними), то о какой разработке может идти речь. Ставить rhel на десктоп как тут предлагают...Не, не слышал. ) Так зачем человеку идти в RHEL (кроме установки oracle)?

microbash ()
Ответ на: комментарий от microbash

Помогите плз.

Я пришел к идее о том, что узкий круг софта, с которым работаешь постоянно, и хочется иметь его новым, проще собираться самому. Остально все - системное, причем, не требующее вмешательства десяток лет. Обновляется там потихонечку, и ок.

Например, я с радостью соберу emacs на copr, кину в ~/opt/ снапшот Qt Creator, туда же clang нескольких версий, там же будут лежать несколько версий boost и других либ. Мне использование для этого всего пакетов дистрибутива только мешает.

С другой стороны, мне совсем не интересно копаться с совместимостью конфигов какого-нибудь sshd, если вдруг в обновлении прилетит свежая версия, или еще чего-нибудь.

Это моё личное мнение, если что, мне так удобнее.

Минусы тоже есть. Например, графический стек хотелось бы поновее, слишком старый в репе, при этом ручное обновление затрагивает слишком много компонентов и нецелесообразно.

Deleted ()
Ответ на: комментарий от microbash

А зачем для разработки свежие пакеты? Вот к примеру у тебя заказчик использует RHEL на серверах. Логично использовать те версии, которые есть в RHEL. К тому же я лично для разработки всегда использую свои какие-то пакеты и тд, а дистрибутив это для системного софта. Но это может быть особенность Java.

Ставить rhel на десктоп как тут предлагают...Не, не слышал. )

Почему бы нет?

Так зачем человеку идти в RHEL (кроме установки oracle)?

А куда человеку идти? RHEL это стабильный дистрибутив, в котором всё неплохо работает и ничего не ломается. Есть сертифицированное железо, под которым всё будет работать. Если сравнивать с CentOS, то там во-первых обновления собираются через какое-то время, во-вторых всё же это попытка копировать, а не оригинал. Никто не гарантирует, что они собирают всё точно так же.

Legioner ★★★★★ ()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от Legioner

А зачем для разработки свежие пакеты? Вот к примеру у тебя заказчик использует RHEL на серверах. Логично использовать те версии, которые есть в RHEL. К тому же я лично для разработки всегда использую свои какие-то пакеты и тд, а дистрибутив это для системного софта. Но это может быть особенность Java.

Новые инструменты разработки могут потребовать новые версии пакетов. Заказчик обычно использует версии ОС, совместимые с нужным ему ПО, а не наоборот (тут видимо случай, когда фирма не хочет обновлять железо и ОС, и ищет вариант разработки ПО под свой устаревший парк).

Почему бы нет?

У нормального железа тоже есть матрицы совместимости с ОС. Если ОС нет в списке, то стабильной работы может не быть. Но если вы ставите, чтобы получить систему «как у заказчика», то смысл есть. Хотя я бы тут предпочел эту «систему как у заказчика» виртуализировать, а не «портить» ей свое железо.

А куда человеку идти? RHEL это стабильный дистрибутив, в котором всё неплохо работает и ничего не ломается. Есть сертифицированное железо, под которым всё будет работать. Если сравнивать с CentOS, то там во-первых обновления собираются через какое-то время, во-вторых всё же это попытка копировать, а не оригинал. Никто не гарантирует, что они собирают всё точно так же.

Если у вас разработка на Java, то слезать с rhel смысла наверное нет. А если не Java? Я попытался собрать на новом rhel 7.4 код с гитхаба. Оно мне сказало, что хочет cmake 3.8. В rhel 7.4 идет cmake 2.8. Я попробовал собрать новый cmake. Он захотел ncurses 6.0. А в rhel 7.4 идет 5.9. Пишу по памяти, поэтому в версиях могу ошибиться, передаю смысл. Итого, получается любая минимальная активность на rhel может потребовать пакеты epel либо самосбор, т.е. это уже не будет rhel. Куда идти, вопрос открытый. :(

microbash ()
Ответ на: комментарий от microbash

Я попытался собрать на новом rhel 7.4 код с гитхаба. Оно мне сказало, что хочет cmake 3.8. В rhel 7.4 идет cmake 2.8. Я попробовал собрать новый cmake. Он захотел ncurses 6.0. А в rhel 7.4 идет 5.9. Пишу по памяти, поэтому в версиях могу ошибиться, передаю смысл.

cmake тривиально бэкпортится из федоры, вместе с парой либов к-рых всё равно нет в дистре (jsoncpp и libuv) и никаких особенных ncurses ему не нужно (что логично).

Итого, получается любая минимальная активность на rhel может потребовать пакеты epel либо самосбор, т.е. это уже не будет rhel.

Это в договоре на поддержку написано, или в EULA, или где? (Я действительно не в курсе, так как у меня centos).

d_a ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.