- Verschlüsselung von Blockgeräten
Red Hat Enterprise Linux 5.3 unterstützt die Verschlüsselung von Blockgeräten unter Verwendung der Linux Unified Key Setup (LUKS) Spezifikationen. Die Verschlüsselung eines Gerätes schützt alle auf dem Blockgerät enthaltenen Daten gegen unbefugten Zugriff, selbst wenn das Gerät physikalisch vom System getrennt wird. Um auf den Inhalt eines verschlüsselten Gerätes zugreifen zu können, muss der Benutzer ein Passwort oder einen Schlüssel als Authentifikation eingeben.
Für weitere Information über das Verschlüsseln von Platten, werfen Sie bitte einen Blick auf Kapitel 28 des Red Hat Enterprise Linux Installationshandbuchs unter:
http://redhat.com/docs/
- mac80211 802.11a/b/g WiFi Protokollstapel (mac80211)
Der mac80211-Stapel (früher als devicescape/d80211-Stapel bekannt) ist in Red Hat Enterprise Linux 5.3 nun ein unterstütztes Feature. Er aktiviert den iwlwifi 4965GN Wireless-Treiber für Intel Wifi Link 4965 Hardware. Dieser Stapel ermöglicht bestimmten Wireless-Geräten, sich mit einem beliebigen WiFi-Netzwerk zu verbinden.
Obwohl die mac80211 Komponente in Red Hat Enterprise Linux 5.3 unterstützt wird, sind die Symbole jedoch nicht in der Symbol-Whitelist für den Kernel enthalten.
- Global File System 2 (GFS2)
GFS2 stellt eine inkrementelle Verbesserung von GFS dar. Diese Aktualisierung setzt einige wichtige Verbesserung um, die eine Änderung des On-Disk-Dateisystem-Formats erfordern. GFS-Dateisysteme können mit dem Dienstprogramm gfs2_convert in GFS2 konvertiert werden, welches die Metadaten eines GFS-Dateisystems entsprechend aktualisiert.
In Red Hat Enterprise Linux 5.2 wurde GFS2 als Kernel-Modul zu Testzwecken zur Verfügung gestellt. In Red Hat Enterprise Linux 5.3 ist GFS2 nun Teil des Kernel-Pakets. Falls Red Hat Enterprise Linux 5.2 GFS2 Kernel-Module bereits installiert sind, müssen diese entfernt werden, um die Verwendung von GFS2 in Red Hat Enterprise Linux 5.3 zu ermöglichen.
- Verbesserungen der Unterstützung von Treiber-Datenträgern
Ein Treiber-Datenträger, bereitgestellt vom OEM, ist eine einzelne Image-Datei (*.img), welche eventuell mehrere Treiber-RPMs und Kernel-Module enthält. Diese Treiber werden während der Installation verwendet, um andernfalls nicht erkannte Hardware zu unterstützen. Die RPMs werden auf dem System installiert und in die initrd abgelegt, so dass sie beim Neustart des Rechners unterstützt werden.
Bei Red Hat Enterprise Linux 5.3 kann die Installation anhand der Dateisystem-Kennung automatisch das Vorhandensein eines Treiber-Datenträgers erkennen, und dessen Inhalt während der Installation verwenden. Dieses Verhalten wird in der Befehlszeile der Installation gesteuert durch die Option dlabel=on, welche die automatische Suche aktiviert. Alle Blockgeräte mit der Dateisystem-Kennung OEMDRV werden untersucht und gefundene Treiber in der Reihenfolge des Antreffens geladen.
- iSCSI Boot Firmware Table
Red Hat Enterprise Linux 5.3 unterstützt nun vollständig die iSCSI Boot Firmware Table (iBFT), was das Starten von iSCSI Geräten ermöglicht. Diese Unterstützung erfordert, dass die iSCSI Platten (Knoten) nicht mehr für einen automatischen Start markiert sind. Das installierte System wird nicht mehr automatisch verbinden und auf iSCSI Platten einloggen beim Wechsel zum Runlevel 3 oder 5.
iSCSI wird normalerweise für das Root Dateisystem verwendet. In diesem Fall ist diese Änderung unerheblich, denn initrd wird sich mit den nötigen iSCSI Platten verbinden und einloggen, noch bevor ein Wechsel auf Runlevel erfolgt.
Falls jedoch iSCSI Platten bei Nicht-Root Verzeichnissen eingehängt werden müssen, z.B. /home or /srv, dann wird sich diese Änderung auf Sie auswirken, denn das installierte System wird sich nicht mehr automatisch verbinden und einloggen auf iSCSI Platten, die nicht für das Root Dateisystem verwendet werden.
Das Verwenden von iSCSI Platten, welche an Nicht-Root Dateisysteme angehängt sind, ist zwar noch immer möglich, erfordert aber eine der folgenden provisorischen Lösungen:
Installieren Sie das System, ohne dass iSCSI Platten an Nicht-Root Verzeichnisse angehängt sind, und konfigurieren Sie später die erforderlichen Platten und Anhänge-Punkte (?)manuell.
Starten Sie das installierte System auf Runlevel 1, und markieren Sie alle iSCSI Platten, die nicht für das Root Dateisystem zum automatischen Starten verwendet werden, indem Sie folgenden Befehl einmal pro Platte ausführen:
iscsiadm -m node -T target-name -p ip:port -o update -n node.startup -v automatic
- Rhythmbox
Der rhythmbox Audio Player wurde aktualisiert auf Version 0.11.6. Diese Aktualisierung bietet die Möglichkeit, proprietäre GStreamer-Plugins zu verwenden.
- lftp Aktualisierung
lftp wurde nun grundlegend aktualisiert auf Version 3.7.1. Dies führt zu einigen Upstream-Feature-Aktualisierungen und Bugfixes, einschließlich:
Eine Sicherheitslücke, die beim Interpretieren von mirror --script-generierten Skripten mit lftp eine mögliche unauthorisierte Privileg-Eskalation verursachte, wurde nun geschlossen.
Das Verwenden von lftp mit der Option -c führt nicht mehr zum Aufhängen von lftp.
lftp beschädigt keine Dateien mehr während eines Transfers via sftp.
- TTY Input Auditing
TTY Input Auditing wird nun unterstützt. Falls ein Prozess für TTY Input Auditing vorgesehen ist, werden Daten von TTYs gelesen und überprüft. Dies wird auf den Audit Records erscheinen als TypTTY.
Sie können das pam_tty_audit-Modul verwenden, um einen Prozess (samt Kindprozessen) für TTY Input Auditing zu kennzeichnen. Für eine Anleitung zur Durchführung, konsultieren Sie die Handbuchseite via man pam_tty_audit(8).
Die TTY Audit Records enthalten die genauen Tastenanschläge die vom überprüften Prozess registriert wurden. Um das Auswerten der Daten zu vereinfachen, überprüft bash die genaue Befehlszeile unter Verwendung des Record-Typs USER_TTY.
The "TTY" audit records contain all data read by audited processes from the TTY. This includes data inserted into the input stream by the TIOCSTI ioctl system call.
- SystemTap Aktualisierung
SystemTap wurde grundlegend aktualisiert auf Version 0.7.2. Diese Aktualisierung führt mehrere kleine Verbesserungen ein, sowie auch einige bedeutende Features. Diese neuen Features beinhalten:
SystemTap unterstützt nun das symbolische Überprüfen auf x86, x86-64 und PowerPC Architekturen. Dies ermöglicht es SystemTap Scripts, Überprüfungsprozesse in User Space Anwendungen sowie in gemeinsam genutzten Bibliotheken zu platzieren. Infolgedessen kann SystemTap nun das gleiche Level an Debugger Überprüfung bei einigen User Space Anwendungen leisten, wie auch bei der Kernel Überprüfung.
Wenn beispielsweise coreutils-debuginfo installiert ist, können Sie einen Call Graph ausgeben des Befehls ls unter Verwendung von /usr/share/doc/systemtap-version/examples/general/callgraph.stp, wie in:
stap para-callgraph.stp 'process("ls").function("*")' -c 'ls -l'
Um die Wahrscheinlichkeit einer unentdeckten Abweichung zwischen der Binärdatei und deren Debuginfo RPMs zu verringern, empfiehlt Red Hat die SYSTEMTAP_DEBUGINFO_PATH Umgebungsvariable auf den Wert +:.debug:/usr/lib/debug:build zu setzen.
SystemTap's support for symbolic probes also extends to markers placed into the kernel of this release. To use these markers, load the kernel-trace kernel module in /etc/rc.local (using modprobe kernel-trace).
SystemTap unterstützt auch entfernte (oder remote) Kompilierungsdienste. Dies ermöglicht es einem einzigen Computer im Netzwerk, als ein Debuginfo/Compiler Server für lokale SystemTap Clients zu fungieren. Die Clients lokalisieren automatisch den Server mithilfe von mDNS (avahi), und benötigen nur die systemtap-client- und systemtap-runtime-Pakete zum funktionieren.
Zur Zeit verwendet dieses Feature keine Sicherheitsmechanismen wie z.B. Verschlüsselung. Daher ist es ratsam, entfernte (oder remote) Kompilierungsdienste nur innerhalb von vertrauenswürdigen Netzwerken zu benutzen. Bitte konsultieren Sie die Handbuchseite via man stap-server für weitere Informationen.
Die Kernel-Aktualisierung für diese Version enthält eine Kernel-API-Erweiterung, die das Beenden von SystemTap-Scripts deutlich verbessert. Diese zusätzliche Kernel-API-Erweiterung beseitigt die unnötige Synchronisation zwischen einzelne Operationen zur Entfernung von Überprüfungsprozessen. Demzufolge werden SystemTab Scripts mit hunderten von Kernel Überprüfungsprozessen nun deutlich schneller abgearbeitet.
Dies ist insbesondere nützlich für Administratoren, die Scripts mit Überprüfungsprozessen verwenden, welche Wildcards enthalten und daher zahlreiche Kernel Ereignisse festhalten, wie z.B probe syscall.* {}.
Für eine umfassende Liste von SystemTap Aktualisierungen in dieser Version, besuchen Sie bitte die folgende URL:
- Cluster Manager Aktualisierung
Das Cluster Manager Dienstprogramm (cman) wurde aktualisiert auf Version 2.0.97. Diese Aktualisierung enthält mehrere Bugfixes und Verbesserungen, insbesondere:
cman verwendet nun die folgenden Firmware Versionen:APC AOS v3.5.7 und APC rpdu v3.5.6. Das behebt einen Fehler, der APC 7901 daran hinderte, das "Simple Network Management Protocol" (SNMP) ordnungsgemäß anzuwenden.
fence_drac, fence_ilo, fence_egenera, und fence_bladecenter-Agenten unterstützen nun ssh.
fence_xvmd-Schlüsseldateien können nun ohne Neustart neu geladen werden.
Eine einzige Methode zur Abgrenzung kann nun bis zu 8 Geräte zur Abgrenzung unterstützen.
- RPM Aktualisierung
Der RedHat Package Manager (RPM) wurde grundlegend aktualisiert auf die Fedora 9 Upstream Version. rpm bietet nun sekundäre, architekturspezifische Makro-Dateien auf Multi-Arch Systemen. Außerdem entspricht rpm nun allen Zertifizierungs-Kriterien für die Aufnahme in Red Hat Enterprise Linux 5.
Diese Aktualisierung enthält zudem mehrere Upstream Verbesserungen und Bugfixes für rpm, einschließlich:
rpm generiert keine unnötigen .rpmnew und .rpmsave-Dateien mehr auf Multi-Arch-Systemen.
Ein Fehler in der rpmgiNext() Funktion von rpm verhinderte ordnungsgemäße Fehlerberichte. In dieser Aktualisierung wird nun die korrekte Semantik für Fehlerberichte angewendet und dadurch sichergestellt, dass rpm in jedem Fall den richtigen Exit Code wiedergibt.
- Open Fabrics Enterprise Distribution (OFED) / opensm
opensm wurde aktualisiert auf die Upstream Version 3.2, einschließlich einer kleineren Änderung an der opensm Programmbibliothek API.
Das Format der opensm.conf-Datei wurde geändert. Falls Sie individuelle Modifikationen an Ihrem vorhandenen opensm.conf vorgenommen hatten, wird RPM automatisch die neue opensm.conf-Datei als /etc/ofed/opensm.conf.rpmnew installieren. Sie müssen daher Ihre Modifikationen in diese Datei migrieren, und anschließend die vorhandene opensm.conf-Datei mit dem Ergebnis ersetzen.
Red Hat verfolgt die Code-Basis der Upstream Open Fabrics Enterprise Distribution (OFED), um ein möglichst hohes Level an Funktionalität für diese noch in der Entwicklung begriffende Technologie zu bieten. Infolgedessen kann Red Hat die API/ABI-Kompatibilität nur über Nebenversionen erhalten, in demselben Umfang wie auch das Upstream Projekt. Dies stellt eine Ausnahme dar von der allgemeinen Entwicklungspraktik von Red Hat Enterprise Linux.
Aus diesem Grund können Applikationen, die über den OFED Stapel (siehe Liste unten) hinaus gebaut wurden, ggf. Rekompilation oder sogar Änderungen auf Ebene des Quellcodes erfordern, wenn von einer Nebenversion von Red Hat Enterprise Linux auf eine neuere gewechselt wird.
Dies ist im Allgemeinen nicht erforderlich für andere Applikationen, die auf dem Red Hat Enterprise Linux Stapel gebaut wurden. Die betroffenen Komponenten sind:
dapl
compat-dapl
ibsim
ibutils
infiniband-diags
libcxgb3
libehca
libibcm
libibcommon
libibmad
libibumad
libibverbs
libipathverbs
libmlx4
libmthca
libnes
librmdacm
libsdp
mpi-selector
mpitests
mstflint
mvapich
mvapich2
ofed-docs
openib
openib-mstflint
openib-perftest
openib-tvflash
openmpi
opensm
perftest
qlvnictools
qperf
rds-tools (future)
srptools
tvflash
- Net-SNMP Aktualisierung
Net-SNMP has been re-based to upstream version 5.3.2.2. This update adds Stream Control Transmission Protocol (SCTP) support (as per RFC 3873,
http://www.ietf.org/rfc/rfc3873.txt) and introduces two new configuration options (to be used in
/etc/snmpd.conf):
Diese Aktualisierung setzt ebenfalls einige von Upstream gelieferte Verbesserungen um, einschließlich:
Der snmpd-Daemon funktioniert nun ordnungsgemäß auf Systemen mit mehr als 255 Netzwerkschnittstellen. Außerdem gibt snmpd nun einen Fehler aus, wenn es konfiguriert wird, auf einen Port höher als 65535 zu horchen.
Eine Race Condition, die dazu führte, dass der snmpd-Daemon beim Lesen von /proc Dateideskriptoren durchsickern ließ, wurde nun behoben.
Der snmpd-Daemon meldet nun ordnugnsgemäß hrProcessorLoad Objekt ID's (OID), selbst auf Multi-CPU Hardware. Beachten Sie jedoch, dass es ab dem Start des Daemons ungefähr eine Minute dauert, die OID-Werte zu berechnen.
Das net-snmp-devel-Paket ist nun abhängig vom lm_sensors-devel-Paket.
- OpenSSL Aktualisierung für FIPS Zertifikation
Die openssl-Pakete aktualisieren die OpenSSL-Bibliothek auf eine neuere Upstream Version, welche zur Zeit den "Federal Information Processing Standards" (FIPS-140-2) Validierungs Prozess durchläuft. Der FIPS-Modus ist standardmäßig aktiviert, um die OpenSSL-Bibliothek Feature Parität sowie ABI Kompatibilität zu vorhergehenden Versionen der openssl-Pakete in Red Hat Enterprise Linux 5 zu gewährleisten.
Diese Aktualisierung wendet außerdem die folgenden Upstream Fixes an:
Standardmäßig wird die zlib-Komprimierung für SSL und TLS Verbindungen verwendet. Auf IBM System z Architekturen mit "Central Processor Assist for Cryptographic Function" (CPACF) wurde die Komprimierung zu einem großem Teil der CPU-Auslastung, und die Gesamtleistung wurde bestimmt durch die Geschwindigkeit der Komprimierung (nicht durch die Geschwindigkeit der Verschlüsselung). Wenn die Komprimierung deaktiviert wird, ist die Gesamtleistung sehr viel höher. In diesen aktualisierten Paketen kann die zlib-Komprimierung für SSL und TLS Verbindungen deaktiviert werden mithilfe der OPENSSL_NO_DEFAULT_ZLIB Umgebungsvariablen. Für TLS Verbindungen über ein langsames Netzwerk ist es besser, die Komprimierung aktiviert zu lassen, so dass die zu transferierende Datenmenge geringer ist.
Beim Verwenden des openssl-Befehls mit den s_client und s_server Optionen wurde die Standard CA Zertifikat-Datei (/etc/pki/tls/certs/ca-bundle.crt) nicht gelesen. Dies führte zum Scheitern der Verifizierung von Zertifikaten. Damit Zertifikate die Verifizierung bestehen, musste die -CAfile /etc/pki/tls/certs/ca-bundle.crt Option angewendet werden. In diesen aktualisierten Paketen wird die Standard CA Zertifikat-Datei nun gelesen, und muss nicht mehr mit der -CAfile Option manuell angegeben werden.
- yum Aktualisierung
yum wurde grundlegend aktualisiert auf die Upstream Version 3.2.18. Diese Aktualisierung verbessert die Geschwindigkeit, mit der yum ausgeführt wird, wodurch Probleme aufgrund der ständig wachsenden Anzahl von Paketen in jeder Nebenversion gemindert werden. Zudem führt diese Aktualisierung auch den reinstall-Befehl ein, verbessert die Schnittstelle für mehrere Befehle, und enthält einige Bugfixes, einschließlich:
Jeglicher yum-Befehlt scheiterte bislang, wenn die -c-Option benutzt wurde zum Angeben einer Konfigurations-Datei, die sich an einer Web-Adresse (http) befand. Dieser Fehler wurde nun behoben.
Eine checkSignal()-Funktion in yum rief eine fehlerhafte Beenden-Funktion auf; daher resultierte ein Beenden von yum stattdessen in einem Traceback. In dieser Version beendet yum nun ordnungsgemäß.
- Flash-Plugin Aktualisierung
Das flash-plugin-Paket wurde grundlegend aktualisiert auf die Version 10.0.12.36. Diese Aktualisierung wendet mehrere Sicherheitsfixes an, die in einer vorhergehenden flash-plugin ASYNC Aktualisierung enthalten waren. Außerdem enthält dieses aktualisierte Plugin den Adobe Flash Player 10, der seinerseits folgende Bugfixes und Feature-Verbesserungen enthält:
Verbesserte Stabilität auf der Linux Plattform durch die Beseitigung einer Race Condition in der Audio-Ausgabe.
Neue Unterstützung für individuell angepasste Filter und Effekte, native 3D Transformationen und Animationen, erweiterte Audio Verarbeitung, eine neue, flexiblere Text Engine, und PGU Hardware Beschleunigung.
Für weitere Informationen über diese Aktualisierung, lesen Sie bitte die Adobe Flash Player 10 Release Notes unter dem folgenden Link:
- gdb Aktualisierung
gdb wurde nun grundlegend aktualisiert auf Version 6.8. Dies wendet mehrere Upstream Feature Aktualisierungen und Bugfixes an, insbesondere: Unterstützung für Haltepunkte in C++ Vorlagen, Konstruktoren und Inline-Funktionen.
- Instruction Based Sampling auf AMD Family10h Prozessoren
Unterstützung von Hardwareprofilen für AMD Family 10h Prozessoren wurde zu Red Hat Enterprise Linux 5.3 hinzugefügt. Diese neuen AMD CPU's unterstützen "Instruction Based Sampling" (IBS). IBS-Unterstützung erfordert Änderungen am oProfile-Treiber, damit diese Informationen gesammelt und die Model Specific Registers (MSRs) initialisiert werden, welche mit diesen neuen Features zusammenhängen.
Diese Aktualisierung fügt die neuen IBS_FETCH und IBS_OP Profiling Samples zu den Puffern pro CPU sowie den Ereignispuffern des oProfile-Treibers hinzu. Neue Kontrolleinträge wurden ebenfalls hinzugefügt zu /dev/oprofile, um IBS Sampling zu steuern. Diese Änderungen sind rückwärtskompatibel mit vorhergehenden nur-PMC Versionen des Treibers, und ein separates Patch ist verfügbar für oProfile 0.9.3, um diese neuen Daten zu nutzen.
- Squid Aktualisierung
Squid wurde grundlegend aktualisiert auf die letzte stabile Upstream Version (STABLE21). Diese Aktualisierung behebt mehrere Fehler, einschließlich:
Das Skript squid init gab stets fälschlicherweise den Exit Code 0 aus. Dieser Fehler ist nun behoben, so dass Squid nun konform geht mit Linux Standard Base.
Das Verwenden der refresh_stale_hit-Direktive führt zu der Fehlermeldung Clock going backwards in der squid-Protokolldatei.
Der squid Installationsprozess richtete den Besitzer des /usr/local/squid Verzeichnisses nicht korrekt ein. In dieser Version ist nun der Benutzer squid der standardmäßige Besitzer von /usr/local/squid.
Jedesmal wenn squid versucht, die Funktion hash_lookup() zu verwenden, kann es ggf. abbrechen mit signal 6.
Das Verwenden von squid_unix_group könnte squid zum Absturz bringen.
- Event Multi-Processing Model in Apache
httpd, das Apache HTTP Server Paket, beinhaltet nun das experimentelle event Multi-Processing Model (MPM). Dieses MPM verbessert die Leistung, indem es beim Arbeiten mit Keepalive-Verbindungen fest zugeordnete Threads verwendet.
- Libgomp Aktualisierung
libgomp wurde grundlegend aktualisiert auf Version 4.3.2-7.el5. Diese Aktualisierung verbessert die OpenMP-Leistung und unterstützt zusätzlich die OpenMP Version 3.0 bei der Verwendung mit dem gcc43-Compiler.
- iSCSI-Ziel Fähigkeiten
Die iSCSI-Ziel Fähigkeit, als Teil des Linux Target (tgt) Frameworks, geht über von Technologievorschau zu voller Unterstützung in Red Hat Enterprise Linux 5.3. Das Linux Target Framework ermöglicht einem System die Freigabe von Block-Level-SCSI-Speichergeräten für andere Systeme, die einen SCSI Initiator besitzen. Diese Fähigkeit wird als erstes als ein Linux-iSCSI-Ziel eingesetzt, so dass Speicher über ein Netzwerk für jeden beliebigen iSCSI-Initiator bereitgestellt wird.
Um das iSCSI-Ziel einzurichten, installieren Sie das scsi-target-utils-RPM und befolgen die Anweisungen in: /usr/share/doc/scsi-target-utils-[version]/README und /usr/share/doc/scsi-target-utils-[version]/README.iscsi
