- Cryptage des périphériques bloc
Red Hat Enterprise Linux 5.3 inclut un support pour le cryptage des périphériques en bloc en utilisant la spécification Linux Unified Key Setup (LUKS). Le cryptage d'un périphérique protège toutes les données d'un périphérique bloc contre toute violation d'accès, même si le périphérique n'a pas été physiquement retiré d'un système. Pour accéder aux contenus d'un périphérique crypté, un utilisateur devra produire une phrase de passe ou une clé pour s'authentifier.
Pour toute information sur l'installation du cryptage disque, consultez le guide d'installation Red Hat Enterprise Linux :
http://redhat.com/docs/
- mac80211 802.11a/b/g pile protocole WIFI (mac80211)
La pile mac80211 (précédemment connue en tant que pile devicescape/d80211) est une fonctionnalité maintenant supportée par Red Hat Enterprise Linux 5.3. Elle active le pilote sans fil iwlwifi 4965GN.pour le matériel 4965G Wifi Link Intel®. Cette pile permet à certains périphériques sans fil de se connecter à des réseaux Wi-Fi.
Malgré que le composant mac80211 soit pris en charge par Red Hat Enterprise Linux 5.3, les symboles ne sont pas inclus dans la liste blanche du noyau.
- Global File System 2 (GFS2)
GFS2 est une amélioration progressive de GFS. Cette mise à jour apporte d'importantes améliorations qui requièrent un changement dans le format du système de fichiers on-disk. Les systèmes de fichiers GFS peuvent être convertis à GFS2 en utilisant l'utilitaire gfs2_convert, qui met à jour les méta-données d'un système de fichiers GFS en conséquence.
Dans Red Hat Enterprise Linux 5.2, GFS2 était fourni en tant que module de noyau dans un but d'évaluation. Dans Red Hat Enterprise Linux 5.3 GFS2 fait maintenant partie du paquetage noyau. Si les modules de noyau Red Hat Enterprise Linux 5.2 GFS2 ont été installés, ils doivent être retirés pour utiliser GFS2 dans Red Hat Enterprise Linux 5.3.
- Améliorations du Driver Disk Support
Un disque de pilote, fourni par un constructeur OEM, est un fichier à image unique (*.img), qui contient potentiellement des RPM de pilotes multiples et des modules de noyau. Ces pilotes sont utilisés en cours d'installation pour prendre en charge le matériel qui ne serait normalement pas reconnu. Les RPM sont installés sur le sytème et placés dans le initrd de façon à pouvoir être pris en charge quand la machine redémarre.
Dans Red Hat Enterprise Linux 5.3, l'installation peut détecter automatiquement la présence de disques de pilotes sur la base de l'étiquetage du système de fichiers, et utiliser le contenu de ce disque pendant l'installation. Ce comportement est contrôlé par l'option de ligne de commande de l'installation dlabel=on, qui permet la recherche automatique. Toutes les unités en bloc avec l'étiquette de système de fichier OEMDRVsont examinées et les pilotes sont chargés à partir de ces unités au fur et à mesure qu'on les rencontre.
- iSCSI Boot Firmware Table
Red Hat Enterprise Linux 5.3 prend maintenant totalement en charge iSCSI Boot Firmware Table (iBFT) ce qui permet l'initialisation à partir des périphériques iSCSI. ce support nécessitait que les disques iSCSI (noeuds) ne soient plus sélectionnés pour démarrer automatiquement. Le système installé ne se connectera et ne s'authentifiera plus automatiquement aux disques iSCSI aux niveaux d'exécution 3 ou 5.
iSCSI est normalement utilisé dans le système de fichiers racine, dans lequel cas, ce changement ne fait aucune différence car le initrd se connectera et s'authentifiera aux disques iSCSI avant même qu'on saisisse le niveau d'exécution.
Malgré tout, si les disques iSCSI ont besoin d'être montés sur des répertoires non racine, comme par exemple /home ou /srv, alors ce changement aura un impact sur vous, puisque le système installé ne connectera plus automatiquement, ni ne s'authentifiera auprès de disques iSCSI qui ne sont pas utilisés dans le système de fichiers racine.
L'utilisation de disques iSCSI montés sur des répertoires non racine est toujours possible, mais requiert l'utilisation d'une des solutions suivantes :
Installer le système sans utiliser des disques iSCSI montés sur des répertoires non racines et configurer plus tard les disques qui conviennent et les points de montage manuellement.
Démarrer le système installé au niveau d'exécution 1, et sélectionnez tous les disques iSCSI qui ne sont pas utilisés par le système de fichiers racine pour le démarrage automatique en utilisant la commande suivante une fois par disque :
iscsiadm -m node -T target-name -p ip:port -o update -n node.startup -v automatic
- rhythmbox
rhythmbox a été mis à jour à la version 0.11.6. Cette version comprend maintenant une option qui permet d'y ajouter les plugins propriétaires GStreamer.
- lftp Rebase
lftp a été mis à jour à la version 3.7.1. Cette version comprend maintenant les améliorations suivantes :
On a réglé un défaut de sécurité du système d'exploitation lftp qui citait des scripts générés par mirror --script (qui pourrait entraîner une escalade au niveau des privilèges non autorisés).
L'utilisation de lftp avec l'option -c ne cause plus la suspension delftp.
lftp ne corrompt plus les fichiers pendant un transfert par sftp.
- TTY Input Auditing
TTY input auditing est maintenant pris en charge. Si un processus est sélectionné pour la vérification des données, les données qu'il lit sur les TTY sont contrôlées. Cela apparaîtra sur les enregistrements audit avec pour type TTY.
Vous pouvez utiliser le module pam_tty_audit pour sélectionner un processus (et ses processus enfant) pour le processus de vérification des données de TTY. Vous trouverez les instructions relatives dans man pam_tty_audit(8).
Les enregistrements audit TTY contiennent les touches précises lues par le processus d'audit. Pour faciliter le décodage des données, bash audite la ligne de commande exacte, utilisant le type d'enregistrement USER_TTY.
The "TTY" audit records contain all data read by audited processes from the TTY. This includes data inserted into the input stream by the TIOCSTI ioctl system call.
- SystemTap Re-Base
SystemTap a été re-basé sur la version 0.7.2. Cette mise à jour de SystemTap introduit plusieurs légères améliorations, ainsi que certaines fonctionnalités importantes. Ces nouvelles fonctionnalités comprennent :
SystemTap supporte maintenant le sondage symbolique sur les architectures PowerPC, x86, x86-64. Cela permet aux scripts SystemTap de placer des sondes dans les applications d'espace-utilisateur et dans les bibliothèques partagées. Ainsi, SystemTap peut maintenant fournir le même niveau de sondage de débogage que le sondage de noyau sur les applications d'espace-utilisateur.
Ainsi, si coreutils-debuginfo est installé, vous pouvez imprimer un callgraph (graphique d'appels) de la commande ls en utilisant /usr/share/doc/systemtap-version/examples/general/callgraph.stp, comme dans:
stap para-callgraph.stp 'process("ls").function("*")' -c 'ls -l'
Afin de pouvoir réduire la possibilité d'une incompatibilité de versoin non détectée entre le binaire et ses RPM debuginfo, Red Hat vous conseille d'utiliser la variable d'environnement SYSTEMTAP_DEBUGINFO_PATH pour la valeur siuvante : +:.debug:/usr/lib/debug:build.
SystemTap's support for symbolic probes also extends to markers placed into the kernel of this release. To use these markers, load the kernel-trace kernel module in /etc/rc.local (using modprobe kernel-trace).
SystemTap prend également en charge les services de compilation distants. Cela permet à un ordinateur de se comporter sur le réseau comme un serveur deboginfo/compiler pour les clients SystemTap locaux. Les clients auto-localisent le serveur en utilisant mDNS (avahi), et a seulement besoin des paquetages systemtap-client et de systemtap-runtime pour fonctionner.
A présent, cette fonctionnalité n'utilise pas de mécanismes de sécurité comme le cryptage. Donc, il est conseillé d'utiliser les services de compilation à distance. Pour davantage d'informations, veuillez consulter man stap-server.
La mise à jour du noyau de cette version inclut une extension API de noyau qui améliore énormément la fermeture des scripts SystemTap. Cette extension API de noyau ajoutée, élimine la synchronisation inutile entre les opérations de retrait de probes individuelles. De ce fait, les scripts SystemTap qui comptent des centaines de probes de noyaux sont traités plus rapidement.
C'est surtout utile pour les administrateurs qui utilisent des scripts avec des probes qui contiennent des caractères de remplacement qui capturent de nombreux événements de noyau, comme probe syscall.* {}.
Pour une liste complète des mises à jour de SystemTap inclus dans cette version, veuillez consulter l'URL suivant :
- Mise à jour du gestionnaire de clusters
L'utilitaire du gestionnaire de clusters (cman) a été mis à jour à la version 2.0.97. Cette version comprend maintenant les améliorations principales suivantes :
cman utilise maintenant les versions de microprocesseurs suivantes : APC AOS v3.5.7 and APC rpdu v3.5.6. Cela apporte la solution à un bogue qui empêchait APC 7901 d'utiliser le protocole de gestion de réseau simple (SNMP) correctement.
Les agents fence_drac, fence_ilo, fence_egenera, et fence_bladecenter prennent maintenant en charge ssh.
Les fichiers clé fence_xvmd sont maintenant rechargés sans besoin de nouveau démarrage.
Une méthode simple de clôture peut maintenant prendre en charge jusqu'à 8 périphériques de clôture.
- RPM Re-Base
Le RedHat Package Manager (RPM) est maintenant ré-aligné sur la version en amont de Fedora 9. rpm ajoute maintenant des fichiers macro particuliers à l'architecture secondaire sur les systèmes multi-arch. De plus, rpm remplit maintenant tous les critères de certification pour son inclusion dans Red Hat Enterprise Linux 5.
Cette mise à jour applique à rpm plusieurs améliorations en amont et des résolutions de bogues, y compris :
rpm ne génère plus de fichiers inutiles .rpmnew ou .rpmsave sur les systèmes multi-arch.
Un bogue dans la fonction rpmgiNext() de rpm empêche de reporter les erreurs correctement. Cette mise à jour applique la sémantique qui s'applique au report d'erreurs, garantissant ainsi que rpm retourne le code de sortie correct pour toutes les instances.
- Open Fabrics Enterprise Distribution (OFED) / opensm
opensm a été mis à jour vers la version en amont 3.2, qui comprend un changement mineur par rapport à l'API de bibliothèque opensm.
Le format du fichier opensm.conf a changé. Si vous avez fait des modifications pour personnaliser votre fichier opensm.conf existant, rpm va automatiquement installer le nouveau fichier opensm.conf en tant que /etc/ofed/opensm.conf.rpmnew. Vous aurez tout simplement besoin de faire migrer vos modifications vers ce fichier, puis de remplacer le fichier opensm.config existant par le résultat.
Red Hat surveille de près la base code OFED (Open Fabrics Enterprise Distribution) pour pouvoir fournir un niveau maximum de capacités à cette technologie en pleine évolution. Ainsi, Red Hat ne peut préserver la compatibilité API/ABI qu'à travers quelques versions de sortie mineures au même niveau que celui du projet en amont. Il s'agit d'une exception des bonnes pratiques du développement de Red Hat Enterprise Linux.
De ce fait, les applications construites au dessus de la pile OFED (listée ci-dessous), auraient peut-être besoin de changements de recompilation ou même des codes au niveau-source quand on passe d'une version mineur de Red Hat Enterprise Linux à une autre plus récente.
Cela n'est généralement pas utile pour les autres applications, qui sont construites sur la pile informatique Red Hat Enterprise Linux. Les composants affectés sont les suivants :
dapl
compat-dapl
ibsim
ibutils
infiniband-diags
libcxgb3
libehca
libibcm
libibcommon
libibmad
libibumad
libibverbs
libipathverbs
libmlx4
libmthca
libnes
librmdacm
libsdp
mpi-selector
mpitests
mstflint
mvapich
mvapich2
ofed-docs
openib
openib-mstflint
openib-perftest
openib-tvflash
openmpi
opensm
perftest
qlvnictools
qperf
rds-tools (futur)
srptools
tvflash
- Net-SNMP Re-Base
Net-SNMP has been re-based to upstream version 5.3.2.2. This update adds Stream Control Transmission Protocol (SCTP) support (as per RFC 3873,
http://www.ietf.org/rfc/rfc3873.txt) and introduces two new configuration options (to be used in
/etc/snmpd.conf):
Cette mise à jour apporte plusieurs améliorations en amont, y compris :
Le démon snmpd fonctionne maintenant correctement sur des systèmes de plus de 255 interfaces de réseau. De plus, snmpd reporte également une erreur lorsqu'il est configuré pour écouter à un port au dessus de 65535.
Un état de concurrence qui entraîne le démon snmpd à dévoiler des descripteurs de fichiers lorsqu'ils lisent /proc est maintenant résolu.
Le démon snmpd reporte maintenant correctement les IDs d'objet (OID)hrProcessorLoad, même sur le matériel multi-CPU. Notez, cependant, qu'il faut environ une minute à partir du démarrage du démon pour calculer la valeur de l'OID.
Le paquetage net-snmp-devel dépend maintenant du paquetage lm_sensors-devel.
- OpenSSL Re-Base pour la certification FIPS
Les paquetages openssl mettent à niveau la bibliothèque OpenSSL vers une nouvelle version en amont, qui est actuellement sous procédure de validation aux standards Federal Information Processing Standards (FIPS-140-2). Le mode FIPS est désactivé par défaut, pour veiller à ce que la bibliothèque OpenSSL maintienne une parité fonctionnelle et une compatibilité API avec les versions précédentes des paquetages mode openssl de Red Hat Enterprise Linux 5.
Cette mise à jour apporte également les changements suivants en amont :
Par défaut, la compression zlib est utilisée pour les connexions SSL et TLS. Sur les architectures IBM System z possédant Central Processor Assist pour Cryptographic Function (CPACF), la compression est devenue le gros de la charge CPU, et la performance générale était déterminée par la vitesse de la compression (et non pas la vitesse de cryptage). Quand la compression était désactivée, la performance générale est bien supérieure. Dans ces paquetages mis à jour, la compression zlib pour les connexions SSL et TLS peuvent être désactivées par la variable d'environnement OPENSSL_NO_DEFAULT_ZLIB. Pour les connexions TLS sur un réseau lent, il vaut mieux laisser la compression active, de façon à ce que le montant de données à transférer soit réduit.
Lorsqu'on utilise la commande openssl avec les options s_client et s_server, le fichier de certificats CA par défaut (/etc/pki/tls/certs/ca-bundle.crt) n'était pas lu. Cela aboutissait à des certificats non vérifiés. Pour que les certificats passent la vérification, l'option -CAfile /etc/pki/tls/certs/ca-bundle.crt devait être utilisée. Dans ces paquetages mis à jour, le fichier de certificats CA par défaut est lu, et n'a plus besoin d'être spécifié par l'option -CAfile.
- yum Re-Base
yum a été re-aligné sur la version en amont 3.2.18. Cette mise à jour améliore la vitesse à laquelle yum opère, en redressant ainsi le problème posé par le nombre de paquetages grandissant sans cesse dans chaque nouvelle version, De plus, cette mise à jour introduit également la commande 'reinstall', améliorant l'interface entre plusieurs commandes, et appliquant plusieurs résolutions de bogues, y compris :
Toute commande yum serait mise en échec si l'option -c était utilisée pour spécifier un fichier de configuration résidant sur une adresse web (http). Ce bogue est maintenant résolu.
Une focntion checkSignal() de yum a appelé une fonction de sortie incorrecte, et de ce fait, le yum actuel résulterait en un traceback à la place. Yum fait une sortie correcte dans ces nouvelles notes de sortie mises à jour.
- flash-plugin Re-Base
Le paquetage flash-plugin a été re-basé sur la version 10.0.12.36. Cette mise à jour applique plusieurs résolutions de sécurité qui étaient incluses dans une mise à jour précédente ASYNC flash-plugin. De plus, ce plug-in mis à jour contient également flash-plugin, qui inclut les résolutions de bogues et les améliorations de fonctionnalité suivantes :
Amélioration de la stabilité de la plate-forme Linux par la résolution de l'état de concurrence dans la sortie son.
Nouveau support pour les filtres et les effets personnalisés, la transformation 3D et l'animation, le traitement audio avancé, un nouveau text engine plus flexible et une accélération du matériel GPU.
Pour davantage d'informations sur cette mise à jour, consultez les notes de sortie Adobe Flash Player 10 sur le lien suivant :
- gdb Rebase
gdb est basé à nouveau sur la version 6.8. Cela permet d'appliquer plusieurs mises à jour de fonctionnalités en amont et de réparations de bogues, et plus particulièrement : un support pour les points d'interruption dans les modèles C++, les constructeurs et les fonctions enligne.
- IBS (de l'anglais Instrution Based Samplings / Echantillons basés-instruction) sur des processeurs AMD Family10h
Un support de profilage de nouveau matériel pour les processeurs AMD Family10h a été ajouté à Red Hat Enterprise Linux 5.3. Ces nouveaux CPU AMD supportent les ISB (Instruction Based Samplings). Le support exige quelques changements au niveau du pilote oProfile pour récupérer cette information et pour initialiser les nouveaux MSR (Model Specific Registers / Registres spécifiques aux modèles) associés à ces nouvelles fonctionnalités.
Cette mise à jour ajoute les nouveaux échantillons de profilage IBS_FETCH et IBS_OP aux tampons par CPU et aux tampons événement. Des nouvelles entrées de contrôle ont également été ajoutées au /dev/oprofile pour contrôler les échantillons IBS. Ces changements sont rétro-compatibles avec l'unique version antérieure PMC du pilote, et une retouche séparée est disponible à oProfile 0.9.3 pour utiliser ces nouvelles données.
- Squid Re-base
Squid a été re-basé sur la dernière version stable en amont (STABLE21). Cette mise à jour résout plusieurs bogues, notamment :
Le script squid init retournait toujours un code de sortie de 0 par erreur. Ce bogue est maintenant résolu, rendant ainsi squid compatible avec Linux Standard Base.
L'utilisation de la directive refresh_stale_hit cause le message d'erreur Clock going backwards (horloge qui va en sens inverse) dans le fichier de journalisation de squid.
Le processus d'installation squidn'a pas été configuré avec la propriété convenable du répertoire/usr/local/squid. Grâce à cette nouvelle version, squid est maintenant le propriétaire par défaut de /usr/local/squid.
A chaque fois que squid tente d'utiliser la fonction hash_lookup(), il peut abandonner avec signal 6.
L'utilisation de squid_unix_group pourrait entraîner l'échec de squid.
- Evênement MPM (de l'anglais Multi Processing Model / Modèle multi-traitement) dans Apache
httpd, le paquetage Apache HTTP Server package, inclut maintenant le Multi-Processing Model (MPM) expérimental event. Ce MPM améliore la performance en utilisant des threads spécialement dédiés pour gérer les connexions keepalive.
- libgomp re-base
libgomp a été basé à nouveau sur la version 4.3.2-7.el5. Cela améliore la performance OpenMP et ajoute un support à OpenMP version 3.0 lorsqu'il est utilisé avec le compilateur gcc43.
- Capacité de ciblage d'iSCSI
La capacité de ciblage d'ISCSI, fournie avec l'infrastructure de développement Linux Target (tgt), passe de l'aperçu technologique à la totale prise en charge par Red Hat Enterprise Linux 5.3. L'infrastructure de ciblage Linux permet à un système de servir le stockage SCSI niveau-block à d'autres systèmes dotés d'un initiateur SCSI. Cette capacité est tout d'abord déployée en tant que cible iSCSI, servant le stockage à travers un réseau vers n'importe quel initiateur iSCSI.
Pour configurer la cible iSCSI, installer le RPM scsi-target-utils et consulter les instructions dans : /usr/share/doc/scsi-target-utils-[version]/README et /usr/share/doc/scsi-target-utils-[version]/README.iscsi
