- Cifratura del dispositivo a blocchi
Red Hat Enterprise Linux 5.3 include il supporto per la cifratura dei dispositivi a blocchi utilizzando le specifiche Linux Unified Key Setup (LUKS). Con la cifratura di un dispositivo è possibile proteggere tutti i dati presenti su di un dispositivo a blocchi, impedendo gli accessi non autorizzati anche se il dispositivo è stato fisicamente rimosso da un sistema. Per accedere ai contenuti di un dispositivo cifrato l'utente deve fornire una frase segreta o una chiave per l'autenticazione.
Per informazioni su come impostare la cifratura del disco consultare il Capitolo 28 della la Red Hat Enterprise Linux Installation Guide:
http://redhat.com/docs/
- mac80211 802.11a/b/g WiFi stack protocollo (mac80211)
Lo stack mac80211 (precedentemente noto come stack devicescape/d80211 ) è ora una funzione supportata in Red Hat Enterprise Linux 5.3. Abilita il driver wireless iwlwifi 4965GN per l'hardware Intel® WiFi Link 4965 che consente a determinati dispositivi wireless di collegarsi a qualsiasi rete WiFi.
Anche se il componente mac80211 è supportato in Red Hat Enterprise Linux 5.3, i simboli non sono inclusi nel whitelist dei simboli del kernel.
- Global File System 2 (GFS2)
GFS2 rappresenta un miglioramento di GFS. Questo aggiornamento implementa miglioramenti rilevanti che necessitano di una modifica al formato del file system sul disco. I file system GFS possono essere convertiti in GFS2 utilizzando l'utilità gfs2_convert, la quale aggiorna i metadati di un file system GFS.
In Red Hat Enterprise Linux 5.2, GFS2 è stato fornito come modulo del kernel per processi di valutazione. In Red Hat Enterprise Linux 5.3, GFS2 è già parte del pacchetto del kernel. Il programma d'installazione rimuoverà automaticamente i moduli del kernel GFS2 precedenti durante il processo di aggiornamento.
- Miglioramenti del supporto per il Driver Disk
Un driver disk, fornito da un OEM, è un file immagine singolo (*.img), esso contenente moduli potenziali del kernel e RPM del driver. I driver vengono utilizzati durante l'installazione per supportare l'hardware che altrimenti non verrebbe riconosciuto. Gli RPM sono installati sul sistema e posizionati nella initrd, in questo modo essi vengono supportati quando la macchina esegue il riavvio.
Con Red Hat Enterprise Linux 5.3 l'installazione può rilevare automaticamente la presenza di un driver disk in base all'etichetta del suo file system, ed utilizzare il contenuto di quel disco durante l'installazione. Questo comportamento è controllato dall'opzione della linea di comando per l'installaizone dlabel=on, la quale permette una ricerca automatica. Tutti i dispositivi a blocchi con l'etichetta del file system OEMDRV vengono esaminati, ed i driver vengono caricati da dispositivi nell'ordine incontrato.
- Tabella iSCSI Boot Firmware
Red Hat Enterprise Linux 5.3 supporta ora la iSCSI Boot Firmware Table (iBFT) la quale permette un avvio dai dispositivi iSCSI. Con questo supporto i dischi iSCSI (nodi) non vengono più contrassegnati in modo da avviarsi automaticamente; il sistema installato non si collegherà più automaticamente ai dischi iSCSI al momento dell'ingrasso nei runlevel 3 o 5.
iSCSI viene generalmente usato per il filesystem root, in questo caso la modifica non comporta alcuna differenza, poichè initrd eseguirà il login ed il collegamento ai dischi iSCSI necessari prima di entrare nel runlevel.
Tuttavia se i dischi iSCSI devono essere montati su directory non-root, per esempio /home o /srv, questa modifica avrà un suo impatto poichè il sistema installato non eseguirà più un collegamento automatico ed un login sui dischi iSCSI non usati per il filesystem root.
È ancora possibile usare i dischi iSCSI montati su directory non root, ma per fare questo sarà necessario usare una delle seguenti soluzioni:
Installare il sistema senza utilizzare i dischi iSCSI montati sulle directory non root, e configurare successivamente i dischi rilevanti ed i mount point manualmente
Avviare il sistema installato nel runlevel 1, e segnare ogni disco iSCSI non usati per il filesystem root per l'avvio automatico, utilizzando una sola volta il seguente comando per ogni disco:
iscsiadm -m node -T target-name -p ip:port -o update -n node.startup -v automatic
- rhythmbox
il riproduttore audio rhythmbox è stato aggiornato alla versione 0.11.6. Questo aggiornamento fornisce la possibilità di utilizzare plugin GStreamer proprietari.
- Aggiornamento di lftp
lftp è stato aggiornato alla versione 3.7.1. Ciò applica numerosi bug fix ed aggiornamenti, incluso:
È stato corretto un precedente difetto relativo alla sicurezza nel modo in cui lftp quotava gli script generati da mirror --script (il quale poteva causare una escalation di privilegi non autorizzati).
L'utilizzo di lftp con l'opzione -c non causa più la sospensione di lftp.
lftp non corrompe più i file durante il trasferimento utilizzando sftp.
- TTY Input Auditing
Il TTY input auditing è ora supportato. Se un processo viene contrassegnato per il TTY input auditing, verrà eseguito l'audit dei dati letti da TTY; ciò verrà mostrato sui record di audit con tipoligia TTY.
È possibile utilizzare il modulo pam_tty_audit per contrassegnare un processo (insieme ai suoi processi figlio) per il TTY input auditing. Per informazioni su come eseguire tale processo consultare man pam_tty_audit(8).
I record di TTY audit contengono la sequenza dei tasti esatta letta dal processo sul quale è stato eseguito audit. Per facilitare la decodifica del dati, bash esegue l'audit della riga esatta del comando utilizzando il tipo di record USER_TTY.
The "TTY" audit records contain all data read by audited processes from the TTY. This includes data inserted into the input stream by the TIOCSTI ioctl system call.
- Aggiornmento di SystemTap
SystemTap è stato aggiornato alla versione 0.7.2. Questo aggiornamento di SystemTap introduce numerosi piccoli aggiornamenti, insieme all'introduzione di alcune caratteristiche importanti. Queste nuove caratteristiche includono:
SystemTap supporta ora il probing simbolico su architetture x86, x86-64 e PowerPC. Questo permette agli script SystemTap di posizionare i probe nelle applicazioni dello spazio utente e nelle librerie condivise. Come risultato SystemTap può ora fornire lo stesso livello di debugger probing su alcune applicazioni dello spazio utente del kernel probing.
Per esempio, se è stato installato coreutils-debuginfo sarà possibile stampare un callgraph del comando ls utilizzando /usr/share/doc/systemtap-version/examples/general/callgraph.stp:
stap para-callgraph.stp 'process("ls").function("*")' -c 'ls -l'
In order to reduce the likelihood of an undetected version mismatch between the binary and its debuginfo RPMs, Red Hat advises that you set the SYSTEMTAP_DEBUGINFO_PATH environment variable to the value +:.debug:/usr/lib/debug:build.
SystemTap's support for symbolic probes also extends to markers placed into the kernel of this release. To use these markers, load the kernel-trace kernel module in /etc/rc.local (using modprobe kernel-trace).
SystemTap supporta anche i servizi di compilazione remota. Questo permette ad un computer presente sulla rete, di comportarsi come un server debuginfo/compiler per client SystemTap locali. I client identificano automaticamente il server utilizzando mDNS (avahi), e necessita per funzionare solo dei pacchetti systemtap-client e systemtap-runtime.
Al momento questa caratteristica non utilizza i meccanismi di sicurezza come la cifratura. Per questo motivo è consigliabile utilizzare i servizi di compilazione remota solo all'interno di reti fidate. Per maggiori informazioni consultare man stap-server.
Per questa release l'aggiornamento del kernel include una estensione API del kernel, la quale migliora sensibilmente l'arresto degli scirpt SystemTap. L'aggiunta di questa estensione API del kernel elimina la sincronizzazione non necessaria tra operazioni di rimozione probe individuali. Come risultato, gli script SystemTap che presentano centinaia di probe del kernel vengono processati molto più velocemente.
Ciò è molto utile per gli amministratori che utilizzano script con probe contenenti wildcard in grado di catturare numerosi eventi del kernel, come ad esempio probe syscall.* {}.
Per un elenco completo di aggiornamenti SystemTap inclusi in questa release, consultare il seguente URL:
- Aggiornamento del Cluster Manager
L'utilità del Cluster Manager (cman) è stato aggiornato alla versione 2.0.97. Questo aggiornamento contiene diversi bug fix e miglioramenti, ed in particolare:
cman ora utilizza le seguenti versioni di firmware: APC AOS v3.5.7 and APC rpdu v3.5.6. Questo corregge un bug che impediva a APC 7901 di utilizzare in modo corretto il simple network management protocol (SNMP).
fence_drac, fence_ilo, fence_egenera, e fence_bladecenter ora supportano ssh.
I file della chiave fence_xvmd possono essere ricaricati senza il riavvio.
Un metodo 'single fence' può ora supportare fino a 8 dispositivi fence.
- Aggiornamento RPM
Il RedHat Package Manager (RPM) è stato aggiornato alla versione upstream di Fedora 9. rpm aggiunge i file macro specifici all'architettura secondari su sistemi con architetture multiple. In aggiunta, rpm soddisfa ora tutti i criteri di certificazione per la sua inclusione in Red Hat Enterprise Linux 5.
Questo aggiornamento applica diversi miglioramenti dell'upstream e bug fix per rpm, incluso:
rpm non genera più file .rpmnew e .rpmsave non necessari su sistemi con architetture multiple.
Un bug nella funzione rpmgiNext() di rpm impediva il riporto corretto degli errori. Questo aggiornamento applica le semantiche corrette per il riporto dell'errore, assicurando quindi un ritorno da parte di rpm, di un codice di uscita corretto in tutte le istanze.
- Open Fabrics Enterprise Distribution (OFED) / opensm
opensm è stato aggiornato alla versione upstream 3.2, incluso una modifica minore alle API della libreria opensm.
Il formato del file opensm.conf è stato modificato. Se avete eseguito una modifica personalizzata sul vostro opensm.conf, rpm installerà automaticamente il nuovo file opensm.conf come /etc/ofed/opensm.conf.rpmnew. A tal proposito sarà necessario migrare le modifiche apportate al file, e sostituire il file opensm.conf esistente con il risultato ottenuto.
Red Hat controlla attentamente la base del codice Open Fabrics Enterprise Distribution (OFED) dell'upstream, in modo da fornire un livello elevato di permessi per questa tecnologia in evoluzione. Di conseguenza Red Hat potrà solo conservare la compatibilità API/ABI tra versioni minori allo stesso modo dell'upstream. Ciò risulta essere una eccezione della prassi usata nello sviluppo di Red Hat Enterprise Linux.
Per questo motivo le applicazioni compilate al di sopra dello stack OFED (di seguito elencato), potrebbero richiedere una ricompilazione oppure una modifica del codice del livello-sorgente durante la migrazione da una versione minore di Red Hat Enterprise Linux ad una versione più recente.
Questo processo generalmente non è necessario per altre applicazioni compilate sul Red Hat Enterprise Linux software stack. I componenti interessati sono:
dapl
compat-dapl
ibsim
ibutils
infiniband-diags
libcxgb3
libehca
libibcm
libibcommon
libibmad
libibumad
libibverbs
libipathverbs
libmlx4
libmthca
libnes
librmdacm
libsdp
mpi-selector
mpitests
mstflint
mvapich
mvapich2
ofed-docs
openib
openib-mstflint
openib-perftest
openib-tvflash
openmpi
opensm
perftest
qlvnictools
qperf
rds-tools (future)
srptools
tvflash
- Aggiornamento di Net-SNMP
Net-SNMP has been re-based to upstream version 5.3.2.2. This update adds Stream Control Transmission Protocol (SCTP) support (as per RFC 3873,
http://www.ietf.org/rfc/rfc3873.txt) and introduces two new configuration options (to be used in
/etc/snmpd.conf):
Questo aggiornamento applica anche numerosi miglioramenti provenienti dall'upstream, incluso:
Il demone snmpd ora funziona correttamente sui sistemi con più di 255 interfacce di rete. In aggiunta, snmpd riporta anche un errore se configurato in modo da essere in ascolto su qualsiasi porta maggiore di 65535.
È stata corretta una condizione di corse critiche che causava la perdita dei descrittori del file da parte del demone snmpd, durante la lettura da /proc.
Il demone snmpd ora riporta correttamente gli hrProcessorLoad object ID (OID), anche su hardware con CPU multiple. Da notare tuttavia che sarà necessario attendere un minuto dall'avvio del demone, per calcolare il valore dell'OID.
Il pacchetto net-snmp-devel è ora dipendente dal pacchetto lm_sensors-devel.
- Aggiornamento di OpenSSL per la certificazione FIPS
I pacchetti openssl aggiornano la libreria OpenSSL ad una versione nuova dell'upstream, la quale è attualmente sottoposta ad un proceso di convalida del Federal Information Processing Standard (FIPS-140-2). La modalità FIPS è disabilitata per impostazione predefinita per assicurare il mantenimento, da parte della libreria OpenSSL, delle caratteristiche e della compatibilità ABI con le versioni precedenti dei pacchetti openssl in Red Hat Enterprise Linux 5.
Questo aggiornamento applica le seguenti correzioni dell'upstream:
Per default la compressione zlib viene usata per i collegamenti SSL e TLS. Su architetture IBM System z con il Central Processor Assist for Cryptographic Function (CPACF), il processo di compressione è diventato la parte principale (e non la velocità di cifratura). Quando la compressione risulta disabilitata, la prestazione totale è molto più elevata. In questi pacchetti aggiornati, la compressione zlib per i collegamenti SSL e TLS, può essere disabilitata con la variabile dell'ambiente OPENSSL_NO_DEFAULT_ZLIB. Per collegamenti TLS su di una rete molto lenta è consigliato abilitare la compressione, in questo modo la quantità di dati da trasferire è più bassa.
Quando si utilizzava il comando openssl con le opzioni s_client e s_server, il file dei certificati CA predefiniti (/etc/pki/tls/certs/ca-bundle.crt), non veniva letto. Tale tendenza risultava in un fallimento della verifica dei certificati. Per la verifica dei certificati era necessario utilizzare l'opzione -CAfile /etc/pki/tls/certs/ca-bundle.crt. Con i pacchetti aggiornati il file dei certificati CA predefinito viene letto senza alcun problema, senza specificare l'opzione -CAfile.
- Aggiornamento di yum
yum è stato aggiornato alla versione upstream 3.2.18. Questo aggiornamento migliora la velocità alla quale yum opera, alleviando quindi il problema posto dal crescente numero di pacchetti inclusi con ogni release minore. In aggiunta, questo aggiornamento introduce anche il comando reinstall, migliora l'interfaccia di diversi comandi ed applica numerosi bug fix incluso:
Qualsiasi comando di yum fallisce se l'opzione -c è stata usata per specificare un file di configurazione che risiede in un indirizzo web (http). Questo bug è stato ora corretto.
Una funzione checkSignal() in yum richiamava una funzione d'uscita incorretta; per questo, l'uscita da yum risultava in un messaggio di traceback. Con questa release yum esegue l'abbandono in modo corretto.
- Aggiornamento del flash-plugin
Il pacchetto flash-plugin è stato aggiornato alla versione 10.0.12.36. Il suddetto aggiornamento applica numerose correzioni relative alla sicurezza incluse nel precedente aggiornamento ASYNC flash-plugin. Altresì, il suddetto plugin contiene anche Adobe Flash Player 10, il quale include i seguenti bug fix e miglioramenti:
Stabilità migliorata sulla piattaforma Linux attraverso la correzione di una corsa critica nell'output sonoro.
Nuovo supporto per i filtri personalizzati ed effeti, trasformazione 3D nativa e animazione, processazione audio avanzata ed un nuovo e più flessibile motore di testo e accelerazione hardware GPU.
Per maggiori informazioni su questo aggiornamento consultare le note di rilascio di Adobe Flash Player 10 al seguente link:
- Aggiornamento di gdb
gdb è stato aggiornato alla versione 6.8. La nuova versione applica diversi aggiornamenti e bug fix, ed in particolare: un supporto per i breakpoint all'interno dei template C++, costruttori e funzioni inline.
- Instruction Based Sampling sui processori AMD Family10h
È stato aggiunto un nuovo supporto dell'hardware profiling per i processori AMD Family10h con Red Hat Enterprise Linux 5.3. I nuovi AMD CPU supportano l'Instruction Based Sampling (IBS). Il supporto IBS necessita di modifiche al driver oProfile per ottenere informazioni ed inizializzare i nuovi Model Specific Registers (MSR) associati con queste nuove caratteristiche.
Questo aggiornamento aggiunge i nuovi esempi di profiling IBS_FETCH e IBS_OP ai buffer CPU, e gli event buffer del driver oProfile. Sono state aggiunte altresì nuove voci su /dev/oprofile per il controllo dell'IBS sampling. Queste modifiche sono compatibili con le versioni precedenti di PMC del driver, ed un patch separato è disponibile per oProfile 0.9.3, per l'utilizzo dei nuovi dati.
- Aggiornamento di Squid
Squid è stato modificato alla ultimissima versione upstream stabile (STABLE21). Questo aggiornamento risolve diversi bug, incluso:
Lo script squid init ritornava sempre incorrettamente un codice d'uscita 0. Questo bug è stato corretto, ed ora rende squid conforme al Linux Standard Base.
L'utilizzo della direttiva refresh_stale_hit genera un messaggio d'errore Clock going backwards nel file di log squid.
Il processo d'installazione di squid non impostava correttamente l'ownership della directory /usr/local/squid. Con questa release l'utente di squid è ora il possessore predefinito di /usr/local/squid.
Ogni qualvolta squid tenta di utilizzare la funzione hash_lookup(), esso potrebbe abortire il processo generando un messaggio signal 6.
L'utilizzo di squid_unix_group potrebbe causare un arresto inaspettato di squid.
- Event Multi-Processing Model in Apache
httpd, il pacchetto Apache HTTP Server ora include l'evento sperimentale Multi-Processing Model (MPM). Questo MPM migliora le prestazioni attraverso l'utilizzo di thread appositi per la gestione dei collegamenti keepalive.
- Aggiornamento di libgomp
libgomp è stato aggiornato alla versione 4.3.2-7.el5. La nuova versione migliora le prestazioni di OpenMP ed aggiunge supporto per la versione 3.0 di OpenMP se usato con il compilatore gcc43.
- iSCSI target capability
La iSCSI target capability presente come parte del framework Linux Target (tgt), da Technology Preview è ora completamente supportata con Red Hat Enterprise Linux 5.3. Il linux target framework permette ad un sistema di servire un block-level SCSI storage ad altri sistemi che presentano un inizializzatore SCSI. Questa capacità è stata inizialmente implementata come un Linux iSCSI target, rendendo disponibile lo storage attraverso la rete a qualsiasi inizializzatore iSCSI.
Per impostare iSCSI target, installare l'RPM scsi-target-utils e consultare le istruzioni presenti in: /usr/share/doc/scsi-target-utils-[version]/README and /usr/share/doc/scsi-target-utils-[version]/README.iscsi
