- ブロックデバイスの暗号化
Red Hat Enterprise Linux 5.3 は Linux Unified Key Setup (LUKS) 仕様を使用したブロックデバイスの暗号化をサポートします。デバイスを暗号化すると、デバイスが物理的にシステムから取り除かれた後でもブロックデバイス上のすべてのデータを不正アクセスから保護することができます。認証でパスフレーズかキーを提供しない限り暗号化されたデバイスの内容にアクセスすることはできません。
- mac80211 802.11a/b/g WiFi プロトコルスタック (mac80211)
Red Hat Enterprise Linux 5.3 は mac80211 スタック(以前の名称 devicescape/d80211 スタック)をサポートします。このスタックは Intel WiFi Link 4965 ハードウェアの iwlwifi 4965GN ワイヤレスドライバーを有効にし、一部のワイヤレスデバイスはどのような WiFi ネットワークにでも接続できるようになります。
Red Hat Enterprise Linux 5.3 は mac80211 コンポーネントをサポートしていますが、カーネルに対するシンボルのホワイトリストにはシンボルは含まれていません。
- グローバルファイルシステム 2 (GFS2)
GFS2 は GFS がインクレメンタルに改良されたものです。今回の更新では、オンディスクファイルシステム形式への変更を必要とする複数の重要な改善が適用されました。GFS ファイルシステムのメタデータを適切に更新するユーティリティ gfs2_convert を使用すると GFS ファイルシステムを GFS2 に変換できます。
Red Hat Enterprise Linux 5.2 では GFS2 は評価目的のカーネルモジュールとして提供されました。Red Hat Enterprise Linux 5.3 では GFS2 はカーネルパッケージの一部となりました。Red Hat Enterprise Linux 5.3 の GFS2 を使用するには、インストールされている Red Hat Enterprise Linux 5.2 の GFS2 カーネルモジュールを削除してください。
- ドライバディスクサポートの向上
OEM によって提供されたドライバディスクは単一のイメージファイル (*.img) で、複数のドライバ RPM やカーネルモジュールが含まれることもあります。これらのドライバはインストールで使用され、ドライバがないと認識されないハードウェアをサポートします。マシンがリブートした際に RPM がサポートされるようにするため、RPM はシステム上にインストールされ、initrd 内に置かれます。
Red Hat Enterprise Linux 5.3 では、インストールの際にファイルシステムラベルを基にして自動的にドライバディスクが検出され、ドライバディスクの内容がインストール中に使用されます。この動作は、自動検索を有効にするインストールコマンドラインオプション dlabel=on によって制御されます。ファイルシステムラベル OEMDRV を持つすべてのブロックデバイスが検証され、検証された順にドライバがデバイスよりロードされます。
- iSCSI ブートファームウェアテーブル
Red Hat Enterprise Linux 5.3 は iSCSI デバイスからブートできるようにする iSCSI ブートファームウェアテーブル (iBFT) を完全にサポートするようになりました。このサポートを有効にするには、iSCSI ディスク(ノード)が自動的に起動しないようにしなければなりません。これにより、ランレベル 3 または 5 を指定する場合、インストールされたシステムは自動的に iSCSI ディスクへの接続やログインを実行しなくなります。
通常 iSCSI はルートファイルシステムに使用されます。この場合、ランレベルを指定する前に initrd は必要な iSCSI ディスクに接続し、ログインするため、この変更による影響はありません。
しかし、/home や /srv などのルートディレクトリでないディレクトリに iSCSI ディスクをマウントする必要がある場合、インストールされたシステムはルートファイルシステムが使用しない iSCSI ディスクへ自動的に接続したりログインしないため、この変更の影響を受けます。
ルートディレクトリでないディレクトリに iSCSI ディスクをマウントすることはできますが、以下に挙げる対処法の 1 つを使用する必要があります。
ルートディレクトリでないディレクトリにマウントされた iSCSI ディスクを使用せずにシステムをインストールした後、ディスクとマウントポイントを手作業で設定する。
インストールしたシステムをランレベル 1 でブートし、各ディスクに対して以下のコマンドを 1 回実行してルートファイルシステムが自動起動で使用しない iSCSI ディスクをマークする。
iscsiadm -m node -T target-name -p ip:port -o update -n node.startup -v automatic
- rhythmbox
rhythmbox オーディオプレーヤーがバージョン 0.11.6 に更新されました。このアップデートにより、オプションでプロプラエタリ GStreamer プラグインを使用できるようになりました。
- lftp のリベース
lftp がバージョン 3.7.1 にリベースされました。これにより、以下を含むアップストリームの機能アップデートやバグ修正が適応されました。
mirror --script によって生成されたスクリプトを lftp が引用する方法に安全面の欠陥 (無許可で特権がエスカレートされる可能性) がありましたが、これが修正されました。
lftp にオプション -c を使用しても lftp がハングしなくなりました。
sftpを使用して転送しても lftp によるファイル破壊が発生しなくなりました。
- TTY 入力監査
TTY 入力監査 がサポートされるようになりました。プロセスが TTY 入力監査の対象になっている場合、TTY より読み取るデータが監査され、監査記録上ではタイプ TTY として表示されます。
プロセス (および子プロセス) を TTY 入力監査の対象としてマークするには、pam_tty_audit モジュールを使用します。手順の詳細については、man pam_tty_audit(8) を参照してください。
TTY 監査記録には、監査されたプロセスが読み取ったキーストロークがそのまま記録されます。データのデコードを容易にするため、bash は記録タイプ USER_TTY を使用して正確なコマンドラインを監査します。
The "TTY" audit records contain all data read by audited processes from the TTY. This includes data inserted into the input stream by the TIOCSTI ioctl system call.
- SystemTap のリベース
SystemTap がバージョン 0.7.2 にリベースされました。SystemTap のアップデートにより、細かな改良や主要な機能が追加されました。新しい機能は次の通りです。
SystemTap は x86 や x86-64、PowerPC アーキテクチャ上のシンボリックプローブをサポートするようになりました。これにより、SystemTap スクリプトがユーザースペースアプリケーションや共有ライブラリ内にプローブを置くことができるようになりました。その結果、SystemTap はカーネルプロービングと同じレベルのデバッガプロービングを一部のユーザースペースアプリケーション上で提供できるようになりました。
例えば、coreutils-debuginfo をインストールすると、以下のように /usr/share/doc/systemtap-version/examples/general/callgraph.stp を使用して ls コマンドのコールグラフを出力することができます。
stap para-callgraph.stp 'process("ls").function("*")' -c 'ls -l'
バイナリと debuginfo RPM 間でバージョンのミスマッチが検出されないような状況を回避するため、Red Hat は、SYSTEMTAP_DEBUGINFO_PATH 環境変数を +:.debug:/usr/lib/debug:build に設定することを推奨します。
SystemTap's support for symbolic probes also extends to markers placed into the kernel of this release. To use these markers, load the kernel-trace kernel module in /etc/rc.local (using modprobe kernel-trace).
SystemTap はリモートのコンパイルサービスもサポートします。これにより、ネットワーク上の単一のコンピューターがローカル SystemTap クライアントの debuginfo/コンパイラサーバーとして動作できるようになります。クライアントは mDNS (avahi) を使用して自動的にサーバーを検出し、systemtap-client パッケージと systemtap-runtime パッケージのみが必要となります。
現在、この機能は暗号化などのセキュリティメカニズムを使用しません。そのため、リモートのコンパイルサービスは信用できるネットワーク内でのみ使用することが推奨されます。詳細は man stap-server を参照してください。
本リリースのカーネルアップデートには、SystemTap スクリプトのシャットダウンを大幅に改善するカーネル API 拡張が含まれています。今回追加されたカーネル API 拡張は、個別にプローブが削除される際、必要のない同期化が行われないようにします。その結果、何百ものカーネルプローブを持つ SystemTap スクリプトの処理が大幅に高速化されます。
これは、probe syscall.* {} のように多数のカーネルイベントを対象とするワイルドカードを含むプローブを用いたスクリプトを使用する管理者にとって大変便利です。
本リリースに同梱された SystemTap アップデートの一覧については、次の URL を参照してください。
- クラスタマネージャのアップデート
クラスタマネージャユーティリティ (cman) がバージョン 2.0.97 に更新されました。これにより、以下を含むバグ修正や改善が適応されました。
cman はファームウェアバージョン APC AOS v3.5.7 および APC rpdu v3.5.6 を使用するようになりました。これにより、APC 7901 が SNMP (簡易ネットワーク管理プロトコル) を適切に使用できなかったバグが修正されました。
fence_drac、fence_ilo、fence_egenera、fence_bladecenter エージェントが ssh をサポートするようになりました。
再起動しなくても fence_xvmd キーファイルを再ロードできるようになりました。
単一のフェンスメソッドが最大 8 つのフェンスデバイスをサポートできるようになりました。
- RPM のリベース
RedHat Package Manager (RPM) が Fedora 9 アップストリームバージョンにリベースされました。rpm がセカンダリのアーキテクチャ特有のマクロファイルをマルチアーキテクチャのシステム上で追加するようになりました。また、今リリースの rpm は Red Hat Enterprise Linux 5 に同梱されるための認証基準をすべて満たしています。
さらに、この更新により以下を含むアップストリームの改良やバグ修正が適応されました。
- OFED (Open Fabrics Enterprise Distribution) / opensm
opensm がアップストリームバージョン 3.2 に更新され、opensm ライブラリ API に細かな変更が加えられました。
opensm.conf ファイルの形式が変更になりました。既存の opensm.conf をカスタム変更した場合、rpm によって新しい opensm.conf ファイルが /etc/ofed/opensm.conf.rpmnew として自動的にインストールされます。カスタム変更をこのファイルに移行した後、既存の opensm.conf ファイルと置き換える必要があります。
Red Hat は、常に進化している技術を最大限に使用できるようにするため、アップストリームの OFED (Open Fabrics Enterprise Distribution) コードベースを綿密に追随しています。そのため、Red Hat はマイナーリリースではアップストリームプロジェクトと同レベルの API/ABI 互換性のみを保持します。これは、Red Hat Enterprise Linux の開発における一般慣行の例外となります。
そのため、OFED スタック(一覧は下記を参照)にビルドされたアプリケーションについては、Red Hat Enterprise Linux の古いマイナーリリースから新たなマイナーリリースに移行する際に、再コンパイルやソースレベルのコード変更が必要になることもあります。
通常、Red Hat Enterprise Linux のソフトウェアスタックにビルドされた他のアプリケーションは、再コンパイルやコード変更の必要ありません。対象コンポーネントは次の通りです。
dapl
compat-dapl
ibsim
ibutils
infiniband-diags
libcxgb3
libehca
libibcm
libibcommon
libibmad
libibumad
libibverbs
libipathverbs
libmlx4
libmthca
libnes
librmdacm
libsdp
mpi-selector
mpitests
mstflint
mvapich
mvapich2
ofed-docs
openib
openib-mstflint
openib-perftest
openib-tvflash
openmpi
opensm
perftest
qlvnictools
qperf
rds-tools (将来的)
srptools
tvflash
- Net-SNMP のリベース
Net-SNMP has been re-based to upstream version 5.3.2.2. This update adds Stream Control Transmission Protocol (SCTP) support (as per RFC 3873,
http://www.ietf.org/rfc/rfc3873.txt) and introduces two new configuration options (to be used in
/etc/snmpd.conf):
この更新では、以下を含むアップストリームのバグ修正も適応されています。
255 以上のネットワークインターフェイスを持つシステム上でも snmpd デーモンが適切に機能するようになりました、また、65535 番以上のポートをリッスンするよう snmpd を設定すると、snmpd もエラーを報告するようになりました。
/proc より読み取りを行う時に snmpd デーモンがファイル記述子を漏えいする原因となっていた競争状態が修正されました。
マルチCPU ハードウェア上でも snmpd デーモンが適切に hrProcessorLoad オブジェクト ID (OID) を報告するようになりました。ただし、デーモン開始から OID 値の計算まで約 1 分ほどかかりますので注意してください。
net-snmp-devel パッケージは lm_sensors-devel パッケージに依存するようになりました。
- FIPS 認証における OpenSSL のリベース
openssl パッケージは OpenSSL ライブラリを新しいアップストリームバージョンに更新します。これは現在、FIPS (連邦情報処理標準) の検証を受けています (FIPS-140-2)。OpenSSL ライブラリが Red Hat Enterprise Linux 5 の過去リリースの openssl パッケージとのフィーチャーパリティや ABI 互換性を維持するため、FIPS モードはデフォルトで無効になっています。
この更新には以下のアップストリーム修正も適応されました。
デフォルトでは zlib 圧縮が SSL 接続と TLS 接続に使用されます。Processor Assist for Cryptographic Function (CPACF) を持つ IBM System z アーキテクチャでは、圧縮が主な CPU 負荷となり、全体的なパフォーマンスは暗号化の速度ではなく圧縮速度によって判断されました。圧縮を無効にすると、全体的なパフォーマンスは向上します。アップデートされたパッケージでは、OPENSSL_NO_DEFAULT_ZLIB 環境変数を使用して SSL 接続や TLS 接続の zlib 圧縮を無効にすることができます。速度が遅いネットワーク上の TLS 接続では、送信するデータ量を少なくするため圧縮を有効にした方がよいでしょう。
s_client オプションと s_server オプションを使用してopenssl コマンドを実行した場合、デフォルトの CA 証明書ファイル (/etc/pki/tls/certs/ca-bundle.crt) が読み取られなかったため、証明書の検証に失敗しました。証明書が検証に合格するようにするには、-CAfile /etc/pki/tls/certs/ca-bundle.crt オプションを使用しなければなりませんでした。更新されたパッケージでは、デフォルトの CA 証明ファイルが読み取られるようになったため、-CAfile オプションを使用する必要がなくなりました。
- yum のリベース
yum がアップストリームバージョン 3.2.18 にリベースされました。これにより、yum が動作する速度が向上され、各マイナーリリースごとに増加するパッケージがもたらす問題が軽減されます。さらに、再インストールコマンドが導入され、一部コマンドのインターフェイスも改良されました。また、以下を含むバグ修正が適応されました。
- flash-plugin のリベース
flash-plugin パッケージがバージョン 10.0.12.36 にリベースされました。この更新には前回の flash-plugin ASYNC の更新に含まれたセキュリティに関する修正が複数適応されています。また、更新されたプラグインには、以下のバグ修正や改良機能を含む Adobe Flash Player 10 が同梱されています。
この更新に関する詳細は、以下のリンクより Adobe Flash Player 10 のリリースノートを参照してください。
- gdb のリベース
gdb がバージョン 6.8 リベースされました。これにより、アップストリームの機能更新やバグ修正が適応されました。その 1 つが、C++ テンプレートやコンストラクタ、インライン関数内部のブレークポイントのサポートです。
- AMD Family 10h プロセッサの Instruction Based Sampling
AMD Family10h プロセッサの新しいハードウェアプロファイリングサポートが Red Hat Enterprise Linux 5.3 に追加されました。新しい AMD CPU は IBS (Instruction Based Sampling) をサポートします。IBS をサポートするには、oProfile ドライバを変更して情報を収集し、新しい機能に関連する新しい MSR (Model Specific Registers) を初期化する必要があります。
この更新により、新しい IBS_FETCH および IBS_OP プロファイリングサンプルが oProfile ドライバの per CPU バッファとイベントバッファに追加されました。IBS サンプリングを制御するため、新しい制御エントリが /dev/oprofile に追加されました。これらの変更は、以前の PMC 専用バージョンとの後方互換性を維持し、oProfile 0.9.3 に別のパッチを使用してこの新しいデータを使用することができます。
- Squid のリベース
Squid が最新の安定したアップストリームバージョン (STABLE21) にリベースされました。このアップデートにより以下を含むバグが修正されました。
squid init スクリプトが常に誤った終了コード 0 を返すバグが修正され、squid が Linux Standard Base に準拠するようになりました。
refresh_stale_hit ディレクティブを使用すると、エラーメッセージ Clock going backwards が squid ログファイルに表示されます。
squid のインストールの際に /usr/local/squid ディレクトリの所有者が正しく設定されませんでしたが、本リリースではユーザー squid が /usr/local/squid のデフォルトの所有者として設定されるようになりました。
squid が hash_lookup() の使用を試みると、signal 6 にてアボートされます。
squid_unix_group を使用すると、squid がクラッシュします。
- Apache のイベントマルチプロセッシングモデル
Apache HTTP Server パッケージの httpd に実験的な「イベント」MPM (マルチプロセッシングモデル) が含まれました。この MPM は、専用スレッドを使用して keepalive 接続を処理するため、パフォーマンスが向上されます。
- libgomp のリベース
libgomp がバージョン 4.3.2-7.el5 にリベースされました。このリベースにより、OpenMP のパフォーマンスが改善され、gcc43 コンパイラを併用すると OpenMP バージョン 3.0 のサポートが追加されます。
- iSCSI ターゲット機能
これまで、技術プレビューとして Linux Target (tgt) フレームワークの一部として提供された iSCSI ターゲットが、Red Hat Enterprise Linux 5.3 で完全サポートされるようになりました。Linux ターゲットフレームワークは、システムが SCSI イニシエータを持つ他のシステムにブロックレベルの SCSI ストレージを提供します。この機能は、ネットワーク上で iSCSI イニシエータにストレージを提供する Linux iSCSI ターゲットとして最初にデプロイされます。
iSCSI ターゲットを設定するには、csi-target-utils RPM をインストールし、/usr/share/doc/scsi-target-utils-[version]/README および /usr/share/doc/scsi-target-utils-[version]/README.iscsi の説明を参照してください。
