- 블록 장치 암호화
Red Hat Enterprise Linux 5.3에서는 LUKS (Linux Unified Key Setup) 사양을 사용하여 블록 장치 암호화를 지원합니다. 장치를 암호화하면 장치가 시스템에서 제거되어도 무단 액세스로 부터 블록 장치에 있는 모든 데이터를 보호할 수 있습니다. 암호화된 장치의 내용에 액세스하려면, 사용자는 암호문 또는 인증 키를 제공해야 합니다.
- mac80211 802.11a/b/g WiFi 프로토콜 스택 (mac80211)
mac80211 스택은 (devicescape/d80211스택으로 알려짐) Red Hat Enterprise Linux 5.3에서 지원되는 기능입니다. 이는 특정 무선 장치가 아무 WiFi 네트워크로 연결되게 하는 Intel® WiFi 링크 4965 하드웨어 용 iwlwifi 4965GN 무선 드라이버를 활성화합니다.
mac80211 구성 요소가 Red Hat Enterprise Linux 5.3에서 지원되어도, 기호는 커널 용 기호 허용 목록 (whitelist)에 포함되지 않습니다.
- GFS2 (Global File System 2)
GFS2는 GFS에서 점진적으로 개선된 것입니다. 이번 업데이트에는 디스크 상의 파일 시스템 포멧 변경에 필요한 몇 가지 중요한 개선 사항이 적용되었습니다. GFS 파일 시스템은 gfs2_convert 유틸리티를 사용하여 GFS2로 변환할 수 있으며, 이에 따라 GFS 파일 시스템의 메타데이터를 업데이트할 수 있습니다.
Red Hat Enterprise Linux 5.2에서 GFS2는 평가 용 커널 모듈로서 제공되었습니다. Red Hat Enterprise Linux 5.3에서 GFS2는 커널 패키지의 일부분입니다. Red Hat Enterprise Linux 5.2 GFS2 커널 모듈이 설치되어 있을 경우 Red Hat Enterprise Linux 5.3에서 GFS2를 사용하기 위해 반드시 이를 제거해야 합니다.
- 드라이버 디스크 지원에서의 개선 사항
OEM에 의해 공급되는 드라이버 디스크는 단일 이미지 파일 (*.img)로, 여러 개의 드라이버 RPM 및 커널 모듈이 들어 있습니다. 설치 시 이러한 드라이버를 사용하여 하드웨어를 지원하며 그렇지 않을 경우 이는 인식되지 않습니다. 시스템에 RPM을 설치 후 initrd에 위치시켜 컴퓨터 재부팅 시 지원되게 합니다.
Red Hat Enterprise Linux 5.3에서 설치 프로램은 파일 시스템 레이블에 기반한 드라이버 디스크의 위치를 자동으로 감지할 수 있으며 설치 도중 디스크의 내용물을 사용할 수 있습니다. 이러한 기능은 설치 명령행 옵션 dlabel=on에 의해 제어되며, 이는 자동 검색 기능을 활성화합니다. OEMDRV로 파일 시스템 레이블된 모든 블록 장치를 검색하여 이러한 장치에서 검색된 순서대로 드라이버를 읽어옵니다.
- iBFT (iSCSI Boot Firmware Table)
현재 Red Hat Enterprise Linux 5.3은 iBFT (iSCSI Boot Firmware Table)를 완전 지원하여 iSCSI 장치에서의 부팅을 허용합니다. 이 지원을 설정하려면 iSCSI 디스크 (노드)가 자동으로 시작하도록 표시되어서는 안됩니다; 런레벨 3 또는 5로 지정하면 더이상 설치된 시스템이 자동으로 연결되어 iSCSI 디스크로 로그인하지 않습니다.
주로 iSCSI는 root 파일 시스템으로 사용되며, 이러한 경우 런레벨을 지정하기 전 initrd는 필요한 iSCSI 디스크에 연결되어 로그인하므로 이러한 변경 사항이 영향을 미치지 않습니다.
하지만 /home 또는 /srv와 같은 비 root 디렉토리에 iSCSI 디스크를 마운트해야 할 경우, 이러한 변경 사항에 영향을 받게 되어, 설치된 시스템은 root 파일 시스템을 사용하지 않는 iSCSI 디스크에 자동으로 연결 및 로그인하지 않게 됩니다.
비 root 디렉토리에 마운트된 \tiSCSI 디스크를 사용할 수 있지만, 다음의 해결 방법 중 하나를 사용해야 합니다:
비 root 디렉토리에 마운트된 iSCSI 디스크를 사용하지 않고 시스템을 설치한 후 해당 디스크 및 마운트 지점을 수동으로 설정합니다.
런레벨 1로 설치한 시스템을 부팅하고, 각 디스크 마다 다음의 명령을 사용하여 자동 시작을 위해 root 파일 시스템을 사용하지 않는 iSCSI 디스크를 표시합니다:
iscsiadm -m node -T target-name -p ip:port -o update -n node.startup -v automatic
- rhythmbox
rhythmbox 오디오 재생기는 0.11.6 버전으로 업데이트되었습니다. 이번 업데이트에서는 독점적인 GStreamer 플러그인을 사용할 수 있는 옵션을 제공합니다.
- lftp 업데이트
Thunderbird는 2.0.0.12 버전으로 업데이트되었습니다. 이로 인해 다음과 같은 여러 업스트림 기능 업데이트 및 버그 수정이 적용되었습니다:
mirror --script에 의해 생성된 lftp 인용 스크립트 방식에서의 보안 결함이 (이는 무단 권한 승격의 원인이 될 수 있음) 수정되었습니다.
-c 옵션과 함께 lftp를 사용하면 더이상 lftp가 정지되지 않습니다.
sftp를 사용할 때 lftp는 더이상 전송 도중 파일을 손상시키지 않습니다.
- TTY 입력 감사
TTY 입력 감사 기능이 지원됩니다. 프로세스가 TTY 입력 감사로 표시되어 있을 경우, TTY에서 읽어온 데이터를 감사하게 됩니다; TTY를 입력하면 감사 기록이 나타나게 됩니다.
pam_tty_audit 모듈을 사용하여 프로세스 (및 자식 프로세스)를 TTY 입력 감사로 표시할 수 있습니다. 자세한 방법은 man pam_tty_audit(8)에서 참조하시기 바랍니다.
TTY 감사 기록에는 감사 프로세스가 읽어온 정확한 키 입력 내용이 들어 있습니다. 데이터를 쉽게 해독하기 위해, bash는 기록 유형 USER_TTY를 사용하여 정확한 명령행을 감사할 수 있습니다.
The "TTY" audit records contain all data read by audited processes from the TTY. This includes data inserted into the input stream by the TIOCSTI ioctl system call.
- SystemTap 업데이트
SystemTap은 0.7.2 버전으로 업데이트되었습니다. 이러한 SystemTap 업데이트로 인한 몇 가지 주요 기능과 함께 개선 사항을 소개합니다. 새로운 기능에는 다음과 같은 것이 포함됩니다:
현재 SystemTap은 x86, x86-64, PowerPC에서 심볼릭 프로브를 지원합니다. 이는 SystemTap 스크립트를 활성화하여 프로브를 사용자 공간 어플리케이션으로 위치하게 하여 라이브러리를 공유합니다. 결과적으로 SystemTap은 커널 프로브로서 일부 사용자 공간 어플리케이션에 있는 디버거 프로브와 동일한 정도의 기능을 제공할 수 있습니다.
예를 들어, coreutils-debuginfo가 설치되어 있을 경우, 다음과 같이 /usr/share/doc/systemtap-version/examples/general/callgraph.stp를 사용하여 ls 명령의 callgraph를 출력할 수 있습니다:
stap para-callgraph.stp 'process("ls").function("*")' -c 'ls -l'
바이너리와 debuginfo RPM 사이의 버전 불일치가 감지되지 않을 수 있는 가능성을 감소시키기 위해, Red Hat은 SYSTEMTAP_DEBUGINFO_PATH 환경 변수를 +:.debug:/usr/lib/debug:build 값에 설정할 것을 권장합니다.
SystemTap's support for symbolic probes also extends to markers placed into the kernel of this release. To use these markers, load the kernel-trace kernel module in /etc/rc.local (using modprobe kernel-trace).
SystemTap은 원격 컴파일 서비스를 지원합니다. 이는 네트워크 상의 단일 컴퓨터를 활성화하여 로컬 SystemTap 클라이언트에 대해 디버그정보/컴파일러 서버로 작동하게 합니다. 클라이언트는 mDNS (avahi)를 사용하여 서버를 자동 위치시키며 systemtap-client 및 systemtap-runtime 패키지만이 작동에 필요하게 됩니다.
현재 이러한 기능은 암호화와 같은 보안 메커니즘을 사용하지 않습니다. 따라서, 신뢰하는 네트워크에서만 원컥 컴파일 서비스를 사용할 것을 권장합니다. 보다 자세한 내용은 man stap-server에서 참조하시기 바랍니다.
이번 릴리즈의 커널 업데이트에는 SystemTap 스크립트의 종료 절차가 개선된 커널 API 확장이 포함되어 있습니다. 이러한 추가된 커널 API 확장은 개별적 프로브 제거 작업 사이에서의 불필요한 동기화 작업을 제거하여 결과적으로 수백개의 커널 프로브를 갖는 SystemTap 스크립트 처리 속도가 훨씬 빨라졌습니다.
특히 이는 probe syscall.* {}과 같은 수많은 커널 이벤트를 캡쳐하는 와일드카드가 들어있는 프로브와 함께 스크립트를 사용하는 관리자에게 유용합니다.
이번 릴리즈에 포함된 SystemTap 완전 업데이트 목록은 다음의 URL에서 참조하시기 바랍니다:
- 클러스터 관리자 업데이트
클러스터 관리자 유틸리티 (cman)는 2.0.97 버전으로 업데이트되었습니다. 이로 인해 다음과 같은 버그 수정 및 기능 개선이 적용되었습니다:
cman은 다음과 같은 펌웨어 버전을 사용합니다: APC AOS v3.5.7 및 APC rpdu v3.5.6. 이로 인해 APC 7901이 단일 네트워크 관리 프로토콜 (SNMP)을 올바르게 사용하지 못하게 했던 버그가 수정되었습니다.
fence_drac, fence_ilo, fence_egenera, fence_bladecenter 에이전트는 ssh를 지원합니다.
fence_xvmd 키 파일은 재시작하지 않고 다시 불러올 수 있습니다.
현재 단일 fence 방식은 최대 8 개의 fence 장치 까지 지원할 수 있습니다.
- RPM 업데이트
RPM (RedHat Package Manager)은 Fedora 9 업스트림 버전으로 업데이트되었습니다. 현재 rpm은 보조 아키텍처-특정 매크로 파일을 멀티 아키텍처 시스템에 추가할 수 있습니다. 또한 rpm은 Red Hat Enterprise Linux 5에 포함된 모든 인증 기준에 부합합니다.
이번 업데이트에서는 rpm에 다음과 같은 업스트림 개선 사항 및 버그 수정 사항을 적용하였습니다:
- OFED (Open Fabrics Enterprise Distribution) / opensm
opensm은 opensm 라이브러리 API로의 변경 사항을 포함하여, 3.2 업스트림 버전으로 업데이트되었습니다.
opensm.conf 파일 형식이 변경되었습니다. 기존 opensm.conf를 사용자 변경하실 경우, rpm은 /etc/ofed/opensm.conf.rpmnew로 새로운 opensm.conf 파일을 자동 설치하게 됩니다. 변경한 내용을 파일로 이전한 후 기존 opensm.conf 파일을 결과물로 대체해야 합니다.
Red Hat은 항상 발전하고 있는 기술을 최대한 이용할 수 있게 하기 위해 업스트림 OFED(Open Fabrics Enterprise Distribution) 코드 기반을 철저히 추종하고 있습니다. 따라서 Red Hat은 마이너 릴리스에서는 업스트림 프로젝트와 같은 수준의 API/ABI 호환성을 유지합니다. 이는 Red Hat Enterprise Linux 개발의 일반적인 관행에 있어서 예외적인 것입니다.
따라서 OFED 스택 (목록은 아래 참조)에 빌드된 어플리케이션은 Red Hat Enterprise Linux 마이너 릴리즈에서 새로운 릴리스로 이전할 때 다시 컴파일하거나 소스 레벨의 코드를 변경할 필요가 있을 수 있습니다.
일반적으로 Red Hat Enterprise Linux 소프트웨어 스택에 빌드된 다른 어플리케이션의 경우 다시 컴파일하거나 코드를 수정할 필요가 없습니다. 대상 구성 요소는 다음과 같습니다:
dapl
compat-dapl
ibsim
ibutils
infiniband-diags
libcxgb3
libehca
libibcm
libibcommon
libibmad
libibumad
libibverbs
libipathverbs
libmlx4
libmthca
libnes
librmdacm
libsdp
mpi-selector
mpitests
mstflint
mvapich
mvapich2
ofed-docs
openib
openib-mstflint
openib-perftest
openib-tvflash
openmpi
opensm
perftest
qlvnictools
qperf
rds-tools (차후 구성 요소)
srptools
tvflash
- Net-SNMP 업데이트
Net-SNMP has been re-based to upstream version 5.3.2.2. This update adds Stream Control Transmission Protocol (SCTP) support (as per RFC 3873,
http://www.ietf.org/rfc/rfc3873.txt) and introduces two new configuration options (to be used in
/etc/snmpd.conf):
이번 업데이트에는 다음과 같이 업스트림에서의 여러가지 버그가 수정되었습니다:
255개 이상의 네트워크 인터페이스가 있는 시스템에서 snmpd 데몬이 올바르게 작동합니다. 또한, snmpd가 포트에서 65535번 이상을 수신하도록 설정되어 있을 경우 이는 오류를 보고합니다.
/proc에서 파일을 읽을 때 snmpd 데몬이 파일 설명을 유출하는 원인이 되었던 경쟁 상태가 수정되었습니다.
멀티 CPU 하드웨어에서도 snmpd 데몬은 hrProcessorLoad 개체 ID (OID)를 올바르게 보고합니다. 하지만, 데몬 시작에서 OID 값을 계산하기 까지 약 1 분 정도가 소요됨에 유의하시기 바랍니다.
net-snmp-devel 패키지는 lm_sensors-devel 패키지에 의존합니다.
- FIPS 인증을 위한 OpenSSL 업데이트
openssl 패키지는 새로운 업스트림 버전으로 OpenSSL 라이브러리를 업그레이드하여, 현재 FIPS (Federal Information Processing Standard) 검증 절차를 받고 있습니다 (FIPS-140-2). OpenSSL 라이브러리가 Red Hat Enterprise Linux 5에 있는 이전 openssl 패키지 버전과 기능 패리티 및 ABI 호환성을 유지하기 위해 FIPS 모드는 기본값으로 비활성화되어 있습니다.
이번 업데이트에는 다음과 같은 업스트림 수정 사항이 적용되었습니다:
기본값으로 zlib 압축이 SSL 및 TLS 연결에 사용됩니다. CPACF (Central Processor Assist for Cryptographic Function)와 함께 IBM System z 아키텍처에서의 압축은 CPU 부하의 주요 부분이 되어 전체적인 성능은 암호화 속도가 아닌 압축 속도에 의해 결정되었습니다. 압축을 해제하면 전체적인 성능이 향상됩니다. 이번 업데이트된 패키지에서는 SSL 및 TLS 연결을 위한 zlib 압축이 OPENSSL_NO_DEFAULT_ZLIB 환경 변수로 압축해제할 수 있습니다. 속도가 느린 네트워크를 통한 TLS 연결의 경우, 데이터 전송 양을 줄이기 위해 압축하는 것이 좋습니다.
s_client 및 s_server 옵션과 함께 openssl 명령을 사용할 때, 기본 CA 인증서 파일 (/etc/pki/tls/certs/ca-bundle.crt)을 읽을 수 없어 인증서를 확인할 수 없었습니다. 인증서를 확인하려면 -CAfile /etc/pki/tls/certs/ca-bundle.crt 옵션을 사용해야 했습니다. 이번 업데이트된 패키지에서는 기본 CA 인증서 파일을 읽을 수 있게 되어 더이상 -CAfile 옵션을 사용할 필요가 없게 되었습니다.
- yum 업데이트
yum은 3.2.18 업스트림 버전으로 업데이트되었습니다. 이러한 업데이트로 yum 실행 속도가 향상되어 각 마이너 릴리즈에 포함된 패키지 수 증가에 의해 제기되는 문제를 감소시켰습니다. 또한 이번 업데이트에서는 재설치 명령에 대해 소개하고 있으며, 일부 명령에 대한 인터페이스 개선은 물론 다음과 같은 버그 수정이 적용되었습니다:
- flash-plugin 업데이트
flash-plugin 패키지는 10.0.12.36 버전으로 업데이트되었습니다. 이번 업데이트에는 이전 flash-plugin ASYNC 업데이트에 포함되어 있는 여러 보안 수정 사항이 적용되었습니다. 또한 업데이트된 플러그인에는 Adobe Flash Player 10이 들어 있어, 다음과 같은 버그 수정은 물론 기능이 강화되었습니다.
사운드 출력에서 경쟁 상태 문제를 수정하여 Linux 플랫폼에서 안정성이 향상되었습니다.
사용자 정의 필터 및 효과, 원시적 3D 변환, 애니메이션, 고급 오디오 프로세싱, 보다 유연한 텍스트 엔진, GPU 하드웨어 가속화를 지원합니다.
이러한 업데이트에 관한 보다 자세한 내용은 다음 링크에 있는 Adobe Flash Player 10 릴리즈 노트를 참조하시기 바랍니다:
- gdb 업데이트
gdb는 6.8 버전으로 업데이트되었습니다. 이에는 C++ 템플릿 내의 브레이크 포인트, 생성자 및 인라인 함수 지원과 같은 업스트림 기능 업데이트 및 버그 수정이 적용되었습니다.
- AMD Family10h 프로세서에서 IBS (Instruction Based Sampling)
AMD Family10h 프로세서 용 하드웨어 프로파일링 지원이 Red Hat Enterprise Linux 5.3에 추가되었습니다. 새 AMD CPU는 IBS (Instruction Based Sampling)를 지원합니다. IBS 지원은 정보를 수집하고 새로운 기능과 관련된 새 MSR (Model Specific Registers)를 초기화하기 위해 oProfile 드라이버로의 변경을 필요로 합니다.
이번 업데이트에는 oProfile 드라이버의 이벤트 버퍼 및 CPU 버퍼 마다 새로운 IBS_FETCH와 IBS_OP 프로파일링 샘플이 추가되어 있습니다. 새로운 제어 항목은 /dev/oprofile에 추가되어 IBS 샘플링을 제어합니다. 이러한 변경 사항은 드라이버의 이전 PMC 버전과 하위 호환하며, 분리된 패치가 oProfile 0.9.3에서 사용 가능하여 새로운 데이터를 사용할 수 있습니다.
- Squid 업데이트
Squid는 안정적인 업스트림 최신 버전 (STABLE21)으로 업데이트되었습니다. 이러한 업데이트로 다음과 같은 버그가 수정되었습니다:
squid init 스크립트는 항상 종료 코드 0을 잘못 반환합니다. 현재 이러한 버그가 수정되어 squid는 LSB (Linux Standard Base)에 준수합니다.
refresh_stale_hit 지시문을 사용하면 squid 로그 파일에 Clock going backwards 오류 메세지가 나타나게 하는 원인이 될 수 있습니다.
squid 설치 프로세스는 /usr/local/squid 디렉토리의 올바른 소유권을 설정하지 않았었습니다. 이번 릴리즈에서 squid 사용자는 /usr/local/squid의 기본값 소유자입니다.
squid가 hash_lookup() 기능을 사용 시도할 때 마다, signal 6으로 중지할 수 있습니다.
squid_unix_group을 사용하면 squid가 중단될 수 있습니다.
- Apache에서 이벤트 MPM (Multi-Processing Model)
httpd, Apache HTTP 서버 패키지에는 실험적인 이벤트 MPM (Multi-Processing Model)이 포함되어 있습니다. 이러한 MPM은 연결 유지 (keepalive) 연결을 처리하기 위해 전용 스레드를 사용하여 성능을 향상시킬 수 있습니다.
- libgomp 업데이트
libgomp는 4.3.2-7.el5 버전으로 업데이트되었습니다. 업데이트로 OpenMP 성능이 개선되었고 gcc43 컴파일러와 함께 사용할 때 OpenMP 3.0 버전 지원이 추가되었습니다.
- iSCSI 대상 기능
Linux 대상 (tgt) 프레임워크의 일부분으로 전달된 iSCSI 대상 기능은 Red Hat Enterprise Linux 5.3에서 기술 평가 사항에서 완전 지원 사항이 되었습니다. linux 대상 프레임워크에서는 시스템이 SCSI 개시기가 있는 기타 다른 시스템에 블록 레벨 SCSI 저장 장치를 서비스하게 합니다. 이러한 기능은 처음에 Linux iSCSI 대상으로 운용되어 iSCSI 개시기에서 네트워크를 통해 저장 장치를 서비스합니다.
iSCSI 대상을 설정하려면, scsi-target-utils RPM을 설치합니다. 자세한 지시사항은 /usr/share/doc/scsi-target-utils-[version]/README 및 /usr/share/doc/scsi-target-utils-[version]/README.iscsi에서 참조하시기 바랍니다.
