- 块设备加密
红帽企业版 Linux 5.3 包括对块设备加密的支持,使用的是 Linux 通用密钥设置(LUKS)说明。加密设备将保护该设备中的所有数据免受非授权访问,即使该设备已经从系统中拔出。要访问加密的设备中的内容,用户必须提供一个密码短语或者密钥作为验证。
有关设置磁盘加密的详情,请参考红帽企业版 Linux 安装指南第 28 章:
http://redhat.com/docs/
- mac80211 802.11a/b/g WiFi 协议栈(mac80211)
mac80211 栈(以前称 devicescape/d80211 栈)现在是红帽企业版 Linux 5.3 中的一个支持的特性。它为 Intel® WiFi 链接 4965 硬件启用了 iwlwifi 4965GN 无线驱动程序,这样就允许特定无线设备连接到任意 Wi-Fi 网络。
尽管在红帽企业版 Linux 5.3 中支持 mac80211 组件,但并没有将这个符号包含在内核的符号白名单中。
- 全局文件系统 2(GFS2)
GFS2 是 GFS 的增量高级版本。本更新版本采用一些需要修改为 on-disk 文件系统格式的明显改进。可使用 gfs2_convert 程序将 GFS 文件系统转换为 GFS2 文件系统,这样就相应更新了 GFS 文件系统的元数据。
在红帽企业版 Linux 5.2 中,GFS2 只是以评估目的作为内核模块提供。在红帽企业版 Linux 5.3 中,GFS2 是作为内核软件包的一部分。如果已经安装了红帽企业版 Linux 5.2 GFS2 内核模块,必须将其删除才可以在红帽企业版 Linux 5.3 中使用 GFS2。
- 驱动程序磁盘支持的改进
由 OEM 提供的驱动程序磁盘是一个单一映像文件(*.img),包含潜在的多驱动程序 RPM 以及内核模块。这些驱动程序用于在安装过程中支持硬件,否则将无法识别它们。将 RPM 安装到系统中并放到 initrd 中以便在及其重启时为其提供支持。
在红帽企业版 Linux 5.3 中,安装可根据其文件系统标签自动侦测现有驱动程序磁盘,并在安装过程中使用该磁盘中的内容。这个行为是由安装命令行选项 dlabel=on 控制的,它可启用自动搜索。将测试所有带文件系统标签 OEMDRV 的块设备,并根据发现设备的顺序从这些设备中载入驱动程序。
- iSCSI 引导固件表
红帽企业版 Linux 5.3 现在完全支持 iSCSI 引导固件表(iBFT),它可允许从 iSCSI 设备引导。这个支持要求不再将 iSCSI 磁盘(节点)标记为自动启动,当输入 runlevel 3 或者 runlevel 5 时,安装的系统将不再自动连接并登录到 iSCSI 磁盘。
iSCSI 通常用于根文件系统,在这种情况下这个更改没有任何意义,因为 initrd 将连接并登录到需要的 iSCSI,即使之前已经输入了运行级别。
但是如果需要将 iSCSI 磁盘挂载到非根目录中,例如 /home 或者 /srv,那么这个更改将影响到您,因为安装的系统将不再自动连接并登录到根文件系统没有使用的 iSCSI 磁盘。
仍有可能使用挂载到非根目录 iSCSI 磁盘,但需要使用以下方法之一:
不使用挂载到非根目录的 iSCSI 磁盘安装系统并随后手动配置相关磁盘和挂载点。
将安装的系统引导至运行级别 1,并每次对一个磁盘使用以下命令,将所有 iSCSI 磁盘标记为自动启动:
iscsiadm -m node -T target-name -p ip:port -o update -n node.startup -v automatic
- rhythmbox
rhythmbox 音频播放器已更新到版本 0.11.6。这个更新提供使用专用 GStreamer 插件的选项。
- lftp 复位
现在已将 lftp 复位到版本 3.7.1。这采用了一些上游更新和 bug 修复,其中包括:
现在修复了 mirror --script 生成的 lftp 引用脚本的安全性漏洞(可能会导致未授权的权限升级)。
使用带 -c 选项的 lftp 不再导致 lftp 挂起。
lftp 不再会在使用 sftp 进行传送时破坏文件。
- TTY 输入审核
现在支持TTY 输入审核。如果为 TTY 输入审核标记了某个进程,那么从 TTY 读取的数据将被审核:这将在输入 TTY 时显示审核记录。
您可以使用 pam_tty_audit 模块为 TTY 输入审核标记一个进程(及其子进程)。有关操作说明请参考 man pam_tty_audit(8)。
TTY 审核记录包含审核的进程记录的准确击键。要使数据可轻松解码,bash 使用记录类型 USER_TTY 审核所用命令行。
The "TTY" audit records contain all data read by audited processes from the TTY. This includes data inserted into the input stream by the TIOCSTI ioctl system call.
- Systemtap 复位
已将 SystemTap 复位至版本 0.7.2。这个 SystemTap 更新引进了几个微小的改进和少数重要特性。这些特性包括:
SystemTap 现在支持在 x86、x86-64 和 PowerPC 构架中进行符号侦测。这样可让 SystemTap 脚本将探针放入用户空间应用程序和共享程序库。结果是 SystemTap 现在可以在一些用户空间应用程序中如内核侦测一样提供相同等级的 debug 程序侦测。
例如:如果安装了 coreutils-debuginfo,您可以使用 /usr/share/doc/systemtap-version/examples/general/callgraph.stp 打印 ls 命令的函数调用关系图(callgraph),如下:
stap para-callgraph.stp 'process("ls").function("*")' -c 'ls -l'
要减小在二进制及其 debuginfo RPM 之间出现未侦测到的版本错误匹配的可能性,红帽建议您将 SYSTEMTAP_DEBUGINFO_PATH 环境变量设置为 +:.debug:/usr/lib/debug:build。
SystemTap's support for symbolic probes also extends to markers placed into the kernel of this release. To use these markers, load the kernel-trace kernel module in /etc/rc.local (using modprobe kernel-trace).
SystemTap 还支持远程编译服务。这启用了网络中的单一计算机作为本地 SystemTap 客户端的 debuginfo/compiler 服务器。该客户端使用 mDNS(avahi)自动定位该服务器,并只需要 systemtap-client 和 systemtap-runtime 软件包即可工作。
目前,这个特性尚未使用类似加密的安全机制。因此建议您只在可信网络中使用远程编译服务。有关详情请参考 man stap-server。
这个发行本的内核更新包括一个内核 API 扩展,它显著改进了 SystemTap 脚本的关闭。添加的这个内核 API 扩展排除了独立探针删除操作间的不必要同步。结果是拥有数百个内核探针的 SystemTap 的处理速度快了很多。
这对使用带通配符的探针脚本的管理员来说尤为重要,这样的脚本可捕获众多的内核事件,比如 probe syscall.* {}。
本发行本的完整 SystemTap 更新列表请参考以下链接:
- 群集管理器更新
已将群集管理器工具(cman)更新到版本 2.0.97。这采用了一些 bug 修复和改进,最主要的是:
cman 现在使用以下固件版本:APC AOS v3.5.7 和 APC rpdu v3.5.6。这修复了阻止 APC 7901 正确使用简单网络管理协议(SNMP)的 bug。
fence_drac、fence_ilo、fence_egenera 和 fence_bladecenter 代理现在支持 ssh。
fence_xvmd 密钥文件现在可在不重启的情况下重新载入。
一个 fence 法现在最多可支持 8 个 fence 设备。
- RPM 复位
现在将 RedHat Package Manager(RPM)复位到 Fedora 9 上游版本。目前在多构架系统中 rpm 添加了第二个构架特定宏文件。另外,rpm 现在达到红帽企业版 Linux 5 中的所有证书标准。
这个更新还采用一些 rpm 的上游改进和 bug 修复,其中包括:
rpm 不再在多构架系统中生成不必要的 .rpmnew 和 .rpmsave 文件。
rpm 中防止 rpmgiNext() 功能正确报告错误的 bug。这个更新采用了正确的语意进行错误报告,因此可确保 rpm 返回所有事件中的正确退出编码。
- Open Fabrics 企业发行(OFED)/ opensm
已将
opensm 更新至上游版本 3.2,其中包括对 opensm 出现可 API 的少量修改。
更改了 opensm.conf 文件的格式。如果您已经对您现有 opensm.conf 进行自定义修改,rpm 将自动将新的 opensm.conf 作为 /etc/ofed/opensm.conf.rpmnew 安装。您需要将您的修改迁移至这个文件,然后使用修改后的结果替换现有 opensm.conf 文件。
红帽紧密跟踪上游开放构架企业发行本(OFED)编码基础以便为这个正在改进的技术提供最高等级的可用性。结果是红帽只能将小发行本间 API/ABI 兼容性保留到上游项目达到的程度。只是红帽企业版 Linux 开发一般实践中的一个例外情况。
因此,构建在 OFED 栈顶端的应用程序(如下列出)在从一个红帽企业版 Linux 的一个小发行本迁移到一个更新的版本时,可能需要重新编译或者甚至需要更改源等级编码。
这通常在其它应用程序中并不需要,是构建在红帽企业版 Linux 软件栈中。受到影响的组件有:
dapl
compat-dapl
ibsim
ibutils
infiniband-diags
libcxgb3
libehca
libibcm
libibcommon
libibmad
libibumad
libibverbs
libipathverbs
libmlx4
libmthca
libnes
librmdacm
libsdp
mpi-selector
mpitests
mstflint
mvapich
mvapich2
ofed-docs
openib
openib-mstflint
openib-perftest
openib-tvflash
openmpi
opensm
perftest
qlvnictools
qperf
rds-tools (future)
srptools
tvflash
- Net-SNMP 复位
Net-SNMP has been re-based to upstream version 5.3.2.2. This update adds Stream Control Transmission Protocol (SCTP) support (as per RFC 3873,
http://www.ietf.org/rfc/rfc3873.txt) and introduces two new configuration options (to be used in
/etc/snmpd.conf):
这个更新还应用了一些来自上级程序的改进,其中包括:
snmpd 守护进程目前在使用超过 255 个网络接口的系统中工作正常。另外,snmpd 目前还在配置为侦听高于 65535 的任意端口时报告错误。
目前修复了当从 /proc 读取时导致 snmpd 守护进程泄露文明描述符的竞态条件错误。
目前 snmpd 守护进程可正确报告 hrProcessorLoad 对象 ID(OID),即使在多 CPU 硬件中也如此。请注意:从守护进程启动到计算出 OID 值可能需要大约一分钟时间。
net-snmp-devel 软件包现在依赖于 lm_sensors-devel 软件包。
- 为 FIPS 证书进行 OpenSSL 复位
openssl 软件包将 OpenSSL 程序库升级到新的上游版本,目前采用联邦信息处理标准批准程序(FIPS-140-2)。默认禁用 FIPS 模式,以便保证 OpenSSL 程序库保持性能相同且与红帽企业版 Linux 5 中 openssl 软件包的前一个发行本有 ABI 兼容。
这个内核更新还提供以下上游改进:
默认情况下,zlib 压缩用于 SSL 和 TLS 连接。在有中央处理器支持密码功能的 IBM System z 构架中,压缩是 CPU 负载的主要部分(不会加速解密)。当禁用压缩时,总性能会有很大提高。在这些更新的软件包中,可使用 OPENSSL_NO_DEFAULT_ZLIB 环境变量禁用用于 SSL 和 TLS 连接的 zlib 压缩。对于慢速网络的 TLS 连接,最好保留压缩,以便缓慢传输要传输的数据。
当使用带 s_client 和 s_server 选项的 openssl 命令时,无法读取默认 CA 证书文件(/etc/pki/tls/certs/ca-bundle.crt)。这导致证书验证失败。要使证书通过验证,则必须使用 -CAfile /etc/pki/tls/certs/ca-bundle.crt 选项。在这些更新的软件包中,可读取默认 CA 证书,且不再需要使用 -CAfile 选项指定。
- yum 复位
已将 yum 复位至上游版本 3.2.18。这个更新提高了 yum 操作的速度,由此缓和了由于每个微调版本中不断增加的软件包产生的问题。另外,这个更新还引进了 reinstall 命令,改进了几个命令的界面并采用了一些 bug 修复,其中包括:
如果使用 -c 选项指定位于一个网页地址(http)的配置文件,所有 yum 命令都会失败。这个 bug 现在还没有被修复。
yum 中的 checkSignal() 功能调用一个不正确的退出功能,因此退出 yum 将导致一个跟踪动作。在这个发行本中,yum 目前可正常退出。
- flash-插件复位
已将 flash-plugin 软件包复位至版本 10.0.12.36。这个更新采用了一些包含在之前 安flash-plugin ASYNC 更新中的全性修复。另外,这个更新的插件还包含 Adobe Flash Player 10,其中包括以下 bug 修复和性能改进:
修复了在声音输出中的竞态条件问题以改进 Linux 平台的稳定性。
增加对定制过滤器和效果、内置 3D 传输以及动画、高级音频处理、新的更灵活的文本引擎和 GPU 硬件加速的支持。
有关此更新的详情请参考 Adobe Flash Player 10 发行注记,链接如下:
- gdb 复位
现已将 gdb 复位至版本 6.8。这采用了几个上游特性更新和 bug 修复,最主要的是:支持 C++ 模板中的断点、构造函数和内联函数。
- AMD Family10h 处理器中基于指令的采样
已为红帽企业版 Linux 5.3 添加了对 AMD Family10h 处理器的新硬件侧写支持。这些新的 AMD CPU 支持基于指令的采样(IBS)。IBS 支持要求更换至 oProfile 驱动程序以便收集这个信息并初始化新的与这些新特性关联的模型相关寄存器(MSR)。
这个更新为 oPorfile 驱动程序的每个 CPU 缓冲和事件缓冲添加了新的 IBS_FETCH 和 IBS_OP 侧写样本。还将新的控制条目添加到 /dev/oprofile 中以便控制 IBS 采样。这些更改与之前只有 PMC 的驱动程序版本兼容,且有可用于 oProfile 0.9.3 的独立补丁以便其可使用这个新的数据。
- Squid 复位
Squid 已经复位至最新的稳定上游版本(STABLE21)。这个更新讨论了一些 bug,其中包括:
squid init 脚本总是无法正确返回退出编码 0。这个 bug 现在已经修复,使得 squid 与现在 Linux 标准基础兼容。
使用 refresh_stale_hit 指令导致在 squid 日志文件中出现出错信息 Clock going backwards。
squid 安装过程无法正确设置 /usr/local/squid 目录的拥有者。在这个发行本中,用户 squid 是 /usr/local/squid 的默认拥有者。
无论何时 squid 试图使用 hash_lookup() 功能时,它都会取下并给出 signal 6。
使用 squid_unix_group 可导致 squid 崩溃。
- Apache 中的事件多处理模型
httpd,Apache HTTP 服务器软件包,现包含在实验事件多处理模型(MPM)中。这个模型通过使用专用线程处理长连接来改进性能。
- libgomp 复位
已将 libgomp 复位至版本 4.3.2-7.e15。这个复位改进了 OpenMP 性能并在与 gcc43 编译程序一同使用时添加了对 OpenMP 版本 3.0 的支持。
- iSCSI 对象功能
iSCSI 对象功能之前是作为 Linux 对象(tgt)框架的一部分发布,在红帽企业版 Linux 5.3 中从技术预览转换为全面支持。Linux 对象框架允许系统将块级别 SCSI 存储分配到其它有 SCSI 启动器的系统中。这个功能正作为 Linux iSCSI 对象首次使用,它可通过网络将存储分配到任意 iSCSI 启动器中。
要设置 iSCSI 对象,请安装 scsi-target-utils RPM 并参考说明:/usr/share/doc/scsi-target-utils-[version]/README 和 /usr/share/doc/scsi-target-utils-[version]/README.iscsi。
