Исходное сообщение
"Релиз Red Hat Enterprise Linux 7.4" Отправлено opennews, 02-Авг-17 10:45
Компания Red Hat выпустила (https://www.redhat.com/en/about/press-releases/red-hat-bridg... дистрибутив Red Hat Enterprise Linux 7.4. Ветка RHEL 7.x будет поддерживаться до июня 2024 года. Установочные образы RHEL 7.4  доступны (https://access.redhat.com/downloads/) для загрузки только зарегистрированным пользователям Red Hat Customer Portal и подготовлены для архитектур x86+64, IBM POWER7+, POWER8 (big endian и little endian) и IBM System z. Исходные тексты пакетов можно загрузить из Git-репозитория (https://git.centos.org/project/rpms) проекта CentOS. Основные новшества (https://access.redhat.com/documentation/en-US/Red_Hat_Enterp...: -   Безопасность -  Добавлен фреймворк USB Guard, позволяющий управлять доступом пользователей к USB-устройствам для блокирования возможных утечек информации. Поддерживается создание белого и чёрного списков USB-устройств; -  Усилена защита изолированных контейнеров, благодаря обеспечению поддержки SELinux в OverlayFS; -  Компоненты OpenSSH обновлены до версии 7.4 (https://www.opennet.ru/opennews/art.shtml?num=45719), добавлена возможность продолжения прерванных загрузок по SFTP и поддержка сертификатов и слепков публичных ключей на основе SHA-256. Прекращена поддержка SSH-1 на стороне сервера; -  Поддержка NBDE (Network Bound Disk Encryption), позволяющего шифровать содержимое корневых разделов на жестких дисках без необходимости ручного ввода пароля в процессе загрузки; -  Улучшения в инструментах системного аудита: фильтрация событий из логов аудита по идентификатору сеанса или uid, вывод дополнительной информации по критическим событиям и упрощённая навигация по большим наборам записей; -  Обновлён пакет OpenSSL 1.0.2, в который добавлена поддержка протоколов DTLS (Datagram Transport Layer Security) 1.2, возможность использования ECDHE в TLS  и  реализация ALPN (Application-Layer Protocol Negotiation, позволяет использовать HTTP/2 в nginx); -  Прекращена (https://access.redhat.com/blogs/766093/posts/3050871) поддержка большой порции устаревших криптографических протоколов и методов шифрования, в том числе SSH 1.0, SSL 2.0, экспортных шифров (EXPORT), RC4, MD5, MD4 и SHA-0, параметров  Diffie-Hellman (DH) до 1024 бит; -  Добавлена поддержка системного вызова getrandom(), который позволяет  получить значения от системного генератора псевдослучайных чисел через обращение к системному вызову, что обеспечивает надёжную защиту от атак, основанных на исчерпании доступных файловых дескрипторов (при отсутствии свободных дескрипторов невозможно задействовать /dev/urandom); -  Для генератора псевдослучайных чисел представлен новый коллектор энтропии на основе джиттера (Jitter Entropy Random Number Generator), основанный на учёте отклонения времени повторного исполнения определённого набора инструкций на CPU (CPU execution time jitter), которое зависит от множества внутренних факторов и непредсказуемо без физического контроля над CPU; -  Обеспечена полная поддержка пространств имён идентификаторов пользователей (user name spaces), позволяющих задействовать в контейнере отдельную таблицу идентификаторов, не пересекающуюся с хост-системой (например, root в контейнере не будет иметь повышенных прав в хост-системе); -  Подсистема идентификации SSSD (System Security Services Daemon) в контейнерах переведена в разряд полностью поддерживаемых технологий. Контейнер для развёртывания сервера идентификации (IdM, Identity Management) пока остаётся в числе экспериментальных возможностей. Пакет OpenLDAP обновлён до версии 2.4.44, а Samba до версии 4.6.2 (https://www.opennet.ru/opennews/art.shtml?num=46156) (ранее использовался выпуск 4.4.4). Средства идентификации приведены в соответствие критериям FIPS (реализован отдельный режим соответствия FIPS). -  Значительно улучшена поддержка смарт-карт. В web-интерфейсе IdM добавлена возможность входа при помощи смарт-карты и поддержка аутентификации в  Active Directory, реализована гибкая схема привязки сертификата смарт-карты к учётной записи.  В дополнение к драйверу CoolKey добавлен  OpenSC, набор библиотек для работы со смарт-картами, поддерживающий Common Access Card (CAC) и предоставляющий функциональность апплета CoolKey. В IdM добавлена экспериментальная поддержка DNSSEC; -  В SSSD добавлена возможность получения билета Kerberos при аутентификации через смарт-карту, возможность входа в разные учётные записи при помощи одного сертификата на смарт-карте,  реализован новый сервис kcm для кэширования параметров учётных записей Kerberos, поддержка настройки субдоменов  Active Directory в серверном режиме SSSD, возможность аутентификации по коротким именам пользователей в Active Directory, поддержка работы с пользователями и группами через D-Bus и PAM (не обязательно наличие SID и OID/GID). -  В сервере директорий задействована новая схем хранения паролей на основе хэша SSHA_512 и добавлена поддержка схемы PBKDF2_SHA256, осуществлён переход на библиотеку tcmalloc и событийно-ориентированный фреймворк nunc-stans, представлена большая порция оптимизаций производительности; -  В состав включен пакет tss2 с реализацией стека TSS 2.0 (Trusted Computing Group Software Stack), позволяющего взаимодействовать с устройствами TPM 2.0; -  В ядре по умолчанию включена поддержка рандомизации адресного пространства ядра (KASLR) для подсистем управления памятью (например, KASLR применяется для рандомизации стартового адреса для виртуальных адресов в секциях  Direct mapping, vmalloc и vmemmap). Для остальных подсистем поддержка KASLR пока носит экспериментальный характер и не включена по умолчанию; -  Добавлена экспериментальная поддержка демона systemd-importd, позволяющего организовать загрузку готовых образов контейнеров в форматах tar, raw, qcow2 и dkr и их размещение в директории /var/lib/machines для запуска через nspawn. Для проверки валидности загружаемых образов используется GPG.   -  Для гостевых систем, работающих под управлением гипервизора KVM, добавлена экспериментальная поддержка USB 3.0; Сетевые возможности -  NetworkManager обновлён до версии 1.8 (https://www.opennet.ru/opennews/art.shtml?num=46528) с поддержкой настройки атрибутов для статических маршрутов, задействованием технологии MACsec (IEEE 802.1AE, Media Access Control Security), поддержкой управления настройками DNS через D-Bus и устранением неопределённости с восстановлением состояния устройств после перезапуска; -  Пакет wpa_supplicant обновлён до выпуска 2.6 с поддержкой шифрования MACsec; -  Реализация GRE-туннелей синхронизирована с ядром 4.8. Добавлена возможность выноса обработки туннелей GENEVE, VXLAN и GRE на специализированное оборудование  (offloading), а также реализована поддержка LCO (Local Checksum Offloading) для туннелей. Проведена оптимизация кода работы с туннелями для сетевых карт не поддерживающих offloading; -  В Netfilter добавлена поддержка трансляции сетевых префиксов IPv6 - NPTv6 (IPv6-to-IPv6 Network Prefix Translation, RFC 6296); -  Реализация сетевых мостов (bridge) синхронизирована с ядром 4.9. Появилась поддержка таких возможностей, как фильтрация 802.1ad VLAN, ускорение Tx VLAN, 802.11 Proxy ARP, применения switchdev для выноса операций коммутации пакетов на внешнее устройство, учёт статистики в привязке к VLAN; -  В ядро добавлена поддержка вложенных VLAN, определённых в спецификации 802.1ad (QinQ) (https://en.wikipedia.org/wiki/IEEE_802.1ad). Реализация основана на коде Open vSwitch; -  Проведена оптимизация блокировок в реализации UDP-сокетов, что позволило добиться увеличения пропускной способности обработки UDP-пакетов; -  В утилиту iproute добавлена возможность изменения опций порта сетевого моста (state, priority, cost). В утилиту tc добавлена поддержка классификатора трафика flower; -  Из ветки BIND 9.11 перенесён плагин  DynDB (Dynamic Database), позволяющий орган... URL: https://www.redhat.com/en/about/press-releases/red-hat-bridg... Новость: http://www.opennet.ru/opennews/art.shtml?num=46955