RedHatEnterpriseLinux8
8.0发行注记
RedHatEnterpriseLinux8.0发行注记
LastUpdated:2021-12-25
RedHatEnterpriseLinux88.0发行注记
RedHatEnterpriseLinux8.0发行注记
Enteryourfirstnamehere.Enteryoursurnamehere.Enteranisation'snamehere.Enteranisationaldivisionhere.Enteryouremailaddresshere.
法律通告
Copyright©2021|YouneedtochangetheHOLDERentityintheen-US/8.0_release_notes.entfile|.
ThetextofandillustrationsinthisdocumentarelicensedbyRedHatunderaCreativeCommonsAttribution–ShareAlike3.0Unportedlicense("CC-BY-SA").AnexplanationofCC-BY-SAisavailableat/licenses/by-sa/3.0/.InordancewithCC-BY-SA,ifyoudistributethisdocumentoranadaptationofit,youmustprovidetheURLfortheoriginalversion.
RedHat,asthelicensorofthisdocument,waivestherighttoenforce,andagreesnottoassert,Section4dofCC-BY-SAtothefullestextentpermittedbyapplicablelaw.
RedHat,RedHatEnterpriseLinux,theShadowmanlogo,theRedHatlogo,JBoss,OpenShift,Fedora,theInfinitylogo,andRHCEaretrademarksofRedHat,Inc.,registeredintheUnitedStatesandothercountries.
Linux®istheregisteredtrademarkofLinusTorvaldsintheUnitedStatesandothercountries.
Java®isaregisteredtrademarkofOracleand/oritsaffiliates.
XFS®isatrademarkofSiliconGraphicsInternationalCorp.oritssubsidiariesintheUnitedStatesand/orothercountries.
MySQL®isaregisteredtrademarkofMySQLABintheUnitedStates,theEuropeanUnionandothercountries.
Node.js®isanofficialtrademarkofJoyent.RedHatisnotformallyrelatedtoorendorsedbytheofficialJoyentNode.jsopensourcemercialproject.
TheOpenStack®WordMarkandOpenStacklogoareeitherregisteredtrademarks/servicemarksortrademarks/servicemarksoftheOpenStackFoundation,intheUnitedStatesandothercountriesandareusedwiththeOpenStackFoundation'spermission.Wearenotaffiliatedwith,endorsedorsponsoredbytheOpenStackFoundation,orthemunity.
Allothertrademarksarethepropertyoftheirrespectiveowners.
摘要
本发行注记从较高的层面介绍了在RedHatEnterpriseLinux8.0中实施的改进和附加功能的信息,本版本中已知的问题,以及重要的程序错误修复、技术预览、已弃用的功能和其他详情。
目录 目录 对...红..帽..文..档..提..供..反..馈............................................................................................5............. 第...1.章...概..述....................................................................................................6............. 分发
6 软件管理
6 Shell和命令行工具
6 动态编程语言、网页和数据库服务器
6
6 安装程序和镜像创建
6 内核
7 文件系统和存储
7 安全性
7 网络
7 虚拟化
7 编译器和开发工具
8 高可用性和集群
8 其它资源
8 红帽客户门户网站
Labs
8 第...2..章..构..架...................................................................................................1.0............. 第...3..章...R.H..E.L..8.中...的..内..容..发..布...................................................................................1.1............ 3.1.安装 11 3.2.软件仓库 11 3.3.应用程序流 11 3.4.使用YUM/DNF管理软件包 12 第...4..章...R.H..E.L..8...0...1.发..行..版..本...................................................................................1.3............. 4.1.新特性 13 4.2.已知问题 14 第...5..章..R..H.E..L..8...0..0..发..行...版..本..................................................................................1.5............. 5.1.新特性 15 5.1.1.Web控制台 15 5.1.2.安装程序和镜像创建 16 5.1.3.内核 18 5.1.4.软件管理 20 5.1.5.基础架构服务 22 5.1.6.Shell和命令行工具 24 5.1.7.动态编程语言、网页和数据库服务器 25 5.1.8. 31 5.1.9.硬件启用 33 5.1.10.IdentityManagement 33 5.1.11.编译器和开发工具 36 5.1.12.文件系统和存储 45 5.1.13.高可用性和集群 49 5.1.14.网络 52 5.1.15.安全性 60 5.1.16.虚拟化 72 5.1.17.支持性 77 5.2.程序错误修复 77 5.2.1. 77
1 RedHatEnterpriseLinux88.0发行注记 5.2.2.图形基础结构 77 5.2.3.IdentityManagement 77 5.2.4.编译器和开发工具 78 5.2.5.文件系统和存储 79 5.2.6.高可用性和集群 80 5.2.7.网络 81 5.2.8.安全性 82 5.2.9.订阅管理 82 5.2.10.虚拟化 82 5.3.技术预览 83 5.3.1.内核 83 5.3.2.图形基础结构 85 5.3.3.硬件启用 85 5.3.4.IdentityManagement 86 5.3.5.文件系统和存储 87 5.3.6.高可用性和集群 90 5.3.7.网络 90 5.3.8.RedHatEnterpriseLinux系统角色 92 5.3.9.虚拟化 92 5.4.过时的功能 94 5.4.1.安装程序和镜像创建 95 5.4.2.文件系统和存储 96 5.4.3.网络 97 5.4.4.内核 98 5.4.5.安全性 98 5.4.6.虚拟化 99 5.4.7.已弃用的软件包 99 5.5.已知问题 100 5.5.1.Web控制台 101 5.5.2.安装程序和镜像创建 101 5.5.3.内核 103 5.5.4.软件管理 107 5.5.5.基础架构服务 107 5.5.6.Shell和命令行工具 108 5.5.7.动态编程语言、网页和数据库服务器 109 5.5.8. 110 5.5.9.图形基础结构 111 5.5.10.硬件启用 112 5.5.11.IdentityManagement 112 5.5.12.编译器和开发工具 117 5.5.13.文件系统和存储 118 5.5.14.网络 119 5.5.15.安全性 122 5.5.16.订阅管理 128 5.5.17.虚拟化 128 5.5.18.支持性 130 第...6..章..容...器..的..显..著..变..化........................................................................................13..1............ 第...7..章..国..际...化...............................................................................................1.3.3............. 7.1.REDHATENTERPRISELINUX8国际语言 133 7.2.RHEL8中国际化的显著变化 133 附...录..A....按..组..件..划..分..的..问...题..单..列..表..............................................................................1.3.5.............
2 目录致...谢.........................................................................................................14..1............附...录..B....修..订..历..史..记..录.........................................................................................1.4.2.............
3 RedHatEnterpriseLinux88.0发行注记
4 对红帽文档提供反馈 对红帽文档提供反馈 我们感谢您对文档提供反馈信息。
请让我们了解如何改进文档。
要做到这一点:关于特定内容的简单评论,请确定您使用多页HTML格式查看文档。
用鼠标指针高亮显示您想评论的文本部分。
然后点击在高亮文本下面出现的添加反馈,然后按照显示的步骤操作。
要提交更复杂的反馈,请创建一个Bugzillaticket:
1.进入Bugzilla网站。
2.在Component中选择Documentation。
3.在Description中输入您要提供的信息。
包括文档相关部分的链接。
4.点SubmitBug。
5 RedHatEnterpriseLinux88.0发行注记 第1章概述 基于Fedora28和上游内核4.18,RedHatEnterpriseLinux8.0为用户提供了跨混合云部署的一个稳定、安全、一致的基础,以及支持传统和新兴工作负载所需的工具。
该版本的主要内容包括: 分发 内容可以通过BaseOS和应用程序流(AppStream)存储库获得。
AppStream存储库支持传统RPM格式-模块的新扩展。
这允许可安装一个组件的多个主版本。
如需更多信息,请参阅第3章RHEL8中的内容发布。
软件管理 YUM软件包管理器现在基于DNF技术,为模块化内容、更高的性能以及与工具集成的设计良好的稳定API提供支持。
详情请查看第5.1.4节“软件管理”。
Shell和命令行工具 RHEL8提供如下版本控制系统:Git2.18、Mercurial4.8和Subversion1.10。
详情请查看?
。
动态编程语言、网页和数据库服务器 Python3.6是RHEL8中默认的Python实现;对Python2.7提供了有限的支持。
默认情况下不安装任何Python版本。
RHEL中新增加了Node.js。
从RHEL7开始,其他动态编程语言已更新:PHP7.2、Ruby2.5、Perl5.26、SWIG3.0现已可用。
以下数据库服务器随RHEL8一起发布:MariaDB10.3、MySQL8.0、PostgreSQL10、PostgreSQL9.6和Redis5。
RHEL8提供了ApacheHTTPServer2.4并引进了新的WebServer,nginx1.14。
Squid已更新至版本4.4,现在包括了新的代理服务器:VarnishCache6.0。
如需更多信息,请参阅第5.1.7节“动态编程语言、网页和数据库服务器”。
GNOMEShell已更新至版本3.28。
GNOME会话和GNOME显示管理器将Wayland用作其默认显示服务器。
X.Org服务器(RHEL7中的默认显示服务器)也可用。
如需更多信息,请参阅第5.1.8节“”。
安装程序和镜像创建 Anaconda安装程序可以使用LUKS2磁盘加密,并可以在NVDIMM设备上安装该系统。
ImageBuilder工具允许用户创建各种格式的自定义系统镜像,包括准备在不同供应商的云上部
6 第1章概述 ImageBuilder工具允许用户创建各种格式的自定义系统镜像,包括准备在不同供应商的云上部署的镜像。
在RHEL8中,可以使用硬件管理控制台(HMC)和IBMZ上的支持元素(SE)从DVD进行安装。
详情请查看第5.1.2节“安装程序和镜像创建”。
内核 扩展的BerkeleyPacketFiltering(eBPF)功能使用户空间可以将自定义程序附加到各种点(套接字、追踪点、数据包接收)来接收和处理数据。
此功能作为技术预览提供。
BPF编译器集(BCC)是用于创建高效内核跟踪和操作程序的工具,可作为技术预览使用。
如需更多信息,请参阅第5.3.1节“内核”。
文件系统和存储 LUKS版本2(LUKS2)格式取代了传统的LUKS(LUKS1)格式。
dm-crypt子系统和cryptsetup工具现在使用LUKS2作为加密卷的默认格式。
如需更多信息,请参阅第5.1.12节“文件系统和存储”。
安全性 默认情况下应用系统范围的加密策略(该策略会配置核心加密子系统,包括TLS、IPsec、SSH、DNSSEC和Kerberos协议)。
通过新的update-crypto-policies命令,管理员可以轻松地在模式间切换:default、legacy、fution和fips。
现在,在系统中支持智能卡和带有PKCS#11的硬件安全模块(HSM)。
如需更多信息,请参阅第5.1.15节“安全性”。
网络 nftables框架替代了默认网络数据包过滤功能中的iptables。
firewalld守护进程现在使用nftables作为其默认后端。
引入了对IPVLAN虚拟网络驱动程序的支持,其对多个容器启用了网络连接。
eXpressDataPath(XDP)、用于流量控制(tc)的XDP和AddressFamilyeXpressDataPath(AF_XDP)作为扩展BerkeleyPacketFiltering(eBPF)功能的一部分,可作为技术预览来提供。
如需了解更多详细信息,请参阅第5.3.7节“网络”。
有关其他功能,请参阅第5.1.14节“网络”。
虚拟化 现在,在RHEL8中创建的虚拟机中,支持并自动配置一个基于PCIExpress的机器类型(Q35)。
这在功能和虚拟设备的兼容性方面提供了各种改进。
现在,可以使用RHEL8web控制台(也称为Cockpit)来创建和管理虚拟机。
QEMU模拟器引入了沙盒功能,其为调用QEMU的系统可以执行的操作提供了可配置的限制,从而使虚拟机更加安全。
如需更多信息,请参阅第5.1.16节“虚拟化”。
7 RedHatEnterpriseLinux88.0发行注记 编译器和开发工具 基于版本8.2的GCC编译器支持最新的C++标准版本、更好的优化、新的代码强化技术、改进的警告和新的硬件特性。
现在,各种用于代码生成、操作和调试的工具可以实验性地处理DWARF5调试信息格式。
一些工具(如BCC、PCP和SystemTap)提供了对eBPF跟踪的内核支持。
基于版本2.28的glibc库增加了对Unicode11、较新的Linux系统调用、DNS存根解析器的关键改进、额外的安全强化功能,以及改善性能方面的支持。
RHEL8提供了OpenJDK11、OpenJDK8、IcedTea-Web和各种Java工具,如Ant、Maven或Scala。
详情请查看第5.1.11节“编译器和开发工具”。
高可用性和集群 Pacemaker集群资源管理器已升级到上游版本2.0.0,其提供了许多程序错误修复和增强。
在RHEL8中,pcs配置系统完全支持Corosync3、和节点名称。
如需更多信息,请参阅第5.1.13节“高可用性和集群”。
其它资源 与其他版本系统相比,RedHatEnterpriseLinux8的能力和限制可在知识库文章RedHatEnterpriseLinux技术能力和限制中获得。
有关RedHatEnterpriseLinux生命周期的详情请查看RedHatEnterpriseLinux生命周期文档。
软件包清单文档为RHEL8提供软件包列表。
RHEL7和RHEL8的主要区别包括在使用RHEL8时的注意事项。
有关如何从RHEL7原位升级到RHEL8的说明,请参阅从RHEL7升级到RHEL8的文档。
有关当前支持的升级路径列表,请参阅支持的RedHatEnterpriseLinux原位升级路径。
RedHatInsights服务可让您主动发现、检查并解决已知的技术问题,所有RHEL订阅都可以使用它。
有关如何安装RedHatInsights客户端并将您的系统注册到该服务的说明,请查看RedHatInsights入门页面。
红帽客户门户网站Labs红帽客户门户网站Labs是客户门户网站的一个部分中的一组工具,地址为/labs/。
红帽客户门户网站Labs中的应用程序可帮助您提高性能、快速解决问题、发现安全问题以及快速部署和配置复杂应用程序。
一些最常用的应用程序有: RegistrationAssistant KickstartGenerator ProductLifeCycleChecker RedHatProductCertificates
8 RedHatSatelliteUpgradeHelperRedHatCVECheckerJVMOptionsConfigurationToolLoadBalancerConfigurationToolRedHatCodeBrowserYumRepositoryConfigurationHelper 第1章概述
9 RedHatEnterpriseLinux88.0发行注记 第2章构架 RedHatEnterpriseLinux8.0与内核版本4.18.0-80一同发布,它支持以下构架:AMD和Intel64位构架64位ARM架构IBMPowerSystems,LittleEndian64-bitIBMZ 请确定为每个构架购买正确的订阅。
如需更多信息,请参阅RedHatEnterpriseLinux入门-附加构架。
有关可用订阅列表,请查看客户门户网站中的订阅使用。
10 第3章RHEL8中的内容发布 第3章RHEL8中的内容发布 3.1.安装 RedHatEnterpriseLinux8使用ISO镜像安装。
AMD64、Intel64位、64位ARM、IBMPowerSystems和IBMZ架构有两种类型的ISO镜像: 二进制DVDISO:包含BaseOS和AppStream软件仓库的完整安装镜像,并允许您在没有附加软件仓库的情况下完成安装。
注意 二进制DVDISO镜像大于4.7GB,因此它可能不适用于单层DVD。
当使用二进制DVDISO镜像创建可引导安装介质时,建议使用双层DVD或者USB设备。
您还可以使用ImageBuilder工具创建自定义的RHEL镜像。
有关镜像构建器的更多信息,请参阅编写自定义的RHEL系统镜像文档。
引导ISO:用来引导到安装程序的最小引导ISO镜像。
这个选项需要访问BaseOS和AppStream软件仓库来安装软件包。
软件仓库是二进制DVDISO镜像的一部分。
有关下载ISO镜像、创建安装介质和完成RHEL安装的说明,请参阅执行标准RHEL安装文档。
有关自动的Kickstart安装和其他高级主题,请参阅执行高级RHEL安装文档。
3.2.软件仓库 RedHatEnterpriseLinux8由两个主要软件仓库发布: BaseOS AppStream 两个软件仓库都需要一个基本的RHEL安装,所有RHEL订阅都包括它们。
BaseOS仓库的内容旨在提供底层操作系统功能的核心组件,为所有安装提供基础操作系统的基础。
这部分内容采用RPM格式,它的支持条款与之前的RHEL版本相似。
有关通过BaseOS发布的软件包列表,请查看软件包清单。
ApplicationStream仓库的内容包括额外的用户空间应用程序、运行时语言和数据库来支持各种工作负载和使用案例。
ApplicationStreams(应用程序流)以熟悉的RPM格式,作为RPM格式的扩展,名为模块(modules),或作为SoftwareCollections(软件集合)。
有关AppStream中可用软件包列表,请查看软件包清单。
另外,所有RHEL订阅都可以使用CodeReadyLinuxBuilder软件仓库。
它为开发人员提供了额外的软件包。
不支持包括在CodeReadyLinuxBuilder存储库中的软件包。
有关RHEL8软件仓库的详情,请查看软件包清单。
3.3.应用程序流 RedHatEnterpriseLinux8引进了应用程序流(ApplicationStreams)的概念。
和操作系统软件包相比,现在为用户空间组件提供了多个版本且会更频繁地进行更新。
这为自定义RedHatEnterpriseLinux提供了更大的灵活性,不会影响平台或特定部署的基本稳定性。
作为ApplicationStreams提供的组件可打包为模块(module)或RPM软件包,并通过RHEL8中的 11 RedHatEnterpriseLinux88.0发行注记作为ApplicationStreams提供的组件可打包为模块(module)或RPM软件包,并通过RHEL8中的AppStream软件仓库提供。
每个ApplicationStream组件都有其特定的生命周期,可能和RHEL8的生命周期相同或更短。
详情请查看RedHatEnterpriseLinux生命周期。
模块是代表逻辑单元的软件包集合:应用程序、语言堆栈、数据库或一组工具。
这些软件包被一同构建、测试并发布。
模块流代表ApplicationStream组件的版本。
例如,PostgreSQL数据库服务器的几个流(版本)由带有默认的postgresql:10流的postgresql模块提供。
在系统中只能安装一个模块流。
不同的容器可以使用不同的版本。
详细的模块命令,请参考安装、管理和删除用户空间组件文档。
有关AppStream中可用模块列表,请查看软件包清单。
3.4.使用YUM/DNF管理软件包 在RedHatEnterpriseLinux8中,安装软件通过YUM工具进行,其基于DNF技术。
我们还会继续使用yum术语,以便与以前的RHEL主要版本保持一致。
但是,如果您键入dnf而不是yum,则命令可以正常工作,因为yum是dnf的别名以实现兼容性。
如需了解更多详细信息,请参阅以下文档: 安装、管理和删除用户空间组件使用RHEL8时的注意事项 12 第4章RHEL8.0.1发行版本 第4章RHEL8.0.1发行版本 4.1.新特性 RHEL系统角色已更新为RHEL子系统提供配置接口的rhel-system-roles软件包已更新。
主要变更包括: 改进了网络角色中缺失的配置文件的处理。
当通过将persistent状态设置为absent来删除现有的NetworkManageron-disk配置文件的配置时,现在只删除配置文件的持久配置,当前的运行时配置保持不变。
因此,在上述情况下,对应的网络设备不再失效。
为网络角色中的VLAN和MACVLAN接口指定最大传输单元(MTU)的大小已被修复。
因此,使用网络角色在VLAN和MACVLAN接口上设置MTU大小不再出现含有以下错误信息的失败: failure:createdconnectionfailedtonormalize:nm-connection-error-quark:connection.type:propertyismissing
(6) selinux和timesync角色现在将所有记录的输入变量包含在其默认文件中(defaults/main.yml)。
这样便可通过检查各自默认文件的内容来轻松地确定角色支持哪些输入变量。
kdump和timesync角色已被修复,在检查模式中不会失败。
(BZ#1685902,BZ#1674004,BZ#1685904)SOS-collectorrebase到版本1.7在RHEL8.0.1中,sos-collector软件包已更新至版本1.7。
主要变更包括:SOS-collector现在可以从RedHatEnterpriseLinuxCoreOS(RHCOS)节点收集sosreport,与从常规的RHEL节点收集sosreports的方式相同。
用户无需更改他们运行sos-collector的方式。
自动识别节点是RHCOS还是RHEL。
从RHCOS节点收集时,sos-collector将在节点上创建一个临时容器,并使用support-tools容器生成sosreport。
该容器将在完成后被移除。
使用--cluster-type=none选项时,用户可以跳过在节点上运行的sosreport命令的所有与集群相关的检查或修改,只需从通过--nodes参数传递的节点静态列表中收集。
RedHatSatellite现在是一个支持的集群类型,允许从Satellite和任何Capsules收集sosreport。
(BZ#1695764)升级的编译器工具集使用RHEL8.0.1升级了以下编译器工具集,作为ApplicationStreams分发: RustToolset,向1.35版本提供Rust编程语言编译器rustc、构建工具和依赖关系管理器以及所需的库GoToolset,它为版本1.11.6提供Go(golang)编程语言工具和库。
(BZ#1731500) 13 RedHatEnterpriseLinux88.0发行注记 启用和禁用SMTRHEL8现在提供了并发多线程(SMT)配置。
在web控制台中禁用SMT可让您缓解一系列CPU安全漏洞,例如: MicroarchitecturalDataSamplingL1TerminalFaultAttack(BZ#1713186) 4.2.已知问题 IPSec隧道中性能降低使用RHEL8.0.1中设置的aes256_sha2或aes-gcm256IPSec密码对IPSec隧道性能有负面影响。
具有特定VPN设置的用户在IPSec隧道上的性能会下降10%。
这种回归并非由MicroarchitecturalDataSampling(MDS)缓解导致的,可以在缓解时看到缓解措施。
(BZ#1731362) 14 第5章RHEL8.0.0发行版本 第5章RHEL8.0.0发行版本 5.1.新特性 这部分论述了RedHatEnterpriseLinux8中引入的新功能和主要增强。
5.1.1.Web控制台 注意Web控制台的订阅页面现在由新的subscription-manager-cockpit软件包提供。
在web控制台中添加了防火墙界面RHEL8web控制台中的Networking页面现在包含Firewall部分。
在本节中,用户可以启用或禁用防火墙,以及添加、删除和修改防火墙规则。
(BZ#1647110)Web控制台现在默认可用RHEL8web控制台(也称为Cockpit)的软件包现在是RedHatEnterpriseLinux默认软件仓库的一部分,因此可以立即在注册的RHEL8系统中安装。
另外,在非最小安装RHEL8中,会自动安装web控制台,控制台所需的防火墙端口会自动打开。
登录前还添加了系统消息,提供有关如何启用或访问Web控制台的信息。
(JIRA:RHELPLAN-10355)Web控制台更好的IdM集成如果您的系统在IdentityManagement(IdM)域中注册,RHEL8web控制台现在默认使用域的集中管理的IdM资源。
这包括以下优点: IdM域的管理员可以使用Web控制台来管理本地计算机。
控制台的Web服务器会自动切换到由IdM证书颁发机构(CA)发布并被浏览器接受的证书。
IdM域中具有Kerberos票据的用户不需要提供登录凭据来访问Web控制台。
Web控制台可以访问IdM域已知的SSH主机,而无需手动添加SSH连接。
请注意,要使IdM与Web控制台集成正常工作,用户首先需要在IdMmaster系统中使用enableadmins-sudo选项运行ipa-advise工具。
(JIRA:RHELPLAN-3010)Web控制台现在与移动浏览器兼容在这个版本中,Web控制台菜单和页面可以在移动浏览器变体上导航。
这样就可以从移动设备使用RHEL8web控制台管理系统。
(JIRA:RHELPLAN-10352)Web控制台前端页面现在显示缺少的更新和订阅 如果由RHEL8web控制台管理的系统有过时的软件包或lapsed订阅,现在会在系统的web控制台前页 15 RedHatEnterpriseLinux88.0发行注记 如果由RHEL8web控制台管理的系统有过时的软件包或lapsed订阅,现在会在系统的web控制台前页中显示警告信息。
(JIRA:RHELPLAN-10353) Web控制台现在支持PBD注册在这个版本中,您可以使用RHEL8web控制台界面将基于策略的Decryption(PBD)规则应用到受管系统上的磁盘。
这使用Clevis解密客户端来协助Web控制台中的各种安全管理功能,例如自动解锁LUKS加密磁盘分区。
(JIRA:RHELPLAN-10354) 虚拟机现在可以使用Web控制台进行管理VirtualMachines页面现在可以添加到RHEL8web控制台界面中,用户可以创建和管理基于libvirt的虚拟机。
(JIRA:RHELPLAN-2896) 5.1.2.安装程序和镜像创建 IBMZ现在完全支持使用SE和HMC从DVD安装RHEL现在,完全支持使用支持元素(SE)和硬件管理控制台(HMC)的DVD在IBMZ硬件上安装RedHatEnterpriseLinux8。
这个额外的功能简化了使用SE和HMC的IBMZ上的安装过程。
使用二进制DVD引导时,安装程序会提示用户输入附加内核参数。
要将DVD设为安装源,请在内核参数后附加inst.repo=hmc。
然后安装程序启用了SE和HMC文件访问,从DVD中获取stage2镜像,并提供对DVD中软件包的访问以供软件选择。
这个新功能消除了外部网络设置的要求,并扩展了安装选项。
(BZ#1500792) 安装程序现在支持LUKS2磁盘加密格式RedHatEnterpriseLinux8安装程序现在默认使用LUKS2格式,但您可以从Anaconda的CustomPartitioning窗口中选择LUKS版本,或者使用Kickstart的art、logvol、part和RAID命令中的新选项。
LUKS2提供了许多改进和功能,例如,它扩展了磁盘上格式的功能,并提供灵活的元数据存储方式。
(BZ#1547908) Anaconda支持RHEL8中的系统目的在以前的版本中,Anaconda不会为SubscriptionManager提供系统目的信息。
在RedHatEnterpriseLinux8.0中,您可以使用Anaconda的系统目的窗口或Kickstart的syspurpose命令,在安装过程中设置系统预期目的。
安装完成后,SubscriptionManager在订阅系统时使用系统用途信息。
(BZ#1612060) pykickstart支持RHEL8中的系统目的在以前的版本中,pykickstart库无法为SubscriptionManager提供系统目的信息。
在RedHatEnterpriseLinux8.0中,pykickstart解析新的syspurpose命令,并记录系统在自动化和部分自动化安装过程中的预期用途。
然后,信息将传递给Anaconda,保存在新安装的系统上,并在订阅系统时供订阅管理器使用。
16 第5章RHEL8.0.0发行版本 (BZ#1612061) Anaconda支持RHEL8中的新内核引导参数在以前的版本中,您只能从内核引导参数指定基本存储库。
在RedHatEnterpriseLinux8中,一个新的内核参数,inst.addrepo=,允许您在安装过程中指定附加软件仓库。
这个参数有两个强制值:仓库名称和指向存储库的URL。
如需更多信息,请参阅#inst-addrepo (BZ#1595415) Anaconda支持RHEL8中的统一ISO在RedHatEnterpriseLinux8.0中,统一的ISO会自动加载BaseOS和AppStream安装源存储库。
这个功能适用于安装时载入的第一个基本存储库。
例如:如果您在没有配置软件仓库的情况下引导安装,且在GUI中将统一ISO作为基本软件仓库,或者使用指向统一ISO的inst.repo=选项引导安装。
因此,AppStream软件仓库会在InstallationSourceGUI窗口的AdditionalRepositories部分启用。
您不能删除AppStream存储库或更改其设置,但您可以在安装源中禁用它。
如果您使用不同基础程序库引导安装,然后将其改为统一ISO,则该功能将不起作用。
如果这样做,基本软件仓库将被替换。
但是AppStream软件仓库不会被替换并指向原始文件。
(BZ#1610806) Anaconda可以在Kickstart脚本中安装模块化软件包Anaconda安装程序已扩展,以处理与应用程序流相关的所有功能:模块、流和配置集。
Kickstart脚本现在可以启用模块和流组合、安装模块配置集以及安装模块化软件包。
如需更多信息,请参阅执行高级RHEL安装。
(JIRA:RHELPLAN-1943) 现在,RHEL8安装选项中提供了nosmt引导选项nosmt引导选项包括在传递给新安装的RHEL8系统的安装选项中。
(BZ#1677411) RHEL8支持从本地硬盘中的软件仓库安装在以前的版本中,从硬盘安装RHEL需要ISO镜像作为安装源。
但是,RHEL8ISO镜像对于某些文件系统来说可能太大,例如:FAT32文件系统无法存储大于4GiB的文件。
在RHEL8中,您可以使用本地硬盘中的软件仓库启用安装。
您只需要指定目录而不是ISO镜像。
例如:'inst.repo=hd::'
(BZ#1502323)
RHEL8中提供了使用ImageBuilder进行自定义系统镜像创建ImageBuilder工具可让用户创建自定义的RHEL镜像。
镜像构建程序位于AppStream中的poser软件包中。
使用镜像构建器,用户可以创建包含其他软件包的自定义系统镜像。
镜像构建器功能可以通过以下方式访问: web控制台中的图形用户界面 17 RedHatEnterpriseLinux88.0发行注记 composer-cli工具里的命令行界面。
镜像构建器输出格式包括: 实时ISO磁盘镜像可以直接用于虚拟机或OpenStack的qcow2文件文件系统镜像文件Azure、VMWare和AWS的云镜像如需了解更多有关镜像构建器的信息,请参阅文档标题组成自定义的RHEL系统镜像。
(JIRA:RHELPLAN-7291,BZ#1628645,BZ#1628646,BZ#1628647,BZ#1628648)添加了新的kickstart命令:authselect和modules在这个版本中,添加了以下kickstart命令:authselect:使用authselect命令在安装过程中设置系统身份验证选项。
您可以使用authselect作为已弃用的auth或authconfigKickstart命令的替代。
如需更多信息,请参阅执行高级安装指南中的authselect部分。
模块:使用模块命令在kickstart脚本中启用软件包模块流。
如需更多信息,请参阅执行高级安装指南中的模块部分。
(BZ#1972210) 5.1.3.内核RHEL8.0中的内核版本 RedHatEnterpriseLinux8.0带有内核版本4.18.0-80。
(BZ#1797671)ARM52位物理寻址现已可用在这个版本中,支持64位ARM架构的52位物理寻址(PA)。
这比之前的48位PA提供更大的地址空间。
(BZ#1643522)IOMMU代码支持RHEL8中的5级页表Linux内核中的I/O内存管理单元(IOMMU)代码已更新,以支持RedHatEnterpriseLinux8中的5级页表。
(BZ#1485546)支持5级分页在Linux内核中添加了新的P4d_t软件页表类型,以便在RedHatEnterpriseLinux8中支持5级分页。
(BZ#1485532)内存管理支持5级页表 借助红帽企业Linux7,现有内存总线的虚拟/物理内存寻址容量为48/46位,Linux内核实施了4级页 18 第5章RHEL8.0.0发行版本 借助红帽企业Linux7,现有内存总线的虚拟/物理内存寻址容量为48/46位,Linux内核实施了4级页表,以将这些虚拟地址管理到物理地址。
物理总线寻址行会使物理内存上限限制为64TB。
这些限制已扩展到57/52位的虚拟/物理内存寻址,其中包括128PiB虚拟地址空间和4PB物理内存容量。
通过扩展地址范围,RedHatEnterpriseLinux8中的内存管理增加了对5级页面表实现的支持,以便可以处理扩展的地址范围。
(BZ#1485525) kernel-signing-ca.cer在RHEL8中被移到kernel-core在所有RedHatEnterpriseLinux7版本中,kernel-signing-ca.cer公钥都位于kernel-doc包中。
但是,在RedHatEnterpriseLinux8中,kernel-signing-ca.cer已为每个构架重新定位到kernel-core软件包中。
(BZ#1638465) spectreV2缓解默认从IBRS改为RetpolinesSpectreV2漏洞(CVE-2017-5715)的默认缓解方案,适用于有6thGenerationIntelCoreProcessors及其接近衍生产品[1]的系统(CVE-2017-5715)已从IndirectBranchRetpoedSpeculation(IBRS)改为RedHatEnterpriseLinux8中的Retpoline。
由于Intel建议与Linux社区中使用的默认值保持一致,并恢复性能损失,红帽已实施这一更改。
但请注意,在某些情况下使用Retpolines可能无法完全缓解SpectreV2。
Intel的回复文档[2]描述了任何暴露情况。
本文档还说明攻击的风险较低。
对于需要完全SpectreV2缓解的用例,用户可以通过内核引导行选择IBRS,方法是添加spectre_v2=ibrs标志。
如果没有使用Retpoline支持构建一个或多个内核模块,/sys/devices/system/cpu/vulnerabilities/spectre_v2文件将指示漏洞,/var/log/messages文件将识别出错模块。
如需更多信息,请参阅如何确定哪些模块负责spectre_v2返回"Vulnerable:Retpolinewithinsecuremodule(s)"?
。
[1]"6代Intel核心处理器及其近乎衍生产品"是Intel的Retpolines文档所谓的"Skylake-generation"。
[2]Retpoline:一个分支目标入侵缓解-白皮书 (BZ#1651806) Intel®Omni-PathArchitecture(OPA)主机软件RedHatEnterpriseLinux8完全支持IntelOmni-Path架构(OPA)主机软件。
IntelOPA为在集群环境中的计算和I/O节点之间的高性能数据传输(高带宽、高消息率、低延迟)提供主机FabricInterface(HFI)硬件初始化和设置。
有关安装IntelOmni-Path架构文档的说明,请参阅:work-and-i-o/fabricproducts/Intel_OP_Software_RHEL_8_RN_K51383.pdf (BZ#1683712) NUMA支持RHEL8中的更多节点在这个版本中,在具有64位ARM架构的系统中,非一致性内存访问(NUMA)节点数从4个NUMA节点增加到RedHatEnterpriseLinux8中的8NUMA节点。
19 RedHatEnterpriseLinux88.0发行注记 (BZ#1550498) 现在,RHEL8中默认启用IOMMUpassthrough默认情况下,启用了输入/输出内存管理单元(IOMMU)passthrough。
这提高了AMD系统的性能,因为主机禁用DirectMemoryess(DMA)重新映射。
在这个版本中,Intel系统也默认禁用了DMA重新映射的Intel系统的一致性。
用户可以通过在内核命令行(包括虚拟机监控程序)中指定anyiommu.passthrough=off或iommu=nopt参数来禁用此类行为(并启用DMA重新映射)。
(BZ#1658391) RHEL8内核现在支持5级页表RedHatEnterpriseLinux内核现在完全支持具有最多5级页表的未来Intel处理器。
这可让处理器支持多达4PB的物理内存和128PB虚拟地址空间。
使用大量内存的应用程序现在可以尽可能多地使用系统提供的内存,而不受4级页表的限制。
(BZ#1623590) RHEL8内核支持针对将来IntelCPU的增强IBRSRedHatEnterpriseLinux内核现在支持使用增强的IndirectBranchRestrictedSpeculation(IBRS)功能来缓解SpectreV2漏洞。
启用后,IBRS的性能将优于Retpolines(默认)来缓解SpectreV2,并且不会影响IntelControl-flowEnforcement技术。
因此,在未来IntelCPU上启用SpectreV2的性能损失会较小。
(BZ#1614144) bpftool用于检查和操作基于eBPF的程序和映射Linux内核中添加了bpftool工具,用于根据扩展的BerkeleyPacket过滤(eBPF)检查和简单操作程序和映射。
bpftool是内核源树的一部分,由bpftool软件包提供,该软件包作为kernel软件包的子软件包提供。
(BZ#1559607) kernel-rt源已更新kernel-rt源已更新为使用最新的RHEL内核源树。
最新的内核源树现在使用上游v4.18实时补丁集,与之前的版本相比,它提供了很多程序错误修复和增强。
(BZ#1592977) 5.1.4.软件管理 YUM性能改进和支持模块化内容在RedHatEnterpriseLinux8中,新版本的YUM工具保证安装软件,该工具基于DNF技术(YUMv4)。
yumv4比RHEL7上之前使用的YUMv3有以下优点: 提高了性能 支持模块化内容 设计良好的稳定API,用于与工具集成 有关新YUMv4工具和RHEL7中之前版本的YUMv3之间的差异的详细信息,请参阅DNFCLI与YUM 20 第5章RHEL8.0.0发行版本 有关新YUMv4工具和RHEL7中之前版本的YUMv3之间的差异的详细信息,请参阅DNFCLI与YUM相比的更改。
yumv4在使用命令行、编辑或者创建配置文件时与YUMv3兼容。
要安装软件,您可以使用yum命令及其特定选项,方式与在RHEL7中相同。
所选的一些yum插件和工具已被移植到新的DNF后端,可使用与RHEL7中相同的名称进行安装。
它们也提供兼容性符号链接,因此可在通常的位置找到二进制文件、配置文件和目录。
请注意,YUMv3提供的旧版本的PythonAPI不再可用。
我们建议用户将插件和脚本迁移到YUMv4(DNFPythonAPI)提供的新API中,它是稳定的且被完全支持。
DNFPythonAPI请参见DNFAPI参考。
Libdnf和HawkeyAPI(C和Python)不稳定,在RedHatEnterpriseLinux8生命周期中可能会改变。
有关YUM软件包和工具可用性更改的详情,请参阅使用RHEL8的注意事项。
YUMv3的一些功能在YUMv4中的行为可能不同。
如果此类更改对您的工作流有影响,请向红帽支持创建一个问题单,请参阅如何打开和管理客户门户网站中的支持问题单所述? (BZ#1581198)RHEL8中的主要RPM功能RedHatEnterpriseLinux8使用RPM4.14。
这个版本比RPM4.11提供了很多改进,具体信息包括在RHEL7中。
最显著的功能包括: debuginfo软件包可以并行安装支持弱依赖项 支持富或布尔值依赖项 支持大小超过4GB的打包文件支持文件触发器 另外,最显著的变化包括: 更严格的spec-parser简化对非详细模式输出的签名检查 在宏中添加和弃用 (BZ#1581990)RPM现在会在开始安装前验证整个软件包内容在RedHatEnterpriseLinux7中,RPM实用程序在解压缩时验证了单个文件的内容。
然而,由于多个原因,这是不够的: 如果有效负载损坏,则只有在执行脚本操作后才会注意到它,而这些脚本操作是不可避免的。
如果有效负载损坏,则软件包升级会在替换之前版本的某些文件后中止,这会破坏正常安装。
单个文件的哈希在解压缩的数据上执行,这使得
RPM易受解压缩器漏洞的影响。
21 RedHatEnterpriseLinux88.0发行注记 在RedHatEnterpriseLinux8中,使用可用的最佳哈希在单独步骤安装前验证整个软件包。
在RedHatEnterpriseLinux8上构建的软件包在压缩有效负载上使用一个新的SHA-256哈希。
在经过签名的包中,有效负载哈希还受到签名的保护,因此在不破坏包头上的签名和其他哈希的情况下无法更改载荷哈希。
较旧的软件包使用标头和有效负载的MD5哈希,除非配置禁用。
%_pkgverify_level宏还可用于在安装前启用强制签名验证或完全禁用有效负载验证。
此外,%_pkgverify_flags宏可用于限制允许哪些哈希和签名。
例如,可以禁用弱MD5哈希的使用,但代价是与较旧的软件包兼容。
(JIRA:RHELPLAN-10596) 5.1.5.基础架构服务RHEL8中推荐的Tuned配置集的显著变化 在这个版本中,根据以下规则选择推荐的Tuned配置集(由tuned-admmend命令报告)-匹配的第一个规则生效: 如果syspurpose(由syspurposeshow命令报告)包含atomic,且同时:如果Tuned在裸机中运行,则会选择atomic-host配置集如果Tuned在虚拟机中运行,则会选择atomic-guest配置集 如果Tuned在虚拟机中运行,则会选择virtual-guest配置集如果syspurpose角色包含或workstation,并且chassis类型(由dmidecode报告)是Notebook、或Portable,则会选择balanced配置集。
如果以上规则都不匹配,则会选择throughput-performance配置集 (BZ#1565598) 由named生成的文件可以在工作目录中写入在以前的版本中,指定守护进程将一些数据存储在工作目录中,在RedHatEnterpriseLinux中是只读的。
在这个版本中,所选文件的路径已被更改到子目录中,允许写入。
现在,默认目录Unix和SELinux权限允许写入目录。
目录中分发的文件对named仍为只读。
(BZ#1588592) GeoliteDatabases已被Geolite2Databases替代RedHatEnterpriseLinux7中存在的GeoliteDatabases被RedHatEnterpriseLinux8中的Geolite2Databases替代。
GeoliteDatabases由GeoIP软件包提供。
上游不再支持此软件包与传统数据库。
Geolite2数据库由多个软件包提供。
libmaxminddb软件包包括库和mmdblookup命令行工具,该工具支持手动搜索地址。
传统GeoIP软件包中的geoipupdate二进制文件现在由geoipupdate软件包提供,能够下载传统的数据库和新的Geolite2数据库。
(JIRA:RHELPLAN-6746) CUPS日志由journald处理 在RHEL8中,CUPS日志不再存储在RHEL7中的/var/log/cups目录中的特定文件中。
在RHEL8中, 22 第5章RHEL8.0.0发行版本 在RHEL8中,CUPS日志不再存储在RHEL7中的/var/log/cups目录中的特定文件中。
在RHEL8中,所有类型的CUPS日志都与其他程序的日志一起集中记录在systemdjournald守护进程中。
若要访问CUPS日志,请使用journalctl-ucups命令。
如需更多信息,请参阅使用CUPS日志。
(JIRA:RHELPLAN-12764)RHEL8中的主要BIND功能RHEL8在包含BIND(BerkeleyNameDomain)版本9.11。
与版本9.10相比,这个版本的DNS服务器引入了多个新功能和功能变化。
新特性: 添加了一个新的置备二级服务器的方法,称为CatalogZones。
域名系统库现在由指定服务和dig实用程序发送。
现在,ResponseRateLimiting功能可以帮助缓解DNS扩展攻击。
提高了响应策略区域(RPZ)的性能。
添加了名为map的新区域文件格式。
使用此格式存储的区域数据可以直接映射到内存中,这样区域加载就能大大加快。
添加了一个名为delv(域实体查找和验证)的新工具,它具有类似于dig的语义,用于查找DNS数据并执行内部DNS安全扩展(DNSSEC)验证。
现在提供了一个新的mdig命令。
此命令是'dig'命令的一个版本,它发送多个管道查询并等待响应,而不是发送一个查询并等待响应,然后再发送下一个查询。
添加了一个新的prefetch选项,它可提高递归解析器性能。
添加了一个新的in-view区域选项,它允许在视图间共享区域数据。
当使用这个选项时,多个视图可以在不需要在内存中存储多个副本的情况下为相同的区域服务。
添加了一个新的max-zone-ttl选项,它强制执行zone的最大TTL。
当加载包含更高TTL的区域时,加载会失败。
带有更高TTL的动态DNS(DDNS)更新会被接受,但TTL会被截断。
添加了新的配额,将递归解析器发送的查询限制到遇到拒绝服务攻击的权威服务器。
现在,nslookup程序默认查找IPv6和IPv4地址。
named服务现在在启动前检查其他名称服务器进程是否正在运行。
加载签名区时,名为将会检查资源记录签名(RSIG)的开始时间是否在将来,如果是,它会立即重新生成RRSIG。
区域传送现在使用较小的消息大小来改进消息压缩,这降低了网络使用量。
功能更改:HTTP接口提供统计频道的版本3XML架构,包括新的统计信息和用于快速解析的扁平化XML树。
旧版2XML模式不再被支持。
named服务现在默认侦听IPv6和IPv4接口。
named服务不再支持GeoIP。
由查询发送方假定位置定义的访问控制列表(ACL)不可用。
23 RedHatEnterpriseLinux88.0发行注记 (JIRA:RHELPLAN-1820) 5.1.6.Shell和命令行工具nobody用户替换nfsnobody 在RedHatEnterpriseLinux7中,有:ID为99的nobody用户和组对,以及ID为65534的nfsnobody用户和组对(这是默认的内核溢出ID)也是如此。
它们都已合并到nobody用户和组对中,该对使用RedHatEnterpriseLinux8中的65534ID。
新安装不再创建nfsnobody对。
这一更改减少了对nobody所有但与NFS无关的文件的混淆。
(BZ#1591969)RHEL8中的版本控制系统RHEL8提供以下版本控制系统: Git2.18,一种分布式版本控制系统,具有分散架构。
Mercurial4.8是轻量级分布式版本控制系统,旨在高效地处理大型项目。
子版本1.10,集中式版本控制系统。
请注意,RHEL7提供的ConcurrentVersionsSystem(CVS)和修订控制系统(RCS)没有与RHEL8一起发布。
(BZ#1693775)Subversion1.10中的显著变化从RHEL7中发布1.7版本1.7起,Subversion1.10引入了一些新功能,以及以下兼容性更改:由于Subversion库中不兼容用于支持语言绑定,因此不支持Subversion1.10的Python3绑定。
因此,Subversion需要Python绑定的应用程序不被支持。
不再支持基于BerkeleyDB的软件仓库。
在迁移前,请使用svnadmindump命令备份使用Subversion1.7创建的库。
安装RHEL8后,请使用svnadminload命令恢复存储库。
RHEL7中的Subversion1.7客户端签出的现有工作副本必须升级至新格式,然后才能从Subversion1.10使用。
安装RHEL8后,请在每个工作副本中运行svnupgrade命令。
不再支持通过https://访问软件仓库的智能卡验证。
(BZ#1571415)dstat中的显著变化RHEL8提供了dstat工具的新版本。
这个工具现在是PerformanceCo-Pilot(PCP)工具包的一部分。
/usr/bin/dstat文件和dstat软件包的名称现在由pcp-system-tools软件包提供。
新版本的dstat与RHEL7中的dstat相比包括以下改进: 24 第5章RHEL8.0.0发行版本 python3支持历史分析远程主机分析配置文件插件新的性能指标(BZ#1684947) 5.1.7.动态编程语言、网页和数据库服务器Python3是RHEL8中默认的Python实现 RedHatEnterpriseLinux8与Python3.6一起发布。
但默认情况下可能不会安装该软件包。
要安装Python3.6,请使用yuminstallpython3命令。
python2软件包中提供了Python2.7。
但是,Python2的生命周期会更短,其目的在于帮助客户更顺利地过渡到Python3。
默认的python软件包或未指定版本的/usr/bin/python可执行文件都与RHEL8一起发布。
建议客户直接使用python3或python2。
另外,管理员也可以使用alternatives命令来配置python命令。
详情请查看在RedHatEnterpriseLinux8中使用Python。
(BZ#1580387)Python脚本必须在RPM构建时以hashbangs指定主要版本在RHEL8中,可执行Python脚本应该使用hashbangs(shebangs)来明确指定至少主要Python版本。
构建任何RPM软件包时,会自动运行/usr/lib/rpm/redhat/brp-mangle-shebangsbuildroot策略(BRP)脚本。
这个脚本尝试更正所有可执行文件中的hashbang。
当脚本遇到没有指定Python主要版本的Pythonhashbangs时,它会生成错误,RPM构建会失败。
这种模糊的hashbangs示例包括: #!
/usr/bin/python#!
/usr/bin/envpython要在Python脚本中修改hashbangs会导致RPM构建时出现这些构建错误,请使用platform-pythondevel软件包中的pathfix.py脚本: pathfix.py-pn-i%{__python3}PATH...可以指定多个PATH。
如果PATH是一个目录,pathfix.py递归扫描与模式^[a-zA-Z0-9_]+\.py$匹配的任何Python脚本,而不仅仅扫描那些具有模糊哈希bang的Python脚本。
将运行pathfix.py的命令添加到%prep部分,或者在%install部分末尾。
如需更多信息,请参阅Python脚本中处理hashbangs。
(BZ#1583620)PHP中的显著变化RedHatEnterpriseLinux8带有PHP7.2。
这个版本在RHEL7中与PHP5.4相比包括以下主要变化: 25 RedHatEnterpriseLinux88.0发行注记 PHP默认使用FastCGI进程管理器(FPM)(与线程mon软件包移动到独立的软件包php-pecl-zip。
删除了以下扩展:aspellMySQL(请注意,mysqli和pdo_mysql扩展仍然可用,由php-mysqlnd软件包提供)memcache(BZ#1580430,BZ#1691688)Ruby中的显著变化RHEL8提供了Ruby2.5,它比RHEL7提供的Ruby2.0.0提供了很多新功能和增强。
主要变更包括:添加了增量垃圾收集器。
添加了Refinements语法。
现在会对符号进行垃圾收集。
$SAFE=2和$SAFE=3安全等级现已过时。
Fixnum和Bignum类已统一为Integer类。
通过优化Hash类、改善对实例变量的访问以及Mutex类小且更快速,性能得以提高。
某些旧的API已被弃用。
捆绑的库(如RubyGems、Rake、RDoc、Psych、Minitest和test-unit)已更新。
以前通过Ruby分发的其他库(如mathn、DL、ext/tk和XMLRPC)已被弃用或不再包含。
SemVer版本控制方案现在用于Ruby版本。
(BZ#1648843)Perl中的显著变化RHEL8提供了Perl5.26,与RHEL7中的版本相比有以下变化:Unicode9.0现在被支持。
26 第5章RHEL8.0.0发行版本 提供了新的op-entry、load-file和load-fileSystemTap探测。
在分配scalar时,使用写时复制机制来提高性能。
添加了用于处理IPv4和IPv6套接字的IO::Socket::IP模块。
添加了用于以结构化方式访问perl-V数据的Config::Perl::V模块。
添加了一个新的perl-App-cpanminus软件包,其中包含用于从全面的Perl存档网络(CPAN)存储库获取、提取、构建和安装模块的cpanm实用程序。
出于安全考虑,当前目录.已从@INC模块搜索路径中删除。
现在,因为上面描述的行为更改,当do语句无法加载文件时,会返回弃用警告。
doroutine(LIST)调用不再被支持,并会产生语法错误。
现在,默认随机化哈希。
每次运行perl时,从哈希值返回键和值的顺序都会变化。
若要禁用随机化,可将PERL_PERTURB_KEYS环境变量设置为
0。
不再允许正则表达式模式中未转义的字面{字符。
已删除对$_变量的字典范围支持。
在数组或散列上使用定义的运算符会导致致命错误。
从UNIVERSAL模块中导入功能会导致严重错误。
find2perl、s2p、a2p、c2ph和pstruct工具已被删除。
${^ENCODING}工具已被删除。
不再支持编码片段的默认模式。
要在UTF-8之外的其他编码中写入源代码,请使用编码的Filter选项。
perl打包现在与上游一致。
perl软件包也会安装核心模块,而/usr/bin/perl解释器则由perlinterpreter软件包提供。
在以前的版本中,perl软件包只包含一个最小解释器,perl-core软件包同时包含解释器和core模块。
IO::Socket::SSLPerl模块不再从./certs/my-ca.pem文件或./ca目录加载证书颁发机构证书,来自./certs/server-key.pem文件中的服务器私钥、来自./certs/server-cert.pem文件的服务器证书、来自./certs/client-key.pem文件的客户端私钥,以及来自./certs/client-cert.pem文件的客户端证书。
明确指定文件的路径。
(BZ#1511131)Node.js包括在RHEL中Node.js是一个软件开发平台,用于使用JavaScript编程语言开发快速、可扩展的网络应用程序。
它首次在RHEL中提供。
之前,它只通过SoftwareCollection提供。
RHEL8提供Node.js10。
(BZ#1622118)SWIG中的显著变化RHEL8包含简化的wrapper和InterfaceGenerator(SWIG)版本3.0,它比RHEL7中发布的版本2.0提供了大量新功能、增强和程序错误修复。
最值得注意的是,实现了对C++11标准的支持。
SWIG现在也支持Go1.6、PHP7、Octave4.2和Python3.5。
(BZ#1660051) 27 RedHatEnterpriseLinux88.0发行注记 Apachehttpd中的显著变化RHEL8随ApacheHTTP服务器2.4.37一起发布。
此版本在RHEL7中对httpd进行了以下更改: HTTP/2支持现在由mod_http2软件包提供,这是httpd模块的一部分。
mod_md软件包现在支持使用自动证书管理环境(ACME)协议进行自动TLS证书置备和续订(用于Let的加密)ApacheHTTP服务器现在支持直接从PKCS#11模块的硬件安全令牌加载TLS证书和私钥。
现在,mod_ssl配置可以使用PKCS#11URL来标识TLS私钥,也可选择使用SSLCertificateKeyFile和SSLCertificateFile指令中的TLS证书。
默认情况下,使用ApacheHTTP服务器配置的多处理模块(MPM)从多进程(称为prefork)的派生模型更改为高性能多线程模型事件。
任何不是线程的第三方模块都需要被替换或删除。
要更改配置的MPM,请编辑/etc/httpd/conf.modules.d/00-mpm.conf文件。
有关详细信息,请参见httpd.conf
(5)手册页。
有关httpd及其用法的更改的更多信息,请参阅设置ApacheHTTPWeb服务器。
(BZ#1632754,BZ#1527084,BZ#1581178)RHEL提供了新的nginxweb服务器RHEL8引入了nginx1.14,这是支持HTTP和其他协议的Web和代理服务器,其重点在于高并发性、性能和低内存用量。
nginx以前仅作为SoftwareCollection提供。
nginxweb服务器现在支持直接从PKCS#11模块的硬件安全令牌加载TLS私钥。
因此,nginx配置可以使用PKCS#11URL来识别ssl_certificate_key指令中的TLS私钥。
(BZ#1545526)RHEL8中的数据库服务器RHEL8提供以下数据库服务器: MySQL8.0,一个多用户、多线程SQL数据库服务器。
它由MySQL服务器守护进程(mysqld)和多个客户端程序组成。
MariaDB10.3,一个多用户、多线程SQL数据库服务器。
就所有实际用途而言,MariaDB与MySQL二进制兼容。
PostgreSQL10和PostgreSQL9.6,一种高级对象关系数据库管理系统(DBMS)。
redis5,高级键值存储。
它通常被称为数据结构服务器,因为键可以包含字符串、散列、列表、集合和排序的集合。
Redis在RHEL中第一次提供。
请注意,RHEL8.0中不包括NoSQLMongoDB数据库服务器,因为它使用服务器幻灯片公共许可证(SSPL)。
(BZ#1647908)MySQL8.0中的显著变化RHEL8提供了MySQL8.0,它提供以下改进: MySQL现在包含一个事务数据字典,用于存储数据库对象的信息。
MySQL现在支持角色,它们是特权的集合。
28 第5章RHEL8.0.0发行版本 默认字符集已从latin1改为utf8mb4。
添加了对通用表表达式(非递归和递归)的支持。
MySQL现在支持窗口功能,它使用相关行对查询中每一行执行计算。
InnoDB现在支持带有锁定读语句的NOWAIT和SKIPLOCKED选项。
改进了与GIS相关的功能。
JSON功能已被改进。
新的mariadb-connector-c软件包为MySQL和MariaDB提供通用客户端库。
此库可用于任何版本的MySQL和MariaDB数据库服务器。
因此,用户可以将一个应用程序构建连接到RHEL8发布的任何MySQL和MariaDB服务器。
此外,随RHEL8发布的MySQL8.0服务器被配置为使用mysql_native_password作为默认身份验证插件,因为RHEL8中的客户端工具和库与caching_sha2_password方法不兼容,这在上游MySQL8.0版本中默认使用。
要将默认身份验证插件更改为caching_sha2_password,请编辑/etc/f.d/f文件: [mysqld]default_authentication_plugin=caching_sha2_password (BZ#1649891,BZ#15¼
0,BZ#1631400)MariaDB10.3的显著变化与RHEL7提供的版本5.5相比,MariaDB10.3提供了多个新功能,例如: 常见表表达式system-versioned表FOR循环不可见的栏序列InnoDB的即时ADDCOLUMN独立于存储引擎的栏压缩并行复制多源复制此外,新的mariadb-connector-c软件包为MySQL和MariaDB提供通用客户端库。
此库可用于任何版本的MySQL和MariaDB数据库服务器。
因此,用户可以将一个应用程序构建连接到RHEL8发布的任何MySQL和MariaDB服务器。
其他显著变化包括:MariaDBGalera集群(一个同步的多master集群)现在是MariaDB的标准部分。
29 RedHatEnterpriseLinux88.0发行注记 InnoDB是默认存储引擎,而不是XtraDB。
已删除mariadb-bench子包。
默认允许插件成熟度等级已改为比服务器成熟度低一个等级。
因此,在之前使用的,但成熟度较低的插件将不再加载。
另请参阅在RedHatEnterpriseLinux8中使用MariaDB。
(BZ#1637034,BZ#15¼
0,BZ#1688374)PostgreSQL中的显著变化RHEL8.0提供了两个版本的PostgreSQL数据库服务器,分布在postgresql模块的两个流中:PostgreSQL10(默认流)和PostgreSQL9.6。
RHEL7包含PostgreSQL版本9.2。
PostgreSQL9.6中的显著变化是:可以并行执行的顺序操作:scan、join和aggregate同步复制的改进改进了全文本搜索功能用于使用短语进行搜索postgres_fdw数据联合驱动程序现在支持远程加入、排序、UPDATE和DELETE操作显著提高性能,特别是在多CPU套接字服务器上的可扩展性方面PostgreSQL10的主要改进包括:使用publish和subscribe关键字进行逻辑复制基于SCRAM-SHA-256机制更强大的密码身份验证声明性表分区改进了查询并行性显著的常规性能改进改进了监控和控制另请参阅在RedHatEnterpriseLinux8中使用PostgreSQL。
(BZ#1660041)Squid中的显著变化RHEL8.0提供了Squid4.4,它是一个用于Web客户端的高性能代理缓存服务器,它支持FTP、Gopher和HTTP数据对象。
与RHEL7提供的版本3.5相比,这个版本包括的新功能、改进和程序错误修复。
主要变更包括:可配置的helper队列大小对helper并发频道的更改 30 第5章RHEL8.0.0发行版本 更改helper二进制文件安全互联网内容适配器协议(ICAP)改进了对SymmetricMultiProcessing(SMP)的支持改进的进程管理删除了对SSL的支持删除了EdgeSideInudes(ESI)自定义解析程序多配置更改(BZ#1656871)RHEL提供了新的VarnishCacheRHEL首次提供了VarnishCache,它是一个高性能HTTP反向代理。
之前,它只通过SoftwareCollection提供。
Varnish缓存将文件或文件片段存储在内存中,用于减少未来对等请求的响应时间和网络带宽消耗。
RHEL8.0提供了VarnishCache6.0。
(BZ#1633338) 5.1.8.GNOMEShell,RHEL8中的3.28版本 GNOMEShell在RedHatEnterpriseLinux(RHEL)8中提供3.28版本。
主要改进包括:新的GNOMEBoxes功能新屏幕键盘扩展设备支持,最重要的是Thunderbolt3接口的集成GNOME软件、dconf-editor和GNOMETerminal的改进 (BZ#1649404)Wayland是默认的显示服务器在RedHatEnterpriseLinux8中,GNOME会话和GNOME显示管理器(GDM)使用Wayland作为其默认显示服务器,而不是服务器,这些服务器与之前的RHEL主版本一起使用。
Wayland与X相比,提供多种优势和改进。
最值得注意的是: 更强大的安全模式改进了多显示器处理改进了用户界面(UI)扩展桌面可以直接控制窗口处理。
请注意,以下功能目前不可用,或者无法按预期工作:Wayland不支持多GPU设置。
31 RedHatEnterpriseLinux88.0发行注记 NVIDIA二进制驱动程序在Wayland下无法正常工作。
xrandr实用程序不会在Wayland下工作,因为其处理、解决方案、轮转和布局的方法不同。
请注意,操控屏幕的其他实用程序在Wayland下也无法工作。
屏幕记录、远程桌面和可访问性在Wayland下并不总是能正常工作。
没有可用的剪贴板管理器。
Wayland忽略X11应用发布的键盘grab,如虚拟机查看器。
客户机虚拟机(VM)中的Wayland具有稳定性和性能问题,因此建议在虚拟环境中使用X11会话。
如果您从使用GNOME会话的RHEL7系统升级到RHEL8,则您的系统将继续使用。
使用以下图形驱动程序时,系统还会自动回退到:NVIDIA二进制驱动程序cirrus驱动程序mga驱动程序一个速度驱动程序 您可以手动禁用Wayland的使用:要在GDM中禁用Wayland,请在/etc/gdm/custom.conf文件中设置WaylandEnable=false选项。
要在GNOME会话中禁用Wayland,请在输入登录名称后使用登录屏幕上的cogwheel菜单来选择旧的X11选项。
有关Wayland的详情,请参考/。
(BZ#1589678)查找默认未启用的软件仓库中的RPM软件包默认情况下不启用桌面的其他存储库。
禁用通过对应的.repo文件中的enabled=0行来指示。
如果您尝试使用PackageKit从此类存储库安装软件包,PackageKit会显示错误消息,指出该应用不可用。
要使软件包可用,请将之前在对应.repo文件中的enabled=0行替换为enabled=
1。
(JIRA:RHELPLAN-2878)GNOMESofware用于软件包管理在红帽企业Linux7的图形环境中,提供一组工具来管理软件包的Thegnome-packagekit软件包不再可用。
在RedHatEnterpriseLinux8中,GNOMESoftware工具程序提供了类似的功能,它可让您安装和更新应用程序及gnome-shell扩展。
GNOME软件在gnome-software软件包中分发。
(JIRA:RHELPLAN-3001)Wayland上的GNOMEShell提供部分扩展在Wayland会话上的GNOMEShell中,部分扩展功能可用。
该功能使得按部分扩展GUI成为可能,这可以提高特定显示器上扩展的GUI的外观。
请注意,这个功能当前被视为实验性功能,因此在默认情况下是禁用的。
32 第5章RHEL8.0.0发行版本 要启用分数扩展,请运行以下命令: #gsettings.gnome.mutterexperimental-features"['scale-monitor-framebuffer']" (BZ#1668883) 5.1.9.硬件启用使用fwupd进行固件更新可用 RHEL8支持固件更新,如UEFI胶囊、设备固件升级(DFU)等,使用fwupd守护进程。
守护进程允许会话软件自动更新本地计算机上的设备固件。
要查看和应用更新,您可以使用: GUI软件管理器,如GNOME软件fwupdmgr命令行工具元数据文件从Linux供应商固件服务(LVFS)安全门户自动下载,并通过D-Bus提交至fwupd。
需要应用的更新将下载,显示用户通知和更新详细信息。
用户必须在执行更新前明确同意固件更新操作。
请注意,默认禁用对LVFS的访问。
要启用对LVFS的访问,请单击GNOME软件源对话框中的滑块,或者运行fwupdmgrenable-remotelvfs命令。
如果您使用fwupdmgr获取更新列表,系统会询问您是否要启用LVFS。
通过LVFS的访问权限,您将直接从硬件供应商获得固件更新。
请注意,这些更新尚未由红帽QA验证。
(BZ#1504934)完全支持OptaneDCPersistentMemory技术的内存模式IntelOptaneDC持久内存存储设备提供数据中心级别的持久内存技术,这可以显著提高事务吞吐量。
要使用内存模式技术,您的系统不需要任何特殊驱动程序或特定认证。
内存模式对操作系统是透明的。
(BZ#1718422) 5.1.10.IdentityManagement目录服务器中的新密码语法检查 此增强为目录服务器添加新密码语法检查。
例如,管理员可以启用字典检查,允许或拒绝使用字符序列和像素组。
因此,如果启用,Directory服务器中的密码策略语法检查会强制执行更安全的密码。
(BZ#1334254)目录服务器现在提供改进的内部操作日志记录支持目录服务器中的几个操作由服务器和客户端发起,在后台执行其他操作。
在以前的版本中,服务器只为内部连接关键字记录,操作ID始终设置为-
1。
在这个版本中,Directory服务器会记录真正的连接和操作ID。
现在,您可以将内部操作跟踪到导致此操作的服务器或客户端操作。
(BZ#1358706)tomcatjss库支持使用AIA扩展中的响应器进行OCSP检查 33 RedHatEnterpriseLinux88.0发行注记 在这个版本中,tomcatjss库支持使用来自证书的颁发机构信息访问(AIA)扩展的响应者进行在线证书状态协议(OCSP)检查。
因此,红帽认证系统的管理员可以配置使用AIA扩展中的URL的OCSP检查。
(BZ#1636564) pkisubsystem-cert-find和pkisubsystem-cert-show命令现在显示证书的序列号在这个版本中,证书系统中的pkisubsystem-cert-find和pkisubsystem-cert-show命令在其输出中显示证书的序列号。
序列号是重要的信息,通常由多个其他命令要求。
因此,现在更容易识别证书的序列号。
(BZ#1566360) 在证书系统中已弃用pkiuser和pki组命令在这个版本中,新的pki-user和pki-group命令替换了CertificateSystem中的pkiuser和pkigroup命令。
替换的命令仍有效,但它们显示命令已弃用并引用新命令的消息。
(BZ#1394069) 证书系统现在支持系统证书离线续订在这个版本中,管理员可以使用脱机续订功能续订证书系统中配置的系统证书。
当系统证书过期时,证书系统无法启动。
因为这个改进,管理员不再需要临时解决方案来替换过期的系统证书。
(BZ#1669257) 证书系统现在可以为外部CA签名使用SKI扩展创建CSR在这个版本中,证书系统支持为外部证书颁发机构(CA)签名使用对象密钥标识符(SKI)扩展创建证书签名请求(CSR)。
某些CA需要使用特定值或派生自CA公钥的扩展。
现在,管理员可以使用传递给pkispawn实用程序的配置文件中的pki_req_ski参数来创建带有SKI扩展名的CSR。
(BZ#1656856) SSSD不再使用[nss]部分中的fallback_homedir值作为AD域的回退在RHEL7.7之前,ActiveDirectory(AD)供应商中的SSSDfallback_homedir参数没有默认值。
如果没有设置fallback_homedir,则使用SSSD代替/etc/sssd/sssd.conf文件中的[nss]部分中的同一参数的值。
为提高安全性,RHEL7.7中的SSSD引入了fallback_homedir的默认值。
因此,SSSD不再回退到[nss]部分中设置的值。
如果要使用与AD域中fallback_homedir参数的默认值不同的值,您必须在域的部分中手动设置它。
(BZ#1652719) SSSD现在允许您选择多个智能卡验证设备之一默认情况下,系统安全服务后台程序(SSSD)会尝试自动检测智能卡身份验证的设备。
如果连接了多个设备,SSSD会选择它检测到的第一个设备。
因此,您无法选择特定的设备,有时会导致失败。
在这个版本中,您可以为sssd.conf配置文件的[pam]部分配置一个新的p11_uri选项。
这个选项允许您定义用于智能卡验证的设备。
例如,要选择一个由OpenSCPKCS#11模块检测到插槽ID2的读取器,请添加: p11_uri=library-description=OpenSC%20smartcard%20framework;slot-id=2 sssd.conf的[pam]部分: 34 第5章RHEL8.0.0发行版本 详情请查看mansssd.conf页面。
(BZ#1620123) 本地用户由SSSD缓存并通过thenss_sss模块提供在RHEL8中,系统安全服务守护进程(SSSD)默认为/etc/passwd和/etc/groups文件中的用户和组提供服务。
sssnsswitch模块先于/etc/nsswitch.conf中的文件。
通过SSSD为本地用户提供服务的好处在于,ss_sss模块具有快速的内存映射缓存,与访问磁盘并在每个NSS请求中打开文件相比,可加快名称服务切换(NSS)查找速度。
在以前的版本中,名称服务缓存守护进程(nscd)帮助加快访问磁盘的过程。
但是,与SSSD并行使用nscd非常麻烦,因为SSSD和nscd使用自己的独立缓存。
因此,在设置中使用nscd(SSSD还为远程域的用户服务,如LDAP或ActiveDirectory)可能会导致无法预计的行为。
因此,在RHEL8中,本地用户和组的解析速度更快。
请注意,root用户永远不会被SSSD处理,因此root解析不会受到SSSD中的潜在错误的影响。
另请注意,如果SSSD没有运行,则ss_sss模块通过回退tonss_files来避免问题。
您不必以任何方式配置SSSD,文件域会被自动添加。
(JIRA:RHELPLAN-10439) KCM替换KEYRING作为默认的凭证缓存存储在RHEL8中,默认凭证缓存存储是Kerberos凭证管理器(KCM),它由sssd-kcmdeamon支持。
KCM克服了之前使用的KEYRING的限制,例如难以在容器化环境中使用,因为它没有命名空间,也无法查看和管理配额。
在这个版本中,RHEL8包含一个更适合容器化环境的凭证缓存,它为在以后的版本中构建更多功能提供了基础。
(JIRA:RHELPLAN-10440) ActiveDirectory用户现在可以管理身份管理在这个版本中,RHEL8允许作为IdentityManagement(IdM)组的成员为ActiveDirectory(AD)用户添加用户ID覆盖。
ID覆盖是指描述特定AD用户或组属性在特定ID视图中应如下所示的记录,本例中为默认信任视图。
更新后,IdMLDAP服务器可以为AD用户应用IdM组的访问控制规则。
AD用户现在可以使用IdMUI的自助服务功能,例如上传其SSH密钥或更改其个人数据。
AD管理员可以在没有两个不同的帐户和密码的情况下完全管理IdM。
请注意,当前IdM中选定的功能可能仍对AD用户不可用。
(JIRA:RHELPLAN-10442) sssctl为IdM域打印HBAC规则报告在这个版本中,SystemSecurityServicesDaemon(SSSD)的sssctl实用程序可以打印IdentityManagement(IdM)域的访问控制报告。
此功能满足特定环境的需求,出于法规原因,查看可访问特定客户端计算机的用户和组列表。
在IdM客户端上运行sssctless-reportdomain_name会输出应用于客户端计算机的IdM域中的基于主机的访问控制(HBAC)规则的解析子集。
请注意,除了IdM外,其它供应商都不支持这个特性。
(JIRA:RHELPLAN-10443) 身份管理软件包作为模块提供在RHEL8中,安装IdentityManagement(IdM)服务器和客户端所需的软件包作为一个模块提供。
客户端流是idm模块的默认流,您可以在不启用流的情况下下载安装客户端所需的软件包。
35 RedHatEnterpriseLinux88.0发行注记 IdM服务器模块流称为DL1流。
流包含多个与不同类型的IdM服务器对应的配置集:server、dns、adtrust、client和default。
要在DL1流的特定配置集中下载软件包:
1.启用流。
2.切换到通过流提供的RPM。
3.运行yum模块installidm:DL1/profile_name命令。
在启用了特定流并从中下载软件包后,要切换到新的模块流:
1.删除所有相关安装内容,并禁用当前的模块流。
2.启用新模块流。
(JIRA:RHELPLAN-10438)为RHEL8添加了会话记录解决方案在RedHatEnterpriseLinux8(RHEL8)添加了记录会话记录解决方案。
新的tlog软件包及其关联的Web控制台会话播放器启用,以记录和回放用户终端会话。
可以通过SystemSecurityServicesDaemon(SSSD)服务针对每个用户或用户组配置记录。
所有终端输入和输出都会捕获并存储在系统日志中基于文本的格式。
出于安全原因,输入默认为不活动,因为安全原因不会截获原始密码和其他敏感信息。
该解决方案可用于审核安全敏感系统上的用户会话。
如果出现安全问题,可以检查记录的会话作为分析的一部分。
系统管理员现在可以在本地配置会话记录,并使用tlog-play工具从RHEL8web控制台界面或通过命令行界面查看结果。
(JIRA:RHELPLAN-1473)authselect简化了用户身份验证的配置在这个版本中引进了authselect工具,它简化了RHEL8主机的用户身份验证配置,替换了authconfig工具程序。
authselect提供了一种更安全的PAM堆栈管理方法,使系统管理员PAM配置更改变得更加简单。
Authselect可用于配置身份验证方法,如密码、证书、智能卡和指纹。
请注意,authselect不配置加入远程域所需的服务。
此任务由特殊工具执行,比如realmd或ipa-client-install。
(JIRA:RHELPLAN-10445)SSSD现在默认强制使用ADGPOsSSSD选项ad_gpo_ess_control的默认设置现在是enforcing。
在RHEL8中,SSSD默认根据ActiveDirectoryGroup策略对象(GPO)强制实施访问控制规则。
红帽建议确保在从RHEL7升级到RHEL8前,在ActiveDirectory中正确配置GPO。
如果您不想强制执行GPOs,请将/etc/sssd/sssd.conf文件中的ad_gpo_ess_control选项的值改为permissive。
(JIRA:RHELPLAN-51289) 5.1.11.编译器和开发工具将更新至版本1.66 BoostC++库已更新至上游版本1.66。
红帽企业Linux7中包含的Boost版本为1.53。
详情请查看上游changelogs:/users/history/在这个版本中引进了与以前版本的兼容性更改: 36 第5章RHEL8.0.0发行版本 splay容器中的bs_set_hook()函数、splay_set_hook()函数,以及Intrusive库中的splaytree_algorithms()功能中的boolsplaysplay_set_hook()函数已被删除。
解析者不再支持JSON文件中的注释或字符串串联。
Math库中的一些发行版和特殊函数已被修复,可以像记录一样运作,并引发overflow_error,而不是返回最大有限值。
Math库中的一些标头已移到libs/math/include_private目录中。
Regex<>::mark_count()和basic_regex<>::subexpression(n)函数的行为已改为与其文档匹配。
在变体库中使用变量模板可能会破坏元编程函数。
boost::python::numericAPI已被删除。
用户可以改为使用boost::python::numpy。
Atomic库中不再提供指向非对象类型的指针的算术运算。
(BZ#1494495)Unicode11.0.0支持红帽企业Linux核心C库glibc已更新,以支持Unicode标准版本11.0.0。
因此,所有宽度字符和多字节字符API包括字符集之间的转换和转换提供符合此标准的准确和正确的信息。
(BZ#1512004)boost软件包现在独立于Python在这个版本中,安装boost软件包不再安装Boost.Python库作为依赖项。
要使用Boost.Python,您需要显式安装boost-python3或boost-python3-devel软件包。
(BZ#1616244)提供了新的pat-libgfortran-48软件包为了与使用Fortran库的红帽企业Linux6和7应用程序兼容,现在提供了一个新的pat-libgfortran48兼容性软件包,它提供了libgfortran.so.3库。
(BZ#1607227)GCC中的Retpoline支持在这个版本中,增加了对GCC的retpoline的支持。
反转线是内核所使用的软件结构,用于减少减少CVE-2017-5715中描述的SpectreVariant2攻击的开销。
(BZ#1535774)增强了对工具链组件中的64位ARM架构的支持工具链组件GCC和binutils现在为64位ARM架构提供扩展支持。
例如:GCC和binutils现在支持可扩展Vector扩展(SVE)。
GCC添加了对ARMv8.2提供的FP16数据类型的支持。
FP16数据类型提高了特定算法的性能。
binutils中的工具现在支持ARMv8.3架构定义,包括PointerAuthentication。
Pointer 37 RedHatEnterpriseLinux88.0发行注记 binutils中的工具现在支持ARMv8.3架构定义,包括PointerAuthentication。
PointerAuthentication功能可通过设计自己的功能指针防止恶意代码破坏程序或内核的正常执行。
因此,仅在分支到代码中的不同位置时使用可信地址,这样可以提高安全性。
(BZ#1504980,BZ#1550501,BZ#1504995,BZ#1504993,BZ#1504994)IBMPOWER系统的glibc优化这个版本提供了一个新版本的glibc,它针对IBMPOWER8和IBMPOWER9架构进行了优化。
因此,IBMPOWER8和IBMPOWER9系统现在会在运行时自动切换到适当的优化glibc变体。
(BZ#1376834)GNUC库更新至2.28版本RedHatEnterpriseLinux8包含GNUC库(glibc)的版本2.28。
主要改进包括: 安全强化功能:安全标有AT_SECURE标志的二进制文件忽略LD_LIBRARY_PATH环境变量。
检查故障的堆栈不再打印回溯追踪,从而加快关机并避免在受到影响的环境中运行更多代码。
性能改进:通过线程本地缓存提高了malloc()函数的性能。
添加GLIBC_TUNABLES环境变量,以改变库性能特性。
线程信号信号的实现已被改进,并添加了新的可扩展pthread_rwlock_xxx()功能。
数学库的性能有所改进。
添加了对Unicode11.0.0的支持。
改进了对由ISO/IEC/IEEE60559:2011、IEEE754-2008和ISO/IECTS18661-3:2015标准定义的128位浮动点数的支持。
与/etc/resolv.conf配置文件相关的域名服务(DNS)根解析器改进: 更改文件时将自动重新加载配置。
添加了对任意数量的搜索域的支持。
为rotate选项添加了正确的随机选择。
添加了新的开发功能,包括:用于preadv2和pwritev2内核调用的Linux打包程序功能包括reallocarray()和显式_bzero()的新函数.posix_spawnattr_setflags()函数的新标志,如POSIX_SPAWN_SETSID(BZ#1512010,BZ#1504125,BZ#506398)RHEL中可用的CMake在RedHatEnterpriseLinux8中提供了CMake构建系统版本3.11作为cmake软件包。
38 第5章RHEL8.0.0发行版本 (BZ#1590139,BZ#1502802) 成为4.2.1版本RedHatEnterpriseLinux8带有make构建工具版本4.2.1。
主要变更包括: 当方法失败时,会显示方法的makefile的名称和行号。
添加了--trace选项来启用目标追踪。
当使用此选项时,会先打印每个方法,即使这个方法的文件名和行号被禁止,以及该方法所在的行号,以及导致调用它的前提条件。
混合显式和隐式规则不再会导致终止执行。
相反,会输出警告信息。
请注意,此语法已被弃用,未来可能会完全删除。
$(file…)功能已被添加来将文本写入到文件中。
如果不使用文本参数调用,则仅打开并立即关闭文件。
新选项--output-sync或-O可使每个作业对多个作业的输出进行分组,从而简化并行构建的调试。
--debug选项现在也接受n(无)标记来禁用当前启用的所有调试设置。
!
=shell分配运算符已添加为$(shell…)功能的替代选择,以提高与BSDmakefile的兼容性。
有关运算符和函数之间的更多详细信息和不同之处,请参阅GNUmakemanual。
请注意,名称以感叹号结尾且紧接分配的变量(如variable!
=value)现在被解释为新语法。
要恢复之前的行为,请在声明标记后添加一个空格,比如variable!
=value。
添加了POSIX标准定义的::=分配操作器。
指定.POSIX变量时,请观察POSIX标准要求来处理反斜杠和新行。
在此模式下,保留反斜杠之前的任何尾随空格,每个反斜杠加上新行并将空格字符转换为单个空格字符。
现在更精确地定义了MAKEFLAGS和MFLAGS变量的行为。
解析新变量GNUMAKEFLAGS,用于使标志与MAKEFLAGS相同。
因此,GNUmake-特定标志可以存储在MAKEFLAGS之外,而makefile的可移植性也会提高。
添加了包含主机架构的新变量MAKE_HOST。
新变量MAKE_TERMOUT和MAKE_TERMERR指示make是否向终端写入标准输出和错误。
在makefile中的MAKEFLAGS变量中设置-r和-R选项现在可以正常工作,并分别删除所有内置规则和变量。
现在,每个配方都记得.RECIPEPREFIX设置。
此外,在该方法中扩展的变量也使用该方法前缀设置。
-p选项的输出中会显示.RECIPEPREFIX设置和所有特定于目标的变量,就像在makefile中一样,而不是注释。
(BZ#1641015) SystemTap版本4.0RedHatEnterpriseLinux8使用SystemTap工具工具版本4.0进行发布。
主要改进包括: 扩展的BerkeleyPacket过滤器(eBPF)后端已被改进,特别是字符串和功能。
若要使用此后端,请使用--runtime=bpf选项启动SystemTap。
39 RedHatEnterpriseLinux88.0发行注记 添加了一个新的导出网络服务,用于Prometheus监控系统。
系统调用探测实施已被改进,必要时可使用内核追踪点。
(BZ#1641032)binutils版本2.30中的改进RedHatEnterpriseLinux8包含binutils软件包的版本2.30。
主要改进包括: 改进了对新的IBMZ架构扩展的支持。
链接器: 默认情况下,链接器将代码和只读数据放在单独的片段中。
因此,创建的可执行文件更大且更易于运行,因为动态加载器可以禁用任何包含只读数据的内存页面的执行。
添加了对GNU属性说明的支持,该注释为动态加载器提供有关二进制文件的提示。
在以前的版本中,链接程序为IntelIndirectBranchTracking(IBT)技术生成无效的可执行代码。
因此,生成的可执行文件无法启动。
这个程序错误已被解决。
在以前的版本中,金链接器将属性备注合并,不正确。
因此,生成的代码中可能会启用错误的硬件功能,代码可能会意外终止。
这个程序错误已被解决。
在以前的版本中,金链接器使用末尾的padding字节创建备注部分,以便根据架构实现一致性。
由于动态加载器没有期望padding,所以coud会意外终止它正在加载的程序。
这个程序错误已被解决。
其他工具:readelf和objdump工具现在可以选择在单独的调试信息文件中追踪链接并在其中显示信息。
新的--inlines选项扩展objdump工具的现有--line-numbers选项,以显示内嵌功能的信息。
nm工具获得了一个新选项--with-version-strings,用于显示符号名称(若存在)之后的版本信息。
在assembler中添加了对ARMv8-R52、Cortex-M23和Cortex-M33处理器的支持。
(BZ#1641004,BZ#1637072,BZ#1501420,BZ#1504114,BZ#1614908,BZ#1614920)PerformanceCo-Pilot版本4.3.0RedHatEnterpriseLinux8提供了PerformanceCo-Pilot(PCP)版本4.3.0。
主要改进包括: pcp-dstat工具现在包含历史分析和Comma分隔的值(CSV)格式输出。
日志实用程序可以使用指标标签并帮助文本记录。
pmdaperfevent工具现在在较低SimultaneousMultiThreading(SMT)级别报告正确的CPU号码。
pmdapostgresql工具现在支持Postgresseries10.x。
pmdaredis工具现在支持Redis系列5.x。
通过动态进程过滤和按进程系统调用、ucalls和ustat增强了工具。
40 第5章RHEL8.0.0发行版本 pmdammv工具现在导出指标标签,格式版本增加到
3。
pmdagfs2工具支持额外的glock和glock拥有者指标。
对SELinux策略进行了几个修复。
(BZ#1641034)内存保护密钥在这个版本中,启用了允许每个线程页面保护标志更改的硬件功能。
为pkey_alloc()、pkey_free()和pkey_mprotect()功能添加了新的glibc系统调用打包程序。
此外,添加了pkey_set()和pkey_get()函数,以允许访问每个线程保护标志。
(BZ#1304448)GCC现在默认为IBMZ中的z13在这个版本中,IBMZ架构代码中的默认GCC为z13处理器构建代码,并为z14处理器调整代码。
这等同于使用-march=z13和-mtune=z14选项。
用户可以通过使用目标架构和调整选项来显式覆盖此默认设置。
(BZ#1571124)elfutils更新至版本0.174在RedHatEnterpriseLinux8中,selfutils软件包包括在0.174版中。
主要变更包括: 在以前的版本中,eu-readelf工具可能会显示一个带有负值的变量,就像它有一个很大的未签名值,或者以负值的形式显示一个大的未签名值。
这已被修正,eu-readelf现在会查找恒定值类型的大小和签名状态,以正确显示它们。
libdw库中添加了用于read.debug_line数据的新函数dwarf_next_lines()。
此功能可用作dwarf_getsrclines()和dwarf_getsrcfiles()函数的替代选择。
在以前的版本中,带有超过65280部分的文件可能会导致libelf和libdw库以及所有使用它们的工具出现错误。
这个程序错误已被解决。
因此,ELF文件标头中的扩展shnum和shstrndx值会被正确处理。
(BZ#1641007)Valgrind更新至3.14版本RedHatEnterpriseLinux8使用Valgrind可执行代码分析工具3.14。
主要变更包括: 添加了一个新的--keep-debuginfo选项,用于为卸载的代码保留调试信息。
因此,保存的堆栈跟踪可以包含内存中不再存在的代码的文件和行信息。
添加了基于源文件名和行号的压缩。
Helgrind工具已使用--delta-stacktrace选项进行了扩展,以指定完整历史记录堆栈跟踪的计算。
值得注意的是,将这个选项与--history-level=full结合使用可以将Helgrind的性能提升高达25%。
在Memcheck工具中,Intel和AMD64位arcitects上优化的代码和ARM64位构架的正率已被降低。
请注意,您可以使用--expensive-definedness-checks来控制定义的检查处理,并通过牺牲性能提高速率。
Valgrind现在可以识别IBMPowerSystems的little-endian变体的更多指令。
41 RedHatEnterpriseLinux88.0发行注记 Valgrind现在可以处理IBMZ架构z13处理器的大部分整数和字符串向量指令。
有关新选项及其已知限制的更多信息,请参阅valgrind
(1)手册页。
(BZ#1641029,BZ#1501419)GDB版本8.2RedHatEnterpriseLinux8带有GDBdebugger版本8.2Notable更改,其中包括: IPv6协议支持使用GDB和gdbserver进行远程调试。
改进了在没有调试信息的情况下进行调试。
GDB用户界面中的符号补全已被改进,通过使用更多语法结构(如ABI标签或命名空间)来提供更好的建议。
现在可以在后台执行命令。
现在,可以使用Rust编程语言创建的调试程序。
C和C++语言的调试通过解析器支持_instof和matchof运算符、C++rvalue引用和C99变量长度自动数组而有所改进。
GDB扩展脚本现在可以使用Guile脚本语言。
新的API功能、帧解码器、过滤器和解压器改进了扩展的Python脚本语言接口。
另外,GDB配置的.debug_gdb_s
目录 目录 对...红..帽..文..档..提..供..反..馈............................................................................................5............. 第...1.章...概..述....................................................................................................6............. 分发
6 软件管理
6 Shell和命令行工具
6 动态编程语言、网页和数据库服务器
6
6 安装程序和镜像创建
6 内核
7 文件系统和存储
7 安全性
7 网络
7 虚拟化
7 编译器和开发工具
8 高可用性和集群
8 其它资源
8 红帽客户门户网站
Labs
8 第...2..章..构..架...................................................................................................1.0............. 第...3..章...R.H..E.L..8.中...的..内..容..发..布...................................................................................1.1............ 3.1.安装 11 3.2.软件仓库 11 3.3.应用程序流 11 3.4.使用YUM/DNF管理软件包 12 第...4..章...R.H..E.L..8...0...1.发..行..版..本...................................................................................1.3............. 4.1.新特性 13 4.2.已知问题 14 第...5..章..R..H.E..L..8...0..0..发..行...版..本..................................................................................1.5............. 5.1.新特性 15 5.1.1.Web控制台 15 5.1.2.安装程序和镜像创建 16 5.1.3.内核 18 5.1.4.软件管理 20 5.1.5.基础架构服务 22 5.1.6.Shell和命令行工具 24 5.1.7.动态编程语言、网页和数据库服务器 25 5.1.8. 31 5.1.9.硬件启用 33 5.1.10.IdentityManagement 33 5.1.11.编译器和开发工具 36 5.1.12.文件系统和存储 45 5.1.13.高可用性和集群 49 5.1.14.网络 52 5.1.15.安全性 60 5.1.16.虚拟化 72 5.1.17.支持性 77 5.2.程序错误修复 77 5.2.1. 77
1 RedHatEnterpriseLinux88.0发行注记 5.2.2.图形基础结构 77 5.2.3.IdentityManagement 77 5.2.4.编译器和开发工具 78 5.2.5.文件系统和存储 79 5.2.6.高可用性和集群 80 5.2.7.网络 81 5.2.8.安全性 82 5.2.9.订阅管理 82 5.2.10.虚拟化 82 5.3.技术预览 83 5.3.1.内核 83 5.3.2.图形基础结构 85 5.3.3.硬件启用 85 5.3.4.IdentityManagement 86 5.3.5.文件系统和存储 87 5.3.6.高可用性和集群 90 5.3.7.网络 90 5.3.8.RedHatEnterpriseLinux系统角色 92 5.3.9.虚拟化 92 5.4.过时的功能 94 5.4.1.安装程序和镜像创建 95 5.4.2.文件系统和存储 96 5.4.3.网络 97 5.4.4.内核 98 5.4.5.安全性 98 5.4.6.虚拟化 99 5.4.7.已弃用的软件包 99 5.5.已知问题 100 5.5.1.Web控制台 101 5.5.2.安装程序和镜像创建 101 5.5.3.内核 103 5.5.4.软件管理 107 5.5.5.基础架构服务 107 5.5.6.Shell和命令行工具 108 5.5.7.动态编程语言、网页和数据库服务器 109 5.5.8. 110 5.5.9.图形基础结构 111 5.5.10.硬件启用 112 5.5.11.IdentityManagement 112 5.5.12.编译器和开发工具 117 5.5.13.文件系统和存储 118 5.5.14.网络 119 5.5.15.安全性 122 5.5.16.订阅管理 128 5.5.17.虚拟化 128 5.5.18.支持性 130 第...6..章..容...器..的..显..著..变..化........................................................................................13..1............ 第...7..章..国..际...化...............................................................................................1.3.3............. 7.1.REDHATENTERPRISELINUX8国际语言 133 7.2.RHEL8中国际化的显著变化 133 附...录..A....按..组..件..划..分..的..问...题..单..列..表..............................................................................1.3.5.............
2 目录致...谢.........................................................................................................14..1............附...录..B....修..订..历..史..记..录.........................................................................................1.4.2.............
3 RedHatEnterpriseLinux88.0发行注记
4 对红帽文档提供反馈 对红帽文档提供反馈 我们感谢您对文档提供反馈信息。
请让我们了解如何改进文档。
要做到这一点:关于特定内容的简单评论,请确定您使用多页HTML格式查看文档。
用鼠标指针高亮显示您想评论的文本部分。
然后点击在高亮文本下面出现的添加反馈,然后按照显示的步骤操作。
要提交更复杂的反馈,请创建一个Bugzillaticket:
1.进入Bugzilla网站。
2.在Component中选择Documentation。
3.在Description中输入您要提供的信息。
包括文档相关部分的链接。
4.点SubmitBug。
5 RedHatEnterpriseLinux88.0发行注记 第1章概述 基于Fedora28和上游内核4.18,RedHatEnterpriseLinux8.0为用户提供了跨混合云部署的一个稳定、安全、一致的基础,以及支持传统和新兴工作负载所需的工具。
该版本的主要内容包括: 分发 内容可以通过BaseOS和应用程序流(AppStream)存储库获得。
AppStream存储库支持传统RPM格式-模块的新扩展。
这允许可安装一个组件的多个主版本。
如需更多信息,请参阅第3章RHEL8中的内容发布。
软件管理 YUM软件包管理器现在基于DNF技术,为模块化内容、更高的性能以及与工具集成的设计良好的稳定API提供支持。
详情请查看第5.1.4节“软件管理”。
Shell和命令行工具 RHEL8提供如下版本控制系统:Git2.18、Mercurial4.8和Subversion1.10。
详情请查看?
。
动态编程语言、网页和数据库服务器 Python3.6是RHEL8中默认的Python实现;对Python2.7提供了有限的支持。
默认情况下不安装任何Python版本。
RHEL中新增加了Node.js。
从RHEL7开始,其他动态编程语言已更新:PHP7.2、Ruby2.5、Perl5.26、SWIG3.0现已可用。
以下数据库服务器随RHEL8一起发布:MariaDB10.3、MySQL8.0、PostgreSQL10、PostgreSQL9.6和Redis5。
RHEL8提供了ApacheHTTPServer2.4并引进了新的WebServer,nginx1.14。
Squid已更新至版本4.4,现在包括了新的代理服务器:VarnishCache6.0。
如需更多信息,请参阅第5.1.7节“动态编程语言、网页和数据库服务器”。
GNOMEShell已更新至版本3.28。
GNOME会话和GNOME显示管理器将Wayland用作其默认显示服务器。
X.Org服务器(RHEL7中的默认显示服务器)也可用。
如需更多信息,请参阅第5.1.8节“”。
安装程序和镜像创建 Anaconda安装程序可以使用LUKS2磁盘加密,并可以在NVDIMM设备上安装该系统。
ImageBuilder工具允许用户创建各种格式的自定义系统镜像,包括准备在不同供应商的云上部
6 第1章概述 ImageBuilder工具允许用户创建各种格式的自定义系统镜像,包括准备在不同供应商的云上部署的镜像。
在RHEL8中,可以使用硬件管理控制台(HMC)和IBMZ上的支持元素(SE)从DVD进行安装。
详情请查看第5.1.2节“安装程序和镜像创建”。
内核 扩展的BerkeleyPacketFiltering(eBPF)功能使用户空间可以将自定义程序附加到各种点(套接字、追踪点、数据包接收)来接收和处理数据。
此功能作为技术预览提供。
BPF编译器集(BCC)是用于创建高效内核跟踪和操作程序的工具,可作为技术预览使用。
如需更多信息,请参阅第5.3.1节“内核”。
文件系统和存储 LUKS版本2(LUKS2)格式取代了传统的LUKS(LUKS1)格式。
dm-crypt子系统和cryptsetup工具现在使用LUKS2作为加密卷的默认格式。
如需更多信息,请参阅第5.1.12节“文件系统和存储”。
安全性 默认情况下应用系统范围的加密策略(该策略会配置核心加密子系统,包括TLS、IPsec、SSH、DNSSEC和Kerberos协议)。
通过新的update-crypto-policies命令,管理员可以轻松地在模式间切换:default、legacy、fution和fips。
现在,在系统中支持智能卡和带有PKCS#11的硬件安全模块(HSM)。
如需更多信息,请参阅第5.1.15节“安全性”。
网络 nftables框架替代了默认网络数据包过滤功能中的iptables。
firewalld守护进程现在使用nftables作为其默认后端。
引入了对IPVLAN虚拟网络驱动程序的支持,其对多个容器启用了网络连接。
eXpressDataPath(XDP)、用于流量控制(tc)的XDP和AddressFamilyeXpressDataPath(AF_XDP)作为扩展BerkeleyPacketFiltering(eBPF)功能的一部分,可作为技术预览来提供。
如需了解更多详细信息,请参阅第5.3.7节“网络”。
有关其他功能,请参阅第5.1.14节“网络”。
虚拟化 现在,在RHEL8中创建的虚拟机中,支持并自动配置一个基于PCIExpress的机器类型(Q35)。
这在功能和虚拟设备的兼容性方面提供了各种改进。
现在,可以使用RHEL8web控制台(也称为Cockpit)来创建和管理虚拟机。
QEMU模拟器引入了沙盒功能,其为调用QEMU的系统可以执行的操作提供了可配置的限制,从而使虚拟机更加安全。
如需更多信息,请参阅第5.1.16节“虚拟化”。
7 RedHatEnterpriseLinux88.0发行注记 编译器和开发工具 基于版本8.2的GCC编译器支持最新的C++标准版本、更好的优化、新的代码强化技术、改进的警告和新的硬件特性。
现在,各种用于代码生成、操作和调试的工具可以实验性地处理DWARF5调试信息格式。
一些工具(如BCC、PCP和SystemTap)提供了对eBPF跟踪的内核支持。
基于版本2.28的glibc库增加了对Unicode11、较新的Linux系统调用、DNS存根解析器的关键改进、额外的安全强化功能,以及改善性能方面的支持。
RHEL8提供了OpenJDK11、OpenJDK8、IcedTea-Web和各种Java工具,如Ant、Maven或Scala。
详情请查看第5.1.11节“编译器和开发工具”。
高可用性和集群 Pacemaker集群资源管理器已升级到上游版本2.0.0,其提供了许多程序错误修复和增强。
在RHEL8中,pcs配置系统完全支持Corosync3、和节点名称。
如需更多信息,请参阅第5.1.13节“高可用性和集群”。
其它资源 与其他版本系统相比,RedHatEnterpriseLinux8的能力和限制可在知识库文章RedHatEnterpriseLinux技术能力和限制中获得。
有关RedHatEnterpriseLinux生命周期的详情请查看RedHatEnterpriseLinux生命周期文档。
软件包清单文档为RHEL8提供软件包列表。
RHEL7和RHEL8的主要区别包括在使用RHEL8时的注意事项。
有关如何从RHEL7原位升级到RHEL8的说明,请参阅从RHEL7升级到RHEL8的文档。
有关当前支持的升级路径列表,请参阅支持的RedHatEnterpriseLinux原位升级路径。
RedHatInsights服务可让您主动发现、检查并解决已知的技术问题,所有RHEL订阅都可以使用它。
有关如何安装RedHatInsights客户端并将您的系统注册到该服务的说明,请查看RedHatInsights入门页面。
红帽客户门户网站Labs红帽客户门户网站Labs是客户门户网站的一个部分中的一组工具,地址为/labs/。
红帽客户门户网站Labs中的应用程序可帮助您提高性能、快速解决问题、发现安全问题以及快速部署和配置复杂应用程序。
一些最常用的应用程序有: RegistrationAssistant KickstartGenerator ProductLifeCycleChecker RedHatProductCertificates
8 RedHatSatelliteUpgradeHelperRedHatCVECheckerJVMOptionsConfigurationToolLoadBalancerConfigurationToolRedHatCodeBrowserYumRepositoryConfigurationHelper 第1章概述
9 RedHatEnterpriseLinux88.0发行注记 第2章构架 RedHatEnterpriseLinux8.0与内核版本4.18.0-80一同发布,它支持以下构架:AMD和Intel64位构架64位ARM架构IBMPowerSystems,LittleEndian64-bitIBMZ 请确定为每个构架购买正确的订阅。
如需更多信息,请参阅RedHatEnterpriseLinux入门-附加构架。
有关可用订阅列表,请查看客户门户网站中的订阅使用。
10 第3章RHEL8中的内容发布 第3章RHEL8中的内容发布 3.1.安装 RedHatEnterpriseLinux8使用ISO镜像安装。
AMD64、Intel64位、64位ARM、IBMPowerSystems和IBMZ架构有两种类型的ISO镜像: 二进制DVDISO:包含BaseOS和AppStream软件仓库的完整安装镜像,并允许您在没有附加软件仓库的情况下完成安装。
注意 二进制DVDISO镜像大于4.7GB,因此它可能不适用于单层DVD。
当使用二进制DVDISO镜像创建可引导安装介质时,建议使用双层DVD或者USB设备。
您还可以使用ImageBuilder工具创建自定义的RHEL镜像。
有关镜像构建器的更多信息,请参阅编写自定义的RHEL系统镜像文档。
引导ISO:用来引导到安装程序的最小引导ISO镜像。
这个选项需要访问BaseOS和AppStream软件仓库来安装软件包。
软件仓库是二进制DVDISO镜像的一部分。
有关下载ISO镜像、创建安装介质和完成RHEL安装的说明,请参阅执行标准RHEL安装文档。
有关自动的Kickstart安装和其他高级主题,请参阅执行高级RHEL安装文档。
3.2.软件仓库 RedHatEnterpriseLinux8由两个主要软件仓库发布: BaseOS AppStream 两个软件仓库都需要一个基本的RHEL安装,所有RHEL订阅都包括它们。
BaseOS仓库的内容旨在提供底层操作系统功能的核心组件,为所有安装提供基础操作系统的基础。
这部分内容采用RPM格式,它的支持条款与之前的RHEL版本相似。
有关通过BaseOS发布的软件包列表,请查看软件包清单。
ApplicationStream仓库的内容包括额外的用户空间应用程序、运行时语言和数据库来支持各种工作负载和使用案例。
ApplicationStreams(应用程序流)以熟悉的RPM格式,作为RPM格式的扩展,名为模块(modules),或作为SoftwareCollections(软件集合)。
有关AppStream中可用软件包列表,请查看软件包清单。
另外,所有RHEL订阅都可以使用CodeReadyLinuxBuilder软件仓库。
它为开发人员提供了额外的软件包。
不支持包括在CodeReadyLinuxBuilder存储库中的软件包。
有关RHEL8软件仓库的详情,请查看软件包清单。
3.3.应用程序流 RedHatEnterpriseLinux8引进了应用程序流(ApplicationStreams)的概念。
和操作系统软件包相比,现在为用户空间组件提供了多个版本且会更频繁地进行更新。
这为自定义RedHatEnterpriseLinux提供了更大的灵活性,不会影响平台或特定部署的基本稳定性。
作为ApplicationStreams提供的组件可打包为模块(module)或RPM软件包,并通过RHEL8中的 11 RedHatEnterpriseLinux88.0发行注记作为ApplicationStreams提供的组件可打包为模块(module)或RPM软件包,并通过RHEL8中的AppStream软件仓库提供。
每个ApplicationStream组件都有其特定的生命周期,可能和RHEL8的生命周期相同或更短。
详情请查看RedHatEnterpriseLinux生命周期。
模块是代表逻辑单元的软件包集合:应用程序、语言堆栈、数据库或一组工具。
这些软件包被一同构建、测试并发布。
模块流代表ApplicationStream组件的版本。
例如,PostgreSQL数据库服务器的几个流(版本)由带有默认的postgresql:10流的postgresql模块提供。
在系统中只能安装一个模块流。
不同的容器可以使用不同的版本。
详细的模块命令,请参考安装、管理和删除用户空间组件文档。
有关AppStream中可用模块列表,请查看软件包清单。
3.4.使用YUM/DNF管理软件包 在RedHatEnterpriseLinux8中,安装软件通过YUM工具进行,其基于DNF技术。
我们还会继续使用yum术语,以便与以前的RHEL主要版本保持一致。
但是,如果您键入dnf而不是yum,则命令可以正常工作,因为yum是dnf的别名以实现兼容性。
如需了解更多详细信息,请参阅以下文档: 安装、管理和删除用户空间组件使用RHEL8时的注意事项 12 第4章RHEL8.0.1发行版本 第4章RHEL8.0.1发行版本 4.1.新特性 RHEL系统角色已更新为RHEL子系统提供配置接口的rhel-system-roles软件包已更新。
主要变更包括: 改进了网络角色中缺失的配置文件的处理。
当通过将persistent状态设置为absent来删除现有的NetworkManageron-disk配置文件的配置时,现在只删除配置文件的持久配置,当前的运行时配置保持不变。
因此,在上述情况下,对应的网络设备不再失效。
为网络角色中的VLAN和MACVLAN接口指定最大传输单元(MTU)的大小已被修复。
因此,使用网络角色在VLAN和MACVLAN接口上设置MTU大小不再出现含有以下错误信息的失败: failure:createdconnectionfailedtonormalize:nm-connection-error-quark:connection.type:propertyismissing
(6) selinux和timesync角色现在将所有记录的输入变量包含在其默认文件中(defaults/main.yml)。
这样便可通过检查各自默认文件的内容来轻松地确定角色支持哪些输入变量。
kdump和timesync角色已被修复,在检查模式中不会失败。
(BZ#1685902,BZ#1674004,BZ#1685904)SOS-collectorrebase到版本1.7在RHEL8.0.1中,sos-collector软件包已更新至版本1.7。
主要变更包括:SOS-collector现在可以从RedHatEnterpriseLinuxCoreOS(RHCOS)节点收集sosreport,与从常规的RHEL节点收集sosreports的方式相同。
用户无需更改他们运行sos-collector的方式。
自动识别节点是RHCOS还是RHEL。
从RHCOS节点收集时,sos-collector将在节点上创建一个临时容器,并使用support-tools容器生成sosreport。
该容器将在完成后被移除。
使用--cluster-type=none选项时,用户可以跳过在节点上运行的sosreport命令的所有与集群相关的检查或修改,只需从通过--nodes参数传递的节点静态列表中收集。
RedHatSatellite现在是一个支持的集群类型,允许从Satellite和任何Capsules收集sosreport。
(BZ#1695764)升级的编译器工具集使用RHEL8.0.1升级了以下编译器工具集,作为ApplicationStreams分发: RustToolset,向1.35版本提供Rust编程语言编译器rustc、构建工具和依赖关系管理器以及所需的库GoToolset,它为版本1.11.6提供Go(golang)编程语言工具和库。
(BZ#1731500) 13 RedHatEnterpriseLinux88.0发行注记 启用和禁用SMTRHEL8现在提供了并发多线程(SMT)配置。
在web控制台中禁用SMT可让您缓解一系列CPU安全漏洞,例如: MicroarchitecturalDataSamplingL1TerminalFaultAttack(BZ#1713186) 4.2.已知问题 IPSec隧道中性能降低使用RHEL8.0.1中设置的aes256_sha2或aes-gcm256IPSec密码对IPSec隧道性能有负面影响。
具有特定VPN设置的用户在IPSec隧道上的性能会下降10%。
这种回归并非由MicroarchitecturalDataSampling(MDS)缓解导致的,可以在缓解时看到缓解措施。
(BZ#1731362) 14 第5章RHEL8.0.0发行版本 第5章RHEL8.0.0发行版本 5.1.新特性 这部分论述了RedHatEnterpriseLinux8中引入的新功能和主要增强。
5.1.1.Web控制台 注意Web控制台的订阅页面现在由新的subscription-manager-cockpit软件包提供。
在web控制台中添加了防火墙界面RHEL8web控制台中的Networking页面现在包含Firewall部分。
在本节中,用户可以启用或禁用防火墙,以及添加、删除和修改防火墙规则。
(BZ#1647110)Web控制台现在默认可用RHEL8web控制台(也称为Cockpit)的软件包现在是RedHatEnterpriseLinux默认软件仓库的一部分,因此可以立即在注册的RHEL8系统中安装。
另外,在非最小安装RHEL8中,会自动安装web控制台,控制台所需的防火墙端口会自动打开。
登录前还添加了系统消息,提供有关如何启用或访问Web控制台的信息。
(JIRA:RHELPLAN-10355)Web控制台更好的IdM集成如果您的系统在IdentityManagement(IdM)域中注册,RHEL8web控制台现在默认使用域的集中管理的IdM资源。
这包括以下优点: IdM域的管理员可以使用Web控制台来管理本地计算机。
控制台的Web服务器会自动切换到由IdM证书颁发机构(CA)发布并被浏览器接受的证书。
IdM域中具有Kerberos票据的用户不需要提供登录凭据来访问Web控制台。
Web控制台可以访问IdM域已知的SSH主机,而无需手动添加SSH连接。
请注意,要使IdM与Web控制台集成正常工作,用户首先需要在IdMmaster系统中使用enableadmins-sudo选项运行ipa-advise工具。
(JIRA:RHELPLAN-3010)Web控制台现在与移动浏览器兼容在这个版本中,Web控制台菜单和页面可以在移动浏览器变体上导航。
这样就可以从移动设备使用RHEL8web控制台管理系统。
(JIRA:RHELPLAN-10352)Web控制台前端页面现在显示缺少的更新和订阅 如果由RHEL8web控制台管理的系统有过时的软件包或lapsed订阅,现在会在系统的web控制台前页 15 RedHatEnterpriseLinux88.0发行注记 如果由RHEL8web控制台管理的系统有过时的软件包或lapsed订阅,现在会在系统的web控制台前页中显示警告信息。
(JIRA:RHELPLAN-10353) Web控制台现在支持PBD注册在这个版本中,您可以使用RHEL8web控制台界面将基于策略的Decryption(PBD)规则应用到受管系统上的磁盘。
这使用Clevis解密客户端来协助Web控制台中的各种安全管理功能,例如自动解锁LUKS加密磁盘分区。
(JIRA:RHELPLAN-10354) 虚拟机现在可以使用Web控制台进行管理VirtualMachines页面现在可以添加到RHEL8web控制台界面中,用户可以创建和管理基于libvirt的虚拟机。
(JIRA:RHELPLAN-2896) 5.1.2.安装程序和镜像创建 IBMZ现在完全支持使用SE和HMC从DVD安装RHEL现在,完全支持使用支持元素(SE)和硬件管理控制台(HMC)的DVD在IBMZ硬件上安装RedHatEnterpriseLinux8。
这个额外的功能简化了使用SE和HMC的IBMZ上的安装过程。
使用二进制DVD引导时,安装程序会提示用户输入附加内核参数。
要将DVD设为安装源,请在内核参数后附加inst.repo=hmc。
然后安装程序启用了SE和HMC文件访问,从DVD中获取stage2镜像,并提供对DVD中软件包的访问以供软件选择。
这个新功能消除了外部网络设置的要求,并扩展了安装选项。
(BZ#1500792) 安装程序现在支持LUKS2磁盘加密格式RedHatEnterpriseLinux8安装程序现在默认使用LUKS2格式,但您可以从Anaconda的CustomPartitioning窗口中选择LUKS版本,或者使用Kickstart的art、logvol、part和RAID命令中的新选项。
LUKS2提供了许多改进和功能,例如,它扩展了磁盘上格式的功能,并提供灵活的元数据存储方式。
(BZ#1547908) Anaconda支持RHEL8中的系统目的在以前的版本中,Anaconda不会为SubscriptionManager提供系统目的信息。
在RedHatEnterpriseLinux8.0中,您可以使用Anaconda的系统目的窗口或Kickstart的syspurpose命令,在安装过程中设置系统预期目的。
安装完成后,SubscriptionManager在订阅系统时使用系统用途信息。
(BZ#1612060) pykickstart支持RHEL8中的系统目的在以前的版本中,pykickstart库无法为SubscriptionManager提供系统目的信息。
在RedHatEnterpriseLinux8.0中,pykickstart解析新的syspurpose命令,并记录系统在自动化和部分自动化安装过程中的预期用途。
然后,信息将传递给Anaconda,保存在新安装的系统上,并在订阅系统时供订阅管理器使用。
16 第5章RHEL8.0.0发行版本 (BZ#1612061) Anaconda支持RHEL8中的新内核引导参数在以前的版本中,您只能从内核引导参数指定基本存储库。
在RedHatEnterpriseLinux8中,一个新的内核参数,inst.addrepo=
这个参数有两个强制值:仓库名称和指向存储库的URL。
如需更多信息,请参阅#inst-addrepo (BZ#1595415) Anaconda支持RHEL8中的统一ISO在RedHatEnterpriseLinux8.0中,统一的ISO会自动加载BaseOS和AppStream安装源存储库。
这个功能适用于安装时载入的第一个基本存储库。
例如:如果您在没有配置软件仓库的情况下引导安装,且在GUI中将统一ISO作为基本软件仓库,或者使用指向统一ISO的inst.repo=选项引导安装。
因此,AppStream软件仓库会在InstallationSourceGUI窗口的AdditionalRepositories部分启用。
您不能删除AppStream存储库或更改其设置,但您可以在安装源中禁用它。
如果您使用不同基础程序库引导安装,然后将其改为统一ISO,则该功能将不起作用。
如果这样做,基本软件仓库将被替换。
但是AppStream软件仓库不会被替换并指向原始文件。
(BZ#1610806) Anaconda可以在Kickstart脚本中安装模块化软件包Anaconda安装程序已扩展,以处理与应用程序流相关的所有功能:模块、流和配置集。
Kickstart脚本现在可以启用模块和流组合、安装模块配置集以及安装模块化软件包。
如需更多信息,请参阅执行高级RHEL安装。
(JIRA:RHELPLAN-1943) 现在,RHEL8安装选项中提供了nosmt引导选项nosmt引导选项包括在传递给新安装的RHEL8系统的安装选项中。
(BZ#1677411) RHEL8支持从本地硬盘中的软件仓库安装在以前的版本中,从硬盘安装RHEL需要ISO镜像作为安装源。
但是,RHEL8ISO镜像对于某些文件系统来说可能太大,例如:FAT32文件系统无法存储大于4GiB的文件。
在RHEL8中,您可以使用本地硬盘中的软件仓库启用安装。
您只需要指定目录而不是ISO镜像。
例如:'inst.repo=hd:
镜像构建程序位于AppStream中的poser软件包中。
使用镜像构建器,用户可以创建包含其他软件包的自定义系统镜像。
镜像构建器功能可以通过以下方式访问: web控制台中的图形用户界面 17 RedHatEnterpriseLinux88.0发行注记 composer-cli工具里的命令行界面。
镜像构建器输出格式包括: 实时ISO磁盘镜像可以直接用于虚拟机或OpenStack的qcow2文件文件系统镜像文件Azure、VMWare和AWS的云镜像如需了解更多有关镜像构建器的信息,请参阅文档标题组成自定义的RHEL系统镜像。
(JIRA:RHELPLAN-7291,BZ#1628645,BZ#1628646,BZ#1628647,BZ#1628648)添加了新的kickstart命令:authselect和modules在这个版本中,添加了以下kickstart命令:authselect:使用authselect命令在安装过程中设置系统身份验证选项。
您可以使用authselect作为已弃用的auth或authconfigKickstart命令的替代。
如需更多信息,请参阅执行高级安装指南中的authselect部分。
模块:使用模块命令在kickstart脚本中启用软件包模块流。
如需更多信息,请参阅执行高级安装指南中的模块部分。
(BZ#1972210) 5.1.3.内核RHEL8.0中的内核版本 RedHatEnterpriseLinux8.0带有内核版本4.18.0-80。
(BZ#1797671)ARM52位物理寻址现已可用在这个版本中,支持64位ARM架构的52位物理寻址(PA)。
这比之前的48位PA提供更大的地址空间。
(BZ#1643522)IOMMU代码支持RHEL8中的5级页表Linux内核中的I/O内存管理单元(IOMMU)代码已更新,以支持RedHatEnterpriseLinux8中的5级页表。
(BZ#1485546)支持5级分页在Linux内核中添加了新的P4d_t软件页表类型,以便在RedHatEnterpriseLinux8中支持5级分页。
(BZ#1485532)内存管理支持5级页表 借助红帽企业Linux7,现有内存总线的虚拟/物理内存寻址容量为48/46位,Linux内核实施了4级页 18 第5章RHEL8.0.0发行版本 借助红帽企业Linux7,现有内存总线的虚拟/物理内存寻址容量为48/46位,Linux内核实施了4级页表,以将这些虚拟地址管理到物理地址。
物理总线寻址行会使物理内存上限限制为64TB。
这些限制已扩展到57/52位的虚拟/物理内存寻址,其中包括128PiB虚拟地址空间和4PB物理内存容量。
通过扩展地址范围,RedHatEnterpriseLinux8中的内存管理增加了对5级页面表实现的支持,以便可以处理扩展的地址范围。
(BZ#1485525) kernel-signing-ca.cer在RHEL8中被移到kernel-core在所有RedHatEnterpriseLinux7版本中,kernel-signing-ca.cer公钥都位于kernel-doc包中。
但是,在RedHatEnterpriseLinux8中,kernel-signing-ca.cer已为每个构架重新定位到kernel-core软件包中。
(BZ#1638465) spectreV2缓解默认从IBRS改为RetpolinesSpectreV2漏洞(CVE-2017-5715)的默认缓解方案,适用于有6thGenerationIntelCoreProcessors及其接近衍生产品[1]的系统(CVE-2017-5715)已从IndirectBranchRetpoedSpeculation(IBRS)改为RedHatEnterpriseLinux8中的Retpoline。
由于Intel建议与Linux社区中使用的默认值保持一致,并恢复性能损失,红帽已实施这一更改。
但请注意,在某些情况下使用Retpolines可能无法完全缓解SpectreV2。
Intel的回复文档[2]描述了任何暴露情况。
本文档还说明攻击的风险较低。
对于需要完全SpectreV2缓解的用例,用户可以通过内核引导行选择IBRS,方法是添加spectre_v2=ibrs标志。
如果没有使用Retpoline支持构建一个或多个内核模块,/sys/devices/system/cpu/vulnerabilities/spectre_v2文件将指示漏洞,/var/log/messages文件将识别出错模块。
如需更多信息,请参阅如何确定哪些模块负责spectre_v2返回"Vulnerable:Retpolinewithinsecuremodule(s)"?
。
[1]"6代Intel核心处理器及其近乎衍生产品"是Intel的Retpolines文档所谓的"Skylake-generation"。
[2]Retpoline:一个分支目标入侵缓解-白皮书 (BZ#1651806) Intel®Omni-PathArchitecture(OPA)主机软件RedHatEnterpriseLinux8完全支持IntelOmni-Path架构(OPA)主机软件。
IntelOPA为在集群环境中的计算和I/O节点之间的高性能数据传输(高带宽、高消息率、低延迟)提供主机FabricInterface(HFI)硬件初始化和设置。
有关安装IntelOmni-Path架构文档的说明,请参阅:work-and-i-o/fabricproducts/Intel_OP_Software_RHEL_8_RN_K51383.pdf (BZ#1683712) NUMA支持RHEL8中的更多节点在这个版本中,在具有64位ARM架构的系统中,非一致性内存访问(NUMA)节点数从4个NUMA节点增加到RedHatEnterpriseLinux8中的8NUMA节点。
19 RedHatEnterpriseLinux88.0发行注记 (BZ#1550498) 现在,RHEL8中默认启用IOMMUpassthrough默认情况下,启用了输入/输出内存管理单元(IOMMU)passthrough。
这提高了AMD系统的性能,因为主机禁用DirectMemoryess(DMA)重新映射。
在这个版本中,Intel系统也默认禁用了DMA重新映射的Intel系统的一致性。
用户可以通过在内核命令行(包括虚拟机监控程序)中指定anyiommu.passthrough=off或iommu=nopt参数来禁用此类行为(并启用DMA重新映射)。
(BZ#1658391) RHEL8内核现在支持5级页表RedHatEnterpriseLinux内核现在完全支持具有最多5级页表的未来Intel处理器。
这可让处理器支持多达4PB的物理内存和128PB虚拟地址空间。
使用大量内存的应用程序现在可以尽可能多地使用系统提供的内存,而不受4级页表的限制。
(BZ#1623590) RHEL8内核支持针对将来IntelCPU的增强IBRSRedHatEnterpriseLinux内核现在支持使用增强的IndirectBranchRestrictedSpeculation(IBRS)功能来缓解SpectreV2漏洞。
启用后,IBRS的性能将优于Retpolines(默认)来缓解SpectreV2,并且不会影响IntelControl-flowEnforcement技术。
因此,在未来IntelCPU上启用SpectreV2的性能损失会较小。
(BZ#1614144) bpftool用于检查和操作基于eBPF的程序和映射Linux内核中添加了bpftool工具,用于根据扩展的BerkeleyPacket过滤(eBPF)检查和简单操作程序和映射。
bpftool是内核源树的一部分,由bpftool软件包提供,该软件包作为kernel软件包的子软件包提供。
(BZ#1559607) kernel-rt源已更新kernel-rt源已更新为使用最新的RHEL内核源树。
最新的内核源树现在使用上游v4.18实时补丁集,与之前的版本相比,它提供了很多程序错误修复和增强。
(BZ#1592977) 5.1.4.软件管理 YUM性能改进和支持模块化内容在RedHatEnterpriseLinux8中,新版本的YUM工具保证安装软件,该工具基于DNF技术(YUMv4)。
yumv4比RHEL7上之前使用的YUMv3有以下优点: 提高了性能 支持模块化内容 设计良好的稳定API,用于与工具集成 有关新YUMv4工具和RHEL7中之前版本的YUMv3之间的差异的详细信息,请参阅DNFCLI与YUM 20 第5章RHEL8.0.0发行版本 有关新YUMv4工具和RHEL7中之前版本的YUMv3之间的差异的详细信息,请参阅DNFCLI与YUM相比的更改。
yumv4在使用命令行、编辑或者创建配置文件时与YUMv3兼容。
要安装软件,您可以使用yum命令及其特定选项,方式与在RHEL7中相同。
所选的一些yum插件和工具已被移植到新的DNF后端,可使用与RHEL7中相同的名称进行安装。
它们也提供兼容性符号链接,因此可在通常的位置找到二进制文件、配置文件和目录。
请注意,YUMv3提供的旧版本的PythonAPI不再可用。
我们建议用户将插件和脚本迁移到YUMv4(DNFPythonAPI)提供的新API中,它是稳定的且被完全支持。
DNFPythonAPI请参见DNFAPI参考。
Libdnf和HawkeyAPI(C和Python)不稳定,在RedHatEnterpriseLinux8生命周期中可能会改变。
有关YUM软件包和工具可用性更改的详情,请参阅使用RHEL8的注意事项。
YUMv3的一些功能在YUMv4中的行为可能不同。
如果此类更改对您的工作流有影响,请向红帽支持创建一个问题单,请参阅如何打开和管理客户门户网站中的支持问题单所述? (BZ#1581198)RHEL8中的主要RPM功能RedHatEnterpriseLinux8使用RPM4.14。
这个版本比RPM4.11提供了很多改进,具体信息包括在RHEL7中。
最显著的功能包括: debuginfo软件包可以并行安装支持弱依赖项 支持富或布尔值依赖项 支持大小超过4GB的打包文件支持文件触发器 另外,最显著的变化包括: 更严格的spec-parser简化对非详细模式输出的签名检查 在宏中添加和弃用 (BZ#1581990)RPM现在会在开始安装前验证整个软件包内容在RedHatEnterpriseLinux7中,RPM实用程序在解压缩时验证了单个文件的内容。
然而,由于多个原因,这是不够的: 如果有效负载损坏,则只有在执行脚本操作后才会注意到它,而这些脚本操作是不可避免的。
如果有效负载损坏,则软件包升级会在替换之前版本的某些文件后中止,这会破坏正常安装。
单个文件的哈希在解压缩的数据上执行,这使得
RPM易受解压缩器漏洞的影响。
21 RedHatEnterpriseLinux88.0发行注记 在RedHatEnterpriseLinux8中,使用可用的最佳哈希在单独步骤安装前验证整个软件包。
在RedHatEnterpriseLinux8上构建的软件包在压缩有效负载上使用一个新的SHA-256哈希。
在经过签名的包中,有效负载哈希还受到签名的保护,因此在不破坏包头上的签名和其他哈希的情况下无法更改载荷哈希。
较旧的软件包使用标头和有效负载的MD5哈希,除非配置禁用。
%_pkgverify_level宏还可用于在安装前启用强制签名验证或完全禁用有效负载验证。
此外,%_pkgverify_flags宏可用于限制允许哪些哈希和签名。
例如,可以禁用弱MD5哈希的使用,但代价是与较旧的软件包兼容。
(JIRA:RHELPLAN-10596) 5.1.5.基础架构服务RHEL8中推荐的Tuned配置集的显著变化 在这个版本中,根据以下规则选择推荐的Tuned配置集(由tuned-admmend命令报告)-匹配的第一个规则生效: 如果syspurpose(由syspurposeshow命令报告)包含atomic,且同时:如果Tuned在裸机中运行,则会选择atomic-host配置集如果Tuned在虚拟机中运行,则会选择atomic-guest配置集 如果Tuned在虚拟机中运行,则会选择virtual-guest配置集如果syspurpose角色包含或workstation,并且chassis类型(由dmidecode报告)是Notebook、或Portable,则会选择balanced配置集。
如果以上规则都不匹配,则会选择throughput-performance配置集 (BZ#1565598) 由named生成的文件可以在工作目录中写入在以前的版本中,指定守护进程将一些数据存储在工作目录中,在RedHatEnterpriseLinux中是只读的。
在这个版本中,所选文件的路径已被更改到子目录中,允许写入。
现在,默认目录Unix和SELinux权限允许写入目录。
目录中分发的文件对named仍为只读。
(BZ#1588592) GeoliteDatabases已被Geolite2Databases替代RedHatEnterpriseLinux7中存在的GeoliteDatabases被RedHatEnterpriseLinux8中的Geolite2Databases替代。
GeoliteDatabases由GeoIP软件包提供。
上游不再支持此软件包与传统数据库。
Geolite2数据库由多个软件包提供。
libmaxminddb软件包包括库和mmdblookup命令行工具,该工具支持手动搜索地址。
传统GeoIP软件包中的geoipupdate二进制文件现在由geoipupdate软件包提供,能够下载传统的数据库和新的Geolite2数据库。
(JIRA:RHELPLAN-6746) CUPS日志由journald处理 在RHEL8中,CUPS日志不再存储在RHEL7中的/var/log/cups目录中的特定文件中。
在RHEL8中, 22 第5章RHEL8.0.0发行版本 在RHEL8中,CUPS日志不再存储在RHEL7中的/var/log/cups目录中的特定文件中。
在RHEL8中,所有类型的CUPS日志都与其他程序的日志一起集中记录在systemdjournald守护进程中。
若要访问CUPS日志,请使用journalctl-ucups命令。
如需更多信息,请参阅使用CUPS日志。
(JIRA:RHELPLAN-12764)RHEL8中的主要BIND功能RHEL8在包含BIND(BerkeleyNameDomain)版本9.11。
与版本9.10相比,这个版本的DNS服务器引入了多个新功能和功能变化。
新特性: 添加了一个新的置备二级服务器的方法,称为CatalogZones。
域名系统库现在由指定服务和dig实用程序发送。
现在,ResponseRateLimiting功能可以帮助缓解DNS扩展攻击。
提高了响应策略区域(RPZ)的性能。
添加了名为map的新区域文件格式。
使用此格式存储的区域数据可以直接映射到内存中,这样区域加载就能大大加快。
添加了一个名为delv(域实体查找和验证)的新工具,它具有类似于dig的语义,用于查找DNS数据并执行内部DNS安全扩展(DNSSEC)验证。
现在提供了一个新的mdig命令。
此命令是'dig'命令的一个版本,它发送多个管道查询并等待响应,而不是发送一个查询并等待响应,然后再发送下一个查询。
添加了一个新的prefetch选项,它可提高递归解析器性能。
添加了一个新的in-view区域选项,它允许在视图间共享区域数据。
当使用这个选项时,多个视图可以在不需要在内存中存储多个副本的情况下为相同的区域服务。
添加了一个新的max-zone-ttl选项,它强制执行zone的最大TTL。
当加载包含更高TTL的区域时,加载会失败。
带有更高TTL的动态DNS(DDNS)更新会被接受,但TTL会被截断。
添加了新的配额,将递归解析器发送的查询限制到遇到拒绝服务攻击的权威服务器。
现在,nslookup程序默认查找IPv6和IPv4地址。
named服务现在在启动前检查其他名称服务器进程是否正在运行。
加载签名区时,名为将会检查资源记录签名(RSIG)的开始时间是否在将来,如果是,它会立即重新生成RRSIG。
区域传送现在使用较小的消息大小来改进消息压缩,这降低了网络使用量。
功能更改:HTTP接口提供统计频道的版本3XML架构,包括新的统计信息和用于快速解析的扁平化XML树。
旧版2XML模式不再被支持。
named服务现在默认侦听IPv6和IPv4接口。
named服务不再支持GeoIP。
由查询发送方假定位置定义的访问控制列表(ACL)不可用。
23 RedHatEnterpriseLinux88.0发行注记 (JIRA:RHELPLAN-1820) 5.1.6.Shell和命令行工具nobody用户替换nfsnobody 在RedHatEnterpriseLinux7中,有:ID为99的nobody用户和组对,以及ID为65534的nfsnobody用户和组对(这是默认的内核溢出ID)也是如此。
它们都已合并到nobody用户和组对中,该对使用RedHatEnterpriseLinux8中的65534ID。
新安装不再创建nfsnobody对。
这一更改减少了对nobody所有但与NFS无关的文件的混淆。
(BZ#1591969)RHEL8中的版本控制系统RHEL8提供以下版本控制系统: Git2.18,一种分布式版本控制系统,具有分散架构。
Mercurial4.8是轻量级分布式版本控制系统,旨在高效地处理大型项目。
子版本1.10,集中式版本控制系统。
请注意,RHEL7提供的ConcurrentVersionsSystem(CVS)和修订控制系统(RCS)没有与RHEL8一起发布。
(BZ#1693775)Subversion1.10中的显著变化从RHEL7中发布1.7版本1.7起,Subversion1.10引入了一些新功能,以及以下兼容性更改:由于Subversion库中不兼容用于支持语言绑定,因此不支持Subversion1.10的Python3绑定。
因此,Subversion需要Python绑定的应用程序不被支持。
不再支持基于BerkeleyDB的软件仓库。
在迁移前,请使用svnadmindump命令备份使用Subversion1.7创建的库。
安装RHEL8后,请使用svnadminload命令恢复存储库。
RHEL7中的Subversion1.7客户端签出的现有工作副本必须升级至新格式,然后才能从Subversion1.10使用。
安装RHEL8后,请在每个工作副本中运行svnupgrade命令。
不再支持通过https://访问软件仓库的智能卡验证。
(BZ#1571415)dstat中的显著变化RHEL8提供了dstat工具的新版本。
这个工具现在是PerformanceCo-Pilot(PCP)工具包的一部分。
/usr/bin/dstat文件和dstat软件包的名称现在由pcp-system-tools软件包提供。
新版本的dstat与RHEL7中的dstat相比包括以下改进: 24 第5章RHEL8.0.0发行版本 python3支持历史分析远程主机分析配置文件插件新的性能指标(BZ#1684947) 5.1.7.动态编程语言、网页和数据库服务器Python3是RHEL8中默认的Python实现 RedHatEnterpriseLinux8与Python3.6一起发布。
但默认情况下可能不会安装该软件包。
要安装Python3.6,请使用yuminstallpython3命令。
python2软件包中提供了Python2.7。
但是,Python2的生命周期会更短,其目的在于帮助客户更顺利地过渡到Python3。
默认的python软件包或未指定版本的/usr/bin/python可执行文件都与RHEL8一起发布。
建议客户直接使用python3或python2。
另外,管理员也可以使用alternatives命令来配置python命令。
详情请查看在RedHatEnterpriseLinux8中使用Python。
(BZ#1580387)Python脚本必须在RPM构建时以hashbangs指定主要版本在RHEL8中,可执行Python脚本应该使用hashbangs(shebangs)来明确指定至少主要Python版本。
构建任何RPM软件包时,会自动运行/usr/lib/rpm/redhat/brp-mangle-shebangsbuildroot策略(BRP)脚本。
这个脚本尝试更正所有可执行文件中的hashbang。
当脚本遇到没有指定Python主要版本的Pythonhashbangs时,它会生成错误,RPM构建会失败。
这种模糊的hashbangs示例包括: #!
/usr/bin/python#!
/usr/bin/envpython要在Python脚本中修改hashbangs会导致RPM构建时出现这些构建错误,请使用platform-pythondevel软件包中的pathfix.py脚本: pathfix.py-pn-i%{__python3}PATH...可以指定多个PATH。
如果PATH是一个目录,pathfix.py递归扫描与模式^[a-zA-Z0-9_]+\.py$匹配的任何Python脚本,而不仅仅扫描那些具有模糊哈希bang的Python脚本。
将运行pathfix.py的命令添加到%prep部分,或者在%install部分末尾。
如需更多信息,请参阅Python脚本中处理hashbangs。
(BZ#1583620)PHP中的显著变化RedHatEnterpriseLinux8带有PHP7.2。
这个版本在RHEL7中与PHP5.4相比包括以下主要变化: 25 RedHatEnterpriseLinux88.0发行注记 PHP默认使用FastCGI进程管理器(FPM)(与线程mon软件包移动到独立的软件包php-pecl-zip。
删除了以下扩展:aspellMySQL(请注意,mysqli和pdo_mysql扩展仍然可用,由php-mysqlnd软件包提供)memcache(BZ#1580430,BZ#1691688)Ruby中的显著变化RHEL8提供了Ruby2.5,它比RHEL7提供的Ruby2.0.0提供了很多新功能和增强。
主要变更包括:添加了增量垃圾收集器。
添加了Refinements语法。
现在会对符号进行垃圾收集。
$SAFE=2和$SAFE=3安全等级现已过时。
Fixnum和Bignum类已统一为Integer类。
通过优化Hash类、改善对实例变量的访问以及Mutex类小且更快速,性能得以提高。
某些旧的API已被弃用。
捆绑的库(如RubyGems、Rake、RDoc、Psych、Minitest和test-unit)已更新。
以前通过Ruby分发的其他库(如mathn、DL、ext/tk和XMLRPC)已被弃用或不再包含。
SemVer版本控制方案现在用于Ruby版本。
(BZ#1648843)Perl中的显著变化RHEL8提供了Perl5.26,与RHEL7中的版本相比有以下变化:Unicode9.0现在被支持。
26 第5章RHEL8.0.0发行版本 提供了新的op-entry、load-file和load-fileSystemTap探测。
在分配scalar时,使用写时复制机制来提高性能。
添加了用于处理IPv4和IPv6套接字的IO::Socket::IP模块。
添加了用于以结构化方式访问perl-V数据的Config::Perl::V模块。
添加了一个新的perl-App-cpanminus软件包,其中包含用于从全面的Perl存档网络(CPAN)存储库获取、提取、构建和安装模块的cpanm实用程序。
出于安全考虑,当前目录.已从@INC模块搜索路径中删除。
现在,因为上面描述的行为更改,当do语句无法加载文件时,会返回弃用警告。
doroutine(LIST)调用不再被支持,并会产生语法错误。
现在,默认随机化哈希。
每次运行perl时,从哈希值返回键和值的顺序都会变化。
若要禁用随机化,可将PERL_PERTURB_KEYS环境变量设置为
0。
不再允许正则表达式模式中未转义的字面{字符。
已删除对$_变量的字典范围支持。
在数组或散列上使用定义的运算符会导致致命错误。
从UNIVERSAL模块中导入功能会导致严重错误。
find2perl、s2p、a2p、c2ph和pstruct工具已被删除。
${^ENCODING}工具已被删除。
不再支持编码片段的默认模式。
要在UTF-8之外的其他编码中写入源代码,请使用编码的Filter选项。
perl打包现在与上游一致。
perl软件包也会安装核心模块,而/usr/bin/perl解释器则由perlinterpreter软件包提供。
在以前的版本中,perl软件包只包含一个最小解释器,perl-core软件包同时包含解释器和core模块。
IO::Socket::SSLPerl模块不再从./certs/my-ca.pem文件或./ca目录加载证书颁发机构证书,来自./certs/server-key.pem文件中的服务器私钥、来自./certs/server-cert.pem文件的服务器证书、来自./certs/client-key.pem文件的客户端私钥,以及来自./certs/client-cert.pem文件的客户端证书。
明确指定文件的路径。
(BZ#1511131)Node.js包括在RHEL中Node.js是一个软件开发平台,用于使用JavaScript编程语言开发快速、可扩展的网络应用程序。
它首次在RHEL中提供。
之前,它只通过SoftwareCollection提供。
RHEL8提供Node.js10。
(BZ#1622118)SWIG中的显著变化RHEL8包含简化的wrapper和InterfaceGenerator(SWIG)版本3.0,它比RHEL7中发布的版本2.0提供了大量新功能、增强和程序错误修复。
最值得注意的是,实现了对C++11标准的支持。
SWIG现在也支持Go1.6、PHP7、Octave4.2和Python3.5。
(BZ#1660051) 27 RedHatEnterpriseLinux88.0发行注记 Apachehttpd中的显著变化RHEL8随ApacheHTTP服务器2.4.37一起发布。
此版本在RHEL7中对httpd进行了以下更改: HTTP/2支持现在由mod_http2软件包提供,这是httpd模块的一部分。
mod_md软件包现在支持使用自动证书管理环境(ACME)协议进行自动TLS证书置备和续订(用于Let的加密)ApacheHTTP服务器现在支持直接从PKCS#11模块的硬件安全令牌加载TLS证书和私钥。
现在,mod_ssl配置可以使用PKCS#11URL来标识TLS私钥,也可选择使用SSLCertificateKeyFile和SSLCertificateFile指令中的TLS证书。
默认情况下,使用ApacheHTTP服务器配置的多处理模块(MPM)从多进程(称为prefork)的派生模型更改为高性能多线程模型事件。
任何不是线程的第三方模块都需要被替换或删除。
要更改配置的MPM,请编辑/etc/httpd/conf.modules.d/00-mpm.conf文件。
有关详细信息,请参见httpd.conf
(5)手册页。
有关httpd及其用法的更改的更多信息,请参阅设置ApacheHTTPWeb服务器。
(BZ#1632754,BZ#1527084,BZ#1581178)RHEL提供了新的nginxweb服务器RHEL8引入了nginx1.14,这是支持HTTP和其他协议的Web和代理服务器,其重点在于高并发性、性能和低内存用量。
nginx以前仅作为SoftwareCollection提供。
nginxweb服务器现在支持直接从PKCS#11模块的硬件安全令牌加载TLS私钥。
因此,nginx配置可以使用PKCS#11URL来识别ssl_certificate_key指令中的TLS私钥。
(BZ#1545526)RHEL8中的数据库服务器RHEL8提供以下数据库服务器: MySQL8.0,一个多用户、多线程SQL数据库服务器。
它由MySQL服务器守护进程(mysqld)和多个客户端程序组成。
MariaDB10.3,一个多用户、多线程SQL数据库服务器。
就所有实际用途而言,MariaDB与MySQL二进制兼容。
PostgreSQL10和PostgreSQL9.6,一种高级对象关系数据库管理系统(DBMS)。
redis5,高级键值存储。
它通常被称为数据结构服务器,因为键可以包含字符串、散列、列表、集合和排序的集合。
Redis在RHEL中第一次提供。
请注意,RHEL8.0中不包括NoSQLMongoDB数据库服务器,因为它使用服务器幻灯片公共许可证(SSPL)。
(BZ#1647908)MySQL8.0中的显著变化RHEL8提供了MySQL8.0,它提供以下改进: MySQL现在包含一个事务数据字典,用于存储数据库对象的信息。
MySQL现在支持角色,它们是特权的集合。
28 第5章RHEL8.0.0发行版本 默认字符集已从latin1改为utf8mb4。
添加了对通用表表达式(非递归和递归)的支持。
MySQL现在支持窗口功能,它使用相关行对查询中每一行执行计算。
InnoDB现在支持带有锁定读语句的NOWAIT和SKIPLOCKED选项。
改进了与GIS相关的功能。
JSON功能已被改进。
新的mariadb-connector-c软件包为MySQL和MariaDB提供通用客户端库。
此库可用于任何版本的MySQL和MariaDB数据库服务器。
因此,用户可以将一个应用程序构建连接到RHEL8发布的任何MySQL和MariaDB服务器。
此外,随RHEL8发布的MySQL8.0服务器被配置为使用mysql_native_password作为默认身份验证插件,因为RHEL8中的客户端工具和库与caching_sha2_password方法不兼容,这在上游MySQL8.0版本中默认使用。
要将默认身份验证插件更改为caching_sha2_password,请编辑/etc/f.d/f文件: [mysqld]default_authentication_plugin=caching_sha2_password (BZ#1649891,BZ#15¼
0,BZ#1631400)MariaDB10.3的显著变化与RHEL7提供的版本5.5相比,MariaDB10.3提供了多个新功能,例如: 常见表表达式system-versioned表FOR循环不可见的栏序列InnoDB的即时ADDCOLUMN独立于存储引擎的栏压缩并行复制多源复制此外,新的mariadb-connector-c软件包为MySQL和MariaDB提供通用客户端库。
此库可用于任何版本的MySQL和MariaDB数据库服务器。
因此,用户可以将一个应用程序构建连接到RHEL8发布的任何MySQL和MariaDB服务器。
其他显著变化包括:MariaDBGalera集群(一个同步的多master集群)现在是MariaDB的标准部分。
29 RedHatEnterpriseLinux88.0发行注记 InnoDB是默认存储引擎,而不是XtraDB。
已删除mariadb-bench子包。
默认允许插件成熟度等级已改为比服务器成熟度低一个等级。
因此,在之前使用的,但成熟度较低的插件将不再加载。
另请参阅在RedHatEnterpriseLinux8中使用MariaDB。
(BZ#1637034,BZ#15¼
0,BZ#1688374)PostgreSQL中的显著变化RHEL8.0提供了两个版本的PostgreSQL数据库服务器,分布在postgresql模块的两个流中:PostgreSQL10(默认流)和PostgreSQL9.6。
RHEL7包含PostgreSQL版本9.2。
PostgreSQL9.6中的显著变化是:可以并行执行的顺序操作:scan、join和aggregate同步复制的改进改进了全文本搜索功能用于使用短语进行搜索postgres_fdw数据联合驱动程序现在支持远程加入、排序、UPDATE和DELETE操作显著提高性能,特别是在多CPU套接字服务器上的可扩展性方面PostgreSQL10的主要改进包括:使用publish和subscribe关键字进行逻辑复制基于SCRAM-SHA-256机制更强大的密码身份验证声明性表分区改进了查询并行性显著的常规性能改进改进了监控和控制另请参阅在RedHatEnterpriseLinux8中使用PostgreSQL。
(BZ#1660041)Squid中的显著变化RHEL8.0提供了Squid4.4,它是一个用于Web客户端的高性能代理缓存服务器,它支持FTP、Gopher和HTTP数据对象。
与RHEL7提供的版本3.5相比,这个版本包括的新功能、改进和程序错误修复。
主要变更包括:可配置的helper队列大小对helper并发频道的更改 30 第5章RHEL8.0.0发行版本 更改helper二进制文件安全互联网内容适配器协议(ICAP)改进了对SymmetricMultiProcessing(SMP)的支持改进的进程管理删除了对SSL的支持删除了EdgeSideInudes(ESI)自定义解析程序多配置更改(BZ#1656871)RHEL提供了新的VarnishCacheRHEL首次提供了VarnishCache,它是一个高性能HTTP反向代理。
之前,它只通过SoftwareCollection提供。
Varnish缓存将文件或文件片段存储在内存中,用于减少未来对等请求的响应时间和网络带宽消耗。
RHEL8.0提供了VarnishCache6.0。
(BZ#1633338) 5.1.8.GNOMEShell,RHEL8中的3.28版本 GNOMEShell在RedHatEnterpriseLinux(RHEL)8中提供3.28版本。
主要改进包括:新的GNOMEBoxes功能新屏幕键盘扩展设备支持,最重要的是Thunderbolt3接口的集成GNOME软件、dconf-editor和GNOMETerminal的改进 (BZ#1649404)Wayland是默认的显示服务器在RedHatEnterpriseLinux8中,GNOME会话和GNOME显示管理器(GDM)使用Wayland作为其默认显示服务器,而不是服务器,这些服务器与之前的RHEL主版本一起使用。
Wayland与X相比,提供多种优势和改进。
最值得注意的是: 更强大的安全模式改进了多显示器处理改进了用户界面(UI)扩展桌面可以直接控制窗口处理。
请注意,以下功能目前不可用,或者无法按预期工作:Wayland不支持多GPU设置。
31 RedHatEnterpriseLinux88.0发行注记 NVIDIA二进制驱动程序在Wayland下无法正常工作。
xrandr实用程序不会在Wayland下工作,因为其处理、解决方案、轮转和布局的方法不同。
请注意,操控屏幕的其他实用程序在Wayland下也无法工作。
屏幕记录、远程桌面和可访问性在Wayland下并不总是能正常工作。
没有可用的剪贴板管理器。
Wayland忽略X11应用发布的键盘grab,如虚拟机查看器。
客户机虚拟机(VM)中的Wayland具有稳定性和性能问题,因此建议在虚拟环境中使用X11会话。
如果您从使用GNOME会话的RHEL7系统升级到RHEL8,则您的系统将继续使用。
使用以下图形驱动程序时,系统还会自动回退到:NVIDIA二进制驱动程序cirrus驱动程序mga驱动程序一个速度驱动程序 您可以手动禁用Wayland的使用:要在GDM中禁用Wayland,请在/etc/gdm/custom.conf文件中设置WaylandEnable=false选项。
要在GNOME会话中禁用Wayland,请在输入登录名称后使用登录屏幕上的cogwheel菜单来选择旧的X11选项。
有关Wayland的详情,请参考/。
(BZ#1589678)查找默认未启用的软件仓库中的RPM软件包默认情况下不启用桌面的其他存储库。
禁用通过对应的.repo文件中的enabled=0行来指示。
如果您尝试使用PackageKit从此类存储库安装软件包,PackageKit会显示错误消息,指出该应用不可用。
要使软件包可用,请将之前在对应.repo文件中的enabled=0行替换为enabled=
1。
(JIRA:RHELPLAN-2878)GNOMESofware用于软件包管理在红帽企业Linux7的图形环境中,提供一组工具来管理软件包的Thegnome-packagekit软件包不再可用。
在RedHatEnterpriseLinux8中,GNOMESoftware工具程序提供了类似的功能,它可让您安装和更新应用程序及gnome-shell扩展。
GNOME软件在gnome-software软件包中分发。
(JIRA:RHELPLAN-3001)Wayland上的GNOMEShell提供部分扩展在Wayland会话上的GNOMEShell中,部分扩展功能可用。
该功能使得按部分扩展GUI成为可能,这可以提高特定显示器上扩展的GUI的外观。
请注意,这个功能当前被视为实验性功能,因此在默认情况下是禁用的。
32 第5章RHEL8.0.0发行版本 要启用分数扩展,请运行以下命令: #gsettings.gnome.mutterexperimental-features"['scale-monitor-framebuffer']" (BZ#1668883) 5.1.9.硬件启用使用fwupd进行固件更新可用 RHEL8支持固件更新,如UEFI胶囊、设备固件升级(DFU)等,使用fwupd守护进程。
守护进程允许会话软件自动更新本地计算机上的设备固件。
要查看和应用更新,您可以使用: GUI软件管理器,如GNOME软件fwupdmgr命令行工具元数据文件从Linux供应商固件服务(LVFS)安全门户自动下载,并通过D-Bus提交至fwupd。
需要应用的更新将下载,显示用户通知和更新详细信息。
用户必须在执行更新前明确同意固件更新操作。
请注意,默认禁用对LVFS的访问。
要启用对LVFS的访问,请单击GNOME软件源对话框中的滑块,或者运行fwupdmgrenable-remotelvfs命令。
如果您使用fwupdmgr获取更新列表,系统会询问您是否要启用LVFS。
通过LVFS的访问权限,您将直接从硬件供应商获得固件更新。
请注意,这些更新尚未由红帽QA验证。
(BZ#1504934)完全支持OptaneDCPersistentMemory技术的内存模式IntelOptaneDC持久内存存储设备提供数据中心级别的持久内存技术,这可以显著提高事务吞吐量。
要使用内存模式技术,您的系统不需要任何特殊驱动程序或特定认证。
内存模式对操作系统是透明的。
(BZ#1718422) 5.1.10.IdentityManagement目录服务器中的新密码语法检查 此增强为目录服务器添加新密码语法检查。
例如,管理员可以启用字典检查,允许或拒绝使用字符序列和像素组。
因此,如果启用,Directory服务器中的密码策略语法检查会强制执行更安全的密码。
(BZ#1334254)目录服务器现在提供改进的内部操作日志记录支持目录服务器中的几个操作由服务器和客户端发起,在后台执行其他操作。
在以前的版本中,服务器只为内部连接关键字记录,操作ID始终设置为-
1。
在这个版本中,Directory服务器会记录真正的连接和操作ID。
现在,您可以将内部操作跟踪到导致此操作的服务器或客户端操作。
(BZ#1358706)tomcatjss库支持使用AIA扩展中的响应器进行OCSP检查 33 RedHatEnterpriseLinux88.0发行注记 在这个版本中,tomcatjss库支持使用来自证书的颁发机构信息访问(AIA)扩展的响应者进行在线证书状态协议(OCSP)检查。
因此,红帽认证系统的管理员可以配置使用AIA扩展中的URL的OCSP检查。
(BZ#1636564) pkisubsystem-cert-find和pkisubsystem-cert-show命令现在显示证书的序列号在这个版本中,证书系统中的pkisubsystem-cert-find和pkisubsystem-cert-show命令在其输出中显示证书的序列号。
序列号是重要的信息,通常由多个其他命令要求。
因此,现在更容易识别证书的序列号。
(BZ#1566360) 在证书系统中已弃用pkiuser和pki组命令在这个版本中,新的pki
替换的命令仍有效,但它们显示命令已弃用并引用新命令的消息。
(BZ#1394069) 证书系统现在支持系统证书离线续订在这个版本中,管理员可以使用脱机续订功能续订证书系统中配置的系统证书。
当系统证书过期时,证书系统无法启动。
因为这个改进,管理员不再需要临时解决方案来替换过期的系统证书。
(BZ#1669257) 证书系统现在可以为外部CA签名使用SKI扩展创建CSR在这个版本中,证书系统支持为外部证书颁发机构(CA)签名使用对象密钥标识符(SKI)扩展创建证书签名请求(CSR)。
某些CA需要使用特定值或派生自CA公钥的扩展。
现在,管理员可以使用传递给pkispawn实用程序的配置文件中的pki_req_ski参数来创建带有SKI扩展名的CSR。
(BZ#1656856) SSSD不再使用[nss]部分中的fallback_homedir值作为AD域的回退在RHEL7.7之前,ActiveDirectory(AD)供应商中的SSSDfallback_homedir参数没有默认值。
如果没有设置fallback_homedir,则使用SSSD代替/etc/sssd/sssd.conf文件中的[nss]部分中的同一参数的值。
为提高安全性,RHEL7.7中的SSSD引入了fallback_homedir的默认值。
因此,SSSD不再回退到[nss]部分中设置的值。
如果要使用与AD域中fallback_homedir参数的默认值不同的值,您必须在域的部分中手动设置它。
(BZ#1652719) SSSD现在允许您选择多个智能卡验证设备之一默认情况下,系统安全服务后台程序(SSSD)会尝试自动检测智能卡身份验证的设备。
如果连接了多个设备,SSSD会选择它检测到的第一个设备。
因此,您无法选择特定的设备,有时会导致失败。
在这个版本中,您可以为sssd.conf配置文件的[pam]部分配置一个新的p11_uri选项。
这个选项允许您定义用于智能卡验证的设备。
例如,要选择一个由OpenSCPKCS#11模块检测到插槽ID2的读取器,请添加: p11_uri=library-description=OpenSC%20smartcard%20framework;slot-id=2 sssd.conf的[pam]部分: 34 第5章RHEL8.0.0发行版本 详情请查看mansssd.conf页面。
(BZ#1620123) 本地用户由SSSD缓存并通过thenss_sss模块提供在RHEL8中,系统安全服务守护进程(SSSD)默认为/etc/passwd和/etc/groups文件中的用户和组提供服务。
sssnsswitch模块先于/etc/nsswitch.conf中的文件。
通过SSSD为本地用户提供服务的好处在于,ss_sss模块具有快速的内存映射缓存,与访问磁盘并在每个NSS请求中打开文件相比,可加快名称服务切换(NSS)查找速度。
在以前的版本中,名称服务缓存守护进程(nscd)帮助加快访问磁盘的过程。
但是,与SSSD并行使用nscd非常麻烦,因为SSSD和nscd使用自己的独立缓存。
因此,在设置中使用nscd(SSSD还为远程域的用户服务,如LDAP或ActiveDirectory)可能会导致无法预计的行为。
因此,在RHEL8中,本地用户和组的解析速度更快。
请注意,root用户永远不会被SSSD处理,因此root解析不会受到SSSD中的潜在错误的影响。
另请注意,如果SSSD没有运行,则ss_sss模块通过回退tonss_files来避免问题。
您不必以任何方式配置SSSD,文件域会被自动添加。
(JIRA:RHELPLAN-10439) KCM替换KEYRING作为默认的凭证缓存存储在RHEL8中,默认凭证缓存存储是Kerberos凭证管理器(KCM),它由sssd-kcmdeamon支持。
KCM克服了之前使用的KEYRING的限制,例如难以在容器化环境中使用,因为它没有命名空间,也无法查看和管理配额。
在这个版本中,RHEL8包含一个更适合容器化环境的凭证缓存,它为在以后的版本中构建更多功能提供了基础。
(JIRA:RHELPLAN-10440) ActiveDirectory用户现在可以管理身份管理在这个版本中,RHEL8允许作为IdentityManagement(IdM)组的成员为ActiveDirectory(AD)用户添加用户ID覆盖。
ID覆盖是指描述特定AD用户或组属性在特定ID视图中应如下所示的记录,本例中为默认信任视图。
更新后,IdMLDAP服务器可以为AD用户应用IdM组的访问控制规则。
AD用户现在可以使用IdMUI的自助服务功能,例如上传其SSH密钥或更改其个人数据。
AD管理员可以在没有两个不同的帐户和密码的情况下完全管理IdM。
请注意,当前IdM中选定的功能可能仍对AD用户不可用。
(JIRA:RHELPLAN-10442) sssctl为IdM域打印HBAC规则报告在这个版本中,SystemSecurityServicesDaemon(SSSD)的sssctl实用程序可以打印IdentityManagement(IdM)域的访问控制报告。
此功能满足特定环境的需求,出于法规原因,查看可访问特定客户端计算机的用户和组列表。
在IdM客户端上运行sssctless-reportdomain_name会输出应用于客户端计算机的IdM域中的基于主机的访问控制(HBAC)规则的解析子集。
请注意,除了IdM外,其它供应商都不支持这个特性。
(JIRA:RHELPLAN-10443) 身份管理软件包作为模块提供在RHEL8中,安装IdentityManagement(IdM)服务器和客户端所需的软件包作为一个模块提供。
客户端流是idm模块的默认流,您可以在不启用流的情况下下载安装客户端所需的软件包。
35 RedHatEnterpriseLinux88.0发行注记 IdM服务器模块流称为DL1流。
流包含多个与不同类型的IdM服务器对应的配置集:server、dns、adtrust、client和default。
要在DL1流的特定配置集中下载软件包:
1.启用流。
2.切换到通过流提供的RPM。
3.运行yum模块installidm:DL1/profile_name命令。
在启用了特定流并从中下载软件包后,要切换到新的模块流:
1.删除所有相关安装内容,并禁用当前的模块流。
2.启用新模块流。
(JIRA:RHELPLAN-10438)为RHEL8添加了会话记录解决方案在RedHatEnterpriseLinux8(RHEL8)添加了记录会话记录解决方案。
新的tlog软件包及其关联的Web控制台会话播放器启用,以记录和回放用户终端会话。
可以通过SystemSecurityServicesDaemon(SSSD)服务针对每个用户或用户组配置记录。
所有终端输入和输出都会捕获并存储在系统日志中基于文本的格式。
出于安全原因,输入默认为不活动,因为安全原因不会截获原始密码和其他敏感信息。
该解决方案可用于审核安全敏感系统上的用户会话。
如果出现安全问题,可以检查记录的会话作为分析的一部分。
系统管理员现在可以在本地配置会话记录,并使用tlog-play工具从RHEL8web控制台界面或通过命令行界面查看结果。
(JIRA:RHELPLAN-1473)authselect简化了用户身份验证的配置在这个版本中引进了authselect工具,它简化了RHEL8主机的用户身份验证配置,替换了authconfig工具程序。
authselect提供了一种更安全的PAM堆栈管理方法,使系统管理员PAM配置更改变得更加简单。
Authselect可用于配置身份验证方法,如密码、证书、智能卡和指纹。
请注意,authselect不配置加入远程域所需的服务。
此任务由特殊工具执行,比如realmd或ipa-client-install。
(JIRA:RHELPLAN-10445)SSSD现在默认强制使用ADGPOsSSSD选项ad_gpo_ess_control的默认设置现在是enforcing。
在RHEL8中,SSSD默认根据ActiveDirectoryGroup策略对象(GPO)强制实施访问控制规则。
红帽建议确保在从RHEL7升级到RHEL8前,在ActiveDirectory中正确配置GPO。
如果您不想强制执行GPOs,请将/etc/sssd/sssd.conf文件中的ad_gpo_ess_control选项的值改为permissive。
(JIRA:RHELPLAN-51289) 5.1.11.编译器和开发工具将更新至版本1.66 BoostC++库已更新至上游版本1.66。
红帽企业Linux7中包含的Boost版本为1.53。
详情请查看上游changelogs:/users/history/在这个版本中引进了与以前版本的兼容性更改: 36 第5章RHEL8.0.0发行版本 splay容器中的bs_set_hook()函数、splay_set_hook()函数,以及Intrusive库中的splaytree_algorithms()功能中的boolsplaysplay_set_hook()函数已被删除。
解析者不再支持JSON文件中的注释或字符串串联。
Math库中的一些发行版和特殊函数已被修复,可以像记录一样运作,并引发overflow_error,而不是返回最大有限值。
Math库中的一些标头已移到libs/math/include_private目录中。
Regex<>::mark_count()和basic_regex<>::subexpression(n)函数的行为已改为与其文档匹配。
在变体库中使用变量模板可能会破坏元编程函数。
boost::python::numericAPI已被删除。
用户可以改为使用boost::python::numpy。
Atomic库中不再提供指向非对象类型的指针的算术运算。
(BZ#1494495)Unicode11.0.0支持红帽企业Linux核心C库glibc已更新,以支持Unicode标准版本11.0.0。
因此,所有宽度字符和多字节字符API包括字符集之间的转换和转换提供符合此标准的准确和正确的信息。
(BZ#1512004)boost软件包现在独立于Python在这个版本中,安装boost软件包不再安装Boost.Python库作为依赖项。
要使用Boost.Python,您需要显式安装boost-python3或boost-python3-devel软件包。
(BZ#1616244)提供了新的pat-libgfortran-48软件包为了与使用Fortran库的红帽企业Linux6和7应用程序兼容,现在提供了一个新的pat-libgfortran48兼容性软件包,它提供了libgfortran.so.3库。
(BZ#1607227)GCC中的Retpoline支持在这个版本中,增加了对GCC的retpoline的支持。
反转线是内核所使用的软件结构,用于减少减少CVE-2017-5715中描述的SpectreVariant2攻击的开销。
(BZ#1535774)增强了对工具链组件中的64位ARM架构的支持工具链组件GCC和binutils现在为64位ARM架构提供扩展支持。
例如:GCC和binutils现在支持可扩展Vector扩展(SVE)。
GCC添加了对ARMv8.2提供的FP16数据类型的支持。
FP16数据类型提高了特定算法的性能。
binutils中的工具现在支持ARMv8.3架构定义,包括PointerAuthentication。
Pointer 37 RedHatEnterpriseLinux88.0发行注记 binutils中的工具现在支持ARMv8.3架构定义,包括PointerAuthentication。
PointerAuthentication功能可通过设计自己的功能指针防止恶意代码破坏程序或内核的正常执行。
因此,仅在分支到代码中的不同位置时使用可信地址,这样可以提高安全性。
(BZ#1504980,BZ#1550501,BZ#1504995,BZ#1504993,BZ#1504994)IBMPOWER系统的glibc优化这个版本提供了一个新版本的glibc,它针对IBMPOWER8和IBMPOWER9架构进行了优化。
因此,IBMPOWER8和IBMPOWER9系统现在会在运行时自动切换到适当的优化glibc变体。
(BZ#1376834)GNUC库更新至2.28版本RedHatEnterpriseLinux8包含GNUC库(glibc)的版本2.28。
主要改进包括: 安全强化功能:安全标有AT_SECURE标志的二进制文件忽略LD_LIBRARY_PATH环境变量。
检查故障的堆栈不再打印回溯追踪,从而加快关机并避免在受到影响的环境中运行更多代码。
性能改进:通过线程本地缓存提高了malloc()函数的性能。
添加GLIBC_TUNABLES环境变量,以改变库性能特性。
线程信号信号的实现已被改进,并添加了新的可扩展pthread_rwlock_xxx()功能。
数学库的性能有所改进。
添加了对Unicode11.0.0的支持。
改进了对由ISO/IEC/IEEE60559:2011、IEEE754-2008和ISO/IECTS18661-3:2015标准定义的128位浮动点数的支持。
与/etc/resolv.conf配置文件相关的域名服务(DNS)根解析器改进: 更改文件时将自动重新加载配置。
添加了对任意数量的搜索域的支持。
为rotate选项添加了正确的随机选择。
添加了新的开发功能,包括:用于preadv2和pwritev2内核调用的Linux打包程序功能包括reallocarray()和显式_bzero()的新函数.posix_spawnattr_setflags()函数的新标志,如POSIX_SPAWN_SETSID(BZ#1512010,BZ#1504125,BZ#506398)RHEL中可用的CMake在RedHatEnterpriseLinux8中提供了CMake构建系统版本3.11作为cmake软件包。
38 第5章RHEL8.0.0发行版本 (BZ#1590139,BZ#1502802) 成为4.2.1版本RedHatEnterpriseLinux8带有make构建工具版本4.2.1。
主要变更包括: 当方法失败时,会显示方法的makefile的名称和行号。
添加了--trace选项来启用目标追踪。
当使用此选项时,会先打印每个方法,即使这个方法的文件名和行号被禁止,以及该方法所在的行号,以及导致调用它的前提条件。
混合显式和隐式规则不再会导致终止执行。
相反,会输出警告信息。
请注意,此语法已被弃用,未来可能会完全删除。
$(file…)功能已被添加来将文本写入到文件中。
如果不使用文本参数调用,则仅打开并立即关闭文件。
新选项--output-sync或-O可使每个作业对多个作业的输出进行分组,从而简化并行构建的调试。
--debug选项现在也接受n(无)标记来禁用当前启用的所有调试设置。
!
=shell分配运算符已添加为$(shell…)功能的替代选择,以提高与BSDmakefile的兼容性。
有关运算符和函数之间的更多详细信息和不同之处,请参阅GNUmakemanual。
请注意,名称以感叹号结尾且紧接分配的变量(如variable!
=value)现在被解释为新语法。
要恢复之前的行为,请在声明标记后添加一个空格,比如variable!
=value。
添加了POSIX标准定义的::=分配操作器。
指定.POSIX变量时,请观察POSIX标准要求来处理反斜杠和新行。
在此模式下,保留反斜杠之前的任何尾随空格,每个反斜杠加上新行并将空格字符转换为单个空格字符。
现在更精确地定义了MAKEFLAGS和MFLAGS变量的行为。
解析新变量GNUMAKEFLAGS,用于使标志与MAKEFLAGS相同。
因此,GNUmake-特定标志可以存储在MAKEFLAGS之外,而makefile的可移植性也会提高。
添加了包含主机架构的新变量MAKE_HOST。
新变量MAKE_TERMOUT和MAKE_TERMERR指示make是否向终端写入标准输出和错误。
在makefile中的MAKEFLAGS变量中设置-r和-R选项现在可以正常工作,并分别删除所有内置规则和变量。
现在,每个配方都记得.RECIPEPREFIX设置。
此外,在该方法中扩展的变量也使用该方法前缀设置。
-p选项的输出中会显示.RECIPEPREFIX设置和所有特定于目标的变量,就像在makefile中一样,而不是注释。
(BZ#1641015) SystemTap版本4.0RedHatEnterpriseLinux8使用SystemTap工具工具版本4.0进行发布。
主要改进包括: 扩展的BerkeleyPacket过滤器(eBPF)后端已被改进,特别是字符串和功能。
若要使用此后端,请使用--runtime=bpf选项启动SystemTap。
39 RedHatEnterpriseLinux88.0发行注记 添加了一个新的导出网络服务,用于Prometheus监控系统。
系统调用探测实施已被改进,必要时可使用内核追踪点。
(BZ#1641032)binutils版本2.30中的改进RedHatEnterpriseLinux8包含binutils软件包的版本2.30。
主要改进包括: 改进了对新的IBMZ架构扩展的支持。
链接器: 默认情况下,链接器将代码和只读数据放在单独的片段中。
因此,创建的可执行文件更大且更易于运行,因为动态加载器可以禁用任何包含只读数据的内存页面的执行。
添加了对GNU属性说明的支持,该注释为动态加载器提供有关二进制文件的提示。
在以前的版本中,链接程序为IntelIndirectBranchTracking(IBT)技术生成无效的可执行代码。
因此,生成的可执行文件无法启动。
这个程序错误已被解决。
在以前的版本中,金链接器将属性备注合并,不正确。
因此,生成的代码中可能会启用错误的硬件功能,代码可能会意外终止。
这个程序错误已被解决。
在以前的版本中,金链接器使用末尾的padding字节创建备注部分,以便根据架构实现一致性。
由于动态加载器没有期望padding,所以coud会意外终止它正在加载的程序。
这个程序错误已被解决。
其他工具:readelf和objdump工具现在可以选择在单独的调试信息文件中追踪链接并在其中显示信息。
新的--inlines选项扩展objdump工具的现有--line-numbers选项,以显示内嵌功能的信息。
nm工具获得了一个新选项--with-version-strings,用于显示符号名称(若存在)之后的版本信息。
在assembler中添加了对ARMv8-R52、Cortex-M23和Cortex-M33处理器的支持。
(BZ#1641004,BZ#1637072,BZ#1501420,BZ#1504114,BZ#1614908,BZ#1614920)PerformanceCo-Pilot版本4.3.0RedHatEnterpriseLinux8提供了PerformanceCo-Pilot(PCP)版本4.3.0。
主要改进包括: pcp-dstat工具现在包含历史分析和Comma分隔的值(CSV)格式输出。
日志实用程序可以使用指标标签并帮助文本记录。
pmdaperfevent工具现在在较低SimultaneousMultiThreading(SMT)级别报告正确的CPU号码。
pmdapostgresql工具现在支持Postgresseries10.x。
pmdaredis工具现在支持Redis系列5.x。
通过动态进程过滤和按进程系统调用、ucalls和ustat增强了工具。
40 第5章RHEL8.0.0发行版本 pmdammv工具现在导出指标标签,格式版本增加到
3。
pmdagfs2工具支持额外的glock和glock拥有者指标。
对SELinux策略进行了几个修复。
(BZ#1641034)内存保护密钥在这个版本中,启用了允许每个线程页面保护标志更改的硬件功能。
为pkey_alloc()、pkey_free()和pkey_mprotect()功能添加了新的glibc系统调用打包程序。
此外,添加了pkey_set()和pkey_get()函数,以允许访问每个线程保护标志。
(BZ#1304448)GCC现在默认为IBMZ中的z13在这个版本中,IBMZ架构代码中的默认GCC为z13处理器构建代码,并为z14处理器调整代码。
这等同于使用-march=z13和-mtune=z14选项。
用户可以通过使用目标架构和调整选项来显式覆盖此默认设置。
(BZ#1571124)elfutils更新至版本0.174在RedHatEnterpriseLinux8中,selfutils软件包包括在0.174版中。
主要变更包括: 在以前的版本中,eu-readelf工具可能会显示一个带有负值的变量,就像它有一个很大的未签名值,或者以负值的形式显示一个大的未签名值。
这已被修正,eu-readelf现在会查找恒定值类型的大小和签名状态,以正确显示它们。
libdw库中添加了用于read.debug_line数据的新函数dwarf_next_lines()。
此功能可用作dwarf_getsrclines()和dwarf_getsrcfiles()函数的替代选择。
在以前的版本中,带有超过65280部分的文件可能会导致libelf和libdw库以及所有使用它们的工具出现错误。
这个程序错误已被解决。
因此,ELF文件标头中的扩展shnum和shstrndx值会被正确处理。
(BZ#1641007)Valgrind更新至3.14版本RedHatEnterpriseLinux8使用Valgrind可执行代码分析工具3.14。
主要变更包括: 添加了一个新的--keep-debuginfo选项,用于为卸载的代码保留调试信息。
因此,保存的堆栈跟踪可以包含内存中不再存在的代码的文件和行信息。
添加了基于源文件名和行号的压缩。
Helgrind工具已使用--delta-stacktrace选项进行了扩展,以指定完整历史记录堆栈跟踪的计算。
值得注意的是,将这个选项与--history-level=full结合使用可以将Helgrind的性能提升高达25%。
在Memcheck工具中,Intel和AMD64位arcitects上优化的代码和ARM64位构架的正率已被降低。
请注意,您可以使用--expensive-definedness-checks来控制定义的检查处理,并通过牺牲性能提高速率。
Valgrind现在可以识别IBMPowerSystems的little-endian变体的更多指令。
41 RedHatEnterpriseLinux88.0发行注记 Valgrind现在可以处理IBMZ架构z13处理器的大部分整数和字符串向量指令。
有关新选项及其已知限制的更多信息,请参阅valgrind
(1)手册页。
(BZ#1641029,BZ#1501419)GDB版本8.2RedHatEnterpriseLinux8带有GDBdebugger版本8.2Notable更改,其中包括: IPv6协议支持使用GDB和gdbserver进行远程调试。
改进了在没有调试信息的情况下进行调试。
GDB用户界面中的符号补全已被改进,通过使用更多语法结构(如ABI标签或命名空间)来提供更好的建议。
现在可以在后台执行命令。
现在,可以使用Rust编程语言创建的调试程序。
C和C++语言的调试通过解析器支持_instof和matchof运算符、C++rvalue引用和C99变量长度自动数组而有所改进。
GDB扩展脚本现在可以使用Guile脚本语言。
新的API功能、帧解码器、过滤器和解压器改进了扩展的Python脚本语言接口。
另外,GDB配置的.debug_gdb_s
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。