Ветка RHEL 7.x будет поддерживаться до июня 2024 года. Данный релиз поддерживает архитектуры x86, amd64, POWER7-8 и IBM System z. Добавлена экспериментальная поддержка архитектуры aarch64.
Основные новшества
- В LVM добавили reshaping — возможность изменения различных свойств существующего RAID-массива, в том числе и изменения типа RAID. mdadm обновлён до 4.0.
- FUSE теперь поддерживает опции SEEK_HOLE и SEEK_DATA системного вызова lseek()(обнаружение пустых блоков данных в файле).
- В NFS оптимизировано копирование файлов в пределах одной ФС на сервере, теперь они копируются локально без передачи по сети на сторону клиента. По умолчанию теперь используется протокол NFSv4.1.
- Btrfs и FedFS объявлены устаревшими (deprecated), они будут поддерживаться на остаточном принципе до релиза 8.0
- В OverlayFS добавили поддержку SELinux
GUI
- Окружение GNOME обновлёно до версии 3.22
- Добавили xorg-x11-drv-libinput (обвязка над libinput, универсальный драйвер для устройств ввода).
- Для видеокарт Intel и NVIDIA по умолчанию используется драйвер xf86-video-modesetting, который работает поверх KMS.
- AMDGPU теперь поддерживает чипсеты Southern Islands, Sea Islands, Volcanic Islands и Arctic Islands, а также мобильные Polaris;
- Обновлен драйвер планшетов Wacom, (добавили поддержку Wacom 27QHT и сенсорного экрана ThinkPad X1 Yoga)
Безопасность
- Добавили USB Guard (позволяет управлять доступом к USB-устройствам для каждого пользователя с помощью белого и чёрного списков)
- OpenSSH обновили до 7.4. Теперь поддерживаются сертификаты и отпечатки публичных ключей на основе SHA-256 и докачка прерванной загрузки по SFTP. SSH-1 теперь поддерживается только на стороне клиента.
- В инструменты системного аудита добавили фильтрацию событий из логов по uid, вывод дополнительной информации по критическим событиям и упрощённую навигацию для больших наборов записей.
- OpenSSL обновлен до 1.0.2, теперь поддерживаются протоколы DTLS 1.2, ECDHE в TLS и реализация ALPN.
- Прекращена поддержка устаревшего шифрования, в том числе SSH 1.0, SSL 2.0, экспортных шифров (EXPORT), RC4, MD5, MD4 и SHA-0, параметров Diffie-Hellman (DH) до 1024 бит.
- Добавили новый источник энтропии для генератора псевдослучайных чисел на основе отклонения времени повторного исполнения определённого набора инструкций на CPU (CPU execution time jitter), которое непредсказуемо без физического контроля над CPU.
- Полностью поддерживаются пространства имён пользователей (user name spaces), позволяющих задействовать отдельную таблицу идентификаторов, не пересекающуюся с основной системой.
- Переведен в разряд полностью поддерживаемых контейнер с подсистемой идентификации SSSD (System Security Services Daemon)
- В контейнер для развёртывания сервера идентификации (IdM, Identity Management) добавлена экспериментальная поддержка DNSSEC.
- OpenLDAP обновлён до 2.4.44, а Samba — до 4.6.2
- Улучшена поддержка смарт-карт. В web-интерфейсе IdM добавлен вход при помощи смарт-карты, появилась поддержка аутентификации в Active Directory и гибкая схема привязки смарт-карты к учётной записи. В дополнение к драйверу CoolKey добавлен OpenSC, набор библиотек для работы со смарт-картами, поддерживающий Common Access Card (CAC) и предоставляющий функциональность апплета CoolKey.
- По умолчанию включена поддержка рандомизации адресного пространства ядра (KASLR) для подсистем управления памятью. Для остальных подсистем эта возможность пока не включена по умолчанию.
- Добавлена экспериментальная поддержка демона systemd-importd, позволяющего загружать готовые образы контейнеров в форматах tar, raw, qcow2 и dkr и размещать их в /var/lib/machines для запуска через nspawn. Для проверки загружаемых образов используется GPG.
- Для гостевых систем, работающих под управлением гипервизора KVM, добавлена экспериментальная поддержка USB 3.0.
Сеть
- NetworkManager обновлён до 1.8. wpa_supplicant — до 2.6.
- Реализация GRE-туннелей бэкпортирована из ядра 4.8. Добавлена возможность выноса обработки туннелей GENEVE, VXLAN и GRE на специализированное оборудование (offloading), а также реализована поддержка LCO (Local Checksum Offloading) для туннелей.
- В Netfilter добавлена поддержка трансляции сетевых префиксов IPv6 - NPTv6 (IPv6-to-IPv6 Network Prefix Translation, RFC 6296)
- Реализация сетевых мостов (bridge) перенесена из ядра 4.9. Появилась поддержка таких возможностей, как фильтрация 802.1ad VLAN, ускорение Tx VLAN, 802.11 Proxy ARP, применения switchdev для выноса операций коммутации пакетов на внешнее устройство, учёт статистики в привязке к VLAN.
- В ядро добавлена поддержка вложенных VLAN, определённых в спецификации 802.1ad (QinQ). Реализация основана на коде Open vSwitch.
- Проведена оптимизация блокировок в реализации UDP-сокетов, что позволило добиться увеличения пропускной способности обработки UDP-пакетов.
- В утилиту iproute добавлена возможность изменения опций порта сетевого моста (state, priority, cost). В утилиту tc добавлена поддержка классификатора трафика flower.
- Из ветки BIND 9.11 перенесён плагин DynDB (Dynamic Database), позволяющий организовать загрузку DNS-зон из внешних баз данных. Плагин задействован в модуле bind-dyndb-ldap, который применяется для хранения зон в LDAP.
- В firewalld добавлена поддержка различных вариантов ключей хэширования в ipset ( «hash:ip,port», «hash:ip,port,ip», «hash:net,iface» и т.п.), поддержка указания в правилах типов ICMP, возможность отключения автоматической привязки helper-а.
Система
- В инструментарий Performance Co-Pilot (PCP) добавлена поддержка новых утилит, таких как pcp2influxdb (экспорт метрик в influxdb), pcp-mpstat и pcp-pidstat (анализ вывода mpstat и pidstat).
- Система динамической отладки systemtap обновлена до версии 3.1 с поддержкой контрольных проверок для функций в скриптах на языке Python и унификацией доступа к параметрам Java-функций.
- Поддержка технологии «NVMe Over Fabric».
- Поддержка сетевых адаптеров ENA (Elastic Network Adapter), используемых Amazon в инфраструктуре Elastic Compute Cloud (EC2) для организации связи между узлами EC2.
- Увеличена производительность загрузки библиотек, использующих инструкции Intel SSE, AVX и AVX512. Добавлена поддержка режима системного аудита LD_AUDIT.
- Обновлены пакеты: valgrind 3.12, ipmitool 1.8.18, jansson 2.10, tcpdump 4.9.0, shim 12-1 (с поддержкой 32-разрядных прошивок UEFI), dnsmasq 2.76, libreswan 3.20, chrony 3.1, tuned 2.8, rsyslog 8.24, iprutils 2.4.14.
- Обновлено большое количество драйверов и добавлена поддержка нового оборудования, в том числе платформ на базе CPU Intel Xeon Processor E3 v6 и новых устройств NVMe.
- В OpenJDK реализована экспериментальная поддержка сборщика мусора Shenandoah, работающего без приостановок.
- Экспериментально поддерживается режим быстрой ручной перезагрузки ядра при помощи kexec (
reboot --kexec
). - В real-time версии ядра для систем реального времени добавлена экспериментальная поддержка планировщика SCHED_DEADLINE.
- Расширены возможности окружения Atomic Host. Добавлена экспериментальная поддержка LiveFS.