Red Hat Enterprise Linux 6.8

Posté par (page perso) . Édité par Benoît Sibaud, palm123, tankey, Xavier Claude et xunfr. Modéré par Pierre Jarillon. Licence CC by-sa
40
24
juin
2016
Red Hat

Red Hat a annoncé le 10 mai 2016 la version 6.8 de Red Hat Enterprise Linux (RHEL), distribution commerciale destinée aux professionnels et aux entreprises. Pour rappel, RHEL 6 existe depuis novembre 2010 et, même si RHEL 7 est disponible depuis le mois de juin 2014, cette version est toujours maintenue.

RHEL 6

Cette version 6.8 apporte malgré tout des améliorations, entre autres dans les domaines du stockage, de la sauvegarde et de la sécurité. Red Hat avait annoncé la version bêta près de 3 mois auparavant, soit le 15 mars 2016. Une sélection des nouveautés se trouve en deuxième partie de dépêche.

Au-delà de RHEL 6.8, Red Hat a annoncé le 31 mars 2016 Red Hat Enterprise Linux Developer Subscription, une édition de RHEL destinée aux dévelopeurs, ayant la particularité d'être gratuite et sans support (au sens commercial du terme, les mises à jour étant assurées).

Sommaire

Installation

RHEL 6.8 démarre avec une nouveauté très intéressante du côté d'Anaconda : il est dorénavant possible de récupérer un fichier kickstart depuis un serveur HTTPS. De plus, NetworkManager a vu sa verbosité augmenter afin de faciliter l'investigation en cas de problème lors de l'installation. Enfin, l'ID de VLAN 802.1q d'un périphérique réseau est maintenant correctement configuré si celui-ci est nécessaire après une configuration basée sur iBFT (iSCSI Boot Firmware Table).

Sécurité

Ce chapitre sécurité dispose d'un gros morceau, à savoir TLS 1.2. RHEL 6.8 apporte en effet la prise en charge de cette version du célèbre protocole de chiffrement dans de nombreux outils et bibliothèques :

  • yum ;
  • stunnel ;
  • vsftpd ;
  • Git ;
  • Postfix ;
  • NSS ;
  • pycurl ;
  • PHP cURL.

Pour continuer dans les algorithmes de chiffrement, on notera la désactivation par défaut de la prise en charge de SSLv3 et de RC4 dans l'outil web de haute-disponibilité luci. Il est toutefois possible de réactiver cette prise en charge en décommentant la directive allow_insecure dans le fichier de configuration /etc/sysconfig/luci.

Toujours dans la même thématique, il est dorénavant possible d'utiliser des paramètres de courbes elliptiques dans le module Perl Net:SSLeay, et IO::Socket::SSL est maintenant capable d'utiliser ECDHE.

Si vous utilisez RHEL 6 comme serveur ou client VPN IPsec, attention : openswan est rendu obsolète par libreswan (qui est déjà la solution IPsec de RHEL 7), yum faisant un remplacement en cas de mise à jour système. Si vous souhaitez conserver openswan encore quelques temps avant de migrer, Red Hat signale l'option -x de yum pour exclure libreswan : yum install openswan -x libreswan. Un document disponible chez libreswan explique comment migrer depuis openswan.

Authentification et interopérabilité

On retrouve dans ce chapitre quelques nouveautés vues dans RHEL 7.2, en particulier pour SSSD, avec entre autres :

  • un mécanisme de cache est disponible, même en mode en-ligne ;
  • on peut faire correspondre un utilisateur à un UID et GID spécifique ;
  • SSSD peut maintenant interdire un accès SSH à un compte verrouillé ;
  • prise en charge des cartes smart card pour l’authentification locale.

Effet de bord de l'activation de TLS 1.2 dans NSS, le client OpenLDAP prend maintenant en charge cette version du protocole de chiffrement.

On a pu voir dans les dernières versions de RHEL une amélioration de l'intéropérabilité avec Microsoft Windows, en particulier dans le domaine de l'intégration dans Active Directory. RHEL 6.8 continue dans cette politique, en ajoutant un nouveau paquet nommé adcli. Cet utilitaire permet de gérer des objets de types hôtes, utilisateurs et même des groupes depuis une machine RHEL 6.

Développement et outils système

RHEL 6.8 apporte quelques nouveautés pour Java :

  • tout d'abord, OpenJDK 8 prend en charge les courbes elliptiques ;
  • OpenJDK 6 et 7 désactivent par défaut RC4 ;
  • la JVM d'IBM est disponible en version 8, via le paquet java-1.8.0-ibm dans le canal « Supplementary » (la JVM d'Oracle est dans son propre canal).

Les outils systèmes ne sont pas en reste, avec entre autres :

  • dmidecode prend maintenant en charge la spécification SMBIOS 3.0.0 ;
  • mcelog est maintenant en mesure de reconnaître la 6e génération de processeurs Intel Core, les Xeon E3 v5, E5 v4, E7 v4 et D, ainsi que les derniers Pentium, Celeron et Atom ;
  • ⁠tcsh prend en compte $anyerror et $tcsh_posix_status ;
  • openmpi passe en version 1.10.2, mais la version 1.8 est toujours accessible pour conserver la compatibilité avec RHEL 6.7 ;
  • la glibc dispose maintenant du jeu de caractères hongkongais BIG5-HKSCS-2008 ;
  • SystemTap passe en version 2.9 ;
  • memtest86+ passe en version 5.01, incluant la possibilité de tester jusqu'à 2 téraoctets de mémoire vive !

Environnement de bureau

Ne vous attendez pas à des miracles, pas de Gnome 3 pour RHEL 6. On appréciera en revanche une mise à jour de LibreOffice, qui passe en version 4.3.7.2. Dans cette version deux nouveautés se démarquent, à savoir la possibilité d'imprimer des commentaires dans la marge, et l'amélioration de l'interopérabilité avec OpenXML.

Autre amélioration pour ceux qui utilisent des applets Java, le paquet icedtea-web a été mis à jour en version 1.6.2, apportant entre autres une documentation plus fournie, une complétion dans bash, une amélioration de sa sandbox, ou encore un argument -html pour utiliser le cadriciel Java Web Start à la place d'AppletViewer.

Stockage

Commençons par le stockage en mode fichiers, avec NFS : il est possible dorénavant d'afficher le domaine effectif d'un partage NFSv4 avec la commande nfsidmap -d.

Pour CIFS, les clients inactifs envoient un appel d'écho toutes les 60 secondes. Cet intervalle était paramétré en dur à 60 secondes pour calculer le timeout d'un serveur injoignable. Dorénavant, il est possible de paramétrer cet intervalle via l'option de montage echo_interval=n.

Pour le stockage bloc, on notera l'arrivée d'un outil de statistiques pour le pilote device-mapper nommé dmstats. Il fournit des fonctionnalités similaires au programme iostats, mais à un plus fin niveau de granularité qu'un périphérique entier.

Virtualisation

Si l'interopérabilité avec Hyper-V ou Azure vous paraissait insuffisante, alors RHEL 6.8 devrait vous rassurer. On démarre avec la gestion des stockages disposant de secteurs de 4096 bits, ce qui devrait améliorer les performances de ceux-ci. Encore dans le stockage de machines virtuelles, RHEL 6.8 prend maintenant en charge les opérations de TRIM sur les disques durs Hyper-V : cela veut dire que non seulement les fichiers VHDX arrêteront de trop grossir, mais aussi qu'il est possible d'utiliser du « thin-provisionning ».

Il est maintenant possible de faire un rapport des crashs noyau Linux à Hyper-V : les données de notification de « kernel panic » sont capturées dans le journal d'évènements de Windows (évènement 18590).

Si vous utilisez Windows 10 ou Windows Server 2016 comme hôte Hyper-V, la prise en charge de RHEL 6.8 est officiellement supportée. De plus, il est maintenant possible de créer des machines de deuxième génération sur un hôte Windows Server 2012 R2, qui apporte entre autres un disque virtuel SCSI ou un firmware UEFI.

Un nouveau logiciel fait son entrée : Microsoft Azure Linux Agent a été inclus dans le canal « Extras », en version 2.0.16 (le paquet se nomme WALinuxAgent). Comme son nom l'indique, il a vocation à être installé sur une machine virtuelle dans le cloud Microsoft Azure afin de faciliter le provisionnement.

Noyau et matériel

Le fichier /proc/pid/cmdline (où pid est à remplacer par un identifiant de processus, justement) est un fichier qui permet par exemple à ps d'afficher la commande lancée (essayez par exemple avec cat /proc/1/cmdline). Depuis RHEL 6.8, la taille de ce fichier est dorénavant illimitée. Elle était de 4096 caractères auparavant. Cela sera donc très utile pour afficher des processus dont les lignes de commandes et les arguments sont très longs.

Bon nombre de pilotes réseau ont été mis à jour, comme par exemple ixgbe, bnx2, e100 et e1000e. Il s'agit essentiellement de mises à jour de corrections de bug.

Toujours côté matériel, mais plus centré sur les processeurs, le microcode Intel a été mis à jour en version 20151106. La prise en charge d'Interval Tree, qui permet d'accéder aux fonctionnalités GPU des Xeon v3 et v4, est ajoutée au noyau. Enfin, une autre mise à jour du noyau ajoute la prise en charge d'EDAC (Error Detection and Correction, en français « Détection et Correction d'Erreurs ») sur les contrôleurs mémoire des Xeon v4.

Dans les outils, on remarquera une mise à jour de perf, qui contient surtout des améliorations pour des processeurs Intel Xeon v3, v4, v5 ainsi que la cinquième génération de processeurs Intel Core i7. Le temps pris pour finir un crash dump sur des systèmes disposant de beaucoup de mémoire vive a été réduit au niveau de kexec-tools et de makedumpfile en utilisant mmap() pour retirer les pages mémoires vide et inutiles.

Services réseau

Une mise à jour d'Apache modifie le fonctionnement de mod_rewrite, en lui permettant d'exécuter un programme en tant qu'utilisateur simple et non root, ce qui devrait réduire les risques de sécurité en utilisant des processus non privilégiés.

Du côté de Squid, deux nouveautés sont à noter : la première consiste en l'ajout de la possibilité de conserver dans les logs les adresses IP et ports des hôtes distants, en plus de la possibilité existante du nom d'hôte. Cela peut être pratique dans le cas où un site dispose de plusieurs adresses IP (répartition de charge DNS). La deuxième nouveauté est la présence d'une nouvelle version de Squid dans les dépôts, la 3.4.14. Cette version peut être obtenue en installant le paquet squid34.

BIND a aussi droit à une mise à jour, laquelle ajoute la prise en charge de CAA (Certification Authority Authorization). Cela permet de restreindre la liste des autorités de certification valides pour un enregistrement DNS, et limite donc la possibilité d'attaque de type « homme du milieu » sur les certificats TLS.

OpenSSH fait aussi partie des heureux mis à jour ! Notre serveur SSH favori se voit ajouter la prise en compte des mots-clés LocalAddress et LocalPort dans les conditions de type Match dans le fichier sshd_config. Cela permet par exemple d'éviter de créer deux configurations complètes, et de lancer deux fois sshd. De plus, il est maintenant possible de désactiver certains algorithmes d'échanges de clés GSSAPI : cela fait suite à la découverte de la faille Logjam (CVE-2015-4000).

Enfin, une nouvelle option fait son apparition dans pam_ssh_agent_auth : authorized_keys_command va permettre entre autres de gérer des règles sudo sur différentes machines en listant les clés SSH disponibles.

Appel à volontaires

Lire, c'est bien, contribuer, c'est mieux ! Si vous souhaitez apporter votre pierre à l'édifice, sachez que Red Hat publie plusieurs mois avant une RHEL stable une version bêta, accompagnée de notes de version, généralement assez proches de la version finale (à quelques rares exceptions près). Créer un squelette de dépêche RHEL est simple et généralement réalisé par votre serviteur dès que la disponibilité de la bêta se fait savoir.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.