Red Hat a annoncé le 21 mars 2017 la version 6.9 de Red Hat Enterprise Linux (RHEL), distribution commerciale destinée aux professionnels et aux entreprises. Pour rappel, RHEL 6 existe depuis novembre 2010 et, même si RHEL 7 est disponible depuis le mois de juin 2014, cette version est toujours maintenue.
Cette version 6.9 précède de peu l’entrée de RHEL 6 en phase de production 3, qui aura lieu le 10 mai 2017. À cette date, les mises à jour seront limitées aux correctifs de sécurités qualifiés de critiques, ainsi qu’aux problèmes urgents et à fort impact.
Vous trouverez en deuxième partie de cet article une sélection des changements apportés.
Sommaire
- Installation, mises à jour et démarrage
- Sécurité
- Authentification et interopérabilité
- Développement et outils système
- Stockage
- Virtualisation
- Matériel et noyau
- Services réseau
- Appel à volontaires
Installation, mises à jour et démarrage
Chapitres correspondant dans les notes de version : 2. General Updates et 8. Installation and Booting.
Ouvrons le bal des nouveautés de cette 6.9 avec la gestion des mises à jour majeures. C’était l’une des nouveautés de RHEL 7, à savoir la possibilité de faire une mise à jour de RHEL 6 vers RHEL 7 sans réinstaller. Le paquet preupgrade-assistant sur cette Red Hat Entreprise Linux 6.9, passe en version 2.3.3. Cette version apporte, entre autres, l’outil preupg-diff, qui compare plusieurs rapports XML de l’assistant de mise à jour.
Il est maintenant possible de mettre à jour un serveur RHDS (Red Hat Directory Server). Le Preupgrade Assistant dispose d’un module qui détecte la présence des paquets logiciels RHDS, crée une sauvegarde des fichiers de configuration le cas échéant et affiche des informations à leur propos (BZ#1406464).
Du côté du démarrage, il est maintenant possible d’utiliser l’option NO_DHCP_HOSTNAME dans le fichier /etc/sysconfig/network. Cette option empêche les scripts d’initialisation de récupérer le nom d’hôte de la machine via DHCP (BZ#1157856).
Sécurité
Chapitre correspondant dans les notes de version : 11. Security.
Le principal apport de cette version est la prise en charge du protocole TLS 1.2 pour la bibliothèque GnuTLS (BZ#1339222). De plus, cette version devient la version par défaut du chiffrement pour vsftpd (BZ#1350724) et est aussi prise en charge dans rsyslog7 (BZ#1350724).
Le NIST (National Institute of Standards and Technology’s) a certifié OpenSCAP version 1.2.13 comme étant compatible avec le standard SCAP 1.2 dans la catégorie « Authenticated Configuration Scanner with CVE (Common Vulnerabilities and Exposure) option » (BZ#1364207).
Le démon auditd devient à simple fil d’exécution pour son flux de données et utilise un mode asynchrone par défaut. Ce nouveau mode nommé incremental_async permet d’améliorer considérablement les performances d’auditd pour sa gestion de journal système (BZ#1369249).
Authentification et interopérabilité
Chapitres correspondant dans les notes de version : _3. Authentication and Interoperability et 6. Directory Server in Red Hat Enterprise Linux.
Du côté de l’authentification, SSSD permet à présent de pré‐sélectionner les domaines Active Directory sur lesquels le client GNU/Linux pourra s’authentifier. Cette nouvelle configuration évite certains temps latence lorsque des domaines sont injoignables et évite que le service SSSD ne se mette en mode isolé.
Le module pam_faillock dispose maintenant d’une option unlock_time=never : un utilisateur verrouillé par trop d’échecs d’authentification ne sera pas déverrouillé automatiquement (BZ#1404832).
Autre amélioration d’un point de vue sécurité, il est à présent possible d’activer ou désactiver les différentes versions de TLS sur le Directory server, afin de choisir la version du protocole à utiliser (BZ#1330758). Pour information, le Directory server est l’annuaire LDAP de Red Hat.
Développement et outils système
Chapitres correspondant dans les notes de version : 5. Compiler and Tools et 15. Red Hat Software Collections.
Perl dispose lui aussi de deux modules permettant maintenant de restreindre les versions accessibles du protocole TLS : Net::SSLeay (BZ#1325407) et IO::Socket::SSL (BZ#1331037).
Red Hat maintient la compatibilité des API et ABI pendant tout le cycle de vie de sa distribution (10 ans pour Red Hat 6). Les logiciels inclus dans la distribution ne changent donc pas de versions majeures, permettant à un logiciel écrit, par vous ou pour vous, sur Red Hat 6.0 de fonctionner sur Red Hat 6.9.
Afin de proposer à ses utilisateurs certains logiciels en versions plus récentes et ne pas toucher à la compatibilité décennale, Red Hat a mis en œuvre les Red Hat Softwares Collections qui disposent d’un support spécifique et proposent des versions plus récentes que celles intégrées par défaut. Les Red Hat Softwares Collections sont ici disponibles en version 2.3, et apportent, entre autres, Python 3.5.1, PHP 7, Perl 5.24, MySQL 5.7, et Eclipse 4.6.
Stockage
Chapitre correspondant dans les notes de version : 13. Storage.
Le stockage dans RHEL 6.9 voit plusieurs mises à jour de pilotes matériels. On notera, entre autres, l’arrivée de smartpqi, qui remplace aacraid, la mise à jour de mpt3sas, ainsi que celle de megaraid_sas.
On retiendra aussi la présence d’un message d’avertissement lors de l’ajout et la liste de périphériques multipath si multipathd n’est pas lancé (BZ#1305589).
Virtualisation
Chapitre correspondant dans les notes de version : 14. Virtualization.
À nouveau parlons de TLS, mais cette fois‐ci dans libvirt : celui‐ci dépendant en effet des chiffrements positionnés en dur dans GnuTLS, il était possible d’utiliser des chiffrements faibles. Il a donc été mis à jour et dispose dorénavant d’options de configuration qui permettent d’exclure certains algorithmes (BZ#1333415).
Le pilote Hyper-V de stockage, storvsc, a été mis à jour depuis l’upstream. Cette mise à jour amène une amélioration des performances d’entrée‐sortie pour certaines charges de travail (BZ#1352824).
Matériel et noyau
Chapitres correspondant dans les notes de version : 7. Hardware Enablement et 9. Kernel.
Notons l’arrivée de l’outil cpuid dans RHEL 6. Il permet de montrer des informations détaillées à propos du processeur, collectés depuis l’instruction CPUID, et qui permet de déterminer le modèle exact de celui‐ci. Il prend en compte les processeurs d’AMD, Intel et VIA (BZ#1316998).
Côté noyau, citons les mises à jour du micrologiciel Chelsio, ainsi que des pilotes bnxt_en et AHCI, ces deux derniers ajoutant la prise en charge de nouveaux matériels réseau et SATA.
Services réseau
Chapitres correspondant dans les notes de version : 4. Clustering, 10. Networking et 12. Servers and Services.
Pacemaker dispose de deux nouveautés : la première consiste en la prise en charge d’Oracle 11g dans les agents de ressource Oracle et OraLsnr (BZ#1336846), la seconde concerne l’apparition d’alertes, qui permettent d’exécuter certaines actions selon certains évènements. Cette dernière nouveauté permet par exemple d’envoyer un courriel ou de notifier un système de supervision (BZ#1253325, BZ#1376480).
Côté luci, on retiendra l’apparition de certificats d’authentification, afin de s‘assurer de l’identité des différents nœuds d’une grappe de serveurs à haute disponibilité (BZ#885028).
Il est maintenant possible, lorsqu’on utilise NetworkManager pour gérer ses interfaces réseau, d’empêcher celui‐ci de modifier le fichier /etc/resolv.conf. Pour cela, il suffit d’ajouter l’option dns=none dans le fichier /etc/NetworkManager/NetworkManager.conf (BZ#1308730).
Pour les utilisateurs du cloud Microsoft Azure, un exemple de hook client DDNS (Dynamic DNS) a été ajouté au paquet dhcp, l’activation de ce hook permet d’enregistrer ses systèmes avec un serveur DDNS (BZ#1321945).
Encore du TLS, mais cette fois‐ci pour Postfix, qui permet de contrôler finement la version de celui‐ci. Il est par exemple possible de désactiver TLS 1.1 mais de conserver TLS 1.2, via la configuration suivante (BZ#1287192) :
smtpd_tls_mandatory_protocols = !TLSv1.1
Appel à volontaires
Cette dépêche, contrairement à celle sur le noyau, ne mobilise pas de nombreuses personnes lors de sa rédaction, alors que l’actualité autour de Red Hat et de certains produits upstream est, au contraire, en hausse : on notera, par exemple, l’absence de dépêche sur les dernières versions de Katello, des avancées de CentOS ou des Software Collections (évoquées succinctement dans RHEL 7.3 pour les Software Collections 2.3).
Si vous souhaitez apporter votre pierre à l’édifice, sachez que Red Hat publie plusieurs mois avant une RHEL stable une version bêta, accompagnée de notes de version, généralement assez proches de la version finale (à quelques rares exceptions près). Créer un squelette de dépêche RHEL est simple et généralement réalisé dès que possible.
Aller plus loin
- Red Hat (341 clics)
- LinuxFr.org : Red Hat Enterprise Linux 7.3 (1155 clics)
- LinuxFr.org : Red Hat Enterprise Linux 6.8 (304 clics)
- Annonce de RHEL 6.9 sur le site de Red Hat (216 clics)
- Notes de version (174 clics)
- Notes techniques (144 clics)
- Calendrier de cycle de vie de RHEL (186 clics)
- Red Hat Store (154 clics)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.