3 新機能および変更点
Oracle Linux 7.7には、次の機能と変更点が含まれています。
Oracle Linux 7の最初のリリースの新機能と変更点の詳細は、Oracle Linux 7: リリース・ノートfor Oracle Linux 7を参照してください。
インストール
この更新には、次のインストール機能とアップグレード機能、バグ修正および拡張機能が含まれています。
Oracle Linux 7.7のインストールに関する重要な情報
Oracle Linux 7.7をインストールする前に、次の重要な情報を確認してください。
重要:
Unbreakable Linux Network (ULN)にその後登録されたOracle Linux 7.7 ISOを使用してインストールされたシステムは、ol7_x86_64_latestチャネルおよびol7_x86_64_UEKR5チャネルに自動的にサブスクライブされ、次回のシステム更新で最新のUnbreakable Enterprise Kernelリリース5 (UEK R5)リリースをダウンロードするように構成されます。ULNに最初に登録された後にyum updateを実行すると、システムはOracle Linux 7.7リリースにアップグレードされ、デフォルトのカーネルは自動的にUEK R5に変更されます。UEK R4などの代替カーネルを引き続き使用する場合は、システム更新を実行する前に、ULNでシステムのサブスクリプションを手動で変更する必要があります。
ULNに登録されていないシステムは、既存のyum構成を保持し、Oracle Linux 7.7でインストールされたカーネルを引き続き使用します。ULNに登録されていない場合に、UEK R5を使用するようにアップグレードする場合は、yum構成でol7_UEKR5リポジトリを有効にする必要があります。
グラフィカル・インストール・プログラムの拡張
Oracle Linux 7.7のグラフィカル・インストール・プログラムは、システムで同時マルチスレッド(SMT)が有効になっているかどうかを検出するように拡張されました。この機能が有効になっている場合は、インストール・サマリー画面の下部にメッセージが表示されます。SMTでは、単一の物理CPUコアで複数のスレッドを実行できるため、パフォーマンスが向上します。SMTを使用できるのは、CPUがSMTに対応している場合のみであることに注意してください。
SMTをシステムで使用するかどうかを設定するためのカーネル・オプションを使用できます。デフォルトでは、mitigations=autoカーネル・パラメータが設定されます。このパラメータにより、CPUの脆弱性が緩和されますが、脆弱な場合でもSMTは有効なままです。脆弱性が検出された場合は、カーネル・オプションをmitigations=auto,nosmtに設定してシステムを起動することで、SMTを無効にできます。
開発者ツールおよびコンパイラ・ツール
この更新には、次のコンパイラ・ツール機能と開発者ツール機能および拡張機能が含まれています。
-
gcc-librariesパッケージのバージョンを8.3.1に更新このバージョンのGNU Compiler Collection (GCC)には、以前のGCCバージョンに対するいくつかのバグ修正と拡張機能が導入されています。
-
linuxptpパッケージのバージョンを2.0に更新このバージョンの
linuxptpコンパイラ・ツールには、以前のバージョンに対するいくつかのバグ修正と拡張機能が導入されています。 -
Pythonバージョン3.6が使用可能
この更新には、Python 3.6インタプリタおよび
pipツールとsetuptoolsツールを提供するpython3パッケージが含まれています。以前は、これらのパッケージはソフトウェア・コレクションの一部としてのみ使用できました。
Red Hat Compatible Kernel
次の変更点はRed Hat Compatible Kernel (RHCK)に固有です。詳細は、Unbreakable Enterprise Kernelドキュメントの「Oracle Linux Unbreakable Enterprise Kernelリリース5」の最新バージョンのリリース・ノートを参照してください。
-
すべてのアーキテクチャでIMA機能およびEVM機能が使用可能
この更新では、すべてのアーキテクチャで整合性測定アーキテクチャ(IMA)機能および拡張検証モジュール(EVM)機能を使用できます。IMA機能およびEVM機能を使用して、偶然または悪意のある変更についてファイルをモニターします。Oracle Linux 7.6では、これらの機能はAMD64およびIntel 64アーキテクチャでのみ使用できました。
-
VXLANトンネルおよびGENEVEトンネルにPMTU検出およびルート・リダイレクションを提供
この拡張機能により、Virtual Extensible LAN (VXLAN)トンネルおよびGeneric Network Virtualization Encapsulation (GENEVE)トンネルにパスMTU (PMTU)検出およびルート・リダイレクションが追加されます。カーネルは、「宛先に到達できません」や「リダイレクト・メッセージ」などのインターネット制御メッセージ・プロトコル(ICMP)エラー・メッセージや、VXLANトンネルやGENEVEトンネルの「パケットが大きすぎます」や「宛先に到達できません」などのICMPv6エラー・メッセージを処理できるようになりました。これは、PMTUを調整して転送情報を変更することで処理されます。
-
新しいOracle Linux 7.7インストールでSpectre V2の緩和策のデフォルトをIBRSからRetpolineに変更
新しいOracle Linux 7.7インストールでは、第6世代Intel Coreプロセッサおよび類似したデリバティブが搭載されたシステムのSpectre V2の脆弱性(CVE-2017-5715)に対するデフォルトの緩和策が、Indirect Branch Restricted Speculation (IBRS)からRetpolineに変更されました。この実装は、Intel社の推奨事項を反映させたものであり、Linuxコミュニティで使用されているデフォルトにあわせ、失われたパフォーマンスを回復します。特定の状況でRetpolineを使用すると、Spectre V2が完全には緩和されない場合があることに注意してください。
ネットワーク
この更新には、次のネットワーク機能、バグ修正および拡張機能が含まれています。
-
NetworkManagerにブリッジ・インタフェースでのVLANフィルタリング機能を追加
この拡張機能により、対応する
NetworkManager接続プロファイルのブリッジ・インタフェースで仮想LAN (VLAN)フィルタリングを構成したり、ブリッジ・ポートにVLANを直接定義できます。 -
NetworkManagerにポリシー・ルーティング・ルールを構成する機能を追加
この拡張機能により、接続プロファイルの一部としてルールを構成できます。これは、プロファイルがアクティブ化されると
NetworkManagerによってルールが追加され、プロファイルが非アクティブ化されるとルールが削除されることを意味します。以前は、NetworkManager-dispatcher-routing-rulesパッケージで提供されるディスパッチャ・スクリプトを使用して、NetworkManagerの外部でポリシー・ルーティング・ルールを設定する必要がありました。
セキュリティ
この更新には、次のセキュリティ機能、バグ修正および拡張機能が含まれています。
-
ネットワーク・セキュリティ・サービス(NSS)パッケージを更新
この更新では、多数のバグ修正、セキュリティ強化および以前のNSSバージョンの改善など、いくつかのNSSの変更が導入されています。
特に、NSSコードおよび認証局(CA)リストは、最新のMozilla Firefox延長サポート版(ESR)で公開されている推奨事項を満たしています。更新されたCAリストにより、インターネット公開鍵インフラストラクチャ(PKI)で使用される証明書との互換性が向上します。
-
Universal Base Imageコンテナおよびイメージを含むようにSCAPセキュリティ・ガイドを拡張
SCAPセキュリティ・ガイドのセキュリティ・ポリシーは、Universal Base Image (UBI)コンテナとUBIイメージ(
ubi-minimalイメージも含む)を含むように拡張されました。この拡張により、atomic scanコマンドを使用して、UBIコンテナおよびイメージの構成コンプライアンス・スキャンが可能になります。UBIコンテナおよびイメージを、SCAPセキュリティ・ガイドに同梱されているプロファイルに対してスキャンできるようになりました。UBIのセキュアな構成に関連するルールのみが評価されます。UBIイメージおよびコンテナに適用できないルールは、自動的にスキップされます。 -
scap-security-guideパッケージのバージョンを0.1.43に更新
この更新の時点で、
scap-security-guideパッケージはバージョン0.1.43に更新されています。このバージョンのscap-security-guideパッケージでは、以前のバージョンに対する複数のバグ修正および拡張機能が提供されています。 -
shadow-utilsパッケージのバージョンを4.6に更新
この更新では、
shadow-utilsパッケージがバージョン4.6に更新されました。このバージョンのshadow-utilsパッケージでは、UIDとGIDのネームスペース・マッピングを操作するための新しいnewuidmapコマンドおよびnewgidmapコマンドなど、以前のバージョンに対するいくつかのバグ修正および拡張機能が提供されています。 -
SELinuxタイプtangd_port_tを追加
Oracle Linux 7.7に、SELinuxタイプ
tangd_port_tが追加されました。このSELinuxタイプを使用すると、SELinuxの強制モードでtangdサービスを限定して実行できます。これにより、SELinuxが強制モード時に提供するセキュリティ・レベルを保持したまま、Tangサーバーの構成が簡素化され、ユーザー定義ポートのリスニングが可能になります。
インフラストラクチャ・サービス
この更新には、次のサーバー機能およびサービス機能、バグ修正および拡張機能が含まれています。
テクノロジ・プレビュー
UEK R5を使用する場合の現在テクノロジ・プレビューが行われている機能は、Unbreakable Enterprise Kernel: リリース・ノートfor Unbreakable Enterprise Kernelリリース5更新2 (4.14.35-1902)に示されています。
RHCKでは、次の機能が現在テクノロジ・プレビュー中です。
-
Systemd: コンテナ・イメージのインポートおよびエクスポートに対応するImportd機能。
-
ファイル・システム:
-
Parallel NFS (pNFS)のブロック・ストレージ・レイアウトおよびオブジェクト・ストレージ・レイアウト。
-
アプリケーションから永続メモリーを直接マッピングするDAX (Direct Access)。この機能は、ext4およびXFSファイル・システムでテクニカル・プレビュー中です。
-
OverlayFSは引き続きテクニカル・プレビュー中。
-
-
カーネル:
-
Heterogeneous memory management (HMM)。
-
No-IOMMUモードの仮想I/O機能。
-
-
ネットワーク:
-
専用のCiscoアーキテクチャでRDMAと同様の機能を提供するCisco VIC InfiniBandカーネル・ドライバ。
-
qlcnicドライバに含まれるシングルルートI/O仮想化(SR-IOV)。 -
UCMサーバーのCisco専用のUser Space Network Interface Controllerを
libusnic_verbsドライバで提供。 -
Trusted Network Connectを追加。
-
-
ストレージ:
-
SCSI向けのマルチキューI/Oスケジューリング(
scsi-mq)。この機能は、デフォルトでは無効です。 -
ストレージ・アレイの管理に使用される
libStorageMgmtAPIのプラグイン。libStorageMgmtAPIはサポートされるようになりましたが、プラグインはテクノロジ・プレビュー中です。
-
互換性
Oracle LinuxではRed Hat Enterprise Linuxとのユーザー空間の互換性が維持され、これはオペレーティング・システムの基盤となるカーネルのバージョンとは無関係です。ユーザー空間の既存のアプリケーションは、Unbreakable Enterprise Kernelリリース5 (UEK R5)で変更なしに引き続き実行され、RHEL認定アプリケーションには証明書の更新は不要です。
Oracle Linuxチームはリリース時の互換性に関する影響を最小限に抑えるため、カーネル・モジュールに対する依存性があるハードウェアおよびソフトウェアを提供するサード・パーティ・ベンダーと緊密に協力しています。UEK R5のカーネルABIは、最初のリリースの後のすべての更新において変更されていません。UEK R5には、システム上のサード・パーティのカーネル・モジュールの再コンパイルを必要とするUEK R4に対するカーネルABIの変更が含まれています。UEK R5をインストールする前に、アプリケーション・ベンダーとそのサポート状況を確認してください。