1. リリース・ノートfor Oracle Linux 7.8
  2. 新機能および変更点

4 新機能および変更点

警告:

Oracle Linux 7は現在延長サポート中です。詳細は、Oracle Linux拡張サポートおよびOracleオープン・ソース・サポート・ポリシーを参照してください。

できるだけ早くアプリケーションとデータをOracle Linux 8またはOracle Linux 9に移行してください。

Oracle Linux 7.8には、次の機能および変更点が含まれています。これらの機能は、一般的にx86_64プラットフォームとArm (aarch64)プラットフォームに該当します。特にArmプラットフォームに該当する機能および変更点に関する情報は、「Oracle Linux 7.8 (aarch64)のリリース固有の情報」を参照してください。

Oracle Linux 7の最初のリリースの新機能と変更点の詳細は、Oracle Linux 7: リリース・ノートfor Oracle Linux 7を参照してください。

Oracle Linux 7.8のインストールに関する重要な情報

Oracle Linux 7.8をx86_64プラットフォームにインストールする前に、次の重要な情報を確認してください。

重要:

Oracle Linux 7.8 ISOを使用してインストールされ、その後、Unbreakable Linux Network (ULN)に登録されたシステムは、ol7_x86_64_latestおよびol7_x86_64_UEKR5チャネルに自動的にサブスクライブされ、次のシステム更新時に最新のUnbreakable Enterprise Kernelリリース5 (UEK R5)リリースをダウンロードするように構成されます。ULNに最初に登録された後にyum updateを実行すると、システムはOracle Linux 7.8リリースにアップグレードされ、デフォルトのカーネルは自動的にUEK R5に変更されます。UEK R4などの代替カーネルを引き続き使用する場合は、システム更新を実行する前に、ULNでシステムのサブスクリプションを手動で変更する必要があります。

ULNに登録されていないシステムでは既存のyum構成が保持され、インストールされているカーネルがOracle Linux 7.8で引き続き使用されます。ULNに登録されていない場合に、UEK R5を使用するようにシステムをアップグレードするには、yum構成でol7_UEKR5リポジトリを有効にする必要があります。

RHCKで非推奨となったBTRFS

Oracle Linux 7.4以降、BTRFSファイル・システム・タイプはRHCKでは非推奨です。BTRFSは、UEK R4以降のUEKリリースでは完全にサポートされています。

rsyslogの改良

Oracle Linux 7.8では、rsyslogサービスに改良が加えられています。imudpおよびimtcpモジュールのFROMHOSTプロパティを使用して、大/小文字の維持を管理するための新しいオプションが追加されました。大/小文字を区別してFROMHOSTプロパティを処理できるようにするには、preservecase値を明示的にonに設定する必要があります。既存の構成が破損しないように、デフォルトのpreservecase値は、imtcpモジュールについてはonに設定され、imudpモジュールについてはoffに設定されます。

Pacemakerのデフォルト設定

Oracle Linux 7.8では、Pacemakerのconcurrent-fencingクラスタ・プロパティがデフォルトでtrueに設定されます。また、Pacemakerは、同時にフェンシングを必要とする異なる構成済フェンス・デバイスを使用する複数のノードに対してフェンシングを同時に実行するようになりました。以前は、このタイプのフェンシングはシリアライズされていました。この機能強化により、複数のノードがフェンスされる大規模なクラスタでのリカバリが高速化されます。

セキュリティ

このリリースには、次のセキュリティ機能、バグ修正および機能強化が含まれています。

SCAPセキュリティ・ガイドの改良

この更新では、scap-security-guideパッケージがバージョン0.1.46に更新されました。また、scap-security-guideパッケージ内のosppというIDを持つProtection Profile for General Purpose Operating Systems (OSPP)プロファイルがOSPP 4.2.1ベースラインに更新されています。

この更新におけるもう1つの変更点は、ncpというIDを持つNCP (NIST National Checklist Program Security Guide)プロファイルの導入です。NCPプロファイルはOSPP 4.2.1に準拠し、追加のポリシー(特に、CNSSI 1253、NIST 800-171、NIST 800-53、USGCBおよびOS SRG)の構成要件を実装しています。

ospp42というIDは削除されました。管理者には、現在ospp42プロファイルを使用しているシステムを、有効なIDであるosppに切り替えることをお薦めします。

この更新には、SCAPセキュリティ・ガイドについて他にも次のような重要な機能や機能強化が含まれています。

  • SCAPセキュリティ・ガイドでACSC Essential Eightがサポートされる

    scap-security-guideパッケージでは、Australian Cyber Security Centre (ACSC) Essential Eightコンプライアンス・プロファイルが提供されるようになりました。また、OpenSCAPスイートを使用して、ACSCによって定義された最小限のセキュリティ制御のこの仕様を使用してセキュリティ・コンプライアンスおよび修正を確認できるようになりました。

  • SCAPセキュリティ・ガイドによってサービスが適切に無効化される

    SCAPセキュリティ・ガイド(SSG)プロファイルによって、開始すべきでないサービスが適切に無効化およびマスクされるようになりました。これにより、無効になっているサービスが、別のサービスの依存関係として誤って開始されることがなくなります。以前は、SSGプロファイルによってサービスが無効化されるのみでした。その結果、SSGプロファイルによって無効化されたサービスは、最初にマスク解除しないかぎり開始できませんでした。

  • Oracle Linux 7からのOracle Linux 8システムのスキャンのサポート

    この更新では、Oracle Linux 7環境からOracle Linux 8システムをスキャンする機能を提供する、Oracle Linux 8用のSCAPコンテンツおよびAnsibleプレイブックがscap-security-guideパッケージに含まれています。

SELinuxの改良

このリリースでは、次に示すSELinuxの機能および変更が導入されています。

  • selinux-policyパッケージが更新されて、redis_port_tというラベルが付いたポートへのtomcat_tドメイン・アクセスが有効になった

    Oracle Linux 7.8の新機能として、tomcat_can_network_connect_db SELinuxブールが有効になっている場合に、selinux-policyパッケージによって、tomcat_t domainドメインがredis_port_tというラベルが付いたポートに接続できるようになりました。このブールによって、様々なデータベースへのアクセス権がtomcat_tに提供されます。

  • SELinuxポリシーが更新されて、sysadm_uユーザーがグラフィカル・セッションにログインできるようになった

    この更新では、SELinuxポリシーによって、DISA STIG要件に準拠しながら、グラフィカル・セッションへのsysadm_uユーザーのログイン・アクセスが許可されるようになりました。さらに、xdm_sysadm_loginブールを有効にすると、sysadm_uユーザーはGNOME Display Manager (GDM)からX Window Systemセッションに正常にログインできます。

テクノロジ・プレビュー

RHCKでは、次の機能が現在テクノロジ・プレビュー中です。

ノート:

UEK R5で現在テクノロジ・プレビューが行われている機能は、Unbreakable Enterprise Kernelドキュメント・ライブラリに含まれている、実行しているUEK R5リリースのリリース・ノートに記載されています。

  • Systemd: コンテナ・イメージのインポートおよびエクスポートに対応するImportd機能。

  • ファイル・システム:

    • Parallel NFS (pNFS)のブロック・ストレージ・レイアウトおよびオブジェクト・ストレージ・レイアウト。

    • アプリケーションから永続メモリーを直接マッピングするDAX (Direct Access)。この機能は、ext4およびXFSファイル・システムでテクニカル・プレビュー中です。

    • OverlayFSは引き続きテクニカル・プレビュー中。

  • カーネル:

    • トレースのためのextended Berkeley Packet Filterツール(eBPF)のシステム・コール。

    • Heterogeneous memory management (HMM)。

    • 現在実行中のカーネルから別のカーネルにロードおよびブートするためのkexecおよびkexec高速リブート・システム・コール。

    • No-IOMMUモードの仮想I/O機能。

  • ネットワーク:

    • 専用のCiscoアーキテクチャでRDMAと同様の機能を提供するCisco VIC InfiniBandカーネル・ドライバ。

    • qlcnicドライバに含まれるシングルルートI/O仮想化(SR-IOV)。

    • UCMサーバーのCisco専用のUser Space Network Interface Controllerをlibusnic_verbsドライバで提供。

    • オフロードをサポートしているflower分類子。

    • Trusted Network Connectを追加。

  • ストレージ:

    • SCSI向けのマルチキューI/Oスケジューリング(scsi-mq)。この機能は、デフォルトでは無効です。

    • qla2xxxドライバを使用してQlogicアダプタで使用可能なNVMe over Fibre Channel (NVMe/FC)トランスポート・タイプ。

    • ストレージ・アレイの管理に使用されるlibStorageMgmt APIのプラグイン。libStorageMgmt APIはサポートされるようになりましたが、プラグインはテクノロジ・プレビュー中です。

互換性

Oracle Linuxでは、オペレーティング・システムの基盤となるカーネルのバージョンに関係なく、Red Hat Enterprise Linux (RHEL)とのユーザースペースの互換性が維持されます。ユーザースペースの既存のアプリケーションは、Unbreakable Enterprise Kernelリリース5 (UEK R5)で変更なしに引き続き実行され、RHEL認定アプリケーションには証明書の更新は不要です。

Oracle Linuxチームはリリース時の互換性に関する影響を最小限に抑えるため、カーネル・モジュールに対する依存性があるハードウェアおよびソフトウェアを提供するサード・パーティ・ベンダーと緊密に協力しています。UEK R5のカーネルABIは、最初のリリースの後のすべての更新において変更されていません。UEK R5には、システム上のサード・パーティのカーネル・モジュールの再コンパイルを必要とするUEK R4に対するカーネルABIの変更が含まれています。UEK R5をインストールする前に、アプリケーション・ベンダーとそのサポート状況を確認してください。