1. リリース・ノートfor Oracle Linux 8.1
  2. 新機能および変更点

2 新機能および変更点

この章では、このリリースのOracle Linux 8に含まれている新機能、主な機能強化、バグ修正およびその他の変更点について説明します。

インストールおよびイメージ作成

Oracle Linux 8.1では、次の重要なインストールおよびイメージ作成の機能と改善が導入されています。

  • kickstartインストール時にモジュールを無効にする機能

    kickstartインストール時にモジュールを無効にして、そのモジュールのパッケージがインストールされないようにできるようになりました。kickstartインストール時にモジュールを無効にするには、次のコマンドを使用します。 

    sudo module --name=module-name --stream=stream-name--disable

  • 新しいrepo.gitブループリント・セクションをlorax-composerに追加

    新しいrepo.gitブループリント・セクションにより、イメージ・ビルドに追加ファイルを含めることができるようになりました。これらのファイルは、lorax-composerビルド・サーバーからアクセスできるgitリポジトリでホストされている必要があることに注意してください。

  • イメージ・ビルダーに、より多くのクラウド・プロバイダのイメージ作成機能を追加

    Oracle Linux 8.1ではイメージ・ビルダーが拡張され、イメージを作成できる他のクラウド・プロバイダが追加されました。たとえば、Google CloudおよびAlibaba Cloudでイメージを作成およびデプロイしたり、これらのプラットフォームでカスタム・インスタンスを実行できるようになりました。

Red Hat Compatible Kernel

次の重要な機能、拡張機能および変更は、Oracle Linux 8.1に同梱されているRed Hat Compatible Kernel (RHCK)に適用されます。

  • early kdump

    early kdump機能を使用すると、クラッシュ・カーネルおよびinitramfsを早期にロードできるため、vmcoreを早期に取得して、早期クラッシュに関する情報を含めることもできます。early kdumpの詳細は、/usr/share/doc/kexec-tools/early-kdump-howto.txtファイルを参照してください。Oracle Linux 8: システムのモニタリングおよびチューニングのカーネル・ダンプの操作も参照してください。

  • ipcmni_extendカーネル・コマンドライン・パラメータを追加

    新しいipcmni_extendカーネル・コマンドライン・パラメータは、現在の最大32 KB (15ビット)から16 MB (24ビット)までの一意のSystem Vプロセス間通信(IPC)識別子の数を拡張します。この拡張により、大量の共有メモリー・セグメントを生成するアプリケーションを持つユーザーは、32 KBの制限を超えずに、より強力なIPC識別子を作成できます。

    場合によっては、ipcmni_extendパラメータを使用すると、軽度のパフォーマンスの問題が発生することがあります。そのため、このパラメータを使用するのは、アプリケーションが32 KBを超える一意のIPC識別子を必要とする場合のみにしてください。

  • 永続メモリーの初期化コードに並列初期化を追加

    永続メモリーの初期化コードに並列初期化を含めると、大量の永続メモリーを持つシステムの全体的なメモリー初期化時間が大幅に短縮されます。その結果、これらのシステムの起動速度が大幅に速くなります。

  • Optane DCメモリー・システムにEDACレポートの機能を追加

    この更新では、EDAC (エラー検出および修正)は、正しいメモリー・モジュール情報とともに修正済/未修正イベントを適切に報告します。以前は、メモリー・アドレスがNVDIMMモジュール内にある場合、EDACはこれらのイベントを正しく報告しませんでした。

    この更新には、Optane DCパーシステント・メモリー・テクノロジのメモリー・モードも含まれています。

  • TPMツールをバージョン2.0に更新

    tpm2-toolsユーザースペース・ツールがバージョン2.0に更新されました。このバージョンのTrusted Platform Module (TPM)ツールは、いくつかの不具合に対する修正を提供しています。

  • デバッグ・カーネルでUBSanユーティリティを有効化

    デバッグ・カーネルで未定義動作サニタイザ(UBSan)ユーティリティが有効になっており、これまで検出されなかった特定のタイプのバグをシステムでより簡単に検出できるようになりました。たとえば、コンパイラの最適化の場合、小さな特定しにくいバグが表示されるようになります。

  • bpftrace言語を追加

    Oracle Linux 8.1に、bpftrace言語(非常に特殊なトレース・タスクに使用される拡張Berkeley Packet Filter (eBPF)の高度なトレース言語)が追加されました。bpftraceを使用する大きな利点は、BPF Compiler Collection (BCC)ライブラリにPythonとC言語を混在させるコードのページ全体と比べて、bpftraceの1行で同じ結果を達成できることです。

  • kernel-rtソース・ツリーと最新のOracle Linuxツリーが一致

    kernel-rtソース・ツリーのソースが、最新のRHCKカーネル・ソース・ツリーに基づくようにアップグレードされました。この変更により、以前のバージョンに対する多くのバグ修正と拡張機能が提供されています。

  • Real Time 8にssddテストを追加

    この更新では、トレース・サブシステムのストレス・テストに使用されるReal Time 8にssddテストが追加されました。テストでは、複数のトレース・スレッドを実行して、トレース・システム内でロックが正しいことを確認します。

CorosyncとPacemakerをOracle Linux 8.1に追加。

Oracle Linux 8.1には、Corosyncバージョン3.0.2およびPacemakerバージョン2.0.2のソフトウェア・パッケージが含まれています。このソフトウェアは、クラスタリングおよび高可用性に使用されます。

Cockpit Webコンソール

Oracle Linux 8.1では、Cockpit Webコンソールの次の機能、拡張機能および変更が導入されています。

  • Cockpit Webコンソールを使用したSMT構成の機能

    Oracle Linux 8.1には、同時マルチスレッド(SMT)構成の機能があり、Cockpit WebコンソールでSMTを無効にする機能も含まれています。この追加機能により、マイクロアーキテクチャ・データ・サンプリングやL1 Terminal Fault攻撃など、CPUのセキュリティ脆弱性のクラスを緩和できます。

    ノート:

    システムでSMTが無効になっている場合、SMTのオプションはCockpit Webコンソールに表示されません。詳細は、Oracle® Linux: 同時マルチスレッド通知を参照してください。

  • サービス・ページの改善

    この更新でユーザー・エクスペリエンスを改善するために、Webコンソールの「Services」ページが更新され、名前と説明でサービスを検索できる検索ボックスが追加されました。その他の改善点としては、サービスの状態が1つのリストにマージされ、ページ上部の切替えボタンがタブに置き換えられました。

  • 「Networking」ページを更新して新しいファイアウォール設定を追加

    ゾーンの追加および削除、任意のゾーンへのサービスの追加および削除、firewalldサービスのカスタム・ポート構成など、Webコンソールの「Networking」ページに追加のファイアウォール設定が追加されました。

  • 「Virtual Machines」ページの改善

    Webコンソールの「Virtual Machines」ページにいくつかの改善が行われました。たとえば、この更新では次の操作を実行できます。

    • 様々なタイプのストレージ・プールの管理。

    • 仮想マシン(VM)の自動起動の構成。

    • 既存のqcowイメージのインポート。

    • PXEブートを使用したVMのインストール。

    • VMのメモリー割当ての変更。

    • VMの一時停止および再開。

    • キャッシュ特性の構成。

    • VMのブート順序の変更。

コンパイラおよび開発者ツール

Oracle Linux 8.1では、コンパイラおよび開発者ツールに次の機能拡張および変更が導入されています。

GCC Toolset 9

Oracle Linux 8.1では、GCC Toolset 9が導入されています。これは、appstream_betaリポジトリのソフトウェア・コレクションの形式で配布されるアプリケーション・ストリームです。GCC Toolsetは、Oracle Linux開発者ツールセットと似ています。

GCC Toolset 9には、次の開発者ツールの最新バージョンが含まれています。

  • GCCバージョン9.1.1

  • GDBバージョン8.3

  • Valgrindバージョン3.15.0

  • SystemTapバージョン4.1

  • Dyninstバージョン10.1.0

  • binutilsバージョン2.32

  • elfutilsバージョン0.176

  • dwzバージョン0.12

  • makeバージョン4.2.1

  • straceバージョン5.1

  • ltraceバージョン0.7.91

ツールセットをインストールするには、次のコマンドを使用します。 

sudo dnf install gcc-toolset-9

GCC Toolset 9のツールを実行するには、次のコマンドを使用します。 

scl enable gcc-toolset-9 tool

GCC Toolset 9のツール・バージョンが、同じツールのシステム・バージョンよりも優先されるシェル・セッションを実行するには、次のコマンドを使用します。 

scl enable gcc-toolset-9 bash

コンパイラ・ツールセットを更新

次のコンパイラ・ツールセットが更新されました。これらのツールセットは、Oracle Linux 8.1ではアプリケーション・ストリームとして配布されます。

  • ClangおよびLLVMツールセットをバージョン8.0.0にアップグレード

    このツールセットは、LLVMコンパイラ・インフラストラクチャ・フレームワーク、CおよびC++言語用のClangコンパイラ、LLDBデバッガおよびコード分析用の関連ツールをバージョン8.0.0に提供します

  • Rustツールセットをバージョン1.35にアップグレード

    このツールセットは、Rustプログラミング言語コンパイラ(rustc)、cargoビルド・ツールと依存性マネージャおよび必要なライブラリを提供します。

  • Goツールセットをバージョン1.12.6にアップグレード

    このツールセットは、Go (golang)プログラミング言語ツールおよびライブラリを提供します。

SystemTapをバージョン4.1に更新

この更新では、SystemTapインストゥルメンテーション・ツールがアップストリーム・バージョン4.1に更新されました。このバージョンのSystemTabでは、以前のバージョンのツールに対して次のようないくつかの改善を行いました。

  • eBPFランタイム・バックエンドは、文字列変数やリッチ・フォーマット出力など、スクリプト言語のより多くの機能を処理できるようになりました。

  • トランスレータのパフォーマンスが向上しました。

  • DWARF4 debuginfoコンストラクトを使用することで、最適化されたCコードでより多くのタイプのデータを抽出できるようになりました。

elfutilsをバージョン0.176に更新

この更新では、elfutilsパッケージがバージョン0.176に更新されました。このバージョンのelfutilsは、多数のバグ修正を提供し、次の脆弱性を解決しています。

  • CVE-2019-7146

  • CVE-2019-7149

  • CVE-2019-7150

  • CVE-2019-7664

  • CVE-2019-7665

日本の令和元号の日付フォーマットを更新

Oracle Linux 8.1では、GNU Cライブラリが更新され、日本の令和元号(有効日は2019年5月1日)の正しい元号名フォーマットが追加されました。また、時間処理APIデータ(strftime関数およびstrptime関数で使用されるデータを含む)も更新されました。その結果、strftime%EC%EY%Eyなどのいずれかの元号変換指定子とともに使用される場合など、すべてのAPIが令和元号を正しく出力するようになりました。

データベース

このリリースのOracle Linux 8には、MySQLデータベース・ソフトウェアのバージョン8.0が同梱されています。

ファイル・システムおよびストレージ

Oracle Linux 8.1には、次の重要なファイル・システム機能とストレージ機能、拡張機能および変更が導入されています。

  • RHCKからBtrfsファイル・システムを削除

    Oracle Linux 8では、Btrfsファイル・システムがRHCKから削除されています。そのため、このカーネルを使用している場合はBtrfsファイル・システムを作成したり、マウントできません。また、提供されているBtrfsユーザースペース・パッケージは、RHCKではサポートされていません。

  • RHCKからOCFS2ファイル・システムを削除

    Oracle Cluster File Systemバージョン2 (OCFS2)ファイル・システムはOracle Linux 8ではRHCKから削除されています。そのため、このカーネルを使用するときは、OCFS2ファイル・システムを作成またはマウントできません。また、提供されているOCFS2ユーザースペース・パッケージは、RHCKではサポートされていません。

  • Oracle Linux 8.1でデータ整合性フィールド/データ整合性拡張を使用可能

    データ整合性フィールド/データ整合性拡張(DIF/DIX)機能は、ハードウェア・ベンダーが構成を認定した構成、およびそのホスト・バス・アダプタ(HBA)およびストレージ・アレイ構成を含む構成で使用できます。DIF/DIX機能はストレージ・デバイスで有効化および無効化されます。ストレージ・デバイス上の機能をアクティブ化するために使用される方法は、デバイスによって異なります。

    ノート:

    DIF/DIXは、ブート・デバイスまたは仮想化ゲストでは使用できません。DIF/DIXが有効になっている場合の自動ストレージ管理ライブラリ(ASMLib)の使用もサポートされていません。

  • VDO AnsibleモジュールをAnsibleパッケージに移動

    この更新では、VDO Ansibleモジュールはansibleパッケージによって提供されており、/usr/lib/python3.6/site-packages/ansible/modules/system/vdo.pyにあります。以前の更新では、このモジュールはvdo RPMパッケージによって提供されており、/usr/share/doc/vdo/examples/ansible/vdo.pyにありました。

    vdoパッケージは、引き続きAnsibleプレイブックを配布することに注意してください。

  • Aeroアダプタ

    Oracle Linux 8.1には、次の2つのAeroアダプタが含まれています。

    • PCI ID 0x1000:0x00e2および0x1000:0x00e6。これらのアダプタは、mpt3sasドライバによって制御されます。

    • PCI ID 0x1000:Ox10e5および0x1000:0x10e6。これらのアダプタは、megaraid_sasドライバによって制御されます。

    以前は、これらのアダプタはテクノロジ・プレビューとしてのみ使用できました。

インフラストラクチャ・サービス

Oracle Linux 8.1では、次のインフラストラクチャ・サービス機能、拡張機能および変更が導入されています。

  • chronyをバージョン3.5に更新

    chronyパッケージがバージョン3.5に更新されました。このバージョンのchronyでは、以前のバージョンに対するいくつかのバグ修正および拡張機能を提供しています。より重要な変更の一部を次に示します。

    • システム・クロックとカーネルのハードウェア・タイムスタンプのより正確な同期。

    • ハードウェア・タイムスタンプの重要な改善。

    • 使用可能なポーリング間隔の範囲の拡張。

    • NTPソースへのフィルタ・オプションの追加。

  • tunedをバージョン2.12に更新

    この更新では、tunedパッケージがバージョン2.12に更新されました。このバージョンのtunedでは、以前のバージョンに対するいくつかのバグ修正および拡張機能を提供しています。より重要な変更の一部を次に示します。

    • 削除して再アタッチされたデバイスの処理に関連する問題が修正されました。

    • CPUリストの否定が追加されました。

    • sysctlツールが、tunedに固有の新しい実装に置き換えられました。この変更により、ランタイム・カーネル・パラメータのパフォーマンスが向上します。

Intel Optane DCパーシステント・メモリー機能のメモリー・モード・テクノロジを追加

Oracle Linux 8.1では、Intel Optane DCパーシステント・メモリー・テクノロジのメモリー・モードが追加されました。このテクノロジはオペレーティング・システムに透過的であり、特別なドライバや特定の認定は必要ありません。

ネットワーク

このリリースのOracle Linux 8では、次の機能、拡張機能および改善が導入されています。

VXLANトンネルおよびGENEVEトンネルのPMTU検出およびルート・リダイレクションを追加

この更新では、カーネルはインターネット制御メッセージ・プロトコル(ICMP)の「宛先に到達できません」および「リダイレクト・メッセージ」エラーを処理できます。カーネルは、Virtual Extensible LAN (VXLAN)トンネルおよびGeneric Network Virtualization Encapsulation (GENEVE)トンネルのICMPv6の「パケットが大きすぎます」および「宛先に到達できません」メッセージを処理することもできます。これは、PMTUを調整して転送情報を変更することによって行われます。その結果、VXLANトンネルおよびGENEVEトンネルのPMTU検出機能およびルート・リダイレクション機能が提供されるようになりました。

XDP機能およびネットワークeBPF機能をバージョン5.0に更新

この更新の時点で、kernelパッケージのXDP機能およびネットワークeBPF機能がバージョン5.0に更新されました。この機能のバージョンでは、以前のバージョンに対するいくつかのバグ修正と拡張機能が提供されています。TCP/IPスタックとの相互作用の向上、フローの詳細な分析、より広範なbpfヘルパーおよび新しいマップ・タイプへのアクセスなど、BPFプログラムの改善が含まれます。XDPの変更点としては、AF_XDP socketsにXDPメタデータを使用できるようになりました。

セキュリティ

Oracle Linux 8.1では、次のセキュリティ機能、拡張機能および変更が導入されています。

SELinuxの機能

Oracle Linux 8.1では、SELinuxの次の機能、変更および改善が導入されています。

  • SELinuxユーザースペース・ツールをバージョン2.9に更新

    SELinuxユーザースペース・ツール(libsepollibselinuxlibsemanagepolicycoreutilscheckpolicyおよびmcstrans)がバージョン2.9に更新されました。このバージョンのSELinuxユーザースペース・ツールでは、以前のバージョンに対するいくつかのバグ修正および拡張機能を提供しています。

  • SEToolsをバージョン4.2.2に更新

    この更新の時点で、SEToolsコレクションおよびライブラリがバージョン4.2.2に更新されました。このバージョンのツールには、マニュアル・ページからのソース・ポリシー参照の削除(ソース・ポリシーのロードはサポートされなくなりました)、および別名ロード時のパフォーマンス低下の修正など、以前のバージョンに対する複数の改善が含まれています。

  • SELinuxポリシー・クラスbpfを追加

    この更新では、新しいSELinuxポリシー・クラスbpfが導入されました。このクラスにより、SELinuxを介してBerkeley Packet Filter (BPF)フローを制御でき、また、SELinuxによって制御される拡張Berkeley Packet Filter (eBPF)プログラムおよびマップの検査と簡単な操作が可能になります。

  • SELinuxタイプboltd_tを追加

    新しいSELinuxタイプboltd_tは、Thunderbolt 3デバイスの管理に使用されるboltdシステム・デーモンを制限します。boltdデーモンは、SELinux強制モードで制限付きサービスとして実行されるようになりました。

  • selinux-policyパッケージをバージョン3.14.3に更新

    この更新では、selinux-policyパッケージがバージョン3.14.3に更新されました。このバージョンのパッケージでは、追加ルールの許可など、以前のバージョンに対するいくつかのバグ修正および拡張機能が提供されています。

  • 「SELinux: クラスがポリシーで定義されていません」エラーがシステム起動時に非表示。

    SELinuxの許容モードまたは強制モードで起動したときに、/var/log/messagesファイルで次のようなエラーが生成されたOracle Linux 8の問題が解決されました。 

    SELinux:  Class bpf not defined in policy.
SELinux:  Class xdp_socket not defined in policy.
SELinux: the above unknown classes and permissions will be allowed

OpenScapの機能

Oracle Linux 8.1では、OpenScapの次の機能、変更および改善が導入されています。

  • OpenSCAPをバージョン1.3.1に更新

    Oracle Linux 8.1では、openscapパッケージがバージョン1.3.1に更新されました。このバージョンのOpenSCAPでは、以前のバージョンに対する多数のバグ修正と拡張機能を提供しています。

  • OpenSCAPにSCAPバージョン1.3を追加

    Oracle Linux 8.1に、最新バージョンのSCAP標準(SCAP 1.3)に準拠するデータ・ストリームをサポートするOpenSCAPスイートが追加されました。SCAP 1.3データ・ストリームは、SCAP 1.2データ・ストリームと同じ方法で使用でき、使用上の追加の制限はありません。

  • scap-security-guideパッケージをバージョン0.1.44に更新

    この更新では、scap-security-guideパッケージがバージョン0.1.44に更新されました。このバージョンのパッケージでは、以前のバージョンに対するいくつかのバグ修正および拡張機能を提供しています。特に、* SCAPコンテンツは最新バージョンのSCAP標準に準拠し、SCAP 1.3 * SCAPコンテンツはUBIイメージをサポートします。

SSHの機能

Oracle Linux 8.1には、次の新しいOpenSSH機能とSSH機能、拡張機能および変更が含まれています。

  • OpenSSHをバージョン8.0p1に更新

    Oracle Linux 8.1では、opensshパッケージがバージョン8.0p1に更新されました。このバージョンのOpenSSHでは、以前のバージョンに対する次のようないくつかのバグ修正および拡張機能が提供されています。

    • ssh-keygenツールのデフォルトのRSA鍵サイズが3072ビットに増加

    • ShowPatchLevel構成オプションのサポートを削除。

    • 多数のGSSAPI鍵交換コードの修正を適用(一部のKerberosクリーン・アップ・タスクの修正を含む)。

    • sshd_net_t SELinuxコンテキストへのフォールバックを削除。

    • Match finalブロックを追加。

    • ssh-copy-idコマンドの軽度の問題を修正。

    • scpユーティリティに関連するいくつかの共通脆弱性(CVE)を修正(CVE-2019-6111、CVE-2018-20685およびCVE-2019-6109)。

  • libsshがシステム全体のcrypto-policiesに準拠

    Oracle Linux 8.1では、libsshクライアントとサーバーがそれぞれ/etc/libssh/libssh_client.configファイルと/etc/libssh/libssh_server.configファイルを自動的にロードするようになりました。構成ファイルの自動ロードでは、libsshは、crypto-policiesによって設定されたシステム全体の暗号化設定を使用できます。この変更により、アプリケーションで使用される一連の暗号化アルゴリズムの制御が簡素化されます。

新しいudicaパッケージ

udicaは、コンテナ用のSELinuxポリシーを生成するためのツールです。udicaを使用すると、調整されたセキュリティ・ポリシーを作成できるため、コンテナがホスト・システム・リソースにアクセスする方法をより適切に制御できます。この機能により、セキュリティ違反に対するコンテナ・デプロイメントを強化しながら、規制コンプライアンスを簡素化および維持できます。

virt-managerアプリケーションは非推奨である

仮想マシン・マネージャ・アプリケーション(virt-manager)は、Oracle Linux 8.1では非推奨です。Cockpit Webコンソールを使用してGUIで仮想化を管理することをお薦めします。Oracle Linux 8の一部の機能には、virt-managerまたはコマンドラインを使用してのみアクセスできることに注意してください。

テクノロジ・プレビュー

現在のOracle LinuxリリースのRed Hat Compatible Kernelでは、次の機能がテクノロジ・プレビュー中です。

aarch64のみ: VNCリモート・コンソール

このリリースでは、仮想ネットワーク・コンピューティング(VNC)リモート・コンソールは、64ビットのArmプラットフォームでのみテクノロジ・プレビューとして使用可能です。グラフィック・スタックの残りのコンポーネントは、このプラットフォームで検証されていません。