2 新機能および変更点

この章では、Oracle Linux 8のこのリリースに含まれている新機能、主な機能強化、バグ修正およびその他の変更点について説明します。

インストール

次のインストール上の変更がOracle Linux 8.5で導入されています。

  • 追加された公式リポジトリをオーバーライドする機能

    osbuild-composerバックエンドには、デフォルトで/usr/share/osbuild-composer/repositoriesディレクトリで定義された一連の公式リポジトリが含まれていますが、/etc/yum.repos.d/ディレクトリにあるシステム・リポジトリは継承されません。ただし、このリリースでは、/etc/osbuild-composer/repositoriesディレクトリにオーバーライドを定義することで、公式リポジトリをオーバーライドできます。その結果、このディレクトリにあるファイルは、/usrディレクトリ内のファイルより優先されます。

  • グラフィカル・インストール・プログラムが、非推奨のカーネル・ブート引数に関する警告を表示する

    inst.接頭辞を含まないグラフィカル・インストール・プログラムのブート引数(ksstage2repoなど)は、次の主要なOracle Linuxリリースでこれらの引数を削除することを目的として、Oracle Linux 7の時点で非推奨になっています。

    Oracle Linux 8.4からは、inst.接頭辞を含まないブート引数が使用されるたびに、警告メッセージがグラフィカル・インストール・プログラムによって適宜表示されます。

    たとえば、次の警告がインストールの起動時にdracutに表示されます。

    ks has been deprecated. All usage of Anaconda boot arguments
    without the inst. prefix have been deprecated and will be removed in a future
    major release. Please use inst.ks instead. 

    インストール・プログラムを端末ウィンドウで起動すると、次の警告が表示されます。

    Deprecated boot argument ks must be used with the inst. prefix.
    Please use inst.ks instead. Anaconda boot arguments without inst.
    prefix have been deprecated and will be removed in a future major release.

Red Hat Compatible Kernel

次の重要な機能、拡張機能および変更点が、x86_64プラットフォーム上のOracle Linux 8.5に同梱されているRed Hat Compatible Kernel (RHCK)に適用されています。

Oracle Linux 8.5に付属するUnbreakable Enterprise Kernelリリース6 (UEK R6)の最新情報は、Unbreakable Enterprise Kernel: リリース・ノートfor Unbreakable Enterprise Kernelリリース6更新3 (5.4.17-2136)を参照してください。

RHCKおよびUEK R6で使用可能なschedutil CPUガバナー

Oracle Linux 8.5では、schedutil CPU周波数ガバナーはRHCKおよびUEK R6の両方で使用できます。この機能では、CPUスケジューラの使用率データを利用して、CPU周波数設定とパフォーマンス状態を適切に調整します。schedutilガバナーは、スケジューラの内部データ構造に直接アクセスでき、システム負荷に応じてCPUが周波数を増減する方法を制御できます。

schedutilガバナー機能はデフォルトで有効化されていないため、手動で有効化する必要があることに注意してください。

igcドライバが付属

以前にテクノロジ・プレビューとしてOracle Linux 8.1で導入されたigc Intel 2.5G Ethernet Linux有線ローカル・エリア・ネットワーク(LAN)ドライバは、Oracle Linux 8.4以降のすべてのアーキテクチャでサポートされています。ネットワーク・ドライバおよびハードウェア設定を制御するために使用されるethtoolコマンドにも、igc有線LANのサポートが含まれていることに注意してください。

Intel Sapphire Rapidsプロセッサ対応のEDAC

この機能拡張により、Intel Sapphire RapidsプロセッサのError Detection and Correction (EDAC)デバイスのサポートが提供されます。EDACは主にエラー・コード訂正(ECC)メモリーを処理し、PCIバス・パリティ・エラーを検出して報告します。

この機能は、Unbreakable Enterprise Kernel Release 6ではすでに有効になっていることに注意してください。

ソフトウェアの管理

次のソフトウェア管理機能および拡張機能が、Oracle Linux 8.5で導入されています。

  • RPMには、sqliteデータベースのバックエンドに対する読取り専用サポートが含まれています

    コンテナなどの他のルート・ディレクトリを検査するときに、sqliteデータベース・バックエンドに基づいたRPMを問い合せることが必要な場合があります。Oracle Linux 8.5には、RPM sqliteデータベース・バック・エンドの読取り専用サポートが含まれています。つまり、コンテナにインストールされているパッケージをOracle Linux 8ホストから直接問い合せることができます。

    このタイプの問合せをPodmanで実行するには、podman mountコマンドを使用してコンテナのファイル・システムをマウントし、--rootオプションを指定してrpm -qaコマンドを実行し、マウントされた場所を指定します。

    Oracle Linux 8のRPMでは、Berkeley DBデータベース(bdb)バック・エンドが引き続き使用されることに注意してください。

  • libmodulemdがバージョン2.13.0に更新されました

    libmodulemdパッケージはバージョン2.13.0に更新されています。このバージョンのlibmodulemdには、modulemd-validatorコマンドに関するいくつかの問題の修正と、以前のバージョンに対する次の改善が含まれています。

    • 非モジュール化されたパッケージをモジュールのリストから除去する機能。

    • modulemd-validatorコマンドで新しい--typeオプションを指定して、modulemd-packager-v3ドキュメントを検証する機能。

    • 厳密な整数解析。

  • dnf構成に追加されたsslverifystatus

    このリリース以降、sslverifystatusオプションを有効にすると、証明書ステータス・リクエストTLS拡張(OCSPステープリング)を使用して、各サーバー証明書失効ステータスに対してdnfコマンドが実行されます。その結果、失効した証明書が検出されると、dnfコマンドはサーバーからのダウンロードを拒否します。

  • libcomps-develパッケージがol8_codeready_builderリポジトリに移動しました

    libcomps-develパッケージは、アップストリームによってOracle Linux 8.4とOracle Linux 8.5の間でol8_baseosリポジトリからol8_codeready_builderリポジトリに移動されました。このパッケージを以前使用していた場合は、ol8_codeready_builderリポジトリを有効にして、更新の潜在的な問題を解決することが必要な場合があります。

シェルおよびコマンドライン・ツール

次のシェルおよびコマンドライン・ツールの機能と改善が、Oracle Linux 8.5で導入されています:

  • シン・プールを使用したLVMのリストア時のエラーが修正されました

    この拡張機能により、Relax-and-Recover (ReaR)は、シン・プールおよびRAIDやキャッシュなどのカーネル・メタデータを含む他の論理ボリューム・タイプがボリューム・グループ(VG)で使用されるタイミングを検出できます。ReaRは、lvcreateコマンドを使用して、VG内のすべての論理ボリューム(LV)を再作成するモードに切り替わります。このため、シン・プールのあるLVMは、エラーが発生することなくリストアされます。

    ノート:

    新しいメソッドでは、LVM UUIDなどのLVプロパティがすべて保持されるわけではありません。本番環境でReaRを使用する前に、バックアップからのリストアをテストして、再作成されたストレージ・レイアウトが要件と一致するかどうかを確認する必要があります。

  • FCoEオプションがrd.fcoeに変更されました

    Oracle Linux 8.5では、rd.nofcoe=0コマンドがrd.fcoeに変更されています。以前のリリースでは、dracut.cmdline(7)マニュアル・ページに、Fibre Channel over Ethernet (FCoE)をオフにするためのrd.nofcoe=0コマンドの使用が記載されていました。このリリースからは、rd.fcoe=0コマンドを使用してFCoEを無効にする必要があります。

  • lsvpdがバージョン1.7.12に更新されました

    lsvpdパッケージは、このリリースでバージョン1.7.12に更新されています。このバージョンのlsvpdの重要なバグ修正と拡張機能は次のとおりです。

    • sysvpdに追加されたUUIDプロパティ。

    • NVMeファームウェア・バージョンの改善。

    • PCIデバイスの製造元の解析ロジックに対する修正。

    • recommends clauselsvpd構成ファイルに追加しました。

  • modulemd-toolsパッケージが追加されました

    modulemd-toolsパッケージは、Oracle Linux 8.5で導入されています。このパッケージは、modulemd YAMLファイルを解析および生成するためのツールを提供します。パッケージをインストールするには、dnf install modulemd-toolsコマンドを使用します。

  • opencryptokiがバージョン3.16.0に更新されました

    opencryptokiパッケージは、このリリースでバージョン3.16.0に更新されています。このバージョンのopencryptokiには、いくつかのバグ修正と、以前のバージョンに対する次の改善が含まれています。

    • protected-keyオプションの改善とEP11コアプロセッサでのattribute-bound keysのサポート

    • cycle-count-accurate (CCA)プロセッサでのセキュア・キー・オブジェクトのインポートおよびエクスポートの改善。

  • ppc64-diagがバージョン2.7.1に更新されました

    ppc64-diagパッケージは、このリリースでバージョン2.7.7に更新されています。このバージョンのppc64-diagには、次の改善が含まれています。

    • ユニット・テスト・ケースが改善されました。

    • UUIDプロパティがsysvpdに追加されます。

    • rtas_errdサービスはLinuxコンテナでは実行されません。

    • 廃止されたロギング・オプションがsystemdサービス・ファイルから削除されました。

  • ReaRがバージョン2.6に更新されました

    ReaR機能は、このリリースでバージョン2.6に更新されています。このバージョンのReaRには、以前のバージョンに対する重要な改善がいくつか含まれています。

コンパイラおよび開発ツールセット

Oracle Linux 8.5には、コンパイラおよび開発ツールセットに次の機能、拡張機能および変更が導入されています。

  • Go Toolsetがバージョン1.16.6に更新されました

    Go Toolsetはバージョン1.16.6に更新されています。次に、重要な変更の一部を示します。

    • GO111MODULE環境変数は、デフォルトでonに設定されます。この設定は、変数の値をautoに変更することで元に戻せます。

    • Goリンカーは使用するリソースが少なく、コードの堅牢性と保守性を改善します。この改善は、サポートされているすべてのアーキテクチャおよびオペレーティング・システムに適用されます。

    • 新しいembedパッケージが追加されています。このパッケージを使用すると、プログラムのコンパイル中に埋込みファイルにアクセスできます。

    • io/ioutilパッケージのすべての関数が、ioおよびosパッケージに移動されています。引き続きio/ioutilパッケージを使用できますが、ioおよびosパッケージのほうが適切な定義を提供します。

    • Delveデバッガはバージョン1.6.0に更新されています。このバージョンのDelveデバッガは、Go 1.16.7 Toolsetをサポートします。

  • バージョン1.54.0に更新されたRustツールセット

    Rust Toolsetはバージョン1.54.0に更新されています。このバージョンのRust Toolsetには、次の変更が含まれています。

    • Rust標準ライブラリは、wasm32-unknown-unknownターゲットに使用できます。この機能拡張により、新しく安定化された組込みを含むWebAssemblyバイナリを生成できます。

    • Rustには、配列のIntoIterator実装が含まれています。この機能拡張により、IntoIterator特性を使用して、値によって配列を反復処理し、配列をメソッドに渡すことができます。ただし、array.into_iter()は、2021エディションのRustまで参照によって値を反復することに注意してください。

    • orパターンの構文を使用すると、パターン内の任意の場所をネストできます。たとえば、Pattern(1|2)Pattern(1)|Pattern(2)のかわりに使用できます。

    • Unicode識別子には、Unicode Standard Annex #31で定義されているすべての有効な識別子文字を含めることができます。

    • メソッドおよび特性の実装は安定化されています。

    • 増分コンパイルがデフォルトで再有効化されています。

  • バージョン12.0.1に更新されたLLVMツールセット

    LLVM Toolsetはバージョン12.0.1に更新されています。新しいコンパイラが追加され、既存のコンパイラにいくつかの変更が加えられました。このバージョンのツールで加えられた重要な変更は次のとおりです。

    • 新しい-march=x86-64-v[234]コンパイラ・フラグが追加されています。

    • -fasynchronous-unwind-tablesコンパイラ・フラグは、clangコンパイラの一部であり、Linux AArch64/PowerPCのデフォルトです。

    • clangコンパイラには、C++20の可能性属性のサポートが含まれています。

    • 新しいtune-cpu機能属性が追加されています。この機能属性を使用すると、マイクロ・アーキテクチャ最適化をtarget-cpu属性またはTargetMachine CPUから独立して適用できます。

    • 新しいサニタイザ-fsanitize=unsigned-shift-baseは、セキュリティを強化するために、整数サニタイザ-fsanitize=integerに追加されています。

    • PowerPCターゲットでのコード生成が最適化されています。

    • WebAssemblyバックエンドがLLVMで有効になりました。この拡張機能を使用すると、LLVMおよびClangを使用してWebAssemblyバイナリを生成できます。

    • .NETアプリケーションのデバッグには、lldbデバッガを使用します。他の言語の場合は、gdbデバッガを使用します。

  • バージョン3.20.2に更新されたCMake

    CMakeがバージョン3.20.2に更新されています。このバージョンのCMakeに含まれる重要な変更は次のとおりです。

    • C++23コンパイラ・モードは、CXX_STANDARDCUDA_STANDARDおよびOBJCXX_STANDARDターゲット・プロパティを使用するか、コンパイル機能関数のcxx_std_23メタ機能を使用して指定できます。

    • CUDA言語のサポートにより、NVIDIA CUDAコンパイラをシンボリック・リンクにすることができます。

    • Intel oneAPI NextGen LLVMコンパイラが、IntelLLVMコンパイラIDでサポートされています。

    • CMakeは、Android NDKのツールチェーン・ファイルとマージすることで、Androidのクロス・コンパイルを容易にできます。

    • cmake(1)を使用してプロジェクト・ビルド・システムを生成する場合、ハイフンで始まる不明なコマンドライン引数が拒否されます。

  • GCC Toolset 11: dwzがDWARF 5をサポート

    GCC Toolset 11以降、dwzがDWARF 5のサポートを含んでいます。

  • SystemTapがverison 4.5に更新されました

    SystemTapがバージョン4.5に更新されています。このバージョンのSystemTapには、次のようないくつかのバグ修正およびその他の改善が含まれています。

    • 32ビットの浮動小数点変数は、自動的に二重変数に拡張されます。その結果、$context変数として直接アクセスできます。

    • enum値には、$context変数としてアクセスできます。

    • BPF uconversions tapsetは拡張され、user_long_error()など、ユーザー領域の値にアクセスするためのより多くのtapset関数が含まれています。

    • 同時実行制御が大規模なサーバーでより安定した操作を実現するために大幅に改善されました。

  • elfutilsがバージョン0.185に更新されました

    elfutilsパッケージはバージョン0.185に更新されています。このバージョンでは、いくつかのバグ修正および次の重要な改善が実行されています。

    • eu-elflintおよびeu-readelfツールは、ELFセクションのSHF_GNU_RETAINおよびSHT_X86_64_UNWINDフラグを認識して表示できます。

    • DEBUGINFOD_SONAMEマクロがdebuginfod.hに追加されます。このマクロをdlopen関数とともに使用すると、アプリケーションからlibdebuginfod.soライブラリを動的にロードできます。

    • debuginfod_set_verbose_fd関数が、debuginfod-clientライブラリに追加されています。この関数は、冗長出力を別のファイルにリダイレクトすることで、debuginfod_find_*問合せ機能を拡張します。

    • DEBUGINFOD_VERBOSE環境変数を設定すると、debuginfodクライアントが接続しているサーバーに関する追加情報と、それらのサーバーのHTTPレスポンスが表示されます。

    • debuginfodサーバーには、新しいスレッド・ビジー・メトリックとより詳細なエラー・メトリックが含まれており、これにより、debuginfodサーバーで実行されるプロセスの検査が容易になります。

    • libdwライブラリはDW_FORM_indirectの場所の値を透過的に処理するため、dwarf_whatform関数が属性の実際のFORMを返すことが可能になります。

    • debuginfod-clientライブラリは負の結果をキャッシュに格納し、クライアント・オブジェクトは既存の接続を再利用できるため、ネットワーク・トラフィックが減少します。

  • Valgrindがバージョン3.17.0に更新されました

    Valgrindがバージョン3.17.0に更新されています。このバージョンのValgrindには、いくつかのバグ修正と拡張機能が導入されています。さらに重要な改善は、次のとおりです: ValgrindはDWARF Version 5のデバッグ形式を読み取ることができ、debuginfodサーバーへの問合せのデバッグをサポートし、ARMv8.2プロセッサ命令の部分的なサポートを提供します。

  • 新しいpcp-ss PCPユーティリティ

    新しいpcp-ss PCPユーティリティは、このリリースで追加されました。このユーティリティは、pmdasockets(1) PMDAによって収集されたソケット統計を報告します。このコマンドは、いくつかのssコマンドライン・オプションおよびレポート形式と互換性があります。このユーティリティは、以前に記録されたPCPアーカイブから、ライブ・モードおよび履歴リプレイでのローカルおよびリモート・モニタリングの利点も提供します。

  • PCPが5.3.1に更新されました

    Performance Co-Pilot (PCP)パッケージはバージョン5.3.1に更新されています。このリリースには、バグ修正、拡張機能、および次のような新機能が含まれています: スケーラビリティの改善、pmproxyサービスおよびlibpcp_web APIライブラリでの解決済メモリー・リーク、ソケット統計の履歴用の新しいpcp-ssツール、pcp-htopツールの改善、および高解像度のタイムスタンプをサポートするオーバー・ザ・ワイヤーPCPプロトコルの拡張。

  • pcp-containerパッケージがバージョン5.3.1に更新されました

    pcp-containerパッケージは、このリリースでバージョン5.3.1に更新されています。

  • grafanaパッケージがバージョン7.5.9に更新されました

    grafanaパッケージは、このリリースでバージョン7.5.9に更新されています。重要な新機能の拡張には、新しい時系列パネル(ベータ)、新しい円グラフ・パネル(ベータ)、Lokiのサポートの変更、および複数の新しい問合せ変換などが含まれます。

  • grafana-containerパッケージがバージョン7.5.9に更新されました

    grafana-containerパッケージは、このリリースでバージョン7.5.9に更新されています。重要な新機能の拡張は次のとおりです:

    • grafanaパッケージはバージョン7.5.9に更新されます。

    • grafana-pcpパッケージはバージョン3.10に更新されます。

    • コンテナには、コンテナの起動時にカスタムGrafanaプラグインをインストールするためのGF_INSTALL_PLUGINS環境変数のサポートが含まれています。

  • grafana-pcpパッケージがバージョン3.10.0に更新されました

    grafana-pcpパッケージはバージョン3.1.0に更新されています。重要な改善は次のとおりです:

    • Performance Co-Pilot (PCP) Vector Checklistダッシュボードでは、新しい時系列パネルを使用し、グラフに単位を表示し、更新されたヘルプ・テキストが含まれています。

    • PCP Vector Host OverviewおよびPCP ChecklistPCPダッシュボードへのpmproxy URLおよびhostspec変数の追加。

    • すべてのダッシュボードにデータソース選択が表示されます。

    • 含まれているすべてのダッシュボードを読取り専用としてマークします。

    • Grafana 8との互換性が追加されました。

GCC Toolset 11

Oracle Linux 8.5にはGCCツールセット11が用意されています。これは、AppStreamリポジトリ内のソフトウェア・コレクションの形式で配布されるアプリケーション・ストリームです。GCCツールセットは、Oracle Linux開発者ツールセットと似ています。

Oracle Linux 8.5では、GCCコンパイラはアップストリーム・バージョンに更新されます。GCC Toolset 10以降、次のツールが更新されています:

  • GCCバージョン11.1.1

  • GDBバージョン10.1

  • Valgrindバージョン3.17.0

  • SystemTapバージョン4.5

  • Dyninstバージョン10.2.1

  • binutilsバージョン2.36.1

  • elfutilsバージョン0.184

  • dwzバージョン0.14

  • annobinバージョン9.69

GCC Toolset 11の一部のツールに加えられた重要な変更の詳細は、コンパイラおよび開発ツールセットを参照してください。

GCCツールセット11は、ソフトウェア・コレクションの形式でAppStreamリポジトリ内のアプリケーション・ストリームとして使用できます。

このツールセットをインストールするには、次のコマンドを実行します。

sudo dnf install gcc-toolset-11

GCCツールセット11からツールを実行するには、次のコマンドを使用します。

scl enable gcc-toolset-11 tool
               

次のコマンドはシェル・セッションを開始し、GCC Toolset 11のツール・バージョンが、同じツールのシステム・バージョンよりも優先されます。

scl enable gcc-toolset-11 bash

データベース

Oracle Linux 8のこのリリースには、MySQLデータベース・ソフトウェアのバージョン8.0が同梱されています。

動的プログラミング言語、Webサーバーとデータベース・サーバー

Oracle Linux 8.5では、動的プログラミング言語およびWebサーバーとデータベース・サーバーに関する機能に次の変更と改善が含まれています。このリリースでは、新しく改良されたモジュール・ストリームもいくつか導入されています:

  • ruby:3.0モジュール・ストリームが追加されました

    Oracle Linux 8.5では、新しいruby:3.0モジュール・ストリームにRubyバージョン3.0.2が含まれています。Ruby 3.0.2には、以前から使用されていたRubyバージョン2.7と比較して、いくつかのパフォーマンスの改善、バグとセキュリティの修正、および新機能が含まれています。このバージョンのRubyには、次の重要な機能が含まれています。

    • 同時実行機能および並列性機能。

    • 静的分析機能。

    • case/in式とのパターン一致が実験的ではなくなりました。

    • 1行のパターン一致が再設計されました。これはテスト用の機能です。

    • 検索パターンが実験機能として追加されます。

    • Interactive Ruby Shell (IRB)へのロング・コードの貼付けが非常に高速になります。

    • measureコマンドは、時間測定のためにIRBに追加されています。

    • キーワード引数への変更。現在、他の引数から分離されるようになりました。

    • ユーザーがインストールしたgemのデフォルト・ディレクトリは、$HOME/.gem/ディレクトリがすでに存在しないかぎり、$HOME/.local/share/gem/に変更されました。

  • Python urllib解析関数のデフォルト・セパレータが変更されました

    urllib.parse.parse_qslおよびurllib.parse.parse_qs関数のデフォルト・セパレータは、アンパサンド(&)およびセミコロン(;)からアンパサンドのみに変更されています。これらの変更は、Python urllibライブラリでWeb Cache Poisoning CVE-2021-23336を軽減するために行われました。

    この変更は、Oracle Linux 8.4を使用するPython 3.6で導入され、現在はPython 3.8およびPython 2.7にバックポートされています。Python 3.9には新しいデフォルトのセパレータがすでに含まれているため、影響を受けないことに注意してください。

    ノート:

    この変更は下位互換性がない可能性があるため、デフォルト・セパレータが変更されているPythonパッケージで動作を構成するオプションがあります。また、影響を受けるurllibの解析関数は、カスタマのアプリケーションが変更の影響を受けることが検出された場合には警告を発行することにも注意してください。

  • Python ipaddressモジュールの変更

    Python ipaddressモジュールは、ゼロが先行するIPv4アドレスをAddressValueError: Leading zeros are not permittedエラーで拒否するように更新されています。この変更は、CVE-2021-299221を軽減するために行われました。

    この変更は、python38およびpython39モジュールで導入されました。以前のPythonモジュールはCVE-2021-299221の影響を受けないことに注意してください。

    以前の動作に依存する場合は、次のようにIPv4アドレス入力を事前処理して先行するゼロを取り除くことができます:

    >>> def reformat_ip(address): return '.'.join(part.lstrip('0') if part != '0' else part for part in address.split('.'))
    >>> reformat_ip('0127.0.0.1')
    '127.0.0.1'

    読みやすくするために明示的なループで先行するゼロを除去するには、次を使用します:

    def reformat_ip(address):
        parts = []
        for part in address.split('.'):
            if part != "0":
                part = part.lstrip('0')
            parts.append(part)
        return '.'.join(parts)
  • php:7.4モジュール・ストリームがバージョン7.4.19に更新されました

    PHPスクリプト言語は、php:7.4モジュール・ストリームに含まれ、このリリースでバージョン7.4.19に更新されています。この更新では、複数のセキュリティ修正とバグ修正が実装されています。

  • pg_repackパッケージが追加されました

    新しいpg_repackは、postgresql:12およびpostgresql:13モジュールに追加されています。このパッケージには、表および索引からfloatを削除できるPostgreSQL拡張機能があり、オプションでクラスタ索引の物理的な順序をリストアできます。

  • nginx:1.20モジュールが追加されました

    nginx 1.20 Webおよびプロキシ・サーバーは、Oracle Linux 8.5でnginx:1.20モジュール・ストリームとして使用できます。このバージョンでは、以前のバージョンに対する、次のような多数のバグ修正、セキュリティ修正、拡張機能および新機能が提供されます:

    • オンライン証明書ステータス・プロトコル(OCSP)を使用したクライアントSSL証明書検証のサポート。

    • 空き領域の最小量に基づくキャッシュ・クリアのサポート。この機能は、proxy_cache_pathディレクティブのmin_freeパラメータとして実装されていることに注意してください。

    nginx:1.20モジュールのその他の重要な変更には、ssl_conf_commandssl_reject_handshakeproxy_cookie_flagsなどの拡張ディレクティブ、およびHTTP/2のサポートの改善が含まれます。

  • squid:4モジュールがバージョン4.15に更新されました

    squid:4モジュール・ストリームで使用可能なSquidプロキシ・サーバーはバージョン4.15に更新されています。この更新には、以前のバージョンに対するいくつかのバグ修正とセキュリティ修正が含まれています。

  • quotaコマンドがHPE XFSをサポートします

    この変更により、HPE XFSのユーザーは、quotaを使用してユーザーおよびグループのディスクの使用状況をモニターおよび管理できます。

  • muttがバージョン2.0.7に更新されました

    Mutt電子メール・クライアントは、このリリースでバージョン2.0.7に更新されています。このバージョンのmuttでは、多くの拡張機能とバグ修正が提供され、さらに次のサポートを追加しました。

    • XOAUTH2メカニズムを使用したOAuth 2.0認可プロトコル。Muttは、IMAP、POP、およびSMTPプロトコルのOAUTHBEARER認証メカニズムもサポートしています。

    • ドメイン・リテラルの電子メール・アドレス(user@[IPv6:fcXX:...​]など)

    • COMPRESS=DEFLATE圧縮をサポートする新しい$imap_deflate変数。この変数はデフォルトで無効になっていることに注意してください

    • $ssl_starttls変数は、暗号化されていないIMAP PREAUTH接続の中断を制御しなくなりました。かわりに、STARTTLSプロセスに依存する場合は、$ssl_force_tls変数を使用します。

    ノート:

    新しいMuttバージョンに更新した後も、ssl_force_tls構成変数は引き続きnoにデフォルト設定されます。これは、既存の環境における問題を防ぐように設計されています。また、アップストリーム・バージョンのMuttでは、ssl_force_tlsがデフォルトで有効になっていることに注意してください。

ファイル・システムおよびストレージ

Oracle Linux 8.5では、次のファイル・システムおよびストレージ機能、拡張機能および変更点を提供しています。

  • BtrfsがRHCKから削除されました

    Oracle Linux 8では、Btrfsファイル・システムがRHCKから削除されています。そのため、このカーネルを使用しているときはBtrfsファイル・システムを作成またはマウントできません。また、提供されているBtrfsユーザー領域パッケージはRHCKではサポートされていないことに注意してください。

    ノート:

    Btrfsファイル・システムのサポートは、UEK R6で有効になっています。Oracle Linux 8.3以降では、インストール時にBtrfsルート・ファイル・システムを作成するオプションと、デバイスのフォーマット時にファイル・システム・タイプとしてBtrfsを選択するオプションがあります。この機能の詳細は、『Oracle Linux 8: Oracle Linuxのインストール』を参照してください。

    Btrfsルート・ファイル・システムの管理の詳細は、Oracle Linux 8: ローカル・ファイル・システムの管理を参照してください。

    UEK R6でのBtrfsに対する最新の拡張機能は、Unbreakable Enterprise Kernel: リリース・ノートfor Unbreakable Enterprise Kernelリリース6更新3 (5.4.17-2136)を参照してください。

  • OCFS2がRHCKから削除されました

    Oracle Linux 8では、Oracle Cluster File Systemバージョン2 (OCFS2)ファイル・システムがRHCKから削除されています。そのため、このカーネルを使用しているときはOCFS2ファイル・システムを作成またはマウントできません。また、提供されているOCFS2ユーザー領域パッケージはRHCKでサポートされていません。

    ノート:

    OCFS2は、Oracle Linux 8.5のUEK R6で完全にサポートされています。

  • NVMe/TCPがテクノロジ・プレビューとして含まれています

    NVMe over Fabrics TCPホストおよびターゲット・ドライバが、このリリースのテクノロジ・プレビューとしてRHCKに含まれています。

    ノート:

    NVMe/TCPのサポートは、Unbreakable Enterprise Kernelリリース6ですでに利用可能です。

高可用性とクラスタ

Oracle Linux 8.5には、次の高可用性機能とクラスタリング機能が含まれています。

  • pcs cluster setupのローカル・モード・バージョンが追加されました

    pcs cluster setupコマンドのローカル・モード・バージョンのサポートが、このリリースで追加されています。

  • fence_watchdogエージェントが、クラスタ・ノードのサブセットでウォッチドッグのみのSBD構成を有効にします

    このリリースには、ウォッチドッグ専用のSBD設定を構成するための新しいfence_watchdogエージェントが含まれています。この機能は以前は存在しなかったため、一部のノードがサポートしているクラスタでSBDを使用できませんでしたが、他のノード(ほとんどの場合リモートノード)では他の形式のフェンシングが必要でした。

  • SCSIフェンシング・デバイスを更新するためのpcsコマンド

    他のすべてのリソースを再起動せずにSCSIフェンシング・デバイスを更新するための新しいpcsコマンドが追加されています。

  • 縮小出力表示オプションがpcs resoure safe-disableコマンドに追加されました

    縮小出力表示オプションは、pcs resource safe-disableコマンドに追加されています。

  • pcsコマンドが、Promotedロール名とUnpromotedロール名を受け入れます

    この更新により、pcsコマンドはPromotedロール名とUnpromotedロール名を受け入れます。

  • pcsリソース・ステータス表示コマンドが追加されました

    この更新で、新しいpcsリソース・ステータス表示コマンドが導入されます。

  • LVMボリューム・グループ・フラグが追加されました

    自動アクティブ化を制御するための新しいLVMボリューム・グループ・フラグが、このリリースで追加されています。

インフラストラクチャ・サービス

Oracle Linux 8.5では、インフラストラクチャおよびコマンドライン・ツールに次の機能を含むいくつかのバージョン・アップデートが導入されています。

  • linuxptpがバージョン3.1に更新されました

    linuxptpパッケージはバージョン3.1に更新されています。重要な拡張機能には、Precision Time Protocol (PTP)ハードウェア・クロックをPulse Per Second (PPS)信号に同期するためのts2phcプログラムと、自動車プロファイルおよびクライアント・イベント・モニタリングのサポートの追加が含まれます。

  • バージョン4.1に更新されたchrony

    chronyパッケージは、このリリースでバージョン4.1に更新されています。このバージョンのchronyで重要な変更は次のとおりです。

    • Network Time Security (NTS)認証のサポートが追加されました。

    • Authenticated Network Time Protocol (NTP)ソースは、この更新では、デフォルトで、未認証のNTPソースより信頼されます。元の動作をリストアするには、chrony.confファイルにautselectmode ignore引数を追加します。

    • 次のRIPEMDキーを使用した認証のサポートは利用できなくなりました: RMD128RMD160RMD256およびRMD320

    • NTPv4パケットでの長い非標準MACのサポートは利用できなくなりました。chrony 2.xnon-MD5/SHA1キーを使用している場合は、version 3オプションを使用してchronyを構成する必要があります。

  • PowerTopがバージョン2.14に更新されました

    PowerTopが、このリリースでバージョン2.14に更新されています。この更新は、Alder Lake、Sapphire RapidsおよびRocket Lakeプラットフォームのサポートを提供します。

  • kdumpctlが更新され、見積りユーティリティが提供されます

    kdumpctlコマンドは、estimateサブコマンドを備えています。kdumpctl estimateコマンドを実行すると、現在のkdump設定に基づいてメモリー使用量に関する詳細を追加したcrashkernel推奨値が提供されます。

  • Intel® QuickAssist Technology Libraryのユーザー領域パッケージがバージョン21.05に更新されました

    Intel® QuickAssist Technology Library (QATlib)のユーザー領域パッケージおよびIntel QuickAssistデバイスへのアクセスとIntel QuickAssist APIの公開を許可するqatlibユーザー領域ライブラリは、バージョン21.05に更新されています。

  • Tunedが不要なIRQをハウスキーピングCPUに移動します

    i40eiavfmlx5などのネットワーク・デバイス・ドライバが、オンラインCPUを評価して、作成するキューとMSIXベクターの数を決定します。これまで、分離された多数のCPUと非常に少数のハウスキーピングCPUで構成される低レイテンシ環境では、CPUごとのベクトル制限のために、TunedがこれらのデバイスIRQをハウスキーピングCPUに移動しようとすると失敗しました。

    この機能拡張により、Tunedは、ハウスキーピングCPUに従って、ネットワーク・デバイス・チャネルの数とMSIXベクトルを明示的に調整します。したがって、ハウスキーピングCPU上のすべてのデバイスIRQを移動して低レイテンシを実現できます。

グラフィック・インフラストラクチャ

  • IntelのTiger Lakeグラフィックが利用可能

    IntelのTiger LakeグラフィックがOracle Linux 8.5で利用可能になっています。

ネットワーク

Oracle Linux 8.5では、次のネットワーク機能、拡張機能および変更が導入されています。

  • firewalldがバージョン0.9.3に更新されました

    firewalldパッケージはバージョン0.9.3に更新されています。このバージョンのfirewalldには、バージョン0.8.2に対する多数のアップストリーム・バグ修正と改善が含まれています。

    特に、この更新には、仮想マシン(VM)、コンテナおよびゾーンの転送と出力フィルタリングを可能にするポリシー・オブジェクト機能の導入が含まれています。詳細は、https://firewalld.org/2020/09/policy-objects-introductionおよびhttps://firewalld.org/2020/09/policy-objects-filtering-container-and-vm-trafficを参照してください。

  • NetworkManagerがバージョン1.32.10に更新されました

    NetworkManagerがバージョン1.32.10に更新されています。このバージョンのNetworkManagerには、以前のバージョンに対する多数のバグ修正と拡張機能が含まれています。

  • ethtoolパラメータを管理するための機能がNetworkManagerに追加されました

    場合によっては、特定のネットワーク・インタフェースで自動一時停止以外のパラメータを明示的に設定する必要があります。このリリースでは、NetworkManagerに、nmstateethtoolの制御フロー・パラメータを一時停止する機能が含まれています。これまで、NetworkManagerにはこの機能は含まれていませんでした。

    一時停止パラメータの自動ネゴシエーションを無効にし、RX/TX一時停止サポートを明示的に有効にするには、次のコマンドを使用します:

    sudo nmcli connection modify enp1s0 ethtool.pause-autoneg no ethtool.pause-rx true ethtool.pause-tx true
  • プロミスキャス・モードで物理および仮想インタフェースを設定するためのプロパティがNetwork Managerに追加されました

    accept all MAC addressesモードで物理インタフェースおよび仮想インタフェースを設定するための802-3-ethernet.accept-all-mac-addressesプロパティは、NetworkManagerに追加されています。この機能拡張により、カーネルは現在のインタフェースのMACアドレスをターゲットとしているネットワーク・パッケージをaccept all MAC addressesモードで受け入れることができます。

    たとえば、eth1accept all MAC addressesモードを有効にするには、次のコマンドを使用します:

    sudo nmcli c add type ethernet  ifname eth1 connection.id eth1  802-3-ethernet.accept-all-mac-addresses true
  • nftablesがファイアウォール・バック・エンドとしてNetworkManagerで使用できます

    この拡張機能により、nftablesファイアウォール・フレームワークのサポートがNetworkManagerに追加されます。デフォルトのバック・エンドをiptablesからnftablesに切り替えるには、次のコマンドを使用します:

セキュリティ

Oracle Linux 8.5では、次のセキュリティ機能、拡張機能および変更点が導入されています。

  • crypto-policiesが20210617に更新されました

    crypto-policiesパッケージはアップストリーム・バージョン20210617に更新されています。このバージョンのcrypto-policiesには、以前のバージョンに対する多数のバグ修正と改善が含まれています。

  • カスタム・ポリシーでのAES-192暗号に対する暗号化ポリシーのサポート

    Oracle Linux 8.5では、システム全体の暗号化ポリシーでカスタム・ポリシーおよびサブポリシーのcipherオプションに対する次の値がサポートされています: AES-192-GCMAES-192-CCMAES-192-CTRおよびAES-192-CBC。この変更により、LibreswanアプリケーションのAES-192-GCMおよびAES-192-CBC暗号、およびlibsshライブラリおよびcrypto-policiesを介したOpenSSHスイートのAES-192-CTRおよびAES-192-CBC暗号を有効にできます。

  • CBC暗号はFUTURE暗号化ポリシーで無効になっています

    crypto-policiesパッケージは更新され、FUTUREポリシーで暗号ブロック・チェーン(CBC)モードを使用する暗号が無効になります。FUTUREポリシーの設定は、近い将来の攻撃に耐えることができる必要があります。この変更は現在の進行状況を反映します。したがって、crypto-policiesを尊重するシステム・コンポーネントは、FUTUREポリシーがアクティブの場合、CBCモードを使用できません。

  • gnutlsがバージョン3.6.16に更新されました

    gnutlsパッケージはバージョン3.6.16に更新されています。次の重要な拡張機能とバグ修正が含まれています。

    • gnutls_x509_crt_export2()関数は、成功した場合に内部base64 blobのサイズではなく0値を返します。この変更は、gnutls_x509_crt_export2(3)マニュアル・ページのドキュメントと一致します。

    • Online Certificate Status Protocol (OCSP)の必須ステープルが守られていないために証明書の検証に失敗した場合は、GNUTLS_CERT_INVALIDフラグで正しくマークされます。

    • TLS 1.2のバージョン・ネゴシエーションが修正され、TLS 1.2を正しく無効にできるようになりました。以前は、-VERS-TLS1.2オプションを使用してTLS 1.2が明示的に無効にされていた場合、TLS 1.3が有効になっていても、サーバーは引き続きTLS 1.2を提供していました。

  • カーネルAVCのトレースポイントが追加されました

    この拡張機能により、SELinuxの拒否が監査されるときにトリガーされる新しいavc:selinux_auditedカーネル・トレースポイントが導入されます。このトレースポイントは、SELinux拒否のより便利で低レベルのデバッグを提供します新しいトレースポイントは、perfなどのツールでも使用できることに注意してください。

  • libreswanがバージョン4.4に更新されました

    libreswanパッケージはバージョン4.4に更新されています。このバージョンでは、いくつかのIKEv2およびpluto IKEデーモンの拡張機能など、特に次のような重要な拡張機能とバグ修正が導入されます。

    • IKEv2プロトコルの修正および拡張:

      • Transport Modeおよびホスト間接続のTCPカプセル化を修正します。

      • リダイレクト統計を表示するためのipsec whackコマンドに--globalstatusオプションが追加されました。

      • ipsec.conf構成ファイルのvhostおよびvnet値は、IKEv2接続では許可されません。

    • pluto IKEデーモンの修正および拡張:

      • 標準以外のIKEポートを使用するホスト間接続の修正。

      • interface-ip=オプションは、Libreswanが対応する機能をまだ提供していないため無効になっています。

      • Transport ModeのNATのipsec__updownスクリプトのPLUTO_PEER_CLIENT変数は修正されました。

      • PLUTO_CONNECTION_TYPE変数をtransportまたはtunnelに設定します。

      • テンプレート化されていないワイルドカードID接続が一致できるようになりました。

  • SCAPセキュリティ・ガイドがバージョン0.1.57に更新されました

    Oracle Linux 8.5では、scap-security-guideパッケージがバージョン0.1.57に更新されています。このバージョンのSCAPセキュリティ・ガイドでは、以前のバージョンに対する次のようなバグ修正と改善がいくつか提供されています:

    • 監査改善のためのパフォーマンス改善

      監査の改善のパフォーマンスが、同様のシステム・コールをグループ化することで改善されています。以前は、プロファイルによって監査されたシステム・コールごとに監査修正が個別のルールを生成していました。この動作によって多数の監査ルールが発生し、その結果、パフォーマンスが低下しました。この変更により、監査の修正が、同じフィールドを持つ同様のシステム・コールに関するルールを1つのルールにグループ化できるため、パフォーマンスが向上します。

    • ANSSI-BP-028 High Levelのプロファイルが追加されました

      ANSSI High Levelのプロファイルは、French National Security Agency (ANSSI)からのANSSI BP-028推奨に基づいており、このリリースで追加されました。この追加により、SCAPセキュリティ・ガイドのすべてのANSSI-BP-028 v1.2ハードニング・レベルのプロファイルの可用性が完成します。この新しいプロファイルにより、GNU/LinuxシステムのANSSIの推奨事項を高いハードニング・レベルで強化できます。したがって、ANSSI Ansible PlaybookおよびANSSI SCAPプロファイルを使用して、Oracle Linux 8システムの厳密なハードニング・レベルへのコンプライアンスを構成および自動化できます。

  • OpenSCAPがバージョン1.3.5に更新されました

    OpenSCAPパッケージはバージョン1.3.5に更新されています。このバージョンのOpenSCAPには、以前のバージョンに対する多数の修正およびその他の拡張機能が含まれています。

  • デジタル署名されたSCAPソース・データ・ストリームの検証のサポート

    Security Content Automation Protocol (SCAP) 1.3仕様に準拠するために、デジタル署名されたSCAPソース・データ・ストリームのデジタル署名を検証できるように、OpenSCAPがOracle Linux 8.5で更新されて、デジタル署名されたSCAPソース・データ・ストリームのデジタル署名の検証が有効になっています。また、OpenSCAPは、デジタル署名されたSCAPソース・データ・ストリームを評価するときにデジタル署名を検証するようになりました。署名検証は、ファイルのロード中に自動的に実行されます。無効な署名を持つデータ・ストリームは拒否され、OpenSCAPはそれらのコンテンツを評価しません。OpenSCAPは、XMLセキュリティ・ライブラリをOpenSSL暗号化ライブラリとともに使用して、デジタル署名を検証します。

    署名検証をスキップするには、oscap xccdf evalコマンドに--skip-signature-validationオプションを追加します。

    注意:

    OpenSCAPは、KeyInfo署名要素の一部である証明書または公開キーの信頼性には対処していません。これは、署名を検証するために使用されます。そのため、このようなキーを検証して、悪意のある者によって変更および署名された可能性があるデータ・ストリームが評価されないようにすることが重要です。

  • Rsyslog TCPおよびRELPトラフィックを暗号化するためのOpenSSL

    このリリースでは、OpenSSLネットワーク・ストリーム・ドライバはRsyslogに追加されています。このドライバは、OpenSSLライブラリを使用してTLSで保護されたトランスポートを実装します。この変更により、GnuTLSライブラリを使用するストリーム・ドライバに対する追加の機能が提供されます。また、OpenSSLまたはGnuTLSのいずれかをRsyslogネットワーク・ストリーム・ドライバとして使用できます。

  • Rsyslogがバージョン8.2102.0-5に更新されました

    Rsyslogがバージョン8.2102.0-5に更新されています。このバージョンのRsyslogでは、以前のバージョンに対する次のような多くの改善が提供されます。

    • 変数が存在するかどうかをチェックするためのexists()スクリプト関数を追加しました(たとえば$!path!var)

    • omrelpモジュールおよびimrelpモジュールの新しいtls.tlscfgcmd構成パラメータを使用してOpenSSL構成コマンドを設定する機能。

    • リモート・サーバーに送信されるsyslogメッセージのレート制限用に、omfwdモジュールに2つの新しいレート制限オプションを追加しました:

      • ratelimit.interval: このオプションは、レート制限間隔を秒単位で指定します。

      • ratelimit.burst: このオプションは、メッセージ数のレート制限バーストを指定します。

    • immarkモジュールは、様々な改善を含めるように書き換えられています。

    • max sessions構成パラメータをimptcpモジュールに追加しました。最大は、すべてのインスタンスでグローバルではなく、インスタンスごとに測定されます。

    • rsyslog-opensslサブパッケージを追加しました。このネットワーク・ストリーム・ドライバが、OpenSSLライブラリを使用してTLSで保護されたトランスポートを実装します。

    • MaxBytesPerMinuteおよびMaxLinesPerMinuteオプションを使用して、imfileモジュールに1分当たりのレート制限を追加しました。これらのオプションは整数値を受け入れ、1分以内に送信できるバイト数または行数を制限することに注意してください。

    • streamdriver.TlsVerifyDepthオプションを使用して証明書チェーン検証の最大深度を構成する機能が、imtcpおよびomfwdモジュールに追加されました。

  • socatがバージョン1.7.4に更新されました

    The socatパッケージはバージョン1.7.4に更新されています。このバージョンのsocatには、バージョン1.7.3に対する多数のバグ修正と改善が含まれています。

ネットワークに関連するセキュリティ機能の詳細は、ネットワーキングを参照してください。

サポータビリティ

  • SoSサポータビリティ機能がバージョン4.1に更新されました

    System of Systems (SoS)サポータビリティ機能のsosパッケージはバージョン4.1に更新されています。

テクノロジ・プレビュー

現在のOracle Linux 8リリースのRed Hat Compatible Kernelでは、次の機能がテクノロジ・プレビュー中です。

kexec高速リブート

kexec高速リブート機能は、Oracle Linux 8でテクノロジ・プレビューとして使用できます。この機能は、カーネルが最初に基本入出力システム(BIOS)を通過することなく2番目のカーネルに直接ブートできるようにすることで、ブート・プロセスを大幅に高速化します。この機能を使用するには、まずkexecモジュールをロードしてから、システムをリブートします。

aarch64のみ: VNCリモート・コンソール

このリリースでは、仮想ネットワーク・コンピューティング(VNC)リモート・コンソールは、64ビットのArmプラットフォームでのみテクノロジ・プレビューとして使用可能です。グラフィック・スタックの残りのコンポーネントは、このプラットフォームでは検証されていません。