1. リリース・ノートfor Oracle Linux 8.6
  2. 新機能および変更点

2 新機能および変更点

この章では、Oracle Linux 8のこのリリースに含まれている新機能、主な機能強化、バグ修正およびその他の変更点について説明します。

インストール

次のインストール上の変更がOracle Linux 8.6で導入されています。

  • Image BuilderにLVMでファイル・システム・パーティションをカスタマイズする機能が組み込まれています。複数のパーティションがある場合、この機能拡張により、LVMでカスタマイズされたファイル・システム・パーティションを使用してイメージを作成し、実行時にそれらのパーティションのサイズを変更できます。これを行うには、カスタマイズされたファイル・システム構成をブループリントで指定し、目的のディスク・レイアウトでイメージを作成します。デフォルトのファイル・システム・レイアウトは変更されません。また、ファイル・システムをカスタマイズせずにプレーン・イメージを使用する場合、rootパーティションのサイズはcloud-initによって変更されます。

不一致パラメータが含まれるように拡張されたstraceの--secontextオプション

Red Hat Compatible Kernel (rhck)では、straceユーティリティの--secontextオプションが、不一致パラメータが含まれるように拡張されました。このパラメータを使用すると、不一致の場合のみ、想定されるコンテキストを実際のコンテキストとともに出力できます。出力は、二重の感嘆符(!!)で区切られ、実際のコンテキストが先に表示され、その後に想定されるコンテキストが続きます。

ソフトウェアの管理

次のソフトウェア管理機能および拡張機能が、Oracle Linux 8.6で導入されています。

  • 特定のワークフローを置き換えるための新しいmodulesyncコマンド。モジュラ・パッケージは、モジュラ・メタデータなしでOracle Linux 8.6にインストールすることはできません。以前リリースでは、dnfコマンドを使用してパッケージをダウンロードし、createrepo_cコマンドを使用してそれらのパッケージを再配布できました。この機能拡張により、modulesyncコマンドが導入されました。このコマンドを使用して、パッケージがインストールできることを保証するモジュラ・メタデータの存在を確認します。このコマンドは、モジュールからrpmパッケージをダウンロードし、作業ディレクトリ内にモジュラ・メタデータが含まれるリポジトリを作成します。

  • RPMに追加された新しい--pathオプション。Oracle Linux 8.6では、新しい--pathオプションを使用して、現在インストールされていないファイルを指定してパッケージを問い合せることができます。このオプションは既存の--fileオプションに似ていますが、新しいオプションは指定されたパスのみに基づいてパッケージを照合します。そのパスで指定されたファイルがディスク上に存在する必要はありません。

    --pathオプションは、dnfコマンドで--nodocsオプションを指定して、インストール時にすべてのドキュメント・ファイルを除外する場合に便利です。この場合、--pathオプションを使用して、このような除外ファイルの所有パッケージを表示することを選択できます。--fileオプションは、リクエストされたファイルが存在しないため、パッケージを表示しません。

シェルおよびコマンドライン・ツール

次のシェルおよびコマンドライン・インタフェース(CLI)ツールの機能および改善が、Oracle Linux 8.6で導入されています。

  • lsvpdパッケージがバージョン1.7.13に更新されました。lsvpdパッケージはバージョン1.7.13に更新されています。この更新では、以前のバージョンに対するいくつかのバグ修正および機能拡張が提供されます。

  • net-snmp-cert gencertツールは、SHA1のかわりにSHA512暗号化アルゴリズムを使用します。net-snmp-cert gencertツールは、SHA512暗号化アルゴリズムを使用して証明書を生成するように更新されました。この変更により、セキュリティが向上します。

  • opencvパッケージでdnnおよびテキスト・モジュールを使用できるようになりました。イメージ分類推論のためのDeep Neural Networksが含まれるdnnモジュールとテキスト検出および認識に使用されるtextモジュールがopencvパッケージで使用できるようになりました。

  • opencryptokiパッケージがバージョン3.17.0に更新されました。opencryptokiパッケージはバージョン3.17.0に更新されています。この更新では、以前のバージョンに対するいくつかのバグ修正および機能拡張が提供されます。

  • レスキュー・イメージの作成時に特定のネットワーク・インタフェースおよびIPアドレスを除外する機能。レスキュー・イメージの作成時に、EXCLUDE_IP_ADDRESSES変数を使用すると特定のIPアドレスを無視でき、EXCLUDE_NETWORK_INTERFACES 変数を使用すると特定のネットワーク・インタフェースを無視できます。

コンパイラおよび開発ツールセット

Oracle Linux 8.6には、コンパイラおよび開発ツールセットに次の機能、拡張機能および変更が導入されています。

  • Rust Toolsetがバージョン1.58.1に更新されました。このバージョンのRust Toolsetには、次の変更が含まれています。

    • 2021年版の言語では、Rustコンパイラ・サポートが追加され、クロージャにディスジョイント・キャプチャをフィーチャし、配列にIntoIterator、新しいCargo機能リゾルバ、その他の変更が加えられています。

    • 新しいカスタム・プロファイルに対するCargoサポートが追加されました。

    • Cargoでは、コンパイラ・エラーが重複しないようになりました。

    • 新しいオープン範囲パターンが追加されました。

    • 書式文字列で取得された識別子が追加されました。

  • LLVM Toolsetがバージョン13.0.1に更新されました。LLVM Toolsetはバージョン13.0.1に更新されています。このバージョンのツールで加えられた重要な変更は次のとおりです。

    • C++の文属性とCのattributemusttailを持つ保証されたtailコールに対するClangサポートが追加されました。

    • -Wreserved-identifier警告に対するClangサポートが追加され、コードで予約済識別子を使用すると開発者に警告されます。

    • Clang -Wshadowフラグは、シャドウ構造化バインディングをチェックするようになりました。

    • Clang -Wextraは、Wnull-pointer-subtractionを意味するようになりました。

  • libffiの自己変更コードの場所の変更。このリリースでは、libffiの自己変更コードはLinuxカーネルの機能を利用して、他のファイル・システムとは無関係な適切なファイルを作成します。この変更の結果、libffiの自己変更コードは、ファイル・システムの一部の安全性を損なうことに依存しなくなりました。

  • glibc最適化データを取得するためのコマンドが追加されました。新しいld.so --list-diagnosticsコマンドを使用すると、1つのマシン読取り可能ファイルで、IFUNCの選択やglibc-hwcaps構成などのglibc最適化のディシジョンに影響を与えるデータを取得できます。

  • GCC Toolsetがバージョン11.2に更新されました。GCC Toolsetはバージョン11.2に更新されています。これらの変更の詳細は、「GCC Toolset 11.2」を参照してください。

  • 12時間制のUTF-8 en_US@ampmロケールが追加されました。このリリースでは、12時間制の新しいUTF-8 en_US@ampmロケールを使用できます。LC_TIME環境変数を指定して、この新しいロケールを他のロケールと組み合せることもできます。

  • GDB逆アセンブラに、新しいarch14命令のサポートが含まれています。このリリースでは、GDBは新しいarch14命令を逆アセンブルできます。

  • PCPがバージョン5.3.5に更新されました。Performance Co-Pilot (PCP)パッケージ(pcp)はバージョン5.3.5に更新されています。このバージョンのPCPには、次のような重要な改善点がいくつか含まれています。

    • CPUおよびディスク飽和のための新しいpmieconf(1)ルール。

    • pmproxy(1)サービスの安定性およびスケーラビリティが向上しました。

    • pmlogger(1)サービスのサービス・レイテンシおよび堅牢性が改善しました。

    • 電力に関連するパフォーマンス・メトリックが追加されました。

    • pcp-htop(1)ユーティリティに新機能が追加されました。

    • Nvidia GPUメトリックが更新されました。

    • LinuxカーネルKVMおよびネットワーク・メトリックが追加されました。

    • 新しいMongoDBメトリック・エージェントが追加されました。

    • 新しいソケット・メトリック・エージェントおよびpcp-ss(1)ユーティリティが追加されました。

    • pmcd(1)およびpmproxy(1) Avahiサービス通知はデフォルトで無効になっています。

  • pcp-containerパッケージがバージョン5.3.5に更新されました。pcp-containerパッケージはバージョン5.3.5に更新されています。

  • grafanaパッケージがバージョン7.5.11に更新されました。grafanaパッケージはバージョン7.5.11に更新されています。重要な変更には、新しいデータ・フレーム形式をサポートしないパネルの下位互換性のための新しいprepare time series変換の追加が含まれます。また、CVE-2021-43813はこのバージョンのGrafanaで解決されます。

  • grafana-pcpパッケージがバージョン3.2.0に更新されました。grafana-pcpパッケージはバージョン3.2.0に更新されています。重要な改善は次のとおりです:

    • PCP Redis用の新しいMS SQLサーバー・ダッシュボードが追加されました。

    • PCP Vector eBPF/BCC概要ダッシュボードでの空のヒストグラム・バケットの表示が追加されました。

    • PCP Redisのmetric()関数の(関数がすべてのメトリック名を返さなかった)バグ修正。

  • js-d3-flame-graphがバージョン4.0.7に更新されました。js-d3-flame-graphパッケージはバージョン4.0.7に更新されています。重要な変更には、新しい青と緑のカラー・スキームの追加と、フレーム・グラフ・コンテキストの表示機能の追加が含まれます。

GCC Toolset 11.2

Oracle Linux 8.6にはGCC Toolset 11.2が用意されています。これは、AppStreamリポジトリ内のソフトウェア・コレクションの形式で配布されるアプリケーション・ストリームです。GCCツールセットは、Oracle Linux開発者ツールセットと似ています。このリリースのコンパイラおよび開発者ツールセットの変更の詳細は、「コンパイラおよび開発ツールセット」を参照してください。

GCC Toolset 11.2は、ソフトウェア・コレクションの形式でAppStreamリポジトリ内でアプリケーション・ストリームとして使用できます。

このツールセットをインストールするには、次のコマンドを実行します。 

sudo dnf install gcc-toolset-11

このツールセットを以前にインストールした場合は、次のコマンドを使用して最新のバージョンにアップグレードします。 

sudo dnf upgrade gcc-toolset-11

GCCツールセット11からツールを実行するには、次のコマンドを使用します。 

scl enable gcc-toolset-11 tool

次のコマンドはシェル・セッションを開始し、GCC Toolset 11のツール・バージョンが、同じツールのシステム・バージョンよりも優先されます。 

scl enable gcc-toolset-11 bash

Oracle Linux 8.6でのcontainer-tools:4.0の安定したストリームの可用性

Oracle Linux 8.6には、container-tools:4.0の安定したストリームが組み込まれています。

データベース

Oracle Linux 8のこのリリースには、MySQLデータベース・ソフトウェアのバージョン8.0が同梱されています。

動的プログラミング言語、Webサーバーとデータベース・サーバー

Oracle Linux 8.6では、動的プログラミング言語およびWebサーバーとデータベース・サーバーに関する機能に次の変更と改善が含まれています。このリリースでは、新しく改良されたモジュール・ストリームもいくつか導入されています:

  • php:8.0モジュール・ストリームが追加されましたphp:8.0モジュール・ストリームは、Oracle Linux 8.6に追加されています。php:8.0では、次の重要な機能を含め、7.4バージョンに対するいくつかのバグ修正および機能拡張が提供されます。

    • 新しい名前付き引数は順序に依存せず自己文書化されているため、必要なパラメータのみを指定できます。

    • 新しい属性を使用すると、PHPのネイティブ構文で構造化メタデータを使用できます。

    • 新しいunion型を使用すると、型の組合せに、PHPDocアノテーションではなく実行時に検証されるネイティブのunion型宣言を使用できます。

    • 内部関数では、パラメータ検証が失敗した場合に警告ではなく、より一貫してエラー例外が発生するようになりました。

    • Just-In-Timeコンパイルによってパフォーマンスが向上しました。

    • PHPのXdebugデバッグおよび生産性拡張がバージョン3に更新されました。このバージョンでは、Xdebugバージョン2に対する主要な機能および構成の変更が導入されています。

    php:8.0モジュール・ストリームをインストールするには、次のとおりです。 

    sudo dnf module install php:8.0

    php:7.4を以前にインストールした場合は、次のコマンドを実行して最新のバージョンに切り替えることができます。 

    sudo dnf module reset php
sudo dnf module enable php:8.0
sudo dnf distro-sync

  • Perlがバージョン5.32に更新されました。Oracle Linux 8.6には、Perlバージョン5.32が用意されています。このバージョンのPerlには、Oracle Linux 8.3で配布されたPerlバージョン5.30よりも多数のバグ修正および機能拡張が含まれています。重要な変更点は次のとおりです。

    • PerlでUnicodeバージョン13.0のサポートが追加されました。

    • qr qoute-like演算子の機能拡張。

    • POSIX::mblen()mbtowcおよびwctomb関数は、シフト状態ロケールで動作し、ロケール・スレッド・セーフティが組み込まれているプラットフォームで実行すると、C99以上のコンパイラでスレッドセーフになります。また、長さパラメータはオプションになりました。

    • 特定のオブジェクトが特定のクラスのインスタンスであるか、それから派生したクラスであるかをテストするための新しい実験的なisa infix演算子。

    • アルファ・アサーションおよびスクリプトは実験的なものではなくなりました。

    • 機能チェックが高速になりました。

      最適化前にコンパイルされたパターンをダンプするためのPerl機能。

    perlバージョン5.30を以前にインストールした場合は、次のコマンドを実行して最新のバージョンに切り替えることができます。 

    sudo dnf module reset perl
sudo dnf module enable perl:5.32
sudo dnf distro-sync

ファイル・システムおよびストレージ

Oracle Linux 8.6では、次のファイル・システムおよびストレージ機能、拡張機能および変更点を提供しています。

  • BtrfsがRHCKから削除されましたOracle Linux 8では、Btrfsファイル・システムがRHCKから削除されています。そのため、このカーネルを使用しているときはBtrfsファイル・システムを作成またはマウントできません。また、提供されているBtrfsユーザー領域パッケージはRHCKではサポートされていないことに注意してください。

    ノート:

    Btrfsファイル・システムのサポートは、UEK R7およびUEK R6で有効になっています。Oracle Linux 8.3以降、インストール中にBtrfsルート・ファイル・システムを作成するオプションがあり、同じようにデバイスのフォーマット時にファイル・システム・タイプとしてBtrfsを選択するオプションもあります。この機能の詳細は、『Oracle Linux 8: Oracle Linuxのインストール』を参照してください。

    Btrfsルート・ファイル・システムの管理の詳細は、Oracle Linux 8: ローカル・ファイル・システムの管理を参照してください。

    UEK R6でBtrfsに加えられた変更は、Unbreakable Enterprise Kernel: リリース・ノートfor Unbreakable Enterprise Kernelリリース6更新3 (5.4.17-2136)を参照してください。

    UEK R7でのBtrfsに対する変更は、Unbreakable Enterprise Kernel: リリース・ノートfor Unbreakable Enterprise Kernelリリース7 (5.15.0-0.30)を参照してください。

  • OCFS2がRHCKから削除されましたOracle Linux 8では、Oracle Cluster File Systemバージョン2 (OCFS2)ファイル・システムがRHCKから削除されています。そのため、このカーネルを使用しているときはOCFS2ファイル・システムを作成またはマウントできません。また、提供されているOCFS2ユーザー領域パッケージはRHCKでサポートされていません。

    ノート:

    OCFS2は、Oracle Linux 8.6のUEK R6およびUEK R7で完全サポートされています。

  • Sambaユーティリティのオプションがバージョン4.15で名前変更または削除されました。Sambaのバージョン4.15では、一貫性のあるコマンドライン・インタフェースを保証するために一部のユーティリティが改善されています。これらの変更には、名前変更および削除されたオプションがいくつか含まれます。Sambaのバージョン4.15への更新後の問題を回避するには、Sambaユーティリティを使用するスクリプトを確認し、それに応じて更新する必要があります。

    このリリースで導入されたSambaの変更の概要を次に示します。

    • Sambaコマンドライン・ユーティリティは、以前は不明なオプションを暗黙のうちに無視していましたが、現在、これらのユーティリティは不明なオプションを常に拒否しています。

    • 多くのコマンドライン・オプションには、デフォルト値を制御するための対応するsmb.conf変数があります。コマンドライン・オプションにsmb.conf変数名があるかどうかを確認するには、指定されたユーティリティの関連するマニュアル・ページを参照してください。

    • Sambaユーティリティは、デフォルトで標準エラー(stderr)にログを記録するようになりました。この動作を変更するには、--debug-stdoutオプションを使用します。

    • --client-protection=off|sign|encryptオプションが共通パーサーに追加されました。

    • すべてのユーティリティで、次のオプションの名前が変更されました。

      • --kerberos--use-kerberos=required|desired|offという名前に変更されました

      • --krb5-ccache--use-krb5-ccache= CCACHEという名前に変更されました

      • --scope--netbios-scope= SCOPEという名前に変更されました

      • --use-ccache--use-windbind-ccacheという名前に変更されました

    • 次のオプションが削除されました。

      • -eおよび--encrypt

      • -C-use-winbind-ccacheから削除されました

      • -i-netbios-scopeから削除されました

      • -Sおよび--signing

    • 示されているユーティリティから、次のオプションが削除(または名前変更)されました。

      • ndrdump: -l--load-dsoで使用できなくなりました

      • net: -l--longで使用できなくなりました

      • sharesec: -V--viewsddlで使用できなくなりました

      • smbcquotas: --user--quota-userという名前に変更されました

      • nmbd: --log-stdout--debug-stdoutという名前に変更されました

      • smbd: --log-stdout--debug-stdoutという名前に変更されました

      • winbindd: --log-stdout--debug-stdoutという名前に変更されました

高可用性とクラスタ

Oracle Linux 8.6には、次の高可用性機能とクラスタリング機能が含まれています。

  • pcmk_delay_baseパラメータは、モードごとに異なる値を受け入れます。pcmk_delay_base parameterを使用してフェンス・デバイスを構成する際に、ノードごとに異なる値を指定できるようになりました。この改善により、1つのフェンス・デバイスを2ノード・クラスタで使用でき、ノードごとに異なる遅延が発生するので、各ノードが同時に他方のノードをフェンスしようとする状況を回避できます。

  • リソース移動後のロケーション制約の自動削除を指定するための機能が追加されました。新しい--autodeleteオプションがpcs resource moveコマンドに追加されました。このオプションは、以前はテクノロジ・プレビューとしてのみ使用できましたが、現在は完全サポートされています。このオプションを指定すると、コマンドが作成するロケーション制約は、リソースの移動後に自動的に削除されます。pcs resource moveコマンドを使用すると、リソースに制約が追加され、現在実行中のノードで実行されなくなります。

  • 内部エラーの詳細なPacemakerステータス表示が使用可能になりました。Pacemakerがなんらかの理由でリソースまたはフェンス・エージェントを実行できない場合(エージェントがインストールされていない場合や、内部タイムアウトが発生した場合など)、Pacemakerステータス表示に内部エラーの詳細な終了理由が表示されるようになりました。

  • pcmk_host_map値内の特殊文字のサポートが追加されました。値の前にバックスラッシュ(\)を指定することで、pcmk_host_map値内の特殊文字に対するサポートがpcmk_host_mapプロパティに追加されました。たとえば、ホスト別名に空白を含めるには、pcmk_host_map="node3:plug\ 1"と指定します。

  • OCFリソース・エージェントAPI 1.1標準に対するpcsサポート。pcsコマンドに、OCF 1.1リソースおよびSTONITHエージェントのサポートが含まれるようになりました。OCF 1.1エージェントのメタデータは、OCF 1.1スキーマに準拠している必要があります。OCF 1.1エージェントのメタデータがOCF 1.1スキーマに準拠していない場合、pcsではエージェントが無効とみなされ、--forceオプションも指定している場合を除いて、エージェントのリソースの作成または更新は行われません。エージェントをリストするためのpcsd Webインタフェースおよびpcsコマンドは、無効なメタデータを持つOCF 1.1エージェントをリスト対象から除外します。

    1.1以外のOCFバージョンを実装することを宣言するか、バージョンをまったく宣言しないOCFエージェントは、OCF 1.0スキーマに対して検証されます。検証の問題は警告としてレポートされますが、エージェントのリソースを作成または更新するときに、それらのエージェントの--forceオプションを指定する必要はありません。

インフラストラクチャ・サービス

Oracle Linux 8.6では、インフラストラクチャおよびコマンドライン・ツールに次の機能を含むいくつかのバージョン・アップデートが導入されています。

  • 新しいbind9.16パッケージ・バージョン9.16.23が導入されました。bindコンポーネント・バージョン9.16.23は、バージョン9.11.36の代替として導入されています。このバージョンには、いくつかの新機能に加えて、次のような削除された機能が含まれています。

    • DNSSECの新しいキーおよび署名ポリシー機能。

    • プライバシを向上させるための新しいQNAME最小化。

    • 新しいvalidate-except機能が永続に追加されました。

    • DNSSEC検証を一時的に無効にするためのネガティブ・トラスト・アンカー。

    • レスポンス・ポリシー・ゾーン(RPZ)がリファクタリングされました。

    • ゾーン・タイプの新しいネーミング規則。プライマリおよびセカンダリのゾーン・タイプは、マスターおよびスレーブのシノニムとして使用されるようになりました。

    • digmdigおよびdelvコマンド用の新しい補助YAML出力モード。

    • filter-aaaaの機能は、個別のfilter-aおよびfilter-aaaaプラグインに移動されました。

    • 新しいゾーン・タイプ・ミラー・サポート(RFC 8806ごと)。

    削除された機能は次のとおりです。

    • dnssec-enabledオプションは削除されました。DNSSECはデフォルトで有効になっています。dnssec-enabledキーワードは受け入れられなくなりました。

    • lwresd軽量リゾルバ・デーモンとliblwres軽量リゾルバ・ライブラリの両方が削除されました。

  • bindコンポーネントがバージョン9.11.36に更新されました。bindコンポーネントはバージョン9.11.36に更新されています。このバージョンでは、次のようないくつかのバグ修正および機能拡張が提供されます。

    • セキュリティを向上させるために、lame-ttlオプションが改善されました。

    • RBTDBインスタンスに影響する複数のスレッドのバグが修正され、free_rbtdb()でアサーションの失敗が発生しなくなりました。

    • ZONEMD RRタイプの実装がRFC 8976と一致するように更新されました。

    • サポートされるNSEC3反復の最大数は150に削減され、反復が追加されたレコードはセキュアではないとして扱われます。

    • LOCレコードの無効な方向フィールドが修正されているため、障害が発生しなくなりました。

  • nginx:1.20モジュール・ストリームにnginx-mod-develパッケージが追加されました。このリリースでは、nginx-mod-develパッケージがnginx:1.20モジュール・ストリームに追加されています。このパッケージには、RPMマクロおよびnginxソース・コードが含まれる、nginxの外部動的モジュールを構築するために必要なすべてのファイルが含まれています。

ネットワーク

Oracle Linux 8.6では、次のネットワーク機能、拡張機能および変更が導入されています。

  • CleanUpModulesOnExit firewalldグローバル構成オプションが使用可能になりました。この機能拡張により、CleanUpModulesOnExitオプションをnoに設定して、firewalldがこれらのカーネル・モジュールをアンロードしないようにできます。これに対し、以前は、firewalldの再起動または停止時に、カーネル・モジュールが再帰的にアンロードされていました。その結果、これらのモジュールまたは依存モジュールを使用しようとした他のパッケージは失敗しました。

  • hostapdパッケージが追加されました。hostapdパッケージは、Oracle Linux 8.6でインストールできます。ただし、hostapdのサポートは、イーサネット・ネットワークのみでOracle Linux 8ホストを802.1Xオーセンティケータとして設定することに制限されています。ワイヤレス・ネットワークのワイヤレス・アクセス・ポイントやオーセンティケータなど、その他のシナリオは現在サポートされていません。

  • NetworkManagerがバージョン1.36.0に更新されました。NetworkManagerはバージョン1.36.0に更新されています。このバージョンのNetworkManagerには、以前のバージョンに対するいくつかの機能拡張およびバグ修正が含まれており、特に重要なものは次のとおりです。

    • レイヤー3構成の処理方法の修正。この機能拡張により、NetworkManagerの安定性、パフォーマンスおよびメモリー使用率が向上します。

    • blackholeunreachableprohibitルート・タイプの追加。

    • NetworkManagerは、ルーティング・サービスによって管理されるルートを無視します。

    • 同等性同時認証(SAE)パスワード要素を生成するときにHash-to-Element (H2E)メソッドを有効にすることで、Wi-Fi Protected Accessバージョン3 (WPA3)のネットワーク・セキュリティが向上します。

    • サービスは、重複アドレスまたはマスク・オプションを送信するDHCPサーバーからの応答を正しく処理するようになりました。

    • ブリッジでのMACエージングをオフにする機能が追加されました。

    • NetworkManagerは、qdiscsおよびfiltersトラフィック制御オブジェクトのnetlinkイベントをリスニングしなくなりました。

    • ボンド・ポートのキューIDを設定するためのネットワーク・ボンドのサポート。

  • NetworkManagerには、OVS-DPDKインタフェースで受信キュー(rx_queue)の数を設定するためのサポートが含まれています。NetworkManagerを使用して、Open vSwitch (OVS)データ・プレーン開発キット(DPDK)インタフェースのn_rxq設定を構成できます。OVS-DPDKインタフェースで受信キューの数を設定するには、NetworkManagerのOVS-DPDK.n-rxq属性を使用します。

  • nftablesフレームワークには、カウンタがアタッチされたnft set要素のサポートが含まれています。nftツールを使用してnftablesフレームワークを構成できるようになりました。カーネルを使用すると、このツールでは、add @myset {ip saddr counter}文を使用して、指定された発信元アドレスからのネットワーク・パケットをカウントできます。このリリースでは、特定の条件が動的セットおよびカウンタがアタッチされた要素と一致するパケットをカウントできます。

  • 大規模なnftablesセットをリストアするのに必要なメモリーが少なくなります。nftablesフレームワークは、大規模なセットをリストアする際に必要となるメモリーが大幅に少なくなるように拡張されています。netlinkメッセージを準備するアルゴリズムも改善されています。

セキュリティ

Oracle Linux 8.6では、次のセキュリティ機能、拡張機能および変更点が導入されています。

  • Auditがバージョン3.0.7に更新されました。このリリースでは、auditパッケージが更新されています。Auditの更新版には、次のようないくつかの変更および改善が含まれています。

    • Auditの基本ルールにsudoersが追加されました。/etc/sudoersおよびetc/sudoers.d/ディレクトリが、Payment Card Industry Data Security Standard (PCI DSS)やOperating Systems Protection Profile (OSPP)などのAuditの基本ルールに追加されています。この改善により、sudoersなどの特権領域での構成の変更をモニターすることで、セキュリティが向上します。

    • --eoe-timeoutオプションがausearchコマンドに追加され、同様のeoe_timeoutオプションがauditd.confファイルに追加され、ausearchが共存イベントを解析する方法に影響を与えます。これらのオプションを使用して、共存イベントの解析の問題を回避するために、イベント・タイムアウトの終了を指定できます。イベント・タイムアウトの終了のデフォルト値は2秒に設定されています。

  • clevis-systemdはncに依存しなくなりました。このリリースでは、clevis-systemdパッケージはncパッケージに依存しなくなりました。この依存関係は、Extra Packages for Enterprise Linux (EPEL)とともに使用すると正しく機能しませんでした。

  • fapolicydフレームワーク・パッケージがバージョン1.1に更新されました。この更新リリースでは、新しいrules.d/およびtrust.d/ディレクトリ、fagenrulesスクリプトを使用する機能など、いくつかの改善が行われています。さらに、いくつかの新しいオプションがfapolicyd-cliコマンドに追加されています。

  • libcapパッケージがバージョン2.48に更新されました。libcapパッケージはバージョン2.48に更新されています。この更新では、以前のバージョンに対するいくつかのバグ修正および機能拡張が提供されます。

  • Libreswanがバージョン4.5に更新されました。Libreswanはバージョン4.5に更新されています。この更新では、ラベル付きIPsecのInternet Key Exchangeバージョン2 (IKEv2)やIKE Security Association (SA)の子なし開始のサポートの追加など、以前のバージョンに対するいくつかのバグ修正および機能拡張が提供されます。

  • libseccompパッケージがバージョン2.5.2に更新されました。libseccompパッケージはバージョン2.5.2に更新されています。このバージョンでは、以前のバージョンに対するいくつかのバグ修正および機能拡張が提供されます。

  • Libsshがバージョン0.9.6に更新されました。libsshパッケージはバージョン0.9.6に更新されています。このバージョンのLibsshでは、次のようないくつかのバグ修正およびその他の機能拡張があります。

    ~/.ssh/configファイルに示されているように、下から上に処理されるようになった複数のアイデンティティ・ファイルのサポートが追加されました。

    SFTPでの1秒未満の時間の解析が修正されました。

    SSH_AGAINを予期せず返したssh_channel_poll_timeout()関数の回帰が修正されました。

    キーの再交換後に発生する可能性があったヒープ・バッファ・オーバーフローが修正されました

  • 暗号化ポリシーでdiffie-hellman-graoup14-sha256のサポートが提供されます。Oracle Linux 8.6では、Oracle Linuxシステム全体の暗号化ポリシーのlibsshライブラリに対してdiffie-hellman-group14-sha256 Key Exchange (KEX)アルゴリズムを使用できます。このリリースではさらに、KEXアルゴリズムもサポートするOpenSSHでパリティを提供します。libsshでは、デフォルトでdiffie-hellman-group14-sha256が有効になっていますが、カスタム暗号化ポリシーを使用して無効にできます。

  • OpenSSHサーバーには、ドロップイン構成ファイルのサポートが含まれています。includeディレクティブのサポートがsshd_configファイルに追加されました。つまり、構成ファイルを別のディレクトリに含めることができるようになりました。この変更により、Ansible Engineなどの自動化ツールを使用して、OpenSSHサーバーへのシステム固有の構成の適用が容易になります。新しい動作もssh_configファイルの機能との一貫性が増しています。また、ドロップイン構成ファイルを使用すると、着信接続のフィルタなど、用途ごとに異なる構成ファイルを簡単に編成できます。

  • pcsc-liteパッケージがバージョン1.9.5に更新されました。pcsc-liteパッケージはバージョン1.9.5に更新されています。このバージョンには、以前のバージョンに対する多くの機能拡張およびバグ修正が含まれています。重要な変更には、メモリー・リークおよび同時実行性の問題の修正と、次のものが含まれます。

    • pcscdデーモンは、手動で起動すると、非アクティブになった後に自動的に終了しなくなります。

    • pcsc-spyユーティリティは、Python 3および新しい--threadオプションをサポートしています。

    • パフォーマンス向上のため、SCardEndTransaction()関数が改善されました。

    • poll()関数は、select()関数に置き換ります。この関数では、FD_SETSIZEより大きいファイル記述子番号を使用できます。

  • SELinuxポリシー・モジュールのインストールされているバージョンを確認するための新しい--checksumオプション。semodueコマンドの新しい--checksumオプションを使用すると、インストールされているSELinuxポリシー・モジュールのバージョンを確認できます。以前は、インストールされているモジュールが、インストールされる予定のモジュールと同じバージョンであることを確認する簡単な方法はありませんでした。

    新しいsemodule -l --checksumコマンドを使用すると、指定したモジュールのSHA256ハッシュを受信できるため、元のファイルのチェックサムと比較できます。これは、モジュールを再インストールするよりも高速です。

  • SCAPルールには、大規模システムのAuditログ・バッファを構成するための警告メッセージが含まれています。SCAPルールには、大規模システムのAuditログ・バッファを構成するための警告メッセージが含まれるようになりました。xccdf_org.ssgproject.content_rule_audit_basic_configuration SCAPルールでは、大規模システムのユーザー(このルールで構成されるAuditログ・バッファ)が小さすぎてカスタム値をオーバーライドする可能性があることを示すパフォーマンス警告が表示されます。新しい警告では、より大きなAuditログ・バッファを構成するプロセスも記述されています。この改善により、大規模システムのユーザーは準拠を維持しながら、Auditログ・バッファを正しく設定できます。

  • SCAPセキュリティ・ガイドがバージョン0.1.60に更新されました。SCAPセキュリティ・ガイド(SSG)パッケージはバージョン0.1.60に更新されています。重要な変更点は次のとおりです。

    • xccdf_org.ssgproject.content_enable_fips_modeルールは、FIPSモードが適切に有効になっているかどうかのみをチェックします。ただし、システム・コンポーネントがFIPS認定を受けていることは保証されません。

  • ホーム・ディレクトリおよび対話型ユーザーを検出するスキャンおよび修正のためのSSG機能。この機能拡張により、システム内のローカル対話型ユーザーとそれぞれのホーム・ディレクトリを検出するOVALチェックおよび修正が追加されます。SCAPセキュリティ・ガイド(SSG)スイートは、関連するすべてのベンチマーク要件を安全にチェックおよび修正できるようになりました。以前は、OVAL言語を使用してこのギャップをカバーするための堅牢なソリューションはありませんでした。

  • OpenSCAPパッケージがバージョン1.3.6に更新されました。OpenSCAPパッケージはバージョン1.3.6に更新されています。このバージョンのOpenSCAPでは、多くの機能拡張およびバグ修正が提供され、特に重要なものは次のとおりです。

    • --local-filesオプションを使用してリモートSCAPソース・データ・ストリーム・コンポーネントのローカル・コピーを提供する機能が追加されました。

    • OpenSCAPでは、複数のルールを選択するためにコマンドラインで複数の--rule引数を受け入れます。

    • OpenSCAPでは、--skip-ruleオプションを使用して一部のルールの評価をスキップできます。

    • OpenSCAPプローブによって消費されるメモリーを制限するには、OSCAP_PROBE_MEMORY_USAGE_RATIO環境変数を使用します。

    • OpenSCAPにより、修正タイプとしてOSBuild Blueprintのサポートが追加されます。

    • このリリースのOpenSCAPには、リモートSCAPソース・データ・ストリーム・コンポーネントではなくローカル・ファイルを消費する機能が含まれています。OpenSCAPスキャンを実行する前に、リモートSCAPソース・データ・ストリーム・コンポーネントをダウンロードしてターゲット・システムにコピーし、oscapコマンドで--local-filesオプションを指定してOpenSCAPに提供できるようになりました。以前のリリースでは、インターネット・アクセスのないシステム上のリモート・コンポーネントが含まれるSCAPソース・データ・ストリームの完全な評価を実行できませんでした。つまり、リモート・コンポーネントをインターネットからダウンロードする必要があるため、OpenSCAPはデータ・ストリーム内のルールの一部を評価できませんでした。

  • /etc/security/faillock.confファイルのSSGサポートが追加されました。/etc/security/faillock.confファイルのサポートがSSGに追加されました。この機能拡張により、SSGではpam_faillock設定の定義について/etc/security/faillock.confファイルを評価および修正できます。また、authselectツールを使用すると、pam_faillockモジュールを有効にしてpamファイルの整合性を保証できます。この変更により、pam_faillockモジュールの評価修正が最新のバージョンおよびベスト・プラクティスとより同調するようになります。

sosreport updateコマンドの新しい--estimate-onlyオプション

このsos report updateコマンドには、Oracle Linux 8サーバーからsos reportを収集するために必要なディスク領域を概算するために使用できる新しい--estimate-onlyオプションが含まれています。sos report --estimate-onlyコマンドを実行すると、sos reportの予行演習が実行され、すべてのプラグインが連続して模倣され、ディスク・サイズも推定されます。最終的なディスク領域の推定は概算であるため、推定値を2倍にすることをお薦めします。

Windows Server 2022のゲスト・サポート

このリリースには、Windows Server 2022をKVM仮想マシン(VM)上のゲスト・オペレーティング・システムとして使用するためのサポートが含まれています。

テクノロジ・プレビュー

現在のOracle Linux 8リリースのRed Hat Compatible Kernelでは、次の機能がテクノロジ・プレビュー中です。

kexec高速リブート

kexec高速リブート機能は、Oracle Linux 8でテクノロジ・プレビューとして使用できます。この機能は、カーネルが最初に基本入出力システム(BIOS)を通過することなく2番目のカーネルに直接ブートできるようにすることで、ブート・プロセスを大幅に高速化します。この機能を使用するには、まずkexecモジュールをロードしてから、システムをリブートします。

SGXが使用可能

Software Guard Extensions (SGX)は、ソフトウェア・コードとデータを開示および変更から保護するためのIntelテクノロジです。LinuxカーネルではSGX v1およびv1.5を部分的にサポートします。バージョン1はFlexible Launch Controlメカニズムを使用してSGXテクノロジを使用することによってプラットフォームを有効にします。

DAXファイル・システムが使用可能

このリリースでは、DAXファイル・システムは、ext4およびXFSファイル・システムのテクノロジ・プレビューとして使用できます。DAXにより、アプリケーションは、そのアドレス空間に永続メモリーを直接マップできます。システムには、DAXを使用するために使用できるなんらかの形式の永続メモリーが必要です。永続メモリーは、1つ以上の不揮発性デュアル・インライン・メモリー・モジュール(NVDIMM)の形式でもかまいません。さらに、DAXをサポートするファイル・システムをNVDIMM上に作成する必要があります。ファイル・システムは、daxマウント・オプションを使用してマウントする必要があります。次に、daxマウントされたファイル・システム上のファイルのmmapにより、ストレージがアプリケーションのアドレス空間に直接マッピングされます。

NVMe/TCPが使用可能

NVMe over Fabrics TCPホストおよびターゲット・ドライバが、このリリースのテクノロジ・プレビューとしてRHCKに含まれています。

ノート:

NVMe/TCPのサポートは、Unbreakable Enterprise Kernelリリース6ですでに利用可能です。