新機能および変更点

クラウド環境

このOracle Linux 8リリースでは、クラウド環境に関連する次の機能、拡張機能、および変更が導入されています。

NetworkManagerと`cloud-init`の統合

cloud-initツールでnetwork-managerキー・ファイルを使用すれば、ネットワーク設定のデフォルトのsysconfigではなく、NetworkManagerを使用してネットワークを構成できます。

NetworkManagerをプライマリ・ネットワーク・レンダラとして使用するには、/etc/cloud/cloud.cfgを編集し、リストの最初のエントリとしてnetwork-managerを設定します:

network:
    renderers: ['network-manager', 'eni', 'netplan', 'sysconfig', 'networkd']

コンテナ

このOracle Linux 8リリースでは、コンテナに関連する次の機能、拡張機能および変更が導入されています。

コンテナ・ツール・パッケージの更新

container-toolsモジュールのPodman、Buildah、Skopeo、crunおよびruncパッケージがバージョン4.6用に更新されました。

Podman v4.6の重要な変更点は次のとおりです:

podman kube playコマンドに対する更新:
- ポッドのコンテナ内で使用する環境変数が指定された1つ以上のKubernetes YAMLファイルを指定できる--configmap=<path>オプション。
- containerPort名とポート番号を有効性プローブで使用する機能。
- ポッド・ネットワークの別名としてctrNameを自動追加
- SELinuxファイルタイプ・ラベルおよびulimit注釈の処理。
指定された名前のシークレットが存在するかどうかを確認するpodman secret existsコマンドが追加されました。
podman create、podman run、podman pod create、およびpodman pod cloneコマンドで、--shm-size-systemdオプションを使用してsystemdマウントのtmpfsのサイズを制限できます。
podman createコマンドの使用時に、--security-opt label=nestedオプションを指定すれば、限定されたコンテナ内でSELinuxラベル付けを使用できます。
ポッド内で実行されているコンテナをPodmanで自動的に更新できます。
SQLiteデータベースをバックエンド・データベースとして使用するようにPodmanを構成できます。デフォルトのデータベース・タイプはBoltDBデータベースです。containers.confファイルのdatabase_backendフィールドを設定すれば、データベース・タイプを変更できます。バックエンド・データベースを変更するには、最初にPodmanを初期状態にリセットする必要があります。既存のコンテナおよびポッドはすべて失われるので、バックエンド・データベースの変更後に再作成する必要があります。この機能は、テクノロジ・プレビューとして使用できます。
Quadletを使用すると、コンテナの摘要からsystemdサービス・ファイルを自動的に生成できます。PodmanでのQuadletの使用を参照してください。

PodmanでのQuadletの使用

Podman 4.6以降でQuadletを使用できます。Quadletを使用すると、コンテナの摘要からsystemdサービス・ファイルを自動的に生成できます。コンテナの摘要はsystemdユニット・ファイル形式であり、systemdでコンテナを実行する際の技術的な複雑さが大幅に軽減されます。Quadlet形式の摘要は、systemdユニット・ファイルよりも書き込みや保守が容易な場合があります。

ノート:

ルートレス・モードでは、QuadletsはOracle Linux 8で機能しません。

詳細は、Quadletのアップストリーム文書を参照してください。

コンパイラおよび開発ツール

このOracle Linux 8リリースでは、コンパイラおよび開発ツールに関連する次の機能、拡張機能、および変更が導入されています。

コンパイラおよび開発ツールの更新

次のパフォーマンス・ツールおよびデバッガが更新されました:

Valgrind 3.21.0
SystemTap 4.9
elfutils 0.189

次のパフォーマンス・モニタリング・ツールが更新されました:

libpfm 4.13

次のコンパイラ・ツールセットが更新されました:

GCCツールセット13
LLVMツールセット16.0.6
Rustツールセット1.71.1

この更新では、Rustのprofile_builtinsランタイム・コンポーネントが使用可能になりました。
Goツールセット1.20.10

GCCツールセット13

GCCツールセット13は、最新バージョンの開発ツールを提供するコンパイラ・ツールセットです。このツールセットは、AppStreamリポジトリのソフトウェア・コレクション形式のアプリケーション・ストリームとして使用できます。

GCCツールセット13では、次のツールおよびバージョンを使用できます:

GCC 13.1.1
GDB 12.1
binutils 2.40
dwz 0.14
annobin 12.20

ツールセットをインストールするには、次のように入力します。

sudo dnf install gcc-toolset-13

GCCツールセット13からツールを実行するには、次のように入力します:

scl enable gcc-toolset-13 tool

GCCツールセット13のツール・バージョンでこれらのツールのシステム・バージョンをオーバーライドするシェル・セッションを実行するには、次のように入力します:

scl enable gcc-toolset-13 bash

GCCによるレジスタ引数の保持

GCCが更新されて、レジスタ引数の内容が保持され、適切なコール・フレーム情報(CFI)が生成されるようになったので、パフォーマンスに悪影響を及ぼさずに、アンワインダでこの情報を簡単に見つけることができるようになりました。

GCCツールセット13の`binutils`をバージョン2.40に更新

GCCツールセット13には、binutilsのバージョン2.40が含まれており、次の重要な変更が含まれています:

リンカーで警告メッセージを無効にするための-w (--no-warnings)オプションが追加されました。
権限の変更についての通知に関する、ELFリンカーの警告メッセージの改善。
移植可能な実行可能(PE)形式ファイルのファイル・ヘッダーおよびセクション・ヘッダーのフィールドを表示する--privateオプションがobjdumpツールに追加されました。
逆アセンブル時にアドレスに一致するすべてのシンボルを表示する--show-all-symbolsオプションがobjdumpツールに追加されました。
ELFファイルからELFセクション・ヘッダーを削除する--strip-section-headersオプションがobjcopyおよびstripツールに追加されました。
弱いシンボルを無視するように設定する-W (--no-weak)オプションがnmツールに追加されました。
逆アセンブラ出力の構文強調表示がobjdumpツールに追加されました。

Intel Xeon V5ハードウェア用の`glibc`のパフォーマンス強化

文字列に対してglibcが使用するキャッシュのデフォルト量およびおよびメモリー・ルーチンが、Intel Xeon v5ハードウェアでのパフォーマンスが向上するようにチューニングされています。

C++のコード変更からの下位互換性

C++プログラムの起動パフォーマンスを向上させるために、C++が変更されました。たとえば、std::cout、std::cinなどのグローバルiostreamオブジェクトが、<iostream>ヘッダーを含むソース・ファイルではなく、標準ライブラリ内に構築されます。ただし、GCC 13.1ツールセットでコンパイルされたコードは、実行時に正しくないlibstdc++.soバージョンを使用すると失敗します。実行時に正しいlibstdc++.soを使用する方法の詳細は、https://gcc.gnu.org/onlinedocs/libstdc++/manual/using_dynamic_or_shared.html#manual.intro.using.linkage.dynamicを参照してください。

動的プログラミング言語、Webサーバーとデータベース・サーバー

このOracle Linux 8リリースでは、プログラミング言語、Webサーバーおよびデータベース・サーバーに関連する次の機能、拡張機能、および変更が導入されています。

`nodejs:20`モジュール・ストリームのサポート

nodejs:20モジュール・ストリームがサポートされており、長期サポート(LTS)バージョンのNode.js 20.9が含まれています。次の重要な機能が含まれています:

V8 JavaScriptエンジンがバージョン11.3に更新されています。
npmパッケージ・マネージャがバージョン9.8.0に更新されています。
Node.jsに、実験的な権限モデルが含まれています。
Node.jsに、実験的なSingle Executable Application (SEA)機能が含まれています。
Node.jsに、実験的なECMAScriptモジュール(ESM)ローダーに対する改善が含まれています。
node:testモジュールが安定していると見なされるようになりました。

nodejs:20モジュール・ストリームをインストールするには、次を実行してください:

sudo dnf module install nodejs:20

アプリケーション・ストリームのサポート期間の詳細は、Oracle Linux: 製品ライフサイクル情報を参照してください。

Pythonの`tarfile`抽出関数への`filter`引数の追加

tarの一部の機能を無効にしてセキュリティを強化するfilter引数が、Pythonのtarfile抽出関数に含まれるようになりました。フィルタを指定しないと、最も安全だが最も制限が多い'data'フィルタがデフォルトで使用されます。

デフォルトでTLS検証を実行するための`HTTP::Tiny` Perlモジュールの更新

HTTP::Tiny Perlモジュールが更新されて、HTTPSの使用時にデフォルトでTLS証明書検証が実行されるようになりました。この更新により、perl-HTTP-Tinyパッケージに次の依存関係が追加されます:

perl-IO-Socket-SSL
perl-Mozilla-CA
perl-Net-SSLeay

パッケージのインストール時のverify_SSLオプションが0から1に変更されています。

高可用性とクラスタ

このOracle Linux 8リリースでは、高可用性に関連する次の機能、拡張機能および変更が導入されています。

コロケーション制約処理のPacemakerスケジューラの改善

Pacemakerスケジューラが更新および改善されて、グループ・メンバー間の制約など、必須のコロケーション制約がオプションのコロケーション制約より優先されるようになりました。この変更により、異機種混合のコロケーション制約があるリソースに対するスケジューラの動作が改善されます。この機能には少なくとも3つのノードが必要なことに注意してください。

SNMPv3での`alert_snmp.sh.sample`アラート・エージェントの動作

alert_snmp.sh.sampleアラート・エージェントかSNMPv2およびSNMPv3で動作するようになり、エージェントの変更が不要になりました。

アラートを無効にする新しいメタ・オプション

enabledメタ・オプションのブール値をtrueまたはfalseに設定して、Pacemakerが受信者に対するアラートを生成するかどうかを制御できます。デフォルト値はtrueに設定されています。

`pcs property`コマンドの機能改善

pcs propertyコマンドで、次の機能改善がサポートされるようになりました:

pcs property config --output-format=オプション
- --output-format=cmdを指定すると、現在のクラスタ・プロパティ構成から作成されたpcs property setコマンドが表示されます。このコマンドを使用して、構成済のクラスタ・プロパティを別のシステムに再作成できます。
- --output-format=jsonを指定すると、構成済のクラスタ・プロパティがJSON形式で表示されます。
- output-format=textを指定すると、構成済のクラスタ・プロパティがプレーン・テキスト形式で表示されます。これがこのオプションのデフォルト値です。
非推奨のpcs property --defaultsオプションを置き換えるpcs property defaultsコマンド
クラスタ・プロパティの意味を説明するpcs property describeコマンド。

インフラストラクチャ・サービス

このOracle Linux 8リリースでは、インフラストラクチャ・サービスに関連する次の機能、拡張機能および変更が導入されています。

PostfixでSRV参照を処理可能

DNSサービス(SRV)レコード解決のエントリをPostfixで使用して、メール・クライアントを自動的に構成してサーバーの負荷を分散できます。さらに、一時的なDNS問題をPostfixで処理可能で、SRVレコードに障害が発生した場合の障害回復用に構成可能なオプションが用意されています。Postfixのサーバー構成に次のオプションを設定することで、PostfixのSRV処理を構成できます:

use_srv_lookup=smtp
DNS SRVレコードを使用して、指定したサービスを検出できるようにします。
allow_srv_lookup_fallback=yes
構成が誤っているかエントリが欠落しているためにSRVエントリの参照に失敗する場合に、MXおよびIPアドレス・レコードを使用するようにPostfixをフォールバックしますが、サービスに対してはSRVを引き続き使用するように、SRV参照フォールバック用のサービスを構成します。
ignore_srv_lookup_error=yes
参照に失敗したときは、サービスがSRVの使用を停止して、かわりにMXまたはIPアドレス・レコードを使用するようにサービスを構成します。

`vsftpd`でのTLS 1.3暗号スイートの使用

vsftpdを構成する際に、ssl_ciphersuitesオプションを使用して、以前はこのサービスで使用できなかったTLS 1.3暗号スイートを含む様々な暗号スイートを使用するようにサービスを構成できます。暗号スイートの複数のエントリは、コロン(:)文字で区切って1行で指定します。

カーネルおよびシステム・ライブラリ

次の重要な機能、機能強化および変更点が、現在のOracle Linux 8バージョンに同梱されているRed Hat Compatible Kernel (RHCK)に適用されています。

AMDプロセッサ上のRHCKでAutoIBRS構成を処理可能

AMDプロセッサ上のRHCKで、Automatic Indirect Branch Restricted Speculation (AutoIBRS)構成を処理できます。AutoIBRSは、AMD EPYC 9004 Genoaファミリのプロセッサおよびそれ以降のCPUバージョンで提供される機能です。AutoIBRSはSpectre v2 CPUの脆弱性を低減するために使用されるデフォルトの軽減策で、パフォーマンスとスケーラビリティも向上します。

Intel® QATカーネル・ドライバの更新

Intel®Quick Assist Technology (QAT)には、バージョン6.2の時点で、バグ修正と機能強化の両方が含まれています。最も重要な拡張機能として、次のQAT GEN4ハードウェア・アクセラレータ・デバイス用の追加機能が含まれています:

Intel Quick Assist Technology 401xxデバイス
Intel Quick Assist Technology 402xxデバイス

`makedumpfile`のバージョン1.7.2への更新

makedumpfileユーティリティがバージョン1.7.2に更新されました。このツールは、圧縮およびページの除外によってダンプ・ファイルのサイズを縮小するために使用します。

ネットワーク

このOracle Linux 8リリースでは、ネットワーキングに関連する次の機能、拡張機能および変更が導入されています。

`nftables`のデフォルト・サービス構成の更新

nftablesのデフォルト・サービス構成に、ポート・シャドウ攻撃のリスクを軽減するdo_masqueradeチェーンが含まれるようになりました。この更新は/etc/sysconfig/nftables/nat.nftに適用され、適切なパケットを検出してソース・ポートのランダム化を強制するルールがdo_masqueradeチェーンに追加されます。

AAAA問合せを抑制するオプションが追加された`NetworkManager`

no-aaaaオプションを使用すると、AAAA問合せを抑制するようにDNS設定を構成できます。このオプションを使用すると、nmcliユーティリティを使用してIPv6のDNS解決を無効にできます。NetworkManagerサービスの再起動後に、no-aaaa設定が/etc/resolv.confファイルに追加されます。

`libnftnl`パッケージのバージョン1.2.2への更新

カーネル内のnf_tablesサブシステム(libnftnl)パッケージに対するNetlink APIが更新されました。重要な変更および拡張機能は次のとおりです:

新機能:
- udata属性のネスト
- exthdr式を使用したTCPオプションのリセット
- メタ・キーワード: sdifおよびsdifname
- nftnl_chain構造体内の新しい属性NFTNL_CHAIN_FLAGSを処理して、カーネルとユーザー空間の間でフラグを通信する機能。
- セットおよびセット要素に式を追加するための、nftablesの新しいnftnl_set構造体。
- セット、表、オブジェクトおよびチェーンに対するコメント機能
- nftnl_table構造体へのNFTNL_TABLE_OWNER属性の追加。この属性を使用して、カーネルで所有者がユーザー空間と通信できます。
- フロー表デバイスに対する増分更新の準備
- typeofキーワード関連のnftnl_set udata定義
- chain ID属性
- ルールから式を削除する機能
- last式用の機能
ビット単位式の拡張:
- 新しい属性: opおよびdata
- 左シフトと右シフト
- 他の式のデバッグ出力との整合性
ソケット式の拡張:
- 新しい属性: wildcard
- cgroups v2を処理する機能
デバッグ出力の拡張:
- セット要素へのkey_endデータ・レジスタの追加
- masq式およびnat式からの未使用レジスタの削除
- 判定マップ要素への修正の適用
- 削除されたXMLフォーマットの残留物の削除
- 内部ヘッダーのペイロード・オフセット

`iproute`のバージョン6.2.0への更新

iprouteパッケージがバージョン6.2.0に更新されました。主な変更点は次のとおりです:

インタフェース統計を表示および管理するための新しいip statsコマンド。詳細は、ip-stats(8)マニュアル・ページを参照してください。
スレッド情報を表示するためのssコマンドの新しい--threadsオプション。詳細は、ss(8)マニュアル・ページを参照してください。
データベース・エントリの転送をフラッシュするための新しいbridge fdb flushコマンド。詳細は、bridge(8)マニュアル・ページを参照してください。

セキュリティ

このOracle Linux 8リリースでは、セキュリティに関連する次の機能、拡張機能および変更が導入されています。

FIPS対応のOracle Linux 8.9から最新のOracle Linux 9へのインプレース・アップグレード

Oracle Linux 8.9以降では、FIPS対応Oracle Linux 8システムからOracle Linux 9.2以降へのインプレース・アップグレードを実行できます。詳細は、Oracle Linux 9: Leappによるシステムのアップグレードを参照してください。

SCAPセキュリティ・ガイドのANSSI-BP-028セキュリティ・プロファイルをバージョン2.0に更新

SCAPセキュリティ・ガイドのAgence Nationale de la Sécurité des Systèmes d'Information (ANSSI) BP-028プロファイルが、https://cyber.gouv.fr/publications/recommandations-de-securite-relatives-un-systeme-gnulinuxで説明されているバージョン2.0のガイドラインと一致するように更新されました。

対話型ユーザーの一貫した構成のためのSCAPセキュリティ・ガイド・ルールの更新

対話型ユーザーの構成の一貫性を高めるために、SCAPセキュリティ・ガイドのいくつかのルールが更新されました。アカウント・ユーザー名がnobodyまたはnfsnobodyであるか、アカウント・ログイン・シェルが/sbin/nologinに設定されている場合を除き、UIDが1000以上のユーザー・アカウントは対話型とみなされます。これらの更新により、SCAPユーザーは対話型ユーザーとは見なされなくなります。

対話型ユーザーの構成の一貫性を高めるために、次のルールが更新されました:

accounts_umask_interactive_users
accounts_user_dot_user_ownership
accounts_user_dot_group_ownership
accounts_user_dot_no_world_writable_programs
accounts_user_interactive_home_directory_defined
accounts_user_interactive_home_directory_exists
accounts_users_home_files_groupownership
accounts_users_home_files_ownership
accounts_users_home_files_permissions
file_groupownership_home_directories
file_ownership_home_directories
file_permissions_home_directories
file_permissions_home_dirs
no_forward_files

OpenSCAPの1.3.8への更新

OpenSCAPパッケージがバージョン1.3.8に更新されました。主な変更点は次のとおりです:

一部のsystemdユニットが無視されないためのsystemdプローブの修正。
shadow OVALプローブへのオフライン機能の追加。
sysctl OVALプローブへのオフライン機能の追加。
ネットワーク・ファイル・システムのリストへのauristorfsの追加。
autotailorによって生成されたテーラリング・ファイルの処理の改善。

`opencryptoki`の3.21.0への更新

opencryptokiパッケージがバージョン3.21.0に更新され、次の重要な変更が含まれています:

コンカレント・ハードウェア・セキュリティ・モジュール(HSM)のマスター・キーの更新
選択したキーを保護されたキーに変換する新しいprotected-keyオプションの追加
DH、DSA、AES-XTS、Kyber、Dilithium、汎用秘密キー・タイプなど、いくつかのキー・タイプの追加
EP11ホスト・ライブラリ・バージョン4の追加
pkcsslotdのrootとしての実行の廃止
新しいコマンド:
- p11sak set-key-attr: キー属性の変更
- p11sak copy-key: キーのコピー
- p11sak import-key: キーのインポート
- p11sak export-key: キーのエクスポート

監査ログの`fanotify`情報の拡張

監査サービスの適切な監査レコード・フィールドにfanotifyイベントに関する次の情報が含まれます:

fan_type: fanotifyイベントのタイプを指定します。
fan_info: 追加コンテキスト情報を指定します。
sub_trustおよびobj_trust: イベント内のサブジェクトおよびオブジェクトの信頼レベルを指定します。

fanotifyの情報により、特定のケースのアクセス拒否の原因を明確にして、fapolicydフレームワークなどのツールのポリシー作成に役立てることができます。

この機能はRHCKでのみ使用できます。

`fapolicyd`による監査出力へのルール番号の追加

カーネルおよびAuditdコンポーネントとともにFapolicydが更新されて、監査ログに出力するときにルール番号が含まれるようになったので、ポリシー関連の問題のトラブルシューティングが容易になりました。

この機能はRHCKでのみ使用できます。

SCAPセキュリティ・ガイドのバージョン0.1.69への更新

SCAPセキュリティ・ガイドの更新には、次の重要な変更が含まれています:

パスワード・エイジング・ルールで、空の文字列がパスワードとして無視されなくなりました。
リモートOVALコンテンツのURLが更新されて、Oracle Linux 8固有のものになったため、--fetch-remote-resourcesでスキャンする際のメモリー使用が改善されました。
/var/logおよび/var/log/auditに関連するルールが、これらのパーティションが存在する場合にのみ適用されるようになりました。
Bashが改善されて、fstab内のISO9660パーティションが処理されるように修正されました。
DISA Oracle Linux 8 STIG - バージョン1、リリース8に準拠するように、Oracle Linux 8 stigプロファイルが更新されました。

サポート

このOracle Linux 8リリースでは、サポートに関連する次の機能、拡張機能および変更が導入されています。

`sos`のバージョン4.6への更新

構成、診断およびトラブルシューティングのデータ収集に使用するsosユーティリティが、バージョン4.6に更新されて、次の重要な変更が提供されています:

/boot/grub2/custom.cfgおよび/boot/grub2/user.cfgファイルの内容がレポートに含まれるようになったので、ブート問題のトラブルシューティングに役立ちます。
sosをsudoプラグインとともに使用すると、bindpwオプションが削除されます。
プラグインのユーザー名とパスワード情報を削除およびマスクするための様々な改善
ログ・ファイルのサイズを超えた場合やプラグインがタイムアウトした場合でも、sosが最後尾のログの収集を完了します
sosをPacemakerクラスタ・ノードで実行すると、実行場所と同じクラスタ・ノードからsosレポートが収集されます
sos report --cleanコマンドで、すべてのMACアドレスが不明瞭化されます。

sosの各リリースの詳細は、アップストリームのリリース・ノートを参照してください。