2 新機能および変更点
この章では、Oracle Linux 8のこのリリースに含まれている新機能、主な機能強化、バグ修正およびその他の変更点について説明します。
クラウド環境
このOracle Linux 8リリースでは、クラウド環境に関連する次の機能、拡張機能、および変更が導入されています。
NetworkManagerとcloud-init
の統合
cloud-init
ツールでnetwork-manager
キー・ファイルを使用すれば、ネットワーク設定のデフォルトのsysconfig
ではなく、NetworkManagerを使用してネットワークを構成できます。
NetworkManagerをプライマリ・ネットワーク・レンダラとして使用するには、/etc/cloud/cloud.cfg
を編集し、リストの最初のエントリとしてnetwork-manager
を設定します:
network:
renderers: ['network-manager', 'eni', 'netplan', 'sysconfig', 'networkd']
コンテナ
このOracle Linux 8リリースでは、コンテナに関連する次の機能、拡張機能および変更が導入されています。
コンテナ・ツール・パッケージの更新
container-tools
モジュールのPodman、Buildah、Skopeo、crunおよびruncパッケージがバージョン4.6用に更新されました。
Podman v4.6の重要な変更点は次のとおりです:
podman kube play
コマンドに対する更新:- ポッドのコンテナ内で使用する環境変数が指定された1つ以上のKubernetes YAMLファイルを指定できる
--configmap=<path>
オプション。 containerPort
名とポート番号を有効性プローブで使用する機能。- ポッド・ネットワークの別名として
ctrName
を自動追加 - SELinuxファイルタイプ・ラベルおよびulimit注釈の処理。
- ポッドのコンテナ内で使用する環境変数が指定された1つ以上のKubernetes YAMLファイルを指定できる
- 指定された名前のシークレットが存在するかどうかを確認する
podman secret exists
コマンドが追加されました。 podman create
、podman run
、podman pod create
、およびpodman pod clone
コマンドで、--shm-size-systemd
オプションを使用してsystemdマウントのtmpfsのサイズを制限できます。podman create
コマンドの使用時に、--security-opt label=nested
オプションを指定すれば、限定されたコンテナ内でSELinuxラベル付けを使用できます。- ポッド内で実行されているコンテナをPodmanで自動的に更新できます。
- SQLiteデータベースをバックエンド・データベースとして使用するようにPodmanを構成できます。デフォルトのデータベース・タイプはBoltDBデータベースです。
containers.conf
ファイルのdatabase_backend
フィールドを設定すれば、データベース・タイプを変更できます。バックエンド・データベースを変更するには、最初にPodmanを初期状態にリセットする必要があります。既存のコンテナおよびポッドはすべて失われるので、バックエンド・データベースの変更後に再作成する必要があります。この機能は、テクノロジ・プレビューとして使用できます。 - Quadletを使用すると、コンテナの摘要から
systemd
サービス・ファイルを自動的に生成できます。PodmanでのQuadletの使用を参照してください。
PodmanでのQuadletの使用
Podman 4.6以降でQuadletを使用できます。Quadletを使用すると、コンテナの摘要からsystemd
サービス・ファイルを自動的に生成できます。コンテナの摘要はsystemd
ユニット・ファイル形式であり、systemd
でコンテナを実行する際の技術的な複雑さが大幅に軽減されます。Quadlet形式の摘要は、systemd
ユニット・ファイルよりも書き込みや保守が容易な場合があります。
ノート:
ルートレス・モードでは、QuadletsはOracle Linux 8で機能しません。詳細は、Quadletのアップストリーム文書を参照してください。
コンパイラおよび開発ツール
このOracle Linux 8リリースでは、コンパイラおよび開発ツールに関連する次の機能、拡張機能、および変更が導入されています。
コンパイラおよび開発ツールの更新
次のパフォーマンス・ツールおよびデバッガが更新されました:
- Valgrind 3.21.0
- SystemTap 4.9
- elfutils 0.189
次のパフォーマンス・モニタリング・ツールが更新されました:
- libpfm 4.13
次のコンパイラ・ツールセットが更新されました:
-
GCCツールセット13
-
LLVMツールセット16.0.6
-
Rustツールセット1.71.1
この更新では、Rustの
profile_builtins
ランタイム・コンポーネントが使用可能になりました。 - Goツールセット1.20.10
GCCツールセット13
GCCツールセット13は、最新バージョンの開発ツールを提供するコンパイラ・ツールセットです。このツールセットは、AppStream
リポジトリのソフトウェア・コレクション形式のアプリケーション・ストリームとして使用できます。
GCCツールセット13では、次のツールおよびバージョンを使用できます:
-
GCC 13.1.1
-
GDB 12.1
-
binutils 2.40
-
dwz 0.14
-
annobin 12.20
ツールセットをインストールするには、次のように入力します。
sudo dnf install gcc-toolset-13
GCCツールセット13からツールを実行するには、次のように入力します:
scl enable gcc-toolset-13 tool
GCCツールセット13のツール・バージョンでこれらのツールのシステム・バージョンをオーバーライドするシェル・セッションを実行するには、次のように入力します:
scl enable gcc-toolset-13 bash
GCCによるレジスタ引数の保持
GCCが更新されて、レジスタ引数の内容が保持され、適切なコール・フレーム情報(CFI)が生成されるようになったので、パフォーマンスに悪影響を及ぼさずに、アンワインダでこの情報を簡単に見つけることができるようになりました。
GCCツールセット13のbinutils
をバージョン2.40に更新
GCCツールセット13には、binutils
のバージョン2.40が含まれており、次の重要な変更が含まれています:
- リンカーで警告メッセージを無効にするための
-w
(--no-warnings
)オプションが追加されました。 -
権限の変更についての通知に関する、ELFリンカーの警告メッセージの改善。
- 移植可能な実行可能(PE)形式ファイルのファイル・ヘッダーおよびセクション・ヘッダーのフィールドを表示する
--private
オプションがobjdump
ツールに追加されました。 - 逆アセンブル時にアドレスに一致するすべてのシンボルを表示する
--show-all-symbols
オプションがobjdump
ツールに追加されました。 - ELFファイルからELFセクション・ヘッダーを削除する
--strip-section-headers
オプションがobjcopy
およびstrip
ツールに追加されました。 - 弱いシンボルを無視するように設定する
-W
(--no-weak
)オプションがnm
ツールに追加されました。 -
逆アセンブラ出力の構文強調表示が
objdump
ツールに追加されました。
Intel Xeon V5ハードウェア用のglibc
のパフォーマンス強化
文字列に対してglibc
が使用するキャッシュのデフォルト量およびおよびメモリー・ルーチンが、Intel Xeon v5ハードウェアでのパフォーマンスが向上するようにチューニングされています。
C++のコード変更からの下位互換性
C++プログラムの起動パフォーマンスを向上させるために、C++が変更されました。たとえば、std::cout
、std::cin
などのグローバルiostreamオブジェクトが、<iostream>
ヘッダーを含むソース・ファイルではなく、標準ライブラリ内に構築されます。ただし、GCC 13.1ツールセットでコンパイルされたコードは、実行時に正しくないlibstdc++.so
バージョンを使用すると失敗します。実行時に正しいlibstdc++.so
を使用する方法の詳細は、https://gcc.gnu.org/onlinedocs/libstdc++/manual/using_dynamic_or_shared.html#manual.intro.using.linkage.dynamicを参照してください。
動的プログラミング言語、Webサーバーとデータベース・サーバー
このOracle Linux 8リリースでは、プログラミング言語、Webサーバーおよびデータベース・サーバーに関連する次の機能、拡張機能、および変更が導入されています。
nodejs:20
モジュール・ストリームのサポート
nodejs:20
モジュール・ストリームがサポートされており、長期サポート(LTS)バージョンのNode.js 20.9
が含まれています。次の重要な機能が含まれています:
-
V8
JavaScriptエンジンがバージョン11.3に更新されています。 -
npm
パッケージ・マネージャがバージョン9.8.0に更新されています。 -
Node.js
に、実験的な権限モデルが含まれています。 -
Node.js
に、実験的なSingle Executable Application (SEA)機能が含まれています。 -
Node.js
に、実験的なECMAScriptモジュール(ESM)ローダーに対する改善が含まれています。 -
node:test
モジュールが安定していると見なされるようになりました。
nodejs:20
モジュール・ストリームをインストールするには、次を実行してください:
sudo dnf module install nodejs:20
アプリケーション・ストリームのサポート期間の詳細は、Oracle Linux: 製品ライフサイクル情報を参照してください。
高可用性とクラスタ
このOracle Linux 8リリースでは、高可用性に関連する次の機能、拡張機能および変更が導入されています。
コロケーション制約処理のPacemakerスケジューラの改善
Pacemakerスケジューラが更新および改善されて、グループ・メンバー間の制約など、必須のコロケーション制約がオプションのコロケーション制約より優先されるようになりました。この変更により、異機種混合のコロケーション制約があるリソースに対するスケジューラの動作が改善されます。この機能には少なくとも3つのノードが必要なことに注意してください。
SNMPv3でのalert_snmp.sh.sample
アラート・エージェントの動作
alert_snmp.sh.sample
アラート・エージェントかSNMPv2およびSNMPv3で動作するようになり、エージェントの変更が不要になりました。
アラートを無効にする新しいメタ・オプション
enabled
メタ・オプションのブール値をtrue
またはfalse
に設定して、Pacemakerが受信者に対するアラートを生成するかどうかを制御できます。デフォルト値はtrue
に設定されています。
pcs property
コマンドの機能改善
pcs property
コマンドで、次の機能改善がサポートされるようになりました:
-
pcs property config --output-format=
オプション--output-format=cmd
を指定すると、現在のクラスタ・プロパティ構成から作成されたpcs property set
コマンドが表示されます。このコマンドを使用して、構成済のクラスタ・プロパティを別のシステムに再作成できます。--output-format=json
を指定すると、構成済のクラスタ・プロパティがJSON形式で表示されます。output-format=text
を指定すると、構成済のクラスタ・プロパティがプレーン・テキスト形式で表示されます。これがこのオプションのデフォルト値です。
- 非推奨の
pcs property --defaults
オプションを置き換えるpcs property defaults
コマンド - クラスタ・プロパティの意味を説明する
pcs property describe
コマンド。
インフラストラクチャ・サービス
このOracle Linux 8リリースでは、インフラストラクチャ・サービスに関連する次の機能、拡張機能および変更が導入されています。
PostfixでSRV参照を処理可能
- use_srv_lookup=smtp
DNS SRVレコードを使用して、指定したサービスを検出できるようにします。
- allow_srv_lookup_fallback=yes
構成が誤っているかエントリが欠落しているためにSRVエントリの参照に失敗する場合に、MXおよびIPアドレス・レコードを使用するようにPostfixをフォールバックしますが、サービスに対してはSRVを引き続き使用するように、SRV参照フォールバック用のサービスを構成します。
- ignore_srv_lookup_error=yes
参照に失敗したときは、サービスがSRVの使用を停止して、かわりにMXまたはIPアドレス・レコードを使用するようにサービスを構成します。
カーネルおよびシステム・ライブラリ
次の重要な機能、機能強化および変更点が、現在のOracle Linux 8バージョンに同梱されているRed Hat Compatible Kernel (RHCK)に適用されています。
AMDプロセッサ上のRHCKでAutoIBRS構成を処理可能
AMDプロセッサ上のRHCKで、Automatic Indirect Branch Restricted Speculation (AutoIBRS)構成を処理できます。AutoIBRSは、AMD EPYC 9004 Genoaファミリのプロセッサおよびそれ以降のCPUバージョンで提供される機能です。AutoIBRSはSpectre v2 CPUの脆弱性を低減するために使用されるデフォルトの軽減策で、パフォーマンスとスケーラビリティも向上します。
ネットワーク
このOracle Linux 8リリースでは、ネットワーキングに関連する次の機能、拡張機能および変更が導入されています。
nftables
のデフォルト・サービス構成の更新
nftables
のデフォルト・サービス構成に、ポート・シャドウ攻撃のリスクを軽減するdo_masquerade
チェーンが含まれるようになりました。この更新は/etc/sysconfig/nftables/nat.nft
に適用され、適切なパケットを検出してソース・ポートのランダム化を強制するルールがdo_masquerade
チェーンに追加されます。
AAAA問合せを抑制するオプションが追加されたNetworkManager
no-aaaa
オプションを使用すると、AAAA問合せを抑制するようにDNS設定を構成できます。このオプションを使用すると、nmcli
ユーティリティを使用してIPv6のDNS解決を無効にできます。NetworkManager
サービスの再起動後に、no-aaaa
設定が/etc/resolv.conf
ファイルに追加されます。
libnftnl
パッケージのバージョン1.2.2への更新
カーネル内のnf_tables
サブシステム(libnftnl
)パッケージに対するNetlink APIが更新されました。重要な変更および拡張機能は次のとおりです:
-
新機能:
udata
属性のネストexthdr
式を使用したTCPオプションのリセット- メタ・キーワード:
sdif
およびsdifname
nftnl_chain
構造体内の新しい属性NFTNL_CHAIN_FLAGS
を処理して、カーネルとユーザー空間の間でフラグを通信する機能。- セットおよびセット要素に式を追加するための、nftablesの新しい
nftnl_set
構造体。 - セット、表、オブジェクトおよびチェーンに対するコメント機能
nftnl_table
構造体へのNFTNL_TABLE_OWNER
属性の追加。この属性を使用して、カーネルで所有者がユーザー空間と通信できます。- フロー表デバイスに対する増分更新の準備
typeof
キーワード関連のnftnl_set udata
定義chain
ID属性- ルールから式を削除する機能
last
式用の機能
-
ビット単位式の拡張:
- 新しい属性:
op
およびdata
- 左シフトと右シフト
- 他の式のデバッグ出力との整合性
- 新しい属性:
-
ソケット式の拡張:
- 新しい属性:
wildcard
- cgroups v2を処理する機能
- 新しい属性:
-
デバッグ出力の拡張:
- セット要素への
key_end
データ・レジスタの追加 masq
式およびnat式からの未使用レジスタの削除- 判定マップ要素への修正の適用
- 削除されたXMLフォーマットの残留物の削除
- 内部ヘッダーのペイロード・オフセット
- セット要素への
セキュリティ
このOracle Linux 8リリースでは、セキュリティに関連する次の機能、拡張機能および変更が導入されています。
FIPS対応のOracle Linux 8.9から最新のOracle Linux 9へのインプレース・アップグレード
Oracle Linux 8.9以降では、FIPS対応Oracle Linux 8システムからOracle Linux 9.2以降へのインプレース・アップグレードを実行できます。詳細は、Oracle Linux 9: Leappによるシステムのアップグレードを参照してください。
SCAPセキュリティ・ガイドのANSSI-BP-028セキュリティ・プロファイルをバージョン2.0に更新
SCAPセキュリティ・ガイドのAgence Nationale de la Sécurité des Systèmes d'Information (ANSSI) BP-028プロファイルが、https://cyber.gouv.fr/publications/recommandations-de-securite-relatives-un-systeme-gnulinuxで説明されているバージョン2.0のガイドラインと一致するように更新されました。
対話型ユーザーの一貫した構成のためのSCAPセキュリティ・ガイド・ルールの更新
対話型ユーザーの構成の一貫性を高めるために、SCAPセキュリティ・ガイドのいくつかのルールが更新されました。アカウント・ユーザー名がnobody
またはnfsnobody
であるか、アカウント・ログイン・シェルが/sbin/nologin
に設定されている場合を除き、UIDが1000以上のユーザー・アカウントは対話型とみなされます。これらの更新により、SCAPユーザーは対話型ユーザーとは見なされなくなります。
対話型ユーザーの構成の一貫性を高めるために、次のルールが更新されました:
-
accounts_umask_interactive_users
-
accounts_user_dot_user_ownership
-
accounts_user_dot_group_ownership
-
accounts_user_dot_no_world_writable_programs
-
accounts_user_interactive_home_directory_defined
-
accounts_user_interactive_home_directory_exists
-
accounts_users_home_files_groupownership
-
accounts_users_home_files_ownership
-
accounts_users_home_files_permissions
-
file_groupownership_home_directories
-
file_ownership_home_directories
-
file_permissions_home_directories
-
file_permissions_home_dirs
-
no_forward_files
OpenSCAPの1.3.8への更新
OpenSCAPパッケージがバージョン1.3.8に更新されました。主な変更点は次のとおりです:
- 一部の
systemd
ユニットが無視されないためのsystemd
プローブの修正。 shadow
OVALプローブへのオフライン機能の追加。sysctl
OVALプローブへのオフライン機能の追加。- ネットワーク・ファイル・システムのリストへの
auristorfs
の追加。 autotailor
によって生成されたテーラリング・ファイルの処理の改善。
opencryptoki
の3.21.0への更新
opencryptoki
パッケージがバージョン3.21.0に更新され、次の重要な変更が含まれています:
-
コンカレント・ハードウェア・セキュリティ・モジュール(HSM)のマスター・キーの更新
-
選択したキーを保護されたキーに変換する新しい
protected-key
オプションの追加 -
DH、DSA、AES-XTS、Kyber、Dilithium、汎用秘密キー・タイプなど、いくつかのキー・タイプの追加
-
EP11ホスト・ライブラリ・バージョン4の追加
pkcsslotd
のrootとしての実行の廃止-
新しいコマンド:
p11sak set-key-attr
: キー属性の変更p11sak copy-key
: キーのコピーp11sak import-key
: キーのインポートp11sak export-key
: キーのエクスポート
監査ログのfanotify
情報の拡張
監査サービスの適切な監査レコード・フィールドにfanotify
イベントに関する次の情報が含まれます:
-
fan_type
:fanotify
イベントのタイプを指定します。 -
fan_info
: 追加コンテキスト情報を指定します。 -
sub_trust
およびobj_trust
: イベント内のサブジェクトおよびオブジェクトの信頼レベルを指定します。
fanotify
の情報により、特定のケースのアクセス拒否の原因を明確にして、fapolicyd
フレームワークなどのツールのポリシー作成に役立てることができます。
この機能はRHCKでのみ使用できます。
fapolicyd
による監査出力へのルール番号の追加
カーネルおよびAuditdコンポーネントとともにFapolicydが更新されて、監査ログに出力するときにルール番号が含まれるようになったので、ポリシー関連の問題のトラブルシューティングが容易になりました。
この機能はRHCKでのみ使用できます。
SCAPセキュリティ・ガイドのバージョン0.1.69への更新
SCAPセキュリティ・ガイドの更新には、次の重要な変更が含まれています:
- パスワード・エイジング・ルールで、空の文字列がパスワードとして無視されなくなりました。
- リモートOVALコンテンツのURLが更新されて、Oracle Linux 8固有のものになったため、
--fetch-remote-resources
でスキャンする際のメモリー使用が改善されました。 /var/log
および/var/log/audit
に関連するルールが、これらのパーティションが存在する場合にのみ適用されるようになりました。- Bashが改善されて、fstab内のISO9660パーティションが処理されるように修正されました。
- DISA Oracle Linux 8 STIG - バージョン1、リリース8に準拠するように、Oracle Linux 8 stigプロファイルが更新されました。
サポート
このOracle Linux 8リリースでは、サポートに関連する次の機能、拡張機能および変更が導入されています。
sos
のバージョン4.6への更新
構成、診断およびトラブルシューティングのデータ収集に使用するsos
ユーティリティが、バージョン4.6に更新されて、次の重要な変更が提供されています:
/boot/grub2/custom.cfg
および/boot/grub2/user.cfg
ファイルの内容がレポートに含まれるようになったので、ブート問題のトラブルシューティングに役立ちます。sos
をsudo
プラグインとともに使用すると、bindpw
オプションが削除されます。- プラグインのユーザー名とパスワード情報を削除およびマスクするための様々な改善
- ログ・ファイルのサイズを超えた場合やプラグインがタイムアウトした場合でも、
sos
が最後尾のログの収集を完了します sos
をPacemakerクラスタ・ノードで実行すると、実行場所と同じクラスタ・ノードからsosレポートが収集されますsos report --clean
コマンドで、すべてのMACアドレスが不明瞭化されます。
sos
の各リリースの詳細は、アップストリームのリリース・ノートを参照してください。