Notas da Versão do Red Hat Enterprise Linux AS 3 Update 3


Introdução

Serão abordados os seguintes tópicos neste documento:

  • Alterações no programa de instalação do Red Hat Enterprise Linux (Anaconda)

  • Informações gerais

  • Informações relacionadas ao kernel

  • Alterações no suporte a drivers e hardware

  • Alterações nos pacotes

Alterações no Programa de Instalação do Red Hat Enterprise Linux (Anaconda)

A seção a seguir, inclui informações específicas do programa de instalação do Red Hat Enterprise Linux, Anaconda.

Nota

Para poder atualizar um sistema com o Red Hat Enterprise Linux 3 instalado para Update 3, você deve usar a Red Hat Network para atualizar os pacotes que sofreram alterações. O uso do Anaconda para atualizar o sistema para Update 3 não é suportado.

Use o Anaconda somente para executar uma nova instalação do Red Hat Enterprise Linux 3 Update 3.

  • Caso queira copiar o conteúdo dos CD-ROMs do Red Hat Enterprise Linux 3 Update 3 (como preparação para uma instalação baseada em rede, por exemplo), certifique-se de copiar somente os CD-ROMs do sistema operacional. Não copie o CD-ROM com Extras ou qualquer um dos CD-ROMs de outros produtos, já que isso sobrescreveria alguns arquivos necessários para que o Anaconda opere corretamente.

    Estes CD-ROMs devem ser instalados após a instalação do Red Hat Enterprise Linux.

Informações Gerais

Esta seção contém informações gerais não relacionadas a nenhuma outra seção deste documento.

  • O Red Hat Enterprise Linux 3 Update 3 adiciona a versão mais recente do KornShell (ksh) ao CD Extras do Red Hat Enterprise Linux. KornShell é uma linguagem de programação para uso interativo e também no script da shell, e é compatível com a Bourne Shell (sh).

    O novo pacote ksh é uma alternativa ao pdksh, já incluso na distribuição central. É útil em casos nos quais é necessária a compatibilidade precisa com a semântica do ksh da AT&T.

  • O pacote autofs, que controla a operação dos daemons do automount rodando no Red Hat Enterprise Linux, foi atualizado para a versão 4. Esta atualização oferece compatibilidade total com a versão 3. Além disso, também traz as seguintes funcionalidades adicionais:

    • Montagens navegáveis (ghosting) — O ghosting de diretórios de mapas permite que você veja os diretórios no mapa do autofs sem montá-los. Ao serem acessados (ex.: quando uma listagem de diretório é solicitada) a entrada do mapa é montada para que possa ser vista.

    • Suporte ao Servidor Replicado — A funcionalidade do servidor replicado permite ao administrador especificar entradas do mapa que apontam para servidores múltiplos e replicados. O daemon do automount tenta determinar o melhor servidor a usar para montagens testando a latência de um rpc_ping em cada servidor disponível. Pesos talvez sejam atribuídos aos servidores, permitindo maior controle administrativo. Consulte o arquivo /usr/share/doc/autofs-4.1.3/README.replicated-server para mais informações sobre o formato do mapa.

    • Mapas Executáveis — Agora, é possível marcar um mapa como executável. O initscript que analisa o mapa auto.master passa isso como um mapa de programa para o auto-mounter. Um mapa de programa é chamado como um script com a chave como argumento. Pode não retornar nenhuma linha de output se houver um erro, ou uma ou mais linhas contendo um mapa (com \ como quebras de linha). Essa funcionalidade é útil para implementar a funcionalidade /net.

    • Montagens múltiplas — Essa funcionalidade permite ao daemon do automount procurar por diversos métodos de busca sucessivamente. Por exemplo: uma busca poderia pesquisar no NIS e nos mapas de arquivo.

  • O Red Hat Enterprise Linux 3 Update 2 está "em avaliação" no momento para o Evaluated Assurance Level (EAL) 3+/Controlled Access Protection Profile (CAPP) nas seguintes plataformas:

    • Red Hat Enterprise Linux WS na arquitetura x86

    • Red Hat Enterprise Linux AS nas arquiteturas x86, AMD64, IBM zSeries, iSeries e pSeries

    Para obter o status de avaliação dos Critérios Comuns mais recentes, consulte a seguinte URL:

    http://www.redhat.com/solutions/industries/government/commoncriteria/

    Todos os consertos aplicados à base do código do Red Hat Enterprise Linux 3 Update 2 para obter a certificação EAL3 foram espelhados no Red Hat Enterprise Linux 3 Update 3.

    Para informações adicionais sobre o sub-sistema de auditoria, consulte a página man laus(7).

    Desde seu desenvolvimento inicial no kernel do Red Hat Enterprise Linux 3 Update 2, o kernel do Update 3 contém modificações que possibilitam a auditoria de chamadas do sistema em arquiteturas adicionais. O componente do kernel oferece acesso às facilidades da auditoria através do dispositivo especial de caracteres /dev/audit. Através deste dispositivo, um daemon do espaço do usuário (auditd) pode ativar ou desativar a auditoria e pode oferecer ao kernel o conjunto de regras usadas para determinar quando um pedido de uma chamada do sistema deve ser registrado. Este dispositivo também é usado pelo auditd para recuperar registros de auditoria do kernel e transferí-los ao registro de auditoria. Consulte a página man audit(4) para informações sobre chamadas ioctl e interfaces /proc/ para administrar e ajustar o comportamento da auditoria.

  • A versão do servidor web httpd inclusa como parte do Red Hat Enterprise Linux 3 Update 3 traz diversas mudanças significativas:

    • O módulo mod_cgi foi aprimorado para poder lidar corretamente com o output coexistente no stderr e no stdout

    • As variáveis de ambiente SSL definidas pelo mod_ssl podem ser usadas diretamente pelo mod_rewrite com a sintaxe %{SSL:...}. Por exemplo: "%{SSL:SSL_CIPHER_USEKEYSIZE}" pode expandir para "128".

      Da mesma forma, as variáveis de ambiente SSL podem ser usadas diretamente pelo mod_headers com a sintaxe %{...}s.

    • Agora o módulo mod_ext_filter está incluso

    • O id de grupo minimamente aceitável que será usado pelo suexec foi reduzido de 500 para 100. Isso permite o uso do suexec com usuários pertencentes ao grupo "users"

Informações Relacionadas ao Kernel

Esta seção contém notas relacionadas ao kernel do Red Hat Enterprise Linux 3 Update 3.

  • O Red Hat Enterprise Linux 3 Update 3 inclui uma nova funcionalidade do kernel que pode facilitar o processo de diagnóstico de pendências do sistema. Usa a capacidade de NMI (Non-Maskable Interrupt) do hardware para forçar uma pane do kernel.

    Para ativar essa funcionalidade, configure o seguinte parâmetro de controle do sistema desta maneira:

     
    
    kernel.unknown_nmi_panic = 1
    
            

    Isto pode ser feito usando o comando sysctl (sysctl -w kernel.unknown_nmi_panic=1) ou adicionando a linha acima ao /etc/sysctl.conf.

    Uma vez ativada a funcionalidade (e reinicializado o sistema), pode-se forçar uma pane pressionando o botão NMI do sistema.

    Os sistemas que não têm um botão capaz de gerar um NMI podem continuar a usar o watchdog NMI, que gerará um NMI se o sistema travar.

    Nota

    Essa funcionalidade não é compatível com o OProfile. Se o OProfile estiver ativo, pressionar o botão NMI (ou usar o watchdog NMI) não resultará numa pane.

  • O balanceamento IRQ de hardware está ativado para as plataformas de chips baseadas no Lindenhurst (Intel® E7520, Intel® E7320) e Tumwater(Intel® E7525). Consequentemente, o balanceamento IRQ de software está desativado para estas platformas no kernel do Red Hat Enterprise Linux 3 Update 3.

  • O kernel do Red Hat Enterprise Linux 3 Update 3 inclui uma nova funcionalidade de segurança conhecida como Exec-shield. O Exec-shield é uma melhoria na segurança do kernel do Linux que cria grandes partes de programas marcados como especiais — incluindo suas zonas stacks — não executáveis. Isto pode reduzir o dano potencial de alguns buracos da segurança, como exploits da sobrecarga do buffer.

    O Exec-shield também pode randomizar os endereços da memória virtual nos quais alguns binários são carregados. Este mapa VM randômico dificulta atividades maléficas para acessar inapropriadamente o código, ou os dados baseados no código, ou os endereços virtuais dos dados.

    O comportamento do Exec-shield pode ser controlado através do sistema de arquivo proc. São usados dois arquivos:

    • /proc/sys/kernel/exec-shield

    • /proc/sys/kernel/exec-shield-randomize

    O arquivo /proc/sys/kernel/exec-shield controla a funcionalidade Exec-shield e pode ser manipulado com o seguinte comando:

    
    echo <value> > /proc/sys/kernel/exec-shield
    
            

    Onde <value> é um dos seguintes:

    • 0 — o Exec-shield (incluindo o mapeamento VM randômico) é desativado para todos os binários, marcados ou não

    • 1 — o Exec-shield é ativado para todos os binários marcados

    • 2 — o Exec-shield é ativado para todos os binários, independente da marcação (deve ser usado SOMENTE para propósitos de testes)

    O valor default do /proc/sys/kernel/exec-shield é 1.

    O arquivo /proc/sys/kernel/exec-shield-randomize controla se o Exec-shield randomiza o mapeamento VM e pode ser manipulado com o seguinte comando:

    
    echo <value> > /proc/sys/kernel/exec-shield-randomize
    
            

    Onde <value> é um dos seguintes:

    • 0 — O mapeamento VM randômico é desativado

    • 1 — O mapeamento VM randômico é ativado

    O valor default do /proc/sys/kernel/exec-shield-randomize é 1.

    Também é possível configurar o Exec-shield incluindo uma (ou as duas) das linhas seguintes no arquivo /etc/sysctl.conf:

    
    kernel.exec-shield=<value>
    kernel.exec-shield-randomize=<value>
    
            

    (Onde <value> é o valor descrito previamente.)

    O Exec-shield também pode ser desativado a nível do sistema através de uma opção de início do kernel. Adicionando o seguinte parâmetro às linhas do "kernel" no arquivo /etc/grub.conf desativará o Exec-shield:

    
    exec-shield=0
    
            

    Nota

    A funcionalidade Exec-shield está disponível somente a binários que foram criados (e marcados) usando a toolchain (compiler, assembler, linker) disponível no Red Hat Enterprise Linux 3 Update 3. Os binários criados com uma versão diferente da toolchain (pacotes do tipo RPM para instalação das ferramentas de desenvolvimento) ainda podem ser usados, mas como não serão marcados, não poderão tirar proveito do Exec-shield.

    Os desenvolvedores de aplicações devem ter em mente que, na maioria dos casos, O GCC marca corretamente seu código gerado como sendo capaz de usar o Exec-shield. Nos poucos casos (geralmente causados pelo assembler ou outro código não-portável) em que o GCC marca incorretamente o código gerado, é possível passar as opções GCC para obter o resultado desejado.

    As opções que controlam a marcação dos binários no nível do assembler são:

    
    -Wa,--execstack
    -Wa,--noexecstack
    
            

    As opções que controlam a marcação dos binários no nível do linker são:

    
    -Wl,-z,execstack
    -Wl,-z,noexecstack
    
            

    Também é possível exercer um controle mais fino ao desativar explicitamente o Exec-shield para um binário específico no momento da execução. Isso é feito usando o comando setarch:

    
    setarch i386 <binary>
    
            

    (Onde <binary> representa o binário a executar.) O binário é então executado sem a funcionalidade Exec-shield.

    O arquivo proc /proc/self/maps pode ser usado para observar os efeitos do Exec-shield. Usando o cat para exibir o mapeamento VM do processo corrente, você pode ver o Exec-shield funcionando. Da mesma forma, você pode usar o setarch junto ao cat para ver a diferença entre o mapeamento VM normal e o mapeamento do Exec-shield.

  • O Red Hat Enterprise Linux 3 Update 3 inclui uma nova funcionalidade relacionada à segurança — o suporte do kernel para determinadas CPUs novas da Intel que incluem a capacidade NX (No eXecute, sem execução). A tecnologia NX restringe a execução do código do programa, dificultando a inserção de código maléfico por parte dos hackers no sistema para uma sobrecarga do buffer. Quando páginas específicas são marcadas como não-executáveis (nonexecutable), a CPU é impedida de executar código nestas páginas. Isso pode ser usado para marcar áreas da memória, tais como as zonas stack ou heap (áreas típicas onde os buffers são armazenados.)

    Nota

    O Red Hat Enterprise Linux 3 (originalmente disponibilizado em 22 de Outubro de 2003) incluiu o suporte ao NX para a plataforma AMD64.

Alterações no Suporte a Drivers e Hardware

Esta atualização inclui consertos de erros (bugs) para diversos drivers. As atualizações de driver mais significativas estão listadas abaixo. Em alguns casos, o driver original foi preservado sob um nome diferente e está disponível como uma alternativa não-default para empresas que desejam migrar sua configuração de driver para versões mais recentes posteriormente.

Nota

A migração para os drivers mais recentes deve ser completa antes de aplicar a próxima atualização do Red Hat Enterprise Linux porque, na maioria dos casos, somente uma versão antiga do driver é preservada em cada atualização.

Estas notas de versão também indicam quais drivers de versões antigas foram removidos desta atualização do kernel. Estes drivers têm o nome base do driver junto aos dígitos da revisão. Por exemplo: megaraid_2002.o. Você deve remover estes drivers do arquivo /etc/modules.conf antes de instalar esta atualização do kernel.

Tenha em mente que a única maneira definitiva de determinar quais drivers estão sendo usados é rever o conteúdo do arquivo /etc/modules.conf. O uso do comando lsmod não é um substituto para examinar este arquivo.

RAID Adaptec (driver aacraid)

  • O driver aacraid foi atualizado de 1.1.2 para 1.1.5-2339

  • O novo driver é scsi/aacraid/aacraid.o

  • O driver antigo foi preservado como addon/aacraid_10102/aacraid_10102.o

RAID Lógico LSI (driver megaraid)

Nota

O driver megaraid2 inclui suporte para diversos adaptadores de canais novos (alguns produtos PERC4 e ATA Serial) que não são suportados pelo driver megaraid. Se o seu sistema contém exclusivamente estes novos produtos, o driver megaraid2 é carregado por default. Se você tem exclusivamente os produtos antigos, o driver megaraid continuará sendo o default.

No entanto, se você tem uma mistura de adaptadores MegaRAID antigos e novos, o driver selecionado depende da ordem na qual os adaptadores foram scaneados. (Note que você não pode ter ambos drivers megaraid e megaraid2 carregados ao mesmo tempo.) Se o driver default do seu sistema não for o desejado, tome uma das seguintes medidas:

  • Se você está instalando o sistema, digite o seguinte comando no prompt boot:

    
    expert noprobe
    
              

    Em seguida, selecione o driver desejado no menu subsequente.

  • Se o sistema já está instalado, edite /etc/modules.conf e altere as linhas "alias scsi_hostadapter" referenciando o driver megaraid ou o megaraid2 para o driver desejado. Note que após efetuar as alterações no /etc/modules.conf, você deve recriar a imagem initrd; consulte a página man mkinitrd para mais detalhes.

  • O driver megaraid2 foi atualizado de v2.10.1.1 para v2.10.6-RH1

  • O novo driver é scsi/megaraid2.o

  • O driver antigo foi preservado como addon/megaraid_2101/megaraid2101.o

  • O driver v2.00.9 foi removido

  • O driver default continua sendo o driver v1.18k (megaraid.o)

IBM ServeRAID (driver ips)

  • O driver ips foi atualizado de 6.11.07 para 7.00.15

  • O novo driver é scsi/ips.o

  • O driver antigo foi preservado como addon/ips_61107/ips_61107.o

  • O driver ips 6.10.52 (ips_61052.o) foi removido

LSI Logic MPT Fusion (drivers mpt*)

  • Estes drivers foram atualizados de 2.05.11.03 para 2.05.16

  • Os novos drivers estão localizados em message/fusion/

  • Os drivers antigos foram preservados em addon/fusion_20511

  • Os drivers 2.05.05+ (mpt*_20505.o) foram removidos

Controladores Compaq SA53xx (driver cciss)

  • O driver cciss foi atualizado de 2.4.50.RH1 para v2.4.52.RH1

QLogic Fibre Channel (driver qla2xxx)

  • Estes drivers foram atualizados de 6.07.02-RH2 para 7.00.03-RH1

  • Os novos drivers estão localizados em addon/qla2200

  • O driver antigo foi preservado em addon/qla2200_60702RH2

  • Os drivers 6.06.00b11 (qla2*00_60600b11.o) foram removidos

Nota

O adaptador QLA2100 foi aposentado pela QLogic. Este adaptador não é mais suportado pela QLogic ou pela Red Hat. Consequentemente, o driver está localizado no pacote kernel-unsupported.

Emulex Fibre Channel (driver lpfc)

  • Este driver foi adicionado à distribuição. A versão é 7.0.3

  • O driver está localizado em addon/lpfc

Intel PRO/1000 (driver e1000)

  • Este driver foi atualizado de 5.2.30.1-k1 para 5.2.52-k3

Intel PRO/100 (driver e100)

  • Este driver foi atualizado da versão 2.3.30-k1 para 2.3.43-k1

Broadcom Tigon3 (driver tg3)

  • Este driver foi atualizado de v3.1 para v3.6RH

Alterações nos Pacotes

Esta seção contém listas de pacotes que foram atualizados, adicionados ou removidos do Red Hat Enterprise Linux 3 como parte do Update 3. Os pacotes que foram criados para arquiteturas múltiplas estão listados com a arquitetura alvo entre parênteses.

Nota

Estas listas incluem pacotes de todas as variantes do Red Hat Enterprise Linux 3. Seu sistema pode não incluir todos os pacotes listados aqui.

Os seguintes pacotes foram atualizados do Red Hat Enterprise Linux 3 Update 2:

  • ImageMagick

  • ImageMagick-c++

  • ImageMagick-c++-devel

  • ImageMagick-devel

  • ImageMagick-perl

  • MAKEDEV

  • XFree86

  • XFree86-100dpi-fonts

  • XFree86-75dpi-fonts

  • XFree86-ISO8859-14-100dpi-fonts

  • XFree86-ISO8859-14-75dpi-fonts

  • XFree86-ISO8859-15-100dpi-fonts

  • XFree86-ISO8859-15-75dpi-fonts

  • XFree86-ISO8859-2-100dpi-fonts

  • XFree86-ISO8859-2-75dpi-fonts

  • XFree86-ISO8859-9-100dpi-fonts

  • XFree86-ISO8859-9-75dpi-fonts

  • XFree86-Mesa-libGL

  • XFree86-Mesa-libGLU

  • XFree86-Xnest

  • XFree86-Xvfb

  • XFree86-base-fonts

  • XFree86-cyrillic-fonts

  • XFree86-devel

  • XFree86-doc

  • XFree86-font-utils

  • XFree86-libs

  • XFree86-libs-data

  • XFree86-sdk

  • XFree86-syriac-fonts

  • XFree86-tools

  • XFree86-truetype-fonts

  • XFree86-twm

  • XFree86-xauth

  • XFree86-xdm

  • XFree86-xfs

  • anaconda

  • anaconda-runtime

  • arpwatch

  • at

  • autofs

  • bash

  • bind

  • bind-chroot

  • bind-devel

  • bind-utils

  • bison

  • cdda2wav

  • cdrecord

  • cdrecord-devel

  • chkconfig

  • comps

  • control-center

  • cpp

  • crash

  • cups

  • cups-devel

  • cups-libs

  • cvs

  • dev

  • dhclient

  • dhcp

  • dhcp-devel

  • eclipse

  • eclipse-lomboz

  • elfutils

  • elfutils-devel

  • elfutils-libelf

  • elfutils-libelf-devel

  • ethereal

  • ethereal-gnome

  • ethtool

  • expect

  • expect-devel

  • expectk

  • file-roller

  • gcc

  • gcc-c++

  • gcc-g77

  • gcc-gnat

  • gcc-java

  • gcc-objc

  • gdb

  • glibc (i386)

  • glibc (i686)

  • glibc-common

  • glibc-debug

  • glibc-devel

  • glibc-headers

  • glibc-kernheaders

  • glibc-profile

  • glibc-utils

  • gnome-panel

  • grep

  • grub

  • gtk+

  • gtk+-devel

  • gtkhtml3

  • gtkhtml3-devel

  • httpd

  • httpd-devel

  • hwdata

  • imap

  • imap-devel

  • imap-utils

  • initscripts

  • itcl

  • jpackage-utils

  • kdelibs

  • kdelibs-devel

  • kernel (athlon)

  • kernel (i686)

  • kernel-BOOT

  • kernel-doc

  • kernel-hugemem

  • kernel-hugemem-unsupported

  • kernel-smp (athlon)

  • kernel-smp (i686)

  • kernel-smp-unsupported (athlon)

  • kernel-smp-unsupported (i686)

  • kernel-source

  • kernel-unsupported (athlon)

  • kernel-unsupported (i686)

  • kernel-utils

  • krb5-devel

  • krb5-libs

  • krb5-server

  • krb5-workstation

  • laus

  • laus-devel

  • lha

  • libcap

  • libcap-devel

  • libf2c

  • libgcc

  • libgcj

  • libgcj-devel

  • libgnat

  • libgtop2

  • libgtop2-devel

  • libobjc

  • libpcap

  • libpng

  • libpng-devel

  • libpng10

  • libpng10-devel

  • libstdc++

  • libstdc++-devel

  • ltrace

  • lvm

  • mdadm

  • metacity

  • mkisofs

  • mod_auth_pgsql

  • mod_authz_ldap

  • mod_ssl

  • modutils

  • modutils-devel

  • ncompress

  • net-snmp

  • net-snmp-devel

  • net-snmp-perl

  • net-snmp-utils

  • nfs-utils

  • nptl-devel

  • nscd

  • nss_ldap

  • ntp

  • ntsysv

  • openldap

  • openldap-clients

  • openldap-devel

  • openldap-servers

  • openmotif

  • openmotif-devel

  • openoffice.org

  • openoffice.org-i18n

  • openoffice.org-libs

  • openssl (i386)

  • openssl (i686)

  • openssl-devel

  • openssl-perl

  • pam

  • pam-devel

  • parted

  • parted-devel

  • passwd

  • perl

  • perl-CGI

  • perl-CPAN

  • perl-DB_File

  • perl-suidperl

  • php

  • php-devel

  • php-imap

  • php-ldap

  • php-mysql

  • php-odbc

  • php-pgsql

  • popt

  • postfix

  • ppp

  • prelink

  • procps

  • pvm

  • pvm-gui

  • qt

  • qt-MySQL

  • qt-ODBC

  • qt-PostgreSQL

  • qt-designer

  • qt-devel

  • rdist

  • readline

  • readline-devel

  • redhat-config-bind

  • redhat-config-kickstart

  • redhat-config-network

  • redhat-config-network-tui

  • redhat-config-proc

  • redhat-config-securitylevel

  • redhat-config-securitylevel-tui

  • rh-postgresql

  • rh-postgresql-contrib

  • rh-postgresql-devel

  • rh-postgresql-docs

  • rh-postgresql-jdbc

  • rh-postgresql-libs

  • rh-postgresql-pl

  • rh-postgresql-python

  • rh-postgresql-server

  • rh-postgresql-tcl

  • rh-postgresql-test

  • rhnlib

  • rhpl

  • rp-pppoe

  • rpm

  • rpm-build

  • rpm-devel

  • rpm-python

  • rpmdb-redhat

  • rsync

  • rusers

  • rusers-server

  • samba

  • samba-client

  • samba-common

  • samba-swat

  • schedutils

  • sendmail

  • sendmail-cf

  • sendmail-devel

  • sendmail-doc

  • shadow-utils

  • squid

  • squirrelmail

  • strace

  • sysklogd

  • sysstat

  • tcl

  • tcl-devel

  • tcl-html

  • tcllib

  • tclx

  • tcpdump

  • tix

  • tk

  • tk-devel

  • tux

  • unixODBC

  • unixODBC-devel

  • unixODBC-kde

  • up2date

  • up2date-gnome

  • utempter

  • vixie-cron

  • xemacs

  • xemacs-el

  • xemacs-info

  • xinetd

  • xscreensaver

  • ypserv

Os seguintes pacotes foram adicionados ao Red Hat Enterprise Linux 3 Update 3:

  • amtu

  • anacron

  • authd

  • bind-libs

  • bootparamd

  • diskdumputils

  • eal3-certification

  • eal3-certification-doc

  • eclipse-rhaps-develserver

  • evolution-connector

  • laus-libs

  • nss_db

  • nss_db-compat

  • qt-config

Os seguintes pacotes foram removidos do Red Hat Enterprise Linux 3 Update 3:

  • java-javadoc

( x86 )