红帽企业 Linux AS 3 Update 3 发行注记


介绍

本文档中涉及了以下课题:

  • 红帽企业 Linux 安装程序(Anaconda)的改变

  • 常规备注

  • 和内核相关的信息

  • 驱动程序和硬件支持的改变

  • 软件包的改变

红帽企业 Linux 安装程序(Anaconda)的变化

以下部分包含红帽企业 Linux 安装程序 Anaconda 特有的信息。

备注

为了把您已安装了的红帽企业 Linux 3 系统升级到Update 3,您必须使用红帽网络来更新已改变的软件包。使用 Anaconda 来升级到Update 3 已不被支持。

使用 Anaconda 仅能执行红帽企业 Linux 3 Update 3 的新安装。

  • 如果您要复制红帽企业 Linux 3 Update 3 光盘的内容(例如为了筹备网络安装),请确定复制操作系统光盘。请不要复制额外光盘或任何层次产品光盘,因为这会覆盖 Anaconda 正常操作所必需的文件。

    这些光盘必须在安装了红帽企业 Linux 之后被安装。

常规备注

本节包含不特指其它各节的常规备注。

  • 红帽企业 Linux 3 Update 3 把最新版本的 KornShell (ksh)添加到红帽企业 Linux 的附加光盘中。KornShell 既是一个互动 shell,也是用于 shell 脚本的编程语言,并且它与 Bourne Shell(sh)有上向兼容性。

    新增的 ksh 软件包是 pdksh 的另一选择。后者已经包括在核心发行版中。这个新增的软件包在需要与 AT&T ksh 语法确切兼容时能够发挥作用。

  • autofs 软件包控制运行在红帽企业 Linux 上的 automount 操作。它已被更新到版本 4。该更新提供完全的和版本 3 的后向兼容性。除此以外,它还添加了以下特性:

    • 可挂载浏览(虚像,ghosting)— 映射目录虚像允许您不必挂载实际的目录就能在 autofs 映射图中看到这些目录。当它们被存取时(如某目录列表被索取),映射项目才被挂载。

    • 复制的服务器支持 — 复制的服务器功能允许管理员指定映射项目指向多个复制的服务器。automount 守护进程通过测试每个可用服务器的 rpc_ping 延迟来试图判定最佳服务器。服务器也可能会被分配不同的权数值来给管理员提供更大的控制余地。请参看 /usr/share/doc/autofs-4.1.3/README.replicated-server 文件来获取额外的映射格式信息。

    • 可执行映射表 — 现在映射表可以被标记为可执行文件。解析 auto.master 映射表的 initscript 把它作为程序映射表传递给自动挂载程序。程序映射表被作为脚本调用,使用关键词为参数。如果出错,无输出会被返回,否则可能会返回一行或多行,其中包含一个映射表(使用 \ 分行)。该特性在实现 /net 功能时很有用。

    • 多项挂载 — 该特性允许 automount 守护进程依次寻求多种查询方法。例如,查询 NIS 和文件映射表。

  • 红帽企业 Linux 3 Update 2 目前处于 Evaluated Assurance Level (EAL) 3+/Controlled Access Protection Profile (CAPP) 的“评估阶段”。被评估的平台有:

    • 在 x86 体系上的 红帽企业 Linux WS

    • 在 x86、AMD64、IBM zSeries、iSeries 和 pSeries 体系上的 红帽企业 Linux AS

    要获取最新的公共条件评估状况,请参阅以下网页:

    http://www.redhat.com/solutions/industries/government/commoncriteria/

    所有为达到 EAL3 认证而应用到红帽企业 Linux 3 Update 2 编码中的补丁已被加入到红帽企业 Linux 3 Update 3 中。

    关于审查子系统的附加信息,情参阅 laus(7) 的说明书页。

    自从 红帽企业 Linux 3 Update 2 提供的默认内核启用系统调用审查以来,Update 3 内核新增了些修改,在更多体系上启用了系统调用审查。当没有使用审查时,这些修改对性能没什么影响。内核部分通过字符特殊文件 — /dev/audit 来提供对审查设施的使用。通过这个设备,用户空间守护进程(auditd)可以启用或禁用审查,可以给内核提供要使用的规则以便判定对系统调用的引发在什么时候必须被记录。该设备还被 auditd 用来从内核检索审查记录来传输到审查日志中。关于被支持的 ioctl() 调用和管理以及微调审查行为的 /proc/ 界面,请参阅 audit(4) 的说明书页。

  • 红帽企业 Linux 3 Update 3 中包括的 httpd 万维网服务器的版本包含以下重要的改变:

    • mod_cgi 模块已被改进来正确地处理并行的 stderr 和 stdout 输出。

    • mod_ssl 定义的 SSL 环境变量可以使用 %{SSL:...} 语法直接从 mod_rewrite 中被使用。例如:“%{SSL:SSL_CIPHER_USEKEYSIZE}”可以被扩展为“128”。

      与之类似,SSL 环境变量可以从 mod_headers 中使用 %{...}s 语法而被直接使用。

    • mod_ext_filter 模块现已被包括

    • 能被 suexec 接受的最低组群 id 已从 500 降低为 100。这使属于“users”组群中的用户可以使用 suexec。

内核相关信息

本节涉及与红帽企业 Linux 3 Update 3 内核相关的问题。

  • 红帽企业 Linux 3 Update 3 包含了一个新的内核特性。它能够缓和系统挂起的诊断过程。它使用硬件的 NMI(非屏蔽中断)能力来强制内核紧急情况的出现。

    要启用该功能,按照以下方式设置以下系统控制参数:

     
    
    kernel.unknown_nmi_panic = 1
    
            

    这可以通过使用 sysctl 命令(sysctl -w kernel.unknown_nmi_panic=1)或把以上行添加到 /etc/sysctl.conf 文件中来完成。

    一旦该功能被启用(并且系统被重新引导),按住系统的 NMI 按钮会强制紧急情况的出现。

    缺少生成 NMI 按钮的系统可以继续使用 NMI 监视器。它在系统被锁的情况下会生成 NMI。

    备注

    该特性与 OProfile 不兼容;如果 OProfile 被激活,按 NMI 按钮(或使用 NMI 监视器)将不会导致紧急情况的出现。

  • 基于 Lindenhurst(Intel® E7520 和 Intel® E7320)以及 Tumwater(Intel® E7525)芯片集的平台中启用了硬件 IRQ 平衡。因此,红帽企业 Linux 3 Update 3 内核中这些平台的软件 IRQ 平衡被禁用。

  • 红帽企业 Linux 3 Update 3 的内核中新增了一个叫做“Exec-shield”的安全功能。Exec-shield 是对 Linux 内核在增进安全性方面的修改。它使大部分被特别标记的程序 — 包括程序堆栈 — 不可执行。这会减少某些安全漏洞(如缓冲溢出)会造成的潜在破坏。

    Exec-shield 还能够随机化某些二进制程序被载入的虚拟内存地址。随机化的 VM 映射使带有不良企图的程序难以依赖编码或虚拟地址来存取它们。

    Exec-shield 的行为可以通过 proc 文件系统来控制。有两个文件被使用:

    • /proc/sys/kernel/exec-shield

    • /proc/sys/kernel/exec-shield-randomize

    /proc/sys/kernel/exec-shield 文件控制总体 Exec-shield 功能,它可以使用以下命令来处理:

    
    echo <value> > /proc/sys/kernel/exec-shield
    
            

    这里的 <value> 是以下之一:

    • 0 — Exec-shield(包括随机化的 VM 映射)在所有的二进制程序中被被禁用,不管它是否已被标记

    • 1 — Exec-shield 在所有标记的二进制程序中被启用

    • 2 — Exec-shield 在所有二进制程序中被启用,不管它是否被标记(用于测试目的)。

    /proc/sys/kernel/exec-shield 的默认值是 1。

    /proc/sys/kernel/exec-shield-randomize 文件控制 Exec-shield 是否要随机化 VM 映射,它可以使用以下命令来处理:

    
    echo <value> > /proc/sys/kernel/exec-shield-randomize
    
            

    这里的 <value> 是以下之一:

    • 0 — 禁用随机化 VM 映射

    • 1 — 启用随机化 VM 映射

    /proc/sys/kernel/exec-shield-randomize 的默认值是 1。

    设置 Exec-shield 也可以通过在 /etc/sysctl.conf 文件中添加以下行:

    
    kernel.exec-shield=<value>
    kernel.exec-shield-randomize=<value>
    
            

    (这里的 <value> 如前面所描述。)

    Exec-shield 还可以在系统级别通过内核引导选项被禁用。在 /etc/grub.conf 文件的“kernel”行中补充以下参数能够禁用 Exec-shield:

    
    exec-shield=0
    
            

    备注

    Exec-shield 功能仅在使用红帽企业 Linux 3 Update 3 中的工具(编译器、汇编器、链接器等)建构和标记的二进制程序中可用。使用不同版本的工具建构的二进制程序仍可以被使用,但是由于它们没有被标记,就不能够利用 Exec-shield。

    应用程序开发人员应该认识到,多数情况下,GCC 会正确地把生成的编码标记为能够使用 Exec-shield。在极少的情况下(通常被内建汇编器或其它不可移植的编码所导致),如果 GCC 不很理想地(或在更罕见的情况下不正确地)标记生成的编码,您可以传递 GCC 选项来获取想要的结果。

    在汇编器级别控制二进制标记的选项是:

    
    -Wa,--execstack
    -Wa,--noexecstack
    
            

    在链接器级别控制二进制标记的选项是:

    
    -Wl,-z,execstack
    -Wl,-z,noexecstack
    
            

    您还可以在运行时间明确指定禁用某个二进制程序的 Exec-shield 来施加更精心的控制。这可以通过使用 setarch 命令来达到:

    
    setarch i386 <binary>
    
            

    (这里的 <binary> 代表要运行的二进制程序。)然后,这个二进制程序不带 Exec-shield 功能而被运行。

    proc 文件 /proc/self/maps 可以被用来观察 Exec-shield 的效果。使用 cat 命令来显示当前进程的 VM 映射,您就可以看到 Exec-shield 的运行情况。一起使用 setarchcat,您会看到普通的 VM 映射与 Exec-shield 映射的区别。

  • 红帽企业 Linux 3 Update 3 新增了一个和安全相关的特性 — 对某些包括 NX(No eXecute,不可执行)能力的新型 Intel CPU 提供内核支持。NX 技术限制对程序编码的执行,从而使怪客难以通过缓冲溢出方法将恶意编码插入系统。当指定页被标记为不可执行,CPU 会被防止执行这些页中的编码。这可以被用来标记堆(heap)或栈(stack)之类内存区域(缓冲通常被储存在这里)。

    备注

    红帽企业 Linux 3(在2003年10月22日发行)包括了用于 AMD64 平台的 NX 支持。

对驱动程序和硬件支持的改变

本次更新包括对一些驱动程序的错误修正。比较重要的驱动程序更新在以下被列举。在某些情况下,原始的驱动程序使用不同的名称被保留,可以作为非默认选项被打算稍后升级驱动程序版本的机构使用。

备注

驱动程序的升级迁移应该在应用下次红帽企业 Linux 更新之前完成,这是因为多数情况下,每次更新只会保留一个老版本的驱动程序。

这些发行注记还标明了哪些老版本的驱动程序已从本次内核更新中删除。这些驱动程序的基准名后有一个版本号码,如 megaraid_2002.o。您必须在安装本次内核更新之前从 /etc/modules.conf 中删除这些驱动程序。

切记,判定哪些驱动程序被使用的唯一准确方式是查看 /etc/modules.conf 文件的内容。使用 lsmod 命令不能代替对该文件的查看。

Adaptec RAID (aacraid 驱动程序)

  • The aacraid 驱动程序已从 1.1.2 更新到 1.1.5-2339

  • 新的驱动程序是 scsi/aacraid/aacraid.o

  • 老版驱动程序被保存为 addon/aacraid_10102/aacraid_10102.o

LSI Logic RAID(megaraid 驱动程序)

备注

megaraid2 驱动器包括对一些新的主机总线适配器(某些 PERC4 和串行 ATA 产品)的支持,但是它们不被 megaraid 驱动程序支持。如果您的系统仅包括这些最新的产品,megaraid2 会被缺省载入。如果您的系统仅包括早期的产品,megaraid 驱动程序仍旧是缺省选择。

然而,如果您既有早期的又有最新的 MegaRAID 适配器,那么驱动程序的选择就会依据适配器被扫描到的顺序而决定。(注意,您不能同时载入 megaraidmegaraid2。)如果系统上的默认驱动程序不是您想用的,可以采取以下行动:

  • 如果您要安装系统,在引导提示后键入以下命令:

    
    expert noprobe
    
              

    下一步,从后续的菜单中选择想要的驱动程序。

  • 如果系统已经被安装,编辑 /etc/modules.conf 文件,把指代 megaraidmegaraid2 驱动程序的“alias scsi_hostadapter”行改成想用的驱动程序。注意,改变了 /etc/modules.conf 文件后,您必须重新建构 initrd 映像。详情请参阅 mkinitrd 的说明书页。

  • megaraid2 驱动程序从 v2.10.1.1 被更新到 v2.10.6-RH1

  • 新的驱动程序是 scsi/megaraid2.o

  • 老版驱动程序被保存为 addon/megaraid_2101/megaraid2101.o

  • v2.00.9 驱动程序已被删除

  • 默认的驱动程序仍是 v1.18k 驱动程序(megaraid.o

IBM ServeRAID(ips 驱动程序)

  • ips 驱动程序已从 6.11.07 更新到 7.00.15

  • 新的驱动程序是 scsi/ips.o

  • 老版的驱动程序被保存为 addon/ips_61107/ips_61107.o

  • ips 6.10.52 驱动程序(ips_60052.o)已被删除

LSI Logic MPT Fusion(mpt* 驱动程序)

  • 这些驱动程序从 2.05.11.03 被更新到 2.05.16

  • 新的驱动程序位于 message/fusion/

  • 老版驱动程序保存在 addon/fusion_20511

  • 2.05.05+ 驱动程序(mpt*_20505.o)已被删除

Compaq SA53xx Controllers(cciss 驱动程序)

  • cciss 驱动程序已从 2.4.50.RH1 被更新到 2.4.52.RH1

QLogic Fibre Channel(qla2xxx 驱动程序)

  • 这些驱动程序已从 6.07.02-RH2 被更新到 7.00.03-RH1

  • 新的驱动程序位于 addon/qla2200

  • 老版驱动程序被保存为 addon/qla2200_60702RH2

  • 6.06.00b11 驱动程序(qla2*00_60600b11.o)已被删除

备注

QLogic 已停止使用 QLA2100 适配器。该适配器不再被 QLogic 或 Red Hat 支持。因此,该驱动程序位于 kernel-unsupported 软件包中。

Emulex Fibre Channel (lpfc 驱动程序)

  • 该驱动程序已被添加到发行版中,其版本为 7.0.3

  • 新的驱动程序位于 addon/lpfc

Intel PRO/1000(e1000 驱动程序)

  • 该驱动程序已从 5.2.30-k1 被更新到 5.2.52.1-k3

Intel PRO/100(e100 驱动程序)

  • 该驱动程序已从 2.3.30-k1 被更新到 2.3.43-k1

Broadcom Tigon3(tg3 驱动程序)

  • 该驱动程序已从 v3.1 被更新到 v3.6RH

对软件包的改变

本节包含红帽企业 Linux 3 Update 3 中更新、添加、或删除的软件包列表。为多个体系建构的软件包被列出,其目标体系在括号内注明。

备注

这个列表包含来自所有体系的红帽企业 Linux 3 的软件包。您的系统可能不包括这里列出的每个软件包。

下列软件包已从红帽企业 Linux 3 Update 2 中被更新:

  • ImageMagick

  • ImageMagick-c++

  • ImageMagick-c++-devel

  • ImageMagick-devel

  • ImageMagick-perl

  • MAKEDEV

  • XFree86

  • XFree86-100dpi-fonts

  • XFree86-75dpi-fonts

  • XFree86-ISO8859-14-100dpi-fonts

  • XFree86-ISO8859-14-75dpi-fonts

  • XFree86-ISO8859-15-100dpi-fonts

  • XFree86-ISO8859-15-75dpi-fonts

  • XFree86-ISO8859-2-100dpi-fonts

  • XFree86-ISO8859-2-75dpi-fonts

  • XFree86-ISO8859-9-100dpi-fonts

  • XFree86-ISO8859-9-75dpi-fonts

  • XFree86-Mesa-libGL

  • XFree86-Mesa-libGLU

  • XFree86-Xnest

  • XFree86-Xvfb

  • XFree86-base-fonts

  • XFree86-cyrillic-fonts

  • XFree86-devel

  • XFree86-doc

  • XFree86-font-utils

  • XFree86-libs

  • XFree86-libs-data

  • XFree86-sdk

  • XFree86-syriac-fonts

  • XFree86-tools

  • XFree86-truetype-fonts

  • XFree86-twm

  • XFree86-xauth

  • XFree86-xdm

  • XFree86-xfs

  • anaconda

  • anaconda-runtime

  • arpwatch

  • at

  • autofs

  • bash

  • bind

  • bind-chroot

  • bind-devel

  • bind-utils

  • bison

  • cdda2wav

  • cdrecord

  • cdrecord-devel

  • chkconfig

  • comps

  • control-center

  • cpp

  • crash

  • cups

  • cups-devel

  • cups-libs

  • cvs

  • dev

  • dhclient

  • dhcp

  • dhcp-devel

  • eclipse

  • eclipse-lomboz

  • elfutils

  • elfutils-devel

  • elfutils-libelf

  • elfutils-libelf-devel

  • ethereal

  • ethereal-gnome

  • ethtool

  • expect

  • expect-devel

  • expectk

  • file-roller

  • gcc

  • gcc-c++

  • gcc-g77

  • gcc-gnat

  • gcc-java

  • gcc-objc

  • gdb

  • glibc (i386)

  • glibc (i686)

  • glibc-common

  • glibc-debug

  • glibc-devel

  • glibc-headers

  • glibc-kernheaders

  • glibc-profile

  • glibc-utils

  • gnome-panel

  • grep

  • grub

  • gtk+

  • gtk+-devel

  • gtkhtml3

  • gtkhtml3-devel

  • httpd

  • httpd-devel

  • hwdata

  • imap

  • imap-devel

  • imap-utils

  • initscripts

  • itcl

  • jpackage-utils

  • kdelibs

  • kdelibs-devel

  • kernel (athlon)

  • kernel (i686)

  • kernel-BOOT

  • kernel-doc

  • kernel-hugemem

  • kernel-hugemem-unsupported

  • kernel-smp (athlon)

  • kernel-smp (i686)

  • kernel-smp-unsupported (athlon)

  • kernel-smp-unsupported (i686)

  • kernel-source

  • kernel-unsupported (athlon)

  • kernel-unsupported (i686)

  • kernel-utils

  • krb5-devel

  • krb5-libs

  • krb5-server

  • krb5-workstation

  • laus

  • laus-devel

  • lha

  • libcap

  • libcap-devel

  • libf2c

  • libgcc

  • libgcj

  • libgcj-devel

  • libgnat

  • libgtop2

  • libgtop2-devel

  • libobjc

  • libpcap

  • libpng

  • libpng-devel

  • libpng10

  • libpng10-devel

  • libstdc++

  • libstdc++-devel

  • ltrace

  • lvm

  • mdadm

  • metacity

  • mkisofs

  • mod_auth_pgsql

  • mod_authz_ldap

  • mod_ssl

  • modutils

  • modutils-devel

  • ncompress

  • net-snmp

  • net-snmp-devel

  • net-snmp-perl

  • net-snmp-utils

  • nfs-utils

  • nptl-devel

  • nscd

  • nss_ldap

  • ntp

  • ntsysv

  • openldap

  • openldap-clients

  • openldap-devel

  • openldap-servers

  • openmotif

  • openmotif-devel

  • openoffice.org

  • openoffice.org-i18n

  • openoffice.org-libs

  • openssl (i386)

  • openssl (i686)

  • openssl-devel

  • openssl-perl

  • pam

  • pam-devel

  • parted

  • parted-devel

  • passwd

  • perl

  • perl-CGI

  • perl-CPAN

  • perl-DB_File

  • perl-suidperl

  • php

  • php-devel

  • php-imap

  • php-ldap

  • php-mysql

  • php-odbc

  • php-pgsql

  • popt

  • postfix

  • ppp

  • prelink

  • procps

  • pvm

  • pvm-gui

  • qt

  • qt-MySQL

  • qt-ODBC

  • qt-PostgreSQL

  • qt-designer

  • qt-devel

  • rdist

  • readline

  • readline-devel

  • redhat-config-bind

  • redhat-config-kickstart

  • redhat-config-network

  • redhat-config-network-tui

  • redhat-config-proc

  • redhat-config-securitylevel

  • redhat-config-securitylevel-tui

  • rh-postgresql

  • rh-postgresql-contrib

  • rh-postgresql-devel

  • rh-postgresql-docs

  • rh-postgresql-jdbc

  • rh-postgresql-libs

  • rh-postgresql-pl

  • rh-postgresql-python

  • rh-postgresql-server

  • rh-postgresql-tcl

  • rh-postgresql-test

  • rhnlib

  • rhpl

  • rp-pppoe

  • rpm

  • rpm-build

  • rpm-devel

  • rpm-python

  • rpmdb-redhat

  • rsync

  • rusers

  • rusers-server

  • samba

  • samba-client

  • samba-common

  • samba-swat

  • schedutils

  • sendmail

  • sendmail-cf

  • sendmail-devel

  • sendmail-doc

  • shadow-utils

  • squid

  • squirrelmail

  • strace

  • sysklogd

  • sysstat

  • tcl

  • tcl-devel

  • tcl-html

  • tcllib

  • tclx

  • tcpdump

  • tix

  • tk

  • tk-devel

  • tux

  • unixODBC

  • unixODBC-devel

  • unixODBC-kde

  • up2date

  • up2date-gnome

  • utempter

  • vixie-cron

  • xemacs

  • xemacs-el

  • xemacs-info

  • xinetd

  • xscreensaver

  • ypserv

下列新软件包已被添加到红帽企业 Linux 3 Update 3:

  • amtu

  • anacron

  • authd

  • bind-libs

  • bootparamd

  • diskdumputils

  • eal3-certification

  • eal3-certification-doc

  • eclipse-rhaps-develserver

  • evolution-connector

  • laus-libs

  • nss_db

  • nss_db-compat

  • qt-config

下列软件包已从红帽企业 Linux 3 Update 3 中删除:

  • java-javadoc

( x86 )