Serão abordados os seguintes tópicos neste documento:
Alterações no programa de instalação do Red Hat Enterprise Linux (Anaconda)
Informações gerais
Informações relacionadas ao kernel
Alterações no suporte a drivers e hardware
Alterações nos pacotes
A seção a seguir, inclui informações específicas do programa de instalação do Red Hat Enterprise Linux, Anaconda.
Para poder atualizar um sistema com o Red Hat Enterprise Linux 3 instalado para Update 3, você deve usar a Red Hat Network para atualizar os pacotes que sofreram alterações. O uso do Anaconda para atualizar o sistema para Update 3 não é suportado.
Use o Anaconda somente para executar uma nova instalação do Red Hat Enterprise Linux 3 Update 3.
Caso queira copiar o conteúdo dos CD-ROMs do Red Hat Enterprise Linux 3 Update 3 (como preparação para uma instalação baseada em rede, por exemplo), certifique-se de copiar somente os CD-ROMs do sistema operacional. Não copie o CD-ROM com Extras ou qualquer um dos CD-ROMs de outros produtos, já que isso sobrescreveria alguns arquivos necessários para que o Anaconda opere corretamente.
Estes CD-ROMs devem ser instalados após a instalação do Red Hat Enterprise Linux.
Esta seção contém informações gerais não relacionadas a nenhuma outra seção deste documento.
O Red Hat Enterprise Linux 3 Update 3 adiciona a versão mais recente do KornShell (ksh) ao CD Extras do Red Hat Enterprise Linux. KornShell é uma linguagem de programação para uso interativo e também no script da shell, e é compatível com a Bourne Shell (sh).
O novo pacote ksh é uma alternativa ao pdksh, já incluso na distribuição central. É útil em casos nos quais é necessária a compatibilidade precisa com a semântica do ksh da AT&T.
O pacote autofs, que controla a operação dos daemons do automount rodando no Red Hat Enterprise Linux, foi atualizado para a versão 4. Esta atualização oferece compatibilidade total com a versão 3. Além disso, também traz as seguintes funcionalidades adicionais:
Montagens navegáveis (ghosting) — O ghosting de diretórios de mapas permite que você veja os diretórios no mapa do autofs sem montá-los. Ao serem acessados (ex.: quando uma listagem de diretório é solicitada) a entrada do mapa é montada para que possa ser vista.
Suporte ao Servidor Replicado — A funcionalidade do servidor replicado permite ao administrador especificar entradas do mapa que apontam para servidores múltiplos e replicados. O daemon do automount tenta determinar o melhor servidor a usar para montagens testando a latência de um rpc_ping em cada servidor disponível. Pesos talvez sejam atribuídos aos servidores, permitindo maior controle administrativo. Consulte o arquivo /usr/share/doc/autofs-4.1.3/README.replicated-server para mais informações sobre o formato do mapa.
Mapas Executáveis — Agora, é possível marcar um mapa como executável. O initscript que analisa o mapa auto.master passa isso como um mapa de programa para o auto-mounter. Um mapa de programa é chamado como um script com a chave como argumento. Pode não retornar nenhuma linha de output se houver um erro, ou uma ou mais linhas contendo um mapa (com \ como quebras de linha). Essa funcionalidade é útil para implementar a funcionalidade /net.
Montagens múltiplas — Essa funcionalidade permite ao daemon do automount procurar por diversos métodos de busca sucessivamente. Por exemplo: uma busca poderia pesquisar no NIS e nos mapas de arquivo.
O Red Hat Enterprise Linux 3 Update 2 está "em avaliação" no momento para o Evaluated Assurance Level (EAL) 3+/Controlled Access Protection Profile (CAPP) nas seguintes plataformas:
Red Hat Enterprise Linux WS na arquitetura x86
Red Hat Enterprise Linux AS nas arquiteturas x86, AMD64, IBM zSeries, iSeries e pSeries
Para obter o status de avaliação dos Critérios Comuns mais recentes, consulte a seguinte URL:
http://www.redhat.com/solutions/industries/government/commoncriteria/
Todos os consertos aplicados à base do código do Red Hat Enterprise Linux 3 Update 2 para obter a certificação EAL3 foram espelhados no Red Hat Enterprise Linux 3 Update 3.
Para informações adicionais sobre o sub-sistema de auditoria, consulte a página man laus(7).
Desde seu desenvolvimento inicial no kernel do Red Hat Enterprise Linux 3 Update 2, o kernel do Update 3 contém modificações que possibilitam a auditoria de chamadas do sistema em arquiteturas adicionais. O componente do kernel oferece acesso às facilidades da auditoria através do dispositivo especial de caracteres /dev/audit. Através deste dispositivo, um daemon do espaço do usuário (auditd) pode ativar ou desativar a auditoria e pode oferecer ao kernel o conjunto de regras usadas para determinar quando um pedido de uma chamada do sistema deve ser registrado. Este dispositivo também é usado pelo auditd para recuperar registros de auditoria do kernel e transferí-los ao registro de auditoria. Consulte a página man audit(4) para informações sobre chamadas ioctl e interfaces /proc/ para administrar e ajustar o comportamento da auditoria.
A versão do servidor web httpd inclusa como parte do Red Hat Enterprise Linux 3 Update 3 traz diversas mudanças significativas:
O módulo mod_cgi foi aprimorado para poder lidar corretamente com o output coexistente no stderr e no stdout
As variáveis de ambiente SSL definidas pelo mod_ssl podem ser usadas diretamente pelo mod_rewrite com a sintaxe %{SSL:...}. Por exemplo: "%{SSL:SSL_CIPHER_USEKEYSIZE}" pode expandir para "128".
Da mesma forma, as variáveis de ambiente SSL podem ser usadas diretamente pelo mod_headers com a sintaxe %{...}s.
Agora o módulo mod_ext_filter está incluso
O id de grupo minimamente aceitável que será usado pelo suexec foi reduzido de 500 para 100. Isso permite o uso do suexec com usuários pertencentes ao grupo "users"
Esta seção contém notas relacionadas ao kernel do Red Hat Enterprise Linux 3 Update 3.
As estações de trabalho AMD64 com placas-mãe baseadas em determinados conjuntos de chips NVIDIA ou VIA (ex.: o ASUS SK8N) foram conhecidos por caírem ao tentarem acessar os dispositivos IDE ou ATA Serial. Este é um problema conhecido para o qual não há um conserto suportado pelo fabricante. Como uma provisão, adicione o parâmetro "noapic" à linha de comando boot.
O balanceamento IRQ de hardware está ativado para as plataformas de chips baseadas no Lindenhurst (Intel® E7520, Intel® E7320) e Tumwater(Intel® E7525). Consequentemente, o balanceamento IRQ de software está desativado para estas platformas no kernel do Red Hat Enterprise Linux 3 Update 3.
O kernel do Red Hat Enterprise Linux 3 Update 3 inclui uma nova funcionalidade de segurança conhecida como Exec-shield. O Exec-shield é uma melhoria na segurança do kernel do Linux que cria grandes partes de programas marcados como especiais — incluindo suas zonas stacks — não executáveis. Isto pode reduzir o dano potencial de alguns buracos da segurança, como exploits da sobrecarga do buffer.
O Exec-shield também pode randomizar os endereços da memória virtual nos quais alguns binários são carregados. Este mapa VM randômico dificulta atividades maléficas para acessar inapropriadamente o código, ou os dados baseados no código, ou os endereços virtuais dos dados.
O comportamento do Exec-shield pode ser controlado através do sistema de arquivo proc. São usados dois arquivos:
/proc/sys/kernel/exec-shield
/proc/sys/kernel/exec-shield-randomize
O arquivo /proc/sys/kernel/exec-shield controla a funcionalidade Exec-shield e pode ser manipulado com o seguinte comando:
echo <value> > /proc/sys/kernel/exec-shield
Onde <value> é um dos seguintes:
0 — o Exec-shield (incluindo o mapeamento VM randômico) é desativado para todos os binários, marcados ou não
1 — o Exec-shield é ativado para todos os binários marcados
2 — o Exec-shield é ativado para todos os binários, independente da marcação (deve ser usado SOMENTE para propósitos de testes)
O valor default do /proc/sys/kernel/exec-shield é 1.
O arquivo /proc/sys/kernel/exec-shield-randomize controla se o Exec-shield randomiza o mapeamento VM e pode ser manipulado com o seguinte comando:
echo <value> > /proc/sys/kernel/exec-shield-randomize
Onde <value> é um dos seguintes:
0 — O mapeamento VM randômico é desativado
1 — O mapeamento VM randômico é ativado
O valor default do /proc/sys/kernel/exec-shield-randomize é 1.
Também é possível configurar o Exec-shield incluindo uma (ou as duas) das linhas seguintes no arquivo /etc/sysctl.conf:
kernel.exec-shield=<value>
kernel.exec-shield-randomize=<value>
(Onde <value> é o valor descrito previamente.)
O Exec-shield também pode ser desativado a nível do sistema através de uma opção de início do kernel. Adicionando o seguinte parâmetro às linhas do "kernel" no arquivo /etc/grub.conf desativará o Exec-shield:
exec-shield=0
A funcionalidade Exec-shield está disponível somente a binários que foram criados (e marcados) usando a toolchain (compiler, assembler, linker) disponível no Red Hat Enterprise Linux 3 Update 3. Os binários criados com uma versão diferente da toolchain (pacotes do tipo RPM para instalação das ferramentas de desenvolvimento) ainda podem ser usados, mas como não serão marcados, não poderão tirar proveito do Exec-shield.
Os desenvolvedores de aplicações devem ter em mente que, na maioria dos casos, O GCC marca corretamente seu código gerado como sendo capaz de usar o Exec-shield. Nos poucos casos (geralmente causados pelo assembler ou outro código não-portável) em que o GCC marca incorretamente o código gerado, é possível passar as opções GCC para obter o resultado desejado.
As opções que controlam a marcação dos binários no nível do assembler são:
-Wa,--execstack
-Wa,--noexecstack
As opções que controlam a marcação dos binários no nível do linker são:
-Wl,-z,execstack
-Wl,-z,noexecstack
Também é possível exercer um controle mais fino ao desativar explicitamente o Exec-shield para um binário específico no momento da execução. Isso é feito usando o comando setarch:
setarch i386 <binary>
(Onde <binary> representa o binário a executar.) O binário é então executado sem a funcionalidade Exec-shield.
O arquivo proc /proc/self/maps pode ser usado para observar os efeitos do Exec-shield. Usando o cat para exibir o mapeamento VM do processo corrente, você pode ver o Exec-shield funcionando. Da mesma forma, você pode usar o setarch junto ao cat para ver a diferença entre o mapeamento VM normal e o mapeamento do Exec-shield.
O Red Hat Enterprise Linux 3 Update 3 inclui uma nova funcionalidade relacionada à segurança — o suporte do kernel para determinadas CPUs novas da Intel que incluem a capacidade NX (No eXecute, sem execução). A tecnologia NX restringe a execução do código do programa, dificultando a inserção de código maléfico por parte dos hackers no sistema para uma sobrecarga do buffer. Quando páginas específicas são marcadas como não-executáveis (nonexecutable), a CPU é impedida de executar código nestas páginas. Isso pode ser usado para marcar áreas da memória, tais como as zonas stack ou heap (áreas típicas onde os buffers são armazenados.)
O Red Hat Enterprise Linux 3 (originalmente disponibilizado em 22 de Outubro de 2003) incluiu o suporte ao NX para a plataforma AMD64.
Esta atualização inclui consertos de erros (bugs) para diversos drivers. As atualizações de driver mais significativas estão listadas abaixo. Em alguns casos, o driver original foi preservado sob um nome diferente e está disponível como uma alternativa não-default para empresas que desejam migrar sua configuração de driver para versões mais recentes posteriormente.
A migração para os drivers mais recentes deve ser completa antes de aplicar a próxima atualização do Red Hat Enterprise Linux porque, na maioria dos casos, somente uma versão antiga do driver é preservada em cada atualização.
Estas notas de versão também indicam quais drivers de versões antigas foram removidos desta atualização do kernel. Estes drivers têm o nome base do driver junto aos dígitos da revisão. Por exemplo: megaraid_2002.o. Você deve remover estes drivers do arquivo /etc/modules.conf antes de instalar esta atualização do kernel.
Tenha em mente que a única maneira definitiva de determinar quais drivers estão sendo usados é rever o conteúdo do arquivo /etc/modules.conf. O uso do comando lsmod não é um substituto para examinar este arquivo.
RAID Adaptec (driver aacraid)
O driver aacraid foi atualizado de 1.1.2 para 1.1.5-2339
O novo driver é scsi/aacraid/aacraid.o
O driver antigo foi preservado como addon/aacraid_10102/aacraid_10102.o
RAID Lógico LSI (driver megaraid)
O driver megaraid2 inclui suporte para diversos adaptadores de canais novos (alguns produtos PERC4 e ATA Serial) que não são suportados pelo driver megaraid. Se o seu sistema contém exclusivamente estes novos produtos, o driver megaraid2 é carregado por default. Se você tem exclusivamente os produtos antigos, o driver megaraid continuará sendo o default.
No entanto, se você tem uma mistura de adaptadores MegaRAID antigos e novos, o driver selecionado depende da ordem na qual os adaptadores foram scaneados. (Note que você não pode ter ambos drivers megaraid e megaraid2 carregados ao mesmo tempo.) Se o driver default do seu sistema não for o desejado, tome uma das seguintes medidas:
Se você está instalando o sistema, digite o seguinte comando no prompt boot:
expert noprobe
Em seguida, selecione o driver desejado no menu subsequente.
Se o sistema já está instalado, edite /etc/modules.conf e altere as linhas "alias scsi_hostadapter" referenciando o driver megaraid ou o megaraid2 para o driver desejado. Note que após efetuar as alterações no /etc/modules.conf, você deve recriar a imagem initrd; consulte a página man mkinitrd para mais detalhes.
O driver megaraid2 foi atualizado de v2.10.1.1 para v2.10.6-RH1
O novo driver é scsi/megaraid2.o
O driver antigo foi preservado como addon/megaraid_2101/megaraid2101.o
O driver v2.00.9 foi removido
O driver default continua sendo o driver v1.18k (megaraid.o)
IBM ServeRAID (driver ips)
O driver ips foi atualizado de 6.11.07 para 7.00.15
O novo driver é scsi/ips.o
O driver antigo foi preservado como addon/ips_61107/ips_61107.o
O driver ips 6.10.52 (ips_61052.o) foi removido
LSI Logic MPT Fusion (drivers mpt*)
Estes drivers foram atualizados de 2.05.11.03 para 2.05.16
Os novos drivers estão localizados em message/fusion/
Os drivers antigos foram preservados em addon/fusion_20511
Os drivers 2.05.05+ (mpt*_20505.o) foram removidos
Controladores Compaq SA53xx (driver cciss)
O driver cciss foi atualizado de 2.4.50.RH1 para v2.4.52.RH1
QLogic Fibre Channel (driver qla2xxx)
Estes drivers foram atualizados de 6.07.02-RH2 para 7.00.03-RH1
Os novos drivers estão localizados em addon/qla2200
O driver antigo foi preservado em addon/qla2200_60702RH2
Os drivers 6.06.00b11 (qla2*00_60600b11.o) foram removidos
O adaptador QLA2100 foi aposentado pela QLogic. Este adaptador não é mais suportado pela QLogic ou pela Red Hat. Consequentemente, o driver está localizado no pacote kernel-unsupported.
Emulex Fibre Channel (driver lpfc)
Este driver foi adicionado à distribuição. A versão é 7.0.3
O driver está localizado em addon/lpfc
Intel PRO/1000 (driver e1000)
Este driver foi atualizado de 5.2.30.1-k1 para 5.2.52-k3
Intel PRO/100 (driver e100)
Este driver foi atualizado da versão 2.3.30-k1 para 2.3.43-k1
Broadcom Tigon3 (driver tg3)
Este driver foi atualizado de v3.1 para v3.6RH
Esta seção contém listas de pacotes que foram atualizados, adicionados ou removidos do Red Hat Enterprise Linux 3 como parte do Update 3. Os pacotes que foram criados para arquiteturas múltiplas estão listados com a arquitetura alvo entre parênteses.
Estas listas incluem pacotes de todas as variantes do Red Hat Enterprise Linux 3. Seu sistema pode não incluir todos os pacotes listados aqui.
Os seguintes pacotes foram atualizados do Red Hat Enterprise Linux 3 Update 2:
ImageMagick
ImageMagick-c++
ImageMagick-c++-devel
ImageMagick-devel
ImageMagick-perl
MAKEDEV
XFree86
XFree86-100dpi-fonts
XFree86-75dpi-fonts
XFree86-ISO8859-14-100dpi-fonts
XFree86-ISO8859-14-75dpi-fonts
XFree86-ISO8859-15-100dpi-fonts
XFree86-ISO8859-15-75dpi-fonts
XFree86-ISO8859-2-100dpi-fonts
XFree86-ISO8859-2-75dpi-fonts
XFree86-ISO8859-9-100dpi-fonts
XFree86-ISO8859-9-75dpi-fonts
XFree86-Mesa-libGL (i386)
XFree86-Mesa-libGL (x86_64)
XFree86-Mesa-libGLU (i386)
XFree86-Mesa-libGLU (x86_64)
XFree86-Xnest
XFree86-Xvfb
XFree86-base-fonts
XFree86-cyrillic-fonts
XFree86-devel (i386)
XFree86-devel (x86_64)
XFree86-doc
XFree86-font-utils
XFree86-libs (i386)
XFree86-libs (x86_64)
XFree86-libs-data
XFree86-sdk
XFree86-syriac-fonts
XFree86-tools
XFree86-truetype-fonts
XFree86-twm
XFree86-xauth
XFree86-xdm
XFree86-xfs
anaconda
anaconda-runtime
arpwatch
at
autofs
bash
bind
bind-chroot
bind-devel
bind-utils
bison
cdda2wav
cdrecord
cdrecord-devel
chkconfig
comps
control-center
cpp
cups
cups-devel
cups-libs (i386)
cups-libs (x86_64)
cvs
dev
dhclient
dhcp
dhcp-devel
eclipse
elfutils
elfutils-devel
elfutils-libelf
elfutils-libelf-devel
ethereal
ethereal-gnome
ethtool
expect
expect-devel
expectk
file-roller
gcc
gcc-c++
gcc-g77
gcc-gnat
gcc-java
gcc-objc
gdb (i386)
gdb (x86_64)
glibc (i686)
glibc (x86_64)
glibc-common
glibc-debug
glibc-devel (i386)
glibc-devel (x86_64)
glibc-headers
glibc-kernheaders
glibc-profile
glibc-utils
gnome-panel
grep
grub
gtk+
gtk+-devel
gtkhtml3
gtkhtml3-devel
httpd
httpd-devel
hwdata
imap
imap-devel
imap-utils
initscripts
itcl
jpackage-utils
kdelibs
kdelibs-devel
kernel (ia32e)
kernel (x86_64)
kernel-doc
kernel-smp
kernel-smp-unsupported
kernel-source
kernel-unsupported (ia32e)
kernel-unsupported (x86_64)
kernel-utils
krb5-devel
krb5-libs (i386)
krb5-libs (x86_64)
krb5-server
krb5-workstation
laus (x86_64)
laus-devel
lha
libcap
libcap-devel
libf2c
libgcc (i386)
libgcc (x86_64)
libgcj (i386)
libgcj (x86_64)
libgcj-devel
libgnat
libgtop2
libgtop2-devel
libobjc (i386)
libobjc (x86_64)
libpcap
libpng (i386)
libpng (x86_64)
libpng-devel
libpng10
libpng10-devel
libstdc++ (i386)
libstdc++ (x86_64)
libstdc++-devel (i386)
libstdc++-devel (x86_64)
lvm
mdadm
metacity
mkisofs
mod_auth_pgsql
mod_authz_ldap
mod_ssl
modutils
modutils-devel
ncompress
net-snmp
net-snmp-devel
net-snmp-perl
net-snmp-utils
nfs-utils
nptl-devel
nscd
nss_ldap (i386)
nss_ldap (x86_64)
ntp
ntsysv
openldap (i386)
openldap (x86_64)
openldap-clients
openldap-devel
openldap-servers
openmotif
openmotif-devel
openoffice.org
openoffice.org-i18n
openoffice.org-libs
openssl (i686)
openssl (x86_64)
openssl-devel
openssl-perl
pam (i386)
pam (x86_64)
pam-devel (i386)
pam-devel (x86_64)
parted
parted-devel
passwd
perl
perl-CGI
perl-CPAN
perl-DB_File
perl-suidperl
php
php-devel
php-imap
php-ldap
php-mysql
php-odbc
php-pgsql
popt (i386)
popt (x86_64)
postfix
ppp
prelink
procps
pvm
pvm-gui
qt
qt-MySQL
qt-ODBC
qt-PostgreSQL
qt-designer
qt-devel
rdist
readline
readline-devel
redhat-config-bind
redhat-config-kickstart
redhat-config-network
redhat-config-network-tui
redhat-config-proc
redhat-config-securitylevel
redhat-config-securitylevel-tui
rh-postgresql
rh-postgresql-contrib
rh-postgresql-devel
rh-postgresql-docs
rh-postgresql-jdbc
rh-postgresql-libs
rh-postgresql-pl
rh-postgresql-python
rh-postgresql-server
rh-postgresql-tcl
rh-postgresql-test
rhnlib
rhpl
rp-pppoe
rpm
rpm-build
rpm-devel
rpm-python
rpmdb-redhat
rsync
rusers
rusers-server
samba (i386)
samba (x86_64)
samba-client
samba-common
samba-swat
schedutils
sendmail
sendmail-cf
sendmail-devel
sendmail-doc
shadow-utils
squid
squirrelmail
strace
sysklogd
sysstat
tcl (i386)
tcl (x86_64)
tcl-devel
tcl-html
tcllib
tclx (i386)
tclx (x86_64)
tcpdump
tix
tk (i386)
tk (x86_64)
tk-devel
tux
unixODBC
unixODBC-devel
unixODBC-kde
up2date
up2date-gnome
utempter
vixie-cron
xemacs
xemacs-el
xemacs-info
xinetd
xscreensaver
ypserv
Os seguintes pacotes foram adicionados ao Red Hat Enterprise Linux 3 Update 3:
amtu
anacron
authd
bash (i386)
bind-libs
bootparamd
bridge-utils (i386)
compat-db (i386)
crash
diskdumputils
eal3-certification
eal3-certification-doc
elfutils-libelf (i386)
evolution-connector
laus-libs (i386)
laus-libs (x86_64)
libcap (i386)
libcap-devel (i386)
ltrace
nss_db (i386)
nss_db (x86_64)
openmotif (i386)
openssl096b (i386)
qt-config
readline (i386)
strace (i386)
Os seguintes pacotes foram removidos do Red Hat Enterprise Linux 3 Update 3:
crash
java-javadoc
laus (i386)
mozilla (i386)
mozilla-nspr (i386)
mozilla-nss (i386)
( x86-64 )