© Geerati Nilkaew, 123RF

RHEL 8.2 bringt viele Neuerungen, die vom Kernel über die Sicherheit und das Netzwerk bis hin zum Desktop reichen.

Mitte April, kurz vor dem virtuellen Red Hat Summit 2020 (Abbildung 1), kündigte Red Hat ein Update seiner Flaggschiff-Distribution Red Hat Enterprise Linux (RHEL) auf Version 8.2 an. Wer aus der Pressemitteilung [1] die konkreten Neuigkeiten zu RHEL 8.2 herauslesen möchte, muss sich erst durch einen dichten Nebel aus Marketing-Floskeln und abstrakten Buzzword-Wolken kämpfen. Da ist von “shifting global dynamics” die Rede, von der “interconnected nature of the hybrid cloud era” und von Covid-19, das jetzt alles irgendwie noch viel drängender mache.

Abbildung 1: Auch beim Red Hat Summit 2020, der wegen Covid-19 rein virtuell stattfinden musste, war die neue Red-Hat-Version ein Thema.

Laut der Mitteilung erhalten die Kunden über Updates an Red Hat Insights “neue intelligente Verwaltungs- und Monitoring-Fähigkeiten”, dürfen sich über “verbesserte Container-Tools” freuen und über ein “flüssigeres Benutzererlebnis sowohl für Linux-Experten als auch Einsteiger”. So weit, so schwammig.

Hilfe beim Patchen

Am Ende wird es dann etwas konkreter. So finden Admins neuerdings einfacher heraus, welche Produkthinweise von Red Hat für die eigenen, installierten Produkte gelten. Auch Hilfetexte zum Beheben solcher Probleme bietet Red Hat auf diesem Weg an. Über einen sogenannten Drift Service erfahren Admins, inwieweit die geänderten Konfigurationen ihrer installierten Red-Hat-Systeme von einem vordefinierten Basissystem abweichen.

Auch neu: Wer Arbeitsspeicherressourcen über Cgroup v2 verwaltet, darf nun Quota setzen und Speicher reservieren. Das verhindert, dass einzelne Prozesse zu viel Speicher in Beschlag nehmen und damit das System verlangsamen oder gar ganz zum Erliegen bringen.

Wer handfestere Informationen zu den Updates sucht, springt am besten gleich zur aktualisierten Dokumentation [2]. Die stellt eine Auswahl neuer Features in allen möglichen Bereichen vor – und das sind nicht wenige (Abbildung 2).

Abbildung 2: Die Neuerungen von RHEL 8.2 umfassen in der Dokumentation eine ganze Reihe von Bereichen.

Infrastruktur-Updates

Beispielsweise liegt das System-Tuning-Werkzeug Tuned nun in der neuesten Upstream-Version 2.13 vor. Der Dienst überwacht das System und kann dessen Performance auf Basis verschiedener Profile optimieren. Die richten sich jeweils nach dem Einsatzzweck des Systems. So gibt es Profile für einen hohen Datendurchsatz, für eine geringe Latenz und zum Energiesparen.

Das aktualisierte Tuned bringt in Red Hat Enterprise Linux 8.2 ein neues architekturabhängiges Tuning-Framework mit und unterstützt mehrere neue Include-Direktiven. Aktualisierungen gibt es für die Tuning-Profile »sap-hana«, »latency-performance« und »realtime«.

Der DNS-Server Bind verwendet jetzt die Basisversion 9.11.13, die neue Algorithmen, Kommandos und Variablen einführt. Während »tcp-highwater« den Höchststand der konkurrierenden TCP-Clients pro Lauf anzeigt, unterstützt Bind auch einen Algorithmus für SipHash-2-4-basierte DNS-Cookies nach RFC 7873. Das Kommando »named-checkconf« berücksichtigt DNS64-Netzwerk-Erweiterungen, die NAT von IPv6-Clients auf IPv4-Server ermöglichen.

Im Falle einer verteilten DoS-Attacke geben die Server keine »SERVERFAIL«-Meldungen mehr zurück, sondern greifen dank der neuen Funktion »stale-answer« auf alte gecachte Records zurück. Das Feature lässt sich über die Konfigurationsdatei oder den Remote Control Channel (»rndc«) (de-)aktivieren.

Sicher mit OpenSCAP

Die Defense Information Systems Agency (DISA) ist eine bereits 1960 gegründete Behörde des US-Verteidigungsministeriums und Herrin über zahlreiche Abkürzungen [3], hinter denen meist Kommunikationsprogramme oder -technologien für das US-Militär stecken. Eine der Abkürzungen lautet STIG, steht für Security Technical Implementation Guides, und besteht aus Empfehlungen, um die Security der eigenen IT-Systeme zu härten.

Red-Hat-Kunden, die ihre Sicherheit nach diesen Empfehlungen ausrichten möchten, erhalten nun für OpenSCAP ein passendes Profil und Kickstart-File. Bei SCAP handelt es sich um das Security Content Automation Protocol, das Red-Hat-Nutzer bei Bedarf für ein automatisiertes System-Monitoring und für vordefinierte Compliance-Checks von Security-Richtlinien einsetzen.

Mit dem neuen Profil und dem Kickstart-File für OpenSCAP überprüfen die Kunden also, ob ihre Systeme STIG-konform sind. Und nicht nur das: Die scap-security-guide-Pakete bringen auch ein Profil und die passenden Kickstart-Dateien für die Essential-Eight-Richtlinie des Australian Cyber Security Centre (ACSC) mit.

Nutzer der Container-Software Podman, die im Gegensatz zu Docker ohne Root-Rechte und Daemon auskommt, erhalten in RHEL 8.2 über das Tool »oscap-podman« die Möglichkeit, Container mit OpenSCAP auf Sicherheitslücken hin abzuklopfen und die Compliance zu überprüfen.

SELinux-Ausbau

Zahlreiche weitere Änderungen betreffen SELinux und die damit verbundenen Tools und Typen. Udica, ein mit RHEL 8.2 eingeführtes Werkzeug, erzeugt speziell an Container angepasste SELinux-Security-Richtlinien. Meldet ein Container eine durch Udica hervorgerufene Zugriffsverweigerung, ändert Udica die zugehörige Richtlinie auf Wunsch auch ab. Über den Parameter »-a« oder »–append-rules« ergänzt der Admin in diesem Fall die neue Regel.

Des Weiteren gibt es für SELinux ein neues »setroubleshoot«-Plugin. Das erkennt blockierte »execmem«-Zugriffe und gibt dem Admin Ratschläge für sein weiteres Vorgehen in so einem Fall. Das setools-gui-Paket lief bereits in RHEL 7 und nun auch in RHEL 8.2.

SELinux verwaltet ansonsten auch Lvmdbusd, ein Dbus-API für den Logical Volume Manager. Über SELinux eingeschränkte Nutzer dürfen Usersession-Dienste seit RHEL 8.2 selbst verwalten und beispielsweise den Befehl »systemctl –user« ausführen. Das Tool »semanage port« konzentriert sich nun nicht mehr nur auf TCP- und UDP-Ports, sondern auch auf SCTP- (Stream Control Transmission Protocol) und DCCP-Ports (Datagram Congestion Control Protocol).

Weitere Security-Updates erhält das Clevis-Kommando, das Admins nicht nur Informationen über mit LUKS verschlüsselte Festplatten liefert, sondern diese auch automatisch entschlüsselt. Clevis erkennt auch, ob Schlüssel für bestimmte Festplatten-Bindings wieder einmal rotieren sollten. Auch das Entschlüsseln mehrerer LUKS-Geräte beim Booten klappt jetzt besser.

Weitere Änderungen, die Red Hat im Security-Bereich auflistet, betreffen Rsyslog. Das kann nun unter anderem dank des Plugins »omhttp« mit REST-Schnittstellen kommunizieren. Das Audit-Paket hat ein Update erhalten, ebenso das Audit-Subsystem im Kernel. Hier hat Red Hat Änderungen aus dem ersten Release Candidate von Kernel 5.5 eingepflegt, darunter verbesserte Suchmöglichkeiten auf entfernten Dateisystemen. Nicht zuletzt gibt es Updates für Sudo und PAM.

Netzwerk-Updates

Nicht ganz so umfangreiche Änderungen betreffen den Netzwerkbereich. Die aktualisierte Version von Firewalld arbeitet etwas zügiger. Wollen Admins Connection Tracking auf Dienste anwenden, die keinen Standard-Port verwenden und die daher benutzerdefinierte Hilfsdienste brauchen, ist das jetzt möglich. Die Firewalld-Regeln dürfen ab RHEL 8.2 auch auf Standard-Kernel-Hilfsmodule zurückgreifen. Nicht zuletzt verwendet Firewalld für das Nftables-Subsystem nun das JSON-Interface der Libnftables.

Daneben dürfen Userspace-Anwendungen beim Kernel eine neue »netns«-ID beantragen und diese einem Network Namespace zuweisen. Das Traffic-Control-Subsystem im Kernel und das dazugehörige Tool »tc« spannen bei Bedarf eBPF-Programme (Extended Berkeley Packet Filter) ein, die Pakete klassifizieren und Warteschlangen für ein- und ausgehenden Datenverkehr verwalten. Damit unterstützt RHEL 8.2 die bisherige Technologievorschau nun offiziell.

Mehr eBPF im Kernel

Apropos eBPF: Die in den Kernel integrierte virtuelle Maschine spielt auch bei den Updates für den Linux-Kernel von RHEL 8.2 eine Rolle. Die Distribution unterstützt drei Komponenten, die Gebrauch von eBPF machen.

Die BPF Compiler Collection (BCC) ermöglicht es, auf Basis von eBPF verschiedene Programme zu bauen, die effizientes Kernel-Tracing betreiben. Zugleich hat BCC auch eigene Tools dabei, um die Performance und den Datendurchsatz von Linux-Systemen im Auge zu behalten. Die BCC-Bibliothek erlaubt das Entwickeln von Werkzeugen, die jenen ähneln, welche die BCC bereits im Gepäck hat. Zu guter Letzt zählt auch das bereits erwähnte eBPF für das Traffic-Control-Subsystem des Linux-Kernel zum Trio.

Auch die Tracing-Sprache Bpftrace und das Express Datapath Feature (XDP) sind mit von der Partie, bislang allerdings nur in Form einer Technologievorschau, also in einer Art Testbetrieb. Daneben liegt das TPM-Userspace-Werkzeug »tpm2-tools« nun in einer neuen Version vor, und »perf« kann bestimmte Die-Ereignisse einiger Intel-CPUs über die neue Option »–per-die« auslesen.

Der Random Number Generator Daemon (»rngd«) prüft, ob zufällig erzeugte Daten tatsächlich den nötigen Grad an Entropie aufbringen. Tun sie das, legt er die Daten im dafür vorgesehenen Kernelspace ab. Dank eines Updates läuft Rngd nun auch ohne Root-Rechte, was es auch normalen Nutzern ermöglicht, auf eine solide Entropiequelle zuzugreifen.

Dateisysteme, HA und Cluster

Für Dateisysteme, HA-Setups und Cluster gibt es ebenfalls ein paar neue Kommandos, Verfeinerungen für existierende Kommandos und einige zusätzliche Statistiken. So unterstützt LVM nun die Caching-Methode »dm-writecache«. XFS bringt Support für Writeback unter Berücksichtigung von Cgroups mit. GlusterFS macht neuerdings Gebrauch vom in Fuse implementierten Systemaufruf »copy_file_range()«, der ein schnelleres Kopieren von Daten erlaubt.

Für Cluster und HA-Setups hält Red Hat das Kommandozeilen-Tool »pcs« parat, das in Red Hat Enterprise Linux 8.2 einige neue Schalter erhält. Die enthüllen unter anderem die Beziehungen zwischen Ressourcen, können eine Ressource gefahrlos für andere deaktivieren und zeigen im selben Atemzug den Status eines Primary-Site- und eines Recovery-Site-Clusters an.

Programmieren

Eine ganze Reihe von Updates liefert RHEL 8.2 für den Programmierbereich, darunter einige besonders auffällige. So bringt die Distribution Python 3.8 an den Start. Mit »rrd« und »Xdebug« erhält PHP 7.3 zwei neue Extensions. Die erste liefert Bindings für die C-Bibliothek RRDtool, die Xdebug-Erweiterung hilft beim Debuggen und Entwickeln.

Das Rust-Toolset liegt in Version 1.41 vor, das für Go in Version 1.13. Das GCC-Toolset 9 umfasst unter anderem Aktualisierungen für GCC, GDB und Systemtap. Außerdem unterstützt es OpenMP beim Target Offloading an Nvidia PTX. Das LLVM Toolset ist in Version 9.0.1 an Bord. OpenJDK unterstützt mit »secp256k1« eine weitere Kurve für die Elliptic Curve Cryptography.

Interne Netze

Samba haben die Red-Hat-Entwickler auf Version 4.11.2 gehoben, das SMB1-Protokoll ist nun aus Sicherheitsgründen für Samba-Server und -Clients deaktiviert. Wer es auf eigene Gefahr dennoch benutzen möchte, muss es selbst aktivieren. Wie das geht, verrät die Dokumentation. Änderungen gibt es daneben am IdM (Identity Management), an Kerberos und am Directory Server.

Desktop, Grafik, Web-Konsole

Für den Desktop gibt es im Wesentlichen eine Änderung: Auf Systemen mit zwei GPUs startet Gnome jetzt standardmäßig eine Wayland- statt einer X11-Session. Für Systeme mit einer GPU traf das ohnehin schon zu. Zugleich unterstützt Red Hat zahlreiche neue Grafikkarten, darunter diverse von Intel, einige Modelle aus AMDs Navi-10-Familie und einige aus Nvidias TU116-Familie (“Turing”).

Bei der Web-Konsole von RHEL, die auf Cockpit [4] basiert, authentifizieren sich Admins jetzt auf Wunsch auch über Client-Zertifikate, die sie gewöhnlich von einer Smartcard oder einem Yubikey in den Browser importieren.

Fazit

Alles in allem bringt RHEL 8.2 zahlreiche kleine Änderungen mit. Über vorhandene Werkzeuge erhalten Admins mehr Einblicke in ihre Systeme, neue Sicherheitsprofile schützen die Systeme besser, und Kernel-Aktualisierungen erlauben es, neue Features zu testen, wie etwa eBPF. Wer neue Hardware einsetzt, dürfte von den aktualisierten Treibern für Grafikkarten profitieren. Entwicklern beschert RHEL 8.2 aktuellere Versionen ihrer Toolchains. Alle weitere Änderungen, aber auch mehr zu den Bugfixes, verrät die eingangs schon erwähnte Dokumentation [2].