证书配置文件扩展不再具有每个证书的最大策略数
以前,由于 Certificate Profiles 扩展中的硬编码限制,管理员无法向证书添加超过 20 个策略。此更新消除了限制,因此您可以向证书添加无限数量的策略。此外,扩展至少需要一个策略,否则界面会显示错误。如果您修改配置文件,扩展程序将创建一个空策略。例如:pkiconsole
Identifier: Certificate Policies: - 2.5.29.32
Critical: no
Certificate Policies:
(BZ#1768718)
SSSD 变基到版本 1.16.5
sssd 软件包已升级至上游版本 1.16.5,与上一版本相比,该版本提供了许多错误修复和增强功能。
3.2. 集群
Pacemaker 变基到版本 1.1.23
Pacemaker 集群资源管理器已升级到上游版本 1.1.23,该版本提供了许多错误修复。
3.3. 编译器和工具
每线程指标现在可用于历史分析
(可选)使用软件包和实用程序在 Performance Co-Pilot (PCP) 中启用性能指标值的日志记录。以前,仅通过包记录度量值,但某些分析情况也需要值。因此,在执行以下命令后,这些指标现在可用于历史分析:per-threadper-processpcp-zeroconfpmieconfper-processpmloggerpcp-zeroconfper-threadper-thread
# pmieconf -c enable zeroconf.all_threads
3.4. 桌面
FreeRDP 已更新到 2.1.1
此版本将远程桌面协议 (RDP) 的 FreeRDP 实现从版本 2.0.0 更新到 2.1.1。FreeRDP 2.1.1 支持当前 Microsoft Windows 终端服务器版本的新 RDP 选项,并修复了多个安全问题。
有关 FreeRDP 2.1.1 的详细信息,请参阅上游发行说明:https://github.com/FreeRDP/FreeRDP/blob/2.1.1/ChangeLog。
3.5. 内核
RHEL 7.9 中的内核版本
Red Hat Enterprise Linux 7.9 与内核版本 3.10.0-1160 一起分发。
新的内核参数:page_owner
页面所有者跟踪是一项新功能,它使用户能够在页面分配器级别观察内核内存消耗。用户可以利用此功能来调试内核内存泄漏,或发现消耗过多内存的内核模块。要启用该功能,请将参数添加到内核命令行。有关如何设置内核命令行参数的更多信息,请参阅在客户门户上配置内核命令行参数。page_owner=on
无论内核命令行的参数设置( 或 )如何,使用页面所有者跟踪都会在 RHEL 7.9 系统上增加大约 2.14% 的额外内存需求(影响内核、VM 或 )。有关此主题的更多详细信息,请参阅为什么 Kernel-3.10.0-1160.el7 消耗的内存量是 kernel-3.10.0-1127.el7 的两倍?溶液。page_owneronoffcgroup
有关内核参数的重要更改的更多信息,请参阅新内核参数部分。
(BZ#1781726)
现在,Intel ICX 系统增加了 EDAC 驱动程序支持
此更新向 Intel ICX 系统添加了错误检测和纠正 (EDAC) 驱动程序。因此,可以在这些系统上检测到内存错误,并将其报告给 EDAC 子系统。
(BZ#1514705)
Intel® Omni-Path 架构 (OPA) 主机软件
Intel® Omni-Path 架构 (OPA) 主机软件在 Red Hat Enterprise Linux 7.9 中完全受支持。英特尔 OPA 为 Host Fabric Interface (HFI) 硬件提供初始化和设置,以实现集群环境中计算节点和 I/O 节点之间的高性能数据传输(高带宽、高消息速率、低延迟)。
现在完全支持 Mellanox ConnectX-6 Dx 网络适配器
此增强功能将 Mellanox ConnectX-6 Dx 网络适配器的 PCI ID 添加到驱动程序中。在使用此适配器的主机上,RHEL 会自动加载驱动程序。此功能以前作为技术预览提供,现在在 RHEL 7.9 中完全受支持。mlx5_coremlx5_core
(BZ#1829777)
3.6. 实时内核
kernel-rt 源代码树现在与最新的 RHEL 7 树匹配
源代码已更新为使用最新的 RHEL 内核源代码树,该树提供了许多比以前版本的错误修复和增强功能。kernel-rt
(BZ#1790643)
3.7. 联网
为没有 SELinux 的系统配置 unbound 以在 chroot 中运行
对于启用了 SELinux 并处于强制模式的系统,SELinux 提供了重要的保护并限制了服务可以访问的内容。如果您无法在强制模式下配置 SELinux,并且希望增强对域名服务器的保护,请使用该实用程序将 jailed 到受限环境中。请注意,与 SELinux 强制模式相比,保护 by 较低。unboundunboundchrootunboundchrootchroot
要配置为在 中运行 ,请按照以下支持文章在 chroot 中运行未绑定 中所述准备您的环境。unboundchroot
rhel-system-roles 已更新
该软件包已更新,以提供多个 bug 修复和增强功能。显著更改包括:rhel-system-roles
- 使用提供程序时,为 RHEL 系统角色添加了对使用 EAP-TLS 进行身份验证的支持。因此,现在客户可以将他们的机器配置为使用 RHEL 系统角色通过 EAP-TLS 进行身份验证,而不必使用命令行实用程序。
802.1XnetworkNetworkManager802.1Xnetworknmcli - RHEL 系统角色会尽可能尝试在不中断连接的情况下修改链接或网络属性。
network - 模块日志中的日志记录已得到修复,因此信息性消息不再打印为警告,而是作为调试信息打印。
network - RHEL 系统角色现在使用功能在应用配置时(如果发生错误)来还原更改,以避免部分更改。
networkNetworkManagers
3.9. 安全性
SCAP 安全指南现在提供与 CIS RHEL 7 Benchmark v2.2.0 一致的配置文件
在这个版本中,程序包提供了与 CIS Red Hat Enterprise Linux 7 Benchmark v2.2.0 一致的配置文件。通过该配置文件,您可以使用 Internet 安全中心 (CIS) 的准则来强化系统的配置。因此,您可以使用 CIS Ansible Playbook 和 CIS SCAP 配置文件配置和自动使 RHEL 7 系统符合 CIS。scap-security-guide
请注意,CIS 配置文件中的规则无法正常工作。请参阅 CIS 配置文件中失败rpm_verify_permissions的已知问题描述。rpm_verify_permissions
SCAP 安全指南现在可以正确禁用服务
通过此更新,(SSG) 配置文件可以正确禁用和屏蔽不应启动的服务。这可以保证禁用的服务不会无意中作为另一个服务的依赖项启动。在此更改之前,SSG 配置文件(例如美国政府商业云服务 (C2S) 配置文件)仅禁用了该服务。因此,除非您先取消屏蔽 SSG 配置文件,否则无法启动被 SSG 配置文件禁用的服务。SCAP Security Guide
RHEL 7 STIG 安全配置文件已更新到版本 V3R1
在 RHBA-2020:5451 公告中,SCAP 安全指南中的配置文件已更新至最新版本。此更新增加了更多覆盖范围并修复了引用问题。该配置文件现在也更加稳定,并且更好地与美国国防信息系统局 (DISA) 提供的 RHEL7 STIG 基准保持一致。DISA STIG for Red Hat Enterprise Linux 7V3R1
您应该只使用此配置文件的当前版本,因为此配置文件的旧版本不再有效。对多个规则的 OVAL 检查已更改,对于使用旧版 SCAP 安全指南强化的系统,使用该版本的扫描将失败。您可以通过使用新版本的 SCAP 安全指南运行修复来自动修复规则。V3R1
自动修复可能会使系统无法正常工作。首先在测试环境中运行修复。
更改了以下规则:
- CCE-80224-9
- 此 SSHD 配置的默认值已从 更改为 。现在,您必须根据建议提供值。检查规则描述以获取有关修复此问题的信息,或运行修复以自动修复它。
delayedyes - CCE-80393-2 号
- xccdf_org.ssgproject.content_rule_audit_rules_execution_chcon
- CCE-80394-0 号
- xccdf_org.ssgproject.content_rule_audit_rules_execution_restorecon
- CCE-80391-6 号
- xccdf_org.ssgproject.content_rule_audit_rules_execution_semanage
- CCE-80660-4
- xccdf_org.ssgproject.content_rule_audit_rules_execution_setfiles
- CCE-80392-4 号
- xccdf_org.ssgproject.content_rule_audit_rules_execution_setsebool
- CCE-82362-5 号
- xccdf_org.ssgproject.content_rule_audit_rules_execution_seunshare
- 编号:CCE-80398-1
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_chage
- CCE-80404-7 号
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_chsh
- CCE-80410-4
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_crontab
- CCE-80397-3
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_gpasswd
- CCE-80403-9 号
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_newgrp
- CCE-80411-2 号
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_pam_timestamp_check
- CCE-27437-3 号
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands
- CCE-80395-7 号
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_passwd
- CCE-80406-2 号
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_postdrop
- CCE-80407-0
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_postqueue
- CCE-80408-8
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_ssh_keysign
- CCE-80402-1 号
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_sudoedit
- CCE-80401-3
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_sudo
- CCE-80400-5
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_su
- CCE-80405-4 号
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_umount
- CCE-80396-5
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_unix_chkpwd
- CCE-80399-9 号
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_userhelper
DISA STIG 版本 v3r3 的配置文件
美国国防信息系统局 (DISA) 发布了 RHEL 7 版本 3 的《安全技术实施指南》(STIG) 的更新版本。RHBA-2021:2803 公告中提供的更新:
- 使现有配置文件中的所有规则与最新的 STIG 版本保持一致。
xccdf_org.ssgproject.content_profile_stig - 为具有图形用户界面 (GUI) 的系统添加新配置文件。
xccdf_org.ssgproject.content_profile_stig_gui
scap-security-guide 现在提供 ANSSI-BP-028 高强化级别配置文件
随着 RHBA-2021: 2803 公告的发布,这些软件包提供了高强化级别的 ANSSI-BP-028 的更新配置文件。此添加完善了所有 ANSSI-BP-028 v1.2 强化级别的配置文件的可用性。使用更新的配置文件,您可以配置系统以符合法国国家安全局 (ANSSI) 针对 GNU/Linux 系统在高强化级别的建议。scap-security-guide
因此,您可以使用 ANSSI Ansible Playbooks 和 ANSSI SCAP 配置文件,根据所需的 ANSSI 强化级别配置和自动化 RHEL 7 系统的合规性。以前版本提供的 ANSSI High 配置文件草案已与 ANSSI DAT-NT-028 保持一致。尽管配置文件名称和版本已更改,但 ANSSI 配置文件的 ID (如 )保持不变,以确保向后兼容性。xccdf_org.ssgproject.content_profile_anssi_nt28_high
- 警告
- 自动修复可能会使系统无法正常工作。Red Hat 建议先在测试环境中运行修复。
RHEL 8 STIG 配置文件现在与 DISA STIG 内容更加一致
(SSG) 软件包中提供的 DISA STIG for Red Hat Enterprise Linux 7 配置文件 () 可用于根据美国国防信息系统局 (DISA) 的安全技术实施指南 (STIG) 评估系统。您可以使用 SSG 中的内容修复系统,但可能需要使用 DISA STIG 自动化内容对其进行评估。随着 RHBA-2022: 6576 公告的发布,DISA STIG RHEL 7 配置文件与迪砂的内容更加一致。这导致在 SSG 修复后针对 DISA 内容的结果较少。xccdf_org.ssgproject.content_profile_stigscap-security-guide
请注意,以下规则的评估仍然不同:
- SV-204511r603261_rule – CCE-80539-0 (
auditd_audispd_disk_full_action) - SV-204597r792834_rule – CCE-27485-2 (
file_permissions_sshd_private_key)
此外,SSG RHEL 7 STIG 配置文件中未涵盖 DISA RHEL 7 STIG 的规则 SV-204405r603261_rule。
(BZ#1967950)
添加到 SCAP 规则 audit_rules_for_ospp 的大型系统配置审核日志缓冲区的警告消息
SCAP 规则现在在大型系统上显示性能警告,其中此规则配置的审核日志缓冲区可能太小,并且可以覆盖自定义值。该警告还描述了配置更大的 Audit log 缓冲区的过程。随着 RHBA-2022: 6576 公告的发布,您可以保持大型系统的合规性并正确设置其审计日志缓冲区。xccdf_org.ssgproject.content_rule_audit_rules_for_ospp
3.10. 服务器和服务
新包:适用于 SAP 的 compat-unixODBC234
新软件包提供了 的 版本 2.3.4,该框架支持通过 ODBC 协议访问数据库。RHEL 7 for SAP Solutions 存储库中提供了此新软件包,以使用 SAP 界面实现 SAP HANA 数据库的流式备份。有关更多信息,请参阅适用于 SAP 解决方案的 Red Hat Enterprise Linux 订阅概述。compat-unixODBC234unixODBCsap-hanabackint
该软件包与基本 RHEL 7 软件包冲突。因此,请在安装 之前卸载 。compat-unixODBC234unixODBCunixODBCcompat-unixODBC234
此软件包还通过 RHEA-2020:2178 公告可用于适用于 SAP 解决方案的 Red Hat Enterprise Linux 7.4 更新服务、Red Hat Enterprise Linux 7.6 扩展更新支持和 Red Hat Enterprise Linux 7.7 扩展更新支持。
另请参阅适用于 SAP 的 compat-unixODBC234 软件包需要符号链接来加载 unixODBC 库。
(BZ#1790655)
MariaDB 变基到版本 5.5.68
在 RHEL 7.9 中,数据库服务器已更新到版本 5.5.68。此版本提供了来自最近上游维护版本的多个安全和错误修复。MariaDB
3.11. 存储
支持数据完整性字段/数据完整性扩展 (DIF/DIX)
DIF/DIX 在硬件供应商已认证的配置上受支持,并为 RHEL 上的特定主机总线适配器 (HBA) 和存储阵列配置提供完全支持。
以下配置不支持 DIF/DIX:
- 不支持在引导设备上使用它。
- 虚拟化客户机不支持此功能。
- 启用 DIF/DIX 后,Red Hat 不支持使用自动存储管理库 (ASMLib)。
DIF/DIX 在存储设备上启用或禁用,这涉及到应用程序的各个层(包括应用程序)。在存储设备上激活 DIF 的方法取决于设备。
有关 DIF/DIX 功能的更多信息,请参阅什么是 DIF/DIX。
(BZ#1649493)
3.12. 原子主机和容器
Red Hat Enterprise Linux Atomic Host 是一种安全、轻量级且占用空间最小的操作系统,针对运行 Linux 容器进行了优化。
Red Hat Enterprise Linux Atomic Host 已于 2020 年 8 月 6 日停用,不再提供有效支持。
3.13. Red Hat 软件集合
Red Hat Software Collections (RHSCL) 是一个 Red Hat 内容集,它提供了一组动态编程语言、数据库服务器和相关软件包,您可以在 AMD64 和 Intel 64 架构、IBM Z 和 IBM POWER、little endian 上的所有受支持版本的 Red Hat Enterprise Linux 7 上安装和使用。
Red Hat 开发人员工具集专为使用 Red Hat Enterprise Linux 平台的开发人员而设计。它提供最新版本的 GNU 编译器集合、GNU 调试器以及其他开发、调试和性能监控工具。Red Hat 开发人员工具集作为单独的软件集合包含在内。
与 Red Hat Software Collections 一起分发的动态语言、数据库服务器和其他工具不会取代 Red Hat Enterprise Linux 提供的默认系统工具,也不会优先使用这些工具。Red Hat Software Collections 使用基于实用程序的替代打包机制来提供一组并行的软件包。此集允许在 Red Hat Enterprise Linux 上选择性地使用替代软件包版本。通过使用该实用程序,用户可以随时选择要运行的包版本。
官方下载
文件名称: rhel-server-7.9-x86_64-boot.iso
文件大小: 605 MB (634,388,480 字节)
MD5: 03f39dad86cb3c891d36adb85e3d7218
SHA1: c6c26475097e4975a35299449d5e3eaa2143d825
SHA256: 7a4797c4a16e01a40eb2b83642e8d6aea92e2b3cadf3f933c8af9d50711189e8
文件名称: rhel-server-7.9-x86_64-dvd.iso
文件大小: 4.21 GB (4,522,508,288 字节)
MD5: 661775a3bd4760de6901d855ee7c9433
SHA1: 2982bd05a65b1ee8c799e44db72b9741e430f3ea
SHA256: e373d3efe1a6e3f6d6de105d32c2632ee661363d6fe0c24285379b85f99437cb
百度网盘:https://pan.baidu.com/s/1m-bBjyTWVNRaUENpzGwKPA?pwd=dzho
