Les sujets suivants sont abordés dans ce document :
Changements apportés au programme d'installation de Red Hat Enterprise Linux (Anaconda)
Informations générales
Informations relatives au noyau
Changements au niveau de la prise en charge des pilotes et du matériel
Changements au niveau des paquetages
La section suivante contient des informations spécifiques au programme d'installation de Red Hat Enterprise Linux, Anaconda.
Afin de mettre à niveau un système Red Hat Enterprise Linux 3 déjà installé vers la version Update 3, vous devez utiliser Red Hat Network pour mettre à jour les paquetages qui ont changé. L'utilisation d'Anaconda pour une mise à niveau à la version Update 3 n'est pas prise en charge.
Utilisez Anaconda seulement pour effectuer une nouvelle installation complète de Red Hat Enterprise Linux 3 Update 3.
Si vous copiez le contenu des CD-ROM de Red Hat Enterprise Linux 3 Update 3 (par exemple, en vue d'une installation basée sur le réseau), assurez-vous de ne copier que les CD-ROM du système d'exploitation. Ne copiez pas le CD-ROM de paquetages supplémentaires et ne copiez aucun des CD-ROM de produits en couche car une telle opération écraserait certains fichiers nécessaires au bon fonctionnement d'Anaconda.
Ces CD-ROM doivent être installés après l'installation de Red Hat Enterprise Linux.
Cette section contient des informations générales qui ne sont spécifiques à aucune autre section de ce document.
Red Hat Enterprise Linux 3 Update 3 ajoute la version la plus récente de KornShell (ksh) aux CD-ROM supplémentaires de Red Hat Enterprise Linux. KornShell est un langage de programmation du shell pour une utilisation interactive et une utilisation de scripts shell. Il est compatible avec le shell Bourne (sh).
Le nouveau paquetage ksh est une alternative pour pdksh, qui est déjà inclus dans la distribution principale. Il est utile dans les cas où une compatibilité précise avec la sémantique de ksh AT&T est requise.
Le paquetage autofs, qui contrôle l'opération des démons automount exécutés sur Red Hat Enterprise Linux, a été mis à jour à la version 4. Cette mise à jour offre une compatibilité ascendante avec la version 3. De plus, elle offre les caractéristiques suivantes :
Montages navigables (clonage) — Le clonage de répertoires de cartes vous permet de voir les répertoires dans la carte autofs sans avoir à les monter. Lorsque vous essayez d'y accéder (comme lorsqu'un listing de répertoires est demandé), l'entrée de carte est montée afin d'être vue.
Support de serveur répliqué — La fonctionnalité de serveur répliqué permet à l'administrateur de spécifier les entrées de carte qui pointent vers plusieurs serveurs répliqués. Le démon automount essaie de déterminer le meilleur serveur à utiliser pour les montages en testant la latence d'un rpc_ping vers chaque serveur disponible. Des poids peuvent également être attribués aux serveurs, offrant à l'administrateur plus de contrôle. Consultez le fichier /usr/share/doc/autofs-4.1.3/README.replicated-server pour de plus amples informations sur le format des cartes.
Cartes exécutables — Une carte peut être marquée comme exécutable. Le script d'initialisation qui analyse la carte auto.master la passe comme une carte de programme à l'automonteur. Une carte de programme est appelée comme un script avec la clé en argument. Elle peut retourner aucune ligne de sortie si une erreur existe, ou une ou plusieurs lignes contenant une carte (avec les sauts de ligne \). Cette caractéristique est utile lors de l'implémentation de la fonctionnalité /net.
Montages multiples — Cette fonction permet au démon automount de rechercher plusieurs méthodes de consultation. Par exemple, l'une d'entre elles pourrait interroger NIS et les cartes de fichiers.
Red Hat Enterprise Linux 3 Update 2 est actuellement "en cours d'évaluation" pour une certification EAL 3+ (Evaluation Assurance Level 3+) / CAPP (Controlled Access Protection Profile) sur les plateformes suivantes :
Red Hat Enterprise Linux WS sur l'architecture x86
Red Hat Enterprise Linux AS sur les architectures x86, AMD64, et zSeries, iSeries, et pSeries IBM
Pour obtenir le dernier statut d'évaluation de critères communs, consultez la page Web à l'adresse suivante :
http://www.redhat.com/solutions/industries/government/commoncriteria/
Tous les correctifs appliqués à la base de code Red Hat Enterprise Linux 3 Update 2 afin d'obtenir une certification EAL3 ont été mis en miroir dans la version Red Hat Enterprise Linux 3 Update 3.
Pour de plus amples informations sur le sous-système de contrôle, consultez la page de manuel de laus(7).
Depuis son déploiement initial dans le noyau Red Hat Enterprise Linux 3 Update 2, le noyau pour Update 3 contient des modifications supplémentaires qui permettent d'effectuer l'audit d'appels système sur des architectures supplémentaires. Lorsque l'audit n'est pas utilisé, ces modifications sont neutres au niveau de la performance. Le composant du noyau permet d'accéder aux capacités d'audit grâce à un périphérique de caractères spéciaux /dev/audit. Grâce à ce périphérique, un démon d'espace utilisateur (auditd) peut activer ou désactiver l'audit et peut fournir au noyau les ensembles de règles à utiliser pour déterminer le moment où l'invocation d'un appel système doit être enregistrée. Ce périphérique est également utilisé par auditd pour récupérer des enregistrements d'audit depuis le noyau et pour les transférer vers le journal d'audit. Consultez la page de manuel concernant audit(4) pour de plus amples informations sur les appels ioctl() supportés et les interfaces /proc/ pour la gestion et le réglage du comportement de l'audit.
La version du serveur Web httpd inclus dans Red Hat Enterprise Linux 3 Update 3 comprend plusieurs changements importants :
Le module mod_cgi a été amélioré afin de traiter correctement les sorties concurrentes sur stderr et stdout.
Les variables d'environnement SSL définies par mod_ssl peuvent être utilisées directement depuis mod_rewrite à l'aide de la syntaxe %{SSL:...}. Par exemple, "%{SSL:SSL_CIPHER_USEKEYSIZE}" peut correspondre à "128".
De manière similaire, les variables d'environnement SSL peuvent être directement utilisées depuis mod_headers à l'aide de la syntaxe %{...}s.
Le module mod_ext_filter est désormais inclus.
L'id minimum de groupe acceptable qui sera utilisé par suexec a été baissé de 500 à 100. Cela permet l'utilisation de suexec avec les utilisateurs appartenant au groupe "users".
Cette section contient des informations relatives au noyau de Red Hat Enterprise Linux 3 Update 3.
Red Hat Enterprise Linux 3 Update 3 inclut une nouvelle fonction du noyau qui facilite le processus de diagnostiques d'interruptions système. Il utilise la capacité NMI (Non-Maskable Interrupt) du matériel pour forcer une panique du noyau.
Exec-shieldPour activer cette fonction, définissez le paramètre de contrôle du système suivant de la manière suivante :
kernel.unknown_nmi_panic = 1
Pour ce faire, vous pouvez utiliser la commande sysctl (sysctl -w kernel.unknown_nmi_panic=1) ou ajouter la ligne ci-dessus au fichier /etc/sysctl.conf.
Une fois cette fonction activée (et le système redémarré), une panique peut être forcée en appuyant sur le bouton NMI du système.
Les systèmes qui n'ont pas de bouton pouvant générer une NMI peuvent continuer à utiliser l'horloge chien-de-garde, qui produira une NMI si le système devait se verrouiller.
Cette caractéristique n'est pas compatible avec OProfile ; si OProfile est activé, le fait d'appuyer sur le bouton NMI (ou l'utilisation d'une horloge chien-de-garde NMI) ne produira pas de panique.
La répartition des IRQ matérielles est activée pour Lindenhurst (Intel® E7520 et Intel® E7320) et Tumwater (Intel® E7525) selon les plateformes de jeu de puces. La répartition des IRQ logicielles est donc désactivée pour ces plateformes dans le noyau Red Hat Enterprise Linux 3 Update 3.
Le noyau Red Hat Enterprise Linux 3 Update 3 inclut une nouvelle fonction de sécurité appelée Exec-shield. Exec-shield est une modification pour améliorer la sécurité apportée au noyau Linux qui rend de grandes parties de programmes marqués de manière spéciale — y compris leur pile — non exécutables. Cela permet de réduire les dégâts potentiels de certains trous de sécurité, comme les exploits de débordement de tampon.
Exec-shield peut également répartir au hasard les adresses de mémoire virtuelle où sont chargés certains binaires. Ce mappage VM aléatoire rend la tâche plus difficile à une application malveillante qui essaierait d'accéder à du code ou des données connaissant l'adresse virtuelle du code ou des données.
Le comportement d'Exec-shield peut être contrôlé à l'aide du système de fichiers proc. Les deux fichiers suivants sont utilisés :
/proc/sys/kernel/exec-shield
/proc/sys/kernel/exec-shield-randomize
Le fichier /proc/sys/kernel/exec-shield contrôle l'ensemble de la fonctionnalité d'Exec-shield et peut être utilisé à l'aide de la commande suivante :
echo <value> > /proc/sys/kernel/exec-shield
où <value> est l'une des valeurs suivantes :
0 — Exec-shield (y compris le mappage VM aléatoire) est désactivé pour tous les binaires, qu'ils soient marqués ou non
1 — Exec-shield est activé pour tous les binaires marqués
2 — Exec-shield est activé pour tous les binaires, marqués ou non (à utiliser dans des opérations de tests UNIQUEMENT)
La valeur par défaut pour /proc/sys/kernel/exec-shield est 1.
Le fichier /proc/sys/kernel/exec-shield-randomize contrôle si Exec-shield effectue le mappage VM aléatoire et peut être utilisé à l'aide de la commande suivante :
echo <value> > /proc/sys/kernel/exec-shield-randomize
où <value> est l'une des valeurs suivantes :
0 — Le mappage VM aléatoire est désactivé
1 — Le mappage VM aléatoire est activé
La valeur par défaut pour /proc/sys/kernel/exec-shield-randomize est 1.
Il est également possible de configurer Exec-shield en incluant l'une des (ou les deux) lignes suivantes dans le fichier /etc/sysctl.conf :
kernel.exec-shield=<value>
kernel.exec-shield-randomize=<value>
(où <value> est la valeur décrite auparavant.)
Exec-shield peut également être désactivé au niveau du système à l'aide d'une option de démarrage du noyau. L'ajout du paramètre suivant à la ligne (ou aux lignes) "kernel" dans le fichier /etc/grub.conf désactivera Exec-shield :
exec-shield=0
La fonctionnalité Exec-shield est uniquement disponible aux binaires qui ont été construits (et marqués) à l'aide de la chaîne d'outils (compilateur, assembleur, éditeur de liens) disponible sous Red Hat Enterprise Linux 3 Update 3. Les binaires qui ont été construits à l'aide d'une version différente de la chaîne d'outils peuvent toujours être utilisés, mais vu qu'ils ne seront pas marqués, ils ne pourront pas profiter d'Exec-shield.
Les développeurs d'applications devraient se souvenir que, dans la majorité des cas, GCC marque correctement son code généré comme étant capable d'utiliser Exec-shield. Dans les quelques cas (normalement causés par un assembleur intégré ou autre code non transférable) où GCC ne marque pas de façon optimale (ou, plus rarement, incorrectement) du code généré, il est possible de passer des options GCC afin d'obtenir le résultat souhaité.
Les options contrôlant le marquage de binaires au niveau de l'assembleur sont les suivantes :
-Wa,--execstack
-Wa,--noexecstack
Les options contrôlant le marquage de binaires au niveau de l'éditeur de lien sont les suivantes :
-Wl,-z,execstack
-Wl,-z,noexecstack
Il est également possible d'exercer un contrôle plus strict en désactivant Exec-shield de façon explicite pour un binaire donné au lancement. La commande setarch est utilisée à cet effet :
setarch i386 <binary>
(où <binary> représente le binaire à exécuter.) Le binaire est alors exécuté sans la fonctionnalité Exec-shield.
Le fichier /proc/self/maps peut être utilisé pour observer les effets d'Exec-shield. En utilisant cat pour afficher le mappage VM du processus courant, vous pouvez voir le fonctionnement d'Exec-shield. De manière similaire, vous pouvez utiliser setarch avec cat pour voir la différence entre un mappage VM normal et un mappage d'Exec-shield.
Red Hat Enterprise Linux 3 Update 3 inclut une nouvelle fonction relative à la sécurité — le support du noyau pour certains nouveaux CPU Intel qui incluent la capacité NX (No eXecute). La technologie NX restreint l'exécution de code de programmes, rendant la tâche bien plus difficile aux pirates essayant d'insérer du code malveillant dans le système à l'aide d'un dépassement de tampon. Lorsque des pages spécifiques sont marquées comme non-exécutables, le CPU ne peut pas exécuter le code de ces pages. Cela peut être utilisé pour marquer des zones de mémoire comme la pile ou le tas (endroits typiques où les tampons sont stockés).
Red Hat Enterprise Linux 3 (disponible à l'origine le 22 octobre 2003) inclut le support NX pour la plateforme AMD64.
Cette mise à jour inclut des correctifs de bogues pour un certain nombre de pilotes. Les mises à jour de pilotes les plus importantes sont énumérées ci-dessous. Dans certains cas, le pilote d'origine a été maintenu sous un nom différent et peut être utilisé en tant qu'alternative qui n'est pas le défaut, pour les entreprises qui souhaitent effectuer à une date ultérieure la migration de la configuration de leurs pilotes vers des versions plus récentes.
La migration vers les derniers pilotes devrait être terminée avant que la prochaine mise à jour de Red Hat Enterprise Linux ne soit appliquée. En effet, dans bien des cas, seul un pilote faisant partie de la dernière révision sera préservé pour chaque mise à jour.
Ces notes de mise à jour spécifient également les pilotes qui appartenaient à d'anciennes révisions et ont été supprimés de la mise à jour de ce noyau. Ces pilotes portent le nom du pilote de base auquel les chiffres de révision ont été ajoutés ; par exemple, megaraid_2002.o. Vous devez supprimer ces pilotes de /etc/modules.conf avant d'installer la mise à jour actuelle du noyau.
Souvenez-vous que la seule manière définitive d'identifier les pilotes qui sont utilisés consiste à vérifier le contenu de /etc/modules.conf. L'utilisation de la commande lsmod n'est pas un substitut à l'examen de ce fichier.
Adaptec RAID (pilote aacraid)
Le pilote aacraid a été mis à jour de la version 1.1.2 à la version 1.1.5-2339
Le nouveau pilote est scsi/aacraid/aacraid.o
L'ancien pilote a été conservé en tant que addon/aacraid_10102/aacraid_10102.o
LSI Logic RAID (pilote megaraid)
Le pilote megaraid2 inclut le support pour un certain nombre de nouveaux adaptateurs bus hôte (certains produits PERC4 et Serial) qui ne sont pas supportés par le pilote megaraid. Si votre système contient exclusivement ces produits plus récents, le pilote megaraid2 est chargé par défaut. Si vous avez exclusivement les anciens produits, megaraid continuera d'être le pilote par défaut.
Cependant, si vous avez un mélange d'anciens et de nouveaux adaptateurs MegaRAID, le pilote qui est sélectionné dépendra alors de l'ordre dans lequel les adaptateurs sont scannés. (Notez que vous ne pouvez pas voir les deux pilotes megaraid et megaraid2 chargés en même temps.) Si le pilote par défaut sur votre système n'est pas celui que vous désirez, effectuez l'une des actions suivantes :
Si vous installez le système, saisissez la commande suivante à l'invite boot :
expert noprobe
Ensuite, sélectionnez le pilote souhaité dans le menu suivant.
Si le système est déjà installé, éditez /etc/modules.conf et modifiez les lignes "alias scsi_hostadapter" faisant référence au pilote megaraid ou au pilote megaraid2 de façon à faire référence au pilote souhaité. Notez qu'après avoir modifié /etc/modules.conf, vous devez reconstruire l'image initrd ; consultez la page de manuel de mkinitrd pour davantage d'informations.
Le pilote megaraid2 a été mis à jour de la version v2.10.1.1 à la version v2.10.6-RH1
Le nouveau pilote est scsi/megaraid2.o
L'ancien pilote a été conservé en tant que addon/megaraid_2101/megaraid2101.o
Le pilote v2.00.9 a été supprimé
Le pilote par défaut demeure le pilote v1.18k (megaraid.o)
IBM ServeRAID (pilote ips)
Le pilote ips a été mis à jour de la version 6.11.07 à la version 7.00.15
Le nouveau pilote est scsi/ips.o
L'ancien pilote a été conservé en tant que addon/ips_61107/ips_61107.o
Le pilote 6.10.52 ips (ips_61052.o) a été supprimé
LSI Logic MPT Fusion (pilotes mpt*)
Ces pilotes ont été mis à jour de la version 2.05.11.03 à la version 2.05.16
Les nouveaux pilotes se trouvent dans message/fusion/
Les anciens pilotes ont été conservés dans addon/fusion_20511
Les pilotes 2.05.05+ (mpt*_20505.o) ont été supprimés
Contrôleurs Compaq SA53xx (pilote cciss)
Le pilote cciss a été mis à jour de la version 2.4.50.RH1 à la version v2.4.52.RH1
QLogic Fibre Channel (pilote qla2xxx)
Ces pilotes ont été mis à jour de la version 6.07.02-RH2 à la version 7.00.03-RH1
Les nouveaux pilotes se trouvent dans addon/qla2200
L'ancien pilote a été conservé dans addon/qla2200_60702RH2
Les pilotes 6.06.00b11 (qla2*00_60600b11.o) ont été supprimés
L'adaptateur QLA2100 a été supprimé par QLogic. Cet adaptateur n'est plus supporté par QLogic ou Red Hat. Le pilote se trouve donc dans le paquetage kernel-unsupported.
Emulex Fibre Channel (pilote lpfc)
Ce pilote a été ajouté à la distribution. Sa version est 7.0.3
Le nouveau pilote se trouve dans addon/lpfc
Intel PRO/1000 (pilote e1000)
Ce pilote a été mis à jour de la version 5.2.30.1-k1 à la version 5.2.52-k3
Intel PRO/100 (pilote e100)
Ce pilote a été mis à jour de la version 2.3.30-k1 à la version 2.3.43-k1
Broadcom Tigon3 (pilote tg3)
Ce pilote a été mis à jour de la version v3.1 à la version v3.6RH
Cette section contient une liste des paquetages de Red Hat Enterprise Linux 3 qui ont été mis à jour, ajoutés ou supprimés dans la version Update 3. Les paquetages qui ont été construits pour plusieurs architectures sont listés avec l'architecture cible entre parenthèses.
Ces listes de paquetages incluent des paquetages venant de toutes les variantes de Red Hat Enterprise Linux 3. Il est possible que votre système n'inclut pas exactement tous les paquetages énumérés ici.
Les paquetages suivants ont été mis à jour depuis Red Hat Enterprise Linux 3 Update 2 :
ImageMagick
ImageMagick-c++
ImageMagick-c++-devel
ImageMagick-devel
ImageMagick-perl
MAKEDEV
XFree86
XFree86-100dpi-fonts
XFree86-75dpi-fonts
XFree86-ISO8859-14-100dpi-fonts
XFree86-ISO8859-14-75dpi-fonts
XFree86-ISO8859-15-100dpi-fonts
XFree86-ISO8859-15-75dpi-fonts
XFree86-ISO8859-2-100dpi-fonts
XFree86-ISO8859-2-75dpi-fonts
XFree86-ISO8859-9-100dpi-fonts
XFree86-ISO8859-9-75dpi-fonts
XFree86-Mesa-libGL
XFree86-Mesa-libGLU
XFree86-Xnest
XFree86-Xvfb
XFree86-base-fonts
XFree86-cyrillic-fonts
XFree86-devel
XFree86-doc
XFree86-font-utils
XFree86-libs
XFree86-libs-data
XFree86-sdk
XFree86-syriac-fonts
XFree86-tools
XFree86-truetype-fonts
XFree86-twm
XFree86-xauth
XFree86-xdm
XFree86-xfs
anaconda
anaconda-runtime
arpwatch
at
autofs
bash
bind
bind-chroot
bind-devel
bind-utils
bison
cdda2wav
cdrecord
cdrecord-devel
chkconfig
comps
control-center
cpp
crash
cups
cups-devel
cups-libs
cvs
dev
dhclient
dhcp
dhcp-devel
eclipse
eclipse-lomboz
elfutils
elfutils-devel
elfutils-libelf
elfutils-libelf-devel
ethereal
ethereal-gnome
ethtool
expect
expect-devel
expectk
file-roller
gcc
gcc-c++
gcc-g77
gcc-gnat
gcc-java
gcc-objc
gdb
glibc (i386)
glibc (i686)
glibc-common
glibc-debug
glibc-devel
glibc-headers
glibc-kernheaders
glibc-profile
glibc-utils
gnome-panel
grep
grub
gtk+
gtk+-devel
gtkhtml3
gtkhtml3-devel
httpd
httpd-devel
hwdata
imap
imap-devel
imap-utils
initscripts
itcl
jpackage-utils
kdelibs
kdelibs-devel
kernel (athlon)
kernel (i686)
kernel-BOOT
kernel-doc
kernel-hugemem
kernel-hugemem-unsupported
kernel-smp (athlon)
kernel-smp (i686)
kernel-smp-unsupported (athlon)
kernel-smp-unsupported (i686)
kernel-source
kernel-unsupported (athlon)
kernel-unsupported (i686)
kernel-utils
krb5-devel
krb5-libs
krb5-server
krb5-workstation
laus
laus-devel
lha
libcap
libcap-devel
libf2c
libgcc
libgcj
libgcj-devel
libgnat
libgtop2
libgtop2-devel
libobjc
libpcap
libpng
libpng-devel
libpng10
libpng10-devel
libstdc++
libstdc++-devel
ltrace
lvm
mdadm
metacity
mkisofs
mod_auth_pgsql
mod_authz_ldap
mod_ssl
modutils
modutils-devel
ncompress
net-snmp
net-snmp-devel
net-snmp-perl
net-snmp-utils
nfs-utils
nptl-devel
nscd
nss_ldap
ntp
ntsysv
openldap
openldap-clients
openldap-devel
openldap-servers
openmotif
openmotif-devel
openoffice.org
openoffice.org-i18n
openoffice.org-libs
openssl (i386)
openssl (i686)
openssl-devel
openssl-perl
pam
pam-devel
parted
parted-devel
passwd
perl
perl-CGI
perl-CPAN
perl-DB_File
perl-suidperl
php
php-devel
php-imap
php-ldap
php-mysql
php-odbc
php-pgsql
popt
postfix
ppp
prelink
procps
pvm
pvm-gui
qt
qt-MySQL
qt-ODBC
qt-PostgreSQL
qt-designer
qt-devel
rdist
readline
readline-devel
redhat-config-bind
redhat-config-kickstart
redhat-config-network
redhat-config-network-tui
redhat-config-proc
redhat-config-securitylevel
redhat-config-securitylevel-tui
rh-postgresql
rh-postgresql-contrib
rh-postgresql-devel
rh-postgresql-docs
rh-postgresql-jdbc
rh-postgresql-libs
rh-postgresql-pl
rh-postgresql-python
rh-postgresql-server
rh-postgresql-tcl
rh-postgresql-test
rhnlib
rhpl
rp-pppoe
rpm
rpm-build
rpm-devel
rpm-python
rpmdb-redhat
rsync
rusers
rusers-server
samba
samba-client
samba-common
samba-swat
schedutils
sendmail
sendmail-cf
sendmail-devel
sendmail-doc
shadow-utils
squid
squirrelmail
strace
sysklogd
sysstat
tcl
tcl-devel
tcl-html
tcllib
tclx
tcpdump
tix
tk
tk-devel
tux
unixODBC
unixODBC-devel
unixODBC-kde
up2date
up2date-gnome
utempter
vixie-cron
xemacs
xemacs-el
xemacs-info
xinetd
xscreensaver
ypserv
Les paquetages suivants ont été ajoutés à Red Hat Enterprise Linux 3 Update 3 :
amtu
anacron
authd
bind-libs
bootparamd
diskdumputils
eal3-certification
eal3-certification-doc
eclipse-rhaps-develserver
evolution-connector
laus-libs
nss_db
nss_db-compat
qt-config
Les paquetages suivants ont été supprimés de Red Hat Enterprise Linux 3 Update 3 :
java-javadoc
( x86 )