红帽企业版 Linux 6

Release Notes

Red Hat Enterprise Linux 6.4 发行注记

版 4

法律通告

The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, MetaMatrix, Fedora, the Infinity Logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

All other trademarks are the property of their respective owners.

1801 Varsity Drive
Raleigh, NC 27606-2072 USA
Phone: +1 919 754 3700
Phone: 888 733 4281
Fax: +1 919 754 3701

摘要

本发行注记提供了在 Red Hat Enterprise Linux 6.4 中应用的改进和附加组件的高级说明。有关 Red Hat Enterprise Linux 中所有为 6.4 版本修改的详细文档，请参考技术说明。

8.1. KVM
8.2. Hyper-V
8.3. VMware ESX

前言

红帽企业版 Linux 次要发行本是个别改进、安全性和 bug 修复勘误的集合。《Red Hat Enterprise Linux 6.4 发行注记》 中记录了对 Red Hat Enterprise Linux 6 操作系统的主要改进，以及这个次要发行本附带的应用程序。有关这个次要发行本中记录的所有更改请参考技术说明。该《技术说明》文档还包含所有目前可用技术预览的完整列表，以及提供这些技术预览的软件包。

重要

这里的在线 《Red Hat Enterprise Linux 6.4 发行注记》 可被视为确定的最新版本。建议对发行本有任何问题的用户参考其红帽企业版 Linux 的在线《发行注记》和《技术说明》。

如需要关于红帽企业版 Linux 生命周期的信息，请参考 https://access.redhat.com/support/policy/updates/errata/。

第 1 章安装

Kickstart 文件中的 FCoE 支持

当使用 kickstart 文件安装红帽企业版 Linux 6.4 时，您可以使用新的 fcoe kickstart 选项指定除哪些使用改进的磁盘驱动器（EDD）服务外，要通过以太网（FCoE）设备自动激活哪个光纤。有关详情请参考红帽企业版 Linux 6 《安装指南》中《Kickstart 选项》一节。

使用 VLAN 安装

在红帽企业版 Linux 6.4 中，vlanid= 引导选项和 --vlanid= kickstart 选项允许您为指定的网络设备设定虚拟 LAN ID（802.1q 标签）。指定这些选项之一就可以使用 VLAN 安装系统。

配置捆绑

现在可使用 bond 引导选项和 --bondslaves 及 --bondopts kickstart 选项配置捆绑作为安装过程的一部分。有关如何配置捆绑的详情请参考红帽企业版 Linux 6 《安装指南》的以下部分：小节《Kickstart 选项》，章节《引导选项》。

第 2 章内核

光纤通道协议：端到端数据一致性检查

在端到端（E2E）数据一致性检查中使用改进的 T10 DIF SCSI 标准的 zFCP 部分，在红帽企业版 Linux 6.4 中提高了主机适配器和存储服务器之间的数据完整性。

IBM System z 的 Flash Express 支持

用于 IBM System z 的存储类内存（SCM）是一个数据存储设备分类，合并了存储和内存这两个属性。用于 System z 的 SCM 现在支持 Flash Express 内存。可通过扩展的异步数据移动程序（EADM）子频道评估 SCM 增加。每增加一个都代表一个块设备。这个功能提高了页传输速率以及多临时存储（例如：数据仓库）的访问性能。

打开 vSwitch 内核模块

红帽企业版 Linux 6.4 包括 Open vSwitch 内核模块，它是红帽提供的分级产品的启动程序。只有在与那些包括附带用户空间程序的产品合用时才会支持 Open vSwitch。请注意，没有所需用户空间程序，Open vSwitch 就无法工作，也无法启用。有关详情请参考知识库文章：https://access.redhat.com/knowledge/articles/270223。

对比引导的系统和转储的系统

这个功能可以让您将引导的系统与转储的系统进行比较，迅速分析出可能由映像迁移造成的更改。要识别虚拟机，则要使用 stsi 和 stfle 数据。新的功能 lgr_info_log() 可将当前数据（lgr_info_cur）与最后记录的数据（lgr_info_last）进行比较。

更新 Perf 工具

已将 perf 工具更新至 upstream 版本 3.6-rc7，提供大量 bug 修复和改进。以下是值得关注的改进列表：

添加 Kprobe 事件支持。
已包含新的 perf 事件命令行语法引擎，它可允许在事件组定义中使用大括号（{ 和 }），例如：{cycles,cache-misses}。
已改进 perf 注释浏览器，使其允许通过 ASM 调用和转移导航。
已将 perf 工具更新至按用户提供新的 --uid 命令行选项。使用此选项时，perf 只显示指定用户的任务。
perf 工具现在提供大范围的自动测试。

Uncore PMU 支持

红帽企业版 Linux 6.4 提供的内核为 Intel Xeon 处理器 X55xx 和 Intel Xeon 处理器 X56xx 处理器产品系列添加了 perf 事件子系统的 “uncore” 性能监控单元（PMU）支持。“uncore” 是指物理处理器软件包中的子系统，这些软件包由多个处理器核心共享，例如 L3 缓存。使用 uncore PMU 支持可轻松在软件包级别收集性能数据。

另外还启用了 PMU 事件解析以便使用 perf 进行调试。

减少 `memcg` 内存使用

例如：内存控制组维护其最新使用（LRU）列表以便回收内存。这个列表位于全局分区 LRU 列表的顶部。在红帽企业版 Linux 6.4 中，已通过禁用全局分区列表减少 memcg 内存使用，并将其用户转换为根据内存 cgroup 列表操作。

内存回收和压缩

红帽企业版 Linux 6.4 使用的内核在大量分配请求或者内存压力下使用回收和压缩功能。

支持事务执行程序运行时检测程序

支持 Linux 内核中的事务执行程序（在 IBM zEnterprise EC12 中可用）可帮助消除会影响性能的软件锁定，并为驱动器的较高度事务流量提供增加的延展性和并行性。支持运行时检测程序（在 IBM zEnterprise EC12 中可用）可为描述程序代码提供高级机制，以便提高对新 IBM JVM 所生成代码的分析和优化。

失效开放（Fail-open）模式

红帽企业版 Linux 6.4 添加在使用网络过滤器的 NFSUEUE 目标时对新的失效开放模式的支持。这个模式允许用户暂时禁用数据包检查，并保持大网络流量下的连接性。

全面支持用于 IBM System z 的 kdump 和 kexec 内核转储机制

在红帽企业版 Linux 6.4 中，除 IBM System z 单机和 hypervisor 转储机制外，还完全支持用于 IBM System z 系统的 kdump/kexec 内核转储机制功能。自体储备下限设定为 4 GB，因此内存超过 4 GB 的 IBM System z 系统会启用 kdump/kexec 的转储机制。

必须有足够的内存，因为 kdump 默认需要约 128 MB。这在执行红帽企业版 Linux 6.4 升级时尤为重要。还必须有足够的磁盘空间以便在系统崩溃时保存转储。

您可以通过 /etc/kdump.conf、system-config-kdump 或者 firstboot 禁用 kdump。

KVM 的 TSC 底线支持

TSC 底线计时器是本地 APIC（LAPIC）计时器的一个新模式，它可根据 TSC 底线，在当前 APIC 时钟技术间隔中生成一次性计时器中断。它提供更准确的计时器中断（小于一秒），从而让 OS 调度程序更准确。KVM 现在为询价提供这个功能。

持久的设备命名

这个功能保存设备名称映射（例如：sda、sdb 及其他），并在内核信息中持久保持设备名称（由 udev 在 /dev/disk/by-*/ 中提供）。dmesg 显示的内核 /dev/kmsg 日志现在可以显示符号链接信息，这些信息由 udev 为内核设备生成，并以下面的格式显示：

udev-alias: <device_name> (<symbolic_link> <symbolic link> …)

所有日志分析程序都可以显示这些信息，同时也使用 syslog 在 /var/log/messages 中保存这些信息。

新 linuxptp 软件包

红帽企业版 Linux 6.4 中将 linuxptp 作为技术预览为 Linux 的 IEEE 标准 1588 在准确时间协议（PTP）中使用。双重设计目标的目的是要提供该标准的鲁棒部署，同时使用由 Linux 内核提供的最相关和先进的程序变成界面（API）。支持古老的 API 和其他平台不是它的目标。

透明的大页面文档

已在下述文件中问透明大页面添加文档：

/usr/share/doc/kernel-doc-<version>/Documentation/vm/transhuge.txt

转储目标的状态支持

在红帽企业版 Linux 6.4 中，/usr/share/doc/kexec-tools-2.0.0/kexec-kdump-howto.txt 文件提供 “Dump Target support status” 项下支持、不支持以及未知转储目标的完整列表。

第 3 章设备驱动程序

存储驱动程序

已将直接访问存储设备（DASD）的设备驱动程序更新至可探测路径配置错误，硬件或者微码无法探测到这些错误。成功探测后，该设备驱动程序就不会使用这些路径。使用这个功能，DASD 设备驱动程序可探测分配给具体子频道的路径，但不会引导至不同的存储服务器。
已将 zfcp 设备驱动程序更新至添加数据结构以及错误处理以便支持系统 z 光纤通道协议（FCP）网卡的改进模式。在这个模式中，网卡会在大量以及慢速 I/O 请求阻断网卡时，将数据从内存直接转给 SAN（数据路由）。
已将 mtip32xx 驱动程序更新至添加对最新 PCIe SSD 驱动器的支持。
已将用于 Emulex 光纤主机总线适配器的 lpfc 驱动程序更新至版本 8.3.5.82.1p。
已将用于 QLogic 光纤 HBAs 的 qla2xxx 驱动程序更新至版本 8.04.00.04.06-k，它可支持 OLogic 的 83XX 融合网络适配器（CNA），OLogic 适配器的 16 GBps FC 支持，以及 HP ProLiant 服务器的格式参数 CNA。
已将 qla4xxxx 驱动程序更新至版本 5.03.00.00.06.04-k0，它添加了 change_queue_depth API 支持，修复了大量 bug 并引进了各种改进。
已将用于 QLogic 4Gbps 光纤 HBAs 的 qla2400-firmware 驱动程序更新至版本 5.08.00。
已将用于 QLogic 4Gbps 光纤 HBAs 的 ql2500-firmware 驱动程序更新至版本 5.08.00。
已将用于 IBM Power Linux RAID SCSI HBA 的 ipr 驱动程序更新至版本 2.5.4，添加了对 Power7 6 Gb SAS 适配器的支持，并在这些适配器中启用 SAS VRAID 功能。
已将 hpsa 驱动程序更新至版本2.0.2-4-RH1 以便为控制器的 HP 智能阵列 8 代产品系列添加 PCI-ID。
已将 Broadcom NetXtreme II iSCSI 的 bnx2i 驱动程序更新至版本 2.7.2.2，包括常规硬件支持改进。
红帽企业版 Linux 6.4 现在全面支持 Broadcom 设备的 iSCSI 和 FCoE 引导。这两个功能由 bnx2i 和 bnx2fc Broadcom 设备驱动程序提供。
已为 Broadcom NetXtreme II 57712 芯片将 bnx2fc 驱动程序更新至版本 1.0.12。
红帽企业版 Linux 6.4 现在全面支持 Broadcom 设备的 iSCSI 和 FCoE 引导。这两个功能由 bnx2i 和 bnx2fc Broadcom 设备驱动程序提供。
已将 mpt2sas 驱动程序更新至版本 13.101.00.00，它添加了 Linux BSG 驱动程序的多片段模式支持。
已将 Brocade bfa 光纤和 FCoE 驱动程序更新至版本 3.0.23，其中包括 Brocade 1860 16Gbps 光纤适配器支持，Dell PowerEdge 第 12 代服务器支持，以及 issue_lip 支持。已将 bfa 固件更新值版本 3.0.3.1。
已将 ServerEngines BladeEngine 2 Open iSCSI 设备 be2iscsi 驱动程序更新至版本 4.4.58.0r 以便添加 iSCSI 网络链接 VLAN 支持。
已将用于 TrueScale HCA 的 qib 驱动程序更新至最新版本，其中包括以下改进：
- 加强的 NUMA 识别
- 用于 PSM 光纤的拥塞控制代理（CCA）
- PSM 光纤的双导轨
- 性能改进和 bug 修复
已将以下驱动程序更新至包括最新 upstream 功能和 bug 修复：ahci, md/bitmap, raid0, raid1, raid10 和 raid456。

网络驱动程序

已将用于 NetXen 多端口（1/10）Gigabit 网络的 netxen_nic 驱动程序更新至版本 4.0.80，添加迷您 DIMM 支持。已将 netxen_nic 固件更新至版本 4.0.588.
已将 bnx2x 驱动程序更新至版本 1.72.51-0，使其包括对 roadcom 57800/57810/57811/57840 芯片的支持，以及常规bug 修复和 Broadcom 57710/57711/57712 芯片更新的固件。这个更新还包含以下改进：
- 在 Broadcom 57712/578xx 芯片中通过以太网（DCB/FCOE）支持 iSCSI 卸载和数据中心桥接/光纤。只有 4x10G 配置支持 57840 芯片，同时不支持 iSCSI 卸载和 FCoE。以后的发行本将支持额外配置以及 iSCSI 卸载和 FCoE。
- 附加物理层支持，包括节能以太网（EEE）。
- iSCSI 卸载改进
- 具体到 OEM 的功能
已将用于 ServerEngines BladeEngine 2 10Gbps 网络设备的 be2net 驱动程序更新至版本 4.4.31.0r，使用汇聚加强型以太网（RoCE）支持添加 RDMA。
另外，红帽企业版 Linux 6.4 现在全面支持 Emulex be2net 驱动程序的 SR-IOV 功能。SR-IOV 可在所有基于 BE3 硬件的 Emulex 标牌和 OEM 变体中运行，需要 be2net 驱动程序软件。
已将 ixgbevf 驱动程序更新至版本 2.6.0-k，以包括最新硬件支持、改进和 bug 修复。
已将 Chelsio Terminator4 10G 统一有线网络控制器的 cxgb4 驱动程序更新至添加了对 Chelsio T480-CR 和 T440-LP-CR 适配器的支持。
已将用于 Chelsio T3 网络设备系列的 cxgb3 驱动程序更新至版本 1.1.5-ko。
已将用于 Intel 10 Gigabit PCI 快速网络设备的 ixgbe 驱动程序更新至版本 3.9.15-k 以包含对使用数据中心桥接（DCB）的 SR-IOV 以及接收方比例（RSS）的支持，PTP 支持是技术预览，最新硬件支持、改进以及 bug 修复。
已更新 iw_cxgb3 驱动程序。
已更新 iw_cxgb4 驱动程序。
已更新用于 Intel PRO/1000 网络设备的 e1000e 驱动程序，添加最新硬件支持、功能并提供大量 bug 修复。
已将用于 Cisco 10G 以太网设备的 enic 驱动程序更新至版本 2.1.1.39。
已将 igbvf 驱动程序（Intel Gigabit 虚拟功能网络驱动程序）更新至最新 upstream 版本。
已将用于 Intel 10 Gigabit 以太网适配器的 igb 驱动程序更新至版本 4.0.1，提供最新硬件支持。另外还在 igb 驱动程序中添加 PTP 支持作为技术预览。
已将用于 Broadcom Tigon3 以太网设备的 tg3 驱动程序更新至版本 3.124，添加了新硬件支持。另外还在 tg3 中添加 PTP 支持作为技术预览。
已将用于 HP NC-Series QLogic 10 Gigabit 服务器适配器的 qlcnic 驱动程序更新至版本 5.0.29。
已将用于 Brocade 10Gb PCIe 以太网控制器驱动器的 bna 驱动程序更新至版本 3.0.23.0，为 Dell PowerEdge 第 12 代服务器添加新硬件支持，并启用非 Brocade Twinax 铜线缆。已将 bna 固件更新至版本 3.0.3.1.
已将 Broadcom NetXtreme II cnic 驱动程序更新至版本 2.5.13，使其包含新功能、bug 修复以及对新 OEM 平台的支持。

其他驱动程序

已将用于 Intel 处理器的 intel_idle cpuidle 驱动程序更新至支持 Intel 处理器的 Xeon E5-XXX V2 系列。
已将 Broadcom NetXtreme II cnic 驱动程序更新至支持 CTL-460 Wacom Bamboo Pen、Wacom Intuos5 Tablet 以及 Wacom Cintiq 22HD Pen 显示。
已将 ALSA HDA 音频驱动程序更新至启用或者改进对新硬件的支持，并修复了大量 bug。
已将 mlx4_en 驱动程序更新至最新 upstream 版本。
已将 mlx4_ib 驱动程序更新至最新 upstream 版本。
已将 mlx4_core 驱动程序更新至最新 upstream 版本。
已将 z90crypt 失败驱动程序更新至支持新的 Crypto Express 4（CEX4）网卡。

第 4 章联网

HAProxy

HAProxy 是用于 TCP 和基于 HTTP 程序的独立第七层高性能网络负载平衡程序，可根据 HTTP 请求的内容执行各种调度。红帽企业版 Linux 6.4 引进了 haproxy 作为技术预览。

第 5 章认证和互操作性

SSSD 全面支持的功能

红帽企业版 Linux 6.3 中引进的很多功能红帽企业版 Linux 6.4 现在都完全支持。特别是：

支持 SSH 密钥集中管理，
SELinux 用户映射，
以及支持 automount 映射缓存。

新 SSSD 缓存存储类型

Kerberos 版本 1.10 添加了新的缓存存储类型 DIR:，它允许 Kerberos 同时为多个密钥发布执行（KDC）维护 Ticket Granting Tickets（TGTs），并在可识别 Kerveros 的资源间协调时自动进行选择。在红帽企业版 Linux 6.4 中，已将 SSSD 改进为可让您为使用 SSSD 登录的用户选择 DIR: 缓存。这个功能是作为技术预览引进。

在基于 AD 的可信域中添加 `external` 组

在红帽企业版 Linux 6.4 中，ipa group-add-member 命令可让您在身份管理中标记为 external 的组中添加基于 Active Directory 的可信域成员。可根据其名称，使用 domain- 或者基于 UPN 的语法指定这些成员，例如：AD\UserName 或者 AD\GroupName 或者 User@AD.Domain。当以这种格式指定时，会根据基于 Adctive Directory 的可信域的全局分类节写成员以便获得其安全身份（SID）值。

另外，也可以直接指定 SID 值。在这种情况下，ipa group-add-member 命令将确认 SID 值的域部分是可信 Active Directory 域之一。在该域中将不会尝试确认 SID 的有效性。

推荐使用用户或者组名称语法指定外部成员而不要直接提供其 SID 值。

自动更新身份管理子系统证书

新证书授权的默认有效期为 10 年。CA 会为其子系统（OCSP、审核日志及其他）发布大量证书。子系统证书一般有效期为 2 年。如果该证书过期，CA 就无法启动，或者无法正常工作。因此，在红帽企业版 Linux 6.4 中，身份管理服务器可以自动更新其子系统证书。您可以使用 certmonger 跟踪子系统证书，该程序可在证书过期前尝试更新这些证书。

在身份管理服务器中注册的客户端中自动进行 OpenLDAP 配置

在红帽企业版 Linux 6.4 中，使用默认的 LDAP URI、基础 DN 和身份管理客户端安装过程中的 TLS 证书自动配置 OpenLDAP。这样可在身份管理目录服务器中执行 LDAP 搜索时改进用户体验。

PKCS#12 支持 python-nss

已将为网络安全服务（NSS）和 Netscape Portable Runtiem（NSPR）提供 Python 捆绑的 python-nss 软件包更新至添加 PKCS #12 支持。

DNS 的全面持续搜索

红帽企业版 Linux 6.4 中的 LDAP 包括对区域及其资源记录的持续搜索。持续搜索可让 bind-dyndb-ldap 插件立即通知 LDAP 数据库中的所有更改。它还可降低由于重复提取造成的网络带宽使用。

新的 CLEANALLRUV 操作

可使用 CLEANRUV 操作删除数据库副本更新向量（Replica Update Vector，RUV）中的过期元素，该操作只在单一供应商或主机中删除它们。红帽企业版 Linux 6.4 添加了新的 CLEANRUV 操作，该操作可从所有副本中删除过期 RUV 数据，同时只需要在单一供应商或者主机中运行。

更新 samba4 库

已将 samba4 库（由 samba4-libs 软件包提供）升级至最新 upstream 版本以改进其与 Active Directory（AD）域的互动性。SSSD 现在使用 libndr-krb5pac 库解析 AD 密钥发布中心（KDC）发出的特权属性证书（PAC）。另外对本地安全授权（LSA）和访问登录服务也进行了各种改进，允许来自 Windows 系统的可信性验证。有关依赖 samba4 软件包的跨区域 Kerberos 可信功能的介绍请参考表 5.1 “Samba4 软件包支持”。

警告

如果您是从红帽企业版 Linux 6.3 升级到红帽企业版 Linux 6.4，且已使用 Samba，请确定卸载 samba4 软件包以避免在升级过程中出现冲突。

由于跨区域 Kerberos 可信功能是技术预览，因此所选 samba4 组件也被视为技术预览。有关将哪些 Samba 软件包作为技术预览的详情请参考表 5.1 “Samba4 软件包支持”。

软件包名称	是 6.4 中的新软件包吗？	支持状态
samba4-libs	否	技术预览，OpenChange 要求的功能除外
samba4-pidl	否	技术预览，OpenChange 要求的功能除外
samba4	否	技术预览
samba4-client	是	技术预览
samba4-common	是	技术预览
samba4-python	是	技术预览
samba4-winbind	是	技术预览
samba4-dc	是	技术预览
samba4-dc-libs	是	技术预览
samba4-swat	是	技术预览
samba4-test	是	技术预览
samba4-winbind-clients	是	技术预览
samba4-winbind-krb5-locator	是	技术预览

表 5.1. Samba4 软件包支持

身份管理中的跨区域 Kerberos 可信功能

身份管理中提供的跨区域 Kerberos 可信功能是一项技术预览。这个功能允许在身份管理和 Active Directory 域之间建立可信关系。这就意味着来自 AD 域的用户可以使用其 AD 证书访问身份管理域中的资源和服务。不需要同步身份管理和 AD 域控制器之间的任何数据。AD 用户总是可以根据该 AD 域控制器进行验证，同时可在不同步的情况下查询用户信息。

这个功能由自选 ipa-server-trust-ad 软件包提供。这个软件包依赖只有 samba4 才能提供的功能。因为 samba4-* 软件包与对映的 samba-* 软件包冲突，所以在安装 ipa-server-trust-ad 前必须删除所有 samba-* 软件包。

安装 ipa-server-trust-ad 软件包后，必须在所有身份管理服务器和复制品中运行 ipa-adtrust-install 命令，并启用身份管理处理可信关系。完成此操作后，可使用 ipa trust-add 在命令行中建立可信关系，或者使用 WebUI 建立可信管理。有关下个详情请参考《身份管理指南》中《通过跨区域 Kerberos 可信域与 Active Directory 整合》一节，地址为 https://access.redhat.com/knowledge/docs/Red_Hat_Enterprise_Linux/。

389 目录服务器的 Posix 方案支持

Windows Active Directory（AD）在用户和组条目中支持 POSIX 方案（RFC 2307 和 2307bis）。在很多情况下 AD 是用作用户和组数据的认证资源，包括 POSIX 属性。在红帽企业版 Linux 6.4 中，目录服务器 Windows 同步不再忽略这些属性。用户现在可以在 AD 和 389 目录服务器之间使用 Windows Sync 同步 POSIX 属性。

注意

当在目录服务器中添加用户和组条目时，POSIX 属性没有与 AD 同步。在 AD 中添加新用户和组条目将与目录服务器同步，同时修改的属性会在两者间同步。

第 6 章安全性

在查找 sudoer 条目时以命令方式对待匹配的条目

sudo 程序可以咨询 /etc/nsswitch.conf 文件检查 sudoer 条目，并在文件或者 LDAP 中查找它们。之前，当在 sudoer 条目的第一个数据库中找到匹配后，会继续在其他数据库（包括文件）中进行查找操作。红帽企业版 Linux 6.4 在 /etc/nsswitch.conf 文件中添加了一个选项，允许用户在有 sudoer 匹配后指定数据库。这样会消除对其他数据库的查询，以便改进在大环境中查找 sudoer 条目的性能。这个行为不是默认启用的，且必须在选择数据库后添加 [SUCCESS=return] 进行配置。当在优先于这个字符串的数据库中找到匹配时，就不会查询其他数据库。

`pam_cracklib` 的额外密码检查

已将 pam_cracklib 模块更新至添加多个新密码强度检查：

某些认证策略不允许包含连续字符（比如 “abcd” 或者 “98765”）的密码。这个使用新的 maxsequence 选项引进限制这些字符长度的可能性。
pam_cracklib 模块现在允许检查新的密码是否包含来自 /etc/passwd 文件中 GECOS 字段的单词。GECOS 字段是用来保存关于用户附加信息（比如用户全名或者电话号码）的字段，攻击者可能会使用这些信息尝试破解密码。
pam_cracklib 模块现在允许使用 maxrepeatclass 指定密码中连续使用同一类型字符串（小写、大写、数字和特殊字符）最大数字。
pam_cracklib 模块现在支持 enforce_for_root 选项，该选项为 root 帐户强制限制新密码的复杂程度。

tmpfs 多实例化的 size 选项

在使用多个 tmpfs 挂载的系统中，需要限制其大小以放置它们占用所有系统资源。已将 PAM 更新至允许用户指定 tmpfs 文件系统挂载的最大值，方法是在 /etc/namespace.conf 配置文件中使用 mntopts=size=<size> 选项。

锁定不活跃的帐户

某些认证策略要求支持锁定在一段时间内没有使用的帐户。红帽企业版 Linux 6.4 在 pam_lastlog 中引进附加功能，允许用户在配置的天数后锁定帐户。

`libica` 的新操作模式

libica 库包含一组访问 IBM System z 中 IBM eServer 密码加速器（ICA）硬件的功能和程序，已将其修改为允许使用支持加密功能的中央处理器支持（CPACF）中信息安全支持扩展 4 指令的新算法。在 DES 和 3DES 块加密中支持以下操作模式：

使用密码电文失窃（CBC-CS）的密码块链
基于密码信息的认证代码（CMAC）

在 AES 块密码中现在支持以下操作模式：

使用密码电文失窃（CBC-CS）的密码块链
使用密码块链信息认证代码（CCM）的计数器
Galois/计数器（GCM）

这个复杂加密算法加速程序显著提高了 IBM Systemz 机器的性能。

为 System z 优化和支持 `zlib` 压缩库

zlib 是一个常规使用无损数据压缩库，已将其更新到提高 IBM System z 中的压缩功能。

退回防火墙配置

如果无法使用默认配置，iptables 和 ip6tables 服务现在提供分配退回防火墙配置的功能。如果采用 /etc/sysconfig/iptables 中的防火墙规则失败，则会采用现在的退回文件。退回文件名为 /etc/sysconfig/iptables.fallback，采用 iptables-save 文件格式（与 /etc/sysconfig/iptables 相同）。如果采用退回文件仍失败，则没有进一步的退回设置。要生成退回文件，请使用标准防火墙配置工具，并将该文件重命名或者复制到退回文件中。在 ip6tables 服务中可采用同样的步骤，只需要使用 “ip6tables” 替换所有 “iptables”。

第 7 章授权

字符串更新

在红帽企业版 Linux 6.4 中，已在 Subscription Manager 中重新命名了一些字符串：

已将 订阅 重命名为 附加
已将 自动订阅 重命名为 自动附加
已将 取消订阅 重命名为 删除
已将 用户 重命名为 系统 或者 单元

测试代理服务器连接

代理服务器配置对话框现在可让用户在输入数值后测试到代理服务器的连接。

订阅或者取消订阅多个授权

Sbscription Manager 现在可以使用其序列号一次订阅（附加）或者取消订阅（删除）多个授权。

GUI 中的激活码支持

Subscription Manager 图形用户界面现在可让您使用激活码注册系统。激活码可让用户在注册系统前预先为其配置订阅。

使用外部服务器注册

目前 Subscription Manager 支持在注册系统的过程中选择远程服务器。Subscription Manager 用户界面提供在注册过程中选择服务器 URL 进行注册的选项，还包括端口和前缀选项。另外，当使用命令行注册时，可使用 --serverurl 选项指定注册服务器。有关这个功能的详情请参考《订阅管理指南》中《注册、取消注册以及重新注册系统》一节。

GUI 中的可用性更改

已根据客户反馈进行的修改改进了 Subscription Manager 图形用户界面。

8.1. KVM

virtio-SCSI

已改进 KVM 虚拟化存储栈，添加了 virtio-SCSI（SCSI 中基于 KVM 的存储构架）性能。virtio-SCSI 提供直接连接到 SCSI LUN 的能力，相对 virtio-blk 显著提高了伸缩性。virtio-SCSI 的优点是可处理成百个设备，而 virtio-blk 只能处理约 25 个设备，还会耗尽 PCI 插槽。

virtio-SCSI 现在可以继承目标设备功能，并可：

通过 virtio-scsi 控制器添加虚拟硬盘或 CD，
通过 QEMU sisi-block 设备绕过主机到虚拟机的物理 SCSI 设备，
允许在每个虚拟机中使用成百设备；相对于 virtio-blk 的 25 个设备上限是个提高。

virtio-scsi 在红帽企业版 Linux 6.3 中是作为技术预览引进，在红帽企业版 Linux 6.4 中已全面支持。最新的 virtio-win 驱动程序还支持 Windows 虚拟机（不包括 Windows XP）。

支持 Intel 下一代核心处理器

红帽企业版 Linux 6.4 添加了对 Intel 下一代核心处理器的 qemu-kvm 支持，这样 KVM 虚拟机就可以利用这个处理器提供的新功能，最重要的是：高级向量扩展 2（AVX2）、字节操作指令 1（BMI1）、字节操作指令 2（BMI2）、硬件锁定省略（HLE）、限制可转换内存（RTM）、进程上下文标识符（PCID）、验证进程上下文标识符（INVPCID）、整合乘加器（FMA）、大端移动指令（MOVBE）、F 片段指令和 G 片段基准指令（FSGSBASE）、超级模式执行防范（SMEP）、改进的 REP MOVSB/STOSB（ERMS）。

AMD Opteron 4xxxx 系列 CPU 支持

AMD Opteron 4xxx 系列处理器现在由 qemu-kvm 支持。这样就可以让 KVM 虚拟机识别这个处理器系列的新功能，比如：F16C 指令集、小端操作、字节操作指令 1（BMI1）大幅削减功能以及整合乘加（FMA）指令集。

使用 USB 转发通过 SPICE 进行虚拟机实时迁移

在红帽企业版 Linux 6.4 中，KVM 支持 USB 转发通过 SPICE 进行虚拟机实时迁移，同时保持现有 USB 设备为所有配置的设备重新定向。

使用 USB 设备进行虚拟机实时迁移

在红帽企业版 Linux 6.4 中，KVM 支持使用 USB 设备进行虚拟机实时迁移。支持的设备有：高级主机控制器接口（EHCI）和通用主机控制器接口（UHCI）本地转移以及模拟设备，比如存储设备、鼠标、键盘、集线器及其他。

已更新 QEMU 虚拟机代理

红帽企业版 Linux 6.4 现在完全支持 QEMU 虚拟机代理（由 qemu-guest-agent 软件包提供）。已将其更新至 upstream 版本 1.1，包括以下值得关注的改进和 bug 修复：

现在可使用 guest-suspend-disk 和 guest-suspend-ram 命令挂起 RAM 或者 Windows 系统中的磁盘。
现在可使用 guest-network-get-interfaces 查询 Linux 的网络接口信息。
这个通信提供系统停滞支持改进和修复。
这个更新包括各种文档修复和小的改进。

半虚拟中断终止提示（PV-EOI）

运行红帽企业版 Linux 6.3 以及更老系统的主机和虚拟机在每个中断中都需要有两个 VM 出口（VM 到 Hypervisor 的上下文切换）：一个是输入中断，另一个是给出中断终止信号。当主机和虚拟机系统都更新至红帽企业版 Linux 6.4 或者更新的系统后，它们就可以协商一个版虚拟中断终止功能，这样每个中断就只需要一个切换。这样在主机和虚拟机中同时使用红帽企业版 Linux 6.4 或者更新的系统时，用于中断负载的出口数量就会减半，比如通过 virtio 网络设备进入的网络流量。这样就导致主机 CPU 在此类负载中的用量的大幅降低。注：只改进了边缘中断，例如：使用等级中断的 e1000 联网就没有得到改进。

可配置音频传导

音频设备现在可在虚拟系统中被识别为 microphone 或者 speaker（也可被识别为 line-in 和 line-out）。音频失败现在可以在声音录制和音频中只接受某些类型输入虚拟程序中正常使用。

8.2. Hyper-V

包括微软 Hyper-V 驱动程序的虚拟机安装支持

在 Hyper-V 中对红帽企业版 Linux 6.4 集成的红帽企业版 Linux 虚拟机安装以及 Hyper-V 半虚拟设备支持可让用户在微软 Hyper-V hypervisor 顶层将红帽企业版 Linux 6.4 作为虚拟机运行。已在红帽企业版 Linux 6.4 提供的内核中添加了以下 Hyper-V 驱动程序和时钟资源。

网络驱动程序（hv_netvsc）
存储驱动程序（hv_storvsc）
服从 HID 的鼠标驱动程序（hid_hyperv）
VMbus 驱动程序（hv_vmbus）
util 驱动程序（hv_util）
和 IDE 磁盘驱动程序（ata_piix）
时钟资源（i386、AMD64/Intel 64：hyperv_clocksource）

红帽企业版 Linux 6.4 还包括对 Hyper-V 作为时钟资源支持，以及虚拟机 Hyper-V 密钥--值对（KVP）守护进程（hypervkvpd）支持，它可通过 VMbus 向主机提供基本信息，比如虚拟机 IP、FQDN、操作系统名称以及操作系统发行本号。

8.3. VMware ESX

VMware PV 驱动程序

已将 VMware 版虚拟驱动程序更新至提供在 VMware ESX 中运行红帽企业版 Linux 6.4 时提供无缝开盒即用经验。已将 Anaconda 安装程序更新至在安装过程中列出驱动程序。已更新以下驱动程序：

网络驱动程序（vmxnet3）
存储驱动程序（vmw_pvscsi）
内存布尔值驱动程序（vmware_balloon）
鼠标驱动程序（vmmouse_drv）
视频驱动程序（vmware_drv）

第 9 章集群

支持 IBM iPDU Fence 设备

红帽企业版 Linux 6.4 添加了对 IBM iPDU fence 设备的支持。有关这个 fence 设备中的参数详情，请参考红帽企业版 Linux 6《集群管理指南》中的附录《Fence 设备参数》。

支持 Eaton 网络电源控制器 Fence 设备

红帽企业版 Linux 6.4 添加了对 fence_eaton_snmp 的支持，它是 Eaton 在 SNMP 网络电源开关的 fence 代理。有关这个 fence 设备中的参数详情，请参考红帽企业版 Linux 6《集群管理指南》中的附录《Fence 设备参数》。

新 keepalived 软件包

红帽企业版 Linux 6.4 包括作为技术预览的 keepalived 软件包。keepalived 软件包为负载平衡和高可用性提供简单和鲁棒功能。负载平衡依靠大家熟知且广泛使用的 Linux 虚拟服务器内核模块，提供四级网络负载平衡。keepalived 守护进程在负载平衡的服务器池中根据其状态采用一组健康检查程序。keepalived 守护进程还采用虚拟路由器冗余协议（VRRP），允许路由器或者管理器故障切换以便达到高可用性。

Watchdog 恢复

红帽企业版 Linux 6.4 中包括新的 fence_sanlock 和 checkquorum.wdmd fence 代理作为技术预览，为使用 watchdog 设备引发节点恢复提供新的机制。有关启用这个技术预览的说明将可在 https://fedorahosted.org/cluster/wiki/HomePage 中发布。

支持基于 VMDK 的存储

红帽企业版 Linux 6.4 添加了对采用 VMware 的有多个写入选项的 VMDK（虚拟机磁盘）磁盘映像技术的集群的支持。例如这可让您在群集的文件系统中（比如 GFS2）使用有多个写入选项的基于 VMDK 的存储。

第 10 章存储

完全支持并列 NFS

并列 NFS（pNFS）是 NFS v4.1 标准的一部分，可允许客户端并列直接访问存储设备。pNFS 架构可为几个常用负载提高 NFS 服务器的延展性和性能。在红帽企业版 Linux 6.4 中完全支持 pNFS。

pNFS 支持 3 个不同的存储协议或者布局：文件、对象和块。红帽企业版 Linux 6.4 NFS 客户端支持文件布局协议。

要启用这个新功能，请在启用 pNFS 的服务器的挂载中使用以下挂载选项之一：-o minorversion=1 或者 -o v4.1。

服务器启用 pNFS 后，会在首次挂载时自动载入 nfs_layout_nfsv41_files 内核模块。请使用以下命令验证是否载入了这个模块：

~]$ lsmod | grep nfs_layout_nfsv41_files

有关 pNFS 的详情请参考 http://www.pnfs.com/。

XFS 在线放弃支持

在挂载的文件系统中执行在线放弃操作会放弃那些该文件系统没有使用的块。目前在 XFS 文件系统中支持在线放弃操作。有关详情请参考红帽企业版 Linux 6《存储管理指南》中《放弃不使用的块》一节。

微 PCIe SSD 的 LVM 支持

在红帽企业版 Linux 6.4 中，LVM 添加对微 PCIe 固态驱动器（SSD），这些驱动器可组成卷组。

双向镜像 RAID10 的 LVM 支持

LVM 现在可以创建、删除和重新定义 RAID10 逻辑卷大小。创建 RAID10 逻辑卷和其他 RAID 类型一样要按如下方法指定片段类型：

~]# lvcreate --type raid10 -m 1 -i 2 -L 1G -n lv vg

注：-m 和 -i 参数与其他片段类型的行为方式一致。即 -i 是条总数，-m 是（额外）副本数（即 -m 1 -i 2 在顶级双向镜像中提供 2 个条）。

使用失败映射器失败设置和管理 SCSI 持久保留

之前要在多路径设备中设定永久保留，需要在所有路径失败中设定它。如果稍后添加路径设备，则需要手动向那个路径添加保留。红帽企业版 Linux 6.4 添加通过设备映射器使用 mpathpersist 设置和管理 SCSI 永久保留的功能。

第 11 章编译程序及工具

已将 SystemTap 更新至版本 1.8

SystemTap 是一个跟踪和探测工具，它可允许用户非常详细地了解并监控操作系统（特别是内核）的活动。它提供的信息类似 netstat、ps、top 和 iostat 等工具的输出结果。但是 SystemTap 的设计是用来为收集的信息提供更多过滤和分析选项。

已将红帽企业版 Linux 6.4 中的 systemtap 软件包升级至 upstream 版本 1.8，这样可提供大量 bug 修复和改进：

@var 语法现在是访问 uprobe 和 kprobe 句柄中 DWARF 变量（进程、内核、模块）的可替换语言语法。
SystemTap 现在破坏本地变量以避免 tapset 所包含 C 标头之间的冲突。
SystemTap 编译服务器和客户端现在支持 IPv6 网络。
SystemTap 运行时（staprun）现在接受 -T 超时选项，允许脚本中的低流量输出使用较小唤醒频率进行轮询。
SystemTap 脚本转换器驱动程序（stap）现在提供以下资源限制选项：
```
--rlimit-as=NUM
--rlimit-cpu=NUM
--rlimit-nproc=NUM
--rlimit-stack=NUM
--rlimit-fsize=NUM
```
SystemTap 模块现在更小，编译更迅速。现在默认取消模块的 debuginfo。
现已修复 bug CVE-2012-0875（处理畸形 DWARF 展开数据（unwind data）时内核 panic）。

lscpu 和 chcpu 程序

已将显示可用 CPU 详细信息的 lscpu 程序更新至包含大量新功能。另外还添加了新程序 chcpu，它可更改 CPU 状态（online/offline、standby/active 以及其他状态），禁用和启用 CPU，以及配置具体 CPU。

有关这些程序的详情，请参考 lscpu(1) 和 chcpu(8) man page。

第 12 章常规更新

已更新 samba 软件包

红帽企业版 Linux 6.4 包括复位基底 samba 软件包，这些软件包引进了几个 bug 修改和改进，最重要的是添加了对 SMB2 协议的支持。可在 /etc/samba/smb.conf 文件的 [global] 部分使用以下参数启用 SMB2 支持。

max protocol = SMB2

另外，Samba 现在支持 AES Kerberos 加密。从 Windows Vista 和 Windows Server 2008 开始，已可在微软 Windows 操作系统中使用 AES 支持。据报道从 Windows 7 开始，它就成为新的默认 Kerberos 加密类型。Samba 现在在其控制的按键中添加 AES Kerberos 密钥。这意味着同一台机器中其他使用 samba 按键进行 Kerberos 加密的服务也可受益于 AES 加密。要使用 AES 会话密钥（不只使用 AES 加密的 ticket 提供 ticket），Active Directory 的 LDAP 服务器中的 samba 机器帐户需要手动进行修改。有关详情请参考 Microsoft 开放说明支持团队博客。

警告

更新的 samba 软件包还改变了配置 ID 映射的方法。建议用户修改其现有 Samba 配置文件。

注：更新了一些 Trivial Database（TDB）文件，并在实际注册过程中重新写入打印支持。这意味着所有 TDB 文件都会在您启动新的 smbd 时立即更新。您不能将其降级到旧的 Samba 3.x 版本，除非您备份了 TDB 文件。

有关详情请参考 Samba 3.6.0 发行注记。

新 SciPy 软件包

红帽企业版 Linux 6.4 包含新的 scipy 软件包。这个 SciPy 软件包提供数学、科学和工程软件。用来操纵随机记录的大型多维阵列的 NumPy 软件包是 SciPy 的核心库。SciPy 库可与 NumPy 阵列一同工作，提供各种有效的数字常规，例如数字整合及优化常规。

NSS 中的 TLS v1.1 支持

已将 nss 和 nss-util 软件包升级为 upstream 版本 3.14，除其他功能外还提供 TLS 版本 1.1 支持，已将 nspr 复位到版本 4.9.2.有关详情请参考 NSS 3.14 发行注记。

内嵌的 Valgrind `gdbserver`

已将 valgrind 软件包升级至 upstream 版本 3.8.1。除其他改进和 bug 修复外，这个更新的版本包括内嵌的 gdbserver。有关详情请参考《红帽开发者工具组件 1.1 用户指南》中《Valgrind》一章以及附录《Valgrind 3.8.1 中的更改》。

新 libjpeg-turbo 软件包

红帽企业版 Linux 6.4 包括一组新软件包：libjpeg-turbo。这些软件包替换了传统的 libjpeg 软件包，提供与 libjpeg 同样的功能和 API，但性能更佳。

新 redhat-lsb-core 软件包

安装 redhat-lsb 软件包时，会在系统中拖入大量相依性软件包以满足 LSB 标准。红帽企业版 Linux 6.4 提供新的 redhat-lsb-core 子软件包，允许您通过安装 redhat-lsb-core 软件包轻松提取最低要求所需软件包。

已更新 createrepo 程序

已将 createrepo 程序更新至最新 upstream 版本，它可极大减少内存用量，并可通过 --workers 选项添加多任务支持。

修订记录

修订历史

修订 1.2-0

Thu Feb 21 2013

Martin Prpič

Release of the Red Hat Enterprise Linux 6.4 Release Notes.

Release Notes

Red Hat Enterprise Linux 6.4 发​​​行​​​注​​​记​​​

法律通告

摘要

前​​​言​​​

重​​​要​​​

第 1 章 安​​​装​​​

Kickstart 文​​​件​​​中​​​的​​​ FCoE 支​​​持​​​

使​​​用​​​ VLAN 安​​​装​​​

配​​​置​​​捆​​​绑​​​

第 2 章 内​​​核​​​

光​​​纤​​​通​​​道​​​协​​​议​​​：端​​​到​​​端​​​数​​​据​​​一​​​致​​​性​​​检​​​查​​​

IBM System z 的​​​ Flash Express 支​​​持​​​

打​​​开​​​ vSwitch 内​​​核​​​模​​​块​​​

对​​​比​​​引​​​导​​​的​​​系​​​统​​​和​​​转​​​储​​​的​​​系​​​统​​​

更​​​新​​​ Perf 工​​​具​​​

Uncore PMU 支​​​持​​​

减​​​少​​​ memcg 内​​​存​​​使​​​用​​​

内​​​存​​​回​​​收​​​和​​​压​​​缩​​​

支​​​持​​​事​​​务​​​执​​​行​​​程​​​序​​​运​​​行​​​时​​​检​​​测​​​程​​​序​​​

失​​​效​​​开​​​放​​​（Fail-open）模​​​式​​​

全​​​面​​​支​​​持​​​用​​​于​​​ IBM System z 的​​​ kdump 和​​​ kexec 内​​​核​​​转​​​储​​​机​​​制​​​

KVM 的​​​ TSC 底​​​线​​​支​​​持​​​

持​​​久​​​的​​​设​​​备​​​命​​​名​​​

新​​​ linuxptp 软​​​件​​​包​​​

透​​​明​​​的​​​大​​​页​​​面​​​文​​​档​​​

转​​​储​​​目​​​标​​​的​​​状​​​态​​​支​​​持​​​

第 3 章 设​​​备​​​驱​​​动​​​程​​​序​​​

存​​​储​​​驱​​​动​​​程​​​序​​​

网​​​络​​​驱​​​动​​​程​​​序​​​

其​​​他​​​驱​​​动​​​程​​​序​​​

第 4 章 联​​​网​​​

HAProxy

第 5 章 认​​​证​​​和​​​互​​​操​​​作​​​性​​​

SSSD 全​​​面​​​支​​​持​​​的​​​功​​​能​​​

新​​​ SSSD 缓​​​存​​​存​​​储​​​类​​​型​​​

在​​​基​​​于​​​ AD 的​​​可​​​信​​​域​​​中​​​添​​​加​​​ external 组​​​

自​​​动​​​更​​​新​​​身​​​份​​​管​​​理​​​子​​​系​​​统​​​证​​​书​​​

在​​​身​​​份​​​管​​​理​​​服​​​务​​​器​​​中​​​注​​​册​​​的​​​客​​​户​​​端​​​中​​​自​​​动​​​进​​​行​​​ OpenLDAP 配​​​置​​​

PKCS#12 支​​​持​​​ python-nss

DNS 的​​​全​​​面​​​持​​​续​​​搜​​​索​​​

新​​​的​​​ CLEANALLRUV 操​​​作​​​

更​​​新​​​ samba4 库​​​

警告

表 5.1. Samba4 软​​​件​​​包​​​支​​​持​​​

身​​​份​​​管​​​理​​​中​​​的​​​跨​​​区​​​域​​​ Kerberos 可​​​信​​​功​​​能​​​

389 目​​​录​​​服​​​务​​​器​​​的​​​ Posix 方​​​案​​​支​​​持​​​

注意

第 6 章 安​​​全​​​性​​​

在​​​查​​​找​​​ sudoer 条​​​目​​​时​​​以​​​命​​​令​​​方​​​式​​​对​​​待​​​匹​​​配​​​的​​​条​​​目​​​

pam_cracklib 的​​​额​​​外​​​密​​​码​​​检​​​查​​​

tmpfs 多​​​实​​​例​​​化​​​的​​​ size 选​​​项​​​

锁​​​定​​​不​​​活​​​跃​​​的​​​帐​​​户​​​

libica 的​​​新​​​操​​​作​​​模​​​式​​​

为​​​ System z 优​​​化​​​和​​​支​​​持​​​ zlib 压​​​缩​​​库​​​

退​​​回​​​防​​​火​​​墙​​​配​​​置​​​

第 7 章 授​​​权​​​

字​​​符​​​串​​​更​​​新​​​

测​​​试​​​代​​​理​​​服​​​务​​​器​​​连​​​接​​​

订​​​阅​​​或​​​者​​​取​​​消​​​订​​​阅​​​多​​​个​​​授​​​权​​​

GUI 中​​​的​​​激​​​活​​​码​​​支​​​持​​​

使​​​用​​​外​​​部​​​服​​​务​​​器​​​注​​​册​​​

GUI 中​​​的​​​可​​​用​​​性​​​更​​​改​​​

第 8 章 虚​​​拟​​​化​​​