Product SiteDocumentation Site

2. Modifications dans Fedora pour les administrateurs systèmes

2.1. Le noyau Linux

Fedora 17 est équipé du noyau 3.3.4.

2.2. Installation

Modifications du démarrage direct sur le noyau

Il y a des modifications significatives lors d'une installation via le démarrage direct sur le noyau tel que PXE. Une installation normale à partir d'un média d'installation n'est pas concernée.
Les utilisateurs avancés peuvent faire un certain nombre d'installations réseau différentes, impliquant généralement la mise en place d'un environnement minimal du noyau pour procéder à l'installation. Cette opération a subit des modifications significatives dans Fedora 17.
Dans F16, en général, il suffit de préciser l'emplacement du noyau et de initrd, et l'installation devrait fonctionner - kernel/initrd va chercher stage1 et stage1 va chercher stage2.
Sans chargeur, ce n'est plus le cas : quand on démarre directement sur le noyau, l'emplacement de stage2 doit être précisé. Dit autrement : utilisez repo= ou stage2= (ou inst.repo= ou inst.stage2=, comme il est recommandé) en pointant vers un dépôt. Si l'image de stage2 est sur un serveur mais que les paquets pour l'installation sont sur un autre serveur, stage2= doit être utilisé : repo= devrait seulement être employé si le serveur contenait tout ce qui est nécessaire à l'installation (à la fois l'image de stage2 et tous les paquets à installer). Notez que stage2= s'attend toujours à voir l'arborescence d'un « dépôt ». Vous ne pouvez pas juste indiquer le chemin direct vers un fichier squashfs.img (ce qui était la façon d'utiliser stage2= jusqu'à F15 quand c'était possible).
Par exemple : 
label linux
kernel vmlinuz
append initrd=initrd.img
n'est plus valide. Il faut préciser le miroir avec repo : 
label linux
kernel vmlinuz
append initrd=initrd.img repo=http://dl.fedoraproject.org/pub/fedora/linux/development/17/x86_64/os/
ou stage2 : 
label linux
kernel vmlinuz
append initrd=initrd.img stage2=http://my.internal.server/17/x86_64/os/
(ou tout autre miroir valide).

2.3. Sécurité

2.3.1. Vérification de la qualité du mot de passe

Fedora dispose désormais d'une bibliothèque configurable unique, libpwquality, pour vérifier la qualité des nouveaux mots de passe utilisés par les comptes du système. La totalité des contrôles de qualité fournis par cette bibliothèque est configurée en modifiant le fichier de configuration /etc/security/pwquality.conf.
Les développeurs souhaitant appeler cette API à partir de leurs applications trouveront sa description dans le fichier pwquality.h fourni par le paquet libpwquality-devel. Un wrapper python, python-pwquality, est aussi fourni.

2.3.2. SELinux Deny Ptrace

Un nouveau booléen SELinux, deny_ptrace, a été ajouté. Il est recommandé aux utilisateurs qui n'ont pas l'intention de déboguer des applications sur leur machine de définir cette valeur. Ce booléen empêche les processus malveillants d'être capable de lire la mémoire, voire d'attaquer d'autres processus utilisant les outils de débogages, y compris ptrace et gdb.
De telles attaques sont ainsi empêchées même si le processus malveillant est lancé en tant que root ou s'il attaque un processus en cours ayant le même contexte SELinux ou le même label. Pour activer en permanence la protection prévue par le booléen deny_ptrace, exécuter la commande suivante en tant que root : 
# setsebool -P deny_ptrace 1
Pour désactiver temporairement la protection prévue par le booléen deny_ptrace, exécuter la commande suivante en tant que root : 
# setsebool deny_ptrace 0

2.3.3. Répertoire privé /tmp pour les services

Un certain nombre de services gérés par systemd ont été modifiés pour utiliser sa capacité à fournir un répertoire /tmp privé. On a trouvé des services privilégiés utilisant /tmp et /var/tmp interférant avec des utilisateurs non privilégiés, pouvant conduire à une augmentation des privilèges. Utiliser des répertoires /tmp privés pour ces services empêche ce type d'attaque.
La directive à ajouter au fichier systemd pour les services modifiés est : 
[Service]
PrivateTmp=true

2.3.4. Conteneurs sécurisés

Un nouvel outil, sandbox, a été créé afin de simplifier la création de conteneurs libvirt sécurisés. Lorsqu'il est lancé avec un exécutable, sandbox détermine les points de montage et les informations libvirt nécessaires pour lancer l'application dans un conteneur. Le conteneur est ensuite lancé par libvirt avec un contexte SELinux qui l'empêche d'interagir avec d'autres processus du système, y compris d'autres conteneurs, tout en étant capable de partager les données du système.
Cela permet à un administrateur de lancer plusieurs instances d'un même service simultanément, tout en les empêchant de casser la machine hôte ou d'autres processus du système, même lorsqu'ils sont exécutés en tant que root. Pour utilisersandbox, installer le paquet libvirt-sandbox.
2.3.4.1. krb5-workstation
Fedora 17 met à niveau le système d'authentification Kerberos vers la version 1.10. Cela ajoute la prise en charge de la modification des mots de passe à travers un NAT et celle de la localisation. La commande kswitch est ajoutée pour basculer entre plusieurs caches d'informations d'authentification. La prise en charge de caches additionnels a été ajoutée à d'autres commandes. Le choix des informations d'authentification peut être contrôlé avec le fichier $HOME/.k5identity.

2.4. Systèmes de fichiers

2.4.1. Systèmes de fichiers volumineux

Fedora 17 prend en charge les systèmes de fichiers supérieurs à 16 téraoctets sur le système de fichiers par défaut (ext4). Avec la dernière version de e2fsprogs, les systèmes de fichiers ext4 peuvent désormais atteindre 100 To.

2.4.2. Systèmes de fichiers chiffrés

Fedora 17 utilise la version 1.4.1 du paquet cryptsetup, qui supprime les appels aux API obsolètes. De plus, il prend en charge le positionnement des en-têtes LUKS sur des périphériques distincts et la création de secteurs chiffrés non-imbriqués partagés sur un seul périphérique.

2.4.3. btrfs

btrfs n'est pas disponible comme système de fichiers durant l'installation. Ceci est une situation temporaire qui sera résolue dans Fedora 18. btrfs est toujours disponible après l'installation.

2.5. Virtualisation

2.5.1. QEMU

l'émulateur open source de systèmes QEMU a été mis à jour vers la version 1.0. Les fonctionnalités notables incluent :
  • QEMU prend maintenant en charge la migration en direct des invités en cours d'exécution ;
  • les utilisateurs de KVM sont désormais capable d'exécuter des outils standards de profilage des performances au sein des invités KVM ;
  • QEMU et libvirt prennent en charge la diffusion d'images en continu. La diffusion d'images en continu permet à un administrateur de démarrer rapidement de nouvelles machines virtuelles basées sur des images existantes ; l'approvisionnement des machines virtuelles est ensuite finalisé en arrière-plan lors de leur exécution ;
  • QEMU et KVM prennent en charge une nouvelle pile de stockage avancée basée sur SCSI, virtio-scsi. La prise en charge de cette nouvelle pile de stockage sera ajoutée à libvirt dans une prochaine version.
La liste complète des modifications incluses dans cette version est disponible à l'adresse http://wiki.qemu.org/ChangeLog/1.0.

2.5.2. libvirt

La boîte à outils libvirt permettant d'interagir avec les fonctionnalités de virtualisation de divers hôtes a été mise à jour vers la version 0.9.10. La liste complète des modifications incluses dans cette version est disponible à l'adresse http://libvirt.org/news.html.

2.5.3. Le gestionnaire de machine virtuelle (virt-manager)

Le gestionnaire de machine virtuelle a été mis à niveau vers la version 0.9.1. En plus de la correction de nombreuses anomalies, cette version ajoute :
  • la prise en charge de l'ajout de redirection de périphériques USB ;
  • une option permettant d'activer la prise en charge de USB 2.0 sur le contrôleur USB ;
  • une option qui précise le type du système pour des invités non-x86.
La liste complète des modifications incluses dans cette version est disponible à l'adresse http://virt-manager.org/download.html.

2.6. Cloud

2.6.1. OpenNebula

Autre nouveauté de Fedora 17, OpenNebula. OpenNebula fournit une plate-forme IaaS destinée à la virtualisation de centre de données. La gestion de cet environnement peut être effectuée en ligne de commande ou à l'aide d'une interface graphique. La compatibilité avec Amazon EC2, l'interface Open Cloud Computing (OCCI), est assurée.

2.6.2. OpenStack

Fedora 17 comprend la dernière version de la suite OpenStack dont le nom de code est « Essex ». La dernière version des l'interfaces de gestion internet (« Horizon ») et de la mise en réseau virtuelle (« Quantum ») sont présentes dans cette nouvelle version. L'utilisation de Qpid comme alternative à RabbitMQ comme moteur AQMP est une nouveauté de Fedora 17. En outre, la disponibilité de libguestfs qui permet de prendre en charge plusieurs formats de disque virtuel offrira plus de flexibilité à l'offre OpenStack de Fedora.

2.6.3. Open vSwitch

Fedora 17 intègre Open vSwitch, un commutateur réseau logiciel utilisé pour fournir des services réseau aux machines virtuelles. Open vSwitch prend en charge OpenFlow pour faciliter son administration.

2.7. Serveurs de base de données

2.7.1. mysql

Fedora 17 inclut mysql 5.5.20, mis à jour depuis la version 5.5.14 de Fedora 16.

2.7.2. postgresql

postgresql a été mis à jour en 9.1.2

Changement potentiellement incompatible

Si vous dépendez de la vue information_schema.referential_constraints, ou si vous avez des colonnes de type citext, vous aurez peut-être besoin de prendre des actions spéciales. Référez vous à http://www.postgresql.org/docs/9.1/static/release-9-1-2.html (en anglais).
Cette mise à jour est principalement corrective.

2.7.3. sqlite

sqlite a été mis à jour en 3.7.9

Changement potentiellement incompatible

Si un jeton de recherche (à la droite de l'opérateur MATCH) dans FTS4 commence par un « ^ », alors ce jeton doit être le premier dans ce champ du document.
Il y a beaucoup de changements et d'améliorations :
  • améliorations conséquentes de la performance de CREATE INDEX sur les très grosses tables ;
  • amélioration des fenêtres du système de fichier virtuel (VFS) pour mieux se protéger contre des interférances venant des logiciels antivirus ;
  • optimisation du plan de requête quand le mot-clé DISTINCT est présent ;
  • permet de surcharger plus d'appels systèmes dans le VFS unix - pour une meilleure prise en charge du bac-à-sable de chromium ;
  • aggrandissement de la taille par défaut d'une ligne de cache anticipée (lookahead) de 100 à 128 octets ;
  • améliorations sur le module test_quota.c pour qu'il puisse traquer les fichiers préexistants ;
  • ajout des options SQLITE_DBSTATUS_CACHE_HIT et SQLITE_DBSTATUS_CACHE_MISS à l'interface sqlite3_db_status() ;
  • suppression de la prise en charge de SQLITE_ENABLE_STAT2, remplacé par l'option plus complète SQLITE_ENABLE_STAT3 ;
  • améliorations sur l'utilitaire sqlite3_analyzer, incluant les options --pageinfo et--stats ainsi que la prise en charge des bases de données multiplexées ;
  • amélioration de l'interface sqlite3_data_count() pour qu'elle puisse être utilisée pour déterminer si SQLITE_DONE a été vue dans l'instruction préparée ;
  • ajout du contrôle de fichier SQLITE_FCNTL_OVERWRITE avec lequel le cœur SQLite indique au VFS que la transaction actuelle écrasera entièrement le fichier de base de donnée ;
  • aggrandissement de la taille d'allocation par défaut de la mémoire récente (lookaside) de 100 à 128 octets ;
  • amélioration du planificateur de requête pour qu'il puisse factoriser des termes entrants ou sortants des expressions OR dans la clause WHERE afin de trouver les meilleurs index ;
  • ajout de l'option à la compilation SQLITE_DIRECT_OVERFLOW_READ, permettant aux pages débordant de la mémoire d'être lues directement depuis le fichier de base de donnée, outrepassant le cache de pages ;
  • suppression des limites sur la précision et largeur dans les spécificateurs de la famille de routine de rendement de chaînes de caractères sqlite3_mprintf().

2.8. Modification de l'emplacement des notes de version

Déplacement des notes de version

À partir de la prochaine version, les notes de version seront à un nouvel emplacement.
Par tradition, les notes de version étaient installées dans /usr/share/doc/HTML/fedora-release-notes/. Au fil du temps, la plupart des documents situés dans l'arborescence /usr/share/doc/HTML/ ont été déplacés vers les répertoires spécifiques des applications.
Pour la plupart des utilisateurs, cette modification est invisible car on peut trouver les notes de version en sélectionnant le choix dans le menu. Cependant, certaines personnes ouvrent le fichier directement ou bien ont leurs propres liens en interne. Dans ce cas, changer l'emplacement sans prévenir pourrait être un problème, donc les notes de version ne sont pas déplacer cette fois-ci.
À partir de Fedora 18, les notes de version seront situées dans /usr/share/doc/fedora-release-notes-18.0/.

2.9. Démons du système

2.9.1. pciutils

Le paquet pciutils, qui fournit les outils pour l'inspection et la configuration des périphériques PCI, a été mis à jour vers la version 3.1.9 dans Fedora 17. Il ajoute la prise en charge de la vitesse de lecture et des champs d'état de liaison pour le matériel PCI Express de 3ème génération.

2.9.2. brltty

Fedora 17 inclut la version 4.3 de brltty, le démon de gestion d'un afficheur braille. Cette version 4.3 comprend de nouvelles options de configuration et de journalisation ainsi que la prise en charge de périphériques supplémentaires.

2.10. Xorg

2.10.1. Rendu logiciel pour GNOME Shell

L'expérience GNOME Shell est maintenant disponible pour tous les matériels, même pour les périphériques utilisant le rendu logiciel. Les utilisateurs souhaitant utiliser le mode dégradé de GNOME peuvent l'activer manuellement à partir du panneau de contrôle Paramètres Système, puis en sélectionnant Carte Graphique du menu Détails et en paramétrant l'option Mode restreint forcé sur 1.

2.10.2. Prise en charge des écrans multipoint

Le serveur X et les bibliothèques de Fedora 17 prennent en charge la version 2.2 de l'extension XInput, qui inclut la prise en charge des écrans multipoints. Les applications qui la choisiront seront maintenant en mesure d'en tirer tous les avantages.

2.10.3. Prise en charge du défilement doux

La mise à jour du serveur X fournit aussi le défilement doux pour les pilotes et les périphériques qui le prennent en charge. On peut maintenant exporter le défilement des données en tant que valeurs des axes en plus de l'ancien événement d'appui de bouton. Cela permet aux applications de tenir compte de la vitesse et de fournir une expérience plus douce du défilement. Comme pour le multipoint, pour profiter du défilement doux il faut qu'il soit écrit dans les applications elles-mêmes.

2.10.4. Pilotes DR12

Les pilotes DRI i810, mga, r128, savage, sis, tdfx et unichrome ne sont plus maintenus depuis longtemps, car ils ne sont pas intégrés dans Mesa. Le matériel affecté inclut les variantes des périphériques suivant :
  • cartes mère avec chipsets Intel i810 et i815 ;
  • cartes Matrox MGA G200, G400, G450 et G550 ;
  • cartes ATI Rage 128 ;
  • cartes S3 Savage 3D et Savage 4 ;
  • chipsets SiS 300, 540, 630 et 730 ;
  • cartes 3dfx Voodoo 3, Voodoo 4 et Voodoo 5 ;
  • chipsets VIA Unichrome et Unichrome Pro.
Ce matériel est maintenant pris en charge par le pilote 3D llvmpipe qui, contrairement aux anciens pilotes DRI, rend fonctionnel OpenGL 2.x.