UPEL 1.0.5 2018年度版本发布说明

操作系统及数据库团队 2018-01-18

前言

UPEL-1.0.0于2017年2月23日发布投产,并先后经过4个版本的缺陷修复升级。2018年年度基线版本为UPEL-1.0.5计划于2018年1月18日正式发布投产,包含了UPEL-1.0.0至UPEL-1.0.4所有功能,具体可以参见附录B《UPEL版本变更历史》

本文档就UPEL-1.0.0后的新增所有功能和使用方法进行阐述, 供系统开发人员、应用开发人员,系统运维人员参考。

1. 概述

原云版和基础版合并

原UPEL存在两个分支版本分别用于云平台宿主机和虚拟机,从UPEL-1.0.5起,两个分支的所有软件包版本统一为一个版本,因此不再区分云版和基础版。

32位组件支持

由于一些客户系统比较陈旧且已经无人维护,UPEL为这类程序提供32位RPM的支持。参见2.7 增加32位软件包支持

银联定制套件

针对银联生产测试环境的特殊要求,在安装过程中,可以选择“银联运维管理套件”和“银联性能测试套件”进行相关套件安装。 参见2.8 银联个性化套件选择

RPM更新

UPEL-1.0.5涉及19个系统组件,包括了“新增功能”、“安全漏洞”,“缺陷修复”,“废弃功能”四个方面。

具体清单如下:

No 软件包名 新增功能 安全漏洞 缺陷修复 废弃功能 已知问题
1 kernel 基线更新
[RHEL]3.10.0-327.62.1
  kernel/nfs    
2 libvirt 基线更新
[RHEL]2.0.0-10
       
3 libnl3 基线更新
[RHEL]3.2.28-2
       
4 qemu-kvm 基线更新
[Upstream]2.5.1
CVE-2017-2615     虚拟机迁移需要移植
5 qemu-guest-agent 基线更新
[Upstream]2.5.1
       
6 rpm 新增功能
增强安全校验
       
7 yum 新增功能
增强安全校验
    配置文件gpgcheck失效  
8 upel-release 新增功能
版本识别
默认源变更
验证密钥变更
    CentOS软件包无法安装  
9 redhat-lsb 新增功能
版本识别
       
10 upel-logos 新增功能
商标变更
默认桌面元素变更
       
11 samba   CVE-2017-7494      
12 sudo 基线更新
[RHEL]1.8.6p7-17
CVE-2017-1000367      
13 nmon 新增组件        
14 unixbench 新增组件        
15 fio 新增组件        
16 stress 新增组件        
17 cloud-init 基线更新
[Fedora]0.7.6-3
       
18 cpm 版本升级
1.0.3
       
19 openssh 新增功能
屏蔽交互版本信息
CVE-2016-8325
CVE-2016-6515
     

2. 新功能

2.1 默认源变更

UPEL默认安装后, 源不再指向CentOS的源, 而是默认指向UPEL内部发布服务器172.18.64.178, 科技事业部内部用户安装后即可通过yum进行所有软件包的安装。

默认安装后,UPEL仅开启基础源。 用户可以根据需要开启以下源

具体方式,修改/etc/yum.repos.d/UPEL-base.repo, 将enable设置为1即可。

2.2 增强安全校验

UPEL对RPM的管理的安全要求进行了加强,对于在UPEL系统上安装的软件包限制更加严格。

upel-release

不在包含CentOS的软件包签名公钥“RPM-GPG-KEY-CentOS-7”,所有从CentOS引入的RPM包均经“RPM-GPG-KEY-UPEL-1”重新签名, Key ID: 7d619c9a3f6382df

如果系统管理员仍然需要安装其他来源的RPM包,请在自行下载软件源的密钥文件,通过手工导入或者配置源的gpgkey字段进行导入,再进行软件包安装。

rpm

yum

与rpm一样,UPEL对yum的一些参数进行了更加严格的限制。参见rpm的变化信息。

总开关

在应急情况下,系统管理员可以通过移除strict_install插件,来屏蔽2.1的除了gpgcheck配置以外所有功能

# mv /usr/lib64/rpm-plugins/restrict_install.so /usr/lib64/rpm-plugins/restrict_install.so.bak

2.3 版本识别

UPEL-1.0.4以前辨识系统版本非常困难,甚至只能通过一些软件包的版本来分辨是CentOS还是UPEL。

upel-release & redhat-lsb

UPEL从1.0.5后无论是在安装过程还是在安装后的启动运行环境中,不会在显著位置出现CentOS的logo。

upel-logos

upel-release

2.5 新增和更新组件

nmon

UPEL集成性能监控工具“nmon”,版本:[Upstream]16f

unixbench

UPEL集成性能评测工具“unixbench”,版本:[Upstream]5.1.3

fio

UPEL集成IO性能测试工具“fio”,版本:[EPEL]2.2.8-2

stress

UPEL集成压力模拟工具“stress”, 版本:[EPEL]1.0.4-16

cpm

UPEL更新cpm组件至最新的1.0.3版本

2.6 安全检测加固

openssh

根据绿盟nssoft的扫描建议,避免泄露openssh版本信息的攻击,对openssh的交互版本信息进行屏蔽。原先openssh的version string 由SSH-2.0-OpenSSH_6.6.1变为SSH-2.0-OpenSSH_UnkownVer

2.7 增加32位软件包支持

UPEL-1.0.5新发布了镜像文件upel-1.0.5-legacy-1710.iso, 集成2003个32位软件包。系统管理员可以通过自行添加/etc/yum.repos.d/配置文件来启用legacy源,具体步骤如下:

# mkdir /mnt/legacy
# mount upel-1.0.5-legacy-1710.iso /mnt/legacy
# cat /etc/yum.repos.d/legacy.repo
# 32 bit rpms for Legacy Applications 
[legacy]
name=UPEL-$releasever - Legacy
baseurl=file:///mnt/legcay/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-UPEL-1

注:我们强烈建议如果应用程序可以重新编译,请使用64位软件包重新编译后部署

2.8 银联个性化套件选择

UPEL根据银联信息总中心的运维经验和实际需要,集成了多个常用工具软件,并提供套件安装选项。

可以在“基础设施服务器”和“带GUI的服务器”环境组建进行额外选择, 如下图所示:

3. 安全漏洞

UPEL对系统关键组件,特地修复了以下漏洞

注: 基线更新的各组件均包含部分上游修复的安全漏洞,可通过以下命令查看

rpm -qp <pkgname> --changelog |grep "CVE-"

4. 缺陷修复

4.1 Linux内核NFS文件系统缺陷

5. 废弃功能

UPEL默认无法安装CentOS软件包

由于未导入CentOS的公钥,且RPM已经强制开启软件包校验,所以默认情况下,无法安装来自非UPEL团队的软件包,包括Fedora,CentOS等如果需要进行安装,参见2.1 upel-release章节方法

yum的配置文件gpgcheck失效

参见2.1 yum章节内容

6. 已知问题

虚拟机迁移需要移植

对于安装了基础版的物理机来说,由于qemu-kvm的版本变化,从1.5.3升级到了2.5.1。原创建的虚拟机镜像,需要进行移植才能在1.0.5后的版本中使用。由于银联的物理机原先均使用2.5.1版本的qemu,不会遇到这类问题。

如果您遇到了此问题,请与UPEL团队联系寻求支持。

附录A UPEL与CentOS的软件包修改清单

附录B UPEL版本变更历史

1.0.5

主题: 2018年年度基线版本

发布日期: 2018-1-18

功能变更:

系统安全强化业务需求组件引入云版和基础版合并生产问题修复安全漏洞修复详见《UPEL 1.0.5 2018年度版本发布说明》

1.0.3 & 1.0.4

主题: 修复内核NFS文件系统对于0长度输入引发IO夯住的缺陷

发布日期: 2017-11-21 & 2017-12-1

功能变更:

backports https://patchwork.kernel.org/patch/9234737/

1.0.2

主题:为无卡系统增加32位软件包支持

发布日期:2017-07-14

功能变更:

增加部分32位的rpm

1.0.1

主题:安全漏洞修复

发布日期:2017-5-31

功能变更:

CVE-2017-2615 QEMU Cirrus显卡内存越界

1.0.0

主题:配合云平台二期上线的初始基线

发布日期:2017-02-23

功能变更:

UPEL集成内部自研RPM应用软件更新至20161030的所有更新UPEL集成云平台二期相关基础RPM安全修复CVE-2016-5619脏牛