Product SiteDocumentation Site

3. Modificaciones en Fedora para administradores de sistema

3.1. Kernel

Características de la versión &KERNEL del kernel Linux de Fedora 15. Entre otras mejoras, esta versión incluye la revisión que hace maravillas ", que mejora la capacidad de respuesta bajo cargas pesadas.
Consulte http://kernelnewbies.org/LinuxChanges para más detalles de este y todos los cambios.

3.2. Arranque

3.2.1. systemd

systemd es un administrador de sistema y servicio, reemplazo de SysVinit y Upstart. Después de una demora de seis meses, durante los cuales ha sido probado de forma granular, Fedora 15 introduce, de forma predeterminada, un demonio nuevo de sistema cuyo código ha sido diseñado desde cero, con el objetivo de aprovechar al máximo las ventajas ofrecidas por los modernos kernels de Linux.
Con systemd, Fedora 15 inicia mucho mas rápido, particularmente sobre SSD; los archivos de configuración de servicios (o unidades) nativos de systemd son mucho mas fáciles de entender y configurar comparados con los script de sysvinit, como systemd usa archivos .service en lugar de script de bash, todos los demonios están ordenados en su propio cgroups de Linux, por lo que puede explorar /cgroup/systemd en la jerarquía de archivos del sistema, se consideran extendidas las características administrativas del sistema de inicio.
Powering down the system
In earlier versions, the halt command could be used to power off the system. This no longer works with systemd. The following alternatives, however, do work:
poweroff
halt -p
init 0
shutdown -P now
There are numerous other changes in the way runlevels and services are handled with systemd. Refer to https://fedoraproject.org/wiki/Systemd for more complete information on systemd in Fedora.

3.2.2. directorio /run

Fedora 15 tiene un directorio /run para almacenar los datos en tiempo de ejecución. /run ahora es tmpfs, y /var/run es enlazado montado en él. /var/lock es enlazado montado en /run/lock. Las aplicaciones pueden utilizar /run del mismo modo que /var/run. Varios programas incluyendo udev , dracut , mdadm , mount y initscripts utilizan directorios ocultos bajo /dev para los datos de tiempo de ejecución durante el inicio temprano antes de que se monte /var. Sin embargo /dev/ se supone se utilice solo para los nodos de dispositivo y ahí existe un consenso entre las principales distribuciones de cambiar al uso de /run en su lugar. Fedora 15 está liderando este cambio. Los detalles, incluidos los beneficios, se explican aquí.
Este cambio es compatible con la FHS - Jerarquía de sistema de archivos estándar, lo que permite a las distribuciones crear nuevos directorios en la jerarquía raíz, siempre y cuando haya un examen cuidadoso de las consecuencias.El coautor de la última especificación FHS ha expresado su apoyo para este cambio. Lennart Poettering también ha presentado una solicitud para actualizar la norma FHS para incluir este cambio.

3.2.3. /var/run and /var/lock

/var/run y /var/lock ahora son montados en /run y /run/lock usando tmpfs, y por lo tanto se vacían en el reinicio. Las aplicaciones deben garantizar crear sus propios archivos/directorios en el arranque, y no puede suponer de que realizar esto durante la instalación del paquete será suficiente. Es posible utilizar el mecanismo tmpfiles.d de systemd para crear directorios y archivos en /var/run y /var/lock en el arranque, si es necesario. Para más detalles véa tmpfiles.d(5)(http://0pointer.de/public/systemd-man/tmpfiles.d.html) y los archivos conf en /etc/tmpfiles.d de ejemplos de dicha configuración. Las directrices de empaquetado de Fedora para tmpfiles.d están en http://fedoraproject.org/wiki/Packaging:Tmpfiles.d.

3.2.4. Soporte de sector de arranque de disco de 4 kB

Ahora esta soportado el arranque en entornos UEFI desde disco con sector de arranque de 4 kB

3.3. Seguridad

Esta sección describe los cambios y mejoras de seguridad disponibles en Fedora 15.

3.3.1. Cortafuegos dinámico

Fedora 15 adds support for the optional firewall daemon (FirewallD), providing a dynamic firewall management with a D-Bus interface.
The previous firewall model with system-config-firewall, was static and required a full firewall restart for all changes, even simple ones. This resulted in termination of filtered connections. Firewalld can modify the firewall dynamically and no firewall recreation is needed. At this stage, it supports iptables, ip6tables and ebtables. In Fedora 15 a simple tray applet shows the firewall state, and firewall services can be enabled and disabled.

3.3.2. FreeIPA 2.0

FreeIPA is an integrated security information management solution combining Linux (Fedora), 389 (formerly known as Fedora Directory Server), MIT Kerberos, NTP, DNS. It consists of a web interface and command-line administration tools.
Features of FreeIPA v2.0 include:
  • Autenticación centralizada usando Kerberos o LDAP
  • Administración de identidad de usuarios, grupos, equipos y servicios
  • Pluggable and extensible framework for UI/CLI
  • Rich CLI
  • Interfaz de usuario basado en web
  • Certificado de servidor X.509 v3 con capacidades de aprovisionamiento
  • Gestión de identidades de huéspedes incluida la agrupación anfitriones.
  • Defining host-based access control rules that will be enforced on the client side by the IPA back end for SSSD
  • Serving netgroups based on user and host objects stored in IPA
  • Serving sets of automount maps to different clients
  • Finer-grained management delegation
  • Group-based password policies
  • Centrally-managed SUDO
  • Automatic management of private groups
  • Compatibility with broad set of clients
  • Painless password migration
  • Optional integrated DNS server managed by IPA
  • Optional integrated Certificate Authority to manage server certificates managed by IPA
  • Can act as NIS server for legacy systems
  • Supports multi-server deployment based on the multi-master replication
  • Replicación de usuarios y grupos con MS Active Directory
For all details please refer to http://www.freeipa.org/.

3.3.3. OpenSCAP

First introduced in Fedora 14, OpenSCAP is a set of open source libraries providing an easier path for integration of the SCAP line of standards, managed by NIST and created to provide a standardized approach to maintaining the security of enterprise systems, such as automatically verifying the presence of patches, checking system security configuration settings, and examining systems for signs of compromise.
In Fedora 15, openscap, the set of open source libraries enabling integration of the SCAP line of standards, has been upgraded from version 0.6.3 to 0.6.8. During these development stage there has been introduced full support for perl regular expression by default, OVAL float type support, XSL transformation improvements and Dublin Core support, added OVAL schemas version 5.6 and improved XCCDF reporting.
secstate, the Security State Configuration Tool, has been rebuilt in Fedora 15 against version 0.4.1.
firstaidkit, the System Rescue Tool that automates simple and common system recovery tasks, has been upgraded from 0.2.17 to version 0.2.18.
For more information visit this page: http://www.open-scap.org/page/Main_Page .

3.3.4. authoconfig ecryptfs

Fedora 15 brings in improved support for eCryptfs, a stacked cryptographic filesystem for Linux. Now when a ecryptfs user logs in, authconfig will automatically mount his private encrypted part of the home directory.
For details please refer to the wiki page https://fedoraproject.org/wiki/Features/EcryptfsAuthConfig .

3.3.5. setroubleshoot

The user interface of setroubleshoot has been redesigned to make it easier to diagnose SELinux problems. In the current setroubleshooter the "best" match is returned for a solution to the customer. In the new redesign, all matches will be returned. For example if samba tried to read content that it is not allowed, we would like to tell the admin that he could label the content samba_share_t or he could set up SELinux to allow samba to share all content Read Only, or Read Write, or samba should not be trying to read this content, it could be a bug or an attack.
The interface has also been simplified with easier to explain definitions, like
If you want samba to share the entire system read/only,  then 
you need to tell SELinux system about this, by setting the 
samba_export_all_ro boolean. 

Execute the following command as root.

  setsebool -P samba_export_all_ro=1

3.3.6. Remove setuid

Fedora 15 removes setuid applications and instead specifically assigns the capabilities required by an application, modifing the spec files of most applications that include a setuid application to remove the setuid flag and change to file capabilities.
Please refer to https://fedoraproject.org/wiki/Features/RemoveSETUID for all details.

3.4. Virtualización

3.4.1. Boxgrinder

El Constructor BoxGrinder es una herramienta de linea de comandos fácil de usar para crear aplicaciones (imágenes virtuales) desde un archivo de texto de definición de aplicaciones. BoxGrinder puede producir dispositivos para una variedad de plataformas virtual o en la nueve usando tecnologías de soporte de complementos como VMware o EC2.
Vea la página Inicio Rápido (http://boxgrinder.org/tutorials/boxgrinder-build-quick-start/) para una vista general y el como usar BoxGrinder.

3.4.2. Soporte de Spice en virt-manager

Con Fedora 15, virt-manager ha sido actualizado para soportar Spice, la completa solución de código abierto para interactuar con escritorios virtualizados. Ahora es posible crear una máquina virtual con soporte para Spice sin tocar la linea de comandos, y beneficiando todas las mejoras de Spice directamente desde virt-manager sin problemas. Gracias a la librería spice-gtk, también puede desarrollar un cliente en Python o C, o con enlaces gobject-introspection.

3.4.3. Numerosas mejoras en libvirt

Con Fedora 15, libvirt ha sido actualizado para soportar una serie de nuevas APIs para interactuar con varias máquinas virtuales. Ahora hay soporte para gráficos usando SPICE, usar tarjetas inteligentes con huéspedes KVM, administrar campos SMBIOS visibles en huéspedes, administrar memoria y parámetros blkio groups para limitar el uso de recursos de un huésped, soporte para redes IPv6 en huéspedes, mejoras en auditoria, y mejor depuración de huéspedes qemu-kvm a través de los comandos monitor arbitrario.

3.5. Servidores aplicaciones Web

3.5.1. Apache

httpd se ha actualizado desde 2.2.16 a 2.2.17. Esta versión incluye correcciones en mod y correcciones y cambios en el núcleo.
Correcciones y cambios en el núcleo
  • (re) introducción de la opción -T en la línea de comandos para suprimir la visita inicial de documentación.
  • ver propiedad de enlace simbólico si se establecen FollowSymLinks y SymLinksIfOwnerMatch.
  • fijar el control del origen de SymLinksIfOwnerMatch.

3.5.2. Drupal renombrado a Drupal6

A partir de Fedora 15, el paquete Drupal y todos los paquetes de módulos se han renombrado de drupal* a drupal6*. Además, todas las ubicaciones de sistema de archivos reflejan este cambio. Simplemente copie el contenido de su antigua ubicación, a la nueva ubicación y debería funcionar, ya que las versiones deberían ser las mismas.
Este cambio se realizó a fin de facilitar el mantenimiento de versiones paralelas de drupal entre lanzamientos de Fedora/EPEL con el lanzamiento de drupal7.

3.6. Servidores de Bases de Datos

3.6.1. mysql

mysql ha sido actualizado a la versión 5.5.10. Se incluyen mejorar en escalabilidad y rendimiento. Desde el anuncio de la versión: "Alta disponibilidad: nueva replicación semi-sincrónica y replicación Heart Beat que mejorar la velocidad de conmutación por error y fiabilidad."
Esta actualización incluye el aumento del número de la versión de la biblioteca compartida libmysqlclient, por lo que las aplicaciones que utilizan la biblioteca tendrá que volver a compilar.

3.6.2. postgresql

postgresql se ha actualizado de 8.4.7 a 9.0.3. Además de la seguridad y numerosas correcciones de errores, este comunicado contiene una serie de nuevas características:
  • Replicación incorporada, basada en la entrega de log, con soporte para multiples servidores esclavos de solo lectura.
  • Gestión de permisos de objeto de la base de datos más fácil
  • Mas soporte en general para procedimientos almacenados
  • Consultas de información más avanzada
  • Nuevas características de disparadores (triggers)
  • Aplazamiento de restricciones únicas
  • Ahora es posible actualización masiva de claves unicas sin mañas
  • Restricciones de exclusión
  • Características nuevas y mejoradas de seguridad
  • Nueva implementación de alto rendimiento de la caracteristica LISTEN/NOTIFY
  • Nuevo implementación de VACUUM FULL
  • Varias mejoras de rendimiento para determinados tipos de consultas, incluida la eliminación de joins innecesarios
  • Mejoras en EXPLAIN
  • Mejoras en hstore
Además, hay un módulo contrib nuevo pg_upgrade para soportar actualizaciones en el lugar de 8.4 a 9.0. Esto significa que usted puede actualizar la base de datos de un Fedora 12 o posterior sin realizar un volcado y restauración de la base de datos. Para ello, instale el paquete postgresql-upgrade y ejecute service postgresql upgrade como root. Es recomendable tener una copia de seguridad independiente en caso de problemas, pero la conversión de bases de datos reales sólo requiere unos minutos con este enfoque.

3.7. Demonios del Sistema

3.7.1. Usuario administador

Fedora 15 introduce el concepto de un grupo de administradores. Los usuarios que están en este grupo son capaces de:
  • sudo, usando su contraseña
  • autorizar, diversas tareas administrativas utilizando PolicyKit con su propia contraseña
  • autorizar, diversas herramientas administrativas mediante contraseña consolehelper/userhelper con su propia contraseña
Detalles aquí.
Esto se implementa a través del grupo "wheel". Los usuarios pueden ser añadidos al grupo de administradores en el panel de GNOME Cuentas de usuario, la utilidad de configuración de Usuario y Grupos (system-config-users) o en el primer inicio. Para añadir un nuevo usuario como administrador en GNOME, haga clic en el menú de usuario en la parte superior derecha, haga clic en "Mi Cuenta" desbloquee proporcionar la contraseña del usuario root y haga clic en el "+" para agregar un nuevo usuario. Seleccione "Tipo de cuenta" como "Administrador " en lugar de "Normal".
Si usted está usando KDE, ejecute " Administración/Usuarios y Grupos" en el menú, escriba la contraseña de root para desbloquear system-config-users, vaya a la solapa "Grupos", seleccione "wheel", en la barra de herramientas haga clic en "Propiedades", vaya a la solapa "Grupo de Usuarios" del cuadro de diálogo, compruebe su nombre de usuario en la lista de resultados y haga clic en Aceptar .

3.7.2. Bacula

Bacula, el servicio director y de almacenamiento se esta ejecutando por defecto como usuario bacula. El archivo de registro del director se ha trasladado al directorio /var/log/bacula.
El usuario por defecto se puede cambiar en los archivos /etc/sysconfig/bacula-*
Cuando actualiza por favor, asegúrese de que bacula tiene permisos para acceder a los archivos de configuración, archivos de registro y base de datos.

3.8. Sistemas de archivos

3.8.1. squashfs

El kernel y squashfs-tools ahora son compatibles con la compresión xz. El valor predeterminado es todavía gzip. Usted puede solicitar la compresión xz utilizando mksquashfs con la opción --comp xz.

3.9. Xorg

3.9.1. Servidor Xorg

Xorg server has been updated to the 1.10.x stream. Features highlights and major bug fixes include:
  • For RANDR-based drivers with an asymmetric multi-head setup (two non-overlapping monitors with different sizes), previously there was a "dead space" in which the mouse cursor would appear to go off the screen. For example, 1280x800 + 1600x1200 horizontally adjacent with top edges aligned would have a 1280x400 dead area below the left monitor. This is now fixed, and the cursor will stop at all exterior output edges.
  • The XFixes extension has been updated to version 5, which adds a new "pointer barrier" feature. Similar to the above, this allows applications to put invisible walls on the display that the cursor cannot cross, or that it can only cross in one direction. A typical use is gnome-shell's "Activities" mouseover in multi-head setups; when it's not in the actual top-left of the screen (say, because the rightmost head is primary), the barrier makes it possible to stop the cursor on the Activities mouseover and not slide through to the next output.
  • XI2 now supports per-axis valuator modes on input devices, for example, relative events on the X axis but absolute events on the Y axis.
  • The XFixes and Composite extensions now work in Xinerama multi-GPU setups.

3.9.2. Intel

The Intel graphics driver has been updated from 2.12.0 to 2.14.0. Highlights include:
  • Adds support for Sandybridge GPUs.
  • Adds support for interlaced video modes.

3.9.3. Radeon

The Radeon graphics driver has been updated from 6.13.0 to 6.14.0. Highlights include:
  • Adds support for media sync counters in OpenGL.
  • Adds page flipping support for KMS.
  • Adds accelerated 2D, video, and 3D for Evergreen GPUs.
  • Adds accelerated 2D and video for Northern Islands GPUs.

3.9.4. Nouveau

The Nouveau driver has been updated to the latest snapshot. Highlights include:
  • Adds accelerated 2D, video, and 3D for Fermi.
  • Adds support for media sync counters in OpenGL.

3.9.5. Mesa

Mesa has been updated from version 7.9 to a development snapshot of 7.11. In addition to the driver specific 3D support added it includes the following highlights:
  • Adds support for the OpenGL embedded subset via new packages mesa-libEGL and mesa-libGLES.
  • Software GL renderer has switched to gallium llvm backend for greatly enhanced feature set and performance.
  • Radeon 3D support for R600 and above is now gallium based.
  • Nouveau 3D driver is now installed by default.
  • DRI1-based drivers (everything but intel/nouveau/radeon/software) are split to mesa-dri-drivers-dri1 subpackage, and not installed by default.