Релиз дистрибутива Red Hat Enterprise Linux 8.10

Следом за выпуском Red Hat Enterprise Linux 9.4 опубликовано обновление прошлой ветки Red Hat Enterprise Linux 8.10, которая сопровождается параллельно с веткой RHEL 9.x и будет поддерживаться как минимум до 2029 года. Установочные сборки подготовлены для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64, но доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal (также можно использовать iso-образы CentOS Stream 9 и бесплатные сборки RHEL для разработчиков).

Подготовка новых выпусков Red Hat Enterprise Linux 8.x осуществляется в соответствии с циклом разработки, подразумевающим формирование релизов раз в полгода в заранее определённое время. RHEL 8.10 стал последним выпуском в ветке 8.x, сформированным на стадии полной поддержки, подразумевающей включение функциональных улучшений. 31 мая 2024 года ветка 8.x будет переведена на стадию сопровождения, на которой приоритеты сместятся в сторону исправления ошибок и безопасности, с внесением незначительных улучшений, связанных с поддержкой важных аппаратных систем.

Как и в случае с веткой RHEL 9 исходные тексты rpm-пакетов RHEL 8 теперь не распространяются публично через Git-репозиторий CentOS, но остаются доступны клиентам компании через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных. Исходные тексты можно найти в репозитории CentOS Stream, но он полностью не синхронизирован с RHEL и в нём не всегда самые свежие версии пакетов совпадают с пакетами из RHEL. Rocky Linux, Oracle и SUSE объединили усилия и воспроизводят исходные тексты rpm-пакетов релизов RHEL в рамках проекта OpenELA. AlmaLinux перешёл на использование репозитория CentOS Stream и допускает наличие незначительных расхождений в поведении (может отличаться на уровне отдельных патчей), но сохраняет бинарную совместимость на уровне ABI.

Ключевые изменения:

• В состав включены новые версии компиляторов и инструментов для разработчиков: GCC Toolset 13, LLVM Toolset 17.0.6, Rust Toolset 1.75.0, Go Toolset 1.21.0, Python 3.12, Ruby 3.3, PHP 8.2, Git 2.43.0, Git LFS 3.4.1, elfutils 0.190, valgrind 3.22, Ant 1.10.9, cmake 3.26.
• Обновлены серверные и системные пакеты: nginx 1.24, samba 4.19.4, PostgreSQL 16, MariaDB 10.11, chrony 4.5, libkcapi 1.4.0, stunnel 5.71, SSG 0.1.72, Apache Kafka (librdkafka) 1.6.1, audit 3.1.2, openCryptoki 3.22.0, linuxptp 4.2, nispor 1.2.10, rteval 3.7, ipa 4.9.13, 389-ds-base 1.4.3.39, Podman 4.9.
• Обеспечена полная поддержка технологии создания изолированных анклавов Intel SGX (Software Guard Extensions). Поддерживаются версии SGX 1 и 2, позволяющие использовать механизмы FLC (Flexible Launch Control) и EDMM (Enclave Dynamic Memory Management) для изменения прав доступа к отдельным страницам памяти анклава, динамического добавления/удаления страниц памяти к анклаву и расширения анклава.
• Стабилизирован драйвер IDXD (Data Streaming Accelerator) для задействования ускорителей передачи данных, встроенных в CPU Intel.
• В загрузчик GRUB и прослойку shim добавлена возможность применения механизмов защиты памяти DEP (Data Execution Prevention), NX (No Execute) и XD (Execute Disable) для запрета исполнения инструкций в определённых областях памяти на стадии до начала загрузки системы. Добавлена поддержка аппаратной изоляции виртуальных машин (VMs Trust Domains) при помощи технологии Intel Trust Domain Extension (Intel TDX).
• Добавлена поддержка хэширования паролей с использованием алгоритма bcrypt.
• В сборщике образов RHEL предоставлена возможность указания произвольных точек монтирования и создания различных режимов разбивки на разделы (auto-lvm, lvm, raw).
• В OpenSSL реализована защита от атак по расшифровке RSA на основе измерения времени операций, использующих варианты метода Блейхенбахера.
• В IdM (Identity Management) реализована возможность аутентификации пользователей через внешние провайдеры (IdPs), поддерживающие протокол OAuth 2 (Device Authorization Grant).
• Добавлена экспериментальная команда «podman build farm» для создания образов контейнеров сразу для нескольких архитектур. В Podman добавлена полная поддержка бэкенда на базе SQLite и предоставлена возможность использования модулей containers.conf для выборочной загрузки настроек. В Containerfile разрешены многострочные инструкции HereDoc. Объявлен устаревшим сетевой стек CNI (Container Network Interface). При помощи команды «podman machine» реализована возможность проброса USB-устройств в виртуальные машины QEMU.
• В утилиту ss, входящую в пакет iproute2, добавлена опция «—bound-inactive» для отображения неактивных сетевых сокетов TCP, которые прикреплены к IP-адресу и сетевому порту (выполнен вызов bind), но не соединены (вызов connect) или не переведены в режим ожидания соединения (вызов listen).
• В multipathd добавлена поддержка обработки событий FPIN-Li (Fabric Performance Impact Notification) для оптимизации доступа к накопителям NVMe.
• Добавлен пакет grafana-selinux для запуска grafana с защитой SELinux.
• Утилита rtla обновлена до состояния, соответствующего ядру Linux 6.6. Добавлена опция «rtla -C» для прикрепления к потокам дополнительных cgroup.
• В утилиту rteval добавлена возможность использования префиксов «+» и «-» для прикрепления и открепления ядер CPU из списка отслеживаемых ядер (measurement-cpulist).
• В web console упрощено управление хранилищами и изменение размера разделов. Добавлена поддержка генерации shell-скриптов и сценариев Ansible для настройки kdump. Для подключения к виртуальным машинам вместо протокола SPICE задействован VNC. В секции Virtual Machines реализована возможность добавления открытых ключей SSH и подключения уже отформатированных блочных устройств.
• Добавлены новые системные роли: bootloader для управления загрузчиком и ядром; fapolicyd для настройки fapolicyd; snapshot для правления снапшотами LVM. В роль sshd добавлена возможность аутентификации по сертификатам.
• Добавлена поддержка миграции виртуальных машин в режиме Multi-FD (multiple file descriptors), при котором при переносе виртуальной машины устанавливается несколько параллельных соединений, что позволяет ускорить передачу данных при наличии высокоскоростного сетевого соединения (20 Gbps и выше).
• Продолжено предоставление экспериментальной (Technology Preview) поддержки AF_XDP, XDP hardware offloading, Multipath TCP (MPTCP), MPLS (Multi-protocol Label Switching), dracut, kexec fast reboot, nispor, DAX в ext4 и xfs, systemd-resolved, accel-config, igc, OverlayFS, Stratis, NVMe/TCP, DNSSEC, GNOME на системах ARM64 и IBM Z, AMD SEV для KVM, Intel vGPU, Toolbox.

Источник: opennet.ru