Бета-выпуск Red Hat Enterprise Linux 10 и релиз RHEL 9.5

Компания Red Hat представила бета-версию дистрибутива Red Hat Enterprise Linux 10 и релиз Red Hat Enterprise Linux 9.5. Готовые установочные образы подготовлены для зарегистрированных пользователей Red Hat Customer Portal (для оценки функциональности также можно использовать iso-образы CentOS Stream 10 и CentOS Stream 9.5, а также бесплатные сборки RHEL для разработчиков). Репозитории с бинарными пакетами RHEL 10 доступны публично. Выпуски сформированы для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64 (ARM64). Релиз RHEL 10 ожидается в первой половине следующего года.

Ветка RHEL 10 использует в качестве основы пакетную базу CentOS Stream 10, который позиционируется как upstream-проект для RHEL, дающий возможность сторонним участникам контролировать подготовку пакетов для RHEL, предлагать свои изменения и влиять на принимаемые решения. В соответствии с 13-летним циклом поддержки дистрибутива RHEL 10 будет сопровождаться до 2035 года + 3 года расширенной платной поддержки. Обновления для RHEL 9 продолжат выпускаться до конца мая 2032 года, а RHEL 8 — 2029 года.

Исходные тексты rpm-пакетов RHEL 10 опубликованы для свободной загрузки. Пакеты RHEL 9.5 не размещены в публичном репозитории git.centos.org и предоставляются клиентам компании только через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных, что не позволяет использовать эти пакеты для создания производных дистрибутивов. Исходные тексты RHEL 9.5 остаются доступны в репозитории CentOS Stream, но он полностью не синхронизирован с RHEL и в нём не всегда самые свежие версии пакетов совпадают с пакетами из RHEL. Rocky Linux, Oracle и SUSE воспроизводят исходные тексты rpm-пакетов релизов RHEL в рамках проекта OpenELA.

Основные изменения в RHEL 10:

• При создании новых пользователей через интерфейс инсталлятора Anaconda, данным пользователям по умолчанию предоставляются права администратора (для отключения данного поведения доступна специальная настройка). В инсталляторе также предложен новый интерфейс для выбора часового пояса. Для удалённого доступа к инсталлятору задействован протокол RDP вместо VNC.
• Добавлена поддержка алгоритмов шифрования, стойких к подбору на квантовом компьютере. Данные алгоритмы доступны в OpenSSL, OpenSSH и в системных криптографических политиках (crypto-policies). В OpenSSL добавлена возможность создания файлов с сертификатами и ключами в формате PKCS #12, соответствующих требованиям FIPS. Вместо движка openssl-pkcs11 задействован pkcs11-provider, позволяющий использовать аппаратные ключи в apache httpd, libssh, bind и других приложениях, использующих OpenSSL. Права доступа к хостовым ключам SSH изменены с 0640 на 0600 (доступ только владельцу). В GnuTLS добавлена поддержка сжатия сертификатов методами zlib, brotli и zstd.
• В дополнение к GnuPG в состав включён инструментарий командной строки Sequoia (утилиты sq и sqv) с реализацией стандарта OpenPGP (RFC-4880) на языке Rust.
• В пакетном менеджере DNF по умолчанию отключена загрузка метаданных со списками файлов, входящих в пакеты (filelist). Подобные данные редко используются, но имеют большой размер и замедляют работу. Для работы с PGP в DNF и RPM задействована библиотека rpm-sequoia.
• Обновлены версии пакетов для разработчиков: GCC 14.2, LLVM 18.1.8, Python 3.12, Ruby 3.3, OpenJDK 21, Rust 1.79.0, Go 1.22, Node.js 22, Perl 5.40, PHP 8.3, Git 2.45, Subversion 1.14, SystemTap 5.1, Valgrind 3.23.0.
• Обновлены серверные пакеты: OpenSSH 9.8, nginx 1.26, Apache HTTPD 2.4.62, Varnish Cache 7.4, Squid 6.10, MariaDB 10.11, MySQL 8.4, PostgreSQL 16, PCP 6.3.0, Grafana 10.2.6, libreswan 4.15, Pacemaker 2.1.8, 389-ds-base 3.0.4, Podman 5.0.
• Обновлены системные пакеты: ядро Linux 6.11, glibc 2.39, binutils 2.41, NSS 3.101, gnutls 3.8.7, polkit 125.
• Добавлены новые пакеты tuned-ppd (вместо power-profiles-daemon), libcpuid и dnsconfd (фоновый процесс для кэширования DNS). В связи с переводом кодовой базы СУБД Redis на проприетарную лицензию вместо Redis предложен форк Valkey. Вместо DHCP-сервера ISC DHCP задействован Kea DHCP. Вместо zlib задействован пакет zlib-ng-compat.
• По умолчанию включён режим предсказуемого выбора имён для сетевых интерфейсов (net.ifnames=1). В NetworkManager для IPv4 включён механизм определения дублирования IP-адресов DAD (Duplicate Address Detection) для предотвращения присвоения одного и того же IP на разных системах в локальной сети.
• В дисковых образах (например, в системных образах для AWS и KVM) прекращено использование отдельного раздела /boot.
• Добавлена экспериментальная поддержка файловой системы Сomposefs, реализованной в виде надстройки над ФС OverlayFS и EROFS, и оптимизированной для эффективного совместного хранения содержимого нескольких примонтированных дисковых образов.
• Предоставлена экспериментальная (Technology Preview) поддержка AMD SEV, SEV-SNP и SEV-ES в гипервизоре KVM.
• Работающий в пространстве пользователя инструментарий SELinux (libsepol, libselinux, libsemanage, policycoreutils, checkpolicy, mcstrans) обновлён до версии 3.7, в которой реализован параметр «audit2allow -C» для вывода в формате CIL (Common Intermediate Language). В утилиту sandbox добавлена поддержка протокола Wayland.
• В компоненте Keylime добавлена поддержка идентификации устройств через IDevID (Initial Device Identity) и IAK (Initial Attestation Key), и по умолчанию задействован протокол TLS 1.3.
• В web-консоли предложен новый файловый менеджер (пакет cockpit-files), позволяющий управлять файлами и каталогами.
• В сервере печати CUPS по умолчанию отключена работа в режимах mDNS и broadcast, задействованных в недавно выявленных удалённо эксплуатируемых уязвимостях.
• В glibc включены варианты функций memcpy и memmove, оптимизированные для процессоров AMD Zen 3 и Zen 4.
• Осуществлён переход на поставку Firefox и Thunderbird в пакетах в формате Flatpak.
• В классическом сеансе GNOME добавлен обзорный режим для просмотра открытых окон, который ранее был доступен только в стандартном сеансе GNOME.
• Добавлено большое число новых драйверов, среди которых драйверы для встроенного в процессоры Intel ускорителя QAT (QuickAssist Technology), предлагающего средства для ускорения вычислений, используемых при сжатии и шифровании.
• Прекращена поставка пакетов: sendmail (рекомендовано перейти на postfix), redis, dhcp, dhcp-client, mod_security (вынесен в EPEL), spamassassin (вынесен в EPEL), xsane, runc.
• Объявлены устаревшими пакеты squashfs и wget, а также интерфейсы utmp и utmpx в glibc.

Основные изменения в RHEL 9.5:

• Обновлены пакеты для разработчиков: GCC 11.5, Node.js 22, GCC Toolset 14, LLVM Toolset 18.1.8, Rust Toolset 1.79.0, Go Toolset 1.22, OpenJDK 17, GDB 14.2, Valgrind 3.23.0, SystemTap 5.1, elfutils 0.191, libabigail 2.5.
• Обновлены версии системных пакетов: OpenSSL 3.2.2, NSS 3.101, clevis 20, ipa 4.12.0, Podman 5.0.
• Обновлены серверные пакеты: Apache HTTPD 2.4.62, BIND 9.18, PCP 6.2.2, Grafana 10.2.6, libreswan 4.15, PostgreSQL 16, samba 4.20.2.
• Добавлена новая системная роль для управления и настройки sudo. В роль snapshot добавлена поддержка управления снапшотами в пуле LVM. Расширены возможности ролей postfix, podman, ssh, network, nbde_client, journald, logging и storage.
• Под защиту SELinux переведены сервисы nbdkit и bootupd. Добавлена поддержка выполнения команд под защитой SELinux через QEMU Guest Agent.
• Добавлена поддержка live-миграции виртуальных машин, в которые проброшены vGPU NVIDIA.
• Для web-консоли предложен пакет cockpit-files с реализацией файлового менеджера.
• В NetworkManager добавлена поддержка подключения к IPsec VPN с использованием адресов IPv6.
• Разрешено одновременное использование сервисов firewalld и nftables.
• Добавлена поддержка файловой системы Composefs.
• При сборке CPython в GCC включён режим оптимизации «-O3», что позволило повысить производительность Python примерно на 4%.
• Для Glibc реализован режим «GLIBC_TUNABLES=glibc.cpu.prefer_map_32bit_exec=1», включающий размещение динамических объектов в адресном пространстве не случайным образом, а вплотную друг к другу, что позволяет в некоторых конфигурациях добиться повышения производительности ценой снижения ASLR-защиты. В glibc включены варианты функций memcpy и memmove, оптимизированные для процессоров AMD Zen 3 и Zen 4.
• Реализация подсистемы eBPF синхронизирована с ядром Linux 6.8 (в прошлом выпуске использовалась реализация eBPF из ядра Linux 6.6).
• Для файловой системы tmpfs, обычно используемой для раздела /tmp, реализована поддержка дисковых квот.
• В OpenSSL добавлена экспериментальная поддержка протокола QUIC на стороне клиента.
• Добавлена экспериментальная поддержка offload-режима для выноса операций инкапсуляции UDP-пакетов в IPsec на сторону сетевой карты.
• Добавлена экспериментальная поддержка HSM (Hardware Security Module).
• Добавлена экспериментальная возможность использования БД LMDB в Directory Server.
• В Identity Management добавлена экспериментальная команда ipa-migrate для миграции данных на другой сервер IdM.
• Продолжено предоставление экспериментальной (Technology Preview) поддержки:
  • VPN WireGuard,
  • kTLS (TLS на уровне ядра),
  • интерфейса асинхронного ввода/вывода io_uring,
  • DAX (Direct Access) для ext4 и XFS,
  • AMD SEV и SEV-ES в гипервизоре KVM,
  • сервиса systemd-resolved,
  • механизма Sigstore для верификации контейнеров по цифровым подписям,
  • протоколов PRP (Parallel Redundancy Protocol) и HSR (High-availability Seamless Redundancy),
  • аппаратного ускорения IPsec через вынос операций инкапсуляции пакетов на сторону сетевой карты,
  • протокола управления сертификатами ACME, применяемого в Let’s Encrypt,
  • SRv6 (Segment Routing over IPv6,
  • пакета с графическим редактором GIMP 2.99.8,
  • настройки MPTCP (Multipath TCP) через NetworkManager,
  • DNSSEC в IdM,
  • virtio-mem,
  • Socket API для TuneD,
  • Soft-iWARP (Internet Wide-area RDMA Protocol),
  • GNOME для ARM64 и IBM Z.
• Объявлены устаревшими пакеты libgcrypt и pam_ssh_agent_auth.
• Из поставки удалён X.org Server и связанные с ним компоненты (в примечании к тестовому выпуску об этом не упомянуто, но это изменение было в планах). Возможность запуска X11-приложений в сеансе Wayland обеспечивается при помощи DDX-сервера XWayland.
• Звуковой сервер PulseAudio заменён на пакет PipeWire. Удалены пакеты TigerVNC, Totem, power-profiles-daemon, gedit, gtkmm, WebKitGTK, Evolution, Festival, Eye of GNOME, Cheese, Tweaks и Qt5 (оставлен только Qt 6).
  
  Источник: opennet.ru