ProHoster > блог > Навіны інтэрнэту > Рэліз дыстрыбутыва Red Hat Enterprise Linux 9.1

Рэліз дыстрыбутыва Red Hat Enterprise Linux 9.1

Кампанія Red Hat апублікавала рэліз дыстрыбутыва Red Hat Enterprise Linux 9.1. Гатовыя ўсталявальныя выявы даступныя для зарэгістраваных карыстачоў Red Hat Customer Portal (для адзнакі функцыянальнасці таксама можна выкарыстоўваць iso-выявы CentOS Stream 9). Выпуск сфарміраваны для архітэктур x86_64, s390x (IBM System z), ppc64le і Aarch64 (ARM64). Зыходныя тэксты rpm-пакетаў Red Hat Enterprise Linux 9 размешчаны ў Git-рэпазітары CentOS.

Ветка RHEL 9 развіваецца з больш адчыненым працэсам распрацоўкі і выкарыстае ў якасці асновы пакетную базу CentOS Stream 9. CentOS Stream пазіцыянуецца як upstream-праект для RHEL, які дае магчымасць іншым удзельнікам кантраляваць падрыхтоўку пакетаў для RHEL, прапаноўваць свае змены і ўплываць на прыманыя рашэнні. У адпаведнасці з 10-гадовым цыклам падтрымкі дыстрыбутыва RHEL 9 будзе суправаджацца да 2032 года.

Ключавыя змены:

  • Абноўлены серверныя і сістэмныя пакеты: firewalld 1.1.1, chrony 4.2, unbound 1.16.2, frr 8.2.2, Apache httpd 2.4.53, opencryptoki 3.18.0, powerpc-utils 1.3.10, libvpd. 2.2.9, ppc1.7.14-diag 64, PCP 2.7, Grafana 5.3.7, samba 7.5.13.
  • У склад уключаны новыя версіі кампілятараў і інструментаў для распрацоўшчыкаў: GCC 11.2.1, GCC Toolset 12, LLVM Toolset 14.0.6, binutils 2.35.2, PHP 8.1, Ruby 3.1, Node.js 18, Rust Toolset 1.62. 1.18.2, Maven 3.8, java-17-openjdk (таксама працягваюць пастаўляцца java-11-openjdk і java-1.8.0-openjdk), .NET 7.0, GDB 10.2, Valgrind 3.19, SystemTap 4.7, Dyninst 12.1.0
  • У падсістэму eBPF (Berkeley Packet Filter) перанесены паляпшэнні, рэалізаваныя ў ядрах Linux 5.15 і 5.16. Напрыклад, для BPF-праграм рэалізавана магчымасць запыту і апрацоўкі падзей таймера, магчымасць атрымліваць і ўсталёўваць опцыі сокетаў для setsockopt, падтрымка выкліку функцый модуляў ядра, прапанавана імавернасная структура захоўвання дадзеных (BPF map) bloom filter, дададзена магчымасць прывязкі тэгаў да параметраў функцый.
  • Набор патчаў для сістэм рэальнага часу, які ўжываецца ў ядры kernel-rt, абноўлены да стану, які адпавядае ядру 5.15-rt.
  • Абноўлена рэалізацыя пратаколу MPTCP (MultiPath TCP), які ўжываецца для арганізацыі працы TCP-злучэнні з дастаўкай пакетаў адначасова па некалькіх маршрутам праз розныя сеткавыя інтэрфейсы. Змены перанесеныя з ядра Linux 5.19 (напрыклад, дададзеная падтрымка адкату злучэнняў MPTCP на звычайны TCP і прапанаваны API для кіравання струменямі MPTCP з прасторы карыстача).
  • На сістэмах з 64-разраднымі працэсарамі ARM, AMD і Intel прадстаўлена магчымасць змены працы рэжыму Real-Time у ядры падчас працы праз запіс назову рэжыму ў файл "/sys/kernel/debug/sched/preempt" або падчас загрузкі праз параметр ядра "preempt=" (падтрымліваюцца рэжымы none, voluntary і full).
  • Налады загрузніка GRUB зменены для ўтойвання загрузнага меню па змаўчанні, пры гэтым меню паказваецца, калі мінулая загрузка завяршылася памылкай. Для адлюстравання меню падчас загрузкі можна ўтрымліваць клавішу Shift ці перыядычна націскаць клавішы Esс або F8. Для адключэння ўтойвання можна скарыстацца камандай "grub2-editenv - unset menu_auto_hide".
  • У драйвер PTP (Precision Time Protocol) дададзена падтрымка стварэння віртуальных апаратных гадзін (PHC, PTP Hardware Clocks).
  • Дададзена каманда modulesync, якая загружае RPM-пакеты з модуляў і стварае ў працоўным каталогу рэпазітар з метададзенымі, неабходнымі для ўсталёўкі модульных пакетаў.
  • У tuned, сэрвісе для адсочвання стану сістэмы і аптымізацыі профіляў дасягнення максімальнай прадукцыйнасці улікам бягучай нагрузкі, прадстаўлена магчымасць выкарыстання пакета tuned-profiles-realtime для ізаляцыі ядраў CPU і прадастаўлення патокам дадатку ўсіх даступных рэсурсаў.
  • У NetworkManager рэалізаваны пераклад профіляў злучэнняў з фармату налад ifcfg (/etc/sysconfig/network-scripts/ifcfg-*) у фармат на аснове файла keyfile. Для міграцыі профіляў можна выкарыстоўваць каманду "nmcli connection migrate".
  • Інструментар SELinux абноўлены да выпуску 3.4, у якім падвышаная прадукцыйнасць паўторнай усталёўкі метак (relabel) за рахунак распаралельвання аперацый, ва ўтыліту semodule дададзеная опцыя «-m» («-checksum») для атрымання SHA256-хэшаў модуляў, mcstrans пераведзены на бібліятэку PCRE2. Дададзены новыя ўтыліты працы з палітыкамі доступу: sepol_check_access, sepol_compute_av, sepol_compute_member, sepol_compute_relabel, sepol_validate_transition. Дададзеныя палітыкі SELinux для абароны сэрвісаў ksm, nm-priv-helper, rhcd, stalld, systemd-network-generator, targetclid і wg-quick.
  • Дадзеная магчымасць выкарыстання кліента Clevis (clevis-luks-systemd) для аўтаматычнай разблакіроўкі дыскавых частак, зашыфраваных пры дапамозе LUKS і якія мантуюцца на познім этапе загрузкі, без неабходнасці выкарыстання каманды "systemctl enable clevis-luks-askpass.path".
  • Пашыраны магчымасці інструментара для падрыхтоўкі сістэмных выяў, у якім з'явілася падтрымка загрузкі выяў у GCP (Google Cloud Platform), памяшканні выявы напроста ў рэестр кантэйнераў, налады памеру часткі /boot і карэкціроўкі параметраў (Blueprint) падчас генерацыі выявы (напрыклад, даданне пакетаў і стварэнне карыстальнікаў).
  • Дададзена ўтыліта keylime для атэстацыі (пацверджання сапраўднасці і бесперапыннага адсочвання цэласнасці) знешняй сістэмы, выкарыстоўваючы тэхналогію TPM (Trusted Platform Module), напрыклад, каб пераканацца ў сапраўднасці Edge-і IoT-прылад, змешчаных у непадкантрольным месцы, у якім возможен доступ.
  • У рэдакцыі "RHEL for Edge" прадстаўлена магчымасць выкарыстання ўтыліты fdo-admin для налады сэрвісаў FDO (FIDO Device Onboard) і стварэння для іх сертыфікатаў і ключоў.
  • У SSSD (System Security Services Daemon) дададзеная падтрымка кэшавання SID-запытаў (напрыклад, праверкі GID/UID) у аператыўнай памяці, што дазволіла паскорыць аперацыі капіявання вялікай колькасці файлаў праз сервер Samba. Забяспечана падтрымка інтэграцыі з Windows Server 2022.
  • У OpenSSH мінімальны памер RSA-ключоў па змаўчанні абмежаваны 2048 бітамі, а ў бібліятэках NSS спыненая падтрымка ключоў RSA, памерам меней 1023 біт. Для наладкі ўласных абмежаванняў у OpenSSH дададзены параметр RequiredRSASize. Дададзена падтрымка метаду абмену ключамі [электронная пошта абаронена], устойлівага да ўзломаў на квантавых кампутарах
  • У інструментар ReaR (Relax-and-Recover) дададзена магчымасць выканання адвольных каманд да і пасля ўзнаўлення.
  • У драйверы для Ethernet-адаптараў Intel E800 рэалізавана падтрымка пратаколаў iWARP і RoCE.
  • Дададзены новы пакет httpd-core, у які перамешчаны базавы набор кампанентаў Apache httpd, дастатковы для запуску HTTP-сервера і злучаны з мінімальнай колькасцю залежнасцяў. У пакет httpd дададзены дадатковыя модулі, такія як mod_systemd і mod_brotli, а таксама ўключаная дакументацыя.
  • Дададзены новы пакет xmlstarlet, які ўключае ўтыліты для разбору, пераўтварэнні, праверкі, вымання дадзеных і рэдагаванні XML-файлаў, падобныя на grep, sed, awk, diff, patch і join, але не для тэкставых файлаў, а для XML.
  • Пашыраныя магчымасці сістэмных роляў, напрыклад, у ролю network дададзеная падтрымка налады правіл маршрутызацыі і выкарыстанні API nmstate, у ролю logging дададзеная падтрымка фільтрацыі па рэгулярных выразах (startmsg.regex, endmsg.regex), у ролю storage дададзеная падтрымка частак, для якіх дынамічна вылучаецца месца ў сховішча («thin provisioning»), у ролю sshd дададзена магчымасць кіравання праз /etc/ssh/sshd_config, у ролю metrics дададзены экспарт статыстыкі аб прадукцыйнасці Postfix, у ролі firewall рэалізавана магчымасць перазапісу мінулай канфігурацыі і прадстаўлена падтрымка дадання, абнаўленні і выдаленні сэрвісаў у залежнасці ад стану.
  • Абноўлены інструментар для кіравання ізаляванымі кантэйнерамі, які ўключае такія пакеты, як Podman, Buildah, Skopeo, crun і runc. Дададзена падтрымка GitLab Runner у кантэйнерах з runtime Podman. Для налады сеткавай падсістэмы кантэйнераў прадстаўлена ўтыліта netavark і DNS-сервер Aardvark.
  • У mdevctl дададзеная падтрымка каманды ap-check для налады пракіду ў віртуальныя машыны доступу да крыптаакселератараў.
  • Дададзена папярэдняя (Technology Preview) магчымасць аўтэнтыфікацыі карыстальнікаў з выкарыстаннем знешніх правайдэраў (IdP, identity provider), якія падтрымліваюць пашырэнне пратакола OAuth 2.0 "Device Authorization Grant" для прадастаўлення OAuth-токенаў доступу прыладам без выкарыстання браўзэра.
  • Для сеансу GNOME на базе Wayland прадстаўлены зборкі Firefox, якія выкарыстоўваюць Wayland. Зборкі на базе X11, выкананыя ў Wayland-акружэнні пры дапамозе кампанента XWayland, вынесены ў асобны пакет firefox-x11.
  • Сеанс на базе Wayland па змаўчанні актываваны для сістэм з GPU Matrox (раней Wayland не выкарыстоўваўся з GPU Matrox з-за абмежаванняў і праблем з прадукцыйнасцю, якія зараз вырашаны).
  • Реализована поддержка GPU, интегрированных в процессоры Intel Core 12-поколения, включая Intel Core i3 12100T — i9 12900KS, Intel Pentium Gold G7400 и G7400T, Intel Celeron G6900 и G6900T Intel Core i5-12450HX — i9-12950HX и Intel Core i3-1220P — i7-1280P. Дададзена падтрымка GPU AMD Radeon RX 6[345]00 і AMD Ryzen 5/7/9 6[689]00.
  • Для кіравання ўключэннем абароны ад уразлівасцяў у механізме MMIO (Memory Mapped Input Output) рэалізаваны загрузны параметр ядра "mmio_stale_data", які можа прымаць значэнні "full" (уключэнне чысткі буфераў пры пераходзе ў прастору карыстальніка і ў VM), "full, nosmt" ( як "full" + дадаткова адключаецца SMT/Hyper-Threads) і "off" (абарона адключаная).
  • Для кіравання ўключэннем абароны ад уразлівасці Retbleed рэалізаваны загрузны параметр ядра "retbleed", праз які можна адключыць абарону ("off") або абраць алгарытм блакавання ўразлівасці (auto, nosmt, ibpb, unret).
  • У загрузным параметры ядра acpi_sleep рэалізаваная падтрымка новых опцый для кіравання пераходам у спячы рэжым: s3_bios, s3_mode, s3_beep, s4_hwsig, s4_nohwsig, old_ordering, nonvs, sci_force_enable і nobl.
  • Дададзена вялікая порцыя новых драйвераў для сеткавых прылад, сістэм захоўвання і графічных чыпаў.
  • Прадоўжана прадастаўленне эксперыментальнай (Technology Preview) падтрымкі KTLS (рэалізацыя TLS на ўзроўні ядра), VPN WireGuard, Intel SGX (Software Guard Extensions), Intel IDXD (Data Streaming Accelerator), DAX (Direct Access) для ext4 і XFS, AMD SEV і SEV -ES у гіпервізоры KVM, сэрвісу systemd-resolved, мэнэджара сховішчаў Stratis, Sigstore для верыфікацыі кантэйнераў па лічбавых подпісах, пакета з графічным рэдактарам GIMP 2.99.8, налады MPTCP (Multipath TCP) праз NetworkManager, сервера ACME (Automated Certificate Management Environment) virtio-mem, гіпервізара KVM для ARM64.
  • Абвешчаны састарэлым тулкіт GTK 2 і злучаныя з ім пакеты adwaita-gtk2-theme, gnome-common, gtk2, gtk2-immodules і hexchat. Абвешчаны састарэлым X.org Server (па змаўчанні ў RHEL 9 прапануецца сеанс GNOME на базе Wayland), які плануюць выдаліць у наступнай значнай галінцы RHEL, але захаваць магчымасць запуску X11-прыкладанняў з сеансу Wayland пры дапамозе DDX-сервера XWayland.

Крыніца: opennet.ru

Дадаць каментар