ProHoster > блог > Навіны інтэрнэту > Рэліз дыстрыбутыва Red Hat Enterprise Linux 9.3

Рэліз дыстрыбутыва Red Hat Enterprise Linux 9.3

Кампанія Red Hat апублікавала рэліз дыстрыбутыва Red Hat Enterprise Linux 9.3 (новае адгалінаванне было анансавана на мінулым тыдні, але нататкі да рэлізу былі размешчаны толькі ўчора, а да гэтага на сайце заставаўся прыкмета бэта-версіі). Абнаўленне мінулай веткі RHEL 8.9 чакаецца 15 лістапада. Гатовыя ўсталявальныя выявы даступныя для зарэгістраваных карыстачоў Red Hat Customer Portal (для адзнакі функцыянальнасці таксама можна выкарыстоўваць iso-вобразы CentOS Stream 9 і бясплатныя зборкі RHEL для распрацоўшчыкаў). Выпуск сфарміраваны для архітэктур x86_64, s390x (IBM System z), ppc64le і Aarch64 (ARM64).

Ветка RHEL 9 развіваецца з больш адкрытым працэсам распрацоўкі і выкарыстоўвае ў якасці асновы пакетную базу. CentOS Струмень 9. CentOS Stream пазіцыянуецца як upstream-праект для RHEL, які дае магчымасць іншым удзельнікам кантраляваць падрыхтоўку пакетаў для RHEL, прапаноўваць свае змены і ўплываць на прыманыя рашэнні. У адпаведнасці з 10-гадовым цыклам падтрымкі дыстрыбутыва RHEL 9 будзе суправаджацца да 2032 года.

RHEL 9.3 стаў першым выпускам, зыходныя тэксты rpm-пакетаў якога не змешчаны ў публічным рэпазітары git.centos.org і прадастаўляюцца кліентам кампаніі толькі праз закрытую частку сайта, на якім дзейнічае карыстацкая дамова (EULA), якое забараняе рэдыстрыбуцыю дадзеных, што не дазваляе выкарыстоўваць гэтыя пакеты для стварэння вытворных дыстрыбутываў. Зыходныя тэксты застаюцца даступныя ў рэпазітары CentOS Stream, але ён цалкам не сінхранізаваны з RHEL і ў ім не заўсёды самыя свежыя версіі пакетаў супадаюць з пакетамі з RHEL. Rocky Linux, Oracle і SUSE аб'ядналі намаганні і зараз прайграваюць зыходныя тэксты rpm-пакетаў рэлізаў RHEL у рамках праекту OpenELA.

Ключавыя змены ў RHEL 9.3:

  • У склад уключаны новыя версіі кампілятараў і інструментаў для распрацоўшчыкаў: GCC Toolset 13, LLVM Toolset 16.0.6, Rust Toolset 1.71.1, Go Toolset 1.20.10, GCC 11.4.1 (сістэмны кампілятар), Redis 7, Node.js java-20-openjdk (таксама працягваюць пастаўляцца java-21-openjdk, java-17-openjdk і java-11-openjdk), Valgrind 1.8.0, SystemTap 3.21, elfutils 4.9, PCP 0.189, Grafa
  • Абноўлены серверныя і сістэмныя пакеты: samba 4.18.6, iproute 6.2.0, Apache httpd 2.4.57 (+ дададзены модуль mod_authnz_fcgi), SEtools 4.4.3, OpenSCAP 1.3.8, opencryptoki 3.21.0, Network 1.44. .1.4.0, perf 6.2, dmpd 1.0.2, nvme-cli 2.4, Pacemaker 2.1.6, 389-ds-base 2.3.4.
  • У пакетны мэнэджар DNF дададзена каманда «reboot» для аўтаматычнай перазагрузкі пасля завяршэння абнаўлення. Даступныя наступныя рэжымы: "never" (па змаўчанні) - без перазагрузкі, "when-changed" - перазагрузка пасля любога абнаўлення (dnf upgrade) і "when-needed" - перазагрузка, толькі калі таго патрабуюць устаноўленыя змены (напрыклад, пасля ўстаноўкі абнаўлення ядры ці systemd). Для выключэння замест перазагрузкі прадугледжаны параметр "poweroff".
  • У DNF дададзены новыя плагіны: "dnf leaves" для паказу ўсіх усталяваных пакетаў, якія не з'яўляюцца залежнасцямі для іншых пакетаў; "show-leaves" для паказу нядаўна ўсталяваных падобных пакетаў ці пакетаў, якія перасталі выкарыстоўвацца як залежнасці пасля транзакцыі.
  • Са свежай версіі ядра Linux перанесены рэалізацыі пратаколаў SCTP (Stream Control Transmission Protocol) і MPTCP (Multipath TCP).
  • На платформе ARM64 рэалізавана поўная падтрымка камер з інтэрфейсам USB, бесправадных адаптараў (Wi-Fi) і Bluetooth.
  • Забяспечана поўная падтрымка дыскрэтных відэакартай Intel Arc A-Series (Alchemist або DG2).
  • Рэалізацыя падсістэмы eBPF сінхранізаваная з ядром Linux 6.3.
  • Дададзены інструментар Stratis для кіравання лакальнымі назапашвальнікамі, які прадстаўляе такія магчымасці, як дынамічнае вылучэнне месца ў сховішча, снапшоты, забеспячэнне цэласнасці і стварэнне пластоў для кэшавання.
  • У systemd-udevd унесены змены, якія дазваляюць прызначаць не якія змяняюцца імёны для сеткавых інтэрфейсаў InfiniBand.
  • У Postfix рэалізавана магчымасць праверкі DNS-запісаў SRV для вызначэння хаста і порта паштовага сервера, які будзе выкарыстаны для перадачы паведамленняў. Прапанаваную магчымасць можна выкарыстоўваць у інфраструктурах, у якіх для дастаўкі паштовых паведамлення выкарыстоўваюцца сэрвісы з дынамічна выдзяляюцца нумарамі сеткавых партоў.
  • У пакет cups-filters дададзены драйвер LF-to-CRLF, які можна выкарыстоўваць для пераўтварэння знакаў "\n" (пераклад радка) у "\r\n" (вяртанне карэткі і пераклад радка) для друкарак, якія падтрымліваюць толькі апрацоўку файлаў з канцом радкі "\r\n".
  • У FUSE3 дададзена магчымасць анулявання элемента каталога без аўтаматычнага адмантавання кропак мантавання, звязаных з гэтым элементам.
  • У NetworkManager дададзеная падтрымка опцыі "no-aaaa" у resolv.conf, якая адключае адпраўку DNS-запытаў запісаў AAAA (вызначэнне адрасы IPv6 па імі хаста). Дададзена падтрымка опцыі "lacp_active" для кіравання апрацоўкай кадраў LACPDU (Link Aggregation Control Protocol Data Units). Рэалізаваны перазапуск NetworkManager пасля перазапуску сэрвісу dbus. Забяспечаны вывад апавяшчэння ў выпадку выкарыстанне для профіляў злучэнняў старога фармату канфігурацыі ifcfg. Дададзена падтрымка ўласцівасцяў: link.tx-queue-length, link.gro-max-size, link.gso-max-segments і link.gso-max-size.
  • Для аднаго і таго ж сеткавага інтэрфейсу ў NetworkManager дазволена выкарыстанне як статычных, так і дынамічных (DHCP) налад, напрыклад, утылітай nmstate можна выставіць статычны адрас для інтэрфейсу, на якім уключаная падтрымка DHCP. У nmstate дазволена прывязка налад да сеткавага інтэрфейсу па MAC-адрасу, замест імя інтэрфейсу.
  • Пашырана падтрымка абсталявання. Дададзена падтрымка CPU ARM64 NVIDIA Grace. З ядра Linux 6.2 перанесены драйвер Intel QAT з падтрымкай прылад Intel Quick Assist Technology 401xx/402xx.
  • Для абароны ад нападаў Spectre v2, злучаных са спекулятыўным выкананнем інструкцый, дададзены рэжым AutoIBRS (Automatic Indirect Branch Restricted Speculation), які падтрымліваецца ў CPU AMD, пачынальна з сямейства EPYC 9004 Genoa.
  • Для кантэйнераў прадстаўлена магчымасць выкарыстання віртуальных чыпаў для захоўвання крыптаграфічных ключоў (vTPM), якія рэалізуюцца на базе агульнага фізічнага TPM (Trusted Platform Module).
  • У LVM дададзеная падтрымка лагічных частак vmcore для дампаў ядра, якiя ствараюцца падсістэмай kdump.
  • Ва ўсталявальныя зборкі дададзены параметр "inst.wait_for_disks", які задае час чакання загрузкі kickstart-файла або гатовасці драйвераў падчас загрузкі.
  • Ва ўсталёўніку пры ўсталёўцы на сістэмы ARM прадстаўлена магчымасць выбару варыянту ўсталёўванага ядра (напрыклад, з 64 Кб старонкамі памяці). З мінімальнага рэжыму ўсталёўкі выключаны пакет s390utils-base і пакінуты толькі s390utils-core.
  • У зборшчыку выяў RHEL дададзена магчымасць генерацыі файлаў у фармаце OVA для VMware VSphere.
  • У kickstart-файлы ў каманду network дададзены новыя опцыі "-ipv4-dns-search" і "-ipv6-dns-search" для задання базавых даменаў для дырэктывы "search" у /etc/resolv.conf, а таксама опцыі "-ipv4 -ignore-auto-dns» і «-ipv6-ignore-auto-dns» для ігнаравання атрымання настроек DNS праз DHCP.
  • Палепшана падтрымка TLS-пашырэння EMS (Extended Master Secret, RFC 7627, неабходнага для забеспячэння выканання патрабаванняў FIPS-140-3 у злучэннях на базе TLS 1.2).
  • У OpenSSH пачалося збавенне ад выкарыстання алгарытмаў на базе хэшаў SHA-1 у карысць SHA-2. Калі на серверы адсутнічаюць ключы на ​​базе SHA-1 у sshd зараз будзе выкарыстоўваць толькі SHA-2 для пацверджання хотстовых ключоў, што можа прывесці да несумяшчальнасці з кліентамі RHEL 8 і больш старых выпускаў.
  • У OpenSSL дададзеная падтрымка налады параметраў абароненых эліптычных крывых Brainpool і рэалізаваная абарона ад нападаў па расшыфроўцы RSA на аснове вымярэння часу аперацый, якія выкарыстоўваюць варыянты метаду Блейхенбахера.
  • У RPCSEC GSS Kerberos V5 дададзеная падтрымка метадаў шыфравання camellia128-cts-cmac, camellia256-cts-cmac, aes128-cts-hmac-sha256-128 і aes256-cts-hmac-sha384-192.
  • У сродкі аўдыту дададзена падтрымка падзей FANOTIFY і рэалізавана захаванне ў логу палёў fan_type (тып падзеі), fan_info (звязаная інфармацыя), sub_trust і obj_trust (узроўні даверу для суб'екта і аб'екта падзеі). У сэрвіс fapolicyd для спрашчэння адладкі праблем дададзена перадача нумароў правілаў для адхіленых зваротаў да API fanotify.
  • Дададзена сістэмная роля для інструментара keylime, якая спрашчае наладу рэгістратара і верыфікатара Keylime, які ўжываецца для пацверджання сапраўднасці і бесперапыннага адсочвання цэласнасці знешняй сістэмы. Напрыклад, можна пераканацца ў сапраўднасці Edge-і IoT-прылад, змешчаных у непадкантрольным месцы, у якім магчымы несанкцыянаваны доступ. Задзейнічаны новы выпуск keylime 7.3.
  • Дададзена сістэмная роля для кіравання юнітамі systemd і іх усталёўкі. Дададзена сістэмная роля для ўстаноўкі, наладкі, кіравання і запуску СКБД PostgreSQL. У сістэмную ролю firewall дададзена падтрымка азначэння, змены і выдаленні ipset-ов.
  • У SELinux дададзена опцыя virt_qemu_ga_run_unconfined, якая дазваляе працэсу qemu-ga (QEMU Guest Agent) выконваць у неабароненым рэжыме (дамен unconfined_t) каманды, такія як mount, першапачаткова абмежаваныя праз SELinux. Дададзеныя палітыкі SELinux для абароны сэрвісаў qat, systemd-pstore, boothd, fdo-manufacturing-server, fdo-rendezvous-server, fdo-client-linuxapp і fdo-owner-onboarding-server.
  • Дададзена падтрымка сродкаў віртуалізацыі 4 пакаленні працэсараў Intel Xeon Scalable (Sapphire Rapids), што дазваляе выкарыстоўваць у віртуальных машынах мадэль CPU SapphireRapids і задзейнічаць даступныя ў дадзеных працэсарах пашыраныя магчымасці віртуалізацыі.
  • У Podman дададзена падтрымка кантэйнераў, сціснутых з выкарыстаннем алгарытму zstd. Дададзена магчымасць выкарыстання Quadlets для аўтаматычнай генерацыі сэрвісаў systemd з апісанняў кантэйнераў. Дададзена абалонка podmansh, якую можна выкарыстоўваць замест /usr/bin/bash для запуску сеансу карыстальніка ў кантэйнеры. Абноўлены версіі Podman, Buildah, Skopeo, crun і runc.
  • Дададзены новыя параметры каманднага радка ядра:
    • amd_pstate для кіравання рэжымаў энергаспажывання CPU AMD;
    • arm64.nosve для адключэння SVE (Scalable Vector Extension);
    • arm64.nosme для адключэння SME (Scalable Matrix Extension);
    • gather_data_sampling для кіравання рэжымам абароны ад нападаў GDS (Gather Data Sampling ці Downfall);
    • nospectre_bhb для адключэння абароны Spectre-BHB;
    • trace_clock для выстаўлення таймера падзей трасіроўкі.
  • Пашыраны магчымасці для кластараў і адмоваўстойлівых сістэм: У агент LVM-activate дададзена падтрымка замены (failover) груп частак, у якіх адсутнічаюць фізічныя часткі. У агенты рэсурсаў кластара IPaddr2 і IPsrcaddr дададзена падтрымка policy routing. У агент ocf:heartbeat:Filesystem дададзена падтрымка ФС EFS (Amazon Elastic File System).
  • Дададзены новыя выявы кантэйнераў з наладамі FDO (FIDO Device Onboard): fdo-manufacturing-server, fdo-owner-onboarding-server, fdo-rendezvous-server і fdo-serviceinfo-api-server. Дададзена новая выява кантэйнера rhel9/squid з проксі-серверам Squid. У рэдакцыі "RHEL for Edge" рэалізавана падтрымка новых тыпаў выяў "minimal-raw", "edge-vsphere" (*.vmdk) і "edge-ami" (*.ami).
  • У AMI-вобразы для хмарных асяродкаў AWS EC2 дададзена падтрымка загрузкі ў рэжыме UEFI.
  • Для працы са смарткартамі і USB-токена CCID (Chip Card Interface Device) і ICCD (Integrated Circuit Card Device) задзейнічаны новы выпуск драйвера pcsc-lite-ccid 1.5.2, у якім вырашаны праблемы з кантролерам Alcor Micro AU9560 і дададзена падтрымка новых рыдэраў смарт-карт.
  • Абвешчаныя састарэлымі пакеты initial-setup і pmdk (Persistent Memory Development Kit).
  • Дададзена эксперыментальная падтрымка пратаколаў PRP (Parallel Redundancy Protocol) і HSR (High-availability Seamless Redundancy).
  • Дададзена эксперыментальная магчымасць апаратнага паскарэння IPsec праз вынас аперацый інкапсуляцыі пакетаў на бок сеткавай карты.
  • Дададзена эксперыментальная падтрымка SRv6 (Segment Routing over IPv6).
  • Эксперыментальная рэалізацыя kTLS (TLS на ўзроўні ядра) сінхранізаваная з ярам 6.3. Дададзена падтрымка выкарыстання kTLS для паскарэння GnuTLS.
  • Дададзена эксперыментальная падтрымка інтэрфейсу асінхроннага ўводу/высновы io_uring, характэрнага падтрымкай полінга (polling) уводу/высновы і магчымасцю працы як з буферызацыяй, так і без буферызацыі. У API io_uring распрацоўнікі ядра паспрабавалі ўхіліць недахопы старога інтэрфейсу aio. Па прадукцыйнасці io_uring вельмі блізкі да SPDK і істотна апярэджвае libaio пры працы з уключаным полінг.
  • У IdM (Identity Management) дададзена эксперыментальная падтрымка пратакола кіравання сертыфікатамі ACME (Automated Certificate Management Environment), які ўжываецца ў які сведчыць цэнтры Let's Encrypt.
  • У Podman дададзена эксперыментальная магчымасць выкарыстання бэкенда захоўвання на базе SQLite (замест BoltDB).
  • Прадоўжана прадастаўленне эксперыментальнай (Technology Preview) падтрымкі:
    • VPN WireGuard,
    • Intel SGX (Software Guard Extensions),
    • Intel IDXD (Data Streaming Accelerator),
    • DAX (Direct Access) для ext4 і XFS,
    • AMD SEV і SEV-ES у гіпервізоры KVM,
    • сэрвісу systemd-resolved,
    • механізму Sigstore для верыфікацыі кантэйнераў па лічбавых подпісах,
    • пакета з графічным рэдактарам GIMP 2.99.8,
    • налады MPTCP (Multipath TCP) праз NetworkManager,
    • DNSSEC у IdM,
    • virtio-mem,
    • гіпервізара KVM для ARM64,
    • усталёўкі на NVMe па-над Fibre Channel,
    • Socket API для TuneD,
    • Soft-iWARP (Internet Wide-area RDMA Protocol),
    • GNOME для ARM64 і IBM Z.

    Крыніца: opennet.ru

    Купіць надзейны хостынг для сайтаў з абаронай ад DDoS, VPS VDS серверы 🔥 Купіць надзейны хостынг для сайтаў з абаронай ад DDoS, VPS VDS серверы | ProHoster