Выпуск Red Hat Enterprise Linux 9.6

Следам за новай галінкай RHEL 10 кампанія Red Hat апублікавала рэліз дыстрыбутыва Red Hat Enterprise Linux 9.6. Гатовыя ўсталявальныя выявы даступныя для зарэгістраваных карыстачоў Red Hat Customer Portal (для адзнакі функцыянальнасці таксама можна выкарыстоўваць iso-вобразы CentOS Stream 9 і бясплатныя зборкі RHEL для распрацоўшчыкаў). Выпуск сфарміраваны для архітэктур x86_64, s390x (IBM System z), ppc64le і Aarch64 (ARM64). У адпаведнасці з 10-гадовым цыклам падтрымкі дыстрыбутыва RHEL 9 будзе суправаджацца да 2032 года.

Зыходныя тэксты rpm-пакетаў RHEL 9.6 прадастаўляюцца кліентам кампаніі толькі праз закрытую частку сайта, на якім дзейнічае карыстацкая дамова (EULA), якое забараняе рэдыстрыбуцыю дадзеных, што не дазваляе выкарыстоўваць гэтыя пакеты для стварэння вытворных дыстрыбутываў. Зыходныя тэксты застаюцца даступныя ў рэпазітары CentOS Stream, але ён не поўнасцю сінхранізаваны з RHEL і ў ім версіі пакетаў не заўсёды супадаюць з пакетамі з RHEL. Rocky Linux, Oracle і SUSE прайграваюць зыходныя тэксты rpm-пакетаў рэлізаў RHEL у рамках праекту OpenELA.

Ключавыя змены ў RHEL 9.6:

• Абноўлены пакеты для распрацоўшчыкаў: GCC 11.5, Node.js 22, mysql 8.4, PHP 8.3, GDB 14.2, Valgrind 3.24.0, SystemTap 5.2, elfutils 0.192, libabigail 2.6, GCC Toolset 14 Toolset 19.1.7, Go Toolset 1.84.1, Maven 1.23, Git 3.9.
• Абноўлены версіі сістэмных пакетаў: Rsyslog 8.2412.0, OpenSSL 3.2.2, NSS 3.101, nettle 3.10.1, OpenSCAP 1.3.12, Clevis 21, openCryptoki 3.24.0, libva 2.22.0, Build 1.39.0, Podman 1.18.0, NetworkManager 5.4, QEMU 1.52.0, libvirt 9.1.0,
• Абноўлены серверныя пакеты: Apache httpd 2.4.62, nginx 1.26, wpa_supplicant 2.11, xdp-tools 1.5.1, iproute2 6.11.0, PCP 6.3.2, Grafana 10.2.6, 389-2.6.1. 2.6.8.
• Дададзена падтрымка модуля Landlock, які прадстаўляе непрывілеяваным праграмам сродкі для абмежавання выкарыстання аб'ектаў ядра Linux, такіх як іерархіі файлаў, сеткавыя сокеты і ioctl. У адрозненне ад прастор імёнаў і фільтраванні сістэмных выклікаў ізаляванае асяроддзе фармуецца ядром Linux у форме дадатковага пласта над існымі сістэмнымі механізмамі кіравання доступам.
• Дададзена падтрымка файлавай сістэмы EROFS (Extendable Read-Only File System), прызначанай для выкарыстання на раздзелах, даступных у рэжыме толькі для чытання.
• Дададзена ўтыліта snapm (Snapshot Manager) для кіравання зрэзамі стану сістэмы (напрыклад, у выпадку праблем пасля ўсталёўкі абнаўлення можна адкаціць сістэму ў мінулае стан).
• Для новых карыстачоў, ствараных праз інтэрфейс усталёўніка Anaconda, па змаўчанні падаюцца правы адміністратара (для адключэння дадзеных паводзін даступная адмысловая налада). Ва ўсталёўніку таксама прапанаваны новы інтэрфейс для выбару гадзіннага пояса. Для выдаленага доступу да ўсталёўніка задзейнічаны пратакол RDP замест VNC.
• У кампаноўніку ld забяспечаны выснова папярэджанняў, калі прыкладанне выкарыстоўвае стэк, размешчаны ў вобласці памяці, якая дапускае выкананне кода.
• Дададзена падтрымка выкарыстання TLS для шыфравання службовага RPC-трафіку ў сеткавай файлавай сістэме NFS.
• Стабілізаваная падтрымка уніфікаваных выяў ядра UKI (Unified Kernel Image), генераваных у інфраструктуры дыстрыбутыва і завераных лічбавым подпісам дыстрыбутыва. Выява UKI аб'ядноўвае ў адным файле апрацоўшчык для загрузкі ядра з UEFI (UEFI boot stub), выява ядра Linux і загружанае ў памяць сістэмнае асяроддзе initrd. Пры выкліку выявы UKI з UEFI падаецца магчымасць праверкі цэласнасці і дакладнасці па лічбавым подпісе не толькі ядра, але і змесціва initrd, праверка дакладнасці якога важная, бо ў дадзеным асяроддзі ажыццяўляецца выманне ключоў для расшыфроўкі каранёвай ФС.
• Дададзена падтрымка файлавай сістэмы Composefs.
• У кліенце CIFS (Common Internet File System) рэалізавана магчымасць стварэння ў SMB-частках адмысловых файлаў, такіх як сімвалічныя спасылкі, unix-сокеты і найменныя каналы.
• Пашыраны магчымасць інструментара для стварэння ўласных загрузных вобразаў (image builder). Дададзена падтрымка стварэння дыскавых вобразаў са сваёй раскладкай раздзелаў і сваімі опцыямі мантавання. З'явілася магчымасць падстаноўкі Kickstart-файлаў пры зборцы iso-вобразаў. Для дыскавых выяў, для такіх сістэм як AWS і KVM, убрана стварэнне асобнай часткі /boot.
• Дададзеныя сістэмныя ролі для кіравання і налады sudo, адсочванні змен файлаў пры дапамозе пакета aide і кіраванні карыстацкімі unit-файламі systemd. У ролю metric дададзеная магчымасць выкарыстання СКБД Valkey замест Redis.
• Дадзеная магчымасць выкарыстання фрэймворка OpenTelemetry для назапашвання і адпраўкі логаў і дадзеных тэлеметрыі ў сістэмы аналітыкі, такія як AWS CloudWatch.
• Дададзена новая ўтыліта keylime-policy, якая прадстаўляе магчымасці для кіравання палітыкамі Keylime, якія ўжываюцца для пацверджання сапраўднасці і бесперапыннага адсочвання цэласнасці вонкавых сістэм.
• Пад абарону SELinux перакладзены сэрвісы iio-sensor-proxy, power-profiles-daemon, switcheroo-control і samba-bgqd. Дададзена падтрымка выканання каманд пад абаронай SELinux праз QEMU Guest Agent.
• Рэалізацыя падсістэмы eBPF сінхранізаваная з ядром Linux 6.12 (у мінулым выпуску выкарыстоўвалася рэалізацыя eBPF з ядра Linux 6.8). Рэалізацыя TPM_TIS (Trusted Platform Module Integration Services) сінхранізаваная з ядром 6.7, а kdump - з ядром 6.10.
• У Ethernet-драйвер ice дададзеная падтрымка сеткавага інтэрфейсу E825C, які ўжываецца ў платформе Intel Granite Rapids-D.
• У NetworkManager дададзеная падтрымка рэжыму FEC (Forward Error Correction). Дададзена падтрымка аўтаматычнага дадання маршрутаў да DNS-сервераў, выкарыстоўваючы ўласцівасці "ipv4.routed-dns" і "ipv6.routed-dns". Адключаная па змаўчанні адпраўка праз DHCP імя хаста (параметр ipv4.dhcp-send-hostname выстаўлены ў значэнне false). Дададзена падтрымка DHCPv4-опцыі "IPv6-only preferred" (RFC 8925), якая паказвае на тое, што хост можа працаваць без IPv4 і яму дастаткова перадаць толькі IPv6-адрас, калі сетка падтрымлівае IPv6. Ва ўтыліту nmstate дададзена магчымасць налады IPvLAN.
• Забяспечана падтрымка віртуальная машына у сістэмах з realtime-ядром.
• Для хост-сістэм, выкарыстоўвалых працэсары ARM64, дададзеная падтрымка міграцыі віртуальных машын паміж хастамі ARM64, дададзены віртуалізаваны інтэрфейс TPM (Trusted Platform Module) і рэалізавана прылада virtio-iommu.
• Ва ўтыліту virt-install дададзеная падтрымка стварэння віртуальных машын, якія выкарыстоўваюць AMD SEV-SNP (Secure Encrypted Virtualization – Secure Nested Paging) для шыфравання памяці.
• Дададзена магчымасць выкарыстання тэхналогіі Intel TDX (Trust Domain Extension) для абароны гасцявых сістэм.
• Дададзена падтрымка міграцыі віртуальных машын, якія выкарыстоўваюць virtiofs для сумеснага доступу да каталогаў або віртуальныя функцыі сеткавых адаптараў Mellanox CX-7.
• Дададзеныя драйверы для мадэмаў Intel XMM 7360 LTE Advanced (Intel IOSM – IPC over Shared Memory), Fibocom FM350GL (Mediatek t7xx), Fibocom L860GL (Intel IOSM) і Qualcomm.
• Дададзена эксперыментальная падтрымка (Technology Preview) шыфравання DNS-трафіку пры дапамозе DNS-over-TLS (DoT).
• Прадоўжана прадастаўленне эксперыментальнай (Technology Preview) падтрымкі:
• kTLS (TLS на ўзроўні ядра),
• інтэрфейсу асінхроннага ўводу/высновы io_uring,
• DAX (Direct Access) для ext4 і XFS,
• AMD SEV і SEV-ES у гіпервізоры KVM,
• сэрвісу systemd-resolved,
• механізму Sigstore для верыфікацыі кантэйнераў па лічбавых подпісах,
• VPN WireGuard,
• пратаколаў PRP (Parallel Redundancy Protocol) і HSR (High-availability Seamless Redundancy),
• апаратнага паскарэння IPsec праз вынас аперацый інкапсуляцыі пакетаў на бок сеткавай карты,
• пратаколу кіравання сертыфікатамі ACME, які ўжываецца ў Let's Encrypt,
• SRv6 (Segment Routing over IPv6,
• пакета з графічным рэдактарам GIMP 2.99.8,
• налады MPTCP (Multipath TCP) праз NetworkManager,
• DNSSEC у IdM,
• virtio-mem,
• Socket API для TuneD,
• Soft-iWARP (Internet Wide-area RDMA Protocol),
• GNOME для ARM64 і IBM Z.

Крыніца: opennet.ru