Представена дистрибуция на Red Hat Enterprise Linux 9

Red Hat представи изданието на дистрибуцията Red Hat Enterprise Linux 9. Готови инсталационни изображения скоро ще бъдат достъпни за регистрирани потребители на портала за клиенти на Red Hat (CentOS Stream 9 iso изображения също могат да се използват за оценка на функционалността). Версията е предназначена за x86_64, s390x (IBM System z), ppc64le и Aarch64 (ARM64) архитектури. Изходният код за Red Hat Enterprise Linux 9 rpm пакети е достъпен в хранилището на CentOS Git. В съответствие с 10-годишния цикъл на поддръжка за разпространението, RHEL 9 ще се поддържа до 2032 г. Актуализациите за RHEL 7 ще продължат да се пускат до 30 юни 2024 г., RHEL 8 до 31 май 2029 г.

Red Hat Enterprise Linux 9 се отличава с преминаването си към по-отворен процес на разработка. За разлика от предишните клонове, базата на пакетите CentOS Stream 9 се използва като основа за изграждане на дистрибуцията.CentOS Stream е позициониран като проект нагоре по веригата за RHEL, позволявайки на участници от трети страни да контролират подготовката на пакети за RHEL, да предлагат своите промени и влияние взети решения. Преди това моментна снимка на едно от изданията на Fedora беше използвана като основа за нов RHEL клон, който беше финализиран и стабилизиран зад затворени врати, без възможност да се контролира напредъкът на разработката и взетите решения. Сега, въз основа на моментната снимка на Fedora, с участието на общността, се формира клон на CentOS Stream, в който се извършва подготвителна работа и се формира основата за нов значим клон на RHEL.

Ключови промени:

• Системната среда и инструментите за сглобяване са актуализирани. За изграждане на пакети се използва GCC 11. Стандартната C библиотека е актуализирана до glibc 2.34. Пакетът на ядрото на Linux е базиран на изданието 5.14. Мениджърът на RPM пакети е актуализиран до версия 4.16 с поддръжка за наблюдение на целостта чрез fapolicyd.
• Завършена е миграцията на дистрибуцията към Python 3. Разклонението Python 3.9 се предлага по подразбиране. Python 2 е спрян.
• Работният плот е базиран на GNOME 40 (RHEL 8, доставен с GNOME 3.28) и библиотеката GTK 4. В GNOME 40 виртуалните работни плотове в режим Преглед на дейностите се превключват към пейзажна ориентация и се показват като непрекъснато превъртаща се верига отляво надясно. Всеки работен плот, показан в режим Общ преглед, визуализира наличните прозорци и динамично се придвижва и мащабира, докато потребителят взаимодейства. Осигурен е безпроблемен преход между списъка с програми и виртуалните десктопи.
• GNOME включва манипулатор на power-profiles-daemon, който предоставя възможност за превключване в движение между режим на пестене на енергия, режим на балансирана мощност и режим на максимална производителност.
• Всички аудио потоци са преместени към медийния сървър PipeWire, който сега е по подразбиране вместо PulseAudio и JACK. Използването на PipeWire ви позволява да предоставите професионални възможности за аудио обработка в обикновено издание за настолни компютри, да се отървете от фрагментацията и да обедините аудио инфраструктурата за различни приложения.
• По подразбиране менюто за зареждане на GRUB е скрито, ако RHEL е единствената дистрибуция, инсталирана в системата и ако последното зареждане е било успешно. За да покажете менюто по време на зареждане, просто задръжте клавиша Shift или натиснете клавиша Esc или F8 няколко пъти. Сред промените в буутлоудъра отбелязваме също поставянето на GRUB конфигурационни файлове за всички архитектури в една директория /boot/grub2/ (файлът /boot/efi/EFI/redhat/grub.cfg вече е символна връзка към /boot /grub2/grub.cfg), тези. една и съща инсталирана система може да се стартира както с EFI, така и с BIOS.
• Компонентите за поддръжка на различни езици са пакетирани в langpacks, които ви позволяват да променяте нивото на инсталирана езикова поддръжка. Например langpacks-core-font предлага само шрифтове, langpacks-core предоставя локала на glibc, основния шрифт и метода на въвеждане, а langpacks предоставя преводи, допълнителни шрифтове и речници за проверка на правописа.
• Компонентите за сигурност са актуализирани. Дистрибуцията използва нов клон на криптографската библиотека OpenSSL 3.0. По подразбиране са активирани по-модерни и надеждни криптографски алгоритми (например използването на SHA-1 в TLS, DTLS, SSH, IKEv2 и Kerberos е забранено, TLS 1.0, TLS 1.1, DTLS 1.0, RC4, Camellia, DSA, 3DES и FFDHE-1024 са деактивирани). Пакетът OpenSSH е актуализиран до версия 8.6p1. Cyrus SASL е преместен в бекенда на GDBM вместо в Berkeley DB. Библиотеките на NSS (Услуги за мрежова сигурност) вече не поддържат формата DBM (Berkeley DB). GnuTLS е актуализиран до версия 3.7.2.
• Значително подобрена производителност на SELinux и намалена консумация на памет. В /etc/selinux/config поддръжката за настройката "SELINUX=disabled" за деактивиране на SELinux е премахната (тази настройка вече деактивира само зареждането на правила, а за действително деактивиране на функционалността на SELinux вече се изисква предаване на параметъра "selinux=0" на ядро).
• Добавена е експериментална поддръжка за VPN WireGuard.
• По подразбиране влизането през SSH като root е забранено.
• Инструментите за управление на филтъра за пакети iptables-nft (помощни програми iptables, ip6tables, ebtables и arptables) и ipset са отхвърлени. Сега се препоръчва използването на nftables за управление на защитната стена.
• Той включва нов mptcpd демон за конфигуриране на MPTCP (MultiPath TCP), разширение на TCP протокола за организиране на работата на TCP връзка с доставка на пакети едновременно по няколко маршрута през различни мрежови интерфейси, свързани с различни IP адреси. Използването на mptcpd прави възможно конфигурирането на MPTCP без използване на помощната програма iproute2.
• Пакетът мрежови скриптове е премахнат; NetworkManager трябва да се използва за конфигуриране на мрежови връзки. Поддръжката за формата на настройките ifcfg се запазва, но NetworkManager използва базирания на ключови файлове формат по подразбиране.
• Композицията включва нови версии на компилатори и инструменти за разработчици: GCC 11.2, LLVM/Clang 12.0.1, Rust 1.54, Go 1.16.6, Node.js 16, OpenJDK 17, Perl 5.32, PHP 8.0, Python 3.9, Ruby 3.0, Git 2.31, Subversion 1.14, binutils 2.35, CMake 3.20.2, Maven 3.6, Ant 1.10.
• Сървърните пакети Apache HTTP Server 2.4.48, nginx 1.20, Varnish Cache 6.5, Squid 5.1 са актуализирани.
• СУБД MariaDB 10.5, MySQL 8.0, PostgreSQL 13, Redis 6.2 са актуализирани.
• За изграждане на QEMU емулатора, Clang е активиран по подразбиране, което направи възможно прилагането на някои допълнителни защитни механизми към KVM хипервайзора, като SafeStack за защита срещу техники за експлоатация, базирани на ориентирано към връщане програмиране (ROP - Return-Oriented Programming).
• В SSSD (System Security Services Daemon) подробностите на регистрационните файлове са увеличени, например времето за изпълнение на задачата вече е прикрепено към събития и потокът на удостоверяване е отразен. Добавена е функция за търсене за анализиране на настройки и проблеми с производителността.
• Поддръжката за IMA (Integrity Measurement Architecture) е разширена, за да провери целостта на компонентите на операционната система с помощта на цифрови подписи и хешове.
• По подразбиране е активирана единична унифицирана йерархия на cgroup (cgroup v2). Сgroups v2 могат да се използват например за ограничаване на консумацията на памет, CPU и I/O. Ключовата разлика между cgroups v2 и v1 е използването на обща йерархия на cgroups за всички видове ресурси, вместо отделни йерархии за разпределяне на CPU ресурси, за регулиране на потреблението на памет и за I/O. Отделните йерархии доведоха до трудности при организирането на взаимодействие между манипулатори и до допълнителни разходи за ресурси на ядрото при прилагане на правила за процес, посочен в различни йерархии.
• Добавена е поддръжка за синхронизиране на точното време на базата на протокола NTS (Network Time Security), който използва елементи от инфраструктура с публичен ключ (PKI) и позволява използването на TLS и удостоверено криптиране AEAD (Authenticated Encryption with Associated Data) за криптографска защита на взаимодействие клиент-сървър чрез NTP протокол (Network Time Protocol). NTP сървърът на Chrony е актуализиран до версия 4.1.
• Осигурена експериментална (Technology Preview) поддръжка за KTLS (TLS реализация на ниво ядро), Intel SGX (Software Guard Extensions), DAX (Direct Access) за ext4 и XFS, поддръжка за AMD SEV и SEV-ES в KVM хипервайзора.

Източник: opennet.ru