Издаване на разпространение на Red Hat Enterprise Linux 9.1

Red Hat публикува изданието на дистрибуцията Red Hat Enterprise Linux 9.1. Готови инсталационни изображения са достъпни за регистрирани потребители на портала за клиенти на Red Hat (CentOS Stream 9 iso изображения също могат да се използват за оценка на функционалността). Версията е предназначена за x86_64, s390x (IBM System z), ppc64le и Aarch64 (ARM64) архитектури. Изходният код за Red Hat Enterprise Linux 9 rpm пакети е достъпен в хранилището на CentOS Git.

Клонът RHEL 9 се разработва с по-отворен процес на разработка и използва като основа пакетната база CentOS Stream 9. CentOS Stream е позициониран като проект нагоре по веригата за RHEL, позволявайки на участници от трети страни да контролират подготовката на пакети за RHEL, предлагат своите промени и оказват влияние върху взетите решения. В съответствие с 10-годишния цикъл на поддръжка за разпространението, RHEL 9 ще се поддържа до 2032 г.

Ключови промени:

• Актуализирани сървърни и системни пакети: firewalld 1.1.1, chrony 4.2, unbound 1.16.2, frr 8.2.2, Apache httpd 2.4.53, opencryptoki 3.18.0, powerpc-utils 1.3.10, libvpd 2.2.9, lsvpd 1.7.14. 64, ppc2.7-diag 5.3.7, PCP 7.5.13, Grafana 4.16.1, samba XNUMX.
• Съставът включва нови версии на компилатори и инструменти за разработчици: GCC 11.2.1, GCC Toolset 12, LLVM Toolset 14.0.6, binutils 2.35.2, PHP 8.1, Ruby 3.1, Node.js 18, Rust Toolset 1.62, Go Toolset 1.18.2 3.8, Maven 17, java-11-openjdk (java-1.8.0-openjdk и java-7.0-openjdk също продължават да се доставят), .NET 10.2, GDB 3.19, Valgrind 4.7, SystemTap 12.1.0, Dyninst 0.187, elfutils XNUMX.
• Подобренията, внедрени в Linux ядра 5.15 и 5.16, са прехвърлени към подсистемата eBPF (Berkeley Packet Filter). Например, за BPF програмите е въведена възможност за заявяване и обработка на таймерни събития, възможност за получаване и задаване на опции за сокет за setsockopt, поддръжка за извикване на функции на модул на ядрото, вероятностна структура за съхранение на данни (BPF карта) филтър за разцвет е предложено и е добавена възможност за обвързване на тагове към функционални параметри.
• Наборът от корекции за системи в реално време, използвани в ядрото kernel-rt, е актуализиран до състояние, съответстващо на ядрото 5.15-rt.
• Реализацията на протокола MPTCP (MultiPath TCP), използван за организиране на работата на TCP връзка с доставка на пакети едновременно по няколко маршрута през различни мрежови интерфейси, беше актуализирана. Промени, пренесени от ядрото на Linux 5.19 (например добавена поддръжка за връщане на MPTCP връзки към обикновен TCP и предложен API за управление на MPTCP потоци от потребителско пространство).
• На системи с 64-битови процесори ARM, AMD и Intel е възможно да промените поведението на режима в реално време в ядрото по време на изпълнение, като запишете името на режима във файла „/sys/kernel/debug/sched/preempt ” или по време на зареждане чрез параметър на ядрото „preempt=” (поддържат се без, доброволни и пълни режими).
• Настройките на програмата за зареждане на GRUB са променени, за да скрият менюто за зареждане по подразбиране, като менюто показва, ако предишното зареждане е неуспешно. За да покажете менюто по време на зареждане, можете да задържите клавиша Shift или периодично да натискате клавишите Esc или F8. За да деактивирате скриването, можете да използвате командата “grub2-editenv - unset menu_auto_hide”.
• Поддръжка за създаване на виртуални хардуерни часовници (PHC, PTP хардуерни часовници) е добавена към драйвера PTP (Precision Time Protocol).
• Добавена команда modulesync, която зарежда RPM пакети от модули и създава хранилище в работната директория с метаданните, необходими за инсталиране на модулни пакети
• Tuned, услуга за наблюдение на изправността на системата и оптимизиране на профили за максимална производителност въз основа на текущото натоварване, предоставя възможност за използване на пакета tuned-profiles-realtime за изолиране на процесорните ядра и предоставяне на нишки на приложения с всички налични ресурси.
• NetworkManager реализира превода на профилите на връзката от формата на настройките на ifcfg (/etc/sysconfig/network-scripts/ifcfg-*) във формат, базиран на файла с ключови файлове. За да мигрирате профили, можете да използвате командата „nmcli connection migrate“.
• Инструментариумът SELinux е актуализиран до версия 3.4, която подобрява производителността на повторното етикетиране поради паралелизиране на операциите, опцията „-m“ („--checksum“) е добавена към помощната програма semodule за получаване на SHA256 хешове на модули, mcstrans е прехвърлен в библиотеката PCRE2. Добавени са нови помощни програми за работа с политики за достъп: sepol_check_access, sepol_compute_av, sepol_compute_member, sepol_compute_relabel, sepol_validate_transition. Добавени са политики на SELinux за защита на услугите ksm, nm-priv-helper, rhcd, stalld, systemd-network-generator, targetclid и wg-quick.
• Добавена е възможност за използване на клиента Clevis (clevis-luks-systemd) за автоматично отключване на дискови дялове, криптирани с LUKS и монтирани на късен етап на зареждане, без да е необходимо да се използва командата "systemctl enable clevis-luks-askpass.path".
• Възможностите на инструментариума за подготовка на системни изображения бяха разширени, който вече поддържа качване на изображения в GCP (Google Cloud Platform), поставяне на изображението директно в регистъра на контейнера, регулиране на размера на /boot дяла и коригиране на параметри (Blueprint) по време на генериране на изображение (например добавяне на пакети и създаване на потребител).
• Добавена е помощна програма keylime за удостоверяване (удостоверяване и непрекъснат мониторинг на целостта) на външна система, използваща технологията TPM (Trusted Platform Module), например за проверка на автентичността на Edge и IoT устройства, разположени на неконтролирано място, където е възможен неоторизиран достъп.
• Изданието RHEL за Edge предоставя възможност за използване на помощната програма fdo-admin за конфигуриране на FDO (FIDO Device Onboard) услуги и създаване на сертификати и ключове за тях.
• SSSD (System Security Services Daemon) добави поддръжка за кеширане на SID заявки (например GID / UID проверки) в RAM, което направи възможно ускоряването на операциите по копиране на голям брой файлове през Samba сървъра. Осигурена е поддръжка за интеграция с Windows Server 2022.
• В OpenSSH минимальный размер RSA-ключей по умолчанию ограничен 2048 битами, а в библиотеках NSS прекращена поддержка ключей RSA, размером менее 1023 бит. Для настройки собственных ограничений в OpenSSH добавлен параметр RequiredRSASize. Добавлена поддержка метода обмена ключами [имейл защитен], устойчиви на хакване на квантови компютри.
• Инструментариумът ReaR (Relax-and-Recover) добавя възможност за изпълнение на произволни команди преди и след възстановяване.
• Драйверът за Ethernet адаптерите Intel E800 поддържа протоколите iWARP и RoCE.
• Добавен е нов httpd-core пакет, в който е преместен основен набор от httpd компоненти на Apache, достатъчни за стартиране на HTTP сървър и свързани с минимален брой зависимости. Пакетът httpd добавя допълнителни модули като mod_systemd и mod_brotli и включва документация.
• Добавен е нов пакет xmlstarlet, който включва помощни програми за анализиране, трансформиране, валидиране, извличане на данни и редактиране на XML файлове, подобно на grep, sed, awk, diff, patch и join, но за XML вместо текстови файлове.
• Възможностите на системните роли са разширени, например мрежовата роля е добавила поддръжка за настройка на правила за маршрутизиране и използване на nmstate API, ролята за регистриране е добавила поддръжка за филтриране по регулярни изрази (startmsg.regex, endmsg.regex), ролята за съхранение добави поддръжка за секции, за които динамично разпределено пространство за съхранение („тънко осигуряване“), възможността за управление чрез /etc/ssh/sshd_config беше добавена към ролята на sshd, експортирането на статистически данни за производителността на Postfix беше добавено към метрична роля, възможността за презаписване на предишната конфигурация е въведена в ролята на защитната стена и е предоставена поддръжка за добавяне, актуализиране и изтриване в зависимост от състоянието.
• Инструментариумът за управление на изолирани контейнери е актуализиран, включително пакети като Podman, Buildah, Skopeo, crun и runc. Добавена е поддръжка за GitLab Runner в контейнери с Runtime Podman. За конфигуриране на мрежовата подсистема на контейнера са предоставени помощната програма netavark и DNS сървърът Aardvark.
• Добавена е поддръжка за командата ap-check към mdevctl за конфигуриране на препращане на достъп до крипто ускорители към виртуални машини.
• Добавена е възможност за технологичен преглед за удостоверяване на потребители чрез външни доставчици (IdP, доставчик на идентичност), които поддържат разширението на протокола OAuth 2.0 „Device Authorization Grant“, за да предоставят OAuth токени за достъп на устройства без използване на браузър.
• За сесията на GNOME, базирана на Wayland, са предоставени версии на Firefox, които използват Wayland. Компилации, базирани на X11, изпълнени в средата на Wayland с помощта на компонента XWayland, се поставят в отделен пакет firefox-x11.
• Сесията, базирана на Wayland, е активирана по подразбиране за системи с графични процесори Matrox (Wayland преди не беше използван с графични процесори Matrox поради ограничения и проблеми с производителността, които вече са решени).
• Поддръжка за графични процесори, интегрирани в процесори Intel Core от 12-то поколение, включително Intel Core i3 12100T - i9 12900KS, Intel Pentium Gold G7400 и G7400T, Intel Celeron G6900 и G6900T Intel Core i5-12450HX - i9-12950HX и Intel Core i3-1220P - i7- 1280P. Добавена е поддръжка за графични процесори AMD Radeon RX 6[345]00 и AMD Ryzen 5/7/9 6[689]00.
• За да се контролира активирането на защитата срещу уязвимости в механизма MMIO (Memory Mapped Input Output), е внедрен параметърът за зареждане на ядрото „mmio_stale_data“, който може да приеме стойностите „пълен“ (разрешаване на почистване на буфер при превключване към потребителско пространство и VM ), “full,nosmt” ( тъй като "full" + SMT / Hyper-Threads е допълнително деактивиран) и "off" (защитата е деактивирана).
• За да контролирате активирането на защитата срещу уязвимостта на Retbleed, е внедрен параметърът за зареждане на ядрото „retbleed“, чрез който можете да деактивирате защитата („изключено“) или да изберете алгоритъма за блокиране на уязвимостта (auto, nosmt, ibpb, unret).
• Параметърът за зареждане на ядрото acpi_sleep поддържа нови опции за контрол на заспиването: s3_bios, s3_mode, s3_beep, s4_hwsig, s4_nohwsig, old_ordering, nonvs, sci_force_enable и nobl.
• Добавена е голяма част от нови драйвери за мрежови устройства, системи за съхранение и графични чипове.
• Продължава предоставянето на експериментална (Technology Preview) поддръжка за KTLS (внедряване на TLS на ниво ядро), VPN WireGuard, Intel SGX (Software Guard Extensions), Intel IDXD (Data Streaming Accelerator), DAX (Direct Access) за ext4 и XFS, AMD SEV и SEV -ES в KVM хипервайзора, системно разрешена услуга, Stratis мениджър за съхранение, Sigstore за проверка на контейнери с помощта на цифрови подписи, пакет с графичния редактор GIMP 2.99.8, MPTCP (Multipath TCP) настройки чрез NetworkManager, ACME (автоматичен сертификат Среда за управление) сървъри, virtio-mem, KVM хипервизор за ARM64.
• Комплектът инструменти GTK 2 и свързаните с него пакети adwaita-gtk2-theme, gnome-common, gtk2, gtk2-immodules и hexchat са отхвърлени. X.org сървърът е остарял (RHEL 9 предлага базирана на Wayland GNOME сесия по подразбиране), която се планира да бъде премахната в следващия голям клон на RHEL, но ще запази възможността за стартиране на X11 приложения от сесия на Wayland, използвайки XWayland DDX сървър.

Източник: opennet.ru