Vydání distribuce Red Hat Enterprise Linux 8.9

Po vydání Red Hat Enterprise Linux Byla publikována verze 9.3, aktualizace předchozí větve Red Hat Enterprise. Linux 8.9, která je udržována souběžně s větví RHEL 9.x a bude podporována minimálně do roku 2029. Instalační sestavení jsou připravena pro architektury x86_64, s390x (IBM System z), ppc64le a Aarch64, ale jsou k dispozici ke stažení pouze registrovaným uživatelům zákaznického portálu Red Hat (lze použít i obrazy ISO) CentOS Stream 9 a bezplatné sestavení RHEL pro vývojáře).

Stejně jako u větve RHEL 9, zdrojový kód pro balíčky RHEL 8 RPM již není veřejně distribuován prostřednictvím repozitáře Git. CentOS, ale zůstávají přístupné klientům společnosti prostřednictvím uzavřené sekce webových stránek, která podléhá uživatelské smlouvě (EULA) zakazující redistribuci dat. Zdrojový kód lze nalézt v repozitáři CentOS Stream, ale není zcela synchronizovaný s RHEL a ne vždy obsahuje nejnovější verze balíčků, které odpovídají těm v RHEL. Rocky LinuxSpolečnosti Oracle a SUSE spojily síly a nyní reprodukují zdrojový kód rpm balíčků pro vydání RHEL jako součást projektu OpenELA. AlmaLinux přepnut na používání repozitáře CentOS Stream umožňuje drobné rozdíly v chování (může se lišit na úrovni jednotlivých patchů), ale zachovává binární kompatibilitu na úrovni ABI.

Příprava nových verzí Red Hat Enterprise Linux Verze 8.x se řídí vývojovým cyklem s vydáními každých šest měsíců v předem stanovených časech. Do roku 2024 bude větev 8.x plně podporována, včetně funkčních vylepšení. Poté přejde na údržbu, kde se pozornost přesune na opravy chyb a zabezpečení s drobnými vylepšeními týkajícími se podpory důležitých hardwarových systémů.

Klíčové změny:

• Složení obsahuje nové verze kompilátorů a nástrojů pro vývojáře: GCC Toolset 13, LLVM Toolset 16.0.6, Rust Toolset 1.71.1, Go Toolset 1.20.10, Node.js 20, Valgrind 3.21, SystemTap 4.9, elfutils 0.189, java-21 17 -openjdk (java-11-openjdk, java-1.8.0-openjdk a java-XNUMX-openjdk se také nadále dodává).
• Aktualizovaný server a systémové balíčky: samba 4.18.4, 389-ds-base 1.4.3.35, OpenSCAP 1.3.8, Grafana 9.2.10, opencryptoki 3.21.0, iproute 6.2.0, libnftnl,1.2.2, makedumpfile 1.7.2 Podman 4.6.
• Do obrazů AMI pro cloudová prostředí AWS EC2 byla přidána podpora spouštění v režimu UEFI.
• Do instalačních sestavení byl přidán parametr „inst.wait_for_disks“, který určuje dobu čekání na načtení souboru kickstart nebo na připravenost ovladačů během procesu spouštění.
• V souborech kickstartu byly do příkazu network přidány nové možnosti „--ipv4-dns-search“ a „--ipv6-dns-search“ pro nastavení základních доменов pro direktivu „search“ v souboru /etc/resolv.conf a volby „--ipv4-ignore-auto-dns“ a „--ipv6-ignore-auto-dns“ pro ignorování načítání nastavení DNS přes DHCP.
• Pro zjednodušení problémů s laděním přidala služba fapolicyd přenos čísel pravidel pro odmítnutá volání do rozhraní API fanotify.
• Bezpečnostní profily ANSSI-BP-028 (Francouzská národní agentura pro bezpečnost informačních systémů) byly aktualizovány na verzi 2.0.
• Do auditovacích nástrojů byla přidána podpora pro události FANOTIFY a do protokolu byla uložena pole fan_type (typ události), fan_info (související informace), sub_trust a obj_trust (úrovně důvěryhodnosti pro subjekt a objekt události).
• Postfix nyní umožňuje kontrolovat záznamy DNS SRV a určovat hostitele a port poštovního serveru. server, který bude použit pro přenos zpráv. Tuto navrhovanou funkci lze využít v infrastrukturách, které k doručování e-mailových zpráv využívají služby s dynamicky přidělovanými čísly síťových portů.
• FTP server vsftpd podporuje použití protokolu TLS 1.3.
• Balíček cups-filters přidal ovladač LF-to-CRLF, který lze použít k převodu znaků "\n" (odřádkování) na "\r\n" (návrat vozíku a odřádkování) pro tiskárny, které podporují pouze koncové řádky zpracování souborů. "\r\n".
• Zabezpečení výchozího nastavení služby nftables bylo vylepšeno. Sada pravidel /etc/sysconfig/nftables/nat.nft obsahuje nový řetězec do_masquerade, který kontroluje úroveň randomizace čísel zdrojových portů, aby se snížilo riziko útoku Port Shadows (CVE-2021-3773).
• NetworkManager nyní podporuje volbu „no-aaaa“ v souboru resolv.conf, která zakazuje dotazy DNS pro záznamy AAAA (rozlišení adres IPv6 na základě názvu hostitele). Nástroj nm-cloud-setup nyní podporuje konfiguraci AWS Red Hat Enterprise. Linux EC2 používající tokeny IMDSv2 (Instance Metadata Service verze 2).
• Pro ochranu před útoky Spectre v2 souvisejícími se spekulativním prováděním instrukcí byl přidán režim AutoIBRS (Automatic Indirect Branch Restricted Speculation), podporovaný v CPU AMD počínaje rodinou EPYC 9004 Genoa.
• Z jádra Linux Verze 6.2 portovala ovladač Intel QAT s podporou pro zařízení Intel Quick Assist Technology 401xx/402xx.
• Přidána možnost zadat UUID při vytváření systému souborů GFS2 (do obslužného programu mkfs.gfs2 byl přidán příkaz „-U“).
• FUSE3 přidává možnost zrušit platnost položky adresáře bez automatického odpojení přípojných bodů spojených s touto položkou.
• Schopnosti klastrů a systémů odolné proti chybám byly rozšířeny: Do agentů klastrových prostředků IPaddr2 a IPsrcaddr byla přidána podpora pro směrování zásad. Do agenta ocf:heartbeat:Filesystem byla přidána podpora pro souborový systém EFS (Amazon Elastic File System). Do agenta alert_snmp.sh.sample byla přidána podpora protokolu SNMPv3.
• Do Glibc byly přidány změny s optimalizacemi pro zlepšení výkonu na systémech s procesory Intel Xeon v5.
• Je poskytována plná podpora pro samostatné grafické karty Intel Arc A-Series (Alchemist nebo DG2).
• Přidána systémová role pro správu a instalaci systemd jednotek. Byla přidána systémová role pro instalaci, konfiguraci, správu a provoz PostgreSQL DBMS. Pro sadu nástrojů keylime byla přidána systémová role, která zjednodušuje konfiguraci registrátora a ověřovače Keylime, který se používá k potvrzení pravosti a průběžnému sledování integrity externího systému. Do systémové role firewallu byla přidána podpora pro definování, změnu a mazání ipsetů. Systémové role pro Podman, Kdump, Storage a Microsoft SQL Server byly rozšířeny.
• Do cloud-init byla přidána podpora klíčových souborů používaných v NetworkManageru.
• Podman přidává podporu pro kontejnery komprimované pomocí algoritmu zstd. Přidána možnost používat kvadlety k automatickému generování systemd služeb z popisů kontejnerů. Přidán podmansh shell, který lze použít místo /usr/bin/bash ke spuštění uživatelské relace v kontejneru. Aktualizované verze Podman, Buildah, Skopeo, crun a runc.
• Přidány nové parametry příkazového řádku jádra: collect_data_sampling pro ovládání režimu ochrany proti útokům GDS (Gather Data Sampling nebo Downfall a rdrand pro skrytí podpory pro instrukci RDRAND.
• Rozšířená podpora hardwaru. Přidány ovladače pro síťová zařízení Thunderbolt/USB4 (thunderbolt_net) a bezdrátové adaptéry Broadcom 802.11 (brcmfmac) dodávané pro systémy ARM64. Přidány ovladače pro zařízení MediaTek Bluetooth, síťový adaptér Microsoft Azure IB (mana_ib). Linux Ovladač třídy USB Video (uvc), AMD SoundWire (soundwire-amd), alternativní režim DisplayPort (typec_displayport), Virtio-mem (virtio_mem). Vylepšená podpora procesorů Intel založených na mikroarchitektuře Meteor Lake.
• Klientská podpora byla stabilizována pro komponenty kryptografického ověřování sigstore: Rekor (protokol pro ukládání metadat certifikovaných digitálními podpisy) a Fulcio (systém certifikačních autorit (kořenových CA) vydávajících krátkodobé certifikáty).
• Pokračující poskytování experimentální (Technology Preview) podpory pro AF_XDP, XDP hardware offloading, Multipath TCP (MPTCP), MPLS (Multi-protocol Label Switching), DSA (akcelerátor datového toku), dracut, kexec fast reboot, nispor, DAX v ext4 a xfs, systemd-resolved, accel-config, igc, OverlayFS, Stratis, Software Guard Extensions (SGX), NVMe/TCP, DNSSEC, GNOME na systémech ARM64 a IBM Z, AMD SEV pro KVM, Intel vGPU, Toolbox.

Zdroj: opennet.ru