Red Hat har introduceret udgivelsen af Red Hat Enterprise Linux 9-distributionen. Færdiglavede installationsbilleder vil snart være tilgængelige for registrerede brugere af Red Hat-kundeportalen (CentOS Stream 9 iso-billeder kan også bruges til at evaluere funktionalitet). Udgivelsen er designet til x86_64, s390x (IBM System z), ppc64le og Aarch64 (ARM64) arkitekturer. Kildekoden til Red Hat Enterprise Linux 9 rpm-pakker er tilgængelig i CentOS Git-lageret. I overensstemmelse med den 10-årige støttecyklus for distributionen vil RHEL 9 blive understøttet indtil 2032. Opdateringer til RHEL 7 vil fortsat blive frigivet indtil 30. juni 2024, RHEL 8 indtil 31. maj 2029.
Red Hat Enterprise Linux 9 er kendt for sin overgang til en mere åben udviklingsproces. I modsætning til tidligere filialer bruges CentOS Stream 9 pakkebasen som grundlag for opbygning af distributionen CentOS Stream er positioneret som et upstream projekt for RHEL, der giver tredjepartsdeltagere mulighed for at kontrollere forberedelsen af pakker til RHEL, foreslå deres ændringer og indflydelse trufne beslutninger. Tidligere blev et snapshot af en af Fedora-udgivelserne brugt som grundlag for en ny RHEL-gren, som blev færdiggjort og stabiliseret bag lukkede døre, uden mulighed for at kontrollere udviklingen og de trufne beslutninger. Nu, baseret på Fedora-øjebliksbilledet, med deltagelse af fællesskabet, bliver der dannet en CentOS Stream-gren, hvor der udføres forberedende arbejde og grundlaget for en ny væsentlig RHEL-gren.
Nøgleændringer:
- Systemmiljøet og montageværktøjer er blevet opdateret. GCC 11 bruges til at bygge pakker. Standard C-biblioteket er blevet opdateret til glibc 2.34. Linux-kernepakken er baseret på 5.14-udgivelsen. RPM-pakkehåndteringen er blevet opdateret til version 4.16 med understøttelse af integritetsovervågning via fapolicyd.
- Migreringen af distributionen til Python 3 er fuldført. Python 3.9-grenen tilbydes som standard. Python 2 er udgået.
- Skrivebordet er baseret på GNOME 40 (RHEL 8 leveret med GNOME 3.28) og biblioteket GTK 4. I GNOME 40 skiftes virtuelle skriveborde i aktivitetsoversigtstilstand til liggende orientering og vises som en kontinuerlig rullende kæde fra venstre mod højre. Hvert skrivebord, der vises i oversigtstilstand, visualiserer de tilgængelige vinduer og panorerer og zoomer dynamisk, mens brugeren interagerer. Der er en problemfri overgang mellem listen over programmer og virtuelle skriveborde.
- GNOME inkluderer en power-profiles-daemon handler, der giver mulighed for at skifte mellem strømsparetilstand, strømbalanceret tilstand og maksimal ydeevnetilstand.
- Alle lydstreams er blevet flyttet til PipeWire-medieserveren, som nu er standard i stedet for PulseAudio og JACK. Brug af PipeWire giver dig mulighed for at levere professionelle lydbehandlingsmuligheder i en almindelig desktop-udgave, slippe af med fragmentering og forene lydinfrastrukturen til forskellige applikationer.
- Som standard er GRUB-startmenuen skjult, hvis RHEL er den eneste distribution, der er installeret på systemet, og hvis den sidste opstart lykkedes. For at vise menuen under opstart skal du blot holde Shift-tasten nede eller trykke på Esc- eller F8-tasten flere gange. Blandt ændringerne i bootloaderen bemærker vi også placeringen af GRUB-konfigurationsfiler for alle arkitekturer i én mappe /boot/grub2/ (filen /boot/efi/EFI/redhat/grub.cfg er nu et symbolsk link til /boot /grub2/grub.cfg), disse. det samme installerede system kan startes ved hjælp af både EFI og BIOS.
- Komponenter til understøttelse af forskellige sprog er pakket i langpakker, som giver dig mulighed for at variere niveauet af installeret sprogunderstøttelse. For eksempel tilbyder langpacks-core-font kun skrifttyper, langpacks-core giver glibc-lokalitet, basisskrifttype og inputmetode, og langpacks giver oversættelser, yderligere skrifttyper og stavekontrolordbøger.
- Sikkerhedskomponenter er blevet opdateret. Distributionen bruger en ny gren af OpenSSL 3.0 kryptografiske bibliotek. Som standard er mere moderne og pålidelige kryptografiske algoritmer aktiveret (for eksempel er brugen af SHA-1 i TLS, DTLS, SSH, IKEv2 og Kerberos forbudt, TLS 1.0, TLS 1.1, DTLS 1.0, RC4, Camellia, DSA, 3DES og FFDHE-1024 er deaktiveret). OpenSSH-pakken er blevet opdateret til version 8.6p1. Cyrus SASL er blevet flyttet til GDBM-backend i stedet for Berkeley DB. NSS-biblioteker (Network Security Services) understøtter ikke længere DBM-formatet (Berkeley DB). GnuTLS er blevet opdateret til version 3.7.2.
- Betydeligt forbedret SELinux ydeevne og reduceret hukommelsesforbrug. I /etc/selinux/config er understøttelse af indstillingen "SELINUX=disabled" for at deaktivere SELinux blevet fjernet (denne indstilling deaktiverer nu kun indlæsning af politikker, og for faktisk at deaktivere SELinux-funktionalitet kræver det nu at overføre parameteren "selinux=0" til kerne).
- Tilføjet eksperimentel support til VPN WireGuard.
- Som standard er det forbudt at logge på via SSH som root.
- iptables-nft pakkefilterstyringsværktøjerne (iptables, ip6tables, ebtables og arptables hjælpeprogrammer) og ipset er blevet forældet. Det anbefales nu at bruge nftables til at styre firewallen.
- Det inkluderer en ny mptcpd-dæmon til konfiguration af MPTCP (MultiPath TCP), en udvidelse af TCP-protokollen til at organisere driften af en TCP-forbindelse med pakkelevering samtidigt langs flere ruter gennem forskellige netværksgrænseflader forbundet med forskellige IP-adresser. Brug af mptcpd gør det muligt at konfigurere MPTCP uden at bruge iproute2-værktøjet.
- Netværksscript-pakken er blevet fjernet; NetworkManager skal bruges til at konfigurere netværksforbindelser. Understøttelse af ifcfg-indstillingsformatet bibeholdes, men NetworkManager bruger det nøglefil-baserede format som standard.
- Sammensætningen inkluderer nye versioner af compilere og værktøjer til udviklere: GCC 11.2, LLVM/Clang 12.0.1, Rust 1.54, Go 1.16.6, Node.js 16, OpenJDK 17, Perl 5.32, PHP 8.0, Python 3.9, Ruby 3.0 Git 2.31, Subversion 1.14, binutils 2.35, CMake 3.20.2, Maven 3.6, Ant 1.10.
- Serverpakker Apache HTTP Server 2.4.48, nginx 1.20, Varnish Cache 6.5, Squid 5.1 er blevet opdateret.
- DBMS MariaDB 10.5, MySQL 8.0, PostgreSQL 13, Redis 6.2 er blevet opdateret.
- For at bygge QEMU-emulatoren er Clang aktiveret som standard, hvilket gjorde det muligt at anvende nogle ekstra beskyttelsesmekanismer til KVM-hypervisoren, såsom SafeStack for at beskytte mod udnyttelsesteknikker baseret på returorienteret programmering (ROP - Return-Oriented Programming).
- I SSSD (System Security Services Daemon) er detaljerne i loggene blevet øget, for eksempel er opgavens færdiggørelsestid nu knyttet til hændelser, og autentificeringsflowet afspejles. Tilføjet søgefunktionalitet til at analysere indstillinger og ydeevneproblemer.
- Understøttelse af IMA (Integrity Measurement Architecture) er blevet udvidet for at verificere integriteten af operativsystemkomponenter ved hjælp af digitale signaturer og hashes.
- Som standard er et enkelt samlet cgroup-hierarki (cgroup v2) aktiveret. Сgroups v2 kan f.eks. bruges til at begrænse hukommelses-, CPU- og I/O-forbrug. Den vigtigste forskel mellem cgroups v2 og v1 er brugen af et fælles cgroups-hierarki for alle typer ressourcer i stedet for separate hierarkier til tildeling af CPU-ressourcer, til regulering af hukommelsesforbrug og for I/O. Separate hierarkier førte til vanskeligheder med at organisere interaktion mellem handlere og til yderligere omkostninger til kerneressourcer, når reglerne blev anvendt for en proces, der refereres til i forskellige hierarkier.
- Tilføjet understøttelse af synkronisering af nøjagtig tid baseret på NTS (Network Time Security) protokollen, som bruger elementer af en offentlig nøgleinfrastruktur (PKI) og tillader brugen af TLS og autentificeret kryptering AEAD (Authenticated Encryption with Associated Data) til kryptografisk beskyttelse af klient-server-interaktion via NTP-protokollen (Network Time Protocol). Den kroniske NTP-server er blevet opdateret til version 4.1.
- Leverede eksperimentel (Technology Preview) support til KTLS (TLS-implementering på kerneniveau), Intel SGX (Software Guard Extensions), DAX (Direct Access) til ext4 og XFS, understøttelse af AMD SEV og SEV-ES i KVM-hypervisoren.
Kilde: opennet.ru