Das Unternehmen Red Hat hat die Veröffentlichung der Distribution Red Hat Enterprise Linux 9.1 angekündigt. Die Installationsimages sind für registrierte Nutzer im Red Hat Customer Portal verfügbar (zur Evaluierung der Funktionen können auch die ISO-Images von CentOS Stream 9 verwendet werden). Die Veröffentlichung wurde für die Architekturen x86_64, s390x (IBM System z), ppc64le und Aarch64 (ARM64) erstellt. Der Quellcode der RPM-Pakete von Red Hat Enterprise Linux 9 ist im Git-Repository von CentOS verfügbar.
Der Branch RHEL 9 entwickelt sich mit einem offeneren Entwicklungsprozess und nutzt als Grundlage das Paket-Repository CentOS Stream 9. CentOS Stream wird als Upstream-Projekt für RHEL positioniert, das externen Beteiligten die Möglichkeit bietet, die Erstellung der Pakete für RHEL zu überwachen, eigene Änderungen vorzuschlagen und Einfluss auf die getroffenen Entscheidungen zu nehmen. Im Einklang mit dem 10-jährigen Supportzyklus wird RHEL 9 bis 2032 unterstützt.
Wichtige Änderungen:
- Die Server- und Systempakete wurden aktualisiert: firewalld 1.1.1, chrony 4.2, unbound 1.16.2, frr 8.2.2, Apache httpd 2.4.53, opencryptoki 3.18.0, powerpc-utils 1.3.10, libvpd 2.2.9, lsvpd 1.7.14, ppc64-diag 2.7, PCP 5.3.7, Grafana 7.5.13, samba 4.16.1.
- In diesem Release sind neue Versionen von Compilern und Entwicklerwerkzeugen enthalten: GCC 11.2.1, GCC Toolset 12, LLVM Toolset 14.0.6, Binutils 2.35.2, PHP 8.1, Ruby 3.1, Node.js 18, Rust Toolset 1.62, Go Toolset 1.18.2, Maven 3.8, java-17-openjdk (zusätzlich werden auch java-11-openjdk und java-1.8.0-openjdk weiterhin bereitgestellt), .NET 7.0, GDB 10.2, Valgrind 3.19, SystemTap 4.7, Dyninst 12.1.0, elfutils 0.187.
- Die eBPF-Subsystem (Berkeley Packet Filter) hat Verbesserungen übernommen, die in den Linux-Kernen 5.15 und 5.16 implementiert wurden. Zum Beispiel wurde für BPF-Programme die Möglichkeit eingeführt, Timerereignisse zu verlangen und zu verarbeiten, Sockets-Optionen für setsockopt abzurufen und zu setzen, die Unterstützung für den Aufruf von Kernelmodulfunktionen sowie eine probabilistische Datenstruktur (BPF map) mit Bloom-Filter einzuführen, und die Möglichkeit hinzugefügt, Tags an Funktionsparameter zu binden.
- Das Patch-Set für Echtzeitsysteme, das im kernel-rt verwendet wird, wurde auf den Stand des 5.15-rt-Kernels aktualisiert.
- Die Implementierung des MPTCP-Protokolls (MultiPath TCP) wurde aktualisiert. Dieses Protokoll wird verwendet, um TCP-Verbindungen zu organisieren, die Pakete gleichzeitig über mehrere Routen hinweg und durch verschiedene Netzwerkinterfaces zustellen. Die Änderungen wurden aus dem Linux-Kernel 5.19 übernommen (unter anderem wurde die Unterstützung für das Zurückfallen von MPTCP-Verbindungen auf normales TCP hinzugefügt und eine API zur Steuerung von MPTCP-Streams aus dem Benutzerspeicher vorgeschlagen).
- Auf Systemen mit 64-Bit-Prozessoren von ARM, AMD und Intel ist es nun möglich, den Real-Time-Modus im Kernel während des Betriebs zu ändern, indem der Modusname in die Datei "/sys/kernel/debug/sched/preempt" geschrieben wird oder beim Booten über den Kernel-Parameter "preempt=" (die Modi none, voluntary und full werden unterstützt).
- Die Einstellungen des Bootloaders GRUB wurden geändert, um das Bootmenü standardmäßig auszublenden; das Menü wird jedoch angezeigt, wenn der letzte Bootvorgang fehlerhaft war. Um das Menü während des Bootvorgangs anzuzeigen, kann die Shift-Taste gedrückt gehalten oder die Tasten Esc oder F8 wiederholt gedrückt werden. Um das Ausblenden zu deaktivieren, kann der Befehl „grub2-editenv — unset menu_auto_hide“ verwendet werden.
- Im PTP-Treiber (Precision Time Protocol) wurde die Unterstützung für die Erstellung virtueller Hardware-Uhren (PHC, PTP Hardware Clocks) hinzugefügt.
- Der Befehl modulesync wurde hinzugefügt, der RPM-Pakete aus Modulen lädt und ein Repository mit den erforderlichen Metadaten im Arbeitsverzeichnis erstellt, das für die Installation von Modul-Paketen notwendig ist.
- Im tuned-Dienst, der den Systemzustand überwacht und Profile für die maximale Leistung unter Berücksichtigung der aktuellen Last optimiert, wurde die Möglichkeit zur Verwendung des Pakets tuned-profiles-realtime eingeführt, um CPU-Kerne zu isolieren und den Anwendungs-Tasks alle verfügbaren Ressourcen bereitzustellen.
- Im NetworkManager wurde die Konvertierung von Verbindungsprofilen aus dem ifcfg-Format (/etc/sysconfig/network-scripts/ifcfg-*) in ein auf Keyfile basierendes Format implementiert. Für die Migration der Profile kann der Befehl „nmcli connection migrate“ verwendet werden.
- Das SELinux-Toolkit wurde auf Version 3.4 aktualisiert, die die Leistung der Neusetzen von Etiketten (relabel) durch Parallelisierung der Operationen verbessert. Der semodule-Befehl erhielt die Option „-m“ („—checksum“) zur Erzeugung von SHA256-Hashes für Module, und mcstrans wurde auf die PCRE2-Bibliothek umgestellt. Neue Werkzeuge zur Verwaltung von Zugriffspolitiken wurden hinzugefügt: sepol_check_access, sepol_compute_av, sepol_compute_member, sepol_compute_relabel, sepol_validate_transition. Es wurden SELinux-Politiken zum Schutz von Diensten wie ksm, nm-priv-helper, rhcd, stalld, systemd-network-generator, targetclid und wg-quick hinzugefügt.
- Es besteht die Möglichkeit, den Clevis-Client (clevis-luks-systemd) zu nutzen, um verschlüsselte Festplattenpartitionen, die mit LUKS verschlüsselt wurden und spät im Bootprozess gemountet werden, automatisch zu entsperren, ohne den Befehl „systemctl enable clevis-luks-askpass.path“ verwenden zu müssen.
- Die Funktionen des Tools zur Erstellung von Systemabbildern wurden erweitert. Jetzt können Abbilder in GCP (Google Cloud Platform) hochgeladen, direkt im Container-Registry abgelegt, die Größe der Partition /boot konfiguriert und Parameter (Blueprint) während der Erstellung des Abbilds angepasst werden (zum Beispiel das Hinzufügen von Paketen und das Erstellen von Benutzern).
- Das Tool keylime wurde hinzugefügt, um die Authentifizierung (Verifizierung der Echtheit und kontinuierliche Überwachung der Integrität) externer Systeme mithilfe der TPM-Technologie (Trusted Platform Module) zu ermöglichen, um beispielsweise die Authentizität von Edge- und IoT-Geräten zu überprüfen, die sich an Orten befinden, in denen unbefugter Zugriff möglich ist.
- In der Version „RHEL for Edge“ wurde die Möglichkeit hinzugefügt, das Tool fdo-admin zur Konfiguration von FDO-Diensten (FIDO Device Onboard) und zur Erstellung von Zertifikaten und Schlüsseln zu verwenden.
- SSSD (System Security Services Daemon) unterstützt jetzt das Caching von SID-Anfragen (z. B. GID/UID-Überprüfungen) im Arbeitsspeicher, was die Kopiervorgänge großer Dateimengen über den Samba-Server beschleunigt. Die Integration mit Windows Server 2022 wird unterstützt.
- In OpenSSH wurde die minimale Größe von RSA-Schlüsseln standardmäßig auf 2048 Bit begrenzt, und in den NSS-Bibliotheken wurde die Unterstützung für RSA-Schlüssel mit einer Größe von weniger als 1023 Bit eingestellt. Um eigene Einschränkungen in OpenSSH festzulegen, wurde der Parameter RequiredRSASize hinzugefügt. Außerdem wurde die Unterstützung für den Schlüsselaustauschmethoden sntrup761x25519-sha512@openssh.com, die resistent gegen Angriffe von Quantencomputern ist, integriert.
- Das ReaR (Relax-and-Recover)-Toolset ermöglicht nun die Ausführung beliebiger Befehle vor und nach der Wiederherstellung.
- Der Treiber für Intel E800 Ethernet-Adapter unterstützt jetzt die Protokolle iWARP und RoCE.
- Ein neues Paket httpd-core wurde hinzugefügt, in das die grundlegenden Komponenten von Apache httpd verschoben wurden, die ausreichen, um einen HTTP-Server zu starten, und mit einer minimalen Anzahl von Abhängigkeiten verbunden sind. Das Paket httpd enthält außerdem zusätzliche Module wie mod_systemd und mod_brotli sowie die zugehörige Dokumentation.
- Ein neues xmlstarlet-Paket wurde hinzugefügt, das ähnliche Dienstprogramme wie grep, sed, awk, diff, patch und join zur Analyse, Umwandlung, Überprüfung, Extraktion von Daten und Bearbeitung von XML-Dateien enthält, jedoch nicht für Textdateien vorgesehen ist.
- Die Möglichkeiten der Systemrollen wurden erweitert. In die Rolle network wurde Unterstützung für die Konfiguration von Routing-Regeln und die Verwendung der API nmstate hinzugefügt. In die Rolle logging wurde Unterstützung für die Filterung von Nachrichten basierend auf regulären Ausdrücken (startmsg.regex, endmsg.regex) integriert. In die Rolle storage wurde Unterstützung für Partitionen implementiert, für die dynamisch Speicherplatz zugewiesen wird („thin provisioning“). In die Rolle sshd wurde die Möglichkeit hinzugefügt, über /etc/ssh/sshd_config zu verwalten. In die Rolle metrics wurde der Export von Postfix-Leistungsstatistiken integriert. In der Rolle firewall wurde die Fähigkeit zur Wiederherstellung früherer Konfigurationen realisiert und Unterstützung für das Hinzufügen, Aktualisieren und Entfernen von Diensten je nach Status bereitgestellt.
- Das Toolkit für die Verwaltung isolierter Container wurde aktualisiert und umfasst Pakete wie Podman, Buildah, Skopeo, crun und runc. Unterstützung für GitLab Runner in Containern mit dem Podman-Runtime wurde hinzugefügt. Für die Konfiguration des Netzwerk-Subsystems der Container wurde das Dienstprogramm netavark und der DNS-Server Aardvark bereitgestellt.
- In mdevctl wurde die Unterstützung des ap-check-Befehls zur Konfiguration des Durchleitens von virtuelle Maschinen Zugriff auf Krypto-Beschleuniger hinzugefügt.
- Eine vorläufige Möglichkeit zur Authentifizierung von Benutzern mithilfe externer Anbieter (IdP, identity provider), die die Erweiterung des OAuth 2.0-Protokolls „Device Authorization Grant“ unterstützen und es ermöglichen, OAuth-Zugriffstoken an Geräte ohne Verwendung eines Browsers bereitzustellen, wurde hinzugefügt.
- Für die GNOME-Sitzung basierend auf Wayland stehen Firefox-Builds zur Verfügung, die Wayland verwenden. Die Builds basierend auf X11, die in einer Wayland-Umgebung über die Komponente XWayland ausgeführt werden, wurden in ein separates Paket firefox-x11 ausgelagert.
- Die Wayland-Sitzung ist standardmäßig aktiviert für Systeme mit Matrox-GPU (früher wurde Wayland aufgrund von Einschränkungen und Leistungsproblemen mit Matrox-GPUs nicht verwendet, die nun behoben sind).
- Die Unterstützung von GPUs, die in 12. Generation Intel Core-Prozessoren integriert sind, wurde implementiert, einschließlich Intel Core i3 12100T — i9 12900KS, Intel Pentium Gold G7400 und G7400T, Intel Celeron G6900 und G6900T, Intel Core i5-12450HX — i9-12950HX sowie Intel Core i3-1220P — i7-1280P. Unterstützung für die GPU AMD Radeon RX 6[345]00 und AMD Ryzen 5/7/9 6[689]00 wurde hinzugefügt.
- Um die Aktivierung des Schutzes vor Schwachstellen im MMIO-Mechanismus (Memory Mapped Input Output) zu steuern, wurde ein Kernel-Boot-Parameter "mmio_stale_data" implementiert, der die Werte "full" (Aktivierung der Pufferbereinigung beim Wechsel in den Benutzermodus und in die VM), "full,nosmt" (wie "full", zusätzlich wird SMT/Hyper-Threads deaktiviert) und "off" (Schutz deaktiviert) annehmen kann.
- Zur Steuerung der Aktivierung des Schutzes gegen die Retbleed-Schwachstelle wurde ein Kernel-Boot-Parameter "retbleed" implementiert, mit dem der Schutz deaktiviert ("off") oder ein Algorithmus zur Blockierung der Schwachstelle ausgewählt werden kann (auto, nosmt, ibpb, unret).
- Im Bootparameter des Kernels acpi_sleep wurde die Unterstützung neuer Optionen für das Management des Schlafmodus implementiert: s3_bios, s3_mode, s3_beep, s4_hwsig, s4_nohwsig, old_ordering, nonvs, sci_force_enable und nobl.
- Eine große Anzahl neuer Treiber für Netzwerkgeräte, Speichersysteme und Grafikchips wurde hinzugefügt.
- Die experimentelle Unterstützung (Technology Preview) für KTLS (TLS-Implementierung auf Kernel-Ebene) wurde fortgeführt. VPN WireGuard, Intel SGX (Software Guard Extensions), Intel IDXD (Data Streaming Accelerator), DAX (Direct Access) für ext4 und XFS, AMD SEV und SEV-ES im KVM-Hypervisor, der Dienst systemd-resolved, der Speicher-Manager Stratis, Sigstore zur Überprüfung von Containern durch digitale Signaturen, das Paket mit dem grafischen Editor GIMP 2.99.8, die MPTCP (Multipath TCP) Einstellungen über NetworkManager, ACME-Server (Automated Certificate Management Environment), virtio-mem, KVM-Hypervisor für ARM64.
- Das GTK 2 Toolkit sowie die damit verbundenen Pakete adwaita-gtk2-theme, gnome-common, gtk2, gtk2-immodules und hexchat werden als veraltet angesehen. Der X.org Server (standardmäßig wird in RHEL 9 eine GNOME-Session basierend auf Wayland angeboten), der in der nächsten bedeutenden Version von RHEL entfernt werden soll, bleibt jedoch in der Lage, X11-Anwendungen aus einer Wayland-Session über den DDX-Server XWayland auszuführen.
Quelle: opennet.ru
