Red Hat hat die Version von Red Hat Enterprise Linux 8.7 veröffentlicht. Die Installationsversionen sind für die Architekturen x86_64, s390x (IBM System z), ppc64le und Aarch64 vorbereitet, stehen jedoch nur registrierten Nutzern des Red Hat Customer Portals zum Download zur Verfügung. Der Quellcode der RPM-Pakete von Red Hat Enterprise Linux 8 wird über das Git-Repository von CentOS veröffentlicht. Der Branch 8.x wird parallel zum Branch RHEL 9.x betreut und bleibt mindestens bis 2029 unterstützt.
Die Vorbereitung neuer Versionen erfolgt gemäß einem Entwicklungszyklus, der eine Veröffentlichung alle sechs Monate zu festgelegten Zeiten vorsieht. Bis 2024 wird der Branch 8.x in der vollständigen Unterstützung sein, was funktionale Verbesserungen beinhaltet. Anschließend wird er in die Wartungsphase übergehen, in der die Priorität auf Fehlerbehebungen und Sicherheitsupdates liegt, mit geringfügigen Verbesserungen zur Unterstützung wichtiger Hardwaresysteme.
Wichtige Änderungen:
- Die Funktionen des Tools zur Erstellung von Systemabbildern wurden erweitert. Jetzt können Abbilder in GCP (Google Cloud Platform) hochgeladen, direkt im Container-Registry abgelegt, die Größe der Partition /boot konfiguriert und Parameter (Blueprint) während der Erstellung des Abbilds angepasst werden (zum Beispiel das Hinzufügen von Paketen und das Erstellen von Benutzern).
- Es besteht die Möglichkeit, den Clevis-Client (clevis-luks-systemd) zur automatischen Entsperrung von Festplattenpartitionen zu verwenden, die mit LUKS verschlüsselt sind und in einer späteren Phase des Bootvorgangs eingebunden werden, ohne dass der Befehl „systemctl enable clevis-luks-askpass.path“ erforderlich ist.
- Ein neues Paket namens xmlstarlet wurde vorgeschlagen, das Dienstprogramme zum Parsen, Transformieren, Validieren, Extrahieren und Bearbeiten von XML-Dateien umfasst.
- Eine vorläufige Möglichkeit zur Authentifizierung von Benutzern mithilfe externer Anbieter (IdP, identity provider), die die Erweiterung des OAuth 2.0-Protokolls „Device Authorization Grant“ unterstützen und es ermöglichen, OAuth-Zugriffstoken an Geräte ohne Verwendung eines Browsers bereitzustellen, wurde hinzugefügt.
- Die Möglichkeiten der Systemrollen wurden erweitert. So unterstützt die Rolle "network" nun die Konfiguration von Routing-Regeln und die Nutzung der API nmstate. In der Rolle "logging" wurde die Unterstützung für die Filterung nach regulären Ausdrücken (startmsg.regex, endmsg.regex) hinzugefügt. Die Rolle "storage" erhält Unterstützung für Partitionen, die dynamisch Speicherplatz im Storage erhalten („thin provisioning“). Die Rolle "sshd" erlaubt nun die Verwaltung über /etc/ssh/sshd_config. In der Rolle "metrics" wurde der Export von Postfix-Leistungsstatistiken hinzugefügt. Die Rolle "firewall" implementiert die Möglichkeit zur Rückschreibung frühere Konfigurationen und bietet Unterstützung für das Hinzufügen, Aktualisieren und Löschen von Diensten abhängig vom Status.
- Die Server- und Systempakete wurden aktualisiert: chrony 4.2, unbound 1.16.2, opencryptoki 3.18.0, powerpc-utils 1.3.10, libva 2.13.0, PCP 5.3.7, Grafana 7.5.13, SystemTap 4.7, NetworkManager 1.40, samba 4.16.1.
- Neue Versionen von Compilern und Entwickler-Tools sind enthalten: GCC Toolset 12, LLVM Toolset 14.0.6, Rust Toolset 1.62, Go Toolset 1.18, Ruby 3.1, java-17-openjdk (java-11-openjdk und java-1.8.0-openjdk werden ebenfalls weiterhin bereitgestellt), Maven 3.8, Mercurial 6.2, Node.js 18, Redis 6.2.7, Valgrind 3.19, Dyninst 12.1.0, elfutils 0.187.
- Die Konfiguration von sysctl wurde an die Verzeichnissierungsreihenfolge in systemd angepasst – Konfigurationsdateien im Verzeichnis /etc/sysctl.d haben nun eine höhere Priorität als im Verzeichnis /run/sysctl.d.
- Das ReaR (Relax-and-Recover)-Toolset ermöglicht nun die Ausführung beliebiger Befehle vor und nach der Wiederherstellung.
- In den NSS-Bibliotheken wurde die Unterstützung für RSA-Schlüssel mit weniger als 1023 Bit eingestellt.
- Die Zeit für die Speicherung von sehr großen iptables-Regelsätzen mit dem Tool iptables-save wurde erheblich verkürzt.
- Der Schutzmodus gegen SSBD (spec_store_bypass_disable) und STIBP (spectre_v2_user) wurde von „seccomp“ auf „prctl“ umgestellt, was sich positiv auf die Leistung von Containern und Anwendungen ausgewirkt hat, die das seccomp-Mechanismus zur Einschränkung des Zugriffs auf Systemaufrufe verwenden.
- Der Treiber für Intel E800 Ethernet-Adapter unterstützt jetzt die Protokolle iWARP und RoCE.
- Im Paket ist das Tool nfsrahead enthalten, das zur Anpassung der Vorleseparameter in NFS verwendet werden kann.
- In den Apache httpd-Einstellungen wurde der Wert für den Parameter LimitRequestBody von 0 (ohne Einschränkungen) auf 1 GB geändert.
- Ein neues Paket make-latest wurde hinzugefügt, das die neueste Version des Tools make enthält.
- In libpfm und papi wurde Unterstützung für die Leistungsüberwachung auf Systemen mit AMD Zen 2 und Zen 3 Prozessoren hinzugefügt.
- In SSSD (System Security Services Daemon) wurde die Unterstützung für das Caching von SID-Anfragen (z. B. GID/UID-Überprüfungen) im Arbeitsspeicher implementiert, was die Kopieroperationen von großen Dateien über Samba beschleunigt hat. Zudem wird die Integration mit Windows Server 2022 unterstützt. der Server Für 64-Bit-Systeme von IBM POWER (ppc64le) wurden Pakete mit Unterstützung für das Grafik-API Vulkan hinzugefügt.
- Die Unterstützung für die neuen GPU AMD Radeon RX 6[345]00 und AMD Ryzen 5/7/9 6[689]00 wurde realisiert. Die Unterstützung für Intel Alder Lake-S und Alder Lake-P GPUs ist standardmäßig aktiviert, für die man zuvor den Parameter i915.alpha_support=1 oder i915.force_probe=* setzen musste.
- Die Web-Konsole bietet jetzt die Möglichkeit, Kryptopolitiken anzupassen, das Laden und Installieren von RHEL in virtuellen Maschinen wurde ermöglicht, und es gibt eine Schaltfläche für die separate Installation von Kernel-Patches für Linux. Außerdem wurden die Diagnosereports erweitert und eine Option für einen Neustart nach Abschluss der Aktualisierung installiert.
- In mdevctl wurde Unterstützung für den Befehl ap-check hinzugefügt, um die Durchleitung für den Zugriff auf Krypto-Beschleuniger einzurichten.
- In mdevctl wurde die Unterstützung des ap-check-Befehls zur Konfiguration des Durchleitens von virtuelle Maschinen Zugriff auf Krypto-Beschleuniger hinzugefügt.
- Vollständige Unterstützung für den Hypervisor VMware ESXi und die SEV-ES-Erweiterungen (AMD Secure Encrypted Virtualization-Encrypted State) ist implementiert. Unterstützung für Cloud-Umgebungen mit Azure und Prozessoren auf Basis der Ampere Altra Architektur wurde hinzugefügt.
- Das Toolkit zur Verwaltung isolierter Container wurde aktualisiert und beinhaltet Pakete wie Podman, Buildah, Skopeo, crun und runc. Unterstützung für GitLab Runner in Containern mit Podman-Runtime wurde hinzugefügt. Für die Konfiguration der Netzwerksubsysteme der Container steht das Tool netavark sowie der DNS-Server Aardvark zur Verfügung.
- Um die Aktivierung des Schutzes vor Schwachstellen im MMIO-Mechanismus (Memory Mapped Input Output) zu steuern, wurde ein Kernel-Boot-Parameter "mmio_stale_data" implementiert, der die Werte "full" (Aktivierung der Pufferbereinigung beim Wechsel in den Benutzermodus und in die VM), "full,nosmt" (wie "full", zusätzlich wird SMT/Hyper-Threads deaktiviert) und "off" (Schutz deaktiviert) annehmen kann.
- Zur Steuerung der Aktivierung des Schutzes gegen die Retbleed-Schwachstelle wurde ein Kernel-Boot-Parameter "retbleed" implementiert, mit dem der Schutz deaktiviert ("off") oder ein Algorithmus zur Blockierung der Schwachstelle ausgewählt werden kann (auto, nosmt, ibpb, unret).
- Im Bootparameter des Kernels acpi_sleep wurde die Unterstützung neuer Optionen für das Management des Schlafmodus implementiert: s3_bios, s3_mode, s3_beep, s4_hwsig, s4_nohwsig, old_ordering, nonvs, sci_force_enable und nobl.
- Neue Treiber wurden hinzugefügt für Maxlinear Ethernet GPY (mxl-gpy), Realtek 802.11ax 8852A (rtw89_8852a), Realtek 802.11ax 8852AE (rtw89_8852ae), Modem Host Interface (MHI), AMD PassThru DMA (ptdma), Cirrus Logic DSP (cs_dsp), DRM DisplayPort (drm_dp_helper), Intel® Software Defined Silicon (intel_sdsi), Intel PMT (pmt_*), AMD SPI Master Controller (spi-amd).
- Die Unterstützung für das eBPF-Kernsubsystem wurde erweitert.
- Die experimentelle Unterstützung (Technology Preview) für AF_XDP, XDP-Hardware-Offloading, Multipath TCP (MPTCP), MPLS (Multiprotocol Label Switching), DSA (Data Streaming Accelerator), KTLS, dracut, kexec schnelles Neustarten, nispor, DAX in ext4 und xfs, systemd-resolved, accel-config, igc, OverlayFS, Stratis, Software Guard Extensions (SGX), NVMe/TCP, DNSSEC, GNOME auf ARM64- und IBM Z-Systemen sowie AMD SEV für KVM und Intel vGPU wird weiterhin bereitgestellt.
Quelle: opennet.ru
