Veröffentlichung von Red Hat Enterprise Linux 9.3

Die Firma Red Hat hat die Veröffentlichung der Distribution Red Hat Enterprise Linux 9.3 bekannt gegeben (der neue Zweig wurde letzte Woche angekündigt, die Release-Notes wurden jedoch erst gestern veröffentlicht, zuvor war auf der Website ein Beta-Hinweis zu finden). Ein Update des vorherigen Zweigs RHEL 8.9 wird am 15. November erwartet. Die fertigen Installationsabbilder sind für registrierte Benutzer des Red Hat Customer Portal verfügbar (zur Evaluierung der Funktionalität können auch ISO-Images von CentOS Stream 9 und kostenlose RHEL-Entwicklungsversionen verwendet werden). Die Veröffentlichung wurde für die Architekturen x86_64, s390x (IBM System z), ppc64le und Aarch64 (ARM64) erstellt.

Der Branch RHEL 9 entwickelt sich mit einem offeneren Entwicklungsprozess und nutzt als Grundlage das Paket-Repository CentOS Stream 9. CentOS Stream wird als Upstream-Projekt für RHEL positioniert, das externen Beteiligten die Möglichkeit bietet, die Erstellung der Pakete für RHEL zu überwachen, eigene Änderungen vorzuschlagen und Einfluss auf die getroffenen Entscheidungen zu nehmen. Im Einklang mit dem 10-jährigen Supportzyklus wird RHEL 9 bis 2032 unterstützt.

RHEL 9.3 ist die erste Version, deren Quelltexte der rpm-Pakete nicht im öffentlichen Repository git.centos.org bereitgestellt werden. Diese sind ausschließlich für die Kunden des Unternehmens über einen geschlossenen Bereich der Website zugänglich, welcher einem Endbenutzervertrag (EULA) unterliegt, der die Redistribution dieser Daten verbietet. Dies hindert Nutzer daran, diese Pakete zur Erstellung abgeleiteter Distributionen zu verwenden. Die Quelltexte sind weiterhin im CentOS Stream Repository verfügbar, jedoch ist dieses nicht vollständig mit RHEL synchronisiert, sodass nicht immer die aktuellsten Paketversionen mit denen von RHEL übereinstimmen. Rocky Linux, Oracle und SUSE haben ihre Kräfte gebündelt und reproduzieren nun die Quelltexte der rpm-Pakete der RHEL-Versionen im Rahmen des Projekts OpenELA.

Wesentliche Änderungen in RHEL 9.3:

  • Enthalten sind neue Versionen von Compilern und Entwicklertools: GCC Toolset 13, LLVM Toolset 16.0.6, Rust Toolset 1.71.1, Go Toolset 1.20.10, GCC 11.4.1 (systemeigener Compiler), Redis 7, Node.js 20, java-21-openjdk (java-17-openjdk, java-11-openjdk und java-1.8.0-openjdk werden weiterhin bereitgestellt), Valgrind 3.21, SystemTap 4.9, elfutils 0.189, PCP 6.0.5, Grafana 9.2.10.
  • Die Server- und Systempakete wurden aktualisiert: samba 4.18.6, iproute 6.2.0, Apache httpd 2.4.57 (+ mod_authnz_fcgi-Modul hinzugefügt), SEtools 4.4.3, OpenSCAP 1.3.8, opencryptoki 3.21.0, NetworkManager 1.44, xdp-tools 1.4.0, perf 6.2, dmpd 1.0.2, nvme-cli 2.4, Pacemaker 2.1.6, 389-ds-base 2.3.4.
  • Im Paketmanager DNF wurde der Befehl „reboot“ für einen automatischen Neustart nach Abschluss des Updates hinzugefügt. Es stehen folgende Modi zur Verfügung: „never“ (Standard) — kein Neustart, „when-changed“ — Neustart nach jedem Update (dnf upgrade) und „when-needed“ — Neustart nur, wenn die vorgenommenen Änderungen dies erfordern (z. B. nach der Installation eines Kernels oder systemd). Für das Herunterfahren anstelle eines Neustarts gibt es die Option „—poweroff“.
  • Neue Plugins wurden in DNF hinzugefügt: „dnf leaves“ zur Anzeige aller installierten Pakete, die keine Abhängigkeiten für andere Pakete sind; „show-leaves“ zur Anzeige recently installierter ähnlicher Pakete oder Pakete, die nach der Transaktion nicht mehr als Abhängigkeiten verwendet werden.
  • Die Implementierungen der Protokolle SCTP (Stream Control Transmission Protocol) und MPTCP (Multipath TCP) wurden aus der aktuellen Linux-Kernel-Version übernommen.
  • Die ARM64-Plattform unterstützt vollständig USB-Kameras, kabellose Adapter (Wi-Fi) und Bluetooth.
  • Vollständige Unterstützung für die diskreten Intel Arc A-Series (Alchemist oder DG2) Grafikkarten wurde bereitgestellt.
  • Die Implementierung des eBPF-Subsystems ist mit dem Linux-Kernel 6.3 synchronisiert.
  • Das Stratis-Toolset zur Verwaltung lokaler Speicher wurde hinzugefügt und bietet Funktionen wie dynamische Speicherzuweisung, Snapshots, Integritätsprüfung und Layer-Caching.
  • Im systemd-udevd wurden Änderungen vorgenommen, um unveränderliche Namen für InfiniBand-Netzwerkschnittstellen zuzuweisen.
  • Postfix unterstützt jetzt die Überprüfung von SRV-DNS-Einträgen, um den Host und den Port des Mailservers zu bestimmen, der für die Nachrichtenübertragung verwendet wird. Diese Option kann in Infrastrukturen genutzt werden, in denen Dienste mit dynamisch zugewiesenen Netzwerkportnummern für den Mailversand verwendet werden.
  • Im Paket cups-filters wurde der Treiber LF-to-CRLF hinzugefügt, der verwendet werden kann, um die Zeichen "\n" (Zeilenumbruch) in "\r\n" (Wagenrücklauf und Zeilenumbruch) für Drucker zu konvertieren, die nur Dateien mit Zeilenende "\r\n" verarbeiten können.
  • In FUSE3 wurde die Möglichkeit hinzugefügt, ein Verzeichniselement zu annullieren, ohne die damit verbundenen Montagepunkte automatisch abzuhängen.
  • Im NetworkManager wurde die Unterstützung der Option „no-aaaa“ in resolv.conf hinzugefügt, die das Senden von DNS-Anfragen für AAAA-Einträge (IPv6-Adresse anhand des Hostnamens bestimmen) deaktiviert. Es wurde die Unterstützung der Option „lacp_active“ für die Verarbeitung von LACPDU (Link Aggregation Control Protocol Data Units) hinzugefügt. Ein Neustart des NetworkManagers erfolgt nun nach dem Neustart des dbus-Dienstes. Es wird eine Benachrichtigung ausgegeben, wenn für Verbindungskonfigurationen ein altes Format von ifcfg verwendet wird. Unterstützung für die Eigenschaften: link.tx-queue-length, link.gro-max-size, link.gso-max-segments und link.gso-max-size wurde ebenfalls hinzugefügt.
  • Für dasselbe Netzwerkinterface erlaubt NetworkManager sowohl statische als auch dynamische (DHCP) Einstellungen. Beispielsweise kann mit dem Tool nmstate eine statische Adresse für ein Interface vergeben werden, das DHCP unterstützt. In nmstate ist es möglich, Einstellungen an ein Netzwerkinterface basierend auf der MAC-Adresse zu binden, anstatt den Namen des Interfaces zu verwenden.
  • Die Hardwareunterstützung wurde erweitert. Die Unterstützung für den ARM64 CPU NVIDIA Grace wurde hinzugefügt. Der Intel QAT Treiber mit Unterstützung für Intel Quick Assist Technology 401xx/402xx wurde aus dem Linux-Kernel 6.2 übernommen.
  • Zum Schutz vor Spectre v2-Angriffen, die mit spekulativer Ausführung von Anweisungen verbunden sind, wurde der AutoIBRS-Modus (Automatic Indirect Branch Restricted Speculation) hinzugefügt, der in AMD CPUs ab der EPYC 9004 Genoa-Familie unterstützt wird.
  • Für Container wurde die Verwendung virtueller Chips zur Speicherung kryptografischer Schlüssel (vTPM), die auf einem gemeinsamen physischen TPM (Trusted Platform Module) basieren, ermöglicht.
  • In LVM wurde die Unterstützung für logische Partitionen vmcore für Kernel-Dumps, die von der kdump-Subsystem erzeugt werden, hinzugefügt.
  • In die Installationspakete wurde der Parameter „inst.wait_for_disks” eingefügt, der die Wartezeit für das Laden der Kickstart-Datei oder die Bereitstellung der Treiber während des Bootvorgangs festlegt.
  • Im Installationsprogramm für ARM-Systeme gibt es jetzt die Möglichkeit, die Kernel-Variante auszuwählen (zum Beispiel mit 64 KB großen Speicherseiten). Das Minimalinstallationspaket enthält nicht mehr das Paket s390utils-base, sondern nur noch s390utils-core.
  • Im RHEL-Image-Builder wurde die Möglichkeit hinzugefügt, Dateien im OVA-Format für VMware vSphere zu generieren.
  • In den Kickstart-Dateien wurden der Netzwerk-Befehl um neue Optionen erweitert: „—ipv4-dns-search“ und „—ipv6-dns-search“ zur Festlegung der Basisdomänen für die Direktive „search“ in /etc/resolv.conf, sowie die Optionen „—ipv4-ignore-auto-dns“ und „—ipv6-ignore-auto-dns“ zum Ignorieren der DNS-Einstellungen über DHCP.
  • Die Unterstützung für die TLS-Erweiterung EMS (Extended Master Secret, RFC 7627), die zur Einhaltung der FIPS-140-3-Anforderungen bei TLS 1.2-Verbindungen erforderlich ist, wurde verbessert.
  • OpenSSH beginnt, die Verwendung von SHA-1-basierten Algorithmen zugunsten von SHA-2 abzubauen. Wenn keine SW-Keys auf SHA-1 basieren, wird sshd nun ausschließlich SHA-2 zur Bestätigung von Host-Schlüsseln verwenden, was zu Kompatibilitätsproblemen mit RHEL 8-Clients und älteren Versionen führen kann. Server SHA-1-basierte Schlüssel fehlen, wird sshd nun ausschließlich SHA-2 zur Bestätigung von Hostschlüsseln verwenden, was zu Kompatibilitätsproblemen mit RHEL 8-Clients und älteren Versionen führen kann.
  • OpenSSL unterstützt jetzt die Konfiguration von Sicherheitsparametern für die elliptischen Kurven Brainpool und bietet Schutz gegen RSA-Entschlüsselungsangriffe, die auf der Messung von Operationen basieren.
  • RPCSEC GSS Kerberos V5 unterstützt jetzt die Verschlüsselungsmethoden camellia128-cts-cmac, camellia256-cts-cmac, aes128-cts-hmac-sha256-128 und aes256-cts-hmac-sha384-192.
  • Die Audit-Tools unterstützen jetzt FANOTIFY-Ereignisse und ermöglichen das Protokollieren von Feldern wie fan_type (Ereignistyp), fan_info (verwandte Informationen), sub_trust und obj_trust (Vertrauensebenen für Subjekt und Objekt des Ereignisses). Der fapolicyd-Service überträgt zur Vereinfachung der Problembehebung die Regelnummern für abgelehnte API-Anfragen an fanotify.
  • Eine systemweite Rolle für die Keylime-Toolchain wurde hinzugefügt, die die Einrichtung des Registrars und des Verifiers für Keylime erleichtert, welcher zur Authentifizierung und zur kontinuierlichen Überwachung der Integrität externer Systeme verwendet wird. Beispielsweise können die Authentizität von Edge- und IoT-Geräten, die sich an ungesicherten Standorten befinden und potenziell unbefugtem Zugriff ausgesetzt sind, überprüft werden. Die neue Version 7.3 von Keylime ist aktiv.
  • Eine systemweite Rolle für die Verwaltung und Installation von systemd-Einheiten wurde hinzugefügt. Eine systemweite Rolle für die Installation, Konfiguration, Verwaltung und den Betrieb von PostgreSQL-Datenbanken wurde ebenfalls eingeführt. Der systemweiten Rolle für die Firewall wurde die Unterstützung zur Definition, Änderung und Löschung von ipsets hinzugefügt.
  • In SELinux wurde die Option virt_qemu_ga_run_unconfined hinzugefügt, die es dem qemu-ga (QEMU Guest Agent) ermöglicht, im ungeschützten Modus (Domaine unconfined_t) Befehle wie mount auszuführen, die ursprünglich durch SELinux eingeschränkt waren. SELinux-Richtlinien wurden zum Schutz der Dienste qat, systemd-pstore, boothd, fdo-manufacturing-server, fdo-rendezvous-server, fdo-client-linuxapp und fdo-owner-onboarding-server hinzugefügt.
  • Die Unterstützung für die Virtualisierung der 4. Generation von Intel Xeon Scalable-Prozessoren (Sapphire Rapids) wurde hinzugefügt, was die Nutzung der CPU-Modell SapphireRapids in virtuellen Maschinen ermöglicht und die erweiterten Virtualisierungsfunktionen dieser Prozessoren verfügbar macht.
  • In Podman wurde die Unterstützung für Container hinzugefügt, die mit dem zstd-Algorithmus komprimiert sind. Es wurde die Möglichkeit eingeführt, Quadlets zur automatischen Generierung von systemd-Diensten aus Containerbeschreibungen zu verwenden. Eine neue Shell namens podmansh wurde hinzugefügt, die anstelle von /usr/bin/bash verwendet werden kann, um eine Benutzersitzung im Container zu starten. Die Versionen von Podman, Buildah, Skopeo, crun und runc wurden aktualisiert.
  • Neue Kernel-Befehlszeilenparameter hinzugefügt:
    • amd_pstate zur Steuerung der Energieverbrauchsmodi von AMD-CPUs;
    • arm64.nosve zur Deaktivierung von SVE (Scalable Vector Extension);
    • arm64.nosme zur Deaktivierung von SME (Scalable Matrix Extension);
    • gather_data_sampling zur Steuerung des Schutzmodus gegen GDS-Angriffe (Gather Data Sampling oder Downfall);
    • nospectre_bhb zur Deaktivierung des Spectre-BHB-Schutzes;
    • trace_clock zur Einstellung des Zeitgebers für Ereignistrace.
  • Die Funktionen für Cluster- und Hochverfügbarkeitssysteme wurden erweitert: Der LVM-Activate-Agent unterstützt jetzt den Austausch (Failover) von Gruppierungen, in denen keine physischen Partitionen vorhanden sind. In die Clusterressourcen-Agenten IPaddr2 und IPsrcaddr wurde die Unterstützung von Policy Routing integriert. Der Agent ocf:heartbeat:Filesystem unterstützt jetzt das EFS-Dateisystem (Amazon Elastic File System).
  • Es wurden neue Container-Images mit FDO (FIDO Device Onboard)-Einstellungen hinzugefügt: fdo-manufacturing-server, fdo-owner-onboarding-server, fdo-rendezvous-server und fdo-serviceinfo-api-server. Ein neues Container-Image rhel9/squid wurde mit dem Squid-Proxyserver hinzugefügt. In der Edition 'RHEL for Edge' wird die Unterstützung neuer Bildtypen 'minimal-raw', 'edge-vsphere' (*.vmdk) und 'edge-ami' (*.ami) umgesetzt.
  • Die AMI-Images für Cloud-Umgebungen AWS EC2 unterstützen nun das Booten im UEFI-Modus.
  • Für die Verwendung mit Smartcards und USB-Tokens CCID (Chip Card Interface Device) und ICCD (Integrated Circuit Card Device) wurde eine neue Version des Treibers pcsc-lite-ccid 1.5.2 eingeführt, die Probleme mit dem Controller Alcor Micro AU9560 behebt und die Unterstützung neuer Smartcard-Leser hinzufügt.
  • Die Pakete initial-setup und pmdk (Persistent Memory Development Kit) wurden als veraltet erklärt.
  • Experimentelle Unterstützung für die Protokolle PRP (Parallel Redundancy Protocol) und HSR (High-availability Seamless Redundancy) wurde hinzugefügt.
  • Eine experimentelle Möglichkeit zur hardwarebeschleunigten IPsec-Verschlüsselung wurde implementiert, indem die Paketin-Encapsulationsoperationen auf die Netzwerkkarte ausgelagert werden.
  • Experimentelle Unterstützung für SRv6 (Segment Routing über IPv6) wurde hinzugefügt.
  • Die experimentelle Implementierung von kTLS (TLS auf Kernel-Ebene) wurde mit Kernel 6.3 synchronisiert. Die Nutzung von kTLS zur Beschleunigung von GnuTLS wird unterstützt.
  • Es wurde experimentelle Unterstützung für die asynchrone Eingabe-/Ausgabe-Schnittstelle io_uring hinzugefügt, die durch Unterstützung für polling-basierte Eingabe/Ausgabe und die Möglichkeit, sowohl mit als auch ohne Buffering zu arbeiten, hervorsticht. Im API io_uring haben die Kernel-Entwickler versucht, die Mängel der alten aio-Schnittstelle zu beseitigen. In Bezug auf die Leistung ist io_uring sehr nah an SPDK und übertrifft libaio bei aktivem Polling erheblich.
  • In IdM (Identity Management) wurde experimentelle Unterstützung für das Protokoll zur Verwaltung von Zertifikaten ACME (Automated Certificate Management Environment) hinzugefügt, das im Zertifizierungszentrum Let’s Encrypt verwendet wird.
  • In Podman wurde eine experimentelle Möglichkeit zur Verwendung eines Speicherrückends auf Basis von SQLite (anstatt von BoltDB) hinzugefügt.
  • Die experimentelle (Technology Preview) Unterstützung wird fortgesetzt:
    • VPN WireGuard,
    • Intel SGX (Software Guard Extensions),
    • Intel IDXD (Data Streaming Accelerator),
    • DAX (Direct Access) für ext4 und XFS,
    • AMD SEV und SEV-ES im KVM-Hypervisor,
    • Dienst systemd-resolved,
    • Sigstore-Mechanismus zur Überprüfung von Containern anhand digitaler Signaturen,
    • Paket mit Grafikeditor GIMP 2.99.8,
    • MPTCP (Multipath TCP)-Einstellungen über NetworkManager,
    • DNSSEC in IdM,
    • virtio-mem,
    • Hypervisor KVM für ARM64,
    • Installation auf NVMe über Fibre Channel,
    • Socket-API für TuneD,
    • Soft-iWARP (Internet Wide-area RDMA-Protokoll),
    • GNOME für ARM64 und IBM Z.

    Quelle: opennet.ru

    Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster