Suite à la sortie de Red Hat Enterprise Linux 9.2, une mise à jour de la branche précédente de Red Hat Enterprise Linux 8.8 a été publiée, qui est prise en charge en parallèle avec la branche RHEL 9.x et sera prise en charge au moins jusqu'en 2029. Les versions d'installation sont préparées pour les architectures x86_64, s390x (IBM System z), ppc64le et Aarch64, mais sont disponibles en téléchargement uniquement pour les utilisateurs enregistrés du portail client Red Hat (les images ISO CentOS Stream 9 et les versions RHEL gratuites pour les développeurs peuvent également être utilisées). Les sources des packages Red Hat Enterprise Linux 8 rpm sont distribuées via le référentiel CentOS Git.
La préparation des nouvelles versions s'effectue conformément au cycle de développement, ce qui implique la formation des versions tous les six mois à une heure prédéterminée. Jusqu'en 2024, la branche 8.x sera en phase de support complet, impliquant l'inclusion d'améliorations fonctionnelles, après quoi elle passera à la phase de maintenance, au cours de laquelle les priorités se déplaceront vers la correction de bugs et la sécurité, avec des améliorations mineures liées au support. systèmes matériels critiques.
Changements clés :
- Packages serveur et système mis à jour : nginx 1.22, Libreswan 4.9, OpenSCAP 1.3.7, Grafana 7.5.15, powertop rebased 2.15, tuning 2.20.0, NetworkManager 1.40.16, mod_security 2.9.6, samba 4.17.5.
- La composition comprend de nouvelles versions de compilateurs et d'outils pour les développeurs : GCC Toolset 12, LLVM Toolset 15.0.7, Rust Toolset 1.66, Go Toolset 1.19.4, Python 3.11, Node.js 18.14, PostgreSQL 15, Git 2.39.1, Valgrind 3.19. , SystemTap 4.8, Apache Tomcat 9.
- Les paramètres du mode FIPS ont été modifiés pour répondre aux exigences de la norme FIPS 140-3. 3DES, ECDH et FFDH sont désactivés, la taille minimale des clés HMAC est limitée à 112 bits et la taille minimale des clés RSA est de 2048 bits, SHA-224, SHA-384, SHA512-224, SHA512-256, SHA3-224. et les hachages SHA3 sont désactivés dans le générateur de nombres pseudo-aléatoires DRBG -384.
- Les politiques SELinux ont été mises à jour pour permettre à systemd-socket-proxyd de fonctionner.
- Le gestionnaire de packages yum implémente la commande offline-upgrade pour appliquer les mises à jour au système en mode hors ligne. L'essence d'une mise à jour hors ligne est que d'abord, les nouveaux packages sont téléchargés à l'aide de la commande « yum offline-upgrade download », après quoi la commande « yum offline-upgrade reboot » est exécutée pour redémarrer le système dans un environnement minimal et installer les mises à jour existantes. sans interférer avec les processus de travail. Une fois l'installation des mises à jour terminée, le système redémarre dans l'environnement de travail normal. Lors du téléchargement de packages pour les mises à jour hors ligne, vous pouvez appliquer des filtres, par exemple « --advisory », « --security », « --bugfix ».
- Un nouveau package synce4l a été ajouté pour tirer parti de la technologie de synchronisation de fréquence SyncE (Synchronous Ethernet), prise en charge par certaines cartes réseau et commutateurs réseau, et permettant une communication plus efficace dans les applications RAN (Radio Access Network) grâce à une synchronisation temporelle plus précise.
- Un nouveau fichier de configuration /etc/fapolicyd/rpm-filter.conf a été ajouté au framework fapolicyd (File Access Policy Daemon), qui vous permet de déterminer quels programmes peuvent être lancés par un utilisateur spécifique et lesquels ne le peuvent pas, pour configurer la liste des fichiers de base de données pour le gestionnaire de packages RPM qui sont traités fapolicyd. Par exemple, un nouveau fichier de configuration peut être utilisé pour exclure des applications spécifiques installées via le gestionnaire de packages RPM des politiques d'accès.
- Dans le noyau, lors du transfert des informations sur une inondation SYN détectée dans le journal, des informations sur l'adresse IP qui a reçu la connexion sont fournies pour simplifier la détermination de l'objectif de l'inondation sur les systèmes avec des gestionnaires liés à différentes adresses IP.
- Ajout d'un rôle système pour la boîte à outils Podman, vous permettant de gérer les paramètres Podman, les conteneurs et les services systemd qui exécutent les conteneurs Podman. Podman ajoute la prise en charge de la génération d'événements d'audit, de l'attachement de gestionnaires de pré-exécution (/usr/libexec/podman/pre-exec-hooks et /etc/containers/pre-exec-hooks) et de l'utilisation du format Sigstore pour stocker les signatures numériques avec images de conteneurs.
- La boîte à outils d'outils de conteneurs pour gérer les conteneurs isolés a été mise à jour, comprenant des packages tels que Podman, Buildah, Skopeo, crun et runc.
- Un utilitaire de boîte à outils a été ajouté qui vous permet de lancer un environnement isolé supplémentaire, qui peut être configuré de n'importe quelle manière à l'aide du gestionnaire de packages DNF habituel. Le développeur a simplement besoin d'exécuter la commande «toolbox create», après quoi il peut à tout moment entrer dans l'environnement créé avec la commande «toolbox enter» et installer tous les packages à l'aide de l'utilitaire yum.
- Ajout de la prise en charge de la création d'images au format vhd utilisé dans Microsoft Azure pour l'architecture ARM64.
- SSSD (System Security Services Daemon) a ajouté la prise en charge de la conversion des noms de répertoires personnels en caractères minuscules (via l'utilisation de la substitution "%h" dans l'attribut override_homedir spécifié dans /etc/sssd/sssd.conf). De plus, les utilisateurs sont autorisés à modifier le mot de passe stocké dans LDAP (activé en définissant la valeur fantôme pour l'attribut ldap_pwd_policy dans /etc/sssd/sssd.conf).
- La glibc implémente un nouvel algorithme de tri de liaison dynamique DSO qui utilise la recherche en profondeur d'abord (DFS) pour résoudre les problèmes de performances liés aux dépendances en boucle. Pour sélectionner l'algorithme de tri DSO, le paramètre glibc.rtld.dynamic_sort=2 est proposé, qui peut être défini sur « 1 » pour revenir à l'ancien algorithme.
- L'utilitaire rteval fournit des informations récapitulatives sur les charges de programme, les threads et les processeurs utilisés pour exécuter ces threads.
- L'utilitaire oslat a ajouté des options supplémentaires pour mesurer les retards.
- Ajout de nouveaux pilotes pour SoC Intel Elkhart Lake, Solarflare Siena, NVIDIA sn2201, AMD SEV, AMD TDX, ACPI Video, Intel GVT-g pour KVM, HP iLO/iLO2.
- Ajout d'un support expérimental pour les cartes graphiques discrètes Intel Arc (DG2/Alchemist). Pour activer l'accélération matérielle sur de telles cartes vidéo, vous devez spécifier l'ID PCI de la carte au démarrage via le paramètre du noyau « i915.force_probe=pci-id ».
- Le package inkscape inkscape1 a été remplacé par inkscape1, qui utilise Python 3. La version d'Inkscape a été mise à jour de 0.92 à 1.0.
- En mode kiosque, vous pouvez utiliser le clavier à l'écran GNOME.
- La bibliothèque libsoup et le client de messagerie Evolution ont ajouté la prise en charge de l'authentification dans Microsoft Exchange Server à l'aide du protocole NTLMv2.
- GNOME offre la possibilité de personnaliser le menu contextuel affiché lorsque vous cliquez avec le bouton droit sur le bureau. L'utilisateur peut désormais ajouter des éléments au menu pour exécuter des commandes arbitraires.
- GNOME vous permet de désactiver le changement de bureau virtuel en vous déplaçant vers le haut ou vers le bas avec trois doigts sur le pavé tactile.
- Continuation de la prise en charge expérimentale (aperçu technologique) d'AF_XDP, du déchargement matériel XDP, de Multipath TCP (MPTCP), MPLS (Multi-protocol Label Switching), DSA (data streaming accelerator), KTLS, dracut, kexec fast reboot, nispor, DAX in ext4 et xfs, résolu par systemd, accel-config, igc, OverlayFS, Stratis, Software Guard Extensions (SGX), NVMe/TCP, DNSSEC, GNOME sur les systèmes ARM64 et IBM Z, AMD SEV pour KVM, Intel vGPU, Toolbox.
Source: opennet.ru