ProHoster > Blog > actualités internet > Version de distribution de Red Hat Enterprise Linux 9.1

Version de distribution de Red Hat Enterprise Linux 9.1

Red Hat a publié la version de la distribution Red Hat Enterprise Linux 9.1. Des images d'installation prêtes à l'emploi sont disponibles pour les utilisateurs enregistrés du portail client Red Hat (les images ISO CentOS Stream 9 peuvent également être utilisées pour évaluer les fonctionnalités). La version est conçue pour les architectures x86_64, s390x (IBM System z), ppc64le et Aarch64 (ARM64). Le code source des packages Red Hat Enterprise Linux 9 rpm est disponible dans le référentiel CentOS Git.

La branche RHEL 9 est développée avec un processus de développement plus ouvert et utilise comme base la base de packages CentOS Stream 9. CentOS Stream se positionne comme un projet en amont pour RHEL, permettant aux participants tiers de contrôler la préparation des packages pour RHEL, proposer leurs changements et influencer les décisions prises. Conformément au cycle de support de 10 ans pour la distribution, RHEL 9 sera pris en charge jusqu'en 2032.

Changements clés :

  • Packages serveur et système mis à jour : firewalld 1.1.1, chrony 4.2, unbound 1.16.2, frr 8.2.2, Apache httpd 2.4.53, opencryptoki 3.18.0, powerpc-utils 1.3.10, libvpd 2.2.9, lsvpd 1.7.14. 64, ppc2.7-diag 5.3.7, PCP 7.5.13, Grafana 4.16.1, samba XNUMX.
  • La composition comprend de nouvelles versions de compilateurs et d'outils pour les développeurs : GCC 11.2.1, GCC Toolset 12, LLVM Toolset 14.0.6, binutils 2.35.2, PHP 8.1, Ruby 3.1, Node.js 18, Rust Toolset 1.62, Go Toolset 1.18.2. .3.8, Maven 17, java-11-openjdk (java-1.8.0-openjdk et java-7.0-openjdk continuent également d'être livrés), .NET 10.2, GDB 3.19, Valgrind 4.7, SystemTap 12.1.0, Dyninst 0.187, elfutils XNUMX.
  • Les améliorations implémentées dans les noyaux Linux 5.15 et 5.16 ont été transférées au sous-système eBPF (Berkeley Packet Filter). Par exemple, pour les programmes BPF, la possibilité de demander et de traiter des événements de minuterie a été implémentée, la possibilité de recevoir et de définir des options de socket pour setsockopt, la prise en charge de l'appel des fonctions du module du noyau, un filtre bloom de structure de stockage de données probabiliste (carte BPF) a été proposé, et la possibilité de lier des balises aux paramètres de fonction a été ajoutée.
  • L'ensemble des correctifs pour les systèmes temps réel utilisés dans le noyau kernel-rt a été mis à jour vers un état correspondant au noyau 5.15-rt.
  • L'implémentation du protocole MPTCP (MultiPath TCP), utilisé pour organiser le fonctionnement d'une connexion TCP avec livraison de paquets simultanément sur plusieurs routes via différentes interfaces réseau, a été mise à jour. Modifications reportées du noyau Linux 5.19 (par exemple, ajout de la prise en charge de la restauration des connexions MPTCP vers TCP standard et proposition d'une API pour gérer les flux MPTCP à partir de l'espace utilisateur).
  • Sur les systèmes équipés de processeurs ARM, AMD et Intel 64 bits, il est possible de modifier le comportement du mode temps réel dans le noyau au moment de l'exécution en écrivant le nom du mode dans le fichier « /sys/kernel/debug/sched/preempt " ou au moment du démarrage via un paramètre du noyau " preempt = " (aucun, les modes volontaires et complets sont pris en charge).
  • Les paramètres du chargeur de démarrage GRUB ont été modifiés pour masquer le menu de démarrage par défaut, le menu indiquant si un démarrage précédent a échoué. Pour afficher le menu lors du démarrage, vous pouvez maintenir la touche Shift enfoncée ou appuyer périodiquement sur les touches Esc ou F8. Pour désactiver le masquage, vous pouvez utiliser la commande « grub2-editenv - unset menu_auto_hide ».
  • La prise en charge de la création d'horloges matérielles virtuelles (PHC, PTP Hardware Clocks) a été ajoutée au pilote PTP (Precision Time Protocol).
  • Ajout de la commande modulesync, qui charge les packages RPM à partir des modules et crée un référentiel dans le répertoire de travail avec les métadonnées nécessaires à l'installation des packages de modules
  • Tuned, un service permettant de surveiller l'état du système et d'optimiser les profils pour des performances maximales en fonction de la charge actuelle, offre la possibilité d'utiliser le package tuned-profiles-realtime pour isoler les cœurs de processeur et fournir aux threads d'application toutes les ressources disponibles.
  • NetworkManager implémente la traduction des profils de connexion du format de paramètres ifcfg (/etc/sysconfig/network-scripts/ifcfg-*) vers un format basé sur le fichier de clé. Pour migrer les profils, vous pouvez utiliser la commande « nmcli connection migrate ».
  • La boîte à outils SELinux a été mise à jour vers la version 3.4, ce qui améliore les performances de réétiquetage grâce à la parallélisation des opérations, l'option « -m » (« --checksum ») a été ajoutée à l'utilitaire semodule pour obtenir les hachages SHA256 des modules, mcstrans a été transféré dans la bibliothèque PCRE2. De nouveaux utilitaires pour travailler avec les politiques d'accès ont été ajoutés : sepol_check_access, sepol_compute_av, sepol_compute_member, sepol_compute_relabel, sepol_validate_transition. Ajout de politiques SELinux pour protéger les services ksm, nm-priv-helper, rhcd, stalld, systemd-network-generator, targetclid et wg-quick.
  • Ajout de la possibilité d'utiliser le client Clevis (clevis-luks-systemd) pour déverrouiller automatiquement les partitions de disque chiffrées avec LUKS et montées à un stade de démarrage tardif, sans avoir besoin d'utiliser la commande "systemctl activate clevis-luks-askpass.path".
  • Les capacités de la boîte à outils pour la préparation d'images système ont été étendues, qui prend désormais en charge le téléchargement d'images sur GCP (Google Cloud Platform), le placement de l'image directement dans le registre de conteneurs, l'ajustement de la taille de la partition /boot et l'ajustement des paramètres (Blueprint) lors de la génération d'images (par exemple, ajout de packages et création d'utilisateurs).
  • Ajout de l'utilitaire keylime pour l'attestation (authentification et surveillance continue de l'intégrité) d'un système externe utilisant la technologie TPM (Trusted Platform Module), par exemple, pour vérifier l'authenticité des appareils Edge et IoT situés dans un emplacement non contrôlé où un accès non autorisé est possible.
  • L'édition RHEL pour Edge offre la possibilité d'utiliser l'utilitaire fdo-admin pour configurer les services FDO (FIDO Device Onboard) et créer des certificats et des clés pour eux.
  • SSSD (System Security Services Daemon) a ajouté la prise en charge de la mise en cache des requêtes SID (par exemple, les vérifications GID / UID) dans la RAM, ce qui a permis d'accélérer les opérations de copie d'un grand nombre de fichiers via le serveur Samba. La prise en charge de l'intégration avec Windows Server 2022 est fournie.
  • В OpenSSH минимальный размер RSA-ключей по умолчанию ограничен 2048 битами, а в библиотеках NSS прекращена поддержка ключей RSA, размером менее 1023 бит. Для настройки собственных ограничений в OpenSSH добавлен параметр RequiredRSASize. Добавлена поддержка метода обмена ключами [email protected], résistant au piratage des ordinateurs quantiques.
  • La boîte à outils ReaR (Relax-and-Recover) ajoute la possibilité d'exécuter des commandes arbitraires avant et après la récupération.
  • Le pilote des cartes Ethernet Intel E800 prend en charge les protocoles iWARP et RoCE.
  • Un nouveau package httpd-core a été ajouté, dans lequel un ensemble principal de composants Apache httpd a été déplacé, suffisant pour exécuter un serveur HTTP et associé à un nombre minimum de dépendances. Le package httpd ajoute des modules supplémentaires tels que mod_systemd et mod_brotli et inclut de la documentation.
  • Ajout d'un nouveau package xmlstarlet, qui comprend des utilitaires pour analyser, transformer, valider, extraire des données et éditer des fichiers XML, similaires à grep, sed, awk, diff, patch et join, mais pour XML au lieu de fichiers texte.
  • Les capacités des rôles système ont été étendues, par exemple, le rôle réseau a ajouté la prise en charge de la configuration des règles de routage et de l'utilisation de l'API nmstate, le rôle de journalisation a ajouté la prise en charge du filtrage par expressions régulières (startmsg.regex, endmsg.regex), le rôle de stockage a ajouté la prise en charge des sections pour lesquelles un espace de stockage alloué dynamiquement (« Thin Provisioning »), la possibilité de gérer via /etc/ssh/sshd_config a été ajoutée au rôle sshd, l'exportation des statistiques de performances de Postfix a été ajoutée au rôle rôle de métriques, la possibilité d'écraser la configuration précédente a été implémentée dans le rôle de pare-feu et la prise en charge de l'ajout, de la mise à jour et de la suppression a été fournie en fonction de l'état.
  • La boîte à outils de gestion des conteneurs isolés a été mise à jour, comprenant des packages tels que Podman, Buildah, Skopeo, crun et runc. Ajout de la prise en charge de GitLab Runner dans les conteneurs avec le runtime Podman. Pour configurer le sous-système du réseau de conteneurs, l'utilitaire netavark et le serveur DNS Aardvark sont fournis.
  • Ajout de la prise en charge de la commande ap-check à mdevctl pour configurer le transfert d'accès aux accélérateurs de chiffrement vers les machines virtuelles.
  • Ajout d'une capacité d'aperçu technologique pour authentifier les utilisateurs à l'aide de fournisseurs externes (IdP, fournisseur d'identité) qui prennent en charge l'extension de protocole OAuth 2.0 "Device Authorization Grant" pour fournir des jetons d'accès OAuth aux appareils sans utiliser de navigateur.
  • Pour la session GNOME basée sur Wayland, des versions de Firefox utilisant Wayland sont fournies. Les builds basés sur X11, exécutés dans l'environnement Wayland à l'aide du composant XWayland, sont placés dans un package firefox-x11 distinct.
  • Une session basée sur Wayland est activée par défaut pour les systèmes équipés de GPU Matrox (Wayland n'était auparavant pas utilisé avec les GPU Matrox en raison de limitations et de problèmes de performances, qui ont maintenant été résolus).
  • Prise en charge des GPU intégrés aux processeurs Intel Core de 12e génération, notamment Intel Core i3 12100T - i9 12900KS, Intel Pentium Gold G7400 et G7400T, Intel Celeron G6900 et G6900T Intel Core i5-12450HX - i9-12950HX et Intel Core i3-1220P - i7- 1280P. Ajout de la prise en charge des GPU AMD Radeon RX 6[345]00 et AMD Ryzen 5/7/9 6[689]00.
  • Pour contrôler l'activation de la protection contre les vulnérabilités dans le mécanisme MMIO (Memory Mapped Input Output), le paramètre de démarrage du noyau "mmio_stale_data" est implémenté, qui peut prendre les valeurs "full" (activer le nettoyage du tampon lors du passage à l'espace utilisateur et à la VM ), "full,nosmt" (comme "full" + SMT / Hyper-Threads est également désactivé) et "off" (la protection est désactivée).
  • Pour contrôler l'activation de la protection contre la vulnérabilité Retbleed, le paramètre de démarrage du noyau "retbleed" a été implémenté, grâce auquel vous pouvez désactiver la protection ("off") ou sélectionner l'algorithme de blocage de la vulnérabilité (auto, nosmt, ibpb, unret).
  • Le paramètre de démarrage du noyau acpi_sleep prend en charge de nouvelles options pour contrôler la veille : s3_bios, s3_mode, s3_beep, s4_hwsig, s4_nohwsig, old_ordering, nonvs, sci_force_enable et nobl.
  • Ajout d'une grande partie de nouveaux pilotes pour les périphériques réseau, les systèmes de stockage et les puces graphiques.
  • Fourniture continue de la prise en charge expérimentale (Technology Preview) de KTLS (implémentation de TLS au niveau du noyau), VPN WireGuard, Intel SGX (Software Guard Extensions), Intel IDXD (Data Streaming Accelerator), DAX (accès direct) pour ext4 et XFS, AMD SEV et SEV -ES dans l'hyperviseur KVM, service résolu par systemd, gestionnaire de stockage Stratis, Sigstore pour la vérification des conteneurs à l'aide de signatures numériques, package avec l'éditeur graphique GIMP 2.99.8, paramètres MPTCP (Multipath TCP) via NetworkManager, ACME (Automated Certificate Management Environment), virtio-mem, un hyperviseur KVM pour ARM64.
  • La boîte à outils GTK 2 et ses packages associés adwaita-gtk2-theme, gnome-common, gtk2, gtk2-immodules et hexchat sont obsolètes. Le serveur X.org est obsolète (RHEL 9 propose par défaut une session GNOME basée sur Wayland), qui devrait être supprimé dans la prochaine branche majeure de RHEL, mais conservera la possibilité d'exécuter des applications X11 à partir d'une session Wayland en utilisant le Serveur XWayland DDX.

Source: opennet.ru

Ajouter un commentaire