ProHoster > blog > notizie internet > Rilascio della distribuzione Red Hat Enterprise Linux 9.1

Rilascio della distribuzione Red Hat Enterprise Linux 9.1

Red Hat ha pubblicato il rilascio della distribuzione Red Hat Enterprise Linux 9.1. Immagini di installazione già pronte sono disponibili per gli utenti registrati del Portale clienti di Red Hat (le immagini ISO di CentOS Stream 9 possono essere utilizzate anche per valutare la funzionalità). La versione è progettata per le architetture x86_64, s390x (IBM System z), ppc64le e Aarch64 (ARM64). Il codice sorgente per i pacchetti RPM di Red Hat Enterprise Linux 9 è disponibile nel repository Git CentOS.

Il ramo RHEL 9 viene sviluppato con un processo di sviluppo più aperto e utilizza come base il pacchetto base CentOS Stream 9. CentOS Stream è posizionato come un progetto upstream per RHEL, consentendo ai partecipanti di terze parti di controllare la preparazione dei pacchetti per RHEL, proporre i loro cambiamenti e influenzare le decisioni prese. In conformità con il ciclo di supporto decennale per la distribuzione, RHEL 10 sarà supportato fino al 9.

Modifiche principali:

  • Pacchetti server e sistema aggiornati: firewalld 1.1.1, chrony 4.2, unbound 1.16.2, frr 8.2.2, Apache httpd 2.4.53, opencryptoki 3.18.0, powerpc-utils 1.3.10, libvpd 2.2.9, lsvpd 1.7.14. 64, ppc2.7-diag 5.3.7, PCP 7.5.13, Grafana 4.16.1, samba XNUMX.
  • La composizione include nuove versioni di compilatori e strumenti per sviluppatori: GCC 11.2.1, GCC Toolset 12, LLVM Toolset 14.0.6, binutils 2.35.2, PHP 8.1, Ruby 3.1, Node.js 18, Rust Toolset 1.62, Go Toolset 1.18.2 .3.8, Maven 17, java-11-openjdk (anche java-1.8.0-openjdk e java-7.0-openjdk continuano a essere forniti), .NET 10.2, GDB 3.19, Valgrind 4.7, SystemTap 12.1.0, Dyninst 0.187, elfutils XNUMX.
  • I miglioramenti implementati nei kernel Linux 5.15 e 5.16 sono stati trasferiti al sottosistema eBPF (Berkeley Packet Filter). Ad esempio, per i programmi BPF, è stata implementata la capacità di richiedere ed elaborare eventi timer, la capacità di ricevere e impostare opzioni socket per setsockopt, il supporto per chiamare funzioni del modulo kernel, è stato implementato un filtro di fioritura della struttura di memorizzazione dei dati probabilistica (mappa BPF). proposto ed è stata aggiunta la possibilità di associare tag a parametri di funzione.
  • L'insieme di patch per i sistemi in tempo reale utilizzati nel kernel kernel-rt è stato aggiornato a uno stato corrispondente al kernel 5.15-rt.
  • È stata aggiornata l'implementazione del protocollo MPTCP (MultiPath TCP), utilizzato per organizzare il funzionamento di una connessione TCP con la consegna di pacchetti contemporaneamente su più percorsi attraverso diverse interfacce di rete. Modifiche riportate dal kernel Linux 5.19 (ad esempio, aggiunto il supporto per il rollback delle connessioni MPTCP al TCP normale e proposta un'API per la gestione dei flussi MPTCP dallo spazio utente).
  • Sui sistemi con processori ARM, AMD e Intel a 64 bit è possibile modificare il comportamento della modalità Real-Time nel kernel in fase di runtime scrivendo il nome della modalità nel file “/sys/kernel/debug/sched/preempt " o all'avvio tramite un parametro del kernel "preempt=" (sono supportate le modalità nessuna, volontaria e completa).
  • Le impostazioni del caricatore di avvio GRUB sono state modificate per nascondere il menu di avvio per impostazione predefinita, con il menu che mostra se un avvio precedente non è riuscito. Per visualizzare il menu durante l'avvio, è possibile tenere premuto il tasto Maiusc o premere periodicamente i tasti Esc o F8. Per disabilitare l'occultamento, è possibile utilizzare il comando "grub2-editenv - unset menu_auto_hide".
  • Il supporto per la creazione di orologi hardware virtuali (PHC, PTP Hardware Clocks) è stato aggiunto al driver PTP (Precision Time Protocol).
  • Aggiunto comando modulesync, che carica i pacchetti RPM dai moduli e crea un repository nella directory di lavoro con i metadati necessari per l'installazione dei pacchetti dei moduli
  • Tuned, un servizio per monitorare l'integrità del sistema e ottimizzare i profili per le massime prestazioni in base al carico corrente, offre la possibilità di utilizzare il pacchetto tuned-profiles-realtime per isolare i core della CPU e fornire ai thread dell'applicazione tutte le risorse disponibili.
  • NetworkManager implementa la traduzione dei profili di connessione dal formato delle impostazioni ifcfg (/etc/sysconfig/network-scripts/ifcfg-*) in un formato basato sul file keyfile. Per migrare i profili, è possibile utilizzare il comando “nmcli Connection Migrate”.
  • Il toolkit SELinux è stato aggiornato alla versione 3.4, che migliora le prestazioni di rietichettatura grazie alla parallelizzazione delle operazioni, è stata aggiunta l'opzione “-m” (“--checksum”) all'utility semodule per ottenere hash SHA256 di moduli, mcstrans è stato trasferito nella libreria PCRE2. Sono state aggiunte nuove utilità per lavorare con le politiche di accesso: sepol_check_access, sepol_compute_av, sepol_compute_member, sepol_compute_relabel, sepol_validate_transition. Aggiunte policy SELinux per proteggere i servizi ksm, nm-priv-helper, rhcd, stalld, systemd-network-generator, targetclid e wg-quick.
  • Aggiunta la possibilità di utilizzare il client Clevis (clevis-luks-systemd) per sbloccare automaticamente le partizioni del disco crittografate con LUKS e montate in una fase di avvio tardivo, senza la necessità di utilizzare il comando "systemctl abilita clevis-luks-askpass.path".
  • Il toolkit per la preparazione delle immagini di sistema è stato ampliato per includere il supporto per il caricamento delle immagini in GCP (Google Cloud Platform), il posizionamento dell'immagine direttamente nel registro del contenitore, la regolazione della dimensione della partizione /boot e la regolazione dei parametri (Blueprint) durante la generazione dell'immagine (ad esempio, aggiunta di pacchetti e creazione di utenti).
  • Aggiunta l'utilità keylime per l'attestazione (autenticazione e monitoraggio continuo dell'integrità) di un sistema esterno utilizzando la tecnologia TPM (Trusted Platform Module), ad esempio per verificare l'autenticità dei dispositivi Edge e IoT situati in una posizione non controllata dove è possibile l'accesso non autorizzato.
  • L'edizione RHEL for Edge offre la possibilità di utilizzare l'utilità fdo-admin per configurare i servizi FDO (FIDO Device Onboard) e creare certificati e chiavi per essi.
  • SSSD (System Security Services Daemon) ha aggiunto il supporto per la memorizzazione nella cache delle richieste SID (ad esempio, controlli GID/UID) nella RAM, il che ha permesso di velocizzare le operazioni di copia di un gran numero di file tramite il server Samba. Viene fornito il supporto per l'integrazione con Windows Server 2022.
  • В OpenSSH минимальный размер RSA-ключей по умолчанию ограничен 2048 битами, а в библиотеках NSS прекращена поддержка ключей RSA, размером менее 1023 бит. Для настройки собственных ограничений в OpenSSH добавлен параметр RequiredRSASize. Добавлена поддержка метода обмена ключами [email protected], resistente all'hacking sui computer quantistici.
  • Il toolkit ReaR (Relax-and-Recover) ha aggiunto la possibilità di eseguire comandi arbitrari prima e dopo il ripristino.
  • Il driver per gli adattatori Ethernet Intel E800 supporta i protocolli iWARP e RoCE.
  • È stato aggiunto un nuovo pacchetto httpd-core, in cui è stato spostato un set principale di componenti httpd Apache, sufficienti per eseguire un server HTTP e associati a un numero minimo di dipendenze. Il pacchetto httpd aggiunge moduli aggiuntivi come mod_systemd e mod_brotli e include la documentazione.
  • Aggiunto un nuovo pacchetto xmlstarlet, che include utilità per l'analisi, la trasformazione, la convalida, l'estrazione di dati e la modifica di file XML, simili a grep, sed, awk, diff, patch e join, ma per XML invece che per file di testo.
  • Le capacità dei ruoli di sistema sono state ampliate, ad esempio, il ruolo di rete ha aggiunto il supporto per l'impostazione delle regole di routing e l'utilizzo dell'API nmstate, il ruolo di registrazione ha aggiunto il supporto per il filtraggio tramite espressioni regolari (startmsg.regex, endmsg.regex), il ruolo storage ha aggiunto il supporto per le sezioni per le quali spazio di storage allocato dinamicamente (“thin provisioning”), la possibilità di gestire tramite /etc/ssh/sshd_config è stata aggiunta al ruolo sshd, l'esportazione delle statistiche sulle prestazioni di Postfix è stata aggiunta al ruolo ruolo metriche, la possibilità di sovrascrivere la configurazione precedente è stata implementata nel ruolo firewall ed è stato fornito il supporto per l'aggiunta, l'aggiornamento e l'eliminazione dei servizi a seconda dello stato.
  • È stato aggiornato il toolkit per la gestione dei contenitori isolati, includendo pacchetti come Podman, Buildah, Skopeo, crun e runc. Aggiunto il supporto per GitLab Runner nei contenitori con runtime Podman. Per configurare il sottosistema di rete del contenitore, vengono forniti l'utilità netavark e il server DNS Aardvark.
  • Aggiunto il supporto per il comando ap-check a mdevctl per configurare l'inoltro dell'accesso agli acceleratori di crittografia alle macchine virtuali.
  • Aggiunta una capacità preliminare (Anteprima tecnologica) di autenticare gli utenti utilizzando provider esterni (IdP, provider di identità) che supportano l'estensione del protocollo OAuth 2.0 "Device Authorization Grant" per fornire token di accesso OAuth ai dispositivi senza utilizzare un browser.
  • Per la sessione GNOME basata su Wayland, vengono fornite build di Firefox che utilizzano Wayland. Le build basate su X11, eseguite nell'ambiente Wayland utilizzando il componente XWayland, sono inserite in un pacchetto separato firefox-x11.
  • Una sessione basata su Wayland è abilitata per impostazione predefinita per i sistemi con GPU Matrox (Wayland in precedenza non veniva utilizzato con GPU Matrox a causa di limitazioni e problemi di prestazioni, che ora sono stati risolti).
  • Supporto per GPU integrate nei processori Intel Core di 12a generazione, inclusi Intel Core i3 12100T - i9 12900KS, Intel Pentium Gold G7400 e G7400T, Intel Celeron G6900 e G6900T Intel Core i5-12450HX - i9-12950HX e Intel Core i3-1220P - i7- 1280P. Aggiunto il supporto per le GPU AMD Radeon RX 6[345]00 e AMD Ryzen 5/7/9 6[689]00.
  • Per controllare l'inclusione della protezione contro le vulnerabilità nel meccanismo MMIO (Memory Mapped Input Output), è implementato il parametro di avvio del kernel “mmio_stale_data”, che può assumere i valori “full” (abilita la pulizia dei buffer quando si passa allo spazio utente e nella VM), “full,nosmt” (come “full” + inoltre disabilita SMT/Hyper-Threads) e “off” (protezione disabilitata).
  • Per controllare l'inclusione della protezione contro la vulnerabilità Retbleed, è stato implementato un parametro di avvio del kernel “retbleed”, attraverso il quale è possibile disabilitare la protezione (“off”) o selezionare un algoritmo di blocco della vulnerabilità (auto, nosmt, ibpb, unret).
  • Il parametro di avvio del kernel acpi_sleep ora supporta nuove opzioni per il controllo della modalità di sospensione: s3_bios, s3_mode, s3_beep, s4_hwsig, s4_nohwsig, old_ordering, nonvs, sci_force_enable e nobl.
  • Aggiunta gran parte di nuovi driver per dispositivi di rete, sistemi di archiviazione e chip grafici.
  • Fornitura continua di supporto sperimentale (Technology Preview) per KTLS (implementazione a livello di kernel di TLS), VPN WireGuard, Intel SGX (Software Guard Extensions), Intel IDXD (Data Streaming Accelerator), DAX (Direct Access) per ext4 e XFS, AMD SEV e SEV -ES nell'hypervisor KVM, servizio risolto da systemd, gestore di archiviazione Stratis, Sigstore per la verifica dei contenitori utilizzando firme digitali, pacchetto con l'editor grafico GIMP 2.99.8, impostazioni MPTCP (Multipath TCP) tramite NetworkManager, ACME (Certificato automatizzato Management Environment), virtio-mem, un hypervisor KVM per ARM64.
  • Il toolkit GTK 2 e i pacchetti associati adwaita-gtk2-theme, gnome-common, gtk2, gtk2-immodules e hexchat sono stati deprecati. Il server X.org è stato deprecato (RHEL 9 offre una sessione GNOME basata su Wayland per impostazione predefinita), che dovrebbe essere rimosso nel prossimo ramo principale di RHEL, ma manterrà la capacità di eseguire applicazioni X11 da una sessione Wayland utilizzando il Server XWayland DDX.

Fonte: opennet.ru

Aggiungi un commento