Red Hat опублікувала реліз Red Hat Enterprise Linux 8.7. Набірні установки підготовлені для архітектур x86_64, s390x (IBM System z), ppc64le та Aarch64, але доступні для завантаження лише зареєстрованим користувачам Red Hat Customer Portal. Початкові тексти rpm-пакетів Red Hat Enterprise Linux 8 поширюються через Git-репозиторій CentOS. Гілка 8.x супроводжується паралельно з гілкою RHEL 9.x і підтримуватиметься як мінімум до 2029 року.
Підготовка нових випусків здійснюється відповідно до циклу розробки, який передбачає формування релізів раз на півроку в заздалегідь визначений час. До 2024 року гілка 8.x буде на стадії повної підтримки, яка передбачає включення функціональних поліпшень, після чого перейде на стадію супроводу, на якій пріоритети змістяться у бік виправлення помилок та безпеки, з внесенням незначних покращень, пов'язаних із підтримкою важливих апаратних систем.
Ключові зміни:
- Розширено можливості інструментарію для підготовки системних образів, в якому з'явилася підтримка завантаження образів у GCP (Google Cloud Platform), приміщення образу безпосередньо до реєстру контейнерів, налаштування розміру розділу /boot та коригування параметрів (Blueprint) під час генерації образу (наприклад, додавання пакетів та створення користувачів).
- Надано можливість використання клієнта Clevis (clevis-luks-systemd) для автоматичного розблокування дискових розділів, зашифрованих за допомогою LUKS і які монтуються на пізньому етапі завантаження, без необхідності використання команди «systemctl enable clevis-luks-askpass.path».
- Запропоновано новий пакет xmlstarlet, що включає утиліти для аналізу, перетворення, перевірки, вилучення даних та редагування XML-файлів.
- Додано попередню (Technology Preview) можливість аутентифікації користувачів з використанням зовнішніх провайдерів (IdP, identity provider), які підтримують розширення протоколу OAuth 2.0 «Device Authorization Grant» для надання OAuth-токенів доступу до пристроїв без використання браузера.
- Розширені можливості системних ролей, наприклад, роль network додана підтримка налаштування правил маршрутизації та використання API nmstate, в роль logging додана підтримка фільтрації за регулярними виразами (startmsg.regex, endmsg.regex), в роль storage додана підтримка розділів, для яких динамічно виділяється місце в сховищі («thin provisioning»), в роль sshd додано можливість керування через /etc/ssh/sshd_config, в роль metrics додано експорт статистики про продуктивність Postfix, в ролі firewall реалізовано можливість перезапису минулої конфігурації та надано підтримку додавання, оновлення та видалення сервісів залежно стану.
- Оновлено серверні та системні пакети: chrony 4.2, unbound 1.16.2, opencryptoki 3.18.0, powerpc-utils 1.3.10, libva 2.13.0, PCP 5.3.7, Grafana 7.5.13, SystemTap 4.7, SystemTap 1.40. 4.16.1.
- До складу включені нові версії компіляторів та інструментів для розробників: GCC Toolset 12, LLVM Toolset 14.0.6, Rust Toolset 1.62, Go Toolset 1.18, Ruby 3.1, java-17-openjdk (також продовжують поставлятися java-11-o .1.8.0-openjdk), Maven 3.8, Mercurial 6.2, Node.js 18, Redis 6.2.7, Valgrind 3.19, Dyninst 12.1.0, elfutils 0.187.
- Обробка конфігурації sysctl приведена до відповідності з порядком аналізу каталогів у systemd - файли конфігурації в каталозі /etc/sysctl.d тепер мають більший пріоритет, ніж у каталозі /run/sysctl.d.
- До інструментарію ReaR (Relax-and-Recover) додано можливість виконання довільних команд до та після відновлення.
- У бібліотеках NSS припинено підтримку ключів RSA, розміром менше 1023 біт.
- Істотно скорочено час збереження утилітою iptables-save дуже великих наборів правил iptables.
- Режим захисту від атак SSBD (spec_store_bypass_disable) і STIBP (spectre_v2_user) переведений з seccomp на prctl, що позитивно вплинуло на продуктивність контейнерів і додатків, в яких для обмеження доступу до системних викликів використовується механізм seccomp.
- У драйвері для Ethernet-адаптерів Intel E800 реалізовано підтримку протоколів iWARP та RoCE.
- До складу включена утиліта nfsrahead, яку можна використовувати для зміни параметрів попереджувального читання NFS.
- У налаштуваннях Apache httpd значення LimitRequestBody змінено з 0 (без обмежень) на 1 GB.
- Додано новий пакет make-latest, що включає останню версію утиліти make.
- У libpfm та papi додано підтримку моніторингу продуктивності на системах з процесорами AMD Zen 2 і Zen 3.
- У SSSD (System Security Services Daemon) додано підтримку кешування SID-запитів (наприклад, перевірки GID/UID) в оперативній пам'яті, що дозволило прискорити операції копіювання великої кількості файлів через сервер Samba. Забезпечено підтримку інтеграції з Windows Server 2022.
- Для 64-розрядних систем IBM POWER (ppc64le) додано пакети з підтримкою графічного API Vulkan.
- Реалізована підтримка нових GPU AMD Radeon RX 6[345]00 та AMD Ryzen 5/7/9 6[689]00. За промовчанням включена підтримка GPU Intel Alder Lake-S та Alder Lake-P, для яких раніше потрібно було виставляти параметр i915.alpha_support=1 або i915.force_probe=*.
- У web-консоль додано підтримку налаштування криптополітик, надано можливість завантаження та встановлення RHEL у віртуальній машині, додано кнопку для окремої установки тільки патчів до ядра Linux, розширено звіти з діагностикою, додано опцію для перезавантаження після завершення встановлення оновлень.
- У mdevctl додано підтримку команди ap-check для налаштування прокидання у віртуальні машини доступу до криптоакселераторів.
- Реалізовано повну підтримку гіпервізора VMware ESXi та розширень SEV-ES (AMD Secure Encrypted Virtualization-Encrypted State). Додано підтримку хмарних оточень Azure з процесорами на базі архітектури Ampere Altra.
- Оновлено інструментарій для керування ізольованими контейнерами, що включає такі пакети, як Podman, Buildah, Skopeo, crun та runc. Додана підтримка GitLab Runner у контейнерах із runtime Podman. Для налаштування мережної підсистеми контейнерів надано утиліту Netavark та DNS-сервер Aardvark.
- Для керування включенням захисту від уразливостей у механізмі MMIO (Memory Mapped Input Output) реалізовано завантажувальний параметр ядра «mmio_stale_data», який може приймати значення «full» (включення чищення буферів при переході в простір користувача та VM), «full, nosmt» ( як "full" + додатково відключається SMT/Hyper-Threads) та "off" (захист відключений).
- Для управління включенням захисту від уразливості Retbleed реалізовано завантажувальний параметр ядра «retbleed», через який можна вимкнути захист (off) або вибрати алгоритм блокування вразливості (auto, nosmt, ibpb, unret).
- У завантажувальному параметрі ядра acpi_sleep реалізована підтримка нових опцій для керування переходом у сплячий режим: s3_bios, s3_mode, s3_beep, s4_hwsig, s4_nohwsig, old_ordering, nonvs, sci_force_enable та nobl.
- Додані нові драйвери для Maxlinear Ethernet GPY (mxl-gpy), Realtek 802.11ax 8852A (rtw89_8852a), Realtek 802.11ax 8852AE (rtw89_8852ae), Modem Host Interface (MHI) _dsp), DRM DisplayPort (drm_dp_helper), Intel® Software Defined Silicon (Intel_SDSI), Intel PMT (pmt_*), AMD SPI Master Controller (SPI-AMD).
- Розширено підтримку підсистеми ядра eBPF.
- Продовжено надання експериментальної (Technology Preview) підтримки AF_XDP, XDP hardware offloading, Multipath TCP (MPTCP), MPLS (Multi-protocol Label Switching), DSA (data streaming accelerator), KTLS, dracut, kexec fast reboot, nis xfs, systemd-resolved, accel-config, igc, OverlayFS, Stratis, Software Guard Extensions (SGX), NVMe/TCP, DNSSEC, GNOME на системах ARM4 та IBM Z, AMD SEV для KVM, Intel vGPU, Toolbox.
Джерело: opennet.ru