ProHoster > Блог > Новини інтернету > Реліз дистрибутива Red Hat Enterprise Linux 9.1

Реліз дистрибутива Red Hat Enterprise Linux 9.1

Red Hat опублікувала реліз дистрибутива Red Hat Enterprise Linux 9.1. Готові настановні образи доступні для зареєстрованих користувачів Red Hat Customer Portal (для оцінки функціональності також можна використовувати iso-образи CentOS Stream 9). Випуск сформований для архітектур x86_64, s390x (IBM System z), ppc64le та Aarch64 (ARM64). Вихідні тексти rpm-пакетів Red Hat Enterprise Linux 9 розміщені у Git-репозиторії CentOS.

Гілка RHEL 9 розвивається з більш відкритим процесом розробки і використовує як основу пакетну базу CentOS Stream 9. CentOS Stream позиціонується як upstream-проект для RHEL, що дозволяє стороннім учасникам контролювати підготовку пакетів для RHEL, пропонувати свої зміни та впливати на прийняті рішення. Відповідно до 10-річного циклу підтримки дистрибутива RHEL 9 супроводжуватиметься до 2032 року.

Ключові зміни:

  • Оновлено серверні та системні пакети: firewalld 1.1.1, chrony 4.2, unbound 1.16.2, frr 8.2.2, Apache httpd 2.4.53, opencryptoki 3.18.0, powerpc-utils 1.3.10, lvdd.2.2.9. 1.7.14, ppc64-diag 2.7, PCP 5.3.7, Grafana 7.5.13, samba 4.16.1.
  • До складу включені нові версії компіляторів та інструментів для розробників: GCC 11.2.1, GCC Toolset 12, LLVM Toolset 14.0.6, binutils 2.35.2, PHP 8.1, Ruby 3.1, Node.js 18, Rust Toolset 1.62. 1.18.2, Maven 3.8, java-17-openjdk (також продовжують поставлятися java-11-openjdk та java-1.8.0-openjdk), .NET 7.0, GDB 10.2, Valgrind 3.19, SystemTap 4.7, Dyninst 12.1.0.
  • У підсистему eBPF (Berkeley Packet Filter) перенесені покращення, реалізовані в ядрах Linux 5.15 та 5.16. Наприклад, для BPF-програм реалізована можливість запиту та обробки подій таймера, можливість отримувати та встановлювати опції сокетів для setsockopt, підтримка виклику функцій модулів ядра, запропонована імовірнісна структура зберігання даних (BPF map) bloom filter, додана можливість прив'язування тегів до параметрів функцій.
  • Набір патчів для систем реального часу, що використовується в ядрі kernel-rt, оновлено до стану, що відповідає ядру 5.15-rt.
  • Оновлено реалізацію протоколу MPTCP (MultiPath TCP), що використовується для організації роботи TCP-з'єднання з доставкою пакетів одночасно по кількох маршрутах через різні мережеві інтерфейси. Зміни перенесені з ядра Linux 5.19 (наприклад, додано підтримку відкату з'єднань MPTCP на звичайний TCP та запропоновано API для керування потоками MPTCP із простору користувача).
  • На системах з 64-розрядними процесорами ARM, AMD та Intel надано можливість зміни роботи режиму Real-Time в ядрі під час роботи через запис назви режиму у файл /sys/kernel/debug/sched/preempt або під час завантаження через параметр ядра "preempt=" (підтримуються режими none, voluntary та full).
  • Налаштування завантажувача GRUB змінені для приховування завантажувального меню за промовчанням, при цьому меню показується, якщо завантаження завершилося помилкою. Для відображення меню під час завантаження можна утримувати клавішу Shift або періодично натискати клавіші Ess або F8. Для відключення приховання можна скористатися командою grub2-editenv - unset menu_auto_hide.
  • У драйвер PTP (Precision Time Protocol) додано підтримку створення віртуального апаратного годинника (PHC, PTP Hardware Clocks).
  • Додано команду modulesync, яка завантажує RPM-пакети з модулів та створює в робочому каталозі репозиторій з метаданими, необхідними для встановлення модульних пакетів
  • У tuned, сервісі для відстеження стану системи та оптимізації профілів досягнення максимальної продуктивності з урахуванням поточного навантаження, надано можливість використання пакету tuned-profiles-realtime для ізоляції ядер CPU та надання потоків додатку всіх доступних ресурсів.
  • NetworkManager реалізує переведення профілів з'єднань з формату налаштувань ifcfg (/etc/sysconfig/network-scripts/ifcfg-*) у формат на основі файлу keyfile. Для міграції профілів можна використовувати команду nmcli connection migrate.
  • Інструментар SELinux оновлений до випуску 3.4, в якому підвищена продуктивність повторної установки міток (relabel) за рахунок розпаралелювання операцій, в утиліту semodule додана опція «-m» («checksum») для отримання SHA256-хеш модулів, mcstrans переведений на бібліотеку PCRE2. Додані нові утиліти роботи з політиками доступу: sepol_check_access, sepol_compute_av, sepol_compute_member, sepol_compute_relabel, sepol_validate_transition. Додані політики SELinux для захисту сервісів ksm, nm-priv-helper, rhcd, stalld, systemd-network-generator, targetclid та wg-quick.
  • Надано можливість використання клієнта Clevis (clevis-luks-systemd) для автоматичного розблокування дискових розділів, зашифрованих за допомогою LUKS і які монтуються на пізньому етапі завантаження, без необхідності використання команди «systemctl enable clevis-luks-askpass.path».
  • Розширено можливості інструментарію для підготовки системних образів, в якому з'явилася підтримка завантаження образів у GCP (Google Cloud Platform), приміщення образу безпосередньо до реєстру контейнерів, налаштування розміру розділу /boot та коригування параметрів (Blueprint) під час генерації образу (наприклад, додавання пакетів та створення користувачів).
  • Додана утиліта keylime для атестації (підтвердження автентичності та безперервного відстеження цілісності) зовнішньої системи, використовуючи технологію TPM (Trusted Platform Module), наприклад, щоб переконатися в автентичності Edge- та IoT-пристроїв, що знаходяться в непідконтрольному місці, в якому доступний недоступний.
  • У редакції «RHEL for Edge» надано можливість використання утиліти fdo-admin для налаштування сервісів FDO (FIDO Device Onboard) та створення для них сертифікатів та ключів.
  • У SSSD (System Security Services Daemon) додано підтримку кешування SID-запитів (наприклад, перевірки GID/UID) в оперативній пам'яті, що дозволило прискорити операції копіювання великої кількості файлів через сервер Samba. Забезпечено підтримку інтеграції з Windows Server 2022.
  • В OpenSSH мінімальний розмір RSA-ключів за замовчуванням обмежений 2048 бітами, а в бібліотеках NSS припинено підтримку ключів RSA розміром менше 1023 біт. Для налаштування власних обмежень у OpenSSH додано параметр RequiredRSASize. Додано підтримку методу обміну ключами [захищено електронною поштою], стійкого до зламів на квантових комп'ютерах
  • До інструментарію ReaR (Relax-and-Recover) додано можливість виконання довільних команд до та після відновлення.
  • У драйвері для Ethernet-адаптерів Intel E800 реалізовано підтримку протоколів iWARP та RoCE.
  • Додано новий пакет httpd-core, до якого переміщений базовий набір компонентів Apache httpd, достатній для запуску HTTP-сервера та пов'язаний із мінімальною кількістю залежностей. У пакет httpd додані додаткові модулі, такі як mod_systemd та mod_brotli, а також включена документація.
  • Додано новий пакет xmlstarlet, що включає утиліти для розбору, перетворення, перевірки, вилучення даних та редагування XML-файлів, схожі на grep, sed, awk, diff, patch та join, але не для текстових файлів, а для XML.
  • Розширені можливості системних ролей, наприклад, роль network додана підтримка налаштування правил маршрутизації та використання API nmstate, в роль logging додана підтримка фільтрації за регулярними виразами (startmsg.regex, endmsg.regex), в роль storage додана підтримка розділів, для яких динамічно виділяється місце в сховищі («thin provisioning»), в роль sshd додано можливість керування через /etc/ssh/sshd_config, в роль metrics додано експорт статистики про продуктивність Postfix, в ролі firewall реалізовано можливість перезапису минулої конфігурації та надано підтримку додавання, оновлення та видалення сервісів залежно стану.
  • Оновлено інструментарій для керування ізольованими контейнерами, що включає такі пакети, як Podman, Buildah, Skopeo, crun та runc. Додана підтримка GitLab Runner у контейнерах із runtime Podman. Для налаштування мережної підсистеми контейнерів надано утиліту Netavark та DNS-сервер Aardvark.
  • У mdevctl додано підтримку команди ap-check для налаштування прокидання у віртуальні машини доступу до криптоакселераторів.
  • Додано попередню (Technology Preview) можливість аутентифікації користувачів з використанням зовнішніх провайдерів (IdP, identity provider), які підтримують розширення протоколу OAuth 2.0 «Device Authorization Grant» для надання OAuth-токенів доступу до пристроїв без використання браузера.
  • Для сеансу GNOME на базі Wayland надані збірки Firefox, які використовують Wayland. Складання на базі X11, що виконуються у Wayland-оточенні за допомогою компонента XWayland, винесені в окремий пакет firefox-x11.
  • Сеанс на базі Wayland за замовчуванням активований для систем з GPU Matrox (раніше Wayland не використовувався з GPU Matrox через обмеження та проблеми з продуктивністю, які тепер вирішені).
  • Реализована поддержка GPU, интегрированных в процессоры Intel Core 12-поколения, включая Intel Core i3 12100T — i9 12900KS, Intel Pentium Gold G7400 и G7400T, Intel Celeron G6900 и G6900T Intel Core i5-12450HX — i9-12950HX и Intel Core i3-1220P — i7-1280P. Додана підтримка GPU AMD Radeon RX 6[345]00 та AMD Ryzen 5/7/9 6[689]00.
  • Для керування включенням захисту від уразливостей у механізмі MMIO (Memory Mapped Input Output) реалізовано завантажувальний параметр ядра «mmio_stale_data», який може приймати значення «full» (включення чищення буферів при переході в простір користувача та VM), «full, nosmt» ( як "full" + додатково відключається SMT/Hyper-Threads) та "off" (захист відключений).
  • Для управління включенням захисту від уразливості Retbleed реалізовано завантажувальний параметр ядра «retbleed», через який можна вимкнути захист (off) або вибрати алгоритм блокування вразливості (auto, nosmt, ibpb, unret).
  • У завантажувальному параметрі ядра acpi_sleep реалізована підтримка нових опцій для керування переходом у сплячий режим: s3_bios, s3_mode, s3_beep, s4_hwsig, s4_nohwsig, old_ordering, nonvs, sci_force_enable та nobl.
  • Додано велику порцію нових драйверів для мережевих пристроїв, систем зберігання та графічних чіпів.
  • Продовжено надання експериментальної (Technology Preview) підтримки KTLS (реалізація TLS на рівні ядра), VPN WireGuard, Intel SGX (Software Guard Extensions), Intel IDXD (Data Streaming Accelerator), DAX (Direct Access) для ext4 та XFS, AMD SEV та SEV -ES у гіпервізорі KVM, сервісу systemd-resolved, менеджера сховищ Stratis, Sigstore для верифікації контейнерів за цифровими підписами, пакета з графічним редактором GIMP 2.99.8, налаштування MPTCP (Multipath TCP) через NetworkManager, сервера ACME (Automated Certificate Management Environment), virtio-mem, гіпервізор KVM для ARM64.
  • Оголошено застарілим тулкіт GTK 2 і пов'язані з ним пакети adwaita-gtk2-theme, gnome-common, gtk2, gtk2-immodules та hexchat. Оголошено застарілим X.org Server (за умовчанням у RHEL 9 пропонується сеанс GNOME на базі Wayland), який планують видалити в наступній значній гілці RHEL, але зберегти можливість запуску X11-додатків із сеансу Wayland за допомогою DDX-сервера XWayland.

Джерело: opennet.ru

Додати коментар або відгук