Апдейт, ещё апдейт: вышел Red Hat Enterprise Linux 8.10. Что нового?

4174b9535d860d08c09617eed5e97db4.jpg

Совсем недавно мы публиковали статью о выходе Red Hat Enterprise Linux 9.4. В то же время стоит помнить, что обновляется и прошлая ветка — это Red Hat Enterprise Linux 8.10. Разработчики будут поддерживать её минимум до 2029 года. Что касается текущего релиза, он появился строго согласно цикла разработки — он предполагает выпуск новинок раз в полгода.

На текущий момент Red Hat Enterprise Linux 8.10 — последний выпуск восьмой ветки, который был сформирован на стадии полной поддержки. Уже 31 мая ветка будет переведена на стадию сопровождения — это означает, что разработчики основное внимание уделят исправлениям и обновлениям безопасности.

Одно из важнейших изменений в том, что исходные тексты rpm-пакетов RHEL 8 теперь не распространяются публично через Git-репозиторий CentOS. Вместо этого они доступны клиентам компании через закрытый раздел сайта, где актуально пользовательское соглашение (EULA), которое запрещает редистрибуцию данных. Если нужны исходники, они доступны в репозитории CentOS Stream. Стоит отметить, что Rocky Linux, Oracle и SUSE воспроизводят исходные тексты rpm-пакетов релизов RHEL в рамках проекта OpenELA. Ну, а AlmaLinux перешёл на использование репозитория CentOS Stream, причём может быть расхождение с основной версией на уровне отдельных патчей.

Хорошей новостью является стабилизация драйвера IDXD (Data Streaming Accelerator) для задействования ускорителей передачи данных, встроенных в CPU Intel.

Также обеспечена практически полная поддержка технологии создания Intel SGX (Software Guard Extensions). Поддерживаются версии SGX 1 и 2, позволяющие использовать механизмы FLC (Flexible Launch Control) и EDMM (Enclave Dynamic Memory Management) для изменения прав доступа к отдельным страницам памяти анклава, динамического добавления/удаления страниц памяти к анклаву и расширения анклава.

Что касается новых версий ПО и пакетов, то в составе теперь GCC Toolset 13, LLVM Toolset 17.0.6, Rust Toolset 1.75.0, Go Toolset 1.21.0, Python 3.12, Ruby 3.3, PHP 8.2, Git 2.43.0, Git LFS 3.4.1, elfutils 0.190, valgrind 3.22, Ant 1.10.9, cmake 3.26.

Кроме того, обновлены как серверные, так и системные пакеты, включая nginx 1.24, samba 4.19.4, PostgreSQL 16, MariaDB 10.11, chrony 4.5, libkcapi 1.4.0, stunnel 5.71, SSG 0.1.72, Apache Kafka (librdkafka) 1.6.1, audit 3.1.2, openCryptoki 3.22.0, linuxptp 4.2, nispor 1.2.10, rteval 3.7, ipa 4.9.13, 389-ds-base 1.4.3.39, Podman 4.9.

Нельзя не упомянуть внедрение механизмов защиты памяти DEP (Data Execution Prevention), NX (No Execute) и XD (Execute Disable) в загрузчик GRUB и прослойку shim. Это необходимо, как утверждают разработчики, для запрета исполнения инструкций в определённых областях памяти на стадии до начала загрузки системы. Добавлена поддержка аппаратной изоляции виртуальных машин (VMs Trust Domains) при помощи технологии Intel Trust Domain Extension (Intel TDX).

Пароли теперь хэшируются посредством алгоритма bcrypt.

В сборщике образов RHEL предоставлена возможность указания произвольных точек монтирования и создания различных режимов разбивки на разделы (auto-lvm, lvm, raw).

Важно, что в OpenSSL теперь есть защита от атак по расшифровке RSA на основе измерения времени операций, использующих варианты метода Блейхенбахера.

Есть и необычные новинки, включая экспериментальную команду «podman build farm» для создания образов контейнеров сразу для нескольких архитектур. Она полностью поддерживает бэкенд на базе SQLite. Кроме того, предоставляется возможность использования модулей containers.conf для выборочной загрузки настроек.

В IdM (Identity Management) реализована возможность аутентификации пользователей через внешние провайдеры (IdPs), поддерживающие протокол OAuth 2 (Device Authorization Grant).

В утилите ss, которая входит в состав пакета iproute2, добавлена опция »--bound-inactive» для отображения неактивных сетевых сокетов TCP, которые прикреплены к IP-адресу и сетевому порту (выполнен вызов bind), но не соединены (вызов connect) или не переведены в режим ожидания соединения (вызов listen).

В multipathd появилась поддержка обработки событий FPIN-Li (Fabric Performance Impact Notification) для оптимизации доступа к накопителям NVMe.

Добавлен пакет grafana-selinux для запуска grafana с защитой SELinux.

Разработчики заявляют о продолжении экспериментальной поддержки AF_XDP, XDP hardware offloading, Multipath TCP (MPTCP), MPLS (Multi-protocol Label Switching), dracut, kexec fast reboot, nispor, DAX в ext4 и xfs, systemd-resolved, accel-config, igc, OverlayFS, Stratis, NVMe/TCP, DNSSEC, GNOME на системах ARM64 и IBM Z, AMD SEV для KVM, Intel vGPU, Toolbox.

Rtla, одна из утилит, получила возможность использования префиксов »+» и »-» для прикрепления и открепления ядер CPU из списка отслеживаемых ядер (measurement-cpulist).

В web console упрощено управление хранилищами и изменение размера разделов. Добавлена поддержка генерации shell-скриптов и сценариев Ansible для настройки kdump. Для подключения к виртуальным машинам вместо протокола SPICE задействован VNC. В секции Virtual Machines реализована возможность добавления открытых ключей SSH и подключения уже отформатированных блочных устройств.

Стоит отметить, что сборки нового релиза подготовлены для разных архитектур, включая x86_64, s390x (IBM System z), ppc64le и Aarch64. Загрузить же их могут лишь зарегистрированные пользователи Red Hat Customer Portal. Правда, есть и бесплатные сборки RHEL для разработчиков.

© Habrahabr.ru