Релиз дистрибутива Red Hat Enterprise Linux 8.8

Следом за выпуском Red Hat Enterprise Linux 9.2 опубликовано обновление прошлой ветки Red Hat Enterprise Linux 8.8, которая сопровождается параллельно с веткой RHEL 9.x и будет поддерживаться как минимум до 2029 года. Установочные сборки подготовлены для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64, но доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal (также можно использовать iso-образы CentOS Stream 9 и бесплатные сборки RHEL для разработчиков). Исходные тексты rpm-пакетов Red Hat Enterprise Linux 8 распространяются через Git-репозиторий CentOS.

Подготовка новых выпусков осуществляется в соответствии с циклом разработки, подразумевающим формирование релизов раз в полгода в заранее определённое время. До 2024 года ветка 8.x будет находиться на стадии полной поддержки, подразумевающей включение функциональных улучшений, после чего перейдёт на стадию сопровождения, на которой приоритеты сместятся в сторону исправления ошибок и безопасности, с внесением незначительных улучшений, связанных с поддержкой важных аппаратных систем.

Ключевые изменения:

  • Обновлены серверные и системные пакеты: nginx 1.22, Libreswan 4.9, OpenSCAP 1.3.7, Grafana 7.5.15, powertop rebased 2.15, tuned 2.20.0, NetworkManager 1.40.16, mod_security 2.9.6, samba 4.17.5.

  • В состав включены новые версии компиляторов и инструментов для разработчиков: GCC Toolset 12, LLVM Toolset 15.0.7, Rust Toolset 1.66, Go Toolset 1.19.4, Python 3.11, Node.js 18.14, PostgreSQL 15, Git 2.39.1, Valgrind 3.19, SystemTap 4.8, Apache Tomcat 9.

  • Настройки FIPS-режима изменены для соответствия требованиям стандарта FIPS 140–3. Отключены 3DES, ECDH и FFDH, минимальный размер ключей HMAC ограничен 112 битами, а ключей RSA — 2048 битами, в генераторе псевдослучайных чисел DRBG отключены хэши SHA-224, SHA-384, SHA512–224, SHA512–256, SHA3–224 и SHA3–384.

  • Политики SELinux обновлены для обеспечения работы systemd-socket-proxyd.

  • В пакетном менеджере yum реализована команда offline-upgrade для применения обновлений к системе в offline-режиме. Суть offline-обновления в том, что вначале новые пакеты загружаются командной «yum offline-upgrade download», после чего выполняется команда «yum offline-upgrade reboot» для перезагрузки системы в минимальное окружение и установки в нём имеющихся обновлений, не мешая рабочим процессам. После завершения установки обновлений система перезагружается в обычное рабочее окружение. При загрузке пакетов для offline-обновления можно применять фильтры, например,»--advisory»,»--security»,»--bugfix».

  • Добавлен новый пакет synce4l для использования технологии синхронизации частоты SyncE (Synchronous Ethernet), поддерживаемой в некоторых сетевых картах и сетевых коммутаторах, и позволяющей повысить эффективность обмена данными в приложениях RAN (Radio Access Network) за счёт более точной синхронизации времени.

  • Во фреймворк fapolicyd (File Access Policy Daemon), позволяющий определить какие программы можно запускать определённому пользователю, а какие нет, добавлен новый файл конфигурации /etc/fapolicyd/rpm-filter.conf для настройки списка файлов с БД для пакетного менеджера RPM, которые обрабатывает fapolicyd. Например, новый файл конфигурации может использоваться для исключения из политик доступа отдельных приложений, установленных через пакетный менеджер RPM.

  • В ядре при сбросе в лог информации о выявленном SYN flood-е обеспечено указание сведений о принявшем соединение IP-адресе, чтобы упростить определения цели флуда на системах с обработчиками, привязанными к разным IP-адресам.

  • Добавлена системная роль для инструментария podman, позволяющая управлять настройками Podman, контейнерами и сервисами systemd, запускающими контейнеры Podman. В Podman добавлена поддержка генерации событий аудита, подключения обработчиков перед запуском (/usr/libexec/podman/pre-exec-hooks и /etc/containers/pre-exec-hooks) и использования формата Sigstore для хранения цифровых подписей вместе с образами контейнеров.

  • Обновлён инструментарий для управления изолированными контейнерами container-tools, включающий такие пакеты, как Podman, Buildah, Skopeo, crun и runc.

  • Добавлена утилита toolbox, позволяющий запустить дополнительное изолированное окружение, которое может быть обустроено произвольным образом при помощи обычного пакетного менеджера DNF. Разработчику достаточно выполнить команду «toolbox create», после чего в любой момент можно войти в сформированное окружение командой «toolbox enter» и установить любые пакеты при помощи утилиты yum.

  • Добавлена поддержка формирования образов в формате vhd, применяемом в Microsoft Azure, для архитектуры ARM64.

  • В SSSD (System Security Services Daemon) добавлена поддержка приведения имён домашних каталогов к нижнему регистру символов (через использование подстановки »%h» в атрибуте override_homedir, указываемом в /etc/sssd/sssd.conf). Кроме того, пользователям разрешена смена пароля, хранимого в LDAP (включается через выставление значения shadow для атрибута ldap_pwd_policy в /etc/sssd/sssd.conf).

  • В glibc реализован новый алгоритм сортировки при динамическом связывании DSO, использующий метод поиска в глубину (DFS) для решения проблем с производительностью при обработке зацикленных зависимостей. Для выбора алгоритма сортировки DSO предложен параметр glibc.rtld.dynamic_sort=2, которому можно присвоить значение »1» для отката на старый алгоритм.

  • В утилите rteval обеспечен показ сводной информации о загрузках программы, потоках и CPU, задействованных для выполнения этих потоков.
  • В утилите oslat добавлены дополнительные опции для измерения задержек.

  • Добавлены новые драйверы для SoC Intel Elkhart Lake, Solarflare Siena, NVIDIA sn2201, AMD SEV, AMD TDX, ACPI Video, Intel GVT-g для KVM, HP iLO/iLO2.
  • Добавлена экспериментальная поддержка дискретных видеокарт Intel Arc (DG2/Alchemist). Для включения аппаратного ускорения на подобных видеокартах следует при загрузке указать PCI-идентификтор карты через параметр ядра «i915.force_probe=pci-id».
  • Пакет inkscape inkscape1 заменён на inkscape1, в котором используется Python 3. Версия Inkscape обновлена с 0.92 до 1.0.
  • В режиме киоска предоставлена возможность использования экранной клавиатуры GNOME.
  • В библиотеке libsoup и почтовом клиенте Evolution добавлена поддержка аутентификации в Microsoft Exchange Server с использованием протокола NTLMv2.
  • В GNOME предоставлена возможность настройки контекстного меню, показываемого при нажатии правой кнопки мыши на рабочем столе. Пользователь теперь может добавить в меню элементы для запуска произвольных команд.
  • В GNOME разрешено отключение смены виртуальных рабочих столов через движение вверх или вниз тремя пальцами на тачпаде.

  • Продолжено предоставление экспериментальной (Technology Preview) поддержки AF_XDP, XDP hardware offloading, Multipath TCP (MPTCP), MPLS (Multi-protocol Label Switching), DSA (data streaming accelerator), KTLS, dracut, kexec fast reboot, nispor, DAX в ext4 и xfs, systemd-resolved, accel-config, igc, OverlayFS, Stratis, Software Guard Extensions (SGX), NVMe/TCP, DNSSEC, GNOME на системах ARM64 и IBM Z, AMD SEV для KVM, Intel vGPU, Toolbox.



Источник: http://www.opennet.ru/opennews/art.shtml? num=59160

© OpenNet