Релиз дистрибутива Red Hat Enterprise Linux 8.9
Следом за выпуском Red Hat Enterprise Linux 9.3 опубликовано обновление прошлой ветки Red Hat Enterprise Linux 8.9, которая сопровождается параллельно с веткой RHEL 9.x и будет поддерживаться как минимум до 2029 года. Установочные сборки подготовлены для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64, но доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal (также можно использовать iso-образы CentOS Stream 9 и бесплатные сборки RHEL для разработчиков).
Как и в случае с веткой RHEL 9 исходные тексты rpm-пакетов RHEL 8 теперь не распространяются публично через Git-репозиторий CentOS, но остаются доступны клиентам компании через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных. Исходные тексты можно найти в репозитории CentOS Stream, но он полностью не синхронизирован с RHEL и в нём не всегда самые свежие версии пакетов совпадают с пакетами из RHEL. Rocky Linux, Oracle и SUSE объединили усилия и теперь воспроизводят исходные тексты rpm-пакетов релизов RHEL в рамках проекта OpenELA. AlmaLinux перешёл на использование репозитория CentOS Stream и допускает наличие незначительных расхождений в поведении (может отличаться на уровне отдельных патчей), но сохраняет бинарную совместимость на уровне ABI.
Подготовка новых выпусков Red Hat Enterprise Linux 8.x осуществляется в соответствии с циклом разработки, подразумевающим формирование релизов раз в полгода в заранее определённое время. До 2024 года ветка 8.x будет находиться на стадии полной поддержки, подразумевающей включение функциональных улучшений, после чего перейдёт на стадию сопровождения, на которой приоритеты сместятся в сторону исправления ошибок и безопасности, с внесением незначительных улучшений, связанных с поддержкой важных аппаратных систем.
Ключевые изменения:
В состав включены новые версии компиляторов и инструментов для разработчиков: GCC Toolset 13, LLVM Toolset 16.0.6, Rust Toolset 1.71.1, Go Toolset 1.20.10, Node.js 20, Valgrind 3.21, SystemTap 4.9, elfutils 0.189, java-21-openjdk (также продолжают поставляться java-17-openjdk, java-11-openjdk и java-1.8.0-openjdk).
Обновлены серверные и системные пакеты: samba 4.18.4, 389-ds-base 1.4.3.35, OpenSCAP 1.3.8, Grafana 9.2.10, opencryptoki 3.21.0, iproute 6.2.0, libnftnl 1.2.2, makedumpfile 1.7.2, Podman 4.6.
В AMI-образы для облачных окружений AWS EC2 добавлена поддержка загрузки в режиме UEFI.
В установочные сборки добавлен параметр «inst.wait_for_disks», задающий время ожидания загрузки kickstart-файла или готовности драйверов в процессе загрузки.
В kickstart-файлы в команду network добавлены новые опции »--ipv4-dns-search» и »--ipv6-dns-search» для задания базовых доменов для директивы «search» в /etc/resolv.conf, а также опции »--ipv4-ignore-auto-dns» и »--ipv6-ignore-auto-dns» для игнорирования получения настроек DNS через DHCP.
В сервис fapolicyd для упрощения отладки проблем добавлена передача номеров правил для отклонённых обращений к API fanotify.
Профили безопасности ANSSI-BP-028 (French National Agency for the Security of Information Systems) обновлены до версии 2.0.
В средства аудита добавлена поддержка событий FANOTIFY и реализовано сохранение в логе полей fan_type (тип события), fan_info (связанная информация), sub_trust и obj_trust (уровни доверия для субъекта и объекта события).
В Postfix реализована возможность проверки DNS-записей SRV для определения хоста и порта почтового сервера, который будет использован для передачи сообщений. Предложенную возможность можно использовать в инфраструктурах, в которых для доставки почтовых сообщению используются сервисы с динамически выделяемыми номерами сетевых портов.
В FTP-сервере vsftpd реализована возможность использования протокола TLS 1.3.
В пакет cups-filters добавлен драйвер LF-to-CRLF, который можно использовать для преобразования символов »\n» (перевод строки) в »\r\n» (возврат каретки и перевод строки) для принтеров, поддерживающих только обработку файлов с концом строки »\r\n».
Усилена защищённость предлагаемых по умолчанию настроек сервиса nftables. В состав набора правил /etc/sysconfig/nftables/nat.nft включена новая цепочка do_masquerade, проверяющая уровень рандомизации исходных номеров портов для снижения риска осуществления атаки Port Shadows (CVE-2021–3773).
В NetworkManager добавлена поддержка опции «no-aaaa» в resolv.conf, отключающей отправку DNS-запросов записей AAAA (определение адреса IPv6 по имени хоста). В утилиту nm-cloud-setup добавлена поддержка настройки AWS Red Hat Enterprise Linux EC2 при помощи токенов IMDSv2 (Instance Metadata Service Version 2).
Для защиты от атак Spectre v2, связанных со спекулятивным выполнением инструкций, добавлен режим AutoIBRS (Automatic Indirect Branch Restricted Speculation), поддерживаемый в CPU AMD, начиная с семейства EPYC 9004 Genoa.
Из ядра Linux 6.2 перенесён драйвер Intel QAT с поддержкой устройств Intel Quick Assist Technology 401xx/402xx.
Добавлена возможность указания UUID при создании ФС GFS2 (в утилиту mkfs.gfs2 добавлена команда »-U»).
В FUSE3 добавлена возможность аннулирования элемента каталога без автоматического отмонтирования точек монтирования, связанных с этим элементом.
Расширены возможности для кластеров и отказоустойчивых систем: В агенты ресурсов кластера IPaddr2 и IPsrcaddr добавлена поддержка policy routing. В агент ocf: heartbeat: Filesystem добавлена поддержка ФС EFS (Amazon Elastic File System). В агент alert_snmp.sh.sample добавлена поддержка протокола SNMPv3.
В Glibc добавлены изменения с оптимизациями для повышения производительности на системах с CPU Intel Xeon v5.
Обеспечена полная поддержка дискретных видеокарт Intel Arc A-Series (Alchemist или DG2).
Добавлена системная роль для управления юнитами systemd и их установки. Добавлена системная роль для установки, настройки, управления и запуска СУБД PostgreSQL. Добавлена системная роль для инструментария keylime, упрощающая настройку регистратора и верификатора Keylime, применяемого для подтверждения подлинности и непрерывного отслеживания целостности внешней системы. В системную роль firewall добавлена поддержка определения, изменения и удаления ipset-ов. Расширены системные роли для Podman, Kdump, Storage и Microsoft SQL Server.
В cloud-init добавлена поддержка файлов с ключами, используемыми в NetworkManager.
В Podman добавлена поддержка контейнеров, сжатых с использованием алгоритма zstd. Добавлена возможность использования Quadlets для автоматической генерации сервисов systemd из описаний контейнеров. Добавлена оболочка podmansh, которую можно использовать вместо /usr/bin/bash для запуска сеанса пользователя в контейнере. Обновлены версии Podman, Buildah, Skopeo, crun и runc.
Добавлены новые параметры командной строки ядра: gather_data_sampling для управления режимом защиты от атак GDS (Gather Data Sampling или Downfall и rdrand для скрытия поддержки инструкции RDRAND.
- Расширена поддержка оборудования. Добавлены драйверы для сетевых устройств Thunderbolt/USB4 (thunderbolt_net) и беспроводных адаптеров Broadcom 802.11 (brcmfmac), поставляемых для систем ARM64. Добавлены драйверы для Bluetooth-устройств MediaTek, Microsoft Azure Network Adapter IB (mana_ib), Linux USB Video Class driver (uvc), AMD SoundWire (soundwire-amd), DisplayPort Alternate Mode (typec_displayport), Virtio-mem (virtio_mem). Улучшена поддержка процессоров Intel на базе микроархитектуры Meteor Lake.
Стабилизирована поддержка клиентов для компонентов криптографической верификации sigstore: Rekor (лог для хранения метаданных, заверенных цифровыми подписями) и Fulcio (система удостоверяющих центров (root CA), выдающих короткоживущие сертификаты).
- Продолжено предоставление экспериментальной (Technology Preview) поддержки AF_XDP, XDP hardware offloading, Multipath TCP (MPTCP), MPLS (Multi-protocol Label Switching), DSA (data streaming accelerator), dracut, kexec fast reboot, nispor, DAX в ext4 и xfs, systemd-resolved, accel-config, igc, OverlayFS, Stratis, Software Guard Extensions (SGX), NVMe/TCP, DNSSEC, GNOME на системах ARM64 и IBM Z, AMD SEV для KVM, Intel vGPU, Toolbox.
Источник: http://www.opennet.ru/opennews/art.shtml? num=60142
© OpenNet