Компания Red Hat опубликовала релиз Red Hat Enterprise Linux 8.7. Установочные сборки подготовлены для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64, но доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal. Исходные тексты rpm-пакетов Red Hat Enterprise Linux 8 распространяются через Git-репозиторий CentOS. Ветка 8.x сопровождается параллельно с веткой RHEL 9.x и будет поддерживаться как минимум до 2029 года.
Подготовка новых выпусков осуществляется в соответствии с циклом разработки, подразумевающим формирование релизов раз в полгода в заранее определённое время. До 2024 года ветка 8.x будет находится на стадии полной поддержки, подразумевающей включение функциональных улучшений, после чего перейдёт на стадию сопровождения, на которой приоритеты сместятся в сторону исправления ошибок и безопасности, с внесением незначительных улучшений, связанных с поддержкой важных аппаратных систем.
Ключевые изменения:
- Расширены возможности инструментария для подготовки системных образов, в котором появилась поддержка загрузки образов в GCP (Google Cloud Platform), помещения образа напрямую в реестр контейнеров, настройки размера раздела /boot и корректировки параметров (Blueprint) во время генерации образа (например, добавление пакетов и создание пользователей).
- Предоставлена возможность использования клиента Clevis (clevis-luks-systemd) для автоматической разблокировки дисковых разделов, зашифрованных при помощи LUKS и монтируемых на позднем этапе загрузки, без необходимости использования команды “systemctl enable clevis-luks-askpass.path”.
- Предложен новый пакет xmlstarlet, включающий утилиты для разбора, преобразования, проверки, извлечения данных и редактирования XML-файлов.
- Добавлена предварительная (Technology Preview) возможность аутентификации пользователей с использованием внешних провайдеров (IdP, identity provider), поддерживающих расширение протокола OAuth 2.0 “Device Authorization Grant” для предоставления OAuth-токенов доступа устройствам без использования браузера.
- Расширены возможности системных ролей, например, в роль network добавлена поддержка настройки правил маршрутизации и использования API nmstate, в роль logging добавлена поддержка фильтрации по регулярным выражениям (startmsg.regex, endmsg.regex), в роль storage добавлена поддержка разделов, для которых динамически выделяется место в хранилище (“thin provisioning”), в роль sshd добавлена возможность управления через /etc/ssh/sshd_config, в роль metrics добавлен экспорт статистики о производительности Postfix, в роли firewall реализована возможность перезаписи прошлой конфигурации и предоставлена поддержка добавления, обновления и удаления сервисов в зависимости от состояния.
- Обновлены серверные и системные пакеты: chrony 4.2, unbound 1.16.2, opencryptoki 3.18.0, powerpc-utils 1.3.10, libva 2.13.0, PCP 5.3.7, Grafana 7.5.13, SystemTap 4.7, NetworkManager 1.40, samba 4.16.1.
- В состав включены новые версии компиляторов и инструментов для разработчиков: GCC Toolset 12, LLVM Toolset 14.0.6, Rust Toolset 1.62, Go Toolset 1.18, Ruby 3.1, java-17-openjdk (также продолжают поставляться java-11-openjdk и java-1.8.0-openjdk), Maven 3.8, Mercurial 6.2, Node.js 18, Redis 6.2.7, Valgrind 3.19, Dyninst 12.1.0, elfutils 0.187.
- Обработка конфигурации sysctl приведена к соответствию с порядком разбора каталогов в systemd – файлы конфигурации в каталоге /etc/sysctl.d теперь имеют более высокий приоритет, чем в каталоге /run/sysctl.d.
- В инструментарий ReaR (Relax-and-Recover) добавлена возможность выполнения произвольных команд до и после восстановления.
- В библиотеках NSS прекращена поддержка ключей RSA, размером менее 1023 бит.
- Существенно сокращено время сохранения утилитой iptables-save очень больших наборов правил iptables.
- Режим защиты от атак SSBD (spec_store_bypass_disable) и STIBP (spectre_v2_user) переведён с “seccomp” на “prctl”, что положительно повлияло на производительность контейнеров и приложений, в которых для ограничения доступа к системным вызовам используется механизм seccomp.
- В драйвере для Ethernet-адаптеров Intel E800 реализована поддержка протоколов iWARP и RoCE.
- В состав включена утилита nfsrahead, которую можно использовать для изменения параметров упреждающего чтения в NFS.
- В настройках Apache httpd значение параметр LimitRequestBody изменено с 0 (без ограничений) на 1 GB.
- Добавлен новый пакет make-latest, включающий последнюю версию утилиты make.
- В libpfm и papi добавлена поддержка мониторинга производительности на системах с процессорами AMD Zen 2 и Zen 3.
- В SSSD (System Security Services Daemon) добавлена поддержка кэширования SID-запросов (например, проверки GID/UID) в оперативной памяти, что позволило ускорить операции копирования большого числа файлов через сервер Samba. Обеспечена поддержка интеграции с Windows Server 2022.
- Для 64-разрядных систем IBM POWER (ppc64le) добавлены пакеты с поддержкой графического API Vulkan.
- Реализована поддержка новых GPU AMD Radeon RX 6[345]00 и AMD Ryzen 5/7/9 6[689]00. Включена по умолчанию поддержка GPU Intel Alder Lake-S и Alder Lake-P, для которых ранее нужно было выставлять параметр i915.alpha_support=1 или i915.force_probe=*.
- В web-консоль добавлена поддержка настройки криптополитик, предоставлена возможность загрузки и установки RHEL в виртуальной машине, добавлена кнопка для отдельной установки только патчей к ядру Linux, расширены отчёты с диагностикой, добавлена опция для перезагрузки после завершения установки обновлений.
- В mdevctl добавлена поддержка команды ap-check для настройки проброса в виртуальные машины доступа к криптоакселераторам.
- Реализована полная поддержка гипервизора VMware ESXi и расширений SEV-ES (AMD Secure Encrypted Virtualization-Encrypted State). Добавлена поддержка облачных окружений Azure с процессорами на базе архитектуры Ampere Altra.
- Обновлён инструментарий для управления изолированными контейнерами, включающий такие пакеты, как Podman, Buildah, Skopeo, crun и runc. Добавлена поддержка GitLab Runner в контейнерах с runtime Podman. Для настройки сетевой подсистемы контейнеров предоставлена утилита netavark и DNS-сервер Aardvark.
- Для управления включением защиты от уязвимостей в механизме MMIO (Memory Mapped Input Output) реализован загрузочный параметр ядра “mmio_stale_data”, который может принимать значения “full” (включение чистки буферов при переходе в пространство пользователя и в VM), “full,nosmt” (как “full” + дополнительно отключается SMT/Hyper-Threads) и “off” (защита отключена).
- Для управления включением защиты от уязвимости Retbleed реализован загрузочный параметр ядра “retbleed”, через который можно отключить защиту (“off”) или выбрать алгоритм блокирования уязвимости (auto, nosmt, ibpb, unret).
- В загрузочном параметре ядра acpi_sleep реализована поддержка новых опций для управления переходом в спящий режим: s3_bios, s3_mode, s3_beep, s4_hwsig, s4_nohwsig, old_ordering, nonvs, sci_force_enable и nobl.
- Добавлены новые драйверы для Maxlinear Ethernet GPY (mxl-gpy), Realtek 802.11ax 8852A (rtw89_8852a), Realtek 802.11ax 8852AE (rtw89_8852ae), Modem Host Interface (MHI), AMD PassThru DMA (ptdma), Cirrus Logic DSP (cs_dsp), DRM DisplayPort (drm_dp_helper), Intel® Software Defined Silicon (intel_sdsi), Intel PMT (pmt_*), AMD SPI Master Controller (spi-amd).
- Расширена поддержка подсистемы ядра eBPF.
- Продолжено предоставление экспериментальной (Technology Preview) поддержки AF_XDP, XDP hardware offloading, Multipath TCP (MPTCP), MPLS (Multi-protocol Label Switching), DSA (data streaming accelerator), KTLS, dracut, kexec fast reboot, nispor, DAX в ext4 и xfs, systemd-resolved, accel-config, igc, OverlayFS, Stratis, Software Guard Extensions (SGX), NVMe/TCP, DNSSEC, GNOME на системах ARM64 и IBM Z, AMD SEV для KVM, Intel vGPU, Toolbox.