Следом за выпуском Red Hat Enterprise Linux 9.2 опубликовано обновление прошлой ветки Red Hat Enterprise Linux 8.8, которая сопровождается параллельно с веткой RHEL 9.x и будет поддерживаться как минимум до 2029 года. Установочные сборки подготовлены для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64, но доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal (также можно использовать iso-образы CentOS Stream 9 и бесплатные сборки RHEL для разработчиков). Исходные тексты rpm-пакетов Red Hat Enterprise Linux 8 распространяются через Git-репозиторий CentOS.
Подготовка новых выпусков осуществляется в соответствии с циклом разработки, подразумевающим формирование релизов раз в полгода в заранее определённое время. До 2024 года ветка 8.x будет находиться на стадии полной поддержки, подразумевающей включение функциональных улучшений, после чего перейдёт на стадию сопровождения, на которой приоритеты сместятся в сторону исправления ошибок и безопасности, с внесением незначительных улучшений, связанных с поддержкой важных аппаратных систем.
Ключевые изменения:
- Обновлены серверные и системные пакеты: nginx 1.22, Libreswan 4.9, OpenSCAP 1.3.7, Grafana 7.5.15, powertop rebased 2.15, tuned 2.20.0, NetworkManager 1.40.16, mod_security 2.9.6, samba 4.17.5.
- В состав включены новые версии компиляторов и инструментов для разработчиков: GCC Toolset 12, LLVM Toolset 15.0.7, Rust Toolset 1.66, Go Toolset 1.19.4, Python 3.11, Node.js 18.14, PostgreSQL 15, Git 2.39.1, Valgrind 3.19, SystemTap 4.8, Apache Tomcat 9.
- Настройки FIPS-режима изменены для соответствия требованиям стандарта FIPS 140-3. Отключены 3DES, ECDH и FFDH, минимальный размер ключей HMAC ограничен 112 битами, а ключей RSA – 2048 битами, в генераторе псевдослучайных чисел DRBG отключены хэши SHA-224, SHA-384, SHA512-224, SHA512-256, SHA3-224 и SHA3-384.
- Политики SELinux обновлены для обеспечения работы systemd-socket-proxyd.
- В пакетном менеджере yum реализована команда offline-upgrade для применения обновлений к системе в offline-режиме. Суть offline-обновления в том, что вначале новые пакеты загружаются командной “yum offline-upgrade download”, после чего выполняется команда “yum offline-upgrade reboot” для перезагрузки системы в минимальное окружение и установки в нём имеющихся обновлений, не мешая рабочим процессам. После завершения установки обновлений система перезагружается в обычное рабочее окружение. При загрузке пакетов для offline-обновления можно применять фильтры, например, “–advisory”, “–security”, “–bugfix”.
- Добавлен новый пакет synce4l для использования технологии синхронизации частоты SyncE (Synchronous Ethernet), поддерживаемой в некоторых сетевых картах и сетевых коммутаторах, и позволяющей повысить эффективность обмена данными в приложениях RAN (Radio Access Network) за счёт более точной синхронизации времени.
- Во фреймворк fapolicyd (File Access Policy Daemon), позволяющий определить какие программы можно запускать определённому пользователю, а какие нет, добавлен новый файл конфигурации /etc/fapolicyd/rpm-filter.conf для настройки списка файлов с БД для пакетного менеджера RPM, которые обрабатывает fapolicyd. Например, новый файл конфигурации может использоваться для исключения из политик доступа отдельных приложений, установленных через пакетный менеджер RPM.
- В ядре при сбросе в лог информации о выявленном SYN flood-е обеспечено указание сведений о принявшем соединение IP-адресе, чтобы упростить определения цели флуда на системах с обработчиками, привязанными к разным IP-адресам.
- Добавлена системная роль для инструментария podman, позволяющая управлять настройками Podman, контейнерами и сервисами systemd, запускающими контейнеры Podman. В Podman добавлена поддержка генерации событий аудита, подключения обработчиков перед запуском (/usr/libexec/podman/pre-exec-hooks и /etc/containers/pre-exec-hooks) и использования формата Sigstore для хранения цифровых подписей вместе с образами контейнеров.
- Обновлён инструментарий для управления изолированными контейнерами container-tools, включающий такие пакеты, как Podman, Buildah, Skopeo, crun и runc.
- Добавлена утилита toolbox, позволяющий запустить дополнительное изолированное окружение, которое может быть обустроено произвольным образом при помощи обычного пакетного менеджера DNF. Разработчику достаточно выполнить команду “toolbox create”, после чего в любой момент можно войти в сформированное окружение командой “toolbox enter” и установить любые пакеты при помощи утилиты yum.
- Добавлена поддержка формирования образов в формате vhd, применяемом в Microsoft Azure, для архитектуры ARM64.
- В SSSD (System Security Services Daemon) добавлена поддержка приведения имён домашних каталогов к нижнему регистру символов (через использование подстановки “%h” в атрибуте override_homedir, указываемом в /etc/sssd/sssd.conf). Кроме того, пользователям разрешена смена пароля, хранимого в LDAP (включается через выставление значения shadow для атрибута ldap_pwd_policy в /etc/sssd/sssd.conf).
- В glibc реализован новый алгоритм сортировки при динамическом связывании DSO, использующий метод поиска в глубину (DFS) для решения проблем с производительностью при обработке зацикленных зависимостей. Для выбора алгоритма сортировки DSO предложен параметр glibc.rtld.dynamic_sort=2, которому можно присвоить значение “1” для отката на старый алгоритм.
- В утилите rteval обеспечен показ сводной информации о загрузках программы, потоках и CPU, задействованных для выполнения этих потоков.
- В утилите oslat добавлены дополнительные опции для измерения задержек.
- Добавлены новые драйверы для SoC Intel Elkhart Lake, Solarflare Siena, NVIDIA sn2201, AMD SEV, AMD TDX, ACPI Video, Intel GVT-g для KVM, HP iLO/iLO2.
- Добавлена экспериментальная поддержка дискретных видеокарт Intel Arc (DG2/Alchemist). Для включения аппаратного ускорения на подобных видеокартах следует при загрузке указать PCI-идентификтор карты через параметр ядра “i915.force_probe=pci-id”.
- Пакет inkscape inkscape1 заменён на inkscape1, в котором используется Python 3. Версия Inkscape обновлена с 0.92 до 1.0.
- В режиме киоска предоставлена возможность использования экранной клавиатуры GNOME.
- В библиотеке libsoup и почтовом клиенте Evolution добавлена поддержка аутентификации в Microsoft Exchange Server с использованием протокола NTLMv2.
- В GNOME предоставлена возможность настройки контекстного меню, показываемого при нажатии правой кнопки мыши на рабочем столе. Пользователь теперь может добавить в меню элементы для запуска произвольных команд.
- В GNOME разрешено отключение смены виртуальных рабочих столов через движение вверх или вниз тремя пальцами на тачпаде.
- Продолжено предоставление экспериментальной (Technology Preview) поддержки AF_XDP, XDP hardware offloading, Multipath TCP (MPTCP), MPLS (Multi-protocol Label Switching), DSA (data streaming accelerator), KTLS, dracut, kexec fast reboot, nispor, DAX в ext4 и xfs, systemd-resolved, accel-config, igc, OverlayFS, Stratis, Software Guard Extensions (SGX), NVMe/TCP, DNSSEC, GNOME на системах ARM64 и IBM Z, AMD SEV для KVM, Intel vGPU, Toolbox.