Компания Red Hat опубликовала релиз дистрибутива Red Hat Enterprise Linux 9.4. Готовые установочные образы доступны для зарегистрированных пользователей Red Hat Customer Portal (для оценки функциональности также можно использовать iso-образы CentOS Stream 9 и бесплатные сборки RHEL для разработчиков). Выпуск сформирован для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64 (ARM64).
Ветка RHEL 9 развивается с более открытым процессом разработки и использует в качестве основы пакетную базу CentOS Stream 9. CentOS Stream позиционируется как upstream-проект для RHEL, дающий возможность сторонним участникам контролировать подготовку пакетов для RHEL, предлагать свои изменения и влиять на принимаемые решения. В соответствии с 10-летним циклом поддержки дистрибутива RHEL 9 будет сопровождаться до 2032 года.
Исходные тексты rpm-пакетов RHEL 9.4 не размещены в публичном репозитории git.centos.org и предоставляются клиентам компании только через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных, что не позволяет использовать эти пакеты для создания производных дистрибутивов. Исходные тексты остаются доступны в репозитории CentOS Stream, но он полностью не синхронизирован с RHEL и в нём не всегда самые свежие версии пакетов совпадают с пакетами из RHEL. Rocky Linux, Oracle и SUSE воспроизводят исходные тексты rpm-пакетов релизов RHEL в рамках проекта OpenELA.
Ключевые изменения в RHEL 9.4:
- Обеспечена полная поддержка технологии создания изолированных анклавов Intel SGX (Software Guard Extensions). Поддерживаются версии SGX 1 и 2, позволяющие использовать механизмы FLC (Flexible Launch Control) и
EDMM (Enclave Dynamic Memory Management) для изменения прав доступа к отдельным страницам памяти анклава, динамического добавления/удаления страниц памяти к анклаву и расширения анклава. - В разряд стабильных переведён драйвер IDXD (Data Streaming Accelerator) для задействования ускорителей передачи данных, встроенных в CPU Intel. Ранее SGX и IDXD были отнесены к экспериментальным возможностям (Technology Preview).
- Реализация подсистемы eBPF синхронизирована с ядром Linux 6.6 (в прошлом выпуске использовалась реализация eBPF из ядра Linux 6.3).
- В загрузчик GRUB и прослойку shim добавлена возможность применения механизмов защиты памяти DEP (Data Execution Prevention), NX (No Execute) и XD (Execute Disable) для запрета исполнения инструкций в определённых областях памяти на стадии до начала загрузки системы.
- В состав включены новые версии компиляторов и инструментов для разработчиков: GCC Toolset 13, LLVM Toolset 17.0.6, Rust Toolset 1.75.1 и Go Toolset 1.21.7.
- Добавлены отдельные пакеты (Application Streams) c новыми версиями Python 3.12, Ruby 3.3, PHP 8.2, nginx 1.24, MariaDB 10.11, PostgreSQL 16.
- Обновлены версии Git 2.43.0, Git LFS 3.4.1, Valgrind 3.22, SystemTap 5.0, elfutils 0.190, cmake 3.26.
Добавлены новые пакеты maven-openjdk21 и libzip-tools. - Обновлены пакеты, связанные с безопасностью: GnuTLS 3.8.3, nettle 3.9.1, p11-kit 0.25.3, libkcapi 1.4.0, stunnel 5.71, audit 3.1.2, SSG (SCAP Security Guide) 0.1.72, openCryptoki 3.22.0, ipa 4.11.
- Обновлены серверные и системные пакеты: chrony 4.5, linuxptp 4.2, Rsyslog 8.2310, iptables 1.8.10, nftables 1.0.9, firewalld 1.3, stratis-cli 3.6.0, boom 1.6.0, 389-ds-base 2.4.5, samba 4.19.4, Podman 4.9.
- Работающий в пространстве пользователя инструментарий SELinux (libsepol, libselinux, libsemanage, policycoreutils, checkpolicy, mcstrans) обновлён до версии 3.6, в которой в язык CIL (Common Intermediate Language) добавлена поддержка правил “deny” и ключевых слов “notself” и “other”. Добавлен исполняемый файл getpolicyload для отображения числа перезагрузок правил SELinux. Под защиту SELinux переведены сервисы nvme-stas, rust-afterburn, rust-coreos-installer и bootc, которые раньше выполнялись в режиме unconfined_service_t. Добавлены правила SELinux для SAP HANA. Добавлен новый сервис chronyd-restricted, защищённый при помощи SELinux. Добавлен пакет grafana-selinux для запуска grafana с защитой SELinux.
- Регистратор и верификатор Keylime, применяемые для подтверждения подлинности и непрерывного отслеживания целостности внешних систем, теперь можно запустить внутри контейнеров, изолированных от основной системы.
- В системе ведения логов Rsyslog предоставлена возможность изменения настроек шифрования для TLS/SSL и добавлены дополнительные опции для сброса привилегий.
- В OpenSSL предоставлена возможность размещения файлов с настройками TLS в отдельном каталоге /etc/pki/tls/openssl.d, что позволяет переопределить параметры дополнительных криптографических модулей без изменения основного файла конфигурации OpenSSL.
- В SSSD (System Security Services Daemon) предоставлена возможность включения и настройки беспарольной аутентификации, используя датчики биометрических данных, поддерживающие спецификацию FIDO2, например, устройства YubiKey.
- Добавлена экспериментальная команда “podman build farm” для создания образов контейнеров сразу для нескольких архитектур. В Podman добавлена полная поддержка бэкенда на базе SQLite и предоставлена возможность использования модулей containers.conf для выборочной загрузки настроек. В Containerfile разрешены многострочные инструкции HereDoc. Объявлен устаревшим сетевой стек CNI (Container Network Interface). При помощи команды “podman machine” реализована возможность проброса USB-устройств в виртуальные машины QEMU.
- В IdM (Identity Management) предоставлена возможность включения обязательной двухфакторной аутентификации LDAP-клиентов, используя одноразовые пароли (OTP). Стабилизирован API IdM, который раньше преподносился как экспериментальный. В 389 Directory Server добавлена поддержка протокола HAProxy, что позволяет корректно определять IP-адреса клиентов, подключающихся через прокси.
- В сборщике образов RHEL предоставлена возможность указания произвольных точек монтирования и создания различных режимов разбивки на разделы (auto-lvm, lvm, raw).
- До версии 1.0.0 обновлена реализация протокола synce4l, обеспечивающего поддержку технологии синхронизации частоты SyncE (Synchronous Ethernet), поддерживаемой в некоторых сетевых картах и сетевых коммутаторах, и позволяющей повысить эффективность обмена данными в приложениях RAN (Radio Access Network) за счёт более точной синхронизации времени. Добавлена поддержка предоставляемого ядром интерфейса DPLL (Digital Phase Locked Loop).
- В подсистему nftables перенесена возможность проверки полей внутренних заголовков пакетов, передаваемых через туннели. В утилиту nft добавлена возможность использования команды “nft reset” для сброса состояний правил nftables, таких как счётчики пакетов и значения квот. В firewalld прекращено удаление правил, добавленных через iptables, если в firewalld используется бэкенд nftables и отсутствуют правила, созданные с опцией “–direct”.
- В утилиту ss, входящую в пакет iproute2, добавлена опция “–bound-inactive” для отображения неактивных сетевых сокетов TCP, которые прикреплены к IP-адресу и сетевому порту (выполнен вызов bind), но не соединены (вызов connect) или не переведены в режим ожидания соединения (вызов listen).
- В NetworkManager добавлена возможность изменения числа каналов (очередей пакетов, привязанных к обработчикам прерываний) для сетевых интерфейсов и настройки режима SwitchDev, позволяющего делегировать операции по перенаправлению кадров и обработке сетевых пакетов специализированным аппаратным чипам. Добавлена поддержка сетевых интерфейсов MACsec. Для беспроводных соединений предоставлена возможность назначения отдельного постоянного MAC-адреса (режим stable-ssid).
- В Nmstate обеспечено создание YAML-файла для возврата к прошлому состоянию настроек. Для управления приоритетами в агрегированных сетевых интерфейсах (bond) добавлено свойство priority. Добавлены дополнительные атрибуты для VLAN: registration-protocol, mvrp, reorder-headers и loose-binding. Предоставлена возможность настройки тегов VLAN на сетевых устройствах с поддержкой SR-IOV (Single Root I/O Virtualization).
- Возвращён модуль ядра с реализацией алгоритма контроля перегрузки TCP Illinois, который в среднем позволяет добиться большей пропускной способности и более справедливого распределения ресурсов.
- Расширены возможности утилит rteval, rtla и cyclicdeadline. В rteval добавлена возможность использования префиксов “+” и “-” для прикрепления и открепления ядер CPU из списка отслеживаемых ядер (measurement-cpulist). Утилита rtla обновлена до состояния, соответствующего ядру Linux 6.6. Добавлена опция “rtla -C” для прикрепления к потокам дополнительных cgroup. В утилиту cyclicdeadline добавлена возможность визуализации задержек в виде гистограммы.
- Добавлена возможность задания максимального размера ФС при динамическом увеличении размера ФС сервисом stratisd, что позволяет избежать проседания производительности после неконтролируемого увеличения размера XFS.
- В утилиту lvconvert добавлена поддержка преобразования стандартных логических томов (LV) в вариант, допускающий динамическое выделение места в хранилище (thin provisioning).
- В multipathd добавлена поддержка обработки событий FPIN-Li (Fabric Performance Impact Notification) для оптимизации доступа к накопителям NVMe. В секцию используемых по умолчанию настроек в multipath.conf добавлены параметры max_retries и auto_resize. Для Device-mapper-multipath добавлены настойки для использования массива HPE Alletra 9000 NVMeFC и поддержки режима ANA (Asymmetric Namespace Access) в NVMeoFC.
- В разряд стабильных переведена возможность загрузки c адаптеров NVMe/FC (Non-volatile Memory Express (NVMe) over Fibre Channel).
- В web console упрощено управление хранилищами и изменение размера разделов. Добавлена поддержка генерации shell-скриптов и сценариев Ansible для настройки kdump. В секции Virtual Machines реализована возможность добавления открытых ключей SSH и подключения уже отформатированных блочных устройств. Для подключения к виртуальным машинам вместо протокола SPICE задействован VNC.
- Добавлены новые системные роли для запуска, управления и настройки fapolicyd и Microsoft SQL Server 2022. Добавлена роль snapshot для создания и управления снапшотами LVM. В роль sshd добавлена возможность аутентификации по сертификатам.
- Стабилизирована поддержка виртуализации на системах ARM64 с использованием гипервизора KVM.
- Добавлена поддержка миграции виртуальных машин в режиме Multi-FD (multiple file descriptors), при котором при переносе виртуальной машины устанавливается несколько параллельных соединений, что позволяет ускорить передачу данных при наличии высокоскоростного сетевого соединения (20 Gbps и выше).
- Повышена производительность live-миграции в режиме Postcopy, при котором виртуальное окружение запускается почти сразу, а все недостающие данные подгружаются при обращении к не скопированным страницам памяти.
- Добавлена утилита toolbx, позволяющая запустить дополнительное изолированное окружение, которое может быть обустроено произвольным образом при помощи обычного пакетного менеджера DNF и использоваться для установки экспериментальных пакетов без влияния на основную систему.
- Добавлена поддержка параметров командной строки ядра Linux: accept_memory, ia32_emulation, arm64.nomops, cgroup_favordynmods, early_page_ext, fw_devlink.sync_state, kunit.enable, mtrr=debug, rcupdate.rcu_cpu_stall_cputime, rcupdate.rcu_exp_stall_task_details,
spec_rstack_overflow и workqueue.unbound_cpus. - Добавлены новые параметры sysctl: io_uring_group и numa_balancing_promote_rate_limit_MBps.
- Использование механизма io_uring по умолчанию запрещено для всех процессов (sysctl io_uring_disabled=2).
- Расширена поддержка оборудования. Добавлены драйверы для поддержки технологий Intel QuickAssist Technology, Intel TPMI, Intel Uncore Frequency, AMD HSMP, AMD XCP, AMD Platform Management и Mellanox PMC.
Добавлен драйвер octeon_ep для контроллеров Marvell Octeon PCIe Endpoint Network Interface Controller. - Продолжено предоставление экспериментальной (Technology Preview) поддержки:
- VPN WireGuard,
- kTLS (TLS на уровне ядра),
- интерфейса асинхронного ввода/вывода io_uring,
- DAX (Direct Access) для ext4 и XFS,
- AMD SEV и SEV-ES в гипервизоре KVM,
- сервиса systemd-resolved,
- механизма Sigstore для верификации контейнеров по цифровым подписям,
- протоколов PRP (Parallel Redundancy Protocol) и HSR (High-availability Seamless Redundancy),
- аппаратного ускорения IPsec через вынос операций инкапсуляции пакетов на сторону сетевой карты,
- протокола управления сертификатами ACME, применяемого в Let’s Encrypt,
- SRv6 (Segment Routing over IPv6,
- пакета с графическим редактором GIMP 2.99.8,
- настройки MPTCP (Multipath TCP) через NetworkManager,
- DNSSEC в IdM,
- virtio-mem,
- Socket API для TuneD,
- Soft-iWARP (Internet Wide-area RDMA Protocol),
- GNOME для ARM64 и IBM Z.