LINUXTALKS.CO

Релиз дистрибутива Red Hat Enterprise Linux 8.8

 

L


0

0

Следом за выпуском Red Hat Enterprise Linux 9.2 опубликовано обновление прошлой ветки Red Hat Enterprise Linux 8.8, которая сопровождается параллельно с веткой RHEL 9.x и будет поддерживаться как минимум до 2029 года. Установочные сборки подготовлены для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64, но доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal (также можно использовать iso-образы CentOS Stream 9 и бесплатные сборки RHEL для разработчиков). Исходные тексты rpm-пакетов Red Hat Enterprise Linux 8 распространяются через Git-репозиторий CentOS.

Подготовка новых выпусков осуществляется в соответствии с циклом разработки, подразумевающим формирование релизов раз в полгода в заранее определённое время. До 2024 года ветка 8.x будет находиться на стадии полной поддержки, подразумевающей включение функциональных улучшений, после чего перейдёт на стадию сопровождения, на которой приоритеты сместятся в сторону исправления ошибок и безопасности, с внесением незначительных улучшений, связанных с поддержкой важных аппаратных систем.

Ключевые изменения:

  • Обновлены серверные и системные пакеты: nginx 1.22, Libreswan 4.9, OpenSCAP 1.3.7, Grafana 7.5.15, powertop rebased 2.15, tuned 2.20.0, NetworkManager 1.40.16, mod_security 2.9.6, samba 4.17.5.
  • В состав включены новые версии компиляторов и инструментов для разработчиков: GCC Toolset 12, LLVM Toolset 15.0.7, Rust Toolset 1.66, Go Toolset 1.19.4, Python 3.11, Node.js 18.14, PostgreSQL 15, Git 2.39.1, Valgrind 3.19, SystemTap 4.8, Apache Tomcat 9.
  • Настройки FIPS-режима изменены для соответствия требованиям стандарта FIPS 140-3. Отключены 3DES, ECDH и FFDH, минимальный размер ключей HMAC ограничен 112 битами, а ключей RSA - 2048 битами, в генераторе псевдослучайных чисел DRBG отключены хэши SHA-224, SHA-384, SHA512-224, SHA512-256, SHA3-224 и SHA3-384.
  • Политики SELinux обновлены для обеспечения работы systemd-socket-proxyd.
  • В пакетном менеджере yum реализована команда offline-upgrade для применения обновлений к системе в offline-режиме. Суть offline-обновления в том, что вначале новые пакеты загружаются командной "yum offline-upgrade download", после чего выполняется команда "yum offline-upgrade reboot" для перезагрузки системы в минимальное окружение и установки в нём имеющихся обновлений, не мешая рабочим процессам. После завершения установки обновлений система перезагружается в обычное рабочее окружение. При загрузке пакетов для offline-обновления можно применять фильтры, например, "--advisory", "--security", "--bugfix".
  • Добавлен новый пакет synce4l для использования технологии синхронизации частоты SyncE (Synchronous Ethernet), поддерживаемой в некоторых сетевых картах и сетевых коммутаторах, и позволяющей повысить эффективность обмена данными в приложениях RAN (Radio Access Network) за счёт более точной синхронизации времени.
  • Во фреймворк fapolicyd (File Access Policy Daemon), позволяющий определить какие программы можно запускать определённому пользователю, а какие нет, добавлен новый файл конфигурации /etc/fapolicyd/rpm-filter.conf для настройки списка файлов с БД для пакетного менеджера RPM, которые обрабатывает fapolicyd. Например, новый файл конфигурации может использоваться для исключения из политик доступа отдельных приложений, установленных через пакетный менеджер RPM.
  • В ядре при сбросе в лог информации о выявленном SYN flood-е обеспечено указание сведений о принявшем соединение IP-адресе, чтобы упростить определения цели флуда на системах с обработчиками, привязанными к разным IP-адресам.
  • Добавлена системная роль для инструментария podman, позволяющая управлять настройками Podman, контейнерами и сервисами systemd, запускающими контейнеры Podman. В Podman добавлена поддержка генерации событий аудита, подключения обработчиков перед запуском (/usr/libexec/podman/pre-exec-hooks и /etc/containers/pre-exec-hooks) и использования формата Sigstore для хранения цифровых подписей вместе с образами контейнеров.
  • Обновлён инструментарий для управления изолированными контейнерами container-tools, включающий такие пакеты, как Podman, Buildah, Skopeo, crun и runc.
  • Добавлена утилита toolbox, позволяющий запустить дополнительное изолированное окружение, которое может быть обустроено произвольным образом при помощи обычного пакетного менеджера DNF. Разработчику достаточно выполнить команду "toolbox create", после чего в любой момент можно войти в сформированное окружение командой "toolbox enter" и установить любые пакеты при помощи утилиты yum.
  • Добавлена поддержка формирования образов в формате vhd, применяемом в Microsoft Azure, для архитектуры ARM64.
  • В SSSD (System Security Services Daemon) добавлена поддержка приведения имён домашних каталогов к нижнему регистру символов (через использование подстановки "%h" в атрибуте override_homedir, указываемом в /etc/sssd/sssd.conf). Кроме того, пользователям разрешена смена пароля, хранимого в LDAP (включается через выставление значения shadow для атрибута ldap_pwd_policy в /etc/sssd/sssd.conf).
  • В glibc реализован новый алгоритм сортировки при динамическом связывании DSO, использующий метод поиска в глубину (DFS) для решения проблем с производительностью при обработке зацикленных зависимостей. Для выбора алгоритма сортировки DSO предложен параметр glibc.rtld.dynamic_sort=2, которому можно присвоить значение "1" для отката на старый алгоритм.
  • В утилите rteval обеспечен показ сводной информации о загрузках программы, потоках и CPU, задействованных для выполнения этих потоков.
  • В утилите oslat добавлены дополнительные опции для измерения задержек.
  • Добавлены новые драйверы для SoC Intel Elkhart Lake, Solarflare Siena, NVIDIA sn2201, AMD SEV, AMD TDX, ACPI Video, Intel GVT-g для KVM, HP iLO/iLO2.
  • Добавлена экспериментальная поддержка дискретных видеокарт Intel Arc (DG2/Alchemist). Для включения аппаратного ускорения на подобных видеокартах следует при загрузке указать PCI-идентификтор карты через параметр ядра "i915.force_probe=pci-id".
  • Пакет inkscape inkscape1 заменён на inkscape1, в котором используется Python 3. Версия Inkscape обновлена с 0.92 до 1.0.
  • В режиме киоска предоставлена возможность использования экранной клавиатуры GNOME.
  • В библиотеке libsoup и почтовом клиенте Evolution добавлена поддержка аутентификации в Microsoft Exchange Server с использованием протокола NTLMv2.
  • В GNOME предоставлена возможность настройки контекстного меню, показываемого при нажатии правой кнопки мыши на рабочем столе. Пользователь теперь может добавить в меню элементы для запуска произвольных команд.
  • В GNOME разрешено отключение смены виртуальных рабочих столов через движение вверх или вниз тремя пальцами на тачпаде.
  • Продолжено предоставление экспериментальной (Technology Preview) поддержки AF_XDP, XDP hardware offloading, Multipath TCP (MPTCP), MPLS (Multi-protocol Label Switching), DSA (data streaming accelerator), KTLS, dracut, kexec fast reboot, nispor, DAX в ext4 и xfs, systemd-resolved, accel-config, igc, OverlayFS, Stratis, Software Guard Extensions (SGX), NVMe/TCP, DNSSEC, GNOME на системах ARM64 и IBM Z, AMD SEV для KVM, Intel vGPU, Toolbox.

// cc-by opennet.ru
// converted with crypt’s opennet autoreposter

>>> Подробности

★★☆☆☆
Ответ на: комментарий от crypt

Я уже на центос переехал на домашнем компе. Полёт нормальный, ничего не отвалилось.

cocucka    
★★★★★★★★★★
Linux / Firefox
Ответ на: комментарий от cocucka

хммм…. ну тогда тебе точно нужно привести домой александру или ту линуксятницу, чтобы она редекарировала твой гном)

crypt    
★★☆☆☆
FreeBSD / Chrome
Ответ на: комментарий от crypt

EPEL, ессно, плюс амдешный с ROCm. Ещё я включил rpm fusion, но чисто для кодеков, софт я оттуда не ставил.

cocucka    
★★★★★★★★★★
Linux / Firefox
Ответ на: комментарий от crypt

Я вообще всегда был за reiserfs, но по известным причинам больше ей пользоваться нельзя.

cocucka    
★★★★★★★★★★
Linux / Firefox
Ответ на: комментарий от cocucka

согласен. нельзя поддерживать ФС, которую придумал убийца.

crypt    
★★☆☆☆
FreeBSD / Chrome
Ответ на: комментарий от Minona

всё остальное одинаковое.

Не все так одинаково. Вот пример. В Iracle linux ядро UEK 5.15, в котором из коробки доступен драйвер NTFS от Pargon Software, иными словами пакет NTFS-3G в этом дистрибутиве не нужен.

odalist    
★★★★★★★
Linux / Firefox
Ответ на: комментарий от cocucka

обои у оракла зато традиционно ужасные:(

crypt    
★★☆☆☆
FreeBSD / Chrome
Ответ на: комментарий от cocucka

пересборка RHEL с нескучным ядром.

Ничего себе пересборка….да ладно вам.

odalist    
★★★★★★★
Linux / Firefox
Ответ на: комментарий от cocucka

еще всратый фаервол

У всех там встроенный фаервол (Rocky Linux, Alma Linux, Oracle Linux и Red Hat).

odalist    
★★★★★★★
Последнее исправление: odalist (всего исправлений: 1)

Linux / Firefox
Ответ на: комментарий от crypt

патчей в фс и свои sysctl. о чем ты.

Это все заточенно под ихнее сертификационное железо. Плюс что-то напихано в плане секюрности. Думаю, эта работа не из легких.

odalist    
★★★★★★★
Linux / Firefox
Ответ на: комментарий от odalist

Естественно, разные ядра - разные модули ядра.
Под «всё остальное одинаковое» имелся ввиду юзерспейс.
Если поставить RHCK то будет 1 в 1 RHEL.

Minona    
★★★★★
Windows / Yandex
Ответ на: комментарий от Minona

Под «всё остальное одинаковое» имелся ввиду юзерспейс.

Да, с этим я полностью согласен.

odalist    
★★★★★★★
Linux / Firefox
Ограничение на отправку комментариев: только для зарегистрированных пользователей, score>=90