Как и в случае с веткой RHEL 9 исходные тексты rpm-пакетов RHEL 8 теперь не распространяются публично через Git-репозиторий CentOS, но остаются доступны клиентам компании через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных. Исходные тексты можно найти в репозитории CentOS Stream, но он полностью не синхронизирован с RHEL и в нём не всегда самые свежие версии пакетов совпадают с пакетами из RHEL. Rocky Linux, Oracle и SUSE объединили усилия и теперь воспроизводят исходные тексты rpm-пакетов релизов RHEL в рамках проекта OpenELA. AlmaLinux перешёл на использование репозитория
CentOS Stream и допускает наличие незначительных расхождений в поведении (может отличаться на уровне отдельных патчей), но сохраняет бинарную совместимость на уровне ABI.
Подготовка новых выпусков Red Hat Enterprise Linux 8.x осуществляется в соответствии с циклом разработки, подразумевающим формирование релизов раз в полгода в заранее определённое время. До 2024 года ветка 8.x будет находиться на стадии полной поддержки, подразумевающей включение функциональных улучшений, после чего перейдёт на стадию сопровождения, на которой приоритеты сместятся в сторону исправления ошибок и безопасности, с внесением незначительных улучшений, связанных с поддержкой важных аппаратных систем.
Ключевые изменения:
- В состав включены новые версии компиляторов и инструментов для разработчиков: GCC Toolset 13, LLVM Toolset 16.0.6, Rust Toolset 1.71.1, Go Toolset 1.20.10, Node.js 20, Valgrind 3.21, SystemTap 4.9, elfutils 0.189, java-21-openjdk (также продолжают поставляться java-17-openjdk, java-11-openjdk и java-1.8.0-openjdk).
- Обновлены серверные и системные пакеты: samba 4.18.4, 389-ds-base 1.4.3.35, OpenSCAP 1.3.8, Grafana 9.2.10, opencryptoki 3.21.0, iproute 6.2.0, libnftnl 1.2.2,
makedumpfile 1.7.2, Podman 4.6. - В AMI-образы для облачных окружений AWS EC2 добавлена поддержка загрузки в режиме UEFI.
- В установочные сборки добавлен параметр «inst.wait_for_disks», задающий время ожидания загрузки kickstart-файла или готовности драйверов в процессе загрузки.
- В kickstart-файлы в команду network добавлены новые опции «—ipv4-dns-search» и «—ipv6-dns-search» для задания базовых доменов для директивы «search» в /etc/resolv.conf, а также опции «—ipv4-ignore-auto-dns» и «—ipv6-ignore-auto-dns» для игнорирования получения настроек DNS через DHCP.
- В сервис fapolicyd для упрощения отладки проблем добавлена передача номеров правил для отклонённых обращений к API fanotify.
- Профили безопасности ANSSI-BP-028 (French National Agency for the Security of Information Systems) обновлены до версии 2.0.
- В средства аудита добавлена поддержка событий FANOTIFY и реализовано сохранение в логе полей fan_type (тип события), fan_info (связанная информация), sub_trust и obj_trust (уровни доверия для субъекта и объекта события).
- В Postfix реализована возможность проверки DNS-записей SRV для определения хоста и порта почтового сервера, который будет использован для передачи сообщений. Предложенную возможность можно использовать в инфраструктурах, в которых для доставки почтовых сообщению используются сервисы с динамически выделяемыми номерами сетевых портов.
- В FTP-сервере vsftpd реализована возможность использования протокола TLS 1.3.
- В пакет cups-filters добавлен драйвер LF-to-CRLF, который можно использовать для преобразования символов «n» (перевод строки) в «rn» (возврат каретки и перевод строки) для принтеров, поддерживающих только обработку файлов с концом строки «rn».
- Усилена защищённость предлагаемых по умолчанию настроек сервиса nftables. В состав набора правил /etc/sysconfig/nftables/nat.nft включена новая цепочка do_masquerade, проверяющая уровень рандомизации исходных номеров портов для снижения риска осуществления атаки Port Shadows (CVE-2021-3773).
- В NetworkManager добавлена поддержка опции «no-aaaa» в resolv.conf, отключающей отправку DNS-запросов записей AAAA (определение адреса IPv6 по имени хоста). В утилиту nm-cloud-setup добавлена поддержка настройки AWS Red Hat Enterprise Linux EC2 при помощи токенов IMDSv2 (Instance Metadata Service Version 2).
- Для защиты от атак Spectre v2, связанных со спекулятивным выполнением инструкций, добавлен режим AutoIBRS (Automatic Indirect Branch Restricted Speculation), поддерживаемый в CPU AMD, начиная с семейства EPYC 9004 Genoa.
- Из ядра Linux 6.2 перенесён драйвер Intel QAT с поддержкой устройств Intel Quick Assist Technology 401xx/402xx.
- Добавлена возможность указания UUID при создании ФС GFS2 (в утилиту mkfs.gfs2 добавлена команда «-U»).
- В FUSE3 добавлена возможность аннулирования элемента каталога без автоматического отмонтирования точек монтирования, связанных с этим элементом.
- Расширены возможности для кластеров и отказоустойчивых систем: В агенты ресурсов кластера IPaddr2 и IPsrcaddr добавлена поддержка policy routing. В агент ocf:heartbeat:Filesystem добавлена поддержка ФС EFS (Amazon Elastic File System). В агент alert_snmp.sh.sample добавлена поддержка протокола SNMPv3.
- В Glibc добавлены изменения с оптимизациями для повышения производительности на системах с CPU Intel Xeon v5.
- Обеспечена полная поддержка дискретных видеокарт Intel Arc A-Series (Alchemist или DG2).
- Добавлена системная роль для управления юнитами systemd и их установки. Добавлена системная роль для установки, настройки, управления и запуска СУБД PostgreSQL. Добавлена системная роль для инструментария keylime, упрощающая настройку регистратора и верификатора Keylime, применяемого для подтверждения подлинности и непрерывного отслеживания целостности внешней системы. В системную роль firewall добавлена поддержка определения, изменения и удаления ipset-ов. Расширены системные роли для Podman, Kdump, Storage и Microsoft SQL Server.
- В cloud-init добавлена поддержка файлов с ключами, используемыми в NetworkManager.
- В Podman добавлена поддержка контейнеров, сжатых с использованием алгоритма zstd. Добавлена возможность использования Quadlets для автоматической генерации сервисов systemd из описаний контейнеров. Добавлена оболочка podmansh, которую можно использовать вместо /usr/bin/bash для запуска сеанса пользователя в контейнере. Обновлены версии Podman, Buildah, Skopeo, crun и runc.
- Добавлены новые параметры командной строки ядра: gather_data_sampling для управления режимом защиты от атак GDS (Gather Data Sampling или Downfall и rdrand для скрытия поддержки инструкции RDRAND.
- Расширена поддержка оборудования. Добавлены драйверы для сетевых устройств Thunderbolt/USB4 (thunderbolt_net) и беспроводных адаптеров Broadcom 802.11 (brcmfmac), поставляемых для систем ARM64. Добавлены драйверы для Bluetooth-устройств MediaTek, Microsoft Azure Network Adapter IB (mana_ib), Linux USB Video Class driver (uvc), AMD SoundWire (soundwire-amd), DisplayPort Alternate Mode (typec_displayport), Virtio-mem (virtio_mem). Улучшена поддержка процессоров Intel на базе микроархитектуры Meteor Lake.
- Стабилизирована поддержка клиентов для компонентов криптографической верификации sigstore: Rekor (лог для хранения метаданных, заверенных цифровыми подписями) и
Fulcio (система удостоверяющих центров (root CA), выдающих короткоживущие сертификаты). - Продолжено предоставление экспериментальной (Technology Preview) поддержки AF_XDP, XDP hardware offloading, Multipath TCP (MPTCP), MPLS (Multi-protocol Label Switching), DSA (data streaming accelerator), dracut, kexec fast reboot, nispor, DAX в ext4 и xfs, systemd-resolved, accel-config, igc, OverlayFS, Stratis, Software Guard Extensions (SGX), NVMe/TCP, DNSSEC, GNOME на системах ARM64 и IBM Z, AMD SEV для KVM, Intel vGPU, Toolbox.
Источник: http://www.opennet.ru/opennews/art.shtml?num=60142