Red Hat Enterprise Linux 9.6 (x86_64, aarch64) - 红帽企业 Linux

Red Hat Enterprise Linux 9.6 (x86_64, aarch64) - 红帽企业 Linux (RHEL)

RHEL 9 | 红帽企业 Linux 9

请访问原文链接：https://sysin.org/blog/rhel-9/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

红帽企业 Linux 9

红帽企业 Linux 9.6 新增功能

2025 年 5 月 20 日，IBM 收购的红帽公司宣布推出红帽企业 Linux 9.6，这是世界领先的企业 Linux 平台的最新版本。

Red Hat Enterprise Linux 9.6 的发布说明涵盖了多个方面的增强，sysin 提取了几项亮点包括：

• 系统管理：改进了 Web Console 和 System Roles，如支持管理用户单元、Stratis 文件系统大小限制、AIDE 系统角色等。
• 虚拟化与安全性：引入 UKI、Intel TDX、FIPS、加密 DNS 及更高的 CVE 管理灵活性。
• RHEL Lightspeed：AI 助手功能增强操作体验。
• 云原生：支持在云端部署更一致且可预测的镜像。

以下是 RHEL 9.6 的新增功能：

✅ 1. 安装与镜像创建

• Kickstart 支持 CA 证书：在安装过程中添加对 CA 证书的支持，通过 Kickstart 文件中的 %certificates 部分，简化加密 DNS 配置，符合 Zero Trust 架构要求。
• RHEL Image Builder 高级分区支持：RHEL image builder 和 bootc-image-builder 工具支持通过蓝图文件或 config.toml 创建具有自定义挂载点和 LVM 分区的磁盘镜像 (sysin)。
• bootc-image-builder 工具普遍可用：bootc-image-builder 工具现在普遍可用，可以作为容器运行，轻松创建和部署兼容的磁盘镜像。

✅ 2. 安全增强

• pcsd 提供 --disable-polkit 选项：允许在启动 pcsd 服务时禁用 PolicyKit 授权框架，以便在有限环境中访问 PKCS #11 设备。
• SSH 登录错误消息链接：SSH 命令行工具在出现早期错误时提供指向 Red Hat Customer Portal 页面的链接，包含常见错误消息的详细信息和解决步骤。
• pkcs11-tool 显示对象 URI：pkcs11-tool -L 和 pkcs11-tool -O 命令输出中包含 uri: 字段，便于配置 pkcs11 Clevis pin。
• crypto-policies 禁用 CBC 密码：crypto-policies 使用 openssl -CBC CipherString 指令，禁用 OpenSSL 中的 CBC 密码套件。
• nettle 库升级到 3.10.1：提供各种错误修复、优化和增强，包括在 64 位 PowerPC 架构上的性能提升。
• rsyslog 升级到 8.2412.0：可以绑定规则集到 imjournal 模块，优化日志消息处理，减少主消息队列负载。
• OpenSCAP 升级到 1.3.12：提供错误修复和各种增强。
• Clevis 升级到版本 21：支持 PKCS #11，包含许多增强和错误修复。
• 新的 Keylime 策略管理工具：集成所有 Keylime 运行时策略和测量启动策略的管理任务 (sysin)，提高策略生成性能。
• SELinux 分配特定类型给 /dev/hfi1_0：SELinux 策略中为 /dev/hfi1_0 设备分配 hfi1_device_t 类型，适当控制对该设备的访问。
• SELinux 策略中添加更多受限服务：将 systemd 服务 iio-sensor-proxy、power-profiles-daemon、switcheroo-control 和 samba-bgqd 添加到 SELinux 策略中，使其在 SELinux 强制模式下成功运行。
• SCAP Security Guide 升级到 0.1.76：提供错误修复和增强。
• Keylime 要求 HTTPS 撤销通知：Keylime 组件要求使用更安全的 HTTPS 协议进行撤销通知 webhooks。

✅ 3. RHEL for Edge

• 使用 FDO 部署 RHEL 系统镜像模式：支持使用 FIDO Device Onboarding (FDO) 过程部署 RHEL 系统的镜像模式。
• RHEL 10 提供 greenboot 包 0.15.8 版本：提供错误修复和增强，包括与 rpm-ostree 的兼容性修复。

✅ 4. 软件管理

• Image mode 用户可以使用 dnf --transient 执行包事务：新增 --transient 标志和 persistence 配置选项，改进 bootc 系统上的用户体验。
• 改进 DNF 在锁定 OSTree 或 bootc 系统上的错误消息：DNF 检测是否在只读 OSTree 或 bootc 系统上运行 (sysin)，并告知用户如何管理此类系统。
• DNF Automatic 可以通知用户更新失败：新增 send_error_messages 布尔选项，允许 DNF Automatic 工具在自动更新失败时通知用户。

✅ 5. Shell 和命令行工具

• logrotate 配置中新增 ignoreduplicates 选项：忽略 logrotate 配置中的任何重复文件路径。
• 新增 maven-openjdk21 包：支持使用 OpenJDK 21 运行 Maven。
• openCryptoki 升级到 3.24.0：在非 IBM Z 平台上添加对 CCA token 的支持，支持 IBM Dilithium，新增 RSA-OAEP 和 SHA-2 机制等。
• libva 升级到 2.22.0：添加 VVC 解码 LibVA 接口 (sysin)，支持 linux-dmabuf。
• 新的模块流 maven 3.9：提供与 maven 2 不兼容的更新，支持 OpenJDK 21。
• 支持多路径伙伴设备：drmgr 工具支持多路径驱动的热插拔添加和移除。

✅ 6. 基础设施服务

• CUPS 配置中可以禁用弱密码：CUPS 尊重系统设置，不再提供系统范围内禁用的算法。

✅ 7. 网络

• 支持 E825C 接口：为 Intel Granite Rapids-D 平台的 E825C 网络接口添加以太网功能支持。
• i40e 驱动支持 MDD 事件的自动重置行为：在检测到 MDD 事件时自动重置有问题的 SR-IOV 虚拟功能。
• NetworkManager 支持在 NIC 上配置 FEC 编码：支持在网络接口控制器上配置前向纠错 (FEC) 编码。
• NetworkManager 可以自动添加到 DNS 服务器的路由：通过 ipv4.routed-dns 参数配置 NetworkManager，使名称服务器仅通过正确的网络接口可达。
• NetworkManager 可以将 ipv4.dhcp-send-hostname 设置为 false：默认情况下，为所有 IPv4 连接将 ipv4.dhcp-send-hostname 选项设置为 false。
• NetworkManager 支持 ip-ping-addresses 和 ip-ping-timeout 属性：确保远程服务（如 NFS）仅在目标网络可达时挂载。
• nmstate 支持在 Libreswan 配置上设置 require-id-on-certificate：支持 VPN 配置的 Subject Alternative Name (SAN) 验证。
• NetworkManager DHCP 客户端支持 DHCPv4 的 IPv6-only 首选选项：为 NetworkManager 客户端提供 IPv6-only 首选选项。
• xdp-tools 升级到 1.5.1：提供多个增强和错误修复。
• wpa_supplicant 升级到 2.11：提供多个错误修复和增强。
• iproute2 升级到 6.11.0：提供多个错误修复和增强 (sysin)。
• 绑定设备支持带 ESN 的 IPsec HW 卸载：在绑定设备上设置带 ESN 的 IPsec HW 卸载。
• VXLAN 实现中新增“丢弃原因”：在 VXLAN 实现中添加新的“丢弃原因”，提供更多上下文信息。
• RHEL 中全面支持调制解调器网络驱动：提供对多种调制解调器的全面支持。
• nmstate 支持配置 IPvLAN：支持配置 IPvLAN，增强网络管理和容器网络。

✅ 8. 内核

• RHEL 9.6 中的内核版本：使用 5.14.0-570.12.1 内核版本。
• eBPF 设施升级到 Linux 内核版本 6.12：提供多个增强和错误修复。
• cgroup.stat 查看每个 cgroup 子系统的实例数：增强 cgroup.stat 控制文件，显示 cgroup v2 中每个 cgroup 子系统的实例数。
• 新增在 rtla-timerlat 测试中局部禁用空闲状态的选项：新增 deepest-idle-state 选项，在 rtla-timerlat 测试中局部禁用空闲状态。
• kpatch-dnf 插件更新：增强内核管理，支持选择性应用补丁。
• rteval 工具容器化：可以从 Quay.io 容器注册表中运行 rteval 工具。
• TPM_TIS 升级到上游 6.7：针对 Lenovo 硬件，提供稳定性和安全性增强。
• kdump 升级到 6.10：集成与崩溃转储相关的最新改进 (sysin)、错误修复和功能。
• Landlock 新 Linux 安全模块：引入 Landlock，使容器更安全。
• 新增集成测试验证 kdump 程序：检查 kdump 程序的日志文件，防止系统故障。
• 新增 timerlat-interval 和 cyclictest-interval 选项：修改 timerlat 或 cyclictest 线程的基准或周期性间隔选项。
• cyclictest 工具新增在延迟测试中局部禁用空闲状态的选项：新增 deepest-idle-state 选项，在 cyclictest 测试中局部禁用空闲状态。
• IBM Power 上支持 NVMf-FC kdump：在 IBM Power 系统上支持 NVMf-FC kdump。

✅ 9. 引导加载程序

• GRUB 引导加载程序强化：修复 GRUB2 代码中发现的多个安全漏洞。

✅ 10. 文件系统和存储

• 支持 EROFS 文件系统：支持轻量级通用只读文件系统 EROFS。
• RHEL 中新增 snapm：提供系统状态快照管理。
• NFS with TLS 全面支持：增强 NFS 安全性 (sysin)，支持 RPC 流量的 TLS。
• VFS mnt_idmap 编译时检查更改回溯：减少后续回溯时发生冲突的风险。
• CIFS 客户端提供在 SMB 共享下创建特殊文件的能力：CIFS 客户端可以创建特殊文件，如字符设备、块设备、管道和套接字。

✅ 11. 高可用性和集群

• 使用单个 pcs 命令删除多个资源：支持使用单个命令删除多个资源。
• 新的 pcs tag 命令选项：支持以文本、JSON 和命令格式显示集群资源标签。
• 支持以 JSON 格式和作为 pcs 命令导出围栏级别配置：支持以 JSON 格式和作为 pcs 命令显示围栏级别配置。
• 从 CIB 中移除 Booth 集群票据：在从 Booth 配置中移除票据后，从 CIB 中移除 Booth 票据。

✅ 12. 动态编程语言、Web 和数据库服务器

• 新的模块流 mysql:8.4：提供 MySQL 8.4，包含多个增强和更改。
• PHP 8.3 支持 ARGON2 密码哈希：支持 ARGON2I 和 ARGON2ID 密码哈希算法。
• nginx 1.26 模块流：包含多个错误修复和增强 (sysin)。
• 新的 php:8.3 模块流：提供 PHP 8.3，包含多个增强。

✅ 13. 编译器和开发工具

• LLVM Toolset 升级到 19.1.7：LLVM 使用更高效的调试信息表示，Clang 完成对 C++17 的支持并改进对 C++20 的支持。
• llvm-doc 包仅包含对上游文档的引用：llvm-doc 包仅包含对上游文档的引用。
• Clang 和 LLVM 支持 zstd 进行调试部分压缩：用户可以选择使用 Zstandard (zstd) 算法进行调试部分压缩。
• Rust Toolset 升级到 1.84.1：提供多个增强和错误修复。
• PCP 升级到 6.3.2：提供多个增强和错误修复。
• glibc 库包含改进的 IBM POWER10 优化：显著提高 strcmp() 和 memchr() API 在 IBM POWER10 平台上的性能。
• valgrind 升级到 3.24.0：提供多个增强和错误修复 (sysin)。
• libabigail 升级到 2.6：提供更好的 Linux 内核模块分析支持。
• SystemTap 升级到 5.2：全面激活基于 debuginfod-metadata 的探测点。
• elfutils 升级到 0.192：提供多个增强和错误修复。
• ld 链接器检测应用程序是否使用内存区域的读、写和执行权限：ld 链接器检测应用程序是否使用同时具有读、写和执行权限的内存区域。
• ld 链接器检测应用程序是否使用可执行栈：ld 链接器检测应用程序是否使用可执行栈。
• binutils 支持 IBM Z 指令集的 arch15 扩展：支持 IBM Z 平台上 CPU 的 arch15 扩展。
• boost-devel 包提供 BoostConfig.cmake 和其他官方 CMake 脚本：boost-devel 包中添加 BoostConfig.cmake 和其他官方 CMake 脚本。
• Go Toolset 升级到 1.23：提供多个增强和错误修复。
• glibc 支持 GB18030-2022 编码标准：更新对 GB18030 编码标准的支持，从 2005 版升级到 2022 版。

✅ 14. 身份管理

• 新增工具管理 IdM ID 范围不一致：提供 ipa-idrange-fix 工具，分析现有 IdM ID 范围，识别范围外的用户和组，并建议创建新的 ipa-local 范围。
• Kerberos 支持椭圆曲线 Diffie-Hellman 密钥协商算法：支持 PKINIT 的椭圆曲线 Diffie-Hellman (ECDH) 密钥协商算法。
• ansible-freeipa 升级到 1.14.5：提供多个增强和错误修复。
• 389-ds-base 升级到 2.6.1：提供多个错误修复和增强。
• openldap 升级到 2.6.8：包含多个增强和错误修复。
• Directory Server 中新增 memberOfDeferredUpdate 配置属性：引入新的 memberOfDeferredUpdate 配置属性，提高服务器响应能力。
• Directory Server 提供错误、审计和审计失败日志的缓冲：为错误、审计和审计失败日志提供缓冲。
• Directory Server 可以在成功绑定后使用 CRYPT 或 CLEAR 哈希算法更新密码：允许在成功绑定后使用 CRYPT 或 CLEAR 哈希算法更新密码。
• IdM 中全面支持 HSM：在身份管理中全面支持硬件安全模块 (HSM)。

✅ 15. SSSD

• 新的 SSSD 选项 exop_force：强制即使没有剩余的宽限登录也更改密码。
• authselect 中支持组合并：在 authselect 配置文件中集成组合并支持。
• SSSD 中支持动态 DoT 更新：支持使用 DNS-over-TLS (DoT) 执行所有动态 DNS (dyndns) 查询。

✅ 16. Red Hat Enterprise Linux 系统角色

• postfix RHEL 系统角色中的新变量：确定 postfix 使用的默认数据库类型。
• microsoft.sql.server 系统角色中的新变量：适应 mssql-tools18 包的变化。
• 新的 RHEL 系统角色 aide：用于检测对文件、目录和系统二进制文件的未经授权更改。
• sudo RHEL 系统角色中的新变量：提供对已配置 sudoers 文件的语义检查 (sysin)。
• microsoft.sql.server 系统角色为 AD 用户启用 AES 128 位和 AES 256 位加密：自动化启用 AES 128 位和 AES 256 位加密。
• systemd RHEL 系统角色可以管理用户单元：除系统单元外，还可以管理用户单元。
• 支持导出现有集群的 corosync 配置：支持以可重新创建相同集群的格式导出现有集群的 corosync 配置。
• podman RHEL 系统角色可以管理 Pod 类型的 quadlet 单元：支持管理 Pod 类型的 quadlet 单元。
• network RHEL 系统角色中的新属性 autoconnect_retries：配置 NetworkManager 在自动连接失败后重新连接网络连接的次数。
• network RHEL 系统角色中的新属性 wait_ip：配置系统是否应在配置特定 IP 堆栈后才认为网络连接已激活。
• metrics RHEL 系统角色现在支持 Valkey 作为 Redis 的替代品：为 metrics RHEL 系统角色提供对 Valkey 的支持。
• logging RHEL 系统角色中的新变量 logging_custom_templates：定义自定义模板。
• sshd RHEL 系统角色验证命令和配置：确保使用 command 或 shell 插件时的安全性。

✅ 17. 虚拟化

• IBM Z 上的 KVM 支持多个引导设备：在 IBM Z 主机上运行的客户机操作系统可以尝试从附加设备引导。
• RHEL for Real Time 中全面支持虚拟机：在 RHEL for Real Time 中全面支持实时虚拟化。
• 64 位 ARM 主机上虚拟机的新支持功能：在 64 位 ARM 架构的 RHEL 主机上支持虚拟机的新功能。
• virt-install 现在支持创建使用 SEV-SNP 的虚拟机：支持创建使用 AMD Secure Encrypted Virtualization with Secure Nested Paging (SEV-SNP) 功能的虚拟机。
• 支持具有共享 virtiofs 目录的虚拟机实时迁移：支持具有共享 virtiofs 目录的虚拟机实时迁移。
• 为 IBM z17 处理器提供虚拟化支持：在 RHEL 上为 IBM z17 CPU 添加虚拟化支持。
• IBM Z 上安全执行的可检索秘密：支持在 IBM Z 上的安全执行虚拟机中使用通用基于主机的秘密。
• 为 Intel Xeon v6 处理器提供虚拟化支持：在 RHEL 9 上为 Intel Xeon v6 处理器添加虚拟化支持。
• RHEL 支持具有 Mellanox 虚拟功能的虚拟机实时迁移：支持对具有 Mellanox 虚拟功能的虚拟机进行实时迁移。

✅ 18. 云环境中的 RHEL

• RHEL 客户机中的 Intel TDX：在 RHEL 9.5 及更高版本中全面支持 Intel Trust Domain Extension (TDX) 功能。
• RHEL 的统一内核镜像全面支持：RHEL 的统一内核镜像 (UKI) 现在全面支持。
• Windows Subsystem for Linux (WSL) 上的 RHEL 8 - 10 镜像：在 Red Hat Customer Portal 上提供 RHEL 8、RHEL 9 和 RHEL 10 的 WSL 镜像。
• RHEL 在 HPE 上最多可运行 4096 个 vCPU：RHEL 虚拟机实例现在支持最多 4096 个虚拟 CPU。
• 增强符合条件的 RHEL 镜像的自动注册：为符合条件的云市场订阅提供改进的自动注册功能。

✅ 19. 支持性

• 插件选项名称现在仅使用连字符而不是下划线：确保 sos 全局选项的一致性。
• 新增 --api-url 选项：允许根据需要调用其他 API。
• 新增 --skip-cleaning-files 选项：允许跳过清理选定的文件。

✅ 20. 容器

• Podman 支持推送和拉取使用 zstd:chunked 压缩的镜像：支持推送和拉取使用 zstd:chunked 格式压缩的镜像。
• 容器工具包已更新：更新容器工具包 RPM 元包，包含 Podman、Buildah、Skopeo、crun 和 runc 工具。

✅ 21. Lightspeed

• 由 RHEL Lightspeed 提供支持的命令行助手在 RHEL 中普遍可用：在 RHEL 命令行中提供由 RHEL Lightspeed 提供支持的命令行助手。
• 命令行助手支持使用 systemd-creds 作为密码存储管理器：命令行助手集成 systemd-creds 作为密码存储管理器。

这些新增功能和改进使 RHEL 9.6 成为一个更强大、更安全、更灵活的操作系统，适用于各种企业级应用场景。

关于红帽企业 Linux

红帽® 企业 Linux® 是全球领先的企业 Linux 平台 *1，是可靠的开源操作系统（OS）。用户可基于这一平台，在裸机、虚拟环境、容器及各类云环境之间扩展现有应用并部署各种新兴技术。

• *1 操作系统及子系统 2018 年全球市场份额报告；2019 年 11 月发布。

什么是红帽企业 Linux？

红帽企业 Linux 是企业 Linux 操作系统，已获得数百个云服务及数千个供应商的认证。红帽企业 Linux 能够跨环境提供一致的基础，并提供帮助任何应用快速交付服务和工作负载所需的工具 (sysin)。红帽企业 Linux 可减少部署摩擦，降低成本，同时加速关键工作负载实现价值的时间，使开发和运维团队能够在任何环境中一起创新。

下载地址

Red Hat Enterprise Linux 9.6

• 下载地址：https://sysin.org/blog/rhel-9/

更多：Linux 产品链接汇总