Выпуск Red Hat Enterprise Linux 6.9

После десяти месяцев разработки компания Red Hat представила релиз дистрибутива Red Hat Enterprise Linux 6.9. RHEL 6.9 является первым выпуском, подготовленным в рамках второй стадии сопровождения, на которой приоритеты сместились в сторону исправления ошибок и проблем безопасности, с внесением незначительных улучшений, связанных с поддержкой важных аппаратных систем. Включение значительных функциональных улучшений прекращено. Установочные образы RHEL 6.9 доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal.

10 мая 2017 года ветка Red Hat Enterprise Linux 6 перейдёт на третью стадию поддержки, на которой будут формироваться только обновления с устранением уязвимостей и особо важных ошибок. Внесение изменений, связанных с поддержкой нового оборудования будет прекращено, за исключением поддержания компонентов, необходимых для работы в системах виртуализации. Ветка RHEL 6.x сопровождается параллельно с веткой RHEL 7.x и будет поддерживаться до 30 ноября 2020 года.

Ключевые изменения в Red Hat Enterprise Linux 6.9:

• Проведена большая чистка устаревших алгоритмов и протоколов, безопасность которых поставлена под сомнение. В том числе блокированы алгоритмы, фигурирующие в таких атаках как DROWN против SSL 2.0, SLOTH против MD5, LOGJAM и FREAK против TLS.
  • Полностью удалена поддержка протокола SSLv2 и экспортных наборов шифров, включающих недостаточно защищённые устаревшие алгоритмы шифрования;
  • Ограничено использование MD5 и SHA-0 в качестве алгоритма для создания цифровых подписей;
  • Запрещена установка защищённых соединений с сервером при использовании в TLS параметров DH (Diffie-Hellman), размером менее 1024 бит.
  • Отключено использование RC4 в контекстах, не приводящих к проблемам с нарушением совместимости (например, RC4 отключен в OpenSSH);
• В OpenSSL, NSS, GnuTLS, rsyslog и vsftpd добавлена поддержка протокола TLS 1.2;
• В Postfix обеспечена возможность задания в конфигурации допустимых версий TLS. Например, для запрета TLS 1.1 можно указать "smtpd_tls_mandatory_protocols = !TLSv1.1";
• В NetworkManager добавлена поддержка ручной настройки DNS (при указании dns=none в настройках NetworkManager, прекращается автоматическое изменение /etc/resolv.conf);
• В файл конфигурации /etc/sysconfig/network добавлена поддержка опции NO_DHCP_HOSTNAME, при указании которой скриптам инициализации не даётся получить имея хоста через DHCP;
• В Perl-модулях Net::SSLeay и IO::Socket::SSL реализована возможность жесткого определения допустимой версии протокола TLS;
• В состав включена утилита cpuid, выводящая информацию о возможностях CPU на основании данных, полученных через инструкцию CPUID;
• В состав базовой системы включен инструментарий cloud-init, с реализацией конфигурируемого процесса инициализации, оптимизированного для обеспечения загрузки образов для cloud-окружений. Cloud-init позволяет унифицировать процесс задания конфигурации во время загрузки, таких как локаль, имя хоста, SSH-ключи и точки монтирования;
• В PAM-модуль pam_faillock добавлена опция "unlock_time=never", при указании которой в случае превышения лимита на допустимое число попыток аутентификации, вход пользователя будет заблокирован бессрочно и разблокирование потребует вмешательства администратора;
• В менеджере кластерных ресурсов Pacemaker добавлена возможность создания аварийных агентов (alert agents), позволяющих выполнить внешние действия в случае наступления определённых событий в кластере. В агентах ресурсов Pacemaker Oracle и OraLsnr добавлена поддержка СУБД Oracle 11g;
• В состав включён интерфейс luci для обеспечения аутентификации узлов в кластере и защиты систем из нескольких узлов от MITM-атак;
• В разряд поддерживаемых переведён пакет clufter с набором утилит для анализа и преобразования форматов конфигурации кластера. Версия пакета обновлена до clufter 0.59.8;
• Различные компоненты приведены к соответствию требованиям стандартов PCI-DSS (Payment Card Industry Data Security Standards), определяющих требования к безопасности при хранении данных о держателях платёжных карт;
• Добавлена поддержка контроллеров RealTek RTS5250S SD4.0, что позволяет использовать картридеры на базе Realtek RTS5205;
• Добавлен драйвер smartpqi для новых систем хранения Microsemi smartPQI;
• Прошивка Chelsio обновлена до версии 1.15.37.0;
• Обновлены версии драйверов:
  • bnxt_en -добавлена поддержка BCM5731X, BCM5741X и 57404 Network Partitioning (NPAR);
  • ahci - добавлена поддержка контроллеров Marwell 88SE9230;
  • mpt3sas - добавлена поддержка SAS3416 , SAS3508, SAS3408 и SAS3516 Fusion-MPT Tri-Mode RAID On Chip;
  • megaraid_sas;
  • В device-mapper-multipath добавлена конфигурация для дисковых массивов Huawei XSG1;
• Добавлены средства для проведения бесшовной миграции стационарных окружений на базе RHEL 6 на RHEL 7 или в форму изолированных контейнеров, пригодных для выполнения в системах на базе RHEL 7, Red Hat Enterprise Linux Atomic Host и Red Hat OpenShift Container Platform.