Continuando con los parientes tecnológicos del sombrero rojo, Red Hat Enterprise Linux 9.3 ya está disponible con novedades interesantes y el propósito de combinar flexibilidad y capacidad de administración, o al menos eso es lo que se señala en el título del anuncio oficial.
Lo primero que destaca de Red Hat Enterprise Linux (RHEL) 9.3 es el soporte para el arranque en modo UEFI para las imágenes de AWS EC2. Hasta el generador creaba imágenes AMI de RHEL para EC2 y la arquitectura x86 que solo soportaba el tipo de arranque heredado, por lo que no era capaz de hacer uso de características de AWS como Secure Boot, las cuales solo funcionan sobre UEFI. Sin abandonar legacy BIOS, la nueva imagen capaz de soportar UEFI es capaz de sacar partido a las características de AWS que requieren de iniciar una imagen con soporte de UEFI.
La segunda novedad interesante de RHEL 9.3 es la introducción de la opción de arranque inst.wait_for_disks=, la cual permite establecer un retraso en el arranque para garantizar la carga o correcta carga de cosas como un fichero de inicio rápido (Kickstart) o drivers del kernel desde el dispositivo con etiqueta OEMDRV.
Anteriormente solo se podía emplear el método de inicio rápido para instalar RHEL sobre ARM con un tamaño de página del kernel de 64 kilobytes, pero a partir de este lanzamiento es posible instalar RHEL sobre ARM empleando una interfaz gráfica (GUI) o de texto (TUI) seleccionando la versión del kernel deseada. La selección del kernel está presente en la pantalla de Selección de Software en las Opciones del Kernel.
Con el propósito de mejorar las soluciones de la compañía orientadas a la nube, RHEL 9.3 ha incorporado soporte para los ficheros OVA de VMware VSphere mediante el generador de imágenes del sistema. Dicho fichero OVA “contiene archivos utilizados para describir una máquina virtual, como un archivo descriptor OVF, uno o más archivos de imagen de disco de máquina virtual (VMDK), manifiesto opcional (MF) y archivos de certificado. Al utilizar VMware VSphere (.ova), puede implementar más fácilmente la imagen en VMware vSphere mediante el cliente GUI de vSphere”.
Otras novedades interesantes a nivel de características son las nuevas opciones de inicio rápido de network y que la instalación mínima del sistema solo instala el paquete s390utils-core.
A nivel de seguridad nos encontramos con cosas que fueron implementadas en AlmaLinux 9.3, como la presencia de Keylime 7.3.0, la introducción de reglas de SELinux más estrictas en los puertos usados por Keylime etiquetadas bajo keylime_port_t, el soporte para campos de registro de FANOTIFY, el hecho de que crypto-policies proporciona la subpolítica NO-ENFORCE-EMS para conexiones TLS 1.2 en modo del Estándar Federal de Procesamiento de Información (FIPS), que GnuTLS requiere de Secreto Maestro Extendido (EMS) con TLS 1.2 y modo FIPS, el uso forzado en los Servicios de Seguridad de Red (NSS) de EMS en modo FIPS y el refuerzo del uso de SHA-2 en OpenSSH.
Para OpenSSL están la inhabilitación de EMS en modo FIPS, protecciones contra ataques de tipo Bleichenbacher y el hecho de crypto-policies use el mismo orden de grupo que OpenSSL por defecto. setools está ahora en su versión 4.4.3 y hay servicios adicionales confinados en la política de SELinux.
En lo que respecta al soporte, RHEL 9.3 incluye el kernel Linux 5.14.0-362.8.1, ha añadido los soportes para los procesadores Grace de NVIDIA (basados en ARM de 64-bit) y de Especulación Restringida de Salto Indirecto Automática (AutoIBRS) como mitigación frente a una vulnerabilidad de tipo Spectre v2 que afecta a los procesadores AMD EPYC 9004 Genoa, además de que el driver del kernel Quick Assist Technology (QAT) de Intel ha sido actualizado a la versión 6.2.
Como último punto a destacar está el cambio del comportamiento por defecto del comando grub2-mkconfig -o /path/to/grub.cfg, que ahora es capaz de no machacar la línea que contiene los fragmentos de código de la Especificación del Cargador de Arranque (BLS).
Todos los detalles sobre RHEL 9.3 están disponibles en la entrada publicada en el blog oficial y las notas de lanzamiento, mientras que el sistema puede ser obtenido a partir del portal para desarrolladores de Red Hat.
