链接: https://pan.baidu.com/s/120lwyDFMWTdsWKymYMXUZg 提取码:wsdj
| File | SHA-256 |
| rhel-baseos-9.0-x86_64-dvd.iso | a387f3230acf87ee38707ee90d3c88f44d7bf579e6325492f562f0f1f9449e89 |
| rhel-baseos-9.0-x86_64-boot.iso | 40c272e0dfad509ab2b088899d33ef6376a0280feaf53723a1bc42322068f699 |
| rhel-baseos-9.0-x86_64-kvm.qcow2 | 92862e085e4d5690cfa57de7155aa29bfdf21feec3d46dd4b61ca63293312af7 |
| virtio-win-1.9.25.iso | 2b95e416daa471ae2765d27cac69bbb790ef1b7c5457f83d6d3e489f29e34aa9 |
RHEL 9.0 的主要变化
安全性
在 RHEL 9 中弃用了将 SHA-1 消息摘要用于加密目的。SHA-1 生成的摘要不被视为安全,因为有很多记录的、基于查找哈希冲突的攻击。RHEL 核心加密组件不再默认使用 SHA-1 创建签名。RHEL 9 中的应用程序已更新,以避免在安全相关用例中使用 SHA-1。
在例外中,仍然可以使用 SHA-1 创建 HMAC-SHA1 消息验证代码和 Universal Unique Identifier(UUID)值,因为这些用例目前不会产生安全风险。SHA-1 也可以在连接重要互操作性和兼容性问题(如 Kerberos 和 WPA-2)的有限情况下使用。如需了解更多详细信息,请参阅使用 与 FIPS 140-3 相符的 RHEL 应用程序 列表。
有关仍需要 SHA-1 的系统兼容性问题的解决方案,请查看以下 KCS 文章:
OpenSSL 现在在 3.0.1 中提供,它添加了一个提供程序概念、一个新的版本方案、一个改进的 HTTP(S)客户端,支持新协议、格式和算法以及许多其他改进。
对系统范围的加密策略进行了调整,以提供最新的安全默认值。
OpenSSH 在版本 8.7p1 中发布,它提供很多改进、错误修复和安全性改进,与版本 8.0p1 相比,它在 RHEL 8.5 中发布。
SFTP 协议取代了 OpenSSH 中的之前使用 SCP/RCP 协议。SFTP 提供更可预测的文件名处理,不需要由远程端的 shell 扩展 glob(3) 模式。
SELinux 性能显著提高,包括将 SELinux 策略加载到内核、内存开销和其他参数的时间。如需更多信息,请参阅验证 SELinux 博客文章的性能和空间效率。
RHEL 9 在上游版本 1.1 中提供 fapolicyd 框架。在其他改进中,您现在可以使用新的 rules.d/ 和 trust.d/ 目录、fagenrules 脚本和 fapolicyd-cli 命令的新选项。
SCAP 安全指南(SSG)软件包在 0.1.60 版本中提供,它引入了 delta 定制、更新的安全配置集和其他改进。
如需更多信息,请参阅 第 4.7 节 “安全性”。
在 DEFAULT 加密策略中限制使用 SHA-1 进行签名。除了 HMAC 外,TLS、DTLS、SSH、IKEv2、DNSSEC 和 Kerberos 协议中不再允许使用 SHA-1。
如果您的场景需要使用 SHA-1 来验证现有或第三方加密签名,您可以输入以下命令启用它:
# update-crypto-policies --set DEFAULT:SHA1
或者,您可以将系统范围的加密策略切换到 LEGACY 策略。请注意,LEGACY 也启用了很多不安全的其他算法。
Cyrus SASL 现在使用 GDBM 而不是 Berkeley DB,而网络安全服务(NSS)库不再支持信任数据库的 DBM 文件格式。
在内核中删除了通过 /etc/selinux/config 文件中的 SELINUX=disabled 选项禁用 SELinux 的支持。当您只通过 /etc/selinux/config 禁用 SELinux 时,系统会在启用 SELinux 的情况下启动,但不会载入策略。如果您需要禁用 SELinux,请在内核命令行中添加 selinux=0 参数。
有关 RHEL 9 和 RHEL 8 之间的安全区别的更多信息,请参阅 RHEL 9 文档中的安全性部分。https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/considerations_in_adopting_rhel_9/assembly_security_considerations-in-adopting-rhel-9
网络
您可以使用新的 MultiPath TCP 守护进程(mptcpd)配置 MultiPath TCP(MPTCP)端点,而无需使用 iproute2 实用程序。
默认情况下,NetworkManager 现在使用密钥文件存储新的连接配置集。请注意,ifcfg 格式仍被支持。
有关本版本中引入的功能以及现有功能更改的更多信息,请参阅 新功能 – 网络。
WireGuard VPN 技术现在作为技术预览提供。详情请查看 技术预览 – 网络。
teamd 服务和 libteam 库已弃用。作为替换,配置绑定而不是网络组。
iptables-nft 和 ipset 已被弃用。这些软件包包括了相关的工具,如 iptables、ip6tables、ebtables 和 arptables。使用 nftables 框架配置防火墙规则。
有关已弃用功能的更多信息,请参阅 已弃用功能 – 网络。
network-scripts 软件包已被删除。使用 NetworkManager 配置网络连接。有关不是 RHEL 一部分的功能的更多信息,请参阅使用 RHEL 9 文档中的 Networking 一节。
动态编程语言、网页和数据库服务器
RHEL 9.0 提供以下动态编程语言:
- Node.js 16
- Perl 5.32
- PHP 8.0
- Python 3.9
- Ruby 3.0
RHEL 9.0 包括以下版本控制系统:
- Git 2.31
- Subversion 1.14
以下 web 服务器随 RHEL 9.0 一起发布:
- Apache HTTP Server 2.4.51
- nginx 1.20
以下代理缓存服务器可用:
- Varnish Cache 6.6
- Squid 5.2
RHEL 9.0 提供以下数据库服务器:
- MariaDB 10.5
- MySQL 8.0
- PostgreSQL 13
- Redis 6.2
如需更多信息,请参阅 第 4.13 节 “动态编程语言、网页和数据库服务器”。
编译器和开发工具
系统工具链
RHEL 9.0 提供了以下系统工具链组件:
- GCC 11.2.1
- glibc 2.34
- binutils 2.35.2
RHEL 9 系统工具链组件包括对 POWER10 的支持。
性能工具和调试器
RHEL 9.0 提供了以下性能工具和调试器:
- GDB 10.2
- Valgrind 3.18.1
- SystemTap 4.6
- Dyninst 11.0.0
- elfutils 0.186
性能监控工具
RHEL 9.0 有以下性能监控工具:
- PCP 5.3.5
- Grafana 7.5.11
编译器工具集
RHEL 9.0 提供以下编译器工具集:
- LLVM Toolset 13.0.1
- Rust Toolset 1.58.1
- Go Toolset 1.17.7
具体更改请查看 第 4.14 节 “编译器和开发工具”。
RHEL 9 中的 Java 实现
RHEL 9 AppStream 软件仓库包括:
java-17-openjdk软件包,提供 OpenJDK 17 Java 运行时环境和 OpenJDK 17 Java 软件开发组件。java-11-openjdk软件包,提供 OpenJDK 11 Java 运行时环境和 OpenJDK 11 Java 软件开发组件。java-1.8.0-openjdk软件包,提供 OpenJDK 8 Java 运行时环境和开源 JDK 8 Java 软件开发组件。
如需更多信息,请参阅 OpenJDK 文档。
Java 工具
RHEL 9.0 提供以下 Java 工具:
- Maven 3.6
- Ant 1.10
如需更多信息,请参阅 第 4.14 节 “编译器和开发工具”。
虚拟化
在 RHEL 9 中,libvirt 库使用 modular 守护进程来处理您主机上的单个虚拟化驱动程序集。这样便可对涉及虚拟化驱动程序的各种任务进行微调,如资源负载优化和监控。
QEMU 模拟器现在使用 Clang 编译器构建。这可让 RHEL 9 KVM 管理程序使用许多高级安全和调试功能。其中一个功能是 SafeStack,它可以使在 RHEL 9 上托管的虚拟机(VM)显著减小了针对基于面向返回编程(ROP)的攻击风险。
另外,虚拟受信任的平台模块(vTPM)现已获得全面支持。使用 vTPM,您可以将 TPM 虚拟加密处理器添加到虚拟机,然后可用于生成、存储和管理加密密钥。
最后,virtiofs 功能已经实现,可用于更有效地在 RHEL 9 主机及其虚拟机间共享文件。