Pour gérer vos consentements :
Categories: OSPoste de travail

Red Hat Enterprise Linux : quel cap sous l’ère IBM ?

Ne dites plus esclave, mais port : changement de terminologie dans l’API de configuration réseau NMstate. Il est entré en vigueur avec Red Hat Enterprise Linux 9, qui vient de passer en version stable.

Cette démarche en appelle d’autres. En particulier, le remplacement des termes blacklist et whitelist. Respectivement par denylist et allowlist. Des modifications qui se feront de façon très graduelles – sur plusieurs moutures de RHEL – vu les instabilités qu’ils peuvent occasionner.

RHEL 9 est la première version majeure du système d’exploitation depuis le rachat de Red Hat par IBM (la v8 était sortie en mai 2019, deux mois avant la finalisation du deal). Elle se fonde sur Fedora 34, avec le noyau Linux 5.14 et l’environnement de bureau GNOME 40.

Sur le volet sécurité, on aura noté la prise en charge native de l’authentification par Smart Card dans la console web, pour sudo et SSH. Ainsi que la désactivation par défaut de l’authentification par mot de passe pour les logins root SSH.
Red Hat achève par ailleurs la désactivation de TLS 1.0/1.1, entre autres protocoles et algorithmes (dont SHA-1, qui n’est plus toléré que sur HMAC, hormis quelques exceptions pour motif d’interopérabilité, sur WPA-2 notamment).

Côté OpenSSL, on est désormais sur la v3. Au menu, les providers (collections d’algos dans lesquelles les logiciels peuvent piocher), nomenclature de versions révisée (<majeure>.<mineure>.<correctif>), API de traçage générique ou encore client HTTP/S.
Plusieurs technologies sont en aperçu, sans garantie de qualité de service. Parmi elles, le VPN WireGuard et les extensions AMD SEV (chiffrement de la mémoire des VM sur les puces EPYC). Toujours sur la partie virtualisation, QEMU utilise désormais le compilateur Clang. Ce qui élargit les fonctionnalités accessibles à KVM. En particulier SafeStack, destinée à réduire les attaques de type ROP (modification de pointeurs de retour par dépassement de pile).

Secure Boot, RDMA, SGX…

RHEL 8 reposait sur le noyau Linux 4.18. Avec RHEL 9, on passe à Linux 5.14. Avec lui arrive le live patching depuis la console web. Et aussi, entre autres, un meilleur support du branchement à chaud des CPU et la planification des cœurs (gestion de la cohabitation des tâches). Les noyaux, de manière générale, sont désormais signés avec des certificats Secure Boot. Plus besoin, donc, sur les machines concernées, d’enregistrer une clé publique de bêta.

Toujours au niveau du noyau, on soulignera :

– L’activation par défaut de cgroups v2
– La disponibilité de pilotes RDMA pour des contrôleurs et adaptateurs réseau Intel
– L’intégration de jigawatts, un outil qui améliore le processus de sauvegarde et de restauration de l’état des apps Java
– L’inclusion des modules diag (débogage réseau)
– Plusieurs technologies en « aperçu », dont le VPN WireGuard, le système de fichiers DAX (qui gère l’allocation directe de mémoire persistante dans l’espace d’adressage des applications), le gestionnaire de stockage local Stratis et les extensions Intel SGX

Le passage de GNOME 3.28 à 40 apporte notamment une option de mise à jour automatique des apps Flatpak, Pipewire comme serveur audio par défaut et une UI « légère » pour le mode kiosque.

Photo d’illustration © Nguyen Duc Quang – Adobe Stock

Recent Posts

Scribe : les enseignements à tirer de l’échec de ce projet d’État

Un seul logiciel pour la rédaction des procédures entre police et gendarmerie. C'était l'objectif du…

2 heures ago

HackerOne : quand un initié détourne le bug bounty

Un employé de HackerOne aurait exploité à des fins personnelles des rapports de sécurité soumis…

7 heures ago

Jean-Noël Barrot, nouveau ministre délégué chargé du numérique

Jean-Noël Barrot est nommé ministre délégué chargé de la Transition numérique et des Télécommunications du…

1 jour ago

Cloud : Microsoft peine à se convertir à sa « nouvelle expérience commerciale »

Microsoft concède de nouveaux reports dans la mise en place de la « nouvelle expérience…

1 jour ago

PC, tablettes et smartphones : la dégringolade qui s’annonce

Tensions géopolitiques, inflation et difficultés d'approvisionnement impactent à la baisse le marché des terminaux. En…

1 jour ago

Le W3C dit non à Google et Mozilla sur l’identité décentralisée

La spécification DID (Decentralized Identifiers) passera au stade de recommandation W3C début août, en dépit…

1 jour ago