RHEL 9 : top départ pour la bêta… avec quels apports ?

Clément Bohic,
RHEL 9

La bêta de RHEL 9 a fait son entrée. Que promet-elle ?

Envie d’expérimenter WireGuard ? C’est possible sur RHEL 9. La bêta, tout juste publiée, permet aussi de tester, entre autres, les technologies Intel SGX et AMD SEV. Ainsi que le système de fichiers DAX, qui gère l’allocation directe de mémoire persistante dans l’espace d’adressage des applications.

Red Hat l’affirme : cette nouvelle version ne devrait pas dépayser les utilisateurs de RHEL 8. Dans la pratique, il y a quand même des changements. En particulier sur la partie réseau : teamd, libteam, iptables-nft et network-scripts sont autant de paquets qui deviennent obsolètes.

De l’obsolescence, il y en a aussi sur le volet cryptographie. Red Hat achève notamment la désactivation de TLS 1.0/1.1, entre autres protocoles et algorithmes (dont SHA-1, qui n’est plus toléré que sur HMAC).
OpenSSL a par ailleurs droit à une mise à jour : on est désormais sur la v3. Au menu, les providers (collections d’algos dans lesquelles les logiciels peuvent piocher), nomenclature de versions révisée (<majeure>.<mineure>.<correctif>) ou encore un client HTTP/S.

En matière de sécurité, on aura aussi relevé :

– La prise en charge native de l’authentification par Smart Card dans la console web, pour sudo et SSH
– La désactivation par défaut de l’authentification par mot de passe pour les logins root SSH
– Une journalisation améliorée pour le framework SSSD (usage d’identifiants pour mieux isoler les logs associés à une requête donnée)

RHEL 9 : armé pour l’edge ?

RHEL 8 reposait sur le noyau Linux 4.18. Avec RHEL 9, on passe à Linux 5.14. Avec lui arrive le live patching depuis la console web. Et aussi, entre autres, un meilleur support du branchement à chaud des CPU et la planifications des cœurs (gestion de la cohabitation des tâches). Les noyaux, de manière générale, sont désormais signés avec des certificats Secure Boot. Plus besoin, donc, sur les machines concernées, d’enregistrer une clé publique de bêta.

Concernant l’outil de création d’images système, il prend désormais en charge la personnalisation du système de fichiers. Ainsi que les builds associant plusieurs versions mineures. À noter aussi la promesse d’un déploiement simplifié sur matériel nu (possibilité de créer des ISO amorçables réunissant un tarball et un système de fichiers root).

L’environnement de bureau évolue aussi. On passe de GNOME 3.28 à GNOME 40. Parmi les apports :

– Possibilité de lancer des applications sur GPU dédié si on dispose des pilotes propriétaires NVIDIA
– Icône « œil » permettant de révéler les mots de passe dans les boîtes de dialogue du système
– PipeWire remplace PulseAudio par défaut
– Apparition de profils d’alimentation dans les paramètres

Côté virtualisation, QEMU utilise désormais le compilateur Clang. Ce qui élargit les fonctionnalités accessibles à KVM. Parmi elles, SafeStack, destinée à réduire les attaques de type ROP (modification de pointeurs de retour par dépassement de pile).

Photo d’illustration © Nguyen Duc Quang – Adobe Stock