Следом за новой веткой RHEL 10 компания Red Hat опубликовала релиз дистрибутива Red Hat Enterprise Linux 9.6. Готовые установочные образы доступны для зарегистрированных пользователей Red Hat Customer Portal (для оценки функциональности также можно использовать iso-образы CentOS Stream 9 и бесплатные сборки RHEL для разработчиков). Выпуск сформирован для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64 (ARM64). В соответствии с 10-летним циклом поддержки дистрибутива RHEL 9 будет сопровождаться до 2032 года.

Исходные тексты rpm-пакетов RHEL 9.6 предоставляются клиентам компании только через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных, что не позволяет использовать эти пакеты для создания производных дистрибутивов. Исходные тексты остаются доступны в репозитории CentOS Stream, но он не полностью синхронизирован с RHEL и в нём версии пакетов не всегда совпадают с пакетами из RHEL. Rocky Linux, Oracle и SUSE воспроизводят исходные тексты rpm-пакетов релизов RHEL в рамках проекта OpenELA.

Ключевые изменения в RHEL 9.6:

• Обновлены пакеты для разработчиков: GCC 11.5, Node.js 22, mysql 8.4, PHP 8.3, GDB 14.2, Valgrind 3.24.0, SystemTap 5.2, elfutils 0.192, libabigail 2.6, GCC Toolset 14, LLVM Toolset 19.1.7, Rust Toolset 1.84.1, Go Toolset 1.23, Maven 3.9, Git 2.47.1.
• Обновлены версии системных пакетов: Rsyslog 8.2412.0, OpenSSL 3.2.2, NSS 3.101, nettle 3.10.1, OpenSCAP 1.3.12, Clevis 21, openCryptoki 3.24.0, libva 2.22.0, Buildah 1.39.0, Skopeo 1.18.0, Podman 5.4, NetworkManager 1.52.0, QEMU 9.1.0, libvirt 10.10.0,
• Обновлены серверные пакеты: Apache httpd 2.4.62, nginx 1.26, wpa_supplicant 2.11, xdp-tools 1.5.1, iproute2 6.11.0, PCP 6.3.2, Grafana 10.2.6, 389-ds-base 2.6.1, openldap 2.6.8.
• Добавлена поддержка модуля Landlock, предоставляющего непривилегированным программам средства для ограничения использования объектов ядра Linux, таких как иерархии файлов, сетевые сокеты и ioctl. В отличие от пространств имён и фильтрации системных вызовов изолированное окружение формируется ядром Linux в форме дополнительного слоя над существующими системными механизмами управления доступом.
• Добавлена поддержка файловой системы EROFS (Extendable Read-Only File System), предназначенной для использования на разделах, доступных в режиме только для чтения.
• Добавлена утилита snapm (Snapshot Manager) для управления срезами состояния системы (например, в случае проблем после установки обновления можно откатить систему в прошлое состояние).
• Для новых пользователей, создаваемых через интерфейс инсталлятора Anaconda, по умолчанию предоставляются права администратора (для отключения данного поведения доступна специальная настройка). В инсталляторе также предложен новый интерфейс для выбора часового пояса. Для удалённого доступа к инсталлятору задействован протокол RDP вместо VNC.
• В компоновщике ld обеспечен вывод предупреждений, если приложение использует стек, размещённый в области памяти, допускающей исполнение кода.
• Добавлена поддержка использования TLS для шифрования служебного RPC-трафика в сетевой файловой системе NFS.
• Стабилизирована поддержка унифицированных образов ядра UKI (Unified Kernel Image), генерируемых в инфраструктуре дистрибутива и заверенных цифровой подписью дистрибутива. Образ UKI объединяет в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd. При вызове образа UKI из UEFI предоставляется возможность проверки целостности и достоверности по цифровой подписи не только ядра, но и содержимого initrd, проверка достоверности которого важна, так как в данном окружении осуществляется извлечение ключей для расшифровки корневой ФС.
• Добавлена поддержка файловой системы Composefs.
• В клиенте CIFS (Common Internet File System) реализована возможность создания в SMB-разделах специальных файлов, таких как символические ссылки, unix-сокеты и именованные каналы.
• Расширены возможность инструментария для создания собственных загрузочных образов (image builder). Добавлена поддержка создания дисковых образов со своей раскладкой разделов и своими опциями монтирования. Появилась возможность подстановки Kickstart-файлов при сборке iso-образов. Для дисковых образов, для таких систем как AWS и KVM, убрано создание отдельного раздела /boot.
• Добавлены системные роли для управления и настройки sudo, отслеживания изменений файлов при помощи пакета aide и управления пользовательскими unit-файлами systemd. В роль metric добавлена возможность использования СУБД Valkey вместо Redis.
• Предоставлена возможность использования фреймворка OpenTelemetry для накопления и отправки логов и данных телеметрии в системы аналитики, такие как AWS CloudWatch.
• Добавлена новая утилита keylime-policy, предоставляющая возможности для управления политиками Keylime, применяемыми для подтверждения подлинности и непрерывного отслеживания целостности внешних систем.
• Под защиту SELinux переведены сервисы iio-sensor-proxy, power-profiles-daemon, switcheroo-control и samba-bgqd. Добавлена поддержка выполнения команд под защитой SELinux через QEMU Guest Agent.
• Реализация подсистемы eBPF синхронизирована с ядром Linux 6.12 (в прошлом выпуске использовалась реализация eBPF из ядра Linux 6.8). Реализация TPM_TIS (Trusted Platform Module Integration Services) синхронизирована с ядром 6.7, а kdump - с ядром 6.10.
• В Ethernet-драйвер ice добавлена поддержка сетевого интерфейса E825C, применяемого в платформе Intel Granite Rapids-D.
• В NetworkManager добавлена поддержка режима FEC (Forward Error Correction). Добавлена поддержка автоматического добавления маршрутов к DNS-серверам, используя свойства "ipv4.routed-dns" и "ipv6.routed-dns". Отключена по умолчанию отправка через DHCP имени хоста (параметр ipv4.dhcp-send-hostname выставлен в значение false). Добавлена поддержка DHCPv4-опции "IPv6-only preferred" (RFC 8925), указывающей на то, что хост может работать без IPv4 и ему достаточно передать только IPv6-адрес, если сеть поддерживает IPv6. В утилиту nmstate добавлена возможность настройки IPvLAN.
• Обеспечена поддержка виртуальных машин в системах с realtime-ядром.
• Для хост-систем, использующих процессоры ARM64, добавлена поддержка миграции виртуальных машин между хостами ARM64, добавлен виртуализированный интерфейс TPM (Trusted Platform Module) и реализовано устройство virtio-iommu.
• В утилиту virt-install добавлена поддержка создания виртуальных машин, использующих AMD SEV-SNP (Secure Encrypted Virtualization - Secure Nested Paging) для шифрования памяти.
• Добавлена возможность использования технологии Intel TDX (Trust Domain Extension) для защиты гостевых систем.
• Добавлена поддержка миграции виртуальных машин, использующих virtiofs для совместного доступа к каталогам или виртуальные функции сетевых адаптеров Mellanox CX-7.
• Добавлены драйверы для модемов Intel XMM 7360 LTE Advanced (Intel IOSM - IPC over Shared Memory), Fibocom FM350GL (Mediatek t7xx), Fibocom L860GL (Intel IOSM) и Qualcomm.
• Добавлена экспериментальная поддержка (Technology Preview) шифрования DNS-трафика при помощи DNS-over-TLS (DoT).
• Продолжено предоставление экспериментальной (Technology Preview) поддержки:
  • kTLS (TLS на уровне ядра),
  • интерфейса асинхронного ввода/вывода io_uring,
  • DAX (Direct Access) для ext4 и XFS,
  • AMD SEV и SEV-ES в гипервизоре KVM,
  • сервиса systemd-resolved,
  • механизма Sigstore для верификации контейнеров по цифровым подписям,
  • VPN WireGuard,
  • протоколов PRP (Parallel Redundancy Protocol) и HSR (High-availability Seamless Redundancy),
  • аппаратного ускорения IPsec через вынос операций инкапсуляции пакетов на сторону сетевой карты,
  • протокола управления сертификатами ACME, применяемого в Let's Encrypt,
  • SRv6 (Segment Routing over IPv6,
  • пакета с графическим редактором GIMP 2.99.8,
  • настройки MPTCP (Multipath TCP) через NetworkManager,
  • DNSSEC в IdM,
  • virtio-mem,
  • Socket API для TuneD,
  • Soft-iWARP (Internet Wide-area RDMA Protocol),
  • GNOME для ARM64 и IBM Z.