強化安全性與軟體開發支援，紅帽RHEL發布2024年度改版

上個月舉行的KubeCon + CloudNativeCon北美年度大會，紅帽正式發布9.5版企業級Linux作業系統Red Hat Enterprise Linux（RHEL），針對AI、邊緣運算等多種IT創新應用的快速支援，提供多種強化功能，同時他們也釋出RHEL 10.0 Beta，開放大家測試新版作業系統。

新增統一設定Sudo指令的系統角色，提供更多機密運算支援

首先是安全性與政策遵循的管理，RHEL增添多種系統角色（system roles）。基本上，每一種系統角色其實是模組化的Ansible自動化套件（Ansible Content Collection），能夠自動處理重要的RHEL系統任務與流程。

例如，對於透過超級使用者（superueser）權限執行程式的sudo指令，紅帽在此提供自動與大量設定sudo組態的功能，獲得權限提升的使用者能運用自動處理機制，即能以安全方式建置sudo設定，確保作業系統環境的配置更為一致，並且減少整體業務處理的複雜度。

透過sudo系統角色，系統管理者能夠橫跨整個企業IT環境，針對命令列介面的操作，以適當的方式設定一致的sudo執行個體，因此，可將許多需反覆執行的工作，像是系統安裝、網路管理，委派其他使用者操作，以安全方式實現責任分攤。

RHEL 9.5還支援另一個系統角色ha_cluster，可協助設定節點與原始資源的使用率屬性，以及運用ha_cluster_node_options變數設置節點位址與SBD選項，所謂的SBD，是指STONITH(Shoot The Other Node In The Head) Block Device，或Storage-Based Death，與叢集的節點隔離機制有關。

第二是RHEL擴充機密運算平臺的支援，可促成AI工作負載的防護，減少內部威脅可能受攻擊的面向。這類功能目前是以技術預覽形式提供，其中之一，是針對KVM環境的虛擬機器。

RHEL 9提供AMD EPYC處理器多種機密運算指令集的支援，像是：安全加密虛擬化（SEV），能對虛擬機器存取的記憶體進行加密，以便防護來自伺服器主機端的存取；安全加密虛擬化－強化加密狀態（SEV-ES），能在虛擬機器處於停止執行的狀態時，能對處理器的所有暫存器內容進行加密，預防伺服器主機端修改或讀取處理器的全部暫存器內容。

到了RHEL 9.5，紅帽開始提供安全加密虛擬化－巢狀虛擬化記憶體分頁（SEV-SNP）支援，此項機制能透過改善記憶體完整性防護，預防Hypervisor層級的資料再利用攻擊（data replay），或是記憶體重新對應攻擊（memory re-mapping），強化SEV與SEV-ES的安全性。

若企業與組織的系統採用英特爾Xeon Scalable處理器，RHEL 9.2之後的版本開始支援信任領域延伸（TDX），用戶可部署硬體隔離型態的RHEL 9虛擬機器，以便設置信任區域（TDs）。

為了強化系統登入安全性，以及因應政府與企業積極導入零信任架構的安全模式，紅帽今年5月推出的RHEL 9.4，終於正式提供Passkey無密碼身分認證機制。

用戶可以在系統安全服務常駐程式（System Security Services Daemon，SSSD），啟用與設定相關功能，例如，必須事先到RHEL IdM、Active Directory，或是某種LDAP身分儲存庫等身分管理系統，進行FIDO2（Fast Identity Online 2）憑證的註冊，以便在使用者帳號當中儲存註冊資訊。

後續使用者若要登入RHEL系統，進行無密碼身分認證與多因素身分認證，即可搭配相容於FIDO2規格的生物辨識裝置，或是Yubico YubiKey這類硬體金鑰裝置。紅帽表示，RHEL本身之所以能實作FIDO2的相容，主要是因為搭配libfido2程式庫，而這個元件目前僅支援USB連接的硬體裝置。

提供預先強化安全的映像組建，也能簡化多平臺容器管理

系統映像的防護，也是RHEL 9.5主打的安全性特色之一，紅帽更新了映像組建工具Image Builder，提供預先強化的映像組態設定，簡化雲端身分管理，並且強化硬體安全，以符合業界隱私防護標準的要求，為作業系統增添防護層級，可協助企業節省處理時間與增進安全性。

紅帽表示，有了Image Builder，可持續協助企業推動資安左移（shift left）的策略，使得用戶能在軟體開發流程的早期階段，整合安全性測試與資安漏洞修正。

針對雲端原生應用的支援，RHEL 9.5完整支援開放原始碼容器引擎Podman最新版5.0，例如開發者可運用podman farm這個組建指令，建立多個架構的容器映像。

透過Podman的運用，開發者能在Linux系統當中，以單一工具對遠端的伺服器與工作站，進行多個容器的系統映像組建、管理、執行，並且能橫跨多種平臺進行高效率的應用程式測試與部署，縮短開發時間，提升可移植至其他環境的能力。

而在搭配Podman 5.0使用之後，RHEL系統能加快開機速度，若要重新設置系統的運作（reset），也能更有效率地進行，能減少開發作業的延遲、加快部署上線的腳步。

在系統的操作方式上，RHEL除了透過命令列介面，同時提供基於開放原始碼軟體套件Cockpit而成的網頁主控臺介面，RHEL 9.5也針對這個圖形介面提供檔案管理功能，紅帽在此增添cockpit-files套件，用戶可直接在此對能存取的檔案系統，執行日常作業，像是檔案與資料夾的瀏覽、複製、刪除、搬移、改名、依據不同條件排序、依關鍵字列出符合名稱的檔案，檔案的上傳、變更存取權限許可，以及資料夾的新增。

強化SAP記憶體資料庫系統支援，並且更新多種開發工具版本

對於多種商用軟體的工作負載執行，RHEL 9.5也予以強化。

首先是記憶體內資料庫系統SAP HANA，RHEL新版可加快資料庫叢集環境的索引伺服器當機與重新啟動，無論橫向擴展或縱向擴展叢集，均可幫忙自動切換至備援的SAP HANA節點，紅帽表示，他們打算將這項功能擴大相容至舊版RHEL（8.1至9.4版）。若企業採用Red Hat Enterprise Linux High Availability叢集環境，並以此支撐SAP HANA與S 4/HANA應用系統的持續運作，RHEL最新版加入叢集健康檢查機制，能在這兩種系統停擺前，標示潛在問題，用戶可主動執行這套工具及早辨識與修正問題。

在開發者工具的整合提供方面，RHEL 9.5也更新多種程式語言相關工具，像是Java開發者套件第17版，以及內建JavaScript引擎V8的Node.js 22。

以JDK為例，紅帽的應用軟體儲存庫RHEL 9 AppStream，目前提供的OpenJDK有8、11、17等三種版本，其中的OpenJDK 17預設為作業系統的Java工具套件，具有改善應用系統效能、加速程式碼執行，以及順暢進行縱向擴展應用程式規模等功能特色。

關於編譯器工具套件，RHEL 9.5也予以更新，提供GCC Toolset 14、LLVM Toolset 18.1.8、Rust Toolset 1.79.0，以及Go Toolset 1.22。

在開放原始碼資料庫軟體的部分，RHEL 9.4支援的PostgreSQL 16，到了RHEL 9.5，也開始提供pgvector外掛，用戶可透過這項功能的提供，在PostgreSQL資料庫儲存與查詢高維度的向量嵌入（high-dimensional vector embeddings），並且執行向量相似度查詢，能以更有效率的方式在PostgreSQL資料庫當中，執行AI工作負載與任務。

產品資訊

Red Hat Enterprise Linux 9.5
●原廠：Red Hat
●建議售價：廠商未提供
●安裝方式：圖形介面安裝、系統或雲端映像安裝、進階安裝
●支援運算平臺：64位元x86架構（x86-64-v2）、64位元Arm架構（Armv8.0-A）、IBM Power Systems Little Endian（Power9）、64位元IBM Z（z14）
●記憶體需求：1.5 GiB
●硬碟空間與分割區需求：10 GiB，x86與Arm架構需建立root、swap分割區，IBM Power Systems需root分割區、swap分割區、PReP boot分割區
●系統基礎核心版本：5.14.0-503.11.1版

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】