Rocky Linux 10.2 现已发布啦
我们很高兴地宣布 Rocky Linux 10.2 正式发布。更新后的安装介质、容器、云和 Live 镜像可从 Rocky Linux 下载 页面获取。请查阅发布在 Rocky Linux 文档 中的 发行说明,以获取重要信息,例如已知问题以及此版本中更改的更详细说明。
此版本包含的内容
Rocky Linux 10.2 提供了广泛的后量子密码学(PQC)应用、编译器和工具链更新、Firefox 和 Thunderbird 的 Flatpak 优先交付、Podman 中切换至 Sequoia-PGP 等等。
后量子密码学
在 10.0 和 10.1 进展的基础上,Rocky Linux 10.2 包含了实质性的后量子密码学(PQC)改进:
- • OpenSSH 现在在 FIPS 模式下支持 ML-KEM 混合密钥交换(
mlkem768nistp256-sha256、mlkem1024nistp384-sha384)。 - • libssh 添加了将 ML-KEM 与 ECDH 相结合的 PQ/T 混合密钥交换方法。
- • Directory Server 支持使用 ML-DSA 密钥(ML-DSA-44/65/87)的 TLS 证书。
- • p11-kit 在 PKCS #11 标头中获得了 PQC 定义。
- • podman-sequoia 支持复合后量子签名。
重要提示: 全局 FUTURE 加密策略现在仅允许混合 ML-KEM 密钥交换算法。所有传统的非后量子密钥交换方法均已从该策略中移除。这将中断与不支持 PQC 的端点(包括大部分公共互联网)的连接。如果您使用 FUTURE,请检查您的加密策略。
桌面环境变更
Flatpak 现在是 Mozilla Firefox 和 Mozilla Thunderbird 的默认交付方式。当选择图形环境时,Anaconda 安装程序会自动预装这些 Flatpak。在 Rocky Linux 10 的整个生命周期内,RPM 软件包仍将在 AppStream 中提供,偏好使用 RPM 的用户可以在 Kickstart 配置中覆盖此默认设置。
安装程序与镜像创建
- • 默认的
/boot 分区大小从 1 GiB 增加到 2 GiB,以容纳更大的 initramfs 镜像。 - • 新的
rdp Kickstart 命令支持基于 RDP 的无头(headless)图形化安装。 - • Image builder Cockpit 应用程序现在支持创建可启动的容器和磁盘镜像。
- • 通过
pxe-tar-xz 镜像输出格式,为 HPC 和无盘系统提供无状态 PXE 镜像支持。 - • Anaconda 支持从本地、CDN 和 Satellite 源自动安装 Flatpak。
升级的软件
动态编程语言、Web 及数据库服务器:
- • Apache HTTP Server 2.4.63
系统工具链:
编译器工具集:
- • GCC Toolset 15(GCC 15.2,Binutils 2.44)
性能工具与调试器:
基础设施服务:
- • Samba 4.23.0(默认启用 SMB3 UNIX 扩展;实验性支持 SMB3-over-QUIC)
安全
- •
keylime-agent 已变基至 0.2.9 版本,采用全新的由代理驱动的推送证明(push attestation)模型,并扩展了硬件加密支持。 - • 新增的
clevis-pin-trustee 软件包支持通过远程证明自动解密 LUKS 卷。 - •
fapolicyd 已变基至 1.4.3 版本,支持规则过滤。 - • 新增
libreswan-minimal 子软件包,用于构建无 systemd 依赖的精简容器镜像。 - • SELinux 策略现已对
redfish-finder 服务进行限制。
内核
- •
io_uring 异步 I/O 接口现已可用(作为技术预览),可降低高吞吐量应用的系统调用开销。 - • 扩展了
perf 功能,并新增了 Intel core、uncore、c-state 及 package 性能事件。 - • 支持 AMD IBS 负载延迟过滤,以改进 CPU 和内存分析。
- • 新增 Intel QAT GEN6 驱动程序(
qat_6xxx),支持并发加密与压缩;支持 AMD Venice CCP 加密设备。 - • Intel 内存分析加速器(IAA)从技术预览升级为完全支持。
- • 通过
rtla 阈值溢出操作和 cpupower Python 绑定改进了实时调优。 - • 增强了感知 LUKS 的 kdump 处理机制。
网络
- • PRP 和 HSR(IEC 62439-3)工业冗余协议从技术预览升级为完全支持,包括 HSR/PRP 接口上的 VLAN 分段。
- • nftables 已变基至 1.1.5 版本,降低了集合/映射(sets/maps)的内存消耗,并支持通配符模式的
netdev 钩子。 - • firewalld 新增策略集(policy sets)——针对伪装(masquerading)和区域转发(zone forwarding)等常见配置的预定义策略集合(例如
gateway)。 - • 可通过
tcp_rto_max_ms sysctl 和 TCP_RTO_MAX_MS 套接字选项配置更低的 TCP 重传超时时间。
虚拟化
- • QEMU 支持原生强制单元访问(FUA)I/O,提升了数据库工作负载的虚拟存储性能。
- • virtio-win 新增
viosock 驱动程序和 VsockTcpBridge 服务,用于宿主机与 Windows 虚拟机之间的直接套接字通信。 - • 新增
virt-secrets-init-encryption 服务,使用 systemd 凭据密封(credentials sealing)技术加密 libvirt 机密(如 vTPM 密钥)。 - • 备份作业(
virsh backup-begin)现在即使在客户机操作系统于备份中途关闭的情况下,也能保持虚拟机进程处于活动状态。 - • Intel TDX 新增本地配置缓存认证服务(PCCS),用于物理隔离(air-gapped)环境中的证明。
容器
- • Podman 从 GnuPG 切换到 Sequoia-PGP 进行 OpenPGP 镜像签名验证,并支持后量子算法 (ML-DSA-87+Ed448)。在支持新的
--sign-by-sq-fingerprint 选项的同时,原有的 GnuPG 签名工作流仍受支持。 - • Podman 5.8.2 包含了重启时自动进行的 BoltDB 到 SQLite 迁移(为 Podman 6.0 弃用 BoltDB 做准备)、新的
podman quadlet install 命令、quadlet REST API,以及在重启后依然有效的 unless-stopped 重启策略。
身份管理
- • IdM/FreeIPA 升级至 4.13.0,包含全新的 Beta 版 Web UI(技术预览)、默认启用 RSNv3,以及 170 多个错误修复。
- • Directory Server 获得了 PQC 支持(ML-DSA TLS 证书)、动态组、在线 TLS 证书刷新以及批量复制冲突清理功能。
- • Samba 升级至 4.23.0,具有实验性的 SMB3-over-QUIC 支持和新的 Prometheus 指标导出器。
Web 控制台 (Cockpit)
Cockpit 升级至版本 356,包含针对非正常关机的健康仪表板警告、通过 /etc/cockpit/branding.css 实现的自定义品牌支持、可拆卸的 VNC 控制台窗口、cockpit-podman 中的 quadlet 生命周期管理,以及可以创建空文件的文件管理器。
重要变更
以下变更可能会影响现有的工作流。请在升级前进行检查。
- • PHP 8.4 和 PHP 8.3 已可用。 安装 PHP 依赖时,请确保使用了正确的版本。例如,
php-json 将同时匹配 php-common 和 php8.4-common。 - •
FUTURE加密策略 现在仅允许混合 ML-KEM 密钥交换。传统的(非 PQC)密钥交换方法已从该策略中移除,这将破坏与非 PQC 端点的互操作性。这不会影响 DEFAULT 策略。 - • 当同时安装了
vim-minimal 和 vim-enhanced 时,vi不再启动 Vim。现在它总是启动最小编辑器;如需使用完整版编辑器,请明确运行 vim。 - • 不再支持 Windows Server 2012 R2 活动目录 (Active Directory) 信任配置,这与微软停止支持该版本的计划一致。
- • Corosync 中已弃用 knet 的 SCTP 传输。请迁移至受支持的传输协议。
测试
与每个 Rocky Linux 版本一样,Rocky Linux 10.2 经过了全面的准确性和稳定性测试。Rocky Linux 的测试过程涵盖了在各种不同环境和配置下的手动和自动检查。在批准其全面可用之前,我们已经对该版本进行了彻底的验证。测试工件、讨论和发布清单可以在 Rocky Release (v10.2) Playbook 中找到。
要参与未来版本的测试过程,请加入 Rocky Linux Mattermost 上的 ~Testing 频道。我们期待您的加入!
升级与转换过程
您可以在命令行界面(CLI)中运行 sudo dnf -y upgrade,或通过 GNOME Software 或 KDE Discover 等桌面工具,将 Rocky Linux 10.0 或 10.1 升级到 Rocky Linux 10.2。
Rocky Linux 不支持跨大版本的升级。要从 Rocky Linux 8 或 9 升级到 Rocky Linux 10,建议全新安装操作系统。
其他基于 Enterprise Linux 10 的发行版用户可以使用 migrate2rocky 工具将其安装转换为 Rocky Linux 10。
已知问题
有关已知问题的完整列表和说明,请参阅 Rocky Linux 10.2 发行说明。
致谢
我们向 Rocky Linux 项目的志愿者和领导者致以最深切的谢意,感谢他们为使该版本的发布成为可能,在编译、测试和记录本版本方面所做出的承诺。我们还要感谢我们的赞助商和合作伙伴,感谢他们继续确保我们拥有完成这项任务所需的资源。
特别感谢以下贡献者为本版本所做的工作:
- • Alan Marshall (@alangm)
- • Alexey Melezhik (@melezhik)
- • Arian Acabrera (@acabrera)
- • Brady Dibble (@bdibble-ciq)
- • Bryan Zuelly (@codedude)
- • Chris Stackpole (@stack)
- • Fredrik Nystrom (@nscfreny)
- • Jason Rodriguez (@jrod)
- • Jonathan Dieter (@jdieter)
- • Howard Van Der Wal (@metalinux)
- • Gabriel Graves (@nebraskacoder)
- • Lukas Magauer (@lumarel)
- • Michael Young (@elguero)
- • Mike Renfro (@mikerenfro)
- • Mustafa Gezen (@mustafa)
- • Sam Thornton (@sthornton)
- • Scott Shinn (@atomicturtle)
- • Stephen Simpson (@ssimpson)
- • Steven Spencer (@sspencerwire)
- • Trevor Cooper (@tcooper)
最后,我们感谢我们的 Enterprise Linux 生态系统,特别是 Fedora Linux 的上游开发工作,以及 CentOS Stream 的策划工作以及为所有 Enterprise Linux 发行版做出贡献的许许多多其他开发人员和项目。
目前 RockyLinux 微信公众号已经对接 Rocky Linux 中文社区官网,您可以在微信公众号对话框中输入任何您想搜索的内容关健字,比如: Redis,它将返回官网相关文章、话题、说说、页面中的关键字文档。
Rocky Linux 官网:https://rockylinux.org
Rocky Linux 中文社区官网:https://rockylinux.cn
微信公众号:RockyLinux
QQ群:626649599
Rocky Linux 微信群:加微信号 VebinLee 备注: 入群OctopusWiki 微信群:加微信号 VebinLee 备注: 章鱼Wiki
邮箱地址:muzi@vip.rockylinux.cn