Red Hat Enterprise Linux (RHEL) ist seit mehreren Generationen das Linux für große Unternehmen.
RHEL-Kunden wollen eine bessere Sicherheit, und Red Hat wird sie liefern. Neben der üblichen RHEL-Härtung, dem Testen und dem Scannen von Schwachstellen enthält RHEL 9 Funktionen, die dazu beitragen, Sicherheitslücken auf Hardwareebene wie Spectre und Meltdown zu beheben. Dazu gehören Funktionen, die Benutzerbereichsprozesse dabei unterstützen, Speicherbereiche zu erstellen, auf die für potenziell bösartigen Code nicht zugegriffen werden kann. Unterstützt PCI-DSS, HIPAA und mehr sind schon obligatorisch.
Spezifische Sicherheitsmerkmale
- Smartcard-Authentifizierung: Benutzer können die Smartcard-Authentifizierung nutzen, um über die RHEL-Webkonsole (Sudo, SSH usw.) auf Remote-Hosts zuzugreifen.
- Zusätzliche Sicherheitsprofile: Du kannst Sicherheitsinformationen sammeln und mit Red Hat Insights und Red Hat Satellite die Sicherheitsstandards wie PCI-DSS und HIPAA verbessern.
- Detaillierte SSSD-Protokollierung: SSSD, das Enterprise Single-Sign-On-Framework, enthält jetzt weitere Details zur Ereignisprotokollierung. Dazu gehören Zeit zum Erledigen von Aufgaben, Fehlern, Authentifizierungsfluss und mehr. Neue Suchfunktionen ermöglichen es auch, Leistungs- und Konfigurationsprobleme zu analysieren.
- Integrierte OpenSSL 3: Es unterstützt die neuen kryptografischen OpenSSL 3-Frameworks. Die integrierten Dienstprogramme von RHEL wurden neu kompiliert, um OpenSSL 3 zu nutzen.
- SSH-Root-Passwort-Anmeldung standardmäßig deaktiviert: Es war nie eine kluge Idee Root zu aktivieren. Standardmäßig lässt RHEL sie nun nicht mehr zu.
Hast du Interesse daran, ein echter Linux-Administrator zu werden und Zertifizierungen im Linux-Bereich abzulegen?
Dann besuche doch meinen Linux Enterprise Kurs auf Udemy, welcher dich auf die wichtigste Linux-Zertifizierung vorbereitet und dich zu einem echten zertifizierten Linux-Administrator macht!
Integrity Measurement Architecture und Sigstore
In dieser Version führt Red Hat auch digitale Hashes und Signaturen der Integrity Measurement Architecture (IMA) ein. Mit IMA können Benutzer die Integrität des Betriebssystems mit digitalen Signaturen und Hashes überprüfen. Damit kannst du bösartige Infrastrukturänderungen erkennen, so dass du Systemkompromittierungen schnell stoppen kannst.
Red Hat übernimmt auch über Kubernetes Sigstore zum Signieren von Artefakten und zur Überprüfung von Signaturen. Sigstore ist ein kostenloser Software-Signaturdienst, der die Sicherheit der Software-Supply-Chain verbessert, indem er einfach Release-Dateien, Container-Images und Binärdateien kryptographisch zu signieren. Nach der Unterzeichnung wird der Unterzeichnungsdatensatz in einem manipulationssicheren öffentlichen Protokoll aufbewahrt. Der Sigstore kann von allen Entwicklern und Softwareanbietern kostenlos genutzt werden. Dies gibt Software-Artefakten eine sicherere Verwahrkette, die gesichert und bis zu ihrer Quelle zurückverfolgt werden kann. Mit Blick auf die Zukunft wird Red Hat Sigstore in OpenShift übernehmen. Auch in Podman und andere Containertechnologien.
RHEL 9 kommt mit vielen neuen Edge-Funktionen
- Umfassendes Edge-Management, das als Service bereitgestellt wird, um Remote-Bereitstellungen mit mehr Kontrolle und Sicherheitsfunktionen zu überwachen und zu skalieren, einschließlich Zero-Touch-Bereitstellung, Transparenz des Systemintegrität und reaktionsschnellerer Schwachstellenminderungen - alles über eine einzige Schnittstelle.
- Automatisches Container-Rollback mit Podman, der integrierten Container-Management-Technologie von RHEL. Dies erkennt automatisch, wenn ein neu aktualisierter Container nicht gestartet werden kann. In diesem Fall rollt es dann den Container zurück auf die vorherige Arbeitsversion.
RHEL-Rollen und UBI-Container
Das neue RHEL enthält auch einen erweiterten Satz von RHEL-Rollen, mit denen du bestimmte Systemkonfigurationen automatisch erstellen kannst. Wenn du also beispielsweise RHEL nur für Postfix, Hochverfügbarkeitscluster, Firewall, Microsoft SQL Server oder eine Webkonsole einrichtest.
Neben Rollen erleichtert RHEL 9 das Erstellen neuer Images: Sie können RHEL 8- und RHEL 9-Images über ein einziges Build erstellen. Es enthält eine bessere Unterstützung für kundenspezifische Dateisysteme (Nicht-LVM-Mount-Punkte) und Bare-Metal-Bereitstellungen.
- Wenn du UBI-Container (Universal Base Image) erstellst, kannst du nicht nur mit Standard-UBI-Images arbeiten, sondern auch Mikro-, Minimal- und Init-Images erstellen. Dazu benötigst du jedoch ein vollständig lizenziertes RHEL 9 System. Auf diese Weise kannst du zusätzliche RPMs aus den RHEL 9-Repositories abrufen.
- RHEL verwendet jetzt standardmäßig cgroup2-Container: Podman, Red Hats Drop-in-Daemonless-Container-Engine-Ersatz für Docker, verwendet standardmäßig Signatur- und Kurznamen-Validierung (z. B. ubi8 anstelle von registry.access.redhat.com/ubi8/ubi), wenn Container-Images abgerufen werden
Neuer Kernel, neue Software-Versionen
Und natürlich wird Red Hat mit dem Kernel der 5. Generation und Gnome ausgeliefert, wenn auch nicht ganz am aktuellsten Stand mit der Version 5.14 (verfügbar ist 5.18) und Gnome 40 (statt 42), sowie GCC 11 und den neuesten Versionen der LLVM-, Rust- und Go-Compiler ausgeliefert. Mit Blick auf die Zukunft ist Python 3.9 auch die Standardversion von RHEL 9.
Wenn man an die Konsole denkt, unterstützt der neue RHEL auch Kernel-Live-Patching von der Konsole aus. Damit können Patches auf große, verteilte Systembereitstellungen angewendet werden, ohne ein Shell-Programm schreiben zu müssen. Und da es sich um Live-Patching handelt, können RHEL-Instanzen auch dann weiterlaufen, während sie gepatcht werden.
Fazit
RHEL 9 gilt wieder als ein grundsolides Linux Enterprise System was in vielen Firmen Anwendung finden wird. Der Langzeitsupport von 10 Jahren beschert der IT ein langlebiges System ohne hohen Wartungsaufwand mit vielen Sicherheitsfunktionen.
Quellen und weitere Links zu den Themen im Artikel
