Sécurité et cloud hybride : les deux priorités de Red Hat avec RHEL 9
Red Hat se prépare à lancer la disponibilité générale de RHEL 9. Si l’OS évolue peu malgré le changement de structure de développement, le fournisseur l’enrobe de services pour faciliter son déploiement et sa sécurisation dans des environnements hybrides.
Le Red Hat Summit se tient à Boston le 10 et 11 mai 2022. L’occasion pour l’éditeur d’annoncer la disponibilité « dans les semaines à venir » de la première version de son système d’exploitation RHEL (Red Hat Enterprise Linux) développé depuis la branche de développement CentOS Stream. RHEL 9 est dérivé de CentOS Stream 9, lui-même développé depuis Fedora 34. À noter que le fournisseur vient tout juste de dévoiler Fedora 36.
Sécurité : Red Hat colmate et renforce RHEL
Red Hat a mis l’accent sur la sécurité de son OS. Sans surprise, en la matière, RHEL 9 bénéficie des mises à jour du kernel Linux.
En conséquence, et comme Canonical l’a fait pour Ubuntu, Red Hat a déprécié l’usage de SHA-1. La fonction de hachage cryptographique demeure accessible dans certains cas considérés comme non risqués ou qui nécessitent une rétrocompatibilité. De même, RHEL bénéficie de la mise à jour d’OpenSSL 3.0, d’OpenSSH et de SELinux. Red Hat a aussi désactivé les logins root SSH par défaut. En outre, plusieurs politiques de chiffrement considérées comme obsolètes ou compromises sont désactivées par défaut.
La version 2.6.3 du noyau Linux a introduit le sous-système Integrity Measurement Architecture (IMA), une capacité supportée par Red Hat depuis RHEL 8.3. Elle est « chargée de collecter les hachages de fichiers, de les placer dans la mémoire du noyau (où les applications de l’utilisateur ne peuvent pas y accéder ou les modifier) et de permettre aux parties locales et distantes de vérifier les valeurs mesurées », expliquait alors Red Hat.
Dans RHEL 9, ce mécanisme est employé pour confirmer l’intégrité des haches et des signatures des paquets RPM à l’exécution. IMA peut être couplé avec un module matériel TPM, afin de protéger le fichier qui atteste de l’intégrité des composants. À noter que RHEL 9 n’est pas compatible avec les modules TPM 1.2 : il faudra à minima opter pour les TPM en version 2.0.
Par ailleurs, l’émulateur QEMU s’appuie désormais sur le compileur Clanq. Ainsi, l’hyperviseur des KVM (Kernel Virtual Machine) de RHEL 9 peut supporter SafeStack, une fonctionnalité développée pour mieux contrer les attaques de type ROP (Return Oriented Programming). L’OS a aussi le droit à des boucliers contre Meltdown et Spectre.
En bêta depuis novembre 2021, RHEL 9 repose sur la version 5.14 du kernel Linux. Celle-ci prend en charge les architectures matérielles x86-64-v2, ARMv8.0 (ARM 64 bits), Power9 et z14 (IBM 64 bits).
Et si RHEL ne semble pas aussi tout-terrain que son équivalent Ubuntu 22.04 – qui, lui, s’appuie sur le noyau Linux 5.17 – Red Hat entend se différencier avec quelques services maison pour rendre cette interopérabilité exploitable par les entreprises.
En ce sens, les équipementiers Dell, HPE, Lenovo et On Logic ont certifié certains de leurs produits pour RHEL 9. Ces acteurs peuvent vendre leurs machines avec une version standard du système d’exploitation.
Au-delà du support des architectures matérielles, il s’agit pour les entreprises de déployer l’OS dans les environnements qu’ils utilisent en production.
Pour les clients ayant une souscription, Image Builder Service, accessible depuis la console Red Hat Hybrid Cloud, est disponible en bêta. Ce service cloud managé permet aux administrateurs de bâtir des images RHEL 8 ou 9 pour les instances Amazon EC2 (dont celles équipées de processeurs Graviton), Microsoft Azure et GCP. En outre, l’outil permet de télécharger (ou de copier vers un compte cloud) et de personnaliser des images pour Red Hat OpenStack, Red Hat Virtualization, RHEL KVM et VMware vSphere.
Un utilitaire d’installation doit assurer les déploiements sur les serveurs physiques. Image builder est également disponible sur site depuis l’outil composer-cli ou via l’interface graphique de la console web RHEL (issue du projet open source Cockpit).
En clair, cela permet de déployer l’OS et ses dépendances dans des conteneurs, sur des serveurs ou dans des machines virtuelles.
Simplifier les déploiements hybrides et en Edge
Dans cette volonté de simplifier les déploiements, le fournisseur mise sur RHEL For Edge. Toujours via Image Builder, il est possible de personnaliser les paquets RPM contenant l’OS et des middlewares. RHEL 9 supporte trois types d’images RHEL For Edge : Commit (.tar), Container (.tar) et Installer (.iso). Les administrateurs peuvent maintenir des templates (blueprints), c’est-à-dire des images configurées pour certains environnements.
Depuis la console Web, l’on administre les déploiements et les mises à jour des dépendances et des composants. L’interface affiche également les logs et les CVEs agrégés par Red Hat afin de visualiser les problèmes de performance ou de sécurité.
Les images peuvent être mises à jour à distance (OTA) depuis cette console centrale, tandis que le système hybride d’images et de paquets rpm-ostree permet de déployer les images depuis un serveur Web ou un système local vers différents équipements distants.
À cela, Red Hat permet via Podman, une alternative à Docker, l’automatisation des rollbacks des images de conteneurs en cas de conflits ou de problèmes de sécurité. Tout comme Canonical, Red Hat a aussi une fonction de patching en direct accessible depuis le CLI ou la console.
Ce système de déploiement Edge intéresse plus particulièrement les industriels et les opérateurs télécoms, selon Hervé Lemaitre, responsable du développement commercial EMEA et stratège chez Red Hat. Pour les autres, la gestion des instances cloud et on-premise traditionnelles demeurent la priorité.
Red Hat a également présenté la bêta de RHEL 8.6. Celle-ci introduit plusieurs « System Roles », c’est-à-dire des flux automatisés pour configurer des clusters à haute disponibilité, démarrer la console Web, déployer un pare-feu. Avec RHEL 9, le fournisseur ajoute des flux pour Postfix et pour SQL Server, entre autres. « Cela permet de configurer les déploiements RHEL à l’échelle à partir de playbooks Ansible », résume Hervé Lemaitre.
RHEL 9 vient bien évidemment à son lot de paquets additionnels.
Coté middleware, Red Hat fournit des packages pour Apache Server 2.4, nginx 1.20, Git 2.31, Subversion 1.14, Squid 5.1, Varnish Cache 6.5 ou encore Maven 3.6. En ce qui concerne les bases de données, RHEL 9 inclut MariaDB 10.5, MySQL 8, PostgreSQL 13 et Redis 6.2. Pour les clients de Microsoft Azure, l’éditeur a un partenariat pour inclure SQL Server à cette liste.
Pour les développeurs, Red Hat a ajouté le support des versions 1.16.6, 1.54, et 12.01 des compilateurs Go, Rust et LLVM. Les langages de programmation dynamiques Python 3.9, Ruby 3, PHP 8, Perl 5.32 et Node.js 16 sont également de la partie.
Les outils systèmes GCC (11.2), glibc (2.34) et binutils (2.35) ont aussi été mis à jour, tout comme divers outils de débuggage.