7.2. 安全性
gnutls 现在使用 kTLS 作为技术预览
更新的 gnutls 软件包可以将内核 TLS (kTLS)作为技术预览,来在加密通道上加速数据传输。要启用 kTLS,请使用 modprobe 命令添加 tls.ko 内核模块,并使用以下内容为系统范围的加密策略创建一个新的配置文件 /etc/crypto-policies/local.d/gnutls-ktls.txt :
[global] ktls = true
请注意,当前版本不支持通过 TLS KeyUpdate 消息更新流量密钥,这会影响 AES-GCM passwordsuites 的安全性。如需更多信息,请参阅 RFC 7841 - TLS 1.3 文档。
Bugzilla:2108532[1]
OpenSSL 客户端可以使用 QUIC 协议作为技术预览
OpenSSL 可以在客户端使用 QUIC 传输层网络协议,并 rebase 到 OpenSSL 版本 3.2.2 作为技术预览。
Jira:RHELDOCS-18935[1]
io_uring 接口作为技术预览提供
io_uring 是一个新的有效的异步 I/O 接口,现在作为技术预览提供。默认情况下禁用此功能。您可以通过将 kernel.io_uring_disabled sysctl 变量设置为以下值之一来启用这个接口:
0-
所有进程都可以正常创建
io_uring实例。 1-
对非特权进程,
io_uring创建被禁用。io_uring_setup失败并显示-EPERM错误,除非调用过程具有CAP_SYS_ADMIN功能的特权。仍可使用现有的io_uring实例。 2-
对所有进程,
io_uring创建被禁用。io_uring_setup使用-EPERM总是失败。仍可使用现有的io_uring实例。这是默认设置。
使用此功能也需要 SELinux 策略的更新版本,来在匿名内节点上启用 mmap 系统调用。
通过使用 io_uring 命令直通,应用程序可以直接向底层硬件发出命令,如 nvme。
Jira:RHEL-11792[1]
