我们很高兴地宣布 Rocky Linux 10.2 正式发布。更新后的安装介质、容器、云和 Live 镜像可从 Rocky Linux 下载 页面获取。请查阅发布在 Rocky Linux 文档 中的 发行说明,以获取重要信息,例如已知问题以及此版本中更改的更详细说明。
此版本包含的内容
Rocky Linux 10.2 提供了广泛的后量子密码学(PQC)应用、编译器和工具链更新、Firefox 和 Thunderbird 的 Flatpak 优先交付、Podman 中切换至 Sequoia-PGP 等等。
后量子密码学
在 10.0 和 10.1 进展的基础上,Rocky Linux 10.2 包含了实质性的后量子密码学(PQC)改进:
- OpenSSH 现在在 FIPS 模式下支持 ML-KEM 混合密钥交换(
mlkem768nistp256-sha256、mlkem1024nistp384-sha384)。 - libssh 添加了将 ML-KEM 与 ECDH 相结合的 PQ/T 混合密钥交换方法。
- Directory Server 支持使用 ML-DSA 密钥(ML-DSA-44/65/87)的 TLS 证书。
- p11-kit 在 PKCS #11 标头中获得了 PQC 定义。
- podman-sequoia 支持复合后量子签名。
重要提示: 全局 FUTURE 加密策略现在仅允许混合 ML-KEM 密钥交换算法。所有传统的非后量子密钥交换方法均已从该策略中移除。这将中断与不支持 PQC 的端点(包括大部分公共互联网)的连接。如果您使用 FUTURE,请检查您的加密策略。
桌面环境变更
Flatpak 现在是 Mozilla Firefox 和 Mozilla Thunderbird 的默认交付方式。当选择图形环境时,Anaconda 安装程序会自动预装这些 Flatpak。在 Rocky Linux 10 的整个生命周期内,RPM 软件包仍将在 AppStream 中提供,偏好使用 RPM 的用户可以在 Kickstart 配置中覆盖此默认设置。
安装程序与镜像创建
- 默认的
/boot分区大小从 1 GiB 增加到 2 GiB,以容纳更大的initramfs镜像。 - 新的
rdpKickstart 命令支持基于 RDP 的无头(headless)图形化安装。 - Image builder Cockpit 应用程序现在支持创建可启动的容器和磁盘镜像。
- 通过
pxe-tar-xz镜像输出格式,为 HPC 和无盘系统提供无状态 PXE 镜像支持。 - Anaconda 支持从本地、CDN 和 Satellite 源自动安装 Flatpak。
升级的软件
动态编程语言、Web 及数据库服务器:
-
Node.js 24
-
PHP 8.4
-
Ruby 4.0
-
Python 3.14
-
OpenJDK 25
-
Apache HTTP Server 2.4.63
-
MariaDB 11.8
-
PostgreSQL 18
系统工具链:
-
GCC 14.3
-
glibc 2.39
-
Annobin 13.02
-
Binutils 2.41
编译器工具集:
-
GCC Toolset 15(GCC 15.2,Binutils 2.44)
-
LLVM Toolset 21.1.8
-
Rust Toolset 1.92.0
-
Go Toolset 1.26.2
性能工具与调试器:
-
GDB 16.3
-
Valgrind 3.26.0
-
SystemTap 5.4
-
elfutils 0.194
-
PCP 7.0.3
基础设施服务:
-
Samba 4.23.0(默认启用 SMB3 UNIX 扩展;实验性支持 SMB3-over-QUIC)
-
chrony 4.8
-
FRR 10.4.1
安全
-
keylime-agent已变基至 0.2.9 版本,采用全新的由代理驱动的推送证明(push attestation)模型,并扩展了硬件加密支持。 -
新增的
clevis-pin-trustee软件包支持通过远程证明自动解密 LUKS 卷。 -
fapolicyd已变基至 1.4.3 版本,支持规则过滤。 -
新增
libreswan-minimal子软件包,用于构建无 systemd 依赖的精简容器镜像。 -
SELinux 策略现已对
redfish-finder服务进行限制。
内核
-
io_uring异步 I/O 接口现已可用(作为技术预览),可降低高吞吐量应用的系统调用开销。 -
扩展了
perf功能,并新增了 Intel core、uncore、c-state 及 package 性能事件。 -
支持 AMD IBS 负载延迟过滤,以改进 CPU 和内存分析。
-
新增 Intel QAT GEN6 驱动程序(
qat_6xxx),支持并发加密与压缩;支持 AMD Venice CCP 加密设备。 -
Intel 内存分析加速器(IAA)从技术预览升级为完全支持。
-
通过
rtla阈值溢出操作和cpupowerPython 绑定改进了实时调优。 -
增强了感知 LUKS 的 kdump 处理机制。
网络
-
PRP 和 HSR(IEC 62439-3)工业冗余协议从技术预览升级为完全支持,包括 HSR/PRP 接口上的 VLAN 分段。
-
nftables 已变基至 1.1.5 版本,降低了集合/映射(sets/maps)的内存消耗,并支持通配符模式的
netdev钩子。 -
WiFi7 硬件支持。
-
firewalld 新增策略集(policy sets)——针对伪装(masquerading)和区域转发(zone forwarding)等常见配置的预定义策略集合(例如
gateway)。 -
可通过
tcp_rto_max_mssysctl 和TCP_RTO_MAX_MS套接字选项配置更低的 TCP 重传超时时间。
虚拟化
-
QEMU 支持原生强制单元访问(FUA)I/O,提升了数据库工作负载的虚拟存储性能。
-
virtio-win 新增
viosock驱动程序和VsockTcpBridge服务,用于宿主机与 Windows 虚拟机之间的直接套接字通信。 -
新增
virt-secrets-init-encryption服务,使用systemd凭据密封(credentials sealing)技术加密libvirt机密(如 vTPM 密钥)。 -
备份作业(
virsh backup-begin)现在即使在客户机操作系统于备份中途关闭的情况下,也能保持虚拟机进程处于活动状态。 -
Intel TDX 新增本地配置缓存认证服务(PCCS),用于物理隔离(air-gapped)环境中的证明。
容器
-
Podman 从 GnuPG 切换到 Sequoia-PGP 进行 OpenPGP 镜像签名验证,并支持后量子算法 (ML-DSA-87+Ed448)。在支持新的
--sign-by-sq-fingerprint选项的同时,原有的 GnuPG 签名工作流仍受支持。 -
Podman 5.8.2 包含了重启时自动进行的 BoltDB 到 SQLite 迁移(为 Podman 6.0 弃用 BoltDB 做准备)、新的
podman quadlet install命令、quadlet REST API,以及在重启后依然有效的unless-stopped重启策略。
身份管理
-
IdM/FreeIPA 升级至 4.13.0,包含全新的 Beta 版 Web UI(技术预览)、默认启用 RSNv3,以及 170 多个错误修复。
-
Directory Server 获得了 PQC 支持(ML-DSA TLS 证书)、动态组、在线 TLS 证书刷新以及批量复制冲突清理功能。
-
Samba 升级至 4.23.0,具有实验性的 SMB3-over-QUIC 支持和新的 Prometheus 指标导出器。
Web 控制台 (Cockpit)
Cockpit 升级至版本 356,包含针对非正常关机的健康仪表板警告、通过 /etc/cockpit/branding.css 实现的自定义品牌支持、可拆卸的 VNC 控制台窗口、cockpit-podman 中的 quadlet 生命周期管理,以及可以创建空文件的文件管理器。
重要变更
以下变更可能会影响现有的工作流。请在升级前进行检查。
-
PHP 8.4 和 PHP 8.3 已可用。 安装 PHP 依赖时,请确保使用了正确的版本。例如,
php-json将同时匹配php-common和php8.4-common。 -
FUTURE加密策略 现在仅允许混合 ML-KEM 密钥交换。传统的(非 PQC)密钥交换方法已从该策略中移除,这将破坏与非 PQC 端点的互操作性。这不会影响DEFAULT策略。 -
当同时安装了
vim-minimal和vim-enhanced时,vi不再启动 Vim。现在它总是启动最小编辑器;如需使用完整版编辑器,请明确运行vim。 -
不再支持 Windows Server 2012 R2 活动目录 (Active Directory) 信任配置,这与微软停止支持该版本的计划一致。
-
Corosync 中已弃用 knet 的 SCTP 传输。请迁移至受支持的传输协议。
测试
与每个 Rocky Linux 版本一样,Rocky Linux 10.2 经过了全面的准确性和稳定性测试。Rocky Linux 的测试过程涵盖了在各种不同环境和配置下的手动和自动检查。在批准其全面可用之前,我们已经对该版本进行了彻底的验证。测试工件、讨论和发布清单可以在 Rocky Release (v10.2) Playbook 中找到。
要参与未来版本的测试过程,请加入 Rocky Linux Mattermost 上的 \~Testing 频道。我们期待您的加入!
升级与转换过程
您可以在命令行界面(CLI)中运行 sudo dnf -y upgrade,或通过 GNOME Software 或 KDE Discover 等桌面工具,将 Rocky Linux 10.0 或 10.1 升级到 Rocky Linux 10.2。
Rocky Linux 不支持跨大版本的升级。要从 Rocky Linux 8 或 9 升级到 Rocky Linux 10,建议全新安装操作系统。
其他基于 Enterprise Linux 10 的发行版用户可以使用 migrate2rocky 工具将其安装转换为 Rocky Linux 10。
已知问题
有关已知问题的完整列表和说明,请参阅 Rocky Linux 10.2 发行说明。
致谢
我们向 Rocky Linux 项目的志愿者和领导者致以最深切的谢意,感谢他们为使该版本的发布成为可能,在编译、测试和记录本版本方面所做出的承诺。我们还要感谢我们的赞助商和合作伙伴,感谢他们继续确保我们拥有完成这项任务所需的资源。
特别感谢以下贡献者为本版本所做的工作:
- Alan Marshall (@alangm)
- Alexey Melezhik (@melezhik)
- Arian Acabrera (@acabrera)
- Bob Robison (@grayeul)
- Boris Reisig (@boris)
- Brady Dibble (@bdibble-ciq)
- Brian Clemens (@brian)
- Bryan Zuelly (@codedude)
- Chris Stackpole (@stack)
- Fredrik Nystrom (@nscfreny)
- Jason Rodriguez (@jrod)
- Jim Baresich (@jb2592)
- Jonathan Dieter (@jdieter)
- Joey Brinkman (@j0ey)
- Ken Carlile
- Howard Van Der Wal (@metalinux)
- Gabriel Graves (@nebraskacoder)
- Leigh Hennig (@leigh)
- Lukas Magauer (@lumarel)
- Michael Young (@elguero)
- Mike Renfro (@mikerenfro)
- Mustafa Gezen (@mustafa)
- Nathan B (@kemotaha)
- Ryan Smith (@rsmith)
- Sam Thornton (@sthornton)
- Scott Shinn (@atomicturtle)
- Sherif Nagy (@sherif)
- Skip Grube (@skip77)
- Stephen Simpson (@ssimpson)
- Steven Spencer (@sspencerwire)
- Taylor Goodwill (@tgo)
- Thomas Doczkal
- Tuan Hoang (@tqhoang)
- Trevor Cooper (@tcooper)
- Wale Soyinka (@wale)
最后,我们感谢我们的 Enterprise Linux 生态系统,特别是 Fedora Linux 的上游开发工作,以及 CentOS Stream 的策划工作以及为所有 Enterprise Linux 发行版做出贡献的许许多多其他开发人员和项目。
