Linux Enterprise: Cosa devono sapere gli amministratori Checkmk su Debian 13, RHEL 10 & Co.

La base degli attuali sistemi operativi Linux è stata rinnovata fondamentalmente in alcune aree. Somiglianze e differenze sono particolarmente evidenti nel kernel:

SUSE non si affida all'ultimo kernel Linux upstream, ma equipaggia SLES 15 SP7 con il kernel Linux 6.4, rilasciato nel 2023. Il progetto utilizza i backport per implementare un kernel LTS più vecchio e stabile, che all'epoca aveva ricevuto nuove funzioni BPF e una gestione della memoria migliorata, ma non è più completamente al passo coi tempi. I backport adattano (“backporting”) nuovi driver di dispositivo e patch per l'esecuzione di nuovo hardware su versioni del kernel più vecchie. Ciò consente di ammortizzare per un po' la transizione a versioni del kernel più recenti. Tuttavia, lo sviluppo attuale del kernel Linux ha già raggiunto la versione 6.18 (LTS) da novembre 2025 – il divario di sviluppo è minore per Debian e RHEL:

Debian 13 Trixie e RHEL 10 contengono il precedente kernel LTS 6.12 da novembre 2024. Tra il kernel 5.14, utilizzato nella precedente release RHEL 9.6, così come il kernel 6.1 in Debian 12 Bookworm e il kernel 6.12 attualmente utilizzato, molto è cambiato: migliore supporto hardware e prestazioni migliorate per i file system, driver grafici aggiornati, ottimizzazioni della gestione del consumo di energia e nuove funzionalità per architetture come RISC-V, nonché supporto ufficiale per il linguaggio di programmazione Rust (dal kernel 6.1). Ci sono stati anche miglioramenti all'I/O a blocchi — il trasferimento di dati di input/output in blocchi fissi, che è stato un componente fondamentale del kernel Linux sin dal suo rilascio iniziale nel 1991 da parte di Linus Torvalds.

Il kernel Linux 6.12 supporta nuovi driver, hardware più recente e commuta la gestione delle risorse a Control Group Version 2 (Cgroup v2): una funzione del kernel che organizza i processi gerarchicamente e assegna priorità, limita e alloca CPU, memoria o larghezza di banda di rete. Rispetto alla versione 1, Cgroup v2 ha un design della gerarchia unificato che dovrebbe essere particolarmente interessante per ambienti di runtime container come Docker e Kubernetes. Le capacità in tempo reale e uno scheduler dinamico rendono il kernel LTS a prova di futuro per sistemi desktop e server.

RHEL 10 pone una forte enfasi sulla sicurezza (ne parleremo più avanti), mentre SLES e Debian mantengono i propri stack di sicurezza. Quando si esegue l'aggiornamento alla versione 10.x, due punti sono rilevanti per tutti i sistemi operativi Linux qui discussi:

• Requisito minimo della versione di Checkmk: il supporto completo e ufficiale per tutte e tre le attuali release (RHEL 10, Debian 13, SLES 15 SP7) richiede una major version recente di Checkmk. Checkmk supporta i due sistemi operativi enterprise con le versioni 2.3.0 e 2.4.0, Debian 13 Trixie solo con Checkmk 2.4.0. Il porting di Checkmk 2.3.0 non è previsto in base alla nostra Politica di Supporto OS.

• Crittografia: il Checkmk Agent Controller e Receiver utilizzano solo versioni delle librerie TLS fornite da Checkmk per il monitoraggio crittografato (modalità pull o push). Ciò garantisce che la versione del server Checkmk in uso supporti correttamente le moderne librerie di crittografia dell'host.

Transizione Python: poiché RHEL 10 e Debian 13 (Trixie) stanno passando a Python 3.12 come standard, tutti i plugin basati su Python devono essere verificati per la compatibilità e, se necessario, rivisti. I plugin dell'agente e i controlli locali scritti autonomamente o ottenuti da terze parti potrebbero richiedere aggiustamenti per quanto riguarda i permessi di scrittura e lettura per l'agente, poiché SELinux potrebbe altrimenti interferire con la raccolta dei dati di monitoraggio. Potrebbero essere necessarie modifiche anche per i firewall o SELinux (Security-Enhanced Linux) in modo che il server Checkmk possa raggiungere l'agente o viceversa. L'ultimo punto riguarda principalmente RHEL.

L'assistente AI per la riga di comando è stato addestrato con l'ampia documentazione RHEL di Red Hat e la Knowledge Base RHEL e, come è consuetudine con tali strumenti, può essere utilizzato con un linguaggio naturale – direttamente nel tuo terminale. I neofiti di Linux possono usarlo come un tutor a basso livello per espandere le loro conoscenze su RHEL e monitoraggio, mentre i dipendenti esperti dovrebbero essere in grado di usarlo per velocizzare e approfondire il loro lavoro. Le cose si fanno davvero interessanti con Image Mode e Image Builder, incluso Lightspeed, che vorremmo ora presentarti in modo più dettagliato.

Con Image Mode, Red Hat ti offre l'opzione di costruire Red Hat Enterprise Linux come immagine container di avvio (bootc). In Image Mode, RHEL è pacchettizzato in un'immagine che può essere eseguita in qualsiasi ambiente, dal bare metal ad ambienti di cloud ibrido. Ciò semplifica la condivisione e la modifica tra i confini del team e del sistema. Image Mode rende relativamente facile integrare Red Hat Enterprise Linux 10 nei flussi di lavoro DevOps e CI/CD. Per l'uso in ambienti ibridi, RHEL offre un'immagine cloud pronta all'uso. Anche l'Image Mode di RHEL entra in gioco qui: ti consente di pacchettizzare ambienti di runtime e dipendenze in un'unica immagine completa e di distribuirli nel tuo ambiente cloud ibrido.

Se qualcosa va storto, puoi ripristinare rapidamente le immagini precedenti. Gli aggiornamenti possono essere distribuiti come immagini complete, con conseguente comportamento del sistema più coerente. Ciò semplifica l'esecuzione di aggiornamenti e rollback. Se gestisci un cluster di server più grande, non è necessario aggiornare i pacchetti RPM individualmente. Con Image Builder (uno strumento bootc), puoi creare una nuova immagine RHEL, caricarla in un registro e istruire i server a ottenere la nuova immagine da lì. L'installazione o la distribuzione è un'attività una tantum. Puoi abilitare gli aggiornamenti automatici e configurare (o disabilitare) le finestre di manutenzione. Il controllo della versione e i processi automatizzati in Image Mode ti aiutano a ridurre l'intervento manuale e ad automatizzare le attività amministrative. Image Mode ti consente anche di creare immagini pre-irrobustite specificando linee guida per la fase di build. Ciò consente di tenere conto dei requisiti di sicurezza e conformità in una fase iniziale del progetto, in modo che non tornino a perseguitarti in seguito.

Quando costruisci le tue immagini RHEL 10, l'Image Builder integrato esegue la scansione della selezione dei pacchetti, ti fornisce informazioni pertinenti sul ciclo di vita del prodotto (dati EOL) e consiglia pacchetti che corrispondono alla tua preselezione. Ciò ti offre una panoramica al momento della build e rende facile apportare comunque modifiche. Red Hat chiama la funzione che fornisce queste informazioni “Lightspeed” (un ulteriore sviluppo di “Red Hat Insights”). Lightspeed può mostrarti i cambiamenti imminenti, mettere sul tuo radar le funzionalità nuove, deprecate o abbandonate e utilizzare queste informazioni per creare una roadmap di come gli aggiornamenti futuri influenzeranno il tuo ambiente esistente.

Infine, ma non meno importante, le funzionalità di sicurezza come FIPS e OpenSSL sono una delle più grandi innovazioni presentate da Red Hat. OpenSSL fa parte di ogni distribuzione Linux più recente e quindi non è nulla di speciale. Tuttavia, i Federated Information Processing Standards (FIPS) richiedono una configurazione OpenSSL particolarmente rigorosa. Insieme, le due funzionalità sono destinate a proteggere meglio i sistemi che eseguono RHEL 10.x in futuro per quanto riguarda i nuovi standard di crittografia post-quantum. Ciò si riferisce al fatto che i progressi in corso nel quantum computing stanno rendendo i modelli di crittografia esistenti più vulnerabili, poiché gli aggressori saranno in grado di decifrare password e crittografia sempre più velocemente in futuro. Questo è ancora uno scenario ipotetico sotto alcuni aspetti. Tuttavia, le agenzie governative e le grandi organizzazioni in particolare sono vincolate a tecniche di crittografia più recenti in conformità con FIPS. Ottenere la conformità FIPS è un processo complesso che impegna risorse in aziende e agenzie governative e richiede una pianificazione lungimirante.

Ciò pone una sfida generale per gli sviluppatori di software di monitoraggio come Checkmk, poiché i requisiti per la conformità FIPS divergono dalle esigenze di un monitoraggio completo, a seconda della configurazione. FIPS richiede la disattivazione hard degli algoritmi obsoleti che sono essenziali per il monitoraggio di applicazioni legacy o hardware legacy. Come amministratore RHEL, a seconda delle condizioni dell'hardware e delle applicazioni da monitorare, potrebbe essere una vera sfida trovare il giusto equilibrio per la tua organizzazione, i requisiti di conformità interni e il monitoraggio più completo possibile. Checkmk sta lavorando attivamente per offrire compromessi praticabili con pacchetti attuali e futuri per RHEL e altri sistemi operativi Linux enterprise.

Sulla strada verso la conformità FIPS, il server Checkmk è di solito l'ultimo sistema che gli amministratori di sistema adattano per FIPS — a causa dei requisiti di monitoraggio specifici dell'hardware e delle app legacy, che non possono sempre essere conciliati con i requisiti FIPS. La conformità FIPS è un processo lungo, quindi vale la pena rimanere aggiornati sul problema e monitorare attivamente ciò che Red Hat e altri fornitori stanno portando sul mercato d'ora in poi.

L'impegno di Red Hat per un OpenSSL e FIPS più rigorosi pone una sfida in termini di adattamento, poiché Red Hat ha quasi completato la sua conformità FIPS e l'adattamento è in ritardo. È particolarmente importante per le aziende, le agenzie governative e le organizzazioni con regolamenti particolarmente rigorosi testare attivamente le ultime versioni del sistema operativo, come RHEL 10, per la coerenza con i propri requisiti interni ed esterni. Nelle sue note di rilascio, Red Hat promette miglioramenti di sicurezza di vasta portata che saranno basati su RHEL 10 in futuro – terremo d'occhio questo aspetto e raccomandiamo test attivi e proattivi.