Nitrux 6.0.0于2026年3月3日发布,它包含运行Linux工作站的安全从业人员会发现值得检查的几个组件:具有IOMMU强制隔离的新虚拟机管理程序编排器,具有加密验证的重写更新系统,以及从启动过程本身内运行的恢复机制。
该发行版由Nitrux Latinoamericana构建,在不可变的根文件系统上运行,针对硬件爱好者和高级用户。它提供了两种ISO变体:一种使用NVIDIA开放内核模块590.48.01为NVIDIA GPU配置,一种用于使用MESA 25.3.3的AMD和英特尔硬件。内核是Linux 6.13.2,带有CachyOS补丁。
IOMMU隔离的GPU直通
VxM是6.0.0中包含的新的虚拟机管理程序编排实用程序。它用C++编写,允许使用VFIO PCI直通直接传递给这些客人的GPU硬件并发执行来宾操作系统。IOMMU组在运行时进行验证,这在主机和来宾域之间强制执行硬件级隔离。
该实用程序包括动态VFIO绑定:它执行运行时驱动程序覆盖vfio-pci,处理BDF规范化,并在绑定前验证IOMMU组。它还自动配置了大页,并初始化了IVSHMEM,用于主机和来宾之间的低延迟帧中继。无根模型在客人执行期间运行QEMU,没有提升权限;特权操作仅限于飞行前硬件准备阶段。
输入仲裁使用evdev直通和中断处理。DDC/CI自动化将VCP命令写入监视器总线,以便在VM状态发生变化时切换输入源,从而减少在多GPU配置中对物理KVM开关的需求。
使用PolicyKit门控用C++重写更新系统
Nitrux更新工具系统,称为nuts-cpp,取代了之前的Shell Script实现。重写采用C++中的客户端-服务器架构和MauiKit图形界面。所有特权操作都通过PolicyKit集成进行门控。
系统使用原子操作来在更新期间保持交易的完整性。它创建了在使用前经过加密验证的XFS快照,并支持从这些快照中离线回滚。
NUTS的Shell Script版本正在退役。从Nitrux 5.1.0到6.0.0的升级路径是最后一个将通过旧实现支持的路径。
启动过程中内置的救援模式
Nitrux救援模式是一種基於initramfs的恢復機制,無需Live ISO或USB驅動器等外部介質即可執行。它使用NUTS创建的经过加密验证的XFS备份来擦除和重新映像根分区。恢复后,它会自动重新生成引导加载程序配置。该机制在GRUB中显示为可选择的条目。
这种方法使恢复在已安装的系统中保持自包含,这在可移动介质受到限制或不可用的环境中很重要。
网络和内核强化变化
sysctl配置更改会阻止系统根据未经身份验证的网络消息修改其路由表。NVMe 驅動器的配置也避免深度省電狀態,從而消除了之前延長啟動時間的喚醒超時。
DNSCrypt-proxy解析器配置已更新,以使用最新的解析器。Initramfs现在包括用于早期启动的exfat驱动程序,上游initramfs微代码钩子已被自定义版本取代。
Wayland的登录基础设施已更新
QMLGreet将QtGreet替换为登录屏幕。它使用wlr-layer-shell-unstable-v1协议在Wayland合成器上原生运行,并通过D-Bus与logind或elogind集成。它不需要系统。该实现是用C++和MauiKit构建的,并支持可配置的配色方案、字体设置、图标主题和具有自动模糊效果的壁纸。
NudgeOSD也是这个版本中的新功能,是一个基于QML的屏幕显示,用于键盘快捷键和系统通知。它在后台运行并监听D-Bus命令,支持系统图标主题和书呆子字体。
英特尔Xe驱动程序选择
标有“英特尔Xe模式”的新GRUB条目允许支持的英特尔iGPU和英特尔Arc GPU的用户选择xe驱动程序而不是旧的i915驱动程序。支持的硬件包括Gen12(Xe-LP)、Meteor Lake(Xe-LPG)和带有Xe2的Lunar Lake。新的驱动程序路径不支持早于Gen12的硬件,包括冰湖和天湖时代的部件。
组件版本
其他更新的组件包括Hyprland 0.53.3、Flatpak 1.16.2、NetworkManager 1.54.3、Python 3.13.9、Wireplumber 0.5.13、Calamares 3.3.14和Distrobox 1.8.2.4。scx调度器和实用程序已更新到1.0.20版本。
原文链接地址:https://www.helpnetsecurity.com/2026/03/04/immutable-linux-distribution-nitrux-6-release/
