8.10 发行注记

能够对蓝图文件系统自定义使用分区模式

有了此更新，在使用 RHEL 镜像构建器时，您可以使用所选的文件系统定制自定义蓝图。您可以在创建镜像时选择以下分区模式之一：

镜像构建器中的文件系统自定义策略更改

当在蓝图中使用 RHEL 镜像构建器文件系统自定义时，会有以下策略更改：

SCAP 安全指南 rebase 到 0.1.72

SCAP 安全指南(SSG)软件包已 rebase 到上游版本 0.1.72。此版本提供了bug 修正和各种改进，最重要的是：

OpenSSL 现在包含针对类似 Bleichenbacher 的攻击的保护

这个 OpenSSL TLS 工具包发行版本引入了类似对 RSA PKCS #1 v1.5 解密过程的 Bleichenbacher 攻击的保护。如果 RSA 解密在 PKCS #1 v1.5 解密过程中检测到一个错误，则它现在返回一个随机生成的确定性消息，而不是一个错误。这个变化提供了对漏洞的通用保护，如 CVE-2020-25659 和 CVE-2020-25657。

librdkafka rebase 到 1.6.1

Apache Kafka 协议的 librdkafka 实现已 rebase 到上游版本 1.6.1。这是 RHEL 8 的第一个主功能发行版本。rebase 提供了很多重要的改进和 bug 修复。对于所有相关更改，请参阅 librdkafka 软件包中提供的 CHANGELOG.md 文档。

libkcapi rebase 到 1.4.0

提供对 Linux 内核加密 API 访问的 libkcapi 库已 rebase 到上游版本 1.4.0。更新包括各种改进和 bug 修复，最重要的是：

stunnel rebase 到 5.71

stunnel TLS/SSL 隧道服务已 rebase 到上游版本 5.71。此更新更改了 FIPS 模式下 OpenSSL 1.1 及更新版本的行为。如果 OpenSSL 在 FIPS 模式下，且 stunnel 默认 FIPS 配置被设置为 no，则 stunnel 适应 OpenSSL ，且 FIPS 模式被启用。

OpenSSH 限制身份验证中的人工延迟

登录失败后 OpenSSH 的响应被人工延迟，以防止用户枚举攻击。此更新引入了一个上限，以便在远程身份验证用时很长（例如在特权访问管理(PAM)处理中）时，这种人工延迟不会过长。

libkcapi 现在提供了一个用于在哈希-和计算中指定目标文件名的选项

这个 libkcapi (Linux 内核加密 API)软件包的更新引进了新选项 -T，用于在哈希-和计算中指定目标文件名。此选项的值覆盖处理后的 HMAC 文件中指定的文件名。您只能通过 -c 选项使用这个选项，例如：

audit rebase 到 3.1.2

Linux Audit 系统已更新至版本 3.1.2，与之前发布的版本 3.0.7 相比，它提供了 bug 修复、功能增强和性能改进。主要改进包括：

openCryptoki rebase 到版本 3.22.0

opencryptoki 软件包已更新至版本 3.22.0。主要变更包括：

chrony rebase 到版本 4.5

chrony 套件已更新至版本 4.5。主要变更包括：

linuxptp rebase 到版本 4.2

linuxptp 协议已更新至版本 4.2。主要变更包括：

firewalld 现在避免不必要的防火墙规则刷新

如果以下两个条件都满足，firewalld 服务不会从 iptables 配置中删除所有现有的规则：

ss 工具向 TCP 绑定的非活动套接字添加了可见性改进

iproute2 套件提供了控制 TCP/IP 网络流量的工具集。TCP 绑定的非活动套接字附加到 IP 地址和端口号，但不连接或侦听 TCP 端口。套接字服务(ss)工具添加了对内核的支持，以转储 TCP 绑定的非活动套接字。您可以使用以下命令选项查看这些套接字：

nispor rebase 到版本 1.2.10

nispor 软件包已升级到上游版本 1.2.10，它提供一些改进和程序错误修复：

RHEL 8.10 中的内核版本

Red Hat Enterprise Linux 8.10 与内核版本 4.18.0-553 一起分发。

rtla rebase 到上游 内核 源代码的 6.6 版本

rtla 工具已升级到最新的上游版本，其提供多个 bug 修复和增强。主要变更包括：

rteval 已升级至上游版本 3.7

使用此更新，rteval 工具已升级到上游版本 3.7。此更新中最重要的功能涉及 isolcpus 内核参数。这包括检测和在 rteval 中使用测量模块的 isolcpus 机制的能力。因此，isolcpus 用户很容易使用 rteval 获取准确的延迟数，并实现在实时内核上测量的最佳延迟结果。

SGX 现在被完全支持

软件扩展（SGX）是一个 Intel® 技术，用于保护软件代码和数据不受公开和修改的影响。

现在完全支持 Intel 数据流加速器驱动程序

Intel 数据流加速器驱动程序(IDXD)是一个提供 Intel CPU 集成加速器的内核驱动程序。它包括一个带有进程地址空间 ID (pasid)提交和共享虚拟内存(SVM)的共享工作队列。

rteval 现在支持从默认测量 CPU 列表中添加和删除任意 CPU

使用 rteval 工具，您可以在使用 --measurement-cpulist 参数时将 CPU 添加（使用 + 符号）或减少（使用 - 符号）到默认测量 CPU 列表中，而不必指定整个新列表。另外，还引进了 --measurement-run-on-isolcpus，来将所有隔离的 CPU 集合添加到默认测量 CPU 列表中。这个选项涵盖运行在隔离 CPU 上的实时应用程序的最常见用例。其他用例需要更通用的功能。例如，一些实时应用程序使用一个隔离的 CPU 进行内务处理，需要将其从默认的测量 CPU 列表中排除。现在，您可以不仅能够添加，还可以以灵活的方式从默认测量 CPU 列表中删除任意 CPU。删除的优先级高于添加。此规则适用于使用 +/- 符号指定的 CPU 和通过 --measurement-run-on-isolcpus 定义的 CPU。

在预引导阶段支持 DEP/NX

内存保护功能称为 Data Execution Prevention (DEP)、No Execute (NX)或 Execute Disable (XD)，阻止标记为不可执行的代码的执行。DEP/NX 已在 RHEL 的操作系统级别中提供。

支持 GRUB 和 shim 中的 TD RTMR 测量

Intel® Trust Domain Extension (Intel® TDX)是一种机密的计算技术，它部署称为信任域(TDs)的硬件隔离的虚拟机(VM)。

Storage RHEL 系统角色现在支持共享的 LVM 设备管理

RHEL 系统角色现在支持创建和管理共享逻辑卷和卷组。

multipathd 现在支持检测 NVMe 设备的 FPIN-Li 事件

在以前的版本中，multipathd 命令只监控 SCSI 设备上的 Integrity Fabric Performance Impact Notification(PFIN-Li)事件。multipathd 可以侦听光纤通道光纤发送的 Link Integrity 事件，并使用它来将路径标记为 marginal。这个功能只支持 SCSI 设备上的多路径设备，multipathd 无法通过限制该功能的使用，来将 Non-volatile Memory Express (NVMe)设备路径标记为 marginal。

RHEL 8 中提供的 Python 3.12

RHEL 8.10 引入了 Python 3.12，由新软件包 python3.12 提供，以及为其构建的软件包套件，以及 ubi8/python-312 容器镜像。

Python 中的一个控制电子邮件地址解析的新环境变量

为缓解 CVE-2023-27043，一个向后兼容的更改，以确保在 Python 3 中引入了更严格的电子邮件地址的解析。

新模块流：ruby:3.3

RHEL 8.10 在新的 ruby:3.3 模块流中引入了 Ruby 3.3.0。与 RHEL 8.7 一起发布的 Ruby 3.1 相比，这个版本提供了几个性能改进、程序错误和安全修复以及新功能。

新模块流：php:8.2

RHEL 8.10 添加了 PHP 8.2，它比版本 8.0 提供了几个程序错误修复和增强。

perl-DateTime-TimeZone 模块的 name（） 方法现在返回时区名称

perl-DateTime-TimeZone 模块已更新至版本 2.62，它将 name（） 方法返回的值从时区别名改为主时区名称。

一个新模块流：nginx:1.24

nginx 1.24 web 和代理服务器现在作为 nginx:1.24 模块流提供。与之前发布的版本 1.22 相比，这个版本提供了几个程序错误修复、安全修复、新功能和增强。

一个新模块流：mariadb:10.11

MariaDB 10.11 现在作为新模块流 mariadb:10.11 提供。与之前可用的版本 10.5 相比，显著的改进包括：

一个新模块流：postgresql:16

RHEL 8.10 引入了 PostgreSQL 16，它比版本 15 提供了几个新功能和增强。

Git rebase 到版本 2.43.0

Git 版本控制系统已更新至版本 2.43.0，与之前发布的版本 2.39 相比，它提供了 bug 修复、增强和性能改进。

Git LFS rebase 到版本 3.4.1

Git 大文件存储(LFS)扩展已更新至版本 3.4.1，与之前发布的版本 3.2.0 相比，它提供了 bug 修复、增强和性能改进。

提高了 Python 解释器的性能

RHEL 8 中所有支持的 Python 版本现在使用 -O3 优化标记编译，这是上游中的默认设置。因此，您可以观察到 Python 应用程序和解释器本身的性能的提高。

新的 GCC 工具集 14

GCC Toolset 14 是一个编译器工具集，提供开发工具的最新版本。它以 AppStream 存储库中的 Software Collection 的形式作为 Application Stream 提供。

GCC Toolset 14: GCC rebase 到版本 14.2

在 GCC Toolset 14 中，GNU Compiler Collection (GCC)已更新至版本 14.2，并发布 RHEA-2024:8864 公告。

GCC Toolset 14: GDB rebase 到版本 14.2

在 GCC Toolset 14 中，GDB 已更新至版本 14.2，并发布 RHBA-2024:8862 公告。以下段落列出了 GDB 12.1 后的显著变化。

GCC Toolset 14: annobin rebase 到版本 12.70

在 GCC Toolset 14 中，annobin 已更新至版本 12.70，发布 RHBA-2024:8863 公告。测试二进制文件的 annobin 工具的更新集合提供了各种 bug 修复，引入了新测试，并更新了构建和使用 GCC 的较新版本、Clang、LLVM 和 Go 编译器的工具。通过增强的工具，您可以检测以非标准方式构建的程序中的新问题。

GCC Toolset 13：GCC 支持 AMD Zen 5

随着 RHBA-2024:8829 公告的发布，GCC 的 GCC Toolset 13 版本增加了对 AMD Zen 5 处理器微架构的支持。要启用支持，请使用 -march=znver5 命令行选项。

LLVM Toolset 更新至 18.1.8

LLVM 工具集已使用 RHBA-2024:8828 公告的发行版本 18.1.8 更新至版本 18.1.8。

Rust Toolset rebase 到版本 1.79.0

Rust Toolset 已更新至版本 1.79.0，并发布 RHBA-2024:8827 公告。从以前可用的 1.75.0 版本开始，显著的改进包括：

Go Toolset rebase 到版本 1.22

Go Toolset 已更新至 1.22 版本，并发布 RHSA-2024:8876 公告。

elfutils rebase 到版本 0.190

elfutils 软件包已更新至版本 0.190。主要改进包括：

valgrind 更新至 3.22

valgrind 软件包已更新至版本 3.22。主要改进包括：

移动了 Clang 资源目录

Clang 存储其内部标头和库的 Clang 资源目录，已从 /usr/lib64/clang/17 移到 /usr/lib/clang/17。

新的 grafana-selinux 软件包

在以前的版本中，grafana-server 的默认安装作为 unconfined_service_t SELinux 类型运行。这个更新添加了新的 grafana-selinux 软件包，其包含 grafana-server 的 SELinux 策略，并且默认使用 grafana-server 安装了。因此，grafana-server 现在作为 grafana_t SELinux 类型运行。

更新了 GCC Toolset 13

GCC Toolset 13 是一个编译器工具集，其提供开发工具的最新版本。它以 AppStream 存储库中的 Software Collection 的形式作为 Application Stream 提供。

LLVM Toolset rebase 到版本 17.0.6

LLVM Toolset 已更新至版本 17.0.6。

Rust Toolset rebase 到版本 1.75.0

Rust Toolset 已更新至版本 1.75.0。

Go Toolset rebase 到版本 1.21.0

Go Toolset 已更新至版本 1.21.0。

papi 支持新的处理器微架构

有了此增强，您可以使用以下处理器微架构上存在的 papi 事件访问性能监控硬件：

ant rebase 到版本 1.10.9

ant:1.10 模块流已更新至版本 1.10.9。此版本使用提供方类和提供方参数提供对代码签名的支持。

新软件包：maven-openjdk21

maven:3.8 模块流现在包含 maven-openjdk21 子软件包，它为 OpenJDK 21 提供了 Maven JDK 绑定，并配置了 Maven ，以使用系统 OpenJDK 21。

cmake rebase 到版本 3.26

cmake 软件包已更新至版本 3.26。主要改进包括：

身份管理用户现在可以使用外部身份提供方来验证到 IdM

有了此增强，您现在可以将身份管理(IdM)用户与支持 OAuth 2 设备授权流的外部身份提供方(IdP)关联。这些 IdP 的示例包括 Keycloak 的红帽构建、Microsoft Entra ID（以前的 Azure 活动目录）、GitHub 和 Google。

ipa rebase 到版本 4.9.13

ipa 软件包已从 4.9.12 版本更新至 4.9.13。主要变更包括：

删除过期的 KCM Kerberos 票据

在以前的版本中，如果您试图向 Kerberos 凭证管理器(KCM)添加新凭证，且您已达到存储空间限制，新凭证将被拒绝。用户存储空间受 max_uid_ccaches 配置选项的限制，该选项的默认值为 64。使用此更新，如果您已达到存储空间限制，您的最早过期的凭证被删除，新凭证被添加到 KCM 中。如果没有过期的凭证，操作失败并返回一个错误。要防止这个问题，您可以使用 kdestroy 命令删除凭证来释放一些空间。

支持本地用户的 bcrypt 密码哈希算法

使用此更新，您可以为本地用户启用 bcrypt 密码哈希算法。要切换到 bcrypt 哈希算法：

idp Ansible 模块允许将 IdM 用户与外部 IdP 关联

有了此更新，您可以使用 idp ansible-freeipa 模块将身份管理(IdM)用户与支持 OAuth 2 设备授权流的外部身份提供方(IdP)关联。如果 IdM 中存在 IdP 引用和关联的 IdP 用户 ID，则您可以使用它们为 IdM 用户启用 IdP 身份验证。 

IdM 现在支持 idoverrideuser、idoverridegroup 和 idview Ansible 模块

有了此更新，ansible-freeipa 软件包包含以下模块：

ansible-freeipa 中启用了 DNS 区域管理的委托

现在，您可以使用 dnszone ansible-freeipa 模块来委托 DNS 区域管理。使用 dnszone 模块的 permission 或 managedby 变量来设置每区域访问委托权限。

ansible-freeipa ipauser 和 ipagroup 模块现在支持一个新的 renamed 状态

有了此更新，您可以使用 ansible-freeipa ipauser 模块中的 renamed 状态来更改现有 IdM 用户的用户名。您还可以在 ansible-freeipa ipagroup 模块中使用此状态来更改现有 IdM 组的组名称。

runasuser_group 参数现在在 ansible-freeipa ipasudorule 中提供

有了此更新，您可以使用 ansible-freeipa ipasudorule 模块为 sudo 规则设置 RunAs Users 的组。选项已在身份管理(IdM)命令行界面和 IdM Web UI 中提供。

389-ds-base rebase 到版本 1.4.3.39

389-ds-base 软件包已更新至版本 1.4.3.39。

HAProxy 协议现在支持 389-ds-base 软件包

在以前的版本中，目录服务器不会区分代理和非代理客户端之间的进入连接。有了此更新，您可以使用新的 nsslapd-haproxy-trusted-ip 多值配置属性来配置信任的代理服务器的列表。当在 cn=config 条目下配置了 nsslapd-haproxy-trusted-ip 时，目录服务器通过额外的 TCP 标头，使用 HAProxy 协议接收客户端 IP 地址，以便可以正确地评估访问控制指令(ACI)，并可以记录客户端流量。

samba rebase 到版本 4.19.4

samba 软件包已升级到上游版本 4.19.4，与之前的版本相比，它提供了 bug 修复和增强。最显著的更改有：

RHEL web 控制台现在可以生成 Ansible 和 shell 脚本

在 web 控制台中，您可以在 kdump 配置页面上轻松访问和复制自动化脚本。然后，您可以使用生成的脚本在多个系统上实现特定的 kdump 配置。

简化了在存储上管理存储和调整分区大小

Web 控制台的 Storage 部分现已重新设计。新的设计提高了所有视图的可见性。overview 页面现在在一个全面的表中显示所有存储对象，这使得更容易直接执行操作。您可以点击任何行来查看详细信息，以及任何补充的操作。另外，您现在可以从 Storage 部分调整分区大小。

ad_integration RHEL 系统角色现在支持配置动态 DNS 更新选项

有了此更新，在与活动目录(AD)集成时，ad_integration RHEL 系统角色支持使用 SSSD 为动态 DNS 更新配置选项。默认情况下，SSSD 将尝试自动刷新 DNS 记录：

metrics RHEL 系统角色现在支持配置 PMIE Webhook

有了此更新，您可以使用 metrics RHEL 系统角色的 metrics_webhook_endpoint 变量自动配置 global webhook_endpoint PMIE 变量。这可让您为接收有关重要性能事件消息的环境提供一个自定义 URL，且通常与外部工具，如 Event-Driven Ansible 一起使用。

bootloader RHEL 系统角色

此更新引入了 bootloader RHEL 系统角色。您可以使用此功能在 RHEL 系统上稳定且一致的引导装载程序和内核配置。有关要求、角色变量和示例 playbook 的详情，请参阅 /usr/share/doc/rhel-system-roles/bootloader/ 目录中的 README 资源。

logging 角色支持输出模块中的常规队列和常规操作参数

在以前的版本中，无法使用 logging 角色配置常规队列参数和常规操作参数。有了此更新，logging RHEL 系统角色支持在输出模块中配置常规队列参数和常规操作参数。

支持新的 ha_cluster 系统角色功能

ha_cluster 系统角色现在支持以下功能：

配置 fapolicyd 的新的 RHEL 系统角色

使用新的 fapolicyd RHEL 系统角色，您可以使用 Ansible playbook 来管理和配置 fapolicyd 框架。fapolicyd 软件框架根据用户定义的策略来控制应用程序的执行。

network RHEL 系统角色现在支持新的路由类型

有了此增强，您现在可以使用 network RHEL 系统角色来使用以下路由类型：

rhc 角色中设置显示名称的新的 rhc_insights.display_name 选项

现在，您可以使用新的 rhc_insights.display_name 参数来配置或已更新注册到 Red Hat Insights 的系统的显示名称。参数允许您根据自己的偏好命名系统，以便在 Insights 清单中轻松地管理系统。如果您的系统已与 Red Hat Insights 连接，请使用参数来更新现有的显示名称。如果没有在注册时明确设置显示名称，则其被默认设置为主机名。无法自动将显示名称还原回主机名，但可以手动设置。

RHEL 系统角色现在支持 LVM 快照管理

有了这个增强，您可以使用新的 snapshot RHEL 系统角色创建、配置和管理 LVM 快照。

postgresql RHEL 系统角色现在支持 PostgreSQL 16

安装、配置、管理和启动 PostgreSQL 服务器的 postgresql RHEL 系统角色现在支持 PostgreSQL 16。

rhc 角色中设置 Ansible 主机名的新的 rhc_insights.ansible_host 选项

您现在可以使用新的 rhc_insights.ansible_host 参数为已注册到 Red Hat Insights 的系统配置或更新 Ansible 主机名。设置时，参数会将 /etc/insights-client/insights-client.conf 文件中的 ansible_host 配置改为您选择的 Ansible 主机名。如果您的系统已经与 Red Hat Insights 连接，则此参数将更新现有的 Ansible 主机名。

journald 系统角色现在支持 ForwardToSyslog 标志

在 journald RHEL 系统角色中，journald_forward_to_syslog 变量控制收到的消息是否应转发到传统的 syslog 守护进程。此变量的默认值为 false。有了此增强，您现在可以通过在清单中将 journald_forward_to_syslog 设置为 true 来配置 ForwardToSyslog 标志。因此，当使用远程日志记录系统时，如 Splunk ，日志位于 /var/log 文件中。

只有当在 logging 系统角色中设置了 ratelimit_interval 时才使用 ratelimit_burst 变量

在以前的版本中，在 logging RHEL 系统角色中，当没有设置 ratelimit_interval 变量时，角色将使用 ratelimit_burst 变量来设置 rsyslog ratelimit.burst 设置。但没有影响，因为还需要设置 ratelimit_interval。

在 logging 系统角色中使用 logging_max_message_size 参数，而不是 rsyslog_max_message_size

在以前的版本中，即使 rsyslog_max_message_size 参数不被支持，logging RHEL 系统角色还是使用 rsyslog_max_message_size 而不是使用 logging_max_message_size 参数。此增强确保 logging_max_message_size 被使用，而不是使用 rsyslog_max_message_size 来为日志消息设置最大大小。

ad_integration RHEL 系统角色现在支持自定义 SSSD 设置

在以前的版本中，当使用 ad_integration RHEL 系统角色时，无法使用角色在 sssd.conf 文件的 [sssd] 部分中添加自定义设置。有了此增强，ad_integration 角色现在可以修改 sssd.conf 文件，因此您可以使用自定义 SSSD 设置。

ad_integration RHEL 系统角色现在支持自定义 SSSD 域配置设置

在以前的版本中，当使用 ad_integration RHEL 系统角色时，无法使用角色在 sssd.conf 文件的域配置部分中添加自定义设置。有了此增强，ad_integration 角色现在可以修改 sssd.conf 文件，因此您可以使用自定义 SSSD 设置。

logging RHEL 系统角色的新 logging_preserve_fqdn 变量

在以前的版本中，无法使用 logging 系统角色配置完全限定域名(FQDN)。此更新添加了可选的 logging_preserve_fqdn 变量，您可以使用它在 rsyslog 中设置 preserveFQDN 配置选项，来在 syslog 条目中使用完整的 FQDN 而不是短名称。

支持创建卷，而无需创建文件系统

有了此增强，您可以通过指定 fs_type=un format 选项来创建新卷，而无需创建文件系统。

rhc 系统角色现在支持 RHEL 7 系统

现在，您可以使用 rhc 系统角色管理 RHEL 7 系统。将 RHEL 7 系统注册到 Red Hat Subscription Management (RHSM)和 Insights，并开始使用 rhc 系统角色管理系统。

新的 mssql_ha_prep_for_pacemaker 变量

在以前的版本中，microsoft.sql.server RHEL 系统角色没有一个控制是否为 Pacemaker 配置 SQL Server 的变量。此更新添加了 mssql_ha_prep_for_pacemaker。如果您不想为 Pacemaker 配置您的系统，并希望使用另一个 HA 解决方案，请将变量设置为 false。

sshd 角色现在配置基于证书的 SSH 身份验证

使用 sshd RHEL 系统角色，您现在可以配置和管理多个 SSH 服务器，以使用 SSH 证书进行身份验证。这使得 SSH 身份验证更安全，因为证书是由可信 CA 签名的，并提供精细的访问控制、到期日期和集中管理。

selinux 角色现在支持在 disabled 模式下配置 SELinux

有了这个更新，selinux RHEL 系统角色支持在 SELinux 设置为 disabled 的节点上配置 SELinux 端口、文件上下文和布尔值映射。在系统上将 SELinux 启用为 permissive 或 enforcing 模式之前，这对于配置场景很有用。

selinux 角色现在在指定不存在的模块时会打印一条消息

使用此版本，当您在 selinux_modules.path 变量中指定一个不存在的模块时，selinux RHEL 系统角色会打印一条错误消息。

RHEL 现在支持虚拟机的多 FD 迁移

有了此更新，现在支持虚拟机的多个文件描述符(multi-FD)迁移。多 FD 迁移使用多个并行连接来迁移虚拟机，这可以通过利用所有可用的网络带宽来加快进程。

IBM Z 上的安全执行虚拟机现在支持加密协处理器

使用此更新，您现在可以将加密协处理器作为中介设备分配给 IBM Z 上带有 IBM 安全执行的虚拟机(VM)。

您现在可以在 web 控制台中将 SPICE 替换为 VNC

有了此更新，您可以使用 web 控制台将现有虚拟机(VM)中的 VNC 协议替换 SPICE 远程显示协议。

RHEL web 控制台中的新虚拟化功能

在这个版本中，RHEL web 控制台在 Virtual Machines 页面中包含新功能。您现在可以：

删除生成的配置文件的新的 cloud-init clean 选项

已为 cloud-init 工具添加了 cloud-init clean --configs 选项。您可以使用此选项删除实例上 cloud-init 生成的不需要的配置文件。例如，要删除定义网络设置的 cloud-init 配置文件，请使用以下命令：

EC2 上的 RHEL 实例现在支持 IPv6 IMDS 连接

有了此更新，Amazon Elastic Cloud Compute (EC2)上的 RHEL 8 和 9 实例可以使用 IPv6 协议连接到实例元数据服务(IMDS)。因此，您可以在具有双栈 IPv4 和 IPv6 连接的 EC2 上使用 cloud-init 配置 RHEL 实例。另外，您可以在仅 IPv6 子网中使用 cloud-init 启动 RHEL 的 EC2 实例。

Container Tools 软件包已更新

现在提供更新的 Container Tools 软件包，其包括 Podman、Buildah、Skopeo、crun 和 runc 工具。与之前版本相比，重要的程序错误修复和增强包括：

Podman 现在支持 containers.conf 模块

您可以使用 Podman 模块来加载一组预先确定的配置。Podman 模块是 Tom 的 Obvious Minimal Language (TOML)格式的 containers.conf 文件。

Podman v4.9 RESTful API 现在显示进度数据

有了此增强，Podman v4.9 RESTful API 现在在拉取镜像或将镜像推送到注册中心时显示进度数据。

SQLite 现在作为 Podman 的默认数据库后端被完全支持

使用 Podman v4.9 ，以前作为技术预览提供的 Podman 的 SQLite 数据库后端现在被完全支持。在与容器元数据一起使用时，SQLite 数据库提供更好的稳定性、性能和一致性。SQLite 数据库后端是 RHEL 8.10 新安装的默认后端。如果您从以前的 RHEL 版本升级，则默认后端为 BoltDB。

管理员可以使用 nftables 为防火墙规则设置隔离

您可以在没有安装 iptables 的系统上使用 Netavark (Podman 容器网络堆栈)。在以前的版本中，当使用容器网络接口(CNI)网络（Netavark 的前身）时，无法在没有安装 iptables 的系统上设置容器网络。有了此增强，Netavark 网络堆栈可在仅安装了 nftables 的系统上工作，并改进了自动生成的防火墙规则的隔离。

Containerfile 现在支持多行指令

您可以在 Containerfile 文件中使用多行 HereDoc 指令(Here 文档表示法)来简化此文件，并减少执行多个 RUN 指令导致的镜像层数。

Toolbx 现在可用

使用 Toolbx，您可以将开发和调试工具、编辑器和软件开发套件(SDK)安装到 Toolbx 完全可变的容器中，而不影响基本操作系统。Toolbx 容器基于 registry.access.redhat.com/ubi8.10/toolbox:latest 镜像。

安装程序现在在 Kickstart 文件中接受额外的时区定义

Anaconda 切换到不同的、更严格的验证时区选择的方法。这导致一些时区定义（如日本）不再有效，尽管在之前的版本中被接受。必须更新具有这些定义的传统的 Kickstart 文件。否则，它们将默认为 Americas/New_York 时区。

使用 ip vrf 管理虚拟路由的规则被添加到 SELinux 策略中

您可以使用 ip vrf 命令管理其他网络服务的虚拟路由。在以前的版本中，selinux-policy 不包含支持此用法的规则。有了此更新，SELinux 策略规则允许从 ip 域到 httpd、sshd 和 named 域的显式转换。当 ip 命令使用 setexeccon 库调用时，这些转换适用。

SELinux 策略允许 staff_r 受限用户运行 sudo crontab

在以前的版本中，SELinux 策略不包含允许受限用户运行 sudo crontab 命令的规则。因此，staff_r 角色中的受限用户无法使用 sudo crontab 编辑其他用户的 crontab 计划。此更新向策略添加了一个规则，因此 staff_r 用户可以使用 sudo crontab 编辑其他用户的 crontab 计划。

SELinux 策略包含其他服务和应用程序的规则

这个 selinux-policy 软件包版本包含其它规则。最值得注意的是，sysadm_r 角色中的用户可以输入以下命令：

当 unconfined_login 设为 off 时，SELinux 策略拒绝非受限用户的 SSH 登录

在以前的版本中，当 unconfined_login 布尔值被设置为 off 时，SELinux 策略缺少一条拒绝非受限用户通过 SSH 登录的规则。因此，如果 unconfined_login 设为 off，用户仍然可以使用 SSHD 作为非受限域来登录。此更新向 SELinux 策略中添加了一条规则，因此，当 unconfined_login 为 off 时，用户无法通过 sshd 作为受限来登录。

SELinux 策略允许 rsyslogd 输入受限命令

在以前的版本中，SELinux 策略缺少允许 rsyslogd 守护进程进入 SELinuxconfined 命令的规则，如 systemctl。因此，作为 omprog 指令的参数执行的命令失败。此更新向 SELinux 策略中添加规则，以便作为 omprog 的参数运行的 /usr/libexec/rsyslog 目录中的可执行文件位于 syslogd_unconfined_script_t 非受限域中。因此，作为 omprog 的参数执行的命令成功完成。

大型 SSHD 配置文件不再阻止登录

在以前的版本中，当 SSHD 配置文件大于 256 KB 时，在登录到系统时会出现一个错误。因此，远程系统无法访问。此更新删除了文件大小限制，因此在 SSHD 配置文件大于 256 KB 时，用户可以登录到系统。

yum needs-restarting --reboothint 命令现在建议重启来更新 CPU 微码

要完全更新 CPU 微码，您必须重启系统。在以前的版本中，当安装了包含更新的 CPU 微码的 microcode_ctl 软件包时，yum needs-restarting --reboothint 命令不建议重启。有了此更新，这个问题已被解决，yum needs-restarting --reboothint 现在建议重启来更新 CPU 微码。

systemd 现在可以正确管理 librepo 创建的 /run/user/0 目录

在以前的版本中，如果以 root 用户身份登录前，从 Insights 客户端调用 librepo 函数，则可能使用错误的 SELinux 上下文类型创建 /run/user/0 目录。这防止 systemd 在您从 root 注销后清理目录。

systemd 现在可以正确管理 libdnf创建的 /run/user/0 目录

在以前的版本中，如果在以 root 用户身份登录前，从 Insights 客户端调用 libdnf 函数，可能会使用错误的 SELinux 上下文类型创建 /run/user/0 目录。这防止 systemd 在您从 root 注销后清理目录。

ReaR 现在决定在安装 BIOS 和 UEFI 引导装载程序时存在 BIOS 引导装载程序

在以前的版本中，在混合引导装载程序设置(UEFI 和 BIOS)中，当使用 UEFI 和 BIOS 引导时，Relax-and-Recover (ReaR)只恢复 UEFI 引导装载程序，而不是 BIOS 引导装载程序。这会导致系统具有 GUID 分区表 (GPT)、BIOS 引导分区，而不是 BIOS 引导装载程序。在这种情况下，ReaR 无法创建救援镜像，尝试使用 rear mkbackup 或 rear mkrescue 命令生成一个备份或救援镜像会失败，并显示以下错误消息：

ReaR 在恢复过程中不再使用 logbsize,sunit 和 swidth 挂载选项

在以前的版本中，当使用与 MKFS_XFS_OPTIONS 配置设置的原始参数不同的参数恢复 XFS 文件系统时，Relax-and-Recover (ReaR)使用适用于原始文件系统的挂载选项挂载这个文件系统，但不适用于恢复的文件系统。因此，当 ReaR 运行 mount 命令时，磁盘布局重新创建会失败，并显示以下错误消息：

在具有小的精简池元数据大小的系统上，ReaR 恢复不再失败

在以前的版本中，当保存带有精简池的 LVM 卷组的布局时，ReaR 不保存池元数据卷的大小。在恢复过程中，ReaR 会重新创建具有默认大小的池，即使系统使用了非默认池元数据大小。

当对 logind-session-monitor 事件调用 polkit 时，pkla-compact 二进制文件被执行

在以前的版本中，对 polkit 操作的授权的重新验证由所有用户的任何一个 logind-session-monitor 事件触发。每个 CheckAuthorization 请求执行 polkit-pkla-compat 二进制文件来检查旧的 .pkla 配置文件，即使系统上没有此类文件，这导致 polkit 守护进程增加了 CPU 使用率。

crash rebase 到版本 8.0.4

crash 工具已升级至版本 8.0.4 ，其提供多个 bug 修复。主要修复包括：

tuna 根据需要启动 GUI

在以前的版本中，如果您运行没有任何子命令的 tuna 工具，它将启动 GUI。如果您有显示器，则此行为是需要的。相反的情况，在没有显示器的机器上的 tuna 不能正常退出。有了此更新，tuna 会检测您是否有显示器，并相应地启动或不启动 GUI 。

multipathd 现在检查设备是否错误地排队 I/O

在以前的版本中，多路径设备会在以下条件下重启排队 I/O，即使它被配置为失败：

dm-crypt 和 dm-verity 设备的 no_read_workqueue、no_write_workqueue 和 try_verify_in_taskle 选项被临时禁用了

在以前的版本中，使用 no_read_workqueue 或 no_write_workqueue 选项创建的 dm-crypt 设备和使用 try_verify_in_tasklet 选项创建的 dm-verity 设备导致内存崩溃。因此，随机内核内存被破坏，这导致各种系统问题。有了此更新，这些选项被临时禁用了。请注意，这个修复可能导致 dm-verity 和 dm-crypt 在对某些工作负载执行缓慢。

现在修正了移动和禁止克隆和包资源的问题

此 bug 修复解决了移动打包和克隆的资源的两个限制：

pcs status 命令的输出不再显示过期约束的警告

在以前的版本中，当移动集群资源创建了一个临时位置约束时，pcs status 命令即使在约束过期后也会显示一条警告。有了此修复，pcs status 命令会过滤掉过期的约束，它们不再在命令输出中生成一条警告消息。

当 SBD 隔离需要它时，不再允许禁用 auto_tie_breaker 仲裁选项

在以前的版本中，pcs 允许用户禁用 auto_tie_breaker 仲裁选项，即使集群配置需要这个选项，以使 SBD 隔离正常工作。有了此修复，当用户试图在 SBD 隔离需要 auto_tie_breaker 启用的系统上禁用 auto_tie_breaker 时，pcs 会产生一条错误消息。

配置 tls 和 keep_active_partition_tie_breaker 仲裁设备选项，而不指定 --force

在以前的版本中，当配置仲裁设备时，用户无法在不指定 --force 选项的情况下，为仲裁设备型号 net 配置 tls 和 keep_active_partition_tie_breaker 选项。有了此更新，配置这些选项不再需要指定 --force。

系统升级中断后，ldconfig 不再崩溃

在以前的版本中，当处理中断的系统升级后，当处理不完整的共享对象时，ldconfig 工具会在 /usr/lib64 目录中意外停止分段错误。有了此更新，ldconfig 会忽略在系统升级过程中写入的临时文件。因此，在系统升级中断后，ldconfig 不再崩溃。

改进了 glibc 与对依赖项周期中涉及的共享对象使用dlclose 的应用程序的兼容性

在以前的版本中，当使用 glibc 中的 dlclose 函数在依赖项周期中卸载共享对象时，在所有其他对象被卸载前，对象的 ELF 析构函数可能还没有被调用。由于此 ELF 析构函数执行较晚，因此应用程序由于初始共享对象的依赖项已被取消初始化而经历了崩溃和其他错误。

改进了 glibc 宽字符写性能

在以前的版本中，glibc 中的宽 stdio 流实现不会将默认缓冲区大小视为足够大，以进行宽字符写操作，而是使用 16 字节回退缓冲区，对性能造成了负面影响。有了此更新，缓冲区管理已被修复，且使用整个写缓冲区。因此，glibc 宽字符写性能提高了。

glibc 动态链接器可防止应用程序使用来自自定义 malloc 实现的 TLS 访问的 reentrant malloc 调用

有些应用程序提供了一个自定义的 malloc 动态内存分配实现，它使用全局动态线程-local 存储(TLS)而不是 initial-exec TLS。在以前的版本中，带有使用全局动态 TLS 的捆绑 malloc 调用的应用程序可能会遇到对应用程序的 malloc 子系统重新发送调用的情况。因此，应用程序 malloc 调用会因为堆栈耗尽或内部数据结构的意外状态而崩溃。

Certmonger 现在可以正确地更新隐藏的副本中的 KDC 证书

在以前的版本中，当证书即将过期时，certmonger 无法在隐藏的副本中更新 KDC 证书。这是因为续订过程仅将非隐藏的副本视为活动的 KDC。在这个版本中，隐藏的副本被视为活跃的 KDC，certmonger 会在这些服务器上成功更新 KDC 证书。

默认情况下，自动成员插件不再清理组

在以前的版本中，自动重建任务首先删除了所有成员资格值，然后从头开始重新构建成员资格。因此，重建任务的成本很高，特别是如果启用了其他 be_txn 插件。

当一个操作完成时，分配的内存现在被释放

在以前的版本中，KCM 为每个操作分配的内存在连接关闭之前不会被释放。因此，对于打开连接并在同一个连接上运行许多操作的客户端应用程序，这导致内存显著增加，因为分配的内存没有在连接关闭之前被释放。有了此更新，只要操作完成了，为操作分配的内存就会马上释放。

当可信 AD 用户的名称包含混合问题单字符时，IdM 客户端可以正确地检索它们的信息

在以前的版本中，如果您尝试用户查找或用户的身份验证，并且可信活动目录(AD)用户在其名称中包含混合大小写字符，且在 IdM 中使用覆盖进行了配置，则会返回一个错误，阻止用户访问 IdM 资源。

如果在更改密码期间没有保留宽限登录，SSSD 将正确返回一个错误

在以前的版本中，如果用户的 LDAP 密码已过期，SSSD 会在用户的初始绑定失败后尝试更改密码，因为没有剩下更多的宽限登录。但是，返回给用户的错误没有指示失败的原因。在这个版本中，如果绑定失败，则更改密码的请求会被取消，SSSD 会返回一条错误消息，表示没有更多宽限期，并且必须以其他方式更改密码。

使用 realm leave 命令从域中删除系统

在以前的版本中，如果在 sssd.conf 文件中为 ad_server 选项设置了多个名称，则运行 realm leave 命令会导致解析错误，且系统也不会从域中删除。有了此更新， ad_server 选项被正确评估，正确的域控制器名称被使用，且系统被正确从域中删除。

KCM 记录到正确的 sssd.kcm.log 文件中

在以前的版本中，logrotate 可以正确地轮转 Kerberos 凭据管理器(KCM)日志文件，但 KCM 会错误地将日志写入旧日志文件 sssd_kcm.log.1 中。如果 KCM 重启了，它会使用正确的日志文件。有了此更新，在 logrotate 被调用后，日志文件会轮转，KCM 可以正确地记录到 sssd_kcm.log 文件中。

realm leave --remove 命令不再要求凭证

在以前的版本中，在运行 realm leave 操作时，realm 工具不会正确检查是否有一个有效的 Kerberos 票据。因此，即使有一个有效的 Kerberos 票据，用户也被要求输入密码。有了此更新，realm 现在可以正确验证是否有一个有效的 Kerberos 票据，在运行 realm leave --remove 命令时，不再要求用户输入密码。

IdM Vault 加密和解密不再在 FIPS 模式下失败

在以前的版本中，IdM Vault 使用 OpenSSL RSA-PKCS1v15 作为默认的填充包装算法。但是，RHEL 中没有一个 FIPS 认证的算法支持 PKCS#1 v1.5 作为 FIPS 批准的模块，导致 IdM Vault 在 FIPS 模式下失败。有了此更新，IdM Vault 支持 RSA-OAEP 填充包装算法作为回退。因此，IdM Vault 加密和解密现在可以在 FIPS 模式下正常工作。

配置了服务器关联性的 CA IdM 副本安装不再失败

在某些情况下，安装没有证书颁发机构(CA)的 IdM 副本会失败，并显示 CA_REJECTED 错误。失败由于 certmonger 服务试图检索证书而发生，并在向复杂拓扑添加新副本时导致不完整的复制详情。

Kerberos 密钥分发中心版本 1.20 及更新版本现在处理运行 1.18.2 及更早版本的 KDC 中生成的票据

在以前的版本中，兼容性问题在运行 Kerberos 版本 1.20 或更高版本的密钥分发中心(KDC)和运行 1.18.2 或更早版本的 KDC 之间发生。因此，当运行 Kerberos 1.20 或更高版本的 KDC 签发的证据票据被发送到运行 Kerberos 1.18.2 或更早版本的 KDC 时，旧的 KDC 会拒绝票据授予服务请求，因为它缺少对 AD-SIGNTICKET 属性的支持。

dirsrv 文件的 SELinux 标签被移到 DEBUG 日志级别

在以前的版本中，dirsrv 文件的 SELinux 标签具有 INFO 日志级别。有了此更新，用于 dirsrv 文件的 DEBUG 日志级别与用于之前版本中的一样。

当后端被配置为没有相关的后缀时，目录服务器不再导致分段错误

在以前的版本中，如果后端被配置为没有相关的后缀，则目录服务器在启动过程中会有一个分段错误。有了此更新，目录服务器会在尝试访问后缀前检查后缀是否与后端关联。因此，不再发生分段错误。

在放弃分页结果搜索后，目录服务器不再失败

在以前的版本中，在放弃分页结果搜索过程中，竞争条件是堆崩溃和目录服务器失败的原因。有了此更新，竞争条件被修复，目录服务器失败不再发生。

如果您为连接表大小配置了一个自定义值，则目录服务器现在可在升级后正确启动

在以前的版本中，如果您为连接表大小设置了一个自定义值，且 dse.ldif 文件中存在 nsslapd-conntablesize 属性，则目录服务器不会在升级后启动。有了此版本，目录服务器可以在使用 dse.ldif 文件中存在的 nsslapd-conntablesize 升级后正确启动。

当内容同步插件被动态启用时，目录服务器不再失败

在以前的版本中，如果内容同步插件被动态启用，则后操作插件回调导致一个分段错误，因为预操作回调没有注册。有了此更新，后操作插件回调验证内存是否被初始化了，目录服务器不再失败。

当 SBD delay-start 值很高时，集群启动不再超时

在以前的版本中，当用户使用 ha_cluster 系统角色在集群中配置 SBD 隔离，并将 delay-start 选项设置为接近或大于 90 秒的值时，集群开始超时。这是因为默认的 systemd 启动超时为 90 秒，系统在 SBD 启动延迟值前达到该值。有了此修复，ha_cluster 系统角色覆盖 systemd 中的 sbd.service 启动超时，因此其高于 delay-start 的值。这允许系统在使用 delay-start 选项的高值也能成功启动。

network 角色验证具有 0.0.0.0/0 或 ::/0 的路由规则

在以前的版本中，当路由规则中的 from: 或 to: 设置被设置为 0.0.0.0/0 或 ::/0 地址时，network RHEL 系统角色无法配置路由规则，并将设置作为无效拒绝。有了此更新，network 角色允许在路由规则验证中将 0.0.0.0/0 和 ::/0 用于 from: 和 to:。因此，角色可以成功地配置路由规则，而没有引发验证错误。

ha_cluster 系统角色现在可以在 qnetd 主机上正确配置防火墙

在以前的版本中，当用户配置了 qnetd 主机，并使用 ha_cluster 系统角色将 ha_cluster_manage_firewall 变量设置为 true 时，角色不会在防火墙中启用高可用性服务。有了此修复，ha_cluster 系统角色现在可在 qnetd 主机上正确配置防火墙。

keylime_server 角色可以正确地报告 registrar 服务状态

在以前的版本中，当 keylime_server 角色 playbook 提供了不正确的信息时，角色会将启动错误地报告为成功。有了此更新，当提供了不正确的信息时，角色可以正确地报告失败，等待打开的端口的超时时间已从大约 300 秒减少到大约 30 秒。

postgresql RHEL 系统角色现在安装正确版本的 PostgreSQL

在以前的版本中，如果您尝试使用 RHEL 管理节点上定义的 postgresql_version: "15" 变量运行 postgresql RHEL 系统角色，则会安装 PostgreSQL 版本 13，而不是版本 15。这个 bug 已被修复，postgresql 角色会安装变量中设置的版本。

podman RHEL 系统角色现在为无根容器正确设置和取消 linger

在以前的版本中，podman RHEL 系统角色没有为无根容器正确设置和取消 linger。因此，为无根用户部署 secret 或容器在某些情况下会产生错误，当在某些情况下删除资源时，无法取消 linger 。有了此更新，podman RHEL 系统角色确保在进行任何 secret 或容器资源管理之前，为无根用户启用 linger，并在没有更多 secret 或容器资源需要管理时，对无根用户取消 linger。因此，角色可以正确地为无根用户管理 linger。

podman RHEL 系统角色现在为无根容器正确设置和取消 linger

在以前的版本中，podman RHEL 系统角色没有为无根容器正确设置和取消 linger。因此，为无根用户部署 secret 或容器在某些情况下会产生错误，当在某些情况下删除资源时，无法取消 linger 。有了此更新，podman RHEL 系统角色确保在进行任何 secret 或容器资源管理之前，为无根用户启用 linger，并在没有更多 secret 或容器资源需要管理时，对无根用户取消 linger。因此，角色可以正确地为无根用户管理 linger。

运行 read-scale 集群并安装 mssql-server-ha 不再需要某些变量

在以前的版本中，如果您使用 mssql RHEL 系统角色配置一个没有某些变量的读规模的集群(mssql_ha_virtual_ip,mssql_ha_login,mssql_ha_login_password 和 mssql_ha_cluster_run_role)，则角色会失败，并显示错误消息 Variable not defined。但是，运行 read-scale 集群不需要这些变量。角色还尝试安装 mssql-server-ha，而这不是 read-scale 集群所需要的。有了此修复，对这些变量的要求已删除。因此，运行 read-scale 集群可以成功进行，而没有错误消息。

当 kexec_crash_size 文件忙时，Kdump 系统角色可以正常工作

/sys/kernel/kexec_crash_size 文件提供为崩溃内核内存分配的内存区域的大小。

SELinux 角色不再使用 item 循环变量

在以前的版本中，selinux RHEL 系统角色使用 item 循环变量。当您从另一个角色调用 selinux 角色时，这可能会导致以下警告消息：

不再详细记录 secret 数据

在以前的版本中，一些处理 secret 数据的任务会记录内容。因此，如果使用了详细日志记录，日志会显示 secret 数据。此更新将 no_log: true 指令添加到可以记录 secret 数据的任务中。因此，secret 数据不会被详细记录。

卷 quadlet 服务名称不再失败

在以前的版本中，启动卷服务名称会产生一条类似如下的错误：

nbde_server 角色现在可以使用套接字覆盖

在以前的版本中，nbde_server RHEL 系统角色假定只有 tangd 套接字覆盖目录中的文件是自定义端口的 override.conf 文件。因此，如果没有端口自定义，角色会删除目录，而不检查其他文件，并且系统在后续运行时会重新创建目录。

转储失败不再阻止带有安全执行的 IBM Z 虚拟机运行

在以前的版本中，当带有安全执行执行的 IBM Z 虚拟机的转储失败时，虚拟机保持在暂停状态，并被阻止运行。例如，如果磁盘上没有足够的空间，则使用 virsh dump 命令转储虚拟机会失败。

TuneD 的套接字 API 作为技术预览提供

通过 UNIX 域套接字控制 TuneD 的套接字 API 现在作为技术预览提供。套接字 API 将一对一与 D-Bus API 映射，并为 D-Bus 不可用的情况提供替代通信方法。通过使用套接字 API，您可以控制 TuneD 守护进程来优化性能，并更改各种调优参数的值。套接字 API 默认被禁用，您可以在 tuned-main.conf 文件中启用它。

AF_XDP 作为技术预览

Address Family eXpress Data Path (AF_XDP) 是设计用于处理高性能数据包。它包含 XDP，并允许通过编程方式将选定的数据包高效地重定向到用户空间应用，以便进一步处理。

可作为技术预览的 XDP 功能

红帽提供了以下 eXpress Data Path(XDP)功能作为不受支持的技术预览：

TC 的多协议标签交换，作为技术预览提供

Multi-protocol Label Switching（MPLS）是一个内核内数据转发机制，用于跨企业网络路由流量。在 MPLS 网络中，接收数据包的路由器根据附加到数据包的标签决定数据包的其他路由。使用标签时，MPLS 网络可以处理带有特定特征的数据包。例如，您可以添加 tc 过滤器，以一致的方式管理从特定端口接收的数据包或执行特定类型的流量。

act_mpls 模块作为技术预览提供

act_mpls 模块现在作为技术预览在 kernel-modules-extra rpm 中找到。该模块允许使用流量控制（TC）过滤器进行多协议标签交换（MPLS）操作，例如：通过 TC 过滤器推送和弹出 MPLS 标签堆栈条目。模块还允许独立设置 Label、Traffic Class、Stack 的 Bottom 和 Time to Live 字段。

systemd-resolved 服务现在作为技术预览提供

systemd-resolved 服务为本地应用提供名称解析。该服务实现了缓存和验证 DNS 存根解析器、链接本地多播名称解析(LLMNR)和多播 DNS 解析器和响应器。

soft-RoCE 作为技术预览提供

通过融合以太网的远程直接内存访问(RDMA)是一个通过以太网实现 RDMA 的网络协议。Soft-RoCE 是 RoCE 的软件实现，它维护两个协议版本：RoCE v1 和 RoCE v2。在 RHEL 8 中，Soft-RoCE 驱动程序 rdma_rxe 作为不受支持的技术预览提供。

eBPF 作为技术预览

Extended Berkeley Packet Filter(eBPF) 是一个内核中的虚拟机,允许在可访问有限功能的受限沙箱环境中在内核空间中执行代码。

kexec 快速重启功能作为一种技术预览提供

kexec 快速重启功能作为一种技术预览继续提供。kexec 快速重启可显著加快引导过程，因为您可以直接引导到第二个内核，而无需首先通过基本输入/输出系统(BIOS)或固件。要使用这个功能：

accel-config 软件包作为技术预览提供

accel-config 软件包现在作为技术预览在 Intel EM64T 和 AMD64 构架上提供。这个软件包有助于控制并配置 Linux 内核中的数据流化器（DSA）子系统。另外，它还通过 sysfs (pseudo-文件系统)配置设备，以 json 格式保存并载入配置。

现在 ext4 和 XFS 作为技术预览提供文件系统 DAX

在 Red Hat Enterprise Linux 8 中，文件系统 DAX 作为技术预览提供。DAX 提供了将持久内存直接映射到其地址空间的方法。要使用 DAX，系统必须有某种形式的持久性内存可用，通常是以一个或多个非易失性双内联内存模块(NVDIMM)的形式，并且提供 DAX 能力的文件系统必须在 NVDIMM 上创建。另外，该文件系统必须使用 dax 挂载选项挂载。然后，挂载了 dax 的文件系统上的文件的 mmap 会导致存储直接映射到应用程序的地址空间。

OverlayFS

OverlayFS 是一种联合文件系统。它允许您在另一个文件系统上覆盖一个文件系统。更改记录在上面的文件系统中，而较小的文件系统则未修改。这允许多个用户共享文件系统镜像，如容器或 DVD-ROM，基础镜像使用只读介质。

Stratis 现在作为技术预览提供

Stratis 是一个新的本地存储管理器，它使用额外的功能在存储池之上提供受管的文件系统。它作为技术预览提供。

NVMe/TCP 主机作为技术预览提供

访问和共享通过 TCP/IP 网络(NVMe/TCP)的 Nonvolatile Memory Express(NVMe/TCP)存储及其相应的 nvme_tcp.ko 内核模块已被添加为技术预览。使用 nvme-cli 软件包提供的工具可以将 NVMe/TCP 作为主机管理。NVMe/TCP 主机技术预览仅用于测试目的，目前没有计划提供全面支持。

在 IdM 域成员中设置 Samba 服务器作为技术预览提供

在这个版本中，您可以在 Identity Management(IdM)域成员中设置 Samba 服务器。由同名软件包提供的新 ipa-client-samba 程序为 IdM 添加了特定于 Samba 的 Kerberos 服务主体并准备 IdM 客户端。例如，实用程序使用 sss ID 映射后端的 ID 映射配置创建 /etc/samba/smb.conf。现在，管理员可以在 IdM 域成员中设置 Samba。

pacemaker podman bundles 作为技术预览

pacemaker 容器捆绑包现在在 Podman 上运行，容器捆绑包功能作为技术预览提供。此功能的一个例外是技术预览：红帽完全支持将 Pacemaker 捆绑包用于 Red Hat OpenStack。

作为技术预览的 corosync-qdevice 中的 Heuristics

Heuristics是一组在启动、集群成员资格更改、成功连接到 corosync-qnetd 时本地执行的命令，以及可选的定期执行的命令。当所有命令及时成功完成（返回的错误代码为零），代表 heuristics 通过，否则代表失败。Heuristics 结果发送到 corosync-qnetd，在计算中用来决定哪个分区应该是 quorate。

新的 fence-agents-heuristics-ping 保护代理

作为技术预览，Pacemaker 现在提供 fence_heuristics_ping 代理。这个代理旨在打开一组实验性保护代理，它们本身没有实际隔离，而是以新的方式利用隔离级别。

身份管理 JSON-RPC API 作为技术预览

一个 API 可用于 Identity Management(IdM)。要查看 API，IdM 还提供了一个 API 浏览器作为技术预览。

DNSSEC 在 IdM 中作为技术预览提供

带有集成 DNS 的身份管理(IdM)服务器现在实现了 DNS 安全扩展(DNSSEC)，这是一组增强 DNS 协议安全的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。

ACME 作为技术预览提供

自动证书管理环境(ACME)服务现在作为技术预览在 Identity Management(IdM)中提供。ACME 是一个用于自动标识符验证和证书颁发的协议。它的目标是通过缩短证书生命周期并避免证书生命周期管理中的手动过程来提高安全性。

sssd-idp 子软件包作为技术预览提供

SSSD 的 sssd-idp 子软件包包含 oidc_child 和 krb5 idp 插件，它们是对身份管理(IdM)服务器执行 OAuth2 身份验证的客户端组件。此功能仅适用于 RHEL 8.7 及更高版本上的 IdM 服务器。

SSSD 内部 krb5 idp 插件作为技术预览提供

SSSD krb5 idp 插件允许您使用 OAuth2 协议对外部身份提供者(IdP)进行身份验证。此功能仅适用于 RHEL 8.7 及更高版本上的 IdM 服务器。

GNOME 用于 64 位 ARM 架构，作为一个技术预览

GNOME 桌面环境可用于 64 位 ARM 架构，作为技术预览。

用于 IBM Z 架构的 GNOME 作为技术预览提供

对于 IBM Z 架构，GNOME 桌面环境作为技术预览。

VNC 远程控制台作为 64 位 ARM 架构的一个技术预览提供

在 64 位 ARM 架构中,虚拟网络计算(VNC)远程控制台可作为技术预览使用。请注意,在 64 位 ARM 架构中,目前图形堆栈的其它部分没有被验证。

KVM 虚拟化可用于 RHEL 8 Hyper-V 虚拟机

作为技术预览，现在可将嵌套的 KVM 虚拟化用于 Microsoft Hyper-V hypervisor。因此，您可以在运行在 Hyper-V 主机的 RHEL 8 虚拟机中创建虚拟机。

用于 KVM 虚拟机的 AMD SEV 和 SEV-ES

作为技术预览，RHEL 8 为使用 KVM 虚拟机的 AMD EPYC 主机提供安全加密虚拟化（SEV）功能。如果在虚拟机(VM)上启用，SEV 会加密虚拟机的内存来保护虚拟机被主机访问。这提高了虚拟机的安全性。

Intel vGPU 作为技术预览提供

作为技术预览，可以将物理 Intel GPU 设备分为多个虚拟设备，称为 介质设备。然后可将这些介质设备分配给多个虚拟机(VM)作为虚拟 GPU。因此,这些虚拟机共享单个物理 Intel GPU 的性能。

创建嵌套虚拟机

对于装有 RHEL 8 的 Intel、AMD64、IBM POWER 以及 IBM Z 系统主机上运行的 KVM 虚拟机，嵌套的 KVM 虚拟化作为技术预览提供。使用此功能,在物理 RHEL 8 主机上运行的 RHEL 7 或 RHEL 8 虚拟机可作为虚拟机监控程序,并托管自己的虚拟机。

技术预览：选择 Intel 网络适配器现在在 Hyper-V 上的 RHEL 客户端中提供 SR-IOV

作为技术预览，运行在 Hyper-V hypervisor 上的 Red Hat Enterprise Linux 客户机操作系统现在可以对 ixgbevf 和 iavf 驱动程序支持的 Intel 网络适配器使用单根 I/O 虚拟化(SR-IOV)功能。此功能在满足以下条件时启用：

RHEL 客户机中的 Intel TDX

作为技术预览，Intel Trust Domain Extension (TDX)功能现在可在 RHEL 8.8 及之后的版本中使用。如果主机系统支持 TDX，您可以部署硬件隔离的 RHEL 9 虚拟机(VM)，称为信任域(TD)。但请注意，TDX 目前无法与 kdump 一起工作，启用 TDX 会导致 kdump 在虚拟机上失败。

使用 virtiofs 在主机和虚拟机之间共享文件

作为技术预览，RHEL 8 现在提供 virtio 文件系统(virtiofs)。使用 virtiofs，您可以在主机系统及其虚拟机(VM)之间高效地共享文件。

RHEL 机密虚拟机现在在 Azure 上作为技术预览提供

有了更新的 RHEL 内核，现在您可以在 Microsoft Azure 上创建并运行机密虚拟机(VM)作为技术预览。但是，在 Azure 上引导时无法加密 RHEL 机密虚拟机镜像。

podman-machine 命令不被支持

用于管理虚拟机的 podman-machine 命令仅作为技术预览提供。相反，请直接从命令行运行 Podman。

构建多架构镜像作为技术预览提供

您可用来创建多架构容器镜像的 podman farm build 命令作为技术预览提供。

弃用了一些 Kickstart 命令和选项

在 RHEL 8 Kickstart 文件中使用以下命令和选项将会在日志中打印警告信息：

ignoredisk Kickstart 命令的 --interactive 选项已被弃用

在以后的 Red Hat Enterprise Linux 版本中使用 --interactive 选项会导致严重安装错误。建议您修改 Kickstart 文件删除该选项。

Kickstart autostep 命令已弃用

autostep 命令已弃用。有关这个命令的相关部分已从 RHEL 8 文档中删除。

NSS SEED 密码已弃用

Mozilla Network Security Services (NSS) 库将不支持在以后的版本中使用 SEED 密码的 TLS 密码组合。为确保在 NSS 取消支持时依赖 SEED 密码的部署平稳过渡，红帽推荐对其它密码套件的支持。

TLS 1.0 和 TLS 1.1 已弃用

TLS 1.0 和 TLS 1.1 协议在 DEFAULT 系统范围的加密策略级别被禁用。如果需要使用启用的协议，如 Firefox 网页浏览器中的视频检查程序，把系统范围的加密策略切换到 LEGACY 级别：

在 RHEL 8 中弃用 DSA

数字签名算法(DSA)在 Red Hat Enterprise Linux 8 中被视为已弃用。依赖于 DSA 密钥的身份验证机制在默认配置中不起作用。请注意，即使使用系统范围的 LEGACY 加密策略级别中，OpenSSH 客户端都不接受 DSA 主机密钥。

fapolicyd.rules 已被弃用

包含允许和拒绝执行规则的文件的 /etc/fapolicyd/rules.d/ 目录替代了 /etc/fapolicyd/fapolicyd.rules 文件。fagenrules 脚本现在将此目录中的所有组件规则文件合并到 /etc/fapolicyd/compiled.rules 文件。/etc/fapolicyd/fapolicyd 中的规则仍由 fapolicyd 框架处理，但只是为了保证向后兼容。

在 NSS中弃用了SSL2 Client Hello

传输层安全(TLS)协议版本 1.2 及更早版本允许以向后兼容安全套接字层(SSL)协议版本 2 的方式与 客户端 Hello 消息进行协商。网络安全服务(NSS)库中对这个功能的支持已被弃用，默认是禁用的。

使用 /etc/selinux/config 运行时禁用 SELinux 现已弃用

使用 /etc/selinux/config 文件中的 SELINUX=disabled 选项禁用 SELinux 已被弃用。在 RHEL 9 中，当您只通过 /etc/selinux/config 禁用 SELinux 时，系统启动时会启用SELinux ，但没有载入任何策略。

ipa SELinux 模块从 selinux-policy中删除了

ipa SELinux 模块已从 selinux-policy 软件包中删除，因为不再维护它了。这个功能现在包括在 ipa-selinux 子软件包中。

TPM 1.2 已被弃用

可信平台模块(TPM)安全加密处理器标准将在 2016 年更新至版本 2.0。TPM 2.0 比 TPM 1.2 提供了很多改进，它和之前的版本不向后兼容。在 RHEL 8 中弃用了 TPM 1.2，它可能会在下一个主发行版本中删除。

crypto-policies 派生的属性现已被弃用

随着自定义策略中 crypto-policies 指令作用域的引入，以下派生属性已被弃用： tls_cipher、ssh_cipher、ssh_group、ike_protocol 和 sha1_in_dnssec。另外，使用 protocol 属性而不指定范围现也已被弃用。有关推荐的替代品，请参阅 crypto-policies(7) 手册页。

RHEL 8 和 9 OpenSSL 证书和密钥容器现已弃用

红帽生态系统目录中的 ubi8/openssl 和 ubi9/openssl 存储库中提供的 OpenSSL 可移植证书和签名容器现已弃用。

弃用的 subscription-manager register 的 --token 选项将在 2024 年 11 月底停止工作

弃用的 subscription-manager register 命令的 --token=<TOKEN> 选项从 2024 年 11 月底起，将不再是一个支持的身份验证方法。默认的授权服务器 subscription.rhsm.redhat.com 不再允许基于令牌的身份验证。因此，如果您使用 subscription-manager register --token=<TOKEN>，则注册将失败，并显示以下错误消息：

rpmbuild --sign 已弃用

从 RHEL 8.1 开始，rpmbuild --sign 命令被弃用。在以后的 Red Hat Enterprise Linux 版本中使用这个命令可能会导致错误。建议您使用 rpmsign 命令替代。

在 ReaR 配置文件中设置 TMPDIR 变量已弃用

通过使用语句，如 export TMPDIR=…​ 在 /etc/rear/local.conf 或 /etc/rear/site.conf ReaR 配置文件中设置 TMPDIR 环境变量已被弃用。

OpenEXR 组件已弃用

OpenEXR 组件已弃用。因此，对 EXR 镜像格式的支持已从 imagecodecs 模块中去掉了。

dump 软件包中的 dump 工具已弃用

用于文件系统备份的 dump 工具已弃用，在 RHEL 9 中将不再提供。

RHEL 8 systemd 不再支持 hidepid=n 挂载选项

挂载选项 hidepid=n，其控制谁可以访问 /proc/[pid] 目录中的信息，与 RHEL 8 提供的 systemd 基础架构不兼容。

/usr/lib/udev/rename_device 工具已被弃用

用于重命名网络接口的 udev 帮助工具 /usr/lib/udev/rename_device 已被弃用。

ABRT 工具已被弃用

用于检测和报告应用程序崩溃的自动错误报告工具(ABRT) 在 RHEL 8 中已弃用。作为替代，使用 systemd-coredump 工具记录和存储核心转储，其是程序崩溃后自动生成的文件。

ReaR crontab 已被弃用

rear 软件包中的 /etc/cron.d/rear crontab 已在 RHEL 8 中弃用，且不在 RHEL 9 中提供。crontab 会每晚检查磁盘布局是否已更改，如果发生了更改，则运行 rear mkrescue 命令。

Bacula 中的 SQLite 数据库后端已被弃用

Bacula 备份系统支持多个数据库后端：PostgreSQL、MySQL 和 SQLite。SQLite 后端已被弃用，并将在以后的 RHEL 版本中不被支持。作为一种替代，迁移到其他一种后端(PostgreSQL 或 MySQL)，且在新部署中不使用 SQLite 后端。

raw 命令已被弃用

raw (/usr/bin/raw)命令已被弃用。在以后的 Red Hat Enterprise Linux 版本中使用这个命令可能会导致错误。

geoipupdate 软件包已弃用

geoipupdate 软件包需要第三方订阅，同时下载专有内容。因此，geoipupdate 软件包已被弃用，并将在下一个主要 RHEL 版本中删除。

在 RHEL 8 中已弃用网络脚本

网络脚本在 Red Hat Enterprise Linux 8 中已弃用，且不再默认提供。基本安装提供了 ifup 和 ifdown 脚本的新版本，它们通过 nmcli 工具调用 NetworkManager 服务。在 Red Hat Enterprise Linux 8 中，要运行 ifup 和 ifdown 脚本，NetworkManager 必须正在运行。

dropwatch 工具已弃用

dropwatch 工具已弃用。以后的发行版本中不再支持该工具，因此不建议在新部署中使用它。作为此软件包的替代品，红帽建议使用 perf 命令行工具。

xinetd 服务已弃用

xinetd 服务已弃用，并将在 RHEL 9 中删除。作为替换，请使用 systemd。详情请查看 如何将 xinetd 服务转换为 systemd。

cgdcbxd 软件包已被弃用

控制组数据中心桥接交换守护进程(cgdcbxd)是监控数据中心桥接(DCB)netlink 事件和管理 net_prio 控制组子系统的服务。从 RHEL 8.5 开始，cgdcbxd 软件包被弃用，并将在下一个主要 RHEL 发行版本中删除。

WEP Wi-Fi 连接方法已被弃用

在 RHEL 8 中弃用了不安全的有线等效隐私(WEP) Wi-Fi 连接方法，并将在 RHEL 9.0 中删除。对于安全的 Wi-Fi 连接，请使用 Wi-Fi Protected Access 3(WPA3)或 WPA2 连接方法。

不受支持的 xt_u32 模块现已被弃用

使用不受支持的 xt_u32 模块，iptables 用户可以匹配数据包头或有效负载中的任意 32 位数据。从 RHEL 8.6 开始，xt_u32 模块已被弃用，并将在 RHEL 9 中删除。

rdma_rxe Soft-RoCE 驱动程序已弃用

软件直接内存通过融合以太网(Soft-RoCE)（也称为 RXE）是模拟远程直接内存访问(RDMA)的功能。在 RHEL 8 中，Soft-RoCE 功能作为技术预览提供。另外，由于稳定性问题，这个功能已弃用，并将在 RHEL 9 中删除。

Linux firewire 子系统及其关联的用户空间组件在 RHEL 8 中已弃用

firewire 子系统提供了接口来使用和维护 IEEE 1394 总线上的任何资源。在 RHEL 9 中，内核 软件包将不再支持 firewire 。请注意，firewire 包含几个由 libavc1394、libdc1394、libraw1394 软件包提供的用户空间组件。这些软件包也会被弃用。

使用无磁盘引导为 Real Time 8 安装 RHEL 现已弃用

无盘引导允许多个系统通过网络共享根文件系统。虽然方便，无盘引导会在实时工作负载中容易引入网络延迟。使用 RHEL for Real Time 8 的 8.3 次更新，无盘引导功能不再被支持。

内核实时补丁现在涵盖所有 RHEL 次要版本

从 RHEL 8.1 开始，已为延长更新支持(EUS)策略涵盖的所选定的 RHEL 次版本提供了内核实时补丁，以修复级别为关键(Critical)和重要(Important)的通用漏洞披露(CVE)。要容纳同时涵盖内核和用例的最大数量，对于内核的每个次版本、主要版本和 zStream 版本，每个实时补丁的支持窗口已从 12 月减少到 6 个月。这意味着，在内核实时补丁发布的那天，它将覆盖过去 6 个月所交付的每个次要版本和计划勘误表内核。

crash-ptdump-command 软件包已被弃用

crash-ptdump-command 软件包（这是 crash 工具的 ptdump 扩展模块）已被弃用，且可能在以后的 RHEL 版本中不提供。在 Single Range Output 模式下工作时，ptdump 命令无法检索日志缓冲区，且只能在物理地址(ToPA)表模式下工作。crash-ptdump-command 当前没有在上游维护

kernelopts 环境变量已被弃用

在 RHEL 8 中，使用 GRUB 引导装载程序的系统的内核命令行参数在 kernelopts 环境变量中定义。变量保存在每个内核引导条目的 /boot/grub2/grubenv 文件中。但是，使用 kernelopts 存储内核命令行参数并不可靠。因此，在以后的 RHEL 主更新中，kernelopts 将被删除，且内核命令行参数会存储在 Boot Loader Specification(BLS)片断中。

Resilient Storage Add-On 已被弃用

Red Hat Enterprise Linux (RHEL) Resilient Storage Add-On 已被弃用。从 Red Hat Enterprise Linux 10 以及 RHEL 10 后的任何后续版本开始，不再支持弹性存储附加组件。RHEL Resilient Storage 附加组件将继续受到早期版本的 RHEL (7、8、9)以及其相应的维护支持生命周期的支持。

elevator 内核命令行参数已弃用

在之前的 RHEL 版本中使用 elevator 内核命令行参数为所有设备设置磁盘调度程序。在 RHEL 8 中，该参数已弃用。

禁用了 NFSv3 over UDP

默认情况下，NFS 服务器不再默认在 User Datagram Protocol(UDP)套接字上打开或监听。这个变化只影响 NFS 版本 3，因为版本 4 需要传输控制协议(TCP)。

peripety 已被弃用

从 RHEL 8.3 开始，pipety 软件包已弃用。

除了 async 以外的 VDO 写模式都被弃用了

VDO 支持 RHEL 8 中的几种写入模式：

VDO 管理器已被弃用

基于 python 的 VDO 管理软件已被弃用，并将从 RHEL 9 中删除。在 RHEL 9 中，它将被 LVM-VDO 集成替代。因此，建议您使用 lvcreate 命令创建 VDO 卷。

cramfs 已被弃用

由于缺少用户，cramfs 内核模块已被弃用。建议使用 squashfs 作为替代解决方案。

支持 clufter 工具的 pcs 命令已被弃用

支持 clufter 工具来分析群集配置格式的 pcs 命令已被弃用。现在，这些命令会显示一个警告信息，提示该命令已弃用，并且与这些命令相关的部分已从 pcs 帮助显示和pcs(8)手册页中删除。

PHP 提供的与 Apache HTTP 服务器一起使用的 mod_php 模块已被弃用

PHP 提供的与 RHEL 8 中的 Apache HTTP 服务器一起使用的 mod_php 模块可用，但在默认配置中未启用。RHEL 9 不再提供该模块。

gdb.i686 软件包已弃用

在 RHEL 8.1 中，GNU Debugger(GDB)gdb.i686 的 32 位版本因为另一个软件包中的依赖问题而提供。因为 RHEL 8 不支持 32 位硬件，所以 gdb.i686 软件包从 RHEL 8.4 开始已弃用。GDB的64 位版本gdb.x86_64完全能够调试 32 位应用程序。

libdwarf 已弃用

libdwarf 库在 RHEL 8 中已弃用。将来的主版本中可能也不支持该程序库。对于打算处理 ELF/DWARF 文件的应用程序，请使用 elfutils 和 libdw 库。

openssh-ldap 已被弃用

在 Red Hat Enterprise Linux 8 中弃用 openssh-ldap 子软件包，并将在 RHEL 9 中删除。因为 openssh-ldap 子软件包没有被上游维护，红帽建议您使用 SSSD 和 sss_ssh_authorizedkeys 帮助程序，它们与其他 IdM 解决方案更好地集成且更安全。

已经删除了 DES 和 3DES 加密类型

由于安全考虑，自 RHEL 7 开始，数据加密标准(DES)算法已被弃用并默认禁用。通过最近重新构建 Kerberos 软件包，已从 RHEL 8 中删除了 single-DES(DES)和 triple-DES（3DES） 加密类型。

libwbclient 的 SSSD 版本已被删除

libwbclient 软件包的 SSSD 实现在 RHEL 8.4 中已被弃用。因为无法与 Samba 的最新版本一起使用， libwbclient 的 SSSD 实现现已被删除。

单独使用 ctdb 服务已弃用

从 RHEL 8.4 开始，建议客户仅在满足以下条件时使用 ctdb 集群 Samba 服务：

对 FreeRADIUS 的有限支持

在 RHEL 8 中，以下外部身份验证模块作为 FreeRADIUS 产品的一部分被弃用：

通过 WinSync 与 IdM 的间接 AD 集成已弃用

由于一些功能的限制，不会在 RHEL 8 中对 WinSync 进行积极的开发：

以 PDC 或 BDC 的形式运行 Samba 已被弃用

典型的域控制器模式使管理员能够作为 NT4 运行 Samba，如主域控制器(PDC)和备份域控制器(BDC)已被弃用。用于配置这些模式的代码和设置将在以后的 Samba 发行版本中删除。

SMB1 协议在 Samba 中被弃用

从 Samba 4.11 开始，不安全的服务器消息块版本 1 (SMB1)协议已弃用，并将在以后的发行版本中删除。

libgnome-keyring 库已弃用

libgnome-keyring 库已弃用，现在使用 libsecret 库，因为 libgnome-keyring 没有被上游维护，且不会遵循 RHEL 所需的加密策略。新的 libsecret 库是符合所需安全标准的替换。

libreoffice 已被弃用

LibreOffice RPM 软件包现已弃用，并将在以后的主 RHEL 发行版本中删除。LibreOffice 在 RHEL 7、8 和 9 的整个生命周期中仍然被完全支持。

弃用了几个位图字体

以下位图字体软件包已弃用：

不再支持 AGP 图形卡

Red Hat Enterprise Linux 8 不支持使用图形端口(AGP)总线的图形卡。推荐使用 PCI-Express bus 图形卡替换。

Motif 已被弃用

Motif 小部件工具包已在 RHEL 中被弃用，因为上游 Motif 社区的开发不活跃。

Web 控制台不再支持不完整翻译

RHEL web 控制台不再提供翻译少于 50% 的语言支持。如果浏览器要求转换成这种语言，用户界面将为英语。

remotectl 命令已弃用

remotectl 命令已弃用，并将在以后的 RHEL 版本中不可用。您可以使用 cockpit-certificate-ensure 命令作为替代。但请注意，cockpit-certificate-ensure 没有与 remotectl 相同的功能。它不支持捆绑的证书和密钥 keychain 文件，并要求将它们拆分。

在 RHEL 9 节点上配置团队时，network 系统角色会显示一条弃用警告

RHEL 9 中弃用了网络协作功能。因此，在 RHEL 8 控制节点上使用 network RHEL 系统角色在 RHEL 9 节点上配置网络团队，会显示有关弃用的警告。

Ansible Engine 已被弃用

RHEL 8 的早期版本提供了对 Ansible Engine 存储库的访问（有限范围的支持），以启用支持的 RHEL 自动化用例，如 RHEL 系统角色和 Insights 补救措施。Ansible Engine 已被弃用，2023 年 9 月 29 日之后将不再支持 Ansible Engine 2.9 。有关支持的用例的详情，请参阅 RHEL 9 AppStream 中包含的 Ansible Core 软件包的支持范围。

mssql_ha_cluster_run_role 已被弃用

mssql_ha_cluster_run_role 变量已被弃用。改为使用 mssql_manage_ha_cluster 变量。

virsh iface-* 命令已被弃用

virsh iface-* 命令（如 virsh iface-start 和 virsh iface-destroy ）现已被弃用，并将在以后的 RHEL 主版本中删除。另外，这些命令会因为配置依赖而经常失败。

virt-manager 已被弃用

虚拟机管理器（也称 virt-manager） 已弃用。RHEL web 控制台（也称为 Cockpit ）旨在在以后的版本中成为其替代品。因此，建议您使用 web 控制台使用 GUI 管理虚拟化。但请注意，virt-manager 中的一些可用功能可能在 RHEL web 控制台中不可用。

对虚拟机快照的支持有限

目前只对使用 UEFI 固件的虚拟机支持创建虚拟机(VM)的快照。另外，在快照操作过程中，QEMU 监控可能会被阻断，这会对某些工作负载的 hypervisor 性能造成负面影响。

Cirrus VGA 虚拟 GPU 类型已弃用

随着 Red Hat Enterprise Linux 的主要更新，Cirrus VGA GPU 设备将在 KVM 虚拟机中不再被支持。因此，红帽建议使用 stdvga 或 virtio-vga 设备，而不是 Cirrus VGA。

SPICE 已被弃用

SPICE 远程显示协议已弃用。请注意，RHEL 8 中仍支持 SPICE，但红帽建议您为远程显示流使用备选解决方案：

IBM POWER 上的 KVM 已被弃用

在 IBM POWER 硬件中使用 KVM 虚拟化已被弃用。因此，RHEL 8 仍支持 IBM POWER 上的 KVM，但在以后的 RHEL 主发行版本中将不被支持。

使用基于 SHA1 的签名进行 SecureBoot 镜像验证已弃用

在 UEFI（PE/COFF）可执行文件中使用基于 SHA1 的签名执行 SecureBoot 镜像验证已过时。红帽建议改为使用基于 SHA-2 算法或更新算法的签名。

使用 SPICE 将智能卡读取器附加到虚拟机已被弃用

SPICE 远程显示协议已在 RHEL 8 中被弃用。由于将智能卡读取器附加到虚拟机(VM)的唯一方法取决于 SPICE 协议，因此在虚拟机中使用智能卡已在 RHEL 8 中被弃用。

基于 RDMA 的实时迁移已弃用

有了这个更新，使用 Remote Direct Memory Access (RDMA)迁移正在运行的虚拟机已被弃用。因此，仍可以使用 rdma:// 迁移 URI 来通过 RDMA 请求迁移，但这个功能将在以后的 RHEL 主发行版本中不被支持。

GIMP flatpak 和 GIMP 模块已弃用

GIMP flatpak 和 GIMP 模块（代表 GNU Image Manipulation Program for raster 图形）现在都标记为已弃用，因为 Python 2 生命周期(EOL)结束，将在下一个主 RHEL 发行版本中删除。作为替换，您可以根据 Python 3 使用上游 flatpak 版本。

基于 Podman varlink 的 API v1.0 已被删除

基于 Podman varlink 的 API v1.0 在之前的 RHEL 8 版本中已弃用。podman v2.0 引入了一个新的 Podman v2.0 RESTful API。Podman v3.0 发行版本中，基于 varlink 的 API v1.0 已被完全删除。

container-tools:1.0 已弃用

container-tools:1.0 模块已弃用，将不再接收安全更新。建议您使用较新支持的稳定模块流，如 container-tools:2.0 或 container-tools:3.0。

container-tools:2.0 模块已被弃用

container-tools:2.0 模块已被弃用，并将不再接受安全更新。建议您使用更新的支持的稳定模块流，如 container-tools:3.0。

除了 GIMP ，Flatpak 镜像已弃用

rhel8/firefox-flatpak,rhel8/thunderbird-flatpak,rhel8/inkscape-flatpak 和 rhel8/libreoffice-flatpak RHEL 8 Flatpak 应用程序已被弃用，并被 RHEL 9 版本替代。rhel8/gimp-flatpak Flatpak 应用程序已被弃用，因为在 RHEL 9 中还没有替代品。

CNI 网络堆栈已弃用

容器网络接口 (CNI)网络堆栈已弃用，并将在以后 RHEL 次要发行本中从 Podman 中删除。在以前的版本中，容器只能通过 DNS 连接到单个 Container Network Interface (CNI)插件。podman v.4.0 引入了一个新的 Netavark 网络堆栈。您可以将 Netavark 网络堆栈与 Podman 和其他Open Container Initiative(OCI)容器管理应用程序一起使用。Podman 的 Netavark 网络堆栈也与高级 Docker 功能兼容。多个网络中的容器可以访问任何这些网络上的容器。

container-tools:3.0 已弃用

container-tools:3.0 模块已弃用，将不再接收安全更新。要继续在 RHEL 上构建并运行 Linux 容器，请使用较新的、稳定且受支持的模块流，如 container-tools:4.0。

rhel8/openssl 已被弃用

rhel8/openssl 容器镜像已被弃用。

Inkscape 和 LibreOffice Flatpak 镜像已弃用

作为技术预览提供的 rhel9/inkscape-flatpak 和 rhel9/libreoffice-flatpak Flatpak 镜像已被弃用。

pasta 作为网络名称已被弃用

对 pasta 作为网络名称值的支持已弃用，且在下一个 Podman 的主发行版（版本 5.0）中不被接受。您可以使用 podman run --network 和 podman create --network 命令，使用 pasta 网络名称值在 Podman 中创建唯一的网络模式。

BoltDB 数据库后端已弃用

从 RHEL 8.10 开始，BltDB 数据库后端已弃用。在以后的 RHEL 版本中，BoltDB 数据库后端将被删除，并将不再提供给 Podman。对于 Podman，使用 SQLite 数据库后端，这是 RHEL 8.10 的默认后端。

CNI 网络堆栈已弃用

Container Network Interface (CNI)网络堆栈已弃用，并将在以后的发行版本中删除。使用 Netavark 网络堆栈替代。如需更多信息，请参阅 将网络堆栈从 CNI 切换到 Netavark。

container-tools:4.0 已弃用

container-tools:4.0 模块已弃用，将不再接收安全更新。要继续在 RHEL 上构建并运行 Linux 容器，请使用更新的、稳定的和支持的模块流 container-tools:rhel8。

在 IBM Z 上安装 RHEL 时，udev 不会为 FID 枚举的 RoCE 卡分配可预测的接口名称

如果您使用 net.naming-scheme=rhel-8.7 内核命令行选项启动 RHEL 8.7 或更高版本的安装，则 RHEL 安装介质中的 udev 设备管理器会忽略由功能标识符(FID)枚举的 RoCE 卡的此设置。因此，udev 为这些设备分配无法预计的接口名称。在安装过程中没有临时解决方案，但您可以在安装后配置该功能。详情请查看 IBM Z 平台上确定可预测的 RoCE 设备名称。

在具有 LPAR 并启用了 secure boot 的 IBM Power 10 系统上安装失败

RHEL 安装程序没有与 IBM Power 10 系统上静态密钥安全引导集成。因此，当使用 secure 引导选项启用逻辑分区(LPAR)时，安装会失败并显示错误，Unable to proceed with RHEL-x.x Installation。

在 Anaconda 作为应用程序运行的系统中意外 SELinux 策略

当 Anaconda 作为应用程序运行在已安装的系统上（例如，使用 -image anaconda 选项对镜像文件执行另一次安装）时，不禁止系统在安装过程中修改 SELinux 类型和属性。因此，某些 SELinux 策略的元素可能会在运行Anaconda 的系统上发生更改。

auth 和 authconfig Kickstart 命令需要 AppStream 软件仓库

auth 和 authconfig Kickstart 命令在安装过程中需要 authselect-compat 软件包。如果没有这个软件包，如果使用了 auth 或 authconfig，则安装会失败。但根据设计，authselect-compat 软件包只包括在 AppStream 仓库中。

reboot --kexec 和 inst.kexec 命令不提供可预测的系统状态

使用 reboot --kexec Kickstart 命令或 inst.kexec 内核引导参数执行 RHEL 安装不会提供与完全重启相同的可预期系统状态。因此，在不重启的情况下切换安装的系统可能会导致无法预计的结果。

USB CD-ROM 驱动器作为 Anaconda 中的安装源不可用

当源为 USB CD-ROM 驱动器，并且指定了 Kickstart ignoredisk --only-use= 命令时，安装会失败。在这种情况下，Anaconda 无法找到并使用这个源磁盘。

在安装程序中不默认启用网络访问

几个安装功能需要网络访问，例如：使用 Content Delivery Network(CDN)、NTP 服务器支持和网络安装源注册系统。但默认情况下不启用网络访问，因此在启用网络访问前无法使用这些功能。

带有 iso9660 文件系统的硬盘分区安装失败

您不能在使用 iso9660 文件系统进行分区的系统中安装 RHEL。这是因为将设置为忽略包含 iso9660 文件系统分区的硬盘的更新安装代码。即使在没有使用 DVD 的情况下安装 RHEL，也会发生这种情况。

HASH MMU 模式的 IBM Power 系统无法引导，并显示内存分配失败

具有 HASH 内存分配单元(MMU) 模式的 IBM Power Systems 最多支持 192 个核的 kdump 。因此，如果在超过 192 个核上启用了 kdump，则系统会无法引导，显示内存分配失败。这个限制是因为 HASH MMU 模式下早期引导过程中的 RMA 内存分配。要临时解决这个问题，请使用启用了 fadump 的 Radix MMU 模式，而不是使用 kdump。

RHEL for Edge 安装程序镜像在安装 rpm-ostree 有效负载时无法创建挂载点

当部署 rpm-ostree 有效负载时，例如在 RHEL for Edge 安装程序镜像中，安装程序不会为自定义分区正确创建一些挂载点。因此，安装会中止，并报以下错误：

使用 stig 配置集补救构建的镜像无法引导，并显示 FIPS 错误

RHEL 镜像构建器不支持 FIPS 模式。当使用由 xccdf_org.ssgproject.content_profile_stig 配置文件补救自定义的 RHEL 镜像构建器时，系统无法引导，并显示以下错误：

OpenSC 可能无法正确检测 CardOS V5.3 卡对象

OpenSC 工具包没有正确地从某些 CardOS V5.3 卡中使用的不同的 PKCS #15 文件偏移中读取缓存。因此，OpenSC 可能无法列出卡对象，并防止从不同的应用程序使用它们。

sshd -T 提供关于 Ciphers、MAC 和 KeX 算法的不准确的信息

sshd -T 命令的输出不包含系统范围的加密策略配置或可能来自于环境文件 /etc/sysconfig/sshd 的其他选项，它们作为 sshd 命令的参数被应用。这种情况的发生是因为上游 OpenSSH 项目不支持 Include 指令，以支持 RHEL 8 中红帽提供的加密默认值。在使用 EnvironmentFile 启动sshd.service 单元服务的过程中，加密策略作为命令行参数被应用到 sshd 可执行文件中。要临时解决这个问题，请对环境文件使用 source 命令，并将加密策略作为参数传给 sshd 命令，如 sshd -T $CRYPTO_POLICY 。如需更多信息，请参阅 Ciphers、MAC 或 KeX 算法与 sshd -T 的不同，以了解当前加密策略级别所提供的内容。因此，sshd -T 的输出与当前配置的加密策略匹配。

在安装过程中强化系统时，RHV hypervisor 可能无法正常工作

安装 Red Hat Virtualization Hypervisor (RHV-H)并应用 Red Hat Enterprise Linux 8 STIG 配置文件时，OCAP Anaconda 附加组件可能会将系统强化为 RHEL 而不是 RVH-H，并删除 RHV-H 的基本软件包。因此，RHV hypervisor 可能无法正常工作。要临时解决这个问题，请在不应用任何配置文件强化的情况下安装 RHV-H 系统，并在安装完成后使用 OpenSCAP 来应用配置文件。因此，RHV hypervisor 可以正常工作。

CVE OVAL 提要现在仅采用压缩格式，并且数据流不采用 SCAP 1.3 标准

红帽提供 bzip2 压缩格式的 CVE OVAL 提要，且不再以 XML 文件格式提供。因为引用压缩的内容没有在安全内容自动化协议(SCAP) 1.3 规范中标准化，所以第三方 SCAP 扫描程序可能在扫描使用提要的规则时有问题。

某些 Rsyslog 优先级字符串无法正常工作

对允许对加密进行精细控制的 imtcp 的 GnuTLS 优先级字符串的支持不完整。因此，以下优先级字符串无法在 Rsyslog 远程日志记录应用程序中正常工作：

Server with GUI 和 Workstation 安装可能无法使用 CIS 服务器配置文件

CIS Server Level 1 和 Level 2 安全配置文件与 Server with GUI 和 Workstation 软件选择不兼容。因此，无法使用 Server with GUI 软件选择和 CIS Server 配置文件进行 RHEL 8 安装。使用 CIS Server Level 1 或 Level 2 配置以及这些软件选择之一尝试安装会产生错误信息：

在 Kickstart 安装过程中修复与服务相关的规则可能会失败

在 Kickstart 安装过程中，OpenSCAP 有时会错误地显示不需要服务 启用或禁用 状态补救。因此，OpenSCAP 可能会将安装的系统上的服务设置为不合规的状态。作为临时解决方案，您可以在 Kickstart 安装后扫描并修复该系统。这可以解决与服务相关的问题。

Kickstart 在 RHEL 8 中使用 org_fedora_oscap 而不是 com_redhat_oscap

Kickstart 将 Open Security Content Automation Protocol(OSCAP)Anaconda 附加组件引用为 org_fedora_oscap 而不是 com_redhat_oscap，后者可能会导致混淆。对于保持与 Red Hat Enterprise Linux 7 的兼容性，这是必需的。

libvirt overrides xccdf_org.ssgproject.content_rule_sysctl_net_ipv4_conf_all_forwarding

当具有 route 或 nat 转发模式的虚拟网络启动时，libvirt 虚拟化框架都会启用 IPv4 转发。这会通过 xccdf_org.ssgproject.content_rule_sysctl_net_ipv4_conf_all_forwarding 规则覆盖配置，后续合规性扫描在评估此规则时会报告fail结果。

fapolicyd 工具错误地允许执行更改的文件

在对文件进行任何更改后，文件的 IMA 哈希应该正确更新，fapolicyd 应该阻止更改的文件的执行。但是，这不会因为 IMA 策略设置与通过 evctml 程序哈希的文件中的差异而发生。因此，IMA 哈希没有在更改的文件的扩展属性中被更新。因此，fapolicyd 错误地允许更改的文件的执行。

semanage fcontext 命令重新排序本地修改

semanage fcontext -l -C 命令列出存储在 file_contexts.local 文件中的本地文件上下文修改。restorecon 工具处理 file_contexts.local 中从最新到最旧的条目。但是 semanage fcontext -l -C 以不同顺序列出条目。处理顺序和列出顺序之间的不匹配可能导致在管理 SELinux 规则时出现问题。

FIPS 模式中的 openssl 只接受特定的 D-H 参数

在 FIPS 模式中，使用 OpenSSL 的 TLS 客户端返回一个 bad dh value 错误，并取消与使用手动生成的参数的服务器的 TLS 连接。这是因为 OpenSSL 当配置为符合 FIPS 140-2 时，只可用于符合 NIST SP 800-56A rev3 附加 D（RFC 3526 中定义的组 14、15、16、17 和 18，以及 RFC 7919）中定义的组。另，,使用 OpenSSL 的服务器会忽略所有其他参数，并选择类似大小的已知参数。要临时解决这个问题，请只使用兼容的组。

crypto-policies 错误地允许 Camellia 密码

RHEL 8 系统范围的加密策略应该在所有策略级别禁用 Camellia 密码，如产品文档中所述。但是 Kerberos 协议默认启用密码。

通过 OpenSC pkcs15-init 的智能卡配置过程无法正常工作

file_caching 选项在默认的 OpenSC 配置中是启用的，文件缓存功能无法正确处理pkcs15-init 工具中的一些命令。因此，通过 OpenSC 进行智能卡置备过程会失败。

到带有 SHA-1 签名的服务器的连接无法使用 GnuTLS

GnuTLS 安全通讯库以 insecure 形式拒绝 SHA-1 证书签名。因此，使用 GnuTLS 作为 TLS 后端的应用程序无法建立与提供此类证书的对等的 TLS 连接。这个行为与其他系统加密库不一致。

libselinux-python 只能通过其模块提供

libselinux-python 软件包只包含用于开发 SELinux 应用程序的 Python 2 绑定，它用于向后兼容。因此，通过 yum install libselinux-python 命令，默认的 RHEL 8 软件仓库中不再提供 libselinux-python。

UDICA 仅在使用 --env container=podman 启动时才会处理 UBI 8 容器

Red Hat Universal Base Image 8(UBI 8)容器将 container 环境变量设置为 oci 值，而不是 podman 值。这可以防止 udica 工具分析容器 JavaScript Object Notation(JSON)文件。

默认日志设置在性能上的负面影响

默认日志环境设置可能会消耗 4 GB 内存甚至更多，当 systemd-journald 使用 rsyslog 运行时，速率限制值的调整会很复杂。

/etc/selinux/config 中的SELINUX=disabled 无法正常工作