8.0 Notas de la versión

Se ha añadido una interfaz de cortafuegos a la consola web

La página Networking de la consola web de RHEL 8 incluye ahora una sección Firewall. En esta sección, los usuarios pueden activar o desactivar el cortafuegos, así como añadir, eliminar y modificar las reglas del mismo.

La consola web está ahora disponible por defecto

Los paquetes para la consola web de RHEL 8, también conocida como Cockpit, son ahora parte de los repositorios por defecto de Red Hat Enterprise Linux, y por lo tanto pueden ser instalados inmediatamente en un sistema RHEL 8 registrado.

Mejor integración de IdM para la consola web

Si su sistema está inscrito en un dominio de gestión de identidades (IdM), la consola web de RHEL 8 utiliza ahora por defecto los recursos IdM gestionados de forma centralizada del dominio. Esto incluye las siguientes ventajas:

La consola web es ahora compatible con los navegadores móviles

Con esta actualización, los menús y las páginas de la consola web se pueden navegar en variantes de navegadores móviles. Esto hace posible la gestión de sistemas mediante la consola web de RHEL 8 desde un dispositivo móvil.

La página principal de la consola web muestra ahora las actualizaciones y suscripciones que faltan

Si un sistema gestionado por la consola web de RHEL 8 tiene paquetes obsoletos o una suscripción caducada, ahora se muestra una advertencia en la página principal de la consola web del sistema.

La consola web ahora admite la inscripción de PBD

Con esta actualización, puede utilizar la interfaz de la consola web de RHEL 8 para aplicar reglas de descifrado basadas en políticas (PBD) a los discos de los sistemas gestionados. Esto utiliza el cliente de descifrado Clevis para facilitar una serie de funciones de gestión de la seguridad en la consola web, como el desbloqueo automático de las particiones de disco cifradas con LUKS.

Las máquinas virtuales se pueden gestionar ahora mediante la consola web

Ahora se puede añadir la página de máquinas vir tuales a la interfaz de la consola web de RHEL 8, que permite al usuario crear y gestionar máquinas virtuales basadas en libvirt.

La instalación de RHEL desde un DVD utilizando SE y HMC es ahora totalmente compatible con IBM Z

La instalación de Red Hat Enterprise Linux 8 en el hardware IBM Z desde un DVD usando Support Element (SE) y Hardware Management Console (HMC) es ahora totalmente compatible. Esta adición simplifica el proceso de instalación en IBM Z con SE y HMC.

El instalador ahora es compatible con el formato de cifrado de disco LUKS2

El instalador de Red Hat Enterprise Linux 8 ahora utiliza el formato LUKS2 por defecto, pero puede seleccionar una versión LUKS desde la ventana Anaconda’s Custom Partitioning o utilizando las nuevas opciones en los comandos autopart, logvol, part y RAID de Kickstart.

Anaconda admite el propósito del sistema en RHEL 8

Anteriormente, Anaconda no proporcionaba información sobre el propósito del sistema a Subscription Manager. En Red Hat Enterprise Linux 8.0, puede establecer el propósito del sistema durante la instalación utilizando la ventana Propósito del sistema de Anaconda’s o el comando syspurpose de Kickstart. Cuando la instalación se completa, Subscription Manager utiliza la información de propósito del sistema cuando se suscribe el sistema.

Pykickstart es compatible con System Purpose en RHEL 8

Anteriormente, no era posible que la biblioteca pykickstart proporcionara información sobre el propósito del sistema a Subscription Manager. En Red Hat Enterprise Linux 8.0, pykickstart analiza el nuevo comando syspurpose y registra el propósito del sistema durante la instalación automatizada y parcialmente automatizada. La información se pasa a Anaconda, se guarda en el sistema recién instalado y está disponible para Subscription Manager cuando se suscribe el sistema.

Anaconda soporta un nuevo parámetro de arranque del kernel en RHEL 8

Anteriormente, sólo se podía especificar un repositorio base desde los parámetros de arranque del kernel. En Red Hat Enterprise Linux 8, un nuevo parámetro del kernel, inst.addrepo=<name>,<url>, le permite especificar un repositorio adicional durante la instalación.

Anaconda soporta una ISO unificada en RHEL 8

En Red Hat Enterprise Linux 8.0, una ISO unificada carga automáticamente los repositorios fuente de instalación de BaseOS y AppStream.

Anaconda puede instalar paquetes modulares en scripts Kickstart

El instalador de Anaconda se ha ampliado para manejar todas las características relacionadas con los flujos de aplicaciones: módulos, flujos y perfiles. Los scripts Kickstart pueden ahora habilitar combinaciones de módulos y flujos, instalar perfiles de módulos e instalar paquetes modulares. Para más información, vea Cómo realizar una instalación avanzada de RHEL.

La opción de arranque nosmt está ahora disponible en las opciones de instalación de RHEL 8

La opción de arranque nosmt está disponible en las opciones de instalación que se pasan a un sistema RHEL 8 recién instalado.

RHEL 8 soporta la instalación desde un repositorio en un disco duro local

Anteriormente, la instalación de RHEL desde un disco duro requería una imagen ISO como fuente de instalación. Sin embargo, la imagen ISO de RHEL 8 puede ser demasiado grande para algunos sistemas de archivos; por ejemplo, el sistema de archivos FAT32 no puede almacenar archivos de más de 4 GiB.

La creación de imágenes de sistema personalizadas con Image Builder está disponible en RHEL 8

La herramienta Image Builder permite a los usuarios crear imágenes RHEL personalizadas. Image Builder está disponible en AppStream en el paquete lorax-composer paquete.

Versión del núcleo en RHEL 8.0

Red Hat Enterprise Linux 8.0 se distribuye con la versión 4.18.0-80 del kernel.

Ya está disponible el direccionamiento físico ARM de 52 bits

Con esta actualización, se dispone de soporte para el direccionamiento físico (PA) de 52 bits para la arquitectura ARM de 64 bits. Esto proporciona un mayor espacio de direcciones que el anterior PA de 48 bits.

El código IOMMU soporta tablas de páginas de 5 niveles en RHEL 8

El código de la unidad de gestión de memoria de E/S (IOMMU) en el kernel de Linux ha sido actualizado para soportar tablas de páginas de 5 niveles en Red Hat Enterprise Linux 8.

Soporte para la paginación de 5 niveles

Se ha añadido un nuevo tipo de tabla de páginas de software P4d_t en el kernel de Linux para soportar la paginación de 5 niveles en Red Hat Enterprise Linux 8.

La gestión de la memoria admite tablas de páginas de 5 niveles

Con Red Hat Enterprise Linux 7, el bus de memoria existente tenía 48/46 bits de capacidad de direccionamiento de memoria virtual/física, y el kernel de Linux implementó 4 niveles de tablas de páginas para gestionar estas direcciones virtuales a direcciones físicas. La línea de direccionamiento del bus físico puso la capacidad límite superior de la memoria física en 64 TB.

kernel-signing-ca. cer se traslada a kernel-core en RHEL 8

En todas las versiones de Red Hat Enterprise Linux 7, la clave pública kernel-signing-ca.cer se encontraba en el paquete kernel-doc. Sin embargo, en Red Hat Enterprise Linux 8, kernel-signing-ca.cer se ha reubicado en el paquete kernel-core para todas las arquitecturas.

La mitigación de Spectre V2 ha cambiado por defecto de IBRS a Retpolines

La mitigación por defecto para la vulnerabilidad Spectre V2 (CVE-2017-5715) para los sistemas con los procesadores Intel Core de 6ª generación y sus derivados cercanos [1] ha cambiado de Especulación restringida de rama indirecta (IBRS) a Retpolines en Red Hat Enterprise Linux 8. Red Hat ha implementado este cambio como resultado de las recomendaciones de Intel para alinearse con los valores por defecto utilizados en la comunidad Linux y para restaurar el rendimiento perdido. Sin embargo, tenga en cuenta que el uso de Retpolines en algunos casos puede no mitigar completamente Spectre V2. El documento de Retpoline de Intel [2] describe algunos casos de exposición. Este documento también afirma que el riesgo de un ataque es bajo.

Software de host Intel® Omni-Path Architecture (OPA)

El software de host Intel Omni-Path Architecture (OPA) es totalmente compatible con Red Hat Enterprise Linux 8.

NUMA soporta más nodos en RHEL 8

Con esta actualización, el número de nodos de acceso a memoria no uniforme (NUMA) se ha incrementado de 4 nodos NUMA a 8 nodos NUMA en Red Hat Enterprise Linux 8 en sistemas con arquitectura ARM de 64 bits.

El passthrough de IOMMU está ahora habilitado por defecto en RHEL 8

La unidad de gestión de memoria de entrada/salida (IOMMU) se ha activado por defecto. Esto proporciona un mejor rendimiento para los sistemas AMD, ya que la reasignación de acceso directo a la memoria (DMA) está deshabilitada para el host. Esta actualización aporta coherencia con los sistemas Intel, en los que la reasignación DMA también está desactivada por defecto. Los usuarios pueden desactivar este comportamiento (y activar la reasignación DMA) especificando los parámetros iommu.passthrough=off o iommu=nopt en la línea de comandos del kernel, incluyendo el hipervisor.

El kernel de RHEL8 ahora soporta tablas de páginas de 5 niveles

El kernel de Red Hat Enterprise Linux es ahora totalmente compatible con los futuros procesadores Intel con hasta 5 niveles de tablas de páginas. Esto permite a los procesadores soportar hasta 4PB de memoria física y 128PB de espacio de direcciones virtuales. Las aplicaciones que utilizan grandes cantidades de memoria pueden ahora utilizar toda la memoria posible proporcionada por el sistema sin las restricciones de las tablas de páginas de 4 niveles.

El kernel de RHEL8 es compatible con el IBRS mejorado para las futuras CPU de Intel

El kernel de Red Hat Enterprise Linux ahora soporta el uso de la capacidad mejorada de Especulación Restringida de Rama Indirecta (IBRS) para mitigar la vulnerabilidad Spectre V2. Cuando se habilita, IBRS funcionará mejor que Retpolines (por defecto) para mitigar Spectre V2 y no interferirá con la tecnología Intel Control-flow Enforcement. Como resultado, la penalización del rendimiento al activar la mitigación de Spectre V2 será menor en las futuras CPU de Intel.

se ha añadidobpftool para la inspección y manipulación de programas y mapas basados en eBPF

La utilidad bpftool, que sirve para inspeccionar y manipular de forma sencilla programas y mapas basados en el filtrado de paquetes de Berkeley ampliado (eBPF), ha sido añadida al kernel de Linux. bpftool forma parte del árbol de fuentes del kernel, y es proporcionada por el paquete bpftool, que se incluye como un subpaquete del paquete kernel.

Las fuentes de kernel-rt han sido actualizadas

Las fuentes de kernel-rt han sido actualizadas para utilizar el último árbol de fuentes del kernel de RHEL. El último árbol de fuentes del kernel utiliza ahora el conjunto de parches en tiempo real de la versión 4.18, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior.

YUM mejora del rendimiento y apoyo a los contenidos modulares

En Red Hat Enterprise Linux 8, la instalación de software está garantizada por la nueva versión de la herramienta YUM, que se basa en la tecnología DNF (YUM v4).

Características notables de RPM en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con RPM 4.14. Esta versión introduce muchas mejoras respecto a RPM 4.11, que está disponible en RHEL 7. Las características más notables incluyen:

RPM ahora valida todo el contenido del paquete antes de iniciar una instalación

En Red Hat Enterprise Linux 7, la utilidad RPM verificaba el contenido de la carga útil de los archivos individuales mientras los desempaquetaba. Sin embargo, esto es insuficiente por múltiples razones:

Cambios notables en el perfil recomendado de Tuned en RHEL 8

Con esta actualización, el perfil recomendado de Tuned (informado por el comando tuned-adm recommend ) se selecciona ahora en base a las siguientes reglas - la primera regla que coincida tiene efecto:

Los archivos producidos por named pueden escribirse en el directorio de trabajo

Anteriormente, el demonio named almacenaba algunos datos en el directorio de trabajo, que ha sido de sólo lectura en Red Hat Enterprise Linux. Con esta actualización, se han cambiado las rutas de los archivos seleccionados a subdirectorios, donde se permite la escritura. Ahora, los permisos por defecto del directorio Unix y SELinux permiten la escritura en el directorio. Los archivos distribuidos dentro del directorio siguen siendo de sólo lectura a named.

Las bases de datos Geolite han sido sustituidas por las bases de datos Geolite2

Las bases de datos Geolite que estaban presentes en Red Hat Enterprise Linux 7 fueron reemplazadas por las bases de datos Geolite2 en Red Hat Enterprise Linux 8.

Los registros de CUPS son manejados por journald

En RHEL 8, los registros de CUPS ya no se almacenan en archivos específicos dentro del directorio /var/log/cups, que se utilizaba en RHEL 7. En RHEL 8, todos los tipos de registros de CUPS se registran de forma centralizada en el demonio systemd journald junto con los registros de otros programas. Para acceder a los registros de CUPS, utilice el comando journalctl -u cups. Para más información, consulte Trabajar con los registros de CUPS.

Características notables de BIND en RHEL 8

RHEL 8 incluye BIND (Berkeley Internet Name Domain) en la versión 9.11. Esta versión del servidor DNS introduce múltiples novedades y cambios de características respecto a la versión 9.10.

El usuario nobody sustituye a nfsnobody

En Red Hat Enterprise Linux 7, lo había:

Sistemas de control de versiones en RHEL 8

RHEL 8 proporciona los siguientes sistemas de control de versiones:

Cambios notables en Subversion 1.10

Subversion 1.10 introduce una serie de nuevas características desde la versión 1.7 distribuida en RHEL 7, así como los siguientes cambios de compatibilidad:

Cambios notables en dstat

RHEL 8 se distribuye con una nueva versión de la herramienta dstat. Esta herramienta forma ahora parte del conjunto de herramientas Performance Co-Pilot (PCP). El archivo /usr/bin/dstat y el nombre del paquete dstat lo proporciona ahora el paquete pcp-system-tools.

Python 3 es la implementación de Python por defecto en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con Python 3.6. El paquete puede no estar instalado por defecto. Para instalar Python 3.6, utilice el comando yum install python3.

Los scripts de Python deben especificar la versión principal en los hashbangs en el momento de construir el RPM

En RHEL 8, se espera que los scripts ejecutables de Python utilicen hashbangs (shebangs) especificando explícitamente al menos la versión principal de Python.

Cambios notables en PHP

Red Hat Enterprise Linux 8 se distribuye con PHP 7.2. Esta versión introduce los siguientes cambios importantes con respecto a PHP 5.4, que está disponible en RHEL 7:

Cambios notables en Ruby

RHEL 8 ofrece Ruby 2.5, que introduce numerosas novedades y mejoras respecto a Ruby 2.0.0 disponible en RHEL 7. Los cambios más destacados son:

Cambios notables en Perl

Perl 5.26, distribuido con RHEL 8, introduce los siguientes cambios respecto a la versión disponible en RHEL 7:

Node.js nuevo en RHEL

Node.js, una plataforma de desarrollo de software para crear aplicaciones de red rápidas y escalables en el lenguaje de programación JavaScript, se ofrece por primera vez en RHEL. Anteriormente sólo estaba disponible como Colección de Software. RHEL 8 proporciona Node.js 10.

Cambios notables en SWIG

RHEL 8 incluye la versión 3.0 de Simplified Wrapper and Interface Generator (SWIG), que ofrece numerosas novedades, mejoras y correcciones de errores respecto a la versión 2.0 distribuida en RHEL 7. En particular, se ha implementado la compatibilidad con el estándar C 11. SWIG ahora también es compatible con Go 1.6, PHP 7, Octave 4.2 y Python 3.5.

Cambios notables en Apache httpd

RHEL 8 se distribuye con el servidor HTTP Apache 2.4.37. Esta versión introduce los siguientes cambios respecto a httpd disponible en RHEL 7:

El servidor web nginx nuevo en RHEL

RHEL 8 introduce nginx 1.14, un servidor web y proxy que soporta HTTP y otros protocolos, con un enfoque en la alta concurrencia, el rendimiento y el bajo uso de memoria. nginx estaba previamente disponible sólo como una Colección de Software.

Servidores de bases de datos en RHEL 8

RHEL 8 proporciona los siguientes servidores de bases de datos:

Cambios notables en MySQL 8.0

RHEL 8 se distribuye con MySQL 8.0, que proporciona, por ejemplo, las siguientes mejoras:

Cambios notables en MariaDB 10.3

MariaDB 10.3 aporta numerosas novedades respecto a la versión 5.5 distribuida en RHEL 7, como por ejemplo

Cambios notables en PostgreSQL

RHEL 8.0 proporciona dos versiones del servidor de bases de datos PostgreSQL, distribuidas en dos corrientes del módulo postgresql: PostgreSQL 10 (la corriente por defecto) y PostgreSQL 9.6. RHEL 7 incluye la versión 9.2 de PostgreSQL.

Cambios notables en Squid

RHEL 8.0 se distribuye con Squid 4.4, un servidor proxy de alto rendimiento para el almacenamiento en caché de los clientes web, que admite objetos de datos FTP, Gopher y HTTP. Esta versión ofrece numerosas novedades, mejoras y correcciones de errores respecto a la versión 3.5 disponible en RHEL 7.

Varnish Cache nuevo en RHEL

Varnish Cache, un proxy inverso HTTP de alto rendimiento, se proporciona por primera vez en RHEL. Anteriormente sólo estaba disponible como Colección de Software. Varnish Cache almacena archivos o fragmentos de archivos en memoria que se utilizan para reducir el tiempo de respuesta y el consumo de ancho de banda de la red en futuras peticiones equivalentes. RHEL 8.0 se distribuye con Varnish Cache 6.0.

GNOME Shell, versión 3.28 en RHEL 8

GNOME Shell, versión 3.28 está disponible en Red Hat Enterprise Linux (RHEL) 8. Las mejoras más destacadas son:

Wayland es el servidor de visualización por defecto

Con Red Hat Enterprise Linux 8, la sesión de GNOME y el Gestor de Pantalla de GNOME (GDM) utilizan Wayland como su servidor de pantalla por defecto en lugar del servidor X.org, que se utilizaba con la versión principal anterior de RHEL.

Localización de paquetes RPM que están en repositorios no habilitados por defecto

Los repositorios adicionales para el escritorio no están habilitados por defecto. La deshabilitación se indica con la línea enabled=0 en el archivo .repo correspondiente. Si intentas instalar un paquete desde dicho repositorio usando PackageKit, PackageKit muestra un mensaje de error anunciando que la aplicación no está disponible. Para hacer que el paquete esté disponible, sustituya la línea enabled=0 utilizada anteriormente en el archivo . repo correspondiente por enabled=1.

GNOME Sofware para la gestión de paquetes

El paquete gnome-packagekit que proporcionaba una colección de herramientas para la gestión de paquetes en entorno gráfico en Red Hat Enterprise Linux 7 ya no está disponible. En Red Hat Enterprise Linux 8, una funcionalidad similar es proporcionada por la utilidad GNOME Software, que permite instalar y actualizar aplicaciones y extensiones de gnome-shell. GNOME Software se distribuye en el paquete gnome-software.

Escala fraccionaria disponible para GNOME Shell en Wayland

En una sesión de GNOME Shell on Wayland, está disponible la función de escalado fraccionario. Esta función permite escalar la GUI por fracciones, lo que mejora el aspecto de la GUI escalada en determinadas pantallas.

Las actualizaciones de firmware mediante fwupd están disponibles

RHEL 8 admite actualizaciones de firmware, como la cápsula UEFI, la actualización del firmware del dispositivo (DFU) y otras, mediante el demonio fwupd. El demonio permite que el software de sesión actualice el firmware del dispositivo en una máquina local de forma automática.

El modo de memoria para la tecnología Optane DC Persistent Memory es totalmente compatible

Los dispositivos de almacenamiento de memoria persistente Intel Optane DC proporcionan una tecnología de memoria persistente de clase de centro de datos, que puede aumentar significativamente el rendimiento de las transacciones.

Nuevas comprobaciones de la sintaxis de las contraseñas en el servidor de directorios

Esta mejora añade nuevas comprobaciones de la sintaxis de las contraseñas a Directory Server. Los administradores pueden ahora, por ejemplo, habilitar las comprobaciones de diccionario, permitir o denegar el uso de secuencias de caracteres y palíndromos. Como resultado, si se habilita, la comprobación de la sintaxis de la política de contraseñas en Directory Server impone contraseñas más seguras.

El Servidor de directorios ofrece ahora un soporte mejorado para el registro de operaciones internas

Varias operaciones en Directory Server, iniciadas por el servidor y los clientes, provocan operaciones adicionales en segundo plano. Anteriormente, el servidor sólo registraba para las operaciones internas la palabra clave Internal connection, y el ID de la operación siempre se establecía en -1. Con esta mejora, Directory Server registra la conexión real y el ID de la operación. Ahora se puede rastrear la operación interna hasta la operación del servidor o del cliente que causó esta operación.

La biblioteca tomcatjss soporta la comprobación de OCSP utilizando el respondedor de la extensión AIA

Con esta mejora, la biblioteca tomcatjss admite la comprobación del Protocolo de Estado de Certificados en Línea (OCSP) utilizando la respuesta de la extensión de Acceso a la Información de la Autoridad (AIA) de un certificado. Como resultado, los administradores de Red Hat Certificate System pueden ahora configurar la comprobación OCSP que utiliza la URL de la extensión AIA.

Los comandos pki subsystem-cert-find y pki subsystem-cert-show muestran ahora el número de serie de los certificados

Con esta mejora, los comandos pki subsystem-cert-find y pki subsystem-cert-show de Certificate System muestran el número de serie de los certificados en su salida. El número de serie es un dato importante y a menudo es necesario para otros muchos comandos. Por tanto, ahora es más fácil identificar el número de serie de un certificado.

Los comandos pki user y pki group han quedado obsoletos en Certificate System

Con esta actualización, los nuevos comandos pki <subsystem>-user y pki <subsystem>-group sustituyen a los comandos pki user y pki group en Certificate System. Los comandos sustituidos siguen funcionando, pero muestran un mensaje de que el comando está obsoleto y hacen referencia a los nuevos comandos.

El sistema de certificados ahora permite la renovación sin conexión de los certificados del sistema

Con esta mejora, los administradores pueden utilizar la función de renovación sin conexión para renovar los certificados de sistema configurados en Certificate System. Cuando un certificado de sistema caduca, Certificate System no se inicia. Gracias a esta mejora, los administradores ya no necesitan soluciones para sustituir un certificado de sistema caducado.

El Sistema de Certificados ahora puede crear CSRs con extensión SKI para la firma de CAs externas

Con esta mejora, Certificate System admite la creación de una solicitud de firma de certificado (CSR) con la extensión del identificador de clave del sujeto (SKI) para la firma de una autoridad de certificación (CA) externa. Algunas CA requieren esta extensión con un valor determinado o derivado de la clave pública de la CA. Como resultado, los administradores pueden ahora utilizar el parámetro pki_req_ski en el archivo de configuración pasado a la utilidad pkispawn para crear una CSR con extensión SKI.

SSSD ya no utiliza el valor fallback_homedir de la sección [nss ] como fallback para los dominios AD

Antes de RHEL 7.7, el parámetro fallback_homedir de SSSD en un proveedor de Active Directory (AD) no tenía ningún valor por defecto. Si fallback_homedir no se establecía, SSSD utilizaba en su lugar el valor del mismo parámetro de la sección [nss] del archivo /etc/sssd/sssd.conf. Para aumentar la seguridad, SSSD en RHEL 7.7 introdujo un valor por defecto para fallback_homedir. Como consecuencia, SSSD ya no recurre al valor establecido en la sección [nss]. Si desea utilizar un valor diferente al predeterminado para el parámetro fallback_homedir en un dominio AD, debe establecerlo manualmente en la sección del dominio.

SSSD ahora permite seleccionar uno de los múltiples dispositivos de autenticación de tarjetas inteligentes

Por defecto, el demonio de servicios de seguridad del sistema (SSSD) intenta detectar un dispositivo para la autenticación con tarjeta inteligente automáticamente. Si hay varios dispositivos conectados, SSSD selecciona el primero que detecta. En consecuencia, no puede seleccionar un dispositivo en particular, lo que a veces provoca fallos.

Los usuarios locales son cacheados por SSSD y servidos a través del módulo nss_sss

En RHEL 8, el demonio de servicios de seguridad del sistema (SSSD) sirve a los usuarios y grupos desde los archivos /etc/passwd y /etc/groups por defecto. El módulo sss nsswitch precede a los archivos en el archivo /etc/nsswitch.conf.

KCM sustituye a KEYRING como almacenamiento de caché de credenciales por defecto

En RHEL 8, el almacenamiento por defecto de la caché de credenciales es el Kerberos Credential Manager (KCM) que está respaldado por el deamon sssd-kcm. KCM supera las limitaciones del anteriormente utilizado KEYRING, como que es difícil de utilizar en entornos de contenedores porque no tiene espacio para nombres, y para ver y gestionar cuotas.

Los usuarios de Active Directory pueden ahora administrar la Gestión de Identidades

Con esta actualización, RHEL 8 permite añadir una anulación de ID de usuario para un usuario de Active Directory (AD) como miembro de un grupo de gestión de identidades (IdM). Una anulación de ID es un registro que describe cómo deben ser las propiedades de un usuario o grupo específico de AD dentro de una vista de ID específica, en este caso la vista de confianza predeterminada. Como consecuencia de la actualización, el servidor LDAP de IdM es capaz de aplicar las reglas de control de acceso del grupo de IdM al usuario de AD.

sssctl imprime un informe de reglas HBAC para un dominio IdM

Con esta actualización, la utilidad sssctl del demonio de servicios de seguridad del sistema (SSSD) puede imprimir un informe de control de acceso para un dominio de gestión de identidades (IdM). Esta función satisface la necesidad de ciertos entornos de ver, por motivos normativos, una lista de usuarios y grupos que pueden acceder a una máquina cliente específica. La ejecución de sssctl access-report domain_name en un cliente IdM imprime el subconjunto analizado de reglas de control de acceso basadas en host (HBAC) en el dominio IdM que se aplican a la máquina cliente.

Los paquetes de gestión de identidades están disponibles como módulo

En RHEL 8, los paquetes necesarios para instalar un servidor y un cliente de gestión de identidades (IdM) se suministran como un módulo. El flujo del cliente es el flujo predeterminado del módulo idm y puede descargar los paquetes necesarios para instalar el cliente sin habilitar el flujo.

Solución de grabación de sesiones para RHEL 8 añadida

Se ha añadido una solución de grabación de sesiones a Red Hat Enterprise Linux 8 (RHEL 8). Un nuevo paquete tlog y su reproductor de sesiones de consola web asociado permiten grabar y reproducir las sesiones de terminal de los usuarios. La grabación puede ser configurada por usuario o grupo de usuarios a través del servicio System Security Services Daemon (SSSD). Todas las entradas y salidas del terminal se capturan y almacenan en un formato basado en texto en un diario del sistema. La entrada está inactiva por defecto por razones de seguridad para no interceptar contraseñas en bruto y otra información sensible.

authselect simplifica la configuración de la autenticación de usuarios

Esta actualización introduce la utilidad authselect que simplifica la configuración de la autenticación de usuarios en los hosts RHEL 8, sustituyendo a la utilidad authconfig. authselect viene con un enfoque más seguro para la gestión de la pila PAM que hace que los cambios de configuración de PAM sean más sencillos para los administradores de sistemas. authselect se puede utilizar para configurar métodos de autenticación como contraseñas, certificados, tarjetas inteligentes y huellas digitales. Tenga en cuenta que authselect no configura los servicios necesarios para unirse a dominios remotos. Esta tarea la realizan herramientas especializadas, como realmd o ipa-client-install.

SSSD ahora aplica los GPO de AD por defecto

La configuración por defecto de la opción de SSSD ad_gpo_access_control es ahora enforcing. En RHEL 8, SSSD aplica por defecto las reglas de control de acceso basadas en los objetos de política de grupo (GPO) de Active Directory.

Boost actualizado a la versión 1.66

La biblioteca C Boost ha sido actualizada a la versión 1.66. La versión de Boost incluida en Red Hat Enterprise Linux 7 es la 1.53. Para más detalles, consulte los registros de cambios de la versión anterior: https://www.boost.org/users/history/

Compatibilidad con Unicode 11.0.0

La biblioteca C del núcleo de Red Hat Enterprise Linux, glibc, ha sido actualizada para soportar el estándar Unicode versión 11.0.0. Como resultado, todas las APIs de caracteres anchos y multibyte, incluyendo la transliteración y la conversión entre conjuntos de caracteres, proporcionan información precisa y correcta conforme a este estándar.

El paquete boost es ahora independiente de Python

Con esta actualización, la instalación del paquete boost ya no instala la biblioteca Boost.Python como dependencia. Para utilizar Boost. Python, es necesario instalar explícitamente los paquetes boost-python3 o boost-python3-devel.

Un nuevo paquete compat-libgfortran-48 disponible

Para la compatibilidad con las aplicaciones de Red Hat Enterprise Linux 6 y 7 que utilizan la biblioteca Fortran, ahora está disponible un nuevo paquete de compatibilidad compat-libgfortran-48, que proporciona la biblioteca libgfortran.so.3.

Soporte de Retpoline en GCC

Esta actualización añade soporte para retpolines a GCC. Una retpoline es una construcción de software utilizada por el kernel para reducir la sobrecarga de la mitigación de los ataques Spectre Variant 2 descritos en CVE-2017-5715.

Mayor compatibilidad con la arquitectura ARM de 64 bits en los componentes de la cadena de herramientas

Los componentes de la cadena de herramientas, GCC y binutils, ofrecen ahora soporte ampliado para la arquitectura ARM de 64 bits. Por ejemplo:

Optimizaciones de glibc para sistemas IBM POWER

Esta actualización proporciona una nueva versión de glibc optimizada para las arquitecturas IBM POWER 8 e IBM POWER 9. Como resultado, los sistemas IBM POWER 8 e IBM POWER 9 ahora cambian automáticamente a la variante de glibc apropiada y optimizada en tiempo de ejecución.

La biblioteca C de GNU se ha actualizado a la versión 2.28

Red Hat Enterprise Linux 8 incluye la versión 2.28 de la biblioteca GNU C (glibc). Las mejoras más destacadas son:

CMake disponible en RHEL

El sistema de construcción CMake versión 3.11 está disponible en Red Hat Enterprise Linux 8 como el paquete cmake.

make versión 4.2.1

Red Hat Enterprise Linux 8 se distribuye con la herramienta make build versión 4.2.1. Los cambios notables incluyen:

SystemTap versión 4.0

Red Hat Enterprise Linux 8 se distribuye con la herramienta de instrumentación SystemTap versión 4.0. Las mejoras más destacadas son:

Mejoras en la versión 2.30 de binutils

Red Hat Enterprise Linux 8 incluye la versión 2.30 del paquete binutils. Las mejoras notables incluyen:

Performance Co-Pilot versión 4.3.0

Red Hat Enterprise Linux 8 se distribuye con Performance Co-Pilot (PCP) versión 4.3.0. Las mejoras notables incluyen:

Claves de protección de la memoria

Esta actualización habilita las características de hardware que permiten los cambios de bandera de protección de páginas por hilo. Se han añadido las nuevas envolturas de llamadas al sistema glibc para las funciones pkey_alloc(), pkey_free() y pkey_mprotect(). Además, se han añadido las funciones pkey_set() y pkey_get() para permitir el acceso a los indicadores de protección por hilo.

GCC ahora está por defecto en z13 en IBM Z

Con esta actualización, por defecto GCC en la arquitectura IBM Z construye código para el procesador z13, y el código se ajusta para el procesador z14. Esto equivale a utilizar las opciones -march=z13 y -mtune=z14. Los usuarios pueden anular este valor por defecto utilizando explícitamente las opciones para la arquitectura de destino y el ajuste.

elfutils actualizado a la versión 0.174

En Red Hat Enterprise Linux 8, el paquete elfutils está disponible en la versión 0.174. Los cambios notables incluyen:

Valgrind actualizado a la versión 3.14

Red Hat Enterprise Linux 8 se distribuye con la herramienta de análisis de código ejecutable Valgrind versión 3.14. Los cambios notables incluyen:

GDB versión 8.2

Red Hat Enterprise Linux 8 se distribuye con la versión 8.2 del depurador GDB:

la localización deglibc para RHEL se distribuye en varios paquetes

En RHEL 8, las localizaciones y traducciones de glibc ya no son proporcionadas por el paquete único glibc-common. En su lugar, cada configuración regional e idioma está disponible en un paquete glibc-langpack-CODE. Además, en la mayoría de los casos no se instalan todas las configuraciones regionales por defecto, sino sólo las seleccionadas en el instalador. Los usuarios deben instalar todos los paquetes de configuraciones regionales que necesiten por separado, o si lo desean pueden instalar glibc-all-langpacks para obtener el archivo de configuraciones regionales que contiene todas las configuraciones regionales de glibc instaladas como antes.

GCC versión 8.2

En Red Hat Enterprise Linux 8, la cadena de herramientas GCC está basada en la serie de versiones GCC 8.2. Los cambios notables incluyen:

El modo FIPS de la biblioteca criptográfica Go ahora respeta la configuración del sistema

Anteriormente, la biblioteca criptográfica estándar de Go siempre utilizaba su modo FIPS a menos que se deshabilitara explícitamente en el momento de construir la aplicación que utilizaba la biblioteca. Como consecuencia, los usuarios de aplicaciones basadas en Go no podían controlar si se utilizaba el modo FIPS. Con este cambio, la biblioteca no utiliza por defecto el modo FIPS cuando el sistema no está configurado en modo FIPS. Como resultado, los usuarios de aplicaciones basadas en Go en sistemas RHEL tienen más control sobre el uso del modo FIPS de la biblioteca criptográfica Go.

strace actualizado a la versión 4.24

Red Hat Enterprise Linux 8 se distribuye con la herramienta strace versión 4.24. Los cambios notables incluyen:

Conjunto de herramientas del compilador en RHEL 8

RHEL 8.0 proporciona los siguientes conjuntos de herramientas de compilación como flujos de aplicaciones:

Implementaciones y herramientas Java en RHEL 8

El repositorio de RHEL 8 AppStream incluye:

Cambio de la ABI de C en std::string y std::list

La interfaz binaria de aplicación (ABI) de las clases std::string y std::list de la biblioteca libstdc cambió entre RHEL 7 (GCC 4.8) y RHEL 8 (GCC 8) para ajustarse al estándar C 11. La biblioteca libstdc soporta tanto la antigua como la nueva ABI, pero algunas otras bibliotecas del sistema C no lo hacen. Como consecuencia, las aplicaciones que enlazan dinámicamente con estas bibliotecas tendrán que ser reconstruidas. Esto afecta a todos los modos estándar de C, incluyendo C 98. También afecta a las aplicaciones construidas con los compiladores de Red Hat Developer Toolset para RHEL 7, que mantuvieron la antigua ABI para mantener la compatibilidad con las bibliotecas del sistema.

Soporte para el Campo de Integridad de Datos/Extensión de Integridad de Datos (DIF/DIX)

DIF/DIX es compatible con las configuraciones en las que el proveedor de hardware lo ha calificado y proporciona soporte completo para el adaptador de bus de host (HBA) particular y la configuración de la matriz de almacenamiento en RHEL.

XFS ahora soporta extensiones de datos compartidos de copia en escritura

El sistema de archivos XFS soporta la funcionalidad de extensión de datos compartidos de copia en escritura. Esta función permite que dos o más archivos compartan un conjunto común de bloques de datos. Cuando alguno de los archivos que comparten bloques comunes cambia, XFS rompe el vínculo con los bloques comunes y crea un nuevo archivo. Esto es similar a la funcionalidad de copia en escritura (COW) que se encuentra en otros sistemas de archivos.

El tamaño máximo del sistema de archivos XFS es de 1024 TiB

El tamaño máximo soportado de un sistema de archivos XFS se ha incrementado de 500 TiB a 1024 TiB.

el sistema de archivosext4 ahora soporta la suma de comprobación de metadatos

Con esta actualización, los metadatos de ext4 están protegidos por sumas de comprobación. Esto permite que el sistema de archivos reconozca los metadatos corruptos, lo que evita daños y aumenta la resistencia del sistema de archivos.

VDO ahora es compatible con todas las arquitecturas

Virtual Data Optimizer (VDO) ya está disponible en todas las arquitecturas soportadas por RHEL 8.

El gestor de arranque BOOM simplifica el proceso de creación de entradas de arranque

BOOM es un gestor de arranque para sistemas Linux que utilizan cargadores de arranque compatibles con la especificación BootLoader para la configuración de entradas de arranque. Permite una configuración de arranque flexible y simplifica la creación de entradas de arranque nuevas o modificadas: por ejemplo, para arrancar imágenes instantáneas del sistema creadas mediante LVM.

LUKS2 es ahora el formato por defecto para encriptar volúmenes

En RHEL 8, el formato LUKS versión 2 (LUKS2) sustituye al formato LUKS heredado (LUKS1). El subsistema dm-crypt y la herramienta cryptsetup utilizan ahora LUKS2 como formato por defecto para los volúmenes cifrados. LUKS2 proporciona volúmenes encriptados con redundancia de metadatos y recuperación automática en caso de un evento de corrupción parcial de metadatos.

NVMe/FC es totalmente compatible con los adaptadores Broadcom Emulex y Marvell Qlogic Fibre Channel

El tipo de transporte NVMe sobre Canal de Fibra (NVMe/FC) es ahora totalmente compatible con el modo de iniciador cuando se utiliza con adaptadores Broadcom Emulex y Marvell Qlogic Fibre Channel de 32 Gbit que cuentan con soporte NVMe.

Nuevo ajuste de configuración de scan_lvs

Se ha añadido un nuevo ajuste en el archivo de configuración lvm.conf, scan_lvs, y se ha establecido en 0 por defecto. El nuevo comportamiento por defecto evita que LVM busque PVs que puedan existir encima de los LVs; es decir, no explorará los LVs activos en busca de más PVs. La configuración por defecto también evita que LVM cree PVs encima de los LVs.

Nueva sección de anulaciones del archivo de configuración de DM Multipath

El archivo /etc/multipath.conf incluye ahora una sección de anulaciones que le permite establecer un valor de configuración para todos sus dispositivos. Estos atributos son utilizados por DM Multipath para todos los dispositivos a menos que sean sobrescritos por los atributos especificados en la sección multipaths del archivo /etc/multipath.conf para las rutas que contienen el dispositivo. Esta funcionalidad sustituye al parámetro all_devs de la sección de dispositivos del archivo de configuración, que ya no es compatible.

Ahora se puede instalar y arrancar desde dispositivos NVDIMM

Antes de esta actualización, el instalador ignoraba los dispositivos de módulo de memoria dual no volátil (NVDIMM) en cualquier modo.

Se ha mejorado la detección de rutas marginales en DM Multipath

El servicio multipathd soporta ahora una mejor detección de rutas marginales. Esto ayuda a los dispositivos multipathd a evitar las rutas que pueden fallar repetidamente, y mejora el rendimiento. Las rutas marginales son rutas con errores de E/S persistentes pero intermitentes.

Programación de colas múltiples en dispositivos de bloque

Los dispositivos de bloque utilizan ahora la programación de colas múltiples en Red Hat Enterprise Linux 8. Esto permite que el rendimiento de la capa de bloque se adapte bien a las rápidas unidades de estado sólido (SSD) y a los sistemas multinúcleo.

Nuevos comandos pcs para listar los dispositivos de vigilancia disponibles y probar los dispositivos de vigilancia

Para configurar SBD con Pacemaker, se necesita un dispositivo de vigilancia que funcione. Esta versión admite el comando pcs stonith sbd watchdog list para enumerar los dispositivos de vigilancia disponibles en el nodo local, y el comando pcs stonith sbd watchdog test para probar un dispositivo de vigilancia. Para obtener información sobre la herramienta de línea de comandos sbd, consulte la página man de sbd(8).

El comando pcs ahora soporta el filtrado de fallos de recursos por una operación y su intervalo

Pacemaker ahora hace un seguimiento de los fallos de los recursos por una operación de recursos sobre un nombre de recurso, y un nodo. El comando pcs resource failcount show permite ahora filtrar los fallos por recurso, nodo, operación e intervalo. Proporciona una opción para mostrar los fallos agregados por un recurso y nodo o detallados por un recurso, nodo, operación y su intervalo. Además, el comando pcs resource cleanup permite ahora filtrar los fallos por un recurso, nodo, operación e intervalo.

Marcas de tiempo habilitadas en el registro de corosync

El registro de corosync no contenía anteriormente marcas de tiempo, lo que hacía difícil relacionarlo con los registros de otros nodos y demonios. Con esta versión, las marcas de tiempo están presentes en el registro de corosync.

Nuevos formatos para los comandos pcs cluster setup, pcs cluster node add y pcs cluster node remove

En Red Hat Enterprise Linux 8, pcs soporta completamente Corosync 3, knet y los nombres de nodo. Los nombres de nodo son ahora obligatorios y sustituyen a las direcciones de nodo en el papel de identificador de nodo. Las direcciones de nodo son ahora opcionales.

Nuevos comandos pcs

Red Hat Enterprise Linux 8 introduce los siguientes comandos nuevos.

Pacemaker 2.0.0 en RHEL 8

Los paquetes de pacemaker han sido actualizados a la versión upstream de Pacemaker 2.0.0, que proporciona una serie de correcciones de errores y mejoras respecto a la versión anterior:

Los recursos maestros han sido renombrados como recursos clonados promocionables

Red Hat Enterprise Linux (RHEL) 8 soporta Pacemaker 2.0, en el que un recurso maestro/esclavo ya no es un tipo de recurso separado sino un recurso clon estándar con un meta-atributo promocionable establecido a true. Se han implementado los siguientes cambios en apoyo de esta actualización:

Nuevos comandos para autenticar los nodos de un clúster

Red Hat Enterprise Linux (RHEL) 8 incorpora los siguientes cambios en los comandos utilizados para autenticar nodos en un cluster.

Los comandos pcs ahora soportan la visualización, limpieza y sincronización del historial de esgrima

El demonio de cercado de Pacemaker registra un historial de todas las acciones de cercado realizadas (pendientes, exitosas y fallidas). Con esta versión, los comandos pcs permiten a los usuarios acceder al historial de vallas de las siguientes maneras:

nftables sustituye a iptables como marco de filtrado de paquetes de red por defecto

El marco de trabajo nftables proporciona facilidades de clasificación de paquetes y es el sucesor designado de las herramientas iptables, ip6tables, arptables y ebtables. Ofrece numerosas mejoras en cuanto a comodidad, características y rendimiento con respecto a las herramientas de filtrado de paquetes anteriores, sobre todo:

Funciones TCP notables en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con la versión 4.18 de la pila de red TCP, que proporciona un mayor rendimiento, mejor escalabilidad y más estabilidad. El rendimiento se ha incrementado especialmente en el caso de servidores TCP ocupados con una alta tasa de conexiones de entrada.

firewalld utiliza nftables por defecto

Con esta actualización, el subsistema de filtrado nftables es el backend del cortafuegos por defecto para el demonio firewalld. Para cambiar el backend, utilice la opción FirewallBackend en el archivo /etc/firewalld/firewalld.conf.

Cambio notable en wpa_supplicant en RHEL 8

En Red Hat Enterprise Linux (RHEL) 8, el paquete wpa_supplicant se construye con CONFIG_DEBUG_SYSLOG activado. Esto permite leer el registro de wpa_supplicant utilizando la utilidad journalctl en lugar de comprobar el contenido del archivo /var/log/wpa_supplicant.log.

NetworkManager ahora soporta funciones virtuales SR-IOV

En Red Hat Enterprise Linux 8.0, NetworkManager permite configurar el número de funciones virtuales (VF) para interfaces que soportan la virtualización de E/S de raíz única (SR-IOV). Adicionalmente, NetworkManager permite configurar algunos atributos de las VFs, tales como la dirección MAC, la VLAN, el ajuste de comprobación de spoof y las tasas de bits permitidas. Tenga en cuenta que todas las propiedades relacionadas con SR-IOV están disponibles en la configuración de la conexión sriov. Para más detalles, consulte la página man de nm-settings(5).

Ahora se admiten los controladores de red virtual IPVLAN

En Red Hat Enterprise Linux 8.0, el kernel incluye soporte para los controladores de red virtual IPVLAN. Con esta actualización, las tarjetas de interfaz de red (NIC) virtuales IPVLAN permiten la conectividad de red para múltiples contenedores exponiendo una única dirección MAC a la red local. Esto permite que un solo host tenga muchos contenedores superando la posible limitación en el número de direcciones MAC soportadas por los equipos de red pares.

NetworkManager admite una coincidencia de nombre de interfaz con comodines para las conexiones

Anteriormente, era posible restringir una conexión a una interfaz determinada utilizando sólo una coincidencia exacta en el nombre de la interfaz. Con esta actualización, las conexiones tienen una nueva propiedad match.interface-name que admite comodines. Esta actualización permite a los usuarios elegir la interfaz para una conexión de una manera más flexible utilizando un patrón de comodines.

Mejoras en la pila de redes 4.18

Red Hat Enterprise Linux 8.0 incluye la pila de redes actualizada a la versión 4.18, que proporciona varias correcciones de errores y mejoras. Los cambios más destacados son:

Nuevas herramientas para convertir iptables en nftables

Esta actualización añade las herramientas iptables-translate e ip6tables-translate para convertir las reglas existentes de iptables o ip6tables en las equivalentes para nftables. Tenga en cuenta que algunas extensiones carecen de soporte de traducción. Si existe una extensión de este tipo, la herramienta imprime la regla no traducida precedida del signo #. Por ejemplo:

Nuevas funciones añadidas a la VPN mediante NetworkManager

En Red Hat Enterprise Linux 8.0, NetworkManager proporciona las siguientes nuevas características a la VPN:

Se añade un nuevo tipo de trozo de datos, I-DATA, a SCTP

Esta actualización añade un nuevo tipo de trozo de datos, I-DATA, y programadores de flujos al protocolo de transmisión de control de flujos (SCTP). Anteriormente, SCTP enviaba los mensajes de usuario en el mismo orden en que eran enviados por un usuario. En consecuencia, un mensaje de usuario SCTP de gran tamaño bloqueaba todos los demás mensajes de cualquier flujo hasta su envío completo. Cuando se utilizan trozos de I-DATA, el campo del número de secuencia de transmisión (TSN) no se sobrecarga. Como resultado, SCTP ahora puede programar los flujos de diferentes maneras, e I-DATA permite el intercalado de mensajes de usuario (RFC 8260). Tenga en cuenta que ambos pares deben soportar el tipo de chunk I-DATA.

NetworkManager admite la configuración de las funciones de descarga de ethtool

Con esta mejora, NetworkManager soporta la configuración de las características de descarga de ethtool, y los usuarios ya no necesitan usar scripts init o un script despachador de NetworkManager. Como resultado, los usuarios ahora pueden configurar la función de descarga como parte del perfil de conexión utilizando uno de los siguientes métodos:

Soporte de TCP BBR en RHEL 8

Un nuevo algoritmo de control de la congestión TCP, el ancho de banda del cuello de botella y el tiempo de viaje de ida y vuelta (BBR) es ahora compatible con Red Hat Enterprise Linux (RHEL) 8. BBR intenta determinar el ancho de banda del enlace cuello de botella y el tiempo de ida y vuelta (RTT). La mayoría de los algoritmos de congestión se basan en la pérdida de paquetes (incluyendo CUBIC, el algoritmo de control de congestión TCP de Linux por defecto), que tienen problemas en los enlaces de alto rendimiento. BBR no reacciona a los eventos de pérdida directamente, sino que ajusta la tasa de ritmo de TCP para que coincida con el ancho de banda disponible. Los usuarios de TCP BBR deberían cambiar a la configuración de colas fq en todas las interfaces implicadas.

lksctp-tools, versión 1.0.18 en RHEL 8

El paquete lksctp-tools, versión 3.28 está disponible en Red Hat Enterprise Linux (RHEL) 8. Las mejoras notables y las correcciones de errores incluyen:

Lista negra del módulo SCTP por defecto en RHEL 8

Para aumentar la seguridad, se ha trasladado un conjunto de módulos del núcleo al paquete kernel-modules-extra. Estos no se instalan por defecto. Como consecuencia, los usuarios que no son root no pueden cargar estos componentes ya que están en la lista negra por defecto. Para utilizar uno de estos módulos del kernel, el administrador del sistema debe instalar kernel-modules-extra y eliminar explícitamente la lista negra de módulos. Como resultado, los usuarios no root podrán cargar el componente de software automáticamente.

Cambios notables en driverctl 0.101

Red Hat Enterprise Linux 8.0 se distribuye con driverctl 0.101. Esta versión incluye las siguientes correcciones de errores:

Añadidas las prioridades de las reglas ricas a firewalld

Se ha añadido la opción de prioridad a las reglas ricas. Esto permite a los usuarios definir el orden de prioridad deseable durante la ejecución de la regla y proporciona un control más avanzado sobre las reglas ricas.

NVMe sobre RDMA es compatible con RHEL 8

En Red Hat Enterprise Linux (RHEL) 8, Nonvolatile Memory Express (NVMe) sobre Remote Direct Memory Access (RDMA) es compatible con Infiniband, RoCEv2 e iWARP sólo en modo iniciador.

El back end nf_tables no soporta la depuración mediante dmesg

Red Hat Enterprise Linux 8.0 utiliza el back end nf_tables para los cortafuegos que no soporta la depuración del cortafuegos utilizando la salida de la utilidad dmesg. Para depurar las reglas del cortafuegos, utilice los comandos xtables-monitor -t o nft monitor trace para decodificar los eventos de evaluación de reglas.

Red Hat Enterprise Linux soporta VRF

El kernel de RHEL 8.0 soporta el enrutamiento y reenvío virtual (VRF). Los dispositivos VRF, combinados con las reglas establecidas mediante la utilidad ip, permiten a los administradores crear dominios VRF en la pila de red Linux. Estos dominios aíslan el tráfico en la capa 3 y, por lo tanto, el administrador puede crear diferentes tablas de enrutamiento y reutilizar las mismas direcciones IP dentro de diferentes dominios VRF en un host.

iproute, versión 4.18 en RHEL 8

El paquete iproute se distribuye con la versión 4.18 en Red Hat Enterprise Linux (RHEL) 8. El cambio más notable es que el alias de interfaz marcado como ethX:Y, como eth0:1, ya no está soportado. Para solucionar este problema, los usuarios deben eliminar el sufijo del alias, que son los dos puntos y el número siguiente antes de introducir ip link show.

Etiqueta SWID de la versión RHEL 8.0

Para permitir la identificación de las instalaciones de RHEL 8.0 mediante el mecanismo ISO/IEC 19770-2:2015, las etiquetas de identificación de software (SWID) se instalan en los archivos /usr/lib/swidtag/redhat. com/com. redhat. RHEL-8-<architecture> . swidtag y /usr/lib/swidtag/redhat.com/com.redhat.RHEL-8.0-<architecture>.swidtag. El directorio padre de estas etiquetas también puede encontrarse siguiendo el enlace simbólico /etc/swid/swidtags.d/redhat. com.

Las políticas criptográficas de todo el sistema se aplican por defecto

Crypto-policies es un componente en Red Hat Enterprise Linux 8, que configura los subsistemas criptográficos centrales, cubriendo los protocolos TLS, IPsec, DNSSEC, Kerberos y SSH. Proporciona un pequeño conjunto de políticas, que el administrador puede seleccionar utilizando el comando update-crypto-policies.

OpenSSH rebasado a la versión 7.8p1

Los paquetes openssh han sido actualizados a la versión 7.8p1. Los cambios notables incluyen:

La generación automática de claves del servidor OpenSSH es ahora gestionada por sshd-keygen@.service

OpenSSH crea automáticamente las claves de host del servidor RSA, ECDSA y ED25519 si no las tiene. Para configurar la creación de claves de host en RHEL 8, utilice el servicio instanciado sshd-keygen@.service.

Las claves ECDSA son compatibles con la autenticación SSH

Esta versión de la suite OpenSSH introduce soporte para claves ECDSA almacenadas en tarjetas inteligentes PKCS #11. Como resultado, los usuarios pueden ahora utilizar tanto claves RSA como ECDSA para la autenticación SSH.

libssh implementa SSH como componente criptográfico principal

Este cambio introduce libssh como un componente criptográfico central en Red Hat Enterprise Linux 8. La biblioteca libssh implementa el protocolo Secure Shell (SSH).

Soporte de TLS 1.3 en las bibliotecas criptográficas

Esta actualización habilita la seguridad de la capa de transporte (TLS) 1.3 por defecto en todas las principales bibliotecas criptográficas del back-end. Esto permite una baja latencia en la capa de comunicaciones del sistema operativo y mejora la privacidad y la seguridad de las aplicaciones al aprovechar los nuevos algoritmos, como RSA-PSS o X25519.

NSS ahora utiliza SQL por defecto

Las bibliotecas de los Servicios de Seguridad de la Red (NSS) utilizan ahora por defecto el formato de archivo SQL para la base de datos de confianza. El formato de archivo DBM, que se utilizaba como formato de base de datos por defecto en versiones anteriores, no admite el acceso concurrente a la misma base de datos por parte de varios procesos y ha quedado obsoleto en la versión anterior. Como resultado, las aplicaciones que utilizan la base de datos de confianza del NSS para almacenar claves, certificados e información de revocación ahora crean bases de datos en el formato SQL por defecto. Los intentos de crear bases de datos en el formato DBM heredado fallan. Las bases de datos DBM existentes se abren en modo de sólo lectura y se convierten automáticamente al formato SQL. Tenga en cuenta que NSS soporta el formato de archivo SQL desde Red Hat Enterprise Linux 6.

La compatibilidad de PKCS #11 con las tarjetas inteligentes y los HSM es ahora coherente en todo el sistema

Con esta actualización, el uso de tarjetas inteligentes y módulos de seguridad de hardware (HSM) con la interfaz de token criptográfico PKCS #11 se vuelve consistente. Esto significa que el usuario y el administrador pueden utilizar la misma sintaxis para todas las herramientas relacionadas en el sistema. Las mejoras más destacadas son:

Firefox ahora funciona con controladores PKCS #11 registrados en todo el sistema

El navegador web Firefox carga automáticamente el módulo p11-kit-proxy y se detectan automáticamente todas las tarjetas inteligentes registradas en todo el sistema en p11-kit a través del archivo pkcs11.conf. Para utilizar la autenticación de cliente TLS, no se requiere ninguna configuración adicional y las claves de una tarjeta inteligente se utilizan automáticamente cuando un servidor las solicita.

RSA-PSS ya es compatible con OpenSC

Esta actualización añade soporte para el esquema de firma criptográfica RSA-PSS al controlador de la tarjeta inteligente OpenSC. El nuevo esquema permite un algoritmo criptográfico seguro necesario para la compatibilidad con TLS 1.3 en el software cliente.

Cambios notables en Libreswan en RHEL 8

Los paquetes libreswan han sido actualizados a la versión 3.27, que proporciona muchas correcciones de errores y mejoras respecto a las versiones anteriores. Los cambios más notables son:

Las políticas criptográficas del sistema cambian la versión de IKE por defecto en Libreswan a IKEv2

La versión de IKE por defecto en la implementación de Libreswan IPsec ha sido cambiada de IKEv1 (RFC 2409) a IKEv2 (RFC 7296). Los algoritmos IKE y ESP/AH por defecto para su uso con IPsec han sido actualizados para cumplir con las políticas criptográficas de todo el sistema, RFC 8221 y RFC 8247. Ahora se prefieren tamaños de clave de encriptación de 256 bits sobre tamaños de clave de 128 bits.

Cambios relacionados con la versión de IKE en Libreswan

Con esta mejora, Libreswan maneja la configuración del intercambio de claves de Internet (IKE) de forma diferente:

Nuevas funciones de OpenSCAP en RHEL 8

El paquete OpenSCAP se ha actualizado a la versión 1.3.0, que introduce muchas mejoras con respecto a las versiones anteriores. Las características más notables son:

La Guía de Seguridad de SCAP ahora admite políticas criptográficas para todo el sistema

Los paquetes scap-security-guide han sido actualizados para utilizar políticas criptográficas predefinidas para todo el sistema para configurar los subsistemas criptográficos centrales. Se ha eliminado el contenido de seguridad que entraba en conflicto con las políticas criptográficas de todo el sistema o las anulaba.

Se ha mejorado la interfaz de línea de comandos de OpenSCAP

El modo verboso está ahora disponible en todos los módulos y submódulos de oscap. La salida de la herramienta tiene un formato mejorado.

El perfil PCI-DSS de la Guía de Seguridad SCAP se ajusta a la versión 3.2.1

Los paquetes scap-security-guide proporcionan el perfil PCI-DSS (Payment Card Industry Data Security Standard) para Red Hat Enterprise Linux 8 y este perfil ha sido actualizado para alinearse con la última versión PCI-DSS - 3.2.1.

La guía de seguridad SCAP es compatible con OSPP 4.2

Los paquetes scap-security-guide proporcionan un borrador del perfil OSPP (Perfil de protección para sistemas operativos de propósito general) versión 4.2 para Red Hat Enterprise Linux 8. Este perfil refleja los controles de configuración obligatorios identificados en el Anexo de configuración NIAP del Perfil de protección para sistemas operativos de propósito general (Perfil de protección versión 4.2). La Guía de seguridad de SCAP proporciona comprobaciones y scripts automatizados que ayudan a los usuarios a cumplir los requisitos definidos en el OSPP.

Cambios notables en rsyslog en RHEL 8

Los paquetes rsyslog han sido actualizados a la versión 8.37.0, que proporciona muchas correcciones de errores y mejoras con respecto a las versiones anteriores. Los cambios más notables son:

Nuevo módulo rsyslog: omkafka

Para habilitar los escenarios de almacenamiento de datos centralizados de kafka, ahora puede reenviar los registros a la infraestructura de kafka utilizando el nuevo módulo omkafka.

rsyslog imfile ahora soporta enlaces simbólicos

Con esta actualización, el módulo rsyslog imfile ofrece un mejor rendimiento y más opciones de configuración. Esto le permite utilizar el módulo para casos de uso de monitorización de archivos más complicados. Por ejemplo, ahora puede utilizar monitores de archivos con patrones glob en cualquier parte de la ruta configurada y rotar objetivos de enlaces simbólicos con un mayor rendimiento de datos.

El formato de archivo de configuración de rsyslog por defecto es ahora no legado

Los archivos de configuración de los paquetes rsyslog utilizan ahora el formato no legado por defecto. El formato heredado puede seguir utilizándose, sin embargo, la mezcla de declaraciones de configuración actuales y heredadas tiene varias limitaciones. Las configuraciones que se llevan de versiones anteriores de RHEL deben ser revisadas. Consulte la página man de rsyslog.conf(5) para obtener más información.

Audit 3.0 sustituye audispd por auditd

Con esta actualización, la funcionalidad de audispd se ha trasladado a auditd. Como resultado, las opciones de configuración de audispd son ahora parte de auditd.conf. Además, el directorio plugins.d se ha trasladado a /etc/audit. El estado actual de auditd y sus plugins puede ahora comprobarse ejecutando el comando service auditd state.

tangd_port_t permite cambiar el puerto por defecto para Tang

Esta actualización introduce el tipo tangd_port_t SELinux que permite que el servicio tangd se ejecute como confinado con el modo de aplicación de SELinux. Este cambio ayuda a simplificar la configuración de un servidor Tang para que escuche en un puerto definido por el usuario y también preserva el nivel de seguridad proporcionado por SELinux en el modo de aplicación.

Nuevos booleanos de SELinux

Esta actualización de la política del sistema SELinux introduce los siguientes booleanos:

SELinux ahora soporta systemd No New Privileges

Esta actualización introduce la capacidad de la política nnp_nosuid_transition que permite las transiciones de dominio de SELinux bajo No New Privileges (NNP) o nosuid si se permite nnp_nosuid_transition entre los contextos antiguos y nuevos. Los paquetes selinux-policy contienen ahora una política para los servicios systemd que utilizan la función de seguridad NNP.

Soporte para una nueva comprobación de los permisos de los mapas en la llamada al sistema mmap

Se ha añadido el permiso de mapa de SELinux para controlar el acceso mapeado en memoria a archivos, directorios, sockets, etc. Esto permite que la política de SELinux impida el acceso directo a la memoria de varios objetos del sistema de archivos y garantice que cada acceso de este tipo sea revalidado.

SELinux ahora soporta el permiso getrlimit en la clase de proceso

Esta actualización introduce una nueva comprobación de control de acceso de SELinux, process:getrlimit, que se ha añadido para la función prlimit(). Esto permite a los desarrolladores de políticas SELinux controlar cuando un proceso intenta leer y luego modificar los límites de recursos de otro proceso usando el permiso process: setrlimit. Tenga en cuenta que SELinux no restringe que un proceso manipule sus propios límites de recursos a través de prlimit( ). Consulte las páginas man de prlimit (2 ) y getrlimit(2) para más información.

selinux-policy ahora soporta etiquetas VxFS

Esta actualización introduce el soporte para los atributos extendidos de seguridad (xattrs) de Veritas File System (VxFS). Esto permite almacenar etiquetas SELinux adecuadas con objetos en el sistema de archivos en lugar del tipo genérico vxfs_t. Como resultado, los sistemas con VxFS con soporte completo para SELinux son más seguros.

Los indicadores de seguridad en tiempo de compilación se aplican de forma más coherente

Los indicadores de seguridad en tiempo de compilación se aplican de forma más coherente en los paquetes RPM de la distribución RHEL 8, y el paquete redhat-rpm-config proporciona ahora automáticamente indicadores de seguridad. Los indicadores de compilación aplicados también ayudan a cumplir los requisitos de Common Criteria (CC). Se aplican los siguientes indicadores de seguridad:

qemu-kvm 2.12 en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con qemu-kvm 2.12. Esta versión corrige múltiples errores y añade una serie de mejoras sobre la versión 1.5.3, disponible en Red Hat Enterprise Linux 7.

El tipo de máquina Q35 es ahora compatible con la virtualización

Red hat Enterprise Linux 8 introduce la compatibilidad con Q35, un tipo de máquina más moderna basada en PCI Express. Esto proporciona una variedad de mejoras en las características y el rendimiento de los dispositivos virtuales, y asegura que una gama más amplia de dispositivos modernos sean compatibles con la virtualización. Además, las máquinas virtuales creadas en Red Hat Enterprise Linux 8 están configuradas para utilizar Q35 por defecto.

KVM soporta UMIP en RHEL 8

La virtualización KVM soporta ahora la función de prevención de instrucciones en modo usuario (UMIP), que puede ayudar a evitar que las aplicaciones del espacio de usuario accedan a la configuración de todo el sistema. Esto reduce los vectores potenciales de ataques de escalada de privilegios y, por tanto, hace que el hipervisor KVM y sus máquinas invitadas sean más seguros.

Información adicional en los informes de fallos de los huéspedes de KVM

Se ha ampliado la información sobre fallos que el hipervisor KVM genera si un huésped termina inesperadamente o deja de responder. Esto facilita el diagnóstico y la solución de problemas en las implementaciones de virtualización de KVM.

NVIDIA vGPU ahora es compatible con la consola VNC

Cuando se utiliza la función de GPU virtual (vGPU) de NVIDIA, ahora es posible utilizar la consola VNC para mostrar la salida visual del huésped.

Ceph es compatible con la virtualización

Con esta actualización, el almacenamiento Ceph es compatible con la virtualización KVM en todas las arquitecturas de CPU soportadas por Red Hat.

Cargador de arranque interactivo para máquinas virtuales KVM en IBM Z

Al arrancar una máquina virtual KVM en un host IBM Z, el firmware del cargador de arranque QEMU puede ahora presentar una interfaz de consola interactiva del SO invitado. Esto hace posible solucionar los problemas de arranque del SO invitado sin acceder al entorno del host.

IBM z14 ZR1 soportado en máquinas virtuales

El hipervisor KVM ahora soporta el modelo de CPU del servidor IBM z14 ZR1. Esto permite utilizar las características de esta CPU en las máquinas virtuales KVM que se ejecutan en un sistema IBM Z.

KVM soporta Telnet 3270 en IBM Z

Cuando se utiliza RHEL 8 como host en un sistema IBM Z, ahora es posible conectarse a máquinas virtuales en el host utilizando clientes Telnet 3270.

Se ha añadido el sandboxing de QEMU

En Red Hat Enterprise Linux 8, el emulador QEMU introduce la característica de sandboxing. El sandboxing de QEMU proporciona limitaciones configurables a las llamadas de sistemas que QEMU puede realizar, y por lo tanto hace que las máquinas virtuales sean más seguras. Tenga en cuenta que esta característica está habilitada y configurada por defecto.

Nuevos tipos de máquinas virtuales KVM en IBM POWER

Se han habilitado varios tipos nuevos de máquinas rhel-pseries para hipervisores KVM que se ejecutan en sistemas IBM POWER 8 e IBM POWER 9. Esto hace posible que las máquinas virtuales (VM) alojadas en RHEL 8 en un sistema IBM POWER utilicen correctamente las características de la CPU de estos tipos de máquinas. Además, esto permite migrar las máquinas virtuales en IBM POWER a una versión más reciente del hipervisor KVM.

Los sistemas ARM 64 ahora admiten máquinas virtuales con hasta 384 vCPUs

Cuando se utiliza el hipervisor KVM en un sistema ARM 64, ahora es posible asignar hasta 384 CPUs virtuales (vCPUs) a una sola máquina virtual (VM).

Juegos de instrucciones GFNI y CLDEMOT habilitados para Intel Xeon SnowRidge

Las máquinas virtuales (VM) que se ejecutan en un host RHEL 8 en un sistema Intel Xeon SnowRidge ahora pueden utilizar los conjuntos de instrucciones GFNI y CLDEMOT. Esto puede aumentar significativamente el rendimiento de dichas VMs en ciertos escenarios.

IPv6 habilitado para OVMF

El protocolo IPv6 está ahora habilitado en Open Virtual Machine Firmware (OVMF). Esto hace posible que las máquinas virtuales que utilizan OVMF se beneficien de una serie de mejoras en el arranque de la red que proporciona IPv6.

Se ha añadido un controlador de bloque basado en VFIO para dispositivos NVMe

El emulador QEMU introduce un controlador basado en la función virtual de E/S (VFIO) para dispositivos de memoria no volátil Express (NVMe). El controlador se comunica directamente con los dispositivos NVMe conectados a las máquinas virtuales (VM) y evita el uso de la capa de sistema del kernel y sus controladores NVMe. Como resultado, esto mejora el rendimiento de los dispositivos NVMe en las máquinas virtuales.

Soporte multicanal para el controlador UIO genérico de Hyper-V

RHEL 8 admite ahora la función multicanal para el controlador de E/S de espacio de usuario (UIO) genérico de Hyper-V. Esto hace posible que las máquinas virtuales de RHEL 8 que se ejecutan en el hipervisor Hyper-V utilicen el controlador de modo de sondeo Netvsc (PMD) del kit de desarrollo del plano de datos (DPDK), que mejora las capacidades de red de estas máquinas virtuales.

Mejora de la compatibilidad con páginas enormes

Cuando se utiliza RHEL 8 como host de virtualización, los usuarios pueden modificar el tamaño de las páginas que respaldan la memoria de una máquina virtual (VM) a cualquier tamaño que sea soportado por la CPU. Esto puede mejorar significativamente el rendimiento de la VM.

sosreport puede informar sobre programas y mapas basados en eBPF

La herramienta sosreport ha sido mejorada para reportar cualquier programa y mapa de Filtrado de Paquetes Berkeley extendido (eBPF) cargado en Red Hat Enterprise Linux 8.

PackageKit ahora puede operar en paquetes rpm

Con esta actualización, se ha añadido el soporte para operar sobre paquetes rpm en PackageKit.

QEMU no maneja correctamente las entradas ggtt de 8 bytes

QEMU ocasionalmente divide una escritura de entrada ggtt de 8 bytes en dos escrituras consecutivas de 4 bytes. Cada una de estas escrituras parciales puede desencadenar una escritura ggtt del host por separado. A veces las dos escrituras ggtt se combinan incorrectamente. En consecuencia, la traducción a una dirección de máquina falla, y se produce un registro de error.

El cliente de seguridad empresarial utiliza la biblioteca opensc para la detección de tokens

Red Hat Enterprise Linux 8.0 sólo soporta la biblioteca opensc para tarjetas inteligentes. Con esta actualización, el Cliente de Seguridad Empresarial (ESC) utiliza opensc para la detección de tokens en lugar de la biblioteca coolkey eliminada. Como resultado, las aplicaciones detectan correctamente los tokens soportados.

El sistema de certificados ahora soporta la rotación de los registros de depuración

Anteriormente, Certificate System utilizaba un marco de registro personalizado, que no admitía la rotación de registros. Como consecuencia, los registros de depuración como /var/log/pki/instance_name/ca/debug crecían indefinidamente. Con esta actualización, Certificate System utiliza el marco java.logging.util, que admite la rotación de registros. Como resultado, puede configurar la rotación de registros en el archivo /var/lib/pki/instance_name/conf/logging.properties.

Certificate System ya no registra las advertencias de la operación SetAllPropertiesRule cuando se inicia el servicio

Anteriormente, Certificate System registraba advertencias sobre la operación SetAllPropertiesRule en el archivo de registro /var/log/messages cuando se iniciaba el servicio. El problema se ha solucionado y las advertencias mencionadas ya no se registran.

El cliente KRA de Certificate System analiza correctamente las respuestas de las solicitudes de claves

Anteriormente, Certificate System cambió a una nueva biblioteca JSON. Como consecuencia, la serialización de ciertos objetos difería, y el cliente de autoridad de recuperación de claves (KRA) de Python no podía analizar las respuestas de solicitud de claves. Se ha modificado el cliente para que admita respuestas que utilicen tanto la antigua como la nueva biblioteca JSON. Como resultado, el cliente KRA de Python analiza correctamente las respuestas de solicitud de claves.

GCC ya no produce falsas advertencias positivas sobre accesos fuera de límites

Anteriormente, al compilar con la opción de nivel de optimización -O3, la Colección de Compiladores de GNU (GCC) devolvía ocasionalmente una advertencia falsa positiva sobre un acceso fuera de límites, aunque el código compilado no lo contuviera. Se ha corregido la optimización y GCC ya no muestra la advertencia falsa positiva.

ltrace muestra correctamente las estructuras grandes

Anteriormente, la herramienta ltrace no podía imprimir correctamente las estructuras grandes devueltas por las funciones. Se ha mejorado el manejo de estructuras grandes en ltrace y ahora se imprimen correctamente.

La función incorporada de GCC __builtin_clz devuelve valores correctos en IBM Z

Anteriormente, la instrucción FLOGR de la arquitectura IBM Z era doblada incorrectamente por el compilador GCC. Como consecuencia, la función __builtin_clz que utilizaba esta instrucción podía devolver resultados erróneos cuando el código se compilaba con la opción -funroll-loops de GCC. Este error se ha corregido y la función proporciona ahora resultados correctos.

GDB proporciona un estado de salida distinto de cero cuando el último comando en modo batch falla

Anteriormente, GDB siempre salía con el estado 0 cuando se ejecutaba en modo batch, independientemente de los errores en los comandos. Como consecuencia, no era posible determinar si los comandos tenían éxito. Este comportamiento ha sido cambiado y ahora GDB sale con el estado 1 cuando se produce un error en el último comando. Esto preserva la compatibilidad con el comportamiento anterior en el que todos los comandos se ejecutan. Como resultado, ahora es posible determinar si la ejecución del modo por lotes de GDB tiene éxito.

Los niveles de impresión más altos ya no hacen que iscsiadm termine inesperadamente

Anteriormente, la utilidad iscsiadm terminaba inesperadamente cuando el usuario especificaba un nivel de impresión superior a 0 con la opción --print o -P. Este problema se ha solucionado y ahora todos los niveles de impresión funcionan como se espera.

multipathd ya no desactiva la ruta cuando no consigue el WWID de una ruta

Anteriormente, el servicio multipathd trataba un intento fallido de obtener el WWID de una ruta como si obtuviera un WWID vacío. Si multipathd fallaba en obtener el WWID de una ruta, a veces deshabilitaba esa ruta.

Nueva opción /etc/sysconfig/pcsd para rechazar la renegociación SSL/TLS iniciada por el cliente

Cuando la renegociación de TLS está habilitada en el servidor, se permite a un cliente enviar una solicitud de renegociación, que inicia un nuevo apretón de manos. Los requerimientos computacionales de un handshake son mayores en un servidor que en un cliente. Esto hace que el servidor sea vulnerable a los ataques DoS. Con esta corrección, el ajuste PCSD_SSL_OPTIONS en el archivo de configuración /etc/sysconfig/pcsd acepta la opción OP_NO_RENEGOTIATION para rechazar las renegociaciones. Tenga en cuenta que el cliente puede seguir abriendo múltiples conexiones a un servidor con un handshake realizado en todas ellas.

Un nodo de clúster eliminado ya no se muestra en el estado del clúster

Anteriormente, cuando se eliminaba un nodo con el comando pcs cluster node remove, el nodo eliminado permanecía visible en la salida de una pantalla de estado de pcs. Con esta corrección, el nodo eliminado ya no se muestra en el estado del clúster.

Los agentes de la valla pueden ahora configurarse utilizando los nuevos nombres de parámetros preferidos o los nombres de parámetros obsoletos

Se ha cambiado el nombre de un gran número de parámetros del agente de la valla, mientras que los antiguos nombres de los parámetros siguen siendo soportados como obsoletos. Anteriormente, pcs no podía establecer los nuevos parámetros a menos que se usara con la opción --force. Con esta corrección, pcs ahora admite los parámetros de agente de valla renombrados mientras mantiene el soporte para los parámetros obsoletos.

El comando pcs ahora lee correctamente el estado XML de un cluster para su visualización

El comando pcs ejecuta la utilidad crm_mon para obtener el estado de un cluster en formato XML. La utilidad crm_mon imprime XML en la salida estándar y las advertencias en la salida de error estándar. Anteriormente, pcs mezclaba el XML y las advertencias en un solo flujo y no podía analizarlo como XML. Con esta corrección, las salidas estándar y de error están separadas en pcs y la lectura del estado XML de un clúster funciona como se espera.

Ya no se aconseja a los usuarios que destruyan los clusters al crear nuevos clusters con nodos de clusters existentes

Anteriormente, cuando un usuario especificaba nodos de un clúster existente al ejecutar el comando de configuración de clústeres de pcs o al crear un clúster con la interfaz web de pcsd, pcs informaba de ello como un error y sugería que el usuario destruyera el clúster en los nodos. Como resultado, los usuarios destruirían el clúster en los nodos, rompiendo el clúster del que formaban parte los nodos, ya que los nodos restantes seguirían considerando que los nodos destruidos formaban parte del clúster. Con esta corrección, se aconseja a los usuarios que eliminen los nodos de su clúster, informándoles mejor de cómo resolver el problema sin romper sus clústeres.

los comandos depcs ya no piden credenciales de forma interactiva

Cuando un usuario que no es root ejecuta un comando de pcs que requiere permiso de root, pcs se conecta al demonio pcsd que se ejecuta localmente y le pasa el comando, ya que el demonio pcsd se ejecuta con permisos de root y es capaz de ejecutar el comando. Anteriormente, si el usuario no estaba autenticado en el demonio pcsd local, pcs pedía un nombre de usuario y una contraseña de forma interactiva. Esto era confuso para el usuario y requería un manejo especial en los scripts que ejecutaban pcs. Con este arreglo, si el usuario no está autenticado, pcs sale con un error que indica qué hacer: Ejecutar pcs como root o autenticarse usando el nuevo comando pcs client local-auth. Como resultado, los comandos de pcs no piden interactivamente las credenciales, mejorando la experiencia del usuario.

El demonio pcsd ahora se inicia con su certificado SSL autogenerado por defecto cuando crypto-policies se establece en FUTURE.

Una configuración de crypto-policies de FUTURE requiere que las claves RSA en los certificados SSL tengan una longitud mínima de 3072b. Anteriormente, el demonio pcsd no se iniciaba cuando se establecía esta política, ya que genera certificados SSL con una clave de 2048b. Con esta actualización, el tamaño de la clave de los certificados SSL autogenerados por pcsd se ha incrementado a 3072b y pcsd se inicia ahora con su certificado SSL autogenerado por defecto.

El servicio pcsd ahora se inicia cuando la red está lista

Anteriormente, cuando un usuario configuraba pcsd para enlazar con una dirección IP específica y la dirección no estaba lista durante el arranque cuando pcsd intentaba arrancar, entonces pcsd fallaba al arrancar y se requería una intervención manual para arrancar pcsd. Con esta corrección, pcsd .service depende de network-online.target. Como resultado, pcsd se inicia cuando la red está lista y es capaz de vincularse a una dirección IP.

Los algoritmos débiles de TLS ya no están permitidos para la red glib

Anteriormente, el paquete glib-networking no era compatible con la política Crypto de todo el sistema de RHEL 8. Como consecuencia, las aplicaciones que utilizaban la biblioteca glib para la creación de redes podían permitir conexiones de seguridad de la capa de transporte (TLS) con algoritmos más débiles que los previstos por el administrador. Con esta actualización, se aplica la política de cifrado de todo el sistema, y ahora las aplicaciones que utilizan glib para la creación de redes sólo permiten conexiones TLS que son aceptables de acuerdo con la política.

La política de SELinux ahora permite que los procesos de iscsiuio se conecten al portal de descubrimiento

Anteriormente, la política de SELinux era demasiado restrictiva para los procesos de iscsiuio y estos procesos no podían acceder a los dispositivos /dev/uio* utilizando la llamada al sistema mmap. Como consecuencia, la conexión al portal de descubrimiento fallaba. Esta actualización añade las reglas que faltan a la política SELinux y los procesos iscsiuio funcionan como se espera en el escenario descrito.

dnf y yum ahora pueden acceder a los repos independientemente de los valores de subscription-manager

Anteriormente, los comandos dnf o yum ignoraban el prefijo https:// de una URL añadida por el servicio subscription-manager. Los comandos dnf o yum actualizados no ignoran las URLs inválidas de https://. Como consecuencia, dnf y yum no podían acceder a los repos. Para solucionar el problema, se ha añadido una nueva variable de configuración, proxy_scheme, al archivo /etc/rhsm/rhsm.conf y el valor puede establecerse como http o https. Si no se especifica ningún valor, subscription-manager establece por defecto http, que es el más utilizado.

El montaje de discos efímeros en Azure funciona ahora de forma más fiable

Anteriormente, el montaje de un disco efímero en una máquina virtual (VM) que se ejecutaba en la plataforma Microsoft Azure fallaba si la VM se "detenía (desasignaba)" y luego se iniciaba. Esta actualización garantiza que la reconexión de los discos se gestiona correctamente en las circunstancias descritas, lo que evita que se produzca el problema.

eBPF disponible como Muestra de Tecnología

La función extended Berkeley Packet Filtering (eBPF) está disponible como Technology Preview tanto para la creación de redes como para el rastreo. eBPF permite que el espacio de usuario adjunte programas personalizados en una variedad de puntos (sockets, puntos de rastreo, recepción de paquetes) para recibir y procesar datos. La característica incluye una nueva llamada al sistema bpf(), que soporta la creación de varios tipos de mapas, y también para insertar varios tipos de programas en el kernel. Tenga en cuenta que la llamada al sistema bpf () sólo puede ser utilizada con éxito por un usuario con la capacidad CAP_SYS_ADMIN, como el usuario root. Consulte la página man de bpf(2) para más información.

BCC está disponible como una muestra de tecnología

BPF Compiler Collection (BCC) es un kit de herramientas de espacio de usuario para crear programas eficientes de rastreo y manipulación del kernel que está disponible como Technology Preview en Red Hat Enterprise Linux 8. BCC proporciona herramientas para el análisis de E/S, la creación de redes y la monitorización de sistemas operativos Linux utilizando el Berkeley Packet Filtering (eBPF) ampliado.

Control Group v2 disponible como Technology Preview en RHEL 8

el mecanismoControl Group v2 es un grupo de control jerárquico unificado. Control Group v2 organiza los procesos jerárquicamente y distribuye los recursos del sistema a lo largo de la jerarquía de forma controlada y configurable.

early kdump disponible como Technology Preview en Red Hat Enterprise Linux 8

La función early kdump permite que el kernel de colisión y el initramfs se carguen con suficiente antelación para capturar la información del vmcore incluso en el caso de colisiones tempranas. Para más detalles sobre early kdump, consulte el archivo /usr/share/doc/kexec-tools/early-kdump-howto.txt.

El controlador de dispositivo ibmvnic está disponible como Technology Preview

Con Red Hat Enterprise Linux 8.0, el controlador de interfaz de red virtual de IBM (vNIC) para arquitecturas IBM POWER, ibmvnic, está disponible como Technology Preview. vNIC es una tecnología de red virtual PowerVM que ofrece capacidades empresariales y simplifica la gestión de la red. Se trata de una tecnología eficiente y de alto rendimiento que, cuando se combina con SR-IOV NIC, proporciona capacidades de calidad de servicio (QoS) de control de ancho de banda a nivel de NIC virtual. vNIC reduce significativamente la sobrecarga de virtualización, lo que se traduce en menores latencias y menos recursos de servidor, incluyendo la CPU y la memoria, necesarios para la virtualización de la red.

La consola remota VNC está disponible como Technology Preview para la arquitectura ARM de 64 bits

En la arquitectura ARM de 64 bits, la consola remota de Virtual Network Computing (VNC) está disponible como Technology Preview. Tenga en cuenta que el resto de la pila de gráficos no está actualmente verificada para la arquitectura ARM de 64 bits.

El MD RAID1 con conciencia de clúster está disponible como una tecnología previa.

El cluster RAID1 no está habilitado por defecto en el espacio del kernel. Si quieres probar con el cluster RAID1, necesitas construir el kernel con el cluster RAID1 como módulo primero, usa los siguientes pasos:

DNSSEC disponible como Technology Preview en IdM

Los servidores de gestión de identidades (IdM) con DNS integrado son ahora compatibles con las extensiones de seguridad de DNS (DNSSEC), un conjunto de extensiones de DNS que mejoran la seguridad del protocolo DNS. Las zonas DNS alojadas en los servidores IdM pueden firmarse automáticamente utilizando DNSSEC. Las claves criptográficas se generan y rotan automáticamente.

La API JSON-RPC de gestión de identidades está disponible como Technology Preview

Hay una API disponible para la gestión de identidades (IdM). Para ver la API, IdM también proporciona un navegador de API como Technology Preview.

Adaptadores Aero disponibles como Technology Preview

Los siguientes adaptadores Aero están disponibles como Technology Preview:

Stratis ya está disponible

Stratis es un nuevo gestor de almacenamiento local. Proporciona sistemas de archivos gestionados sobre pools de almacenamiento con características adicionales para el usuario.

OverlayFS

OverlayFS es un tipo de sistema de archivos de unión. Permite superponer un sistema de archivos sobre otro. Los cambios se registran en el sistema de archivos superior, mientras que el sistema de archivos inferior permanece sin modificar. Esto permite que varios usuarios compartan una imagen del sistema de archivos, como un contenedor o un DVD-ROM, donde la imagen base está en un medio de sólo lectura. Consulte la documentación del núcleo de Linux para obtener información adicional: https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt.

El sistema de archivos DAX ya está disponible para ext4 y XFS como Technology Preview

En Red Hat Enterprise Linux 8.0, el sistema de archivos DAX está disponible como una Muestra de Tecnología. DAX proporciona un medio para que una aplicación mapee directamente la memoria persistente en su espacio de direcciones. Para usar DAX, un sistema debe tener alguna forma de memoria persistente disponible, usualmente en la forma de uno o más módulos de memoria dual en línea no volátil (NVDIMMs), y un sistema de archivos que soporte DAX debe ser creado en los NVDIMMs. Además, el sistema de archivos debe ser montado con la opción de montaje dax. Entonces, un mmap de un archivo en el sistema de archivos montado en dax resulta en un mapeo directo del almacenamiento en el espacio de direcciones de la aplicación.

Paquetes de Podman de Marcapasos disponibles como Muestra de Tecnología

Los paquetes de contenedores de Pacemaker ahora se ejecutan en la plataforma de contenedores podman, y la función de paquetes de contenedores está disponible como Technology Preview. Hay una excepción a que esta característica sea Technology Preview: Red Hat soporta completamente el uso de paquetes Pacemaker para Red Hat Openstack.

XDP disponible como Muestra de Tecnología

La función eXpress Data Path (XDP), que está disponible como Technology Preview, ofrece un medio para adjuntar programas de Berkeley Packet Filter (eBPF) ampliados para el procesamiento de paquetes de alto rendimiento en un punto temprano de la ruta de datos de entrada del núcleo, lo que permite un análisis, filtrado y manipulación de paquetes programables y eficientes.

eBPF para tc disponible como Technology Preview

Como avance tecnológico, el subsistema del kernel de control del tráfico (tc) y la herramienta tc pueden adjuntar programas de filtrado de paquetes de Berkeley (eBPF) ampliados como clasificadores de paquetes y acciones para las disciplinas de colas de entrada y salida. Esto permite el procesamiento programable de paquetes dentro de la ruta de datos de la red del núcleo.

AF_XDP está disponible como Muestra de Tecnología

El socketAddress Family eXpress Data Path(AF_XDP) está diseñado para el procesamiento de paquetes de alto rendimiento. Acompaña a XDP y garantiza una redirección eficaz de los paquetes seleccionados mediante programación a las aplicaciones del espacio de usuario para su posterior procesamiento.

KTLS está disponible como avance tecnológico

En Red Hat Enterprise Linux 8, la Seguridad de la Capa de Transporte del Kernel (KTLS) se proporciona como una Muestra de Tecnología. KTLS maneja los registros TLS utilizando los algoritmos de cifrado o descifrado simétrico en el kernel para el cifrado AES-GCM. KTLS también proporciona la interfaz para descargar el cifrado de registros TLS a los controladores de interfaz de red (NIC) que soportan esta funcionalidad.

El TIPC está disponible como avance tecnológico

La Comunicación Transparente entre Procesos(TIPC) es un protocolo especialmente diseñado para la comunicación eficiente dentro de clusters de nodos poco emparejados. Funciona como un módulo del kernel y proporciona una herramienta tipc en el paquete iproute2 para permitir a los diseñadores crear aplicaciones que puedan comunicarse de forma rápida y fiable con otras aplicaciones independientemente de su ubicación dentro del clúster. Esta función está disponible como Technology Preview.

El servicio systemd-resolved ya está disponible como Technology Preview

El servicio systemd-resolved proporciona resolución de nombres a las aplicaciones locales. El servicio implementa un resolvedor de stub DNS de caché y validación, un resolvedor de nombres Link-Local Multicast (LLMNR), y un resolvedor y respondedor de DNS Multicast.

El rol postfix de RHEL System Roles disponible como Technology Preview

Red Hat Enterprise Linux System Roles proporciona una interfaz de configuración para los subsistemas de Red Hat Enterprise Linux, que facilita la configuración del sistema mediante la inclusión de Ansible Roles. Esta interfaz permite gestionar las configuraciones del sistema en varias versiones de Red Hat Enterprise Linux, así como adoptar nuevas versiones principales.

AMD SEV para máquinas virtuales KVM

Como muestra de tecnología, RHEL 8 introduce la función de virtualización cifrada segura (SEV) para las máquinas host AMD EPYC que utilizan el hipervisor KVM. Si se activa en una máquina virtual (VM), SEV cifra la memoria de la VM para que el host no pueda acceder a los datos de la VM. Esto aumenta la seguridad de la VM si el host es infectado con éxito por el malware.

Intel vGPU

Como Technology Preview, ahora es posible dividir un dispositivo físico de GPU Intel en múltiples dispositivos virtuales denominados dispositivos mediados. Estos dispositivos mediados pueden ser asignados a múltiples máquinas virtuales (VM) como GPUs virtuales. Como resultado, estas máquinas virtuales comparten el rendimiento de una sola GPU Intel física.

La virtualización anidada ya está disponible en IBM POWER 9

Como Technology Preview, ahora es posible utilizar las funciones de virtualización anidada en las máquinas host de RHEL 8 que se ejecutan en sistemas IBM POWER 9. La virtualización anidada permite que las máquinas virtuales (VM) KVM actúen como hipervisores, lo que permite ejecutar VMs dentro de VMs.

La virtualización KVM se puede utilizar en las máquinas virtuales Hyper-V de RHEL 8

Como Technology Preview, la virtualización KVM anidada ahora puede utilizarse en el hipervisor Microsoft Hyper-V. Como resultado, puede crear máquinas virtuales en un sistema invitado RHEL 8 que se ejecuta en un host Hyper-V.

La opción --interactive del comando ignoredisk Kickstart ha quedado obsoleta

El uso de la opción --interactive en futuras versiones de Red Hat Enterprise Linux resultará en un error de instalación fatal. Se recomienda que modifique su archivo Kickstart para eliminar la opción.

Varios comandos y opciones de Kickstart han quedado obsoletos

El uso de los siguientes comandos y opciones en los archivos Kickstart de RHEL 8 imprimirá una advertencia en los registros.

NFSv3 sobre UDP ha sido desactivado

El servidor NFS ya no abre o escucha en un socket del Protocolo de Datagramas de Usuario (UDP) por defecto. Este cambio sólo afecta a la versión 3 de NFS porque la versión 4 requiere el Protocolo de Control de Transmisión (TCP).

El parámetro de la línea de comandos del núcleo del ascensor está obsoleto

El parámetro de línea de comandos del kernel elevador se utilizaba en versiones anteriores de RHEL para establecer el programador de discos para todos los dispositivos. En RHEL 8, el parámetro está obsoleto.

El módulo VDO Ansible en los paquetes VDO

El módulo VDO Ansible es actualmente proporcionado por el paquete vdo RPM. En una futura versión, el módulo VDO Ansible se trasladará a los paquetes RPM de Ansible.

Los scripts de red están obsoletos en RHEL 8

Los scripts de red están obsoletos en Red Hat Enterprise Linux 8 y ya no se proporcionan por defecto. La instalación básica proporciona una nueva versión de los scripts ifup e ifdown que llaman al servicio NetworkManager a través de la herramienta nmcli. En Red Hat Enterprise Linux 8, para ejecutar los scripts ifup e ifdown, NetworkManager debe estar ejecutándose.

DSA está obsoleto en RHEL 8

El Algoritmo de Firma Digital (DSA) se considera obsoleto en Red Hat Enterprise Linux 8. Los mecanismos de autenticación que dependen de claves DSA no funcionan en la configuración por defecto. Tenga en cuenta que los clientes OpenSSH no aceptan claves de host DSA incluso en el nivel de política criptográfica de todo el sistema LEGACY.

SSL2 Client Hello ha quedado obsoleto en NSS

El protocolo Transport Layer Security(TLS) versión 1.2 y anteriores permiten iniciar una negociación con un mensaje Client Hello formateado de manera compatible con el protocolo Secure Sockets Layer(SSL) versión 2. La compatibilidad con esta función en la biblioteca de servicios de seguridad de la red(NSS) ha quedado obsoleta y está desactivada por defecto.

TLS 1.0 y TLS 1.1 están obsoletos

Los protocolos TLS 1.0 y TLS 1.1 están desactivados en el nivel de política criptográfica de todo el sistema DEFAULT. Si su escenario, por ejemplo, una aplicación de videoconferencia en el navegador web Firefox, requiere el uso de los protocolos obsoletos, cambie la política criptográfica de todo el sistema al nivel LEGACY:

Las instantáneas de las máquinas virtuales no se soportan correctamente en RHEL 8

El mecanismo actual de creación de instantáneas de máquinas virtuales (VM) ha quedado obsoleto, ya que no funciona de forma fiable. En consecuencia, se recomienda no utilizar las instantáneas de VM en RHEL 8.

El tipo de GPU virtual Cirrus VGA ha quedado obsoleto

Con una futura actualización mayor de Red Hat Enterprise Linux, el dispositivo Cirrus VGA GPU ya no será soportado en las máquinas virtuales KVM. Por lo tanto, Red Hat recomienda utilizar los dispositivos stdvga, virtio-vga, o qxl en lugar de Cirrus VGA.

virt-manager ha quedado obsoleto

La aplicación Virtual Machine Manager, también conocida como virt-manager, ha quedado obsoleta. La consola web de RHEL 8, también conocida como Cockpit, está destinada a convertirse en su reemplazo en una versión posterior. Por lo tanto, se recomienda utilizar la consola web para gestionar la virtualización en una GUI. Sin embargo, en Red Hat Enterprise Linux 8.0, algunas funciones pueden ser accesibles solamente desde virt-manager o desde la línea de comandos.

No es posible el registro en la consola web de RHEL con el shell session_recording

Actualmente, los inicios de sesión de la consola web de RHEL fallarán para los usuarios que tengan habilitado el registro de tlogs. La consola web de RHEL requiere que el shell de un usuario esté presente en el directorio /etc/shells para permitir un inicio de sesión exitoso. Sin embargo, si se añade tlog-rec-session a /etc/shells, un usuario registrado puede desactivar la grabación cambiando el shell de tlog-rec-session a otro shell de /etc/shells, utilizando la utilidad "chsh". Red Hat no recomienda añadir tlog-rec-session a /etc/shells por esta razón.

Los comandos Kickstart auth y authconfig requieren el repositorio AppStream

El paquete authselect-compat es necesario para los comandos auth y authconfig Kickstart durante la instalación. Sin este paquete, la instalación falla si se utilizan auth o authconfig. Sin embargo, por diseño, el paquete authselect-compat sólo está disponible en el repositorio de AppStream.

Los controladores de vídeo xorg-x11-drv-fbdev, xorg-x11-drv-vesa y xorg-x11-drv-vmware no están instalados por defecto

Las estaciones de trabajo con modelos específicos de tarjetas gráficas NVIDIA y las estaciones de trabajo con unidades de procesamiento acelerado AMD específicas no mostrarán la ventana gráfica de inicio de sesión después de una instalación de RHEL 8.0 Server.

La instalación falla al utilizar el comando reboot --kexec

La instalación de RHEL 8 falla cuando se utiliza un archivo Kickstart que contiene el comando reboot --kexec. Para evitar el problema, utilice el comando reboot en lugar de reboot --kexec en su archivo Kickstart.

Al copiar el contenido del archivo DVD.iso binario en una partición se omiten los archivos .treeinfo y .discinfo

Durante la instalación local, mientras se copia el contenido del archivo de imagen RHEL 8 Binary DVD.iso a una partición, el * en el comando cp <path>/\* <mounted partition>/dir falla al copiar los archivos .treeinfo y .discinfo. Estos archivos son necesarios para una instalación correcta. Como resultado, los repositorios BaseOS y AppStream no se cargan, y un mensaje de registro relacionado con la depuración en el archivo anaconda.log es el único registro del problema.

La instalación de Anaconda incluye límites bajos de requisitos de configuración de recursos mínimos

Anaconda inicia la instalación en sistemas con una configuración mínima de recursos disponibles y no proporciona un mensaje previo de advertencia sobre los recursos necesarios para realizar la instalación con éxito. Como resultado, la instalación puede fallar y los errores de salida no proporcionan mensajes claros para una posible depuración y recuperación. Para solucionar este problema, asegúrese de que el sistema dispone de los recursos mínimos necesarios para la instalación: 2GB de memoria en PPC64(LE) y 1GB en x86_64. Como resultado, debería ser posible realizar una instalación exitosa.

Los comandos reboot --kexec e inst.kexec no proporcionan un estado predecible del sistema

Realizar una instalación de RHEL con el comando reboot --kexec Kickstart o los parámetros de arranque del kernel inst.kexec no proporcionan el mismo estado predecible del sistema que un reinicio completo. Como consecuencia, cambiar al sistema instalado sin reiniciar puede producir resultados impredecibles.

El módulo i40iw no se carga automáticamente en el arranque

Debido a que muchos NICs i40e no soportan iWarp y el módulo i40iw no soporta completamente la suspensión/reanudación, este módulo no se carga automáticamente por defecto para asegurar que la suspensión/reanudación funcione correctamente. Para solucionar este problema, edite manualmente el archivo /lib/udev/rules.d/90-rdma-hw-modules.rules para activar la carga automática de i40iw.

El sistema a veces no responde cuando se conectan muchos dispositivos

Cuando Red Hat Enterprise Linux 8 configura un gran número de dispositivos, se produce un gran número de mensajes de consola en la consola del sistema. Esto sucede, por ejemplo, cuando hay un gran número de números de unidades lógicas (LUNs), con múltiples rutas a cada LUN. La avalancha de mensajes de consola, además de otros trabajos que está realizando el kernel, puede hacer que el watchdog del kernel fuerce un pánico del kernel porque éste parece estar colgado.

KSM a veces ignora las políticas de memoria NUMA

Cuando la función de memoria compartida del kernel (KSM) está activada con el parámetro merge_across_nodes=1, KSM ignora las políticas de memoria establecidas por la función mbind(), y puede fusionar páginas de algunas áreas de memoria a nodos de acceso a memoria no uniforme (NUMA) que no coinciden con las políticas.

El controlador qede cuelga el NIC y lo hace inutilizable

Debido a un error, el controlador qede para las NIC de la serie 41000 y 45000 de QLogic puede hacer que las operaciones de actualización de firmware y de recopilación de datos de depuración fallen y que la NIC quede inutilizada o en estado colgado hasta que el reinicio (PCI reset) del host haga que la NIC vuelva a estar operativa.

Se han añadido símbolos de árboles radicales a kernel-abi-whitelists

Se han añadido los siguientes símbolos del árbol radial al paquete kernel-abi-whitelists en Red Hat Enterprise Linux 8:

podman falla al comprobar un contenedor en RHEL 8

La versión del paquete Checkpoint and Restore In Userspace (CRIU) es obsoleta en Red Hat Enterprise Linux 8. Como consecuencia, CRIU no soporta la funcionalidad de checkpoint y restauración de contenedores y la utilidad podman falla al realizar el checkpoint de contenedores. Cuando se ejecuta el comando podman container checkpoint, se muestra el siguiente mensaje de error 'checkpointing a container requires at least CRIU 31100'

early-kdump y kdump estándar fallan si se utiliza la opción add_dracutmodules =earlykdump en dracut.conf

Actualmente, se produce una incoherencia entre la versión del núcleo que se instala para early-kdump y la versión del núcleo para la que se genera initramfs. Como consecuencia, al arrancar con early-kdump activado, early-kdump falla. Además, si early-kdump detecta que está siendo incluido en una imagen kdump initramfs estándar, fuerza una salida. Por lo tanto, el servicio estándar de kdump también falla al intentar reconstruir kdump initramfs si early-kdump se añade como módulo predeterminado de dracut. Como consecuencia, tanto early-kdump como kdump estándar fallan. Para solucionar este problema, no agregue add_dracutmodules =earlykdump o cualquier configuración equivalente en el archivo dracut.conf. Como resultado, early-kdump no es incluido por dracut por defecto, lo que evita que el problema ocurra. Sin embargo, si se requiere una imagen de early-kdump, tiene que ser creada manualmente.

El kernel de depuración no arranca en el entorno de captura de fallos en RHEL 8

Debido a la naturaleza de demanda de memoria del kernel de depuración, se produce un problema cuando el kernel de depuración está en uso y se desencadena un pánico del kernel. Como consecuencia, el kernel de depuración no es capaz de arrancar como el kernel de captura, y en su lugar se genera una traza de pila. Para solucionar este problema, aumente la memoria del kernel de captura en consecuencia. Como resultado, el kernel de depuración arranca con éxito en el entorno de captura de fallos.

La interfaz de red pasa a llamarse kdump-<nombre-de-interfaz> cuando se utiliza fadump

Cuando se utiliza el volcado asistido por firmware(fadump) para capturar un vmcore y almacenarlo en una máquina remota utilizando el protocolo SSH o NFS, la interfaz de red se renombra como kdump-<nombre-de-interfaz> si <nombre-de-interfaz> es genérico, por ejemplo, *eth#, o net#. Este problema se produce porque los scripts de captura de vmcore en el disco RAM inicial(initrd) añaden el prefijo kdump- al nombre de la interfaz de red para asegurar la nomenclatura persistente. El mismo initrd se utiliza también para un arranque normal, por lo que el nombre de la interfaz se cambia también para el kernel de producción.

Ejecutar yum list bajo un usuario no root provoca el bloqueo de YUM

Cuando se ejecuta el comando yum list bajo un usuario no root después de haber actualizado el paquete libdnf, YUM puede terminar inesperadamente. Si se encuentra con este error, ejecute yum list bajo root para resolver el problema. Como resultado, los siguientes intentos de ejecutar yum list bajo un usuario no root ya no provocan el cierre de YUM.

YUM v4 omite por defecto los repositorios no disponibles

YUM v4 utiliza por defecto el ajuste "skip_if_unavailable=True" para todos los repositorios. Como consecuencia, si el repositorio requerido no está disponible, los paquetes del repositorio no se consideran en las operaciones de instalación, búsqueda o actualización. Posteriormente, algunos comandos yum y scripts basados en yum tienen éxito con el código de salida 0 incluso si hay repositorios no disponibles.

Las utilidades nslookup y host ignoran las respuestas de los servidores de nombres con recursión no disponible

Si se configuran más servidores de nombres y la recursión no está disponible para un servidor de nombres, las utilidades nslookup y host ignoran las respuestas de dicho servidor de nombres, a menos que sea el último configurado. En el caso del último servidor de nombres configurado, la respuesta se acepta incluso sin la bandera de recursión disponible. Sin embargo, si el último servidor de nombres configurado no responde o es inalcanzable, la resolución de nombres falla.

La vinculacióna Python del paquete net-snmp no está disponible

El conjunto de herramientas de Net-SNMP no proporciona enlaces para Python 3, que es la implementación de Python por defecto en RHEL 8. En consecuencia, los paquetes python-net-snmp, python2-net-snmp o python3-net-snmp no están disponibles en RHEL 8.

systemd en modo de depuración produce mensajes de registro innecesarios

El sistema systemd y el gestor de servicios en modo de depuración producen mensajes de registro innecesarios que comienzan con:

ksh con la trampa KEYBD maneja mal los caracteres multibyte

El Korn Shell (KSH) no puede manejar correctamente los caracteres multibyte cuando la trampa KEYBD está activada. En consecuencia, cuando el usuario introduce, por ejemplo, caracteres japoneses, ksh muestra una cadena incorrecta. Para solucionar este problema, desactive la trampa KEYBD en el archivo /etc/kshrc comentando la siguiente línea:

Los servidores de bases de datos no se pueden instalar en paralelo

Los módulos mariadb y mysql no pueden instalarse en paralelo en RHEL 8.0 debido a paquetes RPM conflictivos.

Problemas en el registro de mod_cgid

Si el módulo httpd de Apache mod_cgid se utiliza bajo un módulo de multiprocesamiento roscado (MPM), que es la situación por defecto en RHEL 8, se producen los siguientes problemas de registro:

El módulo IO::Socket::SSL Perl no soporta TLS 1.3

Las nuevas características del protocolo TLS 1.3, como la reanudación de la sesión o la autenticación post-handshake, se implementaron en la biblioteca OpenSSL de RHEL 8 pero no en el módulo Net::SSLeay Perl, y por tanto no están disponibles en el módulo IO::Socket::SSL Perl. En consecuencia, la autenticación del certificado del cliente podría fallar y el restablecimiento de las sesiones podría ser más lento que con el protocolo TLS 1.2.

La documentación de Scala generada es ilegible

Al generar la documentación con el comando scaladoc, la página HTML resultante es inutilizable debido a la falta de recursos JavaScript.

qxl no funciona en máquinas virtuales basadas en Wayland

El controlador qxl no es capaz de proporcionar características de configuración del modo de kernel en ciertos hipervisores. En consecuencia, los gráficos basados en el protocolo Wayland no están disponibles para las máquinas virtuales (VM) que utilizan qxl, y la pantalla de inicio de sesión basada en Wayland no se inicia.

El prompt de la consola no se muestra al ejecutar systemctl isolate multi-user.target

Cuando se ejecuta el comando systemctl isolate multi-user.target desde la Terminal de GNOME en una sesión del Escritorio GNOME, sólo se muestra un cursor y no el prompt de la consola. Para solucionar el problema, pulse las teclas Ctrl Alt F2. Como resultado, aparece el prompt de la consola.

El escritorio que se ejecuta en X.Org se cuelga al cambiar a resoluciones de pantalla bajas

Cuando se utiliza el escritorio GNOME con el servidor de visualización X.Org, el escritorio deja de responder si se intenta cambiar la resolución de la pantalla a valores bajos. Para solucionar el problema, no configure la resolución de la pantalla a un valor inferior a 800 × 600 píxeles.

radeon no reinicia el hardware correctamente

El controlador del kernel de radeon actualmente no restablece el hardware en el contexto kexec correctamente. En su lugar, radeon se cae, lo que hace que el resto del servicio kdump falle.

El estado del MII esclavo de respaldo no funciona cuando se utiliza el monitor de enlace ARP

Por defecto, los dispositivos gestionados por el controlador i40e, realizan la poda de origen, que descarta los paquetes que tienen la dirección de control de acceso al medio (MAC) de origen que coincide con uno de los filtros de recepción. Como consecuencia, el estado de la Interfaz Independiente de Medios (MII) esclava de respaldo no funciona cuando se utiliza el monitoreo del Protocolo de Resolución de Direcciones (ARP) en la unión de canales. Para solucionar este problema, desactive la poda de origen mediante el siguiente comando:

El NMI watchdog de HP en algunos casos no genera un volcado de fallos

El controlador hpwdt para el vigilante NMI de HP a veces no puede reclamar una interrupción no enmascarable (NMI) generada por el temporizador del vigilante HPE porque el NMI fue consumido por el controlador perfmon.

La caché de credenciales KCM no es adecuada para un gran número de credenciales en una sola caché de credenciales

El gestor de credenciales de Kerberos (KCM) puede manejar tamaños de caché de hasta 64 kB. Si contiene demasiadas credenciales, las operaciones de Kerberos, como kinit, fallan debido a un límite codificado en el búfer utilizado para transferir datos entre el componente sssd-kcm y la base de datos subyacente.

Cambiar /etc/nsswitch.conf requiere un reinicio manual del sistema

Cualquier cambio en el archivo /etc/nsswitch . conf, por ejemplo la ejecución del comando authselect select profile_id, requiere un reinicio del sistema para que todos los procesos relevantes utilicen la versión actualizada del archivo /etc/nsswitch.conf. Si no es posible reiniciar el sistema, reinicie el servicio que une su sistema a Active Directory, que es el demonio de servicios de seguridad del sistema (SSSD) o winbind.

Los valores de tiempo de espera conflictivos impiden que SSSD se conecte a los servidores

Algunos de los valores de tiempo de espera por defecto relacionados con las operaciones de conmutación por error utilizadas por el demonio de servicios de seguridad del sistema (SSSD) son conflictivos. En consecuencia, el valor del tiempo de espera reservado para que SSSD hable con un solo servidor impide que SSSD pruebe con otros servidores antes de que la operación de conexión se agote por completo. Para solucionar el problema, establezca el valor del parámetro ldap_opt_timeout timeout más alto que el valor del parámetro dns_resolver_timeout, y establezca el valor del parámetro dns_resolver_timeout más alto que el valor del parámetro dns_resolver_op_timeout.

SSSD sólo puede buscar certificados únicos en las anulaciones de ID

Cuando varias anulaciones de ID contienen el mismo certificado, el demonio de servicios de seguridad del sistema (SSSD) no puede resolver las consultas de los usuarios que coinciden con el certificado. Un intento de buscar estos usuarios no devuelve ningún usuario. Tenga en cuenta que la búsqueda de usuarios mediante su nombre de usuario o UID funciona como se espera.

SSSD no maneja correctamente varias reglas de coincidencia de certificados con la misma prioridad

Si un certificado determinado coincide con varias reglas de coincidencia de certificados con la misma prioridad, el demonio de servicios de seguridad del sistema (SSSD) sólo utiliza una de las reglas. Como solución, utilice una única regla de coincidencia de certificados cuyo filtro LDAP esté formado por los filtros de las reglas individuales concatenados con el operador | (o). Para ver ejemplos de reglas de coincidencia de certificados, consulte la página de manual de sss-certamp(5).

SSSD devuelve la pertenencia a un grupo LDAP incorrecto para los usuarios locales

Si el demonio de servicios de seguridad del sistema (SSSD) sirve a los usuarios desde los archivos locales, el proveedor de archivos no incluye la pertenencia a grupos de otros dominios. Como consecuencia, si un usuario local es miembro de un grupo LDAP, el comando id local_user no devuelve la pertenencia al grupo LDAP del usuario. Para solucionar el problema, invierta el orden de las bases de datos en las que el sistema busca la pertenencia a grupos de los usuarios en el archivo /etc/nsswitch.conf, sustituyendo sss files por files sss, o desactive el dominio implícito de files añadiendo

Las reglas sudo podrían no funcionar con id_provider=ad si las reglas sudo hacen referencia a los nombres de los grupos

System Security Services Daemon (SSSD) no resuelve los nombres de grupo de Active Directory durante la operación initgroups debido a una optimización de la comunicación entre AD y SSSD mediante el uso de una caché. La entrada de la caché sólo contiene un identificador de seguridad (SID) y no los nombres de los grupos hasta que se solicita el grupo por nombre o por ID. Por lo tanto, las reglas de sudo no coinciden con el grupo de AD a menos que los grupos estén completamente resueltos antes de ejecutar sudo.

La configuración PAM por defecto para systemd-user ha cambiado en RHEL 8, lo que puede influir en el comportamiento de SSSD

La pila de módulos de autenticación enchufables (PAM) ha cambiado en Red Hat Enterprise Linux 8. Por ejemplo, la sesión de usuario systemd ahora inicia una conversación PAM usando el servicio systemd-user PAM. Este servicio ahora incluye recursivamente el servicio PAM system-auth, que puede incluir la interfaz pam_sss.so. Esto significa que el control de acceso SSSD siempre es llamado.

El servidor IdM no funciona en FIPS

Debido a una implementación incompleta del conector SSL para Tomcat, un servidor de gestión de identidades (IdM) con un servidor de certificados instalado no funciona en máquinas con el modo FIPS activado.

Samba deniega el acceso cuando se utiliza el complemento de asignación de ID sss

Para utilizar Samba como servidor de archivos en un host RHEL unido a un dominio de Active Directory (AD), el servicio Winbind de Samba debe estar ejecutándose incluso si se utiliza SSSD para gestionar usuarios y grupos desde AD. Si se une al dominio utilizando el comando realm join --client-software=sssd o sin especificar el parámetro --client-software en este comando, realm crea sólo el archivo /etc/sssd/sssd.conf. Cuando se ejecuta Samba en el miembro del dominio con esta configuración y se añade una configuración que utiliza el back end de mapeo de ID sss al archivo /etc/samba/smb.conf para compartir directorios, los cambios en el back end de mapeo de ID pueden causar errores. En consecuencia, Samba niega el acceso a los archivos en ciertos casos, incluso si el usuario o grupo existe y es conocido por SSSD.

El servicio nuxwdog falla en entornos HSM y requiere instalar el paquete keyutils en entornos no HSM

El servicio de vigilancia nuxwdog se ha integrado en Certificate System. En consecuencia, nuxwdog ya no se proporciona como un paquete independiente. Para utilizar el servicio de vigilancia, instale el paquete pki-server.

La adición de anulaciones de ID de usuarios de AD sólo funciona en la CLI de IdM

Actualmente, la adición de anulaciones de ID de usuarios de Active Directory (AD) a los grupos de Gestión de identidades (IdM) con el fin de conceder acceso a las funciones de gestión falla en la interfaz web de IdM. Para solucionar el problema, utilice la interfaz de línea de comandos (CLI) de IdM.

No se muestra la información sobre los registros DNS necesarios al activar la compatibilidad con la confianza de AD en IdM

Cuando se habilita el soporte para la confianza de Active Directory (AD) en la instalación de Red Hat Enterprise Linux Identity Management (IdM) con gestión externa de DNS, no se muestra información sobre los registros DNS requeridos. La confianza del bosque en AD no tiene éxito hasta que se añaden los registros DNS requeridos. Para solucionar este problema, ejecute el comando 'ipa dns-update-system-records --dry-run' para obtener una lista de todos los registros DNS requeridos por IdM. Cuando el DNS externo para el dominio de IdM define los registros DNS necesarios, es posible establecer la confianza del bosque en AD.

Las funciones sintéticas generadas por GCC confunden a SystemTap

La optimización de GCC puede generar funciones sintéticas para copias parcialmente inline de otras funciones. Herramientas como SystemTap y GDB no pueden distinguir estas funciones sintéticas de las reales. Como consecuencia, SystemTap puede colocar sondas tanto en los puntos de entrada de las funciones sintéticas como en las reales, y así registrar múltiples aciertos de sonda para una sola llamada a una función real.

La herramienta ltrace no informa de las llamadas a funciones

Debido a las mejoras en el endurecimiento de los binarios aplicadas a todos los componentes de RHEL, la herramienta ltrace ya no puede detectar llamadas a funciones en archivos binarios procedentes de componentes de RHEL. Como consecuencia, la salida de ltrace está vacía porque no informa de ninguna llamada detectada cuando se utiliza en dichos archivos binarios. No hay ninguna solución disponible actualmente.

No se puede descubrir un objetivo iSCSI utilizando el paquete iscsiuio

Red Hat Enterprise Linux 8 no permite el acceso concurrente a las áreas de registro PCI. Como consecuencia, se produjo un error de no se pudo establecer los parámetros de red del host (err 29) y la conexión al portal de descubrimiento falló. Para solucionar este problema, establezca el parámetro del kernel iomem=relaxed en la línea de comandos del kernel para la descarga iSCSI. Esto afecta específicamente a cualquier descarga que utilice el controlador bnx2i. Como resultado, la conexión al portal de descubrimiento es ahora exitosa y el paquete iscsiuio ahora funciona correctamente.

Los volúmenes VDO pierden el consejo de deduplicación después de pasar a una plataforma de distinto endiano

Virtual Data Optimizer (VDO) escribe la cabecera del índice del Servicio Universal de Deduplicación (UDS) en el formato endian nativo de su plataforma. VDO considera que el índice UDS está corrupto y lo sobrescribe con un nuevo índice en blanco si mueve su volumen VDO a una plataforma que utiliza un endian diferente.

La opción de montaje XFS DAX es incompatible con los extensiones de datos compartidos de copia en escritura

Un sistema de archivos XFS formateado con la función de extensiones de datos compartidos de copia en escritura no es compatible con la opción de montaje -o dax. Como consecuencia, el montaje de dicho sistema de archivos con -o d ax falla.

Algunos controladores SCSI pueden utilizar a veces una cantidad excesiva de memoria

Algunos controladores SCSI utilizan una mayor cantidad de memoria que en RHEL 7. En algunos casos, como la creación de vPort en un adaptador de bus de host (HBA) de canal de fibra, el uso de memoria podría ser excesivo, dependiendo de la configuración del sistema.

nftables no soporta tipos de conjuntos IP multidimensionales

El marco de filtrado de paquetes nftables no admite tipos de conjuntos con concatenaciones e intervalos. En consecuencia, no puede utilizar tipos de conjuntos IP multidimensionales, como hash:net,port, con nftables.

El objetivo TRACE en la página man de iptables-extensions(8) no se refiere a la variante nf_tables

La descripción del objetivo TRACE en la página man de iptables-extensions(8) se refiere sólo a la variante compat, pero Red Hat Enterprise Linux (RHEL) 8.0 utiliza la variante nf_tables. La utilidad iptables basada en nftables en RHEL utiliza la expresión meta nftrace internamente. Por lo tanto, el kernel no imprime los eventos TRACE en el registro del kernel, sino que los envía al espacio de usuario. Sin embargo, la página de manual no hace referencia a la utilidad de línea de comandos xtables-monitor para mostrar estos eventos.

RHEL 8 muestra el estado de un enlace 802.3ad como "Churned" después de que un conmutador no haya estado disponible durante un largo periodo de tiempo

Actualmente, cuando se configura un enlace de red 802.3ad y el conmutador está fuera de servicio durante un período de tiempo prolongado, Red Hat Enterprise Linux muestra correctamente el estado del enlace como "Churned", incluso después de que la conexión vuelve a un estado de trabajo. Sin embargo, este es el comportamiento previsto, ya que el estado "Churned" tiene como objetivo indicar al administrador que se ha producido una interrupción significativa del enlace. Para borrar este estado, reinicie el enlace de red o reinicie el host.

El comando ebtables no admite la tabla broute

El comando ebtables basado en nftables en Red Hat Enterprise Linux 8.0 no soporta la tabla broute. En consecuencia, los usuarios no pueden utilizar esta función.

El tráfico de red IPsec falla durante la descarga de IPsec cuando GRO está desactivado

No se espera que la descarga de IPsec funcione cuando la descarga de recepción genérica (GRO) está desactivada en el dispositivo. Si la descarga de IPsec está configurada en una interfaz de red y GRO está desactivado en ese dispositivo, el tráfico de red IPsec falla.

NetworkManager utiliza ahora el complemento DHCP interno por defecto

NetworkManager soporta los plug-ins DHCP interno y dhclient. Por defecto, NetworkManager en Red Hat Enterprise Linux (RHEL) 7 utiliza el dhclient y RHEL 8 el plug-in interno. En ciertas situaciones, los plug-ins se comportan de manera diferente. Por ejemplo, dhclient puede utilizar configuraciones adicionales especificadas en el directorio /etc/dhcp/.

Las opciones avanzadas de la VPN basada en IPsec no se pueden cambiar usando gnome-control-center

Cuando se configura una conexión VPN basada en IP sec utilizando la aplicación gnome-control-center, el diálogo Avanzado sólo mostrará la configuración, pero no permitirá hacer ningún cambio. Como consecuencia, los usuarios no pueden cambiar ninguna opción avanzada de IPsec. Para solucionar este problema, utilice las herramientas nm-connection-editor o nmcli para realizar la configuración de las propiedades avanzadas.

Los archivos /etc/hosts.allow y /etc/hosts.deny contienen información inexacta

El paquete tcp_wrappers se elimina en Red Hat Enterprise Linux (RHEL) 8, pero no sus archivos, /etc/hosts.allow y /etc/hosts.deny. Como consecuencia, estos archivos contienen información obsoleta, que no es aplicable para RHEL 8.

La desfragmentación de IP no puede ser sostenible bajo la sobrecarga de tráfico de la red

En Red Hat Enterprise Linux 8, el hilo del kernel de recolección de basura ha sido eliminado y los fragmentos de IP expiran sólo en el tiempo de espera. Como resultado, el uso de la CPU bajo Denegación de Servicio (DoS) es mucho menor, y la tasa máxima sostenible de caída de fragmentos está limitada por la cantidad de memoria configurada para la unidad de reensamblaje IP. Con la configuración por defecto, las cargas de trabajo que requieren tráfico fragmentado en presencia de caídas de paquetes, reordenamiento de paquetes o muchos flujos fragmentados concurrentes pueden incurrir en una regresión de rendimiento relevante.

Cambios en los nombres de las interfaces de red en RHEL 8

En Red Hat Enterprise Linux 8, se utiliza por defecto el mismo esquema consistente de nomenclatura de dispositivos de red que en RHEL 7. Sin embargo, algunos controladores del kernel, como e1000e, nfp, qede, sfc, tg3 y bnxt_en cambiaron su nombre consistente en una instalación fresca de RHEL 8. Sin embargo, los nombres se conservan al actualizar desde RHEL 7.

libselinux-python sólo está disponible a través de su módulo

El paquete libselinux-python sólo contiene bindings de Python 2 para el desarrollo de aplicaciones SELinux y se utiliza por compatibilidad con versiones anteriores. Por esta razón, libselinux-python ya no está disponible en los repositorios por defecto de RHEL 8 a través del comando dnf install libselinux-python.

libssh no cumple con la política criptográfica de todo el sistema

La biblioteca libssh no sigue la configuración de políticas criptográficas de todo el sistema. Como consecuencia, el conjunto de algoritmos soportados no se modifica cuando el administrador cambia el nivel de las políticas criptográficas utilizando el comando update-crypto-policies.

Algunas cadenas de prioridad de rsyslog no funcionan correctamente

La compatibilidad con la cadena de prioridad GnuTLS para imtcp que permite un control detallado de la codificación no es completa. En consecuencia, las siguientes cadenas de prioridad no funcionan correctamente en rsyslog:

Efectos negativos de la configuración de registro por defecto en el rendimiento

La configuración del entorno de registro por defecto puede consumir 4 GB de memoria o incluso más y los ajustes de los valores de límite de velocidad son complejos cuando systemd-journald se ejecuta con rsyslog.

OpenSCAP rpmverifypackage no funciona correctamente

Las llamadas al sistema chdir y chroot son llamadas dos veces por la sonda rpmverifypackage. En consecuencia, se produce un error cuando la sonda se utiliza durante un análisis de OpenSCAP con contenido personalizado de Open Vulnerability and Assessment Language (OVAL).

SCAP Workbench no genera correcciones basadas en resultados a partir de perfiles adaptados

El siguiente error se produce al intentar generar roles de corrección basados en resultados a partir de un perfil personalizado utilizando la herramienta SCAP Workbench:

Kickstart utiliza org_fedora_oscap en lugar de com_redhat_oscap en RHEL 8

El Kickstart hace referencia al complemento Anaconda del Protocolo de Automatización de Contenidos de Seguridad Abierta (OSCAP) como org_fedora_oscap en lugar de com_redhat_oscap, lo que podría causar confusión. Esto se hace para mantener la compatibilidad con Red Hat Enterprise Linux 7.

OpenSCAP rpmverifyfile no funciona

El escáner OpenSCAP no cambia correctamente el directorio de trabajo actual en modo offline, y la función fchdir no se llama con los argumentos correctos en la sonda OpenSCAP rpmverifyfile. En consecuencia, el escaneo de sistemas de archivos arbitrarios usando el comando oscap-chroot falla si rpmverifyfile_test es usado en un contenido SCAP. Como resultado, oscap-chroot aborta en el escenario descrito.

OpenSCAP no proporciona escaneo fuera de línea de máquinas virtuales y contenedores

La refactorización de la base de código de OpenSCAP provocó que ciertas sondas RPM no pudieran escanear los sistemas de archivos de las máquinas virtuales y los contenedores en modo offline. Por esta razón, se eliminaron las siguientes herramientas del paquete openscap-utils: oscap-vm y oscap-chroot. También se eliminó por completo el paquete openscap-containers.

No se dispone de una utilidad para escanear la seguridad y el cumplimiento de los contenedores

En Red Hat Enterprise Linux 7, la utilidad oscap-docker se puede utilizar para escanear contenedores Docker basados en tecnologías Atomic. En Red Hat Enterprise Linux 8, los comandos OpenSCAP relacionados con Docker y Atomic no están disponibles. Como resultado, oscap-docker o una utilidad equivalente para el escaneo de seguridad y cumplimiento de los contenedores no está disponible en RHEL 8 por el momento.

La biblioteca TLS de OpenSSL no detecta si el token PKCS#11 admite la creación de firmas RSA sin procesar o RSA-PSS

El protocolo TLS-1.3 requiere el soporte de la firma RSA-PSS. Si el token PKCS#11 no es compatible con las firmas RSA o RSA-PSS en bruto, las aplicaciones de servidor que utilizan la biblioteca TLS de OpenSSL no podrán trabajar con la clave RSA si la tiene el token PKCS#11. Como resultado, la comunicación TLS fallará.

Apache httpd no se inicia si utiliza una clave privada RSA almacenada en un dispositivo PKCS#11 y un certificado RSA-PSS

El estándar PKCS#11 no distingue entre objetos de clave RSA y RSA-PSS y utiliza el tipo CKK_RSA para ambos. Sin embargo, OpenSSL utiliza tipos diferentes para las claves RSA y RSA-PSS. Como consecuencia, el motor openssl-pkcs11 no puede determinar qué tipo debe proporcionarse a OpenSSL para los objetos de clave PKCS#11 RSA. Actualmente, el motor establece el tipo de clave como claves RSA para todos los objetos PKCS#11 CKK_RSA. Cuando OpenSSL compara los tipos de una clave pública RSA-PSS obtenida del certificado con el tipo contenido en un objeto de clave privada RSA proporcionado por el motor, concluye que los tipos son diferentes. Por tanto, el certificado y la clave privada no coinciden. La comprobación realizada en la función X509_check_private_key() de OpenSSL devuelve un error en este escenario. El servidor web httpd llama a esta función en su proceso de inicio para comprobar si el certificado y la clave proporcionados coinciden. Dado que esta comprobación siempre falla para un certificado que contenga una clave pública RSA-PSS y una clave privada RSA almacenada en el módulo PKCS#11, httpd no puede iniciarse utilizando esta configuración. No hay ninguna solución disponible para este problema.

httpd no se inicia si utiliza una clave privada ECDSA sin la correspondiente clave pública almacenada en un dispositivo PKCS#11

A diferencia de las claves RSA, las claves privadas ECDSA no contienen necesariamente información sobre la clave pública. En este caso, no se puede obtener la clave pública de una clave privada ECDSA. Por esta razón, un dispositivo PKCS#11 almacena la información de la clave pública en un objeto separado, ya sea un objeto de clave pública o un objeto de certificado. OpenSSL espera que la estructura EVP_PKEY proporcionada por un motor para una clave privada contenga la información de la clave pública. Cuando se rellena la estructura EVP_PKEY que se proporciona a OpenSSL, el motor del paquete openssl-pkcs11 intenta obtener la información de la clave pública sólo de los objetos de clave pública que coinciden e ignora los objetos de certificado presentes.

OpenSSH no maneja correctamente los URIs PKCS #11 para claves con etiquetas que no coinciden

La suite OpenSSH puede identificar los pares de claves mediante una etiqueta. La etiqueta puede ser diferente en las claves privadas y públicas almacenadas en una tarjeta inteligente. En consecuencia, especificar URIs PKCS #11 con la parte del objeto (etiqueta de la clave) puede impedir que OpenSSH encuentre los objetos apropiados en PKCS #11.

La salida de iptables-ebtables no es 100 ompatible con ebtables

En RHEL 8, el comando ebtables es proporcionado por el paquete iptables-ebtables, que contiene una reimplementación de la herramienta basada en nftables. Esta herramienta tiene una base de código diferente, y su salida se desvía en aspectos, que son insignificantes o elecciones de diseño deliberadas.

curve25519-sha256 no está soportado por defecto en OpenSSH

El algoritmo de intercambio de claves SSH curve25519-sha256 falta en las configuraciones de las políticas criptográficas de todo el sistema para el cliente y el servidor OpenSSH, aunque sea compatible con el nivel de política por defecto. Como consecuencia, si un cliente o un servidor utiliza curve25519-sha256 y este algoritmo no es soportado por el host, la conexión podría fallar.

OpenSSL maneja incorrectamente los tokens PKCS #11 que no admiten firmas RSA o RSA-PSS en bruto

La biblioteca OpenSSL no detecta las capacidades relacionadas con las claves de los tokens PKCS #11. En consecuencia, el establecimiento de una conexión TLS falla cuando se crea una firma con un token que no admite firmas RSA o RSA-PSS en bruto.

Las conexiones SSH con sistemas alojados en VMware no funcionan

La versión actual de la suite OpenSSH introduce un cambio de las banderas de calidad de servicio IP (IPQoS) por defecto en los paquetes SSH, que no es manejado correctamente por la plataforma de virtualización VMware. En consecuencia, no es posible establecer una conexión SSH con sistemas en VMware.

No se imprime ningún mensaje para el ajuste y desajuste del nivel de servicio

Cuando el servicio candlepin no tiene una funcionalidad 'syspurpose', el gestor de suscripciones utiliza una ruta de código diferente para establecer el argumento de nivel de servicio. Esta ruta de código no imprime el resultado de la operación. Como consecuencia, no se muestra ningún mensaje cuando el gestor de suscripciones establece el nivel de servicio. Esto es especialmente problemático cuando el nivel de servicio establecido tiene un error tipográfico o no está realmente disponible.

los complementos syspurpose no tienen efecto en la salida de subscription-manager attach --auto.

En Red Hat Enterprise Linux 8, se han añadido cuatro atributos de la herramienta de línea de comandos syspurpose: role, usage, service_level_agreement y addons. Actualmente, sólo role, usage y service_level_agreement afectan la salida de la ejecución del comando subscription-manager attach --auto. Los usuarios que intenten establecer valores en el argumento addons no observarán ningún efecto en las suscripciones que se adjuntan automáticamente.

Las máquinas virtuales ESXi que fueron personalizadas usando cloud-init y clonadas arrancan muy lentamente

Actualmente, si el servicio cloud-init se utiliza para modificar una máquina virtual (VM) que se ejecuta en el hipervisor VMware ESXi para utilizar IP estática y la VM se clona a continuación, la nueva VM clonada en algunos casos tarda mucho tiempo en reiniciarse. Esto se debe a que cloud-init reescribe la IP estática de la VM a DHCP y luego busca una fuente de datos disponible.

La habilitación de la virtualización anidada bloquea la migración en vivo

Actualmente, la función de virtualización anidada es incompatible con la migración en vivo. Por lo tanto, la activación de la virtualización anidada en un host RHEL 8 impide la migración de cualquier máquina virtual (VM) del host, así como guardar instantáneas del estado de la VM en el disco.

Falla el uso de cloud-init para aprovisionar máquinas virtuales en Microsoft Azure

Actualmente, no es posible utilizar la utilidad cloud-init para aprovisionar una máquina virtual (VM) RHEL 8 en la plataforma Microsoft Azure. Para solucionar este problema, utilice uno de los siguientes métodos:

Las máquinas virtuales RHEL 8 de segunda generación a veces no arrancan en hosts Hyper-V Server 2016

Cuando se utiliza RHEL 8 como sistema operativo invitado en una máquina virtual (VM) que se ejecuta en un host Microsoft Hyper-V Server 2016, la VM en algunos casos no arranca y vuelve al menú de arranque GRUB. Además, se registra el siguiente error en el registro de eventos de Hyper-V:

los comandosvirsh iface-\* no funcionan consistentemente

Actualmente, los comandos virsh iface-*, como virsh iface-start y virsh iface-destroy, fallan frecuentemente debido a las dependencias de configuración. Por lo tanto, se recomienda no utilizar los comandos virsh iface-\* para configurar y gestionar las conexiones de red del host. En su lugar, utilice el programa NetworkManager y sus aplicaciones de gestión relacionadas.

Las extensiones de máquinas virtuales Linux para Azure a veces no funcionan

RHEL 8 no incluye el paquete python2 por defecto. Como consecuencia, la ejecución de extensiones de máquinas virtuales Linux para Azure, también conocidas como azure-linux-extensions, en una VM RHEL 8 en algunos casos falla.

redhat-support-tool no recoge sosreport automáticamente de opencase

El comando redhat-support-tool no puede crear un archivo sosreport. Para solucionar este problema, ejecute el comando sosreport por separado y, a continuación, introduzca el comando redhat-support-tool addattachment -c para cargar el archivo o utilice la interfaz web en el Portal del cliente. Como resultado, se creará un caso y se cargará sosreport.