8.1 Notas de la versión

2021-02-22Red Hat

Proporcionar comentarios sobre la documentación de Red Hat

Agradecemos su opinión sobre nuestra documentación. Por favor, díganos cómo podemos mejorarla. Para ello:

Para realizar comentarios sencillos sobre pasajes concretos, asegúrese de que está viendo la documentación en el formato HTML multipágina. Resalte la parte del texto que desea comentar. A continuación, haga clic en la ventana emergente Add Feedback que aparece debajo del texto resaltado y siga las instrucciones que aparecen.
Para enviar comentarios más complejos, cree un ticket de Bugzilla:
1. Vaya al sitio web de Bugzilla.
2. Como componente, utilice Documentation.
3. Rellene el campo Description con su sugerencia de mejora. Incluya un enlace a la(s) parte(s) pertinente(s) de la documentación.
4. Haga clic en Submit Bug.

Capítulo 1. Resumen

Creación del instalador y de la imagen

Ahora los usuarios pueden desactivar los módulos durante una instalación Kickstart.

Consulte Sección 6.1.1, “Creación del instalador y de la imagen” para más detalles.

Roles del sistema Red Hat Enterprise Linux

Se ha añadido un nuevo rol de almacenamiento a RHEL System Roles.

Consulte Sección 6.1.17, “Roles del sistema Red Hat Enterprise Linux” para más detalles.

Servicios de infraestructura

RHEL 8.1 introduce una nueva pila de protocolos de enrutamiento, FRRque sustituye a la Quagga que se utilizaba en versiones anteriores de RHEL FRR proporciona servicios de enrutamiento basados en TCP/IP con soporte para múltiples protocolos de enrutamiento IPv4 e IPv6.

La herramienta de ajuste del sistema Tuned la herramienta de ajuste del sistema se ha actualizado a la versión 2.12, que añade soporte para la negación de la lista de CPU.

La suite chrony se ha actualizado a la versión 3.5, que añade soporte para una sincronización más precisa del reloj del sistema con la marca de tiempo del hardware en el kernel RHEL 8.1.

Para más información, consulte Sección 6.1.4, “Servicios de infraestructura”.

Seguridad

RHEL 8.1 introduce una nueva herramienta para generar políticas SELinux para contenedores udica. Con udicapuede crear una política de seguridad a medida para controlar mejor el modo en que un contenedor accede a los recursos del sistema anfitrión, como el almacenamiento, los dispositivos y la red. Esto le permite endurecer sus despliegues de contenedores contra las violaciones de seguridad y también simplifica la consecución y el mantenimiento del cumplimiento normativo.

El marco de software fapolicyd introduce una forma de listas blancas y negras de aplicaciones basada en una política definida por el usuario. La función de listas blancas de aplicaciones de RHEL 8.1 ofrece una de las formas más eficaces de evitar la ejecución de aplicaciones no fiables y posiblemente maliciosas en el sistema.

La suite de cumplimiento de la seguridad, OpenSCAP, es ahora compatible con los flujos de datos SCAP 1.3 y ofrece informes mejorados.

Para más información, consulte Sección 6.1.5, “Seguridad”.

Núcleo

Ya está disponible la aplicación de parches en vivo para el kernel, kpatch, que permite consumir las correcciones de CVE críticos e importantes sin necesidad de reiniciar el sistema.

Extended Berkeley Packet Filter (eBPF) es una máquina virtual dentro del núcleo que permite la ejecución de código en el espacio del núcleo. eBPF es utilizado por un número de componentes en RHEL. En RHEL 8.1, el paquete de herramientas BPF Compiler Collection (BCC) es totalmente compatible con las arquitecturas de 64 bits de AMD e Intel, y está disponible como Technology Preview para otras arquitecturas. Además, el lenguaje de rastreo bpftrace y la función eXpress Data Path (XDP) están disponibles como Technology Preview.

Para más información, consulte Sección 6.1.7, “Núcleo” y Sección 6.5.2, “Núcleo”.

Sistemas de archivos y almacenamiento

El formato LUKS versión 2 (LUKS2) admite ahora la recodificación de dispositivos de bloque mientras los dispositivos están en uso.

Para más información, consulte Sección 6.1.9, “Sistemas de archivos y almacenamiento”.

Lenguajes de programación dinámicos, servidores web y de bases de datos

Las versiones posteriores de los siguientes componentes ya están disponibles como nuevos flujos de módulos:

PHP 7.3
Rubí 2.6
Node.js 12
nginx 1.16

Consulte Sección 6.1.11, “Lenguajes de programación dinámicos, servidores web y de bases de datos” para más detalles.

Conjuntos de herramientas de compilación

RHEL 8.1 introduce un nuevo conjunto de herramientas de compilación, GCC Toolset 9, un flujo de aplicaciones empaquetado como colección de software, que proporciona versiones recientes de herramientas de desarrollo.

Además, se han actualizado los siguientes conjuntos de herramientas de compilación:

LLVM 8.0.1
Conjunto de herramientas de óxido 1.37
Juego de herramientas Go 1.12.8

Para más información, consulte Sección 6.1.12, “Compiladores y herramientas de desarrollo”.

Gestión de la identidad

Identity Management presenta una nueva herramienta de línea de comandos Healthcheck. Healthcheck ayuda a los usuarios a encontrar problemas que pueden afectar a la idoneidad de sus entornos de IdM.

Consulte Sección 6.1.13, “Gestión de la identidad” para más detalles.

Identity Management ahora es compatible con los roles y módulos de Ansible para su instalación y gestión. Esta actualización facilita la instalación y configuración de las soluciones basadas en IdM.

Para más información, consulte Sección 6.1.13, “Gestión de la identidad”.

Escritorio

El subsistema gráfico del kernel Direct Rendering Manager (DRM) ha sido reajustado a la versión 5.1 del kernel de Linux. Esta versión proporciona una serie de mejoras con respecto a la versión anterior, incluyendo soporte para nuevas GPUs y APUs, y varias actualizaciones de controladores. Consulte Sección 6.1.14, “Escritorio” para obtener más detalles.

Actualización in situ de RHEL 7 a RHEL 8

Se han introducido las siguientes mejoras importantes:

Se ha añadido soporte para una actualización in situ en las siguientes arquitecturas: ARM de 64 bits, IBM POWER (little endian), IBM Z.
Ahora es posible realizar una evaluación del sistema previa a la actualización en la consola web y aplicar correcciones automatizadas mediante el nuevo complemento cockpit-leapp.
Los directorios /var o /usr pueden montarse ahora en una partición separada.
Ahora es compatible con UEFI.
Leapp ahora actualiza los paquetes del repositorio complementario.

Para obtener información sobre las rutas de actualización soportadas, consulte Rutas de actualización in situ soportadas para Red Hat Enterprise Linux. Para obtener instrucciones sobre cómo realizar una actualización in situ, consulte Actualización de RHEL 7 a RHEL 8.

Si está utilizando CentOS 7 u Oracle Linux 7, puede convertir su sistema operativo a RHEL 7 utilizando la utilidad convert2rhel antes de actualizar a RHEL 8. Para obtener instrucciones, consulte Cómo convertir de CentOS u Oracle Linux a RHEL.

Recursos adicionales

Capabilities and limits de Red Hat Enterprise Linux 8 en comparación con otras versiones del sistema están disponibles en el artículo de la base de conocimientos Capacidades y límites de la tecnología Red Hat Enterprise Linux.
La información relativa a Red Hat Enterprise Linux life cycle se proporciona en el documento Ciclo de vida de Red Hat Enterprise Linux.
El documento del manifiesto del paquete proporciona un package listing para RHEL 8.
Los principales differences between RHEL 7 and RHEL 8 están documentados en Consideraciones para la adopción de RHEL 8.
En el documento Actualización a RHEL 8 se dan instrucciones sobre cómo realizar un in-place upgrade from RHEL 7 to RHEL 8.
El servicio Red Hat Insights, que le permite identificar, examinar y resolver proactivamente los problemas técnicos conocidos, está ahora disponible con todas las suscripciones de RHEL. Para obtener instrucciones sobre cómo instalar el cliente Red Hat Insights y registrar su sistema en el servicio, consulte la página Red Hat Insights Get Started.

Portal de clientes de Red Hat Labs

Red Hat Customer Portal Labs es un conjunto de herramientas en una sección del Portal del Cliente disponible en https://access.redhat.com/labs/. Las aplicaciones del Portal del Cliente de Red Hat Labs pueden ayudarle a mejorar el rendimiento, a solucionar rápidamente los problemas, a identificar los problemas de seguridad y a desplegar y configurar rápidamente las aplicaciones complejas. Algunas de las aplicaciones más populares son:

Capítulo 2. Arquitecturas

Red Hat Enterprise Linux 8.1 se distribuye con la versión 4.18.0-147 del kernel, que proporciona soporte para las siguientes arquitecturas:

Arquitecturas de 64 bits de AMD e Intel
La arquitectura ARM de 64 bits
IBM Power Systems, Little Endian
IBM Z

Asegúrese de adquirir la suscripción apropiada para cada arquitectura. Para más información, consulte Introducción a Red Hat Enterprise Linux - arquitecturas adicionales. Para una lista de suscripciones disponibles, vea Utilización de suscripciones en el Portal del cliente.

Capítulo 3. Cambios importantes en los parámetros externos del núcleo

Este capítulo proporciona a los administradores de sistemas un resumen de los cambios significativos en el kernel que se entrega con Red Hat Enterprise Linux 8.1. Estos cambios incluyen entradas proc añadidas o actualizadas, valores por defecto de sysctl y sysfs, parámetros de arranque, opciones de configuración del kernel o cualquier cambio de comportamiento notable.

Nuevos parámetros del núcleo

perf_v4_pmi = [X86,INTEL]

Este parámetro desactiva la función de congelación del contador de la Intel PMU.

La función sólo existe a partir de Arch Perfmon v4 (Skylake y más recientes).

Formato

hv_nopvspin [X86,HYPER_V]

Este parámetro deshabilita las optimizaciones de spinlock paravirtual que permiten al hipervisor "ralentizar" al huésped en la contención de bloqueos.

ipcmni_extend [KNL]

Este parámetro amplía el número máximo de identificadores únicos de System V IPC de 32.768 a 16.777.216.

kpti = [ARM64]

Este parámetro controla el aislamiento de la tabla de páginas de los espacios de direcciones del usuario y del núcleo.

Las opciones son:

Por defecto: activado en los núcleos que necesitan mitigación.
0: fuerza desactivada
1: fuerza activada

mds = [X86,INTEL]

Este parámetro controla la mitigación de la vulnerabilidad MDS (Micro-architectural Data Sampling).

Algunas CPUs son vulnerables a un exploit contra los búferes internos de la CPU que pueden reenviar información a un gadget de divulgación bajo ciertas condiciones. En los procesadores vulnerables, los datos reenviados especulativamente pueden utilizarse en un ataque de canal lateral de caché, para acceder a datos a los que el atacante no tiene acceso directo.

Las opciones son:

completo - Habilitar la mitigación de MDS en las CPUs vulnerables.
full,nosmt - Activa la mitigación MDS y desactiva el Multi Threading Simultáneo (SMT) en las CPUs vulnerables.
off - Desactivar incondicionalmente la mitigación MDS.
No especificar este parámetro equivale a mds=full.
Para más detalles, consulte la documentación del kernel.

mitigaciones = [X86,PPC,S390,ARM64]

Este parámetro controla las mitigaciones opcionales para las vulnerabilidades de la CPU. Se trata de un conjunto de opciones curadas e independientes del arco, cada una de las cuales es una agregación de las opciones específicas del arco existentes.

Las opciones son:

off - Desactivar todas las mitigaciones opcionales de la CPU. Esto mejora el rendimiento del sistema, pero también puede exponer a los usuarios a varias vulnerabilidades de la CPU.
Equivalente a:
- nopti [X86,PPC]
- kpti=0 [ARM64]
- nospectre_v1 [X86,PPC]
- nobp=0 [S390]
- nospectre_v2 [X86,PPC,S390,ARM64]
- spectre_v2_user=off [X86]
- spec_store_bypass_disable=off [X86,PPC]
- ssbd=force-off [ARM64]
- l1tf=off [X86]
- mds=off [X86]
auto (por defecto) - Mitiga todas las vulnerabilidades de la CPU, pero deja habilitado el Multihilo Simultáneo (SMT), incluso si es vulnerable. Esta opción es para los usuarios que no quieren ser sorprendidos por la desactivación de SMT en las actualizaciones del kernel, o que tienen otras formas de evitar los ataques basados en SMT.
Equivalente a:
- (comportamiento por defecto)
auto,nosmt - Mitiga todas las vulnerabilidades de la CPU, deshabilitando el Multihilo Simultáneo (SMT) si es necesario. Esta opción es para los usuarios que siempre quieren estar completamente mitigados, incluso si significa perder SMT.
Equivalente a:
- l1tf=flush,nosmt [X86]
- mds=full,nosmt [X86]

novmcoredd [KNL,KDUMP]

Este parámetro desactiva el volcado del dispositivo.

El volcado de dispositivos permite a los controladores anexar datos de volcado a vmcore para poder recopilar la información de depuración especificada por el controlador. Los controladores pueden anexar los datos sin ningún límite y estos datos se almacenan en la memoria, por lo que esto puede causar un estrés significativo en la memoria.

Desactivar el volcado de dispositivos puede ayudar a ahorrar memoria, pero los datos de depuración del controlador dejarán de estar disponibles.

Este parámetro sólo está disponible cuando se establece la configuración del kernel CONFIG_PROC_VMCORE_DEVICE_DUMP.

nospectre_v1 [X86]

Este parámetro desactiva la mitigación de la variante 1 de Spectre (derivación de la comprobación de límites).

Con esta opción, es posible que haya fugas de datos en el sistema.

psi = [KNL]

Este parámetro habilita o deshabilita el seguimiento de la información de pérdida de presión.

Formato

random.trust_cpu={on,off} [KNL]

Este parámetro habilita o deshabilita la confianza en el uso del generador de números aleatorios de la CPU (si está disponible) para sembrar completamente el generador criptográfico de números aleatorios (CRNG) del kernel. El valor por defecto es controlado por la configuración del kernel CONFIG_RANDOM_TRUST_CPU.

vm_debug[=opciones] [KNL]

Disponible con CONFIG_DEBUG_VM=y.

La activación de este parámetro puede ralentizar la velocidad de arranque del sistema, especialmente en sistemas con gran cantidad de memoria.

Todas las opciones están activadas por defecto, y esta interfaz está pensada para permitir la activación o desactivación selectiva de funciones específicas de depuración de la memoria virtual.

Las opciones son:

P - Habilitar el envenenamiento del tiempo de init de la estructura de la página.
- (guión) - Desactivar todas las opciones anteriores.

Parámetros del núcleo actualizados

cgroup_no_v1 = [KNL]

Este parámetro desactiva los controladores cgroup y las jerarquías con nombre en la versión 1 (v1).

The parameter is like the cgroup_disable kernel parameter, but only applies to cgroup v1. The blacklisted controllers remain available in cgroup2. The "all" option blacklists all controllers and the "named" option disables the named mounts. Specifying both "all" and "named" disables all v1 hierarchies.

Format: { { controller | "all" | "named" } [,{ controller | "all" | "named" }…] }

crashkernel = size[KMG][@offset[KMG]][KNL]

The kexec system call allows Linux to switch to a 'crash kernel' upon panic. This parameter reserves the physical memory region [offset, offset + size] for that kernel image. If @offset is omitted, then a suitable offset is selected automatically.

[KNL, x86_64] select a region under 4G first, and fall back to reserve region above 4G when @offset has not been specified.

For more information, see the upstream kdump documentation.

l1tf = [X86]

Este parámetro controla la mitigación de la vulnerabilidad L1 Terminal Fault (L1TF) en las CPUs afectadas.

Las opciones son:

off - Desactiva las mitigaciones del hipervisor y no emite ninguna advertencia. También elimina la restricción del tamaño de la swap y del límite de RAM disponible tanto en el hipervisor como en el bare metal.
flush - Es el valor por defecto.
Para más detalles, consulte la documentación del kernel.

nospectre_v2 [X86,PPC_FSL_BOOK3E,ARM64]

Este parámetro desactiva todas las mitigaciones de la vulnerabilidad Spectre variante 2 (predicción indirecta de bifurcaciones).

El sistema puede permitir la fuga de datos con este parámetro.

pci=opción[,opción...] [PCI]

Varias opciones del subsistema PCI.

Las opciones son:

force_floating [S390] - Forzar el uso de interrupciones flotantes.
nomio [S390] - No utilizar instrucciones de entrada/salida de memoria (MIO).

Nuevos parámetros de /proc/sys/kernel

hyperv_record_panic_msg

Este parámetro controla si los datos del mensaje de pánico del kernel (kmsg) se reportan a Hyper-V o no.

Los valores son:

0 - No informar de los datos de kmsg de pánico.
1 - Informar de los datos del kmsg de pánico. Este es el comportamiento por defecto.

Nuevos parámetros de /proc/sys/net

bpf_jit_limit

Este parámetro impone un límite global para las asignaciones de memoria al compilador de Berkeley Packet Filter Just-in-Time (BPF JIT) con el fin de rechazar las solicitudes JIT no privilegiadas una vez superado.

El parámetro bpf_jit_limit contiene el valor del límite global en bytes.

Parámetros actualizados de /proc/sys/fs

estado de la dentadura

Las dentaduras se asignan y desasignan dinámicamente.

El usuario puede recuperar los siguientes valores a partir de la lectura del archivo /proc/sys/fs/dentry-state:

nr_dentry - Muestra el número total de dentrías asignadas (activas no utilizadas).
nr_unused - Muestra el número de dentrías que no se utilizan activamente, pero que se guardan en la lista de las menos utilizadas (LRU) para su futura reutilización.
age_limit - Muestra la edad en segundos después de la cual las entradas de dcache pueden ser recuperadas cuando la memoria es corta.
want_pages - Es distinto de cero cuando se ha llamado a la función shrink_dcache_pages() y la caché no se ha podado todavía.
nr_negativo - Muestra el número de dentrías no utilizadas que también son dentrías negativas que no se asignan a ningún archivo. En cambio, ayudan a acelerar el rechazo de archivos inexistentes proporcionados por los usuarios.

Parámetros actualizados de /proc/sys/kernel

msg_next_id, sem_next_id y shm_next_id

Notas:

El kernel no garantiza que el nuevo objeto tenga el ID deseado. Depende del espacio de usuario, cómo manejar un objeto con el ID "incorrecto".
El kernel devolverá a -1 el valor no predeterminado después de la asignación exitosa de objetos de comunicación entre procesos (IPC). Si la llamada al sistema de asignación de objetos IPC falla, no está definido si el valor permanece sin modificar o se restablece a -1.

Capítulo 4. Distribución de contenidos en RHEL 8

4.1. Instalación

Red Hat Enterprise Linux 8 se instala mediante imágenes ISO. Hay dos tipos de imágenes ISO disponibles para las arquitecturas AMD64, Intel 64 bits, ARM 64 bits, IBM Power Systems e IBM Z:

DVD ISO binario: Una imagen de instalación completa que contiene los repositorios de BaseOS y AppStream y permite completar la instalación sin repositorios adicionales.
Nota
La imagen ISO de DVD binario es mayor de 4,7 GB, por lo que es posible que no quepa en un DVD de una sola capa. Se recomienda un DVD de doble capa o una llave USB cuando se utilice la imagen ISO de DVD binario para crear medios de instalación de arranque. También puede utilizar la herramienta Image Builder para crear imágenes RHEL personalizadas. Para obtener más información sobre Image Builder, consulte el Composing a customized RHEL system image documento.
Boot ISO: Una imagen ISO de arranque mínima que se utiliza para arrancar en el programa de instalación. Esta opción requiere acceso a los repositorios de BaseOS y AppStream para instalar los paquetes de software. Los repositorios forman parte de la imagen ISO del DVD binario.

Consulte el documento Realización de una instalación estándar de RHEL para obtener instrucciones sobre la descarga de imágenes ISO, la creación de medios de instalación y la finalización de una instalación de RHEL. Para las instalaciones automatizadas de Kickstart y otros temas avanzados, consulte el documento Realización de una instalación avanzada de RHEL.

4.2. Repositorios

Red Hat Enterprise Linux 8 se distribuye a través de dos repositorios principales:

BaseOS
AppStream

Ambos repositorios son necesarios para una instalación básica de RHEL, y están disponibles con todas las suscripciones de RHEL.

El contenido del repositorio de BaseOS está destinado a proporcionar el conjunto básico de la funcionalidad del sistema operativo subyacente que proporciona la base para todas las instalaciones. Este contenido está disponible en el formato RPM y está sujeto a términos de soporte similares a los de las versiones anteriores de RHEL. Para obtener una lista de los paquetes distribuidos a través de BaseOS, consulte el manifiesto de paquetes.

El contenido del repositorio de flujos de aplicaciones incluye aplicaciones adicionales de espacio de usuario, lenguajes de tiempo de ejecución y bases de datos para apoyar las variadas cargas de trabajo y casos de uso. Los flujos de aplicaciones están disponibles en el conocido formato RPM, como una extensión del formato RPM llamada modules, o como Colecciones de Software. Para obtener una lista de paquetes disponibles en AppStream, consulte el manifiesto de paquetes.

Además, el repositorio CodeReady Linux Builder está disponible con todas las suscripciones a RHEL. Proporciona paquetes adicionales para el uso de los desarrolladores. Los paquetes incluidos en el repositorio CodeReady Linux Builder no son compatibles.

Para obtener más información sobre los repositorios de RHEL 8, consulte el manifiesto de paquetes.

4.3. Flujos de aplicaciones

Red Hat Enterprise Linux 8 introduce el concepto de Application Streams. Ahora se entregan y actualizan múltiples versiones de componentes del espacio de usuario con mayor frecuencia que los paquetes del sistema operativo principal. Esto proporciona una mayor flexibilidad para personalizar Red Hat Enterprise Linux sin afectar a la estabilidad subyacente de la plataforma o a implementaciones específicas.

Los componentes disponibles como Application Streams pueden empaquetarse como módulos o paquetes RPM y se entregan a través del repositorio AppStream en RHEL 8. Cada componente de Application Stream tiene un ciclo de vida determinado. Para más detalles, consulte Ciclo de vida de Red Hat Enterprise Linux.

Los módulos son colecciones de paquetes que representan una unidad lógica: una aplicación, una pila de lenguajes, una base de datos o un conjunto de herramientas. Estos paquetes se construyen, se prueban y se publican juntos.

Los flujos de módulos representan versiones de los componentes del flujo de aplicaciones. Por ejemplo, hay dos flujos (versiones) del servidor de base de datos PostgreSQL disponibles en el módulo postgresql: PostgreSQL 10 (el flujo por defecto) y PostgreSQL 9.6. Sólo se puede instalar un flujo del módulo en el sistema. Diferentes versiones pueden ser utilizadas en contenedores separados.

Los comandos detallados de los módulos se describen en el documento Instalación, gestión y eliminación de componentes del espacio de usuario. Para obtener una lista de los módulos disponibles en AppStream, consulte el manifiesto de paquetes.

Capítulo 5. Lanzamiento de RHEL 8.1.1

Red Hat hace que el contenido de Red Hat Enterprise Linux 8 esté disponible trimestralmente, entre las versiones menores (8.Y). Las versiones trimestrales se numeran utilizando el tercer dígito (8.Y.1). A continuación se describen las nuevas características de la versión RHEL 8.1.1.

5.1. Nuevas características

Una nueva corriente de módulos: postgresql:12

La versión RHEL 8.1.1 introduce PostgreSQL 12, que proporciona una serie de nuevas características y mejoras con respecto a la versión 10. Los cambios más destacados son:

La Extensión de Auditoría de PostgreSQL, pgaudit, que proporciona un registro detallado de la sesión y de la auditoría de objetos a través de la facilidad estándar de registro de PostgreSQL
Mejoras en la funcionalidad de partición, por ejemplo, compatibilidad con la partición hash
Mejoras en el paralelismo de las consultas
Procedimientos SQL almacenados que permiten la gestión de transacciones
Varias mejoras de rendimiento
Mejoras en la funcionalidad administrativa
Soporte para el lenguaje de rutas SQL/JSON
Columnas generadas almacenadas
Cotejos no deterministas
Nuevas funciones de autenticación, incluido el cifrado de las conexiones TCP/IP cuando se utiliza la autenticación GSSAPI o la autenticación multifactor.

Tenga en cuenta que el soporte para la compilación Just-In-Time (JIT), disponible en upstream desde PostgreSQL 11, no es proporcionado por el flujo de módulos postgresql:12.

Para instalar el flujo postgresql:12, utilice:

yum module install postgresql:12

# yum module install postgresql:12

Copy to Clipboard

Si desea actualizar desde un flujo postgresql anterior dentro de RHEL 8, siga el procedimiento descrito en Cambiar a un flujo posterior y luego migre sus datos de PostgreSQL como se describe en Migración a una versión RHEL 8 de PostgreSQL.

(JIRA:RHELPLAN-26926)

Conjunto de herramientas de Rust rebasado a la versión 1.39

Rust Toolset ha sido actualizado a la versión 1.39. Los cambios más destacados son:

La sintaxis async - . await ha sido añadida a Rust estable. Ahora se pueden definir funciones y bloques asíncronos y . await.
La compilación mejorada en cadena mejora el tiempo de compilación para las compilaciones optimizadas y limpias de algunos gráficos de crate en un 10-20%.
Cuando los enlaces de by-move están en el patrón principal de una expresión de coincidencia, los guardias if ahora pueden hacer referencia a esos enlaces.
Se supone que Rust detecta errores de seguridad de memoria en tiempo de compilación, pero el anterior verificador de préstamos tenía limitaciones y permitía comportamientos indefinidos y falta de seguridad de memoria. El nuevo verificador de préstamos de NLL puede encontrar estos problemas y lanzaba advertencias al respecto como paso de migración. Estas advertencias son ahora errores duros.
El compilador de rustc ahora proporciona un lint cuando las funciones mem::{uninitialized, zeroed} se utilizan para inicializar algunos de los tipos, por ejemplo, &T and Box<T>.
Las siguientes funciones son ahora const fn en la biblioteca estándar: Vec::new, String::new, LinkedList::new, str::len, [T]::len, str::as_bytes, abs, wrapping_abs y overflowing_abs.

Para instalar el flujo del módulo Rust Toolset, ejecute el siguiente comando como root:

yum module install rust-toolset

# yum module install rust-toolset

Copy to Clipboard

Para obtener instrucciones detalladas sobre su uso, consulte Uso del conjunto de herramientas de Rust.

(BZ#1680096)

Un nuevo módulo: jmc:rhel8

RHEL 8.1.1 introduce JDK Mission Control (JMC), un potente perfilador para JVMs HotSpot, como un nuevo módulo jmc. JMC proporciona un conjunto avanzado de herramientas para el análisis eficiente y detallado de los extensos datos recogidos por el JDK Flight Recorder. La cadena de herramientas permite a los desarrolladores y administradores recopilar y analizar los datos de las aplicaciones Java que se ejecutan localmente o que se despliegan en entornos de producción. Tenga en cuenta que JMC requiere la versión 8 o posterior del JDK para funcionar. Las aplicaciones Java de destino deben ejecutarse con al menos la versión 11 de OpenJDK para que JMC pueda acceder a las funciones de JDK Flight Recorder.

El flujo del módulo jmc:rhel8 tiene dos perfiles:

El perfil común, que instala toda la aplicación JMC
El perfil del núcleo, que instala sólo las bibliotecas Java del núcleo(jmc-core)

Para instalar el perfil común del flujo del módulo jmc:rhel8, utilice

yum module install jmc:rhel8/common

# yum module install jmc:rhel8/common

Copy to Clipboard

Cambie el nombre del perfil a core para instalar sólo el paquete jmc-core.

(BZ#1716452)

NET Core 3.1 ya está disponible en RHEL 8

Esta actualización añade el kit de desarrollo de software (SDK) de .NET Core 3.1 y el tiempo de ejecución de .NET Core 3.1 a RHEL 8. Además, ya está disponible el marco de trabajo de ASP.NET Core 3.1 para crear aplicaciones y servicios web.

(BZ#1711405)

Un nuevo instalador para los controladores de virtio-win

Se ha añadido un instalador interactivo de Windows al paquete virtio-win. Esto permite instalar fácil y eficazmente los controladores KVM paravirtualizados en máquinas virtuales que utilizan Microsoft Windows como sistema operativo invitado.

(BZ#1745298)

container-tools actualizado

El módulo container-tools, que contiene las herramientas podman, buildah, skopeo y runc, ha sido actualizado. Las herramientas del contenedor se construyen ahora con el modo FIPS activado. Además, esta actualización corrige varios errores y un problema de seguridad.

(BZ#1783277)

conmon está ahora en un paquete separado

La utilidad de monitorización del tiempo de ejecución del contenedor conmon open container initiative (OCI) se ha trasladado a un paquete conmon separado. Ya no está disponible en el paquete podman.

(BZ#1753209)

Capítulo 6. Lanzamiento de RHEL 8.1.0

6.1. Nuevas características

Esta parte describe las nuevas características y las principales mejoras introducidas en Red Hat Enterprise Linux 8.1.

6.1.1. Creación del instalador y de la imagen

Ahora se pueden desactivar los módulos durante la instalación de Kickstart

Con esta mejora, los usuarios pueden ahora deshabilitar un módulo para evitar la instalación de paquetes del módulo. Para desactivar un módulo durante la instalación de Kickstart, utilice el comando:

module --name=foo --stream=bar --disable

(BZ#1655523)

Ya está disponible el soporte de la sección repo.git a los blueprints

Una nueva sección repo.git blueprint permite a los usuarios incluir archivos adicionales en su construcción de imágenes. Los archivos deben estar alojados en un repositorio git que sea accesible desde el servidor de construcción de lorax-composer.

(BZ#1709594)

Image Builder ahora admite la creación de imágenes para más proveedores de nubes

Con esta actualización, el generador de imágenes ha ampliado el número de proveedores de nube para los que el generador de imágenes puede crear una imagen. Como resultado, ahora puede crear imágenes de RHEL que se pueden desplegar también en Google Cloud y Alibaba Cloud, así como ejecutar las instancias personalizadas en estas plataformas.

(BZ#1689140)

6.1.2. Gestión del software

dnf-utils ha sido renombrado a yum-utils

Con esta actualización, el paquete dnf-utils, que forma parte de la pila YUM, ha sido renombrado a yum-utils. Por razones de compatibilidad, el paquete puede seguir instalándose con el nombre dnf-utils, y sustituirá automáticamente al paquete original cuando se actualice el sistema.

(BZ#1722093)

6.1.3. Gestión de suscripciones

subscription-manager ahora informa de los valores de rol, uso y complementos

Con esta actualización, el gestor de suscripciones ahora puede mostrar los valores de Rol, Uso y Complementos para cada suscripción disponible en la organización actual, que esté registrada en el Portal del Cliente o en el Satélite.

Para mostrar las suscripciones disponibles con la adición de los valores de Rol, Uso y Complementos para esas suscripciones utilice:
```
subscription-manager list --available
```
```
# subscription-manager list --available
```
Copy to Clipboard
Para mostrar las suscripciones consumidas incluyendo los valores adicionales de Rol, Uso y Complementos utilice:
```
subscription-manager list --consumed
```
```
# subscription-manager list --consumed
```
Copy to Clipboard

(BZ#1665167)

6.1.4. Servicios de infraestructura

reajustado a la versión 2.12

Los paquetes ajustados se han actualizado a la versión 2.12 de la corriente principal, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior, especialmente:

Se ha corregido la manipulación de los dispositivos que se han retirado y vuelto a colocar.
Se ha añadido soporte para la negación de la lista de CPUs.
Se ha mejorado el rendimiento de la configuración de los parámetros del kernel en tiempo de ejecución cambiando la herramienta sysctl por una nueva implementación específica de Tuned.

(BZ#1685585)

chrony rebasado a la versión 3.5

Los paquetes chrony han sido actualizados a la versión 3.5, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior, especialmente:

Se ha añadido soporte para una sincronización más precisa del reloj del sistema con la marca de tiempo del hardware en el kernel RHEL 8.1.
La marca de tiempo por hardware ha recibido importantes mejoras.
Se ha ampliado la gama de intervalos de sondeo disponibles.
Se ha añadido la opción de filtro a las fuentes NTP.

(BZ#1685469)

Nueva pila de protocolos de enrutamiento FRRouting está disponible

Con esta actualización, Quagga ha sido sustituido por Free Range Routing (FRRouting, o FRR), que es una nueva pila de protocolos de enrutamiento. FRR es proporcionado por el paquete frr disponible en el repositorio AppStream.

FRR proporciona servicios de enrutamiento basados en TCP/IP con soporte para múltiples protocolos de enrutamiento IPv4 e IPv6, como BGP, IS-IS, OSPF, PIM y RIP.

Con FRR instalado, el sistema puede actuar como un router dedicado, que intercambia información de enrutamiento con otros routers de la red interna o externa.

Para más información, consulte Configuración de los protocolos de enrutamiento para su sistema.

(BZ#1657029)

GNU enscript ahora soporta la codificación ISO-8859-15

Con esta actualización, se ha añadido soporte para la codificación ISO-8859-15 en el programa GNU enscript.

(BZ#1664366)

Mejora de la precisión de la medición del desfase del reloj del sistema en phc2sys

El programa phc2sys de los paquetes linuxptp soporta ahora un método más preciso para medir el desfase del reloj del sistema.

(BZ#1677217)

ptp4l ahora admite interfaces de equipo en modo de respaldo activo

Con esta actualización, se ha añadido en PTP Boundary/Ordinary Clock (ptp4l) la compatibilidad con interfaces de equipo en modo de respaldo activo.

(BZ#1685467)

La sincronización de la hora PTP en las interfaces macvlan es ahora compatible

Esta actualización añade soporte para la marca de tiempo por hardware en las interfaces macvlan en el kernel de Linux. Como resultado, las interfaces macvlan ahora pueden utilizar el Protocolo de Tiempo de Precisión (PTP) para la sincronización de tiempo.

(BZ#1664359)

6.1.5. Seguridad

Nuevo paquete: fapolicyd

El marco de software fapolicyd introduce una forma de listas blancas y negras de aplicaciones basada en una política definida por el usuario. La función de lista blanca de aplicaciones proporciona una de las formas más eficaces de evitar la ejecución de aplicaciones no fiables y posiblemente maliciosas en el sistema.

El marco fapolicyd proporciona los siguientes componentes:

servicio defapolicía
utilidades de línea de comandosfapolicyd
pluginyum
lenguaje de reglas

El administrador puede definir las reglas de ejecución de permitir y denegar, ambas con posibilidad de auditoría, basadas en una ruta, hash, tipo MIME o confianza para cualquier aplicación.

Tenga en cuenta que cada configuración de fapolicyd afecta al rendimiento general del sistema. El impacto en el rendimiento varía dependiendo del caso de uso. La lista blanca de aplicaciones ralentiza las llamadas al sistema open() y exec(), por lo que afecta principalmente a las aplicaciones que realizan dichas llamadas al sistema con frecuencia.

Consulte la sección Configuración y gestión de listas blancas de aplicaciones en el título de endurecimiento de la seguridad de RHEL 8 y las páginas de manual fapolicyd(8), fapolicyd.rules(5) y fapolicyd.conf(5) para obtener más información.

(BZ#1673323)

Nuevo paquete: udica

El nuevo paquete udica proporciona una herramienta para generar políticas SELinux para contenedores. Con udica, puede crear una política de seguridad a medida para controlar mejor cómo un contenedor accede a los recursos del sistema anfitrión, como el almacenamiento, los dispositivos y la red. Esto le permite endurecer sus despliegues de contenedores contra las violaciones de la seguridad y también simplifica la consecución y el mantenimiento del cumplimiento normativo.

Consulte la sección Creación de políticas SELinux para contenedores en el título RHEL 8 Using SELinux para obtener más información.

(BZ#1673643)

Las herramientas del espacio de usuario de SELinux se han actualizado a la versión 2.9

Las herramientas de espacio de usuario de SELinux libsepol, libselinux, libsemanage, policycoreutils, checkpolicy y mcstrans se han actualizado a la última versión 2.9, que proporciona muchas correcciones de errores y mejoras con respecto a la versión anterior.

(BZ#1672638, BZ#1672642, BZ#1672637, BZ#1672640, BZ#1672635, BZ#1672641)

SETools actualizado a la versión 4.2.2

La colección de herramientas y bibliotecas SETools se ha actualizado a la última versión 4.2.2, que aporta los siguientes cambios:

Se han eliminado las referencias a las políticas de origen de las páginas de manual, ya que la carga de las políticas de origen ya no está soportada
Se ha corregido una regresión de rendimiento en la carga de alias

(BZ#1672631)

selinux-policy rebasado a 3.14.3

El paquete selinux-policy ha sido actualizado a la versión 3.14.3, que proporciona una serie de correcciones de errores y mejoras en las reglas de permiso con respecto a la versión anterior.

(BZ#1673107)

Un nuevo tipo SELinux: boltd_t

Un nuevo tipo de SELinux, boltd_t, confina a boltd, un demonio del sistema para gestionar dispositivos Thunderbolt 3. Como resultado, boltd ahora se ejecuta como un servicio confinado en el modo de aplicación de SELinux.

(BZ#1684103)

Una nueva clase de política SELinux: bpf

Se ha introducido una nueva clase de política de SELinux, bpf. La clase bpf permite a los usuarios controlar el flujo del Filtro de Paquetes Berkeley (BPF) a través de SElinux, y permite la inspección y la manipulación sencilla de los programas y mapas del Filtro de Paquetes Berkeley Extendido (eBPF) controlados por SELinux.

(BZ#1673056)

OpenSCAP se ha actualizado a la versión 1.3.1

Los paquetes de openscap se han actualizado a la versión 1.3.1, que proporciona muchas correcciones de errores y mejoras con respecto a la versión anterior, sobre todo:

Compatibilidad con flujos de datos de origen SCAP 1.3: evaluación, esquemas XML y validación
Los archivos de adaptación se incluyen en los archivos de resultados del ARF
Los detalles de OVAL se muestran siempre en los informes HTML, los usuarios no tienen que proporcionar la opción --oval-results
El reporte HTML muestra los detalles de las pruebas de OVAL también para las pruebas de OVAL incluidas desde otras definiciones de OVAL usando el elemento OVAL extend_definition
Los IDs de las pruebas de OVAL se muestran en los informes HTML
Los ID de las reglas se muestran en las guías HTML

(BZ#1718826)

OpenSCAP ahora es compatible con SCAP 1.3

La suite OpenSCAP soporta ahora flujos de datos conformes a la última versión del estándar SCAP: SCAP 1.3. Ahora puede utilizar los flujos de datos SCAP 1.3, como los contenidos en el paquete scap-security-guide, de la misma manera que los flujos de datos SCAP 1.2 sin ninguna restricción adicional de uso.

(BZ#1709429)

scap-security-guide rebasado a la versión 0.1.46

The scap-security-guide packages have been upgraded to upstream version 0.1.46, which provides many bug fixes and enhancements over the previous version, most notably: * SCAP content conforms to the latest version of SCAP standard, SCAP 1.3 * SCAP content supports UBI images

(BZ#1718839)

OpenSSH rebasado a 8.0p1

Los paquetes openssh han sido actualizados a la versión 8.0p1, que proporciona muchas correcciones de errores y mejoras con respecto a la versión anterior, sobre todo:

Aumento del tamaño de la clave RSA por defecto a 3072 bits para la herramienta ssh-keygen
Se ha eliminado la compatibilidad con la opción de configuración ShowPatchLevel
Se han aplicado numerosas correcciones del código de intercambio de claves de GSSAPI, como la corrección de los procedimientos de limpieza de Kerberos
Se ha eliminado la vuelta al contexto SELinux sshd_net_t
Se ha añadido soporte para los bloques finales de Match
Corregidos problemas menores en el comando ssh-copy-id
Se han corregido vulnerabilidades y exposiciones comunes (CVE) relacionadas con la utilidad scp (CVE-2019-6111, CVE-2018-20685, CVE-2019-6109)

Tenga en cuenta que esta versión introduce una incompatibilidad menor de scp como mitigación de CVE-2019-6111. Si sus scripts dependen de expansiones avanzadas de bash de la ruta durante una descarga de scp, puede utilizar el modificador -T para desactivar estas mitigaciones temporalmente cuando se conecte a servidores de confianza.

(BZ#1691045)

libssh ahora cumple con las políticas criptográficasde todo el sistema

El cliente y el servidor de libssh ahora cargan automáticamente el archivo /etc/libssh/libssh_client.config y el /etc/libssh/libssh_server.config, respectivamente. Este archivo de configuración incluye las opciones establecidas por el componente crypto-policies de todo el sistema para el back-end de libssh y las opciones establecidas en el archivo de configuración /etc/ssh/ssh_config o /etc/ssh/sshd_config OpenSSH. Con la carga automática del archivo de configuración, libssh ahora utiliza la configuración criptográfica de todo el sistema establecida por crypto-policies. Este cambio simplifica el control sobre el conjunto de algoritmos criptográficos utilizados por las aplicaciones.

(BZ#1610883, BZ#1610884)

Existe una opción para que rsyslog conserve el caso de FROMHOST

Esta actualización del servicio rsyslog introduce la opción de gestionar la preservación de mayúsculas y minúsculas de la propiedad FROMHOST para los módulos imudp e imtcp. Al establecer el valor de preservecase en on, la propiedad FROMHOST se gestiona de forma sensible a las mayúsculas y minúsculas. Para evitar romper las configuraciones existentes, los valores por defecto de preservecase son on para imtcp y off para imudp.

(BZ#1614181)

6.1.6. Red

El descubrimiento de PMTU y la redirección de rutas son ahora compatibles con los túneles VXLAN y GENEVE

El kernel de Red Hat Enterprise Linux (RHEL) 8.0 no manejaba los mensajes del Protocolo de Mensajes de Control de Internet (ICMP) e ICMPv6 para los túneles de Virtual Extensible LAN (VXLAN) y Generic Network Virtualization Encapsulation (GENEVE). Como consecuencia, el descubrimiento de Path MTU (PMTU) y la redirección de rutas no eran compatibles con los túneles VXLAN y GENEVE en las versiones de RHEL anteriores a la 8.1. Con esta actualización, el kernel gestiona los mensajes de error ICMP "Destino inalcanzable" y "Mensaje de redirección", así como los mensajes de error ICMPv6 "Paquete demasiado grande" y "Destino inalcanzable", ajustando la PMTU y modificando la información de reenvío. Como resultado, RHEL 8.1 soporta el descubrimiento de PMTU y la redirección de rutas con túneles VXLAN y GENEVE.

(BZ#1652222)

Cambios notables en las funciones XDP y eBPF de red en el núcleo

Las funciones XDP y eBPF de red del paquete del núcleo se han actualizado a la versión 5.0, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior:

los programas eBPF pueden ahora interactuar mejor con la pila TCP/IP, realizar la disección de flujos, disponer de una gama más amplia de ayudantes bpf y tener acceso a nuevos tipos de mapas.
Los metadatos XDP están ahora disponibles para los sockets AF_XDP.

(BZ#1687459)

El nuevo control PTP_SYS_OFFSET_EXTENDED para ioctl() mejora la precisión de la medición del sistema-PHC ofsets

Esta mejora añade el control PTP_SYS_OFFSET_EXTENDED para realizar mediciones más precisas del desfase del reloj de hardware (PHC) del protocolo de tiempo de precisión (PTP) del sistema a la función ioctl(). El control PTP_SYS_OFFSET que, por ejemplo, utiliza el servicio chrony para medir el desfase entre un PHC y el reloj del sistema no es lo suficientemente preciso. Con el nuevo control PTP_SYS_OFFSET_EXTENDED, los controladores pueden aislar la lectura de los bits más bajos. Esto mejora la precisión del offset medido. Los controladores de red suelen leer varios registros PCI, y el controlador no lee los bits más bajos de la marca de tiempo PHC entre dos lecturas del reloj del sistema.

(BZ#1677215)

ipset rebasado a la versión 7.1

Los paquetes ipset han sido actualizados a la versión 7.1, que proporciona una serie de correcciones de errores y mejoras respecto a la versión anterior:

La versión 7 del protocolo ipset introduce las operaciones IPSET_CMD_GET_BYNAME e IPSET_CMD_GET_BYINDEX. Además, el componente del espacio de usuario puede ahora detectar el nivel de compatibilidad exacto que soporta el componente del núcleo.
Se ha corregido un número importante de errores, como las fugas de memoria y los errores de uso después de la liberación.

(BZ#1649090)

6.1.7. Núcleo

Versión del núcleo en RHEL 8.1

Red Hat Enterprise Linux 8.1 se distribuye con la versión 4.18.0-147 del kernel.

(BZ#1797671)

Ya está disponible la aplicación de parches en vivo para el kernel

La aplicación de parches en vivo para el kernel, kpatch, proporciona un mecanismo para parchear el kernel en ejecución sin reiniciar ningún proceso. Los parches en vivo para el kernel se proporcionarán para determinados flujos de versiones menores de RHEL cubiertos por la política de Soporte de Actualización Extendido (EUS ) para remediar los CVEs Críticos e Importantes.

Para suscribirse al flujo de kpatch para la versión RHEL 8.1 del núcleo, instale el paquete kpatch-patch-4_18_0-147 proporcionado por el aviso RHEA-2019:3695.

Para más información, consulte Aplicación de parches con live patching del kernel en Gestión, supervisión y actualización del kernel.

(BZ#1763780)

Extended Berkeley Packet Filter en RHEL 8

Extended Berkeley Packet Filter (eBPF) es una máquina virtual dentro del núcleo que permite la ejecución de código en el espacio del núcleo, en el entorno restringido de la caja de arena con acceso a un conjunto limitado de funciones. La máquina virtual ejecuta un código especial de tipo ensamblador. A continuación, el código se carga en el núcleo y se traduce al código máquina nativo con una compilación "justo a tiempo". Hay numerosos componentes suministrados por Red Hat que utilizan la máquina virtual eBPF. Cada componente se encuentra en una fase de desarrollo diferente y, por lo tanto, no todos los componentes son actualmente totalmente compatibles.

En RHEL 8.1, el paquete de herramientas BPF Compiler Collection (BCC) es totalmente compatible con las arquitecturas de 64 bits de AMD e Intel. El paquete de herramientas BCC es una colección de utilidades de rastreo dinámico del núcleo que utilizan la máquina virtual eBPF.

Los siguientes componentes de eBPF están actualmente disponibles como Muestra de Tecnología:

El paquete de herramientas BCC en las siguientes arquitecturas: la arquitectura ARM de 64 bits, IBM Power Systems, Little Endian e IBM Z
La biblioteca BCC en todas las arquitecturas
El lenguaje de rastreo bpftrace
La función eXpress Data Path (XDP)

Para más detalles sobre los componentes de la Muestra de Tecnología, consulte Sección 6.5.2, “Núcleo”.

(BZ#1780124)

Red Hat Enterprise Linux 8 ahora es compatible con kdump temprano

La función de kdump temprano permite que el kernel de colisión y el initramfs se carguen lo suficientemente temprano como para capturar la información del vmcore, incluso en el caso de colisiones tempranas.

Para más detalles sobre early kdump, consulte el archivo /usr/share/doc/kexec-tools/early-kdump-howto.txt.

(BZ#1520209)

RHEL 8 ahora soporta ipcmni_extend

Se ha añadido un nuevo parámetro de línea de comandos del kernel , ipcmni_extend, a Red Hat Enterprise Linux 8. El parámetro amplía un número de identificadores únicos de comunicación entre procesos (IPC) del Sistema V desde el máximo actual de 32 KB (15 bits) hasta 16 MB (24 bits). Como resultado, los usuarios cuyas aplicaciones producen muchos segmentos de memoria compartida son capaces de crear un identificador IPC más fuerte sin exceder el límite de 32 KB.

Tenga en cuenta que, en algunos casos, el uso de ipcmni_extend supone una pequeña sobrecarga de rendimiento y sólo debería utilizarse si las aplicaciones necesitan más de 32 KB de identificador único de IPC.

(BZ#1710480)

El código de inicialización de la memoria persistente admite la inicialización en paralelo

El código de inicialización de la memoria persistente permite la inicialización paralela en sistemas con múltiples nodos de memoria persistente. La inicialización paralela reduce en gran medida el tiempo total de inicialización de la memoria en sistemas con grandes cantidades de memoria persistente. Como resultado, estos sistemas pueden ahora arrancar mucho más rápido.

(BZ#1634343)

La herramienta de espacio de usuario TPM ha sido actualizada a la última versión

La herramienta de espacio de usuario tpm2-tools ha sido actualizada a la versión 2.0. Con esta actualización, tpm2-tools es capaz de corregir muchos defectos.

(BZ#1664498)

El demonio rngd ahora puede ejecutarse con privilegios de no-root

El demonio generador de números aleatorios(rngd) comprueba si los datos suministrados por la fuente de aleatoriedad son suficientemente aleatorios y, a continuación, almacena los datos en la reserva de entropía de números aleatorios del kernel. Con esta actualización, rngd puede ejecutarse con privilegios de usuario no root para mejorar la seguridad del sistema.

(BZ#1692435)

Soporte completo para el controlador ibmvnic

Con la introducción de Red Hat Enterprise Linux 8.0, el controlador de interfaz de red virtual de IBM (vNIC) para arquitecturas IBM POWER, ibmvnic, estaba disponible como Technology Preview. vNIC es una tecnología de red virtual PowerVM que ofrece capacidades empresariales y simplifica la gestión de la red. Se trata de una tecnología eficiente y de alto rendimiento que, cuando se combina con SR-IOV NIC, proporciona capacidades de calidad de servicio (QoS) de control de ancho de banda a nivel de NIC virtual. vNIC reduce significativamente la sobrecarga de virtualización, lo que se traduce en menores latencias y menos recursos de servidor, incluyendo la CPU y la memoria, necesarios para la virtualización de la red.

A partir de Red Hat Enterprise Linux 8.1 el controlador de dispositivo ibmvnic es totalmente compatible con los sistemas IBM POWER9.

(BZ#1665717)

Software de host Intel ® Omni-Path Architecture (OPA)

El software de host Intel Omni-Path Architecture (OPA) es totalmente compatible con Red Hat Enterprise Linux 8.1. Intel OPA proporciona hardware Host Fabric Interface (HFI) con inicialización y configuración para transferencias de datos de alto rendimiento (alto ancho de banda, alta tasa de mensajes, baja latencia) entre nodos de computación y E/S en un entorno de clúster.

Para obtener instrucciones sobre la instalación de la documentación de la Arquitectura Intel Omni-Path, consulte: https://cdrdv2.intel.com/v1/dl/getContent/616368

(BZ#1766186)

UBSan ha sido habilitado en el kernel de depuración en RHEL 8

La utilidad Undefined Behavior Sanitizer(UBSan) expone los fallos de comportamiento indefinido en los lenguajes de código C en tiempo de ejecución. Esta utilidad se ha habilitado en el núcleo de depuración porque el comportamiento del compilador era, en algunos casos, diferente a las expectativas de los desarrolladores. Especialmente, en el caso de la optimización del compilador, donde aparecían fallos sutiles y oscuros. Como resultado, ejecutar el kernel de depuración con UBSan habilitado permite al sistema detectar fácilmente dichos errores.

(BZ#1571628)

La infraestructura de fadump ahora soporta el re-registro en RHEL 8

Se ha añadido el soporte para el re-registro (desregistro y registro) de la infraestructura de volcado asistida por firmware(fadump) después de cualquier operación de adición/remoción de memoria en caliente para actualizar los rangos de memoria de choque. El objetivo de esta función es evitar que el sistema sufra posibles problemas de carrera durante el desregistro y el registro de fadump desde el espacio de usuario durante los eventos de udev.

(BZ#1710288)

La secuencia de comandos determine_maximum_mpps.sh se ha introducido en RHEL for Real Time 8

Se ha introducido el script determine_maximum_mpps.sh para ayudar a utilizar el programa de pruebas queuelat. El script ejecuta queuelat para determinar el máximo de paquetes por segundo que puede manejar una máquina.

(BZ#1686494)

el árbol de fuentes dekernel-rt ahora coincide con el último árbol de RHEL 8

Las fuentes de kernel-rt han sido actualizadas para basarse en el último árbol de fuentes del kernel de Red Hat Enterprise Linux, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior.

(BZ#1678887)

Se ha añadido la prueba ssdd a RHEL for Real Time 8

Se ha añadido la prueba ssdd para permitir la prueba de estrés del subsistema de rastreo. La prueba ejecuta múltiples hilos de rastreo para verificar que el bloqueo es correcto dentro del sistema de rastreo.

(BZ#1666351)

6.1.8. Habilitación de hardware

El modo de memoria para la tecnología Optane DC Persistent Memory es totalmente compatible

Los dispositivos de almacenamiento de memoria persistente Intel Optane DC proporcionan una tecnología de memoria persistente de clase de centro de datos, que puede aumentar significativamente el rendimiento de las transacciones.

Para utilizar la tecnología del Modo Memoria, su sistema no necesita ningún controlador especial ni certificación específica. El Modo Memoria es transparente para el sistema operativo.

(BZ#1718422)

IBM Z ahora soporta la verificación de la firma de arranque del sistema

El arranque seguro permite al firmware del sistema comprobar la autenticidad de las claves criptográficas utilizadas para firmar el código del espacio del kernel. Como resultado, la función mejora la seguridad, ya que sólo se puede ejecutar el código de los proveedores de confianza.

Tenga en cuenta que IBM z15 es necesario para utilizar Secure Boot.

(BZ#1659399)

6.1.9. Sistemas de archivos y almacenamiento

Soporte para el Campo de Integridad de Datos/Extensión de Integridad de Datos (DIF/DIX)

DIF/DIX es compatible con las configuraciones en las que el proveedor de hardware lo ha calificado y proporciona soporte completo para el adaptador de bus de host (HBA) particular y la configuración de la matriz de almacenamiento en RHEL.

DIF/DIX no es compatible con las siguientes configuraciones:

No se admite su uso en el dispositivo de arranque.
No es compatible con los huéspedes virtualizados.
Red Hat no admite el uso de la biblioteca de gestión automática del almacenamiento (ASMLib) cuando DIF/DIX está activado.

DIF/DIX se activa o desactiva en el dispositivo de almacenamiento, lo que implica varias capas hasta (e incluyendo) la aplicación. El método para activar el DIF en los dispositivos de almacenamiento depende del dispositivo.

Para más información sobre la función DIF/DIX, consulte Qué es DIF/DIX.

(BZ#1649493)

Los sistemas de memoria Optane DC ahora son compatibles con los informes EDAC

Anteriormente, EDAC no informaba de los eventos de memoria corregida/no corregida si la dirección de memoria estaba dentro de un módulo NVDIMM. Con esta actualización, EDAC puede reportar correctamente los eventos con la información correcta del módulo de memoria.

(BZ#1571534)

El módulo VDO Ansible ha sido trasladado a los paquetes Ansible

Anteriormente, el módulo VDO Ansible era proporcionado por el paquete RPM vdo. A partir de esta versión, el módulo es proporcionado por el paquete ansible.

La ubicación original del archivo del módulo VDO Ansible era:

/usr/share/doc/vdo/examples/ansible/vdo.py

/usr/share/doc/vdo/examples/ansible/vdo.py

Copy to Clipboard

La nueva ubicación del archivo es:

/usr/lib/python3.6/site-packages/ansible/modules/system/vdo.py

/usr/lib/python3.6/site-packages/ansible/modules/system/vdo.py

Copy to Clipboard

El paquete vdo sigue distribuyendo los playbooks de Ansible.

Para más información sobre Ansible, consulte http://docs.ansible.com/.

(BZ#1669534)

Los adaptadores Aero son ahora totalmente compatibles

Los siguientes adaptadores Aero, que anteriormente estaban disponibles como Muestra de Tecnología, son ahora totalmente compatibles:

PCI ID 0x1000:0x00e2 y 0x1000:0x00e6, controlado por el controlador mpt3sas
PCI ID 0x1000:Ox10e5 y 0x1000:0x10e6, controlado por el controlador megaraid_sas

(BZ#1663281)

LUKS2 admite ahora la recodificación en línea

El formato Linux Unified Key Setup versión 2 (LUKS2) admite ahora la recodificación de dispositivos encriptados mientras los dispositivos están en uso. Por ejemplo, no es necesario desmontar el sistema de archivos del dispositivo para realizar las siguientes tareas:

Cambiar la tecla de volumen
Cambiar el algoritmo de encriptación

Cuando se encripta un dispositivo no encriptado, todavía hay que desmontar el sistema de archivos, pero la encriptación es ahora significativamente más rápida. Puedes volver a montar el sistema de archivos tras una breve inicialización del cifrado.

Además, la recodificación de LUKS2 es ahora más resistente. Puedes seleccionar entre varias opciones que priorizan el rendimiento o la protección de los datos durante el proceso de recodificación.

Para realizar el re-encriptado de LUKS2, utilice el subcomando cryptsetup reencrypt. Red Hat ya no recomienda utilizar la utilidad cryptsetup-reencrypt para el formato LUKS2.

Tenga en cuenta que el formato LUKS1 no admite la recodificación en línea y que el subcomando cryptsetup reencrypt no es compatible con LUKS1. Para cifrar o volver a cifrar un dispositivo LUKS1, utilice la utilidad cryptsetup-reencrypt.

Para obtener más información sobre el cifrado de discos, consulte Cifrado de dispositivos de bloque mediante LUKS.

(BZ#1676622)

Nuevas características de ext4 disponibles en RHEL 8

En RHEL8, las siguientes son las nuevas características totalmente compatibles con ext4:

Características no predeterminadas:
- proyecto
- cuota
- mmp
Opciones de montaje no predeterminadas:
- bsddf|minixdf
- grpid|bsdgroups y nogrpid|sysvgroups
- resgid=n y resuid=n
- errores={continuar|remontar-ro|pánico}
- commit=nrsec
- max_batch_time=usuario
- min_batch_time=useg
- grpquota|noquota|quota|usrquota
- prjquota
- dax
- lazytime|nolazytime
- descartar|nodiscar
- init_itable|noinit_itable
- jqfmt={vfsold|vfsv0|vfsv1}
- usrjquota=aquota.user|grpjquota=aquota.group

Para más información sobre las características y opciones de montaje, consulte la página man de ext4. Otras funcionalidades de ext4, opciones de montaje o ambas, o una combinación de funcionalidades, opciones de montaje o ambas pueden no estar totalmente soportadas por Red Hat. Si su carga de trabajo especial requiere una característica u opción de montaje que no está totalmente soportada en la versión de Red Hat, contacte con el soporte de Red Hat para evaluar su inclusión en nuestra lista de soporte.

(BZ#1741531)

NVMe sobre RDMA ahora soporta un Infiniband en el modo de destino para los sistemas IBM Coral

En RHEL 8.1, NVMe sobre RDMA admite ahora un Infiniband en el modo de destino para los sistemas IBM Coral, con una única tarjeta PCIe add in NVMe como destino.

(BZ#1721683)

6.1.10. Alta disponibilidad y clusters

Pacemaker ahora pone por defecto la propiedad de cluster concurrent-fencing en true

Si es necesario vallar varios nodos del clúster al mismo tiempo, y éstos utilizan diferentes dispositivos de vallado configurados, Pacemaker ejecutará ahora el vallado simultáneamente, en lugar de hacerlo en serie como antes. Esto puede acelerar enormemente la recuperación en un clúster grande cuando hay que cercar varios nodos.

(BZ#1715426)

La ampliación de un volumen lógico compartido ya no requiere una actualización en cada nodo del clúster

Con esta versión, la ampliación de un volumen lógico compartido ya no requiere una actualización en cada nodo del clúster después de ejecutar el comando lvextend en un nodo del clúster. Para conocer el procedimiento completo para ampliar el tamaño de un sistema de archivos GFS2, consulte Ampliar un sistema de archivos GFS2.

(BZ#1649086)

El tamaño máximo de un clúster RHEL HA soportado se ha incrementado de 16 a 32 nodos

Con esta versión, Red Hat admite implantaciones de cluster de hasta 32 nodos de cluster completos.

(BZ#1693491)

Se han añadido a pcslos comandos para añadir, cambiar y eliminar enlaces corosync

El protocolo Kronosnet (knet) permite ahora añadir y eliminar enlaces knet en clusters en funcionamiento. Para soportar esta característica, el comando pcs ahora proporciona comandos para añadir, cambiar y eliminar enlaces knet y para cambiar un enlace upd/udpu en un cluster existente. Para obtener información sobre cómo añadir y modificar enlaces en un clúster existente, consulte Añadir y modificar enlaces en un clúster existente. (BZ#1667058)

6.1.11. Lenguajes de programación dinámicos, servidores web y de bases de datos

Una nueva corriente de módulos: php:7.3

RHEL 8.1 introduce PHP 7.3, que proporciona una serie de nuevas características y mejoras. Los cambios más destacados son:

Sintaxis heredoc y nowdoc mejoradas y más flexibles
La extensión PCRE se ha actualizado a PCRE2
Mejora de la gestión de cadenas multibyte
Compatibilidad con los controles LDAP
Mejora del registro de FastCGI Process Manager (FPM)
Varias desapariciones y cambios incompatibles con el pasado

Para más información, consulte Migración de PHP 7.2.x a PHP 7.3.x.

Tenga en cuenta que la versión RHEL 8 de PHP 7.3 no soporta el algoritmo de hash de contraseñas Argon2.

Para instalar el flujo php:7.3, utilice:

yum module install php:7.3

# yum module install php:7.3

Copy to Clipboard

Si desea actualizar desde el flujo php:7.2, consulte Cambiar a un flujo posterior.

(BZ#1653109)

Una nueva corriente de módulos: ruby:2.6

Ya está disponible un nuevo módulo, ruby:2.6. Ruby 2.6.3, incluido en RHEL 8.1, proporciona numerosas funciones nuevas, mejoras, correcciones de errores y de seguridad, y mejoras de rendimiento con respecto a la versión 2.5 distribuida en RHEL 8.0.

Las mejoras más destacadas son:

Ahora se permite que los nombres de las constantes comiencen con una letra mayúscula no ASCII.
Se ha añadido soporte para una gama infinita.
Se ha proporcionado un nuevo método Binding#source_location.
$SAFE es ahora un estado global del proceso y se puede volver a poner a 0.

Se han implementado las siguientes mejoras de rendimiento:

Los procesos Proc#call y block.call han sido optimizados.
Se ha introducido un nuevo heap gestionado por el recolector de basura, Transient heap(theap).
Se han introducido implementaciones nativas de coroutines para arquitecturas individuales.

Además, Ruby 2.5, proporcionado por el flujo ruby:2.5, se ha actualizado a la versión 2.5.5, que proporciona una serie de correcciones de errores y seguridad.

Para instalar el flujo ruby:2.6, utilice:

yum module install ruby:2.6

# yum module install ruby:2.6

Copy to Clipboard

Si desea actualizar desde el flujo ruby:2.5, consulte Cambiar a un flujo posterior.

(BZ#1672575)

Una nueva corriente de módulos: nodejs:12

RHEL 8.1 introduce Node.js 12, que proporciona una serie de nuevas características y mejoras con respecto a la versión 10. Los cambios más destacados son:

El motor V8 se ha actualizado a la versión 7.4
Un nuevo analizador HTTP por defecto, llhttp (ya no es experimental)
Capacidad integrada de generación de volcado de pilas
Compatibilidad con los módulos de ECMAScript 2015 (ES6)
Mejora de la compatibilidad con los módulos nativos
Los hilos de trabajo ya no requieren una bandera
Una nueva función de informe de diagnóstico experimental
Mejora del rendimiento

Para instalar el flujo de nodejs:12, utilice:

yum module install nodejs:12

# yum module install nodejs:12

Copy to Clipboard

Si desea actualizar desde el flujo nodejs:10, consulte Cambiar a un flujo posterior.

(BZ#1685191)

Judy-devel disponible en CRB

El paquete Judy-devel está ahora disponible como parte del módulo mariadb-devel:10.3 en el repositorio CodeReady Linux Builder (CRB). Como resultado, los desarrolladores pueden ahora construir aplicaciones con la biblioteca Judy.

Para instalar el paquete Judy-devel, active primero el módulo mariadb-devel:10.3:

yum module enable mariadb-devel:10.3
yum install Judy-devel

# yum module enable mariadb-devel:10.3
# yum install Judy-devel

Copy to Clipboard

(BZ#1657053)

Cumplimiento de FIPS en Python 3

Esta actualización añade soporte para el modo FIPS de OpenSSL a Python 3. A saber:

En el modo FIPS, los hashes blake2, sha3 y shake utilizan las envolturas de OpenSSL y no ofrecen una funcionalidad extendida (como claves, hashing de árbol o tamaño de compendio personalizado).
En el modo FIPS, la clase hmac.HMAC sólo puede instanciarse con una envoltura OpenSSL o una cadena con el nombre de hash OpenSSL como argumento digestmod. El argumento debe ser especificado (en lugar de utilizar por defecto el algoritmo md5 ).

Tenga en cuenta que las funciones hash admiten el argumento usedforsecurity, que permite utilizar hashes inseguros en el modo FIPS de OpenSSL. El usuario es responsable de garantizar el cumplimiento de las normas pertinentes.

(BZ#1731424)

Cambios en el cumplimiento de FIPS en python3-wheel

Esta actualización del paquete python3-wheel elimina una implementación incorporada para firmar y verificar datos que no cumplen con FIPS.

(BZ#1731526)

Un nuevo flujo de módulos: nginx:1.16

Ya está disponible el servidor web y proxy nginx 1.16, que proporciona una serie de nuevas características y mejoras respecto a la versión 1.14. Por ejemplo:

Numerosas actualizaciones relacionadas con SSL (carga de certificados SSL y claves secretas desde variables, soporte de variables en las directivas ssl_certificate y ssl_certificate_key, una nueva directiva ssl_early_data )
Nuevas directivas relacionadas con keepalive
Una nueva directiva aleatoria para el equilibrio de la carga distribuida
Nuevos parámetros y mejoras en las directivas existentes (rangos de puertos para la directiva listen, un nuevo parámetro de retardo para la directiva limit_req, que permite limitar la velocidad en dos etapas)
Una nueva variable $upstream_bytes_sent
Mejoras en el protocolo de datagramas de usuario (UDP)

Otros cambios notables son:

En la corriente nginx:1.16, el paquete nginx no requiere el paquete nginx-all-modules, por lo que los módulos nginx deben ser instalados explícitamente. Cuando se instala nginx como módulo, el paquete nginx-all-modules se instala como parte del perfil común, que es el perfil por defecto.
La directiva ssl ha quedado obsoleta; utilice en su lugar el parámetro ssl de la directiva listen.
nginx ahora detecta los certificados SSL que faltan durante las pruebas de configuración.
Cuando se utiliza un nombre de host en la directiva listen, nginx ahora crea sockets de escucha para todas las direcciones a las que resuelve el nombre de host.

Para instalar el flujo nginx:1.16, utilice:

yum module install nginx:1.16

# yum module install nginx:1.16

Copy to Clipboard

Si desea actualizar desde el flujo nginx:1.14, consulte Cambiar a un flujo posterior.

(BZ#1690292)

perl-IO-Socket-SSL rebasado a la versión 2.066

El paquete perl-IO-Socket-SSL se ha actualizado a la versión 2.066, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior, por ejemplo:

Se ha mejorado la compatibilidad con TLS 1.3, en particular la reutilización de la sesión y la autenticación automática posterior al saludo en el lado del cliente
Se ha añadido soporte para múltiples curvas, configuración automática de curvas, cadenas de confianza parciales y soporte para certificados RSA y ECDSA en el mismo dominio

(BZ#1632600)

perl-Net-SSLeay rebasado a la versión 1.88

El paquete perl-Net-SSLeay ha sido actualizado a la versión 1.88, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

Mejora de la compatibilidad con OpenSSL 1.1.1, como la manipulación de una pila de certificados y almacenes X509, y la selección de curvas elípticas y grupos
Compatibilidad mejorada con TLS 1.3, por ejemplo, una reutilización de la sesión y una autenticación post-handshake
Se ha corregido la pérdida de memoria en la subrutina cb_data_advanced_put().

(BZ#1632597)

6.1.12. Compiladores y herramientas de desarrollo

GCC Toolset 9 disponible

Red Hat Enterprise Linux 8.1 introduce GCC Toolset 9, un flujo de aplicaciones que contiene versiones más actualizadas de las herramientas de desarrollo.

Las siguientes herramientas y versiones son proporcionadas por GCC Toolset 9:

Herramienta	Versión
GCC	9.1.1
GDB	8.3
Valgrind	3.15.0
SystemTap	4.1
Dyninst	10.1.0
binutils	2.32
elfutils	0.176
dwz	0.12
hacer	4.2.1
strace	5.1
ltrace	0.7.91
annobin	8.79

GCC Toolset 9 está disponible como un flujo de aplicaciones en forma de colección de software en el repositorio AppStream. GCC Toolset es un conjunto de herramientas similar al Red Hat Developer Toolset para RHEL 7.

Para instalar GCC Toolset 9:

yum install gcc-toolset-9

# yum install gcc-toolset-9

Copy to Clipboard

Para ejecutar una herramienta de GCC Toolset 9:

scl enable gcc-toolset-9 tool

$ scl enable gcc-toolset-9 tool

Copy to Clipboard

Para ejecutar una sesión de shell en la que las versiones de las herramientas de GCC Toolset 9 tienen prioridad sobre las versiones del sistema de estas herramientas:

scl enable gcc-toolset-9 bash

$ scl enable gcc-toolset-9 bash

Copy to Clipboard

Para obtener instrucciones detalladas sobre su uso, consulte Uso del conjunto de herramientas GCC.

(BZ#1685482)

Juegos de herramientas de compilación actualizados

Los siguientes conjuntos de herramientas de compilación, distribuidos como Application Streams, se han actualizado con RHEL 8.1:

Conjunto de herramientas Clang y LLVM, que proporciona el marco de infraestructura del compilador LLVM, el compilador Clang para los lenguajes C y C, el depurador LLDB y las herramientas relacionadas para el análisis del código, a la versión 8.0.1
Rust Toolset, que proporciona el compilador del lenguaje de programación Rust rustc, la herramienta de construcción cargo y el gestor de dependencias, así como las bibliotecas necesarias, a la versión 1.37
Go Toolset, que proporciona las herramientas y bibliotecas del lenguaje de programación Go(golang), a la versión 1.12.8.

(BZ#1731502, BZ#1691975, BZ#1680091, BZ#1677819, BZ#1681643)

SystemTap rebasado a la versión 4.1

La herramienta de instrumentación SystemTap se ha actualizado a la versión 4.1. Las mejoras más destacadas son:

El backend del tiempo de ejecución de eBPF puede manejar más características del lenguaje de scripting, como las variables de cadena y la impresión con formato enriquecido.
El rendimiento del traductor ha mejorado considerablemente.
Ahora se pueden extraer más tipos de datos en el código C optimizado con las construcciones DWARF4 debuginfo.

(BZ#1675740)

Disponibilidad general de la herramienta DHAT

Red Hat Enterprise Linux 8.1 introduce la disponibilidad general de la herramienta DHAT. Está basada en la herramienta valgrind versión 3.15.0.

A continuación puede encontrar los cambios/mejoras en la funcionalidad de la herramienta valgrind:

utilice --tool=dhat en lugar de --tool=exp-dhat,
se han eliminado las opciones--show-top-n y --sort-by porque la herramienta dhat ahora imprime los datos mínimos después de que el programa termine,
un nuevo visor dh_view.html, que es un programa JavaScript, contiene los resultados del perfil. Un breve mensaje explica cómo ver los resultados una vez finalizada la ejecución,
la documentación de un visor se encuentra: /usr/libexec/valgrind/dh_view.html,
la documentación de la herramienta DHAT se encuentra en: /usr/share/doc/valgrind/html/dh-manual.html,
el soporte para amd64 (x86_64): se añaden las extensiones RDRAND y F16C insn set,
en cachegrind el comando cg_annotate tiene una nueva opción, --show-percs, que imprime porcentajes junto a todos los recuentos de eventos,
en callgrind el comando callgrind_annotate tiene una nueva opción, --show-percs, que imprime porcentajes junto a todos los recuentos de eventos,
en el macizo el valor por defecto de --read-inline-info es ahora yes,
en la opción de memcheck --xtree-leak=yes, que emite el resultado de la fuga en formato xtree, activa automáticamente la opción --show-leak-kinds=all,
la nueva opción --show-error-list=no|yes muestra la lista de los errores detectados y la supresión utilizada al final de la ejecución. Anteriormente, el usuario podía especificar la opción -v para el comando valgrind, que muestra mucha información que puede resultar confusa. La opción -s es un equivalente a la opción --show-error-list=yes.

(BZ#1683715)

elfutils rebasado a la versión 0.176

Los paquetes elfutils han sido actualizados a la versión 0.176. Esta versión trae varias correcciones de errores, y resuelve las siguientes vulnerabilidades:

Las mejoras más destacadas son:

La biblioteca libdw ha sido ampliada con la función dwelf_elf_begin( ) que es una variante de elf_begin() que maneja archivos comprimidos.
Se ha añadido una nueva opción --reloc-debug-sections-only a la herramienta eu-strip para resolver todas las reubicaciones triviales entre secciones de depuración en su lugar sin ningún otro tipo de eliminación. Esta funcionalidad es relevante sólo para los archivos ET_REL en determinadas circunstancias.

(BZ#1683705)

Comprobaciones adicionales de asignación de memoria en glibc

La corrupción de la memoria de las aplicaciones es una de las principales causas de defectos de aplicación y seguridad. La detección temprana de este tipo de corrupción, sopesada con el coste de la detección, puede proporcionar importantes beneficios a los desarrolladores de aplicaciones.

Para mejorar la detección, se han añadido seis comprobaciones adicionales de corrupción de memoria a los metadatos de malloc en la biblioteca GNU C(glibc), que es el núcleo de la biblioteca C en RHEL. Estas comprobaciones adicionales se han añadido con un coste muy bajo para el rendimiento en tiempo de ejecución.

(BZ#1651283)

GDB puede acceder a más registros de POWER8

Con esta actualización, el depurador de GNU (GDB) y su stub remoto gdbserver pueden acceder a los siguientes registros y conjuntos de registros adicionales de la línea de procesadores POWER8 de IBM:

PPR
DSCR
TAR
EBB/PMU
HTM

(BZ#1187581)

el desensambladorbinutils puede manejar archivos binarios NFP

La herramienta de desensamblaje del paquete binutils se ha ampliado para manejar archivos binarios de la serie de hardware Netronome Flow Processor (NFP). Esta funcionalidad es necesaria para habilitar otras características del compilador de código bpftool Berkeley Packet Filter (BPF).

(BZ#1644391)

Las secciones GOT parcialmente escribibles son ahora compatibles con la arquitectura IBM Z

Los binarios de IBM Z que utilizan la función "lazy binding" del cargador pueden ahora endurecerse generando secciones de la tabla de desplazamiento global (GOT) parcialmente escribibles. Estos binarios requieren una GOT de lectura-escritura, pero no todas las entradas son escribibles. Esta actualización proporciona protección a las entradas frente a posibles ataques.

(BZ#1525406)

binutils ahora soporta los procesadores Arch13 de IBM Z

Esta actualización añade soporte para las extensiones relacionadas con los procesadores Arch13 en los paquetes binutils en la arquitectura IBM Z. Como resultado, ahora es posible construir kernels que pueden utilizar las características disponibles en las CPUs habilitadas para arch13 en IBM Z.

(BZ#1659437)

Dyninst rebasado a la versión 10.1.0

La librería de instrumentación Dyninst ha sido actualizada a la versión 10.1.0. Los cambios notables incluyen:

Dyninst es compatible con las arquitecturas Linux PowerPC Little Endian(ppcle) y ARM de 64 bits(aarch64).
Se ha mejorado el tiempo de arranque mediante el análisis de código paralelo.

(BZ#1648441)

Actualización del formato de la fecha para la era Reiwa japonesa

La Biblioteca C de GNU ahora proporciona el formato correcto del nombre de la era japonesa para la era Reiwa a partir del 1 de mayo de 2019. Se han actualizado los datos de la API de manejo de la hora, incluyendo los datos utilizados por las funciones strftime y strptime. Todas las APIs imprimirán correctamente la era Reiwa incluyendo cuando se utilice strftime junto con uno de los especificadores de conversión de era como , , o .

(BZ#1577438)

Co-Pilot de rendimiento rebasado a la versión 4.3.2

En RHEL 8.1, la herramienta Performance Co-Pilot (PCP) se ha actualizado a la versión 4.3.2. Las mejoras más destacadas son:

Se han añadido nuevas métricas: entropía del kernel de Linux, información sobre el bloqueo de la presión, estadísticas de la GPU de Nvidia, etc.
Herramientas como pcp-dstat, pcp-atop, el perfevent PMDA y otras han sido actualizadas para informar de las nuevas métricas.
Se han actualizado las utilidades pmseries y pmproxy para una integración performante de PCP con Grafana.

Esta versión es compatible con las bibliotecas, el protocolo over-the-wire y el formato de archivo PCP en disco.

(BZ#1685302)

6.1.13. Gestión de la identidad

IdM ahora es compatible con los roles y módulos de Ansible para su instalación y gestión

Esta actualización introduce el paquete ansible-freeipa, que proporciona roles y módulos de Ansible para el despliegue y la gestión de Identity Management (IdM). Puede utilizar los roles de Ansible para instalar y desinstalar servidores, réplicas y clientes de IdM. Puede utilizar los módulos de Ansible para gestionar los grupos, la topología y los usuarios de IdM. También hay ejemplos de playbooks disponibles.

Esta actualización simplifica la instalación y configuración de las soluciones basadas en IdM.

(JIRA:RHELPLAN-2542)

Nueva herramienta para comprobar la idoneidad general de la implantación de IdM: Healthcheck

Esta actualización introduce la herramienta Healthcheck en Identity Management (IdM). La herramienta proporciona pruebas que verifican que el servidor IdM actual está configurado y funciona correctamente.

The major areas currently covered are: * Certificate configuration and expiration dates * Replication errors * Replication topology * AD Trust configuration * Service status * File permissions of important configuration files * Filesystem space

La herramienta Healthcheck está disponible en la interfaz de línea de comandos (CLI).

(JIRA:RHELPLAN-13066)

IdM ahora admite la renovación de certificados de sistema caducados cuando el servidor está desconectado

Con esta mejora, los administradores pueden renovar los certificados de sistema caducados cuando Identity Management (IdM) está fuera de línea. Cuando un certificado de sistema caduca, IdM no se inicia. El nuevo comando ipa-cert-fix sustituye a la solución de retrasar manualmente la fecha para proceder al proceso de renovación. Como resultado, el tiempo de inactividad y los costes de soporte se reducen en el escenario mencionado.

(JIRA:RHELPLAN-13074)

La gestión de identidades admite la confianza con Windows Server 2019

Al utilizar la gestión de identidades, ahora puede establecer una confianza de bosque compatible con los bosques de Active Directory que ejecuta Windows Server 2019. Los niveles funcionales de bosque y dominio admitidos no han cambiado y se admiten hasta el nivel de Windows Server 2016.

(JIRA:RHELPLAN-15036)

samba rebasado a la versión 4.10.4

Los paquetes samba han sido actualizados a la versión 4.10.4, que proporciona una serie de correcciones de errores y mejoras respecto a la versión anterior:

Samba 4.10 es totalmente compatible con Python 3. Tenga en cuenta que las futuras versiones de Samba no tendrán ningún soporte de tiempo de ejecución para Python 2.
La función de registro de notación de objetos de JavaScript (JSON) ahora registra el ID de evento de Windows y el tipo de inicio de sesión para los mensajes de autenticación.
El nuevo módulo vfs_glusterfs_fuse file system in user space (FUSE) mejora el rendimiento cuando Samba accede a un volumen GlusterFS. Para activar este módulo, añada glusterfs_fuse al parámetro vfs_objects del recurso compartido en el archivo /etc/samba/smb.conf. Tenga en cuenta que vfs_glusterfs_fuse no sustituye al módulo existente vfs_glusterfs.
Los enlaces Python del cliente de bloque de mensajes del servidor (SMB) están ahora obsoletos y se eliminarán en una futura versión de Samba. Esto sólo afecta a los usuarios que utilizan los enlaces de Samba Python para escribir sus propias utilidades.

Samba actualiza automáticamente sus archivos de base de datos tdb cuando se inicia el servicio smbd, nmbd o winbind. Haga una copia de seguridad de los archivos de las bases de datos antes de iniciar Samba. Tenga en cuenta que Red Hat no admite la actualización de los archivos de la base de datos tdb.

Para más información sobre los cambios notables, lea las notas de la versión anterior antes de actualizar: https://www.samba.org/samba/history/samba-4.10.0.html

(BZ#1638001)

Actualización de la ubicación del almacén de certificados de todo el sistema para OpenLDAP

La ubicación por defecto de las CAs de confianza para OpenLDAP se ha actualizado para utilizar el almacén de certificados de todo el sistema(/etc/pki/ca-trust/source) en lugar de /etc/openldap/certs. Este cambio se ha realizado para simplificar la configuración de la confianza de la CA.

No se requiere ninguna configuración adicional para configurar la confianza de la CA, a menos que tenga requisitos específicos de servicio. Por ejemplo, si se requiere que el certificado de un servidor LDAP sólo sea de confianza para las conexiones de clientes LDAP, en este caso se deben configurar los certificados de CA como se hizo anteriormente.

(JIRA:RHELPLAN-7109)

Se han introducido nuevos comandos ipa-crl-generation para simplificar la gestión del maestro IdM CRL

Esta actualización introduce los comandos ipa-crl-generation status/enable/disable. Estos comandos, ejecutados por el usuario raíz, simplifican el trabajo con la lista de revocación de certificados (CRL) en IdM. Anteriormente, trasladar el maestro de generación de CRL de un servidor IdM CA a otro era un procedimiento largo, manual y propenso a errores.

El comando ipa-crl-generation status comprueba si el host actual es el maestro de generación de CRL. El comando ipa-crl-generation enable hace que el host actual sea el maestro de generación de CRL en IdM si el host actual es un servidor de CA de IdM. El comando ipa-crl-generation disable detiene la generación de CRL en el host actual.

Además, el comando ipa-server-install --uninstall ahora incluye una salvaguarda que comprueba si el host es el maestro de generación de CRL. De esta manera, IdM se asegura de que el administrador del sistema no elimine el maestro de generación de CRL de la topología.

(JIRA:RHELPLAN-13068)

Soporte de OpenID Connect en keycloak-httpd-client-install

El proveedor de identidad keycloak-httpd-client-install anteriormente sólo soportaba la autenticación SAML (Security Assertion Markup Language) con el módulo de autenticación mod_auth_mellon. Este rebase introduce el soporte del módulo de autenticación mod_auth_openidc, que permite configurar también la autenticación de OpenID Connect.

El proveedor de identidad keycloak-httpd-client-install permite configurar una instancia de apache como cliente de OpenID Connect mediante la configuración de mod_auth_openidc.

(BZ#1553890)

La configuración de IdM como réplica oculta ya está disponible como Technology Preview

Esta mejora permite a los administradores configurar una réplica de Identity Management (IdM) como una réplica oculta. Una réplica oculta es un servidor IdM que tiene todos los servicios en funcionamiento y disponibles. Sin embargo, no se anuncia a otros clientes o maestros porque no existen registros SRV para los servicios en DNS, y los roles del servidor LDAP no están habilitados. Por lo tanto, los clientes no pueden utilizar el descubrimiento de servicios para detectar las réplicas ocultas.

Las réplicas ocultas están diseñadas principalmente para servicios dedicados que, de otro modo, pueden interrumpir a los clientes. Por ejemplo, una copia de seguridad completa de IdM requiere apagar todos los servicios de IdM en el maestro o la réplica. Dado que ningún cliente utiliza una réplica oculta, los administradores pueden apagar temporalmente los servicios en este host sin afectar a ningún cliente. Otros casos de uso incluyen operaciones de alta carga en la API de IdM o el servidor LDAP, como una importación masiva o consultas extensas.

Para instalar una nueva réplica oculta, utilice el comando ipa-replica-install --hidden-replica. Para cambiar el estado de una réplica existente, utilice el comando ipa server-state.

(BZ#1719767)

SSSD ahora aplica los GPO de AD por defecto

La configuración por defecto de la opción de SSSD ad_gpo_access_control es ahora enforcing. En RHEL 8, SSSD aplica por defecto las reglas de control de acceso basadas en los objetos de política de grupo (GPO) de Active Directory.

Red Hat recomienda asegurarse de que los GPOs están configurados correctamente en Active Directory antes de actualizar de RHEL 7 a RHEL 8. Si no desea aplicar los GPOs, cambie el valor de la opción ad_gpo_access_control en el archivo /etc/sssd/sssd.conf a permisivo.

(JIRA:RHELPLAN-51289)

6.1.14. Escritorio

Cambio de espacio de trabajo modificado en GNOME Classic

El conmutador de espacios de trabajo en el entorno de GNOME Classic ha sido modificado. El conmutador se encuentra ahora en la parte derecha de la barra inferior, y está diseñado como una tira horizontal de miniaturas. El cambio entre espacios de trabajo es posible haciendo clic en la miniatura requerida. También puede utilizar la combinación de teclas Ctrl+Alt+flecha abajo/arriba para cambiar de espacio de trabajo. El contenido del espacio de trabajo activo se muestra en la parte izquierda de la barra inferior en forma de window list.

Al pulsar la tecla Super dentro del espacio de trabajo concreto, se puede ver la página window picker, que incluye todas las ventanas abiertas en este espacio de trabajo. Sin embargo, el window picker ya no muestra los siguientes elementos que estaban disponibles en la versión anterior de RHEL:

dock (barra vertical en la parte izquierda de la pantalla)
workspace switcher (barra vertical en la parte derecha de la pantalla)
search entry

Para las tareas particulares que se lograron anteriormente con la ayuda de estos elementos, adopte los siguientes enfoques:

Para lanzar aplicaciones, en lugar de utilizar dock, puede:
- Utilice el menú Applications de la barra superior
- Pulse las teclas kdb:[Alt F2] para que aparezca la pantalla Enter a Command, y escriba el nombre del ejecutable en esta pantalla.
Para pasar de un espacio de trabajo a otro, en lugar de utilizar la dirección vertical workspace switcher, utilice la dirección horizontal workspace switcher de la barra inferior derecha.
Si necesita el search entry o el workspace switcher vertical, utilice el entorno estándar de GNOME en lugar del clásico.

(BZ#1704360)

6.1.15. Infraestructuras gráficas

DRM rebasado a la versión 5.1 del kernel de Linux

El subsistema gráfico del kernel Direct Rendering Manager (DRM) ha sido reajustado a la versión 5.1 del kernel de Linux, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior. Las más notables son:

El controlador mgag200 ha sido actualizado. El controlador sigue siendo compatible con los sistemas HPE Proliant Gen10, que utilizan las GPU Matrox G200 eH3. El controlador actualizado también es compatible con los servidores Dell EMC PowerEdge actuales y nuevos.
El controlador nouveau se ha actualizado para proporcionar habilitación de hardware a las plataformas Lenovo actuales y futuras que utilizan GPUs NVIDIA.
El controlador de la pantalla i915 se ha actualizado para que siga siendo compatible con las GPU de Intel actuales y nuevas.
Se han añadido correcciones de errores para los chips de visualización Aspeed AST BMC.
Se ha añadido la compatibilidad con el conjunto de unidades de procesamiento acelerado (APU) AMD Raven 2.
Se ha añadido soporte para las APUs AMD Picasso.
Se ha añadido soporte para las GPUs AMD Vega.
Se ha añadido compatibilidad con las GPU Intel Amber Lake-Y e Intel Comet Lake-U.

(BZ#1685552)

Compatibilidad con las tarjetas gráficas AMD Picasso

Esta actualización introduce el controlador gráfico amdgpu. Como resultado, las tarjetas gráficas AMD Picasso son ahora totalmente compatibles con RHEL 8.

(BZ#1685427)

6.1.16. La consola web

Activación y desactivación de SMT

La configuración de Multi-Threading Simultáneo (SMT) está ahora disponible en RHEL 8. Desactivar SMT en la consola web permite mitigar una clase de vulnerabilidades de seguridad de la CPU como:

(BZ#1678956)

Añadir un cuadro de búsqueda en la página de Servicios

La página de Servicios tiene ahora un cuadro de búsqueda para filtrar los servicios por:

Nombre
Descripción
Estado

Además, los estados de servicio se han fusionado en una sola lista. Los botones del conmutador en la parte superior de la página también se han cambiado por pestañas para mejorar la experiencia del usuario de la página Services.

(BZ#1657752)

Añadir soporte para las zonas de cortafuegos

La configuración del cortafuegos en la página Networking ahora es compatible:

Añadir y eliminar zonas
Añadir o eliminar servicios a zonas arbitrarias y
Configurar puertos personalizados además de los servicios de firewalld.

(BZ#1678473)

Añadir mejoras a la configuración de las máquinas virtuales

Con esta actualización, la consola web de RHEL 8 incluye muchas mejoras en la página de Máquinas Virtuales. Ahora puede:

Gestionar varios tipos de grupos de almacenamiento
Configurar el arranque automático de la máquina virtual
Importar imágenes existentes de qcow
Instalar VMs a través del arranque PXE
Cambiar la asignación de memoria
Pausa/reanudación de máquinas virtuales
Configurar las características de la caché (directsync, writeback)
Cambiar el orden de arranque

(BZ#1658847)

6.1.17. Roles del sistema Red Hat Enterprise Linux

Se ha añadido un nuevo rol de almacenamiento a los roles de sistema de RHEL

El rol de almacenamiento se ha añadido a los roles de sistema de RHEL proporcionados por el paquete rhel-system-roles. El rol de almacenamiento puede utilizarse para gestionar el almacenamiento local mediante Ansible.

Actualmente, el rol de almacenamiento soporta los siguientes tipos de tareas:

Gestión de sistemas de archivos en discos enteros
Gestión de grupos de volúmenes LVM
Gestión de volúmenes lógicos y sus sistemas de archivos

Para más información, consulte Gestión de sistemas de archivos y Configuración y gestión de volúmenes lógicos.

(BZ#1691966)

6.1.18. Virtualización

WALinuxAgent rebasado a la versión 2.2.38

El paquete WALinuxAgent se ha actualizado a la versión 2.2.38, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior.

Además, WALinuxAgent ya no es compatible con Python 2, ni con las aplicaciones que dependen de Python 2. Como resultado, las aplicaciones y extensiones escritas en Python 2 tendrán que ser convertidas a Python 3 para establecer la compatibilidad con WALinuxAgent.

(BZ#1722848)

Windows encuentra automáticamente los controladores virtio-win necesarios

Ahora Windows puede encontrar automáticamente los controladores virtio-win que necesita desde la ISO de controladores sin que el usuario tenga que seleccionar la carpeta en la que se encuentran.

(BZ#1223668)

KVM admite la paginación de 5 niveles

Con Red Hat Enterprise Linux 8, la virtualización KVM soporta la función de paginación de 5 niveles. En determinadas CPUs anfitrionas, esto aumenta significativamente el espacio de direcciones físicas y virtuales que los sistemas anfitrión y huésped pueden utilizar.

(BZ#1526548)

Ahora se puede compartir la tarjeta inteligente en los huéspedes de Windows con los controladores ActivClient

Esta actualización añade compatibilidad con el uso compartido de tarjetas inteligentes en máquinas virtuales (VM) que utilizan un sistema operativo invitado Windows y controladores ActivClient. Esto permite la autenticación con tarjeta inteligente para los inicios de sesión de los usuarios utilizando tarjetas inteligentes emuladas o compartidas en estas VM.

(BZ#1615840)

Se han añadido nuevas opciones para virt-xml

La utilidad virt-xml ahora puede utilizar las siguientes opciones de línea de comandos:

--no-define - Los cambios realizados en la máquina virtual (VM) por el comando virt-xml no se guardan en la configuración persistente.
--start - Inicia la VM después de realizar los cambios solicitados.

El uso de estas dos opciones juntas permite a los usuarios cambiar la configuración de una VM e iniciar la VM con la nueva configuración sin hacer que los cambios sean persistentes. Por ejemplo, el siguiente comando cambia el orden de arranque de la VM testguest a red para el siguiente arranque, e inicia el arranque:

virt-xml testguest  --start --no-define --edit --boot network

virt-xml testguest  --start --no-define --edit --boot network

Copy to Clipboard

(JIRA:RHELPLAN-13960)

CPUs IBM z14 GA2 compatibles con KVM

Con esta actualización, KVM soporta el modelo de CPU IBM z14 GA2. Esto permite crear máquinas virtuales en hosts IBM z14 GA2 que utilizan RHEL 8 como sistema operativo anfitrión con una CPU IBM z14 GA2 en el invitado.

(JIRA:RHELPLAN-13649)

Nvidia NVLink2 ya es compatible con las máquinas virtuales en IBM POWER9

Las VGPUs de Nvidia que soportan la función NVLink2 ahora pueden ser asignadas a máquinas virtuales (VMs) que se ejecutan en un host RHEL 8 en un sistema IBM POWER9. Esto hace posible que estas VMs utilicen todo el potencial de rendimiento de NVLink2.

(JIRA:RHELPLAN-12811)

6.2. Nuevos conductores

Controladores de red

Compatibilidad con el protocolo de Internet de línea serie (slip.ko.xz)
Controlador de bus CAN de plataforma para el controlador C_CAN de Bosch (c_can_platform.ko.xz)
interfaz CAN virtual (vcan.ko.xz)
Controlador Softing DPRAM CAN (softing.ko.xz)
interfaz CAN de línea serie (slcan.ko.xz)
Controlador CAN para interfaces CAN/USB de EMS Dr. Thomas Wuensche (ems_usb.ko.xz)
Controlador CAN para las interfaces esd CAN-USB/2 y CAN-USB/Micro (esd_usb2.ko.xz)
Controlador Socket-CAN para SJA1000 en el bus de plataforma (sja1000_platform.ko.xz)
Controlador Socket-CAN para tarjetas de puente PCI PLX90xx con los chips SJA1000 (plx_pci.ko.xz)
Controlador Socket-CAN para tarjetas EMS CPC-PCI/PCIe/104P CAN (ems_pci.ko.xz)
Controlador Socket-CAN para tarjetas PCI KVASER PCAN (kvaser_pci.ko.xz)
Controlador Intel® 2.5G Ethernet para Linux (igc.ko.xz)
Controlador PCI inalámbrico 802.11ac de Realtek (rtwpci.ko.xz)
Módulo central inalámbrico 802.11ac de Realtek (rtw88.ko.xz)
Soporte para dispositivos MediaTek MT76 (mt76.ko.xz)
Soporte para MediaTek MT76x0U (USB) (mt76x0u.ko.xz)
Soporte para MediaTek MT76x2U (USB) (mt76x2u.ko.xz)

Controladores de gráficos y otros controladores

Configuración del modo del núcleo virtual (vkms.ko.xz)
Rutinas Intel GTT (Graphics Translation Table) (intel-gtt.ko.xz)
Manejo de búferes compartidos basados en el directorio de páginas del frontend/backend de Xen (xen-front-pgdir-shbuf.ko.xz)
Disparador LED para el control del silencio del audio (ledtrig-audio.ko.xz)
Controlador de control de radio del adaptador inalámbrico de host (hwa-rc.ko.xz)
Dispositivo de bloque de red (nbd.ko.xz)
Controlador del mux Pericom PI3USB30532 Type-C (pi3usb30532.ko.xz)
Fairchild FUSB302 Type-C Chip Driver (fusb302.ko.xz)
Controlador del controlador de entrega de energía USB TI TPS6598x (tps6598x.ko.xz)
Controlador térmico Intel PCH (intel_pch_thermal.ko.xz)
Inyector de errores de software PCIe AER (aer_inject.ko.xz)
Controlador simple para el dispositivo PCI SR-IOV PF (pci-pf-stub.ko.xz)
soporte de procesamiento de audio digital mISDN (mISDN_dsp.ko.xz)
ISDN capa 1 para chips Cologne Chip HFC-4S/8S (hfc4s8s_l1.ko.xz)
ISDN4Linux: Soporte de desvío de llamadas (dss1_divert.ko.xz)
CAPI4Linux: Interfaz de espacio de usuario /dev/capi20 (capi.ko.xz)
Controlador USB para Gigaset 307x (bas_gigaset.ko.xz)
ISDN4Linux: Controlador para tarjetas HYSDN (hysdn.ko.xz)
soporte de procesamiento de audio digital mISDN (mISDN_dsp.ko.xz)
controlador mISDN para tarjetas basadas en Winbond w6692 (w6692.ko.xz)
controlador mISDN para tarjetas basadas en hfc-pci de CCD (hfcpci.ko.xz)
controlador mISDN para tarjetas basadas en hfc-4s/hfc-8s/hfc-e1 (hfcmulti.ko.xz)
controlador mISDN para NETJet (netjet.ko.xz)
controlador mISDN para tarjetas AVM FRITZ!CARD PCI ISDN (avmfritz.ko.xz)

Controladores de almacenamiento

NVMe over Fabrics TCP host (nvme-tcp.ko.xz)
Objetivo TCP de NVMe over Fabrics (nvmet-tcp.ko.xz)
objetivo de la caché de escritura de device-mapper (dm-writecache.ko.xz)

6.3. Conductores actualizados

Actualizaciones de los controladores de red

El controlador Ethernet QLogic FastLinQ 4xxxx (qede.ko.xz) ha sido actualizado a la versión 8.37.0.20.
QLogic FastLinQ 4xxxx Core Module (qed.ko.xz) ha sido actualizado a la versión 8.37.0.20.
El controlador de red Broadcom BCM573xx (bnxt_en.ko.xz) ha sido actualizado a la versión 1.10.0.
QLogic BCM57710/57711/57711E/57712/57712_MF/57800/57800_MF/57810/57810_MF/57840/57840_MF Driver (bnx2x.ko.xz) ha sido actualizado a la versión 1.713.36-0.
El controlador de red Intel® Gigabit Ethernet (igb.ko.xz) ha sido actualizado a la versión 5.6.0-k.
El controlador de red de función virtual Intel® 10 Gigabit (ixgbevf.ko.xz) ha sido actualizado a la versión 4.1.0-k-rh8.1.0.
El controlador de red Intel® 10 Gigabit PCI Express (ixgbe.ko.xz) ha sido actualizado a la versión 5.1.0-k-rh8.1.0.
El controlador de la interfaz de host del conmutador Intel® Ethernet (fm10k.ko.xz) ha sido actualizado a la versión 0.26.1-k.
El controlador Intel® Ethernet Connection E800 Series para Linux (ice.ko.xz) ha sido actualizado a la versión 0.7.4-k.
El controlador de red Intel® Ethernet Connection XL710 (i40e.ko.xz) ha sido actualizado a la versión 2.8.20-k.
El controlador del procesador de flujo Netronome (NFP) (nfp.ko.xz) ha sido actualizado a la versión 4.18.0-147.el8.x86_64.
Elastic Network Adapter (ENA) (ena.ko.xz) ha sido actualizado a la versión 2.0.3K.

Actualizaciones de gráficos y controladores varios

El controlador drm independiente para el dispositivo VMware SVGA (vmwgfx.ko.xz) ha sido actualizado a la versión 2.15.0.0.
el controlador hpe watchdog (hpwdt.ko.xz) ha sido actualizado a la versión 2.0.2.

Actualizaciones de los controladores de almacenamiento

El controlador para la controladora HP Smart Array versión 3.4.20-170-RH3 (hpsa.ko.xz) ha sido actualizado a la versión 3.4.20-170-RH3.
El controlador del dispositivo LSI MPT Fusion SAS 3.0 (mpt3sas.ko.xz) ha sido actualizado a la versión 28.100.00.00.
El controlador SCSI de canal de fibra Emulex LightPulse 12.2.0.3 (lpfc.ko.xz) ha sido actualizado a la versión 0:12.2.0.3.
El controlador QLogic QEDF 25/40/50/100Gb FCoE (qedf.ko.xz) ha sido actualizado a la versión 8.37.25.20.
El controlador Cisco FCoE HBA (fnic.ko.xz) ha sido actualizado a la versión 1.6.0.47.
El controlador HBA de canal de fibra de QLogic (qla2xxx.ko.xz) ha sido actualizado a la versión 10.01.00.15.08.1-k1.
El controlador para la familia de controladores Microsemi Smart versión 1.2.6-015 (smartpqi.ko.xz) ha sido actualizado a la versión 1.2.6-015.
QLogic FastLinQ 4xxxx iSCSI Module (qedi.ko.xz) ha sido actualizado a la versión 8.33.0.21.
El controlador Broadcom MegaRAID SAS (megaraid_sas.ko.xz) ha sido actualizado a la versión 07.707.51.00-rc1.

6.4. Corrección de errores

Esta parte describe los errores corregidos en Red Hat Enterprise Linux 8.1 que tienen un impacto significativo en los usuarios.

6.4.1. Creación del instalador y de la imagen

El uso de los parámetros de arranque del kernel version o inst.version ya no detiene el programa de instalación

Anteriormente, al arrancar el programa de instalación desde la línea de comandos del kernel utilizando los parámetros de arranque version o inst.version se imprimía la versión, por ejemplo anaconda 30.25.6, y se detenía el programa de instalación.

Con esta actualización, los parámetros version y inst.version son ignorados cuando el programa de instalación se inicia desde la línea de comandos del kernel, y como resultado, el programa de instalación no se detiene.

(BZ#1637472)

Los controladores de vídeo xorg-x11-drv-fbdev, xorg-x11-drv-vesa y xorg-x11-drv-vmware se instalan ahora por defecto

Anteriormente, las estaciones de trabajo con modelos específicos de tarjetas gráficas NVIDIA y las estaciones de trabajo con unidades de procesamiento acelerado AMD específicas no mostraban la ventana gráfica de inicio de sesión después de una instalación de RHEL 8.0 Server. Este problema también afectaba a las máquinas virtuales que dependen de EFI para el soporte gráfico, como Hyper-V. Con esta actualización, los controladores de vídeo xorg-x11-drv-fbdev, xorg-x11-drv-vesa y xorg-x11-drv-vmware se instalan de forma predeterminada y la ventana de inicio de sesión gráfica se muestra después de una instalación de RHEL 8.0 Server y posterior.

(BZ#1687489)

El modo de rescate ya no falla sin mostrar un mensaje de error

Anteriormente, si se ejecutaba el modo de rescate en un sistema sin particiones Linux, el programa de instalación fallaba con una excepción. Con esta actualización, el programa de instalación muestra el mensaje de error "No tiene ninguna partición de Linux" cuando se detecta un sistema sin particiones de Linux.

(BZ#1628653)

El programa de instalación ahora establece la bandera lvm_metadata_backup Blivet para las instalaciones de imágenes

Anteriormente, el programa de instalación no establecía la bandera Blivet lvm_metadata_backup para las instalaciones de imágenes. Como consecuencia, los archivos de copia de seguridad de LVM se encontraban en el subdirectorio /etc/lvm/ después de una instalación de imagen. Con esta actualización, el programa de instalación establece la bandera lvm_metadata_backup Blivet, y como resultado, no hay archivos de copia de seguridad LVM ubicados en el subdirectorio /etc/lvm/ después de una instalación de imagen.

(BZ#1673901)

El programa de instalación de RHEL 8 ahora maneja cadenas de RPM

Anteriormente, cuando la biblioteca python3-rpm devolvía una cadena, el programa de instalación fallaba con una excepción. Con esta actualización, el programa de instalación ahora puede manejar cadenas de RPM.

(BZ#1689909)

El parámetro de arranque del kernel inst.repo ahora funciona para un repositorio en un disco duro que tiene una ruta no raíz

Anteriormente, el proceso de instalación de RHEL 8 no podía continuar sin intervención manual si el inst.repo=hd:

(BZ#1689194)

La opción --changesok permite ahora que el programa de instalación cambie la contraseña de root

Anteriormente, el uso de la opción --changesok al instalar Red Hat Enterprise Linux 8 desde un archivo Kickstart no permitía que el programa de instalación cambiara la contraseña de root. Con esta actualización, la opción --changesok es pasada con éxito por Kickstart, y como resultado, los usuarios que especifican la opción pwpolicy root -changesok en su archivo Kickstart pueden ahora cambiar la contraseña de root usando la GUI, incluso si la contraseña ya ha sido establecida por Kickstart.

(BZ#1584145)

La construcción de imágenes ya no falla cuando se utiliza la API de lorax-composer

Anteriormente, cuando se utilizaba la API de lorax-composer desde un sistema RHEL suscrito, el proceso de construcción de imágenes siempre fallaba. Anaconda no podía acceder a los repositorios, porque los certificados de suscripción del host no se transmiten. Para solucionar el problema actualice los paquetes lorax-composer, pykickstart y Anaconda. Eso permitirá pasar los certificados CDN soportados.

(BZ#1663950)

6.4.2. Shell y herramientas de línea de comandos

systemd en modo de depuración ya no produce mensajes de registro innecesarios

Al utilizar el sistema systemd y el gestor de servicios en modo de depuración, systemd producía anteriormente mensajes de registro innecesarios e inofensivos que comenzaban con:

"Fallo en la adición de la regla para la llamada del sistema..."

"Fallo en la adición de la regla para la llamada del sistema..."

Copy to Clipboard

Con esta actualización, systemd ha sido corregido para que ya no produzca estos mensajes de depuración innecesarios.

(BZ#1658691)

6.4.3. Seguridad

fapolicyd ya no impide las actualizaciones de RHEL

Cuando una actualización sustituye el binario de una aplicación en ejecución, el kernel modifica la ruta del binario de la aplicación en la memoria añadiendo el sufijo " (eliminado)". Anteriormente, el demonio de la política de acceso a archivos fapolicyd trataba dichas aplicaciones como no confiables, y les impedía abrir y ejecutar cualquier otro archivo. Como consecuencia, el sistema a veces no podía arrancar después de aplicar las actualizaciones.

Con la publicación del aviso RHBA-2020:5241, fapolicyd ignora el sufijo en la ruta del binario para que éste pueda coincidir con la base de datos de confianza. Como resultado, fapolicyd aplica las reglas correctamente y el proceso de actualización puede finalizar.

(BZ#1897092)

SELinux ya no impide que Tomcat envíe correos electrónicos

Antes de esta actualización, la política de SELinux no permitía que los dominios tomcat_t y pki_tomcat_t se conectaran a los puertos SMTP. En consecuencia, SELinux denegaba a las aplicaciones del servidor Tomcat el envío de correos electrónicos. Con esta actualización de los paquetes selinux-policy, la política permite que los procesos de los dominios Tomcat accedan a los puertos SMTP, y SELinux ya no impide que las aplicaciones en Tomcat envíen correos electrónicos.

(BZ#1687798)

lockdev ahora se ejecuta correctamente con SELinux

Anteriormente, la herramienta lockdev no podía pasar al contexto lockdev_t aunque la política SELinux para lockdev_t estaba definida. Como consecuencia, lockdev podía ejecutarse en el dominio 'unconfined_t' cuando era utilizado por el usuario root. Esto introducía vulnerabilidades en el sistema. Con esta actualización, la transición a lockdev_t ha sido definida, y ahora lockdev puede ser utilizado correctamente con SELinux en modo de refuerzo.

(BZ#1673269)

iotop ahora funciona correctamente con SELinux

Anteriormente, la herramienta iotop no podía pasar al contexto iotop_t aunque la política SELinux para iotop_t estaba definida. Como consecuencia, iotop podía ejecutarse en el dominio 'unconfined_t' cuando era utilizado por el usuario root. Esto introducía vulnerabilidades en el sistema. Con esta actualización, la transición a iotop_t ha sido definida, y ahora iotop puede ser utilizado correctamente con SELinux en modo enforcing.

(BZ#1671241)

SELinux ahora maneja correctamente NFS 'crossmnt'

El protocolo NFS con la opción crossmnt crea automáticamente montajes internos cuando un proceso accede a un subdirectorio ya utilizado como punto de montaje en el servidor. Anteriormente, esto provocaba que SELinux comprobara si el proceso que accedía a un directorio montado en NFS tenía permiso de montaje, lo que provocaba denegaciones de AVC. En la versión actual, la comprobación de permisos de SELinux omite estos montajes internos. Como resultado, el acceso a un directorio NFS que está montado en el lado del servidor no requiere permiso de montaje.

(BZ#1647723)

La recarga de la política de SELinux ya no provoca falsos errores ENOMEM

La recarga de la política de SELinux provocaba anteriormente que la tabla interna de búsqueda de contextos de seguridad no respondiera. En consecuencia, cuando el kernel encontraba un nuevo contexto de seguridad durante la recarga de la política, la operación fallaba con un falso error "Out of memory" (ENOMEM). Con esta actualización, la tabla de búsqueda del Identificador de Seguridad (SID) interno ha sido rediseñada y ya no se congela. Como resultado, el kernel ya no devuelve errores ENOMEM engañosos durante la recarga de la política de SELinux.

(BZ#1656787)

Los dominios no confinados pueden ahora utilizar smc_socket

Anteriormente, la política de SELinux no tenía las reglas de permiso para la clase smc_socket. En consecuencia, SELinux bloqueaba el acceso a smc_socket para los dominios no confinados. Con esta actualización, se han añadido las reglas de permiso a la política de SELinux. Como resultado, los dominios no confinados pueden utilizar smc_socket.

(BZ#1683642)

Los procedimientos de limpieza de Kerberos son ahora compatibles con GSSAPIDelegateCredentials y la caché por defecto de krb5.conf

Anteriormente, cuando se configuraba la opción default_ccache_name en el archivo krb5.conf, las credenciales de kerberos no se limpiaban con las opciones GSSAPIDelegateCredentials y GSSAPICleanupCredentials configuradas. Este error se ha corregido actualizando el código fuente para limpiar la caché de credenciales en los casos de uso descritos. Tras la configuración, la caché de credenciales se limpia al salir si el usuario la configura.

(BZ#1683295)

OpenSSH ahora maneja correctamente las URI PKCS #11 para claves con etiquetas que no coinciden

Anteriormente, especificar URIs PKCS #11 con la parte del objeto (etiqueta de la clave) podía impedir que OpenSSH encontrara objetos relacionados en PKCS #11. Con esta actualización, la etiqueta se ignora si no se encuentran los objetos coincidentes, y las claves se comparan sólo por sus ID. Como resultado, OpenSSH es ahora capaz de usar claves en tarjetas inteligentes referenciadas usando URIs PKCS #11 completas.

(BZ#1671262)

Las conexiones SSH con sistemas alojados en VMware ahora funcionan correctamente

La versión anterior de la suite OpenSSH introdujo un cambio de las banderas de calidad de servicio IP (IPQoS) por defecto en los paquetes SSH, que no era manejado correctamente por la plataforma de virtualización VMware. En consecuencia, no era posible establecer una conexión SSH con sistemas en VMware. El problema ha sido corregido en VMWare Workstation 15, y las conexiones SSH con sistemas alojados en VMware ahora funcionan correctamente.

(BZ#1651763)

curve25519-sha256 es ahora soportado por defecto en OpenSSH

Anteriormente, el algoritmo de intercambio de claves SSH curve25519-sha256 no aparecía en las configuraciones de las políticas criptográficas de todo el sistema para el cliente y el servidor OpenSSH, aunque fuera compatible con el nivel de política por defecto. Como consecuencia, si un cliente o un servidor utilizaba curve25519-sha256 y este algoritmo no era compatible con el host, la conexión podía fallar. Esta actualización del paquete crypto-policies corrige el error, y las conexiones SSH ya no fallan en el escenario descrito.

(BZ#1678661)

Los playbooks de Ansible para los perfiles OSPP y PCI-DSS ya no salen después de encontrar un fallo

Anteriormente, las correcciones de Ansible para los perfiles del Protocolo de Automatización de Contenidos de Seguridad (OSPP) y del Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI-DSS) fallaban debido a un orden incorrecto y a otros errores en las correcciones. Esta actualización corrige el orden y los errores en los playbooks de corrección de Ansible generados, y las correcciones de Ansible ahora funcionan correctamente.

(BZ#1741455)

La auditoría transport=KRB5 ahora funciona correctamente

Antes de esta actualización, el modo de transporte KRB5 de Audit no funcionaba correctamente. En consecuencia, el registro remoto de Auditoría utilizando la autenticación de pares Kerberos no funcionaba. Con esta actualización, el problema se ha solucionado, y el registro remoto de Auditoría ahora funciona correctamente en el escenario descrito.

(BZ#1730382)

6.4.4. Red

El kernel ahora soporta direcciones MAC de destino en los tipos de conjuntos IP bitmap:ipmac, hash:ipmac y hash:mac

Anteriormente, la implementación del kernel de los tipos de conjuntos IP bitmap:ipmac, hash:ipmac y hash:mac sólo permitía la coincidencia con la dirección MAC de origen, mientras que las direcciones MAC de destino podían especificarse, pero no se comparaban con las entradas del conjunto. Como consecuencia, los administradores podían crear reglas iptables que utilizaban una dirección MAC de destino en uno de estos tipos de conjuntos IP, pero los paquetes que coincidían con la especificación dada no eran realmente clasificados. Con esta actualización, el núcleo compara la dirección MAC de destino y devuelve una coincidencia si la clasificación especificada corresponde a la dirección MAC de destino de un paquete. Como resultado, las reglas que hacen coincidir los paquetes con la dirección MAC de destino ahora funcionan correctamente.

(BZ#1649087)

La aplicación gnome-control-center ahora soporta la edición de la configuración avanzada de IPsec

Anteriormente, la aplicación gnome-control-center sólo mostraba las opciones avanzadas de las conexiones VPN IPsec. En consecuencia, los usuarios no podían cambiar estas opciones. Con esta actualización, los campos de la configuración avanzada son ahora editables, y los usuarios pueden guardar los cambios.

(BZ#1697329)

Se ha actualizado el objetivo TRACE en la página man de iptables-extensions(8)

Anteriormente, la descripción del objetivo TRACE en la página man de iptables-extensions(8) se refería sólo a la variante compat, pero Red Hat Enterprise Linux 8 utiliza la variante nf_tables. Como consecuencia, la página de manual no hacía referencia a la utilidad de línea de comandos xtables-monitor para mostrar los eventos TRACE. La página man ha sido actualizada y, como resultado, ahora menciona xtables-monitor.

(BZ#1658734)

Se ha mejorado el registro de errores en el servicio ipset

Anteriormente, el servicio ipset no informaba de los errores de configuración con una gravedad significativa en los registros de systemd. El nivel de gravedad de las entradas de configuración no válidas era sólo informativo, y el servicio no informaba de los errores de una configuración inutilizable. Como consecuencia, era difícil para los administradores identificar y solucionar problemas en la configuración del servicio ipset. Con esta actualización, ipset informa de los problemas de configuración como advertencias en los registros de systemd y, si el servicio no se inicia, registra una entrada con la gravedad del error incluyendo más detalles. Como resultado, ahora es más fácil solucionar problemas en la configuración del servicio ipset.

(BZ#1683711)

El servicio ipset ahora ignora las entradas de configuración no válidas durante el arranque

El servicio ipset almacena las configuraciones como conjuntos en archivos separados. Anteriormente, cuando el servicio se iniciaba, restauraba la configuración de todos los conjuntos en una sola operación, sin filtrar las entradas no válidas que se pueden insertar al editar manualmente un conjunto. Como consecuencia, si una sola entrada de configuración no era válida, el servicio no restauraba otros conjuntos no relacionados. El problema se ha solucionado. Como resultado, el servicio ipset detecta y elimina las entradas de configuración no válidas durante la operación de restauración, e ignora las entradas de configuración no válidas.

(BZ#1683713)

El comando ipset list informa de la memoria consistente para los tipos de conjuntos hash

Cuando se añaden entradas a un tipo de conjunto hash, la utilidad ipset debe redimensionar la representación en memoria para las nuevas entradas asignando un bloque de memoria adicional. Anteriormente, ipset establecía el tamaño total asignado por conjunto sólo al tamaño del nuevo bloque en lugar de añadir el valor al tamaño actual en memoria. Como consecuencia, el comando ip list informaba de un tamaño de memoria inconsistente. Con esta actualización, ipset calcula correctamente el tamaño en memoria. Como resultado, el comando ipset list muestra ahora el tamaño correcto en memoria del conjunto, y la salida coincide con la memoria real asignada para los tipos de conjuntos hash.

(BZ#1714111)

El kernel ahora actualiza correctamente la PMTU al recibir el mensaje ICMPv6 Packet Too Big

En ciertas situaciones, como en el caso de las direcciones de enlace local, más de una ruta puede coincidir con una dirección de origen. Anteriormente, el kernel no comprobaba la interfaz de entrada cuando recibía paquetes del Protocolo de mensajes de control de Internet versión 6 (ICMPv6). Por lo tanto, la búsqueda de rutas podía devolver un destino que no coincidía con la interfaz de entrada. En consecuencia, al recibir un mensaje ICMPv6 Packet Too Big, el kernel podía actualizar la Path Maximum Transmission Unit (PMTU) para una interfaz de entrada diferente. Con esta actualización, el kernel comprueba la interfaz de entrada durante la búsqueda de la ruta. Como resultado, el kernel ahora actualiza el destino correcto basado en la dirección de origen y la PMTU funciona como se espera en el escenario descrito.

(BZ#1721961)

Los archivos /etc/hosts.allow y /etc/hosts.deny ya no contienen referencias obsoletas a los tcp_wrapperseliminados

Anteriormente, los archivos /etc/hosts.allow y /etc/hosts.deny contenían información obsoleta sobre el paquete tcp_wrappers. Los archivos se han eliminado en RHEL 8 porque ya no son necesarios para tcp_wrappers, que se ha eliminado.

(BZ#1663556)

6.4.5. Núcleo

tpm2-abrmd-selinux ahora tiene una dependencia adecuada de selinux-policy-targeted

Anteriormente, el paquete tpm2-abrmd-selinux dependía del paquete selinux-policy-base en lugar del paquete selinux-policy-targeted. En consecuencia, si un sistema tenía instalado selinux-policy-minimum en lugar de selinux-policy-targeted, la instalación del paquete tpm2-abrmd-selinux fallaba. Esta actualización corrige el error y tpm2-abrmd-selinux puede instalarse correctamente en el escenario descrito.

(BZ#1642000)

Se puede acceder a todos los archivos /sys/kernel/debug

Anteriormente, el valor de retorno del error "Operación no permitida" (EPERM) permanecía establecido hasta el final de la función, independientemente del error. En consecuencia, cualquier intento de acceder a ciertos archivos /sys/kernel/debug (debugfs) fallaba con un error EPERM injustificado. Esta actualización mueve el valor de retorno EPERM al siguiente bloque. Como resultado, se puede acceder a los archivos debugfs sin problemas en el escenario descrito.

(BZ#1686755)

Los NIC ya no están afectados por un error en el controlador qede para las series 41000 y 45000 FastLinQ

Anteriormente, las operaciones de actualización de firmware y recopilación de datos de depuración fallaban debido a un error en el controlador qede para las series 41000 y 45000 FastLinQ. Esto hizo que la NIC quedara inutilizada. El reinicio (PCI reset) del host hizo que la NIC volviera a estar operativa.

Este problema puede producirse en los siguientes casos:

durante la actualización del Firmware del NIC utilizando el driver inbox
durante la recogida de datos de depuración ejecutando el comando ethtool -d ethx
al ejecutar un comando sosreport que incluía ethtool -d ethx.
durante el inicio de la recopilación automática de datos de depuración por parte del controlador de la bandeja de entrada, como el tiempo de espera de E/S, el tiempo de espera de los comandos del buzón de correo y una atención de hardware.

Para solucionar este problema, Red Hat ha publicado una errata a través de Red Hat Bug Advisory (RHBA). Antes de la publicación de RHBA, se recomendaba crear un caso en https://access.redhat.com/support para solicitar la corrección soportada.

(BZ#1697310)

El controlador genérico de EDAC GHES ahora detecta qué DIMM informó de un error

Anteriormente, el controlador EDAC GHES no era capaz de detectar qué DIMM informaba de un error. En consecuencia, aparecía el siguiente mensaje de error:

Ubicación del DIMM: no está presente. Manejador DMI: 0x

Ubicación del DIMM: no está presente. Manejador DMI: 0x

Copy to Clipboard

El controlador se ha actualizado para escanear las tablas DMI (SMBIOS ) para detectar el DIMM específico que coincide con el manejador de la interfaz de gestión del escritorio (DMI) 0x

(BZ#1721386)

podman es capaz de comprobar los contenedores en RHEL 8

Anteriormente, la versión del paquete Checkpoint and Restore In Userspace (CRIU) estaba obsoleta. En consecuencia, CRIU no admitía la funcionalidad de comprobación y restauración de contenedores, y la utilidad podman no podía comprobar los contenedores. Cuando se ejecutaba el comando podman container checkpoint, aparecía el siguiente mensaje de error:

'El checkpoint de un contenedor requiere al menos la CRIU 31100'

'El checkpoint de un contenedor requiere al menos la CRIU 31100'

Copy to Clipboard

Esta actualización corrige el problema actualizando la versión del paquete CRIU. Como resultado, podman ahora soporta la funcionalidad de checkpoint y restauración de contenedores.

(BZ#1689746)

early-kdump y kdump estándar ya no fallan si se utiliza la opción add_dracutmodules =earlykdump en dracut.conf

Anteriormente, se producía una incoherencia entre la versión del núcleo que se instalaba para early-kdump y la versión del núcleo para la que se generaba initramfs. Como consecuencia, el arranque fallaba cuando early-kdump estaba activado. Además, si early-kdump detectaba que estaba siendo incluido en una imagen kdump initramfs estándar, forzaba una salida. Por lo tanto, el servicio estándar de kdump también fallaba al intentar reconstruir kdump initramfs si early-kdump se añadía como módulo predeterminado de dracut. Como consecuencia, tanto early-kdump como kdump estándar fallaban. Con esta actualización, early-kdump utiliza el nombre consistente del kernel durante la instalación, sólo la versión difiere del kernel en ejecución. Además, el servicio kdump estándar abandonará forzosamente early-kdump para evitar el fallo en la generación de imágenes. Como resultado, early-kdump y kdump estándar ya no fallan en el escenario descrito.

(BZ#1662911)

El primer kernel con SME activado ahora consigue volcar el vmcore

Anteriormente, la memoria encriptada en el primer kernel con la función de encriptación de memoria segura (SME) activa provocaba un fallo en el mecanismo de kdump. En consecuencia, el primer núcleo no podía volcar el contenido (vmcore) de su memoria. Con esta actualización, se ha añadido la función ioremap_encrypted() para reasignar la memoria cifrada y modificar el código relacionado. Como resultado, ahora se accede correctamente a la memoria del primer núcleo encriptado, y el vmcore puede ser volcado y analizado por las herramientas de bloqueo en el escenario descrito.

(BZ#1564427)

El primer kernel con SEV habilitado ahora consigue volcar el vmcore

Anteriormente, la memoria encriptada en el primer kernel con la función de virtualización encriptada segura (SEV) activa provocaba un fallo en el mecanismo kdump. En consecuencia, el primer núcleo no podía volcar el contenido (vmcore) de su memoria. Con esta actualización, se ha añadido la función ioremap_encrypted() para reasignar la memoria cifrada y modificar el código relacionado. Como resultado, ahora se accede correctamente a la memoria cifrada del primer kernel, y el vmcore puede ser volcado y analizado por las herramientas de bloqueo en el escenario descrito.

(BZ#1646810)

El kernel ahora reserva más espacio para SWIOTLB

Anteriormente, cuando se activaban las funciones de virtualización encriptada segura (SEV) o de cifrado seguro de la memoria (SME) en el kernel, la tecnología SWIOTLB (Software Input Output Translation Lookaside Buffer) tenía que activarse también y consumía una cantidad significativa de memoria. En consecuencia, el kernel de captura no podía arrancar o recibía un error de falta de memoria. Esta actualización corrige el error reservando memoria extra del kernel de captura para SWIOTLB mientras SEV/SME está activo. Como resultado, el kernel de captura tiene más memoria reservada para SWIOTLB y el error ya no aparece en el escenario descrito.

(BZ#1728519)

Ahora se pueden desactivar las transiciones de estado C durante las ejecuciones de hwlatdetect

Para lograr un rendimiento en tiempo real, la utilidad hwlatdetect necesita ser capaz de desactivar el ahorro de energía en la CPU durante las ejecuciones de prueba. Esta actualización permite a hwlatdetect desactivar las transiciones de estado C durante la duración de la ejecución de la prueba y hwlatdetect es ahora capaz de detectar las latencias de hardware con mayor precisión.

(BZ#1707505)

6.4.6. Habilitación de hardware

Ya se puede instalar el paquete openmpi

Anteriormente, un rebase en el paquete opensm cambió su mecanismo de soname. Como consecuencia, el paquete openmpi no podía ser instalado debido a dependencias no resueltas. Esta actualización soluciona el problema. Como resultado, el paquete openmpi puede ser instalado ahora sin ningún problema.

(BZ#1717289)

6.4.7. Sistemas de archivos y almacenamiento

El programa de instalación de RHEL 8 utiliza ahora el ID de entrada para establecer la entrada de arranque por defecto

Anteriormente, el programa de instalación de RHEL 8 utilizaba el índice de la primera entrada de arranque por defecto, en lugar de utilizar el ID de la entrada. Como consecuencia, añadir una nueva entrada de arranque se convertía en el valor predeterminado, ya que se ordenaba primero y se establecía en el primer índice. Con esta actualización, el programa de instalación utiliza el ID de la entrada para establecer la entrada de arranque por defecto, y como resultado, la entrada por defecto no se cambia, incluso si se añaden entradas de arranque y se ordenan antes que la por defecto.

(BZ#1671047)

El sistema ahora arranca con éxito cuando se activa SME con smartpqi

Anteriormente, el sistema no arrancaba en ciertas máquinas AMD cuando la función de cifrado de memoria segura (SME) estaba activada y el disco raíz utilizaba el controlador smartpqi.

Cuando el arranque fallaba, el sistema mostraba un mensaje similar al siguiente en el registro de arranque:

smartpqi 0000:23:00.0: fallo al asignar el búfer de error PQI

smartpqi 0000:23:00.0: fallo al asignar el búfer de error PQI

Copy to Clipboard

Este problema lo causaba el controlador smartpqi, que retrocedía a la memoria intermedia de traducción de entrada y salida del software (SWIOTLB) porque no se había establecido la máscara de acceso directo a la memoria (DMA) coherente.

Con esta actualización, la máscara DMA coherente está ahora correctamente configurada. Como resultado, el sistema ahora arranca con éxito cuando SME está activado en máquinas que utilizan el controlador smartpqi para el disco raíz.

(BZ#1712272)

Los LUNs FCoE no desaparecen después de ser creados en las tarjetas bnx2fc

Anteriormente, tras crear un LUN FCoE en las tarjetas bnx2fc, los LUN FCoE no se conectaban correctamente. Como consecuencia, los LUN FCoE desaparecían después de ser creados en las tarjetas bnx2fc en RHEL 8.0. Con esta actualización, los LUN FCoE se adjuntan correctamente. Como resultado, ahora es posible descubrir los LUNs FCoE después de ser creados en las tarjetas bnx2fc.

(BZ#1685894)

Los volúmenes VDO ya no pierden el consejo de deduplicación después de pasar a una plataforma de distinto endiano

Anteriormente, el índice del Servicio de Deduplicación Universal (UDS) perdía todo el consejo de deduplicación después de mover el volumen VDO a una plataforma que utilizaba un endian diferente. Como consecuencia, VDO era incapaz de deduplicar los datos recién escritos contra los datos que estaban almacenados antes de mover el volumen, lo que llevaba a un menor ahorro de espacio.

Con esta actualización, ahora puede mover volúmenes VDO entre plataformas que utilizan diferentes endians sin perder el asesoramiento de deduplicación.

(BZ#1696492)

el serviciokdump funciona en grandes sistemas IBM POWER

Anteriormente, el kernel kdump de RHEL8 no se iniciaba. Como consecuencia, no se creaba el archivo kdump initrd en sistemas IBM POWER de gran tamaño. Con esta actualización, se añade el componente squashfs-tools-4.3-19.el8. Esta actualización añade un límite (128) al número de CPUs que el componente squashfs-tools-4.3-19.el8 puede utilizar del pool disponible (en lugar de utilizar todas las CPUs disponibles). Esto soluciona el error de agotamiento de recursos. Como resultado, el servicio kdump ahora funciona en sistemas IBM POWER de gran tamaño.

(BZ#1716278)

Las opciones de depuración de verbosidad ahora se añaden a nfs.conf

Anteriormente, el archivo /etc/nfs.conf y la página man de nfs.conf(5 ) no incluían las siguientes opciones:

verbosidad
rpc-verbosidad

Como consecuencia, los usuarios desconocían la disponibilidad de estos indicadores de depuración. Con esta actualización, estas banderas se incluyen ahora en la sección [gssd] del archivo /etc/nfs.conf y también se documentan en la página man de nfs.conf(8).

(BZ#1668026)

6.4.8. Lenguajes de programación dinámicos, servidores web y de bases de datos

Socket::inet_aton() ahora puede ser utilizado desde múltiples hilos de forma segura

Anteriormente, la función Socket::inet_aton(), utilizada para resolver un nombre de dominio desde múltiples hilos de Perl, llamaba a la función glibc no segura gethostbyname(). En consecuencia, ocasionalmente se devolvía una dirección IPv4 incorrecta, o el intérprete de Perl terminaba inesperadamente. Con esta actualización, la implementación de Socket::inet_aton() ha sido cambiada para usar la función glibc getaddrinfo(), segura para los hilos, en lugar de gethostbyname(). Como resultado, la función inet_aton () del módulo Perl Socket puede ser usada desde múltiples hilos de forma segura.

(BZ#1699793, BZ#1699958)

6.4.9. Compiladores y herramientas de desarrollo

gettext devuelve el texto no traducido incluso cuando se agota la memoria

Anteriormente, la función gettext( ) para la localización de texto devolvía el valor NULL en lugar de texto cuando se quedaba sin memoria, lo que provocaba que las aplicaciones carecieran de salida de texto o etiquetas. El error se ha corregido y ahora, gettext( ) - devuelve el texto sin traducir cuando se queda sin memoria como se esperaba.

(BZ#1663035)

El comando locale ahora advierte sobre el establecimiento de LOCPATH cada vez que encuentra un error durante la ejecución

Anteriormente, el comando locale no proporcionaba ningún diagnóstico para la variable de entorno LOCPATH cuando encontraba errores debido a un LOCPATH no válido. Ahora el comando locale está configurado para advertir que LOCPATH ha sido configurado cada vez que encuentra un error durante la ejecución. Como resultado, locale ahora informa de LOCPATH junto con cualquier error subyacente que encuentre.

(BZ#1701605)

gdb ahora puede leer y representar correctamente los registros z en los archivos del núcleo en aarch64 SVE

Anteriormente, el componente gdb no podía leer los registros z de los archivos de núcleo con arquitectura aarch64 scalable vector extension (SVE). Con esta actualización, el componente gdb es ahora capaz de leer los registros z de los archivos de núcleo. Como resultado, el comando info register muestra con éxito el contenido de los registros z.

(BZ#1669953)

GCC rebasado a la versión 8.3.1

La Colección de Compiladores de GNU (GCC) ha sido actualizada a la versión 8.3.1. Esta versión aporta un gran número de correcciones de errores diversos.

(BZ#1680182)

6.4.10. Gestión de la identidad

FreeRADIUS ahora resuelve nombres de host que apuntan a direcciones IPv6

En versiones anteriores de RHEL 8 de FreeRADIUS, la utilidad ipaddr sólo soportaba direcciones IPv4. En consecuencia, para que el demonio radiusd resolviera las direcciones IPv6, se requería una actualización manual de la configuración después de una actualización del sistema de RHEL 7 a RHEL 8. Esta actualización corrige el código subyacente, e ipaddr en FreeRADIUS ahora también utiliza direcciones IPv6.

(BZ#1685546)

El servicio Nuxwdog ya no falla al iniciar el servidor PKI en entornos HSM

Anteriormente, debido a errores, el paquete keyutils no se instalaba como dependencia del paquete pki-core. Además, el servicio Nuxwdog watchdog fallaba al iniciar el servidor de la infraestructura de clave pública (PKI) en entornos que utilizan un módulo de seguridad de hardware (HSM). Estos problemas se han solucionado. Como resultado, el paquete keyutils requerido se instala ahora automáticamente como una dependencia, y Nuxwdog inicia el servidor PKI como se espera en entornos con HSM.

(BZ#1695302)

El servidor IdM ahora funciona correctamente en el modo FIPS

Anteriormente, el conector SSL para el servidor Tomcat estaba implementado de forma incompleta. Como consecuencia, el servidor de gestión de identidades (IdM) con un servidor de certificados instalado no funcionaba en máquinas con el modo FIPS activado. Este error se ha corregido añadiendo JSSTrustManager y JSSKeyManager. Como resultado, el servidor IdM funciona correctamente en el escenario descrito.

Tenga en cuenta que hay varios errores que impiden que el servidor IdM se ejecute en el modo FIPS en RHEL 8. Esta actualización corrige sólo uno de ellos.

(BZ#1673296)

La caché de credenciales KCM es ahora adecuada para un gran número de credenciales en una sola caché de credenciales

Anteriormente, si el gestor de credenciales de Kerberos (KCM) contenía un gran número de credenciales, las operaciones de Kerberos, como kinit, fallaban debido a una limitación del tamaño de las entradas en la base de datos y del número de estas entradas.

Esta actualización introduce las siguientes opciones de configuración nuevas en la sección kcm del archivo sssd.conf:

max_ccaches (entero)
max_uid_ccaches (entero)
max_ccache_size (entero)

Como resultado, KCM puede ahora manejar un gran número de credenciales en un solo ccache.

Para más información sobre las opciones de configuración, consulte la página man de sssd-kcm.

(BZ#1448094)

Samba ya no deniega el acceso cuando se utiliza el complemento de asignación de ID sss

Anteriormente, cuando se ejecutaba Samba en el miembro del dominio con esta configuración y se añadía una configuración que utilizaba el back-end de mapeo de ID de sss en el archivo /etc/samba/smb.conf para compartir directorios, los cambios en el back-end de mapeo de ID provocaban errores. En consecuencia, Samba denegaba el acceso a los archivos en ciertos casos, incluso si el usuario o grupo existía y era conocido por SSSD. El problema se ha solucionado. Como resultado, Samba ya no niega el acceso cuando se utiliza el complemento sss.

(BZ#1657665)

Los valores de tiempo de espera de SSSD por defecto ya no entran en conflicto

Anteriormente, había un conflicto entre los valores de tiempo de espera por defecto. Se han cambiado los valores por defecto de las siguientes opciones para mejorar la capacidad de conmutación por error:

dns_resolver_op_timeout - se fija en 2s (antes 6s)
dns_resolver_timeout - se fija en 4s (antes 6s)
ldap_opt_timeout - se establece en 8s (antes 6s)

Además, se ha añadido una nueva opción dns_resolver_server_timeout, con un valor por defecto de 1000 ms, que especifica el tiempo de espera para que SSSD cambie de un servidor DNS a otro.

(BZ#1382750)

6.4.11. Escritorio

systemctl isolate multi-user.target ahora muestra el prompt de la consola

Cuando se ejecutaba el comando systemctl isolate multi-user.target desde la Terminal de GNOME en una sesión del Escritorio GNOME, sólo se mostraba un cursor y no el prompt de la consola. Esta actualización corrige gdm, y el prompt de la consola se muestra ahora como se espera en la situación descrita.

(BZ#1678627)

6.4.12. Infraestructuras gráficas

El controlador de pantalla 'i915' soporta ahora configuraciones de pantalla de hasta 3×4K.

Anteriormente, no era posible tener configuraciones de pantalla superiores a 2×4K cuando se utilizaba el controlador de pantalla 'i915' en una sesión de Xorg. Con esta actualización, el controlador 'i915' admite ahora configuraciones de pantalla de hasta 3×4K.

(BZ#1664969)

Los huéspedes de Linux ya no muestran un error al inicializar el controlador de la GPU

Anteriormente, los huéspedes de Linux devolvían una advertencia al inicializar el controlador de la GPU. Esto sucedía porque la tecnología de virtualización de gráficos de Intel -g (GVT -g) sólo simula la interfaz DisplayPort (DP) para el huésped y deja los registros 'EDP_PSR_IMR' y 'EDP_PSR_IIR' como registros predeterminados de lectura/escritura de E/S con mapa de memoria (MMIO). Para resolver este problema, se han añadido manejadores a estos registros y ya no se devuelve la advertencia.

(BZ#1643980)

6.4.13. La consola web

Es posible acceder a la consola web de RHEL con session_recording shell

Anteriormente, no era posible que los usuarios del shell tlog (que permite la grabación de sesiones) iniciaran sesión en la consola web de RHEL. Esta actualización corrige el error. La solución anterior de añadir el shell tlog-rec-session a /etc/shells/ debería revertirse después de instalar esta actualización.

(BZ#1631905)

6.4.14. Virtualización

La conexión en caliente de dispositivos PCI a un controlador de puente pcie-a-pci funciona correctamente

Anteriormente, si la configuración de una máquina virtual invitada contenía un controlador pcie-a-puente pci que no tenía dispositivos finales conectados a él en el momento en que se iniciaba el invitado, no era posible conectar en caliente nuevos dispositivos a ese controlador. Esta actualización mejora la forma en que se gestiona la conexión en caliente de dispositivos PCI heredados en un sistema PCIe, lo que evita que se produzca el problema.

(BZ#1619884)

La activación de la virtualización anidada ya no bloquea la migración en vivo

Anteriormente, la función de virtualización anidada era incompatible con la migración en vivo. Como consecuencia, la activación de la virtualización anidada en un host RHEL 8 impedía migrar cualquier máquina virtual (VM) del host, así como guardar instantáneas del estado de la VM en el disco. Esta actualización corrige el problema descrito, y ahora es posible migrar las máquinas virtuales afectadas.

(BZ#1689216)

6.4.15. Soporte

redhat-support-tool ahora crea un archivo sosreport

Anteriormente, la utilidad redhat-support-tool no podía crear un archivo sosreport. La solución consistía en ejecutar el comando sosreport por separado y luego introducir el comando redhat-support-tool addattachment -c para cargar el archivo. Los usuarios también pueden utilizar la interfaz de usuario web en el portal de clientes, que crea el caso del cliente y carga el archivo sosreport.

Además, las opciones de comandos como findkerneldebugs, btextract, analyze o diagnose no funcionan como se esperaba y se corregirán en una futura versión.

(BZ#1688274)

6.5. Avances tecnológicos

Esta parte proporciona una lista de todas las Previsiones Tecnológicas disponibles en Red Hat Enterprise Linux 8.1.

Para obtener información sobre el alcance del soporte de Red Hat para las características de Technology Preview, consulte Alcance del soporte de las características de Technology Preview.

6.5.1. Red

El TIPC tiene pleno apoyo

La Comunicación Transparente entre Procesos(TIPC) es un protocolo especialmente diseñado para la comunicación eficiente dentro de clusters de nodos poco emparejados. Funciona como un módulo del núcleo y proporciona una herramienta tipc en el paquete iproute2 para permitir a los diseñadores crear aplicaciones que puedan comunicarse de forma rápida y fiable con otras aplicaciones, independientemente de su ubicación dentro del clúster. Esta característica es ahora totalmente compatible con RHEL 8.

(BZ#1581898)

eBPF para tc disponible como Technology Preview

Como avance tecnológico, el subsistema del kernel de control del tráfico (tc) y la herramienta tc pueden adjuntar programas de filtrado de paquetes de Berkeley (eBPF) ampliados como clasificadores de paquetes y acciones para las disciplinas de colas de entrada y salida. Esto permite el procesamiento programable de paquetes dentro de la ruta de datos de la red del núcleo.

(BZ#1699825)

nmstate está disponible como una muestra de tecnología

Nmstate es una API de red para hosts. Los paquetes nmstate, disponibles como Technology Preview, proporcionan una biblioteca y la utilidad de línea de comandos nmstatectl para gestionar la configuración de red de los hosts de forma declarativa. El estado de la red se describe mediante un esquema predefinido. Los informes sobre el estado actual y los cambios al estado deseado se ajustan al esquema.

Para más detalles, consulte el archivo /usr/share/doc/nmstate/README .md y los ejemplos del directorio /usr/share/doc/nmstate/examples.

(BZ#1674456)

AF_XDP está disponible como Muestra de Tecnología

El socketAddress Family eXpress Data Path(AF_XDP) está diseñado para el procesamiento de paquetes de alto rendimiento. Acompaña a XDP y garantiza una redirección eficaz de los paquetes seleccionados mediante programación a las aplicaciones del espacio de usuario para su posterior procesamiento.

(BZ#1633143)

XDP disponible como Muestra de Tecnología

La función eXpress Data Path (XDP), que está disponible como Technology Preview, ofrece un medio para adjuntar programas de Berkeley Packet Filter (eBPF) ampliados para el procesamiento de paquetes de alto rendimiento en un punto temprano de la ruta de datos de entrada del núcleo, lo que permite un análisis, filtrado y manipulación de paquetes programables y eficientes.

(BZ#1503672)

KTLS está disponible como avance tecnológico

En Red Hat Enterprise Linux 8, la Seguridad de la Capa de Transporte del Kernel (KTLS) se proporciona como una Muestra de Tecnología. KTLS maneja los registros TLS utilizando los algoritmos de cifrado o descifrado simétrico en el kernel para el cifrado AES-GCM. KTLS también proporciona la interfaz para descargar el cifrado de registros TLS a los controladores de interfaz de red (NIC) que soportan esta funcionalidad.

(BZ#1570255)

El servicio systemd-resolved ya está disponible como Technology Preview

El servicio systemd-resolved proporciona resolución de nombres a las aplicaciones locales. El servicio implementa un resolvedor de stub DNS de caché y validación, un resolvedor de nombres Link-Local Multicast (LLMNR), y un resolvedor y respondedor de DNS Multicast.

Tenga en cuenta que, aunque el paquete systemd proporcione systemd-resolved, este servicio es una Muestra de Tecnología no soportada.

(BZ#1906489)

6.5.2. Núcleo

Control Group v2 disponible como Technology Preview en RHEL 8

el mecanismoControl Group v2 es un grupo de control jerárquico unificado. Control Group v2 organiza los procesos jerárquicamente y distribuye los recursos del sistema a lo largo de la jerarquía de forma controlada y configurable.

A diferencia de la versión anterior, Control Group v2 tiene una sola jerarquía. Esta única jerarquía permite al kernel de Linux:

Clasificar los procesos en función de la función de su propietario.
Elimina los problemas de políticas conflictivas de múltiples jerarquías.

Control Group v2 es compatible con numerosos controladores:

El controlador de la CPU regula la distribución de los ciclos de la CPU. Este controlador implementa:
- Modelos de peso y límite de ancho de banda absoluto para la política de programación normal.
- Modelo de asignación de ancho de banda absoluto para la política de programación en tiempo real.
El controlador de memoria regula la distribución de la memoria. En la actualidad, se controlan los siguientes tipos de usos de la memoria:
- Memoria de usuario: caché de página y memoria anónima.
- Estructuras de datos del kernel como las dentrías y los inodos.
- Búferes de socket TCP.
El controlador de E/S regula la distribución de los recursos de E/S.
El controlador de escritura interactúa con los controladores de memoria y de E/S y es específico de Control Group v2.

La información anterior se basa en el enlace: https://www.kernel.org/doc/Documentation/cgroup-v2.txt. Puede consultar el mismo enlace para obtener más información sobre determinados controladores de Control Group v2.

(BZ#1401552)

kexec fast reboot como Technology Preview

La función de reinicio rápido de kexec, sigue estando disponible como Muestra de Tecnología. El reinicio es ahora significativamente más rápido gracias al reinicio rápido de kexec. Para utilizar esta función, cargue el kernel de kexec manualmente y, a continuación, reinicie el sistema operativo.

(BZ#1769727)

eBPF disponible como Muestra de Tecnología

La máquina virtual incluye una nueva llamada al sistema bpf(), que admite la creación de varios tipos de mapas, y también permite cargar programas en un código especial similar al ensamblador. A continuación, el código se carga en el kernel y se traduce al código máquina nativo con la compilación just-in-time. Tenga en cuenta que la llamada al sistema bpf( ) sólo puede ser utilizada con éxito por un usuario con la capacidad CAP_SYS_ADMIN, como el usuario root. Consulte la página man de bpf(2) para más información.

Los programas cargados pueden ser conectados en una variedad de puntos (sockets, tracepoints, recepción de paquetes) para recibir y procesar datos.

Hay numerosos componentes suministrados por Red Hat que utilizan la máquina virtual eBPF. Cada componente se encuentra en una fase de desarrollo diferente y, por lo tanto, no todos los componentes están actualmente totalmente soportados. Todos los componentes están disponibles como una Muestra de Tecnología, a menos que un componente específico sea indicado como soportado.

Los siguientes componentes notables de eBPF están actualmente disponibles como Muestra de Tecnología:

El paquete de herramientas BPF Compiler Collection (BCC), una colección de utilidades de rastreo dinámico del núcleo que utilizan la máquina virtual eBPF. El paquete de herramientas BCC está disponible como Technology Preview en las siguientes arquitecturas: la arquitectura ARM de 64 bits, IBM Power Systems, Little Endian e IBM Z. Tenga en cuenta que es totalmente compatible con las arquitecturas AMD e Intel de 64 bits.
bpftrace, un lenguaje de trazado de alto nivel que utiliza la máquina virtual eBPF.
La función eXpress Data Path (XDP), una tecnología de red que permite el procesamiento rápido de paquetes en el kernel utilizando la máquina virtual eBPF.

(BZ#1559616)

6.5.3. Habilitación de hardware

El controlador igc está disponible como Technology Preview para RHEL 8

El controlador de LAN cableada Intel 2.5G Ethernet Linux de igc ya está disponible en todas las arquitecturas para RHEL 8 como Technology Preview. La utilidad ethtool también es compatible con las LAN cableadas igc.

(BZ#1495358)

6.5.4. Sistemas de archivos y almacenamiento

NVMe/TCP está disponible como una Muestra de Tecnología

El acceso y la compartición del almacenamiento Nonvolatile Memory Express (NVMe) a través de redes TCP/IP (NVMe/TCP) y sus correspondientes módulos del núcleo nvme-tcp.ko y nvmet-tcp.ko se han añadido como Technology Preview.

El uso de NVMe/TCP como cliente de almacenamiento o como destino se puede gestionar con las herramientas proporcionadas por los paquetes nvme-cli y nvmetcli.

NVMe/TCP proporciona una opción de transporte de almacenamiento junto con el transporte existente NVMe over Fabrics (NVMe-oF), que incluye Remote Direct Memory Access (RDMA) y Fibre Channel (NVMe/FC).

(BZ#1696451)

El sistema de archivos DAX ya está disponible para ext4 y XFS como Technology Preview

En Red Hat Enterprise Linux 8.1, el sistema de archivos DAX está disponible como una Muestra de Tecnología. DAX proporciona un medio para que una aplicación mapee directamente la memoria persistente en su espacio de direcciones. Para usar DAX, un sistema debe tener alguna forma de memoria persistente disponible, usualmente en la forma de uno o más módulos de memoria dual en línea no volátil (NVDIMMs), y un sistema de archivos que soporte DAX debe ser creado en los NVDIMMs. Además, el sistema de archivos debe ser montado con la opción de montaje dax. Entonces, un mmap de un archivo en el sistema de archivos montado en dax resulta en un mapeo directo del almacenamiento en el espacio de direcciones de la aplicación.

(BZ#1627455)

OverlayFS

OverlayFS es un tipo de sistema de archivos de unión. Permite superponer un sistema de archivos sobre otro. Los cambios se registran en el sistema de archivos superior, mientras que el sistema de archivos inferior permanece sin modificar. Esto permite que varios usuarios compartan una imagen del sistema de archivos, como un contenedor o un DVD-ROM, donde la imagen base está en un medio de sólo lectura. Consulte la documentación del núcleo de Linux para obtener información adicional: https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt.

OverlayFS sigue siendo una Muestra de Tecnología en la mayoría de las circunstancias. Como tal, el kernel registra advertencias cuando se activa esta tecnología.

La compatibilidad total con OverlayFS está disponible cuando se utiliza con motores de contenedores compatibles(podman, cri-o o buildah) con las siguientes restricciones:

OverlayFS está soportado para su uso sólo como controlador de gráficos del motor de contenedores. Su uso se admite sólo para el contenido de contenedores COW, no para el almacenamiento persistente. Debe colocar cualquier almacenamiento persistente en volúmenes que no sean OverlayFS. Sólo se puede utilizar la configuración predeterminada del motor de contenedores; es decir, un nivel de superposición, un directorio inferior, y ambos niveles inferiores y superiores están en el mismo sistema de archivos.
Actualmente sólo se admite el uso de XFS como sistema de archivos de capa inferior.

Además, las siguientes reglas y limitaciones se aplican al uso de OverlayFS:

La ABI del kernel de OverlayFS y el comportamiento del espacio de usuario no se consideran estables, y podrían ver cambios en futuras actualizaciones.
OverlayFS proporciona un conjunto restringido de los estándares POSIX. Pruebe su aplicación a fondo antes de desplegarla con OverlayFS. Los siguientes casos no son compatibles con POSIX:
- Los archivos inferiores abiertos con O_RDONLY no reciben actualizaciones de st_atime cuando se leen los archivos.
- Los archivos inferiores abiertos con O_RDONLY, luego mapeados con MAP_SHARED son inconsistentes con la modificación posterior.
- Los valores st_ino o d_ino no están habilitados por defecto en RHEL 8, pero puede habilitar el cumplimiento total de POSIX para ellos con una opción de módulo o una opción de montaje.
  Para obtener una numeración consistente de los inodos, utilice la opción de montaje xino=on.
  También puede utilizar las opciones redirect_dir=on e index=on para mejorar el cumplimiento de POSIX. Estas dos opciones hacen que el formato de la capa superior sea incompatible con una superposición sin estas opciones. Es decir, puede obtener resultados inesperados o errores si crea una capa superior con redirect_dir=on o index=on, desmonta la capa superior y luego monta la capa superior sin estas opciones.
Comandos utilizados con XFS:
- Los sistemas de archivos XFS deben crearse con la opción -n ftype=1 activada para su uso como superposición.
- Con el rootfs y cualquier sistema de archivos creado durante la instalación del sistema, establezca los parámetros --mkfsoptions=-n ftype=1 en el kickstart de Anaconda.
- Al crear un nuevo sistema de archivos después de la instalación, ejecute el comando # mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE.
- Para determinar si un sistema de archivos existente es elegible para su uso como superposición, ejecute el comando # xfs_info /PATH/TO/DEVICE | grep ftype para ver si la opción ftype=1 está habilitada.
Las etiquetas de seguridad SELinux están habilitadas por defecto en todos los motores de contenedores compatibles con OverlayFS.
Hay varios problemas conocidos asociados con OverlayFS en esta versión. Para más detalles, consulte Non-standard behavior en la documentación del núcleo de Linux: https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt.

(BZ#1690207)

Stratis ya está disponible como Muestra de Tecnología

Stratis es un nuevo gestor de almacenamiento local. Proporciona sistemas de archivos gestionados sobre pools de almacenamiento con características adicionales para el usuario.

Stratis le permite realizar más fácilmente tareas de almacenamiento como:

Gestionar las instantáneas y el thin provisioning
Aumente automáticamente el tamaño del sistema de archivos según sea necesario
Mantener los sistemas de archivos

Para administrar el almacenamiento de Stratis, utilice la utilidad stratis, que se comunica con el servicio de fondo stratisd.

Stratis se suministra como un avance tecnológico.

Para más información, consulte la documentación de Stratis: Gestión del almacenamiento local en capas con Stratis.

(JIRA:RHELPLAN-1212)

Un servidor Samba, disponible para los usuarios de IdM y AD que hayan iniciado sesión en los hosts de IdM, puede ahora configurarse en un miembro del dominio de IdM como Technology Preview

Con esta actualización, ahora se puede configurar un servidor Samba en un miembro del dominio de Gestión de Identidades (IdM). La nueva utilidad ipa-client-samba proporcionada por el paquete del mismo nombre añade un principal de servicio Kerberos específico de Samba a IdM y prepara el cliente IdM. Por ejemplo, la utilidad crea el archivo /etc/samba/smb.conf con la configuración de mapeo de ID para el back end de mapeo de ID sss. Como resultado, los administradores pueden ahora configurar Samba en un miembro del dominio IdM.

Debido a que los controladores de confianza de IdM no admiten el servicio de catálogo global, los hosts de Windows inscritos en AD no pueden encontrar usuarios y grupos de IdM en Windows. Además, los controladores de confianza de IdM no admiten la resolución de grupos de IdM mediante los protocolos Distributed Computing Environment / Remote Procedure Calls (DCE/RPC). Como consecuencia, los usuarios de AD sólo pueden acceder a los recursos compartidos e impresoras de Samba desde los clientes de IdM.

Para obtener más detalles, consulte Configuración de Samba en un miembro del dominio IdM.

(JIRA:RHELPLAN-13195)

6.5.5. Alta disponibilidad y clusters

Paquetes de Podman de Marcapasos disponibles como Muestra de Tecnología

Los paquetes de contenedores de Pacemaker ahora se ejecutan en la plataforma de contenedores podman, y la función de paquetes de contenedores está disponible como Technology Preview. Hay una excepción a que esta característica sea Technology Preview: Red Hat soporta completamente el uso de paquetes Pacemaker para Red Hat Openstack.

(BZ#1619620)

Heurística en corosync-qdevice disponible como Technology Preview

La heurística es un conjunto de comandos que se ejecutan localmente en el arranque, en el cambio de pertenencia al clúster, en la conexión exitosa a corosync-qnetd y, opcionalmente, de forma periódica. Cuando todos los comandos terminan con éxito a tiempo (su código de error de retorno es cero), la heurística ha pasado; de lo contrario, ha fallado. El resultado de la heurística se envía a corosync-qnetd, donde se utiliza en los cálculos para determinar qué partición debe tener quórum.

(BZ#1784200)

Nuevo agente de valla-heurística-ping

Como muestra de tecnología, Pacemaker soporta ahora el agente fence_heuristics_ping. Este agente pretende abrir una clase de agentes de vallas experimentales que no hacen vallas reales por sí mismos, sino que explotan el comportamiento de los niveles de vallas de una manera nueva.

Si el agente heurístico está configurado en el mismo nivel de cercado que el agente que realiza el cercado real, pero está configurado antes que ese agente en la secuencia, el cercado emite una acción de desactivación en el agente heurístico antes de intentar hacerlo en el agente que realiza el cercado. Si el agente heurístico da un resultado negativo para la acción de desactivación, ya está claro que el nivel de esgrima no va a tener éxito, haciendo que el esgrima Pacemaker se salte el paso de emitir la acción de desactivación en el agente que hace el esgrima. Un agente heurístico puede explotar este comportamiento para evitar que el agente que hace el cercado real cerque un nodo bajo ciertas condiciones.

Un usuario puede querer utilizar este agente, especialmente en un cluster de dos nodos, cuando no tenga sentido que un nodo valla al peer si puede saber de antemano que no será capaz de tomar los servicios correctamente. Por ejemplo, puede no tener sentido que un nodo se haga cargo de los servicios si tiene problemas para alcanzar el enlace ascendente de red, haciendo que los servicios sean inalcanzables para los clientes, situación que un ping a un router podría detectar en ese caso.

(BZ#1775847)

6.5.6. Gestión de la identidad

La API JSON-RPC de gestión de identidades está disponible como Technology Preview

Hay una API disponible para la gestión de identidades (IdM). Para ver la API, IdM también proporciona un navegador de API como Technology Preview.

En Red Hat Enterprise Linux 7.3, la API de IdM fue mejorada para permitir múltiples versiones de comandos de la API. Anteriormente, las mejoras podían cambiar el comportamiento de un comando de manera incompatible. Ahora, los usuarios pueden seguir utilizando las herramientas y scripts existentes, incluso si la API de IdM cambia. Esto permite:

Los administradores pueden utilizar versiones anteriores o posteriores de IdM en el servidor que en el cliente gestor.
Los desarrolladores pueden utilizar una versión específica de una llamada de IdM, incluso si la versión de IdM cambia en el servidor.

En todos los casos, la comunicación con el servidor es posible, independientemente de que una de las partes utilice, por ejemplo, una versión más nueva que introduzca nuevas opciones para una función.

Para obtener más detalles sobre el uso de la API, consulte Uso de la API de gestión de identidades para comunicarse con el servidor de IdM (PREVISIÓN TECNOLÓGICA).

(BZ#1664719)

DNSSEC disponible como Technology Preview en IdM

Los servidores de gestión de identidades (IdM) con DNS integrado son ahora compatibles con las extensiones de seguridad de DNS (DNSSEC), un conjunto de extensiones de DNS que mejoran la seguridad del protocolo DNS. Las zonas DNS alojadas en los servidores IdM pueden firmarse automáticamente utilizando DNSSEC. Las claves criptográficas se generan y rotan automáticamente.

Se recomienda a los usuarios que decidan asegurar sus zonas DNS con DNSSEC que lean y sigan estos documentos:

Prácticas operativas de DNSSEC, versión 2: http://tools.ietf.org/html/rfc6781#section-2
Guía de implantación del sistema de nombres de dominio (DNS) seguro: http://dx.doi.org/10.6028/NIST.SP.800-81-2
Consideraciones sobre el tiempo de renovación de la clave DNSSEC: http://tools.ietf.org/html/rfc7583

Tenga en cuenta que los servidores IdM con DNS integrado utilizan DNSSEC para validar las respuestas DNS obtenidas de otros servidores DNS. Esto podría afectar a la disponibilidad de las zonas DNS que no estén configuradas de acuerdo con las prácticas de nomenclatura recomendadas.

(BZ#1664718)

6.5.7. Infraestructuras gráficas

La consola remota VNC está disponible como Technology Preview para la arquitectura ARM de 64 bits

En la arquitectura ARM de 64 bits, la consola remota de Virtual Network Computing (VNC) está disponible como Technology Preview. Tenga en cuenta que el resto de la pila de gráficos no está actualmente verificada para la arquitectura ARM de 64 bits.

(BZ#1698565)

6.5.8. Roles del sistema Red Hat Enterprise Linux

El rol postfix de RHEL System Roles disponible como Technology Preview

Red Hat Enterprise Linux System Roles proporciona una interfaz de configuración para los subsistemas de Red Hat Enterprise Linux, que facilita la configuración del sistema mediante la inclusión de Ansible Roles. Esta interfaz permite gestionar las configuraciones del sistema en varias versiones de Red Hat Enterprise Linux, así como adoptar nuevas versiones principales.

Los paquetes rhel-system-roles se distribuyen a través del repositorio AppStream.

El rol de postfix está disponible como Technology Preview.

Las siguientes funciones son totalmente compatibles:

kdump
red
selinux
almacenamiento
timesync

Para más información, consulte el artículo de la base de conocimientos sobre RHEL System Roles.

(BZ#1812552)

rhel-system-roles-sap disponible como Technology Preview

El paquete rhel-system-roles-sap proporciona roles de sistema de Red Hat Enterprise Linux (RHEL) para SAP, que pueden utilizarse para automatizar la configuración de un sistema RHEL para ejecutar cargas de trabajo SAP. Estos roles reducen en gran medida el tiempo de configuración de un sistema para ejecutar cargas de trabajo SAP, aplicando automáticamente los ajustes óptimos que se basan en las mejores prácticas descritas en las Notas SAP pertinentes. El acceso está limitado a las ofertas de RHEL for SAP Solutions. Póngase en contacto con el Servicio de Atención al Cliente de Red Hat si necesita ayuda con su suscripción.

Los siguientes nuevos roles del paquete rhel-system-roles-sap están disponibles como Technology Preview:

sap-preconfigure
sap-netweaver-preconfigure
sap-hana-preconfigure

Para más información, véase Red Hat Enterprise Linux System Roles for SAP.

Nota: Está previsto que RHEL 8.1 for SAP Solutions se valide para su uso con SAP HANA en arquitectura Intel 64 e IBM POWER9. Otras aplicaciones y productos de bases de datos de SAP, por ejemplo, SAP NetWeaver y SAP ASE, pueden utilizar las características de RHEL 8.1. Consulte las notas de SAP 2369910 y 2235581 para obtener la información más reciente sobre las versiones validadas y el soporte de SAP.

(BZ#1660832)

rhel-system-roles-sap rebasado a la versión 1.1.1

Con el aviso RHBA-2019:4258, el paquete rhel-system-roles-sap se ha actualizado para proporcionar múltiples correcciones de errores. En particular:

Los roles del sistema SAP funcionan en hosts con localizaciones distintas al inglés
kernel.pid_max es establecido por el módulo sysctl
nproc se establece como ilimitado para HANA (véase la nota SAP 2772999 paso 9)
el límite de proceso duro se establece antes que el límite de proceso blando
el código que establece los límites de los procesos funciona ahora de forma idéntica al rol sap-preconfigure
handlers/main.yml sólo funciona en sistemas no Uefi y se ignora silenciosamente en sistemas Uefi
se ha eliminado la dependencia no utilizada de rhel-system-roles
eliminado libssh2 de sap_hana_preconfigure_packages
se han añadido más comprobaciones para evitar fallos cuando no se admiten determinadas configuraciones de la CPU
convertir todos los verdaderos y falsos en minúsculas
actualización del manejo de paquetes mínimos
el nombre de host y el nombre de dominio están configurados correctamente
muchas correcciones menores

El paquete rhel-system-roles-sap está disponible como Technology Preview.

(BZ#1766622)

6.5.9. Virtualización

Algunos adaptadores de red de Intel ahora son compatibles con SR-IOV en huéspedes RHEL en Hyper-V

Como Muestra de Tecnología, los sistemas operativos huéspedes de Red Hat Enterprise Linux que se ejecutan en un hipervisor Hyper-V pueden ahora utilizar la función de virtualización de E/S de raíz única (SR-IOV) para los adaptadores de red Intel soportados por los controladores ixgbevf e iavf. Esta función se habilita cuando se cumplen las siguientes condiciones:

La compatibilidad con SR-IOV está activada para el controlador de interfaz de red (NIC)
El soporte de SR-IOV está habilitado para la NIC virtual
La compatibilidad con SR-IOV está activada para el conmutador virtual
La función virtual (VF) de la NIC se adjunta a la máquina virtual.

La función es actualmente compatible con Microsoft Windows Server 2019 y 2016.

(BZ#1348508)

La virtualización KVM se puede utilizar en las máquinas virtuales Hyper-V de RHEL 8

Como Technology Preview, la virtualización KVM anidada ahora puede utilizarse en el hipervisor Microsoft Hyper-V. Como resultado, puede crear máquinas virtuales en un sistema invitado RHEL 8 que se ejecuta en un host Hyper-V.

Tenga en cuenta que actualmente, esta característica sólo funciona en los sistemas Intel. Además, en algunos casos la virtualización anidada no está habilitada por defecto en Hyper-V. Para habilitarla, consulte la siguiente documentación de Microsoft:

https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/user-guide/nested-virtualization

(BZ#1519039)

AMD SEV para máquinas virtuales KVM

Como muestra de tecnología, RHEL 8 introduce la función de virtualización cifrada segura (SEV) para las máquinas host AMD EPYC que utilizan el hipervisor KVM. Si se activa en una máquina virtual (VM), SEV cifra la memoria de la VM para que el host no pueda acceder a los datos de la VM. Esto aumenta la seguridad de la VM si el host es infectado con éxito por el malware.

Tenga en cuenta que el número de máquinas virtuales que pueden utilizar esta función a la vez en un solo host está determinado por el hardware del host. Los procesadores AMD EPYC actuales admiten hasta 15 máquinas virtuales en ejecución utilizando SEV.

También tenga en cuenta que para que las VMs con SEV configuradas puedan arrancar, también debe configurar la VM con un límite de memoria duro. Para ello, añada lo siguiente a la configuración XML de la VM:

<memtune>
  <hard_limit unit='KiB'>N</hard_limit>
</memtune>

<memtune>
  <hard_limit unit='KiB'>N</hard_limit>
</memtune>

Copy to Clipboard

El valor recomendado para N es igual o mayor que los 256 MiB de RAM del huésped. Por ejemplo, si el huésped tiene asignados 2 GiB de RAM, N debe ser 2359296 o mayor.

(BZ#1501618, BZ#1501607, JIRA:RHELPLAN-7677)

Intel vGPU

Como Technology Preview, ahora es posible dividir un dispositivo físico de GPU Intel en múltiples dispositivos virtuales denominados dispositivos mediados. Estos dispositivos mediados pueden ser asignados a múltiples máquinas virtuales (VM) como GPUs virtuales. Como resultado, estas máquinas virtuales comparten el rendimiento de una sola GPU Intel física.

Tenga en cuenta que sólo algunas GPUs de Intel son compatibles con la función vGPU. Además, la asignación de una GPU física a las máquinas virtuales imposibilita el uso de la GPU por parte del host y puede impedir el funcionamiento de la salida de pantalla gráfica en el host.

(BZ#1528684)

La virtualización anidada ya está disponible en IBM POWER 9

Como Technology Preview, ahora es posible utilizar las funciones de virtualización anidada en las máquinas host de RHEL 8 que se ejecutan en sistemas IBM POWER 9. La virtualización anidada permite que las máquinas virtuales (VM) KVM actúen como hipervisores, lo que permite ejecutar VMs dentro de VMs.

Tenga en cuenta que la virtualización anidada también sigue siendo una Muestra de Tecnología en los sistemas AMD64 e Intel 64.

También hay que tener en cuenta que para que la virtualización anidada funcione en IBM POWER 9, el host, el huésped y los huéspedes anidados deben ejecutar uno de los siguientes sistemas operativos:

RHEL 8
RHEL 7 para POWER 9

(BZ#1505999, BZ#1518937)

Creación de máquinas virtuales anidadas

Como Technology Preview, la virtualización anidada está disponible para las máquinas virtuales (VM) KVM en RHEL 8. Con esta función, una VM que se ejecuta en un host físico puede actuar como hipervisor y alojar sus propias VM.

Tenga en cuenta que la virtualización anidada sólo está disponible en arquitecturas AMD64 e Intel 64, y que el host anidado debe ser una VM RHEL 7 o RHEL 8.

(JIRA:RHELPLAN-14047)

6.6. Funcionalidad obsoleta

Esta parte proporciona una visión general de la funcionalidad que ha sido deprecated en Red Hat Enterprise Linux 8.1.

La funcionalidad obsoleta continúa siendo soportada hasta el final de la vida útil de Red Hat Enterprise Linux 8. La funcionalidad obsoleta probablemente no será soportada en futuras versiones principales de este producto y no se recomienda para nuevas implementaciones. Para la lista más reciente de funcionalidad obsoleta dentro de una versión principal particular, consulte la última versión de la documentación de la versión.

Los componentes de hardware obsoletos no se recomiendan para nuevas implantaciones en las versiones actuales o futuras. Las actualizaciones de los controladores de hardware se limitan a correcciones de seguridad y críticas. Red Hat recomienda reemplazar este hardware tan pronto como sea razonablemente factible.

Un paquete puede ser obsoleto y no se recomienda su uso. En determinadas circunstancias, un paquete puede ser eliminado de un producto. La documentación del producto identifica entonces paquetes más recientes que ofrecen una funcionalidad similar, idéntica o más avanzada a la del paquete obsoleto, y proporciona otras recomendaciones.

Para obtener información sobre la funcionalidad que está presente en RHEL 7 pero que ha sido removed en RHEL 8, consulte Consideraciones al adoptar RHEL 8.

6.6.1. Creación del instalador y de la imagen

Varios comandos y opciones de Kickstart han quedado obsoletos

El uso de los siguientes comandos y opciones en los archivos Kickstart de RHEL 8 imprimirá una advertencia en los registros.

auth o authconfig
dispositivo
deviceprobe
dmraid
instalar
lilo
lilocheck
ratón
multitrayecto
bootloader --upgrade
ignoredisk --interactive
partición --activa
reboot --kexec

En los casos en que sólo se enumeran opciones específicas, el comando base y sus otras opciones siguen estando disponibles y no están obsoletos.

Para más detalles y cambios relacionados en Kickstart, consulte la sección de cambios en Kickstart del documento Considerations in adopting RHEL 8.

(BZ#1642765)

La opción --interactive del comando ignoredisk Kickstart ha quedado obsoleta

El uso de la opción --interactive en futuras versiones de Red Hat Enterprise Linux resultará en un error de instalación fatal. Se recomienda que modifique su archivo Kickstart para eliminar la opción.

(BZ#1637872)

6.6.2. Gestión del software

El comando rpmbuild --sign ha quedado obsoleto

Con esta actualización, el comando rpmbuild --sign ha quedado obsoleto. El uso de este comando en futuras versiones de Red Hat Enterprise Linux puede resultar en un error. Se recomienda utilizar el comando rpmsign en su lugar.

(BZ#1688849)

6.6.3. Seguridad

TLS 1.0 y TLS 1.1 están obsoletos

Los protocolos TLS 1.0 y TLS 1.1 están desactivados en el nivel de política criptográfica de todo el sistema DEFAULT. Si su escenario, por ejemplo, una aplicación de videoconferencia en el navegador web Firefox, requiere el uso de los protocolos obsoletos, cambie la política criptográfica de todo el sistema al nivel LEGACY:

update-crypto-policies --set LEGACY

# update-crypto-policies --set LEGACY

Copy to Clipboard

Para más información, consulte el artículo de la base de conocimientos Strong crypto defaults in RHEL 8 and deprecation of weak crypto algorithms en el Portal del Cliente de Red Hat y la página man update-crypto-policies(8).

(BZ#1660839)

DSA está obsoleto en RHEL 8

El Algoritmo de Firma Digital (DSA) se considera obsoleto en Red Hat Enterprise Linux 8. Los mecanismos de autenticación que dependen de claves DSA no funcionan en la configuración por defecto. Tenga en cuenta que los clientes OpenSSH no aceptan claves de host DSA incluso en el nivel de política criptográfica de todo el sistema LEGACY.

(BZ#1646541)

SSL2 Client Hello ha quedado obsoleto en NSS

El protocolo Transport Layer Security(TLS) versión 1.2 y anteriores permiten iniciar una negociación con un mensaje Client Hello formateado de manera compatible con el protocolo Secure Sockets Layer(SSL) versión 2. La compatibilidad con esta función en la biblioteca de servicios de seguridad de la red(NSS) ha quedado obsoleta y está desactivada por defecto.

Las aplicaciones que requieran soporte para esta función deben utilizar la nueva API SSL_ENABLE_V2_COMPATIBLE_HELLO para habilitarla. El soporte para esta función puede ser eliminado completamente en futuras versiones de Red Hat Enterprise Linux 8.

(BZ#1645153)

El TPM 1.2 está obsoleto

La versión estándar del criptoprocesador seguro Trusted Platform Module (TPM) se actualizó a la versión 2.0 en 2016. El TPM 2.0 ofrece muchas mejoras con respecto al TPM 1.2, y no es compatible con la versión anterior. El TPM 1.2 está obsoleto en RHEL 8, y es posible que se elimine en la próxima versión principal.

(BZ#1657927)

6.6.4. Red

Los scripts de red están obsoletos en RHEL 8

Los scripts de red están obsoletos en Red Hat Enterprise Linux 8 y ya no se proporcionan por defecto. La instalación básica proporciona una nueva versión de los scripts ifup e ifdown que llaman al servicio NetworkManager a través de la herramienta nmcli. En Red Hat Enterprise Linux 8, para ejecutar los scripts ifup e ifdown, NetworkManager debe estar ejecutándose.

Tenga en cuenta que los comandos personalizados en los scripts /sbin/ifup-local, ifdown-pre-local e ifdown-local no se ejecutan.

Si se requiere alguno de estos scripts, la instalación de los scripts de red obsoletos en el sistema sigue siendo posible con el siguiente comando:

~]# yum install network-scripts

~]# yum install network-scripts

Copy to Clipboard

Los scripts ifup e ifdown enlazan con los scripts de red heredados instalados.

Al llamar a los scripts de red heredados se muestra una advertencia sobre su desaprobación.

(BZ#1647725)

6.6.5. Núcleo

El arranque sin disco ha quedado obsoleto

El arranque sin disco permite que varios sistemas compartan un sistema de archivos raíz a través de la red. Aunque es conveniente, es propenso a introducir latencia de red en cargas de trabajo en tiempo real. Con una futura actualización menor de RHEL for Real Time 8, el arranque sin disco dejará de estar soportado.

(BZ#1748980)

6.6.6. Habilitación de hardware

El controlador qla3xxx está obsoleto

El controlador qla3xxx ha quedado obsoleto en RHEL 8. Es probable que el controlador no sea soportado en futuras versiones importantes de este producto, por lo que no se recomienda para nuevas implantaciones.

(BZ#1658840)

Los controladores dl2k, dnet, ethoc y dlci están obsoletos

Los controladores dl2k, dnet, ethoc y dlci han quedado obsoletos en RHEL 8. Es probable que estos controladores no reciban soporte en futuras versiones importantes de este producto, por lo que no se recomiendan para nuevas implantaciones.

(BZ#1660627)

6.6.7. Sistemas de archivos y almacenamiento

El parámetro de la línea de comandos del núcleo del ascensor está obsoleto

El parámetro de línea de comandos del kernel elevador se utilizaba en versiones anteriores de RHEL para establecer el programador de discos para todos los dispositivos. En RHEL 8, el parámetro está obsoleto.

El kernel de Linux ha eliminado el soporte para el parámetro elevador, pero todavía está disponible en RHEL 8 por razones de compatibilidad.

Tenga en cuenta que el kernel selecciona un programador de disco por defecto basado en el tipo de dispositivo. Esta es típicamente la configuración óptima. Si necesita un planificador diferente, Red Hat recomienda que utilice las reglas udev o el servicio Tuned para configurarlo. Coinciden con los dispositivos seleccionados y cambian el planificador sólo para esos dispositivos.

Para más información, consulte Configuración del programador de discos.

(BZ#1665295)

NFSv3 sobre UDP ha sido desactivado

El servidor NFS ya no abre o escucha en un socket del Protocolo de Datagramas de Usuario (UDP) por defecto. Este cambio sólo afecta a la versión 3 de NFS porque la versión 4 requiere el Protocolo de Control de Transmisión (TCP).

NFS sobre UDP ya no está soportado en RHEL 8.

(BZ#1592011)

6.6.8. Escritorio

La biblioteca libgnome-keyring ha quedado obsoleta

La librería libgnome-keyring ha sido obviada en favor de la librería libsecret, ya que libgnome-keyring no es mantenida por el upstream, y no sigue las políticas criptográficas necesarias para RHEL. La nueva biblioteca libsecret es el reemplazo que sigue los estándares de seguridad necesarios.

(BZ#1607766)

6.6.9. Infraestructuras gráficas

Las tarjetas gráficas AGP ya no son compatibles

Las tarjetas gráficas que utilizan el bus Accelerated Graphics Port (AGP) no son compatibles con Red Hat Enterprise Linux 8. Utilice las tarjetas gráficas con bus PCI-Express como reemplazo recomendado.

(BZ#1569610)

6.6.10. La consola web

La consola web ya no admite traducciones incompletas

La consola web de RHEL ya no proporciona traducciones para los idiomas que tienen traducciones disponibles para menos del 50 % de las cadenas traducibles de la consola. Si el navegador solicita la traducción a dicho idioma, la interfaz de usuario estará en inglés.

(BZ#1666722)

6.6.11. Virtualización

virt-manager ha quedado obsoleto

La aplicación Virtual Machine Manager, también conocida como virt-manager, ha quedado obsoleta. La consola web de RHEL 8, también conocida como Cockpit, está destinada a convertirse en su reemplazo en una versión posterior. Por lo tanto, se recomienda utilizar la consola web para gestionar la virtualización en una GUI. Tenga en cuenta, sin embargo, que algunas funciones disponibles en virt-manager pueden no estar aún disponibles en la consola web de RHEL 8.

(JIRA:RHELPLAN-10304)

Las instantáneas de las máquinas virtuales no se soportan correctamente en RHEL 8

El mecanismo actual de creación de instantáneas de máquinas virtuales (VM) ha quedado obsoleto, ya que no funciona de forma fiable. En consecuencia, se recomienda no utilizar las instantáneas de VM en RHEL 8.

Tenga en cuenta que se está desarrollando un nuevo mecanismo de instantáneas de máquinas virtuales que se implementará completamente en una futura versión menor de RHEL 8.

(BZ#1686057)

El tipo de GPU virtual Cirrus VGA ha quedado obsoleto

Con una futura actualización mayor de Red Hat Enterprise Linux, el dispositivo Cirrus VGA GPU ya no será soportado en las máquinas virtuales KVM. Por lo tanto, Red Hat recomienda utilizar los dispositivos stdvga, virtio-vga, o qxl en lugar de Cirrus VGA.

(BZ#1651994)

6.6.12. Paquetes obsoletos

Los siguientes paquetes han sido obviados y probablemente no serán incluidos en una futura versión mayor de Red Hat Enterprise Linux:

389-ds-base-legacy-tools
authd
custodia
nombre de host
libidn
herramientas de red
red-scripts
nss-pam-ldapd
sendmail
yp-tools
ypbind
ypserv

6.7. Problemas conocidos

Esta parte describe los problemas conocidos en Red Hat Enterprise Linux 8.

6.7.1. Creación del instalador y de la imagen

Los comandos Kickstart auth y authconfig requieren el repositorio AppStream

El paquete authselect-compat es necesario para los comandos auth y authconfig Kickstart durante la instalación. Sin este paquete, la instalación falla si se utilizan auth o authconfig. Sin embargo, por diseño, el paquete authselect-compat sólo está disponible en el repositorio de AppStream.

Para solucionar este problema, verifique que los repositorios de BaseOS y AppStream estén disponibles para el instalador o utilice el comando authselect Kickstart durante la instalación.

(BZ#1640697)

Los comandos reboot --kexec e inst.kexec no proporcionan un estado predecible del sistema

Realizar una instalación de RHEL con el comando reboot --kexec Kickstart o los parámetros de arranque del kernel inst.kexec no proporcionan el mismo estado predecible del sistema que un reinicio completo. Como consecuencia, cambiar al sistema instalado sin reiniciar puede producir resultados impredecibles.

Tenga en cuenta que la función kexec está obsoleta y se eliminará en una futura versión de Red Hat Enterprise Linux.

(BZ#1697896)

La instalación de Anaconda incluye límites bajos de requisitos de configuración de recursos mínimos

Anaconda inicia la instalación en sistemas con una configuración mínima de recursos disponibles y no proporciona un mensaje previo de advertencia sobre los recursos necesarios para realizar la instalación con éxito. Como resultado, la instalación puede fallar y los errores de salida no proporcionan mensajes claros para una posible depuración y recuperación. Para solucionar este problema, asegúrese de que el sistema dispone de los recursos mínimos necesarios para la instalación: 2GB de memoria en PPC64(LE) y 1GB en x86_64. Como resultado, debería ser posible realizar una instalación exitosa.

(BZ#1696609)

La instalación falla al utilizar el comando reboot --kexec

La instalación de RHEL 8 falla cuando se utiliza un archivo Kickstart que contiene el comando reboot --kexec. Para evitar el problema, utilice el comando reboot en lugar de reboot --kexec en su archivo Kickstart.

(BZ#1672405)

Soporte de arranque seguro para s390x en el instalador

RHEL 8.1 proporciona soporte para la preparación de discos de arranque para su uso en entornos IBM Z que imponen el uso del arranque seguro. Las capacidades del servidor y del hipervisor utilizados durante la instalación determinan si el formato resultante en el disco contiene soporte de arranque seguro o no. No hay forma de influir en el formato en disco durante la instalación.

En consecuencia, si se instala RHEL 8.1 en un entorno que soporta el arranque seguro, el sistema no podrá arrancar cuando se traslade a un entorno que no soporte el arranque seguro, como se hace en algunos escenarios de conmutación por error.

Para solucionar este problema, es necesario configurar la herramienta zipl que controla el formato de arranque en disco. zipl puede configurarse para escribir el formato anterior en disco incluso si el entorno en el que se ejecuta admite el arranque seguro. Realice los siguientes pasos manuales como usuario root una vez finalizada la instalación de RHEL 8.1:

Edite el archivo de configuración /etc/zipl.conf

Añade una línea que contenga "secure=0" a la sección denominada "defaultboot".

Ejemplo del contenido del archivo `zipl.conf` después del cambio:

Ejemplo del contenido del archivo `zipl.conf` después del cambio:

Copy to Clipboard

[defaultboot]
defaultauto
prompt=1
timeout=5
target=/boot
secure=0

[defaultboot]
defaultauto
prompt=1
timeout=5
target=/boot
secure=0

Copy to Clipboard

Ejecutar la herramienta zipl sin parámetros

Después de realizar estos pasos, el formato en disco del disco de arranque de RHEL 8.1 ya no contendrá soporte de arranque seguro. Como resultado, la instalación puede arrancarse en entornos que carecen de soporte de arranque seguro.

(BZ#1659400)

La configuración inicial de RHEL 8 no puede realizarse a través de SSH

Actualmente, la interfaz de configuración inicial de RHEL 8 no se muestra cuando se inicia la sesión en el sistema mediante SSH. Como consecuencia, es imposible realizar la configuración inicial en una máquina RHEL 8 gestionada mediante SSH. Para solucionar este problema, realice la configuración inicial en la consola principal del sistema (ttyS0) y, posteriormente, inicie sesión mediante SSH.

(BZ#1676439)

El valor por defecto de la opción secure= boot no está configurado como auto

Actualmente, el valor por defecto de la opción secure= boot no está establecido en auto. Como consecuencia, la función de arranque seguro no está disponible porque el valor por defecto actual está desactivado. Para solucionar este problema, establezca manualmente secure=auto en la sección [defaultboot] del archivo /etc/zipl.conf. Como resultado, la función de arranque seguro estará disponible. Para más información, consulte la página man de zipl.conf.

(BZ#1750326)

Al copiar el contenido del archivo DVD.iso binario en una partición se omiten los archivos .treeinfo y .discinfo

Durante la instalación local, mientras se copia el contenido del archivo de imagen RHEL 8 Binary DVD.iso a una partición, el * en el comando cp <path>/\* <mounted partition>/dir falla al copiar los archivos .treeinfo y .discinfo. Estos archivos son necesarios para una instalación correcta. Como resultado, los repositorios BaseOS y AppStream no se cargan, y un mensaje de registro relacionado con la depuración en el archivo anaconda.log es el único registro del problema.

Para solucionar el problema, copie los archivos .treeinfo y .discinfo que faltan en la partición.

(BZ#1687747)

El servidor HTTPS autofirmado no se puede utilizar en la instalación de Kickstart

Actualmente, el instalador falla al instalar desde un servidor https autofirmado cuando se especifica el origen de la instalación en el archivo kickstart y se utiliza la opción --noverifyssl:

url --url=https://SERVER/PATH --noverifyssl

url --url=https://SERVER/PATH --noverifyssl

Copy to Clipboard

Para solucionar este problema, añada el parámetro inst.noverifyssl a la línea de comandos del kernel al iniciar la instalación kickstart.

Por ejemplo:

inst.ks=<URL> inst.noverifyssl

inst.ks=<URL> inst.noverifyssl

Copy to Clipboard

(BZ#1745064)

6.7.2. Gestión del software

yum repolist termina en el primer repositorio no disponible con skip_if_unavailable=false

La opción de configuración del repositorio skip_if_unavailable está configurada por defecto como sigue:

skip_if_unavailable=false

skip_if_unavailable=false

Copy to Clipboard

Esta configuración obliga al comando yum repolist a terminar en el primer repositorio no disponible con un error y un estado de salida 1. En consecuencia, yum repolist no continúa listando los repositorios disponibles.

Tenga en cuenta que es posible anular esta configuración en el archivo *.repo de cada repositorio.

Sin embargo, si quiere mantener la configuración por defecto, puede solucionar el problema utilizando yum repolist con la siguiente opción:

--setopt=*.skip_if_unavailable=True

--setopt=*.skip_if_unavailable=True

Copy to Clipboard

(BZ#1697472)

6.7.3. Gestión de suscripciones

los complementos syspurpose no tienen efecto en la salida de subscription-manager attach --auto.

En Red Hat Enterprise Linux 8, se han añadido cuatro atributos de la herramienta de línea de comandos syspurpose: role, usage, service_level_agreement y addons. Actualmente, sólo role, usage y service_level_agreement afectan la salida de la ejecución del comando subscription-manager attach --auto. Los usuarios que intenten establecer valores en el argumento addons no observarán ningún efecto en las suscripciones que se adjuntan automáticamente.

(BZ#1687900)

6.7.4. Shell y herramientas de línea de comandos

Las aplicaciones que utilizan el protocolo Wayland no pueden ser reenviadas a servidores de visualización remotos

En Red Hat Enterprise Linux 8.1, la mayoría de las aplicaciones utilizan el protocolo Wayland por defecto en lugar del protocolo X11. Como consecuencia, el servidor ssh no puede reenviar las aplicaciones que utilizan el protocolo Wayland pero es capaz de reenviar las aplicaciones que utilizan el protocolo X11 a un servidor de visualización remoto.

Para solucionar este problema, establezca la variable de entorno GDK_BACKEND=x11 antes de iniciar las aplicaciones. Como resultado, la aplicación puede ser reenviada a servidores de visualización remotos.

(BZ#1686892)

systemd-resolved.service no se inicia en el arranque

El servicio systemd-resolved ocasionalmente no se inicia en el arranque. Si esto ocurre, reinicie el servicio manualmente después de que termine el arranque utilizando el siguiente comando:

systemctl start systemd-resolved

# systemctl start systemd-resolved

Copy to Clipboard

Sin embargo, el fallo de systemd-resolved on boot no afecta a ningún otro servicio.

(BZ#1640802)

6.7.5. Servicios de infraestructura

Soporte para DNSSEC en dnsmasq

El paquete dnsmasq introduce el soporte de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) para verificar la información de los nombres de host recibidos de los servidores raíz.

Tenga en cuenta que la validación de DNSSEC en dnsmasq no cumple con FIPS 140-2. No habilite DNSSEC en dnsmasq en los sistemas del Estándar Federal de Procesamiento de Información (FIPS), y utilice el resolvedor de validación compatible como reenviador en el localhost.

(BZ#1549507)

6.7.6. Seguridad

redhat-support-tool no funciona con la política criptográfica FUTURE

Debido a que una clave criptográfica utilizada por un certificado en la API del Portal del Cliente no cumple los requisitos de la política criptográfica de todo el sistema FUTURE, la utilidad redhat-support-tool no funciona con este nivel de política por el momento. Para solucionar este problema, utilice la política criptográfica DEFAULT al conectarse a la API del Portal de Clientes.

(BZ#1802026)

SELINUX=disabled en /etc/selinux/config no funciona correctamente

Desactivar SELinux usando la opción SELINUX=disabled en el archivo /etc/selinux/config resulta en un proceso en el que el kernel arranca con SELinux activado y cambia a modo desactivado más tarde en el proceso de arranque. Esto podría causar fugas de memoria y condiciones de carrera y, en consecuencia, también pánicos en el kernel. Para solucionar este problema, desactive SELinux añadiendo el parámetro selinux=0 a la línea de comandos del kernel, tal y como se describe en la sección Cambio de los modos de SELinux en el arranque del título Uso de SELinux, si su escenario realmente requiere desactivar SELinux por completo.

(JIRA:RHELPLAN-34199)

libselinux-python sólo está disponible a través de su módulo

El paquete libselinux-python sólo contiene bindings de Python 2 para el desarrollo de aplicaciones SELinux y se utiliza por compatibilidad con versiones anteriores. Por esta razón, libselinux-python ya no está disponible en los repositorios por defecto de RHEL 8 a través del comando dnf install libselinux-python.

Para solucionar este problema, active los módulos libselinux-python y python27, e instale el paquete libselinux-python y sus dependencias con los siguientes comandos:

dnf module enable libselinux-python
dnf install libselinux-python

# dnf module enable libselinux-python
# dnf install libselinux-python

Copy to Clipboard

Alternativamente, instale libselinux-python utilizando su perfil de instalación con un solo comando:

dnf module install libselinux-python:2.8/common

# dnf module install libselinux-python:2.8/common

Copy to Clipboard

Como resultado, puede instalar libselinux-python utilizando el módulo correspondiente.

(BZ#1666328)

udica procesa contenedores UBI 8 sólo cuando se inicia con --env container=podman

Los contenedores Red Hat Universal Base Image 8 (UBI 8) establecen la variable de entorno del contenedor con el valor oci en lugar del valor podman. Esto evita que la herramienta udica analice un archivo de notación de objetos JavaScript (JSON) del contenedor.

Para solucionar este problema, inicie un contenedor UBI 8 utilizando un comando podman con el parámetro --env container=podman. Como resultado, udica puede generar una política SELinux para un contenedor UBI 8 sólo cuando se utiliza la solución descrita.

(BZ#1763210)

La eliminación del paquete rpm-plugin-selinux conlleva la eliminación de todos los paquetes selinux-policy del sistema

Eliminar el paquete rpm-plugin-selinux deshabilita SELinux en la máquina. También elimina todos los paquetes selinux-policy del sistema. La instalación repetida del paquete rpm-plugin-selinux instala entonces la política SELinux-policy-minimum, incluso si la política selinux-policy-targeted estaba previamente presente en el sistema. Sin embargo, la instalación repetida no actualiza el archivo de configuración de SELinux para tener en cuenta el cambio de política. Como consecuencia, SELinux está deshabilitado incluso al reinstalar el paquete rpm-plugin-selinux.

Para solucionar este problema:

Introduzca el comando umount /sys/fs/selinux/.
Instale manualmente el paquete selinux-policy-targeted que falta.
Edite el archivo /etc/selinux/config para que la política sea igual a SELINUX=enforcing.
Introduzca el comando load_policy -i.

Como resultado, SELinux está habilitado y ejecuta la misma política que antes.

(BZ#1641631)

SELinux impide que systemd-journal-gatewayd llame a newfstat() en archivos de memoria compartida creados por corosync

La política de SELinux no contiene una regla que permita al demonio systemd-journal-gatewayd acceder a los archivos creados por el servicio corosync. Como consecuencia, SELinux niega a systemd-journal-gatewayd la posibilidad de llamar a la función newfstat() en los archivos de memoria compartida creados por corosync.

Para solucionar este problema, cree un módulo de política local con una regla de permiso que permita el escenario descrito. Consulte la página man de audit2allow(1 ) para obtener más información sobre la generación de la política de SELinux allow y las reglas de dontaudit. Como resultado de la solución anterior, systemd-journal-gatewayd puede llamar a la función en archivos de memoria compartida creados por corosync con SELinux en modo de aplicación.

(BZ#1746398)

Efectos negativos de la configuración de registro por defecto en el rendimiento

La configuración del entorno de registro por defecto puede consumir 4 GB de memoria o incluso más y los ajustes de los valores de límite de velocidad son complejos cuando systemd-journald se ejecuta con rsyslog.

Consulte el artículo de la base de conocimientos Efectos negativos de la configuración de registro por defecto de RHEL en el rendimiento y sus mitigaciones para obtener más información.

(JIRA:RHELPLAN-10431)

Errores deparámetros no conocidos en la salida de rsyslog con config.enabled

En la salida de rsyslog, se produce un error inesperado en los errores de procesamiento de la configuración utilizando la directiva config.enabled. Como consecuencia, se muestran errores de parámetros no conocidos mientras se utiliza la directiva config . enabled excepto en las sentencias include().

Para solucionar este problema, establezca config.enabled=on o utilice las sentencias include().

(BZ#1659383)

Algunas cadenas de prioridad de rsyslog no funcionan correctamente

La compatibilidad con la cadena de prioridad GnuTLS para imtcp que permite un control detallado de la codificación no es completa. En consecuencia, las siguientes cadenas de prioridad no funcionan correctamente en rsyslog:

NINGUNO: VERS-ALL:-VERS-TLS1.3: MAC-ALL: DHE-RSA: AES-256-GCM: SIGN-RSA-SHA384: COMP-ALL: GROUP-ALL

NINGUNO: VERS-ALL:-VERS-TLS1.3: MAC-ALL: DHE-RSA: AES-256-GCM: SIGN-RSA-SHA384: COMP-ALL: GROUP-ALL

Copy to Clipboard

Para evitar este problema, utilice sólo cadenas de prioridad que funcionen correctamente:

NINGUNO: VERS-ALL:-VERS-TLS1.3: MAC-ALL: ECDHE-RSA: AES-128-CBC: SIGN-RSA-SHA1: COMP-ALL: GROUP-ALL

NINGUNO: VERS-ALL:-VERS-TLS1.3: MAC-ALL: ECDHE-RSA: AES-128-CBC: SIGN-RSA-SHA1: COMP-ALL: GROUP-ALL

Copy to Clipboard

En consecuencia, las configuraciones actuales deben limitarse a las cadenas que funcionan correctamente.

(BZ#1679512)

Las conexiones a servidores con firmas SHA-1 no funcionan con GnuTLS

Las firmas SHA-1 en los certificados son rechazadas por la biblioteca de comunicaciones seguras GnuTLS como inseguras. En consecuencia, las aplicaciones que utilizan GnuTLS como backend TLS no pueden establecer una conexión TLS con pares que ofrezcan tales certificados. Este comportamiento es inconsistente con otras bibliotecas criptográficas del sistema. Para solucionar este problema, actualice el servidor para utilizar certificados firmados con SHA-256 o un hash más fuerte, o cambie a la política LEGACY.

(BZ#1628553)

TLS 1.3 no funciona en NSS en modo FIPS

TLS 1.3 no es compatible con los sistemas que funcionan en modo FIPS. Como resultado, las conexiones que requieren TLS 1.3 para la interoperabilidad no funcionan en un sistema que funciona en modo FIPS.

Para habilitar las conexiones, desactive el modo FIPS del sistema o habilite el soporte para TLS 1.2 en el peer.

(BZ#1724250)

OpenSSL maneja incorrectamente los tokens PKCS #11 que no admiten firmas RSA o RSA-PSS en bruto

La biblioteca OpenSSL no detecta las capacidades relacionadas con las claves de los tokens PKCS #11. En consecuencia, el establecimiento de una conexión TLS falla cuando se crea una firma con un token que no admite firmas RSA o RSA-PSS en bruto.

Para solucionar el problema, añada las siguientes líneas después de la línea .include al final de la sección crypto_policy en el archivo /etc/pki/tls/openssl.cnf:

SignatureAlgorithms = RSA+SHA256:RSA+SHA512:RSA+SHA384:ECDSA+SHA256:ECDSA+SHA512:ECDSA+SHA384
MaxProtocol = TLSv1.2

SignatureAlgorithms = RSA+SHA256:RSA+SHA512:RSA+SHA384:ECDSA+SHA256:ECDSA+SHA512:ECDSA+SHA384
MaxProtocol = TLSv1.2

Copy to Clipboard

Como resultado, se puede establecer una conexión TLS en el escenario descrito.

(BZ#1685470)

La biblioteca TLS de OpenSSL no detecta si el token PKCS#11 admite la creación de firmas RSA sin procesar o RSA-PSS

El protocolo TLS-1.3 requiere el soporte de la firma RSA-PSS. Si el token PKCS#11 no es compatible con las firmas RSA o RSA-PSS en bruto, las aplicaciones de servidor que utilizan la biblioteca TLS de OpenSSL no podrán trabajar con la clave RSA si la tiene el token PKCS#11. Como resultado, la comunicación TLS fallará.

Para solucionar este problema, configure el servidor o el cliente para utilizar la versión TLS-1.2 como la versión de protocolo TLS más alta disponible.

(BZ#1681178)

OpenSSL genera una extensión status_request malformada en el mensaje CertificateRequest en TLS 1.3

Los servidores OpenSSL envían una extensión status_request malformada en el mensaje CertificateRequest si el soporte para la extensión status_request y la autenticación basada en el certificado del cliente están activados. En este caso, OpenSSL no interopera con las implementaciones que cumplen con el protocolo RFC 8446. Como resultado, los clientes que verifican correctamente las extensiones en el mensaje 'CertificateRequest' abortan las conexiones con el servidor OpenSSL. Para solucionar este problema, desactive la compatibilidad con el protocolo TLS 1.3 en ambos lados de la conexión o desactive la compatibilidad con status_request en el servidor OpenSSL. Esto evitará que el servidor envíe mensajes malformados.

(BZ#1749068)

ssh-keyscan no puede recuperar las claves RSA de los servidores en modo FIPS

El algoritmo SHA-1 está desactivado para las firmas RSA en el modo FIPS, lo que impide que la utilidad ssh-keyscan recupere las claves RSA de los servidores que operan en ese modo.

Para solucionar este problema, utilice claves ECDSA en su lugar, o recupere las claves localmente desde el archivo /etc/ssh/ssh_host_rsa_key.pub en el servidor.

(BZ#1744108)

scap-security-guide PCI-DSS remediación de las normas de auditoría no funciona correctamente

El paquete scap-security-guide contiene una combinación de remediación y una comprobación que puede resultar en uno de los siguientes escenarios:

corrección incorrecta de las normas de auditoría
evaluación de escaneo que contiene falsos positivos donde las reglas aprobadas se marcan como fallidas

En consecuencia, durante el proceso de instalación de RHEL 8.1, el escaneo del sistema instalado reporta algunas reglas de Auditoría como fallidas o con errores.

Para solucionar este problema, siga las instrucciones de la solución de RHEL-8.1 para remediar y analizar con el artículo de la base de conocimientos scap-security-guide PCI-DSS profile.

(BZ#1754919)

Algunos conjuntos de reglas interdependientes en SSG pueden fallar

La remediación de las reglas de la Guía de Seguridad SCAP (SSG) en un benchmark puede fallar debido al orden indefinido de las reglas y sus dependencias. Si dos o más reglas deben ejecutarse en un orden determinado, por ejemplo, cuando una regla instala un componente y otra regla configura el mismo componente, pueden ejecutarse en el orden incorrecto y la corrección informa de un error. Para solucionar este problema, ejecute la corrección dos veces, y la segunda ejecución corrige las reglas dependientes.

(BZ#1750755)

No se dispone de una utilidad para escanear la seguridad y el cumplimiento de los contenedores

En Red Hat Enterprise Linux 7, la utilidad oscap-docker se puede utilizar para escanear contenedores Docker basados en tecnologías Atomic. En Red Hat Enterprise Linux 8, los comandos OpenSCAP relacionados con Docker y Atomic no están disponibles.

Para solucionar este problema, consulte el artículo Uso de OpenSCAP para escanear contenedores en R HEL 8 en el Portal del Cliente. En consecuencia, por el momento solo se puede utilizar una forma limitada y sin soporte para el escaneo de seguridad y cumplimiento de los contenedores en RHEL 8.

(BZ#1642373)

OpenSCAP no proporciona escaneo fuera de línea de máquinas virtuales y contenedores

La refactorización de la base de código de OpenSCAP provocó que ciertas sondas RPM no pudieran escanear los sistemas de archivos de las máquinas virtuales y los contenedores en modo offline. Por esta razón, se eliminaron las siguientes herramientas del paquete openscap-utils: oscap-vm y oscap-chroot. También se eliminó por completo el paquete openscap-containers.

(BZ#1618489)

OpenSCAP rpmverifypackage no funciona correctamente

Las llamadas al sistema chdir y chroot son llamadas dos veces por la sonda rpmverifypackage. En consecuencia, se produce un error cuando la sonda se utiliza durante un análisis de OpenSCAP con contenido personalizado de Open Vulnerability and Assessment Language (OVAL).

Para solucionar este problema, no utilice la prueba OVAL rpmverifypackage_test en su contenido o utilice sólo el contenido del paquete scap-security-guide donde no se utiliza rpmverifypackage_test.

(BZ#1646197)

SCAP Workbench no genera correcciones basadas en resultados a partir de perfiles adaptados

El siguiente error se produce al intentar generar roles de corrección basados en resultados a partir de un perfil personalizado utilizando la herramienta SCAP Workbench:

Error al generar el rol de remediación .../remediación.sh: El código de salida de oscap era 1: [salida truncada]

Error al generar el rol de remediación .../remediación.sh: El código de salida de oscap era 1: [salida truncada]

Copy to Clipboard

Para solucionar este problema, utilice el comando oscap con la opción --tailoring-file.

(BZ#1640715)

El complemento OSCAP Anaconda no instala todos los paquetes en modo texto

El complemento OSCAP Anaconda no puede modificar la lista de paquetes seleccionados para su instalación por el instalador del sistema si la instalación se ejecuta en modo texto. En consecuencia, cuando se especifica un perfil de política de seguridad mediante Kickstart y la instalación se ejecuta en modo texto, cualquier paquete adicional requerido por la política de seguridad no se instala durante la instalación.

Para solucionar este problema, ejecute la instalación en modo gráfico o especifique todos los paquetes que requiere el perfil de la política de seguridad en la sección %packages de su archivo Kickstart.

Como resultado, los paquetes requeridos por el perfil de política de seguridad no se instalan durante la instalación de RHEL sin una de las soluciones descritas, y el sistema instalado no cumple con el perfil de política de seguridad dado.

(BZ#1674001)

El complemento OSCAP Anaconda no maneja correctamente los perfiles personalizados

El plugin OSCAP Anaconda Addon no maneja adecuadamente los perfiles de seguridad con personalizaciones en archivos separados. En consecuencia, el perfil personalizado no está disponible en la instalación gráfica de RHEL aunque lo especifique correctamente en la sección Kickstart correspondiente.

Para solucionar este problema, siga las instrucciones del artículo de la base de conocimientos Creación de un único flujo de datos SCAP a partir de un DS original y un archivo de adaptación. Como resultado de esta solución, puede utilizar un perfil SCAP personalizado en la instalación gráfica de RHEL.

(BZ#1691305)

6.7.7. Red

El formato de la salida verbose de arptables ahora coincide con el formato de la utilidad en RHEL 7

En RHEL 8, el paquete iptables-arptables proporciona un reemplazo basado en nftables de la utilidad arptables. Anteriormente, la salida verbosa de arptables separaba los valores del contador sólo con una coma, mientras que arptables en RHEL 7 separaba la salida descrita tanto con un espacio como con una coma. Como consecuencia, si se utilizaban scripts creados en RHEL 7 que analizaban la salida del comando arptables -v -L, había que ajustar estos scripts. Esta incompatibilidad se ha solucionado. Como resultado, arptables en RHEL 8.1 ahora también separa los valores del contador con un espacio y una coma.

(BZ#1676968)

nftables no soporta tipos de conjuntos IP multidimensionales

El marco de filtrado de paquetes nftables no admite tipos de conjuntos con concatenaciones e intervalos. En consecuencia, no puede utilizar tipos de conjuntos IP multidimensionales, como hash:net,port, con nftables.

Para solucionar este problema, utilice el marco de iptables con la herramienta ipset si necesita tipos de conjuntos de IP multidimensionales.

(BZ#1593711)

El tráfico de red IPsec falla durante la descarga de IPsec cuando GRO está desactivado

No se espera que la descarga de IPsec funcione cuando la descarga de recepción genérica (GRO) está desactivada en el dispositivo. Si la descarga de IPsec está configurada en una interfaz de red y GRO está desactivado en ese dispositivo, el tráfico de red IPsec falla.

Para solucionar este problema, mantenga activado el sistema GRO en el dispositivo.

(BZ#1649647)

6.7.8. Núcleo

El módulo i40iw no se carga automáticamente en el arranque

Debido a que muchos NICs i40e no soportan iWarp y el módulo i40iw no soporta completamente la suspensión/reanudación, este módulo no se carga automáticamente por defecto para asegurar que la suspensión/reanudación funcione correctamente. Para solucionar este problema, edite manualmente el archivo /lib/udev/rules.d/90-rdma-hw-modules.rules para activar la carga automática de i40iw.

Tenga en cuenta también que si hay otro dispositivo RDMA instalado con un dispositivo i40e en la misma máquina, el dispositivo RDMA no i40e activa el servicio rdma, que carga todos los módulos de pila RDMA habilitados, incluido el módulo i40iw.

(BZ#1623712)

La interfaz de red pasa a llamarse kdump-

Cuando se utiliza el volcado asistido por firmware(fadump) para capturar un vmcore y almacenarlo en una máquina remota utilizando el protocolo SSH o NFS, la interfaz de red se renombra como kdump-

(BZ#1745507)

Los sistemas con una gran cantidad de memoria persistente experimentan retrasos durante el proceso de arranque

Los sistemas con una gran cantidad de memoria persistente tardan mucho en arrancar porque la inicialización de la memoria se hace en serie. Por lo tanto, si hay sistemas de archivos de memoria persistente listados en el archivo /etc/fstab, el sistema puede perder el tiempo mientras espera que los dispositivos estén disponibles. Para solucionar este problema, configure la opción DefaultTimeoutStartSec en el archivo /etc/systemd/system.conf con un valor suficientemente grande.

(BZ#1666538)

KSM a veces ignora las políticas de memoria NUMA

Cuando la función de memoria compartida del kernel (KSM) está activada con el parámetro merge_across_nodes=1, KSM ignora las políticas de memoria establecidas por la función mbind(), y puede fusionar páginas de algunas áreas de memoria a nodos de acceso a memoria no uniforme (NUMA) que no coinciden con las políticas.

Para solucionar este problema, desactive KSM o establezca el parámetro merge_across_nodes a 0 si utiliza la unión de memoria NUMA con QEMU. Como resultado, las políticas de memoria NUMA configuradas para la VM KVM funcionarán como se espera.

(BZ#1153521)

El sistema entra en el modo de emergencia en el momento del arranque cuando fadump está activado

El sistema entra en el modo de emergencia cuando se habilita el módulo de squash fadump (kdump) o dracut en el esquema initramfs porque el gestor systemd no consigue obtener la información de montaje y configurar la partición LV para montarla. Para solucionar este problema, añada el siguiente parámetro de línea de comandos del kernel rd.lvm.lv=<VG>/<LV> para descubrir y montar la partición LV fallida adecuadamente. Como resultado, el sistema arrancará con éxito en el escenario descrito.

(BZ#1750278)

El uso de irqpoll en la línea de comandos del kernel kdump provoca un fallo en la generación de vmcore

Debido a un problema subyacente existente con el controlador nvme en las arquitecturas ARM de 64 bits que se ejecutan en las plataformas de la nube de Amazon Web Services (AWS), la generación de vmcore falla si el argumento de línea de comandos irqpoll kdump se proporciona al primer núcleo. En consecuencia, no se vuelca ningún vmcore en el directorio /var/crash/ después de un fallo del kernel. Para solucionar este problema:

Añade irqpoll a la clave KDUMP_COMMANDLINE_REMOVE en el archivo /etc/sysconfig/kdump.
Reinicie el servicio kdump ejecutando el comando systemctl restart kdump.

Como resultado, el primer kernel arranca correctamente y se espera que el vmcore sea capturado al caer el kernel.

(BZ#1654962)

El kernel de depuración no arranca en el entorno de captura de fallos en RHEL 8

Debido a la naturaleza de demanda de memoria del kernel de depuración, se produce un problema cuando el kernel de depuración está en uso y se desencadena un pánico del kernel. Como consecuencia, el kernel de depuración no es capaz de arrancar como el kernel de captura, y en su lugar se genera una traza de pila. Para solucionar este problema, aumente la memoria del kernel de captura en consecuencia. Como resultado, el kernel de depuración arranca con éxito en el entorno de captura de fallos.

(BZ#1659609)

los cambios desoftirq pueden hacer que la interfaz localhost deje caer los paquetes UDP cuando está bajo una gran carga

Los cambios en el manejo de las interrupciones de software(softirq) del kernel de Linux se realizan para reducir los efectos de la denegación de servicio (DOS). En consecuencia, esto conduce a situaciones en las que la interfaz localhost deja caer los paquetes del Protocolo de Datagramas de Usuario (UDP) bajo una gran carga.

Para solucionar este problema, aumente el tamaño del búfer de acumulación de dispositivos de red al valor 6000:

eco 6000

eco 6000

Copy to Clipboard

En las pruebas de Red Hat, este valor fue suficiente para evitar la pérdida de paquetes. Los sistemas más cargados podrían requerir valores de backlog mayores. El aumento de los backlogs tiene el efecto de aumentar potencialmente la latencia en la interfaz localhost.

El resultado es aumentar el búfer y permitir que haya más paquetes en espera de ser procesados, lo que reduce las posibilidades de que se caigan los paquetes de localhost.

(BZ#1779337)

6.7.9. Habilitación de hardware

El NMI watchdog de HP en algunos casos no genera un volcado de fallos

El controlador hpwdt para el vigilante NMI de HP a veces no puede reclamar una interrupción no enmascarable (NMI) generada por el temporizador del vigilante HPE porque el NMI fue consumido por el controlador perfmon. Como consecuencia, hpwdt en algunos casos no puede llamar a un pánico para generar un volcado de fallos.

(BZ#1602962)

Al instalar RHEL 8.1 en un sistema de prueba configurado con una tarjeta QL41000 se produce un pánico del kernel

Durante la instalación de RHEL 8.1 en un sistema de prueba configurado con una tarjeta QL41000, el sistema es incapaz de manejar la derivación del puntero NULL del kernel en la tarjeta 000000000000003c. Como consecuencia, se produce un error de pánico del kernel. No hay ninguna solución disponible para este problema.

(BZ#1743456)

El controlador cxgb4 provoca un fallo en el kernel kdump

El kernel kdump se bloquea al intentar guardar información en el archivo vmcore. En consecuencia, el controlador cxgb4 impide que el kdump kernel guarde un núcleo para su posterior análisis. Para solucionar este problema, añada el parámetro "novmcoredd" a la línea de comandos de kdump kernel para permitir guardar archivos de núcleo.

(BZ#1708456)

6.7.10. Sistemas de archivos y almacenamiento

Algunos controladores SCSI pueden utilizar a veces una cantidad excesiva de memoria

Algunos controladores SCSI utilizan una mayor cantidad de memoria que en RHEL 7. En algunos casos, como la creación de vPort en un adaptador de bus de host (HBA) de canal de fibra, el uso de memoria podría ser excesivo, dependiendo de la configuración del sistema.

El aumento del uso de la memoria se debe a la preasignación de memoria en la capa de bloques. Tanto la programación de dispositivos de bloques de cola múltiple (BLK-MQ) como la pila SCSI de cola múltiple (SCSI-MQ) preasignan memoria para cada solicitud de E/S en RHEL 8, lo que provoca un mayor uso de la memoria.

(BZ#1698297)

VDO no puede suspender hasta que la UDS haya terminado de reconstruirse

Cuando un volumen de Virtual Data Optimizer (VDO) se inicia después de un apagado sucio del sistema, reconstruye el índice del Servicio Universal de Deduplicación (UDS). Si intenta suspender el volumen VDO utilizando el comando dmsetup suspend mientras el índice UDS se está reconstruyendo, el comando suspender podría dejar de responder. El comando finaliza sólo después de que la reconstrucción haya terminado.

La falta de respuesta sólo se nota con los volúmenes VDO que tienen un índice UDS grande, lo que hace que la reconstrucción tarde más tiempo.

(BZ#1737639)

Un parche de NFS 4.0 puede reducir el rendimiento con una carga de trabajo abierta

Anteriormente, se corrigió un error que, en algunos casos, podía hacer que una operación de apertura de NFS pasara por alto el hecho de que un archivo había sido eliminado o renombrado en el servidor. Sin embargo, la corrección puede causar un rendimiento más lento con cargas de trabajo que requieren muchas operaciones abiertas. Para solucionar este problema, puede ser útil utilizar la versión 4.1 o superior de NFS, que ha sido mejorada para conceder delegaciones a los clientes en más casos, permitiendo a los clientes realizar operaciones de apertura de forma local, rápida y segura.

(BZ#1748451)

6.7.11. Lenguajes de programación dinámicos, servidores web y de bases de datos

nginx no puede cargar los certificados del servidor desde los tokens de seguridad del hardware

El servidor web nginx soporta la carga de claves privadas TLS desde tokens de seguridad de hardware directamente desde los módulos PKCS#11. Sin embargo, actualmente es imposible cargar certificados de servidor desde tokens de seguridad de hardware a través del URI PKCS#11. Para solucionar este problema, almacene los certificados del servidor en el sistema de archivos

(BZ#1668717)

php-fpm causa denegaciones de SELinux AVC cuando php-opcache es instalado con PHP 7.2

Cuando se instala el paquete php-opcache, el gestor de procesos FastCGI(php-fpm) provoca denegaciones de SELinux AVC. Para solucionar este problema, cambie la configuración por defecto en el archivo /etc/php.d/10-opcache.ini por la siguiente:

opcache.huge_code_pages=0

opcache.huge_code_pages=0

Copy to Clipboard

Tenga en cuenta que este problema sólo afecta al flujo php:7.2, no al php:7.3.

(BZ#1670386)

6.7.12. Compiladores y herramientas de desarrollo

La herramienta ltrace no informa de las llamadas a funciones

Debido a las mejoras en el endurecimiento de los binarios aplicadas a todos los componentes de RHEL, la herramienta ltrace ya no puede detectar llamadas a funciones en archivos binarios procedentes de componentes de RHEL. Como consecuencia, la salida de ltrace está vacía porque no informa de ninguna llamada detectada cuando se utiliza en dichos archivos binarios. No hay ninguna solución disponible actualmente.

Como nota, ltrace puede reportar correctamente las llamadas en archivos binarios personalizados construidos sin las respectivas banderas de endurecimiento.

(BZ#1618748)

6.7.13. Gestión de la identidad

Los usuarios de AD con cuentas caducadas pueden iniciar sesión cuando se utiliza la autenticación GSSAPI

El atributo accountExpires que SSSD utiliza para ver si una cuenta ha caducado no se replica al catálogo global por defecto. Como resultado, los usuarios con cuentas caducadas pueden iniciar sesión cuando se utiliza la autenticación GSSAPI. Para solucionar este problema, se puede desactivar el soporte del catálogo global especificando ad_enable_gc=False en el archivo sssd.conf. Con esta configuración, los usuarios con cuentas caducadas no podrán acceder cuando utilicen la autenticación GSSAPI.

Tenga en cuenta que SSSD se conecta a cada servidor LDAP individualmente en este escenario, lo que puede aumentar el número de conexiones.

(BZ#1081046)

El uso de la utilidad cert-fix con la opción --agent-uid pkidbuser rompe el sistema de certificados

El uso de la utilidad cert-fix con la opción --agent-uid pkidbuser corrompe la configuración LDAP de Certificate System. Como consecuencia, el sistema de certificados puede volverse inestable y es necesario tomar medidas manuales para recuperar el sistema.

(BZ#1729215)

Cambiar /etc/nsswitch.conf requiere un reinicio manual del sistema

Cualquier cambio en el archivo /etc/nsswitch . conf, por ejemplo la ejecución del comando authselect select profile_id, requiere un reinicio del sistema para que todos los procesos relevantes utilicen la versión actualizada del archivo /etc/nsswitch.conf. Si no es posible reiniciar el sistema, reinicie el servicio que une su sistema a Active Directory, que es el demonio de servicios de seguridad del sistema (SSSD) o winbind.

(BZ#1657295)

No se muestra la información sobre los registros DNS necesarios al activar la compatibilidad con la confianza de AD en IdM

Cuando se habilita el soporte para la confianza de Active Directory (AD) en la instalación de Red Hat Enterprise Linux Identity Management (IdM) con gestión externa de DNS, no se muestra información sobre los registros DNS requeridos. La confianza del bosque en AD no tiene éxito hasta que se añaden los registros DNS requeridos. Para solucionar este problema, ejecute el comando 'ipa dns-update-system-records --dry-run' para obtener una lista de todos los registros DNS requeridos por IdM. Cuando el DNS externo para el dominio de IdM define los registros DNS necesarios, es posible establecer la confianza del bosque en AD.

(BZ#1665051)

SSSD devuelve la pertenencia a un grupo LDAP incorrecto para los usuarios locales

Si el demonio de servicios de seguridad del sistema (SSSD) sirve a los usuarios desde los archivos locales, el proveedor de archivos no incluye la pertenencia a grupos de otros dominios. Como consecuencia, si un usuario local es miembro de un grupo LDAP, el comando id local_user no devuelve la pertenencia al grupo LDAP del usuario. Para solucionar el problema, invierta el orden de las bases de datos en las que el sistema busca la pertenencia a grupos de los usuarios en el archivo /etc/nsswitch.conf, sustituyendo sss files por files sss, o desactive el dominio implícito de files añadiendo

enable_files_domain=False

enable_files_domain=False

Copy to Clipboard

a la sección [sssd] en el archivo /etc/sssd/sssd.conf.

Como resultado, id local_user devuelve la pertenencia correcta al grupo LDAP para los usuarios locales.

(BZ#1652562)

La configuración PAM por defecto para systemd-user ha cambiado en RHEL 8, lo que puede influir en el comportamiento de SSSD

La pila de módulos de autenticación enchufables (PAM) ha cambiado en Red Hat Enterprise Linux 8. Por ejemplo, la sesión de usuario systemd ahora inicia una conversación PAM usando el servicio systemd-user PAM. Este servicio ahora incluye recursivamente el servicio PAM system-auth, que puede incluir la interfaz pam_sss.so. Esto significa que el control de acceso SSSD siempre es llamado.

Tenga en cuenta este cambio cuando diseñe las reglas de control de acceso para los sistemas RHEL 8. Por ejemplo, puede añadir el servicio systemd-user a la lista de servicios permitidos.

Tenga en cuenta que para algunos mecanismos de control de acceso, como IPA HBAC o AD GPOs, el servicio systemd-user se ha añadido a la lista de servicios permitidos por defecto y no necesita realizar ninguna acción.

(BZ#1669407)

SSSD no maneja correctamente varias reglas de coincidencia de certificados con la misma prioridad

Si un certificado determinado coincide con varias reglas de coincidencia de certificados con la misma prioridad, el demonio de servicios de seguridad del sistema (SSSD) sólo utiliza una de las reglas. Como solución, utilice una única regla de coincidencia de certificados cuyo filtro LDAP esté formado por los filtros de las reglas individuales concatenados con el operador | (o). Para ver ejemplos de reglas de coincidencia de certificados, consulte la página de manual de sss-certamp(5).

(BZ#1447945)

Los grupos privados no se crean con auto_private_group = hybrid cuando se definen varios dominios

Los grupos privados no se crean con la opción auto_private_group = hybrid cuando se definen varios dominios y la opción hybrid se utiliza en cualquier dominio que no sea el primero. Si se define un dominio de archivos implícito junto con un dominio AD o LDAP en el archivo sssd.conf` y no se marca como `MPG_HYBRID, entonces SSSD falla al crear un grupo privado para un usuario que tiene uid=gid y el grupo con este gid no existe en AD o LDAP.

El respondedor sssd_nss comprueba el valor de la opción auto_private_groups sólo en el primer dominio. Como consecuencia, en las configuraciones en las que hay varios dominios configurados, lo que incluye la configuración por defecto en RHEL 8, la opción auto_private_group no tiene ningún efecto.

Para solucionar este problema, establezca enable_files_domain = false en la sección sssd de sssd.conf. Como resultado, si la opción enable_files_domain se establece en false, entonces sssd no añade un dominio con id_provider=files al principio de la lista de dominios activos, y por lo tanto no se produce este error.

(BZ#1754871)

python-ply no es compatible con FIPS

El módulo YACC del paquete python-ply utiliza el algoritmo hash MD5 para generar la huella digital de una firma YACC. Sin embargo, el modo FIPS bloquea el uso de MD5, que sólo está permitido en contextos no relacionados con la seguridad. Como consecuencia, python-ply no es compatible con FIPS. En un sistema en modo FIPS, todas las llamadas a ply.yacc.yacc() fallan con el mensaje de error:

"UnboundLocalError: variable local 'sig' referenciada antes de la asignación"

"UnboundLocalError: variable local 'sig' referenciada antes de la asignación"

Copy to Clipboard

El problema afecta a python-pycparser y a algunos casos de uso de python-cffi. Para solucionar este problema, modifique la línea 2966 del archivo /usr/lib/python3.6/site-packages/ply/yacc.py, sustituyendo sig = md5() por sig = md5(usedforsecurity=False). Como resultado, python-ply puede utilizarse en modo FIPS.

(BZ#1747490)

6.7.14. Escritorio

Limitaciones de la sesión Wayland

Con Red Hat Enterprise Linux 8, el entorno GNOME y el Gestor de pantalla de GNOME (GDM) utilizan Wayland como tipo de sesión por defecto en lugar de la sesión X11, que se utilizaba con la versión principal anterior de RHEL.

Las siguientes funciones no están disponibles actualmente o no funcionan como se esperaba en Wayland:

Las configuraciones multi-GPU no son compatibles con Wayland.
las utilidades de configuración deX11, como xrandr, no funcionan bajo Wayland debido a su diferente enfoque en el manejo, resoluciones, rotaciones y diseño. Puede configurar las características de la pantalla utilizando los ajustes de GNOME.
La grabación de pantalla y el escritorio remoto requieren que las aplicaciones sean compatibles con la API del portal en Wayland. Algunas aplicaciones heredadas no son compatibles con la API del portal.
La accesibilidad del puntero no está disponible en Wayland.
No hay gestor de portapapeles disponible.
GNOME Shell en Wayland ignora las capturas de teclado emitidas por la mayoría de las aplicaciones heredadas de X11. Puede habilitar una aplicación de X11 para que emita pulsaciones de teclado utilizando la tecla GSettings de /org/gnome/mutter/wayland/xwayland-grab-access-rules. Por defecto, GNOME Shell en Wayland permite que las siguientes aplicaciones emitan pulsaciones de teclado:
- GNOME Boxes
- Vinagre
- Xephyr
- virt-manager, virt-viewer y remote-viewer
- vncviewer
Wayland dentro de máquinas virtuales (VM) invitadas tiene problemas de estabilidad y rendimiento. RHEL vuelve automáticamente a la sesión X11 cuando se ejecuta en una VM.

Si actualiza a RHEL 8 desde un sistema RHEL 7 en el que utilizaba la sesión de GNOME X11, su sistema sigue utilizando X11. El sistema también vuelve automáticamente a X11 cuando los siguientes controladores gráficos están en uso:

El controlador propietario de NVIDIA
El conductor de Cirrus
El conductor mga
El conductor de aspeed

Puede desactivar el uso de Wayland manualmente:

Para desactivar Wayland en GDM, establece la opción WaylandEnable=false en el archivo /etc/gdm/custom.conf.
Para desactivar Wayland en la sesión de GNOME, seleccione la opción de legado X11 utilizando el menú de rueda dentada en la pantalla de inicio de sesión después de introducir su nombre de usuario.

Para más detalles sobre Wayland, consulte https://wayland.freedesktop.org/.

(BZ#1797409)

Arrastrar y soltar no funciona entre el escritorio y las aplicaciones

Debido a un error en el paquete gnome-shell-extensions, la funcionalidad de arrastrar y soltar no funciona actualmente entre el escritorio y las aplicaciones. El soporte para esta función se añadirá de nuevo en una futura versión.

(BZ#1717947)

No es posible desactivar los repositorios flatpak desde los repositorios de software

Actualmente, no es posible desactivar o eliminar los repositorios flatpak en la herramienta de Repositorios de Software en la utilidad de Software de GNOME.

(BZ#1668760)

Las máquinas virtuales RHEL 8 de segunda generación a veces no arrancan en hosts Hyper-V Server 2016

Cuando se utiliza RHEL 8 como sistema operativo invitado en una máquina virtual (VM) que se ejecuta en un host Microsoft Hyper-V Server 2016, la VM en algunos casos no arranca y vuelve al menú de arranque GRUB. Además, se registra el siguiente error en el registro de eventos de Hyper-V:

El sistema operativo invitado informó que falló con el siguiente código de error: 0x1E

El sistema operativo invitado informó que falló con el siguiente código de error: 0x1E

Copy to Clipboard

Este error se produce debido a un error de firmware UEFI en el host de Hyper-V. Para solucionar este problema, utilice Hyper-V Server 2019 como host.

(BZ#1583445)

GNOME Shell on Wayland funciona con lentitud cuando se utiliza un renderizador de software

Cuando se utiliza un renderizador de software, GNOME Shell como compositor de Wayland (GNOME Shell on Wayland) no utiliza un framebuffer con caché para renderizar la pantalla. En consecuencia, GNOME Shell on Wayland es lento. Para solucionar el problema, vaya a la pantalla de inicio de sesión de GNOME Display Manager (GDM) y cambie a una sesión que utilice el protocolo X11. Como resultado, el servidor de pantalla Xorg, que utiliza memoria cacheable, es utilizado, y GNOME Shell on Xorg en la situación descrita se desempeña más rápido en comparación con GNOME Shell on Wayland.

(BZ#1737553)

La caída del sistema puede provocar la pérdida de la configuración de fadump

Este problema se observa en sistemas en los que el volcado asistido por el firmware (fadump) está habilitado y la partición de arranque se encuentra en un sistema de archivos con registro en el diario, como XFS. Un fallo del sistema puede hacer que el cargador de arranque cargue un initrd más antiguo que no tenga habilitado el soporte de captura de volcado. En consecuencia, después de la recuperación, el sistema no captura el archivo vmcore, lo que resulta en la pérdida de la configuración de fadump.

Para solucionar este problema:

Si /boot es una partición separada, realice lo siguiente:
1. Reinicie el servicio kdump
2. Ejecute los siguientes comandos como usuario root, o utilizando una cuenta de usuario con derechos CAP_SYS_ADMIN:
  # fsfreeze -f # fsfreeze -u
  Copy to Clipboard
Si /boot no es una partición separada, reinicie el sistema.

(BZ#1723501)

6.7.15. Infraestructuras gráficas

radeon no reinicia el hardware correctamente

El controlador del kernel de radeon actualmente no restablece el hardware en el contexto kexec correctamente. En su lugar, radeon se cae, lo que hace que el resto del servicio kdump falle.

Para solucionar este problema, ponga en la lista negra a radeon en kdump añadiendo la siguiente línea al archivo /etc/kdump.conf:

dracut_args --omit-drivers "radeon"
force_rebuild 1

dracut_args --omit-drivers "radeon"
force_rebuild 1

Copy to Clipboard

Reinicie la máquina y kdump. Después de iniciar kdump, la línea force_rebuild 1 puede ser eliminada del archivo de configuración.

Tenga en cuenta que en este escenario, no habrá gráficos disponibles durante kdump, pero kdump funcionará con éxito.

(BZ#1694705)

6.7.16. La consola web

Los usuarios sin privilegios pueden acceder a la página de suscripciones

Si una persona que no es administrador navega a la página Subscriptions de la consola web, la consola web muestra un mensaje de error genérico "Cockpit tuvo un error interno inesperado".

Para solucionar este problema, inicie sesión en la consola web con un usuario con privilegios y asegúrese de marcar la casilla Reuse my password for privileged tasks.

(BZ#1674337)

6.7.17. Virtualización

Falla el uso de cloud-init para aprovisionar máquinas virtuales en Microsoft Azure

Actualmente, no es posible utilizar la utilidad cloud-init para aprovisionar una máquina virtual (VM) RHEL 8 en la plataforma Microsoft Azure. Para solucionar este problema, utilice uno de los siguientes métodos:

Utilice el paquete WALinuxAgent en lugar de cloud-init para aprovisionar máquinas virtuales en Microsoft Azure.
Añada la siguiente configuración a la sección [main] del archivo /etc/NetworkManager/NetworkManager.conf:
```
[main]
dhcp=dhclient
```
```
[main]
dhcp=dhclient
```
Copy to Clipboard

(BZ#1641190)

Las máquinas virtuales de RHEL 8 en los hosts de RHEL 7 en algunos casos no se pueden ver en una resolución superior a 1920x1200

Actualmente, cuando se utiliza una máquina virtual (VM) RHEL 8 que se ejecuta en un sistema anfitrión RHEL 7, ciertos métodos de visualización de la salida gráfica de la VM, como la ejecución de la aplicación en modo quiosco, no pueden utilizar una resolución mayor de 1920x1200. Como consecuencia, la visualización de VMs utilizando esos métodos sólo funciona en resoluciones de hasta 1920x1200, incluso si el hardware del host soporta resoluciones mayores.

(BZ#1635295)

Bajo rendimiento de visualización de la GUI en máquinas virtuales RHEL 8 en un host Windows Server 2019

Cuando se utiliza RHEL 8 como sistema operativo invitado en modo gráfico en un host de Windows Server 2019, el rendimiento de visualización de la interfaz gráfica de usuario es bajo, y la conexión a una salida de consola del invitado actualmente tarda bastante más de lo esperado.

Este es un problema conocido en los hosts de Windows 2019 y está pendiente de una solución por parte de Microsoft. Para solucionar este problema, conéctese al invitado mediante SSH o utilice Windows Server 2016 como anfitrión.

(BZ#1706541)

La instalación de máquinas virtuales RHEL a veces falla

En determinadas circunstancias, las máquinas virtuales RHEL 7 y RHEL 8 creadas con la utilidad virt-install no arrancan si se utiliza la opción --location.

Para evitar este problema, utilice la opción --extra-args y especifique un árbol de instalación accesible por la red, por ejemplo:

--extra-args="inst.repo=https://some/url/tree/path"

--extra-args="inst.repo=https://some/url/tree/path"

Copy to Clipboard

Esto asegura que el instalador de RHEL encuentre los archivos de instalación correctamente.

(BZ#1677019)

La visualización de múltiples monitores de máquinas virtuales que utilizan Wayland no es posible con QXL

El uso de la utilidad remote-viewer para mostrar más de un monitor de una máquina virtual (VM) que está utilizando el servidor de visualización Wayland hace que la VM no responda y que se muestre indefinidamente el mensaje de estado Waiting for display.

Para solucionar este problema, utilice virtio-gpu en lugar de qxl como dispositivo GPU para las máquinas virtuales que utilizan Wayland.

(BZ#1642887)

los comandosvirsh iface-\* no funcionan consistentemente

Actualmente, los comandos virsh iface-*, como virsh iface-start y virsh iface-destroy, fallan frecuentemente debido a las dependencias de configuración. Por lo tanto, se recomienda no utilizar los comandos virsh iface-\* para configurar y gestionar las conexiones de red del host. En su lugar, utilice el programa NetworkManager y sus aplicaciones de gestión relacionadas.

(BZ#1664592)

La personalización de una VM ESXi utilizando cloud-init y el reinicio de la VM provoca la pérdida de la configuración de IP y hace que el arranque de la VM sea muy lento

Actualmente, si el servicio cloud-init se utiliza para modificar una máquina virtual (VM) que se ejecuta en el hipervisor VMware ESXi para utilizar IP estática y la VM se clona a continuación, la nueva VM clonada en algunos casos tarda mucho tiempo en reiniciarse. Esto se debe a que cloud-init reescribe la IP estática de la VM a DHCP y luego busca una fuente de datos disponible.

Para solucionar este problema, puede desinstalar cloud-init después de que la máquina virtual se inicie por primera vez. Como resultado, los siguientes reinicios no se ralentizarán.

(BZ#1666961, BZ#1706482)

Las máquinas virtuales RHEL 8 a veces no pueden arrancar en los hosts Witherspoon

Las máquinas virtuales (VMs) de RHEL 8 que utilizan el tipo de máquina pseries-rhel7.6.0-sxxm en algunos casos fallan al arrancar en hosts Power9 S922LC for HPC (también conocidos como Witherspoon) que utilizan la CPU DD2.2 o DD2.3.

Al intentar arrancar una máquina virtual de este tipo, se genera el siguiente mensaje de error:

qemu-kvm: El nivel de capacidad de bifurcación indirecta solicitada no está soportado por kvm

qemu-kvm: El nivel de capacidad de bifurcación indirecta solicitada no está soportado por kvm

Copy to Clipboard

Para solucionar este problema, configure la configuración XML de la máquina virtual como sigue:

<domain type='qemu' xmlns:qemu='http://libvirt.org/schemas/domain/qemu/1.0'>
  <qemu:commandline>
    <qemu:arg value='-machine'/>
    <qemu:arg value='cap-ibs=workaround'/>
  </qemu:commandline>

<domain type='qemu' xmlns:qemu='http://libvirt.org/schemas/domain/qemu/1.0'>
  <qemu:commandline>
    <qemu:arg value='-machine'/>
    <qemu:arg value='cap-ibs=workaround'/>
  </qemu:commandline>

Copy to Clipboard

(BZ#1732726, BZ#1751054)

Las máquinas virtuales IBM POWER no funcionan correctamente con nodos NUMA de memoria cero

Actualmente, cuando una máquina virtual (VM) IBM POWER que se ejecuta en un host RHEL 8 está configurada con un nodo NUMA que utiliza memoria cero(memory='0'), la VM no puede arrancar. Por lo tanto, Red Hat recomienda encarecidamente no utilizar VMs IBM POWER con nodos NUMA de memoria cero en RHEL 8.

(BZ#1651474)

La migración de un huésped POWER9 de un host RHEL 7-ALT a RHEL 8 falla

Actualmente, la migración de una máquina virtual POWER9 desde un sistema anfitrión RHEL 7-ALT a RHEL 8 no responde con un estado "Estado de la migración: activo".

Para solucionar este problema, desactive Transparent Huge Pages (THP) en el host RHEL 7-ALT, lo que permite que la migración se complete con éxito.

(BZ#1741436)

La topología de la CPU SMT no es detectada por las máquinas virtuales cuando se utiliza el modo de paso de host en AMD EPYC

Cuando una máquina virtual (VM) arranca con el modo de paso de host de CPU en un host AMD EPYC, la bandera de la función TOPOEXT CPU no está presente. En consecuencia, la VM no puede detectar una topología de CPU virtual con múltiples hilos por núcleo. Para solucionar este problema, inicie la máquina virtual con el modelo de CPU EPYC en lugar de con el modo de paso de host.

(BZ#1740002)

Las máquinas virtuales a veces no se inician cuando se utilizan muchos discos virtio-blk

Añadir un gran número de dispositivos virtio-blk a una máquina virtual (VM) puede agotar el número de vectores de interrupción disponibles en la plataforma. Si esto ocurre, el SO invitado de la VM falla al arrancar, y muestra un dracut-initqueue[392]: Advertencia: Error de no poder arrancar.

(BZ#1719687)

Capítulo 7. Cambios notables en los contenedores

Está disponible un conjunto de imágenes de contenedores para Red Hat Enterprise Linux (RHEL) 8.1. Los cambios notables incluyen:

Los contenedores sin raíz son totalmente compatibles con RHEL 8.1.
Los contenedores sin raíz son contenedores creados y gestionados por usuarios normales del sistema sin permisos administrativos. Esto permite a los usuarios mantener su identidad, incluyendo cosas como las credenciales para los registros de contenedores.
Puede probar los contenedores sin raíz utilizando los comandos podman y buildah. Para más información:
- para los contenedores sin raíz, véase Ejecutar contenedores como raíz o sin raíz.
- para buildah, ver Construir imágenes de contenedores con Buildah.
- para podman, consulte Construcción, ejecución y gestión de contenedores.
El paquete RPM toolbox es totalmente compatible con RHEL 8.1.
El comando toolbox es una utilidad que se utiliza a menudo con los sistemas operativos orientados a contenedores, como Red Hat CoreOS. Con toolbox, puede solucionar problemas y depurar sistemas operativos anfitriones lanzando un contenedor que incluye un gran conjunto de herramientas de solución de problemas para que usted las utilice, sin tener que instalar esas herramientas en el sistema anfitrión.
Ejecutar el comando toolbox inicia un contenedor rhel-tools que proporciona acceso root al host, para arreglar o trabajar de otra manera con ese host.
Para más información, consulte Solución de problemas de hosts de contenedores con la caja de herramientas.
Consulte la nueva documentación sobre Ejecución de contenedores con etiquetas de ejecución.
El paquete podman ha sido actualizado a la versión 1.4.2. Para obtener información sobre las características añadidas a podman desde la versión 1.0.0, que se utilizó en RHEL 8.0, consulte las descripciones de las últimas versiones depodman en Github.

Capítulo 8. Internacionalización

8.1. Idiomas internacionales de Red Hat Enterprise Linux 8

Red Hat Enterprise Linux 8 admite la instalación de varios idiomas y el cambio de idiomas en función de sus necesidades.

Lenguas de Asia oriental: japonés, coreano, chino simplificado y chino tradicional.
Idiomas europeos: inglés, alemán, español, francés, italiano, portugués y ruso.

La siguiente tabla enumera los tipos de letra y los métodos de entrada proporcionados para varios idiomas principales.

Idioma	Fuente por defecto (paquete de fuentes)	Métodos de entrada
Inglés	dejavu-sans-fonts
Francés	dejavu-sans-fonts
Alemán	dejavu-sans-fonts
Italiano	dejavu-sans-fonts
Ruso	dejavu-sans-fonts
Español	dejavu-sans-fonts
Portugués	dejavu-sans-fonts
Chino simplificado	google-noto-sans-cjk-ttc-fonts, google-noto-serif-cjk-ttc-fonts	ibus-libpinyin, libpinyin
Chino tradicional	google-noto-sans-cjk-ttc-fonts, google-noto-serif-cjk-ttc-fonts	ibus-libzhuyin, libzhuyin
Japonés	google-noto-sans-cjk-ttc-fonts, google-noto-serif-cjk-ttc-fonts	ibus-kkc, libkkc
Coreano	google-noto-sans-cjk-ttc-fonts, google-noto-serif-cjk-ttc-fonts	ibus-hangul, libhangu

8.2. Cambios notables en la internacionalización en RHEL 8

RHEL 8 introduce los siguientes cambios en la internacionalización en comparación con RHEL 7:

Se ha añadido la compatibilidad con el estándar informático Unicode 11.
La internacionalización se distribuye en múltiples paquetes, lo que permite realizar instalaciones de menor tamaño. Para más información, consulte Uso de paquetes de idiomas.
Las actualizaciones de los paquetes glibc para varias localizaciones están ahora sincronizadas con el repositorio de datos de localización común (CLDR).

Apéndice A. Lista de entradas por componente

Componente	Entradas
`NetworkManager-libreswan`	BZ#1697329
`anaconda`	BZ#1628653, BZ#1673901, BZ#1671047, BZ#1689909, BZ#1689194, BZ#1584145, BZ#1637472, BZ#1696609, BZ#1672405, BZ#1687747, BZ#1745064, BZ#1659400, BZ#1655523
`auditoría`	BZ#1730382
`authselect`	BZ#1657295
`bcc`	BZ#1667043
`binutils`	BZ#1618748, BZ#1644391, BZ#1525406, BZ#1659437
`bpftrace`	BZ#1687802
`chrony`	BZ#1685469
`cloud-init`	BZ#1641190, BZ#1666961
`cockpit-appstream`	BZ#1658847
`cabina de mando`	BZ#1631905, BZ#1678956, BZ#1657752, BZ#1678473, BZ#1666722
`corosync`	BZ#1693491
`criu`	BZ#1689746
`cripto-políticas`	BZ#1678661, BZ#1660839
`cryptsetup`	BZ#1676622
`distribución`	BZ#1685191, BZ#1657927
`dnf-plugins-core`	BZ#1722093
`dnsmasq`	BZ#1549507
`dyninst`	BZ#1648441
`elfutils`	BZ#1683705
	BZ#1664366
`fapolicyd`	BZ#1673323
`freeradius`	BZ#1685546
`frr`	BZ#1657029
`gcc-toolset-9`	BZ#1685482
`gcc`	BZ#1680182
`gdb`	BZ#1669953, BZ#1187581
`gdm`	BZ#1678627
`glibc`	BZ#1663035, BZ#1701605, BZ#1651283, BZ#1577438
`gnome-shell-extensions`	BZ#1717947
`gnome-shell`	BZ#1704360
`gnome-software`	BZ#1668760
`gnutls`	BZ#1628553
`grub2`	BZ#1583445, BZ#1723501
`configuración inicial`	BZ#1676439
`ipa`	BZ#1665051, JIRA:RHELPLAN-15036, BZ#1664719, BZ#1664718, BZ#1719767
`ipset`	BZ#1683711, BZ#1683713, BZ#1649090
`iptables`	BZ#1658734, BZ#1676968
`kernel-rt`	BZ#1678887
`núcleo`	BZ#1647723, BZ#1656787, BZ#1649087, BZ#1721386, BZ#1564427, BZ#1686755, BZ#1664969, BZ#1714111, BZ#1712272, BZ#1646810, BZ#1728519, BZ#1721961, BZ#1654962, BZ#1635295, BZ#1706541, BZ#1666538, BZ#1685894, BZ#1643980, BZ#1602962, BZ#1697310, BZ#1593711, BZ#1649647, BZ#1153521, BZ#1694705, BZ#1698297, BZ#1348508, BZ#1748451, BZ#1743456, BZ#1708456, BZ#1710480, BZ#1634343, BZ#1652222, BZ#1687459, BZ#1571628, BZ#1571534, BZ#1685552, BZ#1685427, BZ#1663281, BZ#1664359, BZ#1677215, BZ#1659399, BZ#1665717, BZ#1581898, BZ#1519039, BZ#1627455, BZ#1501618, BZ#1401552, BZ#1495358, BZ#1633143, BZ#1503672, BZ#1505999, BZ#1570255, BZ#1696451, BZ#1665295, BZ#1658840, BZ#1660627, BZ#1569610
`kexec-tools`	BZ#1662911, BZ#1750278, BZ#1520209, BZ#1710288
`keycloak-httpd-client-install`	BZ#1553890
`kmod-kvdo`	BZ#1696492, BZ#1737639
`kpatch`	BZ#1763780
`libcacard`	BZ#1615840
`libdnf`	BZ#1697472
`libgnome-keyring`	BZ#1607766
`módulo libselinux-python-2.8`	BZ#1666328
`libsemanage`	BZ#1672638
`libssh`	BZ#1610883
`libstoragemgmt`	BZ#1626415
`libvirt`	BZ#1664592, BZ#1526548, BZ#1528684
`linuxptp`	BZ#1677217, BZ#1685467
`lorax`	BZ#1663950, BZ#1709594, BZ#1689140
`lvm2`	BZ#1649086
`módulo mariadb-10.3`	BZ#1657053
`murmurar`	BZ#1737553
`nfs-utils`	BZ#1668026, BZ#1592011
`nginx`	BZ#1668717, BZ#1690292
`nmstate`	BZ#1674456
`nss`	BZ#1724250, BZ#1645153
`openmpi`	BZ#1717289
`openscap`	BZ#1642373, BZ#1618489, BZ#1646197, BZ#1718826, BZ#1709429
`openssh`	BZ#1683295, BZ#1671262, BZ#1651763, BZ#1744108, BZ#1691045
`openssl`	BZ#1685470, BZ#1681178, BZ#1749068
`oscap-anaconda-addon`	BZ#1674001, BZ#1691305
`marcapasos`	BZ#1715426
`pcp`	BZ#1685302
`pcs`	BZ#1619620
`perl-IO-Socket-SSL`	BZ#1632600
`perl-Net-SSLeay`	BZ#1632597
`perl-Socket`	BZ#1699793
`módulo php-7.2`	BZ#1670386
`php`	BZ#1653109
`pki-core`	BZ#1695302, BZ#1673296, BZ#1729215
`pykickstart`	BZ#1637872
`pitón-ply`	BZ#1747490
`python-wheel`	BZ#1731526
`pitón3`	BZ#1731424
`qemu-kvm`	BZ#1619884, BZ#1689216, BZ#1651474, BZ#1740002, BZ#1719687, BZ#1651994
`redhat-support-tool`	BZ#1688274
`rhel-system-roles-sap`	BZ#1660832
`rhel-system-roles`	BZ#1691966
`rng-tools`	BZ#1692435
`rpm`	BZ#1688849
`rsyslog`	JIRA:RHELPLAN-10431, BZ#1659383, BZ#1679512, BZ#1614181
`rt-tests`	BZ#1686494, BZ#1707505, BZ#1666351
`módulo ruby-2.6`	BZ#1672575
`s390utils`	BZ#1750326
`samba`	BZ#1638001, JIRA:RHELPLAN-13195
`scap-guía de seguridad`	BZ#1741455, BZ#1754919, BZ#1750755, BZ#1718839
`scap-workbench`	BZ#1640715
`selinux-policy`	BZ#1673269, BZ#1671241, BZ#1683642, BZ#1641631, BZ#1746398, BZ#1673107, BZ#1684103, BZ#1673056
`setools`	BZ#1672631
`configuración`	BZ#1663556
`squashfs-tools`	BZ#1716278
`sssd`	BZ#1448094, BZ#1081046, BZ#1657665, BZ#1652562, BZ#1669407, BZ#1447945, BZ#1382750, BZ#1754871
`gestor de suscripciones`	BZ#1674337
`systemd`	BZ#1658691, BZ#1686892, BZ#1640802
`systemtap`	BZ#1675740
`tpm2-abrmd-selinux`	BZ#1642000
`tpm2-tools`	BZ#1664498
`afinado`	BZ#1685585
`udica`	BZ#1763210, BZ#1673643
`valgrind`	BZ#1683715
`vdo`	BZ#1669534
`virt-manager`	BZ#1677019
`virtio-win`	BZ#1223668
`xorg-x11-drv-qxl`	BZ#1642887
`servidor xorg-x11`	BZ#1687489, BZ#1698565
otros	BZ#1640697, BZ#1623712, BZ#1745507, BZ#1659609, BZ#1697896, BZ#1732726, JIRA:RHELPLAN-2542, JIRA:RHELPLAN-13066, JIRA:RHELPLAN-13074, BZ#1731502, BZ#1649493, BZ#1718422, JIRA:RHELPLAN-7109, JIRA:RHELPLAN-13068, JIRA:RHELPLAN-13960, JIRA:RHELPLAN-13649, JIRA:RHELPLAN-12811, BZ#1766186, BZ#1741531, BZ#1721683, BZ#1690207, JIRA:RHELPLAN-1212, BZ#1559616, BZ#1699825, JIRA:RHELPLAN-14047, BZ#1769727, BZ#1642765, JIRA:RHELPLAN-10304, BZ#1646541, BZ#1647725, BZ#1686057, BZ#1748980

Apéndice B. Historial de revisiones

0.2-1

Thu Feb 04 2021, Lucie Maňásková(lmanasko@redhat.com)

Se ha añadido un problema conocido (Virtualización).

0.2-0

Thu Jan 28 2021, Lucie Maňásková(lmanasko@redhat.com)

Se ha actualizado el capítulo de novedades.
Se ha actualizado el capítulo de avances tecnológicos.

0.1-9

Thu Dec 10 2020, Lenka Špačková(lspackova@redhat.com)

Se ha añadido información sobre el manejo de GPOs de AD en SSSD a Nuevas características (Gestión de identidades).

0.1-8

Tue Dec 01, 2020 Lucie Maňásková(lmanasko@redhat.com)

Se ha añadido una corrección de errores para el problema con fapolicyd (Seguridad).

0.1-7

Fri Oct 30 2020, Lenka Špačková(lspackova@redhat.com)

Se ha actualizado la descripción de Application Streams en la sección de Repositorios.

0.1-6

Tue Sep 15 2020, Jaroslav Klech(jklech@redhat.com)

Se ha añadido un problema conocido a la sección del kernel.

0.1-5

Tue Apr 28 2020, Lenka Špačková(lspackova@redhat.com)

Se ha actualizado la información sobre las actualizaciones in situ en la vista general.

0.1-4

Thu Apr 09 2020, Lenka Špačková(lspackova@redhat.com)

Se han añadido dos problemas conocidos (Seguridad).
Comandos unificados para la instalación de módulos.

0.1-3

Mar Mar 31 2020, Lenka Špačková(lspackova@redhat.com)

Se ha añadido una nueva función relacionada con los pcs.

0.1-2

Fri Mar 27 2020, Lucie Maňásková(lmanasko@redhat.com)

Se ha movido una descripción de la vista previa de la tecnología que estaba mal colocada al capítulo correcto.

0.1-1

Fri Mar 20 2020, Lenka Špačková(lspackova@redhat.com)

Actualizado un comando para instalar el módulo jmc:rhel8.

0.1-0

Thu Mar 12 2020, Lenka Špačková(lspackova@redhat.com)

Información actualizada sobre los roles del sistema RHEL.

0.0-9

Fri Mar 06 2020, Jaroslav Klech(jklech@redhat.com)

Proporcionó cambios importantes en los capítulos de Parámetros del Núcleo Externo y Nuevos Controladores.

0.0-8

Wed Feb 12 2020, Jaroslav Klech(jklech@redhat.com)

Proporcionó una versión completa del núcleo a los capítulos de Arquitecturas y Nuevas Características.

0.0-7

Mar Feb 04 2020, Lucie Maňásková(lmanasko@redhat.com)

Notas de la versión de Red Hat Enterprise Linux 8.1.1.

0.0-6

Thu Jan 23 2020, Lucie Maňásková(lmanasko@redhat.com)

Se ha actualizado la sección de avances tecnológicos.

0.0-5

Fri Dec 20 2019, Lucie Maňásková(lmanasko@redhat.com)

Se ha añadido una nota sobre el rebase de rhel-system-roles-sap a la versión 1.1.1 (System Roles).
Se ha añadido una nota en la que se indica que el gestor de suscripciones informa ahora de los valores de la función, el uso y el complemento (Gestión de suscripciones).
Notas actualizadas relacionadas con Extended Berkeley Packet Filter (eBPF) (Kernel).

0.0-4

Tue Dec 03 2019, Lucie Maňásková(lmanasko@redhat.com)

Se ha añadido un problema conocido relacionado con fadump (Kernel).

0.0-3

Mar Nov 26 2019, Lucie Maňásková(lmanasko@redhat.com)

Se ha actualizado la sección de correcciones de errores.
Se ha actualizado la sección de avances tecnológicos.
Se ha añadido un problema conocido relacionado con irqpoll (Kernel).

0.0-2

Thu Nov 14 2019, Lucie Maňásková(lmanasko@redhat.com)

Se ha añadido una nota en la que se indica que el TIPC ya es totalmente compatible.
Se ha añadido una nota en la que se indica que bcc-tool es ahora compatible únicamente con las arquitecturas x86_64.
Actualizado el resumen con información sobre la aplicación de parches en vivo para el kernel, kpatch.
Se ha actualizado la sección de avances tecnológicos.

0.0-1

Mar Nov 05 2019, Lucie Maňásková(lmanasko@redhat.com)

Publicación de las notas de la versión de Red Hat Enterprise Linux 8.1.

0.0-0

Wed Jul 24 2019, Lucie Maňásková(lmanasko@redhat.com)

Publicación de las notas de la versión beta de Red Hat Enterprise Linux 8.1.