Red Hat Summit Red Hat SummitApoyoConsolaDesarrolladoresIniciar una pruebaContacto

Capítulo 6. Lanzamiento de RHEL 8.1.0

6.1. Nuevas características

Esta parte describe las nuevas características y las principales mejoras introducidas en Red Hat Enterprise Linux 8.1.

6.1.1. Creación del instalador y de la imagen

Ahora se pueden desactivar los módulos durante la instalación de Kickstart

Con esta mejora, los usuarios pueden ahora deshabilitar un módulo para evitar la instalación de paquetes del módulo. Para desactivar un módulo durante la instalación de Kickstart, utilice el comando:

module --name=foo --stream=bar --disable

(BZ#1655523)

Ya está disponible el soporte de la sección repo.git a los blueprints

Una nueva sección repo.git blueprint permite a los usuarios incluir archivos adicionales en su construcción de imágenes. Los archivos deben estar alojados en un repositorio git que sea accesible desde el servidor de construcción de lorax-composer.

(BZ#1709594)

Image Builder ahora admite la creación de imágenes para más proveedores de nubes

Con esta actualización, el generador de imágenes ha ampliado el número de proveedores de nube para los que el generador de imágenes puede crear una imagen. Como resultado, ahora puede crear imágenes de RHEL que se pueden desplegar también en Google Cloud y Alibaba Cloud, así como ejecutar las instancias personalizadas en estas plataformas.

(BZ#1689140)

6.1.2. Gestión del software

dnf-utils ha sido renombrado a yum-utils

Con esta actualización, el paquete dnf-utils, que forma parte de la pila YUM, ha sido renombrado a yum-utils. Por razones de compatibilidad, el paquete puede seguir instalándose con el nombre dnf-utils, y sustituirá automáticamente al paquete original cuando se actualice el sistema.

(BZ#1722093)

6.1.3. Gestión de suscripciones

subscription-manager ahora informa de los valores de rol, uso y complementos

Con esta actualización, el gestor de suscripciones ahora puede mostrar los valores de Rol, Uso y Complementos para cada suscripción disponible en la organización actual, que esté registrada en el Portal del Cliente o en el Satélite.

  • Para mostrar las suscripciones disponibles con la adición de los valores de Rol, Uso y Complementos para esas suscripciones utilice:

    Copy to Clipboard Toggle word wrap 
    # subscription-manager list --available

  • Para mostrar las suscripciones consumidas incluyendo los valores adicionales de Rol, Uso y Complementos utilice:

    Copy to Clipboard Toggle word wrap 
    # subscription-manager list --consumed

(BZ#1665167)

6.1.4. Servicios de infraestructura

reajustado a la versión 2.12

Los paquetes ajustados se han actualizado a la versión 2.12 de la corriente principal, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior, especialmente:

  • Se ha corregido la manipulación de los dispositivos que se han retirado y vuelto a colocar.
  • Se ha añadido soporte para la negación de la lista de CPUs.
  • Se ha mejorado el rendimiento de la configuración de los parámetros del kernel en tiempo de ejecución cambiando la herramienta sysctl por una nueva implementación específica de Tuned.

(BZ#1685585)

chrony rebasado a la versión 3.5

Los paquetes chrony han sido actualizados a la versión 3.5, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior, especialmente:

  • Se ha añadido soporte para una sincronización más precisa del reloj del sistema con la marca de tiempo del hardware en el kernel RHEL 8.1.
  • La marca de tiempo por hardware ha recibido importantes mejoras.
  • Se ha ampliado la gama de intervalos de sondeo disponibles.
  • Se ha añadido la opción de filtro a las fuentes NTP.

(BZ#1685469)

Nueva pila de protocolos de enrutamiento FRRouting está disponible

Con esta actualización, Quagga ha sido sustituido por Free Range Routing (FRRouting, o FRR), que es una nueva pila de protocolos de enrutamiento. FRR es proporcionado por el paquete frr disponible en el repositorio AppStream.

FRR proporciona servicios de enrutamiento basados en TCP/IP con soporte para múltiples protocolos de enrutamiento IPv4 e IPv6, como BGP, IS-IS, OSPF, PIM y RIP.

Con FRR instalado, el sistema puede actuar como un router dedicado, que intercambia información de enrutamiento con otros routers de la red interna o externa.

Para más información, consulte Configuración de los protocolos de enrutamiento para su sistema.

(BZ#1657029)

GNU enscript ahora soporta la codificación ISO-8859-15

Con esta actualización, se ha añadido soporte para la codificación ISO-8859-15 en el programa GNU enscript.

(BZ#1664366)

Mejora de la precisión de la medición del desfase del reloj del sistema en phc2sys

El programa phc2sys de los paquetes linuxptp soporta ahora un método más preciso para medir el desfase del reloj del sistema.

(BZ#1677217)

ptp4l ahora admite interfaces de equipo en modo de respaldo activo

Con esta actualización, se ha añadido en PTP Boundary/Ordinary Clock (ptp4l) la compatibilidad con interfaces de equipo en modo de respaldo activo.

(BZ#1685467)

La sincronización de la hora PTP en las interfaces macvlan es ahora compatible

Esta actualización añade soporte para la marca de tiempo por hardware en las interfaces macvlan en el kernel de Linux. Como resultado, las interfaces macvlan ahora pueden utilizar el Protocolo de Tiempo de Precisión (PTP) para la sincronización de tiempo.

(BZ#1664359)

6.1.5. Seguridad

Nuevo paquete: fapolicyd

El marco de software fapolicyd introduce una forma de listas blancas y negras de aplicaciones basada en una política definida por el usuario. La función de lista blanca de aplicaciones proporciona una de las formas más eficaces de evitar la ejecución de aplicaciones no fiables y posiblemente maliciosas en el sistema.

El marco fapolicyd proporciona los siguientes componentes:

  • servicio defapolicía
  • utilidades de línea de comandosfapolicyd
  • pluginyum
  • lenguaje de reglas

El administrador puede definir las reglas de ejecución de permitir y denegar, ambas con posibilidad de auditoría, basadas en una ruta, hash, tipo MIME o confianza para cualquier aplicación.

Tenga en cuenta que cada configuración de fapolicyd afecta al rendimiento general del sistema. El impacto en el rendimiento varía dependiendo del caso de uso. La lista blanca de aplicaciones ralentiza las llamadas al sistema open() y exec(), por lo que afecta principalmente a las aplicaciones que realizan dichas llamadas al sistema con frecuencia.

Consulte la sección Configuración y gestión de listas blancas de aplicaciones en el título de endurecimiento de la seguridad de RHEL 8 y las páginas de manual fapolicyd(8), fapolicyd.rules(5) y fapolicyd.conf(5) para obtener más información.

(BZ#1673323)

Nuevo paquete: udica

El nuevo paquete udica proporciona una herramienta para generar políticas SELinux para contenedores. Con udica, puede crear una política de seguridad a medida para controlar mejor cómo un contenedor accede a los recursos del sistema anfitrión, como el almacenamiento, los dispositivos y la red. Esto le permite endurecer sus despliegues de contenedores contra las violaciones de la seguridad y también simplifica la consecución y el mantenimiento del cumplimiento normativo.

Consulte la sección Creación de políticas SELinux para contenedores en el título RHEL 8 Using SELinux para obtener más información.

(BZ#1673643)

Las herramientas del espacio de usuario de SELinux se han actualizado a la versión 2.9

Las herramientas de espacio de usuario de SELinux libsepol, libselinux, libsemanage, policycoreutils, checkpolicy y mcstrans se han actualizado a la última versión 2.9, que proporciona muchas correcciones de errores y mejoras con respecto a la versión anterior.

(BZ#1672638, BZ#1672642, BZ#1672637, BZ#1672640, BZ#1672635, BZ#1672641)

SETools actualizado a la versión 4.2.2

La colección de herramientas y bibliotecas SETools se ha actualizado a la última versión 4.2.2, que aporta los siguientes cambios:

  • Se han eliminado las referencias a las políticas de origen de las páginas de manual, ya que la carga de las políticas de origen ya no está soportada
  • Se ha corregido una regresión de rendimiento en la carga de alias

(BZ#1672631)

selinux-policy rebasado a 3.14.3

El paquete selinux-policy ha sido actualizado a la versión 3.14.3, que proporciona una serie de correcciones de errores y mejoras en las reglas de permiso con respecto a la versión anterior.

(BZ#1673107)

Un nuevo tipo SELinux: boltd_t

Un nuevo tipo de SELinux, boltd_t, confina a boltd, un demonio del sistema para gestionar dispositivos Thunderbolt 3. Como resultado, boltd ahora se ejecuta como un servicio confinado en el modo de aplicación de SELinux.

(BZ#1684103)

Una nueva clase de política SELinux: bpf

Se ha introducido una nueva clase de política de SELinux, bpf. La clase bpf permite a los usuarios controlar el flujo del Filtro de Paquetes Berkeley (BPF) a través de SElinux, y permite la inspección y la manipulación sencilla de los programas y mapas del Filtro de Paquetes Berkeley Extendido (eBPF) controlados por SELinux.

(BZ#1673056)

OpenSCAP se ha actualizado a la versión 1.3.1

Los paquetes de openscap se han actualizado a la versión 1.3.1, que proporciona muchas correcciones de errores y mejoras con respecto a la versión anterior, sobre todo:

  • Compatibilidad con flujos de datos de origen SCAP 1.3: evaluación, esquemas XML y validación
  • Los archivos de adaptación se incluyen en los archivos de resultados del ARF
  • Los detalles de OVAL se muestran siempre en los informes HTML, los usuarios no tienen que proporcionar la opción --oval-results
  • El reporte HTML muestra los detalles de las pruebas de OVAL también para las pruebas de OVAL incluidas desde otras definiciones de OVAL usando el elemento OVAL extend_definition
  • Los IDs de las pruebas de OVAL se muestran en los informes HTML
  • Los ID de las reglas se muestran en las guías HTML

(BZ#1718826)

OpenSCAP ahora es compatible con SCAP 1.3

La suite OpenSCAP soporta ahora flujos de datos conformes a la última versión del estándar SCAP: SCAP 1.3. Ahora puede utilizar los flujos de datos SCAP 1.3, como los contenidos en el paquete scap-security-guide, de la misma manera que los flujos de datos SCAP 1.2 sin ninguna restricción adicional de uso.

(BZ#1709429)

scap-security-guide rebasado a la versión 0.1.46

The scap-security-guide packages have been upgraded to upstream version 0.1.46, which provides many bug fixes and enhancements over the previous version, most notably: * SCAP content conforms to the latest version of SCAP standard, SCAP 1.3 * SCAP content supports UBI images

(BZ#1718839)

OpenSSH rebasado a 8.0p1

Los paquetes openssh han sido actualizados a la versión 8.0p1, que proporciona muchas correcciones de errores y mejoras con respecto a la versión anterior, sobre todo:

  • Aumento del tamaño de la clave RSA por defecto a 3072 bits para la herramienta ssh-keygen
  • Se ha eliminado la compatibilidad con la opción de configuración ShowPatchLevel
  • Se han aplicado numerosas correcciones del código de intercambio de claves de GSSAPI, como la corrección de los procedimientos de limpieza de Kerberos
  • Se ha eliminado la vuelta al contexto SELinux sshd_net_t
  • Se ha añadido soporte para los bloques finales de Match
  • Corregidos problemas menores en el comando ssh-copy-id
  • Se han corregido vulnerabilidades y exposiciones comunes (CVE) relacionadas con la utilidad scp (CVE-2019-6111, CVE-2018-20685, CVE-2019-6109)

Tenga en cuenta que esta versión introduce una incompatibilidad menor de scp como mitigación de CVE-2019-6111. Si sus scripts dependen de expansiones avanzadas de bash de la ruta durante una descarga de scp, puede utilizar el modificador -T para desactivar estas mitigaciones temporalmente cuando se conecte a servidores de confianza.

(BZ#1691045)

libssh ahora cumple con las políticas criptográficasde todo el sistema

El cliente y el servidor de libssh ahora cargan automáticamente el archivo /etc/libssh/libssh_client.config y el /etc/libssh/libssh_server.config, respectivamente. Este archivo de configuración incluye las opciones establecidas por el componente crypto-policies de todo el sistema para el back-end de libssh y las opciones establecidas en el archivo de configuración /etc/ssh/ssh_config o /etc/ssh/sshd_config OpenSSH. Con la carga automática del archivo de configuración, libssh ahora utiliza la configuración criptográfica de todo el sistema establecida por crypto-policies. Este cambio simplifica el control sobre el conjunto de algoritmos criptográficos utilizados por las aplicaciones.

(BZ#1610883, BZ#1610884)

Existe una opción para que rsyslog conserve el caso de FROMHOST

Esta actualización del servicio rsyslog introduce la opción de gestionar la preservación de mayúsculas y minúsculas de la propiedad FROMHOST para los módulos imudp e imtcp. Al establecer el valor de preservecase en on, la propiedad FROMHOST se gestiona de forma sensible a las mayúsculas y minúsculas. Para evitar romper las configuraciones existentes, los valores por defecto de preservecase son on para imtcp y off para imudp.

(BZ#1614181)

6.1.6. Red

El descubrimiento de PMTU y la redirección de rutas son ahora compatibles con los túneles VXLAN y GENEVE

El kernel de Red Hat Enterprise Linux (RHEL) 8.0 no manejaba los mensajes del Protocolo de Mensajes de Control de Internet (ICMP) e ICMPv6 para los túneles de Virtual Extensible LAN (VXLAN) y Generic Network Virtualization Encapsulation (GENEVE). Como consecuencia, el descubrimiento de Path MTU (PMTU) y la redirección de rutas no eran compatibles con los túneles VXLAN y GENEVE en las versiones de RHEL anteriores a la 8.1. Con esta actualización, el kernel gestiona los mensajes de error ICMP "Destino inalcanzable" y "Mensaje de redirección", así como los mensajes de error ICMPv6 "Paquete demasiado grande" y "Destino inalcanzable", ajustando la PMTU y modificando la información de reenvío. Como resultado, RHEL 8.1 soporta el descubrimiento de PMTU y la redirección de rutas con túneles VXLAN y GENEVE.

(BZ#1652222)

Cambios notables en las funciones XDP y eBPF de red en el núcleo

Las funciones XDP y eBPF de red del paquete del núcleo se han actualizado a la versión 5.0, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior:

  • los programas eBPF pueden ahora interactuar mejor con la pila TCP/IP, realizar la disección de flujos, disponer de una gama más amplia de ayudantes bpf y tener acceso a nuevos tipos de mapas.
  • Los metadatos XDP están ahora disponibles para los sockets AF_XDP.

(BZ#1687459)

El nuevo control PTP_SYS_OFFSET_EXTENDED para ioctl() mejora la precisión de la medición del sistema-PHC ofsets

Esta mejora añade el control PTP_SYS_OFFSET_EXTENDED para realizar mediciones más precisas del desfase del reloj de hardware (PHC) del protocolo de tiempo de precisión (PTP) del sistema a la función ioctl(). El control PTP_SYS_OFFSET que, por ejemplo, utiliza el servicio chrony para medir el desfase entre un PHC y el reloj del sistema no es lo suficientemente preciso. Con el nuevo control PTP_SYS_OFFSET_EXTENDED, los controladores pueden aislar la lectura de los bits más bajos. Esto mejora la precisión del offset medido. Los controladores de red suelen leer varios registros PCI, y el controlador no lee los bits más bajos de la marca de tiempo PHC entre dos lecturas del reloj del sistema.

(BZ#1677215)

ipset rebasado a la versión 7.1

Los paquetes ipset han sido actualizados a la versión 7.1, que proporciona una serie de correcciones de errores y mejoras respecto a la versión anterior:

  • La versión 7 del protocolo ipset introduce las operaciones IPSET_CMD_GET_BYNAME e IPSET_CMD_GET_BYINDEX. Además, el componente del espacio de usuario puede ahora detectar el nivel de compatibilidad exacto que soporta el componente del núcleo.
  • Se ha corregido un número importante de errores, como las fugas de memoria y los errores de uso después de la liberación.

(BZ#1649090)

6.1.7. Núcleo

Versión del núcleo en RHEL 8.1

Red Hat Enterprise Linux 8.1 se distribuye con la versión 4.18.0-147 del kernel.

(BZ#1797671)

Ya está disponible la aplicación de parches en vivo para el kernel

La aplicación de parches en vivo para el kernel, kpatch, proporciona un mecanismo para parchear el kernel en ejecución sin reiniciar ningún proceso. Los parches en vivo para el kernel se proporcionarán para determinados flujos de versiones menores de RHEL cubiertos por la política de Soporte de Actualización Extendido (EUS ) para remediar los CVEs Críticos e Importantes.

Para suscribirse al flujo de kpatch para la versión RHEL 8.1 del núcleo, instale el paquete kpatch-patch-4_18_0-147 proporcionado por el aviso RHEA-2019:3695.

Para más información, consulte Aplicación de parches con live patching del kernel en Gestión, supervisión y actualización del kernel.

(BZ#1763780)

Extended Berkeley Packet Filter en RHEL 8

Extended Berkeley Packet Filter (eBPF) es una máquina virtual dentro del núcleo que permite la ejecución de código en el espacio del núcleo, en el entorno restringido de la caja de arena con acceso a un conjunto limitado de funciones. La máquina virtual ejecuta un código especial de tipo ensamblador. A continuación, el código se carga en el núcleo y se traduce al código máquina nativo con una compilación "justo a tiempo". Hay numerosos componentes suministrados por Red Hat que utilizan la máquina virtual eBPF. Cada componente se encuentra en una fase de desarrollo diferente y, por lo tanto, no todos los componentes son actualmente totalmente compatibles.

En RHEL 8.1, el paquete de herramientas BPF Compiler Collection (BCC) es totalmente compatible con las arquitecturas de 64 bits de AMD e Intel. El paquete de herramientas BCC es una colección de utilidades de rastreo dinámico del núcleo que utilizan la máquina virtual eBPF.

Los siguientes componentes de eBPF están actualmente disponibles como Muestra de Tecnología:

  • El paquete de herramientas BCC en las siguientes arquitecturas: la arquitectura ARM de 64 bits, IBM Power Systems, Little Endian e IBM Z
  • La biblioteca BCC en todas las arquitecturas
  • El lenguaje de rastreo bpftrace
  • La función eXpress Data Path (XDP)

Para más detalles sobre los componentes de la Muestra de Tecnología, consulte Sección 6.5.2, “Núcleo”.

(BZ#1780124)

Red Hat Enterprise Linux 8 ahora es compatible con kdump temprano

La función de kdump temprano permite que el kernel de colisión y el initramfs se carguen lo suficientemente temprano como para capturar la información del vmcore, incluso en el caso de colisiones tempranas.

Para más detalles sobre early kdump, consulte el archivo /usr/share/doc/kexec-tools/early-kdump-howto.txt.

(BZ#1520209)

RHEL 8 ahora soporta ipcmni_extend

Se ha añadido un nuevo parámetro de línea de comandos del kernel , ipcmni_extend, a Red Hat Enterprise Linux 8. El parámetro amplía un número de identificadores únicos de comunicación entre procesos (IPC) del Sistema V desde el máximo actual de 32 KB (15 bits) hasta 16 MB (24 bits). Como resultado, los usuarios cuyas aplicaciones producen muchos segmentos de memoria compartida son capaces de crear un identificador IPC más fuerte sin exceder el límite de 32 KB.

Tenga en cuenta que, en algunos casos, el uso de ipcmni_extend supone una pequeña sobrecarga de rendimiento y sólo debería utilizarse si las aplicaciones necesitan más de 32 KB de identificador único de IPC.

(BZ#1710480)

El código de inicialización de la memoria persistente admite la inicialización en paralelo

El código de inicialización de la memoria persistente permite la inicialización paralela en sistemas con múltiples nodos de memoria persistente. La inicialización paralela reduce en gran medida el tiempo total de inicialización de la memoria en sistemas con grandes cantidades de memoria persistente. Como resultado, estos sistemas pueden ahora arrancar mucho más rápido.

(BZ#1634343)

La herramienta de espacio de usuario TPM ha sido actualizada a la última versión

La herramienta de espacio de usuario tpm2-tools ha sido actualizada a la versión 2.0. Con esta actualización, tpm2-tools es capaz de corregir muchos defectos.

(BZ#1664498)

El demonio rngd ahora puede ejecutarse con privilegios de no-root

El demonio generador de números aleatorios(rngd) comprueba si los datos suministrados por la fuente de aleatoriedad son suficientemente aleatorios y, a continuación, almacena los datos en la reserva de entropía de números aleatorios del kernel. Con esta actualización, rngd puede ejecutarse con privilegios de usuario no root para mejorar la seguridad del sistema.

(BZ#1692435)

Soporte completo para el controlador ibmvnic

Con la introducción de Red Hat Enterprise Linux 8.0, el controlador de interfaz de red virtual de IBM (vNIC) para arquitecturas IBM POWER, ibmvnic, estaba disponible como Technology Preview. vNIC es una tecnología de red virtual PowerVM que ofrece capacidades empresariales y simplifica la gestión de la red. Se trata de una tecnología eficiente y de alto rendimiento que, cuando se combina con SR-IOV NIC, proporciona capacidades de calidad de servicio (QoS) de control de ancho de banda a nivel de NIC virtual. vNIC reduce significativamente la sobrecarga de virtualización, lo que se traduce en menores latencias y menos recursos de servidor, incluyendo la CPU y la memoria, necesarios para la virtualización de la red.

A partir de Red Hat Enterprise Linux 8.1 el controlador de dispositivo ibmvnic es totalmente compatible con los sistemas IBM POWER9.

(BZ#1665717)

Software de host Intel ® Omni-Path Architecture (OPA)

El software de host Intel Omni-Path Architecture (OPA) es totalmente compatible con Red Hat Enterprise Linux 8.1. Intel OPA proporciona hardware Host Fabric Interface (HFI) con inicialización y configuración para transferencias de datos de alto rendimiento (alto ancho de banda, alta tasa de mensajes, baja latencia) entre nodos de computación y E/S en un entorno de clúster.

Para obtener instrucciones sobre la instalación de la documentación de la Arquitectura Intel Omni-Path, consulte: https://cdrdv2.intel.com/v1/dl/getContent/616368

(BZ#1766186)

UBSan ha sido habilitado en el kernel de depuración en RHEL 8

La utilidad Undefined Behavior Sanitizer(UBSan) expone los fallos de comportamiento indefinido en los lenguajes de código C en tiempo de ejecución. Esta utilidad se ha habilitado en el núcleo de depuración porque el comportamiento del compilador era, en algunos casos, diferente a las expectativas de los desarrolladores. Especialmente, en el caso de la optimización del compilador, donde aparecían fallos sutiles y oscuros. Como resultado, ejecutar el kernel de depuración con UBSan habilitado permite al sistema detectar fácilmente dichos errores.

(BZ#1571628)

La infraestructura de fadump ahora soporta el re-registro en RHEL 8

Se ha añadido el soporte para el re-registro (desregistro y registro) de la infraestructura de volcado asistida por firmware(fadump) después de cualquier operación de adición/remoción de memoria en caliente para actualizar los rangos de memoria de choque. El objetivo de esta función es evitar que el sistema sufra posibles problemas de carrera durante el desregistro y el registro de fadump desde el espacio de usuario durante los eventos de udev.

(BZ#1710288)

La secuencia de comandos determine_maximum_mpps.sh se ha introducido en RHEL for Real Time 8

Se ha introducido el script determine_maximum_mpps.sh para ayudar a utilizar el programa de pruebas queuelat. El script ejecuta queuelat para determinar el máximo de paquetes por segundo que puede manejar una máquina.

(BZ#1686494)

el árbol de fuentes dekernel-rt ahora coincide con el último árbol de RHEL 8

Las fuentes de kernel-rt han sido actualizadas para basarse en el último árbol de fuentes del kernel de Red Hat Enterprise Linux, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior.

(BZ#1678887)

Se ha añadido la prueba ssdd a RHEL for Real Time 8

Se ha añadido la prueba ssdd para permitir la prueba de estrés del subsistema de rastreo. La prueba ejecuta múltiples hilos de rastreo para verificar que el bloqueo es correcto dentro del sistema de rastreo.

(BZ#1666351)

6.1.8. Habilitación de hardware

El modo de memoria para la tecnología Optane DC Persistent Memory es totalmente compatible

Los dispositivos de almacenamiento de memoria persistente Intel Optane DC proporcionan una tecnología de memoria persistente de clase de centro de datos, que puede aumentar significativamente el rendimiento de las transacciones.

Para utilizar la tecnología del Modo Memoria, su sistema no necesita ningún controlador especial ni certificación específica. El Modo Memoria es transparente para el sistema operativo.

(BZ#1718422)

IBM Z ahora soporta la verificación de la firma de arranque del sistema

El arranque seguro permite al firmware del sistema comprobar la autenticidad de las claves criptográficas utilizadas para firmar el código del espacio del kernel. Como resultado, la función mejora la seguridad, ya que sólo se puede ejecutar el código de los proveedores de confianza.

Tenga en cuenta que IBM z15 es necesario para utilizar Secure Boot.

(BZ#1659399)

6.1.9. Sistemas de archivos y almacenamiento

Soporte para el Campo de Integridad de Datos/Extensión de Integridad de Datos (DIF/DIX)

DIF/DIX es compatible con las configuraciones en las que el proveedor de hardware lo ha calificado y proporciona soporte completo para el adaptador de bus de host (HBA) particular y la configuración de la matriz de almacenamiento en RHEL.

DIF/DIX no es compatible con las siguientes configuraciones:

  • No se admite su uso en el dispositivo de arranque.
  • No es compatible con los huéspedes virtualizados.
  • Red Hat no admite el uso de la biblioteca de gestión automática del almacenamiento (ASMLib) cuando DIF/DIX está activado.

DIF/DIX se activa o desactiva en el dispositivo de almacenamiento, lo que implica varias capas hasta (e incluyendo) la aplicación. El método para activar el DIF en los dispositivos de almacenamiento depende del dispositivo.

Para más información sobre la función DIF/DIX, consulte Qué es DIF/DIX.

(BZ#1649493)

Los sistemas de memoria Optane DC ahora son compatibles con los informes EDAC

Anteriormente, EDAC no informaba de los eventos de memoria corregida/no corregida si la dirección de memoria estaba dentro de un módulo NVDIMM. Con esta actualización, EDAC puede reportar correctamente los eventos con la información correcta del módulo de memoria.

(BZ#1571534)

El módulo VDO Ansible ha sido trasladado a los paquetes Ansible

Anteriormente, el módulo VDO Ansible era proporcionado por el paquete RPM vdo. A partir de esta versión, el módulo es proporcionado por el paquete ansible.

La ubicación original del archivo del módulo VDO Ansible era:

Copy to Clipboard Toggle word wrap 
/usr/share/doc/vdo/examples/ansible/vdo.py

La nueva ubicación del archivo es:

Copy to Clipboard Toggle word wrap 
/usr/lib/python3.6/site-packages/ansible/modules/system/vdo.py

El paquete vdo sigue distribuyendo los playbooks de Ansible.

Para más información sobre Ansible, consulte http://docs.ansible.com/.

(BZ#1669534)

Los adaptadores Aero son ahora totalmente compatibles

Los siguientes adaptadores Aero, que anteriormente estaban disponibles como Muestra de Tecnología, son ahora totalmente compatibles:

  • PCI ID 0x1000:0x00e2 y 0x1000:0x00e6, controlado por el controlador mpt3sas
  • PCI ID 0x1000:Ox10e5 y 0x1000:0x10e6, controlado por el controlador megaraid_sas

(BZ#1663281)

LUKS2 admite ahora la recodificación en línea

El formato Linux Unified Key Setup versión 2 (LUKS2) admite ahora la recodificación de dispositivos encriptados mientras los dispositivos están en uso. Por ejemplo, no es necesario desmontar el sistema de archivos del dispositivo para realizar las siguientes tareas:

  • Cambiar la tecla de volumen
  • Cambiar el algoritmo de encriptación

Cuando se encripta un dispositivo no encriptado, todavía hay que desmontar el sistema de archivos, pero la encriptación es ahora significativamente más rápida. Puedes volver a montar el sistema de archivos tras una breve inicialización del cifrado.

Además, la recodificación de LUKS2 es ahora más resistente. Puedes seleccionar entre varias opciones que priorizan el rendimiento o la protección de los datos durante el proceso de recodificación.

Para realizar el re-encriptado de LUKS2, utilice el subcomando cryptsetup reencrypt. Red Hat ya no recomienda utilizar la utilidad cryptsetup-reencrypt para el formato LUKS2.

Tenga en cuenta que el formato LUKS1 no admite la recodificación en línea y que el subcomando cryptsetup reencrypt no es compatible con LUKS1. Para cifrar o volver a cifrar un dispositivo LUKS1, utilice la utilidad cryptsetup-reencrypt.

Para obtener más información sobre el cifrado de discos, consulte Cifrado de dispositivos de bloque mediante LUKS.

(BZ#1676622)

Nuevas características de ext4 disponibles en RHEL 8

En RHEL8, las siguientes son las nuevas características totalmente compatibles con ext4:

  • Características no predeterminadas:

    • proyecto
    • cuota
    • mmp

  • Opciones de montaje no predeterminadas:

    • bsddf|minixdf
    • grpid|bsdgroups y nogrpid|sysvgroups
    • resgid=n y resuid=n
    • errores={continuar|remontar-ro|pánico}
    • commit=nrsec
    • max_batch_time=usuario
    • min_batch_time=useg
    • grpquota|noquota|quota|usrquota
    • prjquota
    • dax
    • lazytime|nolazytime
    • descartar|nodiscar
    • init_itable|noinit_itable
    • jqfmt={vfsold|vfsv0|vfsv1}
    • usrjquota=aquota.user|grpjquota=aquota.group

Para más información sobre las características y opciones de montaje, consulte la página man de ext4. Otras funcionalidades de ext4, opciones de montaje o ambas, o una combinación de funcionalidades, opciones de montaje o ambas pueden no estar totalmente soportadas por Red Hat. Si su carga de trabajo especial requiere una característica u opción de montaje que no está totalmente soportada en la versión de Red Hat, contacte con el soporte de Red Hat para evaluar su inclusión en nuestra lista de soporte.

(BZ#1741531)

NVMe sobre RDMA ahora soporta un Infiniband en el modo de destino para los sistemas IBM Coral

En RHEL 8.1, NVMe sobre RDMA admite ahora un Infiniband en el modo de destino para los sistemas IBM Coral, con una única tarjeta PCIe add in NVMe como destino.

(BZ#1721683)

6.1.10. Alta disponibilidad y clusters

Pacemaker ahora pone por defecto la propiedad de cluster concurrent-fencing en true

Si es necesario vallar varios nodos del clúster al mismo tiempo, y éstos utilizan diferentes dispositivos de vallado configurados, Pacemaker ejecutará ahora el vallado simultáneamente, en lugar de hacerlo en serie como antes. Esto puede acelerar enormemente la recuperación en un clúster grande cuando hay que cercar varios nodos.

(BZ#1715426)

La ampliación de un volumen lógico compartido ya no requiere una actualización en cada nodo del clúster

Con esta versión, la ampliación de un volumen lógico compartido ya no requiere una actualización en cada nodo del clúster después de ejecutar el comando lvextend en un nodo del clúster. Para conocer el procedimiento completo para ampliar el tamaño de un sistema de archivos GFS2, consulte Ampliar un sistema de archivos GFS2.

(BZ#1649086)

El tamaño máximo de un clúster RHEL HA soportado se ha incrementado de 16 a 32 nodos

Con esta versión, Red Hat admite implantaciones de cluster de hasta 32 nodos de cluster completos.

(BZ#1693491)

Se han añadido a pcslos comandos para añadir, cambiar y eliminar enlaces corosync

El protocolo Kronosnet (knet) permite ahora añadir y eliminar enlaces knet en clusters en funcionamiento. Para soportar esta característica, el comando pcs ahora proporciona comandos para añadir, cambiar y eliminar enlaces knet y para cambiar un enlace upd/udpu en un cluster existente. Para obtener información sobre cómo añadir y modificar enlaces en un clúster existente, consulte Añadir y modificar enlaces en un clúster existente. (BZ#1667058)

6.1.11. Lenguajes de programación dinámicos, servidores web y de bases de datos

Una nueva corriente de módulos: php:7.3

RHEL 8.1 introduce PHP 7.3, que proporciona una serie de nuevas características y mejoras. Los cambios más destacados son:

  • Sintaxis heredoc y nowdoc mejoradas y más flexibles
  • La extensión PCRE se ha actualizado a PCRE2
  • Mejora de la gestión de cadenas multibyte
  • Compatibilidad con los controles LDAP
  • Mejora del registro de FastCGI Process Manager (FPM)
  • Varias desapariciones y cambios incompatibles con el pasado

Para más información, consulte Migración de PHP 7.2.x a PHP 7.3.x.

Tenga en cuenta que la versión RHEL 8 de PHP 7.3 no soporta el algoritmo de hash de contraseñas Argon2.

Para instalar el flujo php:7.3, utilice:

Copy to Clipboard Toggle word wrap 
# yum module install php:7.3

Si desea actualizar desde el flujo php:7.2, consulte Cambiar a un flujo posterior.

(BZ#1653109)

Una nueva corriente de módulos: ruby:2.6

Ya está disponible un nuevo módulo, ruby:2.6. Ruby 2.6.3, incluido en RHEL 8.1, proporciona numerosas funciones nuevas, mejoras, correcciones de errores y de seguridad, y mejoras de rendimiento con respecto a la versión 2.5 distribuida en RHEL 8.0.

Las mejoras más destacadas son:

  • Ahora se permite que los nombres de las constantes comiencen con una letra mayúscula no ASCII.
  • Se ha añadido soporte para una gama infinita.
  • Se ha proporcionado un nuevo método Binding#source_location.
  • $SAFE es ahora un estado global del proceso y se puede volver a poner a 0.

Se han implementado las siguientes mejoras de rendimiento:

  • Los procesos Proc#call y block.call han sido optimizados.
  • Se ha introducido un nuevo heap gestionado por el recolector de basura, Transient heap(theap).
  • Se han introducido implementaciones nativas de coroutines para arquitecturas individuales.

Además, Ruby 2.5, proporcionado por el flujo ruby:2.5, se ha actualizado a la versión 2.5.5, que proporciona una serie de correcciones de errores y seguridad.

Para instalar el flujo ruby:2.6, utilice:

Copy to Clipboard Toggle word wrap 
# yum module install ruby:2.6

Si desea actualizar desde el flujo ruby:2.5, consulte Cambiar a un flujo posterior.

(BZ#1672575)

Una nueva corriente de módulos: nodejs:12

RHEL 8.1 introduce Node.js 12, que proporciona una serie de nuevas características y mejoras con respecto a la versión 10. Los cambios más destacados son:

  • El motor V8 se ha actualizado a la versión 7.4
  • Un nuevo analizador HTTP por defecto, llhttp (ya no es experimental)
  • Capacidad integrada de generación de volcado de pilas
  • Compatibilidad con los módulos de ECMAScript 2015 (ES6)
  • Mejora de la compatibilidad con los módulos nativos
  • Los hilos de trabajo ya no requieren una bandera
  • Una nueva función de informe de diagnóstico experimental
  • Mejora del rendimiento

Para instalar el flujo de nodejs:12, utilice:

Copy to Clipboard Toggle word wrap 
# yum module install nodejs:12

Si desea actualizar desde el flujo nodejs:10, consulte Cambiar a un flujo posterior.

(BZ#1685191)

Judy-devel disponible en CRB

El paquete Judy-devel está ahora disponible como parte del módulo mariadb-devel:10.3 en el repositorio CodeReady Linux Builder (CRB). Como resultado, los desarrolladores pueden ahora construir aplicaciones con la biblioteca Judy.

Para instalar el paquete Judy-devel, active primero el módulo mariadb-devel:10.3:

Copy to Clipboard Toggle word wrap 
# yum module enable mariadb-devel:10.3
# yum install Judy-devel

(BZ#1657053)

Cumplimiento de FIPS en Python 3

Esta actualización añade soporte para el modo FIPS de OpenSSL a Python 3. A saber:

  • En el modo FIPS, los hashes blake2, sha3 y shake utilizan las envolturas de OpenSSL y no ofrecen una funcionalidad extendida (como claves, hashing de árbol o tamaño de compendio personalizado).
  • En el modo FIPS, la clase hmac.HMAC sólo puede instanciarse con una envoltura OpenSSL o una cadena con el nombre de hash OpenSSL como argumento digestmod. El argumento debe ser especificado (en lugar de utilizar por defecto el algoritmo md5 ).

Tenga en cuenta que las funciones hash admiten el argumento usedforsecurity, que permite utilizar hashes inseguros en el modo FIPS de OpenSSL. El usuario es responsable de garantizar el cumplimiento de las normas pertinentes.

(BZ#1731424)

Cambios en el cumplimiento de FIPS en python3-wheel

Esta actualización del paquete python3-wheel elimina una implementación incorporada para firmar y verificar datos que no cumplen con FIPS.

(BZ#1731526)

Un nuevo flujo de módulos: nginx:1.16

Ya está disponible el servidor web y proxy nginx 1.16, que proporciona una serie de nuevas características y mejoras respecto a la versión 1.14. Por ejemplo:

  • Numerosas actualizaciones relacionadas con SSL (carga de certificados SSL y claves secretas desde variables, soporte de variables en las directivas ssl_certificate y ssl_certificate_key, una nueva directiva ssl_early_data )
  • Nuevas directivas relacionadas con keepalive
  • Una nueva directiva aleatoria para el equilibrio de la carga distribuida
  • Nuevos parámetros y mejoras en las directivas existentes (rangos de puertos para la directiva listen, un nuevo parámetro de retardo para la directiva limit_req, que permite limitar la velocidad en dos etapas)
  • Una nueva variable $upstream_bytes_sent
  • Mejoras en el protocolo de datagramas de usuario (UDP)

Otros cambios notables son:

  • En la corriente nginx:1.16, el paquete nginx no requiere el paquete nginx-all-modules, por lo que los módulos nginx deben ser instalados explícitamente. Cuando se instala nginx como módulo, el paquete nginx-all-modules se instala como parte del perfil común, que es el perfil por defecto.
  • La directiva ssl ha quedado obsoleta; utilice en su lugar el parámetro ssl de la directiva listen.
  • nginx ahora detecta los certificados SSL que faltan durante las pruebas de configuración.
  • Cuando se utiliza un nombre de host en la directiva listen, nginx ahora crea sockets de escucha para todas las direcciones a las que resuelve el nombre de host.

Para instalar el flujo nginx:1.16, utilice:

Copy to Clipboard Toggle word wrap 
# yum module install nginx:1.16

Si desea actualizar desde el flujo nginx:1.14, consulte Cambiar a un flujo posterior.

(BZ#1690292)

perl-IO-Socket-SSL rebasado a la versión 2.066

El paquete perl-IO-Socket-SSL se ha actualizado a la versión 2.066, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior, por ejemplo:

  • Se ha mejorado la compatibilidad con TLS 1.3, en particular la reutilización de la sesión y la autenticación automática posterior al saludo en el lado del cliente
  • Se ha añadido soporte para múltiples curvas, configuración automática de curvas, cadenas de confianza parciales y soporte para certificados RSA y ECDSA en el mismo dominio

(BZ#1632600)

perl-Net-SSLeay rebasado a la versión 1.88

El paquete perl-Net-SSLeay ha sido actualizado a la versión 1.88, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

  • Mejora de la compatibilidad con OpenSSL 1.1.1, como la manipulación de una pila de certificados y almacenes X509, y la selección de curvas elípticas y grupos
  • Compatibilidad mejorada con TLS 1.3, por ejemplo, una reutilización de la sesión y una autenticación post-handshake
  • Se ha corregido la pérdida de memoria en la subrutina cb_data_advanced_put().

(BZ#1632597)

6.1.12. Compiladores y herramientas de desarrollo

GCC Toolset 9 disponible

Red Hat Enterprise Linux 8.1 introduce GCC Toolset 9, un flujo de aplicaciones que contiene versiones más actualizadas de las herramientas de desarrollo.

Las siguientes herramientas y versiones son proporcionadas por GCC Toolset 9:

HerramientaVersión

GCC

9.1.1

GDB

8.3

Valgrind

3.15.0

SystemTap

4.1

Dyninst

10.1.0

binutils

2.32

elfutils

0.176

dwz

0.12

hacer

4.2.1

strace

5.1

ltrace

0.7.91

annobin

8.79

GCC Toolset 9 está disponible como un flujo de aplicaciones en forma de colección de software en el repositorio AppStream. GCC Toolset es un conjunto de herramientas similar al Red Hat Developer Toolset para RHEL 7.

Para instalar GCC Toolset 9:

Copy to Clipboard Toggle word wrap 
# yum install gcc-toolset-9

Para ejecutar una herramienta de GCC Toolset 9:

Copy to Clipboard Toggle word wrap 
$ scl enable gcc-toolset-9 tool

Para ejecutar una sesión de shell en la que las versiones de las herramientas de GCC Toolset 9 tienen prioridad sobre las versiones del sistema de estas herramientas:

Copy to Clipboard Toggle word wrap 
$ scl enable gcc-toolset-9 bash

Para obtener instrucciones detalladas sobre su uso, consulte Uso del conjunto de herramientas GCC.

(BZ#1685482)

Juegos de herramientas de compilación actualizados

Los siguientes conjuntos de herramientas de compilación, distribuidos como Application Streams, se han actualizado con RHEL 8.1:

  • Conjunto de herramientas Clang y LLVM, que proporciona el marco de infraestructura del compilador LLVM, el compilador Clang para los lenguajes C y C, el depurador LLDB y las herramientas relacionadas para el análisis del código, a la versión 8.0.1
  • Rust Toolset, que proporciona el compilador del lenguaje de programación Rust rustc, la herramienta de construcción cargo y el gestor de dependencias, así como las bibliotecas necesarias, a la versión 1.37
  • Go Toolset, que proporciona las herramientas y bibliotecas del lenguaje de programación Go(golang), a la versión 1.12.8.

(BZ#1731502, BZ#1691975, BZ#1680091, BZ#1677819, BZ#1681643)

SystemTap rebasado a la versión 4.1

La herramienta de instrumentación SystemTap se ha actualizado a la versión 4.1. Las mejoras más destacadas son:

  • El backend del tiempo de ejecución de eBPF puede manejar más características del lenguaje de scripting, como las variables de cadena y la impresión con formato enriquecido.
  • El rendimiento del traductor ha mejorado considerablemente.
  • Ahora se pueden extraer más tipos de datos en el código C optimizado con las construcciones DWARF4 debuginfo.

(BZ#1675740)

Disponibilidad general de la herramienta DHAT

Red Hat Enterprise Linux 8.1 introduce la disponibilidad general de la herramienta DHAT. Está basada en la herramienta valgrind versión 3.15.0.

A continuación puede encontrar los cambios/mejoras en la funcionalidad de la herramienta valgrind:

  • utilice --tool=dhat en lugar de --tool=exp-dhat,
  • se han eliminado las opciones--show-top-n y --sort-by porque la herramienta dhat ahora imprime los datos mínimos después de que el programa termine,
  • un nuevo visor dh_view.html, que es un programa JavaScript, contiene los resultados del perfil. Un breve mensaje explica cómo ver los resultados una vez finalizada la ejecución,
  • la documentación de un visor se encuentra: /usr/libexec/valgrind/dh_view.html,
  • la documentación de la herramienta DHAT se encuentra en: /usr/share/doc/valgrind/html/dh-manual.html,
  • el soporte para amd64 (x86_64): se añaden las extensiones RDRAND y F16C insn set,
  • en cachegrind el comando cg_annotate tiene una nueva opción, --show-percs, que imprime porcentajes junto a todos los recuentos de eventos,
  • en callgrind el comando callgrind_annotate tiene una nueva opción, --show-percs, que imprime porcentajes junto a todos los recuentos de eventos,
  • en el macizo el valor por defecto de --read-inline-info es ahora yes,
  • en la opción de memcheck --xtree-leak=yes, que emite el resultado de la fuga en formato xtree, activa automáticamente la opción --show-leak-kinds=all,
  • la nueva opción --show-error-list=no|yes muestra la lista de los errores detectados y la supresión utilizada al final de la ejecución. Anteriormente, el usuario podía especificar la opción -v para el comando valgrind, que muestra mucha información que puede resultar confusa. La opción -s es un equivalente a la opción --show-error-list=yes.

(BZ#1683715)

elfutils rebasado a la versión 0.176

Los paquetes elfutils han sido actualizados a la versión 0.176. Esta versión trae varias correcciones de errores, y resuelve las siguientes vulnerabilidades:

Las mejoras más destacadas son:

  • La biblioteca libdw ha sido ampliada con la función dwelf_elf_begin( ) que es una variante de elf_begin() que maneja archivos comprimidos.
  • Se ha añadido una nueva opción --reloc-debug-sections-only a la herramienta eu-strip para resolver todas las reubicaciones triviales entre secciones de depuración en su lugar sin ningún otro tipo de eliminación. Esta funcionalidad es relevante sólo para los archivos ET_REL en determinadas circunstancias.

(BZ#1683705)

Comprobaciones adicionales de asignación de memoria en glibc

La corrupción de la memoria de las aplicaciones es una de las principales causas de defectos de aplicación y seguridad. La detección temprana de este tipo de corrupción, sopesada con el coste de la detección, puede proporcionar importantes beneficios a los desarrolladores de aplicaciones.

Para mejorar la detección, se han añadido seis comprobaciones adicionales de corrupción de memoria a los metadatos de malloc en la biblioteca GNU C(glibc), que es el núcleo de la biblioteca C en RHEL. Estas comprobaciones adicionales se han añadido con un coste muy bajo para el rendimiento en tiempo de ejecución.

(BZ#1651283)

GDB puede acceder a más registros de POWER8

Con esta actualización, el depurador de GNU (GDB) y su stub remoto gdbserver pueden acceder a los siguientes registros y conjuntos de registros adicionales de la línea de procesadores POWER8 de IBM:

  • PPR
  • DSCR
  • TAR
  • EBB/PMU
  • HTM

(BZ#1187581)

el desensambladorbinutils puede manejar archivos binarios NFP

La herramienta de desensamblaje del paquete binutils se ha ampliado para manejar archivos binarios de la serie de hardware Netronome Flow Processor (NFP). Esta funcionalidad es necesaria para habilitar otras características del compilador de código bpftool Berkeley Packet Filter (BPF).

(BZ#1644391)

Las secciones GOT parcialmente escribibles son ahora compatibles con la arquitectura IBM Z

Los binarios de IBM Z que utilizan la función "lazy binding" del cargador pueden ahora endurecerse generando secciones de la tabla de desplazamiento global (GOT) parcialmente escribibles. Estos binarios requieren una GOT de lectura-escritura, pero no todas las entradas son escribibles. Esta actualización proporciona protección a las entradas frente a posibles ataques.

(BZ#1525406)

binutils ahora soporta los procesadores Arch13 de IBM Z

Esta actualización añade soporte para las extensiones relacionadas con los procesadores Arch13 en los paquetes binutils en la arquitectura IBM Z. Como resultado, ahora es posible construir kernels que pueden utilizar las características disponibles en las CPUs habilitadas para arch13 en IBM Z.

(BZ#1659437)

Dyninst rebasado a la versión 10.1.0

La librería de instrumentación Dyninst ha sido actualizada a la versión 10.1.0. Los cambios notables incluyen:

  • Dyninst es compatible con las arquitecturas Linux PowerPC Little Endian(ppcle) y ARM de 64 bits(aarch64).
  • Se ha mejorado el tiempo de arranque mediante el análisis de código paralelo.

(BZ#1648441)

Actualización del formato de la fecha para la era Reiwa japonesa

La Biblioteca C de GNU ahora proporciona el formato correcto del nombre de la era japonesa para la era Reiwa a partir del 1 de mayo de 2019. Se han actualizado los datos de la API de manejo de la hora, incluyendo los datos utilizados por las funciones strftime y strptime. Todas las APIs imprimirán correctamente la era Reiwa incluyendo cuando se utilice strftime junto con uno de los especificadores de conversión de era como , , o .

(BZ#1577438)

Co-Pilot de rendimiento rebasado a la versión 4.3.2

En RHEL 8.1, la herramienta Performance Co-Pilot (PCP) se ha actualizado a la versión 4.3.2. Las mejoras más destacadas son:

  • Se han añadido nuevas métricas: entropía del kernel de Linux, información sobre el bloqueo de la presión, estadísticas de la GPU de Nvidia, etc.
  • Herramientas como pcp-dstat, pcp-atop, el perfevent PMDA y otras han sido actualizadas para informar de las nuevas métricas.
  • Se han actualizado las utilidades pmseries y pmproxy para una integración performante de PCP con Grafana.

Esta versión es compatible con las bibliotecas, el protocolo over-the-wire y el formato de archivo PCP en disco.

(BZ#1685302)

6.1.13. Gestión de la identidad

IdM ahora es compatible con los roles y módulos de Ansible para su instalación y gestión

Esta actualización introduce el paquete ansible-freeipa, que proporciona roles y módulos de Ansible para el despliegue y la gestión de Identity Management (IdM). Puede utilizar los roles de Ansible para instalar y desinstalar servidores, réplicas y clientes de IdM. Puede utilizar los módulos de Ansible para gestionar los grupos, la topología y los usuarios de IdM. También hay ejemplos de playbooks disponibles.

Esta actualización simplifica la instalación y configuración de las soluciones basadas en IdM.

(JIRA:RHELPLAN-2542)

Nueva herramienta para comprobar la idoneidad general de la implantación de IdM: Healthcheck

Esta actualización introduce la herramienta Healthcheck en Identity Management (IdM). La herramienta proporciona pruebas que verifican que el servidor IdM actual está configurado y funciona correctamente.

The major areas currently covered are: * Certificate configuration and expiration dates * Replication errors * Replication topology * AD Trust configuration * Service status * File permissions of important configuration files * Filesystem space

La herramienta Healthcheck está disponible en la interfaz de línea de comandos (CLI).

(JIRA:RHELPLAN-13066)

IdM ahora admite la renovación de certificados de sistema caducados cuando el servidor está desconectado

Con esta mejora, los administradores pueden renovar los certificados de sistema caducados cuando Identity Management (IdM) está fuera de línea. Cuando un certificado de sistema caduca, IdM no se inicia. El nuevo comando ipa-cert-fix sustituye a la solución de retrasar manualmente la fecha para proceder al proceso de renovación. Como resultado, el tiempo de inactividad y los costes de soporte se reducen en el escenario mencionado.

(JIRA:RHELPLAN-13074)

La gestión de identidades admite la confianza con Windows Server 2019

Al utilizar la gestión de identidades, ahora puede establecer una confianza de bosque compatible con los bosques de Active Directory que ejecuta Windows Server 2019. Los niveles funcionales de bosque y dominio admitidos no han cambiado y se admiten hasta el nivel de Windows Server 2016.

(JIRA:RHELPLAN-15036)

samba rebasado a la versión 4.10.4

Los paquetes samba han sido actualizados a la versión 4.10.4, que proporciona una serie de correcciones de errores y mejoras respecto a la versión anterior:

  • Samba 4.10 es totalmente compatible con Python 3. Tenga en cuenta que las futuras versiones de Samba no tendrán ningún soporte de tiempo de ejecución para Python 2.
  • La función de registro de notación de objetos de JavaScript (JSON) ahora registra el ID de evento de Windows y el tipo de inicio de sesión para los mensajes de autenticación.
  • El nuevo módulo vfs_glusterfs_fuse file system in user space (FUSE) mejora el rendimiento cuando Samba accede a un volumen GlusterFS. Para activar este módulo, añada glusterfs_fuse al parámetro vfs_objects del recurso compartido en el archivo /etc/samba/smb.conf. Tenga en cuenta que vfs_glusterfs_fuse no sustituye al módulo existente vfs_glusterfs.
  • Los enlaces Python del cliente de bloque de mensajes del servidor (SMB) están ahora obsoletos y se eliminarán en una futura versión de Samba. Esto sólo afecta a los usuarios que utilizan los enlaces de Samba Python para escribir sus propias utilidades.

Samba actualiza automáticamente sus archivos de base de datos tdb cuando se inicia el servicio smbd, nmbd o winbind. Haga una copia de seguridad de los archivos de las bases de datos antes de iniciar Samba. Tenga en cuenta que Red Hat no admite la actualización de los archivos de la base de datos tdb.

Para más información sobre los cambios notables, lea las notas de la versión anterior antes de actualizar: https://www.samba.org/samba/history/samba-4.10.0.html

(BZ#1638001)

Actualización de la ubicación del almacén de certificados de todo el sistema para OpenLDAP

La ubicación por defecto de las CAs de confianza para OpenLDAP se ha actualizado para utilizar el almacén de certificados de todo el sistema(/etc/pki/ca-trust/source) en lugar de /etc/openldap/certs. Este cambio se ha realizado para simplificar la configuración de la confianza de la CA.

No se requiere ninguna configuración adicional para configurar la confianza de la CA, a menos que tenga requisitos específicos de servicio. Por ejemplo, si se requiere que el certificado de un servidor LDAP sólo sea de confianza para las conexiones de clientes LDAP, en este caso se deben configurar los certificados de CA como se hizo anteriormente.

(JIRA:RHELPLAN-7109)

Se han introducido nuevos comandos ipa-crl-generation para simplificar la gestión del maestro IdM CRL

Esta actualización introduce los comandos ipa-crl-generation status/enable/disable. Estos comandos, ejecutados por el usuario raíz, simplifican el trabajo con la lista de revocación de certificados (CRL) en IdM. Anteriormente, trasladar el maestro de generación de CRL de un servidor IdM CA a otro era un procedimiento largo, manual y propenso a errores.

El comando ipa-crl-generation status comprueba si el host actual es el maestro de generación de CRL. El comando ipa-crl-generation enable hace que el host actual sea el maestro de generación de CRL en IdM si el host actual es un servidor de CA de IdM. El comando ipa-crl-generation disable detiene la generación de CRL en el host actual.

Además, el comando ipa-server-install --uninstall ahora incluye una salvaguarda que comprueba si el host es el maestro de generación de CRL. De esta manera, IdM se asegura de que el administrador del sistema no elimine el maestro de generación de CRL de la topología.

(JIRA:RHELPLAN-13068)

Soporte de OpenID Connect en keycloak-httpd-client-install

El proveedor de identidad keycloak-httpd-client-install anteriormente sólo soportaba la autenticación SAML (Security Assertion Markup Language) con el módulo de autenticación mod_auth_mellon. Este rebase introduce el soporte del módulo de autenticación mod_auth_openidc, que permite configurar también la autenticación de OpenID Connect.

El proveedor de identidad keycloak-httpd-client-install permite configurar una instancia de apache como cliente de OpenID Connect mediante la configuración de mod_auth_openidc.

(BZ#1553890)

La configuración de IdM como réplica oculta ya está disponible como Technology Preview

Esta mejora permite a los administradores configurar una réplica de Identity Management (IdM) como una réplica oculta. Una réplica oculta es un servidor IdM que tiene todos los servicios en funcionamiento y disponibles. Sin embargo, no se anuncia a otros clientes o maestros porque no existen registros SRV para los servicios en DNS, y los roles del servidor LDAP no están habilitados. Por lo tanto, los clientes no pueden utilizar el descubrimiento de servicios para detectar las réplicas ocultas.

Las réplicas ocultas están diseñadas principalmente para servicios dedicados que, de otro modo, pueden interrumpir a los clientes. Por ejemplo, una copia de seguridad completa de IdM requiere apagar todos los servicios de IdM en el maestro o la réplica. Dado que ningún cliente utiliza una réplica oculta, los administradores pueden apagar temporalmente los servicios en este host sin afectar a ningún cliente. Otros casos de uso incluyen operaciones de alta carga en la API de IdM o el servidor LDAP, como una importación masiva o consultas extensas.

Para instalar una nueva réplica oculta, utilice el comando ipa-replica-install --hidden-replica. Para cambiar el estado de una réplica existente, utilice el comando ipa server-state.

(BZ#1719767)

SSSD ahora aplica los GPO de AD por defecto

La configuración por defecto de la opción de SSSD ad_gpo_access_control es ahora enforcing. En RHEL 8, SSSD aplica por defecto las reglas de control de acceso basadas en los objetos de política de grupo (GPO) de Active Directory.

Red Hat recomienda asegurarse de que los GPOs están configurados correctamente en Active Directory antes de actualizar de RHEL 7 a RHEL 8. Si no desea aplicar los GPOs, cambie el valor de la opción ad_gpo_access_control en el archivo /etc/sssd/sssd.conf a permisivo.

(JIRA:RHELPLAN-51289)

6.1.14. Escritorio

Cambio de espacio de trabajo modificado en GNOME Classic

El conmutador de espacios de trabajo en el entorno de GNOME Classic ha sido modificado. El conmutador se encuentra ahora en la parte derecha de la barra inferior, y está diseñado como una tira horizontal de miniaturas. El cambio entre espacios de trabajo es posible haciendo clic en la miniatura requerida. También puede utilizar la combinación de teclas Ctrl+Alt+flecha abajo/arriba para cambiar de espacio de trabajo. El contenido del espacio de trabajo activo se muestra en la parte izquierda de la barra inferior en forma de window list.

Al pulsar la tecla Super dentro del espacio de trabajo concreto, se puede ver la página window picker, que incluye todas las ventanas abiertas en este espacio de trabajo. Sin embargo, el window picker ya no muestra los siguientes elementos que estaban disponibles en la versión anterior de RHEL:

  • dock (barra vertical en la parte izquierda de la pantalla)
  • workspace switcher (barra vertical en la parte derecha de la pantalla)
  • search entry

Para las tareas particulares que se lograron anteriormente con la ayuda de estos elementos, adopte los siguientes enfoques:

  • Para lanzar aplicaciones, en lugar de utilizar dock, puede:

    • Utilice el menú Applications de la barra superior
    • Pulse las teclas kdb:[Alt F2] para que aparezca la pantalla Enter a Command, y escriba el nombre del ejecutable en esta pantalla.
  • Para pasar de un espacio de trabajo a otro, en lugar de utilizar la dirección vertical workspace switcher, utilice la dirección horizontal workspace switcher de la barra inferior derecha.
  • Si necesita el search entry o el workspace switcher vertical, utilice el entorno estándar de GNOME en lugar del clásico.

(BZ#1704360)

6.1.15. Infraestructuras gráficas

DRM rebasado a la versión 5.1 del kernel de Linux

El subsistema gráfico del kernel Direct Rendering Manager (DRM) ha sido reajustado a la versión 5.1 del kernel de Linux, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior. Las más notables son:

  • El controlador mgag200 ha sido actualizado. El controlador sigue siendo compatible con los sistemas HPE Proliant Gen10, que utilizan las GPU Matrox G200 eH3. El controlador actualizado también es compatible con los servidores Dell EMC PowerEdge actuales y nuevos.
  • El controlador nouveau se ha actualizado para proporcionar habilitación de hardware a las plataformas Lenovo actuales y futuras que utilizan GPUs NVIDIA.
  • El controlador de la pantalla i915 se ha actualizado para que siga siendo compatible con las GPU de Intel actuales y nuevas.
  • Se han añadido correcciones de errores para los chips de visualización Aspeed AST BMC.
  • Se ha añadido la compatibilidad con el conjunto de unidades de procesamiento acelerado (APU) AMD Raven 2.
  • Se ha añadido soporte para las APUs AMD Picasso.
  • Se ha añadido soporte para las GPUs AMD Vega.
  • Se ha añadido compatibilidad con las GPU Intel Amber Lake-Y e Intel Comet Lake-U.

(BZ#1685552)

Compatibilidad con las tarjetas gráficas AMD Picasso

Esta actualización introduce el controlador gráfico amdgpu. Como resultado, las tarjetas gráficas AMD Picasso son ahora totalmente compatibles con RHEL 8.

(BZ#1685427)

6.1.16. La consola web

Activación y desactivación de SMT

La configuración de Multi-Threading Simultáneo (SMT) está ahora disponible en RHEL 8. Desactivar SMT en la consola web permite mitigar una clase de vulnerabilidades de seguridad de la CPU como:

(BZ#1678956)

Añadir un cuadro de búsqueda en la página de Servicios

La página de Servicios tiene ahora un cuadro de búsqueda para filtrar los servicios por:

  • Nombre
  • Descripción
  • Estado

Además, los estados de servicio se han fusionado en una sola lista. Los botones del conmutador en la parte superior de la página también se han cambiado por pestañas para mejorar la experiencia del usuario de la página Services.

(BZ#1657752)

Añadir soporte para las zonas de cortafuegos

La configuración del cortafuegos en la página Networking ahora es compatible:

  • Añadir y eliminar zonas
  • Añadir o eliminar servicios a zonas arbitrarias y
  • Configurar puertos personalizados además de los servicios de firewalld.

(BZ#1678473)

Añadir mejoras a la configuración de las máquinas virtuales

Con esta actualización, la consola web de RHEL 8 incluye muchas mejoras en la página de Máquinas Virtuales. Ahora puede:

  • Gestionar varios tipos de grupos de almacenamiento
  • Configurar el arranque automático de la máquina virtual
  • Importar imágenes existentes de qcow
  • Instalar VMs a través del arranque PXE
  • Cambiar la asignación de memoria
  • Pausa/reanudación de máquinas virtuales
  • Configurar las características de la caché (directsync, writeback)
  • Cambiar el orden de arranque

(BZ#1658847)

6.1.17. Roles del sistema Red Hat Enterprise Linux

Se ha añadido un nuevo rol de almacenamiento a los roles de sistema de RHEL

El rol de almacenamiento se ha añadido a los roles de sistema de RHEL proporcionados por el paquete rhel-system-roles. El rol de almacenamiento puede utilizarse para gestionar el almacenamiento local mediante Ansible.

Actualmente, el rol de almacenamiento soporta los siguientes tipos de tareas:

  • Gestión de sistemas de archivos en discos enteros
  • Gestión de grupos de volúmenes LVM
  • Gestión de volúmenes lógicos y sus sistemas de archivos

Para más información, consulte Gestión de sistemas de archivos y Configuración y gestión de volúmenes lógicos.

(BZ#1691966)

6.1.18. Virtualización

WALinuxAgent rebasado a la versión 2.2.38

El paquete WALinuxAgent se ha actualizado a la versión 2.2.38, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior.

Además, WALinuxAgent ya no es compatible con Python 2, ni con las aplicaciones que dependen de Python 2. Como resultado, las aplicaciones y extensiones escritas en Python 2 tendrán que ser convertidas a Python 3 para establecer la compatibilidad con WALinuxAgent.

(BZ#1722848)

Windows encuentra automáticamente los controladores virtio-win necesarios

Ahora Windows puede encontrar automáticamente los controladores virtio-win que necesita desde la ISO de controladores sin que el usuario tenga que seleccionar la carpeta en la que se encuentran.

(BZ#1223668)

KVM admite la paginación de 5 niveles

Con Red Hat Enterprise Linux 8, la virtualización KVM soporta la función de paginación de 5 niveles. En determinadas CPUs anfitrionas, esto aumenta significativamente el espacio de direcciones físicas y virtuales que los sistemas anfitrión y huésped pueden utilizar.

(BZ#1526548)

Ahora se puede compartir la tarjeta inteligente en los huéspedes de Windows con los controladores ActivClient

Esta actualización añade compatibilidad con el uso compartido de tarjetas inteligentes en máquinas virtuales (VM) que utilizan un sistema operativo invitado Windows y controladores ActivClient. Esto permite la autenticación con tarjeta inteligente para los inicios de sesión de los usuarios utilizando tarjetas inteligentes emuladas o compartidas en estas VM.

(BZ#1615840)

Se han añadido nuevas opciones para virt-xml

La utilidad virt-xml ahora puede utilizar las siguientes opciones de línea de comandos:

  • --no-define - Los cambios realizados en la máquina virtual (VM) por el comando virt-xml no se guardan en la configuración persistente.
  • --start - Inicia la VM después de realizar los cambios solicitados.

El uso de estas dos opciones juntas permite a los usuarios cambiar la configuración de una VM e iniciar la VM con la nueva configuración sin hacer que los cambios sean persistentes. Por ejemplo, el siguiente comando cambia el orden de arranque de la VM testguest a red para el siguiente arranque, e inicia el arranque:

Copy to Clipboard Toggle word wrap 
virt-xml testguest  --start --no-define --edit --boot network

(JIRA:RHELPLAN-13960)

CPUs IBM z14 GA2 compatibles con KVM

Con esta actualización, KVM soporta el modelo de CPU IBM z14 GA2. Esto permite crear máquinas virtuales en hosts IBM z14 GA2 que utilizan RHEL 8 como sistema operativo anfitrión con una CPU IBM z14 GA2 en el invitado.

(JIRA:RHELPLAN-13649)

Nvidia NVLink2 ya es compatible con las máquinas virtuales en IBM POWER9

Las VGPUs de Nvidia que soportan la función NVLink2 ahora pueden ser asignadas a máquinas virtuales (VMs) que se ejecutan en un host RHEL 8 en un sistema IBM POWER9. Esto hace posible que estas VMs utilicen todo el potencial de rendimiento de NVLink2.

(JIRA:RHELPLAN-12811)

Volver arriba
Red Hat logoGithubredditYoutubeTwitter

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Ayudamos a los usuarios de Red Hat a innovar y alcanzar sus objetivos con nuestros productos y servicios con contenido en el que pueden confiar. Explore nuestras recientes actualizaciones.

Hacer que el código abierto sea más inclusivo

Red Hat se compromete a reemplazar el lenguaje problemático en nuestro código, documentación y propiedades web. Para más detalles, consulte el Blog de Red Hat.

Acerca de Red Hat

Ofrecemos soluciones reforzadas que facilitan a las empresas trabajar en plataformas y entornos, desde el centro de datos central hasta el perímetro de la red.

Theme

© 2025 Red Hat, Inc.