Capítulo 6. Lanzamiento de RHEL 8.3.0

6.1. Nuevas características

Esta parte describe las nuevas características y las principales mejoras introducidas en Red Hat Enterprise Linux 8.3.

6.1.1. Creación del instalador y de la imagen

Anaconda rebasado a la versión 33.16

Con esta versión, Anaconda se ha reajustado a la versión 33.16. Esta versión proporciona las siguientes mejoras notables con respecto a la versión anterior.

El programa de instalación muestra ahora las direcciones IPv6 estáticas en varias líneas y ya no cambia el tamaño de las ventanas.
El programa de instalación muestra ahora los tamaños de sector de los dispositivos NVDIMM compatibles.
El nombre de host se configura ahora correctamente en un sistema instalado con configuración estática IPv6.
Ahora puede utilizar caracteres no ASCII en la frase de contraseña de cifrado de disco.
El programa de instalación muestra una recomendación adecuada para crear un nuevo sistema de archivos en /boot, /tmp, y todos los puntos de montaje /var y /usr excepto /usr/local y /var/www.
El programa de instalación ahora comprueba correctamente la disposición del teclado y no cambia el estado de la pantalla de disposición del teclado cuando se utilizan las teclas del teclado (ALT SHIFT) para cambiar entre diferentes disposiciones e idiomas.
El modo de rescate ya no falla en sistemas con particiones RAID1 existentes.
El cambio de la versión LUKS del contenedor está ahora disponible en la pantalla de Particionamiento Manual.
El programa de instalación finaliza con éxito la instalación sin el paquete btrfs-progs.
El programa de instalación utiliza ahora la versión LUKS2 por defecto para un contenedor encriptado.
El programa de instalación ya no se bloquea cuando un archivo Kickstart coloca volúmenes físicos (PV) de un grupo de volúmenes lógicos (VG) en una lista de ignorados.
Introduce una nueva ruta de montaje /mnt/sysroot para la raíz del sistema. Esta ruta se utiliza para montar / del sistema de destino. Normalmente, la raíz física y la raíz del sistema son la misma, por lo que /mnt/sysroot se adjunta al mismo sistema de archivos que /mnt/sysimage. Las únicas excepciones son los sistemas rpm-ostree, donde la raíz del sistema cambia en función de la implementación. Entonces, /mnt/sysroot se adjunta a un subdirectorio de /mnt/sysimage. Se recomienda utilizar /mnt/sysroot para el chroot.

(BZ#1691319, BZ#1679893, BZ#1684045, BZ#1688478, BZ#1700450, BZ#1720145, BZ#1723888, BZ#1754977, BZ#1755996, BZ#1784360, BZ#1796310, BZ#1871680)

Cambios en la interfaz gráfica del programa de instalación de RHEL

El programa de instalación de RHEL incluye ahora la siguiente configuración de usuario en la ventana de resumen de la instalación:

Contraseña de la raíz
Creación de usuarios

Con este cambio, ahora puede configurar una contraseña de root y crear una cuenta de usuario antes de comenzar la instalación. Anteriormente, se configuraba una contraseña de root y se creaba una cuenta de usuario después de iniciar el proceso de instalación.

La contraseña de root se utiliza para acceder a la cuenta de administrador (también conocida como superusuario o root) que se utiliza para las tareas de administración del sistema. El nombre de usuario se utiliza para iniciar la sesión desde una línea de comandos; si se instala un entorno gráfico, el gestor de inicio de sesión gráfico utiliza el nombre completo. Para más detalles, consulte el Performing a standard RHEL installation documento.

(JIRA:RHELPLAN-40469)

El backend de Image Builder osbuild-composer sustituye a lorax-composer

El backend osbuild-composer sustituye a lorax-composer. El nuevo servicio proporciona APIs REST para la construcción de imágenes. Como resultado, los usuarios pueden beneficiarse de un backend más fiable y de imágenes de salida más predecibles.

(BZ#1836211)

Image Builder osbuild-composer soporta un conjunto de tipos de imágenes

Con el reemplazo del backend de osbuild-composer, el siguiente conjunto de tipos de imagen soportados en osbuild-composer esta vez:

Archivo TAR (.tar)
QEMU QCOW2 (.qcow2)
Disco de máquina virtual VMware (.vmdk)
Imagen de la máquina de Amazon (.ami)
Imagen de disco Azure (.vhd)
Imagen OpenStack (.qcow2)

Las siguientes salidas no son compatibles esta vez:

sistema de archivos ext4
disco particionado
Nube de Alibaba
Google GCE

(JIRA:RHELPLAN-42617)

Image Builder ahora soporta el empuje a las nubes a través de la GUI

Con esta mejora, al crear imágenes, los usuarios pueden elegir la opción de empujar a las nubes de servicio Azure y AWS a través de la GUI Image Builder. Como resultado, los usuarios pueden beneficiarse de cargas e instancias más fáciles.

(JIRA:RHELPLAN-30878)

6.1.2. RHEL para Edge

Presentación de las imágenes de RHEL for Edge

Con esta versión, ahora puede crear imágenes RHEL personalizadas para servidores Edge.

Puede utilizar Image Builder para crear imágenes de RHEL for Edge y luego utilizar el instalador de RHEL para desplegarlas en sistemas AMD e Intel de 64 bits. Image Builder genera una imagen de RHEL for Edge como rhel-edge-commit en un archivo .tar.

Una imagen de RHEL for Edge es una imagen rpm-ostree que incluye paquetes del sistema para instalar remotamente RHEL en servidores Edge.

Los paquetes del sistema incluyen:

Paquete del sistema operativo base
Podman como motor de contenedores

Puede personalizar la imagen para configurar el contenido del sistema operativo según sus necesidades, y puede desplegarlas en máquinas físicas y virtuales.

Con una imagen de RHEL for Edge, puede lograr lo siguiente:

Actualizaciones atómicas, en las que se conoce el estado de cada actualización y no se ven los cambios hasta que se reinicia el dispositivo.
Comprobaciones de estado personalizadas mediante Greenboot y retrocesos inteligentes para la resiliencia en caso de actualizaciones fallidas.
Flujos de trabajo centrados en los contenedores, en los que puede separar las actualizaciones del sistema operativo principal de las de las aplicaciones, y probar e implantar diferentes versiones de las aplicaciones.
Cargas útiles OTA optimizadas para entornos con poco ancho de banda.
Comprobaciones de salud personalizadas mediante Greenboot para garantizar la resistencia.

Para obtener más información sobre la composición, instalación y gestión de imágenes de RHEL for Edge, consulte Composición, instalación y gestión de imágenes de RHEL for Edge.

(JIRA:RHELPLAN-56676)

6.1.3. Gestión del software

El valor por defecto de la opción de configuración best dnf ha sido cambiado de True a False

Con esta actualización, el valor de la mejor opción de configuración de dnf se ha establecido en True en el archivo de configuración por defecto para mantener el comportamiento original de dnf. Como resultado, para los usuarios que utilizan el archivo de configuración por defecto el comportamiento permanece sin cambios.

Si proporciona sus propios archivos de configuración, asegúrese de que la opción best=True esté presente para conservar el comportamiento original.

(BZ#1832869)

Ahora está disponible la nueva opción --norepopath para el comando dnf reposync

Anteriormente, el comando reposync creaba por defecto un subdirectorio bajo el directorio --download-path para cada repositorio descargado. Con esta actualización, se ha introducido la opción --norepopath, y reposync no crea el subdirectorio. Como resultado, el repositorio se descarga directamente en el directorio especificado por --download-path. Esta opción también está presente en la página web YUM v3.

(BZ#1842285)

Posibilidad de activar y desactivar los plugins de libdnf

Anteriormente, la comprobación de la suscripción estaba codificada en la versión RHEL de los complementos libdnf. Con esta actualización, la utilidad microdnf puede habilitar y deshabilitar los complementos de libdnf, y la comprobación de las suscripciones puede ahora deshabilitarse del mismo modo que en DNF. Para desactivar la comprobación de suscripciones, utilice el comando --disableplugin=subscription-manager. Para desactivar todos los complementos, utilice el comando --noplugins.

(BZ#1781126)

6.1.4. Shell y herramientas de línea de comandos

Actualizaciones deReaR

RHEL 8.3 introduce una serie de actualizaciones en la utilidad Relax-and-Recover(ReaR). Los cambios más destacados son:

Se ha añadido la compatibilidad con Rubrik Cloud Data Management (CDM) de terceros como software de copia de seguridad externa. Para utilizarlo, establezca la opción BACKUP en el archivo de configuración como CDM.
Se ha habilitado la creación de una imagen de rescate con un archivo mayor de 4 GB en el IBM POWER, arquitectura little endian.
La distribución de discos creada por ReaR ya no incluye entradas para los dispositivos iSCSI y sistemas de archivos de Rancher 2 Longhorn.

(BZ#1743303)

smartmontools rebasado a la versión 7.1

El paquete smartmontools ha sido actualizado a la versión 7.1, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

Incorporaciones de HDD, SSD y USB a la base de datos de unidades.
Nuevas opciones -j y --json para activar el modo de salida JSON.
Solución a la respuesta incompleta de las subpáginas de registro de algunas unidades SSD SAS.
Mejora del manejo del comando READ CAPACITY.
Varias mejoras para la decodificación de las páginas de registro.

(BZ#1671154)

opencryptoki rebasado a la versión 3.14.0

Los paquetes opencryptoki han sido actualizados a la versión 3.14.0, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

Mejoras del servicio criptográfico EP11:
- Apoyo al dilitio
- Compatibilidad con el algoritmo de firma digital de la curva de Edwards (EdDSA)
- Compatibilidad con el relleno de cifrado asimétrico óptimo de Rivest-Shamir-Adleman (RSA-OAEP) con una función de generación de máscaras y hash que no sea SHA1
Bloqueo de procesos e hilos mejorado
Mejora del btree y del bloqueo de objetos
Soporte para el nuevo hardware IBM Z z15
Compatibilidad con múltiples instancias de token para el módulo de plataforma de confianza (TPM), la arquitectura criptográfica de IBM (ICA) y la instalación de servicios criptográficos integrados (ICSF)
Se ha añadido una nueva herramienta p11sak, que enumera las claves de los tokens en un repositorio de tokens de openCryptoki
Se ha añadido una utilidad para migrar un repositorio de tokens a un cifrado compatible con FIPS
Corregida la herramienta pkcsep11_migrate
Correcciones menores del software ICSF

(BZ#1780293)

gpgme rebasado a la versión 1.13.1.

Los paquetes gpgme han sido actualizados a la versión 1.13.1. Los cambios notables incluyen:

Se han introducido los nuevos indicadores de contexto no-symkey-cache (tiene efecto cuando se utiliza con GnuPG 2.2.7 o posterior), request-origin (tiene efecto cuando se utiliza con GnuPG 2.2.6 o posterior), auto-key-locate y trust-model.
Se ha añadido la nueva herramienta gpgme-json como servidor de mensajería nativo para navegadores web. A partir de ahora, se soporta el cifrado y descifrado de clave pública.
Se ha introducido una nueva API de encriptación para soportar la especificación directa de claves, incluyendo la opción de destinatarios ocultos y la toma de claves desde un archivo. Esto también permite el uso de una subclave.

(BZ#1829822)

6.1.5. Servicios de infraestructura

powertop rebasado a la versión 2.12

Los paquetes de powertop han sido actualizados a la versión 2.12. Entre los cambios más destacados respecto a la versión 2.11 disponible anteriormente se encuentran:

Uso de la gestión de energía de la interfaz del dispositivo (DIPM) para el enlace SATA PM.
Compatibilidad con los sistemas móviles y de sobremesa Intel Comet Lake, el servidor Skylake y la arquitectura Tremont basada en Atom (Jasper Lake).

(BZ#1783110)

reajustado a la versión 2.14.0

Los paquetes ajustados han sido actualizados a la versión 2.14.0. Las mejoras más destacadas son:

Se ha introducido el perfil optimizar-serial-consola.
Se ha añadido la posibilidad de un perfil cargado por correo.
Se ha añadido el plugin irqbalance para manejar los ajustes de irqbalance.
Se ha añadido un ajuste específico de la arquitectura para las plataformas basadas en Marvell ThunderX y AMD.
El plugin del programador ha sido ampliado para soportar cgroups-v1 para la configuración de la afinidad de la CPU.

(BZ#1792264)

tcpdump rebasado a la versión 4.9.3

La utilidad tcpdump ha sido actualizada a la versión 4.9.3 para corregir las vulnerabilidades y exposiciones comunes (CVE).

(BZ#1804063)

libpcap rebasado a la versión 1.9.1

Los paquetes libpcap han sido actualizados a la versión 1.9.1 para corregir las vulnerabilidades y exposiciones comunes (CVE).

(BZ#1806422)

iperf3 ahora soporta la opción sctp en el lado del cliente

Con esta mejora, el usuario puede utilizar el Protocolo de Transmisión de Control de Flujo (SCTP) en lugar del Protocolo de Control de Transmisión (TCP) en el lado del cliente para probar el rendimiento de la red.

Las siguientes opciones para iperf3 están ahora disponibles en el lado cliente de las pruebas:

--sctp
--xbind
--nstreams

Para obtener más información, consulte Opciones específicas del cliente en la página man de iperf3.

(BZ#1665142)

iperf3 ahora soporta SSL

Con esta mejora, el usuario puede utilizar la autenticación RSA entre el cliente y el servidor para restringir las conexiones al servidor sólo a los clientes legítimos.

Las siguientes opciones para iperf3 están ahora disponibles en el lado del servidor:

--rsa-private-key-path
--ruta de usuarios autorizados

Las siguientes opciones para iperf3 están ahora disponibles en el lado cliente de la comunicación:

--nombre de usuario
--rsa-public-key-path

(BZ#1700497)

bind rebasado a 9.11.20

El paquete bind ha sido actualizado a la versión 9.11.20, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

Aumento de la fiabilidad en los sistemas con muchos núcleos de CPU mediante la corrección de varias condiciones de carrera.
Informe detallado de errores: dig y otras herramientas pueden ahora imprimir la opción de error de DNS extendido (EDE), si está presente.
Los ID de los mensajes en las transferencias entrantes del Protocolo de Transferencia de Zona DNS (AXFR) se comprueban y registran cuando son incoherentes.

(BZ#1818785)

Un nuevo perfil TuneD de optimización de consolas serie para reducir la E/S en las consolas serie reduciendo el valor de printk

Con esta actualización, está disponible un nuevo perfil TuneD de optimización de la consola serie. En algunos escenarios, los controladores del kernel pueden enviar grandes cantidades de operaciones de E/S a la consola serie. Este comportamiento puede causar una falta de respuesta temporal mientras la E/S se escribe en la consola serie. El perfil optimize-serial-console reduce esta E/S bajando el valor de printk del valor por defecto de 7 4 1 7 a 4 4 1 7. Los usuarios con una consola serial que deseen hacer este cambio en su sistema pueden instrumentar su sistema de la siguiente manera:

# tuned-adm profile throughput-performance optimize-serial-console

Como resultado, los usuarios tendrán un valor de printk más bajo que persiste a través de un reinicio, lo que reduce la probabilidad de cuelgues del sistema.

Este perfil de TuneD reduce la cantidad de E/S que se escribe en la consola serie al eliminar la información de depuración. Si necesitas recoger esta información de depuración, debes asegurarte de que este perfil no está habilitado y de que el valor de printk está establecido en 7 4 1 7. Para comprobar el valor de printk ejecute:

# cat /proc/sys/kernel/printk

(BZ#1840689)

Se han añadido nuevos perfiles TuneD para las plataformas basadas en AMD

En RHEL 8.3, el perfil TuneD de rendimiento se ha actualizado para incluir el ajuste para las plataformas basadas en AMD. No es necesario cambiar ningún parámetro manualmente y el ajuste se aplica automáticamente en el sistema AMD. Los sistemas AMD Epyc Naples y Rome alteran los siguientes parámetros en el perfil de rendimiento por defecto:

sched_migration_cost_ns=5000000 y kernel.numa_balancing=0

Con esta mejora, el rendimiento del sistema aumenta en un ~5%.

(BZ#1746957)

memcached rebasado a la versión 1.5.22

Los paquetes de memcached han sido actualizados a la versión 1.5.22. Los cambios notables sobre la versión anterior incluyen:

Se ha activado TLS.
Se ha eliminado la opción -o inline_ascii_response.
Se ha añadido la opción -Y [authfile] junto con el modo de autenticación para el protocolo ASCII.
memcached puede ahora recuperar su caché entre reinicios.
Se han añadido nuevos meta comandos experimentales.
Varias mejoras de rendimiento.

(BZ#1809536)

6.1.6. Seguridad

Cyrus SASL admite ahora la vinculación de canales con los complementos SASL/GSSAPI y SASL/GSS-SPNEGO

Esta actualización añade soporte para los enlaces de canal con los complementos SASL/GSSAPI y SASL/GSS-SPNEGO. Como resultado, cuando se utiliza en las bibliotecas openldap, esta característica permite a Cyrus SASL mantener la compatibilidad y el acceso a los sistemas de Microsoft Active Directory y Microsoft Windows que están introduciendo la vinculación de canal obligatoria para las conexiones LDAP.

(BZ#1817054)

Libreswan rebasado a 3.32

Con esta actualización, Libreswan ha sido rebasado a la versión 3.32, que incluye varias características nuevas y correcciones de errores. Las características más destacadas son:

Libreswan ya no requiere una certificación FIPS 140-2 por separado.
Libreswan ahora implementa las recomendaciones criptográficas del RFC 8247, y cambia la preferencia de SHA-1 y RSA-PKCS v1.5 a SHA-2 y RSA-PSS.
Libreswan admite interfaces ipsecXX virtuales XFRMi que simplifican la escritura de reglas de cortafuegos.
Se ha mejorado la recuperación de los nodos accidentados y reiniciados en una red de encriptación de malla completa.

(BZ#1820206)

La librería libssh ha sido rebasada a la versión 0.9.4

La biblioteca libssh, que implementa el protocolo SSH, ha sido actualizada a la versión 0.9.4.

Esta actualización incluye correcciones de errores y mejoras, incluyendo:

Se ha añadido soporte para claves Ed25519 en archivos PEM.
Se ha añadido soporte para el algoritmo de intercambio de claves diffie-hellman-group14-sha256.
Se ha añadido soporte para localuser en la palabra clave Match en el archivo de configuración del cliente libssh.
Los argumentos de las palabras clave de los criterios decoincidencia ahora distinguen entre mayúsculas y minúsculas (tenga en cuenta que las palabras clave no distinguen entre mayúsculas y minúsculas, pero los argumentos de las palabras clave sí)
Se ha corregido CVE-2019-14889 y CVE-2020-1730.
Se ha añadido soporte para la creación recursiva de los directorios que faltan y que se encuentran en la cadena de ruta proporcionada para el archivo de hosts conocidos.
Se ha añadido soporte para claves OpenSSH en archivos PEM con comentarios y espacios en blanco al principio.
Se ha eliminado la inclusión de la configuración del servidor OpenSSH en la configuración del servidor libssh.

(BZ#1804797)

gnutls rebasado a 3.6.14

Los paquetes de gnutls han sido reajustados a la versión 3.6.14. Esta versión proporciona muchas correcciones de errores y mejoras, sobre todo:

gnutls ahora rechaza los certificados con campos de Hora que contienen caracteres o formato no válidos.
gnutls ahora comprueba los certificados de CA de confianza para los tamaños de clave mínimos.
Al mostrar una clave privada cifrada, la utilidad certtool ya no incluye su descripción en texto plano.
Los servidores que utilizan gnutls ahora anuncian el soporte de OCSP-stapling.
Los clientes que utilizan gnutls ahora envían grapas OCSP sólo a petición.

(BZ#1789392)

las comprobaciones FIPS DH degnutls ahora son conformes a la norma NIST SP 800-56A rev. 3

Esta actualización de los paquetes gnutls proporciona las comprobaciones requeridas por la Publicación Especial 800-56A Revisión 3 del NIST, secciones 5.7.1.1 y 5.7.1.2, paso 2. El cambio es necesario para las futuras certificaciones FIPS 140-2. Como resultado, gnutls ahora sólo acepta parámetros de 2048 bits o más de RFC 7919 y RFC 3526 durante el intercambio de claves Diffie-Hellman cuando funciona en modo FIPS.

(BZ#1849079)

gnutls ahora realiza validaciones según NIST SP 800-56A rev 3

Esta actualización de los paquetes gnutls añade las comprobaciones requeridas por la Publicación Especial 800-56A Revisión 3 del NIST, secciones 5.6.2.2.2 y 5.6.2.1.3, paso 2. Esta adición prepara a gnutls para futuras certificaciones FIPS 140-2. Como resultado, gnutls realiza pasos de validación adicionales para las claves públicas generadas y recibidas durante el intercambio de claves Diffie-Hellman cuando funciona en modo FIPS.

(BZ#1855803)

update-crypto-policies y fips-mode-setup movidos a crypto-policies-scripts

Los scripts update-crypto-policies y fips-mode-setup, que antes se incluían en el paquete crypto-policies, se han trasladado a un subpaquete RPM independiente crypto-policies-scripts. El paquete se instala automáticamente a través de la dependencia Recommends en las instalaciones regulares. Esto permite que la imagen ubi8/ubi-minimal evite la inclusión del intérprete del lenguaje Python y, por lo tanto, reduce el tamaño de la imagen.

(BZ#1832743)

OpenSC se ha actualizado a la versión 0.20.0

El paquete opensc ha sido reajustado a la versión 0.20.0 que soluciona múltiples errores y problemas de seguridad. Los cambios más importantes son:

Con esta actualización, se solucionan los problemas de seguridad de CVE-2019-6502, CVE-2019-15946, CVE-2019-15945, CVE-2019-19480, CVE-2019-19481 y CVE-2019-19479.
El módulo OpenSC soporta ahora las funciones C_WrapKey y C_UnwrapKey.
Ahora puede utilizar la instalación para detectar la inserción y extracción de los lectores de tarjetas como se esperaba.
La utilidad pkcs11-tool ahora soporta el atributo CKA_ALLOWED_MECHANISMS.
Esta actualización permite la detección por defecto de las tarjetas OsEID.
La tarjeta OpenPGP v3 ahora soporta Elliptic Curve Cryptography (ECC).
El URI PKCS#11 ahora trunca el nombre del lector con elipsis.

(BZ#1810660)

stunnel rebasado a la versión 5.56

Con esta actualización, la envoltura de encriptación de stunnel ha sido rebasada a la versión 5.56, que incluye varias características nuevas y correcciones de errores. Las características más destacadas son:

Nuevas opciones ticketKeySecret y ticketMacSecret que controlan la confidencialidad y la protección de la integridad de los tickets de sesión emitidos. Estas opciones permiten reanudar las sesiones en otros nodos de un clúster.
Nueva opción de curvas para controlar la lista de curvas elípticas en OpenSSL 1.1.0 y posteriores.
Nueva opción de ciphersuites para controlar la lista de ciphersuites TLS 1.3 permitidos.
Se ha añadido sslVersion, sslVersionMin y sslVersionMax para OpenSSL 1.1.0 y posteriores.

(BZ#1808365)

libkcapi rebasado a la versión 1.2.0

El paquete libkcapi ha sido rebasado a la versión 1.2.0, que incluye cambios menores.

(BZ#1683123)

setools rebasado a 4.3.0

El paquete setools, que es una colección de herramientas diseñadas para facilitar el análisis de políticas de SELinux, ha sido actualizado a la versión 4.3.0.

Esta actualización incluye correcciones de errores y mejoras, incluyendo:

Método de sediff revisado para las reglas de Type Enforcement (TE), que reduce significativamente los problemas de memoria y tiempo de ejecución.
Se ha añadido soporte de contexto infiniband a seinfo, sediff y apol.
Se ha añadido la configuración de apol para la ubicación de la herramienta asistente de Qt utilizada para mostrar la documentación en línea.
Se han solucionado problemas de sediff con:
- Visualización de la cabecera de las propiedades cuando no se solicita.
- Comparación de nombres de archivos type_transition.
Corregido el permiso de la dirección del flujo de información de map socket sendto.
Se han añadido métodos a la clase TypeAttribute para convertirla en una colección completa de Python.
Genfscon ahora busca las clases, en lugar de utilizar los valores fijos que se eliminaron de libsepol.

El paquete setools requiere los siguientes paquetes:

setools-console
setools-console-analyses
setools-gui

(BZ#1820079)

Los archivos y directorios individuales de CephFS ahora pueden tener etiquetas SELinux

El sistema de archivos Ceph (CephFS) ha habilitado recientemente el almacenamiento de etiquetas SELinux en los atributos extendidos de los archivos. Anteriormente, todos los archivos de un volumen CephFS estaban etiquetados con una única etiqueta común system_u:object_r:cephfs_t:s0. Con esta mejora, se pueden cambiar las etiquetas de los archivos individuales, y SELinux define las etiquetas de los archivos recién creados basándose en reglas de transición. Tenga en cuenta que los archivos no etiquetados previamente siguen teniendo la etiqueta system_u:object_r: cephfs_t:s0 hasta que se cambie explícitamente.

(BZ#1823764)

OpenSCAP rebasado a la versión 1.3.3

Los paquetes de openscap se han actualizado a la versión 1.3.3, que proporciona muchas correcciones de errores y mejoras con respecto a la versión anterior, sobre todo:

Se ha añadido el script autotailor que permite generar archivos de adaptación mediante una interfaz de línea de comandos (CLI).
Se ha añadido la parte de la zona horaria al formato de descripción de la lista de control de configuración extensible (XCCDF)
Se ha añadido la sonda independiente yamlfilecontent como borrador de implementación.
Introducido el tipo urn:xccdf:fix:script:kubernetes fix en XCCDF.
Se ha añadido la posibilidad de generar la configuración de la máquina.
La herramienta oscap-podman ahora puede detectar objetivos de exploración ambiguos.
La sonda rpmverifyfile ahora puede verificar archivos del directorio /bin.
Se han corregido los fallos cuando se ejecutan regexes complicadas en la sonda textfilecontent58.
Las características de evaluación del informe XCCDF son ahora consistentes con las entidades OVAL de la sonda system_info.
Se ha corregido la coincidencia de patrones de rutas de archivos en el modo sin conexión en la sonda textfilecontent58.
Corregida la recursión infinita en la sonda systemdunitdependency.

(BZ#1829761)

La guía de seguridad de SCAP ofrece ahora un perfil alineado con el benchmark de CIS RHEL 8 v1.0.0

Con esta actualización, los paquetes scap-security-guide proporcionan un perfil alineado con el CIS Red Hat Enterprise Linux 8 Benchmark v1.0.0. El perfil le permite endurecer la configuración del sistema utilizando las directrices del Center for Internet Security (CIS). Como resultado, puede configurar y automatizar el cumplimiento de sus sistemas RHEL 8 con CIS utilizando el Ansible Playbook de CIS y el perfil SCAP de CIS.

Tenga en cuenta que la regla rpm_verify_permissions del perfil CIS no funciona correctamente.

(BZ#1760734)

scap-security-guide proporciona ahora un perfil que implementa la HIPAA

Esta actualización de los paquetes scap-security-guide añade el perfil de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) al contenido de cumplimiento de seguridad de RHEL 8. Este perfil implementa las recomendaciones que se indican en el sitio web The HIPAA Privacy Rule.

La regla de seguridad de la HIPAA establece normas nacionales para proteger la información médica personal electrónica de los individuos que es creada, recibida, utilizada o mantenida por una entidad cubierta. La Regla de Seguridad exige que se adopten las salvaguardias administrativas, físicas y técnicas adecuadas para garantizar la confidencialidad, integridad y seguridad de la información sanitaria protegida electrónicamente.

(BZ#1832760)

scap-security-guide rebasado a 0.1.50

Los paquetes scap-security-guide, que contienen el último conjunto de políticas de seguridad para sistemas Linux, han sido actualizados a la versión 0.1.50.

Esta actualización incluye correcciones de errores y mejoras, sobre todo:

El contenido de Ansible ha sido mejorado: numerosas reglas contienen remedios de Ansible por primera vez y otras reglas han sido actualizadas para abordar correcciones de errores.
Correcciones y mejoras en el contenido de scap-security-guide para el escaneo de sistemas RHEL7, incluyendo:
- Los paquetes scap-security-guide ahora proporcionan un perfil alineado con el CIS RHEL 7 Benchmark v2.2.0. Note que la regla rpm_verify_permissions en el perfil CIS no funciona correctamente; vea el problema conocido rpm_verify_permissions fails in the CIS profile.
- Los perfiles de la Guía de Seguridad SCAP ahora desactivan y enmascaran correctamente los servicios que no deben iniciarse.
- La regla audit_rules_privileged_commands de los paquetes scap-security-guide ahora funciona correctamente para los comandos privilegiados.
- La corrección de la regla dconf_gnome_login_banner_text en los paquetes scap-security-guide ya no falla incorrectamente.

(BZ#1815007)

SCAP Workbench puede ahora generar remedios basados en resultados a partir de perfiles adaptados

Con esta actualización, ahora puede generar funciones de corrección basadas en resultados a partir de perfiles adaptados mediante la herramienta SCAP Workbench.

(BZ#1640715)

El nuevo rol de Ansible proporciona despliegues automatizados de los clientes de Clevis

Esta actualización del paquete rhel-system-roles introduce el rol de sistema nbde_client RHEL. Este rol de Ansible permite desplegar múltiples clientes Clevis de forma automatizada.

(BZ#1716040)

El nuevo rol de Ansible ahora puede configurar un servidor Tang

Con esta mejora, puede desplegar y gestionar un servidor Tang como parte de una solución automatizada de cifrado de discos con el nuevo rol de sistema nbde_server. El rol de Ansible nbde_server, que se incluye en el paquete rhel-system-roles, admite las siguientes funciones:

Llaves Tang giratorias
Despliegue y copia de seguridad de las llaves Tang

Para más información, véase Rotación de las llaves del servidor Tang.

(BZ#1716039)

lahorquilla se ha reajustado a la versión 13

Los paquetes de la clevis han sido reajustados a la versión 13, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

eldesbloqueo de la horquilla se puede utilizar en el dispositivo con un archivo de claves en el modo no interactivo.
clevis encrypt tpm2 analiza el campo pcr_ids si la entrada se da como una matriz JSON.
La página man de clevis-luks-unbind(1) ya no se refiere sólo a LUKS v1.
clevis luks bind ya no escribe en una ranura inactiva, si la contraseña dada es incorrecta.
clevis luks bind ahora funciona mientras el sistema utiliza la configuración regional no inglesa.
Se ha añadido soporte para tpm2-tools 4.x.

(BZ#1818780)

laedición de las horquillas le permite editar una configuración específica de las clavijas

Esta actualización de los paquetes clevis introduce el nuevo subcomando clevis luks edit que permite editar una configuración de pines específica. Por ejemplo, ahora puede cambiar la dirección URL de un servidor Tang y el parámetro pcr_ids en una configuración TPM2. También puede añadir y eliminar nuevos pines sss y cambiar el umbral de un pin sss.

(BZ#1436735)

clevis luks bind -y ahora permite la vinculación automática

Con esta mejora, Clevis admite la vinculación automática con el parámetro -y. Ahora puede utilizar la opción -y con el comando clevis luks bind, que responde automáticamente a las indicaciones posteriores con yes. Por ejemplo, cuando se utiliza un pin Tang, ya no es necesario confiar manualmente en las claves Tang.

(BZ#1819767)

fapolicyd rebasado a la versión 1.0

Los paquetes fapolicyd han sido reajustados a la versión 1.0, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

Se ha resuelto el problema de la sincronización de múltiples hilos.
Mejora del rendimiento con una reducción del tamaño de la base de datos y del tiempo de carga.
Se ha añadido una nueva opción de confianza para el paquete fapolicyd en el archivo fapolicyd.conf para personalizar el back end de confianza. Puedes añadir todos los archivos, binarios y scripts de confianza al nuevo archivo /etc/fapolicyd/fapolicyd.trust.
Puede gestionar el archivo fapolicyd. trust mediante la CLI.
Puede limpiar o volcar la base de datos utilizando la CLI.
El paquete fapolicyd anula la base de datos mágica para una mejor decodificación de los scripts. La CLI imprime el tipo MIME del archivo similar al comando file según la anulación.
El archivo /etc/fapolicyd/fapolicyd. rules admite un grupo de valores como valores de atributos.
El demonio fapolicyd tiene una opción syslog_format para establecer el formato de los eventos de auditoría/sylog.

(BZ#1817413)

fapolicyd proporciona ahora su propia política SELinux en fapolicyd-selinux

Con esta mejora, el marco fapolicyd ahora proporciona su propia política de seguridad SELinux. El demonio está confinado bajo el dominio fapolicyd_t y la política se instala a través del subpaquete fapolicyd-selinux.

(BZ#1714529)

USBGuard rebasado a la versión 0.7.8

Los paquetes usbguard han sido reajustados a la versión 0.7.8 que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

El parámetro HidePII=true|false en el archivo /etc/usbguard/usbguard-daemon. conf ahora puede ocultar la información de identificación personal de las entradas de auditoría.
El parámetro AuthorizedDefault=keep|none|all|internal en el archivo /etc/usbguard/usbguard-daemon. conf puede predefinir el estado de autorización de los dispositivos del controlador.
Con el nuevo atributo de regla with-connect-type, los usuarios pueden ahora distinguir el tipo de conexión del dispositivo.
Ahora los usuarios pueden añadir reglas temporales con la opción -t. Las reglas temporales permanecen en la memoria sólo hasta que el demonio se reinicia.
ahorausbguard list-rules puede filtrar las reglas según ciertas propiedades.
usbguard generate-policy ahora puede generar una política para dispositivos específicos.
El comando usbguard allow|block|reject ahora puede manejar cadenas de reglas, y se aplica un objetivo en cada dispositivo que coincida con la cadena de reglas especificada.
Se incluyen los nuevos subpaquetes usbguard-notifier y usbguard-selinux.

(BZ#1738590)

USBGuard proporciona muchas mejoras para los usuarios de escritorios corporativos

Esta adición al proyecto USBGuard contiene mejoras y correcciones de errores para mejorar la usabilidad para los usuarios de escritorios corporativos. Los cambios importantes incluyen:

Para mantener limpio el archivo de reglas /etc/usbguard/rules.conf, los usuarios pueden definir varios archivos de configuración dentro del directorio RuleFolder=/etc/usbguard/rules.d/. Por defecto, el RuleFolder se especifica en el archivo /etc/usbguard-daemon. conf.
La herramienta usbguard-notifier ahora proporciona notificaciones en la interfaz gráfica de usuario. La herramienta notifica al usuario cada vez que un dispositivo se conecta o desconecta y si el dispositivo está permitido, bloqueado o rechazado por cualquier usuario.
Ahora puede incluir comentarios en los archivos de configuración, porque el demonio usbguard ya no analiza las líneas que comienzan con #.

(BZ#1667395)

USBGuard proporciona ahora su propia política SELinux en usbguard-selinux

Con esta mejora, el marco USBGuard ahora proporciona su propia política de seguridad SELinux. El demonio está confinado bajo el dominio usbguard_t y la política se instala a través del subpaquete usbguard-selinux.

(BZ#1683567)

libcap ahora es compatible con las capacidades ambientales

Con esta actualización, los usuarios pueden conceder capacidades de ambiente en el inicio de sesión y evitar la necesidad de tener acceso de root para los procesos debidamente configurados.

(BZ#1487388)

La librería libseccomp ha sido rebasada a la versión 2.4.3

La biblioteca libseccomp, que proporciona una interfaz para el mecanismo de filtrado de llamadas del sistema seccomp, se ha actualizado a la versión 2.4.3.

Esta actualización proporciona numerosas correcciones de errores y mejoras. Los cambios más destacados son:

Actualizada la tabla de syscall para Linux v5.4-rc4.
Ya no se definen los valores de __NR_x para las llamadas al sistema que no existen.
__SNR_x se utiliza ahora internamente.
Se ha añadido una definición para __SNR_ppoll.
Se ha corregido un problema de multiplexación con las llamadas al sistema s390/s390x shm*.
Se ha eliminado la bandera estática de la compilación de las herramientas libseccomp.
Se ha añadido soporte para las llamadas al sistema relacionadas con io-uring.
Se ha corregido el problema de nomenclatura del módulo de Python introducido en la versión v2.4.0; el módulo se llama seccomp como antes.
Se ha corregido una posible fuga de memoria identificada por clang en la herramienta scmp_bpf_sim.

(BZ#1770693)

el móduloomamqp1 ya es compatible

Con esta actualización, el protocolo AMQP 1. 0 soporta el envío de mensajes a un destino en el bus. Anteriormente, Openstack utilizaba el protocolo AMQP1 como estándar de comunicación, y este protocolo ahora puede registrar mensajes en mensajes AMQP. Esta actualización introduce el subpaquete rsyslog-omamqp1 para ofrecer el modo de salida omamqp1, que registra los mensajes y los envía al destino en el bus.

(BZ#1713427)

OpenSCAP comprime el contenido remoto

Con esta actualización, OpenSCAP utiliza la compresión gzip para transferir el contenido remoto. El tipo más común de contenido remoto son los feeds de CVE basados en texto, que aumentan de tamaño con el tiempo y normalmente tienen que descargarse para cada exploración. La compresión gzip reduce el ancho de banda al 10% del necesario para el contenido sin comprimir. Como resultado, se reducen los requisitos de ancho de banda en toda la cadena entre el sistema escaneado y el servidor que aloja el contenido remoto.

(BZ#1855708)

La guía de seguridad de SCAP proporciona ahora un perfil alineado con NIST-800-171

Con esta actualización, los paquetes scap-security-guide proporcionan un perfil alineado con la norma NIST-800-171. El perfil le permite endurecer la configuración del sistema de acuerdo con los requisitos de seguridad para la protección de la información no clasificada controlada (CUI) en los sistemas de información no federales. Como resultado, puede configurar más fácilmente los sistemas para que estén alineados con la norma NIST-800-171.

(BZ#1762962)

6.1.7. Red

Los módulos de seguimiento de conexiones IPv4 e IPv6 se han fusionado en el módulo nf_conntrack

Esta mejora fusiona los módulos de seguimiento de conexiones nf_conntrack_ipv4 y nf_conntrack_ipv6 de Netfilter en el módulo del núcleo nf_conntrack. Debido a este cambio, la inclusión en la lista negra de los módulos específicos de la familia de direcciones ya no funciona en RHEL 8.3, y se puede incluir en la lista negra sólo el módulo nf_conntrack para desactivar el soporte de seguimiento de conexiones para los protocolos IPv4 e IPv6.

(BZ#1822085)

firewalld rebasado a la versión 0.8.2

Los paquetes firewalld han sido actualizados a la versión 0.8.2, que proporciona una serie de correcciones de errores respecto a la versión anterior. Para más detalles, consulte las notas de la versión 0.8.2 de firewalld.

(BZ#1809636)

NetworkManager se ha actualizado a la versión 1.26.0

Los paquetes de NetworkManager han sido actualizados a la versión 1.26.0, que proporciona una serie de mejoras y correcciones de errores con respecto a la versión anterior:

NetworkManager restablece la configuración de autonegociación, velocidad y dúplex a su valor original al desactivar un dispositivo.
Los perfiles Wi-Fi se conectan ahora automáticamente si fallan todos los intentos de activación anteriores. Esto significa que un fallo inicial en la conexión automática a la red ya no bloquea el automatismo. Un efecto secundario es que los perfiles Wi-Fi existentes que antes estaban bloqueados ahora se conectan automáticamente.
Se han añadido las páginas de manual nm-settings-nmcli (5 ) y nm-settings-dbus(5).
Se ha añadido soporte para una serie de parámetros de puente.
Se ha añadido soporte para interfaces de enrutamiento y reenvío virtual (VRF). Para más detalles, consulte Reutilización permanente de la misma dirección IP en diferentes interfaces.
Se ha añadido la compatibilidad con el modo de cifrado inalámbrico oportunista (OWE) para redes Wi-Fi.
NetworkManager admite ahora prefijos de 31 bits en los enlaces punto a punto de IPv4 según el RFC 3021.
La utilidad nmcli ahora soporta la eliminación de configuraciones usando la conexión nmcli modificar
NetworkManager ya no crea ni activa dispositivos esclavos si falta un dispositivo maestro.

Para más información sobre los cambios notables, lea las notas de la versión anterior:

(BZ#1814746)

El XDP es compatible de forma condicional

Red Hat admite la función eXpress Data Path (XDP) sólo si se dan todas las condiciones siguientes:

Usted carga el programa XDP en una arquitectura AMD o Intel de 64 bits
Se utiliza la biblioteca libxdp para cargar el programa en el kernel
El programa XDP utiliza uno de los siguientes códigos de retorno: XDP_ABORTED, XDP_DROP, o XDP_PASS
El programa XDP no utiliza la descarga de hardware XDP

Para más detalles sobre las funciones XDP no soportadas, consulte Resumen de las funciones XDP que están disponibles como Muestra de Tecnología

(BZ#1889736)

xdp-tools es totalmente compatible

El paquete xdp-tools, que contiene utilidades de apoyo al espacio de usuario para la función eXpress Data Path (XDP) del kernel, es ahora compatible con las arquitecturas de 64 bits de AMD e Intel. Incluye la biblioteca libxdp, la utilidad xdp-loader para cargar programas XDP, el programa de ejemplo xdp-filter para filtrar paquetes y la utilidad xdpdump para capturar paquetes de una interfaz de red con XDP activado.

(BZ#1820670)

La utilidad dracut por defecto ahora utiliza NetworkManager en el disco RAM inicial

Anteriormente, la utilidad dracut utilizaba un script de shell para gestionar la red en el disco RAM inicial, initrd. En ciertos casos, esto podía causar problemas. Por ejemplo, el NetworkManager envía otra solicitud de DHCP, incluso si el script en el disco RAM ya ha solicitado una dirección IP, lo que podría resultar en un tiempo de espera.

Con esta actualización, el dracut por defecto ahora utiliza el NetworkManager en el disco RAM inicial y evita que el sistema tenga problemas. En caso de que quieras volver a la implementación anterior, y recrear las imágenes del disco RAM, utiliza los siguientes comandos:

# echo 'add_dracutmodules+=" network-legacy "' > /etc/dracut.conf.d/enable-network-legacy.conf

# dracut -vf --regenerate-all

(BZ#1626348)

La configuración de la red en la línea de comandos del kernel se ha consolidado bajo el parámetro ip

Los parámetros ipv6, máscara de red, puerta de enlace y nombre de host para establecer la configuración de red en la línea de comandos del kernel se han consolidado bajo el parámetro ip. El parámetro ip acepta diferentes formatos, como el siguiente:

ip=__IP_address__:__peer__:__gateway_IP_address__:__net_mask__:__host_name__:__interface_name__:__configuration_method__

Para más detalles sobre los campos individuales y otros formatos que acepta este parámetro, consulte la descripción del parámetro ip en la página man de dracut.cmdline(7).

Los parámetros ipv6, máscara de red, puerta de enlace y nombre de host ya no están disponibles en RHEL 8.

(BZ#1905138)

6.1.8. Núcleo

Versión del núcleo en RHEL 8.3

Red Hat Enterprise Linux 8.3 se distribuye con la versión 4.18.0-240 del kernel.

(BZ#1839151)

Filtro de paquetes Berkeley ampliado para RHEL 8.3

La Extended Berkeley Packet Filter (eBPF) es una máquina virtual dentro del núcleo que permite la ejecución de código en el espacio del núcleo, en el entorno restringido de la caja de arena con acceso a un conjunto limitado de funciones. La máquina virtual ejecuta un código especial de tipo ensamblador.

El bytecode de eBPF se carga primero en el kernel, seguido de su verificación, la traducción del código al código máquina nativo con compilación just-in-time, y luego la máquina virtual ejecuta el código.

Red Hat suministra numerosos componentes que utilizan la máquina virtual eBPF. Cada componente se encuentra en una fase de desarrollo diferente y, por lo tanto, no todos los componentes están actualmente soportados. En RHEL 8.3, los siguientes componentes de eBPF están soportados:

El paquete de herramientas BPF Compiler Collection (BCC), que proporciona herramientas para el análisis de E/S, la creación de redes y la supervisión de sistemas operativos Linux mediante eBPF
La biblioteca BCC que permite el desarrollo de herramientas similares a las proporcionadas en el paquete de herramientas BCC.
La función eBPF for Traffic Control (tc), que permite el procesamiento programable de paquetes dentro de la ruta de datos de la red del núcleo.
La función eXpress Data Path (XDP), que proporciona acceso a los paquetes recibidos antes de que la pila de red del kernel los procese, está soportada bajo condiciones específicas. Para más detalles, consulte la sección de redes de las Notas de Relase.
El paquete libbpf, que es crucial para las aplicaciones relacionadas con bpf como bpftrace y el desarrollo de bpf/xdp. Para más detalles, consulte la nota de la versión dedicada libbpf fully supported.
El paquete xdp-tools, que contiene utilidades de apoyo al espacio de usuario para la función XDP, es ahora compatible con las arquitecturas de 64 bits de AMD e Intel. Para más detalles, consulte la sección de redes de las Notas de la versión.

Tenga en cuenta que todos los demás componentes de eBPF están disponibles como Technology Preview, a menos que se indique que un componente específico es compatible.

Los siguientes componentes notables de eBPF están actualmente disponibles como Technology Preview:

El lenguaje de rastreo bpftrace
La toma AF_XDP para conectar la ruta eXpress Data Path (XDP) al espacio de usuario

Para más información sobre los componentes de la Previsión Tecnológica, véase Previsiones Tecnológicas.

(BZ#1780124)

Software de host de la arquitectura Omni-Path (OPA) de Cornelis Networks

El software de host Omni-Path Architecture (OPA) es totalmente compatible con Red Hat Enterprise Linux 8.3. OPA proporciona hardware Host Fabric Interface (HFI) con inicialización y configuración para transferencias de datos de alto rendimiento (alto ancho de banda, alta tasa de mensajes, baja latencia) entre nodos de computación y E/S en un entorno de clúster.

Para obtener instrucciones sobre la instalación de la arquitectura Omni-Path, consulte el archivo Intel® Omni-Path Fabric Software Release Notes.

(BZ#1893174)

TSX está ahora desactivado por defecto

A partir de RHEL 8.3, el kernel tiene ahora la tecnología Intel® Transactional Synchronization Extensions (TSX) deshabilitada por defecto para mejorar la seguridad del sistema operativo. El cambio se aplica a las CPU que admiten la desactivación de TSX, incluidos los procesadores escalables Intel® Xeon® de segunda generación (antes conocidos como Cascade Lake con los chipsets de la serie Intel® C620).

Para los usuarios cuyas aplicaciones no utilizan TSX, el cambio elimina la penalización de rendimiento por defecto de las mitigaciones de TSX Asynchronous Abort (TAA) en los procesadores escalables Intel® Xeon® de segunda generación.

El cambio también alinea el comportamiento del kernel de RHEL con el de upstream, donde TSX está desactivado por defecto desde Linux 5.4.

Para activar TSX, añada el parámetro tsx=on a la línea de comandos del kernel.

(BZ#1828642)

RHEL 8.3 ahora soporta la función de seguimiento del propietario de la página

Con esta actualización, puede utilizar la función de seguimiento del propietario de la página para observar la utilización de la memoria del kernel a nivel de asignación de la página.

Para activar el rastreador de páginas, ejecute los siguientes pasos:

# grubby --args="page_owner=on" --update-kernel=0
# reboot

Como resultado, el rastreador de propietarios de páginas rastreará el consumo de memoria del kernel, lo que ayuda a depurar las fugas de memoria del kernel y a detectar los controladores que utilizan mucha memoria.

(BZ#1825414)

Ahora se admite EDAC para los procesadores AMD EPYC™ serie 7003

Esta mejora proporciona compatibilidad con el dispositivo de detección y corrección de errores (EDAC) para los procesadores AMD EPYC™ serie 7003. Anteriormente, los errores de memoria corregidos (CE) y no corregidos (UE) no se informaban en los sistemas basados en los procesadores AMD EPYC™ serie 7003. Con esta actualización, estos errores ahora se informarán mediante EDAC.

(BZ#1735611)

Flamegraph es ahora compatible con la herramienta perf

Con esta actualización, la herramienta de línea de comandos perf soporta flamegraphs para crear una representación gráfica del rendimiento del sistema. Los datos de perf se agrupan en muestras con backtraces de pila similares. Como resultado, estos datos se convierten en una representación visual para permitir una identificación más fácil de las áreas de código que hacen un uso intensivo de los cálculos. Para generar un flamegraph utilizando la herramienta perf, ejecute los siguientes comandos:

$ perf script record flamegraph -F 99 -g -- stress --cpu 1 --vm-bytes 128M --timeout 10s
stress: info: [4461] dispatching hogs: 1 cpu, 0 io, 0 vm, 0 hdd
stress: info: [4461] successful run completed in 10s
[ perf record: Woken up 1 times to write data ]
[ perf record: Captured and wrote 0.060 MB perf.data (970 samples) ]
$ perf script report flamegraph
dumping data to flamegraph.html

Nota : Para generar flamegraphs, instale el rpm js-d3-flame-graph.

(BZ#1281843)

/dev/random y /dev/urandom son ahora alimentados condicionalmente por el Kernel Crypto API DRBG

En el modo FIPS, los generadores de números pseudoaleatorios /dev/random y /dev/urandom se alimentan del generador de bits aleatorios determinista (DRBG) de la Kernel Crypto API. Las aplicaciones en modo FIPS utilizan los dispositivos mencionados como fuente de ruido conforme a FIPS, por lo que los dispositivos deben emplear algoritmos aprobados por FIPS. Para lograr este objetivo, se han añadido los ganchos necesarios al controlador /dev/random. Como resultado, los ganchos están habilitados en el modo FIPS y hacen que /dev/random y /dev/urandom se conecten al DRBG de la API Crypto del núcleo.

(BZ#1785660)

libbpf es totalmente compatible

El paquete libbpf, crucial para las aplicaciones relacionadas con bpf como bpftrace y el desarrollo de bpf/xdp, es ahora totalmente compatible.

Es una réplica del árbol de linux bpf-next directorio bpf-next/tools/lib/bpf más sus archivos de cabecera de apoyo. La versión del paquete refleja la versión de la interfaz binaria de aplicación (ABI).

(BZ#1759154)

la utilidadlshw proporciona ahora información adicional sobre la CPU

Con esta mejora, la utilidad List Hardware (lshw) muestra más información sobre la CPU. El campo de la versión de la CPU proporciona ahora los detalles de la familia, el modelo y el paso de los procesadores del sistema en formato numérico como versión

(BZ#1794049)

el árbol de fuentes dekernel-rt ha sido actualizado al árbol de RHEL 8.3

Las fuentes de kernel-rt han sido actualizadas para utilizar el último árbol de fuentes del kernel de Red Hat Enterprise Linux. El conjunto de parches en tiempo real también se ha actualizado a la última versión de la corriente principal, v5.6.14-rt7. Ambas actualizaciones proporcionan una serie de correcciones de errores y mejoras.

(BZ#1818138, BZ#18142)

tpm2-tools rebasado a la versión 4.1.1

El paquete tpm2-tools se ha actualizado a la versión 4.1.1, que proporciona una serie de adiciones, actualizaciones y eliminaciones de comandos. Para obtener más detalles, consulte las actualizaciones del paquete tpm2-tools en la solución RHEL8.3.

(BZ#1789682)

El adaptador de red Mellanox ConnectX-6 Dx es ahora totalmente compatible

Esta mejora añade los IDs PCI del adaptador de red Mellanox ConnectX-6 Dx al controlador mlx5_core. En los hosts que utilizan este adaptador, RHEL carga el controlador mlx5_core automáticamente. Esta función, que anteriormente estaba disponible como vista previa de la tecnología, es ahora totalmente compatible con RHEL 8.3.

(BZ#1782831)

controladormlxsw rebasado a la versión 5.7

El controlador mlxsw se ha actualizado a la versión 5.7 e incluye las siguientes novedades:

La función de ocupación del búfer compartido, que proporciona datos de ocupación del búfer.
La función de caída de paquetes, que permite supervisar las caídas de capa 2, capa 3, túneles y listas de control de acceso.
Apoyo a las trampas de paquetes.
Soporte para la configuración de la prioridad de los puertos por defecto mediante el agente del Protocolo de Descubrimiento de la Capa de Enlace (LLDP).
Selección de transmisión mejorada (ETS) y compatibilidad con la disciplina de descarga de colas del filtro de cubos de fichas (TBF).
El modo de nodrop de la disciplina de colas RED está activado para evitar la caída temprana de paquetes.
La acción de edición de la clase de tráfico SKB skbedit priority permite cambiar los metadatos de los paquetes y se complementa con pedit Traffic Class Offloading (TOS).

(BZ#1821646)

6.1.9. Sistemas de archivos y almacenamiento

LVM ahora puede gestionar volúmenes VDO

LVM ahora soporta el tipo de segmento Virtual Data Optimizer (VDO). Como resultado, ahora puede utilizar las utilidades de LVM para crear y gestionar volúmenes VDO como volúmenes lógicos nativos de LVM.

VDO ofrece funciones de deduplicación en línea a nivel de bloque, compresión y aprovisionamiento ligero.

Para más información, consulte Deduplicar y comprimir volúmenes lógicos en RHEL.

(BZ#1598199)

La pila SCSI ahora funciona mejor con los adaptadores de alto rendimiento

Se ha mejorado el rendimiento de la pila SCSI. Como resultado, los adaptadores de bus de host (HBA) de última generación y alto rendimiento son ahora capaces de alcanzar mayores IOPS (E/S por segundo) en RHEL.

(BZ#1761928)

El controlador megaraid_sas ha sido actualizado a la última versión

El controlador megaraid_sas ha sido actualizado a la versión 07.713.01.00-rc1. Esta actualización proporciona varias correcciones de errores y mejoras relacionadas con la mejora del rendimiento, una mayor estabilidad de los adaptadores MegaRAID compatibles y un conjunto de funciones más completo.

(BZ#1791041)

Stratis ahora muestra el nombre de la piscina en caso de error

Cuando se intenta crear un pool de Stratis en un dispositivo de bloque que ya está en uso por un pool de Stratis existente, la utilidad stratis ahora reporta el nombre del pool existente. Anteriormente, la utilidad sólo indicaba la etiqueta UUID del pool.

(BZ#1734496)

FPIN Soporte de notificación de tramas ELS

El controlador lpfc Fibre Channel (FC) admite ahora las notificaciones de impacto en el rendimiento del tejido (FPIN) relativas a la integridad del enlace, que ayudan a identificar los problemas a nivel de enlace y permiten al conmutador elegir una ruta más fiable.

(BZ#1796565)

Nuevos comandos para depurar los metadatos en disco de LVM

La utilidad pvck, que está disponible en el paquete lvm2, ahora proporciona comandos de bajo nivel para depurar o rescatar los metadatos en disco de LVM en volúmenes físicos:

Para extraer los metadatos, utilice el comando pvck --dump.
Para reparar los metadatos, utilice el comando pvck --repair.

Para más información, consulte la página man de pvck(8).

(BZ#1541165)

LVM RAID admite la integridad de DM para evitar la pérdida de datos debido a los datos corruptos en un dispositivo

Ahora es posible añadir la integridad de Device Mapper (DM) a una configuración RAID LVM para evitar la pérdida de datos. La capa de integridad detecta la corrupción de datos en un dispositivo y alerta a la capa RAID para que corrija los datos corruptos en todo el RAID LVM.

Mientras que el RAID previene la pérdida de datos debido a un fallo del dispositivo, la adición de integridad a una matriz RAID LVM previene la pérdida de datos debido a datos corruptos en un dispositivo. Puede añadir la capa de integridad cuando cree un nuevo RAID LVM, o puede añadirla a un RAID LVM que ya exista.

(JIRA:RHELPLAN-39320)

Almacenamiento resistente (GFS2) compatible con las nubes públicas de AWS, Azure y Aliyun

Resilient Storage (GFS2) es ahora compatible con las tres principales nubes públicas, Amazon (AWS), Microsoft (Azure) y Alibaba (Aliyun), con la introducción de la compatibilidad con dispositivos de bloques compartidos en esas plataformas. Como resultado, GFS2 es ahora un verdadero sistema de archivos de clúster en la nube híbrida con opciones para usar tanto en las instalaciones como en la nube pública. Para obtener información sobre la configuración del almacenamiento en bloque compartido en Microsoft Azure y en AWS, consulte Implementación de Red Hat Enterprise Linux 8 en plataformas de nube pública. Para obtener información sobre la configuración del almacenamiento en bloque compartido en Alibaba Cloud, consulte Configuración del almacenamiento en bloque compartido para un clúster de alta disponibilidad de Red Hat en Alibaba Cloud.

(BZ#1900019)

El espacio de usuario ahora soporta el último demonio nfsdcld

El espacio de usuario ahora soporta el último demonio nfsdcld, que es el único método de seguimiento de clientes consciente del espacio de nombres. Esta mejora garantiza la recuperación de la apertura o el bloqueo del cliente desde el demonio knfsd en el contenedor sin ninguna corrupción de datos.

(BZ#1817756)

nconnect admite ahora múltiples conexiones simultáneas

Con esta mejora, puede utilizar la funcionalidad nconnect para crear múltiples conexiones concurrentes a un servidor NFS, permitiendo una capacidad de equilibrio de carga diferente. Habilite la funcionalidad nconnect con la opción de montaje NFS nconnect=X, donde X es el número de conexiones concurrentes a utilizar. El límite actual es 16.

(BZ#1683394, BZ#1761352)

ahora se admite el demonionfsdcld para el seguimiento de la información del cliente

Con esta mejora, el demonio nfsdcld es ahora el método por defecto en el seguimiento de la información por cliente en un almacenamiento estable. Como resultado, el NFS v4 que se ejecuta en contenedores permite a los clientes reclamar las aperturas o bloqueos después de un reinicio del servidor.

(BZ#1817752)

6.1.10. Alta disponibilidad y clusters

marcapasos rebasado a la versión 2.0.4

El gestor de recursos de clústeres Pacemaker se ha actualizado a la versión 2.0.4, que proporciona una serie de correcciones de errores.

(BZ#1828488)

Nueva propiedad de clúster de prioridad-cerrado-retraso

Pacemaker soporta ahora la nueva propiedad de cluster priority-fencing-delay, que permite configurar un cluster de dos nodos para que en una situación de split-brain el nodo con menos recursos en ejecución sea el que se cerque.

La propiedad "priority-fencing-delay " puede establecerse con una duración de tiempo. El valor por defecto de esta propiedad es 0 (desactivado). Si esta propiedad se establece con un valor distinto de cero, y el meta-atributo de prioridad está configurado para al menos un recurso, entonces en una situación de división del cerebro el nodo con la mayor prioridad combinada de todos los recursos que se ejecutan en él tendrá más probabilidades de sobrevivir.

Por ejemplo, si se establece pcs resource defaults priority=1 y pcs property set priority-fencing-delay=15s y no se establece ninguna otra prioridad, el nodo que ejecute más recursos tendrá más probabilidades de sobrevivir porque el otro nodo esperará 15 segundos antes de iniciar el fencing. Si un recurso en particular es más importante que el resto, puedes darle una prioridad más alta.

El nodo que ejecuta el rol de maestro de un clon promocionable obtendrá 1 punto extra si se ha configurado una prioridad para ese clon.

Cualquier retraso establecido con priority-fencing-delay se añadirá a cualquier retraso de las propiedades del dispositivo pcmk_delay_base y pcmk_delay_max fence. Este comportamiento permite un cierto retraso cuando ambos nodos tienen la misma prioridad, o ambos nodos necesitan ser cercados por alguna razón que no sea la pérdida del nodo (por ejemplo, on-fail=fencing se establece para una operación de monitorización de recursos). Si se utiliza en combinación, se recomienda establecer la propiedad priority-fencing-delay a un valor que sea significativamente mayor que el retardo máximo de pcmk_delay_base y pcmk_delay_max, para estar seguro de que el nodo priorizado es el preferido (el doble del valor sería completamente seguro).

(BZ#1784601)

Nuevos comandos para gestionar múltiples conjuntos de recursos y operaciones por defecto

Ahora es posible crear, listar, modificar y eliminar múltiples conjuntos de valores por defecto de recursos y operaciones. Cuando se crea un conjunto de valores por defecto, se puede especificar una regla que contenga expresiones de recursos y operaciones. Esto le permite, por ejemplo, configurar un valor de recurso por defecto para todos los recursos de un tipo determinado. Los comandos que enumeran los valores por defecto existentes ahora incluyen múltiples conjuntos de valores por defecto en su salida.

El comando pcs resource [op] defaults set create crea un nuevo conjunto de valores por defecto. Al especificar reglas con este comando, sólo se permiten las expresiones resource y op, incluyendo y, o y paréntesis.
El comando pcs resource [op] defaults set delete | remove elimina conjuntos de valores por defecto.
El comando pcs resource [op] defaults set update cambia los valores por defecto de un conjunto.

(BZ#1817547)

Soporte para etiquetar los recursos del clúster

Ahora es posible etiquetar recursos de cluster en un cluster Pacemaker con el comando pcs tag. Esta función le permite administrar un conjunto específico de recursos con un solo comando. También puede utilizar el comando pcs tag para eliminar o modificar la etiqueta de un recurso y para mostrar la configuración de la etiqueta.

Los comandos pcs resource enable, pcs resource disable, pcs resource manage y pcs resource unmanage aceptan IDs de etiquetas como argumentos.

(BZ#1684676)

Pacemaker ahora soporta la recuperación al degradar un recurso promovido en lugar de detenerlo completamente

Ahora es posible configurar un recurso promocionable en un cluster Pacemaker para que cuando una acción de promoción o monitorización falle para ese recurso, o la partición en la que el recurso se está ejecutando pierda el quórum, el recurso se degradará pero no se detendrá completamente.

Esta característica puede ser útil cuando se prefiere que el recurso siga estando disponible en el modo no promovido. Por ejemplo, si la partición de un maestro de base de datos pierde el quórum, puede preferir que el recurso de base de datos pierda el rol de maestro, pero que permanezca vivo en modo de sólo lectura para que las aplicaciones que sólo necesitan leer puedan seguir trabajando a pesar del quórum perdido. Esta función también puede ser útil cuando un descenso exitoso es suficiente para la recuperación y mucho más rápido que un reinicio completo.

Para apoyar esta función:

El meta-atributo de la operación "on-fail " ahora acepta un valor de degradación cuando se utiliza con acciones de promoción, como en el siguiente ejemplo:
```
pcs resource op add my-rsc promote on-fail="demote"
```
El meta-atributo de la operación "on-fail " ahora acepta un valor de degradación cuando se utiliza con acciones de monitorización con un intervalo establecido a un valor distinto de cero y un rol establecido a Maestro, como en el siguiente ejemplo:
```
pcs resource op add my-rsc monitor interval="10s" on-fail="demote" role="Master"
```
La propiedad de clúster no-quorum-policy ahora acepta un valor demote. Cuando se establece, si una partición de clúster pierde el quórum, cualquier recurso promovido será degradado pero se dejará en funcionamiento y todos los demás recursos se detendrán.

La especificación de un meta-atributo de degradación para una operación no afecta a cómo se determina la promoción de un recurso. Si el nodo afectado sigue teniendo la mayor puntuación de promoción, será seleccionado para ser promovido de nuevo.

(BZ#1837747, BZ#1843079)

Nuevo parámetro de configuración SBD_SYNC_RESOURCE_STARTUP SBD para mejorar la sincronización con Pacemaker

Para controlar mejor la sincronización entre SBD y Pacemaker, el archivo /etc/sysconfig/sbd admite ahora el parámetro SBD_SYNC_RESOURCE_STARTUP. Cuando se instalan los paquetes Pacemaker y SBD de RHEL 8.3 o posterior y SBD se configura con SBD_SYNC_RESOURCE_STARTUP=true, SBD se pone en contacto con el demonio Pacemaker para obtener información sobre el estado del demonio.

En esta configuración, el demonio Pacemaker esperará hasta que haya sido contactado por SBD, tanto antes de iniciar sus subdemons como antes de la salida final. Como resultado, Pacemaker no ejecutará recursos si SBD no puede comunicarse activamente con él, y Pacemaker no saldrá hasta que haya informado a SBD de un apagado graceful. De este modo se evita la improbable situación que podría darse durante un apagado graceful cuando SBD no detecta el breve momento en el que no se ejecutan recursos antes de que Pacemaker se desconecte finalmente, lo que provocaría un reinicio innecesario. La detección de un apagado de gracia mediante un apretón de manos definido también funciona en el modo de mantenimiento. El método anterior de detección de un apagado correcto sobre la base de que no queden recursos en ejecución tuvo que ser desactivado en el modo de mantenimiento, ya que los recursos en ejecución no se verían afectados por el apagado.

Además, habilitar esta función evita el riesgo de una situación de cerebro dividido en un clúster cuando SBD y Pacemaker se inician con éxito pero SBD no puede contactar con Pacemaker. Esto podría ocurrir, por ejemplo, debido a las políticas de SELinux. En esta situación, Pacemaker asumiría que SBD está funcionando cuando no es así. Con esta nueva función activada, Pacemaker no completará el arranque hasta que SBD se haya puesto en contacto con él. Otra ventaja de esta nueva característica es que cuando está habilitada SBD contactará con Pacemaker repetidamente, utilizando un latido, y es capaz de hacer entrar en pánico al nodo si Pacemaker deja de responder en cualquier momento.

Nota

Si usted ha editado su archivo /etc/sysconfig/sbd o ha configurado SBD a través de PCS, entonces una actualización de RPM no incorporará el nuevo parámetro SBD_SYNC_RESOURCE_STARTUP. En estos casos, para implementar esta característica debe agregarla manualmente desde el archivo /etc/sysconfig/sbd.rpmnew o seguir el procedimiento descrito en la sección Configuración vía ambiente de la página man de sbd(8).

(BZ#1718324, BZ#1743726)

6.1.11. Lenguajes de programación dinámicos, servidores web y de bases de datos

Una nueva corriente de módulos: ruby:2.7

RHEL 8.3 introduce Ruby 2.7.1 en un nuevo flujo de módulos ruby:2.7. Esta versión proporciona una serie de mejoras de rendimiento, correcciones de errores y seguridad, y nuevas características sobre Ruby 2.6 distribuido con RHEL 8.1.

Las mejoras más destacadas son:

Se ha introducido un nuevo recolector de basura (GC) de compactación. Este GC puede desfragmentar un espacio de memoria fragmentado.
Ruby yet Another Compiler-Compiler (Racc) proporciona ahora una interfaz de línea de comandos para el generador de análisis sintáctico Look-Ahead Left-to-Right - LALR(1).
Interactive Ruby Shell(irb), el entorno de bucle de lectura-evaluación-impresión (REPL), soporta ahora la edición multilínea.
La concordancia de patrones, utilizada con frecuencia en los lenguajes de programación funcionales, se ha introducido como característica experimental.
El parámetro numerado como parámetro de bloque por defecto se ha introducido como característica experimental.

Se han implementado las siguientes mejoras de rendimiento:

Se ha cambiado la estrategia de caché de fibra para acelerar la creación de fibra.
Se ha mejorado el rendimiento del método CGI.escapeHTML.
Se ha mejorado el rendimiento de la clase Monitor y del módulo MonitorMixin.

Además, la conversión automática de los argumentos de palabra clave y de los argumentos posicionales ha quedado obsoleta. En Ruby 3.0, los argumentos posicionales y los argumentos de palabra clave estarán separados. Para más información, consulta la documentación de la versión anterior.

Para suprimir las advertencias sobre características experimentales, utilice la opción de línea de comandos -W: no-experimental. Para desactivar una advertencia de desaprobación, utilice la opción de línea de comandos -W: no-deprecated o añada Warning[:deprecated] = false a su código.

Para instalar el flujo del módulo ruby:2.7, utilice:

# yum module install ruby:2.7

Si desea actualizar desde el flujo ruby:2.6, consulte Cambiar a un flujo posterior.

(BZ#1817135)

Una nueva corriente de módulos: nodejs:14

Ya está disponible un nuevo módulo, nodejs:14. Node.js 14, incluido en RHEL 8.3, aporta numerosas novedades y correcciones de errores y seguridad respecto a Node.js 12 distribuido en RHEL 8.1.

Los cambios más destacados son:

El motor V8 ha sido actualizado a la versión 8.3.
Se ha implementado una nueva interfaz experimental del sistema WebAssembly (WASI).
Se ha introducido una nueva API experimental de almacenamiento local asíncrono.
La función de informe de diagnóstico ya es estable.
Las API de los flujos se han endurecido.
Se han eliminado los avisos de los módulos experimentales.

Con la publicación del aviso RHEA-2020:5101, RHEL 8 proporciona Node.js 14.15.0, que es la versión más reciente de soporte a largo plazo (LTS) con estabilidad mejorada.

Para instalar el flujo del módulo nodejs:14, utilice:

# yum module install nodejs:14

Si desea actualizar desde el flujo nodejs:12, consulte Cambiar a un flujo posterior.

(BZ#1815402, BZ#1891809)

git rebasado a la versión 2.27

Los paquetes git han sido actualizados a la versión 2.27. Los cambios notables sobre la versión 2.18 disponible anteriormente incluyen:

El comando git checkout se ha dividido en dos comandos distintos:
- interruptor git para la gestión de ramas
- git restore para gestionar los cambios dentro del árbol de directorios
El comportamiento del comando git reb ase se basa ahora en el flujo de trabajo de fusión por defecto en lugar del flujo de trabajo anterior de aplicación de parches. Para conservar el comportamiento anterior, establece la variable de configuración rebase.backend en apply.
El comando git difftool ahora puede ser utilizado también fuera de un repositorio.
Se han introducido cuatro nuevas variables de configuración, {autor,committer}.{nombre,email}, para anular user.{nombre,email} en casos más específicos.
Se han añadido varias opciones nuevas que permiten a los usuarios configurar SSL para la comunicación con los proxies.
Se ha mejorado la gestión de confirmaciones con mensajes de registro en codificación de caracteres no UTF-8 en las utilidades git fast-export y git fast-import.
La extensión lfs ha sido añadida como un nuevo paquete git-lfs. Git Large File Storage (LFS) sustituye los archivos grandes por punteros de texto dentro de Git y almacena el contenido de los archivos en un servidor remoto.

(BZ#1825114, BZ#1783391)

Cambios en Python

RHEL 8.3 introduce los siguientes cambios en el flujo del módulo python38:3.8:

El intérprete de Python ha sido actualizado a la versión 3.8.3, que proporciona varias correcciones de errores.
El paquete python38-pip ha sido actualizado a la versión 19.3.1, y pip ahora soporta la instalación de ruedas manylinux2014.

El rendimiento del intérprete de Python 3.6, proporcionado por los paquetes python3, se ha mejorado considerablemente.

Las imágenes de contenedor ubi8/python-27, ubi8/python-36, y ubi8/python-38 ahora soportan la instalación de la utilidad pipenv desde un índice de paquetes personalizado o un espejo de PyPI si es proporcionado por el cliente. Anteriormente, pipenv sólo podía descargarse desde el repositorio upstream de PyPI, y si el repositorio upstream no estaba disponible, la instalación fallaba.

(BZ#1847416, BZ#1724996, BZ#1827623, BZ#1841001)

Una nueva corriente de módulos: php:7.4

RHEL 8.3 introduce PHP 7.4, que proporciona una serie de correcciones de errores y mejoras sobre la versión 7.3.

Esta versión introduce una nueva extensión experimental, Foreign Function Interface (FFI), que permite llamar a funciones nativas, acceder a variables nativas y crear y acceder a estructuras de datos definidas en bibliotecas C. La extensión FFI está disponible en el paquete php-ffi.

Se han eliminado las siguientes extensiones:

La extensión wddx, eliminada del paquete php-xml
La extensión recode, eliminada del paquete php-recode.

Para instalar el flujo del módulo php:7.4, utilice:

# yum module install php:7.4

Si desea actualizar desde el flujo php:7.3, consulte Cambiar a un flujo posterior.

Para más detalles sobre el uso de PHP en RHEL 8, consulte Uso del lenguaje de scripting PHP.

(BZ#1797661)

Un nuevo flujo de módulos: nginx:1.18

Ya está disponible el servidor web y proxy nginx 1.18, que proporciona una serie de correcciones de errores, correcciones de seguridad, nuevas características y mejoras respecto a la versión 1.16. Los cambios más destacados son:

Se han implementado mejoras en la tasa de peticiones HTTP y en la limitación de conexiones. Por ejemplo, las directivas limit_rate y limit_rate_after ahora soportan variables, incluyendo las nuevas variables $limit_req_status y $limit_conn_status. Además, se ha añadido el modo dry-run para las directivas limit_conn_dry_run y limit_req_dry_run.
Se ha añadido una nueva directiva auth_delay, que permite retrasar el procesamiento de las solicitudes no autorizadas.
Las siguientes directivas ahora soportan variables: grpc_pass, proxy_upload_rate y proxy_download_rate.
Se han añadido variables de protocolo PROXY adicionales, concretamente $proxy_protocol_server_addr y $proxy_protocol_server_port.

Para instalar el flujo nginx:1.18, utilice:

# yum module install nginx:1.18

Si desea actualizar desde el flujo nginx:1.16, consulte Cambiar a un flujo posterior.

(BZ#1826632)

Un nuevo módulo: perl:5.30

RHEL 8.3 introduce Perl 5.30, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior Perl 5.26. La nueva versión también deja de lado o elimina ciertas características del lenguaje. Los cambios más significativos son los siguientes

Se han eliminado los módulos Math::BigInt::CalcEmu, arybase y B::Debug
Los descriptores de archivos se abren ahora con una bandera de cierre en ejecución
Ya no se permite abrir el mismo símbolo como archivo y como manejador de directorio
Los atributos de las subrutinas ahora deben preceder a las firmas de las subrutinas
Se han eliminado los atributos :locked y :uniq
Ya no se permiten las listas de variables sin comas en los formatos
Ya no se permite el operador << aquí-documento
Ya no se permite el uso de un carácter de llave izquierda({) en los patrones de expresiones regulares
La subrutina AUTOLOAD() ya no se puede heredar a funciones que no sean métodos
El pragma de ordenación ya no permite especificar un algoritmo de ordenación
La subrutina B ::OP::terse() ha sido sustituida por la subrutina B::Concise::b_terse()
La función File::Glob ::glob() ha sido sustituida por la función File::Glob::bsd_glob()
La función dump( ) ahora debe ser invocada completamente calificada como CORE::dump()
El operador yada-yada (...) es una declaración ahora, no se puede utilizar como una expresión
Asignar un valor distinto de cero a la variable $[ ahora devuelve un error fatal
Las variables $* y $# ya no están permitidas
Ya no se permite declarar variables utilizando la función my() en una rama de condición falsa
El uso de las funciones sysread() y syswrite() en los manejadores :utf8 ahora devuelve un error fatal
La función pack( ) ya no devuelve el formato UTF-8 malformado
Los puntos de código Unicode con un valor superior a IV_MAX ya no están permitidos
Ahora es compatible con Unicode 12.1

Para actualizar desde un flujo de módulos perl anterior, consulte Cambiar a un flujo posterior.

Perl 5.30 también está disponible como imagen contenedora s2i-enabled ubi8/perl-530.

(BZ#1713592, BZ#1732828)

Un nuevo módulo: perl-libwww-perl:6.34

RHEL 8.3 introduce un nuevo flujo de módulos perl-libwww-perl:6.34, que proporciona el paquete perl-libwww-perl para todas las versiones de Perl disponibles en RHEL 8. El paquete perl-libwww-perl no modular, disponible desde RHEL 8.0, que no puede utilizarse con otros flujos de Perl que no sean 5.26, ha quedado obsoleto por el nuevo flujo perl-libwww-perl:6.34 por defecto.

(BZ#1781177)

Un nuevo módulo: perl-IO-Socket-SSL:2.066

Ya está disponible un nuevo flujo del módulo perl-IO-Socket-SSL:2.066. Este módulo proporciona los paquetes perl-IO-Socket-SSL y perl-Net-SSLeay y es compatible con todos los flujos de Perl disponibles en RHEL 8.

(BZ#1824222)

El flujo del módulo squid:4 se ha reajustado a la versión 4.11

El servidor proxy Squid, proporcionado por el flujo del módulo squid:4, ha sido actualizado de la versión 4.4 a la versión 4.11. Esta versión proporciona múltiples correcciones de errores y seguridad, y varias mejoras, como nuevas opciones de configuración.

(BZ#1829467)

Cambios en el flujo del módulo httpd:2.4

RHEL 8.3 introduce los siguientes cambios notables en el servidor HTTP Apache, disponibles a través del flujo de módulos httpd:2.4:

El módulo mod_http2 se ha actualizado a la versión 1.15.7
Cambios de configuración en las directivas H2Upgrade y H2Push
Una nueva directiva de configuración H2Padding para controlar el relleno de las tramas de carga útil de HTTP/2
Numerosas correcciones de errores.

(BZ#1814236)

Soporte para el registro en journald desde la directiva CustomLog en httpd

Ahora es posible enviar registros de acceso (transferencia) a journald desde el servidor HTTP Apache utilizando una nueva opción para la directiva CustomLog.

La sintaxis admitida es la siguiente:

CustomLog journald:priority format|nickname

donde priority es cualquier cadena de prioridad hasta la de depuración, como se utiliza en la directivaLogLevel.

Por ejemplo, para registrar en journald utilizando el formato de registro combinado, utilice:

CustomLog journald:info combinado

Tenga en cuenta que cuando se utiliza esta opción, el rendimiento del servidor puede ser menor que cuando se registra directamente en archivos planos.

(BZ#1209162)

6.1.12. Compiladores y herramientas de desarrollo

Nuevo conjunto de herramientas GCC 10

GCC Toolset 10 es un conjunto de herramientas de compilación que proporciona versiones recientes de herramientas de desarrollo. Está disponible como un flujo de aplicaciones en forma de colección de software en el repositorio AppStream.

El compilador GCC ha sido actualizado a la versión 10.2.1, que proporciona muchas correcciones de errores y mejoras que están disponibles en GCC upstream.

Las siguientes herramientas y versiones son proporcionadas por GCC Toolset 10:

Herramienta	Versión
GCC	10.2.1
GDB	9.2
Valgrind	3.16.0
SystemTap	4.3
Dyninst	10.1.0
binutils	2.35
elfutils	0.180
dwz	0.12
hacer	4.2.1
strace	5.7
ltrace	0.7.91
annobin	9.29

Para instalar GCC Toolset 10, ejecute el siguiente comando como root:

# yum install gcc-toolset-10

Para ejecutar una herramienta de GCC Toolset 10:

$ scl enable gcc-toolset-10 tool

Para ejecutar una sesión de shell en la que las versiones de las herramientas de GCC Toolset 10 anulan las versiones del sistema de estas herramientas:

$ scl enable gcc-toolset-10 bash

Para obtener más información, consulte Uso del conjunto de herramientas GCC.

Los componentes de GCC Toolset 10 están disponibles en las dos imágenes de contenedores:

rhel8/gcc-toolset-10-toolchain, que incluye el compilador GCC, el depurador GDB y la herramienta de automatización make.
rhel8/gcc-toolset-10-perftools, que incluye las herramientas de supervisión del rendimiento, como SystemTap y Valgrind.
Para extraer una imagen de contenedor, ejecute el siguiente comando como root:
```
# podman pull registry.redhat.io/
```
Tenga en cuenta que ahora sólo se soportan las imágenes contenedoras de GCC Toolset 10. Las imágenes contenedoras de versiones anteriores de GCC Toolset están obsoletas.

Para más detalles sobre las imágenes de contenedor, consulte Uso de las imágenes de contenedor del conjunto de herramientas GCC.

(BZ#1842656)

El conjunto de herramientas de Rust se ha actualizado a la versión 1.45.2

Rust Toolset ha sido actualizado a la versión 1.45.2. Los cambios más destacados son:

El subcomando de árbol de carga para ver las dependencias está ahora incluido en cargo.
La conversión de valores de coma flotante a enteros produce ahora una conversión ajustada. Anteriormente, cuando un valor de coma flotante truncado estaba fuera del rango del tipo entero de destino, el resultado era un comportamiento indefinido del compilador. Los valores de coma flotante no finitos también provocaban un comportamiento indefinido. Con esta mejora, los valores finitos se sujetan al rango mínimo o máximo del entero. Los valores infinitos positivos y negativos se ajustan por defecto al máximo y al mínimo del entero, respectivamente, y los valores no numéricos (NaN) se ajustan a cero.
Las macros procedimentales tipo función en expresiones, patrones y sentencias están ahora ampliadas y estabilizadas.

Para obtener instrucciones detalladas sobre su uso, consulte Uso del conjunto de herramientas de Rust.

(BZ#1820593)

El conjunto de herramientas LLVM se ha actualizado a la versión 10.0.1

El conjunto de herramientas LLVM ha sido actualizado a la versión 10.0.1. Con esta actualización, los paquetes clang-libs ya no incluyen bibliotecas de componentes individuales. Como resultado, ya no es posible enlazar aplicaciones con ellas. Para enlazar aplicaciones con las bibliotecas clang, utilice el paquete libclang-cpp.so.

Para más información, consulte Uso del conjunto de herramientas LLVM.

(BZ#1820587)

Go Toolset rebasado a la versión 1.14.7

Go Toolset se ha actualizado a la versión 1.14.7 Los cambios más importantes son

El sistema de módulos Go es ahora totalmente compatible.
La versión 3.0 de SSL (SSLv3) ya no es compatible. Las mejoras notables del depurador Delve incluyen:
El nuevo comando examinemem (o x) para examinar la memoria bruta
La nueva pantalla de comandos para imprimir los valores de una expresión durante cada parada del programa
La nueva bandera --tty para suministrar un teletipo (TTY) para el programa depurado
El nuevo soporte de coredump para Arm64
La nueva capacidad de imprimir etiquetas de goroutine
La liberación del servidor del protocolo de depuración (DAP)
La salida mejorada de los comandos dlv trace y trace REPL (read-eval-print-loop)

Para obtener más información sobre Go Toolset, consulte Uso de Go Toolset.

Para más información sobre Delve, consulte la documentación de Delve.

(BZ#1820596)

SystemTap rebasado a la versión 4.3

La herramienta de instrumentación SystemTap ha sido actualizada a la versión 4.3, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

Las sondas de espacio de usuario pueden ser dirigidas por el buildid hexadecimal de readelf -n. Esta alternativa al nombre de la ruta de acceso permite sondear los binarios que coincidan con cualquier nombre y, por lo tanto, permite que un solo script se dirija a un rango de versiones diferentes. Esta característica funciona bien junto con el servidor de depuración elfutils.
Las funciones de los scripts pueden utilizar las variables $contexto de la sonda para acceder a las variables de la ubicación sondeada, lo que permite a los scripts de SystemTap utilizar una lógica común para trabajar con una variedad de sondas.
Las mejoras en el programa stapbpf, incluyendo las sentencias try-catch, y las sondas de error, se han realizado para permitir una adecuada tolerancia a los errores en los scripts que se ejecutan en el backend BPF.

Para más información sobre los cambios notables, lea las notas de la versión anterior antes de actualizar.

(BZ#1804319)

Valgrind rebasado a la versión 3.16.0

La herramienta de análisis de código ejecutable Valgrind ha sido actualizada a la versión 3.16.0, que proporciona una serie de correcciones de errores y mejoras respecto a la versión anterior:

Ahora es posible cambiar dinámicamente el valor de muchas opciones de la línea de comandos mientras su programa se está ejecutando bajo Valgrind: a través de vgdb, a través de un gdb conectado al gdbserver de Valgrind, o a través de las peticiones del cliente del programa. Para obtener una lista de opciones modificables dinámicamente, ejecute el comando valgrind --help-dyn-options.
Para las herramientas Cachegrind(cg_annotate) y Callgrind(callgrind_annotate), las opciones --auto y --show-percs ahora están predeterminadas en sí.
La herramienta Memcheck produce menos errores falsos positivos en el código optimizado. En particular, Memcheck ahora maneja mejor el caso en que el compilador transformó un código A
Se ha eliminado la herramienta experimental de comprobación de pila y matriz global(exp-sgcheck). Una alternativa para detectar los desbordamientos de pila y de matriz global es utilizar la facilidad AddressSanitizer (ASAN) de GCC, que requiere reconstruir el código con la opción -fsanitize=address.

(BZ#1804324)

elfutils rebasado a la versión 0.180

El paquete elfutils ha sido actualizado a la versión 0.180, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

Mejor soporte para la información de depuración para el código construido con GCC LTO (optimización en tiempo de enlace). Las utilidades eu-readelf y libdw ahora pueden leer y manejar las secciones .gnu.debuglto_, y resolver correctamente los nombres de archivo para las funciones que se definen a través de CUs (unidades de compilación).
La utilidad eu-nm ahora identifica explícitamente los objetos débiles como V y los símbolos comunes como C.
El servidor de debuginfod puede ahora indexar archivos .deb y tiene una extensión genérica para añadir otros formatos de archivos de paquetes usando la opción -Z EXT[=CMD]. Por ejemplo -Z '.tar.zst=zstdcat' indica que los archivos que terminan con la extensión .tar.zst deben ser desempaquetados usando la utilidad zstdcat.
La herramienta debuginfo-client tiene varias funciones de ayuda nuevas, como debuginfod_set_user_data, debuginfod_get_user_data, debuginfod_get_url y debuginfod_add_http_header. Ahora también soporta URLs file://.

(BZ#1804321)

GDB ahora soporta la grabación y reproducción de procesos en IBM z15

Con esta mejora, el depurador de GNU (GDB) soporta ahora el registro y la reproducción de procesos con la mayoría de las nuevas instrucciones del procesador IBM z15 (anteriormente conocido como arch13). Tenga en cuenta que las siguientes instrucciones no están actualmente soportadas: SORTL (listas de ordenación), DFLTCC (llamada a la conversión de deflación), KDSA (computación de autenticación de firma digital).

(BZ#1659535)

Los eventos de monitorización del rendimiento de Marvell ThunderX2 han sido actualizados en papi

Con esta mejora, se han actualizado una serie de eventos de rendimiento específicos de ThunderX2, incluidos los eventos uncore. Como resultado, los desarrolladores pueden investigar mejor el rendimiento del sistema en los sistemas Marvell ThunderX2.

(BZ#1726070)

La biblioteca matemática glibc está ahora optimizada para IBM Z

Con esta mejora, las funciones matemáticas de libm se han optimizado para mejorar el rendimiento en las máquinas IBM Z. Los cambios notables incluyen:

mejora de la gestión del modo de redondeo para evitar conjuntos de registros de control de coma flotante y extractos superfluos
explotación de la conversión entre el entero z196 y el flotante

(BZ#1780204)

Ya está disponible un directorio temporal adicional específico de libffi

Anteriormente, en los sistemas reforzados, los directorios temporales de todo el sistema podían no tener permisos adecuados para su uso con la biblioteca libffi.

Con esta mejora, los administradores del sistema pueden ahora establecer la variable de entorno LIBFFI_TMPDIR para que apunte a un directorio temporal específico de libffi con permisos de escritura y ejecución de montaje o selinux.

(BZ#1723951)

Mejora del rendimiento de strstr() y strcasestr()

Con esta actualización, se ha mejorado el rendimiento de las funciones strstr() y strcasestr() en varias arquitecturas soportadas. Como resultado, los usuarios se benefician ahora de un rendimiento significativamente mejor de todas las aplicaciones que utilizan rutinas de manipulación de cadenas y memoria.

(BZ#1821531)

glibc ahora maneja correctamente la carga de un archivo local truncado

Si el archivo de locales del sistema se ha truncado previamente, ya sea debido a un corte de energía durante la actualización o a un fallo de disco, un proceso podría terminar inesperadamente al cargar el archivo. Esta mejora añade comprobaciones de consistencia adicionales a la carga del archivo de configuraciones regionales. Como resultado, los procesos son ahora capaces de detectar el truncamiento del archivo y volver a las configuraciones regionales no instaladas en el archivo o a la configuración regional POSIX por defecto.

(BZ#1784525)

GDB ahora soporta debuginfod

Con esta mejora, el depurador de GNU (GDB) puede ahora descargar paquetes de información de depuración desde servidores centralizados bajo demanda utilizando la biblioteca cliente elfutils debuginfod.

(BZ#1838777)

pcp rebasado a la versión 5.1.1-3

El paquete pcp ha sido actualizado a la versión 5.1.1-3. Los cambios notables incluyen:

Actualización de las unidades de servicio y mejora de la integración y fiabilidad de systemd para todos los servicios de PCP. Mejorada la rotación del registro de archivos y una compresión más oportuna. Corrección de errores de descubrimiento de archivos en el protocolo pmproxy.
Se han mejorado las herramientas de monitorización pcp-atop, pcp-dstat, pmrep y otras relacionadas, así como los informes de etiquetas métricas en las herramientas pmrep y de exportación.
Mejora de bpftrace, OpenMetrics, MMV, el agente del kernel de Linux y otros agentes de recolección. Nuevos recolectores de métricas para los servidores Open vSwitch y RabbitMQ.
Nuevo servicio de descubrimiento de hosts pmfind systemd, que sustituye al demonio independiente pmmgr.

(BZ#1792971)

grafana rebasado a la versión 6.7.3

El paquete grafana ha sido actualizado a la versión 6.7.3. Los cambios más destacados son:

Soporte de mapeo de roles genéricos de OAuth
Un nuevo panel de registros
Visualización de texto de varias líneas en el panel de la tabla
Una nueva moneda y unidades de energía

(BZ#1807323)

grafana-pcp rebasado a la versión 2.0.2

El paquete grafana-pcp ha sido actualizado a la versión 2.0.2. Los cambios notables incluyen:

Soporta los mapas multidimensionales de eBPF para ser graficados en el flamegráfico.
Elimina la caché de autocompletado en el editor de consultas, para que las métricas de PCP puedan aparecer de forma dinámica.

(BZ#1807099)

Una nueva imagen de contenedor rhel8/pcp

La imagen del contenedor rhel8/pcp ya está disponible en el Red Hat Container Registry. La imagen contiene el kit de herramientas Performance Co-Pilot (PCP), que incluye el paquete pcp-zeroconf preinstalado y el PMDA de OpenMetrics.

(BZ#1497296)

Una nueva imagen de contenedor rhel8/grafana

La imagen de contenedor rhel8/grafana ya está disponible en el Red Hat Container Registry. Grafana es una utilidad de código abierto con panel de métricas, y editor de gráficos para la herramienta de monitorización Graphite, Elasticsearch, OpenTSDB, Prometheus, InfluxDB y PCP.

(BZ#1823834)

6.1.13. Gestión de la identidad

La utilidad de copia de seguridad de IdM ahora comprueba los roles de réplica requeridos

La utilidad ipa-backup ahora comprueba si todos los servicios utilizados en el clúster de IdM, como una Autoridad de Certificados (CA), un Sistema de Nombres de Dominio (DNS) y un Agente de Recuperación de Claves (KRA) están instalados en la réplica donde se está ejecutando la copia de seguridad. Si la réplica no tiene todos estos servicios instalados, la utilidad ipa-backup sale con una advertencia, porque las copias de seguridad tomadas en ese host no serían suficientes para una restauración completa del clúster.

Por ejemplo, si su implementación de IdM utiliza una Autoridad de Certificación (CA) integrada, una copia de seguridad ejecutada en una réplica no CA no capturará los datos de la CA. Red Hat recomienda verificar que la réplica en la que se realiza una copia de seguridad ipa tenga instalados todos los servicios IdM utilizados en el cluster.

Para obtener más información, consulte Preparación para la pérdida de datos con las copias de seguridad de IdM.

(BZ#1810154)

Nueva herramienta de notificación de caducidad de contraseñas

Expiring Password Notification (EPN), proporcionada por el paquete ipa-client-epn, es una herramienta independiente que puede utilizar para crear una lista de usuarios de Gestión de Identidades (IdM) cuyas contraseñas van a caducar pronto.

Los administradores de IdM pueden utilizar EPN para:

Mostrar una lista de usuarios afectados en formato JSON, que se calcula en tiempo de ejecución
Calcule cuántos correos electrónicos se enviarán para un día o rango de fechas determinado
Enviar notificaciones de caducidad de la contraseña por correo electrónico a los usuarios

Red Hat recomienda lanzar EPN una vez al día desde un cliente IdM o una réplica con el temporizador ipa-epn.timer systemd incluido.

(BZ#913799)

JSS proporciona ahora un SSLContext compatible con FIPS

Anteriormente, Tomcat utilizaba la directiva SSLEngine de la clase SSLContext de la Arquitectura de Criptografía de Java (JCA). La implementación por defecto de SunJSSE no es compatible con el Estándar Federal de Procesamiento de Información (FIPS), por lo que PKI proporciona ahora una implementación compatible con FIPS a través de JSS.

(BZ#1821851)

Ya está disponible la comprobación de la salud general de su infraestructura de clave pública

Con esta actualización, la herramienta de comprobación de la infraestructura de clave pública (PKI) informa del estado del subsistema PKI a la herramienta de comprobación de la gestión de identidades (IdM), que se introdujo en RHEL 8.1. La ejecución de IdM Healthcheck invoca PKI Healthcheck, que recoge y devuelve el informe de estado del subsistema PKI.

La herramienta pki-healthcheck está disponible en cualquier servidor RHEL IdM desplegado o réplica. Todas las comprobaciones proporcionadas por pki-healthcheck también están integradas en la herramienta ipa-healthcheck. ipa-healthcheck puede instalarse por separado del flujo del módulo idm:DL1.

Tenga en cuenta que pki-healthcheck también puede funcionar en una infraestructura autónoma de Red Hat Certificate System (RHCS).

(BZ#1770322)

Soporte para RSA PSS

Con esta mejora, la PKI admite ahora el algoritmo de firma RSA PSS (Probabilistic Signature Scheme).

Para habilitar esta función, establezca la siguiente línea en el archivo de script pkispawn para un subsistema determinado: pki_use_pss_rsa_signing_algorithm=True

Como resultado, todos los algoritmos de firma existentes por defecto para este subsistema (especificados en su archivo de configuración CS.cfg ) utilizarán la versión PSS correspondiente. Por ejemplo, SHA256withRSA se convierte en SHA256withRSA/PSS

(BZ#1824948)

Directory Server exporta la clave privada y el certificado a un espacio de nombres privado cuando el servicio se inicia

Directory Server utiliza las bibliotecas OpenLDAP para las conexiones salientes, como los acuerdos de replicación. Dado que estas bibliotecas no pueden acceder directamente a la base de datos de los servicios de seguridad de la red (NSS), Directory Server extrae la clave privada y los certificados de la base de datos NSS en las instancias con soporte de cifrado TLS para permitir que las bibliotecas OpenLDAP establezcan conexiones cifradas. Anteriormente, Directory Server extraía la clave privada y los certificados en el directorio establecido en el parámetro nsslapd-certdir de la entrada cn=config (por defecto: /etc/dirsrv/slapd-

(BZ#1638875)

El servidor de directorios ahora puede convertir una instancia en modo de sólo lectura si se alcanza el umbral de monitorización del disco

Esta actualización añade el parámetro nsslapd-disk-monitoring-readonly-on-threshold a la entrada cn=config. Si habilita este parámetro, Directory Server cambia todas las bases de datos a sólo lectura si la supervisión del disco está habilitada y el espacio libre en el disco es inferior al valor que configuró en nsslapd-disk-monitoring-threshold. Con nsslapd-disk-monitoring-readonly-on-threshold activado, las bases de datos no pueden modificarse hasta que Directory Server apague correctamente la instancia. Esto puede evitar la corrupción de datos.

(BZ#1728943)

samba rebasado a la versión 4.12.3

Los paquetes samba han sido actualizados a la versión 4.12.3, que proporciona una serie de correcciones de errores y mejoras respecto a la versión anterior:

Las funciones de criptografía incorporadas han sido sustituidas por funciones GnuTLS. Esto mejora el rendimiento del bloque de mensajes del servidor versión 3 (SMB3) y la velocidad de copia de forma significativa.
El soporte mínimo de tiempo de ejecución es ahora Python 3.5.
Se ha eliminado el parámetro del tamaño de la cach é de escritura porque el concepto anterior de caché de escritura podía reducir el rendimiento en sistemas con limitaciones de memoria.
Se ha eliminado la compatibilidad con la autenticación de conexiones mediante tickets Kerberos con tipos de cifrado DES.
Se ha eliminado el módulo del sistema de archivos virtual (VFS) vfs_netatalk.
El parámetro ldap s sl ads está marcado como obsoleto y será eliminado en una futura versión de Samba. Para obtener información sobre cómo cifrar alternativamente el tráfico LDAP y más detalles, consulte la solución samba: eliminación de la opción smb.conf "ldap ssl ads".
Por defecto, Samba en RHEL 8.3 ya no soporta el conjunto de cifrado RC4 obsoleto. Si ejecuta Samba como miembro de un dominio en un AD que todavía requiere RC4 para la autenticación Kerberos, utilice el comando update-crypto-policies --set DEFAULT:AD-SUPPORT para habilitar el soporte para el tipo de cifrado RC4.

Samba actualiza automáticamente sus archivos de base de datos tdb cuando se inicia el servicio smbd, nmbd o winbind. Haga una copia de seguridad de los archivos de la base de datos antes de iniciar Samba. Tenga en cuenta que Red Hat no admite la actualización de los archivos de la base de datos tdb.

Para más información sobre los cambios notables, lea las notas de la versión anterior antes de actualizar.

(BZ#1817557)

cockpit-session-recording rebasado a la versión 4

El módulo de grabación de sesiones de cabina se ha actualizado a la versión 4. Esta versión ofrece los siguientes cambios notables con respecto a la versión anterior:

Se ha actualizado el identificador de los padres en el archivo metainfo.
Manifiesto del paquete actualizado.
Corregido rpmmacro para resolver la ruta correcta en CentOS7.
Maneja los datos del diario codificados en matrices de bytes.
Se ha eliminado el código de las funciones obsoletas del ciclo de vida de React.

(BZ#1826516)

krb5 rebasado a la versión 1.18.2

Los paquetes krb5 han sido actualizados a la versión 1.18.2. Las correcciones y mejoras más importantes son:

Se han eliminado los tipos de encriptación simple y triple-DES.
El borrador 9 PKINIT ha sido eliminado ya que no es necesario para ninguna de las versiones soportadas de Active Directory.
Ahora se admiten los complementos del mecanismo NegoEx.
Ahora se admite la canonización de nombres de host(dns_canonicalize_hostname = fallback).

(BZ#1802334)

IdM ahora es compatible con los nuevos módulos de gestión de Ansible

Esta actualización introduce varios módulos ansible-freeipa para la automatización de tareas comunes de gestión de identidades (IdM) mediante los playbooks de Ansible:

El módulo config permite establecer parámetros de configuración global dentro de IdM.
El módulo dnsconfig permite modificar la configuración global del DNS.
El módulo dnsforwardzone permite añadir y eliminar reenviadores DNS de IdM.
El dnsrecord permite la gestión de registros DNS. A diferencia del ipa_dnsrecord anterior, permite la gestión de múltiples registros en una sola ejecución, y soporta más tipos de registros.
El módulo dnszone permite configurar zonas en el servidor DNS.
El módulo de servicios permite asegurar la presencia y ausencia de servicios.
El módulo de bóvedas permite asegurar la presencia y ausencia de bóvedas y de los miembros de las mismas.

Tenga en cuenta que los módulos ipagroup e ipahostgroup se han ampliado para incluir gestores de pertenencia a grupos de usuarios y de hosts, respectivamente. Un gestor de pertenencia a grupos es un usuario o un grupo que puede añadir miembros a un grupo o eliminar miembros de un grupo. Para más información, consulte las secciones de variables de los respectivos archivos /usr/share/doc/ansible-freeipa/README-*.

(JIRA:RHELPLAN-49954)

IdM ahora soporta un nuevo rol de sistema Ansible para la gestión de certificados

Identity Management (IdM) admite un nuevo rol de sistema Ansible para automatizar las tareas de gestión de certificados. El nuevo rol incluye las siguientes ventajas:

Esta función ayuda a automatizar la emisión y renovación de certificados.
El rol puede ser configurado para que la autoridad certificadora ipa emita sus certificados. De este modo, puede utilizar su infraestructura de IdM existente para gestionar la cadena de confianza de los certificados.
El rol permite especificar los comandos que se ejecutarán antes y después de la emisión de un certificado, por ejemplo, la detención e inicio de los servicios.

(JIRA:RHELPLAN-50002)

La gestión de identidades ahora es compatible con FIPS

Con esta mejora, ahora puede utilizar tipos de cifrado aprobados por la Norma Federal de Procesamiento de la Información (FIPS) con los mecanismos de autenticación en Identity Management (IdM). Tenga en cuenta que una confianza cruzada entre IdM y Active Directory no es compatible con FIPS.

Los clientes que requieran FIPS pero no requieran un fideicomiso AD pueden ahora instalar IdM en modo FIPS.

(JIRA:RHELPLAN-43531)

OpenDNSSEC en idm:DL1 rebasado a la versión 2.1

El componente OpenDNSSEC del flujo del módulo idm:DL1 se ha actualizado a la serie de versiones 2.1, que es la versión actual de soporte a largo plazo. OpenDNSSEC es un proyecto de código abierto que impulsa la adopción de las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) para mejorar la seguridad de Internet. OpenDNSSEC 2.1 ofrece una serie de correcciones de errores y mejoras con respecto a la versión anterior. Para más información, lea las notas de la versión anterior: https://www.opendnssec.org/archive/releases/

(JIRA:RHELPLAN-48838)

IdM admite ahora la suite de cifrado RC4 obsoleta con una nueva subpolítica criptográfica para todo el sistema

Esta actualización introduce la nueva subpolítica criptográfica AD-SUPPORT que habilita el conjunto de cifrado Rivest Cipher 4 (RC4) en la gestión de identidades (IdM).

Como administrador en el contexto de los fideicomisos de bosques cruzados IdM-Active Directory (AD), puede activar la nueva subpolítica AD-SUPPORT cuando AD no está configurado para utilizar el Estándar de cifrado avanzado (AES). Más específicamente, Red Hat recomienda activar la nueva subpolítica si se aplica una de las siguientes condiciones:

Las cuentas de usuario o servicio en AD tienen claves de cifrado RC4 y carecen de claves de cifrado AES.
Los enlaces de confianza entre dominios individuales de Active Directory tienen claves de cifrado RC4 y carecen de claves de cifrado AES.

Para activar la subpolítica AD-SUPPORT además de la política criptográfica DEFAULT, introduzca:

 # update-crypto-policies --set DEFAULT:AD-SUPPORT

Como alternativa, para actualizar los fideicomisos entre los dominios de AD en un bosque de AD para que admitan tipos de cifrado AES fuertes, consulte el siguiente artículo de Microsoft: AD DS: Seguridad: Kerberos \ "Unsupported etype" error al acceder a un recurso en un dominio de confianza.

(BZ#1851139)

Adaptación a los nuevos requisitos de enlace del canal LDAP de Microsoft y de firma LDAP

Con las recientes actualizaciones de Microsoft, Active Directory (AD) marca los clientes que no utilizan la configuración predeterminada de Windows para la vinculación del canal LDAP y la firma LDAP. Como consecuencia, los sistemas RHEL que utilizan el demonio de servicios de seguridad del sistema (SSSD) para la integración directa o indirecta con AD podrían desencadenar IDs de eventos de error en AD tras operaciones exitosas de la capa de seguridad y autenticación simple (SASL) que utilizan la interfaz de programa de aplicación de servicios de seguridad genéricos (GSSAPI).

Para evitar estas notificaciones, configure las aplicaciones cliente para que utilicen el mecanismo SASL Simple and Protected GSSAPI Negotiation Mechanism (GSS-SPNEGO) en lugar de GSSAPI. Para configurar SSSD, establezca la opción ldap_sasl_mech en GSS-SPNEGO.

Además, si se impone la vinculación de canales en el lado de AD, configure cualquier sistema que utilice SASL con SSL/TLS de la siguiente manera:

Instale las últimas versiones de los paquetes cyrus-sasl, openldap y krb5-libs que se suministran con RHEL 8.3 y posteriores.
En el archivo /etc/openldap/ldap.conf, especifique el tipo de enlace de canal correcto estableciendo la opción SASL_CBINDING como tls-endpoint.

Para obtener más información, consulte Impacto del aviso de seguridad de Microsoft ADV190023 | LDAP Channel Binding and LDAP Signing on RHEL and AD integration.

(BZ#1873567)

SSSD, adcli y realmd ahora soportan el conjunto de cifrado RC4 obsoleto con una nueva subpolítica criptográfica para todo el sistema

Esta actualización introduce la nueva subpolítica criptográfica AD-SUPPORT que habilita el conjunto de cifrado Rivest Cipher 4 (RC4) para las siguientes utilidades:

el demonio de servicios de seguridad del sistema (SSSD)
adcli
realmd

Como administrador, puede activar la nueva subpolítica AD-SUPPORT cuando Active Directory (AD) no está configurado para utilizar el estándar de cifrado avanzado (AES) en los siguientes escenarios:

SSSD se utiliza en un sistema RHEL conectado directamente a AD.
adcli se utiliza para unirse a un dominio AD o para actualizar los atributos del host, por ejemplo, la clave del host.
realmd se utiliza para unirse a un dominio AD.

Red Hat recomienda habilitar la nueva subpolítica si se da una de las siguientes condiciones:

Las cuentas de usuario o servicio en AD tienen claves de cifrado RC4 y carecen de claves de cifrado AES.
Los enlaces de confianza entre dominios individuales de Active Directory tienen claves de cifrado RC4 y carecen de claves de cifrado AES.

Para activar la subpolítica AD-SUPPORT además de la política criptográfica DEFAULT, introduzca:

 # update-crypto-policies --set DEFAULT:AD-SUPPORT

(BZ#1866695)

authselect tiene un nuevo perfil mínimo

La utilidad authselect tiene un nuevo perfil mínimo. Puede utilizar este perfil para servir sólo a los usuarios y grupos locales directamente desde los archivos del sistema en lugar de utilizar otros proveedores de autenticación. Por lo tanto, puede eliminar con seguridad los paquetes SSSD, winbind y fprintd y puede utilizar este perfil en sistemas que requieren una instalación mínima para ahorrar espacio en disco y memoria.

(BZ#1654018)

SSSD ahora actualiza el archivo secrets.tdb de Samba al rotar una contraseña

Una nueva opción ad_update_samba_machine_account_password en el archivo sssd. conf está ahora disponible en RHEL. Puede utilizarla para configurar SSSD para que actualice automáticamente el archivo secrets.tdb de Samba cuando rote la contraseña de dominio de una máquina mientras utiliza Samba.

Sin embargo, si SELinux está en modo de aplicación, SSSD no actualiza el archivo secrets.tdb. En consecuencia, Samba no tiene acceso a la nueva contraseña. Para solucionar este problema, ponga SELinux en modo permisivo.

(BZ#1793727)

SSSD ahora aplica los GPO de AD por defecto

La configuración por defecto de la opción de SSSD ad_gpo_access_control es ahora enforcing. En RHEL 8, SSSD aplica por defecto las reglas de control de acceso basadas en los objetos de política de grupo (GPO) de Active Directory.

Red Hat recomienda asegurarse de que los GPOs están configurados correctamente en Active Directory antes de actualizar de RHEL 7 a RHEL 8. Si no desea aplicar los GPOs, cambie el valor de la opción ad_gpo_access_control en el archivo /etc/sssd/sssd.conf a permisivo.

(JIRA:RHELPLAN-51289)

El Servidor de Directorio ahora soporta el atributo de operación pwdReset

Esta mejora añade soporte para el atributo de operación pwdReset a Directory Server. Cuando un administrador cambia la contraseña de un usuario, Directory Server establece pwdReset en la entrada del usuario a true. Como resultado, las aplicaciones pueden utilizar este atributo para identificar si la contraseña de un usuario ha sido restablecida por un administrador.

Tenga en cuenta que pwdReset es un atributo operativo y, por lo tanto, los usuarios no pueden editarlo.

(BZ#1775285)

El Servidor de Directorios ahora registra el trabajo y el tiempo de operación en las entradas de RESULTADO

Con esta actualización, el servidor de directorios registra ahora dos valores de tiempo adicionales en las entradas de RESULTADO en el archivo `/var/log/dirsrv/slapd-

El valor wtime indica el tiempo que tarda una operación en pasar de la cola de trabajo a un hilo de trabajo.
El valor de optime muestra el tiempo que tardó la operación real en completarse una vez que un hilo trabajador inició la operación.

Los nuevos valores proporcionan información adicional sobre cómo el Servidor de Directorio maneja la carga y procesa las operaciones.

Para más detalles, consulte la sección Referencia de registro de acceso en la Referencia de configuración, comandos y archivos del servidor de directorio de Red Hat.

(BZ#1850275)

6.1.14. Escritorio

Ya está disponible la sesión de solicitud única

Ahora puede iniciar GNOME en una sesión de una sola aplicación, también conocida como modo quiosco. En esta sesión, GNOME muestra sólo una ventana de pantalla completa de una aplicación que haya configurado.

Para activar la sesión de aplicación única:

Instale el paquete gnome-session-kiosk-session:
```
# yum install gnome-session-kiosk-session
```
Cree y edite el archivo $HOME/.local/bin/redhat-kiosk del usuario que abrirá la sesión de aplicación única.
En el archivo, introduzca el nombre del ejecutable de la aplicación que desea lanzar.
Por ejemplo, para lanzar la aplicación Text Editor:
```
#!/bin/sh

gedit &
```
Haz que el archivo sea ejecutable:
```
$ chmod x $HOME/.local/bin/redhat-kiosk
```
En la pantalla de inicio de sesión de GNOME, seleccione la sesión Kiosk en el menú del botón de la rueda dentada e inicie la sesión como usuario de una sola aplicación.

(BZ#1739556)

tigervnc ha sido rebasado a la versión 1.10.1

La suite tigervnc ha sido reajustada a la versión 1.10.1. La actualización contiene varias correcciones y mejoras. Las más notables:

tigervnc ahora sólo soporta el inicio del servidor de computación de red virtual (VNC) utilizando el administrador de servicios systemd.
El portapapeles ahora soporta Unicode completo en el visor nativo, WinVNC y Xvnc/libvnc.so.
El cliente nativo ahora respetará el almacén de confianza del sistema cuando verifique los certificados del servidor.
Se ha eliminado el servidor web Java.
x0vncserver ahora puede ser configurado para permitir sólo conexiones locales.
x0vncserver ha recibido correcciones para cuando sólo se comparte una parte de la pantalla.
El sondeo es ahora por defecto en WinVNC.
Se ha mejorado la compatibilidad con el servidor VNC de VMware.
Se ha mejorado la compatibilidad con algunos métodos de entrada en macOS.
Se ha mejorado la "reparación" automática de los artefactos JPEG.

(BZ#1806992)

6.1.15. Infraestructuras gráficas

Compatibilidad con las nuevas tarjetas gráficas

Las siguientes tarjetas gráficas son ahora totalmente compatibles:

La familia AMD Navi 14, que incluye los siguientes modelos:
- Radeon RX 5300
- Radeon RX 5300 XT
- Radeon RX 5500
- Radeon RX 5500 XT
La familia de APUs AMD Renoir, que incluye los siguientes modelos:
- Ryzen 3 4300U
- Ryzen 5 4500U, 4600U y 4600H
- Ryzen 7 4700U, 4800U y 4800H
La familia de APU AMD Dali, que incluye los siguientes modelos:
- Athlon Silver 3050U
- Athlon Gold 3150U
- Ryzen 3 3250U

Además, se han actualizado los siguientes controladores gráficos:

El controlador Matrox mgag200

(JIRA:RHELPLAN-55009)

Aceleración por hardware con Nvidia Volta y Turing

El controlador de gráficos de nouveau soporta ahora la aceleración por hardware con las familias de GPUs Nvidia Volta y Turing. Como resultado, el escritorio y las aplicaciones que utilizan gráficos 3D ahora se renderizan de forma eficiente en la GPU. Además, esto libera la CPU para otras tareas y mejora la capacidad de respuesta general del sistema.

(JIRA:RHELPLAN-57564)

Reducción del tearing de la pantalla en XWayland

El backend de visualización de XWayland permite ahora la extensión XPresent. Con XPresent, las aplicaciones pueden actualizar eficazmente el contenido de sus ventanas, lo que reduce el tearing de la pantalla.

Esta función mejora notablemente el renderizado de la interfaz de usuario de las aplicaciones OpenGL a pantalla completa, como los editores 3D.

(JIRA:RHELPLAN-57567)

6.1.16. La consola web

Establecer privilegios desde la sesión de la consola web

Con esta actualización, la consola web proporciona una opción para cambiar entre el acceso administrativo y el acceso limitado desde dentro de una sesión de usuario. Puede cambiar entre los modos haciendo clic en el indicador Administrative access o Limited access en su sesión de la consola web.

(JIRA:RHELPLAN-42395)

Mejoras en la búsqueda de registros

Con esta actualización, la consola web introduce un cuadro de búsqueda que admite varias formas nuevas de que los usuarios puedan buscar entre los registros. El cuadro de búsqueda admite la búsqueda de expresiones regulares en los mensajes de registro, especificando el servicio o buscando entradas con campos de registro específicos.

(BZ#1710731)

La página de resumen muestra informes más detallados de Insights

Con esta actualización, cuando una máquina está conectada a Red Hat Insights, la tarjeta Health en la página Overview de la consola web muestra información más detallada sobre el número de accesos y su prioridad.

(JIRA:RHELPLAN-42396)

6.1.17. Roles del sistema Red Hat Enterprise Linux

Terminal log rol añadido a RHEL System Roles

Con esta mejora, se ha añadido un nuevo rol Terminal log (TLOG) a los roles de sistema de RHEL que se envían con el paquete rhel-system-roles. Ahora los usuarios pueden utilizar el rol tlog para establecer y configurar la grabación de sesiones mediante Ansible.

Actualmente, el rol tlog soporta las siguientes tareas:

Configurar tlog para que registre los datos de la grabación en el diario de systemd
Habilitar la grabación de sesiones para usuarios y grupos explícitos, a través de SSSD

(BZ#1822158)

La función de sistema de registro de RHEL ya está disponible para Ansible

Con el rol de sistema de registro, puede desplegar varias configuraciones de registro de forma consistente en hosts locales y remotos. Puede configurar un host RHEL como servidor para recopilar registros de muchos sistemas cliente.

(BZ#1677739)

rhel-system-roles-sap totalmente compatible

El paquete rhel-system-roles-sap, que anteriormente estaba disponible como una Muestra de Tecnología, es ahora totalmente compatible. Proporciona funciones del sistema Red Hat Enterprise Linux (RHEL) para SAP, que pueden utilizarse para automatizar la configuración de un sistema RHEL para ejecutar cargas de trabajo SAP. Estos roles reducen en gran medida el tiempo de configuración de un sistema para ejecutar cargas de trabajo de SAP, aplicando automáticamente los ajustes óptimos que se basan en las mejores prácticas descritas en las notas pertinentes de SAP. El acceso está limitado a las ofertas de RHEL for SAP Solutions. Póngase en contacto con el Servicio de Atención al Cliente de Red Hat si necesita ayuda con su suscripción.

Los siguientes nuevos roles del paquete rhel-system-roles-sap son totalmente compatibles:

sap-preconfigure
sap-netweaver-preconfigure
sap-hana-preconfigure

Para más información, véase Red Hat Enterprise Linux System Roles for SAP.

(BZ#1660832)

El rol de sistema RHEL de métricas ya está disponible para Ansible.

Con la métrica RHEL System Role, puede configurar, para los hosts locales y remotos:

servicios de análisis de rendimiento a través de la aplicación pcp
visualización de estos datos mediante un servidor grafana
consulta de estos datos utilizando la fuente de datos redis sin tener que configurar manualmente estos servicios por separado.

(BZ#1890499)

rhel-system-roles-sap actualizado

Los paquetes rhel-system-roles-sap han sido actualizados a la versión 2.0.0, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

Mejora de la configuración y comprobación del nombre de host
Mejora de la detección y el tratamiento del estado de la uuidd
Añadir soporte para la opción --check (-c)
Aumentar los límites de no-fichero de 32800 a 65536
Añadir el archivo nfs-utils a sap_preconfigure_packages*
Desactivar firewalld. Con este cambio deshabilitamos firewalld sólo cuando está instalado.
Añadir las versiones mínimas requeridas del paquete de instalación para RHEL 8.0 y RHEL 8.1.
Mejorar el manejo del archivo tmpfiles.d/sap.conf
Apoyar la ejecución de un solo paso o la comprobación de las notas de SAP
Añadir los paquetes compat-sap-c necesarios
Mejorar la gestión de la instalación de paquetes mínimos
Detectar si se requiere un reinicio después de aplicar los Roles del Sistema RHEL
Soporta la configuración de cualquier estado de SElinux. El estado por defecto es "deshabilitado"
Ya no falla si hay más de una línea con direcciones IP idénticas
Ya no se modifica /etc/hosts si hay más de una línea que contiene sap_ip
Soporte para HANA en RHEL 7.7
Soporte para añadir un repositorio para las herramientas de servicio y productividad de IBM para Power, necesarias para SAP HANA en la plataforma ppc64le

(BZ#1844190)

6.1.18. Virtualización

La migración de una máquina virtual a un host con una configuración TSC incompatible ahora falla más rápido

Anteriormente, la migración de una máquina virtual a un host con una configuración de contador de tiempo (TSC) incompatible fallaba al final del proceso. Con esta actualización, al intentar dicha migración se genera un error antes de que se inicie el proceso de migración.

(JIRA:RHELPLAN-45950)

Soporte de virtualización para los procesadores AMD EPYC de segunda generación

Con esta actualización, la virtualización en RHEL 8 añade soporte para los procesadores AMD EPYC de segunda generación, también conocidos como EPYC Rome. Como resultado, las máquinas virtuales alojadas en RHEL 8 ahora pueden utilizar el modelo de CPU EPYC-Rome y utilizar las nuevas características que los procesadores proporcionan.

(JIRA:RHELPLAN-45959)

Nuevo comando: virsh iothreadset

Esta actualización introduce el comando virsh iothreadset, que puede utilizarse para configurar el sondeo dinámico de IOThread. Esto hace posible configurar máquinas virtuales con latencias más bajas para cargas de trabajo de E/S intensivas a expensas de un mayor consumo de CPU para el IOThread. Para las opciones específicas, consulte la página man de virsh.

(JIRA:RHELPLAN-45958)

KVM admite ahora UMIP en los procesadores Intel Core de 10ª generación

Con esta actualización, la función de prevención de instrucciones en modo usuario (UMIP) es ahora compatible con KVM para los hosts que se ejecutan en procesadores Intel Core de 10ª generación, también conocidos como servidores Ice Lake. La función UMIP emite una excepción de protección general si ciertas instrucciones, como sgdt, sidt, sldt, smsw y str, se ejecutan cuando el nivel de privilegio actual (CPL) es mayor que 0. Como resultado, UMIP garantiza la seguridad del sistema al impedir que las aplicaciones no autorizadas accedan a ciertas configuraciones de todo el sistema que pueden utilizarse para iniciar ataques de escalada de privilegios.

(JIRA:RHELPLAN-45957)

La biblioteca libvirt ahora soporta la asignación de ancho de banda de memoria

libvirt ahora soporta la Asignación de Ancho de Banda de Memoria (MBA). Con MBA, puede asignar partes del ancho de banda de la memoria del host en hilos de vCPU utilizando el elemento <memorytune> en la sección <cputune>.

MBA es una extensión de la función Cache QoS Enforcement (CQE) existente en los procesadores Intel Xeon v4, también conocidos como servidor Broadwell. Para las tareas que están asociadas a la afinidad de la CPU, el mecanismo utilizado por MBA es el mismo que en CQE.

(JIRA:RHELPLAN-45956)

Las máquinas virtuales de RHEL 6 ahora soportan el tipo de máquina Q35

Las máquinas virtuales (VM) alojadas en RHEL 8 que utilizan RHEL 6 como sistema operativo invitado ahora pueden utilizar Q35, un tipo de máquina más moderno basado en PCI Express. Esto proporciona una variedad de mejoras en las características y el rendimiento de los dispositivos virtuales, y garantiza que una gama más amplia de dispositivos modernos sean compatibles con las VM de RHEL 6.

(JIRA:RHELPLAN-45952)

Todos los eventos registrados de QEMU tienen ahora una marca de tiempo. Como resultado, los usuarios pueden solucionar más fácilmente sus máquinas virtuales utilizando los registros guardados en el directorio /var/log/libvirt/qemu/.

Los registros de QEMU ahora incluyen marcas de tiempo para los eventos del servidor de especias

Esta actualización añade marcas de tiempo a los registros de eventos de `spice-server`. Por lo tanto, todos los eventos QEMU registrados tienen ahora una marca de tiempo. Como resultado, los usuarios pueden solucionar más fácilmente sus máquinas virtuales utilizando los registros guardados en el directorio /var/log/libvirt/qemu/.

(JIRA:RHELPLAN-45945)

El dispositivo bochs-display es ahora compatible

RHEL 8.3 y posteriores introducen el dispositivo de visualización Bochs, que es más seguro que el dispositivo stdvga utilizado actualmente. Tenga en cuenta que todas las máquinas virtuales (VM) compatibles con bochs-display lo utilizarán por defecto. Esto incluye principalmente las VMs que utilizan la interfaz UEFI.

(JIRA:RHELPLAN-45939)

Protección MDS optimizada para máquinas virtuales

Con esta actualización, un host RHEL 8 puede informar a sus máquinas virtuales (VM) si son vulnerables al muestreo de datos microarquitectónicos (MDS). Las máquinas virtuales que no son vulnerables no utilizan medidas contra el MDS, lo que mejora su rendimiento.

(JIRA:RHELPLAN-45937)

Ahora es posible crear imágenes de disco QCOW2 en RBD

Con esta actualización, es posible crear imágenes de disco QCOW2 en el almacenamiento RADOS Block Device (RBD). Como resultado, las máquinas virtuales pueden utilizar servidores RBD para sus back ends de almacenamiento con imágenes QCOW2.

Sin embargo, hay que tener en cuenta que el rendimiento de escritura de las imágenes de disco QCOW2 en el almacenamiento RBD es actualmente inferior al previsto.

(JIRA:RHELPLAN-45936)

El número máximo de dispositivos VFIO soportados ha aumentado a 64

Con esta actualización, puede adjuntar hasta 64 dispositivos PCI que utilizan VFIO a una sola máquina virtual en un host RHEL 8. Esta cifra es superior a la de 32 de RHEL 8.2 y anteriores.

(JIRA:RHELPLAN-45930)

los comandosdiscard y write-zeroes están ahora soportados en QEMU/KVM

Con esta actualización, los comandos de descarte y escritura de ceros para virtio-blk son ahora compatibles con QEMU/KVM. Como resultado, las máquinas virtuales pueden utilizar el dispositivo virtio-blk para descartar los sectores no utilizados de un SSD, llenar los sectores con ceros cuando se vacían, o ambos. Esto puede utilizarse para aumentar el rendimiento del SSD o para garantizar que una unidad se borre de forma segura.

(JIRA:RHELPLAN-45926)

RHEL 8 ahora es compatible con IBM POWER 9 XIVE

Esta actualización introduce en RHEL 8 la compatibilidad con la función External Interrupt Virtualization Engine (XIVE) de IBM POWER9. Como resultado, las máquinas virtuales (VM) que se ejecutan en un hipervisor RHEL 8 en un sistema IBM POWER 9 pueden utilizar XIVE, lo que mejora el rendimiento de las VM de E/S intensiva.

(JIRA:RHELPLAN-45922)

Compatibilidad del Grupo de Control v2 con las máquinas virtuales

Con esta actualización, la suite libvirt soporta grupos de control v2. Como resultado, las máquinas virtuales alojadas en RHEL 8 pueden aprovechar las capacidades de control de recursos del grupo de control v2.

(JIRA:RHELPLAN-45920)

Las IPI paravirtualizadas son ahora compatibles con las máquinas virtuales de Windows

Con esta actualización, se ha añadido el indicador hv_ipi a las iluminaciones de hipervisor compatibles con las máquinas virtuales (VM) de Windows. Esto permite que las interrupciones entre procesadores (IPI) se envíen a través de una hiperllamada. Como resultado, las IPIs pueden realizarse más rápidamente en las VMs que ejecutan un SO Windows.

(JIRA:RHELPLAN-45918)

Ahora es posible migrar máquinas virtuales con la caché de disco activada

Esta actualización hace que el hipervisor KVM de RHEL 8 sea compatible con la migración en vivo de la caché de disco. Como resultado, ahora es posible migrar en vivo máquinas virtuales con la caché de disco habilitada.

(JIRA:RHELPLAN-45916)

las interfaces macvtap ahora pueden ser utilizadas por las máquinas virtuales en sesiones no privilegiadas

Ahora es posible que las máquinas virtuales (VM) utilicen una interfaz macvtap previamente creada por un proceso con privilegios. En particular, esto permite que las máquinas virtuales iniciadas por la sesión de usuario sin privilegios de libvirtd utilicen una interfaz macvtap.

Para ello, primero cree una interfaz macvtap en un entorno privilegiado y configúrela para que sea propiedad del usuario que va a ejecutar libvirtd en una sesión sin privilegios. Puede hacer esto usando una aplicación de gestión como la consola web, o usando utilidades de línea de comandos como root, por ejemplo:

# ip link add link en2 name mymacvtap0 address 52:54:00:11:11:11 type macvtap mode bridge
# chown myuser /dev/tap$(cat /sys/class/net/mymacvtap0/ifindex)
# ip link set mymacvtap0 up

A continuación, modifique el subelemento <target> de la configuración de la VM <interface> para que haga referencia a la interfaz macvtap recién creada:

  <interface type='ethernet'>
     <model type='virtio'/>
     <mac address='52:54:00:11:11:11'/>
     <target dev='mymacvtap0' managed='no'/>
   </interface>

Con esta configuración, si libvirtd se ejecuta como el usuario myuser, la VM utilizará la interfaz macvtap existente cuando se inicie.

(JIRA:RHELPLAN-45915)

Las máquinas virtuales ya pueden utilizar las características de los procesadores Intel Core de 10ª generación

Los nombres de los modelos de CPU Icelake-Server e Icelake-Client están ahora disponibles para las máquinas virtuales (VMs). En los hosts con procesadores Intel Core de 10ª generación, el uso de Icelake-Server o Icelake-Client como tipo de CPU en la configuración XML de una VM hace que las nuevas características de estas CPU estén expuestas a la VM.

(JIRA:RHELPLAN-45911)

QEMU ahora soporta el cifrado LUKS

Con esta actualización, es posible crear discos virtuales utilizando el cifrado de Linux Unified Key Setup (LUKS). Puede cifrar los discos al crear el volumen de almacenamiento incluyendo el campo <encryption> en la configuración XML de la máquina virtual (VM). También puede hacer que el disco virtual cifrado LUKS sea completamente transparente para la VM incluyendo el campo <encryption> en la definición del dominio del disco en el archivo de configuración XML.

(JIRA:RHELPLAN-45910)

Registros mejorados para nbdkit

El registro del servicio nbdkit ha sido modificado para ser menos verboso. Como resultado, nbdkit registra sólo los mensajes potencialmente importantes, y los registros creados durante las conversiones virt-v2v son más cortos y fáciles de analizar.

(JIRA:RHELPLAN-45909)

Mejora de la coherencia de las etiquetas de seguridad y los permisos de SELinux de las máquinas virtuales

Con esta actualización, el servicio libvirt puede registrar las etiquetas de seguridad SELinux y los permisos asociados a los archivos, y restaurar las etiquetas después de modificar los archivos. Como resultado, por ejemplo, el uso de utilidades libguestfs para modificar una imagen de disco de máquina virtual (VM) propiedad de un usuario específico ya no cambia el propietario de la imagen a root.

Tenga en cuenta que esta función no funciona en sistemas de archivos que no admiten atributos de archivo extendidos, como NFS.

(JIRA:RHELPLAN-45908)

QEMU utiliza ahora la biblioteca gcrypt para los cifrados XTS

Con esta actualización, el emulador QEMU ha sido cambiado para utilizar la implementación del modo de cifrado XTS proporcionada por la biblioteca gcrypt. Esto mejora el rendimiento de E/S de las máquinas virtuales cuyo almacenamiento anfitrión utiliza el controlador de cifrado luks nativo de QEMU.

(JIRA:RHELPLAN-45904)

Los controladores de Windows Virtio ahora se pueden actualizar mediante Windows Updates

Con esta actualización, se inicia por defecto una nueva cadena SMBIOS estándar cuando se inicia QEMU. Los parámetros proporcionados en los campos de SMBIOS permiten generar IDs para el hardware virtual que se ejecuta en la máquina virtual(VM). Como resultado, Windows Update puede identificar el hardware virtual y el tipo de máquina del hipervisor RHEL, y actualizar los controladores de Virtio en las VM que ejecutan Windows 10 , Windows Server 2016 y Windows Server 2019 .

(JIRA:RHELPLAN-45901)

Nuevo comando: virsh guestinfo

El comando virsh guestinfo ha sido introducido en RHEL 8.3. Esto hace posible reportar los siguientes tipos de información sobre una máquina virtual (VM):

Información sobre el sistema operativo y el sistema de archivos del huésped
Usuarios activos
La zona horaria utilizada

Antes de ejecutar virsh guestinfo, asegúrese de que el paquete qemu-guest-agent está instalado. Además, el canal guest_agent debe estar habilitado en la configuración XML de la VM, por ejemplo de la siguiente manera:

<channel type='unix'>
   <target type='virtio' name='org.qemu.guest_agent.0'/>
</channel>

(JIRA:RHELPLAN-45900)

Las entradas VNNI para BFLOAT16 son ahora compatibles con KVM

Con esta actualización, las instrucciones de red neuronal vectorial (VNNI) que admiten entradas BFLOAT16, también conocidas como instrucciones AVX512_BF16, son ahora compatibles con KVM para los hosts que se ejecutan en los procesadores escalables Intel Xeon de tercera generación, también conocidos como Cooper Lake. Como resultado, el software invitado puede ahora utilizar las instrucciones AVX512_BF16 dentro de las máquinas virtuales, habilitándolas en la configuración de la CPU virtual.

(JIRA:RHELPLAN-45899)

Nuevo comando: virsh pool-capabilities

RHEL 8.3 introduce la opción del comando virsh pool-capabilities. Este comando muestra información que puede ser utilizada para crear pools de almacenamiento, así como volúmenes de almacenamiento dentro de cada pool, en su host. Esto incluye:

Tipos de pool de almacenamiento
Formatos de origen del pool de almacenamiento
Tipos de formato de volumen de almacenamiento de destino

(JIRA:RHELPLAN-45884)

Compatibilidad con CPUID.1F en máquinas virtuales con procesadores Intel Xeon Platinum serie 9200

Con esta actualización, las máquinas virtuales alojadas en RHEL 8 pueden configurarse con una topología de CPU virtual de múltiples troqueles, utilizando la función de hoja de Enumeración de Topología Extendida (CPUID.1F). Esta característica es soportada por los procesadores Intel Xeon Platinum de la serie 9200, anteriormente conocidos como Cascade Lake. Como resultado, ahora es posible en los hosts que utilizan procesadores Intel Xeon Platinum serie 9200 crear una topología vCPU que refleje la topología de la CPU física del host.

(JIRA:RHELPLAN-37573, JIRA:RHELPLAN-45934)

Las máquinas virtuales ya pueden utilizar las funciones de los procesadores escalables Intel Xeon de tercera generación

El nombre del modelo de CPU Cooperlake está ahora disponible para las máquinas virtuales (VM). El uso de Cooperlake como tipo de CPU en la configuración XML de una VM hace que las nuevas características de los procesadores escalables Intel Xeon de tercera generación estén expuestas a la VM, si el host utiliza esta CPU.

(JIRA:RHELPLAN-37570)

La memoria persistente Intel Optane ahora es compatible con KVM

Con esta actualización, las máquinas virtuales alojadas en RHEL 8 pueden beneficiarse de la tecnología de memoria persistente Intel Optane, anteriormente conocida como Intel Crystal Ridge. Los dispositivos de almacenamiento de memoria persistente Intel Optane proporcionan una tecnología de memoria persistente de clase de centro de datos, que puede aumentar significativamente el rendimiento de las transacciones.

(JIRA:RHELPLAN-14068)

Las máquinas virtuales ahora pueden utilizar Intel Processor Trace

Con esta actualización, las máquinas virtuales (VM) alojadas en RHEL 8 pueden utilizar la función Intel Processor Trace (PT). Cuando su anfitrión utiliza una CPU que soporta Intel PT, puede utilizar un software especializado de Intel para recoger una variedad de métricas sobre el rendimiento de la CPU de su VM. Tenga en cuenta que esto también requiere habilitar la función intel-pt en la configuración XML de la VM.

(JIRA:RHELPLAN-7788)

Ahora se pueden asignar dispositivos DASD a máquinas virtuales en IBM Z

Los dispositivos de almacenamiento de acceso directo (DASD) proporcionan una serie de características de almacenamiento específicas. Utilizando la función vfio-ccw, puede asignar DASDs como dispositivos mediados a sus máquinas virtuales (VMs) en hosts IBM Z. Esto, por ejemplo, hace posible que la VM acceda a un conjunto de datos de z/OS, o que comparta los DASDs asignados con una máquina z/OS.

(JIRA:RHELPLAN-40234)

Soporte de IBM Secure Execution para IBM Z

Cuando utilice hardware IBM Z para ejecutar su host RHEL 8, puede mejorar la seguridad de sus máquinas virtuales (VM) configurando IBM Secure Execution para las VM. IBM Secure Execution, también conocido como Virtualización Protegida, impide que el sistema anfitrión acceda al estado y al contenido de la memoria de una VM.

Como resultado, incluso si el host está comprometido, no puede ser utilizado como un vector para atacar el sistema operativo invitado. Además, la ejecución segura puede utilizarse para evitar que los hosts no confiables obtengan información sensible de la máquina virtual.

(JIRA:RHELPLAN-14754)

6.1.19. RHEL en entornos de nube

cloud-utils-growpart rebasado a 0.31

El paquete cloud-utils-growpart ha sido actualizado a la versión 0.31, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

Se ha corregido un error que impedía que los discos GPT crecieran más allá de los 2TB.
La operación growpart ya no falla cuando el sector de inicio y el tamaño son iguales.
El redimensionamiento de una partición mediante la utilidad sgdisk fallaba anteriormente en algunos casos. Este problema ya se ha solucionado.

(BZ#1846246)

6.1.20. Contenedores

la imagendel contenedorskopeo ya está disponible

La imagen de contenedor registry.redhat.io/rhel8/skopeo es una implementación en contenedor del paquete skopeo. La herramienta skopeo es una utilidad de línea de comandos que realiza varias operaciones en imágenes de contenedores y repositorios de imágenes. Esta imagen de contenedor le permite inspeccionar imágenes de contenedor en un registro, eliminar una imagen de contenedor de un registro y copiar imágenes de contenedor de un registro de contenedor no autenticado a otro. Para extraer la imagen de contenedor registry.redhat.io/rhel8/skopeo, necesita una suscripción activa a Red Hat Enterprise Linux.

(BZ#1627900)

la imagen del contenedorbuildah ya está disponible

La imagen de contenedor registry.redhat.io/rhel8/buildah es una implementación en contenedor del paquete buildah. La herramienta buildah facilita la construcción de imágenes de contenedores OCI. Esta imagen de contenedor le permite construir imágenes de contenedor sin necesidad de instalar el paquete buildah en su sistema. El caso de uso no cubre la ejecución de esta imagen en modo sin raíz como usuario no root. Para obtener la imagen de contenedor registry.redhat.io/rhel8/buildah, necesita una suscripción activa a Red Hat Enterprise Linux.

(BZ#1627898)

Ya está disponible la API RESTful de Podman v2.0

La nueva API de Podman 2.0 basada en REST sustituye a la antigua API remota basada en la biblioteca varlink. La nueva API funciona tanto en un entorno rootful como en uno sin root y proporciona una capa de compatibilidad con Docker.

(JIRA:RHELPLAN-37517)

La instalación de Podman no requiere container-selinux

Con esta mejora, la instalación del paquete container-selinux es ahora opcional durante la construcción del contenedor. Como resultado, Podman tiene menos dependencias de otros paquetes.

(BZ#1806044)

6.1.21. Nuevos conductores

Controladores de red

Controlador CAN para dispositivos Kvaser CAN/USB (kvaser_usb.ko.xz)
Controlador para dispositivos UCAN de Theobroma Systems (ucan.ko.xz)
Pensando Ethernet NIC Driver (ionic.ko.xz)

Controladores de gráficos y controladores varios

Marco genérico del procesador remoto (remoteproc.ko.xz)
Inyección de estado C en el paquete para CPUs Intel® (intel_powerclamp.ko.xz)
Controlador térmico X86 PKG TEMP (x86_pkg_temp_thermal.ko.xz)
Controlador térmico INT3402 (int3402_thermal.ko.xz)
Controlador térmico ACPI INT3403 (int3403_thermal.ko.xz)
Intel® acpi thermal rel misc dev driver (acpi_thermal_rel.ko.xz)
INT3400 Thermal driver (int3400_thermal.ko.xz)
Manejador de zona térmica común Intel® INT340x (int340x_thermal_zone.ko.xz)
Controlador del dispositivo de información térmica del procesador (processor_thermal_device.ko.xz)
Controlador térmico Intel® PCH (intel_pch_thermal.ko.xz)
Gema DRM ttm helpers (drm_ttm_helper.ko.xz)
Registro del nodo del dispositivo para los controladores cec (cec.ko.xz)
Fairchild FUSB302 Type-C Chip Driver (fusb302.ko.xz)
VHOST IOTLB (vhost_iotlb.ko.xz)
backend de vhost basado en vDPA para virtio (vhost_vdpa.ko.xz)
Controlador del reloj PTP virtual de VMware (ptp_vmw.ko.xz)
Controlador Intel® LPSS PCI (intel-lpss-pci.ko.xz)
Controlador del núcleo Intel® LPSS (intel-lpss.ko.xz)
Controlador Intel® LPSS ACPI (intel-lpss-acpi.ko.xz)
Controlador Mellanox watchdog (mlx_wdt.ko.xz)
Controlador FAN de Mellanox (mlxreg-fan.ko.xz)
Controlador de acceso de E/S Mellanox regmap (mlxreg-io.ko.xz)
Controlador del buzón Intel® speed select interface pci (isst_if_mbox_pci.ko.xz)
Controlador del buzón de la interfaz Intel® de selección de velocidad (isst_if_mbox_msr.ko.xz)
Controlador Intel® speed select interface mmio (isst_if_mmio.ko.xz)
Controlador Mellanox LED regmap (leds-mlxreg.ko.xz)
simulador de dispositivos vDPA (vdpa_sim.ko.xz)
Controlador Intel® Tiger Lake PCH pinctrl/GPIO (pinctrl-tigerlake.ko.xz)
Controlador SSP SPI PXA2xx (spi-pxa2xx-platform.ko.xz)
Código PCI-SPI CE4100/LPSS para el controlador PXA (spi-pxa2xx-pci.ko.xz)
Interfaz PCI de Hyper-V (pci-hyperv-intf.ko.xz)
controlador de bus vDPA para dispositivos virtio (virtio_vdpa.ko.xz)

6.1.22. Controladores actualizados

Actualización de los controladores de red

El controlador NIC virtual de VMware vmxnet3 (vmxnet3.ko.xz) ha sido actualizado a la versión 1.5.0.0-k.
Realtek RTL8152/RTL8153 Based USB Ethernet Adapters (r8152.ko.xz) ha sido actualizado a la versión 1.09.10.
El controlador de red Broadcom BCM573xx (bnxt_en.ko.xz) ha sido actualizado a la versión 1.10.1.
El controlador del procesador de flujo Netronome (NFP) (nfp.ko.xz) ha sido actualizado a la versión 4.18.0-240.el8.x86_64.
El controlador de la interfaz de host del conmutador Intel® Ethernet (fm10k.ko.xz) ha sido actualizado a la versión 0.27.1-k.
El controlador Intel® Ethernet Connection E800 Series Linux (ice.ko.xz) ha sido actualizado a la versión 0.8.2-k.

Actualizaciones de los controladores de almacenamiento

El controlador Emulex LightPulse Fibre Channel SCSI (lpfc.ko.xz) ha sido actualizado a la versión 0:12.8.0.1.
El controlador QLogic FCoE (bnx2fc.ko.xz) ha sido actualizado a la versión 2.12.13.
El controlador del dispositivo LSI MPT Fusion SAS 3.0 (mpt3sas.ko.xz) ha sido actualizado a la versión 34.100.00.00.
La versión del controlador HP Smart Array (hpsa.ko.xz) ha sido actualizada a la versión 3.4.20-170-RH5.
El controlador HBA de canal de fibra de QLogic (qla2xxx.ko.xz) ha sido actualizado a la versión 10.01.00.25.08.3-k.
El controlador Broadcom MegaRAID SAS (megaraid_sas.ko.xz) ha sido actualizado a la versión 07.714.04.00-rh1.

Actualizaciones de gráficos y controladores varios

El controlador drm independiente para el dispositivo VMware SVGA (vmwgfx.ko.xz) ha sido actualizado a la versión 2.17.0.0.
Coprocesador Crypto para las tarjetas Chelsio Terminator. (chcr.ko.xz) ha sido actualizado a la versión 1.0.0.0-ko.