8.0 notes de mise à jour (traduction automatique)

Red Hat Enterprise Linux 8.0

Notes de version pour Red Hat Enterprise Linux 8.0 (traduction automatique)

Red Hat Customer Content Services

Résumé

Les notes de version fournissent une couverture de haut niveau des améliorations et des ajouts qui ont été implémentés dans Red Hat Enterprise Linux 8.0 et documentent les problèmes connus dans cette version, ainsi que les corrections de bogues, les aperçus technologiques, les fonctionnalités obsolètes, les fonctionnalités supprimées et autres détails notables.

Fournir une rétroaction sur la documentation de Red Hat (traduction automatique)

Nous apprécions vos commentaires sur notre documentation. Faites-nous savoir comment nous pourrions l'améliorer. Pour ce faire :

Pour des commentaires simples sur des passages spécifiques, assurez-vous que vous consultez la documentation au format HTML multipage. Mettez en surbrillance la partie du texte sur laquelle vous voulez faire un commentaire. Ensuite, cliquez sur le pop-up Ajouter un commentaire qui apparaît sous le texte en surbrillance, et suivez les instructions affichées.
Pour soumettre des commentaires plus complexes, créez un ticket Bugzilla :
1. Allez sur le Bugzillasite Web.
2. En tant que Composant, utilisez la Documentation.
3. Remplissez le champ Description avec votre suggestion d'amélioration. Inclure un lien vers la ou les parties pertinentes de la documentation.
4. Cliquez sur Soumettre un bogue.

Chapitre 1. Vue d'ensemble (traduction automatique)

Basé sur Fedora 28 et le noyau amont 4.18, Red Hat Enterprise Linux 8.0 fournit aux utilisateurs une base stable, sécurisée et cohérente pour les déploiements de cloud hybride avec les outils nécessaires pour supporter les charges de travail traditionnelles et émergentes. Voici les points saillants de cette version :

Distribution

Le contenu est disponible dans les référentiels BaseOS et Application Stream (AppStream).
Le référentiel AppStream supporte une nouvelle extension du format RPM traditionnel - les modules. Cela permet de disposer de plusieurs versions majeures d'un composant pour l'installation.

Voir Chapitre 3, Distribution du contenu de RHEL 8 (traduction automatique)pour plus d'informations.

Gestion des logiciels

Le gestionnaire de package YUM est maintenant basé sur la technologie DNF et offre un support pour le contenu modulaire, des performances accrues et une API stable et bien conçue pour l'intégration avec les outils.

Voir Section 4.4, « Gestion du logiciel (traduction automatique) »pour plus de détails.

Serveurs Web, bases de données, langages dynamiques

Python 3.6 est l'implémentation par défaut de Python dans RHEL 8 ; un support limité pour Python 2.7 est fourni. Aucune version de Python n'est installée par défaut.
RHEL 8 fournit les serveurs de base de données suivants : MariaDB 10.3, MySQL 8.0, PostgreSQL 10, PostgreSQL 9.6 et Redis 4.0.

Voir Section 4.7, « Langages de programmation dynamiques, serveurs web et de bases de données (traduction automatique) »pour plus d'informations.

Ordinateur de bureau

GNOME Shell a été rebasé sur la version 3.28.
La session GNOME et le gestionnaire d'affichage GNOME utilisent Wayland comme serveur d'affichage par défaut. Le serveur X.Org, qui est le serveur d'affichage par défaut dans RHEL 7, est également disponible.

Voir Section 4.8, « Ordinateur de bureau (traduction automatique) »pour plus d'informations.

Installateur et création d'images

Le programme d'installation d'Anaconda peut utiliser le cryptage de disque LUKS2 et installer le système sur des périphériques NVDIMM.
Le nouvel outil Composer permet aux utilisateurs de créer des images système personnalisées dans une variété de formats, y compris des images préparées pour le déploiement sur les nuages de divers fournisseurs. Composer est disponible sous forme d'aperçu technologique.
Installation à partir d'un DVD à l'aide de la console de gestion matérielle (HMC) et de l'élément de support (SE) sur IBM Z.

Voir Section 4.2, « Installateur et création d'images (traduction automatique) »pour plus de détails.

Systèmes de fichiers et stockage

Le gestionnaire de stockage local Stratis a été introduit. Stratis vous permet d'effectuer facilement des tâches de stockage complexes et de gérer votre pile de stockage à l'aide d'une interface unifiée.
Le format LUKS version 2 (LUKS2) remplace l'ancien format LUKS (LUKS1). Le dm-cryptsous-système et l'cryptsetupoutil utilisent maintenant LUKS2 comme format par défaut pour les volumes cryptés.

Voir Section 4.11, « Systèmes de fichiers et stockage (traduction automatique) »pour plus d'informations.

Sécurité

Les politiques cryptographiques à l'échelle du système, qui configurent les sous-systèmes cryptographiques centraux, couvrant les protocoles TLS, IPSec, SSH, DNSSec et Kerberos, sont appliquées par défaut. Avec la nouvelle update-crypto-policiescommande, l'administrateur peut facilement passer d'un mode à l'autre : par défaut, héritage, futur et fips.
La prise en charge des cartes à puce et des modules de sécurité matérielle (HSM) avec PKCS #11 est désormais cohérente sur l'ensemble du système.

Voir Section 4.14, « Sécurité (traduction automatique) »pour plus d'informations.

Mise en réseau

Le nftablescadre remplace iptablesdans le rôle de la fonction de filtrage de paquets réseau par défaut.
Le firewallddémon utilise maintenant nftablescomme backend par défaut.
Prise en charge des pilotes réseau virtuels IPVLAN qui permettent la connectivité réseau pour plusieurs conteneurs.

Voir Section 4.13, « Mise en réseau (traduction automatique) »pour plus de détails.

Virtualisation

Un type de machine PCI Express plus moderne (Q35) est maintenant supporté et configuré automatiquement dans les machines virtuelles créées dans RHEL 8. Cela permet d'améliorer les fonctionnalités et la compatibilité des périphériques virtuels.
Les machines virtuelles peuvent maintenant être créées et gérées à l'aide de la console web RHEL 8, également connue sous le nom de Cockpit.
L'émulateur QEMU introduit la fonction sandboxing, qui fournit des limitations configurables à ce que les systèmes appelés QEMU peuvent exécuter, et rend ainsi les machines virtuelles plus sûres.

Voir Section 4.15, « Virtualisation (traduction automatique) »pour plus d'informations.

Compilateurs et outils de développement

Le compilateur GCC basé sur la version 8.2 prend en charge les versions standard plus récentes du langage C+++, de meilleures optimisations, de nouvelles techniques de renforcement du code, des avertissements améliorés et de nouvelles fonctionnalités matérielles.
Divers outils de génération de code, de manipulation et de débogage peuvent désormais gérer expérimentalement le format d'informations de débogage DWARF5.
La prise en charge du noyau pour le traçage eBPF est disponible pour certains outils, tels que BCCPCP, et SystemTap.
Les glibcbibliothèques basées sur la version 2.28 ajoutent la prise en charge d'Unicode 11, des appels système Linux plus récents, des améliorations clés dans le résolveur de stub DNS, un renforcement supplémentaire de la sécurité et des performances accrues.

Voir Section 4.10, « Compilateurs et outils de développement (traduction automatique) »pour plus de détails.

Haute disponibilité et clusters

Le gestionnaire de ressources du cluster Pacemaker a été mis à jour vers la version amont 2.0.0.0, qui fournit un certain nombre de corrections et d'améliorations.
Dans RHEL 8, le système de configuration pcs supporte entièrement Corosync 3 et les noms de nœudsknet.

Voir Section 4.12, « Haute disponibilité et clusters (traduction automatique) »pour plus d'informations.

Ressources supplémentaires

Les capacités et les limites de Red Hat Enterprise Linux 8.0 par rapport aux autres versions du système sont disponibles dans l'article Red Hat Enterprise Linux technology capabilities and limitsde la base de connaissances .
Des informations concernant le cycle de vie de Red Hat Enterprise Linux sont fournies dans le Red Hat Enterprise Linux Life Cycledocument.
Le Package manifestdocument fournit une liste de colis pour RHEL 8.

Chapitre 2. Architectures (traduction automatique)

Red Hat Enterprise Linux 8.0 est distribué avec la version 4.18 du noyau, qui prend en charge les architectures suivantes :

Architectures AMD et Intel 64 bits
L'architecture ARM 64 bits
IBM Power Systems, Little Endian
IBM Z

Chapitre 3. Distribution du contenu de RHEL 8 (traduction automatique)

3.1. Installation (traduction automatique)

Red Hat Enterprise Linux 8 est installé en utilisant des images ISO. Deux types d'images ISO sont disponibles pour les architectures AMD64, Intel 64 bits, 64 bits ARM, IBM Power Systems et IBM Z :

Binaire DVD ISO : Une image d'installation complète qui contient les référentiels BaseOS et AppStream et vous permet de terminer l'installation sans référentiels supplémentaires.
Boot ISO : Une image ISO de démarrage minimale qui est utilisée pour démarrer le programme d'installation. Cette option nécessite l'accès aux référentiels BaseOS et AppStream pour installer les progiciels. Les dépôts font partie de l'image ISO du DVD binaire.

Consultez le Performing a standard RHEL installationdocument pour obtenir des instructions sur le téléchargement d'images ISO, la création de supports d'installation et la réalisation d'une installation RHEL. Pour les installations automatisées de Kickstart et d'autres sujets avancés, consultez le Performing an advanced RHEL installationdocument.

3.2. Dépôts d'archives (traduction automatique)

Red Hat Enterprise Linux 8 est distribué via deux référentiels :

BaseOS
AppStream

Les deux référentiels sont requis pour une installation RHEL de base et sont disponibles avec tous les abonnements RHEL.

Le contenu du référentiel BaseOS est destiné à fournir l'ensemble de base de la fonctionnalité de l'OS sous-jacent qui fournit la base de toutes les installations. Ce contenu est disponible en format RPM et est sujet à des conditions de support similaires à celles des versions précédentes de RHEL. Pour obtenir une liste des paquets distribués par BaseOS, consultez la section Package manifest.

Le contenu du référentiel de flux d'applications comprend des applications d'espace utilisateur supplémentaires, des langues d'exécution et des bases de données qui prennent en charge les charges de travail et les cas d'utilisation variés. Le contenu d'AppStream est disponible dans l'un des deux formats suivants : le format RPM familier et une extension du format RPM appelée modules. Pour une liste des paquets disponibles dans AppStream, voir le fichier Package manifest.

De plus, le référentiel CodeReady Linux Builder est disponible avec tous les abonnements RHEL. Il fournit des paquets supplémentaires à l'usage des développeurs. Les paquets inclus dans le référentiel CodeReady Linux Builder ne sont pas pris en charge en production.

Pour plus d'informations sur les référentiels RHEL 8, voir la section Package manifest.

3.3. Volets d'application (traduction automatique)

Red Hat Enterprise Linux 8.0 introduit le concept de flux d'applications. De multiples versions de composants d'espace utilisateur sont maintenant livrées et mises à jour plus fréquemment que les progiciels du système d'exploitation de base. Cela offre une plus grande flexibilité pour personnaliser Red Hat Enterprise Linux sans affecter la stabilité sous-jacente de la plate-forme ou des déploiements spécifiques.

Les composants mis à disposition sous forme de flux d'applications peuvent être packagés sous forme de modules ou de packages RPM et sont livrés via le référentiel AppStream dans RHEL 8. Chaque volet d'application a un cycle de vie donné. Pour plus de détails, voir Red Hat Enterprise Linux Life Cycle.

Les modules sont des ensembles de paquets représentant une unité logique : une application, une pile de langages, une base de données ou un ensemble d'outils. Ces paquets sont compilés, testés et publiés ensemble.

Les flux de modules représentent des versions des composants du flux d'applications. Par exemple, deux flux (versions) du serveur de bases de données PostgreSQL sont disponibles dans le module postgresql : PostgreSQL 10 (le flux par défaut) et PostgreSQL 9.6. Un seul flux de modules peut être installé sur le système. Différentes versions peuvent être utilisées dans des conteneurs séparés.

Les commandes détaillées des modules sont décrites dans le Using Application Streamdocument. Pour une liste des modules disponibles dans AppStream, voir la section Package manifest.

Chapitre 4. Nouvelles fonctionnalités (traduction automatique)

Cette partie décrit les nouvelles fonctionnalités et les principales améliorations apportées à Red Hat Enterprise Linux 8.

4.1. La console web (traduction automatique)

Note

La page Abonnements de la console web est maintenant fournie par le nouveau subscription-manager-cockpitpackage.

Une interface pare-feu a été ajoutée à la console Web

La page Réseau de la console Web RHEL 8 comprend désormais une section Pare-feu. Dans cette section, les utilisateurs peuvent activer ou désactiver le pare-feu, ainsi qu'ajouter, supprimer et modifier des règles de pare-feu.

(BZ#1647110)

La console web est maintenant disponible par défaut

Les paquets pour la console web RHEL 8, également connue sous le nom de Cockpit, font maintenant partie des dépôts par défaut de Red Hat Enterprise Linux, et peuvent donc être immédiatement installés sur un système RHEL 8 enregistré.

De plus, lors d'une installation non minimale de RHEL 8, la console web est automatiquement installée et les ports de pare-feu requis par la console sont automatiquement ouverts. Un message système a également été ajouté avant l'ouverture d'une session qui fournit des informations sur la façon d'activer ou d'accéder à la console Web.

(JIRA:RHELPLAN-10355)

Meilleure intégration IdM pour la console web

Si votre système est inscrit dans un domaine IdM (Identity Management), la console web RHEL 8 utilise désormais par défaut les ressources IdM gérées de manière centralisée du domaine. Cela comprend les avantages suivants :

Les administrateurs du domaine IdM peuvent utiliser la console web pour gérer la machine locale.
Le serveur Web de la console bascule automatiquement vers un certificat émis par l'autorité de certification IdM (CA) et accepté par les navigateurs.
Les utilisateurs disposant d'un ticket Kerberos dans le domaine IdM n'ont pas besoin de fournir leurs identifiants de connexion pour accéder à la console web.
Les hôtes SSH connus du domaine IdM sont accessibles à la console web sans ajouter manuellement une connexion SSH.

Notez que pour que l'intégration IdM avec la console Web fonctionne correctement, l'utilisateur doit d'abord exécuter l'ipa-adviseutilitaire avec l'enable-admins-sudooption dans le système maître IdM.

(JIRA:RHELPLAN-3010)

La console web est maintenant compatible avec les navigateurs mobiles

Avec cette mise à jour, les menus et les pages de la console web peuvent être navigués sur des variantes de navigateur mobile. Il est ainsi possible de gérer des systèmes à l'aide de la console web RHEL 8 à partir d'un appareil mobile.

(JIRA:RHELPLAN-10352)

La page d'accueil de la console Web affiche maintenant les mises à jour et les abonnements manquants

Si un système géré par la console web RHEL 8 a des paquets obsolètes ou un abonnement périmé, un avertissement est maintenant affiché sur la page d'accueil de la console web du système.

(JIRA:RHELPLAN-10353)

La console Web prend désormais en charge l'inscription PBD

Avec cette mise à jour, vous pouvez utiliser l'interface de la console web RHEL 8 pour appliquer les règles de décryptage basé sur des règles (PBD) aux disques des systèmes gérés. Il utilise le client de décryptage Clevis pour faciliter diverses fonctions de gestion de la sécurité dans la console Web, telles que le déverrouillage automatique des partitions de disque cryptées par LUKS.

(JIRA:RHELPLAN-10354)

Les machines virtuelles peuvent maintenant être gérées à l'aide de la console Web

La Virtual Machinespage peut maintenant être ajoutée à l'interface de la console web RHEL 8, qui permet à l'utilisateur de créer et de gérer des machines virtuelles basées sur libvirt.

(JIRA:RHELPLAN-2896)

4.2. Installateur et création d'images (traduction automatique)

L'installation de RHEL à partir d'un DVD utilisant SE et HMC est maintenant entièrement prise en charge sur IBM Z

L'installation de Red Hat Enterprise Linux 8 sur le matériel IBM Z à partir d'un DVD à l'aide de l'élément de support (SE) et de la console de gestion du matériel (HMC) est désormais entièrement prise en charge. Cet ajout simplifie le processus d'installation sur IBM Z avec SE et HMC.

Lors du démarrage à partir d'un DVD binaire, le programme d'installation invite l'utilisateur à entrer des paramètres supplémentaires du noyau. Pour définir le DVD comme source d'installation, ajoutez inst.repo=hmcles paramètres du noyau. L'installateur active alors l'accès aux fichiers SE et HMC, récupère les images de l'étape 2 sur le DVD et donne accès aux progiciels sur le DVD pour la sélection du logiciel.

Cette nouvelle fonctionnalité élimine la nécessité d'une configuration réseau externe et étend les options d'installation.

(BZ#1500792)

L'installateur prend maintenant en charge le format de chiffrement de disque LUKS2

Le programme d'installation de Red Hat Enterprise Linux 8 utilise maintenant le format LUKS2 par défaut, mais vous pouvez sélectionner une version de LUKS dans la fenêtre Partitionnement personnalisé d'Anaconda ou en utilisant les nouvelles options de Kickstart'sautopart, logvol,part, et les RAIDcommandes.

LUKS2 offre de nombreuses améliorations et fonctionnalités, par exemple, il étend les capacités du format sur disque et offre des moyens flexibles de stocker les métadonnées.

(BZ#1547908)

Anaconda supporte le but du système dans RHEL 8

Auparavant, Anaconda ne fournissait pas d'informations sur l'objectif du système au gestionnaire des abonnements. Dans Red Hat Enterprise Linux 8.0, vous pouvez définir la destination du système pendant l'installation en utilisant la System Purposefenêtre d'Anaconda ou la syspurposecommande Kickstart. Une fois l'installation terminée, le gestionnaire d'abonnement utilise les informations relatives à l'objectif du système lors de l'abonnement au système.

(BZ#1612060)

Pykickstart soutient l'objectif du système dans RHEL 8

Auparavant, il n'était pas possible pour la pykickstartbibliothèque de fournir des renseignements sur l'objet du système au gestionnaire des abonnements. Dans Red Hat Enterprise Linux 8.0, pykickstartanalyse la nouvelle syspurposecommande et enregistre la destination du système pendant l'installation automatisée et partiellement automatisée. Les informations sont ensuite transmises à Anaconda, sauvegardées sur le système nouvellement installé et disponibles pour le gestionnaire d'abonnement lors de l'abonnement au système.

(BZ#1612061)

Anaconda supporte un nouveau paramètre de démarrage du noyau dans RHEL 8

Auparavant, vous ne pouviez spécifier un référentiel de base qu'à partir des paramètres de démarrage du noyau. Dans Red Hat Enterprise Linux 8, un nouveau paramètre du noyau, inst.addrepo=<name>,<url>,, vous permet de spécifier un référentiel supplémentaire pendant l'installation.

Ce paramètre a deux valeurs obligatoires : le nom du référentiel et l'URL qui pointe vers le référentiel. Pour plus d'informations, voir https://anaconda-installer.readthedocs.io/en/latest/boot-options.html#inst-addrepo

(BZ#1595415)

Anaconda supporte un ISO unifié dans RHEL 8

Dans Red Hat Enterprise Linux 8.0, une ISO unifiée charge automatiquement les dépôts de sources d'installation BaseOS et AppStream.

Cette fonctionnalité fonctionne pour le premier référentiel de base qui est chargé pendant l'installation. Par exemple, si vous démarrez l'installation sans référentiel configuré et que l'ISO unifié est le référentiel de base de l'interface graphique, ou si vous démarrez l'installation en utilisant l'inst.repo=option qui pointe vers l'ISO unifié. Par conséquent, le référentiel AppStream est activé dans la section Dépôts supplémentaires de la fenêtre Interface utilisateur graphique d'installation. Vous ne pouvez pas supprimer le référentiel AppStream ou modifier ses paramètres, mais vous pouvez le désactiver dans Installation Source. Cette fonctionnalité ne fonctionne pas si vous démarrez l'installation à l'aide d'un référentiel de base différent et que vous le changez ensuite en ISO unifié. Si vous faites cela, le référentiel de base est remplacé. Cependant, le référentiel AppStream n'est pas remplacé et pointe vers le fichier d'origine.

(BZ#1610806)

4.3. Noyau (traduction automatique)

L'adressage physique ARM 52-bit est maintenant disponible

Avec cette mise à jour, la prise en charge de l'adressage physique (PA) 52 bits pour l'architecture ARM 64 bits est disponible. L'espace d'adressage est ainsi plus grand que celui de l'ancien système de sonorisation 48 bits.

(BZ#1643522)

Le code IOMMU supporte les tableaux de pages à 5 niveaux dans RHEL 8

Le code IOMMU (I/O memory management unit) du noyau Linux a été mis à jour pour prendre en charge les tables de pages à 5 niveaux dans Red Hat Enterprise Linux 8.

(BZ#1485546)

Prise en charge de la radiomessagerie à 5 niveaux

Un nouveau type de table de page de P4d_tlogiciel a été ajouté dans le noyau Linux afin de prendre en charge la pagination à 5 niveaux dans Red Hat Enterprise Linux 8.

(BZ#1485532)

La gestion de la mémoire prend en charge les tables de pages à 5 niveaux

Avec Red Hat Enterprise Linux 7, le bus mémoire existant avait une capacité d'adressage de mémoire virtuelle/physique de 48/46 bits, et le noyau Linux a implémenté 4 niveaux de tables de pages pour gérer ces adresses virtuelles vers les adresses physiques. La ligne d'adressage du bus physique fixe la limite supérieure de la capacité de la mémoire physique à 64 To.

Ces limites ont été étendues à 57/52 bits d'adressage de mémoire virtuelle/physique avec 128 PiB d'espace d'adressage virtuel et 4 PB de capacité mémoire physique.

Avec la plage d'adresses étendue, la gestion de la mémoire dans Red Hat Enterprise Linux 8 ajoute la prise en charge de l'implémentation de tables de pages à 5 niveaux, pour pouvoir gérer la plage d'adresses étendue.

(BZ#1485525)

kernel-signing-ca.cer est déplacé dans kernel-coreRHEL 8

Dans toutes les versions de Red Hat Enterprise Linux 7, la clé kernel-signing-ca.cerpublique se trouvait dans le kernel-docpaquet. Cependant, dans Red Hat Enterprise Linux 8, kernel-signing-ca.cera été déplacé vers le kernel-corepaquet pour chaque architecture.

(BZ#1638465)

bpftool pour l'inspection et la manipulation des programmes et des cartes basés sur l'eBPF ajoutés

L'bpftoolutilitaire qui sert à l'inspection et à la manipulation simple des programmes et des cartes basés sur le filtrage de paquets Berkeley étendu (eBPF) a été ajouté dans le noyau Linux. bpftoolfait partie de l'arbre des sources du noyau, et est fourni par le paquet bpftool, qui est inclus comme sous-paquet du paquet du noyau.

(BZ#1559607)

Les kernel-rtsources ont été mises à jour

Les kernel-rtsources ont été mises à jour pour utiliser la dernière arborescence des sources du noyau RHEL. La dernière arborescence des sources du noyau utilise maintenant l'ensemble de correctifs en temps réel v4.18 amont, qui fournit un certain nombre de corrections de bogues et d'améliorations par rapport à la version précédente.

(BZ#1592977)

4.4. Gestion du logiciel (traduction automatique)

Amélioration des performances de YUM et prise en charge des contenus modulaires

Sur Red Hat Enterprise Linux 8, l'installation du logiciel est assurée par la nouvelle version de l'outil YUM, qui est basée sur la technologie DNF.

YUM basé sur DNF présente les avantages suivants par rapport à l'ancien YUM v3 utilisé sur RHEL 7 :

Performances accrues
Prise en charge des contenus modulaires
API stable et bien conçue pour l'intégration avec l'outillage

Pour plus d'informations sur les différences entre le nouvel outil YUM et l'ancienne version YUM v3 de RHEL 7, voir http://dnf.readthedocs.io/en/latest/cli_vs_yum.html.

YUM basé sur DNF est compatible avec YUM v3 lors de l'utilisation en ligne de commande, l'édition ou la création de fichiers de configuration.

Pour installer le logiciel, vous pouvez utiliser la yumcommande et ses options particulières de la même manière que sur RHEL 7. Les paquets peuvent être installés sous les noms précédents en utilisant Provides. Les paquets fournissent également des liens symboliques de compatibilité, de sorte que les binaires, les fichiers de configuration et les répertoires peuvent être trouvés dans les emplacements habituels.

Notez que l'ancienne API Python fournie par YUM v3 et l'API Libdnf C sont instables et changeront probablement pendant le cycle de vie de Red Hat Enterprise Linux 8. Il est conseillé aux utilisateurs de migrer leurs plugins et scripts vers la nouvelle API DNF Python, qui est stable et entièrement supportée. L'API DNF Python est disponible à l'adresse suivante https://dnf.readthedocs.io/en/latest/api.html

Certaines des fonctionnalités de YUM v3 peuvent se comporter différemment dans YUM sur la base de DNF. Si un tel changement a un impact négatif sur vos flux de travail, veuillez ouvrir un cas avec le support Red Hat, comme décrit dans la section How do I open and manage a support case on the Customer Portal?

(BZ#1581198)

Caractéristiques notables du RPM dans RHEL 8

Red Hat Enterprise Linux 8 est distribué avec RPM 4.14. Cette version introduit de nombreuses améliorations par rapport à RPM 4.11, qui est disponible dans RHEL 7. Les caractéristiques les plus notables incluent :

Les debuginfopaquets peuvent être installés en parallèle
Prise en charge des dépendances faibles
Prise en charge des dépendances riches ou booléennes
Prise en charge des fichiers d'emballage d'une taille supérieure à 4 Go
Prise en charge des déclencheurs de fichiers

En outre, les changements les plus notables comprennent :

Un analyseur de spécifications plus rigoureux
Signature simplifiée pour le contrôle de la sortie en mode non-verbose
Ajouts et suppressions dans les macros

(BZ#1581990)

RPM valide maintenant tout le contenu du paquet avant de commencer l'installation

Sur Red Hat Enterprise Linux 7, l'utilitaire RPM vérifiait le contenu de la charge utile des fichiers individuels lors du déballage. Toutefois, cela est insuffisant pour de multiples raisons :

Si la charge utile est endommagée, elle n'est remarquée qu'après l'exécution d'actions de script, qui sont irréversibles.
Si la charge utile est endommagée, la mise à niveau d'un paquet est interrompue après le remplacement de certains fichiers de la version précédente, ce qui interrompt une installation fonctionnelle.
Les hachages sur les fichiers individuels sont effectués sur des données non compressées, ce qui rend RPM vulnérable aux vulnérabilités des décompresseurs.

Sur Red Hat Enterprise Linux 8, l'ensemble du paquet est validé avant l'installation dans une étape distincte, en utilisant le meilleur hachage disponible.

Les paquets construits sur Red Hat Enterprise Linux 8 utilisent un nouveau SHA256hachage sur la charge utile compressée. Sur les colis signés, le hachage de la charge utile est en outre protégé par la signature, et ne peut donc pas être modifié sans briser une signature et d'autres hachages sur l'en-tête du colis. Les paquets plus anciens utilisent le MD5hachage de l'en-tête et de la charge utile, sauf s'il est désactivé par configuration, comme le mode FIPS.

La macro `%_pkgverify_level' peut être utilisée pour activer la vérification des signatures avant l'installation ou désactiver complètement la vérification de la charge utile. En outre, la %_pkgverify_flagsmacro peut être utilisée pour limiter les hachages et signatures autorisés. Par exemple, il est possible de désactiver l'utilisation du MD5hachage faible au détriment de la compatibilité avec les anciens paquets.

(JIRA:RHELPLAN-1499)

4.5. Services d'infrastructure (traduction automatique)

Changements notables dans le profil Tuned recommandé dans RHEL 8

Avec cette mise à jour, le profil Tuned recommandé (signalé par la tuned-adm recommendcommande) est maintenant sélectionné selon les règles suivantes - la première règle qui correspond prend effet :

Si le syspurposerôle (signalé par la syspurpose showcommande) contientatomic, et en même temps :
- si Tuned fonctionne sur du métal nu, le atomic-hostprofil est sélectionné
- si Tuned s'exécute dans une machine virtuelle, le atomic-guestprofil est sélectionné
Si Tuned s'exécute dans une machine virtuelle, le virtual-guestprofil est sélectionné
Si le syspurposerôle contient desktopou workstationet que le type de châssis (signalé par dmidecode) estNotebook, LaptopouPortable, alors le balancedprofil est sélectionné
Si aucune des règles ci-dessus ne correspond, le throughput-performanceprofil est sélectionné

(BZ#1565598)

Les fichiers produits par named peuvent être écrits dans le répertoire de travail

Auparavant, le démon nommé stockait certaines données dans le répertoire de travail, qui était en lecture seule dans Red Hat Enterprise Linux. Avec cette mise à jour, les chemins d'accès des fichiers sélectionnés ont été modifiés dans des sous-répertoires, où l'écriture est autorisée. Maintenant, les permissions par défaut des répertoires Unix et SELinux permettent d'écrire dans le répertoire. Les fichiers distribués dans le répertoire sont toujours en lecture seule à named.

(BZ#1588592)

Les bases de données géolitiques ont été remplacées par les bases de données Geolite2

Les bases de données Geolite présentes dans Red Hat Enterprise Linux 7 ont été remplacées par des bases de données Geolite2 sur Red Hat Enterprise Linux 8.

Les bases de données géolitiques ont été fournies par le GeoIPprogiciel. Ce paquet ainsi que l'ancienne base de données ne sont plus pris en charge en amont.

Les bases de données Geolite2 sont fournies par plusieurs progiciels. Le libmaxminddbpaquet comprend la bibliothèque et l'outil en ligne de mmdblookupcommande, qui permet la recherche manuelle d'adresses. Le geoipupdatebinaire de l'ancien GeoIPprogiciel est maintenant fourni par le geoipupdateprogiciel et est capable de télécharger à la fois les anciennes bases de données et les nouvelles bases de données Geolite2.

(JIRA:RHELPLAN-6746)

Les journaux CUPS sont traités par journald

Dans RHEL 8, les journaux CUPS ne sont plus stockés dans des fichiers spécifiques dans le /var/log/cupsrépertoire utilisé dans RHEL 7. Dans RHEL 8, tous les types de journaux CUPS sont enregistrés de manière centralisée dans le démon systemd journaldavec les journaux des autres programmes. Pour accéder aux journaux CUPS, utilisez la journalctl -u cupscommande. Pour plus d'informations, voir[Travailler https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/deploying_different_types_of_servers/working-with-cups-logs_configuring-printingavec les journaux CUPS] .

(JIRA:RHELPLAN-12764)

4.6. Shells et outils de ligne de commande (traduction automatique)

L'nobodyutilisateur remplace nfsnobody

Dans Red Hat Enterprise Linux 7, il y avait :

la paire nobodyutilisateur et groupe avec l'ID de 99, et
la paire nfsnobodyutilisateur et groupe avec l'ID de 65534, qui est aussi l'ID de dépassement de capacité du noyau par défaut.

Ces deux éléments ont été fusionnés dans la paire nobodyutilisateur/groupe, qui utilise l'ID 65534 dans Red Hat Enterprise Linux 8. Les nouvelles installations ne créent plus la nfsnobodypaire.

Ce changement réduit la confusion au sujet des fichiers qui appartiennent à NFS nobodymais qui n'ont rien à voir avec NFS.

(BZ#1591969)

Systèmes de contrôle de version dans RHEL 8

RHEL 8 fournit les systèmes de contrôle de version suivants :

Git 2.18un système de contrôle de révision distribué avec une architecture décentralisée.
Mercurial 4.8un système de contrôle de version distribué et léger, conçu pour la gestion efficace des grands projets.
Subversion 1.10un système de contrôle de version centralisé. Pour plus d'informations, voir Notable changes in Subversion 1.10.

Notez que le système de versions simultanées (CVS), disponible dans RHEL 7, n'est pas distribué avec RHEL 8.

(BZ#1693775)

Des changements notables ont été apportés à la Subversion 1.10

Subversion 1.10 introduit un certain nombre de nouvelles fonctionnalités depuis la version 1.7 distribuée dans RHEL 7, ainsi que les changements de compatibilité suivants :

En raison d'incompatibilités dans les Subversionbibliothèques utilisées pour supporter les liaisons de langue, les Python 3liaisons pour Subversion 1.10ne sont pas disponibles. Par conséquent, les applications qui nécessitent des Pythonfixations ne Subversionsont pas prises en charge.
Les dépôts basés sur ne Berkeley DBsont plus supportés. Avant de migrer, sauvegardez les référentiels créés à l'aide Subversion 1.7de la svnadmin dumpcommande. Après avoir installé RHEL 8, restaurez les référentiels à l'aide de la svnadmin loadcommande.
Les copies de travail existantes extraites par le Subversion 1.7client dans RHEL 7 doivent être mises à jour au nouveau format avant de pouvoir être utilisées à partir Subversion 1.10de . Après avoir installé RHEL 8, exécutez la svn upgradecommande dans chaque copie de travail.
L'authentification par carte à puce pour accéder aux référentiels n'https://est plus prise en charge.

(BZ#1571415)

4.7. Langages de programmation dynamiques, serveurs web et de bases de données (traduction automatique)

Python 3 est l'implémentation par défaut Pythonde RHEL 8

Red Hat Enterprise Linux 8 est distribué avec Python 3.6. Le paquetage n'est pas installé par défaut. Pour installerPython 3.6, utilisez la yum install python3commande.

Python 2.7 est disponible dans le python2paquet. Toutefois, Python 2aura un cycle de vie plus court et son objectif est de faciliter une transition en douceur pour Python 3les clients.

Ni le paquet par défaut pythonni l'exécutable non versionné ne sont distribués avec RHEL 8. Il est conseillé aux clients d'utiliser python3ou python2directement. Alternativement, les administrateurs peuvent configurer la commande non versionnée pythonen utilisant la alternativescommande.

Pour plus de détails, voir Using Python in Red Hat Enterprise Linux 8.

(BZ#1580387)

Les scripts Python doivent spécifier la version majeure dans les hashbangs au moment de la construction du RPM

Dans RHEL 8, les scripts Python exécutables doivent utiliser des hashbangs (shebangs) spécifiant explicitement au moins la version Python majeure.

Le script /usr/lib/rpm/redhat/brp-mangle-shebangsbuildroot policy (BRP) est exécuté automatiquement lors de la création d'un paquet RPM. Ce script tente de corriger les hashbangs dans tous les fichiers exécutables. Lorsque le script rencontre des hashbangs ambigus qui ne peuvent pas être résolus dans une version majeure de Python, il génère des erreurs. Voici des exemples de ces hashbangs ambigus :

#! /usr/bin/python
#! /usr/bin/env python

Pour modifier les hashbangs dans les scripts Python causant ces erreurs de compilation au moment de la compilation RPM, utilisez le pathfix.pyscript du paquet platform-python-devel :

pathfix.py -pn -i %{__python3} PATH ...

Plusieurs PATHs peuvent être spécifiés. Si un PATH est un répertoire, recherche pathfix.pyrécursivement les scripts Python correspondant au motif^[a-zA-Z0-9_]+\.py$, pas seulement ceux qui ont un hashbang ambigu. Ajoutez cette commande à la %prepsection ou à la fin de la %installsection.

Pour plus d'informations, voir Handling hashbangs in Python scripts.

(BZ#1583620)

Des changements notables ont été apportés à la PHP

Red Hat Enterprise Linux 8 est distribué avec PHP 7.2. Cette version introduit les changements majeurs suivantsPHP 5.4, disponibles dans RHEL 7 :

PHP utilise FastCGI Process Manager (FPM) par défaut (sans danger pour une utilisation avec un threadedhttpd)
Les variables php_valueet php-flagne doivent plus être utilisées dans les fichiers de httpdconfiguration ; elles doivent plutôt être définies dans la configuration du pool : /etc/php-fpm.d/*.conf
PHP les erreurs de script et les avertissements sont enregistrés dans le /var/log/php-fpm/www-error.logfichier au lieu de /var/log/httpd/error.log
Lorsque vous changez la variable de configuration de PHPmax_execution_time, le httpd ProxyTimeoutparamètre doit être augmenté pour correspondre à la variable de configuration de PHP
L'utilisateur exécutant les PHPscripts est maintenant configuré dans la configuration du pool FPM (le /etc/php-fpm/d/www.conffichier ; l'apacheutilisateur est par défaut)
Le php-fpmservice doit être redémarré après un changement de configuration ou après l'installation d'une nouvelle extension

Les extensions suivantes ont été supprimées :

aspell
mysql (notez que les extensions mysqliet pdo_mysqlsont toujours disponibles, fournies par php-mysqlndforfait)
zip
memcache

(BZ#1580430, BZ#1691688)

Des changements notables ont été apportés à la Ruby

RHEL 8 fournitRuby 2.5, qui introduit de nombreuses nouvelles fonctionnalités et améliorations Ruby 2.0.0disponibles dans RHEL 7. Parmi les changements notables, mentionnons :

Un collecteur d'ordures incrémentiel a été ajouté.
La Refinementssyntaxe a été ajoutée.
Les symboles sont maintenant ramassés à la poubelle.
Les $SAFE=2niveaux de $SAFE=3sécurité sont maintenant obsolètes.
Les classes Fixnumet Bignumet ont été unifiées dans la Integerclasse.
Les performances ont été améliorées en optimisant la Hashclasse, en améliorant l'accès aux variables d'instance, et la Mutexclasse étant plus petite et plus rapide.
Certaines anciennes API ont été dépréciées.
Les bibliothèques groupées, telles que RubyGemsRake , RDoc, Psych,Minitest, et test-unit ont été mises à jour.
D'autres bibliothèques, telles que mathn,, et XMLRPC qui étaient précédemment distribuées avecRuby, sont obsolètes ou ne sont plus incluses.
Le schéma de SemVerversionnement est maintenant utilisé pour le Rubyversionnement.

(BZ#1648843)

Des changements notables ont été apportés à la Perl

Perl 5.26distribué avec RHEL 8, introduit les modifications suivantes par rapport à la version disponible dans RHEL 7 :

Unicode 9.0 est maintenant supporté.
Nouveauop-entry, loading-fileet les loaded-file SystemTapsondes sont fournies.
Le mécanisme Copy-on-write est utilisé lors de l'assignation des scalaires pour améliorer les performances.
Le IO::Socket::IPmodule de gestion transparente des prises IPv4 et IPv6 a été ajouté.
Le Config::Perl::Vmodule permettant d'accéder aux perl -Vdonnées de manière structurée a été ajouté.
Un nouveau perl-App-cpanminuspaquet a été ajouté, qui contient l'cpanmutilitaire permettant d'obtenir, d'extraire, de construire et d'installer des modules depuis le référentiel Comprehensive Perl Archive Network (CPAN).
Le répertoire .courant a été supprimé du chemin de recherche du @INCmodule pour des raisons de sécurité.
L'doinstruction retourne maintenant un avertissement de suppression lorsqu'elle ne charge pas un fichier en raison du changement de comportement décrit ci-dessus.
L'do subroutine(LIST)appel n'est plus pris en charge et entraîne une erreur de syntaxe.
Les hashes sont maintenant randomisés par défaut. L'ordre dans lequel les clés et les valeurs sont retournées d'un hachage change à chaque perlexécution. Pour désactiver la randomisation, réglez la variable d'PERL_PERTURB_KEYSenvironnement sur 0.
Les caractères littéraux {non évités dans les modèles d'expression régulière ne sont plus autorisés.
La prise en charge de la portée lexicale de la $_variable a été supprimée.
L'utilisation de l'definedopérateur sur un tableau ou un hachage entraîne une erreur fatale.
L'importation de fonctions à partir du UNIVERSALmodule entraîne une erreur fatale.
Les find2perloutils et les pstructoutils ont été supprimésc2ph.s2pa2p
L'${^ENCODING}installation a été enlevée. Le mode par défaut de encodingpragma n'est plus supporté. Pour écrire du code source dans un autre encodageUTF-8, utilisez l'Filteroption de l'encodage.
L'perlemballage est maintenant aligné avec l'amont. Le perlpaquet installe également les modules de base, tandis que l'/usr/bin/perlinterpréteur est fourni par le perl-interpreterpaquet. Dans les versions précédentes, le perlpaquet ne comprenait qu'un interpréteur minimal, alors que le perl-corepaquet comprenait à la fois l'interpréteur et les modules de base.

(BZ#1511131)

Node.js nouveau dans RHEL 8

Node.jsune plate-forme de développement de logiciels permettant de créer des applications réseau rapides et évolutives dans le langage de programmation JavaScript, est fournie pour la première fois dans RHEL. Auparavant, il n'était disponible que sous la forme d'une collection de logiciels. RHEL 8 fournit Node.js 10.

(BZ#1622118)

Changements notables dans SWIG

RHEL 8 inclut la version 3.0 du SWIG (Simplified Wrapper and Interface Generator), qui offre de nombreuses nouvelles fonctionnalités, améliorations et corrections de bugs sur la version 2.0 distribuée dans RHEL 7. Plus particulièrement, le support de la norme C+++11 a été implémenté. SWIG supporte maintenant aussi Go 1.6, PHP 7. Octave 4.2, et Python 3.5.

(BZ#1660051)

Changements notables dans Apache httpd

RHEL 8 est distribué avec le serveur HTTP Apache 2.4.37. Cette version introduit les changements suivants httpddisponibles dans RHEL 7 :

Le support HTTP/2 est maintenant fourni par le mod_http2paquet, qui fait partie du httpdmodule.
Le provisionnement et le renouvellement automatisés des certificats TLS à l'aide du protocole ACME (Automatic Certificate Management Environment) sont désormais pris en charge avec le mod_mdpackage (à utiliser avec les fournisseurs de certificats tels que Let’s Encrypt)
Le serveur HTTP Apache prend désormais en charge le chargement des certificats TLS et des clés privées à partir de jetons de sécurité matérielle directement depuis les PKCS#11modules. Par conséquent, une mod_sslconfiguration peut maintenant utiliser des PKCS#11URLs pour identifier la clé privée TLS et, en option, le certificat TLS dans les SSLCertificateFiledirectives SSLCertificateKeyFileet.
Le module multiprocesseur (MPM) configuré par défaut avec le serveur HTTP Apache est passé d'un modèle multiprocesseur à fourche (connu sous le nom de prefork) à un modèle multithread à hautes performances, event. Tous les modules tiers qui ne sont pas sécurisés par un filetage doivent être remplacés ou retirés. Pour modifier le MPM configuré, éditez le /etc/httpd/conf.modules.d/00-mpm.conffichier. Voir la page de httpd.conf(5)manuel pour plus d'informations.

Pour plus d'informations sur httpdSetting up the Apache HTTP web server.

(BZ#1632754, BZ#1527084, BZ#1581178)

Le serveur nginxweb nouveau dans RHEL 8

RHEL 8 introduit nginx 1.14un serveur web et proxy supportant HTTP et d'autres protocoles, avec un accent sur la haute simultanéité, la performance et la faible utilisation de la mémoire. nginxétait auparavant disponible uniquement sous forme de collection de logiciels.

Le serveur nginxWeb prend désormais en charge le chargement des clés privées TLS à partir de jetons de sécurité matérielle directement à partir des PKCS#11modules. Par conséquent, une nginxconfiguration peut utiliser des PKCS#11URLs pour identifier la clé privée TLS dans la ssl_certificate_keydirective.

(BZ#1545526)

Serveurs de base de données dans RHEL 8

RHEL 8 fournit les serveurs de base de données suivants :

MySQL 8.0un serveur de base de données SQL multi-utilisateurs et multi-threads. Il se compose du démon MySQLserveur, mysqld, et de nombreux programmes clients.
MariaDB 10.3un serveur de base de données SQL multi-utilisateurs et multi-threads. En pratique, MariaDBest compatible binairement avec MySQL.
PostgreSQL 10 etPostgreSQL 9.6, un système avancé de gestion de base de données relationnelle-objet (SGBD).
Redis 5un magasin de valeur clé avancé. Il est souvent appelé serveur de structure de données parce que les clés peuvent contenir des chaînes de caractères, des hachages, des listes, des ensembles et des ensembles triés. Redisest fourni pour la première fois dans RHEL.

Notez que le serveur de base de données NoSQL MongoDBn'est pas inclus dans RHEL 8.0 car il utilise la Server Side Public License (SSPL).

(BZ#1647908)

Des changements notables ont été apportés à la MySQL 8.0

RHEL 8 est distribué avecMySQL 8.0, qui fournit, par exemple, les extensions suivantes :

MySQL intègre désormais un dictionnaire de données transactionnelles, qui stocke des informations sur les objets de la base de données.
MySQL supporte maintenant les rôles, qui sont des ensembles de privilèges.
Le jeu de caractères par défaut a été modifié de latin1utf8mb4. à .
La prise en charge des expressions courantes des tables, à la fois non récursives et récursives, a été ajoutée.
MySQL prend désormais en charge les fonctions de la fenêtre, qui effectuent un calcul pour chaque ligne à partir d'une requête, en utilisant les lignes liées.
InnoDB supporte maintenant les options NOWAITet SKIP LOCKEDavec les instructions de verrouillage en lecture.
Les fonctions liées aux SIG ont été améliorées.
La fonctionnalité JSON a été améliorée.
Les nouveaux mariadb-connector-cprogiciels fournissent une bibliothèque client commune pour MySQLet MariaDB. Cette bibliothèque est utilisable avec n'importe quelle version des serveurs MySQLet des MariaDBbases de données. En conséquence, l'utilisateur peut connecter une version d'une application à n'importe lequel des MariaDBserveurs distribués avec RHEL 8MySQL.

De plus, le MySQL 8.0serveur distribué avec RHEL 8 est configuré pour être utilisé comme plug-in d'authentification par défaut car les outils clients et les bibliothèques de RHEL 8 sont incompatibles avec la caching_sha2_passwordméthode qui est utilisée par défaut dans la version amontMySQL 8.0.

Pour modifier le plug-in d'authentification par défautcaching_sha2_password, modifiez le /etc/my.cnf.d/mysql-default-authentication-plugin.cnffichier comme suit :

[mysqld]
default_authentication_plugin=caching_sha2_password

(BZ#1649891, BZ#1519450, BZ#1631400)

Des changements notables ont été apportés à la MariaDB 10.3

MariaDB 10.3 offre de nombreuses nouveautés par rapport à la version 5.5 distribuée dans RHEL 7. Certains des changements les plus notables sont :

MariaDB Galera Clusterun cluster synchrone multi-maîtres, est maintenant une partie standard de MariaDB.
InnoDB est utilisé comme moteur de stockage par défaut au lieu de XtraDB.
Expressions courantes des tables
Tables version système
FOR boucles
Colonnes invisibles
Séquences
Instant ADD COLUMNpour InnoDB
Compression de colonne indépendante du moteur de stockage
Réplication parallèle
Réplication multi-sources

De plus, les nouveaux mariadb-connector-cprogiciels fournissent une bibliothèque client commune pour MySQLet MariaDB. Cette bibliothèque est utilisable avec n'importe quelle version des serveurs MySQLet des MariaDBbases de données. En conséquence, l'utilisateur peut connecter une version d'une application à n'importe lequel des MariaDBserveurs distribués avec RHEL 8MySQL.

Voir aussi Using MariaDB on Red Hat Enterprise Linux 8.

(BZ#1637034, BZ#1519450)

4.8. Ordinateur de bureau (traduction automatique)

Shell GNOME, version 3.28 dans RHEL 8

GNOME Shell, version 3.28 est disponible dans Red Hat Enterprise Linux (RHEL) 8. Parmi les améliorations notables, mentionnons :

Nouvelles fonctionnalités des boîtes GNOME
Nouveau clavier à l'écran
Prise en charge des périphériques étendus, l'intégration la plus significative pour l'interface Thunderbolt 3
Améliorations pour le logiciel GNOME, dconf-editor et le terminal GNOME

(BZ#1649404)

Wayland est le serveur d'affichage par défaut

Avec Red Hat Enterprise Linux 8, la session GNOME et le gestionnaire d'affichage GNOME (GDM) utilisent Wayland comme serveur d'affichage par défaut au lieu du serveur X.org, qui était utilisé avec la version majeure précédente de RHEL.

Wayland offre de multiples avantages et améliorations par rapport à X.org. Plus particulièrement :

Modèle de sécurité renforcé
Manipulation multi-moniteurs améliorée
Mise à l'échelle améliorée de l'interface utilisateur (UI)
Le bureau peut contrôler directement la manipulation des fenêtres.

Notez que les fonctionnalités suivantes sont actuellement indisponibles ou ne fonctionnent pas comme prévu :

Les configurations multi-GPU ne sont pas prises en charge sous Wayland.
Le pilote binaire NVIDIA ne fonctionne pas sous Wayland.
L'xrandrutilitaire ne fonctionne pas sous Wayland en raison de son approche différente de la manipulation, des résolutions, des rotations et de la disposition. Notez que les autres utilitaires X.org pour manipuler l'écran ne fonctionnent pas non plus sous Wayland.
L'enregistrement d'écran, le bureau à distance et l'accessibilité ne fonctionnent pas toujours correctement sous Wayland.
Aucun gestionnaire de presse-papiers n'est disponible.
Wayland ignore les saisies clavier émises par les applications X11, telles que les visualiseurs de machines virtuelles.
Wayland à l'intérieur des machines virtuelles invitées (VM) a des problèmes de stabilité et de performance, il est donc recommandé d'utiliser la session X11 pour les environnements virtuels.

Si vous passez d'un système RHEL 7 à RHEL 8 alors que vous utilisiez la session GNOME X.org, votre système continue à utiliser X.org. Le système revient également automatiquement à X.org lorsque les pilotes graphiques suivants sont utilisés :

Le pilote binaire NVIDIA
Le cirrusconducteur
Le mgaconducteur
Le aspeedconducteur

Vous pouvez désactiver l'utilisation de Wayland manuellement :

Pour désactiver Wayland dans GDM, définissez l'WaylandEnable=falseoption dans le /etc/gdm/custom.conffichier.
Pour désactiver Wayland dans la session GNOME, sélectionnez l'option X11 héritée en utilisant le menu à roue dentée sur l'écran de connexion après avoir entré votre nom de connexion.

Pour plus de détails sur Wayland, voir https://wayland.freedesktop.org/.

(BZ#1589678)

Localisation des paquets RPM qui sont dans des référentiels non activés par défaut

Les référentiels supplémentaires pour le bureau ne sont pas activés par défaut. La désactivation est indiquée par la enabled=0ligne dans le fichier correspondant.repo. Si vous essayez d'installer un paquet à partir d'un tel référentiel en utilisant PackageKit, PackageKit affiche un message d'erreur annonçant que l'application n'est pas disponible. Pour rendre le paquet disponible, remplacez la enabled=0ligne précédemment utilisée dans le fichier respectif .repopar enabled=1.

(JIRA:RHELPLAN-2878)

Logiciel GNOME pour la gestion des paquets

Le gnome-packagekitpaquet qui fournissait une collection d'outils pour la gestion des paquets dans un environnement graphique sous Red Hat Enterprise Linux 7 n'est plus disponible. Sur Red Hat Enterprise Linux 8, une fonctionnalité similaire est fournie par l'utilitaire logiciel GNOME, qui vous permet d'installer et de mettre à jour des applications et des extensions gnome-shell. Le logiciel GNOME est distribué dans le gnome-softwarepackage.

(JIRA:RHELPLAN-3001)

4.9. Gestion de l'identité (traduction automatique)

Nouveau contrôle de syntaxe des mots de passe dans Directory Server

Cette amélioration ajoute de nouveaux contrôles de syntaxe des mots de passe à Directory Server. Les administrateurs peuvent maintenant, par exemple, activer les vérifications de dictionnaire, autoriser ou refuser l'utilisation de séquences de caractères et de palindromes. Par conséquent, si cette option est activée, le contrôle de syntaxe de la stratégie de mot de passe dans Directory Server permet d'appliquer des mots de passe plus sûrs.

(BZ#1334254)

Directory Server offre désormais un meilleur support de journalisation des opérations internes

Plusieurs opérations dans Directory Server, initiées par le serveur et les clients, provoquent des opérations supplémentaires en arrière-plan. Auparavant, le serveur n'enregistrait que le mot-clé de Internalconnexion pour les opérations internes et l'ID de l'opération était toujours défini sur -1. Avec cette amélioration, Directory Server enregistre la connexion réelle et l'ID d'opération. Vous pouvez maintenant tracer l'opération interne jusqu'à l'opération serveur ou client à l'origine de cette opération.

Pour plus de détails sur l'enregistrement des opérations internes, voir le lien : https://access.redhat.com/documentation/en-us/red_hat_directory_server/11/html-single/administration_guide/#logging_internal_operations.

(BZ#1358706)

La tomcatjssbibliothèque prend en charge la vérification OCSP à l'aide du répondeur de l'extension AIA

Grâce à cette amélioration, la tomcatjssbibliothèque prend en charge la vérification du protocole OCSP (Online Certificate Status Protocol) à l'aide du répondeur de l'extension AIA (Authority Information Access) d'un certificat. En conséquence, les administrateurs de Red Hat Certificate System peuvent désormais configurer le contrôle OCSP qui utilise l'URL de l'extension AIA.

(BZ#1636564)

Directory Server introduit de nouveaux utilitaires en ligne de commande pour gérer les instances

Red Hat Directory Server 11.0 présente les dscreateutilitaires dsconf, et les dsctlutilitaires. Ces utilitaires simplifient la gestion de Directory Server en utilisant la ligne de commande. Par exemple, vous pouvez maintenant utiliser une commande avec des paramètres pour configurer une fonctionnalité au lieu d'envoyer des instructions LDIF complexes au serveur.

Voici un aperçu de l'objet de chaque service public :

Utilisez l'dscreateutilitaire pour créer de nouvelles instances de Directory Server en utilisant le mode interactif ou un fichier INF. Notez que le format de fichier INF est différent de celui utilisé par le programme d'installation dans les versions précédentes de Directory Server.
Utilisez l'dsconfutilitaire pour gérer les instances du serveur de répertoire pendant l'exécution. Par exemple, utilisez dsconf:
- Configurer les paramètres dans l'cn=configentrée
- Configurer les plug-ins
- Configurer la réplication
- Sauvegarder et restaurer une instance
Utilisez l'dsctlutilitaire pour gérer les instances de Directory Server lorsqu'elles sont hors ligne. Par exemple, utilisez dsctl:
- Démarrer et arrêter une instance
- Réindexer la base de données du serveur
- Sauvegarder et restaurer une instance

Ces utilitaires remplacent les scripts Perl et shell marqués comme obsolètes dans Directory Server 10. Les scripts sont toujours disponibles dans le package non 389-ds-base-legacy-toolssupporté, mais Red Hat ne prend en charge que la gestion de Directory Server en utilisant les nouveaux utilitaires.

Notez que la configuration de Directory Server à l'aide des instructions LDIF est toujours supportée, mais Red Hat recommande d'utiliser les utilitaires.

Pour plus de détails sur l'utilisation des utilitaires, voir la section Red Hat Directory Server 11 Documentation.

(BZ#1693159)

Les commandes pki subsystem-cert-findet pki subsystem-cert-showet indiquent maintenant le numéro de série des certificats

Avec cette amélioration, les commandes pki subsystem-cert-findet pki subsystem-cert-showdu Système de certificats affichent le numéro de série des certificats dans leur sortie. Le numéro de série est un élément d'information important et souvent requis par de multiples autres commandes. Par conséquent, il est maintenant plus facile d'identifier le numéro de série d'un certificat.

(BZ#1566360)

Les commandes pki useret pki groupet ont été dépréciées dans le système de certification

Avec cette mise à jour, les nouvelles pki <subsystem>-userpki <subsystem>-groupcommandes et remplacent les commandes pki useret pki groupdans Certificate System. Les commandes remplacées fonctionnent toujours, mais elles affichent un message indiquant que la commande est obsolète et font référence aux nouvelles commandes.

(BZ#1394069)

Certificate System prend désormais en charge le renouvellement hors ligne des certificats système

Grâce à cette amélioration, les administrateurs peuvent utiliser la fonction de renouvellement hors ligne pour renouveler les certificats système configurés dans Certificate System. Lorsqu'un certificat système expire, le système de certification ne démarre pas. Grâce à cette amélioration, les administrateurs n'ont plus besoin de solutions de contournement pour remplacer un certificat système expiré.

(BZ#1669257)

Certificate System peut désormais créer des CSR avec extension SKI pour la signature externe d'AC

Grâce à cette amélioration, Certificate System prend en charge la création d'une demande de signature de certificat (CSR) avec l'extension SKI (Subject Key Identifier) pour la signature d'une autorité de certification (CA) externe. Certaines AC ont besoin de cette extension, soit avec une valeur particulière, soit dérivée de la clé publique de l'AC. Par conséquent, les administrateurs peuvent maintenant utiliser le pki_req_skiparamètre du fichier de configuration transmis à l'pkispawnutilitaire pour créer un CSR avec extension SKI.

(BZ#1656856)

Les utilisateurs locaux sont mis en cache par SSSD et servis par le nss_sssmodule

Dans RHEL 8, le démon des services de sécurité du système (SSSD) sert par défaut les utilisateurs et les groupes des fichiers /etc/passwdet /etc/groupsdes fichiers. Le module sssnsswitch précède les fichiers du /etc/nsswitch.conffichier.

L'avantage de servir les utilisateurs locaux par l'intermédiaire de la DSSS est que le nss_sssmodule est rapidememory-mapped cache, ce qui accélère la recherche par commutateur de service de nom (NSS) par rapport à l'accès au disque et à l'ouverture des fichiers pour chaque requête NSS. Auparavant, le démon de cache du service de nom (nscd) permettait d'accélérer le processus d'accès au disque. Cependant, l'utilisation nscden parallèle avec la DSSS est encombrante, car la DSSS et nscdsa propre mise en cache indépendante sont toutes deux utilisées. Par conséquent, l'utilisation nscddans des configurations où SSSD sert également des utilisateurs d'un domaine distant, par exemple LDAP ou Active Directory, peut provoquer des comportements imprévisibles.

Avec cette mise à jour, la résolution des utilisateurs et groupes locaux est plus rapide dans RHEL 8. Notez que l'rootutilisateur n'est jamais géré par SSSD, donc la rootrésolution ne peut pas être affectée par un bug potentiel dans SSSD. Notez également que si SSSD n'est pas en cours d'exécution, le nss_sssmodule gère la situation avec grâce en se repliant sur pour nss_fileséviter les problèmes. Vous n'avez pas besoin de configurer SSSD de quelque façon que ce soit, le domaine des fichiers est ajouté automatiquement.

(JIRA:RHELPLAN-10439)

KCM remplace KEYRING comme mémoire cache par défaut pour les informations d'identification

Dans RHEL 8, la mémoire cache par défaut est le Kerberos Credential Manager (KCM) qui est soutenu par le sssd-kcmdeamon. KCM surmonte les limites du KEYRING précédemment utilisé, comme le fait qu'il est difficile à utiliser dans des environnements conteneurisés parce qu'il n'est pas doté d'un rythme de noms, et qu'il permet de visualiser et de gérer les quotas.

Avec cette mise à jour, RHEL 8 contient un cache d'informations d'identification qui est mieux adapté aux environnements conteneurisés et qui fournit une base pour construire plus de fonctionnalités dans les versions futures.

(JIRA:RHELPLAN-10440)

Les utilisateurs d'Active Directory peuvent désormais administrer la gestion des identités

Avec cette mise à jour, RHEL 8 permet d'ajouter un code d'utilisateur prioritaire pour un utilisateur Active Directory (AD) en tant que membre d'un groupe Identity Management (IdM). Un remplacement d'ID est un enregistrement décrivant à quoi devrait ressembler un utilisateur AD ou des propriétés de groupe spécifiques dans une vue ID spécifique, dans ce cas la vue de confiance par défaut. En conséquence de la mise à jour, le serveur LDAP IdM est capable d'appliquer les règles de contrôle d'accès pour le groupe IdM à l'utilisateur AD.

Les utilisateurs AD peuvent maintenant utiliser les fonctionnalités en libre-service d'IdM UI, par exemple pour télécharger leurs clés SSH, ou modifier leurs données personnelles. Un administrateur AD est capable d'administrer entièrement IdM sans avoir deux comptes et mots de passe différents. Notez qu'à l'heure actuelle, certaines fonctions d'IdM peuvent encore ne pas être disponibles pour les utilisateurs AD.

(JIRA:RHELPLAN-10442)

sssctl imprime un rapport de règles HBAC pour un domaine IdM

Avec cette mise à jour, l'sssctlutilitaire du démon des services de sécurité du système (DSSD) peut imprimer un rapport de contrôle d'accès pour un domaine IdM (Identity Management). Cette fonctionnalité répond au besoin de certains environnements de voir, pour des raisons réglementaires, une liste d'utilisateurs et de groupes qui peuvent accéder à une machine cliente spécifique. L'exécution sssctl access-report domain_namesur un client IdM imprime le sous-ensemble analysé de règles de contrôle d'accès basé sur l'hôte (HBAC) dans le domaine IdM qui s'appliquent à la machine cliente.

Notez qu'aucun autre fournisseur que IdM ne supporte cette fonctionnalité.

(JIRA:RHELPLAN-10443)

Les progiciels de gestion des identités sont disponibles sous forme de module

Dans RHEL 8, les paquets nécessaires à l'installation d'un serveur et d'un client de gestion des identités (IdM) sont livrés sous forme de module. Le clientflux est le flux par défaut du idmmodule et vous pouvez télécharger les paquets nécessaires pour installer le client sans activer le flux.

Le flux du module serveur IdM s'appelle le DL1flux. Le flux contient plusieurs profils correspondant à différents types de serveurs IdM : serveur, dns, adtrust, client et par défaut. Pour télécharger les paquets dans un profil spécifique du DL1flux : . Activer le flux. . Passez aux RPM diffusés par le flux. . Exécutez la yum module install idm:DL1/profile_namecommande.

(JIRA:RHELPLAN-10438)

Ajout d'une solution d'enregistrement de session pour RHEL 8

Une solution d'enregistrement de session a été ajoutée à Red Hat Enterprise Linux 8 (RHEL 8). Un nouveau tlogpackage et son lecteur de session console web associé permettent d'enregistrer et de lire les sessions du terminal utilisateur. L'enregistrement peut être configuré par utilisateur ou groupe d'utilisateurs via le service System Security Services Daemon (SSSD). Toutes les entrées et sorties du terminal sont saisies et stockées sous forme de texte dans un journal système. L'entrée est inactive par défaut pour des raisons de sécurité afin de ne pas intercepter les mots de passe bruts et autres informations sensibles.

La solution peut être utilisée pour l'audit des sessions utilisateurs sur des systèmes sensibles du point de vue de la sécurité. En cas d'atteinte à la sécurité, les séances enregistrées peuvent être examinées dans le cadre d'une analyse judiciaire. Les administrateurs système peuvent maintenant configurer l'enregistrement de la session en local et visualiser le résultat à partir de l'interface de la console web RHEL 8 ou de l'interface en ligne de commande en utilisant l'tlog-playutilitaire.

(JIRA:RHELPLAN-1473)

authselect simplifie la configuration de l'authentification utilisateur

Cette mise à jour présente l'authselectutilitaire qui simplifie la configuration de l'authentification utilisateur sur les hôtes RHEL 8, en remplacement de l'authconfigutilitaire. authselects'accompagne d'une approche plus sûre de la gestion de la pile PAM qui simplifie les changements de configuration PAM pour les administrateurs système. authselectpeut être utilisé pour configurer les méthodes d'authentification comme les mots de passe, certificats, cartes à puce et empreinte. Notez que authselectne configure pas les services requis pour rejoindre les domaines distants. Cette tâche est effectuée par des outils spécialisés, tels que realmdou ipa-client-install.

(JIRA:RHELPLAN-10445)

SSSD vous permet maintenant de sélectionner l'un des multiples dispositifs d'authentification par carte à puce

Avec cette mise à jour, vous pouvez configurer PKCS#11 URI pour la sélection des périphériques d'authentification Smartcard.

Par défaut, SSSD tente de détecter automatiquement un périphérique pour l'authentification par carte à puce. S'il y a plusieurs périphériques connectés, SSSD sélectionnera le premier périphérique trouvé et vous ne pouvez pas sélectionner le périphérique particulier. Cela peut mener à des échecs.

Par conséquent, vous pouvez maintenant configurer une nouvelle p11_urioption pour la [pam]section de sssd.conf. Cette option vous permet de définir quel périphérique sera utilisé pour l'authentification par carte à puce.

Par exemple, pour sélectionner le lecteur avec l'identifiant d'emplacement'2' détecté par le module OpenSC PKCS#11, ajoutez

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2

à la [pam]section de sssd.conf.

Veuillez consulter man sssd-confpour plus de détails.

(BZ#1620123)

4.10. Compilateurs et outils de développement (traduction automatique)

Mise à jour de Boost à la version 1.66

La bibliothèque Boost C+++ a été mise à jour vers la version amont 1.66. La version de Boost incluse dans Red Hat Enterprise Linux 7 est la 1.53. Pour plus de détails, voir le journal des modifications en amont : https://www.boost.org/users/history/

Cette mise à jour introduit les changements suivants qui rompent la compatibilité avec les versions précédentes :

La bs_set_hook()fonction, la splay_set_hook()fonction des conteneurs splay et le paramètre bool splay = truesupplémentaire dans la splaytree_algorithms()fonction de la bibliothèque Intrusive ont été supprimés.
Les commentaires ou la concaténation de chaînes dans les fichiers JSON ne sont plus pris en charge par l'analyseur de la bibliothèque Property Tree.
Certaines distributions et fonctions spéciales de la bibliothèque Math ont été corrigées pour se comporter comme documenté et élever une valeur au overflow_errorlieu de retourner la valeur finie maximale.
Certains en-têtes de la bibliothèque Math ont été déplacés dans le répertoire libs/math/include_private.
Le comportement des fonctions basic_regex<>::mark_count()et basic_regex<>::subexpression(n)de la bibliothèque Regex a été modifié pour correspondre à leur documentation.
L'utilisation de modèles variadiques dans la bibliothèque Variant peut interrompre les fonctions de métaprogrammation.
L'boost::python::numericAPI a été supprimée. Les utilisateurs peuvent utiliser à la boost::python::numpyplace.
Les opérations arithmétiques sur les pointeurs vers des types non objets ne sont plus fournies dans la bibliothèque Atomic.

(BZ#1494495)

Prise en charge d'Unicode 11.0.0.0

La bibliothèque C de Red Hat Enterprise Linux, glibc, a été mise à jour pour prendre en charge la version standard Unicode 11.0.0. Par conséquent, toutes les API de caractères larges et multi-octets, y compris la translittération et la conversion entre les jeux de caractères, fournissent des informations précises et correctes conformes à cette norme.

(BZ#1512004)

Le boostpaquet est maintenant indépendant de Python

Avec cette mise à jour, l'installation du boostpaquet n'installe plus la Boost.Pythonbibliothèque en tant que dépendance. Pour l'utiliserBoost.Python, vous devez installer explicitement le boost-python3ou les boost-python3-develpaquets.

(BZ#1616244)

Un nouveau compat-libgfortran-48forfait disponible

Pour la compatibilité avec les applications Red Hat Enterprise Linux 6 et 7 utilisant la bibliothèque Fortran, un nouveau paquet de compat-libgfortran-48compatibilité est maintenant disponible, qui fournit la libgfortran.so.3bibliothèque.

(BZ#1607227)

Prise en charge de la rétropoline dans le CCG

Cette mise à jour ajoute la prise en charge des repolignes à GCC. Une retpoline est une construction logicielle utilisée par le noyau pour réduire les coûts d'atténuation des attaques Spectre Variant 2 décrites dans CVE-2017-5715.

(BZ#1535774)

Prise en charge améliorée de l'architecture ARM 64 bits dans les composants de la chaîne d'outils

Les composants de la chaîne d'outils, GCCetbinutils, fournissent maintenant une prise en charge étendue de l'architecture ARM 64 bits. Par exemple :

GCC et supporte binutilsmaintenant l'extension vectorielle évolutive (SVE).
La prise en charge du type de FP16données, fournie par ARM v8.2, a été ajoutée à GCC. Le type de FP16données améliore les performances de certains algorithmes.
Les outils supportent binutilsdésormais la définition de l'architecture ARM v8.3, y compris l'authentification par pointeur. La fonction d'authentification par pointeur empêche le code malveillant de corrompre l'exécution normale d'un programme ou du noyau en créant leurs propres pointeurs de fonction. Par conséquent, seules les adresses de confiance sont utilisées lors de la connexion à différents endroits du code, ce qui améliore la sécurité.

(BZ#1504980, BZ#1550501, BZ#1504995, BZ#1504993, BZ#1504994)

Optimisations pour glibcles systèmes IBM POWER

Cette mise à jour fournit une glibcnouvelle version optimisée pour les architectures IBM POWER 8 et IBM POWER 9. Par conséquent, les systèmes IBM POWER 8 et IBM POWER 9 passent automatiquement à la glibcvariante appropriée et optimisée au moment de l'exécution.

(BZ#1376834)

Bibliothèque GNU C mise à jour vers la version 2.28

Red Hat Enterprise Linux 8 inclut la version 2.28 de la bibliothèque C de GNU (glibc). Parmi les améliorations notables, mentionnons :

Caractéristiques de trempe de sécurité :
- Les fichiers binaires sécurisés marqués d'un AT_SECUREdrapeau ignorent la variable d'LD_LIBRARY_PATHenvironnement.
- Les backtraces ne sont plus imprimés pour les échecs de vérification de pile afin d'accélérer l'arrêt et d'éviter d'exécuter plus de code dans un environnement compromis.
Amélioration des performances :
- Les performances de la malloc()fonction ont été améliorées avec un cache local de thread.
- Ajout de la variable d'GLIBC_TUNABLESenvironnement pour modifier les caractéristiques de performance de la bibliothèque.
- La mise en œuvre des sémaphores à fils a été améliorée et de nouvelles fonctions évolutives pthread_rwlock_xxx()ont été ajoutées.
- Les performances de la bibliothèque de mathématiques ont été améliorées.
La prise en charge d'Unicode 11.0.0.0 a été ajoutée.
La prise en charge améliorée des nombres en virgule flottante 128 bits tels que définis par les normes ISO/IEC/IEEE 60559:2011, IEEE 754-2008 et ISO/IEC TS 18661-3:2015 a été ajoutée.
Améliorations du résolveur de stub du service de noms de domaine (DNS) liées au fichier de /etc/resolv.confconfiguration :
- La configuration est automatiquement rechargée lorsque le fichier est modifié.
- La prise en charge d'un nombre arbitraire de domaines de recherche a été ajoutée.
- Une sélection aléatoire appropriée pour l'rotateoption a été ajoutée.
De nouvelles fonctionnalités de développement ont été ajoutées, notamment :
- Fonctions d'emballage Linux pour les appels preadv2et les appels au pwritev2noyau
- Nouvelles fonctions incluant reallocarray()et explicit_bzero()
- Nouveaux drapeaux pour la posix_spawnattr_setflags()fonction tels que POSIX_SPAWN_SETSID

(BZ#1512010, BZ#1504125, BZ#506398)

CMake disponible en RHEL

La version 3.11 du système CMake build est disponible dans Red Hat Enterprise Linux 8 comme cmakepaquet.

(BZ#1590139, BZ#1502802)

make version 4.2.1

Red Hat Enterprise Linux 8 est distribué avec l'outil de makecompilation version 4.2.1. Parmi les changements notables, mentionnons :

Lorsqu'une recette échoue, le nom du makefile et le numéro de ligne de la recette sont affichés.
L'--traceoption a été ajoutée pour permettre le traçage des cibles. Lorsque cette option est utilisée, chaque recette est imprimée avant l'invocation, même si elle est supprimée, avec le nom du fichier et le numéro de ligne où se trouve cette recette, ainsi que les conditions préalables à son appel.
Le mélange de règles explicites et implicites n'entraîne makeplus l'arrêt de l'exécution. Au lieu de cela, un message d'avertissement est imprimé. Notez que cette syntaxe est obsolète et pourrait être complètement supprimée à l'avenir.
La $(file …)fonction a été ajoutée pour écrire du texte dans un fichier. Lorsqu'il est appelé sans argument texte, il ne fait qu'ouvrir et fermer immédiatement le fichier.
Une nouvelle option, --output-syncou-O, permet de regrouper une sortie de plusieurs tâches par tâche et de déboguer plus facilement les builds parallèles.
L'--debugoption accepte maintenant aussi l'option (nonen) pour désactiver tous les paramètres de débogage actuellement activés.
L'opérateur d'assignation du !=shell a été ajouté comme alternative à la $(shell …)fonction pour augmenter la compatibilité avec les makefiles BSD. Pour plus de détails et les différences entre l'opérateur et la fonction, voir le manuel GNU make.

Notez qu'en conséquence, les variables dont le nom se termine par un point d'exclamation et est immédiatement suivi d'une assignation, commevariable!=value, par exemple, sont maintenant interprétées comme la nouvelle syntaxe. Pour restaurer le comportement précédent, ajoutez un espace après le point d'exclamation, tel que variable! =value.

L'opérateur d'::=affectation défini par le standard POSIX a été ajouté.
Lorsque la .POSIXvariable est spécifiée, makerespecter les exigences de la norme POSIX pour le traitement des antislash et des nouvelles lignes. Dans ce mode, tout espace en fin de ligne avant la barre oblique inverse est préservé, et chaque barre oblique inverse suivie d'une nouvelle ligne et des espaces blancs sont convertis en un seul espace.
Le comportement des variables MAKEFLAGSet MFLAGSest maintenant plus précisément défini.
Une nouvelle variable, GNUMAKEFLAGS, est analysée pour les makedrapeaux de la même manière que MAKEFLAGS. En conséquence, les drapeaux spécifiques à GNU makepeuvent être stockés à l'extérieur MAKEFLAGSet la portabilité des makefiles est augmentée.
Une nouvelle variable, MAKE_HOST, contenant l'architecture hôte a été ajoutée.
Les nouvelles variables, MAKE_TERMOUTet MAKE_TERMERR, indiquent si makela sortie standard et l'erreur d'écriture sur une borne sont en cours d'écriture.
Définir les options -ret -Rdans la MAKEFLAGSvariable à l'intérieur d'un makefile fonctionne maintenant correctement et supprime toutes les règles et variables intégrées, respectivement.
Le .RECIPEPREFIXréglage est maintenant mémorisé par recette. De plus, les variables développées dans cette recette utilisent également ce préfixe de recette.
Le .RECIPEPREFIXréglage et toutes les variables spécifiques à la cible sont affichés dans l'édition de l'-poption comme dans un makefile, au lieu d'être des commentaires.

(BZ#1641015)

Les programmes Go créés avec Go Toolset sont conformes aux normes FIPS

La bibliothèque cryptographique disponible dans Go Toolset a été modifiée pour utiliser la bibliothèque OpenSSL version 1.1.0 si le système hôte est configuré en mode FIPS. Par conséquent, les programmes construits avec cette version de Go Toolset sont conformes aux normes FIPS.

Pour que les programmes Go n'utilisent que les routines cryptographiques standard non certifiées, utilisez l'-tags no_openssloption du gocompilateur lors de la compilation.

(BZ#1512570)

SystemTap version 4.0

Red Hat Enterprise Linux 8 est distribué avec l'outil d'instrumentation SystemTap version 4.0. Parmi les améliorations notables, mentionnons :

Le backend étendu de Berkeley Packet Filter (eBPF) a été amélioré, en particulier les chaînes de caractères et les fonctions. Pour utiliser ce backend, lancez SystemTap avec l'--runtime=bpfoption.
Un nouveau service de réseau d'exportation à utiliser avec le système de surveillance Prometheus a été ajouté.
L'implémentation du palpage d'appel système a été améliorée pour utiliser les points de trace du noyau si nécessaire.

(BZ#1641032)

Améliorations dans la binutilsversion 2.30

Red Hat Enterprise Linux 8 inclut la version 2.30 du binutilspaquet. Parmi les améliorations notables, mentionnons :

La prise en charge des nouvelles extensions d'architecture s390x a été améliorée.

Assembleur :

La prise en charge du format de fichier WebAssembly et la conversion de WebAssembly au format de fichier wasm32 ELF ont été ajoutées.
La prise en charge de l'architecture ARMv8-R et des processeurs Cortex-R52, Cortex-M23 et Cortex-M33 a été ajoutée.
La prise en charge de l'architecture RISC-V a été ajoutée.

Linkers :

L'éditeur de liens place maintenant le code et les données en lecture seule dans des segments séparés par défaut. En conséquence, les fichiers exécutables créés sont plus gros et plus sûrs à exécuter, car le chargeur dynamique peut désactiver l'exécution de toute page mémoire contenant des données en lecture seule.
La prise en charge des notes de propriétés GNU qui fournissent des conseils au chargeur dynamique sur le fichier binaire a été ajoutée.
Auparavant, l'éditeur de liens générait un code exécutable invalide pour la technologie Intel Indirect Branch Tracking (IBT). Par conséquent, les fichiers exécutables générés ne pouvaient pas démarrer. Ce bogue a été corrigé.
Auparavant, l'éditeur de goldliens fusionnait incorrectement les notes de propriété. Par conséquent, de mauvaises caractéristiques matérielles pourraient être activées dans le code généré, et le code pourrait se terminer de manière inattendue. Ce bogue a été corrigé.
Auparavant, l'éditeur de goldliens créait des sections de notes avec des octets de remplissage à la fin pour obtenir un alignement selon l'architecture. Comme le chargeur dynamique ne s'attendait pas à ce que le rembourrage se produise, il a pu interrompre inopinément le programme qu'il était en train de charger. Ce bogue a été corrigé.

Autres outils :

Les outils readelfet objdumpont maintenant des options pour suivre les liens dans des fichiers d'informations de débogage séparés et afficher les informations qu'ils contiennent également.
La nouvelle --inlinesoption étend l'option existante --line-numbersde l'objdumpoutil pour afficher les informations d'imbrication des fonctions inlined.
L'nmoutil a obtenu une nouvelle option --with-version-stringspour afficher les informations de version d'un symbole après son nom, si présent.

(BZ#1641004, BZ#1637072, BZ#1501420, BZ#1504114, BZ#1614908, BZ#1614920)

Performace copilote version 4.1.3

Red Hat Enterprise Linux 8 est distribué avec Performance co-pilot (pcp) version 4.1.3. Parmi les améliorations notables, mentionnons :

L'pcp-dstatoutil inclut maintenant l'analyse historique et la sortie au format CSV (Comma-separated Values).
Les utilitaires de journalisation peuvent utiliser des étiquettes métriques et des enregistrements de texte d'aide.
L'pmdaperfeventoutil affiche maintenant les numéros de CPU corrects aux niveaux inférieurs du Multi-Threading Simultané Multi-Threading (SMT).
L'pmdapostgresqloutil prend désormais en charge la série 10.x de Postgres.
L'pmdaredisoutil prend désormais en charge la série 5.x de Redis.
L'pmdabccoutil a été amélioré avec un filtrage dynamique des processus et des syscalls, ucalls et ustat par processus.
L'pmdammvoutil exporte maintenant les étiquettes métriques, et la version de format est augmentée à 3.
L'pmdagfs2outil prend en charge d'autres mesures de glock et de porte-glock.
Plusieurs corrections ont été apportées à la politique de SELinux.

(BZ#1641034)

Touches de protection de la mémoire

Cette mise à jour permet d'activer des fonctions matérielles qui permettent de modifier les drapeaux de protection par page de fil de discussion. Les nouvelles enveloppes d'appel glibcsystème ont été ajoutées pour les pkey_mprotect()fonctionspkey_alloc(),pkey_free(), et,. De plus, les fonctions pkey_set()et pkey_get()et ont été ajoutées pour permettre l'accès aux drapeaux de protection par fil.

(BZ#1304448)

elfutils mise à jour vers la version 0.174

Dans Red Hat Enterprise Linux 8, le paquet elfutils est disponible en version 0.174. Parmi les changements notables, mentionnons :

Auparavant, l'eu-readelfoutil pouvait afficher une variable avec une valeur négative comme si elle avait une grande valeur non signée, ou afficher une grande valeur non signée comme une valeur négative. Ceci a été corrigé et recherche eu-readelfmaintenant la taille et la signature des types de valeurs constantes pour les afficher correctement.
Une nouvelle fonction dwarf_next_lines()de lecture .debug_linedes données manquant de CU a été ajoutée à la bibliothèque libdw. Cette fonction peut être utilisée comme alternative aux dwarf_getsrcfiles()fonctions dwarf_getsrclines()et.
Auparavant, les fichiers contenant plus de 65280 sections pouvaient causer des erreurs dans les bibliothèques libelf et libdw et tous les outils les utilisant. Ce bogue a été corrigé. Par conséquent, les valeurs étendues shnumet les shstrndxvaleurs dans les en-têtes de fichiers ELF sont traitées correctement.

(BZ#1641007)

Mise à jour de Valgrind à la version 3.14

Red Hat Enterprise Linux 8 est distribué avec l'outil d'analyse de code exécutable Valgrind version 3.14. Parmi les changements notables, mentionnons :

Une nouvelle --keep-debuginfooption a été ajoutée pour permettre la conservation des informations de débogage pour le code non chargé. Par conséquent, les traces de pile sauvegardées peuvent inclure des informations de fichier et de ligne pour du code qui n'est plus présent dans la mémoire.
Des suppressions basées sur le nom du fichier source et le numéro de ligne ont été ajoutées.
L'Helgrindoutil a été étendu avec une option --delta-stacktracepour spécifier le calcul de l'historique complet des traces de pile. Notamment, l'utilisation de cette option avec --history-level=fullpeut améliorer les Helgrindperformances jusqu'à 25%.
Le taux de faux positifs dans l'Memcheckoutil d'optimisation du code sur les architectures Intel et AMD 64-bit et l'architecture ARM 64-bit a été réduit. Notez que vous pouvez utiliser le --expensive-definedness-checkspour contrôler le traitement des contrôles de définition et améliorer le taux aux dépens de la performance.
Valgrind peut maintenant reconnaître plus d'instructions de la variante little-endian d'IBM Power Systems.
Valgrind peut maintenant traiter partiellement les instructions de vecteur entier et de chaîne de caractères du processeur IBM Z architecture z13.

Pour plus d'informations sur les nouvelles options et leurs limitations connues, consultez la page de valgrind(1)manuel.

(BZ#1641029, BZ#1501419)

GDB version 8.2

Red Hat Enterprise Linux 8 est distribué avec le débogueur GDB version 8.2 Les modifications notables incluent :

Le protocole IPv6 est supporté pour le débogage à distance avec GDB et gdbserver.
Le débogage sans informations de débogage a été amélioré.
La complétion des symboles dans l'interface utilisateur GDB a été améliorée pour offrir de meilleures suggestions en utilisant plus de constructions syntaxiques telles que des balises ABI ou des espaces de noms.
Les commandes peuvent maintenant être exécutées en arrière-plan.
Le débogage des programmes créés dans le langage de programmation Rust est maintenant possible.
Le débogage des langages C et C+++ a été amélioré avec la prise en charge de l'analyseur pour les opérateurs _Alignofet alignofles opérateurs, les références de valeurs r C++ et les tableaux automatiques C99 de longueur variable.
Les scripts d'extension GDB peuvent maintenant utiliser le langage de script Guile.
L'interface de langage de script Python pour les extensions a été améliorée avec de nouvelles fonctions API, des décorateurs d'images, des filtres et des dérouleurs. De plus, les scripts de la .debug_gdb_scriptssection de configuration de GDB sont chargés automatiquement.
GDB utilise maintenant la version 3 de Python pour exécuter ses scripts, y compris les jolies imprimantes, les décorateurs de cadres, les filtres et les dérouleurs.
Les architectures ARM et ARM 64 bits ont été améliorées avec l'enregistrement et la relecture de l'exécution des processus, y compris les instructions Thumb 32 bits et les appels système.
La prise en charge du registre Intel MPX et de la violation liée, du registre PKU et de l'Intel Processor Trace a été ajoutée.
La fonctionnalité d'enregistrement et de lecture a été étendue pour inclure les rdrandrdseedinstructions sur les systèmes basés sur Intel.
La fonctionnalité de GDB sur l'architecture IBM Z a été étendue avec la prise en charge des points de trace et des points de trace rapides, des registres vectoriels et ABI, et de l'appel Catchsystème. De plus, GDB supporte désormais les instructions plus récentes de l'architecture.
GDB peut maintenant utiliser les sondes d'espace utilisateur statiques SystemTap (SDT) sur l'architecture ARM 64 bits.

(BZ#1641022, BZ#1497096, BZ#1505346, BZ#1592332)

La localisation pour RHEL est distribuée en plusieurs paquets

Dans RHEL 8, les locales et les traductions ne sont plus fournies par le paquet uniqueglibc-common. Au lieu de cela, chaque locale et chaque langue est disponible dans un glibc-langpack-CODEpackage. De plus, toutes les locales ne sont pas installées par défaut, seules celles sélectionnées dans le programme d'installation. Les utilisateurs doivent installer tous les autres paquets locaux dont ils ont besoin séparément.

Pour plus d'informations sur l'utilisation des langpacks, voir Installing and using langpacks.

(BZ#1512009)

strace mise à jour vers la version 4.24

Red Hat Enterprise Linux 8 est distribué avec l'straceoutil version 4.24. Parmi les changements notables, mentionnons :

Des fonctions d'altération des appels système ont été ajoutées avec cette -e inject=option. Cela comprend l'injection d'erreurs, de valeurs de retour, de retards et de signaux.
La qualification des appels système a été améliorée :
- Une -e trace=/regexoption a été ajoutée pour filtrer les appels système avec des expressions régulières.
- L'ajout préalable d'un point d'interrogation à une qualification d'appel système dans l'-e trace=option permet de stracecontinuer, même si la qualification ne correspond à aucun appel système.
- La désignation de personnalité a été ajoutée aux qualifications d'appel système dans l'-e traceoption.
Le décodage du motif d'kvm vcpuexit a été ajouté. Pour ce faire, utilisez l'-e kvm=vcpuoption.
La libdwbibliothèque est maintenant utilisée pour le déroulement de la pile lorsque l'-koption est utilisée. De plus, le démêlage des symboles est possible lorsque la libibertybibliothèque est installée sur le système.
Auparavant, l'-roption faisait straceignorer l'-toption. Ceci a été corrigé et les deux options sont maintenant indépendantes.
L'option[option]`-A a été ajoutée pour ouvrir les fichiers de sortie en mode ajout.
L'-Xoption a été ajoutée pour configurer le formatage de xlatsortie.
Le décodage des adresses de socket avec cette -yyoption a été amélioré. De plus, l'impression des numéros de bloc et de périphérique de caractères en -yymode a été ajoutée.

De plus, le décodage des éléments suivants a été ajouté, amélioré ou mis à jour :

netlink protocoles, messages et attributs
arch_prctl,bpf,getsockopt,io_pgetevent,kern_features,,,,,,pkey_free,pkey_mprotect,ptrace,,rseq,setsockopt,socket,,,statx,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,keyctl,prctl,,,,,,pkey_alloc,,,,,,,
De nombreuses commandes pour l'appel ioctlsystème
Constantes de différents types
Traçage du chemin d'accès pour execveatles appels symlinkatsystèmeinotify_add_watch, inotify_initles selectappels systèmesymlink, les appels système et mmaples appels système avec arguments indirects
Appels système spécifiques aux architectures ARM __ARM_NR_*
Listes de codes de signaux

(BZ#1641014)

4.11. Systèmes de fichiers et stockage (traduction automatique)

XFS prend désormais en charge les étendues de données copiées sur écriture partagées

Le système de fichiers XFS prend en charge la fonctionnalité de copie sur écriture partagée de l'étendue des données. Cette fonction permet à deux fichiers ou plus de partager un ensemble commun de blocs de données. Lorsque l'un ou l'autre des fichiers partageant des blocs communs change, XFS rompt le lien vers les blocs communs et crée un nouveau fichier. Cette fonctionnalité est similaire à la fonctionnalité de copie sur écriture (COW) que l'on trouve dans d'autres systèmes de fichiers.

Les étendues de données copiées sur écriture partagées le sont :

Rapide: La création de copies partagées n'utilise pas d'E/S disque.
Space-efficient: Les blocs partagés ne consomment pas d'espace disque supplémentaire.
Transparent: Les fichiers partageant des blocs communs agissent comme des fichiers ordinaires.

Les utilitaires de l'espace utilisateur peuvent utiliser des étendues de données copiées sur écriture partagées pour :

Clonage de fichiers efficace, par exemple avec la cp --reflinkcommande
Instantanés par fichier

Cette fonctionnalité est également utilisée par les sous-systèmes du noyau tels que Overlayfs et NFS pour un fonctionnement plus efficace.

Les étendues de données copiées sur écriture partagées sont maintenant activées par défaut lors de la création d'un système de fichiers XFS, à partir de la version 4.17.0-2.el8du xfsprogspaquetage .

Notez que les périphériques d'accès direct (DAX) ne prennent pas actuellement en charge XFS avec des étendues de données copiées sur écriture partagées. Pour créer un système de fichiers XFS sans cette fonctionnalité, utilisez la commande suivante :

# mkfs.xfs -m reflink=0 block-device

Red Hat Enterprise Linux 7 peut monter des systèmes de fichiers XFS avec des étendues de données copiées sur écriture partagées uniquement en mode lecture seule.

(BZ#1494028)

La taille maximale du système de fichiers XFS est de 1024 TiB

La taille maximale supportée d'un système de fichiers XFS a été augmentée de 500 TiB à 1024 TiB.

Les systèmes de fichiers de plus de 500 TiB l'exigent :

la fonction CRC des métadonnées et la fonction libre inode btree sont toutes deux activées dans le format du système de fichiers, et
la taille du groupe de répartition est d'au moins 512 GiB.

Dans RHEL 8, l'mkfs.xfsutilitaire crée des systèmes de fichiers qui répondent à ces exigences par défaut.

La croissance d'un système de fichiers plus petit qui ne répond pas à ces exigences à une nouvelle taille supérieure à 500 TiB n'est pas prise en charge.

(BZ#1563617)

VDO supporte maintenant toutes les architectures

Virtual Data Optimizer (VDO) est maintenant disponible sur toutes les architectures supportées par RHEL 8.

Pour la liste des architectures prises en charge, voir Chapitre 2, Architectures (traduction automatique).

(BZ#1534087)

Le gestionnaire de démarrage BOOM simplifie le processus de création des entrées de démarrage

BOOM est un gestionnaire de démarrage pour les systèmes Linux qui utilisent des chargeurs de démarrage prenant en charge la spécification BootLoader pour la configuration des entrées de démarrage. Il permet une configuration flexible du démarrage et simplifie la création d'entrées de démarrage nouvelles ou modifiées : par exemple, pour démarrer des images instantanées du système créées avec LVM.

BOOM ne modifie pas la configuration du chargeur de démarrage existant et insère uniquement des entrées supplémentaires. La configuration existante est maintenue et toute intégration de distribution, comme l'installation du noyau et les scripts de mise à jour, continue à fonctionner comme avant.

BOOM dispose d'une interface de ligne de commande simplifiée (CLI) et d'une API qui facilitent la tâche de création des entrées de démarrage.

(BZ#1649582)

LUKS2 est maintenant le format par défaut pour le cryptage des volumes

Dans RHEL 8, le format LUKS version 2 (LUKS2) remplace l'ancien format LUKS (LUKS1). Le dm-cryptsous-système et l'cryptsetupoutil utilisent maintenant LUKS2 comme format par défaut pour les volumes cryptés. LUKS2 fournit des volumes cryptés avec redondance des métadonnées et récupération automatique en cas de corruption partielle des métadonnées.

Grâce à sa structure interne flexible, le LUKS2 est également un atout pour les fonctionnalités futures. Il prend en charge le déverrouillage automatique grâce au jeton générique de porte-clés du noyau intégré libcryptsetupqui permet aux utilisateurs de déverrouiller les volumes LUKS2 à l'aide d'une phrase de chiffrement stockée dans le service de conservation du porte-clés du noyau.

D'autres améliorations notables incluent :

La configuration de la clé protégée à l'aide du schéma de chiffrement de la clé enveloppée.
Intégration plus facile avec le décryptage basé sur des stratégies (Clevis).
Jusqu'à 32 emplacements de clé - le LUKS1 n'offre que 8 emplacements de clé.

Pour plus de détails, voir les pages de manuel cryptsetup(8)etcryptsetup-reencrypt(8).

(BZ#1564540)

La NVM/FC est entièrement prise en charge par les adaptateurs Broadcom Emulex Fibre Channel

Le type de transport NVMe sur Fibre Channel (NVMe/FC) est désormais entièrement pris en charge en mode Initiator lorsqu'il est utilisé avec des adaptateurs Broadcom Emulex Fibre Channel 32Gbit.

NVMe sur Fibre Channel est un type de transport de tissu supplémentaire pour le protocole NVMe (Nonvolatile Memory Express), en plus du protocole RDMA (Remote Direct Memory Access) qui était précédemment introduit dans Red Hat Enterprise Linux.

Pour activer NVMe/FC dans le lpfcpilote, modifiez le /etc/modprobe.d/lpfc.conffichier et ajoutez l'option suivante :

lpfc_enable_fc4_type=3

Les pilotes autres que lpfcceux qui restent dans l'aperçu technologique.

Restrictions supplémentaires :

Multipath n'est pas supporté avec NVMe/FC.
La mise en grappe de NVMe n'est pas prise en charge par NVMe/FC.
Actuellement, Red Hat Enterprise Linux ne prend pas en charge l'utilisation simultanée de NVMe/FC et SCSI/FC sur un port initiateur.
Le paquet kernel-alt ne supporte pas NVMe/FC.
kdump n'est pas pris en charge par NVMe/FC.
Le démarrage à partir d'un réseau de stockage (SAN) NVM/FC n'est pas pris en charge.

(BZ#1649497)

Nouvelle overridessection du fichier de configuration DM Multipath

Le /etc/multipath.conffichier comprend maintenant une overridessection qui vous permet de définir une valeur de configuration pour tous vos périphériques. Ces attributs sont utilisés par DM Multipath pour tous les périphériques sauf s'ils sont écrasés par les attributs spécifiés dans la multipathssection du /etc/multipath.conffichier pour les chemins qui contiennent le périphérique. Cette fonctionnalité remplace le all_devsparamètre de la devicessection du fichier de configuration qui n'est plus supporté.

(BZ#1643294)

L'installation et le démarrage à partir de périphériques NVDIMM sont maintenant pris en charge

Avant cette mise à jour, les périphériques NVDIMM (Nonvolatile Dual Inline Memory Module) dans n'importe quel mode étaient ignorés par l'installateur.

Avec cette mise à jour, les améliorations du noyau pour prendre en charge les périphériques NVDIMM améliorent les performances du système et l'accès au système de fichiers pour les applications gourmandes en écriture comme les bases de données ou les charges de travail analytiques, ainsi que la charge CPU réduite.

Cette mise à jour introduit la prise en charge des noms de domaine en :

L'utilisation de périphériques NVDIMM pour l'installation à l'aide de la commande nvdimmKickstart et de l'interface graphique, permettant d'installer et de démarrer à partir de périphériques NVDIMM en mode secteur et de reconfigurer les périphériques NVDIMM en mode secteur pendant l'installation.
L'extension des Kickstartscripts pour Anaconda avec des commandes pour gérer les périphériques NVDIMM.
La capacité degrub2,efibootmgr, et des composants du efivarsystème à gérer et à démarrer à partir de périphériques NVDIMM.

(BZ#1499442)

La détection des trajets marginaux dans DM Multipath a été améliorée

Le multipathdservice prend désormais en charge la détection améliorée des chemins marginaux. Cela permet aux dispositifs à trajets multiples d'éviter les trajets qui risquent de tomber en panne de façon répétée et d'améliorer les performances. Les chemins marginaux sont des chemins avec des erreurs d'E/S persistantes mais intermittentes.

Les options suivantes dans le /etc/multipath.conffichier contrôlent le comportement des chemins marginaux :

marginal_path_double_failed_time,
marginal_path_err_sample_time,
marginal_path_err_rate_thresholdet
marginal_path_err_recheck_gap_time.

DM Multipath désactive un chemin et le teste avec des E/S répétées pendant le temps d'échantillonnage configuré si :

les multipath.confoptions listées sont activées,
un chemin échoue deux fois dans le temps configuré, et
d'autres chemins sont disponibles.

Si le chemin d'accès a un taux d'erreur supérieur au taux d'erreur configuré pendant ce test, DM Multipath l'ignore pendant le temps d'intervalle configuré, puis le teste à nouveau pour voir s'il fonctionne suffisamment bien pour être réinstallé.

Pour plus d'informations, voir la page de multipath.confmanuel.

(BZ#1643550)

Comportement par défaut de Multiqueue

Dans Red Hat Enterprise Linux 8, les dispositifs de blocage utilisent désormais la planification multiqueue. Ceci permet à la performance de la couche bloc de s'adapter aux disques durs à semi-conducteurs (SSD) et aux systèmes multicœurs rapides.

Le pilote SCSI Multiqueue (scsi-mq) est maintenant activé par défaut, et le noyau démarre avec cette scsi_mod.use_blk_mq=Yoption. Ce changement est cohérent avec le noyau Linux amont.

Device Mapper Multipath (DM Multipath) nécessite que le scsi-mqpilote soit actif.

(BZ#1647612)

Stratis est maintenant disponible

Stratis est un nouveau gestionnaire de stockage local. Il fournit des systèmes de fichiers gérés en plus des pools de stockage avec des fonctionnalités supplémentaires pour l'utilisateur.

Stratis vous permet d'effectuer plus facilement des tâches de stockage telles que :

Gérer les snapshots et le provisionnement fin
Augmenter automatiquement la taille du système de fichiers selon les besoins
Tenir à jour les systèmes de fichiers

Pour administrer le stockage Stratis, utilisez l'stratisutilitaire qui communique avec le service en stratisdarrière-plan.

Pour plus d'informations, voir la documentation Stratis : Managing layered local storage with Stratis.

(JIRA:RHELPLAN-1212)

4.12. Haute disponibilité et clusters (traduction automatique)

Nouvelles pcscommandes pour lister les périphériques Watchdog disponibles et tester les périphériques Watchdog disponibles

Pour configurer SBD avec Pacemaker, un dispositif de surveillance fonctionnel est nécessaire. Cette version supporte la pcs stonith sbd watchdog listcommande pour lister les périphériques Watchdog disponibles sur le nœud local, et la pcs stonith sbd watchdog testcommande pour tester un périphérique Watchdog. Pour plus d'informations sur l'outil en ligne de sbdcommande, voir la page de manuel sbd(8).

(BZ#1578891)

La pcscommande supporte maintenant le filtrage des défaillances de ressources par une opération et son intervalle

Pacemaker suit désormais les défaillances de ressources par opération de ressource sur le nom d'une ressource et un nœud. La pcs resource failcount showcommande permet maintenant de filtrer les échecs par une ressource, un nœud, une opération et un intervalle. Il permet d'afficher les défaillances agrégées par ressource et par nœud ou détaillées par ressource, nœud, opération et son intervalle. De plus, la pcs resource failcount resetcommande permet maintenant de filtrer les échecs par une ressource, un nœud, une opération et un intervalle.

(BZ#1591308)

Horodatage activé dans le corosyncjournal

Le corosyncjournal ne contenait pas auparavant d'horodatage, ce qui le rendait difficile à relier aux journaux d'autres nœuds et démons. Avec cette version, les horodatages sont présents dans le corosyncjournal.

(BZ#1615420)

Nouveaux formats pour pcs cluster setuples pcs cluster node removecommandes, pcs cluster node addet

Dans Red Hat Enterprise Linux 8, prend pcsentièrement en charge Corosync 3 et les noms de nœudsknet. Les noms de nœuds sont maintenant requis et remplacent les adresses de nœuds dans le rôle d'identificateur de nœuds. Les adresses des nœuds sont maintenant facultatives.

Dans la pcs host authcommande, les adresses par défaut des nœuds sont les noms de nœuds
Dans les commandes pcs cluster setupetpcs cluster node add, les adresses de nœud par défaut sont celles spécifiées dans la pcs host authcommande.

Avec ces changements, les formats des commandes pour configurer un cluster, ajouter un noeud à un cluster et supprimer un noeud d'un cluster ont changé. Pour plus d'informations sur ces nouveaux formats de commandes, reportez-vous à l'affichage de l'aide pour les pcs cluster node removecommandespcs cluster setup, pcs cluster node addet.

(BZ#1158816)

Stimulateur cardiaque 2.0.0 dans RHEL 8

Les pacemakerpaquets ont été mis à jour vers la version amont de Pacemaker 2.0.0, qui fournit un certain nombre de corrections de bogues et d'améliorations par rapport à la version précédente :

Le protocole détaillé de Pacemaker est maintenant /var/log/pacemaker/pacemaker.logpar défaut (pas directement dans /var/logou combiné avec le corosyncprotocole sous /var/log/cluster).
Les processus du démon Pacemaker ont été renommés pour rendre la lecture des logs plus intuitive. Par exemple, penginea été renommé en pacemaker-schedulerd.
La prise en charge des propriétés obsolètes default-resource-stickinesset des propriétés de is-managed-defaultcluster a été supprimée. Les is-managedpropriétés resource-stickinesset et doivent être définies dans les valeurs par défaut des ressources à la place. Les configurations existantes (bien qu'elles ne soient pas nouvellement créées) avec la syntaxe obsolète seront automatiquement mises à jour pour utiliser la syntaxe prise en charge.
Une liste plus complète des changements est disponible à l'adresse suivante : https://access.redhat.com/articles/3681151.

Il est recommandé aux utilisateurs qui mettent à niveau un cluster existant à l'aide de Red Hat Enterprise Linux 7 ou d'une version antérieure de s'exécuter pcs cluster cib-upgradesur n'importe quel nœud de cluster avant et après la mise à niveau RHEL sur tous les nœuds de cluster.

(BZ#1543494)

Ressources principales renommées en ressources de clone promotable

Red Hat Enterprise Linux (RHEL) 8 prend en charge Pacemaker 2.0, dans lequel une ressource maître/esclave n'est plus un type de ressource séparé mais une ressource clone standard avec un promotablemétaattribut défini à true. Les changements suivants ont été mis en œuvre à l'appui de cette mise à jour :

Il n'est plus possible de créer des ressources maître avec la pcscommande. Au lieu de cela, il est possible de créer des ressources de promotableclonage. Les mots-clés et les commandes associées ont été changés de masterpromotable.
Toutes les ressources de base existantes sont affichées en tant que ressources de clonage pouvant faire l'objet d'une promotion.
Lors de la gestion d'un cluster RHEL7 dans l'interface utilisateur Web, les ressources maître sont toujours appelées maître, car les clusters RHEL7 ne supportent pas les clones promotables.

(BZ#1542288)

Nouvelles commandes d'authentification des nœuds d'un cluster

Red Hat Enterprise Linux (RHEL) 8 incorpore les modifications suivantes aux commandes utilisées pour authentifier les nœuds dans un cluster.

La nouvelle commande d'authentification est pcs host auth. Cette commande permet aux utilisateurs de spécifier les noms d'hôtes, adresses et pcsdports.
La pcs cluster authcommande n'authentifie que les nœuds d'un cluster local et n'accepte pas une liste de nœuds
Il est maintenant possible de spécifier une adresse pour chaque nœud, pcspuis depcsd communiquer avec chaque nœud en utilisant l'adresse spécifiée. Ces adresses peuvent être différentes de celles corosyncutilisées en interne.
La pcs pcsd clear-authcommande a été remplacée par les commandes pcs pcsd deauthetpcs host deauth. Les nouvelles commandes permettent aux utilisateurs de désauthentifier un seul hôte ainsi que tous les hôtes.
Auparavant, l'authentification des nœuds était bidirectionnelle, et l'exécution de la pcs cluster authcommande permettait d'authentifier tous les nœuds spécifiés les uns par rapport aux autres. La pcs host authcommande, cependant, fait en sorte que seul l'hôte local soit authentifié par rapport aux nœuds spécifiés. Cela permet de mieux contrôler quel nœud est authentifié par rapport à quels autres nœuds lors de l'exécution de cette commande. Sur la configuration du cluster elle-même, et aussi lors de l'ajout d'un nœud, synchronise pcsautomatiquement les jetons sur le cluster, de sorte que tous les nœuds du cluster sont toujours automatiquement authentifiés comme auparavant et les nœuds du cluster peuvent communiquer entre eux.

Notez que ces changements ne sont pas rétrocompatibles. Les nœuds qui ont été authentifiés sur un système RHEL 7 devront l'être à nouveau.

(BZ#1549535)

Les pcscommandes prennent désormais en charge l'affichage, le nettoyage et la synchronisation de l'historique des clôtures

Le démon de clôture de Pacemaker suit un historique de toutes les actions de clôture prises (en attente, réussies ou non). Avec cette version, les pcscommandes permettent aux utilisateurs d'accéder à l'historique des clôtures de la manière suivante :

La pcs statuscommande affiche les actions d'escrime échouées et en attente
La pcs status --fullcommande affiche l'historique complet de l'escrime
La pcs stonith historycommande offre des options pour afficher et nettoyer l'historique des clôtures
Bien que l'historique des clôtures soit synchronisé automatiquement, la pcs stonith historycommande supporte maintenant une updateoption qui permet à l'utilisateur de synchroniser manuellement l'historique des clôtures si nécessaire

(BZ#1620190, BZ#1615891)

4.13. Mise en réseau (traduction automatique)

nftables remplace iptablespar défaut le cadre de filtrage de paquets réseau

Le nftablescadre fournit des fonctions de classification des paquets et il est le successeur désigné des outils et des ebtablesoutilsiptablesip6tables.arptables Il offre de nombreuses améliorations en termes de commodité, de fonctionnalités et de performances par rapport aux outils de filtrage de paquets précédents, notamment :

tables de consultation au lieu d'un traitement linéaire
un cadre unique à la fois pour le protocole IPv4et les IPv6protocoles
toutes les règles sont appliquées de manière atomique au lieu d'extraire, de mettre à jour et de stocker un jeu de règles complet
support du débogage et du traçage dans le jeu de règles (nftrace) et de la surveillance des événements de traçage (dans l'nftoutil)
syntaxe plus cohérente et compacte, pas d'extensions spécifiques au protocole
une API Netlink pour les applications tierces

Comme pour iptablesles tables d'nftablesutilisation pour le stockage des chaînes. Les chaînes contiennent des règles individuelles pour l'exécution des actions. L'nftoutil remplace tous les outils des frameworks de filtrage de paquets précédents. La libnftablesbibliothèque peut être utilisée pour une interaction de bas niveau avec l'API nftablesNetlink sur la libmnlbibliothèque.

Les iptablesarptablesoutils ip6tables,, ebtableset, sont remplacés par des outils de remplacement de type"drop-in" basés sur nftables et portant le même nom. Bien que le comportement externe soit identique à celui de leurs homologues existants, ils l'utilisent nftablesen interne avec les modules du netfilternoyau existants via une interface de compatibilité si nécessaire.

L'effet des modules sur le nftablesjeu de règles peut être observé en utilisant la nft list rulesetcommande. Comme ces outils ajoutent des tables, des chaînes et des règles au jeu nftablesde règles, sachez que les opérations de nftablesjeu de règles, telles que la nft flush rulesetcommande, peuvent affecter les jeux de règles installés à l'aide des commandes héritées auparavant séparées.

Pour identifier rapidement quelle variante de l'outil est présente, les informations de version ont été mises à jour pour inclure le nom du back-end. Dans RHEL 8, l'outil basé sur iptablesnftables imprime la chaîne de version suivante :

$ iptables --version
iptables v1.8.0 (nf_tables)

Pour comparaison, les informations de version suivantes sont imprimées si l'iptablesoutil existant est présent :

$ iptables --version
iptables v1.8.0 (legacy)

(BZ#1644030)

Fonctions TCP notables dans RHEL 8

Red Hat Enterprise Linux 8 est distribué avec la pile réseau TCP version 4.16, qui offre de meilleures performances, une meilleure évolutivité et plus de stabilité. Les performances sont améliorées, en particulier pour les serveurs TCP occupés avec un taux d'entrée de connexion élevé.

De plus, deux nouveaux algorithmes de congestion TCP, BBRetNV, sont disponibles, offrant une latence plus faible et un meilleur débit que le cubique dans la plupart des scénarios.

(BZ#1562998)

firewalld utilise nftablespar défaut

Avec cette mise à jour, le sous-système de nftablesfiltrage est le pare-feu par défaut pour le firewallddémon. Pour modifier le backend, utilisez l'FirewallBackendoption dans le /etc/firewalld.conffichier.

Ce changement introduit les différences de comportement suivantes lors de l'utilisation nftablesde :

iptables les exécutions de règles ont toujours lieu avant firewalldles règles
- DROP in iptablessignifie qu'un paquet n'est jamais vu par firewalld
- ACCEPT in iptablessignifie qu'un paquet est toujours soumis à des firewalldrègles
firewalld les règles directes sont toujours implémentées alors iptablesque d'autres firewalldfonctionnalités utilisent nftables
l'exécution directe de la règle a lieu avant l'acceptation firewalldgénérique des connexions établies

(BZ#1509026)

Changement notable dans wpa_supplicantRHEL 8

Dans Red Hat Enterprise Linux (RHEL) 8, le wpa_supplicantpaquet est construit avec CONFIG_DEBUG_SYSLOGactivé. Cela permet de lire le wpa_supplicantjournal à l'aide de l'journalctlutilitaire au lieu de vérifier le contenu du /var/log/wpa_supplicant.logfichier.

(BZ#1582538)

NetworkManager supporte maintenant les fonctions virtuelles SR-IOV

Dans Red Hat Enterprise Linux 8.0, NetworkManager permet de configurer le nombre de fonctions virtuelles (VF) pour les interfaces qui prennent en charge la virtualisation des E/S mono-root (SR-IOV). En outre, NetworkManager permet de configurer certains attributs des VF, tels que l'adresse MAC, le VLAN, le spoof checkingréglage et les débits binaires autorisés. Notez que toutes les propriétés relatives au SR-IOV sont disponibles dans le paramètre de sriovconnexion. Pour plus de détails, voir la page de nm-settings(5)manuel.

(BZ#1555013)

Les pilotes réseau virtuels IPVLAN sont désormais pris en charge

Dans Red Hat Enterprise Linux 8.0, le noyau prend en charge les pilotes réseau virtuels IPVLAN. Avec cette mise à jour, les cartes d'interface réseau virtuelles IPVLAN (NIC) permettent la connectivité réseau pour plusieurs conteneurs exposant une seule adresse MAC au réseau local. Cela permet à un seul hôte d'avoir un grand nombre de conteneurs surmontant la limitation possible du nombre d'adresses MAC prises en charge par l'équipement de réseautage pair.

(BZ#1261167)

NetworkManager prend en charge une correspondance de nom d'interface wildcard pour les connexions

Auparavant, il était possible de restreindre une connexion à une interface donnée en utilisant seulement une correspondance exacte sur le nom de l'interface. Avec cette mise à jour, les connexions ont une nouvelle match.interface-namepropriété qui supporte les caractères génériques. Cette mise à jour permet aux utilisateurs de choisir l'interface d'une connexion de manière plus flexible en utilisant un motif de caractères génériques.

(BZ#1555012)

Améliorations dans la pile réseau 4.18

Red Hat Enterprise Linux 8.0 inclut la pile réseau mise à niveau vers la version amont 4.18, qui fournit plusieurs correctifs et améliorations. Parmi les changements notables, mentionnons :

Introduction de nouvelles fonctions de déchargement, telles queUDP_GSO, et, pour certains pilotes de périphériques, GRO_HW.
Amélioration significative de l'évolutivité du protocole UDP (User Datagram Protocol).
Amélioration du code d'appel occupé générique.
Évolutivité améliorée pour le protocole IPv6.
Amélioration de l'évolutivité du code de routage.
Ajout d'un nouvel algorithme de planification de file d'attente d'émission par défaut,fq_codelqui améliore le délai de transmission.
Amélioration de l'évolutivité de certains algorithmes de planification des files d'attente d'émission. Par exemple, pfifo_fastest maintenant sans verrou.

(BZ#1562987)

Nouveaux outils à convertir iptablesen nftables

Cette mise à jour ajoute les outils iptables-translateet ip6tables-translatepour convertir les ip6tablesrègles existantes iptablesou les règles en règles équivalentes pour nftables. Notez que certaines extensions ne prennent pas en charge la traduction. Si une telle extension existe, l'outil imprime la règle non traduite préfixée par le #signe. Par exemple :

| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill
| nft # -A INPUT -j CHECKSUM --checksum-fill

De plus, les utilisateurs peuvent utiliser les outils iptables-restore-translateet ip6tables-restore-translatepour traduire un dump de règles. Notez qu'avant cela, les utilisateurs peuvent utiliser les commandes iptables-saveou ip6tables-savepour imprimer un dump des règles en cours. Par exemple :

| % sudo iptables-save >/tmp/iptables.dump
| % iptables-restore-translate -f /tmp/iptables.dump
| # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018
| add table ip nat
| ...

(BZ#1564596)

Nouvelles fonctionnalités ajoutées au VPN à l'aide de NetworkManager

Dans Red Hat Enterprise Linux 8.0, NetworkManager offre les nouvelles fonctionnalités suivantes au VPN :

Prise en charge du protocole Internet Key Exchange version 2 (IKEv2).
Ajouté quelques options Libreswan supplémentaires, telles que les rightidfragmentationoptions leftcert,narrowing,,,rekey, etc. Pour plus de détails sur les options prises en charge, voir la page de nm-settings-libreswanmanuel.
Mise à jour des chiffres par défaut. Cela signifie que lorsque l'utilisateur ne spécifie pas les chiffres, le plugin NetworkManager-libreswan permet à l'application Libreswan de choisir le chiffre par défaut du système. La seule exception est lorsque l'utilisateur sélectionne une configuration en mode agressif IKEv1. Dans ce cas, les valeurs ike = aes256-sha1;modp1536et eps = aes256-sha1sont transmises à Libreswan.

(BZ#1557035)

Un nouveau type de bloc de données, I-DATA ajouté au SCTP

Cette mise à jour ajoute un nouveau type de bloc de données et des programmateurs de flux au protocole SCTP (Stream Control Transmission Protocol)I-DATA. Auparavant, le SCTP envoyait les messages des utilisateurs dans le même ordre que celui dans lequel ils étaient envoyés par un utilisateur. Par conséquent, un gros message utilisateur SCTP bloquait tous les autres messages dans n'importe quel flux jusqu'à leur envoi complet. Lors de l'utilisation de I-DATAmorceaux, la zone Numéro de séquence de transmission (TSN) n'est pas surchargée. Par conséquent, SCTP peut maintenant programmer les flux de différentes manières et I-DATApermet l'entrelacement des messages utilisateur (RFC 8260). Notez que les deux pairs doivent supporter le type de I-DATAmorceau.

(BZ#1273139)

4.14. Sécurité (traduction automatique)

Le profil PCI-DSS du guide de sécurité SCAP s'aligne sur la version 3.2.1

Le SCAP Security Guideprojet fournit le profil PCI-DSS (Payment Card Industry Data Security Standard) pour Red Hat Enterprise Linux 8 et a été mis à jour pour s'aligner avec la dernière version PCI-DSS - 3.2.1.

(BZ#1618528)

OpenSSH est rebasé sur la version 7.8p1

Les opensshpaquets ont été mis à jour vers la version amont 7.8p1. Parmi les changements notables, mentionnons :

Suppression du support pour le SSH version 1protocole.
Suppression de la prise en charge du code d'authentification des hmac-ripemd160messages.
Suppression de la prise en charge des chiffres RC4 (arcfour).
Suppression de la prise en charge des Blowfishchiffres.
Suppression de la prise en charge des CASTchiffres.
Modifié la valeur par défaut de l'UseDNSoption en no.
Algorithmes à clé publique désactivés DSApar défaut.
Changement de la taille minimale du module pour les Diffie-Hellmanparamètres à 2048 bits.
Modification de la sémantique de l'option de ExposeAuthInfoconfiguration.
L'UsePrivilegeSeparation=sandboxoption est maintenant obligatoire et ne peut pas être désactivée.
Réglez la taille minimale de clé acceptée RSAà 1024 bits.

(BZ#1622511)

RSA-PSS est maintenant supporté dans OpenSC

Cette mise à jour ajoute la prise en charge du schéma de signature cryptographique RSA-PSS au pilote de carte à OpenSCpuce. Le nouveau schéma permet un algorithme cryptographique sécurisé requis pour le support TLS 1.3 dans le logiciel client.

(BZ#1595626)

Changements notables dans rsyslogRHEL 8

Les rsyslogpaquets ont été mis à jour vers la version amont 8.37.0, qui fournit de nombreuses corrections de bogues et améliorations par rapport aux versions précédentes. Les changements les plus notables sont les suivants :

Amélioration du traitement des messages internes de rsyslog ; possibilité de limiter leur débit ; possibilité de blocage corrigé.
Amélioration de la limitation du débit en général ; la source de spam est maintenant enregistrée.
Amélioration du traitement des messages surdimensionnés - l'utilisateur peut désormais définir comment les traiter dans le noyau et dans certains modules avec des actions séparées.
mmnormalize peuvent maintenant être incorporées dans le configfichier au lieu de créer des fichiers séparés pour elles.
L'utilisateur peut maintenant définir la chaîne de priorité GnuTLS imtcpqui permet un contrôle fin du cryptage.
Toutes configles variables, y compris les variables dans JSON, sont maintenant insensibles à la casse.
Diverses améliorations de la sortie PostgreSQL.
Ajout de la possibilité d'utiliser des variables shell pour contrôler configle traitement, comme le chargement conditionnel de fichiers de configuration supplémentaires, l'exécution d'instructions ou l'inclusion d'un texte dans config. Notez qu'une utilisation excessive de cette fonctionnalité peut rendre très difficile le débogage des problèmes avec rsyslog.
Les modes de création de fichiers à 4 chiffres peuvent maintenant être spécifiés dans config.
L'entrée RELP (Reliable Event Logging Protocol) ne peut désormais s'engager que sur une adresse spécifiée.
La valeur par défaut de l'enable.bodyoption de sortie de mail est maintenant alignée sur la documentation
L'utilisateur peut maintenant spécifier les codes d'erreur d'insertion qui doivent être ignorés dans la sortie MongoDB.
L'entrée TCP parallèle (pTCP) a maintenant l'arriéré configurable pour un meilleur équilibrage de charge.

(BZ#1613880)

Nouveau module rsyslog : omkafka

Pour activer les scénarios de stockage centralisé de données kafka, vous pouvez maintenant transférer les logs vers l'infrastructure kafka en utilisant le nouveau omkafkamodule.

(BZ#1542497)

libssh implémente SSH en tant que composant cryptographique central

Ce changement introduit libsshcomme composant cryptographique central dans Red Hat Enterprise Linux 8. La libsshbibliothèque implémente le protocole Secure SHell (SSH).

Notez que cela libsshn'est pas conforme à la politique de cryptage à l'échelle du système.

(BZ#1485241)

Le support PKCS #11 pour les cartes à puce et les HSM est maintenant cohérent dans tout le système

Avec cette mise à jour, l'utilisation de cartes à puce et de Hardware Security Modules (HSM) avec interface cryptographique PKCS #11 devient cohérente. Cela signifie que l'utilisateur et l'administrateur peuvent utiliser la même syntaxe pour tous les outils associés dans le système. Parmi les améliorations notables, mentionnons :

Prise en charge du schéma PKCS #11 Uniform Resource Identifier (URI) qui garantit une activation simplifiée des jetons sur les serveurs RHEL tant pour les administrateurs que pour les rédacteurs d'applications.
Une méthode d'enregistrement à l'échelle du système pour les cartes à puce et les HSM utilisant la technologie pkcs11.conf.
La prise en charge cohérente des HSM et des cartes à puce est disponible dans les applications NSS, GnuTLS et OpenSSL (via le openssl-pkcs11moteur).
Le serveur HTTP Apache (httpd) supporte désormais de manière transparente les HSMs.

Pour plus d'informations, voir la page de pkcs11.conf(5)manuel.

(BZ#1516741)

Les politiques cryptographiques à l'échelle du système sont appliquées par défaut

Crypto-policies est un composant de Red Hat Enterprise Linux 8, qui configure les sous-systèmes cryptographiques centraux, couvrant les protocoles TLS, IPSec, SSH, DNSSec et Kerberos. Il fournit un petit ensemble de règles que l'administrateur peut sélectionner à l'aide de la update-crypto-policiescommande.

La politique cryptographique à l'DEFAULTéchelle du système offre des paramètres sécurisés pour les modèles de menaces actuels. Il permet les protocoles TLS 1.2 et 1.3, ainsi que les protocoles IKEv2 et SSH2. Les clés RSA et les paramètres Diffie-Hellman sont acceptés si supérieurs à 2047 bits.

Voir l'Consistent security by crypto policies in Red Hat Enterprise Linux 8article sur le blog Red Hat et la page de update-crypto-policies(8)manuel pour plus d'informations.

(BZ#1591620)

Le guide de sécurité SCAP prend en charge OSPP 4.2

SCAP Security Guide fournit une version préliminaire du profil OSPP (Protection Profile for General Purpose Operating Systems) version 4.2 pour Red Hat Enterprise Linux 8. Ce profil reflète les contrôles de configuration obligatoires identifiés dans l'Annexe sur la configuration NIAP du Profil de protection des systèmes d'exploitation à usage général (Profil de protection version 4.2). SCAP Security Guide fournit des contrôles et des scripts automatisés qui permettent aux utilisateurs de répondre aux exigences définies dans le OSPP.

(BZ#1618518)

L'interface de ligne de commande OpenSCAP a été améliorée

Le mode verbeux est maintenant disponible dans tous oscaples modules et sous-modules. La sortie de l'outil a amélioré le formatage.

Les options obsolètes ont été supprimées pour améliorer la convivialité de l'interface en ligne de commande.

Les options suivantes ne sont plus disponibles :

--show oscap xccdf generate reporta été complètement supprimée.
--probe-root in oscap oval evala été enlevé. Il peut être remplacé par le réglage de la variable d'environnement, OSCAP_PROBE_ROOT.
--sce-results in oscap xccdf evala été remplacé par --check-engine-results
validate-xml a été supprimé des modules CPE, OVAL et XCCDF. Les validatesous-modules peuvent être utilisés pour valider le contenu SCAP par rapport aux schémas XML et XSD.
oscap oval list-probes a été supprimée, la liste des sondes disponibles peut être affichée à la oscap --versionplace.

OpenSCAP permet d'évaluer toutes les règles d'un benchmark XCCDF donné quel que soit le profil en utilisant --profile '(all)'.

(BZ#1618484)

Prise en charge d'un nouveau contrôle de permission de carte sur le mmapsyscall

L'autorisation SELinux mapa été ajoutée pour contrôler l'accès aux fichiers, répertoires, sockets, etc. mappés en mémoire. Cela permet à la politique SELinux d'empêcher l'accès direct en mémoire à divers objets du système de fichiers et de s'assurer que chacun de ces accès est revalidé.

(BZ#1592244)

SELinux supporte désormais systemd No New Privileges

Cette mise à jour introduit la capacité de nnp_nosuid_transitionpolitique qui permet les transitions de domaine SELinux sous (NNPNo New Privileges) ou nosuidsi nnp_nosuid_transitionelle est autorisée entre l'ancien et le nouveau contexte. Les selinux-policypaquets contiennent maintenant une stratégie pour les services système qui utilisent la fonction de NNPsécurité.

La règle suivante décrit l'autorisation de cette capacité pour un service :

   allow source_domain  target_type:process2 { nnp_transition nosuid_transition };

Par exemple :

   allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };

La politique de distribution contient maintenant aussi l'interface macro m4, qui peut être utilisée dans les politiques de sécurité SELinux pour les services qui utilisent cette init_nnp_daemon_domain()fonction.

(BZ#1594111)

SELinux supporte maintenant la getrlimitpermission dans la processclasse

Cette mise à jour introduit un nouveau contrôle d'accès SELinuxprocess:getrlimit, qui a été ajouté pour cette prlimit()fonction. Cela permet aux développeurs de stratégies SELinux de contrôler quand un processus tente de lire puis de modifier les limites de ressources d'un autre processus en utilisant l'process:setrlimitautorisation. Notez que SELinux n'empêche pas un processus de manipuler ses propres limites de ressources par prlimit(). Voir les pages de manuel prlimit(2)et getrlimit(2)pour plus d'informations.

(BZ#1549772)

Prise en charge de TLS 1.3 dans les bibliothèques cryptographiques

Cette mise à jour active Transport Layer Security (TLS) 1.3 par défaut dans toutes les principales cryptothèques back-end. Cela permet une faible latence à travers la couche de communication du système d'exploitation et améliore la confidentialité et la sécurité des applications en tirant parti des nouveaux algorithmes, tels que RSA-PSS ou X25519.

(BZ#1516728)

Nouvelles fonctionnalités dans OpenSCAPRHEL 8

La OpenSCAPsuite a été mise à jour vers la version amont 1.3.0, qui introduit de nombreuses améliorations par rapport aux versions précédentes. Les caractéristiques les plus notables incluent :

L'API et l'ABI ont été consolidés - les symboles mis à jour, obsolètes et/ou inutilisés ont été supprimés.
Les sondes ne sont pas exécutées comme des processus indépendants, mais comme des threads dans le oscapprocessus.
L'interface en ligne de commande a été mise à jour.
Python 2 les fixations ont été remplacées par Python 3des fixations.

(BZ#1614273)

La version 3.0 de la vérification remplace audispdla version 3.0 par la version auditd

Avec cette mise à jour, la fonctionnalité de audispda été déplacée vers auditd. En conséquence, les options de audispdconfiguration font désormais partie de auditd.conf. De plus, le plugins.drépertoire a été déplacé sous /etc/audit. L'état actuel auditdet ses plug-ins peuvent maintenant être vérifiés en exécutant la service auditd statecommande.

(BZ#1616428)

rsyslogimfile supporte maintenant les liens symboliques

Avec cette mise à jour, le module rsyslogimfile offre de meilleures performances et plus d'options de configuration. Ceci vous permet d'utiliser le module pour des cas d'utilisation plus complexes de surveillance de fichiers. Par exemple, vous pouvez maintenant utiliser des moniteurs de fichiers avec des motifs globes n'importe où le long du chemin configuré et faire pivoter les cibles symlink avec un débit de données accru.

(BZ#1614179)

La génération automatique des clés de OpenSSHserveur est maintenant gérée par sshd-keygen@.service

OpenSSH crée automatiquement les clés hôte de serveur RSA, ECDSA et ED25519 si elles manquent. Pour configurer la création de clé hôte dans RHEL 8, utilisez le service sshd-keygen@.serviceinstancié.

Par exemple, pour désactiver la création automatique du type de clé RSA :

# systemctl mask sshd-keygen@rsa.service

Voir le /etc/sysconfig/sshdfichier pour plus d'informations.

(BZ#1228088)

Le format de fichier de rsyslogconfiguration par défaut n'est plus l'ancien

Les fichiers de configuration dans les rsyslogpaquets utilisent maintenant par défaut le format non ancien. L'ancien format peut toujours être utilisé, mais le mélange des énoncés de configuration actuels et anciens comporte plusieurs contraintes. Les configurations reportées des versions précédentes du RHEL doivent être révisées. Voir la page de rsyslog.conf(5)manuel pour plus d'informations.

(BZ#1619645)

Nouveau SELinux booleans

Cette mise à jour de la politique système de SELinux introduit les booléens suivants :

colord_use_nfs
mysql_connect_http
pdns_can_network_connect_db
ssh_use_tcpd
sslh_can_bind_any_port
sslh_can_connect_any_port
virt_use_pcscd

Pour plus de détails, voir la sortie de la commande suivante :

# semanage boolean -l

(JIRA:RHELPLAN-10347)

4.15. Virtualisation (traduction automatique)

KVM prend en charge la pagination à 5 niveaux

Avec Red Hat Enterprise Linux 8, la virtualisation KVM prend en charge la fonction de pagination à 5 niveaux, qui augmente considérablement l'espace d'adressage physique et virtuel que les systèmes hôtes et invités peuvent utiliser.

(BZ#1485229)

KVM supporte UMIP dans RHEL 8

La virtualisation KVM prend désormais en charge la fonction User-Mode Instruction Prevention (UMIP), qui peut aider à empêcher les applications de l'espace utilisateur d'accéder aux paramètres du système. Cela réduit les vecteurs potentiels d'attaques d'escalade de privilèges, et rend ainsi l'hyperviseur KVM et ses machines invitées plus sûrs.

(BZ#1494651)

Informations supplémentaires dans les rapports de crash invités KVM

Les informations de crash que l'hyperviseur KVM génère si un invité se termine de manière inattendue ou ne réagit plus ont été développées. Cela facilite le diagnostic et la résolution des problèmes dans les déploiements de virtualisation KVM.

(BZ#1508139)

qemu-kvm 2.12 dans RHEL 8

Red Hat Enterprise Linux 8 est distribué avec la version 2qemu-kvm.12. Cette version corrige plusieurs bogues et ajoute un certain nombre d'améliorations par rapport à la version 1.5.3, disponible dans Red Hat Enterprise Linux 7.

Notamment, les caractéristiques suivantes ont été introduites :

Q35 type de machine invitée
Démarrage invité UEFI
Réglage NUMA et épinglage de l'invité
vCPU hot plug et hot unplug
enfilage des entrées/sorties des invités

Notez que certaines des fonctionnalités disponibles dans la version 2qemu-kvm.12 ne sont pas prises en charge par Red Hat Enterprise Linux 8. Pour plus d'informations, voir "Support des fonctionnalités et limitations de la virtualisation RHEL 8" sur le portail client Red Hat.

(BZ#1559240)

NVIDIA vGPU est maintenant compatible avec la console VNC

En utilisant la fonction GPU virtuel NVIDIA (vGPU), il est maintenant possible d'utiliser la console VNC pour afficher la sortie visuelle de l'invité.

(BZ#1497911)

Ceph est supporté par la virtualisation

Avec cette mise à jour, le stockage Ceph est supporté par la virtualisation KVM sur toutes les architectures CPU supportées par Red Hat.

(BZ#1578855)

Le type de machine Q35 est maintenant supporté par la virtualisation

Red hat Enterprise Linux 8 introduit la prise en charge de Q35, une machine plus moderne de type PCI Express. Cela permet d'améliorer les fonctionnalités et les performances des périphériques virtuels et de s'assurer qu'un plus grand nombre de périphériques modernes sont compatibles avec la virtualisation. En outre, les machines virtuelles créées dans Red Hat Enterprise Linux 8 sont configurées par défaut pour utiliser Q35.

Notez également que le type de machine PC par défaut est devenu obsolète et ne devrait être utilisé que lors de la virtualisation de systèmes d'exploitation plus anciens qui ne prennent pas en charge Q35.

(BZ#1599777)

Chargeur de démarrage interactif pour machines virtuelles sur IBM Z

Lors du démarrage d'une machine virtuelle (VM) sur un hôte IBM Z, le firmware du chargeur de démarrage QEMU présente désormais une interface console interactive. Cela permet de dépanner les problèmes de démarrage de l'OS invité sans accès à l'environnement hôte.

(BZ#1508137)

Le bac à sable QEMU a été ajouté

Dans Red Hat Enterprise Linux 8, l'émulateur QEMU introduit la fonction sandboxing. QEMU sandboxing fournit des limitations configurables à ce que les systèmes appelés QEMU peuvent exécuter, et rend ainsi les machines virtuelles plus sûres. Notez que cette fonction est activée et configurée par défaut.

(JIRA:RHELPLAN-10628)

Jeux d'instructions GFNI et CLDEMOT activés pour Intel Xeon SnowRidge

Les machines virtuelles (VM) fonctionnant dans un hôte RHEL 8 sur un système Intel Xeon SnowRidge peuvent désormais utiliser les jeux d'instructions GFNI et CLDEMOT. Dans certains scénarios, cela peut améliorer sensiblement les performances de ces machines virtuelles.

(BZ#1494705)

Un pilote de bloc basé sur VFIO pour les périphériques NVMe a été ajouté

L'émulateur QEMU introduit un pilote basé sur les E/S de fonctions virtuelles (VFIO) pour les périphériques NVMe (non-volatile memory express). Le pilote communique directement avec les périphériques NVMe connectés aux machines virtuelles (VM) et évite d'utiliser la couche système du noyau et ses pilotes NVMe. En conséquence, cela améliore les performances des périphériques NVMe dans les machines virtuelles.

(BZ#1519004)

Amélioration de la prise en charge des pages volumineuses

Lors de l'utilisation de RHEL 8 comme hôte de virtualisation, les utilisateurs peuvent modifier la taille des pages qui reculent la mémoire d'une machine virtuelle (VM) à toute taille prise en charge par le CPU. Cela peut améliorer considérablement les performances de la machine virtuelle.

Pour configurer la taille des pages de mémoire VM, modifiez la configuration XML de la VM et ajoutez l'élément <hugepages> dans la section <memoryBacking>.

(JIRA:RHELPLAN-14607)

4.16. Supportabilité (traduction automatique)

sosreport peut rapporter les programmes et les cartes basés sur eBPF

L'outil sosreport a été amélioré pour rapporter tous les programmes et cartes Berkeley Packet Filtering (eBPF) étendus chargés dans Red Hat Enterprise Linux 8.

(BZ#1559836)

Chapitre 5. Avant-premières technologiques (traduction automatique)

Cette partie fournit une liste de tous les aperçus technologiques disponibles dans Red Hat Enterprise Linux 8.0.

Pour plus d'informations sur l'étendue de la prise en charge des fonctions d'aperçu technologique de Red Hat, voir Technology Preview Features Support Scope.

5.1. Noyau (traduction automatique)

XDP disponible en tant qu'aperçu technologique

La fonction eXpress Data Path (XDP), disponible sous forme d'aperçu technologique, permet de télécharger des programmes Berkeley Packet Filter (BPF) pour le traitement de paquets haute performance dans le noyau, rendant le chemin de données réseau du noyau programmable.

(BZ#1503672)

eBPF disponible comme aperçu technologique

La fonction étendue de filtrage de paquets Berkeley (eBPF) est disponible sous forme d'aperçu technologique pour la mise en réseau et le traçage. eBPF permet à l'espace utilisateur d'attacher des programmes personnalisés à divers points (sockets, points de traçage, réception de paquets) pour recevoir et traiter des données. La fonctionnalité inclut un nouvel appel bpf()système, qui permet de créer différents types de cartes, et aussi d'insérer différents types de programmes dans le noyau. Voir la page de manuel bpf(2) pour plus d'informations.

(BZ#1559616)

BCC est disponible sous forme d'aperçu technologique

BPF Compiler Collection (BCC) est une boîte à outils d'espace utilisateur pour créer des programmes efficaces de traçage et de manipulation du noyau qui est disponible sous forme d'aperçu technologique dans Red Hat Enterprise Linux 8. BCCfournit des outils pour l'analyse des E/S, la mise en réseau et la surveillance des systèmes d'exploitation Linux à l'aide de la fonction extended Berkeley Packet Filtering (eBPF).

(BZ#1548302)

Control Group v2 disponible sous forme d'aperçu technologique dans RHEL 8

Le mécanisme du groupe de contrôle v2 est un groupe de contrôle hiérarchique unifié. Le Groupe de contrôle v2 organise les processus de façon hiérarchique et distribue les ressources du système le long de la hiérarchie d'une manière contrôlée et configurable.

Contrairement à la version précédente, le Groupe de contrôle v2 n'a qu'une seule hiérarchie. Cette hiérarchie unique permet au noyau Linux de :

Catégoriser les processus en fonction du rôle de leur propriétaire.
Éliminer les problèmes liés aux politiques conflictuelles de hiérarchies multiples.

Le groupe de contrôle v2 supporte de nombreux contrôleurs :

Le contrôleur CPU régule la distribution des cycles CPU. Ce contrôleur implémente :
- Modèles de limites de poids et de bande passante absolue pour une politique d'ordonnancement normale.
- Modèle absolu d'allocation de bande passante pour une politique d'ordonnancement en temps réel.
Le contrôleur de mémoire régule la répartition de la mémoire. Actuellement, les types suivants d'utilisation de mémoire sont suivis :
- Mémoire utilisateur - mémoire cache des pages et mémoire anonyme.
- Structures de données du noyau telles que les dentries et les inodes.
- Tampons de socket TCP.
Le contrôleur d'E/S régule la distribution des ressources d'E/S.
Le contrôleur de reprise interagit avec les contrôleurs de mémoire et d'E/S et est spécifique au groupe de contrôle v2.

L'information ci-dessus était basée sur le lien : https://www.kernel.org/doc/Documentation/cgroup-v2.txt. Vous pouvez vous référer au même lien pour obtenir plus d'informations sur les contrôleurs particuliers du groupe de contrôle v2.

(BZ#1401552)

early kdump disponible sous forme d'aperçu technologique dans Red Hat Enterprise Linux 8

Cette early kdumpfonctionnalité permet au noyau de crash et aux initramfs de se charger suffisamment tôt pour capturer l'vmcoreinformation même pour les premiers crashs. Pour plus de détailsearly kdump, voir le /usr/share/doc/kexec-tools/early-kdump-howto.txtfichier.

(BZ#1520209)

5.2. Systèmes de fichiers et stockage (traduction automatique)

VDO disponible sous forme de volume logique de type LVM

LVM peut maintenant être utilisé pour créer des volumes logiques de type Virtual Data Optimizer (VDO). VDO est un dispositif de bloc virtuel capable de compresser et de dédupliquer des données.

Il s'agit d'une fonction d'aperçu technologique.

(BZ#1643553)

Prise en charge du champ d'intégrité des données/de l'extension d'intégrité des données (DIF/DIX)

DIF/DIX est un ajout au standard SCSI. Il reste dans l'aperçu technologique pour tous les HBA et les baies de stockage, à l'exception de ceux qui sont spécifiquement répertoriés comme pris en charge.

DIF/DIX augmente la taille du bloc de disque de 512 octets communément utilisé de 512 à 520 octets, en ajoutant le Data Integrity Field (DIF). Le DIF enregistre une valeur de somme de contrôle pour le bloc de données qui est calculée par l'adaptateur de bus hôte (HBA) lorsqu'une écriture se produit. Le périphérique de stockage confirme ensuite la somme de contrôle à la réception et enregistre à la fois les données et la somme de contrôle. Inversement, lorsqu'une lecture a lieu, la somme de contrôle peut être vérifiée par le périphérique de stockage et par le HBA récepteur.

(BZ#1649493)

NVMe/FC est disponible sous forme d'aperçu technologique dans les adaptateurs Qlogic à l'aide de la commande qla2xxx

Le type de transport NVMe sur Fibre Channel (NVMe/FC) est disponible sous forme d'aperçu technologique dans les adaptateurs Qlogic en utilisant le qla2xxxpilote.

(BZ#1649922)

5.3. Haute disponibilité et clusters (traduction automatique)

Les bundles de stimulateurs podmancardiaques sont disponibles sous forme de prévisualisation technologique

Les faisceaux de conteneurs Pacemaker s'exécutent désormais sur la plate-forme de podmanconteneurs, la fonction de faisceaux de conteneurs étant disponible sous la forme d'un aperçu technologique. Il y a une exception à cette fonctionnalité : l'aperçu technologique : Red Hat supporte pleinement l'utilisation des bundles Pacemaker pour Red Hat Openstack.

(BZ#1619620)

5.4. Sécurité (traduction automatique)

Étiquette SWID de la version RHEL 8.0

Pour permettre l'identification des installations RHEL 8.0 à l'aide du mécanisme ISO/IEC 19770-2:2015, des étiquettes d'identification logicielle (SWID) sont installées dans les fichiers /usr/lib/swidtag/redhat.com/com.redhat.RHEL-8-<architecture>.swidtaget/usr/lib/swidtag/redhat.com/com.redhat.RHEL-8.0-<architecture>.swidtag. Le répertoire parent de ces balises peut également être trouvé en suivant le lien /etc/swid/swidtags.d/redhat.comsymbolique.

La signature XML des fichiers de balises SWID peut être vérifiée à l'aide de la xmlsec1 verifycommande, par exemple :

xmlsec1 verify --trusted-pem /etc/pki/swid/CA/redhat.com/redhatcodesignca.cert /usr/share/redhat.com/com.redhat.RHEL-8-x86_64.swidtag

Le certificat de l'autorité de certification signataire du code peut également être obtenu à partir de la Product Signing Keyspage sur le Portail Client.

(BZ#1636338)

5.5. Virtualisation (traduction automatique)

AMD SEV pour les machines virtuelles KVM

En tant qu'aperçu technologique, RHEL 8 présente la fonction de virtualisation cryptée sécurisée (SEV) pour les machines hôtes AMD EPYC qui utilisent l'hyperviseur KVM. S'il est activé sur une machine virtuelle (VM), SEV crypte la mémoire VM afin que l'hôte ne puisse pas accéder aux données sur la VM. Cela augmente la sécurité de la machine virtuelle si l'hôte est infecté avec succès par un logiciel malveillant.

Notez que le nombre de machines virtuelles qui peuvent utiliser cette fonctionnalité à la fois sur un seul hôte est déterminé par le matériel hôte. Les processeurs AMD EPYC actuels prennent en charge 15 machines virtuelles ou moins utilisant SEV.

(BZ#1501618, BZ#1501607)

La virtualisation imbriquée maintenant disponible sur IBM POWER 9

En tant qu'aperçu technologique, il est maintenant possible d'utiliser les fonctions de virtualisation imbriquées sur les machines hôtes RHEL 8 fonctionnant sur les systèmes IBM POWER 9. La virtualisation imbriquée permet aux machines virtuelles KVM (VM) d'agir comme des hyperviseurs, ce qui permet d'exécuter des VM dans les VM.

Notez que pour que la virtualisation imbriquée fonctionne sur IBM POWER 9, l'hôte, l'invité et les invités imbriqués doivent tous exécuter un des OS suivants :

RHEL 8
RHEL 7 pour POWER 9

(BZ#1505999)

Chapitre 6. Fonctionnalité obsolète (traduction automatique)

Cette partie fournit un aperçu des fonctionnalités obsolètes de Red Hat Enterprise Linux 8.0.

Les fonctionnalités obsolètes continuent d'être prises en charge jusqu'à la fin de la vie de Red Hat Enterprise Linux 8. Les fonctionnalités obsolètes ne seront probablement pas prises en charge dans les futures versions majeures de ce produit et ne sont pas recommandées pour les nouveaux déploiements. Pour obtenir la liste la plus récente des fonctionnalités obsolètes d'une version majeure particulière, reportez-vous à la dernière version de la documentation des versions.

Les composants matériels obsolètes ne sont pas recommandés pour les nouveaux déploiements sur les versions majeures actuelles ou futures. Les mises à jour des pilotes matériels sont limitées à la sécurité et aux correctifs critiques uniquement. Red Hat recommande de remplacer ce matériel dès que cela est raisonnablement possible.

Un emballage peut être obsolète et ne pas être recommandé pour une utilisation ultérieure. Dans certaines circonstances, un emballage peut être retiré d'un produit. La documentation du produit identifie ensuite les paquets plus récents qui offrent des fonctionnalités similaires, identiques ou plus avancées que celles qui sont obsolètes, et fournit des recommandations supplémentaires.

6.1. Installateur et création d'images (traduction automatique)

L'--interactiveoption de la commande ignorediskKickstart est obsolète

L'utilisation --interactive optiondes futures versions de Red Hat Enterprise Linux entraînera une erreur d'installation fatale. Il est recommandé de modifier votre fichier Kickstart pour supprimer cette option.

(BZ#1637872)

6.2. Systèmes de fichiers et stockage (traduction automatique)

NFSv3 sur UDP a été désactivé

Par défaut, le serveur NFS ne s'ouvre plus ou n'écoute plus sur une prise UDP (User Datagram Protocol). Ce changement n'affecte que la version 3 de NFS car la version 4 nécessite le protocole TCP (Transmission Control Protocol).

NFS sur UDP n'est plus supporté dans RHEL 8.

(BZ#1592011)

Le mode cible NVM/FC est obsolète

Le mode cible du protocole de transport NVMe/FC (Nonvolatile Memory Express over Fibre Channel) était auparavant disponible sous forme d'aperçu technologique dans RHEL 7. Dans RHEL 8, le mode cible NVMe/FC est obsolète.

L'activation des ports de l'adaptateur de bus hôte FC (HBA) en mode cible NVMe entraîne le message d'erreur suivant :

Warning: NVMe over FC Target - This driver has not undergone sufficient testing by Red Hat for this release and therefore cannot be used in production systems.

(BZ#1664838)

6.3. Mise en réseau (traduction automatique)

Les scripts réseau sont obsolètes dans RHEL 8

Les scripts réseau sont obsolètes dans Red Hat Enterprise Linux 8 et ne sont plus fournis par défaut. L'installation de base fournit une nouvelle version des scripts ifupet ifdownqui appellent le service NetworkManager via l'outil nmcli. Dans Red Hat Enterprise Linux 8, pour exécuter les ifdownscripts ifupet les scripts, NetworkManager doit être exécuté.

Notez que les commandes personnalisées dans/sbin/ifup-local, ifdown-pre-localet les ifdown-localscripts ne sont pas exécutées.

Si l'un de ces scripts est nécessaire, l'installation des scripts réseau obsolètes dans le système est toujours possible avec la commande suivante :

~]# yum install network-scripts

Les scripts ifupet ifdownet sont liés aux scripts réseau hérités installés.

L'appel des anciens scripts réseau affiche un avertissement concernant leur obsolescence.

(BZ#1647725)

6.4. Sécurité (traduction automatique)

DSA est obsolète dans Red Hat Enterprise Linux 8

L'algorithme de signature numérique (DSA) est considéré comme obsolète dans Red Hat Enterprise Linux 8. Les mécanismes d'authentification qui dépendent des clés DSA ne fonctionnent pas dans la configuration par défaut. Notez que les OpenSSHclients n'acceptent pas les clés hôte DSA même dans la politique LEGACY.

(BZ#1646541)

SSL2Client Hello a été déprécié dans le SNRS

Le protocole TLS (Transport Layer Security) version 1.2 et antérieures permet d'entamer une négociation avec un Client Hellomessage formaté de manière rétrocompatible avec la version 2 du protocole SSL (Secure Sockets Layer). La prise en charge de cette fonctionnalité dans la bibliothèque Network Security Services (NSS) a été obsolète et est désactivée par défaut.

Les applications qui nécessitent le support de cette fonctionnalité doivent utiliser la nouvelle SSL_ENABLE_V2_COMPATIBLE_HELLOAPI pour l'activer. La prise en charge de cette fonctionnalité peut être complètement supprimée dans les prochaines versions de Red Hat Enterprise Linux 8.

(BZ#1645153)

6.5. Virtualisation (traduction automatique)

Les snapshots de machines virtuelles ne sont pas correctement pris en charge dans RHEL 8

Le mécanisme actuel de création d'instantanés de machines virtuelles (VM) a été déprécié, car il ne fonctionne pas de manière fiable. En conséquence, il est recommandé de ne pas utiliser les snapshots VM dans RHEL 8.

Notez qu'un nouveau mécanisme d'instantané de VM est en cours de développement et sera entièrement mis en œuvre dans une future version mineure de RHEL 8.

(BZ#1686057)

Le type de GPU virtuel Cirrus VGA a été déprécié

Avec une future mise à jour majeure de Red Hat Enterprise Linux, le GPU Cirrus VGA ne sera plus supporté dans les machines virtuelles KVM. Par conséquent, Red Hat recommande d'utiliser les périphériques stdvga, virtio-vga ou qxl au lieu de Cirrus VGA.

(BZ#1651994)

virt-manager a été déprécié

L'application Virtual Machine Manager, également connue sous le nom de virt-manager, a été dépréciée. La console web RHEL 8, également connue sous le nom de Cockpit, est destinée à être remplacée dans une version ultérieure. Il est donc recommandé d'utiliser la console Web pour gérer la virtualisation dans une interface graphique. Toutefois, dans Red Hat Enterprise Linux 8.0, certaines fonctionnalités ne sont accessibles qu'à partir du gestionnaire de virus ou de la ligne de commande.

(JIRA:RHELPLAN-10304)

Chapitre 7. Problèmes connus (traduction automatique)

Cette partie décrit les problèmes connus de Red Hat Enterprise Linux 8.

7.1. Installateur et création d'images (traduction automatique)

Les commandes authet authconfigKickstart nécessitent le dépôt AppStream

Le authselect-compatpaquet est requis par les commandes authet authconfigKickstart lors de l'installation. Sans ce paquet, l'installation échoue si authou authconfigsont utilisés. Cependant, de par sa conception, le authselect-compatpaquet n'est disponible que dans le dépôt AppStream.

Pour contourner ce problème, vérifiez que les référentiels BaseOS et AppStream sont disponibles pour l'installateur ou utilisez la commande authselectKickstart pendant l'installation.

(BZ#1640697)

Copier le contenu du Binary DVD.isofichier sur une partition omet les fichiers .treeinfoet.discinfo

Lors de la copie du contenu du fichier image DVD.iso binaire RHEL 8.0 sur une partition pour une installation locale, l'astérisque " * " de la commande cp <path>/\* <mounted partition>/dirne copie pas les fichiers .treeinfoet, .discinfoqui sont nécessaires pour une installation réussie. Par conséquent, les référentiels BaseOS et AppStream ne sont pas chargés, et un message de journal de débogage dans le anaconda.logfichier est le seul enregistrement du problème.

Pour contourner le problème, copiez les fichiers manquants .treeinfoet .discinfoles fichiers sur la partition.

(BZ#1692746)

7.2. Noyau (traduction automatique)

Le module i40iw ne se charge pas automatiquement au démarrage

En raison du fait que beaucoup de cartes réseau i40e ne supportent pas iWarp et que le module i40iw ne supporte pas complètement la suspension/reprise, ce module n'est pas automatiquement chargé par défaut pour assurer que la suspension/reprise fonctionne correctement. Pour contourner ce problème, modifiez manuellement le /lib/udev/rules.d/90-rdma-hw-modules.rulesfichier pour activer le chargement automatique de i40iw.

Notez également que si un autre dispositif RDMA est installé avec un dispositif i40e sur la même machine, le dispositif RDMA non i40e déclenche le service rdma, qui charge tous les modules de pile RDMA actifs, y compris le module i40iw.

(BZ#1623712)

Le système devient parfois insensible lorsque de nombreux appareils sont connectés

Lorsque Red Hat Enterprise Linux 8 configure un grand nombre de périphériques, un grand nombre de messages de console apparaît sur la console système. Cela se produit, par exemple, lorsqu'il y a un grand nombre de numéros d'unités logiques (LUN), avec plusieurs chemins vers chaque LUN. L'afflux de messages de la console, en plus d'autres travaux effectués par le noyau, peut forcer le chien de garde du noyau à forcer une panique du noyau car le noyau semble être accroché.

Comme l'analyse a lieu au début du cycle de démarrage, le système ne réagit plus lorsque de nombreux périphériques sont connectés. Ceci se produit généralement au démarrage.

Si kdumpcette option est activée sur votre machine pendant l'événement de numérisation du périphérique après le démarrage, le verrouillage dur entraîne la capture d'une vmcoreimage.

Pour contourner ce problème, augmentez la minuterie de verrouillage du chien de garde. Pour ce faire, ajoutez l'watchdog_thresh=Noption à la ligne de commande du noyau. Remplacer Npar le nombre de secondes :

Si vous avez moins d'un millier d'appareils, utilisez 30.
Si vous avez plus d'un millier d'appareils, utilisez 60.

Pour le stockage, le nombre de périphériques est le nombre de chemins d'accès à tous les LUN : généralement, le nombre de /dev/sd*périphériques.

Après l'application de la solution de contournement, le système ne devient plus insensible lors de la configuration d'un grand nombre de périphériques.

(BZ#1598448)

Le KSM ignore parfois les polivies de mémoire NUMA

Lorsque la fonction de mémoire partagée du noyau (KSM) est activée avec le paramètre "merge_across_nodes=1", KSM ignore les politiques de mémoire définies par la fonction mbind(), et peut fusionner des pages de certaines zones mémoire vers des noeuds NUMA (Non-Uniform Memory Access) qui ne correspondent pas aux politiques.

Pour contourner ce problème, désactivez KSM ou réglez le paramètre merge_across_nodes à "0" si vous utilisez la liaison mémoire NUMA avec QEMU. Par conséquent, les politiques de mémoire NUMA configurées pour la VM KVM fonctionneront comme prévu.

(BZ#1153521)

7.3. Gestion du logiciel (traduction automatique)

Exécuter yum listsous un utilisateur non root provoque un crash YUM

Lors de l'exécution de la yum listcommande sous un utilisateur non root après la mise à jour du libdnfpaquet, YUM peut se terminer de manière inattendue. Si vous rencontrez ce bogue, exécutez yum listsous root pour résoudre le problème. Par conséquent, les tentatives ultérieures d'exécution yum listsous un utilisateur non root ne causent plus de crash YUM.

(BZ#1642458)

La page de yum(8)manuel mentionne incorrectement la yum module profilecommande

La page de yum(8)manuel indique incorrectement que l'outil de gestion des paquets YUM inclut la yum module profilecommande pour fournir des détails sur les profils des modules. Cependant, cette commande n'est plus disponible et lorsqu'elle est utilisée, YUM affiche un message d'erreur concernant une commande invalide. Pour plus de détails sur les profils de module, utilisez plutôt la nouvelle yum module info --profilecommande.

(BZ#1622580)

yum-plugin-aliases actuellement non disponible

Le yum-plugin-aliasespaquet, qui fournit la aliascommande pour ajouter des alias yum personnalisés, n'est actuellement pas disponible. Par conséquent, il n'est actuellement pas possible d'utiliser des alias.

(BZ#1647760)

yum-plugin-changelog actuellement non disponible

Le yum-plugin-changelogpaquet, qui permet de visualiser les journaux des changements de paquets avant et après la mise à jour du paquet, n'est actuellement pas disponible.

(BZ#1581191)

7.4. Services d'infrastructure (traduction automatique)

Réglé ne définit pas les paramètres de la ligne de commande de démarrage du noyau

L'outil Tuned ne prend pas en charge la spécification BLS (Boot Loader Specification), qui est activée par défaut. Par conséquent, Tuned ne définit pas certains paramètres de ligne de commande de démarrage du noyau, ce qui cause certains problèmes, tels que la diminution des performances ou le fait que les cœurs du CPU ne sont pas isolés. Pour contourner ce problème, désactivez le BLS et redémarrez Tuned.

Installez l'emballage grubby.
Supprimez la ligne suivante du /etc/default/grubfichier :
```
GRUB_ENABLE_BLSCFG=true
```

Re-générer le grub2.cfgfichier en exécutant pour les systèmes non-EFI :

grub2-mkconfig -o /etc/grub2.cfg

ou pour les systèmes EFI :

grub2-mkconfig -o /etc/grub2-efi.cfg

Redémarrer Tuned en cours d'exécution :
```
systemctl restart tuned
```

En conséquence, Tuned définit les paramètres de démarrage du noyau comme prévu.

(BZ#1576435)

7.5. Shells et outils de ligne de commande (traduction automatique)

Python la reliure du net-snmppaquet n'est pas disponible

La Net-SNMPsuite d'outils ne fournit pas de liaison pourPython 3, qui est l'implémentation par défaut Pythondans RHEL 8. Par conséquent, python-net-snmp,python2-net-snmp, ou les python3-net-snmppackages ne sont pas disponibles dans RHEL 8.

(BZ#1584510)

7.6. Langages de programmation dynamiques, serveurs web et de bases de données (traduction automatique)

Les serveurs de base de données ne peuvent pas être installés en parallèle

Les modules mariadbet mysqlet ne peuvent pas être installés en parallèle dans RHEL 8.0 en raison de paquets RPM conflictuels.

De par sa conception, il est impossible d'installer plus d'une version (stream) d'un même module en parallèle. Par exemple, vous devez choisir un seul des flux disponibles dans le postgresqlmodule, soit (par défaut10), soit 9.6. L'installation parallèle de composants est possible dans Red Hat Software Collections pour RHEL 6 et RHEL 7. Dans RHEL 8, différentes versions de serveurs de bases de données peuvent être utilisées dans des conteneurs.

(BZ#1566048)

Problèmes d'mod_cgidenregistrement

Si le module mod_cgidApache httpd est utilisé sous un module multiprocesseur threadé (MPM), qui est la situation par défaut dans RHEL 8, les problèmes de journalisation suivants apparaissent :

La stderrsortie du script CGI n'est pas préfixée par des informations d'horodatage standard.
La stderrsortie du script CGI n'est pas correctement redirigée vers un fichier journal spécifique au fichierVirtualHost, si configuré.

(BZ#1633224)

Le module IO::Socket::SSLPerl ne supporte pas TLS 1.3

De nouvelles fonctionnalités du protocole TLS 1.3, telles que la reprise de session ou l'authentification post-Handshake, ont été implémentées dans la OpenSSLbibliothèque RHEL 8 mais pas dans le module Net::SSLeayPerl, et ne sont donc pas disponibles dans le module IO::Socket::SSLPerl. Par conséquent, l'authentification par certificat client peut échouer et le rétablissement des sessions peut être plus lent qu'avec le protocole TLS 1.2.

Pour contourner ce problème, désactivez l'utilisation de TLS 1.3 en définissant l'SSL_versionoption à la !TLSv1_3valeur lors de la création d'un IO::Socket::SSLobjet.

(BZ#1632600)

7.7. Gestion de l'identité (traduction automatique)

Le cache d'informations d'identification KCM n'est pas adapté à un grand nombre d'informations d'identification dans un seul cache d'informations d'identification

Si le cache des informations d'identification contient trop d'informations d'identification, les opérations Kerberos, telles que kinit, échouent en raison d'une limite en code dur sur le tampon utilisé pour transférer les données entre le composant sssd-kcm et la base de données sous-jacente.

Pour contourner ce problème, ajoutez l'ccache_storage = memoryoption dans la section kcm du /etc/sssd/sssd.conffichier. Ceci demande au répondeur kcm de ne stocker que les caches d'informations d'identification en mémoire, pas de façon persistante. Si vous faites cela, redémarrez le système ou sssd-kcm efface les caches d'informations d'identification. Notez que KCM peut gérer des tailles de cache ccache allant jusqu'à 64 kB.

(BZ#1448094)

Des valeurs de délai d'attente conflictuelles empêchent la DSSS de se connecter aux serveurs

Certaines des valeurs de délai d'attente par défaut liées aux opérations de basculement utilisées par la DSSD (System Security Services Daemon) sont contradictoires. Par conséquent, la valeur de timeout réservée à SSSD pour parler à un seul serveur empêche SSSD d'essayer d'autres serveurs avant l'opération de connexion en tant que time out complet. Pour contourner le problème, régler la valeur du paramètre ldap_opt_timeouttimeout supérieure à la valeur du dns_resolver_timeoutparamètre, et régler la valeur du dns_resolver_timeoutparamètre supérieure à la valeur du dns_resolver_op_timeoutparamètre.

(BZ#1382750)

L'utilisation d'une carte à puce pour se connecter à l'interface web IdM ne fonctionne pas

Lorsqu'un utilisateur tente de se connecter à l'interface Web de gestion d'identité (IdM) à l'aide d'un certificat stocké sur sa carte à puce, le code d'interface D-Bus de la DSSD (System Security Services Daemon) utilise un rappel incorrect pour rechercher l'utilisateur. Par conséquent, la recherche plante. Pour contourner le problème, utilisez d'autres méthodes d'authentification.

(BZ#1642508)

Le serveur IdM ne fonctionne pas dans FIPS

En raison d'une implémentation incomplète du connecteur SSL pour Tomcat, un serveur IdM avec un serveur de certificat installé ne fonctionne pas sur les machines avec le mode FIPS activé.

(BZ#1673296)

Le nuxwdogservice échoue dans les environnements HSM et nécessite d'installer le keyutilspaquet dans des environnements non HSM

Le service de chien de nuxwdoggarde a été intégré dans le système de certification. En conséquence, n'nuxwdogest plus fourni en tant que paquet séparé. Pour utiliser le service de chien de garde, installez le pki-serverpaquet.

Notez que le nuxwdogservice a des problèmes connus suivants :

Le nuxwdogservice ne fonctionne pas si vous utilisez un module de stockage matériel (HSM). Pour ce problème, aucune solution de contournement n'est disponible.
Dans un environnement non-HSM, Red Hat Enterprise Linux 8.0 n'installe pas automatiquement le keyutilspaquet en tant que dépendance. Pour installer le paquetage manuellement, utilisez la dnf install keyutilscommande.

(BZ#1652269)

7.8. Compilateurs et outils de développement (traduction automatique)

Les fonctions synthétiques générées par GCC confondent SystemTap

L'optimisation GCC peut générer des fonctions synthétiques pour des copies partiellement en ligne d'autres fonctions. Des outils tels que SystemTap et GDB ne peuvent pas distinguer ces fonctions synthétiques des fonctions réelles. Par conséquent, SystemTap peut placer des sondes à la fois sur des points d'entrée de fonction synthétiques et sur des points d'entrée de fonction réels, et ainsi enregistrer plusieurs hits de sonde pour un seul appel de fonction réelle.

Pour contourner ce problème, les scripts SystemTap doivent être adaptés avec des mesures telles que la détection de récursivité et la suppression des sondes liées aux fonctions partielles inlines. Par exemple, un script

probe kernel.function("can_nice").call { }

peut essayer d'éviter le problème décrit comme suit :

global in_can_nice%

probe kernel.function("can_nice").call {
  in_can_nice[tid()] ++;
  if (in_can_nice[tid()] > 1) { next }
  /* code for real probe handler */
}

probe kernel.function("can_nice").return {
  in_can_nice[tid()] --;
}

Notez que cet exemple de script ne prend pas en compte tous les scénarios possibles, tels que kprobes ou kretprobes manqués, ou la véritable récursivité prévue.

(BZ#1169184)

L'ltraceoutil ne signale pas les appels de fonction

En raison des améliorations apportées au durcissement binaire appliqué à tous les composants RHEL, l'ltraceoutil ne peut plus détecter les appels de fonction dans les fichiers binaires provenant des composants RHEL. Par conséquent, la ltracesortie est vide parce qu'elle ne signale aucun appel détecté lorsqu'elle est utilisée sur ces fichiers binaires. Aucune solution de contournement n'est actuellement disponible.

Comme une note, ltracepeut correctement signaler les appels dans les fichiers binaires personnalisés construits sans les drapeaux de durcissement respectifs.

(BZ#1618748, BZ#1655368)

7.9. Systèmes de fichiers et stockage (traduction automatique)

Impossible de découvrir une cible iSCSI en utilisant le iscsiuiopackage

Red Hat Enterprise Linux 8 ne permet pas l'accès simultané aux zones de registre PCI. En conséquence, une could not set host net params (err 29)erreur s'est produite et la connexion au portail de découverte a échoué. Pour contourner ce problème, définissez le paramètre iomem=relaxedkernel dans la ligne de commande du noyau pour le déchargement iSCSI. Il s'agit notamment de tout déchargement à l'aide du bnx2ichauffeur. En conséquence, la connexion au portail de découverte est maintenant réussie et le iscsiuiopackage fonctionne correctement.

(BZ#1626629)

L'option de montage XFS DAX est incompatible avec les extensions de données copiées sur écriture partagées

Un système de fichiers XFS formaté avec la fonction de copie sur écriture partagée n'est pas compatible avec l'option de -o daxmontage. Par conséquent, le montage d'un tel système de fichiers avec -o daxéchoue.

Pour contourner le problème, formatez le système de fichiers avec l'option de reflink=0métadonnées pour désactiver les extensions de données copiées sur écriture partagées :

# mkfs.xfs -m reflink=0 block-device

En conséquence, le montage du système de fichiers avec -o daxest réussi.

(BZ#1620330)

7.10. Mise en réseau (traduction automatique)

nftables ne prend pas en charge les types d'ensembles IP multidimensionnels

Le cadre de filtrage nftablesde paquets ne prend pas en charge les types d'ensembles avec concaténations et intervalles. Par conséquent, vous ne pouvez pas utiliser de types de sets IP multidimensionnels, tels quehash:net,port, avec nftables.

Pour contourner ce problème, utilisez le iptablesframework avec l'ipsetoutil si vous avez besoin de types d'ensembles IP multidimensionnels.

(BZ#1593711)

7.11. Sécurité (traduction automatique)

OpenSCAPrpmverifypackage ne fonctionne pas correctement

Les appels chrootsystème chdiret et sont appelés deux fois par la rpmverifypackagesonde. Par conséquent, une erreur se produit lorsque la sonde est utilisée lors d'une analyse OpenSCAP avec un contenu OVAL (Open Vulnerability and Assessment Language) personnalisé.

Pour contourner ce problème, n'utilisez pas le test rpmverifypackage_testOVAL dans votre contenu ou n'utilisez que le contenu de l'scap-security-guideemballage où il n'est pas utilisé.

(BZ#1646197)

libssh n'est pas conforme à la politique de cryptage à l'échelle du système

La libsshbibliothèque ne suit pas les paramètres de stratégie cryptographique à l'échelle du système. Par conséquent, l'ensemble des algorithmes pris en charge n'est pas modifié lorsque l'administrateur modifie le niveau des stratégies de cryptage à l'aide de la update-crypto-policiescommande.

Pour contourner ce problème, l'ensemble des algorithmes annoncés doit être défini individuellement par chaque application qui utilise libssh. Par conséquent, lorsque le système est réglé au niveau de la politique LEGACY ou FUTURE, les applications qui utilisent libsshse comportent de manière incohérente par rapport à OpenSSH.

(BZ#1646563)

SCAP Workbench ne parvient pas à générer des correctifs axés sur les résultats à partir de profils personnalisés

L'erreur suivante se produit lorsque vous tentez de générer des rôles de correction basés sur les résultats à partir d'un profil personnalisé à l'aide de l'outil SCAP Workbench :

Error generating remediation role .../remediation.sh: Exit code of oscap was 1: [output truncated]

Pour contourner ce problème, utilisez la oscapcommande avec l'--tailoring-fileoption.

(BZ#1640715)

OpenSCAPrpmverifyfile ne fonctionne pas

Le scanner OpenSCAP ne modifie pas correctement le répertoire de travail actuel en mode hors ligne et la fchdirfonction n'est pas appelée avec les bons arguments dans la sonde OpenSCAPrpmverifyfile. Par conséquent, l'analyse de systèmes de fichiers arbitraires à l'aide de la oscap-chrootcommande échoue si rpmverifyfile_testelle est utilisée dans un contenu SCAP. Par conséquent, il s'oscap-chrootinterrompt dans le scénario décrit.

(BZ#1636431)

Il n'existe pas d'utilitaire pour le contrôle de la sécurité et de la conformité des conteneurs

Dans Red Hat Enterprise Linux 7, l'oscap-dockerutilitaire peut être utilisé pour numériser des conteneurs Docker basés sur les technologies Atomic. Dans Red Hat Enterprise Linux 8, les commandes OpenSCAP liées au docker et à Atomic ne sont pas disponibles. Par conséquent, oscap-dockerou un utilitaire équivalent pour la sécurité et le contrôle de conformité des conteneurs n'est pas disponible dans RHEL 8 pour l'instant.

(BZ#1642373)

Chapitre 8. Changements notables aux conteneurs (traduction automatique)

Un ensemble d'images de conteneurs est disponible pour Red Hat Enterprise Linux (RHEL) 8.0. Parmi les changements notables, mentionnons :

Docker n'est pas inclus dans RHEL 8.0. Pour travailler avec les conteneurs, utilisez les outils podman, buildah, skopeo et runc.
Pour plus d'informations sur ces outils et sur l'utilisation des conteneurs dans RHEL 8, voir Building, running, and managing containers.
L'outil podman a été publié en tant que fonctionnalité entièrement prise en charge.
L'outil podman gère les pods, les images de conteneurs et les conteneurs sur un seul nœud. Il est construit sur la librairie libpod, qui permet la gestion des conteneurs et des groupes de conteneurs, appelés pods.
Pour apprendre à utiliser podman, voir Building, running, and managing containers.
Dans RHEL 8 GA, les images de base universelles Red Hat (UBI) sont désormais disponibles. Les UBI remplacent certaines des images précédemment fournies par Red Hat, telles que les images de base RHEL standard et minimales.
Contrairement aux images Red Hat plus anciennes, les UBIs sont librement redistribuables. Cela signifie qu'ils peuvent être utilisés dans n'importe quel environnement et partagés n'importe où. Vous pouvez les utiliser même si vous n'êtes pas client Red Hat.
Pour la documentation UBI, voir Building, running, and managing containers.
Dans RHEL 8 GA, des images de conteneurs supplémentaires sont disponibles qui fournissent des composants AppStream, pour lesquels les images de conteneurs sont distribuées avec Red Hat Software Collections dans RHEL 7. Toutes ces images RHEL 8 sont basées sur l'image de ubi8base.
Les images de conteneurs ARM pour l'architecture ARM 64 bits sont entièrement prises en charge dans RHEL 8.
Le rhel-toolsconteneur a été retiré dans RHEL 8. Les redhat-support-tooloutils soset sont fournis dans le support-toolsconteneur. Les administrateurs système peuvent également utiliser cette image comme base pour construire des outils système.
La prise en charge des conteneurs sans racine est disponible sous forme d'aperçu technologique dans RHEL 8.
Les conteneurs Rootless sont des conteneurs qui sont créés et gérés par les utilisateurs réguliers du système sans permissions administratives.

Annexe A. Liste des billets par composant

Composante	Billets de concert
`389-ds-base`	BZ#1334254, BZ#1358706, BZ#1693159
`NetworkManager`	BZ#1555013, BZ#1555012, BZ#1557035
`PackageKit`	BZ#1559414
`anaconda`	BZ#1499442, BZ#1500792, BZ#1547908, BZ#1612060, BZ#1595415, BZ#1610806, BZ#1533904
`audit`	BZ#1616428
`bcc`	BZ#1548302
`bind`	BZ#1588592
`boom-boot`	BZ#1649582
`boost`	BZ#1494495, BZ#1616244
`cloud-init`	BZ#1615599
`cmake`	BZ#1590139
`cockpit`	BZ#1619993
`crypto-policies`	BZ#1591620
`cryptsetup`	BZ#1564540
`device-mapper-multipath`	BZ#1643550
`distribution`	BZ#1566048, BZ#1516741, BZ#1516728
`dnf`	BZ#1622580, BZ#1647760, BZ#1581191
`esc`	BZ#1538645
`firewalld`	BZ#1509026
`gcc`	BZ#1169184, BZ#1607227, BZ#1535774, BZ#1504980, BZ#1246444
`gdm`	BZ#1589678
`glibc`	BZ#1512004, BZ#1376834, BZ#1512010, BZ#1304448, BZ#1512009, BZ#1512006, BZ#1514839, BZ#1533608
`go-toolset`	BZ#1512570
`httpd`	BZ#1633224, BZ#1632754
`iproute`	BZ#1640991
`iptables`	BZ#1644030, BZ#1564596
`iscsi-initiator-utils`	BZ#1626629, BZ#1582099
`kernel-rt`	BZ#1592977
`kernel`	BZ#1598448, BZ#1643522, BZ#1485546, BZ#1562998, BZ#1485229, BZ#1494651, BZ#1485532, BZ#1494028, BZ#1563617, BZ#1485525, BZ#1261167, BZ#1562987, BZ#1273139, BZ#1559607, BZ#1401552, BZ#1638465, BZ#1598776, BZ#1503672, BZ#1664838, BZ#1596240, BZ#1534870, BZ#1501618, BZ#1153521, BZ#1494705, BZ#1620330, BZ#1505999
`kexec-tools`	BZ#1520209
`kmod-kvdo`	BZ#1534087, BZ#1639512
`libdnf`	BZ#1642458
`libreswan`	BZ#1657854
`libssh`	BZ#1485241
`ltrace`	BZ#1618748, BZ#1584322
`lvm2`	BZ#1643553, BZ#1643543, BZ#1643545, BZ#1643547, BZ#1643549, BZ#1643562, BZ#1643576
`mariadb`	BZ#1637034
`net-snmp`	BZ#1584510
`nfs-utils`	BZ#1592011, BZ#1639432
`nftables`	BZ#1593711
`nginx`	BZ#1545526
`nodejs-10-module`	BZ#1622118
`nss`	BZ#1645153
`nuxwdog`	BZ#1652269
`openldap`	BZ#1570056
`opensc`	BZ#1595626
`openscap`	BZ#1646197, BZ#1636431, BZ#1642373, BZ#1618484, BZ#1614273, BZ#1618464
`openssh`	BZ#1622511, BZ#1228088
`pacemaker`	BZ#1543494
`pcs`	BZ#1578891, BZ#1591308, BZ#1615420, BZ#1158816, BZ#1542288, BZ#1549535, BZ#1620190, BZ#1566430, BZ#1595829, BZ#1436217, BZ#1578955, BZ#1596050, BZ#1554310, BZ#1638852, BZ#1640477, BZ#1619620
`perl-IO-Socket-SSL`	BZ#1632600
`perl`	BZ#1511131
`pki-core`	BZ#1565073, BZ#1623444, BZ#1566360, BZ#1394069, BZ#1669257, BZ#1656856, BZ#1673296
`pykickstart`	BZ#1637872, BZ#1612061
`qemu-kvm`	BZ#1508139, BZ#1559240, BZ#1497911, BZ#1578855, BZ#1651994, BZ#1621817, BZ#1508137, BZ#1519004
`redhat-release`	BZ#1636338
`rsyslog`	BZ#1613880, BZ#1542497, BZ#1614179, BZ#1619645
`scap-security-guide`	BZ#1618528, BZ#1618518
`scap-workbench`	BZ#1640715
`selinux-policy`	BZ#1592244, BZ#1594111, BZ#1549772, BZ#1626446
`setup`	BZ#1591969
`sos`	BZ#1559836
`sssd`	BZ#1448094, BZ#1382750, BZ#1642508, BZ#1620123
`subversion`	BZ#1571415
`swig-3.0-module`	BZ#1660051
`tomcatjss`	BZ#1424966, BZ#1636564
`tuned`	BZ#1576435, BZ#1565598
`valgrind`	BZ#1500481, BZ#1538009
`virt-manager`	BZ#1599777, BZ#1643609
`wpa_supplicant`	BZ#1582538
autre	BZ#1646563, BZ#1640697, BZ#1623712, BZ#1649404, BZ#1581198, BZ#1581990, BZ#1649497, BZ#1643294, BZ#1647612, BZ#1641015, BZ#1641032, BZ#1641004, BZ#1641034, BZ#1647110, BZ#1641007, BZ#1641029, BZ#1641022, BZ#1649493, BZ#1649922, BZ#1559616, BZ#1646541, BZ#1647725, BZ#1686057, BZ#1582530, BZ#1581496, BZ#1650618, BZ#1650675, BZ#1650701, JIRA:RHELPLAN-10347, JIRA:RHELPLAN-10439, JIRA:RHELPLAN-10440, JIRA:RHELPLAN-10442, JIRA:RHELPLAN-10443, JIRA:RHELPLAN-10438, JIRA:RHELPLAN-2878, JIRA:RHELPLAN-10355, JIRA:RHELPLAN-3010, JIRA:RHELPLAN-10352, JIRA:RHELPLAN-10353, JIRA:RHELPLAN-1212, JIRA:RHELPLAN-1473, JIRA:RHELPLAN-10445, JIRA:RHELPLAN-1499, JIRA:RHELPLAN-3001, JIRA:RHELPLAN-6746, JIRA:RHELPLAN-10354, JIRA:RHELPLAN-2896, JIRA:RHELPLAN-10304, JIRA:RHELPLAN-10628, JIRA:RHELPLAN-10441, JIRA:RHELPLAN-10444, JIRA:RHELPLAN-1842, JIRA:RHELPLAN-12764, JIRA:RHELPLAN-14607, BZ#1641014, BZ#1692746, BZ#1693775, BZ#1580387, BZ#1583620, BZ#1580430, BZ#1648843, BZ#1647908, BZ#1649891

Note légale

The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.