5.7. 既知の問題
このパートでは Red Hat Enterprise Linux 8.3 の既知の問題を説明します。
5.7.1. インストーラーおよびイメージの作成
キックスタートコマンドの auth
および authconfig
で AppStream リポジトリーが必要になる
インストール中に、キックスタートコマンドの auth
および authconfig
で authselect-compat
パッケージが必要になります。auth
または authconfig
を使用したときに、このパッケージがないとインストールに失敗します。ただし、設計上、authselect-compat
パッケージは AppStream リポジトリーでのみ使用可能です。
この問題を回避するには、BaseOS リポジトリーおよび AppStream リポジトリーがインストーラーで利用できることを確認するか、インストール中にキックスタートコマンドの authselect
コマンドを使用します。
(BZ#1640697)
reboot --kexec
コマンドおよび inst.kexec
コマンドが、予測可能なシステム状態を提供しない
キックスタートコマンド reboot --kexec
またはカーネル起動パラメーター inst.kexec
で RHEL インストールを実行しても、システムの状態が完全な再起動と同じになるわけではありません。これにより、システムを再起動せずにインストール済みのシステムに切り替えると、予期しない結果が発生することがあります。
kexec
機能は非推奨になり、Red Hat Enterprise Linux の今後のリリースで削除されることに注意してください。
(BZ#1697896)
インストールプログラムでは、ネットワークアクセスがデフォルトで有効になっていません。
一部のインストール機能、たとえば、コンテンツ配信ネットワーク (CDN) を使用したシステムの登録、NTP サーバーサポート、およびネットワークインストールソースなどには、ネットワークアクセスが必要です。ただし、ネットワークアクセスはデフォルトでは有効になっていません。そのためこの機能は、ネットワークアクセスが有効になるまで使用できません。
この問題を回避するには、インストールの開始時にネットワークアクセスを有効にする起動オプション ip=dhcp
を追加します。オプションで、起動オプションを使用して、ネットワーク上にあるキックスタートファイルまたはリポジトリーを渡しても、問題が解決されます。結果として、ネットワークベースのインストール機能を使用できます。
(BZ#1757877)
新しい osbuild-composer
バックエンドが、アップグレード時に lorax-composer
から Blueprint 状態に複製されない。
lorax-composer
バックエンドから新しい osbuild-composer
バックエンドにアップグレードする Image Builder ユーザーは、Blueprint が消えてしまう可能性があります。その結果、アップグレードが完了すると、Blueprint が自動的に表示されなくなります。この問題を回避するには、以下の手順を実行します。
前提条件
-
composer-cli
CLI ユーティリティーがインストールされている。
手順
以下のコマンドを実行して、以前の
lorax-composer
ベースの Blueprint を新しいosbuild-composer
バックエンドに読み込みます。$ for blueprint in $(find /var/lib/lorax/composer/blueprints/git/workspace/master -name '*.toml'); do composer-cli blueprints push "${blueprint}"; done
これにより、osbuild-composer
バックエンドで同じ Blueprint が利用できるようになりました。
関連情報
- この既知の問題の詳細は、Image Builder Blueprint が、Red Hat Enterprise Linux 8.3 への更新後に表示されなくなる 参照してください。
Kickstart インストールでは、自己署名 HTTPS サーバーを使用できません。
現在では、インストールソースが Kickstart ファイルで指定され、--noverifyssl
オプションが指定されると、インストーラーは自己署名の https サーバーからのインストールに失敗します。
url --url=https://SERVER/PATH --noverifyssl
この問題を回避するには、Kickstart インストールの開始時に、inst.noverifyssl
パラメーターをカーネルコマンドラインに追加します。
以下に例を示します。
inst.ks=<URL> inst.noverifyssl
(BZ#1745064)
リポジトリーの更新が完了する前に CDN を使用した登録解除を試みると、GUI インストールが失敗することがあります。
RHEL 8.2 以降、システムを登録し、コンテンツ配信ネットワーク (CDN) を使用してサブスクリプションを割り当てると、GUI インストールプログラムにより、リポジトリーメタデータの更新が開始されます。更新プロセスは、登録およびサブスクリプションプロセスの一部ではないため、Red Hat への接続 ウィンドウで 登録解除 ボタンが有効になります。ネットワーク接続によっては、更新プロセスが完了するのに 1 分以上かかることがあります。更新プロセスが完了する前に 登録解除 ボタンをクリックすると、登録解除プロセスで、インストールプログラムが CDN との通信に必要とする証明書と CDN リポジトリーファイルが削除されるため、GUI インストールが失敗する可能性があります。
この問題を回避するには、Red Hat への接続 ウィンドウで 登録 ボタンをクリックした後に、GUI インストールで次の手順を実行します。
- Red Hat への接続 画面から 完了 をクリックして、インストールの概要 画面に戻ります。
- インストールの概要 ウィンドウで、インストールソース および ソフトウェアの選択 の斜体のステータスメッセージに処理情報が表示されていないことを確認します。
- インストールソースとソフトウェアの選択のカテゴリーが準備できたら、Red Hat への接続 をクリックします。
- 登録解除 ボタンをクリックします。
これらの手順を完了したら、GUI のインストール時にシステムの登録を安全に解除できます。
(BZ#1821192)
複数の組織に属するユーザーアカウントの登録に失敗していました
現在、複数の組織に属するユーザーアカウントでシステムを登録しようとすると、登録プロセスが失敗し、You must specify an organization for new units メッセージが表示されます。
この問題を回避するには、以下のいずれかを行います。
- 複数の組織に属さない別のユーザーアカウントを使用します。
- GUI および Kickstart インストールの Connect to Red Hat 機能で利用できる アクティベーションキー 認証方法を使用します。
- Connect to Red Hat の登録手順を省略し、Subscription Manager を使用してインストール後にシステムを登録します。
RHEL インストーラー起動オプションを使用して InfiniBand ネットワークインターフェイスを設定すると、RHEL インストーラーが起動しませんでした。
以前では、インストーラー起動オプション (PXE サーバーを使用したインストーラーイメージのダウンロードなど) を使用して RHEL インストールの初期段階で InfiniBand ネットワークインターフェイスを設定する場合、インストーラーはネットワークインターフェイスのアクティブ化に失敗します。
この問題は、RHEL NetworkManager が InfiniBand モードでネットワークインターフェイスを認識できず、代わりにインターフェイスのイーサネット接続を設定するために発生します。
その結果、接続のアクティベーションに失敗し、InfiniBand インターフェイスを介した接続が初期段階で必要な場合、RHEL インストーラーはインストールを開始できませんでした。
この問題を回避するには、Lorax ツールを使用して、更新された Anaconda パッケージおよび NetworkManager パッケージを含む新しいインストールメディアを作成します。
Lorax ツールを使用して、更新された Anaconda パッケージおよび NetworkManager パッケージを含む新しいインストールメディアを作成する方法は、Unable to install Red Hat Enterprise Linux 8.3.0 with InfiniBand network interfaces を参照してください。
(BZ#1890261)
NVDIMM デバイス名前空間が devdax
モードに設定されていると、Anaconda のインストールに失敗します。
GUI インストールの前に、NVDIMM デバイス名前空間が devdax
モードに設定した状態で起動すると、Anaconda のインストールに失敗します。
この問題を回避するには、インストールを開始する前に、NVDIMM デバイスを再設定し、名前空間を devdax
モードとは異なるモードに設定します。これにより、インストールを続行できます。
(BZ#1891827)
サードパーティーのツールを使用して作成した USB からインストールを起動する際に、Local Media
のインストールソースが検出されない
サードパーティーツールを使用して作成した USB から RHEL インストールを起動すると、インストーラーは Local Media
インストールソースを検出できません ('Red Hat CDN' のみが検出されます)。
この問題は、デフォルトの起動オプション int.stage2=
が iso9660
イメージ形式の検索を試みるためです。ただし、サードパーティーツールは、別の形式の ISO イメージを作成する可能性があります。
回避策として、以下のソリューションのいずれかを使用します。
-
インストールの起動時に
Tab
キーをクリックしてカーネルコマンドラインを編集し、起動オプションinst.stage2=
をinst.repo=
に変更します。 - Windows で起動可能な USB デバイスを作成するには、Fedora Media Writer を使用します。
- Rufus などのサードパーティーツールを使用して起動可能な USB デバイスを作成し、最初に Linux システムで RHEL ISO イメージを再生成すると、サードパーティーのツールを使用して起動可能な USB デバイスを作成します。
指定の回避策を実行する手順の詳細は、RHEL 8.3 のインストール時にインストールメディアは自動検出されない を参照してください。
(BZ#1877697)
Anaconda で、テキストモードで ldl
または未フォーマットの DASD ディスクダイアログを表示
以前は、テキストモードでのインストール時に、Anaconda は Linux ディスクレイアウト (ldl
) またはフォーマットされていない DASD (Direct-Access Storage Device) ディスクのダイアログを表示できませんでした。そのため、ユーザーはインストールにこれらのディスクを使用できませんでした。
今回の更新で、テキストモードの Anaconda が ldl
ディスクと未フォーマットの DASD ディスクを認識し、インストールの今後の使用のためにユーザーが適切にフォーマットできるダイアログが表示されるようになりました。
(BZ#1874394)
グラフィカルインストーラーの使用時に、Red Hat Insights クライアントがオペレーティングシステムの登録に失敗する
現在、Insights クライアントを示すエラーでインストールに失敗します。
この問題を回避するには、インストーラーでシステムを登録する前に、Connect to Red Hat ステップで、Connect to Red Hat Insights プションの選択を解除します。
その結果、以下のコマンドを使用してインストールを完了し、その後 Insights に登録できます。
# insights-client --register
5.7.2. サブスクリプション管理
syspurpose addons
は subscription-manager attach --auto
出力に影響しません。
Red Hat Enterprise Linux 8 では、syspurpose
コマンドラインツールの 4 つの属性 (role
、usage
、service_level_agreement
、および addons
) が追加されました。現在、role
、usage
、および service_level_agreement
のみが、subscription-manager attach --auto
コマンドの実行の出力に影響します。addons
引数に値を設定しても、自動登録されたサブスクリプションには影響がありません。
5.7.3. インフラストラクチャーサービス
dnf update
の実行時に libmaxminddb-devel-debuginfo.rpm
が削除される
dnf update
コマンドを実行すると、バイナリー mmdblookup
ツールは libmaxminddb-devel
サブパッケージからメインの libmaxmindb
パッケージに移動します。これにより、libmaxminddb-devel-debuginfo.rpm
が削除され、このパッケージに破損した更新パスが作成される可能性があります。この問題を回避するには、dnf update
コマンドの実行前に libmaxminddb-devel-debuginfo
を削除します。
注記: libmaxminddb-debuginfo
は新しい debuginfo
パッケージです。
(BZ#1642001)
5.7.4. セキュリティー
ユーザーは、ロックされたユーザーとして sudo
コマンドを実行できます。
ALL
キーワードで sudoers
パーミッションが定義されているシステムでは、パーミッションを持つ sudo
ユーザーは、アカウントがロックされているユーザーとして sudo
コマンドを実行できます。そのため、ロックされたアカウントと期限切れのアカウントを使用して、コマンドを実行し続けることができます。
この問題を回避するには、/etc/shells
内の有効なシェルの適切な設定と併せて、新たに実装した runas_check_shell
オプションを有効にします。これにより、攻撃者が bin
などのシステムアカウントでコマンドを実行するのを防ぎます。
(BZ#1786990)
GnuTLS が NSS サーバーとの現行セッションを再開できません。
TLS (Transport Layer Security) 1.3 セッションを再開するとき、GnuTLS
クライアントは 60 ミリ秒に加えて、サーバーがセッション再開データを送信するために推定されるラウンドトリップタイムの分だけ待機します。サーバーがこの時間内に再開データを送信しないと、クライアントは現行セッションを再開せずに新しいセッションを作成します。これは、通常のセッションネゴシエーションのパフォーマンスに若干影響することを除いて、深刻な悪影響を与えることはありません。
libselinux-python
は、そのモジュールからのみ利用可能
libselinux-python
パッケージには、SELinux アプリケーション開発用の Python 2 バインディングのみが含まれ、後方互換性に使用されます。このため、libselinux-python
コマンドを使用して、デフォルトの RHEL 8 リポジトリーで dnf install libselinux-python
コマンドが利用できなくなりました。
この問題を回避するには、libselinux-python
モジュールおよび python27
モジュールの両方を有効にし、以下のコマンドで libselinux-python
パッケージとその依存関係をインストールします。
# dnf module enable libselinux-python # dnf install libselinux-python
または、1 つのコマンドでインストールプロファイルを使用して libselinux-python
をインストールします。
# dnf module install libselinux-python:2.8/common
これにより、各モジュールを使用して libselinux-python
をインストールできます。
(BZ#1666328)
udica
は、--env container=podman
で開始したときにのみ UBI 8 コンテナーを処理します。
Red Hat Universal Base Image 8 (UBI 8) コンテナーは、podman
の値ではなく、コンテナー
環境変数を oci
値に設定します。これにより、udica
ツールがコンテナー JavaScript Object Notation (JSON) ファイルを分析しなくなります。
この問題を回避するには、--env container=podman
パラメーターを指定して、podman
コマンドで UBI 8 コンテナーを起動します。そのため、udica
は、上記の回避策を使用している場合に限り、UBI 8 コンテナーの SELinux ポリシーを生成することができます。
デフォルトのロギング設定がパフォーマンスに与える悪影響
デフォルトのログ環境設定は、メモリーを 4 GB 以上使用する可能性があり、rsyslog
で systemd-journald
を実行している場合は、速度制限値の調整が複雑になります。
詳細は、ナレッジベースの記事 Negative effects of the RHEL default logging setup on performance and their mitigations を参照してください。
(JIRA:RHELPLAN-10431)
/etc/passwd-
のファイル権限が CIS RHEL 8 Benchmark 1.0.0 と合致しない
CIS Benchmark の問題により、/etc/passwd-
バックアップファイルの権限を保証する SCAP ルールの修正によって、権限が 0644
に設定されます。ただし、CIS Red Hat Enterprise Linux 8 Benchmark 1.0.0
では、そのファイルに対するファイルパーミッション 0600
が必要です。そのため、修正後、/etc/passwd-
のファイル権限はベンチマークに合うように設定されません。
/etc/selinux/config
の SELINUX=disabled
が正常に動作しません。
/etc/selinux/config
で SELINUX=disabled
オプションを使用して SELinux を無効にすると、カーネルが SELinux を有効にして起動し、その後のブートプロセスで無効化モードに切り替わります。これにより、メモリーリークが生じる可能性があります。
この問題を回避するには、SELinux を完全に無効にする必要がある場合に SELinux の使用 の システムの起動時に SELinux モードの変更 で説明されているように、selinux=0
パラメーターをカーネルコマンドラインに追加して SELinux を無効にすることが推奨されます。
(JIRA:RHELPLAN-34199)
ssh-keyscan
が、FIPS モードでサーバーの RSA 鍵を取得できません。
FIPS モードで RSA 署名の SHA-1
アルゴリズムが無効になっています。これにより、ssh-keyscan
ユーティリティーがそのモードで稼働しているサーバーの RSA 鍵を取得できなくなります。
この問題を回避するには、代わりに ECDSA 鍵を使用するか、サーバーの /etc/ssh/ssh_host_rsa_key.pub
ファイルから鍵をローカルに取得します。
OpenSSL
が、生の RSA または RSA-PSS の署名に対応していない PKCS #11 トークンを誤って処理します。
OpenSSL
ライブラリーは、PKCS #11 トークンの鍵関連の機能を検出しません。したがって、生の RSA または RSA-PSS の署名に対応しないトークンで署名が作成されると、TLS 接続の確立に失敗します。
この問題を回避するには、/etc/pki/tls/openssl.cnf
ファイルの crypto_policy
セクションの末尾にある .include
行の後に、以下の行を追加します。
SignatureAlgorithms = RSA+SHA256:RSA+SHA512:RSA+SHA384:ECDSA+SHA256:ECDSA+SHA512:ECDSA+SHA384 MaxProtocol = TLSv1.2
これにより、このシナリオで TLS 接続を確立できます。
(BZ#1685470)
FIPS モードの OpenSSL が、特定の D-H パラメーターのみを受け入れます。
FIPS モードでは、OpenSSL を使用するトランスポートレイヤーセキュリティー (TLS) クライアントが bad dh value
エラーを返し、手動で生成されたパラメーターを使用したサーバーへの TLS 接続を中止します。これは、FIPS 140-2 に準拠するよう設定されている場合、OpenSSL が NIST SP 800-56A rev3 付録 D (RFC 3526 で定義されたグループ 14、15、16、17、18、および RFC 7919 で定義されたグループ) に準拠した D-H パラメーターでのみ機能するためです。また、OpenSSL を使用するサーバーは、その他のパラメーターをすべて無視し、代わりに同様のサイズの既知のパラメーターを選択します。この問題を回避するには、準拠するグループのみを使用します。
(BZ#1810911)
rpm-plugin-selinux
パッケージを削除すると、システムからすべての selinux-policy
パッケージが削除されます。
rpm-plugin-selinux
パッケージを削除すると、マシン上で SELinux が無効になります。また、システムからすべての selinux-policy
パッケージも削除されます。rpm-plugin-selinux
パッケージを繰り返しインストールしてから、selinux-policy-targeted
ポリシーが以前に存在していても、selinux-policy-minimum
SELinux ポリシーをインストールします。ただし、繰り返しインストールしても、ポリシーの変更のために SELinux 設定ファイルが更新されることはありません。このため、rpm-plugin-selinux
パッケージを再インストールしても、SELinux が無効になります。
この問題を回避するには、以下を実行します。
-
umount /sys/fs/selinux/
コマンドを実行します。 -
足りない
selinux-policy-targeted
パッケージを手動でインストールします。 -
ポリシーが
SELINUX=enforcing
と同等になるように/etc/selinux/config
ファイルを編集します。 -
コマンド
load_policy -i
を実行します。
これにより、SELinux が有効になり、以前と同じポリシーが実行されている状態になります。
(BZ#1641631)
systemd サービスが任意のパスからコマンドを実行できない
SELinux ポリシーパッケージにはこのようなルールが含まれていないため、systemd サービスは /home/user/bin
の任意のパスからコマンドを実行できません。そのため、システム以外のパスで実行されるカスタムサービスは失敗し、SELinux がアクセスを拒否すると、AVC (アクセスベクターキャッシュ) 監査メッセージをログに記録します。この問題を回避するには、以下のいずれかを実行します。
-c
オプションを指定し、シェル スクリプトを使用してコマンドを実行します。以下に例を示します。bash -c command
-
/bin
、/sbin
、/usr/sbin
、/usr/local/bin
、/usr/local/sbin
の共通のディレクトリーを使用して共通のパスからコマンドを実行します。
CIS プロファイルで rpm_verify_permissions
が失敗する
rpm_verify_permissions
ルールでは、ファイルパーミッションがパッケージのデフォルトパーミッションと比較されます。ただし、scap-security-guide
パッケージで提供される Center for Internet Security (CIS) プロファイルでは、一部のファイルパーミッションがデフォルトよりも厳格なものに変更されます。その結果、rpm_verify_permissions
を使用した特定ファイルの検証が失敗します。
この問題を回避するには、これらのファイルに以下のパーミッションがあることを手作業で確認します。
-
/etc/cron.d
(0700) -
/etc/cron.hourly
(0700) -
/etc/cron.monthly
(0700) -
/etc/crontab
(0600) -
/etc/cron.weekly
(0700) -
/etc/cron.daily
(0700)
RHEL 8 のキックスタートが、com_redhat_oscap
の代わりに org_fedora_oscap
を使用
キックスタートは、com_redhat_oscap
ではなく、org_fedora_oscap
として Open Security Content Automation Protocol (OSCAP) Anaconda アドオンを参照します。これが、混乱を招く可能性があります。これは、Red Hat Enterprise Linux 7 との後方互換性を維持するために行われます。
(BZ#1665082)
SSG における相互依存ルールの特定のセットが失敗する可能性があります。
ルールとその依存関係の順序付けを定義しないため、ベンチマークの SCAP Security Guide
(SSG) ルールの修正が失敗する可能性があります。たとえば、特定の順番で複数のルールを実行する必要がある場合、あるルールがコンポーネントをインストールし、別のルールが同じコンポーネントを設定した場合すると、それらは正しくない順序で実行される可能性があり、修正によってエラーが報告されます。この問題を回避するには、修正を回実行して、番目の実行で依存ルールを修正します。
OSCAP Anaconda Addon
がすべてのパッケージをテキストモードでインストールしません。
OSCAP Anaconda Addon
プラグインは、インストールがテキストモードで実行している場合、システムインストーラーによってインストールに選択されているパッケージのリストを変更することはできません。これにより、キックスタートを使用してセキュリティーポリシープロファイルが指定され、インストールがテキストモードで実行している場合に、インストール中にセキュリティーポリシーに必要な追加パッケージがインストールされません。
この問題を回避するには、グラフィカルモードでインストールを実行するか、キックスタートファイルの %packages
セクションにあるセキュリティーポリシーで、セキュリティーポリシープロファイルに必要なパッケージをすべて指定します。
これにより、セキュリティーポリシープロファイルで必要となるパッケージは、上記の回避策のいずれかを行わなければ RHEL インストールインストール時にインストールされません。また、インストール後のシステムは、指定のセキュリティーポリシープロファイルと互換性がありません。
oscap Anaconda Addon
がカスタムプロファイルを正しく処理しません。
OSCAP Anaconda Addon
プラグインは、個別のファイルでカスタマイズを使用したセキュリティープロファイルを適切に処理しません。これにより、対応する Kickstart セクションで適切に指定しても、RHEL グラフィカルインストールでカスタマイズしたプロファイルは利用できません。
この問題を回避するには、ナレッジベースの記事 Creating a single SCAP data stream from an original DS and a tailoring file を参照してください。この回避策により、RHEL グラフィカルインストールでカスタマイズした SCAP プロファイルを使用できます。
(BZ#1691305)
OSPP ベースのプロファイルに、GUI パッケージグループとの互換性がありません。
Server with GUI パッケージグループでインストールされる GNOME
パッケージには、Operating System Protection Profile (OSPP) に準拠しない nfs-utils
パッケージが必要です。これにより、OSPP または OSPP ベースのプロファイル (Security Technical Implementation Guide (STIG) など) を使用したシステムのインストール時に Server with GUI パッケージグループを選択すると、OpenSCAP により選択したパッケージグループがセキュリティーポリシーと互換性がありませんといった警告が表示されます。OSPP ベースのプロファイルがインストール後に適用される場合、システムは起動できません。この問題を回避するには、Server with GUIパッケージグループや、または OSPP プロファイルと OSPP ベースのプロファイルを使用する際に GUI をインストールするその他のグループをインストールしないでください。代わりにServerまたはMinimal Installパッケージグループを使用すると、システムは問題なくインストールされ、正常に機能します。
Server with GUI
または Workstation
ソフトウェアの選択と CIS セキュリティープロファイルを使用したインストールはできません。
CIS セキュリティープロファイルは、Server with GUI
および Workstation
ソフトウェアの選択と互換性がありません。そのため、Server with GUI
ソフトウェアの選択と CIS プロファイルを使用した RHEL 8 のインストールはできません。CIS プロファイルと、これらのソフトウェアの選択のいずれかを使用したインストール試行では、エラーメッセージが生成されます。
package xorg-x11-server-common has been added to the list of excluded packages, but it can't be removed from the current software selection without breaking the installation.
この問題を回避するには、Server with GUI
または Workstation
ソフトウェアの選択で CIS セキュリティープロファイルを使用しないでください。
キックスタートインストール時のサービス関連のルールの修正が失敗する場合があります。
キックスタートのインストール時に、OpenSCAP ユーティリティーで、サービス enable
または disable
状態の修正が必要でないことが誤って表示されることがあります。これにより、OpenSCAP が、インストール済みシステムのサービスを非準拠状態に設定する可能性があります。回避策として、キックスタートインストール後にシステムをスキャンして修復できます。これにより、サービス関連の問題が修正されます。
特定の rsyslog
優先度の文字列が正常に動作しません。
imtcp
に GnuTLS 優先度文字列を設定して、完成していない暗号化をきめ細かく制御できるようになりました。したがって、rsyslog
では、以下の優先文字列が正常に動作しません。
NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+DHE-RSA:+AES-256-GCM:+SIGN-RSA-SHA384:+COMP-ALL:+GROUP-ALL
この問題を回避するには、正しく機能する優先度文字列のみを使用します。
NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+ECDHE-RSA:+AES-128-CBC:+SIGN-RSA-SHA1:+COMP-ALL:+GROUP-ALL
したがって、現在の設定は、正しく機能する文字列に限定する必要があります。
crypto-policies
が Camellia 暗号を誤って許可する。
RHEL 8 システム全体の暗号化ポリシーでは、製品ドキュメントで説明されているように、すべてのポリシーレベルで Camellia 暗号を無効にする必要があります。ただし、Kerberos プロトコルでは、デフォルトでこの Camellia 暗号が有効になります。
この問題を回避するには、NO-CAMELLIA
サブポリシーを適用します。
# update-crypto-policies --set DEFAULT:NO-CAMELLIA
これまでに上記のコマンドで、DEFAULT
から切り替えたことがある場合は、DEFAULT
を暗号化レベルの名前に置き換えます。
その結果、この回避策を使用して Cemellia 暗号を無効にしている場合に限り、システム全体の暗号化ポリシーを使用する全ポリシーで、この暗号化を適切に拒否できます。(BZ#1919155)
5.7.5. ネットワーク
iptables
ユーティリティーは、NLM_F_CREATE
フラグに関係なく、チェーンを更新するコマンドに対してモジュールの読み込みを要求するようになりました。
以前では、チェーンのポリシーを設定する際に、iptables-nft
ユーティリティーは NEWCHAIN
メッセージを生成しましたが、NLM_F_CREATE
フラグを設定しませんでした。これにより、RHEL 8 カーネルはモジュールを読み込みず、関連付けられたカーネルモジュールが手動で読み込まれなかった場合に、生成される更新チェーンコマンドに失敗していました。今回の更新で、iptables-nft
ユーティリティーは、チェーンを更新するすべてのコマンドに対してモジュールの読み込みを要求するようになり、関連するモジュールを手動で読み込むことなく、iptables-nft
ユーティリティーを使用してチェーンのポリシーを設定できるようになりました。
(BZ#1812666)
カーネルでの packet/byte
カウンターの更新に対するサポートが、RHEL 7 と RHEL 8 の間で誤って変更されました。
iptables
ルールからの有効なカウンターを持つ ipset
コマンドを参照する場合、一致する ipset
エントリーに追加の制約を指定する場合には 、ipset
カウンターはすべて追加の制約が一致する場合にのみ更新されます。--packets-gt
または --bytes-gt
の制約でも問題があります。
したがって、iptables
ルールセットを RHEL 7 から RHEL 8 に移行すると、ipset
ルックアップに関連するルールが機能しなくなり、調整する必要がある場合があります。この問題を回避するには、--packets-gt
オプションまたは --bytes-gt
オプションの使用を回避し、それらを --packets-lt
オプションまたは --bytes-lt
オプションに置き換えてください。
(BZ#1806882)
nfp
ドライバーを使用する Netronome ネットワークカードで XDP プログラムのアンロードに失敗する
Netronome ネットワークカードの nfp
ドライバーにはバグがあります。したがって、このようなカードを使用し、XDP_FLAGS_REPLACE
フラグとともに IFLA_XDP_EXPECTED_FD
機能を使用して XDP プログラムを読み込むと、eXpress Data Path (XDP ) プログラムのアンロードに失敗します。たとえば、このバグは、libxdp
ライブラリーを使用して読み込まれた XDP プログラムに影響します。現在、この問題に対する回避策はありません。
ip
起動オプションで DHCP を使用する場合に Anaconda にネットワークアクセスがない
初期 RAM ディスク (initrd
) は、NetworkManager を使用してネットワークを管理します。RHEL 8.3 ISO ファイルが提供する dracut
NetworkManager モジュールは誤って、Anaconda 起動オプションの ip
オプションの最初のフィールドが常に設定されていると仮定していました。そのため、DHCP を使用して ip=::::<host_name>::dhcp
を設定すると、NetworkManager は IP アドレスを取得せず、Anaconda でネットワークを利用できませんでした。
この問題を回避するには、以下のオプションを使用できます。
ip`option to `.
(ピリオド) の最初のフィールドを定します。ip=.::::<host_name>::dhcp
この回避策は、問題が修正された場合に RHEL の今後のバージョンでは機能しないことに注意してください。
-
バグの修正が含まれる BaseOS リポジトリーから最新のパッケージを使用して、
boot.iso
ファイルを再作成します。
# lorax '--product=Red Hat Enterprise Linux' --version=8.3 --release=8.3 \ --source=<URL_to_BaseOS_repository> \ --source=<URL_to_AppStream_repository> \ --nomacboot --buildarch=x86_64 '--volid=RHEL 8.3' <output_directory>
.Red Hat は、自己作成された ISO ファイルをサポートしていないことに注意してください。
これにより、RHEL は DHCP サーバーから IP アドレスを取得し、Anaconda でネットワークアクセスを利用することができます。
(BZ#1902791)
5.7.6. カーネル
tboot-1.9.12-2
ユーティリティーを使用すると、RHEL 8 でシステムが起動できない
バージョン 1.9.12-2 の tboot
ユーティリティーにより、TPM(Trusted Platform Module)2.0 の一部のシステムがレガシーモードでの起動に失敗します。これにより、tboot Grand Unified Bootloader(GRUB) エントリーから起動を試みると、システムは停止します。この問題を回避するには、バージョン 1.9.10 の tboot
にダウングレードします。
(BZ#1947839)
カーネルが IBM Z システムで誤検出の警告を返す
RHEL 8 では、IBM Z システムで ZONE_DMA
メモリーゾーンのホワイトリストエントリーが含まれており、ユーザーアクセスが許可されます。したがって、カーネルは以下のような誤検出の警告を返します。
... Bad or missing usercopy whitelist? Kernel memory exposure attempt detected from SLUB object 'dma-kmalloc-192' (offset 0, size 144)! WARNING: CPU: 0 PID: 8519 at mm/usercopy.c:83 usercopy_warn+0xac/0xd8 ...
sysfs
インターフェイスから特定のシステム情報にアクセスする際に警告が表示されます。たとえば、debuginfo.sh
スクリプトを実行するなどです。
この問題を回避するには、hardened_usercopy=off
パラメーターをカーネルコマンドラインに追加します。
これにより、上記のシナリオで警告メッセージが表示されなくなります。
(BZ#1660290)
rngd
サービスのビジー待機により、FIPS モードで CPU が完全に消費される
バージョン 4.18.0-193.10 で始まるカーネル用に、FIPS モードの新しいカーネルエントロピーソースが追加されました。その結果、FIPS モードでは、rngd
サービスのビジー状態が /dev/random
デバイスの poll()
システムコールを待つため、CPU 時間が 100% 消費していました。この問題を回避するには、以下を実行して rngd
を停止して無効にします。
# systemctl stop rngd # systemctl disable rngd
その結果、rngd
は上記のシナリオで poll()
でビジー待機しなくなりました。
(BZ#1884857)
softirq
の変更により、負荷が大きい場合に localhost インターフェイスが UDP パケットをドロップできるようになります
Linux カーネルのソフトウェア割り込み (softirq
) 処理の変更を行い、サービス拒否 (DOS) の影響を軽減します。その結果、これにより、localhost インターフェイスが負荷が大きいときに localhost インターフェイスが UDP (User Datagram Protocol) パケットをドロップする状況が生じます。
この問題を回避するには、ネットワークデバイスのバックログバッファーのサイズを 6000: の値に増やします。
echo 6000 > /proc/sys/net/core/netdev_max_backlog
Red Hat テストでは、パケットロスを防ぐために十分な値でした。より負荷の高いシステムには、より大きなバックログ値が必要になる場合があります。バックログが増えると、ローカルホストインターフェイスのレイテンシーが増加する可能性があります。
その結果、バッファーを増やし、より多くのパケットを処理まで待機できるため、ローカルホストパケットをドロップする可能性を減らすことができます。
(BZ#1779337)
vmcore
キャプチャーはメモリーのホットプラグまたはアンプラグの操作を実行した後に失敗します。
メモリーのホットプラグまたはホットアンプラグ操作の実行後に、メモリーのレイアウト情報を含むデバイスツリーを更新するとイベントが発生します。これにより、makedumpfile
ユーティリティーは存在しない物理アドレスにアクセスしようとします。以下の条件を満たすと問題が発生します。
- IBM Power System (little endian) で RHEL 8 を実行する。
-
システムで
kdump
サービスまたはfadump
サービスが有効になっている。
このような場合に、メモリーホットプラグまたはホットアンプラグの操作後にカーネルクラッシュが発生すると、カーネルのキャプチャーで vmcore
の保存に失敗します。
この問題を回避するには、ホットプラグまたはホットアンプラグ後に kdump
サービスを再起動します。
# systemctl restart kdump.service
これにより、上記のシナリオで vmcore
が正常に保存されます。
(BZ#1793389)
irqpoll
を使用すると vmcore
の生成に失敗します。
Amazon Web Services (AWS) クラウドプラットフォームで実行している 64 ビット ARM アーキテクチャー上には nvme
ドライバーの既存の問題があります。この問題により、最初のカーネルに irqpoll
カーネルコマンドラインパラメーターを指定すると vmcore
の生成に失敗します。したがって、カーネルクラッシュ後に vmcore
が /var/crash/
ディレクトリーにダンプされません。この問題を回避するには、以下を実行します。
-
/
/etc/sysconfig/kdump
ファイルのKDUMP_COMMANDLINE_REMOVE
キーにirqpoll
を追加します。 -
systemctl restart kdump
コマンドを実行して、kdump
サービスを再起動します。
その結果、最初のカーネルが正常に起動し、カーネルクラッシュ時に vmcore
がキャプチャーされることが予想されます。
kdump
サービスは、大量のクラッシュカーネルメモリーを使用して vmcore
ファイルをダンプできることに注意してください。キャプチャーカーネルには、kdump
サービス用のメモリーが十分あることを確認します。
(BZ#1654962)
RHEL 8 で、デバッグカーネルがクラッシュキャプチャー環境で起動に失敗します。
デバッグカーネルのメモリー要求の性質により、デバッグカーネルが使用中で、カーネルパニックが発生すると、問題が発生します。その結果、デバッグカーネルはキャプチャーカーネルとして起動できず、代わりにスタックトレースが生成されます。この問題を回避するには、クラッシュカーネルメモリーを適宜増やします。これにより、デバッグカーネルが、クラッシュキャプチャー環境で正常に起動します。
(BZ#1659609)
zlib
は、一部の圧縮機能で vmcore
キャプチャーの速度を低下させる可能性があります。
kdump
設定ファイルはデフォルトで、lzo
圧縮形式 (makedumpfile -l
) を使用します。zlib
圧縮形式 (makedumpfile -c
) を使用して設定ファイルを変更すると、vmcore
のキャプチャープロセスの速度を低下させる代わりに、圧縮の因子が改善される可能性が高くなっています。これにより、lzo
と比較して、kdump
が zlib
で vmcore
をキャプチャーするのに最大 4 倍の時間がかかります。
このように、Red Hat は、速度が主要な要因である場合に、デフォルトの lzo
を使用することを推奨します。ただし、ターゲットマシンで利用可能な領域が少ない場合は、zlib
の方が適しています。
(BZ#1790635)
HP NMI ウォッチドッグが常にクラッシュダンプを生成しない
特定に場合において、HP NMI ウォッチドッグの hpwdt
ドライバーは、マスク不可割り込み (NMI) が perfmon
ドライバーにより使用されたため、HPE ウォッチドッグタイマーが生成した NMI を要求できません。
欠落している NMI は、以下の 2 つの条件のいずれかによって開始されます。
- Integrated Lights-Out (iLO) サーバー管理ソフトウェアの NMI 生成 ボタン。このボタンはユーザーがトリガーします。
-
hpwdt
ウォッチドッグ。デフォルトでは、有効期限により NMI がサーバーに送信されます。
通常、両方のシーケンスは、システムが応答しない場合に発生します。通常、これらの状況の NMI ハンドラーは kernel panic()
関数を呼び出します。また、設定されていれば、kdump
サービスが vmcore
ファイルを生成します。
ただし、NMI が見つからないため、kernel panic()
は呼び出されず、vmcore
が収集されません。
最初のケース (1.) でシステムが応答しない場合は、その状態のままになります。このシナリオを回避するには、仮想 電源 ボタンを使用してサーバーをリセットするか、電源を切って入れ直します。
2 つ目のケース (2.) では、欠落している NMI が Automated System Recovery (ASR) からのリセットの後 9 秒後に続きます。
HPE Gen9 Server ラインでは、1 桁台の割合でこの問題が発生します。Gen10 の周波数がさらに小さくなる。
(BZ#1602962)
tuned-adm profile powersave
コマンドを使用すると、システムが応答しなくなります。
tuned-adm profile powersave
コマンドを実行すると、古い Thunderx (CN88xx) プロセッサーを持つ Penguin Valkyrie 2000 2 ソケットシステムが応答しなくなります。これにより、作業を再開するためシステムを再起動することになります。この問題を回避するには、システムが上記の仕様と一致する場合には powersave
プロファイルの使用を避けてください。
(BZ#1609288)
デフォルトの 7 4 1 7 printk
値により、一時的なシステムが応答しなくなることがあります。
デフォルトの 7 4 1 7 printk
値を使用することで、カーネルアクティビティーのデバッグを改善できます。ただし、シリアルコンソールと組み合わせると、この printk
設定により、RHEL システムが一時的に応答しなくなるような激しい I/O がバーストする可能性があります。この問題を回避するには、新しい optimize-serial-console
TuneD プロファイルを追加し、デフォルトの printk
値を 4 4 1 7 に減らします。ユーザーは、以下のようにシステムをインストルメント化できます。
# tuned-adm profile throughput-performance optimize-serial-console
再起動後も printk
値を短くすると、システムがハングする可能性が低くなります。
この設定変更は、余分なデバッグ情報が失われる代償を伴うことに注意してください。
新たに追加された機能の詳細は、printk
の値を減らして I/O をシリアルコンソールに減らす新しい optimize-serial-console
TuneD プロファイル を参照してください。
(JIRA:RHELPLAN-28940)
カーネル ACPI ドライバーは、PCIe ECAM メモリーリージョンにアクセスできないことを報告します。
ファームウェアが提供する Advanced Configuration and Power Interface (ACPI) テーブルは、PCI バスデバイスの現在のリソース設定 (_CRS) メソッドにおいて PCI バス上のメモリーリージョンを定義しません。したがって、システムの起動時に以下の警告メッセージが表示されます。
[ 2.817152] acpi PNP0A08:00: [Firmware Bug]: ECAM area [mem 0x30000000-0x31ffffff] not reserved in ACPI namespace [ 2.827911] acpi PNP0A08:00: ECAM at [mem 0x30000000-0x31ffffff] for [bus 00-1f]
ただし、カーネルは依然として 0x30000000-0x31ffffff
メモリーリージョンにアクセスできます。また、そのメモリーリージョンを PCI Enhanced Configuration Access Mechanism (ECAM) に適切に割り当てることができます。以下の出力で 256 バイトオフセットで PCIe 設定領域にアクセスして、PCI ECAM が正常に機能することを確認できます。
03:00.0 Non-Volatile memory controller: Sandisk Corp WD Black 2018/PC SN720 NVMe SSD (prog-if 02 [NVM Express]) ... Capabilities: [900 v1] L1 PM Substates L1SubCap: PCI-PM_L1.2- PCI-PM_L1.1- ASPM_L1.2+ ASPM_L1.1- L1_PM_Substates+ PortCommonModeRestoreTime=255us PortTPowerOnTime=10us L1SubCtl1: PCI-PM_L1.2- PCI-PM_L1.1- ASPM_L1.2- ASPM_L1.1- T_CommonMode=0us LTR1.2_Threshold=0ns L1SubCtl2: T_PwrOn=10us
これにより、警告メッセージを無視します。
問題の詳細は、Firmware Bug: ECAM area mem 0x30000000-0x31ffffff
not reserved in ACPI namespace" appears during system boot を参照してください。
(BZ#1868526)
OPEN MPI ライブラリーは、デフォルトの PML でランタイムが失敗する可能性があります。
OPEN Message Passing Interface (OPEN MPI) 実装 4.0.x シリーズでは、UCX (Unified Communication X) がデフォルトの PML (ポイントツーポイント) です。OPEN MPI 4.0.x シリーズの新しいバージョンでは、openib
Byte Transfer Layer (BTL) が非推奨になりました。
ただし、OPEN MPI は 同種 クラスター (同じハードウェアおよびソフトウェア設定) で実行される場合も、UCX は MPI openib
の一方向操作に BTL を使用します。これにより、実行エラーが発生する可能性があります。この問題を回避するには、以下を実行します。
-
以下のパラメーターを使用して
mpirun
コマンドを実行します。
-mca btl openib -mca pml ucx -x UCX_NET_DEVICES=mlx5_ib0
詳細は以下のようになります。
-
-mca btl openib
パラメーターはopenib
BTL を無効にします。 -
-mca pml ucx
パラメーターは、ucx
PML を使用するように OPEN MPI を設定します。 -
x UCX_NET_DEVICES=
パラメーターは、指定したデバイスを使用するように UCX を制限します。
OPEN MPI は、異種 クラスター (ハードウェアおよびソフトウェア設定に異なる) を実行する場合は、デフォルトの PML として UCX を使用します。これにより、OPEN MPI ジョブが不安定なパフォーマンス、応答しない動作で実行されたり、またはクラッシュによる不具合とともに実行される可能性があります。この問題を回避するには、UCX の優先度を以下のように設定します。
-
以下のパラメーターを使用して
mpirun
コマンドを実行します。
-mca pml_ucx_priority 5
これにより、OPEN MPI ライブラリーは、UCX を介して利用可能な別のトランスポート層を選択することができます。
(BZ#1866402)
5.7.7. ファイルシステムおよびストレージ
/boot
ファイルシステムを LVM に配置することができません。
/boot
ファイルシステムを LVM 論理ボリュームに配置することはできません。この制限は、以下の理由により存在します。
-
EFI システムでは、EFI システムパーティション が従来の
/boot
ファイルシステムとして機能します。uEFI 標準では、特定の GPT パーティションタイプと、このパーティションの特定のファイルシステムタイプが必要です。 -
RHEL 8 は、システムブートエントリーに Boot Loader Specification (BLS) を使用します。この仕様では、プラットフォームのファームウェアが
/boot
ファイルシステムを読み込める必要があります。EFI システムでは、プラットフォームファームウェアは uEFI 標準で定義された/boot
設定のみを読み取ることができます。 - GRUB 2 ブートローダーでの LVM 論理ボリュームに対するサポートは完全ではありません。Red Hat は、uEFI や BLS などの標準があるので、この機能のユースケース数が減少しているため、サポートを改善する予定はありません。
Red Hat では、LVM での /boot
のサポートを提供する予定はありません。代わりに、Red Hat は、/boot
ファイルシステムを LVM 論理ボリュームに配置する必要がないシステムスナップショットおよびロールバックを管理するツールを提供します。
(BZ#1496229)
LVM で、複数のブロックサイズを持つボリュームグループが作成できない
vgcreate
または vgextend
などの LVM ユーティリティーでは、物理ボリューム (PV) の論理ブロックサイズが異なるボリュームグループ (VG) を作成できなくなりました。別のブロックサイズの PV で基礎となる論理ボリューム (LV) を拡張するとファイルシステムがマウントに失敗するため、LVM はこの変更を採用しました。
ブロックサイズが混在する VG の作成を再度有効にするには、lvm.conf
ファイルの allow_mixed_block_sizes=1
オプションを設定します。
LVM writecache
の制限
writecache
LVM キャッシュメソッドには以下の制限がありますが、cache
メソッドには存在しません。
-
pvmove
コマンドを使用すると、writecache
論理ボリュームに名前を付けることはできません。 -
writecache
を指定した論理ボリュームは、シンプールまたは VDO と組み合わせて使用できません。
以下の制限は、cache
メソッドにも適用されます。
-
cache
またはwritecache
がアタッチされている間は、論理ボリュームのサイズを変更することはできません。
(JIRA:RHELPLAN-27987, BZ#1798631, BZ#1808012)
LUKS ボリュームを格納する LVM mirror
デバイスが応答しなくなることがあります。
セグメントタイプが mirror
のミラーリング LVM デバイスで LUKS ボリュームを格納すると、特定の条件下で応答しなくなる可能性があります。デバイスが応答しなくなると、すべての I/O 操作を拒否します。
耐障害性のソフトウェア定義ストレージに、LUKS ボリュームをスタックする必要がある場合に、この問題を回避するには、Red Hat はセグメントタイプが mirror
ではなく raid1
の LVM RAID 1 デバイスを使用することを推奨します。
raid1
のセグメントタイプは、デフォルトの RAID 設定タイプで、mirror
の代わりに、推奨のソリューションとしてこのタイプが使用されます。
mirror
デバイスを raid1
に変換するには、ミラーリングされた LVM デバイスの RAID1 デバイスへの変換 を参照してください。
(BZ#1730502)
NFS 4.0 パッチにより、オープンな高ワークロードでパフォーマンスが低下する可能性があります。
以前、場合によっては NFS のオープン操作で、サーバー上のファイルが削除されたり、名前が変更されたりするという事実を見落とすというバグが修正されています。ただし、この修正により、多くのオープンな操作が必要とるするワークロードのパフォーマンスが遅くなる可能性があります。この問題を回避するには、NFS バージョン 4.1 以降を使用します。これは、多くの場合においてクライアントに委譲を付与するように改善されています。このため、クライアントがローカルに素早く安全にオープン操作を実行できます。
(BZ#1748451)
5.7.8. 動的プログラミング言語、Web サーバー、およびデータベースサーバー
32 ビットアプリケーションで呼び出されると getpwnam()
が失敗する場合がある
NIS のユーザーが getpwnam()
関数を呼び出す 32 ビットアプリケーションを使用する場合は、nss_nis.i686
パッケージがないと呼び出しに失敗します。この問題を回避するには、yum install nss_nis.i686
コマンドを使用して、不足しているパッケージを手動でインストールします。
OpenLDAP ライブラリー間のシンボルの競合により、httpd
でクラッシュが発生することがある
OpenLDAP が提供する libldap
ライブラリーと libldap_r
ライブラリーの両方が、単一のプロセス内にロードされ、使用されると、これらのライブラリー間でシンボルの競合が発生する可能性があります。そのため、httpd
設定によって mod_security
または mod_auth_openidc
モジュールもロードされると、PHP ldap
拡張機能を使用する Apache httpd
子プロセスが突然終了する可能性があります。
Apache Portable Runtime (APR) ライブラリーに対する今回の更新では、APR_DEEPBIND
環境変数を設定することでこの問題を回避できます。これにより、httpd
モジュールのロード時に RTLD_DEEPBIND
動的リンカーオプションを使用できるようになります。APR_DEEPBIND
環境変数を有効にすると、競合するライブラリーをロードする httpd
設定でクラッシュが発生しなくなります。
(BZ#1819607)
MariaDB
で PAM プラグインが機能しない
MariaDB 10.3
は、PAM (Pluggable Authentication Modules) プラグインバージョン 1.0 を提供します。RHEL 8 では、MariaDB
PAM プラグインバージョン 1.0 は機能しません。この問題を回避するには、mariadb:10.5
モジュールストリームによって提供される PAM プラグインバージョン 2.0 を使用します。これは、RHEL 8.4 で利用できます。
5.7.9. ID 管理
すべての KRA メンバーが非表示レプリカの場合は、KRA のインストールに失敗します。
最初の KRA インスタンスが非表示レプリカにインストールされている場合、Key Recovery Authority (KRA) がすでに存在するクラスターでは ipa-kra-install
ユーティリティーで問題が発生します。そのため、これ以上、追加の KRA インスタンスをクラスターに追加することはできません。
この問題を回避するには、新しい KRA インスタンスを追加する前に、KRA ロールが割り当てられた非表示レプリカを解除します。Ipa-kra-install
が正常に終了してから、レプリカを再度非表示にできます。
--agent-uid pkidbuser
オプションを指定して cert-fix
ユーティリティーを使用すると、証明書システムが破損します。
--agent-uid pkidbuser
オプションを指定して cert-fix
ユーティリティーを使用すると、証明書システムの LDAP 設定が破損します。したがって、証明書システムは不安定になり、システムの復元に手動の操作が必要になる可能性があります。
PKI CA に接続する PKI ACME Responder が発行する証明書により、OCSP の検証が失敗する可能性があります。
PKI CA が提供するデフォルトの ACME 証明書プロファイルには、実際の OCSP サービスを参照しないサンプル OCSP URL が含まれています。これにより、PKI ACME Responder が PKI CA 発行者を使用するように設定されている場合、レスポンダーが発行する証明書は OCSP 検証に失敗する可能性があります。
この問題を回避するには、/usr/share/pki/ca/profiles/ca/acmeServerCert.cfg
設定ファイルの policyset.serverCertSet.5.default.params.authInfoAccessADLocation_0 プロパティーを空の値に設定する必要があります。
-
ACME Responder 設定ファイルで
policyset.serverCertSet.5.default.params.authInfoAccessADLocation_0=http://ocsp.example.com
をpolicyset.serverCertSet.5.default.params.authInfoAccessADLocation_0=
に変更します。 - サービスを再起動して、証明書を再生成します。
これにより、PKI CA は、実際の OCSP サービスを参照する自動生成 OCSP URL で ACME 証明書を生成します。
FreeRADIUS が 249 文字を超える Tunnel-Passwords を断りなく切り捨てます。
Tunnel-Password が 249 文字を超える場合、FreeRADIUS サービスはそのパスワードを断りなく切り捨てます。これにより、他のシステムと矛盾する想定外のパスワードになる可能性があります。
この問題を回避するには、249 文字以下のパスワードを選択します。
IdM ホストの /var/log/lastlog
分析ファイルが、パフォーマンスの問題を引き起こす可能性があります。
IdM のインストール時に、利用できる合計 10,000 の範囲からの 200,000 の UID の範囲が無作為に選択され、割り当てられます。このようにランダムな範囲を選択すると、今後別の 2 つの IdM ドメインを統合する場合に、ID の競合が発生する可能性を大幅に削減できます。
ただし、UID が多いと、/var/log/lastlog
ファイルで問題が発生する可能性があります。たとえば、1280000008 の UID を持つユーザーが IdM クライアントにログインすると、ローカルの /var/log/lastlog
ファイルサイズは、約 400 GB に増えます。実際のファイルはスパースで、その領域をすべて使用しません。ただし、一部のアプリケーションはデフォルトではスパースファイルを識別するように設計されています。そのため、それらを処理する特定のオプションが必要になる場合があります。たとえば、設定が複雑でバックアップ、コピーアプリケーションがスパースファイルを正しく処理しない場合、ファイルはサイズが 400 GB であるかのようにコピーされます。この動作により、パフォーマンスの問題が発生する可能性があります。
この問題を回避するには、以下を実行します。
- 標準パッケージの場合は、そのドキュメントを参照して、スパースファイルを処理するオプションを特定します。
-
カスタムアプリケーションの場合、
/var/log/lastlog
などのスパースファイルを正しく管理できることを確認してください。
(JIRA:RHELPLAN-59111)
ldap_id_use_start_tls
オプションのデフォルト値を使用する場合の潜在的なリスク
ID ルックアップに TLS を使用せずに ldap://
を使用すると、攻撃ベクトルのリスクが生じる可能性があります。特に、中間者 (MITM) 攻撃は、攻撃者が、たとえば、LDAP 検索で返されたオブジェクトの UID または GID を変更することによってユーザーになりすますことを可能にする可能性があります。
現在、TLS を強制する SSSD 設定オプション ldap_id_use_start_tls
は、デフォルトで false
に設定されています。セットアップが信頼できる環境で動作していることを確認し、id_provider = ldap
に暗号化されていない通信を使用しても安全かどうかを判断してください。注記: id_provider = ad
および id_provider = ipa
は、SASL および GSSAPI によって保護された暗号化接続を使用するため、影響を受けません。
暗号化されていない通信を使用することが安全ではない場合は、/etc/sssd/sssd.conf
ファイルで ldap_id_use_start_tls
オプションを true
に設定して TLS を強制します。デフォルトの動作は、RHEL の将来のリリースで変更される予定です。
(JIRA:RHELPLAN-155168)
5.7.10. デスクトップ
ソフトウェアリポジトリーからの flatpak
リポジトリーの無効化ができません。
現時点で、GNOME Software ユーティリティーの Software Repositories ツールで flatpak
リポジトリーを無効化または削除することはできません。
ドラッグアンドドロップが、デスクトップとアプリケーション間で機能しません。
gnome-shell-extensions
パッケージのバグにより、ドラッグアンドドロップ機能は現在、デスクトップとアプリケーションの間では機能しません。この機能のサポートは、今後のリリースで追加される予定です。
Generation 2 の RHEL 8 仮想マシンが Hyper-V Server 2016 ホストで起動できない場合があります。
Microsoft Hyper-V Server 2016 ホストで実行している仮想マシンで RHEL 8 をゲストオペレーティングシステムとして使用すると、仮想マシンが起動しなくなり、GRUB ブートメニューに戻る場合があります。さらに、以下のエラーが Hyper-V イベントログに記録されます。
The guest operating system reported that it failed with the following error code: 0x1E
このエラーは、Hyper-V ホストの UEFI ファームウェアバグが原因で発生します。この問題を回避するには、Hyper-V Server 2019 をホストとして使用します。
(BZ#1583445)
5.7.11. グラフィックインフラストラクチャー
radeon
がハードウェアを適切なハードウェアリセットに失敗します。
現在、radeon
カーネルドライバーは、kexec コンテキストでハードウェアを正しくリセットしません。代わりに radeon
がフェイルオーバーします。これにより、kdump サービスの残りの部分が失敗します。
この問題を回避するには、/etc/kdump.conf
ファイルに以下の行を追加して、kdump で radeon
を無効にします。
dracut_args --omit-drivers "radeon" force_rebuild 1
マシンと kdump を再起動します。kdumpの起動後、設定ファイルから force_rebuild 1
行が削除される可能性があります。
このシナリオでは、kdump 中にグラフィックは利用できませんが、kdump は正常に動作します。
(BZ#1694705)
1 つの MST トポロジーで複数の HDR ディスプレイを使用すると、電源が入らないことがあります。
nouveau
ドライバーの NVIDIA Turing GPUs を使用するシステムで、DisplayPort
ハブ (ラップトップのドックなど) を使用して HDR プラグインのサポートがあるモニターを複数接続すると、電源が入らないことがあります。これは、全ディスプレイをサポートする帯域幅がハブ上にないと、システムが誤って判断してしまうことが原因で発生します。
(BZ#1812577)
sudo
コマンドを使用してグラフィカルアプリケーションを実行できません。
権限が昇格されたユーザーで、グラフィカルアプリケーションを実行しようとすると、エラーメッセージが表示され、アプリケーションを開くことができません。この障害は、Xauthority
ファイルで、通常ユーザーの認証情報を使用して認証するように、Xwayland
に制限が加えられているため発生します。
この問題を回避するには、sudo -E
コマンドを使用して、root
ユーザーとしてグラフィカルアプリケーションを実行します。
VNC Viewer が、IBM Z で 16 ビットのカラーデプスで誤った色を表示
VNC Viewer アプリケーションは、16 ビットのカラーデプスで IBM Z サーバーの VNC セッションに接続すると、誤った色を表示します。
この問題を回避するには、VNC サーバーで 24 ビットのカラーデプスを設定します。Xvnc
サーバーの場合は、Xvnc
設定で -depth 16
オプションを -depth 24
に置き換えます。
その結果、VNC クライアントで色が正しく表示されますが、サーバーでは、より多くのネットワーク帯域幅が使用されます。
ARM でハードウェアアクセラレーションがサポートされない
組み込みグラフィックドライバーは、64 ビット ARM アーキテクチャー上のハードウェアアクセラレーションまたは Vulkan API に対応していません。
ARM でハードウェアアクセラレーションまたは Vulkan を有効にするには、プロプライエタリーの Nvidia ドライバーをインストールします。
(JIRA:RHELPLAN-57914)
NVIDIA Ampere で RHEL インストーラーが応答しなくなる
RHEL 8.3.0 は NVIDIA Ampere GPU に対応していません。NVIDIA Ampere GPU を持つシステムで RHEL インストールを開始すると、インストーラーが応答しなくなります。したがって、インストールは正常に完了できません。
NVIDIA Ampere ファミリーには、以下の GPU モデルが含まれます。
- GeForce RTX 3060 Ti
- GeForce RTX 3070
- GeForce RTX 3080
- GeForce RTX 3090
- RTX A6000
- NVIDIA A40
- NVIDIA A100
- NVIDIA A100 80GB
この問題を回避するには、nouveau
グラフィックスドライバーを無効にして、テキストモードで RHEL をインストールします。
- インストーラーの起動メニューで起動します。
カーネルコマンドラインに
nouveau.modeset=0
オプションを追加します。詳細は 起動オプションの編集 を参照してください。
- システムに RHEL をインストールします。
-
新たにインストールした RHEL で起動起動メニューで、カーネルコマンドラインに
nouveau.modeset=0
オプションを追加します。 nouveau
ドライバーを永続的に無効にします。# echo 'blacklist nouveau' >> /etc/modprobe.d/blacklist.conf
これにより、インストールが正常に完了し、RHEL がテキストモードで実行されるようになりました。
オプションとして、プロプライエタリー NVIDIA GPU ドライバーをインストールして、グラフィックスを有効にできます。手順は、RHEL 8 に NVIDIA プロプライエタリードライバーをインストールする方法 を参照してください。
(BZ#1903890)
5.7.12. Web コンソール
非特権ユーザーがサブスクリプションページにアクセスできます。
管理者以外のユーザーが Web コンソールの サブスクリプションページ に移動すると、Web コンソールでは、Cockpit had an unexpected internal error
(Cockpit に予期しない内部エラーが発生しました) という一般的なエラーメッセージが表示されます。
この問題を回避するには、権限のあるユーザーで Web コンソールにサインインし、Reuse my password for privileged tasks チェックボックスをチェックします。
5.7.13. Red Hat Enterprise Linux システムロール
システムロールロギングでは、oVirt
入力および elasticsearch
出力機能に対応していません。
システムロールロギングでは、oVirt
入力と elasticsearch
の出力はサポートされていませんが、README ファイルで説明されています。現在利用できる回避策はありません。
5.7.14. 仮想化
QXL で、Wayland を使用する仮想マシンの複数のモニターを表示できません。
remote-viewer
ユーティリティーを使用して、Wayland ディスプレイサーバーを使用している仮想マシンのモニターを複数表示すると、仮想マシンが応答しなくなり、Waiting for display というステータスメッセージが永久に表示されます。
この問題を回避するには、Wayland を使用する仮想マシンの GPU デバイスとして qxl
の代わりに virtio-gpu
を使用します。
(BZ#1642887)
virsh iface-\*
コマンドが一貫して動作しません。
現在、virsh iface-*
コマンド (virsh iface-start
、virsh iface-destroy
など) は、設定の依存関係が原因で頻繁に失敗します。したがって、ホストネットワーク接続の設定および管理には virsh iface-\*
コマンドを使用しないことが推奨されます。代わりに、NetworkManager プログラムとその関連管理アプリケーションを使用します。
(BZ#1664592)
多数の virtio-blk ディスクを使用すると、仮想マシンが起動しないことがあります。
多数の virtio-blk デバイスを仮想マシンに追加すると、プラットフォームで利用可能な割り込みベクトルの数が使い切られる可能性があります。これが発生すると、仮想マシンのゲスト OS は起動できず、dracut-initqueue[392]: Warning: Could not boot
エラーが表示されます。
virtio-blk を使用して仮想マシンに LUN デバイスを割り当てると機能しません。
q35 マシンタイプは、移行用の virtio 1.0 デバイスをサポートしないため、RHEL 8 では virtio 1.0 で非推奨となった機能はサポートされません。特に、RHEL 8 ホストで virtio-blk デバイスから SCSI コマンドを送信することはできません。したがって、virtio-blk コントローラーを使用する場合は、物理ディスクを LUN デバイスとして仮想マシンに割り当てると失敗します。
物理ディスクをゲストオペレーティングシステムを通して渡すことは引き続き可能ですが、device='lun'
オプションではなく、device='disk'
オプションで設定する必要があることに留意してください。
(BZ#1777138)
ホストで TSX
が無効になっていると、Cooperlake
を使用する仮想マシンを起動できません。
現在、ホストで TSX
CPU フラグが無効化されている場合、Cooperlake
CPU モデルを使用する仮想マシンは起動に失敗します。代わりに、ホストに以下のエラーメッセージが表示されます。
the CPU is incompatible with host CPU: Host CPU does not provide required features: hle, rtm
このようなホストで仮想マシンが Cooperlake
を使用できるようにするには、VM の XML 設定の VM 設定で HLE、RTM、および TAA_NO のフラグを無効化します。
<feature policy='disable' name='hle'/> <feature policy='disable' name='rtm'/> <feature policy='disable' name='taa-no'/>
仮想マシンが、Witherspoon ホストで起動できないことがあります。
仮想マシン (VM) で pseries -rhel7.6.0-sxxm
マシンタイプを使用すると、DD 2.2 または DD2.3 CPU を使用する Power9 S922LC for HPC ホストで起動できない場合があります。
代わりに仮想マシンを起動しようとすると、以下のエラーメッセージが出力されます。
qemu-kvm: Requested safe indirect branch capability level not supported by kvm
この問題を回避するには、仮想マシンの XML 設定を次のように設定します。
<domain type='qemu' xmlns:qemu='http://libvirt.org/schemas/domain/qemu/1.0'> <qemu:commandline> <qemu:arg value='-machine'/> <qemu:arg value='cap-ibs=workaround'/> </qemu:commandline>
5.7.15. クラウド環境の RHEL
Azure NV6 インスタンスの GPU の問題
Microsoft Azure NV6 インスタンスで RHEL 8 をゲストオペレーティングシステムとして実行すると、仮想マシンの休止から仮想マシンを再開したときに、仮想マシンの GPU が不適切に動作することがあります。これが発生すると、カーネルは以下のメッセージをログに記録します。
hv_irq_unmask() failed: 0x5
(BZ#1846838)
Azure および Hyper-V で kdump が起動しないことがあります。
Microsoft Azure または Hyper-V ハイパーバイザーでホストされている RHEL 8 ゲストオペレーティングシステムでは、実行後通知が有効な場合に kdump
カーネルの起動が失敗することがあります。
この問題を回避するには、crash kexec post notifiers を無効にします。
# echo N > /sys/module/kernel/parameters/crash_kexec_post_notifiers
(BZ#1865745)
VMWare ホストの RHEL 8 仮想マシンで静的 IP を設定できませんでした。
現在、VMWare ホストで RHEL 8 を仮想マシンのゲストオペレーティングシステムとして使用すると、DatasourceOVF 機能は正しく機能しません。これにより、cloud-init
ユーティリティーを使用して、仮想マシンのネットワークを静的 IP に設定し、仮想マシンを再起動すると、仮想マシンのネットワークが DHCP に変更されます。
特定の NIC を搭載した RHEL 8 仮想マシンの Azure のリモートマシンへのコアダンプには、予想よりも長い時間がかかっていました。
現在、kdump
ユーティリティーを使用した、Microsoft Azure ハイパーバイザー上の RHEL 8 仮想マシンのコアダンプファイルのリモートマシンへの保存は、仮想マシンがネットワークアクセラレーションを有効化して NIC を使用している場合は適切に動作しません。これにより、ダンプファイルは即座にではなく、約 200 秒後に保存されます。さらに、ダンプファイルを保存する前に、以下のエラーメッセージがコンソールに記録されます。
device (eth0): linklocal6: DAD failed for an EUI-64 address
(BZ#1854037)
仮想マシンが休止状態から再開した後 TX/RX
パケットカウンターが増加しない
TX/RX
パケットカウンターは、CX4 VF NIC を使用して RHEL 8 仮想マシン (VM) が Microsoft Azure のハイバネートから再開したときに、カウントを停止します。カウンターの動作を維持するには、仮想マシンを再起動します。これを実行すると、カウンターがリセットされることに注意してください。
(BZ#1876527)
RHEL 8 仮想マシンが Azure のハイバネートから再開できない
SR-IOV
が有効になっている RHEL 8 仮想マシンが Microsoft Azure でハイバネートし、割り当て解除すると、Virtual Function (VF)、vmbus
デバイスの GUID が変更になります。その結果、仮想マシンが再起動すると、再開とクラッシュに失敗します。回避策として、Azure シリアルコンソールを使用して仮想マシンのハードリセットを実行します。
(BZ#1876519)
RHEL 7-ALT ホストから RHEL 8 への POWER9 ゲストの移行に失敗する
現在のリリースでは、RHEL 7-ALT ホストシステムから RHEL 8 に POWER9 仮想マシンを移行すると、Migration status: active のステータスで応答がなくなります。
この問題を回避するには、RHEL 7-ALT ホストで Transparent Huge Pages (THP) を無効にすることで、移行が正常に完了します。
(BZ#1741436)
5.7.16. サポート関連
redhat-support-tool
が FUTURE
暗号化ポリシーを使用すると機能しません。
カスタマーポータル API の証明書が使用する暗号化キーは FUTURE
のシステム全体の暗号化ポリシーが定義する要件を満たさないので、現時点で redhat-support-tool
ユーティリティーは、このポリシーレベルでは機能しません。
この問題を回避するには、カスタマーポータル API への接続中に DEFAULT
暗号化ポリシーを使用します。
5.7.17. コンテナー
UDICA が 1.0 の安定したストリームと連携するように想定されていません。
UDICA (コンテナーの SELinux ポリシーを生成するツール ) は、container-tools:1.0
モジュールストリームの podman 1.0.x で実行されるコンテナーで機能するように想定されていません。
(JIRA:RHELPLAN-25571)
podman system connection add
がデフォルトの接続を自動的に設定しない
podman system connection add
コマンドは、最初の接続をデフォルト接続に自動的に設定しません。デフォルトの接続を設定するには、podman system connection default <connection_name>
コマンドを手動で実行する必要があります。