7.5 リリースノート
Red Hat Enterprise Linux 7
Red Hat Enterprise Linux 7.5 リリースノート
概要
本リリースノートでは、Red Hat Enterprise Linux 7.5 での改良点および実装された追加機能の概要、本リリースにおける既知の問題などを説明します。また、重要なバグ修正、テクニカルプレビュー、非推奨の機能などの詳細も説明します。
はじめに
セキュリティー、機能拡張、バグ修正によるエラータなどを集約したものが Red Hat Enterprise Linux (RHEL) のマイナーリリースになります。『Red Hat Enterprise Linux 7.5 リリースノート』 ドキュメントでは、今回のマイナーリリースで Red Hat Enterprise Linux 7 オペレーティングシステム、および付随するアプリケーションに追加された主な変更を説明します。また、既知の問題、および現在利用可能なすべてのテクノロジープレビューの詳細な一覧も紹介します。
他のバージョンと比較した Red Hat Enterprise Linux 7 の機能および制限は、https://access.redhat.com/articles/rhel-limits で利用可能な Red Hat ナレッジベースの記事を参照してください。
このリリースで配布されるパッケージは、Red Hat EnterpriseLinux7 パッケージマニフェスト に記載されています。Red Hat Enterprise Linux 6 からの移行は、Migration Planning Guide. で説明されています。
Red Hat Enterprise Linux のライフサイクルに関する詳細は、https://access.redhat.com/support/policy/updates/errata/ を参照してください。
第1章 概要
セキュリティーおよびコンプライアンス
- クラウドおよびリモートでホストされるシステムのセキュリティーの向上と使いやすさの強化により、起動時にネットワークバインドディスク暗号化デバイスのロックをより安全に解除できるようになります。これにより、不便なタイミングで行われることが多い起動プロセス中に手動で介入する必要がなくなります。
- Red Hat Ansible Automation と OpenSCAP の統合により、コンプライアンス問題の修復の自動化が容易になり、管理者は環境全体にポリシーをより効率的にデプロイできるようになります。
- Precision Time Protocol (PTP) および Network Time Protocol (NTP) のボンディングインターフェイスによるフェイルオーバーの追加により、正確なタイムスタンプと同期のニーズに対応するコンプライアンスが向上しました。
詳細は、14章セキュリティーおよび7章コンパイラーおよびツールを参照してください。
パフォーマンスと効率
- インライン重複排除とプライマリーストレージの圧縮を通じてデータの冗長性を削減するように設計された Virtual Data Optimizer (VDO) の導入。組み込まれたデータ削減テクノロジーにより、ストレージ効率が向上し、ストレージのコストが削減されます。
- 分散ファイルシステム (DFS) は、サーバーメッセージブロック (SMB) プロトコルバージョン 2 および 3 でサポートされています。これにより、Windows システム管理者は複数の SMB ファイルシステムを単一の仮想ファイルシステムに結合できるようになります。
詳しくは、16章ストレージ と 9章ファイルシステム をご覧ください。
プラットフォームの管理性
- Cockpit 管理者コンソールの使いやすさが向上しました。これは、個々のシステムのストレージ、ネットワーキング、コンテナー、サービスなどを管理するためのインターフェイスを簡素化するように設計されています。
- 新しいユーティリティー boomは、LVM スナップショットとイメージのブートローダーエントリーの管理を改善するためのコマンドラインツールと API を提供します。
詳細は、17章システムおよびサブスクリプション管理 と 16章ストレージ を参照してください。
ID 管理とアクセス制御
- Windows Server 2016 のフォレストおよびドメインの機能レベルが、Identity Management によるフォレスト間信頼でサポートされるようになりました。
- Directory Server でのレプリケーション競合エントリーの処理が強化されました。
- OpenLDAP スイートは、ネットワークセキュリティーサービス (Mozilla NSS) の Mozilla 実装ではなく、OpenSSL ライブラリーを使用してコンパイルされるようになりました。
- samba パッケージはアップストリームバージョン 4.7.1 にアップグレードされました。特に、Red Hat Enterprise Linux の Samba スイートはデフォルトで SMB プロトコルバージョン 3 を使用するようになりました。
- System Security Services Daemon (SSSD) の複数の機能拡張が導入されました。
- Identity Management が提供する Active Directory 統合ソリューションのパフォーマンスと安定性が強化されました。
詳細は、5章認証および相互運用性 を参照してください。
新しいカーネルバージョンでのアーキテクチャーのサポート
Red Hat Enterprise Linux 7.5 は、カーネルバージョン 4.14 を含む kernel-alt パッケージとともに配布されます。このカーネルバージョンは、次のアーキテクチャーをサポートします。
- 64 ビット ARM
- IBM POWER9 (リトルエンディアン)
- IBM Z
詳細は、??? を参照してください。
仮想化
- KVM 仮想化が IBM POWER8 システムでサポートされるようになりました。さらに、この更新では、IBM POWER9 (リトルエンディアン) および IBM Z アーキテクチャーでの KVM 仮想化のサポートが導入されています。ただし、これらには、kernel-alt パッケージによって提供されるカーネルバージョン 4.14 を使用する必要があります。
Red Hat Insights
Red Hat Enterprise Linux 7.2 以降では、Red Hat Insights サービスを利用できます。Red Hat Insights は、デプロイメントに影響を与える前に既知の技術的問題を特定、検証、および解決できるように設計されたプロアクティブなサービスです。Insights は、Red Hat サポートエンジニアの知識、文書化されたソリューション、および解決された問題を活用して、関連する実用的な情報をシステム管理者に提供します。
このサービスは、カスタマーポータル で、または Red Hat Satellite を介してホストされ、提供されます。システムを登録するには、Getting Started Guide for Insights に従ってください。
Red Hat Customer Portal Labs
Red Hat カスタマーポータルラボ は、カスタマーポータルの https://access.redhat.com/labs/ セクションで利用可能なツールセットです。Red Hat Customer Portal Labs のアプリケーションは、パフォーマンスの向上、問題の迅速なトラブルシューティング、セキュリティー問題の特定、複雑なアプリケーションの迅速なデプロイメントおよび設定に役立ちます。最も一般的なアプリケーションには、以下のものがあります。
第2章 アーキテクチャー
Red Hat Enterprise Linux 7.5 には、カーネルバージョン 3.10.0-862 が同梱されており、以下のアーキテクチャーに対応します。[1]
kernel-alt パッケージでのアーキテクチャーのサポート
Red Hat Enterprise Linux 7.5 は、カーネルバージョン 4.14 を含む kernel-alt パッケージとともに配布されます。このカーネルバージョンは、次のアーキテクチャーをサポートします。
- 64 ビット ARM
- IBM POWER9 (リトルエンディアン) [5]
- IBM Z
次の表は、Red Hat Enterprise Linux 7.5 で利用可能な 2 つのカーネルバージョンでサポートされるアーキテクチャーの概要を示しています。
アーキテクチャー
|
カーネルバージョン 3.10
|
カーネルバージョン 4.14
|
---|---|---|
64 ビット AMD および Intel | はい | いいえ |
64 ビット ARM | いいえ | はい |
IBM POWER7 (ビッグエンディアン) | はい | いいえ |
IBM POWER8 (ビッグエンディアン) | はい | いいえ |
IBM POWER8 (リトルエンディアン) | はい | いいえ |
IBM POWER9 (リトルエンディアン) | いいえ | はい |
IBM z System | はい[a] | はい (ストラクチャー A) |
[a]
3.10 カーネルバージョンは、IBM Z 上の KVM 仮想化とコンテナーをサポートしません。これらの機能はどちらも、IBM Z 上の 4.14 カーネルでサポートされています。このオファリングは、構造 A とも呼ばれます。
|
[1]
Red Hat Enterprise Linux 7.5 インストールは、64 ビットハードウェアでのみ対応していることに注意してください。Red Hat Enterprise Linux 7.5 は、以前のバージョンの Red Hat Enterprise Linux を含む 32 ビットのオペレーティングシステムを仮想マシンとして実行できます。
[2]
Red Hat Enterprise Linux 7.5 POWER8 (ビッグエンディアン) は、現在、KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 POWER8 システム、および PowerVM の KVM ゲストとしてサポートされます。
[3]
Red Hat Enterprise Linux 7.5 POWER8 (リトルエンディアン) は、現在、KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 POWER8 システム、および PowerVM の KVM ゲストとしてサポートされます。また、Red Hat Enterprise Linux 7.5 POWER8 (リトルエンディアン) のゲストは、kernel-alt パッケージを使用するカーネルバージョン 4.14 における POWER8 互換モードで、KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 POWER9 システムでサポートされます。
[4]
Red Hat Enterprise Linux 7.5 for IBM Z (カーネルバージョン 3.10 および 4.14 の両方) は、現在、kernel-alt パッケージを使用するカーネルバージョン 4.14 で KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 for IBM Z ホストの KVM ゲストとしてサポートされます。
[5]
Red Hat Enterprise Linux 7.5 POWER9 (リトルエンディアン) は、現在、kernel-alt パッケージを使用するカーネルバージョン 4.14 で KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 POWER9 システム、および PowerVM で、KVM ゲストとしてサポートされます。
第3章 外部のカーネルパラメーターに対する重要な変更
本章では、システム管理者向けに、Red Hat Enterprise Linux 7.5 に同梱されるカーネルにおける重要な変更の概要について説明します。この変更には、
proc
エントリー、sysctl
および sysfs
のデフォルト値、boot パラメーター、カーネル設定オプションの追加や更新、注目すべき動作の変更などが含まれます。
カーネルパラメーター
- amd_iommu_intr = [HW,X86-64]
- 次の
AMD IOMMU
割り込み再マッピングモードのいずれかを指定します。レガシー - レガシー割り込み再マッピングモードを使用します。vapic - 仮想 APIC モードを使用します。これにより、IOMMU
がゲストに直接割り込みを挿入できるようになります。このモードにはkvm-amd.avic=1
が必要です。これは、IOMMU HW
サポートが存在する場合のデフォルトです。 - debug_pagealloc = [KNL]
CONFIG_DEBUG_PAGEALLOC
が設定されている場合、このパラメーターは起動時にこの機能を有効にします。これはデフォルトでは無効になります。デバッグページ割り当て
に大量のメモリーが割り当てられるのを避けるには、ブート時にページ割り当てを有効にしないでください。そうすれば、オペレーティングシステムは、CONFIG_DEBUG_PAGEALLOC
を使用せずに構築されたカーネルと同様に動作します。この機能を有効にするには、debug_pagealloc = on
を使用します。- ftrace_graph_max_depth = uint[FTRACE]
- このパラメーターは関数グラフトレーサーで使用されます。これは、関数をトレースする最大の深さを定義します。その値は、
tracefs
トレースディレクトリー内のmax_graph_ Depth
ファイルによって実行時に変更できます。デフォルト値は 0 で、制限が設定されていないことを意味します。 - init_pkru = [x86]
- すべてのプロセスのデフォルトのメモリー保護鍵の権限レジスターの内容を指定します。デフォルト値は 0x55555554 で、pkey 0 以外のすべてへのアクセスが禁止されます。ブート後に debugfs ファイルシステムの値をオーバーライドできます。
- nopku = [x86]
- 一部の Intel CPU にあるメモリー保護キー CPU 機能を無効にします。
- mem_encrypt = [X86-64]
- AMD Secure Memory Encryption (SME) 制御を提供します。有効な引数は、on、off です。デフォルト設定はカーネル設定オプションによって異なります。on : CONFIG_AMD_MEM_ENCRYPT_ACTIVE_BY_DEFAULT=yoff : CONFIG_AMD_MEM_ENCRYPT_ACTIVE_BY_DEFAULT=nmem_encrypt=on: SME をアクティブ化するmem_encrypt=off: SME をアクティブ化しない
Spectre および Meltdown の問題を軽減するカーネルパラメーター
- kpti = [X86-64]
- カーネルページテーブルの分離を有効にします。
- nopti = [X86-64]
- カーネルページテーブルの分離を無効にします。
- nospectre_v2 = [X86]
- Spectre バリアント 2 (間接分岐スペキュレーション) の脆弱性に対するすべての緩和策を無効にします。このオプションを使用すると、オペレーティングシステムによってデータ漏洩が許可される可能性があります。これは spectre_v2=off と同等です。
- spectre_v2 = [X86]
- Spectre バリアント 2 (間接分岐スペキュレーション) の脆弱性の軽減を制御します。有効な引数は、on、off、auto です。on: 無条件に有効にするoff: 無条件に無効にするauto: カーネルが CPU モデルが脆弱かどうかを検出します
on
を選択すると、CPU、利用可能なマイクロコード、CONFIG_RETPOLINE 設定オプション、カーネルがビルドされたコンパイラーに応じて、実行時に緩和方法が選択されます (auto
も可能です)。特定の軽減策を手動で選択することもできます。retpoline: 間接分岐を置き換えますibrs: インテル: Indirect Branch Restricted Speculation (カーネル)ibrs_always: Intel: Indirect Branch Restricted Speculation (カーネルおよびユーザー空間)このオプションを指定しないことは、spectre_v2=auto と同等です。
/proc/sys/net/core エントリーを更新しました
- dev_weight_rx_bias
RFS
やaRFS
などのRPS
処理は、softirq サイクルnetdev_budget
ごとにドライバーの登録済みNAPI
ポーリング関数と競合します。このパラメーターは、RX SoftIRQ サイクル中にRPS
ベースのパケット処理に費やされる、設定されたnetdev_budget
の割合に影響します。また、現在のdev_weight
が、ネットワークスタックの送信側での受信時の非対称 CPU ニーズに適応できるようになります。このパラメーターは CPU ごとに有効です。決定はdev_weight
に基づいて行われ、乗算方法 (dev_weight * dev_weight_rx_bias) で計算されます。デフォルト値は 1 です。- dev_weight_tx_bias
- このパラメーターは、TX Softirq サイクル中に処理できるパケットの最大数を調整します。これは CPU ごとに効果があり、非対称ネットスタック処理のニーズに合わせて現在の
dev_weight
をスケーリングできます。TX Softirq 処理が CPU を大量に消費しないようにしてください。決定はdev_weight
に基づいて行われ、乗算方法 (dev_weight * dev_weight_rx_bias) で計算されます。デフォルト値は 1 です。
パート I. 新機能
ここでは、Red Hat Enterprise Linux 7.5 で導入された新機能と主な機能拡張について説明します。
第4章 全般的な更新
Red Hat Enterprise Linux 6 から Red Hat Enterprise Linux 7 へのインプレースアップグレード
インプレースアップグレードは、既存のオペレーティングシステムを置き換えて、システムを、次のメジャーリリースの Red Hat Enterprise Linux にアップグレードする方法を提供するものです。インプレースアップグレードを実行するには、
Preupgrade Assistant
を使用します。このユーティリティーは、実際のアップグレードを実行する前にシステムのアップグレード問題を確認し、Red Hat Upgrade Tool
に追加のスクリプトを提供します。Preupgrade Assistant
が報告した問題をすべて解決したら、Red Hat Upgrade Tool
を使用して、システムをアップグレードします。
手順とサポートされるシナリオの詳細については、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Migration_Planning_Guide/chap-Red_Hat_Enterprise_Linux-Migration_Planning_Guide-Upgrading.html および https://access.redhat.com/solutions/637583 を参照してください。
Preupgrade Assistant
および Red Hat Upgrade Tool
は Red Hat Enterprise Linux 6 Extras チャンネルで利用可能であることに注意してください。https://access.redhat.com/support/policy/updates/extras を参照してください。(BZ#1432080)
setup パッケージは、予測できない環境設定をオーバーライドする方法を提供するようになりました。
setup パッケージは、環境変数をオーバーライドするための
sh.local
および csh.local
ファイルを、最後に取得される /etc/profile.d
ディレクトリーから提供および取得するようになりました。以前は、特に複数のスクリプトが同じ環境変数を変更した場合、未定義の順序により環境設定が予測不能になる可能性がありました。(BZ#1344007)
第5章 認証および相互運用性
Windows Server 2016 のフォレストとドメインの機能レベルが信頼でサポートされるようになりました
Identity Management を使用する場合、Windows Server 2016 のフォレストおよびドメインの機能レベルで実行される Active Directory フォレストに対して、サポートされているフォレストの信頼を確立できるようになりました。(BZ#1484683)
Directory Server は検索結果にレプリケーション競合エントリーを表示しなくなりました
以前は、レプリケーション競合エントリーがレプリケーショントポロジーに存在する場合、Directory Server はデフォルトで検索結果の一部としてそれらを返しました。その結果、サーバーがそのようなエントリーを返した場合、特定の LDAP クライアントは正しく動作しませんでした。この更新により、サーバーは検索で競合エントリーを返さなくなり、明示的に競合エントリーを要求する必要があります。その結果、クライアントは期待どおりに動作します。
さらに、この更新により、より複雑な競合シナリオの解決が向上します。
詳細は、https://access.redhat.com/documentation/ja-jp/red_hat_directory_server/11/html/administration_guide/managing_replication-solve_common_replication_conflicts を参照してください。(BZ#1274430)
OpenLDAP は NSS ではなく OpenSSL でコンパイルされるようになりました
以前は、OpenLDAP スイートは、ネットワークセキュリティーサービス (Mozilla NSS) の Mozilla 実装を使用していました。この更新により、OpenLDAP は OpenSSL ライブラリーを使用します。NSS データベース (DB) 内の既存の証明書は、自動的に PEM 形式に展開され、OpenSSL に渡されます。
NSS DB は引き続きサポートされることに注意してください。ただし、PEM ファイルなどの OpenSSL に似た設定は、NSS DB などの NSS に似た設定よりも優先されます。(BZ#1400578)
samba がバージョン 4.7.1 にリベースされました。
samba パッケージがアップストリームバージョン 4.7.1 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点は、以下のとおりです。
- 以前は、rpc server dynamic port range パラメーターの既定値は 1024-1300 でした。今回の更新で、デフォルトが 49152-65535 に変更され、Windows Server 2008 以降で使用される範囲に一致するようになりました。必要に応じてファイアウォールルールを更新します。
- Samba は、Intel CPU の Advanced Encryption Standard (AES) 命令セットを使用して、Server Message Block (SMB) 3 の署名および暗号化操作を高速化するようになりました。
- ntlm auth パラメーターのオプションが拡張されました。このパラメーターは、ntlmv2-only (エイリアス no)、ntlmv1-permitted (エイリアス yes)、mschapv2-and-ntlmv2-only、および disabled オプションを受け入れるようになりました。さらに、デフォルト値の名前が no から ntlmv2-only に変更されました。
- smbclient ユーティリティーでは、サーバーに接続するときにドメイン、オペレーティングシステム、サーバーのバージョンを示すバナーが表示されなくなりました。
- クライアント最大プロトコル パラメーターのデフォルト値が SMB3_11 に変更されました。これにより、smbclient などのユーティリティーは、プロトコルバージョンを設定せずに SMB 3.11 プロトコルを使用してサーバーに接続できるようになります。
- 相互運用性を向上させるため、Samba は
CTDB
クラスター内でのマイナーバージョンの混在の使用をサポートしなくなりました。
Samba は、smbd デーモン、nmbd デーモン、または winbind デーモンの起動時に、その tdb データベースファイルを自動的に更新します。Samba を起動する前にデータベースファイルがバックアップされます。Red Hat は、tdb データベースファイルのダウングレードには対応していないことに注意してください。
主な変更の詳細は、更新前にアップストリームのリリースノートを参照してください。
SSSD LDAP プロバイダーは、ユーザーのユーザープライベートグループを自動的に作成できるようになりました。
System Security Services Daemon (SSSD) LDAP プロバイダーを使用する場合、ユーザーグループを各ユーザーに割り当てる必要があります。以前は、管理者は各ユーザーのグループを手動で作成する必要がありました。この更新により、SSSD はユーザーエントリーからユーザープライベートグループを自動的に生成し、UID と GID が一致することを確認します。この機能を有効にするには、
/etc/sssd/sssd.conf
ファイルの LDAP プロバイダーセクションで auto_private_groups オプションを有効にします。(BZ#1327705)
AD ドメインに登録された SSSD は、最初の接続が成功した後に検出された AD サイトを記憶します
以前は、システムセキュリティーサービスデーモン (SSSD) は、クライアントの AD サイトを特定するために、任意の Active Directory (AD) ドメインコントローラー (DC) に LDAP ping を送信していました。接続された DC に到達できない場合は、タイムアウトが発生し、接続が数秒遅れました。今回の更新により、SSSD は最初に成功した検出後にクライアントのサイトを記憶します。後続のすべての LDAP ping はクライアントのサイトから DC 上で実行されるため、要求の高速化に役立ちます。(BZ#1400614)
SSSD はステータスの変化を syslog に記録します
以前は、System Security Services Daemon (SSSD) は、オンラインまたはオフラインのステータスの変更に関する情報を SSSD ログにのみ記録していました。この更新により、SSSD ステータスの変更が syslog サービスにも記録されるため、システム管理者による情報の可用性が向上します。(BZ#1416150)
SSSD のパフォーマンスが向上しました
この更新では、System Security Services Daemon (SSSD) のパフォーマンス関連の機能強化がいくつか提供されます。以下に例を示します。
- 欠落していたいくつかのインデックスが SSSD キャッシュに追加され、キャッシュされたオブジェクトの検索が高速化されました。
- ユーザーとグループの保存方法を変更することにより、キャッシュに多数のキャッシュされたオブジェクトが設定された後に発生する SSSD キャッシュのパフォーマンスの低下が防止されます。
その結果、SSSD はユーザーおよびグループオブジェクト、特に大規模なグループをより高速に読み取ります。また、キャッシュサイズやキャッシュオブジェクトの数が増加した場合でも、SSSD キャッシュのパフォーマンスが安定した状態を維持できるようになりました。(BZ#1472255, BZ#1482555)
pwdhash
ユーティリティーは、設定ディレクトリーからストレージスキームを取得できるようになりました。
以前は、設定ディレクトリーへのパスを
pwdhash
に渡すと、ユーティリティーはディレクトリーサーバーのデフォルトのストレージスキームを使用してパスワードを暗号化していました。この更新により、/etc/dirsrv/slapd- instance_name/dse.ldif
ファイルに対する読み取り権限を持つユーザーとして pwdhash
を実行する場合、pwdhash
ユーティリティーは、cn=config エントリーの nsslapd-rootpwstoragescheme 属性で設定されたストレージスキームを使用します。その結果、Directory Server のデフォルトと異なる場合でも、前述のシナリオでストレージスキームを指定する必要がなくなりました。(BZ#1467777)
2 つの Directory Server インスタンスを比較する新しいユーティリティー
この更新により、
ds-replcheck
ユーティリティーが Directory Server に追加されます。このユーティリティーは、オンラインモードでは 2 つのサーバーのデータを比較し、オフラインモードでは 2 つの LDIF 形式のファイルを比較します。その結果、2 つの Directory Server のレプリケーションの整合性を検証できるようになりました。
詳細は、https://access.redhat.com/documentation/ja-jp/red_hat_directory_server/10/html/administration_guide/comparing_two_directory_server_databases を参照してください。(BZ#1406351)
Directory Server は、読み取り専用レプリカでの memberOf
プラグインの有効化をサポートするようになりました。
以前に読み取り専用のディレクトリーサーバーレプリカサーバー上で
memberOf
プラグインを有効にした場合、プラグインはメンバーエントリーを更新できませんでした。レプリケーショントポロジーでプラグインを使用するには、書き込み可能なサーバーでのみプラグインを有効にし、memberOf
属性を読み取り専用レプリカにレプリケートする必要があります。この更新により、すべてのサーバーでプラグインを有効にすることもできるようになりました。その結果、読み取り専用サーバーでも書き込み可能なサーバーと同じようにプラグインを使用できます。
詳細は、https://access.redhat.com/documentation/ja-jp/red_hat_directory_server/10/html/administration_guide/advanced_entry_management#considerations_when_using_the_memberof_plug-in を参照してください。(BZ#1352121)
Directory Server がバージョン 1.3.7.5 にリベース
389-ds-base パッケージがアップストリームバージョン 1.3.7.5 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点の一覧については、更新前にアップストリームのリリースノートを参照してください。
ディレクトリーサーバーは追加のパスワード保存スキームをサポートします
互換性上の理由から、この更新では、次の脆弱なパスワード保存スキームのサポートがディレクトリーサーバーに追加されます。
- CRYPT-MD5
- CRYPT-SHA256
- CRYPT-SHA512
セキュリティー上の理由から、これらの脆弱なストレージスキーマは既存のインストールに対して一時的にのみ使用し、強力なパスワードストレージスキーマへの移行を検討してください。(BZ#1479012)
ディレクトリーサーバーは、ワーカースレッドごとに個別の正規化された DN キャッシュを使用するようになりました。
以前は、複数のワーカースレッドが単一の正規化された識別名 (DN) キャッシュを使用していました。その結果、複数のクライアントがディレクトリーサーバー上で操作を実行すると、パフォーマンスが低下しました。今回の更新により、ディレクトリーサーバーはワーカースレッドごとに個別の正規化された DN キャッシュを作成するようになりました。その結果、前述のシナリオでパフォーマンスが低下することはなくなりました。(BZ#1458536)
pki-core
がバージョン 10.5.1 にリベースされました
pki-core
パッケージがアップストリームバージョン 10.5.1 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。特に、この更新では、Common Criteria Protection Profile for Certification Authorities Version 2.1 の要件に対応しています。(BZ#1473452)
Certificate System は、CMC を使用した CA、KRA、および OCSP サブシステムのインストールをサポートします
この機能拡張により、CMS (CMC) を介した証明書管理を使用して CA、KRA、または OCSP サブシステムをインストールするメカニズムが提供されます。インストールは 2 つの手順で行われます。インストールの最初のステップでは、システム証明書の証明書署名要求 (CSR) が生成されます。CSR は、CMC を使用してシステム証明書を発行するために使用できます。インストールの 2 番目のステップでは、これらのシステム証明書を使用して、サブシステムのインストールを完了します。(BZ#1464549)
Certificate System は、別のユーザーとして実行されるインスタンスの作成をサポートします
以前は、Certificate System はサービスを開始するために /usr/lib/systemd/system/ ディレクトリーの systemd ユニットファイルのみを使用していました。したがって、pkiuser として別のユーザーまたはグループとして実行するサーバーを作成することはできませんでした。pkispawn ユーティリティーが更新されました。pkispawn に渡された設定ファイルに別のユーザーまたはグループが含まれている場合、ユーティリティーはカスタマイズされた値を含むオーバーライドファイルを /etc/systemd/system/pki-tomcatd@<instance_name>.service.d/user.conf ファイルに作成します。その結果、Certificate System ユーザーをデフォルトとして別のユーザーまたはグループで実行することが可能になります。(BZ#1523410)
Certificate System は、PBKDF2 鍵導出による PBES2 を使用して PKCS #12 ファイルを作成できるようになりました
この更新により、Certificate System が強化され、トークンベースの鍵回復が無効になっている場合に、鍵回復機関 (KRA) から回復された秘密鍵の AES 暗号化のサポートが追加されます。具体的には、AES 暗号化が有効な場合、回復された鍵を含むエクスポートされた PKCS #12 ファイルは、パスワードベースの鍵導出関数 2 (PBKDF2) 鍵導出と AES 128 暗号化を備えた PKCS #5 バージョン 2.0 パスワードベース暗号化仕様バージョン 2 (PBES2) を使用します。PBKDF2 とともに PBES2 を使用すると、Certificate System によって作成されたファイルの安全性が高まります。(BZ#1446786)
Certificate System CA は、以前に発行された署名証明書によって署名された CMC 更新リクエストを処理できるようになりました
この更新により、認証局 (CA) は、以前に発行された署名証明書によって署名された CMS (CMC) による証明書管理の更新要求を処理できるようになります。この実装では、UniqueKeyConstraint 拡張プロファイル制約を備えた caFullCMCUserSignedCert が使用されます。この制約も、失効した証明書によって共有される鍵の更新を禁止するように更新されています。さらに、リクエスト内で同じ鍵を共有する最新の証明書の origNotAfter 属性を保持するため、この属性を RenewGracePeriodConstraint で使用できるようになります。既存の origNotAfter 属性が存在する場合、シリアルフローによる既存の更新 を妨げないように、このプロセスでは上書きされません。さらに、caFullCMCUserSignedCert.cfg プロファイルが更新され、UniqueKeyConstraint と RenewGracePeriodConstraint の 両方が含まれるようになりました。これらは正しい順序で配置する必要があります。デフォルトでは、allowSameKeyRenewal パラメーターは UniqueKeyConstraint で true に設定されていることに注意してください。(BZ#1419761)
Certificate System は Mozilla NSS セキュア乱数ジェネレーターを使用するようになりました
この更新により、Certificate System は Mozilla Network Security Services (NSS) によって提供される安全な乱数ジェネレーターを使用します。これにより、Red Hat Certificate System は、Federal Information Processing Standard (FIPS) 標準の要求に従って、Deterministic Random Bit Generator (DRBG) を Red Hat Enterprise Linux と同期できるようになります。(BZ#1452347)
Certificate System のイベント変更を監査する
Certificate System でより簡潔な監査ログを提供するために、デフォルトで有効になる監査イベントのリストが更新されました。さらに、特定のイベントが統合されるか、その名前が変更されました。
Red Hat Certificate System の監査イベントの完全なリスト (デフォルトで有効になっているサブシステムの情報を含む) については、https://access.redhat.com/documentation/ja-jp/red_hat_certificate_system/9/html/administration_guide/audit_events を参照してください。(BZ#1445532)
krb5 には kdcpolicy
インターフェイスが含まれるようになりました
この更新では、
kdcpolicy
として知られる Kerberos キー配布センター (KDC) ポリシーインターフェイスが krb5 パッケージに導入されます。kdcpolicy
を使用すると、管理者は krb5 にプラグインを提供できます。これにより、チケットの有効期間を制御し、サービスチケットの発行をよりきめ細かく制御できるようになります。
詳細は、MIT Kerberos ドキュメント次のを参照してください。https://web.mit.edu/kerberos/krb5-1.16/doc/plugindev/kdcpolicy.html。(BZ#1462982)
Certificate System は、SKI 拡張の設定可能なハッシュアルゴリズムをサポートするようになりました
以前は、Certificate System は、サブジェクトキー識別子 (SKI) 証明書拡張機能を生成するときに SHA1 ハッシュアルゴリズムのみをサポートしていました。この更新により、管理者は証明書プロファイルで SKI 拡張のハッシュアルゴリズムを設定できるようになりました。
次のアルゴリズムが利用できるようになりました。
- SHA1
- SHA256
- SHA384
- SHA512
デフォルトのアルゴリズムは依然として SHA1 であることに注意してください。したがって、既存のプロファイルは自動的に更新されません。(BZ#1024558)
pki コマンドラインインターフェイスは、デフォルトの NSS データベースを自動的に作成します
pki コマンドラインインターフェイスでは、ユーザー名とパスワードを使用した基本認証を含む、SSL 接続経由で操作を実行するために、ネットワークセキュリティーサービス (NSS) データベースとそのパスワードが必要です。以前は、データベースが存在しないか、データベースのパスワードが指定されていない場合、pki はエラーを表示しました。コマンドラインインターフェイスが更新され、パスワードなしでデフォルトの NSS データベースが
~/.dogtag/nssdb/
ディレクトリーに自動的に作成されるようになりました。その結果、NSS データベースやパスワードを指定せずに SSL 経由の操作を実行できます。(BZ#1400645)
Certificate System がデフォルトで脆弱な 3DES 暗号を無効にします
デフォルトでは、Certificate System は脆弱な Triple Data Encryption Standard (3DES) に基づく暗号を無効にするようになりました。これにより、システムのセキュリティーが向上します。ただし、管理者は必要に応じてこれらの暗号を再度有効にすることができます。詳細は、https://access.redhat.com/documentation/ja-jp/red_hat_certificate_system/9/html/administration_guide/cconfiguring-ciphers を参照してください。
その結果、新しい Certificate System のインストールでは、デフォルトで強力な暗号のみが有効になります。(BZ#1469169)
Certificate System CA サブシステムの OCSP プロバイダーには、応答に nextUpdate フィールドが含まれるようになりました
認証局 (CA) が証明書失効リスト (CRL) キャッシュを使用するように設定されている場合、CA サブシステムのオンライン証明書ステータスプロトコル (OCSP) レスポンダーには、OCSP 応答に nextUpdate フィールドが含まれるようになりました。その結果、このようなシナリオでは、Lightweight OCSP Profile (RFC 5019) に準拠するクライアントが OCSP 応答を処理できるようになりました。(BZ#1523443)
ding-libs がバージョン 0.6.1 にリベースされました
ding-libs パッケージはバージョン 0.6.1 にアップグレードされました。最も注目すべき変更は、値の文字数に対するハードコードされた制限が削除され、使用可能なメモリー量のみが制限になったため、ding-libs がより大きな値を処理できるようになったということです。(BZ#1480270)
第6章 クラスタリング
Pacemaker クラスターをクエリーするための新しい SNMP エージェント
新しい
pcs_snmp_agent
エージェントを使用すると、SNMP を使用して Pacemaker クラスターにデータをクエリーできます。このエージェントは、クラスター、そのノード、およびそのリソースに関する基本情報を提供します。このエージェントの設定の詳細については、pcs_snmp_agent
(8) man ページおよび High Availability Add-On Reference を参照してください。(BZ#1367808)
Amazon Web Services での Red Hat Enterprise Linux High Availability クラスターのサポート
Red Hat Enterprise Linux 7.5 は、Amazon Web Services (AWS) 上の仮想マシン (VM) の高可用性クラスターをサポートします。AWS での Red Hat Enterprise Linux High Availability Cluster の設定については、https://access.redhat.com/articles/3354781 を参照してください。(BZ#1451776)
Microsoft Azure での Red Hat Enterprise Linux High Availability クラスターのサポート
Red Hat Enterprise Linux 7.5 は、Microsoft Azure の仮想マシン (VM) の高可用性クラスターをサポートします。Microsoft Azure での Red Hat Enterprise Linux High Availability クラスターの設定は、https://access.redhat.com/articles/3252491 を参照してください。(BZ#1476009)
関連パラメーターが変更された場合にのみ、リソースのクリーンアップでフェンス解除が行われます
以前は、フェンシング解除をサポートするフェンスデバイス (
fence_scsi
や fence_mpath
など) を含むクラスターでは、一般的なリソースのクリーンアップまたは stonith リソースのクリーンアップを行うと、すべてのリソースの再起動を含め、常にフェンシングが解除されていました。現在、フェンシング解除は、フェンシング解除をサポートするデバイスのパラメーターが変更された場合にのみ行われます。(BZ#1427648)
pcsd ポートが設定可能になりました
pcsd がリッスンするポートを pcsd 設定ファイルで変更できるようになり、pcs はカスタムポートを使用して pcsd と通信できるようになりました。この機能は主にコンテナー内で pcsd を使用するためのものです。(BZ#1415197)
フェンシングとリソースエージェントが AWS Python ライブラリーと CLI クライアントでサポートされるようになりました
この機能強化により、高可用性セットアップでフェンシングとリソースエージェントをサポートするために、Amazon Web Services Python ライブラリー (python-boto3、python-botocore、および python-s3transfer) と CLI クライアント (awscli) が追加されました。(BZ#1512020)
HA セットアップでのフェンシングが Azure Python ライブラリーでサポートされるようになりました
この機能強化により、高可用性セットアップでのフェンシングをサポートするために、Azure Python ライブラリー (python-isodate、python-jwt、python-adal、python-msrest、python-msrestazure、および python-azure-sdk) が追加されました。(BZ#1512021)
sbd
バイナリーに新機能が追加されました。
コマンドラインツールとして使用される
sbd
バイナリーは、次の追加機能を提供するようになりました。
- ウォッチドッグデバイスの機能を簡単に検証
- 利用可能なウォッチドッグデバイスのリストをクエリーする機能
sbd
コマンドラインツールの詳細は、man ページの sbd
(8) を参照してください。(BZ#1462002)
sbd はバージョン 1.3.1 にリベース
sbd パッケージはアップストリームバージョン 1.3.1 にリベースされました。このバージョンでは次の変更が加えられています。
- ウォッチドッグデバイスをテストおよびクエリーするためのコマンドを追加します
- コマンドラインオプションと設定ファイルを徹底的に見直します。
リソースアクションが保留中の場合、クラスターステータスがデフォルトで表示されるようになりました
Pacemaker は、以前はデフォルトで false に設定されていた record-pending オプションをサポートします。つまり、クラスターのステータスにはリソースの現在のステータス (開始または停止) のみが表示されます。現在、record-pending のデフォルトは true です。これは、リソースが起動中または停止中であるときにクラスターのステータスも表示される可能性があることを意味します。(BZ#1461976)
clufter がバージョン 0.77.0 にリベースされました
clufter パッケージはアップストリームバージョン 0.77.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正、新機能、ユーザーエクスペリエンスの強化が提供されます。更新内容は、以下のとおりです。
clufter
を使用してpcs2pcscmd-needle
コマンドで既存の設定を変換する場合、corosync.conf
の同等のコマンドでcluster_name
オプションが省略されている場合 (標準の pcs で開始される設定の場合はそうではありません)、含まれているpcs クラスターセットアップ
の呼び出しによって、最初に指定されたノードの名前が必要なクラスター名の指定として解釈されてクラスターの設定ミスが発生することがなくなりました。元の設定を正確に反映するために、同じ呼び出しに--encryption 0|1
スイッチ (使用可能な場合) が含まれるようになりました。clufter
コマンドのccs2pcscmd
およびpcs2pcscmd
ファミリーで生成されるスクリプトのような出力シーケンスでは、意図したシェルインタープリターが有効な形式で出力されるようになり、それぞれのコメント行がオペレーティングシステムによって受け入れられるようになります。(BZ#1381531)clufter
ツールは、該当する場合に既存の設定を反映するためのpcs
コマンドの設定シーケンスを生成する際に、pcs
で容易になった最近追加されたいくつかの設定手段 (クォーラムデバイスのヒューリスティック、最上位のバンドル
リソースユニットのメタ属性) もカバーするようになりました。
clufter
機能の詳細は、clufter(1)
の man ページまたは clufter -h コマンドの出力を参照してください。clufter
の使用例は、Red Hat ナレッジベースの記事 https://access.redhat.com/articles/2810031 を参照してください。(BZ#1509381)
Sybase ASE フェイルオーバーのサポート
Red Hat High Availability Add-On は、
ocf:heartbeat:sybaseASE
リソースを通じて Sybase ASE フェイルオーバーのサポートを提供するようになりました。このリソースに設定できるパラメーターを表示するには、pcs resource description ocf:heartbeat:sybaseASE コマンドを実行します。このエージェントの詳細は、ocf_heartbeat_sybaseASE
(7) のman ページを参照してください。(BZ#1436189)
第7章 コンパイラーおよびツール
linuxptp パッケージは、クロック Synchronization のためのアクティブバックアップボンディングをサポートするようになりました。
この更新により、
ptp4l
アプリケーションで使用されるアクティブバックアップモードのボンドインターフェイスを指定できるようになりました。その結果、ptp4l
はボンディングのアクティブインターフェイスのクロックを PTP (Precision Time Protocol)
クロックとして使用し、フェイルオーバーの場合にはボンディングの別のインターフェイスにスイッチすることができます。さらに、自動モード (-a オプション) の phc2sys
ユーティリティーは、PTP
スレーブとして動作する場合はシステムクロックをアクティブインターフェイスの PTP
クロックに同期し、PTP
マスターとして動作する場合は PTP
クロックをシステムクロックに同期できます。(BZ#1002657)
parted
は、resizepart コマンドを使用してパーティションのサイズを変更できるようになりました
Resizepart NUMBER END コマンドを使用してディスクパーティションのサイズを変更する機能が、Red Hat Enterprise Linux 7 で配布される
Parted
ディスクパーティショニングユーティリティーにバックポートされるようになりました。詳細は、parted(8)
のman ページを参照してください。
このコマンドはパーティションのサイズのみを変更し、パーティションに存在するファイルシステムのサイズは変更しないことに注意してください。ファイルシステムを拡大または縮小するには、
resize2fs
などのファイルシステムユーティリティーを使用します。(BZ#1423357)
binutils がバージョン 2.27 にリベース
binutils パッケージはアップストリームバージョン 2.27 にリベースされました。このバージョンでは次の変更が加えられています。
- 圧縮されたデバッグセクションのサポート
- リンク時の孤立セクションの処理の改善
- LLVM プラグインのサポート
objcopy
ユーティリティーを使用してオブジェクトファイルに新しいシンボルを挿入する機能- IBM POWER9 アーキテクチャーのサポート
- ARMv8.1 および ARMv8.2 命令セット拡張のサポート
さらに、この更新では次のバグが修正されます。
- 以前は、binutils パッケージには、GNU コーディング規格を説明する
standards.info
ドキュメントファイルが含まれていませんでした。このファイルは追加され、info コマンドを通じて再び利用できるようになりました。
pcp がバージョン 3.12.2 にリベース
Performance Co-Pilot (PCP) アプリケーションはバージョン 3.12.2 にリベースされ、多くの機能強化とバグ修正が含まれています。
コレクターシステムの更新:
- 次のパフォーマンスメトリックドメインエージェント (PMDA) が更新されました:
perfevent
、コンテナーおよび CGroups、MySQL スレーブメトリック、Linux プロセスごとのメトリック、およびエントロピー、slabinfo
、IPv6 ソケット、および NFSD ワーカースレッドの Linux カーネルメトリック。 - 新しい PMDA が利用可能になりました: Prometheus エンドポイントと HAProxy。
- Device Mapper 統計で API が公開されるようになりました。
システムの更新を監視します。
- 派生メトリック言語はすべてのモニター用に拡張されました。
pmchart
グラフ作成ユーティリティーには、タイムゾーンと表示のバグの修正が含まれています。pmlogconf
設定ユーティリティーは、hotproc
メトリックのログを自動的に有効にし、atop
メトリックを追加します。パフォーマンスがさらに最適化されました。pcp-atop
監視ユーティリティーは、新しい --hotproc オプションを認識します。いくつかのバグが修正されました。pcp-pidstat
およびpcp-mpstat
監視ユーティリティーは、いくつかの新しい出力オプションを認識します。pmrep
レポートユーティリティーは、sadf
ツールと互換性のあるコンマ区切り値 (CSV) 出力をサポートするようになりました。PCP メトリックをさまざまな形式にエクスポートするための新しいユーティリティー (pcp2zabbix
、pcp2xml
、pcp2json
、およびpcp2elasticsearch)
も追加されました。(BZ#1472153)
さまざまなツールでの DWARF 5 サポートの改善
DWARF デバッグ形式バージョン 5 のサポートが次のツールで拡張されました。
- elfutils パッケージの
eu-readelf
ツールは、DWARF 5 のすべてのタグと属性を認識するようになりました。
systemtap がバージョン 3.2 にリベース
SystemTap
ユーティリティーがアップストリームバージョン 3.2 に更新されました。主な機能強化は、次のとおりです。
- 一致した正規表現の展開のサポートが追加されました。
- 標準入力から入力を受け入れるためのプローブエイリアスが追加されました。
- トランスレーターの診断が改善されました。
- 新しい
statx
システムコールのサポートが追加されました。 - 部分文字列の位置を検出するための新しい文字列関数
strpos()
がstap 言語に追加されました。
さらに、この更新では次のバグが修正されます。
- 以前は、統計抽出関数
@min()
および@max()
が誤った値を返していました。その結果、これらの関数に依存するスクリプトは正しく動作しませんでした。@min()
関数と@max()
関数は、正しい最大値と最小値を返すように修正されました。その結果、影響を受けるスクリプトは期待どおりに動作するようになりました。 - 以前は、一部のカーネルトレースポイントは、プローブできない場合でも、
stap -L
コマンドでリストされるのに一貫性がありませんでした。SystemTap
は修正され、リストされたプローブ可能なトレースポイントセットが再度一致するようになりました。 netdev.receive
プローブが修正され、再びデータを収集できるようになりました。- 壊れた
netdev.receive
プローブの影響を受けるサンプルスクリプトnettop.stp
は、再び期待どおりに動作します。
Red Hat Enterprise Linux のカーネルバージョンは拡張 Berkeley Packet Filter (eBPF) をサポートしていないため、関連するアップストリーム
SystemTap
機能は利用できないことに注意してください。(BZ#1473722, BZ#1490862, BZ#1506230, BZ#1485228, BZ#1518462)
valgrind がバージョン 3.13.0 にリベース
valgrind パッケージがバージョン 3.13.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべき変更点は次のとおりです。
Valgrind
は、大規模なプログラムを実行できるようにいくつかの方法で拡張されています。Valgrind
で使用できるメモリーの量が 128 GB に増加しました。その結果、Memcheck
ツールは、最大約 60 GB を割り当てるアプリケーションの実行をサポートします。さらに、Valgrind
は最大 1200 MB の実行可能ファイルをロードできるようになりました。Memcheck
、Helgrind
、およびMassif
ツールは、新しい実行ツリー (xtree) 表現を使用して、分析されたアプリケーションのヒープ消費量をレポートできるようになりました。- シンボルデマングラーは、C++11 標準と Rust プログラミング言語をサポートするように更新されました。
- Intel および AMD 64 ビットアーキテクチャーで AVX2 命令を使用したコードの長いブロックで発生する障害が修正されました。
- PowerPC アーキテクチャーの 64 ビット
タイムベース
レジスターは、Valgrind
によって 32 ビットのみとしてモデル化されなくなりました。 - IBM Power Systems アーキテクチャーのサポートが拡張され、ISA 3.0B 仕様が含まれるようになりました。
- 64 ビット ARM アーキテクチャー用のロードリンク命令およびストア条件命令の代替実装が追加されました。代替実装は、必要に応じて自動的に有効になります。手動で有効にするには、
--sim-hints=fallback-llsc
オプションを使用します。(BZ#1473725, BZ#1508148)
ncat
がバージョン 7.50 にリベースされました
nmap-ncat パッケージによって提供される
ncat
ユーティリティーは、アップストリームバージョン 7.50 にリベースされました。これにより、以前のバージョンに比べて多くのバグ修正と新機能が提供されます。主な変更点は、以下のとおりです。
SOCKS5
認証のサポートが追加されました。- ポートの状態を素早く確認するための -z オプションが追加されました。
- --no-shutdown オプションは、リッスンモードだけでなく、接続モードでも機能するようになりました。(BZ#1460249)
rsync がバージョン 3.1.2 にリベースされました
rsync パッケージがアップストリームバージョン 3.1.2 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。
この更新では、次の出力変更が導入されています。
- 数値のデフォルトの出力形式が 3 桁のグループ (
1,234,567
など) に変更されました。 - --progress オプションの出力が変更されました。次の文字列
xfer
はxfr
に、to-check
はto-chk
に短縮されました。
このバージョンの注目すべき機能強化は次のとおりです。
- I/O 処理が改善され、データ転送が高速化されました。
- よりきめ細かい出力のために、新しい --info および --debug オプションが追加されました。
- ナノ秒の変更時刻を同期する機能が追加されました。
- コピー操作中にファイルの所有権を操作するための新しいオプション --usermap、--groupmap、および --chown が追加されました。
- 新しい --preallocate オプションが追加されました。(BZ#1432899)
tcpdump
で virtio
トラフィックを分析できるようになりました
tcpdump
ユーティリティーは、virtio-vsock
通信デバイスをサポートするようになりました。これにより、tcpdump
でハイパーバイザーとゲスト仮想マシン間の virtio 通信をフィルタリングして分析できるようになります。(BZ#1464390)
Vim
が C++11 の構文ハイライトをサポートするようになりました
Vim
テキストエディターでの C++ の構文ハイライトが、C++11 標準をサポートするように強化されました。(BZ#1267826)
Vim
は、blowfish2
暗号化メソッドをサポートするようになりました
Blowfish2
暗号化メソッドのサポートが Vim
テキストエディターに追加されました。このメソッドは、blowfish
よりも強力な暗号化を提供します。blowfish2
暗号化メソッドを設定するには、:setlocal cm=blowfish2 コマンドを使用します。Blowfish2
で暗号化されたファイルは、Red Hat Enterprise Linux 7 と Red Hat Enterprise Linux 6 の間で互換性があることに注意してください。(BZ#1319760)
IO::Socket::SSL
Perl モジュールは、デフォルトでシステム全体の CA 証明書ストアを使用するようになりました。
以前は、
IO::Socket::SSL
Perl モジュールに基づく TLS アプリケーションが認証局 (CA) 証明書への明示的なパスを提供しない場合、認証局が不明であり、ピアの ID を検証できませんでした。この更新により、モジュールはデフォルトでシステム全体の CA 証明書ストアを使用します。ただし、IO::Socket::SSL->new()
コンストラクターの SSL_ca_file
オプションに undef
値を渡すことで、証明書ストアを無効にすることができます。(BZ#1402588)
perl-DateTime-TimeZone がバージョン 1.70 にリベースされました
perl-DateTime-TimeZone パッケージはアップストリームバージョン 1.70 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能強化が提供されています。以下に例を示します。
- この更新により、Bugzilla バージョン 5 をインストールできるようになりました。これには、以前に提供されていたシステムよりも新しいバージョンの perl-DateTime-TimeZone が必要です。
- オルソンタイムゾーンデータベースがバージョン 2017b に更新されました。以前は、
DateTime::TimeZone
モジュールを使用するPerl
言語で作成されたアプリケーションは、データベースが古いためにバージョン 2013h 以降仕様が変更されたタイムゾーンを誤って処理していました。
system-config-kdump は、fadump の実行時に自動または手動の kdump メモリー設定の選択をサポートするようになりました。
この更新により、fadump メモリー予約サポートが system-config-kdump パッケージに追加されます。その結果、
Firmware assisted dump
が 選択されている場合、ユーザーは Automated kdump memory settings
または Manual settings
のいずれかを選択できるようになりました。(BZ#1384943)
conman がバージョン 0.2.8 にリベース
conman パッケージがアップストリームバージョン 0.2.8 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点は、以下のとおりです。
- スケーラビリティが向上しました。
Coverity Scan
とClang
の警告が修正され、安定性が向上しました。- Intelligent Platform Management Interface (IPMI) Serial Over LAN (SOL) コンソールの数に対する任意の制限が修正されました。
TFTP windowsize オプションのサポートが実装されました
この更新により、RFC 7440 に準拠した windowsize オプションのサポートが Trivial File Transfer Protocol (TFTP) サーバーおよびクライアントに実装されました。windowsize オプションを使用すると、データブロックがバッチで送信されるため、スループットが大幅に向上します。(BZ#1328827)
curl は SOCKS5 での GSSAPI の無効化をサポートするようになりました
SOCKS5 プロキシーの認証方法を制御するために、
curl
ユーティリティーの新しい --socks5-basic オプションと --socks5-gssapi オプション、および libcurl ライブラリーの対応するオプション CURLOPT_SOCKS5_AUTH が導入されました。(BZ#1409208)
rsync
ユーティリティーは、タイムスタンプの元のナノ秒部分を使用してファイルをコピーするようになりました。
以前は、
rsync
ユーティリティーはファイルのタイムスタンプのナノ秒部分を無視していました。その結果、新しく作成されたファイルのナノ秒のタイムスタンプは常にゼロでした。この更新により、rsync
ユーティリティーはナノ秒部分を認識します。その結果、新しくコピーされたファイルは、それをサポートするシステム上で元のナノ秒のタイムスタンプを保持します。(BZ#1393543)
tcpdump がバージョン 4.9.2 にリベース
tcpdump パッケージがアップストリームバージョン 4.9.2 にアップグレードされ、以前のバージョンに比べて多くのバグ修正 (ほぼ 100 個の CVE) と機能拡張が提供されています。主な変更点は、以下のとおりです。
- OpenSSL 1.1 のセグメンテーション違反が修正され、OpenSSL の使用法が改善されました。
- バッファーオーバーフローの脆弱性が修正されました。
- 無限ループの脆弱性が修正されました。
- 多くのバッファーオーバーリードの脆弱性が修正されました。(BZ#1490842)
OProfile
サポートのインテル Xeon プロセッサーファミリーの拡張
OProfile
は、インテル Xeon Phi™ プロセッサー x200 および x205 製品ファミリーをサポートするように拡張されました。(BZ#1465354)
libpfm
、pcp
、および papi
での Intel Xeon v4 uncore パフォーマンスイベントのサポート
この更新では、Intel Xeon v4 uncore パフォーマンスイベントのサポートが
libpfm
パフォーマンス監視ライブラリー、pcp
ツール、および papi
インターフェイスに追加されます。(BZ#1474999)
IBM POWER アーキテクチャーでメモリーコピーのパフォーマンスが向上
以前は、GNU C ライブラリー (
glibc
) の memcpy()
関数は、64 ビット IBM POWER システム上で非整列ベクトルのロードおよびストア命令を使用していました。したがって、memcpy()
を使用して POWER9 システム上のデバイスメモリーにアクセスすると、パフォーマンスが低下します。memcpy()
関数は、調整されたメモリーアクセス命令を使用するように拡張され、POWER9 に関係するメモリーに関係なく、前世代の POWER アーキテクチャーのパフォーマンスに影響を与えることなく、アプリケーションのパフォーマンスを向上させます。(BZ#1498925)
TAI クロックマクロが利用可能
以前は、カーネルは
CLOCK_TAI
クロックを提供していましたが、それにアクセスするための CLOCK_TAI
マクロが glibc
ヘッダーファイル time.h
にありませんでした。マクロ定義がヘッダーファイルに追加されました。その結果、アプリケーションは CLOCK_TAI
カーネルクロックにアクセスできるようになります。(BZ#1448822)
IBM Z での 4 KiB ページテーブルの選択的使用のサポート
この更新では、binutils パッケージの
ld
リンカーにオプション --s390-pgste
が追加され、最下位レベルで 4 KiB のメモリーページテーブルを必要とする IBM Z アーキテクチャー用のアプリケーションにマークが付けられます。その結果、この機能の使用は、それを必要とするアプリケーションのみに制限され、システム上のすべてのアプリケーションでスペースを最適に使用できるようになります。qemu
バックエンドは、実行中のすべてのアプリケーションに 4 KiB の最下位レベルのページテーブルを強制しなくなったことに注意してください。アプリケーションで必要な場合は、必ず新しいオプションを指定してください。(BZ#1485398)
IBM Z でのより効率的な glibc
関数
IBM Z アーキテクチャーの追加命令のサポートが
glibc
ライブラリーに追加されました。その結果、このアーキテクチャー用にコンパイルされたプログラムは、glibc
関数のパフォーマンス向上の恩恵を受けることができます。(BZ#1375235)
ld
リンカーは、位置依存コードと独立コードを誤って結合しなくなりました。
以前は、
ld
リンカーは、オブジェクトファイルが位置独立実行可能ファイル (PIE) 用にビルドされているかどうかを考慮せずに、IBM Z プラットフォーム上のオブジェクトファイルを結合していました。PIE コードと非 PIE コードを組み合わせることができないため、実行できない実行可能ファイルが作成される可能性がありました。リンカは、PIE コードと非 PIE コードの混合を検出し、この場合にエラーメッセージを生成するように拡張されました。その結果、この方法では壊れた実行可能ファイルを作成できなくなります。(BZ#1406430)
python-virtualenv が 15.1.0 にリベースされました
python-virtualenv パッケージはバージョン 15.1.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能強化が提供されています。この更新により、setuptools がバージョン 28.0.0 に、pip がバージョン 9.0.1 にバンドルされたパッケージがアップグレードされました。(BZ#1461154)
python-urllib3 は subjectAltName
の IP アドレスをサポートします
接続プーリングとファイル POST 機能を備えた Python HTTP モジュールである python-urllib3 パッケージは、
subjectAltName
(SAN) フィールドで IP アドレスをサポートするようになりました。(BZ#1434114)
GCC に追加された retpoline のサポート
今回の更新で、GCC への retpoline に対応するようになりました。Retpolines は、CVE-2017-5715 で説明されている Spectre Variant 2 攻撃を軽減するオーバーヘッドを削減するためにカーネルによって使用される手法です。(BZ#1535655)
Shenandoah
ガベージコレクターが完全にサポートされるようになりました
以前はテクノロジープレビューとして利用可能であった、
OpenJDK
用の低停止時間 Shenandoah
ガベージコレクターが、Intel 64、AMD64、および 64 ビット ARM アーキテクチャーで完全にサポートされるようになりました。Shenandoah
は同時退避を実行します。これにより、ユーザーは長い休止時間なしで大きなヒープで実行できます。詳細は、https://wiki.openjdk.java.net/display/shenandoah/Main を参照してください。(BZ#1578075)
第8章 デスクトップ
GNOME Shell がバージョン 3.26 にリベースされました
Red Hat Enterprise Linux 7.5 では、
GNOME Shell
がアップストリームバージョン 3.26 にリベースされました。主な機能強化は、次のとおりです。
- システム検索では、更新されたレイアウトで結果が読みやすくなり、一度により多くの項目が表示されるようになりました。さらに、システムアクションを検索できるようになりました。
設定
アプリケーションのレイアウトが新しくなりました。- 絵文字を挿入するさまざまな方法が GNOME 3.26 に導入されました。これには、Characters アプリケーションと、GNOME IRC クライアントである Polari が含まれます。
- GNOME の表示設定が再設計されました。
- GNOME 3.26 では、画面の左下部分にステータスアイコンが表示されなくなりました。デフォルトのセッションである GNOME Classic には、ステータストレイ機能を提供する
TopIcons
拡張機能がデフォルトで含まれるようになりました。GNOME Clasic 以外のセッションタイプのユーザーは、TopIcons
拡張機能を手動でインストールできます。
変更の完全なリストは、https://help.gnome.org/misc/release-notes/3.26/ (BZ# 1481381) を参照してください。
gnome-settings-daemon がバージョン 3.26 にリベースされました
gnome-settings-daemon は、Wayland 表示サーバープロトコル、より具体的にはフラクショナルモニタースケーリングを有効にするためにリベースされました。単一の gnome-settings-daemon プロセスの代わりに、ユーザーはセッション内で実行されている gsd-* という名前のプロセスのコレクションに注目できるようになりました。(BZ#1481410)
libreoffice がバージョン 5.3 にリベースされました
LibreOffice オフィススイートがバージョン 5.3 にアップグレードされました。これには、以前のバージョンに比べて多くの機能強化が含まれています。
LibreOffice
には、MUFFIN
(My User Friendly & Flexible INterface) と呼ばれる新しい LibreOffice UI が導入されています。- LibreOffice Writer には、テキスト領域内を移動するための新しい
ページに移動
ダイアログが含まれています。 - LibreOffice Writer には、新しいテーブルスタイル機能も導入されています。
- 新しい Arrows ツールボックスが
LibreOffice
に追加されました。 - Calc では、数値の書式設定とデフォルトのセルスタイルが改善されました。
- 新しいテンプレートセレクターが LibreOffice Impress に追加されました
LibreOffice Base
は Firebird
2.5 データを読み取ることができなくなりました。LibreOffice
の以前のバージョンで作成された埋め込み .odb ファイルは、このバージョンと互換性がありません。
変更の完全なリストについては、https://wiki.documentfoundation.org/ReleaseNotes/5.3 (BZ# 1474303) を参照してください。
GIMP
がバージョン 2.8.22 にリベースされました
GNU Image Manipulation Program (GIMP) バージョン 2.8.22 には、次の重要なバグ修正と拡張機能が含まれています。
コア
- 既存の .xcf.bz および .xcf.gz ファイルに保存すると、ファイルが切り詰められ、大きなファイルが作成されなくなりました。
- gimp-text-fontname によって作成されたテキストレイヤーは、サイズ変更時に境界線を尊重します
GUI:
- シングルウィンドウモードでの描画パフォーマンス、特にピックスマップテーマの描画パフォーマンスが向上しました。
- ペイントダイナミクスエディターダイアログで、
y
軸がFlow
ではなくRate
を示すようになりました。 - スプラッシュ画面の進捗バーが点滅し、継続時間が不明であることを示す
- LC-MS ディスプレイフィルターの色域警告色が修正されました
- 編集時の太字フォントの太字解除が修正されました
- 誤って隣接するアイテムの名前を誤って変更する問題が解消されました。
プラグイン:
- PSD ファイルをインポートするときに、間違ったレイヤーグループ構造が作成される問題が解決されました。
- 大きなイメージや高解像度によって PDF プラグインがクラッシュすることがなくなりました
- 無効な PCX ファイルの解析が早期に停止されるようになり、後続のセグメンテーション違反が排除されるようになりました。
- Escape キーで Python コンソールを閉じることができなくなりました
- フィルター
エッジ検出/ガウスの差分は
空のイメージを返します - 印刷時に、透明なイメージではなく黒いボックスが印刷されるのを防ぐために、イメージは白い背景に合成されます。
- 色覚異常表示フィルターは、ガンマ補正を直接適用するように修正されました。
- Script-Fu の正規表現一致により、Unicode 文字の適切な文字インデックスが返されるようになりました
- 大きな数値に対する Script-Fu モジュロが修正されました
更新された翻訳には、バスク語、ポルトガル語 (ブラジル)、カタロニア語、中国語 (中国)、チェコ語、デンマーク語、フィンランド語、ドイツ語、ギリシャ語、ハンガリー語、アイスランド語、イタリア語、カザフ語、ノルウェー語、ポーランド語、ポルトガル語、スロバキア語、スロベニア語、スコットランドのゲール語、スペイン語が含まれます。(BZ#1210840)
Inkscape
がバージョン 0.92.2 にリベースされました
リベースされた
Inkscape
はベクターグラフィックソフトウェアであり、以前のバージョンに比べて次のような多くの機能強化が施されています。
- メッシュグラデーションがサポートされるようになりました。
- 多くの SVG2 および CSS3 プロパティー (paint-order、mix-blend-mode など) がサポートされるようになりました。ただし、すべてが GUI から利用できるわけではありません。
- すべてのオブジェクトが新しいオブジェクトダイアログボックスにリストされ、そこからオブジェクトの選択、ラベル付け、非表示、ロックを行うことができます。
- 選択セットを使用すると、ドキュメントの構造に関係なくオブジェクトをグループ化できます。
- ガイドをロックして、誤って動かないようにすることができるようになりました。
- エンベロープ/遠近法、格子変形、ミラー、コピーの回転など、いくつかの新しいパスエフェクトが追加されました。
- シームレスパターン拡張機能を含むいくつかの拡張機能が追加されました。さらに、多くの拡張機能が更新されたり、新しい機能が追加されたりしています。
- 色覚異常シミュレーションフィルターが追加されました。
- スプレーツールと測定ツールにはいくつかの新機能が追加されました。
- 鉛筆ツールを使用すると、線にインタラクティブなスムージングを作成できます。
- B スプラインはペンツールで使用できます。
- チェッカーボードの背景を使用すると、オブジェクトの透明度をより簡単に確認できます。(BZ#1480184)
webkitgtk4 がバージョン 2.16 にリベースされました
webkitgtk4 パッケージはバージョン 2.16 にアップグレードされ、以前のバージョンに比べて多くの機能強化が行われています。主な機能強化は、次のとおりです。
- メモリー消費量を削減するために、ハードウェアアクセラレーションがオンデマンドで有効になるようになりました。
- webkitgtk4 には、ハードウェアアクセラレーションポリシーを設定するための新しい WebKitSetting プラグインが含まれています。
- CSS グリッドレイアウトはデフォルトで有効になっています。
- 一時的な Web ビューを作成するための新しい API を追加することにより、プライベートブラウジングが改善されました。
- Web サイトのデータを処理するための新しい API が提供されました。
- メモリーサンプラーとリソース使用量オーバーレイという 2 つの新しいデバッグツールが利用できるようになりました。
- GTK+ フォント設定が適用されるようになりました。
- GTK+ バージョン 3.20 以降を使用すると、テーマのレンダリングパフォーマンスが向上します。(BZ#1476707)
qt5 はバージョン 5.9.2 にリベースされました
qt5 パッケージがアップストリームバージョン 5.9.2 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。特に、qt5 には次の内容が含まれています。
- パフォーマンスと安定性の向上
- 長期サポート
- C++11 サポートの改善 - Qt 5.9 では C++11 準拠のコンパイラーが必要になることに注意してください
- Qt Quick Controls 2 - 組み込みデバイスをサポートする新しいモジュール (BZ# 1479097)
新しいパッケージ: qgnomeplatform
QGnomePlatform
テーマモジュールが Red Hat Enterprise Linux に含まれるようになりました。GNOME デスクトップ環境では、Qt 5
で作成されたアプリケーションに現在のビジュアル設定が適用されます。(BZ#1479351)
ModemManager がバージョン 1.6.8 にリベースされました
新しいモデムハードウェアをサポートするために、ModemManager パッケージがアップストリームバージョン 1.6.8 にアップグレードされました。これにより、以前のバージョンに比べて多くの機能強化が行われています。特に、
libqmi
ライブラリーのバージョンは 1.18.0 に、libmbim
ライブラリーは 1.14.2 にアップグレードされました。さらに、usb_modeswitch
ツールが 2.5.1 にアップグレードされ、usb-modeswitch-data パッケージが 20170806 にアップグレードされました。(BZ#1483051)
新しいパッケージ: libsmbios
Red Hat Enterprise Linux 7.5 には、フラッシュ Trusted Platform Module (TPM) および Synaptics Micro Systems Technology (MST) ハブをサポートする libsmbios パッケージが含まれるようになりました。Libsmbios は、クライアントプログラムが SMBIOS テーブルなどの標準 BIOS テーブルから情報を取得するために使用できるライブラリーおよびユーティリティーです。(BZ#1463329)
mutter をバージョン 3.26 にリベースしました
mutter パッケージがアップストリームバージョン 3.26 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
最も重要なバグ修正には次のものがあります。
- ショートカット抑制ダイアログを再生成するときに予期せず終了する
- モニター設定の移行中に予期せず終了する
- X11 セッションでのマルチヘッドリグレッション
- スクリーンローテーションのリグレッション
- タブレットデバイスの再接続時に予期せず終了する
注目すべき機能強化のリストには次のものが含まれます。
- ヘッドレス実行のサポート
- サンドボックス化されたアプリ ID のスナップパッケージのサポート
- _NET_RESTACK_WINDOW と ConfigureRequest のシブリングのサポート
- mutter は _NET_NUMBER_OF_DESKTOPS をエクスポートするようになりました
- mutter でタイルウィンドウのサイズ変更が可能になりました
- キーバインディングは非ラテンレイアウトで解決されました
- クライアントへのタイル情報のエクスポートのサポート
- モニターのレイアウトがセッション間で記憶されるようになりました (BZ# 1481386)
SANE_USB_WORKAROUND
環境変数により、古いスキャナを USB3 で使用できるようになります
以前は、Scanner Access Now Easy (SANE) は、USB3 ポートに接続されている特定の古いタイプのスキャナと通信できませんでした。この更新では、
SANE_USB_WORKAROUND
環境変数が導入されており、これを 1
に設定すると、この問題を解決できます。(BZ#1458903)
ビデオストリーム処理を改善するために追加された libyami パッケージ
今回の更新では、ビデオストリームの処理を改善するために、libyami パッケージが Red Hat Enterprise Linux 7 に追加されました。特に、ビデオストリームはハードウェアアクセラレーションを利用して解析およびデコードされます。(BZ#1456906)
netpbm はバージョン 10.79.00 にリベースされました
netpbm パッケージはバージョン 10.79.00 にアップグレードされ、これらのパッケージに含まれる複数のプログラムに多数のバグ修正と拡張機能が提供されます。詳細な変更ログについては、
/usr/share/doc/netpbm/HISTORY
ファイルを参照してください。(BZ#1381122)
Red Hat Enterprise Linux 7.5 は libva をサポートします
Libva は、Video Acceleration API (VA-API) の実装です。
VA-API は、ビデオ処理のためのグラフィックスハードウェアアクセラレーション機能へのアクセスを提供するオープンソースライブラリーおよび API 仕様です。これは、メインライブラリーと、サポートされている各ハードウェアベンダーのドライバー固有のアクセラレーションバックエンドで設定されます。(BZ#1456903)
GStreamer
が mp3
をサポートするようになりました
MPEG-2 Audio Layer III デコーダ (一般的に
mp3
として知られる) が GStreamer
に追加されました。mp3
サポートは、mpeg123 ライブラリーおよび対応する GStreamer
プラグインを通じて利用できます。
ユーザーは、
GNOME ソフトウェア
を使用するか、さまざまな GStreamer
アプリケーションのコーデックインストーラーを使用して、mp3
プラグインをダウンロードできます。(BZ#1481753)
GNOME control-center がバージョン 3.26 にリベースされました
Red Hat Enterprise Linux 7.5 では、control-center がアップストリームバージョン 3.26 にリベースされました。主な機能強化は、次のとおりです。
ナイトライト
は、時間帯に応じてディスプレイの色を変える新機能です。画面の色は、特定の場所の日の出と日の入りの時間に従うか、カスタムスケジュールに設定できます。Night Light
は、X11
とWayland
の両方のディスプレイサーバープロトコルで動作します。- この更新により、
設定
アプリケーションに新しいレイアウトが導入されます。アイコンのグリッドはサイドバーに置き換えられ、異なる領域間を切り替えることができます。さらに、設定
ウィンドウが大きくなり、サイズを変更できます。 - GNOME の
ネットワーク
設定が改善されました。Wi-Fi
には独自の専用設定エリアがあり、ネットワーク
設定ダイアログが更新されました。 - GNOME の
ディスプレイ
設定が再設計されました。新しいデザインでは、関連する設定が前面に押し出されています。複数のディスプレイが接続されている場合、ボタンの列があり、好みの用途を選択できます。新しい表示
設定には、新しいスケーリング設定のプレビューバージョンが含まれています。これにより、画面に表示されるサイズをディスプレイの密度 (PPI または DPI で表されることが多い) に合わせて調整できます。X11
ではディスプレイごとの設定がサポートされていないため、X11 よりもWayland
の方が推奨されることに注意してください。
新しいパッケージ: emacs-php-mode
この更新により、新しい emacs-php-mode パッケージが Red Hat Enterprise Linux 7 に追加されます。emacs-php-mode は Emacs テキストエディターに PHP モードを提供し、より優れた PHP 編集を可能にします。(BZ#1266953)
オランダ語のキーボードレイアウトを提供
Red Hat Enterprise Linux をオランダ語でインストールすると、Windows OS で使用される米国の国際マップを模倣した追加のキーボードマップが提供されるようになりました。新しい
latn1-pre.mim keymap
ファイルを使用すると、ユーザーは単一のキーマップ、発音記号を利用できるため、英語とオランダ語の両方を簡単に入力できます。(BZ#1058510)
第9章 ファイルシステム
SMB 2 と SMB 3 が DFS をサポートするようになりました
以前はサーバーメッセージブロック (SMB) プロトコルバージョン 1 でのみサポートされていた分散ファイルシステム (DFS) は、SMB 2 および SMB 3 でもサポートされるようになりました。
この更新により、SMB 2 および SMB 3 プロトコルを使用して DFS 共有をマウントできるようになりました。(BZ#1481303)
ファイルシステム DAX は、大量のメモリーをマッピングする際のパフォーマンスが向上しました。
この機能強化以前は、ダイレクトアクセス (DAX) 機能は 4KiB エントリーのみをアプリケーションアドレス空間にマップしていました。これにより、Translation Lookaside Buffer (TLB) の圧力が増加するため、大量のメモリーをマップするワークロードのパフォーマンスに悪影響が生じました。この更新により、カーネルは永続メモリーマッピングで 2MiB ページミドルディレクトリー (PMD) 障害をサポートします。これにより、TLB の負荷が大幅に軽減され、大量のメモリーをマッピングする際のファイルシステム DAX のパフォーマンスが向上しました。(BZ#1457572)
Quotacheck
は ext4
で高速になりました
uotacheck
ユーティリティーは、占有ディスクサイズについて個々のファイルを分析するのではなく、ext4
ファイルシステムのメタデータを直接スキャンするようになりました。ファイルシステムに多くのファイルが含まれている場合、クォータの初期化とクォータチェックが大幅に高速化されました。(BZ#1393849)
CephFS カーネルクライアントは Red Hat Ceph Storage 3 で完全にサポートされる
Ceph File System (CephFS) カーネルモジュールにより、Red Hat Enterprise Linux ノードは、Red Hat Ceph Storage クラスターから Ceph ファイルシステムをマウントできます。Red Hat Enterprise Linux のカーネルクライアントは、Red Hat Ceph Storage に同梱されている Filesystem in Userspace (FUSE) クライアントの効率的な代替手段です。現在、カーネルクライアントでは CephFS クォータに対応していないことに注意してください。
CephFS カーネルクライアントは、テクノロジープレビューとして Red Hat Enterprise Linux 7.3 に導入され、Red Hat Ceph Storage 3 のリリース以降、CephFS を完全にサポートしています。
詳細は、Red Hat Ceph Storage 3 の Ceph File System Guide https://access.redhat.com/documentation/ja-jp/red_hat_ceph_storage/3/html/ceph_file_system_guide/ を参照してください。(BZ#1626526)
第10章 ハードウェアの有効化
ファームウェアが更新された Broadcom 5880 スマートカードリーダーがサポートされるようになりました
この更新には、Broadcom 5880 スマートカードリーダーの更新されたファームウェアバージョンの USB ID エントリーが含まれており、Red Hat Enterprise Linux はこれらのリーダーを適切に認識して使用できるようになりました。
古いファームウェアバージョンを使用している Broadcom 5880 スマートカードリーダーを使用しているユーザーは、ファームウェアを更新する必要があることに注意してください。更新プロセスの詳細については、www.dell.com のサポートセクションを参照してください。(BZ#1435668)
fwupd
が Synaptics MST ハブをサポートするようになりました
Red Hat Enterprise Linux 7.5 では、Synaptics MST ハブ用のプラグインが
fwupd
ユーティリティーに追加されています。このプラグインを使用すると、ファームウェアをフラッシュし、このデバイスのファームウェア情報を照会できます。(BZ#1420913)
kernel-rt ソースが更新されました
kernel-rt ソースが最新の Red Hat Enterprise Linux カーネルソースツリーをベースとするようにアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。(BZ#1462329)
RT スロットリングメカニズムの改善
現在のリアルタイムスロットルメカニズムは、CPU 集中型のリアルタイムタスクによる非リアルタイムタスクの枯渇を防ぎます。リアルタイム実行キューが調整されると、非リアルタイムタスクの実行が許可されるか、タスクがない場合は CPU がアイドル状態になります。CPU アイドル時間を減らして CPU 使用率を安全に最大化するために、RT_RUNTIME_GREED スケジューラー機能が実装されました。有効にすると、リアルタイムタスクがスロットリングされる前にリアルタイム以外のタスクが枯渇しているかどうかを確認します。その結果、RT_RUNTIME_GREED スケジューラーオプションは、リアルタイムタスクの実行を可能な限り維持しながら、非リアルタイムタスクのすべての CPU でのある程度の実行時間を保証します。(BZ#1401061)
VMware Paravirtual RDMA Driver
この拡張更新により、VMware Paravirtual RDMA ドライバーが Red Hat Enterprise Linux に追加されます。この機能により、VMware ユーザーは PVRDMA デバイスを備えた Red Hat Enterprise Linux ベースの VM をデプロイメントして使用できるようになります。(BZ#1454965)
opal-prd がバージョン 5.9 にリベース
ハードウェア固有の回復プロセスを処理する
opal-prd
デーモンがバージョン 5.9 にリベースされました。この機能強化更新には、次の重要な修正と注目すべき機能強化が含まれています。
- デバッグモードで
stdio
にログを記録した後にフラッシュします - メモリーリークの修正
opal-prd
コマンドラインオプションを修正occ_reset
呼び出しを修正- ナノスリープ範囲に関する API コメント
opal-prd
の起動時にpnor
ファイルが渡されなくなりました- FSP システムホストでは、
Pnor
アクセスインターフェイスが無効になっています - ZZ でのランタイム OCC ロード/開始のサポートを追加
opal-prd のユーザーは、これらのバグを修正し、これらの機能強化を追加する更新パッケージにアップグレードすることを推奨します。(BZ#1456536)
libreswan が NIC オフロードをサポートするようになりました
libreswan パッケージのこの更新では、ネットワークインターフェイスコントローラー (NIC) オフロードのサポートが導入されています。
Libreswan
は NIC ハードウェアオフロードサポートを自動的に検出するようになり、この機能の手動セットアップ用に nic-offload=auto|yes|no オプションが追加されました。(BZ#1463062)
利用可能な Trusted Computing Group TPM 2.0 System API ライブラリーおよび管理ユーティリティー
Trusted Computing Group の Trusted Platform Module (TPM) 2.0 ハードウェアを処理し、以前はテクノロジープレビューとして利用可能であった次のパッケージが完全にサポートされるようになりました。
- tpm2-tss パッケージは、TPM 2.0 System API ライブラリーの Intel 実装を追加します。このライブラリーを使用すると、プログラムが TPM 2.0 デバイスと対話できます。
- tpm2-tools パッケージは、ユーザースペースから TPM2.0 デバイスを管理および利用するための一連のユーティリティーを追加します。(BZ#1463097, BZ#1463100)
new packages: tpm2-abrmd
この更新により、tpm2-abrmd パッケージが Red Hat Enterprise Linux 7 に追加されます。tpm2-abrmd パッケージは、Trusted Computing Group の Trusted Platform Module (TPM) 2.0 Access Broker (TAB) および Resource Manager (RM) 仕様を実装するシステムサービスを提供します。(BZ#1492466)
第11章 インストールおよび起動
キックスタートインストールで既存のブロックデバイスにマウントポイントを割り当てることが可能になりました
新しい mount コマンドがキックスタートで利用できるようになりました。このコマンドは、ファイルシステムを持つ特定のブロックデバイスにマウントポイントを割り当てます。また、--reformat オプションを指定すると、再フォーマットすることもできます。
mount と、autopart、part、logvol などの他のストレージ関連コマンドとの違いは、mount を使用すると、キックスタートファイルにストレージ設定全体を記述する必要がなく、指定されたブロックデバイスがシステム上に存在することを確認するだけで済むことです。ただし、既存のストレージ設定を使用する代わりにストレージ設定を作成し、さまざまなデバイスをマウントする場合は、他のストレージ設定コマンドを使用する必要があります。
同じキックスタートファイル内の他のストレージ設定コマンドと一緒に mount を使用することはできません。(BZ#1450922)
livemedia-creator
ユーティリティーは、UEFI システム用のサンプルキックスタートファイルを提供するようになりました。
livemedia-creator パッケージで提供されるサンプルキックスタートファイルは、32 ビットおよび 64 ビット UEFI システムをサポートするように更新されました。ファイルは
/usr/share/lorax-version/
ディレクトリーにあります。
ブート可能な UEFI ディスクイメージを構築するには、
livemedia-creator
を UEFI システムまたは仮想マシン上で実行する必要があることに注意してください。(BZ#1458937)
デバイス設定ファイルをデバイスの MAC アドレスにバインドする network キックスタートコマンドの新しいオプション
network キックスタートコマンドで新しい --bindto=mac オプションを使用すると、インストールされているシステム上のデバイスの
ifcfg
ファイル内のデフォルトの DEVICE
の代わりに HWADDR
パラメーター (MAC アドレス) を使用できるようになりました。これにより、デバイス名の代わりにデバイス設定が MAC にバインドされます。
新しい --bindto オプションは network --device Kickstart オプションから独立していることに注意してください。デバイスがその名前、
link
、または bootif
を使用してキックスタートファイルで指定されている場合でも、これは ifcfg
ファイルに適用されます。(BZ#1328576)
キックスタート %packages の新しいオプションにより、Yum
タイムアウトと再試行回数を設定できるようになりました
この更新により、キックスタートファイルの %packages セクションに 2 つの新しいオプションが追加されました。
- --timeout=X -
Yum
タイムアウトをX
秒に設定します。デフォルトは 30 です。 - --retries=Y -
Yum
の再試行回数をY
に設定します。デフォルトは 10 です。
インストール中に複数の %packages セクションを使用する場合、最後に表示されるセクションに設定されたオプションがすべてのセクションで使用されることに注意してください。最後のセクションにこれらのオプションがどちらも設定されていない場合、キックスタートファイルのすべての %packages セクションではデフォルト値が使用されます。
これらの新しいオプションは、パッケージのダウンロード速度がディスク読み取りまたはネットワーク速度によって制限されている場合に、単一のパッケージソースから一度に多数の並列インストールを実行する場合に役立ちます。新しいオプションはインストール中のシステムにのみ影響し、インストールされたシステムの
Yum
設定には影響しません。(BZ#1448459)
Red Hat Enterprise Linux 7 ISO イメージを使用して、IBM Z 上にゲスト仮想マシンを作成できます。
このリリースでは、IBM Z アーキテクチャー上の KVM 仮想マシン用のブート可能な Red Hat Enterprise Linux ISO ファイルを作成できます。その結果、IBM Z 上の Red Hat Enterprise Linux ゲスト仮想マシンは
boot.iso
ファイルから起動できるようになります。(BZ#1478448)
ifcfg-*
ファイルの ARPUPDATE オプションが導入されました
この更新では、
ifcfg-*
ファイルの ARPUPDATE オプションが導入され、デフォルト値は yes
になります。値を no
に設定すると、管理者は、現在のネットワークインターフェイスコントローラー (NIC) に関するアドレス解決プロトコル (ARP) 情報による隣接コンピューターの更新を無効にすることができます。これは、ダイレクトルーティングを有効にして Linux 仮想サーバー (LVS) 負荷分散を使用する場合に特に必要です。(BZ#1478419)
rpm -V コマンドに --noconfig オプションが追加されました
この更新により、--noconfig オプションが rpm -V コマンドに追加されました。このオプションを使用すると、コマンドで変更された非設定ファイルのみをリスト表示できるようになり、システムの問題の診断に役立ちます。(BZ#1406611)
ifcfg-*
ファイルで 3 番目の DNS サーバーを指定できるようになりました
ifcfg-*
設定ファイルは DNS3 オプションをサポートするようになりました。このオプションを使用すると、以前の最大 2 つの DNS サーバーの代わりに、/etc/resolv.conf
で使用される 3 番目のドメインネームサーバー (DNS) アドレスを指定できます。(BZ#1357658)
rpm-build でのマルチスレッド xz
圧縮
この更新により、
%_source_payload
マクロまたは %_binary_payload
マクロを wLTX.xzdio
パターンに設定するときに、ソースおよびバイナリーパッケージのマルチスレッド xz
圧縮が追加されます。その中で、L
は圧縮レベルを表します。デフォルトでは 6 であり、X
は使用されるスレッドの数です (複数桁の場合もあります) (例: w6T12.xzdio
)。この機能を有効にするには、/usr/lib/rpm/macros
ファイルを編集するか、仕様ファイル内またはコマンドラインでマクロを宣言します。
その結果、並列性の高いビルドでは圧縮にかかる時間が短縮され、特に多くのコアを備えたハードウェア上に構築された大規模プロジェクトの継続的統合に有益です。(BZ#1278924)
第12章 カーネル
RHEL 7.5 のカーネルバージョン
Red Hat Enterprise Linux 7.5 は、カーネルバージョン 3.10.0-862 で配布されます。(BZ#1801759)
メモリー保護キーは、新しい Intel プロセッサーでサポートされるようになりました
メモリー保護キーは、ページベースの保護を強化するメカニズムを提供しますが、アプリケーションが保護ドメインを変更した時にページテーブルを修正する必要はありません。プロセッサーがメモリー保護キーをサポートしているかどうかを確認するには、
/proc/cpuinfo
ファイル内の pku
フラグを確認します。プログラミングの実例を含む詳しい情報は、kernel-doc パッケージが提供する /usr/share/doc/kernel-doc-*/Documentation/x86/protection-keys.txt
ファイルを参照してください。(BZ#1272615)
Pondicherry 2 メモリーコントローラーに EDAC サポートが追加されました
Intel Atom C3000 シリーズプロセッサーを搭載したマシンで使用される Pondicherry 2 メモリーコントローラーに、エラーの検出と修正のサポートが追加されました。(BZ#1273769)
MBA
がサポートされるようになりました
メモリー帯域幅割り当て (MBA) は、Broadwell サーバーにある既存のキャッシュ QoS 強制 (CQE) 機能の拡張です。
MBA
は、アプリケーションのメモリー帯域幅の制御を提供する Intel Resource Director Technology (RDT) の機能です。今回の更新により、MBA
サポートが追加されました。(BZ#1379551)
スワップの最適化により、高速ブロックデバイスを二次メモリーとして使用できるようになります
以前は、回転ディスクのパフォーマンス、特に待ち時間の点で他のメモリー管理サブシステムよりも桁違いに悪かったため、スワップサブシステムのパフォーマンスは重要ではありませんでした。高速 SSD デバイスの出現により、スワップサブシステムのオーバーヘッドが顕著になってきました。この更新では、このオーバーヘッドを削減する一連のパフォーマンスの最適化が行われています。(BZ#1400689)
HID Wacom
がバージョン 4.12 にリベースされました
HID Wacom
カーネルモジュールパッケージはアップストリームバージョン 4.12 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と拡張機能が提供されています。
hid_wacom
電源供給が更新され、以前から存在していた問題が修正されました。- Bluetooth ベースの Intuos 2 Pro ペンタブレットのサポートが追加されました。
- Intuos 2 Pro ペンタブレットと Bamboo Slate に影響するバグが修正されました。(BZ#1475409)
新しい livepatch
機能により、kpatch-patch パッケージのレイテンシーと成功率が向上します。
この更新により、
kpatch
カーネルライブパッチインフラストラクチャーがアップグレードされ、カーネルへのパッチ適用に新しいアップストリーム ライブパッチ
機能が使用されるようになりました。この機能により、kpatch-patch ホットフィックスパッケージのスケジューリング遅延と成功率が向上します。(BZ#1430637)
永続的なカーネルモジュールアップグレード (PKMU) のサポート
kmod パッケージは、カーネルモジュールの自動ロード、アンロード、および管理のためのさまざまなプログラムを提供します。以前は、kmod は /lib/modules/<kernel version> ディレクトリー内でのみモジュールを検索していました。したがって、ユーザーは追加のアクションを実行する必要がありました。たとえば、/usr/sbin/weak-modules スクリプトを実行してシンボリックリンクをインストールし、モジュールをロード可能にする必要がありました。今回の更新により、ファイルシステム内の任意の場所にあるモジュールを検索するように kmod が変更されました。その結果、ユーザーは新しいモジュールを別のディレクトリーにインストールし、そこでモジュールを探すように
kmod
ツールを設定できるようになり、モジュールは新しいカーネルで自動的に使用できるようになります。ユーザーは、カーネルに対して複数のディレクトリーを指定したり、カーネルごとに異なるディレクトリーを指定したりすることもできます。カーネルバージョンは正規表現で指定します。(BZ#1361857)
Linux カーネルが暗号化された SMB 3 接続をサポートするようになりました
この機能が導入される前は、カーネルはサーバーメッセージブロック (SMB) プロトコルを使用する場合の暗号化されていない接続のみをサポートしていました。この更新により、SMB 3.0 以降のプロトコルバージョンの暗号化サポートが追加されます。その結果、サーバーがこの機能を提供または要求している場合、ユーザーは暗号化を使用して SMB 共有をマウントできます。
暗号化された SMB プロトコルを使用して共有をマウントするには、3.0 以降に設定された vers マウントオプションとともに seal マウントオプションを mount コマンドに渡します。詳細と例は、https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/storage_administration_guide/mounting_an_smb_share#tab.frequently_used_mount_options の seal パラメーターの説明を参照してください。(BZ#1429710)
AMD Naples プラットフォームで SME
が有効化
この更新により、AMD Secure Memory Encryption (SME) が AMD Naples プラットフォームに基づくシステムによって提供されます。Advanced Encryption Standard (AES) エンジンには、ダイナミックランダムアクセスメモリー (DRAM) を暗号化および復号化する機能があります。AES エンジンによって提供される
SME
は、ハードウェアプローブ攻撃からマシンを保護することを目的としています。SME
をアクティブにするには、カーネルパラメーター mem_encrypt=on を使用してシステムを起動します。(BZ#1361287)
ie31200_edac ドライバーのサポート
この機能強化により、コンシューマーバージョンの Skylake および Kabi Lake CPU ファミリーに ie31200_edac ドライバーのサポートが追加されます。(BZ#1482253)
EDAC が GHES をサポートするようになりました
この機能拡張により、BIOS によって提供される汎用ハードウェアエラーソース (GHES) を使用するためのエラー検出および修正 (EDAC) のサポートが追加されます。GHES は、ハードウェア固有のドライバーではなく、メモリーの修正済みおよび未修正のエラーのソースとして使用されるようになりました。(BZ#1451916)
CUIR 拡張スコープ検出が完全にサポートされるようになりました。
Control Unit Initiated Reconfiguration (CUIR) のサポートにより、Direct Access Storage Device (DASD) デバイスドライバーは、並行サービスのためにオフラインの DASD へのパスを自動的に取得できるようになります。DASD への他のパスが使用可能な場合、DASD は動作し続けます。
CUIR は、パスが再び利用可能になったときに DASD デバイスドライバーに通知し、デバイスドライバーはパスをオンラインに戻そうとします。
論理パーティション (LPAR) モードで実行している Linux インスタンスのサポートに加えて、IBM z/VM システムでの Linux インスタンスのサポートが追加されました。(BZ#1494476)
kdump
により、ルートファイルシステムがマウントされていなくても vmcore
コレクションが可能になります
Red Hat Enterprise Linux 7.4 では、
kdump
でルートファイルシステムをマウントする必要がありましたが、これは vmcore
イメージファイルの収集に必ずしも必要というわけではありません。その結果、ダンプターゲットがルートファイルシステム上ではなく、たとえば USB やネットワーク上にあるときにルートデバイスをマウントできない場合、kdump
はvmcore
ファイルの収集に失敗しました。この機能強化により、ルートデバイスがダンプに必要ない場合はマウントされず、vmcore
ファイルを収集できるようになります。(BZ#1431974, BZ#1460652)
KASLR は完全にサポートされ、デフォルトで有効になります
以前はテクノロジープレビューとして利用可能であったカーネルアドレス空間レイアウトランダム化 (KASLR) は、AMD64 および Intel 64 アーキテクチャー上の Red Hat Enterprise Linux 7.5 で完全にサポートされています。KASLR は、カーネルテキスト KASLR と
mm
KASLR の 2 つの部分で設定されるカーネル機能です。この 2 つの部分は相互に作用し、Linux カーネルのセキュリティーを強化します。
カーネルテキストの物理アドレスと仮想アドレスの場所が、個別にランダム化されます。カーネルの物理アドレスは 64 TB の任意の場所に配置できますが、カーネルの仮想アドレスは、[0xffffffff80000000, 0xffffffffc0000000] の間の 1 GB 領域に制限されます。
3 つの
mm
セクション (ダイレクトマッピングセクション、vmalloc
セクション、および vmemmap
セクション) の開始アドレスは、特定の領域でランダム化されます。以前は、このセクションの開始アドレスが固定値になっていました。
したがって、悪意のコードが、カーネルアドレス領域にその記号が置かれていることを知る必要がある場合に、KASLR は悪意のコードにカーネルの実行を挿入またはリダイレクトしないようにすることができます。
KASLR コードが Linux カーネルでコンパイルされ、デフォルトで有効になりました。明示的に無効にするには、
nokaslr
カーネルオプションをカーネルコマンドラインに追加します。(BZ#1491226)
Intel® Omni-Path Architecture (OPA) ホストソフトウェア
Red Hat Enterprise Linux 7.5 は、Intel® Omni-Path Architecture (OPA) ホストソフトウェアに完全に対応しています。Intel OPA は、クラスター環境のコンピュートと I/O ノード間の高性能データ転送 (高帯域幅、高メッセージレート、低レイテンシー) のために、初期化とセットアップを行う Host Fabric Interface (HFI) ハードウェアを提供します。
Intel® Omni-Path Architecture のインストール方法は、https://www.intel.com/content/dam/support/us/en/documents/network-and-i-o/fabric-products/Intel_OP_Software_RHEL_7_5_RN_J98644.pdf を参照してください。(BZ#1543995)
noreplace-paravirt
がカーネルコマンドラインパラメーターから削除されました
noreplace-paravirt
カーネルコマンドラインパラメーターは、Spectre および Meltdown の脆弱性を軽減するパッチと互換性がなくなったため、削除されました。カーネルコマンドラインで noreplace-paravirt
を使用して AMD64 および Intel 64 システムを起動すると、オペレーティングシステムが繰り返し再起動されます。(BZ#1538911)
新しい EFI memmap
実装が SGI UV2+ システムで利用可能になりました
この更新より前は、kexec 再起動 (
memmap
) 実装全体にわたる Extensible Firmware Interface (EFI) の安定したランタイムサービスマッピングは、Silicon Graphics International (SGI) UV2 以降のシステムでは利用できませんでした。この更新により、EFI memmap
のサポートが追加されました。さらに、この更新により、kdump
カーネルでのセキュアブートの使用も可能になります。(BZ#1102454)
柔軟なファイルレイアウトを使用した pNFS 共有のマウントが完全にサポートされるようになりました。
pNFS クライアントでの柔軟なファイルレイアウトは、Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして初めて導入されました。Red Hat Enterprise Linux 7.5 では、完全にサポートされるようになりました。
pNFSの柔軟なファイルレイアウトにより、ノンストップファイルモビリティーやクライアント側のミラーリングなどの高度な機能を利用できます。これにより、データベース、ビッグデータ、仮想化などの分野での利便性が向上します。pNFS フレキシブルファイルレイアウトの詳細は、https://datatracker.ietf.org/doc/draft-ietf-nfsv4-flex-files/ を参照してください。(BZ#1349668)
第13章 ネットワーク
dhcp-script
の出力におけるエラー処理が改善されました。
以前は、
dhcp-script
の出力内のエラーは無視されていました。この更新により、スクリプトの出力は add
、old
、del
、arp-add
、arp-del
、tftp
アクションで記録されます。その結果、dnsmasq
の実行中にエラーが表示されます。
リース初期化アクションは
Dnsmasq
の開始時にのみ発生することに注意してください。この更新により、出力の概要のみがログに記録され、ログのために systemd
サービスに渡される標準エラー出力は記録されません。(BZ#1188259)
ネットワーク名前空間の分離が ipset
に追加されました
以前は、
ipset
エントリーは表示され、任意のネットワーク名前空間によって変更できました。この更新により、ipset
にネットワーク名前空間ごとの分離が提供されます。その結果、ipset
設定は名前空間ごとに分離されます。(BZ#1226051)
NetworkManager
は、ソースルーティングを有効にする複数のルーティングテーブルをサポートするようになりました
この更新により、ユーザーが手動で設定できる IPv4 および IPv6 ルートの新しい table 属性が追加されました。手動の静的なルート 1 つに対して、ルーティングテーブルを 1 つ選択できます。その結果、ルートのテーブルを設定すると、そのテーブルにルートが設定されることになります。さらに、接続プロファイルのデフォルトのルーティングテーブルは、IPv4 と IPv6 のそれぞれに新しい
ipv4.route-table
と ipv6.route-table
設定を使用して設定できます。この設定を明示的に上書きする手動ルートを除き、これらの設定によりルートがどのテーブルに配置されるかが決まります。(BZ#1436531)
nftables がバージョン 0.8 にリベースされました
nftables パッケージがバージョン 0.8 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点は、以下のとおりです。
- 任意のキーの組み合わせのハッシュのサポートが追加されました。
- チェックサム調整を含む、非バイトバインドのパケットヘッダーフィールドの設定のサポートが追加されました。
- セット要素定義の変数参照や要素コマンドからの変数定義が利用できるようになりました。
- フラッシュセットのサポートが追加されました。
- ロギングフラグのサポートが追加されました。
tc classid
パーサーのサポートが追加されました。- リンク層アドレスに関するエンディアンの問題が解決されました。
- 定義上でマップフラグを保持するパーサーが修正されました。
- カーネルが想定するように、時間データ型はミリ秒を使用するようになりました。(BZ#1472261)
NetworkManager
に追加された永続的な DHCP
クライアント動作
この更新により、
ipv4.dhcp-timeout
プロパティーを 32 ビット整数の最大値 (MAXINT32)
値または 無限
値に設定できるようになりました。その結果、NetworkManager
による DHCP
サーバーからのリースの取得または更新の試行は、成功するまで停止しません。(BZ#1350830)
NetworkManager は
チームオプションを公開するための新しいプロパティーを公開します
以前は、
NetworkManager
は、config
プロパティーに JSON 文字列を提供する接続にチーム設定を適用していました。そのプロパティーはチーム設定で使用できる唯一のプロパティーでした。この更新により、チーム設定オプションに 1 対 1 で一致する新しいプロパティーが NetworkManager
に追加されます。その結果、設定は、NetworkManager 設定
プロパティーの一意の JSON 文字列を通じて、または新しいチームプロパティーに値を割り当てることによって提供される可能性があります。config
に適用された設定変更はすべて、新しいチームプロパティーに反映され、その逆も同様です。チーム Link-watchers と Team.runner の正しい設定が NetworkManager
に適用されるようになりました。リンクウォッチャーとチームランナーの設定が間違っているか不明な場合、チーム全体の接続が拒否されます。
新しい
runner
のプロパティーを変更すると、特定のランナーに関連するすべてのプロパティーがデフォルトにリセットされることに注意してください。(BZ#1398925)
パケットマークが返信に反映されるようになりました
以前は、閉じられたポートで接続リクエストを受信すると、エラーパケットがクライアントに送り返されていました。受信接続がいくつかのファイアウォールルールでマークされている場合、この機能がカーネルに実装されていなかったため、生成されたエラーメッセージにはこのマークがありませんでした。この更新により、生成されたエラーメッセージには、接続を開始しようとした受信パケットと同じマーキングが付けられます。(BZ#1469857)
NTP
の新しいソケットタイムスタンプオプション
この更新により、chrony などの
ネットワークタイムプロトコル (NTP)
実装のボンディングおよびその他の仮想インターフェイスを使用したハードウェアタイムスタンプ用の SOF_TIMESTAMPING_OPT_PKTINFO および SOF_TIMESTAMPING_OPT_TX_SWHW ソケットタイムスタンプオプションが追加されました。(BZ#1421164)
iproute2 がバージョン 4.11.0 にリベースされました
iproute2 パッケージがアップストリームバージョン 4.11.0 にアップグレードされ、バグ修正および機能拡張が数多く追加されました。特に、
ip
ツールには次のものが含まれます。
- さまざまなコマンドへの JSON 出力のサポートが追加されました。
- より多くのインターフェイスタイプ属性のサポートが追加されました。
- カラー出力のサポートが追加されました。
label
、dev
オプション、およびip-monitor
状態のrule
オブジェクトのサポート。- ip-rule コマンドのセレクターのサポートが追加されました。
さらに、
tc
ユーティリティーの注目すべき改善点は次のとおりです。
tc
の bash 補完関数のサポート。tc
にvlan
アクションが導入されました。Pedit
アクションの拡張モードが導入されました。csum
アクションでの Stream Control Transmission Protocol (SCTP) のサポートが追加されました。
他のツールの場合:
lnstat
ツールの拡張統計情報のサポートが追加されました。nstat
ユーティリティーでのSCTP
のサポートが追加されました。(BZ#1435647)
tc-pedit
アクションは、レイヤー 2
およびレイヤー 4
を基準とした offset をサポートするようになりました。
tc-pedit
アクションにより、パケットデータの変更が可能になります。この更新により、レイヤー 2
、3
、および 4
ヘッダーに関連する offset オプションを指定するためのサポートが tc-pedit
に追加されました。これにより、pedit header
の処理がより堅牢かつ柔軟になります。その結果、イーサネットヘッダーの編集がより便利になり、レイヤー 4
ヘッダーへのアクセスはレイヤー 3
ヘッダーサイズとは独立して機能します。(BZ#1468280)
iproute にバックポートされた機能
多くの機能強化が iproute パッケージにバックポートされました。主な変更点は、以下のとおりです。
- パイプラインデバッグサポートが、dpipe サブコマンドを介して devlink ツールに追加されました。
- ハードウェアオフロードステータスは、
in_hw
フラグ またはnot_in_hw
フラグで示される tc フィルターで利用できるようになりました。 - tc pedit アクションでの IPv6 のサポートが追加されました。
- eSwitch カプセル化の設定と取得のサポートが devlink ツールに追加されました。
- TC フラワーフィルターのマッチング機能が強化されました。
- TCP フラグのマッチングのサポート。
- IP ヘッダーのサービスタイプ (ToS) フィールドと存続時間 (TTL) フィールドのマッチングのサポート。
(BZ#1456539)
Geneve ドライバーがバージョン 4.12 にリベースされました
Geneve ドライバーはバージョン 4.12 に更新され、Geneve トンネリングを使用する Open vSwitch (OVS) または Open Virtual Network (OVN) デプロイメントに対するいくつかのバグ修正と機能拡張が提供されています。(BZ#1467288)
VXLAN
および GENEVE
オフロード用に追加された制御スイッチ
この更新では、
VXLAN
および GENEVE
トンネルのネットワークカードへのオフロードを有効または無効にする新しい制御スイッチが ethtool
ユーティリティーに追加されます。この機能強化により、VXLAN
または GENEVE
トンネルの問題のデバッグが容易になります。さらに、ethtool
を使用して機能を無効にすることで、これらのタイプのトンネルをネットワークカードにオフロードすることによって発生する問題を解決できます。(BZ#1308630)
unbound がバージョン 1.6.6 にリベースされました
unbound パッケージがアップストリームバージョン 1.6.6 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべき変更点は次のとおりです。
- RFC 7816 に準拠した DNS クエリー名 (QNAME) の最小化が実装されました。
- 新しい max-udp-size 設定オプションが追加されました。デフォルト値は
4096
です。 - 新しい
DNS64
モジュールと新しい dns64-prefix オプションが追加されました。 - 新しい insecure_add および insecure_remove コマンドが、ネガティブトラストアンカーを管理するための
unbound-control
ユーティリティーに追加されました。 unbound-control
ユーティリティーでは、Local Zone とローカルデータを一括で追加および削除できるようになりました。これらのアクションを実行するには、local_zones、local_zones_remove、local_datas、および local_datas_remove コマンドを使用します。libldns
はlibunbound
の依存関係ではなくなり、libunbound とともにインストールされなくなります。- 新しい so-reuseport: オプションを使用して、Linux 上のスレッドにクエリーを均等に分散できるようになりました。
- 新しいリソースレコードタイプが追加されました:
CDS
、CDNSKEY
、URI
(RFC 7553 による)、CSYNC
、およびOPENPGPKEY
。 - 新しい local-zone タイプが追加されました。クライアント IP を使用してメッセージをログに記録する
inform
と、クエリーをログに記録してその回答をドロップするInform_deny
です。 - ローカルソケットを介したリモート制御が利用できるようになりました。control-interface:/path/sock および control-use-cert: no コマンドを使用します。
- 非ローカル IP アドレスにバインドするための新しい ip-transparent: 設定オプションが追加されました。
- インターフェイスまたはアドレスがダウンしているときに IP アドレスにバインドするための新しい ip-freebind: 設定オプションが追加されました。
- 新しい harden-algo-downgrade: 設定オプションが追加されました。
- 現在、次のドメインがデフォルトでブロックされています:
onion
(RFC 7686 に準拠)、test
、およびvalid
(RFC 6761 に準拠)。 libunbound
ライブラリー用のユーザー定義のプラグ可能なイベント API が追加されました。Unbound
の作業ディレクトリーを設定するには、unbound.conf
ファイル内の include: file ステートメントを指定して directory : dir を使用するか、または絶対パスを指定して chroot コマンドを使用します。- きめ細かいローカルゾーン制御は、次のオプションを使用して実装されています: define-tag、access-control-tag、access-control-tag-action、access-control-tag-data、local-zone-tag、および local-zone-override
- 新しい outgoing-interface: netblock/64 IPv6 オプションが追加され、ランダムな 64 ビットローカル部分を持つすべてのクエリーに対して Linux freebind 機能が使用されます。
- クエリーログと同様の、DNS 応答のログが追加されました。
- キータグクエリーと
trustanchor.unbound CH TXT
クエリーを使用するトラストアンカーシグナリングが実装されました。 - DNS (EDNS) クライアントサブネットの拡張メカニズムが実装されました。
- 日和見的 IPsec サポートモジュールである
ipsecmod が
実装されました。(BZ#1251440)
DHCP が標準の動的 DNS 更新をサポートするようになりました
この更新により、DHCP サーバーは標準プロトコルを使用して DNS レコードを更新できるようになります。その結果、DHCP は、RFC 2136: https://tools.ietf.org/html/rfc2136 で説明されている標準の動的 DNS 更新をサポートします。(BZ#1394727)
DDNS
が追加のアルゴリズムをサポートするようになりました
以前は、
dhcpd
デーモンは、重要なアプリケーションにとって安全ではないと考えられている HMAC-MD5
ハッシュアルゴリズムのみをサポートしていました。その結果、Dynamic DNS (DDNS)
更新は安全ではない可能性がありました。この更新により、追加アルゴリズム HMAC-SHA1
、HMAC-SHA224
、HMAC-SHA256
、HMAC-SHA384
、または HMAC-SHA512
のサポートが追加されます。(BZ#1396985)
IPTABLES_SYSCTL_LOAD_LIST
が sysctl.d
ファイルをサポートするようになりました
IPTABLES_SYSCTL_LOAD_LIST
の sysctl
設定は、iptables
サービスの再起動時に iptables
init スクリプトによって再ロードされます。変更された設定は、以前は /etc/sysctl.conf
ファイル内でのみ検索されていました。この更新では、/etc/sysctl.d/
ディレクトリー内のこれらの変更を検索するためのサポートも追加されています。その結果、iptables サービスの再起動時に、/etc/sysctl.d/
内のユーザーが指定したファイルが正しく考慮されるようになりました。(BZ#1402021)
SCTP
が MSG_MORE
をサポートするようになりました
MSG_MORE
フラグは、完全なパケットの送信準備が整うまで、またはこのフラグを指定しない呼び出しが実行されるまで、小さなデータをバッファーリングするために設定されます。この更新により、ストリーム制御伝送プロトコル (SCTP) での MSG_MORE
のサポートが追加されました。その結果、小さなデータチャンクをバッファーリングし、完全なパケットとして送信できます。(BZ#1409365)
MACsec
がバージョン 4.13 にリベースされました
Media Access Control Security (MACsec)
ドライバーがアップストリームバージョン 4.13 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と拡張機能が提供されています。主な機能強化は、次のとおりです。
Generic Receive Offload (GRO)
およびReceive Packet Steering (RPS)
がMACsec
デバイスで有効になっています。MODULE_ALIAS_GENL_FAMILY
モジュールが追加されました。これにより、モジュールがまだロードされていない場合でも、wpa_supplicant
などのツールを起動できます。(BZ#1467335)
Open vSwitch で mlx5
ドライバーを使用する場合のパフォーマンスの向上
Open vSwitch (OVS) アプリケーションを使用すると、仮想マシンが相互に通信したり、物理ネットワークと通信したりできるようになります。OVS はハイパーバイザー内に存在し、スイッチングはフロー上の 12 タプルのマッチングに基づいています。ただし、OVS ソフトウェアベースのソリューションは CPU に非常に負荷がかかります。これはシステムのパフォーマンスに影響を与え、利用可能な帯域幅を完全に使用できなくなります。
この更新により、Mellanox ConnectX-4、ConnectX-4 Lx、および ConnectX-5 アダプターの
mlx5
ドライバーが OVS をオフロードできるようになりました。Mellanox Accelerated Switching And Packet Processing (ASAP2) Direct テクノロジーは、未変更の OVS コントロールプレーンを維持しながら、Mellanox ConnectX-4 以降のネットワークインターフェイスカードを使用して OVS データプレーンを Mellanox Embedded Switch または eSwitch で処理することにより、OVS のオフロードを可能にします。その結果、OVS のパフォーマンスが大幅に向上し、CPU への負荷が軽減されます。
ASAP2 Direct でサポートされている現在のアクションには、パケットの解析と照合、転送、ドロップ、および VLAN プッシュ/ポップ、または VXLAN のカプセル化とカプセル化解除が含まれます。(BZ#1456687)
Netronome NFP イーサネットドライバーが、representor netdev
機能をサポートするようになりました。
この更新では、Netronome NFP イーサネットドライバーの
representor netdev
機能が Red Hat Enterprise Linux 7.5 にバックポートされます。この機能強化により、ドライバーは次のことが可能になります。
- フォールバックトラフィックを送受信するには
- Open vSwitch で使用される
- TC-Fflower ユーティリティーを使用して NFP ハードウェアへのプログラミングフローをサポートするには (BZ#1454745)
TC-Fflower
アクションのオフロードのサポート
この更新では、
TC-Fflower
分類子のオフロードと、Open vSwitch のオフロードに関連するアクションのサポートが追加されました。これにより、Netronome SmartNIC を使用した Open vSwitch の高速化が可能になります。(BZ#1468286)
DNS スタブリゾルバーの改善
glibc
パッケージの DNS スタブリゾルバーは、アップストリームの glibc バージョン 2.26 に更新されました。主な改善点とバグ修正は次のとおりです。
/etc/resolv.conf
ファイルへの変更は自動的に認識され、実行中のプログラムに適用されるようになりました。以前の動作を復元するには、/etc/resolv.conf
のoptions
行にno-reload
オプションを追加します。システム設定によっては、/etc/resolv.conf
ファイルがネットワークサブシステムの設定の一部として自動的に上書きされ、no-reload
オプションが削除される場合があることに注意してください。- 以前の 6 つの検索ドメインエントリーの制限は削除されます。
/etc/resolv.conf
のsearch
ディレクティブを使用して、任意の数のドメインを指定できるようになりました。エントリーを追加すると、DNS 処理に大幅なオーバーヘッドが追加される可能性があることに注意してください。エントリー数が 3 を超える場合は、ローカルキャッシュリゾルバーの実行を検討してください。 getaddrinfo()
関数におけるさまざまな境界条件の処理が修正されました。/etc/hosts
ファイル内の非常に長い行 (コメントを含む) が、他の行からの検索結果に影響を与えなくなりました。特定の/etc/hosts
設定を持つシステムでのスタック枯渇に関連する予期しない終了は発生しなくなりました。
第14章 セキュリティー
LUKS で暗号化されたリムーバブルストレージデバイスは、NBDE を使用して自動的にロック解除できるようになりました
この更新により、clevis パッケージと clevis_udisks2 サブパッケージにより、ユーザーはリムーバブルボリュームをネットワークバインドディスク暗号化 (NBDE) ポリシーにバインドできるようになります。LUKS で暗号化されたリムーバブルストレージデバイス (USB ドライブなど) のロックを自動的に解除するには、clevis luks binding および clevis luks unlimited コマンドを使用します。(BZ#1475408)
new package: clevis-systemd
Clevis
プラグ可能なフレームワークのこの更新では、管理者がブート時に LUKS で暗号化された非ルートボリュームの自動ロック解除を設定できるようにする clevis-systemd サブパッケージが導入されています。(BZ#1475406)
OpenSCAP
をAnsible ワークフローに統合できるようになりました
今回の更新により、
OpenSCAP
スキャナーは、プロファイルまたはスキャン結果に基づいて、Ansible Playbook の形式で修復スクリプトを生成できるようになりました。SCAP セキュリティーガイドプロファイルに基づく Playbook にはすべてのルールの修正が含まれ、スキャン結果に基づく Playbook には、評価中に失敗したルールの修正のみが含まれます。ユーザーは、調整されたプロファイルから Playbook を生成したり、Playbook 内の値を編集して直接カスタマイズしたりすることもできます。ルール ID、ストラテジー、複雑さ、中断、参照などのタグは、Playbook 内のタスクのメタデータとして使用され、どのタスクを適用するかをフィルターするロールを果たします。(BZ#1404429)
SECCOMP_FILTER_FLAG_TSYNC
は、 呼び出しプロセススレッドの同期を有効にします。
この更新では、
SECCOMP_FILTER_FLAG_TSYNC
フラグが導入されました。新しいフィルターを追加するとき、このフラグは呼び出しプロセスの他のすべてのスレッドを同じ seccomp
フィルターツリーに同期します。詳細は、seccomp(2)
の man ページを参照してください。
アプリケーションが複数の
libseccomp
または seccomp-bpf
フィルターをインストールする場合は、許可されるシステムコールのリストに seccomp()
システムコールを追加する必要があることに注意してください。(BZ#1458278)
nss がバージョン 3.34 にリベース
nss パッケージがアップストリームバージョン 3.34 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点は、以下のとおりです。
- TLS 圧縮はサポートされなくなりました。
- TLS サーバーコードは、RSA キーを使用しないセッションチケットをサポートするようになりました。
- 証明書は、PKCS#11 URI を使用して指定できます。
RSA-PSS
暗号署名スキームが、証明書の署名の署名と検証に使用できるようになりました。(BZ#1457789)
mod_ssl
で SSLv3
が無効になっています
SSL/TLS 接続のセキュリティーを向上させるために、
httpd mod_ssl
モジュールのデフォルト設定が変更され、SSLv3
プロトコルのサポートが無効になり、特定の暗号スイートの使用が制限されました。この変更は mod_ssl パッケージの新規インストールにのみ影響するため、既存のユーザーは必要に応じて SSL 設定を手動で変更する必要があります。
SSLv3
を使用するか、DES
または RC4
に基づく暗号スイートを使用して接続を確立しようとする SSL クライアントは、新しいデフォルト設定では拒否されます。このような安全でない接続を許可するには、/etc/httpd/conf.d/ssl.conf
ファイル内の SSLProtocol
および SSLCipherSuite
ディレクティブを変更します。(BZ#1274890)
Libreswan
が IKEv2 の分割 DNS 設定をサポートするようになりました
libreswan パッケージのこの更新では、leftmodecfgdns= および leftcfgdomains= オプションを介して、インターネットキーエクスチェンジバージョン 2 (IKEv2) プロトコルの分割 DNS 設定のサポートが導入されています。これにより、ユーザーは、特定のプライベートドメインの DNS 転送を使用して、ローカルで実行されている DNS サーバーを再設定できるようになります。(BZ#1300763)
libreswan が ESP 用の AES-GMAC をサポートするようになりました
この更新により、phase2alg=null_auth_aes_gmac オプションを介した IPsec カプセル化セキュリティーペイロード (ESP) 内の Advanced Encryption Standard (AES) ガロアメッセージ認証コード (GMAC) のサポートが libreswan パッケージに追加されました。(BZ#1475434)
openssl-ibmca が 1.4.0 にリベースされました
openssl-ibmca パッケージがアップストリームバージョン 1.4.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
- Advanced Encryption Standard Galois/Counter Mode (AES-GCM) のサポートが追加されました。
- FIPS モードで動作する
OpenSSL
の修正が組み込まれました。(BZ#1456516)
opencryptoki が 3.7.0 にリベースされました。
opencryptoki パッケージがアップストリームバージョン 3.7.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
- ライセンスを Common Public License バージョン 1.0 (CPL) にアップグレードしました。
- Enterprise PKCS #11 (EP11) および Common Cryptographic Architecture (CCA) の SHA-2 サポートを備えた ECDSA を追加しました。
- ミューテックスロックからトランザクションメモリー (TM) に移行することでパフォーマンスが向上しました。(BZ#1456520)
configuration_compliance を使用した atomic scan により、ビルド時にセキュリティーに準拠したコンテナーイメージを作成できるようになります
rhel7/openscap
コンテナーイメージは、configuration_compliance スキャンタイプを提供するようになりました。この新しいスキャンタイプを atomic scan コマンドの引数として使用すると、ユーザーは次のことが可能になります。
- Red Hat Enterprise Linux ベースのコンテナーイメージおよびコンテナーを、SCAP セキュリティーガイド (SSG) によって提供されるプロファイルに対してスキャンします。
- Red Hat Enterprise Linux ベースのコンテナーイメージを修復して、SSG が提供するプロファイルに準拠するようにします。
- スキャンまたは修復から HTML レポートを生成します。
修復の結果、設定が変更されたコンテナーイメージが作成され、元のコンテナーイメージの上に新しいレイヤーとして追加されます。
元のコンテナーイメージは変更されず、新しいレイヤーがその上に作成されるだけである点に注意してください。修復プロセスでは、すべての設定の改善を含む新しいコンテナーイメージが構築されます。この層の内容は、スキャンのセキュリティーポリシーによって定義されます。これは、修復されたコンテナーイメージが Red Hat によって署名されなくなったことも意味します。これは想定内であり、修復されたレイヤーが含まれているという点で、元のコンテナーイメージとは異なることが原因となっています。(BZ#1472499)
tang-nagios により、Nagios
が Tang
を監視できるようになります
tang-nagios サブパッケージは、
Tang
の Nagios
プラグインを提供します。このプラグインにより、Nagios
プログラムが Tang
サーバーを監視できるようになります。サブパッケージはオプションチャネルで入手できます。詳細については、tang-nagios(1)
の man ページを参照してください。(BZ#1478895)
clevis は、特権操作をログに記録するようになりました
この更新により、clevis-udisks2 サブパッケージは試行されたすべてのキー回復を監査ログに記録し、Linux 監査システムを使用して特権操作を追跡できるようになりました。(BZ#1478888)
アプリケーションでのメモリーリークを防ぐために、PK11_CreateManagedGenericObject()
が NSS
に追加されました
PK11_DestroyGenericObject()
関数は、PK11_CreateGenericObject()
によって割り当てられたオブジェクトを適切に破棄しませんが、一部のアプリケーションは、オブジェクトの使用後に存続するオブジェクトを作成する関数に依存しています。このため、ネットワークセキュリティーサービス
(NSS) ライブラリーには PK11_CreateManagedGenericObject()
関数が含まれるようになりました。PK11_CreateManagedGenericObject()
を使用してオブジェクトを作成する場合、PK11_DestroyGenericObject()
関数は、基礎となる関連オブジェクトも適切に破棄します。curl
ユーティリティーなどのアプリケーションは、PK11_CreateManagedGenericObject()
を使用してメモリーリークを防止できるようになりました。(BZ#1395803)
OpenSSH
が openssl-ibmca および openssl-ibmpkcs11 HSM をサポートするようになりました
この更新により、
OpenSSH
スイートは openssl-ibmca および openssl-ibmpkcs11 パッケージによって処理されるハードウェアセキュリティーモジュール (HSM) を有効にします。これ以前は、OpenSSH
seccomp フィルターにより、これらのカードが OpenSSH
権限分離で動作することが妨げられていました。seccomp フィルターが更新され、IBM Z 上の暗号化カードに必要なシステムコールが許可されるようになりました。(BZ#1478035)
cgroup_seclabel
により、cgroups でのきめ細かいアクセス制御が可能になります
この更新では、ユーザーがコントロールグループ (cgroup) ファイルにラベルを設定できるようにする
cgroup_seclabel
ポリシー機能が導入されました。この追加が行われる前は、cgroup ファイルシステムのラベル付けは不可能であり、コンテナー内で systemd
サービスマネージャーを実行するには、cgroup ファイルシステム上のすべてのコンテンツに対する読み取りおよび書き込み権限を許可する必要がありました。cgroup_seclabel
ポリシー機能により、cgroup ファイルシステムでのきめ細かいアクセス制御が可能になります。(BZ#1494179)
ブートプロセスで、ネットワークに接続された暗号化デバイスのロックを解除できるようになりました
以前は、ブートプロセスは、ネットワークサービスを開始する前に、ネットワークによって接続されているブロックデバイスのロックを解除しようとしていました。ネットワークがアクティブ化されていなかったため、これらのデバイスに接続して復号化することができませんでした。
この更新により、
remote-cryptsetup.target
ユニットとその他のパッチが systemd
パッケージに追加されました。その結果、システム起動時にネットワーク接続されている暗号化されたブロックデバイスのロックを解除し、そのようなブロックデバイスにファイルシステムをマウントできるようになりました。
システム起動時にサービス間で正しい順序を確保するには、
/etc/crypttab
設定ファイル内の _netdev
オプションを使用してネットワークデバイスをマークする必要があります。
この機能の一般的な使用例は、ネットワークバインドディスク暗号化と併用することです。ネットワークバインドディスク暗号化の詳細については、Red Hat Enterprise Linux セキュリティーガイドの次の章を参照してください。
https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/security_guide/sec-using_network-bound_disk_encryption (BZ# 1384014)
SELinux
が InfiniBand
オブジェクトのラベル付けをサポートするようになりました
このリリースでは、カーネル、ポリシー、
semanage
ツールの機能強化を含め、InfiniBand
エンドポートと P_Key ラベル付けに対する SELinux
サポートが導入されています。InfiniBand
関連のラベルを管理するには、次のコマンドを使用します。
libica が 3.2.0 にリベースされました
libica パッケージはアップストリームバージョン 3.2.0 にアップグレードされ、最も注目すべき点は、Enhanced SIMD 命令セットのサポートが追加されたことです。(BZ#1376836)
SELinux で systemd
の No New Privileges
に対応
今回の更新で、新旧のコンテキスト間で
nnp_nosuid_transition
が許可されている場合に、No New Privileges
(NNP) または nosuid
で SELinux ドメインの移行を可能にする nnp_nosuid_transition
ポリシー機能が追加されました。selinux-policy パッケージに、NNP
セキュリティー機能を使用する systemd
サービスのポリシーが含まれるようになりました。
次のルールでは、サービスにこの機能を許可しています。
allow source_domain target_type:process2 { nnp_transition nosuid_transition };
以下に例を示します。
allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };
ディストリビューションポリシーには、m4 マクロインターフェイスも含まれています。これは、
init_nnp_daemon_domain()
関数を使用するサービスの SELinux セキュリティーポリシーで使用できます。(BZ#1480518)
libreswan がバージョン 3.23 にリベース
libreswan パッケージがアップストリームバージョン 3.23 にアップグレードされ、以前のバージョンに比べて多くのバグ修正、速度向上、機能拡張が提供されています。主な変更点は、以下のとおりです。
- dnssec-enable=yes|no、dnssec-rootkey-file=、および dnssec-anchors= オプションによる拡張 DNS Security Extensions (DNSSEC) スイートのサポート。
- ppk=yes|no|insist オプションによるポスト量子事前共有キー (PPK) の実験的サポート。
- RSA-SHA の署名認証 (RFC 7427) のサポート。
- 新しい logip= オプションをデフォルト値
yes
で使用すると、受信 IP アドレスのログを無効にすることができます。これは、プライバシーを懸念する大規模なサービスプロバイダーにとって役立ちます。 - アンバインド DNS サーバーの ipsecmod module は、DNS の
IPSECKEY
レコードを使用した Opportunistic IPsec をサポートします。 - decap-dscp=yes オプションによる Differentiated Services Code Point (DSCP) アーキテクチャーのサポート。DSCP は、以前は利用規約 (TOS) として知られていました。
- nopmtudisc=yes オプションによる Path MTU Discovery (PMTUD) の無効化のサポート。
- マルチドメインデプロイメントを改善するための IDr (識別 - レスポンダー) ペイロードのサポート。
- 非常にビジーなサーバー上で IKE パケットを再送信すると、
EAGAIN
エラーメッセージが返されます。 - カスタマイズのためのアップダウンスクリプトのさまざまな改善。
- RFC 8221 および RFC 8247 に従って暗号化アルゴリズムの設定を更新しました。
- updown スクリプトを無効にするための
%none
および/dev/null
値を leftupdown= オプションに追加しました。 - CREATE_CHILD_SA エクスチェンジを使用したキー再生成のサポートが改善されました。
- IKEv1 XAUTH スレッドの競合状態が解決されました。
- 最適化された pthread ロックにより、パフォーマンスが大幅に向上しました。
詳細は、man ページの
ipsec.conf
を参照してください。(BZ#1457904)
libreswan が IKEv2 MOBIKE をサポートするようになりました
この更新では、mobike=yes|no オプションによる XFRM_MIGRATE メカニズムを使用した IKEv2 Mobility and Multihoming (MOBIKE) プロトコル (RFC 4555) のサポートが導入されています。MOBIKE を使用すると、IPsec トンネルを妨げることなく、Wi-Fi、LTE などのネットワークをシームレスに切り替えることができます。(BZ#1471763)
scap-workbench がバージョン 1.1.6 にリベースされました
scap-workbench パッケージがバージョン 1.1.6 にアップグレードされ、以前のバージョンに対して多数のバグ修正と拡張が行われました。注目すべき変更点は次のとおりです。
- プロファイルからの Bash および Ansible 修復ロールの生成とスキャン結果のサポートが追加されました。生成された修復は、後で使用できるようにファイルに保存できます。
- コマンドラインから直接調整ファイルを開くためのサポートが追加されました。
- 32,768 を超える SSH ポート番号を使用する場合の短整数のオーバーフローを修正しました。(BZ#1479036)
OpenSCAP
が DISA STIG Viewer
の結果を生成できるようになりました
OpenSCAP
スイートは、DISA STIG Viewer
ツールと互換性のある形式で結果を生成できるようになりました。これにより、ユーザーはローカルシステムをスキャンして国防情報システム庁セキュリティー技術実装ガイド (DISA STIG) に準拠しているかどうかを確認し、結果を DISA STIG Viewer
で開くことができます。(BZ#1505517)
selinux-policy に は許可ドメインが含まれなくなりました
セキュリティー強化策として、
SELinux
ポリシーはデフォルトで次のドメインを許可モードに設定しなくなりました。
- blkmapd_t
- hsqldb_t
- ipmievd_t
- sanlk_resetd_t
- systemd_hwdb_t
- targetd_t
これらのドメインのデフォルトモードは強制に設定されるようになりました。(BZ#1494172)
audit がバージョン 2.8.1 にリベース
audit パッケージはアップストリームバージョン 2.8.1 にアップグレードされました。これにより、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されます。注目すべき変更点は次のとおりです。
- アンビエント機能フィールドのサポートが追加されました。
Audit
デーモンは IPv6 でも動作するようになりました。- デフォルトのポートを
auditd.conf
ファイルに追加しました。 - Access Vector Cache (AVC) メッセージをレポートするための
auvirt
ツールを修正しました。(BZ#1476406)
OpenSC
が SCE7.0 144KDI CAC Alt. トークンをサポートするようになりました。
この更新では、SCE7.0 144KDI Common Access Card (CAC) 代替トークンのサポートが追加されています。これらの新しいカードは、以前の米国のカードに準拠していませんでした。CAC PIV エンドポイント仕様に関する国防総省 (DoD) 実装ガイド、および、
OpenSC
ドライバーが更新された仕様を反映するために更新されました。(BZ#1473418)
第15章 サーバーおよびサービス
余った dbus
プロセス
Red Hat Enterprise Linux 7.5 には、ユーザーが
dbus
を使用してアプリケーションをリモート (SSH 経由や IBM Platform LSF 経由など) で起動できる機能が追加されています。
ただし、
dbus
を使用するプロセスがリモートで起動されると、メインプロセスが閉じられた後でも dbus
プロセスが実行され続けるため、リモートセッションがブロックされ、正常に終了できなくなります。
この問題を回避するには、https://access.redhat.com/solutions/3257651 の手順に従ってください。(BZ#1460262)
dbus が バージョン 1.10 にリベースされました
dbus パッケージがアップストリームバージョン 1.10 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点は、以下のとおりです。
dbus-run-session
は、ログインセッションのランタイム用にdbus
セッションバスを実行する新しいユーティリティーで、dbus を使用するアプリケーションを開始するssh
セッションをより予測可能かつ信頼性の高いものにします。詳細については、man 1 dbus-run-session
を参照してください。- いくつかのメモリーおよびファイル記述子のリークが修正されました。これにより、
dbus-daemon の
メモリー使用量と信頼性が向上します。 - 既知のシステムおよびセッションバス設定ファイルは、
/etc/dbus-1/
から/usr/share/dbus-1/
ディレクトリーに移動されました。古い場所は引き続き使用できますが、非推奨になります (具体的には、session.conf
とsystem.conf
は非推奨ですが、session.d
とsystem.d
の下のシステム管理者の設定スニペットは許可されます)。(BZ#1480264)
tuned がバージョン 2.9.0 にリベースされました。
tuned パッケージがアップストリームバージョン 2.9.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべき変更点は次のとおりです。
net
プラグインは、ring パラメーター
とpause
パラメーターを使用して拡張されました。- 手動または自動で設定されるプロファイルの概念が導入されました。
- プロファイル推奨ファイル用のディレクトリーがサポートされるようになりました。(BZ#1467576)
chrony がバージョン 3.2 にリベースされました
chrony パッケージがアップストリームバージョン 3.2 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。主な機能強化は、次のとおりです。
- ボンディング、ブリッジング、およびイーサネットインターフェイスを集約するその他の論理インターフェイスによるハードウェアタイムスタンプのサポート
- 受信した PTP (Precision Time Protocol) パケットのみにタイムスタンプを付与でき、Network Time Protocol (NTP) パケットにはタイムスタンプを付与できないネットワークカードによる送信専用ハードウェアタイムスタンプのサポート
- ハードウェアタイムスタンプおよびインターリーブモードによる Synchronization の安定性の向上
- 国際原子時 (TAI) と協定世界時 (UTC) の間のシステムクロックのオフセットを自動的に設定するための、leapsectz オプションの改良 (BZ# 1482565)
SNMP ページカウントを CUPS で無効にできるようになりました
現在、簡易ネットワーク管理プロトコル (SNMP) ページカウントでは、特定のプリンターについて誤った情報が表示されます。この更新により、CUPS 印刷システムは SNMP ページカウントのオフをサポートし、問題を回避します。これを行うには、プリンターの PostScript プリンター記述 (PPD) ファイルに
*cupsSNMPPages: False
を追加します。
プリンターの PPD ファイルにオプションを追加する手順は、https://access.redhat.com/solutions/1427573 のソリューション記事で説明されています。(BZ#1434153)
CUPS は、TLS バージョン 1.2 以降の暗号のみを使用するように設定できます。
CUPS 印刷システムは、TLS バージョン 1.2 以降の暗号のみを使用するように設定できるようになりました。この機能を使用するには、オプション
SSLOptions MinTLS1.2
を CUPS クライアントの /etc/cups/client.conf
ファイルに、または CUPS デーモンの /etc/cups/cupsd.conf
ファイルに追加します。(BZ#1466497)
Squid パッケージは kerberos_ldap_group
ヘルパーを提供するようになりました。
この更新により、
kerberos_ldap_group
外部アクセス制御リスト (ACL) ヘルパーが Squid パッケージに追加されました。kerberos_ldap_group
ヘルパーは、LDAP サーバーに対する Simple Authentication and Security Layer (SASL) および Generic Security Services API (GSSAPI) 認証をサポートするリファレンス実装であり、主に Active Directory または OpenLDAP ベースの LDAP サーバーに接続することを目的としています。(BZ#1452200)
OpenIPMI がバージョン 2.0.23 にリベースされました。
OpenIPMI パッケージがバージョン 2.0.23 にアップグレードされ、バグ修正および機能拡張が数多く追加されました。特に:
- ファンのデューティサイクルを直接設定するコマンドを追加します。
- コンパイル後にコマンドラインから状態ディレクトリーを指定する方法が追加されます。
- メッセージマップサイズを 32 ビットに変更して、16 メッセージウィンドウ全体を処理できるようにします。
- IPMI LAN シミュレーターコマンドのサポートが追加されます。ipmi_sim_cmd (5) のマニュアルページを参照してください。
- IPMI LAN インターフェイス設定ファイルのサポートが追加されます。ipmi_lan (5) のマニュアルページを参照してください。(BZ#1457805)
freeIPMI 1.2.9 から freeIPMI 1.5.7 への変更の概要
最も重要な変更点は次のとおりです。
-
ipmi-fru
ツールは、DDR3 および DDR4 SDRAM モジュールの出力と新しい FRU マルチレコードをサポートするようになりました。- 新しい ipmi-config
ツールは、以前に bmc-config
、ipmi-pef-config
、ipmi-sensors-config
、および ipmi-chassis-config
ツールにあったすべての機能を実装する統合設定ツールです。- ipmi-sel
ツールは、IPMI システムイベントログレコードを読み取り、管理します。これにより、このツールはシステムのデバッグに役立ちます。
変更の完全なリストは、インストール後に
/usr/share/doc/freeipmi/NEWS
ファイルで入手できます。(BZ#1435848)
PHP FPM プール設定で使用できる新しい clear_env
オプション
この更新では、PHP の FastCGI Process Manager (FPM) プール設定に新しい
clear_env
オプションが導入されています。clear_env
オプションが無効になっている場合、FPM デーモンの実行時に設定された環境変数は保存され、スクリプトで使用できます。デフォルトでは、clear_env
が有効になっており、現在の動作が維持されます。(BZ#1410010)
第16章 ストレージ
VDO を使用したデータの重複排除と圧縮
Red Hat Enterprise Linux 7.5 には、Virtual Data Optimizer (VDO) が導入されています。この機能を使用すると、データの重複排除、圧縮、シンプロビジョニングを透過的に提供するブロックデバイスを作成できます。標準のファイルシステムとアプリケーションは、変更せずにこれらの仮想ブロックデバイス上で実行できます。
VDO は現在、AMD64 および Intel 64 アーキテクチャーでのみ使用できます。
VDO の詳細については、ストレージ管理ガイドの VDO によるデータ重複排除と圧縮の章を参照してください: https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/storage_administration_guide/vdo。(BZ#1480047)
LVM スナップショットとイメージブートエントリーを管理するための新しい boom ユーティリティー
このリリースでは、boom コマンドが追加されており、システム上の追加のブートローダーエントリーを管理するために使用できます。これを使用して、システムスナップショットおよびイメージの補助ブートエントリーを作成、削除、リスト表示、および変更できます。このユーティリティーは、LVM スナップショットのブートメニューエントリーを管理するための単一ツールを提供します。したがって、ブートローダー設定ファイルを手動で編集したり、詳細なカーネルパラメーターを操作したりする必要がなくなりました。このツールは、lvm2-python-boom パッケージによって提供されます。(BZ#1278192)
DM Multipath では事前の予約キーが不要になりました
DM Multipath は、
multipath.conf
ファイルで 2 つの新しい設定オプションをサポートするようになりました。
unpriv_sgio
prkeys_file
defaults
セクションと multipaths
セクションの reservation_key
オプションは、新しいキーワード file
を受け入れます。設定すると、multipathd
サービスは、defaults
セクションの prkeys_file
オプションで設定されたファイルを使用して、マルチパスデバイスのパスに使用する予約キーを取得します。prkeys
ファイルは、mpathpersist
ユーティリティーによって自動的に更新されます。reservation_key
オプションのデフォルトは未定義のままで、prkeys_file
のデフォルトは /etc/multipath/prkeys
です。
新しい
unpriv_sgio
オプションが yes
に設定されている場合、DM Multipath はすべての新しいデバイスとそのパスを unpriv_sgio
属性で作成します。このオプションは他のソフトウェアによって内部的に使用され、ほとんどの DM Multipath ユーザーには不要です。デフォルトは no
です。
これらの変更により、どの予約キーが使用されるかを事前に知らなくても、また予約キーを
multipath.conf
設定ファイルに追加しなくても、mpathpersist
ユーティリティーを使用できるようになります。その結果、mpathpersist
ユーティリティーを使用して、複数のセットアップでマルチパス永続予約を管理することが容易になりました。(BZ#1452210)
multipath.conf
の blacklist
セクションと blacklist_Exception
セクションで新しい property
パラメーターがサポートされました
multipath.conf
設定ファイルは、ファイルの blacklist
セクションと blacklist_Exception
セクションの property
パラメーターをサポートするようになりました。このパラメーターを使用すると、ユーザーは特定タイプのデバイスをブラックリストに指定できます。property
パラメーターは、デバイスの udev
環境変数名と照合される正規表現文字列を受け取ります。
blacklist_Exception
の property
パラメーターは、他の blacklist_Exception
パラメーターとは動作が異なります。このパラメーターを設定した場合は、一致する udev
変数がデバイスに必要になります。この変数がないと、デバイスはブラックリストに指定されます。
最も便利なのは、このパラメーターを使用すると、USB スティックやローカルハードドライブなど、マルチパスが無視する必要のある SCSI デバイスをブラックリストに登録できるようになることです。合理的にマルチパス化できる SCSI デバイスのみを許可するには、
multipath.conf
ファイルの blacklist_Exceptions
セクションでこのパラメーターを (SCSI_IDENT_|ID_WWN)
に設定します。(BZ#1456955)
Smartmontools が NVMe デバイスをサポートするようになりました
この更新により、Nonvolatile Memory Express (NVMe) デバイス、特にソリッドステートドライブ (SSD) ディスクのサポートが Smartmontools パッケージに追加されます。その結果、smartmontools ユーティリティーを使用して、Self-Monitoring、Analysis and Reporting Technology System (SMART) を使用して NVMe ディスクを監視できるようになりました。(BZ#1369731)
指定されたハードウェアでの DIF/DIX (T10 PI) のサポート
SCSI T10 DIF/DIX は、ハードウェアベンダーが認定し、特定の HBA およびストレージアレイ設定を完全にサポートしている場合、Red Hat Enterprise Linux 7.5 で完全にサポートされます。DIF/DIX は、他の設定ではサポートされていません。ブートデバイスでの使用もサポートされておらず、仮想化ゲストでの使用もサポートされていません。
現在、このサポートを提供するベンダーは以下のとおりです。
FUJITSU は、以下で DIF および DIX をサポートしています。
EMULEX 16G FC HBA:
- EMULEX LPe16000/LPe16002、10.2.254.0 BIOS、10.4.255.23 FW (以下と共に)
- FUJITSU ETERNUS DX100 S3、DX200 S3、DX500 S3、DX600 S3、DX8100 S3、DX8700 S3、DX8900 S3、DX200F、DX60 S3、AF250、AF650、DX60 S4、DX100 S4、DX200 S4、DX500 S4、DX600 S4、AF250 S2、AF650 S2
QLOGIC 16G FC HBA:
- QLOGIC QLE2670/QLE2672、3.28 BIOS、8.00.00 FW (以下と共に)
- FUJITSU ETERNUS DX100 S3、DX200 S3、DX500 S3、DX600 S3、DX8100 S3、DX8700 S3、DX8900 S3、DX200F、DX60 S3、AF250、AF650、DX60 S4、DX100 S4、DX200 S4、DX500 S4、DX600 S4、AF250 S2、AF650 S2
T10 DIX には、ディスクブロックでチェックサムの生成および検証を行うデータベースまたはその他のソフトウェアが必要です。現在サポートされている Linux ファイルシステムにはこの機能はありません。
EMC は以下で DIF をサポートしています。
EMULEX 8G FC HBA:
- LPe12000-E および LPe12002-E with firmware 2.01a10 以降 (以下と共に)
- EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
EMULEX 16G FC HBA:
- ファームウェア 10.0.803.25 以降の LPe16000B-E および LPe16002B-E (以下と共に)
- EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
QLOGIC 16G FC HBA:
- QLE2670-E-SP および QLE2672-E-SP (以下と共に)
- EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
最新のステータスは、ハードウェアベンダーのサポート情報を参照してください。
他の HBA およびストレージアレイの場合、DIF/DIX へのサポートはテクノロジープレビューのままとなります。(BZ#1499059)
ファイルシステムダイレクトアクセス (DAX) とデバイス DAX が Huge Page をサポートするようになりました
以前は、各ファイルシステム DAX およびデバイス DAX ページフォールトは、ユーザースペース内の単一のページにマップされていました。この更新により、ファイルシステム DAX とデバイス DAX は、Huge Page と呼ばれるより大きなチャンクで永続メモリーをマップできるようになりました。
ファイルシステム DAX は、たとえば、AMD64 および Intel 64 アーキテクチャーでサイズが 2 MiB の Huge Page をサポートし、デバイス DAX は、AMD64 および Intel 64 で 2 MiB または 1 GiB のヒュージページの使用をサポートします。比較すると、これらのアーキテクチャーでは標準ページのサイズは 4 KiB です。
DAX 名前空間を作成するときに、名前空間がすべてのページフォールトに使用するページサイズを設定できます。
巨大なページにより、ページフォールトが減り、ページテーブルが小さくなり、Translation Lookaside Buffer (TLB) の競合が減ります。その結果、ファイルシステム DAX とデバイス DAX のメモリー使用量が減り、パフォーマンスが向上しました。(BZ#1457561、BZ#1383493)
fsadm
は、LUKS で暗号化された LVM ボリュームを拡張および縮小できるようになりました
fsadm
ユーティリティーは、Linux Unified Key Setup (LUKS) で暗号化された Logical Volume Manager (LVM) ボリュームを拡大および縮小できるようになりました。これは、fsadm --lvresize コマンドを使用して fsadm
を直接使用する場合と、lvresize --resizefs コマンドを使用して間接的に使用する場合の両方に当てはまります。
技術的な制限により、ヘッダーが切り離された暗号化デバイスのサイズ変更はサポートされていないことに注意してください。(BZ#1113681)
第17章 システムおよびサブスクリプション管理
cockpit は バージョン 154 にリベースされました
Cockpit
ブラウザーベースの管理コンソールを提供する Cockpit パッケージがバージョン 154 にアップグレードされました。このバージョンでは、多くのバグ修正と機能強化が提供されています。主な変更点は、以下のとおりです。
Accounts
ページでは、アカウントのロックとパスワードの有効期限を設定できるようになりました。- 負荷グラフは、すべてのネットワーク上のループバックトラフィックを一貫して無視します。
Cockpit
は、systemd
サービスの満たされていない条件に関する情報を提供します。Services
ページで新しく作成されたタイマーが自動的に開始され、有効になるようになりました。- 端末ウィンドウのサイズを動的に変更して、利用可能なスペースをすべて使用することができます。
- Internet Explorer でのさまざまなナビゲーションおよび JavaScript エラーが修正されました。
Cockpit
は、自己署名証明書ジェネレーター (SSCG) を使用して SSL 証明書を生成します (可能な場合)。- 任意のパスからの SSH キーのロードがサポートされるようになりました。
- 存在しない、または無効な
/etc/os-release
ファイルが正常に処理されるようになりました。 - 権限のないユーザーは、
System
ページのシャットダウン/再起動ボタンを使用できなくなりました。
特定の cockpit パッケージは Red Hat Enterprise Linux 7 Extras チャネルで入手できることに注意してください。https://access.redhat.com/support/policy/updates/extras を参照してください。(BZ#1470780, BZ#1425887, BZ#1493756)
yum-utils
のユーザーはトランザクションの前にアクションを実行できるようになりました
新しい
yum-plugin-pre-transaction-actions
プラグインが yum-utils
コレクションに追加されました。これにより、ユーザーはトランザクションが開始される前にアクションを実行できます。プラグインの使用法と設定は、既存の yum-plugin-post-transaction-actions
プラグインとほぼ同じです。(BZ#1470647)
yum は
非 root ユーザーとしてユーザーごとのキャッシュの作成を無効にできます
新しい usercache オプションが
yum
ユーティリティーの yum.conf(5)
設定ファイルに追加されました。これにより、ユーザーは、yum が
非 root ユーザーとして実行される場合に、ユーザーごとのキャッシュの作成を無効にすることができます。この変更の理由は、$TMPDIR
ディレクトリー内のスペースがユーザーキャッシュデータによって消費されている場合など、ユーザーがユーザーごとのキャッシュを作成して設定したくない場合があるためです。(BZ#1432319)
yum-builddep
で RPM マクロを定義できるようになりました
yum-builddep
ユーティリティーが拡張され、.spec ファイル解析用の RPM マクロを定義できるようになりました。この変更は、場合によっては、yum-builddep
が .spec ファイルを正常に解析するために RPM マクロを定義する必要があるために行われました。rpm
ユーティリティーと同様に、yum-builddep
ツールで --define オプションを使用して RPM マクロを指定できるようになりました。(BZ#1437636)
subscription-manager
は 登録時にホスト名を表示するようになりました
これまで、ユーザーは、さまざまな Satellite 設定によって決定される特定のシステムの有効なホスト名を検索する必要がありました。この更新により、
subscription-manager
ユーティリティーはシステムの登録時にホスト名を表示します。(BZ#1463325)
subscription-manager
プラグインが yum-config-manager
で実行されるようになりました
この更新により、
subscription-manager
プラグインは yum-config-manager
ユーティリティーで実行されます。yum-config-manager
操作によって redhat.repo
の生成がトリガーされるようになり、最初に yum コマンドを実行しなくても Red Hat Enterprise Linux コンテナーでリポジトリーを有効または無効にできるようになりました。(BZ#1329349)
subscription-manager
は /etc/pki/product-default/
内のすべての製品証明書を保護するようになりました。
以前は、
subscription-manager
ユーティリティーは、タグが rhel-#
と一致する redhat-release パッケージによって提供される製品証明書のみを保護していました。その結果、RHEL-ALT
や High Touch Beta
などの製品証明書が、product-id yum
プラグインによって /etc/pki/product-default/
ディレクトリーから削除されることがありました。この更新により、/etc/pki/product-default/
内のすべての証明書を自動削除から保護するように subscription-manager
が変更されました。(BZ#1526622)
rhn-merge-classic-to-rhsm
は、subscription-manager
および product-id
yum プラグインを自動的に有効にするようになりました。
この更新により、
rhn-merge-classic-to-rhsm
ユーティリティーは、yum
プラグインである subscription-manager
および product-id
を自動的に有効にします。この更新により、subscription-manager
ユーティリティーは yum
プラグイン (subscription-manager
および product-id)
を自動的に有効にします。この更新は、以前に rhn-client-tools
ユーティリティーを使用してシステムを Red Hat Network Classic に登録していたユーザー、または Satellite 5 エンタイトルメントサーバーで現在も rhn-client-tools ユーティリティーを使用しており、yum
プラグインを一時的に無効にしている Red Hat Enterprise Linux のユーザーにメリットがあります。その結果、rhn-merge-classic-to-rhsm
により、資格付与のための新しい subscription-manager
ツールの使用への簡単な移行が可能になります。rhn-merge-classic-to-rhsm
を実行すると、このデフォルトの動作が望ましくない場合に変更する方法を示す警告メッセージが表示されることに注意してください。(BZ#1466453)
subscription-manager
は、subscription-manager
および product-id
yum プラグインを自動的に有効にするようになりました
この更新により、
subscription-manager
ユーティリティーは yum
プラグイン (subscription-manager
および product-id)
を自動的に有効にします。この更新は、以前に rhn-client-tools
ユーティリティーを使用してシステムを Red Hat Network Classic に登録していたユーザー、または Satellite 5 エンタイトルメントサーバーで現在も rhn-client-tools ユーティリティーを使用しており、yum
プラグインを一時的に無効にしている Red Hat Enterprise Linux のユーザーにメリットがあります。その結果、ユーザーは資格付与のために新しい subscription-manager
ツールの使用を開始しやすくなります。subscription-manager
を実行すると、このデフォルトの動作が望ましくない場合に変更する方法を示す警告メッセージが表示されることに注意してください。(BZ#1319927)
subscription-manager-cockpit
は、cockpit-system
のサブスクリプション機能を置き換えます
この更新では、新しい
subscription-manager-cockpit
RPM が導入されています。新しい subscription-manager-cockpit
RPM は、新しい dbus ベースの実装と、Cockpit-system
によって提供される同じサブスクリプション機能に対するいくつかの修正を提供します。両方の RPM がインストールされている場合は、subscription-manager-cockpit
の実装が使用されます。(BZ#1499977)
virt-who
はホストとゲストのマッピングが送信される場所をログに記録します
virt-who
ユーティリティーは、rhsm.log
ファイルを使用して、ホストとゲストのマッピングの送信先の所有者またはアカウントを記録するようになりました。これは、virt-who
を適切に設定するのに役立ちます。(BZ#1408556)
virt-who が
設定エラー情報を提供するようになりました
virt-who
ユーティリティーは、一般的な virt-who
設定エラーをチェックし、これらのエラーの原因となった設定項目を指定するログメッセージを出力するようになりました。その結果、ユーザーは virt-who
設定エラーを修正することが容易になります。(BZ#1436617)
reposync はデフォルトで、場所が宛先ディレクトリー外にあるパッケージをスキップするようになりました
以前は、reposync コマンドはリモートリポジトリーで指定されたパッケージへのパスをサニタイズしなかったため、安全ではありませんでした。CVE-2018-10897 のセキュリティー修正により、指定された宛先ディレクトリーの外にパッケージを保存しないように reposync のデフォルトの動作が変更されました。元の安全でない動作を復元するには、新しい
--allow-path-traversal
オプションを使用します。(BZ#1609302)
第18章 仮想化
IBM Z での KVM 仮想化
KVM 仮想化が IBM Z でサポートされるようになりました。ただし、この機能は、kernel-alt パッケージによって提供される、カーネルバージョン 4.14 に基づいて新しく導入されたユーザー空間でのみ使用できます。
また、ハードウェアの違いにより、KVM 仮想化の特定の機能が AMD64 および Intel 64 システムでサポートされているものと異なることにも注意してください。
IBM Z での KVM 仮想化のインストールと使用の詳細については、仮想化の導入および管理ガイドを参照してください。(BZ#1400070, BZ#1379517, BZ#1479525, BZ#1479526, BZ#1471761)
IBM POWER9 でサポートされる KVM 仮想化
この更新により、IBM POWER9 システムで KVM 仮想化がサポートされ、IBM POWER9 マシン上で KVM 仮想化を使用できるようになります。ただし、この機能は、kernel-alt パッケージによって提供される、カーネルバージョン 4.14 に基づいて新しく導入されたユーザー空間でのみ使用できます。
また、ハードウェアの違いにより、IBM POWER9 上の KVM 仮想化の特定の機能は、AMD64 および Intel 64 システムでサポートされているものとは異なることに注意してください。
POWER9 システムでの KVM 仮想化のインストールと使用の詳細については、仮想化の導入および管理ガイドを参照してください。(BZ#1465503, BZ#1478482, BZ#1478478)
IBM POWER8 でサポートされる KVM 仮想化
この更新により、IBM POWER8 システムで KVM 仮想化がサポートされ、IBM POWER8 マシンで KVM 仮想化を使用できるようになります。
ハードウェアの違いにより、IBM POWER8 上の KVM 仮想化の特定の機能は、AMD64 および Intel 64 システムでサポートされているものとは異なることに注意してください。
POWER8 システムでの KVM 仮想化のインストールと使用の詳細については、仮想化の導入および管理ガイドを参照してください。(BZ#1531672)
NVIDIA GPU デバイスを複数のゲストが同時に使用できるようになりました
NVIDIA vGPU 機能が Red Hat Enterprise Linux 7 でサポートされるようになりました。これにより、vGPU 互換の NVIDIA GPU を、
mediated devices
と呼ばれる複数の仮想デバイスに分割することができます。仲介デバイスをゲスト仮想マシンに割り当てることで、これらのゲストは単一の物理 GPU のパフォーマンスを共有できます。
この機能を設定するには、libvirt サービスの仲介デバイスを手動で作成し、vGPU として使用できるようにします。詳細については、仮想化の導入および管理ガイドを参照してください。(BZ#1292451)
KASLR for KVM ゲスト
Red Hat Enteprise Linux 7.5 では、KVM ゲスト仮想マシン用のカーネルアドレス空間ランダム化 (KASLR) 機能が導入されています。KASLR は、カーネルイメージを解凍する物理アドレスおよび仮想アドレスをランダム化できるため、カーネルオブジェクトの位置に基づいてゲストのセキュリティー攻撃を防ぎます。
KASLR はデフォルトで有効にされますが、ゲストのカーネルコマンドラインに
nokaslr
文字列を追加することで、特定のゲストで無効にできます。
KASLR がアクティブになっているゲストのカーネルクラッシュダンプは、
crash
ユーティリティーを使用して分析できないことに注意してください。これを修正するには、ゲストの XML 設定ファイルの <features>
セクションに <vmcoreinfo/>
要素を追加します。ただし、<vmcoreinfo/>
を持つ KVM ゲストは、この要素をサポートしていないホストシステムには移行できません。これには、Red Hat Enterprise Linux 7.4 以前 (BZ# 1411490、BZ# 1395248) を使用するホストが含まれます。
OVA
ファイルの並列展開をサポート
このリリースでは、
piggz
および pxz
展開ユーティリティーが virt-v2v
ユーティリティーでサポートされています。
これらのユーティリティーを使用すると、マルチプロセッサーマシン上で
gzip
および xz
ユーティリティーで圧縮された OVA
ファイルの展開が高速化されます。さらに、pigz
および pxz
のコマンドラインインターフェイスは、gzip
および xz
のコマンドラインインターフェイスと完全な互換性があります。
SMAP が Cannonlake ゲストでサポートされるようになりました
この更新により、Cannonlake というコード名で呼ばれる第 7 世代インテルプロセッサーを使用するゲストでスーペリアモードアクセス防止 (SMAP) 機能がサポートされるようになりました。これにより、悪意のあるプログラムがカーネルにユーザー空間プログラムのデータの使用を強制することがなくなり、ゲストのセキュリティーが強化されます。
ホスト CPU がゲストに SMAP を提供できることを確認するには、virshabilities コマンドを使用して、
<feature name='smap'/>
文字列を探します。(BZ#1465223)
libvirt が 3.9.0 にリベースされました
libvirt パッケージがバージョン 3.9.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。主な変更点は、以下のとおりです。
- スパースファイルは、別のホストとの間で移動した後も保存されるようになりました。
- リモートプロシージャコール (RPC) の応答制限が増加しました。
- 仮想化された IBM POWER9 CPU がサポートされるようになりました。
- 実行中のゲスト仮想マシンへのデバイスの接続 (デバイスホットプラグとも呼ばれます) では、入力デバイスなど、より多くのデバイスタイプがサポートされるようになりました。
- libvirt ライブラリーは、CVE-2017-1000256 および CVE-2017-5715 のセキュリティー問題に対して保護されています。
- VFIO を介したデバイスがより確実に機能するようになりました。(BZ#1472263)
virt-manager が1.4.3 にリベースされました
virt-manager パッケージがバージョン 1.4.3 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。主な変更点は、以下のとおりです。
- AMD64 および Intel 64 アーキテクチャーを使用しないゲスト仮想マシンを作成するときに、virt-manager インターフェイスに正しい CPU モデルが表示されるようになりました。
- デフォルトのデバイス選択は、IBM POWER、IBM Z、または 64 ビット ARM アーキテクチャーを使用するゲスト向けに最適化されています。
- ホストシステムにインストールされているネットワークカードがシングルルート I/O 仮想化 (SR-IOV) と互換性がある場合、選択した SR-IOV 対応カードの利用可能な仮想機能のプールをリストする仮想ネットワークを作成できるようになりました。
- 新しく作成されたゲストの OS の種類とバージョンの選択が拡張されました。(BZ#1472271)
virt-what がバージョン 1.18 にリベースされました
virt-what パッケージがアップストリームバージョン 1.18 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に、
virt-what
ユーティリティーは次のゲスト仮想マシンタイプを検出できるようになりました。
- 64 ビット ARM ホスト上で実行され、詳細設定および電源インターフェイスを使用して起動されたゲスト。
- oVirt または Red Hat Virtualization ハイパーバイザー上で実行されているゲスト。
- 論理パーティショニング (LPAR) を使用する IBM POWER7 ホスト上で実行されているゲスト。
- FreeBSD 上で実行されているゲストはハイパーバイザーを使用します。
- KVM ハイパーバイザーを使用する IBM Z ホスト上で実行されているゲスト。
- ゲストは QEMU Tiny Code Generator (TCG) を使用してエミュレートされました。
- OpenBSD 仮想マシンモニター (VMM) サービスで実行されているゲスト。
- Amazon Web Services (AWS) プラットフォームで実行されているゲスト。
- Oracle VM Server for SPARC プラットフォーム上で実行されているゲスト。
さらに、次のバグが修正されました。
virt-what
ユーティリティーは、システム管理 BIOS (SMBIOS) を使用しないプラットフォームで失敗しなくなりました。- $PATH 変数が設定されていない場合でも、
virt-what
が正しく動作するようになりました。(BZ#1476878)
tboot がバージョン 1.9.6 にリベース
tboot パッケージはアップストリームバージョン 1.96 にアップグレードされ、いくつかのバグが修正され、さまざまな機能強化が追加されました。主な変更点は、以下のとおりです。
- OpenSSL ライブラリーバージョン 1.1.0 以降では、RSA キーの操作と ECDSA 署名の検証がサポートされるようになりました。
- Trusted Computing Group (TCG) のトラステッドプラットフォームモジュール (TPM) のイベントログのサポートが追加されました。
- x2APIC シリーズの Advanced Programmable Interrupt Controller (APIC) がサポートされるようになりました。
- カーネルイメージが意図せず上書きされないように、追加のチェックが追加されました。
tboot
ユーティリティーは、モジュールの移動中にモジュールを上書きできなくなりました。- Amazon Simple Storage Service (S3) シークレットのシールとシール解除が失敗する原因となるバグが修正されました。
- いくつかの null ポインター逆参照のバグが修正されました。(BZ#1457529)
virt-v2v
はスナップショットを使用して VMware ゲストを変換できます
virt-v2v
ユーティリティーは、スナップショットを持つ VMware ゲスト仮想マシンを変換するように拡張されました。変換後、そのようなゲストのステータスは最上位のスナップショットに設定され、他のスナップショットは削除されることに注意してください。(BZ#1172425)
virt-rescue
の強化
virt-rescue
ユーティリティーのこのリリースには、次の機能強化が含まれています。
- Ctrl+ 文字シーケンスは、
virt-rescue
自体ではなく、virt-rescue
で実行されるコマンドに作用するようになりました。 -i
オプションを使用すると、ユーザーはゲストを検査した後にすべてのディスクをマウントできます。(BZ#1438710)
virt-v2v は
、LUKS で暗号化された Linux ゲストを変換するようになりました
この更新により、
virt-v2v
ユーティリティーは、フルディスク LUKS 暗号化を使用してインストールされた Linux ゲストを変換できるようになりました。つまり、/boot
パーティション以外のすべてのパーティションが暗号化されます。
注記:
virt-v2v
ユーティリティーは、他のタイプの暗号化スキームを使用したパーティション上の Linux ゲストの変換をサポートしていません。virt-p2v
ユーティリティーは、フルディスク LUKS 暗号化がインストールされている Linux マシンの変換をサポートしていません。(BZ#1451665)
特定の CPU モデルの libvirt
に CAT サポートが追加されました
libvirt
サービスは、特定の CPU モデルでキャッシュ割り当てテクノロジー (CAT) をサポートするようになりました。これにより、ゲスト仮想マシンは、ホストの CPU キャッシュの一部を vCPU スレッドに割り当てることができます。
この機能の設定の詳細は、https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/virtualization_tuning_and_optimization_guide/index.html#sect_VTOG-vCPU_cache_reservation を参照してください。(BZ#1289368)
KVM ゲストの時刻 Synchronization を改善するために PTP デバイスが追加されました
PTP デバイスが KVM ゲスト仮想マシンに追加されました。NTP 調整によるホストとゲスト間のクロックの相違を防止することで、
kvmlocks
サービスを強化します。その結果、PTP デバイスは、KVM ホストとそのゲストの間でより信頼性の高い時刻 Synchronization を保証します。
PTP デバイスのセットアップの詳細については、仮想化の導入および管理ガイドを参照してください。(BZ#1379822)
第19章 Red Hat Enterprise Linux 7.5 for ARM
Red Hat Enterprise Linux 7.5 for ARM では、バージョン 4.14 に基づいており、kernel-alt パッケージによって提供される、更新されたカーネルを備えた Red Hat Enterprise Linux 7.5 ユーザー空間が導入されています。この製品は他の更新パッケージとともに配布されますが、ほとんどのパッケージは標準の Red Hat Enterprise Linux 7 Server RPM です。インストール ISO イメージは、カスタマーポータルのダウンロードページ から入手できます。
Red Hat Enterprise Linux 7.5 ユーザースペースの詳細については、Red Hat Enterprise Linux 7 のドキュメント を参照してください。以前のバージョンに関する情報は、 Red Hat Enterprise Linux 7.4 for ARM - Release Notes を参照してください。
このリリースでは、次のパッケージが開発プレビューとして提供されています。
- libvirt (オプションのチャネル)
- qemu-kvm-ma (オプションのチャネル)
注記
KVM 仮想化は 64 ビット ARM アーキテクチャー上の開発プレビューであるため、Red Hat ではサポートされていません。詳細は、仮想化の導入および管理ガイド を参照してください。お客様は Red Hat に連絡して使用例を説明することができ、これは Red Hat Enterprise Linux の将来のリリースで考慮されます。
19.1. 新機能と更新
コアカーネル
- この更新では、64 ビット ARM システム用の
qrwlock
キュー書き込みロックが導入されています。このメカニズムを実装すると、グローバルタスクロックをめぐって競合する複数の CPU を公平に処理できるようになり、パフォーマンスが向上し、ロック不足が防止されます。この変更により、既知の問題も解決されます。これは以前のリリースに存在し、高負荷時にソフトロックアップを引き起こしていました。以前のバージョンの Red Hat Enterprise Linux 7 for ARM 用に (kernel-alt パッケージに対して) ビルドされたカーネルモジュールは、更新されたカーネルに対して再ビルドする必要があることに注意してください。(BZ#1507568)
セキュリティー
USBGuard が 64 ビット ARM システムで完全にサポートされるようになりました
USBGuard ソフトウェアフレームワークは、デバイスの属性に基づく基本的なホワイトリスト機能およびブラックリスト機能を実装することにより、侵入型 USB デバイスに対してシステムを保護します。以前はテクノロジープレビューとして利用可能であった 64 ビット ARM システムでの USBGuard の 使用が完全にサポートされるようになりました。
19.2. カーネル設定の変更
ハードウェアの有効化
- Bluetooth (無効)
- ワイヤレス (無効)
- CPU_IDLE (有効)
- GPIO_DWAPB (有効)
- I2C (有効) - デザインウェア、QUP、および XLP9XX
- センサーのサポート:
- IIO ドライバー (無効)
- アクセルセンサー (無効)
- ライト + オリエンテーション + 割り込みトリガー (無効)
- 入力ドライバー
- マウス、シナプス、rmi4
- LED
- インテル SS4200 (無効)
- 汎用 IRQ チップ (有効)
- 休止状態 (有効)
- クロックソース DATA (有効)
- OSS_CORE (disabled)
- すべての SND ドライバー (無効)
ネットワーキングドライバーのサポート
- Thunder2 ドライバー (有効)
- Amazon (有効)
- Altera (無効)
- ARC (無効)
- Broadcom B44、BCMGENET、BNX2X_VLAN、CNIC (無効)
- Hisilicon (有効)
- ケイデンス MACB (無効)
- Chelsio T3 (無効)
- Intel E1000 (無効)
- Mellanox (有効)
- myri10GE (無効)
- Qlogic - qla2xxx、netxen_nic、Qed、Qede (有効)
- Qualcomm - qcom_emac (有効)
- Broadcom - bcm7xxx (無効)
InfiniBand のサポート
- CXBG4 (有効)
- I40IW (有効)
- MLX4 (有効)
- MLX5 (有効)
- IPOIB (有効)
- IPOIB_CM (有効)
- IPOIB_DEBUG (有効)
- ISERT (有効)
- SRP (有効)
- SRPT (有効)
コアカーネルのサポート
- スケジュールの不均衡 (有効)
- 48 ビット VA サポート (有効)
- CPU アカウンティングをチェック (無効)
- コンテキストトラッキング (有効)
- RCU NOCB (有効)
- CGROUP-Hugetlb (有効)
- CRIU (有効)
- BPF_SYSCALL (無効)
- PERF_USE_VMALLOC (disabled)
- HZ_100/HZ (有効)
- NO_HZ_IDLE (無効)
- NO_HZ_FULL (有効)
- BPF_EVENTS (無効)
- LZ4 圧縮 (無効)
- BTREE (有効)
- CPUMASK_OFFSTACK (無効)
- DEBUG_INFO_DWARF4 (有効)
- SCHEDSTATS (有効)
- Striaght DEVMEM (無効)
- Transparent Hugepage (HTP) (有効)
- ZSMaLLOC_STAT、IDLE_PAGE_TRACKING(有効)
- PAGE_EXTENSION および PAGE_POISONING (無効)
ネットワーキングスタックのサポート
- SLIP - (有効)
- JME (無効)
- IPVLAN (無効)
- BPF_JIT (disabled)
- dccp (無効)
- ipv4 NET_FOU、Diag、CDG、NV (無効)
- ipv6 ILA(無効)、GRE(有効)
- MAC80211 (無効)
- netfilter_conntrack (enabled)
グラフィックと GPU のサポートで
- DRM_I2C_SIL64 (disabled)
- TTY
- serial_nonstandard、cyclades、synclinkmp、synclink_gt、N_HDLC、serial_8250_MID (有効)
- fbdev (有効)
- USB - PHY (無効)
ストレージのサポート
- SCSI リクエストのブロック (有効)
- debugfs のブロック (有効)
- Multi-Queue PCI のブロック (有効)
- Multi-Queue VirtIO のブロック (有効)
- Multi-Queue IOSched_deadline のブロック (有効)
- MD Long Write -(無効)
- SCSI - ARCMSR、AM53C974、WD719x、BNX2X_FCOE、BNX2_ISCSI、ESAS2R (無効)
- SCSI - HISI_SAS (有効)
- SPI - QUP、SLP (有効)
- SSB (無効)
ファイルシステム
- FS_DAX (有効)
- BTRFS (無効)
- Ceph (有効)
- DLM (無効)
- FSCAHE (無効)
- GFS2 (無効)
- NFS 経由のスワップ (無効)
- NFS-FSCACHE (有効)
仮想化と KVM のサポート
- KVM_IRQCHIP, KVM_IRQ_ROUTING, KVM_MSI (enabled)
- Virtio - noiommu (有効)
19.3. Red Hat Satellite でのサポート
Red Hat Enterprise Linux 7.5 for ARM のシステム管理は、Red Hat Satellite 6 ではサポートされていますが、Red Hat Satellite 5 ではサポートされていません。
19.4. 既知の問題
SELinux
MLS ポリシーはカーネルバージョン 4.14 ではサポートされていません
SELinux
マルチレベルセキュリティー (MLS) ポリシーは不明なクラスと権限を拒否し、kernel-alt パッケージのカーネルバージョン 4.14 はどのポリシーにも定義されていないマップ権限を認識します。その結果、MLS ポリシーがアクティブで SELinux
が強制モードになっているシステム上のすべてのコマンドは、Segmentation fault
エラーで終了します。多くの SELinux
拒否警告は、MLS ポリシーがアクティブで SELinux
が permissive モードのシステムで発生します。SELinux
MLS ポリシーとカーネルバージョン 4.14 の組み合わせはサポートされていません。
ipmitool
は、Cavium ThunderX で IPMI_SI=no
の場合にのみ BMC と通信します。
systemctl コマンドを使用して
ipmi.service
を開始すると、デフォルト設定では ipmi_si
ドライバーのロードが試行されます。IPMI SI デバイスを持たない Cavium ThunderX システムでは、ipmi.service
がipmi_devintf
ドライバーを誤って削除します。その結果、カーネルの ipmitool
ユーティリティーはベースボード管理コントローラー (BMC) と通信できなくなります。この問題を回避するには、/etc/sysconfig/ipmi
ファイルを編集して、次のように IPMI_SI
変数を指定します。
IPMI_SI=no
次に、必要に応じてオペレーティングシステムを再起動します。その結果、正しいドライバーがロードされ、
ipmitoo
は /dev/ipmi0/
ディレクトリーを通じて BMC と通信できるようになります。(BZ#1448181)
SATA ALPM デバイスを低電力モードにすると正しく動作しません
次のコマンドを使用して、64 ビット ARM システム上で Aggressive Link Power Management (ALPM) 電力管理プロトコルを使用する Serial Advanced Technology Attachment (SATA) デバイスの低電力モードを有効または無効にすると、SATA が正しく動作しません。
tuned-adm profile powersave
tuned-adm profile performance
その結果、SATA 障害が発生するとすべてのディスク I/O が停止し、ユーザーはオペレーティングシステムを再起動して修復する必要があります。この問題を回避するには、次のいずれかのオプションを使用します。
- システムを省電力プロファイルにしないでください
- ALPM のバグを修正する可能性のあるファームウェアの更新については、ハードウェアベンダーに確認してください。
(BZ#1430391)
network-latency
に合わせて設定を 調整
すると、ARM でシステムがハングする
調整された
プロファイルが 64 ビット ARM システム上で network-latency
に設定されている場合、オペレーティングシステムが応答しなくなり、カーネルはシリアルコンソールにバックトレースを出力します。この問題を回避するには、調整された
プロファイルを network-latency
に設定しないでください。(BZ#1503121)
modprobe
は、不正なパラメーターを使用してカーネルモジュールをロードすることに成功します。
modprobe コマンドを使用して間違ったパラメーターを持つカーネルモジュールをロードしようとすると、間違ったパラメーターは無視され、モジュールは Red Hat Enterprise Linux 7 for ARM および Red Hat Enterprise Linux 7 for IBM Power LE (POWER9) に想定どおりロードされます。
これは、AMD64 や Intel 64、IBM Z や IBM Power Systems などの従来のアーキテクチャーの Red Hat Enterprise Linux とは動作が異なることに注意してください。これらのシステムでは、
modprobe
はエラーで終了し、間違ったパラメーターを持つモジュールは上記の状況ではロードされません。
すべてのアーキテクチャーで、エラーメッセージが
dmesg
出力に記録されます。(BZ#1449439)
19.5. バグ修正
ld
リンカーは正しい動的実行可能ファイルを生成します。
以前は、
ld
リンカーは正しい動的実行可能ファイルの作成に失敗し、64 ビット ARM アーキテクチャー上の Go 言語コンパイラーによって呼び出さ れる
ときに終了していました。リンカーが更新され、コピーの再配置が正しく処理されるようになりました。その結果、上記の状況でリンカーが失敗することはなくなりました。(BZ#1430743)
ld
リンカーは、定数データに対して正しい動的再配置を生成します。
以前は、
ld
リンカーは、ライブラリーと 64 ビット ARM アーキテクチャー上の実行可能ファイルの間で共有される定数データに対して、誤った種類の動的再配置を生成していました。その結果、生成された実行可能ファイルはリソースを無駄に消費し、共有データにアクセスすると予期せず終了してしまいました。リンカーが更新され、正しい動的再配置が生成されるようになり、前述の問題は発生しなくなりました。(BZ#1452170)
qrwlock
が 64 ビット ARM システムで有効になりました
この更新では、64 ビット ARM システム用の
qrwlock
キュー型読み取り/書き込みロックが導入されています。このメカニズムを実装すると、グローバルタスクロックをめぐって競合する複数の CPU を公平に処理できるようになり、パフォーマンスが向上し、ロック不足が防止されます。この変更により、Red Hat Bugzilla #1454844 で追跡されている既知の問題も解決されます。この問題は以前のリリースに存在し、高負荷時にソフトロックアップを引き起こす原因でした。
以前のバージョンの Red Hat Enterprise Linux 7 for ARM 用に (kernel-alt パッケージに対して) ビルドされたカーネルモジュールは、更新されたカーネルに対して再ビルドする必要があることに注意してください。
CMA
はデフォルトで無効になっています
メモリーが 1G 以下に制限されている 64 ビット ARM Red Hat Enterprise Linux システムでは、連続メモリーアロケータ (CMA) が大量のメモリーを消費するため、カーネルの残りの部分に十分なメモリーが残りません。その結果、カーネルまたは Linux の共有メモリー (SHM)(/dev/shm) などの特定のユーザー空間アプリケーションでメモリー不足 (OOM) 状態が発生することがありました。
Red Hat Enterprise Linux カーネルの
CMA
サポートは、すべてのアーキテクチャーでデフォルトで無効になり、CMA によって
OOM が発生しなくなりました。(BZ# 1519317)
第20章 Red Hat Enterprise Linux 7.5 for IBM Power LE (POWER9)
Red Hat Enterprise Linux 7.5 for IBM Power LE (POWER9) では、バージョン 4.14 に基づいており、kernel-alt パッケージによって提供される、更新されたカーネルを備えた Red Hat Enterprise Linux 7.5 ユーザー空間が導入されています。この製品は他の更新パッケージとともに配布されますが、そのほとんどは標準の Red Hat Enterprise Linux 7 Server RPM です。インストール ISO イメージは 、カスタマーポータルのダウンロードページ から入手できます。
Red Hat Enterprise Linux 7.5 のインストールとユーザースペースについては、インストールガイド およびその他の Red Hat Enterprise Linux 7 ドキュメント を参照してください。以前のバージョンについては、Red Hat Enterprise Linux 7.4 for IBM Power LE (POWER9) - Release Notes
を参照してください。
注記
USB ドライブを使用した IBM Power LE へのベアメタルインストールでは、ブートメニューで
inst.stage2=
ブートオプションを手動で指定する必要があります。詳細については、インストールガイドの 起動オプション の章を参照してください。
20.1. 新機能と更新
仮想化
- KVM 仮想化が IBM POWER9 システムでサポートされるようになりました。ただし、ハードウェアの違いにより、特定の機能は AMD64 および Intel 64 システムでサポートされているものとは異なります。詳細については、仮想化の導入および管理ガイド を参照してください。
プラットフォームツール
- OProfile には、IBM POWER9 プロセッサーのサポートが含まれるようになりました。
PM_RUN_INST_CMPL
OProfile パフォーマンス監視イベントはセットアップできないため、このバージョンの OProfile では使用しないでください。(BZ#1463290) - この更新により、IBM POWER9 パフォーマンス監視ハードウェアイベントのサポートが papi に追加されます。これには、命令 (
PAPI_TOT_INS
) やプロセッサーサイクル (PAPI_TOT_CYC
) などのイベント用の基本的な PAPI プリセットが含まれています。(BZ#1463291) - このバージョンの libpfm には、IBM POWER9 パフォーマンス監視ハードウェアイベントのサポートが含まれています。(BZ#1463292)
- SystemTap には、カーネルに必要なバックポートされた互換性修正が含まれています。
- 以前は、
memcpy()
GNU C ライブラリー (glibc) の関数は、64 ビット IBM POWER システム上で非整列ベクトルのロードおよびストア命令を使用していました。したがって、memcpy()
POWER9 システム上のデバイスメモリーにアクセスするために使用すると、パフォーマンスが低下します。のmemcpy()
この機能は、アライメントされたメモリーアクセス命令を使用するように拡張され、POWER9 に関係するメモリーに関係なく、前世代の POWER アーキテクチャーのパフォーマンスに影響を与えることなく、アプリケーションのパフォーマンスを向上させます。(BZ#1498925)
セキュリティー
USBGuard が IBM Power LE (POWER9) のテクノロジープレビューとして利用可能になりました
USBGuard ソフトウェアフレームワークは、デバイスの属性に基づく基本的なホワイトリスト機能およびブラックリスト機能を実装することにより、侵入型 USB デバイスに対してシステムを保護します。USBGuard は、IBM Power LE (POWER9) のテクノロジープレビューとして利用できるようになりました。
USB は IBM Z ではサポートされておらず、USBGuard フレームワークはこれらのシステムでは提供できないことに注意してください。
20.2. カーネル設定の変更
ハードウェアの有効化
- DEVFREQ_GOV_SIMPLE_ONDEMAND (enabled)
- GPIO IRQCHIP (有効)
- HID プラントロニック (無効)
- I2C センサー
- JC42 (無効)
- NTC サーモスタット (有効)
- I2C MUX (有効)
ネットワーキングドライバーのサポート
- Broadcom B44 ドライバー (無効)
- Brocade BNA ドライバー (無効)
- Calxeda ドライバー (無効)
- IBM イーサネットドライバー ehea (無効)
- インテル E1000 ドライバー (無効)
- Mellanox ドライバー mlxsw (無効)
- Netronoma ドライバー NFP (無効)
- Qlogic qla3xxx ドライバー (無効)
- SFC falcon ドライバー (無効)
- ワイヤレス (無効)
- WLAN (無効)
- Ath ドライバー (無効)
- Ath10k ドライバー (無効)
- Ath 9k ドライバー (無効)
- Ath wil6210 (無効)
- Broadcom WLAN (無効)
- Broadcom brcm80211 (無効)
- インテル WLAN (無効)
- Intel iwlegacy (無効)
- インテル iwlwifi (無効)
- Marvell ドライバー (無効)
- Marvell mwiflex (無効)
- Ralink WLAN ドライバー (無効)
- Ralink rt2x00 ドライバー (無効)
- Realtek ドライバー (無効)
- Realtek rt1818x ドライバー (無効)
- Realtek rtiwifi ドライバー (無効)
- NVME ドライバー + ターゲットドライバー (有効)
- ptp 1588 ドライバー (無効)
- s390 HMC ドライバー (無効)
- RTL8192e ドライバー (無効)
- RTL8712u ドライバー (無効)
- シリアル UARTLITE ドライバー (有効)
- USB LED トリガー USBPORT (無効)
- USBIP ドライバー (無効)
- 電源管理デバッグ + 高度なデバッグ + スリープデバッグ (有効)
コアカーネルのサポート
- Sched Imbalance patchset (有効)
- OPTprobes、ftrace 上の kprobe (有効)
- 64 ビット Aligned Access (無効)
- Arch Soft Dirty (有効)
- Arch MMAP Rnd Compat (無効)
- SWIOTLB (無効)
- 暗号化: akcipher、rsa (有効)
- 圧縮
- カーネル gzip サポート (有効)
- カーネル XZ サポート (有効)
- ロック: 所有者に対するミューテックススピン (デバッグカーネルで有効)
- 関数トレーサー (有効)
- 動的 Ftrace (有効)
- Ftrace mcount レコード (有効)
- 共通カーネルライブラリー
- Rational (有効)
- Btree (有効)
- libfdt (有効)
- parman (無効)
- MM
- NO_BOOTMEM (有効)
- MOVABLE NODE (有効)
- HMM (異種メモリー管理) (有効)
- HMM Mirrored (有効)
- Coherent Device Memory (CDM) (有効)
- Zone Device (有効)
- IMA (有効)
- YAMA (無効)
ネットワーキングスタックのサポート
- Compact Netlink Msg (無効)
- BPF_JIT (enabled)
- DCCP (無効)
- CCIDS (無効)
- IPv6 NF ターゲット NPT (無効)
- Mac80211 (無効)
デスクトップ、グラフィック、GPU サポートで
- DRM_DP_AUX_CHARDEV (enabled)
- STK1160 ビデオ USB ドライバー (無効)
- V412 BUF2_DMA_SG (enabled)
ストレージのサポート
- DAX (無効)
- NVDIMM + PFN + DAX (有効)
- SCSI
- 3Ware 9xxx ドライバー (無効)
- 3Ware sAS ドライバー (無効)
- ARCMSR ドライバー (無効)
- AIC79xx ドライバー (無効)
- Broadcom Bnx2x ドライバー (有効)
- Broadcom Bnx2 ドライバー (無効)
- QED ドライバー (無効)
- QEDI ドライバー (無効)
ファイルシステム
- BTRFS (無効)
- DLM (無効)
- GFS2 DLM ロックのサポート (無効)
仮想化と KVM のサポート
- vhost [vsock] (無効)
- VMWare vsock (無効)
20.3. Red Hat Satellite でのサポート
Red Hat Enterprise Linux 7.5 for IBM POWER LE (POWER9) のシステム管理は、Red Hat Satellite 6 ではサポートされていますが、Red Hat Satellite 5 ではサポートされていません。
20.4. 既知の問題
SELinux
MLS ポリシーはカーネルバージョン 4.14 ではサポートされていません
SELinux
マルチレベルセキュリティー (MLS) ポリシーは不明なクラスと権限を拒否し、kernel-alt パッケージのカーネルバージョン 4.14 はどのポリシーにも定義されていないマップ権限を認識します。その結果、MLS ポリシーがアクティブで SELinux
が強制モードになっているシステム上のすべてのコマンドは、Segmentation fault
エラーで終了します。多くの SELinux
拒否警告は、MLS ポリシーがアクティブで SELinux
が permissive モードのシステムで発生します。SELinux
MLS ポリシーとカーネルバージョン 4.14 の組み合わせはサポートされていません。
kdump
は、mpt3sas
がブラックリストに登録されている場合にのみ vmcore
を保存します
kdump
カーネルが mpt3sas
ドライバーをロードすると、特定の POWER9 システムでは kdump
カーネルがクラッシュし、vmcore
の保存に失敗します。この問題を回避するには、module_blacklist=mpt3sas
文字列を /etc/sysconfig/kdump
ファイル内の KDUMP_COMMANDLINE_APPEND
変数へ追加することにより、kdump
カーネル環境から mpt3sas
ブラックリストに登録します。
KDUMP_COMMANDLINE_APPEND="irqpoll maxcpus=1 ... module_blacklist=mpt3sas"
次に、
root
ユーザーとして systemctl restart コマンドを実行して、kdump
サービスを再起動し、設定ファイルへの変更を取得します。
~]# systemctl restart kdump.service
その結果、
kdump
は POWER9 システム上で vmcore
を保存できるようになりました。(BZ#1496273)
OOM キラーの誤った機能により、OOM 状況からの回復が失敗する
メモリー不足 (OOM) 状況からの回復は、大量のメモリーを搭載したシステムでは正しく機能しません。カーネルの OOM キラーは、最も多くのメモリーを使用しているプロセスを強制終了し、メモリーを解放して再び使用できるようにします。ただし、OOM キラーが 2 番目のプロセスを強制終了するまでに十分な時間待機しない場合があります。最終的に、OOM キラーはシステム上のすべてのプロセスを強制終了し、次のエラーをログに記録します。
Kernel panic - not syncing: Out of memory and no killable processes...
この問題が発生した場合は、オペレーティングシステムを再起動する必要があります。利用可能な回避策はありません。(BZ#1405748)
HTM は IBM POWER システム上で実行されているゲストに対して無効になっています
現在、ハードウェアトランザクションメモリー (HTM) 機能はゲスト仮想マシンを IBM POWER8 から IBM POWER9 ホストに移行できないため、デフォルトで無効になっています。その結果、IBM POWER8 および IBM POWER9 ホストで実行されているゲスト仮想マシンは、この機能が手動で有効にされない限り、HTM を使用できません。
これを行うには、これらのゲストのデフォルトの
pseries-rhel7.5
マシンタイプを pseries-rhel7.4
に変更します。この方法で設定されたゲストは、IBM POWER8 ホストから IBM POWER9 ホストに移行できないことに注意してください。(BZ#1525599)
Huge Page を含むゲストを IBM POWER8 から IBM POWER9 に移行すると失敗する
IBM POWER8 ホストは 16MB および 16GB のヒュージページのみを使用できますが、これらのヒュージページサイズは IBM POWER9 ではサポートされていません。そのため、ゲストに静的なヒュージページが設定されている場合、ゲストを IBM POWER8 ホストから IBM POWER9 ホストに移行できません。
この問題を回避するには、移行前にゲスト上で huge Page を無効にし、再起動します。(BZ#1538959)
modprobe
は、不正なパラメーターを使用してカーネルモジュールをロードすることに成功します。
modprobe コマンドを使用して間違ったパラメーターを持つカーネルモジュールをロードしようとすると、間違ったパラメーターは無視され、モジュールは Red Hat Enterprise Linux 7 for ARM および Red Hat Enterprise Linux 7 for IBM Power LE (POWER9) に想定どおりロードされます。
これは、AMD64 や Intel 64、IBM Z や IBM Power Systems などの従来のアーキテクチャーの Red Hat Enterprise Linux とは動作が異なることに注意してください。これらのシステムでは、
modprobe
はエラーで終了し、間違ったパラメーターを持つモジュールは上記の状況ではロードされません。
すべてのアーキテクチャーで、エラーメッセージが
dmesg
出力に記録されます。(BZ#1449439)
20.5. バグ修正
オンボードデバイスからメモリーを読み取ろうとするために kdump
がハングしなくなりました
IBM Power Systems ハードウェアのリトルエンディアンバリアントでは、カーネルが GPU などのオンボードデバイスからメモリーを読み取り、それを
vmcore
の一部として含めようとしたため、kdump
メカニズムが応答しなくなりました。この更新により、kdump
中にメモリーを読み取ろうとするときにオンボードデバイスをスキップするように kexec-tools
が修正されました。その結果、kdump
が正しく動作するようになり、vmcore
がディスクに保存され、オペレーティングシステムが期待どおりに再起動されます。(BZ#1478049)
第21章 Atomic Host とコンテナー
Red Hat Enterprise Linux Atomic Host
Red Hat Enterprise Linux Atomic Host は、Linux コンテナーの実行のために最適化された安全かつ軽量で、フットプリントを最小限に抑えたオペレーティングシステムです。最新の新機能、既知の問題、テクノロジープレビューについては、Atomic Host and Containers Release Notes を参照してください。
第22章 Red Hat Software Collections
Red Hat Software Collections とは、動的なプログラミング言語、データベースサーバー、関連パッケージを提供する Red Hat のコンテンツセットのことで、AMD64 および Intel 64 アーキテクチャー、64 ビット ARM アーキテクチャー、IBM Z、ならびに IBM POWER (リトルエンディアン) 上の Red Hat Enterprise Linux 7 の全サポートリリースにインストールして使用できます。また、特定のコンポーネントが、AMD64 および Intel 64 アーキテクチャー上の Red Hat Enterprise Linux 6 の全サポートリリースに向けて提供されています。
Red Hat Developer Toolset は、Red Hat Enterprise Linux プラットフォームで作業する開発者向けに設計されています。GNU Compiler Collection、GNU Debugger、その他の開発用ツールやデバッグ用ツール、およびパフォーマンス監視ツールの現行バージョンを提供します。Red Hat Developer Toolset は、別の Software Collection として提供されています。
Red Hat Software Collections で配信される動的言語、データベースサーバーなどのツールは Red Hat Enterprise Linux で提供されるデフォルトのシステムツールに代わるものでも、これらのデフォルトのツールよりも推奨されるツールでもありません。Red Hat Software Collections では、
scl
ユーティリティーに基づく代替のパッケージ化メカニズムを使用して、パッケージの並列セットを提供しています。Red Hat Software Collections を利用すると、Red Hat Enterprise Linux で別のバージョンのパッケージを使用することもできます。scl
ユーティリティーを使用すると、いつでも実行するパッケージバージョンを選択できます。
重要
Red Hat Software Collections のライフサイクルおよびサポート期間は、Red Hat Enterprise Linux に比べて短くなります。詳細は、Red Hat Software Collections Product Life Cycle を参照してください。
セットに含まれるコンポーネント、システム要件、既知の問題、使用方法、および各 Software Collection の詳細は、Red Hat Software Collections documentation を参照してください。
このソフトウェアコレクション、インストール、使用方法、既知の問題などに含まれるコンポーネントの詳細は、Red Hat Developer Toolset のドキュメント を参照してください。
パート II. 主なバグ修正
このパートでは、Red Hat Enterprise Linux 7.5 で修正された、ユーザーに重大な影響を与えるバグについて説明します。
第23章 全般的な更新
runc
は、ユーザー指定の CPU クォータ制限について systemd
に通知します。
以前は、
runc
プログラムは、コンテナーの起動時にユーザー指定の CPU クォータ制限について systemd
に通知しませんでした。その結果、systemd
はユーザー指定の制限を認識できなかったため、systemctl daemon-reload 操作中に CPU クォータがデフォルト値 (無制限) にリセットされました。今回の更新により、runc
はコンテナーの起動時にユーザー指定の CPU クォータ制限について systemd
に通知するようになり、前述の問題は発生しなくなります。(BZ#1455071)
LD_LIBRARY_PATH
に存在しないパスだけが原因でアプリケーションでセグメンテーション違反が発生することはなくなりました
以前は、
LD_LIBRARY_PATH
環境変数に存在しないパスのみが含まれている場合、ダイナミックローダーはセグメンテーションフォールトを生成していました。その結果、上記の状況では、起動時にアプリケーションがセグメンテーション違反で予期せず終了しました。ダイナミックローダーが修正されました。その結果、上記の状況でアプリケーションが予期せず終了することがなくなりました。
影響を受けるアプリケーションのこのバグを修正するには、glibc パッケージを更新するだけで十分であることに注意してください。(BZ#1443236)
setup パッケージは、正しいグループ番号を持つ tape
グループを作成するようになりました。
以前は、setup パッケージをインストールするときに、Red Hat Enterprise Linux の他のすべてのバージョンと一貫性のない ID を使用して
tape
グループが作成されていました。今回の更新により、グループ ID が 30
から標準の 33
に変更されました。その結果、オペレーティングシステムの新規インストールでは、tape
グループの正しいグループ番号が割り当てられるようになりました。
以前にインストールされたシステムがこの問題の影響を受ける場合:
1.
/etc/group
および /etc/gshadow
ファイル内のグループ ID を編集します。
2.以前の
tape
グループが所有していたすべてのファイルのグループ所有権を変更します。(BZ#1433020)
第24章 認証および相互運用性
AD ユーザーの解決に時間がかかる場合に、IdM LDAP サーバーが応答しなくなることがなくなりました。
System Security Services Daemon (SSSD) が Identity Management (IdM) サーバー上の信頼できる Active Directory (AD) ドメインからユーザーを解決するのに長い時間がかかると、IdM LDAP サーバーが独自のワーカースレッドを使い果たすことがありました。その結果、IdM LDAP サーバーは、SSSD クライアントまたは他の LDAP クライアントからのさらなるリクエストに応答できなくなりました。この更新により、IdM サーバー上の SSSD に新しい API が追加され、ID リクエストのタイムアウトが可能になります。また、IdM LDAP 拡張 ID 操作プラグインとスキーマ互換性プラグインがこの API をサポートし、時間がかかりすぎるリクエストをキャンセルできるようになりました。その結果、IdM LDAP サーバーは前述の状況から回復し、さらなるリクエストに応答し続けることができます。(BZ#1415162、BZ#1473571、BZ#1473577)
/etc/krb5.conf.d/
内のアプリケーション設定スニペットが既存の設定で自動的に読み取られるようになりました
以前は、Kerberos は、
/etc/krb5.conf.d/
ディレクトリーのサポートを既存の設定に自動的に追加しませんでした。その結果、ユーザーがディレクトリーの include ステートメントを手動で追加しない限り、/etc/krb5.conf.d/
内のアプリケーション設定スニペットは読み取られませんでした。この更新により、既存の設定が変更され、/etc/krb5.conf.d/
を指す適切な includeir
行が含まれます。その結果、アプリケーションは /etc/krb5.conf.d
内の設定スニペットに依存できます。
この更新後に
includedir
行を手動で削除した場合、後続の更新ではこの行は再度追加されないことに注意してください。(BZ#1431198)
pam_mkhomedir は /
の下にホームディレクトリーを作成できるようになりました
以前は、pam_mkhomedir モジュールは
/
ディレクトリーの下にサブディレクトリーを作成できませんでした。その結果、/
の下の存在しないディレクトリーにホームディレクトリーがあるユーザーがログインしようとすると、次のエラーが発生して失敗しました。
Unable to create and initialize directory '/<directory_path>'.
この更新により、前述の問題が修正され、pam_mkhomedir はこの状況でもホームディレクトリーを作成できるようになりました。
この更新プログラムを適用した後でも、SELinux は pam_mkhomedir によるホームディレクトリーの作成を妨げる可能性があることに注意してください。これは SELinux の想定される動作です。pam_mkhomedir にホームディレクトリーの作成を許可するには、カスタム SELinux モジュールを使用して SELinux ポリシーを変更します。これにより、正しい SELinux コンテキストで必要なパスを作成できるようになります。(BZ#1509338)
RODC の使用時に keytab ファイル内の KVNO に依存する Kerberos 操作が失敗しなくなりました
adcli
ユーティリティーは、読み取り専用ドメインコントローラー (RODC) 上の Kerberos キーを更新するときにキーバージョン番号 (KVNO) を適切に処理しませんでした。その結果、一致する KVNO を持つキーが keytab ファイル内に見つからなかったため、Kerberos チケットの検証などの一部の操作が失敗しました。今回の更新により、adcli
は RODC が使用されているかどうかを検出し、それに応じて KVNO を処理します。その結果、keytab ファイルには正しい KVNO が含まれており、この動作に依存するすべての Kerberos 操作は期待どおりに機能します。(BZ#1471021)
krb5 は、 単一レルム KDC 環境での PKINIT 設定ミスに関するエラーを適切に表示します。
以前は、Kerberos の初期認証用の公開キー暗号化 (PKINIT) が誤って設定された場合、krb5 パッケージは誤った設定を管理者に報告しませんでした。たとえば、この問題は、非推奨の pkinit_kdc_ocsp オプションが
/etc/krb5.conf
ファイルで指定されたときに発生しました。今回の更新により、Kerberos キー配布センター (KDC) でレルムが 1 つだけ指定されている場合、krb5 は PKINIT 初期化エラーを引き起こすようになりました。その結果、単一レルム KDC は PKINIT 設定ミスを適切に報告します。(BZ#1460089)
Certificate System が ROLE_ASSUME
監査イベントを誤って記録しなくなりました
以前は、ユーザーに特権アクセスがない場合でも、Certificate System は特定の操作に対して
ROLE_ASSUME
監査イベントを誤って生成していました。その結果、イベントが誤って記録されました。この問題は修正され、前述のシナリオでは ROLE_ASSUME
イベントが記録されなくなりました。(BZ#1461524)
CERT_STATUS_CHANGE_REQUEST_PROCESSED
監査ログイベントの属性を更新しました
以前は、ログファイルの
CERT_STATUS_CHANGE_REQUEST_PROCESSED
監査イベントには次の属性が含まれていました。
ReqID
- リクエスター IDSubjectID
- 証明書のサブジェクト ID
他の監査イベントとの整合性を保つために、属性が変更され、次の情報が含まれるようになりました。
ReqID
- リクエスト IDSubjectID
- リクエスター ID (BZ# 1461217)
署名付き監査ログの検証が正しく機能するようになりました
以前は、ログシステムの不適切な初期化と検証ツールによる誤った署名計算が原因で、署名付き監査ログの検証が最初のログエントリーとログローテーション後に失敗することがありました。この更新により、ログシステムと検証ツールが修正されました。その結果、署名付き監査ログの検証は、前述のシナリオで正しく機能するようになりました。(BZ#1404794)
Certificate System がバナーファイルを検証するようになりました
Certificate System の以前のバージョンでは、設定可能なアクセスバナー (すべての安全なセッションの開始時に PKI コンソールに表示されるカスタムメッセージ) が導入されました。このバナーの内容は検証されていないため、メッセージに無効な UTF-8 文字が含まれている場合、JAXBUnmarshalException エラーが発生する可能性があります。この更新により、バナーファイルの内容はサーバーの起動時とクライアントのリクエストの両方で検証されます。サーバーの起動時にファイルに無効な UTF-8 文字が含まれていることが判明した場合、サーバーは起動しません。クライアントがバナーを要求したときに無効な文字が見つかった場合、サーバーはエラーメッセージを返し、バナーはクライアントに送信されません。(BZ#1446579)
TPS サブシステムは、HSM で対称キーの変更を実行するときに失敗しなくなりました。
以前は、ハードウェアセキュリティーモジュール (HSM) トークンのマスターキーを使用して対称キーの変更を実行しようとすると、Certificate System トークン処理システム (TPS) サブシステムによって報告されるエラーが発生して失敗しました。この更新により、HSM 上のマスターキーを使用して新しいキーセットを計算する方法が修正され、マスターが HSM 上に存在する場合に TPS がトークンキーセットを正常にアップグレードできるようになります。この修正は現在、G&D SmartCafe 6.0 HSM で検証されています。(BZ#1465142)
Certificate System CA は、CN コンポーネントなしでサブジェクト DN を処理するときにエラーを表示しなくなりました
以前は、実装では Certificate Management over CMS (CMC) のサブジェクト識別名 (DN) に CN が存在することが期待されていたため、共通名 (CN) コンポーネントが欠落している受信リクエストにより認証局 (CA) で NullPointerException が発生していました。この更新により、CA は CN コンポーネントなしでサブジェクト DN を処理できるようになり、例外がスローされなくなります。(BZ#1474658)
ターゲットファイルが見つからない場合でも、pki-server-upgrade ユーティリティーが失敗しなくなりました
pki-server-upgrade ユーティリティーのバグにより、存在しないファイルを見つけようとしました。その結果、アップグレードプロセスが完了せず、PKI デプロイメントが無効な状態のままになる可能性があります。今回の更新により、ターゲットファイルが見つからない場合を正しく処理できるように pki-server-upgrade が変更され、PKI アップグレードが正しく機能するようになりました。(BZ#1479663)
Certificate System の CA キーのレプリケーションが正しく機能するようになりました。
キーのラップ解除関数の 1 つに対する以前の更新では、呼び出しサイトで提供されていないキー使用パラメーターの要件が導入され、軽量の認証局 (CA) キーのレプリケーションが失敗する原因となりました。このバグは、キー使用パラメーターを提供するように呼び出しサイトを変更することで修正され、軽量 CA キーレプリケーションが期待どおりに機能するようになりました。(BZ#1484359)
Certificate System が PKCS #12 ファイルのインポートに失敗しなくなりました
ネットワークセキュリティーサービス (NSS) での PKCS #12 パスワードエンコーディングへの以前の変更により、Certificate System が PKCS #12 ファイルのインポートに失敗しました。その結果、認証局 (CA) クローンのインストールを完了できませんでした。この更新により、PKI は失敗した PKCS #12 復号化を別のパスワードエンコーディングで再試行するようになり、新旧両方のバージョンの NSS で生成された PKCS #12 ファイルをインポートできるようになり、CA クローンのインストールが成功します。(BZ#1486225)
TPS ユーザーインターフェイスにトークンタイプと生成元フィールドが表示されるようになりました。
以前は、tps-cert-find および tps-cert-show トークン処理システム (TPS) ユーザーインターフェイスユーティリティーでは、従来の TPS インターフェイスに存在していたトークンタイプと生成元フィールドが表示されませんでした。インターフェイスが更新され、不足している情報が表示されるようになりました。(BZ#1491052)
Certificate System が CA 証明書の有効期限よりも後の有効期限を持つ証明書を発行しました
以前は、外部認証局 (CA) の証明書に署名するときに、Certificate System は
ValidityConstraint
プラグインを使用していました。その結果、発行元 CA の有効期限よりも後の有効期限を持つ証明書を発行することが可能でした。この更新プログラムにより、CAValidityConstraint
プラグインがレジストリーに追加され、登録プロファイルで使用できるようになります。さらに、caCMCcaCert
プロファイルの ValidityConstraint
プラグインは、制限を効果的に設定する CAValidityConstraint
プラグインに置き換えられました。その結果、発行 CA よりも後の有効期限を持つ証明書の発行は許可されなくなりました。(BZ#1518096)
SKI 拡張子のない CA 証明書によって発行エラーが発生しなくなりました
Certificate System の以前の更新では、発行者キー識別子を生成するフォールバック手順が誤って削除されました。その結果、CA 署名証明書にサブジェクトキー識別子 (SKI) 拡張セットが設定されていない場合、認証局 (CA) は証明書を発行できませんでした。今回の更新により、不足していた手順が再度追加されました。その結果、CA 署名証明書に SKI 拡張子が含まれていない場合でも、証明書の発行が失敗することがなくなりました。(BZ#1499054)
Certificate System は CMC 要求監査イベントにユーザー名を正しく記録します
以前は、Certificate System が CMS (CMC) 経由の証明書管理リクエストを受信すると、サーバーは
SubjectID
フィールドが $NonRoleUser$ に設定された監査イベントを記録していました。その結果、管理者は誰がリクエストを発行したかを確認できませんでした。この更新により問題が修正され、Certificate System は前述のシナリオでユーザー名を正しく記録するようになりました。(BZ#1506819)
Directory Server の単純な単語チェックのパスワードポリシーが期待どおりに機能するようになりました。
以前は、userPassword 属性を、passwordTokenMin 設定によって制限されている同じ長さの属性とまったく同じ値に設定すると、Directory Server は誤ってパスワード更新操作を許可していました。今回の更新により、単純な単語チェックのパスワードポリシー機能により、ユーザー属性値全体が全体として正しく検証されるようになり、上記の問題は発生しなくなります。(BZ#1517788)
pkidestroy
ユーティリティーは、pki-tomcatd-nuxwdog
サービスによって開始されたインスタンスを完全に削除するようになりました。
以前は、
pkidestroy
ユーティリティーは、開始メカニズムとして pki-tomcatd-nuxwdog
サービスを使用する Certificate System インスタンスを削除しませんでした。その結果、管理者は pkidestroy
を使用してインスタンスを完全に削除する前に、pki-tomcatd-nuxwdog
を watchdog なしのサービスに移行する必要がありました。ユーティリティーが更新され、前述のシナリオでインスタンスが正しく削除されました。
pkidestroy
を実行する前にパスワードファイルを手動で削除した場合、ユーティリティーはセキュリティードメインを更新するためにパスワードを要求することに注意してください。(BZ#1498957)
Certificate System デプロイメントアーカイブファイルにプレーンテキストのパスワードが含まれなくなりました
以前は、
DEFAULT
セクションにパスワードを含む設定ファイルを pkispawn
ユーティリティーに渡して新しい Certificate System インスタンスを作成すると、そのパスワードはアーカイブされたデプロイメントファイルに表示されていました。このファイルには誰でも読み取り可能なアクセス許可がありますが、デフォルトでは、Certificate Server インスタンスユーザー (pkiuser
) のみがアクセスできるディレクトリー内に含まれています。今回の更新により、このファイルに対するアクセス許可は証明書サーバーインスタンスユーザーに制限され、pkispawn
はアーカイブされたデプロイメントファイル内のパスワードをマスクするようになりました。
既存のインストールのパスワードへのアクセスを制限するには、
/etc/sysconfig/pki/tomcat/<instance_name>/<subsystem>/deployment.cfg
ファイルからパスワードを手動で削除し、ファイルの権限を 600 に設定します。(BZ#1532759)
targetfilter
キーワードを含む ACI は正しく動作します
以前は、ディレクトリーサーバーのアクセス制御命令 (ACI) で targetfilter キーワードが使用されていた場合、コードがテンプレートエントリーに対して実行される前に、
getEffective
権限制御を含む検索が返されました。その結果、GetEffectireRights()
関数はエントリーの作成時に権限を判断できず、ACI の検証時に偽陰性の結果を返しました。今回の更新により、Directory Server は、提供された getEffective
属性に基づいてテンプレートエントリーを作成し、このテンプレートエントリーへのアクセスを検証します。その結果、前述のシナリオの ACI は正しく動作します。(BZ#1459946)
スコープが 1 に設定された Directory Server の検索が修正されました
Directory Server のバグにより、スコープを 1 に設定した検索では、フィルターに一致した子エントリーのみではなく、すべての子エントリーが返されました。今回の更新でこの問題が修正されています。その結果、スコープ 1 での検索では、フィルターに一致するエントリーのみが返されます。(BZ#1511462)
TLS データを非 LDAPS ポートに送信するときのエラーメッセージをクリアする
以前は、Directory Server は、
LDAPMessage
データ型としてプレーンテキストを使用するように設定されたポートに送信される TLS プロトコルハンドシェイクをデコードしました。ただし、デコードは失敗し、サーバーは誤解を招く BER が 3 バイトであると報告しましたが、実際には < より大きな > エラーでした。今回の更新により、Directory Server は TLS データがプレーンテキスト用に設定されたポートに送信されたかどうかを検出し、次のエラーメッセージをクライアントに返します。
Incoming BER Element may be misformed. This may indicate an attempt to use TLS on a plaintext port, IE ldaps://localhost:389. Check your client LDAP_URI settings.
その結果、新しいエラーメッセージは、不適切なクライアント設定が問題の原因であることを示します。(BZ#1445188)
Directory Server は、cleanallruv タスクを実行していない場合にエラーをログに記録しなくなりました
cleanallruv タスクを実行せずに既存のレプリケーショントポロジーからレプリカサーバーを削除した後、Directory Server は以前、参照エントリーを置換できないというエラーをログに記録していました。この更新により、重複した紹介のチェックが追加され、削除されます。その結果、エラーはログに記録されなくなりました。(BZ#1434335)
多数の CoS テンプレートを使用しても、仮想属性の処理時間が遅くなることはなくなりました
バグにより、Directory Server で多数のサービスクラス (CoS) テンプレートを使用すると、仮想属性の処理時間が増加しました。この更新により、CoS ストレージの構造が改善されました。その結果、多数の CoS テンプレートを使用しても、仮想属性の処理時間が増加することはなくなりました。(BZ#1523183)
Directory Server は、オンライン初期化中にバインドを正しく処理するようになりました。
ある Directory Server マスターから別の Directory Server マスターへのオンライン初期化中に、変更を受信するマスターは一時的に参照モードに設定されます。このモードでは、サーバーは紹介のみを返します。以前は、Directory Server がこれらのバインド参照を誤って生成していました。その結果、前述のシナリオではサーバーが予期せず終了する可能性があります。この更新により、サーバーはバインド紹介を正しく生成するようになりました。その結果、サーバーはオンライン初期化中にバインドを正しく処理できるようになりました。(BZ#1483681)
dirsrv@.service
メタターゲットが multi-user.target
にリンクされるようになりました。
以前は、
dirsrv@.service
メタターゲットの systemd ファイルで Wants パラメーターが dirsrv.target に設定されていました。dirsrv@.service
を有効にすると、dirsrv.target
に対するサービスは正しく有効になりましたが、dirsrv.target
は有効になりませんでした。その結果、システムの起動時に Directory Server が起動しませんでした。この更新により、dirsrv@.service メタターゲットが multi-user.target
にリンクされるようになりました。その結果、dirsrv@.service
を有効にすると、システムの起動時に Directory Server が自動的に起動します。(BZ#1476207)
memberOf
プラグインは、memberOf
属性のすべての更新試行をログに記録するようになりました。
特定の状況では、Directory Server はユーザーエントリーの memberOf 属性の更新に失敗します。この場合、
memberOf
プラグインはエラーメッセージをログに記録し、更新を強制します。Directory Server の以前のバージョンでは、2 回目の試行が成功してもログに記録されませんでした。その結果、失敗した試行のみがログに記録されたため、ログエントリーは誤解を招くものでした。この更新により、memberOf
プラグインは、最初の試行が失敗した場合にも、成功した更新をログに記録します。その結果、プラグインは最初の失敗とその後の成功した再試行もログに記録するようになりました。(BZ#1533571)
Directory Server のパスワードポリシーが正しく機能するようになりました。
以前は、サブツリーおよびユーザーのパスワードポリシーは、グローバルパスワードポリシーと同じデフォルト値を使用していませんでした。その結果、Directory Server は特定の構文チェックを誤ってスキップしていました。このバグは修正されています。その結果、パスワードポリシー機能は、グローバル設定、サブツリー、およびユーザーポリシーに対して同様に機能します。(BZ#1465600)
Directory Server のバッファーオーバーフローが修正されました
以前は、インデックスが作成されるように属性を設定し、大きなバイナリー値を含むエントリーをこの属性にインポートすると、サーバーはバッファーオーバーフローにより予期せず終了していました。バッファーが修正されました。その結果、サーバーは前述のシナリオで期待どおりに動作します。(BZ#1498980)
Directory Server は、猶予ログイン中にパスワードの期限切れ制御を送信するようになりました。
以前は、期限切れのパスワードに猶予ログインが残っている場合、Directory Server は期限切れのパスワード制御を送信しませんでした。その結果、クライアントは、パスワードの有効期限が切れたことや、猶予ログインの残り回数をユーザーに伝えることができませんでした。この問題が修正されました。その結果、クライアントは、パスワードの有効期限が切れているかどうか、および猶予ログインが何回残っているかをユーザーに通知できるようになりました。(BZ#1464505)
不要なグローバルロックが Directory Server から削除されました
以前は、memberOf プラグインが有効になっており、ユーザーとグループが別のバックエンドに保存されている場合、デッドロックが発生する可能性がありました。不要なグローバルロックが削除されたため、前述のシナリオでデッドロックは発生しなくなります。(BZ#1501058)
TLS クライアント認証と FIPS モードが有効になっている場合、レプリケーションが正しく動作するようになりました。
以前は、連邦情報処理標準 (FIPS) モードが有効になっている Directory Server レプリケーション環境で TLS クライアント認証を使用した場合、内部ネットワークセキュリティーサービス (NSS) データベーストークンは、FIPS モードが無効になっているシステム上のトークンとは異なりました。その結果、レプリケーションが失敗しました。この問題は修正され、その結果、FIPS モードが有効な場合、TLS クライアント認証を使用したレプリケーションアグリーメントが正しく機能するようになりました。(BZ#1464463)
Directory Server は、仮想属性が機能するかどうかを正しく設定するようになりました。
Directory Server の pwdpolicysubentry サブツリーのパスワードポリシー属性には、動作可能としてフラグが設定されています。ただし、Directory Server の以前のバージョンでは、このフラグは、処理される次の仮想属性に誤って適用されていました。その結果、検索結果はクライアントには表示されませんでした。今回の更新により、サーバーは次の仮想属性とサービスクラス (CoS) を処理する前に属性をリセットするようになりました。その結果、期待された仮想属性と CoS がクライアントに返されるようになりました。(BZ#1453155)
レプリケーションが有効で変更ログファイルが存在する場合、バックアップが成功するようになりました。
以前は、レプリケーションが有効で変更ログファイルが存在する場合、このマスターサーバーでのバックアップの実行は失敗していました。この更新により、ファイルを正しくコピーするための内部オプションが設定されます。その結果、前述のシナリオでバックアップの作成が成功するようになりました。(BZ#1476322)
Certificate System は失効理由を正しく更新します
以前は、ユーザーがスマートカードトークンを一時的に紛失した場合、Certificate System トークン処理システム (TPS) の管理者が証明書のステータスを on hold から permanently lost または damaged に変更することがありました。ただし、新しい失効理由は CA に反映されませんでした。この更新により、証明書のステータスを on hold から revoked に直接変更できるようになりました。その結果、取り消し理由が正しく更新されます。(BZ#1500474)
Certificate System クローンのインストールプロセスでの競合状態が修正されました。
特定の状況では、セキュリティードメインセッションオブジェクトの LDAP レプリケーションと、ログインが行われたクローン以外のクローンに対する認証された操作の実行との間で競合状態が発生しました。その結果、Certificate System のインストールのクローン作成が失敗しました。今回の更新により、クローンのインストールプロセスは、セキュリティードメインのログインが完了するまで待機してから、セキュリティードメインセッションオブジェクトを他のクローンにレプリケートできるようになりました。その結果、クローンのインストールは失敗しなくなりました。(BZ#1402280)
Certificate System はデフォルトで強力な暗号を使用するようになりました
この更新により、有効な暗号のリストが変更されました。デフォルトでは、連邦情報処理標準 (FIPS) に準拠した強力な暗号のみが Certificate System で有効になります。
デフォルトで有効になっている RSA 暗号:
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
インストールおよび設定中に
pkispawn
ユーティリティーが LDAP サーバーに接続できるようにするには、TLS_RSA_WITH_AES_128_CBC_SHA
および TLS_RSA_WITH_AES_256_CBC_SHA
暗号を有効にする必要があることに注意してください。
デフォルトで有効になっている ECC 暗号:
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
さらに、
/var/lib/pki/<instance_name>/conf/server.xml
ファイル内の sslVersionRangeStream パラメーターと sslVersionRangeDatagram パラメーターのデフォルト範囲では、TLS 1.1 および TLS 1.2 暗号のみが使用されるようになりました。(BZ#1539125)
pkispawn
ユーティリティーで誤ったエラーが表示されなくなりました
以前は、Certificate System の正常なインストール中に、
pkispawn
ユーティリティーによって一時証明書の削除に関連するエラーが誤って表示されていました。この問題は修正され、インストールが成功するとエラーメッセージは表示されなくなりました。(BZ#1520277)
Certificate System プロファイル設定更新メソッドがバックスラッシュを正しく処理するようになりました。
以前は、ユーザーがプロファイルを更新すると、Certificate System のパーサーが設定からバックスラッシュ文字を削除していました。その結果、影響を受けるプロファイル設定を正しくインポートできず、証明書の発行が失敗するか、システムが間違った証明書を発行しました。Certificate System は、バックスラッシュを正しく処理するパーサーを使用するようになりました。その結果、プロファイル設定の更新により設定が正しくインポートされます。(BZ#1541853)
第25章 クラスタリング
Pacemaker は、Pacemaker リモートノードのフェンシングとフェンシング解除を正しく実装します。
以前は、Pacemaker は Pacemaker リモートノードのフェンシング解除を実装していませんでした。その結果、フェンスデバイスのフェンス解除が必要な場合でも、Pacemaker リモートノードはフェンスで囲まれたままになりました。この更新により、Pacemaker は Pacemaker リモートノードのフェンシングとアンフェンシングの両方を正しく実装し、前述の問題は発生しなくなります。(BZ#1394418)
Pacemaker がゲストノードをプローブするようになりました
ゲストノードのユーザー向けの重要な更新。
Pacemaker はゲストノードをプローブするようになりました。ゲストノードは、
VirtualDomain
などのリソースの remote-node
パラメーターを使用して作成された Pacemaker リモートノードです。ユーザーが以前にプローブが完了していないという事実に依存していた場合、プローブが失敗し、ゲストノードのフェンシングが発生する可能性があります。ゲストノードがリソースのプローブを実行できない場合 (たとえば、ソフトウェアがゲストにインストールされていない場合)、ゲストノードからのリソースを禁止する場所の制約では、resource-discovery
オプションを Never
に設定する必要があります。これは、同じ状況のクラスターノードまたはリモートノードで必要とされるのと同じです。(BZ#1489728)
pcs resource cleanup コマンドは不要なクラスター負荷を生成しなくなりました
pcs resource cleanup コマンドは、解決された失敗したリソース操作の記録をクリーンアップします。以前は、このコマンドはすべてのノード上のすべてのリソースをプローブし、クラスター操作に不要な負荷を生成していました。この修正により、コマンドはリソース操作が失敗したリソースのみをプローブするようになりました。pcs resource cleanup コマンドの以前の機能は、すべてのノード上のすべてのリソースをプローブする新しい pcs resource fresh コマンドに置き換えられました。クラスターリソースのクリーンアップについては、https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html-single/high_availability_add-on_reference/#s1-resource_cleanup-HAAR を参照してください。(BZ#1508351)
ユーザーが stonith デバイスの action
属性を指定すると警告が生成されます
以前は、このオプションは非推奨であり、予期しないフェンシングを引き起こす可能性があるため推奨されませんが、ユーザーは stonith デバイスのアクション属性を設定することができました。次の修正が実装されました。
- ユーザーが CLI を使用して stonith デバイスの
action
オプションを設定しようとすると、--force
フラグを使用してこの属性を設定するように指示する警告メッセージが生成されます。 pcsd
Web UI では、action
オプションフィールドの横に警告メッセージが表示されるようになりました。- stonith デバイスに
アクション
オプションが設定されている場合、pcs status コマンドの出力には警告が表示されます。(BZ#1421702)
--force
フラグを指定せずに stonith エージェントのデバッグを有効にできるようになりました
以前は、
debug
パラメーターまたは verbose
パラメーターを設定して stonith エージェントのデバッグを有効にしようとすると、ユーザーが --force
フラグを指定する必要がありました。この修正により、--force
フラグを使用する必要がなくなりました。(BZ#1432283)
Fence_ilo3
リソースエージェントの action
パラメーターのデフォルト値として cycle
がなくなりました。
以前は、
fence_ilo3
リソースエージェントの action
パラメーターのデフォルト値は cycle
でした。データ破損を引き起こす可能性があるため、この値はサポートされていません。このパラメーターのデフォルト値は onoff
になりました。さらに、stonith デバイスの method
オプションが cycle
に設定されている場合、pcs status コマンドの出力と Web UI に警告が表示されるようになりました。(BZ#1519370, BZ#1523378)
sbd が有効になっているが systemd によって正常に起動されていない場合、Pacemaker が起動しなくなりました
以前は、sbd が適切に起動しない場合でも、systemd が Pacemaker を起動していました。これにより、sbd ポイズンピルによる再起動は、fence_sbd によって検出されないと実行されなくなり、クォーラムベースの watchdog フェンシングの場合、クォーラムを失ったノードも自己フェンシングできなくなります。この修正により、sbd が適切に起動しない場合、Pacemaker は開始されません。これにより、sbd が起動しないことによるデータ破損のすべての原因が防止されます。(BZ#1525981)
sbd セットアップ内のフェンスされたノードが確実にシャットダウンされるようになりました
以前は、共有ディスク上の sbd によって使用されるポイズンピルメカニズムを介してノードがオフを受信すると、ノードは電源をオフにする代わりに再起動する可能性がありました。この修正により、オフを受信するとノードの電源がオフになります。リセットを受信すると、ノードが再起動されます。ノードがソフトウェア主導の再起動または電源オフを適切に実行できない場合、watchdog がトリガーされ、watchdog デバイスが設定されているアクションが実行されます。watchdog デバイスがノードの電源をオフにするように設定されており、フェンシングが共有ディスク上のポイズンピルメカニズムを介してオフを要求している場合、sbd セットアップのフェンスされたノードが確実にシャットダウンされるようになりました。(BZ#1468580)
IPaddr2
リソースエージェントは、ネットマスク 128 の IPv6 アドレスの NIC を検索するようになりました。
以前は、
IPaddr2
リソースエージェントは、ネットマスク 128 の IPv6 アドレスの NIC を見つけることができませんでした。この修正により、その問題が修正されます。(BZ#1445628)
portblock
エージェントは過剰な不要なメッセージを生成しなくなりました
以前は、
portblock
エージェントは、有用な情報を提供しない監視メッセージで /var/log/messages
ファイルをあふれさせていました。この修正により、/var/log/messages
ファイルには、portblock
エージェントからのより制限されたログ出力が含まれるようになりました。(BZ#1457382)
/var/run/resource-agents
ディレクトリーは再起動後も保持されるようになりました
以前は、
resource-agents
パッケージのインストール時に作成された /var/run/resource-agents
ディレクトリーは、再起動後は永続的ではありませんでした。この修正により、再起動後もディレクトリーが存在するようになりました。(BZ#1462802)
第26章 コンパイラーおよびツール
パッケージの選択が system-config-kickstart で機能するようになりました
system-config-kickstart グラフィカルキックスタートファイル作成ユーティリティーのバグにより、ツールがリポジトリーからパッケージ情報をダウンロードできなかったため、パッケージを選択できなくなりました。このバグは修正され、system-config-kickstart でパッケージの選択を再度設定できるようになりました。(BZ#1272068)
NVMe デバイスは、parted および Anaconda
で Unknown
として表示されなくなりました
以前は、Non-Volatile Memory Express (NVMe) デバイスは、インストール中に
Anaconda
インストーラーおよび Parted ストレージ設定ツールによって認識されず、代わりに Model: Unknown (unknown)
というラベルが付けられていました。この更新では、これらのデバイスの認識を可能にするアップストリームパッチがバックポートされ、インストール中にデバイスが NVMe Device (nvme)
として正しく識別されるようになりました。(BZ#1316239)
DBD::MySQL
は、ビッグエンディアンプラットフォームでより小さい整数を正しく送受信できるようになりました。
以前は、
DBD::MySQL
Perl ドライバーは、ビッグエンディアンプラットフォーム上で 64 ビットより小さい整数を誤って処理していました。その結果、IBM Z アーキテクチャー上の特定の変数サイズでは、準備されたステートメントのテストが失敗しました。このバグは修正され、上記の問題が発生しなくなりました。(BZ#1311646)
version
Perl モジュールはテイントされた入力とテイントされたバージョンオブジェクトをサポートするようになりました。
以前は、Perl の
バージョン
モジュールはテイントされた入力を正しく解析できませんでした。その結果、テイントされた変数からバージョンオブジェクトをビルドすると、version->new()
メソッドによって Invalid version format (non-numeric data)
エラーが報告されました。この更新により、テイントされた入力の解析と、テイントされたバージョンのオブジェクトと文字列の出力のサポートが追加されました。(BZ#1378885)
HTTP::Daemon
Perl モジュールが IPv6 をサポートするようになりました
以前は、
HTTP::Daemon
Perl モジュールは IPv6 アドレスをサポートしていませんでした。その結果、IPv6 アドレスで HTTP::Daemon::SSL
サーバーを実行しているときに、Arg length for inet_ntoa
を持つ IPv6 アドレスを出力しようとしてサーバーが予期せず終了しました。エラーメッセージが表示されます。この更新により、HTTP::Daemon
モジュールが IO::Socket::INET
から IO::Socket::IP
モジュールに移植されました。その結果、HTTP::Daemon
は IPv6 アドレスを期待どおりに処理します。(BZ#1413065)
GDB
ではブレークポイントのリストにインライン関数名が表示されます
以前は、
GDB
デバッガーはブレークポイントをリストするときに、インライン化された呼び出し先関数名ではなく呼び出し元関数名を表示していました。その結果、GDB
ユーザーはインライン関数に配置されたブレークポイントを関数名から識別できませんでした。GDB
は、ブレークポイントが設定されたときにインライン呼び出し先関数の名前を保存するように拡張されました。その結果、GDB
はブレークポイントをリストするときにインライン関数の名前を正しく表示するようになりました。(BZ#1228556)
間違った GCC
アライメントによるモジュールのロード時の再配置エラーが修正されました
以前は、
GCC は
2^0 アライメントの .toc
セクションを含むコードを生成していました。その結果、モジュールのロード時に再配置エラーが発生する可能性があります。GCC
は、 2^3 に整列された .toc
セクションを生成するように変更されました。この修正により、このバグが発生するほとんどのケースが解消されます。(BZ#1487434)
gcc
C++ 標準ライブラリーの istream::sentry
オブジェクトは例外をスローしなくなりました
以前は、
gcc
C++ 標準ライブラリーの istream::sentry
オブジェクトは、空白のスキップ中に発生する例外を適切に処理していませんでした。その結果、オブジェクトのコードで予期しない例外が発生する可能性があります。Sentry
クラスのコンストラクターは、例外をキャッチし、istream
オブジェクトのエラー状態を適切に更新するように修正されました。(BZ#1469384)
IBM Power 上の gdb
の複数の修正
以前は、IBM Power アーキテクチャーでは
gdb
デバッガーのさまざまな機能が壊れていました。
- 記録および再生機能が利用できないため、エラーメッセージが表示されるか、以前のレジスター値が復元されません。
- 短いベクトルの戻り値を出力すると、間違った値が表示されました。
- アトミックシーケンスを 1 回ステップオーバーしても実際にはステップオーバーできませんでした。プログラムカウンターは変化しませんでした。
この更新ではこれらの機能が修正されています。(BZ#1480498, BZ#1480496, BZ#1480497)
終了するプロセスからコアをダンプするときに GDB
がクラッシュしなくなりました
以前は、
GDB
デバッガーは、GDB
がプロセスをコアファイルにダンプしている間にプロセスを終了できることを考慮していませんでした。その結果、ダンプされたプログラムが予期しない SIGKILL
シグナルを受信した後に終了すると、gcore ユーティリティーも予期せず終了しました。今回の更新では、この状況に対処できるように GDB
が拡張されました。その結果、GDB
と gcore コマンドが予期せず終了したり、無効なコアファイルが作成されたりすることがなくなりました。(BZ#1493675)
GDB
は VM_DONTDUMP フラグで保護されたメモリーを再びダンプできるようになりました
GNU デバッガー
GDB
への以前の変更により、データセキュリティーを強化するためにプロセスメモリーをダンプするときの gcore コマンドの動作が Linux カーネルの動作により近くなりました。その結果、GDB
のユーザーは VM_DONTDUMP フラグで保護されたメモリーをダンプできませんでした。新しい set dump-excluded-mappings 設定が GDB
に追加され、このフラグを使用したメモリーのダンプが有効になりました。その結果、ユーザーは GDB
を使用してプロセスメモリー全体を再度ダンプできます。(BZ#1518243)
スレッドで CLONE_PTRACE
フラグを使用するプログラムが strace
で実行されるようになりました。
以前は、新しいスレッドに
CLONE_PTRACE
フラグを設定するプログラムは、strace
ツールの動作に ptrace()
関数を使用するため、未定義の動作を引き起こしていました。その結果、そのようなプログラムは追跡できず、適切に実行できませんでした。strace
ツールは、予期しない CLONE_PTRACE
フラグを持つスレッドを無視するように変更されました。その結果、CLONE_PTRACE
を使用するプログラムは strace
で適切に実行されます。(BZ#1466535)
exiv2 はバージョン 0.26 にリベースされました
exiv2 パッケージがアップストリームバージョン 0.26 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。特に、exiv2 には以下が含まれるようになりました。
- Visual Studio の CMake サポート
- 再帰的ファイルダンプ
- ICC プロファイルのサポート
- メタデータパイプ用の
exiv2
コマンド - ユーザーレンズ定義用のレンズファイル
- ユーザー定義のレンズタイプ
- WebP のサポート
完全な変更ログについては、http://www.exiv2.org/changelog.html#v0.26 を参照してください。(BZ#1420227)
gssproxy が ccache を適切に更新するように修正されました
以前は、gssproxy パッケージは、Kerberos 認証情報キャッシュ (ccache) 内のキーバージョン番号 (kvno) の増加を正しく処理していませんでした。その結果、古い ccache は適切に上書きされませんでした。この更新により、gssproxy ccache キャッシュにおけるこれらの問題が修正されます。その結果、cc キャッシュが適切に更新されるようになり、キャッシュによって過剰な更新要求が防止されます。(BZ#1488629)
IBM Power Systems アーキテクチャーのリトルエンディアン版の gcc
は、未使用のスタックフレームを作成しなくなりました
以前は、IBM Power Systems アーキテクチャーのリトルエンディアン版で
gcc
コンパイラーの -pg -mprofile=kernel
オプションを使用すると、リーフ関数用に未使用のスタックフレームが生成される可能性がありました。gcc
コンパイラーが修正され、この状況で未使用のスタックフレームが発生することはなくなりました。(BZ#1468546)
gssproxy のいくつかのバグが修正されました
この更新により、gssproxy パッケージのいくつかのバグが修正されました。バグ修正には、潜在的なメモリーリークと同時実行の問題の防止が含まれます。(BZ#1462974)
BFD
ライブラリーは、バイナリーアドレスをソースコードの位置に変換する機能を取り戻しました
binutils パッケージによる
BFD
ライブラリーへの以前の機能拡張により、DWARF デバッグ情報の解析にバグが発生しました。その結果、BFD
とそれを使用するすべてのツール (gprof や perf など) は、バイナリーファイルのアドレスをソースコード内の位置に変換できませんでした。この更新では、BFD
が修正され、上記の問題が回避されました。その結果、BFD
はバイナリーファイル内のアドレスをソースコード内の位置に期待どおりに変換できるようになりました。
この修正を利用するには、
BFD
ライブラリーを使用するツールを再リンクする必要があることに注意してください。(BZ#1465318)
引数を渡すためにベクトルレジスターを使用するアプリケーションが再び動作するようになりました
以前は、GNU C ライブラリー (
glibc
) のダイナミックローダーには、64 ビット Intel および AMD アーキテクチャーのベクトルレジスターの保存と復元を回避する最適化が含まれていました。そのため、これらのアーキテクチャー向けにコンパイルされ、関数の引数を渡すためにサポートされていないベクトルレジスターを使用し、公開されている x86-64 psABI 仕様に準拠していないアプリケーションは失敗し、予期しない結果が生じる可能性があります。この更新により、ダイナミックローダーが XSAVE
および XSAVEC
コンテキストスイッチ CPU 命令を使用するように変更され、すべてのベクトルレジスターを含むより多くの CPU 状態が保持されます。その結果、x86-64 psABI 仕様ではサポートされていない方法で、引数の受け渡しにベクトルレジスターを使用するアプリケーションが再び動作するようになります。(BZ#1504969)
curl
が HTTP 認証状態を適切にリセットするようになりました。
この更新より前は、HTTP 転送が終了したとき、または curl_easy_reset() 関数が呼び出されたときに、認証状態が適切にリセットされませんでした。その結果、
curl
ツールはリクエスト本文を次の URL に送信しませんでした。今回の更新により、HTTP 転送が行われたとき、または curl_easy_reset()
が呼び出されたときに認証状態が適切にリセットされ、上記の問題は発生しなくなります。(BZ#1511523)
strip
ユーティリティーが再び動作します
以前は、BFD ライブラリーは、IBM Z アーキテクチャーでの NULL ポインターチェックを見逃していました。その結果、
strip
ユーティリティーを実行するとセグメンテーションフォールトが発生しました。このバグは修正され、strip
は想定どおりに機能するようになりました。(BZ#1488889)
f2py
によって生成された Python モジュールのインポートが適切に機能するようになりました。
以前は、ダイナミックリンクローダーがシンボルをグローバルにロードするように設定されている場合、
f2py
ユーティリティーによって生成された Python モジュールをインポートするときにセグメンテーションフォールトが発生しました。この更新により、PyArray_API
シンボルの名前が _npy_f2py_ARRAY_API
に変更され、マルチアレイモジュール内の同じシンボルとの潜在的な競合が防止されます。その結果、f2py
によって生成されたモジュールをインポートしてもセグメンテーション違反が発生しなくなりました。(BZ#1167156)
mailx
がマルチバイト件名を適切にエンコードしていない
以前は、
mailx
メールユーザーエージェントは、MultiPurpose Internet Mail Extension (MIME) 標準にエンコードするときに、非 ASCII メッセージヘッダーをマルチバイト文字の境界で分割しませんでした。その結果、ヘッダーが正しくデコードされませんでした。この更新により、MIME エンコード関数が変更され、ヘッダーがマルチバイト文字の境界でエンコードされた単語に分割されるようになります。その結果、mailx
は適切にデコードできるヘッダーを持つメッセージを送信するようになりました。(BZ#1474130)
--all-logs
オプションが sosreport
で期待どおりに機能するようになりました。
以前は、
--all-logs
オプションは、apache
、nscd
、および sosreport
ユーティリティーの logs
プラグインによって無視されました。このバグは修正され、前述のプラグインは --all-logs を
正しく処理できるようになりました。--all-logs
を使用する場合、--log-size
オプションを使用してログのサイズを制限することは不可能であることに注意してください。これは想定された動作です。(BZ#1183243)
Python スクリプトは、ポートを明示的に設定しながら、プロキシー経由で HTTPS サーバーに正しく接続できるようになりました。
Red Hat Enterprise Linux で提供される Python 標準ライブラリーは、デフォルトで証明書検証を有効にするために以前に更新されました。ただし、バグにより、標準ライブラリーを使用する Python スクリプトは、接続先のポートを明示的に設定する場合、プロキシーを使用して HTTPS サーバーに接続できませんでした。同じバグにより、ユーザーはブートストラップスクリプトを使用してプロキシー経由で Red Hat Satellite 6 に登録することもできませんでした。このバグは修正され、スクリプトは HTTPS サーバーに接続し、期待どおりに Red Hat Satellite を使用して登録できるようになりました。(BZ#1483438)
第27章 デスクトップ
Dell Canvas 27 のスタイラスが修正されました
以前は、Dell Canvas 27 には、デフォルトで範囲がオフセットされていた Wacom タブレットが含まれていました。その結果、スタイラスは画面の左上 4 分の 1 にマッピングされました。Red Hat Enterprise Linux 7.5 は Dell Canvas 27 のスタイラスをサポートし、座標が正確に報告されるようにします。その結果、必要に応じてカーソルはスタイラスの先端の真下に配置されます。(BZ#1507821)
IBM Power Systems で llvmpipe
がクラッシュする
IBM Power Systems アーキテクチャーのリトルエンディアン版では、以前、
GNOME Shell
コードの競合状態が原因で、Mesa 用の LLVM エンジン llvm-private
が予期せず終了しました。この更新により、JavaScript エンジンのスレッドが無効になり、セグメンテーション違反の発生が防止されます。その結果、llvm-private
は IBM Power Systems でクラッシュしなくなりました。(BZ#1523121)
第28章 ファイルシステム
TCP 接続が閉じられた後に NFS 共有が応答しなくなる問題が修正されました
以前は、NFS クライアントが TCP 切断シーケンスを開始した後、60 秒の
TIME_WAIT
期間に入ることがありました。これは、接続で TCP タイムスタンプが無効になっている場合にのみ発生しました。待機期間中、クライアントは NFS TCP 接続に再接続できませんでした。
TIME_WAIT
期間の待機が原因で、NFS マウントポイントが応答しなくなり、rpciod
カーネルスレッドが CPU を 100% 使用し、nfsstat -r コマンドの出力の retrans
数が非常に大きな数になりました。さらに、timeo
および retrans
オプションの値が低い NFS マウントでは、I/O エラーが発生する可能性があります。
この更新により、NFS TCP 接続は、切断シーケンスの直後に、別の送信元ポートを使用して再接続できるようになりました。その結果、NFS マウントが応答しなくなることはなくなり、接続が閉じられた後に
rpciod
によってシステム負荷が高くなることがなくなりました。(BZ#1479043)
第29章 ハードウェアの有効化
genwqe-tools が IBM Power Systems ppc64 および ppc64le アーキテクチャー用に更新されました
genwqe-tools パッケージは、IBM Power Systems および IBM Power Systems のリトルエンディアン版用に更新されました。この機能強化更新には、genwqe-tools マスターブランチからバックポートされた次の修正が含まれています。
adler32
の破損検出チェックサムは、deflateSetDictionary()
関数で修正を返すようになりました。deflateSetDictionary()
関数は、仕様ファイルの要求に応じて NULL 辞書でエラーを返すようになりました。- デバッガーは
zpipe_rnd.c
ファイルから削除されました - 式における潜在的なオーバーフローが回避されました
- 境界外アクセスとリソースリークの可能性が修正されました
- 貢献を簡素化するために、貢献者ライセンス契約 (CLA) が開発者の原産地証明書 (DCO) に変更されました。
- 潜在的なセキュリティーホールは解決されました
- EEH を引き起こすハードウェアアクセラレータツール genwqe_cksum の障害は解決されました
genwqe-tools のユーザーは、これらのバグを修正し、これらの機能拡張を追加する更新パッケージにアップグレードすることを推奨します。(BZ#1456492)
ハードウェアユーティリティーツールが、最近リリースされたハードウェアを正しく識別できるようになりました。
この更新の前は、廃止された ID ファイルにより、コンピューターに接続されている最近リリースされたハードウェアが不明として報告されていました。このバグを修正するために、PCI、USB、およびベンダーデバイス識別ファイルが更新されました。その結果、ハードウェアユーティリティーツールが、最近リリースされたハードウェアを正しく識別できるようになりました。(BZ#1489281)
第30章 インストールおよび起動
手動パーティショニング中に不完全な IMSM RAID アレイを選択してもインストーラーがクラッシュしなくなりました
以前は、インストールするシステムに以前 Intel Matrix (IMSI) RAID アレイの一部であったストレージドライブがインストール時に壊れていた場合、そのディスクはグラフィカルインストーラーの
Installation Destination
画面で Unknown
と表示されていました。このドライブをインストールターゲットとして選択しようとすると、インストーラーがクラッシュし、An unknown error has occured
メッセージが表示されました。この更新では、そのようなドライブに対する適切な処理が追加され、標準のインストールターゲットとして使用できるようになります。(BZ#1465944)
インストーラーはキックスタートファイルで追加のタイムゾーン定義を受け入れるようになりました
Red Hat Enterprise Linux 7.0 以降、
Anaconda
は、タイムゾーンの選択を検証するための、より制限的な別の方法に切り替えました。これにより、以前のバージョンでは許容されていたにもかかわらず、Japan
などの一部のタイムゾーン定義が無効になり、これらの定義を含む従来のキックスタートファイルを更新する必要があり、更新しないと、デフォルトで Americas/New_York
タイムゾーンが使用されてしまいます。
有効なタイムゾーンのリストは、以前は
pytz
Python ライブラリーの pytz.common_timezones
から取得されていました。この更新により、timezone キックスタートコマンドの検証設定が pytz.all_timezones
を使用するように変更されます。これは common_timezones
リストのスーパーセットであり、より多くのタイムゾーンを指定できるようになります。この変更により、Red Hat Enterprise Linux 6 用に作成された古いキックスタートファイルでも引き続き有効なタイムゾーンが指定されるようになります。
この変更は timezone Kickstart コマンドにのみ適用されることに注意してください。グラフィカルおよびテキストベースの対話型インターフェイスでのタイムゾーンの選択は変更されません。有効なタイムゾーンが選択されている Red Hat Enterprise Linux 7 の既存のキックスタートファイルは更新する必要がありません。(BZ#1452873)
ブートオプションを使用して設定されたプロキシー設定が Anaconda で正しく機能するようになりました。
以前は、ブートメニューのコマンドラインで proxy= オプションを使用して作成されたプロキシー設定は、リモートパッケージリポジトリーを調査するときに正しく適用されませんでした。これは、ネットワーク設定が変更された場合に
Installation Source
画面の更新を回避しようとしたことが原因でした。この更新により、インストーラーロジックが改善され、プロキシー設定が常に適用されるようになり、設定変更時のユーザーインターフェイスのブロックが回避されます。(BZ#1478970)
FIPS モードは、インストール中に HTTPS 経由でのファイルのロードをサポートするようになりました
以前は、キックスタートファイルが HTTPS ソース (
inst.ks=https://<location>/ks.cfg
) からロードされるインストール中に、インストールイメージは FIPS モード (fips=1
) をサポートしていませんでした。このリリースでは、これまで欠落していたこの機能のサポートが実装され、FIPS モードでの HTTPS 経由のファイルのロードは期待どおりに機能します。(BZ#1341280)
ネットワークスクリプトが /etc/resolv.conf
を正しく更新するようになりました。
ネットワークスクリプトが拡張され、
/etc/resolv.conf
ファイルが正しく更新されるようになりました。以下に例を示します。
/etc/sysconfig/network-scripts/
ディレクトリーのifcfg-*
ファイルで DNS* オプションと DOMAIN オプションがそれぞれ更新された後、スクリプトは/etc/resolv.conf
ファイル内のnameserver
とsearch
エントリーを更新するようになりました。/etc/sysconfig/network-scripts/
のifcfg-*
ファイルで更新された後、スクリプトはnameserver
エントリーの順序も更新するようになりました。- DNS3 オプションのサポートが追加されました
- スクリプトは、重複したランダムに省略された DNS* オプションを正しく処理するようになりました (BZ# 1364895)
.old
拡張子を持つファイルはネットワークスクリプトによって無視されるようになりました
Red Hat Enterprise Linux のネットワークスクリプトには、
.bak
、.rpmnew
、.rpmold
などの特定の拡張子を持つ ifcfg-*
設定ファイルを無視する正規表現が含まれています。ただし、.old
拡張子は、ドキュメントや一般的な実践で使用されているにもかかわらず、このセットにはありませんでした。この更新により、.old
拡張子がリストに追加され、これを使用するスクリプトファイルがネットワークスクリプトによって期待どおりに無視されるようになります。(BZ#1455419)
ブリッジデバイスは IP アドレスの取得に失敗しなくなりました
以前は、ブリッジデバイスがシステム起動直後に DHCP サーバーから IP アドレスを取得できないことがありました。これは、ifup-eth スクリプトがスパニングツリープロトコル (STP) の起動の完了を待機しなかった競合状態が原因で発生しました。このバグは、STP の開始が完了するまで ifup-eth が十分な時間待機する遅延を追加することで修正されました。(BZ#1380496)
rhel-dmesg
サービスを正しく無効にできるようになりました
以前は、
rhel-dmesg.service が
systemd を使用して明示的に無効になっていても、実行を続けていました。このバグは修正され、サービスを正しく無効にできるようになりました。(BZ#1395391)
第31章 カーネル
kdump が
nokaslr セットを使用して vmcore
をキャプチャーできるようになりました
nokaslr および crashkernel=xxM,high オプションを使用すると、nokaslr の実装のバグにより、
kdump
メカニズムが vmcore
ファイルをキャプチャーできなくなりました。この修正により、nokaslr が設定されている場合、カーネルの元のロードアドレスが返されるようになります。その結果、Kernel Address Space Layout Randomization (KASLR) がカーネルでコンパイルされているが、nokaslr で無効になっており、crashkernel パラメーターでハイメモリーが指定されている場合、kdump
は vmcore
を収集できるようになりました。(BZ#1467561)
MPOL_PREFERRED
ポリシーが Transparent Huge Pages (THP) で最適なパフォーマンスで動作するようになりました。
MPOL_PREFERRED
ポリシーを使用したノード 1 へのメモリーの割り当ては、Transparent Huge Pages (THP) が有効になっている場合には機能しませんでしたが、常にノード 0 のローカルノードにフォールバックしました。その結果、マルチノードシステムのワークロードパフォーマンスは大きな影響を受けました。バックポートされたパッチにより、非ローカルノードの MPOL_PREFERRED
ポリシーが確実に尊重され、システムパフォーマンスが最適な状態に戻ります。(BZ#1476709)
cgroups
のデッドロックが修正されました
特定の状況において、
cgroups
を使用すると、競合状態によりシステムのデッドロックが発生しました。この更新により、競合状態を修正するワークキューが追加され、デッドロックの発生が防止されます。(BZ#1476040)
DM シンプロビジョニングがループデバイス上で使用されている場合に、システムが応答しなくなる問題が修正されました。
以前は、ループデバイス上でデバイスマッパー (DM) シンプロビジョニングが使用されている場合、システムが応答しなくなることがありました。この更新により、メモリー割り当てで正しい gfp マスクが使用されるようになりました。その結果、上記の問題が発生しなくなりました。(BZ#1469247)
KASLR により、カーネルメモリーがミラーリングされていない領域にミラーリングされなくなりました
この更新より前は、指定されたミラーリングされたメモリー領域とカーネルアドレス空間レイアウトのランダム化 (KASLR) が有効になっていると、カーネルメモリーが非ミラー化メモリー領域に配置される可能性がありました。その結果、ミラーリングされていないメモリー領域は移動できなくなりました。この更新により、カーネルメモリーの場所がミラー領域から制限されます。その結果、KASLR は、ミラー化されていない領域へのカーネルメモリーのミラーリングを行わなくなりました。(BZ#1446684)
ユーザーは、/etc/kdump.conf
内の空白文字を削除するよう求めるメッセージを受け取るようになりました。
以前は、
/etc/kdump.conf
内の kdump
設定項目の前に 1 つ以上の先頭の空白文字があったため、kdump
設定が正しくなくなりました。この更新により、先頭の空白文字を削除するように求めるエラーメッセージがユーザーに返され、記載された動作が原因で kdump
が失敗することはなくなりました。(BZ#1476219)
IBM POWER Systems 上の大きな .bss
セグメントを持つアプリケーションでランダムなセグメンテーション違反が発生しなくなりました
以前は、IBM POWER Systems アーキテクチャーでは、大きな
.bss
セグメントを持つアプリケーションによってダイナミックリンカーが予期せず終了する可能性がありました。その結果、ダイナミックリンカーを使用して起動されたアプリケーションがランダムにセグメンテーションフォールトを引き起こす可能性があります。この更新により、ELF_ET_DYN_BASE
値は、このアーキテクチャー上の 64 ビット実装の場合は 4GB、32 ビット実装の場合は 4MB に増加しました。その結果、IBM POWER Systems アーキテクチャー上の大きな .bss
セグメントを持つアプリケーションは、ランダムなセグメンテーション違反を引き起こすことはありません。(BZ#1432288)
カーネルは負荷を計算するために過剰な量のリソースを消費しなくなりました
以前は、カーネルは空のタスクグループを含むすべてのタスクグループの負荷を計算していましたが、これにより、プロセスが多数あるシステムでは過剰な量のシステムリソースが消費されました。この更新により、カーネルが空のタスクグループの負荷を計算できなくなり、上記の状況でシステムの負荷が軽減されます。(BZ#1460641)
Cpuset は、オフラインイベントとオンラインイベントのペアの後に有効な CPU マスクを復元できるようになりました。
この更新より前は、プロセスをプロセッサーとメモリーノードのサブセットに限定する
cpuset
ファイルシステムでは、cpuset で使用される CPU に対して 1 つのビットマップセットが有効になっていました。その結果、CPU オフラインイベントに続いて CPU オンラインイベントが発生し、影響を受ける CPU がすべての非ルート CPU セットから削除されました。今回の更新により、cpuset で 2 つのビットマップセットが有効になりました。その結果、cpuset cgroup のマウント時に -o cpuset_v2_mode マウントフラグが使用されている限り、cpuset は CPU オンラインまたはオフラインイベントを適切に追跡して、有効な CPU マスクを復元できるようになりました。(BZ#947004)
/proc/pid/maps
へのアクセスが大幅に高速化されました
以前は、
stack:TID
アノテーションでスタック仮想メモリー領域 (VMA) のタスクを見つける時間は、システム内のアクティブなタスクの数に直接比例していました。その結果、システム内で実行されているタスクが増えるほど、スタック VMA に正しくアノテーションを付けるのが遅くなり、/proc/pid/maps
ファイルへのアクセスが遅くなります。この更新により、stack:TID
アノテーションは使用されなくなりました。その結果、特にシステム内で多数のタスクが実行されている場合、/proc/[pid]/maps
へのアクセスが大幅に高速化されました。(BZ#1448534)
fadump が再起動に失敗しなくなりました
以前は、fadump は DLPAR メモリーの削除操作中に停止し、その後再起動を開始しました。特定の状況下で、fadump が再起動に失敗しました。今回の更新で、上記の問題は発生しなくなりました。(BZ#1438695)
makedumpfile
がページテーブルエントリーを正しくマップできるようになりました
HP ハードウェア上で実行されている一部の仮想マシンでは、仮想マシンのメモリーの物理アドレスを正しく取得できず、
makedumpfile
ユーティリティーが次のようなエラーで失敗しました。
readmem: Can't convert a virtual address(ffffffffb21158a0) to physical address
この問題は、
file_size
が正しく計算されず、readpage_elf()
関数が正しく動作しないために発生しました。この更新により、これらのシステムでの file_size
の計算が修正され、vmcore
ファイルが収集できるようになり、makedumpfile --mem-usage コマンドで vmcore
サイズが正しく推定されるようになりました。(BZ#1448861)
非対称グループは、重複するスケジューリングドメインに使用されます。
以前は、特定の Non-Uniform Memory Access (NUMA) システム上でグループ構築をスケジュールすると、スレッドの移行に悪影響を及ぼしていました。この状況は、タスクを隣接する NUMA ノードに移行できない場合にパフォーマンスに悪影響を及ぼしました。今回の更新では、問題を解決するために、スケジューリングドメインの重複に非対称グループが使用されます。(BZ#1373534)
KASLR により、システムの起動中にカーネルが応答しなくなることがなくなりました
以前は、カーネルアドレス空間レイアウトのランダム化 (KASLR) 機能が有効になっている場合、特定の SGI UV システムでカーネルが応答しなくなることがありました。その結果、システムは起動できなくなりました。この更新により、カーネルは、KASLR が有効な場合に直接マッピングのサイズを調整しようとしなくなりました。その結果、システムは正常に起動し、前述の問題は発生しなくなります。(BZ#1457046)
ファンクションキーを使用してワコムタブレットを取り外しても、オペレーティングシステムが再起動しなくなりました
一部の Wacom タブレットを Red Hat Enterprise Linux 7.4 上で実行中の GNOME セッションから切断すると、オペレーティングシステムが 5 秒以内に再起動しました。この問題は、最初は Wacom モデル 27QHD デバイスで確認されました。この更新により、オペレーティングシステムを再起動せずにタブレットを取り外すことができるようになります。(BZ#1462363)
後でそのメモリー cgroup を削除するときに、memory.kmem.limit_in_bytes
を設定しても問題が発生しなくなりました
以前は、cgroup の
memory.kmem.limit_in_bytes
パラメーターを設定すると、後でそのメモリー cgroup が削除されたときに問題が発生しました。この問題は、メモリー cgroup kmem
キャッシュをマージしようとしたときに発生しましたが、適切に処理されませんでした。この更新では、この機能を使用しなくなった現在のアップストリームコードをバックポートすることにより、メモリー cgroups の kmem
キャッシュマージが無効になります。(BZ#1442618)
sha1-avx2
暗号化アルゴリズムが再び有効になりました
リードビヨンドエラー (コードが境界外のメモリーを読み取ろうとしたとき) のため、
sha1-avx2
暗号化アルゴリズムが無効になりました。この更新により、問題は解決され、管理者は sha1-avx2
を使用できるようになりました。(BZ#1469200)
VXLAN がバージョン 4.14 にリベースされました
VXLAN ドライバーはアップストリームバージョン 4.14 にアップグレードされ、以前のバージョンに比べて多くのバグが修正されています。注目すべき変更点は次のとおりです。
- トンネルの送信元 IP アドレスはルート検索で使用されます。
- VXLAN Generic Protocol Extension (VXLAN-GPE) は、User Datagram Protocol (UDP) ポートに正しい Internet Assigned Numbers Authority (IANA) を使用するようになりました。
VNI 0xffffff
値を使用できるようになりました。- トンネル削除時の競合状態が修正されました。
- 静的転送データベース (fdb) エントリーが Linux ブリッジと一貫して動作するようになりました。(BZ#1467280)
第32章 ネットワーク
ip6mr
がすでに登録されていないデバイスを登録解除しても、ネットワーク動作は継続します
以前は、
IPv6 マルチキャストルーティング (ip6mr)
コードが、すでに登録されていないデバイスを登録解除しようとしていました。その結果、ネットワーク動作が停止するバグが syslog
に報告されました。この更新により、ip6mr は、
すでに未登録としてマークされているデバイスを登録解除しなくなりました。その結果、syslog
でバグは報告されなくなり、ネットワーク動作は説明されたシナリオで継続されます。(BZ#1445046)
VTI
経由で大きなファイルを送信しても失敗しなくなりました
以前は、
Virtual Tunnel Interface (VTI)
を介して大きなファイルを送信すると、VTI
が Path Maximum Transmission Unit (PMTU)
を処理しないために失敗していました。その結果、PMTU
サイズより大きいサイズのファイルは送信できませんでした。この更新により、PMTU
処理が追加されました。その結果、Tx パスで PMTU
を更新できるようになり、前述の問題は発生しなくなります。(BZ#1467521)
IPv6
カプセル化を使用した L2TP
が名前空間で機能するようになりました
以前は、
IPv6
カプセル化で Layer 2 Tunneling Protocol (L2TP)
を使用すると、名前空間がサポートされませんでした。その結果、L2TP
を名前空間で使用できなくなりました。この更新により、IPv6
カプセル化を使用した L2TP
が名前空間を認識するようになり、前述の問題は発生しなくなります。(BZ#1465711)
ARP
エントリーのフラッシュが失敗しなくなりました
以前は、不完全または失敗した
Address Resolution Protocol (ARP)
エントリーをフラッシュしようとしても効果がありませんでした。その結果、不完全な ARP
エントリーがそこに残り、場合によってはシステムやネットワークのデバッグに問題が発生しました。この更新により、不完全または失敗した ARP
エントリーを削除できるようになります。その結果、ユーザーは期待どおりに ARP
テーブルを取得できるようになりました。(BZ#1383691, BZ#1469945)
クラスフルキューイング規則で cls_matchall
を使用しても、カーネルがクラッシュしなくなりました
以前は、matchall 分類子
(cls_matchall)
はパケットに classic
オプションを割り当てませんでした。その結果、階層トークンバケット (HTB) やクラスベースキュー (CBQ) などのクラスフルキューイング規則 (クラスフル qdiscs)
で cls_matchall を
使用しようとすると、カーネルが予期せず終了しました。今回の更新により、cls_matchall が
classid を処理するときに、classid がパケットに割り当てられます。その結果、classful qdiscs
を使用した cls_matchall
が正常に使用できるようになり、説明されているシナリオではユーザーが指定した classid の値が無視されなくなりました。
ユーザーが閉じられた SCTP ポートに接続しても、ICMP
エラーパケットが失われないようになりました。
以前は、閉じられた Stream Control Transmission Protocol (SCTP) ポートに接続しようとすると、サーバーからの
Internet Control Message Protocol (ICMP)
エラー応答が失われました。この問題は、データの受信に非線形バッファーを使用する Network Interface Cards (NICs)
でのみ発生しました。その結果、閉じられた SCTP ポートへの接続の場合、ユーザーはサーバーから connection refused
エラーメッセージをすぐに受け取るのではなく、タイムアウトになるまで待機していました。この更新により、受信データは直線的に処理され、ICMP
エラー応答が失われることはありません。その結果、上記の状況では、ユーザーは対応する ICMP
エラーを受け取ります。(BZ#1450529)
SCTP は正しい送信元アドレスを選択するようになりました
以前は、セカンダリー IPv6 アドレスを使用する場合、ストリーム制御伝送プロトコル (SCTP) は、宛先アドレスと最もよく一致する接頭辞に基づいて送信元アドレスを選択していました。その結果、場合によっては、間違った IPv6 アドレスを持つインターフェイスを介してパケットが送信されることがありました。今回の更新により、SCTP はこの特定のルートのルーティングテーブルにすでに存在するアドレスを使用します。その結果、ホスト上でセカンダリーアドレスが使用される場合、SCTP は予期される IPv6 アドレスを送信元アドレスとして使用します。(BZ#1460106)
iptables CLUSTERIP
ターゲットによって保持されているデバイス参照が、ネームスペースの削除時に適切に解放されるようになりました。
以前は、
iptables CLUSTERIP
ターゲットは、関連するルールで入力デバイスとして指定されたネットワークデバイスへの直接参照を保持していました。名前空間内のルールが削除されても、対応する参照は解放されませんでした。その結果、ネームスペースの削除時に、CLUSTERIP
ターゲットが保持するダングリング参照により、ネームスペースに含まれるネットワークデバイスの削除が妨げられることがありました。このため、同じ名前のデバイスを作成できず、関連するメモリーも解放されませんでした。今回の更新により、CLUSTERIP
ターゲットルール参照は関連デバイスではなく、そのインデックスを保持するようになりました。その結果、ネームスペースを削除すると、このネームスペースに関連するすべてのルールと参照も適切にクリアされます。(BZ#1472892)
nftables
設定ファイルは公開されなくなりました
以前は、
RPM
ファイルでのインストール中に、nftables
設定ファイルのモードビットがそれに応じて調整されませんでした。その結果、/etc/nftables
ディレクトリー内の設定テンプレートと etc/sysconfig/nftables.conf
メイン設定ファイルは一般に読み取り可能でした。この更新により、設定ファイルのインストール時にファイルモードビットが正しい値に明示的に設定されます。その結果、ユーザーは正しい権限で設定ファイルをインストールできるようになります。
管理者によって変更されていない設定ファイルは、正しい権限を持つ設定ファイルに置き換えられることに注意してください。
変更された設定ファイルは置き換えられません。その場合、
/etc/sysconfig/nftables.conf
に対して、正しい権限を持つ rpmnew ファイルが作成されます。/etc/nftables
内のファイルについては、rpmnew ファイルは作成されないため、ユーザーは手動で権限を設定する必要があります。(BZ#1451404)
SENDER_DRY_EVENTS
が有効な場合、Ready to read
イベントがアプリケーションに正しく送信されるようになりました。
以前は、
SENDER_DRY_EVENTS
通知を有効にしたとき、または Stream Control Transmission Protocol (SCTP) 部分信頼性がチャンクの削除をトリガーしたとき、SCTP スタックはイベントがすでに生成されたというフラグを立ててアプリケーションに送信していました。しかし、その後も旗は外されなかった。その結果、アプリケーションは ready to read
イベントを逃しました。今回の更新により、スタックはそのような場合にイベントにフラグを立てなくなりました。その結果、Ready to Read
イベントがアプリケーションに正しくディスパッチされるようになりました。(BZ#1442784)
SCTP 統計が利用可能になりました
以前は、ストリーム制御伝送プロトコル (SCTP) 統計パーサーは
/proc/net/sctp/snmp
ソースファイルを処理できませんでした。その結果、ユーザーは統計情報を確認できなくなりました。SCTP 統計の解析が修正されました。その結果、ユーザーは SCTP 統計を利用できるようになりました。(BZ#1329338)
firewalld
サービスデーモンが rmmod
プロセスでハングしなくなりました
以前は、一部のネットワークデバイスドライバー、特に一部の
Wi-Fi
および IP over InfiniBand Network Interface Cards (IPoIB NICs)
ドライバーは、追跡されていないパケットに関連付けられた conntrack
エントリーを無制限に保持していました。その結果、削除時には、conntrack
カーネルモジュールはこれらのエントリーが解放されるのを待つビジーループ状態になりました。これにより、rmmod nf_conntrack
モジュールが CPU 使用率の 100% を消費し、シャットダウン時に firewalld
がハングするようになりました。この更新により、新しいカーネルは notrack conntrack
エントリーのサポートを削除し、conntrack
はそのようなエントリーが解放されるのを待機しなくなります。その結果、firewalld
のシャットダウンがハングしなくなりました。(BZ#1317099)
第33章 セキュリティー
firewalld
の起動時に、設定が存在する場合、net.netfilter.nf_conntrack_max
がデフォルトにリセットされなくなりました。
以前は、
firewalld
は起動時または再起動時に nf_conntrack
設定をデフォルト値にリセットしていました。その結果、net.netfilter.nf_conntrack_max
設定はデフォルト値に復元されました。今回の更新により、firewalld
が起動するたびに、/etc/sysctl.conf
および /etc/sysctl.d
で設定されている nf_conntrack
sysctl が再ロードされます。その結果、net.netfilter.nf_conntrack_max
はユーザーが設定した値を維持します。(BZ#1462977)
Tomcat
は、強制モードの SELinux
で tomcat-jsvc
を使用して起動できるようになりました
Red Hat Enterprise Linux 7.4 では、
tomcat_t
非制限ドメインが SELinux
ポリシーで正しく定義されていませんでした。そのため、強制モードの SELinux
では、tomcat-jsvc
サービスによって Tomcat
サーバーを起動できません。この更新により、tomcat_t
ドメインで dac_override
、setuid
、および kill
機能ルールを使用できるようになります。その結果、Tomcat
は SELinux
を強制モードで tomcat-jsvc
経由で起動できるようになりました。(BZ#1470735)
SELinux
により、vdsm
が lldpad
と通信できるようになりました
この更新より前は、強制モードの
SELinux
は、vdsm
デーモンによる lldpad
情報へのアクセスを拒否していました。その結果、vdsm
は正しく動作できなくなりました。今回の更新により、virtd_t
ドメインが dgram
ソケットを介して lldpad_t
ドメインにデータを送信できるようにするルールが selinux-policy パッケージに追加されました。その結果、SELinux
が強制モードに設定されている場合、virtd_t
というラベルの付いた vdsm
は、lldpad_t
というラベルの付いた lldpad
と通信できるようになりました。(BZ#1472722)
権限分離を行わない OpenSSH
サーバーがクラッシュしなくなりました
この更新より前は、ポインターは有効性がチェックされる前に逆参照されていました。その結果、Privilege Separation オプションがオフになっている
OpenSSH
サーバーがセッションのクリーンアップ中にクラッシュしました。この更新により、ポインターが適切にチェックされ、前述のバグのため、Privilege Separation なしで実行中に OpenSSH
サーバーがクラッシュすることがなくなりました。
DISA STIG 準拠のパスワードポリシーを使用しても、clevis luks binding コマンドが失敗しなくなりました。
以前は、clevis luks binding コマンドの一部として生成されたパスワードは、
pwquality.conf
ファイルに設定されている国防情報システム局セキュリティ技術導入ガイド (DISA STIG) のパスワードポリシーに準拠していませんでした。その結果、特定の場合に、DISA STIG 準拠システムで clevis luks bind が失敗することがありました。この更新により、パスワードポリシーを通過するランダムなパスワードを生成するように設計されたユーティリティーを使用してパスワードが生成され、説明されているシナリオで clevis luks binding が成功するようになりました。(BZ#1500975)
WinSCP
5.10 が OpenSSH
で適切に動作するようになりました
以前は、
OpenSSH
はWinSCP
バージョン 5.10 を古いバージョン 5.1 として誤って認識していました。その結果、WinSCP
バージョン 5.1 の互換性ビットが WinSCP
5.10 に対して有効になり、新しいバージョンは OpenSSH
で適切に動作しませんでした。この更新により、バージョンセレクターが修正され、WinSCP
5.10 が OpenSSH
サーバーで適切に動作するようになりました。(BZ#1496808)
SFTP
では読み取り専用モードで長さゼロのファイルを作成できなくなりました
この更新より前は、
OpenSSH SFTP
サーバーの process_open
関数は、読み取り専用モードでの書き込み操作を適切に防止しませんでした。その結果、攻撃者は長さゼロのファイルを作成することができました。今回の更新により、この機能は修正され、SFTP
サーバーは読み取り専用モードでのファイルの作成を許可されなくなりました。(BZ#1517226)
第34章 サーバーおよびサービス
内部バッファーロックが libdb
でデッドロックを引き起こさなくなりました
以前は、
libdb
データベースは、カーソル上の操作の処理中にオフページ重複 (OPD) ツリーにあるページにアクセスするときに、内部バッファーを正しい順序でロックしませんでした。書き込みプロセスは最初にプライマリーツリーにアクセスし、次に OPD ツリーにアクセスし、読み取りプロセスは逆の順序で同じことを実行しました。ライタープロセスがプライマリーツリーからページにアクセスし、リーダープロセスが OPD ツリーからページにアクセスすると、ページが他のプロセスによって同時にロックされたため、プロセスは他のツリーからページにアクセスできませんでした。その結果、どちらのプロセスもロックを解放しなかったため、libdb
でデッドロックが発生しました。今回の更新により、cursor->get
メソッドの btree
バージョンが変更され、書き込みメソッドと同じ順序 (つまり、最初にプライマリーツリー、次に OPD ツリー) でツリーのページをロックするようになりました。その結果、説明されているシナリオでは libdb
のデッドロックが発生しなくなります。(BZ#1349779)
毎週のログローテーションがより予測可能にトリガーされるようになりました
毎週のログローテーションは、以前は、最後のローテーションからちょうど 7 日 (604800 秒) が経過したときに、
logrotate
ユーティリティーによって実行されていました。したがって、logrotate コマンドが cron ジョブによって少し早くトリガーされた場合、ローテーションは次の実行まで遅延されました。この更新により、毎週のログローテーションでは正確な時間が無視されます。その結果、日カウンターが最後のローテーションから 7 日以上進むと、新しいローテーションがトリガーされます。(BZ#1465720)
大きな PDF ファイルの処理中に Ghostscript が
クラッシュしなくなりました
以前は、大きな PDF ファイルを処理すると、特定のまれな状況で
Ghostscript
ユーティリティーが予期せず終了することがありました。この更新により、GhostScript
仮想マシンの内部制限 DEFAULT_VM_THRESHOLD
が増加し、前述の問題は発生しなくなります。さらに、大きなファイルの処理が若干速くなりました。(BZ#1479852)
Ghostscript
を使用した大きな PDF ファイルの PNG への変換が失敗しなくなりました
アップストリームのソースコードのバグにより、
ghostscript
ユーティリティーを使用して大きな PDF ファイルを PNG 形式に変換すると、特定のまれな状況で失敗しました。このバグは修正され、上記の問題が発生しなくなりました。(BZ#1473337)
IPv6 ポートにバインドできないときに krfb
がクラッシュしなくなりました
以前は、
krfb
が IPv6 ポートにバインドできないときに VNC クライアントを使用して krfb
アプリケーションに接続すると、krfb
が予期せず終了していました。この更新により、初期化されていない IPv6 ソケットの不適切な処理が修正され、libvncserver ライブラリー上に構築されたアプリケーションが、IPv6 ポートでのリッスン試行の失敗に正しく対処できるようになりました。(BZ#1314814)
mod_nss は Apache のスレッドモデルを適切に検出してパフォーマンスを向上させます
以前は、mod_nss モジュールは Apache でスレッドモデルを適切に検出していませんでした。その結果、TLS セッション ID がハンドシェイク間で維持されず、ハンドシェイクごとに新しいセッション ID が生成されるため、ユーザーはパフォーマンスの低下を経験しました。この更新により、スレッドモデルの検出が修正されました。その結果、TLS セッション ID が適切にキャッシュされるようになり、前述のパフォーマンスの問題が解消されました。(BZ#1461580)
atd は 100% の CPU 使用率で実行されなくなり、システムログもいっぱいになりません
以前は、at ユーティリティーの atd デーモンは、一部の種類の壊れたジョブ、特に存在しないユーザーのジョブを誤って処理していました。その結果、atd は利用可能なすべての CPU リソースを使い果たし、無制限の頻度で送信されるメッセージによってシステムログがいっぱいになりました。今回の更新により、atd による壊れたジョブの処理が修正され、問題は発生しなくなります。(BZ#1481355)
ReaR
は、grub2-efi-x64-modules が見つからない場合に、より役立つエラーメッセージを提供するようになりました。
以前は、rear mkrescue コマンドおよび rear mkbackup コマンドを使用して UEFI システム上で
ReaR
バックアップを作成しようとすると、grub2-efi-x64-modules パッケージが欠落しているために失敗していました。このパッケージはデフォルトではインストールされませんが、ReaR
が GRUB イメージを生成するために必要です。コマンドは次のエラーメッセージで失敗しました。
ERROR: Error occurred during grub2-mkimage of BOOTX64.efi
このメッセージはわかりにくく、役に立たないことが判明しました。この更新では、同じ状況でエラーが引き続き表示されますが、問題を修正する方法が示されています。
WARNING: /usr/lib/grub/x86_64-efi/moddep.lst not found, grub2-mkimage will likely fail. Please install the grub2-efi-x64-modules package to fix this.
更新されたメッセージで説明されているように、UEFI ファームウェアを備えたシステムで
ReaR
バックアップを作成する前に、欠落している grub2-efi-x64-modules パッケージをインストールする必要があります。(BZ#1492177)
ReaR
は mkrescue 操作中にディスクサイズの決定に失敗しなくなりました
以前は、
ReaR
(Relax-and-Recover) ユーティリティーは、ディスクレイアウトを保存するときにパーティションサイズをクエリーしているときに、udev
との競合状態が原因でエラーが発生することがありました。その結果、mkrescue 操作は次のメッセージが表示されて失敗しました。
ERROR: BUG BUG BUG! Could not determine size of disk
そのため、レスキューイメージを作成することができませんでした。バグは修正され、レスキューイメージの作成が想定どおりに機能するようになりました。(BZ#1388653)
ReaR は
非 UEFI システムで dosfsck と efibootmgr を必要としなくなりました
以前は、
ReaR
(Relax-and-Recover) は、UEFI を使用しないシステムに dosfsck および efibootmgr ユーティリティーをインストールすることを誤って要求していました。その結果、ユーティリティーが欠落している場合、rear mkrescue コマンドはエラーで失敗しました。このバグは修正され、ReaR
では前述のユーティリティーを UEFI システムにのみインストールする必要があります。(BZ#1479002)
ReaR
は NetBackup
で障害が発生しなくなり、より信頼性の高いネットワーク設定になりました。
以前は、レスキューシステムの起動手順に 2 つの問題があったため、
NetBackup
方式を使用した場合に ReaR
(Relax-and-Recover) リストアプロセスが失敗していました。システムの init スクリプトは、ReaR
で使用されるときに実行されるのではなく、ソースされていました。その結果、NetBackup
init スクリプトはシステムセットアッププロセスを中止しました。さらに、システムセットアップによって作成されたプロセスはすぐに終了されました。これは dhclient ツールにも影響し、場合によっては IP アドレスの競合が発生しました。今回の更新では、両方のバグが修正されました。その結果、ReaR
は NetBackup
方式で適切に動作し、DHCP を使用したネットワーク設定の信頼性が向上しました。(BZ#1506231)
バックアップ整合性チェックが有効になっている場合でも ReaR
リカバリーが失敗しなくなりました
以前は、
ReaR
(Relax-and-Recover) がバックアップ整合性チェック (BACKUP_INTEGRITY_CHECK=1
) を使用するように設定されている場合、md5sum コマンドがバックアップアーカイブを見つけられなかったため、リカバリープロセスは常に失敗していました。このバグは修正され、上記の問題が発生しなくなりました。(BZ#1532676)
第35章 ストレージ
空の文字列に機能を追加するときに DM Multipath がクラッシュしなくなりました
以前は、機能文字列のないビルトインデバイス設定の機能文字列に機能を追加しようとすると、DM Multipath サービスが予期せず終端しました。今回の更新により、DM Multipath はまず機能文字列が存在するかどうかを確認し、必要に応じて機能文字列を作成します。その結果、存在しない機能文字列を変更しようとしても DM Multipath がクラッシュしなくなりました。(BZ#1459370)
RAID1 で I/O 操作がハングしなくなりました
以前は、カーネルは
dm-raid
で複数デバイス (MD) I/O エラーを適切に処理できませんでした。その結果、I/O が応答しなくなることがありました。今回の更新により、dm-raid
は I/O エラーを正しく処理するようになり、RAID1 で I/O 操作がハングしなくなりました。(BZ#1506338)
第36章 システムおよびサブスクリプション管理
特定の NSS および NSPR 更新シナリオで YUM がクラッシュしなくなりました
以前は、
yum
インストーラーが nss と nspr パッケージのバージョンの特定の組み合わせを更新すると、次のシンボル検索エラーが原因でトランザクションが途中で終了することがありました。
/lib64/libnsssysinit.so: undefined symbol: PR_GetEnvSecure
これにより、古い rpm ロックが発生しました。
Yum
は、この特定の nss および nspr 更新シナリオに正しく対処できるように更新されました。その結果、説明されているシナリオでは yum
は終了しなくなりました。(BZ#1458841)
fastestmirror
プラグインは、メタデータのダウンロード前にミラーを命令するようになりました。
以前は、キャッシュのクリーンアップ後に初めて
yum
インストーラーを実行するときに、fastestmirror
プラグインはメタデータのダウンロード前に最速のミラーを選択しませんでした。これにより、一部のミラーが遅いか使用できない場合に遅延が発生することがありました。この更新により、メタデータのダウンロード前のミラー選択に影響を与えるように、fastestmirror
プラグインが変更されました。その結果、メタデータのダウンロード前にミラーがポーリングされて配置され、そのような遅延が防止されます。(BZ#1428210)
package-cleanup スクリプトは、重複しないパッケージの依存関係を削除しなくなりました
以前は、--cleandupes オプションを指定して package-cleanup スクリプトを実行すると、重複に依存するパッケージも削除されました。その結果、一部のパッケージが意図せず削除されてしまいました。この更新により、重複しないパッケージの依存関係をスキップするように package-cleanup スクリプトが修正されました。代わりに、package-cleanup スクリプトは、回避策の提案を含む警告を出力します。(BZ#1455318)
rhnsd.pid
は所有者のみが書き込み可能になりました
Red Hat Enterprise Linux 7.4 では、
/var/run/rhnsd.pid
ファイルのデフォルトの権限が -rw-rw-rw-
に変更されました。。この設定は安全ではありませんでした。今回の更新により、変更は元に戻され、/var/run/rhnsd.pid
のデフォルトの権限は -rw-r--r--
になりました。。(BZ#1480306)
rhn_check はシステムの再起動を Satellite に正しく報告するようになりました。
以前は、rhn_check の実行中に Satellite クライアントのシステム再起動が発生した場合、rhn_check はその終了を Satellite に報告しませんでした。その結果、Satellite の rhn_check のステータスは更新されませんでした。今回の更新により、この誤った動作が修正され、rhn_check がシステムの再起動を処理し、正しいステータスを Satellite に報告するようになりました。(BZ#1494389)
rpm rhnlib -qi コマンドは、現在の上流プロジェクトの Web サイトを参照するようになりました。
以前は、rhnlib パッケージの
RPM
情報が、非推奨の上流プロジェクト Web サイトを誤って参照していました。今回の更新により、rpm rhnlib -qi コマンドにより、現在のアップストリームプロジェクト Web サイトの URL が表示されます。(BZ#1503953)
rhnsd
を使用したカーネルのインストールが正常に完了しました
カーネルによってスケジュールされたカーネルのインストールが
Red Hat Network Daemon
(rhnsd) を使用して実行された場合、カーネルのインストールが完了前に停止することがありました。この問題は修正され、rhnsd
を使用したカーネルのインストールが正常に完了するようになりました。(BZ#1475039)
rhn_check は /var/cache/yum/
内のファイルのアクセス許可を変更しなくなりました
以前は、
Red Hat Network Daemon
(rhnsd) が rhn_check コマンドを実行すると、このコマンドによって /var/cache/yum/
ディレクトリー内のファイルのアクセス権が誤って変更され、脆弱性が発生していました。このバグは修正され、rhn_check は /var/cache/yum/
ディレクトリー内のファイルのアクセス許可を変更しなくなりました。(BZ#1489989)
ベンダーに非 UTF8 文字が含まれている場合、subscription-manager
は RPM
パッケージを報告します
以前は、
subscription-manager
ユーティリティーは、RPM
パッケージベンダーフィールドで UTF-8 データを想定していました。その結果、システムにインストールされている RPM
に非 UTF8 文字を使用するベンダーが含まれている場合、subscription-manager
はパッケージを報告できませんでした。今回の更新により、RPM
パッケージベンダーフィールドのエンコードの問題を無視するように subscription-manager
が更新されました。その結果、インストールされている RPM
に非 UTF8 ベンダーが含まれている場合でも、subscription-manager
はパッケージプロファイルを正しく報告します。(BZ#1519512)
subscription-manager
は Host ヘッダーを想定するプロキシーで動作するようになりました
以前は、
subscription-manager
ユーティリティーには、接続時に Host ヘッダーが含まれていなかったため、Host ヘッダーを期待するプロキシーと互換性がありませんでした。この更新により、subscription-manager
には接続時に Host ヘッダーが含まれ、これらのプロキシーと互換性があります。(BZ#1507158)
subscription-manager
は、最初の DNS 解決が失敗した場合でも、有効な IPv4 アドレスを network.ipv4_address
に割り当てます。
以前は、
subscription-manager
ユーティリティーがシステムの IPv4 アドレスの解決に失敗すると、network.ipv4_address
ファクトにループバックインターフェイスアドレス 127.0.0.1
が誤って割り当てられていました。この問題は、有効な IP アドレスを持つ有効なインターフェイスが存在する場合でも発生しました。この更新により、subscription-manager
がシステムの IPv4 アドレスの解決に失敗した場合、ループバックインターフェイスを除くすべてのインターフェイスから IPv4 アドレスを収集し、network.ipv4_address
ファクトに有効な IPv4 アドレスを割り当てます。(BZ#1476817)
virt-who
は、提供されたオプションが同じ仮想化タイプに適合することを保証します
今回の更新により、
virt-who
ユーティリティーは、ユーザーが指定したすべてのコマンドラインオプションが意図した仮想化タイプと互換性があることを確認します。さらに、virt-who
が互換性のないオプションを検出すると、対応するエラーメッセージが表示されます。(BZ#1461417)
virt-who
設定がアップグレードまたは再インストール時にリセットされなくなりました
以前は、
virt-who
をアップグレードまたは再インストールすると、/etc/virt-who.conf
ファイルの設定がデフォルト値にリセットされました。この更新により、設定ファイルの上書きを防ぐために virt-who
のパッケージが変更され、前述の問題は確実に発生しなくなります。(BZ#1485865)
virt-who
は、RHEVM によって提供されるアドレスフィールドを読み取り、正しいホスト名を検出して報告するようになりました。
以前は、
virt-who
ユーティリティーが Red Hat Virtualization (RHV) ホストについて報告し、hypervisor_id=hostname オプションが使用されている場合、virt-who
は誤ったホスト名の値を表示していました。この更新により、virt-who
は上記の状況で正しいフィールド値を読み取り、その結果、適切なホスト名が表示されるようになります。(BZ#1389729)
第37章 仮想化
ゲストが再起動中に予期せずシャットダウンすることがなくなりました
qemu-kvm-1.5.3-139.el7
で実行されている Red Hat Enterprise Linux 7.4 ゲストでは、i6300esb watchdog
が poweroff
に設定されている場合、タイムアウトが正しく計算されていないため、シャットダウン時に watchdog がトリガーされました。その結果、ゲストを再起動すると、代わりにシャットダウンされてしまいました。この更新により、qemu-kvm
のタイムアウト計算が修正されました。その結果、仮想マシンは適切に再起動します。(BZ#1470244)
シリアルコンソールを使用してアクセスしたゲストが応答しなくなることはなくなりました
以前は、クライアントが KVM ゲスト pty シリアルコンソール上でホスト側の疑似端末デバイス (pty) を開いてそこから読み取りを行わなかった場合、読み取り/書き込み呼び出しがブロックされているためにゲストが応答しなくなる場合がありました。この更新により、ホスト側の pty オープンモードがノンブロッキングに設定されました。その結果、説明したシナリオではゲストマシンが応答しなくなることはありません。(BZ#1455451)
virt-v2v
は PCI パススルーデバイスを変換しないことについて警告するようになりました
virt-v2v
ユーティリティーは現在、PCI パススルーデバイスを変換できないため、変換プロセスで無視されます。ただし、この更新より前は、PCI パススルーデバイスを使用してゲスト仮想マシンを変換しようとすると、ゲストは正常に変換されましたが、無視された PCI パススルーデバイスに関する警告は表示されませんでした。このようなゲストを変換すると、変換中に適切な警告メッセージが記録されるようになりました。(BZ#1472719)
OVA をインポートするときに、virt-v2v
が MAC アドレスを解析するようになりました。
以前は、
virt-v2v
ユーティリティーは、Open Virtual Appliance (OVA) をインポートするときにネットワークインターフェイスの MAC アドレスを解析しませんでした。その結果、変換されたゲスト仮想マシンには異なる MAC アドレスを持つネットワークインターフェイスが存在し、ネットワークセットアップが中断されました。このリリースでは、virt-v2v
は、OVA のインポート時にネットワークインターフェイスの MAC アドレス (可能な場合) を解析します。その結果、ネットワークに変換されたゲストは、OVA で指定されているものと同じ MAC アドレスを持ち、ネットワーク設定は中断されません。(BZ#1506572)
パート III. テクノロジープレビュー
ここでは、Red Hat Enterprise Linux 7.5 で利用可能なすべてのテクノロジープレビュー機能の一覧を提示します。
テクノロジープレビュー機能に対する Red Hat のサポート範囲の詳細は、https://access.redhat.com/support/offerings/techpreview/ を参照してください。
第38章 全般的な更新
systemd-importd
仮想マシンおよびコンテナーイメージのインポートおよびエクスポートのサービス
最新版の
systemd
バージョンには、以前のビルドでは有効でなかった systemd-importd
デーモンが含まれており、これにより machinectl pull-* コマンドが失敗していました。systemd-importd
デーモンはテクノロジープレビューとして提供され、安定性に欠けると見なされている点に注意してください。(BZ#1284974)
第39章 認証および相互運用性
AD および LDAP の sudo プロバイダーの使用
AD (Active Directory) プロバイダーは、AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 以降では、AD sudo プロバイダーを LDAP プロバイダーとともに使用することがテクノロジープレビューとして利用できます。AD sudo プロバイダーを有効にするには、
sssd.conf
ファイルターミナルの [domain] セクションにsudo_provider=ad
設定を追加します。(BZ#1068725)
DNSSEC が IdM でテクノロジープレビューとして利用可能になりました。
統合 DNS のある Identity Management (IdM) サーバーは、DNS プロトコルのセキュリティーを強化する DNS に対する拡張セットである DNS Security Extensions (DNSSEC) に対応するようになりました。IdM サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。
DNSSEC で DNS ゾーンの安全性を強化する場合は、以下のドキュメントを参照することが推奨されます。
- DNSSEC Operational Practices, Version 2: http://tools.ietf.org/html/rfc6781#section-2
- Secure Domain Name System (DNS) Deployment Guide: http://dx.doi.org/10.6028/NIST.SP.800-81-2
- DNSSEC Key Rollover Timing Considerations: http://tools.ietf.org/html/rfc7583
統合 DNS のある IdM サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 回答を検証することに注意してください。これは、Red Hat Enterprise Linux Networking Guide https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices で説明されている、推奨される命名方法に従って設定されていない DNS ゾーンの可用性に影響を与える可能性があります。(BZ#1115294)
Identity Management JSON-RPC API がテクノロジープレビューとして利用可能になりました。
Identity Management (IdM) では API が利用できます。API を表示するために、IdM は、テクノロジープレビューとして API ブラウザーも提供します。
Red Hat Enterprise Linux 7.3 では、複数のバージョンの API コマンドを有効にするために、IdM API が拡張されました。以前は、機能拡張により、互換性のない方法でコマンドの動作が変更することがありました。IdM API を変更しても、既存のツールおよびスクリプトを引き続き使用できるようになりました。これにより、以下が可能になります。
- 管理者は、管理しているクライアント以外のサーバーで、IdM の以前のバージョンもしくは最近のバージョンを使用できます。
- サーバーで IdM のバージョンを変更しても、開発者は特定バージョンの IdM コールを使用できます。
すべてのケースでサーバーとの通信が可能になります。たとえば、ある機能向けの新オプションが新しいバージョンに追加されていて、通信の一方の側でこれを使用していたとしても、特に問題はありません。
API の使用方法は、https://access.redhat.com/articles/2728021 (BZ#1298286) 参照してください。
Custodia シークレットサービスプロバイダーが利用可能に
テクノロジープレビューとして、シークレットサービスプロバイダーの Custodia を使用できるようになりました。Custodia は鍵やパスワードなどのシークレットのプロキシーとして保存または機能します。
詳細は、http://custodia.readthedocs.io のアップストリームのドキュメントを参照してください。(BZ#1403214)
コンテナー化された Identity Management サーバーがテクノロジープレビューとして利用可能に
rhel7/ipa-server
コンテナーイメージはテクノロジープレビュー機能として利用できます。rhel7/sssd
コンテナーイメージが完全にサポートされるようになりました。
第40章 クラスタリング
pcs ツールが Pacemaker でバンドルリソースを管理
Red Hat Enterprise Linux 7.4 以降のテクノロジープレビューとして、
pcs
ツールはバンドルリソースに対応します。これで、pcs resource bundle create コマンドおよび pcs resource bundle update コマンドを使用して、バンドルを作成および変更できるようになります。pcs resource create コマンドを使用すると、既存バンドルにリソースを追加できます。bundle
リソースに設定できるパラメーターの詳細については、pcs resource bundle --help コマンドを実行してください。(BZ#1433016)
新しい fence-agents-heuristics-ping
フェンスエージェント
Pacemaker は、テクノロジープレビューとして
fence_heuristics_ping
エージェントに対応するようになりました。このエージェントの目的は、実際にはフェンシングを行わず、フェンシングレベルの動作を新しい方法で活用する実験的なフェンスエージェントのクラスを開くことです。
ヒューリスティックエージェントが、実際のフェンシングを行うフェンスエージェントと同じフェンシングレベルで設定されいて、そのエージェントよりも順番が前に設定されているとします。その場合、フェンシグを行うエージェントで
off
操作を行う前に、ヒューリスティックエージェントで、この操作を行います。このヒューリスティックエージェントが off
アクションに対して失敗する場合、このフェンシングレベルが成功しないのは既に明らかです。そのため、Pacemaker フェンシングは、フェンシングを行うエージェントで off
操作を行うステップをスキップします。ヒューリスティックエージェントはこの動作を利用して、特定の条件下で、実際のフェンシングを行うエージェントがフェンシングできないようにできます。
サービスを適切に引き継ぐことができないことを事前に把握できる場合は、ノードがピアをフェンシングする意味がないのであれば、ユーザーは特に 2 ノードクラスターでこのエージェントを使用できます。たとえば、ネットワークアップリンクに到達してサービスがクライアントに到達できない場合は、ノードがサービスを引き継ぐ意味はありません。これは、ルーターへの ping が検出できる状況が考えられます。(BZ#1476401)
テクノロジープレビューとして corosync-qdevice
でサポートされるヒューリスティック
第41章 デスクトップ
Wayland
がテクノロジープレビューとして利用可能に
Wayland
ディスプレイサーバープロトコルが、Red Hat Enterprise Linux でテクノロジープレビューとして利用できるようになりました。この更新では、分数スケーリングをサポートする GNOME で Wayland
サポートを有効にするために必要な依存パッケージが追加されます。Wayland
は、libinput
ライブラリーを入力ドライバーとして使用します。
以下の機能は、現在利用できない、または正常に機能しない状態です。
- 複数の GPU のサポートは不可能です。
Wayland
では、NVIDIA
バイナリードライバーが有効ではありません。xrandr
ユーティリティーは、解像度、ローテーション、およびレイアウトの処理方法が異なるため、Wayland では有効ではありません。- 画面の録画、リモートデスクトップ、およびアクセシビリティーは、
Wayland
では正常に機能しない場合があります。 - クリップボードマネージャーは利用できません。
Wayland
でGNOME Shell
を再起動することはできません。Wayland
は、仮想マシンビューアーなどの X11 アプリケーションのキーボードグラブを無視します。(BZ#1481411)
分数スケールがテクノロジープレビューとして利用可能
Red Hat Enterprise Linux 7.5 以降の GNOME では、DPI が低 (scale 1) と高 (scale 2) の中間になってしまうモニターの問題に対処するため、分数スケールがテクノロジープレビューとして提供されています。
技術的な制限により、分数スケールは Wayland でのみ利用できます。(BZ#1481395)
第42章 ファイルシステム
ファイルシステム DAX が、テクノロジープレビューとして ext4 および XFS で利用可能
Red Hat Enterprise Linux 7.3 以降、Direct Access (DAX) は、テクノロジープレビューとして、永続メモリーをそのアドレス領域に直接マッピングする手段を提供します。
DAX を使用するには、システムで利用可能な永続メモリーの形式が必要になります。通常は、NVDIMM (Non-Volatile Dual In-line Memory Module) の形式で、DAX に対応するファイルシステムを NVDIMM に作成する必要があります。また、ファイルシステムは、dax マウントオプションでマウントする必要があります。これにより、dax をマウントしたファイルシステムのファイルの
mmap
が、アプリケーションのアドレス空間にストレージを直接マッピングされます。(BZ#1274459)
pNFS ブロックレイアウトが利用可能に
テクノロジープレビューとして、Red Hat Enterprise Linux クライアントがブロックレイアウト機能を設定して pNFS 共有をマウントできるようになりました。
Red Hat では、ブロックレイアウトと類似し、より使いやすい pNFS SCSI レイアウトの使用が推奨される点に注意してください。(BZ#1111712)
pNFS SCSI レイアウトがクライアントとサーバーで利用可能になりました
並列 NFS (pNFS) SCSI レイアウトのクライアントおよびサーバーのサポートは、Red Hat Enterprise Linux 7.3 以降のテクノロジープレビューとして提供されます。ブロックレイアウトの作業に基づいて、pNFS レイアウトは SCSI デバイス全体で定義され、SCSI 永続予約をサポートできる必要がある論理ユニットとして一連の固定サイズブロックが含まれています。論理ユニット (LU) デバイスは、SCSI デバイス識別子で識別され、フェンシングは予約の割り当てを介して処理されます。(BZ#1305092)
OverlayFS
OverlayFS は、ユニオンファイルシステムのタイプです。ユーザーは、あるファイルシステムに別のファイルシステムを重ねることができます。変更は上位のファイルシステムに記録され、下位のファイルシステムは変更しません。これにより、ベースイメージが読み取り専用メディアにあるコンテナーや DVD-ROM などのファイルシステムイメージを、複数のユーザーが共有できるようになります。詳細は、カーネルファイル Documentation/filesystems/overlayfs.txt を参照してください。
OverlayFS は、ほとんどの状況で引き続き Red Hat Enterprise Linux 7.5 のテクノロジープレビューになります。このため、OverlayFS を有効にすると、カーネルにより警告のログが記録されます。
Docker で次の制約を付けて使用する場合は、OverlayFS が完全対応となります。
- OverlayFS は Docker のグラフドライバーとして使用する場合にのみサポートされます。サポートはコンテナー COW コンテンツでの使用に限定され、永続ストレージとしてはサポートされません。永続ストレージは OverlayFS 以外のボリュームに配置している場合に限りサポートの対象となります。使用できるのはデフォルトの Docker 設定のみです。つまり、オーバーレイレベル 1 つ、下層側ディレクトリー 1 つ、同じファイルシステムに配置された上層レベルと下層レベルという設定です。
- 下層ファイルシステムとして使用がサポートされているのは現在 XFS のみです。
- Red Hat Enterprise Linux 7.3 以前では、物理マシンで SELinux を有効にして Enforcing モードに設定しておく必要がありますが、コンテナーを分離する場合は、コンテナーで無効にする必要があります。つまり、
/etc/sysconfig/docker
ファイルに --selinux-enabled を追加しないでください。Red Hat Enterprise Linux 7.4 以降では、OverlayFS は SELinux セキュリティーラベルに対応しているため、/etc/sysconfig/docker
で --selinux-enabled を指定すると、コンテナーで SELinux サポートを有効にできます。 - OverlayFS カーネル ABI とユーザー空間の動作については安定性に欠けると見なされているため、今後の更新で変更が加えられる可能性があります。
- コンテナー内で yum および rpm のユーティリティーを正常に機能させるには、yum-plugin-ovl パッケージを使用する必要があります。
OverlayFS は制限付きで POSIX 標準セットを提供しています。OverlayFS を使用してアプリケーションをデプロイする前に、アプリケーションを十分にテストしてください。
オーバーレイとして使用するように -n ftype=1 オプションを有効にして、XFS ファイルシステムを作成する必要がある点に注意してください。システムのインストール時に作成された rootfs およびファイルシステムを使用して、Anaconda キックスタートに --mkfsoptions=-n ftype=1 パラメーターを設定します。インストール後に新しいファイルシステムを作成する場合は、# mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE コマンドを実行します。既存のファイルシステムがオーバーレイとして使用できるかどうかを確認するには、# xfs_info /PATH/TO/DEVICE | grep ftype コマンドを実行して、ftype=1 オプションが有効になっているかどうかを確認します。
Red Hat Enterprise Linux 7.5 リリース以降、OverlayFS には既知の問題が複数存在します。詳細は、
Documentation/filesystems/overlayfs.txt
ファイルの Non-standard behavior
を参照してください。(BZ#1206277)
Btrfs
ファイルシステム
Btrfs
(B-Tree) ファイルシステムは、Red Hat Enterprise Linux 7 でテクノロジープレビューとして利用できます。
この機能の更新は、Red Hat Enterprise Linux 7.4 で最後となることが予定されています。
Btrfs
が非推奨になりました。つまり、Red Hat は、Btrfs
を完全にサポートされる機能とせず、今後の Red Hat Enterprise Linux メジャーリリースで削除する予定です。(BZ#1477977)
新しいパッケージ: ima-evm-utils
ima-evm-utils パッケージは、ファイルシステムにラベルを付け、Integrity Measurement Architecture (IMA) および Extended Verification Module (EVM) 機能を使用して実行時にシステムの整合性を検証するユーティリティーを提供します。これらのユーティリティーを使用すると、ファイルが誤ってまたは悪意をもって変更されたかどうかを監視できます。
ima-evm-utils パッケージがテクノロジープレビューとして利用できるようになりました。(BZ#1384450)
第43章 ハードウェアの有効化
LSI Syncro CS HA-DAS アダプター
Red Hat Enterprise Linux 7.1 には、LSI Syncro CS の HA-DAS (high-availability direct-attached storage) アダプターを有効にするため、megaraid_sas ドライバーにコードが含まれていました。megaraid_sas ドライバーは、これまで有効であったアダプターに対して完全にサポートされますが、Syncro CS に対してはテクノロジープレビューとして提供されます。このアダプターのサポートは、LSI、システムインテグレーター、またはシステムベンダーにより直接提供されます。Red Hat Enterprise Linux 7.2 以上に Syncro CS をデプロイする場合は、Red Hat および LSI へのフィードバックにご協力ください。LSI Syncro CS ソリューションの詳細は、http://www.lsi.com/products/shared-das/pages/default.aspx を参照してください。(BZ#1062759)
tss2 で IBM Power LE に対して TPM 2.0 が有効に
tss2 パッケージにより、IBM Power LE アーキテクチャー向けに、テクノロジープレビューとして Trusted Computing Group Software Stack (TSS) 2.0 の IBM 実装が追加されます。このパッケージにより、TPM 2.0 デバイスとの対話が可能になります。(BZ#1384452)
ibmvnic
デバイスドライバー
Red Hat Enterprise Linux 7.3 以降、
ibmvnic
デバイスドライバーは IBM POWER アーキテクチャーのテクノロジープレビューとして利用できるようになりました。vNIC (仮想ネットワークインターフェイスコントローラー) は、エンタープライズ機能を提供し、ネットワーク管理を簡素化する PowerVM 仮想ネットワーキングテクノロジーです。SR-IOV NIC と組み合わせると、仮想 NIC レベルで帯域幅制御サービス品質 (QoS) 機能が提供される、高性能で効率的な技術です。vNIC は、仮想化のオーバーヘッドを大幅に削減するため、ネットワーク仮想化に必要な CPU やメモリーなど、待機時間が短縮され、サーバーリソースが少なくなります。(BZ#1391561, BZ#947163)
第44章 カーネル
HMM (heterogeneous memory management) 機能がテクノロジープレビューとして利用可能に
Red Hat Enterprise Linux 7.3 では、テクノロジープレビューとして heterogeneous memory management (HMM) 機能が導入されました。この機能は、プロセスアドレス空間を独自のメモリー管理ユニット (MMU) にミラーする必要のあるデバイスのヘルパーレイヤーとして、カーネルに追加されています。これにより、CPU 以外のデバイスプロセッサーは、統一システムアドレス空間を使用してシステムメモリーを読み取ることができます。この機能を有効にするには、
experimental_hmm=enable
をカーネルコマンドラインに追加します。(BZ#1230959)
criu がバージョン 3.5 にリベース
Red Hat Enterprise Linux 7.2 では、テクノロジープレビューとして
criu
ツールが導入されました。このツールは、実行中のアプリケーションをフリーズさせ、ファイルの集合としてこれを保存する Checkpoint/Restore in User-space (CRIU)
を実装します。アプリケーションは、後にフリーズ状態から復元できます。
criu
ツールは Protocol Buffers
に依存することに注意してください。これは、構造化データをシリアル化するための、言語とプラットフォームに中立的な拡張性のあるメカニズムです。依存パッケージを提供する protobuf パッケージと protobuf-c パッケージも、Red Hat Enterprise Linux 7.2 にテクノロジープレビューとして導入されています。
Red Hat Enterprise Linux 7.5 では、criu パッケージがアップストリームバージョン 3.5 にアップグレードされ、多くのバグ修正と機能拡張が提供されています。さらに、IBM Z および 64 ビット ARM アーキテクチャーのサポートが追加されました。(BZ#1400230, BZ#1464596)
kexec
がテクノロジープレビューとして利用可能に
kexec
システムコールはテクノロジープレビューとして提供されています。このシステムコールを使用すると現在実行中のカーネルから別のカーネルを読み込んだり、起動したりすることが可能で、カーネル内のブートローダーとして機能します。通常はシステム起動中に実行されるハードウェアの初期化が kexec
の起動中に行われないため、再起動にかかる時間が大幅に短縮されます。(BZ#1460849)
テクノロジープレビューとしての kexec fast reboot
テクノロジープレビューとして、今回の更新で
kexec fast reboot
機能が追加され、再起動の速度が大幅に速くなりました。この機能を使用するには、kexec カーネルを手動で読み込んでから、オペレーティングシステムを再起動する必要があります。kexec fast reboot
をデフォルトの再起動アクションにすることはできません。
特例は、
Anaconda
に kexec fast reboot
を使用する場合です。この場合でも、kexec fast reboot
をデフォルトにすることはできません。ただし、Anaconda
と併用すると、anaconda オプションを使用してカーネルを起動してインストールが完了したあと、オペレーティングシステムが自動的に kexec fast reboot
を使用します。kexec の再起動スケジュールを設定するには、カーネルコマンドラインの inst.kexec コマンドを使用するか、キックスタートファイルに reboot --kexec 行を追加します。(BZ#1464377)
名前空間への非特権アクセスは、テクノロジープレビューとして有効化できる
必要に応じて、
namespace.unpriv_enable
カーネルコマンドラインオプションをテクノロジープレビューとして設定できるようになりました。
デフォルト設定は off です。
1
に設定すると、非特権ユーザーとしてフラグ CLONE_NEWNS
を持つ clone() 関数の呼び出しを発行したときにエラーが返されなくなり、操作が可能になります。
ただし、名前空間への非特権アクセスを有効にするには、一部のユーザー名前空間で
CAP_SYS_ADMIN
フラグを設定して、マウント名前空間を作成する必要があります。(BZ#1350553)
qla2xxx
ドライバーでのテクノロジープレビューとしての SCSI-MQ
Red Hat Enterprise Linux 7.4 で更新された
qla2xxx&
ドライバーは、ql2xmqsupport=1
モジュールパラメーターで SCSI-MQ (multiqueue) を使用できるようになりました。デフォルトの値は 0
(無効) です。SCSI-MQ の機能は、qla2xxx
ドライバーで使用する際のテクノロジープレビューとして提供されます。
SCSI-MQ を使用してファイバーチャネルアダプター上での非同期 IO のパフォーマンステストを実施したところ、特定の条件下ではパフォーマンスが大幅に低下した点に注意してください。修正はテスト中で、Red Hat Enterprise Linux 7.4 の一般提供に間に合うように準備できませんでした。(BZ#1414957)
NVMe over Fibre Channel がテクノロジープレビューとして利用可能になりました
NVMe over Fibre Channel トランスポートタイプがテクノロジープレビューとして利用できるようになりました。Red Hat Enterprise Linux に同梱されていた RDMA (Remote Direct Memory Access) プロトコルに加えて、NVMe over Fibre Channel が、NVMe (Nonvolatile Memory Express) プロトコルのファブリックトランスポートタイプとして追加されました。
lpfc
ドライバーで NVMe over Fibre Channel を有効にするには、/etc/modprobe.d/lpfc.conf
ファイルを編集し、次のオプションの 1 つまたは両方を追加します。
- NVMe 動作モードを有効にするには、lpfc_enable_fc4_type=3 オプションを追加します。
- ターゲットモードを有効にするには、lpfc_enable_nvmet=<wwpn list> オプションを追加します。
<wwpn list>
は、0x
接頭辞が付いたワールドワイドポート名 (WWPN) 値のコンマ区切りのリストです。
NVMe ターゲットを設定するには、
nvmetcli
ユーティリティーを使用します。
NVMe over Fibre Channel は、既存の Fibre Channel インフラストラクチャー上で、より高性能で低遅延の I/O プロトコルを提供します。このことは、ソリッドステートストレージアレイで特に重要になります。NVMe ストレージのパフォーマンス上の利点を、別のプロトコル (SCSI) にカプセル化するのではなく、ファブリックトランスポートを通じて渡すことができるためです。
Red Hat Enterprise Linux 7.5 では、NVMe over Fibre Channel は、
lpfc
ドライバーを使用する Broadcom 32Gbit アダプターでのみ使用できます。(BZ#1387768, BZ#1454386)
perf cqm
が resctrl
に置き換え
Intel Cache Allocation Technology (CAT) が Red Hat Enterprise Linux 7.4 でテクノロジープレビューとして導入されました。ただし、perf インストラクチャーと CQM (Cache Quality of Service Monitoring) ハードウェアサポートの不整合により、
perf cqm
ツールが正常に機能しませんでした。したがって、perf cqm
の使用時にさまざまな問題が生じていました。
主な問題は以下のとおりです。
perf cqm
が、resctrl
を使用して割り当てたタスクのグループに対応しない- リサイクルに関するさまざまな問題により、
perf cqm
が不規則で不正確なデータを提供する - 異なるタイプのイベント (例: タスク、全システム、cgroup イベント) を同時に実行する場合に、
perf cqm
のサポートが不十分である - cgroup イベントに対して
perf cqm
は部分的なサポートしか提供しない - cgroup イベントが階層構造を持つ場合、または cgroup 内のタスクと cgroup を同時に監視する場合、cgroup イベントに対する部分的なサポートが機能しない
- ライフタイムの監視タスクにより
perf
オーバーヘッドが発生する perf cqm
がソケット全体のキャッシュ占有の集計値またはメモリー帯域幅を報告するが、多くのクラウドおよび VMM ベースのユースケースでは、ソケットごとの使用状況が求められる
第45章 Real-Time Kernel
テクノロジープレビューとしての SCHED_DEADLINE
スケジューラークラス
Red Hat Enterprise Linux 7.4 で導入されたリアルタイムカーネルの
SCHED_DEADLINE
スケジューラークラスは、引き続きテクノロジープレビューとして利用できます。スケジューラーにより、アプリケーションの期限に基づいた予測可能なタスクのスケジューリングが可能になりました。SCHED_DEADLINE
は、アプリケーションタイマーの操作を減らすことにより、定期的なワークロードにメリットをもたらします。(BZ#1297061)
第46章 ネットワーク
Cisco usNIC ドライバー
UCM (Cisco Unified Communication Manager) サーバーには Cisco 専用の usNIC (User Space Network Interface Controller) を提供するオプション機能があります。これを使用すると、ユーザー空間のアプリケーションに対して RDMA (Remote Direct Memory Access) のような動作を実行できるようになります。テクノロジープレビューとして利用可能な libusnic_verbs ドライバーにより、Verbs API に基づいた標準の InfiniBand RDMA プログラミングを介して usNIC デバイスを使用できます。(BZ#916384)
Cisco VIC カーネルドライバー
Cisco VIC Infiniband のカーネルドライバーをテクノロジープレビューとして利用できます。これにより、専用の Cisco アーキテクチャーで、RDMA (Remote Directory Memory Access) のようなセマンティックが使用可能になります。(BZ#916382)
TNC (Trusted Network Connect)
Trusted Network Connect (TNC) は、テクノロジープレビューとして利用可能で、TLS、802.1X、IPsec など既存のネットワークアクセス制御 (NAC) ソリューションと併用し、エンドポイントのポスチャー評価を一体化します。つまりエンドポイントのシステムの情報を収集します (オペレーティングシステムを設定している設定、インストールしているパッケージ、そのほか整合性測定と呼ばれているもの)。TNC を使用して、このような測定値をネットワークアクセスポリシーと照合してから、エンドポイントがネットワークにアクセスできるようにします。(BZ#755087)
qlcnic ドライバーの SR-IOV 機能
SR-IOV (Single-Root I/O virtualization) のサポートがテクノロジープレビューとして qlcnic ドライバーに追加されています。この機能のサポートは QLogic から直接提供されます。QLogic および Red Hat へのご意見ご感想をお寄せください。qlcnic ドライバーのその他の機能は引き続きフルサポートになります。(BZ#1259547)
libnftnl パッケージおよび nftables パッケージ
Red Hat Enterprise Linux 7.3 以降、nftables および libnftl パッケージはテクノロジープレビューとして利用可能です。
nftables パッケージでは、パケットフィルターリングツールが提供され、従来のパケットフィルターリングツールに比べ、利便性、機能、および性能が数多く改善されました。これは、
iptables
ユーティリティー、ip6tables
ユーティリティー、arptables
ユーティリティー、および ebtables
ユーティリティーの後継として指定されます。
libnftnl パッケージは、
libmnl
ライブラリーを介した、nftable Netlink の API との低レベルの対話のためにライブラリーを提供します。(BZ#1332585)
オフロードサポートが付いた flower
分類子
flower
はトラフィック制御 (TC) 分類子で、各種プロトコルのパケットフィールドで広く知られているマッチング設定を可能にします。これは、複雑なフィルターリングおよび分類タスクの u32
分類子に対するルールの設定を容易にすることを目的としています。また、flower
は、ハードウェアが対応している場合、基盤のハードウェアに分類およびアクションルールをオフロードする機能もサポートします。flower
TC 分類子はテクノロジープレビューとして提供されるようになりました。(BZ#1393375)
第47章 Red Hat Enterprise Linux System Roles Powered by Ansible
Red Hat Enterprise Linux システムロール
Red Hat Enterprise Linux システムロール (テクノロジープレビューとして利用可能) は、Red Hat Enterprise Linux サブシステムの設定インターフェイスを提供します。これにより、
Ansible Roles
を介したシステム設定が簡単になります。このインターフェイスにより、Red Hat Enterprise Linux の複数のバージョンにわたるシステム設定の管理と、新しいメジャーリリースの導入が可能になります。
Red Hat Enterprise Linux 7.4 以降、Red Hat Enterprise Linux システムロールパッケージは Extras チャンネルを介して配布されています。Red Hat Enterprise Linux システムロールの詳細は、https://access.redhat.com/articles/3050101 を参照してください。(BZ#1313263)
第48章 セキュリティー
USBGuard
は、画面のロック時に USB デバイスのブロックを有効にする機能をテクノロジープレビューとして提供。
USBGuard
フレームワークにより、InsertedDevicePolicy ランタイムパラメーターの値を設定して、すでに実行されている usbguard-daemon
インスタンスが、新たに挿入された USB デバイスをどのように処理するかを制御できます。この機能はテクノロジープレビューとして提供されており、デフォルトでは、デバイスを認証するかどうかを判断するポリシールールが適用されます。
ナレッジベース記事
Blocking USB devices while the screen is locked
を参照してください: https://access.redhat.com/articles/3230621 (BZ#1480100)
pk12util
で、RSA-PSS
で署名した証明書のインポートが可能に
pk12util
ツールは、テクノロジープレビューとして、RSA-PSS
アルゴリズムを使用して署名する証明書をインポートするようになりました。
対応する秘密鍵をインポートして、
RSA-PSS
への署名アルゴリズムを制限する PrivateKeyInfo.privateKeyAlgorithm
フィールドがある場合は、ブラウザーに鍵をインポートするときに無視されることに注意してください。詳細は、https://bugzilla.mozilla.org/show_bug.cgi?id=1413596 を参照してください。(BZ#1431210)
certutil
で、RSA-PSS
で署名した証明書のサポートが改善
certutil
ツールの RSA-PSS
アルゴリズムで署名された証明書のサポートが改善されました。主な機能強化および修正は以下のとおりです。
- --pss オプションのドキュメントが作成されている。
- 証明書で
RSA-PSS
の使用が制限されている場合は、自己署名でPKCS#1 v1.5
アルゴリズムが使用されなくなった。 subjectPublicKeyInfo
フィールドの空のRSA-PSS
パラメーターは、証明書の一覧を表示する際に無効と表示されなくなった。- RSA-PSS アルゴリズムで署名された通常の RSA 証明書を作成する
--pss-sign
オプションが追加された。
NSS
が、証明書の RSA-PSS
署名を確認可能
新しいバージョンの nss パッケージでは、
Network Security Services
(NSS) ライブラリーが、証明書の RSA-PSS
署名の確認がテクノロジープレビューとして提供されるようになりました。この更新では、SSL
バックエンドとして NSS
を使用するクライアントが、RSA-PSS
アルゴリズムで署名した証明書のみを提供するサーバーへの TLS
接続が確立できません。
この機能には、以下の制限があります。
/etc/pki/nss-legacy/rhel7.config
ファイルのアルゴリズムポリシー設定は、RSA-PSS
署名で使用されるハッシュアルゴリズムに適用されます。- 証明書チェーン間で
RSA-PSS
パラメーター制約が無視され、証明書は 1 つだけ考慮されます。(BZ#1432142)
libreswan で SECCOMP の有効化が可能
テクノロジープレビューとして、SECCOMP (Secure Computing) モードの使用を可能にする seccomp=enabled|tolerant|disabled オプションが
ipsec.conf
設定ファイルに追加されました。これにより、Libreswan
を実行できるシステムコールをすべてホワイトリストに登録することで、syscall セキュリティーが改善されました。詳細は man ページの ipsec.conf(5)
を参照してください。(BZ#1375750)
第49章 ストレージ
SCSI 向けのマルチキュー I/O スケジューリング
Red Hat Enterprise Linux 7 には、blk-mq と呼ばれるブロックデバイス用の新しいマルチキュー I/O スケジューリングメカニズムが同梱されています。scsi-mq パッケージにより、Small Computer System Interface (SCSI) サブシステムが、この新しいキューイングメカニズムを利用できるようになります。この機能はテクノロジープレビューのため、デフォルトでは有効になっていません。有効にする場合は scsi_mod.use_blk_mq=Y をカーネルコマンドラインに追加します。
blk-mq は、パフォーマンスを改善するために導入されていますが (特に低レイテンシーデバイス向け)、常にパフォーマンスが改善することは保証されていません。具体的には、特に CPU が多いシステムで scsi-mq を有効にすると、パフォーマンスが大幅に低下する場合があります。(BZ#1109348)
libStorageMgmt API の Targetd プラグイン
Red Hat Enterprise Linux 7.1 から、ストレージアレイから独立した API である libStorageMgmt を使用したストレージアレイの管理が完全サポートされています。提供される API は安定性と整合性を備え、開発者は異なるストレージアレイをプログラム的に管理し、ハードウェアアクセラレーション機能を使用できます。また、システム管理者は libStorageMgmt を使用して手動でストレージを設定したり、コマンドラインインターフェイスを使用してストレージ管理タスクを自動化したりできます。
Targetd プラグインは完全サポートされず、引き続きテクノロジープレビューとして提供されます。(BZ#1119909)
DIF/DIX (Data Integrity Field/Data Integrity Extension) への対応
DIF/DIX は、SCSI 標準に新しく追加されたものです。これは、Red Hat Enterprise Linux 7 では、機能の章で指定されている HBA およびストレージアレイに対して完全に対応していますが、その他の HBA およびストレージアレイはテクノロジープレビューのままとなっています。
DIF/DIX により DIF (Data Integrity Field) が追加され、一般的に使用される 512 バイトのディスクブロックのサイズが 520 バイトに増えます。DIF は、書き込みの発生時に HBA (Host Bus Adapter) により算出されるデータブロックのチェックサム値を保存します。その後、受信時にストレージデバイスがチェックサムを確認し、データとチェックサムの両方を保存します。読み取りが発生すると、チェックサムが、ストレージデバイス、および受信する HBA により検証されます。(BZ#1072107)
第50章 仮想化
KVM ゲスト用の USB 3.0 サポート
Red Hat Enterprise Linux 7 では、KVM ゲスト向けの USB 3.0 ホストアダプター (xHCI) エミュレーションが引き続きテクノロジープレビューとなります。(BZ#1103193)
一部の Intel ネットワークアダプターが Hyper-V のゲストとして SR-IOV をサポート
Hyper-V で実行している Red Hat Enterprise Linux ゲスト仮想マシン用の今回の更新では、新しい PCI パススルードライバーにより、ixgbevf ドライバーでサポートされている Intel ネットワークアダプターの Single Root I/O Virtualization (SR-IOV) 機能を使用できるようになります。この機能は、以下の条件が満たされた場合に有効になります。
- ネットワークインターフェイスコントローラー (NIC) に対して SR-IOV サポートが有効になっている
- 仮想 NIC の SR-IOV サポートが有効になっている
- 仮想スイッチの SR-IOV サポートが有効になっている
NIC の VF (Virtual Function) は、仮想マシンに接続されている
この機能は現在、Microsoft Windows Server 2016 でサポートされています。(BZ#1348508)
VFIO ドライバーの No-IOMMU モード
今回の更新により、VFIO (Virtual Function I/O) ドライバーの No-IOMMU モードがテクノロジープレビューとして追加されました。No-IOMMU モードは、I/O メモリー管理ユニット (IOMMU) を使用せずに直接メモリーアクセス (DMA) 対応デバイスへの完全なユーザー空間 I/O (UIO) アクセスを提供します。しかし、このモードはサポートされないだけでなく、IOMMU で提供される I/O 管理機能がないため、安全に使用することができません。(BZ#1299662)
virt-v2v
での vmx 設定ファイルを使用した VMware ゲストの変換が可能に
virt-v2v
ユーティリティーには、vmx
入力モードが含まれるようになりました。これにより、ゲスト仮想マシンを VMware vmx 設定ファイルから変換できるようになりました。これを行うには、たとえば NFS を使用してストレージをマウントすることにより、対応する VMware ストレージにもアクセスする必要があることに注意してください。-it ssh パラメーターを追加すると、SSH を使用してストレージにアクセスすることもできます。(BZ#1441197, BZ#1523767)
virt-v2v
が Debian ゲストおよび Ubuntu ゲストを変換
テクノロジープレビューとして、
virt-v2v
ユーティリティーがゲスト仮想マシン Debian および Ubuntu を変換できるようになりました。現時点では、この変換を行うときに以下の問題が発生することに注意してください。
virt-v2v
は、GRUB2 設定内のデフォルトカーネルを変更できず、ゲストで設定されたカーネルは、ゲストでより最適なバージョンのカーネルが利用可能であっても、変換中に変更されません。- Debian または Ubuntu の VMware ゲストを KVM に変換すると、ゲストのネットワークインターフェイス名が変更し、手動での設定が必要になる場合があります。(BZ#1387213)
Virtio デバイスでの vIOMMU の使用が可能に
テクノロジープレビューとして、この更新により、virtio デバイスは仮想入出力メモリー管理ユニット (vIOMMU) を使用できるようになります。これにより、デバイスが許可されたアドレスにのみ Direct Memory Access (DMA) を実行できるようになるため、DMA のセキュリティーが保証されます。ただし、この機能を使用できるのは、Red Hat Enterprise Linux 7.4 以降を使用するゲスト仮想マシンのみであることに注意してください。(BZ#1283251, BZ#1464891)
virt-v2v
は VMWare ゲストをより高速かつ確実に変換します
テクノロジープレビューとして、
virt-v2v
ユーティリティーは VMWare 仮想ディスク開発キット (VDDK) を使用して VMWare ゲスト仮想マシンを KVM ゲストにインポートできるようになりました。これにより、virt-v2v
が VMWare ESXi ハイパーバイザーに直接接続できるようになり、変換の速度と信頼性が向上します。
この変換インポート方法には、外部の
nbdkit
ユーティリティーとその VDDK プラグインが必要であることに注意してください。(BZ#1477912)
OVMF (Open Virtual Machine Firmware)
Red Hat Enterprise Linux 7 では、OVMF (Open Virtual Machine Firmware) がテクノロジープレビューとして利用できます。OVMF は、AMD64 および Intel 64 ゲストに対する、UEFI のセキュアブート環境です。ただし、OVMF は、RHEL 7 で利用可能な仮想化コンポーネントでは起動できません。OVMF は、RHEL 8 で完全に対応することに注意してください。(BZ#653382)
パート IV. デバイスドライバー
ここでは、Red Hat Enterprise Linux 7.5 で新規または更新されたすべてのデバイスドライバーの包括的な一覧を提供します。
第51章 新しいドライバー
ストレージドライバー
- USB Type-C Connector Class (typec.ko.xz):
- USB Type-C Connector System Software Interface driver (typec_ucsi.ko.xz):
- TCM QLA2XXX シリーズ NPIV 対応ファブリックドライバー (tcm_qla2xxx.ko.xz):
- Chelsio FCoE driver (csiostor.ko.xz): 1.0.0-ko
ネットワークドライバー
- mac80211 用の 802.11 無線のソフトウェアシミュレーター (mac80211_hwsim.ko.xz):
- Vsock 監視デバイス。nlmon デバイスに基づいています。(vsockmon.ko.xz):
- Cavium LiquidIO Intelligent Server Adapter Virtual Function Driver (liquidio_vf.ko.xz): 1.6.1
- Cavium LiquidIO Intelligent Server Adapter Driver (liquidio.ko.xz): 1.6.1
- Mellanox firmware flash lib (mlxfw.ko.xz):
- Intel OPA Virtual Network driver (opa_vnic.ko.xz):
- Broadcom NetXtreme-C/E RoCE Driver Driver (bnxt_re.ko.xz):
- VMware Paravirtual RDMA driver (vmw_pvrdma.ko.xz):
グラフィックスドライバーおよびその他のドライバー
- Pondicherry メモリーコントローラーを使用した Intel SoC 用 MC ドライバー (pnd2_edac.ko.xz):
- ALPS HID driver (hid-alps.ko.xz):
- Intel Corporation DAX デバイス (device_dax.ko.xz):
- Synopsys DesignWare DMA Controller platform driver (dw_dmac.ko.xz):
- Synopsys DesignWare DMA Controller core driver (dw_dmac_core.ko.xz);
- Intel Sunrisepoint PCH pinctrl/GPIO ドライバー (pinctrl-sunrisepoint.ko.xz):
- インテルルイスバーグ pinctrl/GPIO ドライバー (pinctrl-lewisburg.ko.xz):
- インテル Cannon Lake PCH pinctrl/GPIO ドライバー (pinctrl-cannonlake.ko.xz):
- インテルデンバートン SoC pinctrl/GPIO ドライバー (pinctrl-denverton.ko.xz):
- Intel Gemini Lake SoC pinctrl/GPIO ドライバー (pinctrl-geminilake.ko.xz):
- インテル pinctrl/GPIO コアドライバー (pinctrl-intel.ko.xz):
第52章 更新されたドライバー
ストレージドライバーの更新
- QLogic ファイバーチャネル HBA ドライバー (qla2xxx.ko.xz) がバージョン 9.00.00.00.07.5-k1 に更新されました。
- Cisco FCoE HBA ドライバードライバー (fnic.ko.xz) がバージョン 1.6.0.34 に更新されました。
- Emulex OneConnectOpen-iSCSI ドライバー (be2iscsi.ko.xz) がバージョン 11.4.0.1 に更新されました。
- QLogic FCoE ドライバー (bnx2fc.ko.xz) がバージョン 2.11.8 に更新されました。
- Microsemi スマートファミリーコントローラードライバー (smartpqi.ko.xz) がバージョン 1.1.2-126 に更新されました。
- Emulex LightPulse Fibre Channel SCSI ドライバー (lpfc.ko.xz) がバージョン 0:11.4.0.4. に更新されました。
- LSI MPT Fusion SAS 3.0 デバイスドライバー (mpt3sas.ko.xz) がバージョン 16.100.00.00 に更新されました。
- QLogic QEDF 25/40/50/100Gb FCoE ドライバー (qedf.ko.xz) がバージョン 8.20.5.0 に更新されました。
- Avago MegaRAID SAS ドライバー (megaraid_sas.ko.xz) がバージョン 07.702.06.00-rh2 に更新されました。
- HP Smart Array Controller のドライバー (hpsa.ko.xz) がバージョン 3.4.20-0-RH2 に更新されました。
ネットワークドライバーの更新
- realtek RTL8152/RTL8153 Based USB Ethernet Adapters のドライバー (r8152.ko.xz) がバージョン v1.08.9 に更新されました。
- Intel(R) 10 Gigabit PCI Express Network ドライバー (ixgbe.ko.xz) がバージョン 5.1.0-k-rh7.5 に更新されました。
- Intel(R) Ethernet Switch Host Interface ドライバー (fm10k.ko.xz) がバージョン 0.21.7-k に更新されました。
- Intel(R) Ethernet Connection XL710 Network ドライバー (i40e.ko.xz) がバージョン 2.1.14-k に更新されました。
- Intel(R) 10 Gigabit Virtual Function Network ドライバー (ixgbevf.ko.xz) がバージョン 4.1.0-k-rh7.5 に更新されました。
- Intel (R) XL710 X710 Virtual Function Network ドライバー (i40evf.ko.xz) がバージョン 3.0.1-k に更新されました。
- Elastic Network Adaptor (ENA) ドライバー (ena.ko.xz) がバージョン 1.2.0k に更新されました。
- Cisco VIC イーサネット NIC ドライバー (enic.ko.xz) がバージョン 2.3.0.42 に更新されました。
- Broadcom BCM573xx ネットワークドライバー (bnxt_en.ko.xz) がバージョン 1.8.0 に更新されました。
- QLogic FastLinQ 4xxxx コアモジュールドライバー (qed.ko.xz) がバージョン 8.10.11.21 に更新されました。
- QLogic 1/10 GbE コンバージド/インテリジェントイーサネットドライバー (qlcnic.ko.xz) がバージョン 5.3.66 に更新されました。
- Mellanox ConnectX HCA イーサネットドライバー (mlx4_en.ko.xz) がバージョン 4.0-0 に更新されました。
- Mellanox ConnectX HCA 低レベルドライバー (mlx4_core.ko.xz) がバージョン 4.0-0 に更新されました。
- Mellanox Connect-IB、ConnectX-4 コアドライバー (mlx5_core.ko.xz) がバージョン 5.0-0 に更新されました。
グラフィックドライバーおよびその他のドライバーの更新
- スタンドアロン VMware SVGA デバイス DRM ドライバー (vmwgfx.ko.xz) がバージョン 2.14.0.0 に更新されました。
パート V. 非推奨の機能
ここでは、Red Hat Enterprise Linux 7.5 までのすべてのマイナーリリースで非推奨になった機能の概要を説明します。
非推奨の機能は、Red Hat Enterprise Linux 7 のライフサイクルが終了するまでサポートされます。非推奨の機能は、本製品の今後のメジャーリリースではサポートされない可能性が高く、新たに実装することは推奨されません。特定のメジャーリリースにおける非推奨機能の最新情報は、そのメジャーリリースの最新バージョンのリリースノートを参照してください。
現行および今後のメジャーリリースでは、非推奨の ハードウェア コンポーネントの新規実装は推奨されません。ハードウェアドライバーの更新は、セキュリティーと重大な修正にのみ行われます。Red Hat は、このようなハードウェアの早期交換をお勧めします。
パッケージ が非推奨となり、使用の継続が推奨されない場合があります。製品からパッケージが削除されることもあります。その場合には、製品のドキュメントで、非推奨となったパッケージと同様、同一、またはより高度な機能を提供する最近のパッケージが指定され、詳しい推奨事項が記載されます。
第53章 Red Hat Enterprise Linux 7 での非推奨の機能
Python 2 が非推奨に
Python 2 は、次の Red Hat Enterprise Linux (RHEL) メジャーリリースで Python 3 に置き換えられます。
大規模なコードベースを Python 3 に移行する方法は
Conservative Python 3 Porting Guide
を参照してください。
Python 3
は RHEL のお客様が利用でき、Red Hat Software Collections の一部として RHEL でサポートされていることに注意してください。
LVM ライブラリーおよび LVM Python バインディングが非推奨に
lvm2-python-libs
パッケージで提供されている lvm2app ライブラリーおよび LVM Python バインディングが非推奨となりました。
Red Hat は、代わりに以下のソリューションを推奨します。
- LVM D-Bus API と
lvm2-dbusd
サービスの組み合わせ。このソリューションでは Python バージョン 3 を使用する必要があります。 - JSON 形式の LVM コマンドラインユーティリティー。この形式は、lvm2 パッケージのバージョン 2.02.158 以降で利用できます。
LVM でのミラー化されたミラーログが非推奨に
ミラー化された LVM ボリュームでのミラー化されたミラーログ機能が非推奨となりました。Red Hat Enterprise Linux の今後のメジャーリリースでは、ミラー化されたミラーログを持つ LVM ボリュームの作成またはアクティブ化はサポートされない予定です。
推奨される代替ソリューションは以下のとおりです。
- RAID1 LVM ボリューム。RAID1 ボリュームの優れた点は、劣化モードにおいても機能し、一時的な障害の後に回復できることです。ミラー化されたボリュームを RAID1 に変換する方法は論理ボリュームマネージャーの管理の ミラー化 LVM デバイスの RAID1 デバイスへの変換 セクションを参照してください。
- ディスクのミラーログ。ミラー化されたミラーログをディスクのミラーログに変換するには、lvconvert --mirrorlog disk my_vg/my_lv コマンドを実行します。
Identity Management およびセキュリティーに関連する非推奨パッケージ
以下のパッケージは非推奨となり、Red Hat Enterprise Linux の今後のメジャーリリースには含まれません。
非推奨パッケージ | 代替として提案されるパッケージまたは製品 |
---|---|
authconfig | authselect |
pam_pkcs11 | sssd [a] |
pam_krb5 | sssd [b] |
openldap-servers | ユースケースに応じて、Red Hat Enterprise Linux に同梱されている Identity Management または Red Hat Directory Server に移行します。[c] |
mod_auth_kerb | mod_auth_gssapi |
python-kerberos
python-krbV
| python-gssapi |
python-requests-kerberos | python-requests-gssapi |
hesiod | 代替パッケージ/製品はありません。 |
mod_nss | mod_ssl |
mod_revocator | 代替パッケージ/製品はありません。 |
[a]
SSSD (System Security Services Daemon) には、拡張スマートカード機能が含まれています。
[c]
Red Hat Directory Server には、有効な Directory Server サブスクリプションが必要です。詳細は、Red Hat ナレッジベース What is the support status of the LDAP-server shipped with Red Hat Enterprise Linux? を参照してください。
|
注記
Red Hat Enterprise Linux 7.5 では、次のパッケージが上の表に追加されました。
- mod_auth_kerb
- python-kerberos、python-krbV
- python-requests-kerberos
- hesiod
- mod_nss
- mod_revocator
初期の IdM サーバー、およびドメインレベル 0 の IdM レプリカに対するサポートが制限
Red Hat では、Red Hat Enterprise Linux (RHEL) 7.3 以前で動作している Identity Management (IdM) サーバーと、RHEL の次期メジャーリリースの IdM クライアントの組み合わせをサポートする計画はありません。RHEL の次期メジャーバージョンで動作するクライアントシステムを、現在 RHEL 7.3 以前で動作している IdM サーバーにより管理されているデプロイメントに導入することを計画している場合には、サーバーをアップグレードして RHEL 7.4 以降に移行する必要がある点に注意してください。
RHEL の次期メジャーリリースでは、ドメインレベル 1 のレプリカしかサポートされません。RHEL の次期メジャーバージョン上で動作する IdM レプリカを既存のデプロイメントに導入する前に、すべての IdM サーバーを RHEL 7.4 以降にアップグレードして、ドメインレベルを 1 に変更する必要がある点に注意してください。
使用しているデプロイメントが影響を受ける場合には、事前にアップグレードを計画することを検討してください。
バグ修正は、Red Hat Enterprise Linux の次期メジャーリリースの nss-pam-ldapd パッケージおよび NIS パッケージにのみ提供
Red Hat Enterprise Linux の今後のメジャーリリースでは、nss-pam-ldapd パッケージと、NIS server に関連するパッケージがリリースされる予定ですが、サポートの範囲は限定されます。Red Hat は、バグレポートを受け付けますが、新たな機能強化は対象外となります。以下の代替ソリューションに移行することが推奨されます:
影響を受けるパッケージ | 代替として提案されるパッケージまたは製品 |
---|---|
nss-pam-ldapd | sssd |
ypserv
ypbind
portmap
yp-tools
| Red Hat Enterprise Linux の Identity Management |
golang の代わりに Go Toolset を使用
golang パッケージは、Red Hat Enterprise Linux 7.5 でバージョン 1.9 に更新されました。
Optional チャネルで利用可能な golang パッケージは、Red Hat Enterprise Linux 7 の将来のマイナーリリースから削除される予定です。開発者は、代わりに
Go ツールセット
を使用することを推奨します。これは現在、Red Hat 開発者プログラム を通じてテクノロジープレビューとして利用可能です。
mesa-private-llvm が llvm-private に置き換え
Mesa の LLVM ベースのランタイムサポートが含まれる mesa-private-llvm パッケージは、Red Hat Enterprise Linux 7 の将来のマイナーリリースで llvm-private パッケージに置き換えられます。
libdbi および libdbi-drivers が非推奨に
libdbi パッケージおよび libdbi-drivers パッケージは、Red Hat Enterprise Linux (RHEL) の次期メジャーリリースには同梱されません。
Extras チャンネルの Ansible
が非推奨になりました。
Ansible
およびその依存関係は、Extras チャンネルから更新されなくなりました。代わりに、Red Hat Enterprise Linux サブスクリプションで Red Hat Ansible Engine 製品を利用することができ、公式な Ansible Engine チャンネルにアクセスできます。エラータが Extras チャンネルから提供されなくなるため、これまで、Extras チャンネルから Ansible
およびその依存関係をインストールしていた場合は、今後、Ansible Engine チャンネルを有効にしてこのチャンネルから更新を行うか、パッケージをアンインストールしてください。
これまで、
Ansible
は、(AMD64 および Intel 64 アーキテクチャーならびに IBM POWER リトルエンディアン用として) Extras チャンネルで Red Hat Enterprise Linux (RHEL) システムロールのランタイム依存関係として提供され、サポートもこの範囲に限られていました。これからは、AMD64 および Intel 64 のアーキテクチャーで Ansible Engine を利用できます。IBM POWER については、近々リトルエンディアンへの対応が開始する予定です。
Extras チャンネルの
Ansible
は、Red Hat Enterprise Linux FIPS 検証プロセスに含まれていなかった点に注意してください。
以下のパッケージが Extras チャンネルで非推奨となりました。
- ansible(-doc)
- libtomcrypt
- libtommath(-devel)
- python2-crypto
- python2-jmespath
- python-httplib2
- python-paramiko(-doc)
- python-passlib
- sshpass
詳細は、Red Hat ナレッジベースアーティクル https://access.redhat.com/articles/3359651 を参照してください。
テクノロジープレビューとして利用可能な Red Hat Enterprise Linux システムロールは、Extras チャンネルから引き続き配信されます。Red Hat Enterprise Linux システムロールは ansible パッケージでは提供されなくなりますが、Red Hat Enterprise Linux システムロールを使用する playbook を実行するには、引き続き Ansible Engine リポジトリーから ansible をインストールする必要があります。
signtool は 非推奨になりました
安全でない署名アルゴリズムを使用する NSS パッケージの Signtool ツールは非推奨となり、Red Hat Enterprise Linux の将来のマイナーリリースには含まれなくなります。
TLS 圧縮機能のサポートを nss から削除
CRIME 攻撃などのセキュリティー関連リスクを回避するために、
NSS
ライブラリーにある TLS の全バージョンから、TLS 圧縮機能のサポートを削除しました。この変更では API の互換性は維持されます。
パブリック Web CA がデフォルトではコード署名で信頼されない
Red Hat Enterprise Linux 7.5 とともに配信される Mozilla CA 小聖書信頼一覧では、パブリック Web CA はコード署名として信頼されなくなりました。したがって、
NSS
、OpenSSL
等の関連フラグを使用するソフトウェアは、デフォルトでこの CA をコード署名として信頼しなくなりました。このソフトウェアでは、引き続きコード署名による信頼性が完全にサポートされます。また、システム設定を使用して、引き続き CA 証明書を信頼できるコード署名として設定することは可能です。
Sendmail
が非推奨に
Sendmail
は、Red Hat Enterprise Linux 7 では非推奨になりました。Postfix
を使用することが推奨されます。これは、デフォルトの MTA (Mail Transfer Agent) として設定されます。
dmraid が非推奨に
Red Hat Enterprise Linux 7.5 以降、dmraid パッケージが非推奨となっています。Red Hat Enterprise Linux 7 リリースでは引き続き利用可能ですが、今後のメジャーリリースでは、ハードウェア/ソフトウェアを組み合わせたレガシーハイブリッド RAID ホストバスアダプター (HBA) はサポートされません。
Automatic loading of DCCP
modules through socket layer is now disabled by default
セキュリティー上の理由から、ソケットレイヤーからの
Datagram Congestion Control Protocol (DCCP)
カーネルモジュールの自動読み込みは、デフォルトでは無効になりました。これにより、悪意を持ったユーザー空間アプリケーションは、モジュールを読み込むことができません。すべての DCCP
関連モジュールは、引き続き modprobe
プログラムを通じて手動でロードできます。
DCCP
モジュールをブラックリストに登録する /etc/modprobe.d/dccp-blacklist.conf
設定ファイルが、カーネルパッケージに含まれています。これに含まれるエントリーを削除する場合は、このファイルを編集または削除して以前の動作を復元します。
同じカーネルパッケージまたは異なるバージョンのカーネルパッケージを再インストールしても、手動で加えた変更はオーバーライドされない点に注意してください。手動で変更した場合は、ファイルを手動で編集または削除してもパッケージのインストール後も維持されます。
rsyslog-libdbi が非推奨に
あまり使用されない
rsyslog
モジュールの 1 つが含まれる rsyslog-libdbi サブパッケージが非推奨となり、Red Hat Enterprise Linux の今後のメジャーリリースには含まれなくなります。使用されない、またはほとんど使用されないモジュールを削除すると、使用するデータベース出力を容易に探すことができます。
rsyslog imudp
モジュールの inputname オプションが非推奨になりました。
rsyslog
サービスヘの imudp
モジュールの inputname オプションが非推奨になりました。代わりに name オプションを使用してください。
SMBv1 が Microsoft Windows 10 および 2016 (更新 1709 以降) にインストールされない
Microsoft 社は、最新バージョンの Microsoft Windows および Microsoft Windows Server に、SMBv1 (Server Message Block version 1) プロトコルをインストールしないと発表しました。また、Microsoft 社は、この製品の旧バージョンでは SMBv1 を無効にすることを推奨しています。
この変更により、Linux と Windows の複合環境でシステムを運用している場合に影響を受けます。Red Hat Enterprise Linux 7.1 以前では、バージョンが SMBv1 のプロトコルしかサポートされません。SMBv2 に対するサポートは、Red Hat Enterprise Linux 7.2 で導入されました。
この変更が Red Hat 製品にどのような影響を及ぼすかは、Red Hat ナレッジベースの SMBv1 no longer installed with latest Microsoft Windows 10 and 2016 update (version 1709) を参照してください。
FedFS
が非推奨に
アップストリームの FedFS プロジェクトが積極的に保守されなくなったため、FedFS (Federated File System) が非推奨となりました。Red Hat は、FedFS のインストールを移行して
autofs
を使用することを推奨します。これにより、柔軟な機能が得られます。
Btrfs
が非推奨に
Btrfs
ファイルシステムは、Red Hat Enterprise Linux 6 の初回リリース以降、テクノロジープレビュー状態になっています。Red Hat は Btrfs
を完全なサポート機能に移行する予定はなく、今後の Red Hat Enterprise Linux メジャーリリースで削除される予定です。
これまでに、
Btrfs
ファイルシステムは Red Hat Enterprise Linux 7.4 のアップストリームから各種更新を受け取っており、Red Hat Enterprise Linux 7 シリーズでは引き続き利用できます。ただし、この機能に対する更新はこれで最後となる予定です。
tcp_wrappers が非推奨に
tcp_wrappers パッケージが非推奨になりました。tcp_wrappers はライブラリーと、audit、cyrus-imap、dovecot、nfs-utils、openssh、openldap、proftpd、sendmail、stunnel、syslog-ng、vsftpd などのさまざまなネットワークサービスに対する着信要求を監視およびフィルターリングできる小規模のデーモンを提供します。
nautilus-open-terminal が gnome-terminal-nautilus に置き換えられる
Red Hat Enterprise Linux 7.3 以降、nautilus-open-terminal パッケージは非推奨になり、gnome-terminal-nautilus パッケージに置き換えられました。このパッケージは、Nautilus での右クリックコンテキストメニューに オプションを追加する Nautilus 拡張機能を提供します。システムアップグレード中、nautilus-open-terminal は gnome-terminal-nautilus に置き換えられます。
Python から削除された sslwrap()
sslwrap()
機能が Python 2.7 から削除されました。466 Python Enhancement Proposal が実装されて以降、この機能を使用するとセグメンテーションフォールトになります。この削除は、アップストリームと一致しています。
代わりに、
ssl.SSLContext
クラスと ssl.SSLContext.wrap_socket()
関数を使用することが推奨されます。ほとんどのアプリケーションでは、ssl.create_default_context()
関数を使用するだけで、安全なデフォルト設定でコンテキストを作成できます。デフォルトのコンテキストでは、システムのデフォルトのトラストストアが使用されます。
依存関係としてリンク付けされたライブラリーのシンボルが、ld
では解決されない
以前のリリースでは、リンク付けされた任意のライブラリーのシンボルがすべて
ld
リンカーによって解決されていました (他のライブラリーの依存関係として暗示的にしかリンク付けされていない場合も同様)。そのため、開発者が暗示的にリンク付けされたライブラリーのシンボルをアプリケーションコードに使用するのに、これらのライブラリーのリンクを明示的に指定する必要はありませんでした。
セキュリティー上の理由から
ld
が変更し、依存関係として暗黙的にリンク付けされたライブラリーのシンボルに対する参照を解決しないようになりました。
これにより、ライブラリーのリンクを宣言せず依存関係として暗黙的にしかリンク付けしていない場合には、アプリケーションコードでそのライブラリーのシンボルの使用を試みると、
ld
とのリンクに失敗します。依存関係としてリンク付けされたライブラリーのシンボルを使用する場合、開発者はこれらのライブラリーとも明示的にリンク付けする必要があります。
Windows ゲスト仮想マシンのサポートが限定
Red Hat Enterprise Linux 7 以降、Windows ゲスト仮想マシンは、Advanced Mission Critical (AMC) などの特定のサブスクリプションプログラムにおいてのみサポートされています。
libnetlink
が非推奨に
iproute-devel に含まれる
libnetlink
ライブラリーが非推奨となりました。代わりに、libnl
ライブラリーおよび libmnl
ライブラリーを使用する必要があります。
KVM の S3 および S4 の電源管理状態が非推奨に
S3 (Suspend to RAM) および S4 (Suspend to Disk) の電源管理状態に対する KVM のネイティブサポートが廃止されました。この機能は、以前はテクノロジープレビューとして提供されていました。
Certificate Server の udnPwdDirAuth プラグインが廃止
Red Hat Certificate Server の
udnPwdDirAuth
認証プラグインは、Red Hat Enterprise Linux 7.3 で削除されました。このプラグインを使用するプロファイルはサポートされなくなりました。証明書が udnPwdDirAuth
プラグインを使用するプロファイルで作成され、承認されている場合は有効のままになります。
IdM 向けの Red Hat Access プラグインが廃止
Red Hat Enterprise Linux 7.3 で、Identity Management (IdM) 向けの Red Hat Access プラグインが廃止されました。更新中に、redhat-access-plugin-ipa が自動的にアンインストールされます。ナレッジベースへのアクセスやサポートケースエンゲージメントなど、このプラグインにより提供されていた機能は、Red Hat カスタマーポータルで引き続き利用できます。Red Hat では、redhat-support-tool ツールなどの代替手段を使用することを推奨しています。
統合方式のシングルサインオン向けの Ipsilon 認証プロバイダーサービス
ipsilon パッケージは、Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして導入されました。Ipsilon は認証プロバイダーと、アプリケーションまたはユーティリティーをリンクして、シングルサインオン (SSO) を可能にします。
Red Hat は、テクノロジープレビューの Ipsilon を、完全にサポートされる機能にアップグレードする予定はありません。ipsilon パッケージは、今後のマイナーリリースで Red Hat Enterprise Linux から削除される予定です。
Red Hat は、Keycloak コミュニティープロジェクトをベースとした Web SSO ソリューションとして Red Hat Single Sign-On をリリースしました。Red Hat Single Sign-On は、Ipsilon よりも優れた機能を提供し、Red Hat の製品ポートフォリオ全体の標準 Web SSO ソリューションとして設計されています。
rsyslog
オプションの一部が非推奨に
Red Hat Enterprise Linux 7.4 の
rsyslog
ユーティリティーバージョンでは、多くのオプションが非推奨になりました。これらのオプションは有効ではなくなり、警告が表示されます。
- -c、-u、-q、-x、-A、-Q、-4、および -6 のオプションが以前提供していた機能は、
rsyslog
設定を使用して実現できます。 - -l および -s オプションが以前提供していた機能の代替はありません。
memkind
ライブラリーで非推奨のシンボル
memkind
ライブラリーでは、以下のシンボルが非推奨になりました。
memkind_finalize()
memkind_get_num_kind()
memkind_get_kind_by_partition()
memkind_get_kind_by_name()
memkind_partition_mmap()
memkind_get_size()
MEMKIND_ERROR_MEMALIGN
MEMKIND_ERROR_MALLCTL
MEMKIND_ERROR_GETCPU
MEMKIND_ERROR_PMTT
MEMKIND_ERROR_TIEDISTANCE
MEMKIND_ERROR_ALIGNMENT
MEMKIND_ERROR_MALLOCX
MEMKIND_ERROR_REPNAME
MEMKIND_ERROR_PTHREAD
MEMKIND_ERROR_BADPOLICY
MEMKIND_ERROR_REPPOLICY
SCTP (RFC 6458) のソケットの API 拡張オプションが非推奨に
ストリーム制御伝送プロトコルにおけるソケット API 拡張機能の SCTP_SNDRCV オプション、SCTP_EXTRCV オプション、および SCTP_DEFAULT_SEND_PARAM オプションは、RFC 6458 の仕様に従い非推奨になりました。
非推奨になったオプションの代替オプションとして、SCTP_SNDINFO、SCTP_NXTINFO、SCTP_NXTINFO、および SCTP_DEFAULT_SNDINFO が実装されています。
SSLv2 および SSLv3 を使用した NetApp ONTAP の管理は、libstorageMgmt
ではサポートされなくなりました。
NetApp ONTAP ストレージアレイへの SSLv2 および SSLv3 の接続は、
libstorageMgmt
ライブラリーではサポートされなくなりました。ユーザーは、NetApp サポートに連絡して Transport Layer Security (TLS) プロトコルを有効にすることができます。
dconf-dbus-1
が非推奨になり、dconf-editor
が個別に提供されるようになりました。
今回の更新で、
dconf-dbus-1
API が削除されました。ただし、バイナリーの互換性を維持するために、dconf-dbus-1
ライブラリーがバックポートされています。Red Hat では、dconf-dbus-1
の代わりに GDBus
ライブラリーを使用することを推奨しています。
dconf-error.h
ファイルの名前が dconf-enums.h
に変更されました。さらに、dconf Editor が別の dconf-editor パッケージで配布されるようになりました。
FreeRADIUS
が Auth-Type := System
を受け付けなくなりました。
FreeRADIUS
サーバーは、rlm_unix
認証モジュールの Auth-Type := System
オプションを受け付けなくなりました。このオプションは、設定ファイルの authorize
で unix
モジュールを使用することで置き換えられます。
非推奨となったデバイスドライバー
以下のデバイスドライバーは、Red Hat Enterprise Linux 7 のライフサイクルが終了するまでサポートされます。ただし、本製品の今後のメジャーリリースではサポートされない可能性が高いため、新たに実装することは推奨されません。
- 3w-9xxx
- 3w-sas
- aic79xx
- aoe
- arcmsr
- ata drivers:
- acard-ahci
- sata_mv
- sata_nv
- sata_promise
- sata_qstor
- sata_sil
- sata_sil24
- sata_sis
- sata_svw
- sata_sx4
- sata_uli
- sata_via
- sata_vsc
- bfa
- cxgb3
- cxgb3i
- hptiop
- isci
- iw_cxgb3
- mptbase
- mptctl
- mptsas
- mptscsih
- mptspi
- mtip32xx
- mvsas
- mvumi
- OSD ドライバー:
- osd
- libosd
- osst
- pata drivers:
- pata_acpi
- pata_ali
- pata_amd
- pata_arasan_cf
- pata_artop
- pata_atiixp
- pata_atp867x
- pata_cmd64x
- pata_cs5536
- pata_hpt366
- pata_hpt37x
- pata_hpt3x2n
- pata_hpt3x3
- pata_it8213
- pata_it821x
- pata_jmicron
- pata_marvell
- pata_netcell
- pata_ninja32
- pata_oldpiix
- pata_pdc2027x
- pata_pdc202xx_old
- pata_piccolo
- pata_rdc
- pata_sch
- pata_serverworks
- pata_sil680
- pata_sis
- pata_via
- pdc_adma
- pm80xx(pm8001)
- pmcraid
- qla3xxx
- stex
- sx8
- ufshcd
非推奨のアダプター
aacraid
ドライバーの以下のアダプターが非推奨になりました。- PERC 2/Si (Iguana/PERC2Si), PCI ID 0x1028:0x0001
- PERC 3/Di (Opal/PERC3Di)、PCI ID 0x1028:0x0002
- PERC 3/Si (SlimFast/PERC3Si)、PCI ID 0x1028:0x0003
- PERC 3/Di (Iguana FlipChip/PERC3DiF), PCI ID 0x1028:0x0004
- PERC 3/Di (Viper/PERC3DiV)、PCI ID 0x1028:0x0002
- PERC 3/Di (Lexus/PERC3DiL)、PCI ID 0x1028:0x0002
- PERC 3/Di (Jaguar/PERC3DiJ)、PCI ID 0x1028:0x000a
- PERC 3/Di (Dagger/PERC3DiD), PCI ID 0x1028:0x000a
- PERC 3/Di (Boxster/PERC3DiB)、PCI ID 0x1028:0x000a
- catapult、PCI ID 0x9005:0x0283
- tomcat、PCI ID 0x9005:0x0284
- Adaptec 2120S (Crusader)、PCI ID 0x9005:0x0285
- Adaptec 2200S (Vulcan)、PCI ID 0x9005:0x0285
- Adaptec 2200S (Vulcan-2m)、PCI ID 0x9005:0x0285
- Legend S220 (Legend Crusader)、PCI ID 0x9005:0x0285
- レジェンド S230 (Legend Vulcan)、PCI ID 0x9005:0x0285
- Adaptec 3230S (Harrier)、PCI ID 0x9005:0x0285
- Adaptec 3240S (Tornado)、PCI ID 0x9005:0x0285
- ASR-2020ZCR SCSI PCI-X ZCR (Skyhawk), PCI ID 0x9005:0x0285
- ASR-2025ZCR SCSI SO-DIMM PCI-X ZCR (Terminator)、PCI ID 0x9005:0x0285
- ASR-2230S + ASR-2230SLP PCI-X (Lancer), PCI ID 0x9005:0x0286
- ASR-2130S (Lancer), PCI ID 0x9005:0x0286
- AAR-2820SA (Intruder)、PCI ID 0x9005:0x0286
- AAR-2620SA (Intruder)、PCI ID 0x9005:0x0286
- AAR-2420SA (Intruder)、PCI ID 0x9005:0x0286
- ICP9024RO (Lancer)、PCI ID 0x9005:0x0286
- ICP9014RO (Lancer), PCI ID 0x9005:0x0286
- ICP9047MA (Lancer), PCI ID 0x9005:0x0286
- ICP9087MA (Lancer), PCI ID 0x9005:0x0286
- ICP5445AU (Hurricane44)、PCI ID 0x9005:0x0286
- ICP9085LI (Marauder-X)、PCI ID 0x9005:0x0285
- ICP5085BR (Marauder-E)、PCI ID 0x9005:0x0285
- ICP9067MA (Intruder-6)、PCI ID 0x9005:0x0286
- Themisto Jupiter プラットフォーム、PCI ID 0x9005:0x0287
- Themisto Jupiter プラットフォーム、PCI ID 0x9005:0x0200
- Callisto Jupiter プラットフォーム、PCI ID 0x9005:0x0286
- ASR-2020SA SATA PCI-X ZCR (Skyhawk), PCI ID 0x9005:0x0285
- ASR-2025SA SATA SO-DIMM PCI-X ZCR (Terminator)、PCI ID 0x9005:0x0285
- AAR-2410SA PCI SATA 4ch (Jaguar II)、PCI ID 0x9005:0x0285
- CERC SATA RAID 2 PCI SATA 6ch (DellCorsair)、PCI ID 0x9005:0x0285
- AAR-2810SA PCI SATA 8ch (Corsair-8)、PCI ID 0x9005:0x0285
- AAR-21610SA PCI SATA 16ch (Corsair-16)、PCI ID 0x9005:0x0285
- ESD SO-DIMM PCI-X SATA ZCR (Prowler), PCI ID 0x9005:0x0285
- AAR-2610SA PCI SATA 6ch, PCI ID 0x9005:0x0285
- ASR-2240S (SabreExpress), PCI ID 0x9005:0x0285
- ASR-4005, PCI ID 0x9005:0x0285
- IBM 8i (AvonPark), PCI ID 0x9005:0x0285
- IBM 8i (AvonPark Lite), PCI ID 0x9005:0x0285
- IBM 8k/8k-l8 (Aurora), PCI ID 0x9005:0x0286
- IBM 8k/8k-l4 (Aurora Lite)、PCI ID 0x9005:0x0286
- ASR-4000 (BlackBird), PCI ID 0x9005:0x0285
- ASR-4800SAS (Marauder-X)、PCI ID 0x9005:0x0285
- ASR-4805SAS (Marauder-E)、PCI ID 0x9005:0x0285
- ASR-3800 (Hurricane44)、PCI ID 0x9005:0x0286
- Perc 320/DC, PCI ID 0x9005:0x0285
- Adaptec 5400S (Mustang)、PCI ID 0x1011:0x0046
- Adaptec 5400S (Mustang)、PCI ID 0x1011:0x0046
- Dell PERC2/QC、PCI ID 0x1011:0x0046
- HP NetRAID-4M、PCI ID 0x1011:0x0046
- Dell Catchall、PCI ID 0x9005:0x0285
- Legend Catchall、PCI ID 0x9005:0x0285
- Adaptec Catch All、PCI ID 0x9005:0x0285
- Adaptec Rocket Catch All、PCI ID 0x9005:0x0286
- Adaptec NEMER/ARK Catch All、PCI ID 0x9005:0x0288
mpt2sas
ドライバーの次のアダプターは非推奨になりました:- SAS2004、PCI ID 0x1000:0x0070
- SAS2008、PCI ID 0x1000:0x0072
- SAS2108_1、PCI ID 0x1000:0x0074
- SAS2108_2、PCI ID 0x1000:0x0076
- SAS2108_3、PCI ID 0x1000:0x0077
- SAS2116_1、PCI ID 0x1000:0x0064
- SAS2116_2、PCI ID 0x1000:0x0065
- SSS6200、PCI ID 0x1000:0x007E
megaraid_sas
ドライバーの次のアダプターは非推奨になりました:- Dell PERC5、PCI ID 0x1028:0x15
- SAS1078R、PCI ID 0x1000:0x60
- SAS1078DE、PCI ID 0x1000:0x7C
- SAS1064R、PCI ID 0x1000:0x411
- VERDE_ZCR、PCI ID 0x1000:0x413
- SAS1078GEN2、PCI ID 0x1000:0x78
- SAS0079GEN2、PCI ID 0x1000:0x79
- SAS0073SKINNY、PCI ID 0x1000:0x73
- SAS0071SKINNY、PCI ID 0x1000:0x71
qla2xxx
ドライバーの以下のアダプターが非推奨になりました。- ISP24xx、PCI ID 0x1077:0x2422
- ISP24xx、PCI ID 0x1077:0x2432
- ISP2422、PCI ID 0x1077:0x5422
- QLE220、PCI ID 0x1077:0x5432
- QLE81xx、PCI ID 0x1077:0x8001
- QLE10000、PCI ID 0x1077:0xF000
- QLE84xx、PCI ID 0x1077:0x8044
- QLE8000、PCI ID 0x1077:0x8432
- QLE82xx、PCI ID 0x1077:0x8021
qla4xxx
ドライバーの以下のアダプターが非推奨になりました。- QLOGIC_ISP8022、PCI ID 0x1077:0x8022
- QLOGIC_ISP8324、PCI ID 0x1077:0x8032
- QLOGIC_ISP8042、PCI ID 0x1077:0x8042
be2net
ドライバーが制御する次のイーサネットアダプターが非推奨になりました。- TIGERSHARK NIC, PCI ID 0x0700
be2iscsi
ドライバーの以下のアダプターが非推奨になりました。- Emulex OneConnect 10Gb iSCSI イニシエーター (一般)、PCI ID 0x212
- OCe10101、OCm10101、OCe10102、OCm10102 BE2 アダプターファミリー、PCI ID 0x702
- OCe10100 BE2 アダプターファミリー、PCI ID 0x703
lpfc
ドライバーの以下のアダプターが非推奨になりました。- BladeEngine 2 (BE2) デバイス
- TIGERSHARK FCOE, PCI ID 0x0704
- ファイバーチャネル (FC) デバイス
- FIREFLY, PCI ID 0x1ae5
- PROTEUS_VF, PCI ID 0xe100
- BALIUS, PCI ID 0xe131
- PROTEUS_PF, PCI ID 0xe180
- RFLY, PCI ID 0xf095
- PFLY, PCI ID 0xf098
- LP101, PCI ID 0xf0a1
- TFLY, PCI ID 0xf0a5
- BSMB, PCI ID 0xf0d1
- BMID, PCI ID 0xf0d5
- ZSMB, PCI ID 0xf0e1
- ZMID, PCI ID 0xf0e5
- NEPTUNE, PCI ID 0xf0f5
- NEPTUNE_SCSP, PCI ID 0xf0f6
- NEPTUNE_DCSP, PCI ID 0xf0f7
- FALCON, PCI ID 0xf180
- SUPERFLY, PCI ID 0xf700
- DRAGONFLY, PCI ID 0xf800
- CENTAUR, PCI ID 0xf900
- PEGASUS, PCI ID 0xf980
- THOR, PCI ID 0xfa00
- VIPER, PCI ID 0xfb00
- LP10000S, PCI ID 0xfc00
- LP11000S, PCI ID 0xfc10
- LPE11000S, PCI ID 0xfc20
- PROTEUS_S, PCI ID 0xfc50
- HELIOS, PCI ID 0xfd00
- HELIOS_SCSP, PCI ID 0xfd11
- HELIOS_DCSP, PCI ID 0xfd12
- ZEPHYR, PCI ID 0xfe00
- HORNET, PCI ID 0xfe05
- ZEPHYR_SCSP, PCI ID 0xfe11
- ZEPHYR_DCSP, PCI ID 0xfe12
システムでハードウェアの PCI ID を確認するには、lspci -nn コマンドを実行します。
ここに記載されていない、上述のドライバーのその他のアダプターには変更がないことに注意してください。
libcxgb3
ライブラリーおよび cxgb3 ファームウェアパッケージが非推奨に
libibverbs パッケージおよび cxgb3 ファームウェアパッケージが提供する
libcxgb3
ライブラリーは非推奨になりました。Red Hat Enterprise Linux 7 では引き続きサポートされますが、この製品の次期メジャーリリースではサポートされません。この変更は、上記の cxgb3
ドライバー、cxgb3i
ドライバー、および iw_cxgb3
ドライバーの非推奨に対応しています。
SFN4XXX アダプターが非推奨に
Red Hat Enterprise Linux 7.4 以降、SFN4XXX Solarflare ネットワークアダプターが非推奨となっています。以前は、Solarflare のすべてのアダプターに対して、ドライバーは 1 つ (
sfc
) でした。最近では、SFN4XXX への対応が sfc
から分割され、sfc-falcon
と呼ばれる新しい SFN4XXX 専用ドライバーに変更されました。現時点では、両方のドライバーが引き続きサポートされていますが、sfc-falcon
および SFN4XXX のサポートは、今後のメジャーリリースで削除される予定です。
Software-initiated-only FCoE ストレージ技術が非推奨に
Fibre Channel over Ethernet (FCoE) ストレージ技術の software-initiated-only タイプは、広く使用されなかったため非推奨となりました。software-initiated-only ストレージ技術は、Red Hat Enterprise Linux 7 のライフサイクル期間中はサポートされます。非推奨化の通知では、Red Hat Enterprise Linux の今後のメジャーリリースでは software-initiated ベースの FCoE がサポートされない意向が示されています。
ハードウェアサポートおよび関連ユーザー領域ツール (
libfc
ドライバー、libfcoe
ドライバーなど) は、この非推奨通知の影響を受けません。
libvirt-lxc
ツールを使用したコンテナーが非推奨に
以下のlibvirt-lxcパッケージは、Red Hat Enterprise Linux 7.1 以降で非推奨になりました。
- libvirt-daemon-driver-lxc
- libvirt-daemon-lxc
- libvirt-login-shell
Linux コンテナーフレームワークに関する今後の開発は、docker コマンドラインインターフェイスをベースにしています。libvirt-lxc ツールは今後の Red Hat Enterprise Linux リリース (Red Hat Enterprise Linux 7 を含む) からは削除される可能性があるため、カスタムなコンテナー管理アプリケーションを開発する際には依存しないようにしてください。
詳細は、Red Hat KnowledgeBase article を参照してください。
パート VI. 既知の問題
ここでは、Red Hat Enterprise Linux 7.5 の既知の問題について説明します。
第54章 認証および相互運用性
軽量 CA キーの取得に失敗した後にクラッシュが報告される
Identity Management (IdM) を使用する場合、軽量認証局 (CA) キーの取得が何らかの理由で失敗すると、操作はキャッチされない例外で予期せず終了します。例外によりクラッシュレポートが生成されます。(BZ#1478366)
OpenLDAP により、設定が正しくない場合にプログラムが即座に失敗します
以前は、Mozilla のネットワークセキュリティーサービス (Mozilla NSS) の実装は、OpenLDAP スイートの特定の設定ミスを黙って無視していました。そのため、プログラムは接続の確立時にのみ失敗しました。この更新により、OpenLDAP は Mozilla NSS から OpenSSL に切り替わりました (BZ# のリリースノートを参照)1400578)。OpenSSL では、TLS コンテキストがすぐに確立されるため、プログラムはすぐに失敗します。この動作により、動作していない TLS ポートを開いたままにするなど、潜在的なセキュリティーリスクが防止されます。
この問題を回避するには、OpenLDAP 設定を確認して修正します。(BZ#1515833)
CACertFile または CACertDir が無効な場所を指している場合、OpenLDAP はエラーを報告します
以前は、CACertFile または CACertDir オプションが読み取り不能またはアンロード可能な場所を指している場合、ネットワークセキュリティーサービス (Mozilla NSS) の Mozilla 実装は必ずしもそれを設定ミスとはみなしていませんでした。この更新により、OpenLDAP スイートは Mozilla NSS から OpenSSL に切り替わりました (BZ# のリリースノートを参照)1400578)。OpenSSL では、CACertFile または CACertDir がそのような無効な場所を指している場合、問題が黙って無視されることはなくなりました。
失敗を回避するには、誤って設定されたオプションを削除するか、それがロード可能な場所を指していることを確認してください。
さらに、OpenLDAP は、CACertDir が指すディレクトリーの内容に対して、より厳格なルールを適用するようになりました。このディレクトリーで証明書を使用するときにエラーが発生する場合は、ディレクトリーが不整合な状態にある可能性があります。この問題を解決するには、フォルダーに対して cacertdir_rehash コマンドを実行します。
CACertFile および CACertDir の詳細については、man ページ ldap.conf (5)、slapd.conf (5)、slapd-config (5)、および ldap_set_option (3) を参照してください。(BZ#1515918、BZ#1515839)
cn=config
で一貫性のない変更を行った後、OpenLDAP が TLS 設定を更新しません
この更新により、OpenLDAP は、ネットワークセキュリティーサービス (Mozilla NSS) の Mozilla 実装から OpenSSL に切り替わりました (BZ# のリリースノートを参照)1400578)。OpenSSL では、
cn=config
データベース内の TLS 設定の一貫性のない変更により、サーバー上の TLS プロトコルが壊れ、設定が期待どおりに更新されません。この問題を回避するには、変更レコードを 1 つだけ使用して cn=config
の TLS 設定を更新します。変更レコードの定義については、ldif (5) の man ページを参照してください。(BZ#1524193)
Identity Management が接続を予期せず終了する
Directory Server のバグにより、Identity Management (IdM) は一定時間が経過すると接続を予期せず終了し、認証は次のエラーで失敗します。
kinit: Generic error (see e-text) while getting initial credentials
この問題は、オフラインメディアから Red Hat Enterprise Linux 7.5 に IdM をインストールした場合に発生します。この問題を回避するには、yum update を実行して、問題を修正する更新された 389-ds-base パッケージを受信します。(BZ#1544477)
Directory Server がシャットダウン中に予期せず終了することがある
Directory Server は、
nunc-stans
フレームワークを使用して接続イベントを管理します。サーバーのシャットダウン時に接続が閉じられた場合、nunc-stans
ジョブは解放された接続構造にアクセスできます。その結果、Directory Server が予期せず終了する可能性があります。この状況はシャットダウンプロセスの後期の状態で発生するため、データが破損したり失われたりすることはありません。現在のところ、回避策はありません。(BZ#1517383)
第55章 クラスタリング
el7 カーネルを使用した VDO 上の RAID 10 再設定時にデータ破損が発生します。
VDO 上で RAID 10 を再設定すると (LVM と mdadm の両方を使用)、データが破損し、最終的には raid10.c:1011 カーネルバグを引き起こす可能性があります。VDO の上に RAID 10 (または他の RAID タイプ) をスタッキングすることは、VDO の重複排除/圧縮機能を活用しないため、推奨できません。(BZ#1528466, BZ#1530776)
第56章 コンパイラーおよびツール
libcurl を使用するアプリケーションのメモリー消費量は、TLS 接続ごとに増加します
Network Security Services
(NSS) の PK11_DestroyGenericObject()
関数は、PK11_CreateGenericObject()
によって割り当てられたリソースを十分早く解放しません。その結果、libcurl パッケージを使用してアプリケーションによって割り当てられるメモリーは、TLS 接続ごとに増加する可能性があります。
この問題を回避するには、以下を実行します。
- 可能な場合は既存の TLS 接続を再利用するか、
OProfile
と perf
は、NMI watchdog が無効になっている場合、第 2 世代インテル Xeon Phi プロセッサーでイベントをサンプリングできません
パフォーマンスカウンターのハードウェアエラーが原因で、第 2 世代インテル Xeon Phi プロセッサーでは、デフォルトのハードウェアイベント
CPU_CLK_UNHALTED
によるパフォーマンスイベントのサンプリングが失敗する場合があります。その結果、NMI watchdog が無効になっている場合、OProfile
ツールと perf
ツールはサンプルを受信できません。この問題を回避するには、perf または operf コマンドを実行する前に NMI ウォッチドッグを有効にします。
echo 1 > /proc/sys/kernel/nmi_watchdog ... operf some_examined_program opreport ...
この回避策は、誤ったカウンターを使用する NMI ウォッチドッグに基づいているため、選択したツールのみが正しく動作しますが、NMI ウォッチドッグは動作しないことに注意してください。(BZ#1536004)
KEYBD
トラップを使用した ksh
がマルチバイト文字を誤って処理
Korn Shell (KSH) は、
KEYBD
トラップが有効な場合にマルチバイト文字を正しく処理できません。したがって、たとえばユーザーが日本語の文字を入力すると、ksh
には間違った文字列が表示されます。この問題を回避するには、以下の行をコメントアウトして、/etc/kshrc
ファイルの KEYBD
トラップを無効にします。
trap keybd_trap KEYBD
詳細は、ナレッジベースソリューション ksh displays multibyte characters incorrectly when 'KEYBD trap' is enabled in profile file を参照してください。(BZ#1503922)
第57章 デスクトップ
ダウンロードした RPM ファイルを Nautilus
からインストールできない
PackageKit
の yum
バックエンドは、ローカルファイルに関する詳細の取得をサポートしていません。その結果、Nautilus
ファイルマネージャーで RPM ファイルをダブルクリックすると、ファイルはインストールされず、次のエラーメッセージが返されます。
Sorry, this did not work, File is not supported
この問題を回避するには、ダブルクリック操作を処理するために gnome-packagekit パッケージをインストールするか、
yum
ユーティリティーを使用してファイルを手動でインストールします。(BZ#1434477)
Caps Lock LED ステータス
UTF-8 キーマップを使用する場合、Caps Lock 機能が適切に動作しても、TTY モードでは Caps Lock LED が更新されません。LED を正しく更新するには、Red Hat Enterprise Linux 7.5 以降、管理者は次のように /etc/udev/rules.d/99-kbd.rules 設定ファイルを作成する必要があります。
ACTION=="add", SUBSYSTEM=="leds", ENV{DEVPATH}=="*/input*::capslock", ATTR{trigger}="kbd-ctrlllock"
新しい udev ルールをリロードするには、次のコマンドを実行します。
# udevadm control --reload-rules # udevadm trigger
この変更後、Caps Lock キーを押すと、Caps Lock LED のステータスが期待どおりに変わります。(BZ#1470932、BZ#1256895)
一貫性のない GNOME Shell
バージョン
現在、GNOME デスクトップ環境にはさまざまなバージョンの
GNOME Shell
が表示されます。たとえば、gnome-shell --version コマンドによって返されるバージョンは、Settings
の Details
セクションにあるバージョンとは異なります。(BZ#1511454)
32 ビット版の flatpak をアンインストールします
マルチライブラリーの競合を防ぐため、Red Hat Enterprise Linux 7.5 に更新する前に、32 ビット版の flatpak パッケージをアンインストールすることを推奨します。(BZ#1512940)
GNOME のダウングレードが機能しません
Red Hat Enterprise Linux 7.4 で導入された GNOME の新しいバージョン (3.22) では、yum downgrade コマンドまたは dnf downgrade コマンドを使用して GNOME をバージョン 3.22 から 3.14 にダウングレードすることはできなくなりました。唯一の回避策は、GNOME 関連のパッケージを古いバージョンに置き換えることです。手動でダウングレードすることにした場合は、GNOME 3.16-3.22 リリースノートを読んで、どの機能が失われているかを確認してください。(BZ#1451876)
Wayland
は、仮想マシンビューアーなどの X11 アプリケーションのキーボードグラブを無視します。
現在、
XWayland
サーバーを介して実行している場合、リモートデスクトップビューアーや仮想マシンマネージャーなど、X11
ソフトウェアに依存するグラフィカルクライアントは、独自に使用するシステムキーボードショートカットを取得できません。その結果、virt-manager
ゲストディスプレイなどのゲストウィンドウでこれらのショートカットをアクティブにすると、ゲストではなくローカルデスクトップに影響します。
この問題を回避するには、
Wayland
ショートカット抑制プロトコルをサポートする Wayland ネイティブクライアントを使用するか、X11
上のデフォルトの GNOME セッションに切り替えて、システムキーボードショートカットを必要とする X11
クライアントを実行します。
Wayland はテクノロジープレビューとして利用できることに注意してください。(BZ#1500397)
スーパーユーザーはグラフィカルセッションを実行しないでください
root ユーザーのグラフィカルセッションを開くと、さまざまなバグが発生します。その理由は、グラフィカルセッションは重大かつ予期せぬ問題を引き起こす可能性があり、安全ではなく、Unix の原則に反するため、スーパーユーザーによる使用を意図していないためです。(BZ#1539772)
Remote-viewer
および virt-viewer
によって参照される仮想マシンでキーボードが機能しない
Wayland セッション内で実行すると、
remote-viewer
および virt-viewer
ユーティリティーは仮想マシン内の主要なイベントを認識しません。さらに、Xwayland は次のエラーを報告します。
send_key: assertion 'scancode != 0'
(BZ#1540056)
gnome-system-log
は Wayland
では機能しません
現在、
Wayland
セッションにログインしている場合、root ユーザーはユーザーの Xwayland ディスプレイにアクセスできません。その結果、ターミナルで gnome-system-log
ユーティリティーを実行しても、システムログファイルは表示されません。
この問題を回避するには、次のように
xhost
サーバーアクセス制御プログラムを実行します。
$ xhost +si:localuser:root
(BZ#1537529)
GUI 画面が正しく表示されません
Emulex Pilot2 および Pilot3 カードの X ドライバーには、色深度 16 で実行する場合のバグが含まれています。このバグにより、この深度ではグラフィックス表示が使用できなくなります。
一部の設定でディスプレイを使用できるようにするには、24 bpp のイメージ形式を使用します。あるいは、ShadowFB
off
オプションを使用して、xorg.conf
ファイル内のシャドウフレームバッファー抽象化レイヤーを無効にします。シャドウフレームバッファーを無効にすると、パフォーマンスに重大な影響を与える可能性があることに注意してください。(BZ#1499129)
xrandr
は一部のビデオモードを提供できません
X11
のさまざまなビデオドライバーには、ディスプレイ解像度を追加するためのさまざまなヒューリスティックがあります。特に、Intel および汎用モード設定ドライバーは、一部のラップトップディスプレイに異なるビデオモードのセットを提供します。したがって、一部の非ネイティブビデオモードは、すべての設定で利用できるわけではありません。
この問題を回避するには、別のビデオドライバーを使用するか、xrandr(1) コマンドラインユーティリティーを使用して出力に解像度を手動で追加します。(BZ#1478625)
radeon
がハードウェアを適切なハードウェアリセットに失敗します。
現在、
radeon
カーネルドライバーは、kexec コンテキストでハードウェアを正しくリセットしません。代わりに radeon
がフェイルオーバーします。これにより、kdump
サービスの残りの部分が失敗します。
このバグを回避するには、
/etc/kdump.conf
ファイルに以下の行を追加して、kdump
に radeon
をブラックリストとして追加します。
dracut_args --omit-drivers "radeon" force_rebuild 1
マシンと
kdump
を再起動します。kdump
の起動後、設定ファイルから force_rebuild 1 行が削除される可能性があります。
このシナリオでは、
kdump
時にグラフィックは利用できませんが、kdump
は問題なく完了します。(BZ#1509444)
nouveau
が Nvidia secboot ファームウェアのロードに失敗する
一部の Dell Coffeelake システムでは、
nouveau
カーネルモジュールが Pascal カード用の Nvidia secboot ファームウェアをロードできません。その結果、これらのシステム上の Nvidia GPU が動作しなくなることがあり、システム上のディスプレイポートの一部も同様に動作しなくなります。
このバグにより起動に問題が発生する場合は、
nouveau
をブラックリストに登録して問題を軽減します。ただし、これによってマシン上の機能していないポートが正しく動作するわけではないことに注意してください。(BZ#1535168)
Xchat
ステータスアイコンがトップアイコンパネルから消えます
システムを一時停止して再度再開すると、受信した個人メッセージを示す
Xchat
ステータスアイコンが上部のアイコンパネルから消えます。
Gnome ソフトウェア
を使用してインストールされたトップアイコンはサスペンドモードを保持し、パネルから消えません。(BZ#1544840)
GDM
はホットプラグされたモニターをアクティブにしません
モニターを接続せずにマシンを起動すると、モニターが接続されているときに
GNOME ディスプレイマネージャー (GDM)
画面が非アクティブのままになります。
回避策として、モニターが接続されているときに以下を実行して
GDM
を強制終了します。
# systemctl restart gdm.service
または、
xrandr
ユーティリティーを使用してモニターをアクティブ化します。(BZ#1497303)
Wacom Expresskey Remote がタブレットとして検出されない
gnome-shell
および control-center
ユーティリティーは、ペアになっていない Wacom Expresskeys リモート
デバイス (EKR) を検出しません。結果として、ワコム設定内では、EKR
上のボタンをマッピングする方法はありません。
現在、
EKR
はパッドが内蔵されたタブレットとペアリングされている場合にのみ機能します。(BZ#1543631)
Synaptics の依存関係により xorg-x11-drivers が削除される
Red Hat Enterprise Linux 7 の以降のリリースには、X 用の
xorg-x11-drv-libinput
ドライバーが含まれており、一部の入力デバイスに優れたエクスペリエンスを提供できる可能性があります。xorg-x11-drv-libinput
に切り替えようとしているユーザーは、xorg-x11-drivers パッケージに必要な xorg-x11-drv-synaptics
ドライバーを削除してみることができます。ただし、synaptics を削除するには、xorg-x11-drivers を削除する必要があります。
この問題を回避するには、xorg-x11-drivers を削除します。このパッケージは、システムのセットアップ時に適切なドライバーのコレクションをインストールするためにのみ存在し、削除しても実行時には影響しません。すでにインストールされている X ドライバーは期待どおりに更新されます。(BZ#1516970)
T470s ドッキングステーションのジャックがレジューム時に機能しません
アナログオーディオ入力または出力を備えたドッキングステーションに接続された ThinkPad T470 をサスペンドおよびレジュームした後、出力音が聞こえなくなります。この問題は、ThinkPad ラップトップのアナログオーディオ入力または出力には影響しません。(BZ#1548055)
xrandr を実行すると画面がオフになることがあります
Nouveau ドライバーを使用すると、画面解像度のクエリーなど、RANDR 操作と重い 3D 負荷が組み合わされて、画面のちらつきが発生する可能性があります。
ちらつきは、3D 操作と RANDR 操作の同時実行を最小限に抑えることで回避できます。したがって、3D の使用を最小限に抑えながら、画面のクエリーやサイズ変更を行ってください。(BZ#1545550)
第 8 世代インテル Core プロセッサーの HDMI および DP がサウンド入力を列挙しません
Red Hat Enterprise Linux では、i915 ドライバーで アルファ ステータスハードウェアのサポートがデフォルトで無効になっています。そのため、i915 はオーディオドライバーにバインドされません。その結果、第 8 世代インテル Core プロセッサーの HDMI および DP ビデオおよびオーディオ規格では、サウンド入力が列挙されません。
この問題を回避するには、カーネルコマンドラインに
i915.alpha_support=1
行を追加してシステムを起動します。(BZ#1540643)
自動起動されたアプリケーションに対してトレイアイコンが応答しません
画面上部に従来のトレイアイコンを表示する
GNOME Shell
TopIcons
拡張機能は、自動起動されたアプリケーションでは機能しません。トレイアイコンは応答しません。このバグには、GNOME セッションの開始後に開始されたアプリケーションは含まれません。
ログイン画面のパネルの色が一貫していません
GNOME クラシック
セッションにログインし、ラップトップを一時停止して再度再開すると、ログイン画面の上部パネルが黒ではなく白になります。
この問題は、
GNOME Classic の
機能には影響しません。(BZ#1541021)
VM ゲストの接続後に追加のディスプレイがミラーリングされます
ゲスト VM モニターを開いて、
remote-viewer
メニューから追加のディスプレイを有効にすると、最初のディスプレイの内容が新しく接続されたディスプレイにミラーリングされます。
回避策として、ディスプレイの
remote-viewer
フレームのサイズを変更します。デスクトップ環境は両方のディスプレイに拡張され、ゲストディスプレイは適切に再配置されます。(BZ#1539686)
第58章 インストールおよび起動
リトアニア語を選択するとインストーラーがクラッシュします
グラフィカルインストーラーの最初の画面でリトアニア語 (Lietuvių) 言語を選択し、
Continue
(Tęsti) を押すと、インストーラーがクラッシュし、トレースバックメッセージが表示されます。この問題を回避するには、別の言語を使用するか、グラフィカルインストーラーを避けてテキストモードやキックスタートインストールなどの別のアプローチを使用します。(BZ#1527319)
キックスタートを使用して TUI にインストールすると、oscap-anaconda-addon が修復に失敗します
テキストキックスタートコマンドを使用してインストール表示モードを text ベースのユーザーインターフェイス (TUI) に設定するキックスタートファイルを使用してシステムがインストールされている場合、
OpenSCAP Anaconda
アドオンは、マシンを指定されたセキュリティーポリシーに完全に修正できません。この問題は、修復に必要なパッケージがインストールされていないために発生します。
この問題を回避するには、グラフィカルインストーラーを使用するか、セキュリティーポリシーで必要なパッケージをキックスタートファイルの
%packages
セクションに手動で追加します。(BZ#1547609)
grub2-mkimage コマンドはデフォルトで UEFI システムで失敗します
UEFI システムでは grub2-mkimage コマンドが失敗し、次のエラーメッセージが表示される場合があります。
error: cannot open `/usr/lib/grub/x86_64-efi/moddep.lst': No such file or directory.
このエラーは、grub2-efi-x64-modules パッケージがシステムに存在しないことが原因で発生します。このパッケージは、デフォルトのインストールの一部ではなく、grub2-mkimage コマンドを提供する grub2-tools の依存関係としてマークされていないという既知の問題により欠落しています。
このエラーにより、それに依存する他のツール (
ReaR
など) も失敗します。
この問題を回避するには、
Yum
を使用して手動で、またはシステムのインストールに使用するキックスタートファイルに追加して、grub2-efi-x64-modules をインストールします。(BZ#1512493)
HPE BL920s Gen9 システムへの RHEL 7.5 のインストール中のカーネルパニック
メルトダウン脆弱性の修正に関連する既知の問題により、HPE BL920s Gen2 (Superdome 2) システムへの Red Hat Enterprise Linux 7.5 のインストール中に、NULL ポインター逆参照によるカーネルパニックが発生します。問題が発生すると、次のエラーメッセージが表示されます。
WARNING: CPU: 576 PID: 3924 at kernel/workqueue.c:1518__queue_delayed_work+0x184/0x1a0
その後、システムが再起動するか、障害のある状態になります。
この問題には複数の回避策が考えられます。
- ブートローダーを使用して、カーネルコマンドラインに nopti オプションを追加します。システムの起動が完了したら、最新の RHEL 7.5 カーネルにアップグレードします。
- RHEL 7.4 をインストールしてから、最新の RHEL 7.5 カーネルにアップグレードします。
- RHEL 7.5 を単一ブレードにインストールします。システムがインストールされたら、最新の RHEL 7.5 カーネルにアップグレードし、必要に応じてブレードを追加します。(BZ#1540061)
READONLY=yes オプションは、読み取り専用システムを設定するには不十分です
Red Hat Enterprise Linux 6 では、
/etc/sysconfig/readonly-root
ファイルの READONLY=yes オプションを使用して読み取り専用システムパーティションが設定されました。Red Hat Enterprise Linux 7 では、systemd
がシステムパーティションのマウントに新しいアプローチを使用するため、このオプションは十分ではなくなりました。
Red Hat Enterprise Linux 7 で読み取り専用システムを設定するには:
/etc/sysconfig/readonly-root
で READONLY=yes オプションを設定します。
第59章 カーネル
Spectre および Meltdown の問題に対処するセキュリティーパッチはパフォーマンスの低下を引き起こす可能性があります
CVE-2017-5754、CVE-2017-5715、および CVE-2017-5753 で報告された問題に対処するセキュリティーパッチが実装されました。影響、検出、解決策など、問題の詳細は、https://access.redhat.com/security/vulnerabilities/speculativeexecution にある Red Hat ナレッジベースの記事を参照してください。パッチはデフォルトで有効になっていますが、パフォーマンスの低下を引き起こす可能性があります。
ユーザーは、Red Hat Enterprise Linux Tunables を使用して影響を制御できます。debugfs tunable は、システムの起動時にカーネルコマンドラインで、または実行時に debugfs コントロールを使用して有効または無効にできます。調整パラメーターは、ページテーブル分離 (PTI)、間接分岐制限投機 (IBRS)、および間接分岐予測バリア (IBPB) を制御します。Red Hat は、起動時に検出されたアーキテクチャーを保護するために、必要に応じてデフォルトで各機能を有効にします。ただし、IBPB サポートを直接無効にすることはできません。IBPB を間接的に無効にするには、IBRS と retpolines の両方を無効にする必要があります。
システムが他の手段で十分に保護されていると確信しており、そのようなパフォーマンスの低下を避けるために CVE 軽減策を無効にしたいお客様は、次のいずれかのオプションを使用する必要があります。
1.次のフラグをカーネルコマンドラインに追加し、カーネルを再起動して変更を有効にします。
spectre_v2=off nopti
2.次のコマンドを実行して、実行時にパッチを無効にします。変更はすぐに有効になり、再起動の必要はありません。
# echo 0 > /sys/kernel/debug/x86/pti_enabled # echo 0 > /sys/kernel/debug/x86/retp_enabled # echo 0 > /sys/kernel/debug/x86/ibrs_enabled
CVE 軽減策によるパフォーマンスへの影響の制御の詳細については、https://access.redhat.com/articles/3311301 で閲覧できる Red Hat ナレッジベースの記事を参照してください。
https://access.redhat.com/security/vulnerabilities/speculativeexecution の診断タブも参照してください。(BZ#1532547)
KSC は xz
圧縮をサポートしていません
カーネルモジュールソースチェッカー (ksc ツール) は、
xz
圧縮方式を処理できず、次のエラーを報告します。
File format not recognized (Only kernel object files are supported)
この問題を回避するには、
ksc
ツールを実行する前に、xz
圧縮を使用してサードパーティーモジュールを手動で解凍します。(BZ#1441455)
megaraid_sas
の更新によりパフォーマンスが低下する可能性があります
megaraid_sas
ドライバーはバージョン 06.811.02.00-rh1 に更新され、以前のバージョンに比べてパフォーマンスが大幅に向上しました。ただし、場合によっては、ソリッドステートドライブ (SSD) に基づく設定ではパフォーマンスの低下が見られます。この問題を回避するには、/sys/ディレクトリー内の対応する queue_ Depth
パラメーターを 256 までのより高い値に設定します。これにより、パフォーマンスが元のレベルに戻ります。(BZ#1367444)
qede
がロードされている場合、qedi は
iSCSI PCIe 機能へのバインドに失敗します
QL41xxx ネットワークアダプター用のイーサネットドライバーである
qede
ドライバーは、必要以上に多くの MSI-X ベクトルを割り当てます。その結果、qedi
ドライバーは、ハードウェアによって公開されている iSCSI PCIe 機能にバインドできません。この問題を回避するには、qede
ドライバーと qedi
ドライバーの両方をアンロードし、qedi
のみをロードします。その結果、qedi
はハードウェアを通じて公開されている iSCSI 機能をプローブし、接続されている iSCSI ターゲットを見つけることができます。(BZ#1484047)
Radeon
がカーネルパニックを引き起こします
セカンダリーまたはプライマリー GPU として
radeon
カーネルドライバーを搭載した一部のシステムでは、amdgpu
グラフィックスドライバーのバグが原因でシステムが起動に失敗することがあります。
回避策として、
Radeon
カーネルドライバーをブラックリストに登録します。(BZ#1486100)
CPU のホットアドまたはホットリムーブ操作後に Kdump
カーネルが起動に失敗する
Kdump
が有効になっている IBM Power Systems のリトルエンディアンバリアント上で Red Hat Enterprise Linux 7 を実行している場合、CPU のホットアドまたはホットリムーブ操作の後に kexec
によってトリガーされると、Kdump
クラッシュカーネルは起動に失敗します。この問題を回避するには、CPU のホットアドまたはホットリムーブ後に kdump
サービスを再起動します。
# systemctl restart kdump.service
(BZ#1549355)
第60章 ネットワーク
Red Hat Enterprise Linux 7 で、MD5 ハッシュアルゴリズムを使用した署名の検証が無効になる
MD5 で署名された証明書を必要とする WPA (Wi-Fi Protected Access) の AP (Enterprise Access Point) に接続することはできません。この問題を回避するには、/usr/lib/systemd/system/ ディレクトリーから /etc/systemd/system/ ディレクトリーに wpa_supplicant.service ファイルをコピーして、ファイルの Service セクションに次の行を追加します。
Environment=OPENSSL_ENABLE_MD5_VERIFY=1
次に、root で systemctl daemon-reload コマンドを実行して、サービスファイルを再読み込みします。
重要: MD5 証明書は安全性が非常に低く、Red Hat では使用を推奨していないことに注意してください。(BZ#1062656)
RHEL 7.3 からアップグレードすると、freeradius
が失敗する場合があります。
/etc/raddb/radiusd.conf
ファイル内の新しい設定プロパティー correct_escapes
は、RHEL 7.4 以降に配布されたfreeradius
バージョンで導入されました。管理者が correct_escapes
を true
に設定すると、バックスラッシュエスケープ用の新しい正規表現が使用されるようになります。correct_escapes
が false
に設定されている場合は、バックスラッシュもエスケープされる古い構文が想定されます。後方互換性の理由から、false
がデフォルト値になります。
アップグレード時に、
/etc/raddb/
ディレクトリー内の設定ファイルは、管理者が変更しない限り上書きされるため、correct_escapes
の値は、すべての設定ファイルで使用されている構文のタイプに常に対応しているとは限りません。その結果、freeradius
での認証に失敗する場合があります。
この問題の発生を防ぐために、
freeradius
バージョン 3.0.4(RHEL 7.3 で配布) 以前からアップグレードした後、/etc/raddb/
ディレクトリー内のすべての設定ファイルが新しいエスケープ構文を使用していることを確認してください (ダブルバックスラッシュ記号は見つかりません)。そして /etc/raddb/radiusd.conf
の correct_escapes
の記号は true
に設定されています。
詳細と例については、https://access.redhat.com/solutions/3241961 のソリューションを参照してください。(BZ#1489758)
第61章 セキュリティー
NSS
は、RSA-PSS キーで作成された不正な RSA PKCS#1 v1.5 署名を受け入れます
ネットワークセキュリティーサービス
(NSS) ライブラリーは、対応する秘密鍵を使用して作成された署名を検証するときに、サーバーが使用する RSA 公開鍵のタイプをチェックしません。その結果、NSS は
、RSA-PSS キーで作成された不正な RSA PKCS#1 v1.5 署名を受け入れます。(BZ#1510156)
OpenSSH
以外の ssh-agent
を使用した認証が失敗する
バージョン 7.4 以降の
OpenSSH
は、デフォルトで SHA-2 署名拡張をネゴシエートします。したがって、現在の OpenSSH
スイートからのものではなく、SHA-2 拡張を認識しない ssh-agent
プログラムによって署名が提供された場合、認証は失敗します。この問題を回避するには、OpenSSH ssh-agent
を使用して署名を提供します。(BZ#1497680)
OpenSSH
公開鍵の解析がより厳密になりました
以前は、公開鍵の解析がより厳密になるように変更されました。その結果、キータイプ文字列とキー BLOB 文字列の間にある追加のスペースは無視されなくなり、そのようなキーを使用したログイン試行は失敗するようになりました。この問題を回避するには、キータイプとキー BLOB の間にスペース文字が 1 つだけあることを確認します。(BZ#1493406)
SCAP Workbench
が、カスタムプロファイルから結果ベースの修正を生成できません。
SCAP Workbench
ツールを使用してカスタムプロファイルから結果ベースの修正ロールを生成しようとすると、次のエラーが発生します。
Error generating remediation role '.../remediation.sh': Exit code of 'oscap' was 1: [output truncated]
Clevis
は、偽の Device is not initialized
エラーメッセージをログに記録する可能性があります
Clevis
プラガブルフレームワークが initramfs
イメージ内にあり、ブート時にロックを解除するように設定された暗号化ボリュームがあり、偶然にも Clevis
バインディングを設定していない場合、ブートログに Device is not initialized
という偽のエラーメッセージが表示されます。この問題を回避するには、Clevis
バインド手順を実行すると、ボリュームのエラーメッセージが表示されなくなります。(BZ#1538759)
すべての設定で seccomp=enabled を指定すると、Libreswan
が正しく動作しません
Libreswan
SECCOMP サポート実装で許可された syscall のセットは現在、完全ではありません。したがって、SECCOMP が ipsec.conf
ファイルで有効となっている場合、syscall のフィルターリングは、pluto
デーモンの正常な機能に必要な syscall まで拒否します。つまり、デーモンは強制終了され、ipsec
サービスが再起動されます。
この問題を回避するには、seccomp= オプションを設定して、
disabled
状態に戻します。SECCOMP サポートは、ipsec
を正常に実行するため、無効のままにしておく必要があります。(BZ#1544463)
OpenSCAP
RPM 検証ルールが VM およびコンテナーファイルシステムでは正しく機能しない
rpminfo
、rpmverify
、および rpmverifyfile
プローブは、オフラインモードを完全にはサポートしません。その結果、オフラインモードで仮想マシン (VM) およびコンテナーファイルシステムをスキャンする場合、OpenSCAP
RPM 検証ルールは正しく機能しません。
この問題を回避するには、RPM 検証ルールを無効にするか、
SCAP セキュリティーガイド
のガイダンスを使用して手動チェックを実行します。オフラインモードでの VM およびコンテナーファイルシステムのスキャン結果には、偽陰性が含まれる可能性があります。(BZ#1556988)
スマートカードが挿入されると、NSS
を使用する Firefox
およびその他のアプリケーションが応答しなくなる
ネットワークセキュリティーサービス
(NSS) ライブラリーは、スマートカード挿入イベントおよびそのようなイベントの状態を正しく処理しません。その結果、Firefox
ブラウザーおよび Gnome Display Manager (GDM) で NSS
を使用するその他のアプリケーションは、カードの挿入状態を確実に検出せず、スロットイベントの待機を要求している間応答しなくなります。
この問題を回避するには、nss パッケージをバージョン 3.34 に更新せず、アップストリームバージョン 3.36 を待ちます。スマートカードは、以前の
NSS
バージョンで正しく動作します。(BZ#1557015)
第62章 サーバーおよびサービス
Tuned サービスでのプロファイルアクティベーションエラーの明確な兆候がない
Tuned サービス設定内のエラー、または Tuned プロファイルのロード時に発生するエラーは、systemctl statustuned コマンドの出力に表示されない場合があります。その結果、Tuned のロードを妨げるエラーが発生した場合、Tuned はプロファイルがアクティブ化されていない状態になることがあります。考えられるエラーメッセージを表示するには、tuned-adm active コマンドの出力を参照し、
/var/log/tuned/tuned.log
ファイルの内容を確認してください。(BZ#1385838)
db_hotbackup -c は注意して使用する必要があります
-c オプションを指定した db_hotbackup コマンドは、データベースを所有するユーザーが実行する必要があります。ユーザーが異なり、ログファイルが最大サイズに達すると、コマンドを実行したユーザーの所有権で新しいログファイルが作成され、その結果、その所有者はデータベースを使用できなくなります。このメモは
db_hotbackup(1)
man ページに追加されました。(BZ#1460077)
rpcbind.socket
で ListenStream= オプションを設定すると、systemd-logind
が失敗し、SSH
接続が遅延する
現在、
rpcbind.socket
ユニットファイルで ListenStream= オプションを設定すると、systemd-logind
サービスが失敗し、NIS
データベースからシステムユーザーをインポートする SSH
接続に遅延が発生します。この問題を回避するには、rpcbind.socket
から ListenStream= オプションを含む行を削除します。(BZ#1425758)
grub2-efi-x64 パッケージがインストールされている非 UEFI システムで ReaR
回復プロセスが失敗する
UEFI システム用の GRUB2 ブートローダーを含む grub2-efi-x64 パッケージをインストールすると、UEFI ファームウェアを使用しないシステムではファイル
/boot/grub2/grubenv
がデッド絶対シンボリックリンクに変更されます。ReaR
(Relax and Recover) 回復ツールを使用してこのようなシステムを回復しようとすると、プロセスが失敗し、システムが起動できなくなります。この問題を回避するには、grub2-efi-x64 パッケージを必要としないシステム (UEFI ファームウェアのないシステム) にインストールしないでください。(BZ#1498748)
Linux TSM を使用して ReaR
によって生成された ISO イメージが機能しない
パスワードストアは、Linux TSM (Tivoli Storage Manager) クライアントバージョン 8.1.2 以降で変更されました。これは、TSM ノードのパスワードと暗号化キーが ISO ファイルに含まれないため、TSM を使用して
ReaR
によって生成された ISO イメージは機能しないことを意味します。この問題を解決するには、/etc/rear/local.conf
または /etc/rear/site.conf
設定ファイルに次の行を追加します。
COPY_AS_IS_TSM=( /etc/adsm /opt/tivoli/tsm/client /usr/local/ibm/gsk8* )
(BZ#1534646)
dbus リベースに関する予期しない問題
dbus パッケージのリベースと設定変更により、予期しない問題が発生する可能性があります。したがって、次の行為は避けることを推奨します。
dbus
サービスのみを更新する- システムの一部のみを更新する
- グラフィカルセッションからの更新
逆に、再起動せずに
dbus
を含むいくつかの主要コンポーネントを更新すると期待どおりに動作することはほとんどないため、yum update
コマンドの実行後に再起動することを推奨します。(BZ#1550582)
第63章 ストレージ
kexec -e コマンドにより、高度なストレージコントローラーでストレージエラーが発生する可能性がある
-e
オプションを指定して kexec
ユーティリティーを使用すると、システムは次のカーネルを起動する前に標準の Linux シャットダウンシーケンスを実行しません。これにより、Qlogic QMH2672 ファイバーチャネルアダプターなどの高度なストレージコントローラーを使用するシステムで問題が発生する可能性があります。これらのコントローラーは、再起動時にストレージが確実に安定するようにシャットダウンシーケンスに依存しているためです。このようなシステムで kexec -e コマンドを呼び出すと、kexec
操作の進行中にストレージ関連のエラーが発生し、新しくロードされたカーネルが接続されたストレージの一部またはすべてを検出できない可能性があります。
kexec -e を試行したときにシステムで同様の症状が発生する場合は、代わりに
-e
オプションを指定せずに kexec
を使用してください。これは確実に機能することが確認されています。(BZ#1303244)
LVM は不完全なボリュームグループのイベントベースの自動アクティブ化をサポートしていません
ボリュームグループが不完全で物理ボリュームが見つからない場合、LVM はそのボリュームグループの LVM イベントベースの自動アクティベーションをサポートしません。これは、自動アクティベーションが行われるたびに --activationmode complete の設定が行われることを意味します。--activationmode complete オプションと自動アクティベーションの詳細については、vgchange (8) および pvscan (8) の man ページを参照してください。
/etc/lvm/lvm.conf
設定ファイルの global/use_lvmetad=1
設定で lvmetad
が有効になっている場合、イベント駆動の自動アクティベーションフックが有効になることに注意してください。また、自動アクティベーションがない場合、ブート中の正確な時点で直接アクティベーションフックがあり、その時点で使用可能な物理ボリュームのみでボリュームグループがアクティブ化されることにも注意してください。後で表示される物理ボリュームは考慮されません。
この問題は、
initramfs
(dracut
) の早期ブートには影響しません。また、デフォルトで degraded
アクティベーションモードになる vgchange および lvchange 呼び出しを使用したコマンドラインからの直接アクティベーションにも影響しません。(BZ#1337220)
第64章 仮想化
cmt
、mbmt
、または mbml
perf イベントを報告するゲストが起動に失敗する
ゲスト仮想マシンが
cmt
、mbmt
、または mbml
perf イベントを報告するように設定されている場合、ホストを Red Hat Enterprise Linux 7.5 にアップグレードした後、ゲスト仮想マシンを起動できなくなります。
この問題を回避するには、ドメイン XML 設定ファイルの
<perf>
セクションから、event name='cmt'、event name='mbmt'、または event name='mbml' を含む行を削除して、この設定を無効にします。(BZ#1532553)
付録A コンポーネントのバージョン
この付録では、Red Hat Enterprise Linux 7.5 リリースにおける主要コンポーネントとそのバージョンの一覧を説明します。
コンポーネント
|
バージョン
|
---|---|
kernel
|
3.10.0-862
|
kernel-alt
|
4.14.0-49
|
QLogic
qla2xxx ドライバー
|
9.00.00.00.07.5-k1
|
QLogic
qla4xxx ドライバー
|
5.04.00.00.07.02-k0
|
Emulex
lpfc ドライバー
|
0:11.4.0.4
|
iSCSI イニシエーターユーティリティー (iscsi-initiator-utils)
|
6.2.0.874-7
|
DM-Multipath (device-mapper-multipath)
|
0.4.9-119
|
LVM (lvm2)
|
2.02.177-4
|
qemu-kvm[a]
|
1.5.3-156
|
qemu-kvm-ma[b]
|
2.10.0-21
|
[a]
qemu-kvm パッケージは、AMD64 システムおよび Intel 64 システムに KVM 仮想システムを提供します。
[b]
qemu-kvm-ma パッケージにより、IBM POWER8、IBM POWER9、および IBM Z で KVM 仮想化が提供されます。IBM POWER9 および IBM Z の KVM 仮想化には、kernel-alt パッケージも使用する必要がある点に注意してください。
|
付録B コンポーネント別の Bugzillas の一覧
この付録では、このドキュメントに含まれるすべてのコンポーネントと関連する Bugzilla の一覧を説明します。
コンポーネント | 新機能 | 主なバグ修正 | テクノロジープレビュー | 既知の問題 |
---|---|---|---|---|
389-ds-base | BZ#1274430, BZ#1352121, BZ#1406351, BZ#1458536, BZ#1467777, BZ#1470169 | BZ#1434335, BZ#1445188, BZ#1453155, BZ#1459946, BZ#1464463, BZ#1464505, BZ#1465600, BZ#1476207, BZ#1476322, BZ#1483681, BZ#1498980, BZ#1501058, BZ#1511462, BZ#1517788, BZ#1523183, BZ#1533571 | BZ#1517383, BZ#1544477 | |
Doc-config-command-file-reference | BZ#1479012 | |||
ModemManager | BZ#1483051 | |||
NetworkManager | BZ#1350830, BZ#1398925, BZ#1436531 | |||
OVMF | BZ#653382 | |||
OpenIPMI | BZ#1457805 | |||
adcli | BZ#1471021 | |||
anaconda | BZ#1328576, BZ#1448459, BZ#1450922 | BZ#1452873, BZ#1465944, BZ#1478970 | ||
ansible | BZ#1313263 | |||
at | BZ#1481355 | |||
audit | BZ#1476406 | |||
binutils | BZ#1385959, BZ#1406430, BZ#1472955, BZ#1485398 | BZ#1465318, BZ#1488889 | ||
checkpolicy | BZ#1494179 | |||
chrony | BZ#1482565 | |||
clevis | BZ#1475406, BZ#1475408, BZ#1478888 | BZ#1500975 | BZ#1538759 | |
clufter | BZ#1509381 | |||
cockpit | BZ#1470780 | |||
conman | BZ#1435840 | |||
control-center | BZ#1481407 | BZ#1543631 | ||
corosync | BZ#1413573 | |||
criu | BZ#1400230 | |||
cups | BZ#1434153, BZ#1466497 | |||
curl | BZ#1409208 | BZ#1511523 | BZ#1510247 | |
custodia | BZ#1403214 | |||
dbus | BZ#1460262, BZ#1480264 | BZ#1550582 | ||
device-mapper-multipath | BZ#1452210, BZ#1456955 | BZ#1459370 | ||
dhcp | BZ#1394727, BZ#1396985 | |||
ディンリブ | BZ#1480270 | |||
distribution | BZ#1512020, BZ#1512021 | BZ#1062656 | ||
dnsmasq | BZ#1188259 | |||
emacs-php-mode | BZ#1266953 | |||
exiv2 | BZ#1420227 | |||
fence-agents | BZ#1451776, BZ#1476009 | BZ#1519370 | BZ#1476401 | |
firewalld | BZ#1462977 | |||
freeipmi | BZ#1435848 | |||
freeradius | BZ#1489758 | |||
fwupd | BZ#1420913 | |||
gcc | BZ#1535655 | BZ#1468546, BZ#1469384, BZ#1487434 | ||
gdb | BZ#1228556, BZ#1480498, BZ#1493675, BZ#1518243 | |||
genwqe-tools | BZ#1456492 | |||
ghostscript | BZ#1473337, BZ#1479852 | |||
gimp | BZ#1210840 | |||
gjs | BZ#1523121 | |||
glibc | BZ#677316, BZ#1375235, BZ#1448822, BZ#1498925 | BZ#1443236, BZ#1504969 | ||
gnome-settings-daemon | BZ#1481410 | |||
gnome-shell | BZ#1481381 | BZ#1481395 | BZ#1497303, BZ#1511454, BZ#1539772, BZ#1541021 | |
gnome-shell-extensions | BZ#1544840, BZ#1550115 | |||
gnome-software | BZ#1434477 | |||
grub2 | BZ#1512493 | |||
gssproxy | BZ#1462974, BZ#1488629 | |||
httpd | BZ#1274890 | |||
hwdata | BZ#1489281 | |||
ima-evm-utils | BZ#1384450 | |||
initscripts | BZ#1357658, BZ#1478419 | BZ#1364895, BZ#1380496, BZ#1395391, BZ#1455419 | BZ#1444018 | |
inkscape | BZ#1480184 | |||
ipa | BZ#1484683 | BZ#1415162 | BZ#1115294, BZ#1298286 | BZ#1478366 |
ipa-server-docker | BZ#1405325 | |||
iproute | BZ#1435647, BZ#1456539, BZ#1468280 | |||
iptables | BZ#1402021 | |||
kernel | BZ#1102454, BZ#1226051, BZ#1272615, BZ#1273769, BZ#1308630, BZ#1349668, BZ#1361287, BZ#1379551, BZ#1400689, BZ#1409365, BZ#1421164, BZ#1429710, BZ#1430637, BZ#1451916, BZ#1454745, BZ#1454965, BZ#1456687, BZ#1457561, BZ#1457572, BZ#1458278, BZ#1465223, BZ#1467288, BZ#1467335, BZ#1468286, BZ#1469857, BZ#1475409, BZ#1481303, BZ#1482253, BZ#1491226, BZ#1494476, BZ#1538911, BZ#1626526 | BZ#947004, BZ#1317099, BZ#1373534, BZ#1383691, BZ#1432288, BZ#1438695, BZ#1442618, BZ#1442784, BZ#1445046, BZ#1446684, BZ#1448534, BZ#1450529, BZ#1457046, BZ#1460106, BZ#1460213, BZ#1460641, BZ#1462363, BZ#1465711, BZ#1467280, BZ#1467521, BZ#1467561, BZ#1469200, BZ#1469247, BZ#1472892, BZ#1476040, BZ#1476709, BZ#1479043, BZ#1506338, BZ#1507821 | BZ#916382, BZ#1109348, BZ#1111712, BZ#1206277, BZ#1230959, BZ#1274459, BZ#1299662, BZ#1305092, BZ#1348508, BZ#1350553, BZ#1387768, BZ#1391561, BZ#1393375, BZ#1414957, BZ#1457533, BZ#1460849 | BZ#1303244, BZ#1367444, BZ#1470932, BZ#1484047, BZ#1486100, BZ#1509444, BZ#1528466, BZ#1535168, BZ#1539686, BZ#1540061, BZ#1540643, BZ#1548055 |
kernel-rt | BZ#1401061, BZ#1462329 | BZ#1297061 | ||
kexec-tools | BZ#1431974 | BZ#1448861, BZ#1476219 | BZ#1549355 | |
kmod | BZ#1361857 | |||
krb5 | BZ#1462982 | BZ#1431198, BZ#1460089 | ||
ksc | BZ#1441455 | |||
libdb | BZ#1349779 | BZ#1460077 | ||
libguestfs | BZ#1172425, BZ#1438710, BZ#1448739, BZ#1451665 | BZ#1472719, BZ#1506572 | BZ#1387213, BZ#1441197, BZ#1477912 | |
libica | BZ#1376836 | |||
libnftnl | BZ#1332585 | |||
libpfm | BZ#1474999 | |||
libreoffice | BZ#1474303 | |||
libreswan | BZ#1300763, BZ#1457904, BZ#1463062, BZ#1471763, BZ#1475434 | BZ#1375750 | BZ#1544463 | |
libsmbios | BZ#1463329 | |||
libstoragemgmt | BZ#1119909 | |||
libusnic_verbs | BZ#916384 | |||
libva | BZ#1456903 | |||
libvirt | BZ#1289368, BZ#1292451, BZ#1472263 | BZ#1283251 | BZ#1532553 | |
libvncserver | BZ#1314814 | |||
libyami | BZ#1456906 | |||
linuxptp | BZ#1002657 | |||
logrotate | BZ#1465720 | |||
lorax | BZ#1458937, BZ#1478448 | BZ#1341280 | ||
lvm2 | BZ#1113681, BZ#1278192 | BZ#1337220 | ||
m17n-db | BZ#1058510 | |||
mailx | BZ#1474130 | |||
mod_nss | BZ#1461580 | |||
mpg123 | BZ#1481753 | |||
mutter | BZ#1481386 | BZ#1500397, BZ#1537529 | ||
net-snmp | BZ#1329338 | |||
netpbm | BZ#1381122 | |||
nftables | BZ#1472261 | BZ#1451404 | ||
nmap | BZ#1460249 | |||
nss | BZ#1395803, BZ#1457789 | BZ#1425514, BZ#1431210, BZ#1432142 | BZ#1510156, BZ#1557015 | |
numpy | BZ#1167156 | |||
opal-prd | BZ#1456536 | |||
opencryptoki | BZ#1456520 | |||
openldap | BZ#1400578 | |||
opensc | BZ#1473418 | |||
openscap | BZ#1505517 | BZ#1556988 | ||
openssh | BZ#1478035 | BZ#1488083, BZ#1496808, BZ#1517226 | BZ#1493406, BZ#1497680 | |
openssl-ibmca | BZ#1456516 | |||
oprofile | BZ#1465354 | |||
oscap-anaconda-addon | BZ#1547609 | |||
その他 | BZ#1432080, BZ#1499059, BZ#1543995, BZ#1578075 | BZ#1062759, BZ#1072107, BZ#1259547, BZ#1464377, BZ#1477977 | BZ#1451876, BZ#1512940, BZ#1515833, BZ#1515918, BZ#1524193, BZ#1532547, BZ#1536004 | |
pacemaker | BZ#1427648, BZ#1461976 | BZ#1394418, BZ#1489728 | ||
pam | BZ#1509338 | |||
parted | BZ#1423357 | BZ#1316239 | ||
pcp | BZ#1472153 | |||
pcs | BZ#1367808, BZ#1415197 | BZ#1421702, BZ#1432283, BZ#1508351 | BZ#1433016 | |
pcsc-lite-ccid | BZ#1435668 | |||
perl-DBD-MySQL | BZ#1311646 | |||
perl-DateTime-TimeZone | BZ#1241818 | |||
perl-HTTP-Daemon | BZ#1413065 | |||
perl-IO-Socket-SSL | BZ#1402588 | |||
perl-version | BZ#1378885 | |||
php | BZ#1410010 | |||
pki-core | BZ#1024558, BZ#1400645, BZ#1419761, BZ#1445532, BZ#1446786, BZ#1452347, BZ#1464549, BZ#1469169, BZ#1473452, BZ#1523410, BZ#1523443 | BZ#1402280, BZ#1404794, BZ#1446579, BZ#1461217, BZ#1461524, BZ#1465142, BZ#1474658, BZ#1479663, BZ#1484359, BZ#1486225, BZ#1491052, BZ#1498957, BZ#1499054, BZ#1500474, BZ#1506819, BZ#1518096, BZ#1520277, BZ#1532759, BZ#1539125, BZ#1541853 | ||
policycoreutils | BZ#1471809 | |||
python | BZ#1483438 | |||
python-blivet | BZ#1527319 | |||
python-urllib3 | BZ#1434114 | |||
python-virtualenv | BZ#1461154 | |||
qemu-kvm | BZ#1379822, BZ#1411490 | BZ#1455451, BZ#1470244 | BZ#1103193 | |
qemu-kvm-ma | BZ#1400070, BZ#1465503, BZ#1531672 | |||
qgnomeplatform | BZ#1479351 | |||
qt5-qtbase | BZ#1479097 | |||
quota | BZ#1393849 | |||
rear | BZ#1388653, BZ#1479002, BZ#1492177, BZ#1506231, BZ#1532676 | BZ#1498748, BZ#1534646 | ||
resource-agents | BZ#1436189 | BZ#1445628, BZ#1457382, BZ#1462802 | ||
rhn-client-tools | BZ#1494389 | |||
rhnlib | BZ#1503953 | |||
rhnsd | BZ#1475039, BZ#1480306, BZ#1489989 | |||
rpcbind | BZ#1425758 | |||
rpm | BZ#1278924, BZ#1406611 | |||
rsync | BZ#1393543, BZ#1432899 | |||
samba | BZ#1470048 | |||
sane-backends | BZ#1458903 | |||
sbd | BZ#1462002, BZ#1499864 | BZ#1468580, BZ#1525981 | ||
scap-security-guide | BZ#1404429, BZ#1472499 | |||
scap-workbench | BZ#1479036 | BZ#1533108 | ||
selinux-policy | BZ#1480518, BZ#1494172 | BZ#1470735, BZ#1472722 | ||
setup | BZ#1344007 | BZ#1433020 | ||
smartmontools | BZ#1369731 | |||
sos | BZ#1183243 | |||
spice-gtk | BZ#1540056 | |||
squid | BZ#1452200 | |||
sssd | BZ#1327705, BZ#1400614, BZ#1416150, BZ#1472255 | BZ#1068725 | ||
strace | BZ#1466535 | |||
strongimcv | BZ#755087 | |||
subscription-manager | BZ#1319927, BZ#1329349, BZ#1463325, BZ#1466453, BZ#1499977, BZ#1526622 | BZ#1476817, BZ#1507158, BZ#1519512 | ||
system-config-kdump | BZ#1384943 | |||
system-config-kickstart | BZ#1272068 | |||
systemd | BZ#1384014 | BZ#1455071 | BZ#1284974 | |
systemtap | BZ#1473722 | |||
tang | BZ#1478895 | |||
tboot | BZ#1457529 | |||
tcpdump | BZ#1464390, BZ#1490842 | |||
tftp | BZ#1328827 | |||
tpm2-abrmd | BZ#1492466 | |||
tpm2-tss | BZ#1463097 | |||
tss2 | BZ#1384452 | |||
tuned | BZ#1467576 | BZ#1385838 | ||
unbound | BZ#1251440 | |||
usbguard | BZ#1480100 | |||
valgrind | BZ#1473725 | |||
vdo | BZ#1480047 | |||
vim | BZ#1267826, BZ#1319760 | |||
virt-manager | BZ#1472271 | |||
virt-what | BZ#1476878 | |||
virt-who | BZ#1408556, BZ#1436617 | BZ#1389729, BZ#1461417, BZ#1485865 | ||
wayland | BZ#1481411 | |||
webkitgtk4 | BZ#1476707 | |||
xorg-x11-drivers | BZ#1516970 | |||
xorg-x11-drv-intel | BZ#1545550 | |||
xorg-x11-server | BZ#1478625, BZ#1499129 | |||
yum | BZ#1432319 | BZ#1458841 | ||
yum-utils | BZ#1437636, BZ#1470647 | BZ#1428210, BZ#1455318 |
付録C 更新履歴
改訂履歴 | |||||||
---|---|---|---|---|---|---|---|
改訂 0.2-8 | Thu Apr 13 2023 | ||||||
| |||||||
改訂 0.2-7 | Wed Sep 2 2020 | ||||||
| |||||||
改訂 0.2-6 | Wed Feb 12 2020 | ||||||
| |||||||
改訂 0.2-5 | Mon Feb 03 2020 | ||||||
| |||||||
改訂 0.2-5 | Mon Oct 07 2019 | ||||||
| |||||||
改訂 0.2-4 | Thu Jul 11 2019 | ||||||
| |||||||
改訂 0.2-3 | Wed May 29 2019 | ||||||
| |||||||
改訂 0.2-2 | Mon May 13 2019 | ||||||
| |||||||
改訂 0.2-1 | Sun Apr 28 2019 | ||||||
| |||||||
改訂 0.2-0 | Fri Apr 12 2019 | ||||||
| |||||||
改訂 0.1-9 | Wed Apr 10 2019 | ||||||
| |||||||
改訂 0.1-8 | Mon Feb 04 2019 | ||||||
| |||||||
改訂 0.1-7 | Thu Sep 13 2018 | ||||||
| |||||||
改訂 0.1-6 | Tue Aug 28 2018 | ||||||
| |||||||
改訂 0.1-5 | Tue Jul 31 2018 | ||||||
| |||||||
改訂 0.1-4 | Tue Jul 17 2018 | ||||||
| |||||||
改訂 0.1-3 | Wed Jul 04 2018 | ||||||
| |||||||
改訂 0.1-2 | Wed Jun 13 2018 | ||||||
| |||||||
改訂 0.1-1 | Fri May 18 2018 | ||||||
| |||||||
改訂 0.1-0 | Tue May 15 2018 | ||||||
| |||||||
改訂 0.0-9 | Tue Apr 24 2018 | ||||||
| |||||||
改訂 0.0-8 | Tue Apr 17 2018 | ||||||
| |||||||
改訂 0.0-7 | Fri Apr 13 2018 | ||||||
| |||||||
改訂 0.0-6 | Tue Apr 10 2018 | ||||||
| |||||||
改訂 0.0-1 | Wed Jan 24 2018 | ||||||
|
法律上の通知
Copyright © 2018-2020 Red Hat, Inc.
このドキュメントは、Red Hat が Creative Commons Attribution-ShareAlike 3.0 Unported License に基づいてライセンスを提供しています。If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original.If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent.Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission.We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.