7.5 リリースノート


Red Hat Enterprise Linux 7

Red Hat Enterprise Linux 7.5 リリースノート

Red Hat Customer Content Services

概要

本リリースノートでは、Red Hat Enterprise Linux 7.5 での改良点および実装された追加機能の概要、本リリースにおける既知の問題などを説明します。また、重要なバグ修正、テクニカルプレビュー、非推奨の機能などの詳細も説明します。

はじめに

セキュリティー、機能拡張、バグ修正によるエラータなどを集約したものが Red Hat Enterprise Linux (RHEL) のマイナーリリースになります。『Red Hat Enterprise Linux 7.5 リリースノート』 ドキュメントでは、今回のマイナーリリースで Red Hat Enterprise Linux 7 オペレーティングシステム、および付随するアプリケーションに追加された主な変更を説明します。また、既知の問題、および現在利用可能なすべてのテクノロジープレビューの詳細な一覧も紹介します。
他のバージョンと比較した Red Hat Enterprise Linux 7 の機能および制限は、https://access.redhat.com/articles/rhel-limits で利用可能な Red Hat ナレッジベースの記事を参照してください。
このリリースで配布されるパッケージは、Red Hat EnterpriseLinux7 パッケージマニフェスト に記載されています。Red Hat Enterprise Linux 6 からの移行は、Migration Planning Guide. で説明されています。
Red Hat Enterprise Linux のライフサイクルに関する詳細は、https://access.redhat.com/support/policy/updates/errata/ を参照してください。

第1章 概要

セキュリティーおよびコンプライアンス
  • クラウドおよびリモートでホストされるシステムのセキュリティーの向上と使いやすさの強化により、起動時にネットワークバインドディスク暗号化デバイスのロックをより安全に解除できるようになります。これにより、不便なタイミングで行われることが多い起動プロセス中に手動で介入する必要がなくなります。
  • Red Hat Ansible Automation と OpenSCAP の統合により、コンプライアンス問題の修復の自動化が容易になり、管理者は環境全体にポリシーをより効率的にデプロイできるようになります。
  • Precision Time Protocol (PTP) および Network Time Protocol (NTP) のボンディングインターフェイスによるフェイルオーバーの追加により、正確なタイムスタンプと同期のニーズに対応するコンプライアンスが向上しました。
詳細は、14章セキュリティーおよび7章コンパイラーおよびツールを参照してください。
パフォーマンスと効率
  • インライン重複排除とプライマリーストレージの圧縮を通じてデータの冗長性を削減するように設計された Virtual Data Optimizer (VDO) の導入。組み込まれたデータ削減テクノロジーにより、ストレージ効率が向上し、ストレージのコストが削減されます。
  • 分散ファイルシステム (DFS) は、サーバーメッセージブロック (SMB) プロトコルバージョン 2 および 3 でサポートされています。これにより、Windows システム管理者は複数の SMB ファイルシステムを単一の仮想ファイルシステムに結合できるようになります。
詳しくは、16章ストレージ9章ファイルシステム をご覧ください。
プラットフォームの管理性
  • Cockpit 管理者コンソールの使いやすさが向上しました。これは、個々のシステムのストレージ、ネットワーキング、コンテナー、サービスなどを管理するためのインターフェイスを簡素化するように設計されています。
  • 新しいユーティリティー boomは、LVM スナップショットとイメージのブートローダーエントリーの管理を改善するためのコマンドラインツールと API を提供します。
ID 管理とアクセス制御
  • Windows Server 2016 のフォレストおよびドメインの機能レベルが、Identity Management によるフォレスト間信頼でサポートされるようになりました。
  • Directory Server でのレプリケーション競合エントリーの処理が強化されました。
  • OpenLDAP スイートは、ネットワークセキュリティーサービス (Mozilla NSS) の Mozilla 実装ではなく、OpenSSL ライブラリーを使用してコンパイルされるようになりました。
  • samba パッケージはアップストリームバージョン 4.7.1 にアップグレードされました。特に、Red Hat Enterprise Linux の Samba スイートはデフォルトで SMB プロトコルバージョン 3 を使用するようになりました。
  • System Security Services Daemon (SSSD) の複数の機能拡張が導入されました。
  • Identity Management が提供する Active Directory 統合ソリューションのパフォーマンスと安定性が強化されました。
詳細は、5章認証および相互運用性 を参照してください。
新しいカーネルバージョンでのアーキテクチャーのサポート
Red Hat Enterprise Linux 7.5 は、カーネルバージョン 4.14 を含む kernel-alt パッケージとともに配布されます。このカーネルバージョンは、次のアーキテクチャーをサポートします。
  • 64 ビット ARM
  • IBM POWER9 (リトルエンディアン)
  • IBM Z
詳細は、??? を参照してください。
仮想化
  • KVM 仮想化が IBM POWER8 システムでサポートされるようになりました。さらに、この更新では、IBM POWER9 (リトルエンディアン) および IBM Z アーキテクチャーでの KVM 仮想化のサポートが導入されています。ただし、これらには、kernel-alt パッケージによって提供されるカーネルバージョン 4.14 を使用する必要があります。
詳細は、18章仮想化??? を参照してください。
Red Hat Insights
Red Hat Enterprise Linux 7.2 以降では、Red Hat Insights サービスを利用できます。Red Hat Insights は、デプロイメントに影響を与える前に既知の技術的問題を特定、検証、および解決できるように設計されたプロアクティブなサービスです。Insights は、Red Hat サポートエンジニアの知識、文書化されたソリューション、および解決された問題を活用して、関連する実用的な情報をシステム管理者に提供します。
このサービスは、カスタマーポータル で、または Red Hat Satellite を介してホストされ、提供されます。システムを登録するには、Getting Started Guide for Insights に従ってください。
Red Hat Customer Portal Labs
Red Hat カスタマーポータルラボ は、カスタマーポータルの https://access.redhat.com/labs/ セクションで利用可能なツールセットです。Red Hat Customer Portal Labs のアプリケーションは、パフォーマンスの向上、問題の迅速なトラブルシューティング、セキュリティー問題の特定、複雑なアプリケーションの迅速なデプロイメントおよび設定に役立ちます。最も一般的なアプリケーションには、以下のものがあります。

第2章 アーキテクチャー

Red Hat Enterprise Linux 7.5 には、カーネルバージョン 3.10.0-862 が同梱されており、以下のアーキテクチャーに対応します。[1]
  • 64 ビット AMD
  • 64 ビット Intel
  • IBM POWER7+ および POWER8 (ビッグエンディアン) [2]
  • IBM POWER8 (リトルエンディアン) [3]
  • IBM Z [4]
kernel-alt パッケージでのアーキテクチャーのサポート
Red Hat Enterprise Linux 7.5 は、カーネルバージョン 4.14 を含む kernel-alt パッケージとともに配布されます。このカーネルバージョンは、次のアーキテクチャーをサポートします。
  • 64 ビット ARM
  • IBM POWER9 (リトルエンディアン) [5]
  • IBM Z
次の表は、Red Hat Enterprise Linux 7.5 で利用可能な 2 つのカーネルバージョンでサポートされるアーキテクチャーの概要を示しています。
表2.1 Red Hat Enterprise Linux 7.5 でサポートされるアーキテクチャー
アーキテクチャー
カーネルバージョン 3.10
カーネルバージョン 4.14
64 ビット AMD および Intelはいいいえ
64 ビット ARMいいえはい
IBM POWER7 (ビッグエンディアン)はいいいえ
IBM POWER8 (ビッグエンディアン)はいいいえ
IBM POWER8 (リトルエンディアン)はいいいえ
IBM POWER9 (リトルエンディアン)いいえはい
IBM z Systemはい[a]はい (ストラクチャー A)
[a] 3.10 カーネルバージョンは、IBM Z 上の KVM 仮想化とコンテナーをサポートしません。これらの機能はどちらも、IBM Z 上の 4.14 カーネルでサポートされています。このオファリングは、構造 A とも呼ばれます。
詳細については、??? および ??? を参照してください。


[1] Red Hat Enterprise Linux 7.5 インストールは、64 ビットハードウェアでのみ対応していることに注意してください。Red Hat Enterprise Linux 7.5 は、以前のバージョンの Red Hat Enterprise Linux を含む 32 ビットのオペレーティングシステムを仮想マシンとして実行できます。
[2] Red Hat Enterprise Linux 7.5 POWER8 (ビッグエンディアン) は、現在、KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 POWER8 システム、および PowerVM の KVM ゲストとしてサポートされます。
[3] Red Hat Enterprise Linux 7.5 POWER8 (リトルエンディアン) は、現在、KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 POWER8 システム、および PowerVM の KVM ゲストとしてサポートされます。また、Red Hat Enterprise Linux 7.5 POWER8 (リトルエンディアン) のゲストは、kernel-alt パッケージを使用するカーネルバージョン 4.14 における POWER8 互換モードで、KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 POWER9 システムでサポートされます。
[4] Red Hat Enterprise Linux 7.5 for IBM Z (カーネルバージョン 3.10 および 4.14 の両方) は、現在、kernel-alt パッケージを使用するカーネルバージョン 4.14 で KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 for IBM Z ホストの KVM ゲストとしてサポートされます。
[5] Red Hat Enterprise Linux 7.5 POWER9 (リトルエンディアン) は、現在、kernel-alt パッケージを使用するカーネルバージョン 4.14 で KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 POWER9 システム、および PowerVM で、KVM ゲストとしてサポートされます。

第3章 外部のカーネルパラメーターに対する重要な変更

本章では、システム管理者向けに、Red Hat Enterprise Linux 7.5 に同梱されるカーネルにおける重要な変更の概要について説明します。この変更には、proc エントリー、sysctl および sysfs のデフォルト値、boot パラメーター、カーネル設定オプションの追加や更新、注目すべき動作の変更などが含まれます。

カーネルパラメーター

amd_iommu_intr = [HW,X86-64]
次の AMD IOMMU 割り込み再マッピングモードのいずれかを指定します。
レガシー - レガシー割り込み再マッピングモードを使用します。
vapic - 仮想 APIC モードを使用します。これにより、IOMMU がゲストに直接割り込みを挿入できるようになります。このモードには kvm-amd.avic=1 が必要です。これは、IOMMU HW サポートが存在する場合のデフォルトです。
debug_pagealloc = [KNL]
CONFIG_DEBUG_PAGEALLOC が設定されている場合、このパラメーターは起動時にこの機能を有効にします。これはデフォルトでは無効になります。デバッグページ割り当て に大量のメモリーが割り当てられるのを避けるには、ブート時にページ割り当てを有効にしないでください。そうすれば、オペレーティングシステムは、CONFIG_DEBUG_PAGEALLOC を使用せずに構築されたカーネルと同様に動作します。
この機能を有効にするには、debug_pagealloc = on を使用します。
ftrace_graph_max_depth = uint[FTRACE]
このパラメーターは関数グラフトレーサーで使用されます。これは、関数をトレースする最大の深さを定義します。その値は、tracefs トレースディレクトリー内の max_graph_ Depth ファイルによって実行時に変更できます。
デフォルト値は 0 で、制限が設定されていないことを意味します。
init_pkru = [x86]
すべてのプロセスのデフォルトのメモリー保護鍵の権限レジスターの内容を指定します。
デフォルト値は 0x55555554 で、pkey 0 以外のすべてへのアクセスが禁止されます。ブート後に debugfs ファイルシステムの値をオーバーライドできます。
nopku = [x86]
一部の Intel CPU にあるメモリー保護キー CPU 機能を無効にします。
mem_encrypt = [X86-64]
AMD Secure Memory Encryption (SME) 制御を提供します。有効な引数は、on、off です。
デフォルト設定はカーネル設定オプションによって異なります。
on : CONFIG_AMD_MEM_ENCRYPT_ACTIVE_BY_DEFAULT=y
off : CONFIG_AMD_MEM_ENCRYPT_ACTIVE_BY_DEFAULT=n
mem_encrypt=on: SME をアクティブ化する
mem_encrypt=off: SME をアクティブ化しない

Spectre および Meltdown の問題を軽減するカーネルパラメーター

kpti = [X86-64]
カーネルページテーブルの分離を有効にします。
nopti = [X86-64]
カーネルページテーブルの分離を無効にします。
nospectre_v2 = [X86]
Spectre バリアント 2 (間接分岐スペキュレーション) の脆弱性に対するすべての緩和策を無効にします。このオプションを使用すると、オペレーティングシステムによってデータ漏洩が許可される可能性があります。これは spectre_v2=off と同等です。
spectre_v2 = [X86]
Spectre バリアント 2 (間接分岐スペキュレーション) の脆弱性の軽減を制御します。
有効な引数は、on、off、auto です。
on: 無条件に有効にする
off: 無条件に無効にする
auto: カーネルが CPU モデルが脆弱かどうかを検出します
on を選択すると、CPU、利用可能なマイクロコード、CONFIG_RETPOLINE 設定オプション、カーネルがビルドされたコンパイラーに応じて、実行時に緩和方法が選択されます (auto も可能です)。
特定の軽減策を手動で選択することもできます。
retpoline: 間接分岐を置き換えます
ibrs: インテル: Indirect Branch Restricted Speculation (カーネル)
ibrs_always: Intel: Indirect Branch Restricted Speculation (カーネルおよびユーザー空間)
このオプションを指定しないことは、spectre_v2=auto と同等です。

/proc/sys/net/core エントリーを更新しました

dev_weight_rx_bias
RFSaRFS などの RPS 処理は、softirq サイクル netdev_budget ごとにドライバーの登録済み NAPI ポーリング関数と競合します。
このパラメーターは、RX SoftIRQ サイクル中に RPS ベースのパケット処理に費やされる、設定された netdev_budget の割合に影響します。また、現在の dev_weight が、ネットワークスタックの送信側での受信時の非対称 CPU ニーズに適応できるようになります。
このパラメーターは CPU ごとに有効です。決定は dev_weight に基づいて行われ、乗算方法 (dev_weight * dev_weight_rx_bias) で計算されます。デフォルト値は 1 です。
dev_weight_tx_bias
このパラメーターは、TX Softirq サイクル中に処理できるパケットの最大数を調整します。
これは CPU ごとに効果があり、非対称ネットスタック処理のニーズに合わせて現在の dev_weight をスケーリングできます。TX Softirq 処理が CPU を大量に消費しないようにしてください。
決定は dev_weight に基づいて行われ、乗算方法 (dev_weight * dev_weight_rx_bias) で計算されます。デフォルト値は 1 です。

パート I. 新機能

ここでは、Red Hat Enterprise Linux 7.5 で導入された新機能と主な機能拡張について説明します。

第4章 全般的な更新

Red Hat Enterprise Linux 6 から Red Hat Enterprise Linux 7 へのインプレースアップグレード

インプレースアップグレードは、既存のオペレーティングシステムを置き換えて、システムを、次のメジャーリリースの Red Hat Enterprise Linux にアップグレードする方法を提供するものです。インプレースアップグレードを実行するには、Preupgrade Assistant を使用します。このユーティリティーは、実際のアップグレードを実行する前にシステムのアップグレード問題を確認し、Red Hat Upgrade Tool に追加のスクリプトを提供します。Preupgrade Assistant が報告した問題をすべて解決したら、Red Hat Upgrade Tool を使用して、システムをアップグレードします。
Preupgrade Assistant および Red Hat Upgrade Tool は Red Hat Enterprise Linux 6 Extras チャンネルで利用可能であることに注意してください。https://access.redhat.com/support/policy/updates/extras を参照してください。(BZ#1432080)

setup パッケージは、予測できない環境設定をオーバーライドする方法を提供するようになりました。

setup パッケージは、環境変数をオーバーライドするための sh.local および csh.local ファイルを、最後に取得される /etc/profile.d ディレクトリーから提供および取得するようになりました。以前は、特に複数のスクリプトが同じ環境変数を変更した場合、未定義の順序により環境設定が予測不能になる可能性がありました。(BZ#1344007)

第5章 認証および相互運用性

Windows Server 2016 のフォレストとドメインの機能レベルが信頼でサポートされるようになりました

Identity Management を使用する場合、Windows Server 2016 のフォレストおよびドメインの機能レベルで実行される Active Directory フォレストに対して、サポートされているフォレストの信頼を確立できるようになりました。(BZ#1484683)

Directory Server は検索結果にレプリケーション競合エントリーを表示しなくなりました

以前は、レプリケーション競合エントリーがレプリケーショントポロジーに存在する場合、Directory Server はデフォルトで検索結果の一部としてそれらを返しました。その結果、サーバーがそのようなエントリーを返した場合、特定の LDAP クライアントは正しく動作しませんでした。この更新により、サーバーは検索で競合エントリーを返さなくなり、明示的に競合エントリーを要求する必要があります。その結果、クライアントは期待どおりに動作します。
さらに、この更新により、より複雑な競合シナリオの解決が向上します。

OpenLDAP は NSS ではなく OpenSSL でコンパイルされるようになりました

以前は、OpenLDAP スイートは、ネットワークセキュリティーサービス (Mozilla NSS) の Mozilla 実装を使用していました。この更新により、OpenLDAP は OpenSSL ライブラリーを使用します。NSS データベース (DB) 内の既存の証明書は、自動的に PEM 形式に展開され、OpenSSL に渡されます。
NSS DB は引き続きサポートされることに注意してください。ただし、PEM ファイルなどの OpenSSL に似た設定は、NSS DB などの NSS に似た設定よりも優先されます。(BZ#1400578)

samba がバージョン 4.7.1 にリベースされました。

samba パッケージがアップストリームバージョン 4.7.1 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点は、以下のとおりです。
  • 以前は、rpc server dynamic port range パラメーターの既定値は 1024-1300 でした。今回の更新で、デフォルトが 49152-65535 に変更され、Windows Server 2008 以降で使用される範囲に一致するようになりました。必要に応じてファイアウォールルールを更新します。
  • Samba は、Intel CPU の Advanced Encryption Standard (AES) 命令セットを使用して、Server Message Block (SMB) 3 の署名および暗号化操作を高速化するようになりました。
  • ntlm auth パラメーターのオプションが拡張されました。このパラメーターは、ntlmv2-only (エイリアス no)、ntlmv1-permitted (エイリアス yes)、mschapv2-and-ntlmv2-only、および disabled オプションを受け入れるようになりました。さらに、デフォルト値の名前が no から ntlmv2-only に変更されました。
  • smbclient ユーティリティーでは、サーバーに接続するときにドメイン、オペレーティングシステム、サーバーのバージョンを示すバナーが表示されなくなりました。
  • クライアント最大プロトコル パラメーターのデフォルト値が SMB3_11 に変更されました。これにより、smbclient などのユーティリティーは、プロトコルバージョンを設定せずに SMB 3.11 プロトコルを使用してサーバーに接続できるようになります。
  • 相互運用性を向上させるため、Samba は CTDB クラスター内でのマイナーバージョンの混在の使用をサポートしなくなりました。
Samba は、smbd デーモン、nmbd デーモン、または winbind デーモンの起動時に、その tdb データベースファイルを自動的に更新します。Samba を起動する前にデータベースファイルがバックアップされます。Red Hat は、tdb データベースファイルのダウングレードには対応していないことに注意してください。
主な変更の詳細は、更新前にアップストリームのリリースノートを参照してください。

SSSD LDAP プロバイダーは、ユーザーのユーザープライベートグループを自動的に作成できるようになりました。

System Security Services Daemon (SSSD) LDAP プロバイダーを使用する場合、ユーザーグループを各ユーザーに割り当てる必要があります。以前は、管理者は各ユーザーのグループを手動で作成する必要がありました。この更新により、SSSD はユーザーエントリーからユーザープライベートグループを自動的に生成し、UID と GID が一致することを確認します。この機能を有効にするには、/etc/sssd/sssd.conf ファイルの LDAP プロバイダーセクションで auto_private_groups オプションを有効にします。(BZ#1327705)

AD ドメインに登録された SSSD は、最初の接続が成功した後に検出された AD サイトを記憶します

以前は、システムセキュリティーサービスデーモン (SSSD) は、クライアントの AD サイトを特定するために、任意の Active Directory (AD) ドメインコントローラー (DC) に LDAP ping を送信していました。接続された DC に到達できない場合は、タイムアウトが発生し、接続が数秒遅れました。今回の更新により、SSSD は最初に成功した検出後にクライアントのサイトを記憶します。後続のすべての LDAP ping はクライアントのサイトから DC 上で実行されるため、要求の高速化に役立ちます。(BZ#1400614)

SSSD はステータスの変化を syslog に記録します

以前は、System Security Services Daemon (SSSD) は、オンラインまたはオフラインのステータスの変更に関する情報を SSSD ログにのみ記録していました。この更新により、SSSD ステータスの変更が syslog サービスにも記録されるため、システム管理者による情報の可用性が向上します。(BZ#1416150)

SSSD のパフォーマンスが向上しました

この更新では、System Security Services Daemon (SSSD) のパフォーマンス関連の機能強化がいくつか提供されます。以下に例を示します。
  • 欠落していたいくつかのインデックスが SSSD キャッシュに追加され、キャッシュされたオブジェクトの検索が高速化されました。
  • ユーザーとグループの保存方法を変更することにより、キャッシュに多数のキャッシュされたオブジェクトが設定された後に発生する SSSD キャッシュのパフォーマンスの低下が防止されます。
その結果、SSSD はユーザーおよびグループオブジェクト、特に大規模なグループをより高速に読み取ります。また、キャッシュサイズやキャッシュオブジェクトの数が増加した場合でも、SSSD キャッシュのパフォーマンスが安定した状態を維持できるようになりました。(BZ#1472255, BZ#1482555)

pwdhash ユーティリティーは、設定ディレクトリーからストレージスキームを取得できるようになりました。

以前は、設定ディレクトリーへのパスを pwdhash に渡すと、ユーティリティーはディレクトリーサーバーのデフォルトのストレージスキームを使用してパスワードを暗号化していました。この更新により、/etc/dirsrv/slapd- instance_name/dse.ldif ファイルに対する読み取り権限を持つユーザーとして pwdhash を実行する場合、pwdhash ユーティリティーは、cn=config エントリーの nsslapd-rootpwstoragescheme 属性で設定されたストレージスキームを使用します。その結果、Directory Server のデフォルトと異なる場合でも、前述のシナリオでストレージスキームを指定する必要がなくなりました。(BZ#1467777)

2 つの Directory Server インスタンスを比較する新しいユーティリティー

この更新により、ds-replcheck ユーティリティーが Directory Server に追加されます。このユーティリティーは、オンラインモードでは 2 つのサーバーのデータを比較し、オフラインモードでは 2 つの LDIF 形式のファイルを比較します。その結果、2 つの Directory Server のレプリケーションの整合性を検証できるようになりました。

Directory Server は、読み取り専用レプリカでの memberOf プラグインの有効化をサポートするようになりました。

以前に読み取り専用のディレクトリーサーバーレプリカサーバー上で memberOf プラグインを有効にした場合、プラグインはメンバーエントリーを更新できませんでした。レプリケーショントポロジーでプラグインを使用するには、書き込み可能なサーバーでのみプラグインを有効にし、memberOf 属性を読み取り専用レプリカにレプリケートする必要があります。この更新により、すべてのサーバーでプラグインを有効にすることもできるようになりました。その結果、読み取り専用サーバーでも書き込み可能なサーバーと同じようにプラグインを使用できます。

Directory Server がバージョン 1.3.7.5 にリベース

389-ds-base パッケージがアップストリームバージョン 1.3.7.5 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点の一覧については、更新前にアップストリームのリリースノートを参照してください。

ディレクトリーサーバーは追加のパスワード保存スキームをサポートします

互換性上の理由から、この更新では、次の脆弱なパスワード保存スキームのサポートがディレクトリーサーバーに追加されます。
  • CRYPT-MD5
  • CRYPT-SHA256
  • CRYPT-SHA512
セキュリティー上の理由から、これらの脆弱なストレージスキーマは既存のインストールに対して一時的にのみ使用し、強力なパスワードストレージスキーマへの移行を検討してください。(BZ#1479012)

ディレクトリーサーバーは、ワーカースレッドごとに個別の正規化された DN キャッシュを使用するようになりました。

以前は、複数のワーカースレッドが単一の正規化された識別名 (DN) キャッシュを使用していました。その結果、複数のクライアントがディレクトリーサーバー上で操作を実行すると、パフォーマンスが低下しました。今回の更新により、ディレクトリーサーバーはワーカースレッドごとに個別の正規化された DN キャッシュを作成するようになりました。その結果、前述のシナリオでパフォーマンスが低下することはなくなりました。(BZ#1458536)

pki-core がバージョン 10.5.1 にリベースされました

pki-core パッケージがアップストリームバージョン 10.5.1 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。特に、この更新では、Common Criteria Protection Profile for Certification Authorities Version 2.1 の要件に対応しています。(BZ#1473452)

Certificate System は、CMC を使用した CA、KRA、および OCSP サブシステムのインストールをサポートします

この機能拡張により、CMS (CMC) を介した証明書管理を使用して CA、KRA、または OCSP サブシステムをインストールするメカニズムが提供されます。インストールは 2 つの手順で行われます。インストールの最初のステップでは、システム証明書の証明書署名要求 (CSR) が生成されます。CSR は、CMC を使用してシステム証明書を発行するために使用できます。インストールの 2 番目のステップでは、これらのシステム証明書を使用して、サブシステムのインストールを完了します。(BZ#1464549)

Certificate System は、別のユーザーとして実行されるインスタンスの作成をサポートします

以前は、Certificate System はサービスを開始するために /usr/lib/systemd/system/ ディレクトリーの systemd ユニットファイルのみを使用していました。したがって、pkiuser として別のユーザーまたはグループとして実行するサーバーを作成することはできませんでした。pkispawn ユーティリティーが更新されました。pkispawn に渡された設定ファイルに別のユーザーまたはグループが含まれている場合、ユーティリティーはカスタマイズされた値を含むオーバーライドファイルを /etc/systemd/system/pki-tomcatd@<instance_name>.service.d/user.conf ファイルに作成します。その結果、Certificate System ユーザーをデフォルトとして別のユーザーまたはグループで実行することが可能になります。(BZ#1523410)

Certificate System は、PBKDF2 鍵導出による PBES2 を使用して PKCS #12 ファイルを作成できるようになりました

この更新により、Certificate System が強化され、トークンベースの鍵回復が無効になっている場合に、鍵回復機関 (KRA) から回復された秘密鍵の AES 暗号化のサポートが追加されます。具体的には、AES 暗号化が有効な場合、回復された鍵を含むエクスポートされた PKCS #12 ファイルは、パスワードベースの鍵導出関数 2 (PBKDF2) 鍵導出と AES 128 暗号化を備えた PKCS #5 バージョン 2.0 パスワードベース暗号化仕様バージョン 2 (PBES2) を使用します。PBKDF2 とともに PBES2 を使用すると、Certificate System によって作成されたファイルの安全性が高まります。(BZ#1446786)

Certificate System CA は、以前に発行された署名証明書によって署名された CMC 更新リクエストを処理できるようになりました

この更新により、認証局 (CA) は、以前に発行された署名証明書によって署名された CMS (CMC) による証明書管理の更新要求を処理できるようになります。この実装では、UniqueKeyConstraint 拡張プロファイル制約を備えた caFullCMCUserSignedCert が使用されます。この制約も、失効した証明書によって共有される鍵の更新を禁止するように更新されています。さらに、リクエスト内で同じ鍵を共有する最新の証明書の origNotAfter 属性を保持するため、この属性を RenewGracePeriodConstraint で使用できるようになります。既存の origNotAfter 属性が存在する場合、シリアルフローによる既存の更新 を妨げないように、このプロセスでは上書きされません。さらに、caFullCMCUserSignedCert.cfg プロファイルが更新され、UniqueKeyConstraintRenewGracePeriodConstraint の 両方が含まれるようになりました。これらは正しい順序で配置する必要があります。デフォルトでは、allowSameKeyRenewal パラメーターは UniqueKeyConstrainttrue に設定されていることに注意してください。(BZ#1419761)

Certificate System は Mozilla NSS セキュア乱数ジェネレーターを使用するようになりました

この更新により、Certificate System は Mozilla Network Security Services (NSS) によって提供される安全な乱数ジェネレーターを使用します。これにより、Red Hat Certificate System は、Federal Information Processing Standard (FIPS) 標準の要求に従って、Deterministic Random Bit Generator (DRBG) を Red Hat Enterprise Linux と同期できるようになります。(BZ#1452347)

Certificate System のイベント変更を監査する

Certificate System でより簡潔な監査ログを提供するために、デフォルトで有効になる監査イベントのリストが更新されました。さらに、特定のイベントが統合されるか、その名前が変更されました。
Red Hat Certificate System の監査イベントの完全なリスト (デフォルトで有効になっているサブシステムの情報を含む) については、https://access.redhat.com/documentation/ja-jp/red_hat_certificate_system/9/html/administration_guide/audit_events を参照してください。(BZ#1445532)

krb5 には kdcpolicy インターフェイスが含まれるようになりました

この更新では、kdcpolicy として知られる Kerberos キー配布センター (KDC) ポリシーインターフェイスが krb5 パッケージに導入されます。kdcpolicy を使用すると、管理者は krb5 にプラグインを提供できます。これにより、チケットの有効期間を制御し、サービスチケットの発行をよりきめ細かく制御できるようになります。
詳細は、MIT Kerberos ドキュメント次のを参照してください。https://web.mit.edu/kerberos/krb5-1.16/doc/plugindev/kdcpolicy.html。(BZ#1462982)

Certificate System は、SKI 拡張の設定可能なハッシュアルゴリズムをサポートするようになりました

以前は、Certificate System は、サブジェクトキー識別子 (SKI) 証明書拡張機能を生成するときに SHA1 ハッシュアルゴリズムのみをサポートしていました。この更新により、管理者は証明書プロファイルで SKI 拡張のハッシュアルゴリズムを設定できるようになりました。
次のアルゴリズムが利用できるようになりました。
  • SHA1
  • SHA256
  • SHA384
  • SHA512
デフォルトのアルゴリズムは依然として SHA1 であることに注意してください。したがって、既存のプロファイルは自動的に更新されません。(BZ#1024558)

pki コマンドラインインターフェイスは、デフォルトの NSS データベースを自動的に作成します

pki コマンドラインインターフェイスでは、ユーザー名とパスワードを使用した基本認証を含む、SSL 接続経由で操作を実行するために、ネットワークセキュリティーサービス (NSS) データベースとそのパスワードが必要です。以前は、データベースが存在しないか、データベースのパスワードが指定されていない場合、pki はエラーを表示しました。コマンドラインインターフェイスが更新され、パスワードなしでデフォルトの NSS データベースが ~/.dogtag/nssdb/ ディレクトリーに自動的に作成されるようになりました。その結果、NSS データベースやパスワードを指定せずに SSL 経由の操作を実行できます。(BZ#1400645)

Certificate System がデフォルトで脆弱な 3DES 暗号を無効にします

デフォルトでは、Certificate System は脆弱な Triple Data Encryption Standard (3DES) に基づく暗号を無効にするようになりました。これにより、システムのセキュリティーが向上します。ただし、管理者は必要に応じてこれらの暗号を再度有効にすることができます。詳細は、https://access.redhat.com/documentation/ja-jp/red_hat_certificate_system/9/html/administration_guide/cconfiguring-ciphers を参照してください。
その結果、新しい Certificate System のインストールでは、デフォルトで強力な暗号のみが有効になります。(BZ#1469169)

Certificate System CA サブシステムの OCSP プロバイダーには、応答に nextUpdate フィールドが含まれるようになりました

認証局 (CA) が証明書失効リスト (CRL) キャッシュを使用するように設定されている場合、CA サブシステムのオンライン証明書ステータスプロトコル (OCSP) レスポンダーには、OCSP 応答に nextUpdate フィールドが含まれるようになりました。その結果、このようなシナリオでは、Lightweight OCSP Profile (RFC 5019) に準拠するクライアントが OCSP 応答を処理できるようになりました。(BZ#1523443)

ding-libs がバージョン 0.6.1 にリベースされました

ding-libs パッケージはバージョン 0.6.1 にアップグレードされました。最も注目すべき変更は、値の文字数に対するハードコードされた制限が削除され、使用可能なメモリー量のみが制限になったため、ding-libs がより大きな値を処理できるようになったということです。(BZ#1480270)

第6章 クラスタリング

Pacemaker クラスターをクエリーするための新しい SNMP エージェント

新しい pcs_snmp_agent エージェントを使用すると、SNMP を使用して Pacemaker クラスターにデータをクエリーできます。このエージェントは、クラスター、そのノード、およびそのリソースに関する基本情報を提供します。このエージェントの設定の詳細については、pcs_snmp_agent (8) man ページおよび High Availability Add-On Reference を参照してください。(BZ#1367808)

Amazon Web Services での Red Hat Enterprise Linux High Availability クラスターのサポート

Red Hat Enterprise Linux 7.5 は、Amazon Web Services (AWS) 上の仮想マシン (VM) の高可用性クラスターをサポートします。AWS での Red Hat Enterprise Linux High Availability Cluster の設定については、https://access.redhat.com/articles/3354781 を参照してください。(BZ#1451776)

Microsoft Azure での Red Hat Enterprise Linux High Availability クラスターのサポート

Red Hat Enterprise Linux 7.5 は、Microsoft Azure の仮想マシン (VM) の高可用性クラスターをサポートします。Microsoft Azure での Red Hat Enterprise Linux High Availability クラスターの設定は、https://access.redhat.com/articles/3252491 を参照してください。(BZ#1476009)

関連パラメーターが変更された場合にのみ、リソースのクリーンアップでフェンス解除が行われます

以前は、フェンシング解除をサポートするフェンスデバイス (fence_scsifence_mpath など) を含むクラスターでは、一般的なリソースのクリーンアップまたは stonith リソースのクリーンアップを行うと、すべてのリソースの再起動を含め、常にフェンシングが解除されていました。現在、フェンシング解除は、フェンシング解除をサポートするデバイスのパラメーターが変更された場合にのみ行われます。(BZ#1427648)

pcsd ポートが設定可能になりました

pcsd がリッスンするポートを pcsd 設定ファイルで変更できるようになり、pcs はカスタムポートを使用して pcsd と通信できるようになりました。この機能は主にコンテナー内で pcsd を使用するためのものです。(BZ#1415197)

フェンシングとリソースエージェントが AWS Python ライブラリーと CLI クライアントでサポートされるようになりました

この機能強化により、高可用性セットアップでフェンシングとリソースエージェントをサポートするために、Amazon Web Services Python ライブラリー (python-boto3、python-botocore、および python-s3transfer) と CLI クライアント (awscli) が追加されました。(BZ#1512020)

HA セットアップでのフェンシングが Azure Python ライブラリーでサポートされるようになりました

この機能強化により、高可用性セットアップでのフェンシングをサポートするために、Azure Python ライブラリー (python-isodate、python-jwt、python-adal、python-msrest、python-msrestazure、および python-azure-sdk) が追加されました。(BZ#1512021)

sbd バイナリーに新機能が追加されました。

コマンドラインツールとして使用される sbd バイナリーは、次の追加機能を提供するようになりました。
  • ウォッチドッグデバイスの機能を簡単に検証
  • 利用可能なウォッチドッグデバイスのリストをクエリーする機能
sbd コマンドラインツールの詳細は、man ページの sbd(8) を参照してください。(BZ#1462002)

sbd はバージョン 1.3.1 にリベース

sbd パッケージはアップストリームバージョン 1.3.1 にリベースされました。このバージョンでは次の変更が加えられています。
  • ウォッチドッグデバイスをテストおよびクエリーするためのコマンドを追加します
  • コマンドラインオプションと設定ファイルを徹底的に見直します。
  • reboot の代わりに off アクションを適切に処理する (BZ# 1499864)

リソースアクションが保留中の場合、クラスターステータスがデフォルトで表示されるようになりました

Pacemaker は、以前はデフォルトで false に設定されていた record-pending オプションをサポートします。つまり、クラスターのステータスにはリソースの現在のステータス (開始または停止) のみが表示されます。現在、record-pending のデフォルトは true です。これは、リソースが起動中または停止中であるときにクラスターのステータスも表示される可能性があることを意味します。(BZ#1461976)

clufter がバージョン 0.77.0 にリベースされました

clufter パッケージはアップストリームバージョン 0.77.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正、新機能、ユーザーエクスペリエンスの強化が提供されます。更新内容は、以下のとおりです。
  • clufter を使用して pcs2pcscmd-needle コマンドで既存の設定を変換する場合、corosync.conf の同等のコマンドで cluster_name オプションが省略されている場合 (標準の pcs で開始される設定の場合はそうではありません)、含まれている pcs クラスターセットアップ の呼び出しによって、最初に指定されたノードの名前が必要なクラスター名の指定として解釈されてクラスターの設定ミスが発生することがなくなりました。元の設定を正確に反映するために、同じ呼び出しに --encryption 0|1 スイッチ (使用可能な場合) が含まれるようになりました。
  • clufter コマンドの ccs2pcscmd および pcs2pcscmd ファミリーで生成されるスクリプトのような出力シーケンスでは、意図したシェルインタープリターが有効な形式で出力されるようになり、それぞれのコメント行がオペレーティングシステムによって受け入れられるようになります。(BZ#1381531)
  • clufter ツールは、該当する場合に既存の設定を反映するための pcs コマンドの設定シーケンスを生成する際に、pcs で容易になった最近追加されたいくつかの設定手段 (クォーラムデバイスのヒューリスティック、最上位の バンドル リソースユニットのメタ属性) もカバーするようになりました。
clufter 機能の詳細は、clufter(1) の man ページまたは clufter -h コマンドの出力を参照してください。clufter の使用例は、Red Hat ナレッジベースの記事 https://access.redhat.com/articles/2810031 を参照してください。(BZ#1509381)

Sybase ASE フェイルオーバーのサポート

Red Hat High Availability Add-On は、ocf:heartbeat:sybaseASE リソースを通じて Sybase ASE フェイルオーバーのサポートを提供するようになりました。このリソースに設定できるパラメーターを表示するには、pcs resource description ocf:heartbeat:sybaseASE コマンドを実行します。このエージェントの詳細は、ocf_heartbeat_sybaseASE (7) のman ページを参照してください。(BZ#1436189)

第7章 コンパイラーおよびツール

linuxptp パッケージは、クロック Synchronization のためのアクティブバックアップボンディングをサポートするようになりました。

この更新により、ptp4l アプリケーションで使用されるアクティブバックアップモードのボンドインターフェイスを指定できるようになりました。その結果、ptp4l はボンディングのアクティブインターフェイスのクロックを PTP (Precision Time Protocol) クロックとして使用し、フェイルオーバーの場合にはボンディングの別のインターフェイスにスイッチすることができます。さらに、自動モード (-a オプション) の phc2sys ユーティリティーは、PTP スレーブとして動作する場合はシステムクロックをアクティブインターフェイスの PTP クロックに同期し、PTP マスターとして動作する場合は PTP クロックをシステムクロックに同期できます。(BZ#1002657)

parted は、resizepart コマンドを使用してパーティションのサイズを変更できるようになりました

Resizepart NUMBER END コマンドを使用してディスクパーティションのサイズを変更する機能が、Red Hat Enterprise Linux 7 で配布される Parted ディスクパーティショニングユーティリティーにバックポートされるようになりました。詳細は、parted(8) のman ページを参照してください。
このコマンドはパーティションのサイズのみを変更し、パーティションに存在するファイルシステムのサイズは変更しないことに注意してください。ファイルシステムを拡大または縮小するには、resize2fs などのファイルシステムユーティリティーを使用します。(BZ#1423357)

binutils がバージョン 2.27 にリベース

binutils パッケージはアップストリームバージョン 2.27 にリベースされました。このバージョンでは次の変更が加えられています。
  • 圧縮されたデバッグセクションのサポート
  • リンク時の孤立セクションの処理の改善
  • LLVM プラグインのサポート
  • objcopy ユーティリティーを使用してオブジェクトファイルに新しいシンボルを挿入する機能
  • IBM POWER9 アーキテクチャーのサポート
  • ARMv8.1 および ARMv8.2 命令セット拡張のサポート
さらに、この更新では次のバグが修正されます。
  • 以前は、binutils パッケージには、GNU コーディング規格を説明する standards.info ドキュメントファイルが含まれていませんでした。このファイルは追加され、info コマンドを通じて再び利用できるようになりました。
  • 以前は、IBM Power Systems アーキテクチャー上の ld リンカーは、リンカーコマンドラインで指定された最初のオブジェクトファイルに中間データを保存していました。その結果、そのファイルが出力で使用されずに破棄された場合、リンカーはセグメンテーション違反で予期せず終了しました。リンカーは、データを出力ファイルに直接保存し、入力ファイルの中間ストレージをスキップするように変更されました。その結果、上記の状況でセグメンテーション違反によりリンクが失敗することがなくなりました。(BZ#1385959, BZ#1356856, BZ#1467390, BZ#1513014)

pcp がバージョン 3.12.2 にリベース

Performance Co-Pilot (PCP) アプリケーションはバージョン 3.12.2 にリベースされ、多くの機能強化とバグ修正が含まれています。
コレクターシステムの更新:
  • 次のパフォーマンスメトリックドメインエージェント (PMDA) が更新されました: perfevent、コンテナーおよび CGroups、MySQL スレーブメトリック、Linux プロセスごとのメトリック、およびエントロピー、slabinfo、IPv6 ソケット、および NFSD ワーカースレッドの Linux カーネルメトリック。
  • 新しい PMDA が利用可能になりました: Prometheus エンドポイントと HAProxy。
  • Device Mapper 統計で API が公開されるようになりました。
システムの更新を監視します。
  • 派生メトリック言語はすべてのモニター用に拡張されました。
  • pmchart グラフ作成ユーティリティーには、タイムゾーンと表示のバグの修正が含まれています。
  • pmlogconf 設定ユーティリティーは、hotproc メトリックのログを自動的に有効にし、atop メトリックを追加します。パフォーマンスがさらに最適化されました。
  • pcp-atop 監視ユーティリティーは、新しい --hotproc オプションを認識します。いくつかのバグが修正されました。
  • pcp-pidstat および pcp-mpstat 監視ユーティリティーは、いくつかの新しい出力オプションを認識します。
  • pmrep レポートユーティリティーは、sadf ツールと互換性のあるコンマ区切り値 (CSV) 出力をサポートするようになりました。PCP メトリックをさまざまな形式にエクスポートするための新しいユーティリティー (pcp2zabbixpcp2xmlpcp2json、および pcp2elasticsearch) も追加されました。(BZ#1472153)

さまざまなツールでの DWARF 5 サポートの改善

DWARF デバッグ形式バージョン 5 のサポートが次のツールで拡張されました。
  • elfutils パッケージの eu-readelf ツールは、DWARF 5 のすべてのタグと属性を認識するようになりました。
  • binutils パッケージの readelf および objdump ツールは、DWARF 5 タグ DW_AT_exported_symbols を認識し、デバッグ情報セクションでその存在を正しく報告するようになりました。(BZ#1472955, BZ#1472969)

systemtap がバージョン 3.2 にリベース

SystemTap ユーティリティーがアップストリームバージョン 3.2 に更新されました。主な機能強化は、次のとおりです。
  • 一致した正規表現の展開のサポートが追加されました。
  • 標準入力から入力を受け入れるためのプローブエイリアスが追加されました。
  • トランスレーターの診断が改善されました。
  • 新しい statx システムコールのサポートが追加されました。
  • 部分文字列の位置を検出するための新しい文字列関数 strpos() がstap 言語に追加されました。
さらに、この更新では次のバグが修正されます。
  • 以前は、統計抽出関数 @min() および @max() が誤った値を返していました。その結果、これらの関数に依存するスクリプトは正しく動作しませんでした。@min() 関数と @max() 関数は、正しい最大値と最小値を返すように修正されました。その結果、影響を受けるスクリプトは期待どおりに動作するようになりました。
  • 以前は、一部のカーネルトレースポイントは、プローブできない場合でも、stap -L コマンドでリストされるのに一貫性がありませんでした。SystemTap は修正され、リストされたプローブ可能なトレースポイントセットが再度一致するようになりました。
  • netdev.receive プローブが修正され、再びデータを収集できるようになりました。
  • 壊れた netdev.receive プローブの影響を受けるサンプルスクリプト nettop.stp は、再び期待どおりに動作します。
Red Hat Enterprise Linux のカーネルバージョンは拡張 Berkeley Packet Filter (eBPF) をサポートしていないため、関連するアップストリーム SystemTap 機能は利用できないことに注意してください。(BZ#1473722, BZ#1490862, BZ#1506230, BZ#1485228, BZ#1518462)

valgrind がバージョン 3.13.0 にリベース

valgrind パッケージがバージョン 3.13.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべき変更点は次のとおりです。
  • Valgrind は、大規模なプログラムを実行できるようにいくつかの方法で拡張されています。Valgrind で使用できるメモリーの量が 128 GB に増加しました。その結果、Memcheck ツールは、最大約 60 GB を割り当てるアプリケーションの実行をサポートします。さらに、Valgrind は最大 1200 MB の実行可能ファイルをロードできるようになりました。
  • MemcheckHelgrind、および Massif ツールは、新しい実行ツリー (xtree) 表現を使用して、分析されたアプリケーションのヒープ消費量をレポートできるようになりました。
  • シンボルデマングラーは、C++11 標準と Rust プログラミング言語をサポートするように更新されました。
  • Intel および AMD 64 ビットアーキテクチャーで AVX2 命令を使用したコードの長いブロックで発生する障害が修正されました。
  • PowerPC アーキテクチャーの 64 ビット タイムベース レジスターは、Valgrind によって 32 ビットのみとしてモデル化されなくなりました。
  • IBM Power Systems アーキテクチャーのサポートが拡張され、ISA 3.0B 仕様が含まれるようになりました。
  • 64 ビット ARM アーキテクチャー用のロードリンク命令およびストア条件命令の代替実装が追加されました。代替実装は、必要に応じて自動的に有効になります。手動で有効にするには、--sim-hints=fallback-llsc オプションを使用します。(BZ#1473725, BZ#1508148)

ncat がバージョン 7.50 にリベースされました

nmap-ncat パッケージによって提供される ncat ユーティリティーは、アップストリームバージョン 7.50 にリベースされました。これにより、以前のバージョンに比べて多くのバグ修正と新機能が提供されます。主な変更点は、以下のとおりです。
  • SOCKS5 認証のサポートが追加されました。
  • ポートの状態を素早く確認するための -z オプションが追加されました。
  • --no-shutdown オプションは、リッスンモードだけでなく、接続モードでも機能するようになりました。(BZ#1460249)

rsync がバージョン 3.1.2 にリベースされました

rsync パッケージがアップストリームバージョン 3.1.2 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。
この更新では、次の出力変更が導入されています。
  • 数値のデフォルトの出力形式が 3 桁のグループ (1,234,567 など) に変更されました。
  • --progress オプションの出力が変更されました。次の文字列 xferxfr に、to-checkto-chk に短縮されました。
このバージョンの注目すべき機能強化は次のとおりです。
  • I/O 処理が改善され、データ転送が高速化されました。
  • よりきめ細かい出力のために、新しい --info および --debug オプションが追加されました。
  • ナノ秒の変更時刻を同期する機能が追加されました。
  • コピー操作中にファイルの所有権を操作するための新しいオプション --usermap--groupmap、および --chown が追加されました。
  • 新しい --preallocate オプションが追加されました。(BZ#1432899)

tcpdumpvirtio トラフィックを分析できるようになりました

tcpdump ユーティリティーは、virtio-vsock 通信デバイスをサポートするようになりました。これにより、tcpdump でハイパーバイザーとゲスト仮想マシン間の virtio 通信をフィルタリングして分析できるようになります。(BZ#1464390)

Vim が C++11 の構文ハイライトをサポートするようになりました

Vim テキストエディターでの C++ の構文ハイライトが、C++11 標準をサポートするように強化されました。(BZ#1267826)

Vim は、blowfish2 暗号化メソッドをサポートするようになりました

Blowfish2 暗号化メソッドのサポートが Vim テキストエディターに追加されました。このメソッドは、blowfish よりも強力な暗号化を提供します。blowfish2 暗号化メソッドを設定するには、:setlocal cm=blowfish2 コマンドを使用します。Blowfish2 で暗号化されたファイルは、Red Hat Enterprise Linux 7 と Red Hat Enterprise Linux 6 の間で互換性があることに注意してください。(BZ#1319760)

IO::Socket::SSL Perl モジュールは、デフォルトでシステム全体の CA 証明書ストアを使用するようになりました。

以前は、IO::Socket::SSL Perl モジュールに基づく TLS アプリケーションが認証局 (CA) 証明書への明示的なパスを提供しない場合、認証局が不明であり、ピアの ID を検証できませんでした。この更新により、モジュールはデフォルトでシステム全体の CA 証明書ストアを使用します。ただし、IO::Socket::SSL->new() コンストラクターの SSL_ca_file オプションに undef 値を渡すことで、証明書ストアを無効にすることができます。(BZ#1402588)

perl-DateTime-TimeZone がバージョン 1.70 にリベースされました

perl-DateTime-TimeZone パッケージはアップストリームバージョン 1.70 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能強化が提供されています。以下に例を示します。
  • この更新により、Bugzilla バージョン 5 をインストールできるようになりました。これには、以前に提供されていたシステムよりも新しいバージョンの perl-DateTime-TimeZone が必要です。
  • オルソンタイムゾーンデータベースがバージョン 2017b に更新されました。以前は、DateTime::TimeZone モジュールを使用する Perl 言語で作成されたアプリケーションは、データベースが古いためにバージョン 2013h 以降仕様が変更されたタイムゾーンを誤って処理していました。
  • テイントされたタイムゾーン識別子からのローカルタイムゾーンの使用は修正されました。(BZ#1241818, BZ#1101251)

system-config-kdump は、fadump の実行時に自動または手動の kdump メモリー設定の選択をサポートするようになりました。

この更新により、fadump メモリー予約サポートが system-config-kdump パッケージに追加されます。その結果、Firmware assisted dump が 選択されている場合、ユーザーは Automated kdump memory settings または Manual settings のいずれかを選択できるようになりました。(BZ#1384943)

conman がバージョン 0.2.8 にリベース

conman パッケージがアップストリームバージョン 0.2.8 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点は、以下のとおりです。
  • スケーラビリティが向上しました。
  • Coverity ScanClang の警告が修正され、安定性が向上しました。
  • Intelligent Platform Management Interface (IPMI) Serial Over LAN (SOL) コンソールの数に対する任意の制限が修正されました。
  • conman.conf ファイルの ループバック 設定のデフォルト値が ON に変更されました。(BZ#1435840)

TFTP windowsize オプションのサポートが実装されました

この更新により、RFC 7440 に準拠した windowsize オプションのサポートが Trivial File Transfer Protocol (TFTP) サーバーおよびクライアントに実装されました。windowsize オプションを使用すると、データブロックがバッチで送信されるため、スループットが大幅に向上します。(BZ#1328827)

curl は SOCKS5 での GSSAPI の無効化をサポートするようになりました

SOCKS5 プロキシーの認証方法を制御するために、curl ユーティリティーの新しい --socks5-basic オプションと --socks5-gssapi オプション、および libcurl ライブラリーの対応するオプション CURLOPT_SOCKS5_AUTH が導入されました。(BZ#1409208)

rsync ユーティリティーは、タイムスタンプの元のナノ秒部分を使用してファイルをコピーするようになりました。

以前は、rsync ユーティリティーはファイルのタイムスタンプのナノ秒部分を無視していました。その結果、新しく作成されたファイルのナノ秒のタイムスタンプは常にゼロでした。この更新により、rsync ユーティリティーはナノ秒部分を認識します。その結果、新しくコピーされたファイルは、それをサポートするシステム上で元のナノ秒のタイムスタンプを保持します。(BZ#1393543)

tcpdump がバージョン 4.9.2 にリベース

tcpdump パッケージがアップストリームバージョン 4.9.2 にアップグレードされ、以前のバージョンに比べて多くのバグ修正 (ほぼ 100 個の CVE) と機能拡張が提供されています。主な変更点は、以下のとおりです。
  • OpenSSL 1.1 のセグメンテーション違反が修正され、OpenSSL の使用法が改善されました。
  • バッファーオーバーフローの脆弱性が修正されました。
  • 無限ループの脆弱性が修正されました。
  • 多くのバッファーオーバーリードの脆弱性が修正されました。(BZ#1490842)

OProfile サポートのインテル Xeon プロセッサーファミリーの拡張

OProfile は、インテル Xeon Phi™ プロセッサー x200 および x205 製品ファミリーをサポートするように拡張されました。(BZ#1465354)

libpfmpcp、および papi での Intel Xeon v4 uncore パフォーマンスイベントのサポート

この更新では、Intel Xeon v4 uncore パフォーマンスイベントのサポートが libpfm パフォーマンス監視ライブラリー、pcp ツール、および papi インターフェイスに追加されます。(BZ#1474999)

IBM POWER アーキテクチャーでメモリーコピーのパフォーマンスが向上

以前は、GNU C ライブラリー (glibc) の memcpy() 関数は、64 ビット IBM POWER システム上で非整列ベクトルのロードおよびストア命令を使用していました。したがって、memcpy() を使用して POWER9 システム上のデバイスメモリーにアクセスすると、パフォーマンスが低下します。memcpy() 関数は、調整されたメモリーアクセス命令を使用するように拡張され、POWER9 に関係するメモリーに関係なく、前世代の POWER アーキテクチャーのパフォーマンスに影響を与えることなく、アプリケーションのパフォーマンスを向上させます。(BZ#1498925)

TAI クロックマクロが利用可能

以前は、カーネルは CLOCK_TAI クロックを提供していましたが、それにアクセスするための CLOCK_TAI マクロが glibc ヘッダーファイル time.h にありませんでした。マクロ定義がヘッダーファイルに追加されました。その結果、アプリケーションは CLOCK_TAI カーネルクロックにアクセスできるようになります。(BZ#1448822)

IBM Z での 4 KiB ページテーブルの選択的使用のサポート

この更新では、binutils パッケージの ld リンカーにオプション --s390-pgste が追加され、最下位レベルで 4 KiB のメモリーページテーブルを必要とする IBM Z アーキテクチャー用のアプリケーションにマークが付けられます。その結果、この機能の使用は、それを必要とするアプリケーションのみに制限され、システム上のすべてのアプリケーションでスペースを最適に使用できるようになります。qemu バックエンドは、実行中のすべてのアプリケーションに 4 KiB の最下位レベルのページテーブルを強制しなくなったことに注意してください。アプリケーションで必要な場合は、必ず新しいオプションを指定してください。(BZ#1485398)

IBM Z でのより効率的な glibc 関数

IBM Z アーキテクチャーの追加命令のサポートが glibc ライブラリーに追加されました。その結果、このアーキテクチャー用にコンパイルされたプログラムは、glibc 関数のパフォーマンス向上の恩恵を受けることができます。(BZ#1375235)

ld リンカーは、位置依存コードと独立コードを誤って結合しなくなりました。

以前は、ld リンカーは、オブジェクトファイルが位置独立実行可能ファイル (PIE) 用にビルドされているかどうかを考慮せずに、IBM Z プラットフォーム上のオブジェクトファイルを結合していました。PIE コードと非 PIE コードを組み合わせることができないため、実行できない実行可能ファイルが作成される可能性がありました。リンカは、PIE コードと非 PIE コードの混合を検出し、この場合にエラーメッセージを生成するように拡張されました。その結果、この方法では壊れた実行可能ファイルを作成できなくなります。(BZ#1406430)

python-virtualenv が 15.1.0 にリベースされました

python-virtualenv パッケージはバージョン 15.1.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能強化が提供されています。この更新により、setuptools がバージョン 28.0.0 に、pip がバージョン 9.0.1 にバンドルされたパッケージがアップグレードされました。(BZ#1461154)

python-urllib3subjectAltName の IP アドレスをサポートします

接続プーリングとファイル POST 機能を備えた Python HTTP モジュールである python-urllib3 パッケージは、subjectAltName (SAN) フィールドで IP アドレスをサポートするようになりました。(BZ#1434114)

GCC に追加された retpoline のサポート

今回の更新で、GCC への retpoline に対応するようになりました。Retpolines は、CVE-2017-5715 で説明されている Spectre Variant 2 攻撃を軽減するオーバーヘッドを削減するためにカーネルによって使用される手法です。(BZ#1535655)

Shenandoah ガベージコレクターが完全にサポートされるようになりました

以前はテクノロジープレビューとして利用可能であった、OpenJDK 用の低停止時間 Shenandoah ガベージコレクターが、Intel 64、AMD64、および 64 ビット ARM アーキテクチャーで完全にサポートされるようになりました。Shenandoah は同時退避を実行します。これにより、ユーザーは長い休止時間なしで大きなヒープで実行できます。詳細は、https://wiki.openjdk.java.net/display/shenandoah/Main を参照してください。(BZ#1578075)

第8章 デスクトップ

GNOME Shell がバージョン 3.26 にリベースされました

Red Hat Enterprise Linux 7.5 では、GNOME Shell がアップストリームバージョン 3.26 にリベースされました。主な機能強化は、次のとおりです。
  • システム検索では、更新されたレイアウトで結果が読みやすくなり、一度により多くの項目が表示されるようになりました。さらに、システムアクションを検索できるようになりました。
  • 設定 アプリケーションのレイアウトが新しくなりました。
  • 絵文字を挿入するさまざまな方法が GNOME 3.26 に導入されました。これには、Characters アプリケーションと、GNOME IRC クライアントである Polari が含まれます。
  • GNOME の表示設定が再設計されました。
  • GNOME 3.26 では、画面の左下部分にステータスアイコンが表示されなくなりました。デフォルトのセッションである GNOME Classic には、ステータストレイ機能を提供する TopIcons 拡張機能がデフォルトで含まれるようになりました。GNOME Clasic 以外のセッションタイプのユーザーは、TopIcons 拡張機能を手動でインストールできます。
変更の完全なリストは、https://help.gnome.org/misc/release-notes/3.26/ (BZ# 1481381) を参照してください。

gnome-settings-daemon がバージョン 3.26 にリベースされました

gnome-settings-daemon は、Wayland 表示サーバープロトコル、より具体的にはフラクショナルモニタースケーリングを有効にするためにリベースされました。単一の gnome-settings-daemon プロセスの代わりに、ユーザーはセッション内で実行されている gsd-* という名前のプロセスのコレクションに注目できるようになりました。(BZ#1481410)

libreoffice がバージョン 5.3 にリベースされました

LibreOffice オフィススイートがバージョン 5.3 にアップグレードされました。これには、以前のバージョンに比べて多くの機能強化が含まれています。
  • LibreOffice には、MUFFIN (My User Friendly & Flexible INterface) と呼ばれる新しい LibreOffice UI が導入されています。
  • LibreOffice Writer には、テキスト領域内を移動するための新しい ページに移動 ダイアログが含まれています。
  • LibreOffice Writer には、新しいテーブルスタイル機能も導入されています。
  • 新しい Arrows ツールボックスが LibreOffice に追加されました。
  • Calc では、数値の書式設定とデフォルトのセルスタイルが改善されました。
  • 新しいテンプレートセレクターが LibreOffice Impress に追加されました
LibreOffice BaseFirebird 2.5 データを読み取ることができなくなりました。LibreOffice の以前のバージョンで作成された埋め込み .odb ファイルは、このバージョンと互換性がありません。
変更の完全なリストについては、https://wiki.documentfoundation.org/ReleaseNotes/5.3 (BZ# 1474303) を参照してください。

GIMP がバージョン 2.8.22 にリベースされました

GNU Image Manipulation Program (GIMP) バージョン 2.8.22 には、次の重要なバグ修正と拡張機能が含まれています。
コア
  • 既存の .xcf.bz および .xcf.gz ファイルに保存すると、ファイルが切り詰められ、大きなファイルが作成されなくなりました。
  • gimp-text-fontname によって作成されたテキストレイヤーは、サイズ変更時に境界線を尊重します
GUI:
  • シングルウィンドウモードでの描画パフォーマンス、特にピックスマップテーマの描画パフォーマンスが向上しました。
  • ペイントダイナミクスエディターダイアログで、y 軸が Flow ではなく Rate を示すようになりました。
  • スプラッシュ画面の進捗バーが点滅し、継続時間が不明であることを示す
  • LC-MS ディスプレイフィルターの色域警告色が修正されました
  • 編集時の太字フォントの太字解除が修正されました
  • 誤って隣接するアイテムの名前を誤って変更する問題が解消されました。
プラグイン:
  • PSD ファイルをインポートするときに、間違ったレイヤーグループ構造が作成される問題が解決されました。
  • 大きなイメージや高解像度によって PDF プラグインがクラッシュすることがなくなりました
  • 無効な PCX ファイルの解析が早期に停止されるようになり、後続のセグメンテーション違反が排除されるようになりました。
  • Escape キーで Python コンソールを閉じることができなくなりました
  • フィルター エッジ検出/ガウスの差分は 空のイメージを返します
  • 印刷時に、透明なイメージではなく黒いボックスが印刷されるのを防ぐために、イメージは白い背景に合成されます。
  • 色覚異常表示フィルターは、ガンマ補正を直接適用するように修正されました。
  • Script-Fu の正規表現一致により、Unicode 文字の適切な文字インデックスが返されるようになりました
  • 大きな数値に対する Script-Fu モジュロが修正されました
更新された翻訳には、バスク語、ポルトガル語 (ブラジル)、カタロニア語、中国語 (中国)、チェコ語、デンマーク語、フィンランド語、ドイツ語、ギリシャ語、ハンガリー語、アイスランド語、イタリア語、カザフ語、ノルウェー語、ポーランド語、ポルトガル語、スロバキア語、スロベニア語、スコットランドのゲール語、スペイン語が含まれます。(BZ#1210840)

Inkscape がバージョン 0.92.2 にリベースされました

リベースされた Inkscape はベクターグラフィックソフトウェアであり、以前のバージョンに比べて次のような多くの機能強化が施されています。
  • メッシュグラデーションがサポートされるようになりました。
  • 多くの SVG2 および CSS3 プロパティー (paint-order、mix-blend-mode など) がサポートされるようになりました。ただし、すべてが GUI から利用できるわけではありません。
  • すべてのオブジェクトが新しいオブジェクトダイアログボックスにリストされ、そこからオブジェクトの選択、ラベル付け、非表示、ロックを行うことができます。
  • 選択セットを使用すると、ドキュメントの構造に関係なくオブジェクトをグループ化できます。
  • ガイドをロックして、誤って動かないようにすることができるようになりました。
  • エンベロープ/遠近法、格子変形、ミラー、コピーの回転など、いくつかの新しいパスエフェクトが追加されました。
  • シームレスパターン拡張機能を含むいくつかの拡張機能が追加されました。さらに、多くの拡張機能が更新されたり、新しい機能が追加されたりしています。
  • 色覚異常シミュレーションフィルターが追加されました。
  • スプレーツールと測定ツールにはいくつかの新機能が追加されました。
  • 鉛筆ツールを使用すると、線にインタラクティブなスムージングを作成できます。
  • B スプラインはペンツールで使用できます。
  • チェッカーボードの背景を使用すると、オブジェクトの透明度をより簡単に確認できます。(BZ#1480184)

webkitgtk4 がバージョン 2.16 にリベースされました

webkitgtk4 パッケージはバージョン 2.16 にアップグレードされ、以前のバージョンに比べて多くの機能強化が行われています。主な機能強化は、次のとおりです。
  • メモリー消費量を削減するために、ハードウェアアクセラレーションがオンデマンドで有効になるようになりました。
  • webkitgtk4 には、ハードウェアアクセラレーションポリシーを設定するための新しい WebKitSetting プラグインが含まれています。
  • CSS グリッドレイアウトはデフォルトで有効になっています。
  • 一時的な Web ビューを作成するための新しい API を追加することにより、プライベートブラウジングが改善されました。
  • Web サイトのデータを処理するための新しい API が提供されました。
  • メモリーサンプラーとリソース使用量オーバーレイという 2 つの新しいデバッグツールが利用できるようになりました。
  • GTK+ フォント設定が適用されるようになりました。
  • GTK+ バージョン 3.20 以降を使用すると、テーマのレンダリングパフォーマンスが向上します。(BZ#1476707)

qt5 はバージョン 5.9.2 にリベースされました

qt5 パッケージがアップストリームバージョン 5.9.2 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。特に、qt5 には次の内容が含まれています。
  • パフォーマンスと安定性の向上
  • 長期サポート
  • C++11 サポートの改善 - Qt 5.9 では C++11 準拠のコンパイラーが必要になることに注意してください
  • Qt Quick Controls 2 - 組み込みデバイスをサポートする新しいモジュール (BZ# 1479097)

新しいパッケージ: qgnomeplatform

QGnomePlatform テーマモジュールが Red Hat Enterprise Linux に含まれるようになりました。GNOME デスクトップ環境では、Qt 5 で作成されたアプリケーションに現在のビジュアル設定が適用されます。(BZ#1479351)

ModemManager がバージョン 1.6.8 にリベースされました

新しいモデムハードウェアをサポートするために、ModemManager パッケージがアップストリームバージョン 1.6.8 にアップグレードされました。これにより、以前のバージョンに比べて多くの機能強化が行われています。特に、libqmi ライブラリーのバージョンは 1.18.0 に、libmbim ライブラリーは 1.14.2 にアップグレードされました。さらに、usb_modeswitch ツールが 2.5.1 にアップグレードされ、usb-modeswitch-data パッケージが 20170806 にアップグレードされました。(BZ#1483051)

新しいパッケージ: libsmbios

Red Hat Enterprise Linux 7.5 には、フラッシュ Trusted Platform Module (TPM) および Synaptics Micro Systems Technology (MST) ハブをサポートする libsmbios パッケージが含まれるようになりました。Libsmbios は、クライアントプログラムが SMBIOS テーブルなどの標準 BIOS テーブルから情報を取得するために使用できるライブラリーおよびユーティリティーです。(BZ#1463329)

mutter をバージョン 3.26 にリベースしました

mutter パッケージがアップストリームバージョン 3.26 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
最も重要なバグ修正には次のものがあります。
  • ショートカット抑制ダイアログを再生成するときに予期せず終了する
  • モニター設定の移行中に予期せず終了する
  • X11 セッションでのマルチヘッドリグレッション
  • スクリーンローテーションのリグレッション
  • タブレットデバイスの再接続時に予期せず終了する
注目すべき機能強化のリストには次のものが含まれます。
  • ヘッドレス実行のサポート
  • サンドボックス化されたアプリ ID のスナップパッケージのサポート
  • _NET_RESTACK_WINDOW と ConfigureRequest のシブリングのサポート
  • mutter は _NET_NUMBER_OF_DESKTOPS をエクスポートするようになりました
  • mutter でタイルウィンドウのサイズ変更が可能になりました
  • キーバインディングは非ラテンレイアウトで解決されました
  • クライアントへのタイル情報のエクスポートのサポート
  • モニターのレイアウトがセッション間で記憶されるようになりました (BZ# 1481386)

SANE_USB_WORKAROUND 環境変数により、古いスキャナを USB3 で使用できるようになります

以前は、Scanner Access Now Easy (SANE) は、USB3 ポートに接続されている特定の古いタイプのスキャナと通信できませんでした。この更新では、SANE_USB_WORKAROUND 環境変数が導入されており、これを 1 に設定すると、この問題を解決できます。(BZ#1458903)

ビデオストリーム処理を改善するために追加された libyami パッケージ

今回の更新では、ビデオストリームの処理を改善するために、libyami パッケージが Red Hat Enterprise Linux 7 に追加されました。特に、ビデオストリームはハードウェアアクセラレーションを利用して解析およびデコードされます。(BZ#1456906)

netpbm はバージョン 10.79.00 にリベースされました

netpbm パッケージはバージョン 10.79.00 にアップグレードされ、これらのパッケージに含まれる複数のプログラムに多数のバグ修正と拡張機能が提供されます。詳細な変更ログについては、/usr/share/doc/netpbm/HISTORY ファイルを参照してください。(BZ#1381122)

Red Hat Enterprise Linux 7.5 は libva をサポートします

Libva は、Video Acceleration API (VA-API) の実装です。
VA-API は、ビデオ処理のためのグラフィックスハードウェアアクセラレーション機能へのアクセスを提供するオープンソースライブラリーおよび API 仕様です。これは、メインライブラリーと、サポートされている各ハードウェアベンダーのドライバー固有のアクセラレーションバックエンドで設定されます。(BZ#1456903)

GStreamermp3 をサポートするようになりました

MPEG-2 Audio Layer III デコーダ (一般的に mp3 として知られる) が GStreamer に追加されました。mp3 サポートは、mpeg123 ライブラリーおよび対応する GStreamer プラグインを通じて利用できます。
ユーザーは、GNOME ソフトウェア を使用するか、さまざまな GStreamer アプリケーションのコーデックインストーラーを使用して、mp3 プラグインをダウンロードできます。(BZ#1481753)

GNOME control-center がバージョン 3.26 にリベースされました

Red Hat Enterprise Linux 7.5 では、control-center がアップストリームバージョン 3.26 にリベースされました。主な機能強化は、次のとおりです。
  • ナイトライトは、時間帯に応じてディスプレイの色を変える新機能です。画面の色は、特定の場所の日の出と日の入りの時間に従うか、カスタムスケジュールに設定できます。Night Light は、X11Wayland の両方のディスプレイサーバープロトコルで動作します。
  • この更新により、設定 アプリケーションに新しいレイアウトが導入されます。アイコンのグリッドはサイドバーに置き換えられ、異なる領域間を切り替えることができます。さらに、設定 ウィンドウが大きくなり、サイズを変更できます。
  • GNOME の ネットワーク 設定が改善されました。Wi-Fi には独自の専用設定エリアがあり、ネットワーク 設定ダイアログが更新されました。
  • GNOME の ディスプレイ 設定が再設計されました。新しいデザインでは、関連する設定が前面に押し出されています。複数のディスプレイが接続されている場合、ボタンの列があり、好みの用途を選択できます。新しい 表示 設定には、新しいスケーリング設定のプレビューバージョンが含まれています。これにより、画面に表示されるサイズをディスプレイの密度 (PPI または DPI で表されることが多い) に合わせて調整できます。X11 ではディスプレイごとの設定がサポートされていないため、X11 よりも Wayland の方が推奨されることに注意してください。
  • 設定 アプリケーションの他の 3 つの領域 (Online AccountsPrintersUsers) のユーザーインターフェイスが再設計されました。(BZ#1481407)

新しいパッケージ: emacs-php-mode

この更新により、新しい emacs-php-mode パッケージが Red Hat Enterprise Linux 7 に追加されます。emacs-php-mode は Emacs テキストエディターに PHP モードを提供し、より優れた PHP 編集を可能にします。(BZ#1266953)

オランダ語のキーボードレイアウトを提供

Red Hat Enterprise Linux をオランダ語でインストールすると、Windows OS で使用される米国の国際マップを模倣した追加のキーボードマップが提供されるようになりました。新しい latn1-pre.mim keymap ファイルを使用すると、ユーザーは単一のキーマップ、発音記号を利用できるため、英語とオランダ語の両方を簡単に入力できます。(BZ#1058510)

第9章 ファイルシステム

SMB 2 と SMB 3 が DFS をサポートするようになりました

以前はサーバーメッセージブロック (SMB) プロトコルバージョン 1 でのみサポートされていた分散ファイルシステム (DFS) は、SMB 2 および SMB 3 でもサポートされるようになりました。
この更新により、SMB 2 および SMB 3 プロトコルを使用して DFS 共有をマウントできるようになりました。(BZ#1481303)

ファイルシステム DAX は、大量のメモリーをマッピングする際のパフォーマンスが向上しました。

この機能強化以前は、ダイレクトアクセス (DAX) 機能は 4KiB エントリーのみをアプリケーションアドレス空間にマップしていました。これにより、Translation Lookaside Buffer (TLB) の圧力が増加するため、大量のメモリーをマップするワークロードのパフォーマンスに悪影響が生じました。この更新により、カーネルは永続メモリーマッピングで 2MiB ページミドルディレクトリー (PMD) 障害をサポートします。これにより、TLB の負荷が大幅に軽減され、大量のメモリーをマッピングする際のファイルシステム DAX のパフォーマンスが向上しました。(BZ#1457572)

Quotacheckext4 で高速になりました

uotacheck ユーティリティーは、占有ディスクサイズについて個々のファイルを分析するのではなく、ext4 ファイルシステムのメタデータを直接スキャンするようになりました。ファイルシステムに多くのファイルが含まれている場合、クォータの初期化とクォータチェックが大幅に高速化されました。(BZ#1393849)

CephFS カーネルクライアントは Red Hat Ceph Storage 3 で完全にサポートされる

Ceph File System (CephFS) カーネルモジュールにより、Red Hat Enterprise Linux ノードは、Red Hat Ceph Storage クラスターから Ceph ファイルシステムをマウントできます。Red Hat Enterprise Linux のカーネルクライアントは、Red Hat Ceph Storage に同梱されている Filesystem in Userspace (FUSE) クライアントの効率的な代替手段です。現在、カーネルクライアントでは CephFS クォータに対応していないことに注意してください。
CephFS カーネルクライアントは、テクノロジープレビューとして Red Hat Enterprise Linux 7.3 に導入され、Red Hat Ceph Storage 3 のリリース以降、CephFS を完全にサポートしています。
詳細は、Red Hat Ceph Storage 3 の Ceph File System Guide https://access.redhat.com/documentation/ja-jp/red_hat_ceph_storage/3/html/ceph_file_system_guide/ を参照してください。(BZ#1626526)

第10章 ハードウェアの有効化

ファームウェアが更新された Broadcom 5880 スマートカードリーダーがサポートされるようになりました

この更新には、Broadcom 5880 スマートカードリーダーの更新されたファームウェアバージョンの USB ID エントリーが含まれており、Red Hat Enterprise Linux はこれらのリーダーを適切に認識して使用できるようになりました。
古いファームウェアバージョンを使用している Broadcom 5880 スマートカードリーダーを使用しているユーザーは、ファームウェアを更新する必要があることに注意してください。更新プロセスの詳細については、www.dell.com のサポートセクションを参照してください。(BZ#1435668)

fwupd が Synaptics MST ハブをサポートするようになりました

Red Hat Enterprise Linux 7.5 では、Synaptics MST ハブ用のプラグインが fwupd ユーティリティーに追加されています。このプラグインを使用すると、ファームウェアをフラッシュし、このデバイスのファームウェア情報を照会できます。(BZ#1420913)

kernel-rt ソースが更新されました

kernel-rt ソースが最新の Red Hat Enterprise Linux カーネルソースツリーをベースとするようにアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。(BZ#1462329)

RT スロットリングメカニズムの改善

現在のリアルタイムスロットルメカニズムは、CPU 集中型のリアルタイムタスクによる非リアルタイムタスクの枯渇を防ぎます。リアルタイム実行キューが調整されると、非リアルタイムタスクの実行が許可されるか、タスクがない場合は CPU がアイドル状態になります。CPU アイドル時間を減らして CPU 使用率を安全に最大化するために、RT_RUNTIME_GREED スケジューラー機能が実装されました。有効にすると、リアルタイムタスクがスロットリングされる前にリアルタイム以外のタスクが枯渇しているかどうかを確認します。その結果、RT_RUNTIME_GREED スケジューラーオプションは、リアルタイムタスクの実行を可能な限り維持しながら、非リアルタイムタスクのすべての CPU でのある程度の実行時間を保証します。(BZ#1401061)

VMware Paravirtual RDMA Driver

この拡張更新により、VMware Paravirtual RDMA ドライバーが Red Hat Enterprise Linux に追加されます。この機能により、VMware ユーザーは PVRDMA デバイスを備えた Red Hat Enterprise Linux ベースの VM をデプロイメントして使用できるようになります。(BZ#1454965)

opal-prd がバージョン 5.9 にリベース

ハードウェア固有の回復プロセスを処理する opal-prd デーモンがバージョン 5.9 にリベースされました。この機能強化更新には、次の重要な修正と注目すべき機能強化が含まれています。
  • デバッグモードで stdio にログを記録した後にフラッシュします
  • メモリーリークの修正
  • opal-prd コマンドラインオプションを修正
  • occ_reset 呼び出しを修正
  • ナノスリープ範囲に関する API コメント
  • opal-prd の起動時に pnor ファイルが渡されなくなりました
  • FSP システムホストでは、Pnor アクセスインターフェイスが無効になっています
  • ZZ でのランタイム OCC ロード/開始のサポートを追加
opal-prd のユーザーは、これらのバグを修正し、これらの機能強化を追加する更新パッケージにアップグレードすることを推奨します。(BZ#1456536)

libreswan が NIC オフロードをサポートするようになりました

libreswan パッケージのこの更新では、ネットワークインターフェイスコントローラー (NIC) オフロードのサポートが導入されています。Libreswan は NIC ハードウェアオフロードサポートを自動的に検出するようになり、この機能の手動セットアップ用に nic-offload=auto|yes|no オプションが追加されました。(BZ#1463062)

利用可能な Trusted Computing Group TPM 2.0 System API ライブラリーおよび管理ユーティリティー

Trusted Computing Group の Trusted Platform Module (TPM) 2.0 ハードウェアを処理し、以前はテクノロジープレビューとして利用可能であった次のパッケージが完全にサポートされるようになりました。
  • tpm2-tss パッケージは、TPM 2.0 System API ライブラリーの Intel 実装を追加します。このライブラリーを使用すると、プログラムが TPM 2.0 デバイスと対話できます。
  • tpm2-tools パッケージは、ユーザースペースから TPM2.0 デバイスを管理および利用するための一連のユーティリティーを追加します。(BZ#1463097, BZ#1463100)

new packages: tpm2-abrmd

この更新により、tpm2-abrmd パッケージが Red Hat Enterprise Linux 7 に追加されます。tpm2-abrmd パッケージは、Trusted Computing Group の Trusted Platform Module (TPM) 2.0 Access Broker (TAB) および Resource Manager (RM) 仕様を実装するシステムサービスを提供します。(BZ#1492466)

第11章 インストールおよび起動

キックスタートインストールで既存のブロックデバイスにマウントポイントを割り当てることが可能になりました

新しい mount コマンドがキックスタートで利用できるようになりました。このコマンドは、ファイルシステムを持つ特定のブロックデバイスにマウントポイントを割り当てます。また、--reformat オプションを指定すると、再フォーマットすることもできます。
mount と、autopartpartlogvol などの他のストレージ関連コマンドとの違いは、mount を使用すると、キックスタートファイルにストレージ設定全体を記述する必要がなく、指定されたブロックデバイスがシステム上に存在することを確認するだけで済むことです。ただし、既存のストレージ設定を使用する代わりにストレージ設定を作成し、さまざまなデバイスをマウントする場合は、他のストレージ設定コマンドを使用する必要があります。
同じキックスタートファイル内の他のストレージ設定コマンドと一緒に mount を使用することはできません。(BZ#1450922)

livemedia-creator ユーティリティーは、UEFI システム用のサンプルキックスタートファイルを提供するようになりました。

livemedia-creator パッケージで提供されるサンプルキックスタートファイルは、32 ビットおよび 64 ビット UEFI システムをサポートするように更新されました。ファイルは /usr/share/lorax-version/ ディレクトリーにあります。
ブート可能な UEFI ディスクイメージを構築するには、livemedia-creator を UEFI システムまたは仮想マシン上で実行する必要があることに注意してください。(BZ#1458937)

デバイス設定ファイルをデバイスの MAC アドレスにバインドする network キックスタートコマンドの新しいオプション

network キックスタートコマンドで新しい --bindto=mac オプションを使用すると、インストールされているシステム上のデバイスの ifcfg ファイル内のデフォルトの DEVICE の代わりに HWADDR パラメーター (MAC アドレス) を使用できるようになりました。これにより、デバイス名の代わりにデバイス設定が MAC にバインドされます。
新しい --bindto オプションは network --device Kickstart オプションから独立していることに注意してください。デバイスがその名前、link、または bootif を使用してキックスタートファイルで指定されている場合でも、これは ifcfg ファイルに適用されます。(BZ#1328576)

キックスタート %packages の新しいオプションにより、Yum タイムアウトと再試行回数を設定できるようになりました

この更新により、キックスタートファイルの %packages セクションに 2 つの新しいオプションが追加されました。
  • --timeout=X - Yum タイムアウトを X 秒に設定します。デフォルトは 30 です。
  • --retries=Y - Yum の再試行回数を Y に設定します。デフォルトは 10 です。
インストール中に複数の %packages セクションを使用する場合、最後に表示されるセクションに設定されたオプションがすべてのセクションで使用されることに注意してください。最後のセクションにこれらのオプションがどちらも設定されていない場合、キックスタートファイルのすべての %packages セクションではデフォルト値が使用されます。
これらの新しいオプションは、パッケージのダウンロード速度がディスク読み取りまたはネットワーク速度によって制限されている場合に、単一のパッケージソースから一度に多数の並列インストールを実行する場合に役立ちます。新しいオプションはインストール中のシステムにのみ影響し、インストールされたシステムの Yum 設定には影響しません。(BZ#1448459)

Red Hat Enterprise Linux 7 ISO イメージを使用して、IBM Z 上にゲスト仮想マシンを作成できます。

このリリースでは、IBM Z アーキテクチャー上の KVM 仮想マシン用のブート可能な Red Hat Enterprise Linux ISO ファイルを作成できます。その結果、IBM Z 上の Red Hat Enterprise Linux ゲスト仮想マシンは boot.iso ファイルから起動できるようになります。(BZ#1478448)

ifcfg-* ファイルの ARPUPDATE オプションが導入されました

この更新では、ifcfg-* ファイルの ARPUPDATE オプションが導入され、デフォルト値は yes になります。値を no に設定すると、管理者は、現在のネットワークインターフェイスコントローラー (NIC) に関するアドレス解決プロトコル (ARP) 情報による隣接コンピューターの更新を無効にすることができます。これは、ダイレクトルーティングを有効にして Linux 仮想サーバー (LVS) 負荷分散を使用する場合に特に必要です。(BZ#1478419)

rpm -V コマンドに --noconfig オプションが追加されました

この更新により、--noconfig オプションが rpm -V コマンドに追加されました。このオプションを使用すると、コマンドで変更された非設定ファイルのみをリスト表示できるようになり、システムの問題の診断に役立ちます。(BZ#1406611)

ifcfg-* ファイルで 3 番目の DNS サーバーを指定できるようになりました

ifcfg-* 設定ファイルは DNS3 オプションをサポートするようになりました。このオプションを使用すると、以前の最大 2 つの DNS サーバーの代わりに、/etc/resolv.conf で使用される 3 番目のドメインネームサーバー (DNS) アドレスを指定できます。(BZ#1357658)

rpm-build でのマルチスレッド xz 圧縮

この更新により、%_source_payload マクロまたは %_binary_payload マクロを wLTX.xzdio パターンに設定するときに、ソースおよびバイナリーパッケージのマルチスレッド xz 圧縮が追加されます。その中で、L は圧縮レベルを表します。デフォルトでは 6 であり、X は使用されるスレッドの数です (複数桁の場合もあります) (例: w6T12.xzdio)。この機能を有効にするには、/usr/lib/rpm/macros ファイルを編集するか、仕様ファイル内またはコマンドラインでマクロを宣言します。
その結果、並列性の高いビルドでは圧縮にかかる時間が短縮され、特に多くのコアを備えたハードウェア上に構築された大規模プロジェクトの継続的統合に有益です。(BZ#1278924)

第12章 カーネル

RHEL 7.5 のカーネルバージョン

Red Hat Enterprise Linux 7.5 は、カーネルバージョン 3.10.0-862 で配布されます。(BZ#1801759)

メモリー保護キーは、新しい Intel プロセッサーでサポートされるようになりました

メモリー保護キーは、ページベースの保護を強化するメカニズムを提供しますが、アプリケーションが保護ドメインを変更した時にページテーブルを修正する必要はありません。プロセッサーがメモリー保護キーをサポートしているかどうかを確認するには、/proc/cpuinfo ファイル内の pku フラグを確認します。プログラミングの実例を含む詳しい情報は、kernel-doc パッケージが提供する /usr/share/doc/kernel-doc-*/Documentation/x86/protection-keys.txt ファイルを参照してください。(BZ#1272615)

Pondicherry 2 メモリーコントローラーに EDAC サポートが追加されました

Intel Atom C3000 シリーズプロセッサーを搭載したマシンで使用される Pondicherry 2 メモリーコントローラーに、エラーの検出と修正のサポートが追加されました。(BZ#1273769)

MBA がサポートされるようになりました

メモリー帯域幅割り当て (MBA) は、Broadwell サーバーにある既存のキャッシュ QoS 強制 (CQE) 機能の拡張です。MBA は、アプリケーションのメモリー帯域幅の制御を提供する Intel Resource Director Technology (RDT) の機能です。今回の更新により、MBA サポートが追加されました。(BZ#1379551)

スワップの最適化により、高速ブロックデバイスを二次メモリーとして使用できるようになります

以前は、回転ディスクのパフォーマンス、特に待ち時間の点で他のメモリー管理サブシステムよりも桁違いに悪かったため、スワップサブシステムのパフォーマンスは重要ではありませんでした。高速 SSD デバイスの出現により、スワップサブシステムのオーバーヘッドが顕著になってきました。この更新では、このオーバーヘッドを削減する一連のパフォーマンスの最適化が行われています。(BZ#1400689)

HID Wacom がバージョン 4.12 にリベースされました

HID Wacom カーネルモジュールパッケージはアップストリームバージョン 4.12 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と拡張機能が提供されています。
  • hid_wacom 電源供給が更新され、以前から存在していた問題が修正されました。
  • Bluetooth ベースの Intuos 2 Pro ペンタブレットのサポートが追加されました。
  • Intuos 2 Pro ペンタブレットと Bamboo Slate に影響するバグが修正されました。(BZ#1475409)

新しい livepatch 機能により、kpatch-patch パッケージのレイテンシーと成功率が向上します。

この更新により、kpatch カーネルライブパッチインフラストラクチャーがアップグレードされ、カーネルへのパッチ適用に新しいアップストリーム ライブパッチ 機能が使用されるようになりました。この機能により、kpatch-patch ホットフィックスパッケージのスケジューリング遅延と成功率が向上します。(BZ#1430637)

永続的なカーネルモジュールアップグレード (PKMU) のサポート

kmod パッケージは、カーネルモジュールの自動ロード、アンロード、および管理のためのさまざまなプログラムを提供します。以前は、kmod は /lib/modules/<kernel version> ディレクトリー内でのみモジュールを検索していました。したがって、ユーザーは追加のアクションを実行する必要がありました。たとえば、/usr/sbin/weak-modules スクリプトを実行してシンボリックリンクをインストールし、モジュールをロード可能にする必要がありました。今回の更新により、ファイルシステム内の任意の場所にあるモジュールを検索するように kmod が変更されました。その結果、ユーザーは新しいモジュールを別のディレクトリーにインストールし、そこでモジュールを探すように kmod ツールを設定できるようになり、モジュールは新しいカーネルで自動的に使用できるようになります。ユーザーは、カーネルに対して複数のディレクトリーを指定したり、カーネルごとに異なるディレクトリーを指定したりすることもできます。カーネルバージョンは正規表現で指定します。(BZ#1361857)

Linux カーネルが暗号化された SMB 3 接続をサポートするようになりました

この機能が導入される前は、カーネルはサーバーメッセージブロック (SMB) プロトコルを使用する場合の暗号化されていない接続のみをサポートしていました。この更新により、SMB 3.0 以降のプロトコルバージョンの暗号化サポートが追加されます。その結果、サーバーがこの機能を提供または要求している場合、ユーザーは暗号化を使用して SMB 共有をマウントできます。
暗号化された SMB プロトコルを使用して共有をマウントするには、3.0 以降に設定された vers マウントオプションとともに seal マウントオプションを mount コマンドに渡します。詳細と例は、https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/storage_administration_guide/mounting_an_smb_share#tab.frequently_used_mount_optionsseal パラメーターの説明を参照してください。(BZ#1429710)

AMD Naples プラットフォームで SME が有効化

この更新により、AMD Secure Memory Encryption (SME) が AMD Naples プラットフォームに基づくシステムによって提供されます。Advanced Encryption Standard (AES) エンジンには、ダイナミックランダムアクセスメモリー (DRAM) を暗号化および復号化する機能があります。AES エンジンによって提供される SME は、ハードウェアプローブ攻撃からマシンを保護することを目的としています。SME をアクティブにするには、カーネルパラメーター mem_encrypt=on を使用してシステムを起動します。(BZ#1361287)

ie31200_edac ドライバーのサポート

この機能強化により、コンシューマーバージョンの Skylake および Kabi Lake CPU ファミリーに ie31200_edac ドライバーのサポートが追加されます。(BZ#1482253)

EDAC が GHES をサポートするようになりました

この機能拡張により、BIOS によって提供される汎用ハードウェアエラーソース (GHES) を使用するためのエラー検出および修正 (EDAC) のサポートが追加されます。GHES は、ハードウェア固有のドライバーではなく、メモリーの修正済みおよび未修正のエラーのソースとして使用されるようになりました。(BZ#1451916)

CUIR 拡張スコープ検出が完全にサポートされるようになりました。

Control Unit Initiated Reconfiguration (CUIR) のサポートにより、Direct Access Storage Device (DASD) デバイスドライバーは、並行サービスのためにオフラインの DASD へのパスを自動的に取得できるようになります。DASD への他のパスが使用可能な場合、DASD は動作し続けます。
CUIR は、パスが再び利用可能になったときに DASD デバイスドライバーに通知し、デバイスドライバーはパスをオンラインに戻そうとします。
論理パーティション (LPAR) モードで実行している Linux インスタンスのサポートに加えて、IBM z/VM システムでの Linux インスタンスのサポートが追加されました。(BZ#1494476)

kdump により、ルートファイルシステムがマウントされていなくても vmcore コレクションが可能になります

Red Hat Enterprise Linux 7.4 では、kdump でルートファイルシステムをマウントする必要がありましたが、これは vmcore イメージファイルの収集に必ずしも必要というわけではありません。その結果、ダンプターゲットがルートファイルシステム上ではなく、たとえば USB やネットワーク上にあるときにルートデバイスをマウントできない場合、kdumpvmcore ファイルの収集に失敗しました。この機能強化により、ルートデバイスがダンプに必要ない場合はマウントされず、vmcore ファイルを収集できるようになります。(BZ#1431974, BZ#1460652)

KASLR は完全にサポートされ、デフォルトで有効になります

以前はテクノロジープレビューとして利用可能であったカーネルアドレス空間レイアウトランダム化 (KASLR) は、AMD64 および Intel 64 アーキテクチャー上の Red Hat Enterprise Linux 7.5 で完全にサポートされています。KASLR は、カーネルテキスト KASLR と mm KASLR の 2 つの部分で設定されるカーネル機能です。この 2 つの部分は相互に作用し、Linux カーネルのセキュリティーを強化します。
カーネルテキストの物理アドレスと仮想アドレスの場所が、個別にランダム化されます。カーネルの物理アドレスは 64 TB の任意の場所に配置できますが、カーネルの仮想アドレスは、[0xffffffff80000000, 0xffffffffc0000000] の間の 1 GB 領域に制限されます。
3 つの mm セクション (ダイレクトマッピングセクション、vmalloc セクション、および vmemmap セクション) の開始アドレスは、特定の領域でランダム化されます。以前は、このセクションの開始アドレスが固定値になっていました。
したがって、悪意のコードが、カーネルアドレス領域にその記号が置かれていることを知る必要がある場合に、KASLR は悪意のコードにカーネルの実行を挿入またはリダイレクトしないようにすることができます。
KASLR コードが Linux カーネルでコンパイルされ、デフォルトで有効になりました。明示的に無効にするには、nokaslr カーネルオプションをカーネルコマンドラインに追加します。(BZ#1491226)

Intel® Omni-Path Architecture (OPA) ホストソフトウェア

Red Hat Enterprise Linux 7.5 は、Intel® Omni-Path Architecture (OPA) ホストソフトウェアに完全に対応しています。Intel OPA は、クラスター環境のコンピュートと I/O ノード間の高性能データ転送 (高帯域幅、高メッセージレート、低レイテンシー) のために、初期化とセットアップを行う Host Fabric Interface (HFI) ハードウェアを提供します。
Intel® Omni-Path Architecture のインストール方法は、https://www.intel.com/content/dam/support/us/en/documents/network-and-i-o/fabric-products/Intel_OP_Software_RHEL_7_5_RN_J98644.pdf を参照してください。(BZ#1543995)

noreplace-paravirt がカーネルコマンドラインパラメーターから削除されました

noreplace-paravirt カーネルコマンドラインパラメーターは、Spectre および Meltdown の脆弱性を軽減するパッチと互換性がなくなったため、削除されました。カーネルコマンドラインで noreplace-paravirt を使用して AMD64 および Intel 64 システムを起動すると、オペレーティングシステムが繰り返し再起動されます。(BZ#1538911)

新しい EFI memmap 実装が SGI UV2+ システムで利用可能になりました

この更新より前は、kexec 再起動 (memmap) 実装全体にわたる Extensible Firmware Interface (EFI) の安定したランタイムサービスマッピングは、Silicon Graphics International (SGI) UV2 以降のシステムでは利用できませんでした。この更新により、EFI memmap のサポートが追加されました。さらに、この更新により、kdump カーネルでのセキュアブートの使用も可能になります。(BZ#1102454)

柔軟なファイルレイアウトを使用した pNFS 共有のマウントが完全にサポートされるようになりました。

pNFS クライアントでの柔軟なファイルレイアウトは、Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして初めて導入されました。Red Hat Enterprise Linux 7.5 では、完全にサポートされるようになりました。
pNFSの柔軟なファイルレイアウトにより、ノンストップファイルモビリティーやクライアント側のミラーリングなどの高度な機能を利用できます。これにより、データベース、ビッグデータ、仮想化などの分野での利便性が向上します。pNFS フレキシブルファイルレイアウトの詳細は、https://datatracker.ietf.org/doc/draft-ietf-nfsv4-flex-files/ を参照してください。(BZ#1349668)

第13章 ネットワーク

dhcp-script の出力におけるエラー処理が改善されました。

以前は、dhcp-script の出力内のエラーは無視されていました。この更新により、スクリプトの出力は addolddelarp-addarp-deltftp アクションで記録されます。その結果、dnsmasq の実行中にエラーが表示されます。
リース初期化アクションは Dnsmasq の開始時にのみ発生することに注意してください。この更新により、出力の概要のみがログに記録され、ログのために systemd サービスに渡される標準エラー出力は記録されません。(BZ#1188259)

ネットワーク名前空間の分離が ipset に追加されました

以前は、ipset エントリーは表示され、任意のネットワーク名前空間によって変更できました。この更新により、ipset にネットワーク名前空間ごとの分離が提供されます。その結果、ipset 設定は名前空間ごとに分離されます。(BZ#1226051)

NetworkManager は、ソースルーティングを有効にする複数のルーティングテーブルをサポートするようになりました

この更新により、ユーザーが手動で設定できる IPv4 および IPv6 ルートの新しい table 属性が追加されました。手動の静的なルート 1 つに対して、ルーティングテーブルを 1 つ選択できます。その結果、ルートのテーブルを設定すると、そのテーブルにルートが設定されることになります。さらに、接続プロファイルのデフォルトのルーティングテーブルは、IPv4 と IPv6 のそれぞれに新しい ipv4.route-tableipv6.route-table 設定を使用して設定できます。この設定を明示的に上書きする手動ルートを除き、これらの設定によりルートがどのテーブルに配置されるかが決まります。(BZ#1436531)

nftables がバージョン 0.8 にリベースされました

nftables パッケージがバージョン 0.8 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点は、以下のとおりです。
  • 任意のキーの組み合わせのハッシュのサポートが追加されました。
  • チェックサム調整を含む、非バイトバインドのパケットヘッダーフィールドの設定のサポートが追加されました。
  • セット要素定義の変数参照や要素コマンドからの変数定義が利用できるようになりました。
  • フラッシュセットのサポートが追加されました。
  • ロギングフラグのサポートが追加されました。
  • tc classid パーサーのサポートが追加されました。
  • リンク層アドレスに関するエンディアンの問題が解決されました。
  • 定義上でマップフラグを保持するパーサーが修正されました。
  • カーネルが想定するように、時間データ型はミリ秒を使用するようになりました。(BZ#1472261)

NetworkManager に追加された永続的な DHCP クライアント動作

この更新により、ipv4.dhcp-timeout プロパティーを 32 ビット整数の最大値 (MAXINT32) 値または 無限 値に設定できるようになりました。その結果、NetworkManager による DHCP サーバーからのリースの取得または更新の試行は、成功するまで停止しません。(BZ#1350830)

NetworkManager は チームオプションを公開するための新しいプロパティーを公開します

以前は、NetworkManager は、config プロパティーに JSON 文字列を提供する接続にチーム設定を適用していました。そのプロパティーはチーム設定で使用できる唯一のプロパティーでした。この更新により、チーム設定オプションに 1 対 1 で一致する新しいプロパティーが NetworkManager に追加されます。その結果、設定は、NetworkManager 設定 プロパティーの一意の JSON 文字列を通じて、または新しいチームプロパティーに値を割り当てることによって提供される可能性があります。config に適用された設定変更はすべて、新しいチームプロパティーに反映され、その逆も同様です。チーム Link-watchers と Team.runner の正しい設定が NetworkManager に適用されるようになりました。リンクウォッチャーとチームランナーの設定が間違っているか不明な場合、チーム全体の接続が拒否されます。
新しい runner のプロパティーを変更すると、特定のランナーに関連するすべてのプロパティーがデフォルトにリセットされることに注意してください。(BZ#1398925)

パケットマークが返信に反映されるようになりました

以前は、閉じられたポートで接続リクエストを受信すると、エラーパケットがクライアントに送り返されていました。受信接続がいくつかのファイアウォールルールでマークされている場合、この機能がカーネルに実装されていなかったため、生成されたエラーメッセージにはこのマークがありませんでした。この更新により、生成されたエラーメッセージには、接続を開始しようとした受信パケットと同じマーキングが付けられます。(BZ#1469857)

NTP の新しいソケットタイムスタンプオプション

この更新により、chrony などの ネットワークタイムプロトコル (NTP) 実装のボンディングおよびその他の仮想インターフェイスを使用したハードウェアタイムスタンプ用の SOF_TIMESTAMPING_OPT_PKTINFO および SOF_TIMESTAMPING_OPT_TX_SWHW ソケットタイムスタンプオプションが追加されました。(BZ#1421164)

iproute2 がバージョン 4.11.0 にリベースされました

iproute2 パッケージがアップストリームバージョン 4.11.0 にアップグレードされ、バグ修正および機能拡張が数多く追加されました。特に、ip ツールには次のものが含まれます。
  • さまざまなコマンドへの JSON 出力のサポートが追加されました。
  • より多くのインターフェイスタイプ属性のサポートが追加されました。
  • カラー出力のサポートが追加されました。
  • labeldev オプション、および ip-monitor 状態の rule オブジェクトのサポート。
  • ip-rule コマンドのセレクターのサポートが追加されました。
さらに、tc ユーティリティーの注目すべき改善点は次のとおりです。
  • tc の bash 補完関数のサポート。
  • tcvlan アクションが導入されました。
  • Pedit アクションの拡張モードが導入されました。
  • csum アクションでの Stream Control Transmission Protocol (SCTP) のサポートが追加されました。
他のツールの場合:
  • lnstat ツールの拡張統計情報のサポートが追加されました。
  • nstat ユーティリティーでの SCTP のサポートが追加されました。(BZ#1435647)

tc-pedit アクションは、レイヤー 2 およびレイヤー 4 を基準とした offset をサポートするようになりました。

tc-pedit アクションにより、パケットデータの変更が可能になります。この更新により、レイヤー 23、および 4 ヘッダーに関連する offset オプションを指定するためのサポートが tc-pedit に追加されました。これにより、pedit header の処理がより堅牢かつ柔軟になります。その結果、イーサネットヘッダーの編集がより便利になり、レイヤー 4 ヘッダーへのアクセスはレイヤー 3 ヘッダーサイズとは独立して機能します。(BZ#1468280)

iproute にバックポートされた機能

多くの機能強化が iproute パッケージにバックポートされました。主な変更点は、以下のとおりです。
  • パイプラインデバッグサポートが、dpipe サブコマンドを介して devlink ツールに追加されました。
  • ハードウェアオフロードステータスは、in_hw フラグ または not_in_hw フラグで示される tc フィルターで利用できるようになりました。
  • tc pedit アクションでの IPv6 のサポートが追加されました。
  • eSwitch カプセル化の設定と取得のサポートが devlink ツールに追加されました。
  • TC フラワーフィルターのマッチング機能が強化されました。
  • TCP フラグのマッチングのサポート。
  • IP ヘッダーのサービスタイプ (ToS) フィールドと存続時間 (TTL) フィールドのマッチングのサポート。
(BZ#1456539)

Geneve ドライバーがバージョン 4.12 にリベースされました

Geneve ドライバーはバージョン 4.12 に更新され、Geneve トンネリングを使用する Open vSwitch (OVS) または Open Virtual Network (OVN) デプロイメントに対するいくつかのバグ修正と機能拡張が提供されています。(BZ#1467288)

VXLAN および GENEVE オフロード用に追加された制御スイッチ

この更新では、VXLAN および GENEVE トンネルのネットワークカードへのオフロードを有効または無効にする新しい制御スイッチが ethtool ユーティリティーに追加されます。この機能強化により、VXLAN または GENEVE トンネルの問題のデバッグが容易になります。さらに、ethtool を使用して機能を無効にすることで、これらのタイプのトンネルをネットワークカードにオフロードすることによって発生する問題を解決できます。(BZ#1308630)

unbound がバージョン 1.6.6 にリベースされました

unbound パッケージがアップストリームバージョン 1.6.6 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべき変更点は次のとおりです。
  • RFC 7816 に準拠した DNS クエリー名 (QNAME) の最小化が実装されました。
  • 新しい max-udp-size 設定オプションが追加されました。デフォルト値は 4096 です。
  • 新しい DNS64 モジュールと新しい dns64-prefix オプションが追加されました。
  • 新しい insecure_add および insecure_remove コマンドが、ネガティブトラストアンカーを管理するための unbound-control ユーティリティーに追加されました。
  • unbound-control ユーティリティーでは、Local Zone とローカルデータを一括で追加および削除できるようになりました。これらのアクションを実行するには、local_zoneslocal_zones_removelocal_datas、および local_datas_remove コマンドを使用します。
  • libldnslibunbound の依存関係ではなくなり、libunbound とともにインストールされなくなります。
  • 新しい so-reuseport: オプションを使用して、Linux 上のスレッドにクエリーを均等に分散できるようになりました。
  • 新しいリソースレコードタイプが追加されました: CDSCDNSKEYURI (RFC 7553 による)、CSYNC、および OPENPGPKEY
  • 新しい local-zone タイプが追加されました。クライアント IP を使用してメッセージをログに記録する inform と、クエリーをログに記録してその回答をドロップする Inform_deny です。
  • ローカルソケットを介したリモート制御が利用できるようになりました。control-interface:/path/sock および control-use-cert: no コマンドを使用します。
  • 非ローカル IP アドレスにバインドするための新しい ip-transparent: 設定オプションが追加されました。
  • インターフェイスまたはアドレスがダウンしているときに IP アドレスにバインドするための新しい ip-freebind: 設定オプションが追加されました。
  • 新しい harden-algo-downgrade: 設定オプションが追加されました。
  • 現在、次のドメインがデフォルトでブロックされています: onion (RFC 7686 に準拠)、test、および valid (RFC 6761 に準拠)。
  • libunbound ライブラリー用のユーザー定義のプラグ可能なイベント API が追加されました。
  • Unbound の作業ディレクトリーを設定するには、unbound.conf ファイル内の include: file ステートメントを指定して directory : dir を使用するか、または絶対パスを指定して chroot コマンドを使用します。
  • きめ細かいローカルゾーン制御は、次のオプションを使用して実装されています: define-tagaccess-control-tagaccess-control-tag-actionaccess-control-tag-datalocal-zone-tag、および local-zone-override
  • 新しい outgoing-interface: netblock/64 IPv6 オプションが追加され、ランダムな 64 ビットローカル部分を持つすべてのクエリーに対して Linux freebind 機能が使用されます。
  • クエリーログと同様の、DNS 応答のログが追加されました。
  • キータグクエリーと trustanchor.unbound CH TXT クエリーを使用するトラストアンカーシグナリングが実装されました。
  • DNS (EDNS) クライアントサブネットの拡張メカニズムが実装されました。
  • 日和見的 IPsec サポートモジュールである ipsecmod が 実装されました。(BZ#1251440)

DHCP が標準の動的 DNS 更新をサポートするようになりました

この更新により、DHCP サーバーは標準プロトコルを使用して DNS レコードを更新できるようになります。その結果、DHCP は、RFC 2136: https://tools.ietf.org/html/rfc2136 で説明されている標準の動的 DNS 更新をサポートします。(BZ#1394727)

DDNS が追加のアルゴリズムをサポートするようになりました

以前は、dhcpd デーモンは、重要なアプリケーションにとって安全ではないと考えられている HMAC-MD5 ハッシュアルゴリズムのみをサポートしていました。その結果、Dynamic DNS (DDNS) 更新は安全ではない可能性がありました。この更新により、追加アルゴリズム HMAC-SHA1HMAC-SHA224HMAC-SHA256HMAC-SHA384、または HMAC-SHA512 のサポートが追加されます。(BZ#1396985)

IPTABLES_SYSCTL_LOAD_LISTsysctl.d ファイルをサポートするようになりました

IPTABLES_SYSCTL_LOAD_LISTsysctl 設定は、iptables サービスの再起動時に iptables init スクリプトによって再ロードされます。変更された設定は、以前は /etc/sysctl.conf ファイル内でのみ検索されていました。この更新では、/etc/sysctl.d/ ディレクトリー内のこれらの変更を検索するためのサポートも追加されています。その結果、iptables サービスの再起動時に、/etc/sysctl.d/ 内のユーザーが指定したファイルが正しく考慮されるようになりました。(BZ#1402021)

SCTPMSG_MORE をサポートするようになりました

MSG_MORE フラグは、完全なパケットの送信準備が整うまで、またはこのフラグを指定しない呼び出しが実行されるまで、小さなデータをバッファーリングするために設定されます。この更新により、ストリーム制御伝送プロトコル (SCTP) での MSG_MORE のサポートが追加されました。その結果、小さなデータチャンクをバッファーリングし、完全なパケットとして送信できます。(BZ#1409365)

MACsec がバージョン 4.13 にリベースされました

Media Access Control Security (MACsec) ドライバーがアップストリームバージョン 4.13 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と拡張機能が提供されています。主な機能強化は、次のとおりです。
  • Generic Receive Offload (GRO) および Receive Packet Steering (RPS)MACsec デバイスで有効になっています。
  • MODULE_ALIAS_GENL_FAMILY モジュールが追加されました。これにより、モジュールがまだロードされていない場合でも、wpa_supplicant などのツールを起動できます。(BZ#1467335)

Open vSwitch で mlx5 ドライバーを使用する場合のパフォーマンスの向上

Open vSwitch (OVS) アプリケーションを使用すると、仮想マシンが相互に通信したり、物理ネットワークと通信したりできるようになります。OVS はハイパーバイザー内に存在し、スイッチングはフロー上の 12 タプルのマッチングに基づいています。ただし、OVS ソフトウェアベースのソリューションは CPU に非常に負荷がかかります。これはシステムのパフォーマンスに影響を与え、利用可能な帯域幅を完全に使用できなくなります。
この更新により、Mellanox ConnectX-4、ConnectX-4 Lx、および ConnectX-5 アダプターの mlx5 ドライバーが OVS をオフロードできるようになりました。Mellanox Accelerated Switching And Packet Processing (ASAP2) Direct テクノロジーは、未変更の OVS コントロールプレーンを維持しながら、Mellanox ConnectX-4 以降のネットワークインターフェイスカードを使用して OVS データプレーンを Mellanox Embedded Switch または eSwitch で処理することにより、OVS のオフロードを可能にします。その結果、OVS のパフォーマンスが大幅に向上し、CPU への負荷が軽減されます。
ASAP2 Direct でサポートされている現在のアクションには、パケットの解析と照合、転送、ドロップ、および VLAN プッシュ/ポップ、または VXLAN のカプセル化とカプセル化解除が含まれます。(BZ#1456687)

Netronome NFP イーサネットドライバーが、representor netdev 機能をサポートするようになりました。

この更新では、Netronome NFP イーサネットドライバーの representor netdev 機能が Red Hat Enterprise Linux 7.5 にバックポートされます。この機能強化により、ドライバーは次のことが可能になります。
  • フォールバックトラフィックを送受信するには
  • Open vSwitch で使用される
  • TC-Fflower ユーティリティーを使用して NFP ハードウェアへのプログラミングフローをサポートするには (BZ#1454745)

TC-Fflower アクションのオフロードのサポート

この更新では、TC-Fflower 分類子のオフロードと、Open vSwitch のオフロードに関連するアクションのサポートが追加されました。これにより、Netronome SmartNIC を使用した Open vSwitch の高速化が可能になります。(BZ#1468286)

DNS スタブリゾルバーの改善

glibc パッケージの DNS スタブリゾルバーは、アップストリームの glibc バージョン 2.26 に更新されました。主な改善点とバグ修正は次のとおりです。
  • /etc/resolv.conf ファイルへの変更は自動的に認識され、実行中のプログラムに適用されるようになりました。以前の動作を復元するには、/etc/resolv.confoptions 行に no-reload オプションを追加します。システム設定によっては、/etc/resolv.conf ファイルがネットワークサブシステムの設定の一部として自動的に上書きされ、no-reload オプションが削除される場合があることに注意してください。
  • 以前の 6 つの検索ドメインエントリーの制限は削除されます。/etc/resolv.confsearch ディレクティブを使用して、任意の数のドメインを指定できるようになりました。エントリーを追加すると、DNS 処理に大幅なオーバーヘッドが追加される可能性があることに注意してください。エントリー数が 3 を超える場合は、ローカルキャッシュリゾルバーの実行を検討してください。
  • getaddrinfo() 関数におけるさまざまな境界条件の処理が修正されました。/etc/hosts ファイル内の非常に長い行 (コメントを含む) が、他の行からの検索結果に影響を与えなくなりました。特定の /etc/hosts 設定を持つシステムでのスタック枯渇に関連する予期しない終了は発生しなくなりました。
  • 以前は、/etc/resolv.confrotate オプションが有効になっている場合、新しいプロセスの最初の DNS クエリーは常に /etc/resolv.conf のネームサーバーリストに設定されている 2 番目のネームサーバーに送信されていました。この動作は変更され、最初の DNS クエリーでリストからネームサーバーがランダムに選択されるようになりました。後続のクエリーは、以前と同様に、使用可能なネームサーバーを循環して実行されます。(BZ#677316, BZ#1432085, BZ#1257639, BZ#1452034, BZ#1329674)

第14章 セキュリティー

LUKS で暗号化されたリムーバブルストレージデバイスは、NBDE を使用して自動的にロック解除できるようになりました

この更新により、clevis パッケージと clevis_udisks2 サブパッケージにより、ユーザーはリムーバブルボリュームをネットワークバインドディスク暗号化 (NBDE) ポリシーにバインドできるようになります。LUKS で暗号化されたリムーバブルストレージデバイス (USB ドライブなど) のロックを自動的に解除するには、clevis luks binding および clevis luks unlimited コマンドを使用します。(BZ#1475408)

new package: clevis-systemd

Clevis プラグ可能なフレームワークのこの更新では、管理者がブート時に LUKS で暗号化された非ルートボリュームの自動ロック解除を設定できるようにする clevis-systemd サブパッケージが導入されています。(BZ#1475406)

OpenSCAP をAnsible ワークフローに統合できるようになりました

今回の更新により、OpenSCAP スキャナーは、プロファイルまたはスキャン結果に基づいて、Ansible Playbook の形式で修復スクリプトを生成できるようになりました。SCAP セキュリティーガイドプロファイルに基づく Playbook にはすべてのルールの修正が含まれ、スキャン結果に基づく Playbook には、評価中に失敗したルールの修正のみが含まれます。ユーザーは、調整されたプロファイルから Playbook を生成したり、Playbook 内の値を編集して直接カスタマイズしたりすることもできます。ルール ID、ストラテジー、複雑さ、中断、参照などのタグは、Playbook 内のタスクのメタデータとして使用され、どのタスクを適用するかをフィルターするロールを果たします。(BZ#1404429)

SECCOMP_FILTER_FLAG_TSYNC は、 呼び出しプロセススレッドの同期を有効にします。

この更新では、SECCOMP_FILTER_FLAG_TSYNC フラグが導入されました。新しいフィルターを追加するとき、このフラグは呼び出しプロセスの他のすべてのスレッドを同じ seccomp フィルターツリーに同期します。詳細は、seccomp(2) の man ページを参照してください。
アプリケーションが複数の libseccomp または seccomp-bpf フィルターをインストールする場合は、許可されるシステムコールのリストに seccomp() システムコールを追加する必要があることに注意してください。(BZ#1458278)

nss がバージョン 3.34 にリベース

nss パッケージがアップストリームバージョン 3.34 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点は、以下のとおりです。
  • TLS 圧縮はサポートされなくなりました。
  • TLS サーバーコードは、RSA キーを使用しないセッションチケットをサポートするようになりました。
  • 証明書は、PKCS#11 URI を使用して指定できます。
  • RSA-PSS 暗号署名スキームが、証明書の署名の署名と検証に使用できるようになりました。(BZ#1457789)

mod_sslSSLv3 が無効になっています

SSL/TLS 接続のセキュリティーを向上させるために、httpd mod_ssl モジュールのデフォルト設定が変更され、SSLv3 プロトコルのサポートが無効になり、特定の暗号スイートの使用が制限されました。この変更は mod_ssl パッケージの新規インストールにのみ影響するため、既存のユーザーは必要に応じて SSL 設定を手動で変更する必要があります。
SSLv3 を使用するか、DES または RC4 に基づく暗号スイートを使用して接続を確立しようとする SSL クライアントは、新しいデフォルト設定では拒否されます。このような安全でない接続を許可するには、/etc/httpd/conf.d/ssl.conf ファイル内の SSLProtocol および SSLCipherSuite ディレクティブを変更します。(BZ#1274890)

Libreswan が IKEv2 の分割 DNS 設定をサポートするようになりました

libreswan パッケージのこの更新では、leftmodecfgdns= および leftcfgdomains= オプションを介して、インターネットキーエクスチェンジバージョン 2 (IKEv2) プロトコルの分割 DNS 設定のサポートが導入されています。これにより、ユーザーは、特定のプライベートドメインの DNS 転送を使用して、ローカルで実行されている DNS サーバーを再設定できるようになります。(BZ#1300763)

libreswan が ESP 用の AES-GMAC をサポートするようになりました

この更新により、phase2alg=null_auth_aes_gmac オプションを介した IPsec カプセル化セキュリティーペイロード (ESP) 内の Advanced Encryption Standard (AES) ガロアメッセージ認証コード (GMAC) のサポートが libreswan パッケージに追加されました。(BZ#1475434)

openssl-ibmca が 1.4.0 にリベースされました

openssl-ibmca パッケージがアップストリームバージョン 1.4.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
  • Advanced Encryption Standard Galois/Counter Mode (AES-GCM) のサポートが追加されました。
  • FIPS モードで動作する OpenSSL の修正が組み込まれました。(BZ#1456516)

opencryptoki が 3.7.0 にリベースされました。

opencryptoki パッケージがアップストリームバージョン 3.7.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
  • ライセンスを Common Public License バージョン 1.0 (CPL) にアップグレードしました。
  • Enterprise PKCS #11 (EP11) および Common Cryptographic Architecture (CCA) の SHA-2 サポートを備えた ECDSA を追加しました。
  • ミューテックスロックからトランザクションメモリー (TM) に移行することでパフォーマンスが向上しました。(BZ#1456520)

configuration_compliance を使用した atomic scan により、ビルド時にセキュリティーに準拠したコンテナーイメージを作成できるようになります

rhel7/openscap コンテナーイメージは、configuration_compliance スキャンタイプを提供するようになりました。この新しいスキャンタイプを atomic scan コマンドの引数として使用すると、ユーザーは次のことが可能になります。
  • Red Hat Enterprise Linux ベースのコンテナーイメージおよびコンテナーを、SCAP セキュリティーガイド (SSG) によって提供されるプロファイルに対してスキャンします。
  • Red Hat Enterprise Linux ベースのコンテナーイメージを修復して、SSG が提供するプロファイルに準拠するようにします。
  • スキャンまたは修復から HTML レポートを生成します。
修復の結果、設定が変更されたコンテナーイメージが作成され、元のコンテナーイメージの上に新しいレイヤーとして追加されます。
元のコンテナーイメージは変更されず、新しいレイヤーがその上に作成されるだけである点に注意してください。修復プロセスでは、すべての設定の改善を含む新しいコンテナーイメージが構築されます。この層の内容は、スキャンのセキュリティーポリシーによって定義されます。これは、修復されたコンテナーイメージが Red Hat によって署名されなくなったことも意味します。これは想定内であり、修復されたレイヤーが含まれているという点で、元のコンテナーイメージとは異なることが原因となっています。(BZ#1472499)

tang-nagios により、NagiosTang を監視できるようになります

tang-nagios サブパッケージは、TangNagios プラグインを提供します。このプラグインにより、Nagios プログラムが Tang サーバーを監視できるようになります。サブパッケージはオプションチャネルで入手できます。詳細については、tang-nagios(1) の man ページを参照してください。(BZ#1478895)

clevis は、特権操作をログに記録するようになりました

この更新により、clevis-udisks2 サブパッケージは試行されたすべてのキー回復を監査ログに記録し、Linux 監査システムを使用して特権操作を追跡できるようになりました。(BZ#1478888)

アプリケーションでのメモリーリークを防ぐために、PK11_CreateManagedGenericObject()NSS に追加されました

PK11_DestroyGenericObject() 関数は、PK11_CreateGenericObject() によって割り当てられたオブジェクトを適切に破棄しませんが、一部のアプリケーションは、オブジェクトの使用後に存続するオブジェクトを作成する関数に依存しています。このため、ネットワークセキュリティーサービス (NSS) ライブラリーには PK11_CreateManagedGenericObject() 関数が含まれるようになりました。PK11_CreateManagedGenericObject() を使用してオブジェクトを作成する場合、PK11_DestroyGenericObject() 関数は、基礎となる関連オブジェクトも適切に破棄します。curl ユーティリティーなどのアプリケーションは、PK11_CreateManagedGenericObject() を使用してメモリーリークを防止できるようになりました。(BZ#1395803)

OpenSSHopenssl-ibmca および openssl-ibmpkcs11 HSM をサポートするようになりました

この更新により、OpenSSH スイートは openssl-ibmca および openssl-ibmpkcs11 パッケージによって処理されるハードウェアセキュリティーモジュール (HSM) を有効にします。これ以前は、OpenSSH seccomp フィルターにより、これらのカードが OpenSSH 権限分離で動作することが妨げられていました。seccomp フィルターが更新され、IBM Z 上の暗号化カードに必要なシステムコールが許可されるようになりました。(BZ#1478035)

cgroup_seclabel により、cgroups でのきめ細かいアクセス制御が可能になります

この更新では、ユーザーがコントロールグループ (cgroup) ファイルにラベルを設定できるようにする cgroup_seclabel ポリシー機能が導入されました。この追加が行われる前は、cgroup ファイルシステムのラベル付けは不可能であり、コンテナー内で systemd サービスマネージャーを実行するには、cgroup ファイルシステム上のすべてのコンテンツに対する読み取りおよび書き込み権限を許可する必要がありました。cgroup_seclabel ポリシー機能により、cgroup ファイルシステムでのきめ細かいアクセス制御が可能になります。(BZ#1494179)

ブートプロセスで、ネットワークに接続された暗号化デバイスのロックを解除できるようになりました

以前は、ブートプロセスは、ネットワークサービスを開始する前に、ネットワークによって接続されているブロックデバイスのロックを解除しようとしていました。ネットワークがアクティブ化されていなかったため、これらのデバイスに接続して復号化することができませんでした。
この更新により、remote-cryptsetup.target ユニットとその他のパッチが systemd パッケージに追加されました。その結果、システム起動時にネットワーク接続されている暗号化されたブロックデバイスのロックを解除し、そのようなブロックデバイスにファイルシステムをマウントできるようになりました。
システム起動時にサービス間で正しい順序を確保するには、/etc/crypttab 設定ファイル内の _netdev オプションを使用してネットワークデバイスをマークする必要があります。
この機能の一般的な使用例は、ネットワークバインドディスク暗号化と併用することです。ネットワークバインドディスク暗号化の詳細については、Red Hat Enterprise Linux セキュリティーガイドの次の章を参照してください。

SELinuxInfiniBand オブジェクトのラベル付けをサポートするようになりました

このリリースでは、カーネル、ポリシー、semanage ツールの機能強化を含め、InfiniBand エンドポートと P_Key ラベル付けに対する SELinux サポートが導入されています。InfiniBand 関連のラベルを管理するには、次のコマンドを使用します。
  • semanage ibendport
  • semanage ibpkey (BZ# 1471809、BZ# 1464484、BZ#1464478)

libica が 3.2.0 にリベースされました

libica パッケージはアップストリームバージョン 3.2.0 にアップグレードされ、最も注目すべき点は、Enhanced SIMD 命令セットのサポートが追加されたことです。(BZ#1376836)

SELinux で systemdNo New Privileges に対応

今回の更新で、新旧のコンテキスト間で nnp_nosuid_transition が許可されている場合に、No New Privileges (NNP) または nosuid で SELinux ドメインの移行を可能にする nnp_nosuid_transition ポリシー機能が追加されました。selinux-policy パッケージに、NNP セキュリティー機能を使用する systemd サービスのポリシーが含まれるようになりました。
次のルールでは、サービスにこの機能を許可しています。
allow source_domain  target_type:process2 { nnp_transition nosuid_transition };
以下に例を示します。
allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };
ディストリビューションポリシーには、m4 マクロインターフェイスも含まれています。これは、init_nnp_daemon_domain() 関数を使用するサービスの SELinux セキュリティーポリシーで使用できます。(BZ#1480518)

libreswan がバージョン 3.23 にリベース

libreswan パッケージがアップストリームバージョン 3.23 にアップグレードされ、以前のバージョンに比べて多くのバグ修正、速度向上、機能拡張が提供されています。主な変更点は、以下のとおりです。
  • dnssec-enable=yes|nodnssec-rootkey-file=、および dnssec-anchors= オプションによる拡張 DNS Security Extensions (DNSSEC) スイートのサポート。
  • ppk=yes|no|insist オプションによるポスト量子事前共有キー (PPK) の実験的サポート。
  • RSA-SHA の署名認証 (RFC 7427) のサポート。
  • 新しい logip= オプションをデフォルト値 yes で使用すると、受信 IP アドレスのログを無効にすることができます。これは、プライバシーを懸念する大規模なサービスプロバイダーにとって役立ちます。
  • アンバインド DNS サーバーの ipsecmod module は、DNS の IPSECKEY レコードを使用した Opportunistic IPsec をサポートします。
  • decap-dscp=yes オプションによる Differentiated Services Code Point (DSCP) アーキテクチャーのサポート。DSCP は、以前は利用規約 (TOS) として知られていました。
  • nopmtudisc=yes オプションによる Path MTU Discovery (PMTUD) の無効化のサポート。
  • マルチドメインデプロイメントを改善するための IDr (識別 - レスポンダー) ペイロードのサポート。
  • 非常にビジーなサーバー上で IKE パケットを再送信すると、EAGAIN エラーメッセージが返されます。
  • カスタマイズのためのアップダウンスクリプトのさまざまな改善。
  • RFC 8221 および RFC 8247 に従って暗号化アルゴリズムの設定を更新しました。
  • updown スクリプトを無効にするための %none および /dev/null 値を leftupdown= オプションに追加しました。
  • CREATE_CHILD_SA エクスチェンジを使用したキー再生成のサポートが改善されました。
  • IKEv1 XAUTH スレッドの競合状態が解決されました。
  • 最適化された pthread ロックにより、パフォーマンスが大幅に向上しました。
詳細は、man ページの ipsec.conf を参照してください。(BZ#1457904)

libreswan が IKEv2 MOBIKE をサポートするようになりました

この更新では、mobike=yes|no オプションによる XFRM_MIGRATE メカニズムを使用した IKEv2 Mobility and Multihoming (MOBIKE) プロトコル (RFC 4555) のサポートが導入されています。MOBIKE を使用すると、IPsec トンネルを妨げることなく、Wi-Fi、LTE などのネットワークをシームレスに切り替えることができます。(BZ#1471763)

scap-workbench がバージョン 1.1.6 にリベースされました

scap-workbench パッケージがバージョン 1.1.6 にアップグレードされ、以前のバージョンに対して多数のバグ修正と拡張が行われました。注目すべき変更点は次のとおりです。
  • プロファイルからの Bash および Ansible 修復ロールの生成とスキャン結果のサポートが追加されました。生成された修復は、後で使用できるようにファイルに保存できます。
  • コマンドラインから直接調整ファイルを開くためのサポートが追加されました。
  • 32,768 を超える SSH ポート番号を使用する場合の短整数のオーバーフローを修正しました。(BZ#1479036)

OpenSCAPDISA STIG Viewer の結果を生成できるようになりました

OpenSCAP スイートは、DISA STIG Viewer ツールと互換性のある形式で結果を生成できるようになりました。これにより、ユーザーはローカルシステムをスキャンして国防情報システム庁セキュリティー技術実装ガイド (DISA STIG) に準拠しているかどうかを確認し、結果を DISA STIG Viewer で開くことができます。(BZ#1505517)

selinux-policy に は許可ドメインが含まれなくなりました

セキュリティー強化策として、SELinux ポリシーはデフォルトで次のドメインを許可モードに設定しなくなりました。
  • blkmapd_t
  • hsqldb_t
  • ipmievd_t
  • sanlk_resetd_t
  • systemd_hwdb_t
  • targetd_t
これらのドメインのデフォルトモードは強制に設定されるようになりました。(BZ#1494172)

audit がバージョン 2.8.1 にリベース

audit パッケージはアップストリームバージョン 2.8.1 にアップグレードされました。これにより、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されます。注目すべき変更点は次のとおりです。
  • アンビエント機能フィールドのサポートが追加されました。
  • Audit デーモンは IPv6 でも動作するようになりました。
  • デフォルトのポートを auditd.conf ファイルに追加しました。
  • Access Vector Cache (AVC) メッセージをレポートするための auvirt ツールを修正しました。(BZ#1476406)

OpenSC が SCE7.0 144KDI CAC Alt. トークンをサポートするようになりました。

この更新では、SCE7.0 144KDI Common Access Card (CAC) 代替トークンのサポートが追加されています。これらの新しいカードは、以前の米国のカードに準拠していませんでした。CAC PIV エンドポイント仕様に関する国防総省 (DoD) 実装ガイド、および、OpenSC ドライバーが更新された仕様を反映するために更新されました。(BZ#1473418)

第15章 サーバーおよびサービス

余った dbus プロセス

Red Hat Enterprise Linux 7.5 には、ユーザーが dbus を使用してアプリケーションをリモート (SSH 経由や IBM Platform LSF 経由など) で起動できる機能が追加されています。
ただし、dbus を使用するプロセスがリモートで起動されると、メインプロセスが閉じられた後でも dbus プロセスが実行され続けるため、リモートセッションがブロックされ、正常に終了できなくなります。
この問題を回避するには、https://access.redhat.com/solutions/3257651 の手順に従ってください。(BZ#1460262)

dbus が バージョン 1.10 にリベースされました

dbus パッケージがアップストリームバージョン 1.10 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点は、以下のとおりです。
  • dbus-run-session は、ログインセッションのランタイム用に dbus セッションバスを実行する新しいユーティリティーで、dbus を使用するアプリケーションを開始する ssh セッションをより予測可能かつ信頼性の高いものにします。詳細については、man 1 dbus-run-session を参照してください。
  • いくつかのメモリーおよびファイル記述子のリークが修正されました。これにより、dbus-daemon の メモリー使用量と信頼性が向上します。
  • 既知のシステムおよびセッションバス設定ファイルは、/etc/dbus-1/ から /usr/share/dbus-1/ ディレクトリーに移動されました。古い場所は引き続き使用できますが、非推奨になります (具体的には、session.confsystem.conf は非推奨ですが、session.dsystem.d の下のシステム管理者の設定スニペットは許可されます)。(BZ#1480264)

tuned がバージョン 2.9.0 にリベースされました。

tuned パッケージがアップストリームバージョン 2.9.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべき変更点は次のとおりです。
  • net プラグインは、ring パラメーターpause パラメーターを使用して拡張されました。
  • 手動または自動で設定されるプロファイルの概念が導入されました。
  • プロファイル推奨ファイル用のディレクトリーがサポートされるようになりました。(BZ#1467576)

chrony がバージョン 3.2 にリベースされました

chrony パッケージがアップストリームバージョン 3.2 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。主な機能強化は、次のとおりです。
  • ボンディング、ブリッジング、およびイーサネットインターフェイスを集約するその他の論理インターフェイスによるハードウェアタイムスタンプのサポート
  • 受信した PTP (Precision Time Protocol) パケットのみにタイムスタンプを付与でき、Network Time Protocol (NTP) パケットにはタイムスタンプを付与できないネットワークカードによる送信専用ハードウェアタイムスタンプのサポート
  • ハードウェアタイムスタンプおよびインターリーブモードによる Synchronization の安定性の向上
  • 国際原子時 (TAI) と協定世界時 (UTC) の間のシステムクロックのオフセットを自動的に設定するための、leapsectz オプションの改良 (BZ# 1482565)

SNMP ページカウントを CUPS で無効にできるようになりました

現在、簡易ネットワーク管理プロトコル (SNMP) ページカウントでは、特定のプリンターについて誤った情報が表示されます。この更新により、CUPS 印刷システムは SNMP ページカウントのオフをサポートし、問題を回避します。これを行うには、プリンターの PostScript プリンター記述 (PPD) ファイルに *cupsSNMPPages: False を追加します。
プリンターの PPD ファイルにオプションを追加する手順は、https://access.redhat.com/solutions/1427573 のソリューション記事で説明されています。(BZ#1434153)

CUPS は、TLS バージョン 1.2 以降の暗号のみを使用するように設定できます。

CUPS 印刷システムは、TLS バージョン 1.2 以降の暗号のみを使用するように設定できるようになりました。この機能を使用するには、オプション SSLOptions MinTLS1.2 を CUPS クライアントの /etc/cups/client.conf ファイルに、または CUPS デーモンの /etc/cups/cupsd.conf ファイルに追加します。(BZ#1466497)

Squid パッケージは kerberos_ldap_group ヘルパーを提供するようになりました。

この更新により、kerberos_ldap_group 外部アクセス制御リスト (ACL) ヘルパーが Squid パッケージに追加されました。kerberos_ldap_group ヘルパーは、LDAP サーバーに対する Simple Authentication and Security Layer (SASL) および Generic Security Services API (GSSAPI) 認証をサポートするリファレンス実装であり、主に Active Directory または OpenLDAP ベースの LDAP サーバーに接続することを目的としています。(BZ#1452200)

OpenIPMI がバージョン 2.0.23 にリベースされました。

OpenIPMI パッケージがバージョン 2.0.23 にアップグレードされ、バグ修正および機能拡張が数多く追加されました。特に:
  • ファンのデューティサイクルを直接設定するコマンドを追加します。
  • コンパイル後にコマンドラインから状態ディレクトリーを指定する方法が追加されます。
  • メッセージマップサイズを 32 ビットに変更して、16 メッセージウィンドウ全体を処理できるようにします。
  • IPMI LAN シミュレーターコマンドのサポートが追加されます。ipmi_sim_cmd (5) のマニュアルページを参照してください。
  • IPMI LAN インターフェイス設定ファイルのサポートが追加されます。ipmi_lan (5) のマニュアルページを参照してください。(BZ#1457805)

freeIPMI 1.2.9 から freeIPMI 1.5.7 への変更の概要

最も重要な変更点は次のとおりです。
- ipmi-fru ツールは、DDR3 および DDR4 SDRAM モジュールの出力と新しい FRU マルチレコードをサポートするようになりました。- 新しい ipmi-config ツールは、以前に bmc-configipmi-pef-configipmi-sensors-config、および ipmi-chassis-config ツールにあったすべての機能を実装する統合設定ツールです。- ipmi-sel ツールは、IPMI システムイベントログレコードを読み取り、管理します。これにより、このツールはシステムのデバッグに役立ちます。
変更の完全なリストは、インストール後に /usr/share/doc/freeipmi/NEWS ファイルで入手できます。(BZ#1435848)

PHP FPM プール設定で使用できる新しい clear_env オプション

この更新では、PHP の FastCGI Process Manager (FPM) プール設定に新しい clear_env オプションが導入されています。clear_env オプションが無効になっている場合、FPM デーモンの実行時に設定された環境変数は保存され、スクリプトで使用できます。デフォルトでは、clear_env が有効になっており、現在の動作が維持されます。(BZ#1410010)

第16章 ストレージ

VDO を使用したデータの重複排除と圧縮

Red Hat Enterprise Linux 7.5 には、Virtual Data Optimizer (VDO) が導入されています。この機能を使用すると、データの重複排除、圧縮、シンプロビジョニングを透過的に提供するブロックデバイスを作成できます。標準のファイルシステムとアプリケーションは、変更せずにこれらの仮想ブロックデバイス上で実行できます。
VDO は現在、AMD64 および Intel 64 アーキテクチャーでのみ使用できます。
VDO の詳細については、ストレージ管理ガイドの VDO によるデータ重複排除と圧縮の章を参照してください: https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/storage_administration_guide/vdo。(BZ#1480047)

LVM スナップショットとイメージブートエントリーを管理するための新しい boom ユーティリティー

このリリースでは、boom コマンドが追加されており、システム上の追加のブートローダーエントリーを管理するために使用できます。これを使用して、システムスナップショットおよびイメージの補助ブートエントリーを作成、削除、リスト表示、および変更できます。このユーティリティーは、LVM スナップショットのブートメニューエントリーを管理するための単一ツールを提供します。したがって、ブートローダー設定ファイルを手動で編集したり、詳細なカーネルパラメーターを操作したりする必要がなくなりました。このツールは、lvm2-python-boom パッケージによって提供されます。(BZ#1278192)

DM Multipath では事前の予約キーが不要になりました

DM Multipath は、multipath.conf ファイルで 2 つの新しい設定オプションをサポートするようになりました。
  • unpriv_sgio
  • prkeys_file
defaults セクションと multipaths セクションの reservation_key オプションは、新しいキーワード file を受け入れます。設定すると、multipathd サービスは、defaults セクションの prkeys_file オプションで設定されたファイルを使用して、マルチパスデバイスのパスに使用する予約キーを取得します。prkeys ファイルは、mpathpersist ユーティリティーによって自動的に更新されます。reservation_key オプションのデフォルトは未定義のままで、prkeys_file のデフォルトは /etc/multipath/prkeys です。
新しい unpriv_sgio オプションが yes に設定されている場合、DM Multipath はすべての新しいデバイスとそのパスを unpriv_sgio 属性で作成します。このオプションは他のソフトウェアによって内部的に使用され、ほとんどの DM Multipath ユーザーには不要です。デフォルトは no です。
これらの変更により、どの予約キーが使用されるかを事前に知らなくても、また予約キーを multipath.conf 設定ファイルに追加しなくても、mpathpersist ユーティリティーを使用できるようになります。その結果、mpathpersist ユーティリティーを使用して、複数のセットアップでマルチパス永続予約を管理することが容易になりました。(BZ#1452210)

multipath.confblacklist セクションと blacklist_Exception セクションで新しい property パラメーターがサポートされました

multipath.conf 設定ファイルは、ファイルの blacklist セクションと blacklist_Exception セクションの property パラメーターをサポートするようになりました。このパラメーターを使用すると、ユーザーは特定タイプのデバイスをブラックリストに指定できます。property パラメーターは、デバイスの udev 環境変数名と照合される正規表現文字列を受け取ります。
blacklist_Exceptionproperty パラメーターは、他の blacklist_Exception パラメーターとは動作が異なります。このパラメーターを設定した場合は、一致する udev 変数がデバイスに必要になります。この変数がないと、デバイスはブラックリストに指定されます。
最も便利なのは、このパラメーターを使用すると、USB スティックやローカルハードドライブなど、マルチパスが無視する必要のある SCSI デバイスをブラックリストに登録できるようになることです。合理的にマルチパス化できる SCSI デバイスのみを許可するには、multipath.conf ファイルの blacklist_Exceptions セクションでこのパラメーターを (SCSI_IDENT_|ID_WWN) に設定します。(BZ#1456955)

Smartmontools が NVMe デバイスをサポートするようになりました

この更新により、Nonvolatile Memory Express (NVMe) デバイス、特にソリッドステートドライブ (SSD) ディスクのサポートが Smartmontools パッケージに追加されます。その結果、smartmontools ユーティリティーを使用して、Self-Monitoring、Analysis and Reporting Technology System (SMART) を使用して NVMe ディスクを監視できるようになりました。(BZ#1369731)

指定されたハードウェアでの DIF/DIX (T10 PI) のサポート

SCSI T10 DIF/DIX は、ハードウェアベンダーが認定し、特定の HBA およびストレージアレイ設定を完全にサポートしている場合、Red Hat Enterprise Linux 7.5 で完全にサポートされます。DIF/DIX は、他の設定ではサポートされていません。ブートデバイスでの使用もサポートされておらず、仮想化ゲストでの使用もサポートされていません。
現在、このサポートを提供するベンダーは以下のとおりです。
FUJITSU は、以下で DIF および DIX をサポートしています。
EMULEX 16G FC HBA:
  • EMULEX LPe16000/LPe16002、10.2.254.0 BIOS、10.4.255.23 FW (以下と共に)
  • FUJITSU ETERNUS DX100 S3、DX200 S3、DX500 S3、DX600 S3、DX8100 S3、DX8700 S3、DX8900 S3、DX200F、DX60 S3、AF250、AF650、DX60 S4、DX100 S4、DX200 S4、DX500 S4、DX600 S4、AF250 S2、AF650 S2
QLOGIC 16G FC HBA:
  • QLOGIC QLE2670/QLE2672、3.28 BIOS、8.00.00 FW (以下と共に)
  • FUJITSU ETERNUS DX100 S3、DX200 S3、DX500 S3、DX600 S3、DX8100 S3、DX8700 S3、DX8900 S3、DX200F、DX60 S3、AF250、AF650、DX60 S4、DX100 S4、DX200 S4、DX500 S4、DX600 S4、AF250 S2、AF650 S2
T10 DIX には、ディスクブロックでチェックサムの生成および検証を行うデータベースまたはその他のソフトウェアが必要です。現在サポートされている Linux ファイルシステムにはこの機能はありません。
EMC は以下で DIF をサポートしています。
EMULEX 8G FC HBA:
  • LPe12000-E および LPe12002-E with firmware 2.01a10 以降 (以下と共に)
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
EMULEX 16G FC HBA:
  • ファームウェア 10.0.803.25 以降の LPe16000B-E および LPe16002B-E (以下と共に)
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
QLOGIC 16G FC HBA:
  • QLE2670-E-SP および QLE2672-E-SP (以下と共に)
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
最新のステータスは、ハードウェアベンダーのサポート情報を参照してください。
他の HBA およびストレージアレイの場合、DIF/DIX へのサポートはテクノロジープレビューのままとなります。(BZ#1499059)

ファイルシステムダイレクトアクセス (DAX) とデバイス DAX が Huge Page をサポートするようになりました

以前は、各ファイルシステム DAX およびデバイス DAX ページフォールトは、ユーザースペース内の単一のページにマップされていました。この更新により、ファイルシステム DAX とデバイス DAX は、Huge Page と呼ばれるより大きなチャンクで永続メモリーをマップできるようになりました。
ファイルシステム DAX は、たとえば、AMD64 および Intel 64 アーキテクチャーでサイズが 2 MiB の Huge Page をサポートし、デバイス DAX は、AMD64 および Intel 64 で 2 MiB または 1 GiB のヒュージページの使用をサポートします。比較すると、これらのアーキテクチャーでは標準ページのサイズは 4 KiB です。
DAX 名前空間を作成するときに、名前空間がすべてのページフォールトに使用するページサイズを設定できます。
巨大なページにより、ページフォールトが減り、ページテーブルが小さくなり、Translation Lookaside Buffer (TLB) の競合が減ります。その結果、ファイルシステム DAX とデバイス DAX のメモリー使用量が減り、パフォーマンスが向上しました。(BZ#1457561、BZ#1383493)

fsadm は、LUKS で暗号化された LVM ボリュームを拡張および縮小できるようになりました

fsadm ユーティリティーは、Linux Unified Key Setup (LUKS) で暗号化された Logical Volume Manager (LVM) ボリュームを拡大および縮小できるようになりました。これは、fsadm --lvresize コマンドを使用して fsadm を直接使用する場合と、lvresize --resizefs コマンドを使用して間接的に使用する場合の両方に当てはまります。
技術的な制限により、ヘッダーが切り離された暗号化デバイスのサイズ変更はサポートされていないことに注意してください。(BZ#1113681)

第17章 システムおよびサブスクリプション管理

cockpit は バージョン 154 にリベースされました

Cockpit ブラウザーベースの管理コンソールを提供する Cockpit パッケージがバージョン 154 にアップグレードされました。このバージョンでは、多くのバグ修正と機能強化が提供されています。主な変更点は、以下のとおりです。
  • Accounts ページでは、アカウントのロックとパスワードの有効期限を設定できるようになりました。
  • 負荷グラフは、すべてのネットワーク上のループバックトラフィックを一貫して無視します。
  • Cockpit は、systemd サービスの満たされていない条件に関する情報を提供します。
  • Services ページで新しく作成されたタイマーが自動的に開始され、有効になるようになりました。
  • 端末ウィンドウのサイズを動的に変更して、利用可能なスペースをすべて使用することができます。
  • Internet Explorer でのさまざまなナビゲーションおよび JavaScript エラーが修正されました。
  • Cockpit は、自己署名証明書ジェネレーター (SSCG) を使用して SSL 証明書を生成します (可能な場合)。
  • 任意のパスからの SSH キーのロードがサポートされるようになりました。
  • 存在しない、または無効な /etc/os-release ファイルが正常に処理されるようになりました。
  • 権限のないユーザーは、System ページのシャットダウン/再起動ボタンを使用できなくなりました。
特定の cockpit パッケージは Red Hat Enterprise Linux 7 Extras チャネルで入手できることに注意してください。https://access.redhat.com/support/policy/updates/extras を参照してください。(BZ#1470780, BZ#1425887, BZ#1493756)

yum-utils のユーザーはトランザクションの前にアクションを実行できるようになりました

新しい yum-plugin-pre-transaction-actions プラグインが yum-utils コレクションに追加されました。これにより、ユーザーはトランザクションが開始される前にアクションを実行できます。プラグインの使用法と設定は、既存の yum-plugin-post-transaction-actions プラグインとほぼ同じです。(BZ#1470647)

yum は 非 root ユーザーとしてユーザーごとのキャッシュの作成を無効にできます

新しい usercache オプションが yum ユーティリティーの yum.conf(5) 設定ファイルに追加されました。これにより、ユーザーは、yum が 非 root ユーザーとして実行される場合に、ユーザーごとのキャッシュの作成を無効にすることができます。この変更の理由は、$TMPDIR ディレクトリー内のスペースがユーザーキャッシュデータによって消費されている場合など、ユーザーがユーザーごとのキャッシュを作成して設定したくない場合があるためです。(BZ#1432319)

yum-builddep で RPM マクロを定義できるようになりました

yum-builddep ユーティリティーが拡張され、.spec ファイル解析用の RPM マクロを定義できるようになりました。この変更は、場合によっては、yum-builddep が .spec ファイルを正常に解析するために RPM マクロを定義する必要があるために行われました。rpm ユーティリティーと同様に、yum-builddep ツールで --define オプションを使用して RPM マクロを指定できるようになりました。(BZ#1437636)

subscription-manager は 登録時にホスト名を表示するようになりました

これまで、ユーザーは、さまざまな Satellite 設定によって決定される特定のシステムの有効なホスト名を検索する必要がありました。この更新により、subscription-manager ユーティリティーはシステムの登録時にホスト名を表示します。(BZ#1463325)

subscription-manager プラグインが yum-config-manager で実行されるようになりました

この更新により、subscription-manager プラグインは yum-config-manager ユーティリティーで実行されます。yum-config-manager 操作によって redhat.repo の生成がトリガーされるようになり、最初に yum コマンドを実行しなくても Red Hat Enterprise Linux コンテナーでリポジトリーを有効または無効にできるようになりました。(BZ#1329349)

subscription-manager/etc/pki/product-default/ 内のすべての製品証明書を保護するようになりました。

以前は、subscription-manager ユーティリティーは、タグが rhel-# と一致する redhat-release パッケージによって提供される製品証明書のみを保護していました。その結果、RHEL-ALTHigh Touch Beta などの製品証明書が、product-id yum プラグインによって /etc/pki/product-default/ ディレクトリーから削除されることがありました。この更新により、/etc/pki/product-default/ 内のすべての証明書を自動削除から保護するように subscription-manager が変更されました。(BZ#1526622)

rhn-merge-classic-to-rhsm は、subscription-manager および product-id yum プラグインを自動的に有効にするようになりました。

この更新により、rhn-merge-classic-to-rhsm ユーティリティーは、yum プラグインである subscription-manager および product-id を自動的に有効にします。この更新により、subscription-manager ユーティリティーは yum プラグイン (subscription-manager および product-id) を自動的に有効にします。この更新は、以前に rhn-client-tools ユーティリティーを使用してシステムを Red Hat Network Classic に登録していたユーザー、または Satellite 5 エンタイトルメントサーバーで現在も rhn-client-tools ユーティリティーを使用しており、yum プラグインを一時的に無効にしている Red Hat Enterprise Linux のユーザーにメリットがあります。その結果、rhn-merge-classic-to-rhsm により、資格付与のための新しい subscription-manager ツールの使用への簡単な移行が可能になります。rhn-merge-classic-to-rhsm を実行すると、このデフォルトの動作が望ましくない場合に変更する方法を示す警告メッセージが表示されることに注意してください。(BZ#1466453)

subscription-manager は、subscription-manager および product-id yum プラグインを自動的に有効にするようになりました

この更新により、subscription-manager ユーティリティーは yum プラグイン (subscription-manager および product-id) を自動的に有効にします。この更新は、以前に rhn-client-tools ユーティリティーを使用してシステムを Red Hat Network Classic に登録していたユーザー、または Satellite 5 エンタイトルメントサーバーで現在も rhn-client-tools ユーティリティーを使用しており、yum プラグインを一時的に無効にしている Red Hat Enterprise Linux のユーザーにメリットがあります。その結果、ユーザーは資格付与のために新しい subscription-manager ツールの使用を開始しやすくなります。subscription-manager を実行すると、このデフォルトの動作が望ましくない場合に変更する方法を示す警告メッセージが表示されることに注意してください。(BZ#1319927)

subscription-manager-cockpit は、cockpit-system のサブスクリプション機能を置き換えます

この更新では、新しい subscription-manager-cockpit RPM が導入されています。新しい subscription-manager-cockpit RPM は、新しい dbus ベースの実装と、Cockpit-system によって提供される同じサブスクリプション機能に対するいくつかの修正を提供します。両方の RPM がインストールされている場合は、subscription-manager-cockpit の実装が使用されます。(BZ#1499977)

virt-who はホストとゲストのマッピングが送信される場所をログに記録します

virt-who ユーティリティーは、rhsm.log ファイルを使用して、ホストとゲストのマッピングの送信先の所有者またはアカウントを記録するようになりました。これは、virt-who を適切に設定するのに役立ちます。(BZ#1408556)

virt-who が 設定エラー情報を提供するようになりました

virt-who ユーティリティーは、一般的な virt-who 設定エラーをチェックし、これらのエラーの原因となった設定項目を指定するログメッセージを出力するようになりました。その結果、ユーザーは virt-who 設定エラーを修正することが容易になります。(BZ#1436617)

reposync はデフォルトで、場所が宛先ディレクトリー外にあるパッケージをスキップするようになりました

以前は、reposync コマンドはリモートリポジトリーで指定されたパッケージへのパスをサニタイズしなかったため、安全ではありませんでした。CVE-2018-10897 のセキュリティー修正により、指定された宛先ディレクトリーの外にパッケージを保存しないように reposync のデフォルトの動作が変更されました。元の安全でない動作を復元するには、新しい --allow-path-traversal オプションを使用します。(BZ#1609302)

第18章 仮想化

IBM Z での KVM 仮想化

KVM 仮想化が IBM Z でサポートされるようになりました。ただし、この機能は、kernel-alt パッケージによって提供される、カーネルバージョン 4.14 に基づいて新しく導入されたユーザー空間でのみ使用できます。
また、ハードウェアの違いにより、KVM 仮想化の特定の機能が AMD64 および Intel 64 システムでサポートされているものと異なることにも注意してください。
IBM Z での KVM 仮想化のインストールと使用の詳細については、仮想化の導入および管理ガイドを参照してください。(BZ#1400070, BZ#1379517, BZ#1479525, BZ#1479526, BZ#1471761)

IBM POWER9 でサポートされる KVM 仮想化

この更新により、IBM POWER9 システムで KVM 仮想化がサポートされ、IBM POWER9 マシン上で KVM 仮想化を使用できるようになります。ただし、この機能は、kernel-alt パッケージによって提供される、カーネルバージョン 4.14 に基づいて新しく導入されたユーザー空間でのみ使用できます。
また、ハードウェアの違いにより、IBM POWER9 上の KVM 仮想化の特定の機能は、AMD64 および Intel 64 システムでサポートされているものとは異なることに注意してください。
POWER9 システムでの KVM 仮想化のインストールと使用の詳細については、仮想化の導入および管理ガイドを参照してください。(BZ#1465503, BZ#1478482, BZ#1478478)

IBM POWER8 でサポートされる KVM 仮想化

この更新により、IBM POWER8 システムで KVM 仮想化がサポートされ、IBM POWER8 マシンで KVM 仮想化を使用できるようになります。
ハードウェアの違いにより、IBM POWER8 上の KVM 仮想化の特定の機能は、AMD64 および Intel 64 システムでサポートされているものとは異なることに注意してください。
POWER8 システムでの KVM 仮想化のインストールと使用の詳細については、仮想化の導入および管理ガイドを参照してください。(BZ#1531672)

NVIDIA GPU デバイスを複数のゲストが同時に使用できるようになりました

NVIDIA vGPU 機能が Red Hat Enterprise Linux 7 でサポートされるようになりました。これにより、vGPU 互換の NVIDIA GPU を、mediated devices と呼ばれる複数の仮想デバイスに分割することができます。仲介デバイスをゲスト仮想マシンに割り当てることで、これらのゲストは単一の物理 GPU のパフォーマンスを共有できます。
この機能を設定するには、libvirt サービスの仲介デバイスを手動で作成し、vGPU として使用できるようにします。詳細については、仮想化の導入および管理ガイドを参照してください。(BZ#1292451)

KASLR for KVM ゲスト

Red Hat Enteprise Linux 7.5 では、KVM ゲスト仮想マシン用のカーネルアドレス空間ランダム化 (KASLR) 機能が導入されています。KASLR は、カーネルイメージを解凍する物理アドレスおよび仮想アドレスをランダム化できるため、カーネルオブジェクトの位置に基づいてゲストのセキュリティー攻撃を防ぎます。
KASLR はデフォルトで有効にされますが、ゲストのカーネルコマンドラインに nokaslr 文字列を追加することで、特定のゲストで無効にできます。
KASLR がアクティブになっているゲストのカーネルクラッシュダンプは、crash ユーティリティーを使用して分析できないことに注意してください。これを修正するには、ゲストの XML 設定ファイルの <features> セクションに <vmcoreinfo/> 要素を追加します。ただし、<vmcoreinfo/> を持つ KVM ゲストは、この要素をサポートしていないホストシステムには移行できません。これには、Red Hat Enterprise Linux 7.4 以前 (BZ# 1411490、BZ# 1395248) を使用するホストが含まれます。

OVA ファイルの並列展開をサポート

このリリースでは、piggz および pxz 展開ユーティリティーが virt-v2v ユーティリティーでサポートされています。
これらのユーティリティーを使用すると、マルチプロセッサーマシン上で gzip および xz ユーティリティーで圧縮された OVA ファイルの展開が高速化されます。さらに、pigz および pxz のコマンドラインインターフェイスは、gzip および xz のコマンドラインインターフェイスと完全な互換性があります。
pigzpxz がインストールされている場合は、デフォルトでそれらが使用されます。pigzpxz がインストールされていない場合、展開動作に変更はありません。(BZ#1448739)

SMAP が Cannonlake ゲストでサポートされるようになりました

この更新により、Cannonlake というコード名で呼ばれる第 7 世代インテルプロセッサーを使用するゲストでスーペリアモードアクセス防止 (SMAP) 機能がサポートされるようになりました。これにより、悪意のあるプログラムがカーネルにユーザー空間プログラムのデータの使用を強制することがなくなり、ゲストのセキュリティーが強化されます。
ホスト CPU がゲストに SMAP を提供できることを確認するには、virshabilities コマンドを使用して、<feature name='smap'/> 文字列を探します。(BZ#1465223)

libvirt が 3.9.0 にリベースされました

libvirt パッケージがバージョン 3.9.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。主な変更点は、以下のとおりです。
  • スパースファイルは、別のホストとの間で移動した後も保存されるようになりました。
  • リモートプロシージャコール (RPC) の応答制限が増加しました。
  • 仮想化された IBM POWER9 CPU がサポートされるようになりました。
  • 実行中のゲスト仮想マシンへのデバイスの接続 (デバイスホットプラグとも呼ばれます) では、入力デバイスなど、より多くのデバイスタイプがサポートされるようになりました。
  • libvirt ライブラリーは、CVE-2017-1000256 および CVE-2017-5715 のセキュリティー問題に対して保護されています。
  • VFIO を介したデバイスがより確実に機能するようになりました。(BZ#1472263)

virt-manager が1.4.3 にリベースされました

virt-manager パッケージがバージョン 1.4.3 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。主な変更点は、以下のとおりです。
  • AMD64 および Intel 64 アーキテクチャーを使用しないゲスト仮想マシンを作成するときに、virt-manager インターフェイスに正しい CPU モデルが表示されるようになりました。
  • デフォルトのデバイス選択は、IBM POWER、IBM Z、または 64 ビット ARM アーキテクチャーを使用するゲスト向けに最適化されています。
  • ホストシステムにインストールされているネットワークカードがシングルルート I/O 仮想化 (SR-IOV) と互換性がある場合、選択した SR-IOV 対応カードの利用可能な仮想機能のプールをリストする仮想ネットワークを作成できるようになりました。
  • 新しく作成されたゲストの OS の種類とバージョンの選択が拡張されました。(BZ#1472271)

virt-what がバージョン 1.18 にリベースされました

virt-what パッケージがアップストリームバージョン 1.18 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に、virt-what ユーティリティーは次のゲスト仮想マシンタイプを検出できるようになりました。
  • 64 ビット ARM ホスト上で実行され、詳細設定および電源インターフェイスを使用して起動されたゲスト。
  • oVirt または Red Hat Virtualization ハイパーバイザー上で実行されているゲスト。
  • 論理パーティショニング (LPAR) を使用する IBM POWER7 ホスト上で実行されているゲスト。
  • FreeBSD 上で実行されているゲストはハイパーバイザーを使用します。
  • KVM ハイパーバイザーを使用する IBM Z ホスト上で実行されているゲスト。
  • ゲストは QEMU Tiny Code Generator (TCG) を使用してエミュレートされました。
  • OpenBSD 仮想マシンモニター (VMM) サービスで実行されているゲスト。
  • Amazon Web Services (AWS) プラットフォームで実行されているゲスト。
  • Oracle VM Server for SPARC プラットフォーム上で実行されているゲスト。
さらに、次のバグが修正されました。
  • virt-what ユーティリティーは、システム管理 BIOS (SMBIOS) を使用しないプラットフォームで失敗しなくなりました。
  • $PATH 変数が設定されていない場合でも、virt-what が正しく動作するようになりました。(BZ#1476878)

tboot がバージョン 1.9.6 にリベース

tboot パッケージはアップストリームバージョン 1.96 にアップグレードされ、いくつかのバグが修正され、さまざまな機能強化が追加されました。主な変更点は、以下のとおりです。
  • OpenSSL ライブラリーバージョン 1.1.0 以降では、RSA キーの操作と ECDSA 署名の検証がサポートされるようになりました。
  • Trusted Computing Group (TCG) のトラステッドプラットフォームモジュール (TPM) のイベントログのサポートが追加されました。
  • x2APIC シリーズの Advanced Programmable Interrupt Controller (APIC) がサポートされるようになりました。
  • カーネルイメージが意図せず上書きされないように、追加のチェックが追加されました。
  • tboot ユーティリティーは、モジュールの移動中にモジュールを上書きできなくなりました。
  • Amazon Simple Storage Service (S3) シークレットのシールとシール解除が失敗する原因となるバグが修正されました。
  • いくつかの null ポインター逆参照のバグが修正されました。(BZ#1457529)

virt-v2v はスナップショットを使用して VMware ゲストを変換できます

virt-v2v ユーティリティーは、スナップショットを持つ VMware ゲスト仮想マシンを変換するように拡張されました。変換後、そのようなゲストのステータスは最上位のスナップショットに設定され、他のスナップショットは削除されることに注意してください。(BZ#1172425)

virt-rescue の強化

virt-rescue ユーティリティーのこのリリースには、次の機能強化が含まれています。
  • Ctrl+ 文字シーケンスは、virt-rescue 自体ではなく、virt-rescue で実行されるコマンドに作用するようになりました。
  • -i オプションを使用すると、ユーザーはゲストを検査した後にすべてのディスクをマウントできます。(BZ#1438710)

virt-v2v は、LUKS で暗号化された Linux ゲストを変換するようになりました

この更新により、virt-v2v ユーティリティーは、フルディスク LUKS 暗号化を使用してインストールされた Linux ゲストを変換できるようになりました。つまり、/boot パーティション以外のすべてのパーティションが暗号化されます。
注記:
  • virt-v2v ユーティリティーは、他のタイプの暗号化スキームを使用したパーティション上の Linux ゲストの変換をサポートしていません。
  • virt-p2v ユーティリティーは、フルディスク LUKS 暗号化がインストールされている Linux マシンの変換をサポートしていません。(BZ#1451665)

特定の CPU モデルの libvirt に CAT サポートが追加されました

libvirt サービスは、特定の CPU モデルでキャッシュ割り当てテクノロジー (CAT) をサポートするようになりました。これにより、ゲスト仮想マシンは、ホストの CPU キャッシュの一部を vCPU スレッドに割り当てることができます。

KVM ゲストの時刻 Synchronization を改善するために PTP デバイスが追加されました

PTP デバイスが KVM ゲスト仮想マシンに追加されました。NTP 調整によるホストとゲスト間のクロックの相違を防止することで、kvmlocks サービスを強化します。その結果、PTP デバイスは、KVM ホストとそのゲストの間でより信頼性の高い時刻 Synchronization を保証します。
PTP デバイスのセットアップの詳細については、仮想化の導入および管理ガイドを参照してください。(BZ#1379822)

第19章 Red Hat Enterprise Linux 7.5 for ARM

Red Hat Enterprise Linux 7.5 for ARM では、バージョン 4.14 に基づいており、kernel-alt パッケージによって提供される、更新されたカーネルを備えた Red Hat Enterprise Linux 7.5 ユーザー空間が導入されています。この製品は他の更新パッケージとともに配布されますが、ほとんどのパッケージは標準の Red Hat Enterprise Linux 7 Server RPM です。インストール ISO イメージは、カスタマーポータルのダウンロードページ から入手できます。
Red Hat Enterprise Linux 7.5 ユーザースペースの詳細については、Red Hat Enterprise Linux 7 のドキュメント を参照してください。以前のバージョンに関する情報は、 Red Hat Enterprise Linux 7.4 for ARM - Release Notes を参照してください。
このリリースでは、次のパッケージが開発プレビューとして提供されています。
  • libvirt (オプションのチャネル)
  • qemu-kvm-ma (オプションのチャネル)
注記
KVM 仮想化は 64 ビット ARM アーキテクチャー上の開発プレビューであるため、Red Hat ではサポートされていません。詳細は、仮想化の導入および管理ガイド を参照してください。お客様は Red Hat に連絡して使用例を説明することができ、これは Red Hat Enterprise Linux の将来のリリースで考慮されます。

19.1. 新機能と更新

コアカーネル

  • この更新では、64 ビット ARM システム用の qrwlock キュー書き込みロックが導入されています。このメカニズムを実装すると、グローバルタスクロックをめぐって競合する複数の CPU を公平に処理できるようになり、パフォーマンスが向上し、ロック不足が防止されます。この変更により、既知の問題も解決されます。これは以前のリリースに存在し、高負荷時にソフトロックアップを引き起こしていました。
    以前のバージョンの Red Hat Enterprise Linux 7 for ARM 用に (kernel-alt パッケージに対して) ビルドされたカーネルモジュールは、更新されたカーネルに対して再ビルドする必要があることに注意してください。(BZ#1507568)

セキュリティー

USBGuard が 64 ビット ARM システムで完全にサポートされるようになりました
USBGuard ソフトウェアフレームワークは、デバイスの属性に基づく基本的なホワイトリスト機能およびブラックリスト機能を実装することにより、侵入型 USB デバイスに対してシステムを保護します。以前はテクノロジープレビューとして利用可能であった 64 ビット ARM システムでの USBGuard の 使用が完全にサポートされるようになりました。

19.2. カーネル設定の変更

ハードウェアの有効化

  • Bluetooth (無効)
  • ワイヤレス (無効)
  • CPU_IDLE (有効)
  • GPIO_DWAPB (有効)
  • I2C (有効) - デザインウェア、QUP、および XLP9XX
    • センサーのサポート:
      • IIO ドライバー (無効)
      • アクセルセンサー (無効)
      • ライト + オリエンテーション + 割り込みトリガー (無効)
  • 入力ドライバー
    • マウス、シナプス、rmi4
  • LED
    • インテル SS4200 (無効)
  • 汎用 IRQ チップ (有効)
  • 休止状態 (有効)
  • クロックソース DATA (有効)
    • OSS_CORE (disabled)
    • すべての SND ドライバー (無効)

ネットワーキングドライバーのサポート

  • Thunder2 ドライバー (有効)
  • Amazon (有効)
  • Altera (無効)
  • ARC (無効)
  • Broadcom B44、BCMGENET、BNX2X_VLAN、CNIC (無効)
  • Hisilicon (有効)
  • ケイデンス MACB (無効)
  • Chelsio T3 (無効)
  • Intel E1000 (無効)
  • Mellanox (有効)
  • myri10GE (無効)
  • Qlogic - qla2xxx、netxen_nic、Qed、Qede (有効)
  • Qualcomm - qcom_emac (有効)
  • Broadcom - bcm7xxx (無効)

InfiniBand のサポート

  • CXBG4 (有効)
  • I40IW (有効)
  • MLX4 (有効)
  • MLX5 (有効)
  • IPOIB (有効)
  • IPOIB_CM (有効)
  • IPOIB_DEBUG (有効)
  • ISERT (有効)
  • SRP (有効)
  • SRPT (有効)

コアカーネルのサポート

  • スケジュールの不均衡 (有効)
  • 48 ビット VA サポート (有効)
  • CPU アカウンティングをチェック (無効)
  • コンテキストトラッキング (有効)
  • RCU NOCB (有効)
  • CGROUP-Hugetlb (有効)
  • CRIU (有効)
  • BPF_SYSCALL (無効)
  • PERF_USE_VMALLOC (disabled)
  • HZ_100/HZ (有効)
  • NO_HZ_IDLE (無効)
  • NO_HZ_FULL (有効)
  • BPF_EVENTS (無効)
  • LZ4 圧縮 (無効)
  • BTREE (有効)
  • CPUMASK_OFFSTACK (無効)
  • DEBUG_INFO_DWARF4 (有効)
  • SCHEDSTATS (有効)
  • Striaght DEVMEM (無効)
  • Transparent Hugepage (HTP) (有効)
  • ZSMaLLOC_STAT、IDLE_PAGE_TRACKING(有効)
  • PAGE_EXTENSION および PAGE_POISONING (無効)

ネットワーキングスタックのサポート

  • SLIP - (有効)
  • JME (無効)
  • IPVLAN (無効)
  • BPF_JIT (disabled)
  • dccp (無効)
  • ipv4 NET_FOU、Diag、CDG、NV (無効)
  • ipv6 ILA(無効)、GRE(有効)
  • MAC80211 (無効)
  • netfilter_conntrack (enabled)

グラフィックと GPU のサポートで

  • DRM_I2C_SIL64 (disabled)
  • TTY
    • serial_nonstandard、cyclades、synclinkmp、synclink_gt、N_HDLC、serial_8250_MID (有効)
    • fbdev (有効)
  • USB - PHY (無効)

ストレージのサポート

  • SCSI リクエストのブロック (有効)
  • debugfs のブロック (有効)
  • Multi-Queue PCI のブロック (有効)
  • Multi-Queue VirtIO のブロック (有効)
  • Multi-Queue IOSched_deadline のブロック (有効)
  • MD Long Write -(無効)
  • SCSI - ARCMSR、AM53C974、WD719x、BNX2X_FCOE、BNX2_ISCSI、ESAS2R (無効)
  • SCSI - HISI_SAS (有効)
  • SPI - QUP、SLP (有効)
  • SSB (無効)

ファイルシステム

  • FS_DAX (有効)
  • BTRFS (無効)
  • Ceph (有効)
  • DLM (無効)
  • FSCAHE (無効)
  • GFS2 (無効)
  • NFS 経由のスワップ (無効)
  • NFS-FSCACHE (有効)

仮想化と KVM のサポート

  • KVM_IRQCHIP, KVM_IRQ_ROUTING, KVM_MSI (enabled)
  • Virtio - noiommu (有効)

19.3. Red Hat Satellite でのサポート

Red Hat Enterprise Linux 7.5 for ARM のシステム管理は、Red Hat Satellite 6 ではサポートされていますが、Red Hat Satellite 5 ではサポートされていません。

19.4. 既知の問題

SELinux MLS ポリシーはカーネルバージョン 4.14 ではサポートされていません
SELinux マルチレベルセキュリティー (MLS) ポリシーは不明なクラスと権限を拒否し、kernel-alt パッケージのカーネルバージョン 4.14 はどのポリシーにも定義されていないマップ権限を認識します。その結果、MLS ポリシーがアクティブで SELinux が強制モードになっているシステム上のすべてのコマンドは、Segmentation fault エラーで終了します。多くの SELinux 拒否警告は、MLS ポリシーがアクティブで SELinux が permissive モードのシステムで発生します。SELinux MLS ポリシーとカーネルバージョン 4.14 の組み合わせはサポートされていません。
ipmitool は、Cavium ThunderX で IPMI_SI=no の場合にのみ BMC と通信します。
systemctl コマンドを使用して ipmi.service を開始すると、デフォルト設定では ipmi_si ドライバーのロードが試行されます。IPMI SI デバイスを持たない Cavium ThunderX システムでは、ipmi.serviceipmi_devintf ドライバーを誤って削除します。その結果、カーネルの ipmitool ユーティリティーはベースボード管理コントローラー (BMC) と通信できなくなります。この問題を回避するには、/etc/sysconfig/ipmi ファイルを編集して、次のように IPMI_SI 変数を指定します。
IPMI_SI=no
次に、必要に応じてオペレーティングシステムを再起動します。その結果、正しいドライバーがロードされ、ipmitoo/dev/ipmi0/ ディレクトリーを通じて BMC と通信できるようになります。(BZ#1448181)
SATA ALPM デバイスを低電力モードにすると正しく動作しません
次のコマンドを使用して、64 ビット ARM システム上で Aggressive Link Power Management (ALPM) 電力管理プロトコルを使用する Serial Advanced Technology Attachment (SATA) デバイスの低電力モードを有効または無効にすると、SATA が正しく動作しません。
tuned-adm profile powersave
tuned-adm profile performance
その結果、SATA 障害が発生するとすべてのディスク I/O が停止し、ユーザーはオペレーティングシステムを再起動して修復する必要があります。この問題を回避するには、次のいずれかのオプションを使用します。
  • システムを省電力プロファイルにしないでください
  • ALPM のバグを修正する可能性のあるファームウェアの更新については、ハードウェアベンダーに確認してください。
(BZ#1430391)
network-latency に合わせて設定を 調整 すると、ARM でシステムがハングする
調整された プロファイルが 64 ビット ARM システム上で network-latency に設定されている場合、オペレーティングシステムが応答しなくなり、カーネルはシリアルコンソールにバックトレースを出力します。この問題を回避するには、調整された プロファイルを network-latency に設定しないでください。(BZ#1503121)
modprobe は、不正なパラメーターを使用してカーネルモジュールをロードすることに成功します。
modprobe コマンドを使用して間違ったパラメーターを持つカーネルモジュールをロードしようとすると、間違ったパラメーターは無視され、モジュールは Red Hat Enterprise Linux 7 for ARM および Red Hat Enterprise Linux 7 for IBM Power LE (POWER9) に想定どおりロードされます。
これは、AMD64 や Intel 64、IBM Z や IBM Power Systems などの従来のアーキテクチャーの Red Hat Enterprise Linux とは動作が異なることに注意してください。これらのシステムでは、modprobe はエラーで終了し、間違ったパラメーターを持つモジュールは上記の状況ではロードされません。
すべてのアーキテクチャーで、エラーメッセージが dmesg 出力に記録されます。(BZ#1449439)

19.5. バグ修正

ld リンカーは正しい動的実行可能ファイルを生成します。
以前は、ld リンカーは正しい動的実行可能ファイルの作成に失敗し、64 ビット ARM アーキテクチャー上の Go 言語コンパイラーによって呼び出さ れる ときに終了していました。リンカーが更新され、コピーの再配置が正しく処理されるようになりました。その結果、上記の状況でリンカーが失敗することはなくなりました。(BZ#1430743)
ld リンカーは、定数データに対して正しい動的再配置を生成します。
以前は、ld リンカーは、ライブラリーと 64 ビット ARM アーキテクチャー上の実行可能ファイルの間で共有される定数データに対して、誤った種類の動的再配置を生成していました。その結果、生成された実行可能ファイルはリソースを無駄に消費し、共有データにアクセスすると予期せず終了してしまいました。リンカーが更新され、正しい動的再配置が生成されるようになり、前述の問題は発生しなくなりました。(BZ#1452170)
qrwlock が 64 ビット ARM システムで有効になりました
この更新では、64 ビット ARM システム用の qrwlock キュー型読み取り/書き込みロックが導入されています。このメカニズムを実装すると、グローバルタスクロックをめぐって競合する複数の CPU を公平に処理できるようになり、パフォーマンスが向上し、ロック不足が防止されます。この変更により、Red Hat Bugzilla #1454844 で追跡されている既知の問題も解決されます。この問題は以前のリリースに存在し、高負荷時にソフトロックアップを引き起こす原因でした。
以前のバージョンの Red Hat Enterprise Linux 7 for ARM 用に (kernel-alt パッケージに対して) ビルドされたカーネルモジュールは、更新されたカーネルに対して再ビルドする必要があることに注意してください。
CMA はデフォルトで無効になっています
メモリーが 1G 以下に制限されている 64 ビット ARM Red Hat Enterprise Linux システムでは、連続メモリーアロケータ (CMA) が大量のメモリーを消費するため、カーネルの残りの部分に十分なメモリーが残りません。その結果、カーネルまたは Linux の共有メモリー (SHM)(/dev/shm) などの特定のユーザー空間アプリケーションでメモリー不足 (OOM) 状態が発生することがありました。
Red Hat Enterprise Linux カーネルの CMA サポートは、すべてのアーキテクチャーでデフォルトで無効になり、CMA によって OOM が発生しなくなりました。(BZ# 1519317)

第20章 Red Hat Enterprise Linux 7.5 for IBM Power LE (POWER9)

Red Hat Enterprise Linux 7.5 for IBM Power LE (POWER9) では、バージョン 4.14 に基づいており、kernel-alt パッケージによって提供される、更新されたカーネルを備えた Red Hat Enterprise Linux 7.5 ユーザー空間が導入されています。この製品は他の更新パッケージとともに配布されますが、そのほとんどは標準の Red Hat Enterprise Linux 7 Server RPM です。インストール ISO イメージは 、カスタマーポータルのダウンロードページ から入手できます。
Red Hat Enterprise Linux 7.5 のインストールとユーザースペースについては、インストールガイド およびその他の Red Hat Enterprise Linux 7 ドキュメント を参照してください。以前のバージョンについては、Red Hat Enterprise Linux 7.4 for IBM Power LE (POWER9) - Release Notes を参照してください。
注記
USB ドライブを使用した IBM Power LE へのベアメタルインストールでは、ブートメニューで inst.stage2= ブートオプションを手動で指定する必要があります。詳細については、インストールガイドの 起動オプション の章を参照してください。

20.1. 新機能と更新

仮想化

  • KVM 仮想化が IBM POWER9 システムでサポートされるようになりました。ただし、ハードウェアの違いにより、特定の機能は AMD64 および Intel 64 システムでサポートされているものとは異なります。詳細については、仮想化の導入および管理ガイド を参照してください。

プラットフォームツール

  • OProfile には、IBM POWER9 プロセッサーのサポートが含まれるようになりました。PM_RUN_INST_CMPL OProfile パフォーマンス監視イベントはセットアップできないため、このバージョンの OProfile では使用しないでください。(BZ#1463290)
  • この更新により、IBM POWER9 パフォーマンス監視ハードウェアイベントのサポートが papi に追加されます。これには、命令 (PAPI_TOT_INS) やプロセッサーサイクル (PAPI_TOT_CYC) などのイベント用の基本的な PAPI プリセットが含まれています。(BZ#1463291)
  • このバージョンの libpfm には、IBM POWER9 パフォーマンス監視ハードウェアイベントのサポートが含まれています。(BZ#1463292)
  • SystemTap には、カーネルに必要なバックポートされた互換性修正が含まれています。
  • 以前は、memcpy() GNU C ライブラリー (glibc) の関数は、64 ビット IBM POWER システム上で非整列ベクトルのロードおよびストア命令を使用していました。したがって、memcpy() POWER9 システム上のデバイスメモリーにアクセスするために使用すると、パフォーマンスが低下します。のmemcpy()この機能は、アライメントされたメモリーアクセス命令を使用するように拡張され、POWER9 に関係するメモリーに関係なく、前世代の POWER アーキテクチャーのパフォーマンスに影響を与えることなく、アプリケーションのパフォーマンスを向上させます。(BZ#1498925)

セキュリティー

USBGuard が IBM Power LE (POWER9) のテクノロジープレビューとして利用可能になりました
USBGuard ソフトウェアフレームワークは、デバイスの属性に基づく基本的なホワイトリスト機能およびブラックリスト機能を実装することにより、侵入型 USB デバイスに対してシステムを保護します。USBGuard は、IBM Power LE (POWER9) のテクノロジープレビューとして利用できるようになりました。
USB は IBM Z ではサポートされておらず、USBGuard フレームワークはこれらのシステムでは提供できないことに注意してください。

20.2. カーネル設定の変更

ハードウェアの有効化

  • DEVFREQ_GOV_SIMPLE_ONDEMAND (enabled)
  • GPIO IRQCHIP (有効)
  • HID プラントロニック (無効)
  • I2C センサー
    • JC42 (無効)
    • NTC サーモスタット (有効)
    • I2C MUX (有効)

ネットワーキングドライバーのサポート

  • Broadcom B44 ドライバー (無効)
  • Brocade BNA ドライバー (無効)
  • Calxeda ドライバー (無効)
  • IBM イーサネットドライバー ehea (無効)
  • インテル E1000 ドライバー (無効)
  • Mellanox ドライバー mlxsw (無効)
  • Netronoma ドライバー NFP (無効)
  • Qlogic qla3xxx ドライバー (無効)
  • SFC falcon ドライバー (無効)
  • ワイヤレス (無効)
    • WLAN (無効)
    • Ath ドライバー (無効)
    • Ath10k ドライバー (無効)
    • Ath 9k ドライバー (無効)
    • Ath wil6210 (無効)
    • Broadcom WLAN (無効)
    • Broadcom brcm80211 (無効)
    • インテル WLAN (無効)
    • Intel iwlegacy (無効)
    • インテル iwlwifi (無効)
    • Marvell ドライバー (無効)
    • Marvell mwiflex (無効)
    • Ralink WLAN ドライバー (無効)
    • Ralink rt2x00 ドライバー (無効)
    • Realtek ドライバー (無効)
    • Realtek rt1818x ドライバー (無効)
    • Realtek rtiwifi ドライバー (無効)
  • NVME ドライバー + ターゲットドライバー (有効)
  • ptp 1588 ドライバー (無効)
  • s390 HMC ドライバー (無効)
  • RTL8192e ドライバー (無効)
  • RTL8712u ドライバー (無効)
  • シリアル UARTLITE ドライバー (有効)
  • USB LED トリガー USBPORT (無効)
  • USBIP ドライバー (無効)
  • 電源管理デバッグ + 高度なデバッグ + スリープデバッグ (有効)

コアカーネルのサポート

  • Sched Imbalance patchset (有効)
  • OPTprobes、ftrace 上の kprobe (有効)
  • 64 ビット Aligned Access (無効)
  • Arch Soft Dirty (有効)
  • Arch MMAP Rnd Compat (無効)
  • SWIOTLB (無効)
  • 暗号化: akcipher、rsa (有効)
  • 圧縮
    • カーネル gzip サポート (有効)
    • カーネル XZ サポート (有効)
  • ロック: 所有者に対するミューテックススピン (デバッグカーネルで有効)
  • 関数トレーサー (有効)
  • 動的 Ftrace (有効)
  • Ftrace mcount レコード (有効)
  • 共通カーネルライブラリー
    • Rational (有効)
    • Btree (有効)
    • libfdt (有効)
    • parman (無効)
  • MM
    • NO_BOOTMEM (有効)
    • MOVABLE NODE (有効)
    • HMM (異種メモリー管理) (有効)
      • HMM Mirrored (有効)
      • Coherent Device Memory (CDM) (有効)
      • Zone Device (有効)
  • IMA (有効)
  • YAMA (無効)

ネットワーキングスタックのサポート

  • Compact Netlink Msg (無効)
  • BPF_JIT (enabled)
  • DCCP (無効)
  • CCIDS (無効)
  • IPv6 NF ターゲット NPT (無効)
  • Mac80211 (無効)

デスクトップ、グラフィック、GPU サポートで

  • DRM_DP_AUX_CHARDEV (enabled)
  • STK1160 ビデオ USB ドライバー (無効)
  • V412 BUF2_DMA_SG (enabled)

ストレージのサポート

  • DAX (無効)
  • NVDIMM + PFN + DAX (有効)
  • SCSI
    • 3Ware 9xxx ドライバー (無効)
    • 3Ware sAS ドライバー (無効)
    • ARCMSR ドライバー (無効)
    • AIC79xx ドライバー (無効)
    • Broadcom Bnx2x ドライバー (有効)
    • Broadcom Bnx2 ドライバー (無効)
    • QED ドライバー (無効)
    • QEDI ドライバー (無効)

ファイルシステム

  • BTRFS (無効)
  • DLM (無効)
  • GFS2 DLM ロックのサポート (無効)

仮想化と KVM のサポート

  • vhost [vsock] (無効)
  • VMWare vsock (無効)

20.3. Red Hat Satellite でのサポート

Red Hat Enterprise Linux 7.5 for IBM POWER LE (POWER9) のシステム管理は、Red Hat Satellite 6 ではサポートされていますが、Red Hat Satellite 5 ではサポートされていません。

20.4. 既知の問題

SELinux MLS ポリシーはカーネルバージョン 4.14 ではサポートされていません
SELinux マルチレベルセキュリティー (MLS) ポリシーは不明なクラスと権限を拒否し、kernel-alt パッケージのカーネルバージョン 4.14 はどのポリシーにも定義されていないマップ権限を認識します。その結果、MLS ポリシーがアクティブで SELinux が強制モードになっているシステム上のすべてのコマンドは、Segmentation fault エラーで終了します。多くの SELinux 拒否警告は、MLS ポリシーがアクティブで SELinux が permissive モードのシステムで発生します。SELinux MLS ポリシーとカーネルバージョン 4.14 の組み合わせはサポートされていません。
kdump は、mpt3sas がブラックリストに登録されている場合にのみ vmcore を保存します
kdump カーネルが mpt3sas ドライバーをロードすると、特定の POWER9 システムでは kdump カーネルがクラッシュし、vmcore の保存に失敗します。この問題を回避するには、module_blacklist=mpt3sas 文字列を /etc/sysconfig/kdump ファイル内の KDUMP_COMMANDLINE_APPEND 変数へ追加することにより、kdump カーネル環境から mpt3sas ブラックリストに登録します。
KDUMP_COMMANDLINE_APPEND="irqpoll maxcpus=1 ... module_blacklist=mpt3sas"
次に、root ユーザーとして systemctl restart コマンドを実行して、kdump サービスを再起動し、設定ファイルへの変更を取得します。
~]# systemctl restart kdump.service
その結果、kdump は POWER9 システム上で vmcore を保存できるようになりました。(BZ#1496273)
OOM キラーの誤った機能により、OOM 状況からの回復が失敗する
メモリー不足 (OOM) 状況からの回復は、大量のメモリーを搭載したシステムでは正しく機能しません。カーネルの OOM キラーは、最も多くのメモリーを使用しているプロセスを強制終了し、メモリーを解放して再び使用できるようにします。ただし、OOM キラーが 2 番目のプロセスを強制終了するまでに十分な時間待機しない場合があります。最終的に、OOM キラーはシステム上のすべてのプロセスを強制終了し、次のエラーをログに記録します。
Kernel panic - not syncing: Out of memory and no killable processes...
この問題が発生した場合は、オペレーティングシステムを再起動する必要があります。利用可能な回避策はありません。(BZ#1405748)
HTM は IBM POWER システム上で実行されているゲストに対して無効になっています
現在、ハードウェアトランザクションメモリー (HTM) 機能はゲスト仮想マシンを IBM POWER8 から IBM POWER9 ホストに移行できないため、デフォルトで無効になっています。その結果、IBM POWER8 および IBM POWER9 ホストで実行されているゲスト仮想マシンは、この機能が手動で有効にされない限り、HTM を使用できません。
これを行うには、これらのゲストのデフォルトの pseries-rhel7.5 マシンタイプを pseries-rhel7.4 に変更します。この方法で設定されたゲストは、IBM POWER8 ホストから IBM POWER9 ホストに移行できないことに注意してください。(BZ#1525599)
Huge Page を含むゲストを IBM POWER8 から IBM POWER9 に移行すると失敗する
IBM POWER8 ホストは 16MB および 16GB のヒュージページのみを使用できますが、これらのヒュージページサイズは IBM POWER9 ではサポートされていません。そのため、ゲストに静的なヒュージページが設定されている場合、ゲストを IBM POWER8 ホストから IBM POWER9 ホストに移行できません。
この問題を回避するには、移行前にゲスト上で huge Page を無効にし、再起動します。(BZ#1538959)
modprobe は、不正なパラメーターを使用してカーネルモジュールをロードすることに成功します。
modprobe コマンドを使用して間違ったパラメーターを持つカーネルモジュールをロードしようとすると、間違ったパラメーターは無視され、モジュールは Red Hat Enterprise Linux 7 for ARM および Red Hat Enterprise Linux 7 for IBM Power LE (POWER9) に想定どおりロードされます。
これは、AMD64 や Intel 64、IBM Z や IBM Power Systems などの従来のアーキテクチャーの Red Hat Enterprise Linux とは動作が異なることに注意してください。これらのシステムでは、modprobe はエラーで終了し、間違ったパラメーターを持つモジュールは上記の状況ではロードされません。
すべてのアーキテクチャーで、エラーメッセージが dmesg 出力に記録されます。(BZ#1449439)

20.5. バグ修正

オンボードデバイスからメモリーを読み取ろうとするために kdump がハングしなくなりました
IBM Power Systems ハードウェアのリトルエンディアンバリアントでは、カーネルが GPU などのオンボードデバイスからメモリーを読み取り、それを vmcore の一部として含めようとしたため、kdump メカニズムが応答しなくなりました。この更新により、kdump 中にメモリーを読み取ろうとするときにオンボードデバイスをスキップするように kexec-tools が修正されました。その結果、kdump が正しく動作するようになり、vmcore がディスクに保存され、オペレーティングシステムが期待どおりに再起動されます。(BZ#1478049)

第21章 Atomic Host とコンテナー

Red Hat Enterprise Linux Atomic Host

Red Hat Enterprise Linux Atomic Host は、Linux コンテナーの実行のために最適化された安全かつ軽量で、フットプリントを最小限に抑えたオペレーティングシステムです。最新の新機能、既知の問題、テクノロジープレビューについては、Atomic Host and Containers Release Notes を参照してください。

第22章 Red Hat Software Collections

Red Hat Software Collections とは、動的なプログラミング言語、データベースサーバー、関連パッケージを提供する Red Hat のコンテンツセットのことで、AMD64 および Intel 64 アーキテクチャー、64 ビット ARM アーキテクチャー、IBM Z、ならびに IBM POWER (リトルエンディアン) 上の Red Hat Enterprise Linux 7 の全サポートリリースにインストールして使用できます。また、特定のコンポーネントが、AMD64 および Intel 64 アーキテクチャー上の Red Hat Enterprise Linux 6 の全サポートリリースに向けて提供されています。
Red Hat Developer Toolset は、Red Hat Enterprise Linux プラットフォームで作業する開発者向けに設計されています。GNU Compiler Collection、GNU Debugger、その他の開発用ツールやデバッグ用ツール、およびパフォーマンス監視ツールの現行バージョンを提供します。Red Hat Developer Toolset は、別の Software Collection として提供されています。
Red Hat Software Collections で配信される動的言語、データベースサーバーなどのツールは Red Hat Enterprise Linux で提供されるデフォルトのシステムツールに代わるものでも、これらのデフォルトのツールよりも推奨されるツールでもありません。Red Hat Software Collections では、scl ユーティリティーに基づく代替のパッケージ化メカニズムを使用して、パッケージの並列セットを提供しています。Red Hat Software Collections を利用すると、Red Hat Enterprise Linux で別のバージョンのパッケージを使用することもできます。scl ユーティリティーを使用すると、いつでも実行するパッケージバージョンを選択できます。
重要
Red Hat Software Collections のライフサイクルおよびサポート期間は、Red Hat Enterprise Linux に比べて短くなります。詳細は、Red Hat Software Collections Product Life Cycle を参照してください。
セットに含まれるコンポーネント、システム要件、既知の問題、使用方法、および各 Software Collection の詳細は、Red Hat Software Collections documentation を参照してください。
このソフトウェアコレクション、インストール、使用方法、既知の問題などに含まれるコンポーネントの詳細は、Red Hat Developer Toolset のドキュメント を参照してください。

パート II. 主なバグ修正

このパートでは、Red Hat Enterprise Linux 7.5 で修正された、ユーザーに重大な影響を与えるバグについて説明します。

第23章 全般的な更新

runc は、ユーザー指定の CPU クォータ制限について systemd に通知します。

以前は、runc プログラムは、コンテナーの起動時にユーザー指定の CPU クォータ制限について systemd に通知しませんでした。その結果、systemd はユーザー指定の制限を認識できなかったため、systemctl daemon-reload 操作中に CPU クォータがデフォルト値 (無制限) にリセットされました。今回の更新により、runc はコンテナーの起動時にユーザー指定の CPU クォータ制限について systemd に通知するようになり、前述の問題は発生しなくなります。(BZ#1455071)

LD_LIBRARY_PATH に存在しないパスだけが原因でアプリケーションでセグメンテーション違反が発生することはなくなりました

以前は、LD_LIBRARY_PATH 環境変数に存在しないパスのみが含まれている場合、ダイナミックローダーはセグメンテーションフォールトを生成していました。その結果、上記の状況では、起動時にアプリケーションがセグメンテーション違反で予期せず終了しました。ダイナミックローダーが修正されました。その結果、上記の状況でアプリケーションが予期せず終了することがなくなりました。
影響を受けるアプリケーションのこのバグを修正するには、glibc パッケージを更新するだけで十分であることに注意してください。(BZ#1443236)

setup パッケージは、正しいグループ番号を持つ tape グループを作成するようになりました。

以前は、setup パッケージをインストールするときに、Red Hat Enterprise Linux の他のすべてのバージョンと一貫性のない ID を使用して tape グループが作成されていました。今回の更新により、グループ ID が 30 から標準の 33 に変更されました。その結果、オペレーティングシステムの新規インストールでは、tape グループの正しいグループ番号が割り当てられるようになりました。
以前にインストールされたシステムがこの問題の影響を受ける場合:
1./etc/group および /etc/gshadow ファイル内のグループ ID を編集します。
2.以前の tape グループが所有していたすべてのファイルのグループ所有権を変更します。(BZ#1433020)

第24章 認証および相互運用性

AD ユーザーの解決に時間がかかる場合に、IdM LDAP サーバーが応答しなくなることがなくなりました。

System Security Services Daemon (SSSD) が Identity Management (IdM) サーバー上の信頼できる Active Directory (AD) ドメインからユーザーを解決するのに長い時間がかかると、IdM LDAP サーバーが独自のワーカースレッドを使い果たすことがありました。その結果、IdM LDAP サーバーは、SSSD クライアントまたは他の LDAP クライアントからのさらなるリクエストに応答できなくなりました。この更新により、IdM サーバー上の SSSD に新しい API が追加され、ID リクエストのタイムアウトが可能になります。また、IdM LDAP 拡張 ID 操作プラグインとスキーマ互換性プラグインがこの API をサポートし、時間がかかりすぎるリクエストをキャンセルできるようになりました。その結果、IdM LDAP サーバーは前述の状況から回復し、さらなるリクエストに応答し続けることができます。(BZ#1415162、BZ#1473571、BZ#1473577)

/etc/krb5.conf.d/ 内のアプリケーション設定スニペットが既存の設定で自動的に読み取られるようになりました

以前は、Kerberos は、/etc/krb5.conf.d/ ディレクトリーのサポートを既存の設定に自動的に追加しませんでした。その結果、ユーザーがディレクトリーの include ステートメントを手動で追加しない限り、/etc/krb5.conf.d/ 内のアプリケーション設定スニペットは読み取られませんでした。この更新により、既存の設定が変更され、/etc/krb5.conf.d/ を指す適切な includeir 行が含まれます。その結果、アプリケーションは /etc/krb5.conf.d 内の設定スニペットに依存できます。
この更新後に includedir 行を手動で削除した場合、後続の更新ではこの行は再度追加されないことに注意してください。(BZ#1431198)

pam_mkhomedir/ の下にホームディレクトリーを作成できるようになりました

以前は、pam_mkhomedir モジュールは / ディレクトリーの下にサブディレクトリーを作成できませんでした。その結果、/ の下の存在しないディレクトリーにホームディレクトリーがあるユーザーがログインしようとすると、次のエラーが発生して失敗しました。
Unable to create and initialize directory '/<directory_path>'.
この更新により、前述の問題が修正され、pam_mkhomedir はこの状況でもホームディレクトリーを作成できるようになりました。
この更新プログラムを適用した後でも、SELinux は pam_mkhomedir によるホームディレクトリーの作成を妨げる可能性があることに注意してください。これは SELinux の想定される動作です。pam_mkhomedir にホームディレクトリーの作成を許可するには、カスタム SELinux モジュールを使用して SELinux ポリシーを変更します。これにより、正しい SELinux コンテキストで必要なパスを作成できるようになります。(BZ#1509338)

RODC の使用時に keytab ファイル内の KVNO に依存する Kerberos 操作が失敗しなくなりました

adcli ユーティリティーは、読み取り専用ドメインコントローラー (RODC) 上の Kerberos キーを更新するときにキーバージョン番号 (KVNO) を適切に処理しませんでした。その結果、一致する KVNO を持つキーが keytab ファイル内に見つからなかったため、Kerberos チケットの検証などの一部の操作が失敗しました。今回の更新により、adcli は RODC が使用されているかどうかを検出し、それに応じて KVNO を処理します。その結果、keytab ファイルには正しい KVNO が含まれており、この動作に依存するすべての Kerberos 操作は期待どおりに機能します。(BZ#1471021)

krb5 は、 単一レルム KDC 環境での PKINIT 設定ミスに関するエラーを適切に表示します。

以前は、Kerberos の初期認証用の公開キー暗号化 (PKINIT) が誤って設定された場合、krb5 パッケージは誤った設定を管理者に報告しませんでした。たとえば、この問題は、非推奨の pkinit_kdc_ocsp オプションが /etc/krb5.conf ファイルで指定されたときに発生しました。今回の更新により、Kerberos キー配布センター (KDC) でレルムが 1 つだけ指定されている場合、krb5 は PKINIT 初期化エラーを引き起こすようになりました。その結果、単一レルム KDC は PKINIT 設定ミスを適切に報告します。(BZ#1460089)

Certificate System が ROLE_ASSUME 監査イベントを誤って記録しなくなりました

以前は、ユーザーに特権アクセスがない場合でも、Certificate System は特定の操作に対して ROLE_ASSUME 監査イベントを誤って生成していました。その結果、イベントが誤って記録されました。この問題は修正され、前述のシナリオでは ROLE_ASSUME イベントが記録されなくなりました。(BZ#1461524)

CERT_STATUS_CHANGE_REQUEST_PROCESSED 監査ログイベントの属性を更新しました

以前は、ログファイルの CERT_STATUS_CHANGE_REQUEST_PROCESSED 監査イベントには次の属性が含まれていました。
  • ReqID - リクエスター ID
  • SubjectID - 証明書のサブジェクト ID
他の監査イベントとの整合性を保つために、属性が変更され、次の情報が含まれるようになりました。
  • ReqID - リクエスト ID
  • SubjectID - リクエスター ID (BZ# 1461217)

署名付き監査ログの検証が正しく機能するようになりました

以前は、ログシステムの不適切な初期化と検証ツールによる誤った署名計算が原因で、署名付き監査ログの検証が最初のログエントリーとログローテーション後に失敗することがありました。この更新により、ログシステムと検証ツールが修正されました。その結果、署名付き監査ログの検証は、前述のシナリオで正しく機能するようになりました。(BZ#1404794)

Certificate System がバナーファイルを検証するようになりました

Certificate System の以前のバージョンでは、設定可能なアクセスバナー (すべての安全なセッションの開始時に PKI コンソールに表示されるカスタムメッセージ) が導入されました。このバナーの内容は検証されていないため、メッセージに無効な UTF-8 文字が含まれている場合、JAXBUnmarshalException エラーが発生する可能性があります。この更新により、バナーファイルの内容はサーバーの起動時とクライアントのリクエストの両方で検証されます。サーバーの起動時にファイルに無効な UTF-8 文字が含まれていることが判明した場合、サーバーは起動しません。クライアントがバナーを要求したときに無効な文字が見つかった場合、サーバーはエラーメッセージを返し、バナーはクライアントに送信されません。(BZ#1446579)

TPS サブシステムは、HSM で対称キーの変更を実行するときに失敗しなくなりました。

以前は、ハードウェアセキュリティーモジュール (HSM) トークンのマスターキーを使用して対称キーの変更を実行しようとすると、Certificate System トークン処理システム (TPS) サブシステムによって報告されるエラーが発生して失敗しました。この更新により、HSM 上のマスターキーを使用して新しいキーセットを計算する方法が修正され、マスターが HSM 上に存在する場合に TPS がトークンキーセットを正常にアップグレードできるようになります。この修正は現在、G&D SmartCafe 6.0 HSM で検証されています。(BZ#1465142)

Certificate System CA は、CN コンポーネントなしでサブジェクト DN を処理するときにエラーを表示しなくなりました

以前は、実装では Certificate Management over CMS (CMC) のサブジェクト識別名 (DN) に CN が存在することが期待されていたため、共通名 (CN) コンポーネントが欠落している受信リクエストにより認証局 (CA) で NullPointerException が発生していました。この更新により、CA は CN コンポーネントなしでサブジェクト DN を処理できるようになり、例外がスローされなくなります。(BZ#1474658)

ターゲットファイルが見つからない場合でも、pki-server-upgrade ユーティリティーが失敗しなくなりました

pki-server-upgrade ユーティリティーのバグにより、存在しないファイルを見つけようとしました。その結果、アップグレードプロセスが完了せず、PKI デプロイメントが無効な状態のままになる可能性があります。今回の更新により、ターゲットファイルが見つからない場合を正しく処理できるように pki-server-upgrade が変更され、PKI アップグレードが正しく機能するようになりました。(BZ#1479663)

Certificate System の CA キーのレプリケーションが正しく機能するようになりました。

キーのラップ解除関数の 1 つに対する以前の更新では、呼び出しサイトで提供されていないキー使用パラメーターの要件が導入され、軽量の認証局 (CA) キーのレプリケーションが失敗する原因となりました。このバグは、キー使用パラメーターを提供するように呼び出しサイトを変更することで修正され、軽量 CA キーレプリケーションが期待どおりに機能するようになりました。(BZ#1484359)

Certificate System が PKCS #12 ファイルのインポートに失敗しなくなりました

ネットワークセキュリティーサービス (NSS) での PKCS #12 パスワードエンコーディングへの以前の変更により、Certificate System が PKCS #12 ファイルのインポートに失敗しました。その結果、認証局 (CA) クローンのインストールを完了できませんでした。この更新により、PKI は失敗した PKCS #12 復号化を別のパスワードエンコーディングで再試行するようになり、新旧両方のバージョンの NSS で生成された PKCS #12 ファイルをインポートできるようになり、CA クローンのインストールが成功します。(BZ#1486225)

TPS ユーザーインターフェイスにトークンタイプと生成元フィールドが表示されるようになりました。

以前は、tps-cert-find および tps-cert-show トークン処理システム (TPS) ユーザーインターフェイスユーティリティーでは、従来の TPS インターフェイスに存在していたトークンタイプと生成元フィールドが表示されませんでした。インターフェイスが更新され、不足している情報が表示されるようになりました。(BZ#1491052)

Certificate System が CA 証明書の有効期限よりも後の有効期限を持つ証明書を発行しました

以前は、外部認証局 (CA) の証明書に署名するときに、Certificate System は ValidityConstraint プラグインを使用していました。その結果、発行元 CA の有効期限よりも後の有効期限を持つ証明書を発行することが可能でした。この更新プログラムにより、CAValidityConstraint プラグインがレジストリーに追加され、登録プロファイルで使用できるようになります。さらに、caCMCcaCert プロファイルの ValidityConstraint プラグインは、制限を効果的に設定する CAValidityConstraint プラグインに置き換えられました。その結果、発行 CA よりも後の有効期限を持つ証明書の発行は許可されなくなりました。(BZ#1518096)

SKI 拡張子のない CA 証明書によって発行エラーが発生しなくなりました

Certificate System の以前の更新では、発行者キー識別子を生成するフォールバック手順が誤って削除されました。その結果、CA 署名証明書にサブジェクトキー識別子 (SKI) 拡張セットが設定されていない場合、認証局 (CA) は証明書を発行できませんでした。今回の更新により、不足していた手順が再度追加されました。その結果、CA 署名証明書に SKI 拡張子が含まれていない場合でも、証明書の発行が失敗することがなくなりました。(BZ#1499054)

Certificate System は CMC 要求監査イベントにユーザー名を正しく記録します

以前は、Certificate System が CMS (CMC) 経由の証明書管理リクエストを受信すると、サーバーは SubjectID フィールドが $NonRoleUser$ に設定された監査イベントを記録していました。その結果、管理者は誰がリクエストを発行したかを確認できませんでした。この更新により問題が修正され、Certificate System は前述のシナリオでユーザー名を正しく記録するようになりました。(BZ#1506819)

Directory Server の単純な単語チェックのパスワードポリシーが期待どおりに機能するようになりました。

以前は、userPassword 属性を、passwordTokenMin 設定によって制限されている同じ長さの属性とまったく同じ値に設定すると、Directory Server は誤ってパスワード更新操作を許可していました。今回の更新により、単純な単語チェックのパスワードポリシー機能により、ユーザー属性値全体が全体として正しく検証されるようになり、上記の問題は発生しなくなります。(BZ#1517788)

pkidestroy ユーティリティーは、pki-tomcatd-nuxwdog サービスによって開始されたインスタンスを完全に削除するようになりました。

以前は、pkidestroy ユーティリティーは、開始メカニズムとして pki-tomcatd-nuxwdog サービスを使用する Certificate System インスタンスを削除しませんでした。その結果、管理者は pkidestroy を使用してインスタンスを完全に削除する前に、pki-tomcatd-nuxwdog を watchdog なしのサービスに移行する必要がありました。ユーティリティーが更新され、前述のシナリオでインスタンスが正しく削除されました。
pkidestroy を実行する前にパスワードファイルを手動で削除した場合、ユーティリティーはセキュリティードメインを更新するためにパスワードを要求することに注意してください。(BZ#1498957)

Certificate System デプロイメントアーカイブファイルにプレーンテキストのパスワードが含まれなくなりました

以前は、DEFAULT セクションにパスワードを含む設定ファイルを pkispawn ユーティリティーに渡して新しい Certificate System インスタンスを作成すると、そのパスワードはアーカイブされたデプロイメントファイルに表示されていました。このファイルには誰でも読み取り可能なアクセス許可がありますが、デフォルトでは、Certificate Server インスタンスユーザー (pkiuser) のみがアクセスできるディレクトリー内に含まれています。今回の更新により、このファイルに対するアクセス許可は証明書サーバーインスタンスユーザーに制限され、pkispawn はアーカイブされたデプロイメントファイル内のパスワードをマスクするようになりました。
既存のインストールのパスワードへのアクセスを制限するには、/etc/sysconfig/pki/tomcat/<instance_name>/<subsystem>/deployment.cfg ファイルからパスワードを手動で削除し、ファイルの権限を 600 に設定します。(BZ#1532759)

targetfilter キーワードを含む ACI は正しく動作します

以前は、ディレクトリーサーバーのアクセス制御命令 (ACI) で targetfilter キーワードが使用されていた場合、コードがテンプレートエントリーに対して実行される前に、getEffective 権限制御を含む検索が返されました。その結果、GetEffectireRights() 関数はエントリーの作成時に権限を判断できず、ACI の検証時に偽陰性の結果を返しました。今回の更新により、Directory Server は、提供された getEffective 属性に基づいてテンプレートエントリーを作成し、このテンプレートエントリーへのアクセスを検証します。その結果、前述のシナリオの ACI は正しく動作します。(BZ#1459946)

スコープが 1 に設定された Directory Server の検索が修正されました

Directory Server のバグにより、スコープを 1 に設定した検索では、フィルターに一致した子エントリーのみではなく、すべての子エントリーが返されました。今回の更新でこの問題が修正されています。その結果、スコープ 1 での検索では、フィルターに一致するエントリーのみが返されます。(BZ#1511462)

TLS データを非 LDAPS ポートに送信するときのエラーメッセージをクリアする

以前は、Directory Server は、LDAPMessage データ型としてプレーンテキストを使用するように設定されたポートに送信される TLS プロトコルハンドシェイクをデコードしました。ただし、デコードは失敗し、サーバーは誤解を招く BER が 3 バイトであると報告しましたが、実際には < より大きな > エラーでした。今回の更新により、Directory Server は TLS データがプレーンテキスト用に設定されたポートに送信されたかどうかを検出し、次のエラーメッセージをクライアントに返します。
Incoming BER Element may be misformed. This may indicate an attempt to use TLS on a plaintext port, IE ldaps://localhost:389. Check your client LDAP_URI settings.
その結果、新しいエラーメッセージは、不適切なクライアント設定が問題の原因であることを示します。(BZ#1445188)

Directory Server は、cleanallruv タスクを実行していない場合にエラーをログに記録しなくなりました

cleanallruv タスクを実行せずに既存のレプリケーショントポロジーからレプリカサーバーを削除した後、Directory Server は以前、参照エントリーを置換できないというエラーをログに記録していました。この更新により、重複した紹介のチェックが追加され、削除されます。その結果、エラーはログに記録されなくなりました。(BZ#1434335)

多数の CoS テンプレートを使用しても、仮想属性の処理時間が遅くなることはなくなりました

バグにより、Directory Server で多数のサービスクラス (CoS) テンプレートを使用すると、仮想属性の処理時間が増加しました。この更新により、CoS ストレージの構造が改善されました。その結果、多数の CoS テンプレートを使用しても、仮想属性の処理時間が増加することはなくなりました。(BZ#1523183)

Directory Server は、オンライン初期化中にバインドを正しく処理するようになりました。

ある Directory Server マスターから別の Directory Server マスターへのオンライン初期化中に、変更を受信するマスターは一時的に参照モードに設定されます。このモードでは、サーバーは紹介のみを返します。以前は、Directory Server がこれらのバインド参照を誤って生成していました。その結果、前述のシナリオではサーバーが予期せず終了する可能性があります。この更新により、サーバーはバインド紹介を正しく生成するようになりました。その結果、サーバーはオンライン初期化中にバインドを正しく処理できるようになりました。(BZ#1483681)

dirsrv@.service メタターゲットが multi-user.target にリンクされるようになりました。

以前は、dirsrv@.service メタターゲットの systemd ファイルで Wants パラメーターが dirsrv.target に設定されていました。dirsrv@.service を有効にすると、dirsrv.target に対するサービスは正しく有効になりましたが、dirsrv.target は有効になりませんでした。その結果、システムの起動時に Directory Server が起動しませんでした。この更新により、dirsrv@.service メタターゲットが multi-user.target にリンクされるようになりました。その結果、dirsrv@.service を有効にすると、システムの起動時に Directory Server が自動的に起動します。(BZ#1476207)

memberOf プラグインは、memberOf 属性のすべての更新試行をログに記録するようになりました。

特定の状況では、Directory Server はユーザーエントリーの memberOf 属性の更新に失敗します。この場合、memberOf プラグインはエラーメッセージをログに記録し、更新を強制します。Directory Server の以前のバージョンでは、2 回目の試行が成功してもログに記録されませんでした。その結果、失敗した試行のみがログに記録されたため、ログエントリーは誤解を招くものでした。この更新により、memberOf プラグインは、最初の試行が失敗した場合にも、成功した更新をログに記録します。その結果、プラグインは最初の失敗とその後の成功した再試行もログに記録するようになりました。(BZ#1533571)

Directory Server のパスワードポリシーが正しく機能するようになりました。

以前は、サブツリーおよびユーザーのパスワードポリシーは、グローバルパスワードポリシーと同じデフォルト値を使用していませんでした。その結果、Directory Server は特定の構文チェックを誤ってスキップしていました。このバグは修正されています。その結果、パスワードポリシー機能は、グローバル設定、サブツリー、およびユーザーポリシーに対して同様に機能します。(BZ#1465600)

Directory Server のバッファーオーバーフローが修正されました

以前は、インデックスが作成されるように属性を設定し、大きなバイナリー値を含むエントリーをこの属性にインポートすると、サーバーはバッファーオーバーフローにより予期せず終了していました。バッファーが修正されました。その結果、サーバーは前述のシナリオで期待どおりに動作します。(BZ#1498980)

Directory Server は、猶予ログイン中にパスワードの期限切れ制御を送信するようになりました。

以前は、期限切れのパスワードに猶予ログインが残っている場合、Directory Server は期限切れのパスワード制御を送信しませんでした。その結果、クライアントは、パスワードの有効期限が切れたことや、猶予ログインの残り回数をユーザーに伝えることができませんでした。この問題が修正されました。その結果、クライアントは、パスワードの有効期限が切れているかどうか、および猶予ログインが何回残っているかをユーザーに通知できるようになりました。(BZ#1464505)

不要なグローバルロックが Directory Server から削除されました

以前は、memberOf プラグインが有効になっており、ユーザーとグループが別のバックエンドに保存されている場合、デッドロックが発生する可能性がありました。不要なグローバルロックが削除されたため、前述のシナリオでデッドロックは発生しなくなります。(BZ#1501058)

TLS クライアント認証と FIPS モードが有効になっている場合、レプリケーションが正しく動作するようになりました。

以前は、連邦情報処理標準 (FIPS) モードが有効になっている Directory Server レプリケーション環境で TLS クライアント認証を使用した場合、内部ネットワークセキュリティーサービス (NSS) データベーストークンは、FIPS モードが無効になっているシステム上のトークンとは異なりました。その結果、レプリケーションが失敗しました。この問題は修正され、その結果、FIPS モードが有効な場合、TLS クライアント認証を使用したレプリケーションアグリーメントが正しく機能するようになりました。(BZ#1464463)

Directory Server は、仮想属性が機能するかどうかを正しく設定するようになりました。

Directory Server の pwdpolicysubentry サブツリーのパスワードポリシー属性には、動作可能としてフラグが設定されています。ただし、Directory Server の以前のバージョンでは、このフラグは、処理される次の仮想属性に誤って適用されていました。その結果、検索結果はクライアントには表示されませんでした。今回の更新により、サーバーは次の仮想属性とサービスクラス (CoS) を処理する前に属性をリセットするようになりました。その結果、期待された仮想属性と CoS がクライアントに返されるようになりました。(BZ#1453155)

レプリケーションが有効で変更ログファイルが存在する場合、バックアップが成功するようになりました。

以前は、レプリケーションが有効で変更ログファイルが存在する場合、このマスターサーバーでのバックアップの実行は失敗していました。この更新により、ファイルを正しくコピーするための内部オプションが設定されます。その結果、前述のシナリオでバックアップの作成が成功するようになりました。(BZ#1476322)

Certificate System は失効理由を正しく更新します

以前は、ユーザーがスマートカードトークンを一時的に紛失した場合、Certificate System トークン処理システム (TPS) の管理者が証明書のステータスを on hold から permanently lost または damaged に変更することがありました。ただし、新しい失効理由は CA に反映されませんでした。この更新により、証明書のステータスを on hold から revoked に直接変更できるようになりました。その結果、取り消し理由が正しく更新されます。(BZ#1500474)

Certificate System クローンのインストールプロセスでの競合状態が修正されました。

特定の状況では、セキュリティードメインセッションオブジェクトの LDAP レプリケーションと、ログインが行われたクローン以外のクローンに対する認証された操作の実行との間で競合状態が発生しました。その結果、Certificate System のインストールのクローン作成が失敗しました。今回の更新により、クローンのインストールプロセスは、セキュリティードメインのログインが完了するまで待機してから、セキュリティードメインセッションオブジェクトを他のクローンにレプリケートできるようになりました。その結果、クローンのインストールは失敗しなくなりました。(BZ#1402280)

Certificate System はデフォルトで強力な暗号を使用するようになりました

この更新により、有効な暗号のリストが変更されました。デフォルトでは、連邦情報処理標準 (FIPS) に準拠した強力な暗号のみが Certificate System で有効になります。
デフォルトで有効になっている RSA 暗号:
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
インストールおよび設定中に pkispawn ユーティリティーが LDAP サーバーに接続できるようにするには、TLS_RSA_WITH_AES_128_CBC_SHA および TLS_RSA_WITH_AES_256_CBC_SHA 暗号を有効にする必要があることに注意してください。
デフォルトで有効になっている ECC 暗号:
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
さらに、/var/lib/pki/<instance_name>/conf/server.xml ファイル内の sslVersionRangeStream パラメーターと sslVersionRangeDatagram パラメーターのデフォルト範囲では、TLS 1.1 および TLS 1.2 暗号のみが使用されるようになりました。(BZ#1539125)

pkispawn ユーティリティーで誤ったエラーが表示されなくなりました

以前は、Certificate System の正常なインストール中に、pkispawn ユーティリティーによって一時証明書の削除に関連するエラーが誤って表示されていました。この問題は修正され、インストールが成功するとエラーメッセージは表示されなくなりました。(BZ#1520277)

Certificate System プロファイル設定更新メソッドがバックスラッシュを正しく処理するようになりました。

以前は、ユーザーがプロファイルを更新すると、Certificate System のパーサーが設定からバックスラッシュ文字を削除していました。その結果、影響を受けるプロファイル設定を正しくインポートできず、証明書の発行が失敗するか、システムが間違った証明書を発行しました。Certificate System は、バックスラッシュを正しく処理するパーサーを使用するようになりました。その結果、プロファイル設定の更新により設定が正しくインポートされます。(BZ#1541853)

第25章 クラスタリング

Pacemaker は、Pacemaker リモートノードのフェンシングとフェンシング解除を正しく実装します。

以前は、Pacemaker は Pacemaker リモートノードのフェンシング解除を実装していませんでした。その結果、フェンスデバイスのフェンス解除が必要な場合でも、Pacemaker リモートノードはフェンスで囲まれたままになりました。この更新により、Pacemaker は Pacemaker リモートノードのフェンシングとアンフェンシングの両方を正しく実装し、前述の問題は発生しなくなります。(BZ#1394418)

Pacemaker がゲストノードをプローブするようになりました

ゲストノードのユーザー向けの重要な更新。
Pacemaker はゲストノードをプローブするようになりました。ゲストノードは、VirtualDomain などのリソースの remote-node パラメーターを使用して作成された Pacemaker リモートノードです。ユーザーが以前にプローブが完了していないという事実に依存していた場合、プローブが失敗し、ゲストノードのフェンシングが発生する可能性があります。ゲストノードがリソースのプローブを実行できない場合 (たとえば、ソフトウェアがゲストにインストールされていない場合)、ゲストノードからのリソースを禁止する場所の制約では、resource-discovery オプションを Never に設定する必要があります。これは、同じ状況のクラスターノードまたはリモートノードで必要とされるのと同じです。(BZ#1489728)

pcs resource cleanup コマンドは不要なクラスター負荷を生成しなくなりました

pcs resource cleanup コマンドは、解決された失敗したリソース操作の記録をクリーンアップします。以前は、このコマンドはすべてのノード上のすべてのリソースをプローブし、クラスター操作に不要な負荷を生成していました。この修正により、コマンドはリソース操作が失敗したリソースのみをプローブするようになりました。pcs resource cleanup コマンドの以前の機能は、すべてのノード上のすべてのリソースをプローブする新しい pcs resource fresh コマンドに置き換えられました。クラスターリソースのクリーンアップについては、https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html-single/high_availability_add-on_reference/#s1-resource_cleanup-HAAR を参照してください。(BZ#1508351)

ユーザーが stonith デバイスの action 属性を指定すると警告が生成されます

以前は、このオプションは非推奨であり、予期しないフェンシングを引き起こす可能性があるため推奨されませんが、ユーザーは stonith デバイスのアクション属性を設定することができました。次の修正が実装されました。
  • ユーザーが CLI を使用して stonith デバイスの action オプションを設定しようとすると、--force フラグを使用してこの属性を設定するように指示する警告メッセージが生成されます。
  • pcsd Web UI では、action オプションフィールドの横に警告メッセージが表示されるようになりました。
  • stonith デバイスに アクション オプションが設定されている場合、pcs status コマンドの出力には警告が表示されます。(BZ#1421702)

--force フラグを指定せずに stonith エージェントのデバッグを有効にできるようになりました

以前は、debug パラメーターまたは verbose パラメーターを設定して stonith エージェントのデバッグを有効にしようとすると、ユーザーが --force フラグを指定する必要がありました。この修正により、--force フラグを使用する必要がなくなりました。(BZ#1432283)

Fence_ilo3 リソースエージェントの action パラメーターのデフォルト値として cycle がなくなりました。

以前は、fence_ilo3 リソースエージェントの action パラメーターのデフォルト値は cycle でした。データ破損を引き起こす可能性があるため、この値はサポートされていません。このパラメーターのデフォルト値は onoff になりました。さらに、stonith デバイスの method オプションが cycle に設定されている場合、pcs status コマンドの出力と Web UI に警告が表示されるようになりました。(BZ#1519370, BZ#1523378)

sbd が有効になっているが systemd によって正常に起動されていない場合、Pacemaker が起動しなくなりました

以前は、sbd が適切に起動しない場合でも、systemd が Pacemaker を起動していました。これにより、sbd ポイズンピルによる再起動は、fence_sbd によって検出されないと実行されなくなり、クォーラムベースの watchdog フェンシングの場合、クォーラムを失ったノードも自己フェンシングできなくなります。この修正により、sbd が適切に起動しない場合、Pacemaker は開始されません。これにより、sbd が起動しないことによるデータ破損のすべての原因が防止されます。(BZ#1525981)

sbd セットアップ内のフェンスされたノードが確実にシャットダウンされるようになりました

以前は、共有ディスク上の sbd によって使用されるポイズンピルメカニズムを介してノードがオフを受信すると、ノードは電源をオフにする代わりに再起動する可能性がありました。この修正により、オフを受信するとノードの電源がオフになります。リセットを受信すると、ノードが再起動されます。ノードがソフトウェア主導の再起動または電源オフを適切に実行できない場合、watchdog がトリガーされ、watchdog デバイスが設定されているアクションが実行されます。watchdog デバイスがノードの電源をオフにするように設定されており、フェンシングが共有ディスク上のポイズンピルメカニズムを介してオフを要求している場合、sbd セットアップのフェンスされたノードが確実にシャットダウンされるようになりました。(BZ#1468580)

IPaddr2 リソースエージェントは、ネットマスク 128 の IPv6 アドレスの NIC を検索するようになりました。

以前は、IPaddr2 リソースエージェントは、ネットマスク 128 の IPv6 アドレスの NIC を見つけることができませんでした。この修正により、その問題が修正されます。(BZ#1445628)

portblock エージェントは過剰な不要なメッセージを生成しなくなりました

以前は、portblock エージェントは、有用な情報を提供しない監視メッセージで /var/log/messages ファイルをあふれさせていました。この修正により、/var/log/messages ファイルには、portblock エージェントからのより制限されたログ出力が含まれるようになりました。(BZ#1457382)

/var/run/resource-agents ディレクトリーは再起動後も保持されるようになりました

以前は、resource-agents パッケージのインストール時に作成された /var/run/resource-agents ディレクトリーは、再起動後は永続的ではありませんでした。この修正により、再起動後もディレクトリーが存在するようになりました。(BZ#1462802)

第26章 コンパイラーおよびツール

パッケージの選択が system-config-kickstart で機能するようになりました

system-config-kickstart グラフィカルキックスタートファイル作成ユーティリティーのバグにより、ツールがリポジトリーからパッケージ情報をダウンロードできなかったため、パッケージを選択できなくなりました。このバグは修正され、system-config-kickstart でパッケージの選択を再度設定できるようになりました。(BZ#1272068)

NVMe デバイスは、parted および AnacondaUnknown として表示されなくなりました

以前は、Non-Volatile Memory Express (NVMe) デバイスは、インストール中に Anaconda インストーラーおよび Parted ストレージ設定ツールによって認識されず、代わりに Model: Unknown (unknown) というラベルが付けられていました。この更新では、これらのデバイスの認識を可能にするアップストリームパッチがバックポートされ、インストール中にデバイスが NVMe Device (nvme) として正しく識別されるようになりました。(BZ#1316239)

DBD::MySQL は、ビッグエンディアンプラットフォームでより小さい整数を正しく送受信できるようになりました。

以前は、DBD::MySQL Perl ドライバーは、ビッグエンディアンプラットフォーム上で 64 ビットより小さい整数を誤って処理していました。その結果、IBM Z アーキテクチャー上の特定の変数サイズでは、準備されたステートメントのテストが失敗しました。このバグは修正され、上記の問題が発生しなくなりました。(BZ#1311646)

version Perl モジュールはテイントされた入力とテイントされたバージョンオブジェクトをサポートするようになりました。

以前は、Perl の バージョン モジュールはテイントされた入力を正しく解析できませんでした。その結果、テイントされた変数からバージョンオブジェクトをビルドすると、version->new() メソッドによって Invalid version format (non-numeric data) エラーが報告されました。この更新により、テイントされた入力の解析と、テイントされたバージョンのオブジェクトと文字列の出力のサポートが追加されました。(BZ#1378885)

HTTP::Daemon Perl モジュールが IPv6 をサポートするようになりました

以前は、HTTP::Daemon Perl モジュールは IPv6 アドレスをサポートしていませんでした。その結果、IPv6 アドレスで HTTP::Daemon::SSL サーバーを実行しているときに、Arg length for inet_ntoa を持つ IPv6 アドレスを出力しようとしてサーバーが予期せず終了しました。エラーメッセージが表示されます。この更新により、HTTP::Daemon モジュールが IO::Socket::INET から IO::Socket::IP モジュールに移植されました。その結果、HTTP::Daemon は IPv6 アドレスを期待どおりに処理します。(BZ#1413065)

GDB ではブレークポイントのリストにインライン関数名が表示されます

以前は、GDB デバッガーはブレークポイントをリストするときに、インライン化された呼び出し先関数名ではなく呼び出し元関数名を表示していました。その結果、GDB ユーザーはインライン関数に配置されたブレークポイントを関数名から識別できませんでした。GDB は、ブレークポイントが設定されたときにインライン呼び出し先関数の名前を保存するように拡張されました。その結果、GDB はブレークポイントをリストするときにインライン関数の名前を正しく表示するようになりました。(BZ#1228556)

間違った GCC アライメントによるモジュールのロード時の再配置エラーが修正されました

以前は、GCC は 2^0 アライメントの .toc セクションを含むコードを生成していました。その結果、モジュールのロード時に再配置エラーが発生する可能性があります。GCC は、 2^3 に整列された .toc セクションを生成するように変更されました。この修正により、このバグが発生するほとんどのケースが解消されます。(BZ#1487434)

gcc C++ 標準ライブラリーの istream::sentry オブジェクトは例外をスローしなくなりました

以前は、gcc C++ 標準ライブラリーの istream::sentry オブジェクトは、空白のスキップ中に発生する例外を適切に処理していませんでした。その結果、オブジェクトのコードで予期しない例外が発生する可能性があります。Sentry クラスのコンストラクターは、例外をキャッチし、istream オブジェクトのエラー状態を適切に更新するように修正されました。(BZ#1469384)

IBM Power 上の gdb の複数の修正

以前は、IBM Power アーキテクチャーでは gdb デバッガーのさまざまな機能が壊れていました。
  • 記録および再生機能が利用できないため、エラーメッセージが表示されるか、以前のレジスター値が復元されません。
  • 短いベクトルの戻り値を出力すると、間違った値が表示されました。
  • アトミックシーケンスを 1 回ステップオーバーしても実際にはステップオーバーできませんでした。プログラムカウンターは変化しませんでした。
この更新ではこれらの機能が修正されています。(BZ#1480498, BZ#1480496, BZ#1480497)

終了するプロセスからコアをダンプするときに GDB がクラッシュしなくなりました

以前は、GDB デバッガーは、GDB がプロセスをコアファイルにダンプしている間にプロセスを終了できることを考慮していませんでした。その結果、ダンプされたプログラムが予期しない SIGKILL シグナルを受信した後に終了すると、gcore ユーティリティーも予期せず終了しました。今回の更新では、この状況に対処できるように GDB が拡張されました。その結果、GDBgcore コマンドが予期せず終了したり、無効なコアファイルが作成されたりすることがなくなりました。(BZ#1493675)

GDBVM_DONTDUMP フラグで保護されたメモリーを再びダンプできるようになりました

GNU デバッガー GDB への以前の変更により、データセキュリティーを強化するためにプロセスメモリーをダンプするときの gcore コマンドの動作が Linux カーネルの動作により近くなりました。その結果、GDB のユーザーは VM_DONTDUMP フラグで保護されたメモリーをダンプできませんでした。新しい set dump-excluded-mappings 設定が GDB に追加され、このフラグを使用したメモリーのダンプが有効になりました。その結果、ユーザーは GDB を使用してプロセスメモリー全体を再度ダンプできます。(BZ#1518243)

スレッドで CLONE_PTRACE フラグを使用するプログラムが strace で実行されるようになりました。

以前は、新しいスレッドに CLONE_PTRACE フラグを設定するプログラムは、strace ツールの動作に ptrace() 関数を使用するため、未定義の動作を引き起こしていました。その結果、そのようなプログラムは追跡できず、適切に実行できませんでした。strace ツールは、予期しない CLONE_PTRACE フラグを持つスレッドを無視するように変更されました。その結果、CLONE_PTRACE を使用するプログラムは strace で適切に実行されます。(BZ#1466535)

exiv2 はバージョン 0.26 にリベースされました

exiv2 パッケージがアップストリームバージョン 0.26 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。特に、exiv2 には以下が含まれるようになりました。
  • Visual Studio の CMake サポート
  • 再帰的ファイルダンプ
  • ICC プロファイルのサポート
  • メタデータパイプ用の exiv2 コマンド
  • ユーザーレンズ定義用のレンズファイル
  • ユーザー定義のレンズタイプ
  • WebP のサポート
完全な変更ログについては、http://www.exiv2.org/changelog.html#v0.26 を参照してください。(BZ#1420227)

gssproxy が ccache を適切に更新するように修正されました

以前は、gssproxy パッケージは、Kerberos 認証情報キャッシュ (ccache) 内のキーバージョン番号 (kvno) の増加を正しく処理していませんでした。その結果、古い ccache は適切に上書きされませんでした。この更新により、gssproxy ccache キャッシュにおけるこれらの問題が修正されます。その結果、cc キャッシュが適切に更新されるようになり、キャッシュによって過剰な更新要求が防止されます。(BZ#1488629)

IBM Power Systems アーキテクチャーのリトルエンディアン版の gcc は、未使用のスタックフレームを作成しなくなりました

以前は、IBM Power Systems アーキテクチャーのリトルエンディアン版で gcc コンパイラーの -pg -mprofile=kernel オプションを使用すると、リーフ関数用に未使用のスタックフレームが生成される可能性がありました。gcc コンパイラーが修正され、この状況で未使用のスタックフレームが発生することはなくなりました。(BZ#1468546)

gssproxy のいくつかのバグが修正されました

この更新により、gssproxy パッケージのいくつかのバグが修正されました。バグ修正には、潜在的なメモリーリークと同時実行の問題の防止が含まれます。(BZ#1462974)

BFD ライブラリーは、バイナリーアドレスをソースコードの位置に変換する機能を取り戻しました

binutils パッケージによる BFD ライブラリーへの以前の機能拡張により、DWARF デバッグ情報の解析にバグが発生しました。その結果、BFD とそれを使用するすべてのツール (gprofperf など) は、バイナリーファイルのアドレスをソースコード内の位置に変換できませんでした。この更新では、BFD が修正され、上記の問題が回避されました。その結果、BFD はバイナリーファイル内のアドレスをソースコード内の位置に期待どおりに変換できるようになりました。
この修正を利用するには、BFD ライブラリーを使用するツールを再リンクする必要があることに注意してください。(BZ#1465318)

引数を渡すためにベクトルレジスターを使用するアプリケーションが再び動作するようになりました

以前は、GNU C ライブラリー (glibc) のダイナミックローダーには、64 ビット Intel および AMD アーキテクチャーのベクトルレジスターの保存と復元を回避する最適化が含まれていました。そのため、これらのアーキテクチャー向けにコンパイルされ、関数の引数を渡すためにサポートされていないベクトルレジスターを使用し、公開されている x86-64 psABI 仕様に準拠していないアプリケーションは失敗し、予期しない結果が生じる可能性があります。この更新により、ダイナミックローダーが XSAVE および XSAVEC コンテキストスイッチ CPU 命令を使用するように変更され、すべてのベクトルレジスターを含むより多くの CPU 状態が保持されます。その結果、x86-64 psABI 仕様ではサポートされていない方法で、引数の受け渡しにベクトルレジスターを使用するアプリケーションが再び動作するようになります。(BZ#1504969)

curl が HTTP 認証状態を適切にリセットするようになりました。

この更新より前は、HTTP 転送が終了したとき、または curl_easy_reset() 関数が呼び出されたときに、認証状態が適切にリセットされませんでした。その結果、curl ツールはリクエスト本文を次の URL に送信しませんでした。今回の更新により、HTTP 転送が行われたとき、または curl_easy_reset() が呼び出されたときに認証状態が適切にリセットされ、上記の問題は発生しなくなります。(BZ#1511523)

strip ユーティリティーが再び動作します

以前は、BFD ライブラリーは、IBM Z アーキテクチャーでの NULL ポインターチェックを見逃していました。その結果、strip ユーティリティーを実行するとセグメンテーションフォールトが発生しました。このバグは修正され、strip は想定どおりに機能するようになりました。(BZ#1488889)

f2py によって生成された Python モジュールのインポートが適切に機能するようになりました。

以前は、ダイナミックリンクローダーがシンボルをグローバルにロードするように設定されている場合、f2py ユーティリティーによって生成された Python モジュールをインポートするときにセグメンテーションフォールトが発生しました。この更新により、PyArray_API シンボルの名前が _npy_f2py_ARRAY_API に変更され、マルチアレイモジュール内の同じシンボルとの潜在的な競合が防止されます。その結果、f2py によって生成されたモジュールをインポートしてもセグメンテーション違反が発生しなくなりました。(BZ#1167156)

mailx がマルチバイト件名を適切にエンコードしていない

以前は、mailx メールユーザーエージェントは、MultiPurpose Internet Mail Extension (MIME) 標準にエンコードするときに、非 ASCII メッセージヘッダーをマルチバイト文字の境界で分割しませんでした。その結果、ヘッダーが正しくデコードされませんでした。この更新により、MIME エンコード関数が変更され、ヘッダーがマルチバイト文字の境界でエンコードされた単語に分割されるようになります。その結果、mailx は適切にデコードできるヘッダーを持つメッセージを送信するようになりました。(BZ#1474130)

--all-logs オプションが sosreport で期待どおりに機能するようになりました。

以前は、--all-logs オプションは、apachenscd、および sosreport ユーティリティーの logs プラグインによって無視されました。このバグは修正され、前述のプラグインは --all-logs を 正しく処理できるようになりました。--all-logs を使用する場合、--log-size オプションを使用してログのサイズを制限することは不可能であることに注意してください。これは想定された動作です。(BZ#1183243)

Python スクリプトは、ポートを明示的に設定しながら、プロキシー経由で HTTPS サーバーに正しく接続できるようになりました。

Red Hat Enterprise Linux で提供される Python 標準ライブラリーは、デフォルトで証明書検証を有効にするために以前に更新されました。ただし、バグにより、標準ライブラリーを使用する Python スクリプトは、接続先のポートを明示的に設定する場合、プロキシーを使用して HTTPS サーバーに接続できませんでした。同じバグにより、ユーザーはブートストラップスクリプトを使用してプロキシー経由で Red Hat Satellite 6 に登録することもできませんでした。このバグは修正され、スクリプトは HTTPS サーバーに接続し、期待どおりに Red Hat Satellite を使用して登録できるようになりました。(BZ#1483438)

第27章 デスクトップ

Dell Canvas 27 のスタイラスが修正されました

以前は、Dell Canvas 27 には、デフォルトで範囲がオフセットされていた Wacom タブレットが含まれていました。その結果、スタイラスは画面の左上 4 分の 1 にマッピングされました。Red Hat Enterprise Linux 7.5 は Dell Canvas 27 のスタイラスをサポートし、座標が正確に報告されるようにします。その結果、必要に応じてカーソルはスタイラスの先端の真下に配置されます。(BZ#1507821)

IBM Power Systems で llvmpipe がクラッシュする

IBM Power Systems アーキテクチャーのリトルエンディアン版では、以前、GNOME Shell コードの競合状態が原因で、Mesa 用の LLVM エンジン llvm-private が予期せず終了しました。この更新により、JavaScript エンジンのスレッドが無効になり、セグメンテーション違反の発生が防止されます。その結果、llvm-private は IBM Power Systems でクラッシュしなくなりました。(BZ#1523121)

第28章 ファイルシステム

TCP 接続が閉じられた後に NFS 共有が応答しなくなる問題が修正されました

以前は、NFS クライアントが TCP 切断シーケンスを開始した後、60 秒の TIME_WAIT 期間に入ることがありました。これは、接続で TCP タイムスタンプが無効になっている場合にのみ発生しました。待機期間中、クライアントは NFS TCP 接続に再接続できませんでした。
TIME_WAIT 期間の待機が原因で、NFS マウントポイントが応答しなくなり、rpciod カーネルスレッドが CPU を 100% 使用し、nfsstat -r コマンドの出力の retrans 数が非常に大きな数になりました。さらに、timeo および retrans オプションの値が低い NFS マウントでは、I/O エラーが発生する可能性があります。
この更新により、NFS TCP 接続は、切断シーケンスの直後に、別の送信元ポートを使用して再接続できるようになりました。その結果、NFS マウントが応答しなくなることはなくなり、接続が閉じられた後に rpciod によってシステム負荷が高くなることがなくなりました。(BZ#1479043)

第29章 ハードウェアの有効化

genwqe-tools が IBM Power Systems ppc64 および ppc64le アーキテクチャー用に更新されました

genwqe-tools パッケージは、IBM Power Systems および IBM Power Systems のリトルエンディアン版用に更新されました。この機能強化更新には、genwqe-tools マスターブランチからバックポートされた次の修正が含まれています。
  • adler32 の破損検出チェックサムは、deflateSetDictionary() 関数で修正を返すようになりました。
  • deflateSetDictionary() 関数は、仕様ファイルの要求に応じて NULL 辞書でエラーを返すようになりました。
  • デバッガーは zpipe_rnd.c ファイルから削除されました
  • 式における潜在的なオーバーフローが回避されました
  • 境界外アクセスとリソースリークの可能性が修正されました
  • 貢献を簡素化するために、貢献者ライセンス契約 (CLA) が開発者の原産地証明書 (DCO) に変更されました。
  • 潜在的なセキュリティーホールは解決されました
  • EEH を引き起こすハードウェアアクセラレータツール genwqe_cksum の障害は解決されました
genwqe-tools のユーザーは、これらのバグを修正し、これらの機能拡張を追加する更新パッケージにアップグレードすることを推奨します。(BZ#1456492)

ハードウェアユーティリティーツールが、最近リリースされたハードウェアを正しく識別できるようになりました。

この更新の前は、廃止された ID ファイルにより、コンピューターに接続されている最近リリースされたハードウェアが不明として報告されていました。このバグを修正するために、PCI、USB、およびベンダーデバイス識別ファイルが更新されました。その結果、ハードウェアユーティリティーツールが、最近リリースされたハードウェアを正しく識別できるようになりました。(BZ#1489281)

第30章 インストールおよび起動

手動パーティショニング中に不完全な IMSM RAID アレイを選択してもインストーラーがクラッシュしなくなりました

以前は、インストールするシステムに以前 Intel Matrix (IMSI) RAID アレイの一部であったストレージドライブがインストール時に壊れていた場合、そのディスクはグラフィカルインストーラーの Installation Destination 画面で Unknown と表示されていました。このドライブをインストールターゲットとして選択しようとすると、インストーラーがクラッシュし、An unknown error has occured メッセージが表示されました。この更新では、そのようなドライブに対する適切な処理が追加され、標準のインストールターゲットとして使用できるようになります。(BZ#1465944)

インストーラーはキックスタートファイルで追加のタイムゾーン定義を受け入れるようになりました

Red Hat Enterprise Linux 7.0 以降、Anaconda は、タイムゾーンの選択を検証するための、より制限的な別の方法に切り替えました。これにより、以前のバージョンでは許容されていたにもかかわらず、Japan などの一部のタイムゾーン定義が無効になり、これらの定義を含む従来のキックスタートファイルを更新する必要があり、更新しないと、デフォルトで Americas/New_York タイムゾーンが使用されてしまいます。
有効なタイムゾーンのリストは、以前は pytz Python ライブラリーの pytz.common_timezones から取得されていました。この更新により、timezone キックスタートコマンドの検証設定が pytz.all_timezones を使用するように変更されます。これは common_timezones リストのスーパーセットであり、より多くのタイムゾーンを指定できるようになります。この変更により、Red Hat Enterprise Linux 6 用に作成された古いキックスタートファイルでも引き続き有効なタイムゾーンが指定されるようになります。
この変更は timezone Kickstart コマンドにのみ適用されることに注意してください。グラフィカルおよびテキストベースの対話型インターフェイスでのタイムゾーンの選択は変更されません。有効なタイムゾーンが選択されている Red Hat Enterprise Linux 7 の既存のキックスタートファイルは更新する必要がありません。(BZ#1452873)

ブートオプションを使用して設定されたプロキシー設定が Anaconda で正しく機能するようになりました。

以前は、ブートメニューのコマンドラインで proxy= オプションを使用して作成されたプロキシー設定は、リモートパッケージリポジトリーを調査するときに正しく適用されませんでした。これは、ネットワーク設定が変更された場合に Installation Source 画面の更新を回避しようとしたことが原因でした。この更新により、インストーラーロジックが改善され、プロキシー設定が常に適用されるようになり、設定変更時のユーザーインターフェイスのブロックが回避されます。(BZ#1478970)

FIPS モードは、インストール中に HTTPS 経由でのファイルのロードをサポートするようになりました

以前は、キックスタートファイルが HTTPS ソース (inst.ks=https://<location>/ks.cfg) からロードされるインストール中に、インストールイメージは FIPS モード (fips=1) をサポートしていませんでした。このリリースでは、これまで欠落していたこの機能のサポートが実装され、FIPS モードでの HTTPS 経由のファイルのロードは期待どおりに機能します。(BZ#1341280)

ネットワークスクリプトが /etc/resolv.conf を正しく更新するようになりました。

ネットワークスクリプトが拡張され、/etc/resolv.conf ファイルが正しく更新されるようになりました。以下に例を示します。
  • /etc/sysconfig/network-scripts/ ディレクトリーの ifcfg-* ファイルで DNS* オプションと DOMAIN オプションがそれぞれ更新された後、スクリプトは /etc/resolv.conf ファイル内の nameserversearch エントリーを更新するようになりました。
  • /etc/sysconfig/network-scripts/ifcfg-* ファイルで更新された後、スクリプトは nameserver エントリーの順序も更新するようになりました。
  • DNS3 オプションのサポートが追加されました
  • スクリプトは、重複したランダムに省略された DNS* オプションを正しく処理するようになりました (BZ# 1364895)

.old 拡張子を持つファイルはネットワークスクリプトによって無視されるようになりました

Red Hat Enterprise Linux のネットワークスクリプトには、.bak.rpmnew.rpmold などの特定の拡張子を持つ ifcfg-* 設定ファイルを無視する正規表現が含まれています。ただし、.old 拡張子は、ドキュメントや一般的な実践で使用されているにもかかわらず、このセットにはありませんでした。この更新により、.old 拡張子がリストに追加され、これを使用するスクリプトファイルがネットワークスクリプトによって期待どおりに無視されるようになります。(BZ#1455419)

ブリッジデバイスは IP アドレスの取得に失敗しなくなりました

以前は、ブリッジデバイスがシステム起動直後に DHCP サーバーから IP アドレスを取得できないことがありました。これは、ifup-eth スクリプトがスパニングツリープロトコル (STP) の起動の完了を待機しなかった競合状態が原因で発生しました。このバグは、STP の開始が完了するまで ifup-eth が十分な時間待機する遅延を追加することで修正されました。(BZ#1380496)

rhel-dmesg サービスを正しく無効にできるようになりました

以前は、rhel-dmesg.service がsystemd を使用して明示的に無効になっていても、実行を続けていました。このバグは修正され、サービスを正しく無効にできるようになりました。(BZ#1395391)

第31章 カーネル

kdump がnokaslr セットを使用して vmcore をキャプチャーできるようになりました

nokaslr および crashkernel=xxM,high オプションを使用すると、nokaslr の実装のバグにより、kdump メカニズムが vmcore ファイルをキャプチャーできなくなりました。この修正により、nokaslr が設定されている場合、カーネルの元のロードアドレスが返されるようになります。その結果、Kernel Address Space Layout Randomization (KASLR) がカーネルでコンパイルされているが、nokaslr で無効になっており、crashkernel パラメーターでハイメモリーが指定されている場合、kdumpvmcore を収集できるようになりました。(BZ#1467561)

MPOL_PREFERRED ポリシーが Transparent Huge Pages (THP) で最適なパフォーマンスで動作するようになりました。

MPOL_PREFERRED ポリシーを使用したノード 1 へのメモリーの割り当ては、Transparent Huge Pages (THP) が有効になっている場合には機能しませんでしたが、常にノード 0 のローカルノードにフォールバックしました。その結果、マルチノードシステムのワークロードパフォーマンスは大きな影響を受けました。バックポートされたパッチにより、非ローカルノードの MPOL_PREFERRED ポリシーが確実に尊重され、システムパフォーマンスが最適な状態に戻ります。(BZ#1476709)

cgroups のデッドロックが修正されました

特定の状況において、cgroups を使用すると、競合状態によりシステムのデッドロックが発生しました。この更新により、競合状態を修正するワークキューが追加され、デッドロックの発生が防止されます。(BZ#1476040)

DM シンプロビジョニングがループデバイス上で使用されている場合に、システムが応答しなくなる問題が修正されました。

以前は、ループデバイス上でデバイスマッパー (DM) シンプロビジョニングが使用されている場合、システムが応答しなくなることがありました。この更新により、メモリー割り当てで正しい gfp マスクが使用されるようになりました。その結果、上記の問題が発生しなくなりました。(BZ#1469247)

KASLR により、カーネルメモリーがミラーリングされていない領域にミラーリングされなくなりました

この更新より前は、指定されたミラーリングされたメモリー領域とカーネルアドレス空間レイアウトのランダム化 (KASLR) が有効になっていると、カーネルメモリーが非ミラー化メモリー領域に配置される可能性がありました。その結果、ミラーリングされていないメモリー領域は移動できなくなりました。この更新により、カーネルメモリーの場所がミラー領域から制限されます。その結果、KASLR は、ミラー化されていない領域へのカーネルメモリーのミラーリングを行わなくなりました。(BZ#1446684)

ユーザーは、/etc/kdump.conf 内の空白文字を削除するよう求めるメッセージを受け取るようになりました。

以前は、/etc/kdump.conf 内の kdump 設定項目の前に 1 つ以上の先頭の空白文字があったため、kdump 設定が正しくなくなりました。この更新により、先頭の空白文字を削除するように求めるエラーメッセージがユーザーに返され、記載された動作が原因で kdump が失敗することはなくなりました。(BZ#1476219)

IBM POWER Systems 上の大きな .bss セグメントを持つアプリケーションでランダムなセグメンテーション違反が発生しなくなりました

以前は、IBM POWER Systems アーキテクチャーでは、大きな .bss セグメントを持つアプリケーションによってダイナミックリンカーが予期せず終了する可能性がありました。その結果、ダイナミックリンカーを使用して起動されたアプリケーションがランダムにセグメンテーションフォールトを引き起こす可能性があります。この更新により、ELF_ET_DYN_BASE 値は、このアーキテクチャー上の 64 ビット実装の場合は 4GB、32 ビット実装の場合は 4MB に増加しました。その結果、IBM POWER Systems アーキテクチャー上の大きな .bss セグメントを持つアプリケーションは、ランダムなセグメンテーション違反を引き起こすことはありません。(BZ#1432288)

カーネルは負荷を計算するために過剰な量のリソースを消費しなくなりました

以前は、カーネルは空のタスクグループを含むすべてのタスクグループの負荷を計算していましたが、これにより、プロセスが多数あるシステムでは過剰な量のシステムリソースが消費されました。この更新により、カーネルが空のタスクグループの負荷を計算できなくなり、上記の状況でシステムの負荷が軽減されます。(BZ#1460641)

Cpuset は、オフラインイベントとオンラインイベントのペアの後に有効な CPU マスクを復元できるようになりました。

この更新より前は、プロセスをプロセッサーとメモリーノードのサブセットに限定する cpuset ファイルシステムでは、cpuset で使用される CPU に対して 1 つのビットマップセットが有効になっていました。その結果、CPU オフラインイベントに続いて CPU オンラインイベントが発生し、影響を受ける CPU がすべての非ルート CPU セットから削除されました。今回の更新により、cpuset で 2 つのビットマップセットが有効になりました。その結果、cpuset cgroup のマウント時に -o cpuset_v2_mode マウントフラグが使用されている限り、cpuset は CPU オンラインまたはオフラインイベントを適切に追跡して、有効な CPU マスクを復元できるようになりました。(BZ#947004)

/proc/pid/maps へのアクセスが大幅に高速化されました

以前は、stack:TID アノテーションでスタック仮想メモリー領域 (VMA) のタスクを見つける時間は、システム内のアクティブなタスクの数に直接比例していました。その結果、システム内で実行されているタスクが増えるほど、スタック VMA に正しくアノテーションを付けるのが遅くなり、/proc/pid/maps ファイルへのアクセスが遅くなります。この更新により、stack:TID アノテーションは使用されなくなりました。その結果、特にシステム内で多数のタスクが実行されている場合、/proc/[pid]/maps へのアクセスが大幅に高速化されました。(BZ#1448534)

fadump が再起動に失敗しなくなりました

以前は、fadump は DLPAR メモリーの削除操作中に停止し、その後再起動を開始しました。特定の状況下で、fadump が再起動に失敗しました。今回の更新で、上記の問題は発生しなくなりました。(BZ#1438695)

makedumpfile がページテーブルエントリーを正しくマップできるようになりました

HP ハードウェア上で実行されている一部の仮想マシンでは、仮想マシンのメモリーの物理アドレスを正しく取得できず、makedumpfile ユーティリティーが次のようなエラーで失敗しました。
readmem: Can't convert a virtual address(ffffffffb21158a0) to physical address
この問題は、file_size が正しく計算されず、readpage_elf() 関数が正しく動作しないために発生しました。この更新により、これらのシステムでの file_size の計算が修正され、vmcore ファイルが収集できるようになり、makedumpfile --mem-usage コマンドで vmcore サイズが正しく推定されるようになりました。(BZ#1448861)

非対称グループは、重複するスケジューリングドメインに使用されます。

以前は、特定の Non-Uniform Memory Access (NUMA) システム上でグループ構築をスケジュールすると、スレッドの移行に悪影響を及ぼしていました。この状況は、タスクを隣接する NUMA ノードに移行できない場合にパフォーマンスに悪影響を及ぼしました。今回の更新では、問題を解決するために、スケジューリングドメインの重複に非対称グループが使用されます。(BZ#1373534)

KASLR により、システムの起動中にカーネルが応答しなくなることがなくなりました

以前は、カーネルアドレス空間レイアウトのランダム化 (KASLR) 機能が有効になっている場合、特定の SGI UV システムでカーネルが応答しなくなることがありました。その結果、システムは起動できなくなりました。この更新により、カーネルは、KASLR が有効な場合に直接マッピングのサイズを調整しようとしなくなりました。その結果、システムは正常に起動し、前述の問題は発生しなくなります。(BZ#1457046)

ファンクションキーを使用してワコムタブレットを取り外しても、オペレーティングシステムが再起動しなくなりました

一部の Wacom タブレットを Red Hat Enterprise Linux 7.4 上で実行中の GNOME セッションから切断すると、オペレーティングシステムが 5 秒以内に再起動しました。この問題は、最初は Wacom モデル 27QHD デバイスで確認されました。この更新により、オペレーティングシステムを再起動せずにタブレットを取り外すことができるようになります。(BZ#1462363)

後でそのメモリー cgroup を削除するときに、memory.kmem.limit_in_bytes を設定しても問題が発生しなくなりました

以前は、cgroup の memory.kmem.limit_in_bytes パラメーターを設定すると、後でそのメモリー cgroup が削除されたときに問題が発生しました。この問題は、メモリー cgroup kmem キャッシュをマージしようとしたときに発生しましたが、適切に処理されませんでした。この更新では、この機能を使用しなくなった現在のアップストリームコードをバックポートすることにより、メモリー cgroups の kmem キャッシュマージが無効になります。(BZ#1442618)

sha1-avx2 暗号化アルゴリズムが再び有効になりました

リードビヨンドエラー (コードが境界外のメモリーを読み取ろうとしたとき) のため、sha1-avx2 暗号化アルゴリズムが無効になりました。この更新により、問題は解決され、管理者は sha1-avx2 を使用できるようになりました。(BZ#1469200)

VXLAN がバージョン 4.14 にリベースされました

VXLAN ドライバーはアップストリームバージョン 4.14 にアップグレードされ、以前のバージョンに比べて多くのバグが修正されています。注目すべき変更点は次のとおりです。
  • トンネルの送信元 IP アドレスはルート検索で使用されます。
  • VXLAN Generic Protocol Extension (VXLAN-GPE) は、User Datagram Protocol (UDP) ポートに正しい Internet Assigned Numbers Authority (IANA) を使用するようになりました。
  • VNI 0xffffff 値を使用できるようになりました。
  • トンネル削除時の競合状態が修正されました。
  • 静的転送データベース (fdb) エントリーが Linux ブリッジと一貫して動作するようになりました。(BZ#1467280)

第32章 ネットワーク

ip6mr がすでに登録されていないデバイスを登録解除しても、ネットワーク動作は継続します

以前は、IPv6 マルチキャストルーティング (ip6mr) コードが、すでに登録されていないデバイスを登録解除しようとしていました。その結果、ネットワーク動作が停止するバグが syslog に報告されました。この更新により、ip6mr は、 すでに未登録としてマークされているデバイスを登録解除しなくなりました。その結果、syslog でバグは報告されなくなり、ネットワーク動作は説明されたシナリオで継続されます。(BZ#1445046)

VTI 経由で大きなファイルを送信しても失敗しなくなりました

以前は、Virtual Tunnel Interface (VTI) を介して大きなファイルを送信すると、VTIPath Maximum Transmission Unit (PMTU) を処理しないために失敗していました。その結果、PMTU サイズより大きいサイズのファイルは送信できませんでした。この更新により、PMTU 処理が追加されました。その結果、Tx パスで PMTU を更新できるようになり、前述の問題は発生しなくなります。(BZ#1467521)

IPv6 カプセル化を使用した L2TP が名前空間で機能するようになりました

以前は、IPv6 カプセル化で Layer 2 Tunneling Protocol (L2TP) を使用すると、名前空間がサポートされませんでした。その結果、L2TP を名前空間で使用できなくなりました。この更新により、IPv6 カプセル化を使用した L2TP が名前空間を認識するようになり、前述の問題は発生しなくなります。(BZ#1465711)

ARP エントリーのフラッシュが失敗しなくなりました

以前は、不完全または失敗した Address Resolution Protocol (ARP) エントリーをフラッシュしようとしても効果がありませんでした。その結果、不完全な ARP エントリーがそこに残り、場合によってはシステムやネットワークのデバッグに問題が発生しました。この更新により、不完全または失敗した ARP エントリーを削除できるようになります。その結果、ユーザーは期待どおりに ARP テーブルを取得できるようになりました。(BZ#1383691, BZ#1469945)

クラスフルキューイング規則で cls_matchall を使用しても、カーネルがクラッシュしなくなりました

以前は、matchall 分類子 (cls_matchall) はパケットに classic オプションを割り当てませんでした。その結果、階層トークンバケット (HTB) やクラスベースキュー (CBQ) などのクラスフルキューイング規則 (クラスフル qdiscs)cls_matchall を 使用しようとすると、カーネルが予期せず終了しました。今回の更新により、cls_matchall がclassid を処理するときに、classid がパケットに割り当てられます。その結果、classful qdiscs を使用した cls_matchall が正常に使用できるようになり、説明されているシナリオではユーザーが指定した classid の値が無視されなくなりました。
classid に関連するカーネルアクションの詳細については、tc-matchall (8) のマニュアルページの OPTIONS セクションを参照してください。(BZ#1460213)

ユーザーが閉じられた SCTP ポートに接続しても、ICMP エラーパケットが失われないようになりました。

以前は、閉じられた Stream Control Transmission Protocol (SCTP) ポートに接続しようとすると、サーバーからの Internet Control Message Protocol (ICMP) エラー応答が失われました。この問題は、データの受信に非線形バッファーを使用する Network Interface Cards (NICs) でのみ発生しました。その結果、閉じられた SCTP ポートへの接続の場合、ユーザーはサーバーから connection refused エラーメッセージをすぐに受け取るのではなく、タイムアウトになるまで待機していました。この更新により、受信データは直線的に処理され、ICMP エラー応答が失われることはありません。その結果、上記の状況では、ユーザーは対応する ICMP エラーを受け取ります。(BZ#1450529)

SCTP は正しい送信元アドレスを選択するようになりました

以前は、セカンダリー IPv6 アドレスを使用する場合、ストリーム制御伝送プロトコル (SCTP) は、宛先アドレスと最もよく一致する接頭辞に基づいて送信元アドレスを選択していました。その結果、場合によっては、間違った IPv6 アドレスを持つインターフェイスを介してパケットが送信されることがありました。今回の更新により、SCTP はこの特定のルートのルーティングテーブルにすでに存在するアドレスを使用します。その結果、ホスト上でセカンダリーアドレスが使用される場合、SCTP は予期される IPv6 アドレスを送信元アドレスとして使用します。(BZ#1460106)

iptables CLUSTERIP ターゲットによって保持されているデバイス参照が、ネームスペースの削除時に適切に解放されるようになりました。

以前は、iptables CLUSTERIP ターゲットは、関連するルールで入力デバイスとして指定されたネットワークデバイスへの直接参照を保持していました。名前空間内のルールが削除されても、対応する参照は解放されませんでした。その結果、ネームスペースの削除時に、CLUSTERIP ターゲットが保持するダングリング参照により、ネームスペースに含まれるネットワークデバイスの削除が妨げられることがありました。このため、同じ名前のデバイスを作成できず、関連するメモリーも解放されませんでした。今回の更新により、CLUSTERIP ターゲットルール参照は関連デバイスではなく、そのインデックスを保持するようになりました。その結果、ネームスペースを削除すると、このネームスペースに関連するすべてのルールと参照も適切にクリアされます。(BZ#1472892)

nftables 設定ファイルは公開されなくなりました

以前は、RPM ファイルでのインストール中に、nftables 設定ファイルのモードビットがそれに応じて調整されませんでした。その結果、/etc/nftables ディレクトリー内の設定テンプレートと etc/sysconfig/nftables.conf メイン設定ファイルは一般に読み取り可能でした。この更新により、設定ファイルのインストール時にファイルモードビットが正しい値に明示的に設定されます。その結果、ユーザーは正しい権限で設定ファイルをインストールできるようになります。
管理者によって変更されていない設定ファイルは、正しい権限を持つ設定ファイルに置き換えられることに注意してください。
変更された設定ファイルは置き換えられません。その場合、/etc/sysconfig/nftables.conf に対して、正しい権限を持つ rpmnew ファイルが作成されます。/etc/nftables 内のファイルについては、rpmnew ファイルは作成されないため、ユーザーは手動で権限を設定する必要があります。(BZ#1451404)

SENDER_DRY_EVENTS が有効な場合、Ready to read イベントがアプリケーションに正しく送信されるようになりました。

以前は、SENDER_DRY_EVENTS 通知を有効にしたとき、または Stream Control Transmission Protocol (SCTP) 部分信頼性がチャンクの削除をトリガーしたとき、SCTP スタックはイベントがすでに生成されたというフラグを立ててアプリケーションに送信していました。しかし、その後も旗は外されなかった。その結果、アプリケーションは ready to read イベントを逃しました。今回の更新により、スタックはそのような場合にイベントにフラグを立てなくなりました。その結果、Ready to Read イベントがアプリケーションに正しくディスパッチされるようになりました。(BZ#1442784)

SCTP 統計が利用可能になりました

以前は、ストリーム制御伝送プロトコル (SCTP) 統計パーサーは /proc/net/sctp/snmp ソースファイルを処理できませんでした。その結果、ユーザーは統計情報を確認できなくなりました。SCTP 統計の解析が修正されました。その結果、ユーザーは SCTP 統計を利用できるようになりました。(BZ#1329338)

firewalld サービスデーモンが rmmod プロセスでハングしなくなりました

以前は、一部のネットワークデバイスドライバー、特に一部の Wi-Fi および IP over InfiniBand Network Interface Cards (IPoIB NICs) ドライバーは、追跡されていないパケットに関連付けられた conntrack エントリーを無制限に保持していました。その結果、削除時には、conntrack カーネルモジュールはこれらのエントリーが解放されるのを待つビジーループ状態になりました。これにより、rmmod nf_conntrack モジュールが CPU 使用率の 100% を消費し、シャットダウン時に firewalld がハングするようになりました。この更新により、新しいカーネルは notrack conntrack エントリーのサポートを削除し、conntrack はそのようなエントリーが解放されるのを待機しなくなります。その結果、firewalld のシャットダウンがハングしなくなりました。(BZ#1317099)

第33章 セキュリティー

firewalld の起動時に、設定が存在する場合、net.netfilter.nf_conntrack_max がデフォルトにリセットされなくなりました。

以前は、firewalld は起動時または再起動時に nf_conntrack 設定をデフォルト値にリセットしていました。その結果、net.netfilter.nf_conntrack_max 設定はデフォルト値に復元されました。今回の更新により、firewalld が起動するたびに、/etc/sysctl.conf および /etc/sysctl.d で設定されている nf_conntrack sysctl が再ロードされます。その結果、net.netfilter.nf_conntrack_max はユーザーが設定した値を維持します。(BZ#1462977)

Tomcat は、強制モードの SELinuxtomcat-jsvc を使用して起動できるようになりました

Red Hat Enterprise Linux 7.4 では、tomcat_t 非制限ドメインが SELinux ポリシーで正しく定義されていませんでした。そのため、強制モードの SELinux では、tomcat-jsvc サービスによって Tomcat サーバーを起動できません。この更新により、tomcat_t ドメインで dac_overridesetuid、および kill 機能ルールを使用できるようになります。その結果、TomcatSELinux を強制モードで tomcat-jsvc 経由で起動できるようになりました。(BZ#1470735)

SELinux により、vdsmlldpad と通信できるようになりました

この更新より前は、強制モードの SELinux は、vdsm デーモンによる lldpad 情報へのアクセスを拒否していました。その結果、vdsm は正しく動作できなくなりました。今回の更新により、virtd_t ドメインが dgram ソケットを介して lldpad_t ドメインにデータを送信できるようにするルールが selinux-policy パッケージに追加されました。その結果、SELinux が強制モードに設定されている場合、virtd_t というラベルの付いた vdsm は、lldpad_t というラベルの付いた lldpad と通信できるようになりました。(BZ#1472722)

権限分離を行わない OpenSSH サーバーがクラッシュしなくなりました

この更新より前は、ポインターは有効性がチェックされる前に逆参照されていました。その結果、Privilege Separation オプションがオフになっている OpenSSH サーバーがセッションのクリーンアップ中にクラッシュしました。この更新により、ポインターが適切にチェックされ、前述のバグのため、Privilege Separation なしで実行中に OpenSSH サーバーがクラッシュすることがなくなりました。
OpenSSH Privilege Separation を無効にすることは推奨されないことに注意してください。(BZ#1488083)

DISA STIG 準拠のパスワードポリシーを使用しても、clevis luks binding コマンドが失敗しなくなりました。

以前は、clevis luks binding コマンドの一部として生成されたパスワードは、pwquality.conf ファイルに設定されている国防情報システム局セキュリティ技術導入ガイド (DISA STIG) のパスワードポリシーに準拠していませんでした。その結果、特定の場合に、DISA STIG 準拠システムで clevis luks bind が失敗することがありました。この更新により、パスワードポリシーを通過するランダムなパスワードを生成するように設計されたユーティリティーを使用してパスワードが生成され、説明されているシナリオで clevis luks binding が成功するようになりました。(BZ#1500975)

WinSCP 5.10 が OpenSSH で適切に動作するようになりました

以前は、OpenSSHWinSCP バージョン 5.10 を古いバージョン 5.1 として誤って認識していました。その結果、WinSCP バージョン 5.1 の互換性ビットが WinSCP 5.10 に対して有効になり、新しいバージョンは OpenSSH で適切に動作しませんでした。この更新により、バージョンセレクターが修正され、WinSCP 5.10 が OpenSSH サーバーで適切に動作するようになりました。(BZ#1496808)

SFTP では読み取り専用モードで長さゼロのファイルを作成できなくなりました

この更新より前は、OpenSSH SFTP サーバーの process_open 関数は、読み取り専用モードでの書き込み操作を適切に防止しませんでした。その結果、攻撃者は長さゼロのファイルを作成することができました。今回の更新により、この機能は修正され、SFTP サーバーは読み取り専用モードでのファイルの作成を許可されなくなりました。(BZ#1517226)

第34章 サーバーおよびサービス

内部バッファーロックが libdb でデッドロックを引き起こさなくなりました

以前は、libdb データベースは、カーソル上の操作の処理中にオフページ重複 (OPD) ツリーにあるページにアクセスするときに、内部バッファーを正しい順序でロックしませんでした。書き込みプロセスは最初にプライマリーツリーにアクセスし、次に OPD ツリーにアクセスし、読み取りプロセスは逆の順序で同じことを実行しました。ライタープロセスがプライマリーツリーからページにアクセスし、リーダープロセスが OPD ツリーからページにアクセスすると、ページが他のプロセスによって同時にロックされたため、プロセスは他のツリーからページにアクセスできませんでした。その結果、どちらのプロセスもロックを解放しなかったため、libdb でデッドロックが発生しました。今回の更新により、cursor->get メソッドの btree バージョンが変更され、書き込みメソッドと同じ順序 (つまり、最初にプライマリーツリー、次に OPD ツリー) でツリーのページをロックするようになりました。その結果、説明されているシナリオでは libdb のデッドロックが発生しなくなります。(BZ#1349779)

毎週のログローテーションがより予測可能にトリガーされるようになりました

毎週のログローテーションは、以前は、最後のローテーションからちょうど 7 日 (604800 秒) が経過したときに、logrotate ユーティリティーによって実行されていました。したがって、logrotate コマンドが cron ジョブによって少し早くトリガーされた場合、ローテーションは次の実行まで遅延されました。この更新により、毎週のログローテーションでは正確な時間が無視されます。その結果、日カウンターが最後のローテーションから 7 日以上進むと、新しいローテーションがトリガーされます。(BZ#1465720)

大きな PDF ファイルの処理中に Ghostscript が クラッシュしなくなりました

以前は、大きな PDF ファイルを処理すると、特定のまれな状況で Ghostscript ユーティリティーが予期せず終了することがありました。この更新により、GhostScript 仮想マシンの内部制限 DEFAULT_VM_THRESHOLD が増加し、前述の問題は発生しなくなります。さらに、大きなファイルの処理が若干速くなりました。(BZ#1479852)

Ghostscript を使用した大きな PDF ファイルの PNG への変換が失敗しなくなりました

アップストリームのソースコードのバグにより、ghostscript ユーティリティーを使用して大きな PDF ファイルを PNG 形式に変換すると、特定のまれな状況で失敗しました。このバグは修正され、上記の問題が発生しなくなりました。(BZ#1473337)

IPv6 ポートにバインドできないときに krfb がクラッシュしなくなりました

以前は、krfb が IPv6 ポートにバインドできないときに VNC クライアントを使用して krfb アプリケーションに接続すると、krfb が予期せず終了していました。この更新により、初期化されていない IPv6 ソケットの不適切な処理が修正され、libvncserver ライブラリー上に構築されたアプリケーションが、IPv6 ポートでのリッスン試行の失敗に正しく対処できるようになりました。(BZ#1314814)

mod_nss は Apache のスレッドモデルを適切に検出してパフォーマンスを向上させます

以前は、mod_nss モジュールは Apache でスレッドモデルを適切に検出していませんでした。その結果、TLS セッション ID がハンドシェイク間で維持されず、ハンドシェイクごとに新しいセッション ID が生成されるため、ユーザーはパフォーマンスの低下を経験しました。この更新により、スレッドモデルの検出が修正されました。その結果、TLS セッション ID が適切にキャッシュされるようになり、前述のパフォーマンスの問題が解消されました。(BZ#1461580)

atd は 100% の CPU 使用率で実行されなくなり、システムログもいっぱいになりません

以前は、at ユーティリティーの atd デーモンは、一部の種類の壊れたジョブ、特に存在しないユーザーのジョブを誤って処理していました。その結果、atd は利用可能なすべての CPU リソースを使い果たし、無制限の頻度で送信されるメッセージによってシステムログがいっぱいになりました。今回の更新により、atd による壊れたジョブの処理が修正され、問題は発生しなくなります。(BZ#1481355)

ReaR は、grub2-efi-x64-modules が見つからない場合に、より役立つエラーメッセージを提供するようになりました。

以前は、rear mkrescue コマンドおよび rear mkbackup コマンドを使用して UEFI システム上で ReaR バックアップを作成しようとすると、grub2-efi-x64-modules パッケージが欠落しているために失敗していました。このパッケージはデフォルトではインストールされませんが、ReaR が GRUB イメージを生成するために必要です。コマンドは次のエラーメッセージで失敗しました。
ERROR: Error occurred during grub2-mkimage of BOOTX64.efi
このメッセージはわかりにくく、役に立たないことが判明しました。この更新では、同じ状況でエラーが引き続き表示されますが、問題を修正する方法が示されています。
WARNING: /usr/lib/grub/x86_64-efi/moddep.lst not found, grub2-mkimage will likely fail. Please install the grub2-efi-x64-modules package to fix this.
更新されたメッセージで説明されているように、UEFI ファームウェアを備えたシステムで ReaR バックアップを作成する前に、欠落している grub2-efi-x64-modules パッケージをインストールする必要があります。(BZ#1492177)

ReaRmkrescue 操作中にディスクサイズの決定に失敗しなくなりました

以前は、ReaR (Relax-and-Recover) ユーティリティーは、ディスクレイアウトを保存するときにパーティションサイズをクエリーしているときに、udev との競合状態が原因でエラーが発生することがありました。その結果、mkrescue 操作は次のメッセージが表示されて失敗しました。
ERROR: BUG BUG BUG! Could not determine size of disk
そのため、レスキューイメージを作成することができませんでした。バグは修正され、レスキューイメージの作成が想定どおりに機能するようになりました。(BZ#1388653)

ReaR は 非 UEFI システムで dosfsckefibootmgr を必要としなくなりました

以前は、ReaR (Relax-and-Recover) は、UEFI を使用しないシステムに dosfsck および efibootmgr ユーティリティーをインストールすることを誤って要求していました。その結果、ユーティリティーが欠落している場合、rear mkrescue コマンドはエラーで失敗しました。このバグは修正され、ReaR では前述のユーティリティーを UEFI システムにのみインストールする必要があります。(BZ#1479002)

ReaRNetBackup で障害が発生しなくなり、より信頼性の高いネットワーク設定になりました。

以前は、レスキューシステムの起動手順に 2 つの問題があったため、NetBackup 方式を使用した場合に ReaR (Relax-and-Recover) リストアプロセスが失敗していました。システムの init スクリプトは、ReaR で使用されるときに実行されるのではなく、ソースされていました。その結果、NetBackup init スクリプトはシステムセットアッププロセスを中止しました。さらに、システムセットアップによって作成されたプロセスはすぐに終了されました。これは dhclient ツールにも影響し、場合によっては IP アドレスの競合が発生しました。今回の更新では、両方のバグが修正されました。その結果、ReaRNetBackup 方式で適切に動作し、DHCP を使用したネットワーク設定の信頼性が向上しました。(BZ#1506231)

バックアップ整合性チェックが有効になっている場合でも ReaR リカバリーが失敗しなくなりました

以前は、ReaR (Relax-and-Recover) がバックアップ整合性チェック (BACKUP_INTEGRITY_CHECK=1) を使用するように設定されている場合、md5sum コマンドがバックアップアーカイブを見つけられなかったため、リカバリープロセスは常に失敗していました。このバグは修正され、上記の問題が発生しなくなりました。(BZ#1532676)

第35章 ストレージ

空の文字列に機能を追加するときに DM Multipath がクラッシュしなくなりました

以前は、機能文字列のないビルトインデバイス設定の機能文字列に機能を追加しようとすると、DM Multipath サービスが予期せず終端しました。今回の更新により、DM Multipath はまず機能文字列が存在するかどうかを確認し、必要に応じて機能文字列を作成します。その結果、存在しない機能文字列を変更しようとしても DM Multipath がクラッシュしなくなりました。(BZ#1459370)

RAID1 で I/O 操作がハングしなくなりました

以前は、カーネルは dm-raid で複数デバイス (MD) I/O エラーを適切に処理できませんでした。その結果、I/O が応答しなくなることがありました。今回の更新により、dm-raid は I/O エラーを正しく処理するようになり、RAID1 で I/O 操作がハングしなくなりました。(BZ#1506338)

第36章 システムおよびサブスクリプション管理

特定の NSS および NSPR 更新シナリオで YUM がクラッシュしなくなりました

以前は、yum インストーラーが nssnspr パッケージのバージョンの特定の組み合わせを更新すると、次のシンボル検索エラーが原因でトランザクションが途中で終了することがありました。
/lib64/libnsssysinit.so: undefined symbol: PR_GetEnvSecure
これにより、古い rpm ロックが発生しました。Yum は、この特定の nss および nspr 更新シナリオに正しく対処できるように更新されました。その結果、説明されているシナリオでは yum は終了しなくなりました。(BZ#1458841)

fastestmirror プラグインは、メタデータのダウンロード前にミラーを命令するようになりました。

以前は、キャッシュのクリーンアップ後に初めて yum インストーラーを実行するときに、fastestmirror プラグインはメタデータのダウンロード前に最速のミラーを選択しませんでした。これにより、一部のミラーが遅いか使用できない場合に遅延が発生することがありました。この更新により、メタデータのダウンロード前のミラー選択に影響を与えるように、fastestmirror プラグインが変更されました。その結果、メタデータのダウンロード前にミラーがポーリングされて配置され、そのような遅延が防止されます。(BZ#1428210)

package-cleanup スクリプトは、重複しないパッケージの依存関係を削除しなくなりました

以前は、--cleandupes オプションを指定して package-cleanup スクリプトを実行すると、重複に依存するパッケージも削除されました。その結果、一部のパッケージが意図せず削除されてしまいました。この更新により、重複しないパッケージの依存関係をスキップするように package-cleanup スクリプトが修正されました。代わりに、package-cleanup スクリプトは、回避策の提案を含む警告を出力します。(BZ#1455318)

rhnsd.pid は所有者のみが書き込み可能になりました

Red Hat Enterprise Linux 7.4 では、/var/run/rhnsd.pid ファイルのデフォルトの権限が -rw-rw-rw- に変更されました。。この設定は安全ではありませんでした。今回の更新により、変更は元に戻され、/var/run/rhnsd.pid のデフォルトの権限は -rw-r--r-- になりました。。(BZ#1480306)

rhn_check はシステムの再起動を Satellite に正しく報告するようになりました。

以前は、rhn_check の実行中に Satellite クライアントのシステム再起動が発生した場合、rhn_check はその終了を Satellite に報告しませんでした。その結果、Satellite の rhn_check のステータスは更新されませんでした。今回の更新により、この誤った動作が修正され、rhn_check がシステムの再起動を処理し、正しいステータスを Satellite に報告するようになりました。(BZ#1494389)

rpm rhnlib -qi コマンドは、現在の上流プロジェクトの Web サイトを参照するようになりました。

以前は、rhnlib パッケージの RPM 情報が、非推奨の上流プロジェクト Web サイトを誤って参照していました。今回の更新により、rpm rhnlib -qi コマンドにより、現在のアップストリームプロジェクト Web サイトの URL が表示されます。(BZ#1503953)

rhnsd を使用したカーネルのインストールが正常に完了しました

カーネルによってスケジュールされたカーネルのインストールが Red Hat Network Daemon (rhnsd) を使用して実行された場合、カーネルのインストールが完了前に停止することがありました。この問題は修正され、rhnsd を使用したカーネルのインストールが正常に完了するようになりました。(BZ#1475039)

rhn_check/var/cache/yum/ 内のファイルのアクセス許可を変更しなくなりました

以前は、Red Hat Network Daemon (rhnsd) が rhn_check コマンドを実行すると、このコマンドによって /var/cache/yum/ ディレクトリー内のファイルのアクセス権が誤って変更され、脆弱性が発生していました。このバグは修正され、rhn_check/var/cache/yum/ ディレクトリー内のファイルのアクセス許可を変更しなくなりました。(BZ#1489989)

ベンダーに非 UTF8 文字が含まれている場合、subscription-managerRPM パッケージを報告します

以前は、subscription-manager ユーティリティーは、RPM パッケージベンダーフィールドで UTF-8 データを想定していました。その結果、システムにインストールされている RPM に非 UTF8 文字を使用するベンダーが含まれている場合、subscription-manager はパッケージを報告できませんでした。今回の更新により、RPM パッケージベンダーフィールドのエンコードの問題を無視するように subscription-manager が更新されました。その結果、インストールされている RPM に非 UTF8 ベンダーが含まれている場合でも、subscription-manager はパッケージプロファイルを正しく報告します。(BZ#1519512)

subscription-managerHost ヘッダーを想定するプロキシーで動作するようになりました

以前は、subscription-manager ユーティリティーには、接続時に Host ヘッダーが含まれていなかったため、Host ヘッダーを期待するプロキシーと互換性がありませんでした。この更新により、subscription-manager には接続時に Host ヘッダーが含まれ、これらのプロキシーと互換性があります。(BZ#1507158)

subscription-manager は、最初の DNS 解決が失敗した場合でも、有効な IPv4 アドレスを network.ipv4_address に割り当てます。

以前は、subscription-manager ユーティリティーがシステムの IPv4 アドレスの解決に失敗すると、network.ipv4_address ファクトにループバックインターフェイスアドレス 127.0.0.1 が誤って割り当てられていました。この問題は、有効な IP アドレスを持つ有効なインターフェイスが存在する場合でも発生しました。この更新により、subscription-manager がシステムの IPv4 アドレスの解決に失敗した場合、ループバックインターフェイスを除くすべてのインターフェイスから IPv4 アドレスを収集し、network.ipv4_address ファクトに有効な IPv4 アドレスを割り当てます。(BZ#1476817)

virt-who は、提供されたオプションが同じ仮想化タイプに適合することを保証します

今回の更新により、virt-who ユーティリティーは、ユーザーが指定したすべてのコマンドラインオプションが意図した仮想化タイプと互換性があることを確認します。さらに、virt-who が互換性のないオプションを検出すると、対応するエラーメッセージが表示されます。(BZ#1461417)

virt-who 設定がアップグレードまたは再インストール時にリセットされなくなりました

以前は、virt-who をアップグレードまたは再インストールすると、/etc/virt-who.conf ファイルの設定がデフォルト値にリセットされました。この更新により、設定ファイルの上書きを防ぐために virt-who のパッケージが変更され、前述の問題は確実に発生しなくなります。(BZ#1485865)

virt-who は、RHEVM によって提供されるアドレスフィールドを読み取り、正しいホスト名を検出して報告するようになりました。

以前は、virt-who ユーティリティーが Red Hat Virtualization (RHV) ホストについて報告し、hypervisor_id=hostname オプションが使用されている場合、virt-who は誤ったホスト名の値を表示していました。この更新により、virt-who は上記の状況で正しいフィールド値を読み取り、その結果、適切なホスト名が表示されるようになります。(BZ#1389729)

第37章 仮想化

ゲストが再起動中に予期せずシャットダウンすることがなくなりました

qemu-kvm-1.5.3-139.el7 で実行されている Red Hat Enterprise Linux 7.4 ゲストでは、i6300esb watchdogpoweroff に設定されている場合、タイムアウトが正しく計算されていないため、シャットダウン時に watchdog がトリガーされました。その結果、ゲストを再起動すると、代わりにシャットダウンされてしまいました。この更新により、qemu-kvm のタイムアウト計算が修正されました。その結果、仮想マシンは適切に再起動します。(BZ#1470244)

シリアルコンソールを使用してアクセスしたゲストが応答しなくなることはなくなりました

以前は、クライアントが KVM ゲスト pty シリアルコンソール上でホスト側の疑似端末デバイス (pty) を開いてそこから読み取りを行わなかった場合、読み取り/書き込み呼び出しがブロックされているためにゲストが応答しなくなる場合がありました。この更新により、ホスト側の pty オープンモードがノンブロッキングに設定されました。その結果、説明したシナリオではゲストマシンが応答しなくなることはありません。(BZ#1455451)

virt-v2v は PCI パススルーデバイスを変換しないことについて警告するようになりました

virt-v2v ユーティリティーは現在、PCI パススルーデバイスを変換できないため、変換プロセスで無視されます。ただし、この更新より前は、PCI パススルーデバイスを使用してゲスト仮想マシンを変換しようとすると、ゲストは正常に変換されましたが、無視された PCI パススルーデバイスに関する警告は表示されませんでした。このようなゲストを変換すると、変換中に適切な警告メッセージが記録されるようになりました。(BZ#1472719)

OVA をインポートするときに、virt-v2v が MAC アドレスを解析するようになりました。

以前は、virt-v2v ユーティリティーは、Open Virtual Appliance (OVA) をインポートするときにネットワークインターフェイスの MAC アドレスを解析しませんでした。その結果、変換されたゲスト仮想マシンには異なる MAC アドレスを持つネットワークインターフェイスが存在し、ネットワークセットアップが中断されました。このリリースでは、virt-v2v は、OVA のインポート時にネットワークインターフェイスの MAC アドレス (可能な場合) を解析します。その結果、ネットワークに変換されたゲストは、OVA で指定されているものと同じ MAC アドレスを持ち、ネットワーク設定は中断されません。(BZ#1506572)

パート III. テクノロジープレビュー

ここでは、Red Hat Enterprise Linux 7.5 で利用可能なすべてのテクノロジープレビュー機能の一覧を提示します。
テクノロジープレビュー機能に対する Red Hat のサポート範囲の詳細は、https://access.redhat.com/support/offerings/techpreview/ を参照してください。

第38章 全般的な更新

systemd-importd 仮想マシンおよびコンテナーイメージのインポートおよびエクスポートのサービス

最新版の systemd バージョンには、以前のビルドでは有効でなかった systemd-importd デーモンが含まれており、これにより machinectl pull-* コマンドが失敗していました。systemd-importd デーモンはテクノロジープレビューとして提供され、安定性に欠けると見なされている点に注意してください。(BZ#1284974)

第39章 認証および相互運用性

AD および LDAP の sudo プロバイダーの使用

AD (Active Directory) プロバイダーは、AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 以降では、AD sudo プロバイダーを LDAP プロバイダーとともに使用することがテクノロジープレビューとして利用できます。AD sudo プロバイダーを有効にするには、sssd.conf ファイルターミナルの [domain] セクションにsudo_provider=ad 設定を追加します。(BZ#1068725)

DNSSEC が IdM でテクノロジープレビューとして利用可能になりました。

統合 DNS のある Identity Management (IdM) サーバーは、DNS プロトコルのセキュリティーを強化する DNS に対する拡張セットである DNS Security Extensions (DNSSEC) に対応するようになりました。IdM サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。
DNSSEC で DNS ゾーンの安全性を強化する場合は、以下のドキュメントを参照することが推奨されます。
統合 DNS のある IdM サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 回答を検証することに注意してください。これは、Red Hat Enterprise Linux Networking Guide https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices で説明されている、推奨される命名方法に従って設定されていない DNS ゾーンの可用性に影響を与える可能性があります。(BZ#1115294)

Identity Management JSON-RPC API がテクノロジープレビューとして利用可能になりました。

Identity Management (IdM) では API が利用できます。API を表示するために、IdM は、テクノロジープレビューとして API ブラウザーも提供します。
Red Hat Enterprise Linux 7.3 では、複数のバージョンの API コマンドを有効にするために、IdM API が拡張されました。以前は、機能拡張により、互換性のない方法でコマンドの動作が変更することがありました。IdM API を変更しても、既存のツールおよびスクリプトを引き続き使用できるようになりました。これにより、以下が可能になります。
  • 管理者は、管理しているクライアント以外のサーバーで、IdM の以前のバージョンもしくは最近のバージョンを使用できます。
  • サーバーで IdM のバージョンを変更しても、開発者は特定バージョンの IdM コールを使用できます。
すべてのケースでサーバーとの通信が可能になります。たとえば、ある機能向けの新オプションが新しいバージョンに追加されていて、通信の一方の側でこれを使用していたとしても、特に問題はありません。
API の使用方法は、https://access.redhat.com/articles/2728021 (BZ#1298286) 参照してください。

Custodia シークレットサービスプロバイダーが利用可能に

テクノロジープレビューとして、シークレットサービスプロバイダーの Custodia を使用できるようになりました。Custodia は鍵やパスワードなどのシークレットのプロキシーとして保存または機能します。
詳細は、http://custodia.readthedocs.io のアップストリームのドキュメントを参照してください。(BZ#1403214)

コンテナー化された Identity Management サーバーがテクノロジープレビューとして利用可能に

rhel7/ipa-server コンテナーイメージはテクノロジープレビュー機能として利用できます。rhel7/sssd コンテナーイメージが完全にサポートされるようになりました。

第40章 クラスタリング

pcs ツールが Pacemaker でバンドルリソースを管理

Red Hat Enterprise Linux 7.4 以降のテクノロジープレビューとして、pcs ツールはバンドルリソースに対応します。これで、pcs resource bundle create コマンドおよび pcs resource bundle update コマンドを使用して、バンドルを作成および変更できるようになります。pcs resource create コマンドを使用すると、既存バンドルにリソースを追加できます。bundle リソースに設定できるパラメーターの詳細については、pcs resource bundle --help コマンドを実行してください。(BZ#1433016)

新しい fence-agents-heuristics-ping フェンスエージェント

Pacemaker は、テクノロジープレビューとして fence_heuristics_ping エージェントに対応するようになりました。このエージェントの目的は、実際にはフェンシングを行わず、フェンシングレベルの動作を新しい方法で活用する実験的なフェンスエージェントのクラスを開くことです。
ヒューリスティックエージェントが、実際のフェンシングを行うフェンスエージェントと同じフェンシングレベルで設定されいて、そのエージェントよりも順番が前に設定されているとします。その場合、フェンシグを行うエージェントで off 操作を行う前に、ヒューリスティックエージェントで、この操作を行います。このヒューリスティックエージェントが off アクションに対して失敗する場合、このフェンシングレベルが成功しないのは既に明らかです。そのため、Pacemaker フェンシングは、フェンシングを行うエージェントで off 操作を行うステップをスキップします。ヒューリスティックエージェントはこの動作を利用して、特定の条件下で、実際のフェンシングを行うエージェントがフェンシングできないようにできます。
サービスを適切に引き継ぐことができないことを事前に把握できる場合は、ノードがピアをフェンシングする意味がないのであれば、ユーザーは特に 2 ノードクラスターでこのエージェントを使用できます。たとえば、ネットワークアップリンクに到達してサービスがクライアントに到達できない場合は、ノードがサービスを引き継ぐ意味はありません。これは、ルーターへの ping が検出できる状況が考えられます。(BZ#1476401)

テクノロジープレビューとして corosync-qdevice でサポートされるヒューリスティック

ヒューリスティックは、起動、クラスターメンバーシップの変更、corosync-qnetd への正常な接続でローカルに実行され、任意で定期的に実行される一連のコマンドです。すべてのコマンドが時間どおりに正常に終了すると (返されるエラーコードがゼロである場合)、ヒューリスティックは渡されますが、それ以外の場合は失敗します。ヒューリスティックの結果は corosync-qnetd に送信され、クオーラムとなるべきパーティションを判断するための計算に使用されます。(BZ#1413573, BZ#1389209)

第41章 デスクトップ

Wayland がテクノロジープレビューとして利用可能に

Wayland ディスプレイサーバープロトコルが、Red Hat Enterprise Linux でテクノロジープレビューとして利用できるようになりました。この更新では、分数スケーリングをサポートする GNOME で Wayland サポートを有効にするために必要な依存パッケージが追加されます。Wayland は、libinput ライブラリーを入力ドライバーとして使用します。
以下の機能は、現在利用できない、または正常に機能しない状態です。
  • 複数の GPU のサポートは不可能です。
  • Wayland では、NVIDIA バイナリードライバーが有効ではありません。
  • xrandr ユーティリティーは、解像度、ローテーション、およびレイアウトの処理方法が異なるため、Wayland では有効ではありません。
  • 画面の録画、リモートデスクトップ、およびアクセシビリティーは、Wayland では正常に機能しない場合があります。
  • クリップボードマネージャーは利用できません。
  • WaylandGNOME Shell を再起動することはできません。
  • Wayland は、仮想マシンビューアーなどの X11 アプリケーションのキーボードグラブを無視します。(BZ#1481411)

分数スケールがテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.5 以降の GNOME では、DPI が低 (scale 1) と高 (scale 2) の中間になってしまうモニターの問題に対処するため、分数スケールがテクノロジープレビューとして提供されています。
技術的な制限により、分数スケールは Wayland でのみ利用できます。(BZ#1481395)

第42章 ファイルシステム

ファイルシステム DAX が、テクノロジープレビューとして ext4 および XFS で利用可能

Red Hat Enterprise Linux 7.3 以降、Direct Access (DAX) は、テクノロジープレビューとして、永続メモリーをそのアドレス領域に直接マッピングする手段を提供します。
DAX を使用するには、システムで利用可能な永続メモリーの形式が必要になります。通常は、NVDIMM (Non-Volatile Dual In-line Memory Module) の形式で、DAX に対応するファイルシステムを NVDIMM に作成する必要があります。また、ファイルシステムは、dax マウントオプションでマウントする必要があります。これにより、dax をマウントしたファイルシステムのファイルの mmap が、アプリケーションのアドレス空間にストレージを直接マッピングされます。(BZ#1274459)

pNFS ブロックレイアウトが利用可能に

テクノロジープレビューとして、Red Hat Enterprise Linux クライアントがブロックレイアウト機能を設定して pNFS 共有をマウントできるようになりました。
Red Hat では、ブロックレイアウトと類似し、より使いやすい pNFS SCSI レイアウトの使用が推奨される点に注意してください。(BZ#1111712)

pNFS SCSI レイアウトがクライアントとサーバーで利用可能になりました

並列 NFS (pNFS) SCSI レイアウトのクライアントおよびサーバーのサポートは、Red Hat Enterprise Linux 7.3 以降のテクノロジープレビューとして提供されます。ブロックレイアウトの作業に基づいて、pNFS レイアウトは SCSI デバイス全体で定義され、SCSI 永続予約をサポートできる必要がある論理ユニットとして一連の固定サイズブロックが含まれています。論理ユニット (LU) デバイスは、SCSI デバイス識別子で識別され、フェンシングは予約の割り当てを介して処理されます。(BZ#1305092)

OverlayFS

OverlayFS は、ユニオンファイルシステムのタイプです。ユーザーは、あるファイルシステムに別のファイルシステムを重ねることができます。変更は上位のファイルシステムに記録され、下位のファイルシステムは変更しません。これにより、ベースイメージが読み取り専用メディアにあるコンテナーや DVD-ROM などのファイルシステムイメージを、複数のユーザーが共有できるようになります。詳細は、カーネルファイル Documentation/filesystems/overlayfs.txt を参照してください。
OverlayFS は、ほとんどの状況で引き続き Red Hat Enterprise Linux 7.5 のテクノロジープレビューになります。このため、OverlayFS を有効にすると、カーネルにより警告のログが記録されます。
Docker で次の制約を付けて使用する場合は、OverlayFS が完全対応となります。
  • OverlayFS は Docker のグラフドライバーとして使用する場合にのみサポートされます。サポートはコンテナー COW コンテンツでの使用に限定され、永続ストレージとしてはサポートされません。永続ストレージは OverlayFS 以外のボリュームに配置している場合に限りサポートの対象となります。使用できるのはデフォルトの Docker 設定のみです。つまり、オーバーレイレベル 1 つ、下層側ディレクトリー 1 つ、同じファイルシステムに配置された上層レベルと下層レベルという設定です。
  • 下層ファイルシステムとして使用がサポートされているのは現在 XFS のみです。
  • Red Hat Enterprise Linux 7.3 以前では、物理マシンで SELinux を有効にして Enforcing モードに設定しておく必要がありますが、コンテナーを分離する場合は、コンテナーで無効にする必要があります。つまり、/etc/sysconfig/docker ファイルに --selinux-enabled を追加しないでください。Red Hat Enterprise Linux 7.4 以降では、OverlayFS は SELinux セキュリティーラベルに対応しているため、/etc/sysconfig/docker--selinux-enabled を指定すると、コンテナーで SELinux サポートを有効にできます。
  • OverlayFS カーネル ABI とユーザー空間の動作については安定性に欠けると見なされているため、今後の更新で変更が加えられる可能性があります。
  • コンテナー内で yum および rpm のユーティリティーを正常に機能させるには、yum-plugin-ovl パッケージを使用する必要があります。
OverlayFS は制限付きで POSIX 標準セットを提供しています。OverlayFS を使用してアプリケーションをデプロイする前に、アプリケーションを十分にテストしてください。
オーバーレイとして使用するように -n ftype=1 オプションを有効にして、XFS ファイルシステムを作成する必要がある点に注意してください。システムのインストール時に作成された rootfs およびファイルシステムを使用して、Anaconda キックスタートに --mkfsoptions=-n ftype=1 パラメーターを設定します。インストール後に新しいファイルシステムを作成する場合は、# mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE コマンドを実行します。既存のファイルシステムがオーバーレイとして使用できるかどうかを確認するには、# xfs_info /PATH/TO/DEVICE | grep ftype コマンドを実行して、ftype=1 オプションが有効になっているかどうかを確認します。
Red Hat Enterprise Linux 7.5 リリース以降、OverlayFS には既知の問題が複数存在します。詳細は、Documentation/filesystems/overlayfs.txt ファイルの Non-standard behavior を参照してください。(BZ#1206277)

Btrfs ファイルシステム

Btrfs (B-Tree) ファイルシステムは、Red Hat Enterprise Linux 7 でテクノロジープレビューとして利用できます。
この機能の更新は、Red Hat Enterprise Linux 7.4 で最後となることが予定されています。Btrfs が非推奨になりました。つまり、Red Hat は、Btrfs を完全にサポートされる機能とせず、今後の Red Hat Enterprise Linux メジャーリリースで削除する予定です。(BZ#1477977)

新しいパッケージ: ima-evm-utils

ima-evm-utils パッケージは、ファイルシステムにラベルを付け、Integrity Measurement Architecture (IMA) および Extended Verification Module (EVM) 機能を使用して実行時にシステムの整合性を検証するユーティリティーを提供します。これらのユーティリティーを使用すると、ファイルが誤ってまたは悪意をもって変更されたかどうかを監視できます。
ima-evm-utils パッケージがテクノロジープレビューとして利用できるようになりました。(BZ#1384450)

第43章 ハードウェアの有効化

LSI Syncro CS HA-DAS アダプター

Red Hat Enterprise Linux 7.1 には、LSI Syncro CS の HA-DAS (high-availability direct-attached storage) アダプターを有効にするため、megaraid_sas ドライバーにコードが含まれていました。megaraid_sas ドライバーは、これまで有効であったアダプターに対して完全にサポートされますが、Syncro CS に対してはテクノロジープレビューとして提供されます。このアダプターのサポートは、LSI、システムインテグレーター、またはシステムベンダーにより直接提供されます。Red Hat Enterprise Linux 7.2 以上に Syncro CS をデプロイする場合は、Red Hat および LSI へのフィードバックにご協力ください。LSI Syncro CS ソリューションの詳細は、http://www.lsi.com/products/shared-das/pages/default.aspx を参照してください。(BZ#1062759)

tss2 で IBM Power LE に対して TPM 2.0 が有効に

tss2 パッケージにより、IBM Power LE アーキテクチャー向けに、テクノロジープレビューとして Trusted Computing Group Software Stack (TSS) 2.0 の IBM 実装が追加されます。このパッケージにより、TPM 2.0 デバイスとの対話が可能になります。(BZ#1384452)

ibmvnic デバイスドライバー

Red Hat Enterprise Linux 7.3 以降、ibmvnic デバイスドライバーは IBM POWER アーキテクチャーのテクノロジープレビューとして利用できるようになりました。vNIC (仮想ネットワークインターフェイスコントローラー) は、エンタープライズ機能を提供し、ネットワーク管理を簡素化する PowerVM 仮想ネットワーキングテクノロジーです。SR-IOV NIC と組み合わせると、仮想 NIC レベルで帯域幅制御サービス品質 (QoS) 機能が提供される、高性能で効率的な技術です。vNIC は、仮想化のオーバーヘッドを大幅に削減するため、ネットワーク仮想化に必要な CPU やメモリーなど、待機時間が短縮され、サーバーリソースが少なくなります。(BZ#1391561, BZ#947163)

第44章 カーネル

HMM (heterogeneous memory management) 機能がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.3 では、テクノロジープレビューとして heterogeneous memory management (HMM) 機能が導入されました。この機能は、プロセスアドレス空間を独自のメモリー管理ユニット (MMU) にミラーする必要のあるデバイスのヘルパーレイヤーとして、カーネルに追加されています。これにより、CPU 以外のデバイスプロセッサーは、統一システムアドレス空間を使用してシステムメモリーを読み取ることができます。この機能を有効にするには、experimental_hmm=enable をカーネルコマンドラインに追加します。(BZ#1230959)

criu がバージョン 3.5 にリベース

Red Hat Enterprise Linux 7.2 では、テクノロジープレビューとしてcriu ツールが導入されました。このツールは、実行中のアプリケーションをフリーズさせ、ファイルの集合としてこれを保存する Checkpoint/Restore in User-space (CRIU) を実装します。アプリケーションは、後にフリーズ状態から復元できます。
criu ツールは Protocol Buffers に依存することに注意してください。これは、構造化データをシリアル化するための、言語とプラットフォームに中立的な拡張性のあるメカニズムです。依存パッケージを提供する protobuf パッケージと protobuf-c パッケージも、Red Hat Enterprise Linux 7.2 にテクノロジープレビューとして導入されています。
Red Hat Enterprise Linux 7.5 では、criu パッケージがアップストリームバージョン 3.5 にアップグレードされ、多くのバグ修正と機能拡張が提供されています。さらに、IBM Z および 64 ビット ARM アーキテクチャーのサポートが追加されました。(BZ#1400230, BZ#1464596)

kexec がテクノロジープレビューとして利用可能に

kexec システムコールはテクノロジープレビューとして提供されています。このシステムコールを使用すると現在実行中のカーネルから別のカーネルを読み込んだり、起動したりすることが可能で、カーネル内のブートローダーとして機能します。通常はシステム起動中に実行されるハードウェアの初期化が kexec の起動中に行われないため、再起動にかかる時間が大幅に短縮されます。(BZ#1460849)

テクノロジープレビューとしての kexec fast reboot

テクノロジープレビューとして、今回の更新でkexec fast reboot 機能が追加され、再起動の速度が大幅に速くなりました。この機能を使用するには、kexec カーネルを手動で読み込んでから、オペレーティングシステムを再起動する必要があります。kexec fast reboot をデフォルトの再起動アクションにすることはできません。
特例は、Anacondakexec fast reboot を使用する場合です。この場合でも、kexec fast reboot をデフォルトにすることはできません。ただし、Anaconda と併用すると、anaconda オプションを使用してカーネルを起動してインストールが完了したあと、オペレーティングシステムが自動的に kexec fast reboot を使用します。kexec の再起動スケジュールを設定するには、カーネルコマンドラインの inst.kexec コマンドを使用するか、キックスタートファイルに reboot --kexec 行を追加します。(BZ#1464377)

名前空間への非特権アクセスは、テクノロジープレビューとして有効化できる

必要に応じて、namespace.unpriv_enable カーネルコマンドラインオプションをテクノロジープレビューとして設定できるようになりました。
デフォルト設定は off です。
1 に設定すると、非特権ユーザーとしてフラグ CLONE_NEWNS を持つ clone() 関数の呼び出しを発行したときにエラーが返されなくなり、操作が可能になります。
ただし、名前空間への非特権アクセスを有効にするには、一部のユーザー名前空間で CAP_SYS_ADMIN フラグを設定して、マウント名前空間を作成する必要があります。(BZ#1350553)

qla2xxx ドライバーでのテクノロジープレビューとしての SCSI-MQ

Red Hat Enterprise Linux 7.4 で更新された qla2xxx& ドライバーは、ql2xmqsupport=1 モジュールパラメーターで SCSI-MQ (multiqueue) を使用できるようになりました。デフォルトの値は 0 (無効) です。SCSI-MQ の機能は、qla2xxx ドライバーで使用する際のテクノロジープレビューとして提供されます。
SCSI-MQ を使用してファイバーチャネルアダプター上での非同期 IO のパフォーマンステストを実施したところ、特定の条件下ではパフォーマンスが大幅に低下した点に注意してください。修正はテスト中で、Red Hat Enterprise Linux 7.4 の一般提供に間に合うように準備できませんでした。(BZ#1414957)

NVMe over Fibre Channel がテクノロジープレビューとして利用可能になりました

NVMe over Fibre Channel トランスポートタイプがテクノロジープレビューとして利用できるようになりました。Red Hat Enterprise Linux に同梱されていた RDMA (Remote Direct Memory Access) プロトコルに加えて、NVMe over Fibre Channel が、NVMe (Nonvolatile Memory Express) プロトコルのファブリックトランスポートタイプとして追加されました。
lpfc ドライバーで NVMe over Fibre Channel を有効にするには、/etc/modprobe.d/lpfc.conf ファイルを編集し、次のオプションの 1 つまたは両方を追加します。
  • NVMe 動作モードを有効にするには、lpfc_enable_fc4_type=3 オプションを追加します。
  • ターゲットモードを有効にするには、lpfc_enable_nvmet=<wwpn list> オプションを追加します。<wwpn list> は、0x 接頭辞が付いたワールドワイドポート名 (WWPN) 値のコンマ区切りのリストです。
NVMe ターゲットを設定するには、nvmetcli ユーティリティーを使用します。
NVMe over Fibre Channel は、既存の Fibre Channel インフラストラクチャー上で、より高性能で低遅延の I/O プロトコルを提供します。このことは、ソリッドステートストレージアレイで特に重要になります。NVMe ストレージのパフォーマンス上の利点を、別のプロトコル (SCSI) にカプセル化するのではなく、ファブリックトランスポートを通じて渡すことができるためです。
Red Hat Enterprise Linux 7.5 では、NVMe over Fibre Channel は、lpfc ドライバーを使用する Broadcom 32Gbit アダプターでのみ使用できます。(BZ#1387768, BZ#1454386)

perf cqmresctrl に置き換え

Intel Cache Allocation Technology (CAT) が Red Hat Enterprise Linux 7.4 でテクノロジープレビューとして導入されました。ただし、perf インストラクチャーと CQM (Cache Quality of Service Monitoring) ハードウェアサポートの不整合により、perf cqm ツールが正常に機能しませんでした。したがって、perf cqm の使用時にさまざまな問題が生じていました。
主な問題は以下のとおりです。
  • perf cqm が、resctrl を使用して割り当てたタスクのグループに対応しない
  • リサイクルに関するさまざまな問題により、perf cqm が不規則で不正確なデータを提供する
  • 異なるタイプのイベント (例: タスク、全システム、cgroup イベント) を同時に実行する場合に、perf cqm のサポートが不十分である
  • cgroup イベントに対して perf cqm は部分的なサポートしか提供しない
  • cgroup イベントが階層構造を持つ場合、または cgroup 内のタスクと cgroup を同時に監視する場合、cgroup イベントに対する部分的なサポートが機能しない
  • ライフタイムの監視タスクにより perf オーバーヘッドが発生する
  • perf cqm がソケット全体のキャッシュ占有の集計値またはメモリー帯域幅を報告するが、多くのクラウドおよび VMM ベースのユースケースでは、ソケットごとの使用状況が求められる
この更新により、perf cqmresctrl ファイルシステムに基づくアプローチに置き換えられ、前述の問題すべてに対処しました。(BZ#1457533, BZ#1288964)

第45章 Real-Time Kernel

テクノロジープレビューとしての SCHED_DEADLINE スケジューラークラス

Red Hat Enterprise Linux 7.4 で導入されたリアルタイムカーネルの SCHED_DEADLINE スケジューラークラスは、引き続きテクノロジープレビューとして利用できます。スケジューラーにより、アプリケーションの期限に基づいた予測可能なタスクのスケジューリングが可能になりました。SCHED_DEADLINE は、アプリケーションタイマーの操作を減らすことにより、定期的なワークロードにメリットをもたらします。(BZ#1297061)

第46章 ネットワーク

Cisco usNIC ドライバー

UCM (Cisco Unified Communication Manager) サーバーには Cisco 専用の usNIC (User Space Network Interface Controller) を提供するオプション機能があります。これを使用すると、ユーザー空間のアプリケーションに対して RDMA (Remote Direct Memory Access) のような動作を実行できるようになります。テクノロジープレビューとして利用可能な libusnic_verbs ドライバーにより、Verbs API に基づいた標準の InfiniBand RDMA プログラミングを介して usNIC デバイスを使用できます。(BZ#916384)

Cisco VIC カーネルドライバー

Cisco VIC Infiniband のカーネルドライバーをテクノロジープレビューとして利用できます。これにより、専用の Cisco アーキテクチャーで、RDMA (Remote Directory Memory Access) のようなセマンティックが使用可能になります。(BZ#916382)

TNC (Trusted Network Connect)

Trusted Network Connect (TNC) は、テクノロジープレビューとして利用可能で、TLS、802.1X、IPsec など既存のネットワークアクセス制御 (NAC) ソリューションと併用し、エンドポイントのポスチャー評価を一体化します。つまりエンドポイントのシステムの情報を収集します (オペレーティングシステムを設定している設定、インストールしているパッケージ、そのほか整合性測定と呼ばれているもの)。TNC を使用して、このような測定値をネットワークアクセスポリシーと照合してから、エンドポイントがネットワークにアクセスできるようにします。(BZ#755087)

qlcnic ドライバーの SR-IOV 機能

SR-IOV (Single-Root I/O virtualization) のサポートがテクノロジープレビューとして qlcnic ドライバーに追加されています。この機能のサポートは QLogic から直接提供されます。QLogic および Red Hat へのご意見ご感想をお寄せください。qlcnic ドライバーのその他の機能は引き続きフルサポートになります。(BZ#1259547)

libnftnl パッケージおよび nftables パッケージ

Red Hat Enterprise Linux 7.3 以降、nftables および libnftl パッケージはテクノロジープレビューとして利用可能です。
nftables パッケージでは、パケットフィルターリングツールが提供され、従来のパケットフィルターリングツールに比べ、利便性、機能、および性能が数多く改善されました。これは、iptables ユーティリティー、ip6tables ユーティリティー、arptables ユーティリティー、および ebtables ユーティリティーの後継として指定されます。
libnftnl パッケージは、libmnl ライブラリーを介した、nftable Netlink の API との低レベルの対話のためにライブラリーを提供します。(BZ#1332585)

オフロードサポートが付いた flower 分類子

flower はトラフィック制御 (TC) 分類子で、各種プロトコルのパケットフィールドで広く知られているマッチング設定を可能にします。これは、複雑なフィルターリングおよび分類タスクの u32 分類子に対するルールの設定を容易にすることを目的としています。また、flower は、ハードウェアが対応している場合、基盤のハードウェアに分類およびアクションルールをオフロードする機能もサポートします。flower TC 分類子はテクノロジープレビューとして提供されるようになりました。(BZ#1393375)

第47章 Red Hat Enterprise Linux System Roles Powered by Ansible

Red Hat Enterprise Linux システムロール

Red Hat Enterprise Linux システムロール (テクノロジープレビューとして利用可能) は、Red Hat Enterprise Linux サブシステムの設定インターフェイスを提供します。これにより、Ansible Roles を介したシステム設定が簡単になります。このインターフェイスにより、Red Hat Enterprise Linux の複数のバージョンにわたるシステム設定の管理と、新しいメジャーリリースの導入が可能になります。
Red Hat Enterprise Linux 7.4 以降、Red Hat Enterprise Linux システムロールパッケージは Extras チャンネルを介して配布されています。Red Hat Enterprise Linux システムロールの詳細は、https://access.redhat.com/articles/3050101 を参照してください。(BZ#1313263)

第48章 セキュリティー

USBGuard は、画面のロック時に USB デバイスのブロックを有効にする機能をテクノロジープレビューとして提供。

USBGuard フレームワークにより、InsertedDevicePolicy ランタイムパラメーターの値を設定して、すでに実行されている usbguard-daemon インスタンスが、新たに挿入された USB デバイスをどのように処理するかを制御できます。この機能はテクノロジープレビューとして提供されており、デフォルトでは、デバイスを認証するかどうかを判断するポリシールールが適用されます。
ナレッジベース記事 Blocking USB devices while the screen is locked を参照してください: https://access.redhat.com/articles/3230621 (BZ#1480100)

pk12util で、RSA-PSS で署名した証明書のインポートが可能に

pk12util ツールは、テクノロジープレビューとして、RSA-PSS アルゴリズムを使用して署名する証明書をインポートするようになりました。
対応する秘密鍵をインポートして、RSA-PSS への署名アルゴリズムを制限する PrivateKeyInfo.privateKeyAlgorithm フィールドがある場合は、ブラウザーに鍵をインポートするときに無視されることに注意してください。詳細は、https://bugzilla.mozilla.org/show_bug.cgi?id=1413596 を参照してください。(BZ#1431210)

certutil で、RSA-PSS で署名した証明書のサポートが改善

certutil ツールの RSA-PSS アルゴリズムで署名された証明書のサポートが改善されました。主な機能強化および修正は以下のとおりです。
  • --pss オプションのドキュメントが作成されている。
  • 証明書で RSA-PSS の使用が制限されている場合は、自己署名で PKCS#1 v1.5 アルゴリズムが使用されなくなった。
  • subjectPublicKeyInfo フィールドの空の RSA-PSS パラメーターは、証明書の一覧を表示する際に無効と表示されなくなった。
  • RSA-PSS アルゴリズムで署名された通常の RSA 証明書を作成する --pss-sign オプションが追加された。
certutil で、RSA-PSS で署名した証明書のサポートがテクノロジープレビューとして利用できます。(BZ#1425514)

NSS が、証明書の RSA-PSS 署名を確認可能

新しいバージョンの nss パッケージでは、Network Security Services (NSS) ライブラリーが、証明書の RSA-PSS 署名の確認がテクノロジープレビューとして提供されるようになりました。この更新では、SSL バックエンドとして NSS を使用するクライアントが、RSA-PSS アルゴリズムで署名した証明書のみを提供するサーバーへの TLS 接続が確立できません。
この機能には、以下の制限があります。
  • /etc/pki/nss-legacy/rhel7.config ファイルのアルゴリズムポリシー設定は、RSA-PSS 署名で使用されるハッシュアルゴリズムに適用されます。
  • 証明書チェーン間で RSA-PSS パラメーター制約が無視され、証明書は 1 つだけ考慮されます。(BZ#1432142)

libreswan で SECCOMP の有効化が可能

テクノロジープレビューとして、SECCOMP (Secure Computing) モードの使用を可能にする seccomp=enabled|tolerant|disabled オプションが ipsec.conf 設定ファイルに追加されました。これにより、Libreswan を実行できるシステムコールをすべてホワイトリストに登録することで、syscall セキュリティーが改善されました。詳細は man ページの ipsec.conf(5) を参照してください。(BZ#1375750)

第49章 ストレージ

SCSI 向けのマルチキュー I/O スケジューリング

Red Hat Enterprise Linux 7 には、blk-mq と呼ばれるブロックデバイス用の新しいマルチキュー I/O スケジューリングメカニズムが同梱されています。scsi-mq パッケージにより、Small Computer System Interface (SCSI) サブシステムが、この新しいキューイングメカニズムを利用できるようになります。この機能はテクノロジープレビューのため、デフォルトでは有効になっていません。有効にする場合は scsi_mod.use_blk_mq=Y をカーネルコマンドラインに追加します。
blk-mq は、パフォーマンスを改善するために導入されていますが (特に低レイテンシーデバイス向け)、常にパフォーマンスが改善することは保証されていません。具体的には、特に CPU が多いシステムで scsi-mq を有効にすると、パフォーマンスが大幅に低下する場合があります。(BZ#1109348)

libStorageMgmt API の Targetd プラグイン

Red Hat Enterprise Linux 7.1 から、ストレージアレイから独立した API である libStorageMgmt を使用したストレージアレイの管理が完全サポートされています。提供される API は安定性と整合性を備え、開発者は異なるストレージアレイをプログラム的に管理し、ハードウェアアクセラレーション機能を使用できます。また、システム管理者は libStorageMgmt を使用して手動でストレージを設定したり、コマンドラインインターフェイスを使用してストレージ管理タスクを自動化したりできます。
Targetd プラグインは完全サポートされず、引き続きテクノロジープレビューとして提供されます。(BZ#1119909)

DIF/DIX (Data Integrity Field/Data Integrity Extension) への対応

DIF/DIX は、SCSI 標準に新しく追加されたものです。これは、Red Hat Enterprise Linux 7 では、機能の章で指定されている HBA およびストレージアレイに対して完全に対応していますが、その他の HBA およびストレージアレイはテクノロジープレビューのままとなっています。
DIF/DIX により DIF (Data Integrity Field) が追加され、一般的に使用される 512 バイトのディスクブロックのサイズが 520 バイトに増えます。DIF は、書き込みの発生時に HBA (Host Bus Adapter) により算出されるデータブロックのチェックサム値を保存します。その後、受信時にストレージデバイスがチェックサムを確認し、データとチェックサムの両方を保存します。読み取りが発生すると、チェックサムが、ストレージデバイス、および受信する HBA により検証されます。(BZ#1072107)

第50章 仮想化

KVM ゲスト用の USB 3.0 サポート

Red Hat Enterprise Linux 7 では、KVM ゲスト向けの USB 3.0 ホストアダプター (xHCI) エミュレーションが引き続きテクノロジープレビューとなります。(BZ#1103193)

一部の Intel ネットワークアダプターが Hyper-V のゲストとして SR-IOV をサポート

Hyper-V で実行している Red Hat Enterprise Linux ゲスト仮想マシン用の今回の更新では、新しい PCI パススルードライバーにより、ixgbevf ドライバーでサポートされている Intel ネットワークアダプターの Single Root I/O Virtualization (SR-IOV) 機能を使用できるようになります。この機能は、以下の条件が満たされた場合に有効になります。
  • ネットワークインターフェイスコントローラー (NIC) に対して SR-IOV サポートが有効になっている
  • 仮想 NIC の SR-IOV サポートが有効になっている
  • 仮想スイッチの SR-IOV サポートが有効になっている
NIC の VF (Virtual Function) は、仮想マシンに接続されている
この機能は現在、Microsoft Windows Server 2016 でサポートされています。(BZ#1348508)

VFIO ドライバーの No-IOMMU モード

今回の更新により、VFIO (Virtual Function I/O) ドライバーの No-IOMMU モードがテクノロジープレビューとして追加されました。No-IOMMU モードは、I/O メモリー管理ユニット (IOMMU) を使用せずに直接メモリーアクセス (DMA) 対応デバイスへの完全なユーザー空間 I/O (UIO) アクセスを提供します。しかし、このモードはサポートされないだけでなく、IOMMU で提供される I/O 管理機能がないため、安全に使用することができません。(BZ#1299662)

virt-v2v での vmx 設定ファイルを使用した VMware ゲストの変換が可能に

virt-v2v ユーティリティーには、vmx 入力モードが含まれるようになりました。これにより、ゲスト仮想マシンを VMware vmx 設定ファイルから変換できるようになりました。これを行うには、たとえば NFS を使用してストレージをマウントすることにより、対応する VMware ストレージにもアクセスする必要があることに注意してください。-it ssh パラメーターを追加すると、SSH を使用してストレージにアクセスすることもできます。(BZ#1441197, BZ#1523767)

virt-v2v が Debian ゲストおよび Ubuntu ゲストを変換

テクノロジープレビューとして、virt-v2v ユーティリティーがゲスト仮想マシン Debian および Ubuntu を変換できるようになりました。現時点では、この変換を行うときに以下の問題が発生することに注意してください。
  • virt-v2v は、GRUB2 設定内のデフォルトカーネルを変更できず、ゲストで設定されたカーネルは、ゲストでより最適なバージョンのカーネルが利用可能であっても、変換中に変更されません。
  • Debian または Ubuntu の VMware ゲストを KVM に変換すると、ゲストのネットワークインターフェイス名が変更し、手動での設定が必要になる場合があります。(BZ#1387213)

Virtio デバイスでの vIOMMU の使用が可能に

テクノロジープレビューとして、この更新により、virtio デバイスは仮想入出力メモリー管理ユニット (vIOMMU) を使用できるようになります。これにより、デバイスが許可されたアドレスにのみ Direct Memory Access (DMA) を実行できるようになるため、DMA のセキュリティーが保証されます。ただし、この機能を使用できるのは、Red Hat Enterprise Linux 7.4 以降を使用するゲスト仮想マシンのみであることに注意してください。(BZ#1283251, BZ#1464891)

virt-v2v は VMWare ゲストをより高速かつ確実に変換します

テクノロジープレビューとして、virt-v2v ユーティリティーは VMWare 仮想ディスク開発キット (VDDK) を使用して VMWare ゲスト仮想マシンを KVM ゲストにインポートできるようになりました。これにより、virt-v2v が VMWare ESXi ハイパーバイザーに直接接続できるようになり、変換の速度と信頼性が向上します。
この変換インポート方法には、外部の nbdkit ユーティリティーとその VDDK プラグインが必要であることに注意してください。(BZ#1477912)

OVMF (Open Virtual Machine Firmware)

Red Hat Enterprise Linux 7 では、OVMF (Open Virtual Machine Firmware) がテクノロジープレビューとして利用できます。OVMF は、AMD64 および Intel 64 ゲストに対する、UEFI のセキュアブート環境です。ただし、OVMF は、RHEL 7 で利用可能な仮想化コンポーネントでは起動できません。OVMF は、RHEL 8 で完全に対応することに注意してください。(BZ#653382)

パート IV. デバイスドライバー

ここでは、Red Hat Enterprise Linux 7.5 で新規または更新されたすべてのデバイスドライバーの包括的な一覧を提供します。

第51章 新しいドライバー

ストレージドライバー
  • USB Type-C Connector Class (typec.ko.xz):
  • USB Type-C Connector System Software Interface driver (typec_ucsi.ko.xz):
  • TCM QLA2XXX シリーズ NPIV 対応ファブリックドライバー (tcm_qla2xxx.ko.xz):
  • Chelsio FCoE driver (csiostor.ko.xz): 1.0.0-ko
ネットワークドライバー
  • mac80211 用の 802.11 無線のソフトウェアシミュレーター (mac80211_hwsim.ko.xz):
  • Vsock 監視デバイス。nlmon デバイスに基づいています。(vsockmon.ko.xz):
  • Cavium LiquidIO Intelligent Server Adapter Virtual Function Driver (liquidio_vf.ko.xz): 1.6.1
  • Cavium LiquidIO Intelligent Server Adapter Driver (liquidio.ko.xz): 1.6.1
  • Mellanox firmware flash lib (mlxfw.ko.xz):
  • Intel OPA Virtual Network driver (opa_vnic.ko.xz):
  • Broadcom NetXtreme-C/E RoCE Driver Driver (bnxt_re.ko.xz):
  • VMware Paravirtual RDMA driver (vmw_pvrdma.ko.xz):
グラフィックスドライバーおよびその他のドライバー
  • Pondicherry メモリーコントローラーを使用した Intel SoC 用 MC ドライバー (pnd2_edac.ko.xz):
  • ALPS HID driver (hid-alps.ko.xz):
  • Intel Corporation DAX デバイス (device_dax.ko.xz):
  • Synopsys DesignWare DMA Controller platform driver (dw_dmac.ko.xz):
  • Synopsys DesignWare DMA Controller core driver (dw_dmac_core.ko.xz);
  • Intel Sunrisepoint PCH pinctrl/GPIO ドライバー (pinctrl-sunrisepoint.ko.xz):
  • インテルルイスバーグ pinctrl/GPIO ドライバー (pinctrl-lewisburg.ko.xz):
  • インテル Cannon Lake PCH pinctrl/GPIO ドライバー (pinctrl-cannonlake.ko.xz):
  • インテルデンバートン SoC pinctrl/GPIO ドライバー (pinctrl-denverton.ko.xz):
  • Intel Gemini Lake SoC pinctrl/GPIO ドライバー (pinctrl-geminilake.ko.xz):
  • インテル pinctrl/GPIO コアドライバー (pinctrl-intel.ko.xz):

第52章 更新されたドライバー

ストレージドライバーの更新
  • QLogic ファイバーチャネル HBA ドライバー (qla2xxx.ko.xz) がバージョン 9.00.00.00.07.5-k1 に更新されました。
  • Cisco FCoE HBA ドライバードライバー (fnic.ko.xz) がバージョン 1.6.0.34 に更新されました。
  • Emulex OneConnectOpen-iSCSI ドライバー (be2iscsi.ko.xz) がバージョン 11.4.0.1 に更新されました。
  • QLogic FCoE ドライバー (bnx2fc.ko.xz) がバージョン 2.11.8 に更新されました。
  • Microsemi スマートファミリーコントローラードライバー (smartpqi.ko.xz) がバージョン 1.1.2-126 に更新されました。
  • Emulex LightPulse Fibre Channel SCSI ドライバー (lpfc.ko.xz) がバージョン 0:11.4.0.4. に更新されました。
  • LSI MPT Fusion SAS 3.0 デバイスドライバー (mpt3sas.ko.xz) がバージョン 16.100.00.00 に更新されました。
  • QLogic QEDF 25/40/50/100Gb FCoE ドライバー (qedf.ko.xz) がバージョン 8.20.5.0 に更新されました。
  • Avago MegaRAID SAS ドライバー (megaraid_sas.ko.xz) がバージョン 07.702.06.00-rh2 に更新されました。
  • HP Smart Array Controller のドライバー (hpsa.ko.xz) がバージョン 3.4.20-0-RH2 に更新されました。
ネットワークドライバーの更新
  • realtek RTL8152/RTL8153 Based USB Ethernet Adapters のドライバー (r8152.ko.xz) がバージョン v1.08.9 に更新されました。
  • Intel(R) 10 Gigabit PCI Express Network ドライバー (ixgbe.ko.xz) がバージョン 5.1.0-k-rh7.5 に更新されました。
  • Intel(R) Ethernet Switch Host Interface ドライバー (fm10k.ko.xz) がバージョン 0.21.7-k に更新されました。
  • Intel(R) Ethernet Connection XL710 Network ドライバー (i40e.ko.xz) がバージョン 2.1.14-k に更新されました。
  • Intel(R) 10 Gigabit Virtual Function Network ドライバー (ixgbevf.ko.xz) がバージョン 4.1.0-k-rh7.5 に更新されました。
  • Intel (R) XL710 X710 Virtual Function Network ドライバー (i40evf.ko.xz) がバージョン 3.0.1-k に更新されました。
  • Elastic Network Adaptor (ENA) ドライバー (ena.ko.xz) がバージョン 1.2.0k に更新されました。
  • Cisco VIC イーサネット NIC ドライバー (enic.ko.xz) がバージョン 2.3.0.42 に更新されました。
  • Broadcom BCM573xx ネットワークドライバー (bnxt_en.ko.xz) がバージョン 1.8.0 に更新されました。
  • QLogic FastLinQ 4xxxx コアモジュールドライバー (qed.ko.xz) がバージョン 8.10.11.21 に更新されました。
  • QLogic 1/10 GbE コンバージド/インテリジェントイーサネットドライバー (qlcnic.ko.xz) がバージョン 5.3.66 に更新されました。
  • Mellanox ConnectX HCA イーサネットドライバー (mlx4_en.ko.xz) がバージョン 4.0-0 に更新されました。
  • Mellanox ConnectX HCA 低レベルドライバー (mlx4_core.ko.xz) がバージョン 4.0-0 に更新されました。
  • Mellanox Connect-IB、ConnectX-4 コアドライバー (mlx5_core.ko.xz) がバージョン 5.0-0 に更新されました。
グラフィックドライバーおよびその他のドライバーの更新
  • スタンドアロン VMware SVGA デバイス DRM ドライバー (vmwgfx.ko.xz) がバージョン 2.14.0.0 に更新されました。

パート V. 非推奨の機能

ここでは、Red Hat Enterprise Linux 7.5 までのすべてのマイナーリリースで非推奨になった機能の概要を説明します。
非推奨の機能は、Red Hat Enterprise Linux 7 のライフサイクルが終了するまでサポートされます。非推奨の機能は、本製品の今後のメジャーリリースではサポートされない可能性が高く、新たに実装することは推奨されません。特定のメジャーリリースにおける非推奨機能の最新情報は、そのメジャーリリースの最新バージョンのリリースノートを参照してください。
現行および今後のメジャーリリースでは、非推奨の ハードウェア コンポーネントの新規実装は推奨されません。ハードウェアドライバーの更新は、セキュリティーと重大な修正にのみ行われます。Red Hat は、このようなハードウェアの早期交換をお勧めします。
パッケージ が非推奨となり、使用の継続が推奨されない場合があります。製品からパッケージが削除されることもあります。その場合には、製品のドキュメントで、非推奨となったパッケージと同様、同一、またはより高度な機能を提供する最近のパッケージが指定され、詳しい推奨事項が記載されます。

第53章 Red Hat Enterprise Linux 7 での非推奨の機能

Python 2 が非推奨に

Python 2 は、次の Red Hat Enterprise Linux (RHEL) メジャーリリースで Python 3 に置き換えられます。
大規模なコードベースを Python 3 に移行する方法は Conservative Python 3 Porting Guide を参照してください。
Python 3 は RHEL のお客様が利用でき、Red Hat Software Collections の一部として RHEL でサポートされていることに注意してください。

LVM ライブラリーおよび LVM Python バインディングが非推奨に

lvm2-python-libs パッケージで提供されている lvm2app ライブラリーおよび LVM Python バインディングが非推奨となりました。
Red Hat は、代わりに以下のソリューションを推奨します。
  • LVM D-Bus API と lvm2-dbusd サービスの組み合わせ。このソリューションでは Python バージョン 3 を使用する必要があります。
  • JSON 形式の LVM コマンドラインユーティリティー。この形式は、lvm2 パッケージのバージョン 2.02.158 以降で利用できます。

LVM でのミラー化されたミラーログが非推奨に

ミラー化された LVM ボリュームでのミラー化されたミラーログ機能が非推奨となりました。Red Hat Enterprise Linux の今後のメジャーリリースでは、ミラー化されたミラーログを持つ LVM ボリュームの作成またはアクティブ化はサポートされない予定です。
推奨される代替ソリューションは以下のとおりです。
  • RAID1 LVM ボリューム。RAID1 ボリュームの優れた点は、劣化モードにおいても機能し、一時的な障害の後に回復できることです。ミラー化されたボリュームを RAID1 に変換する方法は論理ボリュームマネージャーの管理の ミラー化 LVM デバイスの RAID1 デバイスへの変換 セクションを参照してください。
  • ディスクのミラーログ。ミラー化されたミラーログをディスクのミラーログに変換するには、lvconvert --mirrorlog disk my_vg/my_lv コマンドを実行します。

Identity Management およびセキュリティーに関連する非推奨パッケージ

以下のパッケージは非推奨となり、Red Hat Enterprise Linux の今後のメジャーリリースには含まれません。
非推奨パッケージ 代替として提案されるパッケージまたは製品
authconfig authselect
pam_pkcs11 sssd [a]
pam_krb5 sssd [b]
openldap-servers ユースケースに応じて、Red Hat Enterprise Linux に同梱されている Identity Management または Red Hat Directory Server に移行します。[c]
mod_auth_kerb mod_auth_gssapi
python-kerberos
python-krbV
python-gssapi
python-requests-kerberos python-requests-gssapi
hesiod 代替パッケージ/製品はありません。
mod_nss mod_ssl
mod_revocator 代替パッケージ/製品はありません。
[a] SSSD (System Security Services Daemon) には、拡張スマートカード機能が含まれています。
[b] pam_krb5 から sssd への移行の詳細は、アップストリームの SSSD のドキュメント Migrating from pam_krb5 to sssd を参照してください。
[c] Red Hat Directory Server には、有効な Directory Server サブスクリプションが必要です。詳細は、Red Hat ナレッジベース What is the support status of the LDAP-server shipped with Red Hat Enterprise Linux? を参照してください。
注記
Red Hat Enterprise Linux 7.5 では、次のパッケージが上の表に追加されました。
  • mod_auth_kerb
  • python-kerberospython-krbV
  • python-requests-kerberos
  • hesiod
  • mod_nss
  • mod_revocator

初期の IdM サーバー、およびドメインレベル 0 の IdM レプリカに対するサポートが制限

Red Hat では、Red Hat Enterprise Linux (RHEL) 7.3 以前で動作している Identity Management (IdM) サーバーと、RHEL の次期メジャーリリースの IdM クライアントの組み合わせをサポートする計画はありません。RHEL の次期メジャーバージョンで動作するクライアントシステムを、現在 RHEL 7.3 以前で動作している IdM サーバーにより管理されているデプロイメントに導入することを計画している場合には、サーバーをアップグレードして RHEL 7.4 以降に移行する必要がある点に注意してください。
RHEL の次期メジャーリリースでは、ドメインレベル 1 のレプリカしかサポートされません。RHEL の次期メジャーバージョン上で動作する IdM レプリカを既存のデプロイメントに導入する前に、すべての IdM サーバーを RHEL 7.4 以降にアップグレードして、ドメインレベルを 1 に変更する必要がある点に注意してください。
使用しているデプロイメントが影響を受ける場合には、事前にアップグレードを計画することを検討してください。

バグ修正は、Red Hat Enterprise Linux の次期メジャーリリースの nss-pam-ldapd パッケージおよび NIS パッケージにのみ提供

Red Hat Enterprise Linux の今後のメジャーリリースでは、nss-pam-ldapd パッケージと、NIS server に関連するパッケージがリリースされる予定ですが、サポートの範囲は限定されます。Red Hat は、バグレポートを受け付けますが、新たな機能強化は対象外となります。以下の代替ソリューションに移行することが推奨されます:
影響を受けるパッケージ 代替として提案されるパッケージまたは製品
nss-pam-ldapd sssd
ypserv
ypbind
portmap
yp-tools
Red Hat Enterprise Linux の Identity Management

golang の代わりに Go Toolset を使用

golang パッケージは、Red Hat Enterprise Linux 7.5 でバージョン 1.9 に更新されました。
Optional チャネルで利用可能な golang パッケージは、Red Hat Enterprise Linux 7 の将来のマイナーリリースから削除される予定です。開発者は、代わりに Go ツールセット を使用することを推奨します。これは現在、Red Hat 開発者プログラム を通じてテクノロジープレビューとして利用可能です。

mesa-private-llvmllvm-private に置き換え

Mesa の LLVM ベースのランタイムサポートが含まれる mesa-private-llvm パッケージは、Red Hat Enterprise Linux 7 の将来のマイナーリリースで llvm-private パッケージに置き換えられます。

libdbi および libdbi-drivers が非推奨に

libdbi パッケージおよび libdbi-drivers パッケージは、Red Hat Enterprise Linux (RHEL) の次期メジャーリリースには同梱されません。

Extras チャンネルの Ansible が非推奨になりました。

Ansible およびその依存関係は、Extras チャンネルから更新されなくなりました。代わりに、Red Hat Enterprise Linux サブスクリプションで Red Hat Ansible Engine 製品を利用することができ、公式な Ansible Engine チャンネルにアクセスできます。エラータが Extras チャンネルから提供されなくなるため、これまで、Extras チャンネルから Ansible およびその依存関係をインストールしていた場合は、今後、Ansible Engine チャンネルを有効にしてこのチャンネルから更新を行うか、パッケージをアンインストールしてください。
これまで、Ansible は、(AMD64 および Intel 64 アーキテクチャーならびに IBM POWER リトルエンディアン用として) Extras チャンネルで Red Hat Enterprise Linux (RHEL) システムロールのランタイム依存関係として提供され、サポートもこの範囲に限られていました。これからは、AMD64 および Intel 64 のアーキテクチャーで Ansible Engine を利用できます。IBM POWER については、近々リトルエンディアンへの対応が開始する予定です。
Extras チャンネルの Ansible は、Red Hat Enterprise Linux FIPS 検証プロセスに含まれていなかった点に注意してください。
以下のパッケージが Extras チャンネルで非推奨となりました。
  • ansible(-doc)
  • libtomcrypt
  • libtommath(-devel)
  • python2-crypto
  • python2-jmespath
  • python-httplib2
  • python-paramiko(-doc)
  • python-passlib
  • sshpass
詳細は、Red Hat ナレッジベースアーティクル https://access.redhat.com/articles/3359651 を参照してください。
テクノロジープレビューとして利用可能な Red Hat Enterprise Linux システムロールは、Extras チャンネルから引き続き配信されます。Red Hat Enterprise Linux システムロールは ansible パッケージでは提供されなくなりますが、Red Hat Enterprise Linux システムロールを使用する playbook を実行するには、引き続き Ansible Engine リポジトリーから ansible をインストールする必要があります。

signtool は 非推奨になりました

安全でない署名アルゴリズムを使用する NSS パッケージの Signtool ツールは非推奨となり、Red Hat Enterprise Linux の将来のマイナーリリースには含まれなくなります。

TLS 圧縮機能のサポートを nss から削除

CRIME 攻撃などのセキュリティー関連リスクを回避するために、NSS ライブラリーにある TLS の全バージョンから、TLS 圧縮機能のサポートを削除しました。この変更では API の互換性は維持されます。

パブリック Web CA がデフォルトではコード署名で信頼されない

Red Hat Enterprise Linux 7.5 とともに配信される Mozilla CA 小聖書信頼一覧では、パブリック Web CA はコード署名として信頼されなくなりました。したがって、NSSOpenSSL 等の関連フラグを使用するソフトウェアは、デフォルトでこの CA をコード署名として信頼しなくなりました。このソフトウェアでは、引き続きコード署名による信頼性が完全にサポートされます。また、システム設定を使用して、引き続き CA 証明書を信頼できるコード署名として設定することは可能です。

Sendmail が非推奨に

Sendmail は、Red Hat Enterprise Linux 7 では非推奨になりました。Postfix を使用することが推奨されます。これは、デフォルトの MTA (Mail Transfer Agent) として設定されます。

dmraid が非推奨に

Red Hat Enterprise Linux 7.5 以降、dmraid パッケージが非推奨となっています。Red Hat Enterprise Linux 7 リリースでは引き続き利用可能ですが、今後のメジャーリリースでは、ハードウェア/ソフトウェアを組み合わせたレガシーハイブリッド RAID ホストバスアダプター (HBA) はサポートされません。

Automatic loading of DCCP modules through socket layer is now disabled by default

セキュリティー上の理由から、ソケットレイヤーからの Datagram Congestion Control Protocol (DCCP) カーネルモジュールの自動読み込みは、デフォルトでは無効になりました。これにより、悪意を持ったユーザー空間アプリケーションは、モジュールを読み込むことができません。すべての DCCP 関連モジュールは、引き続き modprobe プログラムを通じて手動でロードできます。
DCCP モジュールをブラックリストに登録する /etc/modprobe.d/dccp-blacklist.conf 設定ファイルが、カーネルパッケージに含まれています。これに含まれるエントリーを削除する場合は、このファイルを編集または削除して以前の動作を復元します。
同じカーネルパッケージまたは異なるバージョンのカーネルパッケージを再インストールしても、手動で加えた変更はオーバーライドされない点に注意してください。手動で変更した場合は、ファイルを手動で編集または削除してもパッケージのインストール後も維持されます。

rsyslog-libdbi が非推奨に

あまり使用されない rsyslog モジュールの 1 つが含まれる rsyslog-libdbi サブパッケージが非推奨となり、Red Hat Enterprise Linux の今後のメジャーリリースには含まれなくなります。使用されない、またはほとんど使用されないモジュールを削除すると、使用するデータベース出力を容易に探すことができます。

rsyslog imudp モジュールの inputname オプションが非推奨になりました。

rsyslog サービスヘの imudp モジュールの inputname オプションが非推奨になりました。代わりに name オプションを使用してください。

SMBv1 が Microsoft Windows 10 および 2016 (更新 1709 以降) にインストールされない

Microsoft 社は、最新バージョンの Microsoft Windows および Microsoft Windows Server に、SMBv1 (Server Message Block version 1) プロトコルをインストールしないと発表しました。また、Microsoft 社は、この製品の旧バージョンでは SMBv1 を無効にすることを推奨しています。
この変更により、Linux と Windows の複合環境でシステムを運用している場合に影響を受けます。Red Hat Enterprise Linux 7.1 以前では、バージョンが SMBv1 のプロトコルしかサポートされません。SMBv2 に対するサポートは、Red Hat Enterprise Linux 7.2 で導入されました。
この変更が Red Hat 製品にどのような影響を及ぼすかは、Red Hat ナレッジベースの SMBv1 no longer installed with latest Microsoft Windows 10 and 2016 update (version 1709) を参照してください。

FedFS が非推奨に

アップストリームの FedFS プロジェクトが積極的に保守されなくなったため、FedFS (Federated File System) が非推奨となりました。Red Hat は、FedFS のインストールを移行して autofs を使用することを推奨します。これにより、柔軟な機能が得られます。

Btrfs が非推奨に

Btrfs ファイルシステムは、Red Hat Enterprise Linux 6 の初回リリース以降、テクノロジープレビュー状態になっています。Red Hat は Btrfs を完全なサポート機能に移行する予定はなく、今後の Red Hat Enterprise Linux メジャーリリースで削除される予定です。
これまでに、Btrfs ファイルシステムは Red Hat Enterprise Linux 7.4 のアップストリームから各種更新を受け取っており、Red Hat Enterprise Linux 7 シリーズでは引き続き利用できます。ただし、この機能に対する更新はこれで最後となる予定です。

tcp_wrappers が非推奨に

tcp_wrappers パッケージが非推奨になりました。tcp_wrappers はライブラリーと、auditcyrus-imapdovecotnfs-utilsopensshopenldapproftpdsendmailstunnelsyslog-ngvsftpd などのさまざまなネットワークサービスに対する着信要求を監視およびフィルターリングできる小規模のデーモンを提供します。

nautilus-open-terminalgnome-terminal-nautilus に置き換えられる

Red Hat Enterprise Linux 7.3 以降、nautilus-open-terminal パッケージは非推奨になり、gnome-terminal-nautilus パッケージに置き換えられました。このパッケージは、Nautilus での右クリックコンテキストメニューに Open in Terminal オプションを追加する Nautilus 拡張機能を提供します。システムアップグレード中、nautilus-open-terminalgnome-terminal-nautilus に置き換えられます。

Python から削除された sslwrap()

sslwrap() 機能が Python 2.7 から削除されました。466 Python Enhancement Proposal が実装されて以降、この機能を使用するとセグメンテーションフォールトになります。この削除は、アップストリームと一致しています。
代わりに、ssl.SSLContext クラスと ssl.SSLContext.wrap_socket() 関数を使用することが推奨されます。ほとんどのアプリケーションでは、ssl.create_default_context() 関数を使用するだけで、安全なデフォルト設定でコンテキストを作成できます。デフォルトのコンテキストでは、システムのデフォルトのトラストストアが使用されます。

依存関係としてリンク付けされたライブラリーのシンボルが、ld では解決されない

以前のリリースでは、リンク付けされた任意のライブラリーのシンボルがすべて ld リンカーによって解決されていました (他のライブラリーの依存関係として暗示的にしかリンク付けされていない場合も同様)。そのため、開発者が暗示的にリンク付けされたライブラリーのシンボルをアプリケーションコードに使用するのに、これらのライブラリーのリンクを明示的に指定する必要はありませんでした。
セキュリティー上の理由から ld が変更し、依存関係として暗黙的にリンク付けされたライブラリーのシンボルに対する参照を解決しないようになりました。
これにより、ライブラリーのリンクを宣言せず依存関係として暗黙的にしかリンク付けしていない場合には、アプリケーションコードでそのライブラリーのシンボルの使用を試みると、ld とのリンクに失敗します。依存関係としてリンク付けされたライブラリーのシンボルを使用する場合、開発者はこれらのライブラリーとも明示的にリンク付けする必要があります。
ld の以前の動作を復元するには、コマンドラインオプション -copy-dt-needed-entries を使用します。(BZ#1292230)

Windows ゲスト仮想マシンのサポートが限定

Red Hat Enterprise Linux 7 以降、Windows ゲスト仮想マシンは、Advanced Mission Critical (AMC) などの特定のサブスクリプションプログラムにおいてのみサポートされています。

libnetlink が非推奨に

iproute-devel に含まれるlibnetlink ライブラリーが非推奨となりました。代わりに、libnl ライブラリーおよび libmnl ライブラリーを使用する必要があります。

KVM の S3 および S4 の電源管理状態が非推奨に

S3 (Suspend to RAM) および S4 (Suspend to Disk) の電源管理状態に対する KVM のネイティブサポートが廃止されました。この機能は、以前はテクノロジープレビューとして提供されていました。

Certificate Server の udnPwdDirAuth プラグインが廃止

Red Hat Certificate Server の udnPwdDirAuth 認証プラグインは、Red Hat Enterprise Linux 7.3 で削除されました。このプラグインを使用するプロファイルはサポートされなくなりました。証明書が udnPwdDirAuth プラグインを使用するプロファイルで作成され、承認されている場合は有効のままになります。

IdM 向けの Red Hat Access プラグインが廃止

Red Hat Enterprise Linux 7.3 で、Identity Management (IdM) 向けの Red Hat Access プラグインが廃止されました。更新中に、redhat-access-plugin-ipa が自動的にアンインストールされます。ナレッジベースへのアクセスやサポートケースエンゲージメントなど、このプラグインにより提供されていた機能は、Red Hat カスタマーポータルで引き続き利用できます。Red Hat では、redhat-support-tool ツールなどの代替手段を使用することを推奨しています。

統合方式のシングルサインオン向けの Ipsilon 認証プロバイダーサービス

ipsilon パッケージは、Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして導入されました。Ipsilon は認証プロバイダーと、アプリケーションまたはユーティリティーをリンクして、シングルサインオン (SSO) を可能にします。
Red Hat は、テクノロジープレビューの Ipsilon を、完全にサポートされる機能にアップグレードする予定はありません。ipsilon パッケージは、今後のマイナーリリースで Red Hat Enterprise Linux から削除される予定です。
Red Hat は、Keycloak コミュニティープロジェクトをベースとした Web SSO ソリューションとして Red Hat Single Sign-On をリリースしました。Red Hat Single Sign-On は、Ipsilon よりも優れた機能を提供し、Red Hat の製品ポートフォリオ全体の標準 Web SSO ソリューションとして設計されています。

rsyslog オプションの一部が非推奨に

Red Hat Enterprise Linux 7.4 の rsyslog ユーティリティーバージョンでは、多くのオプションが非推奨になりました。これらのオプションは有効ではなくなり、警告が表示されます。
  • -c-u-q-x-A-Q-4、および -6 のオプションが以前提供していた機能は、rsyslog 設定を使用して実現できます。
  • -l および -s オプションが以前提供していた機能の代替はありません。

memkind ライブラリーで非推奨のシンボル

memkind ライブラリーでは、以下のシンボルが非推奨になりました。
  • memkind_finalize()
  • memkind_get_num_kind()
  • memkind_get_kind_by_partition()
  • memkind_get_kind_by_name()
  • memkind_partition_mmap()
  • memkind_get_size()
  • MEMKIND_ERROR_MEMALIGN
  • MEMKIND_ERROR_MALLCTL
  • MEMKIND_ERROR_GETCPU
  • MEMKIND_ERROR_PMTT
  • MEMKIND_ERROR_TIEDISTANCE
  • MEMKIND_ERROR_ALIGNMENT
  • MEMKIND_ERROR_MALLOCX
  • MEMKIND_ERROR_REPNAME
  • MEMKIND_ERROR_PTHREAD
  • MEMKIND_ERROR_BADPOLICY
  • MEMKIND_ERROR_REPPOLICY

SCTP (RFC 6458) のソケットの API 拡張オプションが非推奨に

ストリーム制御伝送プロトコルにおけるソケット API 拡張機能の SCTP_SNDRCV オプション、SCTP_EXTRCV オプション、および SCTP_DEFAULT_SEND_PARAM オプションは、RFC 6458 の仕様に従い非推奨になりました。
非推奨になったオプションの代替オプションとして、SCTP_SNDINFOSCTP_NXTINFOSCTP_NXTINFO、および SCTP_DEFAULT_SNDINFO が実装されています。

SSLv2 および SSLv3 を使用した NetApp ONTAP の管理は、libstorageMgmt ではサポートされなくなりました。

NetApp ONTAP ストレージアレイへの SSLv2 および SSLv3 の接続は、libstorageMgmt ライブラリーではサポートされなくなりました。ユーザーは、NetApp サポートに連絡して Transport Layer Security (TLS) プロトコルを有効にすることができます。

dconf-dbus-1 が非推奨になり、dconf-editor が個別に提供されるようになりました。

今回の更新で、dconf-dbus-1 API が削除されました。ただし、バイナリーの互換性を維持するために、dconf-dbus-1 ライブラリーがバックポートされています。Red Hat では、dconf-dbus-1 の代わりに GDBus ライブラリーを使用することを推奨しています。
dconf-error.h ファイルの名前が dconf-enums.h に変更されました。さらに、dconf Editor が別の dconf-editor パッケージで配布されるようになりました。

FreeRADIUSAuth-Type := System を受け付けなくなりました。

FreeRADIUS サーバーは、rlm_unix 認証モジュールの Auth-Type := System オプションを受け付けなくなりました。このオプションは、設定ファイルの authorizeunix モジュールを使用することで置き換えられます。

非推奨となったデバイスドライバー

以下のデバイスドライバーは、Red Hat Enterprise Linux 7 のライフサイクルが終了するまでサポートされます。ただし、本製品の今後のメジャーリリースではサポートされない可能性が高いため、新たに実装することは推奨されません。
  • 3w-9xxx
  • 3w-sas
  • aic79xx
  • aoe
  • arcmsr
  • ata drivers:
    • acard-ahci
    • sata_mv
    • sata_nv
    • sata_promise
    • sata_qstor
    • sata_sil
    • sata_sil24
    • sata_sis
    • sata_svw
    • sata_sx4
    • sata_uli
    • sata_via
    • sata_vsc
  • bfa
  • cxgb3
  • cxgb3i
  • hptiop
  • isci
  • iw_cxgb3
  • mptbase
  • mptctl
  • mptsas
  • mptscsih
  • mptspi
  • mtip32xx
  • mvsas
  • mvumi
  • OSD ドライバー:
    • osd
    • libosd
  • osst
  • pata drivers:
    • pata_acpi
    • pata_ali
    • pata_amd
    • pata_arasan_cf
    • pata_artop
    • pata_atiixp
    • pata_atp867x
    • pata_cmd64x
    • pata_cs5536
    • pata_hpt366
    • pata_hpt37x
    • pata_hpt3x2n
    • pata_hpt3x3
    • pata_it8213
    • pata_it821x
    • pata_jmicron
    • pata_marvell
    • pata_netcell
    • pata_ninja32
    • pata_oldpiix
    • pata_pdc2027x
    • pata_pdc202xx_old
    • pata_piccolo
    • pata_rdc
    • pata_sch
    • pata_serverworks
    • pata_sil680
    • pata_sis
    • pata_via
    • pdc_adma
  • pm80xx(pm8001)
  • pmcraid
  • qla3xxx
  • stex
  • sx8
  • ufshcd

非推奨のアダプター

  • aacraid ドライバーの以下のアダプターが非推奨になりました。
    • PERC 2/Si (Iguana/PERC2Si), PCI ID 0x1028:0x0001
    • PERC 3/Di (Opal/PERC3Di)、PCI ID 0x1028:0x0002
    • PERC 3/Si (SlimFast/PERC3Si)、PCI ID 0x1028:0x0003
    • PERC 3/Di (Iguana FlipChip/PERC3DiF), PCI ID 0x1028:0x0004
    • PERC 3/Di (Viper/PERC3DiV)、PCI ID 0x1028:0x0002
    • PERC 3/Di (Lexus/PERC3DiL)、PCI ID 0x1028:0x0002
    • PERC 3/Di (Jaguar/PERC3DiJ)、PCI ID 0x1028:0x000a
    • PERC 3/Di (Dagger/PERC3DiD), PCI ID 0x1028:0x000a
    • PERC 3/Di (Boxster/PERC3DiB)、PCI ID 0x1028:0x000a
    • catapult、PCI ID 0x9005:0x0283
    • tomcat、PCI ID 0x9005:0x0284
    • Adaptec 2120S (Crusader)、PCI ID 0x9005:0x0285
    • Adaptec 2200S (Vulcan)、PCI ID 0x9005:0x0285
    • Adaptec 2200S (Vulcan-2m)、PCI ID 0x9005:0x0285
    • Legend S220 (Legend Crusader)、PCI ID 0x9005:0x0285
    • レジェンド S230 (Legend Vulcan)、PCI ID 0x9005:0x0285
    • Adaptec 3230S (Harrier)、PCI ID 0x9005:0x0285
    • Adaptec 3240S (Tornado)、PCI ID 0x9005:0x0285
    • ASR-2020ZCR SCSI PCI-X ZCR (Skyhawk), PCI ID 0x9005:0x0285
    • ASR-2025ZCR SCSI SO-DIMM PCI-X ZCR (Terminator)、PCI ID 0x9005:0x0285
    • ASR-2230S + ASR-2230SLP PCI-X (Lancer), PCI ID 0x9005:0x0286
    • ASR-2130S (Lancer), PCI ID 0x9005:0x0286
    • AAR-2820SA (Intruder)、PCI ID 0x9005:0x0286
    • AAR-2620SA (Intruder)、PCI ID 0x9005:0x0286
    • AAR-2420SA (Intruder)、PCI ID 0x9005:0x0286
    • ICP9024RO (Lancer)、PCI ID 0x9005:0x0286
    • ICP9014RO (Lancer), PCI ID 0x9005:0x0286
    • ICP9047MA (Lancer), PCI ID 0x9005:0x0286
    • ICP9087MA (Lancer), PCI ID 0x9005:0x0286
    • ICP5445AU (Hurricane44)、PCI ID 0x9005:0x0286
    • ICP9085LI (Marauder-X)、PCI ID 0x9005:0x0285
    • ICP5085BR (Marauder-E)、PCI ID 0x9005:0x0285
    • ICP9067MA (Intruder-6)、PCI ID 0x9005:0x0286
    • Themisto Jupiter プラットフォーム、PCI ID 0x9005:0x0287
    • Themisto Jupiter プラットフォーム、PCI ID 0x9005:0x0200
    • Callisto Jupiter プラットフォーム、PCI ID 0x9005:0x0286
    • ASR-2020SA SATA PCI-X ZCR (Skyhawk), PCI ID 0x9005:0x0285
    • ASR-2025SA SATA SO-DIMM PCI-X ZCR (Terminator)、PCI ID 0x9005:0x0285
    • AAR-2410SA PCI SATA 4ch (Jaguar II)、PCI ID 0x9005:0x0285
    • CERC SATA RAID 2 PCI SATA 6ch (DellCorsair)、PCI ID 0x9005:0x0285
    • AAR-2810SA PCI SATA 8ch (Corsair-8)、PCI ID 0x9005:0x0285
    • AAR-21610SA PCI SATA 16ch (Corsair-16)、PCI ID 0x9005:0x0285
    • ESD SO-DIMM PCI-X SATA ZCR (Prowler), PCI ID 0x9005:0x0285
    • AAR-2610SA PCI SATA 6ch, PCI ID 0x9005:0x0285
    • ASR-2240S (SabreExpress), PCI ID 0x9005:0x0285
    • ASR-4005, PCI ID 0x9005:0x0285
    • IBM 8i (AvonPark), PCI ID 0x9005:0x0285
    • IBM 8i (AvonPark Lite), PCI ID 0x9005:0x0285
    • IBM 8k/8k-l8 (Aurora), PCI ID 0x9005:0x0286
    • IBM 8k/8k-l4 (Aurora Lite)、PCI ID 0x9005:0x0286
    • ASR-4000 (BlackBird), PCI ID 0x9005:0x0285
    • ASR-4800SAS (Marauder-X)、PCI ID 0x9005:0x0285
    • ASR-4805SAS (Marauder-E)、PCI ID 0x9005:0x0285
    • ASR-3800 (Hurricane44)、PCI ID 0x9005:0x0286
    • Perc 320/DC, PCI ID 0x9005:0x0285
    • Adaptec 5400S (Mustang)、PCI ID 0x1011:0x0046
    • Adaptec 5400S (Mustang)、PCI ID 0x1011:0x0046
    • Dell PERC2/QC、PCI ID 0x1011:0x0046
    • HP NetRAID-4M、PCI ID 0x1011:0x0046
    • Dell Catchall、PCI ID 0x9005:0x0285
    • Legend Catchall、PCI ID 0x9005:0x0285
    • Adaptec Catch All、PCI ID 0x9005:0x0285
    • Adaptec Rocket Catch All、PCI ID 0x9005:0x0286
    • Adaptec NEMER/ARK Catch All、PCI ID 0x9005:0x0288
  • mpt2sas ドライバーの次のアダプターは非推奨になりました:
    • SAS2004、PCI ID 0x1000:0x0070
    • SAS2008、PCI ID 0x1000:0x0072
    • SAS2108_1、PCI ID 0x1000:0x0074
    • SAS2108_2、PCI ID 0x1000:0x0076
    • SAS2108_3、PCI ID 0x1000:0x0077
    • SAS2116_1、PCI ID 0x1000:0x0064
    • SAS2116_2、PCI ID 0x1000:0x0065
    • SSS6200、PCI ID 0x1000:0x007E
  • megaraid_sas ドライバーの次のアダプターは非推奨になりました:
    • Dell PERC5、PCI ID 0x1028:0x15
    • SAS1078R、PCI ID 0x1000:0x60
    • SAS1078DE、PCI ID 0x1000:0x7C
    • SAS1064R、PCI ID 0x1000:0x411
    • VERDE_ZCR、PCI ID 0x1000:0x413
    • SAS1078GEN2、PCI ID 0x1000:0x78
    • SAS0079GEN2、PCI ID 0x1000:0x79
    • SAS0073SKINNY、PCI ID 0x1000:0x73
    • SAS0071SKINNY、PCI ID 0x1000:0x71
  • qla2xxx ドライバーの以下のアダプターが非推奨になりました。
    • ISP24xx、PCI ID 0x1077:0x2422
    • ISP24xx、PCI ID 0x1077:0x2432
    • ISP2422、PCI ID 0x1077:0x5422
    • QLE220、PCI ID 0x1077:0x5432
    • QLE81xx、PCI ID 0x1077:0x8001
    • QLE10000、PCI ID 0x1077:0xF000
    • QLE84xx、PCI ID 0x1077:0x8044
    • QLE8000、PCI ID 0x1077:0x8432
    • QLE82xx、PCI ID 0x1077:0x8021
  • qla4xxx ドライバーの以下のアダプターが非推奨になりました。
    • QLOGIC_ISP8022、PCI ID 0x1077:0x8022
    • QLOGIC_ISP8324、PCI ID 0x1077:0x8032
    • QLOGIC_ISP8042、PCI ID 0x1077:0x8042
  • be2net ドライバーが制御する次のイーサネットアダプターが非推奨になりました。
    • TIGERSHARK NIC, PCI ID 0x0700
  • be2iscsi ドライバーの以下のアダプターが非推奨になりました。
    • Emulex OneConnect 10Gb iSCSI イニシエーター (一般)、PCI ID 0x212
    • OCe10101、OCm10101、OCe10102、OCm10102 BE2 アダプターファミリー、PCI ID 0x702
    • OCe10100 BE2 アダプターファミリー、PCI ID 0x703
  • lpfc ドライバーの以下のアダプターが非推奨になりました。
    • BladeEngine 2 (BE2) デバイス
      • TIGERSHARK FCOE, PCI ID 0x0704
    • ファイバーチャネル (FC) デバイス
      • FIREFLY, PCI ID 0x1ae5
      • PROTEUS_VF, PCI ID 0xe100
      • BALIUS, PCI ID 0xe131
      • PROTEUS_PF, PCI ID 0xe180
      • RFLY, PCI ID 0xf095
      • PFLY, PCI ID 0xf098
      • LP101, PCI ID 0xf0a1
      • TFLY, PCI ID 0xf0a5
      • BSMB, PCI ID 0xf0d1
      • BMID, PCI ID 0xf0d5
      • ZSMB, PCI ID 0xf0e1
      • ZMID, PCI ID 0xf0e5
      • NEPTUNE, PCI ID 0xf0f5
      • NEPTUNE_SCSP, PCI ID 0xf0f6
      • NEPTUNE_DCSP, PCI ID 0xf0f7
      • FALCON, PCI ID 0xf180
      • SUPERFLY, PCI ID 0xf700
      • DRAGONFLY, PCI ID 0xf800
      • CENTAUR, PCI ID 0xf900
      • PEGASUS, PCI ID 0xf980
      • THOR, PCI ID 0xfa00
      • VIPER, PCI ID 0xfb00
      • LP10000S, PCI ID 0xfc00
      • LP11000S, PCI ID 0xfc10
      • LPE11000S, PCI ID 0xfc20
      • PROTEUS_S, PCI ID 0xfc50
      • HELIOS, PCI ID 0xfd00
      • HELIOS_SCSP, PCI ID 0xfd11
      • HELIOS_DCSP, PCI ID 0xfd12
      • ZEPHYR, PCI ID 0xfe00
      • HORNET, PCI ID 0xfe05
      • ZEPHYR_SCSP, PCI ID 0xfe11
      • ZEPHYR_DCSP, PCI ID 0xfe12
システムでハードウェアの PCI ID を確認するには、lspci -nn コマンドを実行します。
ここに記載されていない、上述のドライバーのその他のアダプターには変更がないことに注意してください。

libcxgb3 ライブラリーおよび cxgb3 ファームウェアパッケージが非推奨に

libibverbs パッケージおよび cxgb3 ファームウェアパッケージが提供する libcxgb3 ライブラリーは非推奨になりました。Red Hat Enterprise Linux 7 では引き続きサポートされますが、この製品の次期メジャーリリースではサポートされません。この変更は、上記の cxgb3 ドライバー、cxgb3i ドライバー、および iw_cxgb3 ドライバーの非推奨に対応しています。

SFN4XXX アダプターが非推奨に

Red Hat Enterprise Linux 7.4 以降、SFN4XXX Solarflare ネットワークアダプターが非推奨となっています。以前は、Solarflare のすべてのアダプターに対して、ドライバーは 1 つ (sfc) でした。最近では、SFN4XXX への対応が sfc から分割され、sfc-falcon と呼ばれる新しい SFN4XXX 専用ドライバーに変更されました。現時点では、両方のドライバーが引き続きサポートされていますが、sfc-falcon および SFN4XXX のサポートは、今後のメジャーリリースで削除される予定です。

Software-initiated-only FCoE ストレージ技術が非推奨に

Fibre Channel over Ethernet (FCoE) ストレージ技術の software-initiated-only タイプは、広く使用されなかったため非推奨となりました。software-initiated-only ストレージ技術は、Red Hat Enterprise Linux 7 のライフサイクル期間中はサポートされます。非推奨化の通知では、Red Hat Enterprise Linux の今後のメジャーリリースでは software-initiated ベースの FCoE がサポートされない意向が示されています。
ハードウェアサポートおよび関連ユーザー領域ツール (libfc ドライバー、libfcoe ドライバーなど) は、この非推奨通知の影響を受けません。

libvirt-lxc ツールを使用したコンテナーが非推奨に

以下のlibvirt-lxcパッケージは、Red Hat Enterprise Linux 7.1 以降で非推奨になりました。
  • libvirt-daemon-driver-lxc
  • libvirt-daemon-lxc
  • libvirt-login-shell
Linux コンテナーフレームワークに関する今後の開発は、docker コマンドラインインターフェイスをベースにしています。libvirt-lxc ツールは今後の Red Hat Enterprise Linux リリース (Red Hat Enterprise Linux 7 を含む) からは削除される可能性があるため、カスタムなコンテナー管理アプリケーションを開発する際には依存しないようにしてください。
詳細は、Red Hat KnowledgeBase article を参照してください。

パート VI. 既知の問題

ここでは、Red Hat Enterprise Linux 7.5 の既知の問題について説明します。

第54章 認証および相互運用性

軽量 CA キーの取得に失敗した後にクラッシュが報告される

Identity Management (IdM) を使用する場合、軽量認証局 (CA) キーの取得が何らかの理由で失敗すると、操作はキャッチされない例外で予期せず終了します。例外によりクラッシュレポートが生成されます。(BZ#1478366)

OpenLDAP により、設定が正しくない場合にプログラムが即座に失敗します

以前は、Mozilla のネットワークセキュリティーサービス (Mozilla NSS) の実装は、OpenLDAP スイートの特定の設定ミスを黙って無視していました。そのため、プログラムは接続の確立時にのみ失敗しました。この更新により、OpenLDAP は Mozilla NSS から OpenSSL に切り替わりました (BZ# のリリースノートを参照)1400578)。OpenSSL では、TLS コンテキストがすぐに確立されるため、プログラムはすぐに失敗します。この動作により、動作していない TLS ポートを開いたままにするなど、潜在的なセキュリティーリスクが防止されます。
この問題を回避するには、OpenLDAP 設定を確認して修正します。(BZ#1515833)

CACertFile または CACertDir が無効な場所を指している場合、OpenLDAP はエラーを報告します

以前は、CACertFile または CACertDir オプションが読み取り不能またはアンロード可能な場所を指している場合、ネットワークセキュリティーサービス (Mozilla NSS) の Mozilla 実装は必ずしもそれを設定ミスとはみなしていませんでした。この更新により、OpenLDAP スイートは Mozilla NSS から OpenSSL に切り替わりました (BZ# のリリースノートを参照)1400578)。OpenSSL では、CACertFile または CACertDir がそのような無効な場所を指している場合、問題が黙って無視されることはなくなりました。
失敗を回避するには、誤って設定されたオプションを削除するか、それがロード可能な場所を指していることを確認してください。
さらに、OpenLDAP は、CACertDir が指すディレクトリーの内容に対して、より厳格なルールを適用するようになりました。このディレクトリーで証明書を使用するときにエラーが発生する場合は、ディレクトリーが不整合な状態にある可能性があります。この問題を解決するには、フォルダーに対して cacertdir_rehash コマンドを実行します。
CACertFile および CACertDir の詳細については、man ページ ldap.conf (5)、slapd.conf (5)、slapd-config (5)、および ldap_set_option (3) を参照してください。(BZ#1515918、BZ#1515839)

cn=config で一貫性のない変更を行った後、OpenLDAP が TLS 設定を更新しません

この更新により、OpenLDAP は、ネットワークセキュリティーサービス (Mozilla NSS) の Mozilla 実装から OpenSSL に切り替わりました (BZ# のリリースノートを参照)1400578)。OpenSSL では、cn=config データベース内の TLS 設定の一貫性のない変更により、サーバー上の TLS プロトコルが壊れ、設定が期待どおりに更新されません。この問題を回避するには、変更レコードを 1 つだけ使用して cn=config の TLS 設定を更新します。変更レコードの定義については、ldif (5) の man ページを参照してください。(BZ#1524193)

Identity Management が接続を予期せず終了する

Directory Server のバグにより、Identity Management (IdM) は一定時間が経過すると接続を予期せず終了し、認証は次のエラーで失敗します。
kinit: Generic error (see e-text) while getting initial credentials
この問題は、オフラインメディアから Red Hat Enterprise Linux 7.5 に IdM をインストールした場合に発生します。この問題を回避するには、yum update を実行して、問題を修正する更新された 389-ds-base パッケージを受信します。(BZ#1544477)

Directory Server がシャットダウン中に予期せず終了することがある

Directory Server は、nunc-stans フレームワークを使用して接続イベントを管理します。サーバーのシャットダウン時に接続が閉じられた場合、nunc-stans ジョブは解放された接続構造にアクセスできます。その結果、Directory Server が予期せず終了する可能性があります。この状況はシャットダウンプロセスの後期の状態で発生するため、データが破損したり失われたりすることはありません。現在のところ、回避策はありません。(BZ#1517383)

第55章 クラスタリング

el7 カーネルを使用した VDO 上の RAID 10 再設定時にデータ破損が発生します。

VDO 上で RAID 10 を再設定すると (LVM と mdadm の両方を使用)、データが破損し、最終的には raid10.c:1011 カーネルバグを引き起こす可能性があります。VDO の上に RAID 10 (または他の RAID タイプ) をスタッキングすることは、VDO の重複排除/圧縮機能を活用しないため、推奨できません。(BZ#1528466, BZ#1530776)

第56章 コンパイラーおよびツール

libcurl を使用するアプリケーションのメモリー消費量は、TLS 接続ごとに増加します

Network Security Services (NSS) の PK11_DestroyGenericObject() 関数は、PK11_CreateGenericObject() によって割り当てられたリソースを十分早く解放しません。その結果、libcurl パッケージを使用してアプリケーションによって割り当てられるメモリーは、TLS 接続ごとに増加する可能性があります。
この問題を回避するには、以下を実行します。
  • 可能な場合は既存の TLS 接続を再利用するか、
  • libcurl を使用してファイルから証明書とキーを直接ロードするのではなく、NSS データベースからの証明書とキーを使用します (BZ# 1510247)

OProfileperf は、NMI watchdog が無効になっている場合、第 2 世代インテル Xeon Phi プロセッサーでイベントをサンプリングできません

パフォーマンスカウンターのハードウェアエラーが原因で、第 2 世代インテル Xeon Phi プロセッサーでは、デフォルトのハードウェアイベント CPU_CLK_UNHALTED によるパフォーマンスイベントのサンプリングが失敗する場合があります。その結果、NMI watchdog が無効になっている場合、OProfile ツールと perf ツールはサンプルを受信できません。この問題を回避するには、perf または operf コマンドを実行する前に NMI ウォッチドッグを有効にします。
echo 1 > /proc/sys/kernel/nmi_watchdog
...
operf some_examined_program
opreport
...
この回避策は、誤ったカウンターを使用する NMI ウォッチドッグに基づいているため、選択したツールのみが正しく動作しますが、NMI ウォッチドッグは動作しないことに注意してください。(BZ#1536004)

KEYBD トラップを使用した ksh がマルチバイト文字を誤って処理

Korn Shell (KSH) は、KEYBD トラップが有効な場合にマルチバイト文字を正しく処理できません。したがって、たとえばユーザーが日本語の文字を入力すると、ksh には間違った文字列が表示されます。この問題を回避するには、以下の行をコメントアウトして、/etc/kshrc ファイルの KEYBD トラップを無効にします。
trap keybd_trap KEYBD
詳細は、ナレッジベースソリューション ksh displays multibyte characters incorrectly when 'KEYBD trap' is enabled in profile file を参照してください。(BZ#1503922)

第57章 デスクトップ

ダウンロードした RPM ファイルを Nautilus からインストールできない

PackageKityum バックエンドは、ローカルファイルに関する詳細の取得をサポートしていません。その結果、Nautilus ファイルマネージャーで RPM ファイルをダブルクリックすると、ファイルはインストールされず、次のエラーメッセージが返されます。
Sorry, this did not work, File is not supported
この問題を回避するには、ダブルクリック操作を処理するために gnome-packagekit パッケージをインストールするか、yum ユーティリティーを使用してファイルを手動でインストールします。(BZ#1434477)

Caps Lock LED ステータス

UTF-8 キーマップを使用する場合、Caps Lock 機能が適切に動作しても、TTY モードでは Caps Lock LED が更新されません。LED を正しく更新するには、Red Hat Enterprise Linux 7.5 以降、管理者は次のように /etc/udev/rules.d/99-kbd.rules 設定ファイルを作成する必要があります。
ACTION=="add", SUBSYSTEM=="leds",
ENV{DEVPATH}=="*/input*::capslock",
ATTR{trigger}="kbd-ctrlllock"
新しい udev ルールをリロードするには、次のコマンドを実行します。
# udevadm control --reload-rules
# udevadm trigger
この変更後、Caps Lock キーを押すと、Caps Lock LED のステータスが期待どおりに変わります。(BZ#1470932、BZ#1256895)

一貫性のない GNOME Shell バージョン

現在、GNOME デスクトップ環境にはさまざまなバージョンの GNOME Shell が表示されます。たとえば、gnome-shell --version コマンドによって返されるバージョンは、SettingsDetails セクションにあるバージョンとは異なります。(BZ#1511454)

32 ビット版の flatpak をアンインストールします

マルチライブラリーの競合を防ぐため、Red Hat Enterprise Linux 7.5 に更新する前に、32 ビット版の flatpak パッケージをアンインストールすることを推奨します。(BZ#1512940)

GNOME のダウングレードが機能しません

Red Hat Enterprise Linux 7.4 で導入された GNOME の新しいバージョン (3.22) では、yum downgrade コマンドまたは dnf downgrade コマンドを使用して GNOME をバージョン 3.22 から 3.14 にダウングレードすることはできなくなりました。唯一の回避策は、GNOME 関連のパッケージを古いバージョンに置き換えることです。手動でダウングレードすることにした場合は、GNOME 3.16-3.22 リリースノートを読んで、どの機能が失われているかを確認してください。(BZ#1451876)

Wayland は、仮想マシンビューアーなどの X11 アプリケーションのキーボードグラブを無視します。

現在、XWayland サーバーを介して実行している場合、リモートデスクトップビューアーや仮想マシンマネージャーなど、X11 ソフトウェアに依存するグラフィカルクライアントは、独自に使用するシステムキーボードショートカットを取得できません。その結果、virt-manager ゲストディスプレイなどのゲストウィンドウでこれらのショートカットをアクティブにすると、ゲストではなくローカルデスクトップに影響します。
この問題を回避するには、Wayland ショートカット抑制プロトコルをサポートする Wayland ネイティブクライアントを使用するか、X11 上のデフォルトの GNOME セッションに切り替えて、システムキーボードショートカットを必要とする X11 クライアントを実行します。
Wayland はテクノロジープレビューとして利用できることに注意してください。(BZ#1500397)

スーパーユーザーはグラフィカルセッションを実行しないでください

root ユーザーのグラフィカルセッションを開くと、さまざまなバグが発生します。その理由は、グラフィカルセッションは重大かつ予期せぬ問題を引き起こす可能性があり、安全ではなく、Unix の原則に反するため、スーパーユーザーによる使用を意図していないためです。(BZ#1539772)

Remote-viewer および virt-viewer によって参照される仮想マシンでキーボードが機能しない

Wayland セッション内で実行すると、remote-viewer および virt-viewer ユーティリティーは仮想マシン内の主要なイベントを認識しません。さらに、Xwayland は次のエラーを報告します。
send_key: assertion 'scancode != 0'
(BZ#1540056)

gnome-system-logWayland では機能しません

現在、Wayland セッションにログインしている場合、root ユーザーはユーザーの Xwayland ディスプレイにアクセスできません。その結果、ターミナルで gnome-system-log ユーティリティーを実行しても、システムログファイルは表示されません。
この問題を回避するには、次のように xhost サーバーアクセス制御プログラムを実行します。
$ xhost +si:localuser:root
(BZ#1537529)

GUI 画面が正しく表示されません

Emulex Pilot2 および Pilot3 カードの X ドライバーには、色深度 16 で実行する場合のバグが含まれています。このバグにより、この深度ではグラフィックス表示が使用できなくなります。
一部の設定でディスプレイを使用できるようにするには、24 bpp のイメージ形式を使用します。あるいは、ShadowFB off オプションを使用して、xorg.conf ファイル内のシャドウフレームバッファー抽象化レイヤーを無効にします。シャドウフレームバッファーを無効にすると、パフォーマンスに重大な影響を与える可能性があることに注意してください。(BZ#1499129)

xrandr は一部のビデオモードを提供できません

X11 のさまざまなビデオドライバーには、ディスプレイ解像度を追加するためのさまざまなヒューリスティックがあります。特に、Intel および汎用モード設定ドライバーは、一部のラップトップディスプレイに異なるビデオモードのセットを提供します。したがって、一部の非ネイティブビデオモードは、すべての設定で利用できるわけではありません。
この問題を回避するには、別のビデオドライバーを使用するか、xrandr(1) コマンドラインユーティリティーを使用して出力に解像度を手動で追加します。(BZ#1478625)

radeon がハードウェアを適切なハードウェアリセットに失敗します。

現在、radeon カーネルドライバーは、kexec コンテキストでハードウェアを正しくリセットしません。代わりに radeon がフェイルオーバーします。これにより、kdump サービスの残りの部分が失敗します。
このバグを回避するには、/etc/kdump.conf ファイルに以下の行を追加して、kdumpradeon をブラックリストとして追加します。
dracut_args --omit-drivers "radeon"
force_rebuild 1
マシンと kdump を再起動します。kdumpの起動後、設定ファイルから force_rebuild 1 行が削除される可能性があります。
このシナリオでは、kdump 時にグラフィックは利用できませんが、kdump は問題なく完了します。(BZ#1509444)

nouveau が Nvidia secboot ファームウェアのロードに失敗する

一部の Dell Coffeelake システムでは、nouveau カーネルモジュールが Pascal カード用の Nvidia secboot ファームウェアをロードできません。その結果、これらのシステム上の Nvidia GPU が動作しなくなることがあり、システム上のディスプレイポートの一部も同様に動作しなくなります。
このバグにより起動に問題が発生する場合は、nouveau をブラックリストに登録して問題を軽減します。ただし、これによってマシン上の機能していないポートが正しく動作するわけではないことに注意してください。(BZ#1535168)

Xchat ステータスアイコンがトップアイコンパネルから消えます

システムを一時停止して再度再開すると、受信した個人メッセージを示す Xchat ステータスアイコンが上部のアイコンパネルから消えます。
Gnome ソフトウェア を使用してインストールされたトップアイコンはサスペンドモードを保持し、パネルから消えません。(BZ#1544840)

GDM はホットプラグされたモニターをアクティブにしません

モニターを接続せずにマシンを起動すると、モニターが接続されているときに GNOME ディスプレイマネージャー (GDM) 画面が非アクティブのままになります。
回避策として、モニターが接続されているときに以下を実行して GDM を強制終了します。
# systemctl restart gdm.service
または、xrandr ユーティリティーを使用してモニターをアクティブ化します。(BZ#1497303)

Wacom Expresskey Remote がタブレットとして検出されない

gnome-shell および control-center ユーティリティーは、ペアになっていない Wacom Expresskeys リモート デバイス (EKR) を検出しません。結果として、ワコム設定内では、EKR 上のボタンをマッピングする方法はありません。
現在、EKR はパッドが内蔵されたタブレットとペアリングされている場合にのみ機能します。(BZ#1543631)

Synaptics の依存関係により xorg-x11-drivers が削除される

Red Hat Enterprise Linux 7 の以降のリリースには、X 用の xorg-x11-drv-libinput ドライバーが含まれており、一部の入力デバイスに優れたエクスペリエンスを提供できる可能性があります。xorg-x11-drv-libinput に切り替えようとしているユーザーは、xorg-x11-drivers パッケージに必要な xorg-x11-drv-synaptics ドライバーを削除してみることができます。ただし、synaptics を削除するには、xorg-x11-drivers を削除する必要があります。
この問題を回避するには、xorg-x11-drivers を削除します。このパッケージは、システムのセットアップ時に適切なドライバーのコレクションをインストールするためにのみ存在し、削除しても実行時には影響しません。すでにインストールされている X ドライバーは期待どおりに更新されます。(BZ#1516970)

T470s ドッキングステーションのジャックがレジューム時に機能しません

アナログオーディオ入力または出力を備えたドッキングステーションに接続された ThinkPad T470 をサスペンドおよびレジュームした後、出力音が聞こえなくなります。この問題は、ThinkPad ラップトップのアナログオーディオ入力または出力には影響しません。(BZ#1548055)

xrandr を実行すると画面がオフになることがあります

Nouveau ドライバーを使用すると、画面解像度のクエリーなど、RANDR 操作と重い 3D 負荷が組み合わされて、画面のちらつきが発生する可能性があります。
ちらつきは、3D 操作と RANDR 操作の同時実行を最小限に抑えることで回避できます。したがって、3D の使用を最小限に抑えながら、画面のクエリーやサイズ変更を行ってください。(BZ#1545550)

第 8 世代インテル Core プロセッサーの HDMI および DP がサウンド入力を列挙しません

Red Hat Enterprise Linux では、i915 ドライバーで アルファ ステータスハードウェアのサポートがデフォルトで無効になっています。そのため、i915 はオーディオドライバーにバインドされません。その結果、第 8 世代インテル Core プロセッサーの HDMI および DP ビデオおよびオーディオ規格では、サウンド入力が列挙されません。
この問題を回避するには、カーネルコマンドラインに i915.alpha_support=1 行を追加してシステムを起動します。(BZ#1540643)

自動起動されたアプリケーションに対してトレイアイコンが応答しません

画面上部に従来のトレイアイコンを表示する GNOME Shell TopIcons 拡張機能は、自動起動されたアプリケーションでは機能しません。トレイアイコンは応答しません。このバグには、GNOME セッションの開始後に開始されたアプリケーションは含まれません。
回避策として、次の短い手順に従って GNOME セッションを再起動します。1. Alt + F2 を押し、2. r を入力し、3. Enter を押します。(BZ#1550115)

ログイン画面のパネルの色が一貫していません

GNOME クラシック セッションにログインし、ラップトップを一時停止して再度再開すると、ログイン画面の上部パネルが黒ではなく白になります。
この問題は、GNOME Classic の 機能には影響しません。(BZ#1541021)

VM ゲストの接続後に追加のディスプレイがミラーリングされます

ゲスト VM モニターを開いて、remote-viewer メニューから追加のディスプレイを有効にすると、最初のディスプレイの内容が新しく接続されたディスプレイにミラーリングされます。
回避策として、ディスプレイの remote-viewer フレームのサイズを変更します。デスクトップ環境は両方のディスプレイに拡張され、ゲストディスプレイは適切に再配置されます。(BZ#1539686)

第58章 インストールおよび起動

リトアニア語を選択するとインストーラーがクラッシュします

グラフィカルインストーラーの最初の画面でリトアニア語 (Lietuvių) 言語を選択し、Continue (Tęsti) を押すと、インストーラーがクラッシュし、トレースバックメッセージが表示されます。この問題を回避するには、別の言語を使用するか、グラフィカルインストーラーを避けてテキストモードやキックスタートインストールなどの別のアプローチを使用します。(BZ#1527319)

キックスタートを使用して TUI にインストールすると、oscap-anaconda-addon が修復に失敗します

テキストキックスタートコマンドを使用してインストール表示モードを text ベースのユーザーインターフェイス (TUI) に設定するキックスタートファイルを使用してシステムがインストールされている場合、OpenSCAP Anaconda アドオンは、マシンを指定されたセキュリティーポリシーに完全に修正できません。この問題は、修復に必要なパッケージがインストールされていないために発生します。
この問題を回避するには、グラフィカルインストーラーを使用するか、セキュリティーポリシーで必要なパッケージをキックスタートファイルの %packages セクションに手動で追加します。(BZ#1547609)

grub2-mkimage コマンドはデフォルトで UEFI システムで失敗します

UEFI システムでは grub2-mkimage コマンドが失敗し、次のエラーメッセージが表示される場合があります。
error: cannot open `/usr/lib/grub/x86_64-efi/moddep.lst': No such file or directory.
このエラーは、grub2-efi-x64-modules パッケージがシステムに存在しないことが原因で発生します。このパッケージは、デフォルトのインストールの一部ではなく、grub2-mkimage コマンドを提供する grub2-tools の依存関係としてマークされていないという既知の問題により欠落しています。
このエラーにより、それに依存する他のツール (ReaR など) も失敗します。
この問題を回避するには、Yum を使用して手動で、またはシステムのインストールに使用するキックスタートファイルに追加して、grub2-efi-x64-modules をインストールします。(BZ#1512493)

HPE BL920s Gen9 システムへの RHEL 7.5 のインストール中のカーネルパニック

メルトダウン脆弱性の修正に関連する既知の問題により、HPE BL920s Gen2 (Superdome 2) システムへの Red Hat Enterprise Linux 7.5 のインストール中に、NULL ポインター逆参照によるカーネルパニックが発生します。問題が発生すると、次のエラーメッセージが表示されます。
WARNING: CPU: 576 PID: 3924 at kernel/workqueue.c:1518__queue_delayed_work+0x184/0x1a0
その後、システムが再起動するか、障害のある状態になります。
この問題には複数の回避策が考えられます。
  • ブートローダーを使用して、カーネルコマンドラインに nopti オプションを追加します。システムの起動が完了したら、最新の RHEL 7.5 カーネルにアップグレードします。
  • RHEL 7.4 をインストールしてから、最新の RHEL 7.5 カーネルにアップグレードします。
  • RHEL 7.5 を単一ブレードにインストールします。システムがインストールされたら、最新の RHEL 7.5 カーネルにアップグレードし、必要に応じてブレードを追加します。(BZ#1540061)

READONLY=yes オプションは、読み取り専用システムを設定するには不十分です

Red Hat Enterprise Linux 6 では、/etc/sysconfig/readonly-root ファイルの READONLY=yes オプションを使用して読み取り専用システムパーティションが設定されました。Red Hat Enterprise Linux 7 では、systemd がシステムパーティションのマウントに新しいアプローチを使用するため、このオプションは十分ではなくなりました。
Red Hat Enterprise Linux 7 で読み取り専用システムを設定するには:
  • /etc/sysconfig/readonly-rootREADONLY=yes オプションを設定します。
  • /etc/fstab ファイルのルートマウントポイントに ro オプションを追加します。(BZ#1444018)

第59章 カーネル

Spectre および Meltdown の問題に対処するセキュリティーパッチはパフォーマンスの低下を引き起こす可能性があります

CVE-2017-5754、CVE-2017-5715、および CVE-2017-5753 で報告された問題に対処するセキュリティーパッチが実装されました。影響、検出、解決策など、問題の詳細は、https://access.redhat.com/security/vulnerabilities/speculativeexecution にある Red Hat ナレッジベースの記事を参照してください。パッチはデフォルトで有効になっていますが、パフォーマンスの低下を引き起こす可能性があります。
ユーザーは、Red Hat Enterprise Linux Tunables を使用して影響を制御できます。debugfs tunable は、システムの起動時にカーネルコマンドラインで、または実行時に debugfs コントロールを使用して有効または無効にできます。調整パラメーターは、ページテーブル分離 (PTI)、間接分岐制限投機 (IBRS)、および間接分岐予測バリア (IBPB) を制御します。Red Hat は、起動時に検出されたアーキテクチャーを保護するために、必要に応じてデフォルトで各機能を有効にします。ただし、IBPB サポートを直接無効にすることはできません。IBPB を間接的に無効にするには、IBRS と retpolines の両方を無効にする必要があります。
システムが他の手段で十分に保護されていると確信しており、そのようなパフォーマンスの低下を避けるために CVE 軽減策を無効にしたいお客様は、次のいずれかのオプションを使用する必要があります。
1.次のフラグをカーネルコマンドラインに追加し、カーネルを再起動して変更を有効にします。
spectre_v2=off nopti
2.次のコマンドを実行して、実行時にパッチを無効にします。変更はすぐに有効になり、再起動の必要はありません。
# echo 0 > /sys/kernel/debug/x86/pti_enabled
# echo 0 > /sys/kernel/debug/x86/retp_enabled
# echo 0 > /sys/kernel/debug/x86/ibrs_enabled
CVE 軽減策によるパフォーマンスへの影響の制御の詳細については、https://access.redhat.com/articles/3311301 で閲覧できる Red Hat ナレッジベースの記事を参照してください。
https://access.redhat.com/security/vulnerabilities/speculativeexecution の診断タブも参照してください。(BZ#1532547)

KSC は xz 圧縮をサポートしていません

カーネルモジュールソースチェッカー (ksc ツール) は、xz 圧縮方式を処理できず、次のエラーを報告します。
File format not recognized (Only kernel object files are supported)
この問題を回避するには、ksc ツールを実行する前に、xz 圧縮を使用してサードパーティーモジュールを手動で解凍します。(BZ#1441455)

megaraid_sas の更新によりパフォーマンスが低下する可能性があります

megaraid_sas ドライバーはバージョン 06.811.02.00-rh1 に更新され、以前のバージョンに比べてパフォーマンスが大幅に向上しました。ただし、場合によっては、ソリッドステートドライブ (SSD) に基づく設定ではパフォーマンスの低下が見られます。この問題を回避するには、/sys/ディレクトリー内の対応する queue_ Depth パラメーターを 256 までのより高い値に設定します。これにより、パフォーマンスが元のレベルに戻ります。(BZ#1367444)

qede がロードされている場合、qedi は iSCSI PCIe 機能へのバインドに失敗します

QL41xxx ネットワークアダプター用のイーサネットドライバーである qede ドライバーは、必要以上に多くの MSI-X ベクトルを割り当てます。その結果、qedi ドライバーは、ハードウェアによって公開されている iSCSI PCIe 機能にバインドできません。この問題を回避するには、qede ドライバーと qedi ドライバーの両方をアンロードし、qedi のみをロードします。その結果、qedi はハードウェアを通じて公開されている iSCSI 機能をプローブし、接続されている iSCSI ターゲットを見つけることができます。(BZ#1484047)

Radeon がカーネルパニックを引き起こします

セカンダリーまたはプライマリー GPU として radeon カーネルドライバーを搭載した一部のシステムでは、amdgpu グラフィックスドライバーのバグが原因でシステムが起動に失敗することがあります。
回避策として、Radeon カーネルドライバーをブラックリストに登録します。(BZ#1486100)

CPU のホットアドまたはホットリムーブ操作後に Kdump カーネルが起動に失敗する

Kdump が有効になっている IBM Power Systems のリトルエンディアンバリアント上で Red Hat Enterprise Linux 7 を実行している場合、CPU のホットアドまたはホットリムーブ操作の後に kexec によってトリガーされると、Kdump クラッシュカーネルは起動に失敗します。この問題を回避するには、CPU のホットアドまたはホットリムーブ後に kdump サービスを再起動します。
# systemctl restart kdump.service
(BZ#1549355)

第60章 ネットワーク

Red Hat Enterprise Linux 7 で、MD5 ハッシュアルゴリズムを使用した署名の検証が無効になる

MD5 で署名された証明書を必要とする WPA (Wi-Fi Protected Access) の AP (Enterprise Access Point) に接続することはできません。この問題を回避するには、/usr/lib/systemd/system/ ディレクトリーから /etc/systemd/system/ ディレクトリーに wpa_supplicant.service ファイルをコピーして、ファイルの Service セクションに次の行を追加します。
Environment=OPENSSL_ENABLE_MD5_VERIFY=1
次に、root で systemctl daemon-reload コマンドを実行して、サービスファイルを再読み込みします。
重要: MD5 証明書は安全性が非常に低く、Red Hat では使用を推奨していないことに注意してください。(BZ#1062656)

RHEL 7.3 からアップグレードすると、freeradius が失敗する場合があります。

/etc/raddb/radiusd.conf ファイル内の新しい設定プロパティー correct_escapes は、RHEL 7.4 以降に配布されたfreeradius バージョンで導入されました。管理者が correct_escapestrue に設定すると、バックスラッシュエスケープ用の新しい正規表現が使用されるようになります。correct_escapesfalse に設定されている場合は、バックスラッシュもエスケープされる古い構文が想定されます。後方互換性の理由から、false がデフォルト値になります。
アップグレード時に、/etc/raddb/ ディレクトリー内の設定ファイルは、管理者が変更しない限り上書きされるため、correct_escapes の値は、すべての設定ファイルで使用されている構文のタイプに常に対応しているとは限りません。その結果、freeradius での認証に失敗する場合があります。
この問題の発生を防ぐために、freeradiusバージョン 3.0.4(RHEL 7.3 で配布) 以前からアップグレードした後、/etc/raddb/ ディレクトリー内のすべての設定ファイルが新しいエスケープ構文を使用していることを確認してください (ダブルバックスラッシュ記号は見つかりません)。そして /etc/raddb/radiusd.confcorrect_escapes の記号は true に設定されています。
詳細と例については、https://access.redhat.com/solutions/3241961 のソリューションを参照してください。(BZ#1489758)

第61章 セキュリティー

NSS は、RSA-PSS キーで作成された不正な RSA PKCS#1 v1.5 署名を受け入れます

ネットワークセキュリティーサービス (NSS) ライブラリーは、対応する秘密鍵を使用して作成された署名を検証するときに、サーバーが使用する RSA 公開鍵のタイプをチェックしません。その結果、NSS は、RSA-PSS キーで作成された不正な RSA PKCS#1 v1.5 署名を受け入れます。(BZ#1510156)

OpenSSH 以外の ssh-agent を使用した認証が失敗する

バージョン 7.4 以降の OpenSSH は、デフォルトで SHA-2 署名拡張をネゴシエートします。したがって、現在の OpenSSH スイートからのものではなく、SHA-2 拡張を認識しない ssh-agent プログラムによって署名が提供された場合、認証は失敗します。この問題を回避するには、OpenSSH ssh-agent を使用して署名を提供します。(BZ#1497680)

OpenSSH 公開鍵の解析がより厳密になりました

以前は、公開鍵の解析がより厳密になるように変更されました。その結果、キータイプ文字列とキー BLOB 文字列の間にある追加のスペースは無視されなくなり、そのようなキーを使用したログイン試行は失敗するようになりました。この問題を回避するには、キータイプとキー BLOB の間にスペース文字が 1 つだけあることを確認します。(BZ#1493406)

SCAP Workbench が、カスタムプロファイルから結果ベースの修正を生成できません。

SCAP Workbench ツールを使用してカスタムプロファイルから結果ベースの修正ロールを生成しようとすると、次のエラーが発生します。
Error generating remediation role '.../remediation.sh': Exit code of 'oscap' was 1: [output truncated]
この問題を回避するには、oscap コマンドを、--tailoring-file オプションとともに使用します。(BZ#1533108)

Clevis は、偽の Device is not initialized エラーメッセージをログに記録する可能性があります

Clevis プラガブルフレームワークが initramfs イメージ内にあり、ブート時にロックを解除するように設定された暗号化ボリュームがあり、偶然にも Clevis バインディングを設定していない場合、ブートログに Device is not initialized という偽のエラーメッセージが表示されます。この問題を回避するには、Clevis バインド手順を実行すると、ボリュームのエラーメッセージが表示されなくなります。(BZ#1538759)

すべての設定で seccomp=enabled を指定すると、Libreswan が正しく動作しません

Libreswan SECCOMP サポート実装で許可された syscall のセットは現在、完全ではありません。したがって、SECCOMP が ipsec.conf ファイルで有効となっている場合、syscall のフィルターリングは、pluto デーモンの正常な機能に必要な syscall まで拒否します。つまり、デーモンは強制終了され、ipsec サービスが再起動されます。
この問題を回避するには、seccomp= オプションを設定して、disabled 状態に戻します。SECCOMP サポートは、ipsec を正常に実行するため、無効のままにしておく必要があります。(BZ#1544463)

OpenSCAP RPM 検証ルールが VM およびコンテナーファイルシステムでは正しく機能しない

rpminforpmverify、および rpmverifyfile プローブは、オフラインモードを完全にはサポートしません。その結果、オフラインモードで仮想マシン (VM) およびコンテナーファイルシステムをスキャンする場合、OpenSCAP RPM 検証ルールは正しく機能しません。
この問題を回避するには、RPM 検証ルールを無効にするか、SCAP セキュリティーガイド のガイダンスを使用して手動チェックを実行します。オフラインモードでの VM およびコンテナーファイルシステムのスキャン結果には、偽陰性が含まれる可能性があります。(BZ#1556988)

スマートカードが挿入されると、NSS を使用する Firefox およびその他のアプリケーションが応答しなくなる

ネットワークセキュリティーサービス (NSS) ライブラリーは、スマートカード挿入イベントおよびそのようなイベントの状態を正しく処理しません。その結果、Firefox ブラウザーおよび Gnome Display Manager (GDM) で NSS を使用するその他のアプリケーションは、カードの挿入状態を確実に検出せず、スロットイベントの待機を要求している間応答しなくなります。
この問題を回避するには、nss パッケージをバージョン 3.34 に更新せず、アップストリームバージョン 3.36 を待ちます。スマートカードは、以前の NSS バージョンで正しく動作します。(BZ#1557015)

第62章 サーバーおよびサービス

Tuned サービスでのプロファイルアクティベーションエラーの明確な兆候がない

Tuned サービス設定内のエラー、または Tuned プロファイルのロード時に発生するエラーは、systemctl statustuned コマンドの出力に表示されない場合があります。その結果、Tuned のロードを妨げるエラーが発生した場合、Tuned はプロファイルがアクティブ化されていない状態になることがあります。考えられるエラーメッセージを表示するには、tuned-adm active コマンドの出力を参照し、/var/log/tuned/tuned.log ファイルの内容を確認してください。(BZ#1385838)

db_hotbackup -c は注意して使用する必要があります

-c オプションを指定した db_hotbackup コマンドは、データベースを所有するユーザーが実行する必要があります。ユーザーが異なり、ログファイルが最大サイズに達すると、コマンドを実行したユーザーの所有権で新しいログファイルが作成され、その結果、その所有者はデータベースを使用できなくなります。このメモは db_hotbackup(1) man ページに追加されました。(BZ#1460077)

rpcbind.socketListenStream= オプションを設定すると、systemd-logind が失敗し、SSH 接続が遅延する

現在、rpcbind.socket ユニットファイルで ListenStream= オプションを設定すると、systemd-logind サービスが失敗し、NIS データベースからシステムユーザーをインポートする SSH 接続に遅延が発生します。この問題を回避するには、rpcbind.socket から ListenStream= オプションを含む行を削除します。(BZ#1425758)

grub2-efi-x64 パッケージがインストールされている非 UEFI システムで ReaR 回復プロセスが失敗する

UEFI システム用の GRUB2 ブートローダーを含む grub2-efi-x64 パッケージをインストールすると、UEFI ファームウェアを使用しないシステムではファイル /boot/grub2/grubenv がデッド絶対シンボリックリンクに変更されます。ReaR (Relax and Recover) 回復ツールを使用してこのようなシステムを回復しようとすると、プロセスが失敗し、システムが起動できなくなります。この問題を回避するには、grub2-efi-x64 パッケージを必要としないシステム (UEFI ファームウェアのないシステム) にインストールしないでください。(BZ#1498748)

Linux TSM を使用して ReaR によって生成された ISO イメージが機能しない

パスワードストアは、Linux TSM (Tivoli Storage Manager) クライアントバージョン 8.1.2 以降で変更されました。これは、TSM ノードのパスワードと暗号化キーが ISO ファイルに含まれないため、TSM を使用して ReaR によって生成された ISO イメージは機能しないことを意味します。この問題を解決するには、/etc/rear/local.conf または /etc/rear/site.conf 設定ファイルに次の行を追加します。
COPY_AS_IS_TSM=( /etc/adsm /opt/tivoli/tsm/client /usr/local/ibm/gsk8* )
(BZ#1534646)

dbus リベースに関する予期しない問題

dbus パッケージのリベースと設定変更により、予期しない問題が発生する可能性があります。したがって、次の行為は避けることを推奨します。
  • dbus サービスのみを更新する
  • システムの一部のみを更新する
  • グラフィカルセッションからの更新
逆に、再起動せずに dbus を含むいくつかの主要コンポーネントを更新すると期待どおりに動作することはほとんどないため、yum update コマンドの実行後に再起動することを推奨します。(BZ#1550582)

第63章 ストレージ

kexec -e コマンドにより、高度なストレージコントローラーでストレージエラーが発生する可能性がある

-e オプションを指定して kexec ユーティリティーを使用すると、システムは次のカーネルを起動する前に標準の Linux シャットダウンシーケンスを実行しません。これにより、Qlogic QMH2672 ファイバーチャネルアダプターなどの高度なストレージコントローラーを使用するシステムで問題が発生する可能性があります。これらのコントローラーは、再起動時にストレージが確実に安定するようにシャットダウンシーケンスに依存しているためです。このようなシステムで kexec -e コマンドを呼び出すと、kexec 操作の進行中にストレージ関連のエラーが発生し、新しくロードされたカーネルが接続されたストレージの一部またはすべてを検出できない可能性があります。
kexec -e を試行したときにシステムで同様の症状が発生する場合は、代わりに -e オプションを指定せずに kexec を使用してください。これは確実に機能することが確認されています。(BZ#1303244)

LVM は不完全なボリュームグループのイベントベースの自動アクティブ化をサポートしていません

ボリュームグループが不完全で物理ボリュームが見つからない場合、LVM はそのボリュームグループの LVM イベントベースの自動アクティベーションをサポートしません。これは、自動アクティベーションが行われるたびに --activationmode complete の設定が行われることを意味します。--activationmode complete オプションと自動アクティベーションの詳細については、vgchange (8) および pvscan (8) の man ページを参照してください。
/etc/lvm/lvm.conf 設定ファイルの global/use_lvmetad=1 設定で lvmetad が有効になっている場合、イベント駆動の自動アクティベーションフックが有効になることに注意してください。また、自動アクティベーションがない場合、ブート中の正確な時点で直接アクティベーションフックがあり、その時点で使用可能な物理ボリュームのみでボリュームグループがアクティブ化されることにも注意してください。後で表示される物理ボリュームは考慮されません。
この問題は、initramfs (dracut) の早期ブートには影響しません。また、デフォルトで degraded アクティベーションモードになる vgchange および lvchange 呼び出しを使用したコマンドラインからの直接アクティベーションにも影響しません。(BZ#1337220)

第64章 仮想化

cmtmbmt、または mbml perf イベントを報告するゲストが起動に失敗する

ゲスト仮想マシンが cmtmbmt、または mbml perf イベントを報告するように設定されている場合、ホストを Red Hat Enterprise Linux 7.5 にアップグレードした後、ゲスト仮想マシンを起動できなくなります。
この問題を回避するには、ドメイン XML 設定ファイルの <perf> セクションから、event name='cmt'event name='mbmt'、または event name='mbml' を含む行を削除して、この設定を無効にします。(BZ#1532553)

付録A コンポーネントのバージョン

この付録では、Red Hat Enterprise Linux 7.5 リリースにおける主要コンポーネントとそのバージョンの一覧を説明します。
表A.1 コンポーネントのバージョン
コンポーネント
バージョン
kernel
3.10.0-862
kernel-alt
4.14.0-49
QLogic qla2xxx ドライバー
9.00.00.00.07.5-k1
QLogic qla4xxx ドライバー
5.04.00.00.07.02-k0
Emulex lpfc ドライバー
0:11.4.0.4
iSCSI イニシエーターユーティリティー (iscsi-initiator-utils)
6.2.0.874-7
DM-Multipath (device-mapper-multipath)
0.4.9-119
LVM (lvm2)
2.02.177-4
qemu-kvm[a]
1.5.3-156
qemu-kvm-ma[b]
2.10.0-21
[a] qemu-kvm パッケージは、AMD64 システムおよび Intel 64 システムに KVM 仮想システムを提供します。
[b] qemu-kvm-ma パッケージにより、IBM POWER8、IBM POWER9、および IBM Z で KVM 仮想化が提供されます。IBM POWER9 および IBM Z の KVM 仮想化には、kernel-alt パッケージも使用する必要がある点に注意してください。

付録B コンポーネント別の Bugzillas の一覧

この付録では、このドキュメントに含まれるすべてのコンポーネントと関連する Bugzilla の一覧を説明します。
表B.1 コンポーネント別の Bugzillas の一覧
コンポーネント新機能主なバグ修正テクノロジープレビュー既知の問題
389-ds-baseBZ#1274430, BZ#1352121, BZ#1406351, BZ#1458536, BZ#1467777, BZ#1470169BZ#1434335, BZ#1445188, BZ#1453155, BZ#1459946, BZ#1464463, BZ#1464505, BZ#1465600, BZ#1476207, BZ#1476322, BZ#1483681, BZ#1498980, BZ#1501058, BZ#1511462, BZ#1517788, BZ#1523183, BZ#1533571 BZ#1517383, BZ#1544477
Doc-config-command-file-referenceBZ#1479012   
ModemManagerBZ#1483051   
NetworkManagerBZ#1350830, BZ#1398925, BZ#1436531   
OVMF  BZ#653382 
OpenIPMIBZ#1457805   
adcli BZ#1471021  
anacondaBZ#1328576, BZ#1448459, BZ#1450922BZ#1452873, BZ#1465944, BZ#1478970  
ansible  BZ#1313263 
at BZ#1481355  
auditBZ#1476406   
binutilsBZ#1385959, BZ#1406430, BZ#1472955, BZ#1485398BZ#1465318, BZ#1488889  
checkpolicyBZ#1494179   
chronyBZ#1482565   
clevisBZ#1475406, BZ#1475408, BZ#1478888BZ#1500975 BZ#1538759
clufterBZ#1509381   
cockpitBZ#1470780   
conmanBZ#1435840   
control-centerBZ#1481407  BZ#1543631
corosync  BZ#1413573 
criu  BZ#1400230 
cupsBZ#1434153, BZ#1466497   
curlBZ#1409208BZ#1511523 BZ#1510247
custodia  BZ#1403214 
dbusBZ#1460262, BZ#1480264  BZ#1550582
device-mapper-multipathBZ#1452210, BZ#1456955BZ#1459370  
dhcpBZ#1394727, BZ#1396985   
ディンリブBZ#1480270   
distributionBZ#1512020, BZ#1512021  BZ#1062656
dnsmasqBZ#1188259   
emacs-php-modeBZ#1266953   
exiv2 BZ#1420227  
fence-agentsBZ#1451776, BZ#1476009BZ#1519370BZ#1476401 
firewalld BZ#1462977  
freeipmiBZ#1435848   
freeradius   BZ#1489758
fwupdBZ#1420913   
gccBZ#1535655BZ#1468546, BZ#1469384, BZ#1487434  
gdb BZ#1228556, BZ#1480498, BZ#1493675, BZ#1518243  
genwqe-tools BZ#1456492  
ghostscript BZ#1473337, BZ#1479852  
gimpBZ#1210840   
gjs BZ#1523121  
glibcBZ#677316, BZ#1375235, BZ#1448822, BZ#1498925BZ#1443236, BZ#1504969  
gnome-settings-daemonBZ#1481410   
gnome-shellBZ#1481381 BZ#1481395BZ#1497303, BZ#1511454, BZ#1539772, BZ#1541021
gnome-shell-extensions   BZ#1544840, BZ#1550115
gnome-software   BZ#1434477
grub2   BZ#1512493
gssproxy BZ#1462974, BZ#1488629  
httpdBZ#1274890   
hwdata BZ#1489281  
ima-evm-utils  BZ#1384450 
initscriptsBZ#1357658, BZ#1478419BZ#1364895, BZ#1380496, BZ#1395391, BZ#1455419 BZ#1444018
inkscapeBZ#1480184   
ipaBZ#1484683BZ#1415162BZ#1115294, BZ#1298286BZ#1478366
ipa-server-docker  BZ#1405325 
iprouteBZ#1435647, BZ#1456539, BZ#1468280   
iptablesBZ#1402021   
kernelBZ#1102454, BZ#1226051, BZ#1272615, BZ#1273769, BZ#1308630, BZ#1349668, BZ#1361287, BZ#1379551, BZ#1400689, BZ#1409365, BZ#1421164, BZ#1429710, BZ#1430637, BZ#1451916, BZ#1454745, BZ#1454965, BZ#1456687, BZ#1457561, BZ#1457572, BZ#1458278, BZ#1465223, BZ#1467288, BZ#1467335, BZ#1468286, BZ#1469857, BZ#1475409, BZ#1481303, BZ#1482253, BZ#1491226, BZ#1494476, BZ#1538911, BZ#1626526BZ#947004, BZ#1317099, BZ#1373534, BZ#1383691, BZ#1432288, BZ#1438695, BZ#1442618, BZ#1442784, BZ#1445046, BZ#1446684, BZ#1448534, BZ#1450529, BZ#1457046, BZ#1460106, BZ#1460213, BZ#1460641, BZ#1462363, BZ#1465711, BZ#1467280, BZ#1467521, BZ#1467561, BZ#1469200, BZ#1469247, BZ#1472892, BZ#1476040, BZ#1476709, BZ#1479043, BZ#1506338, BZ#1507821BZ#916382, BZ#1109348, BZ#1111712, BZ#1206277, BZ#1230959, BZ#1274459, BZ#1299662, BZ#1305092, BZ#1348508, BZ#1350553, BZ#1387768, BZ#1391561, BZ#1393375, BZ#1414957, BZ#1457533, BZ#1460849BZ#1303244, BZ#1367444, BZ#1470932, BZ#1484047, BZ#1486100, BZ#1509444, BZ#1528466, BZ#1535168, BZ#1539686, BZ#1540061, BZ#1540643, BZ#1548055
kernel-rtBZ#1401061, BZ#1462329 BZ#1297061 
kexec-toolsBZ#1431974BZ#1448861, BZ#1476219 BZ#1549355
kmodBZ#1361857   
krb5BZ#1462982BZ#1431198, BZ#1460089  
ksc   BZ#1441455
libdb BZ#1349779 BZ#1460077
libguestfsBZ#1172425, BZ#1438710, BZ#1448739, BZ#1451665BZ#1472719, BZ#1506572BZ#1387213, BZ#1441197<