7.7 릴리스 노트

SSSD에서 AD에 저장된 sudo 규칙 지원

SSSD(System Security Services Daemon)는 이제 AD(Active Directory)에 저장된 sudo 규칙을 완벽하게 지원합니다. 이 기능은 Red Hat Enterprise Linux 7.0에서 기술 프리뷰로 처음 소개되었습니다. 관리자는 sudo 규칙을 지원하도록 AD 스키마를 업데이트해야 합니다.

SSSD는 더 이상 [nss] 섹션의 fallback_homedir 값을 AD 도메인의 폴백으로 사용하지 않습니다.

RHEL 7.7 이전에는 AD(Active Directory) 공급자의 SSSD fallback_homedir 매개변수에 기본값이 없었습니다. fallback_homedir 이 설정되지 않은 경우 SSSD는 /etc/sssd/sssd.conf 파일의 [nss] 섹션에서 동일한 매개변수의 값을 대신 사용했습니다. 보안을 강화하기 위해 RHEL 7.7의 SSSD에는 fallback_homedir 의 기본값이 도입되었습니다. 결과적으로 SSSD는 더 이상 [nss] 섹션에 설정된 값으로 대체하지 않습니다. AD 도메인의 fallback_homedir 매개변수에 대해 기본값과 다른 값을 사용하려면 도메인의 섹션에서 수동으로 설정해야 합니다.

Directory Server rebased to version 1.3.9.1

389-ds-base 패키지가 업스트림 버전 1.3.9.1로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.

Directory Server Auto Membership 플러그인은 수정 작업을 통해 추가로 호출할 수 있습니다.

이번 업데이트에서는 변경 작업에 맞게 Directory Server의 Auto Membership 플러그인이 향상되었습니다. 이전에는 플러그인이 ADD 작업에서만 호출되었습니다. 관리자가 사용자 항목을 변경하고 해당 변경이 사용자가 속한 Auto Membership 그룹에 영향을 미치는 경우 사용자는 이전 그룹에서 제거되지 않고 새 그룹에만 추가되었습니다. 이 업데이트에서 제공하는 향상된 기능을 통해 사용자는 이제 Directory Server가 언급된 시나리오의 이전 그룹에서 사용자를 제거하도록 설정할 수 있습니다.

Directory Server의 복제 계약에 replicaLastUpdateStatusJSON 상태 속성이 추가되었습니다.

이번 업데이트에서는 replicaLastUpdateStatusJSON status 속성이 cn=<replication_agreement_name>,cn=replica,cn=<suffix_DN>,cn=mapping tree,cn=config 항목에 도입되었습니다. replicaLastUpdateStatus 속성에 표시된 상태는 모호하고 명확하지 않았습니다. new 속성은 명확한 상태 메시지와 결과 코드를 제공하며 JSON 형식을 지원하는 다른 애플리케이션에서 구문 분석할 수 있습니다.

IdM은 이제 CA를 CRL 생성 마스터로 승격하는 유틸리티 제공

이 향상된 기능을 통해 관리자는 기존 IdM(Identity Management) 인증 기관(CA)을 인증서 해지 목록(CRL) 생성 마스터로 승격하거나 CA에서 이 기능을 제거할 수 있습니다. 이전에는 IdM CA를 CRL 생성 마스터로 구성하려면 여러 수동 단계가 필요했습니다. 이 절차는 error-prone이었습니다. 결과적으로 관리자는 ipa-crlgen-manage enable 및 ipa-crlgen-manage disable 명령을 사용하여 IdM CA에서 CRL 생성을 활성화 및 비활성화할 수 있습니다.

고립된 automember 규칙을 탐지하고 제거하는 명령이 IdM에 추가되었습니다.

IdM(Identity Management)의 automember 규칙은 호스트 그룹 또는 삭제된 그룹을 참조할 수 있습니다. 이전에는 ipa automember-rebuild 명령이 예기치 않게 실패 원인을 진단하기 어려웠습니다. 이번 개선된 기능에는 IdM에 ipa automember-find-orphans 가 IdM에 추가되어 이러한 고립된 자동 멤버 규칙을 식별하고 제거합니다.

IdM에서 인증서의 SAN 확장에서 IP 주소 지원

관리자는 SAN(Subject Alternative Name) 확장에서 IP 주소가 있는 인증서를 발행해야 합니다. 이번 업데이트에서는 이 기능이 추가되었습니다. 결과적으로 주소가 IdM DNS 서비스에서 관리되고 주체 호스트 또는 서비스 주체와 연결된 경우 관리자는 SAN 확장에서 IP 주소를 설정할 수 있습니다.

IdM에서 서버가 오프라인인 경우 만료된 시스템 인증서 갱신 지원

이 향상된 기능을 통해 IdM(Identity Management)이 오프라인 상태가 되면 관리자는 만료된 시스템 인증서를 갱신할 수 있습니다. 시스템 인증서가 만료되면 IdM이 시작되지 않습니다. 새로운 ipa-cert-fix 명령은 해결 방법을 교체하여 갱신 프로세스를 진행할 날짜를 수동으로 설정합니다. 그 결과 언급된 시나리오에서 다운타임 및 지원 비용이 절감됩니다.

pki-core rebased to 버전 10.5.16

pki-core 패키지가 업스트림 버전 10.5.16으로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.

인증서 시스템에서 외부 CA 서명을 위해 SKI 확장을 사용하여 CSR을 생성 가능

이 향상된 기능을 통해 인증서 시스템에서는 외부 인증 기관(CA) 서명을 위해 SKI(Subject Key Identifier) 확장을 사용하여 인증서 서명 요청(CSR)을 생성하도록 지원합니다. 특정 CA에서는 이 확장이 특정 값을 사용하거나 CA 공용 키에서 파생되어야 합니다. 결과적으로 관리자는 이제 pkispawn 유틸리티에 전달된 설정 파일에서 pki_req_ski 매개 변수를 사용하여 SKI 확장자가 있는 CSR을 생성할 수 있습니다.

인증서 시스템 제거 제거해도 더 이상 모든 로그 파일이 제거되지 않음

이전에는 하위 시스템을 제거할 때 인증서 시스템에서 해당 로그를 모두 제거했습니다. 이번 업데이트를 통해 기본적으로 pkidestroy 유틸리티에서 더 이상 로그를 제거하지 않습니다. 하위 시스템을 제거할 때 로그를 제거하려면 새로운 --remove-logs 매개변수를 pkidestroy에 전달합니다. 또한 이번 업데이트에서는 pkidestroy에 --force 매개변수를 추가합니다. 이전에는 불완전한 설치에서 일부 파일과 디렉터리를 남겨 두어 Certificate System 인스턴스가 완전히 제거될 수 있었습니다. --force를 pkidestroy로 전달하여 하위 시스템과 인스턴스의 모든 해당 파일을 완전히 제거합니다.

pkispawn 유틸리티는 CA, KRA 및 OCSP 설치 중에 NSS 데이터베이스에 생성된 키의 사용을 지원합니다.

이전 버전에서는 인증서 시스템 설치 중에 pkispawn 유틸리티는 새 키 만들기 및 시스템 인증서에 대한 기존 키 가져오기만 지원했습니다. 이번 개선된 기능을 통해 이제 pkispawn은 CA(인증 기관), KRA(Key recovery authority) 및 OCSSP( online certificate status protocol) 설치 중에 NSS 데이터베이스에서 직접 생성하는 키를 사용할 수 있습니다.

인증서 시스템에서 서비스를 다시 설치할 때 이전 설치 로그를 유지합니다.

이전에는 기존 인증서 시스템 로그 디렉터리가 있는 서버에 인증서 시스템 하위 시스템을 설치할 때 pkispawn 유틸리티에서 이름 충돌 오류를 보고했습니다. 이번 개선된 기능을 통해 인증서 시스템은 기존 로그 디렉터리 구조를 재사용하여 이전 설치 로그를 유지합니다.

인증서 시스템에서 기본적으로 강력한 암호 지원

이번 업데이트를 통해 FIPS(Federal Information Processing Standard)를 준수하는 다음과 같은 추가 암호가 인증서 시스템에서 기본적으로 활성화됩니다.

samba 패키지 버전은 4.9.1입니다.

samba 패키지가 업스트림 버전 4.9.1로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.

지원되는 RHEL HA 클러스터의 최대 크기가 16개에서 32개의 노드로 증가

이번 릴리스에서는 Red Hat은 최대 32개의 전체 클러스터 노드의 클러스터 배포를 지원합니다.

펜싱 작업의 상태 표시 개선

pcs status 명령 출력에 failed 및 pending fence 작업이 표시됩니다.

새 패키지: python3

새로운 python3 패키지는 Python 3.6 인터프리터와 pip 및 setuptools 유틸리티를 제공하는 RHEL 7에서 사용할 수 있습니다. 이전에는 Python 3 버전을 Red Hat Software Collections의 일부로만 사용할 수 있었습니다.

새로운 패키지: compat-sap-c++-8

compat-sap-c++-8 패키지에는 SAP 애플리케이션에 필요한 런타임 호환성 라이브러리인 compat-sap-sap-c++-8.so 라는 libstdc++ 라이브러리가 포함되어 있습니다. compat-sap-c++-8 패키지는 GCC 8을 기반으로 합니다.

elfutils 패키지가 버전 0.176로 재기반되었습니다.

elfutils 패키지가 업스트림 버전 0.176으로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.

gcc-libraries 버전 8.3.1에 기반

gcc-libraries 패키지가 업스트림 버전 8.3.1로 업데이트되어 여러 버그 수정을 제공합니다.

Geolite2 Database를 사용할 수 있습니다.

이 업데이트에서는 Geolite2 Database를 Geolite 패키지에서 제공하는 레거시 Geolite 데이터베이스에 추가합니다.

일본어 Reiwa의 날짜 형식 업데이트

GNU C 라이브러리는 이제 2019년 5월 1일부터 Reiwa Age에 대해 정확한 일본어 세일 이름 포맷을 제공합니다. strftime 및 strptime 함수에서 사용하는 데이터를 포함하여 API 데이터를 처리하는 시간이 업데이트되었습니다. 모든 API는 strftime 이 %EC,%EY, %EY , %Ey 와 같은 페이브 변환 유효성 검사자 중 하나와 함께 사용되는 경우를 포함하여 Reiwaera를 올바르게 인쇄합니다.

SystemTap이 버전 4.0으로 재기반

SystemTap 계측 도구가 업스트림 버전 4.0으로 업그레이드되었습니다. 주요 개선사항은 다음과 같습니다.

Valgrind가 3.14 버전으로 변경

Valgrind 패키지는 업스트림 버전 3.14로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.

Performance Co-Pilot이 버전 4.3.2로 재검토됨

PCP(Performance Co-Pilot)가 업스트림 버전 4.3.2로 업데이트되었습니다. 주요 개선사항은 다음과 같습니다.

ptp4l 에서 active-backup 모드에서 팀 인터페이스를 지원

이번 업데이트를 통해 active-backup 모드에서 팀 인터페이스에 대한 지원이 PTP Boundary/Ordinary Clock (ptp4l)에 추가되었습니다.

linuxptp 버전 2.0으로 재 기반

linuxptp 패키지가 업스트림 버전 2.0으로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.

timetime::TimeZone Perl 모듈이 최근 시간대 업데이트를 인식함

Olson 시간대 데이터베이스가 2018i 버전으로 업데이트되었습니다. 이전 버전에서는 later ::TimeZone 모듈을 사용하는 Perl 언어로 작성된 애플리케이션에서는 오래된 데이터베이스로 인해 버전 2017b 이후 사양을 변경한 잘못된 시간대입니다.

trace-cmd 패키지가 버전 2.7로 업데이트되었습니다.

업데이트된 패키지에서는 최신 버그 수정 및 업스트림 기능을 제공합니다. 결과적으로 Red Hat Enterprise Linux 사용자는 이제 최신 trace-cmd 명령을 사용할 수 있습니다.

gRPC 버전 7.4.629로 재 기반

gRPC 패키지가 RHEL 6에 있는 업스트림 버전 7.4.629로 업그레이드되었습니다. 이 버전은 이전 버전에 비해 여러 가지 버그 수정 및 개선 사항을 제공합니다.

cups-filters 업데이트

버전 1.0.35에서 배포되는 cups-filters 패키지는 다음과 같은 향상된 기능을 제공하도록 업데이트되었습니다.

버터 는 이제 대량으로 배포 가능한 동종 디스플레이 구성 가능

Mutter 창 관리자는 이제 시스템의 모든 사용자에 대해 사전 설정된 디스플레이 구성을 배포할 수 있습니다. 결과적으로 Mutter 는 더 이상 각 사용자에 대한 구성이 자체 구성 디렉터리에 복사되지 않지만 시스템 전체 구성 파일을 대신 사용할 수 있습니다. 이 기능을 사용하면 동종 디스플레이 구성이 대량 배포에 적합합니다.

할당량 보고서 개선

이제 일반적이지 않은 모드에서 할당량 툴에서 제한이 없는 파일 시스템과 제한이 있지만 리소스가 사용되지 않은 파일 시스템을 구분합니다. 이전에는 두 가지 사용 사례에 대해 인쇄 되지 않아 혼동되었습니다.

그래픽 설치 프로그램에서 SMT가 활성화되어 있는지 감지

이전에는 RHEL 7 그래픽 설치 프로그램에서 시스템에서 SMT(Simultaneous Multithreading)가 활성화되어 있는지 여부를 탐지하지 못했습니다. 이번 업데이트를 통해 이제 설치 프로그램에서 시스템에서 SMT가 활성화되어 있는지 여부를 탐지합니다. 활성화되어 있는 경우 설치 요약 창 하단에 있는 상태 표시줄에 경고 메시지가 표시됩니다.

find-debuginfo.sh 스크립트의 새로운 --g-libs 옵션

이번 업데이트에서는 find-debuginfo.sh 스크립트의 새로운 --g-libs 옵션을 도입합니다. 이 새로운 옵션은 이전 -g 옵션의 대안으로, 바이너리 및 라이브러리 파일에서 디버깅 기호만 제거하도록 스크립트에 지시합니다. 새로운 --g-libs 옵션은 -g 와 동일하지만 라이브러리 파일의 경우에만 작동합니다. 바이너리 파일은 완전히 제거됩니다.

이미지 빌더가 19.7.33 버전으로 다시 제공되며 완전히 지원됩니다.

RHEL 7 Extras Channel의 lorax-composer 패키지에서 제공하는 이미지 빌더가 버전 19.7.33으로 업그레이드되었습니다.

RHEL 7.7의 커널 버전

Red Hat Enterprise Linux 7.7은 커널 버전 3.10.0-1062와 함께 배포됩니다.

커널에 대한 실시간 패치 사용 가능

커널에 대한 라이브 패치인 kpatch 는 프로세스를 재부팅하거나 다시 시작하지 않고 실행 중인 커널에 패치를 적용하는 메커니즘을 제공합니다. EUS (Extended Update Support) 정책에 따라 심각 및 중요한 CVE를 해결하기 위해 적용되는 RHEL의 일부 마이너 릴리스 스트림에 대해 라이브 커널 패치가 제공됩니다.

이제 모든 아키텍처에서 IMA 및 EVM 기능이 지원됩니다.

무결성 측정 아키텍처(IMA) 및 EVM(Extended Verification Module)이 이제 사용 가능한 모든 아키텍처에서 완전하게 지원됩니다. RHEL 7.6에서는 AMD64 및 Intel 64 아키텍처에서만 지원되었습니다.

RHEL 7.7의 새로운 설치에서 Spectre V2 완화 기본 변경 IBRS에서 Retpoline

6세대 Intel 코어 프로세서 및 가까운 미미도가 있는 시스템의 경우 Spectre V2 취약점 (CVE-2017-5715)의 기본 완화 조치가 RHEL 7.7의 새로운 설치에서 Indirect branch Restricted Speculation (IBRS)에서 Retpoline으로 변경되었습니다. Red Hat은 Linux 커뮤니티에 사용된 기본값과 손실된 성능을 복원하기 위해 Intel의 권장 사항 때문에 이러한 변경 사항을 구현했습니다. 그러나 경우에 따라 Retpoline을 완전히 완화하지 못할 수 있습니다. Intel의 Retpoline 문서 [2]는 노출 사례를 설명합니다. 이 문서에서는 또한 공격의 위험이 낮습니다.

이제 VXLAN 및 GENECDHEE 터널에서 PMTU 검색 및 경로 리디렉션이 지원됩니다.

이전에는 RHEL(Red Hat Enterprise Linux)의 커널이 VXLAN(Virtual Extensible LAN) 및 GRE(Generic Network Virtualization Encapsulation) 터널에 대한 IICMP(Internet Control Message Protocol) 및 ICMPv6 메시지를 처리하지 않았습니다. 그 결과 VXLAN 및 GENECDHEE 터널에서는 Path MTU(PMTU) 검색 및 경로 리디렉션이 지원되지 않았습니다. 이번 업데이트를 통해 커널은 PMTU를 조정하고 전달 정보를 수정하여 ICMPv6 "Packet Too Big" 및 "Destination Unreachable" 오류 메시지뿐만 아니라 ICMP "Destination Unreachable" 및 "Redirect Message" 및 "Destination Unreachable" 오류 메시지를 처리합니다. 그 결과, 이제 PMTU 검색 및 경로 리디렉션이 VXLAN 및 GENECDHEE 터널에서 지원됩니다.

IBM POWER에서 하드웨어 트랜잭션 메모리를 비활성화하는 새로운 커널 명령줄 옵션

RHEL 7.7에는 ppc_tm=off 커널 명령줄 옵션이 도입되었습니다. 사용자가 부팅 시 ppc_tm=off 를 통과하면 커널은 IBM POWER 시스템에서 하드웨어 트랜잭션 메모리를 비활성화하고 애플리케이션에서 사용할 수 없게 합니다. 이전 버전에서는 RHEL 7 커널이 무조건 IBM POWER 시스템에서 하드웨어 트랜잭션 메모리 기능을 하드웨어 및 펌웨어에서 지원할 때마다 애플리케이션에서 사용할 수 있도록 했습니다.

Intel® Omni-Path Architecture (OPA) 호스트 소프트웨어

Intel® Omni-Path Architecture(OPA) 호스트 소프트웨어는 Red Hat Enterprise Linux 7.7에서 완전하게 지원됩니다. Intel OPA는 클러스터형 환경의 컴퓨팅 및 I/O 노드 간에 고성능 데이터 전송(고가 대역폭, 메시지 속도, 짧은 대기 시간)을 위해 HFI(Host Fabric Interface) 하드웨어에 초기화 및 설정을 제공합니다.

IBPB는 직접 비활성화할 수 없습니다.

이 RHEL 커널 소스 코드 업데이트를 통해 IBPB(Indirect branch Prediction Barrier) 제어 메커니즘을 직접 비활성화할 수 없습니다. Red Hat은 이 설정에서 성능 문제를 예상하지 않습니다.

kernel-rt 소스 트리가 최신 RHEL 7 트리와 일치

kernel-rt 소스가 최신 Red Hat Enterprise Linux 커널 소스 트리를 기반으로 업그레이드되어 이전 버전에 비해 많은 버그 수정 및 개선 사항을 제공합니다.

RHEL 7 kernel-rt 타이머 타임라인이 번들로 업데이트됨

현재 타이머 전선은 타이머 서브 시스템을 개선하고 많은 작업의 오버헤드를 줄이는 비 캐스케이션으로 전환되었습니다. 캐시되지 않는 타이머의 백포트로 인해 kernel-rt는 향후 개선 사항을 백포트할 수 있도록 업스트림 커널에 매우 가깝습니다.

RPZ-drop 이제 BIND에서 연결할 수 없는 도메인을 반복적으로 해결하는 것을 방지

RHEL 7.7과 함께 배포된 Berkeley Internet Name Domain(BIND) 버전에서는 rpz-drop 정책을 도입하여 DNS 확장 공격을 완화할 수 있습니다. 이전에는 공격자가 확인할 수 없는 도메인에 대한 많은 쿼리를 생성하면 BIND에서 이러한 쿼리를 지속적으로 해결하려고 시도하여 CPU에 상당한 부하가 발생했습니다. rpz-drop 을 사용하면 대상 도메인에 연결할 수 없는 경우 BIND에서 쿼리를 처리하지 않습니다. 이 동작은 CPU 용량을 크게 절약합니다.

버전 9.11에 다시 바인딩

bind 패키지가 업스트림 버전 9.11로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.

ipset을 버전 7.1로 다시 설정

ipset 패키지가 업스트림 버전 7.1으로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.

NetworkManager 에서 브리지 인터페이스에서 VLAN 필터링 지원

이 향상된 기능을 통해 관리자는 해당 NetworkManager 연결 프로필의 브리지 인터페이스에서 VLAN(Virtual LAN) 필터링을 구성할 수 있습니다. 이를 통해 관리자는 브리지 포트에서 VLAN을 직접 정의할 수 있습니다.

NetworkManager 에서 정책 라우팅 규칙 구성을 지원

이전에는 NetworkManager -dispatcher-routing -rules 패키지에서 제공하는 디스패치 스크립트를 사용하여 NetworkManager 외부에서 정책 라우팅 규칙을 설정해야 했습니다. 이번 업데이트를 통해 이제 사용자가 연결 프로필의 일부로 규칙을 구성할 수 있습니다. 결과적으로 NetworkManager 는 프로필이 활성화될 때 규칙을 추가하고 프로필이 비활성화될 때 규칙을 제거합니다.

NSS에서 RSASSA-PSS로 제한된 키 지원

NSS(Network Security Services) 라이브러리에서는 부록을 사용하여 Rivest-Shamir-Adleman Signature Scheme으로 제한된 키를 지원합니다. -RSASSA-PSS. 기존 서명 방식인 공개 키 암호화 표준 #1 (PKCS#1) v1.5은 데이터 또는 키를 암호화하기 위해 키를 재사용 할 수 있습니다. 이로 인해 이러한 키는 Bleichenbacher에서 게시한 공격 적용에 취약해집니다. 키를 RSASSA-PSS 알고리즘으로 제한하면 암호 해독을 사용하는 공격에 탄력적으로 대처할 수 있습니다.

NSS에서 PKCS#1 v1.5 DigestInfo에 올바르게 포함된 경우에만 NULL 개체의 서명을 수락

PKCS#1 v1.5 호환 서명의 첫 번째 사양은 두 가지 방법으로 해석될 수 있는 텍스트를 사용했습니다. 서명자에 의해 암호화된 매개 변수의 인코딩에는 NULL ASN.1 개체의 인코딩 또는 생략이 포함될 수 있습니다. 이후 버전의 표준에서는 NULL 개체 인코딩을 명시적으로 포함해야 했습니다.

OpenSC는 HID Crescendo 144K 스마트 카드를 지원합니다.

이번 개선된 기능을 통해 OpenSC는 HID Crescendo 144K 스마트 카드를 지원합니다. 이러한 토큰은 CAC(Common Access Card) 사양과 완전히 호환되지 않습니다. 토큰은 또한 정부에서 발행한 CAC 토큰보다 사양의 몇 가지 고급 부분을 사용합니다. 이러한 토큰과 CAC 사양의 특별한 케이스를 관리하여 HID Crescendo 144K 스마트 카드를 지원하도록 OpenSC 드라이버가 향상되었습니다.

AES-GCM 암호는 FIPS 모드 OpenSSH 에서 활성화됨

이전에는 AES-GCM 암호화가 TLS에서만 FIPS 모드에서 허용되었습니다. 현재 버전에서는 NIST에 이러한 암호가 OpenSSH 에서도 허용 및 인증될 수 있음을 명확히 했습니다.

SCAP 보안 가이드에서 Universal Base Image 지원

UBI(Universal Base Image) 컨테이너 및 UBI 이미지를 지원하도록 SCAP 보안 가이드 보안 정책이 향상되었습니다. 이를 통해 atomic scan 명령을 사용하여 UBI 컨테이너 및 이미지의 구성 준수 검사를 수행할 수 있습니다. UBI 컨테이너 및 이미지는 SCAP 보안 가이드로 제공되는 모든 프로필에 대해 스캔할 수 있습니다. UBI의 보안 구성과 관련된 규칙만 평가되므로 잘못된 긍정을 방지하고 관련 결과를 생성합니다. UBI 이미지 및 컨테이너에 적용되지 않는 규칙은 자동으로 건너뜁니다.

scap-security-guide 가 버전 0.1.43으로 다시 적용

scap-security-guide 패키지는 업스트림 버전 0.1.43로 업그레이드되어 이전 버전에 대한 여러 버그 수정 및 개선 사항을 제공합니다.

ovnd_port_t 를 사용하면 Tang의 기본 포트를 변경할 수 있습니다.

이번 업데이트에서는 SELinux 강제 모드로 enforcing d 서비스를 제한된 대로 실행할 수 있는ovn d _port_t SELinux 유형이 도입되었습니다. 이러한 변경 사항은 사용자 정의 포트에서 수신 대기하도록 Tang 서버 구성을 단순화하는 데 도움이 되며 강제 모드에서 SELinux에서 제공하는 보안 수준을 유지하는 데 도움이 됩니다.

새로운 SELinux 유형: boltd_t

새로운 SELinux 유형 boltd_t 는 Thunderbolt 3 장치를 관리하기 위한 시스템 데몬인 boltd 를 제한합니다. 결과적으로 boltd 는 이제 SELinux 강제 모드에서 제한된 서비스로 실행됩니다.

새로운 SELinux 정책 클래스: bpf

새로운 SELinux 정책 클래스인 bpf 가 도입되었습니다. bpf 클래스를 사용하면 SElinux를 통해 BPF(Berkeley Packet Filter) 흐름을 제어할 수 있으며, eBPF(Extended Berkeley Packet Filter) 프로그램과 SELinux에서 제어하는 맵의 검사 및 간단한 조작이 가능합니다.

version 4.6에 대한 shadow-utils 재기반

shadow-utils 패키지가 업스트림 버전 4.6으로 업그레이드되어 이전 버전에 대한 여러 버그 수정 및 개선 사항, 특히 UID 및 GID 네임스페이스 매핑을 조작하기 위한 newuidmap 및 newgidmap 명령을 제공합니다.

chrony 버전 3.4로 재 기반

chrony 패키지가 업스트림 버전 3.4로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.

GNU enscript가 ISO-8859-15 인코딩 지원

이번 업데이트를 통해 ISO-8859-15 인코딩 지원이 GNU enscript 프로그램에 추가되었습니다.

Ghostscript가 버전 9.25에 따라 변경되었습니다.

이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공하는 업스트림 버전 9.25로 업그레이드되었습니다.

libssh2 패키지 버전 1.8.0에 기반

이번 업데이트에서는 libssh2 패키지가 버전 1.8.0으로 리베이스됩니다.

리어 업데이트

rear가 최신 버전으로 업데이트되었습니다. 이전 버전에 대한 주요 버그 수정 및 개선 사항은 다음과 같습니다.

버전 2.11로 조정 됨

tuned 패키지가 업스트림 버전 2.11로 업그레이드되어 이전 버전에 대한 여러 버그 수정 및 개선 사항을 제공합니다.

새로운 패키지: xorriso

Xorriso는 ISO 9660 이미지를 생성 및 조작하고 CD-ROM 또는 DVD-ROM을 작성하는 프로그램입니다. 이 프로그램에는 xorrisofs 명령이 포함되어 있습니다. 이 명령은 genisoimage 유틸리티를 대체하는 것이 좋습니다. xorrisofs 명령은 genisoimage 와 호환되는 인터페이스를 가지고 있으며 genisoimage 에 비해 여러 개선 사항을 제공합니다. 예를 들어 xorrisofs 를 사용하면 최대 파일 크기가 더 이상 4GB로 제한되지 않습니다. Xorriso는 백업에 적합하며 복구 및 시스템 마이그레이션 유틸리티인 Relax-and-Recover(ReaR)에서 사용합니다.

DIF/DIX(데이터 무결성 필드/데이터 무결성 확장) 지원

DIF/DIX는 하드웨어 공급 업체가 자격을 갖춘 구성에서 지원되며 RHEL의 특정 HBA(호스트 버스 어댑터) 및 스토리지 어레이 구성에 대한 완전한 지원을 제공합니다.

새 scan_lvs 구성 설정

새로운 lvm.conf 구성 파일 설정인 scan_lvs 가 추가되어 기본적으로 0으로 설정됩니다. 새로운 기본 동작은 LVM에서 LV 상단에 있을 수 있는 PV를 찾지 못하도록 합니다. 즉, 활성 LV를 더 많은 PV에 대해 검사하지 않습니다. 기본 설정에서는 LVM에서 LV 위에 PV를 생성하지 못하도록 합니다.

웹 콘솔이 버전 195로 재기반

cockpit 패키지에서 제공하는 웹 콘솔이 버전 195로 업그레이드되어 여러 가지 새로운 기능 및 버그 수정을 제공합니다.

virt-v2v 를 SUSE Linux VM을 변환할 수 있음

virt-v2v 유틸리티를 사용하여 SUSE Linux Enterprise Server(SLES) 및 SUSE Linux Enterprise Desktop(SLED)을 사용하는 VM(가상 머신)을 KVM이 아닌 하이퍼바이저에서 KVM으로 변환할 수 있습니다.

virt-v2v 는 이제 vmx 구성 파일을 사용하여 VMware 게스트를 변환할 수 있습니다.

이제 virt-v2v 유틸리티에 vmx 입력 모드가 포함되어 있어 사용자가 VMware vmx 구성 파일에서 게스트 가상 시스템을 변환할 수 있습니다. 이렇게 하려면 해당 VMware 스토리지(예: NFS를 사용하여 스토리지를 마운트)에 액세스해야 합니다. -it ssh 매개변수를 추가하여 SSH를 사용하여 스토리지에 액세스할 수도 있습니다.

virt-v2v 는 VMWare 게스트를 보다 빠르고 안정적으로 변환합니다.

virt-v2v 유틸리티는 VMWare VDDK(가상 디스크 개발 키트)를 사용하여 VMWare 게스트 가상 머신을 KVM 게스트로 변환할 수 있습니다. 이를 통해 virt-v2v 는 VMWare ESXi 하이퍼바이저에 직접 연결하여 변환의 속도와 안정성을 향상시킬 수 있습니다.

virt-v2v 는 RHV용 UEFI 게스트를 변환할 수 있음

virt-v2v 유틸리티를 사용하여 이제 UEFI 펌웨어를 사용하는 가상 머신을 변환하여 RHV(Red Hat Virtualization)에서 실행할 수 있습니다.

virt-v2v 에서 VMware Tools를 안정적으로 제거

이번 업데이트를 통해 virt-v2v 유틸리티가 virt-v2v 가 KVM으로 변환 중인 VMware 가상 머신에서 VMware Tools 소프트웨어를 자동으로 제거하려고 할 가능성이 높습니다. 특히 virt-v2v 는 다음과 같은 시나리오에서 VMWare 툴을 제거하려고 시도합니다.

백엔드 트랜잭션 플러그인이 실패한 후 감사 캐시를 플러시합니다.

이전 버전에서는 백엔드 트랜잭션 플러그인이 실패한 경우 Directory Server에서 작업을 롤백하지만 항목 캐시의 변경 사항을 취소하지 않았습니다. 그 결과 항목 캐시에 잘못된 항목이 포함되었습니다. 이번 업데이트를 통해 백엔드 트랜잭션 플러그인이 실패한 후 Directory Server에서 항목 캐시를 플러시합니다. 그 결과 클라이언트는 언급된 상황에서 데이터베이스를 쿼리할 때 올바른 데이터를 검색합니다.

ds-replcheck 유틸리티에서 더 이상 복제본에서 일치하지 않는 항목을 잘못 보고하지 않음

이전에는 관리자가 tombstones가 있는 다른 Directory Server 복제본에서 ds-replcheck 유틸리티를 실행한 경우 ds-replcheck 에서 복제본 중 하나가 tombstone 항목이 누락되었다고 보고했습니다. 각 복제본에서 tombstone 항목이 일치하지 않을 것으로 예상됩니다. 이번 업데이트를 통해 ds-replcheck 는 더 이상 tombstone 항목을 검색하지 않습니다. 결과적으로 이 유틸리티는 누락된 항목을 문제로 보고하지 않습니다.

cleanAllRUV 작업이 실행되는 동안 서비스를 종료할 때 Directory Server가 더 이상 충돌하지 않음

이전 버전에서는 cleanAllRUV 작업에서 작업에서 사용하던 여유 리소스를 실행하는 동안 Directory Server 서비스를 중지했습니다. 이로 인해 서비스가 예기치 않게 종료되었습니다. 이번 업데이트를 통해 Directory Server는 서비스 종료 프로세스가 진행되기 전에 작업을 완료할 수 있는 참조 카운터를 늘립니다. 그 결과 앞서 언급한 시나리오에서 서버가 더 이상 충돌하지 않습니다.

passwordInHistory 가 0으로 설정된 경우 디렉터리 서버가 현재 암호를 올바르게 거부합니다.

이전에는 관리자가 Directory Server의 passwordInHistory 특성을 0 으로 설정할 수 없었습니다. 결과적으로 사용자는 현재 사용 중인 것과 동일한 암호로 암호를 재설정할 수 있습니다. 이번 업데이트를 통해 이제 passwordInHistory 를 0 으로 설정하고 결과적으로 현재 암호를 확인할 수 있습니다.

Directory Server에서 더 이상 1023자를 초과하는 nsSSL3Ciphers 값이 잘리지 않음

이전 버전에서는 Directory Server에서 고정된 버퍼 크기를 사용하여 cn=encryption,cn=config 항목의 nsSSL3Ciphers 매개변수에 설정된 기본 TLS 암호를 저장했습니다. 그 결과 값이 1024자보다 길면 서버는 값을 잘린 후 처음 1023자에만 지정된 암호만 사용했습니다. 이번 수정으로 Directory Server는 더 이상 값을 저장하기 위해 고정된 버퍼 크기를 사용하지 않습니다. 그 결과 설정이 예상대로 작동합니다.

Directory Server에서 더 이상 실제 특성보다 우선 순위가 높은 CoS 특성을 사용하지 않습니다.

이전에는 Directory Server에서 실제 특성보다 우선 순위가 높은 CoS(Operational -default Class of Service) 특성을 사용했습니다. 결과적으로 서버는 하위 트리에 정의된 CoS 정책을 사용하여 로컬 암호에 설정된 특성을 덮어씁니다. 이번 업데이트에서는 문제가 해결되었습니다. 그 결과 CoS 정의 암호 정책이 예상대로 작동합니다.

Directory Server에서 암호 변경 시 사용자의 pwdLastSet 필드를 업데이트

이전 버전에서는 암호 동기화를 사용하고 사용자가 Directory Server에서 암호를 변경한 경우 서버는 pwdLastSet 속성을 설정하지 않았습니다. 그 결과 AD(Active Directory)는 여전히 사용자가 암호를 업데이트하도록 강제 적용했습니다. 이제 Directory Server에서 언급된 시나리오에서 pwdLastSet 을 업데이트합니다. 그 결과는 다음과 같습니다. AD는 사용자가 암호를 다시 변경하도록 강제하지 않습니다.

범위를 사용하는 검색은 더 이상 Directory Server에서 불완전한 결과를 반환하지 않습니다.

이전 버전에서는 사용자가 범위가 하나로 설정된 검색을 수행할 때 검색 작업에서 예상되는 모든 항목을 반환하지 않았습니다. 이번 업데이트를 통해 Directory Server는 한 수준 검색을 위한 항목 후보 목록을 올바르게 생성합니다. 그 결과 서버에서 예상 항목을 반환합니다.

IPv6 및 IPv4 주소가 모두 사용되는 경우 Directory Server에서 더 이상 ACI에서 IPv6 주소를 무시하지 않습니다.

관리자는 액세스를 허용 또는 거부하도록 ACI(Access Control Instructions)에서 IPv4 및 IPv6 주소를 모두 지정할 수 있습니다. 이전에는 ACI에 IPv4 및 IPv6 주소가 모두 포함된 경우 Directory Server에서 IPv6 주소를 무시했습니다. 그 결과 ACI가 예상대로 작동하지 않았습니다. 이번 업데이트에서는 ACI에서 ip 키워드의 구문 분석을 수정합니다. 그 결과 IP 기반 ACI는 언급된 시나리오에서 예상대로 작동합니다.

읽기 전용 Directory Server에 modrdn 작업 복제

Directory Server의 충돌 항목 관리에는 modrdn 작업에 대한 추적 항목을 추가해야 합니다. 이전에는 읽기 전용 소비자에서 이러한 항목을 추가하는 데 실패하여 결과적으로 modrdn 작업을 이러한 인스턴스에 복제할 수 없었습니다. 이번 업데이트에서는 문제가 해결되었습니다. 결과적으로 modrdn 작업을 읽기 전용 사용자에게 성공적으로 복제합니다.

Directory Server가 작업을 삭제하는 시간

이전 버전에서는 Directory Server에서 작업이 완료된 후 2분 후에 작업 항목을 삭제했습니다. 그 결과 작업을 모니터링하는 애플리케이션이 작업 결과를 누락할 수 있었습니다. 이번 업데이트에서는 서버가 작업을 삭제하는 시간을 변경합니다. 기본적으로 완료된 작업은 가져오기 및 내보내기 작업을 제외하고 1시간 후에 삭제됩니다. 이 작업은 완료 후 24시간 후에 삭제됩니다.

passwordWarning 이 86400보다 낮게 설정된 경우 Directory Server에서 shadowWarning 특성을 반환하지 않았습니다.

이전에는 cn=config 항목의 passwordWarning 속성이 86400 초보다 낮은 값으로 설정된 경우 Directory Server에서 검색에서 shadowWarning 특성을 반환하지 않았습니다. 이번 업데이트에서는 문제가 해결되었습니다. 결과적으로 서버는 언급된 시나리오의 shadowWarning 특성 값을 반환합니다.

gRPC5 메모리 캐시가 스레드로부터 안전하게 보호됨

이전에는 Kerberos V5 로그인 프로그램(ECDHE5)의 메모리 캐시가 완전히 스레드로부터 안전하지 않았습니다. 이로 인해 경우에 따라 다중 스레드 액세스가 예기치 않게 종료되었습니다. 이번 업데이트를 통해 메모리 캐시가 더 스레드로부터 더 안전하게 정리됩니다. 결과적으로 더 이상 충돌이 발생하지 않습니다.

FIPS CloudEvent에서 금지하는 settings 5 구성이 이제 다시 작동할 수 있습니다.

이전 버전에서는 Red Hat Enterprise Linux 7.6 build of the Kerberos V5 (ECDHE5 ) 시스템의 빌드가 FIPSECDHE에 대한 규정 준수를 증가시켰습니다. 그 결과 FIPS CloudEvent에 의해 금지되었던 특정 이전에 허용된 구성이 작동을 중지했습니다. 이번 업데이트를 통해 FIPS 호환이 아닌 FIPS 모드에서만 작업해야 하므로 변경 사항이 취소되었습니다. 결과적으로 FIPS CloudEvent에서 금지된 구성이 이제 다시 작동할 수 있습니다.

numSubordinates 속성의 값이 프로필 항목 수를 초과하는 경우에도 인증서 시스템이 시작됩니다.

LDAP numSubordinates operational 속성은 예상되는 프로필 항목 수를 정의합니다. 이전에는 인증서 시스템이 모든 프로필과 경량 CA(인증 기관)가 로드될 때까지 시작되지 않았습니다. 결과적으로 속성의 값이 시작 프로세스가 완료되지 않은 프로필 항목 수를 초과하는 경우 이번 업데이트를 통해 워치독 타이머는 언급된 시나리오의 짧은 지연 후 시작 프로세스가 강제 진행되도록 하고 인증서 시스템은 예기치 않은 상태를 기록합니다. 결과적으로 프로필 또는 경량 CA 하위 트리의 numSubordinates 가 검색 결과의 항목 수를 초과하는 경우에도 인증서 시스템이 완료됩니다.

TLS_RSA_* 암호는 인증서 시스템에서 기본적으로 비활성화되어 있습니다.

이전에는 기본적으로 인증서 시스템에서 TLS_RSA_* 암호가 활성화되었습니다. 그러나 FIPS(Federal Information Processing Standard) 모드의 특정 HSM(하드웨어 보안 모듈) 환경에서 이러한 암호는 지원되지 않습니다. 그 결과 SSL 핸드셰이크가 실패하고 연결이 설정되지 않았습니다. 이번 업데이트에서는 기본적으로 TLS_RSA_* 암호를 비활성화합니다. 결과적으로 연결은 FIPS 모드에서 해당 HSM과 함께 작동합니다.

인증서 시스템 REST API는 더 이상 로그 파일에 일반 텍스트 암호를 저장하지 않음

이전에는 인증서 시스템 REST API에서 일반 암호 값을 필터링하지 않았습니다. 그 결과 로그 파일에서 암호가 일반 텍스트로 표시되었습니다. 이번 업데이트를 통해 서버는 password 특성 값을 "(sensitive)"로 바꿉니다. 결과적으로 일반 텍스트 암호가 더 이상 로그에 표시되지 않습니다.

인증서 시스템에서 클라이언트 인증을 비활성화할 수 있습니다.

이전 버전의 인증서 시스템은 CMCAuth를 통해 인증할 때 TLS 클라이언트 인증을 적용하는 기능을 추가했습니다. 그러나 일부 이전 애플리케이션에서는 TLS 클라이언트 인증을 지원하지 않으며 인증서 시스템에 연결하지 못했습니다. 이번 업데이트에서는 bypassClientAuth 구성 매개변수를 /var/lib/pki/pki-instance_name/ca/conf/CS.cfg 파일에 추가합니다. 결과적으로 관리자는 특정 애플리케이션에서 지원하지 않는 경우 이 매개변수를 true 로 설정하여 클라이언트 인증을 비활성화할 수 있습니다.

PKCS #12 파일을 사용할 때 인증서 시스템 CA 설치에 성공

이전에는 pki_ca_signing_cert_path 매개변수의 기본값이 사전 정의된 경로로 설정되었습니다. 관리자가 PKCS #12 파일을 사용하여 CA(인증 기관)를 설치할 때 매개 변수를 검증하는 최근 변경으로 인해 pki _ ca_signing_cert_path=/etc/pki/tomcat/external_ca.cert 오류와 함께 설치에 실패했습니다. 이번 업데이트에서는 pki_ca_signing_cert_path 의 기본값을 제거하여 문제를 해결합니다. 그 결과 언급된 시나리오에서 CA 설치가 성공합니다.

pki 유틸리티에서 암호를 올바르게 요청

이전에는 사용자가 명령줄 옵션을 사용하여 암호를 제공하지 않은 경우 pki 유틸리티에서 암호를 입력하라는 메시지를 표시하지 않았습니다. 그 결과 pki 에서 Error: 사용자 암호가 누락 되어 작업이 실패했습니다. pki 유틸리티는 설명된 상황에서 암호를 입력하라는 메시지를 표시하도록 수정되었습니다.

전체 파일 시스템으로 인해 서명된 감사 로그를 저장할 수 없는 경우 인증서 시스템이 자동으로 종료됩니다.

이전 버전에서는 감사 서명이 활성화되어 있고 인증서 시스템이 서명된 감사 로그를 저장한 파일 시스템이 가득 차 있는 경우 인증서 시스템이 계속 작동하지만 추가 작업을 기록하지 않았습니다. 서명된 감사 로그가 누락되지 않도록 하려면 이제 언급된 시나리오에서 인증서 시스템이 자동으로 종료됩니다.

SSSD는 AD LDAP 서버를 사용하여 initgroup 조회의 POSIX 속성을 검색합니다.

SSSD 서비스는 initgroup 조회에 AD(Active Directory) 글로벌 카탈로그(GC)를 사용하지만 사용자 홈 디렉터리 또는 쉘과 같은 POSIX 속성은 기본적으로 GC 세트에 복제되지 않습니다. 결과적으로 SSSD가 SSSD 조회 중에 POSIX 속성을 요청하면 SSSD가 GC에 존재하지 않기 때문에 서버에서 제거할 속성을 잘못 고려한 후 SSSD 캐시에서도 제거합니다. 이번 업데이트를 통해 AD LDAP 서버에 스키마 변경 없이도 POSIX 속성이 포함되어 있으므로 initgroup 조회는 LDAP 및 GC 연결 간에 적절하게 전환됩니다. 결과적으로 shell 또는 홈 디렉터리와 같은 POSIX 속성은 더 이상 덮어쓰거나 누락되지 않습니다.

NIS가 passwd.adjunct를 사용할 때 ypchsh 로 쉘을 변경해도 더 이상 덮어쓰지 않는 암호가 생성됩니다.

이전 버전에서는 NIS 서버가 passwd.adjunct 맵을 지원하도록 설정되고 사용자가 ypchsh 명령을 사용하여 NIS 클라이언트의 쉘을 변경한 경우, yppasswdd 데몬은 ##username 문자열로 있는 passwd.adjunct 내부의 사용자 암호 해시를 덮어쓸 수 있었습니다. 결과적으로 암호 해시가 손상되어 영향을 받는 사용자가 로그인할 수 없었습니다. 이 버그는 수정되었으며 yppasswdd 는 사용자의 쉘 정보를 업데이트하는 동안 더 이상 사용자 암호 해시를 덮어쓰지 않습니다. 결과적으로 사용자가 ypchsh 를 실행한 후 새 쉘에 성공적으로 로그인할 수 있습니다.

SystemTap Dyninst 백엔드는 dyninst-devel 패키지없이 작동합니다.

stap --dyninst 명령은 SystemTap Dyninst 백엔드를 사용합니다. 이전에는 dyninst-devel 패키지가 설치되지 않은 경우 이 백엔드가 작동하지 않았습니다. 그 결과 SystemTap이 예기치 않게 종료되고 사용자는 dyninst-devel 을 수동으로 설치하고 해결 방법으로 ldconfig 툴을 실행해야 했습니다. 이 버그는 수정되었으며 SystemTap Dyninst 백엔드는 이제 dyninst-devel 패키지없이 작동합니다.

GDB 10.0.0.1 기본 소스 파일이 심볼릭 링크에 대해 작동합니다.

이전에는 파일이 심볼릭 링크인 경우 GDB 디버거에서 기본 소스 파일에 대한 기호 테이블 정보를 찾을 수 없었습니다. 그 결과 사용자는 소스 파일 이름을 생략하고 기본값(예: 63 )을 사용하여 CloudEvents를 설정할 수 없었습니다. 이 버그는 수정되었으며 사용자는 이제 심볼릭 링크 뒤에 있는 파일에 대해 ScanSettings와 함께 기본 소스 파일을 사용할 수 있습니다.

glibc 의 DNS 스텁 확인자는 더 이상 hostname-.example.com과 같은 유효한 호스트 이름을 거부하지 않습니다.

glibc 의 DNS 스텁 확인자는 hostname-.example.com과 같은 특정 유효한 호스트 이름을 거부했으며 일부 잘못된 이름을 수락합니다. 결과적으로 인터넷의 일부 호스트 이름을 확인할 수 없었습니다. 문제를 해결하기 위해 res hnok 와 같은 DNS 이름 검증 기능이 사용자 기대치 및 사양과 더 가깝게 조정되었습니다. 결과적으로 DNS에 있는 경우 hostname-.example.com 형식의 호스트 이름을 성공적으로 확인할 수 있습니다.

특정 IBM 문자 세트에서 변환할 때 iconv 가 더 이상 중단되지 않음

이전에는 IBM930, IBM933, IBM935, IBM937 및 IBM393 문자 세트의 glibc 변환기에서 오류가 반환되었으며 잘못된 중복 전환 시퀀스가 발생했을 때 다음 입력 문자로 전진하지 않았습니다. 결과적으로 이러한 문자 세트에서 변환하면 -c 옵션과 함께 iconv 툴을 사용하여 이러한 문자가 응답하지 않는 것은 중복 변경 순서의 첫 번째 발생 이상으로 진행할 수 없기 때문입니다. 변환기는 이러한 시퀀스를 수락하고 올바르게 계속하도록 수정되었습니다. 그 결과 위에서 언급한 변환이 가능합니다.

iconv 는 IBM273 및 ISO-8859-1 문자 세트 간에 변환할 수 있습니다.

이전에는 IBM273 문자 세트의 glibc 구현이 ISO-8859-1 문자 세트와 일치하지 않았습니다. 유니코드 문자 MACRON 에 대한 표현은 없었으며, MACRON 과 동일한 시각적 표현이 있는 OVERLINE 유니코드 문자를 나타내는 데 해당 바이트를 사용했습니다. 그 결과 glibc 에서 제공하는 iconv 툴을 사용하여 OVERLINE 문자가 포함된 IBM273 텍스트를 ISO-8859-1 또는 ISO-8859-1 텍스트로 변환하여 MACRON 문자를 IBM273으로 변환하면 변환 중에 오류가 발생했습니다. 이 버그를 해결하기 위해 IBM273 문자 세트는 OVERLINE 표현을 MACRON 로 대체하여 ISO-8859-1 문자 세트와 동등했습니다. 결과적으로 두 문자 집합 모두 MACRON 유니코드 문자를 사용하며 서로 변환하면 오류가 발생하지 않습니다.

getifaddrs 호출은 더 이상 예기치 않게 애플리케이션을 종료할 수 없습니다.

이전에는 glibc 라이브러리에서 getifaddrs 함수에서 생성한 네트워크 인터페이스 목록에 커널에서 동시에 변경된 경우 인터페이스 이름이 없을 수 있었습니다. 결과적으로 getifaddrs 를 사용하는 애플리케이션은 이러한 상황에서 예기치 않게 종료될 수 있었습니다. 이 문제는 수정되었으며 getifaddrs 는 이제 목록이 커널 상태와 동일합니다. 결과적으로 위에서 언급한 예기치 않은 종료가 발생할 수 없습니다.

암시적 작업을 다시 수행하기 전에 명시적 대상이 포함된 파일 만들기

이전에는 Makefiles의 암시적(패턴) 및 명시적 대상을 혼합하는 것이 더 이상 사용되지 않았습니다. 버전 3.82로 업데이트한 후 make 빌드 툴에서 혼합 대상의 오류를 반환했습니다. 결과적으로 혼합 대상을 포함하는 레거시 Makefile을 사용할 수 없었습니다. 이번 업데이트를 통해 make 는 명시적 대상이 암시적 대상보다 먼저 나열된 상황을 올바르게 구문 분석할 수 있습니다. 결과적으로 특정 레거시 Makefile을 수정하지 않고 다시 사용할 수 있습니다. 그러나 명시적 대상 이전에 암시적 대상으로 인해 여전히 오류가 발생합니다.

PCP에서 대규모 시스템에 대한 모든 프로세스 세부 정보를 보고

이전에는 PCP(Performance Co-Pilot) 툴킷에서 대규모 시스템의 특정 프로세스 세부 정보를 보고하지 못했습니다. 프로세스 세부 정보 파일을 읽는 코드는 처음 1024바이트가 아니라 임의의 길이의 데이터를 읽을 수 있도록 변경되었습니다. 결과적으로 설명 된 PCP 오류가 더 이상 발생하지 않을 수 있습니다.

스트립 이 특정 실행 파일과 더 이상 충돌하지 않음

이전에는 strip 툴에 실행 파일 구조에 대한 실제 가정이 포함되었습니다. 결과적으로 특정 실행 파일을 제거하려고 하면 예기치 않게 스트립이 종료될 수 있었습니다. 구조에 대한 가정이 변경되어 이 문제가 더 이상 발생하지 않고 스트립 이 올바르게 작동합니다.

libdb에 의한 최적화된 CPU 사용

이전 libdb 데이터베이스 업데이트로 인해 trickle 스레드에서 과도한 CPU 소비가 발생했습니다. 이번 업데이트를 통해 CPU 사용량이 최적화되었습니다.

passwd --stdin 이 더 이상 암호 길이를 79자로 제한하지 않음

stdin 옵션과 함께 passwd 명령을 사용하여 암호 를 변경할 때 암호 길이는 79자로 제한되었습니다. 그 결과 표준 입력을 통해 79자 이상의 암호를 입력하면 처음 79자만 허용되었으며 경고가 표시되지 않았습니다. 이번 업데이트를 통해 허용된 암호 크기를PAM(Pluggable Authentication Module)으로 정의한 크기와 조정하도록 passwd 가 수정되었습니다. 결과적으로 passwd --stdin 명령은 이제 79자보다 긴 암호를 허용하지만 PAM_MAX_RESP_SIZE - 1 문자보다 길지 않습니다. 해당 제한을 초과하면 passwd 에서 표준 오류 출력에 오류를 보고하고 종료 코드 1로 종료합니다.

수정 파일이 더 이상 잘못 실패하지 않음

이전 버전에서는 /etc/selinux/ fixfiles _exclude_dirs 파일에 항목이 하나 이상 포함되어 있고 /etc/selinux/targeted/contexts/files/file_contexts.local 파일이 없으면 fixfiles 스크립트가 실패했습니다. 이번 업데이트를 통해 /etc/selinux/targeted/contexts/files/file_contexts.local 의 존재 요구 사항이 제거되어 설명된 시나리오에서 수정 파일이 올바르게 작동합니다.

Xinerama가 활성화되면 시스템이 더 이상 빈 화면으로 부팅되지 않습니다.

Xinerama 확장이 nvidia 또는 nouveau 드라이버를 사용하는 시스템의 /etc/X11/xorg.conf 에서 활성화되면 RANDR X 확장이 비활성화되었습니다. 결과적으로 RANDR X 확장이 비활성화되어 부팅 시 로그인 화면이 시작되지 않았습니다. 이 버그가 수정되었으며 이제 Xinerama가 활성화된 상태에서도 로그인 화면이 제대로 시작됩니다.

커널에서 부팅하는 동안 i915를 사용하여 소프트 잠금 수정

한 번 드물면서 ScanSetting45 시스템에 부적절한 펌웨어 구성이 있는 경우 잘못된 DisplayPort 핫 플러그 신호가 부팅 시 i915 드라이버가 과부하될 수 있습니다. 결과적으로 비디오 드라이버가 문제를 해결하려고 시도하는 동안 특정 CloudEvent45 시스템에서 부팅 시간이 매우 느려졌습니다. 경우에 따라 커널은 소프트 잠금 장치도 보고했습니다. 이 버그는 수정되었으며 설명된 시나리오에서는 잠금이 더 이상 발생하지 않습니다.

빠른 사용자 전환 중에 X.org 서버가 더 이상 충돌하지 않음

이전에는 X.Org X11 qxl 비디오 드라이버에서 종료되는 가상 터미널 이벤트를 에뮬레이션하지 않았습니다. 그 결과 X.Org 디스플레이 서버가 빠른 사용자 전환 중에 예기치 않게 종료되고 사용자를 전환할 때 현재 사용자 세션이 종료되었습니다. 이번 업데이트를 통해 qxl 이 수정되었으며 빠른 사용자 전환 중에 X.org 서버가 더 이상 충돌하지 않습니다.

루트가 아닌 사용자는 multiuser 옵션을 사용하여 마운트된 devices 공유에 액세스할 수 있습니다.

RHEL(Red Hat Enterprise Linux) 7.5에서는 도메인을 지정하지 않은 경우 NTLM(NT LAN Manager) 인증을 처리하는 수정 사항이 추가되었습니다. 이 변경은 cifs.ko 커널 모듈이 NTLM을 사용할 때 도메인 이름을 선택한 방법에 영향을 미쳤습니다. 그 결과 multiuser 옵션으로 서버 메시지 블록(SMB) 공유를 마운트하면 잘못된 도메인 이름이 선택되었으며 루트가 아닌 사용자가 마운트된 hugepages 공유에 액세스하지 못했습니다. 이번 업데이트에서는 수정 사항을 되돌립니다. 결과적으로 RHEL 7.7의 루트가 아닌 사용자가 다중 사용자로 마운트된 공유에 액세스할 수 있습니다.

네트워크에 대한 디스크 할당량 제한 설정은 네트워크 파일 시스템에서 4GB 이상의 공간을 차지하는 사용자에게 다시 작동합니다.

이전에는 setquota 유틸리티에서 사용된 디스크 크기의 잘못된 형식으로 인해 NFS 서버와 통신할 때 4GB보다 큰 공간을 처리할 수 없었습니다. 결과적으로 NFS 마운트 파일 시스템에서 4GB의 사용된 공간을 초과하는 사용자에 대한 디스크 할당량 제한을 설정할 때quota가 작업을 수행하지 못했습니다. 이번 업데이트에서는 사용된 디스크 크기를 RPC 프로토콜 형식으로 변환하고 설명된 문제는 더 이상 발생하지 않습니다.

설치 후 Kickstart 스크립트 파일 anaconda-ks.cfg 에 NVDIMM 명령이 추가됨

설치 프로그램은 시스템 설치에 사용되는 구성과 동일한 Kickstart 스크립트를 생성합니다. 이 스크립트는 /root/anaconda-ks.cfg 파일에 저장됩니다. 이전 버전에서는 RHEL을 설치하는 데 그래픽 사용자 인터페이스를 사용할 때 NVDIMM(Non-Volatile Dual In-line Memory) 장치를 구성하는 데 사용된 nvdimm 명령이 이 파일에 추가되지 않았습니다. 이 버그가 수정되었으며 Kickstart 파일에 예상대로 nvdimm 명령이 포함되어 있습니다.

그래픽 설치 프로그램에서 더 이상 잘못된 암호를 허용하지 않음

이전 버전에서는 그래픽 설치 프로그램을 사용하여 RHEL 7을 설치할 때 Partitioning Disk Encryption Passphrase 대화 상자에서 passphrase 필드를 비워 두고 Save Passphrase 버튼을 클릭하고 파티션 작업을 마칠 수 있었습니다. 결과적으로 파티셔닝이 잘못 구성되었으며 디스크 암호화 프로세스를 취소하거나 유효한 암호를 입력해야 했습니다. 이번 업데이트를 통해 유효한 암호와 비어 있지 않은 암호를 입력하는 경우에만 Save Passphrase 버튼을 사용할 수 있습니다.

version 또는 inst.version 커널 부팅 매개변수를 사용하면 더 이상 설치 프로그램이 중지되지 않습니다.

이전 버전에서는 version 또는 inst.version 부팅 매개 변수를 사용하여 커널 명령줄에서 설치 프로그램을 부팅하면 버전이 출력되었습니다(예: anaconda 30.25.6 ).

RHEL 7.7 그래픽 설치에서 지원되는 NVDIMM 장치 섹터 크기를 표시

이전에는 GUI(그래픽 사용자 인터페이스)를 사용하여 NVDIMM 장치를 구성할 때 지원되지 않는 섹터 크기를 입력할 수 있었습니다. 경고 메시지가 표시되지 않았으며 그 결과 재구성 오류가 발생했습니다. 이번 업데이트를 통해 섹터 크기 대화 상자에는 512 및 4096 의 지원되는 섹터 크기만 표시되는 드롭다운 목록이 포함되어 있습니다.

cockpit-composer 에서 시작된 작업을 취소해도 더 이상 실패하지 않음

이미지 빌드 프로세스에서 이미지 빌드 취소를 지원하지 않았습니다. 그 결과 composer-cli compose cancel 을 사용하여 cockpit-composer GUI에서 시작된 작업을 취소하면 compose API 서버가 중단되어 새로 대기열에 있는 작업 빌드가 시작되지 않고 대기 상태로 유지됩니다. 문제를 해결하기 위해 이미지 빌드 프로세스를 취소하는 기능이 구현되었습니다. 결과적으로 cockpit-composer 에서 시작된 작업을 취소해도 더 이상 실패하지 않습니다.

rpm 명령에서 --setcaps 및 --restore 옵션 지원

이번 업데이트에서는 rpm 명령에 대한 --setcaps 및 --restore 옵션이 도입되었습니다.

GRUB 2 regexp 명령이 더 이상 누락되지 않음

이전 버전에서는 GRUB2(GRUB2)에 regexp 명령을 제공하는 모듈이 GRUB2 EFI 바이너리에서 누락되었습니다. 결과적으로 Secure Boot가 활성화된 UEFI 시스템에서 regexp 를 오류와 함께 사용할 수 없었습니다. can't find command 'regexp' message. 이번 업데이트를 통해 regexp 를 제공하는 모듈은 GRUB2 EFI 바이너리에 포함되어 설명된 상황에서 올바르게 작동합니다.

netfilter는 특정 IP 세트 유형에서 제로 길이 CIDR 값 지원

이전에는 커널에서 첫 번째 매개 변수의 CIDR(Classless Inter-domain Routing) 네트워크 마스크 값과 hash:net, port,net 6 IP 세트 유형의 마지막 매개 변수를 거부했습니다. 결과적으로 netfilter는 모든 네트워크 대상에 대한 포트와 일치하지 않았습니다. 이번 업데이트를 통해 언급된 IP 세트 유형의 첫 번째 및 마지막 매개 변수에서 제로 길이 CIDR 값이 허용됩니다. 결과적으로 관리자는 모든 대상에 유효한 포트와 일치하는 방화벽 규칙을 생성할 수 있습니다.

서버 측에 마운트된 NFS 마운트 디렉터리의 AVC 거부

프로세스가 서버의 마운트 지점으로 사용되는 하위 디렉터리에 액세스하면 NFS crossmnt 마운트가 자동으로 내부 마운트를 생성합니다. 결과적으로 SELinux는 NFS 마운트 디렉터리에 액세스하는 프로세스에 마운트 권한이 있는지 확인하여 AVC(Access Vector Cache) 거부를 유발할 수 있습니다. 이번 업데이트에서는 이 유형의 내부 마운트에 대해 SELinux 권한 검사를 건너뜁니다. 따라서 서버 측에 마운트된 NFS 디렉터리에 액세스할 때 마운트 권한이 필요하지 않습니다.

intel_pstate 드라이버는 HWP가 비활성화된 Intel Skylake-X 시스템에서 로드됩니다.

이전에는 Intel Skylake-X 시스템을 사용하면 하드웨어 P-State(HWP)를 비활성화한 경우 intel_pstate 드라이버를 로드할 수 없었습니다. 그 결과 커널은 acpi_cpufreq 드라이버를 로드하도록 기본 설정되었습니다. 이번 업데이트에서는 설명된 시나리오에서 문제 및 intel_pstate 가 올바르게 로드됩니다.

VDO 위에 RAID 10 reshape에서 데이터 손상이 더 이상 발생하지 않음

이전에는 VDO의 손상된 데이터 상단에 RAID 10 리셰이프(LVM 및 "mdadm")가 포함되었습니다. 이번 수정을 통해 데이터 손상이 더 이상 발생하지 않습니다. 그러나 VDO 상단의 Stacking RAID 10 (또는 기타 RAID 유형)은 VDO의 중복 제거 및 압축 기능을 사용하지 않으며 권장되지 않습니다.

RAID1의 write-behind 가 더 이상 커널 패닉을 트리거하지 않음

이전 버전에서는 RAID1(Redundant Array of the Redundant Array of Disks Mode 1) 가상화 기술의 write-behind 모드에서는 상위 계층 물리 구조를 사용했습니다. 이 구조는 하위 계층 디스크에 기록된 BIOS 구조가 다시 시작된 후 즉시 해제되었습니다. 그 결과 커널 패닉이 트리거되어 write-behind 함수를 사용할 수 없었습니다. 이번 업데이트에서는 설명된 시나리오에서 커널 패닉을 트리거하지 않고 문제를 해결하고 write-behind 를 사용할 수 있습니다.

커널은 이제 bitmap:ipmac,hash:ipmac, hash:mac IP 세트 유형에서 대상 MAC 주소를 지원

이전에는 bitmap:ipmac 의 커널 구현,hash:ipmac, hash:mac IP 세트 유형만 소스 MAC 주소에 일치하도록 허용했지만 대상 MAC 주소를 지정할 수는 있지만 설정된 항목과 일치하지 않았습니다. 결과적으로 관리자는 이러한 IP 세트 유형 중 하나에서 대상 MAC 주소를 사용하는 iptables 규칙을 만들 수 있지만 지정된 사양과 일치하는 패킷은 실제로 분류되지 않았습니다. 이번 업데이트를 통해 커널은 대상 MAC 주소를 비교하고 지정된 분류가 패킷의 대상 MAC 주소에 해당하는 경우 일치 항목을 반환합니다. 결과적으로 대상 MAC 주소와 패킷과 일치하는 규칙이 올바르게 작동합니다.

이제 CPU 핫 추가 또는 핫 삭제 작업 후 kdump 커널을 부팅할 수 있습니다.

kdump 가 활성화된 IBM Power Systems의 little-endian 변형에서 Red Hat Enterprise Linux 7을 실행할 때 CPU 핫 추가 또는 핫 제거 작업 후 kexec 시스템 호출에 의해 트리거되는 경우 kdump 크래시 커널을 부팅하지 못했습니다. 이번 업데이트에서는 CPU 온라인 및 오프라인 이벤트를 활용하여 버그가 수정되었습니다. 결과적으로 kdump 커널은 설명된 시나리오에서 부팅되도록 관리합니다.

dnsmasq 는 더 이상 소스 포트로 1024 미만의 포트를 사용하지 않습니다.

이전에는dnsmasq(Domain Name System forwarder)에서 1024 미만의 모든 포트를 쿼리하는 데 사용되었습니다. 그러나 Berkeley Internet Name Domain (BIND)은 일부 낮은 포트에서 들어오는 DNS 쿼리를 삭제합니다. 그 결과 BIND에서 대상 포트 464가 무시되었습니다. 이번 업데이트를 통해 dnsmasq 는 사용자 지정 임의 포트 생성기를 사용하지 않도록 수정되었지만 이제 운영 체제에서 임의의 포트를 할당할 수 있습니다. 결과적으로 dnsmasq 는 더 이상 소스 포트로 1024 미만의 포트를 사용하지 않으므로 BIND에 설명된 문제가 발생하지 않습니다.

캐시가 활성화된 dnsmasq에서 더 이상 DNSSEC 레코드 없이 캐시된 응답을 반환하지 않음

이전에는 쿼리가 DNSSEC OK 비트가 설정된 경우에도 캐시가 활성화된 dnsmasq 서비스에서 DNSSEC 레코드 없이 캐시된 응답을 반환했습니다. 결과적으로 반환된 응답이 dnsmasq 아래의 클라이언트에서 DNSSEC 검증을 전달할 수 없었습니다. 이로 인해 dnsmasq 의 클라이언트가 DNSSEC 검증을 사용할 수 없습니다. 이 문제를 해결하려면 DNSSEC OK 비트가 설정된 요청을 항상 전달하고 DNSSEC 검증을 로컬에서 활성화하지 않는 한 캐시된 값을 사용하지 마십시오. 결과적으로 dnsmasq 의 클라이언트는 모든 응답을 성공적으로 검증할 수 있습니다.

다른 세트에 따라 ipset 서비스는 이제 로드 세트를 로드할 수 있습니다.

ECDHEhe ipset 서비스는 IP 세트(IP 주소 목록)를 별도의 파일에 저장합니다. RHEL (Red Hat Enterprise Linux) 7.6에서 서비스를 시작할 때 각 세트는 해당 서비스 간의 종속성을 순차적으로 무시했습니다. 이로 인해 서비스가 다른 세트의 종속 항목과 함께 IP 세트를 로드하지 못했습니다. 이번 업데이트를 통해 ipset 서비스는 먼저 저장된 구성에 포함된 모든 세트를 생성한 다음 해당 항목을 추가합니다. 결과적으로 다른 세트에 대한 종속성이 있는 IP 세트를 로드할 수 있습니다.

ipset 서비스의 오류 로깅 개선

이전에는 ipset 서비스에서 systemd 로그에서 의미 있는 심각도가 있는 구성 오류를 보고하지 않았습니다. 잘못된 구성 항목의 심각도 수준은 정보 제공일 뿐이며 서비스에서 사용할 수 없는 구성에 대한 오류를 보고하지 않았습니다. 결과적으로 관리자가 ipset 서비스 구성에서 문제를 식별하고 해결하기 어려웠습니다. 이번 업데이트를 통해 ipset 는 구성 문제를 systemd 로그의 경고로 보고하고, 서비스가 시작되지 않으면 추가 세부 사항을 포함하여 오류 심각도가 포함된 항목을 기록합니다. 결과적으로 ipset 서비스 구성의 문제를 보다 쉽게 해결할 수 있습니다.

시작 중 ipset 서비스에서 잘못된 설정 항목을 무시합니다.

ipset 서비스는 별도의 파일에 설정된 대로 구성을 저장합니다. 이전 버전에서는 서비스가 시작될 때 세트를 수동으로 편집하여 삽입할 수 있는 유효하지 않은 항목을 필터링하지 않고 단일 작업의 모든 세트의 구성을 복원했습니다. 그 결과 단일 구성 항목이 유효하지 않으면 서비스가 관련이 없는 추가 세트를 복원하지 않았습니다. 이 문제가 해결되었습니다. 결과적으로 ipset 서비스는 복원 작업 중에 잘못된 구성 항목을 탐지하고 제거하고 잘못된 구성 항목을 무시합니다.

firewalld가 버전 0.6.3으로 재기반

firewalld 패키지가 업스트림 버전 0.6.3으로 업그레이드되어 이전 버전에 비해 여러 버그 수정을 제공합니다.

SELinux 정책 다시 로드로 인해 더 이상 잘못된 ENOMEM이 발생하지 않음

이전에 SELinux 정책을 다시 로드하면 내부 보안 컨텍스트 조회 테이블이 응답하지 않았습니다. 결과적으로 정책을 다시 로드하는 동안 커널에 새 보안 컨텍스트가 발생하면 false "Out of memory"(ENOMEM) 오류와 함께 작업이 실패했습니다. 이번 업데이트를 통해 내부 SID(Security Identifier) 조회 테이블이 다시 설계되어 더 이상 정지되지 않습니다. 결과적으로 커널은 SELinux 정책을 다시 로드하는 동안 잘못된 ENOMEM 오류를 반환하지 않습니다.

NSS가 IPsec과 함께 사용하기 위해 X.509 인증서를 올바르게 처리

이전에는 NSS 라이브러리에서 IPsec과 함께 사용할 X.509 인증서를 제대로 처리하지 않았습니다. 그 결과, X.509 인증서에 serverAuth 및 clientAuth 속성이 포함되지 않은 EKU(Extended Key Usage) 속성이 있는 경우 Libreswan IPsec 구현에서 인증서 검증을 잘못 거부했습니다. 이번 업데이트를 통해 NSS의 IPsec 프로필이 수정되어 Libreswan에서 설명된 인증서를 허용할 수 있습니다.

NSS는 RSA-PSS 키로 생성된 RSA PKCS#1 v1.5 서명을 더 이상 허용하지 않습니다.

RSA-PSS 키는 RSA-PSS 서명만 생성하고 PKCS#1 v1.5 알고리즘을 사용하는 키로 만든 서명을 생성하는 데 사용할 수 있습니다. 이전에는 NSS(Network Security Services) 라이브러리에서 해당 개인 키를 사용하여 만든 서명을 검증할 때 서버에서 사용하는 RSA 공개 키 유형을 확인하지 않았습니다. 결과적으로 NSS는 RSA-PSS 키를 사용하여 만든 경우에도 RSA PKCS#1 v1.5 서명을 유효한 것으로 승인했습니다.

사용자를 전환할 때 권한 있는 키에 더 이상 액세스에 실패하지 않음

이전에는 AuthorizedKeysCommand* 구성 옵션을 사용하여 권한 있는 키를 검색하기 위해 사용자를 변경할 때 OpenSSH의 그룹 정보 캐시가 정리되지 않았습니다. 결과적으로 잘못된 그룹 정보로 인해 권한 있는 키에 액세스하지 못했습니다. 이 버그는 수정되었으며 사용자가 변경되면 권한 있는 키에 액세스할 수 있습니다.

scap-security-guide 에서 컨테이너 및 컨테이너 이미지에 적용되지 않는 규칙을 올바르게 건너뜁니다.

SCAP Security Guide 콘텐츠를 사용하여 컨테이너 및 컨테이너 이미지를 스캔할 수 있습니다. 컨테이너 및 컨테이너 이미지에 적용할 수 없는 규칙은 특정 CPE 식별자로 표시됩니다. 결과적으로 이러한 규칙의 평가를 자동으로 건너뛰고 컨테이너 및 컨테이너 이미지를 스캔할 때 적용되지 않습니다.

SCAP 보안 가이드의 Ansible 플레이북이 일반적인 오류로 인해 더 이상 실패하지 않음

SCAP 보안 가이드 콘텐츠에 포함된 Ansible 작업은 누락된 구성 파일, 존재하지 않는 파일 또는 제거된 패키지와 같은 특정 일반적인 사례를 처리할 수 없었습니다. 결과적으로 SCAP 보안 가이드의 Ansible 플레이북을 사용하거나 oscap 명령으로 생성된 경우 ansible-playbook 명령이 모든 오류로 종료되었습니다. 이번 업데이트를 통해 일반적인 사례를 처리하도록 Ansible 작업이 업데이트되었으며 플레이북을 실행하는 동안 공통 오류가 발생하더라도 SCAP 보안 가이드의 Ansible 플레이북을 성공적으로 실행할 수 있습니다.

SCAP 보안 가이드가 dconf 구성을 올바르게 확인

이번 업데이트 이전에는 SCAP Security Guide 프로젝트에서 사용된 OVAL(Open Vulnerability and Assessment Language) 검사가 dconf 바이너리 데이터베이스를 직접 확인하지 않았지만 각 키 파일만 확인했습니다. 이로 인해 스캔 결과에 false positives 또는 음수가 발생할 수 있습니다. 이번 업데이트를 통해 SCAP Security Guide 는 추가 검사 구성 요소를 추가하여 dconf 바이너리 데이터베이스가 해당 키 파일과 관련하여 최신 상태인지 확인합니다. 결과적으로 복잡한 검사에서 dconf 구성을 올바르게 확인합니다.

SELinux에서 gssd_t 프로세스가 다른 프로세스의 커널 키링에 액세스할 수 있도록 허용

이전에는 SELinux 정책에서 gssd_t 유형에 대한 허용 규칙이 누락되었습니다. 결과적으로 강제 모드에서 SELinux는 gssd_t 로 실행되는 프로세스가 다른 프로세스의 커널 키링에 액세스하지 못하도록 하고 예를 들어 sec=krb5 마운트를 차단할 수 있습니다. 이 규칙이 정책에 추가되었으며 gssd_t 로 실행되는 프로세스는 다른 프로세스의 인증 키에 액세스할 수 있습니다.

SELinux는 더 이상 모든 비보안 디렉토리 관리에서 snapperd 를 차단하지 않음

이번 업데이트 이전에는 SELinux 정책에 snapper 데몬(snapper데몬)에 대한 허용 규칙이 누락되었습니다. 그 결과 snapper가 강제 모드에서 SELinux를 사용하여 새 스냅샷에 대한 구성 파일을 btrfs 볼륨에 생성할 수 없었습니다. 이번 업데이트를 통해 누락된 규칙이 추가되어 SELinux를 통해 모든 비보안 디렉토리를 관리할 수 있습니다.

sudo I/O 로깅 기능도 SELinux 제한 사용자에 대해 작동합니다.

이번 SELinux 정책 업데이트 이전에는 사용자 도메인에서 일반 의사 터미널 인터페이스를 사용할 수 있는 규칙이 누락되었습니다. 그 결과 SELinux-confined 사용자에 대해 sudo 유틸리티의 I/O 로깅 기능이 작동하지 않았습니다. 누락된 규칙이 정책에 추가되어 설명된 시나리오에서 I/O 로깅 기능이 더 이상 실패하지 않습니다.

LDAP를 사용하여 구성된 sudo 에서 sudoRunAsGroup 을 올바르게 처리합니다.

이전에는 LDAP를 사용하여 구성된 sudo 툴이 sudoRunAsGroup 특성이 정의되고 sudoRunAsUser 특성이 정의되지 않은 경우 올바르게 처리되지 않았습니다. 그 결과 root 사용자가 대상 사용자로 사용되었습니다. 이번 업데이트를 통해 sudoers.ldap(5) 도움말 페이지에 설명된 동작과 일치하도록 sudoRunAsGroup 처리가 수정되었으며 이제 설명된 시나리오에서 sudo 가 제대로 작동합니다.

chronyd 가 재부팅 후 더 이상 NTP 서버와 동기화되지 않음

이전 버전에서는 인터페이스가 네트워크 스크립트에서 제어되고 NetworkManager가 동시에 활성화되면 chrony NetworkManager 디스패치 스크립트에서 NTP 소스를 부팅 시 오프라인 상태로 전환했습니다. 이로 인해 chronyd 가 시스템 시계를 동기화할 수 없었습니다. 이번 업데이트를 통해 chrony 디스패치 스크립트는 시작되거나 중단된 인터페이스와 관련이 없는 이벤트를 무시합니다. 결과적으로 chronyd 는 이제 설명된 상황에서 예상대로 NTP 서버와 동기화됩니다.

동일한 서버에서 실행 중인 SSSD가 ignore_group_members = true로 구성된 경우 CUPS에서 더 이상 액세스를 거부하지 않습니다.

SSSD(System Security Services Daemon)에서 /etc/sssd/sssd.conf 파일에서 ignore_group_members = true 설정을 사용하는 경우 getgrnam() 함수는 SSSD에서 검색한 그룹 멤버 없이 그룹 구조를 반환합니다. 이는 예상 동작입니다. 이전에는 CUPS가 getgrnam() 만 사용하여 사용자가 그룹의 멤버인지 확인합니다. 그 결과, groups를 사용하여 그룹 멤버에 대한 액세스를 허용하는 CUPS 서버에 언급된 설정으로 SSSD가 구성된 경우 CUPS에서 해당 그룹의 사용자에 대한 액세스를 거부했습니다. 이번 업데이트를 통해 CUPS는 이제 getgrouplist() 함수를 추가로 사용합니다. 이 함수는 SSSD가 ignore_group_members = true 로 구성된 경우에도 그룹 멤버를 반환합니다. 결과적으로 CUPS는 언급된 시나리오의 그룹 멤버십에 따라 액세스를 올바르게 결정합니다.

dbus-daemon 을 실행하면 더 이상 시스템 서비스를 활성화할 수 없습니다.

D-Bus 메시지 버스 데몬(dbus-daemon)을 버전 1.10.24로 다시 기반으로 여러 dbus 도구의 위치가 마이그레이션되었습니다. dbus-send 실행 파일은 /bin 디렉토리에서 /usr/bin 디렉터리로 변경되었습니다. dbus-daemon-launch-helper 실행 파일이 libdir 디렉토리에서 libexecdir 디렉터리로 이동되었습니다. 결과적으로 dbus-send 명령라는 패키지의 scriptlet이 D-Bus로 메시지를 보내고 서비스 활성화를 트리거하면 활성화에 실패할 수 있었습니다. 이번 업데이트를 통해 dbus-daemon-launch-helper 의 이전 위치와 새 위치 간의 호환성 심볼릭 링크를 생성하여 버그가 수정되었습니다. 결과적으로 실행 중인 dbus-daemon 인스턴스는 이제 시스템 버스를 호출하여 시스템 서비스를 활성화할 수 있습니다.

복구 시스템의 팀 구성이 다시 올바르게 작동합니다.

RHBA-2019:0498 권고에서 제공하는 업데이트는 ReaR의 여러 문제를 해결하여 복잡한 네트워크 구성에 영향을 미쳤습니다. 그러나 팀 구성의 경우 이 업데이트로 다른 문제가 발생했습니다. 팀에 여러 멤버 인터페이스가 있는 경우 복구 시스템에서 팀 장치가 올바르게 구성되지 않았습니다. 결과적으로 RHBA-2019:0498에서 제공하는 업데이트를 적용한 후 이전 동작을 유지하기 위해 작업이 필요했습니다. 이번 업데이트에서는 ReaR의 버그가 수정되어 복구 시스템의 팀 구성이 올바르게 작동합니다.

RHOSP 10의 RHEL 7 노드에서 가상 머신이 올바르게 작동합니다.

이전 버전에서는 Red Hat OpenStack Plaform 10 (RHOSP 10)에서 RHEL 7 (Red Hat Enterprise Linux 7) 노드를 이후 마이너 버전으로 업그레이드하면 해당 노드에서 호스팅되는 VM(가상 머신)을 시작할 수 없는 경우가 있었습니다. 이번 업데이트에서는 tuned 서비스가 kvm-intel 모듈의 매개 변수를 구성하는 방법을 수정하여 설명된 문제가 발생하지 않도록 합니다.

Tuned 에서 ksm 및 ksmtuned 처리가 수정되었습니다.

이전에는 ksm 및 ksmtuned 서비스가 활성화된 경우 Tuned 가 cpu-partitioning 프로필을 적용하지 못하는 경우가 있었습니다. 이번 업데이트를 통해 ksm 및 ksmtuned 서비스 처리가 수정되었습니다. 결과적으로 Tuned 는 cpu-partitioning 프로필을 안정적으로 적용합니다.

Tuned 프로필이 로드될 때 존재하지 않는 sysctl 설정을 참조하는 /var/log/tuned/tuned.log 의 오류 메시지가 더 이상 발생하지 않음

이전에는 Tuned 데몬이 존재하지 않는 sysctl 설정을 오류로 처리했습니다. 예를 들어 net.bridge.bridge-nf-call-ip6tables,net.bridge-nf-call-iptables, 또는 net.bridge.bridge-nf-call-arptables, 이는 /var/log/tuned/tuned.log 파일에서 오류를 트리거할 수 있습니다.

LVM은 더 이상 물리 볼륨의 첫 번째 128kB 공간에 있는 데이터 손상을 유발하지 않습니다.

이전에는 LVM의 I/O 계층의 버그로 인해 드물지 않은 경우 데이터 손상이 발생할 수 있었습니다. 버그는 다음 조건이 동시에 적용되는 경우에만 나타날 수 있습니다.

시스템 부팅이 더 이상 ndctl에 의해 지연되지 않음

이전 버전에서는 ndctl 패키지에서 설치한 udev 규칙에서 NVDIMM(Non-Volatile Dual In-line Memory Module) 장치가 있는 시스템에서 시스템 부팅 프로세스가 몇 분 동안 지연되는 경우가 있었습니다. 이러한 경우 systemd 에 다음과 유사한 메시지가 표시되었습니다.

systemd에서 가져온 VM 및 컨테이너 이미지 가져오기 및 내보내기 서비스

최신 systemd 버전에는 이전 빌드에서 활성화되지 않은 systemd-importd 데몬이 포함되어 machinectl pull-* 명령이 실패했습니다. systemd-importd 데몬은 기술 프리뷰로 제공되며 안정적인 것으로 간주해서는 안 됩니다.

기술 프리뷰로 사용할 수 있는 컨테이너화된 Identity Management 서버

rhel7/ipa-server 컨테이너 이미지는 기술 프리뷰 기능으로 사용할 수 있습니다. rhel7/sssd 컨테이너 이미지가 이제 완전히 지원됩니다.

IdM을 숨겨진 복제본으로 설정하면 이제 기술 프리뷰로 사용 가능

이 향상된 기능을 통해 관리자는 IdM(Identity Management) 복제본을 숨겨진 복제본으로 설정할 수 있습니다. 숨겨진 복제본은 모든 서비스가 실행 중이고 사용 가능한 IdM 서버입니다. 그러나 DNS의 서비스에 SRV 레코드가 없고 LDAP 서버 역할이 활성화되어 있지 않기 때문에 다른 클라이언트 또는 마스터에는 알 수 없습니다. 따라서 클라이언트는 서비스 검색을 사용하여 숨겨진 복제본을 탐지할 수 없습니다.

DNSSEC를 IdM에서 기술 프리뷰로 이용 가능

통합된 DNS가 있는 IdM(Identity Management) 서버는 이제 DNS 프로토콜의 보안을 강화하기 위한 DNS로의 확장 기능 세트인 DNS Security Extensions(DNS Security Extensions)를 지원합니다. IdM 서버에서 호스팅되는 DNS 영역은 DNSSEC를 사용하여 자동으로 서명할 수 있습니다. 암호화 키는 자동으로 생성되고 순환됩니다.

ID 관리 JSON-RPC API를 기술 프리뷰로 사용 가능

IdM(Identity Management)에 API를 사용할 수 있습니다. API를 보기 위해 IdM은 API 브라우저도 기술 프리뷰로 제공합니다.

AD 및 LDAP sudo 공급자 사용

Active Directory(AD) 공급자는 AD 서버에 연결하는 데 사용되는 백엔드입니다. Red Hat Enterprise Linux 7.2부터 LDAP 공급자와 함께 AD sudo 공급자를 사용하는 것은 기술 프리뷰로 사용할 수 있습니다. AD sudo 공급자를 활성화하려면 sssd.conf 파일의 [domain] 섹션에 sudo_provider=ad 설정을 추가합니다.

Custodia 시크릿 서비스 공급자는 기술 프리뷰로 사용 가능

기술 프리뷰로 시크릿 서비스 공급자인 Custodia를 사용할 수 있습니다. custodia는 키 또는 암호와 같은 시크릿의 프록시로 저장하거나 사용합니다.

corosync-qdevice 의 이기종 기술 프리뷰로 사용 가능

추론은 시작시 로컬로 실행되는 명령 세트, 클러스터 멤버십 변경, corosync-qnetd 에 성공적으로 연결, 선택적으로 주기적으로 실행됩니다. 모든 명령이 시간에 성공적으로 완료되면 (올바르 반환 오류 코드가 0 인 경우), 추론이 통과되었습니다. 그렇지 않으면 실패합니다. 이기종 결과는 corosync-qnetd 로 전송되며 계산에 어떤 파티션을 정족해야 하는지 결정합니다.

새로운 fence-agents-heuristics-ping fence 에이전트

Pacemaker는 기술 프리뷰로 fence_heuristics_ping 에이전트를 지원합니다. 이 에이전트는 자체적으로 실제 펜싱을 수행하지 않고 펜싱 수준의 동작을 새로운 방식으로 활용하는 실험적인 차단 에이전트 클래스를 여는 것을 목표로 합니다.

pcs 툴에서 Pacemaker에서 번들 리소스를 관리합니다.

Red Hat Enterprise Linux 7.4부터 기술 프리뷰로 Pacemaker는 필요한 모든 인프라에서 Docker 컨테이너를 시작하기 위한 특수 구문을 지원합니다. Pacemaker 번들을 생성한 후에는 번들을 캡슐화하는 Pacemaker 리소스를 생성할 수 있습니다. 컨테이너의 Pacemaker 지원에 대한 자세한 내용은 고가용성 애드온 참조를 참조하십시오.

새로운 LVM 및 LVM 잠금 관리자 리소스 에이전트

Red Hat Enterprise Linux 7.6에는 기술 프리뷰로 lvmlockd 및 LVM 활성화 라는 두 가지 새로운 리소스 에이전트가 도입되었습니다.

기술 프리뷰로 Wayland 사용 가능

Wayland 디스플레이 서버 프로토콜은 GNOME에서 Wayland 지원을 활성화하는 데 필요한 종속 패키지를 사용하여 Red Hat Enterprise Linux에서 기술 프리뷰로 사용할 수 있으며, 이는 부분적인 확장을 지원합니다. Wayland 에서는 입력 드라이버로 libinput 라이브러리를 사용합니다.

기술 프리뷰로 부분 확장 가능

Red Hat Enterprise Linux 7.5부터 GNOME은 기술 프리뷰로 부분적인 확장을 제공하여 DPI가 lo(scale 1)와 hi(scale 2) 사이에 있는 모니터의 문제를 해결합니다.

ext4 및 XFS에서 기술 프리뷰로 파일 시스템 DAX 사용 가능

Red Hat Enterprise Linux 7.3부터 Direct Access (DAX)는 애플리케이션이 영구 메모리를 주소 공간에 직접 매핑할 수 있는 방법을 기술 프리뷰로 제공합니다.

pNFS 블록 레이아웃 사용 가능

기술 프리뷰로 Red Hat Enterprise Linux 클라이언트는 블록 레이아웃 기능을 사용하여 pNFS 공유를 마운트할 수 있습니다.

OverlayFS

OverlayFS는 일종의 통합 파일 시스템입니다. 이를 통해 사용자는 한 파일 시스템을 다른 파일 시스템 위에 오버레이할 수 있습니다. 변경 사항은 상위 파일 시스템에 기록되지만 하위 파일 시스템은 수정되지 않은 상태로 유지됩니다. 이를 통해 여러 사용자가 기본 이미지가 읽기 전용 미디어에 있는 컨테이너 또는 DVD-ROM과 같은 파일 시스템 이미지를 공유할 수 있습니다. 자세한 내용은 Linux 커널 설명서 를 참조하십시오.

Btrfs 파일 시스템

B-Tree 파일 시스템 Btrfs 는 Red Hat Enterprise Linux 7에서 기술 프리뷰로 사용할 수 있습니다.

LSI Syncro CS HA-DAS 어댑터

Red Hat Enterprise Linux 7.1에는 LSI Syncro CS HA-DAS(고가용성 직접 연결 스토리지) 어댑터를 지원하기 위해 megaraid_sas 드라이버에 코드가 포함되었습니다. 이전에 활성화된 어댑터에서 megaraid_sas 드라이버가 완전하게 지원되지만 Syncro CS용 드라이버를 기술 프리뷰로 사용할 수 있습니다. 이 어댑터에 대한 지원은 LSI, 시스템 통합자 또는 시스템 공급 업체에 의해 직접 제공됩니다. Red Hat Enterprise Linux 7.2 이상에 Syncro CS를 배포하는 사용자는 Red Hat 및 LSI에 피드백을 제공하는 것이 좋습니다.

tss2 는 IBM Power LE에 대해 TPM 2.0을 활성화합니다.

tss2 패키지는 신뢰할 수 있는 컴퓨팅 그룹 스택(TSS) 2.0을 IBM Power LE 아키텍처의 기술 프리뷰로 구현한 IBM 구현이 추가되었습니다. 이 패키지를 사용하면 TPM 2.0 장치와 상호 작용할 수 있습니다.

기술 프리뷰로 사용 가능한 ibmvnic 장치 드라이버

Red Hat Enterprise Linux 7.3부터 IBM POWER 아키텍처용 IBM vNIC(Virtual Network Interface Controller) 드라이버인 ibmvnic 이 기술 프리뷰로 사용할 수 있습니다. vNIC는 엔터프라이즈 기능을 제공하고 네트워크 관리를 단순화하는 PowerVM 가상 네트워킹 기술입니다. SR-IOV NIC와 결합된 경우 가상 NIC 수준에서 대역폭 제어 QoS(Service Quality of Service) 기능을 제공하는 고성능의 효율적인 기술입니다. vNIC는 가상화 오버헤드를 크게 줄여 네트워크 가상화에 필요한 CPU 및 메모리를 포함하여 대기 시간을 줄이고 서버 리소스의 수를 줄입니다.

Kubelet 어댑터를 기술 프리뷰로 이용 가능

기술 프리뷰로 사용할 수 있는 CloudEvent 어댑터는 다음과 같습니다.

기술 프리뷰로 사용할 수 있는 아이노이드 드라이버

Intel® 이더넷 연결 E800 시리즈 Linux 드라이버(drain.ko.xz)는 기술 프리뷰로 사용할 수 있습니다.

기술 프리뷰로 사용 가능한ig c 드라이버

Intel® 2.5G 이더넷 Linux 드라이버(igc.ko.xz)는 기술 프리뷰로 사용할 수 있습니다.

추적을 위한 eBPF 시스템 호출

Red Hat Enterprise Linux 7.6에는 eBPF(Extended Berkeley Packet Filter)를 기술 프리뷰로 도입했습니다. 이 툴은 추적 하위 시스템에 대해서만 활성화됩니다. 자세한 내용은 관련 Red Hat 지식베이스 문서를 참조하십시오.

이기종 메모리 관리 포함 기술 프리뷰

Red Hat Enterprise Linux 7.3은 이기종 메모리 관리(HMM) 기능을 기술 프리뷰로 도입했습니다. 이 기능은 프로세스 주소 공간을 자체 메모리 관리 장치(MMU)에 미러링하려는 장치의 도우미 계층으로 커널에 추가되었습니다. 따라서 CPU 이외의 장치 프로세서는 통합 시스템 주소 공간을 사용하여 시스템 메모리를 읽을 수 있습니다. 이 기능을 활성화하려면 kernel 명령행에 experimental_hmm=enable 을 추가합니다.

kexec 를 기술 프리뷰로

kexec 시스템 호출은 기술 프리뷰로 제공되었습니다. 이 시스템 호출을 사용하면 현재 실행 중인 커널에서 다른 커널로 로드 및 부팅할 수 있으므로 커널 내에서 부트 로더의 기능을 수행할 수 있습니다. 표준 시스템 부팅 중에 일반적으로 수행되는 하드웨어 초기화는 kexec 부팅 중에 수행되지 않으므로 재부팅에 필요한 시간이 크게 줄어듭니다.

kexec 빠른 재부팅 을 기술 프리뷰로

Red Hat Enterprise Linux 7.5에서 도입된 kexec 빠른 재부팅 기능은 기술 프리뷰로 계속 사용할 수 있습니다. kexec 빠른 재부팅 을 사용하면 재부팅이 훨씬 빨라집니다. 이 기능을 사용하려면 kexec 커널을 수동으로 로드한 다음 운영 체제를 재부팅해야 합니다.

perf cqm 이 resctrl으로 교체됨

Intel CacheECDHE Technology (CAT)는 Red Hat Enterprise Linux 7.4에서 기술 프리뷰로 소개되었습니다. 그러나 perf cqm 툴은 perf 인프라와 CQM( Cache Quality of Service Monitoring) 하드웨어 지원 간의 비호환성으로 인해 제대로 작동하지 않았습니다. 결과적으로 perf cqm 을 사용할 때 여러 문제가 발생했습니다.

TC HW 오프로드는 기술 프리뷰로 사용 가능

Red Hat Enterprise Linux 7.6부터 STS( Traffic Control) 하드웨어 오프로드가 기술 프리뷰로 제공되었습니다.

AMD xgbe 네트워크 드라이버를 기술 프리뷰로 사용 가능

Red Hat Enterprise Linux 7.6부터 AMD xgbe 네트워크 드라이버는 기술 프리뷰로 제공되었습니다.

보안 메모리 암호화는 기술 프리뷰로만 사용 가능

현재 SME(Secure Memory Encryption)는 kdump 커널에서 SME 암호화 메모리를 해독하는 메모리 키가 없기 때문에 kdump 기능과 호환되지 않습니다. Red Hat은 SME를 활성화하면 테스트 중인 서버가 일부 기능을 수행하지 못할 수 있으므로 프로덕션 환경에서 사용하기에는 적합하지 않음이 확인되었습니다. 결과적으로 SME는 지원 수준을 Supported에서 기술 프리뷰로 변경하고 있습니다. 고객은 사전 프로덕션을 수행하는 동안 Red Hat 또는 시스템 공급 업체에 테스트 중인 모든 문제를 보고하는 것이 좋습니다.

버전 3.5에 따른 criu

Red Hat Enterprise Linux 7.2에는 criu 툴을 기술 프리뷰로 도입했습니다. 이 툴은 실행 중인 애플리케이션을 정지하고 파일 모음으로 저장하는 데 사용할 수 있는 CRIU(사용자 공간)에서 검사점/복원 을 구현합니다. 나중에 애플리케이션이 부트 해제된 상태에서 복원될 수 있습니다.

mlx5_core 드라이버는 Mellanox ConnectX-6 Dx 네트워크 어댑터를 기술 프리뷰로 지원

이번 개선된 기능에는 Mellanox ConnectX-6 Dx 네트워크 어댑터의 PCI ID가 mlx5_core 드라이버에 추가되었습니다. 이 어댑터를 사용하는 호스트에서 RHEL은 mlx5_core 드라이버를 자동으로 로드합니다. Red Hat은 이 기능을 지원되지 않는 기술 프리뷰로 제공합니다.

Cisco usNIC driver

Cisco UCS(Unified Communication Manager) 서버에는 Cisco 독점 사용자 공간 네트워크 인터페이스 컨트롤러(usNIC)를 제공하는 선택적 기능이 있어 사용자 공간 애플리케이션에 대한 RDMA(Remote Direct Memory Access)와 같은 작업을 수행할 수 있습니다. 기술 프리뷰로 사용할 수 있는 libusnic_verbs 드라이버를 사용하면 Verbs API를 기반으로 하는 표준 InfiniBand RDMA 프로그래밍을 통해 usNIC 장치를 사용할 수 있습니다.

Cisco VIC 커널 드라이버

기술 프리뷰로 사용할 수 있는 Cisco VIC Infiniband 커널 드라이버를 사용하면 독점형 Cisco 아키텍처에서 RDMA(Remote Directory Memory Access)와 같은 의미 체계를 사용할 수 있습니다.

신뢰할 수 있는 네트워크 연결

기술 프리뷰로 사용할 수 있는 신뢰할 수 있는 Network Connect는 엔드포인트 연기 평가를 통합하기 위해 TLS, 802.1X 또는 IPsec과 같은 기존 네트워크 액세스 제어(NAC) 솔루션과 함께 사용됩니다. 즉, 엔드포인트의 시스템 정보 수집(예: 운영 체제 구성 설정, 설치된 패키지 등)을 사용합니다. 신뢰할 수 있는 Network Connect는 끝점이 네트워크에 액세스할 수 있도록 허용하기 전에 네트워크 액세스 정책에 대해 이러한 측정을 확인하는 데 사용됩니다.

qlcnic 드라이버의 SR-IOV 기능

SR-IOV(Single-Root I/O Virtualization)에 대한 지원이 기술 프리뷰로 qlcnic 드라이버에 추가되었습니다. 이 기능에 대한 지원은 QLogic에서 직접 제공하며 고객은 QLogic 및 Red Hat에 피드백을 제공하는 것이 좋습니다. qlcnic 드라이버의 다른 기능은 완전히 지원됩니다.

오프로딩 지원이 있는 데크립터 분류기

아이 슬레이크는 사용자가 다양한 프로토콜에 대해 잘 알려진 패킷 필드에서 일치를 구성할 수 있도록 설계된 트래픽 제어(knative) 분류기입니다. 복잡한 필터링 및 분류 작업을 위해 u32 분류기를 통해 규칙을 더 쉽게 구성할 수 있도록하기위한 것입니다. 또한 슬라이크는 하드웨어에서 지원하는 경우 분류 및 작업 규칙을 기본 하드웨어에 오프로드하는 기능을 지원합니다. 아이 슬 레이크 TC 분류기가 이제 기술 프리뷰로 제공됩니다.

기술 프리뷰로 사용할 수 있는 RHEL 시스템 역할의 postfix 역할

Red Hat Enterprise Linux System Roles는 Red Hat Enterprise Linux 하위 시스템에 대한 구성 인터페이스를 제공하므로 Ansible 역할을 포함하여 시스템 구성을 보다 쉽게 수행할 수 있습니다. 이 인터페이스를 사용하면 Red Hat Enterprise Linux의 여러 버전에서 시스템 구성을 관리하고 새로운 주요 릴리스를 채택할 수 있습니다.

rhel-system-roles-sap 을 기술 프리뷰로 사용 가능

rhel-system-roles-sap 패키지는 SAP 워크로드를 실행하기 위해 RHEL 시스템의 구성을 자동화하는 데 사용할 수 있는 SAP용 RHEL(Red Hat Enterprise Linux) 시스템 역할을 제공합니다. 이러한 역할은 관련 SAP Notes에 설명된 모범 사례를 기반으로 하는 최적의 설정을 자동으로 적용하여 SAP 워크로드를 실행하도록 시스템을 구성하는 시간을 크게 단축합니다. 액세스는 RHEL for SAP Solutions 제품으로 제한됩니다. 서브스크립션에 대한 지원이 필요한 경우 Red Hat 고객 지원에 문의하십시오.

이제 libreswan에서SECCOMP를 활성화할 수 있습니다.

기술 프리뷰로 seccomp=enabled|tolerant|disabled 옵션이 ipsec.conf 구성 파일에 추가되어SECCOMP(Secure Computing mode)를 사용할 수 있습니다. 이렇게 하면 Libreswan 이 실행할 수 있는 모든 시스템 호출을 허용 목록에 추가하여 syscall 보안이 향상됩니다. 자세한 내용은 ipsec.conf(5) 매뉴얼 페이지를 참조하십시오.

pk12util RSA-PSS로 서명된 인증서를 가져올 수 있음

pk12util 툴에서는 RSA-PSS 알고리즘으로 서명된 인증서를 기술 프리뷰로 가져올 수 있습니다.

certutil 에서 RSA-PSS 로 서명된 인증서 지원이 향상되었습니다.

certutil 툴에서 RSA-PSS 알고리즘으로 서명된 인증서 지원이 개선되었습니다. 주요 개선 사항 및 수정 사항은 다음과 같습니다.

NSS 가 인증서에서 RSA-PSS 서명을 확인할 수 있음

RHEL 7.5 버전의 nss 패키지 이후 NSS( Network Security Services ) 라이브러리에서는 인증서에 대한 RSA-PSS 서명을 기술 프리뷰로 검증할 수 있습니다. 이번 업데이트 이전에는 SSL 백엔드로 NSS 를 사용하는 클라이언트는 RSA-PSS 알고리즘으로 서명된 인증서만 제공하는 서버에 TLS 연결을 설정할 수 없었습니다.

usbguard 는 화면을 기술 프리뷰로 잠글 때 USB 장치를 차단할 수 있습니다.

USBGuard 프레임워크를 사용하면 이미 실행 중인 usbguard-daemon 인스턴스가 "InsertedDevicePolicy" 런타임 매개변수 값을 설정하여 새로 삽입된 USB 장치를 처리하는 방법에 영향을 미칠 수 있습니다. 이 기능은 기술 프리뷰로 제공되며 기본 옵션은 장치를 승인할지 여부를 파악하는 정책 규칙을 적용하는 것입니다.

NVMe/FC는 qla2xxx 드라이버를 사용하여 Qlogic 어댑터에서 기술 프리뷰로 사용 가능

NVMe/FC(NVMe over Fibre Channel) 전송 유형은 qla2xxx 드라이버를 사용하여 Qlogic 어댑터에서 기술 프리뷰로 사용할 수 있습니다.

SCSI의 다중 대기열 I/O 스케줄링

Red Hat Enterprise Linux 7에는 blk-mq 라는 블록 장치를 위한 새로운 다중 대기열 I/O 스케줄링 메커니즘이 포함되어 있습니다. scsi-mq 패키지를 사용하면 Small Computer System Interface (SCSI) 하위 시스템에서 이 새로운 대기열 메커니즘을 사용할 수 있습니다. 이 기능은 기술 프리뷰로 제공되며 기본적으로 활성화되어 있지 않습니다. 활성화하려면 커널 명령줄에 scsi_mod.use_blk_mq=Y 를 추가합니다.

libStorageMgmt API의 대상 플러그인

Red Hat Enterprise Linux 7.1 이후 스토리지 어레이 독립 API인 libStorageMgmt를 사용한 스토리지 어레이가 완전히 지원됩니다. 제공된 API는 안정적이고 일관되며 개발자는 다양한 스토리지 배열을 프로그래밍 방식으로 관리하고 제공되는 하드웨어 가속 기능을 사용할 수 있습니다. 시스템 관리자는 libStorageMgmt를 사용하여 스토리지를 수동으로 구성하고 포함된 명령줄 인터페이스를 사용하여 스토리지 관리 작업을 자동화할 수 있습니다.

qla2xxx 및 lpfc 드라이버의 기술 프리뷰로 SCSI-MQ

Red Hat Enterprise Linux 7.4에서 업데이트된 qla2xxx 드라이버는 ql2xmqsupport=1 모듈 매개변수와 함께 SCSI-MQ(multiqueue)를 사용할 수 있습니다. 기본값은 0 (비활성화)입니다.

YUM 4 를 기술 프리뷰로 사용 가능

YUM 버전 4의 차세대 YUM 패키지 관리자는 Red Hat Enterprise Linux 7 Extras 채널에서 기술 프리뷰로 사용할 수 있습니다.

KVM 게스트에 대한 USB 3.0 지원

KVM 게스트에 대한 USB 3.0 호스트 어댑터(xHCI) 에뮬레이션은 Red Hat Enterprise Linux 7에서 기술 프리뷰로 남아 있습니다.

Intel 네트워크 어댑터를 선택하고 Hyper-V의 RHEL 7 게스트 OS에서 SR-IOV 지원

이제 Hyper-V 하이퍼바이저에서 실행되는 Red Hat Enterprise Linux 7 게스트 운영 체제는 ixgbevf 및 i40evf 드라이버에서 지원하는 Intel 네트워크 어댑터에 SR-IOV(Single-root I/O Virtualization) 기능을 사용할 수 있습니다. 이 기능은 다음 조건이 충족되면 활성화됩니다.

VFIO 드라이버의 no-IOMMU 모드

이 업데이트에서는 기술 프리뷰로 VFIO(가상 기능 I/O) 드라이버를 위한 No-IOMMU 모드를 추가합니다. No-IOMMU 모드는 IOMMU(I/O) I/O(IOMMU) 없이 직접 메모리 액세스(DMA) 가능 장치에 대한 전체 사용자 공간 I/O 액세스를 사용자에게 제공합니다. 지원되지 않는 것 외에도 IOMMU에서 제공하는 I/O 관리 부족으로 인해 이 모드를 사용하는 것은 안전하지 않습니다.

RHEL 7 게스트용 호스트로 Azure M416v2

이제 RHEL 7.6 이상을 게스트 운영 체제로 사용하는 가상 머신의 호스트로 Azure M416v2 인스턴스 유형을 사용할 수 있습니다.

virt-v2v 는 Debian 및 Ubuntu 게스트를 변환할 수 있습니다.

기술 프리뷰로 virt-v2v 유틸리티는 이제 Debian 및 Ubuntu 게스트 가상 머신을 변환할 수 있습니다. 이 변환을 수행할 때 현재 다음 문제가 발생합니다.

GPU 기반 중재 장치가 VNC 콘솔을 지원

이제 VNC(Virtual Network Computing) 콘솔을 NVIDIA vGPU 기술과 같은 GPU 기반 중재 장치와 함께 사용할 수 있습니다. 결과적으로 가상 머신의 그래픽 출력을 실시간으로 렌더링하기 위해 이러한 중재 장치를 사용할 수 있습니다.

Open Virtual Machine Firmware

OVMF(Open Virtual Machine Firmware)는 Red Hat Enterprise Linux 7에서 기술 프리뷰로 사용할 수 있습니다. OVMF는 AMD64 및 Intel 64 게스트를 위한 UEFI 보안 부팅 환경입니다. 그러나 RHEL 7에서 사용할 수 있는 가상화 구성 요소를 사용하여 OVMF는 부팅이 불가능합니다. OVMF는 RHEL 8에서 완전하게 지원됩니다.

ID 범위 변경 사항을 적용할 때 일관성 없는 경고 메시지

RHEL IdM(Identity Management)에서는 로컬 IdM 도메인 또는 신뢰할 수 있는 Active Directory 도메인과 연관된 여러 ID 범위(ID 범위)를 정의할 수 있습니다. ID 범위에 대한 정보는 등록된 모든 시스템의 SSSD 데몬에서 검색합니다.

ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 수 있는 위험

TLS없이 ldap:// 를 ID 조회에 사용하는 경우 공격 벡터가 발생할 위험이 있습니다. 특히 MITM(Man-in-the-middle) 공격으로 공격자는 LDAP 검색에 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.

RHEL에 포함된 GCC 스레드 sanitizer가 더 이상 작동하지 않음

커널 메모리 매핑의 호환되지 않는 변경으로 인해 RHEL의 GCC(GNU C 컴파일러) 컴파일러 버전에 포함된 스레드 sanitizer가 더 이상 작동하지 않습니다. 또한, 스레드 sanitizer는 호환되지 않는 메모리 레이아웃에 적용할 수 없습니다. 따라서 RHEL에 포함된 GCC 스레드 sanitizer를 더 이상 사용할 수 없습니다.

SystemTap의 컨텍스트 변수에 항상 액세스할 수 없는 경우

GCC 컴파일러의 디버그 정보 생성에는 몇 가지 제한 사항이 있습니다. 결과적으로 SystemTap 툴을 사용하여 결과 실행 파일을 분석할 때 $foo 형식으로 나열된 컨텍스트 변수에 액세스할 수 없는 경우가 있었습니다. 이 제한을 해결하려면 $HOME/.systemtap/rc 파일에 -P 옵션을 추가합니다. 이로 인해 SystemTap이 항상 prologue-searching heuristics를 선택합니다. 결과적으로 일부 컨텍스트 변수에 액세스할 수 있습니다.

KEYBD 트랩이 있는 KSH는 멀티바이트 문자를 잘못 처리

KEYBD 트랩이 활성화된 경우 Korn Shell(KSH)에서 멀티바이트 문자를 올바르게 처리할 수 없습니다. 결과적으로 사용자가 일본어 문자(예: 일본어)를 입력하면 ksh 가 잘못된 문자열을 표시합니다. 이 문제를 해결하려면 다음 행을 주석 처리하여 /etc/kshrc 파일에서 KEYBD 트랩을 비활성화합니다.

RHEL 7.6 버전에서 PCP 를 업그레이드하는 동안 오류가 발생했습니다.

pcp 패키지를 RHEL 7.6에서 RHEL 7.7 버전으로 업그레이드하는 경우 yum 은 다음과 같은 오류 메시지를 반환합니다.

LibreLoadBalancer 없이 설치할 때 GNOME 문서는 일부 문서를 표시할 수 없습니다 .

GNOME 문서는 OpenDocument text 또는 Open office XML 형식과 같은 특정 유형의 문서를 렌더링하기 위해 LibreLoadBalancer 제품군에서 제공하는 라이브러리를 사용합니다. 그러나 필요한 libreoffice-filters 라이브러리는 gnome-documents 패키지의 종속성 목록에서 누락됩니다. 따라서 Libreanchor가 없는 시스템에 Gnome Documents 를 설치하는 경우 이러한 문서 유형을 렌더링할 수 없습니다.

GNOME Software 는 서명되지 않은 리포지토리에서 패키지를 설치할 수 없습니다.

GNOME 소프트웨어는 *.repo 파일에 다음과 같은 설정이 있는 리포지토리에서 패키지를 설치할 수 없습니다.

iPXE는 GNOME Classic 세션의 아이콘을 숨기지 않습니다.

기본적으로 아이콘이 숨겨져 있는 GNOME 세션의 아이콘을 표시하거나 숨기는 GNOME Tweak 툴 설정은 GNOME 클래식 세션에서 무시됩니다. 결과적으로 GNOME Tweak 툴에 이 옵션이 표시되는 경우에도 GNOME Classic 세션의 아이콘을 숨길 수 없습니다.

RHEL 7.7 이상 설치에서 Intel Cascade Lake 시스템에 spectre_v2=retpoline 추가

RHEL 7.7 이상 설치에서는 spectre_v2=retpoline 커널 매개변수를 Intel Cascade Lake 시스템에 추가하고 결과적으로 시스템 성능에 영향을 미칩니다. 이 문제를 해결하고 최상의 성능을 얻으려면 다음 단계를 완료하십시오.

RHEL 7 가상 머신이 ESXi 5.5에서 부팅되지 않는 경우가 있음

VMware ESXi 5.5 하이퍼바이저에서 12GB RAM 이상으로 Red Hat Enterprise Linux 7 게스트를 실행하는 경우 현재 일부 구성 요소는 잘못된 메모리 유형 범위 레지스터(MTRR) 값으로 초기화하거나 부팅 시 MTRR 값을 잘못 재구성합니다. 이로 인해 게스트 커널이 패닉 상태가 발생하거나 부팅 중에 게스트가 응답하지 않는 경우가 있습니다.

특정 NIC 펌웨어가 bnx2x로 응답하지 않을 수 있음

사전 부팅 드라이버의 언로드 시퀀스의 버그로 인해 일부 인터넷 어댑터의 펌웨어는 bnx2x 드라이버가 장치를 인수한 후 응답하지 않을 수 있습니다. bnx2x 드라이버는 문제를 감지하고 커널 로그에서 "storm stats were not updated for 3 times" 메시지를 반환합니다. 이 문제를 해결하려면 하드웨어 공급 업체가 제공하는 최신 NIC 펌웨어 업데이트를 적용합니다. 결과적으로 사전 부팅 펌웨어의 언로드가 이제 예상대로 작동하고 bnx2x 가 장치를 인수한 후 펌웨어가 더 이상 중단되지 않습니다.

부팅 시 i40iw 모듈이 자동으로 로드되지 않음

일부 i40e NIC는 iWarp를 지원하지 않으며 i40iw 모듈에서 일시 중지 및 재개 작업을 완전히 지원하지 않습니다. 결과적으로 i40iw 모듈은 일시 중단 및 재개 작업이 제대로 작동하는지 확인하기 위해 기본적으로 자동으로 로드되지 않습니다. 이 문제를 해결하려면 /lib/udev/rules.d/90-rdma-hw-modules.rules 파일을 편집하여 i40iw 의 자동 로드를 활성화합니다.

중단되지 않은 영구 메모리 구성에서는 스토리지를 사용할 수 없습니다.

이전에는 영구 메모리가 64MB 경계에 정렬된 시스템에서 네임스페이스를 생성할 수 없었습니다. 그 결과 경우에 따라 중단되지 않은 영구 메모리 구성이 스토리지를 사용할 수 없었습니다. 이 문제를 해결하려면 영구 메모리에 인터리빙 모드를 사용합니다. 결과적으로 대부분의 스토리지는 사용할 수 있지만 오류 격리가 제한됩니다.

영구 메모리 파일 시스템으로 인해 시스템 부팅이 실패할 수 있음

많은 영구 메모리가 있는 시스템을 부팅하는 데 시간이 오래 걸립니다. /etc/fstab 파일에서 영구 메모리 파일 시스템을 구성하는 경우 시스템이 장치를 사용할 수 있을 때까지 대기하는 시간이 초과될 수 있습니다. 그런 다음 부팅 프로세스가 실패하고 사용자에게 긴급 프롬프트가 표시됩니다.

Radeon 이 하드웨어를 올바르게 재설정하지 못했습니다.

radeon 커널 드라이버는 현재 kexec 컨텍스트에서 하드웨어를 올바르게 재설정하지 않습니다. 대신 radeon 은 예기치 않게 종료되어 나머지 kdump 서비스가 실패합니다.

특정 eBPF 툴로 인해 IBM Z에서 시스템이 응답하지 않을 수 있습니다.

iPXE 컴파일러의 버그로 인해 IBM Z에서 bcc-tools 패키지에 포함된 특정 eBPF 도구를 실행하면 시스템이 응답하지 않을 수 있습니다. 이 문제를 해결하려면 수정 사항이 릴리스될 때까지 dcsnoop,runqlen 및 slabratetop 툴을 IBM Z의 bcc-tools 에서 사용하지 마십시오.

/dev/sg 의 동시 SG_IO 요청으로 인해 데이터가 손상될 수 있습니다.

/dev/sg 장치 드라이버에서 커널 데이터의 동기화가 누락되었습니다. 드라이버의 동시 요청은 동시에 동일한 데이터에 액세스합니다.

내부 및 외부 VLAN 태그의 잘못된 순서

mlx5 드라이버를 사용할 때 QinQ (IEEE802.1Q 표준 IEEE802.1Q에서 IEEE802.1Q)를 사용하는 경우 내부 및 외부 VLAN 태그를 스왑 순서로 수신합니다. 이는 rxvlan 오프로드 스위치가 이 경로에서 효과적이지 않으며 OVS(Open vSwitch)에서 이 오류를 앞으로 푸시하기 때문에 발생합니다. 알려진 해결방법이 없습니다.

kdump 가 RHEL 7의 Azure 인스턴스에서 vmcore를 생성하지 못했습니다.

UEFI 부트로더를 통해 부팅되는 Azure 인스턴스의 직렬 콘솔 구현과 관련된 근본적인 문제로 인해 kdump 커널을 부팅할 수 없습니다. 결과적으로 충돌한 커널의 vmcore는 /var/crash/ 디렉터리에서 캡처할 수 없습니다. 이 문제를 해결하려면 다음을 수행합니다.

KASLR이 활성화된 경우 kdumpctl 서비스가 크래시 커널을 로드하지 못했습니다.

kptr_restrict 커널 튜닝 가능 항목의 부적절한 설정으로 인해 /proc/kcore 파일의 콘텐츠가 모든 0s로 생성됩니다. 결과적으로 kdumpctl 서비스는 /proc/kcore 에 액세스하고 KASLR(Kernel Address Space Layout Randomization)이 활성화된 경우 크래시 커널을 로드할 수 없습니다. 이 문제를 해결하려면 kptr_restrict 를 1 로 설정합니다. 결과적으로 kdumpctl 은 설명된 시나리오에서 크래시 커널을 로드할 수 있습니다.

두 번째 커널에서 kdump 실패

kdump initramfs 아카이브는 크래시 덤프를 캡처하는 데 중요한 구성 요소입니다. 그러나 실행되는 컴퓨터에 대해 엄격하게 생성되며 일반성이 없습니다. 디스크를 마이그레이션하거나 디스크 이미지로 새 머신을 설치한 경우 두 번째 커널에서 kdump가 실패할 수 있습니다.

Red Hat Enterprise Linux 7에서 MD5 해시 알고리즘을 사용한 서명 검증이 비활성화됨

MD5 서명된 인증서가 필요한 Wi-Fi Protected Access (WPA)AP(Enterprise Access Point)에 연결하는 것은 불가능합니다. 이 문제를 해결하려면 /usr/lib/systemd/system/ 디렉토리에서 wpa_supplicant.service 파일을 /etc/systemd/system/ 디렉토리로 복사하고 파일의 서비스 섹션에 다음 행을 추가합니다.

네트워크 드라이버를 다시 시작하면 네트워크 장치에서 부팅이 실패합니다.

현재 iSCSI 또는FCoE(Fibre Channel over Ethernet)를 사용할 때 부팅 장치가 네트워크를 통해 마운트된 경우 기본 네트워크 인터페이스 드라이버를 다시 시작할 때 RHEL(Red Hat Enterprise Linux)이 부팅되지 않습니다.

RHEL 7.3에서 업그레이드할 때 freeradius 가 실패할 수 있음

/etc/raddb/radiusd.conf 파일의 새로운 구성 속성인 correct_escapes 가 RHEL 7.4 이후 freeradius 버전에 도입되었습니다. 관리자가 correct_escapes 를 true 로 설정하면 백슬래시 이스케이프에 대한 새로운 정규식 구문이 예상됩니다. correct_escapes 가 false 로 설정되면 백슬래시도 이스케이프되는 이전 구문이 예상됩니다. 이전 버전과의 호환성을 위해 false 는 기본값입니다.

RHEL 7은 연장된 기간 동안 스위치를 사용할 수 없는 후 802.3ad 본딩의 상태를 "Churned"로 보여줍니다.

현재 802.3ad 네트워크 본딩을 구성하고 연장된 기간 동안 스위치가 중단된 경우 Red Hat Enterprise Linux는 연결이 작동 상태로 돌아간 후에도 연결 상태를 "Churned"로 올바르게 표시합니다. 그러나 "Churned" 상태는 관리자에게 중요한 링크 중단이 발생했음을 알리는 것을 목표로 하므로 이는 의도된 동작입니다. 이 상태를 지우려면 네트워크 본딩을 다시 시작하거나 호스트를 재부팅합니다.

클라이언트 ID 를 사용하면 IP 주소 충돌이 발생

클라이언트 ID 옵션을 사용하는 경우 특정 네트워크 스위치는 동적 DHCP(호스트 구성 프로토콜) 요청의 ciaddr 필드를 무시합니다. 결과적으로 동일한 IP 주소가 여러 클라이언트에 할당되어 IP 주소 충돌이 발생합니다. 이 문제를 해결하려면 dhclient.conf 파일에 다음 행을 포함하십시오.

Libreswan 이 모든 구성에서 seccomp=enabled 에서 제대로 작동하지 않음

Libreswan SECCOMP 지원 구현에서 허용되는 syscall 세트가 현재 완료되지 않았습니다. 그 결과, ipsecCOMP가 ipsec.conf 파일에서 활성화되면 syscall 필터링은 pluto 데몬의 적절한 기능에 필요한 syscall을 거부합니다. 데몬이 종료되고 ipsec 서비스가 다시 시작됩니다.

RSA-PSS를 지원하지 않는 PKCS#11 장치는 TLS 1.3과 함께 사용할 수 없습니다.

TLS 프로토콜 버전 1.3에는 HSM(하드웨어 보안 모듈) 또는 스마트 카드와 같은 모든 PKCS#11 장치에서 지원하지 않는 RSA-PSS 서명이 필요합니다. 현재 NSS를 사용하는 서버 애플리케이션은 TLS 1.3을 협상하기 전에 PKCS#11 모듈 기능을 확인하지 않습니다. 결과적으로 RSA-PSS를 지원하지 않는 PKCS#11 장치를 사용하여 인증을 시도합니다. 이 문제를 해결하려면 TLS 1.2를 대신 사용하십시오.

TLS 1.3이 FIPS 모드에서 NSS에서 작동하지 않음

TLS 1.3은 FIPS 모드에서 작동하는 시스템에서 지원되지 않습니다. 결과적으로 상호 운용성을 위해 TLS 1.3이 필요한 연결은 FIPS 모드에서 작동하는 시스템에서 작동하지 않습니다.

OpenSCAP 은 실수로 원격 파일 시스템에 액세스

OpenSCAP 스캐너는 스캔한 파일 시스템이 마운트된 원격 파일 시스템인지 또는 로컬 파일 시스템인지 여부를 올바르게 탐지할 수 없으며 탐지 부분에 다른 버그도 포함되어 있습니다. 결과적으로 스캐너는 평가된 규칙이 로컬 파일 시스템에만 적용되는 경우에도 마운트된 원격 파일 시스템을 읽고 원격 파일 시스템에서 원하지 않는 트래픽을 생성할 수 있습니다.

mysql_install_db 를 사용한 MariaDB 수동 초기화 실패

MariaDB 데이터베이스를 초기화하는 mysql_install_db 스크립트는 /usr/libexec/ 디렉터리에서 resolveip 바이너리를 호출하는 반면 바이너리는 /usr/bin/ 에 있습니다. 결과적으로 mysql_install_db 를 사용하여 데이터베이스를 수동으로 초기화하지 못합니다.

MySQL-connector-java 가 MySQL 8.0에서 작동하지 않음

RHEL 7에서 제공되는 mysql-connector-java 데이터베이스 커넥터는 MySQL 8.0 데이터베이스 서버에서 작동하지 않습니다. 이 문제를 해결하려면 Red Hat Software Collections의 rh-mariadb103-mariadb-client 데이터베이스 커넥터를 사용하십시오.

균형 잡힌 Tuned 프로필이 사용될 때 무해한 오류 메시지가 발생합니다.

이 프로필을 적용할 때 cpufreq_conservative 커널 모듈이 로드되는 방식으로 balanced Tuned 프로파일이 변경되었습니다. 그러나 cpufreq_conservative 는 커널에 내장되어 있으며 모듈로 사용할 수 없습니다. 결과적으로 balanced 프로필을 사용하면 /var/log/tuned/tuned.log 파일에 다음 오류 메시지가 표시될 수 있습니다.

php-mysqlnd 데이터베이스 커넥터가 MySQL 8.0에서 작동하지 않음

MySQL 8.0에서는 기본 문자 세트가 utf8mb4 로 변경되었지만 이 문자 세트는 php-mysqlnd 데이터베이스 커넥터에서 지원되지 않습니다. 결과적으로 php-mysqlnd 가 기본 구성에서 연결되지 않습니다. 이 문제를 해결하려면 MySQL 서버 구성의 매개 변수로 알려진 문자 집합을 지정합니다. 예를 들어 /etc/opt/rh/rh-mysql80/my.cnf.d/mysql-server.cnf 파일을 다음과 같이 수정합니다.

FCoE 소프트웨어와 scsi-mq 를 사용할 때 시스템이 예기치 않게 중단됩니다.

호스트 시스템은 다중 큐 스케줄링(scsi-mq)과 소프트웨어 FFCoE(Fibre Channel over Ethernet)를 동시에 사용하도록 구성되면 예기치 않게 중지됩니다.

대규모 시스템에서 시스템 부팅이 실패하는 경우가 있음

부팅 프로세스 중에 udev 장치 관리자는 대규모 시스템에 너무 많은 규칙을 생성하는 경우가 있습니다. 예를 들어 32TB 메모리와 192개의 CPU가 있는 시스템에서 문제가 발생했습니다. 결과적으로 부팅 프로세스가 응답하지 않거나 시간이 초과되고 긴급 쉘로 전환됩니다.

이미지가 활성/활성 클러스터 미러에서 분리되면 생성되는 새 논리 볼륨에 활성 구성 요소가 없습니다.

활성/활성 클러스터 미러에서 이미지를 분할하면 생성되는 새 논리는 활성으로 표시되지만 활성 구성 요소는 없습니다. 새로 분할된 논리 볼륨을 활성화하려면 볼륨을 비활성화한 다음 다음 명령으로 활성화합니다.

가상 머신은 불필요한 CPU 취약점 완화를 활성화하는 경우가 있습니다.

현재 MDS_NO CPU 플래그는 CPU가 MDS(Microarchitectural Data Sampling) 취약점에 취약하지 않음을 나타내는 플래그가 게스트 운영 체제에 노출되지 않습니다. 결과적으로 일부 경우 게스트 운영 체제는 현재 호스트에 필요하지 않은 CPU 취약점 완화 기능을 자동으로 활성화합니다.

RHEL 7 호스트에서 RHEL 8 가상 이미지 수정에 실패하는 경우가 있음

RHEL 7 호스트에서 guestfish,virt-sysprep, 또는 유틸리티가 RHEL 8 파일 시스템을 사용하는 가상 이미지를 대상으로 하는 경우 일부 경우에 virt-customize 와 같은 가상 이미지 조작 유틸리티를 사용합니다. RHEL 7은 RHEL 8의 특정 파일 시스템 기능과 완전히 호환되지 않기 때문입니다.

Windows Server 2019 호스트의 RHEL 7 게스트 콘솔에 대한 느린 연결

Windows Server 2019 호스트에서 다중 사용자 모드에서 RHEL 7을 게스트 운영 체제로 사용하는 경우 현재 게스트의 콘솔 출력에 연결하는 데 예상보다 시간이 오래 걸립니다. 이 문제를 해결하려면 SSH를 사용하여 게스트에 연결하거나 호스트로 Windows Server 2016을 사용합니다.

SMT는 AMD EPYC CPU 모델에서만 작동합니다.

현재 AMD EPYC CPU 모델만 동시 멀티스레딩(SMT) 기능을 지원합니다. 결과적으로 다른 CPU 모델을 사용하여 VM(가상 머신)을 구성할 때 topoext 기능을 수동으로 활성화하면 VM에서 vCPU 토폴로지를 올바르게 탐지하지 못하고 vCPU가 구성된 대로 수행되지 않습니다. 이 문제를 해결하려면 topoext 를 수동으로 활성화하지 말고 호스트가 AMD EPYC 모델을 사용하지 않는 한 AMD 호스트에서 threads vCPU 옵션을 사용하지 마십시오.