7.8 릴리스 노트

ActivClient 드라이버가 있는 Windows 게스트에서 스마트 카드 공유가 지원됩니다.

이번 업데이트에서는 Windows 게스트 OS 및 ActivClient 드라이버를 사용하는 VM(가상 머신)의 스마트 카드 공유에 대한 지원이 추가되었습니다. 이를 통해 이러한 VM에서 에뮬레이션 또는 공유 스마트 카드를 사용하여 사용자 로그인을 위한 스마트 카드 인증을 사용할 수 있습니다.

ipa-client-automount 유틸리티는 IdM 도메인과 다른 NFS 도메인 설정을 지원합니다.

이번 개선된 기능에는 ipa-client-automount 유틸리티에 --idmap-domain 옵션이 추가되었습니다. 이전에는 ipa-client-automount 가 NFS 도메인이 IdM(Identity Management) 도메인과 동일하지만 항상 그렇지 않은 것으로 가정합니다. 결과적으로 IdM 도메인과 다른 NFS 도메인을 지정할 수 있습니다.

Samba 버전 4.10.4로 업데이트

samba 패키지가 업스트림 버전 4.10.4로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.

Pacemaker concurrent-fencing 클러스터 속성의 기본값을 true로 설정

Pacemaker는 기본적으로 concurrent-fencing 클러스터 속성을 true 로 설정합니다. 여러 노드를 동시에 펜싱하고 구성된 다른 펜싱 장치를 사용하는 경우 Pacemaker는 이전과 같이 직렬화되지 않고 펜싱을 동시에 실행합니다. 이렇게 하면 여러 노드를 펜싱해야 하는 경우 대규모 클러스터에서 복구 속도가 크게 향상될 수 있습니다.

정리 노드 종료 시 중지되도록 리소스를 구성하는 Pacemaker 지원

클러스터 노드가 종료되면 Pacemaker의 기본 응답은 해당 노드에서 실행 중인 모든 리소스를 중지하고 다른 위치에서 복구하는 것입니다. 일부 사용자는 오류에 대해서만 고가용성을 제공하고 명확한 종료를 예약된 중단으로 처리합니다. 이를 해결하기 위해 Pacemaker는 이제 shutdown-lock 및 shutdown-lock-limit 클러스터 속성을 지원하여 다음에 다시 참여할 때까지 노드에서 활성 상태인 리소스를 중지해야 함을 지정합니다. 이제 사용자는 수동 조작 없이 예약된 중단으로 클린 종료를 사용할 수 있습니다. 정리 노드 종료 시 중지되도록 리소스를 구성하는 방법에 대한 자세한 내용은 Clean Node에서 Remain Stopped로 리소스 구성 을 참조하십시오.

IBM PowerPC 시스템에서 SHA-2 작업 구현

이번 업데이트에서는 IBM PowerPC 시스템에서 SHA-2 작업의 어셈블리 코드 구현을 추가하여 성능을 크게 향상시킵니다.

OpenJDK에서 secp256k1도 지원

이전에는 OpenJDK(Open Java Development Kit)가 NSS 라이브러리의 곡선만 사용할 수 있었습니다. 그 결과 OpenJDK는 ECC(elliptic curve cryptography)에 대해 secp256r1, secp384r1 및 secp521r1 곡선만 제공했습니다. 이번 업데이트를 통해 OpenJDK는 내부 ECC 구현을 사용하고 secp256k1 곡선도 지원합니다.

GNOME Classic에서 수정된 작업 공간 전환

GNOME Classic 환경의 작업 공간 전환이 수정되었습니다. 전환기는 이제 하단 표시줄의 오른쪽 부분에 있으며, 그 스위치는 축소판의 수평 스트립으로 설계되었습니다.

GNOME에서 root 그래픽 로그인에 대해 경고

이번 업데이트를 통해 이제 root 사용자로 그래픽 세션에 로그인하면 GNOME에 경고 알림이 표시됩니다.

CloudEvent 어댑터가 이제 완전히 지원됩니다.

이전에 기술 프리뷰로 사용할 수 있는 다음ECDHE 어댑터가 이제 완전히 지원됩니다.

RHEL 7.8에서 Blueprint 사용자 정의 지원

이번 개선된 기능을 통해 RHEL 7.8에서는 CLI를 사용할 때 청사진 내에서 이미지 사용자 정의 집합을 지원합니다. 이러한 사용자 정의를 사용하려면 Blueprint에서 이를 구성하고 (push)를 Image Builder로 가져와야 합니다. 따라서 시스템에 대한 사양을 추가할 수 있습니다.

RHEL 7.8의 커널 버전

Red Hat Enterprise Linux 7.8은 커널 버전 3.10.0-1127과 함께 배포됩니다.

FUSE 파일 시스템은 사용자 네임스페이스 내에서 사용할 수 있습니다.

RHEL 7을 사용하면 사용자 네임스페이스 내에 FUSE(Userspace) 기반 파일 시스템을 마운트할 수 있습니다. 결과적으로 Buildah 또는 Podman 유틸리티로 생성된 rootless 컨테이너 내에서 fuse-overlayfs 명령을 사용할 수 있습니다.

ipcmin_extend 는 고유한 System V IPC 식별자 수를 늘립니다.

새로운 커널 명령줄 매개 변수 ipcmin_extend 는 고유한 IPC(System V Interprocess Communication) 식별자의 수를 32,768에서 16,777,216으로 늘립니다. 결과적으로 고유한 System V IPC 식별자가 32,768를 초과하는 애플리케이션이 있는 사용자는 주요 재 설계없이 관련 애플리케이션을 RHEL에 포트하도록 ipcmin_extend 를 추가할 수 있습니다.

Intel® Omni-Path Architecture (OPA) 호스트 소프트웨어

Intel® Omni-Path Architecture(OPA) 호스트 소프트웨어는 Red Hat Enterprise Linux 7.8에서 완전하게 지원됩니다. Intel OPA는 클러스터형 환경의 컴퓨팅 및 I/O 노드 간에 고성능 데이터 전송(고가 대역폭, 메시지 속도, 짧은 대기 시간)을 위해 HFI(Host Fabric Interface) 하드웨어에 초기화 및 설정을 제공합니다.

kernel-rt 소스 트리가 최신 RHEL 7 트리와 일치

kernel-rt 소스가 최신 Red Hat Enterprise Linux 커널 소스 트리로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.

RHEL 시스템 역할에 새 스토리지 역할 추가

스토리지 역할은 RHEL 7 Extras 리포지토리에서 사용할 수 있는 rhel-system-roles 패키지에서 제공하는 RHEL 시스템 역할에 추가되었습니다.

SCAP 보안 가이드에서 OSPP 4.2.1 및 NCP 프로파일 제공

OSPP(Protection Profile for General Purpose Operating Systems) 프로파일이 업데이트되었으며 현재 OSPP 4.2.1 기준을 준수합니다. ospp42 ID가 있는 프로필이 OSPP 프로필에 병합되었습니다. ospp42 는 더 이상 유효한 ID가 아니므로 ospp 42 프로필을 사용하여 시스템을 ospp로 전환해야 합니다.

SCAP 보안 가이드에서 ACSC Essential Eight 지원

scap-security-guide 패키지는 이제 호주 ACSC(Essential Eight) 규정 준수 프로필 및 해당 Kickstart 파일을 제공합니다. 이 향상된 기능을 통해 사용자는 이 보안 기준을 준수하는 시스템을 설치할 수 있습니다. 또한 OpenSCAP 제품군을 사용하여 ACSC에서 정의한 최소 보안 제어 사양을 사용하여 보안 컴플라이언스 및 수정을 확인할 수 있습니다.

SCAP Security Guide 가 서비스를 올바르게 비활성화

이번 업데이트를 통해 SCAP Security Guide (SSG) 프로필이 제대로 비활성화되고 시작하지 않아야 하는 서비스를 마스킹합니다. 이를 통해 비활성화된 서비스가 다른 서비스의 종속성으로 의도치 않게 시작되지 않습니다. 이러한 변경 이전에는 미국과 같은 SSG 프로파일이 있습니다. C2S 정부 Commercial Cloud Services (C2S) 프로필은 서비스를 비활성화했습니다. 따라서 먼저 마스킹을 해제하지 않는 한 SSG 프로필로 비활성화된 서비스를 시작할 수 없습니다.

SCAP 보안 가이드 버전 0.1.46으로 업데이트

SCAP Security Guide (SSG) 패키지가 이전 버전에 대한 개선 사항 및 버그 수정을 제공하는 버전 0.1.46로 업그레이드되었습니다.

SCAP Security Guide 이제 RHEL 7에서 RHEL 8 시스템 스캔 지원

scap-security-guide 패키지에는 RHEL 8용 SCAP 콘텐츠 및 Ansible 플레이북이 포함되어 있습니다. 이를 통해 RHEL 7 환경에서 RHEL 8 시스템 및 컨테이너를 스캔할 수 있습니다.

SELinux-policy 에서 tomcat 프로세스가 redis 데이터베이스에 연결할 수 있도록 허용

이번 selinux-policy 패키지 업데이트에서는 tomcat_t 도메인이 tomcat_can_network_connect_db SELinux 부울이 활성화된 경우 redis_port_t 레이블이 지정된 포트에 연결할 수 있는 규칙을 도입합니다. 이제 이 부울을 사용하여 tomcat_t 가 redis 프로세스에서 이전에 지원되지 않은 여러 데이터베이스에 액세스할 수 있습니다.

sysadm_u 사용자가 그래픽 세션에 로그인할 수 있음

이전에는 sysadm_u SELinux 사용자에게 매핑된 Linux 사용자가 그래픽 세션에 로그인할 수 없었습니다. 이러한 사용자가 DISA STIG 요구 사항을 준수하면서 그래픽 세션을 사용할 수 있도록 SELinux 정책이 업데이트되었습니다. xdm_sysadm_login 부울이 활성화된 경우 이제 sysadm_u 사용자가 GNOME Display Manager에서 X Window System 세션에 성공적으로 로그인할 수 있습니다.

imudp 및 imtcp 에 대해 FROMHOST 의 케이스를 유지하기 위한 rsyslog 옵션을 사용할 수 있습니다.

rsyslog 서비스에 대한 이번 업데이트에서는 imudp 및 imtcp 모듈에 대한 FROMHOST 속성의 문자 전송 기능을 관리하는 옵션이 도입되었습니다. preservecase 값을 on 으로 설정하면 FROMHOST 속성이 대/소문자를 민감한 방식으로 처리됩니다. 기존 구성이 중단되지 않도록 하려면 imtcp 에 대해 기본값 preservecase 가 켜져 있고 imudp 의 경우 off 가 사용됩니다.

DIF/DIX(데이터 무결성 필드/데이터 무결성 확장) 지원

DIF/DIX는 하드웨어 공급 업체가 자격을 갖춘 구성에서 지원되며 RHEL의 특정 HBA(호스트 버스 어댑터) 및 스토리지 어레이 구성에 대한 완전한 지원을 제공합니다.

Qlogic HBA에서 NVMe/FC가 완전히 지원됨

NVMe/FC(NVMe over Fibre Channel) 전송 유형은 qla2xxx 드라이버를 사용하는 Qlogic Fibre Channel(FC) 호스트 버스 어댑터(HBA)에서 완전하게 지원됩니다.

디렉터리 서버 버전 1.3.10으로 재 기반

389-ds-base 패키지가 업스트림 버전 1.3.10으로 업그레이드되어 이전 버전에 비해 여러 버그 수정을 제공합니다.

서버가 검색 작업을 거부하면 Directory Server가 검색 기반을 올바르게 기록합니다.

이전 버전에서는 Directory Server에서 프로토콜 오류로 인해 검색 작업을 거부했을 때 실제 검색 기반 대신 base="(null)" 를 기록했습니다. 이번 업데이트를 통해 Directory Server에서 올바른 내부 변수를 로그 작업에 전달합니다. 결과적으로 서버는 언급된 시나리오에서 검색 기반을 올바르게 기록합니다.

Directory Server에서 etime 값의 로깅 개선

이전 버전에서는 1초 경계에서 작업을 시작하고 완료한 경우 Directory Server가 잘못 계산된 etime 값을 1초 미만으로 기록했습니다. 그 결과 기록된 값이 너무 커졌습니다. 이번 업데이트에서는 이 문제가 해결되었습니다. 결과적으로 계산된 etime 값이 이제 시작 및 종료 타임 스탬프에 더 가깝습니다.

Directory Server가 액세스 로그에 올바른 etime 값을 기록

이전 버전에서는 Directory Server에서 /var/log/dirsrv/slapd-<instance_name>/access 로그 파일에서 etime 필드를 잘못 포맷했습니다. 그 결과 나노초의 시간 값이 실제 값보다 10배 낮았습니다. 이번 업데이트에서는 문제가 해결되었습니다. 결과적으로 Directory Server는 이제 etime 필드에 올바른 나노초 값을 기록합니다.

Directory Server 로그 메시지의 심각도가 변경되었습니다.

이전 버전에서는 Directory Server 에서 Event <event_name> 상태가 <state_name>으로 발생하지 않아야 했습니다. 오류로 메시지를 자는 중입니다. 이번 업데이트에서는 이 메시지의 심각도가 warning 으로 변경됩니다.

Directory Server는 한 요청에서 1.1 및 기타 속성을 검색할 때 RFC 4511을 준수합니다.

일치하는 고유 이름(DN) 목록만 검색하려면 LDAP 사용자가 1.1 특수 특성을 검색할 수 있습니다. RFC 4511에 따르면 LDAP 클라이언트가 한 검색 요청의 다른 속성과 함께 1.1. 특수 속성을 검색하는 경우 서버는 1.1 특수 속성을 무시해야 합니다.

Directory Server에서 암호 정책 제어를 올바른 순서로 반환합니다.

이전 버전에서는 사용자의 암호가 만료된 경우 유예 로그인이 소진되었는지 여부에 따라 Directory Server에서 암호 정책 제어를 다른 순서로 반환했습니다. 이로 인해 RFC 4511 표준을 준수하는 LDAP 클라이언트의 문제가 발생하는 경우가 있었습니다. 이번 업데이트에서는 문제가 해결되어 Directory Server에서 암호 정책 제어를 올바른 순서로 반환합니다.

디렉터리 서버는 확장 작업에서 수신한 최대 동시 정리AllRUV 작업에도 제한을 적용합니다.

Directory Server는 최대 64개의 동시 cleanAllRUV 작업을 지원합니다. 이전 버전에서는 Directory Server에서 이 제한을 수동으로 생성한 작업에만 적용하고 확장 작업에서 수신한 작업에는 적용되지 않았습니다. 그 결과 64개가 넘는 동시 cleanAllRUV 작업이 동시에 실행되고 서버 속도가 느려질 수 있었습니다. 이번 업데이트에서는 정리 작업 수와 중단 스레드 수를 추적하는 카운터를 추가합니다. 결과적으로 최대 64개의 동시 정리AllRUV 작업만 동시에 실행될 수 있습니다.

많은 nested-subtrees가 있는 Directory Server 데이터베이스로 대용량 LDIF 파일 가져오기가 크게 빨라졌습니다.

이전 버전에서는 Directory Server 데이터베이스에 여러 개의 중첩된 하위 트리가 포함된 경우 ldif2db 및 ldif2db.pl 유틸리티를 사용하여 대규모 LDIF 파일을 가져오는 속도가 느렸습니다. 이번 업데이트를 통해 Directory Server는 모든 항목 다음에 id 인덱스를 추가합니다. 결과적으로 LDIF 파일을 많은 중첩된 하위 트리가 있는 데이터베이스로 가져오는 속도가 크게 빨라졌습니다.

Directory Server에서 이전 SASL 바인딩이 연결을 완전히 초기화한 후에만 새 작업을 처리합니다.

SASL(Simple Authentication and Security Layer) 프레임워크를 사용하는 바인딩 중에 Directory Server는 콜백 함수 집합을 초기화합니다. 이전 버전에서는 Directory Server가 SASL 바인딩 중에 동일한 연결에서 추가 작업을 수신한 경우, 이 작업이 완전히 초기화되지 않은 경우에도 콜백 함수에 액세스하여 사용할 수 있었습니다. 그 결과 Directory Server 인스턴스가 예기치 않게 종료되었습니다. 이번 업데이트를 통해 서버는 이전 SASL 바인딩이 성공적으로 초기화될 때까지 콜백 구조에 액세스하고 사용하지 못하도록 합니다. 따라서 이 경우 Directory Server가 더 이상 충돌하지 않습니다.

이제 cl-dump.pl 및 cl-dump 유틸리티에서 변경 로그를 내보낸 후 임시 파일을 제거합니다.

이전 버전에서는 Directory Server의 cl-dump.pl 및 cl-dump 유틸리티가 /var/lib/dirsrv/slapd-<instance_name>/changelogdb/ 디렉터리에 임시 LDIF 파일을 생성했습니다. 변경 로그를 내보낸 후 유틸리티에서 임시 파일의 이름이 *.done 으로 변경되었습니다. 따라서 임시 파일이 큰 경우 디스크 여유 공간이 부족해질 수 있습니다. 이번 업데이트를 통해 기본적으로 cl-dump.pl 및 cl-dump 가 내보내기 마지막에 임시 파일을 삭제합니다. 또한 임시 파일을 수동으로 유지하기 위해 -l 옵션이 두 유틸리티에 추가되었습니다. 결과적으로 cl-dump.pl 및 cl-dump 는 변경 로그를 내보낸 후 디스크 공간을 확보하거나 사용자가 -l 옵션을 사용하여 이전 동작을 선택적으로 적용할 수 있습니다.

IdM은 IdM 서버 또는 복제본을 설치하거나 업데이트할 때 TLS 1.2만 사용하도록 Apache NSS 모듈을 설정합니다.

이전 버전에서는 관리자가 IdM(Identity Management) 서버 또는 복제본을 설치할 때 설치 프로그램이 Apache 웹 서버의 NSS(Network Security Service) 모듈에 TLS 1.0, TLS 1.1 및 TLS 1.2 프로토콜을 사용하도록 설정했습니다. 이번 업데이트에서는 다음과 같은 변경 사항을 제공합니다.

IdM이 이제 cn=CAcert,cn=ipa,cn=etc,<base_DN > 항목의 인증서 레코드를 올바르게 업데이트

이전 버전에서는 IdM(Identity Management) 인증 기관(CA) 인증서를 갱신하거나 CA 인증서 체인을 수정한 후 IdM에서 cn=CAcert,cn=ipa,cn=etc,<base_DN > 항목에 저장된 인증서 레코드를 업데이트하지 않았습니다. 그 결과 RHEL 6에 IdM 클라이언트 설치에 실패했습니다. 이번 업데이트를 통해 IdM은 이제 cn=CAcert,cn=ipa,cn=etc,<base_DN >의 인증서 레코드를 업데이트합니다. 결과적으로 관리자가 CA 인증서를 갱신하거나 IdM CA의 인증서 체인을 업데이트한 후 RHEL 6에 IdM을 설치할 수 있습니다.

ipa-replica-install 유틸리티에서 --server 에 지정된 서버가 모든 필수 역할을 제공하는지 확인

ipa-replica-install 유틸리티는 설치 프로그램이 등록에 사용해야 하는 IdM(Identity Management) 서버를 지정하는 --server 옵션을 제공합니다. 이전에는 ipa-replica-install 에서 제공된 서버가 CA(인증 기관) 및 KRA(키 복구 기관) 역할을 제공하는지 확인하지 않았습니다. 결과적으로 설치 관리자는 CA 및 KRA 역할을 제공하는 다른 서버에서 지정된 서버 및 CA 데이터를 복제했습니다. 이번 업데이트를 통해 ipa-replica-install 은 지정된 서버가 필요한 모든 역할을 제공하는지 확인합니다. 결과적으로 관리자가 --server 옵션을 사용하는 경우 ipa-replica-install 은 지정된 서버의 데이터만 복제합니다.

IPA sudorule-add-option 옵션이 기존 sudo 규칙에 추가될 때 더 이상 거짓 오류를 표시하지 않음

이전에는 sudo 규칙에 이미 호스트, 호스트 그룹, 사용자 그룹 또는 사용자 그룹이 포함된 경우 ipa sudorule-add-option 명령에서 sudo 규칙 콘텐츠를 잘못 처리했습니다. 그 결과 sudooption 인수와 함께 사용한 ipa sudorule-add-option 명령에서 완료 후에도 오류가 반환되었습니다. 이 버그는 수정되었으며 ipa sudorule-add-option 은 이제 설명된 시나리오에 정확한 출력을 표시합니다.

IdM은 계정이 보존에서 스테이지로 이동할 때 더 이상 모든 사용자 지정 속성을 삭제하지 않습니다.

이전에는 IdM에서 보존 계정에 정의된 일부 속성만 처리했습니다. 결과적으로 계정을 보존에서 단계로 이동할 때 모든 사용자 지정 특성이 손실되었습니다. 이번 업데이트를 통해 IdM은 보존 계정에 정의된 모든 속성을 처리하고 설명된 문제는 더 이상 발생하지 않습니다.

하위 CA 키 복제가 더 이상 실패하지 않음

이전 버전에서는 Kerberos 라이브러리의 인증 정보 캐시(ccache) 동작을 변경하면 경량 CA(인증 기관) 키 복제가 실패했습니다. 이번 업데이트에서는 IdM 경량 CA 키 복제 클라이언트 코드를 변경된 ccache 동작에 맞게 조정합니다. 결과적으로 경량 CA 키 복제가 올바르게 작동합니다.

시스템이 다른 하위 시스템 또는 LDAP 서버에 클라이언트 역할을 하는 경우 인증서 시스템에서 감사 이벤트를 기록합니다.

이전에는 시스템이 다른 하위 시스템 또는 LDAP 서버에 클라이언트로 작동하는 경우 인증서 시스템에 감사 이벤트가 없었습니다. 그 결과 서버는 이 경우 이벤트를 기록하지 않았습니다. 이번 업데이트에서는 CLIENT_ACCESS_SESSION_ESTABLISH_FAILURE,CLIENT_ACCESS_SESSION_ESTABLISH_SUCCESS, CLIENT_ACCESS_SESSION_TERMINATED 이벤트가 인증서 시스템에 추가됩니다. 결과적으로 인증서 시스템은 클라이언트 역할을 할 때 이러한 이벤트를 기록합니다.

python-kdcproxy 라이브러리에서 더 이상 대규모 Kerberos 응답을 삭제하지 않음

이전 버전에서는 KDC(Active Directory Kerberos Distribution Center)에서 대규모 Kerberos 응답을 여러 TCP 패킷으로 분할하면 python-kdcproxy 라이브러리에서 이러한 패키지가 삭제되었습니다. 이번 업데이트에서는 문제가 해결되었습니다. 그 결과 python-kdcproxy 가 대규모 Kerberos 응답을 올바르게 처리합니다.

socket::inet_aton() 은 이제 여러 스레드에서 안전하게 사용할 수 있습니다.

이전에는 unsafe gethostbyname() glibc 함수라는 여러 Perl 스레드에서 도메인 이름을 확인하는 데 사용되는 Socket::inet_aton() 함수입니다. 결과적으로 잘못된 IPv4 주소가 때때로 반환되었거나 Perl 인터프리터가 예기치 않게 종료되었습니다. 이번 업데이트를 통해 gethostbyname() 대신 thread-safe getaddrinfo() glibc 함수를 사용하도록 Socket::inet_aton() 구현이 변경되었습니다. 결과적으로 Perl Socket 모듈의 inet_aton() 함수는 여러 스레드에서 안전하게 사용할 수 있습니다.

sosreport 에서 HTML 보고서를 더 빠르게 생성

이전에는 sosreport 유틸리티에서 수만 개의 파일을 수집할 때 HTML 보고서 생성이 매우 느렸습니다. 이번 업데이트에서는 텍스트 보고서 코드를 변경하여 보고서 구조 및 포맷을 개선합니다. 또한 JSON 파일 형식의 보고서 지원이 추가되었습니다. 결과적으로 HTML 보고서가 지연 없이 생성됩니다.

이제 시스템을 설치하거나 업그레이드할 때 32비트 및 64비트 fwupd 패키지를 함께 사용할 수 있습니다.

이전에는 fwupd 패키지의 /usr/lib/systemd/system/fwupd.service 파일이 32비트 및 64비트 아키텍처에서는 달랐습니다. 결과적으로 32비트 및 64비트 fwupd 패키지를 모두 설치하거나 32비트 및 64비트 fwupd 패키지를 최신 버전으로 사용하는 Red Hat Enterprise Linux 7.5 시스템을 업그레이드하는 것은 불가능했습니다. 이번 업데이트에서는 /usr/lib/systemd/system/fwupd.service 파일이 32비트 및 64비트 아키텍처 모두에서 동일하도록 fwupd 가 수정되었습니다. 결과적으로 32비트 및 64비트 fwupd 패키지를 모두 설치하거나 32비트 및 64비트 fwupd 패키지로 Red Hat Enterprise Linux 7.5 시스템을 최신 버전으로 업그레이드할 수 있습니다.

libteam 의 메모리 누수가 수정되었습니다.

이전에는 사용자가 네트워크 팀의 상태를 쿼리할 때 libteam 라이브러리에서 잘못된 JSON API를 사용했습니다. 그 결과 teamdctl <team_device> state 명령이 메모리를 유출했습니다. 이번 업데이트를 통해 라이브러리는 올바른 API를 사용하고 팀의 상태를 쿼리해도 더 이상 메모리가 누출되지 않습니다.

설치 프로그램이 Kickstart 네트워크 팀 장치의 연결 유형을 올바르게 설정합니다.

이전 버전에서는 설치 프로그램에서 DEVICETYPE="Team" 매개변수 대신 TYPE="Team" 매개변수를 사용하여 Kickstart 네트워크 팀 장치에 생성된 ifcfg 파일에 연결 유형을 지정했습니다. 결과적으로 네트워크 서비스를 사용하는 모든 네트워크 팀 장치가 부팅 프로세스 중에 활성화되지 않았습니다. 이번 업데이트를 통해 설치 프로그램은 DEVICETYPE 매개변수를 사용하여 ifcfg 파일에 연결 유형을 지정합니다. 결과적으로 시스템이 네트워크 구성에 네트워크 서비스를 사용하는 경우에도 부팅 프로세스 중에 Kickstart 네트워크 팀 장치가 활성화됩니다(예: NetworkManager 서비스가 비활성화됨).

GTK가 설치되지 않은 경우 설치 프로그램이 예외를 올바르게 처리합니다.

이전에는 환경에 GTK GUI 툴킷이 설치되지 않은 경우 설치 프로그램에서 예외를 처리하지 못했습니다. 그 결과 예외는 사용자에게 전달되지 않았습니다. 이번 업데이트를 통해 GTK GUI 툴킷이 설치되지 않은 경우 설치 프로그램에서 예외를 올바르게 처리하고 사용자에게 예외도 알립니다.

특정 BCC 툴을 사용할 때 IBM Z 시스템이 더 이상 응답하지 않음

이전에는 커널의 버그로 인해 dcsnoop,runqlen, bcc-tools 패키지의 slabratetop 유틸리티로 인해 IBM Z 시스템이 응답하지 않았습니다. 이번 업데이트에서는 문제가 해결되어 IBM Z 시스템이 설명된 시나리오에 더 이상 중단되지 않습니다.

가상 머신에서 더 이상 불필요한 CPU 취약점 완화를 활성화하지 않음

이전에는 MDS_NO CPU 플래그로 인해 CPU가 Microarchitectural Data Sampling (MDS) 취약점에 취약하지 않았음을 나타내는 경우 가상 머신이 CPU 호스트-패스루를 사용하는 경우 게스트 운영 체제에 노출되지 않았습니다. 이로 인해 일부 경우 게스트 운영 체제는 호스트에 필요하지 않은 CPU 취약점 완화 기능을 자동으로 활성화했습니다. 이번 업데이트에서는 CPU host-passthrough를 사용할 때 게스트 운영 체제에 MDS_NO 플래그를 올바르게 표시하여 설명된 문제가 발생하지 않습니다.

nf-logger 프레임워크에서 로깅 비활성화가 수정되었습니다.

이전 버전에서는 관리자가 할당된 netfilter 로거를 해제하기 위해 sysctl 또는 echo 명령을 사용할 때 NONE 문자열 끝에 NUL문자가 추가되지 않았습니다. 그 결과 strcmp() 함수가 No such file or directory error로 실패했습니다. 이번 업데이트에서는 문제가 해결되었습니다. 그 결과 sysctl net.netfilter.nf_log.2=ONE 과 같은 명령이 예상대로 작동하고 로깅을 끕니다.

하이베이션에서 재시작은 이제 megaraid_sas 드라이버에서 작동합니다.

이전에는 megaraid_sas 드라이버가 하이버네이션에서 다시 시작할 때 MSIx(MessageForwardeded Interrupts) 할당이 제대로 작동하지 않았습니다. 그 결과 하이버네이션에서 재시작이 실패하고 시스템을 다시 시작해야 했습니다. 이 버그는 수정되었으며 이제 하향식에서 다시 시작이 예상대로 작동합니다.

두 번째 커널에서 kdump가 더 이상 실패하지 않음

이전에는 디스크 이미지가 있는 새 시스템을 디스크 마이그레이션하거나 설치한 후 kdump initramfs 이미지가 두 번째 커널에서 실패할 수 있었습니다. 이번 업데이트에서는 kdump initramfs 이미지를 다시 빌드하기 위해 kdumpctl rebuild 명령이 추가되었습니다. 결과적으로 사용자는 initramfs 를 다시 빌드하여 두 번째 커널에서 kdump가 실패하지 않도록 할 수 있습니다.

일시적인 ktimersoftd 활성화를 방지하여 분리된 CPU의 대기 시간이 단축되었습니다.

이전에는 KVM-RT 구성 시스템의 경우 타이머 없이 CPU ktimersoftd 커널 스레드가 1초마다 한 번씩 실행되었습니다. 결과적으로 분리된 CPU에서 대기 시간이 증가했습니다. 이번 업데이트에서는 모든 눈금에서 ktimersoftd 를 중단하지 않는 실시간 커널에 최적화가 추가되었습니다. 결과적으로 ktimersoftd 는 분리된 CPU에서 발생하지 않으므로 간섭을 방지하고 대기 시간을 줄입니다.

이제 tc filter show 명령으로 처리가 0xffffffffffffffffff인 경우 필터를 올바르게 표시

이전 버전에서는 TC 조각 코드의 버그로 인해 바람직하지 않은 정수 오버플로가 발생했습니다. 결과적으로 0xffffffffffffff 를 처리로 사용한 조각 규칙을 덤프하면 무한 루프가 발생할 수 있습니다. 이번 업데이트에서는 64비트 아키텍처에서 정수 오버플로를 방지할 수 있습니다. 결과적으로 tc 필터가 이 시나리오에서 더 이상 루프가 표시되지 않으며 이제 필터가 올바르게 표시됩니다.

유효하지 않은 TC 규칙을 적용하려고 할 때 커널이 더 이상 충돌하지 않음

이전 버전에서는 exchange( traffic control) 규칙을 잘못된 goto chain 매개변수를 갖는 규칙으로 교체하는 동안 커널 충돌이 발생했습니다. 이번 업데이트를 통해 커널은 설명된 시나리오에서 NULL 역참조를 피할 수 있습니다. 결과적으로 커널이 더 이상 충돌하지 않고 대신 오류 메시지가 기록됩니다.

이제 ICMPv6 Packet Too Big 메시지를 수신할 때 커널이 PMTU를 올바르게 업데이트합니다.

링크 로컬 주소에 대한 등의 특정 상황에서는 둘 이상의 경로가 소스 주소와 일치할 수 있습니다. 이전에는 ICMPv6(Internet Control Message Protocol Version 6) 패킷을 수신할 때 커널이 입력 인터페이스를 확인하지 않았습니다. 따라서 경로 조회에서 입력 인터페이스와 일치하지 않는 대상을 반환할 수 있었습니다. 결과적으로 ICMPv6 Packet Too Big 메시지를 수신할 때 커널은 다른 입력 인터페이스에 대해 PMTU(Path Maximum Transmission Unit)를 업데이트할 수 있었습니다. 이번 업데이트를 통해 커널은 경로 조회 중에 입력 인터페이스를 확인합니다. 결과적으로 커널은 이제 소스 주소를 기반으로 올바른 대상을 업데이트하고 설명된 시나리오에서 PMTU가 예상대로 작동합니다.

MACsec이 더 이상 유효한 프레임을 삭제하지 않음

이전 버전에서는 AES-GCM의 암호화 컨텍스트가 완전히 초기화되지 않은 경우 들어오는 프레임의 암호 해독에 실패했습니다. 결과적으로 MACsec은 유효한 수신 프레임을 삭제하고 InPktsNotValid 카운터를 늘립니다. 이번 업데이트를 통해 암호화 컨텍스트 초기화가 수정되었습니다. 이제 AES-GCM으로 암호 해독이 성공하고 MACsec이 더 이상 유효한 프레임을 삭제하지 않습니다.

goto 체인이 보조 TC 제어 작업으로 사용될 때 커널이 더 이상 충돌하지 않습니다.

이전 버전에서는 동작 gact 및 act police traffic control (knative) 규칙에서 잘못된 goto chain 매개변수를 보조 제어 작업으로 사용할 때 커널이 예기치 않게 종료되었습니다. 이번 업데이트를 통해 커널은 NULL 역참조와 함께 goto 체인 사용을 피하고 설명된 시나리오에서 더 이상 충돌하지 않습니다. 대신 커널은 -EINVAL 오류 메시지를 반환합니다.

커널은 더 이상 NLM_F_EXCL 세트를 사용하여 중복 규칙을 추가할 수 없습니다.

이전 버전에서는 새 정책 라우팅 규칙이 추가된 경우 커널은 규칙 콘텐츠를 확인하지 않았습니다. 결과적으로 커널은 정확히 동일한 두 개의 규칙을 추가할 수 있었습니다. 이로 인해 NetworkManager가 규칙을 캐시하려고 할 때 문제가 발생할 수 있는 규칙 세트가 복잡해졌습니다. 이번 업데이트를 통해 NLM_F_EXCL 플래그가 커널에 추가되었습니다. 이제 규칙이 추가되고 플래그가 설정되면 커널은 규칙 내용을 확인하고 규칙이 이미 존재하는 경우 EEXIST 오류를 반환합니다. 결과적으로 커널은 더 이상 중복 규칙을 추가하지 않습니다.

ipset list 명령은 해시 세트 유형의 일관된 메모리를 보고

해시 세트 유형에 항목을 추가할 때 ipset 유틸리티는 추가 메모리 블록을 할당하여 새 항목의 메모리 내 표현의 크기를 로 조정해야 합니다. 이전에는 ipset 에서 현재 메모리 내 크기에 값을 추가하는 대신 새 블록의 크기만으로 총 집합별 크기를 설정했습니다. 그 결과 ip list 명령에서 일관되지 않은 메모리 크기를 보고했습니다. 이번 업데이트를 통해 ipset 에서 메모리 내 크기를 올바르게 계산합니다. 결과적으로 ipset list 명령은 이제 세트의 올바른 메모리 크기(in-memory size)를 표시하고 출력에 해시 세트 유형의 실제 할당된 메모리와 일치합니다.

IPv6 프로토콜이 비활성화된 경우 firewalld 는 더 이상 IPv6 규칙 생성을 시도하지 않습니다.

이전 버전에서는 IPv6 프로토콜이 비활성화된 경우 ip6tables 를 사용할 수 없는 경우에도 firewalld 서비스가 ip6tables 유틸리티를 사용하여 규칙을 만들려고 잘못 시도했습니다. 결과적으로 firewalld 가 방화벽을 초기화하면 서비스에서 오류 메시지를 기록했습니다. 이번 업데이트에서는 문제가 해결되어 이제 firewalld 가 IPv6가 비활성화된 경우에만 IPv4 규칙을 초기화합니다.

firewall-cmd 의 --remove-rules 옵션은 지정된 기준과 일치하는 직접 규칙만 제거합니다.

이전에는 firewall-cmd 명령의 --remove-rules 옵션에서 제거할 규칙을 확인하지 않았습니다. 결과적으로 이 명령은 하위 집합 규칙 대신 모든 직접 규칙을 제거했습니다. 이번 업데이트에서는 문제가 해결되었습니다. 결과적으로 firewall-cmd 는 지정된 조건과 일치하는 직접 규칙만 제거합니다.

forward-ports 를 사용하여 firewalld 리치 규칙을 삭제하는 것이 예상대로 작동합니다.

이전에는 firewalld 서비스에서 forward-ports 설정을 사용하여 규칙 삭제를 잘못 처리했습니다. 그 결과 런타임 구성에서 forward-port 가 있는 리치 규칙을 삭제하는 데 실패했습니다. 이번 업데이트에서는 문제가 해결되었습니다. 결과적으로 forward-ports 를 사용하여 리치 규칙을 삭제하는 것이 예상대로 작동합니다.

패킷이 다른 영역으로 전환되지 않고 예기치 않은 동작이 발생합니다.

이전에는 하나의 영역에서 규칙을 설정할 때 firewalld 데몬에서 여러 영역의 영향을 받을 수 있었습니다. 이 동작은 firewalld 영역 개념을 위반했으며, 패킷이 단일 영역의 일부일 수 있습니다. 이번 업데이트에서는 버그가 수정되어 이제 패킷이 여러 영역의 영향을 받지 않습니다.

OpenSCAP HTML 보고서의 접근성 향상

이전에는 ARM(Accessible Rich Internet Applications) 매개변수가 OpenSCAP HTML 보고서에 잘못 정의되었습니다. 결과적으로 보고서의 규칙 세부 정보는 선별 소프트웨어 사용자가 액세스할 수 없었습니다. 이번 업데이트를 통해 보고서 생성에 대한 템플릿이 변경되었습니다. 결과적으로 화면 리더를 가진 사용자는 규칙 세부 정보를 통해 탐색하고 링크 및 버튼과 상호 작용할 수 있습니다.

SELinux 정책으로 인해 sysadm_u 사용자가 sudo와 함께 semanage 를 사용할 수 있습니다.

이전에는 SELinux 정책에 sysadm_u 레이블이 있는 사용자가 semanage 명령을 sudo 명령에 사용할 수 있는 규칙이 누락되었습니다. 그 결과 sysadm_u 사용자가 시스템에서 SELinux를 구성할 수 없었습니다. 이번 업데이트에서는 누락된 규칙이 추가되고 sysadm_u 로 레이블이 지정된 SELinux 사용자가 이제 SELinux 구성을 변경할 수 있습니다.

mysql_install_db 를 사용한 MariaDB 수동 초기화가 더 이상 실패하지 않음

이번 업데이트 이전에는 /usr/libexec/ 디렉터리에서 resolveip 바이너리라는 MariaDB 데이터베이스를 초기화하는 mysql_install_db 스크립트가 /usr/bin/ 에 있습니다. 그 결과 mysql_install_db 를 사용하여 데이터베이스를 수동으로 초기화하지 못했습니다. 이번 업데이트에서는 mysql_install_db 가 resolveip 를 올바르게 찾도록 수정했습니다. 따라서 mysql_install_db 를 사용하여 MariaDB를 수동으로 초기화해도 더 이상 실패하지 않습니다.

리어 업데이트

RHEL 7.8에서는ReaR(Relax-and-Recover) 유틸리티에 대한 여러 업데이트가 도입되었습니다.

/dev/sg 의 동시 SG_IO 요청으로 더 이상 데이터 손상이 발생하지 않음

이전에는 /dev/sg 장치 드라이버가 커널 데이터의 동기화가 누락되었습니다. 동일한 파일 설명자의 동시 요청이 드라이버에서 동시에 동일한 데이터에 액세스했습니다.

이미지가 활성/활성 클러스터 미러에서 분리되면 결과 논리 볼륨이 올바르게 활성화됩니다.

이전 버전에서는 활성/활성 클러스터 미러에서 이미지를 분할하면 생성되는 새 논리 볼륨이 활성으로 표시되었지만 활성 구성 요소는 없었습니다. 이번 수정으로 새 논리 볼륨이 올바르게 활성화됩니다.

systemd에서 가져온 VM 및 컨테이너 이미지 가져오기 및 내보내기 서비스

최신 systemd 버전에는 이전 빌드에서 활성화되지 않은 systemd-importd 데몬이 포함되어 machinectl pull-* 명령이 실패했습니다. systemd-importd 데몬은 기술 프리뷰로 제공되며 안정적인 것으로 간주해서는 안 됩니다.

기술 프리뷰로 사용할 수 있는 컨테이너화된 Identity Management 서버

rhel7/ipa-server 컨테이너 이미지는 기술 프리뷰 기능으로 사용할 수 있습니다. rhel7/sssd 컨테이너 이미지가 이제 완전히 지원됩니다.

DNSSEC를 IdM에서 기술 프리뷰로 이용 가능

통합된 DNS가 있는 IdM(Identity Management) 서버는 이제 DNS 프로토콜의 보안을 강화하기 위한 DNS로의 확장 기능 세트인 DNS Security Extensions(DNS Security Extensions)를 지원합니다. IdM 서버에서 호스팅되는 DNS 영역은 DNSSEC를 사용하여 자동으로 서명할 수 있습니다. 암호화 키는 자동으로 생성되고 순환됩니다.

Identity Management JSON-RPC API를 기술 프리뷰로 사용할 수 있음

IdM(Identity Management)에 API를 사용할 수 있습니다. API를 보기 위해 IdM은 API 브라우저도 기술 프리뷰로 제공합니다.

IdM을 숨겨진 복제본으로 설정하면 이제 기술 프리뷰로 사용 가능

이 향상된 기능을 통해 관리자는 IdM(Identity Management) 복제본을 숨겨진 복제본으로 설정할 수 있습니다. 숨겨진 복제본은 모든 서비스가 실행 중이고 사용 가능한 IdM 서버입니다. 그러나 DNS의 서비스에 SRV 레코드가 없고 LDAP 서버 역할이 활성화되어 있지 않기 때문에 다른 클라이언트 또는 마스터에는 알 수 없습니다. 따라서 클라이언트는 서비스 검색을 사용하여 숨겨진 복제본을 탐지할 수 없습니다.

AD 및 LDAP sudo 공급자 사용

Active Directory(AD) 공급자는 AD 서버에 연결하는 데 사용되는 백엔드입니다. RHEL 7.2부터 LDAP 공급자와 함께 AD sudo 공급자를 기술 프리뷰로 사용할 수 있습니다. AD sudo 공급자를 활성화하려면 sssd.conf 파일의 [domain] 섹션에 sudo_provider=ad 설정을 추가합니다.

Custodia 시크릿 서비스 공급자는 기술 프리뷰로 사용 가능

기술 프리뷰로 시크릿 서비스 공급자인 Custodia를 사용할 수 있습니다. custodia는 키 또는 암호와 같은 시크릿의 프록시로 저장하거나 사용합니다.

corosync-qdevice 의 이기종 기술 프리뷰로 사용 가능

추론은 시작시 로컬로 실행되는 명령 세트, 클러스터 멤버십 변경, corosync-qnetd 에 성공적으로 연결, 선택적으로 주기적으로 실행됩니다. 모든 명령이 시간에 성공적으로 완료되면 (올바르 반환 오류 코드가 0 인 경우), 추론이 통과되었습니다. 그렇지 않으면 실패합니다. 이기종 결과는 corosync-qnetd 로 전송되며 계산에 어떤 파티션을 정족해야 하는지 결정합니다.

새로운 fence-agents-heuristics-ping fence 에이전트

Pacemaker는 기술 프리뷰로 fence_heuristics_ping 에이전트를 지원합니다. 이 에이전트는 자체적으로 실제 펜싱을 수행하지 않고 펜싱 수준의 동작을 새로운 방식으로 활용하는 실험적인 차단 에이전트 클래스를 여는 것을 목표로 합니다.

pcs 툴에서 Pacemaker에서 번들 리소스를 관리합니다.

Red Hat Enterprise Linux 7.4부터 기술 프리뷰로 Pacemaker는 필요한 모든 인프라에서 Docker 컨테이너를 시작하기 위한 특수 구문을 지원합니다. Pacemaker 번들을 생성한 후에는 번들을 캡슐화하는 Pacemaker 리소스를 생성할 수 있습니다. 컨테이너의 Pacemaker 지원에 대한 자세한 내용은 고가용성 애드온 참조를 참조하십시오.

새로운 LVM 및 LVM 잠금 관리자 리소스 에이전트

Red Hat Enterprise Linux 7.6에는 기술 프리뷰로 lvmlockd 및 LVM 활성화 라는 두 가지 새로운 리소스 에이전트가 도입되었습니다.

기술 프리뷰로 Wayland 사용 가능

Wayland 디스플레이 서버 프로토콜은 GNOME에서 Wayland 지원을 활성화하는 데 필요한 종속 패키지를 사용하여 Red Hat Enterprise Linux에서 기술 프리뷰로 사용할 수 있으며, 이는 부분적인 확장을 지원합니다. Wayland 에서는 입력 드라이버로 libinput 라이브러리를 사용합니다.

기술 프리뷰로 부분 확장 가능

Red Hat Enterprise Linux 7.5부터 GNOME은 기술 프리뷰로 부분적인 확장을 제공하여 DPI가 lo(scale 1)와 hi(scale 2) 사이에 있는 모니터의 문제를 해결합니다.

ext4 및 XFS에서 기술 프리뷰로 파일 시스템 DAX 사용 가능

Red Hat Enterprise Linux 7.3부터 Direct Access (DAX)는 애플리케이션이 영구 메모리를 주소 공간에 직접 매핑할 수 있는 방법을 기술 프리뷰로 제공합니다.

pNFS 블록 레이아웃 사용 가능

기술 프리뷰로 Red Hat Enterprise Linux 클라이언트는 블록 레이아웃 기능을 사용하여 pNFS 공유를 마운트할 수 있습니다.

OverlayFS

OverlayFS는 일종의 통합 파일 시스템입니다. 이를 통해 사용자는 한 파일 시스템을 다른 파일 시스템 위에 오버레이할 수 있습니다. 변경 사항은 상위 파일 시스템에 기록되지만 하위 파일 시스템은 수정되지 않은 상태로 유지됩니다. 이를 통해 여러 사용자가 기본 이미지가 읽기 전용 미디어에 있는 컨테이너 또는 DVD-ROM과 같은 파일 시스템 이미지를 공유할 수 있습니다. 자세한 내용은 Linux 커널 설명서 를 참조하십시오.

Btrfs 파일 시스템

B-Tree 파일 시스템 Btrfs 는 Red Hat Enterprise Linux 7에서 기술 프리뷰로 사용할 수 있습니다.

LSI Syncro CS HA-DAS 어댑터

Red Hat Enterprise Linux 7.1에는 LSI Syncro CS HA-DAS(고가용성 직접 연결 스토리지) 어댑터를 지원하기 위해 megaraid_sas 드라이버에 코드가 포함되었습니다. 이전에 활성화된 어댑터에서 megaraid_sas 드라이버가 완전하게 지원되지만 Syncro CS용 드라이버를 기술 프리뷰로 사용할 수 있습니다. 이 어댑터에 대한 지원은 LSI, 시스템 통합자 또는 시스템 공급 업체에 의해 직접 제공됩니다. Red Hat Enterprise Linux 7.2 이상에 Syncro CS를 배포하는 사용자는 Red Hat 및 LSI에 피드백을 제공하는 것이 좋습니다.

tss2 는 IBM Power LE에 대해 TPM 2.0을 활성화합니다.

tss2 패키지는 신뢰할 수 있는 컴퓨팅 그룹 스택(TSS) 2.0을 IBM Power LE 아키텍처의 기술 프리뷰로 구현한 IBM 구현이 추가되었습니다. 이 패키지를 사용하면 TPM 2.0 장치와 상호 작용할 수 있습니다.

기술 프리뷰로 사용 가능한 ibmvnic 장치 드라이버

Red Hat Enterprise Linux 7.3부터 IBM POWER 아키텍처용 IBM vNIC(Virtual Network Interface Controller) 드라이버인 ibmvnic 이 기술 프리뷰로 사용할 수 있습니다. vNIC는 엔터프라이즈 기능을 제공하고 네트워크 관리를 단순화하는 PowerVM 가상 네트워킹 기술입니다. SR-IOV NIC와 결합된 경우 가상 NIC 수준에서 대역폭 제어 QoS(Service Quality of Service) 기능을 제공하는 고성능의 효율적인 기술입니다. vNIC는 가상화 오버헤드를 크게 줄여 네트워크 가상화에 필요한 CPU 및 메모리를 포함하여 대기 시간을 줄이고 서버 리소스의 수를 줄입니다.

기술 프리뷰로 사용 가능한ig c 드라이버

Intel® 2.5G 이더넷 Linux 드라이버(igc.ko.xz)는 기술 프리뷰로 사용할 수 있습니다.

기술 프리뷰로 사용할 수 있는 아이노이드 드라이버

Intel® 이더넷 연결 E800 시리즈 Linux 드라이버(drain.ko.xz)는 기술 프리뷰로 사용할 수 있습니다.

추적을 위한 eBPF 시스템 호출

Red Hat Enterprise Linux 7.6에는 eBPF(Extended Berkeley Packet Filter)를 기술 프리뷰로 도입했습니다. 이 툴은 추적 하위 시스템에 대해서만 활성화됩니다. 자세한 내용은 관련 Red Hat 지식베이스 문서를 참조하십시오.

이기종 메모리 관리 포함 기술 프리뷰

Red Hat Enterprise Linux 7은 이기종 메모리 관리(HMM) 기능을 기술 프리뷰로 도입했습니다. 이 기능은 프로세스 주소 공간을 자체 메모리 관리 장치(MMU)에 미러링하려는 장치의 도우미 계층으로 커널에 추가되었습니다. 따라서 CPU 이외의 장치 프로세서는 통합 시스템 주소 공간을 사용하여 시스템 메모리를 읽을 수 있습니다. 이 기능을 활성화하려면 kernel 명령행에 experimental_hmm=enable 을 추가합니다.

kexec 를 기술 프리뷰로

kexec 시스템 호출은 기술 프리뷰로 제공되었습니다. 이 시스템 호출을 사용하면 현재 실행 중인 커널에서 다른 커널로 로드 및 부팅할 수 있으므로 커널 내에서 부트 로더의 기능을 수행할 수 있습니다. 표준 시스템 부팅 중에 일반적으로 수행되는 하드웨어 초기화는 kexec 부팅 중에 수행되지 않으므로 재부팅에 필요한 시간이 크게 줄어듭니다.

kexec 빠른 재부팅 을 기술 프리뷰로

Red Hat Enterprise Linux 7.5에서 도입된 kexec 빠른 재부팅 기능은 기술 프리뷰로 계속 사용할 수 있습니다. kexec 빠른 재부팅 을 사용하면 재부팅이 훨씬 빨라집니다. 이 기능을 사용하려면 kexec 커널을 수동으로 로드한 다음 운영 체제를 재부팅해야 합니다.

perf cqm 이 resctrl으로 교체됨

Intel CacheECDHE Technology (CAT)는 Red Hat Enterprise Linux 7.4에서 기술 프리뷰로 소개되었습니다. 그러나 perf cqm 툴은 perf 인프라와 CQM( Cache Quality of Service Monitoring) 하드웨어 지원 간의 비호환성으로 인해 제대로 작동하지 않았습니다. 결과적으로 perf cqm 을 사용할 때 여러 문제가 발생했습니다.

TC HW 오프로드는 기술 프리뷰로 사용 가능

Red Hat Enterprise Linux 7.6부터 STS( Traffic Control) 하드웨어 오프로드가 기술 프리뷰로 제공되었습니다.

AMD xgbe 네트워크 드라이버를 기술 프리뷰로 사용 가능

Red Hat Enterprise Linux 7.6부터 AMD xgbe 네트워크 드라이버는 기술 프리뷰로 제공되었습니다.

보안 메모리 암호화는 기술 프리뷰로만 사용 가능

현재 SME(Secure Memory Encryption)는 kdump 커널에서 SME 암호화 메모리를 해독하는 메모리 키가 없기 때문에 kdump 기능과 호환되지 않습니다. Red Hat은 SME를 활성화하면 테스트 중인 서버가 일부 기능을 수행하지 못할 수 있으므로 프로덕션 환경에서 사용하기에는 적합하지 않음이 확인되었습니다. 결과적으로 SME는 지원 수준을 Supported에서 기술 프리뷰로 변경하고 있습니다. 고객은 사전 프로덕션을 수행하는 동안 Red Hat 또는 시스템 공급 업체에 테스트 중인 모든 문제를 보고하는 것이 좋습니다.

기술 프리뷰로 제공되는 criu

Red Hat Enterprise Linux 7.2에는 criu 툴을 기술 프리뷰로 도입했습니다. 이 툴은 실행 중인 애플리케이션을 정지하고 파일 모음으로 저장하는 데 사용할 수 있는 CRIU(사용자 공간)에서 검사점/복원 을 구현합니다. 나중에 애플리케이션이 부트 해제된 상태에서 복원될 수 있습니다.

mlx5_core 드라이버는 Mellanox ConnectX-6 Dx 네트워크 어댑터를 기술 프리뷰로 지원

이번 개선된 기능에는 Mellanox ConnectX-6 Dx 네트워크 어댑터의 PCI ID가 mlx5_core 드라이버에 추가되었습니다. 이 어댑터를 사용하는 호스트에서 RHEL은 mlx5_core 드라이버를 자동으로 로드합니다. Red Hat은 이 기능을 지원되지 않는 기술 프리뷰로 제공합니다.

Cisco usNIC driver

Cisco UCS(Unified Communication Manager) 서버에는 Cisco 독점 사용자 공간 네트워크 인터페이스 컨트롤러(usNIC)를 제공하는 선택적 기능이 있어 사용자 공간 애플리케이션에 대한 RDMA(Remote Direct Memory Access)와 같은 작업을 수행할 수 있습니다. 기술 프리뷰로 사용할 수 있는 libusnic_verbs 드라이버를 사용하면 Verbs API를 기반으로 하는 표준 InfiniBand RDMA 프로그래밍을 통해 usNIC 장치를 사용할 수 있습니다.

Cisco VIC 커널 드라이버

기술 프리뷰로 사용할 수 있는 Cisco VIC Infiniband 커널 드라이버를 사용하면 독점형 Cisco 아키텍처에서 RDMA(Remote Directory Memory Access)와 같은 의미 체계를 사용할 수 있습니다.

신뢰할 수 있는 네트워크 연결

기술 프리뷰로 사용할 수 있는 신뢰할 수 있는 Network Connect는 엔드포인트 연기 평가를 통합하기 위해 TLS, 802.1X 또는 IPsec과 같은 기존 네트워크 액세스 제어(NAC) 솔루션과 함께 사용됩니다. 즉, 엔드포인트의 시스템 정보 수집(예: 운영 체제 구성 설정, 설치된 패키지 등)을 사용합니다. 신뢰할 수 있는 Network Connect는 끝점이 네트워크에 액세스할 수 있도록 허용하기 전에 네트워크 액세스 정책에 대해 이러한 측정을 확인하는 데 사용됩니다.

qlcnic 드라이버의 SR-IOV 기능

SR-IOV(Single-Root I/O Virtualization)에 대한 지원이 기술 프리뷰로 qlcnic 드라이버에 추가되었습니다. 이 기능에 대한 지원은 QLogic에서 직접 제공하며 고객은 QLogic 및 Red Hat에 피드백을 제공하는 것이 좋습니다. qlcnic 드라이버의 다른 기능은 완전히 지원됩니다.

오프로딩 지원이 있는 데크립터 분류기

아이 슬레이크는 사용자가 다양한 프로토콜에 대해 잘 알려진 패킷 필드에서 일치를 구성할 수 있도록 설계된 트래픽 제어(knative) 분류기입니다. 복잡한 필터링 및 분류 작업을 위해 u32 분류기를 통해 규칙을 더 쉽게 구성할 수 있도록하기위한 것입니다. 또한 슬라이크는 하드웨어에서 지원하는 경우 분류 및 작업 규칙을 기본 하드웨어에 오프로드하는 기능을 지원합니다. 아이 슬 레이크 TC 분류기가 이제 기술 프리뷰로 제공됩니다.

기술 프리뷰로 사용할 수 있는 RHEL 시스템 역할의 postfix 역할

Red Hat Enterprise Linux System Roles는 Red Hat Enterprise Linux 하위 시스템에 대한 구성 인터페이스를 제공하므로 Ansible 역할을 포함하여 시스템 구성을 보다 쉽게 수행할 수 있습니다. 이 인터페이스를 사용하면 Red Hat Enterprise Linux의 여러 버전에서 시스템 구성을 관리하고 새로운 주요 릴리스를 채택할 수 있습니다.

rhel-system-roles-sap 을 기술 프리뷰로 사용 가능

rhel-system-roles-sap 패키지는 SAP 워크로드를 실행하기 위해 RHEL 시스템의 구성을 자동화하는 데 사용할 수 있는 SAP용 RHEL(Red Hat Enterprise Linux) 시스템 역할을 제공합니다. 이러한 역할은 관련 SAP Notes에 설명된 모범 사례를 기반으로 하는 최적의 설정을 자동으로 적용하여 SAP 워크로드를 실행하도록 시스템을 구성하는 시간을 크게 단축합니다. 액세스는 RHEL for SAP Solutions 제품으로 제한됩니다. 서브스크립션에 대한 지원이 필요한 경우 Red Hat 고객 지원에 문의하십시오.

이제 libreswan에서SECCOMP를 활성화할 수 있습니다.

기술 프리뷰로 seccomp=enabled|tolerant|disabled 옵션이 ipsec.conf 구성 파일에 추가되어SECCOMP(Secure Computing mode)를 사용할 수 있습니다. 이렇게 하면 Libreswan 이 실행할 수 있는 모든 시스템 호출을 허용 목록에 추가하여 syscall 보안이 향상됩니다. 자세한 내용은 ipsec.conf(5) 매뉴얼 페이지를 참조하십시오.

pk12util 은 RSA-PSS 키를 사용하여 인증서를 가져올 수 있음

pk12util 툴에서는 RSA-PSS 알고리즘으로 서명된 인증서를 기술 프리뷰로 가져올 수 있습니다.

certutil 에서 RSA-PSS 로 서명된 인증서 지원이 향상되었습니다.

certutil 툴에서 RSA-PSS 알고리즘으로 서명된 인증서 지원이 개선되었습니다. 주요 개선 사항 및 수정 사항은 다음과 같습니다.

NSS 가 인증서에서 RSA-PSS 서명을 확인할 수 있음

RHEL 7.5 버전의 nss 패키지 이후 NSS( Network Security Services ) 라이브러리에서는 인증서에 대한 RSA-PSS 서명을 기술 프리뷰로 검증할 수 있습니다. 이번 업데이트 이전에는 SSL 백엔드로 NSS 를 사용하는 클라이언트는 RSA-PSS 알고리즘으로 서명된 인증서만 제공하는 서버에 TLS 연결을 설정할 수 없었습니다.

usbguard 는 화면을 기술 프리뷰로 잠글 때 USB 장치를 차단할 수 있습니다.

USBGuard 프레임워크를 사용하면 이미 실행 중인 usbguard-daemon 인스턴스가 InsertedDevicePolicy 런타임 매개변수 값을 설정하여 새로 삽입된 USB 장치를 처리하는 방법에 영향을 미칠 수 있습니다. 이 기능은 기술 프리뷰로 제공되며 기본 옵션은 장치를 승인할지 여부를 파악하는 정책 규칙을 적용하는 것입니다.

SCSI의 다중 대기열 I/O 스케줄링

Red Hat Enterprise Linux 7에는 blk-mq 라는 블록 장치를 위한 새로운 다중 대기열 I/O 스케줄링 메커니즘이 포함되어 있습니다. scsi-mq 패키지를 사용하면 Small Computer System Interface (SCSI) 하위 시스템에서 이 새로운 대기열 메커니즘을 사용할 수 있습니다. 이 기능은 기술 프리뷰로 제공되며 기본적으로 활성화되어 있지 않습니다. 활성화하려면 커널 명령줄에 scsi_mod.use_blk_mq=Y 를 추가합니다.

libStorageMgmt API의 대상 플러그인

Red Hat Enterprise Linux 7.1 이후 스토리지 어레이 독립 API인 libStorageMgmt를 사용한 스토리지 어레이가 완전히 지원됩니다. 제공된 API는 안정적이고 일관되며 개발자는 다양한 스토리지 배열을 프로그래밍 방식으로 관리하고 제공되는 하드웨어 가속 기능을 사용할 수 있습니다. 시스템 관리자는 libStorageMgmt를 사용하여 스토리지를 수동으로 구성하고 포함된 명령줄 인터페이스를 사용하여 스토리지 관리 작업을 자동화할 수 있습니다.

qla2xxx 및 lpfc 드라이버의 기술 프리뷰로 SCSI-MQ

Red Hat Enterprise Linux 7.4에서 업데이트된 qla2xxx 드라이버는 ql2xmqsupport=1 모듈 매개변수와 함께 SCSI-MQ(multiqueue)를 사용할 수 있습니다. 기본값은 0 (비활성화)입니다.

YUM 4 를 기술 프리뷰로 사용 가능

YUM 버전 4의 차세대 YUM 패키지 관리자는 Red Hat Enterprise Linux 7 Extras 리포지토리에서 기술 프리뷰로 사용할 수 있습니다.

KVM 게스트에 대한 USB 3.0 지원

KVM 게스트에 대한 USB 3.0 호스트 어댑터(xHCI) 에뮬레이션은 Red Hat Enterprise Linux 7에서 기술 프리뷰로 남아 있습니다.

Intel 네트워크 어댑터를 선택하여 Hyper-V의 RHEL 게스트에서 SR-IOV 지원

이제 Hyper-V 하이퍼바이저에서 실행되는 Red Hat Enterprise Linux 게스트 운영 체제는 ixgbevf 및 i40evf 드라이버에서 지원하는 Intel 네트워크 어댑터에 SR-IOV(Single-root I/O Virtualization) 기능을 사용할 수 있습니다. 이 기능은 다음 조건이 충족되면 활성화됩니다.

VFIO 드라이버의 no-IOMMU 모드

이 업데이트에서는 기술 프리뷰로 VFIO(가상 기능 I/O) 드라이버를 위한 No-IOMMU 모드를 추가합니다. No-IOMMU 모드는 IOMMU(I/O) I/O(IOMMU) 없이 직접 메모리 액세스(DMA) 가능 장치에 대한 전체 사용자 공간 I/O 액세스를 사용자에게 제공합니다. 지원되지 않는 것 외에도 IOMMU에서 제공하는 I/O 관리 부족으로 인해 이 모드를 사용하는 것은 안전하지 않습니다.

RHEL 7 게스트용 호스트로 Azure M416v2

이제 RHEL 7.6 이상을 게스트 운영 체제로 사용하는 가상 머신의 호스트로 Azure M416v2 인스턴스 유형을 사용할 수 있습니다.

virt-v2v 는 Debian 및 Ubuntu 게스트를 변환할 수 있습니다.

기술 프리뷰로 virt-v2v 유틸리티는 이제 Debian 및 Ubuntu 게스트 가상 머신을 변환할 수 있습니다. 이 변환을 수행할 때 현재 다음 문제가 발생합니다.

GPU 기반 중재 장치가 VNC 콘솔을 지원

이제 VNC(Virtual Network Computing) 콘솔을 NVIDIA vGPU 기술과 같은 GPU 기반 중재 장치와 함께 사용할 수 있습니다. 결과적으로 가상 머신의 그래픽 출력을 실시간으로 렌더링하기 위해 이러한 중재 장치를 사용할 수 있습니다.

Open Virtual Machine Firmware

OVMF(Open Virtual Machine Firmware)는 Red Hat Enterprise Linux 7에서 기술 프리뷰로 사용할 수 있습니다. OVMF는 AMD64 및 Intel 64 게스트를 위한 UEFI 보안 부팅 환경입니다. 그러나 RHEL 7에서 사용할 수 있는 가상화 구성 요소를 사용하여 OVMF는 부팅이 불가능합니다. OVMF는 RHEL 8에서 완전하게 지원됩니다.

ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 수 있는 위험

TLS없이 ldap:// 를 ID 조회에 사용하는 경우 공격 벡터가 발생할 위험이 있습니다. 특히 MITM(Man-in-the-middle) 공격으로 공격자는 LDAP 검색에 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.

RHEL에 포함된 GCC 스레드 sanitizer가 더 이상 작동하지 않음

커널 메모리 매핑의 호환되지 않는 변경으로 인해 RHEL의 GCC(GNU C 컴파일러) 컴파일러 버전에 포함된 스레드 sanitizer가 더 이상 작동하지 않습니다. 또한, 스레드 sanitizer는 호환되지 않는 메모리 레이아웃에 적용할 수 없습니다. 따라서 RHEL에 포함된 GCC 스레드 sanitizer를 더 이상 사용할 수 없습니다.

radeon 드라이버가 kexec 컨텍스트에서 하드웨어를 올바르게 재설정하지 못했습니다.

kdump 프로세스를 수행할 때와 같이 현재 실행 중인 커널에서 커널을 부팅할 때 radeon 커널 드라이버는 현재 하드웨어를 올바르게 재설정하지 않습니다. 대신 radeon 은 예기치 않게 종료되어 나머지 kdump 서비스가 실패합니다.

영구 메모리 파일 시스템으로 인해 시스템 부팅이 실패할 수 있음

많은 영구 메모리가 있는 시스템을 부팅하는 데 시간이 오래 걸립니다. /etc/fstab 파일에서 영구 메모리 파일 시스템을 구성하는 경우 시스템이 장치를 사용할 수 있을 때까지 대기하는 시간이 초과될 수 있습니다. 그런 다음 부팅 프로세스가 실패하고 사용자에게 긴급 프롬프트가 표시됩니다.

RHEL 7.7 이상 설치에서 Intel Cascade Lake 시스템에 spectre_v2=retpoline 추가 

RHEL 7.7 이상 설치에서는 spectre_v2=retpoline 커널 매개변수를 Intel Cascade Lake 시스템에 추가하고 결과적으로 시스템 성능에 영향을 미칩니다. 이 문제를 해결하고 최상의 성능을 얻으려면 다음 단계를 완료하십시오.

Emulex OneConnect 카드를 사용하여 iSCSI 설치에 실패했습니다.

Emulex OneConnect 카드를 연결하고 RHEL 설치를 시작하면 Anaconda 설치 프로그램에서 예외를 반환하고 설치가 예기치 않게 종료되도록 iSCSI 부팅을 위해 구성합니다.

대규모 시스템에서 시스템 부팅이 실패하는 경우가 있음

부팅 프로세스 중에 udev 장치 관리자는 대규모 시스템에 너무 많은 규칙을 생성하는 경우가 있습니다. 예를 들어 32TB 메모리와 192개의 CPU가 있는 시스템에서 문제가 발생했습니다. 결과적으로 부팅 프로세스가 응답하지 않거나 시간이 초과되고 긴급 쉘로 전환됩니다.

미러 세그먼트 유형이 스택된 구성에서 시스템 교착 상태 발생

미러 세그먼트 유형의 사용량과 그 위에 논리 볼륨을 배치하면 스택된 구성에 시스템 교착 상태가 발생합니다. 이 문제를 해결하기 위해 Red Hat은 세그먼트 유형 raid1 과 함께 RAID 1 논리 볼륨을 사용하는 것이 좋습니다.

zlib 압축 형식으로 인해 vmcore 캡처가 느려질 수 있습니다.

kdump 구성 파일은 기본적으로 lovn 압축 형식 (makedumpfile -l)을 사용합니다. zlib 압축 형식(makedumpfile -c)을 사용하도록 구성 파일을 수정하면 vmcore 캡처 프로세스의 속도가 느려집니다. 그 결과 zlib 를 lECDHE에 비해 사용할 때 vmcore를 캡처하는 데 kdump 가 약 4배 더 걸릴 수 있습니다. 따라서 속도가 주요 구동 요인인 경우 Red Hat은 기본 l ovn을 사용하는 것이 좋습니다. 그러나 대상 머신이 사용 가능한 공간인 경우 zlib 가 더 나은 옵션입니다.

아이러니 드라이버를 사용하는 Intel 네트워크 장치는 bridge-over-VLAN 토폴로지를 사용할 때 트래픽을 전달하지 않습니다.

이더넷 장치는 ICMP(Internet Control Message Protocol) 에코 요청을 전송하지 않으며 다음 조건이 모두 충족되는 경우 트래픽을 응답하지 않습니다.

Red Hat Enterprise Linux 7에서 MD5 해시 알고리즘을 사용한 서명 검증이 비활성화됨

MD5 서명된 인증서가 필요한 Wi-Fi Protected Access (WPA)AP(Enterprise Access Point)에 연결하는 것은 불가능합니다. 이 문제를 해결하려면 /usr/lib/systemd/system/ 디렉토리에서 wpa_supplicant.service 파일을 /etc/systemd/system/ 디렉토리로 복사하고 파일의 서비스 섹션에 다음 행을 추가합니다.

bind-utils DNS 조회 유틸리티로 glibc보다 적은 검색 도메인을 지원

bind-utils 패키지의 dig,host, nslookup DNS 조회 유틸리티는 최대 8개의 검색 도메인만 지원하는 반면, 시스템의 glibc 확인자는 임의의 수의 검색 도메인을 지원합니다. 결과적으로 /etc/resolv.conf 파일의 검색에 8개 이상의 도메인이 포함된 경우 DNS 조회 유틸리티가 애플리케이션과 다른 결과를 얻을 수 있습니다.

auditd 서버는 KRB5 피어 인증을 사용하는 원격 로깅 서버에서 시작되지 않습니다.

SELinux 정책에는 auditd_t SELinux 유형에서 실행되는 프로세스를 통해 생성된 임시 디렉터리 및 파일의 auditd_tmp_t 파일 유형이 포함되지 않습니다. 이렇게 하면 원격 로깅에 KRB5 피어 인증이 사용되는 경우 서버에서 auditd 서비스가 시작되지 않습니다.

심볼릭 링크의 감사 실행 가능한 감시가 작동하지 않음

-w 옵션에서 제공하는 파일 모니터링은 경로를 직접 추적할 수 없습니다. 실행된 프로그램과 비교할 수 있도록 장치 및 inode의 경로를 확인해야 합니다. 실행 가능한 심볼릭 링크를 모니터링하는 감시는 symlink의 확인에서 발견된 메모리에서 실행되는 프로그램 대신 symlink 자체의 장치 및 inode를 모니터링합니다. 감시가 심볼릭 링크를 해석하여 결과 실행 프로그램을 가져오더라도 다른 심볼릭 링크에서 호출되는 다중 호출 바이너리에서 규칙이 트리거됩니다. 이로 인해 false positive로 로그를 플러싱합니다. 결과적으로 심볼릭 링크의 감사 실행 가능한 감시가 작동하지 않습니다.

mariadb-test 또는 postgresql-docs 가 Workstation에 설치된 경우 RHEL 7.8로 업그레이드할 수 없습니다.

mariadb-test 및 postgresql-docs 패키지가 Workstation 선택적 리포지토리로 이동되었습니다. 결과적으로 이러한 패키지가 설치되어 있으면 워크스테이션 변형을 사용하여 RHEL 7.8로 시스템을 업데이트할 수 없습니다. 이 문제를 해결하려면 RHEL 7.8로 업그레이드하기 전에 mariadb-test 및 postgresql-docs 를 설치 제거합니다.

Freeradius는 249자 이상의 비밀번호를 자동으로 자작합니다.

Password가 249자 이상이면 FreeRADIUS 서비스가 자동으로 잘라집니다. 이로 인해 다른 시스템과 호환되지 않는 암호가 발생할 수 있습니다.

외부 MD 메타데이터가 있는 메모리 부족 상황에서 시스템이 응답하지 않는 경우가 있음

다음 조건이 모두 발생하면 시스템이 주기적으로 응답하지 않을 수 있습니다.

실제 주소 크기가 다른 호스트 간에 가상 머신의 실시간 마이그레이션이 제대로 작동하지 않는 경우도 있습니다.

호스트에 물리적 주소 크기가 다른 경우 핫플러그 CPU를 사용하는 VM(가상 머신)의 실시간 마이그레이션이 실패하는 경우가 있습니다. 이 문제를 해결하려면 CPU 핫 플러그를 사용하는 동안 이러한 호스트 간에 실시간 마이그레이션하지 마십시오. 또는 다른 물리적 주소 크기를 가진 호스트로 CPU를 핫플러그하지 마십시오.

virt-clone 은 --nonsparse 를 사용할 때 항상 100% 진행 표시줄을 표시합니다.

현재 virt-clone 유틸리티를 --nonparse 옵션과 함께 사용하면 CLI에 진행률 표시줄에 항상 프로세스의 100% 완료가 표시됩니다. 결과적으로 사용자는 가상 머신 복제의 실제 진행 상황을 볼 수 없습니다.

RHEL 7 가상 머신은 부팅 할 수 없으며 Witherspoon 호스트로 마이그레이션

경우에 따라 DD2.3 CPU를 사용하는 HPC 호스트 (Witherspoon라고도 함)에서 Power9 S922LC 를 부팅하지 못하는 경우 pseries-rhel7.6.0-sxxm 머신 유형을 사용하는 RHEL 7 가상 머신(VM)을 사용할 수 있습니다.

kdump는 Hyper-V 가상 머신에서 nr_cpus를 2 이상으로 설정하는 것을 지원하지 않습니다.

RHEL 7.8을 Microsoft Hyper-V 하이퍼바이저의 게스트 운영 체제로 사용하는 경우 nr_cpus 매개변수가 2 이상으로 설정되면 kdump 커널이 응답하지 않는 경우가 있습니다. 이 문제가 발생하지 않도록 하려면 게스트의 /etc/sysconfig/kdump 파일에서 기본 nr_cpus=1 매개변수를 변경하지 마십시오.