9.8. 네트워킹
negative_advice() 함수를 사용하는 오래된 타사 모듈은 커널을 충돌시킬 수 있습니다.
핵심 네트워킹 작업 negative_advice() 는 inline dst_negative_advice() 및 __dst_negative_advice() 함수를 호출합니다. RHEL 8.10의 커널은 이러한 인라인 함수에서 보안 문제 (CVE-2024-36971)를 패치했습니다. 수정 전에 타사 모듈을 컴파일한 경우 이 모듈은 negative_advice() 를 잘못 호출할 수 있습니다. 결과적으로 타사 모듈이 커널을 손상시킬 수 있습니다. 이 문제를 해결하려면 negative_advice() 함수를 올바르게 호출하는 업데이트된 모듈을 사용합니다.
네트워크 인터페이스 이름이 예기치 않은 변경으로 인해 RoCE 인터페이스에서 IP 설정이 손실됨
두 조건이 충족되면 RDMA over Converged Ethernet (RoCE) 인터페이스가 네트워크 인터페이스 이름을 예기치 않은 변경으로 인해 IP 설정이 손실됩니다.
- 사용자는 RHEL 8.6 시스템 또는 이전 버전에서 업그레이드합니다.
- RoCE 카드는 UID로 열거됩니다.
이 문제를 해결하려면 다음을 수행합니다.
다음 콘텐츠를 사용하여
/etc/systemd/network/98-rhel87-s390x.link파일을 만듭니다.[Match] Architecture=s390x KernelCommandLine=!net.naming-scheme=rhel-8.7 [Link] NamePolicy=kernel database slot path AlternativeNamesPolicy=database slot path MACAddressPolicy=persistent
- 변경 사항을 적용하려면 시스템을 재부팅합니다.
- RHEL 8.7 이상으로 업그레이드합니다.
function ID(FID)로 열거되어 있고 고유하지 않은 RoCE 인터페이스는 net.naming-scheme=rhel-8.7 커널 매개 변수를 설정하지 않는 한 여전히 예측할 수 없는 인터페이스 이름을 사용합니다. 이 경우 RoCE 인터페이스는 ens 접두사를 사용하여 예측 가능한 이름으로 전환합니다.
Jira:RHEL-11398[1]
IPv6_rpfilter 옵션을 사용하는 시스템은 네트워크 처리량이 낮은 경험
firewalld.conf 파일에서 IPv6_rpfilter 옵션이 활성화된 시스템은 현재 100Gbps 링크와 같이 높은 트래픽 시나리오에서 하위 성능 및 낮은 네트워크 처리량을 경험합니다. 이 문제를 해결하려면 IPv6_rpfilter 옵션을 비활성화합니다. 이렇게 하려면 /etc/firewalld/firewalld.conf 파일에 다음 행을 추가합니다.
IPv6_rpfilter=no
결과적으로 시스템이 더 잘 수행되지만 보안이 저하되었습니다.
Bugzilla:1871860[1]
