6.4. 버그 수정
이 부분에서는 사용자에게 중요한 영향을 미치는 Red Hat Enterprise Linux 8.1의 버그에 대해 설명합니다.
6.4.1. 설치 프로그램 및 이미지 생성
버전
또는 inst.version
커널 부팅 매개변수를 사용하면 더 이상 설치 프로그램이 중지되지 않습니다.
이전에는 버전
또는 inst.version
부팅 매개 변수를 사용하여 커널 명령줄에서 설치 프로그램을 부팅하는 경우 버전이 출력되었습니다 (예: anaconda 30.25.6
).
이번 업데이트를 통해 설치 프로그램이 커널 명령줄에서 부팅될 때 version
및 inst.version
매개 변수가 무시되므로 설치 프로그램이 중지되지 않습니다.
(BZ#1637472)
xorg-x11-drv-fbdev
,xorg-x11-drv-vesa
및 xorg-x11-drv-vmware
비디오 드라이버는 기본적으로 설치됩니다.
이전에는 특정 AMD 가속화 처리 장치가 있는 NVIDIA 그래픽 카드 및 워크스테이션 모델이 있는 워크스테이션에서 RHEL 8.0 서버를 설치한 후 그래픽 로그인 창을 표시하지 않았습니다. 이 문제는 Hyper-V와 같은 그래픽 지원을 위해 EFI에 의존하는 가상 시스템도 영향을 받았습니다. 이번 업데이트를 통해 xorg-x11-drv-fbdev
,xorg-x11-drv-vesa
및 xorg-x11-drv-vmware
비디오 드라이버가 기본적으로 설치되고 RHEL 8.0 이상 서버 설치 후 그래픽 로그인 창이 표시됩니다.
(BZ#1687489)
오류 메시지를 표시하지 않고 복구 모드가 더 이상 실패하지 않습니다
이전 버전에서는 Linux 파티션이 없는 시스템에서 복구 모드를 실행하여 설치 프로그램이 예외로 실패했습니다. 이번 업데이트를 통해 Linux 파티션이 없는 시스템이 감지되면 설치 프로그램에 "Linux 파티션이 없습니다" 오류 메시지가 표시됩니다.
(BZ#1628653)
설치 프로그램에서 이미지 설치에 대한 lvm_metadata_backup
Blivet 플래그를 설정합니다.
이전에는 설치 프로그램에서 이미지 설치에 대한 lvm_metadata_backup
Blivet 플래그를 설정하지 못했습니다. 결과적으로 LVM 백업 파일은 이미지 설치 후 /etc/lvm/
하위 디렉터리에 있었습니다. 이번 업데이트를 통해 설치 프로그램에서 lvm_metadata_backup
Blivet 플래그를 설정하므로 이미지 설치 후 /etc/lvm/
하위 디렉터리에 LVM 백업 파일이 없습니다.
(BZ#1673901)
RHEL 8 설치 프로그램은 RPM의 문자열을 처리
이전에는 python3-rpm
라이브러리에서 문자열을 반환할 때 설치 프로그램이 예외로 실패했습니다. 이번 업데이트를 통해 이제 설치 프로그램에서 RPM의 문자열을 처리할 수 있습니다.
inst.repo
커널 부트 매개변수는 루트가 아닌 경로가 있는 하드 드라이브의 리포지토리에서 작동합니다.
이전에는 inst.repo=hd:<device>:<path>
커널 부팅 매개 변수가 하드 드라이브의 리포지토리(ISO 이미지가 아님)를 가리키고 있고 루트가 아닌(/) 경로가 사용된 경우 수동으로 조작하지 않고 RHEL 8 설치 프로세스를 진행할 수 없었습니다. 이번 업데이트를 통해 이제 설치 프로그램에서 하드 드라이브에 있는 리포지토리에 대해 <path>
를 전파하여 설치가 정상적으로 진행되도록 할 수 있습니다.
--changesok
옵션을 사용하면 설치 프로그램에서 루트 암호를 변경할 수 있습니다.
이전에는 Kickstart 파일에서 Red Hat Enterprise Linux 8을 설치할 때 --changesok
옵션을 사용하여 설치 프로그램에서 root 암호를 변경할 수 없었습니다. 이번 업데이트를 통해 Kickstart에 --changesok
옵션이 성공적으로 전달되므로 Kickstart 파일에 pwpolicy root -changesok
옵션을 지정하는 사용자는 Kickstart에서 이미 암호를 설정한 경우에도 GUI를 사용하여 root 암호를 변경할 수 있습니다.
(BZ#1584145)
lorax-composer
API를 사용할 때 이미지 빌드가 더 이상 실패하지 않습니다
이전에는 서브스크립션된 RHEL 시스템에서 lorax-composer
API를 사용할 때 이미지 빌드 프로세스가 항상 실패했습니다. 호스트의 서브스크립션 인증서가 전달되지 않으므로 Anaconda에서 리포지토리에 액세스할 수 없습니다. 문제를 해결하려면 lorax-composer
,pykickstart
및 Anaconda
패키지를 업데이트합니다. 지원하는 CDN 인증서를 전달할 수 있습니다.
6.4.2. 쉘 및 명령행 툴
디버그 모드의 systemd
가 더 이상 불필요한 로그 메시지를 생성하지 않음
디버그 모드에서 systemd
시스템 및 서비스 관리자를 사용할 때 이전에 systemd
에서 시작한 불필요한 로그 메시지가 생성되었습니다.
"Failed to add rule for system call ..."
이번 업데이트를 통해 systemd
가 더 이상 불필요한 디버그 메시지를 생성하지 않도록 수정되었습니다.
6.4.3. 보안
fapolicyd
가 더 이상 RHEL 업데이트를 금지하지 않음
업데이트가 실행 중인 애플리케이션의 바이너리를 교체하면 커널은 " (deleted)" 접미사를 추가하여 메모리의 애플리케이션 바이너리 경로를 수정합니다. 이전에는 fapolicyd
파일 액세스 정책 데몬이 애플리케이션을 신뢰할 수 없는 것으로 처리하여 다른 파일을 열고 실행할 수 없었습니다. 그 결과 업데이트를 적용한 후 시스템을 부팅할 수 없는 경우가 있었습니다.
RHBA-2020:5241 권고가 릴리스되면서 fapolicyd
는 바이너리 경로의 접미사를 무시하므로 바이너리가 신뢰 데이터베이스와 일치할 수 있습니다. 결과적으로 fapolicyd
는 규칙을 올바르게 적용하고 업데이트 프로세스를 완료할 수 있습니다.
(BZ#1897092)
SELinux가 더 이상 Tomcat이 이메일을 보내지 않도록 차단하지 않습니다
이번 업데이트 이전에는 SELinux 정책에서 tomcat_t 및
도메인이 SMTP 포트에 연결하는 것을 허용하지 않았습니다. 그 결과 SELinux는 Tomcat 서버의 애플리케이션이 이메일을 보내는 것을 거부했습니다. 이 pki_tomcat_t
selinux-policy
패키지를 업데이트하면 이 정책을 통해 Tomcat 도메인의 프로세스가 SMTP 포트에 액세스할 수 있으며 SELinux는 더 이상 Tomcat의 애플리케이션이 이메일을 보내지 않습니다.
(BZ#1687798)
Lockdev
가 SELinux에서 올바르게 실행됩니다.
이전에는 lockdev
_t의 SELinux 정책이 정의된 경우에도 lockdev 툴이
컨텍스트로 전환할 수 없었습니다. 그 결과 root 사용자가 사용할 때 'unconfined_t' 도메인에서 lockdev_t
lockdev
를 실행할 수 있었습니다. 이로 인해 시스템에 취약점이 발생했습니다. 이번 업데이트를 통해 lockdev_t
로 전환이 정의되어 이제 강제 모드에서 SELinux에서 lockdev
를 올바르게 사용할 수 있습니다.
(BZ#1673269)
이제 SELinux에서 iotop
이 올바르게 실행됩니다.
이전에는 SELinux 정책 for iotop
_t가 정의된 경우에도 theiotop
툴이 iotop_t
컨텍스트로 전환할 수 없었습니다. 그 결과, iotop
은 root 사용자가 사용할 때 'unconfined_t' 도메인에서 실행할 수 있었습니다. 이로 인해 시스템에 취약점이 발생했습니다. 이번 업데이트를 통해 전환을 iotop_t
로 정의했습니다. 이제 강제 모드에서 SELinux에서 and iotop
을 올바르게 사용할 수 있습니다.
(BZ#1671241)
이제 SELinux가 NFS 'crossmnt'를 올바르게 처리합니다.
프로세스가 서버에서 마운트 지점으로 이미 사용된 하위 디렉터리에 액세스할 때 crossmnt
옵션이 있는 NFS 프로토콜은 내부 마운트를 자동으로 생성합니다. 이전에는 SELinux에서 NFS 마운트 디렉토리에 액세스하는 프로세스에 마운트 권한이 있는지 확인하여 AVC 거부가 발생했습니다. 현재 버전에서 SELinux 권한 확인은 이러한 내부 마운트를 건너뜁니다. 결과적으로 서버측에 마운트된 NFS 디렉터리에 액세스할 때 마운트 권한이 필요하지 않습니다.
(BZ#1647723)
SELinux 정책을 다시 로드해도 더 이상 잘못된 ENOMEM 오류가 발생하지 않습니다
이전에는 SELinux 정책을 다시 로드하면 내부 보안 컨텍스트 조회 테이블이 응답하지 않았습니다. 그 결과 정책을 다시 로드하는 동안 커널이 새 보안 컨텍스트가 발생했을 때 잘못된 "메모리의 출력"(ENOMEM) 오류로 인해 작업이 실패했습니다. 이번 업데이트를 통해 내부 보안 식별자(SID) 조회 테이블이 다시 설계되어 더 이상 중지되지 않습니다. 결과적으로 커널은 SELinux 정책 다시 로드 중에 더 이상 잘못된 ENOMEM 오류를 반환하지 않습니다.
(BZ#1656787)
제한되지 않은 도메인에서 smc_socket
을 사용할 수 있음
이전에는 SELinux 정책에 smc_socket
클래스에 대한 허용 규칙이 없었습니다. 결과적으로 SELinux는 제한되지 않은 도메인의 smc_socket
에 대한 액세스를 차단했습니다. 이번 업데이트를 통해 SELinux 정책에 허용 규칙이 추가되었습니다. 결과적으로 제한되지 않은 도메인에서 smc_socket
을 사용할 수 있습니다.
(BZ#1683642)
Kerberos 정리 절차가 이제 krb5.conf의
GSSAPIDelegateCredentials
및 기본 캐시와 호환됩니다.
이전 버전에서는 default_ccache_name
옵션이 krb5.conf
파일에 구성될 때 kerberos 자격 증명이 GSSAPIDelegateCredentials
및 GSSAPIupCredentials
옵션으로 정리되지 않았습니다. 이 버그는 설명된 사용 사례에서 인증 정보 캐시를 정리하도록 소스 코드를 업데이트하여 해결되었습니다. 구성 후 사용자가 구성하면 인증 정보 캐시가 종료 시 정리됩니다.
OpenSSH에서 일치하지 않는 키의 PKCS #11 URI를 올바르게 처리합니다.
이전에는 개체 부분(키 레이블)으로 PKCS #11 URI를 지정하면 OpenSSH가 PKCS #11에서 관련 개체를 찾지 못할 수 있었습니다. 이번 업데이트를 통해 일치하는 오브젝트를 찾을 수 없는 경우 라벨이 무시되고 키는 해당 ID와만 일치합니다. 결과적으로 OpenSSH는 이제 전체 PKCS #11 URI를 사용하여 참조되는 스마트 카드에서 키를 사용할 수 있습니다.
(BZ#1671262)
VMware 호스트 시스템과의 SSH 연결이 올바르게 작동합니다
이전 버전의 OpenSSH
제품군에서는 SSH 패킷의 기본 IPQoS(IPQoS) 플래그를 변경하여 VMware 가상화 플랫폼에서 올바르게 처리하지 않았습니다. 결과적으로 VMware의 시스템과 SSH 연결을 설정할 수 없었습니다. VMWare Workstation 15에서 이 문제가 해결되었으며 VMware 호스트 시스템과의 SSH 연결이 올바르게 작동합니다.
(BZ#1651763)
curve25519-sha256
은 OpenSSH에서 기본적으로 지원
이전에는 기본 정책 수준을 준수하더라도 OpenSSH 클라이언트 및 서버의 시스템 전체 암호화 정책 구성에서 curve25519-sha256
SSH 키 교환 알고리즘이 누락되었습니다. 결과적으로 클라이언트 또는 서버가 curve25519-sha256
을 사용하고 이 알고리즘이 호스트에서 지원하지 않는 경우 연결에 실패할 수 있습니다. 이번 crypto-policies
패키지 업데이트는 버그를 수정하고 설명된 시나리오에서 SSH 연결이 더 이상 실패하지 않습니다.
OSPP 및 PCI-DSS 프로필에 대한 Ansible 플레이북이 더 이상 실패하면 종료되지 않습니다
이전에는 OSPP(Security Content Automation Protocol) 및 PCI-DSS(Payment Card Industry Data Security Standard) 프로필에 대한 Ansible 수정이 잘못된 순서 및 수정의 기타 오류로 인해 실패했습니다. 이번 업데이트에서는 생성된 Ansible 해결 플레이북의 순서 및 오류를 수정하고 Ansible 해결이 올바르게 작동합니다.
Audit transport=KRB5
가 올바르게 작동합니다.
이번 업데이트 이전에는 감사 KRB5 전송 모드가 올바르게 작동하지 않았습니다. 결과적으로 Kerberos 피어 인증을 사용한 감사 원격 로깅이 작동하지 않았습니다. 이번 업데이트를 통해 문제가 수정되었으며 설명된 시나리오에서 감사 원격 로깅이 제대로 작동합니다.
6.4.4. 네트워킹
커널은 bitmap:ipmac, hash:ipmac
및
IP 세트 유형에서 대상 MAC 주소를 지원합니다.hash:mac
이전에는 bitmap:ipmac, hash:ipmac
및
IP 세트 유형의 커널 구현은 소스 MAC 주소에서만 일치하는 것을 허용했지만 대상 MAC 주소를 지정할 수는 있었지만 설정된 항목과 일치하지 않았습니다. 결과적으로 관리자는 이러한 IP 집합 유형 중 하나에서 대상 MAC 주소를 사용한 hash:mac
iptables
규칙을 만들 수 있지만 지정된 사양과 일치하는 패킷은 실제로 분류되지 않았습니다. 이번 업데이트를 통해 커널은 대상 MAC 주소를 비교하고 지정된 분류가 패킷의 대상 MAC 주소에 해당하는 경우 일치를 반환합니다. 결과적으로 대상 MAC 주소에 대한 패킷과 일치하는 규칙이 올바르게 작동합니다.
(BZ#1649087)
gnome-control-center
애플리케이션에서 고급 IPsec 설정 편집 지원
이전에는 gnome-control-center
애플리케이션에 IPsec VPN 연결의 고급 옵션만 표시되었습니다. 결과적으로 사용자는 이러한 설정을 변경할 수 없었습니다. 이번 업데이트를 통해 이제 고급 설정의 필드를 편집할 수 있으며 사용자는 변경 사항을 저장할 수 있습니다.
iptables-extensions(8)
도움말 페이지의 TRACE
대상이 업데이트되었습니다.
이전에는 iptables-extensions(8)
도움말 페이지의 TRACE
대상에 대한 설명이 Compat 변형
만 참조했지만 Red Hat Enterprise Linux 8에서는 the nf_tables
변형을 사용합니다. 결과적으로 도움말 페이지에서는 TRACE
이벤트를 표시하기 위해 xtables-monitor
명령줄 유틸리티를 참조하지 않았습니다. 도움말 페이지가 업데이트되어 이제 xtables-monitor
가 표시됩니다.
ipset
서비스에 로그인하는 중 오류가 개선되었습니다.
이전에는 ipset
서비스에서 systemd
로그의 의미 있는 심각도와 함께 구성 오류를 보고하지 않았습니다. 유효하지 않은 구성 항목의 심각도 수준은 정보로만 제공
되었으며 서비스에서 사용할 수 없는 구성에 대한 오류를 보고하지 않았습니다. 그 결과 관리자가 ipset
서비스 구성에서 문제를 식별하고 해결하기 어려웠습니다. 이번 업데이트를 통해 ipset
는 systemd
로그 의
구성 문제를 경고로 보고하고 서비스가 시작되지 않으면 자세한 내용을 포함하여 오류
심각도가 있는 항목을 기록합니다. 결과적으로 이제 ipset
서비스 구성에서 문제를 쉽게 해결할 수 있습니다.
ipset
서비스에서 시작하는 동안 잘못된 설정 항목을 무시합니다
ipset
서비스는 구성을 별도의 파일에 세트로 저장합니다. 이전 버전에서는 서비스가 시작되면 수동으로 세트를 편집하여 삽입할 수 있는 유효하지 않은 항목을 필터링하지 않고 단일 작업에서 모든 세트의 구성이 복원되었습니다. 이로 인해 단일 구성 항목이 유효하지 않은 경우 서비스가 관련이 없는 추가 세트를 복원하지 않았습니다. 문제가 해결되었습니다. 결과적으로 ipset
서비스는 복원 작업 중에 유효하지 않은 구성 항목을 탐지하고 제거하고 잘못된 구성 항목을 무시합니다.
ipset list
명령은 해시
세트 유형에 대한 일관된 메모리를 보고합니다.
해시
세트 유형에 항목을 추가할 때 ipset
유틸리티는 메모리 블록을 할당하여 새 항목의 크기를 에 맞게 조정해야 합니다. 이전에는 ipset
에서 할당된 총 크기를 현재 메모리 내 크기에 값을 추가하는 대신 새 블록의 크기로만 설정했습니다. 그 결과 ip list
명령은 일관되지 않은 메모리 크기를 보고했습니다. 이번 업데이트를 통해 ipset
은 메모리 내 크기를 올바르게 계산합니다. 결과적으로 ipset list
명령은 이제 세트의 올바른 메모리 내 크기를 표시하고, 출력은 해시
세트 유형에 대해 실제 할당된 메모리와 일치합니다.
(BZ#1714111)
ICMPv6 패킷 Too Big
메시지를 받을 때 커널이 PMTU를 올바르게 업데이트합니다.
링크-로컬 주소 등의 특정 상황에서는 둘 이상의 경로가 소스 주소와 일치할 수 있습니다. 이전에는 커널이ICMPv6) 패킷을 수신할 때 입력 인터페이스를 확인하지 않았습니다. 따라서 경로 조회에서 입력 인터페이스와 일치하지 않는 대상을 반환할 수 있었습니다. 그 결과 ICMPv6 패킷 Too Big
메시지를 수신할 때 커널은 다른 입력 인터페이스에 대해 PMTU(Path maximum maximum Transmission Unit)를 업데이트할 수 있습니다. 이번 업데이트를 통해 커널은 경로 조회 중에 입력 인터페이스를 확인합니다. 그 결과 커널이 소스 주소를 기반으로 올바른 대상을 업데이트하고 설명된 시나리오에서 PMTU가 예상대로 작동합니다.
(BZ#1721961)
/etc/hosts.allow
및 /etc/hosts.deny
파일에 더 이상 tcp_wrappers
제거에 대한 오래된 참조가 포함되어 있지 않습니다.
이전에는 /etc/hosts.allow
및 /etc/hosts.deny
파일에 tcp_wrappers
패키지에 대한 오래된 정보가 포함되어 있었습니다. 파일은 제거된 tcp_wrappers
에 더 이상 필요하지 않으므로 RHEL 8에서 제거됩니다.
6.4.5. 커널
tpm2-abrmd-selinux
에 이제 selinux-policy-targeted
에 올바르게 종속되어 있습니다.
이전에는 tpm2-abrmd-selinux
패키지에 selinux-policy-
패키지에 종속되어 있었습니다. 결과적으로 시스템에 targeted 패키지 대신 selinux-policy-
baseselinux-policy-
이 설치된 경우 targeted 대신 selinux-policy-
minimumtpm2-abrmd-selinux
패키지 설치에 실패했습니다. 이번 업데이트에서는 버그가 수정되어 설명된 시나리오에 tpm2-abrmd-selinux
를 올바르게 설치할 수 있습니다.
(BZ#1642000)
모든 /sys/kernel/debug
파일에 액세스할 수 있습니다.
이전에는 오류와 관계없이 함수가 끝날 때까지 EPERM(운영 불가) 오류에 대한 반환 값이 설정되었습니다. 결과적으로 특정 /sys/kernel/debug (debug
fs) 파일에 액세스하는 모든 시도가 보장되지 않은 EPERM 오류로 실패했습니다. 이번 업데이트에서는 EPERM 반환 값을 다음 블록으로 이동합니다. 따라서 설명된 시나리오에서 문제 없이 debugfs
파일에 액세스할 수 있습니다.
(BZ#1686755)
NIC는 41000 및 45000 FastLinQ 시리즈의 qede
드라이버의 버그의 더 이상 영향을 받지 않습니다.
이전에는 41000 및 45000 FastLinQ 시리즈의 qede
드라이버의 버그로 인해 펌웨어 업그레이드 및 디버그 데이터 수집 작업이 실패했습니다. NIC를 사용할 수 없게 되었습니다. 호스트의 재부팅(PCI 재설정)으로 NIC가 다시 작동했습니다.
이 문제는 다음과 같은 시나리오에서 발생할 수 있습니다.
- 인박스 드라이버를 사용하여 NIC 펌웨어 업그레이드 중
-
ethtool -d ethx
명령을 실행하는 디버그 데이터 수집 중 -
ethtool -d ethx를 포함한
sosreport
명령을 실행하는 동안. - I/O 시간 초과, 메일 박스 명령 시간 제한 및 하드웨어 Attention과 같은 inbox 드라이버에서 자동 디버그 데이터 수집을 시작하는 동안.
이 문제를 해결하기 위해 Red Hat은 RHBA(Red Hat Bug Advisory)를 통해 에라타를 릴리스했습니다. RHBA가 릴리스되기 전에는 https://access.redhat.com/support 에서 지원되는 수정 사항을 요청하는 케이스를 생성하는 것이 좋습니다.
(BZ#1697310)
일반 EDACES
드라이버에서 오류를 보고한 DIMM을 감지합니다.
이전에는 EDACES 드라이버
에서 오류를 보고한 DIMM을 탐지할 수 없었습니다. 결과적으로 다음과 같은 오류 메시지가 표시되었습니다.
DIMM location: not present. DMI handle: 0x<ADDRESS>
이제 드라이버가 DMI(데스크탑 관리 인터페이스) 핸들
) 테이블을 스캔하도록 업데이트되었습니다. 결과적으로 0x<ADDRESS>
와 일치하는 특정 DIMM을 감지하도록 DMI(SMBIOSEDAC¢ES는
하드웨어 오류를 보고한 특정 DIMM을 올바르게 감지합니다.
(BZ#1721386)
Podman
은 RHEL 8의 컨테이너를 확인할 수 있습니다.
이전에는 CRIU(Checkpoint and Restore In Userspace) 패키지 버전이 오래되었습니다. 결과적으로 CRIU는 컨테이너 체크포인트 및 복원 기능을 지원하지 않았으며 podman
유틸리티에서 컨테이너를 확인하지 못했습니다. podman container checkpoint
명령을 실행할 때 다음과 같은 오류 메시지가 표시되었습니다.
'checkpointing a container requires at least CRIU 31100'
이번 업데이트에서는 CRIU 패키지 버전을 업그레이드하여 문제를 해결합니다. 결과적으로 podman
에서 컨테이너 체크포인트 및 복원 기능을 지원합니다.
(BZ#1689746)
dracut.conf에서
add_dracutmodules+=earlykdump 옵션을 사용하면
표준 early-kdump
및kdump
가 더 이상 실패하지 않습니다.
이전에는 early-kdump
를 위해 설치 중인 커널 버전과 커널 버전 initramfs
간에 불일치가 발생했습니다. 그 결과 kdump 가 활성화되면 부팅에
실패했습니다. 또한 early-kdump
가 표준 kdump
initramfs 이미지에 포함되어 있음을 감지하면 종료가 강제되었습니다. 따라서 early-kdump
가 기본 dracut
모듈로 추가된 경우 kdump
initramfs를 다시 빌드하려고 할 때도 표준 kdump 서비스도 실패했습니다
. 그 결과 early-kdump
및 표준 kdump
는 둘 다 실패했습니다. 이번 업데이트를 통해 early-kdump
는 설치 중에 일관된 커널 이름을 사용하므로 버전만 실행 중인 커널과 다릅니다. 또한 표준 kdump
서비스는 이미지 생성 실패를 방지하기 위해 early-kdump
를 강제로 삭제합니다. 따라서 설명된 시나리오에서 early-kdump
및 표준 kdump
가 더 이상 실패하지 않습니다.
(BZ#1662911)
SME를 활성화한 첫 번째 커널이 vmcore 덤프에 성공
이전에는 활성 SME(Secure Memory Encryption) 기능을 사용한 첫 번째 커널의 암호화된 메모리로 인해 kdump
메커니즘이 실패했습니다. 결과적으로 첫 번째 커널은 메모리의 콘텐츠(vmcore)를 덤프할 수 없었습니다. 이번 업데이트를 통해 암호화된 메모리를 다시 매핑하고 관련 코드를 수정하기 위해 ioremap_encrypted()
함수가 추가되었습니다. 결과적으로 암호화된 첫 번째 커널의 메모리에 올바르게 액세스하고 설명된 시나리오의 크래시 툴에서 vmcore를 덤프하고 구문 분석할 수 있습니다.
(BZ#1564427)
SEV를 활성화한 첫 번째 커널이 vmcore 덤프에 성공
이전에는 활성 SEV(Secure Encrypted Virtualization) 기능을 사용한 첫 번째 커널의 암호화된 메모리로 인해 kdump
메커니즘이 실패했습니다. 결과적으로 첫 번째 커널은 메모리의 콘텐츠(vmcore)를 덤프할 수 없었습니다. 이번 업데이트를 통해 암호화된 메모리를 다시 매핑하고 관련 코드를 수정하기 위해 ioremap_encrypted()
함수가 추가되었습니다. 결과적으로 첫 번째 커널의 암호화된 메모리에 올바르게 액세스하고 설명된 시나리오의 크래시 툴에서 vmcore를 덤프하고 구문 분석할 수 있습니다.
(BZ#1646810)
커널이 SWIOTLB에 더 많은 공간을 예약
이전에는 커널에서 SEV(Secure Encrypted Virtualization) 또는 SME(Secure Memory Encryption) 기능이 활성화되었을 때 SWIOTLB(Software Input Output Translation Lookaside Buffer) 기술을 활성화하고 상당한 양의 메모리를 사용해야 했습니다. 결과적으로 캡처 커널이 부팅되지 않거나 메모리 부족 오류가 발생했습니다. 이번 업데이트에서는 SEV/SME가 활성화된 상태에서 SWIOTLB에 대한 추가 크래시커널 메모리를 예약하여 버그가 수정되었습니다. 결과적으로 캡처 커널은 SWIOTLB용으로 예약된 메모리가 많으며 설명된 시나리오에는 더 이상 버그가 표시되지 않습니다.
(BZ#1728519)
이제 hwlatdetect
실행 중에 C 상태 전환을 비활성화할 수 있습니다
실시간 성능을 달성하려면 hwlatdetect
유틸리티에서 테스트 실행 중에 CPU 절전을 비활성화할 수 있어야 합니다. 이번 업데이트를 통해 테스트 실행 기간 동안 hwlatdetect
가 C 상태 전환을 해제하고 hwlatdetect
는 하드웨어 대기 시간을 보다 정확하게 감지할 수 있습니다.
6.4.6. 하드웨어 활성화
openmpi
패키지를 지금 설치할 수 있습니다
이전에는 opensm
패키지의 리베이스로 인해 soname
메커니즘이 변경되었습니다. 결과적으로 확인되지 않은 종속성으로 인해 openmpi
패키지를 설치할 수 없었습니다. 이번 업데이트에서는 문제가 해결되었습니다. 그 결과 openmpi
패키지를 문제없이 설치할 수 있습니다.
(BZ#1717289)
6.4.7. 파일 시스템 및 스토리지
RHEL 8 설치 프로그램은 이제 항목 ID를 사용하여 기본 부팅 항목을 설정합니다.
이전에는 RHEL 8 설치 프로그램에서 첫 번째 부팅 항목의 색인을 항목 ID를 사용하는 대신 기본값으로 사용했습니다. 그 결과 새 부팅 항목을 추가하는 것이 먼저 정렬되어 첫 번째 인덱스로 설정되었으므로 기본값이 되었습니다. 이번 업데이트를 통해 설치 프로그램은 항목 ID를 사용하여 기본 부팅 항목을 설정하며, 결과적으로 부팅 항목이 추가되어 기본값 앞에 정렬된 경우에도 기본 항목이 변경되지 않습니다.
이제 SME가 smartpqi로 활성화되면 시스템이 성공적으로 부팅됩니다.
이전에는 SME(Secure Memory Encryption) 기능이 활성화되어 루트 디스크에서 smartpqi
드라이버를 사용하는 경우 특정 AMD 시스템에서 시스템을 부팅하지 못했습니다.
부팅이 실패하면 시스템에 부팅 로그에 다음과 유사한 메시지가 표시되었습니다.
smartpqi 0000:23:00.0: failed to allocate PQI error buffer
이 문제는 DMA(동적 직접 메모리 액세스) 마스크가 설정되지 않았기 때문에 SWIOTLB(Software Input Output Translation Lookaside Buffer)로 대체되는 smartpqi
드라이버로 인해 발생했습니다.
이번 업데이트를 통해 일관성 있는 DMA 마스크가 올바르게 설정됩니다. 그 결과 루트 디스크에 smartpqi
드라이버를 사용하는 시스템에서 SME가 활성화되면 시스템이 성공적으로 부팅됩니다.
(BZ#1712272)
FCoE LUN은 bnx2fc
카드에서 생성된 후 사라집니다.
이전에는 bnx2fc
카드에 FCoE LUN을 생성한 후 FCoE LUN이 올바르게 연결되지 않았습니다. 결과적으로 RHEL 8.0의 bnx2fc
카드에 생성된 후 FCoE LUN이 사라졌습니다. 이번 업데이트를 통해 FCoE LUN이 올바르게 연결됩니다. 결과적으로 bnx2fc
카드에 생성된 후 FCoE LUN을 검색할 수 있습니다.
(BZ#1685894)
다른 엔드 플랫폼으로 이동한 후 더 이상 VDO 볼륨의 중복 제거 조언이 손실되지 않습니다
이전에는 VDO 볼륨을 다른 endian을 사용하는 플랫폼으로 이동한 후 UDS(Universal Deduplication Service) 인덱스가 중복 제거되는 모든 권고를 손실했습니다. 결과적으로 VDO는 볼륨을 이동하기 전에 저장된 데이터에 대해 새로 작성된 데이터를 중복 제거할 수 없어 공간 절약을 줄일 수 있었습니다.
이번 업데이트를 통해 중복 제거 권고를 손실하지 않고 다른 최종 버전을 사용하는 플랫폼 간에 VDO 볼륨을 이동할 수 있습니다.
Kdump
서비스는 대규모 IBM POWER
시스템에서 작동합니다.
이전에는 RHEL8 kdump
커널이 시작되지 않았습니다. 결과적으로 대형 IBM POWER
시스템에서 kdump initrd
파일이 생성되지 않았습니다. 이번 업데이트를 통해 squashfs-tools-4.3-19.el8
구성 요소가 추가되었습니다. 이번 업데이트에서는 사용 가능한 모든 CPU를 사용하는 대신 squashfs-tools-4.3-19.el8
구성 요소가 사용할 수 있는 CPU 수에 제한(128)이 추가되었습니다. 이로 인해 리소스 부족 오류가 수정되었습니다. 결과적으로 kdump
서비스는 대규모 IBM POWER
시스템에서 작동합니다.
(BZ#1716278)
이제 nfs.conf에 자세한 정보 표시 디버그 옵션이 추가되었습니다.
이전에는 /etc/nfs.conf
파일과 nfs.conf(5)
도움말 페이지에 다음 옵션이 포함되지 않았습니다.
- 상세 정보 표시
- rpc-verbosity
결과적으로 사용자는 이러한 디버그 플래그를 인식하지 못했습니다. 이번 업데이트를 통해 이러한 플래그는 이제 /etc/nfs.conf 파일의
도움말 페이지에도 설명되어 있습니다.
[gssd]
섹션에 포함되며 nfs.conf
(8)
(BZ#1668026)
6.4.8. 동적 프로그래밍 언어, 웹 서버 및 데이터베이스 서버
socket::inet_aton()
을 여러 스레드에서 안전하게 사용할 수 있음
이전에는 안전하지 않은 gethostbyname
함수가 있었습니다. 결과적으로 잘못된 IPv4 주소가 반환되거나 Perl 인터프리터가 예기치 않게 종료되었습니다. 이번 업데이트를 통해 ()
()glibc
함수라는 여러 Perl 스레드에서 도메인 이름을 확인하는 데 사용된 Socket::inet_atongethostbyname
구현이 변경되었습니다. 결과적으로 Perl () 대신 thread-safe
()getaddrinfo() glibc
함수를 사용하도록 Socket::inet_aton
소켓
모듈의 inet_aton()
함수를 여러 스레드에서 안전하게 사용할 수 있습니다.
6.4.9. 컴파일러 및 개발 도구
메모리가 부족한 경우에도 gettext
는 번역되지 않은 텍스트를 반환합니다.
이전에는 텍스트 로컬화에 대한 gettext()
함수에서 메모리 부족 시 텍스트 값이 아닌 NULL 값을 반환하여 애플리케이션에 텍스트 출력 또는 레이블이 없었습니다. 이 버그가 수정되어 이제 gettext()
- 메모리 부족 시 해석되지 않은 텍스트를 예상대로 반환합니다.
이제 locale
명령으로 실행 중에 오류가 발생할 때마다 LOCPATH
가 설정됨을 경고합니다.
이전에는 locale
명령에서 잘못된 LOCPATH로 인해 오류가 발생할 때 LOCPATH
환경 변수에 대한 진단을 제공하지 않았습니다 .
LOCPATH가 실행 중에 오류가 발생할 때마다 LOCPATH
가 설정되었음을 경고하도록 locale
명령이 설정됩니다. 그 결과 로케일
에서 발생하는 기본 오류와 함께 LOCPATH
를 보고합니다.
GDB
는 aarch64 SVE의 코어
파일에서 z
레지스터를 읽고 올바르게 나타낼 수 있습니다.
이전에는 gdb
구성 요소가 aarch64 확장 가능한 벡터 확장(SVE) 아키텍처를 사용하여 코어
파일에서 z
레지스터를 읽지 못했습니다. 이번 업데이트를 통해 이제 gdb
구성 요소가 코어
파일에서 z
레지스터를 읽을 수 있습니다. 결과적으로 info register
명령이 z
레지스터 콘텐츠를 성공적으로 표시합니다.
(BZ#1669953)
GCC가 버전 8.3.1으로 업데이트
GCC(GNU 컴파일러 컬렉션)가 업스트림 버전 8.3.1으로 업데이트되었습니다. 이 버전은 많은 수의 버그 수정을 제공합니다.
6.4.10. IdM (Identity Management)
freeradacy에서 IPv6 주소를 가리키는 호스트 이름을 확인합니다.
이전 RHEL 8 버전의 FreeRADIUS에서 ipaddr
유틸리티는 IPv4 주소만 지원했습니다. 결과적으로 IPv6 주소를
확인하기 위해 시스템을 RHEL 7에서 RHEL 8로 업그레이드한 후 구성의 수동 업데이트가 필요했습니다. 이번 업데이트에서는 기본 코드가 수정되었으며 FreeRADIUS의 ipaddr
도 IPv6 주소를 사용합니다.
Nuxwdog
서비스는 더 이상 HSM 환경에서 PKI 서버를 시작하지 못합니다.
이전 버전에서는 버그로 인해 keyutils
패키지가 pki-core
패키지의 종속성으로 설치되지 않았습니다. 또한 Nuxwdog
워치독 서비스에서 HSM(하드웨어 보안 모듈)을 사용하는 환경에서 PKI(공개 키 인프라) 서버를 시작하지 못했습니다. 이러한 문제는 해결되었습니다. 결과적으로 필수 keyutils
패키지가 종속성으로 자동으로 설치되고 Nuxwdog
는 HSM이 있는 환경에서 PKI 서버를 예상대로 시작합니다.
IdM 서버가 FIPS 모드에서 올바르게 작동합니다.
이전에는 Tomcat 서버의 SSL 커넥터가 불완전하게 구현되었습니다. 결과적으로 인증서 서버가 설치된 IdM(Identity Management) 서버가 FIPS 모드가 활성화된 시스템에서 작동하지 않았습니다. 이 버그는 JSSTrustManager 및
를 추가하여 해결되었습니다. 결과적으로 설명된 시나리오에서 IdM 서버가 올바르게 작동합니다.
JSSKeyManager
RHEL 8의 FIPS 모드에서 IdM 서버가 실행되지 않는 여러 버그가 있습니다. 이번 업데이트에서는 해당 중 하나만 수정했습니다.
KCM 인증 정보 캐시가 단일 인증 정보 캐시의 많은 인증 정보에 적합합니다.
이전에는 KCM(Kerberos Credential Manager)에 많은 수의 자격 증명이 포함된 경우 kinit 와 같은 Kerberos 작업은 데이터베이스의 항목 크기와 이러한 항목 수를 제한하여 실패했습니다.
이번 업데이트에서는 sssd.conf 파일의
kcm
섹션에 다음과 같은 새로운 구성 옵션이 도입되었습니다.
-
max_kontch (통합)
-
max_uid_ destinations (integer)
-
max_ccache_size (integer)
결과적으로 KCM은 이제 단일 ccache에서 많은 수의 자격 증명을 처리할 수 있습니다.
구성 옵션에 대한 자세한 내용은 sssd-kcm 도움말 페이지를 참조하십시오.
(BZ#1448094)
sss
ID 매핑 플러그인을 사용할 때 Samba에서 더 이상 액세스를 거부하지 않습니다
이전 버전에서는 이 구성이 있는 도메인 멤버에서 Samba를 실행하고 sss
ID 매핑 백엔드를 /etc/samba/smb.conf
파일에 사용한 구성을 추가하면 디렉터리를 공유하면 ID 매핑 백엔드가 변경되어 오류가 발생했습니다. 그 결과 Samba는 사용자 또는 그룹이 존재하는 경우에도 특정 사례에서 파일에 대한 액세스를 거부하고 SSSD에서 알고 있었습니다. 문제가 해결되었습니다. 따라서 sss
플러그인을 사용할 때 Samba가 더 이상 액세스를 거부하지 않습니다.
기본 SSSD 시간 제한 값이 더 이상 서로 충돌하지 않음
이전에는 기본 시간 제한 값 사이에 충돌이 발생했습니다. 다음 옵션의 기본값이 페일오버 기능을 개선하도록 변경되었습니다.
- dns_resolver_op_timeout - 2s (이전 6s)로 설정합니다.
- dns_resolver_timeout - 4s (이전 6s)로 설정
- ldap_opt_timeout - 8s (이전 6s)로 설정합니다.
또한 기본값이 1000ms인 새로운 dns_resolver_server_timeout
옵션이 추가되어 SSSD가 한 DNS 서버에서 다른 DNS 서버로 전환하는 시간 초과 기간을 지정합니다.
(BZ#1382750)
6.4.11. 데스크탑
systemctl isolate multi-user.target
에 콘솔 프롬프트가 표시
systemctl isolate multi-user.target
명령을 GNOME 데스크탑 세션에서 GNOME Terminal에서 실행할 때 콘솔 프롬프트가 아니라 커서만 표시되었습니다. 이번 업데이트 fixgdm
및 설명된 상황에서 콘솔 프롬프트가 예상대로 표시됩니다.
6.4.12. 그래픽 인프라
'i915' 디스플레이 드라이버는 이제 디스플레이 구성을 최대 34K까지 지원합니다.
이전에는 Xorg 세션에서 'i915' 표시 드라이버를 사용할 때 표시 구성이 24K보다 큰 경우가 있었습니다. 이번 업데이트를 통해 'i915' 드라이버는 이제 최대 34K의 디스플레이 구성을 지원합니다.
(BZ#1664969)
GPU 드라이버를 초기화할 때 Linux 게스트에 더 이상 오류가 표시되지 않습니다
이전에는 GPU 드라이버를 초기화할 때 Linux 게스트에서 경고를 반환했습니다. 이는 Intel Graphics Virtualization Technology -g (GVT -g)가 게스트에 대한 DisplayPort
(DP) 인터페이스만 시뮬레이션하고 'EDP_PSR_IMR' 및 'EDP_PSR_IIR' 레지스터를 기본 메모리 매핑 I/O(MMIO) 읽기/쓰기 레지스터로 등록하기 때문에 발생했습니다. 이 문제를 해결하기 위해 핸들러가 이러한 레지스터에 추가되고 경고가 더 이상 반환되지 않습니다.
(BZ#1643980)
6.4.13. 웹 콘솔
session_recording 쉘을 사용하여 RHEL 웹 콘솔에 로그인할 수 있습니다.
이전에는 세션 기록을 활성화하는 tlog
쉘의 사용자가 RHEL 웹 콘솔에 로그인할 수 없었습니다. 이번 업데이트에서는 버그가 수정되었습니다. 업데이트를 설치한 후 tlog-rec-session
쉘을 /etc/shells/
에 추가하는 이전 해결방법을 복원해야 합니다.
(BZ#1631905)
6.4.14. 가상화
pcie-to-pci 브리지 컨트롤러에 PCI 장치를 핫플러그하는 것이 올바르게 작동합니다.
이전 버전에서는 게스트 가상 머신 구성에 게스트가 시작될 때 엔드포인트 장치가 연결되지 않은 pcie-to-pci-bridge 컨트롤러가 포함되어 있으면 해당 컨트롤러에 새 장치를 핫플러그할 수 있었습니다. 이번 업데이트에서는 PCIe 시스템에서 레거시 PCI 장치를 핫플러그하는 방법이 개선되어 문제가 발생하지 않습니다.
중첩된 가상화를 활성화해도 더 이상 실시간 마이그레이션이 차단되지 않습니다
이전에는 중첩된 가상화 기능이 실시간 마이그레이션과 호환되지 않았습니다. 결과적으로 RHEL 8 호스트에서 중첩된 가상화를 활성화하면 호스트에서 VM(가상 시스템)을 마이그레이션하고 VM 상태 스냅샷을 디스크에 저장하지 못했습니다. 이번 업데이트에서는 설명된 문제가 해결되어 영향을 받는 VM을 마이그레이션할 수 있습니다.
6.4.15. 지원 관련 기능
redhat-support-tool
에서 sosreport
아카이브 생성
이전에는 redhat-support-tool
유틸리티에서 sosreport
아카이브를 생성할 수 없었습니다. 해결방법은 sosreport
명령을 별도로 실행한 다음 redhat-support-tool addattachment -c
명령을 입력하여 아카이브를 업로드하는 것이었습니다. 또한 사용자는 고객 사례를 생성하고 sosreport
아카이브를 업로드하는 고객 포털에서 웹 UI를 사용할 수 있습니다.
또한 findkerneldebugs
,btextract
,분석
또는 진단과 같은 명령 옵션은 예상대로 작동하지 않으며
향후 릴리스에서 수정될 예정입니다.