6.7. 확인된 문제

auth 및 authconfig Kickstart 명령에는 AppStream 리포지토리가 필요

authselect-compat 패키지는 설치하는 동안 auth 및 authconfig Kickstart 명령이 필요합니다. 이 패키지가 없으면 auth 또는 authconfig가 사용되는 경우 설치에 실패합니다. 설계에 따라 authselect-compat 패키지는 AppStream 리포지토리에서만 사용할 수 있습니다.

reboot --kexec 및 inst.kexec 명령은 예측 가능한 시스템 상태를 제공하지 않습니다.

reboot --kexec Kickstart 명령 또는 inst.kexec 커널 부팅 매개 변수를 사용하여 RHEL 설치를 수행해도 전체 재부팅과 동일한 예측 가능한 시스템 상태를 제공하지 않습니다. 결과적으로 재부팅하지 않고 설치된 시스템으로 전환하면 예측할 수 없는 결과가 발생할 수 있습니다.

Anaconda 설치에는 최소한의 리소스 설정 요구 사항의 낮은 제한이 포함되어 있습니다.

Anaconda는 사용 가능한 최소한의 리소스 설정이 있는 시스템에서 설치를 시작하고 성공적으로 설치를 수행하는 데 필요한 리소스에 대한 이전 메시지를 제공하지 않습니다. 결과적으로 설치에 실패할 수 있으며 출력 오류가 가능한 디버그 및 복구를 위한 명확한 메시지를 제공하지 않습니다. 이 문제를 해결하려면 시스템에 설치에 필요한 최소한의 리소스 설정이 있는지 확인합니다. PPC64(LE)의 메모리 2GB, x86_64의 경우 1GB. 따라서 성공적으로 설치를 수행할 수 있어야 합니다.

reboot --kexec 명령을 사용하는 경우 설치 실패

reboot --kexec 명령이 포함된 Kickstart 파일을 사용하면 RHEL 8 설치에 실패합니다. 문제를 방지하려면 Kickstart 파일에서 reboot --kexec 대신 reboot 명령을 사용합니다.

설치 프로그램에서 s390x의 보안 부팅 지원

RHEL 8.1은 보안 부팅 사용을 적용하는 IBM Z 환경에서 사용하기 위한 부팅 디스크를 준비하도록 지원합니다. 설치 중에 사용되는 서버 및 하이퍼바이저의 기능은 디스크상의 디스크 형식에 보안 부팅 지원이 포함되어 있는지 확인합니다. 설치 중에 디스크 형식에 영향을 줄 수 있는 방법은 없습니다.

RHEL 8 초기 설정은 SSH를 통해 수행할 수 없습니다.

현재 SSH를 사용하여 시스템에 로그인하면 RHEL 8 초기 설정 인터페이스가 표시되지 않습니다. 따라서 SSH를 통해 관리되는 RHEL 8 시스템에서는 초기 설정을 수행할 수 없습니다. 이 문제를 해결하려면 기본 시스템 콘솔(ttyS0)에서 초기 설정을 수행하고 나중에 SSH를 사용하여 로그인합니다.

secure= 부팅 옵션의 기본값은 auto로 설정되어 있지 않습니다.

현재 secure= 부팅 옵션의 기본값은 auto로 설정되지 않습니다. 결과적으로 현재 기본값이 비활성화되어 있으므로 보안 부팅 기능을 사용할 수 없습니다. 이 문제를 해결하려면 /etc/zipl.conf 파일의 [defaultboot] 섹션에서 secure=auto 를 수동으로 설정합니다. 따라서 보안 부팅 기능을 사용할 수 있습니다. 자세한 내용은 zipl.conf 도움말 페이지를 참조하십시오.

Binary DVD.iso 파일의 내용을 파티션에 복사해도 .treeinfo 및 .discinfo 파일이 복사되지 않음

로컬 설치 중에 RHEL 8 바이너리 DVD.iso 이미지 파일의 내용을 파티션에 복사하는 동안 cp <path>/\* <mounted partition>/dir 명령의 * 는 .treeinfo 및. discinfo 파일을 복사하지 못합니다. 이러한 파일은 성공적으로 설치되어야 합니다. 결과적으로 BaseOS 및 AppStream 리포지토리가 로드되지 않으며 anaconda.log 파일의 디버그 관련 로그 메시지가 문제의 유일한 레코드입니다.

Kickstart 설치에는 자체 서명 HTTPS 서버를 사용할 수 없습니다.

현재 설치 소스가 Kickstart 파일에 지정되고 --noverifyssl 옵션이 사용되는 경우 자체 서명된 https 서버에서 설치 프로그램이 설치되지 않습니다.

yum repolist 는 skip_if_unavailable=false를 사용하여 처음 사용할 수 없는 리포지토리에서 종료됩니다.

리포지토리 구성 옵션 skip_if_unavailable 은 기본적으로 다음과 같이 설정됩니다.

syspurpose 애드온은 subscription-manager attach --auto 출력에 아무 영향을 미치지 않습니다.

Red Hat Enterprise Linux 8에서는 syspurpose 명령줄 툴의 4가지 속성(role,usage, service _level_agreement, addons )이 추가되었습니다. 현재는 role,usage 및 service_level_agreement 만 subscription-manager attach --auto 명령을 실행하는 출력에 영향을 미칩니다. addons 인수에 값을 설정하려는 사용자는 자동 연결된 서브스크립션에 어떤 영향을 미치지 않습니다.

Wayland 프로토콜을 사용하는 애플리케이션은 원격 디스플레이 서버로 전달할 수 없습니다.

Red Hat Enterprise Linux 8.1에서 대부분의 애플리케이션은 기본적으로 X11 프로토콜 대신 Wayland 프로토콜을 사용합니다. 결과적으로 ssh 서버는 Wayland 프로토콜을 사용하는 애플리케이션을 전달할 수 없지만 X11 프로토콜을 사용하는 애플리케이션을 원격 디스플레이 서버로 전달할 수 있습니다.

systemd-resolved.service 가 부팅 시 시작되지 않음

systemd 확인 서비스가 부팅 시 시작되지 않는 경우가 있습니다. 이 경우 다음 명령을 사용하여 부팅이 완료된 후 서비스를 수동으로 다시 시작합니다.

dnsmasq의 DNSSEC 지원

dnsmasq 패키지에서는 DNSSEC(Domain Name System Security Extensions) 지원을 도입하여 루트 서버에서 받은 호스트 이름 정보를 확인합니다.

redhat-support-tool 이 FUTURE 암호화 정책에서 작동하지 않음

고객 포털 API의 인증서에서 사용하는 암호화 키가 FUTURE 시스템 전체 암호화 정책의 요구 사항을 충족하지 않으므로 redhat-support-tool 유틸리티는 현재 이 정책 수준에서 작동하지 않습니다. 이 문제를 해결하려면 고객 포털 API에 연결하는 동안 DEFAULT 암호화 정책을 사용하십시오.

/etc/selinux/config 에서 SELINUX=disabled 가 제대로 작동하지 않음

/etc/selinux/config 에서 SELINUX=disabled 옵션을 사용하여 SELinux를 비활성화하면 커널이 SELinux가 활성화된 상태로 부팅되고 부팅 프로세스 후반부에서 비활성화 모드로 전환됩니다. 이로 인해 메모리 누수와 경쟁 조건이 발생할 수 있으므로 커널 패닉도 발생할 수 있습니다. 이 문제를 해결하려면 시나리오가 실제로 SELinux 제목을 완전히 비활성화해야 하는 경우 SELinux 제목 사용의 부팅 시 SELinux 모드 변경 섹션에 설명된 대로 커널 명령줄에 selinux=0 매개 변수를 추가하여 SELinux를 비활성화합니다.

libselinux-python 은 모듈을 통해서만 사용할 수 있습니다

libselinux-python 패키지에는 SELinux 애플리케이션 개발을 위한 Python 2 바인딩만 포함되어 있으며 이전 버전과의 호환성에 사용됩니다. 이러한 이유로 libselinux-python 은 dnf install libselinux-python 명령을 통해 기본 RHEL 8 리포지토리에서 더 이상 사용할 수 없습니다.

udica 는 --env container=podman으로 시작되는 경우에만 UBI 8 컨테이너를처리합니다.

Red Hat Universal Base Image 8(UBI 8) 컨테이너는 컨테이너 환경 변수를 podman 값이 아닌 oci 값으로 설정합니다. 이렇게 하면 udica 툴에서 컨테이너 JSON(JavaScript Object Notation) 파일을 분석하지 못합니다.

rpm-plugin-selinux 패키지를 제거하면 시스템에서 모든 selinux-policy 패키지가 제거됩니다.

rpm-plugin-selinux 패키지를 제거하면 시스템에서 SELinux가 비활성화됩니다. 또한 시스템에서 모든 selinux-policy 패키지를 제거합니다. 그런 다음 rpm-plugin-selinux 패키지를 반복적으로 설치한 후 selinux-policy- targeted 정책이 시스템에 있는 경우에도 selinux-policy- minimum SELinux 정책을 설치합니다. 그러나 반복적으로 설치하면 정책 변경 사항을 고려하여 SELinux 구성 파일이 업데이트되지 않습니다. 결과적으로 rpm-plugin-selinux 패키지를 다시 설치해도 SELinux가 비활성화됩니다.

SELinux는 corosync에서 만든 공유 메모리 파일에서 newfstatat() 를 호출하도록 systemd-journal-gatewayd 를 방지합니다.

SELinux 정책에는 systemd-journal-gatewayd 데몬이 corosync 서비스에서 생성한 파일에 액세스할 수 있도록 하는 규칙이 포함되지 않습니다. 그 결과 SELinux는 systemd-journal-gatewayd 를 거부하여 corosync 에서 만든 공유 메모리 파일에 newfstatat() 함수를 호출합니다.

성능에 대한 기본 로깅 설정의 부정적인 영향

기본 로깅 환경 설정은 rsyslog 를 사용하여 systemd-journald를 실행할 때 4GB 메모리를 사용하거나 rate- limit 값을 조정하는 작업이 복잡할 수 있습니다.

config.enabled 가 포함된 rsyslog 출력의 매개 변수가 알 수 없는 오류

rsyslog 출력에서는 config.enabled 지시문을 사용하여 구성 처리 오류에서 예기치 않은 버그가 발생합니다. 결과적으로 include() 문을 제외하고 config.enabled 지시문을 사용하는 동안 매개 변수가 알 수 없는 오류가 표시됩니다.

특정 rsyslog 우선 순위 문자열이 올바르게 작동하지 않음

암호화를 세밀하게 제어할 수 있는 imtcp 에 대한 GnuTLS 우선순위 문자열 지원은 완료되지 않습니다. 결과적으로, rsyslog 에서 다음 우선 순위 문자열이 제대로 작동하지 않습니다 :

SHA-1 서명이 있는 서버에 대한 연결이 GnuTLS에서 작동하지 않음

인증서의 SHA-1 서명은 GnuTLS 보안 통신 라이브러리에서 안전하지 않은 것으로 거부됩니다. 결과적으로 GnuTLS를 TLS 백엔드로 사용하는 애플리케이션은 이러한 인증서를 제공하는 피어에 TLS 연결을 설정할 수 없습니다. 이 동작은 다른 시스템 암호화 라이브러리와 일치하지 않습니다. 이 문제를 해결하려면 SHA-256 또는 더 강력한 해시로 서명된 인증서를 사용하거나 LEGACY 정책으로 전환하도록 서버를 업그레이드합니다.

TLS 1.3이 FIPS 모드에서 NSS에서 작동하지 않음

FIPS 모드에서 작동하는 시스템에서는 TLS 1.3이 지원되지 않습니다. 따라서 상호 운용성에 TLS 1.3이 필요한 연결은 FIPS 모드에서 작동하는 시스템에서 작동하지 않습니다.

OpenSSL 에서 원시 RSA 또는 RSA-PSS 서명을 지원하지 않는 PKCS #11 토큰을 잘못 처리합니다.

OpenSSL 라이브러리는 PKCS #11 토큰의 키 관련 기능을 탐지하지 않습니다. 결과적으로 원시 RSA 또는 RSA-PSS 서명을 지원하지 않는 토큰으로 서명이 생성되면 TLS 연결 설정에 실패합니다.

OpenSSL TLS 라이브러리는 PKCS#11 토큰이 원시 RSA 또는 RSA -PSS 서명 생성을 지원하는지 탐지하지 않습니다.

TLS-1.3 프로토콜에는 RSA-PSS 서명 지원이 필요합니다. PKCS#11 토큰이 원시 RSA 또는 RSA -PSS 서명을 지원하지 않는 경우, OpenSSL TLS 라이브러리를 사용하는 서버 애플리케이션이 PKCS#11 토큰에 보유하는 경우 RSA 키로 작동하지 않습니다. 결과적으로 TLS 통신이 실패합니다.

OpenSSL은 TLS 1.3의 CertificateRequest 메시지에 잘못된 형식의 status_request 확장을 생성합니다.

status_request 확장 및 클라이언트 인증서 기반 인증을 지원하는 경우 OpenSSL 서버는 CertificateRequest 메시지에 잘못된 형식의 status_request 확장을 전송합니다. 이러한 경우 OpenSSL은 RFC 8446 프로토콜을 준수하는 구현과 상호 운용되지 않습니다. 그 결과 'CertificateRequest' 메시지의 확장을 올바르게 확인하는 클라이언트는 OpenSSL 서버와의 연결이 중단됩니다. 이 문제를 해결하려면 연결 측에서 TLS 1.3 프로토콜에 대한 지원을 비활성화하거나 OpenSSL 서버에서 status_request 에 대한 지원을 비활성화합니다. 이렇게 하면 서버가 잘못된 형식의 메시지를 보내지 못합니다.

ssh-keyscan 은 FIPS 모드에서 RSA 키를 검색할 수 없습니다

FIPS 모드에서 RSA 서명에 대해 SHA-1 알고리즘이 비활성화되어 ssh-keyscan 유틸리티가 해당 모드에서 작동하는 서버의 RSA 키를 검색하지 못하게 합니다.

감사 규칙의 SCAP-security-guide PCI-DSS 수정이 제대로 작동하지 않음

scap-security-guide 패키지에는 다음 시나리오 중 하나가 될 수 있는 수정 및 검사가 조합되어 있습니다.

SSG의 특정 상호 의존 규칙 세트는 실패할 수 있습니다.

규칙 및 해당 종속 항목의 정의되지 않은 순서로 인해 벤치마크의 SCAP 보안 가이드 (SSG) 규칙 수정이 실패할 수 있습니다. 예를 들어, 한 규칙이 구성 요소를 설치하고 다른 규칙이 동일한 구성 요소를 구성하는 경우와 같이 두 개 이상의 규칙을 특정 순서로 실행해야 하는 경우 해당 규칙을 잘못된 순서로 실행하고 수정을 통해 오류를 보고할 수 있습니다. 이 문제를 해결하려면 수정을 두 번 실행하고 두 번째는 종속 규칙을 수정합니다.

컨테이너 보안 및 준수 검사를 위한 유틸리티를 사용할 수 없음

Red Hat Enterprise Linux 7에서 oscap-docker 유틸리티는 Atomic 기술을 기반으로 한 Docker 컨테이너 스캔에 사용할 수 있었습니다. Red Hat Enterprise Linux 8에서는 Docker 및 Atomic 관련 OpenSCAP 명령을 사용할 수 없습니다.

OpenSCAP 는 가상 머신 및 컨테이너의 오프라인 스캔을 제공하지 않습니다.

OpenSCAP 코드베이스를 리팩토링하면 특정 RPM 프로브가 오프라인 모드에서 VM 및 컨테이너 파일 시스템을 스캔하지 못했습니다. 따라서 openscap-utils 패키지인 oscap- vm 및 oscap- chroot 에서 다음 도구가 제거되었습니다. 또한 openscap-containers 패키지가 완전히 제거되었습니다.

OpenSCAP rpmverifypackage가 올바르게 작동하지 않음

chdir 및 chroot 시스템 호출은 rpmverifypackage 프로브에 의해 두 번 호출됩니다. 그 결과, 사용자 지정 OVAL(Open Vulnerability and Assessment Language) 콘텐츠로 OpenSCAP 스캔 중에 프로브를 사용할 때 오류가 발생합니다.

SCAP Workbench가 사용자 정의 프로파일에서 결과를 기반으로 한 수정을 생성하지 못함

SCAP Workbench 툴을 사용하여 사용자 정의된 프로파일에서 결과 기반 수정 역할을 생성하려고 할 때 다음과 같은 오류가 발생합니다.

OSCAP Anaconda 애드온은 모든 패키지를 텍스트 모드에 설치하지 않음

OSCAP Anaconda Addon 플러그인은 설치가 텍스트 모드에서 실행 중인 경우 시스템 설치 프로그램에서 설치에 대해 선택한 패키지 목록을 수정할 수 없습니다. 결과적으로 Kickstart를 사용하여 보안 정책 프로필을 지정하고 설치가 텍스트 모드로 실행되는 경우 보안 정책에 필요한 추가 패키지는 설치 중에 설치되지 않습니다.

OSCAP Anaconda 애드온 이 사용자 지정 프로파일을 올바르게 처리하지 않음

OSCAP Anaconda 애드온 플러그인은 별도의 파일의 사용자 지정으로 보안 프로필을 올바르게 처리하지 않습니다. 따라서 해당 Kickstart 섹션에서 적절하게 지정하는 경우에도 RHEL 그래픽 설치에서 사용자 지정된 프로필을 사용할 수 없습니다.

arptables 의 자세한 출력 형식이 RHEL 7의 유틸리티 형식과 일치합니다.

RHEL 8에서 iptables-arptables 패키지는 arptables 유틸리티의 nftables기반 교체 기능을 제공합니다. 이전에는 RHEL 7에서 arptables 의 자세한 출력을 쉼표로만 구분한 반면 RHEL 7에서 arptables 는 설명된 출력을 공백과 쉼표로 구분했습니다. 결과적으로 arptables -v -L 명령의 출력을 구문 분석하는 RHEL 7에서 생성된 스크립트를 사용한 경우 이러한 스크립트를 조정해야 했습니다. 이 비호환성은 수정되었습니다. 결과적으로 RHEL 8.1 의 arptables 도 공백 및 쉼표로 카운터 값을 구분합니다.

nftables이 다차원 IP 집합 유형을 지원하지 않음

nftables 패킷 필터링 프레임워크가 연결 및 간격이 있는 집합 유형을 지원하지 않습니다. 그 결과, hash:net,port와 같은 다차원 IP 집합 유형을 nftables와 함께 사용할 수 없습니다.

GRO를 비활성화할 때 IPsec 오프로딩 중에 IPsec 네트워크 트래픽이 실패합니다

장치에서 GRO(Generic Receive Offload)를 비활성화하면 IPsec 오프로딩이 작동하지 않습니다. IPsec 오프로딩이 네트워크 인터페이스에 구성되어 있고 해당 장치에서 GRO가 비활성화되면 IPsec 네트워크 트래픽이 실패합니다.

부팅 시 i40iw 모듈이 자동으로 로드되지 않음

많은 i40e NIC에서 iWarp를 지원하지 않고 i40iw 모듈이 일시 중지/재개를 완전히 지원하지 않기 때문에 이 모듈이 기본적으로 자동 로드되지 않으므로 일시 중지/재개 동작이 제대로 작동하지 않게 됩니다. 이 문제를 해결하려면 수동으로 /lib/udev/rules.d/90-rdma-hw-modules.rules 파일을 편집하여 i40iw의 자동 로드를 활성화해야 합니다.

fadump 를 사용할 때 네트워크 인터페이스의 이름이 kdump-<interface-name> 으로 변경됩니다.

펌웨어 지원 덤프(fadump)를 사용하여 vmcore를 캡처하여 SSH 또는 NFS 프로토콜을 사용하여 원격 머신에 저장하는 경우, & lt;interface-name>이 일반인 경우 네트워크 인터페이스의 이름이 kdump-& lt;interface-name> 으로 변경됩니다(예: *eth# 또는 net#). 이 문제는 초기 RAM 디스크(initrd)의 vmcore 캡처 스크립트를 네트워크 인터페이스 이름에 kdump- 접두사를 추가하여 영구적인 명명을 보안하기 때문에 발생합니다. 동일한 initrd 도 일반 부팅에도 사용되므로 프로덕션 커널의 인터페이스 이름도 변경됩니다.

부팅 프로세스 중 많은 양의 영구 메모리 경험이 있는 시스템

메모리 초기화가 직렬화되므로 많은 양의 영구 메모리가 있는 시스템은 부팅하는 데 시간이 오래 걸립니다. 결과적으로 /etc/fstab 파일에 영구 메모리 파일 시스템이 나열된 경우 장치를 사용할 수 있을 때까지 기다리는 동안 시스템이 시간 초과될 수 있습니다. 이 문제를 해결하려면 /etc/systemd/system.conf 파일에서 DefaultTimeoutStartSec 옵션을 충분히 큰 값으로 구성하십시오.

KSM이 NUMA 메모리 정책을 무시하는 경우가 있음

merge_across_nodes=1 매개 변수를 사용하여 KSM(커널 공유 메모리) 기능을 활성화하면 KSM은 mbind() 함수에서 설정한 메모리 정책을 무시하고 일부 메모리 영역의 페이지를 정책과 일치하지 않는 NUMA(Non-Uniform Memory Access) 노드에 병합할 수 있습니다.

fadump 가 활성화된 경우 부팅 시 시스템이 긴급 모드로 전환됩니다.

systemd 관리자가 마운트 정보를 가져오지 못하고 마운트할 LV 파티션을 구성하지 못하기 때문에 initramfs 스키마에서 fadump (kdump)또는 dracut squash 모듈이 활성화된 경우 시스템이 긴급 모드로 들어갑니다. 이 문제를 해결하려면 다음 커널 명령줄 parameter rd.lvm.lv=<VG>/<LV> 를 추가하여 실패한 LV 파티션을 적절하게 검색하고 마운트합니다. 따라서 설명된 시나리오에서 시스템이 성공적으로 부팅됩니다.

kdump 커널 명령줄에서 irqpoll 을 사용하면 vmcore 생성에 실패합니다.

AWS(Amazon Web Services) 클라우드 플랫폼에서 실행되는 64비트 ARM 아키텍처에서 nvme 드라이버의 기존 기본 문제로 인해 첫 번째 커널에 irqpoll kdump 명령줄 인수를 제공하면 vmcore 생성이 실패합니다. 결과적으로 커널 충돌 후 /var/crash/ 디렉토리에 vmcore가 덤프되지 않습니다. 이 문제를 해결하려면 다음을 수행합니다.

RHEL 8의 크래시 캡처 환경에서 커널을 부팅하지 못했습니다.

디버그 커널의 메모리 수요 특성으로 인해 디버그 커널이 사용 중이고 커널 패닉이 트리거되면 문제가 발생합니다. 결과적으로 디버그 커널은 캡처 커널로 부팅할 수 없으며 대신 스택 추적이 생성됩니다. 이 문제를 해결하려면 크래시 커널 메모리를 적절하게 늘립니다. 결과적으로 디버그 커널이 크래시 캡처 환경에서 성공적으로 부팅됩니다.

softirq 변경으로 인해 로드가 많은 경우 localhost 인터페이스에서 UDP 패킷이 삭제될 수 있습니다.

서비스 거부(DOS) 영향을 줄이기 위해 Linux 커널 소프트웨어 인터럽트(softirq) 처리의 변경이 수행됩니다. 결과적으로 localhost 인터페이스가 많은 로드에서 UDP(User Datagram Protocol) 패킷을 삭제하는 상황이 발생합니다.

경우에 따라 HP NMI 워치독은 크래시 덤프를 생성하지 않습니다.

HP NMI 워치독의 hpwdt 드라이버는 perfmon 드라이버에서 NMI를 대신 사용했기 때문에 HPE 워치독 타이머에서 생성한 NMI(마스크 가능 인터럽트)를 요청할 수 없는 경우가 있습니다. 결과적으로 경우에 따라 hpwdt 는 패닉을 호출하여 크래시 덤프를 생성할 수 없습니다.

QL41000 카드로 구성된 테스트 시스템에 RHEL 8.1을 설치하면 커널 패닉이 발생합니다.

QL41000 카드로 구성된 테스트 시스템에 RHEL 8.1을 설치하는 동안 시스템은 at 000000000000003c 카드의 커널 NULL 포인터 역참조를 처리할 수 없습니다. 결과적으로 커널 패닉 오류가 발생합니다. 이 문제에 대한 해결 방법은 없습니다.

cxgb4 드라이버로 인해 kdump 커널에서 충돌이 발생합니다.

vmcore 파일에 정보를 저장하려는 동안 kdump 커널이 충돌합니다. 결과적으로 cxgb4 드라이버는 kdump 커널이 나중에 분석을 위해 코어를 저장하지 못하게 합니다. 이 문제를 해결하려면 코어 파일을 저장할 수 있도록 kdump 커널 명령줄에 "novmcoredd" 매개변수를 추가합니다.

특정 SCSI 드라이버에서 과도한 양의 메모리를 사용하는 경우가 있습니다.

특정 SCSI 드라이버는 RHEL 7보다 많은 양의 메모리를 사용합니다. HBA(파이버 채널 호스트 버스 어댑터)에서 vPort 생성과 같은 경우에 따라 시스템 구성에 따라 메모리 사용량이 과도하게 사용될 수 있습니다.

UDS가 다시 빌드를 완료할 때까지 VDO는 일시 중단할 수 없습니다.

불명확한 시스템 종료 후 VDO(가상 데이터 최적화 도구) 볼륨이 시작되면 UDS(Universal Deduplication Service) 인덱스를 다시 빌드합니다. UDS 인덱스가 다시 빌드되는 동안 dmsetup suspend 명령을 사용하여 VDO 볼륨을 일시 중지하려고 하면 일시 중지 명령이 응답하지 않을 수 있습니다. 명령은 다시 빌드가 완료된 후에만 완료됩니다.

NFS 4.0 패치를 통해 개방형 워크로드에서 성능이 저하될 수 있습니다.

이전 버전에서는 경우에 따라 NFS open 작업이 서버에서 파일이 제거되거나 이름이 변경된 사실을 간과할 수 있는 버그가 수정되었습니다. 그러나 많은 오픈 작업이 필요한 워크로드에서 수정으로 인해 성능이 저하될 수 있습니다. 이 문제를 해결하기 위해 NFS 버전 4.1 이상을 사용하는 데 도움이 될 수 있습니다. 이 경우 더 많은 경우 클라이언트에 위임을 부여하여 클라이언트가 로컬에서 빠르고 안전하게 오픈 작업을 수행할 수 있습니다.

Nginx 는 하드웨어 보안 토큰에서 서버 인증서를 로드할 수 없습니다.

nginx 웹 서버는 PKCS#11 모듈에서 직접 하드웨어 보안 토큰에서 TLS 개인 키를 로드하는 기능을 지원합니다. 그러나 현재 PKCS#11 URI를 통해 하드웨어 보안 토큰에서 서버 인증서를 로드할 수 없습니다. 이 문제를 해결하려면 파일 시스템에 서버 인증서를 저장하십시오.

php- opcache가 PHP 7.2와 함께 설치되면 PHP- fpm 으로 SELinux AVC가 거부됩니다.

php-opcache 패키지가 설치되면 FastCGI Process Manager(php-fpm)로 인해 SELinux AVC 거부가 발생합니다. 이 문제를 해결하려면 /etc/php.d/10-opcache.ini 파일의 기본 구성을 다음으로 변경합니다.

ltrace 툴이 함수 호출을 보고하지 않음

모든 RHEL 구성 요소에 적용된 바이너리 강화 기능이 개선되었으므로 ltrace 툴은 RHEL 구성 요소의 바이너리 파일에서 함수 호출을 더 이상 감지할 수 없습니다. 따라서 이러한 바이너리 파일에 사용될 때 감지된 모든 호출을 보고하지 않으므로 ltrace 출력이 비어 있습니다. 현재 해결방법은 없습니다.

GSSAPI 인증을 사용할 때 만료된 계정을 가진 AD 사용자는 로그인할 수 있습니다.

SSSD에서 계정이 만료되었는지 확인하는 데 사용하는 accountExpires 속성이 기본적으로 글로벌 카탈로그에 복제되지 않았는지 확인합니다. 결과적으로 GSSAPI 인증을 사용하는 경우 만료된 계정이 있는 사용자는 로그인할 수 있습니다. 이 문제를 해결하기 위해 sssd.conf 파일에 ad_enable_gc=False 를 지정하여 글로벌 카탈로그 지원을 비활성화할 수 있습니다. 이 설정을 사용하면 GSSAPI 인증을 사용하는 경우 만료된 계정의 사용자가 액세스가 거부됩니다.

cert-fix 유틸리티를 --agent-uid pkidbuser 옵션과 함께 사용하면 인증서 시스템이 중단됩니다.

cert-fix 유틸리티를 --agent-uid pkidbuser 옵션과 함께 사용하면 인증서 시스템의 LDAP 구성이 손상됩니다. 결과적으로 인증서 시스템이 불안정해질 수 있으며 시스템을 복구하려면 수동 단계가 필요합니다.

/etc/nsswitch.conf 를 변경하려면 수동 시스템 재부팅이 필요합니다

/etc/nsswitch.conf 파일을 변경하는 경우, 예를 들어 authselect select profile_id 명령을 실행하려면 모든 관련 프로세스에서 업데이트된 /etc/nsswitch.conf 파일을 사용하도록 시스템을 재부팅해야 합니다. 시스템 재부팅이 불가능한 경우 시스템을 Active Directory( System Security Services Daemon ) 또는 winbind 에 조인하는 서비스를 다시 시작합니다.

IdM에서 AD 신뢰 지원을 활성화할 때 필수 DNS 레코드에 대한 정보가 표시되지 않습니다

외부 DNS 관리를 통한 Red Hat Enterprise Linux IdM(Identity Management) 설치에 대한 AD(Active Directory) 신뢰성을 활성화하면 필수 DNS 레코드에 대한 정보가 표시되지 않습니다. AD에 대한 포리스트 신뢰는 필수 DNS 레코드가 추가될 때까지 성공하지 못합니다. 이 문제를 해결하려면 'ipa dns-update-system-records --dry-run' 명령을 실행하여 IdM에 필요한 모든 DNS 레코드 목록을 가져옵니다. IdM 도메인의 외부 DNS가 필요한 DNS 레코드를 정의하는 경우 포레스트 신뢰를 AD로 설정할 수 있습니다.

SSSD에서 로컬 사용자에 대해 잘못된 LDAP 그룹 멤버십 반환

SSSD(시스템 보안 서비스 데몬)에서 로컬 파일의 사용자를 제공하는 경우 파일 프로바이더에 다른 도메인의 그룹 멤버십이 포함되지 않습니다. 그 결과 로컬 사용자가 LDAP 그룹의 멤버인 경우 id local_user 명령은 사용자의 LDAP 그룹 멤버십을 반환하지 않습니다. 이 문제를 해결하려면 시스템이 /etc/nsswitch.conf 파일에서 사용자 그룹 구성원을 찾고 있는 데이터베이스 순서를 되돌리거나 sss 파일을 파일 sss로 교체 하거나 암시적 파일 도메인을 추가하여 암시적 파일 도메인을 비활성화합니다.

systemd-user 의 기본 PAM 설정이 RHEL 8에서 변경되어 SSSD 동작에 영향을 줄 수 있습니다.

Red Hat Enterprise Linux 8에서는 PAM(Pluggable Authentication Module) 스택이 변경되었습니다. 예를 들어 systemd 사용자 세션은 이제 systemd-user PAM 서비스를 사용하여 PAM 대화를 시작합니다. 이제 이 서비스에는 pam_sss.so 인터페이스가 포함될 수 있는 system-auth PAM 서비스가 재귀적으로 포함됩니다. 즉, SSSD 액세스 제어는 항상 호출됩니다.

SSSD가 동일한 우선 순위로 여러 인증서 일치 규칙을 올바르게 처리하지 않음

지정된 인증서가 여러 인증서 일치 규칙과 동일한 우선 순위의 규칙과 일치하면 SSSD(System Security Services Daemon)는 규칙 중 하나만 사용합니다. 이 문제를 해결하려면 LDAP 필터가 | (또는) 운영자와 연결된 개별 규칙의 필터로 구성된 단일 인증서 일치 규칙을 사용합니다. 인증서 일치 규칙의 예는 sss-certamp(5) 도움말 페이지를 참조하십시오.

여러 도메인을 정의할 때 auto_private_group = hybrid로 프라이빗 그룹을 만들 수 없습니다.

여러 도메인이 정의되어 있고 첫 번째 도메인이 아닌 다른 도메인에서 하이브리드 옵션을 사용하는 경우 auto_private_group = 하이브리드 옵션을 사용하여 프라이빗 그룹을 만들 수 없습니다. 암시적 파일 도메인이 sssd.conf' 파일의 AD 또는 LDAP 도메인과 함께 정의되어 있고 'MPG_HYBRID로 표시되지 않는 경우, SSSD는 uid=gid를 가진 사용자의 개인 그룹을 생성하지 못하고 이 gid 그룹이 AD 또는 LDAP에 존재하지 않습니다.

python-ply 는 FIPS와 호환되지 않습니다

python-ply 패키지의 ✓CC 모듈은 MD5 해싱 알고리즘을 사용하여 CC 서명의 지문을 생성합니다. 그러나 FIPS 모드에서는 비보안 컨텍스트에서만 허용되는 MD5 사용을 차단합니다. 결과적으로 python-ply는 FIPS와 호환되지 않습니다. FIPS 모드의 시스템에서 ply.yacc.yacc() 에 대한 모든 호출이 실패하고 오류 메시지가 표시됩니다.

Wayland 세션의 제한 사항

Red Hat Enterprise Linux 8에서는 GNOME 환경과 GDM(GNOME Display Manager)이 이전 주요 RHEL에서 사용된 X11 세션 대신 Wayland 를 기본 세션 유형으로 사용합니다.

드래그 앤 드롭이 데스크탑과 응용 프로그램 간에 작동하지 않음

gnome-shell-extensions 패키지의 버그로 인해 현재 드래그 앤 드롭 기능이 데스크탑과 애플리케이션 간에 작동하지 않습니다. 이 기능에 대한 지원은 향후 릴리스에서 다시 추가될 예정입니다.

소프트웨어 리포지토리에서 flatpak 리포지토리를 비활성화할 수 없습니다.

현재 GNOME 소프트웨어 유틸리티의 Software Repositories(소프트웨어 리포지토리) 도구에서 flatpak 리포지토리를 비활성화하거나 제거할 수 없습니다.

Generation 2 RHEL 8 가상 머신이 Hyper-V Server 2016 호스트에서 부팅되지 않는 경우가 있습니다.

Microsoft Hyper-V Server 2016 호스트에서 실행되는 VM(가상 머신)에서 RHEL 8을 게스트 운영 체제로 사용하는 경우, 경우에 따라 VM이 부팅되지 않고 GRUB 부팅 메뉴로 돌아갑니다. 또한 Hyper-V 이벤트 로그에 다음 오류가 기록됩니다.

소프트웨어 렌더러를 사용할 때 Wayland의 GNOME 쉘이 느리게 작동합니다.

소프트웨어 렌더를 사용하는 경우 GNOME Shell은 Wayland Compositor(Wayland의 GNOME Shell)로 화면 렌더링에캐시 가능한 프레임버퍼를 사용하지 않습니다. 그 결과 Wayland의 GNOME 쉘이 느립니다. 이 문제를 해결하려면 GDM(GNOME Display Manager) 로그인 화면으로 이동하여 대신 X11 프로토콜을 사용하는 세션으로 전환합니다. 결과적으로 캐시 가능한 메모리를 사용하는 Xorg 디스플레이 서버가 사용되었으며 설명된 상황에서 Xorg 쉘 은 Wayland의 GNOME 쉘에 비해 더 빠르게 수행됩니다.

시스템 충돌로 인해 fadump 설정이 손실될 수 있습니다.

이 문제는 펌웨어 지원 덤프(fadump)가 활성화된 시스템에서 확인되며 부팅 파티션은 XFS와 같은 저널링 파일 시스템에 있습니다. 시스템 충돌로 인해 부트 로더가 덤프 캡처 지원이 활성화되어 있지 않은 이전 initrd 를 로드할 수 있습니다. 결과적으로 시스템이 vmcore 파일을 캡처하지 않아 fadump 구성이 손실됩니다.

ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 수 있는 위험

TLS없이 ldap:// 를 ID 조회에 사용하는 경우 공격 벡터가 발생할 위험이 있습니다. 특히 MITM(Man-in-the-middle) 공격으로 공격자는 LDAP 검색에 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.

Radeon이 하드웨어를 올바르게 재설정하지 못했습니다

현재 radeon 커널 드라이버는 kexec 컨텍스트에서 하드웨어를 올바르게 재설정하지 않습니다. 대신, radeon 이 종료되어 나머지 kdump 서비스가 실패합니다.

권한이 없는 사용자는 서브스크립션 페이지에 액세스할 수 있습니다.

관리자가 아닌 사용자가 웹 콘솔의 서브스크립션 페이지로 이동하면 웹 콘솔에 일반 오류 메시지 "Cockpit was unexpected internal error"가 표시됩니다.

cloud-init 를 사용하여 Microsoft Azure에 가상 머신 프로비저닝 실패

현재 Microsoft Azure 플랫폼에서 RHEL 8 가상 시스템(VM)을 프로비저닝하는 데 cloud-init 유틸리티를 사용할 수 없습니다. 이 문제를 해결하려면 다음 방법 중 하나를 사용하십시오.

경우에 따라 RHEL 7 호스트의 RHEL 8 가상 머신은 더 높은 해상도로 볼 수 없습니다.

현재 RHEL 7 호스트 시스템에서 실행 중인 RHEL 8 가상 머신(VM)을 사용하는 경우, kiosk 모드에서 애플리케이션을 실행하는 것과 같은 VM의 그래픽 출력을 표시하는 특정 방법을 사용할 수 없습니다. 더 큰 해상도를 사용할 수는 없습니다. 결과적으로 이러한 방법을 사용하는 VM을 표시하는 것은 호스트 하드웨어가 높은 해상도를 지원하는 경우에도 최대 1.0x1200의 해상도에서만 작동합니다.

Windows Server 2019 호스트의 RHEL 8 가상 머신의 낮은 GUI 디스플레이 성능

Windows Server 2019 호스트에서 그래픽 모드에서 RHEL 8을 게스트 운영 체제로 사용하는 경우 GUI 디스플레이 성능이 낮고 현재 게스트의 콘솔 출력에 연결하는 데 예상보다 훨씬 오래 걸립니다.

RHEL 가상 머신 설치에 실패하는 경우가 있음

특정 상황에서 virt-install 유틸리티를 사용하여 생성된 RHEL 7 및 RHEL 8 가상 머신은 --location 옵션을 사용하는 경우 부팅되지 않습니다.

Wayland를 사용하는 가상 머신의 여러 모니터를 QXL에서는 표시할 수 없습니다.

remote-viewer 유틸리티를 사용하여 Wayland 디스플레이 서버를 사용하는 VM(가상 시스템)의 모니터를 두 개 이상 표시하면 VM이 응답하지 않고 표시 상태 메시지가 무기한 표시됩니다.

virsh iface-\* 명령이 일관되게 작동하지 않음

현재 virsh iface- start 및 virsh iface- destroy와 같은 virsh iface- * 명령은 구성 종속성으로 인해 실패하는 경우가 많습니다. 따라서 호스트 네트워크 연결을 구성하고 관리하는 데 virsh iface-\* 명령을 사용하지 않는 것이 좋습니다. 대신 NetworkManager 프로그램과 관련 관리 애플리케이션을 사용합니다.

cloud-init 를 사용하여 ESXi VM을 사용자 지정하고 VM을 재부팅하면 IP 설정이 손실되고 VM이 부팅 속도가 매우 느립니다.

현재 cloud-init 서비스를 사용하여 VMware ESXi 하이퍼바이저에서 실행되는 VM(가상 시스템)을 고정 IP를 사용하도록 수정한 다음 VM을 복제하는 경우, 경우에 따라 복제된 새 VM이 재부팅하는 데 시간이 오래 걸립니다. 이로 인해 cloud-init 가 VM의 정적 IP를 DHCP로 다시 작성한 다음 사용 가능한 데이터 소스를 검색합니다.

RHEL 8 가상 머신은 Witherspoon 호스트에서 부팅할 수 없는 경우가 있습니다.

경우에 따라 DD2.2 또는 DD2.3 CPU를 사용하는 HPC 호스트( Witherspoon이라고도 함)용 Power9 S922LC 에서 pseries-rhel7.6.0-sxxm 시스템 유형을 사용하는 RHEL 8 가상 머신(VM)에서 부팅되지 않는 경우가 있습니다.

IBM POWER 가상 머신이 메모리 0 NUMA 노드에서 제대로 작동하지 않음

현재 RHEL 8 호스트에서 실행 중인 IBM POWER 가상 머신(VM)이 제로메모리(memory='0')를 사용하는 NUMA 노드로 구성된 경우 VM은 부팅할 수 없습니다. 따라서 RHEL 8에서 제로 메모리 NUMA 노드가 있는 IBM POWER VM을 사용하지 않는 것이 좋습니다.

RHEL 7-ALT 호스트에서 RHEL 8로 POWER9 게스트 마이그레이션에 실패

현재 POWER9 가상 머신을 RHEL 7-ALT 호스트 시스템에서 RHEL 8로 마이그레이션하는 것은 "마이그레이션 상태: active" 상태로 응답하지 않습니다.

AMD EPYC에서 호스트 패스스루 모드를 사용할 때 VM에서 SMT CPU 토폴로지를 감지하지 않습니다.

AMD EPYC 호스트에서 CPU 호스트 패스스루 모드로 부팅되는 VM(가상 머신)이 부팅되면 CPU O EXT CPU 기능 플래그가 표시되지 않습니다. 결과적으로 VM은 코어당 여러 스레드가 있는 가상 CPU 토폴로지를 탐지할 수 없습니다. 이 문제를 해결하려면 호스트 통과 대신 EPYC CPU 모델로 VM을 부팅합니다.

여러 virtio-blk 디스크를 사용할 때 가상 머신이 시작되지 않는 경우가 있습니다.

VM(가상 시스템)에 다수의 virtio-blk 장치를 추가하면 플랫폼에서 사용 가능한 인터럽트 벡터 수가 소진될 수 있습니다. 이 경우 VM의 게스트 OS가 부팅되지 않고 dracut-initqueue[392]를 표시합니다. 경고: 부팅할 수 없습니다 오류.