5.7. 확인된 문제

auth 및 authconfig Kickstart 명령에는 AppStream 리포지토리가 필요

authselect-compat 패키지는 설치하는 동안 auth 및 authconfig Kickstart 명령이 필요합니다. 이 패키지가 없으면 auth 또는 authconfig가 사용되는 경우 설치에 실패합니다. 설계에 따라 authselect-compat 패키지는 AppStream 리포지토리에서만 사용할 수 있습니다.

reboot --kexec 및 inst.kexec 명령은 예측 가능한 시스템 상태를 제공하지 않습니다.

reboot --kexec Kickstart 명령 또는 inst.kexec 커널 부팅 매개 변수를 사용하여 RHEL 설치를 수행해도 전체 재부팅과 동일한 예측 가능한 시스템 상태를 제공하지 않습니다. 결과적으로 재부팅하지 않고 설치된 시스템으로 전환하면 예측할 수 없는 결과가 발생할 수 있습니다.

Anaconda 설치에는 최소한의 리소스 설정 요구 사항의 낮은 제한이 포함되어 있습니다.

Anaconda는 사용 가능한 최소한의 리소스 설정이 있는 시스템에서 설치를 시작하고 성공적으로 설치를 수행하는 데 필요한 리소스에 대한 이전 메시지를 제공하지 않습니다. 결과적으로 설치에 실패할 수 있으며 출력 오류가 가능한 디버그 및 복구를 위한 명확한 메시지를 제공하지 않습니다. 이 문제를 해결하려면 시스템에 설치에 필요한 최소한의 리소스 설정이 있는지 확인합니다. PPC64(LE)의 메모리 2GB, x86_64의 경우 1GB. 따라서 성공적으로 설치를 수행할 수 있어야 합니다.

reboot --kexec 명령을 사용하는 경우 설치 실패

reboot --kexec 명령이 포함된 Kickstart 파일을 사용하면 RHEL 8 설치에 실패합니다. 문제를 방지하려면 Kickstart 파일에서 reboot --kexec 대신 reboot 명령을 사용합니다.

RHEL 8 초기 설정은 SSH를 통해 수행할 수 없습니다.

현재 SSH를 사용하여 시스템에 로그인하면 RHEL 8 초기 설정 인터페이스가 표시되지 않습니다. 따라서 SSH를 통해 관리되는 RHEL 8 시스템에서는 초기 설정을 수행할 수 없습니다. 이 문제를 해결하려면 기본 시스템 콘솔(ttyS0)에서 초기 설정을 수행하고 나중에 SSH를 사용하여 로그인합니다.

설치 프로그램에서는 네트워크 액세스가 기본적으로 활성화되어 있지 않습니다

몇 가지 설치 기능에는 네트워크 액세스(예: CDN(콘텐츠 전달 네트워크), NTP 서버 지원, 네트워크 설치 소스)를 사용하여 시스템 등록이 필요합니다. 그러나 네트워크 액세스는 기본적으로 활성화되어 있지 않으므로 네트워크 액세스가 활성화될 때까지 이러한 기능을 사용할 수 없습니다.

여러 조직에 속한 사용자 계정의 등록 실패

현재 여러 조직에 속하는 사용자 계정으로 시스템을 등록하려고 하면 오류 메시지와 함께 등록 프로세스가 실패합니다. 새 유닛의 조직을 지정해야 합니다.

바이너리 DVD ISO 이미지를 사용한 GUI 설치는 CDN 등록없이 진행되지 않는 경우가 있습니다.

바이너리 DVD ISO 이미지 파일을 사용하여 GUI 설치를 수행할 때 설치 프로그램의 경쟁 조건은 Connect to Red Hat 기능을 사용하여 시스템을 등록할 때까지 설치 진행을 방지할 수 있습니다. 이 문제를 해결하려면 다음 단계를 완료합니다.

Binary DVD.iso 파일의 내용을 파티션에 복사해도 .treeinfo 및 .discinfo 파일이 복사되지 않음

로컬 설치 중에 RHEL 8 바이너리 DVD.iso 이미지 파일의 내용을 파티션에 복사하는 동안 cp <path>/\* <mounted partition>/dir 명령의 * 는 .treeinfo 및. discinfo 파일을 복사하지 못합니다. 이러한 파일은 성공적으로 설치되어야 합니다. 결과적으로 BaseOS 및 AppStream 리포지토리가 로드되지 않으며 anaconda.log 파일의 디버그 관련 로그 메시지가 문제의 유일한 레코드입니다.

Kickstart 설치에는 자체 서명 HTTPS 서버를 사용할 수 없습니다.

현재 설치 소스가 Kickstart 파일에 지정되고 --noverifyssl 옵션이 사용되는 경우 자체 서명된 https 서버에서 설치 프로그램이 설치되지 않습니다.

저장소 새로 고침을 완료하기 전에 CDN을 사용하여 등록 해제를 시도하면 GUI 설치에 실패할 수 있습니다.

RHEL 8.2에서는 시스템을 등록하고 CDN(Content Delivery Network)을 사용하여 서브스크립션을 연결할 때 GUI 설치 프로그램에 의해 리포지토리 메타데이터의 새로 고침이 시작됩니다. 새로 고침 프로세스는 등록 및 서브스크립션 프로세스의 일부가 아니며, 결과적으로 Connect to Red Hat 창에서 Unregister 버튼이 활성화됩니다. 네트워크 연결에 따라 새로 고침 프로세스를 완료하는 데 1분 이상이 걸릴 수 있습니다. 새로 고침 프로세스가 완료되기 전에 Unregister 단추를 클릭하면 unregister 프로세스가 CDN 리포지토리 파일과 CDN과 통신하는 데 필요한 인증서가 제거되므로 GUI 설치가 실패할 수 있습니다.

syspurpose 애드온은 subscription-manager attach --auto 출력에 아무 영향을 미치지 않습니다.

Red Hat Enterprise Linux 8에서는 syspurpose 명령줄 툴의 4가지 속성(role,usage, service _level_agreement, addons )이 추가되었습니다. 현재는 role,usage 및 service_level_agreement 만 subscription-manager attach --auto 명령을 실행하는 출력에 영향을 미칩니다. addons 인수에 값을 설정하려는 사용자는 자동 연결된 서브스크립션에 어떤 영향을 미치지 않습니다.

Kickstart 파일을 사용하여 RHEL을 설치할 때 다중 경로 스토리지 장치의 데이터가 손실됩니다.

Kickstart 파일을 사용하여 RHEL을 설치할 때 호스트에 연결된 다중 경로 스토리지 장치의 데이터는 손실됩니다. 이 문제는 설치 프로그램이 ignoredisk --drives 명령을 사용하여 지정한 다중 경로 스토리지 장치를 무시하지 못하기 때문에 발생합니다. 따라서 장치의 데이터가 손실됩니다.

Wayland 프로토콜을 사용하는 애플리케이션은 원격 디스플레이 서버로 전달할 수 없습니다.

Red Hat Enterprise Linux 8에서 대부분의 애플리케이션은 기본적으로 X11 프로토콜 대신 Wayland 프로토콜을 사용합니다. 결과적으로 ssh 서버는 Wayland 프로토콜을 사용하는 애플리케이션을 전달할 수 없지만 X11 프로토콜을 사용하는 애플리케이션을 원격 디스플레이 서버로 전달할 수 있습니다.

systemd-resolved.service 가 부팅 시 시작되지 않음

systemd 확인 서비스가 부팅 시 시작되지 않는 경우가 있습니다. 이 경우 다음 명령을 사용하여 부팅이 완료된 후 서비스를 수동으로 다시 시작합니다.

symlink의 감사 실행 파일이 작동하지 않음

w 옵션이 제공하는 파일 모니터링은 경로를 직접 추적할 수 없습니다. 실행된 프로그램을 비교하려면 장치와 inode의 경로를 확인해야 합니다. 실행 가능한 symlink를 모니터링하는 감시는 symlink 해상도에서 발견되는 메모리에서 실행되는 프로그램이 아닌 symlink 자체의 inode를 모니터링합니다. 감시에서 symlink를 확인하여 결과 실행 프로그램을 가져오더라도 규칙이 다른 symlink에서 호출된 multi-call 바이너리에 대해 트리거됩니다. 이로 인해 잘못된 양의 로그가 급증하게 됩니다. 결과적으로 symlink의 감사 실행 파일 감시가 작동하지 않습니다.

/etc/selinux/config 에서 SELINUX=disabled 가 제대로 작동하지 않음

/etc/selinux/config 에서 SELINUX=disabled 옵션을 사용하여 SELinux를 비활성화하면 커널이 SELinux가 활성화된 상태로 부팅되고 부팅 프로세스 후반부에서 비활성화 모드로 전환됩니다. 이로 인해 메모리 누수가 발생할 수 있습니다.

libselinux-python 은 모듈을 통해서만 사용할 수 있습니다

libselinux-python 패키지에는 SELinux 애플리케이션 개발을 위한 Python 2 바인딩만 포함되어 있으며 이전 버전과의 호환성에 사용됩니다. 이러한 이유로 libselinux-python 은 dnf install libselinux-python 명령을 통해 기본 RHEL 8 리포지토리에서 더 이상 사용할 수 없습니다.

udica 는 --env container=podman으로 시작되는 경우에만 UBI 8 컨테이너를처리합니다.

Red Hat Universal Base Image 8(UBI 8) 컨테이너는 컨테이너 환경 변수를 podman 값이 아닌 oci 값으로 설정합니다. 이렇게 하면 udica 툴에서 컨테이너 JSON(JavaScript Object Notation) 파일을 분석하지 못합니다.

rpm-plugin-selinux 패키지를 제거하면 시스템에서 모든 selinux-policy 패키지가 제거됩니다.

rpm-plugin-selinux 패키지를 제거하면 시스템에서 SELinux가 비활성화됩니다. 또한 시스템에서 모든 selinux-policy 패키지를 제거합니다. 그런 다음 rpm-plugin-selinux 패키지를 반복적으로 설치한 후 selinux-policy- targeted 정책이 시스템에 있는 경우에도 selinux-policy- minimum SELinux 정책을 설치합니다. 그러나 반복적으로 설치하면 정책 변경 사항을 고려하여 SELinux 구성 파일이 업데이트되지 않습니다. 결과적으로 rpm-plugin-selinux 패키지를 다시 설치해도 SELinux가 비활성화됩니다.

SELinux는 corosync에서 만든 공유 메모리 파일에서 newfstatat() 를 호출하도록 systemd-journal-gatewayd 를 방지합니다.

SELinux 정책에는 systemd-journal-gatewayd 데몬이 corosync 서비스에서 생성한 파일에 액세스할 수 있도록 하는 규칙이 포함되지 않습니다. 그 결과 SELinux는 systemd-journal-gatewayd 를 거부하여 corosync 에서 만든 공유 메모리 파일에 newfstatat() 함수를 호출합니다.

SELinux는 auditd 가 시스템을 중단하거나 전원을 끄지 않도록 방지합니다.

SELinux 정책에는 감사 데몬이 power_unit_file_t systemd 장치를 시작할 수 있는 규칙이 포함되어 있지 않습니다. 결과적으로 auditd 는 로깅 디스크 파티션에 남은 공간 없음과 같은 경우 이를 수행하도록 구성된 경우에도 시스템을 중지하거나 전원을 끌 수 없습니다.

사용자는 잠긴 사용자로 sudo 명령을 실행할 수 있습니다.

sudoers 권한이 ALL 키워드로 정의된 시스템에서 권한이 있는 sudo 사용자는 계정이 잠겨 있는 사용자로 sudo 명령을 실행할 수 있습니다. 따라서 잠김 및 만료된 계정은 명령을 실행하는 데 계속 사용할 수 있습니다.

성능에 대한 기본 로깅 설정의 부정적인 영향

기본 로깅 환경 설정은 rsyslog 를 사용하여 systemd-journald를 실행할 때 4GB 메모리를 사용하거나 rate- limit 값을 조정하는 작업이 복잡할 수 있습니다.

config.enabled 가 포함된 rsyslog 출력의 매개 변수가 알 수 없는 오류

rsyslog 출력에서는 config.enabled 지시문을 사용하여 구성 처리 오류에서 예기치 않은 버그가 발생합니다. 결과적으로 include() 문을 제외하고 config.enabled 지시문을 사용하는 동안 매개 변수가 알 수 없는 오류가 표시됩니다.

특정 rsyslog 우선 순위 문자열이 올바르게 작동하지 않음

암호화를 세밀하게 제어할 수 있는 imtcp 에 대한 GnuTLS 우선순위 문자열 지원은 완료되지 않습니다. 결과적으로, rsyslog 에서 다음 우선 순위 문자열이 제대로 작동하지 않습니다 :

SHA-1 서명이 있는 서버에 대한 연결이 GnuTLS에서 작동하지 않음

인증서의 SHA-1 서명은 GnuTLS 보안 통신 라이브러리에서 안전하지 않은 것으로 거부됩니다. 결과적으로 GnuTLS를 TLS 백엔드로 사용하는 애플리케이션은 이러한 인증서를 제공하는 피어에 TLS 연결을 설정할 수 없습니다. 이 동작은 다른 시스템 암호화 라이브러리와 일치하지 않습니다. 이 문제를 해결하려면 SHA-256 또는 더 강력한 해시로 서명된 인증서를 사용하거나 LEGACY 정책으로 전환하도록 서버를 업그레이드합니다.

TLS 1.3이 FIPS 모드에서 NSS에서 작동하지 않음

FIPS 모드에서 작동하는 시스템에서는 TLS 1.3이 지원되지 않습니다. 따라서 상호 운용성에 TLS 1.3이 필요한 연결은 FIPS 모드에서 작동하는 시스템에서 작동하지 않습니다.

OpenSSL 에서 원시 RSA 또는 RSA-PSS 서명을 지원하지 않는 PKCS #11 토큰을 잘못 처리합니다.

OpenSSL 라이브러리는 PKCS #11 토큰의 키 관련 기능을 탐지하지 않습니다. 결과적으로 원시 RSA 또는 RSA-PSS 서명을 지원하지 않는 토큰으로 서명이 생성되면 TLS 연결 설정에 실패합니다.

OpenSSL은 TLS 1.3의 CertificateRequest 메시지에 잘못된 형식의 status_request 확장을 생성합니다.

status_request 확장 및 클라이언트 인증서 기반 인증을 지원하는 경우 OpenSSL 서버는 CertificateRequest 메시지에 잘못된 형식의 status_request 확장을 전송합니다. 이러한 경우 OpenSSL은 RFC 8446 프로토콜을 준수하는 구현과 상호 운용되지 않습니다. 결과적으로 CertificateRequest 메시지의 확장을 올바르게 확인하는 클라이언트는 OpenSSL 서버와의 중단 연결을 중단합니다. 이 문제를 해결하려면 연결 측에서 TLS 1.3 프로토콜에 대한 지원을 비활성화하거나 OpenSSL 서버에서 status_request 에 대한 지원을 비활성화합니다. 이렇게 하면 서버가 잘못된 형식의 메시지를 보내지 못합니다.

ssh-keyscan 은 FIPS 모드에서 RSA 키를 검색할 수 없습니다

FIPS 모드에서 RSA 서명에 대해 SHA-1 알고리즘이 비활성화되어 ssh-keyscan 유틸리티가 해당 모드에서 작동하는 서버의 RSA 키를 검색하지 못하게 합니다.

Libreswan 이 모든 설정에서 seccomp=enabled 에서 제대로 작동하지 않음

현재 Libreswan SECCOMP 지원 구현에서 허용되는 syscall 세트가 완료되지 않았습니다. 결과적으로 ipsec.conf 파일에서 SECCOMP를 활성화하면 syscall 필터링이 pluto 데몬이 제대로 작동하는 데 필요한 syscall도 거부합니다. 데몬이 종료되고 ipsec 서비스가 다시 시작됩니다.

SSG의 특정 상호 의존 규칙 세트는 실패할 수 있습니다.

규칙 및 해당 종속 항목의 정의되지 않은 순서로 인해 벤치마크의 SCAP 보안 가이드 (SSG) 규칙 수정이 실패할 수 있습니다. 예를 들어, 한 규칙이 구성 요소를 설치하고 다른 규칙이 동일한 구성 요소를 구성하는 경우와 같이 두 개 이상의 규칙을 특정 순서로 실행해야 하는 경우 해당 규칙을 잘못된 순서로 실행하고 수정을 통해 오류를 보고할 수 있습니다. 이 문제를 해결하려면 수정을 두 번 실행하고 두 번째는 종속 규칙을 수정합니다.

SCAP Workbench가 사용자 정의 프로파일에서 결과를 기반으로 한 수정을 생성하지 못함

SCAP Workbench 툴을 사용하여 사용자 정의된 프로파일에서 결과 기반 수정 역할을 생성하려고 할 때 다음과 같은 오류가 발생합니다.

킥스타트에서는 RHEL 8에서 com _redhat_oscap 대신 org_fedora _oscap 을 사용합니다.

Kickstart는 OSCAP(Open Security Content Automation Protocol) Anaconda 애드온을 com_redhat _oscap 대신 org_fedora _oscap 으로 참조하여 혼동을 일으킬 수 있습니다. 이는 Red Hat Enterprise Linux 7과 이전 버전과의 호환성을 유지하기 위해 수행됩니다.

OSCAP Anaconda 애드온은 모든 패키지를 텍스트 모드에 설치하지 않음

OSCAP Anaconda Addon 플러그인은 설치가 텍스트 모드에서 실행 중인 경우 시스템 설치 프로그램에서 설치에 대해 선택한 패키지 목록을 수정할 수 없습니다. 결과적으로 Kickstart를 사용하여 보안 정책 프로필을 지정하고 설치가 텍스트 모드로 실행되는 경우 보안 정책에 필요한 추가 패키지는 설치 중에 설치되지 않습니다.

OSCAP Anaconda 애드온 이 사용자 지정 프로파일을 올바르게 처리하지 않음

OSCAP Anaconda 애드온 플러그인은 별도의 파일의 사용자 지정으로 보안 프로필을 올바르게 처리하지 않습니다. 따라서 해당 Kickstart 섹션에서 적절하게 지정하는 경우에도 RHEL 그래픽 설치에서 사용자 지정된 프로필을 사용할 수 없습니다.

Gnutls가 NSS 서버로 현재 세션을 다시 시작하지 못했습니다

TLS(Transport Layer Security) 1.3 세션을 다시 시작할 때 GnuTLS 클라이언트는 60밀리초 동안 서버에 세션 재개 데이터를 보낼 때까지 예상 왕복 시간을 기다립니다. 서버가 이 시간 내에 재사용 데이터를 전송하지 않으면 클라이언트는 현재 세션을 다시 시작하지 않고 새 세션을 만듭니다. 이로 인해 정기적인 세션 협상에 약간의 성능에 영향을 미치는 것을 제외하고는 심각한 부정적인 영향이 발생하지 않습니다.

oscap-ssh 유틸리티는 --sudo를 사용하여 원격 시스템을 스캔할 때 실패합니다.

oscap-ssh 툴을 --sudo 옵션과 함께 사용하여 원격 시스템을 SCAP(Security Content Automation Protocol) 스캔을 수행할 때 원격 시스템의 oscap 툴은 스캔 결과 파일을 저장하고 파일을 root 사용자로 임시 디렉터리에 보고합니다. 원격 시스템의 umask 설정이 변경되면 oscap-ssh 가 해당 파일에 액세스하지 못할 수 있습니다. 이 문제를 해결하려면 이 솔루션 "oscap -ssh --sudo"에 설명된 대로 oscap -ssh 툴을 수정하십시오. "scp: …​: 권한이 거부되었습니다" error. 결과적으로 oscap 은 파일을 대상 사용자로 저장하고 oscap-ssh 는 일반적으로 파일에 액세스합니다.

OpenSCAP은 YAML 여러 줄 문자열에서 빈 줄을 제거하여 발생하는 오탐을 생성합니다.

OpenSCAP에서 데이터 스트림에서 Ansible 해결을 생성하면 YAML 다중 줄 문자열에서 빈 행을 제거합니다. 일부 Ansible 수정에는 리터럴 구성 파일 내용이 포함되어 있으므로 빈 행을 제거하면 해당 수정 사항에 영향을 미칩니다. 이로 인해 openscap 유틸리티가 빈 줄에 영향을 미치지 않더라도 해당 OVAL(Open Vulnerability and Assessment Language) 검사에 실패합니다. 이 문제를 해결하려면 규칙 설명을 확인하고 빈 줄이 누락되어 실패한 스캔 결과를 건너뜁니다. 또는 Bash 수정으로 인해 잘못된 긍정적인 결과가 생성되지 않으므로 Ansible 해결 대신 Bash 수정을 사용하십시오.

OSPP 기반 프로필은 GUI 패키지 그룹과 호환되지 않습니다.

GUI 패키지 그룹과 함께 서버에서 설치한 GNOME 패키지에는 OSPP(Operating System Protection Profile)와 호환되지 않는 nfs-utils 패키지가 필요합니다. 결과적으로 OSPP 또는 OSPP 기반 프로필(예: STIG(Security Technical Implementation Guide))을 사용하여 시스템을 설치하는 동안 GUI 패키지 그룹이 포함된 서버를 선택하면 설치가 중단됩니다. OSPP 기반 프로필이 설치 후 적용되는 경우 시스템을 부팅할 수 없습니다. 이 문제를 해결하려면 GUI 패키지 그룹이나 OSPP 프로파일과 OSPP 기반 프로필을 사용할 때 GUI를 설치하는 다른 그룹을 사용하여 서버를 설치하지 마십시오. 대신 Server 또는 Minimal Install 패키지 그룹을 사용하는 경우 시스템이 문제 없이 설치되고 올바르게 작동합니다.

GUI 패키지 그룹이 포함된 RHEL 8 시스템은 e8 프로파일을 사용하여 수정할 수 없습니다.

OpenSCAP Anaconda 애드온을 사용하여 Verify Integrity with RPM(RPM 그룹과 무결성 확인)에서 규칙을 선택하는 프로필이 있는 GUI 패키지 그룹과 함께 서버에서 시스템을 강화하려면 시스템의 RAM 크기가 극도로 필요합니다. 이 문제는 OpenSCAP 스캐너로 인해 발생합니다. 자세한 내용은 OpenSCAP로 많은 파일 스캔을 통해 시스템에 메모리가 부족하게 됩니다. 결과적으로 RHEL8 Essential Eight(e8) 프로필을 사용하여 시스템 강화에 성공하지 못했습니다. 이 문제를 해결하려면 더 작은 패키지 그룹(예: Server)을 선택하고 설치 후 필요한 추가 패키지를 설치합니다. 결과적으로 시스템에 더 적은 수의 패키지가 생기므로 검사에 메모리가 적게 필요하므로 시스템을 자동으로 강화할 수 있습니다.

OpenSCAP로 많은 수의 파일을 스캔하면 시스템에 메모리가 부족합니다.

OpenSCAP 스캐너는 검사가 완료될 때까지 수집된 모든 결과를 메모리에 저장합니다. 그 결과 시스템에는 많은 수의 파일을 스캔할 때 RAM이 적은 시스템에서 메모리가 부족할 수 있습니다(예: GUI 및 워크스테이션 을 사용한 대규모 패키지 그룹). 이 문제를 해결하려면 더 작은 패키지 그룹(예: RAM이 제한된 시스템에 Server 및 Minimal Install )을 사용하십시오. 대규모 패키지 그룹을 사용해야 하는 경우 시스템에 가상 또는 스테이징 환경에서 메모리가 충분한지 테스트할 수 있습니다. 또는 전체 / 파일 시스템에 대한 재귀가 필요한 규칙을 선택 취소하도록 검사 프로필을 조정할 수 있습니다.

GRO를 비활성화할 때 IPsec 오프로딩 중에 IPsec 네트워크 트래픽이 실패합니다

장치에서 GRO(Generic Receive Offload)를 비활성화하면 IPsec 오프로딩이 작동하지 않습니다. IPsec 오프로딩이 네트워크 인터페이스에 구성되어 있고 해당 장치에서 GRO가 비활성화되면 IPsec 네트워크 트래픽이 실패합니다.

iptables 는 지정된 체인 유형을 알 수 없는 경우 체인을 업데이트하는 명령에 대한 모듈 로드를 요청하지 않습니다.

참고: 이 문제로 인해 서비스 기본 구성을 사용하는 경우 iptables systemd 서비스를 중지할 때 기능이 작동하지 않는 잘못된 오류가 발생합니다.

nft_compat 모듈로 주소 제품군별 LOG 백엔드 모듈 자동 로드가 중단될 수 있습니다.

네트워크 네임스페이스(netns)에서의 작업이 병렬로 수행되는 동안 nft_compat 모듈이 제품군별 LOG 대상 백엔드를 로드하면 잠금 충돌이 발생할 수 있습니다. 결과적으로 주소 제품군별 LOG 대상 백엔드를 로드하는 것이 중단될 수 있습니다. 이 문제를 해결하려면 iptables-restore 유틸리티를 실행하기 전에 관련 LOG 대상 백엔드(예: as nf_log_ipv4.ko 및 nf_log_ipv6.ko )를 수동으로 로드합니다. 결과적으로 LOG 대상 백엔드를 로드해도 중단되지 않습니다. 그러나 시스템 부팅 중에 문제가 발생하면 해결 방법을 사용할 수 없습니다.

실수로 패치 제거로 인해 huge_page_setup_helper.py 가 오류가 표시됨

huge_page_setup_helper.py 스크립트를 업데이트하는 패치가 실수로 제거되었습니다. 결과적으로 huge_page_setup_helper.py 스크립트를 실행하면 다음과 같은 오류 메시지가 표시됩니다.

부팅 프로세스 중 많은 양의 영구 메모리 경험이 있는 시스템

메모리 초기화가 직렬화되므로 많은 양의 영구 메모리가 있는 시스템은 부팅하는 데 시간이 오래 걸립니다. 결과적으로 /etc/fstab 파일에 영구 메모리 파일 시스템이 나열된 경우 장치를 사용할 수 있을 때까지 기다리는 동안 시스템이 시간 초과될 수 있습니다. 이 문제를 해결하려면 /etc/systemd/system.conf 파일에서 DefaultTimeoutStartSec 옵션을 충분히 큰 값으로 구성하십시오.

KSM이 NUMA 메모리 정책을 무시하는 경우가 있음

merge_across_nodes=1 매개 변수를 사용하여 KSM(커널 공유 메모리) 기능을 활성화하면 KSM은 mbind() 함수에서 설정한 메모리 정책을 무시하고 일부 메모리 영역의 페이지를 정책과 일치하지 않는 NUMA(Non-Uniform Memory Access) 노드에 병합할 수 있습니다.

RHEL 8의 크래시 캡처 환경에서 커널을 부팅하지 못했습니다.

디버그 커널의 메모리 수요 특성으로 인해 디버그 커널이 사용 중이고 커널 패닉이 트리거되면 문제가 발생합니다. 결과적으로 디버그 커널은 캡처 커널로 부팅할 수 없으며 대신 스택 추적이 생성됩니다. 이 문제를 해결하려면 크래시 커널 메모리를 적절하게 늘립니다. 결과적으로 디버그 커널이 크래시 캡처 환경에서 성공적으로 부팅됩니다.

zlib 일부 압축 함수에서 vmcore 캡처 속도가 느려질 수 있습니다.

kdump 구성 파일은 기본적으로 lzo 압축 형식(makedumpfile -l)을 사용합니다. zlib 압축 형식(makedumpfile -c)을 사용하여 구성 파일을 수정할 때 vmcore 캡처 프로세스의 속도를 저하시키는 대신 압축 요인이 향상될 수 있습니다. 그 결과 lzo 에 비해 kdump 가 zlib 를 사용하여 vmcore 를 캡처하는 데 최대 4배 더 걸립니다.

메모리 핫플러그 또는 언플러그 작업 후 vmcore 캡처가 실패합니다.

메모리 핫플러그 또는 핫 플러그 해제 작업을 수행한 후에는 메모리 레이아웃 정보가 포함된 장치 트리를 업데이트한 후 이벤트가 제공됩니다. 따라서 makedumpfile 유틸리티는 존재하지 않는 실제 주소에 액세스를 시도합니다. 다음 모든 조건이 충족되면 문제가 표시됩니다.

fadump 덤프 메커니즘은 네트워크 인터페이스의 이름을 kdump-<interface-name>으로 변경합니다.

펌웨어 지원 덤프(fadump)를 사용하여 vmcore 를 캡처하고 SSH 또는 NFS 프로토콜을 사용하여 원격 머신에 저장하는 경우 네트워크 인터페이스의 이름을 kdump-<interface-name> 으로 변경합니다. <interface-name> 이 일반인 경우 이름 변경이 발생합니다(예: *eth# 또는 net# 등). 이 문제는 초기 RAM 디스크(initrd)의 vmcore 캡처 스크립트를 네트워크 인터페이스 이름에 kdump- 접두사를 추가하여 영구적인 명명을 보안하기 때문에 발생합니다. 동일한 initrd 도 일반 부팅에 사용되므로 프로덕션 커널의 인터페이스 이름도 변경됩니다.

fadump 가 활성화된 경우 부팅 시 시스템이 긴급 모드로 전환됩니다.

systemd 관리자가 마운트 정보를 가져오지 못하고 마운트할 LV 파티션을 구성하지 못하기 때문에 initramfs 스키마에서 fadump (kdump)또는 dracut squash 모듈이 활성화된 경우 시스템이 긴급 모드로 들어갑니다. 이 문제를 해결하려면 다음 커널 명령줄 parameter rd.lvm.lv=<VG>/<LV> 를 추가하여 실패한 LV 파티션을 적절하게 검색하고 마운트합니다. 따라서 설명된 시나리오에서 시스템이 성공적으로 부팅됩니다.

irqpoll 을 사용하면 vmcore 생성에 실패합니다.

AWS(Amazon Web Services) 클라우드 플랫폼에서 실행되는 64비트 ARM 아키텍처의 nvme 드라이버에 대한 기존 문제로 인해 첫 번째 커널에 irqpoll 커널 명령줄 매개변수를 제공할 때 vmcore 생성이 실패합니다. 결과적으로 커널 충돌 후 /var/crash/ 디렉토리에 vmcore 파일이 덤프되지 않습니다. 이 문제를 해결하려면 다음을 수행합니다.

vPMEM 메모리를 덤프 대상으로 사용하면 커널 크래시 캡처 프로세스가 지연됩니다.

vPEM(가상 영구 메모리) 네임스페이스를 kdump 또는 fadump 대상으로 사용하는 경우 papr_scm 모듈은 vPMEM에서 지원하는 메모리를 매핑하고 다시 매핑하고 메모리를 선형 맵에 다시 추가해야 합니다. 결과적으로 이 동작으로 인해 하이퍼바이저 호출(HCalls)이 POWER Hypervisor로 트리거되고 총 시간이 걸리기 때문에 캡처 커널 부팅 속도가 상당히 느립니다. 따라서 vPMEM 네임스페이스를 kdump 또는 fadump의 덤프 대상으로 사용하지 않는 것이 좋습니다.

HP NMI 워치독이 항상 크래시 덤프를 생성하지는 않음

경우에 따라 HP NMI 워치독의 hpwdt 드라이버는 perfmon 드라이버에서 NMI(maskable interrupt)를 사용했기 때문에 HPE 워치독 타이머에서 생성한 NMI(NMI)를 요청할 수 없습니다.

tuned-adm profile powersave 명령을 사용하면 시스템이 응답하지 않습니다.

tuned-adm profile powersave 명령을 실행하면 이전 Thunderx(CN88x) 프로세서가 있는 Penguin Valkymaster 2000 2소켓 시스템이 응답하지 않는 상태가 됩니다. 그 결과 시스템을 재부팅하여 작동을 재개합니다. 이 문제를 해결하려면 시스템에서 언급된 사양과 일치하는 경우 powersave 프로필을 사용하지 마십시오.

cxgb4 드라이버로 인해 kdump 커널에서 충돌이 발생합니다.

vmcore 파일에 정보를 저장하려는 동안 kdump 커널이 충돌합니다. 결과적으로 cxgb4 드라이버는 kdump 커널이 나중에 분석을 위해 코어를 저장하지 못하게 합니다. 이 문제를 해결하려면 핵심 파일을 저장할 수 있도록 kdump 커널 명령줄에 novmcoredd 매개변수를 추가합니다.

모드 5(밸런싱-tlb) 본딩 마스터 인터페이스에 ICE 드라이버 NIC 포트를 추가하려고 하면 실패할 수 있습니다.

모드 5(balance-tlb) 본딩 마스터 인터페이스에 ICE 드라이버 NIC 포트를 추가하려고 하면 Master 'bond0', Slave 'ens1f0' 오류가 발생할 수 있습니다. 오류: enslave failed. 결과적으로 NIC 포트를 본딩 마스터 인터페이스에 추가하는 간헐적인 오류가 발생합니다. 이 문제를 해결하려면 인터페이스 추가를 다시 시도합니다.

인터페이스 type='hostdev'를 사용하여 가상 머신을 가상 머신에 연결하는 데 실패할 수 있습니다.

<interface type='hostdev'> 메서드를 사용하여 할당 후 .XML 파일을 사용하여 가상 머신에 VF(가상 기능)를 연결하는 데 실패할 수 있습니다. 이러한 문제는 Assignment with <interface type='hostdev'> 메서드를 사용하면 VM이 이 가상 머신에 표시되는 VF NIC에 연결할 수 없기 때문입니다. 이 문제를 해결하려면 Assignment with <hostdev> 메서드를 사용하여 .XML 파일을 사용하여 VM에 VF를 연결합니다. 결과적으로 virsh attach-device 명령이 오류 없이 성공합니다. Assignment with <hostdev> 및 Assignment with < interface type='hostdev'> (SRIOV 장치만 해당)의 차이점에 대한 자세한 내용은 호스트 네트워크 장치의 PCI 통과를 참조하십시오.

/boot 파일 시스템을 LVM에 배치할 수 없습니다.

LVM 논리 볼륨에 /boot 파일 시스템을 배치할 수 없습니다. 이 제한은 다음과 같은 이유로 존재합니다.

LVM에서 더 이상 혼합 블록 크기가 있는 볼륨 그룹을 생성할 수 없습니다.

vgcreate 또는 vgextend 와 같은 LVM 유틸리티는 더 이상 물리 볼륨(PV)에 논리 블록 크기가 다른 VG(볼륨 그룹)를 만들 수 없습니다. LVM은 다른 블록 크기의 PV로 기본 논리 볼륨(LV)을 확장하는 경우 파일 시스템이 마운트되지 않으므로 이러한 변경을 채택했습니다.

너무 많은 LUN이 연결되어 있을 때 DM Multipath를 시작하지 못할 수 있습니다.

multipathd 서비스는 시간이 초과될 수 있으며 너무 많은 LUN(논리 단위)이 시스템에 연결되어 있으면 시작되지 않을 수 있습니다. 문제를 유발하는 정확한 LUN 수는 장치 수, 스토리지 어레이의 응답 시간, 메모리 및 CPU 구성, 시스템 로드 등 여러 요인에 따라 달라집니다.

LVM writecache의 제한 사항

writecache LVM 캐싱 방법에는 캐시 방법에 없는 다음과 같은 제한 사항이 있습니다.

LUKS 볼륨을 저장하는 LVM 미러 장치가 응답하지 않는 경우가 있음

LUKS 볼륨을 저장하는 세그먼트 유형의 미러 가 있는 LVM 장치는 특정 조건에서 응답하지 않을 수 있습니다. 응답하지 않는 장치는 모든 I/O 작업을 거부합니다.

NFS 4.0 패치를 통해 개방형 워크로드에서 성능이 저하될 수 있습니다.

이전 버전에서는 경우에 따라 NFS open 작업이 서버에서 파일이 제거되거나 이름이 변경된 사실을 간과할 수 있는 버그가 수정되었습니다. 그러나 많은 오픈 작업이 필요한 워크로드에서 수정으로 인해 성능이 저하될 수 있습니다. 이 문제를 해결하기 위해 NFS 버전 4.1 이상을 사용하는 데 도움이 될 수 있습니다. 이 경우 더 많은 경우 클라이언트에 위임을 부여하여 클라이언트가 로컬에서 빠르고 안전하게 오픈 작업을 수행할 수 있습니다.

getpwnam() 은 32비트 애플리케이션에 의해 호출될 때 실패할 수 있습니다.

NIS 사용자가 getpwnam() 함수를 호출하는 32비트 애플리케이션을 사용하는 경우 nss_nis.i686 패키지가 누락된 경우 호출이 실패합니다. 이 문제를 해결하려면 yum install nss_nis.i686 명령을 사용하여 누락된 패키지를 수동으로 설치합니다.

Nginx 는 하드웨어 보안 토큰에서 서버 인증서를 로드할 수 없습니다.

nginx 웹 서버는 PKCS#11 모듈에서 직접 하드웨어 보안 토큰에서 TLS 개인 키를 로드하는 기능을 지원합니다. 그러나 현재 PKCS#11 URI를 통해 하드웨어 보안 토큰에서 서버 인증서를 로드할 수 없습니다. 이 문제를 해결하려면 파일 시스템에 서버 인증서를 저장하십시오.

php- opcache가 PHP 7.2와 함께 설치되면 PHP- fpm 으로 SELinux AVC가 거부됩니다.

php-opcache 패키지가 설치되면 FastCGI Process Manager(php-fpm)로 인해 SELinux AVC 거부가 발생합니다. 이 문제를 해결하려면 /etc/php.d/10-opcache.ini 파일의 기본 구성을 다음으로 변경합니다.

종속성으로 설치할 때 mod_wsgi 패키지 이름이 누락되었습니다.

BZ#1779705 에 설명된 mod_wsgi 설치의 변경으로 python3-mod_wsgi 패키지는 더 이상 mod_wsgi 라는 이름을 제공하지 않습니다. mod_wsgi 모듈을 설치할 때 전체 패키지 이름을 지정해야 합니다. 이러한 변경으로 인해 타사 패키지의 종속성에 문제가 있습니다.

GCC에서 생성된 합성 함수가 SystemTap에 혼란 가중

GCC 최적화는 다른 함수의 부분 인라인 사본에 대해 합성 함수를 생성할 수 있습니다. SystemTap 및 GDB와 같은 도구는 이러한 온도 함수를 실제 함수와 구분할 수 없습니다. 결과적으로 SystemTap은 온도 및 실제 함수 진입점 모두에 프로브를 배치하므로 단일 실제 함수 호출에 대해 여러 개의 프로브 적중을 등록합니다.

/etc/nsswitch.conf 를 변경하려면 수동 시스템 재부팅이 필요합니다

/etc/nsswitch.conf 파일을 변경하는 경우, 예를 들어 authselect select profile_id 명령을 실행하려면 모든 관련 프로세스에서 업데이트된 /etc/nsswitch.conf 파일을 사용하도록 시스템을 재부팅해야 합니다. 시스템 재부팅이 불가능한 경우 시스템을 Active Directory( System Security Services Daemon ) 또는 winbind 에 조인하는 서비스를 다시 시작합니다.

파일 도메인이 활성화된 경우 SSSD에서 로컬 사용자에 대해 잘못된 LDAP 그룹 멤버십을 반환합니다.

SSSD(System Security Services Daemon)에서 로컬 파일 및 sssd.conf 파일의 [domain/LDAP] 섹션에 있는 ldap_rfc2307_fallback_to_local_users 속성에서 사용자를 제공하는 경우 파일 프로바이더에는 다른 도메인의 그룹 멤버십이 포함되지 않습니다. 그 결과 로컬 사용자가 LDAP 그룹의 멤버인 경우 id local_user 명령은 사용자의 LDAP 그룹 멤버십을 반환하지 않습니다. 이 문제를 해결하려면 암시적 파일 도메인을 추가하여 비활성화하십시오.

SSSD가 동일한 우선 순위로 여러 인증서 일치 규칙을 올바르게 처리하지 않음

지정된 인증서가 여러 인증서 일치 규칙과 동일한 우선 순위의 규칙과 일치하면 SSSD(System Security Services Daemon)는 규칙 중 하나만 사용합니다. 이 문제를 해결하려면 LDAP 필터가 | (또는) 운영자와 연결된 개별 규칙의 필터로 구성된 단일 인증서 일치 규칙을 사용합니다. 인증서 일치 규칙의 예는 sss-certamp(5) 도움말 페이지를 참조하십시오.

여러 도메인을 정의할 때 auto_private_group = hybrid로 프라이빗 그룹을 만들 수 없습니다.

여러 도메인이 정의되어 있고 첫 번째 도메인이 아닌 다른 도메인에서 하이브리드 옵션을 사용하는 경우 auto_private_group = 하이브리드 옵션을 사용하여 프라이빗 그룹을 만들 수 없습니다. 암시적 파일 도메인이 sssd.conf 파일의 AD 또는 LDAP 도메인과 함께 정의되어 있고 MPG_HYBRID 로 표시되지 않는 경우 SSSD는 uid=gid를 가진 사용자의 개인 그룹을 생성하지 못하고 이 gid가 있는 그룹이 AD 또는 LDAP에 존재하지 않습니다.

python-ply 는 FIPS와 호환되지 않습니다

python-ply 패키지의 ✓CC 모듈은 MD5 해싱 알고리즘을 사용하여 CC 서명의 지문을 생성합니다. 그러나 FIPS 모드에서는 비보안 컨텍스트에서만 허용되는 MD5 사용을 차단합니다. 결과적으로 python-ply는 FIPS와 호환되지 않습니다. FIPS 모드의 시스템에서 ply.yacc.yacc() 에 대한 모든 호출이 실패하고 오류 메시지가 표시됩니다.

freeradswitch는 249자보다 긴 터널 암호를 자동으로 잘립니다.

터널 비밀번호가 249자를 초과하면 FreeRADIUS 서비스가 자동으로 잘립니다. 이로 인해 다른 시스템과 예기치 않은 암호 비호환성이 발생할 수 있습니다.

모든 KRA 멤버가 숨겨진 복제본인 경우 KRA 설치에 실패합니다.

첫 번째 KRA 인스턴스가 숨겨진 복제본에 설치된 경우 ipa-kra-install 유틸리티는 KRA(키 복구 기관)가 이미 있는 클러스터에서 실패합니다. 결과적으로 클러스터에 KRA 인스턴스를 추가할 수 없습니다.

검색 필터에서 이러한 속성을 사용하는 경우 Directory Server에서 스키마에서 누락된 속성에 대해 경고합니다.

nsslapd-verify-filter-schema 매개변수를 warn-invalid 로 설정하면 Directory Server에서 스키마에 정의되지 않은 속성으로 검색 작업을 처리하고 경고를 기록합니다. 이 설정을 사용하면 속성이 스키마에 정의되어 있는지 여부에 관계없이 Directory Server에서 요청된 속성을 검색 결과에 반환합니다.

ipa-healthcheck-0.4 이전 버전의 ipa-healthcheck가 사용되지 않음

Healthcheck 툴이 ipa- healthcheck 및 ipa-healthcheck- core 의 두 개의 하위 패키지로 나뉩니다. 그러나 ipa-healthcheck-core 하위 패키지만 사용되지 않는 이전 버전의 ipa-healthcheck 로 올바르게 설정됩니다. 결과적으로 Healthcheck 를 업데이트하면 ipa-healthcheck-core 만 설치되고 업데이트 후에도 ipa-healthcheck 명령이 작동하지 않습니다.

ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 수 있는 위험

TLS없이 ldap:// 를 ID 조회에 사용하는 경우 공격 벡터가 발생할 위험이 있습니다. 특히 MITM(Man-in-the-middle) 공격으로 공격자는 LDAP 검색에 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.

Wayland 세션의 제한 사항

Red Hat Enterprise Linux 8에서는 GNOME 환경과 GDM(GNOME Display Manager)이 이전 주요 RHEL에서 사용된 X11 세션 대신 Wayland 를 기본 세션 유형으로 사용합니다.

드래그 앤 드롭이 데스크탑과 응용 프로그램 간에 작동하지 않음

gnome-shell-extensions 패키지의 버그로 인해 현재 드래그 앤 드롭 기능이 데스크탑과 애플리케이션 간에 작동하지 않습니다. 이 기능에 대한 지원은 향후 릴리스에서 다시 추가될 예정입니다.

소프트웨어 리포지토리에서 flatpak 리포지토리를 비활성화할 수 없습니다.

현재 GNOME 소프트웨어 유틸리티의 Software Repositories(소프트웨어 리포지토리) 도구에서 flatpak 리포지토리를 비활성화하거나 제거할 수 없습니다.

Generation 2 RHEL 8 가상 머신이 Hyper-V Server 2016 호스트에서 부팅되지 않는 경우가 있습니다.

Microsoft Hyper-V Server 2016 호스트에서 실행되는 VM(가상 머신)에서 RHEL 8을 게스트 운영 체제로 사용하는 경우, 경우에 따라 VM이 부팅되지 않고 GRUB 부팅 메뉴로 돌아갑니다. 또한 Hyper-V 이벤트 로그에 다음 오류가 기록됩니다.

시스템 충돌로 인해 fadump 설정이 손실될 수 있습니다.

이 문제는 펌웨어 지원 덤프(fadump)가 활성화된 시스템에서 확인되며 부팅 파티션은 XFS와 같은 저널링 파일 시스템에 있습니다. 시스템 충돌로 인해 부트 로더가 덤프 캡처 지원이 활성화되어 있지 않은 이전 initrd 를 로드할 수 있습니다. 결과적으로 시스템이 vmcore 파일을 캡처하지 않아 fadump 구성이 손실됩니다.

sudo 명령을 사용하여 그래픽 애플리케이션을 실행할 수 없습니다

상승된 권한이 있는 사용자로 그래픽 애플리케이션을 실행하려고 하면 애플리케이션이 오류 메시지와 함께 열 수 없습니다. 인증에 일반 사용자 자격 증명을 사용하도록 X authority 파일에 의해 X wayland 가 제한되므로 오류가 발생합니다.

Radeon이 하드웨어를 올바르게 재설정하지 못했습니다

현재 radeon 커널 드라이버는 kexec 컨텍스트에서 하드웨어를 올바르게 재설정하지 않습니다. 대신, radeon 이 종료되어 나머지 kdump 서비스가 실패합니다.

단일 MST 토폴로지의 여러 디스플레이의 전원이 켜지지 않을 수 있습니다.

no 독립형 드라이버 와 함께 NVIDIA rpming GPU를 사용하는 시스템에서는 DisplayPort hub(예: 랩탑 부두)와 함께 여러 모니터가 연결되어 있어 이전 RHEL 릴리스에서는 모든 디스플레이가 표시되지 않을 수 있습니다. 이는 시스템이 모든 디스플레이를 지원하는 허브에 대역폭이 충분하지 않다고 잘못 생각하기 때문입니다.

권한이 없는 사용자는 서브스크립션 페이지에 액세스할 수 있습니다.

관리자가 아닌 사용자가 웹 콘솔의 서브스크립션 페이지로 이동하면 웹 콘솔에 일반 오류 메시지 Cockpit에 예기치 않은 내부 오류가 표시되었습니다.

Windows Server 2019 호스트의 RHEL 8 가상 머신의 낮은 GUI 디스플레이 성능

Windows Server 2019 호스트에서 그래픽 모드에서 RHEL 8을 게스트 운영 체제로 사용하는 경우 GUI 디스플레이 성능이 낮고 현재 게스트의 콘솔 출력에 연결하는 데 예상보다 훨씬 오래 걸립니다.

Wayland를 사용하는 가상 머신의 여러 모니터를 QXL에서는 표시할 수 없습니다.

remote-viewer 유틸리티를 사용하여 Wayland 디스플레이 서버를 사용하는 VM(가상 시스템)의 모니터를 두 개 이상 표시하면 VM이 응답하지 않고 표시 상태 메시지가 무기한 표시됩니다.

virsh iface-\* 명령이 일관되게 작동하지 않음

현재 virsh iface- start 및 virsh iface- destroy와 같은 virsh iface- * 명령은 구성 종속성으로 인해 실패하는 경우가 많습니다. 따라서 호스트 네트워크 연결을 구성하고 관리하는 데 virsh iface-\* 명령을 사용하지 않는 것이 좋습니다. 대신 NetworkManager 프로그램과 관련 관리 애플리케이션을 사용합니다.

RHEL 8 가상 머신은 Witherspoon 호스트에서 부팅할 수 없는 경우가 있습니다.

경우에 따라 DD2.2 또는 DD2.3 CPU를 사용하는 HPC 호스트( Witherspoon이라고도 함)용 Power9 S922LC 에서 pseries-rhel7.6.0-sxxm 시스템 유형을 사용하는 RHEL 8 가상 머신(VM)에서 부팅되지 않는 경우가 있습니다.

IBM POWER 가상 머신이 빈 NUMA 노드에서 제대로 작동하지 않음

현재 RHEL 8 호스트에서 실행 중인 IBM POWER 가상 머신(VM)이 제로메모리(memory='0') 및 제로 CPU를 사용하는 NUMA 노드로 구성된 경우 VM을 시작할 수 없습니다. 따라서 RHEL 8에서 빈 NUMA 노드에서 IBM POWER VM을 사용하지 않는 것이 좋습니다.

AMD EPYC에서 호스트 패스스루 모드를 사용할 때 VM에서 SMT CPU 토폴로지를 감지하지 않습니다.

AMD EPYC 호스트에서 CPU 호스트 패스스루 모드로 부팅되는 VM(가상 머신)이 부팅되면 CPU O EXT CPU 기능 플래그가 표시되지 않습니다. 결과적으로 VM은 코어당 여러 스레드가 있는 가상 CPU 토폴로지를 탐지할 수 없습니다. 이 문제를 해결하려면 호스트 통과 대신 EPYC CPU 모델로 VM을 부팅합니다.

RHEL 8.2 VM의 디스크 식별자는 VM 재부팅 시 변경될 수 있습니다.

RHEL 8.2를 Hyper-V 하이퍼바이저에서 게스트 운영 체제로 사용하는 경우 VM(가상 머신)을 Hyper-V 하이퍼바이저에서 게스트 운영 체제로 사용하는 경우, VM이 재부팅될 때 VM의 가상 디스크의 장치 식별자가 변경될 수 있습니다. 예를 들어, 원래 /dev/sda로 식별된 디스크는 /dev/ sdb 가 될 수 있습니다. 결과적으로 VM이 부팅되지 않을 수 있으며 VM 디스크를 참조하는 스크립트가 작동을 중지할 수 있습니다.

여러 virtio-blk 디스크를 사용할 때 가상 머신이 시작되지 않는 경우가 있습니다.

VM(가상 시스템)에 다수의 virtio-blk 장치를 추가하면 플랫폼에서 사용 가능한 인터럽트 벡터 수가 소진될 수 있습니다. 이 경우 VM의 게스트 OS가 부팅되지 않고 dracut-initqueue[392]를 표시합니다. 경고: 부팅할 수 없습니다 오류.

virtio-blk를 사용하여 가상 머신에 LUN 장치를 연결하는 것은 작동하지 않습니다

q35 시스템 유형은 전환된 virtio 1.0 장치를 지원하지 않으므로 RHEL 8에는 virtio 1.0에서 더 이상 사용되지 않는 기능에 대한 지원이 없습니다. 특히 RHEL 8 호스트에서는 virtio-blk 장치에서 SCSI 명령을 보낼 수 없습니다. 결과적으로 virtio-blk 컨트롤러를 사용하면 가상 머신에 LUN 장치로 물리적 디스크를 연결할 수 없습니다.

RHEL 7-ALT 호스트에서 RHEL 8로 POWER9 게스트 마이그레이션에 실패

현재 POWER9 가상 머신을 RHEL 7-ALT 호스트 시스템에서 RHEL 8로 마이그레이션하는 것은 "마이그레이션 상태: active" 상태로 응답하지 않습니다.

redhat-support-tool 이 FUTURE 암호화 정책에서 작동하지 않음

고객 포털 API의 인증서에서 사용하는 암호화 키가 FUTURE 시스템 전체 암호화 정책의 요구 사항을 충족하지 않으므로 redhat-support-tool 유틸리티는 현재 이 정책 수준에서 작동하지 않습니다.

UDICA는 1.0의 안정적인 스트림을 사용할 것으로 예상되지 않습니다.

컨테이너에 대한 SELinux 정책을 생성하는 도구인 UDICA는 container-tools:1.0 모듈 스트림에서 podman 1.0.x를 통해 실행되는 컨테이너와 호환되지 않습니다.

Podman을 사용한 FIPS 지원에 대한 참고 사항

FIPS(Federal Information Processing Standard)를 사용하려면 인증된 모듈을 사용해야 합니다. 이전에는 Podman이 시작 시 적절한 플래그를 활성화하여 컨테이너에 인증된 모듈을 올바르게 설치했습니다. 그러나 이 릴리스에서 Podman은 FIPS 시스템 전체의 crypto-policy 형태로 시스템에서 일반적으로 제공하는 추가 애플리케이션 도우미를 올바르게 설정하지 않습니다. 인증된 모듈에는 시스템 전체의 crypto-policy를 설정할 필요가 없지만 호환 방식으로 crypto 모듈을 사용하는 애플리케이션의 능력을 향상합니다. 이 문제를 해결하려면 다른 애플리케이션 코드가 실행되기 전에 update-crypto-policies --set FIPS 명령을 실행하도록 컨테이너를 변경합니다.