5.7. 확인된 문제

이 부분에서는 Red Hat Enterprise Linux 8.3의 알려진 문제에 대해 설명합니다.

5.7.1. 설치 프로그램 및 이미지 생성

auth 및 authconfig Kickstart 명령에는 AppStream 리포지토리가 필요

authselect-compat 패키지는 설치하는 동안 auth 및 authconfig Kickstart 명령이 필요합니다. 이 패키지가 없으면 auth 또는 authconfig가 사용되는 경우 설치에 실패합니다. 설계에 따라 authselect-compat 패키지는 AppStream 리포지토리에서만 사용할 수 있습니다.

이 문제를 해결하려면 설치 프로그램에 BaseOS 및 AppStream 리포지토리를 사용할 수 있는지 확인하거나 설치 중에 authselect Kickstart 명령을 사용합니다.

(BZ#1640697)

reboot --kexec 및 inst.kexec 명령은 예측 가능한 시스템 상태를 제공하지 않습니다.

reboot --kexec Kickstart 명령 또는 inst.kexec 커널 부팅 매개 변수를 사용하여 RHEL 설치를 수행해도 전체 재부팅과 동일한 예측 가능한 시스템 상태를 제공하지 않습니다. 결과적으로 재부팅하지 않고 설치된 시스템으로 전환하면 예측할 수 없는 결과가 발생할 수 있습니다.

kexec 기능은 더 이상 사용되지 않으며 향후 Red Hat Enterprise Linux 릴리스에서 제거됩니다.

(BZ#1697896)

설치 프로그램에서는 네트워크 액세스가 기본적으로 활성화되어 있지 않습니다

몇 가지 설치 기능에는 네트워크 액세스(예: CDN(콘텐츠 전달 네트워크), NTP 서버 지원, 네트워크 설치 소스)를 사용하여 시스템 등록이 필요합니다. 그러나 네트워크 액세스는 기본적으로 활성화되어 있지 않으므로 네트워크 액세스가 활성화될 때까지 이러한 기능을 사용할 수 없습니다.

이 문제를 해결하려면 ip=dhcp 를 추가하여 설치가 시작될 때 네트워크 액세스를 활성화하도록 옵션을 부팅합니다. 선택적으로 부팅 옵션을 사용하여 네트워크에 있는 Kickstart 파일 또는 리포지토리를 전달하면 문제가 해결됩니다. 결과적으로 네트워크 기반 설치 기능을 사용할 수 있습니다.

(BZ#1757877)

새로운 osbuild-composer 백엔드는 업그레이드 시 lorax-composer 에서 청사진 상태를 복제하지 않습니다.

lorax-composer 백엔드에서 새로운 osbuild-composer 백엔드로 업그레이드하는 이미지 빌더 사용자는 청사진이 사라질 수 있습니다. 결과적으로 업그레이드가 완료되면 청사진이 자동으로 표시되지 않습니다. 이 문제를 해결하려면 다음 단계를 수행합니다.

사전 요구 사항

composer-cli CLI 유틸리티가 설치되어 있어야 합니다.

절차

명령을 실행하여 이전 lorax-composer 기반 청사진을 새 osbuild-composer 백엔드로 로드합니다.

$ for blueprint in $(find /var/lib/lorax/composer/blueprints/git/workspace/master -name '*.toml'); do composer-cli blueprints push "${blueprint}"; done

그 결과 osbuild-composer 백엔드에서 동일한 청사진을 사용할 수 있습니다.

추가 리소스

이 알려진 문제에 대한 자세한 내용은 Red Hat Enterprise Linux 8.3 문서의 업데이트에 따라 Image Builder 청사진이 더 이상 표시되지 않습니다.

(BZ#1897383)

Kickstart 설치에는 자체 서명 HTTPS 서버를 사용할 수 없습니다.

현재 설치 소스가 Kickstart 파일에 지정되고 --noverifyssl 옵션이 사용되는 경우 자체 서명된 https 서버에서 설치 프로그램이 설치되지 않습니다.

url --url=https://SERVER/PATH --noverifyssl

이 문제를 해결하려면 kickstart 설치를 시작할 때 커널 명령줄에 inst.noverifyssl 매개 변수를 추가합니다.

예를 들면 다음과 같습니다.

inst.ks=<URL> inst.noverifyssl

(BZ#1745064)

저장소 새로 고침을 완료하기 전에 CDN을 사용하여 등록 해제를 시도하면 GUI 설치에 실패할 수 있습니다.

RHEL 8.2부터 CDN(Content Delivery Network)을 사용하여 시스템을 등록하고 서브스크립션을 연결할 때 GUI 설치 프로그램에 의해 리포지토리 메타데이터의 새로 고침이 시작됩니다. 새로 고침 프로세스는 등록 및 서브스크립션 프로세스의 일부가 아니며, 결과적으로 Connect to Red Hat 창에서 Unregister 버튼이 활성화됩니다. 네트워크 연결에 따라 새로 고침 프로세스를 완료하는 데 1분 이상이 걸릴 수 있습니다. 새로 고침 프로세스가 완료되기 전에 Unregister 단추를 클릭하면 unregister 프로세스가 CDN 리포지토리 파일과 CDN과 통신하는 데 필요한 인증서가 제거되므로 GUI 설치가 실패할 수 있습니다.

이 문제를 해결하려면 Connect to Red Hat 창에서 Register(등록 ) 버튼을 클릭한 후 GUI 설치에서 다음 단계를 완료합니다.

Connect to Red Hat 창에서 Done(완료)을 클릭하여 Installation Summary (설치 요약) 창으로 돌아갑니다.
Installation Summary(설치 요약 ) 창에서 italics의 Installation Source( 설치 소스) 및 Software Selection (소프트웨어 선택) 상태 메시지에 처리 정보가 표시되지 않는지 확인합니다.
설치 소스 및 소프트웨어 선택 범주가 준비되면 Connect to Red Hat 을 클릭합니다.
Unregister(등록 취소 ) 버튼을 클릭합니다.

이러한 단계를 수행한 후에는 GUI를 설치하는 동안 시스템을 안전하게 등록 취소할 수 있습니다.

(BZ#1821192)

여러 조직에 속한 사용자 계정의 등록 실패

현재 여러 조직에 속하는 사용자 계정으로 시스템을 등록하려고 하면 오류 메시지와 함께 등록 프로세스가 실패합니다. 새 유닛의 조직을 지정해야 합니다.

이 문제를 해결하려면 다음 중 하나를 수행할 수 있습니다.

여러 조직에 속하지 않는 다른 사용자 계정을 사용합니다.
GUI 및 Kickstart 설치를 위한 Connect to Red Hat 기능에서 제공되는 활성화 키 인증 방법을 사용합니다.
Connect to Red Hat의 등록 단계를 건너뛰고 서브스크립션 관리자를 사용하여 시스템 설치 후 등록합니다.

(BZ#1822880)

설치 프로그램 부팅 옵션을 사용하여 InfiniBand 네트워크 인터페이스를 구성할 때 RHEL 설치 프로그램이 시작되지 않습니다.

설치 프로그램 부팅 옵션(예: PXE 서버를 사용하여 설치 프로그램 이미지 다운로드)을 사용하여 RHEL 설치 초기 단계에서 InfiniBand 네트워크 인터페이스를 구성할 때 설치 프로그램에서 네트워크 인터페이스를 활성화하지 못합니다.

이 문제는 RHEL NetworkManager가 InfiniBand 모드에서 네트워크 인터페이스를 인식하지 못하고 대신 인터페이스에 대한 이더넷 연결을 구성하지 못하기 때문에 발생합니다.

그 결과 연결 활성화가 실패하고 초기 단계에서 InfiniBand 인터페이스를 통한 연결이 필요한 경우 RHEL 설치 프로그램이 설치를 시작할 수 없습니다.

이 문제를 해결하려면 Lorax 툴을 사용하여 업데이트된 Anaconda 및 NetworkManager 패키지를 포함하여 새 설치 미디어를 생성합니다.

업데이트된 Anaconda 및 NetworkManager 패키지를 포함하여 Lorax 툴을 사용하여 새 설치 미디어를 생성하는 방법에 대한 자세한 내용은 InfiniBand 네트워크 인터페이스를 사용하여 Red Hat Enterprise Linux 8.3.0을 설치할 수 없음을참조하십시오.

(BZ#1890261)

NVDIMM 장치 네임스페이스가 devdax 모드로 설정된 경우 Anaconda 설치에 실패합니다.

GUI를 설치하기 전에 NVDIMM 장치 네임스페이스를 devdax 모드로 설정한 후 부팅한 후 Anaconda 설치에 실패합니다.

이 문제를 해결하려면 설치를 시작하기 전에 NVDIMM 장치를 재구성하여 네임스페이스를 devdax 모드와 다른 모드로 설정합니다. 결과적으로 설치를 진행할 수 있습니다.

(BZ#1891827)

타사 툴을 사용하여 생성된 USB에서 설치를 부팅할 때 로컬 미디어 설치 소스가 탐지되지 않습니다.

타사 툴을 사용하여 생성된 USB에서 RHEL 설치를 부팅할 때 설치 프로그램에서 로컬 미디어 설치 소스를 감지하지 못합니다('Red Hat CDN'만 감지됨).

이 문제는 기본 부팅 옵션 int.stage2= 에서 iso9660 이미지 형식을 검색하려고 하므로 발생합니다. 그러나 타사 툴에서 다른 형식으로 ISO 이미지를 생성할 수 있습니다.

이 문제를 해결하려면 다음 솔루션 중 하나를 사용하십시오.

설치를 부팅할 때 Tab 키를 클릭하여 커널 명령줄을 편집하고 부팅 옵션 inst.stage2=를 inst. repo= 로 변경합니다.
Windows에서 부팅 가능한 USB 장치를 만들려면 Fedora Media Writer를 사용합니다.
Rufus와 같은 타사 도구를 사용하여 부팅 가능한 USB 장치를 생성하는 경우 먼저 Linux 시스템에서 RHEL ISO 이미지를 다시 생성한 다음 타사 툴을 사용하여 부팅 가능한 USB 장치를 생성합니다.

지정된 해결 방법 수행과 관련된 단계에 대한 자세한 내용은 RHEL 8.3 설치 중에 설치 미디어가 자동으로 탐지되지 않음을참조하십시오.

(BZ#1877697)

Anaconda는 텍스트 모드에서 ldl 또는 포맷되지 않은 DASD 디스크에 대한 대화 상자 표시

이전에는 텍스트 모드로 설치하는 동안 Anaconda가 Linux 디스크 레이아웃(ldl) 또는 포맷되지 않은 DASD(Direct-Access Storage Device) 디스크에 대한 대화 상자를 표시하지 못했습니다. 이로 인해 사용자가 이러한 디스크를 설치할 수 없었습니다.

이번 업데이트를 통해 Anaconda는 텍스트 모드에서 ldl 및 포맷되지 않은 DASD 디스크를 인식하고 사용자가 설치의 향후 사용률에 맞게 올바르게 포맷할 수 있는 대화 상자를 표시합니다.

(BZ#1874394)

그래픽 설치 프로그램을 사용할 때 Red Hat Insights 클라이언트가 운영 체제를 등록하지 못합니다.

현재 Insights 클라이언트를 가리키는 끝에 오류와 함께 설치가 실패합니다.

이 문제를 해결하려면 설치 프로그램에서 시스템을 등록하기 전에 Connect to Red Hat 단계에서 Connect to Red Hat Insights 옵션을 선택 취소합니다.

결과적으로 다음 명령을 사용하여 설치를 완료하고 Insights에 등록할 수 있습니다.

# insights-client --register

(BZ#1931069)

5.7.2. 서브스크립션 관리

syspurpose 애드온은 subscription-manager attach --auto 출력에 아무 영향을 미치지 않습니다.

Red Hat Enterprise Linux 8에서는 syspurpose 명령줄 툴의 4가지 속성(role,usage, service _level_agreement, addons )이 추가되었습니다. 현재는 role,usage 및 service_level_agreement 만 subscription-manager attach --auto 명령을 실행하는 출력에 영향을 미칩니다. addons 인수에 값을 설정하려는 사용자는 자동 연결된 서브스크립션에 어떤 영향을 미치지 않습니다.

(BZ#1687900)

5.7.3. 인프라 서비스

dnf 업데이트를실행할 때 libmaxminddb-devel-debuginfo.rpm 이 제거됨

dnf update 명령을 수행할 때 바이너리 mmdblookup 툴은 libmaxminddb-devel 하위 패키지에서 기본 libmaxmindb 패키지로 이동합니다. 결과적으로 libmaxminddb-devel-debuginfo.rpm 이 제거되어 이 패키지에 대해 손상된 업데이트 경로를 생성할 수 있습니다. 이 문제를 해결하려면 dnf update 명령을 실행하기 전에 libmaxminddb-devel-debuginfo 를 제거합니다.

참고: libmaxminddb-debuginfo 는 new debuginfo 패키지입니다.

(BZ#1642001)

5.7.4. 보안

사용자는 잠긴 사용자로 sudo 명령을 실행할 수 있습니다.

sudoers 권한이 ALL 키워드로 정의된 시스템에서 권한이 있는 sudo 사용자는 계정이 잠겨 있는 사용자로 sudo 명령을 실행할 수 있습니다. 따라서 잠김 및 만료된 계정은 명령을 실행하는 데 계속 사용할 수 있습니다.

이 문제를 해결하려면 /etc/shells 에서 유효한 쉘의 적절한 설정과 함께 새로 구현된 runas_check_shell 옵션을 활성화하십시오. 이렇게 하면 공격자가 시스템 계정(예: bin )에서 명령을 실행하지 못합니다.

(BZ#1786990)

Gnutls가 NSS 서버로 현재 세션을 다시 시작하지 못했습니다

TLS(Transport Layer Security) 1.3 세션을 다시 시작할 때 GnuTLS 클라이언트는 60밀리초 동안 서버에 세션 재개 데이터를 보낼 때까지 예상 왕복 시간을 기다립니다. 서버가 이 시간 내에 재사용 데이터를 전송하지 않으면 클라이언트는 현재 세션을 다시 시작하지 않고 새 세션을 만듭니다. 이로 인해 정기적인 세션 협상에 약간의 성능에 영향을 미치는 것을 제외하고는 심각한 부정적인 영향이 발생하지 않습니다.

(BZ#1677754)

libselinux-python 은 모듈을 통해서만 사용할 수 있습니다

libselinux-python 패키지에는 SELinux 애플리케이션 개발을 위한 Python 2 바인딩만 포함되어 있으며 이전 버전과의 호환성에 사용됩니다. 이러한 이유로 libselinux-python 은 dnf install libselinux-python 명령을 통해 기본 RHEL 8 리포지토리에서 더 이상 사용할 수 없습니다.

이 문제를 해결하려면 libselinux-python 및 python27 모듈을 둘 다 활성화하고 다음 명령을 사용하여 libselinux-python 패키지와 해당 종속성을 설치합니다.

# dnf module enable libselinux-python
# dnf install libselinux-python

또는 단일 명령으로 설치 프로파일을 사용하여 libselinux-python 을 설치합니다.

# dnf module install libselinux-python:2.8/common

결과적으로 해당 모듈을 사용하여 libselinux-python 을 설치할 수 있습니다.

(BZ#1666328)

udica 는 --env container=podman으로 시작되는 경우에만 UBI 8 컨테이너를처리합니다.

Red Hat Universal Base Image 8(UBI 8) 컨테이너는 컨테이너 환경 변수를 podman 값이 아닌 oci 값으로 설정합니다. 이렇게 하면 udica 툴에서 컨테이너 JSON(JavaScript Object Notation) 파일을 분석하지 못합니다.

이 문제를 해결하려면 --env container=podman 매개변수와 함께 podman 명령을 사용하여 UBI 8 컨테이너를 시작합니다. 결과적으로 udica 는 설명된 해결 방법을 사용하는 경우에만 UBI 8 컨테이너에 대한 SELinux 정책을 생성할 수 있습니다.

(BZ#1763210)

성능에 대한 기본 로깅 설정의 부정적인 영향

기본 로깅 환경 설정은 rsyslog 를 사용하여 systemd-journald를 실행할 때 4GB 메모리를 사용하거나 rate- limit 값을 조정하는 작업이 복잡할 수 있습니다.

자세한 내용은 성능 및 완화 기술 자료에 대한 RHEL 기본 로깅 설정의 부정적인 영향을 참조하십시오.

(JIRA:RHELPLAN-10431)

/etc/passwd- 의 파일 권한은 CIS RHEL 8 벤치마크 1.0.0과 일치하지 않습니다.

CIS 벤치마크의 문제로 인해 /etc/passwd- 백업 파일에 대한 권한을 보장하는 SCAP 규칙의 수정으로 인해 권한을 0644 로 구성합니다. 그러나 CIS Red Hat Enterprise Linux 8 벤치마크 1.0.0 에는 해당 파일에 대한 파일 권한 0600 이 필요합니다. 결과적으로 수정 후 /etc/passwd- 의 파일 권한이 벤치마크와 정렬되지 않습니다.

(BZ#1858866)

/etc/selinux/config 에서 SELINUX=disabled 가 제대로 작동하지 않음

/etc/selinux/config 에서 SELINUX=disabled 옵션을 사용하여 SELinux를 비활성화하면 커널이 SELinux가 활성화된 상태로 부팅되고 부팅 프로세스 후반부에서 비활성화 모드로 전환됩니다. 이로 인해 메모리 누수가 발생할 수 있습니다.

이 문제를 해결하려면 시나리오가 실제로 SELinux 제목을 완전히 비활성화해야 하는 경우 SELinux 제목 사용의 부팅 시 SELinux 모드 변경 섹션에 설명된 대로 커널 명령줄에 selinux=0 매개 변수를 추가하여 SELinux를 비활성화합니다.

(JIRA:RHELPLAN-34199)

ssh-keyscan 은 FIPS 모드에서 RSA 키를 검색할 수 없습니다

FIPS 모드에서 RSA 서명에 대해 SHA-1 알고리즘이 비활성화되어 ssh-keyscan 유틸리티가 해당 모드에서 작동하는 서버의 RSA 키를 검색하지 못하게 합니다.

이 문제를 해결하려면 대신 ECDSA 키를 사용하거나 서버의 /etc/ssh/ssh_host_rsa_key.pub 파일에서 키를 로컬로 검색합니다.

(BZ#1744108)

OpenSSL 에서 원시 RSA 또는 RSA-PSS 서명을 지원하지 않는 PKCS #11 토큰을 잘못 처리합니다.

OpenSSL 라이브러리는 PKCS #11 토큰의 키 관련 기능을 탐지하지 않습니다. 결과적으로 원시 RSA 또는 RSA-PSS 서명을 지원하지 않는 토큰으로 서명이 생성되면 TLS 연결 설정에 실패합니다.

이 문제를 해결하려면 /etc/pki/tls/openssl .cnf 파일의 crypto_policy 섹션 끝에.include 행 뒤에 다음 행을 추가하십시오.

SignatureAlgorithms = RSA+SHA256:RSA+SHA512:RSA+SHA384:ECDSA+SHA256:ECDSA+SHA512:ECDSA+SHA384
MaxProtocol = TLSv1.2

따라서 설명된 시나리오에서 TLS 연결을 설정할 수 있습니다.

(BZ#1685470)

FIPS 모드에서 OpenSSL은 특정 D-H 매개변수만 허용

FIPS 모드에서 OpenSSL을 사용하는 TLS(Transport Security Layer) 클라이언트는 잘못된 dh 값 오류를 반환하고 수동으로 생성된 매개 변수를 사용하는 서버에 대한 TLS 연결을 중단합니다. 이는 FIPS 140-2를 준수하도록 구성된 경우 OpenSSL이 NIST SP 800-56A rev3 부록 D(RFC 3526 및 RFC 7919)에 정의된 그룹과 RFC 7919)을 준수하는 D-H 매개변수에서만 작동하기 때문입니다. 또한 OpenSSL을 사용하는 서버는 다른 모든 매개 변수를 무시하고 대신 유사한 크기의 알려진 매개 변수를 선택합니다. 이 문제를 해결하려면 규정 준수 그룹만 사용하십시오.

(BZ#1810911)

rpm-plugin-selinux 패키지를 제거하면 시스템에서 모든 selinux-policy 패키지가 제거됩니다.

rpm-plugin-selinux 패키지를 제거하면 시스템에서 SELinux가 비활성화됩니다. 또한 시스템에서 모든 selinux-policy 패키지를 제거합니다. 그런 다음 rpm-plugin-selinux 패키지를 반복적으로 설치한 후 selinux-policy- targeted 정책이 시스템에 있는 경우에도 selinux-policy- minimum SELinux 정책을 설치합니다. 그러나 반복적으로 설치하면 정책 변경 사항을 고려하여 SELinux 구성 파일이 업데이트되지 않습니다. 결과적으로 rpm-plugin-selinux 패키지를 다시 설치해도 SELinux가 비활성화됩니다.

이 문제를 해결하려면 다음을 수행합니다.

umount /sys/fs/selinux/ 명령을 입력합니다.
누락된 selinux-policy-targeted 패키지를 수동으로 설치합니다.
정책이 SELINUX=enforcing 과 같도록 /etc/selinux/config 파일을 편집합니다.
load_policy -i 명령을 입력합니다.

결과적으로 SELinux가 활성화되어 이전과 동일한 정책을 실행합니다.

(BZ#1641631)

systemd 서비스는 임의의 경로에서 명령을 실행할 수 없습니다.

systemd 서비스는 SELinux 정책 패키지에 이러한 규칙을 포함하지 않기 때문에 /home/user/bin 임의 경로에서 명령을 실행할 수 없습니다. 결과적으로 비 시스템 경로에서 실행되는 사용자 지정 서비스가 실패하고 SELinux가 액세스를 거부하면 AVC(액세스 벡터 캐시) 거부 감사 메시지를 기록합니다. 이 문제를 해결하려면 다음 중 하나를 수행하십시오.

쉘 스크립트를 -c 옵션과 함께 사용하여 명령을 실행합니다. 예를 들면 다음과 같습니다.
```
bash -c command
```
/bin, /sbin, / usr/sbin, / usr/local/bin 및 / usr/local/ sbin 공통 디렉토리를 사용하여 공통 경로에서 명령을 실행합니다.

(BZ#1860443)

CIS 프로파일에서 rpm_verify_permissions 실패

rpm_verify_permissions 규칙은 파일 권한을 패키지 기본 권한과 비교합니다. 그러나 scap-security-guide 패키지에서 제공하는 CIS(Center for Internet Security) 프로필은 일부 파일 권한을 기본값보다 더 엄격하게 변경합니다. 그 결과 rpm_verify_permissions 를 사용한 특정 파일 확인에 실패했습니다.

이 문제를 해결하려면 이러한 파일에 다음 권한이 있는지 수동으로 확인합니다.

/etc/cron.d (0700)
/etc/cron.hourly (0700)
/etc/cron.monthly (0700)
/etc/crontab (0600)
/etc/cron.weekly (0700)
/etc/cron.daily (0700)

(BZ#1843913)

킥스타트에서는 RHEL 8에서 com _redhat_oscap 대신 org_fedora _oscap 을 사용합니다.

Kickstart는 OSCAP(Open Security Content Automation Protocol) Anaconda 애드온을 com_redhat _oscap 대신 org_fedora _oscap 으로 참조하여 혼동을 일으킬 수 있습니다. 이는 Red Hat Enterprise Linux 7과 이전 버전과의 호환성을 유지하기 위해 수행됩니다.

(BZ#1665082)

SSG의 특정 상호 의존 규칙 세트는 실패할 수 있습니다.

규칙 및 해당 종속 항목의 정의되지 않은 순서로 인해 벤치마크의 SCAP 보안 가이드 (SSG) 규칙 수정이 실패할 수 있습니다. 예를 들어, 한 규칙이 구성 요소를 설치하고 다른 규칙이 동일한 구성 요소를 구성하는 경우와 같이 두 개 이상의 규칙을 특정 순서로 실행해야 하는 경우 해당 규칙을 잘못된 순서로 실행하고 수정을 통해 오류를 보고할 수 있습니다. 이 문제를 해결하려면 수정을 두 번 실행하고 두 번째는 종속 규칙을 수정합니다.

(BZ#1750755)

OSCAP Anaconda 애드온은 모든 패키지를 텍스트 모드에 설치하지 않음

OSCAP Anaconda Addon 플러그인은 설치가 텍스트 모드에서 실행 중인 경우 시스템 설치 프로그램에서 설치에 대해 선택한 패키지 목록을 수정할 수 없습니다. 결과적으로 Kickstart를 사용하여 보안 정책 프로필을 지정하고 설치가 텍스트 모드로 실행되는 경우 보안 정책에 필요한 추가 패키지는 설치 중에 설치되지 않습니다.

이 문제를 해결하려면 그래픽 모드에서 설치를 실행하거나 Kickstart 파일의 %packages 섹션에 있는 보안 정책의 보안 정책에서 필요한 모든 패키지를 지정합니다.

결과적으로 보안 정책 프로필에 필요한 패키지는 설명된 해결 방법 중 하나가 없으면 RHEL 설치 중에 설치되지 않으며 설치된 시스템은 지정된 보안 정책 프로필을 준수하지 않습니다.

(BZ#1674001)

OSCAP Anaconda 애드온 이 사용자 지정 프로파일을 올바르게 처리하지 않음

OSCAP Anaconda 애드온 플러그인은 별도의 파일의 사용자 지정으로 보안 프로필을 올바르게 처리하지 않습니다. 따라서 해당 Kickstart 섹션에서 적절하게 지정하는 경우에도 RHEL 그래픽 설치에서 사용자 지정된 프로필을 사용할 수 없습니다.

이 문제를 해결하려면 원래 DS에서 단일 SCAP 데이터 스트림 생성 및 맞춤형 파일 지식 베이스 문서의 지침을 따르십시오. 이 해결방법은 RHEL 그래픽 설치에서 사용자 지정 SCAP 프로필을 사용할 수 있습니다.

(BZ#1691305)

OSPP 기반 프로필은 GUI 패키지 그룹과 호환되지 않습니다.

GUI 패키지 그룹과 함께 서버에서 설치한 GNOME 패키지에는 OSPP(Operating System Protection Profile)와 호환되지 않는 nfs-utils 패키지가 필요합니다. 결과적으로 OSPP 또는 OSPP 기반 프로필(예: STIG(Security Technical Implementation Guide))을 사용하여 시스템을 설치하는 동안 GUI 패키지 그룹이 포함된 서버를 선택하면 OpenSCAP에 선택한 패키지 그룹이 보안 정책과 호환되지 않는다는 경고가 표시됩니다. OSPP 기반 프로필이 설치 후 적용되는 경우 시스템을 부팅할 수 없습니다. 이 문제를 해결하려면 GUI 패키지 그룹이나 OSPP 프로파일과 OSPP 기반 프로필을 사용할 때 GUI를 설치하는 다른 그룹을 사용하여 서버를 설치하지 마십시오. 대신 Server 또는 Minimal Install 패키지 그룹을 사용하는 경우 시스템이 문제 없이 설치되고 올바르게 작동합니다.

(BZ#1787156)

GUI 또는 워크스테이션 소프트웨어 선택 및 CIS 보안 프로파일을 사용하여 서버를 설치할 수 없습니다.

CIS 보안 프로필은 GUI 및 워크스테이션 소프트웨어 선택과 호환되지 않습니다. 결과적으로 GUI 소프트웨어 선택 및 CIS 프로파일을 사용하여 서버를 사용하여 RHEL 8을 설치할 수 없습니다. CIS 프로필을 사용하여 시도한 설치와 이러한 소프트웨어 선택 중 하나가 오류 메시지를 생성합니다.

package xorg-x11-server-common has been added to the list of excluded packages, but it can't be removed from the current software selection without breaking the installation.

이 문제를 해결하려면 GUI 또는 워크스테이션 소프트웨어 선택이 포함된 서버와 함께 CIS 보안 프로필을 사용하지 마십시오.

(BZ#1843932)

킥스타트 설치 중에 서비스 관련 규칙을 수정하는 데 실패할 수 있습니다.

Kickstart를 설치하는 동안 OpenSCAP 유틸리티에서 서비스가 상태 수정을 활성화하거나 비활성화할 필요가 없음을 잘못 표시한 경우가 있습니다. 결과적으로 OpenSCAP은 설치된 시스템의 서비스를 준수하지 않는 상태로 설정할 수 있습니다. 이 문제를 해결하려면 kickstart 설치 후 시스템을 스캔하고 교정할 수 있습니다. 그러면 서비스 관련 문제가 해결됩니다.

(BZ#1834716)

특정 rsyslog 우선 순위 문자열이 올바르게 작동하지 않음

암호화를 세밀하게 제어할 수 있는 imtcp 에 대한 GnuTLS 우선순위 문자열 지원은 완료되지 않습니다. 결과적으로, rsyslog 에서 다음 우선 순위 문자열이 제대로 작동하지 않습니다 :

NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+DHE-RSA:+AES-256-GCM:+SIGN-RSA-SHA384:+COMP-ALL:+GROUP-ALL

이 문제를 해결하려면 우선 순위 문자열이 올바르게 작동하는 경우에만 사용하십시오.

NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+ECDHE-RSA:+AES-128-CBC:+SIGN-RSA-SHA1:+COMP-ALL:+GROUP-ALL

따라서 현재 구성을 올바르게 작동하는 문자열로 제한해야 합니다.

(BZ#1679512)

암호화 정책이 Camellia 암호를 잘못 허용

RHEL 8 시스템 전체 암호화 정책은 제품 문서에 명시된 대로 모든 정책 수준에서 Camellia 암호를 비활성화해야 합니다. 그러나 Kerberos 프로토콜에서는 기본적으로 암호를 활성화합니다.

이 문제를 해결하려면 NO-CAMELLIA 하위 정책을 적용합니다.

# update-crypto-policies --set DEFAULT:NO-CAMELLIA

이전 명령에서 DEFAULT 에서 이전에 전환한 경우 DEFAULT 를 암호화 수준 이름으로 바꿉니다.

결과적으로 Camellia 암호는 해결 방법을 통해 비활성화하는 경우에만 시스템 전체 암호화 정책을 사용하는 모든 애플리케이션에서 올바르게 허용하지 않습니다. (BZ#1919155)

5.7.5. 네트워킹

iptables 유틸리티는 이제 NLM_F_CREATE 플래그에 관계없이 체인을 업데이트하는 명령에 대한 모듈 로드를 요청합니다.

이전에는 체인의 정책을 설정할 때 iptables-nft 유틸리티에서 NEWCHAIN 메시지를 생성했지만 NLM_F_CREATE 플래그를 설정하지 않았습니다. 결과적으로 연결된 커널 모듈을 수동으로 로드하지 않은 경우 RHEL 8 커널이 모듈을 로드하지 않았으며 결과 update chain 명령이 실패했습니다. 이번 업데이트를 통해 iptables-nft 유틸리티에서 체인을 업데이트하는 모든 명령에 대한 모듈 로드를 요청하고 사용자가 관련 모듈을 수동으로 로드하지 않고 iptables-nft 유틸리티를 사용하여 체인의 정책을 설정할 수 있습니다.

(BZ#1812666)

RHEL 7과 RHEL 8 사이에서 커널의 패킷/바이트 카운터 업데이트 지원이 잘못 변경되었습니다.

ipset 항목 일치에 대한 추가 제약 조건을 지정하는 iptables 규칙에서 활성화된 카운터를 사용하여 ipset 명령을 참조할 때 ipset 카운터는 모든 추가 제약 조건이 일치하는 경우에만 업데이트됩니다. 이는 또한 --packets-gt 또는 --bytes-gt 제약 조건에 문제가 있습니다.

결과적으로 RHEL 7에서 RHEL 8로 iptables 규칙 세트를 마이그레이션할 때 ipset 조회와 관련된 규칙을 중지하고 조정해야 할 수 있습니다. 이 문제를 해결하려면 --packets-gt 또는 --bytes- gt 옵션을 사용하지 말고 --packets-lt 또는 -- bytes-lt 옵션으로 교체하십시오.

(BZ#1806882)

XDP 프로그램 언로드가 nfp 드라이버를 사용하는 Netronome 네트워크 카드에서 실패합니다.

Netronome 네트워크 카드의 nfp 드라이버에는 버그가 포함되어 있습니다. 따라서 해당 카드를 사용하고 XDP_ FLAGS_REPLACE 플래그와 함께 IFLA_XDP_EXPECTED_FD 기능을 사용하여 XDP 프로그램을 로드하면 eXpress Data Path(X DP ) 프로그램을 언로드할 수 없습니다. 예를 들어 이 버그는 libxdp 라이브러리를 사용하여 로드되는 XDP 프로그램에 영향을 미칩니다. 현재 이 문제에 대한 해결방법이 없습니다.

(BZ#1880268)

ip boot 옵션에서 DHCP를 사용할 때 Anaconda에 네트워크 액세스 권한이 없습니다

초기 RAM 디스크(initrd)는 NetworkManager를 사용하여 네트워킹을 관리합니다. RHEL 8.3 ISO 파일에서 제공하는 dracut NetworkManager 모듈은 Anaconda 부팅 옵션의 첫 번째 필드가 항상 설정되었다고 잘못 가정합니다. 결과적으로 DHCP를 사용하고 ip=::<host_name>::dhcp 를 설정하면 NetworkManager가 IP 주소를 검색하지 않고 Anaconda에서 네트워크를 사용할 수 없습니다.

문제를 해결할 수 있는 다음 옵션이 있습니다.

ip'option의 첫 번째 필드를 '. (period)로 설정합니다.
```
ip=.::::<host_name>::dhcp
```
문제가 해결되면 이 해결 방법은 향후 RHEL 버전에서는 해결되지 않습니다.
버그 수정이 포함된 BaseOS 리포지토리의 최신 패키지를 사용하여 boot.iso 파일을 다시 생성합니다.

# lorax '--product=Red Hat Enterprise Linux' --version=8.3 --release=8.3 \
    --source=<URL_to_BaseOS_repository> \
    --source=<URL_to_AppStream_repository> \
    --nomacboot --buildarch=x86_64 '--volid=RHEL 8.3' <output_directory>

. Red Hat은 자체 생성된 ISO 파일을 지원하지 않습니다.

결과적으로 RHEL은 DHCP 서버에서 IP 주소를 검색하고 Anaconda에서 네트워크 액세스를 사용할 수 있습니다.

(BZ#1902791)

5.7.6. 커널

tboot-1.9.12-2 유틸리티로 인해 RHEL 8에서 부팅에 실패합니다.

버전 1.9.12-2의 tboot 유틸리티로 인해 TPM (Trusted Platform Module) 2.0이 있는 일부 시스템이 기존 모드에서 부팅되지 않습니다. 그 결과 시스템은 tboot Grand Unified Bootloader (GRUB) 항목에서 부팅하려고 하면 시스템이 중단됩니다. 이 문제를 해결하려면 버전 1.9.10의 tboot 로 다운그레이드하십시오.

(BZ#1947839)

커널이 IBM Z 시스템에서 오탐 경고 반환

RHEL 8에서는 사용자가 액세스할 수 있도록 IBM Z 시스템에 ZONE_DMA 메모리 영역에 대한 화이트리스트 항목이 누락되었습니다. 결과적으로 커널은 다음과 같은 오탐(false positive) 경고를 반환합니다.

...
Bad or missing usercopy whitelist? Kernel memory exposure attempt detected from SLUB object 'dma-kmalloc-192' (offset 0, size 144)!
WARNING: CPU: 0 PID: 8519 at mm/usercopy.c:83 usercopy_warn+0xac/0xd8
...

sysfs 인터페이스를 통해 특정 시스템 정보에 액세스할 때 경고가 표시됩니다. 예를 들어, debuginfo.sh 스크립트를 실행합니다.

이 문제를 해결하려면 hardened_usercopy=off 매개 변수를 커널 명령줄에 추가합니다.

따라서 설명된 시나리오에는 경고 메시지가 표시되지 않습니다.

(BZ#1660290)

대기 중인 The rngd 서비스가 FIPS 모드에서 총 CPU 사용량을 발생

버전 4.18.0-193.10부터 커널에 FIPS 모드용 새 커널 엔트로피 소스가 추가되었습니다. 결과적으로 FIPS 모드에서 the rngd 서비스는 /dev/random 장치에 대한 poll() 시스템 호출에서 대기하므로 CPU 시간의 100%가 소비됩니다. 이 문제를 해결하려면 다음을 실행하여 중지 및 비활성화하십시오.

# systemctl stop rngd
# systemctl disable rngd

따라서 Rng d는 설명된 시나리오에서 poll() 에 대한 대기를 더 이상 사용하지 않습니다.

(BZ#1884857)

softirq 변경으로 인해 로드가 많은 경우 localhost 인터페이스에서 UDP 패킷이 삭제될 수 있습니다.

서비스 거부(DOS) 영향을 줄이기 위해 Linux 커널 소프트웨어 인터럽트(softirq) 처리의 변경이 수행됩니다. 결과적으로 localhost 인터페이스가 많은 로드에서 UDP(User Datagram Protocol) 패킷을 삭제하는 상황이 발생합니다.

이 문제를 해결하려면 네트워크 장치 백로그 버퍼의 크기를 6000 값으로 늘립니다.

echo 6000 > /proc/sys/net/core/netdev_max_backlog

Red Hat 테스트에서 이 값은 패킷 손실을 방지하기에 충분했습니다. 더 많이 로드되는 시스템에는 더 큰 백로그 값이 필요할 수 있습니다. 향상된 백로그는 localhost 인터페이스에서 잠재적으로 대기 시간을 증가시키는 영향을 미칩니다.

결과적으로 버퍼를 늘리고 더 많은 패킷이 처리 대기하도록 허용하므로 localhost 패킷이 삭제될 가능성이 줄어듭니다.

(BZ#1779337)

메모리 핫플러그 또는 언플러그 작업 후 vmcore 캡처가 실패합니다.

메모리 핫플러그 또는 핫 플러그 해제 작업을 수행한 후에는 메모리 레이아웃 정보가 포함된 장치 트리를 업데이트한 후 이벤트가 제공됩니다. 따라서 makedumpfile 유틸리티는 존재하지 않는 실제 주소에 액세스를 시도합니다. 다음 모든 조건이 충족되면 문제가 표시됩니다.

RHEL 8을 실행하는 IBM Power System의 little-endian 변형.
kdump 또는 fadump 서비스가 시스템에서 활성화됩니다.

결과적으로 메모리 핫플러그 또는 핫 플러그 작업 후에 커널 충돌이 트리거되면 캡처 커널이 vmcore 를 저장하지 못합니다.

이 문제를 해결하려면 핫 플러그 또는 핫 플러그 후 kdump 서비스를 다시 시작하십시오.

# systemctl restart kdump.service

결과적으로 설명된 시나리오에 vmcore 가 성공적으로 저장됩니다.

(BZ#1793389)

irqpoll 을 사용하면 vmcore 생성에 실패합니다.

AWS(Amazon Web Services) 클라우드 플랫폼에서 실행되는 64비트 ARM 아키텍처의 nvme 드라이버에 대한 기존 문제로 인해 첫 번째 커널에 irqpoll 커널 명령줄 매개변수를 제공할 때 vmcore 생성이 실패합니다. 결과적으로 커널 충돌 후 /var/crash/ 디렉토리에 vmcore 파일이 덤프되지 않습니다. 이 문제를 해결하려면 다음을 수행합니다.

/etc/sysconfig/kdump 파일의 KDUMP_COMMANDLINE_REMOVE 키에 irqpoll 을 추가합니다.
systemctl restart kdump 명령을 실행하여 kdump 서비스를 다시 시작합니다.

결과적으로 첫 번째 커널이 올바르게 부팅되고 vmcore 파일이 커널 충돌 시 캡처될 것으로 예상됩니다.

kdump 서비스는 상당한 양의 크래시 커널 메모리를 사용하여 vmcore 파일을 덤프할 수 있습니다. 캡처 커널에 kdump 서비스에 사용할 수 있는 메모리가 충분한지 확인합니다.

(BZ#1654962)

RHEL 8의 크래시 캡처 환경에서 커널을 부팅하지 못했습니다.

디버그 커널의 메모리 수요 특성으로 인해 디버그 커널이 사용 중이고 커널 패닉이 트리거되면 문제가 발생합니다. 결과적으로 디버그 커널은 캡처 커널로 부팅할 수 없으며 대신 스택 추적이 생성됩니다. 이 문제를 해결하려면 크래시 커널 메모리를 적절하게 늘립니다. 결과적으로 디버그 커널이 크래시 캡처 환경에서 성공적으로 부팅됩니다.

(BZ#1659609)

zlib 일부 압축 함수에서 vmcore 캡처 속도가 느려질 수 있습니다.

kdump 구성 파일은 기본적으로 lzo 압축 형식(makedumpfile -l)을 사용합니다. zlib 압축 형식(makedumpfile -c)을 사용하여 구성 파일을 수정할 때 vmcore 캡처 프로세스의 속도를 저하시키는 대신 압축 요인이 향상될 수 있습니다. 그 결과 lzo 에 비해 kdump 가 zlib 를 사용하여 vmcore 를 캡처하는 데 최대 4배 더 걸립니다.

따라서 속도가 주요 추진 요인인 경우에는 기본 lzo 를 사용하는 것이 좋습니다. 그러나 대상 시스템이 사용 가능한 공간이 부족한 경우 zlib 가 더 나은 옵션입니다.

(BZ#1790635)

HP NMI 워치독이 항상 크래시 덤프를 생성하지는 않음

경우에 따라 HP NMI 워치독의 hpwdt 드라이버는 perfmon 드라이버에서 NMI(maskable interrupt)를 사용했기 때문에 HPE 워치독 타이머에서 생성한 NMI(NMI)를 요청할 수 없습니다.

누락된 NMI는 다음 두 가지 조건 중 하나로 시작됩니다.

iLO(Integrated Lights-Out) 서버 관리 소프트웨어에서 Generate NMI 버튼. 이 버튼은 사용자가 트리거합니다.
hpwdt watchdog. 만료는 기본적으로 서버로 NMI를 보냅니다.

두 시퀀스 모두 시스템이 응답하지 않는 경우 일반적으로 발생합니다. 정상적인 상황에서 이러한 두 상황에 대한 NMI 핸들러는 커널 panic() 함수를 호출하고 구성된 경우 kdump 서비스에서 vmcore 파일을 생성합니다.

그러나 누락된 NMI로 인해 kernel panic() 은 호출되지 않으며 vmcore 는 수집되지 않습니다.

첫 번째 사례(1.)에서 시스템이 응답하지 않은 경우 그대로 유지됩니다. 이 시나리오를 수행하려면 virtual Power(가상 전원 ) 버튼을 사용하여 서버를 재설정하거나 전원을 켭니다.

두 번째 경우(2.) 누락된 NMI는 AAS(Automated System Recovery)에서 9초 후에 재설정됩니다.

HPE Gen9 Server 라인은 이 문제를 한 자리 숫자 비율로 경험합니다. Gen10은 훨씬 더 작은 빈도입니다.

(BZ#1602962)

tuned-adm profile powersave 명령을 사용하면 시스템이 응답하지 않습니다.

tuned-adm profile powersave 명령을 실행하면 이전 Thunderx(CN88x) 프로세서가 있는 Penguin Valkymaster 2000 2소켓 시스템이 응답하지 않는 상태가 됩니다. 그 결과 시스템을 재부팅하여 작동을 재개합니다. 이 문제를 해결하려면 시스템에서 언급된 사양과 일치하는 경우 powersave 프로필을 사용하지 마십시오.

(BZ#1609288)

기본값 7 4 1 7 printk 값으로 인해 임시 시스템이 응답하지 않는 경우가 있습니다.

기본값 7 4 1 7 printk 값을 사용하면 커널 활동을 더 효과적으로 디버깅할 수 있습니다. 그러나 직렬 콘솔과 결합되는 경우 이 출력으로 인해 I/O 버스트가 발생하여 RHEL 시스템이 일시적으로 응답하지 않을 수 있습니다. 이 문제를 해결하기 위해 새로운 optimize-serial-console TuneD 프로파일을 추가하여 기본 인쇄 장치 값을 4 4 1 7 로 줄였습니다. 사용자는 다음과 같이 시스템을 계측할 수 있습니다.

# tuned-adm profile throughput-performance optimize-serial-console

재부팅 시 인쇄자 값을 영구적으로 유지하면 시스템이 중단될 가능성이 줄어듭니다.

이 설정은 추가 디버깅 정보를 손실하는 대신 발생합니다.

새로 추가된 기능에 대한 자세한 내용은 printk 값을 줄여서 I/O를 직렬 콘솔로 줄이는 새로운 optimize-serial-console TuneD 프로파일 을 참조하십시오.

(JIRA:RHELPLAN-28940)

커널 ACPI 드라이버는 PCIe ECAM 메모리 리전에 액세스할 수 없음을 보고합니다.

펌웨어에서 제공하는 ACPI(Advanced Configuration and Power Interface) 표는 PCI 버스 장치의 현재 리소스 설정(_CRS) 방법의 PCI 버스에서 메모리 영역을 정의하지 않습니다. 결과적으로 시스템 부팅 중에 다음 경고 메시지가 발생합니다.

[    2.817152] acpi PNP0A08:00: [Firmware Bug]: ECAM area [mem 0x30000000-0x31ffffff] not reserved in ACPI namespace
[    2.827911] acpi PNP0A08:00: ECAM at [mem 0x30000000-0x31ffffff] for [bus 00-1f]

그러나 커널이 0x30000000-0x31ffff 메모리 영역에 계속 액세스할 수 있으며 해당 메모리 지역을 PCI ECAM(Enhanced Configuration Access Mechanism)에 올바르게 할당할 수 있습니다. 다음 출력으로 256바이트 오프셋을 통해 PCIe 구성 공간에 액세스하여 PCI ECAM이 올바르게 작동하는지 확인할 수 있습니다.

03:00.0 Non-Volatile memory controller: Sandisk Corp WD Black 2018/PC SN720 NVMe SSD (prog-if 02 [NVM Express])
 ...
        Capabilities: [900 v1] L1 PM Substates
                L1SubCap: PCI-PM_L1.2- PCI-PM_L1.1- ASPM_L1.2+ ASPM_L1.1- L1_PM_Substates+
                          PortCommonModeRestoreTime=255us PortTPowerOnTime=10us
                L1SubCtl1: PCI-PM_L1.2- PCI-PM_L1.1- ASPM_L1.2- ASPM_L1.1-
                           T_CommonMode=0us LTR1.2_Threshold=0ns
                L1SubCtl2: T_PwrOn=10us

결과적으로 경고 메시지를 무시할 수 있습니다.

문제에 대한 자세한 내용은 "Firmware Bug를 참조하십시오. ECAM 영역 mem 0x30000000-0x31ffffffffffff ff in ACPI namespace"는 시스템 부팅 솔루션 중에 표시됩니다.

(BZ#1868526)

OPEN MPI 라이브러리는 기본 PML을 사용하여 런타임 오류를 트리거할 수 있습니다.

OPEN MPI(Open Message Passing Interface) 구현 4.0.x 시리즈에서 UKX(Unified Communication X)는 기본 PML(Point-to-Point Communicator)입니다. 최신 버전의 OPEN MPI 4.0.x 시리즈의 경우 openib Byte Transfer Layer(BTL)가 더 이상 사용되지 않습니다.

그러나 동일 하드웨어 및 소프트웨어 구성 ( 동일한 하드웨어 및 소프트웨어 구성)을 통해 실행되는 경우, UCX는 여전히 MPI 단면 작업에 openib BTL을 사용합니다. 결과적으로 실행 오류가 발생할 수 있습니다. 이 문제를 해결하려면 다음을 수행합니다.

다음 매개변수를 사용하여 mpirun 명령을 실행합니다.

-mca btl openib -mca pml ucx -x UCX_NET_DEVICES=mlx5_ib0

다음과 같습니다.

m ca btl openib 매개 변수는 openib BTL을 비활성화합니다.
m ca pml ucx 매개 변수는 OPEN MPI를 구성하여 PM L을 사용합니다.
x UCX_NET_DEVICES= 매개변수는 지정된 장치를 사용하도록 UCX를 제한합니다.

OPEN MPI는 이기종 클러스터(다양한 하드웨어 및 소프트웨어 구성)를 통해 실행할 때 UCX를 기본 PML으로 사용합니다. 결과적으로 OPEN MPI 작업이 잘못된 성능, 응답 없는 동작 또는 크래시 오류로 실행될 수 있습니다. 이 문제를 해결하려면 UCX 우선 순위를 다음과 같이 설정합니다.

다음 매개변수를 사용하여 mpirun 명령을 실행합니다.

-mca pml_ucx_priority 5

결과적으로 OPEN MPI 라이브러리는 UCX를 통해 사용 가능한 대체 전송 계층을 선택할 수 있습니다.

(BZ#1866402)

5.7.7. 파일 시스템 및 스토리지

/boot 파일 시스템을 LVM에 배치할 수 없습니다.

LVM 논리 볼륨에 /boot 파일 시스템을 배치할 수 없습니다. 이 제한은 다음과 같은 이유로 존재합니다.

EFI 시스템에서 EFI 시스템 파티션 은 일반적으로 /boot 파일 시스템 역할을 합니다. uEFI 표준에는 이 파티션에 대한 특정 GPT 파티션 유형과 특정 파일 시스템 유형이 필요합니다.
RHEL 8에서는 시스템 부팅 항목에 부트 로더 사양 (BLS)을 사용합니다. 이 사양을 사용하려면 플랫폼 펌웨어에서 /boot 파일 시스템을 읽을 수 있어야 합니다. EFI 시스템에서 플랫폼 펌웨어는 uEFI 표준에 정의된 /boot 구성만 읽을 수 있습니다.
GRUB 2 부트 로더의 LVM 논리 볼륨에 대한 지원은 불완전합니다. 이 기능의 사용 사례 수가 uEFI 및 BLS와 같은 표준으로 인해 감소하기 때문에 Red Hat은 지원을 개선하지 않을 계획입니다.

Red Hat은 LVM에서 /boot 를 지원할 계획도 없습니다. 대신 Red Hat은 /boot 파일 시스템을 LVM 논리 볼륨에 배치할 필요가 없는 시스템 스냅샷 및 롤백을 관리하는 툴을 제공합니다.

(BZ#1496229)

LVM에서 더 이상 혼합 블록 크기가 있는 볼륨 그룹을 생성할 수 없습니다.

vgcreate 또는 vgextend 와 같은 LVM 유틸리티는 더 이상 물리 볼륨(PV)에 논리 블록 크기가 다른 VG(볼륨 그룹)를 만들 수 없습니다. LVM은 다른 블록 크기의 PV로 기본 논리 볼륨(LV)을 확장하는 경우 파일 시스템이 마운트되지 않으므로 이러한 변경을 채택했습니다.

혼합 블록 크기를 사용하여 VG 생성을 다시 활성화하려면 lvm.conf 파일에 allow_ embeded_block_sizes=1 옵션을 설정합니다.

(BZ#1768536)

LVM writecache의 제한 사항

writecache LVM 캐싱 방법에는 캐시 방법에 없는 다음과 같은 제한 사항이 있습니다.

pvmove 명령을 사용할 때는 writecache 논리 볼륨의 이름을 지정할 수 없습니다.
씬 풀 또는 VDO와 함께 writecache 가 있는 논리 볼륨을 사용할 수 없습니다.

다음 제한 사항은 캐시 메서드에도 적용됩니다.

캐시 또는 writecache 가 연결된 동안 논리 볼륨의 크기를 조정할 수 없습니다.

(JIRA:RHELPLAN-27987, BZ#1798631, BZ#1808012)

LUKS 볼륨을 저장하는 LVM 미러 장치가 응답하지 않는 경우가 있음

LUKS 볼륨을 저장하는 세그먼트 유형의 미러 가 있는 LVM 장치는 특정 조건에서 응답하지 않을 수 있습니다. 응답하지 않는 장치는 모든 I/O 작업을 거부합니다.

이 문제를 해결하려면 복원력 있는 소프트웨어 정의 스토리지 위에 LUKS 볼륨을 스택해야 하는 경우 미러 대신 RAID 1 장치를 미러 유형인 raid1 과 함께 사용하는 것이 좋습니다.

raid1 세그먼트 유형은 기본 RAID 구성 유형이며 권장 솔루션으로 미러 를 바꿉니다.

미러 장치를 raid1 로 변환하려면 미러링된 LVM 장치를 RAID1 장치로 변환을 참조하십시오.

(BZ#1730502)

NFS 4.0 패치를 통해 개방형 워크로드에서 성능이 저하될 수 있습니다.

이전 버전에서는 경우에 따라 NFS open 작업이 서버에서 파일이 제거되거나 이름이 변경된 사실을 간과할 수 있는 버그가 수정되었습니다. 그러나 많은 오픈 작업이 필요한 워크로드에서 수정으로 인해 성능이 저하될 수 있습니다. 이 문제를 해결하기 위해 NFS 버전 4.1 이상을 사용하는 데 도움이 될 수 있습니다. 이 경우 더 많은 경우 클라이언트에 위임을 부여하여 클라이언트가 로컬에서 빠르고 안전하게 오픈 작업을 수행할 수 있습니다.

(BZ#1748451)

5.7.8. 동적 프로그래밍 언어, 웹 서버 및 데이터베이스 서버

getpwnam() 은 32비트 애플리케이션에 의해 호출될 때 실패할 수 있습니다.

NIS 사용자가 getpwnam() 함수를 호출하는 32비트 애플리케이션을 사용하는 경우 nss_nis.i686 패키지가 누락된 경우 호출이 실패합니다. 이 문제를 해결하려면 yum install nss_nis.i686 명령을 사용하여 누락된 패키지를 수동으로 설치합니다.

(BZ#1803161)

OpenLDAP 라이브러리 간의 기호 충돌로 인해 httpd에서 충돌이 발생할 수 있습니다.

OpenLDAP에서 제공하는 libldap 및 libldap_r 라이브러리가 모두 로드되고 단일 프로세스 내에서 사용되는 경우 이러한 라이브러리 간의 기호 충돌이 발생할 수 있습니다. 결과적으로 httpd 구성을 통해 mod_security 또는 mod_auth_ openidc 모듈도 로드하는 경우 PHP ldap 확장을 사용하는 Apache httpd 하위 프로세스가 예기치 않게 종료될 수 있습니다.

APR(Apache Portable Runtime) 라이브러리에 대한 이번 업데이트를 통해 httpd 모듈을 로드할 때 RTLD _DEEPBIND 동적 링커 옵션을 사용할 수 있는 APR _DEEPBIND 환경 변수를 설정하여 문제를 해결할 수 있습니다. APR_DEEPBIND 환경 변수가 활성화되면 라이브러리를 로드하는 httpd 구성에서 충돌이 발생하지 않습니다.

(BZ#1819607)

PAM 플러그인이 MariaDB에서 작동하지 않음

MariaDB 10.3 은 PAM(Pluggable Authentication Modules) 플러그인 버전 1.0을 제공합니다. MariaDB PAM 플러그인 버전 1.0은 RHEL 8에서 작동하지 않습니다. 이 문제를 해결하려면 RHEL 8.4에서 사용할 수 있는 mariadb:10.5 모듈 스트림에서 제공하는 PAM 플러그인 버전 2.0을 사용합니다.

(BZ#1942330)

5.7.9. IdM (Identity Management)

모든 KRA 멤버가 숨겨진 복제본인 경우 KRA 설치에 실패합니다.

첫 번째 KRA 인스턴스가 숨겨진 복제본에 설치된 경우 ipa-kra-install 유틸리티는 KRA(키 복구 기관)가 이미 있는 클러스터에서 실패합니다. 결과적으로 클러스터에 KRA 인스턴스를 추가할 수 없습니다.

이 문제를 해결하려면 새 KRA 인스턴스를 추가하기 전에 KRA 역할이 있는 숨겨진 복제본을 숨기지 않습니다. ipa-kra-install 이 성공적으로 완료되면 다시 숨길 수 있습니다.

(BZ#1816784)

cert-fix 유틸리티를 --agent-uid pkidbuser 옵션과 함께 사용하면 인증서 시스템이 중단됩니다.

cert-fix 유틸리티를 --agent-uid pkidbuser 옵션과 함께 사용하면 인증서 시스템의 LDAP 구성이 손상됩니다. 결과적으로 인증서 시스템이 불안정해질 수 있으며 시스템을 복구하려면 수동 단계가 필요합니다.

(BZ#1729215)

PKI CA에 연결된 PKI ACME 응답자가 발행한 인증서는 OCSP 검증에 실패할 수 있습니다.

PKI CA에서 제공하는 기본 ACME 인증서 프로필에는 실제 OCSP 서비스를 가리키지 않는 샘플 OCSP URL이 포함되어 있습니다. 결과적으로 PKI ACME 응답자가 PKI CA 발행자를 사용하도록 구성된 경우 응답자가 발급한 인증서가 OCSP 검증에 실패할 수 있습니다.

이 문제를 해결하려면 policyset.serverCertSet.5.default.params.authInfoAccessADLocation_0 속성을 /usr/share/pki/ca/profiles/ca/acmeServerCert.cfg 구성 파일의 빈 값으로 설정해야 합니다.

ACME 응답자 구성 파일에서 policyset.serverCertSet.5.default.params.authInfoAccessADLocation_0=http://ocsp.example.com 행을 policyset.serverCertSet.5.default.params.authInfoAccessADLocation_0= 로 변경합니다.
서비스를 다시 시작하고 인증서를 다시 생성합니다.

결과적으로 PKI CA는 자동으로 생성된 OCSP URL을 사용하여 실제 OCSP 서비스를 가리키는 ACME 인증서를 생성합니다.

(BZ#1868233)

freeradswitch는 249자보다 긴 터널 암호를 자동으로 잘립니다.

터널 비밀번호가 249자를 초과하면 FreeRADIUS 서비스가 자동으로 잘립니다. 이로 인해 다른 시스템과 예기치 않은 암호 비호환성이 발생할 수 있습니다.

문제를 해결하려면 249자 이하의 암호를 선택하십시오.

(BZ#1723362)

IdM 호스트의 /var/log/lastlog 스파스 파일에서 성능 문제가 발생할 수 있습니다.

IdM 설치 중에 총 10,000개의 가능한 범위의 UID 범위가 임의로 선택되어 할당됩니다. 이와 같이 임의의 범위를 선택하면 향후 두 개의 별도의 IdM 도메인을 병합하기로 결정한 경우 ID 충돌 가능성이 크게 줄어듭니다.

그러나 UID가 높으면 /var/log/lastlog 파일에 문제가 발생할 수 있습니다. 예를 들어 UID가 1280000008인 사용자가 IdM 클라이언트에 로그인하면 로컬 /var/log/lastlog 파일 크기가 거의 400GB로 증가합니다. 실제 파일은 스파스이고 모든 공간을 사용하지 않지만, 특정 애플리케이션은 기본적으로 스파스 파일을 식별하도록 설계되지 않으며 이를 처리하기 위해 특정 옵션이 필요할 수 있습니다. 예를 들어 설정이 복잡하고 백업이 있고 copy 애플리케이션이 스파스 파일을 올바르게 처리하지 않으면 파일이 크기가 400GB인 것처럼 복사됩니다. 이 동작으로 인해 성능 문제가 발생할 수 있습니다.

이 문제를 해결하려면 다음을 수행합니다.

표준 패키지의 경우 해당 문서를 참조하여 스파스 파일을 처리하는 옵션을 식별합니다.
사용자 지정 애플리케이션의 경우 /var/log/lastlog 와 같은 스파스 파일을 올바르게 관리할 수 있는지 확인합니다.

(JIRA:RHELPLAN-59111)

ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 수 있는 위험

TLS없이 ldap:// 를 ID 조회에 사용하는 경우 공격 벡터가 발생할 위험이 있습니다. 특히 MITM(Man-in-the-middle) 공격으로 공격자는 LDAP 검색에 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.

현재 TLS를 적용하는 SSSD 구성 옵션인 ldap_id_use_start_tls 는 기본값은 false 입니다. 설정이 신뢰할 수 있는 환경에서 작동하고 id_provider = ldap 에 대해 암호화되지 않은 통신을 안전하게 사용할 수 있는지 결정합니다. 참고 id_provider = ad 및 id_provider = ipa 는 SASL 및 GSSAPI로 보호되는 암호화된 연결을 사용하므로 영향을 받지 않습니다.

암호화되지 않은 통신을 사용하는 것이 안전하지 않은 경우 /etc/sssd/sssd.conf 파일에서 ldap_id_use_start_tls 옵션을 true 로 설정하여 TLS를 적용합니다. 기본 동작은 RHEL의 향후 릴리스에서 변경될 예정입니다.

(JIRA:RHELPLAN-155168)

5.7.10. 데스크탑

소프트웨어 리포지토리에서 flatpak 리포지토리를 비활성화할 수 없습니다.

현재 GNOME 소프트웨어 유틸리티의 Software Repositories(소프트웨어 리포지토리) 도구에서 flatpak 리포지토리를 비활성화하거나 제거할 수 없습니다.

(BZ#1668760)

드래그 앤 드롭이 데스크탑과 응용 프로그램 간에 작동하지 않음

gnome-shell-extensions 패키지의 버그로 인해 현재 드래그 앤 드롭 기능이 데스크탑과 애플리케이션 간에 작동하지 않습니다. 이 기능에 대한 지원은 향후 릴리스에서 다시 추가될 예정입니다.

(BZ#1717947)

Generation 2 RHEL 8 가상 머신이 Hyper-V Server 2016 호스트에서 부팅되지 않는 경우가 있습니다.

Microsoft Hyper-V Server 2016 호스트에서 실행되는 VM(가상 머신)에서 RHEL 8을 게스트 운영 체제로 사용하는 경우, 경우에 따라 VM이 부팅되지 않고 GRUB 부팅 메뉴로 돌아갑니다. 또한 Hyper-V 이벤트 로그에 다음 오류가 기록됩니다.

The guest operating system reported that it failed with the following error code: 0x1E

이 오류는 Hyper-V 호스트의 UEFI 펌웨어 버그로 인해 발생합니다. 이 문제를 해결하려면 Hyper-V Server 2019를 호스트로 사용합니다.

(BZ#1583445)

5.7.11. 그래픽 인프라

Radeon이 하드웨어를 올바르게 재설정하지 못했습니다

현재 radeon 커널 드라이버는 kexec 컨텍스트에서 하드웨어를 올바르게 재설정하지 않습니다. 대신, radeon 이 종료되어 나머지 kdump 서비스가 실패합니다.

이 문제를 해결하려면 /etc/kdump.conf 파일에 다음 행을 추가하여 kdump 에서 radeon 을 비활성화합니다.

dracut_args --omit-drivers "radeon"
force_rebuild 1

시스템과 kdump 를 다시 시작합니다. kdump 를 시작한 후 force_rebuild 1 행이 구성 파일에서 제거될 수 있습니다.

이 시나리오에서는 kdump 중에 그래픽을 사용할 수 없지만 kdump 가 성공적으로 작동합니다.

(BZ#1694705)

단일 MST 토폴로지의 여러 디스플레이의 전원이 켜지지 않을 수 있습니다.

no 독립형 드라이버 와 함께 NVIDIA rpming GPU를 사용하는 시스템에서는 DisplayPort 허브(예: 랩탑 소켓)를 여러 모니터와 함께 사용하여 여기에 연결되면 켜지지 않을 수 있습니다. 이는 시스템이 모든 디스플레이를 지원하는 허브에 대역폭이 충분하지 않다고 잘못 생각하기 때문입니다.

(BZ#1812577)

sudo 명령을 사용하여 그래픽 애플리케이션을 실행할 수 없습니다

상승된 권한이 있는 사용자로 그래픽 애플리케이션을 실행하려고 하면 애플리케이션이 오류 메시지와 함께 열 수 없습니다. 인증에 일반 사용자 자격 증명을 사용하도록 X authority 파일에 의해 X wayland 가 제한되므로 오류가 발생합니다.

이 문제를 해결하려면 sudo -E 명령을 사용하여 그래픽 애플리케이션을 루트 사용자로 실행합니다.

(BZ#1673073)

VNC 뷰어는 IBM Z에서 16비트 색상 깊이로 잘못된 색상 표시

16비트 색상 깊이의 IBM Z 서버의 VNC 세션에 연결할 때 VNC 뷰어 애플리케이션은 잘못된 색상으로 표시합니다.

이 문제를 해결하려면 VNC 서버에서 24비트 색상 깊이를 설정합니다. Xvnc 서버와 함께 -depth 16 옵션을 Xvnc 구성에서 -depth 24 로 바꿉니다.

결과적으로 VNC 클라이언트는 올바른 컬러를 표시하지만 서버와 함께 더 많은 네트워크 대역폭을 사용합니다.

(BZ#1886147)

ARM에서는 하드웨어 가속 기능이 지원되지 않습니다.

내장 그래픽 드라이버는 64비트 ARM 아키텍처에서 하드웨어 가속 또는 Vul¢ API를 지원하지 않습니다.

하드웨어 가속 또는 ARM을 사용하려면 독점형 Nvidia 드라이버를 설치합니다.

(JIRA:RHELPLAN-57914)

NVIDIA Ampere로 RHEL 설치 프로그램이 응답하지 않음

RHEL 8.3.0은 NVIDIA Ampere GPU를 지원하지 않습니다. NVIDIA Ampere GPU가 있는 시스템에서 RHEL 설치를 시작하면 설치 프로그램이 응답하지 않습니다. 결과적으로 설치가 성공적으로 완료될 수 없습니다.

NVIDIA Ampere 제품군에는 다음과 같은 GPU 모델이 포함되어 있습니다.

redhat RTX 3060 Ti
스키마 RTX 3070
GeForce RTX 3080
GeForce RTX 3090
RTX A6000
NVIDIA A40
NVIDIA A100
NVIDIA A100 80GB

이 문제를 해결하려면 no bootstrap graphics 드라이버를 비활성화하고 텍스트 모드로 RHEL을 설치합니다.

설치 프로그램의 부팅 메뉴로 부팅합니다.
커널 명령줄에 noCenter.modeset=0 옵션을 추가합니다.
자세한 내용은 부팅 옵션 편집을 참조하십시오.
시스템에 RHEL을 설치합니다.
새로 설치한 RHEL;으로 부팅합니다. 부팅 메뉴에 커널 명령줄에 no Center.modeset=0 옵션을 추가합니다.
no proper department 드라이버를 영구적으로 비활성화합니다.
```
# echo 'blacklist nouveau' >> /etc/modprobe.d/blacklist.conf
```

결과적으로 설치가 성공적으로 완료되고 RHEL이 텍스트 모드에서 실행됩니다.

선택적으로 전용 NVIDIA GPU 드라이버를 설치하여 그래픽을 활성화할 수 있습니다. 자세한 내용은 RHEL 8에 NVIDIA 독점 드라이버를 설치하는 방법을 참조하십시오.

(BZ#1903890)

5.7.12. 웹 콘솔

권한이 없는 사용자는 서브스크립션 페이지에 액세스할 수 있습니다.

관리자가 아닌 사용자가 웹 콘솔의 서브스크립션 페이지로 이동하면 웹 콘솔에 일반 오류 메시지 Cockpit에 예기치 않은 내부 오류가 표시되었습니다.

이 문제를 해결하려면 권한 있는 사용자로 웹 콘솔에 로그인하고 Reuse my password for privileged tasks(권한 있는 작업에 내 암호 재사용) 확인란을 선택해야 합니다.

(BZ#1674337)

5.7.13. Red Hat Enterprise Linux 시스템 역할

시스템 역할 로깅에서는 ovirt 입력 및 elasticsearch 출력 기능이 지원되지 않습니다.

README 파일에 언급된 경우에도 oVirt 입력 및 elasticsearch 출력은 시스템 역할 로깅에서 지원되지 않습니다. 현재 해결방법은 없습니다.

(BZ#1889468)

5.7.14. 가상화

Wayland를 사용하는 가상 머신의 여러 모니터를 QXL에서는 표시할 수 없습니다.

remote-viewer 유틸리티를 사용하여 Wayland 디스플레이 서버를 사용하는 VM(가상 시스템)의 모니터를 두 개 이상 표시하면 VM이 응답하지 않고 표시 상태 메시지가 무기한 표시됩니다.

이 문제를 해결하려면 Wayland를 사용하는 VM의 GPU 장치로 qxl 대신 virtio-gpu 를 사용합니다.

(BZ#1642887)

virsh iface-\* 명령이 일관되게 작동하지 않음

현재 virsh iface- start 및 virsh iface- destroy와 같은 virsh iface- * 명령은 구성 종속성으로 인해 실패하는 경우가 많습니다. 따라서 호스트 네트워크 연결을 구성하고 관리하는 데 virsh iface-\* 명령을 사용하지 않는 것이 좋습니다. 대신 NetworkManager 프로그램과 관련 관리 애플리케이션을 사용합니다.

(BZ#1664592)

여러 virtio-blk 디스크를 사용할 때 가상 머신이 시작되지 않는 경우가 있습니다.

VM(가상 시스템)에 다수의 virtio-blk 장치를 추가하면 플랫폼에서 사용 가능한 인터럽트 벡터 수가 소진될 수 있습니다. 이 경우 VM의 게스트 OS가 부팅되지 않고 dracut-initqueue[392]를 표시합니다. 경고: 부팅할 수 없습니다 오류.

(BZ#1719687)

virtio-blk를 사용하여 가상 머신에 LUN 장치를 연결하는 것은 작동하지 않습니다

q35 시스템 유형은 전환된 virtio 1.0 장치를 지원하지 않으므로 RHEL 8에는 virtio 1.0에서 더 이상 사용되지 않는 기능에 대한 지원이 없습니다. 특히 RHEL 8 호스트에서는 virtio-blk 장치에서 SCSI 명령을 보낼 수 없습니다. 결과적으로 virtio-blk 컨트롤러를 사용하면 가상 머신에 LUN 장치로 물리적 디스크를 연결할 수 없습니다.

실제 디스크를 게스트 운영 체제로 전달할 수 있지만 device=' lun'이 아닌 device='disk' 옵션을 사용하여 구성해야 합니다.

(BZ#1777138)

호스트에서 TSX 가 비활성화된 경우 lake 를 사용하는 가상 머신을 부팅할 수 없습니다.

QCOW lake CPU 모델을 사용하는 VM(가상 머신)은 현재 호스트에서 TSX CPU 플래그를 조정할 때 부팅되지 않습니다. 대신 호스트에 다음 오류 메시지가 표시됩니다.

the CPU is incompatible with host CPU: Host CPU does not provide required features: hle, rtm

이러한 호스트에서 가상 머신을 사용할 수 있도록 하려면 VM 구성에서 HLE, RTM 및 TAA_NO 플래그를 비활성화합니다.

<feature policy='disable' name='hle'/>
<feature policy='disable' name='rtm'/>
<feature policy='disable' name='taa-no'/>

(BZ#1860743)

Witherspoon 호스트에서 가상 머신을 부팅할 수 없는 경우가 있습니다

경우에 따라 DD2.2 또는 DD2.3 CPU를 사용하는 HPC 호스트(Forderpoon이라고도 함)용 Power9 S922LC 에서 pseries-rhel7.6.0-sxxm 시스템 유형을 사용하는 VM(가상 머신)에서 부팅하지 못할 수도 있습니다.

이러한 VM을 부팅하려고 하면 다음과 같은 오류 메시지가 생성됩니다.

qemu-kvm: Requested safe indirect branch capability level not supported by kvm

이 문제를 해결하려면 다음과 같이 VM의 XML 구성을 구성합니다.

<domain type='qemu' xmlns:qemu='http://libvirt.org/schemas/domain/qemu/1.0'>
  <qemu:commandline>
    <qemu:arg value='-machine'/>
    <qemu:arg value='cap-ibs=workaround'/>
  </qemu:commandline>

(BZ#1732726)

5.7.15. 클라우드 환경의 RHEL

Azure NV6 인스턴스의 GPU 문제

Microsoft Azure NV6 인스턴스에서 RHEL 8을 게스트 운영 체제로 실행하는 경우 hibernation에서 VM(가상 머신)을 다시 시작하면 VM의 GPU가 잘못 작동하는 경우가 있습니다. 이 경우 커널은 다음 메시지를 기록합니다.

hv_irq_unmask() failed: 0x5

(BZ#1846838)

Kdump가 Azure 및 Hyper-V에서 시작되지 않는 경우가 있습니다.

Microsoft Azure 또는 Hyper-V 하이퍼바이저에서 호스팅되는 RHEL 8 게스트 운영 체제에서는 실행 후 알림기를 활성화하면 kdump 커널을 시작할 수 없는 경우가 있습니다.

이 문제를 해결하려면 크래시 kexec 후 알림기를 비활성화합니다.

# echo N > /sys/module/kernel/parameters/crash_kexec_post_notifiers

(BZ#1865745)

VMWare 호스트의 RHEL 8 가상 머신에서 고정 IP 설정이 작동하지 않음

현재 RHEL 8을 VMWare 호스트에서 VM(가상 머신)의 게스트 운영 체제로 사용할 때 DatasourceOVF 기능이 제대로 작동하지 않습니다. 결과적으로 cloud-init 유틸리티를 사용하여 VM의 네트워크를 고정 IP로 설정한 다음 VM을 재부팅하면 VM의 네트워크가 DHCP로 변경됩니다.

(BZ#1750862)

특정 NIC가 있는 코어 덤프 RHEL 8 가상 머신을 Azure의 원격 머신에 추가하는 데 예상보다 시간이 오래 걸립니다.

현재 kdump 유틸리티를 사용하여 Microsoft Azure 하이퍼바이저에 RHEL 8 가상 머신(VM)의 코어 덤프 파일을 원격 머신에 저장하면 VM이 가속화된 네트워킹이 활성화된 NIC를 사용하는 경우 올바르게 작동하지 않습니다. 결과적으로 덤프 파일은 즉시 대신 약 200초 후에 저장됩니다. 또한 덤프 파일을 저장하기 전에 다음 오류 메시지가 콘솔에 기록됩니다.

device (eth0): linklocal6: DAD failed for an EUI-64 address

(BZ#1854037)

가상 머신이 최대 절전 모드를 시작한 후 TX/RX 패킷 카운터가 증가하지 않습니다.

CX4 VF NIC와 함께 RHEL 8 가상 시스템(VM)이 있는 경우 TX/RX 패킷 카운터가 증가하지 않으며 Microsoft Azure에서 최대 절전 모드가 다시 시작됩니다. 카운터가 작동 상태로 유지하려면 VM을 다시 시작합니다. 이렇게 하면 카운터가 재설정됩니다.

(BZ#1876527)

RHEL 8 가상 머신이 Azure의 최대 절전 모드로 다시 시작되지 않음

SR-IOV 가 활성화된 RHEL 8 가상 머신(VM)이 활성화된 경우 VF(가상 기능), vmbus 장치의 GUID가 최대 절전 상태이며 Microsoft Azure에 할당될 때 변경됩니다. 결과적으로 VM이 다시 시작되면 다시 시작하고 충돌하지 못합니다. 이 문제를 해결하려면 Azure 직렬 콘솔을 사용하여 VM을 하드 재설정합니다.

(BZ#1876519)

RHEL 7-ALT 호스트에서 RHEL 8로 POWER9 게스트 마이그레이션에 실패

현재 POWER9 가상 머신을 RHEL 7-ALT 호스트 시스템에서 RHEL 8로 마이그레이션하는 것은 "마이그레이션 상태: active" 상태로 응답하지 않습니다.

이 문제를 해결하려면 RHEL 7-ALT 호스트에서 THP(투명한 대규모 페이지)를 비활성화하여 마이그레이션을 성공적으로 완료할 수 있습니다.

(BZ#1741436)

5.7.16. 지원 관련 기능

redhat-support-tool 이 FUTURE 암호화 정책에서 작동하지 않음

고객 포털 API의 인증서에서 사용하는 암호화 키가 FUTURE 시스템 전체 암호화 정책의 요구 사항을 충족하지 않으므로 redhat-support-tool 유틸리티는 현재 이 정책 수준에서 작동하지 않습니다.

이 문제를 해결하려면 고객 포털 API에 연결하는 동안 DEFAULT 암호화 정책을 사용하십시오.

(BZ#1802026)

5.7.17. 컨테이너

UDICA는 1.0의 안정적인 스트림을 사용할 것으로 예상되지 않습니다.

컨테이너에 대한 SELinux 정책을 생성하는 도구인 UDICA는 container-tools:1.0 모듈 스트림에서 podman 1.0.x를 통해 실행되는 컨테이너와 호환되지 않습니다.

(JIRA:RHELPLAN-25571)

Podman 시스템 연결 추가 가 기본 연결을 자동으로 설정하지 않음

podman system connection add 명령은 첫 번째 연결을 기본 연결로 자동 설정하지 않습니다. 기본 연결을 설정하려면 podman system connection default <connection_name> 명령을 수동으로 실행해야 합니다.

(BZ#1881894)