8.1 Notas de Lançamento

Os módulos agora podem ser desativados durante a instalação do Kickstart

Com este aperfeiçoamento, os usuários podem agora desativar um módulo para impedir a instalação de pacotes a partir do módulo. Para desabilitar um módulo durante a instalação do Kickstart, use o comando:

Suporte para a seção de repo.git para projetos está agora disponível

Uma nova seção de repo.git blueprint permite aos usuários incluir arquivos extras em sua construção de imagem. Os arquivos devem ser hospedados no repositório git que é acessível a partir do servidor de construção lorax-composer.

O Image Builder agora suporta a criação de imagens para mais fornecedores de nuvens

Com esta atualização, o Image Builder ampliou o número de Provedores de Nuvens para os quais o Image Builder pode criar uma imagem. Como resultado, agora você pode criar imagens RHEL que podem ser implantadas também no Google Cloud e Alibaba Cloud, assim como executar as instâncias personalizadas nestas plataformas.

dnf-utils foi renomeado para yum-utils

Com esta atualização, o pacote dnf-utils, que é uma parte da pilha YUM, foi renomeado para yum-utils. Por razões de compatibilidade, o pacote ainda pode ser instalado usando o nome dnf-utils, e substituirá automaticamente o pacote original ao atualizar seu sistema.

ogerenciador de assinaturas agora relata o papel, o uso e os valores adicionais

Com esta atualização, o gerenciador de assinaturas pode agora exibir os valores de Função, Uso e Suplementos para cada assinatura disponível na organização atual, que está registrada no Portal do Cliente ou no Satellite.

sintonizado rebaseado para a versão 2.12

Os pacotes ajustados foram atualizados para a versão upstream 2.12, que fornece uma série de correções e melhorias em relação à versão anterior, notadamente:

chrony rebaseado para a versão 3.5

Os pacotes chrony foram atualizados para a versão upstream 3.5, que fornece uma série de correções de bugs e melhorias em relação à versão anterior, notadamente:

Nova pilha do protocolo de roteamento FRRouting está disponível

Com esta atualização, Quagga foi substituído por Free Range Routing (FRRouting, ou FRR), que é uma nova pilha de protocolos de roteamento. FRR é fornecido pelo pacote frr disponível no repositório AppStream.

O GNU enscript agora suporta a codificação ISO-8859-15

Com esta atualização, o suporte à codificação ISO-8859-15 foi adicionado ao programa GNU enscript.

Melhor precisão do sistema de medição offset do relógio em phc2sys

O programa phc2sys dos pacotes linuxptp agora suporta um método mais preciso para medir o offset do relógio do sistema.

ptp4l agora suporta interfaces de equipe em modo de backup ativo

Com esta atualização, foi adicionado ao PTP Boundary/Ordinary Clock (ptp4l) o suporte para interfaces de equipe em modo de backup ativo.

A sincronização de tempo PTP em interfaces macvlan é agora suportada

Esta atualização adiciona suporte para a marcação temporal do hardware nas interfaces macvlan no kernel do Linux. Como resultado, as interfaces macvlan podem agora usar o Protocolo de Tempo de Precisão (PTP) para sincronização de tempo.

Novo pacote: fapolicyd

A estrutura do software fapolicyd introduz uma forma de lista branca e lista negra de aplicações com base em uma política definida pelo usuário. O recurso de lista branca de aplicações fornece uma das formas mais eficientes de evitar a execução de aplicações não confiáveis e possivelmente maliciosas no sistema.

Novo pacote: udica

O novo pacote udica fornece uma ferramenta para a geração de políticas SELinux para recipientes. Com a udica, você pode criar uma política de segurança sob medida para melhor controle de como um contêiner acessa os recursos do sistema host, tais como armazenamento, dispositivos e rede. Isto permite que você endureça suas implementações de contêineres contra violações de segurança e também simplifica a obtenção e manutenção da conformidade regulamentar.

Ferramentas de espaço de usuário SELinux atualizadas para a versão 2.9

As ferramentas libsepol, libselinux, libsemanage, policoreutils, checkpolicy e mcstrans SELinux foram atualizadas para a última versão upstream 2.9, que fornece muitas correções de bugs e melhorias em relação à versão anterior.

SETools atualizado para a versão 4.2.2

A coleção SETools de ferramentas e bibliotecas foi atualizada para a última versão 4.2.2, que fornece as seguintes mudanças:

selinux-política rebaseada para 3.14.3

O pacote selinux-policy foi atualizado para a versão upstream 3.14.3, que fornece uma série de correções de bugs e melhorias para as regras de permissão em relação à versão anterior.

Um novo tipo SELinux: boltd_t

Um novo tipo SELinux, boltd_t, confina o boltd, um daemon do sistema para gerenciar os dispositivos Thunderbolt 3. Como resultado, o boltd agora funciona como um serviço confinado no modo de aplicação do SELinux.

Uma nova classe de política SELinux: bpf

Uma nova classe de política SELinux, bpf, foi introduzida. A classe bpf permite aos usuários controlar o fluxo do Filtro de Pacotes Berkeley (BPF) através do SElinux, e permite a inspeção e manipulação simples dos programas e mapas do Filtro de Pacotes Berkeley Estendido (eBPF) controlados pelo SELinux.

OpenSCAP rebaseado para a versão 1.3.1

Os pacotes openscap foram atualizados para a versão upstream 1.3.1, que fornece muitas correções e melhorias em relação à versão anterior, mais notadamente:

OpenSCAP agora suporta SCAP 1.3

O pacote OpenSCAP agora suporta fluxos de dados em conformidade com a última versão da norma SCAP - SCAP 1.3. Agora você pode usar os fluxos de dados SCAP 1.3, como aqueles contidos no pacote scap-security-guide, da mesma forma que os fluxos de dados SCAP 1.2, sem qualquer restrição adicional de usabilidade.

guia de segurança da escapacidade rebaixada para a versão 0.1.46

The scap-security-guide packages have been upgraded to upstream version 0.1.46, which provides many bug fixes and enhancements over the previous version, most notably: * SCAP content conforms to the latest version of SCAP standard, SCAP 1.3 * SCAP content supports UBI images

OpenSSH rebaseado para 8.0p1

Os pacotes openssh foram atualizados para a versão 8.0p1, que fornece muitas correções e melhorias em relação à versão anterior, mais notadamente:

libssh agora está de acordo com as políticas criptográficas detodo o sistema

O cliente e servidor da libssh agora carregam automaticamente o arquivo /etc/libssh/libssh_client.config e o /etc/libssh/libssh_server.config, respectivamente. Este arquivo de configuração inclui as opções definidas pelo componente crypto-policies do sistema para o back end da libssh e as opções definidas no arquivo de configuração /etc/ssh/ssh_config ou /etc/ssh/sshd_config OpenSSH. Com o carregamento automático do arquivo de configuração, a libssh agora usa as configurações criptográficas de todo o sistema definidas pelas políticas criptográficas. Esta mudança simplifica o controle sobre o conjunto de algoritmos criptográficos usados pelas aplicações.

Uma opção para o rsyslog para preservar o caso de FROMHOST está disponível

Esta atualização do serviço rsyslog introduz a opção de gerenciar a preservação de caixas de cartas da propriedade FROMHOST para os módulos imudp e imtcp. A definição do valor do preservecase para on significa que o imóvel FROMHOST é tratado de forma sensível ao caso. Para evitar a quebra das configurações existentes, os valores padrão de preservecase estão ligados para imtcp e desligados para imudp.

A descoberta do PMTU e o redirecionamento de rotas é agora suportado com os túneis VXLAN e GENEVE

O kernel no Red Hat Enterprise Linux (RHEL) 8.0 não lidou com o Protocolo de Mensagens de Controle da Internet (ICMP) e mensagens ICMPv6 para túneis de LAN Extensível Virtual (VXLAN) e Encapsulamento Genérico de Virtualização de Rede (GENEVE). Como conseqüência, a descoberta do MTU do caminho (PMTU) e o redirecionamento da rota não era suportado com os túneis VXLAN e GENEVE nos lançamentos RHEL anteriores ao 8.1. Com esta atualização, o kernel trata as mensagens de erro ICMP "Destination Unreachable" e "Redirect Message", bem como ICMPv6 "Packet Too Big" e "Destination Unreachable" ajustando o PMTU e modificando as informações de encaminhamento. Como resultado, o RHEL 8.1 suporta a descoberta do PMTU e o redirecionamento de rotas com os túneis VXLAN e GENEVE.

Mudanças notáveis nos recursos XDP e eBPF em rede no kernel

As características do XDP e da rede eBPF no pacote do kernel foram atualizadas para a versão 5.0, que fornece uma série de correções de bugs e melhorias em relação à versão anterior:

O novo controle PTP_SYS_OFFSET_EXTENDED para ioctl() melhora a precisão do sistema de medição-PHC dos conjuntos

Este aperfeiçoamento acrescenta o controle PTP_SYS_OFFSET_EXTENDED para medições mais precisas do hardware do protocolo de tempo de precisão do sistema (PTP) (PHC) offset para a função ioctl(). O controle PTP_SYS_OFFSET que, por exemplo, o serviço chrony usa para medir o offset entre um PHC e o relógio do sistema não é suficientemente preciso. Com o novo controle PTP_SYS_OFFSET_EXTENDED, os drivers podem isolar a leitura dos bits mais baixos. Isto melhora a precisão do offset medido. Os drivers de rede normalmente lêem vários registros PCI, e o driver não lê os bits mais baixos do registro de tempo do PHC entre duas leituras do relógio do sistema.

ipset rebaseado para a versão 7.1

Os pacotes ipset foram atualizados para a versão upstream 7.1, que fornece uma série de correções de bugs e melhorias em relação à versão anterior:

Versão do Kernel em RHEL 8.1

O Red Hat Enterprise Linux 8.1 é distribuído com o kernel versão 4.18.0-147.

A remenda ao vivo para o grão está agora disponível

A correção ao vivo para o kernel, kpatch, fornece um mecanismo para corrigir o kernel em execução sem reiniciar ou reiniciar qualquer processo. Os patches ao vivo para o kernel serão fornecidos para fluxos de lançamento menores selecionados de RHEL cobertos pela política de Suporte Estendido a Atualizações (EUS) para remediar CVEs Críticos e Importantes.

Extended Berkeley Packet Filter em RHEL 8

Extended Berkeley Packet Filter (eBPF) é uma máquina virtual in-kernel que permite a execução de código no espaço do kernel, no ambiente restrito do sandbox com acesso a um conjunto limitado de funções. A máquina virtual executa código especial tipo montagem. O código é então carregado para o kernel e traduzido para o código da máquina nativa com compilação just-in-time. Há inúmeros componentes enviados pela Red Hat que utilizam a máquina virtual eBPF. Cada componente está em uma fase de desenvolvimento diferente e, portanto, nem todos os componentes são atualmente totalmente suportados.

O Red Hat Enterprise Linux 8 agora suporta o kdump inicial

O recurso de kdump precoce permite que o núcleo e initramas do acidente sejam carregados suficientemente cedo para capturar as informações vmcore, mesmo em caso de acidentes precoces.

RHEL 8 agora suporta ipcmni_extend

Um novo parâmetro de linha de comando do kernel ipcmni_extend foi adicionado ao Red Hat Enterprise Linux 8. O parâmetro estende um número de identificadores únicos do Sistema V Inter-processo de Comunicação (IPC) do máximo atual de 32 KB (15 bits) até 16 MB (24 bits). Como resultado, os usuários cujas aplicações produzem muitos segmentos de memória compartilhada são capazes de criar um identificador IPC mais forte sem exceder o limite de 32 KB.

O código de inicialização de memória persistente suporta inicialização paralela

O código de inicialização de memória persistente permite a inicialização paralela em sistemas com múltiplos nós de memória persistente. A inicialização paralela reduz muito o tempo total de inicialização da memória em sistemas com grandes quantidades de memória persistente. Como resultado, estes sistemas podem agora inicializar muito mais rapidamente.

A ferramenta TPM userspace foi atualizada para a última versão

A ferramenta tpm2-tools userspace foi atualizada para a versão 2.0. Com esta atualização, a ferramenta tpm2-tools é capaz de corrigir muitos defeitos.

O daemon rngd agora é capaz de funcionar com privilégios não-raiz

O daemon gerador de números aleatórios(rngd) verifica se os dados fornecidos pela fonte de aleatoriedade são suficientemente aleatórios e então armazena os dados no pool de entropia de números aleatórios do kernel. Com esta atualização, o rngd é capaz de rodar com privilégios de usuário não-root para aumentar a segurança do sistema.

Apoio total para o motorista ibmvnic

Com a introdução do Red Hat Enterprise Linux 8.0, o driver IBM Virtual Network Interface Controller (vNIC) para arquiteturas IBM POWER, ibmvnic, estava disponível como uma Technology Preview. vNIC é uma tecnologia de rede virtual PowerVM que fornece capacidades empresariais e simplifica o gerenciamento de rede. É uma tecnologia de alto desempenho e eficiente que, quando combinada com o SR-IOV NIC fornece capacidades de controle de largura de banda Qualidade de Serviço (QoS) no nível do NIC virtual. vNIC reduz significativamente a sobrecarga de virtualização, resultando em latências menores e menos recursos de servidor, incluindo CPU e memória, necessários para a virtualização da rede.

Software hospedeiro Intel ® Omni-Path Architecture (OPA)

O software hospedeiro Intel Omni-Path Architecture (OPA) é totalmente suportado no Red Hat Enterprise Linux 8.1. A Intel OPA fornece hardware Host Fabric Interface (HFI) com inicialização e configuração para transferências de dados de alto desempenho (alta largura de banda, alta taxa de mensagens, baixa latência) entre nós de computação e de E/S em um ambiente cluster.

O UBSan foi habilitado no núcleo de depuração no RHEL 8

OUBSan ( Undefined Behavior Sanitizer ) expõe falhas de comportamento indefinidas em linguagem de código C em tempo de execução. Este utilitário agora foi habilitado no kernel de depuração porque o comportamento do compilador era, em alguns casos, diferente das expectativas dos desenvolvedores. Especialmente, no caso da otimização do compilador, onde bugs sutis e obscuros apareceriam. Como resultado, rodar o kernel debug com o UBSan habilitado permite que o sistema detecte facilmente tais bugs.

A infra-estrutura fadump agora suporta o recadastramento no RHEL 8

O suporte foi adicionado para o recadastramento (não registro e registro) da infra-estrutura de despejo assistido pela empresa(fadump) após qualquer operação de adição/remoção de memória quente para atualizar as faixas de memória de falha. O recurso tem como objetivo evitar que o sistema seja submetido a possíveis problemas de corrida durante o não registro e o registro de fadump do espaço do usuário durante eventos do udev.

O script determine_maximum_mpps.sh foi introduzido na RHEL para Tempo Real 8

O script determine_maximum_mpps.sh foi introduzido para ajudar a usar o programa de teste de fila. O script executa o queuelat para determinar o máximo de pacotes por segundo que uma máquina pode lidar.

kernel-rt agora combina com a última árvore RHEL 8

As fontes do kernel-rt foram atualizadas para serem baseadas na última árvore de fontes do kernel do Red Hat Enterprise Linux, que fornece uma série de correções e melhorias em relação à versão anterior.

O teste ssdd foi adicionado à RHEL para Tempo Real 8

O teste ssdd foi adicionado para permitir o teste de esforço do subsistema de rastreamento. O teste executa vários fios de traçamento para verificar se o travamento está correto dentro do sistema de traçamento.

Modo de memória para Optane DC A tecnologia de memória persistente é totalmente suportada

Os dispositivos de armazenamento de memória Intel Optane DC Persistent Memory fornecem tecnologia de memória persistente de classe data center, que pode aumentar significativamente o rendimento das transações.

IBM Z agora suporta a verificação da assinatura de inicialização do sistema

Secure Boot permite que o firmware do sistema verifique a autenticidade das chaves criptográficas que foram usadas para assinar o código de espaço do kernel. Como resultado, o recurso melhora a segurança, uma vez que somente o código de fornecedores confiáveis pode ser executado.

Suporte para Integridade de Dados Campo / Extensão de Integridade de Dados (DIF/DIX)

O DIF/DIX é suportado em configurações onde o fornecedor de hardware o qualificou e fornece suporte total para o adaptador host bus (HBA) particular e configuração da matriz de armazenamento no RHEL.

Os sistemas de memória DC Optane agora suportam relatórios EDAC

Anteriormente, EDAC não reportava eventos de memória corrigidos/descorrigidos se o endereço de memória estivesse dentro de um módulo NVDIMM. Com esta atualização, o EDAC pode relatar corretamente os eventos com as informações corretas do módulo de memória.

O módulo VDO Ansible foi movido para Pacotes Ansíveis

Anteriormente, o módulo VDO Ansible era fornecido pelo pacote vdo RPM. A partir deste lançamento, o módulo é fornecido pelo pacote anível.

Os adaptadores Aero agora são totalmente suportados

Os seguintes adaptadores Aero, anteriormente disponíveis como Technology Preview, agora são totalmente suportados:

LUKS2 agora suporta reencriptação online

O formato Linux Unified Key Setup versão 2 (LUKS2) agora suporta a re-encriptação de dispositivos criptografados enquanto os dispositivos estão em uso. Por exemplo, não é necessário desmontar o sistema de arquivos no dispositivo para realizar as seguintes tarefas:

Novas características do ext4 disponível no RHEL 8

Na RHEL8, a seguir estão as novas características totalmente suportadas da ext4:

NVMe sobre RDMA agora suporta um Infiniband no modo alvo para sistemas IBM Coral

No RHEL 8.1, o NVMe sobre RDMA agora suporta um Infiniband no modo alvo para sistemas IBM Coral, com uma única placa NVMe PCIe adicionada como alvo.

O pacemaker agora não respeitaa propriedade do cluster de delimitação de concorrência

Se vários nós de agrupamento precisarem ser cercados ao mesmo tempo, e eles usarem diferentes dispositivos de vedação configurados, o Pacemaker agora executará a vedação simultaneamente, em vez de ser serializada como antes. Isto pode resultar em uma recuperação muito acelerada em um grande aglomerado quando vários nós devem ser cercados.

A ampliação de um volume lógico compartilhado não requer mais uma atualização em cada nó de cluster

Com este lançamento, a extensão de um volume lógico compartilhado não requer mais uma atualização em cada nó de cluster após executar o comando lvextend em um nó de cluster. Para o procedimento completo para estender o tamanho de um sistema de arquivo GFS2, veja Growing a GFS2 file system.

O tamanho máximo de um cluster RHEL HA suportado aumentou de 16 para 32 nós

Com este lançamento, a Red Hat suporta implementações de até 32 nós de cluster completos.

Comandos para adicionar, alterar e remover links corosync foram adicionados aos pcs

O protocolo Kronosnet (knet) agora permite adicionar e remover links de knet em clusters em execução. Para suportar este recurso, o comando pcs agora fornece comandos para adicionar, alterar e remover links de knet e para alterar um link de atualização/udpu em um cluster existente. Para informações sobre como adicionar e modificar links em um cluster existente, consulte Adicionando e modificando links em um cluster existente. (BZ#1667058)

Um novo fluxo de módulos: php:7.3

RHEL 8.1 apresenta o PHP 7.3, que fornece uma série de novas características e melhorias. As mudanças notáveis incluem:

Um novo fluxo de módulos: rubi:2.6

Um novo fluxo de módulos, Ruby:2.6, está agora disponível. Ruby 2.6.3, incluído no RHEL 8.1, oferece inúmeras novas características, melhorias, correções de bugs e de segurança e melhorias de desempenho em relação à versão 2.5 distribuída no RHEL 8.0.

Um novo fluxo de módulos: nodejs:12

RHEL 8.1 apresenta o Node.js 12, que oferece uma série de novas características e melhorias em relação à versão 10. As mudanças notáveis incluem:

Judy-devel disponível em CRB

O pacote Judy-devel está agora disponível como parte do módulo mariadb-devel:10.3 no repositório CodeReady Linux Builder (CRB). Como resultado, os desenvolvedores agora são capazes de construir aplicações com a biblioteca Judy.

Conformidade com o FIPS em Python 3

Esta atualização adiciona suporte para o modo OpenSSL FIPS ao Python 3. Nomeadamente:

Mudanças na conformidade FIPS em python3-wheel

Esta atualização do pacote python3-roda remove uma implementação embutida para assinatura e verificação de dados que não está em conformidade com o FIPS.

Um novo fluxo de módulos: nginx:1.16

O servidor web e proxy nginx 1.16, que oferece uma série de novos recursos e melhorias em relação à versão 1.14, está agora disponível. Por exemplo, o nginx 1.16:

perl-IO-Socket-SSL rebaseado para a versão 2.066

O pacote perl-IO-Socket-SSL foi atualizado para a versão 2.066, que fornece uma série de correções e melhorias em relação à versão anterior, por exemplo:

perl-Net-SSLeay rebaseado para a versão 1.88

O pacote perl-Net-SSLeay foi atualizado para a versão 1.88, que fornece múltiplas correções e melhorias de bugs. Mudanças notáveis incluem:

GCC Toolset 9 disponível

O Red Hat Enterprise Linux 8.1 apresenta o GCC Toolset 9, um fluxo de aplicações contendo versões mais atualizadas das ferramentas de desenvolvimento.

Conjuntos de ferramentas de compilação melhorados

Os seguintes conjuntos de ferramentas de compilação, distribuídos como Application Streams, foram atualizados com o RHEL 8.1:

SystemTap rebaseado para a versão 4.1

A ferramenta de instrumentação SystemTap foi atualizada para a versão 4.1 a montante. As melhorias notáveis incluem:

Disponibilidade geral da ferramenta DHAT

O Red Hat Enterprise Linux 8.1 introduz a disponibilidade geral da ferramenta DHAT. Ela é baseada na ferramenta valgrind versão 3.15.0.

elfutils rebaseado para a versão 0.176

Os pacotes elfutils foram atualizados para a versão 0.176 a montante. Esta versão traz várias correções de bugs, e resolve as seguintes vulnerabilidades:

Verificações adicionais de alocação de memória na glibc

A corrupção da memória de aplicação é uma das principais causas de defeitos de aplicação e segurança. A detecção precoce de tal corrupção, balanceada com o custo da detecção, pode proporcionar benefícios significativos para os desenvolvedores de aplicações.

A GDB pode acessar mais registros POWER8

Com esta atualização, o depurador GNU (GDB) e seu gdbserver de stub remoto podem acessar os seguintes registros adicionais e conjuntos de registros da linha de processadores POWER8 da IBM:

binutils disassembler pode lidar com arquivos binários NFP

A ferramenta de desmontagem do pacote binutils foi estendida para tratar arquivos binários para a série de hardware Netronome Flow Processor (NFP). Esta funcionalidade é necessária para permitir outras características no compilador de código do bpftool Berkeley Packet Filter (BPF).

As seções GOT parcialmente escritas são agora suportadas na arquitetura IBM Z

Os binários IBM Z usando o recurso de "encadernação preguiçosa" do carregador podem agora ser endurecidos pela geração de seções parcialmente graváveis da tabela de compensação global (GOT). Estes binários requerem um GOT de leitura-escrita, mas nem todas as entradas podem ser escritas. Esta atualização oferece proteção para os verbetes contra possíveis ataques.

binutils agora suporta processadores Arch13 da IBM Z

Esta atualização adiciona suporte para as extensões relacionadas aos processadores Arch13 nos pacotes binutils da arquitetura IBM Z. Como resultado, agora é possível construir kernels que podem usar recursos disponíveis em CPUs habilitadas para arch13 na arquitetura IBM Z.

Dyninst rebaseado para a versão 10.1.0

A biblioteca de instrumentação Dyninst foi atualizada para a versão upstream 10.1.0. Mudanças notáveis incluem:

Atualizações de formatação de datas para a era Reiwa japonesa

A Biblioteca GNU C agora fornece a formatação correta do nome da era japonesa para a era Reiwa, a partir de 1º de maio de 2019. Os dados API de tratamento de tempo foram atualizados, incluindo os dados usados pelas funções strftime e strptime. Todas as APIs irão imprimir corretamente a era Reiwa, inclusive quando o strftime for usado junto com um dos especificadores de conversão da era, como , , ou .

Performance Co-Pilot rebaseado para a versão 4.3.2

No RHEL 8.1, a ferramenta Performance Co-Pilot (PCP) foi atualizada para a versão upstream 4.3.2. As melhorias notáveis incluem:

IdM agora suporta funções e módulos possíveis para instalação e gerenciamento

Esta atualização introduz o pacote ansible-freeipa, que fornece funções e módulos possíveis para a implantação e gerenciamento do Gerenciamento de Identidade (IdM). Você pode usar as funções Ansible para instalar e desinstalar servidores IdM, réplicas e clientes. Você pode usar os módulos Ansible para gerenciar grupos, topologia e usuários do IdM. Há também exemplos de playbooks disponíveis.

Nova ferramenta para testar a aptidão geral da implantação da IdM: Healthcheck

Esta atualização introduz a ferramenta Healthcheck no Gerenciamento de Identidade (IdM). A ferramenta fornece testes verificando se o servidor IdM atual está configurado e funcionando corretamente.

IdM agora suporta a renovação de certificados de sistema expirados quando o servidor está offline

Com esta melhoria, os administradores podem renovar certificados de sistema expirados quando o Gerenciamento de Identidade (IdM) estiver offline. Quando um certificado de sistema expira, o IdM não inicia. O novo comando ipa-cert-fix substitui a alternativa de trabalho para definir manualmente a data de volta para prosseguir com o processo de renovação. Como resultado, o tempo de inatividade e os custos de suporte são reduzidos no cenário mencionado.

Gerenciamento de Identidade suporta confiança com Windows Server 2019

Ao utilizar o Gerenciamento de Identidade, você pode agora estabelecer um fundo florestal suportado para as florestas do Active Directory que são executadas pelo Windows Server 2019. Os níveis funcionais florestais e de domínio suportados são inalterados e suportados até o nível do Windows Server 2016.

samba rebaseado para a versão 4.10.4

Os pacotes samba foram atualizados para a versão 4.10.4, que fornece uma série de correções e melhorias em relação à versão anterior:

Localização atualizada da loja de certificados para OpenLDAP em todo o sistema

O local padrão para CAs confiáveis para OpenLDAP foi atualizado para usar a loja de certificados do sistema(/etc/pki/ca-trust/source) em vez de /etc/openldap/certs. Esta mudança foi feita para simplificar o estabelecimento da confiança da CA.

Novos comandos de geração ipa-crl-generation foram introduzidos para simplificar a gestão da IdM CRL master

Esta atualização introduz o status ipa-crl-generation/enable/disable comandos. Estes comandos, executados pelo usuário root, simplificam o trabalho com a Lista de Revogação de Certificado (CRL) no IdM. Anteriormente, mover o master de geração de CRL de um servidor de IdM CA para outro era um procedimento longo, manual e propenso a erros.

Suporte OpenID Connect em keycloak-httpd-client-install

O keycloak-httpd-clien-install fornecedor de identidade anteriormente suportava apenas a autenticação SAML (Security Assertion Markup Language) com o módulo de autenticação mod_auth_mellon. Esta rebase introduz o suporte do módulo de autenticação mod_auth_openidc, que permite configurar também a autenticação OpenID Connect.

A criação do IdM como uma réplica oculta está agora disponível como uma Pré-visualização Tecnológica

Este aprimoramento permite aos administradores criar uma réplica do Identity Management (IdM) como uma réplica oculta. Uma réplica oculta é um servidor IdM que tem todos os serviços funcionando e disponíveis. Entretanto, ela não é anunciada para outros clientes ou masters porque não existem registros SRV para os serviços no DNS, e as funções do servidor LDAP não estão habilitadas. Portanto, os clientes não podem usar a descoberta de serviços para detectar réplicas ocultas.

O SSSD agora impõe por padrão os GPO AD

A configuração padrão para a opção SSSD ad_gpo_access_control está agora fazendo cumprir. No RHEL 8, o SSSD aplica por padrão as regras de controle de acesso baseadas nos Objetos de Políticas de Grupos de Diretórios Ativos (GPOs).

Alternador de espaço de trabalho modificado no GNOME Classic

O comutador de espaço de trabalho no ambiente GNOME Classic foi modificado. O switcher agora está localizado na parte direita da barra inferior, e foi projetado como uma faixa horizontal de miniaturas. A comutação entre espaços de trabalho é possível clicando na miniatura necessária. Alternativamente, você também pode usar a combinação de Ctrl+Alt+seta para baixo/cima chaves para alternar entre os espaços de trabalho. O conteúdo do espaço de trabalho ativo é mostrado na parte esquerda da barra inferior na forma do window list.

DRM rebaseado para a versão 5.1 do kernel Linux

O subsistema gráfico do kernel Direct Rendering Manager (DRM) foi rebaseado para a versão 5.1 do kernel Linux upstream, que fornece uma série de correções de bugs e melhorias em relação à versão anterior. Mais notadamente:

Suporte para placas gráficas AMD Picasso

Esta atualização apresenta o driver gráfico da amdgpu. Como resultado, as placas gráficas AMD Picasso são agora totalmente suportadas no RHEL 8.

Habilitação e desativação de SMT

A configuração simultânea Multi-Threading (SMT) está agora disponível no RHEL 8. A desativação do SMT no console web permite mitigar uma classe de vulnerabilidades de segurança da CPU, como por exemplo:

Adicionando uma caixa de busca na página de Serviços

A página Serviços agora tem uma caixa de busca para serviços de filtragem por:

Adicionando suporte para zonas de firewall

A configuração do firewall na página Networking agora suporta:

Adicionando melhorias à configuração das Máquinas Virtuais

Com esta atualização, o console web RHEL 8 inclui muitas melhorias na página de Máquinas Virtuais. Agora você pode:

Uma nova função de armazenamento acrescentada às funções do sistema RHEL

A função de armazenamento foi acrescentada aos papéis do sistema RHEL fornecidos pelo pacote rhel-system-roles. A função de armazenamento pode ser usada para gerenciar o armazenamento local usando o Ansible.

WALinuxAgent rebaseado para a versão 2.2.38

O pacote WALinuxAgent foi atualizado para a versão upstream 2.2.38, que fornece uma série de correções e melhorias em relação à versão anterior.

O Windows encontra automaticamente os drivers virtio-win necessários

O Windows pode agora encontrar automaticamente os drivers virtio-win de que necessita a partir da ISO do driver sem exigir que o usuário selecione a pasta na qual eles estão localizados.

KVM suporta paginação em 5 níveis

Com o Red Hat Enterprise Linux 8, a virtualização KVM suporta o recurso de paginação de 5 níveis. Em CPUs host selecionadas, isto aumenta significativamente o espaço físico e virtual de endereços que os sistemas host e guest podem usar.

O compartilhamento de cartões inteligentes é agora suportado nos convidados do Windows com drivers ActivClient

Esta atualização adiciona suporte para compartilhamento de cartões inteligentes em máquinas virtuais (VMs) que utilizam um sistema operacional convidado do Windows e drivers ActivClient. Isto permite a autenticação do smart card para logins de usuários que utilizam cartões inteligentes emulados ou compartilhados nestas VMs.

Novas opções foram adicionadas para o virt-xml

O utilitário virt-xml pode agora usar as seguintes opções de linha de comando:

CPUs IBM z14 GA2 suportadas pela KVM

Com esta atualização, a KVM suporta o modelo de CPU IBM z14 GA2. Isto torna possível criar máquinas virtuais nos hosts IBM z14 GA2 que usam o RHEL 8 como o SO hospedeiro com uma CPU IBM z14 GA2 no convidado.

Nvidia NVLink2 é agora compatível com máquinas virtuais no IBM POWER9

As VGPUs Nvidia que suportam o recurso NVLink2 podem agora ser atribuídas a máquinas virtuais (VMs) rodando em um host RHEL 8 em um sistema IBM POWER9. Isto torna possível que estas VMs utilizem todo o potencial de desempenho da NVLink2.

O uso dos parâmetros de inicialização da versão ou inst.version kernel não pára mais o programa de instalação

Anteriormente, a inicialização do programa de instalação a partir da linha de comando do kernel utilizando os parâmetros de inicialização da versão ou inst.version imprimiu a versão, por exemplo, anaconda 30.25.6, e parou o programa de instalação.

Os drivers de vídeo xorg-x11-drv-fbdev, xorg-x11-drv-vesa, e xorg-x11-drv-vmware estão agora instalados por padrão

Anteriormente, as estações de trabalho com modelos específicos de placas gráficas NVIDIA e estações de trabalho com unidades de processamento acelerado AMD específicas não exibiam a janela de login gráfico após uma instalação do servidor RHEL 8.0. Esta questão também impactou as máquinas virtuais que contavam com o suporte gráfico da EFI, como o Hyper-V. Com esta atualização, os drivers de vídeo xorg-x11-drv-fbdev, xorg-x11-drv-vesa e xorg-x11-drv-vmware são instalados por padrão e a janela gráfica de login é exibida após uma instalação do RHEL 8.0 e posterior do Servidor.

O modo de salvamento não falha mais sem exibir uma mensagem de erro

Anteriormente, a execução do modo de recuperação em um sistema sem partições Linux resultava na falha do programa de instalação, com uma exceção. Com esta atualização, o programa de instalação exibe a mensagem de erro "Você não tem nenhuma partição Linux" quando um sistema sem partições Linux é detectado.

O programa de instalação agora estabelece a bandeira lvm_metadata_backup Blivet para instalações de imagens

Anteriormente, o programa de instalação falhou na definição da bandeira lvm_metadata_backup Blivet para instalações de imagens. Como conseqüência, os arquivos de backup LVM foram localizados no subdiretório /etc/lvm/ após uma instalação de imagem. Com esta atualização, o programa de instalação configura o flag Blivet lvm_metadata_backup, e como resultado, não há arquivos de backup LVM localizados no subdiretório /etc/lvm/ depois de uma instalação de imagem.

O programa de instalação RHEL 8 agora trata de cordas a partir de RPM

Anteriormente, quando a biblioteca python3-rpm devolvia uma corda, o programa de instalação falhou, com uma exceção. Com esta atualização, o programa de instalação pode agora lidar com cordas a partir de RPM.

O parâmetro de inicialização inst.repo kernel agora funciona para um repositório em um disco rígido que tem um caminho não-root

Anteriormente, o processo de instalação do RHEL 8 não podia prosseguir sem intervenção manual se o inst.repo=hd:<device>:<path> kernel boot parameter estava apontando para um repositório (não uma imagem ISO) em um disco rígido, e um caminho não-root (/) foi usado. Com esta atualização, o programa de instalação pode agora propagar qualquer <path> para um repositório localizado em um disco rígido, assegurando que a instalação prossiga normalmente.

A opção --changesok agora permite que o programa de instalação mude a senha raiz

Anteriormente, o uso da opção --changesok ao instalar o Red Hat Enterprise Linux 8 a partir de um arquivo Kickstart não permitia que o programa de instalação alterasse a senha de root. Com esta atualização, a opção --changesok é passada com sucesso pelo Kickstart, e como resultado, usuários especificando a opção pwpolicy root -changesok em seu arquivo Kickstart podem agora alterar a senha root usando a GUI, mesmo que a senha já tenha sido definida pelo Kickstart.

A construção de imagens não falha mais quando se utiliza o API lorax-composer

Anteriormente, ao utilizar o API lorax-composer de um sistema RHEL subscrito, o processo de construção de imagem sempre falhou. A Anaconda não podia acessar os repositórios, porque os certificados de assinatura do host não eram passados. Para corrigir o problema, atualizar os pacotes lorax-composer, pykickstart e Anaconda. Isso permitirá a passagem de certificados CDN suportados.

systemd em modo de depuração não produz mais mensagens de registro desnecessárias

Ao utilizar o sistema e o gerente de serviços no modo de depuração, o sistema produzia anteriormente mensagens de registro desnecessárias e inofensivas que começavam com:

fapolicyd não impede mais as atualizações da RHEL

Quando uma atualização substitui o binário de uma aplicação em execução, o kernel modifica o caminho binário da aplicação na memória anexando o sufixo " (excluído). Anteriormente, o daemon da política de acesso a arquivos fapolicyd tratava tais aplicações como não confiáveis, e as impedia de abrir e executar quaisquer outros arquivos. Como conseqüência, o sistema às vezes era incapaz de inicializar após a aplicação de atualizações.

A SELinux não impede mais o Tomcat de enviar e-mails

Antes desta atualização, a política SELinux não permitia que os domínios tomcat_t e pki_tomcat_t se conectassem às portas SMTP. Consequentemente, o SELinux negou aplicações no servidor Tomcat de enviar e-mails. Com esta atualização dos pacotes da política selinux, a política permite que processos dos domínios Tomcat acessem as portas SMTP, e o SELinux não mais impede que aplicações no Tomcat enviem e-mails.

lockdev agora funciona corretamente com a SELinux

Anteriormente, a ferramenta lockdev não podia transitar para o contexto lockdev_t, embora a política SELinux para o lockdev_t estivesse definida. Como conseqüência, o lockdev podia ser executado no domínio 'unconfined_t' quando utilizado pelo usuário root. Isto introduziu vulnerabilidades no sistema. Com esta atualização, a transição para o lockdev_t foi definida, e o lockdev pode agora ser usado corretamente com o SELinux no modo de aplicação.

iotop agora funciona corretamente com a SELinux

Anteriormente, a ferramenta iotop não podia transitar para o contexto iotop_t, embora a política SELinux para o iotop_t estivesse definida. Como conseqüência, o iotop podia ser executado no domínio 'unconfined_t' quando utilizado pelo usuário root. Isto introduziu vulnerabilidades no sistema. Com esta atualização, a transição para iotop_t foi definida, e o iotop pode agora ser usado corretamente com o SELinux no modo de aplicação.

SELinux agora lida apropriadamente com NFS 'crossmnt'

O protocolo NFS com a opção crossmnt cria automaticamente montagens internas quando um processo acessa um subdiretório já utilizado como um ponto de montagem no servidor. Anteriormente, isto fazia com que o SELinux verificasse se o processo de acesso a um diretório montado em NFS tinha uma permissão de montagem, o que causava negações de AVC. Na versão atual, a verificação de permissão do SELinux salta estas montagens internas. Como resultado, acessar um diretório NFS que está montado no lado do servidor não requer permissão de montagem.

Uma recarga da política SELinux não causa mais falsos erros ENOMEM

A recarga da política SELinux anteriormente fez com que a tabela de pesquisa do contexto de segurança interna não respondesse. Consequentemente, quando o núcleo encontrou um novo contexto de segurança durante uma recarga da política, a operação falhou com um falso erro "Out of memory" (ENOMEM). Com esta atualização, a tabela de pesquisa do Identificador de Segurança interno (SID) foi redesenhada e não congela mais. Como resultado, o núcleo não retorna mais erros ENOMEM enganosos durante uma recarga da política SELinux.

Domínios não definidos agora podem usar smc_socket

Anteriormente, a política SELinux não tinha as regras de permissão para a classe smc_socket. Consequentemente, a SELinux bloqueou um acesso ao smc_socket para os domínios não-confinados. Com esta atualização, as regras de permissão foram adicionadas à política do SELinux. Como resultado, os domínios não-confinados podem utilizar smc_socket.

Os procedimentos de limpeza Kerberos são agora compatíveis com GSSAPIDelegateCredentials e o cache padrão do krb5.conf

Anteriormente, quando a opção default_ccache_name era configurada no arquivo krb5.conf, as credenciais kerberos não eram limpas com as opções GSSAPIDelegateCredentials e GSSAPICleanupCredentials definidas. Este bug agora é corrigido atualizando o código fonte para limpar os caches de credenciais nos casos de uso descritos. Após a configuração, o cache de credenciais é limpo na saída, caso o usuário o configure.

OpenSSH agora maneja corretamente o PKCS #11 URIs para chaves com rótulos não correspondentes

Anteriormente, especificar PKCS #11 URIs com a parte do objeto (etiqueta chave) poderia impedir o OpenSSH de encontrar objetos relacionados no PKCS #11. Com esta atualização, a etiqueta é ignorada se os objetos correspondentes não forem encontrados, e as chaves são combinadas somente por suas identificações. Como resultado, o OpenSSH agora é capaz de usar chaves em cartões inteligentes referenciados usando o PKCS #11 URIs completo.

As conexões SSH com sistemas hospedados em VMware-hosted agora funcionam corretamente

A versão anterior da suíte OpenSSH introduziu uma mudança da bandeira padrão de Qualidade de Serviço IP (IPQoS) nos pacotes SSH, que não era tratada corretamente pela plataforma de virtualização VMware. Conseqüentemente, não era possível estabelecer uma conexão SSH com sistemas na VMware. O problema foi corrigido na estação de trabalho VMWare 15, e as conexões SSH com sistemas hospedados em VMware agora funcionam corretamente.

curve25519-sha256 é agora suportado por padrão no OpenSSH

Anteriormente, faltava o algoritmo de troca de chaves SSH curva25519-sha256 nas configurações de políticas criptográficas de todo o sistema para o cliente e servidor OpenSSH, apesar de estar em conformidade com o nível padrão da política. Como consequência, se um cliente ou um servidor usasse a curva25519-sha256 e este algoritmo não fosse suportado pelo host, a conexão poderia falhar. Esta atualização do pacote crypto-policies corrige o bug, e as conexões SSH não falham mais no cenário descrito.

Livros de jogo possíveis para perfis OSPP e PCI-DSS não saem mais após encontrar uma falha

Anteriormente, as remediações possíveis para o Protocolo de Automação de Conteúdo de Segurança (OSPP) e os perfis do PCI-DSS (Payment Card Industry Data Security Standard) falharam devido a pedidos incorretos e outros erros nas remediações. Esta atualização corrige os pedidos e erros nos playbooks de remediações possíveis, e as remediações possíveis agora funcionam corretamente.

Transporte de auditoria=KRB5 agora funciona corretamente

Antes desta atualização, o modo de transporte Audit KRB5 não funcionava corretamente. Conseqüentemente, a Auditoria de registro remoto utilizando a autenticação por pares Kerberos não funcionava. Com esta atualização, o problema foi resolvido e a Auditoria de registro remoto agora funciona corretamente no cenário descrito.

O kernel agora suporta endereços MAC de destino em bitmap:ipmac, hash:ipmac, e hash:mac IP set types

Anteriormente, a implementação do kernel do bitmap:ipmac, hash:ipmac, e hash:mac IP set types só permitia a correspondência no endereço MAC de origem, enquanto os endereços MAC de destino podiam ser especificados, mas não eram comparados com as entradas do set. Como conseqüência, os administradores podiam criar regras iptables que usavam um endereço MAC de destino em um desses tipos de conjunto IP, mas os pacotes que correspondiam à especificação dada não eram realmente classificados. Com esta atualização, o kernel compara o endereço MAC de destino e retorna uma correspondência se a classificação especificada corresponder ao endereço MAC de destino de um pacote. Como resultado, as regras que correspondem aos pacotes contra o endereço MAC de destino agora funcionam corretamente.

A aplicação gnome-control-center agora suporta a edição de configurações IPsec avançadas

Anteriormente, a aplicação gnome-control-center mostrava apenas as opções avançadas de conexões IPsec VPN. Conseqüentemente, os usuários não podiam alterar essas configurações. Com esta atualização, os campos nas configurações avançadas agora são editáveis, e os usuários podem salvar as mudanças.

O alvo TRACE na página de manual do iptables-extensions(8 ) foi atualizado

Anteriormente, a descrição do alvo TRACE na página man do iptables-extensions(8 ) se referia apenas à variante compatriota, mas o Red Hat Enterprise Linux 8 usa a variante nf_tables. Como conseqüência, a página de manual não fazia referência ao utilitário de linha de comando xtables-monitor para exibir os eventos TRACE. A página de manual foi atualizada e, como resultado, agora menciona o xtables-monitor.

O registro de erros no serviço ipset foi melhorado

Anteriormente, o serviço ipset não relatava erros de configuração com uma severidade significativa nos logs do sistema. O nível de severidade para entradas de configuração inválidas era apenas informativo, e o serviço não reportava erros para uma configuração inutilizável. Como conseqüência, era difícil para os administradores identificar e solucionar problemas na configuração do serviço ipset. Com esta atualização, o ipset relata problemas de configuração como avisos nos logs do sistema e, se o serviço não iniciar, ele registra uma entrada com a gravidade do erro, incluindo mais detalhes. Como resultado, agora é mais fácil solucionar problemas na configuração do serviço ipset.

O serviço ipset agora ignora as entradas de configuração inválidas durante a inicialização

O serviço ipset armazena configurações como conjuntos em arquivos separados. Anteriormente, quando o serviço começou, ele restaurou a configuração de todos os conjuntos em uma única operação, sem filtrar entradas inválidas que podem ser inseridas editando manualmente um conjunto. Como conseqüência, se uma única entrada de configuração era inválida, o serviço não restaurava outros conjuntos não relacionados. O problema foi resolvido. Como resultado, o serviço ipset detecta e remove as entradas de configuração inválidas durante a operação de restauração, e ignora as entradas de configuração inválidas.

O comando da lista ipset reporta memória consistente para tipos de conjuntos de hash

Quando você adiciona entradas a um tipo de conjunto de hash, o utilitário ipset deve redimensionar a representação in-memory para para novas entradas, alocando um bloco de memória adicional. Anteriormente, o ipset definia o tamanho total por conjunto alocado somente para o tamanho do novo bloco, ao invés de adicionar o valor ao tamanho atual da memória. Como conseqüência, o comando ip list relatou um tamanho de memória inconsistente. Com esta atualização, o ipset calcula corretamente o tamanho in-memory. Como resultado, o comando lista ipset agora exibe o tamanho correto da memória do conjunto, e a saída corresponde à memória real alocada para os tipos de conjunto de hash.

O kernel agora atualiza corretamente a PMTU ao receber a mensagem Pacote ICMPv6 Demasiado grande

Em certas situações, tais como para endereços de link-local, mais de uma rota pode corresponder a um endereço de origem. Anteriormente, o kernel não verificava a interface de entrada ao receber pacotes do Protocolo de Mensagens de Controle da Internet Versão 6 (ICMPv6). Portanto, a pesquisa da rota poderia retornar um destino que não correspondesse à interface de entrada. Conseqüentemente, ao receber uma mensagem muito grande do pacote ICMPv6, o kernel podia atualizar a Unidade de Transmissão Máxima do Caminho (PMTU) para uma interface de entrada diferente. Com esta atualização, o kernel verifica a interface de entrada durante a pesquisa da rota. Como resultado, o kernel agora atualiza o destino correto com base no endereço de origem e a PMTU funciona como esperado no cenário descrito.

Os arquivos /etc/hosts.allow e /etc/hosts.deny não contêm mais referências desatualizadas para remover tcp_wrappers

Anteriormente, os arquivos /etc/hosts.allow e /etc/hosts.deny continham informações desatualizadas sobre o pacote tcp_wrappers. Os arquivos são removidos no RHEL 8, pois não são mais necessários para o tcp_wrappers que é removido.

tpm2-abrmd-selinux agora tem uma dependência adequada da selinux-policy-target

Anteriormente, o pacote tpm2-abrmd-selinux dependia do pacote selinux-policy-base em vez do pacote selinux-policy-target. Consequentemente, se um sistema tivesse selinux-policy-minimum instalado em vez de selinux-policy-targeted, a instalação do pacote tpm2-abrmd-selinux falhou. Esta atualização corrige o bug e o tpm2-abrmd-selinux pode ser instalado corretamente no cenário descrito.

Todos os arquivos /sys/kernel/debug podem ser acessados

Anteriormente, o valor de retorno para o erro "Operação não permitida" (EPERM) permaneceu definido até o final da função, independentemente do erro. Consequentemente, quaisquer tentativas de acessar certos arquivos /sys/kernel/debug (debugfs) falharam com um erro EPERM injustificado. Esta atualização move o valor de retorno do EPERM para o bloco seguinte. Como resultado, os arquivos de debugfs podem ser acessados sem problemas no cenário descrito.

Os DNIs não são mais afetados por um bug no driver qede para as séries 41000 e 45000 FastLinQ

Anteriormente, as operações de atualização de firmware e de depuração de dados falharam devido a um bug no driver qede para as séries 41000 e 45000 FastLinQ. Isso tornou o NIC inutilizável. A reinicialização (reset PCI) do host tornou a placa de rede operacional novamente.

O driver genérico EDAC GHES detecta agora qual DIMM relatou um erro

Anteriormente, o motorista do EDAC GHES não era capaz de detectar qual DIMM relatou um erro. Consequentemente, apareceu a seguinte mensagem de erro:

podman é capaz de verificar recipientes em RHEL 8

Anteriormente, a versão do pacote Checkpoint and Restore In Userspace (CRIU) estava desatualizada. Conseqüentemente, a CRIU não suportava a funcionalidade de ponto de verificação e restauração de contêineres, e o utilitário podman falhou com os contêineres de ponto de verificação. Ao executar o comando do ponto de verificação de contêineres do podman, a seguinte mensagem de erro foi exibida:

okdump inicial e o kdump padrão não falham mais se a opção add_dracutmodules =earlykdump for usada no dracut.conf

Anteriormente, ocorria uma inconsistência entre a versão do kernel que estava sendo instalada para o kdump inicial e o initramfs da versão do kernel para o qual foi gerado o initramfs. Como conseqüência, a inicialização falhou quando o early-kdump foi habilitado. Além disso, se o early-kdump detectou que estava sendo incluído em uma imagem padrão do initramfs do kdump, ele forçou uma saída. Portanto, o serviço kdump padrão também falhou ao tentar reconstruir o kdump initramfs se o early-kdump fosse adicionado como um módulo de dracut padrão. Como conseqüência, tanto o early-kdump quanto o kdump padrão falharam. Com esta atualização, o early-kdump usa o nome consistente do kernel durante a instalação, apenas a versão difere do kernel em execução. Além disso, o serviço de kdump padrão irá cair à força do early-kdump para evitar falhas na geração de imagens. Como resultado, o early-kdump e o kdump padrão não falharão mais no cenário descrito.

O primeiro grão com SME habilitado agora consegue despejar o vmcore

Anteriormente, a memória criptografada no primeiro kernel com o recurso ativo de Criptografia de Memória Segura (SME) causava uma falha no mecanismo kdump. Consequentemente, o primeiro kernel não era capaz de despejar o conteúdo (vmcore) de sua memória. Com esta atualização, a função ioremap_encrypted() foi adicionada para refazer a memória criptografada e modificar o código relacionado. Como resultado, a memória criptografada do primeiro kernel é agora devidamente acessada, e o vmcore pode ser descartado e analisado pelas ferramentas de travamento no cenário descrito.

O primeiro grão com SEV habilitado agora consegue despejar o vmcore

Anteriormente, a memória criptografada no primeiro kernel com o recurso ativo de Virtualização Encriptada Segura (SEV) causava uma falha no mecanismo kdump. Consequentemente, o primeiro kernel não foi capaz de despejar o conteúdo (vmcore) de sua memória. Com esta atualização, a função ioremap_encrypted() foi adicionada para refazer a memória criptografada e modificar o código relacionado. Como resultado, a primeira memória criptografada do kernel é agora devidamente acessada, e o vmcore pode ser descartado e analisado pelas ferramentas de travamento no cenário descrito.

Kernel agora reserva mais espaço para a SWIOTLB

Anteriormente, quando os recursos de Secure Encrypted Virtualization (SEV) ou Secure Memory Encryption (SME) eram habilitados no kernel, a tecnologia Lookaside Buffer de Tradução de Entrada de Software (SWIOTLB) também tinha que ser habilitada e consumia uma quantidade significativa de memória. Conseqüentemente, o kernel de captura não conseguiu inicializar ou recebeu um erro fora da memória. Esta atualização corrige o erro ao reservar memória extra do crashkernel para a SWIOTLB enquanto o SEV/SME estiver ativo. Como resultado, o kernel de captura tem mais memória reservada para a SWIOTLB e o bug não aparece mais no cenário descrito.

As transições do estado C podem agora ser desativadas durante as corridas hwlatdetect

Para atingir desempenho em tempo real, o utilitário hwlatdetect precisa ser capaz de desativar a economia de energia na CPU durante os testes. Esta atualização permite que hwlatdetect desligue as transições de estado C durante a execução do teste e hwlatdetect é agora capaz de detectar latências de hardware com mais precisão.

O pacote openmpi pode ser instalado agora

Anteriormente, um pacote de rebase em opensm mudou seu mecanismo de soname. Como conseqüência, o pacote openmpi não podia ser instalado devido a dependências não resolvidas. Esta atualização corrige o problema. Como resultado, o pacote openmpi pode ser instalado agora sem qualquer problema.

O programa de instalação RHEL 8 agora usa o ID de entrada para definir a entrada de inicialização padrão

Anteriormente, o programa de instalação RHEL 8 usava como padrão o índice da primeira entrada de inicialização, em vez de usar o ID de entrada. Como conseqüência, a adição de uma nova entrada de inicialização tornou-se o padrão, pois foi ordenada primeiro e definida para o primeiro índice. Com esta atualização, o programa de instalação usa o ID da entrada para definir a entrada padrão de inicialização e, como resultado, a entrada padrão não é alterada, mesmo que as entradas de inicialização sejam adicionadas e ordenadas antes da entrada padrão.

O sistema agora inicia com sucesso quando a SME é habilitada com o smartpqi

Anteriormente, o sistema falhou em iniciar em certas máquinas AMD quando o recurso de Criptografia de Memória Segura (SME) foi ativado e o disco raiz estava usando o driver smartpqi.

Os FCoE LUNs não desaparecem após serem criados nos cartões bnx2fc

Anteriormente, depois de criar um FCoE LUN nos cartões bnx2fc, os FCoE LUNs não eram afixados corretamente. Como conseqüência, o FCoE LUNs desapareceu após ter sido criado nos cartões bnx2fc no RHEL 8.0. Com esta atualização, os FCoE LUNs são anexados corretamente. Como resultado, agora é possível descobrir os FCoE LUNs depois de serem criados nos cartões bnx2fc.

Os volumes VDO não perdem mais conselhos de deduplicação após a mudança para uma plataforma diferente

Anteriormente, o índice Universal Deduplication Service (UDS) perdia todos os conselhos de deduplicação após mover o volume do VDO para uma plataforma que usava um endian diferente. Como conseqüência, o VDO não foi capaz de deduplicar os novos dados escritos contra os dados que estavam armazenados antes de mover o volume, levando a uma menor economia de espaço.

o serviçokdump funciona em grandes sistemas IBM POWER

Anteriormente, o kdump kernel da RHEL8 não era iniciado. Como conseqüência, o arquivo kdump initrd em grandes sistemas IBM POWER não foi criado. Com esta atualização, o componente squashfs-tools-4.3-19.el8 é adicionado. Esta atualização adiciona um limite (128) ao número de CPUs que o componente squashfs-tools-4.3-19.el8 pode usar do pool disponível (em vez de usar todas as CPUs disponíveis). Isto corrige o erro de esgotamento de recursos. Como resultado, o serviço de squashfs-tools-4.3-19.el8 funciona agora em grandes sistemas IBM POWER.

Opções de depuração de verbosity agora adicionadas ao nfs.conf

Anteriormente, o arquivo /etc/nfs.conf e a página man do nfs.conf(5) não incluíam as seguintes opções:

Soquete::inet_aton() agora pode ser usado com segurança a partir de múltiplos fios

Anteriormente, a função Socket::inet_aton(), usada para resolver um nome de domínio a partir de múltiplos fios Perl, chamada de função gethostbyname() glibc insegura. Conseqüentemente, um endereço IPv4 incorreto era ocasionalmente devolvido, ou o intérprete Perl terminava inesperadamente. Com esta atualização, a implementação Socket::inet_aton() foi alterada para usar a função getaddrinfo() glibc thread-safe em vez de gethostbyname(). Como resultado, a função inet_aton( ) do módulo Perl Socket pode ser usada a partir de múltiplas roscas com segurança.

gettext retorna texto não traduzido, mesmo quando fora da memória

Anteriormente, a função gettext() para localização de texto retornava o valor NULL em vez de texto quando fora da memória, resultando em aplicações sem saída de texto ou rótulos. O bug foi corrigido e agora, gettext() - retorna texto não traduzido quando fora da memória, como esperado.

O comando locale agora adverte sobre o LOCPATH ser definido sempre que encontrar um erro durante a execução

Anteriormente, o comando locale não fornecia nenhum diagnóstico para a variável de ambiente LOCPATH quando ela encontrava erros devido a um LOCPATH inválido. O comando locale agora está configurado para avisar que o LOCPATH foi configurado sempre que encontrar um erro durante a execução. Como resultado, o locale agora relata LOCPATH junto com qualquer erro subjacente que encontre.

gdb agora pode ler e representar corretamente os registros z em arquivos centrais no aarch64 SVE

Anteriormente, o componente gdb não conseguia ler registros z a partir de arquivos centrais com arquitetura SVE (scalable vector extension) aarch64. Com esta atualização, o componente gdb agora é capaz de ler os registros z a partir de arquivos centrais. Como resultado, o comando info register mostra com sucesso o conteúdo dos registros z.

GCC rebaseado para a versão 8.3.1

A Coleção GNU Compiler Collection (GCC) foi atualizada para a versão upstream 8.3.1. Esta versão traz um grande número de correções de bugs diversos.

FreeRADIUS agora resolve nomes de hosts que apontam para endereços IPv6

Nas versões anteriores do RHEL 8 do FreeRADIUS, o utilitário ipaddr só suportava endereços IPv4. Consequentemente, para que o daemon radiusd resolvesse endereços IPv6, uma atualização manual da configuração era necessária após uma atualização do sistema de RHEL 7 para RHEL 8. Esta atualização corrige o código subjacente, e o ipaddr no FreeRADIUS agora usa endereços IPv6 também.

O serviço Nuxwdog não falha mais ao iniciar o servidor PKI em ambientes HSM

Anteriormente, devido a bugs, o pacote keyutils não era instalado como uma dependência do pacote pki-core. Além disso, o serviço Nuxwdog watchdog não conseguiu iniciar o servidor de infra-estrutura de chave pública (PKI) em ambientes que utilizam um módulo de segurança de hardware (HSM). Estes problemas foram corrigidos. Como resultado, o pacote keyutils necessário agora é instalado automaticamente como uma dependência, e a Nuxwdog inicia o servidor PKI como esperado em ambientes com HSM.

O servidor IdM agora funciona corretamente no modo FIPS

Anteriormente, o conector SSL para o servidor Tomcat era implementado de forma incompleta. Como conseqüência, o servidor Identity Management (IdM) com um servidor de certificados instalado não funcionava em máquinas com o modo FIPS habilitado. Este bug foi corrigido adicionando JSSTrustManager e JSSKeyManager. Como resultado, o servidor IdM funciona corretamente no cenário descrito.

O cache de credenciais KCM é agora adequado para um grande número de credenciais em um único cache de credenciais

Anteriormente, se o Gerente de Credenciais Kerberos (KCM) continha um grande número de credenciais, as operações Kerberos, tais como kinit, falharam devido a uma limitação do tamanho das entradas no banco de dados e do número dessas entradas.

O Samba não nega mais o acesso ao usar o plug-in de mapeamento sss ID

Anteriormente, quando você executava Samba no membro do domínio com esta configuração e adicionava uma configuração que usava o sss ID mapping back end ao arquivo /etc/samba/smb.conf para compartilhar diretórios, alterações no back end do ID mapping causavam erros. Consequentemente, o Samba negou o acesso aos arquivos em certos casos, mesmo que o usuário ou grupo existisse e fosse conhecido pelo SSSD. O problema foi resolvido. Como resultado, o Samba não nega mais o acesso ao usar o plug-in sss.

Os valores de tempo limite padrão do SSSD não entram mais em conflito uns com os outros

Anteriormente, havia um conflito entre os valores padrão de tempo limite. Os valores padrão para as seguintes opções foram alterados para melhorar a capacidade de failover:

systemctl isolar multi-usuário.target agora exibe o prompt do console

Ao executar o systemctl isola o comando multi-user.target do Terminal GNOME em uma sessão do GNOME Desktop, apenas um cursor foi exibido, e não o prompt do console. Esta atualização corrige o gdm, e o prompt do console é agora exibido como esperado na situação descrita.

O driver do display 'i915' agora suporta configurações de display de até 3×4K.

Anteriormente, não era possível ter configurações de display maiores que 2×4K quando se usava o driver de display 'i915' em uma sessão Xorg. Com esta atualização, o driver 'i915' agora suporta configurações de exibição de até 3×4K.

Os convidados Linux não exibem mais um erro ao inicializar o driver da GPU

Anteriormente, os convidados do Linux retornaram um aviso ao inicializar o driver da GPU. Isto aconteceu porque a Intel Graphics Virtualization Technology -g (GVT -g) apenas simula a interface DisplayPort (DP) para convidados e deixa os registros 'EDP_PSR_IMR' e 'EDP_PSR_IIR' como registros de I/O (MMIO) de leitura/gravação de memória padrão. Para resolver este problema, foram adicionados manipuladores a estes registros e o aviso não é mais devolvido.

É possível fazer login no console web RHEL com o shell session_recording

Anteriormente, não era possível para os usuários do tlog shell (que permite a gravação da sessão) fazer o login no console web RHEL. Esta atualização corrige o bug. O trabalho anterior de adicionar o shell tlog-rec-sessão ao /etc/shells/ deve ser revertido após a instalação desta atualização.

Os dispositivos PCI de conexão a quente a um controlador de ponte pcie-to-pci funcionam corretamente

Anteriormente, se a configuração de uma máquina virtual hóspede contivesse um controlador pcie-to-pci-bridge que não tivesse dispositivos endpoint ligados a ela no momento em que o hóspede foi iniciado, não era possível conectar novos dispositivos a esse controlador. Esta atualização melhora a forma como são tratados os dispositivos PCIe antigos em um sistema PCIe, o que evita que o problema ocorra.

Permitindo a virtualização aninhada não mais bloqueia a migração ao vivo

Anteriormente, a característica de virtualização aninhada era incompatível com a migração ao vivo. Como conseqüência, permitir a virtualização aninhada em um host RHEL 8 impedia a migração de qualquer máquina virtual (VMs) do host, bem como salvar instantâneos do estado da VM para o disco. Esta atualização corrige o problema descrito, e as VMs impactadas agora são possíveis de migrar.

a ferramenta redhat-support agora cria um arquivo sosreport

Anteriormente, o utilitário redhat-support-tool não era capaz de criar um arquivo sosreport. A alternativa era executar o comando sosreport separadamente e depois entrar com o comando redhat-support-tool addattachment -c para carregar o arquivo. Os usuários também podem usar a interface web no Portal do Cliente que cria o caso do cliente e faz o upload do arquivo sosreport.

O TIPC tem total apoio

OTIPC (Transparent Inter Process Communication) é um protocolo especialmente projetado para a comunicação eficiente dentro de clusters de nós frouxamente emparelhados. Ele funciona como um módulo de kernel e fornece uma ferramenta tipc no pacote iproute2 para permitir que os projetistas criem aplicações que possam se comunicar de forma rápida e confiável com outras aplicações, independentemente de sua localização dentro do cluster. Esta característica é agora totalmente suportada no RHEL 8.

eBPF para tc disponível como uma prévia tecnológica

Como uma prévia tecnológica, o subsistema de controle de tráfego (tc) e a ferramenta tc podem anexar programas ampliados de Filtragem de Pacotes Berkeley (eBPF) como classificadores de pacotes e ações para ambas as disciplinas de entrada e saída em fila. Isto permite o processamento programável de pacotes dentro do caminho de dados da rede do kernel.

nmstate disponível como uma Pré-visualização Tecnológica

O Nmstate é um API de rede para hosts. Os pacotes nmstate, disponíveis como uma Technology Preview, fornecem uma biblioteca e o utilitário de linha de comando nmstatectl para gerenciar as configurações de rede do host de forma declarativa. O estado da rede é descrito por um esquema pré-definido. Os relatórios do estado atual e as mudanças para o estado desejado estão ambos de acordo com o esquema.

AF_XDP disponível como uma prévia tecnológica

O soqueteeXpress Data Path(AF_XDP)da família de endereços foi projetado para o processamento de pacotes de alto desempenho. Ele acompanha o XDP e permite o redirecionamento eficiente de pacotes programmaticamente selecionados para aplicações de espaço do usuário para processamento posterior.

XDP disponível como uma prévia de tecnologia

O recurso eXpress Data Path (XDP), disponível como Technology Preview, fornece um meio de anexar programas Berkeley Packet Filter (eBPF) estendidos para processamento de pacotes de alto desempenho em um ponto inicial no caminho de entrada de dados do kernel, permitindo análise, filtragem e manipulação de pacotes programáveis eficientes.

KTLS disponível como uma prévia tecnológica

No Red Hat Enterprise Linux 8, a Kernel Transport Layer Security (KTLS) é fornecida como um Preview de Tecnologia. O KTLS trata os registros TLS usando a criptografia simétrica ou algoritmos de decodificação no kernel para a cifra AES-GCM. O KTLS também fornece a interface para descarregar a criptografia de registros TLS para os Controladores de Interface de Rede (NICs) que suportam esta funcionalidade.

O serviço de solução de sistema está agora disponível como uma Pré-visualização Tecnológica

O serviço resolvido pelo sistema fornece resolução de nomes para aplicações locais. O serviço implementa um resolvedor de stub DNS de cache e validação, uma Resolução de nomes Multicast local (LLMNR) e um resolvedor e respondedor DNS Multicast.

Control Group v2 disponível como uma prévia de tecnologia no RHEL 8

o mecanismoControl Group v2 é um grupo de controle unificado de hierarquia. Control Group v2 organiza os processos hierarquicamente e distribui os recursos do sistema ao longo da hierarquia de forma controlada e configurável.

kexec reinicialização rápida como uma prévia de tecnologia

O recurso de reinicialização rápida do kexec continua disponível como uma Pré-visualização Tecnológica. A reinicialização é agora significativamente mais rápida graças à reinicialização rápida do kexec. Para usar este recurso, carregue o kexec manualmente, e então reinicialize o sistema operacional.

eBPF disponível como uma prévia de tecnologia

Extended Berkeley Packet Filter (eBPF) é uma máquina virtual in-kernel que permite a execução do código no espaço do kernel, no ambiente restrito do sandbox com acesso a um conjunto limitado de funções.

O motorista do igc disponível como uma Tecnologia de Pré-visualização para RHEL 8

O driver Intel Intel 2.5G Ethernet Linux com fio LAN está agora disponível em todas as arquiteturas para o RHEL 8 como uma prévia tecnológica. O utilitário ethtool também suporta as LANs com fio igc.

O NVMe/TCP está disponível como uma prévia tecnológica

Acesso e compartilhamento do armazenamento de memória não volátil expressa (NVMe) através de redes TCP/IP (NVMe/TCP) e seus correspondentes módulos nvme-tcp.ko e nvmet-tcp.ko kernel foram adicionados como uma Pré-visualização tecnológica.

O sistema de arquivo DAX agora está disponível para ext4 e XFS como uma pré-visualização tecnológica

No Red Hat Enterprise Linux 8.1, o sistema de arquivo DAX do Red Hat está disponível como uma Pré-visualização Tecnológica. O DAX fornece um meio para um aplicativo mapear diretamente a memória persistente em seu espaço de endereços. Para usar DAX, um sistema deve ter alguma forma de memória persistente disponível, geralmente na forma de um ou mais NVDIMMs (Non-Volatile Dual In-line Memory Modules), e um sistema de arquivo que suporte DAX deve ser criado no(s) NVDIMM(s). Além disso, o sistema de arquivo deve ser montado com a opção de montagem por dax. Então, um mmap de um arquivo no sistema de arquivo montado por eixo resulta em um mapeamento direto do armazenamento no espaço de endereços da aplicação.

OverlayFS

O OverlayFS é um tipo de sistema de arquivo sindical. Ele permite a sobreposição de um sistema de arquivos sobreposto a outro. As mudanças são registradas no sistema de arquivo superior, enquanto o sistema de arquivo inferior permanece inalterado. Isto permite que vários usuários compartilhem uma imagem do sistema de arquivo, como um container ou um DVD-ROM, onde a imagem base está em uma mídia somente de leitura. Consulte a documentação do kernel do Linux para obter informações adicionais: https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt.

Stratis está agora disponível como uma Pré-visualização Tecnológica

Stratis é um novo gerente de armazenamento local. Ele fornece sistemas de arquivos gerenciados em cima de pools de armazenamento com características adicionais para o usuário.

Um servidor Samba, disponível para usuários IdM e AD logados em hosts IdM, pode agora ser configurado em um membro do domínio IdM como uma Pré-visualização Tecnológica

Com esta atualização, você pode agora configurar um servidor Samba em um membro do domínio de Gerenciamento de Identidade (IdM). O novo utilitário ipa-cliente-samba fornecido pelo pacote com o mesmo nome adiciona um serviço Kerberos específico do Samba-principal à IdM e prepara o cliente IdM. Por exemplo, o utilitário cria o /etc/samba/smb.conf com a configuração de mapeamento de ID para o back end do mapeamento de IDs sss. Como resultado, os administradores podem agora configurar o Samba em um membro do domínio IdM.

Pacemaker podman bundles disponíveis como Technology Preview

Os pacotes de contêineres do Pacemaker agora rodam na plataforma de contêineres do podman, com o recurso de pacote de contêineres disponível como uma Pré-visualização Tecnológica. Há uma exceção a este recurso que é a Technology Preview: A Red Hat suporta totalmente o uso de pacotes de Pacemaker para o Red Hat Openstack.

Heurística em corosync-qdevice disponível como uma Pré-visualização Tecnológica

Heurísticas são um conjunto de comandos executados localmente na inicialização, mudança de membros do cluster, conexão bem sucedida com corosync-qnetd, e, opcionalmente, periodicamente. Quando todos os comandos terminam com sucesso no prazo (seu código de erro de retorno é zero), a heurística passou; caso contrário, falhou. O resultado heurístico é enviado para corosync-qnetd onde é usado nos cálculos para determinar qual partição deve ser quorada.

Novo agente de vedação-agentes-heurístico-ping agente de vedação

Como uma prévia de tecnologia, a Pacemaker agora suporta o agente de vedação_heurística_ping. Este agente visa abrir uma classe de agentes de vedação experimentais que não fazem cercas de verdade por si mesmos, mas, em vez disso, exploram o comportamento dos níveis de cercas de uma nova maneira.

Gerenciamento da Identidade JSON-RPC API disponível como Technology Preview

Um API está disponível para Gerenciamento de Identidade (IdM). Para visualizar o API, o IdM também fornece um navegador API como Technology Preview (Visualização de Tecnologia).

DNSSEC disponível como Technology Preview na IdM

Os servidores de Gerenciamento de Identidade (IdM) com DNS integrado agora suportam Extensões de Segurança DNS (DNSSEC), um conjunto de extensões para o DNS que aumentam a segurança do protocolo DNS. As zonas DNS hospedadas nos servidores IdM podem ser automaticamente assinadas usando DNSSEC. As chaves criptográficas são geradas e giradas automaticamente.

Console remoto VNC disponível como Technology Preview para a arquitetura ARM de 64 bits

Na arquitetura ARM de 64 bits, o console remoto da Virtual Network Computing (VNC) está disponível como uma pré-visualização tecnológica. Observe que o resto da pilha de gráficos não está atualmente verificada para a arquitetura ARM de 64 bits.

O papel post-fix do Sistema RHEL Papéis disponíveis como Previsão Tecnológica

As Funções do Sistema Red Hat Enterprise Linux fornecem uma interface de configuração para os subsistemas do Red Hat Enterprise Linux, o que facilita a configuração do sistema através da inclusão de Funções Ansíveis. Esta interface permite o gerenciamento das configurações do sistema em múltiplas versões do Red Hat Enterprise Linux, bem como a adoção de novos lançamentos principais.

rhel-system-roles-sap disponível como uma Pré-visualização Tecnológica

O pacote rhel-system-roles-sap fornece as funções do sistema Red Hat Enterprise Linux (RHEL) para SAP, que pode ser usado para automatizar a configuração de um sistema RHEL para executar cargas de trabalho SAP. Estas funções reduzem muito o tempo de configuração de um sistema para executar cargas de trabalho SAP, aplicando automaticamente as configurações ideais que são baseadas nas melhores práticas descritas nas Notas SAP relevantes. O acesso é limitado às ofertas da RHEL para soluções SAP. Favor entrar em contato com o Suporte ao Cliente da Red Hat se você precisar de assistência com sua assinatura.

rhel-system-roles-sap rebaseado para a versão 1.1.1

Com a assessoria RHBA-2019:4258, o pacote rhel-system-roles-sap foi atualizado para fornecer múltiplas correções de bugs. Notavelmente:

Selecione adaptadores de rede Intel agora suportam SR-IOV em convidados da RHEL no Hyper-V

Como uma prévia tecnológica, os sistemas operacionais convidados do Red Hat Enterprise Linux rodando em um Hyper-V hypervisor podem agora usar o recurso de virtualização de E/S de raiz única (SR-IOV) para adaptadores de rede Intel suportados pelos drivers ixgbevf e iavf. Este recurso é ativado quando as seguintes condições são atendidas:

A virtualização da KVM é utilizável nas máquinas virtuais RHEL 8 Hyper-V

Como uma prévia de tecnologia, a virtualização KVM aninhada pode agora ser usada no hipervisor Microsoft Hyper-V. Como resultado, você pode criar máquinas virtuais em um sistema RHEL 8 para convidados rodando em um host Hyper-V.

AMD SEV para máquinas virtuais KVM

Como uma prévia de tecnologia, a RHEL 8 introduz o recurso Secure Encrypted Virtualization (SEV) para máquinas host AMD EPYC que utilizam o hipervisor KVM. Se ativada em uma máquina virtual (VM), a SEV criptografa a memória da VM para que o host não possa acessar os dados na VM. Isto aumenta a segurança da VM se o host for infectado com sucesso por malware.

Intel vGPU

Como uma prévia de tecnologia, agora é possível dividir um dispositivo físico Intel GPU em múltiplos dispositivos virtuais chamados de dispositivos mediados. Estes dispositivos mediados podem então ser atribuídos a múltiplas máquinas virtuais (VMs) como GPUs virtuais. Como resultado, estas VMs compartilham a performance de uma única GPU física da Intel.

Virtualização aninhada agora disponível no IBM POWER 9

Como uma prévia tecnológica, agora é possível utilizar os recursos de virtualização aninhados nas máquinas host RHEL 8 rodando em sistemas IBM POWER 9. A virtualização aninhada permite que as máquinas virtuais KVM (VMs) atuem como hipervisores, o que permite a execução de VMs dentro de VMs.

Criando máquinas virtuais aninhadas

Como uma prévia de tecnologia, a virtualização aninhada está disponível para máquinas virtuais KVM (VMs) no RHEL 8. Com esta característica, uma VM que funciona em um host físico pode atuar como um hipervisor, e hospedar suas próprias VMs.

Vários comandos e opções de Kickstart foram depreciados

Usando os seguintes comandos e opções nos arquivos Kickstart RHEL 8, será impresso um aviso nos logs.

A opção --interativa do comando Kickstart ignorado foi depreciada

O uso da opção --interativa em futuros lançamentos do Red Hat Enterprise Linux resultará em um erro fatal de instalação. É recomendado modificar seu arquivo Kickstart para remover a opção.

O comando rpmbuild --sign foi depreciado

Com esta atualização, o comando rpmbuild --sign tornou-se depreciado. O uso deste comando em futuros lançamentos do Red Hat Enterprise Linux pode resultar em um erro. É recomendado que você use o comando rpmsign em seu lugar.

TLS 1.0 e TLS 1.1 são depreciados

Os protocolos TLS 1.0 e TLS 1.1 estão desabilitados no nível da política criptográfica do sistema DEFAULT. Se seu cenário, por exemplo, uma aplicação de videoconferência no navegador Firefox, exigir o uso dos protocolos depreciados, mude a política criptográfica de todo o sistema para o nível LEGACY:

A DSA é depreciada no RHEL 8

O Algoritmo de Assinatura Digital (DSA) é considerado depreciado no Red Hat Enterprise Linux 8. Os mecanismos de autenticação que dependem das chaves DSA não funcionam na configuração default. Note que os clientes OpenSSH não aceitam chaves de host DSA mesmo no nível da política criptográfica do sistema LEGACY.

SSL2 Cliente Olá foi depreciado no NSS

A versão 1.2 e anterior do protocolo Transport Layer Security(TLS) permite iniciar uma negociação com um Cliente Mensagem de Alô formatada de forma retrocompatível com o protocolo Secure Sockets Layer(SSL) versão 2. O suporte a este recurso na biblioteca de Serviços de Segurança de Rede(NSS) foi depreciado e está desativado por padrão.

TPM 1.2 é depreciado

A versão padrão do processador criptográfico seguro Trusted Platform Module (TPM) foi atualizada para a versão 2.0 em 2016. O TPM 2.0 oferece muitas melhorias em relação ao TPM 1.2, e não é retrocompatível com a versão anterior. O TPM 1.2 é depreciado no RHEL 8, e pode ser removido no próximo grande lançamento.

Os roteiros de rede são depreciados no RHEL 8

Os scripts de rede são depreciados no Red Hat Enterprise Linux 8 e não são mais fornecidos por default. A instalação básica fornece uma nova versão dos scripts ifup e ifdown que chamam o serviço NetworkManager através da ferramenta nmcli. No Red Hat Enterprise Linux 8, para rodar os scripts ifup e ifdown, o NetworkManager deve estar rodando.

A bota sem disco foi depreciada

A inicialização sem disco permite que múltiplos sistemas compartilhem um sistema de arquivos raiz através da rede. Embora conveniente, é propenso a introduzir latência de rede em cargas de trabalho em tempo real. Com uma atualização menor futura da RHEL para Real Time 8, a inicialização diskless não será mais suportada.

O motorista qla3xxx é depreciado

O driver qla3xxx foi depreciado no RHEL 8. O driver provavelmente não será suportado em futuros lançamentos importantes deste produto e, portanto, não é recomendado para novas implantações.

Os motoristas dl2k, dnet, ethoc, e dlci são depreciados

Os motoristas dl2k, dnet, ethoc e dlci foram depreciados no RHEL 8. Os motoristas provavelmente não serão apoiados em grandes lançamentos futuros deste produto e, portanto, não são recomendados para novas implantações.

O parâmetro da linha de comando do kernel do elevador é depreciado

O parâmetro de linha de comando do kernel do elevador foi usado em versões anteriores do RHEL para definir o programador de discos para todos os dispositivos. No RHEL 8, o parâmetro é depreciado.

O NFSv3 sobre UDP foi desativado

O servidor NFS não abre mais ou escuta em um soquete do User Datagram Protocol (UDP) por padrão. Esta mudança afeta apenas a versão 3 do NFS porque a versão 4 requer o Protocolo de Controle de Transmissão (TCP).

A biblioteca de pirâmides de librogênios foi desativada

A biblioteca libgnome-keyring foi depreciada em favor da biblioteca libsecret, pois a libgnome-keyring não é mantida a montante, e não segue as políticas criptográficas necessárias para a RHEL. A nova biblioteca libsecret é a substituição que segue os padrões de segurança necessários.

As placas gráficas AGP não são mais suportadas

Placas gráficas usando o barramento Accelerated Graphics Port (AGP) não são suportadas no Red Hat Enterprise Linux 8. Use as placas gráficas com o barramento PCI-Express como a substituição recomendada.

O console web não suporta mais traduções incompletas

O console web RHEL não fornece mais traduções para os idiomas que têm traduções disponíveis para menos de 50% das cordas traduzíveis do Console. Se o navegador solicitar a tradução para tal idioma, a interface do usuário será em inglês.

virt-manager foi depreciado

O aplicativo Virtual Machine Manager, também conhecido como virt-manager, foi desativado. O console web RHEL 8, também conhecido como Cockpit, tem a intenção de se tornar seu substituto em um lançamento posterior. É, portanto, recomendado que você utilize o console web para gerenciar a virtualização em uma GUI. Observe, entretanto, que alguns recursos disponíveis em virt-manager podem ainda não estar disponíveis no console web RHEL 8.

Snapshots de máquinas virtuais não são devidamente suportados no RHEL 8

O atual mecanismo de criação de instantâneos de máquinas virtuais (VM) foi depreciado, pois não está funcionando de forma confiável. Como conseqüência, recomenda-se não utilizar instantâneos de VM no RHEL 8.

O tipo de GPU virtual Cirrus VGA foi depreciado

Com uma futura grande atualização do Red Hat Enterprise Linux, o dispositivo GPU Cirrus VGA não será mais suportado nas máquinas virtuais KVM. Portanto, a Red Hat recomenda o uso dos dispositivos stdvga, virtio-vga, ou qxl ao invés do Cirrus VGA.

Os comandos auth e authconfig Kickstart requerem o repositório AppStream

O pacote authselect-compat é exigido pelos comandos auth e authconfig Kickstart durante a instalação. Sem este pacote, a instalação falha se o auth ou authconfig forem usados. Entretanto, por projeto, o pacote authselect-compat está disponível apenas no repositório AppStream.

Os comandos reboot --kexec e inst.kexec não fornecem um estado previsível do sistema

Realizar uma instalação RHEL com o comando de reinicialização --kexec Kickstart ou os parâmetros de inicialização do kernel inst.kexec não fornecem o mesmo estado previsível do sistema que uma reinicialização completa. Como conseqüência, mudar para o sistema instalado sem reinicialização pode produzir resultados imprevisíveis.

A instalação do Anaconda inclui baixos limites de recursos mínimos para a definição dos requisitos

O Anaconda inicia a instalação em sistemas com o mínimo de recursos necessários disponíveis e não fornece aviso prévio de mensagens sobre os recursos necessários para realizar a instalação com sucesso. Como resultado, a instalação pode falhar e os erros de saída não fornecem mensagens claras para uma possível depuração e recuperação. Para contornar este problema, certifique-se de que o sistema tenha as configurações mínimas de recursos necessários para a instalação: 2GB de memória em PPC64(LE) e 1GB em x86_64. Como resultado, deve ser possível realizar uma instalação bem sucedida.

A instalação falha ao usar o comando reboot --kexec

A instalação do RHEL 8 falha ao utilizar um arquivo Kickstart que contém o comando reboot --kexec. Para evitar o problema, use o comando reboot ao invés de reiniciar --kexec em seu arquivo Kickstart.

Suporte de inicialização segura para s390x no instalador

A RHEL 8.1 fornece suporte para a preparação de discos de inicialização para uso em ambientes IBM Z que reforçam o uso de inicialização segura. As capacidades do servidor e do Hypervisor utilizadas durante a instalação determinam se o formato resultante no disco contém ou não suporte seguro de inicialização. Não há maneira de influenciar o formato on-disk durante a instalação.

A configuração inicial do RHEL 8 não pode ser feita via SSH

Atualmente, a interface de configuração inicial do RHEL 8 não é exibida quando conectado ao sistema usando SSH. Como conseqüência, é impossível realizar a configuração inicial em uma máquina RHEL 8 gerenciada via SSH. Para contornar este problema, realize a configuração inicial no console principal do sistema (ttyS0) e, posteriormente, efetue o log in usando SSH.

O valor padrão para a opção secure= boot não está definido para auto

Atualmente, o valor padrão para a opção secure= boot não está definido como automático. Como conseqüência, o recurso de boot seguro não está disponível porque o padrão atual está desativado. Para contornar este problema, defina manualmente secure=auto na seção [defaultboot] do arquivo /etc/zipl.conf. Como resultado, o recurso de boot seguro é disponibilizado. Para mais informações, consulte a página de manual do zipl.conf.

Copiar o conteúdo do arquivo Binário DVD.iso para uma partição omite os arquivos .treeinfo e .discinfo

Durante a instalação local, ao copiar o conteúdo do DVD.iso binário RHEL 8 para uma partição, o * no comando cp <path>/\* <mounted partition>/dir não copia os arquivos .treeinfo e .discinfo. Estes arquivos são necessários para uma instalação bem sucedida. Como resultado, os repositórios BaseOS e AppStream não são carregados, e uma mensagem de log relacionada a depuração no arquivo anaconda.log é o único registro do problema.

O servidor HTTPS autoassinado não pode ser usado na instalação Kickstart

Atualmente, o instalador falha na instalação a partir de um servidor https autoassinado quando a fonte de instalação é especificada no arquivo kickstart e a opção --noverifyssl é utilizada:

yum repolist termina no primeiro repositório indisponível com skip_if_unavailable=false

A opção de configuração do repositório Skip_if_una disponível é, por padrão, definida como segue:

os addons syspurpose addons não têm efeito sobre o gerenciador de assinaturas anexar --auto saída.

No Red Hat Enterprise Linux 8, quatro atributos da ferramenta de linha de comando syspurpose foram adicionados: role,use, service_level_agreement e addons. Atualmente, apenas role, usage e service_level_agreement afetam a saída da execução do gerenciador de assinatura anexado --auto comando. Os usuários que tentarem definir valores para o argumento dos addons não observarão qualquer efeito nas assinaturas que são auto-atribuídas.

As aplicações que utilizam o protocolo Wayland não podem ser encaminhadas para servidores de exibição remota

No Red Hat Enterprise Linux 8.1, a maioria das aplicações usa o protocolo Wayland por default ao invés do protocolo X11. Como conseqüência, o servidor ssh não pode encaminhar as aplicações que usam o protocolo Wayland, mas é capaz de encaminhar as aplicações que usam o protocolo X11 para um servidor de exibição remota.

systemd-resolved.service não inicia na inicialização

O serviço resolvido pelo sistema ocasionalmente não inicia na inicialização. Se isto acontecer, reinicie o serviço manualmente após o boot terminar, usando o seguinte comando:

Apoio ao DNSSEC no dnsmasq

O pacote dnsmasq introduz o suporte de Domain Name System Security Extensions (DNSSEC) para verificação de informações de hostname recebidas de servidores raiz.

aferramenta de apoio aos adesivos não funciona com a política de criptografia do FUTURO

Como uma chave criptográfica utilizada por um certificado no API do Portal do Cliente não atende aos requisitos da política de criptografia do FUTURO em todo o sistema, o utilitário de suporte de adesivos não funciona com este nível de política no momento. Para contornar este problema, utilize a política de criptografia DEFAULT enquanto se conecta ao API do Portal do Cliente.

SELINUX=desabilitado em /etc/selinux/config não funciona corretamente

A desativação do SELinux utilizando a opção SELINUX=desabilitado no /etc/selinux/config resulta em um processo no qual o kernel inicia com o SELinux habilitado e muda para o modo desabilitado mais tarde no processo de inicialização. Isto pode causar vazamentos de memória e condições de corrida e, conseqüentemente, também pânico no kernel. Para contornar este problema, desative o SELinux adicionando o parâmetro selinux=0 à linha de comando do kernel, conforme descrito na seção Mudando os modos SELinux no momento do boot da seção Usando o título SELinux se seu cenário realmente precisar desabilitar completamente o SELinux.

libselinux-python só está disponível através de seu módulo

O pacote libselinux-python contém apenas ligas Python 2 para o desenvolvimento de aplicações SELinux e é usado para compatibilidade retroativa. Por esta razão, libselinux-python não está mais disponível nos repositórios padrão RHEL 8 através do comando dnf install libselinux-python.

udica processa recipientes UBI 8 somente quando iniciada com --env container=podman

Os recipientes Red Hat Universal Base Image 8 (UBI 8) definem a variável de ambiente do recipiente para o valor oci ao invés do valor podman. Isto impede que a ferramenta udica analise um arquivo JavaScript Object Notation (JSON) de um recipiente.

A remoção da embalagem rpm-plugin-selinux leva à remoção de todas as embalagens de selinux-policy do sistema

A remoção do pacote rpm-plugin-selinux desabilita a SELinux na máquina. Também remove todas as embalagens de selinux-policy do sistema. Instalação repetida do pacote rpm-plugin-selinux, então instala a política SELinux-policy-minimum SELinux, mesmo que a política selinux-policy-target estivesse previamente presente no sistema. Entretanto, a instalação repetida não atualiza o arquivo de configuração do SELinux para contabilizar a mudança na política. Como conseqüência, o SELinux é desativado mesmo após a reinstalação do pacote rpm-plugin-selinux.

SELinux impede que o systemd-journal-gatewayd chame newfstat() em arquivos de memória compartilhada criados pela corosync

A política SELinux não contém uma regra que permita que o daemon do sistema-journal-gatewayd tenha acesso aos arquivos criados pelo serviço corosync. Como consequência, o SELinux nega a função systemd-journal-gatewayd para chamar a função newfstat() nos arquivos de memória compartilhada criados pela corosync.

Efeitos negativos da configuração padrão de registro sobre o desempenho

A configuração padrão do ambiente de registro pode consumir 4 GB de memória ou até mais e os ajustes dos valores limite de taxa são complexos quando o sistema-journald está rodando com o rsyslog.

Parâmetro errosnão conhecidos na saída do rsyslog com config.enabled

Na saída do rsyslog, ocorre um erro inesperado no processamento da configuração usando a diretiva config.enabled. Como conseqüência, os erros não conhecidos são exibidos durante o uso da diretiva config.enabled, exceto para as instruções include().

Certas cordas prioritárias rsyslog não funcionam corretamente

O suporte para a cadeia de prioridade GnuTLS para imtcp que permite um controle fino sobre a criptografia não está completo. Conseqüentemente, as seguintes cadeias de prioridade não funcionam corretamente no rsyslog:

As conexões a servidores com assinaturas SHA-1 não funcionam com GnuTLS

As assinaturas SHA-1 nos certificados são rejeitadas pela biblioteca de comunicações seguras GnuTLS como inseguras. Consequentemente, as aplicações que usam GnuTLS como backend TLS não podem estabelecer uma conexão TLS com os colegas que oferecem tais certificados. Este comportamento é inconsistente com outras bibliotecas criptográficas do sistema. Para contornar este problema, atualize o servidor para usar certificados assinados com SHA-256 ou hash mais forte, ou mude para a política LEGACY.

TLS 1.3 não funciona em NSS no modo FIPS

O TLS 1.3 não é suportado em sistemas que funcionam no modo FIPS. Como resultado, as conexões que requerem o TLS 1.3 para interoperabilidade não funcionam em um sistema que trabalha em modo FIPS.

OpenSSL manipula incorretamente as fichas PKCS #11 que não suportam assinaturas RSA ou RSA-PSS brutas

A biblioteca OpenSSL não detecta as capacidades relacionadas às chaves de fichas PKCS #11. Conseqüentemente, o estabelecimento de uma conexão TLS falha quando uma assinatura é criada com um token que não suporta assinaturas RSA ou RSA-PSS brutas.

A biblioteca OpenSSL TLS não detecta se a ficha PKCS#11 suporta a criação de assinaturas RSA ou RSA-PSS brutas

O protocolo TLS-1.3 requer o suporte para a assinatura do RSA-PSS. Se o token PKCS#11 não suportar assinaturas RSA ou RSA-PSS brutas, as aplicações servidoras que usam a biblioteca OpenSSL TLS não funcionarão com a chave RSA se ela estiver na posse do token PKCS#11. Como resultado, a comunicação TLS falhará.

OpenSSL gera uma extensão de status_request malformado na mensagem CertificateRequest no TLS 1.3

Os servidores OpenSSL enviam uma extensão mal-formada status_request na mensagem CertificateRequest se o suporte para a extensão status_request e autenticação baseada no certificado do cliente estiverem habilitados. Nesse caso, o OpenSSL não interopera com implementações que estejam em conformidade com o protocolo RFC 8446. Como resultado, os clientes que verificam corretamente as extensões na mensagem 'CertificateRequest' abortam as conexões com o servidor OpenSSL. Para contornar este problema, desabilite o suporte para o protocolo TLS 1.3 em ambos os lados da conexão ou desabilite o suporte para status_request no servidor OpenSSL. Isto evitará que o servidor envie mensagens mal-formadas.

o ssh-keyscan não pode recuperar chaves RSA de servidores em modo FIPS

O algoritmo SHA-1 é desativado para assinaturas RSA no modo FIPS, o que impede que o utilitário ssh-keyscan recupere chaves RSA de servidores que operam nesse modo.

a correção das regras de Auditoria pelo PCI-DSS não funciona corretamente

O pacote de guia de segurança de scap contém uma combinação de remediação e uma verificação que pode resultar em um dos seguintes cenários:

Certos conjuntos de regras interdependentes no SSG podem falhar

A remediação das regras do Guia de Segurança SCAP (SSG) em um padrão de referência pode falhar devido à ordenação indefinida das regras e suas dependências. Se duas ou mais regras precisam ser executadas em uma determinada ordem, por exemplo, quando uma regra instala um componente e outra regra configura o mesmo componente, elas podem ser executadas na ordem errada e a remediação informa um erro. Para contornar este problema, execute a correção duas vezes e a segunda execução corrige as regras dependentes.

Um serviço de segurança e verificação de conformidade de contêineres não está disponível

No Red Hat Enterprise Linux 7, o utilitário oscap-docker pode ser usado para escaneamento de containers Docker baseado em tecnologias atômicas. No Red Hat Enterprise Linux 8, os comandos Docker- e Atomic relacionados a OpenSCAP não estão disponíveis.

OpenSCAP não fornece escaneamento offline de máquinas e recipientes virtuais

A refatoração do OpenSCAP codebase fez com que certas sondas RPM falhassem na varredura de VM e sistemas de arquivos de containers em modo off-line. Por esse motivo, as seguintes ferramentas foram removidas do pacote openscap-utils: oscap-vm e oscap-chroot. Além disso, o pacote openscap-containers foi completamente removido.

OpenSCAP rpmverifypackage não funciona corretamente

As chamadas ao sistema chdir e chroot são chamadas duas vezes pela sonda rpmverifypackage. Conseqüentemente, ocorre um erro quando a sonda é utilizada durante uma varredura OpenSCAP com conteúdo personalizado de Open Vulnerability and Assessment Language (OVAL).

SCAP Workbench não gera remediações baseadas em resultados a partir de perfis personalizados

O seguinte erro ocorre quando se tenta gerar funções de remediação baseadas em resultados a partir de um perfil personalizado usando a ferramenta SCAP Workbench:

OSCAP Anaconda Addon não instala todos os pacotes em modo texto

O plugin OSCAP Anaconda Addon não pode modificar a lista de pacotes selecionados para instalação pelo instalador do sistema se a instalação estiver rodando em modo texto. Conseqüentemente, quando um perfil de política de segurança é especificado usando Kickstart e a instalação está rodando em modo texto, quaisquer pacotes adicionais exigidos pela política de segurança não são instalados durante a instalação.

OSCAP Anaconda Addon não lida corretamente com perfis personalizados

O plug-in OSCAP Anaconda Addon não lida adequadamente com perfis de segurança com personalizações em arquivos separados. Conseqüentemente, o perfil personalizado não está disponível na instalação gráfica RHEL, mesmo quando você o especifica corretamente na seção Kickstart correspondente.

A formatação da saída verbosa dos arptables agora corresponde ao formato da utilidade no RHEL 7

No RHEL 8, o pacote iptables-arptables fornece uma substituição baseada em nftables do utilitário arptables. Anteriormente, a saída verbosa do arptables separava os valores do contador apenas com uma vírgula, enquanto o arptables no RHEL 7 separava a saída descrita tanto com um espaço quanto com uma vírgula. Como conseqüência, se você usou scripts criados no RHEL 7 que analisavam a saída do comando arptables -v -L, você tinha que ajustar estes scripts. Esta incompatibilidade foi corrigida. Como resultado, o arptables no RHEL 8.1 agora também separa os valores do contador com um espaço e uma vírgula.

nftables não suporta os tipos de conjuntos IP multidimensionais

A estrutura de filtragem de pacotes nftables não suporta tipos de conjuntos com concatenações e intervalos. Consequentemente, não é possível usar tipos de conjunto IP multidimensional, como hash:net, porta, com nftables.

O tráfego de rede IPsec falha durante a descarga de IPsec quando o GRO é desativado

Não se espera que a descarga IPsec funcione quando a descarga de recepção genérica (GRO) estiver desativada no dispositivo. Se o descarregamento de IPsec estiver configurado em uma interface de rede e o GRO estiver desabilitado nesse dispositivo, o tráfego de rede IPsec falha.

O módulo i40iw não é carregado automaticamente na inicialização

Devido a muitos DNIs i40e não suportarem iWarp e o módulo i40iw não suportar totalmente suspensão/resumo, este módulo não é carregado automaticamente por padrão para garantir que a suspensão/resumo funcione corretamente. Para resolver este problema, edite manualmente o arquivo /lib/udev/rules.d/90-rdma-hw-modules.rules para permitir o carregamento automático de i40iw.

A interface de rede é renomeada para kdump -<interface-nomee> quando o fadump é usado

Quando o dump assistido por firmwares(fadump) é utilizado para capturar um vmcore e armazená-lo em uma máquina remota usando o protocolo SSH ou NFS, a interface de rede é renomeada para kdump -<interface-nome_TERNGREGUNA- se <interface-nome_TERNGREGUNA- for genérica, por exemplo, *eth#, ou net#. Este problema ocorre porque os scripts de captura vmcore no disco inicial da RAM(initrd) adicionam o prefixo kdump- ao nome da interface de rede para garantir a nomeação persistente. O mesmo initrd é usado também para uma inicialização regular, de modo que o nome da interface é alterado também para o kernel de produção.

Sistemas com uma grande quantidade de experiências de memória persistente atrasam durante o processo de inicialização

Sistemas com uma grande quantidade de memória persistente levam muito tempo para arrancar porque a inicialização da memória é feita em série. Consequentemente, se houver sistemas de arquivo de memória persistente listados no arquivo /etc/fstab, o sistema pode demorar enquanto espera que os dispositivos fiquem disponíveis. Para contornar este problema, configure a opção DefaultTimeoutStartSec no arquivo /etc/systemd/system.conf para um valor suficientemente grande.

A KSM às vezes ignora as políticas de memória NUMA

Quando o recurso de memória compartilhada do kernel (KSM) é ativado com o parâmetro merge_across_nodes=1, o KSM ignora as políticas de memória definidas pela função mbind(), e pode fundir páginas de algumas áreas de memória com nós de Acesso Não-Uniforme à Memória (NUMA) que não correspondem às políticas.

O sistema entra no modo de emergência no momento da inicialização quando o fadump é ativado

O sistema entra no modo de emergência quando fadump (kdump) ou dracut o módulo squash é ativado no esquema initramfs porque o gerente systemd não consegue pegar as informações de montagem e configurar a partição LV para montar. Para contornar este problema, adicione o seguinte parâmetro de linha de comando do kernel rd.lvm.lv=<VG>/<LV> para descobrir e montar a partição LV falhada de forma apropriada. Como resultado, o sistema inicializará com sucesso no cenário descrito.

O uso do irqpoll na linha de comando do kdump kernel causa uma falha na geração de vmcore

Devido a um problema subjacente existente com o driver nvme nas arquiteturas ARM de 64 bits rodando nas plataformas de nuvem da Amazon Web Services (AWS), a geração vmcore falha se o argumento da linha de comando irqpoll kdump for fornecido ao primeiro kernel. Conseqüentemente, nenhum vmcore é despejado no diretório /var/crash/ após uma falha do kernel. Para contornar este problema:

O núcleo de depuração não inicia no ambiente de captura de falhas no RHEL 8

Devido à natureza exigente de memória do núcleo de depuração, ocorre um problema quando o núcleo de depuração está em uso e um pânico do núcleo é desencadeado. Como conseqüência, o kernel debug não é capaz de inicializar como o kernel de captura, e em seu lugar é gerado um traço de pilha. Para contornar este problema, aumente a memória do kernel debug de acordo. Como resultado, o kernel debug arranca com sucesso no ambiente de captura de falhas.

as mudanças desoftirq podem fazer com que a interface do localhost deixe cair os pacotes UDP quando sob carga pesada

Mudanças no manuseio do software de interrupção(softirq) do kernel Linux são feitas para reduzir os efeitos da negação de serviço (DOS). Conseqüentemente, isto leva a situações em que a interface localhost deixa cair os pacotes do Protocolo de Datagramas do Usuário (UDP) sob carga pesada.

O cão de guarda da HP NMI em alguns casos não gera um depósito de lixo

O motorista hpwdt para o cão de guarda HP NMI às vezes não é capaz de reivindicar uma interrupção não-máscara (NMI) gerada pelo temporizador HPE, porque o NMI foi consumido pelo motorista perfmon. Como conseqüência, o hpwdt em alguns casos não pode chamar de pânico para gerar um despejo de colisão.

A instalação do RHEL 8.1 em um sistema de teste configurado com uma placa QL41000 resulta em pânico no kernel

Enquanto instala o RHEL 8.1 em um sistema de teste configurado com uma placa QL41000, o sistema é incapaz de lidar com a dereferência de ponteiro NULL do kernel na placa 000000000000003c. Como conseqüência, ele resulta em um erro de pânico no kernel. Não há trabalho disponível para este problema.

O driver cxgb4 causa uma falha no kdump kernel

O kdump kernel quebra ao tentar salvar informações no arquivo vmcore. Conseqüentemente, o driver cxgb4 impede que o kdump kernel salve um núcleo para análise posterior. Para contornar este problema, adicione o parâmetro "novmcoredd" à linha de comando do kdump kernel para permitir salvar os arquivos do núcleo.

Alguns drivers SCSI podem às vezes usar uma quantidade excessiva de memória

Alguns motoristas SCSI usam uma quantidade maior de memória do que na RHEL 7. Em certos casos, tais como a criação de vPort em um adaptador de barramento host Fibre Channel (HBA), o uso de memória pode ser excessivo, dependendo da configuração do sistema.

A VDO não pode suspender até que a UDS tenha terminado a reconstrução

Quando um volume do Virtual Data Optimizer (VDO) começa após um desligamento do sistema imundo, ele reconstrói o índice do Serviço de Deduplicação Universal (UDS). Se você tentar suspender o volume do VDO usando o comando dmsetup suspender enquanto o índice UDS estiver sendo reconstruído, o comando suspender pode ficar sem resposta. O comando só termina depois que a reconstrução é feita.

Um patch NFS 4.0 pode resultar em um desempenho reduzido sob uma carga de trabalho pesada e aberta

Anteriormente, foi corrigido um bug que, em alguns casos, poderia fazer com que uma operação NFS aberta ignorasse o fato de que um arquivo tinha sido removido ou renomeado no servidor. Entretanto, a correção pode causar um desempenho mais lento com cargas de trabalho que requerem muitas operações abertas. Para contornar este problema, poderia ajudar a usar a versão 4.1 ou superior do NFS, que foi melhorada para conceder delegações aos clientes em mais casos, permitindo aos clientes realizar operações abertas localmente, de forma rápida e segura.

nginx não pode carregar certificados de servidor a partir de fichas de segurança de hardware

O servidor web nginx suporta o carregamento de chaves privadas TLS a partir de tokens de segurança de hardware diretamente dos módulos PKCS#11. Entretanto, atualmente é impossível carregar certificados de servidor a partir de tokens de segurança de hardware através do URI PKCS#11. Para contornar este problema, armazenar certificados de servidor no sistema de arquivos

php-fpm faz com que o SELinux AVC seja negado quando o php-opcache é instalado com PHP 7.2

Quando o pacote php-opcache é instalado, o Gerenciador de Processos FastCGI(php-fpm) faz com que a SELinux AVC seja negada. Para contornar este problema, altere a configuração padrão no arquivo /etc/php.d/10-opcache.ini para o seguinte:

A ferramenta ltrace não informa as chamadas de função

Devido a melhorias no endurecimento binário aplicadas a todos os componentes RHEL, a ferramenta ltrace não pode mais detectar chamadas de função em arquivos binários provenientes de componentes RHEL. Como conseqüência, a saída ltrace está vazia porque não relata nenhuma chamada detectada quando usada em tais arquivos binários. Não há nenhuma solução atualmente disponível.

Usuários AD com contas expiradas podem ser autorizados a fazer o login ao usar a autenticação GSSAPI

O atributo accountExpires que o SSSD usa para ver se uma conta expirou não é replicada para o catálogo global por padrão. Como resultado, os usuários com contas expiradas podem fazer o login ao usar a autenticação GSSAPI. Para contornar este problema, o suporte do catálogo global pode ser desativado especificando ad_enable_gc=False no arquivo sssd.conf. Com esta configuração, os usuários com contas expiradas serão negados o acesso ao usar a autenticação GSSAPI.

Usando o utilitário cert-fix com a opção --agent-uid pkidbuser break Certificate System

O uso do utilitário cert-fix com a opção --agent-uid pkidbuser corrompe a configuração LDAP do Sistema de Certificado. Como conseqüência, o Sistema de Certificado pode se tornar instável e são necessários passos manuais para recuperar o sistema.

A mudança /etc/nsswitch.conf requer uma reinicialização manual do sistema

Qualquer alteração no arquivo /etc/nsswitch.conf, por exemplo rodando o comando authselect select profile_id, requer uma reinicialização do sistema para que todos os processos relevantes usem a versão atualizada do arquivo /etc/nsswitch.conf. Se uma reinicialização do sistema não for possível, reinicie o serviço que une seu sistema ao Active Directory, que é o System Security Services Daemon (SSSD) ou winbind.

Nenhuma informação sobre os registros DNS necessários exibidos ao permitir o suporte à confiança do AD na IdM

Ao permitir o suporte à confiança do Active Directory (AD) na instalação do Red Hat Enterprise Linux Identity Management (IdM) com gerenciamento DNS externo, nenhuma informação sobre os registros DNS necessários é exibida. A confiança da floresta no AD não é bem sucedida até que os registros DNS requeridos sejam adicionados. Para contornar este problema, execute o comando 'ipa dns-update-system-records --dry-run' para obter uma lista de todos os registros DNS requeridos pelo IdM. Quando o DNS externo para o domínio IdM definir os registros DNS necessários, é possível estabelecer a confiança da floresta no AD.

SSSD devolve a adesão incorreta ao grupo LDAP para usuários locais

Se o Serviço de Segurança do Sistema Daemon (SSSD) atende usuários de arquivos locais, o provedor de arquivos não inclui membros de grupo de outros domínios. Como conseqüência, se um usuário local é membro de um grupo LDAP, o comando id local_user não retorna a filiação do usuário ao grupo LDAP. Para contornar o problema, ou reverta a ordem dos bancos de dados onde o sistema está procurando a filiação em grupo de usuários no arquivo /etc/nsswitch.conf, substituindo arquivos sss por arquivos sss, ou desabilite o domínio de arquivos implícito, adicionando

As configurações padrão do PAM para o usuário do sistema foram alteradas no RHEL 8, o que pode influenciar o comportamento do SSSD

A pilha de módulos de autenticação Pluggable (PAM) mudou no Red Hat Enterprise Linux 8. Por exemplo, a sessão do usuário do sistema agora inicia uma conversa PAM usando o serviço PAM do usuário do sistema. Este serviço agora inclui recursivamente o serviço PAM system-auth, que pode incluir a interface pam_sss.so. Isto significa que o controle de acesso SSSD é sempre chamado.

O SSSD não lida corretamente com múltiplas regras de correspondência de certificados com a mesma prioridade

Se um determinado certificado corresponde a várias regras de correspondência de certificados com a mesma prioridade, o System Security Services Daemon (SSSD) utiliza apenas uma das regras. Como alternativa, use uma única regra de correspondência de certificado cujo filtro LDAP consiste nos filtros das regras individuais concatenadas com o | (ou) operador. Para exemplos de regras de correspondência de certificados, consulte a página de manual sss-certamp(5).

Grupos privados não podem ser criados com auto_private_group = híbrido quando múltiplos domínios são definidos

Grupos privados não podem ser criados com a opção auto_private_group = híbrido quando múltiplos domínios são definidos e a opção híbrida é usada por qualquer domínio que não seja o primeiro. Se um domínio de arquivos implícito for definido junto com um domínio AD ou LDAP no arquivo sssd.conf e não estiver marcado como `MPG_HYBRID, então o SSSD falha em criar um grupo privado para um usuário que tem uid=gid e o grupo com este gid não existe no AD ou LDAP.

python-ply não é compatível com FIPS

O módulo YACC do pacote python-ply utiliza o algoritmo de hashing MD5 para gerar a impressão digital de uma assinatura YACC. Entretanto, o modo FIPS bloqueia o uso do MD5, que só é permitido em contextos sem segurança. Como conseqüência, o python-ply não é compatível com o FIPS. Em um sistema em modo FIPS, todas as chamadas para ply.yacc.yacc() falham com a mensagem de erro:

Limitações da sessão Wayland

Com o Red Hat Enterprise Linux 8, o ambiente GNOME e o Gerenciador de Exibição GNOME (GDM) usam Wayland como o tipo de sessão default ao invés da sessão X11, que foi usada com a versão anterior principal da RHEL.

O drag-and-drop não funciona entre a área de trabalho e as aplicações

Devido a um bug no pacote gnome-shell-extensions, a funcionalidade de arrastar e soltar não funciona atualmente entre o desktop e as aplicações. O suporte para este recurso será adicionado de volta em um lançamento futuro.

Não é possível desativar os repositórios flatpak dos Repositórios de Software

Atualmente, não é possível desativar ou remover os repositórios flatpak na ferramenta Repositórios de Software no utilitário Software GNOME.

Geração 2 RHEL 8 máquinas virtuais às vezes não inicializam nos hosts do Hyper-V Server 2016

Ao usar o RHEL 8 como sistema operacional convidado em uma máquina virtual (VM) rodando em um host Microsoft Hyper-V Server 2016, a VM, em alguns casos, falha no boot e retorna ao menu de boot do GRUB. Além disso, o seguinte erro é registrado no registro de eventos do Hyper-V:

GNOME Shell on Wayland funciona lentamente quando se usa um renderizador de software

Ao usar um renderizador de software, o GNOME Shell como um compositor Wayland (GNOME Shell on Wayland) não usa um framebuffer cacheável para renderizar a tela. Conseqüentemente, GNOME Shell on Wayland é lento. Para resolver o problema, vá para a tela de login do GNOME Display Manager (GDM) e mude para uma sessão que use o protocolo X11. Como resultado, o servidor de exibição Xorg, que usa memória cacheável, é usado, e GNOME Shell on Xorg na situação descrita tem um desempenho mais rápido em comparação com GNOME Shell on Wayland.

A falha do sistema pode resultar na perda da configuração do fadump

Este número é observado em sistemas onde o dump assistido por firmwares (fadump) está habilitado, e a partição de inicialização está localizada em um sistema de arquivo de journaling como o XFS. Uma falha do sistema pode fazer com que o carregador de inicialização carregue um initrd mais antigo que não tenha o suporte de captura de dump habilitado. Conseqüentemente, após a recuperação, o sistema não captura o arquivo vmcore, o que resulta na perda da configuração fadump.

radeon falha em reiniciar o hardware corretamente

O driver do kernel radeon atualmente não reinicia corretamente o hardware no contexto do kexec. Em vez disso, o radeon cai, o que faz com que o resto do serviço kdump falhe.

Usuários sem privilégios podem acessar a página de Assinaturas

Se um não-administrador navegar para a página Subscriptions do console web, o console web exibe uma mensagem de erro genérica "Cockpit teve um erro interno inesperado".

O uso do cloud-init para fornecer máquinas virtuais no Microsoft Azure falha

Atualmente, não é possível usar o utilitário de nuvem para fornecer uma máquina virtual RHEL 8 (VM) na plataforma Microsoft Azure. Para contornar este problema, use um dos seguintes métodos:

As máquinas virtuais RHEL 8 nos hosts RHEL 7, em alguns casos, não podem ser visualizadas em resolução superior a 1920x1200

Atualmente, ao utilizar uma máquina virtual RHEL 8 (VM) rodando em um sistema host RHEL 7, certos métodos de exibição da saída gráfica da VM, tais como rodar a aplicação em modo quiosque, não podem utilizar resolução maior do que 1920x1200. Como conseqüência, a exibição de VMs usando esses métodos só funciona em resoluções até 1920x1200, mesmo que o hardware do host suporte resoluções mais altas.

Baixo desempenho de display GUI em máquinas virtuais RHEL 8 em um host Windows Server 2019

Ao usar o RHEL 8 como um sistema operacional convidado em modo gráfico em um host Windows Server 2019, o desempenho da tela GUI é baixo, e a conexão a um console de saída do convidado leva atualmente muito mais tempo do que o esperado.

A instalação de máquinas virtuais RHEL às vezes falha

Sob certas circunstâncias, as máquinas virtuais RHEL 7 e RHEL 8 criadas usando o utilitário virt-install não inicializam se a opção --location for usada.

A exibição de vários monitores de máquinas virtuais que utilizam Wayland não é possível com QXL

Usar o utilitário de visualização remota para exibir mais de um monitor de uma máquina virtual (VM) que está usando o servidor de exibição Wayland faz com que a VM fique sem resposta e que a mensagem de status Waiting for display seja exibida indefinidamente.

os comandos devirsh iface-* não funcionam de forma consistente

Atualmente, comandos virsh iface-*, tais como virsh iface-start e virsh iface-destruição, frequentemente falham devido a dependências de configuração. Portanto, recomenda-se não usar comandos virsh iface-* para configurar e gerenciar as conexões de rede do host. Ao invés disso, use o programa NetworkManager e suas aplicações de gerenciamento relacionadas.

A personalização de uma VM ESXi usando a nuvem e o reinício da VM causa perda de IP e torna a inicialização da VM muito lenta

Atualmente, se o serviço cloud-init é utilizado para modificar uma máquina virtual (VM) que roda no VMware ESXi hypervisor para utilizar IP estático e a VM é então clonada, a nova VM clonada em alguns casos leva um tempo muito longo para reiniciar. Isto é causado pela reescrita em nuvem do IP estático da VM para DHCP e, em seguida, a busca por uma fonte de dados disponível.

As máquinas virtuais RHEL 8 às vezes não podem inicializar em máquinas Witherspoon

As máquinas virtuais RHEL 8 (VMs) que utilizam o tipo de máquina pseries-rhel7.6.0-sxxm em alguns casos não inicializam nos hosts Power9 S922LC for HPC (também conhecidos como Witherspoon) que utilizam a CPU DD2.2 ou DD2.3.

As máquinas virtuais IBM POWER não funcionam corretamente com os nós NUMA de memória zero

Atualmente, quando uma máquina virtual IBM POWER (VM) rodando em um host RHEL 8 é configurada com um nó NUMA que usa memória zero(memory='0'), a VM não pode inicializar. Portanto, a Red Hat recomenda fortemente não utilizar máquinas virtuais POWER IBM com nós NUMA de memória zero no RHEL 8.

A migração de um convidado POWER9 de um hospedeiro RHEL 7-ALT para o RHEL 8 falha

Atualmente, a migração de uma máquina virtual POWER9 de um sistema host RHEL 7-ALT para o RHEL 8 torna-se insensível com um status "Migration status: active".

A topologia de CPU SMT não é detectada por VMs quando se usa o modo host passthrough no AMD EPYC

Quando uma máquina virtual (VM) inicia com o modo de passagem da CPU em um host AMD EPYC, a bandeira de recurso TOPOEXT CPU não está presente. Conseqüentemente, a VM não é capaz de detectar uma topologia de CPU virtual com múltiplas roscas por núcleo. Para contornar este problema, inicialize a VM com o modelo de CPU EPYC em vez de passthrough do host.

As máquinas virtuais às vezes falham ao utilizar muitos discos virtio-blk

A adição de um grande número de dispositivos virtio-blk a uma máquina virtual (VM) pode esgotar o número de vetores de interrupção disponíveis na plataforma. Se isso ocorrer, o sistema operacional convidado da VM não inicializa e exibe uma fila de entrada de dados com dracut-initqueue[392]: Advertência: Não foi possível inicializar o erro.