8.6. Trabalho em rede
O bloqueio na função qdisc_run agora não causa falha do núcleo
Anteriormente, uma condição de corrida quando a disciplina da fila pfifo_fast é reiniciada, enquanto o tráfego de decoleção levava à transmissão de pacotes após serem liberados. Como conseqüência, às vezes o kernel era terminado de forma inesperada. Com esta atualização, o bloqueio na função qdisc_run foi melhorado. Como resultado, o kernel não trava mais no cenário descrito.
(BZ#1744397)
As APIs DBus em org.fedoraproject.FirewallD1.config.service funcionam como esperado
Anteriormente, o DBus API getIncludes, setIncludes e queryInclui funções em org.fedoraproject.FirewallD1 retornou uma mensagem de erro: org.fedoraproject.FirewallD1.Exceção: índice de lista fora do intervalo devido a má indexação. Com esta atualização, o DBus API getIncludes, setIncludes, e queryInclui funções que funcionam como esperado.
A RHEL não registra mais um aviso de kernel ao descarregar o módulo ipvs
Anteriormente, o módulo servidor virtual IP(ipvs) usava uma contagem de referência incorreta, o que causava uma condição de corrida ao descarregar o módulo. Consequentemente, a RHEL registrou um aviso de kernel. Esta atualização corrige a condição de raça. Como resultado, o kernel não registra mais o aviso quando você descarrega o módulo ipvs.
(BZ#1687094)
A utilidade nft não interpreta mais os argumentos como opções de linha de comando após o primeiro argumento de não-opção
Anteriormente, a utilidade nft aceitava opções em qualquer lugar em um comando nft. Por exemplo, os administradores podiam usar opções entre ou após argumentos de não-opção. Como conseqüência, devido ao traço principal, nft interpretou valores de prioridade negativa como opções, e o comando falhou. O analisador da linha de comando do utilitário nft foi atualizado para não interpretar argumentos que começam com um traço após a leitura do primeiro argumento de não-opção. Como resultado, os administradores não precisam mais de soluções para passar valores de prioridade negativa para nft.
Note que devido a esta mudança, você deve agora passar todas as opções de comando a nft antes do primeiro argumento de não-opção. Antes de atualizar, verifique seus scripts nftables para que correspondam a este novo critério para assegurar que o script funcione como esperado após a instalação desta atualização.
Os arquivos /etc/hosts.allow e /etc/hosts.deny não contêm mais referências desatualizadas para remover tcp_wrappers
Anteriormente, os arquivos /etc/hosts.allow e /etc/hosts.deny continham informações desatualizadas sobre o pacote tcp_wrappers. Os arquivos são removidos no RHEL 8, pois não são mais necessários para o tcp_wrappers que é removido.
Um parâmetro de configuração foi adicionado ao firewalld para desativar a deriva da zona
Anteriormente, o serviço firewalld continha um comportamento indocumentado conhecido como "zone drifting". O RHEL 8.0 removeu este comportamento porque poderia ter um impacto negativo na segurança. Como conseqüência, nos hospedeiros que usavam este comportamento para configurar uma zona de "catch-all" ou "fallback", o serviço firewalld negava conexões que anteriormente eram permitidas. Esta atualização readiciona o comportamento de deriva da zona, mas como uma característica configurável. Como resultado, os usuários podem agora decidir usar o drifting de zona ou desativar o comportamento para uma configuração de firewall mais segura.
Por padrão, no RHEL 8.2, o novo parâmetro AllowZoneDrifting no arquivo /etc/firewalld/firewalld.conf está definido para sim. Observe que, se o parâmetro estiver ativado, os logs firewalld:
ADVERTÊNCIA: AllowZoneDrifting está ativado. Esta é considerada uma opção de configuração insegura. Ela será removida em um lançamento futuro. Por favor, considere desativá-lo agora.
(BZ#1772208)
