红帽全球峰会第 25 章 已弃用的功能
本章概述所有次发行版本(直到 Red Hat Enterprise Linux 6.9 的所有次版本)已被弃用或在某些情况下被删除的功能。
弃用的功能在 Red Hat Enterprise Linux 6 生命周期结束前一直被支持。弃用的功能可能在以后的主要发行本中不被支持,因此不建议在新的部署中使用。有关特定主要发行本中已弃用功能的最新列表,请参考最新版本的发行文档。
对于当前或将来的主发行版本中的新部署,我们不推荐使用已弃用的硬件组件。硬件驱动程序更新仅限于安全和关键修复。红帽建议尽快替换这个硬件。
一个软件包可能被弃用,我们不推荐在以后使用。在某些情况下,可以从产品中删除软件包。产品文档标识了提供类似、完全相同或更高级的功能的最新软件包,并提供进一步的建议。
弃用了 Insecure Algorithms 和协议
提供加密哈希和加密的算法以及加密协议都有一个生命周期,之后它们被视为使用或普通不安全的风险。如需更多信息 ,请参阅红帽客户门户网站中的 RHEL 6.9 中的 Insecure Algorithms 和协议
。
- MD5、MD4 和 SHA0 无法再在
OpenSSL中用作签名算法 - 在这个版本中,支持验证证书中的 MD5、MD4 和 SHA0 签名,证书撤销列表(CRL)和消息签名会被删除。系统管理员可以通过修改
etc/pki/tls/legacy-settings策略配置文件中的LegacySigningMDs选项来启用 MD5、MD4 或 SHA0 支持,例如:echo 'LegacySigningMDs algorithm' >> /etc/pki/tls/legacy-settings
echo 'LegacySigningMDs algorithm' >> /etc/pki/tls/legacy-settingsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要添加多个传统算法,请使用除新行之外的逗号或任何空格字符。如需更多信息,请参阅OpenSSL软件包中的README.legacy-settings。您还可以通过设置OPENSSL_ENABLE_MD5_VERIFY环境变量来启用 MD5 验证。 OpenSSL客户端不再允许连接 DH 少于 1024 位的服务器- 这个变化可防止
OpenSSL客户端连接到具有比 1024 位更短的 Diffie-Hellman (DH)参数的服务器。这样可确保允许使用OpenSSL的客户端不会受到安全攻击的影响,如 LOGJAM 攻击。系统管理员可以通过修改/etc/pki/tls/legacy-settings中的MinimumDHBits选项来启用较短的 DH 参数支持,例如:echo 'MinimumDHBits 768' > /etc/pki/tls/legacy-settings
echo 'MinimumDHBits 768' > /etc/pki/tls/legacy-settingsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 如果系统管理员需要,此选项也可用于提高最小值。 OpenSSL中的 EXPORT 密码套件已弃用- 这个更改删除了
OpenSSL工具包中的 EXPORT 密码套件支持。禁用这些弱密码套件可防止 FREAK 攻击等攻击。任何TLS协议配置都不需要 EXPORT 密码套件。 GnuTLS客户端不再允许连接 DH 少于 1024 位的服务器- 这个更改可防止 GNU 传输层安全(GnuTLS)客户端连接到带有 Diffie-Hellman (DH)参数超过 1024 位的服务器。这样可确保允许使用
GnuTLS的客户端不会受到 LOGJAM 攻击等攻击的影响。系统管理员可以通过修改/etc/pki/tls/legacy-settings中的MinimumDHBits选项来启用较短的 DH 参数支持,例如:echo 'MinimumDHBits 768' > /etc/pki/tls/legacy-settings
echo 'MinimumDHBits 768' > /etc/pki/tls/legacy-settingsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 如果系统管理员需要,此选项也可用于提高最小值。 GnuTLS中的 EXPORT 密码套件已弃用- 这个更改删除了 GNU 传输层安全(GnuTLS)库中对 EXPORT 密码套件的支持。禁用这些弱密码套件可防止 FREAK 攻击等攻击。任何
TLS协议配置都不需要 EXPORT 密码套件。GnuTLSEXPORT 密码套件优先级字符串保留下来,但作为 NORMAL 优先级字符串的别名。 - MD5 不再作为
NSS中的签名算法使用 - 这个更改可防止网络安全服务(NSS)库使用 MD5 作为
TLS中的签名算法。这个变化可确保使用NSS的程序不会受到攻击的影响,如 SLOTH 攻击。系统管理员可以通过修改/etc/pki/nss-legacy/nss-rhel6.config策略配置文件来启用 MD5 支持:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 请注意,文件末尾需要一个空行。 - 使用
TLS的NSS客户端不再允许连接到 DH 少于 1024 位的服务器 - 这个变化可防止网络安全服务(NSS)客户端使用比 1024 位更短的 Diffie-Hellman (DH)参数连接到服务器。这样可确保允许使用
NSS的客户端不会受到安全攻击,如 LOGJAM 攻击。系统管理员可以通过修改/etc/pki/nss-legacy/nss-rhel6.config策略配置文件来启用较短的 DH 参数支持:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 请注意,文件末尾需要一个空行。 NSS中的 EXPORT 密码套件已弃用- 这个更改删除了网络安全服务(NSS)库中对 EXPORT 密码套件的支持。禁用这些弱密码套件可防止 FREAK 攻击等攻击。任何
TLS协议配置都不需要 EXPORT 密码套件。 - 弃用了
OpenSSH中的算法:RC4、hmac-md5 和 hmac-md5-96 - 在这个版本中,aurcfour
256,arcfour128,arcfourciphers, and thehmac-md5,hmac-md5-96Message Authentication Code (MAC)算法已弃用。请注意,此更改不会影响任何现有服务器配置。系统管理员可以通过编辑ssh_config文件来启用这些已弃用的算法,例如:Host legacy-system.example.com Ciphers arcfour MACs hmac-md5
Host legacy-system.example.com Ciphers arcfour MACs hmac-md5Copy to Clipboard Copied! Toggle word wrap Toggle overflow 要完全恢复所有已弃用的算法,请在/etc/ssh/ssh_config文件中添加以下代码片段:Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96Copy to Clipboard Copied! Toggle word wrap Toggle overflow gnutls不再提供加密后端替换 API- 实施加密后端替换的功能被视为过时,现在作为无操作函数。
gnutls/crypto.h文件中导出的以下功能会受到影响:- gnutls_crypto_single_cipher_register2
- gnutls_crypto_single_mac_register2
- gnutls_crypto_single_digest_register2
- gnutls_crypto_cipher_register2
- gnutls_crypto_mac_register2
- gnutls_crypto_digest_register2
- gnutls_crypto_rnd_register2
- gnutls_crypto_pk_register2
- gnutls_crypto_bigint_register2
弃用的驱动程序
- 弃用的设备驱动程序
- 3w-9xxx
- 3w-sas
- 3w-xxxx
- aic7xxx
- i2o
- ips
- megaraid_mbox
- mptbase
- mptctl
- mptfc
- mptlan
- mptsas
- mptscsih
- mptspi
- sym53c8xx
- qla3xxx
来自megaraid_sas驱动程序的以下控制器已被弃用:- Dell PERC5, PCI ID 0x15
- SAS1078R, PCI ID 0x60
- SAS1078DE, PCI ID 0x7C
- SAS1064R, PCI ID 0x411
- VERDE_ZCR, PCI ID 0x413
- SAS1078GEN2, PCI ID 0x78
来自be2iscsi驱动程序的以下控制器已被弃用:- BE_DEVICE_ID1, PCI ID 0x212
- OC_DEVICE_ID1, PCI ID 0x702
- OC_DEVICE_ID2, PCI ID 0x703
请注意,这里未列出的驱动程序中的其他控制器保持不变。
其他已弃用的组件
集群,luci组件- Red Hat Enterprise Linux 6.4 中引入的
fence_sanlock代理和checkquorum.wdmd作为技术预览提供,并提供使用硬件 watchdog 设备触发节点恢复的机制。 Openswan组件- openswan 软件包已弃用,libreswan 软件包已作为 openswan 的直接替换,以提供 VPN 端点解决方案。在系统升级过程中,Openswan 被 libreswan 替代。
seabios组件- 对 S3 (暂停 RAM)和 S4 (对磁盘使用)的原生 KVM 支持已停用。这个功能以前作为技术预览提供。
- zerombr yes Kickstart 命令已弃用
- 在某些早期版本的 Red Hat Enterprise Linux 中,使用 zerombr yes 命令在 Kickstart 安装过程中初始化任何无效的分区表。由于需要两个单词而需要两个单词而与 Kickstart 命令的其余部分不一致,所有其他命令都需要一个。从 Red Hat Enterprise Linux 6.7 开始,在 Kickstart 文件中只指定 zerombr,旧的双词语形式已弃用。
- Btrfs 文件系统
- 对于 Red Hat Enterprise Linux 6,b-tree 文件系统(Btrfs)被视为已弃用。Btrfs 之前作为技术预览提供,在 AMD64 和 Intel 64 构架中可用。
- eCryptfs 文件系统
- 之前作为技术预览提供的 eCryptfs 文件系统在 Red Hat Enterprise Linux 6 中被视为已弃用。
mingw组件- 在 Red Hat Enterprise Linux 6.3 中弃用 Matahari 软件包后,当 mingw 软件包被记录为已弃用时,后续从 Red Hat Enterprise Linux 6.4 中删除 Matahari 软件包后,mingw 软件包已从 Red Hat Enterprise Linux 6.6 及之后的版本中删除。在 Red Hat Enterprise Linux 6 次版本中不再提供 mingw 软件包,它们也不会收到与安全相关的更新。因此,建议用户从 Red Hat Enterprise Linux 6 系统中卸载任何旧版本的 mingw 软件包。
virtio-win组件, BZ#1001981- Microsoft Windows Server 2003 平台上不再支持 VirtIO SCSI 驱动程序。
fence-agents组件- 在 Red Hat Enterprise Linux 6.5 之前,Red Hat Enterprise Linux High Availability Add-On 在某些 VMware ESXi/vCenter 版本中被完全支持,并与 fence_scsi 隔离代理结合使用。由于 SCSI-3 持久保留方面这些 VMware 平台的限制,除了使用基于 iSCSI 的存储时,
fence_scsi隔离代理将不再受支持。有关支持组合的完整详情,请参阅虚拟化支持列表: https://access.redhat.com/site/articles/29440。在受影响组合上使用fence_scsi的用户,可以联系 Red Hat 全球支持服务以获得评估替代配置或获取其他信息的帮助。 SystemTap组件- systemtap-grapher 软件包已从 Red Hat Enterprise Linux 6 中删除。如需更多信息,请参阅 https://access.redhat.com/solutions/757983。
matahari组件- Matahari 代理框架(matahari requirements)软件包已从 Red Hat Enterprise Linux 6 中删除。专注于远程系统管理已转向使用 CIM 基础架构。此基础架构依赖于现有的标准,为所有用户提供更大的互操作性。
分发组件- 以下软件包已弃用,并可能在以后的 Red Hat Enterprise Linux 6 发行版本中删除。建议您在 Red Hat Enterprise Linux 6 软件仓库中更新这些软件包,并建议不使用 MRG-Messaging 产品的用户从其系统中卸载它们。
- python-qmf
- python-qpid
- qpid-cpp
- qpid-qmf
- qpid-tests
- qpid-tools
- ruby-qpid
- saslwrapper
红帽 MRG-Messaging 客户将继续获得更新的功能,作为其对产品的定期更新。 fence-virt组件- libvirt-qpid 不再是 fence-virt 软件包的一部分。
OpenSCAP组件- openscap-perl 子软件包已从 openscap 中删除。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}