Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 53 章 Red Hat Enterprise Linux 7 中已弃用的功能

弃用了与身份管理相关的软件包

以下软件包已弃用,将不会包括在 Red Hat Enterprise Linux 未来的主发行版本中:
Expand
弃用的软件包 建议替换软件包或产品
authconfig authselect
pam_pkcs11 sssd[a]
pam_krb5 sssd[b]
openldap-servers 根据具体的用例,迁移到 Red Hat Enterprise Linux 或 Red Hat Directory Server 中包含的身份管理。[c]
[a] 系统安全服务守护进程(SSSD)包含增强的智能卡功能。
[b] 有关从 pam_krb5 迁移到 sssd 的详情 ,请参考红帽客户门户网站中的 pam_krb5 到 SSSD 知识库文章。
[c] Red Hat Directory Server 需要有效的 Directory Server 订阅。

弃用的 Insecure Algorithms 和协议

提供加密哈希和加密以及加密协议的算法具有生命周期,之后它们被视为使用或纯不安全的风险。如需更多信息 ,请参阅红帽客户门户网站上的 Red Hat Enterprise Linux 7.4 知识库文章中的使用 Cryptography 更改的操作系统安全性https://bugzilla.redhat.com/show_bug.cgi?id=1335929
OpenSSH中不再默认使用弱的密码和算法
在这个版本中,OpenSSH 库从默认配置中删除一些弱的密码和算法。但是,大多数情形中都确保了向后兼容性。
以下已从 OpenSSH 服务器和客户端中删除:
  • 主机密钥算法:
    • ssh-rsa-cert-v00@openssh.com
    • ssh-dss-cert-v00@openssh.com
  • 加密系统:
    • arcfour256
    • arcfour128
    • arcfour
    • rijndael-cbc@lysator.liu.se
  • Macs:
    • hmac-md5
    • hmac-md5-96
    • hmac-md5-96-etm@openssh.com
    • hmac-md5-etm@openssh.com
    • hmac-ripemd160
    • hmac-ripemd160-etm@openssh.com
    • hmac-ripemd160@openssh.com
    • hmac-sha1-96
    • hmac-sha1-96-etm@openssh.com
以下已从 OpenSSH 客户端中删除:
  • 加密系统:
    • blowfish-cbc
    • cast128-cbc
    • 3des-cbc
OpenSSH 不会在 FIPS 模式中使用基于 SHA-1- 的密钥交换算法
在这个版本中,在 FIPS 模式的默认列表中删除基于 SHA-1- 的密钥交换算法。要启用这些算法,请为 ~/.ssh/config/etc/ssh/sshd_config 文件使用以下配置片断: 
KexAlgorithms=+diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1
SSH-1 协议已从 OpenSSH 服务器 中删除,
SSH-1 协议支持已从 OpenSSH 服务器中删除。如需更多信息,请参阅从 RHEL 7.4 文章中删除服务器端 SSH-1 协议
MD5、MD4 和 SHA0 不再用作 OpenSSL 中的签名算法
在这个版本中,支持在证书中的 MD5、MD4 和 SHA0 签名验证,证书 Revocation Lists(CRL)和消息签名已被删除。
另外,生成数字签名的默认算法已从 SHA-1 改为 SHA-256。为旧目的仍启用 SHA-1 签名验证。
系统管理员可以通过修改 etc/pki/tls/legacy-settings 策略配置文件中的 LegacySigningMDs 选项来启用 MD5、MD4 或 SHA0 支持,例如: 
echo 'LegacySigningMDs algorithm' >> /etc/pki/tls/legacy-settings
要添加多个传统算法,请使用逗号或任意空格字符,除了新行。如需更多信息,请参阅 OpenSSL 软件包中的 README.legacy-settings 文件。
您还可以通过设置 OPENSSL_ENABLE_MD5_VERIFY 环境变量来启用 MD5 验证。
openssl 客户端不再允许连接 DH 少于 1024 位的服务器,
这个版本可防止 OpenSSL 客户端连接到具有 Diffie-Hellman(DH)参数小于 1024 位的服务器。这样可确保使用 OpenSSL 的客户端容易受到漏洞的影响,如 Logjam。
系统管理员可以通过修改 /etc/pki/tls/legacy-settings 中的 MinimumDHBits 选项来启用较短的 DH 参数支持,例如: 
echo 'MinimumDHBits 768' > /etc/pki/tls/legacy-settings
如果系统管理员需要,也可使用这个选项来提升最小值。
已从 OpenSSL中完全删除 SSL 2.0 支持
SSL 协议版本 2.0(被视为不安全时间超过七年)已在 2011 年的 RFC 6176 弃用。在 Red Hat Enterprise Linux 中,默认禁用对 SSL 2.0 的支持。在这个版本中,SSL 2.0 支持已被完全删除。使用这个协议版本的 OpenSSL 库 API 调用现在返回一个错误消息。
OpenSSL 中的 EXPORT 密码套件已弃用
这个更改从 OpenSSL 工具包中删除对 EXPORT 密码套件的支持。禁用这些弱密码套件可确保使用 OpenSSL 的客户端对漏洞的影响,如 FREAK。任何 TLS 协议配置中都不再需要 EXPORT 密码套件。
gnutls 客户端不再允许连接 DH 比 1024 位短的服务器的连接
这个更改可防止 GNU Transport Layer Security(GnuTLS)客户端连接到使用 Diffie-Hellman(DH)参数小于 1024 位的服务器。这样可确保使用 GnuTLS 的客户端容易受到漏洞的影响,如 Logjam。
在从用户或配置直接接受优先级字符串的应用程序中,可以通过将优先级字符串 %PROFILE_VERY_WEAK 附加到使用的优先级字符串来恢复此更改。
使用 TLSNSS 客户端不再允许连接到 DH 小于 1024 位 的服务器
此更改可防止网络安全服务(NSS)客户端连接到位于低于 1024 位的 Diffie-Hellman(DH)参数的服务器。这样可保证使用 NSS 的客户端容易受到漏洞的影响,如 Logjam。
系统管理员可以通过修改 /etc/pki/nss-legacy/nss-rhel7.config 策略配置文件来启用较短的 DH 参数支持: 
library=
name=Policy
NSS=flags=policyOnly,moduleDB
config="allow=DH-MIN=767:DSA-MIN=767:RSA-MIN=767"
请注意,文件末尾需要一个空行。
NSS 中的 EXPORT 密码套件已弃用
这个更改删除了对网络安全服务(NSS)库中的 EXPORT 密码套件的支持。禁用这些弱密码套件可防止漏洞,如 FREAK。任何 TLS 协议配置中都不需要密码套件。

ca-certificates 软件包中删除的传统 CA 证书

在以前的版本中,要允许旧版本的 GnuTLSOpenSSLglib-networking 库保持与公钥基础架构(PKI)兼容,ca-certificates 软件包默认包含一组带有 1024 位 RSA 密钥的传统 CA 证书。
从 Red Hat Enterprise Linux 7.4 开始,有 OpenSSLGnuTLSglib-networking 的更新版本,它们可以正确地识别 root CA 证书的替代版本。公共 Web PKI 兼容性不再需要信任这些旧的 CA 证书。
旧的配置机制(可以用来禁用旧的 CA 证书)不再被支持。旧的 CA 证书列表已被改为为空。
ca-legacy 工具仍然可用,它还保留当前的配置设置以供将来重复使用。

coolkey 替换为 opensc

OpenSC 库实施 PKCS#11 API,并替换 coolkey 软件包。在 Red Hat Enterprise Linux 7 中,opensc 软件包还提供 CoolKey Applet 功能。
在 Red Hat Enterprise Linux 7 生命周期中,coolkey 软件包将继续被支持,但新硬件启用将通过 opensc 软件包提供。

rsyslog imudp 模块的 inputname 选项已弃用

rsyslog 服务的 imudp 模块的 inputname 选项已弃用。改为使用 name 选项。

FedFS 已被弃用

Federated File System(FedFS)已被弃用,因为上游 FedFS 项目不再被主动维护。红帽建议将 FedFS 安装迁移到使用 autofs,它提供更灵活的功能。

Btrfs 已被弃用

Btrfs 文件系统自 Red Hat Enterprise Linux 6 初始发布后处于技术预览状态。红帽将不会将 Btrfs 迁移到完全支持的功能,并将在以后的 Red Hat Enterprise Linux 主发行版本中删除。
Btrfs 文件系统从 Red Hat Enterprise Linux 7.4 中的上游社区收到大量更新,并将在 Red Hat Enterprise Linux 7 系列中保留。但是,这是计划的对此功能的最后一个更新。

tcp_wrappers 已弃用

tcp_wrappers 软件包提供了一个库和一个库和一个小型守护进程程序,它可监控和过滤 systat、finger、FTPtelnetrlogin、rlogin、exectftp、ptalksshd 以及其他网络服务的传入请求。

nautilus-open-terminal 替换为 gnome-terminal-nautilus

从 Red Hat Enterprise Linux 7.3 开始,nautilus-open-terminal 软件包已弃用,并替换为 gnome-terminal-nautilus 软件包。这个软件包提供了一个 Nautilus 扩展,它在 Nautilus 的右键上下文菜单中添加 Open in Terminal 选项。nautilus-open-terminal 在系统升级过程中由 gnome-terminal-nautilus 替换。

Python中删除了 sslwrap()

sslwrap() 函数已从 Python 2.7 中删除。在实施了 466 Python Enhancement Proposal 后,使用这个功能会导致 segmentation 错误。这个删除与上游一致。
红帽建议使用 ssl.SSLContext 类和 ssl.SSLContext.wrap_socket() 函数。大多数应用程序只需使用 ssl.create_default_context() 函数,它会创建带有安全默认设置的上下文。默认上下文也使用系统的默认信任存储。

来自库的符号不再被 ld 解析

在以前的版本中,ld linker 会解析任何链接库中出现的符号,即使有些库只被隐式链接为其它库的依赖项。这允许开发人员使用应用程序代码中隐式链接库中的符号,并明确指定这些库以链接。
出于安全考虑,ld 被修改为不解析到作为依赖项隐式链接的库中的符号引用。
因此,当应用程序代码尝试使用未声明来自库的符号时,带有 ld 的链接会失败。要使用链接到依赖项的库中的符号,开发人员还必须明确链接到这些库。
要恢复 ld 的之前行为,请使用 -copy-dt - needed 命令行选项。(BZ#1292230)

Windows 客户机虚拟机支持有限

从 Red Hat Enterprise Linux 7 开始,只有特定订阅程序(如 Advanced mission Critical)支持 Windows 客户机虚拟机。

libnetlink 已被弃用

iproute-devel 软件包中包含的 libnetlink 库已弃用。用户应该使用 libnllibmnl 库。

KVM 的 S3 和 S4 电源管理状态已弃用

对 S3(挂起到 RAM)和 S4(磁盘暂停)电源管理状态的原生 KVM 支持已停用。这个功能以前作为技术预览提供。

Certificate Server 插件 udnPwdDirAuth 已停用

Red Hat Certificate Server 的 udnPwdDirAuth 验证插件已在 Red Hat Enterprise Linux 7.3 中删除。使用插件的配置集不再被支持。如果证书已通过 udnPwdDirAuth 插件的批准,使用 udnPwdDirAuth 插件创建的证书仍然有效。

IdM 的 Red Hat Access 插件已停用

Red Hat Enterprise Linux 7.3 中删除了 Identity Management(IdM)的 Red Hat Access 插件。在更新过程中,redhat-access-plugin-ipa 软件包会自动卸载。之前由插件提供的功能(如知识库访问和支持案例参与)仍可通过红帽客户门户网站获得。红帽建议尝试替代的方案,如 redhat-support-tool 工具。

federated 单点登录的 Ipsilon 身份提供程序服务

ipsilon 软件包在 Red Hat Enterprise Linux 7.2 中作为技术预览引进。Ipsilon 链接到身份验证提供程序、应用程序或工具来允许单点登录(SSO)。
红帽不计划将 Ipsilon 从技术预览升级到完全支持的功能。在以后的次版本中将从 Red Hat Enterprise Linux 中删除 ipsilon 软件包。
红帽已发布了 Red Hat Single Sign-On 作为基于 Keycloak 社区项目的 Web SSO 解决方案。Red Hat Single Sign-On 提供了比 Ipsilon 更大的功能,并被指定为红帽产品系列的标准 Web SSO 解决方案。

弃用了一些 rsyslog 选项

Red Hat Enterprise Linux 7.4 中的 rsyslog 工具版本已弃用大量选项。这些选项不再起作用,并会发出警告信息。
  • 以前由选项 -c-u-q-x-A-Q-4-6 提供的功能可通过 rsyslog 配置来实现。
  • 以前由选项 -l-s

memkind 库中弃用的符号

memkind 库中的以下符号已弃用:
  • memkind_finalize()
  • memkind_get_num_kind()
  • memkind_get_kind_by_partition()
  • memkind_get_kind_by_name()
  • memkind_partition_mmap()
  • memkind_get_size()
  • MEMKIND_ERROR_MEMALIGN
  • MEMKIND_ERROR_MALLCTL
  • MEMKIND_ERROR_GETCPU
  • MEMKIND_ERROR_PMTT
  • MEMKIND_ERROR_TIEDISTANCE
  • MEMKIND_ERROR_ALIGNMENT
  • MEMKIND_ERROR_MALLOCX
  • MEMKIND_ERROR_REPNAME
  • MEMKIND_ERROR_PTHREAD
  • MEMKIND_ERROR_BADPOLICY
  • MEMKIND_ERROR_REPPOLICY

SCTP 的套接字 API 扩展选项(RFC 6458)弃用

根据 RFC 6458 规格已弃用 SCTP_SNDRCVSCSC_EXTRCV 和 SCTP_DEFAULT_SEND_SEND_PARAM 选项。
新的选项 SCTP_SNDINFO,SCTP_NXTINFOSCTP_NXTINFOSCTP_DEFAULT_SNDINFO 作为已弃用选项的替代选择。

libstorageMgmt 不再支持使用 SSLv2 和 SSLv3 管理 NetApp ONTAP

libstorageMgmt 库不再支持到 NetApp ONTAP 存储阵列的 SSLv2 和 SSLv3 连接。用户可以联系 NetApp 支持以启用传输层安全(TLS)协议。

dconf-dbus-1 已被弃用,dconf-editor 现在单独提供

在这个版本中,dconf-dbus-1 API 已被删除。但是,dconf-dbus-1 库已被向后移植来保持二进制兼容性。红帽建议使用 GDBus 库而不是 dconf-dbus-1
dconf-error.h 文件已重命名为 dconf-enums.h。另外,dconf Editor 现在以单独的 dconf-editor 软件包提供,如需更多信息,请参阅 第 8 章 Desktop

FreeRADIUS 不再接受 Auth-Type := System

FreeRADIUS 服务器不再接受 rlm_unix 身份验证模块的 Auth-Type := System 选项。这个选项已被配置文件的 authorize 部分中的 unix 模块替代。

弃用的设备驱动程序

  • 3w-9xxx
  • 3w-sas
  • mptbase
  • mptctl
  • mptsas
  • mptscsih
  • mptspi
  • mvsas
  • qla3xxx
  • megaraid_sas 驱动程序中的以下控制器已弃用:
    • Dell PERC5, PCI ID 0x15
    • SAS1078R, PCI ID 0x60
    • SAS1078DE, PCI ID 0x7C
    • SAS1064R, PCI ID 0x411
    • VERDE_ZCR, PCI ID 0x413
    • SAS1078GEN2, PCI ID 0x78
  • qla2xxx 驱动程序中的以下适配器已被弃用:
    • ISP24xx, PCI ID 0x2422
    • ISP24xx, PCI ID 0x2432
    • ISP2422, PCI ID 0x5422
    • QLE220, PCI ID 0x5432
    • QLE81xx, PCI ID 0x8001
    • QLE10000, PCI ID 0xF000
    • QLE84xx, PCI ID 0x8044
    • QLE8000, PCI ID 0x8432
    • QLE82xx, PCI ID 0x8021
  • be2net 驱动程序控制的以下以太网适配器已被弃用:subvers
    • TIGERSHARK NIC, PCI ID 0x0700
  • be2iscsi 驱动程序中的以下控制器已弃用:
    • Emulex OneConnect 10Gb iSCSI Initiator(generic), PCI ID 0x212
    • OCe10101, OCm10101, OCe10102, OCm10102 BE2 adapter family, PCI ID 0x702
    • OCe10100 BE2 adapter family, PCI ID 0x703
  • lpfc 驱动程序的以下 Emulex 主板已被弃用:
    BladeEngine 2 (BE2) Devices
    • TIGERSHARK FCOE, PCI ID 0x0704
    Fibre Channel (FC) Devices
    • FIREFLY, PCI ID 0x1ae5
    • PROTEUS_VF, PCI ID 0xe100
    • BALIUS, PCI ID 0xe131
    • PROTEUS_PF, PCI ID 0xe180
    • RFLY, PCI ID 0xf095
    • PFLY, PCI ID 0xf098
    • LP101, PCI ID 0xf0a1
    • TFLY, PCI ID 0xf0a5
    • BSMB, PCI ID 0xf0d1
    • BMID, PCI ID 0xf0d5
    • ZSMB, PCI ID 0xf0e1
    • ZMID, PCI ID 0xf0e5
    • NEPTUNE, PCI ID 0xf0f5
    • NEPTUNE_SCSP, PCI ID 0xf0f6
    • NEPTUNE_DCSP, PCI ID 0xf0f7
    • FALCON, PCI ID 0xf180
    • SUPERFLY, PCI ID 0xf700
    • DRAGONFLY, PCI ID 0xf800
    • CENTAUR, PCI ID 0xf900
    • PEGASUS, PCI ID 0xf980
    • THOR, PCI ID 0xfa00
    • VIPER, PCI ID 0xfb00
    • LP10000S, PCI ID 0xfc00
    • LP11000S, PCI ID 0xfc10
    • LPE11000S, PCI ID 0xfc20
    • PROTEUS_S, PCI ID 0xfc50
    • HELIOS, PCI ID 0xfd00
    • HELIOS_SCSP, PCI ID 0xfd11
    • HELIOS_DCSP, PCI ID 0xfd12
    • ZEPHYR, PCI ID 0xfe00
    • HORNET, PCI ID 0xfe05
    • ZEPHYR_SCSP, PCI ID 0xfe11
    • ZEPHYR_DCSP, PCI ID 0xfe12
要在您的系统中检查硬件的 PCI ID,请运行 lspci -nn 命令。
请注意,以上驱动程序中的其他控制器在此处未列出。

SFN4XXX 适配器已弃用

从 Red Hat Enterprise Linux 7.4 开始, SFN4XXXJapanflare 网络适配器已被弃用。在以前的版本中,Solarflare 为所有适配器都有一个驱动程序 sfc。最近,SFN4XXX 的支持被从 sfc 分割,并移到一个新的 SFN4XXX-only 驱动程序,名为 sfc-falcon。现在继续支持这两个驱动程序,但 sfc-falcon 和 SFN4XXX 支持被调度到以后的主发行版本中删除。

仅启动 FCoE 存储技术的软件已弃用

由于客户使用有限,软件仅通过以太网(FCoE)存储技术启动了部分光纤通道。在 Red Hat Enterprise Linux 7 生命周期中,只有存储技术的软件才被支持。弃用通知表示,计划在以后的 Red Hat Enterprise Linux 主发行版本中删除基于软件的 FCoE 支持。请注意,硬件支持和相关用户空间工具(如驱动程序、libfc 或 libfcoe)不受此弃用通知的影响。

使用 libvirt-lxc 工具的容器已弃用

从 Red Hat Enterprise Linux 7.1 开始,以下 libvirt-lxc 软件包已弃用:
  • libvirt-daemon-driver-lxc
  • libvirt-daemon-lxc
  • libvirt-login-shell
Linux 容器框架的未来开发现在基于 docker 命令行界面。libvirt-lxc 以后的 Red Hat Enterprise Linux 版本(包括 Red Hat Enterprise Linux 7)可以删除工具,且不应依赖于开发自定义容器管理应用程序。
如需更多信息,请参阅 红帽知识库文章
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部