9.6 发行注记

添加了对 CA 证书的 Kickstart 支持，以便在安装过程中启用加密的 DNS 配置

添加了对 Kickstart 文件中的 %certificate 部分的支持，以便在安装程序环境和安装的系统中安装 CA 证书。这简化了设置过程，并确保安装后加密的 DNS 可以正常工作，从而减少了手动配置和安全漏洞。证书以 Base64 ASCII 格式内联，并通过 --dir 和 --filename 选项导入。此增强有助于将加密的 DNS 配置作为 Zero Trust Architecture 要求的一部分。在安装过程中设置的加密 DNS 从一开始就确保安全的 DNS 解析，从而在自动化部署中提高了安全性和合规性。

RHEL 镜像构建器支持创建带有高级分区的磁盘镜像

有了此增强，RHEL 镜像构建器获得了更多用于自定义分区和创建带有高级分区布局的磁盘镜像的选项。您可以创建带有自定义挂载点（例如，包括自定义挂载选项、基于 LVM 的分区和基于 LVM 的 SWAP）的磁盘镜像，来使用蓝图文件更改 / 和 /boot 目录的大小。

bootc-image-builder 现在支持创建带有高级分区的镜像模式磁盘镜像

有了这个增强，bootc-image-builder 工具获得了更多自定义分区并创建带有高级分区布局的磁盘镜像的选项。您可以使用 bootc-image-builder 工具创建带有自定义挂载点的 image-mode RHEL 的磁盘镜像，包括自定义挂载选项、基于 LVM 的分区和基于 LVM 的 SWAP，来例如使用 config.toml 更改 / 和 /boot 目录的大小。

bootc 镜像构建器工具 在 RHEL 中正式发布

bootc 镜像构建器工具 现在在 RHEL 中正式发布，作为容器，可从 bootc 容器输入中轻松创建和部署兼容磁盘镜像。使用 bootc 镜像构建器 运行容器镜像后，您可以为您需要的架构生成镜像。然后，您可以在虚拟机、云或服务器上部署生成的镜像。您可以使用 bootc 轻松地更新镜像，而不必在每次需要新更新时使用 bootc 镜像构建器 重新生成内容。

pcsd 现在提供- -disable-polkit 选项

在这个版本中，您可以使用-- disable-polkit 选项启动 pcsd 服务来关闭 PolicyKit 授权框架。在没有 polkit 的情况下运行 pcsd 可启用在有限的环境中访问 PKCSGRESS 设备，如初始 RAM 磁盘。因此，Clevis 解密客户端可以在引导时自动解锁 LUKS 加密卷。

SSH 现在提供了一个链接，其中包含有关 SSH 登录错误消息的更多详情

如果出现早期错误，ssh 命令行工具会提供一个到红帽客户门户网站页面的链接，其中包含有关常见错误消息和解决它们的步骤的更多详情。这在使用交互模式时帮助对 SSH 登录问题进行故障排除。

PKCS-tool 现在显示对象 URI

在这个版本中，pkcs11-tool -L 和 pkcs11-tool -O 命令会在输出中包含 uri: 字段。在配置 pkcs11 Clevis pin 时，您可以使用 URI 信息来自动解锁 LUKS 加密驱动器。

CBC 密码现在可以在 crypto-policies中阻止

在这个版本中，crypto-policies 使用 openssl -CBC CipherString 指令。因此，如果在 crypto-policies 中都没有启用 CBC 密码套件，则 OpenSSL 中会禁用 CBC 密码套件。

nettle rebase 到 3.10.1

nettle 库软件包已更新至上游版本 3.10.1。此版本提供各种 bug 修复、优化和增强，最重要的是：

rsyslog rebase 到 8.2412.0

rsyslog 软件包已更新到 RHEL 9.6 中的上游版本 8.2412.0。除了其他修复和增强，您可以将规则集绑定到 imjournal 模块。通过这种优化，可以在输入阶段过滤和处理日志消息，这减少了主消息队列上的负载。这可最小化资源利用率，并确保更顺畅地处理高容量日志。

OpenSCAP rebase 到 1.3.12

OpenSCAP 软件包已更新到上游版本 1.3.12。这个版本提供 bug 修复和各种改进。如需更多信息，请参阅 OpenSCAP 发行注记。

clevis rebase 到版本 21，支持 PKCS modprobe

clevis 软件包已升级到版本 21。此版本包含很多改进和 bug 修复，特别是：

新的 Keylime 策略管理工具

新的 keylime-policy 工具将 Keylime 运行时策略的所有管理任务与已测量的引导策略集成在一起，并改进了生成策略的性能。

SELinux 为 /dev/hfi1_0分配特定类型的

在这个版本中，hfi1_device_t 类型被分配给 SELinux 策略中的 /dev/hfi1_0 设备。因此，SELinux 可以正确控制对该设备的访问。

SELinux 策略中限制的其他服务

此更新将额外的规则添加到限制以下 systemd 服务的 SELinux 策略中：

SCAP 安全指南 rebase 到 0.1.76

如需更多信息，请参阅 SCAP 安全指南发行注记。

Keylime 需要 HTTPS 进行吊销通知

Keylime 组件需要使用更安全的 HTTPS 协议来撤销通知 Webhook，而不是 HTTP。因此，Keylime 验证器现在需要撤销通知 Webhook 服务器 CA 证书。您可以将其添加到 trusted_server_ca 配置选项中，或者将其添加到系统信任存储中。

支持使用 FDO 为 RHEL 系统部署镜像模式

在这个版本中，您可以使用 FIDO Device Onboarding (FDO)进程（作为技术预览）为 RHEL 系统部署镜像模式，以向这个系统提供配置。在 ISO 构建中包含 Kickstart 文件来配置安装过程的任何部分，但基础镜像部署除外。如果您将 ISO 与 bootc 容器镜像搭配使用，则 bootc-image-builder 会自动安装 ostreecontainer，这是安装容器镜像的命令。您仍然可以配置任何内容，但 ostreecontainer 命令除外。

RHEL 提供了 greenboot 软件包版本 0.15.8

greenboot 软件包已更新至版本 0.15.8，它提供了 bug 修复和增强。主要变更包括：

RHEL 用户的镜像模式现在可以使用 dnf --transient 执行在重启时重置的软件包事务

在以前的版本中，RHEL 用户的镜像模式可能会通过运行 bootc usr-overlay 命令临时安装、删除和升级软件包，来解锁系统，然后通过运行 DNF 命令来进行更改。如果您使用 bootc usr-overlay，当系统重启时，/usr 目录覆盖会消失，对其所做的所有更改都将重置。对其他目录的更改，包括 /etc 中的配置以及 /var 中的程序状态，在重启后保持不变。

改进了在锁定的 OSTree 或 bootc 系统上使用 DNF 时的错误消息

默认情况下，ostree 和 bootc 系统无法由 DNF 管理。在以前的版本中，DNF 错误消息没有说这是一个预期的行为，以及如何更改它。有了此更新，DNF 会检测它是否在只读 OSTree 或 bootc 系统上运行，并告知您在哪里查找如何使用 DNF 管理此类系统的更多详情。

DNF Automatic 现在可以通知用户更新失败

有了此更新，已在 /etc/dnf/automatic.conf 配置文件的 [emitters] 部分中添加了一个新的 send_error_messages 布尔值选项。因此，如果您将 send_error_messages 设置为 yes，DNF Automatic 工具会使用 emit_via 选项中配置的发射器来通知您自动更新失败。

忽略重复数据 选项现在可用

在这个版本中，在 logrotate 配置中添加了 ignoreduplicates 选项。选项会忽略 logrotate 配置中的任何重复文件路径，且默认情况下不启用。

maven-openjdk21 软件包现在可用

RHEL 支持使用多个 Java 版本运行 Maven，允许用户选择首选 JDK。在这个版本中，添加了一个新的 maven-openjdk21 软件包，以便使用 OpenJDK 21 进行 Maven 无缝执行。主要变化包括：

openCryptoki rebase 到版本 3.24.0

openCryptoki 软件包被 rebase 到版本 3.24.0。添加了对以下情况的支持：

libva rebase 到 2.22.0

libva 软件包被 rebase 到 2.22.0。主要改进包括如下：

提供了新模块流 maven 3.9

现在提供了对 maven 3.9 软件包的新更新。在版本 3.9 中，maven 与 maven 2 不兼容。主要改进包括：

现在支持多路径合作伙伴设备

drmgr 是一个用于管理逻辑和物理热插拔功能资源的实用程序。有了这个增强 ， drmgr 支持对多路径驱动器的热插拔添加和删除。

现在，在 CUPS 配置中可以禁用弱密码

在以前的版本中，当您在 CUPS 配置中禁用弱密码时，配置更改不会生效。有了此增强，如果用户希望通过系统策略禁用某些加密算法，如果 SSLOptions NoSystem 不在 CUPS 配置文件中，，CUPS 会遵守系统设置，并且 CUPS 不提供系统范围的禁用算法。

添加了对 E825C 接口的支持

添加了对 ice 驱动程序的 Intel Granite Rapids-D 平台的 E825C 网络接口的支持。

i40e 驱动程序支持对 MDD 事件的自动重置行为

当检测到恶意驱动程序检测(MDD)事件时，用于 PCIe* 40 Gigabit Ethernet 的 Intel® Network Adapter 驱动程序现在可以重置有问题的 Single Root I/O Virtualization(SR-IOV)虚拟功能(VF)。您可以通过新的 mdd-auto-reset-vf 选项来激活这个自动重置行为，如下例所示：

NetworkManager 现在支持在 NIC 上配置 FEC 编码

有了此增强，NetworkManager 支持在网络接口控制器(NIC)上转发错误修正(FEC)编码。通过在 NIC 上禁用 FEC 编码，您可以降低冗余数据传输的开销，并降低网络流量的延迟。使用以下步骤在 NIC 上配置 FEC 设置：

NetworkManager 可以自动将路由添加到 DNS 服务器中

使用 ipv4.routed-dns 参数，您可以配置 NetworkManager，以便名称服务器只能通过正确的网络接口访问。除了 NetworkManager 中的 systemd-resolved 和 dnsmasq 后端 DNS 服务外，其他后端服务不支持将名称服务器绑定到正确的网络接口。因此，您可以使用 NetworkManager 通过相关的网络接口向名称服务器添加显式路由。

NetworkManager 默认可以将 ipv4.dhcp-send-hostname 设置为 false

使用此功能，您可以在 NetworkManager 中将所有 IPv4 连接的 ipv4.dhcp-send-hostname 选项设置为 false。要默认禁用这个选项，请将配置片断添加到 /etc/NetworkManager/conf.d/99-no-hostname.conf 文件中，如下所示：

NetworkManager 支持连接设置的 ip-ping-addresses 和 ip-ping-timeout 属性

有了此增强，您可以在 ip-ping-addresses 中添加一个 IP 地址，并使用 ip-ping-timeout 设置设置超时。因此，您可以确保在目标网络可访问后挂载远程服务，如网络文件系统(NFS)。

nmstate 支持 Libreswan 配置上的 require-id-on-certificate 设置

有了此增强，互联网协议安全(IPsec)规范的一种实现 libreswan 现在通过使用 NetworkManager ，支持对 VPN 配置的 require-id-on-certificate 设置。有了此功能，您可以使用 require-id-on-certificate 选项配置主题备用名称(SAN)验证。因此，这个实现根据指定的设置正确强制实施了 SAN 验证：

NetworkManager DHCP 客户端支持 DHCPv4 的仅 IPv6 首选选项

有了此增强，DHCPv4 的仅 IPv6 首选选项对于支持的 DHCP 服务器的 NetworkManager 客户端可用。您可以以两种方式使用此选项：全局和本地。如果全局启用，这个选项只允许并优先考虑同时支持 IPv4 和 IPv6 的双网络中的 IPv6 地址。如果通过设置 ipv6.method disabled 选项在本地启用了，则手动分配的 IPv4 地址优先于 DHCP 地址。

xdp-tools rebase 到版本 1.5.1

xdp-tools 软件包已升级至 1.5.1 版本，其提供了多个改进和 bug 修复。主要变更包括：

wpa_supplicant 被 rebase 到版本 2.11

wpa_supplicant 工具已升级至 2.11 版本，其提供了多个 bug 修复和增强。主要变更包括：

iproute2 已 rebase 到版本 6.11.0

iproute2 软件包已升级至 6.11.0 版本，提供了多个 bug 修复和增强。主要变更包括：

绑定设备支持具有 ESN 的 IPsec HW 卸载

在以前的版本中，绑定设备不支持具有扩展序列号(ESN)的 IPSec Hardware HW 卸载功能。因此，在绑定设备上设置具有 HW 卸载和 ESN 的 IPsec 会失败。有了此修复，鉴于绑定端口已支持此功能，您可以在绑定设备上设置具有 ESN 的 IPsec HW 卸载。因此，绑定设备可以正确地卸载 IPsec 流量。

VXLAN 实现中的新"丢弃原因"

在这个 RHEL 内核的更新中，引入了可见性补丁，它会在 Virtual eXtensible Local Area Networking (VXLAN) 实现中添加新的"丢弃原因"。可见性补丁对于故障排除问题非常重要，由于这些添加，VXLAN 中大多数丢弃的数据包现在都有一个附加到提供的额外的上下文的原因。

现在在 RHEL 中完全支持调制解调器的网络驱动程序

在美国，设备制造商支持将联邦通讯委员会(FCC)锁定作为默认设置。FCC 提供了一个锁，来将 WWAN 驱动程序绑定到特定的系统，其中 WWAN 驱动程序提供了一个与调制解调器进行通信的通道。

nmstate 现在支持配置 IPvLAN

nmstate API 现在支持配置 IPvLAN （一个虚拟网络接口），它增强了网络管理和容器网络。

RHEL 9.6 中的内核版本

Red Hat Enterprise Linux 9.6 带有内核版本 5.14.0-570.12.1。

eBPF 工具已更新至 Linux 内核版本 6.12

主要变化和增强包括：

查看 cgroup.stat中每个 cgroup 的实例数量

对于 cgroup v2，改进了 cgroup.stat 控制文件，以显示统一层次结构中每个 cgroup 子系统的实例数量，包括任何 dying 文件。

kpatch-dnf 插件通过改进的内核管理来更新

使用更新的 kpatch-dnf 插件，内核升级与 kpatch 支持一致。管理员可灵活地将内核更新集中到 kpatch 所支持的更新，从而提高了系统升级和整体稳定性。

rteval 工具的容器化

在这个版本中，您可以运行 rteval 工具，及其来自容器镜像的所有运行时依赖项通过 Quay.io 容器 registry 公开获得。这个功能还允许您：

TPM_TIS rebase 到 upstream 6.7 for Lenovo 硬件

此发行版本引入了受信任的平台模块(TPM)集成服务(TPM_TIS)固件到上游版本 6.7 的更新版本。这个版本解决了 RHEL 9.6 的稳定性和安全性增强。

kdump 被 rebase 到 6.10

这个更新包含了最新的改进、bug 修复和与崩溃转储相关的 6.10 内核中的功能。

Landlock，一个新的 Linux 安全模块(LSM)

RHEL 9.6 引入了 Landlock，它是一个新的安全功能，使您的容器更安全。Landlock 为 Podman 等进程设置严格的规则，以便通过内核 API 限制对文件系统的访问，无论权限级别如何定义规则，并允许用户在进程可访问的范围内创建硬限制。

新的集成测试来验证 kdump 步骤以防止系统失败

有了这个增强，您可以在任何软件或硬件更新后检查 kdump 进程的日志文件，以防止系统失败。在分析输出日志文件后，配置条目（如内存 问题或 某些驱动程序黑名单 ）已被修正，以验证 kdump 过程并生成 vmcore。这样可确保在任何软件或硬件更新后在系统崩溃前验证并修正 kdump 过程。

新的 timerlat-interval INTV_US 和 cyclictest-interval INTV_US 选项

有了这个增强，您可以使用 rteval 命令的以下新选项修改运行 timerlat 或 cyclictest 线程中的基础或定期间隔选项：

IBM Power 上现在支持 NVMf-FC kdump

NVMf-FC kdump 现在支持 IBM Power 系统，以运行 kexec-tools。这允许通过光纤频道网络捕获系统内存转储，方法是使用 NVMe 存储设备进行高速和低延迟存储访问崩溃转储数据。

RHEL 9.6 中已强化 GRUB 引导装载程序

此功能增强包括修复作为 GRUB2 代码中主动强化工作的一部分发现的各种安全漏洞。这个 GRUB 引导装载程序的持续主动努力会产生几个漏洞和漏洞，其中有些被严重的 CVE 是非常严重的，例如：

现在支持 EROFS 文件系统

EROFS 是一个轻量级通用只读文件系统，适用于各种只读用例，如嵌入式设备或容器。它为需要它们的场景提供去重和透明压缩。

snapm 现在在 RHEL 中提供

快照管理器(snapm)是一个新组件，旨在帮助管理系统状态快照。您可以使用它来回滚更新或更改，并引导到以前的系统快照。在多个卷之间管理快照，并为快照引导和快照回滚配置引导条目通常比较复杂，且容易出错。快照管理器自动执行这些常见任务，并与 Boom Boot Manager 无缝集成，从而简化这个过程。有了此更新，您可以轻松地对系统状态进行快照，应用更新，并在需要时恢复回之前的系统状态。

完全支持带有 TLS 的 NFS

RHEL 9.4 中引入的网络文件系统(NFS)现在完全支持在 RHEL 9.4 中。此功能通过为远程过程调用(RPC)流量启用 TLS 来提高 NFS 安全性，确保客户端和服务器间的加密通信。详情请参阅 配置支持 TLS 的 NFS 服务器。

VFS mnt_idmap 编译时间检查更改向后移植

此功能增强可最小化在后续修复或功能向后移植过程中可能出现的冲突。因此，使用后续后向移植降低回归风险。

CIFS 客户端提供了在 SMB 共享下创建特殊文件的功能

通用 Internet 文件系统(CIFS)客户端能够为 Linux (WSL)符号链接创建原生服务器消息块(SMB)、网络文件系统(NFS)或 Windows 子系统。使用新的 symlink=default|none|native|unix|mfsymlinks|sfu|nfs|wsl 挂载选项来完全禁止创建符号链接，或者选择客户端将创建哪些符号链接。您还可以使用 reparse=default|none|nfs|nfs|nfs|nfs|wsl 挂载选项通过 NFS 或 WSL 重新解析点创建特殊文件，如字符设备、块设备、管道和套接字。要在 NT 文件系统(NTFS)卷上创建 Windows 应用程序支持的原生 Windows 套接字，请使用 nativesocket 挂载选项。

使用一个 pcs 命令删除多个资源

在此次更新之前，pcs resource delete、pcs resource remove、pcs stonith delete 和 pcs stonith remove 命令都支持一次只删除一个资源。有了此更新，您现在可以使用一个命令一次删除多个资源。

新的 pcs tag 命令选项用于以文本、JSON 和命令格式显示集群资源标签

pcs tag [config] 命令现在支持对以下用例使用 --output-format 选项：

支持以 JSON 格式和 pcs 命令导出隔离级别配置

pcs stonith config 和 pcs stonith level config 命令现在支持 --output-format= 选项，来以 JSON 格式和 pcs 命令显示隔离级别配置。

从 Booth 配置中删除后，从 CIB 中删除 Booth 集群票据

使用 pcs booth ticket remove 命令删除 Booth 集群票据后，Booth 票据的状态在 Cluster Information Base (CIB)中保持 loaded 。在从一个站点上的 Booth 配置中删除一个 ticket ，并使用 pcs booth pull 命令将 Booth 配置拉取到另一个站点后，也会出现这种情况。当您配置票据约束时，这可能会导致问题，因为即使在票据被删除后，也可以授予票据约束。因此，集群可能会冻结或隔离一个节点。从 RHEL 9.6 开始，您可以使用 pcs booth ticket cleanup 命令从 CIB 中删除 Booth 票据来防止这种情况。

新模块流：mysql:8.4

MySQL 8.4 现在作为一个新模块流 mysql:8.4 提供。与之前提供的 8.0 版本相比，主要改进包括：

在 PHP 8.3 中支持 ARGON2 密码哈希

PHP 8.3 现在作为 php:8.3 模块流提供。有了此增强，现在提供了对 openssl 扩展提供的 ARGON2I 和 ARGON2ID 密码哈希算法的支持。

nginx 1.26 模块流现在可用

nginx 1.26 模块流包括各种 bug 修复和增强。主要变更包括：

新的 php:8.3 模块流现在可用

RHEL 9.6 将 PHP 8.3 添加为新的 php:8.3 模块流。主要改进包括：

LLVM Toolset 已更新至 19.1.7

LLVM Toolset 已更新至版本 19.1.7。

llvm-doc 软件包现在只包含对上游文档的引用。

在以前的版本中，llvm-doc 软件包包含 HTML 格式的 LLVM 文档。有了此更新，软件包只提供 /usr/share/doc/llvm/html/index.html 文件，其包含对上游文档的引用。

Clang 和 LLVM 现在支持用于 debug 部分压缩的 zstd

默认情况下，Clang 和 LLVM 工具使用 Zlib 作为 debug 部分压缩的算法。有了此增强，用户可以使用 Zstandard (zstd)算法，该算法可以达到比 Zlib 更高的压缩率。

Rust Toolset rebase 到版本 1.84.1

Rust Toolset 已更新到版本 1.84.1。自之前可用的版本 1.79.0 以来的显著改进包括：

pcp 已 rebase 到版本 6.3.2

Performance Co-Pilot (PCP)已更新至版本 6.3.2。与之前可用的 6.2.2 版本相比，显著的变化包括：

glibc 库包含改进的 IBM POWER10 优化

有了此增强，glibc 库改进了对 IBM POWER10 平台的硬件支持。因此，strcmp （） 和 memchr （） API 的性能在这个平台上已被显著改进。

Valgrind 已 rebase 到版本 3.24.0

valgrind 套件已更新至版本 3.24.0。主要改进包括：

libabigail 已 rebase 到版本 2.6

libabigail 库已更新至版本 2.6。主要变更包括：

SystemTap 已 rebase 到版本 5.2

SystemTap 追踪和探测工具已更新至版本 5.2。

elfutils 已 rebase 到版本 0.192

elfutils 软件包已更新至版本 0.192。主要改进包括：

现在，ld 链接器会检测应用程序是否对内存区域使用了读、写和执行权限

同时具有读、写和执行权限的内存区域是一个潜在的攻击点，因为缓冲区溢出可以允许可执行代码注入到内存中，然后执行。

ld 链接器现在会检测应用程序是否使用一个可执行堆栈

如果由于缓冲区溢出，放在内存可执行区域中的堆栈是潜在的攻击点，可执行代码放在这里。

binutils 现在支持 IBM Z 指令集的 arch15 扩展

有了此增强，binutils 支持 IBM Z 平台上的 arch15 扩展 CPU。开发人员现在可以使用汇编源文件中的 arch15 扩展提供的新功能，或者当更新的编译器可用时，也可以在编译的程序中使用这些新功能。这可以产生更小、更快的程序。

boost-devel 软件包提供 BoostConfig.cmake 和其他官方 CMake 脚本

此增强在 boost-devel 软件包中添加了 BoostConfig.cmake 和其他官方 CMake 脚本。CMake 在一些情况下使用这些脚本来测试 boost 功能是否存在。因此，测试 boost 功能的 CMake 项目现在可以更加稳健地工作。

Go Toolset 已 rebase 到版本 1.23

Go Toolset 已更新到版本 1.23。主要改进包括：

glibc 现在支持 GB18030-2022 编码标准

此增强更新了版本 2005 到 2022 中 glibc 中的 GB18030 编码标准的支持。使用 2022 版本，您可以使用 31 个新的转码关系以及这个标准引入的附加字符和代码点。

Go Toolset rebase 到版本 1.24.4

Go Toolset 已更新至版本 1.24.4，并发布 RHSA-2025:10676 公告。

管理 IdM ID 范围不一致的新工具

在这个版本中，身份管理(IdM)提供 ipa-idrange-fix 工具。您可以使用 ipa-idrange-fix 工具来分析现有的 IdM ID 范围，识别这些范围之外的用户和组，并建议以创建新的 ipa-local 范围来包括它们。

Kerberos 现在支持 Elliptic Curve Diffie-Hellman 密钥协议算法

现在支持 RFC5349 定义的 PKINIT 的 Elliptic Curve Diffie-Hellman (ECDH)密钥协议算法。有了这个更新，krb5.conf' 文件中的 pkinit_dh_min_bits 设置现在可以使用 'P-256、P-384 或 P-521 进行配置，以默认使用 ECDH。

ansible-freeipa 已 rebase 到 1.14.5

ansible-freeipa 软件包已从 1.13.2 版本 rebase 到版本 1.14.5。主要改进和程序错误修复包括：

389-ds-base 已 rebase 到版本 2.6.1

389-ds-base 软件包已 rebase 到版本 2.6.1。与 2.5.2 版本相比，重要的程序错误修复和增强包括：

OpenLDAP 更新到版本 2.6.8

openldap 软件包已更新至版本 2.6.8。这个版本包括各种改进和程序错误修复，包括：

新的 memberOfDeferredUpdate: on/off 配置属性现在包括在 Directory Server 中

在这个版本中，Directory 服务器为 MemberOf 插件引入了新的 memberOfDeferredUpdate 配置属性。当设置为 on 时，MemberOf 插件会延迟组成员的更新，从而提高服务器响应性，特别是在组更改大量成员时。

目录服务器现在提供错误、审计和审计日志的缓冲

在此次更新之前，只有访问和安全日志会进行日志缓冲。在这个版本中，Directory 服务器提供错误、审计和审核失败日志的缓冲。使用以下设置来配置日志缓冲：

目录服务器现在可以在成功绑定后使用 CRYPT 或 CLEAR 哈希算法更新密码

在此次更新之前，Directory 服务器有一个硬编码的哈希算法列表，这些算法在成功绑定过程中不包括在密码更新中。目录服务器不会更新在 passwordStorageScheme 属性中配置的 CRYPT 或 CLEAR 哈希算法的用户密码。

IdM 现在完全支持 HSM

现在，身份管理(IdM)完全支持硬件安全模块(HSM)。您可以在 HSM 上存储 IdM Cerificate Authority (CA)和密钥恢复授权(KRA)的密钥对和证书。这为私钥材料增加了物理安全。

新的 SSSD 选项： exop_force

您可以使用 exop_force 选项强制更改密码，即使没有宽限期。在以前的版本中，如果 LDAP 服务器表示没有安全登录，SSSD 不会尝试密码更改。现在，如果您在 sssd.conf 文件的 [domain/…​] 部分中设置了 ldap_pwmodify_mode = exop_force，SSSD 会尝试更改密码，即使没有宽限期登录。

支持 authselect中添加的组合并

如果您使用 authselect 工具，您不再需要手动编辑 nssswitch.conf 文件来启用组合并。在这个版本中，它被集成到 authselect 配置集中，无需手动更改。

支持 SSSD 中的动态 DoT 更新

SSSD 现在支持使用 DNS-over-TLS (DoT)执行所有动态 DNS (dyndns)查询。当 IP 地址更改时，您可以安全地更新 DNS 记录，如身份管理(IdM)和 Active Directory 服务器。要启用这个功能，您必须从 bind9.18-utils 软件包安装 nsupdate 工具。

postfix RHEL 系统角色中的新变量： postfix_default_database_type

postfix 系统角色可以确定 postfix 使用的默认数据库类型，并将它导出为变量 postfix_default_database_type。因此，您可以根据默认数据库类型设置配置参数。

microsoft.sql.server 系统角色中的新变量：mssql_tools_versions 和 mssql_tls_self_sign

新的 mssql-tools18 软件包提供了与之前版本的 mssql-tools 软件包不向后兼容的功能。因此，以下变量已添加到 microsoft.sql.server 系统角色中，以适应更改：

新的 RHEL 系统角色：aide

您可以使用新的 aide RHEL 系统角色来检测对文件、目录和系统二进制文件的未授权更改。使用此角色，您可以完成以下任务：

sudo RHEL 系统角色中的新变量：sudo_check_if_configured

sudo RHEL 系统角色具有以下变量：

microsoft.sql.server 系统角色为 AD 用户启用 AES 128 位和 AES 256 位加密

从 1.1.83 版本开始，adutil 工具在创建或修改活动目录(AD)用户时支持带有 AES 128 位和 AES 256 位加密的 Kerberos 协议。有了此更新，microsoft.sql.server 系统角色会在创建或修改 AD 用户时自动启用 Kerberos 协议提供的 AES 128 位和 AES 256 位加密。因此，不需要手动进行配置后任务。

systemd RHEL 系统角色除系统单元外还可以管理用户单元

有了这个更新，systemd RHEL 系统角色也可以管理用户单元。对于 systemd_unit_files 中指定的每个单元文件或单元，或者 systemd_unit_file_templates，或者 systemd_started_units 等，如果您希望为给定用户管理，则可以添加一个 user: name。默认为 root，用于系统单元。

支持导出现有集群的 corosync 配置

ha_cluster RHEL 系统角色支持以可反馈到角色的格式导出现有集群的 corosync 配置，以重新创建同一集群。如果您没有使用 ha_cluster RHEL 系统角色创建集群，或者您 丢失了集群的原始 playbook，您可以使用此功能为集群构建一个新的 playbook。

podman RHEL 系统角色可以管理类型 Pod 的四元组单元

版本 5 的 podman 工具添加了对 Pod 四元组类型的支持。因此，podman RHEL 系统角色允许您管理类型为 Pod 的四let 单元。

新属性已添加到 network RHEL 系统角色 network_connections 变量：autoconnect_retries

在 network RHEL 系统角色中，没有对自动尝试重新连接网络连接的次数的精细控制。对于扩展重试过程至关重要的某些用例，这个限制可能会有问题，特别是在网络不稳定的环境中。添加到 network_connections 角色变量中的 autoconnect_retries 属性配置在自动连接失败后 NetworkManager 尝试重新连接网络连接的次数。因此，network RHEL 系统角色允许使用 network_connections 变量中的 autoconnect_retries 属性来配置自动连接失败后自动重新连接尝试的数量。此增强对网络稳定性和性能提供了更好的控制，特别是在网络不稳定的环境中。

新属性已添加到 network RHEL 系统角色 network_connections 变量：wait_ip

此更新增加了对 network_connections 角色变量中 ip 选项的 wait_ip 属性的支持。属性指定系统是否应在配置了特定 IP 堆栈时将网络连接视为已激活。您可以使用以下值配置 wait_ip ：

metrics RHEL 系统角色支持 Valkey 作为 Redis 的替代选择

在这个版本中，增加了对 metrics RHEL 系统角色的 Valkey in-memory 数据结构存储的支持。它是 Redis 的一种替代方案，不再是开源，并已从 Linux 发行版中删除。Valkey 通常用作高性能缓存层。它在内存中存储数据，通过缓存频繁访问的数据来加快应用程序。另外，您可以对其他性能关键操作使用 Valkey ，例如：

logging RHEL 系统角色中的新变量：logging_custom_templates

以下变量已添加到 logging RHEL 系统角色中：

sshd RHEL 系统角色验证命令和配置

在使用 command 或 shell 插件时，sshd 角色使用 quote 命令来确保您可以安全地使用这些命令。角色还会验证传递给这些插件的某些用户提供的角色变量。这提高了使用角色的安全性和稳健性，如果没有验证，用户提供的包含空格的变量可能会被分割，且无法正常工作。

IBM Z 上的 KVM 现在支持多个引导设备

在 IBM Z 主机上的 KVM 上运行的客户机操作系统可在主引导设备无法引导时尝试从附加设备引导。这个功能支持以下设备类型：

RHEL for Real Time 中支持虚拟机

此更新在 RHEL for Real Time 中引入了对实时虚拟化的完全支持。您可以配置主机和客户机操作系统，以实现虚拟机(VM)的低延迟和确定性行为。这使得实时虚拟机适合需要实时性能的应用程序，如工业自动化、电信和汽车系统。

对 64 位 ARM 主机上虚拟机的新支持的功能

现在对使用 64 位 ARM 架构（也称为 aarch64 ）的 RHEL 主机上的虚拟机支持以下功能：

virt-install 现在支持创建带有 SEV-SNP 的虚拟机

现在，您可以使用 virt-install 工具创建使用带有安全嵌套分页(SEV-SNP)功能的 AMD 安全加密的虚拟化的虚拟机(VM)。为此，请使用 launchSecurity sev-snp,policy=0x30000 选项。

支持带有为其他方提供写访问的共享 virtiofs 目录的虚拟机实时迁移

有了此更新，您可以实时迁移带有 virtiofs 共享目录的虚拟机(VM)，即使多个其他方（如主机和其他虚拟机）都有对该目录的写权限。

对 IBM z17 处理器的虚拟化支持

有了此更新，RHEL 上的虚拟化增加了对 IBM z17 CPU 的支持。因此，在带有 RHEL 的 IBM Z 系统上托管的虚拟机现在可以使用 z17 处理器提供的新功能。

对 IBM Z 上的 Secure Execution 支持可检索的 secret

有了此更新，您可以在 IBM Z 上的 Secure Execution 虚拟机(VM)中对加密设备使用通用的基于主机的 secret。因此，在配置 Secure Execution 时，不再需要将 secret 存储在 initramfs 镜像中，这简化了创建安全的虚拟机镜像的过程。请注意，这个功能当前只在 IBM z17 处理器上支持。

Intel Xeon v6 处理器的虚拟化支持

在这个版本中，RHEL 9 中的虚拟化增加了对 Intel Xeon v6 处理器的支持，以前称为 Sierra Forest。因此，在 RHEL 9 中托管的虚拟机现在可以使用 SierraForest CPU 模型，并使用处理器提供的新功能。

RHEL 支持实时迁移带有 Mellanox 虚拟功能的虚拟机

有了此更新，您可以对附加了 Mellanox 网络设备的虚拟功能(VF)的虚拟机(VM)执行实时迁移。

RHEL 客户机中的 Intel TDX

现在，RHEL 9.5 及之后的版本被用作客户机操作系统时完全支持 Intel Trust Domain Extension (TDX)功能。如果主机系统支持 TDX，您可以部署硬件隔离的 RHEL 9 客户机，称为信任域(TD)。这会增加 RHEL 客户机主机的隔离，并使主机访问 RHEL 客户机上的数据会大大困难。

完全支持 RHEL 的统一内核镜像

RHEL 9.2 中引入的统一内核镜像(UKI)现在被完全支持。要使用 RHEL UKI，您必须首先安装 kernel-uki-virt 软件包。RHEL UKI 可在虚拟和云环境中增强 SecureBoot 保护。

RHEL 8 - 10 的 WSL 镜像在客户门户网站上提供

用于 Linux (WSL)的 Windows 子系统的 RHEL 8、RHEL 9 和 RHEL 10 镜像现在可以从红帽客户门户网站下载。这些镜像对所有 RHEL 订阅可用，包括免费开发人员订阅。通过使用 WSL 镜像，您可以在 Windows 系统上创建 RHEL 实例。

HPE 上的 RHEL 最多可以运行 4096 个 vCPU

使用此功能，在 Hewlett Packard Enterprise Compute Scale-Up Server 上使用 RHEL KVM hypervisor 运行 RHEL 虚拟机(VM)实例现在支持最多 4096 个虚拟 CPU、32 个插槽和 64 TB 内存来处理内存数据库和其他大型计算密集型工作负载。

增强了对有资格的 RHEL 镜像的自动注册

当为 RHEL 9.6 或更高版本以及 RHEL 10.0 或更高版本购买某些符合条件的云市场订阅时，会提供一个自动注册功能的改进版本。

plugin 选项名称现在使用连字符而不是下划线

要确保 sos 全局选项的一致性，plugin 选项名称现在只使用连字符而不是下划线，例如，网络插件 namespace_pattern 选项现在是 namespace-pattern，且必须使用-- plugin-option networking.namespace-pattern=<pattern> 语法来指定。

--api-url 选项现在可用

使用 -api-url 选项，您可以根据需要调用另一个 API。例如，OpenShift Container Platform 集群的 API。示例：sos collect --cluster-type=ocp --cluster-option ocp.api-url=_<API_URL> --alloptions.

新的 -skip-cleaning-files 选项现在可用

sos report 命令的 --skip-cleaning-files 选项允许您跳过清理所选文件。选项支持 globs 和通配符。示例： sos report -o host --batch --clean --skip-cleaning-files 'hostname' 。

Podman 支持推送和拉取使用 zstd:chunked 压缩的镜像

您可以推送使用 zstd:chunked 格式压缩的镜像，以减少镜像大小，并使用部分拉取。

Container Tools 软件包已更新

现在提供了更新的 Container Tools RPM meta-package，其包括 Podman、Buildah、Skopeo、crun 和 runc 工具。Buildah 已更新至版本 1.39.0，Skopeo 已更新至版本 1.18.0。Podman v5.4 包含以下值得注意的 bug 修复和增强：

现在，Podman 中提供了增强的健康检查输出配置

Podman 现在基于每个容器为健康检查输出提供增强的配置性。在此次更新之前，健康检查输出仅限于五个最新的执行，每个执行的上限为 500 个字符，只能通过 podman inspect 命令访问。现在，您可以调整为每个容器存储的健康检查输出量，以便在需要时获得更全面的调试信息。此功能在不影响运行的服务的情况下诊断间歇性健康检查失败特别有用。另外，要解决敏感数据和存储效率的顾虑，您可以选择限制或禁用特定容器的健康检查输出存储。

现在可以使用单个命令部署容器镜像

您可以使用单个命令将容器镜像部署到 RHEL 云实例中。system-reinstall-bootc 命令安装执行以下操作：

现在支持从头开始创建自定义 bootc 镜像

您可以从头开始创建 bootc 镜像，并完全控制镜像的内容，定制系统环境以满足特定要求。使用 bootc-base-imgectl 命令，您可以根据现有的 bootc 基础镜像创建自定义 bootc 镜像。Bootc Image from Scratch 是从容器镜像派生的，不会自动接收来自默认基础镜像的更新。要包含这些更新，您必须将它们手动合并为容器管道的一部分。另外，您可以在任何 bootc 容器镜像上使用 bootc-base-imgectl 中的 rechunk 子命令来根据需要优化或重组镜像。

提供了用于 bootc-image-builder 的新镜像构建进度条

在以前的版本中，您无法通过查看日志来检查镜像构建的进度。有了此增强，您可以使用 bootc-image-builder 检查您创建的镜像构建的进度。您可以在构建镜像时使用 --progress=verbose 参数恢复回之前的行为。

RHEL Lightspeed 驱动的命令行助手通常在 RHEL 中可用

RHEL Lightspeed 驱动的命令行助手通常在 RHEL 命令行中可用。驱动助手的生成式 AI 是通过 RHEL 产品文档和红帽知识库中的信息进行训练的，并可帮助您以更易于访问的方式理解、配置并对您的 RHEL 系统进行故障排除，无论您是 RHEL 新手还是经验丰富的用户。

命令行助手支持使用 systemd-creds 作为密码存储管理器

RHEL Lightspeed 支持的命令行助手程序通过使用 systemd-creds，这是随 RHEL 附带的密码存储管理器，集成了命令行助手守护进程(clad)。这意味着，您可以使用 PostgreSQL 或 MySQL 等数据库作为历史记录后端来安全地存储密码。因此，您可以使用工具列出、显示、加密和解密单元凭证。

shlibsign 现在可以在 FIPS 模式下正常工作

在此更新之前，shlibsign 程序在 FIPS 模式下无法正常工作。因此，当您在 FIPS 模式下重新构建 NSS 库时，您必须离开 FIPS 模式才能对库进行签名。程序已被修复，您现在可以在 FIPS 模式下使用 shlibsign。

审计现在加载引用 /usr/lib/modules/的规则

在此次更新之前，当 auditd.service 的 ProtectKernelModules 选项设为 true 时，审计子系统不会加载引用 /usr/lib/modules/ 目录中文件的规则，并带有错误消息 Error send add rule data request (No such file or directory)。在这个版本中，审计也会加载这些规则，您不再需要使用 auditctl -R 或 augenrules --load 命令重新载入规则。

update-ca-trust extract 不再无法提取具有长名称的证书

从信任存储中提取证书时，信任 工具内部从证书的对象标签生成文件名。对于足够长的标签，生成的路径可能之前已超过系统的最大文件名长度。因此，trust 工具无法创建具有超过系统的最大文件名长度的文件。有了此更新，派生的名称总是被截断为 255 个字符以内。因此，当证书的对象标签太长时，文件创建不会失败。

允许 dac_override 和 dac_read_search 用于添加到 SELinux 策略中的 qemu-guest-agent 的规则

在以前的版本中，SELinux 策略没有允许 qemu-guest-agent 的规则，允许 dac_override 和 dac_read_search 功能。因此，当文件系统挂载点 DAC 权限没有授予用户 root 的访问权限时，释放和修改虚拟机文件系统无法正常工作。在这个版本中，在策略中添加了缺少的规则。因此，fsfreeze 是创建一致快照的重要 qemu-ga 命令，可以正常工作。

OpenSSL 密码套件不再启用带有禁用哈希或 MAC 的密码套件

在以前的版本中，应用自定义加密策略可能会启用特定的 TLS 1.3 密码套件，即使其哈希或 MAC 被禁用，因为 OpenSSL TLS 1.3 特定的 Ciphersuites 选项值仅由加密策略的 cipher 选项控制。在这个版本中，在决定是否启用密码套件时，crypto-policies 会考虑更多的算法。因此，在带有自定义加密策略的系统中 OpenSSL 可能会拒绝根据系统配置更好地协商一些之前启用的 TLS 1.3 密码套件。

RHEL web 控制台 Subscription Manager 插件现在检测到 Insights 数据上传失败

在此次更新之前，systemd 服务管理器会在失败时自动重启 insights-client 服务，这会破坏 RHEL web 控制台中的 Subscription Manager 插件中的内置检测。这会检查失败的服务状态，该服务已被正确阻止。因此，当 Insights 数据上传失败时，RHEL web 控制台不会显示任何警告。在这个版本中，在上传失败时，insights-client 的状态的检测已被改进，以考虑新状态。因此，web 控制台中的 Subscription Manager 会正确检测到 Insights 数据上传失败。

subscription-manager 不再在终端中保留非必要的文本

从 RHEL 9.1 开始，subscription-manager 在处理任何操作时会显示进度信息。在以前的版本中，对于某些语言（通常为非拉丁语言），在操作完成后不会清除进度消息。有了这个更新，在操作完成后，所有信息都会被正确清除。

dnf needs-restarting --reboothint 现在可以正确地报告实时时钟不在 UTC 中运行的系统是否需要重启

在此更新之前，如果您更新了一个需要重启系统的软件包，以便在实时时钟不在 UTC 中运行的系统上完全应用更新，dnf needs-restarting --reboothint 命令可能不会报告需要重启。有了此更新，systemd UnitsLoadStartTimestamp 属性被添加为引导时间的首选源。因此，dnf need-restarting --reboothint 现在在实时时钟在本地时间运行的系统上的容器之外更为可靠。

在使用 dnf reposync时，存储库元数据现在直接存储在请求的目录中

在此更新之前，dnf reposync 命令不支持用于下载存储库元数据的 --norepopath 选项。因此，此元数据存储在以存储库命名的子目录中。有了此更新，dnf reposync 命令现在支持 --norepopath 选项，存储库元数据直接存储在请求的目录中。

%patch N 不再应用补丁号 0

在此次更新之前，当您使用 %patch N 语法时，其中 N 是补丁数，除了 N 指定补丁外，语法还会应用补丁号 0 (Patch0)。在这个版本中，%patch N 语法已被修复，仅应用补丁号 N。

lparstat -E 现在显示忙碌和空闲状态的正确的值

在以前的版本中，在计算空闲时钟周期时，有些值没有被考虑。因此，lparstat -E 命令在 Normalized 和 Actual 部分下显示忙碌和空闲状态，例如 lparstat -E 4。有了此更新，空闲时钟周期的计算已被修复。因此，lparstat -E 工具现在显示忙碌和空闲状态的正确值。

traceroute 工具通过环境变量支持 IPv6 首选项

在以前的版本中，当 IPv4 和 IPv6 地址可用时，traceroute 工具不支持使用 IPv6 地址。

lldpad 终止后网络接口配置保持不变

在此更新之前，当 Link Layer Discovery Protocol Agent Daemon(lldpad)被 systemd 终止或手动终止时，网络接口配置会被删除。此更新修复了 lldpad 源代码，以便服务不会在被终止后重置接口配置。

RHEL 在 512 个 CPU 的系统上显示正确的 CPU 数

rps_default_mask 配置设置控制默认的 Receive Packet Steering (rps)机制，来将传入的网络数据包定向到特定的 CPU。flow_limit_cpu_bitmap 参数启用或禁用每个 CPU 的流控制。有了此修复，RHEL 在控制台上正确显示总 CPU 数及其参数值。

netdev 设备属性已从 ethtool 输出中删除

由于存储在内核中的网络设备功能标记的变化，以下功能将不再出现在 ethtool -k 命令的输出中：

NetworkManager 可以在 VPN 连接配置文件中缓解 CVE-2024-3661 (TunnelVision)的影响

VPN 连接依赖路由，来通过隧道重定向流量。但是，如果 DHCP 服务器使用无类别静态路由选项(121)将路由添加到客户端的路由表中，并且 DHCP 服务器传播的路由与 VPN 重叠，则可以通过物理接口而不是 VPN 传输流量。CVE-2024-3661 描述了此漏洞，它也被称为 TunnelVision。因此，攻击者可以访问用户期望受到 VPN 保护的流量。

xdp-loader features 命令现在可按预期正常工作

xdp-loader 工具针对之前的 libbpf 版本进行了编译。因此，xdp-loader 功能 失败，并显示一个错误：

Mellanox ConnectX-5 适配器在 DMFS 模式下工作

在以前的版本中，在使用以太网交换机设备驱动程序模型(switchdev)模式过程中，如果在 ConnectX-5 适配器上的设备管理的流稳定(DMFS)模式下配置，mlx5 驱动程序失败。因此，会出现以下错误信息：

multipathd 不再会因为 ontap 优先级遇到的错误而崩溃

在此次更新之前，当 multipathd 被配置为对不支持的路径使用 ontap 优先级时，multipathd 会崩溃，因为优先级器只适用于 NetApp 存储阵列。此故障是由于优先级排序器的错误日志记录代码中的一个 bug 而发生的，这导致溢出错误消息缓冲区。在这个版本中，错误日志记录代码已被修复，multipathd 不再会因为 ontap prioritizer 遇到的错误而崩溃。

当 enable_foreign 被设置为监控原生多路径 NVMe 设备时，原生 NVMe 多路径不再导致内存泄漏

在此更新之前，如果 enable_foreign 配置参数被设置为监控原生多路径 NVMe 设备，则启用原生 NVMe 多路径会导致内存泄漏。有了此更新，内存泄漏在 multipathd 监控代码被修复。因此，multipathd 现在可以监控原生多路径 NVMe 设备，而无需增加内存使用量。

RHEL 安装程序现在在 aarch64中发现并使用 iSCSI 设备作为引导设备

在以前的版本中，在 aarch64 上运行的 RHEL 安装程序中没有 iscsi_ibft 内核模块无法自动发现固件中定义的 iSCSI 设备。因此，在手动添加 GUI 的过程中，这些设备不会被自动看到，也不会在安装程序中作为可选的引导设备。

在基于 ostree 的新安装由 Anaconda 进行中的 LUKS2 root 上默认启用 fstrim

在以前的版本中，使用在 / (root)挂载点上启用 LUKS2 加密的 ostreesetup 或 ostreecontainer Kickstart 命令安装基于 ostree 的系统，会导致没有启用 fstrim 的系统。这可能导致无响应系统或损坏的文件选择对话框等问题。在这个版本中，在新安装的系统上的 LUKS2 元数据中默认启用 fstrim (discards)。

由于数据传输失败，TCP 控制器上的 NVMe 系统不再崩溃

在此次更新之前，在带有 NVMe over TCP 存储控制器的 64 位 ARM 架构系统上，其中最佳 IO 大小大于 PAGE_SIZE，而 MD 设备使用 bitmap，系统可能会崩溃并显示以下错误消息：

当在 /etc/fstab中将 NVMe-FC 设备添加为挂载点时，系统可以正确启动

在以前的版本中，由于 nvme-cli nvmf-autoconnect systemd 服务中的一个已知问题，在将光纤通道上的 Non-volatile Memory Express (NVMe-FC)设备添加为 /etc/fstab 文件中的挂载点时，系统无法引导。因此，系统进入紧急模式。有了此更新，当挂载 NVMe-FC 设备时，系统可以引导，而没有任何问题。

带有过期规则的资源约束不再显示

在此更新之前，pcs constraint location config resources 命令在输出中显示带有过期规则的资源限制。有了此更新，如果没有指定 --all 选项，命令不再显示带有过期规则的限制。

只与一个实例一起运行的克隆资源的状态现在可以正确显示

在此更新之前，当您查询只与一个运行的实例一起克隆的集群资源的实例的状态时，pcs status query 命令会显示一条错误消息。有了此更新，命令可以正确地报告资源状态。

成功恢复中断的 Pacemaker 远程连接

在此更新之前，当网络通信在 Pacemaker 远程节点和在初始连接的 TLS 握手部分时托管其连接的集群节点之间中断时，在某些情况下，连接被阻止，且无法在另一个集群节点上恢复。有了此更新，TLS 握手是异步的，且远程连接可在任何地方成功恢复。

灾难恢复站点的集群状态现在可以正确地显示

在此更新之前，当您配置一个灾难恢复站点，并运行 pcs dr status 命令来显示本地和远程集群站点的状态时，命令会显示一条错误，而不是集群状态。在这个版本中，在运行这个命令时，本地和远程站点的集群状态会正确显示。

集群警报现在会立即生效

在此更新之前，当您在 Pacemaker 集群中配置警报时，在不重启集群的情况下警报不会立即生效。有了此更新，集群会立即检测对集群警报的更新。

glibc getenv 函数提供一个有限的线程安全形式

glibc getenv 函数不是线程安全。在以前的版本中，如果应用程序仍然调用函数 getenv,setenv,unsetenv,putenv, 和 clearenv 同时，则它们可能会意外终止或 getenv 可能会返回不正确的值。在这个版本中，getenv 功能提供有限的线程安全形式。因此，如果应用程序同时调用功能，应用程序不再崩溃。另外，getenv 只返回使用 setenv 或在程序开始时存在的环境值，只有在有可能有未排序的 unsetenv 调用时才会将之前设置的环境变量报告为未排序。

pcp 软件包现在为 /var/lib/pcp/config/pmie/config.default 文件设置正确的所有者和组

在以前的版本中，如果您首次安装 pcp 软件包，软件包安装进程会错误地将 /var/lib/pcp/config/pmie/config.default 文件的所有权设置为 root:root。因此，pmie 服务无法启动，因为此服务执行的 pmieconf 工具对此文件需要 pcp:pcp 所有权。当服务无法启动时，它会在 /var/log/pcp/pmie/pmie_check.log 文件中记录以下错误：

pcp-xsos 提供系统的快速摘要

Performance Co-Pilot (PCP)工具包中大量的可配置的组件意味着您通常使用几个不同的工具来了解系统性能。当您处理大型的压缩时间序列数据卷时，这些工具中的很多需要额外的处理时间。这个增强在 PCP 中添加了 pcp-xsos 工具。这个工具可以对 PCP 归档中的单个时间点执行快速、高级的分析。因此，pcp-xsos 可帮助您深入了解高级的性能问题，并确定进一步的目标性能分析任务。

iconv 原位转换不再导致输出损坏

iconv 工具可以将转换的输出写到同一文件中。在以前的版本中，当执行一个原位转换且源文件超过特定大小时，iconv 会在处理完成之前覆盖该文件。因此，文件损坏了。有了此更新，如果源文件和输出文件是同一个文件，工具会创建一个临时文件，并在转换完成后覆盖源文件。因此，原位升级转换不再导致文件损坏。

glibc stub 解析器和 getaddrinfo（） API 调用中的改进

在以前的版本中，glibc stub 解析器和 getaddrinfo（） API 调用可能会在以下情况中导致比预期长的延迟：

glibc exit 函数不再在同时调用时崩溃

在以前的版本中，对 exit 函数的同时调用和使用同时 <stdio.h> 流操作调用这个函数不同步。因此，如果在多线程应用程序中发生并发 exit 函数调用，应用程序可能会意外终止，数据流可能会被破坏。有了此更新，在清除它们时 exit 会锁住 <stdio.h> 流，同时调用 exit，并且 fast_exit 选择一个调用继续。因此，在这种情况下应用程序不再崩溃。

在 glibc 中实现 POSIX 线程条件变量以唤醒等待的线程得到了改善

在以前的版本中，POSIX 线程条件变量实现中的一个缺陷可能会允许 pthread_signal（） API 调用无法唤醒等待的线程。因此，线程可能会无限期等待下一个信号或广播。有了此 bug 修复，POSIX 线程条件变量的实现现在包含一个相对于序列的算法，以避免丢失的信号条件，并为正确唤醒等待的线程提供更强的保障。

在重新使用删除的 TCP 套接字时，Boost.Asio 不再显示异常

在以前的版本中，如果应用程序使用 Boost.Asio 库并重复使用一个删除的 TCP 套接字，应用程序会失败并显示 bad_executor 异常。此更新修复了这个问题，Boost.Asio 库不再在上述场景中失败。

迁移 IdM 部署不再会导致重复的 HBAC 规则

在以前的版本中，使用 ipa-migrate 程序从一个身份管理(IdM)部署迁移到另一个部署有时会导致目标服务器上重复的基于主机的访问控制(HBAC)规则。因此，当在该服务器上运行 "ipa hbacrule-find" 命令时，"allow_systemd-user" 和 "allow_systemd-user" HBAC 规则会出现两次。

不再可以使用过期的令牌绕过双因素身份验证

在以前的版本中，可以通过创建一个带有特定最终评估周期的 OTP 令牌来绕过双因素身份验证。

当使用子后缀启动实例时，不再记录不正确的错误

在此次更新之前，当使用子后缀启动实例时，您可能会在错误日志中看到以下不正确的消息：

ldapsearch 现在如预期遵守 NETWORK_TIMEOUT 设置

在以前的版本中，当服务器无法访问时 ldapsearch 命令会忽略超时，因此搜索会无限期挂起，而不是超时。在这个版本中，TLS 处理中的逻辑错误可以通过调整连接重试和套接字选项来解决。

带有页结果搜索的竞争条件不再关闭与 T3 错误代码的连接

在以前的版本中，在检查连接的页结果数据时，目录服务器不会使用正确的线程保护。因此，页面结果超时值会意外更改，并在新操作到达时触发假超时。这会导致超时错误，连接关闭了以下 T3 错误代码：

当重新索引带有带有扩展匹配规则的 sort 属性的 VLV 索引时，目录服务器不再会失败

在此次更新之前，在重新索引虚拟列表视图(VLV)索引过程中触发竞争条件，该索引带有扩展匹配规则的 sort 属性索引。因此，内存泄漏和目录服务器会失败。在这个版本中，Directory 服务器会序列化 VLV 索引密钥生成，不再失败。

当尝试释放资源时，OpenLDAP 库不再失败

在此次更新之前，当应用程序已经调用 OPEN SSL_cleanup （） 函数时，OpenLDAP 库会尝试在其破坏性中使用 SSL_CTX_free （） 函数来 释放内存。因此，当无效的 SSL_CTX_free （） 调用尝试释放已经清理的 SSL 上下文资源时，用户会出现失败或未定义的行为。

高连接负载不再过载目录服务器中的单个线程

在此次更新之前，即使 Directory 服务器支持多个侦听线程，但第一个传入的连接被分配给同一监听器线程过载。因此，一些请求会产生大量 时间和 不佳的性能。在这个版本中，Directory 服务器在所有侦听线程中分发连接负载。

VLV 索引缓存现在与使用 LMDB 时的 VLV 索引匹配

在此次更新之前，虚拟列表视图(VLV)索引缓存与带有 Lightning Memory-Mapped 数据库(LMDB)的实例上的 VLV 索引本身不匹配，这会导致 VLV 索引返回无效值。在这个版本中，VLV 索引缓存与 VLV 索引匹配，并返回正确的值。

在线备份不再失败

在此次更新之前，在线备份任务可能会因为不正确的锁定顺序而挂起。在这个版本中，在线备份可以正常工作，不再失败。

cleanallruv 不再阻止其自身

在此次更新之前，当您在从复制拓扑中删除副本后运行 cleanAllRUV 任务时，任务会尝试更新复制配置条目，同时同一任务清除旧副本 ID 的复制更改日志(rid)。因此，服务器没有响应。

当条目 RDN 与后缀 DN 的值相同时，重新索引不再会失败

在此次更新之前，如果条目的相对可分辨名称(RDN)的值与目录中的后缀可分辨名称(DN)相同，则 entryrdn 索引会被破坏。因此，目录服务器可能会执行缓慢的搜索请求，获取无效的结果，并在错误日志中写入警报信息。

帐户策略插件现在在复制拓扑中使用适当的标记进行更新

在此次更新之前，Account Policy 插件没有将正确的标记用于更新。因此，在复制拓扑中，Account Policy 插件更新了登录历史记录，但这个更新在消费者服务器上记录以下出错信息：

在带有 LMDB 的供应商中，离线导入不再生成 nsuniqueid的副本

在此次更新之前，在带有 Lightning Memory-Mapped Database (LMDB)的供应商上离线导入基本条目（没有复制数据）会生成 nsuniqueid 操作属性的副本，它们必须是唯一的。因此，复制出现问题。在这个版本中，离线导入不再在供应商上生成重复。

TLS 1.3 现在可以用来连接到以 FIPS 模式运行的 LDAP 服务器

在此次更新之前，当您尝试在 FIPS 模式中连接到 LDAP 服务器时明确设置 TLS 1.3 时，使用的 TLS 版本仍保留在 1.2 中。因此，尝试使用 TLS 1.3 连接到 LDAP 服务器会失败。在这个版本中，在 FIPS 模式中的 TLS 版本的上限被改为 1.3，尝试连接到带有 TLS 1.3 的 LDAP 服务器不再会失败。

在之前的尝试失败后，目录服务器备份不再失败

在此次更新之前，如果初始备份尝试失败，则下一个目录服务器备份会失败，因为后端会处于忙碌尝试完成以前的备份。因此，需要重启实例。在这个版本中，Directory 服务器备份在以前的尝试失败后不再失败，且不再需要实例重启。

使用基于证书的身份验证时供应商之间的复制失败，现在有一个更描述性的错误消息

在此次更新之前，当缺少所需的 CA 证书文件且 TLS 连接设置在供应过程中失败时，错误消息不明确地识别问题。在这个版本中，当发生 TLS 设置错误时，Directory 服务器会记录更详细的错误信息。它现在包括了缺少证书的信息，如 No such file or directory for a missing certificate，从而使问题更易于解决。

dsconf config replace 现在可以按预期处理多值属性

在此次更新之前，dsconf config replace 命令只能为属性设置一个值，如 nsslapd-haproxy-trusted-ip。在这个版本中，您可以使用以下命令设置几个值：

现在，当使用带有 OR (|)和 NOT (!)运算符的复合过滤器时，目录服务器会返回正确的条目集合

在此次更新之前，当使用 OR (|)和 NOT (!)操作器搜索时，目录服务器不会返回正确的条目集合。原因在于，目录服务器错误地评估了访问权利和条目匹配，并在一个阶段执行这些步骤。在这个版本中，Directory 服务器在两个独立阶段执行访问权限评估和条目匹配，并使用 OR (|)和 NOT (!)运算符进行搜索。

目录服务器重启后，供应商复制协议中的消费者状态会被正确显示

在此次更新之前，在复制拓扑中的供应商中，在 Directory Server 重启时会重置复制协议中的消费者状态。因此，显示的消费者初始化时间，复制状态不正确。

新的 sshd_allow_restart 变量使 sshd 服务在需要时重启

在此更新之前，sshd RHEL 系统角色不会在需要时在受管节点上重启 sshd 服务。因此，与 '/etc/sysconfig/' 目录中的配置文件和环境文件相关的一些更改没有被应用。要修复这个问题，引入了 sshd_allow_restart （布尔值，默认为 true）变量，以便在需要时在受管节点上重启 sshd 服务。因此，sshd RHEL 系统角色现在可以正确地应用所有更改，并确保 sshd 服务实际使用这些更改。

在使用 run_as_user 变量时，podman RHEL 系统角色不再无法处理 secret

在此次更新之前，podman RHEL 系统角色无法处理因为缺少用户信息，使用 run_as_user 变量为特定用户指定的 secret。这会导致在尝试处理设置了 run_as_user 的 secret 时出现错误。这个问题已被解决，podman RHEL 系统角色可以正确地处理为特定用户使用 run_as_user 变量指定的 secret。

在有更改应用时，firewall RHEL 系统角色会报告 changed: True

在 playbook 处理过程中，firewall RHEL 系统角色中的 firewall_lib.py 模块在 playbook 中使用 interface 变量和受管节点上预存在的网络接口时，将 changed 消息替换为 False。因此，即使进行了更改，firewall 也会报告 changed: False 消息，并且 forward_port 变量中的内容没有保存为永久。有了此更新，firewall RHEL 系统角色确保 changed 的值没有被重置为 False。因此，当有更改时，角色会报告 changed: True，forward_port 内容被保存为永久。

当签发的证书缺少私钥时，certificate RHEL 系统角色会正确地报告错误

删除证书的私钥时，受管节点上的 certmonger 工具会进入无限循环。因此，在重新发布已删除私钥的证书时，控制节点上的 certificate RHEL 系统角色变得没有响应。有了此更新，certificate RHEL 系统角色会停止处理，并提供一条带有补救说明的错误消息。因此，在上述场景中 certificate 不再变得没有响应。

postgresql RHEL 系统角色不再无法设置 TLS 证书和私钥的路径

postgresql RHEL 系统角色的 postgresql_cert_name 变量定义受管节点上没有后缀的 TLS 证书和私钥的基本路径。在此更新之前，角色没有为证书和私钥定义内部变量。因此，如果您设置了 postgresql_cert_name，Ansible 任务会失败并显示以下错误消息：

network RHEL 系统角色优先选择持久性 MAC 地址匹配

当所有以下条件都满足时：

ansible-doc 命令再次为 redhat.rhel_system_roles 集合提供了文档

在此更新之前，vpn RHEL 系统角色不包括内部 Ansible 过滤器 vpn_ipaddr 的文档。因此，使用 ansible-doc 命令列出 redhat.rhel_system_roles 集合的文档将触发错误。有了此更新，vpn RHEL 系统角色包括 vpn_ipaddr 过滤器的正确格式的正确文档。因此，ansible-doc 不会触发任何错误，并提供正确的文档。

storage RHEL 系统角色可以正确地调整逻辑卷大小

当使用 storage RHEL 系统角色中的 grow_to_fill 功能，以便在调整底层虚拟磁盘的大小之后自动调整 LVM 物理卷时，物理卷不会被调整到其最大大小。因此，在调整现有或者创建新的额外逻辑卷时，并非所有存储的可用空间都可用；storage RHEL 系统角色失败。此更新修复了源代码中的问题，以确保角色在使用 grow_to_fill 时总是将物理卷调整到其最大大小。

storage RHEL 系统角色现在在使用 VDO 的 RHEL 受管节点上按预期运行

在此次更新之前，blivet 模块需要使用 Virtual Data Optimizer (VDO)在 RHEL 受管节点上需要 kmod-kvdo 软件包。但是，kmod-kvdo 无法安装，因此甚至导致 storage RHEL 系统角色失败。这个问题的修复可确保 kmod-kvdo 不是使用 RHEL 的受管节点所需的软件包。因此，当带有 RHEL 的受管节点使用 VDO 时，存储 不再会失败。

High-memory 虚拟机现在可以正确地报告其状态

在以前的版本中，实时迁移使用 1TB 内存或更多内存的虚拟机(VM)会导致 libvirt 报告虚拟机不正确的状态。这个问题已被解决，libvirt 现在准确报告具有大量内存的实时迁移虚拟机的状态。

现在，在没有 RNG 设备的情况下，虚拟机的网络引导可以正常工作

在以前的版本中，当虚拟机(VM)没有配置 RNG 设备且其 CPU 模型不支持 RDRAND 功能时，无法从网络引导虚拟机。在这个版本中，这个问题已被解决，不支持 RDRAND 的虚拟机也可以从网络引导，即使没有配置 RNG 设备。

vGPU 实时迁移不再报告过量脏页面

在以前的版本中，当使用附加的 NVIDIA vGPU 执行虚拟机迁移时，在迁移过程中会错误地报告大量的脏页面。这个问题可能会增加迁移过程中所需的虚拟机停机，迁移可能会失败。

如果 vGPU 驱动程序版本在源和目标主机上不同，则 vGPU 实时迁移不再失败

在以前的版本中，如果源和目标主机上的驱动程序版本不同，使用附加的 NVIDIA vGPU 的虚拟机(VM)实时迁移会失败。

虚拟机不再错误地报告 AMD SRSO 漏洞

在以前的版本中，在带有 AMD Zen 3 和 4 个 CPU 架构的 RHEL 9 主机中运行的虚拟机(VM)会错误地向 Speculative return Stack Overflow (SRSO)攻击报告漏洞。

安装程序显示要在虚拟机上安装 RHEL 的期望的系统磁盘

在以前的版本中，当使用 virtio-scsi 设备在虚拟机上安装 RHEL 时，这些设备可能会因为 device-mapper-multipath 错误而不会出现在安装程序中。因此，在安装过程中，如果某些设备设置了串口，而有些设备没有，则 multipath 命令会声明所有具有串口的设备。因此，安装程序无法在虚拟机中找到要安装 RHEL 的期望的系统磁盘。

在据有 AMD EPYC CPU 的主机上进行 v2v 转换后，Windows 客户机可以更可靠地启动

在使用 virt-v2v 工具转换使用 Windows 11 或 Windows Server 2022 作为客户机 OS 的虚拟机(VM)后，之前的虚拟机无法引导。这在使用 AMD EPYC 系列 CPU 的主机上发生。现在，底层代码已修复，在上述情况下，虚拟机按预期引导。

nodedev-dumpxml 可以正确列出某些介质设备的属性

在此次更新之前，nodedev-dumpxml 工具没有为使用 nodedev-create 命令创建的介质设备正确列出属性。这个问题已被解决，nodedev-dumpxml 现在可以正确地显示受影响的介质设备的属性。

重启 virtqemud 或 libvirtd 后，现在可以附加 virtiofs 设备

在以前的版本中，重启 virtqemud 或 libvirtd 服务会阻止 virtiofs 存储设备附加到主机上的虚拟机(VM)。这个 bug 已被解决，您现在可以在上述场景中附加 virtiofs 设备。

blob 资源现在可正确用于 IBM Z 上的 virtio-gpu

在以前的版本中，virtio-gpu 设备与 IBM Z 系统上的 blob 内存资源不兼容。因此，如果您在 IBM Z 主机上配置了一个带有 virtio-gpu 的虚拟机(VM)，以使用 blob 资源，则虚拟机没有任何图形输出。

重新安装 virtio-win 驱动程序不再导致 DNS 配置在客户机上重置

在使用 Windows 客户机操作系统的虚拟机(VM)中，为网络接口控制器(NIC)重新安装或升级 virtio-win 驱动程序之前会导致客户端中的 DNS 设置被重置。因此，在某些情况下您的 Windows 客户机会丢失网络连接。

VNC viewer 在实时迁移 ramfb 后可以正确地初始化虚拟机显示

这个更新增强了 ramfb 帧缓冲设备，您可以将其配置为虚拟机(VM)的主显示。在以前的版本中，无法迁移 ramfb ，这导致使用 ramfb 的虚拟机在实时迁移后显示白屏。现在，ramfb 与实时迁移兼容。因此，在迁移完成后，您可以看到 VM 桌面显示。

对现有存档的 sos clean 不再失败

在以前的版本中，由于 sos 代码中一个错误地检测 tar 包的根目录，且阻止其清理数据的回归，现有的存档无法通过运行 sos clean 来清理。因此，对现有 sosreport tar 包运行 sos clean 不会清理 tar 包中的任何内容。此更新添加了一个在重新排序的 tar 包内容中正确检测根目录的实现。因此，sos clean 可以对现有的 sosreport tar 包正确地执行敏感数据模糊处理。

sos 停止收集用户的 .ssh 配置

在以前的版本中，sos 工具默认收集用户的 .ssh 配置。因此，此操作导致用户使用 automount 工具挂载的系统损坏。有了此更新，sos 工具不再收集 .ssh 配置。

sos 现在会在几个地方模糊处理代理密码

在以前的版本中，sos 工具不会模糊处理来自代理链接的密码。例如，/etc/environment 文件中的 HTTP_PROXY 和 HTTPS_PROXY。因此，sos 工具可以使用客户代理密码收集 sosreport，除非在提交前被清理了。这可能会造成安全问题。发现并修复了其中几个地方，以模糊处理密码。

用于 RHEL 安装的通过 TCP 的 NVMe 现在作为技术预览提供

有了这个技术预览，您现在可以在配置固件后，使用通过 TCP 的 NVMe 卷来安装 RHEL。从 Installation Destination 屏幕添加磁盘时，您可以在 NVMe Fabrics Devices 部分下选择 NVMe 命名空间。

可引导 OSTree 原生容器的安装现在作为技术预览提供

ostreecontainer Kickstart 命令现在在 Anaconda 中作为技术预览提供。您可以使用此命令从封装在 OCI 镜像中的 OSTree 提交安装操作系统。在执行 Kickstart 安装时，以下命令与 ostreecontainer 一起提供：

在 Anaconda 中通过 bootupd / bootupctl 的引导装载程序安装和配置现在作为技术预览提供

因为 ostreecontainer Kickstart 命令现在在Anaconda 中作为技术预览提供，因此您可以使用它来从封装在 OCI 镜像中的 OSTree 提交安装操作系统。Anaconda 通过包含在容器镜像中的 bootupd/bootupctl 工具自动安排一个引导装载程序安装和配置，即使 Kickstart 中没有明确的引导装载程序配置。

RHEL 中正式发布新的 rhel9/bootc-image-builder 容器镜像

RHEL 的镜像模式的 rhel9/bootc-image-builder 容器镜像包括一个最小版本的镜像构建器，其将可引导容器镜像（如 rhel-bootc）转换为不同的磁盘镜像格式（如 QCOW2、AMI、VMDK、ISO 等）。

RHEL 中的加密 DNS 作为技术预览提供

您可以启用加密的 DNS 来保护使用 DNS-over-TLS (DoT)的 DNS 通信。加密 DNS (eDNS)加密所有 DNS 流量端到端，且不回退到不安全的协议，并与零信任架构(ZTA)原则一致。

gnutls 现在使用 kTLS 作为技术预览

更新的 gnutls 软件包可以将内核 TLS (kTLS)作为技术预览，来在加密通道上加速数据传输。要启用 kTLS，请使用 modprobe 命令添加 tls.ko 内核模块，并使用以下内容为系统范围的加密策略创建一个新的配置文件 /etc/crypto-policies/local.d/gnutls-ktls.txt ：

OpenSSL 客户端可以使用 QUIC 协议作为技术预览

OpenSSL 可以在带有 rebase 到 OpenSSL 版本 3.2.2 的客户端上使用 QUIC 传输层网络协议作为技术预览。

io_uring 接口作为技术预览提供

io_uring 是一个新的有效的异步 I/O 接口，现在作为技术预览提供。默认情况下禁用此功能。您可以通过将 kernel.io_uring_disabled sysctl 变量设置为以下值之一来启用这个接口：

作为技术预览，FDO 现在提供和查询来自 SQL 后端的所有者凭证

有了这个技术预览，FDO manufacturer-server、onboarding-server 和 rendezvous-server 可用来存储和查询来自 SQL 后端的所有者凭证。因此，您可以在 FDO 服务器选项中选择 SQL 数据存储，以及凭证和其他参数，来存储所有者凭证。

systemd-resolved 服务作为技术预览提供

systemd-resolved 为本地应用程序提供名字解析。该服务实现了缓存和验证 DNS stub 解析器、链接本地多播名称解析(LLMNR)和多播 DNS 解析器和响应程序。

GIMP 在 RHEL 9 中作为技术预览提供

GNU Image Manipulation Program(GIMP)2.99.8 现在作为技术预览在 RHEL 9 中提供。gimp 软件包版本 2.99.8 是一个预发行版本，它有一组改进，但只能保证稳定性。发布官方 GIMP 3 后，将作为此预发布版本的更新，在 RHEL 9 中引入。

TuneD 的套接字 API 作为技术预览提供

通过 UNIX 域套接字控制 TuneD 的套接字 API 现在作为技术预览提供。套接字 API 将一对一与 D-Bus API 映射，并为 D-Bus 不可用的情况提供替代通信方法。通过使用套接字 API，您可以控制 TuneD 守护进程来优化性能，并更改各种调优参数的值。套接字 API 默认被禁用，您可以在 tuned-main.conf 文件中启用它。

将 IPsec 封装卸载到 NIC 现在作为技术预览提供

此更新向内核添加了 IPsec 数据包卸载功能。在以前的版本中，只能将加密卸载到网络接口控制器(NIC)。有了此增强，内核现在可将整个 IPsec 封装过程卸载到 NIC，以减少工作负载。

KTLS 作为技术预览提供

在 RHEL 中，内核传输层安全(KTLS)作为技术预览提供。KTLS 通过使用内核中的对称加密或解密算法处理 TLS 记录，用于 AES-GCM 密码。KTLS 还包括将 TLS 记录加密卸载到提供此功能的网络接口控制器(NIC)的接口。

NetworkManager 和 Nmstate API 支持 MACsec 硬件卸载

如果硬件支持此功能，您可以使用 NetworkManager 和 Nmstate API 启用 MACsec 硬件卸载。因此，您可以将 MACsec 操作（如加密）从 CPU 卸载到网络接口控制器。

NetworkManager 启用配置 HSR 和 PRP 接口

High-availability Seamless Redundancy(HSR)和 Parallel Redundancy Protocol(PRP)是网络协议，它们针对任何单个网络组件故障提供无缝故障转移。这两个协议对应用程序层都是透明的，这意味着用户在通信过程中不会遇到任何中断或任何数据丢失，因为主路径和冗余路径之间的切换发生的很快，且用户不知道。现在，可以通过 nmcli 实用程序和 DBus 消息系统使用 NetworkManager 服务启用并配置 HSR 和 PRP 接口。

数据包卸载模式中的 UDP 封装现在作为技术预览提供

使用 IPsec 数据包卸载，内核可以将整个 IPsec 封装过程卸载到 NIC，以减少工作负载。有了此更新，当处于数据包卸载模式时，数据包卸载已通过支持 ipsec 隧道的用户数据报协议(UDP)封装得到了改进。

Soft-iWARP 驱动程序作为技术预览提供

软硬件硬件(siw)是一种软件，互联网是 RDMA 协议(iWARP)，适用于 Linux 的内核驱动程序。soft-iWARP 通过互联网协议(TCP/IP)网络堆栈实施 iWARP 协议套件。这个协议套件在软件中完全实现，不需要特定的远程直接内存访问(RDMA)硬件。Soft-iWARP 使具有标准以太网适配器的系统连接到 iWARP 适配器或安装了 Soft-iWARP 的其他系统。

rvu_af,rvu_nicpf 和 rvu_nicvf 作为技术预览提供

对于 Marvell OCTEON TX2 Infrastructure Processor 系列，以下内核模块作为技术预览提供：

IPv6 上的段路由(SRv6)作为技术预览提供

RHEL 内核将 IPv6 (SRv6)上的段路由作为技术预览提供。您可以使用此功能来优化边缘计算中的流量流，或提高数据中心中的网络可编程性。但是，最重要的用例是在 5G 部署场景中的端到端(E2E)网络分片。在这个领域中，SRv6 协议为您提供了可编程自定义网络分片和资源保留，以解决特定应用程序或服务的网络要求。同时，解决方案可以部署到单一用途设备上，其满足较小计算占用的需求。

KTLS 已更新至版本 6.12

内核传输层安全(KTLS)功能是一个技术预览。在 RHEL 9.6 中，我们将 kTLS 更新至 6.12 上游版本。

PRP 和 HSR 协议现在作为技术预览提供

这个更新添加了提供以下协议的 hsr 内核模块：

python-drgn 作为技术预览提供

python-drgn 软件包提供了一个高级调试工具，其强调了可编程性。您可以使用其 Python 命令行界面来调试实时内核和内核转储。另外，python-drgn 为您提供了脚本功能，来自动化调试任务，并对 Linux内核 进行复杂的分析。

IAA 加密驱动程序现在作为技术预览提供

Intel® In-Memory Analytics Accelerator(Intel® IAA)是一个硬件加速器，其与原始分析功能一起提供非常高的吞吐量压缩和解压缩。

RHEL 内核的 Neural Processing Unit (NPU)内核在基于 Intel Arrow Lake 的系统上作为技术预览提供

在 RHEL 9.6 中，内核引入了 Neural Processing Unit (NPU)作为技术预览。NPU 是特殊的芯片，用于系统上智能(AI)和机器学习(ML)任务。RHEL 9.6 中的内核包括 Intel NPUs 的初始驱动程序和支持基础架构，需要使用 NPUs 进行 AI/ML 任务。

ARM64 上的 Red Hat Enterprise Linux for Real Time 现在作为技术预览提供

在这个版本中，为 ARM64 启用 Red Hat Enterprise Linux for Real Time。ARM64 在 ARM (AARCH64)上为 4k 和 64k ARM 内核都启用。

NVMe-oF Discovery Service 功能作为技术预览

NVMe-oF Discovery Service 功能（在 NVMexpress.org 技术 Proposals(TP)8013 和 8014 中）作为技术预览提供。要预览这些功能，请使用 nvme-cli 2.0 软件包，并将主机附加到实现 TP-8013 或 TP-8014 的 NVMe-oF 目标设备。有关 TP-8013 和 TP-8014 的更多信息，请参阅 https://nvmexpress.org/specifications/ 网站中的 NVM Express 2.0 Ratified TPs。

NVMe-stas 软件包作为技术预览

nvme-stas 软件包，它是 Linux 的中央 Discovery Controller (CDC) 客户端，现在作为技术预览提供。它处理异步事件通知 (AEN)、自动化的 NVMe 子系统连接控制、错误处理和报告以及自动 (zeroconf) 和手动配置。

使用 TLS 的 NVMe/TCP 作为技术预览提供

在 RHEL 9.6 中，使用配置了 Pre-Shared Keys (PSK)的 TLS 通过 TCP (NVMe/TCP)网络流量加密 Non-volatile Memory Express (NVMe/TCP)网络流量。具体步骤请参阅 使用带有 Pre-Shared-Keys 的 TLS 配置 NVMe/TCP 主机。

新的 nodejs:22 模块流作为技术预览提供

新的模块流 nodejs:22 现在作为技术预览提供。未来的更新将提供 Node.js 22 的长期支持(LTS)版本，Node.js 22 将被完全支持。

jmc-core 和 owasp-java-encoder 作为技术预览

RHEL 9 与 jmc-core 和 owasp-java-encoder 软件包一起分发，作为 AMD 和 Intel 64 位架构的技术预览功能提供。

libabigail ：灵活的阵列转换警告抑制，作为技术预览提供

作为技术预览，当比较二进制文件时，您可以使用以下抑制规范抑制与转换为 true 灵活数组的假灵活数组相关的警告：

eu-stacktrace 作为技术预览提供

自 0.192 版本以来已通过 elfutils 软件包分发的 eu-stacktrace 工具作为技术预览功能提供。eu-stacktrace 是一个原型工具，它使用 elfutils 工具包的展开库来支持采样分析器，以展开无帧指针堆栈样本数据。

IdM 部署中 TLS 的 DNS over TLS (DoT)作为技术预览提供

使用 DNS over TLS (DoT)的加密 DNS 在 Identity Management (IdM)部署中作为技术预览提供。现在，您可以加密 DNS 客户端和 IdM DNS 服务器之间的所有 DNS 查询和响应。

DNSSEC 在 IdM 中作为技术预览提供

带有集成 DNS 的身份管理(IdM)服务器现在实现了 DNS 安全扩展(DNSSEC)，这是一组增强 DNS 协议安全的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。

ACME 作为技术预览提供

自动证书管理环境(ACME)服务现在作为技术预览在 Identity Management(IdM)中提供。ACME 是一个用于自动标识符验证和证书颁发的协议。它的目标是通过缩短证书生命周期并避免证书生命周期管理中的手动过程来提高安全性。

IdM 到 IdM 迁移作为技术预览提供

IdM 到 IdM 迁移在身份管理中作为技术预览提供。您可以使用新的 ipa-migrate 命令将所有特定于 IdM 的数据（如 SUDO 规则、HBAC、DNA 范围、主机、服务等）迁移到其他 IdM 服务器。这非常有用，例如，当将 IdM 从开发或暂存环境移到生产环境时，或者在两个生产服务器之间迁移 IdM 数据时。

GNOME 用于 64 位 ARM 架构，作为一个技术预览

GNOME 桌面环境可用于 64 位 ARM 架构，作为技术预览。

用于 IBM Z 架构的 GNOME 作为技术预览提供

对于 IBM Z 架构，GNOME 桌面环境作为技术预览。

RHEL web 控制台现在可以管理 WireGuard 连接

从 RHEL 9.4 开始，您可以使用 RHEL web 控制台创建并管理 WireGuard VPN 连接。请注意，WireGuard 技术及其 Web 控制台集成是不支持的技术预览。

创建嵌套虚拟机

对于运行在 Intel、AMD64 和 IBM Z 主机上的 RHEL 9 KVM 虚拟机，嵌套的 KVM 虚拟化作为技术预览提供。有了这个功能，运行在物理 RHEL 9 主机上的 RHEL 7、RHEL 8 或 RHEL 9 虚拟机可以充当 hypervisor，并托管自己的虚拟机。

用于 KVM 虚拟机的 AMD SEV、SEV-ES 和 SEV-SNP

作为技术预览，RHEL 9 为使用 KVM 管理程序的 AMD EPYC 主机提供安全加密虚拟化(SEV)功能。如果在虚拟机(VM)上启用，SEV 会加密虚拟机的内存来保护虚拟机被主机访问。这提高了虚拟机的安全性。

64 位 ARM 上的 CPU 集群

作为技术预览，您现在可以创建在其 CPU 拓扑中使用多个 64 位 ARM CPU 集群的 KVM 虚拟机。

新软件包：trustee-guest-components

作为技术预览，此更新添加了 trustee-guest-components 软件包。这使得机密虚拟机可以证明自己，并从 Trustee 服务器获取机密资源。

RHEL 在 Azure 机密虚拟机上作为技术预览提供

使用更新的 RHEL 内核，您可以在 Microsoft Azure 上创建并运行 RHEL 机密虚拟机(VM)作为 RHEL 9.3 的技术预览。新添加的统一内核镜像(UKI)现在在 Azure 上可以引导加密的机密虚拟机镜像。UKI 作为 RHEL 9 存储库中的 kernel-uki-virt 软件包提供。

podman-machine 命令不被支持

用于管理虚拟机的 podman-machine 命令仅作为技术预览提供。相反，请直接从命令行运行 Podman。

新的 rhel9/rhel-bootc 容器镜像作为技术预览提供

rhel9/rhel-bootc 容器镜像现在在 Red Hat Container Registry 中作为技术预览提供。使用 RHEL 可引导的容器镜像，您可以像容器一样构建、测试和部署一个操作系统。RHEL 可引导的容器镜像与现有的应用程序通用基础镜像(UBI)不同，这得益于以下改进：RHEL 可引导的容器镜像包含引导所需的其他组件，如内核、initrd、引导加载程序、固件等。对现有容器镜像没有更改。如需更多信息，请参阅 红帽生态系统目录。

composefs 文件系统作为技术预览提供

作为技术预览提供的 composefs 只读文件系统目前通常仅被 bootc/ostree 和 podman 项目使用。使用 composefs 时，您可以使用这些项目创建和使用只读镜像，在镜像间共享文件数据，并在运行时验证镜像。因此，您挂载了一个完全验证的文件系统树，并可以机会性地细粒度共享相同的文件。

部分拉取 zstd:chunked 作为技术预览提供

您只能拉取使用 zstd:chunked 格式压缩的容器镜像的更改部分，从而减少了网络流量和必要的存储。您可以通过在 /etc/containers/storage.conf 文件中添加 enable_partial_images = "true" 设置来启用部分拉取。此功能作为技术预览提供。

podman artifact 命令作为技术预览提供

podman artifact 命令（可用来在命令行上与 OCI 工件一起工作）作为技术预览提供。如需更多信息，请参阅 man page。

弃用的 Kickstart 命令

以下 Kickstart 命令已弃用：

initial-setup 软件包现已弃用

initial-setup 软件包已在 Red Hat Enterprise Linux 9.3 中被弃用，并将在下一个主 RHEL 发行版本中删除。作为替换，对图形用户界面，使用 gnome-initial-setup 。

inst.geoloc 引导选项的 provider_hostip 和 provider_fedora_geoip 值已弃用

为 inst.geoloc= 引导选项指定 GeoIP API 的 provider_hostip 和 provider_fedora_geoip 值已弃用。作为替换，您可以使用 geolocation_provider=URL 选项在安装程序配置文件中设置所需的地理位置。您仍然可以使用 inst.geoloc=0 选项禁用地理位置。

Anaconda 内置帮助已弃用

在 Anaconda 安装过程中可用的所有 Anaconda 用户界面的 spoke 和 hub 的内置文档已被弃用。作为替换，Anaconda 用户界面将自我说明，用户可以在将来的主 RHEL 版本中引用官方 RHEL 文档。

对 NVDIMM 设备的支持已弃用

在以前的版本中，安装程序允许在安装过程中重新配置 NVDIMM 设备。这个在 Kickstart 和 GUI 安装过程中对 NVDIMM 设备的支持已弃用，并将在下一个主 RHEL 发行版本中删除。扇区模式中的 NVDIMM 设备仍然在安装程序中可见并可用。

无法从安装环境中的驱动程序更新磁盘载入更新的驱动程序

如果安装初始 RAM 磁盘中的同一驱动程序已经加载，则驱动程序更新磁盘中的驱动程序的新版本可能无法加载。因此，驱动程序的更新版本无法应用到安装环境。

Keylime 策略管理脚本已弃用，并替换为 keylime-policy

在 RHEL 9.6 中，Keylime 由 keylime-policy 工具提供，它替换了以下策略管理脚本：

OVAL 在漏洞扫描应用程序中已弃用

开放漏洞评估语言(OVAL)数据格式（其提供由 OpenSCAP 套件处理的声明安全数据）已被弃用，并将在以后的主发行版本中删除。红帽继续以通用安全公告框架(CSAF)格式提供声明的安全数据，这是 OVAL 的后续者。

libgcrypt 已弃用

libgcrypt 软件包提供的 Libgcrypt 加密库已弃用，并可能在以后的主发行版本中删除。改为使用 RHEL 核心加密组件 中列出的库(红帽知识库)。

fips-mode-setup 已弃用

将系统切换到 FIPS 模式的 fips-mode-setup 工具在 RHEL 9 中已弃用。您仍然可以使用 fips-mode-setup 命令检查是否启用了 FIPS 模式。

使用没有参数的 update-ca-trust 已弃用

在以前的版本中，命令 update-ca-trust 会更新系统证书颁发机构(CA)存储，而无论输入了什么参数。此更新引进了 extract 子命令，以更新 CA 存储。您还可以使用 --output 参数指定提取 CA 证书的位置。为了与早期版本的 RHEL 兼容，请输入 update-ca-trust 来使用除 -o 或 --help 以外的任何参数，甚至没有任何参数来更新 CA 存储，在 RHEL 9 期间仍被支持，但将由下一个主发行版本中删除。更新对 update-ca-trust extract 的调用。

指向 Stunnel 客户端中可信根证书文件的 CAfile 已弃用

如果 Stunnel 是在客户端模式下配置的，则 CAfile 指令可指向一个包含 BEGIN TRUSTED CERTIFICATE 格式的可信根证书的文件。这个方法已弃用，并可能在以后的主发行版本中删除。在以后的版本中，stunnel 将 CAfile 指令的值传递给一个不支持 BEGIN TRUSTED CERTIFICATE 格式的函数。因此，如果您使用 CAfile = /etc/pki/tls/certs/ca-bundle.trust.crt，请将位置改为 CAfile = /etc/pki/tls/certs/ca-bundle.crt。

DSA 和 SEED 算法已在 NSS 中弃用

由美国国家标准和技术研究院(NIST)创建的、现在被 NIST 完全弃用的数字签名算法(DSA)在网络安全服务(NSS)加密库中已弃用。您可以使用 RSA、ECDSA 和 EdDSA 等算法。

pam_ssh_agent_auth 已弃用

pam_ssh_agent_auth 软件包已弃用，并可能会在以后的主发行版本中删除。

compat-openssl11 已弃用

OpenSSL 1.1 的兼容性库 compat-openssl11 现在已弃用，并可能会在以后的主发行版本中删除。OpenSSL 1.1 不再在上游维护，且使用 OpenSSL TLS 工具包的应用程序应迁移到版本 3.x。

SHA-1 在 OpenSSL 中的 SECLEVEL=2 中被弃用

在 SECLEVEL=2 中使用 SHA-1 算法已在 OpenSSL 中弃用，并可能在以后的主发行版本中删除。

OpenSSL Engines API 已在 Stunnel 中弃用

在 Stunnel 中使用 OpenSSL Engine API 已弃用，并将在以后的主发行版本中删除。最常见的用途是通过 openssl-pkcs11 软件包访问使用 PKCS#11 的硬件安全令牌。作为替换，您可以使用 pkcs11-provider，其使用新的 OpenSSL Providers API。

OpenSSL Engine 已弃用

OpenSSL Engine 已弃用，并将在不久的将来被删除。您可以使用 pkcs11-provider 作为一种替换，而不是使用引擎。

DSA 在 GnuTLS 中已弃用

数字签名算法(DSA)在 GnuTLS 安全通信库中已弃用，并将在以后的 RHEL 的主版本中删除。DSA 之前已被美国国家标准与技术研究院(NIST)弃用，并被视为是不安全的。您可以改为使用 ECDSA 来确保与将来版本的兼容。

scap-workbench 已弃用

scap-workbench 软件包已弃用。scap-workbench 图形工具被设计为在单个本地或远程系统上执行配置和漏洞扫描。作为一种替代方案，您可以使用 oscap 命令扫描本地系统的配置是否合规，使用 oscap-ssh 命令扫描远程系统的配置是否合规。如需更多信息，请参阅配置合规性扫描。

oscap-anaconda-addon 已弃用

通过使用图形安装为部署符合基准的 RHEL 系统提供方法的 oscap-anaconda-addon 已弃用。作为一种替代方案，您可以通过 使用 RHEL 镜像构建器 OpenSCAP 集成创建预先强化的镜像 来构建符合特定标准的 RHEL 镜像。

对于加密目的，SHA-1 已被弃用

使用 SHA-1 消息摘要用于加密目的在 RHEL 9 中已被弃用。SHA-1 生成的摘要不被视为是安全的，因为已发现多个基于哈希进行的安全攻击。RHEL 核心加密组件不再默认使用 SHA-1 创建签名。RHEL 9 中的应用程序已更新，以避免在与安全相关的用例中使用 SHA-1。

fapolicyd.rules 已被弃用

包含允许和拒绝执行规则的文件的 /etc/fapolicyd/rules.d/ 目录替代了 /etc/fapolicyd/fapolicyd.rules 文件。fagenrules 脚本现在将此目录中的所有组件规则文件合并到 /etc/fapolicyd/compiled.rules 文件。/etc/fapolicyd/fapolicyd 中的规则仍由 fapolicyd 框架处理，但只是为了保证向后兼容。

在 RHEL 9 中弃用 SCP

安全复制协议(SCP)已弃用，因为它有已知的安全漏洞。SCP API 仍可用于 RHEL 9 生命周期，但使用它可以降低系统安全性。

OpenSSL 需要在 FIPS 模式下对 RSA 加密进行填充

OpenSSL 在 FIPS 模式下不再支持没有填充的 RSA 加密。没有填充的 RSA 加密不常见，很少使用。请注意，带有 RSA (RSASVE)的密钥封装不使用填充，但仍支持。

openssl 弃用了 Engines API

OpenSSL 3.0 TLS 工具包弃用了 Engines API。引擎接口被提供方 API 替代。将应用程序和现有引擎迁移到提供方正在进行。弃用的 Engines API 可能在以后的主发行版本中删除。

openssl-pkcs11 现已弃用

作为已弃用的 OpenSSL 引擎正在迁移到提供方 API 的一部分，pkcs11-provider 软件包替换了 openssl-pkcs11 软件包(engine_pkcs11)。openssl-pkcs11 软件包现已弃用。openssl-pkcs11 软件包可能会在以后的主发行版本中删除。

RHEL 8 和 9 OpenSSL 证书和签名容器现已弃用

红帽生态系统目录中的 ubi8/openssl 和 ubi9/openssl 存储库中提供的 OpenSSL 可移植证书和签名容器现已弃用。

SASL 中的 digest-MD5 已被弃用

Simple Authentication Security Layer(SASL)框架中的 Digest-MD5 身份验证机制已弃用，并可能在以后的主发行版本中从 cyrus-sasl 软件包中删除。

/etc/system-fips 现已弃用

支持通过 /etc/system-fips 文件指定 FIPS 模式，该文件将不会包含在将来的 RHEL 版本中。要在 FIPS 模式中安装 RHEL，请在系统安装过程中将 fips=1 参数添加到内核命令行。您可以通过显示 /proc/sys/crypto/fips_enabled 文件来检查 RHEL 是否在 FIPS 模式下运行。

libcrypt.so.1 现已弃用

libcrypt.so.1 库现已弃用，它可能会在以后的 RHEL 版本中删除。

OpenSSL 在 FIPS 模式下不接受显式 curve 参数

指定显式 curve 参数的 Elliptic curve 加密参数、私钥、公钥和证书不能在 FIPS 模式下继续工作。使用 ASN.1 对象标识符（其使用 FIPS 批准的 curve 之一）指定 curve 参数，仍可在 FIPS 模式下继续工作。

OpenSSL 在 FIPS 模式下拒绝带有 X9.31 padding 的 RSA 签名

因为 X9.31 RSA 签名已从 FIPS 186-5 标准中删除，因此 OpenSSL 不再支持使用 FIPS 模式 X9.31 padding 的 RSA 密钥签名或签名验证。

对于 RHEL for Edge 镜像的镜像模式，Ignition 已被弃用

在引导过程的早期阶段，用来将用户配置注入 Simplified Installer、AMI 和 VMDK RHEL for Edge 镜像类型的 Ignition 工具已在 RHEL 9 中弃用，并可能在以后的主发行版本中删除。

几个 subscription-manager 模块已被弃用

由于红帽订阅服务中的一个简化的客户体验已过渡到 Red Hat Hybrid Cloud Console 和带有简单内容访问的帐户级订阅管理，因此以下模块已被弃用，并将在以后的主发行版本中删除：

弃用的 subscription-manager register 的 --token 选项将在 2024 年 11 月底停止工作

弃用的 subscription-manager register 命令的 --token=<TOKEN> 选项从 2024 年 11 月底起，将不再是一个支持的身份验证方法。默认的授权服务器 subscription.rhsm.redhat.com 不再允许基于令牌的身份验证。因此，如果您使用 subscription-manager register --token=<TOKEN>，则注册将失败，并显示以下错误消息：

无数字 %patch 语法已被弃用

使用没有指定数字的 %patch 指令作为 %patch 0 的缩写以应用 zero-th 补丁已被弃用。因此，如果您想要使用 %patch，则警告信息建议您使用显式语法，例如 %patch 0 或 %patch -P 0 来应用 零 补丁。

DNF debug 插件已弃用

DNF debug 插件（其包括 dnf debug-dump 和 dnf debug-restore 命令）已被弃用，将从下一个主 RHEL 发行版本中的 dnf-plugins-core 软件包中删除。

对 libreport 的支持已弃用

对 libreport 库的支持已弃用，并将在下一个主 RHEL 发行版本中从 DNF 中删除。

perl (Mail::Sender) 模块现已弃用

perl (Mail::Sender) 模块现已弃用，并将从下一个主发行版本中删除，而没有任何替换。因此，当主机或接口的带宽达到高或低水平时，net-snmp-perl 软件包中的 checkbandwidth 脚本不支持电子邮件警报。

dump 软件包中的 dump 工具已弃用

用于文件系统备份的 dump 工具已弃用，在 RHEL 9 中将不再提供。

Bacula 中的 SQLite 数据库后端已被弃用

Bacula 备份系统支持多个数据库后端：PostgreSQL、MySQL 和 SQLite。SQLite 后端已被弃用，并将在以后的 RHEL 版本中不被支持。作为一种替代，迁移到其他一种后端(PostgreSQL 或 MySQL)，且在新部署中不使用 SQLite 后端。

sysstat 软件包中的 %vmeff 指标已弃用

测量页回收效率的 sysstat 软件包中的 %vmeff 指标在以后的 RHEL 主版本中将不再支持。sar -B 命令返回的 %vmeff 列的值不正确，因为 sysstat 不会解析后续内核版本提供的所有相关的 /proc/vmstat 值。

在 ReaR 配置文件中设置 TMPDIR 变量已弃用

通过使用语句，如 export TMPDIR=…​ 在 /etc/rear/local.conf 或 /etc/rear/site.conf ReaR 配置文件中设置 TMPDIR 环境变量已被弃用。

cgroupsv1 现在在 RHEL 9 中已弃用

cgroups 是一个内核子系统，用于进程跟踪、系统资源分配和分区。Systemd 服务管理器支持在 cgroup v1 模式和 cgroup v2 模式下引导。在 Red Hat Enterprise Linux 9 中，默认模式是 v2。在 Red Hat Enterprise Linux 10 中，systemd 将不支持在 cgroups v1 模式下引导，且提供 cgroup v2 模式。

客户端侧和服务器端 DHCP 软件包已弃用

Internet Systems Consortium (ISC)已宣布在 2022 年底之前结束 ISC DHCP 的维护。因此，红帽决定在 RHEL 9 中弃用客户端和服务器端 DHCP 软件包，且不在以后的 RHEL 主发行版本中分发它们。客户必须准备过渡到可用的替代品，如 dhcpcd 和 ISC Kea。

现在，各种软件包已在基础设施服务中弃用

以下软件包已在 RHEL 9 中被弃用，且不会在以后的 RHEL 主版本中分发：

ipset 已被弃用

在 RHEL 9 中，ipset 工具已弃用，计划在以后的主发行版本中删除。红帽将在当前发行生命周期中提供对这个功能的 bug 修复和支持，但此功能将不再获得改进。作为 ipset 的替代选择，您可以使用 nftables 设置功能。

Soft-iWARP 驱动程序已弃用

RHEL 9 提供 Soft-iWARP 驱动程序，作为不受支持的技术预览。从 RHEL 9.5 开始，这个驱动程序已弃用，并将在 RHEL 10 中删除。

dhcp-client 软件包已弃用

在以前的版本中，您可以将 RHEL 9 中的 NetworkManager 配置为使用 dhcp-client 软件包中的 DHCP 客户端。但是，使用 dhclient 工具的选项现已被弃用，并导致在 NetworkManager 启动时显示一条警告。要配置上述 NetworkManager，请切换到内部 DHCP 库。在 RHEL 10 中，不再提供 dhcp-client 软件包，且配置为使用 dhclient 工具的应用程序改为使用内部 DHCP 库。

RHEL 9 中已弃用网络团队（Network teams）

teamd 服务和 libteam 库在 Red Hat Enterprise Linux 9 中已弃用，并将在下一个主发行版本中删除。作为替换，配置绑定而不是网络组。

ifcfg 格式的 NetworkManager 连接配置文件已弃用

在 RHEL 9.0 及更高版本中，ifcfg 格式的连接配置文件已弃用。下一个主要 RHEL 发行版本将删除对这个格式的支持。但是，在 RHEL 9 中，如果修改了配置文件，NetworkManager 仍然会使用这个格式处理和更新现有的配置文件。

firewalld 中的 iptables 后端已弃用

在 RHEL 9 中，iptables 框架已弃用。因此，firewalld 中的 iptables 后端和 直接接口也 被弃用。您可以使用 firewalld 中的原生功能，而不是 direct interface 来配置所需的规则。

firewalld 锁定功能已弃用。

firewalld 中的锁定功能已弃用，因为它无法阻止以 root 身份运行的进程将它们自己添加到允许列表中。锁定功能可能会在以后的主 RHEL 发行版本中删除。

connection.master,connection.slave-type, 和 connection.autoconnect-slaves 属性已弃用

红帽承诺使用适当的语言。因此，connection.master、connection.slave-type 和 connection.autoconnect-slaves 属性被重命名了。为确保向后兼容，已创建了将旧属性名称映射到新属性的别名：

PF_KEYv2 内核 API 已弃用

应用程序可以使用 PV_KEYv2 和较新的 netlink API 配置内核的 IPsec 实现。PV_KEYv2 没有在上游进行主动维护，并且缺少重要的安全功能，如现代密码、卸载和扩展的序列号支持。因此，从 RHEL 9.3 开始，PV_KEYv2 API 已被弃用，并将在下一个主 RHEL 发行版本中删除。如果您在应用程序中使用此内核 API，请迁移它，以使用现代 netlink API 作为替代。

在 RHEL 9 中弃用 ATM 封装

异步传输模式(ATM)封装为 ATM Adaptation Layer 5(AAL-5)提供第 2 层（Point-to-Point 协议、以太网）或第 3 层（IP）连接。从 RHEL 7 开始，红帽尚未为 ATM NIC 驱动程序提供支持。RHEL 9 中丢弃对 ATM 实施的支持。这些协议目前仅在芯片组中使用，该协议支持 ADSL 技术，并由制造商逐步淘汰。因此，Red Hat Enterprise Linux 9 中已弃用 ATM 封装。

kexec-tools 的 kexec_load 系统调用已弃用

在以后的 RHEL 版本中将不支持 kexec_load 系统调用（其载入第二个内核）。kexec_file_load 系统调用替换了 kexec_load，它现在是所有架构上的默认系统调用。

RHEL 9 中已弃用网络团队（Network teams）

teamd 服务和 libteam 库在 Red Hat Enterprise Linux 9 中已弃用，并将在下一个主发行版本中删除。作为替换，配置绑定而不是网络组。

对块翻译表驱动程序的支持已弃用

对块翻译表驱动程序(btt.ko)的支持已被弃用，并将在以后的主 RHEL 发行版本中删除。在当前发行版本生命周期中，红帽将为使用扇区模式配置非线性内存模块(NVDIMM)命名空间提供 bug 修复和支持。但是，这个功能将不再获得增强，并将被删除。

nvme_core.multipath 参数已弃用

在 RHEL 9.6 中，nvme_core.multipath 参数已弃用，并计划在以后的发行版本中删除。红帽将在当前发行生命周期中提供对这个功能的 bug 修复和支持，但这个功能将不再获得增强，并将在以后的主发行版本中删除。

对 NVMe 设备的支持已从 lsscsi 软件包中弃用

对 Non-volatile Memory Express (NVMe)设备的支持已被弃用，并将在以后的主 RHEL 发行版本中从 lsscsi 软件包中删除。改为使用 nvme-cli,lsblk 和 blkid 等原生工具。

对 NVMe 设备的支持已从 sg3_utils 软件包中弃用

对 Non-volatile Memory Express (NVMe)设备的支持已被弃用，并将在以后的主 RHEL 发行版本中从 sg3_utils 软件包中删除。您可以改为使用原生工具(nvme-cli)。

lvm2-activation-generator 及其生成的服务在 RHEL 9.0 中删除

lvm2-activation-generator 程序及其生成的服务 lvm2-activation、lvm2-activation-early、lvm2-activation-net 已在 RHEL 9.0 中删除。lvm.conf event_activation 设置用于激活服务将不再起作用。自动激活卷组的唯一方法是基于事件激活。

在 RHEL 9 中已弃用了持久性内存开发套件(pmdk)和支持库

pmdk 是用于系统管理员和应用程序开发者的库和工具集合，以简化管理和访问持久内存设备。RHEL 9 中已弃用了 pmdk 和支持库。这还包括 -debuginfo 软件包。

md-linear、md-faulty 和 md-multipath 模块已弃用

以下 MD RAID 内核模块已被弃用，并将在以后的主 RHEL 发行版本中删除：

VDO sysfs 参数已弃用

Virtual Data Optimizer (VDO) sysfs 参数已弃用，并将在以后的主 RHEL 发行版本中删除。除 log_level 外，kvdo 模块的所有模块级 sysfs 参数将被删除。对于单个 dm-vdo 目标，特定于 VDO 的所有 sysfs 参数也将被删除。所有 DM 目标常用的参数没有变化。目前通过更新删除的模块级参数而设置的 dm-vdo 目标的配置值不再更改。

弃用的高可用性功能

从 Red Hat Enterprise Linux 9.5 开始，以下功能已被弃用，并将在下一个主发行版本中删除。当您尝试使用这些功能配置系统时，pcs 命令行界面会产生一条警告。

Resilient Storage Add-On 已弃用

从 RHEL 9 开始，Red Hat Enterprise Linux (RHEL) Resilient Storage Add-On 已被弃用。从 Red Hat Enterprise Linux 10 以及 RHEL 10 后的任何后续版本开始，不再支持 Resilient Storage Add-On 。RHEL Resilient Storage Add-On 将继续被早期版本的 RHEL (7、8、9)及其特定维护支持生命周期支持。

libdb 已被弃用

RHEL 9 目前提供 Berkeley DB (libdb)版本 5.3.28，它根据 LGPLv2 许可证而发布。上游 Berkeley DB 版本 6 在 AGPLv3 许可证下提供，该许可证更严格。

Redis 将在 Grafana、PCP 和 grafana-pcp 中被 Valkey 替换

Redis 键值存储已弃用，并将在下一个 RHEL 主版本中被 Valkey 替换。因此，Grafana、PCP 和 grafana-pcp 插件将在 RHEL 10 中使用 Valkey 而不是 Redis 存储数据。

llvm-doc 的 HTML 内容已弃用

llvm-doc 软件包的 HTML 内容将在以后的 RHEL 发行版本中删除，并被指向 llvm.org 中在线文档的 HTML 文件所替换。没有网络访问的 llvm-doc 的用户需要一种替代方法来访问 LLVM 文档。

Go 的 FIPS 模式下，比 2048 小的密钥已被 openssl 3.0 弃用

openssl 3.0 弃用了小于 2048 位的密钥，在 Go 的 FIPS 模式中无法正常工作。

有些 PKCS1 v1.5 模式现在在 Go 的 FIPS 模式下被弃用

一些 PKCS1 v1.5 模式在 FIPS-140-3 中未被批准用于加密，并被禁用。它们将不再在 Go 的 FIPS 模式下工作。

32 位软件包已弃用

与 32 位 multilib 软件包的链接已弃用。将在 Red Hat Enterprise Linux 9 的生命周期中保持对 *.i686 软件包的支持，但将在下一个 RHEL 主版本中删除。

dnssec-enable: no; 选项已弃用

/etc/named/ipa-options-ext.conf 文件中的 dnssec-enable: no; 选项已被弃用，并将在以后的 RHEL 主版本中删除。DNS 安全扩展(DNSSEC)会被默认启用，且无法禁用它们。dnssec-validation: no; 选项仍可用。

pam_console 模块已弃用

在 RHEL 9.5 中，pam_console 模块已弃用，并计划在以后的发行版本中删除。pam_console 模块向登录到物理控制台或终端的用户授予文件权限和身份验证能力，并根据控制台登录状态和用户状态来调整这些特权。作为 pam_console 的一种替代，您可以使用 systemd-logind 系统服务。有关配置详情，请查看 logind.conf (5) 手册页。

OpenDNSSec 中的 SHA-1 现已弃用

OpenDNSSEC 支持使用 SHA-1 算法导出数字签名和身份验证记录。不再支持使用 SHA-1 算法。在 RHEL 9 发行版本中，OpenDNSSec 中的 SHA-1 已被弃用，并可能在以后的次版本中删除。另外，OpenDNSSec 支持仅限于与红帽身份管理的集成。OpenDNSSEC 不支持独立。

SSSD 隐式文件供应商域默认禁用

SSSD 隐式 文件 供应商域，从 /etc/shadow 和 /etc/ groups 等本地文件检索用户信息，现已默认禁用。

ad_allow_remote_domain_local_groups 选项已弃用

sssd.conf 中的 ad_allow_remote_domain_local_groups 选项已在 Red Hat Enterprise Linux (RHEL) 9.6 中被弃用。ad_allow_remote_domain_local_groups 选项可能会在以后的版本中删除。

sss_ssh_knownhostsproxy 工具已弃用

sss_ssh_knownhostsproxy 已弃用，并将被 RHEL 10 中的一个更有效的工具替代。sss_ssh_knownhostsproxy 将在 RHEL 9 中保持向后兼容性，并将在 RHEL 10 中删除。对 ssh KnownHostsCommand 选项的支持将添加到以后的发行版本中。

SSSD 文件 提供者已弃用

SSSD 文件 提供者已在 Red Hat Enterprise Linux (RHEL) 9 中弃用。文件 提供者可能会从以后的版本中删除。

AD 和 IdM 的 枚举 功能已弃用

枚举 功能允许您使用没有用于活动目录(AD)、身份管理(IdM)和 LDAP 供应者参数的 getent passwd 或 getent group 命令列出所有用户或组。在 Red Hat Enterprise Linux (RHEL) 9 中弃用了用于 AD 和 IdM 的 枚举 功能。用于 AD 和 IdM 的 枚举 功能将在 RHEL 10 中删除 。

libsss_simpleifp 子软件包已弃用

提供 libsss_simpleifp.so 库的 libsss_simpleifp 子软件包已在 Red Hat Enterprise Linux (RHEL) 9 中弃用。libsss_simpleifp 子软件包可能会从以后的 RHEL 发行版本中删除。

SMB1 协议在 Samba 中已弃用

从 Samba 4.11 开始，不安全的服务器消息块版本 1 (SMB1)协议已弃用，并将在以后的发行版本中删除。

Firefox 和 Thunderbird Flatpak 镜像已被弃用

rhel9/firefox-flatpak 和 rhel9/thunderbird-flatpak Flatpak 镜像在 RHEL 9 中作为技术预览提供，并已被弃用。

evince 已被弃用

evince 是 GNOME 桌面的一个文档查看器已被弃用，并将在以后的主发行版本中删除。

power-profile-daemon 已被弃用

power-profile-daemon 软件包已弃用，并被 tuned-ppd 软件包替代。在 RHEL 9.6 的新安装中，默认安装 tuned-ppd 软件包。

Totem 媒体播放器已被弃用

Totem 媒体播放器已在 RHEL 9.5 中弃用，并将在以后的主发行版本中删除。

power-profiles-daemon 已被弃用

GNOME 中提供电源模式配置的 power-profiles-daemon 软件包已弃用，并将在以后的主发行版本中删除。

gedit 已被弃用

Red Hat Enterprise Linux 中的默认图形文本编辑器 gedit 已被弃用，并将在以后的主发行版本中删除。改为使用 GNOME 文本编辑器。

Qt 5 库已弃用

Qt 5 库已弃用，并将在以后的主发行版本中删除。Qt 5 库被 Qt 6 库替代，具有新的功能和更好的支持。

Webkitgtk 已被弃用

WebKitGTK Web 浏览器引擎已被弃用，并将在以后的主发行版本中删除。

Evolution 已被弃用

Evolution 是一种 GNOME 应用程序，提供集成的电子邮件、日历、联系人管理和通信功能。应用程序及其插件已被弃用，并将在以后的主发行版本中删除。您可以在第三方源中查找备选方案，例如在 Flathub 上。

Festival 已被弃用

Festival 语音合成器已被弃用，并将在以后的主发行版本中删除。

GNOME 的 Eye 已弃用

RHEL 9 中弃用了 GNOME (eog)镜像查看器应用程序的 Eye。

Cheese 已被弃用

Cheese 相机应用程序已被弃用，并将在以后的主发行版本中删除。

Devhelp 已被弃用

Devhelp，用于浏览和搜索 API 文档的图形开发人员工具已被弃用，并将在以后的主发行版本中删除。现在，您可以在特定的上游项目中在线找到 API 文档。

基于 GTK 3 的 gtkmm 已被弃用

gtkmm 是 GTK 图形工具包的一个 C++ 接口。基于 GTK 3 的 gtkmm 版本及其所有依赖项已被弃用，并将在以后的主发行版本中删除。要在 RHEL 10 中访问 gtkmm，请迁移到基于 GTK 4 的 gtkmm 版本。