9.7 发行注记

fips=1 的新引导菜单条目添加到 ISO 安装中

在这个版本中，DVD 和 Boot ISO 镜像安装提供了一个新的引导菜单条目来设置 fips=1 内核引导选项。这简化了这个过程，如在 RHEL 安装过程中启用 FIPS 模式，可确保系统使用 FIPS 批准的算法生成所有密钥，并持续监控测试。通过使用这个引导选项，您可以使用 fips=1 内核参数开始安装，并可以联邦信息处理标准(FIPS) 140 要求为目标。

蓝图文件自定义现在支持从外部源引用文件的 URI 字段

在这个版本中，为蓝图文件自定义结构添加了 URI 字段支持。因此，您可以从外部位置引用和源文件，而不只是直接包含在蓝图中的源文件，从而为构建系统提供更灵活的自定义，以及更适应的构建体验。

RHEL 镜像构建器支持一个新的镜像类型 vagrant-libvirt for vagrant

在这个版本中，RHEL 镜像构建器支持 libvirt hypervisor，您可以使用 Vagrant 轻松运行 RHEL 虚拟机。此功能增强提供预配置的镜像，以确保一致且简化的设置。它还为 Vagrant 框中的 vagrant 用户授予 sudo 特权，从而更轻松地管理和执行管理任务。在 Vagrant 环境中使用 RHEL 虚拟机时，这些增强功能提供了更加高效且无缝的体验。

RHEL Image Builder GUI 支持模块化内容发现

从 RHEL 9.7 开始，RHEL Image Builder 图形用户界面(GUI)支持模块化的内容发现。这个功能引进了以下改进：

RHEL Image Builder 现在支持 WSL2 镜像

现在，您可以使用 RHEL 镜像构建器为 Linux (WSL2)创建 Windows 子系统。镜像类型以 wsl 格式提供，并使用镜像，通过双击生成的文件来部署镜像。

RHEL 中正式发布新的 rhel9/bootc-image-builder 容器镜像

RHEL 的镜像模式的 rhel9/bootc-image-builder 容器镜像包括一个最小版本的镜像构建器，其将可引导容器镜像（如 rhel-bootc）转换为不同的磁盘镜像格式（如 QCOW2、AMI、VMDK、ISO 等）。

bootc-image-builder 工具在 RHEL 中正式发布

bootc-image-builder 工具现在在 RHEL 中正式发布，可作为容器来轻松从 bootc 容器输入创建和部署兼容磁盘镜像。使用 bootc-image-builder 运行容器镜像后，您可以为所需的架构生成镜像。然后，您可以在虚拟机、云或服务器上部署生成的镜像。您可以使用 bootc 轻松更新镜像，而不必在每次需要新更新时使用 bootc-image-builder 重新生成内容。

composefs 只读文件系统支持 bootc/ostree 和 podman 项目

composefs 只读文件系统通常仅用于当前时间 bootc/ostree 和 podman 项目使用。使用 composefs，您可以使用这些项目来创建和使用只读镜像，在镜像间共享文件数据，并在运行时验证镜像。因此，您挂载了一个完全验证的文件系统树，并可以机会性地细粒度共享相同的文件。

NSS rebase 到 3.112

NSS 加密工具包软件包已更新到上游版本 3.112，它提供很多改进和修复。最值得注意的是，以下内容：

RHEL 9.7 crypto-policies 支持 post-quantum 加密

在这个版本中，您可以通过新的 PQ 子策略启用对 post-quantum 加密(PQC)的支持。RHEL 9.7 crypto-policies 中最显著的变化包括：

openssl rebase 到 3.5

OpenSSL 被 rebase 到上游版本 3.5。此版本提供重要的修复和增强，最重要的是：

openssl 支持 sslkeylogfile

OpenSSL 支持 TLS 的 sslkeylogfile 格式。因此，您可以通过设置 SSLKEYLOGFILE 环境变量来记录 SSL 连接生成的所有 secret。

混合 ML-KEM 加密在 FIPS 模式下工作

在这个版本中，在 RHEL 的 FIPS 模式中支持混合模块的基于密钥封装机制(ML-KEM) post-quantum 加密算法。当系统以 FIPS 模式运行时，OpenSSL 可以从 FIPS 供应商获取新混合 post-quantum 组一部分的 Elliptic Curve Diffie-Hellman (ECDH)部分。因此，OpenSSL 库对混合子密钥交换的 ECDH 部分使用 FIPS 兼容加密。当您将系统设置为 FIPS:PQ 加密策略时，混合子组会被默认启用，并由 OpenSSL 服务器和客户端使用。

crypto-policies 在 NSS 中支持 Ed25519

在这个版本中，对系统范围的加密策略的支持，对 Edwards-curve Digital Signature Algorithm (EdDSA)的 SHA-512 变体的支持，对于网络安全服务(NSS)可用。因此，crypto-policies 在 DEFAULT、LEGACY 和 FUTURE 策略中默认启用 Ed25519。

新软件包： Rust -rpm-sequoia

RHEL 9.7 引入了 Rust-rpm-sequoia 软件包，通过 multisig DNF 插件支持 RPM 软件包中的子量签名。这个添加可让您在使用 post-quantum 加密(PQC)算法签名的 RPM 软件包中验证 OpenPGP v6 签名。

SCAP 安全指南 rebase 到 0.1.78

如需更多信息，请参阅 SCAP 安全指南发行注记。

SELinux 策略为 qgs 守护进程添加规则和类型

qgs 守护进程添加到带有 linux-sgx 软件包的 RHEL 中，它支持 TDX 机密虚拟化。当客户机操作系统请求虚拟机(VM)时，qgs 守护进程通过 UNIX 域套接字与 QEMU 通信。为了实现此目的，SELinux 策略会添加新的 qgs_t 类型、访问规则和权限。

三个 RHEL 服务从 SELinux permissive 模式中删除

RHEL 服务的以下 SELinux 域已从 SELinux permissive 模式中删除：

SELinux 策略中 tuned-ppd restricted

RHEL 9.7 在 SELinux 策略中添加了额外的规则，用于限制 tuned-ppd 服务。在此次更新之前，服务使用 unconfined_service_t SELinux 标签运行，该标签违反了 CIS Server Level 2 基准 "Ensure No Daemons are Unconfined by SELinux" 规则。在这个版本中，该服务不再不受限制，并在 SELinux enforcing 模式下运行。

Keylime rebase 到版本 7.12.1

Keylime 软件包已 rebase 到上游版本 7.12.1。最重要的修复和增强包括：

SELinux 为 /dev/diag分配特定类型的

在这个版本中，diagnostics _device_t 类型被分配给 SELinux 策略中的 /dev/diag 设备。因此，SELinux 可以正确控制对该设备的访问。

OpenSSL PKCS modprobe 供应商添加了对 Ex=RSA 加密的支持

这个 OpenSSL PKCS modprobe 供应商的更新启用了使用带有 OpenSSL 的 PKCSGRESS 令牌，而无需依赖已弃用的功能。这个替代方案解决了不受支持的 RSA padding 模式问题，确保在 RHEL 9 上无缝地使用带有硬件安全模块(HSM)的 Ex=RSA 密码。这会导致消除 TLS 握手失败，并在使用 OpenSSL 和 PKCS modprobe 令牌建立 TLS 1.2 连接时提供安全通信。

新软件包： fips-provider-next

fips-provider-next 软件包提供下一版本 FIPS 提供程序，该提供程序提交至国家标准与技术研究院(NIST)进行验证。默认情况下不安装软件包，因为 openssl-fips-provider 软件包是经过验证的 OpenSSL FIPS 供应商。从 swigopenssl-fips-provider 切换到fips-provider-next:

rsyslog imuxsock 提供了新的 ratelimit.discarded 计数器

在这个版本中，imuxsock Rsyslog 模块包括一个新的计数器 ratelimit.discarded，它跟踪因为 Unix 套接字速率限制而丢弃的消息数量。此增强为管理员提供对消息丢失的可见性，因为速率限制，使它们能够微调速率限制设置，并防止关键日志被丢弃。

rsyslog imfile 提供新的 deleteStateOnFileMove 选项

在这个版本中，新的 deleteStateOnFileMove 参数已被添加到 imfile 模块中，作为模块级别和 per-action 选项提供。当监控日志文件被轮转或移动时，这个增强解决了在 spool/ 目录中累积的孤立状态文件的问题。通过启用此参数，您可以在移动日志文件时自动清理这些过时的文件，防止磁盘空间被浪费并简化管理。

注册到启用了 SCA 的组织的系统简化状态

在此次更新之前，当注册到启用了简单内容访问(SCA)的机构时，subscription-manager status 命令会报告 Overall Status: Disabled 和 System Purpose Status: Disabled。由于此状态可能会造成混淆，因此通常误解为错误，所以状态报告已被简化。现在，Overall Status 报告 Registered 或 Not registered，System Purpose 状态已被取消。

dnf4 可以用来运行 DNF 命令

在这个版本中，您可以输入 dnf 或 dnf4 来运行 DNF 命令。

DNF 可以在 RPM 软件包中验证 RPMv6 签名

量级加密保证了软件的完整性和来源。但是，在量子计算中，标准非对称加密算法（如 RSA）不再相关。在这个版本中，除了标准 RPMv4 签名外，您还可以使用新的 multisig DNF 插件在 RPM 软件包上验证 RPMv6 签名。RPMv6 签名可以基于 quantum-safe 算法，如 ML-DSA。

createrepo_c 支持 zstd

此功能增强添加了对 createrepo_c 命令的 Zstandard (zstd)压缩算法的支持。因此，createrepo_c 可以读取和生成使用 zstd 压缩的元数据。

dnf 标记 DNF 历史记录中的临时事务

dnf history info 命令显示事务是持久的还是临时的。因此，可以更轻松地跟踪软件包更改，特别是对于有很多临时软件包的系统。

RPM 在安装过程中记录原始软件包的校验和

在这个版本中，RPM 会在安装过程中记录整个 .rpm 软件包的 SHA256 和 SHA512 摘要。然后，您可以从 RPM 数据库检索这些摘要，以验证安装的软件包是否与特定的 .rpm 文件对应。因此，您可以通过重新验证安装的软件包集是否与位位（位位，一组已知 .rpm 软件包的集合）来改进 RHEL 系统的完整性，如 DNF 存储库中可用的软件包。

RPM 支持 spec-local 文件属性和依赖项生成器

文件属性及其依赖项生成器通常在构建使用这些属性的软件包之前必须安装的独立软件包中提供。但是，您可能需要 file 属性在构建附带此属性的软件包期间生效。您可能还需要只用于构建软件包的 file 属性，而无需提供属性。

新的 $releasever_major 和 $releasever_minor 变量

提供了新的 $releasever_major 和 $releasever_minor 变量，以更好地支持 Extra Packages for Enterprise Linux (EPEL)存储库和其他按 RHEL 主版本发布内容的软件仓库，而不是每个次版本。这些变量会自动来自 $releasever 变量或 system-release (releasever_major) 和 system-release (releasever_minor) 虚拟提供。因此，您可以使用 $releasever_major 和 $releasever_minor 来创建在多个 RHEL 主版本或次版本间工作的存储库配置文件。

3.25.0 提供的 openCryptoki

openCryptoki 软件包在 3.25.0 版本中提供。添加了对以下情况的支持：

GIMP rebase 到 3.0.4

GNU 镜像操作程序(GIMP)已 rebase 到 RHEL 9.7 中的稳定的上游版本 3.0.4。

RHEL 现在装有 dyninst 版本 13.0.0

dyninst 框架被 rebase 到上游版本 13.0.0 此版本提供以下改进列表：

RHEL 现在装有 SystemTap 版本 5.3

SystemTap 被 rebase 到版本 5.3，其多线程解析功能现在通过缩短几秒的初始化时间来提高启动性能。

elfutils 现在被 rebase 到版本 0.193

elfutils 0.193 现在包括在 RHEL 9.7 中。这个版本中的显著变化包括：

Valgrind 已升级至上游版本 3.25.1

从 3.24.0 版本(RHEL 9.6)升级到上游版本 3.25.1 (RHEL 9.7)提供以下显著改进：

Valgrind 软件包被分成子软件包以灵活安装

在此次更新之前，swigvalgrind 软件包包含在单个软件包中的所有组件。因此，您必须安装您不需要的功能。

Valkey 8 现已正式发布

Valkey 8、高级键值存储，现在包括在 RHEL 中。它充当数据结构服务器，允许密钥存储各种数据类型，例如：

fs.protected_regular 和 fs.protected_fifos sysctls 参数被默认启用

在以前的版本中，在 RHEL 9 内核中，添加了 fs.protected_regular 和 fs.protected_fifos sysctls 参数，以便使一些数据欺骗攻击变得更加困难。现在，这些参数会被默认启用，这可以提高安装的安全性。要禁用这些 sysctl 参数，请在 /etc/sysctl.d/60-protected.conf 文件中添加以下行：

BrowseOptionsUpdate 指令现在包括在 RHEL 中

BrowseOptionsUpdate 指令决定了默认打印选项的源和更新频率。它指定系统是否从本地系统或远程打印服务器检索选项，如果它在服务启动时、以特定间隔更新它们。

RHEL 10 在 3.26.1 中提供 gpsd

在 RHEL 10 中，gpsd 工具 软件包在版本 3.26.1 中提供。此版本提供对 u-blox 接收器的改进支持。

nmstate 可以根据 PCI 地址为网络接口分配设置

在这个版本中，您可以使用 Nmstate 根据其 PCI 地址而不是设备名称设置网络接口。使用此功能来确保集群中跨节点的一致性配置。详情请查看 使用带有设备路径的 nmstatectl 配置带有动态 IP 地址 的以太网连接，以及使用设备路径的 nmstatectl 配置以太网连接。

Nmstate 中的绑定配置支持优化设置

在这个版本中，Nmstate API 支持以下绑定选项：

nmtui 现在支持配置 loopback 接口

NetworkManager 已支持使用 nmcli 工具配置 loopback 接口。此功能增强为 nmtui 应用程序添加了相同的功能。因此，您可以在回环接口上配置 IP 地址和路由。

NetworkManager-libreswan 插件支持使用 Libreswan 默认值

在这个版本中，您可以将 Libreswan VPN 连接配置集中的 no-nm-default 属性设置为 true 来使用 Libreswan 而不是 NetworkManager 的默认值。这样可确保与为原生 Libreswan 定义的配置兼容。现在，您可以配置 subnet-to-subnet 隧道。

NetworkManager 现在在使用 IPv6 前缀长度时支持下游接口的固定子网 ID

在这个版本中，在使用 IPv6 前缀长度时，您可以在 NetworkManager 中为下游接口指定固定子网 ID。在以前的版本中，当重启系统时，这些接口的子网 ID 可能会改变。使用固定子网 ID 时，在重启 RHEL 主机时，分配给下游网络中设备的 IPv6 地址不会改变。

NBFT 解析器添加到 nm-initrd-generator

NVMe Boot Firmware Table (NBFT)是使用 ACPI 表将网络引导和存储配置到操作系统的标准方法。nm-initrd-generator 程序现在使用这个解析器来自动检测并应用此配置，并在没有手动设置的情况下创建必要的连接。这个实现替换了 dracut 中的 95nvmf 模块，它依赖于 systemd 自动化来实现更精简且可靠的引导序列。

nmstate 现在支持为网络接口配置 FEC 设置

在这个版本中，您可以使用 Nmstate 应用 Forward Error Correction (FEC)模式，如 RS-FEC、Base-R 和 Disabled 到接口。这些设置对于在不重新传输的情况下检测和更正错误来提高数据传输可靠性至关重要。现在，您可以使用 Nmstate 应用 FEC 设置，而不是手动配置它们或使用特定于平台的工具。

nmstate 现在支持 mtu 和 quickack 路由选项

在这个版本中，您可以使用 Nmstate 设置 mtu 和 quickack 路由选项。如果最大传输单元与默认值和调整 TCP 确认行为不同，这些设置对于优化网络性能非常重要。现在，您可以更加精确地控制网络流量行为。

mlx5 驱动程序现在支持对称 OR-XOR RSS 哈希

在这个版本中，Receive Side Scaling (RSS)的默认转换(xfrm)现在是 symmetric-or-xor。

ModemManager rebase 到版本 1.22

ModemManager 软件包已升级至上游版本 1.22。这个版本包括对附加设备的程序错误修正和支持。

nmstate 现在支持 VLAN 接口的出口和入口优先级映射

NetworkManager 已经支持为 VLAN 接口配置流量优先级映射。在这个版本中，Nmstate 库也可以处理出口和入口优先级服务质量(QoS)映射规则。因此，您可以使用 Nmstate 创建 VLAN 并定义双向优先级映射，以帮助更精确地管理流量。

nmstate 现在支持使用 MAC 地址而不是接口名称配置路由

使用 Nmstate 时，您可以通过为其分配接口的 MAC 地址来创建网络连接。在这个版本中，您可以在路由配置中的 next-hop-interface 参数中使用配置集名称而不是接口名称。使用此功能，您可以在不了解接口名称的情况下创建静态路由。

新的网络数据包丢弃原因和 MIB 计数器

现在，内核的网络堆栈在丢弃网络数据包时提供了更详细的原因。此功能增强还添加了两个新的管理信息基础(MIB)计数器： LINUX_MIB_PAWS_TW_REJECTED 和 LINUX_MIB_PAWS_OLD_ACK。因此，调试和诊断网络问题现在更为容易。

fwctl 子系统已添加到内核中

如果启用了内核锁定功能，则内核不允许访问 /sys/ 目录和 PCI 配置空间中的 resource0 文件。fwctl 内核子系统管理与软件定义设备中固件的通信，如 mlx5 网络接口控制器。这个子系统建立了一个标准化且安全的远程过程调用(RPC)接口，它允许用户空间应用程序与设备固件交互以进行诊断、配置和更新。除了新的子系统外，mstflint 工具现在也使用 fwctl 子系统，在这些安全环境中完全使用实用程序功能。

ice 驱动程序现在支持减少 PF 的 MSI-X 向量使用情况，以释放相关 VF 的向量

有了这个增强，您可以减少分配给物理功能(PF)的 Message Signaled Interrupts eXtended (MSI-X)向量，以确保有足够数量的向量可用于关联的虚拟功能(VF)。详情请查看 物理功能 的 MSI-X 向量使用情况来释放相关虚拟功能的向量。

iproute rebase 到版本 6.14.0

iproute 软件包已更新至版本 6.14.0。

RHEL 9.7 中的内核版本

Red Hat Enterprise Linux 9.7 带有内核版本 5.14.0-611.5.1。

添加了对 virtio 设备的支持

在此次更新之前，KVM 客户端中的 virtio 设备都列为 generic-ccw。有了这个增强，您可以使用 lszdev 命令轻松地识别在哪个设备号连接了哪些设备类型：

kpatch-dnf 插件通过改进的内核管理来更新

在此次更新之前，kpatchkpatch-dnf 插件无法与 kpatch 支持使内核升级保持一致。因此，管理员可能会安装或升级到 kpatch 不支持的内核，从而增加运行不支持的内核的风险，并降低系统稳定性。

ARM SPE 支持扩展至 内核中Neoverse-V2 和 Cortex CPU

内核中的 Arm SPE 功能支持已扩展为包括 Neoverse-V2 和 Cortex CPU。现在，用户可以在 Neoverse-V2 和 Cortex CPU 上运行工作负载时，访问 Arm SPE 功能来提高可观察性和分析。

内核中Intel Arrow Lake U RAPL 能源事件支持

在此次更新之前，Intel Arrow Lake U 微架构不支持 RAPL (Running Average Power Limit)能源性能计数器。因此，用户无法使用标准 perf 工具监控或测量 Arrow Lake U 系统的能源消耗。

添加了对 HEKETI 内核中的内核能源计数器的支持

内核支持 AMD CPU 上的每个内核能源测量。Power Management Unit (PMU)会公开 HEKETIpower_core PMU 和energy-core 事件，以便您可以监控每个 CPU 内核的能源消耗。此增强与 AMD 每个内核能源计数器功能一致。

对 Intel Clearwater Forest 内核计数器的 perf 支持

在此次更新之前，您无法使用 perf core 计数器监控 Intel Clearwater 上的硬件事件。在这个版本中，perf 软件包可识别 Clearwater forest Performance Monitoring Unit (PMU)。它提供命名的核心事件，包括顶级 1 指标，如前端绑定、后端绑定、停用和插槽。perf 还在此微架构上使用基于事件的架构抽样(PEBS)来提供所选事件的低数据抽样。因此，您可以收集核心计数器数据，并对 Clearwater Forest 系统执行顶级分析。

自适应 PEBS 支持在 Intel Panther Lake 上的 perf 中启用计数器快照支持

在此次更新之前，Linux 内核的 perf 工具依赖于基于软件的示例读取来收集性能事件数据，这会在事件溢出后引入小计时和额外的开销。在这个版本中，adaptive PEBS 计数器快照在 Intel Panther Lake CPU 上提供。此硬件功能使内核能够直接捕获可编程计数器、固定功能计数器和性能指标，使用 PEBS 格式版本 6 在 PEBS 记录中直接捕获。

Intel Trace Hub 支持 Intel Panther Lake

在这个版本中，为 Panther Lake 平台(P、H 和 U)添加了 Intel Trace Hub 设备 ID。基于 Panther Lake 的系统可以使用 Intel Trace Hub 功能调试和追踪。

对 Intel Clearwater Forest 的 perf uncore 事件支持

在此次更新之前，Intel Clearwater forest Microarchitecture 不提供非核心事件监控。在这个版本中，perf 软件包支持 Clearwater Forest 系统上的非内核事件监控。因此，您可以在支持的硬件上执行高级性能分析和调试。

Intel Arrow Lake H 微架构支持添加到 swig⁠intel_th⁠

在此次更新之前，Intel Trace Hub 无法识别 Arrow Lake H NPK 设备 ID，这会对使用此硬件的系统进行追踪和调试功能。有了这个更新，Intel Trace Hub 中的 Intel Arrow Lake H 微架构支持 Intel Arrow Lake H microarchitecture。因此，您已在 Arrow Lake H 平台上增强了追踪和调试功能。

在内核中为 Intel Arrow Lake H 启用 perfmon 支持

在这个版本中，内核软件包 在 Intel Arrow Lake H microarchitecture 上为 Core、Uncore、Cstate 和 MSR 功能提供 PerfMon 支持。因此，您可以使用 perf 工具监控和分析特定于 Arrow Lake H 系统的性能指标。

增强了虚拟和云环境中的 pstore 功能

永久保存崩溃和 panic 信息的 pstore 内核功能现在可以在虚拟环境和云平台中使用。在这个版本中，您可以在系统运行时，在没有 efi_ pstore.pstore_disable=0 内核参数的情况下为 pstore 启用 EFI 变量：

rteval 的默认测量模块现在是 rtla timerlat，用于更好地追踪问题延迟

有了这个增强，您应能够轻松识别问题延迟的来源。可以使用 rteval.config 文件选择所需的 cyclictest measurement 模块。

KVM 模块集成到 realtime 内核软件包中

在这个版本中，删除了 RHEL 中 realtime Kernel 的 KVM 模块软件包的生成，与决定为基础 RHEL 使实时内核部署选项保持一致。这个更改简化了部署过程，将 KVM 模块直接集成到 realtime Kernel 软件包中，并消除了单独的 kernel-rt-kvm 软件包。因此，在 RHEL 上部署 realtime 内核时，用户将遇到更加无缝且高效的设置，从而提高了整体用户体验。

内核 支持 Shadow Stack (SHSTK) Ring 3 内核

在此次更新之前，内核软件包 不支持 Ring 3 for x86_64 架构中的 Shadow Stack (SHSTK)。因此，用户空间应用程序可能会容易受到控制劫持攻击的影响。

python-drgn rebase 到版本 0.0.31

python-drgn 已 rebase 到版本 0.0.31。这个版本引进了几个改进和新功能：

crash rebase 到 9.0.0

crash 软件包（为实时系统和各种转储文件提供内核分析工具）已 rebase 到上游版本 9.0.0。此版本提供很多修复和增强，最重要的是：

支持 AMD CPU 的每内核能源跟踪(RAPL perf 事件)

在这个版本中，添加了核心 RAPL 计数器支持。因此，AMD 系统除软件包级别电源信息外还测量核心级别的电源信息。

默认配置现在在 rng-tools中禁用 jitter 熵源

现在，在 rng-tools 中默认禁用 jitter 熵源。现代 CPU 通常提供硬件熵源，大多数虚拟机都将 /dev/hwrng 设备作为虚拟主机中的熵源提供。在这些环境中，jitter 熵源会消耗不必要的 CPU 周期。对于没有硬件熵源的旧硬件，您可以在 /etc/sysconfig/rngd 中明确启用 jitter 熵源。

IBM Power 上现在支持 NVMf-FC kdump

NVMf-FC kdump 现在支持 IBM Power 系统，以运行 kexec-tools。这允许使用 NVMe 存储设备，通过光纤通道网络捕获系统内存转储，以便高速和低延迟访问崩溃转储数据的存储。

通过 Microsoft-signed shim在 aarch64 上启用安全引导

用于 64 位 ARM 架构的 5-4shim 软件包由 Microsoft 签名，以便在信任 Microsoft UEFI CA 的平台上默认启用安全引导。这会使 ARM 引导路径与 x86 一致，并不再需要添加自定义 wagonPK, HEKETIKEK, 或 HEKETIdb 条目。

multipathd 支持基于文件的套接字

在这个版本中，multipathd 守护进程除 abstract 命名空间套接字外，还会侦听基于文件的套接字 /run/multipathd.socket 上的命令。您可以使用新套接字文件的绑定挂载，从容器中与主机的 multipathd 守护进程通信。

默认启用自动 RAID 检查

在这个版本中，raid-check 服务被默认启用。这样可确保 raid-check.service 在系统引导后以调度的间隔自动运行，执行定期 RAID 一致性检查而无需手动干预。

LVM RAID 在多个同时设备失败后修复卷

有了这个增强，您可以使用 lvconvert --repair /dev/VG-name/LV-name 命令重新集成缺少的 RAID 设备回条带 RAID (raid4、raid5 和 raid6)。即使临时缺少的设备数量超过 RAID 级别的容错性，在设备重新应用后，这个修复过程也可以正常工作。请注意，在修复卷之前，您必须卸载并停用卷以及顶部的文件系统。

在 Podman 容器中管理 etcd 的新资源代理可用

在此次更新之前，Red Hat High Availability 不提供用于管理 Podman 容器中运行的 etcd 的资源代理。

Filesystem 资源代理支持 aznfs 文件系统类型

在此次更新之前，要管理集群中的 Azure Network File System 文件共享，您必须使用 fstype=nfs 配置 Filesystem 资源代理。这个方法不支持特定于 Azure 的功能，如 Transit 中的加密。

Oracle Database 23ai 作为集群资源被支持

在此次更新之前，Oracle 数据库资源代理没有经过测试以用于 Oracle Database 23ai 版本。因此，在 Pacemaker 集群中，这个版本不被支持作为高可用性资源。

fence_sbd 代理可以自动检测 SBD 设备

在此次更新之前，在配置 fence_sbd 资源时，您需要使用 devices 参数明确指定 SBD 设备路径。

watchdog 设备列表提供更详细的信息

在此次更新之前，当列出可用的 watchdog 设备时，输出仅显示设备路径，如 /dev/watchdog0。这使得管理员难以区分同一系统上的多个设备。

pcs 在删除最后一个隔离设备前警告用户

在此次更新之前，pcs allowed users to disable or remove the last fence device from a cluster, without a warning.这可能会意外地使集群处于不受支持的状态，而无需配置任何 STONITH 或 SBD 隔离。

pcs node 属性和 pcs node utilization 命令现在支持多种输出格式

在以前的版本中，pcs node 属性和 pcs node utilization 命令仅以人类可读的纯文本格式显示其输出。这个格式不适用于机器解析或轻松复制配置。

pcs alert config 命令现在支持多种输出格式

在以前的版本中，pcs alert config 命令只以人类可读的纯文本格式显示其输出。这个格式不适用于机器解析或轻松复制配置。

pcs 会自动验证 CIB 以了解潜在的问题

在以前的版本中，pcs 工具不会自动在 Cluster Information Base (CIB)上运行高级验证检查。因此，某些集群错误配置可能会在常规操作过程中保持不变。

pcs 为失败的 CIB 更新提供更详细的错误消息

在以前的版本中，当使用 pcs cluster edit 或 pcs cluster cib-push 命令时 CIB 更新失败时，Pacemaker 提供的错误消息是通用的。它没有解释故障的具体原因，这会导致对无效配置进行故障排除。

新的 pcs 命令可用于重命名集群

在以前的版本中，无法使用 pcs 命令更改现有集群的名称。管理员必须执行一系列手动步骤，这些步骤比较复杂，并可能导致错误。

Nutanix AHV 虚拟化的新隔离代理现在可用

在以前的版本中，红帽高可用性附加组件没有为 Nutanix Acropolis Hypervisor (AHV)环境提供专用的隔离代理。

改进了 pcs resource meta 命令，以支持捆绑包，并防止客户机节点错误配置

在以前的版本中，pcs resource meta 命令不支持管理捆绑包资源的 meta 属性。另外，命令不会阻止用户错误地修改客户机节点的连接参数，这可能会导致错误的资源。

IPaddr2 资源代理现在检测到网络链接失败

在此次更新之前，IPaddr2 资源代理不会监控网络接口的链接状态。因此，IPaddr2 资源继续报告节点上的成功，即使底层接口处于 DOWN 或 LOWERLAYERDOWN 状态，从而导致集群在另一个节点上恢复资源。

fence_aws 代理支持立即关闭电源

在以前的版本中，当 fence_aws 代理执行 off 或 reboot 操作时，它会触发实例的安全关闭。这会在隔离过程中引入一个延迟，因为该节点没有立即关闭。

HAProxy rebase 到 2.8

HAProxy 软件包已 rebase 到上游 Long-Term Support (LTS)版本 2.8。这个版本中的显著变化包括：

PostgreSQL 16 提供了 PostGIS 扩展

此功能增强为 PostgreSQL 16 添加了 PostGIS 扩展。借助此扩展，PostgreSQL 支持地理对象，启用对 Geographic Information System (GIS)应用程序的 patial 查询和分析，如关系数据库中的映射、地理位置和距离计算。

glibc 现在支持用于高级调度程序选项的sched_setattr 和 schedsched_getattr

在以前的版本中，autotuneglibc 通过 HEKETI <sched.h > 中定义的功能只提供对一组有限的 Linux 调度程序选项的访问。这限制了使用直接系统调用或 Linux 内核标头访问高级调度功能所需的应用程序。

glibc pthread_gettid_np 函数添加到 libc_nonshared.a

在以前的版本中，没有从 glibc autotunepthread_t handle 获取 Linux 任务或线程 ID (TID)的直接方法。新增的 HEKETIpthread_gettid_np 函数（在定义 HEKETI &lt;pthread.h &gt; 中声明）现在允许需要 TID 的应用程序（如使用 autotunesched_setattr 的应用程序直接从 vmcorepthread_t handle）检索 TID 值。

为 inet_ntop 和 inet_pton 添加了对 inet_ntop 和 inet_pton的 glibc

在以前的版本中，swigglibc API rhacminet_ntop 和 wagoninet_pton 没有包括 Source Fortification 支持，因此编译器无法在运行程序前捕获一些缓冲区错误。

GDB 现在支持 IBM 的 z17 CPU 架构

改进了 HEKETIgdb 软件包，以支持使用 IBM 的 z17 CPU 架构引入的新硬件指令的二进制文件。在这个版本中，开发人员和系统管理员能够调试在 RHEL 9.7 上为最新的 IBM Z 硬件编译的应用程序。

GCC Toolset 15 现已正式发布

在这个版本中，RHEL 9.7 提供了 swiggcc-toolset-15。工具集包括 GCC 和相关实用程序的最新支持版本，使开发人员能够利用最新的编译器技术构建、测试和部署应用程序。

ELFv2 ABI 支持 ppc64le 上的 wagon-fpatchable-function-entry

在以前的版本中，在 swiggcc 中的 rhacm-fpatchable-function-entry 选项不支持 ppc64le 架构的 ELFv2 ABI，这会导致在该 ABI 不正确的位置生成 NOP 指令。这个问题导致在以 ELFv2 为目标时正确使用选项。

llvm-toolset rebase 到 LLVM 20

criullvm-toolset 更新至 LLVM 20，在 C、C++ 和 Rust 工作流之间提供改进的代码生成、性能优化以及扩展语言前端和库支持。此 rebase 协调 RHEL 中的依赖组件，包括为 requires res to annobin, annobin bcc, HEKETIbpftrace, wagonqt5-qttools, 和 rhacmmesa。该构建通过 swigllvm-20.1.8-3.el9 验证。

改进了对使用多个动态链接器命名空间调试应用程序的 _r_debug 扩展支持

HEKETIglibc 软件包现在包含向后移植 _r_debug 扩展，以支持多个命名空间。在以前的版本中，当附加到运行进程或分析内核转储时，如果应用程序使用了带有 busyboxdlmopen 或 audit 模块的多个命名空间，则 GDB 等调试程序将无法显示所有载入的共享对象。

改进了 hmacglibc中的 Exception 处理性能

在此次更新之前，大型应用程序中的异常处理速度很慢，会影响性能，特别是在用户大量或频繁异常的环境中。这是因为 __dl_iterate_phdr 函数中花费的时间，从 _Unwind_Find_FDE 调用。

在内存分配失败时强化 glibc qsort 行为

当内存分配失败时，glibc 软件包的 qsort 和 swig qsort_r 函数使用堆分类回退。这个更改改进了对无效比较功能的处理，并在内存分配失败时提高性能的可预测性。

GDB 被 rebase 到版本 16.3

RHEL 9.7 中的 gdb 更新至版本 16.3 提供了以下显著改进：

现在为全局 GPU 数据收集启用了 AMD GPU pmda

在此次更新之前，RHEL 不提供 AMD GPU PMDA （一个 Performance Co-Pilot 指标代理），因为内核缺少全面支持所需的某些功能。

对 IBM Z z17 的初始支持添加到 wagonglibc

HEKETIglibc 中的动态加载程序被改进，以支持检测 IBM z17 CPU 或其特定功能。因此，在 wagon/usr/lib64/glibc-hwcap/z17/ 目录中安装的任何 IBM z17 优化库都会在 z17 系统上自动加载。这个版本提高了 IBM Z z17 平台的硬件兼容性和性能。

Rust Toolset rebase 到版本 1.88.0

RHEL 9.7 与版本 1.88.0 中的 Rust Toolset 一起发布。这个版本包括以下显著的改进：

tzdata 包括 NEWS 文件

在这个版本中，tzdata 软件包包括其 NEWS 文件以及每个发行版本，以提供时区数据更改的精确描述。因此，您可以详细查看更改。用户可以检查附带的 NEWS 文件，以了解更新中更改的内容。

metrics 角色现在支持 Apache Spark 指标集合和导出

在以前的版本中，用户无法使用 metrics 角色直接收集或导出 Apache Spark 指标。在这个版本中，swigrhel-system-roles 软件包添加了对从 Apache Spark 收集和更新指标的支持。引入了两个新布尔值参数：

ipa-healthcheck 现在会发出与过期证书相关的警告

在这个版本中，ipa-healthcheck 工具评估用户提供的 HTTP、DS 和 PKINIT 证书以进行过期，并在过期日期前提供 28 天警告。这是为了防止证书过期，这可能会导致停机。

ansible-freeipa rebase 到 1.15.1

ansible-freeipa 软件包（提供管理 Red Hat Identity Management (IdM)环境的模块和角色）已从 1.13.2 升级到 1.15.1。更新包括以下功能增强：

IdM 现在支持最多 Linux 最大 UID 限制的 UID 用于旧的系统兼容性

在这个版本中，您可以使用用户和组 ID 最多 4294、967、293 或 2^32-1。这会使 IdM 的最大值与 Linux UID 限制一致，在标准 IdM 范围最多为 2,147,483,647 的个别情况下非常有用。具体来说，它启用了 IdM 部署以及需要完整 32 位 POSIX ID 空间的传统系统。

如果启用了 krbLastSuccessfulAuth，则 Healthcheck 会警告

如果同时验证大量用户，在 ipaConfigString 属性中启用 krbLastSuccessfulAuth 设置可能会导致性能问题。因此，它会被默认禁用。在这个版本中，如果启用了 krbLastSuccessfulAuth，Healthcheck 会显示一条消息，警告可能的性能问题。

IdM-to-IdM 迁移现在可用

IdM-to-IdM 迁移以前作为技术预览提供，现在完全支持。您可以使用 ipa-migrate 命令将所有特定于 IdM 的数据（如 SUDO 规则、HBAC、DNA 范围、主机、服务等）迁移到另一个 IdM 服务器。例如，当将 IdM 从开发或暂存环境移到生产环境中时，这很有用。

samba rebase 到版本 4.22.4

samba 软件包已更新至版本 4.22.4。此版本提供了 bug 修复和增强，最重要的是：

389-ds-base rebase 到版本 2.7.0

389-ds-base 软件包已更新至版本 2.7.0。

dsctl healthcheck 现在会警告在 membership 属性上创建子字符串索引

包含 membership 属性的条目通常是一个具有多个成员的组。当更改值集合时，子字符串索引成本很高，即使对于像删除单个成员这样的小更改。现在，当添加子字符串索引类型时，dsctl healthcheck 会警告有关 membership 属性上子字符串索引成本过高，并显示以下出错消息：

属性唯一插件中的自定义匹配规则用于搜索唯一属性

在这个版本中，在属性唯一配置中，您可以为您要强制唯一性的属性指定匹配的规则。例如，当您想从 大小写准确 或问题单中覆盖属性的语法时，会忽略。

cockpit-session-recording rebase 到 20-1.el9

cockpit-session-recording 软件包（记录通过 Cockpit Web 界面执行的用户会话）被 rebase 到上游版本 20-1.el9。软件包已迁移到 PatternFly 6 用户界面系统设计。

ACME 服务器添加了对 ES256 签名算法的支持

在以前的版本中，自动证书管理环境(ACME)服务器不支持 JSON Web 密钥(JWK)验证的 ES256 签名算法。缺少支持会阻止某些客户端（如 Caddy web 服务器）成功获取证书。

HSM 现在在 IdM 中被完全支持

硬件安全模块(HSM)现在在身份管理(IdM)中被完全支持。您可以在 HSM 上为 IdM 证书颁发机构(CA)和密钥恢复授权(KRA)存储密钥对和证书。这为私钥材料增加了物理安全。

在基于 UBI 的 Toolbox 容器中默认支持 OpenGL 和 Vulkan

OpenGL 和 Vulkan 现在默认在从基于 UBI 的更新的 toolbox 镜像创建的 Toolbox 容器中工作，这与 RHEL Workstation 主机上的行为匹配。这包括 Mesa 提供的免费软件驱动程序，而不包括 NVIDIA 等专有软件驱动程序。

低磁盘空间 通知在 web 控制台中包括挂载点

当多个 卷的名称相同时，低磁盘空间 通知包括挂载点。这个增强减少了特定文件系统需要更多空间的不确定性。

cockpit rebase 到版本 344

cockpit 软件包已更新至版本 344，与 RHEL 9.6 中的版本 334 相比，它提供了很多改进和修复：

新子软件包： cockpit-ws-selinux

cockpit_ws 进程的 SELinux 策略在单独的子软件包 cockpit-ws-selinux 中提供。这可防止 RHEL web 控制台在没有安装 SELinux 的系统中运行时失败，因为软件包管理器会将 selinux_policy 软件包作为依赖项安装。如需更多信息，请参阅系统中的 cockpit_ws_selinux (8) 手册页。

ad_integration RHEL 系统角色可以控制 SSSD 域部分命名并整合重复

在这个版本中，用户可以控制 SSSD 配置文件用于域或域特定设置中使用的部分名称，如 ad_dyndns_update 和 ad_integration_sssd_custom_settings 参数管理。默认情况下，ad_integration 角色使用 ad_integration_realm 变量的小写。但是，如果用户想要使用 ad_integration_realm 的实际情况，用户可以使用一个新的选项 ad_integration_sssd_realm_preserve_case = true 来保留域的情况。这可能会使 SSSD 配置文件保留为 realm 的多个部分。使用新的 ad_integration_sssd_remove_duplicate_sections 设置，将来自多个部分的所有设置整合到所选部分中。因此，ad_integration 系统角色可以正确地管理 SSSD 配置文件中的 domain 和 realm 部分。

journald RHEL 系统角色可以监控磁盘空间

在这个版本中，您可以配置 journald.conf 日志服务中的 SystemKeepFree 选项，来为系统日志设置最大大小。这提高了整体系统稳定性和性能。因此，您可以使用 journald_system_keep_free 变量来配置大小限制。该值以 MB 为单位指定。没有默认值 - 默认情况下，它将使用 journald 默认值。

metrics 角色支持启用额外的 PCP 域

有了这个更新，rhel-system-roles 软件包在 metrics RHEL 系统角色中引入了 metrics_optional_domains 变量。除了由 metrics 角色自动管理之外，用户可以指定要激活的额外 PCP 域列表。因此，用户可以启用他们针对特定用例所需的域，从而提高了数据收集和监控的灵活性。

引入了一个变量 MaxRetention，为 journald 配置最大保留参数

在这个版本中，用户可以为 journald 配置最大保留参数，从而启用基于时间的日志文件删除。此功能增强提供了根据特定数据保留策略管理日志数据的灵活性，允许同时删除基于时间的日志和基于大小的删除。它有助于遵守数据保留要求，并通过防止过量日志存储来提高整体系统性能。

podman 角色生成所有 TOML 兼容配置文件

在此次更新之前，当前的基于 Jinja 的格式器不支持许多 TOML 功能，包括表和内联表，这是配置 podman 的所有方面所必需的。在这个版本中，使用 true TOML 格式而不是简单的 Jinja 模板支持 TOML 的所有功能。因此，podman 角色可以生成任何 podman 可以使用的 TOML 兼容配置文件。

firewall RHEL 系统角色现在支持包括其他服务

在这个版本中，在使用 firewall RHEL 系统角色创建 firewalld 服务定义时，您可以包括其他服务。例如，您可以创建一个包含 http 和 https 服务的服务 webserver。如果您启用 webserver 服务，firewalld 会打开 http 和 https 服务中定义的端口。详情请参阅 使用 firewall RHEL 系统角色创建自定义 firewalld 服务。

在 rhel-system-roles中配置默认内核的功能

在以前的版本中，用户无法指定在系统引导过程中应将哪个内核设置为默认值。这个限制会阻止管理员在自动化过程中轻松管理默认内核选择。

metrics 角色现在支持 Apache Spark 指标集合和导出

在以前的版本中，用户无法使用 metrics 角色直接收集或导出 Apache Spark 指标。在这个版本中，swigrhel-system-roles 软件包添加了对从 Apache Spark 收集和导出指标的支持。引入了两个新布尔值参数：

在使用 rhel-system-roles.timesync 角色时，为 chronyd 服务启用 IPv4 操作

在这个版本中，当节点上禁用 IPv6 时，用户可以自定义 chronyd 配置。增强提供了两个选项：为 timesync 角色添加一个设置来禁用 IPv6，或者传递参数来为 chronyd 设置 OPTIONS 值。这些选项在使用 rhel-system-roles.timesync 角色时，为 chronyd 服务启用 IPv4 操作。这提高了禁用 IPv6 的环境的时间同步准确性和稳定性。

virtio-mem 在 IBM Z 上提供

有了这个更新，virtio-mem 是半虚拟化内存设备，可用于 IBM Z 硬件。通过使用 virtio-mem，您可以在虚拟机中动态添加或删除主机内存。

用于 IBM Z 主机的新命令： virsh hypervisor-cpu-models

这个版本引进了 virsh hypervisor-cpu-models 命令。您可以在 IBM Z 构架中使用这个命令来显示您的 hypervisor 识别的 CPU 型号。

IBM Z 客户机的性能增强 PCI 转换

在这个版本中，IBM Z 主机上的虚拟机可以使用身份映射直接内存访问(DMA)进行 PCI 设备。这个功能显著提高 PCI 设备透传的性能。请注意，要使用这个功能，您的系统必须配置如下：

64 位 ARM 主机上虚拟机的新功能

现在，在使用 64 位 ARM 架构(aarch64)的 RHEL 主机上支持以下功能：

新的 QEMU 配置参数： migrate_tls_priority

在这个版本中，您可以在 /etc/libvirt/qemu.conf 文件中配置 migrate_tls_priority 参数。您可以使用此参数在实时迁移虚拟机时解决 TLS 的 QEMU 问题。要获得推荐的值，如果默认值不适用于您的部署，请联系红帽客户支持。

RHEL 上的 OTel 收集器支持 TPM 设备

RHEL 上的 OpenTelemetry (OTel) Collector 支持 Trusted Platform 模块(TPM)设备。使用此功能，OTel Collector 可以从 TPM 设备读取传输层安全(TLS)证书。

增强了对有资格的 RHEL 镜像的自动注册

在这个版本中，基于符合条件的市场镜像的 RHEL 实例会自动接收来自红帽内容交付网络(CDN)的内容和更新，而不是 Red Hat Update Infrastructure (RHUI)。RHUI 软件仓库默认关闭。

新软件包： azure-vm-utils

这个更新添加了 azure-vm-utils 软件包，它提供了一个实用程序和 udev 规则集合，以优化使用 RHEL 9 作为 Microsoft Azure 上的客户机操作系统的体验。

RHEL 在 Azure 机密虚拟机上提供

您可以使用 RHEL CVM 镜像在 Microsoft Azure 上创建并运行 RHEL 机密虚拟机(CVM)。镜像通过 Azure 中的机密操作系统磁盘加密功能支持完全磁盘加密。

sos 现在收集 Satellite 指标文件以改进支持诊断

sos 的 foreman-installer 插件现在收集位于 /var/lib/foreman-maintain/ 目录中的 satellite_metrics.yml 文件。它可让您了解 Satellite 正在使用哪些功能以及大规模。

RHEL 中正式发布新的 rhel9/valkey-8 容器镜像

新可用的 rhel9/valkey-8 容器镜像允许原子操作，并支持各种数据类型，如字符串、哈希、列表、集合和排序的集合。该镜像提供高性能，因为它的内存中数据集可以保留到磁盘，也可以通过将命令附加到日志中。

改进了对可重复生成的容器构建的支持

可重复生成的构建可确保给定输入集合一致生成相同的输出。此功能增强解决了之前在容器镜像构建中复杂可重复生成的几个因素。虽然 use -source-date-epoch and -rewrite-timestamp 提高了构建的可重复性，并与设置等常见实践一致，如设置和查找 $SOURCE_DATE_EPOCH，但它不能保证完全的可重复性。

Podman RESTFUL API 的新工件端点

Podman RESTFUL API 包括新的工件端点，支持编程管理 OCI 工件。此功能增强简化了将 OCI 工件操作整合到现有系统和脚本中。

Container Tools 软件包已更新

提供了更新的 Container Tools RPM meta-package，其中包括 Podman、Buildah、Skopeo、crun 和 runc 工具。Buildah 软件包已更新至版本 v1.41.0，Skopeo 已更新至版本 1.20.0。

ADD 和 COPY 指令现在支持- -link 选项

Buildah 和 Podman 现在支持 Containerfiles 中的 ADD 和 COPY 指令的-- link 标志，这会导致在构建镜像中添加新内容作为自己的层。

新的容器镜像可用

新容器镜像在红帽生态系统目录中列出：

RHEL 镜像模式支持在运行时创建根目录和符号链接

在这个版本中，您可以使用 RHEL 镜像模式在系统部署后创建根目录和符号链接，然后将文件系统返回到只读模式。因此，您可以在具有不同文件系统要求的多个部署环境中使用单个基础镜像。

bootc-image-builder 默认使用本地容器存储

在这个版本中，bootc-image-builder 工具默认在本地模式下运行，这意味着它不再从远程 registry 中拉取容器镜像。要构建磁盘镜像，您必须在构建磁盘镜像前预加载系统本地容器 registry 中的基本引导容器镜像。如果您有依赖于自动镜像拉取(pull)的现有工作流，您必须更新它们。此更改通过在构建过程中减少外部网络依赖项来提高安全性。

命令行助手支持 RHEL 的镜像模式

有了这个增强，您可以自定义 Containerfile 使其包含 命令行助手 软件包，从容器镜像创建磁盘镜像，并使用该镜像引导系统。因此，系统镜像预安装了命令行助手，您可以在使用 subscription-manager 注册系统后使用它。

命令行助手上下文限制增加到 32KB 的输入

在此次更新之前，命令行助手具有 2KB 的输入上下文限制，从而导致输入超过这个限制时失败。因此，用户体验有限，防止因为 2KB 输入上下文限制而进行彻底的日志分析。在这个版本中，命令行助手输入上下文限制已从 2KB 增加到 32KB。因此，命令行助手现在支持更大的输入上下文，从而提供更好的日志分析和潜在的问题检测。

RHEL Lightspeed 的命令行助手可以更好地处理错误处理和退出代码

有了这个增强，命令行助手可以提供更好的错误处理和退出代码，例如：

命令行 assistant -w 选项显示当前的输出

在此次更新之前，当您试图在没有当前启用捕获模式的情况下使用 -w 选项时，命令行助手会错误地显示之前会话的输出。在这个版本中，终端捕获日志文件会在从 -w 选项输出前主动验证。因此，上面提到的问题已被修复，显示的输出是准确的。

如果存在 VDO 逻辑卷，安装不再会失败

在此次更新之前，当用户在没有 dm_vdo 内核模块的系统上尝试删除预先存在的逻辑卷管理器 Virtual Data Optimizer (LVM VDO)卷时，安装 RHEL 会失败。在这个版本中，当在没有 VDO 支持的系统中删除 LVM VDO 卷时，安装会成功。

安装程序现在遵循 BOOTIF 引导参数

在以前的版本中，RHEL 安装程序会忽略 BOOTIF=<MAC > 引导参数，并激活所有可用的网络接口。在这个版本中，安装程序会正确处理 BOOTIF 参数，并确保在安装过程中只激活指定的网络设备。

SSH 连接失败不再显示详细帮助信息

在此次更新之前，当 SSH 连接失败时，会显示一条有常见 SSH 错误的消息和红帽帮助的链接。因此，错误输出中的帮助信息会破坏用户脚本和自动化。在这个版本中，只有在使用日志级别 debug1 或更高版本运行 SSH 时，帮助信息才会显示。因此，错误输出默认不包含任何意外信息。

Opensc 避免在解引用前释放的内存

在此次更新之前，当 OpenSC 读取公钥时，取消引用会释放成员。这会导致内存中存储的值无法预计的行为。在这个版本中，避免在取消引用前释放内存。因此，OpenSC 可以正确地处理读取公钥。

fapolicyd 不再会导致 RPM 数据库因为重复更新而崩溃

在此次更新之前，当 fapolicyd 处于 enforcing 模式时，重复更新 RPM 数据库会导致总线错误(SIGBUS)，这会导致 RPM 数据库意外终止。在这个版本中，RPM 数据库更新的 fapolicyd SIGBUS保护已被改进。因此，当重复更新启用了 fapolicyd 时，RPM 数据库不再崩溃。

在处理非常规文件时，fapolicyd-cli --file add 不再失败

在此次更新之前，fapolicyd-cli --file add 命令无法将包含非常规文件的目录（如套接字）添加到信任数据库中。在这个版本中，这个问题已被解决，fapolicyd-cli --file add 不再在上述场景中失败。

subscription-manager 不再在终端中保留非必要的文本

从 RHEL 9.1 开始，subscription-manager 在处理任何操作时会显示进度信息。在以前的版本中，对于某些语言（通常为非拉丁语言），在操作完成后不会清除进度消息。有了这个更新，在操作完成后，所有信息都会被正确清除。

dnf download --url 可以正确地报告软件包 URL

在此次更新之前，当您使用 dnf download --url 命令获取软件包 URL 时，DNF 会错误地报告相对于存储库元数据位置的软件包地址，而不是相对于 xml:base 属性。

默认情况下，/var/lib/tftpboot 目录在 Image Mode 部署中创建

在以前的版本中，在 Image Mode 部署中，安装 tftp-server 软件包不会创建 /var/lib/tftpboot 目录。这是因为当将附加软件包添加到现有镜像模式部署时，不会应用 /var 目录的更改。

现在，当您按内存排序进程时，top -u 命令至少显示一个进程

在以前的版本中，当使用 -u < user& gt; 参数执行 top 命令时，用户与运行命令的命令不同时，当 M 键按内存排序时，所有进程都会消失。在这个版本中，当您按内存排序进程时，top 命令至少会显示一个进程。

chronyc reload sources 命令现在可以正确地处理主机名指定的源

在以前的版本中，chronyd 中的 chronyc reload sources 命令会错误地从 chrony.conf 文件中指定的 sourcedir 目录中重新载入源。当主机名解析为多个 IP 地址时，会导致 chronyd 重复源，从而导致源数量意外增加。

如果使用正则表达式匹配配置 DAV 存储库位置，则 httpd 可以正常工作

在以前的版本中，当您使用正则表达式匹配（如 LocationMatch ）在 Apache HTTP 服务器中配置了分布式授权和版本控制(DAV)存储库时，mod_dav httpd 模块无法从路径名称确定存储库的根目录。因此，httpd 无法处理来自第三方供应商的请求，如 Subversion 的 mod_dav_svn 模块。

如果使用正则表达式匹配配置 DAV 存储库位置，则 httpd 可以正常工作

在以前的版本中，如果在 Apache HTTP 服务器中配置了分布式授权和版本控制(DAV)存储库，使用正则表达式匹配（如 LocationMatch ），则 mod_dav 和 httpd 模块无法从路径名称确定存储库的根目录。因此，httpd 无法处理来自第三方供应商的请求，如 Subversion 的 mod_dav_svn 模块。

DBD::MySQL 驱动程序不再无法建立到启用了 caching_sha2_password 的 MySQL 8 服务器的 TLS 加密连接

在以前的版本中，perl-DBD-MySQL 软件包被错误地链接到 libmariadb 库。因此，如果满足以下条件，Perl 应用程序将无法建立连接：

/etc/iproute2/ 中的自定义 iproute2 设置可以正常工作

在以前的版本中，如果您升级到 RHEL 9.6，iproute2 软件包会将默认配置存储在 /usr/share/iproute2/ 目录中。另外，如果您在 /etc/iproute2/ 中有自定义配置，则更新会重命名这些文件并附加 .rpmsave 后缀。因此，自定义设置不再会被应用。如果您更新到 iproute2 软件包的 RHEL 9.7 版本，软件包中的安装脚本将不再重命名自定义配置文件，如果它在 /etc/iproute2/ 中找到带有 .rpmsave 后缀的文件，则脚本会删除此后缀。因此，自定义设置可以按预期工作。

如果您在运行时减少 SR-IOV VF 的数量，内核不再 panic

在以前的版本中，如果应用了以下所有条件，Linux 内核可能会 panic：

xtables 模块现在再次标记为已弃用

在此次更新之前，iptables、ip6tables、arptables、ebtables 和 ip_set 驱动程序被错误地标记为 unmaintained。因此，RHEL 日志记录 了 Unmaintained 驱动程序：< driver> 警告。在这个版本中，上述驱动程序再次标记为已弃用。因此，系统不再报告带有不正确的支持状态的警告。

xdp-loader features 命令现在可按预期正常工作

xdp-loader 工具针对之前的 libbpf 版本进行了编译。因此，xdp-loader 功能 失败，并显示一个错误：

Mellanox ConnectX-5 适配器在 DMFS 模式下工作

在以前的版本中，在使用以太网交换机设备驱动程序模型(switchdev)模式过程中，如果在 ConnectX-5 适配器上的设备管理的流稳定(DMFS)模式下配置，mlx5 驱动程序失败。因此，会出现以下错误信息：

VMware vCenter 现在可以从正在运行的 RHEL 虚拟机中正确地删除 SATA 磁盘

在以前的版本中，当使用 VMWare vCenter 接口从 VMware ESXi hypervisor 上运行的 RHEL 9 客户机中删除 SATA 磁盘时，磁盘不会被完全删除。它停止工作并从 vCenter 界面中的客户机中消失，但 SCSI 接口仍然检测到客户端中附加的磁盘。 在这个版本中，SCSI 接口可以正确地将磁盘显示为分离。

更新了 stalld 调度策略回归以防止性能下降

在此次更新之前，Node Tuning Operator CI 可能会因为停止的调度策略而出现问题。这个更改会导致服务在启动后恢复到 SCHED_OTHER 而不是 SCHED_FIFO。因此，实时工作负载可能会遇到性能下降，您无法合并 PR。在这个版本中，systemd 单元文件将 stalld 优先级设置为 10，确保 stalld 使用 SCHED_FIFO 运行。这会恢复预期的行为，并提高了实时工作负载的性能。

osnoise/cpus 允许设置以逗号分隔的 cpus 列表

在此次更新之前，由于无效的参数错误，您无法在 osnoise/cpus 中设置以长度分开的 cpu 列表。这限制了受影响的延迟调试和故障排除。在这个版本中，您可以在 osnoise/cpus 中输入用逗号分开的 cpu 列表，以增强 RTLA 延迟调试和故障排除。

aarch64 系统上的 irqbalance 服务缓冲区溢出

在以前的版本中，在特定的 aarch64 机器运行时，irqbalance 服务可能会因为缓冲区溢出而崩溃。因此，对延迟敏感的工作负载可能会出现性能下降，因为中断没有在 CPU 之间正确分布。在这个版本中，irqbalance 服务中的缓冲区溢出问题已被修复。

rtla timerlat 在启动时不会重置 osnoise 停止追踪阈值

在此次更新之前，在不清除 stop_tracing 标志的情况下多次使用 rtla timerlat 会使/左 RTLA 处于不一致的状态。因此，当没有通过 -a、-T 或 -i 选项请求停止追踪时，追踪无法正确停止。这会导致报告不准确的数据，因为当 RTLA 不应有时退出。在这个版本中，rtla -timerlat 会重置跟踪变量，防止早期退出，从而改进了程序稳定性。

rtla timerlat 现在在有 100 个 CPU 的系统上处理高频率抽样

在此次更新之前，rtl a timerlat 无法处理带有 100 个句点的计时器样本，或在超过 100 个 CPU 的系统上处理计时器样本，因为 tracefs 缓冲区处理不足。因此，样本被丢弃，timerlat 测量会变得不准确，影响实时性能分析。在这个版本中，timerlat 样本直接在测量 CPU 上收集，从而消除了缓冲区溢出问题。因此，rtla timerlat 在高核计数系统上提供准确的测量，从而启用可靠的实时性能分析。

multipathd 可以使用离线路径监控设备

在此次更新之前，当用户在设备的某些路径处于离线状态时创建多路径设备时，multipathd 守护进程不会监控设备或其路径。因此，如果路径失败，它们永远不会恢复，即使它们再次可用。在这个版本中，multipathd 守护进程会监控多路径设备及其离线路径。multipathd 还会在多路径设备中添加路径（如果它们在线）。

VDO 驱动程序不再会因为空指针解引用而崩溃

在此次更新之前，在特定计时条件下将新和重复数据混合写入到 VDO 设备，则会保留悬停的指针。因此，这会导致一个空指针解引用和系统崩溃。在这个版本中，悬停的指针问题已被修复。因此，VDO 驱动程序会继续运行并保存用户数据。

RHEL 安装程序删除损坏的 LVM 精简卷

在以前的版本中，存在损坏的 LVM 精简卷会导致存储配置错误，阻断安装过程。在这个版本中，RHEL 安装程序会检测到并删除有问题的精简卷。因此，用户不必手动进行安装过程。

当在 /etc/fstab中将 NVMe-FC 设备添加为挂载点时，系统可以正确启动

在以前的版本中，由于 nvme-cli nvmf-autoconnect systemd 服务中的一个已知问题，在将光纤通道上的 Non-volatile Memory Express (NVMe-FC)设备添加为 /etc/fstab 文件中的挂载点时，系统无法引导。因此，系统进入紧急模式。有了此更新，当挂载 NVMe-FC 设备时，系统可以引导，而没有任何问题。

pcs 命令不再因为不正确的大写的 target-role 值而失败

在此次更新之前，如果资源的 target-role meta-attribute 设置为一个没有大写的值，如 stopped，而不是 Stopped，pcs 无法解析集群状态。此解析错误导致 pcs status query resource 命令和删除资源的命令（包括 pcs resource delete ）失败。

fence_ibm_powervs 支持纯文本令牌文件

在此次更新之前，fence_ibm_powervs 代理只能从格式为 JSON 的文件读取身份验证令牌。无法从纯文本文件读取令牌。

带有长启动或停止时间的 systemd 资源会被正确处理

在此次更新之前，Pacemaker 轮询用于带有固定超时的 systemd 资源启动和停止操作的结果。如果资源启动或停止的时间超过这个超时时间，Pacemaker 会错误地将资源标记为失败。

当 quorum 丢失时，Pacemaker 远程节点不再不必要的隔离

在此次更新之前，在某些集群配置中，当其分区丢失仲裁时，Pacemaker 远程节点可以被隔离，即使管理该节点的资源可以在不同的 quorate 节点上安全重启。这个行为会导致 Pacemaker 远程节点上运行的服务不必要的停机时间。

fence_kubevirt 即时关闭节点

在此次更新之前，fence_kubevirt 代理执行节点的正常关闭。这会在隔离过程中引入一个延迟，因为该节点没有立即关闭。

fence_sbd 现在对独立的 SBD 设备失败更具弹性

在以前的版本中，如果一个或多个配置的 SBD 设备失败，则 fence_sbd 代理会退出，并在其操作中失败。这导致隔离操作无法完成，即使其它 SBD 设备健康。

改进了对 glibc中审计模块中的递归 dlopen 调用的支持

在以前的版本中，来自审核员的递归dlopen 调用可能会触发 glibc 的 HEKETIr_state == RT_CONSISTENT 断言失败。因此，当审核员处于活跃状态时，应用程序会意外退出。在这个版本中，动态链路器会在进行 in-progressdlopen 调用过程中报告其内部数据结构的一致性。因此，在更多情况下，支持审核员的递归dlopen 操作。

glibc：在审计模式的早期 TLS 分配过程中应用程序崩溃

在以前的版本中，在审计模式中，与线程本地存储(TLS)管理相关的内部数据结构是在进程启动期间初始化主 wagonrealloc 功能前分配的。因此，当 autotunerealloc 在没有被 autotunemalloc 分配的内存上调用时，应用程序会崩溃。

glibc: ctype.h 宏会在带有多个 libc.so的多线程程序中导致分段错误

在以前的版本中，在由审计创建的二级 C 库副本或 swigdlmopen 创建的二级 C 库副本中，Internal Ctype.h > 的内部状态无法初始化使用 swigpthread_create 创建的线程。因此，在二级线程和命名空间中使用 swig &lt;ctype.h > 功能直接或间接会导致程序崩溃。

glibc 审计日志记录提供完整的对象生命周期跟踪

在以前的版本中，在没有前面的 la_objopen 的情况下，为代理 ld.so 链接映射名为 la_objclose 的 glibc 动态链接器会报告依赖 la_objopen 的工具，以跟踪共享对象。

当在审计模式下运行 glibc 时，某些程序不再崩溃

在此次更新之前，LD_AUDIT 模式中的 glibc 动态链接器可以使用主 调用oc 函数来分配内部数据结构，然后再初始化主 malloc 子系统。因此，当程序启动时，进程可能会在 calloc 函数中意外终止。在这个版本中，重新安排进程启动序列。因此，调用oc 内存分配会在使用内部 malloc 实现切换到主 malloc 功能前进行，该函数会在启动期间使用。因此，如果动态链接程序使用审计模式，则程序不会在 calloc 函数中启动期间崩溃。

glibc 中修复的 stdio 刷新问题

在此次更新之前，当尝试在缓冲的读取后看到正确的位置时，glibc 中的特定 stdio 流可能会失败，返回 EINVAL 而不是预期的 ESPIPE 以获取不可预见的输入。因此，在管道或其他不可预见的描述符上使用 fclose 的应用程序可能会遇到意外错误，从而导致 I/O 清理失败，并导致文件定位行为不一致。

当并行调用 popen 和 fork 时，应用程序不再死锁

在此次更新之前，当在单独的线程中调用 popen 和 fork，当 popen 保存内部 锁定时，子进程可能会继承锁定的状态，如果再次调用 popen，则子进程可能会继承锁定的状态，如果它再次调用 popen。

go-rpm-macros中的 Golist 命令行解析程序

在此次更新之前，Golist 会因为替换命令行解析器而错误地处理某些文件。因此，一些程序无法构建。在这个版本中，原始命令行解析程序会将原始解析程序恢复到 Golist。

ipa-cacert-manage install 现在允许重复的 CA 主题

在以前的版本中，尝试添加具有相同主题的 CA 证书，但使用 ipa-cacert-manage install 的不同私钥会失败，并显示消息 主题公钥信息不匹配，因为 IdM 禁止重复主题。

新创建的用户密码策略会被正确显示

在此次更新之前，Service (CoS)模板中的 cosAttribute 属性具有操作修饰符，而不是 operational -default。因此，当子树和用户密码策略都存在时，pwdpolicysubentry 属性指向子树密码策略，而不是用户密码策略。在这个版本中，CoS 模板使用 operational-default 修饰符。因此，用户策略会被正确显示。

带有 IP 地址通配符的 RootDN Access Control 插件不再失败

在此次更新之前，如果您尝试为 RootDN Access Control 插件配置设置了通配符的 IP 地址，则尝试会失败并显示 Invalid IP 地址 错误。在这个版本中，验证功能已被更新。因此，尝试设置带有通配符的值不再会失败。

Databases 菜单在 Directory Server Web 控制台中按预期打开

在此次更新之前，如果您创建的数据库名称有不正确的后缀语法，则无法在 Directory Server Web 控制台中打开 Databases 菜单，例如，包含 dc= 的名称。在这个版本中，Directory 服务器在后端创建过程中映射树创建失败时使用回滚功能，以防止孤立的后端。因此，Databases 菜单会如预期打开。

添加 nsslapd-referral时目录服务器不再失败

在此次更新之前，当您试图将 Directory 服务器配置为使用引用时，页面搜索结果不正确的处理会导致服务器失败。

当禁用 NDN 缓存时，目录服务器监控信息会如预期提供

在此次更新之前，当禁用规范化 DN (NDN)缓存时，dsconf & lt;instance_name > 监控 dbmon 命令会失败，因为处理后端 get-tree 命令失败。此发行版本添加了一个回滚功能，以防止在后端创建过程中创建树时阻止孤立后端。因此，目录服务器监控信息会如预期返回。

目录服务器可以正确地显示特定节点下的子条目数

在此次更新之前，在导入过程中错误地计算 numSubordinates 和 numTombstoneSubordinates 属性。因此，当您比较特定节点下的子条目数量时，会显示错误的值。

目录服务器 Web 控制台现在显示服务器版本

在此次更新之前，Web 控制台没有在 Server Settings>General Settings​ 中显示服务器版本。在这个版本中，服务器版本会被正确显示。

目录服务器在 NDN 缓存操作过程中不再失败

在此次更新之前，arc-swap 库（在 389-ds-base 的 Rust 依赖项中使用的 arc-swap 库）可能会导致在 NDN 缓存操作过程中在 Directory Server 中失败。在这个版本中，Directory 服务器使用 Rust 依赖项(concread) 0.5.7 的更新版本，它不包含 arc-swap 库。因此，Directory 服务器不再会失败。

目录服务器在嵌套组中正确显示成员资格

在此次更新之前，Directory 服务器在以下情况下在该条目中显示 memberOf 属性的值不正确：

389-ds-base 在 LMDB 离线导入过程中不再失败

在此次更新之前，当 worker 线程在另一个进程完成写入条目前读取条目时，会出现竞争条件。因此，在带有 Lightning Memory-Mapped Database Manager (LMDB)后端的实例上离线导入会导致分段错误。

dsconf 可以正确地返回复制监控信息

在此次更新之前，如果供应商配置了以 0 开始的副本，如 010 或 020，则 dsconf <instance_name> 复制 monitor 命令无法检索延迟或复制状态的信息。

ipa-healthcheck 现在忽略 副本忙 的情况

在此次更新之前，在带有两个供应商的拓扑中，ipa-healthcheck 工具会在供应商从另一个节点接收更新时报告复制协议状态的错误。这是一个标准复制情况，在这个版本中，ipa-healthcheck 在副本忙碌时不再报告错误。

目录服务器在只读模式下正确启动

在此次更新之前，如果您配置了只读模式，目录服务器不会启动。在这个版本中，nsslapd-readonly 属性会被正确处理，服务器会如预期以只读模式启动。

过时的 /var/log/tallylog 日志文件创建已删除

在此次更新之前，pam.conf 文件中的过时配置会导致创建 /var/log/tallylog 文件。由于系统现在使用 pam_faillock （它取代了过时的 pam_tally ），因此不再需要 /var/log/tallylog 文件。

默认 GDM 会话定义不再覆盖自定义定义

在此次更新之前，/usr/ 目录中的 GNOME 显示管理器(GDM)会话的优先级高于 /etc/ 中的会话。因此，/usr/ 中的自定义会话定义将覆盖 /etc/ 中的自定义会话定义。在这个版本中，/etc/ 的会话具有更高的优先级。因此，自定义定义优先级可以正常工作，如 GDM Session Configuration 中定义的。

encryption_key 不再被屏蔽

在此次更新之前，encryption_key 参数被错误地标记为 no_log。这会导致密钥文件路径被占位符字符串替代，从而导致磁盘加密正常工作。在这个版本中，encryption_key 参数不再标记为 no_log 标志，您现在可以成功使用密钥文件执行磁盘加密。

RAID 现在报告无效或不支持的配置的明确错误

在此次更新之前，可以指定无效的 RAID 级别或磁盘不足，而不会造成明显错误。这会导致阵列创建失败或不一致。因此，错误消息不明确，RAID 设置不太可靠。在这个版本中，RAID 参数会在阵列创建前验证，并强制使用最小磁盘计数。因此，会引发清晰的错误，并尝试创建带有没有磁盘不足的 RAID 被阻止。

LVM RAID 现在支持加密和分区的设备

在此次更新之前，LVM RAID 代码假设 raid_disks 中指定的磁盘是所有 LVM RAID 设置的 PV 的父设备。这不适用于加密或分区的设备。因此，当加密 LUKS 层添加了一个额外的存储层时，或者在没有父设备的情况下使用直接分区时出现错误。在这个版本中，LVM RAID 中的 PV 解析被改进来支持加密和分区的设备。现在，您可以指定 PV 分区而不是底层磁盘。

较小的卷大小不匹配不再导致角色报告不正确

在此次更新之前，当创建或重新定义卷的大小时，系统最多允许达到请求大小和实际大小之间的 2% 的不同。这种调整使卷适合可用的池可用空间。因此，当角色再次运行时大小不匹配，从而导致角色错误地假设内容已更改。在这个版本中，小大小差异不再导致角色错误解析更改。现在，该角色会报告正确的状态。

如果禁用了 IPv6 接口，postfix RHEL 系统角色会自动探测

默认 postfix 配置使用 inet_interfaces = localhost 设置，它会告知 postfix 侦听解析到 localhost 的所有接口，包括 IPv4 和 IPv6 接口。在此次更新之前，如果主机上禁用了 IPv6，则会出现问题。在这种情况下，postfix 角色及其命令行工具（如reply ）会返回错误。整个角色都失败。在这个版本中，该角色确定是否禁用了 IPv6。如果是这样，它会设置 inet_protocols = ipv4，以便 postfix 仅使用 IPv4 接口。因此，postfix 角色也可以工作，即使禁用 IPv6。

timesync RHEL 系统角色不再从 /etc/sysconfig/chronyd中删除 OPTIONS="-F 2" 默认设置

在此次更新之前，timesync 系统角色使用 "" 替换 chronyd 服务的默认 OPTIONS= 设置。因此，这删除了默认的 OPTIONS="-F 2" 设置，这弱了 chronyd 的安全性。在这个版本中，-F 2 被添加为 OPTIONS 的默认设置，用户可以覆盖或扩展此设置。因此，timesync 角色现在应用正确的安全设置，同时仍然允许用户自定义。

改进了使用 swigrhel-system-roles中的值删除内核选项

在以前的版本中，当用户只提供密钥时，无法删除指定为 key=value 的内核引导选项，从而导致持久不需要的引导参数，按名称管理内核选项。在这个版本中，在 swigmod_boot_args 函数中的正则表达式已被更新，以正确匹配并删除内核选项，并添加了自动测试以验证正确的行为。

GSSAPIIndicators 添加到 sshd 角色

新的配置选项 GSSAPIIndicators 被添加到 RHEL 10 中，用于设置通用安全服务应用程序编程接口(GSS-API)。在这个版本中，在 sshd RHEL 系统角色中添加了 GSSAPIIndicators 配置选项。因此，您可以使用 RHEL 系统角色在 RHEL 10 系统上配置 GSSAPIIndicators。

bootloader 角色拒绝布尔值或 null 类型值

在此次更新之前，用户可以指定值（如 value: on 或 value: yes ）的值，它们会被转换为字符串 "on" 或 "yes "。但是，YAML 将它们视为 YAML bool 类型，并将其写为字符串 "True "。因此，不知道 YAML 布尔值处理的用户无法设置值，如 "on" 或 "off "。在这个版本中，引导装载程序 RHEL 系统角色会拒绝布尔值或 null 类型的值。因此，用户必须输入这样的 YAML 布尔值类型值，以带引号字符串将它们写入引导装载程序配置。readme 使用此信息更新。

当解析 Alias 值时，sudo 角色不再挂起

在此次更新之前，sudo RHEL 系统角色中的 regex 不考虑该 Alias 值，如 Cmnd_Alias，不必在等号 = 一侧有空格。因此，正则表达式永远不会被终止，角色似乎挂起。在这个版本中，角色确保 regex 符合 sudoers 文件规格中字段的 eBNF 定义。因此，Alias 值会被正确解析，并且没有空格 =。

指定多个用户不再会导致资源与错误的用户关联

在此次更新之前，用户数据会因为管理多个用户时混合使用 __podman_user 和 __podman_user _home_dir 变量值的事实和变量而发生。因此，用户数据会在多个用户间混合，从而导致每个用户使用不正确的配置文件。在这个版本中，通过避免 __podman_user 和 __podman_user _ home_dir 的组合和变量来维护 用户数据分离。因此，用户数据会隔离给多个用户，从而提高资源管理一致性。

SELinux 角色不再因为 Ansible 检查模式下未定义的 tempdir 路径而生成错误

在此次更新之前，在 Ansible 检查模式中没有定义 tempdir 路径，__selinux_item.path 可以是 undefined。因此，当以检查模式运行时，selinux RHEL 系统角色会生成各种变量未定义的错误。在这个版本中，角色会跳过需要定义 tempdir.path 的任务，并可以处理变量未定义的情况。因此，该角色可在检查模式中正常工作。

确保 ha_cluster RHEL 系统角色需要 /var/lib/pcsd 目录

在此次更新之前，/var/lib/pcsd 目录是在安装过程中创建的，但更新的版本依赖 systemd 服务在 pcsd 服务启动时创建这个目录。因此，当角色尝试访问它时，该目录可能不存在，从而导致执行错误或失败。

使用 redhat.rhel_system_roles 集合不再显示有关不兼容 Ansible 版本的警告

在此次更新之前，redhat.rhel_system_roles 集合在 meta/runtime.yml 文件中指定 {{requires_ansible: ">=2.15.0"}}，但 RHEL 9 包含 ansible-core 2.14。因此，如果您在 playbook 中使用了集合，Ansible 会显示一个 Collection redhat.rhel_system_roles 不支持 Ansible 版本 2.14.x 警告。在这个版本中，更改了 meta/runtime.yml 文件，以使用 {{requires_ansible: ">=2.14.0"}}。因此，集合不再显示警告。

SELinux 角色永久设置内核 SELinux 参数

在此次更新之前，selinux RHEL 系统角色不会在更改 SELinux 状态和禁用时设置 kernel SELinux 参数。因此，SELinux 状态更改在重启后不会被保留。在这个版本中，确保在角色将 SELinux 状态更改为 disabled 时正确设置了 kernel SELinux 参数。因此，SELinux 状态会更改为，重启后从 disabled 会被保留。

systemd 角色使用文件 basename 构造到目的地的路径

在此次更新之前，如果用户在嵌套目录中指定了文件或模板源，systemd RHEL 系统角色将使用整个路径而不是目标文件的 basename。因此，文件和模板放置在目的地的同一目录结构中，systemd 不支持它。在这个版本中，该角色将 basenames 用于嵌套目录中的目标文件。因此，用户可以使用带有角色的嵌套目录。

在 ad_integration 角色中引入了软件包安装的灵活性

在以前的版本中，ad_integration 角色总是会尝试安装所需的软件包，如 realmd、sssd-ad、adcli 以及 __ad_integration_packages 中列出的更多内容。在外部系统处理软件包管理的环境中，例如，通过此角色之外的配置管理、预先获取的镜像或不可变系统，这一步是冗余且不可取的。

qdevice 守护进程现在在证书更改后自动重启

在以前的版本中，在更新用于仲裁设备守护进程(qnetd)和集群节点(qdevice)之间的通信后，qdevice 守护进程不会自动重启。守护进程将继续使用旧证书，从而导致与仲裁设备的通信失败。

ha_cluster RHEL 系统角色现在可以与配置了系统范围的 HTTP 代理一起工作

在以前的版本中，当配置了系统范围的 HTTP 代理时，ha_cluster RHEL 系统角色会错误地尝试通过 unix 套接字与 pcsd 守护进程进行本地通信。这会导致角色失败。

网络 RHEL 系统角色不再显示错误，因为路由规则验证不正确

在此次更新之前，network RHEL 系统角色中的验证部分会错误地检查顶层 NM 模块中的路由规则属性，而不是 NM.IPRoutingRule 类。这会导致验证失败，角色显示错误。在这个版本中，该角色正确使用 API，不再显示不正确的验证错误。

布尔值选项值在 TOML 文件中正确呈现

在以前的版本中，布尔值选项被错误地处理，因为 formatter 代码没有将布尔值转换为正确的字符串表示。在这个版本中，布尔值会被正确转换为小写字符串，确保 TOML 文件中的正确渲染和处理。

布尔值选项可以在 TOML 文件中正确写入和处理

在此次更新之前，布尔值选项没有被正确处理，因为格式的代码没有将布尔值转换为正确的字符串表示。

在管理身份验证和配置文件时，podman RHEL 系统角色不会报告 changed: true

在此次更新之前，如果在管理身份验证和配置文件时，podman RHEL 系统角色都会更改父路径模式，因为它为各种配置和身份验证文件的通用父路径使用两种不同的模式。

Podman 角色不会失败并显示 UNREACHABLE 错误

在以前的版本中，在为非 root 用户禁用 linger 时，podman 角色无法等待用户状态处于关闭状态。然后，podman 角色重启 systemd-logind 以强制其取消。在某些系统上，这启动一个计时器来终止 root 会话，从而导致 sshd 会话终止，Ansible play 会失败，并显示 UNREACHABLE 错误。

network RHEL 系统角色现在使用更强大的接口识别方法

在此次更新之前，当为网络接口提供了接口名称和 MAC 地址时，验证过程会执行两个独立的查找：一个用于使用接口名称，另一个使用 MAC 地址。这可能会导致验证失败，因为 MAC 地址的查找可能与接口的当前 MAC 地址而不是其永久硬件 MAC 地址匹配。

systemd 角色取消掩码，并在一次运行时启动单元

在此次更新之前，systemd RHEL 系统角色无法在单元被屏蔽时启用并启动服务，因为角色无法首先取消屏蔽单元。因此，用户必须运行角色两次。在这个版本中，systemd 角色可以正确地取消掩码并启动服务，从而消除了重复运行的需求。

在使用 AMD SEV-SNP 的虚拟机中本地 kdump 不再失败

在此次更新之前，使用具有安全嵌套的 Paging (SNP)功能的 AMD Secure Encrypted Virtualization (SEV)功能的 RHEL 10 虚拟机(VM)上本地 kdump 会失败。因此，您无法在启用了 AMD SEV-SNP 的虚拟机上捕获内核崩溃转储。

对于 虚拟机迁移，--migrate-disks-detect-zeroes 选项不再失败

在此次更新之前，在 RHEL 10 上迁移虚拟机(VM)时，--migrate-disks-detect-zeroes 选项可能无法正常工作，且迁移可能已在指定磁盘上没有零块检测。这个问题是由 QEMU 中存在一个错误造成的，其中镜像作业依赖于 punching 漏洞，从而导致稀疏目标文件。

没有配置 discard_granularity 时，发送错误校准的丢弃 I/O 请求不再暂停

在此次更新之前，主机内核失败丢弃 I/O 请求，QEMU 使用 werror= policy 参数响应这样的故障。当 werror 设置为 stop:werror=stop 时，失败的丢弃请求会导致虚拟机(VM)暂停。因此，无法更正这种情况，然后再次恢复虚拟机。

当访问使用多个打开文件的共享目录时，virtiofsd 不再崩溃

在此次更新之前，当从虚拟机(VM)访问大量打开文件的 virtiofs 共享目录时，操作可能会失败，并显示以下错误： Too many open files, 和 virtiofsd 进程崩溃。

在 ESXi 上自定义 RHEL 9 客户机不再会导致网络问题

在以前的版本中，在 VMware ESXi hypervisor 中自定义 RHEL 9 客户机操作系统无法使用 NetworkManager 密钥文件正常工作。因此，如果客户机使用这样的密钥文件，它有不正确的网络设置，如 IP 地址或网关。这个问题现已解决，NetworkManager 密钥文件不再在上述场景中造成网络问题。

安装程序显示要在虚拟机上安装 RHEL 的期望的系统磁盘

在以前的版本中，当使用 virtio-scsi 设备在虚拟机上安装 RHEL 时，这些设备可能会因为 device-mapper-multipath 错误而不会出现在安装程序中。因此，在安装过程中，如果某些设备设置了串口，而有些设备没有，则 multipath 命令会声明所有具有串口的设备。因此，安装程序无法在虚拟机中找到要安装 RHEL 的期望的系统磁盘。

在据有 AMD EPYC CPU 的主机上进行 v2v 转换后，Windows 客户机可以更可靠地启动

在使用 virt-v2v 工具转换使用 Windows 11 或 Windows Server 2022 作为客户机 OS 的虚拟机(VM)后，之前的虚拟机无法引导。这在使用 AMD EPYC 系列 CPU 的主机上发生。现在，底层代码已修复，在上述情况下，虚拟机按预期引导。

nodedev-dumpxml 可以正确列出某些介质设备的属性

在此更新前，nodedev-dumpxml 工具无法正确列出使用 nodedev-create 命令创建的介质设备的属性。这个问题已被解决，nodedev-dumpxml 现在可以正确地显示受影响的介质设备的属性。

重启 virtqemud 或 libvirtd 后，现在可以附加 virtiofs 设备

在以前的版本中，重启 virtqemud 或 libvirtd 服务会阻止 virtiofs 存储设备附加到主机上的虚拟机(VM)。这个 bug 已被解决，您现在可以在上述场景中附加 virtiofs 设备。

blob 资源现在可正确用于 IBM Z 上的 virtio-gpu

在以前的版本中，virtio-gpu 设备与 IBM Z 系统上的 blob 内存资源不兼容。因此，如果您在 IBM Z 主机上配置了一个带有 virtio-gpu 的虚拟机(VM)，以使用 blob 资源，则虚拟机没有任何图形输出。

重新安装 virtio-win 驱动程序不再导致 DNS 配置在客户机上重置

在使用 Windows 客户机操作系统的虚拟机(VM)中，重新安装或升级网络接口卡(NIC)的 virtio-win 驱动程序之前会导致客户机中的 DNS 设置重置。因此，在某些情况下您的 Windows 客户机会丢失网络连接。

VNC viewer 在实时迁移 ramfb 后可以正确地初始化虚拟机显示

这个更新增强了 ramfb 帧缓冲设备，您可以将其配置为虚拟机(VM)的主显示。在以前的版本中，无法迁移 ramfb ，这导致使用 ramfb 的虚拟机在实时迁移后显示白屏。现在，ramfb 与实时迁移兼容。因此，在迁移完成后，您可以看到 VM 桌面显示。

使用 KVM 虚拟化的嵌套虚拟机和 OVMF 现在在使用 AMD EPYC 处理器时在 Azure 或 Hyper-V 上成功引导

在以前的版本中，当在使用 AMD EPYC 处理器的 Microsoft Azure 或 Hyper-V 的 RHEL 虚拟机上运行时，使用 Open Virtual Machine Firmware (OVMF)的嵌套虚拟机(VM)无法引导。VM 使用以下日志消息引导失败：

coredump 插件现在可以正确地限制收集的 coredump 文件数量

在以前的版本中，coredump 插件收集 coredumpctl 转储 输出，这可能会导致不必要的大型归档。在这个版本中，插件默认为收集三个最新的 coredump 文件。另外，插件将继续提供来自 coredumpctl info 的摘要信息，并包括帮助将收集的转储映射到其相应的元数据条目的符号链接。

sos report 中的插件选项覆盖不再禁用 /etc/sos/sos.conf 或 preset 中配置的不相关的选项

在以前的版本中，当使用指定特定插件设置的 a -k 选项执行 sos report 命令时，sos 工具会错误地忽略 /etc/sos/sos.conf 或 preset 中定义的其他有效插件选项。这导致场景，尽管在配置文件 [plugin_options] 部分或预先设置的 [plugin_options] 部分中正确配置了全局设置或用户定义的预设置。

sos-audit 软件包现在包含所需的 GPLv2 LICENSE 文件

在以前的版本中，虽然 sos-audit 软件包始终是 sos 项目的一部分，而从包含许可证的同一 SRPM 构建时，生成的 sos-audit RPM 软件包可以与主 sos RPM 分开安装。这意味着，只有 sos-audit 子软件包的用户无法找到许可证可用。这会破坏到 RHEL 8 和 RHEL 9 中的当前版本的 sos-audit 版本。

iSCSI 插件不再收集 sosreport 中的纯文本 CHAP 凭证

在以前的版本中，在生成导致安全风险的报告时，sos 中的 iscsi 插件以明文形式收集敏感 CHAP 身份验证凭据。在这个版本中，iscsi 插件已被修改为模糊敏感字段，确保 CHAP 用户名和密码在收集的输出中被重新设计或排除。

THP 插件现在可以收集完整的配置来准确反映 Transparent Huge Pages 状态

在以前的版本中，sos 的内存插件只收集 /sys/kernel/mm/transparent_hugepage/ 的 启用 的文件，以确定 Transparent Huge Pages (THP)的状态。但是，最近的内核行为更改使这种方法不足。例如，当 shmem_ enabled 设为 [always] 时，可以把 enabled 设置为 [never]，从而导致 THP 在禁用时为共享内存片段处于活跃状态。

现在默认禁用每个用户 SSH 配置

在以前的版本中，sos 中的 ssh 插件默认从所有本地用户 .ssh 目录中收集详细信息。这会导致执行时间较长，特别是在有大量本地用户的环境中。在这个版本中，ssh 插件不再默认收集每个用户 .ssh 配置数据。要捕获用户配置，请通过设置 ssh.userconfs=on 来显式启用它。

sos 4.10 版本中的 sos collect 命令不再生成 xz/bz2 tar 归档

在此次更新之前，sos collect 命令会返回一个压缩的 tar 存档，如 tar.xz 或 tar.bz2。在这个版本中，sos collect 会生成解压缩的 tar 归档而不是压缩 tar 归档，从而节省时间和资源。

podman events 命令的事件日志现在可用

在以前的版本中，journald 驱动程序中的错误阻止网络事件属性保留，因此这些事件不会包含在日志中。在这个版本中，podman 事件 会显示 network create 和 network rm 事件。

现在可以为使用模式为 0755 的挂载目标创建父目录

在这个版本中，由于在 quay.io/buildah/stable:v1 v1.41.3 中处理-- mount 参数权限的修改而发生构建失败。在以前的版本中，将 UID 指定为参数会导致 secret 的权限不正确。因此，因为 buildah 更新后的权限不正确，用户无法访问构建 secret。

当您尝试删除不存在的 chat 历史记录时，命令行助手会显示有意义的错误消息

在此次更新之前，用户可以在不收到错误消息的情况下删除不存在的 chat 历史记录。此功能增强针对这种情况实现错误消息。

在未命名的 chat 中添加描述会触发警告

在此次更新之前，如果您在 chat 中添加了一个描述，但没有为 chat 指定名称，则不会显示错误消息，也不会显示带有自定义描述的聊天。在这个版本中，命令行助手在这样的情形中会显示警告。

c 历史记录 默认显示完成历史记录

在此次更新之前，在没有返回任何选项的情况下运行 c history 命令不会返回历史记录，从而导致用户造成混淆。在这个版本中，添加了 for- all 的默认选项。因此，您可以使用单个命令轻松查看所有历史记录： c history。

命令行助手不再显示无效查询的错误

在此次更新之前，响应中终端输出的不正确数据结构会导致用户查询无法处理错误消息。在这个版本中，chat 接口的终端输出结构已被主动解决，防止命令行助手来显示无效的查询请求的错误，从而提高您的用户体验。

在终端重启后，交互式 shell 可以正确启动

在此次更新之前，用户的 .bashrc 文件不包含对 .bashrc.d 目录的引用，阻止 source 命令查找 CLA 集成脚本。因此，用户无法访问交互式 shell。在这个版本中，添加了一个检查以确保载入 shell 集成所需的文件。因此，交互式 shell 会在终端重启时启动。

后端超时在 query.py中可以正常工作

在此次更新之前，在 query.py 脚本中扩展后端超时无法正常工作。脚本会继续每 30 秒生成超时消息，因为内部超时默认保留在 30 秒。在这个版本中，您可以通过在 /etc/xdg/command-line-assistant/config.toml 文件中配置它，将后端超时扩展到适合任何值，从而改进响应时间。

cla chat 在没有参数运行时会显示帮助

在此次更新之前，在不提供额外的输入的情况下使用 cla chat 会导致用户混淆，因为它们预期的交互式 AI 帮助，但没有收到响应。在这个版本中，当您使用 cla chat 不带参数时，命令行助手将提供帮助并指示其他输入，从而提高您在 CLA 的交互模式的用户体验。

用于 RHEL 安装的通过 TCP 的 NVMe 现在作为技术预览提供

有了这个技术预览，您现在可以在配置固件后，使用通过 TCP 的 NVMe 卷来安装 RHEL。从 Installation Destination 屏幕添加磁盘时，您可以在 NVMe Fabrics Devices 部分下选择 NVMe 命名空间。

可引导 OSTree 原生容器的安装现在作为技术预览提供

ostreecontainer Kickstart 命令现在在 Anaconda 中作为技术预览提供。您可以使用此命令从封装在 OCI 镜像中的 OSTree 提交安装操作系统。在执行 Kickstart 安装时，以下命令与 ostreecontainer 一起提供：

在 Anaconda 中通过 bootupd / bootupctl 的引导装载程序安装和配置现在作为技术预览提供

因为 ostreecontainer Kickstart 命令现在在Anaconda 中作为技术预览提供，因此您可以使用它来从封装在 OCI 镜像中的 OSTree 提交安装操作系统。Anaconda 通过包含在容器镜像中的 bootupd/bootupctl 工具自动安排一个引导装载程序安装和配置，即使 Kickstart 中没有明确的引导装载程序配置。

s390x 上的基于容器的部署现在作为技术预览提供

RHEL 安装程序现在支持使用 ostreecontainer Kickstart 命令作为技术预览在 s390x 架构上部署可引导容器。此功能增强删除了以前的限制，并确保在支持的构架中保持一致的部署选项。用户现在可以使用基于容器的工作流在 s390x 系统上自动安装。

RHEL 中加密的 DNS 作为技术预览提供

您可以启用加密的 DNS 来保护使用 DNS-over-TLS (DoT)的 DNS 通信。加密的 DNS (eDNS)加密所有端到端的 DNS 流量，且不回退到不安全的协议，并与零信任架构(ZTA)原则保持一致。

新软件包： fips-provider-next （技术预览）

作为技术预览，这个更新添加了一个新的 FIPS 供应商，它会在获取 FIPS 认证前展示将来的代码。

gnutls 现在使用 kTLS 作为技术预览

更新的 gnutls 软件包可以将内核 TLS (kTLS)作为技术预览，来在加密通道上加速数据传输。要启用 kTLS，请使用 modprobe 命令添加 tls.ko 内核模块，并使用以下内容为系统范围的加密策略创建一个新的配置文件 /etc/crypto-policies/local.d/gnutls-ktls.txt ：

OpenSSL 客户端可以使用 QUIC 协议作为技术预览

OpenSSL 可以在带有 rebase 到 OpenSSL 版本 3.2.2 的客户端上使用 QUIC 传输层网络协议作为技术预览。

io_uring 接口作为技术预览提供

io_uring 是一个新的有效的异步 I/O 接口，现在作为技术预览提供。默认情况下禁用此功能。您可以通过将 kernel.io_uring_disabled sysctl 变量设置为以下值之一来启用这个接口：

作为技术预览，FDO 现在提供和查询来自 SQL 后端的所有者凭证

有了这个技术预览，FDO manufacturer-server、onboarding-server 和 rendezvous-server 可用来存储和查询来自 SQL 后端的所有者凭证。因此，您可以在 FDO 服务器选项中选择 SQL 数据存储，以及凭证和其他参数，来存储所有者凭证。

RHEL 9.7 在 aarch64 上作为技术预览提供

RHEL 9.7 为 64 位 ARM 架构(aarch64)引入了 Relax 和 Recover (ReaR)软件包作为技术预览。ReaR 是一个灾难恢复工具，它会生成一个可引导镜像，可用于从备份中恢复系统。目前，您可以在 aarch64 上使用带有 ReaR 的以下输出方法：ISO、USB 和 PXE。

libabigail ：灵活的阵列转换警告抑制，作为技术预览提供

作为技术预览，当比较二进制文件时，您可以使用以下抑制规范抑制与转换为 true 灵活数组的假灵活数组相关的警告：

将 IPsec 封装卸载到 NIC 现在作为技术预览提供

此更新向内核添加了 IPsec 数据包卸载功能。在以前的版本中，只能将加密卸载到网络接口控制器(NIC)。有了此增强，内核现在可将整个 IPsec 封装过程卸载到 NIC，以减少工作负载。

KTLS 作为技术预览提供

在 RHEL 中，内核传输层安全(KTLS)作为技术预览提供。KTLS 使用内核中的对称加密或者解密算法为 AES-GCM 密码处理 TLS 记录。KTLS 还包括将 TLS 记录加密卸载到提供此功能的网络接口控制器(NIC)的接口。

systemd-resolved 服务作为技术预览提供

systemd-resolved 为本地应用程序提供名字解析。该服务实现了缓存和验证 DNS stub 解析器、链接本地多播名称解析(LLMNR)和多播 DNS 解析器和响应程序。

NetworkManager 和 Nmstate API 支持 MACsec 硬件卸载

如果硬件支持此功能，您可以使用 NetworkManager 和 Nmstate API 启用 MACsec 硬件卸载。因此，您可以将 MACsec 操作（如加密）从 CPU 卸载到网络接口控制器。

NetworkManager 启用配置 HSR 和 PRP 接口

High-availability Seamless Redundancy(HSR)和 Parallel Redundancy Protocol(PRP)是网络协议，它们针对任何单个网络组件故障提供无缝故障转移。这两个协议对应用程序层都是透明的，这意味着用户在通信过程中不会遇到任何中断或任何数据丢失，因为主路径和冗余路径之间的切换发生的很快，且用户不知道。现在，可以通过 nmcli 工具和 DBus 消息系统，使用 NetworkManager 服务启用和配置 HSR 和 PRP 接口。

数据包卸载模式中的 UDP 封装现在作为技术预览提供

使用 IPsec 数据包卸载，内核可以将整个 IPsec 封装过程卸载到 NIC，以减少工作负载。有了此更新，当处于数据包卸载模式时，数据包卸载已通过支持 ipsec 隧道的用户数据报协议(UDP)封装得到了改进。

Soft-iWARP 驱动程序作为技术预览提供

软硬件硬件(siw)是一种软件，互联网是 RDMA 协议(iWARP)，适用于 Linux 的内核驱动程序。soft-iWARP 通过互联网协议(TCP/IP)网络堆栈实施 iWARP 协议套件。这个协议套件在软件中完全实现，不需要特定的远程直接内存访问(RDMA)硬件。Soft-iWARP 使具有标准以太网适配器的系统连接到 iWARP 适配器或安装了 Soft-iWARP 的其他系统。

TuneD 的套接字 API 作为技术预览提供

通过 UNIX 域套接字控制 TuneD 的套接字 API 现在作为技术预览提供。套接字 API 将一对一与 D-Bus API 映射，并为 D-Bus 不可用的情况提供替代通信方法。通过使用套接字 API，您可以控制 TuneD 守护进程来优化性能，并更改各种调优参数的值。套接字 API 默认被禁用，您可以在 tuned-main.conf 文件中启用它。

rvu_af,rvu_nicpf 和 rvu_nicvf 作为技术预览提供

对于 Marvell OCTEON TX2 Infrastructure Processor 系列，以下内核模块作为技术预览提供：

IPv6 上的段路由(SRv6)作为技术预览提供

RHEL 内核将 IPv6 (SRv6)上的段路由作为技术预览提供。您可以使用此功能来优化边缘计算中的流量流，或提高数据中心中的网络可编程性。但是，最重要的用例是在 5G 部署场景中的端到端(E2E)网络分片。在这个领域中，SRv6 协议为您提供了可编程自定义网络分片和资源保留，以解决特定应用程序或服务的网络要求。同时，解决方案可以部署到单一用途设备上，并且满足较小的计算占用的需求。

KTLS 已更新至版本 6.12

内核传输层安全(KTLS)功能是一个技术预览。在 RHEL 9.6 中，我们将 kTLS 更新至 6.12 上游版本。

PRP 和 HSR 协议现在作为技术预览提供

这个更新添加了提供以下协议的 hsr 内核模块：

python-drgn 作为技术预览提供

python-drgn 软件包提供了一个高级调试工具，其强调了可编程性。您可以使用其 Python 命令行界面来调试实时内核和内核转储。另外，python-drgn 为您提供了脚本功能，来自动化调试任务，并对 Linux内核 进行复杂的分析。

IAA 加密驱动程序现在作为技术预览提供

Intel® In-Memory Analytics Accelerator(Intel® IAA)是一个硬件加速器，其与原始分析功能一起提供非常高的吞吐量压缩和解压缩。

RHEL 内核的 Neural Processing Unit (NPU)内核在基于 Intel Arrow Lake 的系统上作为技术预览提供

在 RHEL 9.6 中，内核引入了 Neural Processing Unit (NPU)作为技术预览。NPU 是特殊的芯片，用于系统上智能(AI)和机器学习(ML)任务。RHEL 9.6 中的内核包括 Intel NPUs 的初始驱动程序和支持基础架构，需要使用 NPUs 进行 AI/ML 任务。

ARM64 上的 Red Hat Enterprise Linux for Real Time 现在作为技术预览提供

有了此技术预览，现在为 ARM64 启用了 Red Hat Enterprise Linux for Real Time 。在 ARM (AARCH64)上为 4k 和 64k ARM 内核启用了 ARM64 。

从 NVMe/TCP 引导作为技术预览提供

在通过 NVMe-TCP 从 SAN 引导的系统上，您可以使用 kdump 将崩溃转储写入 NVMe 命名空间。在这个版本中，当 kdump 尝试转储到 NVMe 命名空间时，会出现失败。因此，这些系统上 panic 转储成功，改进了恢复并减少基于 SAN 的环境中的停机时间。

NVMe-oF Discovery Service 功能作为技术预览

NVMe-oF Discovery Service 功能（在 NVMexpress.org 技术 Proposals(TP)8013 和 8014 中）作为技术预览提供。要预览这些功能，请使用 nvme-cli 2.0 软件包，并将主机附加到实现 TP-8013 或 TP-8014 的 NVMe-oF 目标设备。有关 TP-8013 和 TP-8014 的更多信息，请参阅 https://nvmexpress.org/specifications/ 网站中的 NVM Express 2.0 Ratified TPs。

NVMe-stas 软件包作为技术预览

nvme-stas 软件包，它是 Linux 的中央 Discovery Controller (CDC) 客户端，现在作为技术预览提供。它处理异步事件通知 (AEN)、自动化的 NVMe 子系统连接控制、错误处理和报告以及自动 (zeroconf) 和手动配置。

使用 TLS 的 NVMe/TCP 作为技术预览提供

在 RHEL 9.6 中，使用配置了 Pre-Shared Keys (PSK)的 TLS 通过 TCP (NVMe/TCP)网络流量加密 Non-volatile Memory Express (NVMe/TCP)网络流量。具体步骤请参阅 使用带有 Pre-Shared-Keys 的 TLS 配置 NVMe/TCP 主机。

xfs_scrub 工具作为技术预览提供

您可以使用 xfs_scrub 工具作为技术预览来检查挂载的 XFS 文件系统上的所有元数据。它在功能上与用于卸载的 XFS 文件系统的 xfs_repair -n 命令类似。详情请查看您系统上的 xfs_scrub (8) 手册页。请注意，目前只有清理功能在 RHEL 10 内核中提供，且在线修复未启用。

新的 nodejs:22 模块流作为技术预览提供

新的模块流 nodejs:22 现在作为技术预览提供。未来的更新将提供 Node.js 22 的长期支持(LTS)版本，Node.js 22 将被完全支持。

jmc-core 和 owasp-java-encoder 作为技术预览

RHEL 9 与 jmc-core 和 owasp-java-encoder 软件包一起分发，作为 AMD 和 Intel 64 位架构的技术预览功能提供。

新的 nodejs:24 模块流作为技术预览提供

在 Red Hat Enterprise Linux 9.7 中，新的 swignodejs:24 模块流作为技术预览提供。这个更新引进了 Node.js 24，与 RHEL 9.6 中包含的 HEKETINode.js 22 相比，它提供了新功能、错误修复、安全更新和性能改进。

eu-stacktrace 作为技术预览提供

自 0.192 版本以来一直通过 elfutils 软件包分发的 eu-stacktrace 工具作为技术预览功能提供。eu-stacktrace 是一个原型工具，它使用 elfutils 工具包的展开库来支持采样分析器，以展开无帧指针堆栈样本数据。

IdM 部署中的 DNS over TLS (DoT)作为技术预览提供

使用 DNS over TLS (DoT)加密的 DNS 现在在身份管理(IdM)部署中作为技术预览提供。您现在可以加密 DNS 客户端和 IdM DNS 服务器之间的所有 DNS 查询和响应。

DNSSEC 在 IdM 中作为技术预览提供

带有集成 DNS 的身份管理(IdM)服务器现在实现了 DNS 安全扩展(DNSSEC)，这是一组增强 DNS 协议安全的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。

现在，IdM 的 ansible-freeipa 安装中提供了带有 DoT 的加密的 DNS 作为技术预览

现在，您可以使用 Ansible 来确保 DNS 客户端和身份管理(IdM) DNS 服务器之间的所有 DNS 查询和响应都已加密。从 RHEL 10 开始，使用 DNS 的加密 DNS (DoT)在 IdM 部署中作为技术预览提供。在 RHEL 10.1 中，功能在 freeipa.ansible_freeipa 集合中作为技术预览提供。

ACME 作为技术预览提供

自动证书管理环境(ACME)服务现在作为技术预览在 Identity Management(IdM)中提供。ACME 是一个用于自动标识符验证和证书颁发的协议。它的目标是通过缩短证书生命周期并避免证书生命周期管理中的手动过程来提高安全性。

GNOME 用于 64 位 ARM 架构，作为一个技术预览

GNOME 桌面环境可用于 64 位 ARM 架构，作为技术预览。

用于 IBM Z 架构的 GNOME 作为技术预览提供

对于 IBM Z 架构，GNOME 桌面环境作为技术预览。

RHEL web 控制台现在可以管理 WireGuard 连接

从 RHEL 9.4 开始，您可以使用 RHEL web 控制台创建并管理 WireGuard VPN 连接。请注意，WireGuard 技术及其 Web 控制台集成是不支持的技术预览。

TDX 作为技术预览在 RHEL 主机上提供

作为技术预览，您可以在 RHEL 主机上启用信任域扩展(TDX)。TDX 是基于硬件的安全功能，可为虚拟机提供强大的内存加密和完整性保护，将其与虚拟机监控程序和其他系统软件隔离开来。

SEV-SNP 在 RHEL 主机上作为技术预览提供

作为技术预览，您可以在 RHEL 主机上启用安全加密虚拟化-Secure Nested Paging (SEV-SNP)。SEV-SNP 是基于硬件的安全功能，可为虚拟机提供强大的内存加密和完整性保护，将其与虚拟机监控程序和其他系统软件隔离开来。

创建嵌套虚拟机

对于运行在 Intel、AMD64 和 IBM Z 主机上的 RHEL 9 KVM 虚拟机，嵌套的 KVM 虚拟化作为技术预览提供。有了这个功能，运行在物理 RHEL 9 主机上的 RHEL 7、RHEL 8 或 RHEL 9 虚拟机可以充当 hypervisor，并托管自己的虚拟机。

用于 KVM 虚拟机的 AMD SEV、SEV-ES 和 SEV-SNP

作为技术预览，RHEL 9 为使用 KVM 管理程序的 AMD EPYC 主机提供安全加密虚拟化(SEV)功能。如果在虚拟机(VM)上启用，SEV 会加密虚拟机的内存来保护虚拟机被主机访问。这提高了虚拟机的安全性。

64 位 ARM 上的 CPU 集群

作为技术预览，您现在可以创建在其 CPU 拓扑中使用多个 64 位 ARM CPU 集群的 KVM 虚拟机。

新软件包：trustee-guest-components

作为技术预览，此更新添加了 trustee-guest-components 软件包。这使得机密虚拟机可以证明自己，并从 Trustee 服务器获取机密资源。

podman-machine 命令不被支持

用于管理虚拟机的 podman-machine 命令仅作为技术预览提供。相反，请直接从命令行运行 Podman。

新的 rhel9/rhel-bootc 容器镜像作为技术预览提供

rhel9/rhel-bootc 容器镜像现在在 Red Hat Container Registry 中作为技术预览提供。使用 RHEL 可引导的容器镜像，您可以像容器一样构建、测试和部署一个操作系统。RHEL 可引导的容器镜像与现有的应用程序通用基础镜像(UBI)不同，这得益于以下改进：RHEL 可引导的容器镜像包含引导所需的其他组件，如内核、initrd、引导加载程序、固件等。对现有容器镜像没有更改。如需更多信息，请参阅 红帽生态系统目录。

zstd:chunked 的部分拉取作为技术预览提供

您只能拉取使用 zstd:chunked 格式压缩的容器镜像的更改部分，从而减少了网络流量和必要的存储。您可以通过在 /etc/containers/storage.conf 文件中添加 enable_partial_images = "true" 设置来启用部分拉取。此功能作为技术预览提供。

podman artifact 命令作为技术预览提供

podman artifact 命令（可用来在命令行上与 OCI 工件一起工作）作为技术预览提供。如需更多信息，请参阅 man page。

Podman 与 Docker API 兼容性作为技术预览提供

Podman 支持以下 Docker API 版本作为技术预览：

弃用的 Kickstart 命令

以下 Kickstart 命令已弃用：

initial-setup 软件包现已弃用

initial-setup 软件包已在 Red Hat Enterprise Linux 9.3 中被弃用，并将在下一个主 RHEL 发行版本中删除。作为替换，对图形用户界面，使用 gnome-initial-setup 。

inst.geoloc 引导选项的 provider_hostip 和 provider_fedora_geoip 值已弃用

为 inst.geoloc= 引导选项指定 GeoIP API 的 provider_hostip 和 provider_fedora_geoip 值已弃用。作为替换，您可以使用 geolocation_provider=URL 选项在安装程序配置文件中设置所需的地理位置。您仍然可以使用 inst.geoloc=0 选项禁用地理位置。

Anaconda 内置帮助已弃用

在 Anaconda 安装过程中可用的所有 Anaconda 用户界面的 spoke 和 hub 的内置文档已被弃用。作为替换，Anaconda 用户界面将自我说明，用户可以在将来的主 RHEL 版本中引用官方 RHEL 文档。

对 NVDIMM 设备的支持已弃用

在以前的版本中，安装程序允许在安装过程中重新配置 NVDIMM 设备。这个在 Kickstart 和 GUI 安装过程中对 NVDIMM 设备的支持已弃用，并将在下一个主 RHEL 发行版本中删除。扇区模式中的 NVDIMM 设备仍然在安装程序中可见并可用。

无法从安装环境中的驱动程序更新磁盘载入更新的驱动程序

如果已加载了安装初始 ramdisk 中同样的驱动程序，则驱动程序更新磁盘中的驱动程序的新版本可能无法加载。因此，驱动程序的更新版本无法应用到安装环境。

X25519-MLKEM768 在 crypto-policies中弃用并别名为 MLKEM768-X25519

系统范围的加密策略中的 X25519-MLKEM768 值已弃用，并别名到 MLKEM768-X25519 值。这会统一串联顺序，允许两个变体正常工作。

Keylime 策略管理脚本已弃用，并替换为 keylime-policy

在 RHEL 9.6 中，Keylime 由 keylime-policy 工具提供，它替换了以下策略管理脚本：

OVAL 在漏洞扫描应用程序中已弃用

开放漏洞评估语言(OVAL)数据格式（其提供由 OpenSCAP 套件处理的声明安全数据）已被弃用，并将在以后的主发行版本中删除。红帽继续以通用安全公告框架(CSAF)格式提供声明的安全数据，这是 OVAL 的后续者。

libgcrypt 已弃用

libgcrypt 软件包提供的 Libgcrypt 加密库已弃用，并可能会在以后的主发行版本中删除。改为使用 RHEL 核心加密组件 中列出的库(红帽知识库)。

fips-mode-setup 已弃用

将系统切换到 FIPS 模式的 fips-mode-setup 工具在 RHEL 9 中已弃用。您仍然可以使用 fips-mode-setup 命令检查是否启用了 FIPS 模式。

使用没有参数的 update-ca-trust 已弃用

在以前的版本中，命令 update-ca-trust 会更新系统证书颁发机构(CA)存储，而无论输入了什么参数。此更新引进了 extract 子命令，以更新 CA 存储。您还可以使用 --output 参数指定提取 CA 证书的位置。为了与早期版本的 RHEL 兼容，请输入 update-ca-trust 来使用除 -o 或 --help 以外的任何参数，甚至没有任何参数来更新 CA 存储，在 RHEL 9 期间仍被支持，但将由下一个主发行版本中删除。更新对 update-ca-trust extract 的调用。

指向 Stunnel 客户端中可信根证书文件的 CAfile 已弃用

如果 Stunnel 是在客户端模式下配置的，则 CAfile 指令可指向一个包含 BEGIN TRUSTED CERTIFICATE 格式的可信根证书的文件。这个方法已弃用，并可能在以后的主发行版本中删除。在以后的版本中，stunnel 将 CAfile 指令的值传递给一个不支持 BEGIN TRUSTED CERTIFICATE 格式的函数。因此，如果您使用 CAfile = /etc/pki/tls/certs/ca-bundle.trust.crt，请将位置改为 CAfile = /etc/pki/tls/certs/ca-bundle.crt。

DSA 和 SEED 算法已在 NSS 中弃用

由美国国家标准和技术研究院(NIST)创建的、现在被 NIST 完全弃用的数字签名算法(DSA)在网络安全服务(NSS)加密库中已弃用。您可以使用 RSA、ECDSA 和 EdDSA 等算法。

pam_ssh_agent_auth 已弃用

pam_ssh_agent_auth 软件包已弃用，并可能会在以后的主发行版本中删除。

compat-openssl11 已弃用

OpenSSL 1.1 的兼容性库 compat-openssl11 现在已弃用，并可能会在以后的主发行版本中删除。OpenSSL 1.1 不再在上游维护，且使用 OpenSSL TLS 工具包的应用程序应迁移到版本 3.x。

SHA-1 在 OpenSSL 中的 SECLEVEL=2 中被弃用

在 SECLEVEL=2 中使用 SHA-1 算法已在 OpenSSL 中弃用，并可能在以后的主发行版本中删除。

OpenSSL Engines API 已在 Stunnel 中弃用

在 Stunnel 中使用 OpenSSL Engine API 已弃用，并将在以后的主发行版本中删除。最常见的用途是通过 openssl-pkcs11 软件包访问使用 PKCS#11 的硬件安全令牌。作为替换，您可以使用 pkcs11-provider，其使用新的 OpenSSL Providers API。

OpenSSL Engine 已弃用

OpenSSL Engine 已弃用，并将在不久的将来被删除。您可以使用 pkcs11-provider 作为一种替换，而不是使用引擎。

DSA 在 GnuTLS 中已弃用

数字签名算法(DSA)在 GnuTLS 安全通信库中已弃用，并将在以后的 RHEL 的主版本中删除。DSA 之前已被美国国家标准与技术研究院(NIST)弃用，并被视为是不安全的。您可以改为使用 ECDSA 来确保与将来版本的兼容。

scap-workbench 已弃用

scap-workbench 软件包已弃用。scap-workbench 图形工具被设计为在单个本地或远程系统上执行配置和漏洞扫描。作为一种替代方案，您可以使用 oscap 命令扫描本地系统的配置是否合规，使用 oscap-ssh 命令扫描远程系统的配置是否合规。如需更多信息，请参阅配置合规性扫描。

oscap-anaconda-addon 已弃用

通过使用图形安装为部署符合基准的 RHEL 系统提供方法的 oscap-anaconda-addon 已弃用。作为一种替代方案，您可以通过 使用 RHEL 镜像构建器 OpenSCAP 集成创建预先强化的镜像 来构建符合特定标准的 RHEL 镜像。

对于加密目的，SHA-1 已被弃用

使用 SHA-1 消息摘要用于加密目的在 RHEL 9 中已被弃用。SHA-1 生成的摘要不被视为是安全的，因为已发现多个基于哈希进行的安全攻击。RHEL 核心加密组件不再默认使用 SHA-1 创建签名。RHEL 9 中的应用程序已更新，以避免在与安全相关的用例中使用 SHA-1。

fapolicyd.rules 已被弃用

包含允许和拒绝执行规则的文件的 /etc/fapolicyd/rules.d/ 目录替代了 /etc/fapolicyd/fapolicyd.rules 文件。fagenrules 脚本现在将此目录中的所有组件规则文件合并到 /etc/fapolicyd/compiled.rules 文件。/etc/fapolicyd/fapolicyd 中的规则仍由 fapolicyd 框架处理，但只是为了保证向后兼容。

在 RHEL 9 中弃用 SCP

安全复制协议(SCP)已弃用，因为它有已知的安全漏洞。SCP API 仍可用于 RHEL 9 生命周期，但使用它可以降低系统安全性。

OpenSSL 需要在 FIPS 模式下对 RSA 加密进行填充

OpenSSL 在 FIPS 模式下不再支持没有填充的 RSA 加密。没有填充的 RSA 加密不常见，很少使用。请注意，带有 RSA (RSASVE)的密钥封装不使用填充，但仍支持。

openssl 弃用了 Engines API

OpenSSL 3.0 TLS 工具包弃用了 Engines API。引擎接口被提供方 API 替代。将应用程序和现有引擎迁移到提供方正在进行。弃用的引擎 API 可能会在以后的主发行版本中删除。

openssl-pkcs11 现已弃用

作为已弃用的 OpenSSL 引擎正在迁移到提供方 API 的一部分，pkcs11-provider 软件包替换了 openssl-pkcs11 软件包(engine_pkcs11)。openssl-pkcs11 软件包现已弃用。openssl-pkcs11 软件包可能在以后的主发行版本中删除。

RHEL 8 和 9 OpenSSL 证书和签名容器现已弃用

红帽生态系统目录中的 ubi8/openssl 和 ubi9/openssl 存储库中提供的 OpenSSL 可移植证书和签名容器现已弃用。

SASL 中的 digest-MD5 已被弃用

Simple Authentication Security Layer(SASL)框架中的 Digest-MD5 身份验证机制已弃用，并可能在以后的主发行版本中从 cyrus-sasl 软件包中删除。

/etc/system-fips 现已弃用

支持通过 /etc/system-fips 文件指定 FIPS 模式，该文件将不会包含在将来的 RHEL 版本中。要在 FIPS 模式中安装 RHEL，请在系统安装过程中将 fips=1 参数添加到内核命令行。您可以通过显示 /proc/sys/crypto/fips_enabled 文件来检查 RHEL 是否在 FIPS 模式下运行。

libcrypt.so.1 现已弃用

libcrypt.so.1 库现已弃用，它可能会在以后的 RHEL 版本中删除。

OpenSSL 在 FIPS 模式下不接受显式 curve 参数

指定显式 curve 参数的 Elliptic curve 加密参数、私钥、公钥和证书不能在 FIPS 模式下继续工作。使用 ASN.1 对象标识符（其使用 FIPS 批准的 curve 之一）指定 curve 参数，仍可在 FIPS 模式下继续工作。

OpenSSL 在 FIPS 模式下拒绝带有 X9.31 padding 的 RSA 签名

因为 X9.31 RSA 签名已从 FIPS 186-5 标准中删除，因此 OpenSSL 不再支持使用 FIPS 模式 X9.31 padding 的 RSA 密钥签名或签名验证。

对于 RHEL for Edge 镜像的镜像模式，Ignition 已被弃用

在引导过程的早期阶段，用来将用户配置注入 Simplified Installer、AMI 和 VMDK RHEL for Edge 镜像类型的 Ignition 工具已在 RHEL 9 中弃用，并可能在以后的主发行版本中删除。

几个 subscription-manager 模块已被弃用

由于红帽订阅服务中的一个简化的客户体验已过渡到 Red Hat Hybrid Cloud Console 和带有简单内容访问的帐户级订阅管理，因此以下模块已被弃用，并将在以后的主发行版本中删除：

无数字 %patch 语法已被弃用

使用没有指定数字的 %patch 指令作为 %patch 0 的缩写以应用 zero-th 补丁已被弃用。因此，如果您想要使用 %patch，则警告信息建议您使用显式语法，例如 %patch 0 或 %patch -P 0 来应用 零 补丁。

DNF debug 插件已弃用

DNF debug 插件（其包括 dnf debug-dump 和 dnf debug-restore 命令）已被弃用，将从下一个主 RHEL 发行版本中的 dnf-plugins-core 软件包中删除。

对 libreport 的支持已弃用

对 libreport 库的支持已弃用，并将在下一个主 RHEL 发行版本中从 DNF 中删除。

dump 软件包中的 dump 工具已弃用

用于文件系统备份的 dump 工具已弃用，在 RHEL 9 中将不再提供。

Bacula 中的 SQLite 数据库后端已被弃用

Bacula 备份系统支持多个数据库后端：PostgreSQL、MySQL 和 SQLite。SQLite 后端已被弃用，并将在以后的 RHEL 版本中不被支持。作为一种替代，迁移到其他一种后端(PostgreSQL 或 MySQL)，且在新部署中不使用 SQLite 后端。

sysstat 软件包中的 %vmeff 指标已弃用

测量页回收效率的 sysstat 软件包中的 %vmeff 指标在以后的 RHEL 主版本中将不再支持。sar -B 命令返回的 %vmeff 列的值不正确，因为 sysstat 不会解析后续内核版本提供的所有相关的 /proc/vmstat 值。

在 ReaR 配置文件中设置 TMPDIR 变量已弃用

通过使用语句，如 export TMPDIR=…​ 在 /etc/rear/local.conf 或 /etc/rear/site.conf ReaR 配置文件中设置 TMPDIR 环境变量已被弃用。

cgroupsv1 现在在 RHEL 9 中已弃用

cgroups 是一个内核子系统，用于进程跟踪、系统资源分配和分区。systemd 服务管理器支持在 cgroups v1 模式下以及在 cgroup v2 模式下引导。在 Red Hat Enterprise Linux 9 中，默认模式是 v2。在 Red Hat Enterprise Linux 10 中，systemd 将不支持在 cgroups v1 模式下引导，且提供 cgroup v2 模式。

现在，各种软件包已在基础设施服务中弃用

以下软件包已在 RHEL 9 中被弃用，且不会在以后的 RHEL 主版本中分发：

BIND auto-dnssec 参数已弃用

从 RHEL 9.7 开始，BIND auto-dnssec 参数已弃用，并将在以后的发行版本中删除。作为替换，使用 dnssec-policy 参数指定一个完整的密钥和签名策略(KASP)，它将所有相关配置分组到一个直观的块中。

ipset 已被弃用

在 RHEL 9 中，ipset 工具已弃用，计划在以后的主发行版本中删除。红帽将在当前发行生命周期中提供对这个功能的 bug 修复和支持，但此功能将不再获得改进。作为 ipset 的替代选择，您可以使用 nftables 设置功能。

Soft-iWARP 驱动程序已弃用

RHEL 9 提供 Soft-iWARP 驱动程序，作为不受支持的技术预览。从 RHEL 9.5 开始，这个驱动程序已弃用，并将在 RHEL 10 中删除。

dhcp-client 软件包已弃用

在以前的版本中，您可以将 RHEL 9 中的 NetworkManager 配置为使用 dhcp-client 软件包中的 DHCP 客户端。但是，使用 dhclient 工具的选项现已被弃用，并导致在 NetworkManager 启动时显示一条警告。要配置上述 NetworkManager，请切换到内部 DHCP 库。在 RHEL 10 中，不再提供 dhcp-client 软件包，且配置为使用 dhclient 工具的应用程序改为使用内部 DHCP 库。

perl (Mail::Sender) 模块现已弃用

perl (Mail::Sender) 模块现已弃用，并将从下一个主发行版本中删除，而没有任何替换。因此，当达到主机或接口的带宽高/低水平时，net-snmp-perl 软件包中的 checkbandwidth 脚本不支持电子邮件警报。

libdb 已被弃用

RHEL 9 目前提供 Berkeley DB (libdb)版本 5.3.28，它根据 LGPLv2 许可证而发布。上游 Berkeley DB 版本 6 在 AGPLv3 许可证下提供，该许可证更严格。

RHEL 9 中已弃用网络团队（Network teams）

teamd 服务和 libteam 库在 Red Hat Enterprise Linux 9 中已弃用，并将在下一个主发行版本中删除。作为替换，配置绑定而不是网络组。

ifcfg 格式的 NetworkManager 连接配置文件已弃用

在 RHEL 9.0 及更高版本中，ifcfg 格式的连接配置文件已弃用。下一个主要 RHEL 发行版本将删除对这个格式的支持。但是，在 RHEL 9 中，如果修改了配置文件，NetworkManager 仍然会使用这个格式处理和更新现有的配置文件。

firewalld 中的 iptables 后端已弃用

在 RHEL 9 中，iptables 框架已弃用。因此，firewalld 中的 iptables 后端和 直接接口也 被弃用。您可以使用 firewalld 中的原生功能，而不是 direct interface 来配置所需的规则。

firewalld 锁定功能已弃用。

firewalld 中的锁定功能已弃用，因为它无法阻止以 root 身份运行的进程将它们自己添加到允许列表中。锁定功能可能在以后的主 RHEL 发行版本中被删除。

connection.master,connection.slave-type, 和 connection.autoconnect-slaves 属性已弃用

红帽承诺使用适当的语言。因此，connection.master、connection.slave-type 和 connection.autoconnect-slaves 属性被重命名了。为确保向后兼容，已创建了将旧属性名称映射到新属性的别名：

PF_KEYv2 内核 API 已弃用

应用程序可以使用 PV_KEYv2 和较新的 netlink API 配置内核的 IPsec 实现。PV_KEYv2 没有在上游进行主动维护，并且缺少重要的安全功能，如现代密码、卸载和扩展的序列号支持。因此，从 RHEL 9.3 开始，PV_KEYv2 API 已被弃用，并将在下一个主 RHEL 发行版本中删除。如果您在应用程序中使用此内核 API，请迁移它，以使用现代 netlink API 作为替代。

在 RHEL 9 中弃用 ATM 封装

异步传输模式(ATM)封装为 ATM Adaptation Layer 5(AAL-5)提供第 2 层（Point-to-Point 协议、以太网）或第 3 层（IP）连接。从 RHEL 7 开始，红帽尚未为 ATM NIC 驱动程序提供支持。RHEL 9 中丢弃对 ATM 实施的支持。这些协议目前仅在芯片组中使用，该协议支持 ADSL 技术，并由制造商逐步淘汰。因此，Red Hat Enterprise Linux 9 中已弃用 ATM 封装。

客户端侧和服务器端 DHCP 软件包已弃用

Internet Systems Consortium (ISC)已宣布在 2022 年底之前结束 ISC DHCP 的维护。因此，红帽决定在 RHEL 9 中弃用客户端和服务器端 DHCP 软件包，且不在以后的 RHEL 主发行版本中分发它们。客户必须准备过渡到可用的替代品，如 dhcpcd 和 ISC Kea。

kexec-tools 的 kexec_load 系统调用已弃用

在以后的 RHEL 版本中将不支持 kexec_load 系统调用（其载入第二个内核）。kexec_file_load 系统调用替换了 kexec_load，它现在是所有架构上的默认系统调用。

弃用的 subscription-manager register 的 --token 选项将在 2024 年 11 月底停止工作

弃用的 subscription-manager register 命令的 --token=<TOKEN> 选项从 2024 年 11 月底起，将不再是一个支持的身份验证方法。默认的授权服务器 subscription.rhsm.redhat.com 不再允许基于令牌的身份验证。因此，如果您使用 subscription-manager register --token=<TOKEN>，则注册将失败，并显示以下错误消息：

对块翻译表驱动程序的支持已弃用

对块翻译表驱动程序(btt.ko)的支持已被弃用，并将在以后的主 RHEL 发行版本中删除。在当前发行版本生命周期中，红帽将为使用扇区模式配置非线性内存模块(NVDIMM)命名空间提供 bug 修复和支持。但是，这个功能将不再获得增强，并将被删除。

nvme_core.multipath 参数已弃用

在 RHEL 9.6 中，nvme_core.multipath 参数已弃用，并计划在以后的发行版本中删除。红帽将在当前发行生命周期中提供对这个功能的 bug 修复和支持，但这个功能将不再获得增强，并将在以后的主发行版本中删除。

对 NVMe 设备的支持已从 lsscsi 软件包中弃用

对 Non-volatile Memory Express (NVMe)设备的支持已被弃用，并将在以后的主 RHEL 发行版本中从 lsscsi 软件包中删除。改为使用 nvme-cli,lsblk 和 blkid 等原生工具。

对 NVMe 设备的支持已从 sg3_utils 软件包中弃用

对 Non-volatile Memory Express (NVMe)设备的支持已被弃用，并将在以后的主 RHEL 发行版本中从 sg3_utils 软件包中删除。您可以改为使用原生工具(nvme-cli)。

lvm2-activation-generator 及其生成的服务在 RHEL 9.0 中删除

lvm2-activation-generator 程序及其生成的服务 lvm2-activation、lvm2-activation-early、lvm2-activation-net 已在 RHEL 9.0 中删除。lvm.conf event_activation 设置用于激活服务将不再起作用。自动激活卷组的唯一方法是基于事件激活。

在 RHEL 9 中已弃用了持久性内存开发套件(pmdk)和支持库

pmdk 是用于系统管理员和应用程序开发者的库和工具集合，以简化管理和访问持久内存设备。RHEL 9 中已弃用了 pmdk 和支持库。这还包括 -debuginfo 软件包。

md-linear、md-faulty 和 md-multipath 模块已弃用

以下 MD RAID 内核模块已被弃用，并将在以后的主 RHEL 发行版本中删除：

VDO sysfs 参数已弃用

Virtual Data Optimizer (VDO) sysfs 参数已弃用，并将在以后的主 RHEL 发行版本中删除。除 log_level 外，kvdo 模块的所有模块级 sysfs 参数将被删除。对于单个 dm-vdo 目标，特定于 VDO 的所有 sysfs 参数也将被删除。所有 DM 目标常用的参数没有变化。目前通过更新删除的模块级参数而设置的 dm-vdo 目标的配置值不再更改。

弃用的高可用性功能

从 Red Hat Enterprise Linux 9.5 开始，以下功能已被弃用，并将在下一个主发行版本中删除。当您尝试使用这些功能配置系统时，pcs 命令行界面会产生一条警告。

Resilient Storage Add-On 已弃用

从 RHEL 9 开始，Red Hat Enterprise Linux (RHEL) Resilient Storage Add-On 已被弃用。从 Red Hat Enterprise Linux 10 以及 RHEL 10 后的任何后续版本开始，不再支持 Resilient Storage Add-On 。RHEL Resilient Storage Add-On 将继续受到早期版本的 RHEL (7、8、9)的支持，并贯穿其各自的维护支持生命周期。

Redis 将在 Grafana、PCP 和 grafana-pcp 中被 Valkey 替换

Redis 键值存储已弃用，并将在下一个 RHEL 主版本中被 Valkey 替换。因此，Grafana、PCP 和 grafana-pcp 插件将在 RHEL 10 中使用 Valkey 而不是 Redis 存储数据。

llvm-doc 的 HTML 内容已弃用

llvm-doc 软件包的 HTML 内容将在以后的 RHEL 发行版本中删除，并被指向 llvm.org 中在线文档的 HTML 文件所替换。没有网络访问的 llvm-doc 的用户需要一种替代方法来访问 LLVM 文档。

Go 的 FIPS 模式下，比 2048 小的密钥已被 openssl 3.0 弃用

openssl 3.0 弃用了小于 2048 位的密钥，在 Go 的 FIPS 模式中无法正常工作。

有些 PKCS1 v1.5 模式现在在 Go 的 FIPS 模式下被弃用

一些 PKCS1 v1.5 模式在 FIPS-140-3 中未被批准用于加密，并被禁用。它们将不再在 Go 的 FIPS 模式下工作。

32 位软件包已弃用

与 32 位 multilib 软件包的链接已弃用。将在 Red Hat Enterprise Linux 9 的生命周期中保持对 *.i686 软件包的支持，但将在下一个 RHEL 主版本中删除。

dnssec-enable: no; 选项已弃用

/etc/named/ipa-options-ext.conf 文件中的 dnssec-enable: no; 选项已被弃用，并将在以后的 RHEL 主版本中删除。DNS Security Extensions (DNSSEC) 被默认启用，且无法禁用它们。dnssec-validation: no; 选项仍可用。

nsslapd-subtree-rename-switch 在 389-ds-base中被弃用

在此次更新之前，您可以配置目录服务器以防止在数据库中的子树之间移动条目。由于稳定性问题，这个功能已被弃用，并将在以后的主 RHEL 发行版本中删除。

pam_console 模块已弃用

在 RHEL 9.5 中，pam_console 模块已弃用，并计划在以后的发行版本中删除。pam_console 模块向登录到物理控制台或终端的用户授予文件权限和身份验证能力，并根据控制台登录状态和用户状态来调整这些特权。作为 pam_console 的一种替代，您可以使用 systemd-logind 系统服务。有关配置详情，请查看 logind.conf (5) 手册页。

OpenDNSSec 中的 SHA-1 现已弃用

OpenDNSSEC 支持使用 SHA-1 算法导出数字签名和身份验证记录。不再支持使用 SHA-1 算法。在 RHEL 9 发行版本中，OpenDNSSec 中的 SHA-1 已被弃用，并可能在以后的次版本中删除。另外，OpenDNSSec 支持仅限于与红帽身份管理的集成。OpenDNSSEC 不支持独立。

SSSD 隐式文件供应商域默认禁用

SSSD 隐式 文件 供应商域，从 /etc/shadow 和 /etc/ groups 等本地文件检索用户信息，现已默认禁用。

SSSD 文件 提供者已弃用

SSSD 文件 提供者已在 Red Hat Enterprise Linux (RHEL) 9 中弃用。文件 提供者可能会从以后的版本中删除。

ad_allow_remote_domain_local_groups 选项已弃用

sssd.conf 中的 ad_allow_remote_domain_local_groups 选项已在 Red Hat Enterprise Linux (RHEL) 9.6 中被弃用。ad_allow_remote_domain_local_groups 选项可能会在以后的版本中删除。

sss_ssh_knownhostsproxy 工具已弃用

sss_ssh_knownhostsproxy 已弃用，并将被 RHEL 10 中的一个更有效的工具替代。sss_ssh_knownhostsproxy 将在 RHEL 9 中保持向后兼容性，并将在 RHEL 10 中删除。对 ssh KnownHostsCommand 选项的支持将添加到以后的发行版本中。

AD 和 IdM 的 枚举 功能已弃用

枚举 功能允许您使用没有用于活动目录(AD)、身份管理(IdM)和 LDAP 供应者参数的 getent passwd 或 getent group 命令列出所有用户或组。在 Red Hat Enterprise Linux (RHEL) 9 中弃用了用于 AD 和 IdM 的 枚举 功能。用于 AD 和 IdM 的 枚举 功能将在 RHEL 10 中删除 。