搜索

7.3 发行注记

download PDF
Red Hat Enterprise Linux 7.3

Red Hat Enterprise Linux 7.3 发行注记

Red Hat Customer Content Services

摘要

本发行注记提供了在 Red Hat Enterprise Linux 7.3 中已实现的改进和附加组件的高级信息,并记录了本版本中已知的问题,以及重要的程序错误修复、技术预览、已弃用的功能和其他详情。

前言

Red Hat Enterprise Linux 次要版本是单个安全性、增强和 bug 修复勘误的集合。Red Hat Enterprise Linux 7.3 发行注记 文档描述了对 Red Hat Enterprise Linux 7 操作系统及其与该次发行版本相关的应用程序的主要更改,以及已知问题以及目前所有可用技术预览的完整列表。
与其它版本的系统相比,Red Hat Enterprise Linux 7 的功能和限制包含在 https://access.redhat.com/articles/rhel-limits 处的红帽知识库文章中。
有关 Red Hat Enterprise Linux 生命周期的详情,请参考 https://access.redhat.com/support/policy/updates/errata/

第 1 章 概述

安全性

  • SELinux 用户空间已更新,提供了各种改进和性能改进。值得注意的是,新的 SELinux 模块存储支持优先级,并且引入了 SELinux 通用中间语言(CIL)。
  • OpenSCAP workbench 现在提供了一个新的 SCAP 安全指南集成对话框,并使用图形化工具修改 SCAP 策略。
  • OpenSCAP 套件现在包含对使用 atomic 扫描命令扫描 容器的支持。
  • 由于新的事务模型,升级的 firewalld 启动并重启会很快。它还改进了连接、接口和源、新的默认日志记录选项和 ipset 支持的管理。
  • audit 守护进程引入了一个新的 flush 技术,它可以显著提高性能。审计策略、配置和日志记录已被改进,现在支持多个新选项。
  • 现在支持通过以太网进行介质访问控制安全(MACsec)加密。
请参阅 第 15 章 安全性 了解有关安全增强的更多信息。

Identity Management

与 Identity Management (IdM)相关的新功能及改进包括:
  • 提高了大型客户环境中 IdM 服务器和客户端的性能
  • 增强的拓扑管理和副本安装
  • 对 Active Directory (AD)用户的扩展智能卡支持
  • 精细配置一次性密码(OTP)身份验证
  • 改进了 IdM 客户端的故障排除功能。
Red Hat Enterprise Linux 7.2 引入了联邦单点登录(SSO)的 Ipsilon 身份提供程序服务。因此,红帽已发布 Red Hat Single Sign-On 作为基于 Keycloak 社区项目的 Web SSO 解决方案。Red Hat Single Sign-On 提供比 Ipsilon 更大的功能,并被指定为红帽产品组合的标准 Web SSO 解决方案。
有关 Red Hat Single Sign-On 的详情,请参考:
请注意,红帽不计划将 Ipsilon 从技术预览升级到完全支持的功能。ipsilon 软件包将在以后的次发行版本中从 Red Hat Enterprise Linux 中删除。
Red Hat Single Sign-On 的权利目前可使用 Red Hat JBoss Middleware 或 OpenShift Container Platform 订阅提供。
有关 IdM 中更改的详情,请参考 第 5 章 认证和互操作性

Core 内核

  • 对 Checkpoint/Restore in User space (CRIU)的支持已扩展到 IBM Power Systems 架构的 little-endian 变体。
  • 异构内存管理(HMM)功能已作为技术预览引入。
有关更多内核功能,请参阅 第 12 章 内核。有关与内核相关的技术预览的详情,请参考 第 42 章 内核

网络

  • Open vSwitch 现在使用内核轻量级隧道支持。
  • 现在,支持内存分配器子系统中的 Bulking。
  • NetworkManager 现在支持新的设备类型,改进了虚拟设备的堆栈,LLDP、稳定的隐私 IPv6 地址(RFC 7217),检测重复的 IPv4 地址,并通过 systemd-hostnamed 控制主机名。另外,用户可以设置 DHCP 超时属性和 DNS 优先级。
如需了解更多网络功能,请参阅 第 14 章 网络

平台硬件启用

  • 添加了对 Coherent 加速器处理器接口(CAPI)闪存块适配器的支持。详情请查看 第 10 章 硬件启用

实时内核

  • 引入了一个新的调度程序策略 SCHED_DEADLINE 已作为技术预览。这个新策略在上游内核中提供,显示某些公司用例的承诺。详情请查看 第 43 章 实时内核.

存储和文件系统

  • 添加了对 Non-Volatile Dual In-line Memory Module (NVDIMM)持久内存架构的支持,其中包括添加 libnvdimm 内核子系统。NVDIMM 内存可以作为块存储设备访问,该设备在 Red Hat Enterprise Linux 7.3 中被完全支持,或者以直接访问(DAX)模式(由 ext4 和 XFS 文件系统提供)作为 Red Hat Enterprise Linux 7.3 的一个技术预览。如需更多信息,请参阅 新功能部分中的 第 17 章 存储第 12 章 内核,以及技术预览部分中的 第 39 章 文件系统。在
  • 新的 Ceph 文件系统(CephFS)内核模块作为技术预览,使 Red Hat Enterprise Linux 节点能够从 Red Hat Ceph Storage 集群挂载 Ceph 文件系统。如需更多信息,请参阅 第 39 章 文件系统.
  • 对 pNFS SCSI 文件共享的支持已作为技术预览。详情请查看 第 39 章 文件系统.
  • 对 RAID 级别的 LVM2 支持(在 RAID 类型间切换)现在作为技术预览提供。请参阅 第 45 章 存储 了解更多信息。

集群

对于 Red Hat Enterprise Linux 7.3,红帽高可用性附加组件支持以下主要改进:
  • 通过引入增强的 pacemaker 警报,在受管集群状态更改时更好地配置和触发通知的功能。
  • 通过使用 Booth ticket 管理器,将 Pacemaker 配置为跨地理位置管理多站点集群以实现灾难恢复和可扩展性。此功能作为技术预览提供。
  • 配置 Pacemaker 以使用单独的仲裁设备(QDevice)来管理扩展集群,该设备充当集群的第三方仲裁设备。此功能作为技术预览提供,其主要用途是允许集群保持比标准仲裁规则允许的更多节点故障。
有关红帽高可用性附加组件的改进的更多信息,请参阅技术预览功能部分和 第 6 章 集群 新功能部分中的 第 38 章 集群

Desktop

  • 引入了一个新的即时消息传递客户端 pidgin,它支持非记录(OTR)消息传递和 Microsoft Lync instant messaging application.
有关桌面更改的详情,请参考 第 8 章 Desktop

互联网

  • Red Hat Enterprise Linux 7.3 提供最新的蓝牙支持,包括连接到蓝牙低站(LE)设备的支持;请参阅 第 14 章 网络
  • 现在支持 Controller Area Network (CAN)设备驱动程序,如需更多信息,请参阅 第 12 章 内核
  • Red Hat Enterprise Linux 7 内核现在可以使用嵌入式 MMC (eMMC)接口 5.0。详情请参阅 第 10 章 硬件启用.

Linux 容器

Red Hat Insights

从 Red Hat Enterprise Linux 7.2 开始,提供了 Red Hat Insights 服务。Red Hat Insights 是一个主动服务,旨在使您在已知技术问题影响部署之前识别、检查和解决这些问题。Insights 利用红帽支持工程师的综合知识、记录的解决方案以及解决的问题,向系统管理员提供相关的可操作信息。
该服务通过位于 https://access.redhat.com/insights/ 的客户门户或 Red Hat Satellite 进行托管和交付。要注册您的系统,请遵照 Insights 入门指南。如需更多信息、数据安全性和限制,请参阅 https://access.redhat.com/insights/splash/

红帽客户门户网站 Labs

红帽客户门户网站 Labs 是位于 https://access.redhat.com/labs/ 处的客户门户网站部分中的一组工具。红帽客户门户网站 Labs 中的应用程序可帮助您提高性能、快速解决问题、发现安全问题以及快速部署和配置复杂应用程序。一些最常用的应用程序有:

第 2 章 构架

Red Hat Enterprise Linux 7.3 在以下构架中作为间接提供:[1]
  • 64 位 AMD
  • 64 位 Intel
  • IBM POWER7+ 和 POWER8(big endian) [2]
  • IBM POWER8 (little endian) [3]
  • IBM z 系统 [4]


[1] 请注意,只有 64 位硬件支持 Red Hat Enterprise Linux 7.3 安装。Red Hat Enterprise Linux 7.3 可以作为虚拟机运行 32 位的操作系统,包括以前的 Red Hat Enterprise Linux 版本。
[2] 目前,Red Hat Enterprise Linux 7.3 (big endian)在 Red Hat Enterprise Virtualization for Power 和 PowerVM 上作为 KVM 客户机被支持。
[3] 目前,Red Hat Enterprise Linux 7.3 (little endian)作为 KVM 客户机在 Red Hat Enterprise Virtualization for PowerVM 和 PowerNV (裸机)上被支持。
[4] 请注意,Red Hat Enterprise Linux 7.3 支持 IBM zEnterprise 196 硬件或更新版本 ; IBM z10 Systems 领导系统不再被支持,且不会引导 Red Hat Enterprise Linux 7.3。

第 3 章 对外部内核参数的重要更改

本章为系统管理员提供了与 Red Hat Enterprise Linux 7.3 附带的内核有显著变化的总结。这些更改包括添加或更新的 proc 条目、sysctlsysfs 默认值、引导参数、内核配置选项或任何可见的行为更改。
apic_extnmi=[APIC,X86]
提供外部不可屏蔽中断(NMI)交付设置。
格式:{ bsp (默认)| 所有 | none }。
bsp:外部 NMI 仅传送到 CPU 0。
All :外部 NMI 作为 CPU 0 的备份广播到所有 CPU。
none :为所有 CPU 屏蔽外部 NMI。这很有用,因此转储捕获内核不会被 NMI 冻结。
BAU=[X86_UV] 在 SGI UV 上启用 BAU
默认行为是禁用 BAU (例如 bau=0)。
格式:{ "0" | "1" }
0 - 禁用 BAU。
1 - 启用 BAU。
unset - 禁用 BAU。
cpu_init_udelay=N [X86]
将 assert 和 APIC INIT 的 de-assert 之间的 N 微秒延迟设置为启动处理器。这个延迟在每个 CPU 在线(如引导)上发生,并恢复挂起。
默认值:10000
hardlockup_all_cpu_backtrace=[KNL]
硬锁定检测器在所有 cpu 上生成回溯追踪。
格式:整数
intel_iommu=[DMAR] Intel iommu driver (DMAR)选项 [...]
ecs_off [Default Off]
默认情况下,如果硬件公告支持扩展表本身以及 PASID 支持,则支持扩展上下文表。设置此选项后,即使在声明支持它们的硬件中也不会使用扩展表。
kernelcore=nn[KMG] [KNL,X86,IA-64,PPC]
这个参数
kernelcore=[KNL,X86,IA-64,PPC]
格式: nn[KMGTPE] | "mirror"
用户可以指定"mirror"选项,而不必指定内存 nn[KMGTPE]。如果指定了 "mirror" 选项,则镜像内存用于不可移动分配,剩余的内存则用于可移动页面。nn[KMGTPE] 和 "mirror" 选项都是 exclusive。用户不能同时指定 nn[KMGTPE] 和 "mirror" 选项。
libata.force=[LIBATA]
slirp [no]ncqtrim:关闭排队的 DSM TRIM
memmap=nn[KMG]!ss[KMG] [KNL,X86]
将特定内存标记为 protected。要使用的内存区域,从 ss 到 s+nn。内存区域应标记为 e820 类型 12 (0xc),并是 NVDIMM 或 ADR 内存。
module_blacklist=[KNL]
不加载以逗号分隔的模块列表。此功能可用于调试问题模块。
nfs4.layoutstats_timer=[NFSv4.2]
更改内核向 pNFS 元数据服务器发送布局统计的速度。
将此值设置为零可让内核使用任何值,这是布局驱动程序的默认值。任何非零值都会在布局统计传输之间设置最小间隔(以秒为单位)。
nmi_watchdog=[KNL,BUGS=X86]
调试 SMP 内核的功能。
格式: [panic,][nopanic,][num]
有效数字: 0 或 1
0 - turn nmi_watchdog off
1 - turn nmi_watchdog on
nohugeiomap [KNL,x86]
禁用内核大 I/O 映射。
watchdog
这个参数禁用或启用软锁定检测器,以及同时由 NMI watchdog 保证的硬锁定检测器。
0 - 禁用两个锁定检测器
1 - 启用两个锁定检测器
软锁定检测器和 NMI watchdog 还可以使用 soft_watchdog 和 nmi_watchdog 参数单独禁用或启用。如果读取 watchdog 参数,例如执行 cat /proc/sys/kernel/watchdog 命令,此命令的输出值为 0 或 1,显示 soft_watchdog 和 nmi_watchdog 的逻辑 OR。
noxsaveopt [X86]
禁用保存 x86 扩展寄存器状态中使用的 xsaveopt。内核回退到使用 xsave 保存状态。通过使用此参数,保存状态的性能会降低,因为 xsave 不支持修改的优化,而 xsaveopt 在启用了 xsaveopt 的系统上支持它。
noxsaves [X86]
禁用 xsaves 和 xrstors,用于保存和恢复 x86 扩展寄存器状态,格式为 xsave 区域。内核退回使用 xsaveopt 和 xrstor 以 xsave 区域的标准格式保存和恢复状态。通过使用此参数,每个进程的 xsave 区域可以在启用了 xsaves 的系统上占用更多内存。
nompx [X86]
禁用 Intel 内存保护扩展。
有关该功能的更多信息,请参阅 Documentation/x86/intel_mpx.txt。
nowatchdog [KNL]
禁用两个锁定检测器:soft-lockup 和 NMI watchdog (硬锁定)。
watchdog_cpumask
这个值用于设置哪些 CPU 可用于 watchdog 运行。默认 cpumask 是所有可能的内核,但在内核配置中启用了 NO_HZ_FULL,且核心是通过 nohz_full=boot 参数指定的,则默认排除这些内核。此掩码中可以包含离线内核。如果内核稍后上线,则根据掩码值启动 watchdog。只有 nohz_full 情况下,才能重新启用默认没有运行 watchdog 的内核,如果在这些内核中发现内核锁定。参数值是 cpumasks 的标准 cpulist 格式。
Example:
要在内核 0、2、3 和 4 中启用 watchdog,请使用这个命令:
echo 0,2-4 /proc/sys/kernel/watchdog_cpumask
watchdog_thresh
这个值用于设置 hrtimer 和 NMI 事件的频率以及软和硬锁定阈值。默认阈值为 10 秒。softlockup 阈值为 2114 watchdog_thresh。将此参数设置为零将禁用锁定检测。
schedstats=[KNL,X86]
启用或禁用调度程序统计信息。
允许的值是 enable 和 disable。
此功能在调度程序中造成少量开销,但对调试和性能调优非常有用。
usbcore.usbfs_snoop_max=[USB]
将每个 USB 请求块(URB)中的最大字节数设置为 snoop。默认值为 65536。
usb-storage.quirks=[...]
j = NO_REPORT_LUNS
不要使用 report luns 命令,仅限 UAS
workqueue.watchdog_thres
如果配置了 CONFIG_WQ_WATCHDOG,则 workqueue 可能会警告停滞条件,并转储内部状态以帮助调试。值 0 禁用 workqueue stall 检测。否则,它是停滞阈值持续时间(以秒为单位)。默认值为 30,可通过写入对应的 sysfs 文件在运行时更新。
workqueue.power_efficient
每个 CPU 工作队列通常是首选的,因为它们具有更高的性能,因为它们具有比未绑定工作队列更多的电源。此内核参数使 per-cpu 工作队列被观察到为电源无限消耗,从而以较小的性能开销来显著降低功耗。
perf_event_paranoid
由没有 CAP_SYS_ADMIN 的非特权用户控制性能事件的使用。
默认值为 1。
-1 - 允许所有用户使用所有事件。
>=0 - 不允许不使用 CAP_IOC_LOCK 的用户进行原始追踪点访问。
>=1 - 不允许 CPU 事件访问没有 CAP_SYS_ADMIN。
>=2 - 禁止没有 CAP_SYS_ADMIN 的用户进行内核分析
/proc/sys/fs
pipe-user-pages-hard:
设置非特权用户可为管道分配的页面的最大数量。
达到这个限制后,不会分配新的管道,直到使用量再次返回低于限制为止。当设置为 0 时,不会应用任何限制,这是默认设置。
pipe-user-pages-soft:
在管道大小限制为单个页面前,设置非特权用户可为管道分配的页面的最大数量。达到这个限制后,新管道的大小限制为单个用户的单个页面,以限制总内存用量。尝试使用 fcntl ()函数来增加页面总数,直到使用量再次丢弃限制为止。默认值允许在其默认大小最多分配 1024 个管道。当设置为 0 时,不会应用任何限制。
/proc/sys/kernel
hardlockup_all_cpu_backtrace:
这个值控制有关收集进一步调试信息的硬锁定检测行为。如果启用,则启动特定于架构的所有 CPU 堆栈转储。
0 - 不做任何操作。这是默认的行为。
1 - 在检测捕获更多调试信息时。

部分 I. 新功能

这部分记录了 Red Hat Enterprise Linux 7.3 中的新功能。

第 4 章 常规更新

systemd禁用颜色输出的新变量

此更新为 systemd 引进了 SYSTEMD_COLORS 环境变量,它启用了打开或关闭 systemd 颜色输出。SYSTEMD_COLORS 应设置为有效的布尔值。(BZ#1265749)

systemd 单元现在可以使用别名启用

systemd init 系统使用别名。别名是服务文件的符号链接,可用于命令而不是服务的实际名称。例如,提供 /usr/lib/systemd/system/nfs-server.service 服务文件的软件包也提供了一个别名 /usr/lib/systemd/system/nfs.service,它是到 nfs-server.service 的符号链接。例如,这使用 systemctl status nfs.service 命令而不是 systemctl status nfs-server.service 启用。
在以前的版本中,使用别名而不是实际服务名称运行 systemctl enable 命令会失败,并显示错误。在这个版本中,这个程序错误已被修复,systemctl enable 可以成功启用其别名引用的单元。(BZ#1142378)

新的 systemd 选项: RandomizedDelaySec

在这个版本中,为 systemd 计时器引入了 RandomizedDelaySec 选项,该选项会在随机秒数后调度事件。例如,将选项设置为 10 将以随机数到 0 到 10 之间的随机数发布该事件。新选项可用于将工作负载分散到较长的时间内,以避免同时执行几个事件。(BZ#1305279)

第 5 章 认证和互操作性

在很多区域中,服务器性能有所改进

身份管理中的一些操作现在可以更快地运行。例如,这个增强在大型部署中具有更好的可扩展性,超过 50,000 个用户和主机。最值得注意的是,改进包括:
  • 更快地添加用户和主机
  • 所有命令的 Kerberos 身份验证更快
  • 更快地执行 ipa user-findipa host-find 命令
请注意,为了更快地使 find 操作更快,ipa114-find 命令默认不再显示成员资格。要显示成员资格,请将 --all 选项添加到 ipa114-find 中,或者使用 ipa the-show 命令。(BZ#1298288, BZ#1271321, BZ#1268449, BZ#1346321)

增强的 IdM 拓扑管理

有关身份管理(IdM)拓扑的信息现在在共享树中的中央位置维护。现在,您可以使用命令行或 Web UI 从任何 IdM 服务器管理拓扑。
另外,一些拓扑管理操作已被简化,特别是:
  • 拓扑命令已集成到 IdM 命令行界面中,以便您可以使用原生 IdM 命令行工具执行所有副本操作。
  • 您可以在 Web UI 中或使用新的和简化的工作流来管理复制协议。
  • Web UI 包括 IdM 拓扑的图形,可帮助视觉化副本关系的当前状态。
  • IdM 包括安全措施,可防止您意外从拓扑中删除最后一个证书颁发机构(CA) master,或者将服务器与其他服务器隔离。
  • 支持服务器角色,作为确定拓扑主机中的哪些服务器以及将这些服务安装到服务器的简单方法。

简化副本安装

安装副本不再需要您登录到初始服务器,使用 Directory Manager (DM)凭证,并将副本信息文件从初始服务器复制到副本。例如,这允许使用外部基础架构管理系统更轻松地置备,同时保持合理的安全性级别。
另外,ipa-replica-install 工具现在可以将现有客户端提升到副本。

IdM 现在支持 AD 用户的智能卡验证

在这个版本中,在 Identity Management (IdM)中扩展了智能卡支持。来自可信 Active Directory (AD)的用户现在可以使用 ssh 和本地使用智能卡远程进行身份验证。本地身份验证支持以下方法:
  • 文本控制台
  • 图形控制台,如 Gnome 显示管理器(GDM)
  • 本地身份验证服务,如 susudo
请注意,IdM 只支持上述本地身份验证服务和 ssh 进行智能卡验证。不支持其他服务,如 FTP。
AD 用户的智能卡证书可以直接存储在 AD 中,或者存储在 AD 用户的 IdM 覆盖对象中。

IdM 现在支持 TGS 授权决策

在身份管理(IdM)环境中,用户可以使用多因素身份验证(可选)登录。如果使用标准密码与一次性密码(OTP)结合使用,则来自票据的 Kerberos 票据授予服务器(TGS)现在包含一个指标。这可让管理员为资源设置服务器端策略,用户可以根据其登录类型访问。例如,管理员可以允许用户使用一或双因素身份验证登录桌面,但需要双因素身份验证进行虚拟专用网络(VPN)登录。
默认情况下,所有服务都接受所有票据。要激活此粒度,您必须在 IdM Web 用户界面中管理策略,或使用 ipa service ö 和 ipa hostbang 命令。(BZ#1224057, BZ#1340304, BZ#1292153)

SSSD 现在提供可选的双因素身份验证

系统安全服务守护进程(SSSD)现在允许启用了双因素身份验证的用户使用标准密码和一次性密码(OTP)或使用标准密码对服务进行身份验证。可选的双因素身份验证可让管理员使用单一因素配置本地登录,而其他服务(如访问 VPN 网关)则可以请求这两个因素。因此,在登录时,用户可以输入这两个因素,或者只输入密码(可选)。然后 Kerberos 票据使用身份验证指标来列出使用的因素。(BZ#1325809)

新的 SSSD 控制和状态工具

sssctl 工具提供了一种简单、统一的方法来获取有关系统安全服务守护进程(SSSD)状态的信息。例如,您可以查询有关活动服务器、自动发现的服务器、域和缓存对象的状态信息。另外,ssctl 工具可让您管理 SSSD 数据文件,以便在服务运行时以安全的方式对 SSSD 进行故障排除。
sssctl 支持的选项包括 client-data-backupcache-remove 来备份和恢复 SSSD 缓存。在以前的版本中,当需要启动没有缓存数据的 SSSD 时,管理员必须手动删除缓存文件。
有关实用程序提供的功能的更多信息,请运行 sssctl --help

SSSD 配置文件验证

在以前的版本中,系统安全服务守护进程(SSSD)不提供手动检查 /etc/sssd/sssd.conf 文件的工具。因此,如果服务无法启动,管理员必须在配置文件中找到问题。此更新提供了 sssctl 命令的 config-check 选项,以便在配置文件中查找问题。另外,SSSD 会在服务启动后自动检查配置文件的有效性,并显示 0 级调试信息进行不正确的设置。(BZ#988207, BZ#1072458)

pki cert-find 命令现在支持撤销字符串

pki cert-find 命令已被改进,现在支持以字符串格式的吊销原因。因此,您可以将字符串(如 Key_compromise )传递给 --revocationReason 选项,而不是对应的数字值。有关支持的撤销字符串列表,请参阅
# pki cert-find --help
(BZ#1224365)

IdM 现在支持在服务器或副本安装过程中设置单独的目录服务器选项

改进了 Identity Management (IdM) ipa-server-installipa-replica-install 命令。新的 --dirsrv-config-file 参数可让管理员更改 IdM 安装过程中和之后使用的默认目录服务器设置。例如,要在上述情况下禁用安全 LDAP 绑定:
使用 LDIF 格式的设置创建文本文件:
dn: cn=config
changetype: modify
replace: nsslapd-require-secure-binds
nsslapd-require-secure-binds: off
通过将 --dirsrv-config-file 参数和文件传给安装脚本来启动 IdM 服务器安装:
# ipa-server-install --dirsrv-config-file filename.ldif
(BZ#825391)

IdM 现在启用 admin 组和 ipaservers 主机组

身份管理(IdM)现在引入了两个新组:
  • 用户组 admins - 成员在 IdM 中具有完整的管理权限。
  • 主机组 ipaservers - 此组中的主机可以被用户提升到副本,而无需完全管理权限。所有 IdM 服务器都是这个组的成员。(BZ#1211595)

IdM 现在支持 Web UI 中的 OTP 生成

现在,在 Web UI 中添加主机时,身份管理(IdM)支持一次性密码(OTP)生成。在 Add host 对话框中选择 Generate OTP 复选框。添加主机后,窗口会显示生成的 OTP。您可以使用此密码将主机加入到域中。此流程简化了流程,并提供强大的 OTP。要覆盖 OTP,请导航到主机的详情页面,单击 Action 并选择 Reset One-Time-Password。(BZ#1146860)

新的 sss_cache 选项将 sudo 规则标记为过期

这个版本增强了系统安全服务守护进程(SSSD)中的 sss_cache 命令。添加了选项 -r-R,将一个或多个 sudo 规则标记为过期。这可让管理员在下一个 sudo 查找中强制刷新新规则。请注意,sudo 规则使用不同于用户和组实体的算法刷新。有关机制的更多信息,请参阅 sssd-sudo (5)手册页。(BZ#1031074)

新软件包: custodiapython-jwcrypto

在这个版本中,在 Red Hat Enterprise Linux 7 中添加了 custodia 软件包及其依赖项 python-jwcrypto
custodia 是一个基于 HTTP 的管道,用于请求和分发 secret。它处理 secret 管理的身份验证、授权、请求处理和存储阶段。Custodia 目前只支持作为 Red Hat Identity Management 的内部子系统。
软件包 python-jwcrypto 是 Python 中的 JavaScript 对象签名和加密(JOSE) web 标准的实现。它作为 Custodia 的依赖项安装。(BZ#1206288)

新软件包: python-gssapi

在这个版本中,在 Red Hat Enterprise Linux 7 中添加 python-gssapi 软件包。它提供与 Python 2 和 3 兼容的通用安全服务 API (GSSAPI)。身份管理(IdM)使用软件包作为 python-krbVpython-pykerberos 的替代,它们只支持 Python 2 (BZ39) 92139)

新软件包: python-netifaces

在这个版本中,在 Red Hat Enterprise Linux 7 中添加 python-netifaces 软件包。通过这个 Python 模块,可以从操作系统中读取有关系统网络接口的信息。它已被添加为 Red Hat Identity Management (IdM)的依赖项。(BZ#1303046)

新软件包: mod_auth_openidc

在这个版本中,在 Red Hat Enterprise Linux 7 中添加 mod_auth_openidc 软件包。它可让 Apache HTTP 服务器作为单点登录(SSO)或 OAuth 2.0 资源服务器的 OpenID Connect Relying Party。Web 应用程序可以使用模块与各种 OpenID Connect 服务器实现交互,包括 Keycloak 开源项目和红帽单点登录(SSO)产品。(BZ#1292561)

IdM 现在支持 DNS 位置

在这个版本中,增加了对身份管理(IdM)集成 DNS 服务器的 DNS 位置管理的支持,以改进跨站点实现。在以前的版本中,使用 DNS 记录来查找 IdM 服务器的客户端无法将本地服务器与位于远程地理位置的服务器区分开。这个更新可让使用 DNS 发现的客户端查找最接近的服务器,并以优化的方式使用网络。因此,管理员可以管理 DNS 位置,并在 IdM Web 用户界面和命令行中为它们分配服务器。

IdM 现在支持建立对 AD 域的外部信任

Red Hat Enterprise Linux Identity Management (IdM)现在支持建立对林中的 Active Directory (AD)域的外部信任。外部信任是非转换的,可以建立到 AD 林中的任何域。这允许限制与特定域的可信关系,而不是信任整个 AD 林。(BZ#1314786)

IdM 现在支持使用替代 UPN 登录

在 Active Directory (AD)林中,可以将不同的用户主体名称(UPN)后缀与用户名而不是默认域名关联。身份管理(IdM)现在允许来自可信 AD 林的用户使用替代 UPN 登录。
另外,系统安全服务守护进程(SSSD)现在会检测 IdM 服务器是否支持替代 UPN。如果支持它们,SSSD 会在客户端上自动激活此功能。
当您在可信 AD 林中添加或删除 UPN 后缀时,在 IdM master 上运行 ipa trust-fetch-domains,以便在 IdM 数据库中刷新可信林的信息。

IdM 现在支持子 CA

在以前的版本中,身份管理(IdM)只支持一个证书颁发机构(CA),用于签署 IdM 域中发布的所有证书。现在,您可以使用轻量级子 CA 来更好地控制证书可以使用的目的。例如,虚拟专用网络(VPN)服务器只能配置为仅接受为此创建的子 CA 发布的证书,拒绝其他子 CA 发布的证书,如智能卡 CA。
要支持此功能,您可以在请求带有 certmonger 的证书时指定 IdM 轻量级子 CA。

SSSD 现在支持自动 Kerberos 主机 keytab 续订

在以前的版本中,系统安全服务守护进程(SSSD)不支持在活动目录(AD)中自动续订 Kerberos 主机 keytab 文件。因此,出于安全原因,不允许使用永不过期的密码,必须手动更新这些文件。在这个版本中,SSSD 可以自动更新 Kerberos 主机 keytab 文件。
如果机器帐户密码早于 /etc/sssd/sssd.conf 文件的 ad_maximum_machine_account_password_age 参数中配置的天数,SSSD 会每天检查一次。

IdM 支持用户主体别名

在以前的版本中,身份管理(IdM)只支持使用用户名的身份验证。但是,在某些情况下,需要使用电子邮件地址或别名名称进行身份验证。IdM 已改进,现在支持主体别名。系统安全服务守护进程(SSSD)也已更新,以支持此功能。
要将别名 ualiasuser@example.com 添加到帐户 用户,请运行以下命令:
# ipa user-add-principal user ualias user\\@example.com
在使用企业主体名称时,使用 kinit 命令的 -C 选项以及 -E 选项:
# kinit -C ualias
# kinit -E user@example.com
(BZ#1328552, BZ#1309745)

SSSD 缓存更新性能提高了

在以前的版本中,系统安全服务守护进程(SSSD)总会在缓存有效超时通过后更新所有缓存的条目。对于尚未更改的条目,这会在客户端和服务器上消耗不必要的资源。SSSD 已改进,现在检查缓存的条目是否需要更新。对于没有更改的条目,时间戳值会增加,并存储在新的 SSSD 数据库 /var/lib/sss/db/timestamps_$domain.ldb 中。此功能增强提高了服务器端很少更改的条目(如组)的性能。(BZ#1290380)

SSSD 现在支持存储在 IdM 模式中的 sudo 规则

在以前的版本中,系统安全服务守护进程(SSSD)使用由兼容插件生成的 ou=sudoers 容器来获取 sudo 规则。SSSD 已改进,以支持 cn=sudo 容器中存储在 Identity Management (IdM)目录架构中的 sudo 规则。
要启用此功能,请在 /etc/sssd/sssd.conf 文件中取消设置 ldap_sudo_search_base 参数。(BZ#789477)

SSSD 现在会在带有高 RID 号的环境中自动调整 AD 客户端的 ID 范围

系统安全服务守护进程(SSSD)服务中包含的自动 ID 映射机制现在可以合并 ID 范围域。SSSD 默认 ID 范围大小为 200,000。在大型 Active Directory (AD)安装中,如果 Active Directory 相对 ID (RID)增加了 200,000 以与 RID 对应,管理员必须手动调整 SSSD 分配的 ID 范围。
在这个版本中,对于启用了 ID 映射的 AD 客户端,SSSD 会在上述情况下自动调整 ID 范围。因此,管理员不必手动调整 ID 范围,默认的 ID 映射机制可在大型 AD 安装中工作。(BZ#1059972)

新的 sssctl 选项 remove-cache

在这个版本中,在 sssctl 工具中添加了 remove-cache 选项。选项删除本地系统安全服务守护进程(SSSD)数据库内容,然后重新启动 sssd 服务。这可让管理员使用 SSSD 从干净状态启动,并避免手动删除缓存文件。(BZ#1007969)

旧 IdM 客户端上的密码更改

在以前的版本中,Red Hat Enterprise Linux 包含一个 slapi-nis 版本,它不会允许用户在旧的身份管理(IdM)客户端中更改其密码。因此,通过 slapi-nis 兼容性树登录到客户端的用户只能使用 IdM Web UI 或直接在 Active Directory (AD)中更新其密码。现在,一个补丁已应用于,用户可以在旧的 IdM 客户端上更改其密码。(BZ#1084018)

ldapsearch 命令现在可以返回所有操作属性

LDAP 搜索现在可以返回所有操作属性,如 IETF RFC 3673 所述。在搜索中使用 + 字符将生成所有操作属性,其绑定可区分名称(DN)可以访问。返回的结果可能会根据适用的访问控制指令(ACI)来限制。
搜索示例可能类似如下:
ldapsearch -LLLx -h localhost -p 10002 -b ou=people,dc=example,dc=com -s base '+'
dn: ou=People,dc=example,dc=com
有关这个功能的详情,请查看 https://tools.ietf.org/html/rfc3673。(BZ#1290111)

提高了日志时间戳的准确性

在这个版本中,Directory 服务器日志中的时间戳的准确性从一秒钟精度增加到纳秒精度。此功能增强允许对目录服务器中的事件进行更详细的分析,并允许外部日志系统正确重建并从 Directory Server 载入日志。
在以前的版本中,日志条目包含时间戳,如下例所示:
[21/Mar/2016:12:00:59 +1000] conn=1 op=0 BIND dn="cn=Directory Manager" method=128 version=3
在这个版本中,同一日志条目包含更准确的时间戳:
[21/Mar/2016:12:00:59.061886080 +1000] conn=1 op=0 BIND dn="cn=Directory Manager" method=128 version=3
要恢复到旧的时间戳格式,请在 cn=config 中将 nsslapd-logging-hr-timestamps-enabled 属性设置为 false。(BZ#1273549)

更改用户密码现在总是更新 shadowLastChange 属性

在以前的版本中,更改用户密码的一些方法可能会更新 passwordExpirationTime 属性,但不能更新 shadowLastChange 属性。有些可与 Directory 服务器(如 Active Directory )接口的系统需要更新这两个属性,因此这种行为可能会导致同步错误。在这个版本中,对用户密码的任何更改都会更新属性,不再发生同步问题。(BZ#1018944)

ns-slapd 现在会在审计日志中记录失败的操作

在以前的版本中,ns-slapd 只记录对该目录成功的更改。在这个版本中,还添加了对日志记录失败的更改、其内容以及失败原因的支持。这样,可以更轻松地调试应用程序,无法更改目录内容以及检测可能的攻击。(BZ#1209094)

显示目录服务器实例状态的新实用程序

目录服务器现在提供 status-dirsrv 命令行工具,它输出一个或多个实例的状态。使用以下命令获取所有现有实例的列表:
status-dirsrv
若要显示特定实例的状态,请将实例名称附加到命令中。详情请查看 status-dirsrv (8) 手册页,以及返回码列表。(BZ#1209128)

IdM 现在支持最多 60 个副本

在以前的版本中,身份管理(IdM)支持每个 IdM 域最多 20 个副本。在这个版本中,每个 IdM 域的支持限制增加到 60 个副本。

SSSD 现在从 /etc/sssd/conf.d/读取可选的 Tailoringconf 文件

系统安全服务守护进程(SSSD)已被改进,以便从 /etc/sssd/conf.d/ 目录中读取 192.168.1.0/24conf 文件。这可让您在所有客户端中使用常规 /etc/sssd/sssd.conf 文件,并在其他配置文件中添加其他设置以适应单个客户端。SSSD 首先读取常见的 /etc/sssd/sssd.conf 文件,然后按字母顺序读取 /etc/sssd/conf.d/ 中的其他文件。如果同一文件中出现多次,则守护进程使用最后一个读取配置参数。(BZ#790113)

在 schema 中启用引号的新选项

这个版本引入了 LDAP_SCHEMA_ALLOW_QUOTED 环境变量,它使用 schema 目录中的引号添加了对旧风格模式的支持。要启用此功能,请在 /etc/sysconfig/dirsrv-INSTANCE 配置文件中设置以下变量:
LDAP_SCHEMA_ALLOW_QUOTED=on
(BZ#1368484)

OpenLDAP 现在支持 SHA2 密码哈希

Red Hat Enterprise Linux 7.3 中的 OpenLDAP 服务器现在为 SHA2 支持提供了一个模块。要载入 pw-sha2 模块,请在 /etc/openldap/slapd.conf 文件中添加以下行:moduleload pw-sha2
因此,您可以使用以下哈希将密码存储在 OpenLDAP 中:
  • SSHA-512
  • SSHA-384
  • SSHA-256
  • SHA-512
  • SHA-384
  • SHA-256 (BZ#1292568)

pki cert-request-find 命令现在显示已完成的撤销请求的序列号

在这个版本中,pki 子命令 cert-request-find 会显示已撤销的证书 ID,用于已完成的撤销请求。(BZ#1224642)

IdM 密码策略现在启用永不过期的密码

在以前的版本中,需要身份管理(IdM)中的所有用户密码都定义过期日期。在这个版本中,管理员可以通过将密码策略 Max lifetime 值设置为 0 来无限期地将用户密码配置为无限期有效。
请注意,新密码策略设置仅适用于新密码。要使更改生效,现有用户必须更新其密码。(BZ#826790)

ipa-getkeytab 现在可以自动检测 IdM 服务器

在身份管理(IdM)服务器上运行 ipa-getkeytab 工具时,您不再需要使用 -s 选项指定服务器名称。ipa-getkeytab 工具在这种情况下自动检测 IdM 服务器。(BZ#768316)

ipa-replica-manage 工具中增强的子命令

ipa-replica-manage 工具已被改进,现在还支持以下子命令中的 o=ipaca 后端:
  • list-ruv
  • clean-ruv
  • abort-clean-ruv
此外,clean-dangling-ruv 子命令已添加到 ipa-replica-manage 工具中。这可让管理员自动删除危险的副本更新向量(RUV)。(BZ#1212713)

samba rebase 到版本 4.4.4

samba 软件包已升级到上游版本 4.4.4,它提供很多程序错误修复和增强:
  • WINS nsswitch 模块现在使用 libwbclient 库进行 WINS 查询。请注意,winbind 守护进程必须正在运行,才能解析使用该模块的 WINS 名称。
  • winbind 扩展组 选项的默认值已从 1 改为 0。
  • smbget 命令的 -u-g 选项已被 -U 选项替代,以匹配其他 Samba 命令的参数。-U 选项接受 username[%password] 值。另外,smbgetrc 配置文件中的 usernamepassword 参数已被 user 参数替代。
  • smbget 命令的 -P 参数已被删除。
  • 现在,使用带有 Kerberos 凭证的 CUPS 后端进行打印需要安装 samba-krb5-printing 软件包并适当配置 CUPS。
  • 现在,可以使用带有 Kerberos 凭证的 CUPS 后端将 Samba 配置为打印服务器。要做到这一点,安装 samba-krb5-printing 软件包并相应地配置 CUPS。
  • 在安装 samba 时,Samba 和 ctdb 头文件不再会被自动安装。
smbdnmbdwinbind 守护进程启动时,Samba 会自动更新其 tdb 数据库文件。在启动 Samba 前备份数据库文件。请注意,红帽不支持降级 tdb 数据库文件。
请注意,使用带有 SMB 协议 3.1.1 的 Linux 内核 CIFS 模块目前是实验性的,功能在红帽提供的内核中不可用。
有关显著变化的更多信息,请在更新前阅读上游发行注记:

新的 net ads join 选项以防止 AD DNS 更新

net ads join 命令现在提供 --no-dns-updates 选项,该选项可防止在将客户端加入到 Active Directory (AD)时使用机器名称更新 DNS 服务器。这个选项可让管理员在 DNS 服务器不允许客户端更新时绕过 DNS 注册,因此 DNS 更新会失败,并显示错误消息。(BZ#1263322)

设置 NetBIOS 名称的新 realm join 选项

realm join 命令现在提供 --computer-name 选项来设置单独的 NetBIOS 名称。这可让管理员使用与主机名不同的名称将机器加入到域中。(BZ#1293390)

DRMTool 重命名为 KRATool

证书系统(CS)的数据恢复管理器(DRM)组件现在被称为 密钥恢复授权(KRA)。为了与这个更改保持一致,这个更新会将 DRMTool 工具重命名为 KRATool。请注意,为了简化转换,请提供兼容性符号链接。链接有助于确保引用 DRMTool 的脚本继续工作。(BZ#1305622)

对 OpenJDK 1.8.0 的明确依赖项

当前 PKI 代码被验证才能用于 OpenJDK 1.8.0。在以前的版本中,PKI 依赖于由 alternatives 提供的通用 java 链接,并假定链接指向 OpenJDK 1.8.0。由于其他设置可能会因为各种原因而改变,因此可能会导致 PKI 造成一些问题。
为确保 PKI 始终正常工作,PKI 已更改为更具体依赖于 jre_1.8.0_openjdk 链接,无论其它 Java 安装是什么,始终指向 OpenJDK 1.8.0 的最新更新。(BZ#1347466)

ipa114-find 命令不再显示成员条目

身份管理(IdM) ipa114-find 命令中的新默认设置不再显示成员条目,如主机组。解决大量成员条目是资源密集型的,命令的输出可能会得到长且不可读取。因此,默认值会被改变。要显示成员条目,请在 ipa114-find 命令中使用 --all 选项。例如:
# ipa hostgroup-find --all
(BZ#1354626)

证书系统现在支持为 CRL 设置开始 ID

Red Hat Certificate System 现在支持使用 /etc/pki/default.cfg 文件中的 pki_ca_starting_crl_number 选项为证书撤销列表(CRL)设置开始 ID。这可让管理员迁移已向证书系统发出 CRL 的证书颁发机构(CA)。(BZ#1358439)

新的 pki-server 子命令,将签发者 DN 添加到证书

证书服务器上的增强功能现在将签发者 DN 存储在新证书记录中,而 REST API 证书搜索支持根据签发者 DN 过滤证书。要将签发者 DN 添加到现有证书记录中,请运行:
# pki-server db-upgrade
(BZ#1305992)

证书系统现在删除旧的 CRL

在以前的版本中,如果在证书系统中启用了基于文件的证书撤销列表(CRL)发布功能,服务会定期创建新的 CRL 文件,而不删除旧文件。因此,运行证书系统的系统最终可能会耗尽空间。要解决这个问题,在 /etc/pki/pki-tomcat/ca/CS.cfg 文件中添加两个新配置选项:
  • maxAge - 设置文件过期和清除的天数。默认为 0 (never)。
  • MaxFullCRLs - 设置要保留的 CRL 的最大数量。发布新文件后,会清除最旧的文件。默认为 0 ( 无限制)。
现在,您可以配置证书系统如何处理旧的 CRL 文件。(BZ#1327683)

pkispawn 配置中指定用于克隆的证书 nick 名称

在克隆安装过程中,克隆从 pkispawn 配置文件中的 pki_clone_pkcs12_path 参数指定的 PKCS the 文件中导入系统证书。在以前的版本中,不需要在 PKCS the 文件中指定证书的 nick 名称。
由于新的 IPA 要求,必须更改证书导入机制。在这个版本中,为了确保证书使用正确的信任属性导入,必须在以下参数中指定 CA 签名证书的 nick 名称和 audit 签名证书:
  • pki_ca_signing_nickname
  • pki_audit_signing_nickname (BZ#1321491)

使用现有 CA 证书和密钥部署证书系统

在以前的版本中,证书系统在内部为证书颁发机构(CA)证书生成密钥。有了这个更新,密钥生成是可选的,证书系统现在支持重复使用现有的 CA 证书和密钥,这些证书和密钥可以使用 PKCS the 文件或硬件安全模块(HSM)提供。这种机制可让管理员从现有 CA 迁移到证书系统。(BZ#1289323)

用作客户端的实例的单独密码列表

在这个功能之前,当证书系统实例充当服务器以及客户端时,将使用 server.xml 文件中指定的密码列表。在某些情况下,某些密码不需要或者无法正常工作。这个更新可让管理员更严格的控制,因为管理员能够在服务器充当两个证书系统子系统之间的通信的客户端时指定允许的 SSL 密码列表。此密码列表与服务器中存储的列表分开。(BZ#1302136)

支持使用 BEGIN/END PKCS7 标签的 PKCS1147 证书链

为了遵守 RFC 7468,PKI 工具现在接受并生成带有 BEGIN/END PKCS7 标签而不是 BEGIN/END CERTIFICATE CHAIN 标签的 PKCS1147 证书链。(BZ#1353005)

krb5 rebase 到版本 1.14.1

krb5 软件包已更新至上游版本 1.14.1,它提供很多改进、新功能和程序错误修复。值得注意的是,它实现了身份验证指标支持来提高安全性。详情请查看 http://web.mit.edu/kerberos/krb5-latest/doc/admin/auth_indicator.html (BZ39)1292153

Kerberos 客户端现在支持配置片断

/etc/krb5.conf 文件现在从 /etc/krb5.conf.d/ 目录中加载配置片断。这可满足现有分发配置标准和加密策略管理。现在,用户可以分割配置文件,并将代码片段存储在 /etc/krb5.conf.d/ 目录中。(BZ#1146945)

IdM rebase 到版本 4.4.0

ipa* 软件包已升级到上游版本 4.4.0,它提供很多程序错误修复和增强:
  • 改进了身份管理(IdM)服务器性能,如通过许多成员进行快速配置、Kerberos 身份验证和用户和组操作。
  • DNS 位置,使分支办公室的客户端只能联系本地服务器,并可能回退到远程服务器。
  • 中央复制拓扑管理。
  • 支持的复制合作伙伴的数量已从 20 个增加到 60 个副本。
  • 对一次性密码(OTP)和 RADIUS 的身份验证指标支持。可以为主机和服务单独启用身份验证指标。
  • 子 CA 支持可让管理员创建单独的证书颁发机构来为特定服务发布证书。
  • 增强的活动目录(AD)用户的智能卡支持可让管理员将智能卡证书存储在 AD 或 IdM 覆盖中。
  • IdM 服务器 API 版本。
  • 支持使用 AD 建立外部信任。
  • 替代 AD 用户主体名称(UPN)后缀。(BZ#1292141)

SSSD 现在启用从 AD 服务器获取 autofs 映射

现在,您可以使用 /etc/sssd/sssd.conf 文件的 [domain] 部分中的 autofs_provider=ad 设置。使用这个设置,系统安全服务守护进程(SSSD)从 Active Directory (AD)服务器获取 autofs 映射。
在以前的版本中,当需要在 AD 中存储 autofs 映射时,AD 服务器管理员必须使用 autofs_provider=ldap 设置并手动配置 LDAP 提供程序,包括绑定方法、搜索基础和其他参数。在这个版本中,只需要在 sssd.conf 中设置 autofs_provider=ad
请注意,SSSD 期望 AD 中存储的 autofs 映射遵循 RFC2307 中定义的格式 :https://tools.ietf.org/html/rfc2307 (BZ39)874985

dyndns_server 选项允许指定要接收动态 DNS 更新的 DNS 服务器

系统安全服务守护进程(SSSD)现在支持 /etc/sssd/sssd.conf 文件中的 dyndns_server 选项。选项指定启用 dyndns_update 选项时,使用 DNS 记录自动更新的 DNS 服务器。
该选项很有用,例如,在 DNS 服务器与身份服务器不同的环境中。在这种情况下,您可以使用 dyndnds_server 启用 SSSD 来更新指定的 DNS 服务器上的 DNS 记录。(BZ#1140022)

SSSD 现在支持使用 full_name_format=%1$s 将 AD 可信用户的输出名称设置为短名称

在以前的版本中,在信任设置中,某些系统安全服务守护进程(SSSD)功能需要使用 /etc/sssd/sssd.conf 文件中的 full_name_format 选项的默认值。使用 full_name_format=%1$s 将可信 Active Directory (AD)用户的输出格式设置为短名称会破坏其他功能。
在这个版本中,用户名的内部表示与输出格式分离。现在,您可以在不破坏其他 SSSD 功能的情况下使用 full_name_format=%1$s
请注意,输入名称必须仍然有效,但 sssd.conf 中使用 default_domain_suffix 选项时除外。(BZ#1287209)

文档现在描述了使用 AD DNS 主机名的 IdM 客户端的配置和限制

身份管理(IdM)文档已被改进,现在描述了位于可信 Active Directory (AD)域的 DNS 名字空间中的 IdM 客户端的配置。请注意,这不是推荐的配置,有一些限制。例如,只有密码身份验证才能访问这些客户端,而不是单点登录。红帽建议始终在与 AD 拥有的 DNS 区域中部署 IdM 客户端,并通过其 IdM 主机名访问 IdM 客户端。

证书系统现在支持为单个安装设置 SSL 密码

在以前的版本中,如果现有证书服务器设置了与安装过程中使用的默认密码重叠的自定义密码,则无法安装新实例来与现有实例一起工作。有了这个更新,证书系统允许您使用两步安装自定义 SSL 密码,从而避免了此问题。要在证书系统实例安装过程中设置密码:
1.准备包含 pki_skip_configuration=True 选项的部署配置文件。
2.将部署配置文件传递给 pkispawn 命令,以启动安装的初始部分。
3.在 /var/lib/pki/<instance>/conf/server.xml 文件中的 sslRangeCiphers 选项中设置密码。
4.在部署配置文件中,将 pki_skip_configuration=True 选项替换为 pki_skip_installation=True
5.运行相同的 pkispawn 命令以完成安装。(BZ#1303175)

用于配置副本发行超时的新属性

在多个 master 同时接收更新的多 master 复制环境中,一个 master 可能会对副本进行独占访问,并保存它,因为网络连接较慢。在此期间,其他 master 会被阻止访问同一副本,这会大大降低复制过程的速度。
在这个版本中,添加了一个新的配置属性 nsds5ReplicaReleaseTimeout,可用于指定超时(以秒为单位)。在指定的超时时间通过后,master 会发布副本,允许其他 master 访问并发送其更新。(BZ#1349571)

第 6 章 集群

Pacemaker 现在支持警报代理

现在,您可以创建 Pacemaker 报警代理在集群事件发生时采取一些外部操作。集群使用环境变量将事件信息传递给代理。代理可以使用此信息执行任何需要的操作,如发送电子邮件消息、日志记录到文件或更新监控系统。有关配置报警代理的详情,请查看 Red Hat Enterprise Linux 7 High Availability Add-On 参考 :https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/index.html。(BZ#1315371)

Pacemaker 现在支持 SBD 隔离配置

SBD 守护进程与 Pacemaker (一个 watchdog 设备)集成,以便在需要隔离时调度节点以可靠地自助确定。在这个版本中,添加了 pcs stonith sbd 命令在 Pacemaker 中配置 SBD,现在可以从 Web UI 配置 SBD。在无法实现传统隔离机制的环境中,SBD 隔离特别有用。有关在 Pacemaker 中使用 SBD 的详情,请参考以下红帽知识库文章: https://access.redhat.com/articles/2212861。(BZ#1164402)

当在活跃的 Pacemaker 远程节点上停止 pacemaker_remote 服务时,安全地迁移资源

如果在活跃的 Pacemaker 远程节点上停止 pacemaker_remote 服务,集群将在停止节点前安全地迁移该节点的资源。在以前的版本中,当停止该服务(包括 yum update等命令)时,Pacemaker 远程节点会被隔离,除非首先清除了该节点。软件升级和其他常规维护流程现在更易于在 Pacemaker 远程节点上执行。
注: 在任何节点上可以使用前,集群中的所有节点都必须升级到支持此功能的版本。(BZ#1288929)

用于创建客户机节点的 Pacemaker 集群资源现在可能是资源组的成员

以前的 Pacemaker 版本不支持在组中包括客户机节点。从 Red Hat Enterprise Linux 7.3 开始,用于创建客户机节点的 Pacemaker 集群资源(如 VirtualDomain )可能现在是资源组的成员。例如,这可用于将虚拟机与其存储相关联。(BZ#1303765)

pcsd 现在支持设置 SSL 选项和密码

在以前的版本中,如果协议版本或密码被视为弱原因,pcsd 服务不会让用户轻松禁用密码或 SSL 或 TSL 协议的特定版本。有了这个更新,用户可以在 pcsd 中轻松配置 SSL 选项和密码,而 RC4 密码以及 TLS 协议版本 1.1 及更早版本会被默认禁用。(BZ#1315652)

pcs 现在支持在实时集群中设置预期的投票

当节点在集群中出现故障时,用户有时需要手动降低预期的投票,才能恢复集群。现在,您可以使用 pcs quorum expected-votes 命令在实时集群中设置预期的投票。(BZ#1327739)

添加了对配置 Pacemaker 使用属性的支持

现在,您可以使用 pcs 命令和 pcsd Web UI 配置 Pacemaker 利用率属性。这可让您配置特定节点提供的容量、特定资源需要的容量,以及放置资源的整体策略。有关使用和放置策略的信息,请参考 https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/index.html。(BZ#1158500)

第 7 章 编译器和工具

支持 IBM z Systems z13 中的新指令

GCC 的新版本支持 IBM z Systems z13 的新硬件说明,并支持 SIMD 指令。需要 -march=z13 命令行选项来启用新的入侵函数。(BZ#1182152)

GCC 现在为 POWER8 生成最佳代码

在 PowerPC 64 LE 构架中,GCC 编译器现在使用 --with-cpu=power8--with-tune=power8 参数进行配置,以便为 POWER8 平台生成最佳代码。(BZ#1213268)

支持 Intel 内存保护密钥(IMPK)

这个 GCC 编译器的更新提供了对 IMPK 的支持 - 编译器现在可以生成新的 PKU 指令。您可以使用 -mpku 命令行选项启用新指令。(BZ#1304449)

gcc-libraries rebase

gcc-libraries 软件包已更新到最新的 GCC 5 版本,使其包含上游版本的各种程序错误修复和增强。(BZ#1265252)

GDB 现在支持 IBM z13 功能

这个版本为使用 IBM z13 功能调试代码提供了一个 GDB 扩展。这包括分散扩展的 IBM z13 指令,并支持使用 128 位 wide vector Register v0-v31 的 SIMD 指令。现在,GDB 可以为 IBM z13 优化的代码进行调试,显示正确的指令变异、向量寄存器和检索并传递向量寄存器内容,并在 inferior 调用期间检索和传递向量寄存器内容。(BZ#1182151)

binutils rebase 到版本 2.25.1

新 rebase binutils 软件包的亮点包括:
  • 字符串 程序现在有一个 --data 命令行选项,它只在可加载的初始化的数据部分中打印字符串。默认行为已被修改为与 --all 命令行选项匹配。
  • 字符串 程序现在有一个 --include-all-whitespace 命令行选项,该选项将任何非显示 ASCII 字符视为字符串的一部分。这包括 carriage 返回和新行字符,否则这些字符将被视为行终止符。
  • objcopy 程序现在有一个 --dump-section 命令行选项,用于提取命名部分的内容并将其复制到单独的文件中。
  • objcopy 程序现在支持使用部分名称的命令行选项中的通配符字符。
  • as assembler 现在有一个 --gdwarf-sections 命令行选项,以启用每个代码部分的生成 DWARF.debug_line 部分。当其对应的代码部分被链接垃圾回收移除时,这有助于删除这些部分。(BZ#1341730)

支持 IBM z Systems 架构的 z13 扩展。

这个版本提供多个上游补丁组合为一个补丁,并应用到 Red Hat Enterprise Linux 7 binutils 软件包。现在支持 z13 扩展。(BZ#1364516)

支持 MWAITX

32 位 AMD 和 Intel 构架更新的 binutils 软件包现在提供对 MWAITX 指令的支持。(BZ#1335684)

支持 Zeppelin

32 位 AMD 和 Intel 构架更新的 binutils 软件包现在提供对 Zeppelin 扩展的支持。(BZ#1335313)

支持大型系统扩展

更新的 binutils 软件包现在提供对 AArch64 assembler 的大型系统扩展的支持。此外,还添加了对 .arch_extension 伪合作的支持。(BZ#1276755)

elfutils rebase 到版本 0.166

elfutils 软件包包含与创建和维护可执行代码相关的很多工具和库。软件包已升级至 0.166 版本。突出显示的改进包括:
  • 剥离 的,未 条带 - 这些工具现在可以处理带有合并的 strtab/shstrtab 表的 ELF 文件。
  • elfcompress - 压缩或解压缩 ELF 部分的新工具。
  • readelf - 新的 -z,-decompress 选项。
  • libelflibdw 中添加了新的功能来处理压缩的 ELF 部分: elf_compresself_compress_gnuelf32_getchdrelf64_getchdrgelf_getchdr
  • libdwelf - 新的 dwelf_scn_gnu_compressed_size () 函数。
  • 新的 libelflibdw pkgconfig (软件包配置)文件。
(BZ#1296313)

valgrind rebase 到版本 3.11.0

Valgrind 是一个检测框架,用于调试内存、检测内存泄漏和分析应用程序。软件包已升级至上游版本 3.11.0。突出显示的改进包括:
  • JIT 的寄存器分配器现在可以大大加快,实现 JIT 密集型活动,例如程序启动速度大约 5%。
  • 现在,对于 64 位目标,Intel AVX2 支持已完成。在支持 AVX2 的主机上,模拟的 CPUID 现在将指示 AVX2 支持。
  • --smc-check 选项的默认值已从 stack 改为提供自动 D-I 缓存一致性的目标上的 all-non-file。默认情况下,结果是对所有目标上生成和自我修改代码的 JIT 的透明支持。
Memcheck 工具中突出显示的新功能包括:
  • --leak-check-heuristics 选项的默认值已从 none 改为 all。这有助于减少可能丢失的块的数量,特别是 C++ 应用程序。
  • --keep-stacktraces 选项的默认值已从 malloc-then-free 改为 malloc-and-free。这在内存中有一个小的成本,但允许 Memcheck 显示悬停引用的 3 堆栈跟踪:在什么地方分配块、释放位置以及在释放后访问的位置。
  • --partial-loads-ok 选项的默认值已从 no 改为 yes,以避免出现某些向量循环造成的假错误。
  • 新的 gdb monitor 命令 xb [addr] [len] 显示 [addr] 的 [len] 字节的有效性位。当您需要将字节数据值与其对应的有效期位关联时,monitor 命令 xbget_vbits 更容易使用。
  • block_list gdb monitor 命令已被改进:它可以打印一系列丢失记录;它现在接受可选参数 限制 [max_blocks] 来控制打印的块的数量;如果块已使用 heuristics 找到,则 block_list 现在会在块大小后显示 heuristic;将丢失记录/阻塞限制为通过指定的 heuristics 找到的块。
  • 添加了一个新的 --expensive-definedness-checks=yes|no 命令行选项。这可用于避免在优化代码中避免 occasional 未初始化的无效值错误。造成潜在的运行时降级,因为这可能会最多 25%。慢速是高度特定于应用程序的。默认值为 no
(BZ#1296318)

valgrind中截获用户定义的分配功能

有些应用程序不使用 glibc 分配器。因此,在 valgrind 下运行此类应用程序并不始终方便。在这个版本中,Valgrind 会尝试自动截获用户定义的内存分配功能,就像程序使用普通的 glibc 分配器一样,从而可以在这些程序上使用内存追踪工具,如 memcheck。(BZ#1271754)

systemtap rebase 到版本 3.0

systemtap 软件包已更新至上游版本 3.0,它提供很多程序错误修复和增强。例如,转换器已被改进为需要较少的内存,生成更快的代码,支持更多功能调用,打印改进的诊断,包括用于功能过载和专用范围的语言扩展,并引入了实验性 --monitor--interactive 模式。(BZ#1289617)

支持 7th-generation Core i3、i5 和 i7 Intel 处理器

这个版本为 7th-generation Core i3、i5 和 i7 Intel 处理器(Kabylake-U/Y)提供一组完整的性能监控事件。(BZ#1310950)

支持 7th-generation Core i3、i5 和 i7 Intel 处理器

这个版本为 7th-generation Core i3、i5 和 i7 Intel 处理器(Kabylake-H/S)提供一组完整的性能监控事件。(BZ#1310951)

libpfm rebase 到版本 4.7.0

libpfm 软件包已升级至版本 4.7.0。这个版本支持以下 32 位 AMD 和 Intel 架构:
  • Intel Skylake core PMU
  • Intel Haswell-EP uncore PMU
  • Intel Broadwell-DE
  • Intel Broadwell (桌面内核)
  • Intel Haswell-EP (core)
  • Intel Haswell-EP (core)
  • Intel Ivy Bridge-EP uncore PMUs (所有框)
  • Intel Silvermont core PMU
  • Intel RAPL 事件支持
  • Intel SNB、IVB、HSW 事件表更新
  • Intel 事件表的主要更新
  • AMD Fam15h Northbridge PMU
(BZ#1321051)

gssproxy 现在支持 RELRO 和 PIE

GSS-API gs proxy 守护进程现在使用与安全相关的 RELROPIE 编译时间标志来强化守护进程。因此,gssproxy 会为加载内存区提供更高的安全性,覆盖尝试和内存损坏攻击。(BZ#1092515)

iputils rebase 到版本 20160308

iputils 软件包已升级到上游版本 20160308,它提供很多程序错误修复和增强。值得注意的是,ping 命令现在是双栈的了解。它可用于探测 IPv4 和 IPv6 地址。旧的 ping6 命令现在是 ping 命令的符号链接,的工作方式与之前相同。(BZ#1273336)

tftp 服务器的日志记录功能已被改进

由于改进日志记录,三位文件传输协议(TFTP)服务器现在可以跟踪成功和失败。例如,当客户端成功完成下载文件时,会创建一个日志事件,或者在出现故障时提供 没有找到 的消息。(BZ#1311092)

arpwatch: -p的新选项

在这个版本中,为 arpwatch 网络监控工具的 arpwatch 命令引入了选项 -p。这个选项禁用 promiscuous 模式。(BZ#1291722)

chrt 工具现在有新的选项

此更新为 chrt 工具引入了新的命令行选项:-- deadline、-- sched-runtime--sched-period--sched-deadline。这些选项利用内核 SCHED_DEADLINE 调度程序,并为脚本和使用命令行提供截止期限调度策略的完全控制。(BZ#1298384)

新命令行实用程序: lsipc

这个版本引进了 lsipc 工具,它列出了有关进程间通信(IPC)功能的信息。与旧的 ipcs 命令相比,lsipc 提供了更多详细信息,在脚本中更易于使用,而且更为友好。这会更好地控制脚本的 IPC 信息以及使用命令行时的输出。(BZ#1153770)

使用 libmountfindmnt 搜索现在更为可靠

覆盖文件系统的 st_dev 不提供可靠搜索 libmount 库和 findmnt 工具。在这个版本中,libmountfindmnt 在挂载表中通过与 st_dev 的其它方式搜索,从而提高了可靠性。(BZ#587393)

用于 alternatives 工具的新 --family 选项

这个版本为 alternatives 工具引入了新的 --family 选项。软件包器可以使用此选项将同一组中的类似软件包分组到系列中。组内的系列可确保如果当前使用的替代方案被删除,并且属于系列,则当前的替代将更改为同一系列中优先级最高的软件包,而不是在系列之外。
例如,系统在同一个 备选 组中安装了四个软件包: a1a2a3b (在增加优先级中列出)。软件包 a1a2a3 属于同一系列。a1 是当前使用的替代方案。如果删除了 a1,则当前使用的替代方案将变为 a3。它不是 b,因为 b 不在 a1 系列之外,它不是 a2,因为 a2 的优先级低于 a3
当只为每个替代设置优先级不足时,此选项很有用。例如:所有 openjdk 软件包都可以放入同一系列,以确保卸载了其中一个 openjdk 软件包,则替代方案将切换到另一个 java-1.7.0-oracle 软件包,而不是 openjdk 软件包(如果安装了另一个 软件包)。(BZ#1291340)

sos rebase 到版本 3.3

sos 软件包已更新至上游版本 3.3,它提供很多改进、新功能和程序错误修复,包括:
  • 支持 OpenShift Enterprise 3.x
  • 改进和扩展的 OpenStack 插件
  • 增强的 Open vSwitch 支持
  • 增强的 Kubernetes 数据收集
  • 改进了对 systemd 日志集合的支持
  • 增强的显示管理器和 3D 加速数据捕获
  • 改进了对 Linux 集群的支持,包括 Pacemaker
  • 扩展 CPU 和 NUMA 拓扑集合
  • 扩展领导(IBM z Systems)覆盖
  • 多路径拓扑集合(BZ39) 93044)

ethtool rebase 到版本 4.5

ethtool 工具可在很多网络设备(特别是以太网设备)上查询和更改设置,如速度、端口、自动协商、PCI 位置和校验和卸载。软件包已升级到上游版本 4.5。主要改进包括:
  • SFP 序列号和日期现在包含在 EEPROM 转储中(选项 -m
  • 添加了缺少的 Advertised 速度,一些 10GbE 和 56GbE 的组合
  • 添加了对 VMware vmxnet3 的寄存器转储支持(选项 -d
  • 添加了对设置默认 Rx 流间接表的支持(选项 -X
(BZ#1318316)

pcp rebase 到版本 3.11.3

Performance Co-Pilot (PCP)是用来评估、归档和分析系统级性能测量的工具、服务和库集。软件包已升级至 3.11.3 版本。突出显示的改进包括:
  • pcp-ipcs - 显示进程间通信的新命令
  • pcp-atopsar - 新的基于 http://atoptool.nl 的 PMAPI945 命令
  • pcp-vmstat - pmstat 修改的打包程序以更接近 vmstat
  • libpcp - 新的 fetchgroup API
  • pmdamic - Intel MIC 卡指标的新 PMDA
  • pmdaslurm - 新的 PMDA 导出 HPC 调度程序指标
  • pmdapipe - 命令输出事件捕获 PMDA
  • pmdaxfs - 支持每个设备 XFS 指标
  • pmdavmware - 更新为用于当前 VMWare Perl API
  • pmdaperfevent - 各种改进派生指标;为 NHM 和 WSM 添加了参考时钟周期
  • pmdaoracle - Oracle 数据库指标可用和更新
  • pmdads389 - 添加了规范化 dn 缓存指标
  • pmdalinux - 为每个 numa 节点内存带宽、共享内存段、IPC、MD 驱动程序统计、透明巨页零页分配计数器、NVME 设备、IPv6 指标添加指标
  • pmdaelasticsearch - 默认限制为本地节点指标,并调整为 elasticsearch API 更改
  • pmdaxfs - 支持每个设备 XFS 指标
  • pmrep - 强大而公平的指标报告工具
  • pmlogconf - 支持 mmv提供的 Oracle 数据库、nginx、elasticsearch、memcache 和应用程序指标的自动记录
  • zbxpcp - Zabbix Agent 可加载模块,用于支持 Zabbix v2 和 v3 的 PCP 指标
  • pmcd - 支持通过 pmdaroot 启动 PMDA,允许在没有重启 pmcd 本身的情况下在 PMDA 失败时重启
  • evince2pcp - 支持额外的 mem.util 指标和 sysstat-11.0.1 命令
  • pmmgr - 添加了常规 monitor-program 启动选项
  • pcp-atop - 使用最新的 atop 功能更新(特别是与 NFS 相关的功能)
  • libpcp - 允许自定义服务器证书的名称;添加了对永久、全局派生指标和多存档上下文的支持
  • pmdaproc - cgroup blkio throttle 吞吐量和 IOPS 指标
  • pcp-iostat - 为 device-name 匹配添加 -R 标志,使用正则表达式和 -G 标志用于 sumavgminmax 统计
  • pmieconf - 自动重启无响应 PMDA 的新规则
(BZ#1284307)

OpenJDK 8 现在支持 ECC

在这个版本中,对 Elliptic Curve Curve Curve Cryptography (ECC)和 TLS 连接的相关密码的支持已添加到 OpenJDK 8 中。在大多数情况下,ECC 首选使用旧的加密解决方案建立安全网络连接。(BZ#1245810)

pycurl 现在提供需要 TLSv1.1 或 1.2 的选项

在这个版本中,pycurl 已被改进以支持选项,允许需要使用 1.1 或 1.2 版本的 TLS 协议,从而提高了通信的安全性。(BZ#1260407)

Perl Net:SSLeay 现在支持 elliptic curve 参数

对 elliptic-curve 参数的支持已添加到 Perl Net:SSLeay 模块中,其中包含到 OpenSSL 库的绑定。也就是说,EC_KEY_new_by_curve_name ()EC_KEY_free the ()SSL_CTX_set_tmp_ecdh ()OBJ_txt2nid () 已从上游端口。这是对 IO::Socket::SSL Perl 模块中的 Elliptic Curve Diffie-Hellman Exchange (ECDHE)密钥交换的支持。(BZ#1316379)

Perl IO::Socket::SSL 现在支持 ECDHE

对 Elliptic Curve Diffie-Hellman Exchange (ECDHE)的支持已添加到 IO::Socket::SSL Perl 模块中。新的 SSL_ecdh_curve 选项可用于通过对象标识符(OID)或名称标识符(NID)指定合适的 curve。现在,在使用 IO::Socket:SSL 实施 TLS 客户端时,可以覆盖默认的 elliptic curve 参数。(BZ#1316377)

tcsh 现在使用系统分配功能

tcsh 命令语言解释器现在使用 glibc 库的分配功能,而不是内置分配功能。这消除了 malloc () 库调用之前的问题。(BZ#1315713)

Python 性能增强

CPython 解释器现在使用主 switch 语句中计算的 goto 语句,它执行 Python 字节码。此增强允许解释器避免了对 switch 语句的 C99 标准所需的绑定检查,并允许 CPU 执行更高效的分支预测,从而减少管道清除。因此,Python 代码被解释比之前要快。(BZ#1289277)

telnet 现在接受 -i 在调用登录时使用 IP 地址

当网络上的计算机有多个 IP 地址时,之前可以使用一个地址连接到 telnet 服务器,但其他地址保存在 /var/run/utmp 文件中。要防止 telnet 工具执行 DNS 查找,并确保 telnet 在调用 login 工具时使用特定的 IP 地址,您现在可以使用 -i 选项。请注意,-i 与 Debian 系统上的 -N 选项相同。(BZ#1323094)

sg3_utils rebase 到版本 1.37-7

sg3_utils 软件包为使用小型计算机系统接口(SCSI)命令集合的设备提供命令行工具。有了这个更新,sg_inqsg_vpd 工具允许解码存储设备的更多信息。另外,现在可以正确地显示日期和时间版本信息的介绍。sg_rdac 工具已被修复,现在支持 10 字节命令描述符块(CDB)模式,允许管理最多 256 个逻辑单元号(LUN)。(BZ#1170719)

Python 标准库中 HTTP 客户端 SSL/TLS 证书验证的新配置选项

为 Python 标准库中的 HTTP 客户端添加了新的每个应用程序以及 SSL/TLS 证书验证的每个进程配置选项。这些选项在 493 Python 增强建议中进行了描述(https://www.python.org/dev/peps/pep-0493/)。默认全局设置仍验证证书。详情请查看 https://access.redhat.com/articles/2039753。(BZ#1315758)

glibc 现在支持 BIG5-HKSCS-2008 字符集

在以前的版本中,glibc 支持 Supplementary Character Set, BIG5-HKSCS-2004 的早期版本。BIG5-HKSCS 字符设置映射已更新至标准的 HKSCS-2008 修订版本。这使得 Red Hat Enterprise Linux 客户能够编写使用此版本标准编码的应用程序处理文本。(BZ#1211823)

memtest86+ rebase 到版本 5.01

memtest86+ 软件包已升级到上游版本 5.01,它提供很多程序错误修复和增强。主要变化包括:
  • 支持 AMD64 和 Intel 64 CPU 上最多 2 TB RAM
  • 支持新的 Intel 和 AMD CPU,如 Intel Haswell
  • 实验性 SMT 支持最多 32 个内核
有关详细更改,请参阅 http://www.memtest.org/#change (BZ39) 80352)

mcelog rebase 到版本 136

mcelog 软件包已升级到上游版本 136,它提供很多程序错误修复和增强。值得注意的是,包括对各种 Intel 核心处理器(Broadwell-DE/SoC、Broadwell-EP、Broadwell-EX 和 Skylake Client)的支持。(BZ#1336431)

xz rebase 到版本 5.2.2

xz 软件包已升级到上游版本 5.2.2,它提供几个优化修复、对竞争条件、翻译、可移植性修复以及之前用于测试的新稳定 API。另外,这个更新引入了一个由 --flush-timeout 选项控制的新实验性功能(默认为 off)。压缩时,如果因为之前的清除和读取更多输入被禁止,如果超过超时毫秒(正整数)传递,则所有待处理的输入数据都会从编码器清除,并在输出流中提供。如果 xz 工具用于压缩通过网络传输的数据,这将非常有用。(BZ#1160193)

tapestat 已添加到 sysstat

sysstat 软件包现在提供 tapestat 工具,可用于监控磁带驱动器的性能。(BZ#1332662)

sysstat 现在支持大量处理器

sysstat 软件包现在支持 Linux 内核支持的最大处理器数量,在 Red Hat Enterprise Linux 7.3 发行版本时为 8192。在以前的版本中,sysstat 无法处理超过 2048 个处理器。(BZ#1258990)

ruby rebase 到版本 2.0.0.648

ruby 软件包已升级到上游版本 2.0.0.648,它提供很多程序错误和安全修复。这是 Ruby 2.0.0 的最后一个上游稳定版本,因为它已在上游中弃用。Red Hat Software Collections 提供了最新版本的 Ruby。(BZ#1197720)

abrt 报告工作流的改进

abrt 中的问题报告工作流已被改进,以提高整体崩溃报告体验和客户问题单创建。增强功能包括:
  • 现在,提供附加信息 屏幕允许您选择重复问题的发生,同时包含一个额外的输入字段,以提供重现问题的步骤。
  • 新的报告工作流 提交匿名报告,当报告的问题不重要且不需要红帽支持团队帮助时,应使用它。
  • 在内部逻辑中添加了新的测试,以确保用户只针对红帽发布的关键问题和软件开放问题单。(BZ#1258482)

abrt 现在可以排除特定程序生成内核转储

在以前的版本中,忽略 abrt 中列入黑名单的程序崩溃不会阻止它创建其内核转储,这些转储被写入磁盘,然后将其删除。这个方法允许 abrt 通知系统管理员崩溃,而不要使用磁盘空间来存储不需要的崩溃转储。但是,创建这些转储只是为了在以后删除它们是不必要地是系统资源。在这个版本中,在 /etc/abrt/plugins/CCpp.conf 配置文件中引入了一个新的配置选项 IgnoredPaths,它允许您指定以逗号分隔的文件系统路径列表,不会为所有生成内核转储。(BZ#1277848)

添加到 abrt的用户和组白名单

在以前的版本中,abrt 允许所有用户生成和收集核心转储,这可能会使任何用户恶意生成大量内核转储并给出系统资源。在这个版本中,在 abrt 中添加白名单功能,您现在可以只允许特定的用户或组生成内核转储。使用新的 AllowedUsers = user1, user1, ... and AllowedGroups = group1, group2, ... options in the /etc/ abrt /plugins/CCpp.conf 配置文件,将内核转储生成和集合限制为这些用户或组,或者将这些选项留空,以对所有用户和组处理核心转储。(BZ#1277849)

ABRT 发送的电子邮件格式现在可以配置

现在,您可以使用 reporter-mailx 工具的新 -F FORMAT_FILE 命令行选项配置 ABRT 发送的电子邮件格式。这个选项允许您定义自己的格式。如果没有 -F 选项,reporter-mailx 将使用默认格式,其根据重要程度排序所有重要元素。有关格式化文件格式的更多信息,请参阅 reporter-mailx (1) 手册页。(BZ#1281312)

Oracle ACFS 现在包括在已知的文件系统中

在以前的版本中,Oracle ASM Cluster 文件系统(ACFS)没有在 stattail 工具的已知文件系统中列出。因此,tail 工具会输出一个错误消息,表示无法识别文件系统。ACFS 已添加到已知文件系统列表中,错误消息不再出现在上述情况下。
此外,上游识别的其他文件系统也被添加到已知的文件系统列表中,即 bpf_fsbtrfs_testconfigfshfs+hfsxibrixlogfsm1fsnsfsoverlayfsprol_fstracefs。(BZ#1280357)

支持 10 月 3.8 日被使用 swig

在以前的版本中,swig 2.0.10 生成的 10 月代码无法用于 10 月 3.8,因为它包含已弃用的位,如变量和宏。此次更新可确保 swig 生成与版本 3.0.5、3.2.4、3.4、3.6.4 和 3.8.0 的 10 月保留的代码。(BZ#1136487)

sos 集群 插件被分成特定的插件

sos 软件包中的 集群 插件被分成几个插件(cmandlmgfs2pacemaker)。新插件组织反映了有两种不同类型的集群(cmanpacemaker),并防止某些命令需要多次运行。(BZ#1187258)

libvpd rebase 到版本 2.2.5

libvpd 软件包已更新至上游版本 2.2.5,它提供很多程序错误修复和增强。值得注意的是,它还实现了几个安全修复,包括缓冲区溢出和内存分配验证。(BZ#1182031)

添加到 pchrtptaskset 的 man page python-schedutils

在这个版本中,为 pchrtptaskset 工具添加了 man page,它们由 python-schedutils 软件包提供。(BZ#948381)

subscription-manager 客户端的 SSL 连接的套接字超时值现在可以配置

在以前的版本中,与授权服务器的 SSL 连接的套接字超时值是硬编码的。在这个版本中,用户可以在 /etc/rhsm/rhsm.conf 文件中配置自定义 SSL 超时值。设置更大的 SSL 超时有助于确保涉及许多订阅的昂贵的操作有足够的时间完成。(BZ#1346417)

redhat-uep.pem CA 证书移到 python-rhsm-certificates 软件包中

/etc/rhsm/ca/redhat-uep.pem 证书颁发机构(CA)证书之前包含在 python-rhsm 软件包中。在这个版本中,此证书会移到只提供证书的简化 python-rhsm-certificates 软件包中。现在,容器镜像只能使用 python-rhsm-certificates 来构建,而无需 python-rhsm 所需的所有软件包依赖项,特别是 python 软件包。(BZ#1104332)

gfs2-utils rebase 到版本 3.1.9

gfs2-utils 软件包已更新至上游版本 3.1.9,它提供很多改进、新功能和程序错误修复,包括:
  • fsck.gfs2 现在使用较少的内存
  • 对 fsck.gfs2 的扩展属性和资源组检查改进和修复
  • mkfs.gfs2 报告进度,以便用户可以在长时间 mkfs 操作期间告知它仍然处于活动状态
  • mkfs.gfs2 的 -t 选项现在接受较长的集群名称和文件系统名称
  • 现在安装了 udev 助手脚本来暂停设备,这样可防止挂起
  • 添加了对 de_rahead 和 de_cookie dirent 字段的支持
  • gfs2_edit 保存meta 性能改进
  • 添加了 glocktop 工具,以帮助分析与锁定相关的性能问题
  • mkfs.gfs2 (8)手册页已被重新工作
  • rgrplbvloccookie 挂载选项已添加到 gfs2 (5)手册页中
  • 树外构建和测试修复(BZ39) 71674)

system-switch-java rebase 到版本 1.7

system-switch-java 软件包提供了一个容易使用的工具来选择系统的默认 Java 工具集,它已更新至 1.7 版本。新版本已被重写以支持现代 JDK 软件包。主要改进包括支持多个 Java 安装、添加 -debug 软件包以及对 JDK 9 的支持。(BZ#1283904)

某些 Intel 微架构的可选分支预测器优化

第二代 Xeon Phi 和 3 代 Atom 微架构中的分支预测仅支持分支和分支目标之间的 32 位偏移。如果分支及其目标超过 4 GiB,则性能不佳。
在这个版本中,如果设置了 LD_PREFER_MAP_32BIT_EXEC 环境变量,glibc 会将主程序和共享对象映射到地址空间的第一个 31 位。请注意,这个改进可减少地址空间布局随机化(ASLR),因此默认情况下不启用。(BZ#1292018)

使用 AVX 512 为 Intel 硬件优化内存例程

这个版本使用 AVX 512 为 Intel 硬件提供优化的内存复制例程到核心 C 库(glibc)。当应用程序在启用了 AVX 512 的硬件中使用 C 库 memcpy ()memmove ()memset () 函数时,会自动选择这些优化的例程。
AVX 512 的内存复制例程在支持此功能的最新 Intel 硬件上提供最佳性能,特别是在第二代 Xeon Phi 系统中。(BZ#1298526)

best-performance memset () 例程

这个版本为 Intel Xeon v5 服务器硬件提供了对核心 C 库 memset () 例程的关键优化。AMD64 和 Intel 64 架构的现有 memset () 例程使用大量非临时存储,它的硬件功能不会跨硬件变体提供统一性能。新的 memset () 在硬件变体(包括 Intel Xeon v5 硬件)之间提供更好的性能。(BZ#1335286)

支持 glibc中的 --instLangs 选项

glibc-common 软件包提供了一个大型区域设置归档,其中包含 glibc 支持的所有区域的数据。典型的安装只需要这些区域的子集,并安装所有这些区域。在这个版本中,可以创建仅包含所需区域设置的系统安装和容器镜像,大大减少了镜像大小。(BZ#1296297)

用于 IBM POWER8 的 glibc 中的优化

在这个版本中,glibc 提供的所有库都已编译,以便在 POWER8 硬件上获得最佳性能。优化 64 位 IBM POWER7 和 POWER8 硬件的内存和字符串操作例程已添加到核心 C 库(glibc)中。当应用程序使用 C 库例程(如 strncat ()strncmp () )时,会自动选择这些优化的例程。这些 POWER7 和 POWER8-enabled 例程在最新的 IBM 硬件上提供最佳性能。(BZ#1213267, BZ#1183088, BZ#1240351)

用于 IBM z Systems z13 的 glibc 中的优化

核心 C 库(glibc)已被改进,为 IBM z Systems z13 硬件提供优化的支持。核心字符串和内存操作例程(如 strncpy ()memcpy () )都已优化。启用 z13 的例程在最新的 IBM 硬件上提供最佳性能。(BZ#1268008)

添加到 sos 软件包中的原始插件

原始 插件已添加到 sos 软件包中。该插件收集有关 OpenShift Origin 和相关产品的信息,如 Atomic PlatformOpenShift Enterprise 3 及更高版本。这样,用户可以收集有关 OpenShift Origin 部署的信息。(BZ#1246423)

gssproxy 现在支持 krb5 1.14

gssproxy 软件包提供了一个守护进程来管理对 GSSAPI 凭证的访问,以及 GSSAPI 交集插件,它已更新至上游版本 0.4.1-10。gssproxy 现在支持 1.14 版本中的 krb5 软件包。(BZ#1292487)

添加了为 ABRT reporter-upload 工具配置可选的 SSH 密钥文件

在这个版本中,添加了在自动错误报告工具(ABRT)的 reporter-upload 工具中配置 SSH 密钥的可能性。要指定密钥文件,请选择以下方法之一:
  • /etc/libreport/plugins/upload.conf 配置文件中使用 SSHPublicKeySSHPrivateKey 选项
  • 分别将 -b-r 命令行选项用于公钥和私钥
  • 分别设置 Upload_SSHPublicKeyUpload_SSHPrivateKey 环境变量。
如果没有指定这些选项或变量,则 reporter-upload 将使用用户的 ~/.ssh/ 目录中的默认 SSH 密钥。(BZ#1289513)

第 8 章 Desktop

新软件包: pidginpidgin-sipe

在这个版本中,添加了:
  • pidgin instant 消息传递客户端,它支持离线(OTR)消息传递和 Microsoft Lync instant 消息传递应用程序。
  • pidgin-sipe 插件,其中包含支持 Lync 的后端代码。
用户需要应用程序和插件来使用 Microsoft Lync。(BZ#1066457, BZ#1297461)

在 GNOME 终端中滚动 wheel 递增

在这个版本中,_gnome-terminal 软件包已被升级,因此滚动 wheel 设置现在可以在 GNOME 终端中配置。滚动首选项包括一个复选框按钮和一个 spinbutton,它允许在动态或固定滚动递增之间进行选择。默认选项是动态滚动递增,它基于可见行的数量。(BZ#1103380)

vinagre 用户体验改进

Vinagre 远程桌面查看器包括以下用户体验改进:
  • 全屏工具栏中提供了最小化按钮,这有助于访问自定义选项。
  • 现在,可以扩展远程桌面协议(RDP)会话。您可以在 Connect 对话框中设置会话大小。
  • 现在,您可以使用 secret 服务安全地存储和检索远程凭证。(BZ#1291275)

终端标签页或窗口的自定义标题

在这个版本中,用户可以为 gnome-terminal 中的终端窗口或标签页设置自定义标题。可以在 gnome-terminal 用户界面中直接更改标题。(BZ#1296110)

用于打开标签页和窗口的单独菜单项

在这个版本中,恢复单独的菜单项,以便在 gnome-terminal 中打开标签页和窗口。现在,在不熟悉键盘快捷键的情况下,可以更轻松地打开标签页和窗口组合。(BZ#1300826)

原生 Gnome/GTK+ 查找 Qt 应用程序

在以前的版本中,默认的 Qt 风格没有为 Qt 应用程序提供一致性,从而导致它们不适用于 Gnome 桌面。现在,为这些应用程序和 Qt 和 GTK+ 应用程序之间的视觉差异提供了新的 adwaita-qt 风格。(BZ#1306307)

rhythmbox rebase 到版本 3.3.1

Rhythmbox 是 GNOME 默认 music player。易于使用,包括 playlist、podcast 回放和音频流等功能。rhythmbox 软件包已升级到上游版本 3.3.1。最显著的变化包括:
  • 更好地支持 Android 设备
  • 新任务进度显示在 track 列表下方
  • 支持 composer、disk 和跟踪所有标签
  • 用于回放控制和源列表的新风格
  • 很多针对各种警告和意外终止错误的程序错误修复(BZ1141298233)

libreoffice rebase 到版本 5.0.6.2

libreoffice 软件包已升级到上游版本 5.0.6.2,它提供很多程序错误修复和增强,特别是:
  • 改进了状态栏和各种边栏。
  • 清理或重新安排各种工具栏和上下文菜单以提供更好的可用性。
  • 颜色选择器已被重新工作。
  • 创建了新模板。
  • 模板现在直接出现在 Start Center 中,可以从那里获取。
  • libreoffice 现在,显示一条信息条,以指示当文档以只读模式打开时。
  • 使用已弃用的 NPAPI 在某些网页浏览器中可以嵌入 libreoffice
  • 可以直接从 libreoffice 连接到 SharePoint 2010 和 2013 和 OneDrive。
  • 支持将公式转换为直接值、主文档模板、读取 .ase 格式的 palettes、导入 sVirt PageMaker 文档以及导出数字签名的 PDF 文件。
  • 现在,可以使用 A:A 或 1:1 表示法指定对整个列或行的引用。
  • 改进了与 Microsoft Office 文档格式的互操作性。
有关此升级提供的程序错误修正和增强的完整列表,请参阅 https://wiki.documentfoundation.org/ReleaseNotes/4.4https://wiki.documentfoundation.org/ReleaseNotes/5.0。(BZ#1290148)

GNOME 框支持 Windows Server 2012 R2、Windows 10 和 Windows 8.1

GNOME 框现在支持使用 Windows Server 2012 R2、Windows 10 和 Windows 8.1 创建虚拟机。(BZ#1257865, BZ#1257867, BZ#1267869)

vmware 图形驱动程序现在在 VMware Workstation 12 中支持 3D 加速

在以前的版本中,Red Hat Enterprise Linux 中的 vmware 图形驱动程序不支持 VMware Workstation 12 虚拟机(VM)的 3D 加速。因此,GNOME 桌面在主机的 CPU 上呈现,而不是 GPU。驱动程序已更新,以支持 VMware Workstation 12 虚拟图形适配器。因此,GNOME 桌面现在使用 3D 加速呈现。(BZ#1263120)

libdvdnav rebase 到版本 5.0.3

libdvdnav 库允许您在任何操作系统中浏览 DVD 菜单。libdvdnav 软件包已升级到 5.0.3 版本。最显著的变化包括:
  • 修复了没有菜单 DVD 中的一个错误
  • 修复了多角 DVD 上的回放问题
  • 修复了在与 DVD 驱动器中当前设置不同的区域回放 DVD 时的意外终止
  • 修复了读取某些 DVD 时的内存错误(BZ1141068814)

GIMP rebase 到版本 2.8.16

GNU Image Manipulation 程序(GIMP)已升级至版本 2.8.16,它比之前的版本提供了很多程序错误修复和增强。主要变化包括:
Core:
  • 更强大的 XCF 文件的加载
  • 提高了编写 XCF 文件时的性能和行为
GUI:
  • 小部件方向自动与为 GUI 设置的语言方向匹配
  • 标签的较大的滚动区域
  • 修复了通过拖放(DND)悬停的 dock 选项卡切换
  • DND 在一个 dockable 中的镜像间工作
  • 保存对话框中没有意外终止问题
插件:
  • 提高了 script-fu 服务器的安全性
  • 修复了 BMP 格式的文件的读取和写入问题
  • 修复了 PDF 插件中字体导出
  • 支持 OpenRaster 文件中的层组
  • 修复了使用层组加载 PSD 文件的问题(BZ1141298226)

gimp-help rebase 到版本 2.8.2

gimp-help 软件包已升级到上游版本 2.8.2,它提供很多程序错误修复和增强。值得注意的是,它还实现了到美国葡牙的完整转换。(BZ#1370595)

在 Red Hat Enterprise Linux 7 中添加 Qt5

在 Red Hat Enterprise Linux 7 中添加了新的 Qt 库版本(Qt5)。这个 Qt 版本为开发人员带来了许多功能,以及对移动设备的支持,它们已在以前的版本中缺少。(BZ#1272603)

改进了在设置新语言时的 UI 消息 system-config-language

在以前的版本中,如果您选择在 Language 图形化工具( system-config-language 软件包)中安装的新语言,而所选语言组不可用,则显示的错误消息不足。例如,如果您选择了 Italian (SASP),则显示的消息有:
Due to comps cleanup italian-support group got removed and no longer exists. Therefore only setting the default system language
在这个版本中,信息已被更新,类似以下示例:
Due to comps cleanup, italian-support group no longer exists and its language packages will not be installed. Therefore only setting Italian as the default system language.
新消息表示已启用新语言,而无需安装任何新软件包。下一次重启后,系统将使用所选语言引导。(BZ#1328068)

新软件包: pavucontrol

在这个版本中,添加了 pavucontrol 软件包,其中包含 PulseAudio 卷控制,它是基于 GTK 的卷控制应用程序,用于 PulseAudio 声音服务器。此应用程序允许将不同音频流的输出发送到不同的输出设备,如 headsets 或 speakers。默认音频控制面板无法单独的路由,该面板将所有音频流发送到相同的输出设备。(BZ#1210846)

libdvdread rebase 到版本 5.0.3

libdvdread 软件包已 rebase 到版本 5.0.3。最显著的变化包括:
  • 修复大量崩溃、断言和崩溃
  • 修复了 C++ 应用程序中的编译
  • 删除了 remap .MAP 文件的未使用功能
  • 删除了 dvdnavmini
  • 添加了 DVDOpenStream API
由于 API 变化,.so 版本也会改变。依赖于 libdvdread 的第三方软件需要针对这个新版本重新编译。(BZ#1326238)

用于 gnome-weather的新过期服务

在以前的版本中,gnome-weather 应用程序使用国家 Oceanic 和 Atmospheric 管理(NOAA)提供的 METAR 服务。但是,NOAA 会停止提供 METAR 服务。这个版本引入了一个新的 METAR 服务,由 Aviation Weather Center (AWC)和 gnome-weather 按预期工作。(BZ#1371550)

libosinfo rebase 到版本 0.3.0

libosinfo 软件包已更新至 0.3.0 版本。与之前的版本相比的显著变化包括改进 Red Hat Enterprise Linux 和 Ubuntu 的多个最新版本的操作系统数据,并修复几个内存泄漏。(BZ#1282919)

第 9 章 文件系统

XFS 运行时统计信息按文件系统位于 /sys/fs/ 目录中

现有的 XFS 全局统计信息目录已从 /proc/fs/xfs/ 目录移到 /sys/fs/xfs/ 目录中,同时保持与 /proc/fs/xfs/stat 中符号链接的兼容性。将为每个文件系统在 /sys/fs/xfs/ 中创建和维护新子目录,例如 /sys/fs/xfs/sdb7/stats/sys/fs/xfs/sdb8/stats。在以前的版本中,XFS 运行时统计信息仅适用于每台服务器。现在,每个设备可以使用 XFS 运行时统计信息。(BZ#1269281)

mkfs.gfs2中添加了一个进度指示符

mkfs.gfs2 工具现在在构建日志和资源组时报告其进度。因为 mkfs.gfs2 可能需要一些时间才能完成大型或较慢的设备,因此在报告被打印前,如果 mkfs.gfs2 正常工作,则之前无法清除它。在 mkfs.gfs2 中添加了一个进度条代表进度。(BZ#1196321)

fsck.gfs2 已被改进,在大型文件系统上需要较少的内存

在此次更新之前,全局文件系统 2 (GFS2)文件系统检查器 fsck.gfs2 需要大量在大型文件系统上运行,并在大于 100 TB 的文件系统上运行 fsck.gfs2。有了这个更新,fsck.gfs2 已被改进为以较少的内存运行,从而提高了可扩展性,并使运行 fsck.gf2 实际上在更大的文件系统上运行。(BZ#1268045)

GFS2 已改进,可以更好地扩展其 glock

在全局文件系统 2 (GFS2)中,打开或创建大量文件,即使它们再次关闭,在 slab 内存中保留很多 GFS2 集群锁定(glocks)。当 glock 的数量位于数百万上时,GFS2 之前启动减慢,特别是在文件创建时:GFS2 对创建文件逐渐慢。有了这个更新,GFS2 已被改进,以便更好地扩展其 glocks,现在 GFS2 可以在数百万文件之间保持良好的性能。(BZ#1172819)

xfsprogs rebase 到版本 4.5.0

xfsprogs 软件包已升级到上游版本 4.5.0,它提供很多程序错误修复和增强。Red Hat Enterprise Linux 7.3 内核 RPM 需要升级版本的 xfsprogs,因为新的默认磁盘格式在运行 xfs_repair 工具时需要特别处理日志周期号。主要变更包括:
  • 元数据 cyclic 冗余检查(CRC)和目录条目文件类型现在默认启用。要复制早期版本的 Red Hat Enterprise Linux 7 中使用的旧的 mkfs on-disk 格式,请在 mkfs.xfs 命令行上使用 -m crc=0 -n ftype=0 选项。
  • GETNEXTQUOTA 接口现在在 xfs_quota 中实施,即使用户数据中的条目数量非常大,也可以快速迭代所有磁盘上的配额。
另外,请注意上游和 Red Hat Enterprise Linux 7.3 之间的以下区别:
  • 实验性稀疏内节点功能不可用。
  • 默认情况下禁用空闲内节点 btree (finobt)功能,以确保与早期的 Red Hat Enterprise Linux 7 内核版本兼容。(BZ#1309498)

CIFS 内核模块 rebase 到版本 6.4

通用 Internet 文件系统(CIFS)已升级到上游版本 6.4,它提供了大量的程序错误修复和增强。值得注意的是:
  • 添加了对 Kerberos 身份验证的支持。
  • 添加了对 MFSymlink 的支持。
  • 现在,允许名为 pipes 的 mknodmkfifo
另外,还可识别并修复几个内存泄漏。(BZ#1337587)

配额 现在支持阻止有关带有不可用 配额 RPC 服务的 NFS 挂载点的警告

如果用户使用 quota 工具列出磁盘配额,并且本地系统使用不提供配额 RPC 服务的 NFS 服务器挂载文件系统,则 配额 工具会在从服务器 错误消息中获取配额时 返回错误。现在,配额 工具可以区分无法访问的 NFS 服务器和没有 配额 RPC 服务的可访问 NFS 服务器,第二个情况下不会报告错误。(BZ#1155584)

/proc/ 目录现在使用红色树实现来提高性能

在以前的版本中,/proc/ 目录条目实现使用单个链接列表,它会减慢对具有大量条目的目录操作的速度。在这个版本中,单一链接列表实现已被一个红色树实现替代,这提高了目录条目操作的性能。(BZ#1210350)

第 10 章 硬件启用

添加了对 CAPI 闪存块适配器的支持

Coherent 加速器处理器接口(CAPI)是一个技术,使 I/O 适配器能够统一访问主机内存,从而确保性能更高。在这个版本中,添加了 cxlflash 驱动程序,它支持 IBM 的 CAPI 闪存块适配器。(BZ#1182021)

MMC 内核 rebase 到版本 4.5

在这个版本中,Multimedia Card (MMC)内核子系统已升级到上游版本 4.5,它修复了多个程序错误,同时还可让 Red Hat Enterprise Linux 7 内核使用嵌入式 MMC (eMMC)接口版本 5.0。另外,更新改进了 MMC 设备的挂起和恢复功能,以及它们的一般稳定性。(BZ#1297039)

添加了 iWARP mapper 服务

这个更新为 Red Hat Enterprise Linux 7 添加了对互联网广域 RDMA 协议(iWARP)映射程序的支持。iWARP 映射程序是一个用户空间服务,可让以下 iWARP 驱动程序使用标准套接字接口声明 TCP 端口:
  • Intel i40iw
  • NES
  • Chelsio cxgb4
请注意,需要加载 iw_cmib_core 内核模块,以便 iWarp mapper 服务(iwpmd)成功启动。(BZ#1331651)

新软件包: memkind

在这个版本中,添加了 memkind 软件包,它提供用户可扩展的堆管理器库,作为 jemalloc 内存分配器的扩展。这个库启用了在将操作系统策略应用到虚拟地址范围时定义的内存类型之间的内存堆分区。另外,memkind 允许用户控制内存分区功能,并使用选择指定内存功能分配内存。(BZ#1210910)

对 AHCI 驱动程序的每端口 MSI-X 支持

针对每个端口消息信号中断(MSI-X)向量更新了高级主机控制接口(AHCI)的驱动程序。请注意,这只适用于支持该功能的控制器。(BZ#1286946)

现在完全支持 IBM z Systems 的运行时检查

在 IBM z Systems 上的 Red Hat Enterprise Linux 7 中完全支持 Runtime Instrumentation 功能(以前作为技术预览提供)。运行时 Instrumentation 为 IBM zEnterprise EC12 系统提供的很多用户空间应用程序启用高级分析和执行。(BZ#1115947)

第 11 章 安装和引导

改进了在安装过程中网络流量被阻断的日志记录

在这个版本中,当尝试在安装过程中连接到网络存储库时,增加了日志。现在,当在安装过程中存在网络仓库的连接问题时,日志会包含有关导致问题的更多详情。(BZ#1240379)

支持内存地址范围镜像

在这个版本中,可以使用带有新的 --mirror-below-4G--mirror-above-4G 选项的 efibootmgr 工具在兼容硬件上配置基于 EFI 的内核范围镜像。(BZ#1271412)

YumNetworkManager中增加了默认日志记录级别

在这个版本中,在 YumNetworkManager 工具中增加了默认日志记录级别。(BZ#1254368)

驱动程序更新磁盘现在可以替换载入的模块

现在,可以使用 Driver Update Disk 替换已经载入的模块,只要原始模块没有被使用。(BZ#1101653)

第 12 章 内核

protobuf-c 软件包现在可用于 IBM Power Systems 架构的 little-endian 变体

在这个版本中,为 IBM Power Systems 架构的 little-endian 变体添加了 protobuf-c 软件包。protobuf-c 软件包为 Google 的 Protocol Buffer 提供 C 绑定,它是上述构架中的 criu 软件包的先决条件。criu 软件包提供 Checkpoint/Restore in User space (CRIU)功能,它提供检查点和恢复进程或进程组。(BZ#1289666)

在内核中启用了 CAN 协议

启用 Controller Area Network (CAN)协议内核模块,为 CAN 设备驱动程序提供设备接口。CAN 是一个 vehicle 总线规格,最初旨在连接自动移动中的各种微控制器,自扩展到其他区域后。CAN 也用于工业,机器控制需要高性能接口,其他接口(如 RS-485)不足。CAN 设备驱动程序使用从 CAN 协议模块导出的功能,使内核了解设备,并允许应用程序连接和传输数据。在内核中启用 CAN 允许第三方 CAN 驱动程序和应用程序实施基于 CAN 的系统。(BZ#1311631)

kexec-tools中添加持久性内存支持

Linux 内核现在支持 Non-Volatile Dual In-line Memory Module (NVDIMM)内存设备的 E820_PRAM 和 E820_PMEM 类型。从上游后向移植了一个补丁,这样可确保 kexec-tools 也支持这些内存设备。(BZ#1282554)

libndctl - 用户空间 nvdimm 管理库

添加了 libndctl 用户空间库。它是内核 libnvdimm 子系统提供的 ioctlsysfs 入口点的集合。该程序库为启用了 NVDIMM 的平台启用更高级别的管理软件,同时还提供了一个命令行界面来管理 NVDIMM。(BZ#1271425)

kABI whitelist 的新符号,以支持 hpvsa 和 hpdsa 驱动程序

在这个版本中,内核应用程序二进制接口(kABI)白名单中添加了一组符号,这样可保证对 hpvsa 和 hpdsa 驱动程序的支持。
新添加的符号有:
  • scsi_add_device
  • scsi_adjust_queue_depth
  • scsi_cmd_get_serial
  • scsi_dma_map
  • scsi_dma_unmap
  • scsi_scan_host (BZ#1274471)

crash rebase 到版本 7.1.5

crash 软件包已升级到上游版本 7.1.5,它提供几个程序错误修复和增强。值得注意的是,这个 rebase 添加了新选项,如 dis -s,dis -f,sys -i,list -l, Quick Emulator (QEMU)的新支持会在 64 位 ARM 架构上生成了 Executable 和 Linkable Format (ELF) vmcore,以及支持最新上游内核所需的几个更新。与有选择地移植各个补丁相比,对 崩溃 软件包进行更新更加安全且效率更高。(BZ#1292566)

新软件包: crash-ptdump-command

Crash-ptdump-command 是一个新的 rpm 软件包,它提供了一个崩溃扩展模块来向 crash 工具添加 ptdump 子命令。ptdump 子命令从 vmcore 文件中检索并解码 Intel Processor Trace 工具生成的日志缓冲区,并输出到文件。这个新软件包是为 EM64T 和 AMD64 架构设计的。(BZ#1298172)

现在支持 ambient 功能

功能是 Linux 内核利用的每个线程属性,用于将通常与超级用户权限关联的权限分成多个不同的单元。在这个版本中,增加了对内核 ambient 功能的支持。ambient 功能是一组在程序使用 execve () 系统调用执行时保留的功能。只有允许和继承的功能才能是不同的。您可以使用 prctl () 调用来修改 ambient 功能。有关常规有关内核功能的更多信息,请参阅 capabilities (7) 手册页,以及 prctl (2) 手册页。(BZ#1165316)

cpuid 现已正式发布

在这个版本中,Red Hat Enterprise Linux 提供了 cpuid 工具。这个工具转储 CPUID 指令收集的 CPU 的详细信息,同时决定 CPU 的确切 CPU 模型。它支持 Intel、AMD 和 VIA CPU。(BZ#1307043)

FC-FCoE 符号已添加到 KABI 白名单中

在这个版本中,属于 libfclibfcoe 内核模块的符号列表已添加到内核应用程序二进制接口(KABI)白名单中。这样可确保以太网光纤通道(FCoE)驱动程序(依赖于 libfclibfcoe )可以安全地使用新添加的符号。(BZ#1232050)

新软件包:OpenPower 系统 opal-prd

新的 opal-prd 软件包包含一个守护进程,它处理特定于硬件的恢复过程,并在引导时作为后台系统进程运行。它与 OPAL 固件交互,以捕获硬件错误原因、日志事件到管理处理器,并在合适的情况下处理可恢复的错误。(BZ#1224121)

新软件包: libcxl

新的 libcxl 软件包包含用户空间库,用于通过内核 cxl 功能访问 CAPI 硬件。它可用于 IBM Power Systems 和 IBM Power Systems 架构的 little-endian 变体。(BZ#1305080)

对新添加的 iproute 命令的内核支持

在这个版本中,添加了内核支持,以确保新添加的 iproute 命令正常工作。提供的补丁集包括:
  • IPsec 接口的扩展,允许哈希使用前缀策略。
  • 根据 preflen 阈值,包含哈希前缀策略。
  • 通过 netlink 配置策略散列表阈值。(BZ#1222936)

PID cgroup 控制器的后向移植

这个版本添加了新的进程标识符(PID)控制器。此控制器帐户为每个 cgroup 的进程帐户,并允许 cgroup 层次结构在达到特定限制后停止任何新任务或克隆。(BZ#1265339)

mpt2sas 和 mpt3sas 合并

mpt2sasmpt3sas 驱动程序的源代码已合并。与上游不同,为了兼容的原因,Red Hat Enterprise Linux 7 继续维护两个二进制驱动程序。(BZ#1262031)

允许在 ksc 中指定多个 .ko 文件

在以前的版本中,无法在 ksc 工具的单一运行中添加多个 .ko 文件。因此,在单个运行中不会将包含多个内核模块的驱动程序传递给 ksc。在这个版本中,-k 选项可以在同一运行中多次指定。因此,单个 ksc 运行可用于查询多个内核模块使用的符号。因此,生成所有模块使用的符号的文件。(BZ#906659)

dracut 更新

dracut initramfs 生成器已更新,对之前的版本提供了很多程序错误修复和增强。值得注意的是:
  • dracut 提供了一个新的内核命令行选项 rd.emergency=[reboot|poweroff|halt],它指定了在出现关键故障时要执行的操作。当使用 rd.emergency=[reboot|poweroff|halt] 时,还应指定 rd.shell=0 选项。
  • rebootpoweroffhalt 命令现在可以在 dracut 的紧急 shell 中正常工作。
  • dracut 现在在内核命令行中支持多个绑定、网桥和 VLAN 配置。
  • 现在,可以使用 rd.device.timeout=<seconds> 选项在内核命令行中 指定设备超时。
  • 现在 DHCP 中使用在内核命令行中指定的 DNS 名称服务器。
  • dracut 现在支持 20 字节 MAC 地址。
  • 现在,为 DHCP 和 IPv6 Stateless Address AutoConfiguration (SLAAC)正确设置了最大传输单元(MTU)和 MAC 地址。
  • ip= 内核命令行选项现在支持括号中的 MAC 地址。
  • dracut 现在支持 RDMA (NFSoRDMA)模块的 NFS。
  • 在以太网(FCoE)设备中添加了对 kdump 的支持。FCoE 设备的配置在 kdump initramfs 中编译。内核崩溃转储现在可以保存到 FCoE 设备。
  • dracut 现在支持 --install-optional <file list> 选项和 install_optional_items+= <file>[ <file> ...] 配置文件指令。如果您使用新选项或指令,则会安装这些文件(如果文件存在),如果不存在,则不会返回错误。
  • dracut DHCP 现在识别 rfc3442-classless-static-routes 选项,该选项允许使用无类别网络地址。(BZ39)1359144, BZ39)1178497, BZ39)1324454, BZ0471194604, BZ0471282679, BZ39)1282680, BZ39)1332412, BZ 13319270, BZ1271656 , BZ 1271656, BZ39)1367374, BZ39)69672, BZ0471222529, BZ39)60955)

支持 Wacom Cintiq 27 QHD

Red Hat Enterprise Linux 7 现在支持 Wacom Cintiq 27 QHD 平板电脑。(BZ#1342989)

对 Intel® Omni-Path 架构(OPA)内核驱动程序的完全支持

以前作为技术预览提供的 Intel® Omni-Path 架构(OPA)内核驱动程序现已获得全面支持。Intel® OPA 为在集群环境中的计算和 I/O 节点之间的高性能数据传输(高带宽、高消息率、低延迟)提供主机 Fabric Interconnect (HFI)硬件初始化和设置。
有关如何获取 Intel® Omni-Path 架构文档的说明,请参阅 https://access.redhat.com/articles/2039623。(BZ#1374826)

cyclitest --smi 选项可供非 root 用户

有了这个更新,可以以非 root 用户身份使用带有 --smi 选项的 cyclictest 程序,只要用户也属于 realtime 组。在支持系统管理中断(SMI)的处理器上,-- smi 显示有关系统的 SMI 的报告,它之前只对 root 用户可用。(BZ#1346771)

添加了对新智能阵列存储适配器的支持

在 Red Hat Enterprise Linux 7.2 和旧版本中,不支持新的 Smart Array 存储适配器。但是,aacraid 驱动程序检测到这些适配器,系统似乎可以正常工作。在这个版本中,新的 smartpqi 驱动程序支持新的 Smart Array 存储适配器。请注意,当您更新时,这些适配器的驱动程序名称将改变。(BZ#1273115)

Linux 内核现在支持可信虚拟功能(VF)概念

上游代码已向后移植到 Linux 内核中,以支持可信虚拟功能(VF)概念。现在,允许可信 VF 启用多播聚合模式,允许它们分配超过 30 个 IPv6 地址。可信 VF 也允许覆盖介质访问控制(MAC)地址。(BZ#1302101)

现在 IBM Power 系统支持 seccomp 模式 2

在这个版本中,增加了对 IBM Power 系统上的 seccomp 模式 2 的支持。seccomp 模式 2 涉及解析 Berkeley Packet Filter (BPF)配置文件来定义系统调用过滤。这个模式提供了显著的安全增强,这对在 IBM Power Systems 上的 Linux 中采用容器至关重要。(BZ#1186835)

添加了内存带宽监控

这个更新将内存带宽监控(MBM)添加到 Linux 内核中。MBM 是平台服务质量(QoS)功能系列中包含的 CPU 功能,用于跟踪特定任务的内存带宽使用量或一组与资源监控 ID (RMID)关联的任务。(BZ#1084618)

brcmfmac 现在支持 Broadcom 无线卡

brcmfmac 内核驱动程序已更新,以支持 Broadcom BCM4350 和 BCM43602 无线卡。(BZ#1298446)

autojoin 选项已添加到 ip addr 命令中,以允许多播组加入或离开

在以前的版本中,无法向进行多播修剪的以太网交换机指示互联网组管理协议(IGMP)成员资格。因此,这些交换机不会将数据包复制到主机的端口。有了这个更新,ip addr 命令已使用 autojoin 选项扩展,该选项可让主机加入或离开多播组。(BZ#1267398)

Open vSwitch 现在支持 NAT

在这个版本中,Open vSwitch 内核模块增加了网络地址转换(NAT)支持。(BZ#1297465)

页面表现在并行初始化

在以前的版本中,页表基于 Intel EM64T、Intel 64 和 AMD64 架构在非统一内存访问(NUMA)系统上按顺序化。因此,大型服务器可能会在引导时执行缓慢。在这个版本中,已向后移植一组补丁,以确保内存初始化主要由节点激活的一部分由节点本地 CPU 并行完成。因此,与之前的版本相比,内存为 16TB 到 32TB 的系统现在启动大约两次。(BZ#727269)

Linux 内核现在支持 Intel MPX

在这个版本中,在 Linux 内核中添加了对 Intel 内存保护扩展(MPX)的支持。Intel MPX 是 Intel 64 架构的一组扩展。Intel MPX 与编译器、运行时库和操作系统支持通过检查其编译时间正常目的的指针引用来提高软件的简洁性和安全性,因为缓冲区溢出可能会恶意利用。(BZ#1138650)

ftrace 现在按预期打印命令名称

当 trylock () 函数没有成功获得锁定时,在 ftrace 内核追踪程序中保存命令名称会失败。因此,ftrace/sys/kernel/debug/tracing 文件中没有正确打印命令名称。在这个版本中,命令名称的记录已被修复,ftrace 现在会如预期打印命令名称。用户现在可以通过设置 saved_cmdlines_size 内核配置参数来设置存储的命令数量。(BZ#1117093)

现在,在 /proc/<pid>/smaps 中可以看到交换的共享内存

在此次更新之前,swapped-out 共享内存都不会出现在 /proc/<pid>/status 文件中,也不会出现在 /proc/<pid>/smaps 文件中。在这个版本中,增加了交换出出共享内存的每个进程核算,包括 sysV shm、共享匿名映射并映射到 tmpfs 文件。现在,swapped-out 共享内存会出现在 /proc/<pid>/smaps 中。但是,swapped-out 共享内存没有反映在 /proc/<pid>/status 中,而 swapped-out shmem 页面则保留在某些工具中(如 procps )。(BZ#838926)

内核 UEFI 支持更新

内核中的统一可扩展固件接口(UEFI)支持已更新,并带有来自上游内核的一组选择补丁。与之前的版本相比,这个集合提供了很多程序错误修复和增强。(BZ#1310154)

鼠标控制器现在可以在带有安全引导的客户机上工作

Red Hat Enterprise Linux 现在支持启用了安全引导功能的客户虚拟机上的鼠标控制器。这样可确保在虚拟机监控程序上运行的 Red Hat Enterprise Linux 客户机上的鼠标功能默认启用安全引导。(BZ#1331578)

现在支持 RealTek RTS520 卡读取器

在这个版本中,增加了对 RealTek RTS520 卡读卡器的支持。(BZ#1280133)

隧道设备现在支持锁定 xmit

在以前的版本中,默认使用 pfifo_fast 队列格式的隧道设备,需要 tx 路径的序列化锁定。在这个版本中,每个 CPU 变量用于统计核算,不需要在 tx 路径上进行序列化锁定。因此,现在允许用户空间配置 noqueue 队列规则,且 xmit 路径不需要锁定,这会显著提高隧道设备 xmit 性能。(BZ#1328874)

Chelsio 驱动程序更新

Chelsio NIC、iWARP、vNIC 和 iSCSI 驱动程序更新至其最新版本,与之前的版本相比,这增加了几个程序错误修复和增强。
最显著的改进包括:
  • ethtool 支持以获取适配器统计信息
  • ethtool 支持转储频道统计信息
  • ethtool 转储回环端口统计信息
  • debugfs 条目用于转储 CIM MA 逻辑分析器日志
  • debugfs 条目用于转储 CIM PIF 逻辑分析器内容
  • debugfs 条目用于转储频道率
  • debugfs 条目以启用后台访问
  • debugfs 支持转储 meminfo
  • MPS 追踪支持
  • RX 的硬件时间戳支持
  • T6 适配器的设备 ID (BZ39) 75829)

支持 Chelsio 驱动程序的 25G、50G 和 100G 速度模式

有了这个更新,一组补丁已被向后移植到 Linux 内核中,它为 Chelsio 驱动程序添加 25G、50G 和 100G 速度模式。此补丁集还将链接模式掩码 API 添加到 cxgb4cxgb4vf 驱动程序中。(BZ#1365689)

mlx5 现在支持 NFSoRDMA

在这个版本中,mlx5 驱动程序支持通过远程直接内存访问(NFSoRDMA)导出网络文件系统。现在,客户可以通过 RDMA 挂载 NFS 共享,并从客户端计算机执行以下操作:
  • 使用 ls 命令列出 NFS 共享中的文件
  • 对新文件使用 touch 命令
此功能允许某些作业从共享存储中运行,当您有大的 InfiniBand 连接的运行时很有用,这样可增大大小。(BZ#1262728)

在 6 代 Intel Core Processors 上启用了 I2C

从这个更新开始,第 6 代 Intel Core Processors 支持由内核驱动程序控制的 I2C 设备。(BZ#1331018)

mlx4mlx5 现在支持 RoCE

这个版本添加了对 Remote Direct Memory Access Over Converged Ethernet (RoCE)网络协议时间到 mlx4mlx5 驱动程序的支持。RoCE 是一种通过远程直接内存访问(RDMA)提供高效服务器到服务器数据传输的机制,在无丢失以太网网络中非常低延迟。RoCE 封装了两个以太网数据包之一中的 InfiniBand (IB)传输: - RoCEv1 - 专用 ether 类型(0x8915)- RoCEv2 - 用户数据报协议(UDP)和专用 UDP 端口(4791)。
现在,mlx4mlx5 支持 RoCE 版本。从此次更新开始,mlx4 支持 RoCE 虚拟功能链路聚合协议,它为 mlx4 设备物理端口提供故障转移和链路聚合功能。只有代表两个物理端口的 IB 端口才会公开给应用程序层。(BZ#1275423, BZ#1275187, BZ#1275209) (BZ#1275423)

支持跨通道同步

从这个更新开始,Linux 内核支持 AMD64 和 Intel 64、IBM Power Systems 和 64 位 ARM 架构上的跨通道同步。现在,设备可以在不同的工作队列中同步或序列化执行 I/O 操作,而无需从主机软件进行任何干预。(BZ#1275711)

Linux 内核中添加了对 SGI UV4 的支持

从这个更新开始,Linux 内核支持 SGI UV4 平台。(BZ#1276458)

更新对 TPM 2.0 的支持。

Linux 内核中更新了对版本 2.0 的受信任的平台模块(TPM)的支持。(BZ#1273499)

支持 12 TB RAM

在这个版本中,内核认证为支持 12 TB RAM。这个新功能涵盖了内存技术的前面,并可能满足在 Red Hat Enterprise Linux 7 生命周期中发行的未来服务器的相关要求。此功能可用于 AMD64 和 Intel 64 架构。(BZ#797488)

对 RDMA 的 10GbE RoCE Express 功能完全支持

在 Red Hat Enterprise Linux 7.3 中,通过融合以太网的 10GbE RDMA (RoCE) Express 功能被完全支持。这样便可在 IBM z 系统上使用以太网和远程直接内存访问(RDMA)以及直接访问编程库(DAPL)和 OpenFabrics Enterprise Distribution (OFED) API。
在 IBM z13 系统中使用此功能前,请确保应用最低所需的服务:z/VM APAR UM34525 和 HW ycode N98778.057 (bundle 14)。(BZ#1289933)

IBM z 系统完全支持 zEDC 压缩

Red Hat Enterprise Linux 7.3 及更新的版本为 Generic Workqueue (GenWQE)引擎设备驱动程序提供全面支持。驱动程序的初始任务是执行 zlib 样式压缩和解压缩 RFC1950、RFC1951 和 RFC1952 格式,但可以调整它来加快各种任务。(BZ#1289929)

IBM z 系统的 LPAR Watchdog

IBM z 系统的增强的 watchdog 驱动程序被完全支持。这个驱动程序支持 Linux 逻辑分区(LPAR)以及 z/VM hypervisor 中的 Linux 客户机,并在 Linux 系统变得无响应时提供自动重启和自动转储功能。(BZ#1278794)

第 13 章 实时内核

关于 Red Hat Enterprise Linux for Real Time 内核

Red Hat Enterprise Linux for Real Time 内核旨在为具有非常高确定性的系统启用微调。结果的一致性增加的主要增加,应通过调整标准内核来实现。实时内核通过调优标准内核,实现较小的增加速度。
实时内核位于 rhel-7-server-rt-rpms 存储库中。安装指南 包含安装说明,以及文档的其余部分,请参见 Red Hat Enterprise Linux for Real Time 产品文档

为实时内核启用了 can-dev 模块

为实时内核启用了 can-dev 模块,为 Controller Area Network (CAN)设备驱动程序提供设备接口。CAN 是一个 vehicle 总线规格,最初旨在连接自动移动中的各种微控制器,自扩展到其他区域后。CAN 也用于工业,机器控制需要高性能接口,其他接口(如 RS-485)不足。
CAN 设备驱动程序使用从 can-dev 模块导出的功能,使内核了解设备,并允许应用程序连接和传输数据。
在实时内核中启用 CAN 允许使用第三方 CAN 驱动程序和应用程序来实现基于 CAN 的系统。(BZ#1328607)

第 14 章 网络

支持最新的蓝牙,包括蓝牙 LE

这个版本提供了最新的蓝牙支持,包括连接到蓝牙低站(LE)设备的支持。这有助于确保互联网(IoT)设备正常工作。(BZ#1296707)

Open vSwitch 现在使用内核轻量级隧道支持

有了这个更新,Open vSwitch (OVS)实现现在对 VXLAN、GRE 和 GENEVE 隧道使用内核轻量级隧道支持。这可让您消除 OVS vport 实施中的重复功能,并从基本内核的功能和性能改进(如目标缓存支持或硬件卸载)带来 OVS 优势。(BZ#1283886)

现在支持内存分配器子系统中的 Bulking

在这个版本中,内核支持批量分配和内存分配。目前,此性能优化仅在网络堆栈中使用,以释放连续的网络数据包。(BZ#1268334)

NetworkManager 现在支持 LLDP

在这个版本中,NetworkManager 可以在给定接口上侦听链路层发现协议(LLDP)消息,并通过 D-bus 和 nmcli 公开有关找到邻居节点的信息。此功能默认为禁用,但您可以通过 ifcfg 文件中的 connection.lldp 属性或 LLDP 变量启用它。(BZ#1142898)

NetworkManager 中的 DHCP 超时是可配置的

当服务器不存在时,动态主机配置协议(DHCP)协商中快速回退很有用。有了这个更新,用户可以在 ifcfg 文件中设置 ipv4.dhcp-timeout 属性的值或 IPV4_DHCP_TIMEOUT 选项。因此,NetworkManager 只从 DHCP 服务器等待给定时间的响应。(BZ#1262922)

NetworkManager 现在检测到重复的 IPv4 地址

在这个版本中,NetworkManager 执行检查以在激活新连接时检测重复的 IPv4 地址。如果已经分配了 LAN 中的地址,连接激活会失败。此功能默认为禁用,但您可以通过 ifcfg 文件中的 ipv4.dad-timeout 属性或 ARPING_WAIT 变量启用它。(BZ#1259063)

NetworkManager 现在使用 systemd-hostnamed控制主机名

在这个版本中,NetworkManager 使用 systemd-hostnamed 服务来读取和写入静态主机名,该名称存储在 /etc/hostname 文件中。由于此更改,NetworkManager 不再自动获取对 /etc/hostname 文件进行的手动修改;用户应该通过 hostnamectl 程序更改系统主机名。另外,在 /etc/sysconfig/network 文件中使用 HOSTNAME 变量现已弃用。(BZ#1367916)

NetworkManager 现在在无线网络扫描过程中使用随机的 MAC 地址

在无线网络扫描过程中,NetworkManager 现在默认为隐私使用随机的 MAC 地址。这可以在配置中明确禁用。(BZ#1388471)

bridge_netfilter rebase 到版本 4.4

bridge_netfilter 子系统已升级到上游版本 4.4,它提供很多程序错误修复和增强。最值得注意的是,网桥转发性能显著提高,现在默认不会注册 bridge_netfilter hook,并修复了片段中的功能问题。(BZ#1265259)

libnl3 rebase 到版本 3.2.28

libnl3 软件包已升级到 3.2.28 版本,它提供很多程序错误修复和增强。其他内容:
  • 添加了库符号版本控制
  • 添加了用于新内核功能和设备类型的 Suport
  • 现在提供了一个新的 libnl-xfrm-3
  • 此版本与上游提供重新同步(BZ1141296058)

现在支持 PR-SCTP 扩展的额外策略

RFC3758 中定义的 Partially Reliable SCTP (PR-SCTP)扩展提供了一种通用方法,向带外用户消息发送发送者的通用方法。在这个版本中,支持三个额外的 PR-SCTP 策略:
  • timed Reliability:这允许发送者为用户消息指定超时。SCTP 堆栈在超时过期后取消用户消息。
  • 限制重新传输策略:允许重新传输的数量。
  • 优先级类:如果在发送缓冲区中需要高优先级消息的空间,允许删除较低优先级消息。(BZ#965453)

tc 过滤器操作的 man page 已添加到 iproute 软件包中

在这个版本中,添加了 iproute 工具的 tc 过滤器操作的 man page。现在,每个 tc 操作都有一个相应的 man page,其中包括 synopsis、options 和 verbose 功能描述。(BZ#1275426)

iproute 工具现在可以阻止与 MACVLAN 一起使用的物理接口默认进入 promiscuous 模式

新的 MACVLAN_FLAG_NOPROMISC 标志允许用户在创建和设置直通模式后控制以promiscuous 模式输入物理接口。当所有端点的 MAC 地址都已知且用户希望避免处理接口接收的每个数据包的开销时,此功能很有用。(BZ#1013584)

新的 IFA_F_NOPREFIXROUTE 标志,以防止自动创建路由

在以前的版本中,当多个接口属于同一本地网络时,用户无法显式选择首选接口。在这个版本中,IFA_F_NOPREFIXROUTE netlink 标志允许在向网络接口添加新 IPv4 地址时自动创建路由。(BZ#1221311)

ip 命令现在可以显示网桥配置

在这个版本中,您可以使用 ip 工具而不是 brctl 工具来显示网桥配置。(BZ#1270763)

ss 现在支持每个连接 TCP 重新传输的监控

有了这个更新,ss 命令输出包括 bytes_ackedbytes_receivedsegs_insegs_out 字段,除非它们为 null。此功能提高了链路质量监控。(BZ#1269051)

iPXE 软件包 rebase 为在物理机上支持 IPv6

ipxe-bootimgsipxe-roms 软件包已更新到上游提交 6366fa7a,以支持在 Red Hat Enterprise Linux 7 物理安装中通过 IPv6 进行网络引导。(BZ#1298313)

新软件包: libvma

libvma 是一个动态链接的用户空间库,用于通过远程直接内存访问(RDMA)的网络接口控制器透明提高 TCPUDP 网络密集型应用程序的性能。它允许标准套接字 API 应用程序使用完整网络堆栈运行,绕过用户空间,从而降低延迟、提高吞吐量并增加数据包率。
libvma 目前仅限于 Mellanox ConnectX-3 Infiniband 和 Ethernet 端口,以及 Mellanox ConnectX-4 以太网端口。不支持 Mellanox ConnectX-4 Infiniband 端口。(BZ#1271624)

curl中的新 --unix-socket 选项

现在,如果指定了新的 --unix-socket 选项,curl 工具可以通过 Unix 域套接字进行连接,而不是使用 TCP/IP。Docker REST API 用于监控此功能。(BZ#1263318)

对新添加的 iproute 命令的内核支持

这个 Red Hat Enterprise Linux 7 更新版本添加了内核支持,以达到新添加的 iproute 命令的正确功能。提供的 patchset 包括: -extension of the IPsec 接口,它允许根据 netlink (BZ39) 12026)),对哈希前缀策略进行哈希前缀策略进行哈希处理,允许处理前缀策略。

第 15 章 安全性

SELinux 用户空间软件包 rebase 到版本 2.5

SELinux 用户空间软件包升级至上游版本 2.5,它提供了很多改进、错误修复和性能改进。SELinux 用户空间 2.5 中最重要的新功能包括:
  • 新的 SELinux 模块存储支持优先级。优先级概念提供了使用较高优先级模块覆盖系统模块的功能。
  • SELinux 通用中间语言(CIL)提供了明确且简单的语法,这些语法易于读取、解析,并由高级别编译器、分析工具和策略生成工具生成。
  • 现在,耗时的 SELinux 操作(如策略安装或载入新策略模块)会非常快。
注:SELinux 模块的默认位置保留在 Red Hat Enterprise Linux 7 中的 /etc/selinux/ 目录中,上游版本使用 /var/lib/selinux/。要为迁移更改此位置,请在 /etc/selinux/semanage.conf 文件中设置 store-root= 选项。(BZ#1297815)

scap-workbench rebase 到版本 1.1.2

scap-workbench 软件包已更新至 1.1.2 版本,它提供了一个新的 SCAP 安全指南集成对话框。该对话框可帮助管理员选择需要扫描的产品,而不是选择内容文件。新版本还提供大量性能和用户专家改进,包括改进定制窗口中的规则搜索,可以使用 GUI 在 SCAP 内容中获取远程资源,以及空运行功能。dry-run 功能允许用户向诊断窗口获取 oscap 命令行参数,而不是运行扫描。(BZ#1202854)

openscap rebase 到版本 1.2.10

启用集成安全内容自动化协议(SCAP)行的 OpenSCAP 套件已 rebase 到版本 1.2.10,它是最新的上游版本。openscap 软件包提供 OpenSCAP 库和 oscap 工具。最重要的是,这个更新添加了对使用 atomic scan 命令扫描容器的支持。另外,这个更新提供以下改进:
  • oscap-vm,这是用于虚拟机离线扫描的工具
  • oscap-chroot,这是对挂载在任意路径的文件系统离线扫描的工具
  • 完全支持开放漏洞和评估语言(OVAL) 5.11.1
  • 对远程 .xml.bz2 文件的原生支持
  • 根据各种标准对 HTML 报告结果进行分组
  • HTML 报告改进
  • 用于调试 OVAL 评估的详细模式(BZ1278147)

firewalld rebase 到版本 0.4.3.2

firewalld 软件包已升级到上游版本 0.4.3.2,它提供很多改进和程序错误修复。主要变化包括:
  • 性能改进: firewalld 启动并重启会因为新的事务模型同时将规则分组在一起。这个模型使用 iptables restore 命令。另外,firewall-cmdfirewall-offline-cmdfirewall-configfirewall-applet 工具已被改进,并考虑性能。
  • 改进了连接、接口和源的管理:用户现在可以控制 NetworkManager 中连接的区设置。此外,接口的区设置也由 firewalldifcfg 文件控制。
  • 默认日志记录选项:使用新的 LogDenied 设置,用户可以轻松地调试并记录被拒绝的数据包。
  • ipset 支持: firewalld 现在支持多个 IP 集作为区源,在丰富的和直接规则内支持。请注意,在 Red Hat Enterprise Linux 7.3 中,firewalld 仅支持以下 ipset 类型:

audit rebase 到版本 2.6.5

audit 软件包包含用于存储和搜索由 Linux 内核中审计子系统生成的审计记录的用户空间工具。audit 软件包已升级到上游版本 2.6.5,它提供很多改进和程序错误修复。主要变化包括:
  • 审计守护进程现在包含一个名为 incremental_async 的新冲刷技术,它大约提高了 90 次的性能。
  • 审计系统 现在有许多规则可以组成到 审计策略 中。其中一些新规则包括对安全技术实施指南(STIG)、PCI 数据安全标准和其他功能的支持,如审计出现 32 位系统调用、显著功耗或模块加载。
  • auditd.conf 配置文件和 auditctl 命令现在支持许多新选项。
  • 审计系统 现在支持名为增强的新日志格式,它解决了 UID、GID、syscall、架构和网络地址。这将有助于在与生成日志不同的机器上记录分析。(BZ#1296204)

现在支持 MACsec (IEEE 802.1AE)

在这个版本中,支持通过以太网进行 Media Access Control Security (MACsec)加密。MACsec 使用 GCM-AES-128 算法加密并验证 LAN 中的所有流量。(BZ#1104151)

rsyslog RELP 模块现在绑定到特定的规则集

在这个版本中,rsyslog 可靠的事件日志记录协议(RELP)模块现在可以绑定到每个输入实例的特定规则集。input () 实例规则集的优先级高于 module () 规则集。(BZ#1223566)

rsyslog imfile 模块现在支持通配符文件名

rsyslog 软件包提供了一个增强的、多线程的 syslog 守护进程。在这个版本中,rsyslog imfile 模块支持在文件名中使用通配符,并将实际文件名添加到消息的元数据中。当 rsyslog 需要读取目录下的日志且无法提前知道文件的名称时,这非常有用。(BZ#1303617)

audit.log 中的 syscalls 现在转换为文本

有了这个更新,auditd 在将系统调用号转发到 syslog 守护进程之前,先将其转换为 syslog 守护进程。(BZ#1127343)

audit 子系统现在可以按进程名称过滤

用户现在可以根据可执行文件名称进行审核(使用 -F exe=<path-to-executable&gt; 选项),该选项允许表达式许多新的审计规则。您可以使用此功能检测事件,如 bash shell 打开网络连接。(BZ#1135562)

mod_security_crs rebase 到版本 2.2.9

mod_security_crs 软件包已升级到上游版本 2.2.9,它提供很多程序错误修复和增强。主要变更包括:
  • 用于检测 PHP 漏洞的新 PHP 规则(958977)。
  • JS 覆盖文件 来识别成功的 XSS 探测。
  • 新的 XSS 检测规则。
  • 修复了会话劫持规则。(BZ#1150614)

opencryptoki rebase 到版本 3.5

opencryptoki 软件包已升级到 3.5 版本,它提供很多程序错误修复和增强。
主要变更包括:
  • 如果不存在,cryptoki 服务会自动创建 lock/log/ 目录。
  • PKCS the API 支持在所有令牌中使用 SHA 哈希的基于哈希的消息验证代码(HMAC)。
  • openCryptoki 库提供了 OPENCRYPTOKI_TRACE_LEVEL 环境变量的动态追踪集。(BZ#1185421)

gnutls 现在使用中央证书存储

gnutls 软件包提供 GNU Transport Layer Security (GnuTLS)库,它实现了加密算法和协议,如 SSL、TLS 和 DTLS。在这个版本中,GnuTLS 通过 p11-kit 软件包使用 Red Hat Enterprise Linux 的中央证书存储。证书颁发机构(CA)更新以及证书黑色列表现在在运行时对应用程序可见。(BZ#1110750)

firewall-cmd 命令现在可以提供额外的详情

在这个版本中,firewalld 显示服务、区和 ICMP 类型的详情。另外,用户可以列出源 XML 文件的完整路径。firewall-cmd 的新选项有:
  • [--permanent] --info-zone=zone
  • [--permanent] --info-service=service
  • [--permanent] --info-icmptype=icmptype (BZ#1147500)

pam_faillock 现在可以使用 unlock_time=never配置

pam_faillock 模块现在允许使用由多个身份验证失败生成的用户身份验证锁定的 unlock_time=never 选项指定。(BZ#1273373)

libica rebase 到版本 2.6.2

libica 软件包已更新至上游版本 2.6.2,它提供很多程序错误修复和增强。值得注意的是,这个更新添加了对生成伪随机数字的支持,包括根据更新的安全规格 NIST SP 800-90A 对 Deterministic Random Bit Generator (DRBG)的支持。(BZ#1274390)

新的 lastlog 选项

lastlog 工具现在有新的 --clear--set 选项,它允许系统管理员将用户的 lastlog 条目重置为 永不登录的 值或当前时间。这意味着,您可以重新启用之前因为不活跃而锁定的用户帐户。(BZ#1114081)

libreswan rebase 到版本 3.15

Libreswan 是 Linux 的互联网协议安全(IPsec)和互联网密钥交换(IKE)的实现。libreswan 软件包已升级到上游版本 3.15,它提供很多改进和程序错误修复。主要变化包括:
  • 在使用 SHA2 算法时,会增加非ce 大小以满足 RFC 要求。
  • 现在,当连接错误时,Libreswan 会调用 NetworkManager 帮助程序。
  • 证书中的所有 CRL 发布点 现已处理。
  • Libreswan 不再尝试删除不存在的 IPsec 安全关联(SA)。
  • pluto IKE 守护进程现在具有 CAP_DAC_READ_SEARCH 功能。
  • 当使用 on-demand 隧道时,pluto 不再崩溃。
  • pam_acct_mgmt 现在被正确设置。
  • 修复了回归,带有 keyingtries=0 的隧道会尝试无限期建立隧道。
  • 在重新建立配置为保持的已删除隧道前的延迟现在小于一秒。(BZ#1389316)

nettle 中的 SHA-3 实现现在符合 FIPS 202

nettle 是一个加密库,设计为在几乎所有上下文中轻松容纳。在这个版本中,安全哈希算法 3 (SHA-3)实现已更新,以符合最终联邦信息处理标准(FIPS) 202 草案。(BZ#1252936)

scap-security-guide rebase 到版本 0.1.30

scap-security-guide 项目提供了从最终系统安全点配置系统的指南。软件包已升级至 0.1.30 版本。主要改进包括:
  • Red Hat Enterprise Linux 7 包括并更新国家安全系统(CNSS)指令 No. 1253 配置文件。
  • The U.S.现在,提供了由互联网安全中心(CIS)基准提升的政府 Commercial Cloud Services (C2S)配置文件。
  • 现在,补救 脚本直接包含在基准测试中,不再需要外部 shell 库。
  • Red Hat Enterprise Linux 7 的国防信息系统局(DISA)安全技术实施指南(STIG)配置文件已更新为 Red Hat Enterprise Linux 6 的 DISA STIG 配置文件。
  • Red Hat Enterprise Linux 7 现在提供了 Criminal Justice Information Services (CJIS)安全策略配置集的草案。(BZ#1390661)

第 16 章 服务器和服务

squid rebase 到版本 3.5.20

Squid 是一个功能齐全的 HTTP 代理,它提供丰富的访问控制、授权和日志记录环境,用于开发 Web 代理和内容服务应用程序。squid 软件包已升级到 3.5.20 版本。最显著的变化包括:
  • 支持 libecap 版本 1.0
  • 身份验证帮助程序查询扩展
  • 支持 named 服务
  • 升级 squidclient 工具
  • 对并发频道的帮助支持
  • 原生 FTP 转发
  • 接收 PROXY 协议、版本 1 和 2
  • SSL 服务器证书验证器
  • 注解事务的备注指令
  • BSD 系统的 TPROXY 支持
  • spoof_client_ip 指令用于管理 TPROXY spoofing
  • 各种访问控制更新
  • 支持任何帮助程序中的 OK、ERR 和 BH 响应代码和 kv-pair 选项
  • 改进了管道队列配置。
  • 多播 DNS
重要信息: 请注意,当更新 squid 时,某些配置指令将更改为其最新版本的版本。这些修改是向后兼容的,但如果您想要防止意外配置更改,您可以使用 squid-migration-script 软件包预览更新 squid 配置的结果。如需更多信息,请参阅 https://access.redhat.com/solutions/2678941。(BZ#1273942)

PHP cURL 模块现在支持 TLS 1.1 和 TLS 1.2

对 TLS 协议版本 1.1 和 1.2 的支持(以前在 curl 库中提供的)已添加到 PHP cURL 扩展中。(BZ#1291667)

现在支持 OpenSSL 中的 SCTP

OpenSSL 库中的 SCTP (Stream Control 传输协议)支持现在为 OpenSSL DTLS (Datagram Transport Layer Security)协议实现启用。(BZ#1225379)

dovecot 启用了 tcp_wrappers 支持

Dovecot 是一个 IMAP 服务器,主要使用安全编写。它还包含一个小型 POP3 服务器,并以 maildir 或 Mbox 格式支持电子邮件。
在这个版本中,Dovecot 是启用 tcp_wrappers 支持构建的。现在,您可以使用 tcp_wrappers 作为安全层将网络访问限制为 Dovecot。(BZ#1229164)

添加了必要的类来允许 log4j 作为 Tomcat 日志记录机制

由于缺少 tomcat-juli.jartomcat-juli-adapters.jar 文件,log4j 工具无法用作 Tomcat 日志记录机制。添加了必要的类,log4j 现在可用于日志记录。此外,必须安装或更新 symlinks 实用程序,以指向带有上述 .jar 文件的额外文件夹。(BZ#1133070)

MySQL-python rebase 到版本 1.2.5

MySQL-python 软件包已升级到上游版本 1.2.5,它提供很多程序错误修复和增强。值得注意的是,在 neutroncinder 服务中造成 ResourceClosedError 的错误已被修复。(BZ#1266849)

BIND 现在支持基于 GeoIP 的 ACL

在这个版本中,BIND DNS 服务器可以使用 GeoIP 数据库。此功能可让管理员根据客户端的地理位置实施客户端访问控制列表(ACL)。(BZ#1220594)

BIND 服务器现在支持 CAA 记录

在 Berkeley Internet Name Domain (BIND)服务器中添加了对认证授权授权(CAA)支持。用户现在可以通过指定 DNS 记录来限制证书颁发机构。(BZ#1306610)

Unbound DNS 验证解析器现在支持 DNSSEC 的 ECDSA 密码

在这个版本中,在 Unbound DNS 验证解析器中启用 ECDSA 密码。因此,DNS 解析器现在可以使用带有 ECDSA 算法的 DNSSEC 验证 DNS 响应。(BZ#1245250)

tomcat rebase 到版本 7.0.69

tomcat 软件包已更新至 7.0.69 版本。主要变更包括:
  • 解决了大量错误和漏洞
  • 添加了 HSTS 和 VersionLoggerListener 功能
  • 解决了 BZ04711622 中概述的 NoSuchElementException 错误(BZ39)1287928

servicelog rebase 到版本 1.1.14

servicelog 软件包已升级到上游版本 1.1.14,它提供很多程序错误修复和增强。(BZ#1182028)

第 17 章 存储

新内核子系统: libnvdimm

在这个版本中,添加了 libnvdimm,这是负责检测、配置和管理非易失性双内存模块(NVDIMM)的内核子系统。因此,如果系统中存在 NVDIMM,它们会通过 /dev/pmem the 设备节点 公开,并可使用 ndctl 程序进行配置。(BZ#1269626)

支持 NVDIMM 的硬件

在 Red Hat Enterprise Linux 7.3 发布时,一些原始设备制造商(DSL)正在为非易失性双内存模块(NVDIMM)硬件添加支持。随着这些产品在市场中引入,红帽将与这些 OEM 合作来测试这些配置。如果可能,在 Red Hat Enterprise Linux 7.3 上宣布对它们的支持。
由于这是一个新的技术,因此将为每个产品及支持的配置发布特定的支持声明。这将在红帽测试成功后完成,并由 OEM 提供相应的文档支持。
当前支持的 NVDIMM 产品有:
  • HPE Swarm 系统上的 HPE NVDIMM。有关特定配置,请参阅 Hewlett Packard 企业公司支持声明。
不支持没有在这个列表中的 NVDIMM 产品和配置。Red Hat Enterprise Linux 7.3 发行注记将会更新,因为 NVDIMM 产品添加到支持的产品列表中。(BZ#1389121)

新软件包: nvml

nvml 软件包包含非易失性内存库(NVML),这是使用内存映射持久性的库集合,专门用于持久内存优化。(BZ#1274541)

SCSI 现在支持多个硬件队列

nr_hw_queues 字段现在存在于 Scsi_Host 结构中,允许驱动程序使用该字段。(BZ#1308703)

exclusive_pref_bit 可选参数已添加到 多路径 ALUA prioritizer 中

如果 exclusive_pref_bit 参数添加到 多路径 Asymmetric Logical Unit Access (ALUA) prioritizer 中,并且路径具有 Target Port Group Support (TPGS) pref 位,则多路径只使用该路径创建一个路径组,并为路径分配最高优先级。用户现在可以允许首选路径位于具有同样优化的其它路径的路径组中,即默认选项,或通过添加 exclusive_pref_bit 参数在路径组中。(BZ#1299652)

multipathd 现在支持 multipathd 格式的输出命令中的原始格式模式

multipathd 格式的输出命令现在提供 原始格式 模式,它会删除字段之间的标头和其他 padding。另外还添加了对其他格式通配符的支持。原始格式模式可以更轻松地收集和解析多路径设备的信息,特别是在脚本中使用。(BZ#1299651)

改进了 LVM 锁定基础架构

lvmlockd 是 LVM 的下一代锁定特性。它允许 LVM 使用 dlmsanlock 锁定管理器安全地管理来自多个主机的共享存储。sanlock 允许 lvmlockd 通过基于存储的锁定来协调主机,而无需整个集群基础架构。如需更多信息,请参阅 lvmlockd (8) 手册页。
此功能最初作为技术预览在 Red Hat Enterprise Linux 7.2 中引入。在 Red Hat Enterprise Linux 7.3 中,完全支持 lvmlockd。(BZ#1299977)

支持缓存具有限制的精简置备逻辑卷

Red Hat Enterprise Linux 7.3 提供了缓存精简配置的逻辑卷的功能。这为与特定精简池关联的所有精简逻辑卷带来了缓存优势。但是,当以这种方式设置精简池时,目前无法在不先删除缓存层的情况下增大精简池。这也意味着精简池自动增长的功能不可用。用户应小心地监控其精简池的完整性和消耗率,以避免耗尽空间。有关 LVM 缓存卷的详情,请参考 lvmthin (7)手册页。(BZ#1371597)

device-mapper-persistent-data rebase 到版本 0.6.2

device-mapper-persistent-data 软件包已升级到上游版本 0.6.2,它提供很多程序错误修复和增强。值得注意的是,还没有提供池中精简卷信息的 thin_ls 工具。(BZ#1315452)

在指定硬件上支持 DIF/DIX (T10 PI)

Red Hat Enterprise Linux 7.3 完全支持 SCSI T10 DIF/DIX,只要硬件供应商已证明了它,并完全支持特定的 HBA 和存储阵列配置。在其他配置中不支持 DIF/DIX,它不支持在引导设备上使用,且在虚拟客户机中不支持它。
目前,以下供应商已知可以提供这个支持。
FUJITSU 支持 DIF 和 DIX on:
EMULEX 16G FC HBA:
  • EMULEX LPe16000/LPe16002, 10.2.254.0 BIOS, 10.4.255.23 FW,带有:
  • FUJITSU ETERNUS DX100 S3, DX200 S3, DX500 S3, DX600 S3, DX8100 S3, DX8700 S3, DX8900 S3, DX200F, DX60 S3, AF250, AF650
QLOGIC 16G FC HBA:
  • QLOGIC QLE2670/QLE2672, 3.28 BIOS, 8.00.00 FW,带有:
  • FUJITSU ETERNUS DX100 S3, DX200 S3, DX500 S3, DX600 S3, DX8100 S3, DX8700 S3, DX8900 S3, DX200F, DX60 S3
请注意,T10 DIX 需要数据库或其他软件,它们对磁盘块提供校验和的生成和验证。当前不支持的 Linux 文件系统具有此功能。
EMC 支持 DIF on:
EMULEX 8G FC HBA:
  • LPe12000-E 和 LPe12002-E 带有固件 2.01a10 或更高版本,使用以下命令:
  • EMC VMAX3 系列带有 Enginuity 5977; EMC Symmetrix VMAX 系列,带有 Enginuity 5876.82.57 及更高版本
EMULEX 16G FC HBA:
  • LPe16000B-E 和 LPe16002B-E 带有固件 10.0.803.25 或更高版本,使用以下命令:
  • EMC VMAX3 系列带有 Enginuity 5977; EMC Symmetrix VMAX 系列,带有 Enginuity 5876.82.57 及更高版本
QLOGIC 16G FC HBA:
  • QLE2670-E-SP 和 QLE2672-E-SP:
  • EMC VMAX3 系列带有 Enginuity 5977; EMC Symmetrix VMAX 系列,带有 Enginuity 5876.82.57 及更高版本
有关最新状态,请参阅硬件厂商的支持信息。
对于其他 HBA 和存储阵列,对 DIF/DIX 的支持仍为技术预览。(BZ#1379689)

iprutils rebase 到版本 2.4.13

iprutils 软件包已升级到上游版本 2.4.13,它提供很多程序错误修复和增强。值得注意的是,这个更新添加了对在 8247-22L 和 8247-21L 基础附加 SCSI (SAS)后端连接 SCSI (SAS)后端中启用适配器写缓存的支持,以提供显著的性能改进。(BZ#1274367)

multipathd 命令现在可以使用 JSON 格式显示多路径数据

在这个版本中,multipathd 现在包含 show map json 命令来使用 JSON 格式显示多路径数据。这样,其他程序可以更轻松地解析 multipathd show map 输出。(BZ#1353357)

为 Huawei XSG1 阵列添加的默认配置

在这个版本中,多路径为 Huawei XSG1 阵列提供默认配置。(BZ#1333331)

多路径现在包含对 Ceph RADOS 块设备的支持。

RDB 设备需要特殊的 uid 处理,以及自己的检查程序功能,并能够修复设备。在这个版本中,可以在 RADOS 块设备上运行多路径。但请注意,只有在启用了 exclusive-lock 功能的 RBD 镜像在多个客户端之间共享时,才应使用多路径 RBD 支持。(BZ#1348372)

添加了对 PURE FlashArray 的支持

在这个版本中,多路径添加了对 PURE FlashArray 的内置配置支持(BZ39)1300415

为 MSA 2040 阵列添加的默认配置

在这个版本中,多路径为 MSA 2040 阵列提供默认配置。(BZ#1341748)

新的 skip_kpartx 配置选项,允许跳过 kpartx 分区创建

skip_kpartx 选项已添加到 multipath.conf 文件的 defaults、device 和 multipaths 部分中。当此选项被设置为 yes 时,使用 skip_kpartx 配置的多路径设备将不会为其创建任何分区设备。这允许用户在不创建分区的情况下创建多路径设备,即使设备有分区表。此选项的默认值为 no。(BZ#1311659)

多路径 权重路径优先级 器现在支持 wwn 关键字

多路径 权重路径优先级 器现在支持 wwn 关键字。如果使用此选项,与该设备匹配的正则表达式的格式是 host_wwnn:host_wwpn:target_wwnn:target_wwpn。这些标识符可以通过 sysfs 或使用以下 multipathd show paths format wildcard: %N:%R:%n:%r 查找。
weightedpath prioritizer 以前只允许 HBTL 和设备 nam regex 匹配。这些都在重启后都不会保留,因此 在每次启动后需要更改权重 路径优先级参数。此功能提供了一种将 weightedpath prioritizer 与持久设备标识符搭配使用的方法。(BZ#1297456)

新软件包: nvme-cli

nvme-cli 软件包提供 Non-Volatile Memory Express (NVMe)命令行界面来管理和配置 NVMe 控制器。(BZ#1344730)

现在,当 autoresize 没有配置时,LVM2 会显示警告信息

当空间被耗尽时,精简池默认行为不会自动调整精简池的大小。耗尽空间可能会导致各种负面影响。当用户没有使用 autoresize 和精简池已满时,新的警告信息会通知用户可能的问题,以便他们可以采取适当的操作,如调整精简池的大小,或使用精简卷停止。(BZ#1189221)

dmstats 现在支持将文件映射到 dmstats 区域

dmstats 命令的 --filemap 选项现在允许用户轻松配置 dmstats 区域,将 I/O 操作跟踪到文件系统中指定的文件。在以前的版本中,I/O 统计数据仅适用于整个设备或设备的区域,这会将管理员了解到每文件性能的限制。现在,- - filemap 选项允许用户使用与用于任何设备映射器设备 的相同工具来检查文件 I/O 性能。(BZ#1286285)

LVM 不再对外部卷应用 LV 策略

在以前的版本中,LVM 会意外地在外部卷上为 LVM 精简逻辑卷(LV)应用自己的策略,这可能会导致意外的行为。在这个版本中,精简池的外部用户可以使用自己的外部精简卷管理,LVM 不再对此类卷应用 LV 策略。(BZ#1329235)

现在,在创建新精简卷时,精简池总是被检查是否有足够空间

即使用户没有使用带有精简池监控的 autoresize,现在在创建新精简卷时总是检查精简池是否有足够空间。
现在,在以下情况下无法创建新的精简卷:
  • thin-pool 已达到了数据卷容量的 100%。
  • 对于小于 16 MiB 的元数据,精简池元数据少于 25%。
  • 元数据中有超过 4 MiB 的可用空间。(BZ#1348336)

LVM 现在可以设置缓存池块的最大数量

lvm.conf 文件的 allocation 部分中的新 LVM 分配参数 cache_pool_max_chunks 限制缓存池块的最大数量。当此参数未定义或设置为 0 时,会使用内置默认值。(BZ#1364244)

支持从逻辑卷中取消缓存池

现在,如果缓存池中的设备失败,LVM 能够从逻辑卷中取消调整缓存池。在以前的版本中,这种类型的故障需要手动干预,并对 LVM 元数据进行复杂更改,以便将缓存池与原始逻辑卷分开。
要从其 cache-pool 中取消记录逻辑卷,请使用以下命令:
# lvconvert --uncache *vg*/*lv*
请注意以下限制:
  • 缓存逻辑卷必须不活跃(需要重启)
  • 回写缓存 需要 --force 选项,因为可能会丢失数据失败。
(BZ#1131777)

LVM 现在可以跟踪并显示已删除的精简快照逻辑卷

现在,您可以通过在 lvm.conf 配置文件中启用 record_lvs_history 元数据选项将系统配置为跟踪已删除的精简快照逻辑卷。这可让您显示完整的精简快照依赖链,其中包括已经从原始依赖项链中删除的逻辑卷,并成为历史逻辑卷。完整的依赖链(包括历史 LV)可使用新的 lv_full_ancestorslv_full_descendants 报告字段显示。有关配置和显示历史逻辑卷的详情,请参考 逻辑卷管理。(BZ#1240549)

第 18 章 系统和订阅管理

现在,默认的注册 URL 是 subscription.rhsm.redhat.com

从 Red Hat Enterprise Linux 7.3 开始,默认的注册 URL 已被改为 subscription.rhsm.redhat.com。(BZ#1396085)

subscription-manager 显示与网络接口关联的所有地址

在以前的版本中,subscription-manager 工具为每个网络接口只显示一个地址,即使网络接口有多个关联的地址。在这个版本中,向包含以逗号分隔的值字符串的授权服务器报告一个新的系统事实,其中包含与每个网络接口对应的后缀 _list。因此,subscription-manager 现在可以显示与网络接口关联的所有地址。(BZ#874735)

rct 现在启用只显示订阅数据

rct 工具现在接受 --no-content 选项。将 --no-content 传给 rct cat-manifest 命令可确保 rct 仅显示订阅数据。(BZ#1336883)

rct cat-manifest 现在显示信息来确定是否需要 virt-who

rct cat-manifest [MANIFEST_ZIP] 命令的输出现在包含 Virt LimitRequires Virt-who 的字段。这些字段有助于确定部署是否需要 virt-who 组件。(BZ#1336880)

needs-restarting 工具有新的 --services 选项

在这个版本中,require -restarting 工具有新的 --services 选项。指定新选项时,Require -restarting 将列出新的行分隔服务名称,而不是进程 ID。这有助于系统管理员找出在运行 yum update 后需要重启的 systemd 服务,以便从更新中受益。(BZ#1335587)

needs-restarting 程序有新的 --reboothint 选项

在这个版本中,require -restarting 程序有新的 --reboothint 选项。运行 needs-restarting --reboothint 输出一条消息,说明在最后一次引导后更新了哪些核心软件包(若有),因此建议使用重启。这有助于系统管理员找出是否需要重启系统才能从所有更新中受益。请注意,建议只是信息,并不表示立即重启系统时需要这样做。(BZ#1192946)

yum的新 skip_missing_names_on_installskip_missing_names_on_update 选项

skip_missing_names_on_installskip_missing_names_on_update 选项已添加到 yum 存储库配置中。当 /etc/yum.conf 文件中将 skip_missing_names_on_install 设置为 False 时,如果 yum install 命令无法找到其中一个指定软件包、组或 RPM 文件之一,则使用 yum install 命令会失败。将 skip_missing_names_on_update 设置为 False 时,如果 yum 无法找到指定软件包、组或 RPM 文件之一,或者使用 yum update 命令,或者它们可用,则使用 yum update 命令会失败。(BZ#1274211)

yum的新 compare_providers_priority 选项

在这个版本中,在 yum 存储库配置中添加了 compare_providers_priority 选项。当在 /etc/yum.conf 文件中设置时,这个选项可让 yum 在解析依赖项时考虑优先级,这可用于影响 yum 在遇到多个不同存储库的软件包可以满足的依赖关系。(BZ#1186690)

第 19 章 虚拟化

VT 发布的中断

Red Hat Enterprise Linux 现在支持 CPU 端发布中断中的直接 I/O (VT-d)的 Intel 虚拟化技术。启用 VT 发布的中断功能后,可以直接分配设备的外部中断可以传送到客户机,而无需由虚拟机管理器协助,即使客户机以非 root 模式运行。(BZ#1172351)

Hyper-V 存储驱动程序(storvsc)已更新

Hyper-V 存储驱动程序(storvsc)已从上游更新。这为某些工作负载使用 Hyper-V storvsc 驱动程序时,这提高了 I/O 操作的性能。(BZ#1287040)

Hyper-V 时钟源更改为使用 TSC 页面

在这个版本中,时间戳计数器(TSC)页面用作 Hyper-V 时钟源。TSC 页面提供了一种比之前使用的特定于模型的寄存器(MSR)计算每个客户机引用计数器值的效率。因此,涉及读取时间戳的内核操作现在可以更快。(BZ#1300325)

libguestfs rebase 到版本 1.32.7

libguestfs 软件包已升级到上游版本 1.32.6,它提供很多程序错误修复和增强。主要变化包括:
  • 添加了 virt-get-kernel 工具,可用于从磁盘镜像文件中提取内核和初始 RAM 文件系统(initramfs)。详情请查看 virt-get-kernel (1)手册页。
  • 添加了 virt-dib 工具。它的功能包括构建磁盘镜像文件和 ramdisk。如需更多信息,请参阅 virt-dib (1)手册页。
  • virt-customizevirt-buildervirt-systprep 工具添加了多个选项。(BZ#1218766)

virt-v2vvirt-p2v 添加对最新 Windows 版本的支持

virt-v2v 工具现在包括对转换使用 Windows 8、8.1 和 10 的虚拟机的支持,以及 VMWare hypervisor 中的 Windows Server 2012 和 2012R2,以便在 KVM、Red Hat Enterprise Virtualization 和 OpenStack 上运行。此外,virt-p2v 工具现在包括对将上述 Windows 系统转换为与 KVM、Red Hat Enterprise Virtualization 和 OpenStack 兼容的虚拟机的支持。(BZ#1190669)

libvirt 添加了管理 API

在这个版本中,为 libvirtd 服务启用管理界面。与持久的 libvirtd 配置不同,可以使用 libvirtd.conf 文件调整,并在每次修改时需要守护进程重启,管理界面允许用户随时更改守护进程集。此外,管理界面提供了多种监控当前守护进程设置的方法。
具体来说,API 启用的操作包括:
  • 列出所有守护进程服务器
  • 列出所有客户端连接
  • 提供有关客户端连接的详细信息
  • 以强制的方式关闭单个客户端连接
  • 将限制重新配置到主机上允许的客户端数量和活跃的 worker 线程。
可以使用 virt-admin 实用程序控制管理界面,该工具基于现有的 virsh 客户端。如需更多信息,请参阅 virt-admin (1)手册页。(BZ#735385)

完全支持 virt-p2v

现在完全支持在 Red Hat Enterprise Linux 7.2 中引入的 virt-p2v 工具。它启用了将物理机器转换为与 KVM 管理程序兼容的虚拟机,之前作为技术预览提供。
virt-p2v 作为 ISO 镜像提供,其中包含最小 Red Hat Enterprise Linux 发行版和工具本身。要转换物理机,请将 ISO 镜像刻录到 CD,并使用它来引导物理机。还支持 PXE 引导和 USB 引导。之后,请按照屏幕说明执行手动转换或激活自动转换。
如需更多信息,请安装 virt-v2v 软件包并查看 virt-p2v (1)手册页,或者参阅以下知识库文章:

新软件包: libvirt-nss

Red Hat Enterprise Linux 7.3 添加了 libvirt-nss 软件包,它可让您使用 libvirt 网络安全服务(NSS)模块。此模块可让您更轻松地使用 TLS、SSL、SSH 和其他远程登录服务连接到客户机。此外,它还提供了使用主机名转换的工具程序,如 ping。如需更多信息,请参阅 Red Hat Enterprise Linux 7 虚拟化部署和管理指南。(BZ#1325996)

KVM 客户端上支持的 Intel Xeon v5 处理器

现在,在 KVM 管理程序和内核代码中添加了对 Intel Xeon v5 处理器的支持,以及 libvirt API。这可让 KVM 客户机虚拟机使用以下功能: MPX、XSAVEC、XGETBV1。(BZ#1327599)

VirtIO 1.0 完全支持

现在完全支持在 Red Hat Enterprise Linux 7.2 中引入的 virtio 1.0 设备。(BZ#1227339)

可以为指定网络手动管理 libvirt iptables 规则

libvirt 会自动生成并应用适合它创建的每种网络的 iptables 规则。规则由每个网络配置中的 forward 模式 控制。在以前的版本中,用户无法禁用这些自动生成的 iptables 规则并手动管理 iptables 规则。在当前发行版本中,添加了 open network forward 模式。当为网络指定时,libvirt 不会为网络生成任何 iptables 规则。因此,在 libvirt 范围外添加的 iptables 规则不会中断,用户可以手动管理 iptables 规则。(BZ#846810)

open-vm-tools rebase 到版本 10.0.5

open-vm-tools 软件包已升级到上游版本 10.0.5,它提供很多程序错误修复和增强。值得注意的是,它引入了客户机操作系统自定义(GOSC)和静默快照功能。(BZ#1268537)

virt-who 正确处理 HTTP 错误 429

当 Subscription Manager 加载太大时,可能会将 HTTP 错误代码 429 返回到与客户端的限制通信。在以前的版本中,virt-who 无法正确处理这个错误代码,从而导致子优化行为。在这个版本中,virt-who 可以正确地处理 HTTP 错误代码 429,并在以后重试与 Subscription Manager 的通信。(BZ#1286945)

支持加密的 Hyper-V 连接 virt-who

在以前的版本中,virt-who 使用未加密的 Hyper-V 连接。所有数据以纯文本形式发送。这对 Hyper-V 服务器有安全影响,且需要在 Hyper-V 服务器上进行特殊配置。在这个版本中,virt-who 使用 Windows NT LAN Manager (NTLM)封装和签名来保护与 Hyper-V 服务器的通信。(BZ#1278637)

用于注册不基于 Red Hat Enterprise Linux 的虚拟机监控程序的新频道

在以前的版本中,virt-who 会为每个注册的 hypervisor 使用一个 Red Hat Enterprise Linux 6 订阅,即使注册的管理程序不是基于 Red Hat Enterprise Linux 的管理程序。在这个版本中,virt-who 会创建并使用名为 Hypervisor Base 的新频道在 Satellite 5 上注册 hypervisor。因此,virt-who 现在将 Hypervisor Base 频道用于新注册的 hypervisor,且不消耗不必要的 Red Hat Enterprise Linux 6 订阅。(BZ#1245035)

IBM z 系统上的 Diag0c 完全支持

Red Hat Enterprise Linux 7.3 对 IBM z Systems 上的 Diag0c 功能提供全面支持。Diag0c 支持使得可以读取 z/VM hypervisor 提供的 CPU 性能指标,并允许获取执行诊断任务的 Linux 客户机的每个在线 CPU 的管理时间。(BZ#1278795)

libvirt API 为 USB 设备生成地址

在这个版本中,libvirt 为 USB 设备生成地址。这些设备以及 libvirt- 生成的地址子项可在域 XML 文件中找到。这样可确保将来的启动、恢复和迁移操作对客户机的 USB 设备具有一致的地址。因此,您可以将附加 USB 设备的虚拟机迁移到其中。(BZ#1215968)

WALinuxAgent rebase 到版本 2.2.0

Windows Azure Linux 代理已升级到上游版本 2.2.0,它提供很多程序错误修复和增强。此代理支持 Windows Azure 云中的 Linux 虚拟机的置备并运行,并应该安装在为在 Windows Azure 环境中运行的 Linux 镜像上。WALinuxAgent 软件包在 Extras 频道中提供。(BZ#1387783)

第 20 章 Atomic Host 和容器

Red Hat Enterprise Linux Atomic Host

Red Hat Enterprise Linux Atomic Host 是一个安全、轻量级和少页型操作系统,针对运行 Linux 容器进行了优化。有关最新新功能、已知问题和技术预览,请参阅 Atomic Host 和 Containers 发行注记

第 21 章 Red Hat Software Collections

Red Hat Software Collections 是一个红帽内容集,它提供一组动态编程语言、数据库服务器和相关软件包,您可以在 AMD64 和 Intel 64 架构的所有支持的 Red Hat Enterprise Linux 6 和 Red Hat Enterprise Linux 7 版本中安装和使用。Red Hat Developer Toolset 作为一个单独的 Software Collection 提供。
Red Hat Developer Toolset 是为在 Red Hat Enterprise Linux 平台上工作的开发人员设计的。它提供了 GNU Compiler Collection、GNU Debugger 和其他开发、调试和性能监控工具的当前版本。从 Red Hat Software Collections 2.3 开始,E Eclipse 开发平台作为一个单独的 Software Collection 提供。
Red Hat Software Collections 提供的动态语言、数据库服务器和其他工具不会取代 Red Hat Enterprise Linux 提供的默认系统工具,也不首选使用这些工具。Red Hat Software Collections 使用基于 scl 工具的替代打包机制来提供一组并行的软件包。这个集合启用了 Red Hat Enterprise Linux 中使用的软件包的替代版本。通过使用 scl 工具,用户可以选择他们想要随时运行的软件包版本。
重要
Red Hat Software Collections 的生命周期及支持期限比 Red Hat Enterprise Linux 要短。如需更多信息,请参阅 Red Hat Software Collections 产品生命周期
有关本 Software Collection、安装、使用、已知问题等组件的更多信息,请参阅 Red Hat Developer Toolset 文档

部分 II. 显著的程序漏洞修复

这部分论述了 Red Hat Enterprise Linux 7.3 中修复的、对用户有严重影响的错误。

第 22 章 常规更新

缩短长网络设备名称

有些网络设备有不可接受的长名称。这是因为某些固件报告平均数据,如设备的板 板索引 值,内核会传递给用户空间。
在以前的版本中,这会导致名称最长长度出现问题,特别是在 VLAN 中。在这个版本中,systemd 拒绝不可接受的长名称,并回退到不同的命名方案。因此,不再会出现较长的网络设备名称。
重要信息:这也意味着现有安装的名称可能会改变,受影响的网络设备将不会在线。
名称更改将在名为 enoX 的网卡上发生,其中 X 超过 16383。这主要会影响 vmware 机器,因为它们的固件有描述的问题。(BZ#1230210)

systemd 的修复,以正确读取设备识别字节

由于问题,Red Hat Enterprise Linux 7.2 中的 systemd 版本以错误的顺序读取设备识别字节,从而导致 dev/disk/by-id/wwn 符号链接被错误地生成。应用了补丁,将设备识别字节放在正确的顺序,现在可以正确地生成符号链接。任何依赖于从 /dev/disk/by-id/wwn047 获取的值的引用,以便在 Red Hat Enterprise Linux 7.3 及更高版本中正常工作。(BZ#1308795)

net.unix.max_dgram_qlen 的值增加到 512

在以前的版本中,net.unix.max_dgram_qlen 内核选项的默认值为 16。因此,当网络流量太大时,某些服务可能会意外终止。在这个版本中,将值设为 512,从而防止出现这个问题。用户需要重启计算机以应用此更改。(BZ#1267707)

ldconfig.service删除到 /lib//lib64/ 中非 root 文件系统的链接

Red Hat Enterprise Linux 7.2 引入了 ldconfig.service,它在挂载非 root 文件系统前在引导过程的早期阶段运行。在此次更新之前,当 ldconfig.service 运行时,如果 /lib//lib64/ 目录中的链接指向尚未挂载的文件系统,则删除 /lib/ 和 /lib64/ 目录中的链接。在 Red Hat Enterprise Linux 7.3 中,ldconfig.service 已被删除,问题不再发生。(BZ#1301990)

当很多进程以较短的间隔终止时,systemd 不再挂起

在以前的版本中,当大量进程以较短的间隔终止时,获取进程的低效率算法会导致 systemd 服务变得无响应。在这个版本中,算法已被改进,systemd 现在可以更快地获取进程,这可以防止上面描述的 systemd 挂起。(BZ#1360160)

gnome-dictionary 不再发生 multilib 软件包冲突

当安装了 gnome-dictionary 多 lib 软件包的 32 位和 64 位软件包时,从 Red Hat Enterprise Linux 7.2 升级到 Red Hat Enterprise Linux 7.3 会失败。要解决这个问题,已从 Red Hat Enterprise Linux 7.3 中删除 32 位软件包。因此,在这种情况下的升级可以正常工作。(BZ#1360338)

第 23 章 认证和互操作性

更改以保持实时条目日志记录级别

保留实时条目用于防止在部分复制中多次评估跳过的更新。如果跳过大量更新,这些条目可以非常频繁更新。另外,每个条目都会被测试,以查看在更新前是否已存在,以便只创建唯一的条目。
此测试之前记录在 Fatal 级别,这会导致错误日志被填充并带有无法过滤掉的不必要的消息。在这个版本中,更改了将实时条目从 Fatal 变为 Replication debug (8192)的日志记录级别,现在可以过滤出条目。(BZ#1314557)

cleanAllRUV 任务不再记录假的 attrlist_replace 错误

cleanAllRUV 任务中的一个内存崩溃错误导致 attrlist_replace 错误消息被错误记录。该任务已更新为对内存复制使用不同的功能,不再将假的错误消息写入日志。(BZ#1288229)

连接对象不再死锁

在以前的版本中,连接对象有时会获得不必要的锁定,从而导致死锁。应用了补丁来删除不必要的锁定,不再会发生死锁。(BZ#1278755)

对简单页面结果搜索的带外请求不再会导致崩溃

在此次更新之前,Directory 服务器可能会在滚动检查完成后收到简单页面结果搜索的取消请求,但在结果完全发送前。在这种情况下,在发送结果时处理 abandon 请求,这会导致 Directory 服务器崩溃。在这个版本中,添加了一个锁定,可防止在结果已发送时处理带外请求,并不再发生崩溃。(BZ#1278567)

现在,在失败后,简单的页面结果搜索插槽会被正确发布

在以前的版本中,如果简单页面结果搜索在后端中失败,则简单的页面结果插槽不会被释放。因此,可以在连接对象中累积多个简单的页面结果插槽。在这个版本中,当搜索失败时,简单的页面结果插槽会被正确发布,未使用的简单页面结果插槽不再保留在连接对象中。(BZ#1290242)

DESAES 密码转换现在必须在 cn=config以外的后缀上手动进行

当目录服务器启动时,由数据加密标准(DES)算法加密的所有提供的密码会自动转换为使用更安全的高级加密标准(AES)算法。DES- 之前使用内部未索引搜索来检测到加密的密码,对于非常大的用户数据库来说太慢,在某些情况下会导致启动过程超时并防止目录服务器启动。在这个版本中,只有配置后缀 cn=config 检查为 DES 密码,现在新的 slapi 任务 des2aes 可用,管理员可在启动服务器后运行,以便在需要时将密码转换为 AES。因此,无论用户数据库的大小如何,服务器都会启动。(BZ#1342609)

删除后端数据库不再会导致死锁

以前,事务信息不会在后端删除过程中传递给其中一个数据库帮助程序功能。因此,如果插件试图访问事务锁定的区域中的数据,则会出现死锁。在这个版本中,事务信息被传递到所有必要的数据库帮助程序功能,不再会发生死锁。(BZ#1273555)

删除并添加相同的 LDAP 属性现在可以正确地更新相等的索引

在以前的版本中,当使用 ldapmodify 命令删除同一 LDAP 属性的多个值,且在同一操作中至少添加了一个值,则不会更新相等的索引。因此,对重新添加的属性值的精确搜索不会返回该条目。现在,索引代码的逻辑已被修改,以便在条目中至少有一个值改变时更新索引,并且准确搜索重新添加的属性值现在会返回正确的条目。(BZ#1290600)

在简单页面的结果搜索中取消请求不再导致死锁

以前,在简单的页面结果搜索中,作为与 abandon 请求相关的程序错误修复的一部分被添加。然而,在特定情况下,这个新锁定会导致一个自我锁定。这个更新使锁定重新识别,在简单页面结果搜索过程中不再会发生自我锁定。(BZ#1295947)

简单的页面结果搜索不再返回 0 而不是实际结果

在以前的版本中,当因为 SIZELIMIT_EXCEEDED 等错误而丢弃连接中的简单页面结果插槽时,丢弃的插槽不会被正确清理。重复此插槽的后续搜索总是返回 0。在这个版本中,丢弃简单页面的结果插槽会被正确清理,搜索会返回正确的结果,即使使用重复使用的插槽也是如此。(BZ#1331343)

ACL 插件不再因为缺少 pblock 对象而崩溃

绑定 用户启动持久搜索(psearch)时,没有足够权限的绑定用户时,缓存中的访问权限对象无法重置,以将初始 pblock 结构指向持久结构。因此,访问控制列表(ACL)插件可能会因为缺少 pblock 对象而崩溃服务器。在这个版本中,确保初始对象重置为永久结构,目录服务器不再会在这种情况下崩溃。(BZ#1302823)

复制更改日志不再错误地跳过更新

changelog iterator 缓冲区中的一个错误会导致在重新载入缓冲区时指向不正确的位置。这会导致复制跳过更改部分,因此不会复制一些更改。这个程序错误已被解决,因为错误重新载入的 changelog 缓冲不再发生复制数据丢失。(BZ#1321124)

旧架构风格现在可以和单引号正确使用

从版本 1.3.2 开始,389-ds-base 软件包与 RFC 4512 中描述的模式定义兼容,这不允许旧版本使用 schema。为简化从之前的版本进行迁移,引入了 nsslapd-enquote-sup-oc 参数。但是,这个参数的实现存在一个程序错误,它会阻止处理单引号的旧模式风格,例如:
SYNTAX oid
这个程序错误现已解决,您可以使用带旧模式风格的单引号。
另外,这个更新引入了 LDAP_SCHEMA_ALLOW_QUOTES 环境变量,该变量添加了对 schema 目录中旧的模式的支持。要启用此功能,请在 /etc/sysconfig/dirsrv-INSTANCE 配置文件中设置以下变量:
LDAP_SCHEMA_ALLOW_QUOTED=on
(BZ#1303641)

DES 转换为 AES 的密码现在可以正常工作

在从 Red Hat Enterprise Linux 7.1 升级到 7.2 的过程中,由 Reversible Password 插件使用的加密算法 已从 DES 改为 AES。目录服务器会升级时自动将所有密码转换为新算法。但是,如果任何定义的后端缺少了顶级条目,密码转换会失败,并显示 32 错误。另外,即使转换失败,389-ds-base 仍然禁用了 DES 插件,这会导致现有密码无法解码。
这个程序错误已被解决,389-ds-base 现在会忽略在搜索要转换的密码的后端时出现错误,现在仅在所有密码成功转换为 AES 后禁用 DES 插件。(BZ#1320715)

keep-alive 条目不再会破坏复制

在以前的版本中,在复制过程中在太多机会处创建了一个 keep-alive 条目,可能会在将条目添加到副本更改时导致出现竞争条件,并导致从复制中丢弃操作。在这个版本中,删除了不必要的 keep-alive 条目创建,保留条目不会在复制过程中造成缺少的操作。(BZ#1307151)

现在,在下一个会话中可以正确地重试失败的复制更新

如果副本更新在消费者端失败,然后是成功更新用户的另一个更新,则消费者的复制状态由成功更新,从而导致消费者看起来像最新状态一样。因此,失败的更新永远不会被重试,从而导致数据丢失。在这个版本中,复制失败会关闭连接并停止复制会话。这可防止进一步更新更改消费者的复制状态,并允许供应商在下次会话中重试失败的操作,从而避免数据丢失。(BZ#1310848)

LICENSE 文件现在显示正确的许可证信息

在以前的版本中,rpm -qi 389-ds-base 命令的输出显示带有较早许可证的不正确的 License 字段,GPLv2 带有例外。这个问题已被解决,389-ds-base 软件包现在在其 LICENSE 文件中提供正确的许可证信息( GPLv3+ 许可证)。(BZ#1315893)

管理员重置的密码现在存储在密码历史记录中

当管理员重置用户密码时,旧密码之前不会存储在用户的密码历史记录中。这允许用户在重置后重复使用同一密码。在这个版本中,管理员手动重置的密码存储在密码历史记录中,用户必须使用不同的密码。(BZ#1332709)

多个插件拒绝的条目不再显示在搜索中

在以前的版本中,当多个后端事务插件(如 Auto MembershipManaged Entry)同时拒绝条目时,条目缓存会一直处于不一致的状态。这允许搜索返回条目,即使它没有被添加。在这个版本中,当 添加操作 失败时,存储条目的可辨识名称(DN)的条目缓存会被正确清理,并且 ldapsearch 不再返回被拒绝的条目。(BZ#1304682)

运行没有选项的 db2index 不再会导致复制失败

当运行没有选项的 db2index 脚本时,该脚本无法处理磁盘上的 Replica Update Vector (RUV)条目,因为这些条目没有父条目。现有的 RUV 被跳过,并生成新的 RUV,因此因为 ID 不匹配,下一个复制会失败。在这个版本中修复了对 db2index 中的 RUV 条目的处理,并在不指定任何选项的情况下运行此脚本不再会导致复制失败。(BZ#1340307)

当尝试删除忙碌数据库时,目录服务器不再崩溃

在以前的版本中,在导入过程中尝试使用控制台删除后端数据库会导致 Directory 服务器崩溃。在这个版本中,删除脚本首先检查后端是否忙碌,只有在可以安全地删除时才继续。因此,目录服务器不再崩溃。(BZ#1355760)

将消费者提升到 master 不再因为重复的 ID 错误而失败

在以前的版本中,当消费者实例提升到 master 时,会将新元素附加到副本更新向量(RUV)的末尾。但是,当尝试从新提升的 master 中复制时,远程会检查 RUV 的第一个元素,而不是最后一个元素,这会导致它因为重复的 ID 中止复制会话。在这个版本中,当将副本提升到 master 时,RUV 被重新排序,并从之前副本的 master 复制失败。(BZ#1278987)

nsslapd 现在可以正确地设置其工作目录

在以前的版本中的程序错误修复中引入的回归会导致 nsslapdsystemd 启动时默认跳过其工作目录( nsslapd-workingdir 属性)。这个程序错误已被解决,工作目录会在再次启动过程中设置。(BZ#1360447)

IdM 升级脚本现在可以成功运行

在以前的版本中,身份管理(IdM)服务器升级脚本无法检测版本更改。因此,升级 IdM 服务器会失败。这个程序错误已被解决,升级现在可以成功。(BZ#1290142)

libkadm511 4 库已移到 libkadm5 软件包中

在 Red Hat Enterprise Linux 7.3 中,libkadm 5114 库已从 krb5-libs 移到新的 libkadm5 软件包中。因此,yum 无法自动降级 krb5-libs 软件包。在降级前,手动删除 libkadm5 软件包:
# rpm -e --nodeps libkadm5
手动删除软件包后,使用 yum downgrade 命令将 krb5-libs 软件包降级到以前的版本。(BZ#1347403)

单点登录现在可以在使用多个 AD 林根域的信任中正常工作

在以前的版本中,如果身份管理(IdM)建立对相互信任的两个不同 Active Directory (AD)林的信任,且 IdM 在其中一个 DNS 子域中设置,则其他 AD 林会报告 IdM 和 AD 之间的名称后缀路由冲突。因此,在 IdM 和标识名称路由的 AD 林之间单点登录会失败。现在,当您建立信任时,流程会检测到这样的冲突。如果您在建立信任过程中提供 AD 管理员凭证,则会自动创建排除条目来解决名称后缀路由冲突。因此,如果 IdM 部署到 AD 林的 DNS 子域中,单点登录可以正常工作。(BZ#1348560)

由于某些多 lib SSSD 软件包,从 Red Hat Enterprise Linux 7.2 升级到 7.3 不再会失败

sssd-commonsssd-krb5-common 软件包作为系统安全服务守护进程(SSSD)的一部分提供,不再支持多个架构。在以前的版本中,当在 32 位和 64 位版本中安装软件包时,从 Red Hat Enterprise Linux 7.2 升级到 7.3 会失败。要解决这个问题,sssd-commonsssd-krb5-common 的 32 位版本已从 Red Hat Enterprise Linux 7.3 中删除。这样可确保升级成功。(BZ#1360188)

OpenLDAP 现在可以正确地设置 NSS 设置

在以前的版本中,OpenSSH 服务器使用不正确的处理网络安全设置(NSS)代码。因此,不会应用设置,这会导致某些 NSS 选项(如 olcTLSProtocolMin )无法正常工作。这个更新解决了这个程序错误,因此受影响的 NSS 选项现在可以正常工作。(BZ#1249093)

现在,当使用带有智能卡的 Kerberos 时,sudo 命令现在可以正常工作

在以前的版本中,pam_krb5 模块在 fork 操作过程中关闭多个文件描述符。因此,如果在 /etc/passwd 文件的第一个 4096 个字符中未找到密码条目,使用 Kerberos 和智能卡进行身份验证的 sudo 命令会失败。这个程序错误已被解决,nsswitch 等库现在可以使用文件描述符,sudo 可以正常工作。(BZ#1263745)

证书系统恢复对 CSR 中的 PKCS the10 扩展的支持

在以前的版本中,在使用外部签名的证书的证书系统安装过程中生成的证书签名请求(CSR)不包含某些外部证书颁发机构(CA)所需的 PKCS11410 扩展。在这个版本中,证书系统创建一个带有默认扩展的 CSR,包括基本限制和密钥用法扩展,以及可选的用户定义的扩展。(BZ#1329365)

IdM CA 服务现在在 IPv6 安装中正确启动

在以前的版本中,在只为 IPv6 配置的系统上,pki-tomcat 服务在身份管理(IdM)安装过程中错误地绑定到 IPv4 回送设备。因此,证书颁发机构(CA)服务无法启动。IdM 设置现在在只配置了 IPv6 协议的系统中绑定到 IPv6 回送设备。因此,CA 服务可以正确地启动。(BZ#1082663)

pki 命令现在显示撤销详情

在这个版本中,pki 子命令 cert-showcert-find 显示有关撤销的证书的信息,如下所示:
  • 吊销日期
  • 被(BZ39) 24382)吊销

ipa-replica-install --setup-dns 不再为 DNS 中已存在的 DNS 名称创建 DNS 区域

在以前的版本中,在 ipa-replica-install 工具中使用 --setup-dns 选项总是创建一个与主身份管理(IdM)域名以及 IdM 服务器的区名称相等的 DNS 区域,即使此类 DNS 区域已经存在。如果多个 DNS 服务器错误地充当域的权威服务器,这会导致客户端出现某些问题。要解决这个问题,如果 IdM 已在其他 DNS 服务器上已存在,IdM 不再创建 DNS 区域。IdM 安装程序可以正确地检测到冲突,在这种情况下安装会失败。(BZ#1343142)

当与其他模块一起使用时,idmap_hash 模块现在可以正常工作

在以前的版本中,当 idmap_hash 模块与其他模块一起使用时,idmap_hash 模块可以正常工作。因此,用户和组 ID 没有被正确映射。应用了补丁来跳过已配置的模块。现在,hash 模块可用作默认的 idmap 配置后端,ID 可以被正确解析。(BZ#1316899)

现在,当 CA 丢失与 netHSM 的连接时,CRL 会生成较少的信息

在以前的版本中,当 CA 丢失到 Thales netHSM 的连接时,CRL 生成可能会在 CRL 生成中进入由依赖组件不可用(如 HSM 或 LDAP)导致的循环。因此,进程会生成大量调试日志信息,直到 CA 重启为止。在这个版本中,提供了一个减慢循环的修复,可显著减少上述场景中生成的调试信息量。(BZ#1308772)

当使用 Gemalto Safenet LunaSA (HSM)安装时,KRA 不再无法恢复密钥

在以前的版本中,如果在 Gemalto Safenet LunaSA 硬件安全模块(HSM)上安装,Red Hat Certificate System 密钥恢复授权(KRA)子系统将无法恢复密钥。现在应用了补丁,如果 HSM 设置为非FIPS 模式,恢复可以正常工作。(BZ#1331596)

较低且更稳定的目录服务器的进程大小

在以前的版本中,Directory 服务器使用 glibc 库中提供的默认内存分配器。此分配器不足来处理目录服务器的 malloc ()free () 模式。因此,目录服务器的内存用量有时非常高,这可能会导致内存不足(OOM) Killer 终止 ns-slapd 进程。在这个版本中,Directory 服务器使用 tcmalloc 内存分配器。因此,Directory 服务器的进程大小会显著降低且更稳定。(BZ#1186512)

现在,当未找到 pin.txt 文件时,ns-slapd 可以正确地提示输入 pin

在以前的版本中,389-ds-base 没有显示提示,如果未找到 pin.txt 文件,因为 systemd 捕获了 389-ds-base 试图使用的标准输入和输出。在这个版本中,389-ds-base 会检测 systemd 是否在启动时在系统中运行,并根据需要使用正确的 systemd API 来显示密码提示。因此,目录服务器可以在没有 pin.txt 文件的情况下启动,该文件允许管理员使 nssdb 密码在系统中保持。(BZ#1316580)

复制协议更新状态现在包含复制协议失败的详情

复制协议更新状态之前只显示错误后的通用消息,这会导致复制协议失败故障排除。现在,更新状态会包括详细的错误消息。因此,所有复制协议更新失败都会正确记录。(BZ#1370300)

IdM 现在使用更大的默认锁定表大小值

在以前的版本中,身份管理(IdM)数据库的锁定数量较低。因此,更新大量组成员资格属性可能会失败。默认锁定表大小从 10000 增加到 100000 来解决这个问题。因此,更新大量组成员资格属性不再会失败。(BZ#1196958)

ipa-server-certinstall 命令不再无法安装外部签名的证书

在以前的版本中,使用 ipa-server-certinstall 命令安装外部签名的证书
  • 之前的证书没有在证书系统中未跟踪。
  • 新外部证书由证书系统跟踪。
  • 使用 NSS 数据库中找到的第一个证书。
因此,当 ipa-server-certinstall 命令由外部证书颁发机构(CA)签名时,ipa-server-certinstall 命令无法为 LDAP 和 Web 服务器安装新证书,且无法启动服务。命令已被修复,现在仅跟踪身份管理(IdM) CA 发布的证书。因此,新证书会被正确安装,LDAP 和 Web 服务器不会在上述场景中启动。(BZ#1294503)

现在,当设置 default_domain_suffix 或包含完全限定名称时,sudo 规则现在可以正常工作

在以前的版本中,sudo 工具不会在以下情况下正确评估 sudo 规则:
  • 当在 /etc/sssd/sssd.conf 文件中使用 default_domain_suffix 选项
  • sudo 规则使用完全限定用户名时
因此,sudo 规则无法正常工作。在这个版本中,系统安全服务守护进程(SSSD)修改 sudo 规则,以便 sudo 在上述情况下正确评估它们。(BZ#1300663)

代理配置已从 SSSD 默认配置文件中删除

在以前的版本中,系统安全服务守护进程(SSSD) /usr/lib64/sssd/conf/sssd.conf 默认配置文件使用自动配置的域代理所有请求到 /etc/passwd/etc/groups 文件。此代理配置无法与 realmdipa-client-install 等其他工具集成。要修复不兼容,[domain/shadowutils] 代理配置已被删除,SSSD 现在可以正常工作。(BZ#1369118)

sss_override 工具中显示、查找和导出操作现在可以正常工作

Red Hat Enterprise Linux 7.3 向系统安全服务守护进程(SSSD)引入了本地覆盖。由于回归,如果在没有 -n 选项的情况下创建了覆盖,sss_override 命令会失败。这个 bug 已被修复,s s_override 现在可以正常工作。(BZ#1373420)

当用户在 IdM 中没有主目录时,ipa 命令不再会失败

在以前的版本中,当身份管理(IdM)无法在主目录中的 ~/.cache/ipa 创建缓存目录时,所有 ipa 命令都会失败。例如,当用户没有主目录时会出现这种情况。在这个版本中,即使无法创建或访问缓存,IdM 可以继续工作。请注意,在这种情况下,ipa 命令可能需要很长时间才能完成,因为所有元数据都必须重复下载。(BZ#1364113)

显示 IdM 命令行界面的帮助信息不再需要意外时间

当用户使用 --help 选项执行 ipa 工具时,ipa 会从插件和命令收集所需的信息。在以前的版本中,插件和命令是 Python 模块。在这个版本中,ipa 根据从服务器下载的模式生成插件和命令。
因此,显示帮助有时比之前的身份管理(IdM)版本完成的时间要长得多,特别是当帮助包含主题和命令列表时。这个程序错误已被解决,它减少了使用 --help 执行 ipa 所需的时间。(BZ#1356146)

在带有早期版本的 IdM 的服务器上运行命令不再需要意外时间

当运行 IdM 版本 4.4 的身份管理(IdM)客户端上的用户执行命令时,IdM 会检查客户端联系的服务器是否支持新的命令模式。由于此信息没有缓存,因此每次客户端联系服务器时都会执行检查,这延长了在运行较早版本的 IdM 的服务器上调用命令所需的时间。如果用户执行了 IdM 4.4 中引入的新命令,有时也会看到该操作根本不完成,因为服务器无法识别该命令。这个程序错误已被解决,在上述情况下执行 IdM 命令不再需要意外时间。(BZ#1357488)

可信 AD 林中的 tree-root 域现在通过林根标记为可访问

当 Active Directory (AD)林包含树根域(单独的 DNS 域)时,身份管理(IdM)有时无法正确将身份验证请求路由到树根域控制器。因此,来自 tree-root 域的用户无法对 IdM 中托管的服务进行身份验证。在这个版本中修复了这个程序错误,来自树根域中的用户可以按预期进行身份验证。(BZ#1318169)

IdM Web UI 按预期显示子 CA 发布的证书

要显示证书颁发机构(CA)发布的证书,IdM Web UI 使用 ipa cert-find 命令来查询 CA 名称,然后 ipa cert-show 命令。在以前的版本中,ipa cert-show 不使用 CA 名称。因此,尝试显示子 CA 发布的证书详情页面失败,在 web UI 中出现错误。这个程序错误已被解决,Web UI 现在会如预期显示证书的详情页面。(BZ#1368424)

Certmonger 不再无法从 IdM 子 CA 请求证书

certmonger 服务之前使用不正确的 API 调用从 IdM 子证书授权(sub-CA)请求证书。因此,子 CA 设置会被忽略,证书始终由 IdM root CA 发布。在这个版本中解决了这个程序错误,certmonger 现在会如预期从 IdM 子 CA 请求证书。(BZ#1367683)

使用自定义密钥添加 IdM OTP 令牌可以正常工作

当用户使用 --key 选项执行 ipa otptoken-add 命令时,以添加新的一次性密码(OTP)令牌,身份管理(IdM)命令行会错误地转换用户提供的令牌密钥。因此,IdM 中创建的 OTP 令牌无效,尝试使用 OTP 令牌进行身份验证会失败。在这个版本中修复了这个程序错误,在这种情况下创建的 OTP 令牌有效。(BZ#1368981)

现在,可以使用 EE 页面将管理员证书导入到网页浏览器中

在以前的版本中,使用 EnrollSuccess.template 将证书系统管理员证书导入到 web 浏览器中会失败,并显示以下错误:
Error encountered while rendering a response.
在这个版本中,您可以按照以下步骤导入证书:
1.停止 pki-tomcatd 服务:
systemctl stop pki-tomcatd@pki-tomcat.service
2.编辑 /etc/pki/pki-tomcat/ca/CS.cfg 文件,使其包含以下内容:
ca.Policy.enable=true
 cmsgateway.enableAdminEnroll=true
3.启动 pki-tomcatd 服务:
systemctl start pki-tomcatd@pki-tomcat.service
4.创建新的 Firefox 配置文件。
5.进入 End Entity (EE)页面,然后选择 Retrieval 选项卡。
6.导入 CA 证书并将其配置为可信证书。
7.在新的 Firefox 配置文件中,转至 https://pki.example.com:8443/ca/admin/ca/adminEnroll.html,然后填写表单。
8.生成一个新的管理员证书源。将它导入到新的 Firefox 配置文件。
要验证证书是否已成功导入,请使用它进入 Agents 页面。(BZ#1274419)

第 24 章 集群

Pacemaker 可以正确地解释 systemd 响应和 systemd 服务,在集群关闭时以正确顺序停止

在以前的版本中,当使用 systemd 资源配置 Pacemaker 集群且集群停止时,Pacemaker 可能会错误地假设 systemd 服务在实际停止前停止。因此,服务可能无法停止,可能会导致停止失败。在这个版本中,Pacemaker 会正确地解释 systemd 响应,systemd 服务会在集群关闭时以正确顺序停止。(BZ#1286316)

Pacemaker 现在区分载入 systemd 单元时造成致命故障的临时故障

在以前的版本中,Pacemaker 将 systemd 单元载入的所有错误视为致命。因此,Pacemaker 不会在无法加载 systemd 单元的节点上启动 systemd 资源,即使负载因为 CPU 负载等临时状况而失败。在这个版本中,Pacemaker 在载入 systemd 单元时区分来自致命故障的临时故障。日志和集群状态现在显示更合适的信息,资源可以在临时错误清除后在节点上启动。(BZ#1346726)

现在,当清除已从集群中移除的节点时,Pacemaker 会从其内存中删除节点属性

在以前的版本中,Pacemaker 的节点属性管理器会从其内存中删除属性值,而不是在清除已从集群中删除的节点时的属性本身。因此,如果新节点稍后被添加到具有相同节点 ID 的集群,则无法为新节点设置原始节点上存在的属性。在这个版本中,Pacemaker 在删除节点时清除属性本身,且具有相同 ID 的新节点没有设置属性的问题。(BZ#1338623)

Pacemaker 现在可以正确地决定组中或依赖克隆的资源的预期结果

在以前的版本中,当重启服务时,Pacemaker 的 crm_resource 工具(以及 pcs resource restart 命令)可能无法正确地决定受影响的资源是否成功启动。因此,命令可能无法重启属于组成员的资源,或者如果重启的资源依赖于移到另一节点的克隆资源,命令可能会无限期挂起。在这个版本中,命令可以正确地决定组中或依赖克隆的资源的预期结果。所需的服务已重启,命令返回。(BZ#1337688)

现在,当 DLM 需要它时发生隔离,即使集群本身没有

在以前的版本中,因为仲裁问题,DLM 可能需要隔离,即使集群本身不需要隔离,但无法启动它,因此 DLM 和基于 DLM 的服务可能会挂起等待永不发生隔离的情况。在这个版本中,ocf :pacemaker:controld 资源代理现在检查 DLM 是否处于这个状态,并在请求隔离时请求隔离。现在,在这种情况下会出现隔离功能,允许 DLM 恢复。(BZ#1268313)

DLM 现在会检测并报告连接问题

在以前的版本中,分布式锁定管理器(DLM)用于集群通信预期的 TCP/IP 数据包交付,并无限期等待响应。因此,如果 DLM 连接丢失,没有问题通知。在这个版本中,DLM 会检测并报告集群通信何时丢失。因此,可以识别 DLM 通讯问题,在解决问题后,会重启变得无响应的集群节点。(BZ#1267339)

现在,当计算实例关闭时,非管理员用户创建的高可用性实例会被撤离

在以前的版本中,fence_compute 代理只搜索由 admin 用户创建的计算实例。因此,当计算实例关闭时,非管理员用户创建的实例不会被撤离。在这个版本中,确保 fence_compute 搜索以任何用户身份运行的实例,并且计算实例会按预期撤离到新的计算节点。(BZ#1313561)

启动 nfsserver 资源不再失败

var-lib-nfs-rpc_pipefs.mount 进程处于活跃状态时,nfs-idmapd 服务无法启动。此过程默认处于活动状态。因此,启动 nfsserver 资源会失败。在这个版本中,var-lib-nfs-rpc_pipefs.mount 会在这种情况中停止,并不会阻止 nfs-idmapd 启动。因此,nfsserver 会如预期启动。(BZ#1325453)

LRMd 日志错误如预期,不再崩溃

在以前的版本中,Pacemaker 的 Local Resource Management Daemon (lrmd)在日志记录某些罕见的 systemd 错误时使用无效的格式字符串。因此,lrmd 可能会意外终止并出现分段错误。已应用补丁来修复格式字符串。因此,lrmd 不再崩溃,并按预期记录上述错误信息。(BZ#1284069)

stonithd 现在可以正确地区分从设备移除中删除的属性。

在此次更新之前,如果用户从隔离设备中删除属性,Pacemaker 的 stonithd 服务有时会错误地删除整个设备。因此,集群不再使用隔离设备。现在,底层源代码已被修改来解决这个问题,s nis 现在可以正确地区分从设备删除中删除的属性。因此,删除隔离设备属性不再删除设备本身。(BZ#1287315)

HealthCPU 现在可以正确地测量 CPU 用量

在以前的版本中,oc f:pacemaker:HealthCPU 资源在 Red Hat Enterprise Linux 7 中错误地解析 top 命令的输出。因此,HealthCPU 资源无法正常工作。在这个版本中,资源代理可以正确地解析后续版本的 因此,HealthCPU 现在可以正确地测量 CPU 用量。(BZ#1287868)

Pacemaker 现在会在剥离敏感信息时检查所有收集的文件

Pacemaker 能够在提交系统信息与错误报告时分离敏感信息,无论是由 Pacemaker 的 crm_report 工具直接或通过 sosreport 间接进行。但是,Pacemaker 只检查某些收集的文件,而不检查日志文件提取。因此,敏感信息可能会保留在日志文件中提取中。在这个版本中,Pacemaker 会在诊断敏感信息时检查所有收集的文件,且不会收集敏感信息。(BZ#1219188)

corosync 内存占用不再增加每个节点

在以前的版本中,当用户重新加入 corosync 中的某个节点一些缓冲区时,不会释放,以便内存消耗增长。在这个版本中,不会泄漏内存,且每个重新加入的节点上内存占用不再增加。(BZ#1306349)

当配置为使用 IPv4 和 DNS 来同时返回 IPv4 和 IPv6 地址时,corosync 可以正确地启动

在以前的版本中,当 pcs 生成的 corosync.conf 文件使用主机名而不是 IP 地址和互联网协议版本 4 (IPv4)且 DNS 服务器被设置为返回 IPV4 和 IPV6 地址时,corosync 工具无法启动。在这个版本中,如果 Corosync 配置为使用 IPv4,则实际使用 IPv4。因此,corosync 会在上述情况下按预期启动。(BZ#1289169)

corosync-cmapctl 工具可以正确地处理 print_key () 函数中的错误

在以前的版本中,corosync-cmapctl 工具无法正确处理 print_key () 函数中的 corosync 错误。因此,如果 corosync 工具被终止,corosync-cmapctl 可能会输入一个无限循环。提供的修复可确保正确处理 Corosync 退出时返回的所有错误。因此,corosync-cmapctl 会离开循环,并在这种情况下显示相关的错误消息。(BZ#1336462)

第 25 章 编译器和工具

在 GCC 中支持 libgomp 的 OpenMP 4.5

这个版本支持 GCC 中 OpenMP 的新版本,以允许 Developer Toolset 中的程序正确链接并运行。(BZ#1357060)

GCC 中的更好的堆栈保护

在此次更新之前,GCC 堆栈保护不适用于仅包含可变长度数组且没有其他阵列(或只较小的)数组的功能。因此,可能会出现缓冲区溢出错误。这个程序错误已被解决,编译器现在可以检测这样的功能。(BZ#1289022)

gdbserver 现在支持从容器无缝调试进程

在此次更新之前,当 GDB 在 Super-Privileged Container (SPC)中执行并附加到 Red Hat Enterprise Linux Atomic Host 上另一个容器中运行的进程时,GDB 不会找到由进程加载的主可执行文件的二进制镜像或被调试的任何共享库。
因此,GDB 可能会显示与不存在的文件相关的错误消息,或者存在不匹配。另外,GDB 可能已被认为正确附加,但后续命令可能已经出现故障或显示损坏的信息。
在 Red Hat Enterprise Linux 7.3 中,gdbserver 已扩展,可从容器中无缝支持调试过程。gdbserver 的 Red Hat Enterprise Linux 7.3 版本新支持 qXfer:exec-file:readvFile:setfs 数据包。但是,gdb 的 Red Hat Enterprise Linux 7.3 版本无法使用这些数据包。建议将 gdb 的 Red Hat Developer Toolset 4.1 (或更高版本)版本与容器和 Red Hat Enterprise Linux 7.3 gdbserver 一起使用。Red Hat Developer Toolset 的 gdbserver 版本也可以使用。
Red Hat Enterprise Linux 7.3 gdb 现在可在使用 -p 参数(或 attach 命令)运行时建议使用 gdbserver,以及同时,它会检测正在附加的进程来自容器。Red Hat Enterprise Linux 7.3 gdb 现在还建议,明确使用 file 命令来指定要调试的容器中的进程可执行文件的位置。当使用 Red Hat Developer Toolset 的 gdb 版本时,不需要输入 file 命令。
在这个版本中,Red Hat Enterprise Linux 7.3 gdbserver 提供了与 Red Hat Developer Toolset 4.1 (或更新版本) gdb 一起无缝地调试容器中的进程。另外,当 Red Hat Developer Toolset gdb 不可用时,Red Hat Enterprise Linux 7.3 gdb 会指导用户从容器中调试进程。(BZ#1186918)

GDB 不再终止使用已删除可执行文件运行的进程

在此次更新之前,GDB 会尝试附加到带有已删除可执行文件的正在运行的进程中,会意外终止该进程。这个程序错误已被解决,GDB 不再错误地终止带有已删除可执行文件的进程。(BZ#1326476)

GDB 现在生成较小的核心文件,并考虑 core-dump 过滤

GDB 提供自己的内核转储功能的 gcore 命令已被更新,以便更严格模拟 Linux 内核内核转储代码的功能,从而生成较小的 core-dump 文件。GDB 现在还遵循 /proc/PID/coredump_filter 文件,该文件控制将哪些内存段写入 core-dump 文件。(BZ#1265351)

AArch64的更好的错误消息

对于 AArch64 目标,如果程序将全局变量声明为小于整数的类型,但在另一个文件中引用它,如它是一个整数,则链接器可能会生成混淆的错误消息。在这个版本中解决了错误消息,明确识别了错误的原因,并建议用户出现错误的原因。(BZ#1300543)

现在,大型和/或高地址程序链接并在 AArch64上正确执行

在以前的版本中,链接器中的不正确的代码可能会导致生成不正确的分支存根。因此,在非常高的地址中存在一个非常大的程序,或者程序编程部分在非常高的地址上存在,则无法链接。这个程序错误已被解决,现在会选择正确的分支存类。(BZ#1243559)

opreportopannote 工具现在可以正确地分析存档数据。

在以前的版本中,当使用 oparchive 存储数据时,相关的样本不包括在存档中。此外,oprofile 实用程序在当前工作目录 oprofile _data 目录中而不是在存档中选择的数据。因此,opreportopannote 工具无法在 oparchive 生成的存档中正确分析数据。这个版本为在存档中保存性能分析示例提供了修复,并选择它们以用于存档,而 opreportopannote 现在可以正常工作。(BZ#1264443)

具有相同数字单元掩码的事件现在由其名称处理

第 5 代内核 i3、i5 和 i7 Intel 处理器有一些事件,它们具有多个具有相同数字值的单元掩码。因此,未找到并选择某些事件的默认单元掩码。在这个版本中,事件更改为使用默认单元掩码的名称而不是数字值,从而解决了这个问题。(BZ#1272136)

新的 MACRO_INSTS_FUSED 事件标识符

在以前的版本中,MACRO_INSTS 标识符用于 1 代 Core i3、i5 和 i7 Intel 处理器中的两个不同的事件。因此,无法使用 MACRO_INSTS 明确选择任何一个事件。此更新将其中一个事件重命名为 MACRO_INSTS_FUSED,从而修复此错误。(BZ#1335145)

当多个 libpfm 初始化时,应用程序不再崩溃

在以前的版本中,当 libpfm 初始化代码被多次调用(例如,在 PAPI fmultiplex1 测试中),当以 root 用户身份运行时,libpfm 内部数据结构会被破坏,从而导致意外终止。在这个版本中,确保正确重置可用事件计数器,当 libpfm 重新初始化时,使用作为 root 运行的 libpfm 的应用程序不再崩溃。(BZ#1276702)

为物理不存在的节点移除无意警告信息

在以前的版本中,当在 sysfs 目录中没有条目的节点上调用 numa_node_to_cpus ()函数时,libnuma 库总是会输出有关无效 sysfs 的警告信息。因此,libnuma 也为物理不存在的节点(例如,非连续节点号)打印混淆的警告信息,在使用 dlsym 接口调用函数时,此警告不会被覆盖。在这个版本中,只有初始扫描中找到的 NUMA 节点才会打印上述警告信息,然后没有出现在 sysfs 中。因此,libnuma 用户不再接收非连续节点号码的警告信息。(BZ#1270734)

现在,在更新间记住 OpenJDK 版本系列的选择

在此次更新之前,当用户安装了多个 JDK 时,yum update 始终更新至最新的 JDK,即使用户之前选择了一些较低prioritized JDK。这个版本为 chkconfig 引进了 --family 开关,这样可确保所选的 JDK 在系统更新后保留在版本 系列 中。(BZ#1296413)

现在,OpenJDK 6 和 OpenJDK 7 中默认禁用 RC4

之前的 OpenJDK 软件包允许在使用传输层安全(TLS)进行安全连接时使用 RC4 加密算法。这个算法不再安全,在此发行版本中已禁用它。要保留其使用,需要恢复到之前 SSLv3 的 jdk.tls.disabledAlgorithms 的 Jdk.tls.disabledAlgorithms,DH keySize < 768。这可以在 < java.home>/jre/lib/security/java.security 文件中永久完成,或者通过添加以下行:
jdk.tls.disabledAlgorithms=SSLv3, DH keySize < 768
使用 -Djava.security.properties=<path to file > 参数在命令行中将该文件的位置传递给 Java。(BZ#1302385)

zsh 不再死锁 malloc () 执行

在以前的版本中,如果在执行内存分配函数期间收到信号,而信号处理程序会尝试分配或可用内存, zsh 会进入死锁并变得无响应。在这个版本中,在处理 zsh 的全局状态或使用堆内存分配器时,不再启用信号处理程序。这样可确保不再发生描述的死锁。(BZ#1267912)

使用多个单词描述的 SCSI 设备类型现在可以正确处理

在此次更新之前,rescan-scsi-bus.sh 工具错误地解析了使用多个单词描述的 SCSI 设备类型,例如 Medium ChangerOptical Device。因此,当脚本在附加此类设备类型的系统中运行时,脚本会打印多个误导错误消息。在这个版本中,处理多个单词描述的设备类型会被正确处理,正确的设备类型描述将返回到用户,且没有任何错误。(BZ#1298739)

sphinx 以 FIPS 模式构建 HTML 文档

在以前的版本中,在激活 FIPS 模式的系统中,Python Sphinx 生成器无法以 HTML 格式构建文档。有了这个更新,通过将 used_for_security 参数设置为 false 来解决 md5 ()函数的使用。因此,Sphinx 现在会如预期构建 HTML 文档。(BZ#966954)

使用 PerlIO 区域片段后,perl 解释器不再崩溃

当使用 PerlIO 区域警报后生成线程时,Perl 解释器会意外终止,并出现分段错误。应用了上游补丁,修复了 PerlIO::encoding 对象重复。因此,在设置文件句柄编码后,线程会被正确创建。(BZ#1344749)

现在,行结尾会在通过文本模式中的 Net::FTP Perl 模块上传的文件中保留

在以前的版本中,当在文本模式中使用 Net::FTP Perl 模块上传文件时,上传文件中的行行被错误转换。在这个版本中,在将数据上传到 FTP 服务器时,从本地到网络虚拟终端(NVT)编码的端到端规范化修正,上面描述的问题不再发生。(BZ#1263734)

当使用 glob ()和线程程序时,perl 解释器不再崩溃

在以前的版本中,当在生成线程后调用 Perl glob () 函数时,Perl 解释器会意外终止并出现分段错误。上游补丁已应用于克隆 glob ()解释器范围数据,并将 Perl glob ()与线程程序一起使用现在可以正常工作。(BZ#1223045)

现在,可以使用 ps -o thcgr在父进程下正确显示线程的 cgroup

在以前的版本中,ps 命令只显示父进程的控制组(cgroup)。因此,父进程下线程的 cgroup 值与父进程的 cgroup 值相同。这个版本引入了一个新的选项 thcgr,以保持与当前 cgroup 列表的兼容性。当使用 thcgr 选项时,父进程下的线程会显示正确的单独的 cgroup 值。(BZ#1284087)

pmap 不再报告不正确的总数

随着内核 smaps 接口中的 VmFlags 的引入,因为 VmFlags 条目的格式差异,pmap 工具将不再可靠地处理内容。因此,pmap 会报告不正确的总数。底层源代码已修补,pmap 现在可以按预期工作。(BZ#1262864)

vmstat -d 现在可以显示带有更长名称的设备

当需要磁盘统计报告时,之前才会从 /proc/diskstats 文件中读取设备名称的前 15 个字符。因此,vmstat -d 命令的输出中不会显示名称大于 15 个字符的设备。在这个版本中,格式化字符串已被修改为最多 31 个字符,带有长名称的设备现在由 vmstat -d 正确显示。(BZ#1169349)

新的 perl-Perl4-CoreLibs 子软件包包含之前删除的文件

为之前弃用的文件设置 provides 标签,该文件不再包含在 perl 软件包中。要修复这个程序错误,这些文件已从以前的 Perl 版本反向移植,现在由新创建的 perl-Perl4-CoreLibs 子软件包提供。(BZ#1365991)

GSS-Proxy 缓存文件描述符频率较低

在以前的版本中,GSS-Proxy 缓存文件描述符在进程生命周期内的 mechglue 层。因此,通常会更改 UID 或 GID (如 autofs )的守护进程可能会意外行为。一个补丁已被应用,以便在 ID 更改时关闭并重新打开到 GSS-Proxy 的连接。因此,GSS-Proxy 会更频繁地缓存文件描述符,更改 UID 或 GID 的守护进程现在可以正常工作。(BZ#1340259)

修正到 PAPI_L1_TCM 事件计算

在以前的版本中,L1 总缓存丢失(PAPI_L1_TCM)的 PAPI 预设被错误地计算在 4 代 Core i3 上,i5 和 i7 Intel 处理器。在这个版本中,这些处理器上使用 PAPI_L1_TCM 事件计算 PAPI_L1_TCM 的程序现在可以获得更准确的测量。(BZ#1277931)

IBM Power7 和 IBM Power8 平台上更准确的 PAPI_L1_DC the 事件

在以前的版本中,缓存事件的 PAPI 事件预设会错误地计算各种 IBM Power7 和 Power8 处理器的派生值。因此,P API_L1_DCRPAPI_L1_DCWPAPI_L1_DCA 事件值不正确。preset 计算已被修复,上述事件现在更为准确。(BZ#1263666)

改进了 Postfix 表达式解析器

在以前的版本中,用于从 papi_events.csv 文件中的表达式计算派生的指标的 Postfix 表达式解析器无法执行正确的错误检查,错误解析一些表达式。因此,解析器可能会在用于计算派生指标的缓冲区外写入,并导致堆栈对某些表达式出现错误。为解析器提供了一个修复,以防止它使用不正确的表达式覆盖内存。现在,解析器可以正确地解析 papi_events.csv 中的 Postfix 表达式,并在不正确的表达式上报告错误,而不是覆盖内存的随机区域。(BZ#1357587)

现在,在 python-dns 工具包的 udp () 函数中设置了未定义变量

在以前的版本中,python-dns 工具包在 udp () 函数的 finally 部分中使用了未定义的 response_time 变量。因此,用户会显示不正确的异常。这个程序错误已被解决,并返回正确的异常。(BZ#1312770)

现在,zsh 解析未转义的感叹号

在以前的版本中,zsh 解析程序状态不足初始化。因此,zsh 无法在文本字符串中解析未转义的感叹号。在这个版本中,zsh 可以正确地初始化解析器状态。因此,zsh 现在可以正确解析未转义的感叹号。(BZ#1338689)

在处理作业退出时,zsh 不再挂起

在以前的版本中,在处理 zsh 中的作业退出时,会启用信号处理程序。因此,如果在使用内存分配器及其处理程序试图分配或可用内存时收到信号,zsh 进程会终止死锁并变得无响应。在这个版本中,处理作业退出时不再启用信号处理程序。相反,信号会被排队,以延迟执行信号处理程序。因此,死锁不再发生,zsh 不再挂起。(BZ#1291782)

zsh 现在可以安全地处理 内存不足 场景

在打印内存不足时,zsh shell 分配内存。在以前的版本中,如果打印例程无法分配内存,它会触发无限递归。因此,zsh 进程会因为堆栈溢出而意外终止。在这个版本中,无限递归不再出现在这种情况中。因此,在打印严重错误消息后,zsh 现在会在内存不足时安全地终止。(BZ#1302229)

ksh 兼容性模式的语法检查现在可以在 zsh中按预期工作

在以前的版本中,当在 ksh 兼容模式下检查 shell 脚本的语法时,zsh 会错误地初始化 $HOME 内部变量。因此,zsh 进程会在试图解引用 NULL 指针后意外终止。在这个版本中,$HOME 内部变量会被正确初始化。因此,ksh 兼容性模式的语法检查现在可以在 zsh 中按预期工作。(BZ#1267251)

解析命令替换不再损坏命令历史记录

在以前的版本中,在命令历史记录中错误记录具有 $() 命令替换结构的命令。这个程序错误已被解决,解析命令替换不再破坏命令历史记录。(BZ#1321303)

HAProxy 配置文件现在可以使用超过 32 个字符的主机名

在以前的版本中,当 haproxy 配置为使用对等主机名时,错误会导致主机名超过 32 个字符。因此,haproxy 配置文件无效。现在,这个问题已被解决,指定为 peer 的主机名现在可以安全超过 32 个字符。(BZ#1300392)

安装后 RPM 验证失败不再发生 psacct

安装 psacct 软件包时,/var/account/pacct 文件的模式之前与 psacctlogrotate 规则不一致。因此,/var/account/pacct 的模式在安装后与这些规则不同,并导致 RPM 验证失败。在这个版本中,/var/account/pacct 的模式在安装 psacct 时被设置为 0600,以便与 logrotate ghost 文件规则保持一致。因此,RPM 验证失败不再发生。(BZ#1249665)

由于 sadc传递的 SIGINT,系统不再意外重启

由于一个竞争条件,sadc 命令有时会将 SIGINT 信号传递给 init 进程。因此,系统可能会被意外重启。在这个版本中,添加了一个验证 SIGINT 信号没有发送到 init 进程。因此,系统不再被意外重启。(BZ#1328490)

对于某些字段,pidstat 不再输出超过 100% 的值

在以前的版本中,在个别情况下,pidstat 命令可能会在有多个短时间进程的系统上为 PID 耗尽分配空间。因此,pidstat 输出包含大于 100% 的非大小值,在 %CPU%user%sys 字段中。在这个版本中,pidstat 会自动为 PID 重新分配空间,并为所有字段输出正确的值。(BZ#1224882)

sysstat 提供的 /usr/bin/nfsiostat 已被弃用,而是由提供的 /sbin/nfsiostat 替代。 nfs-utils

在以前的版本中,两个软件包提供了相同的名称: sysstat 软件包提供的 /usr/bin/nfsiostatnfs-utils 软件包提供 /sbin/nfsiostat。因此,除非指定了完整路径,否则不会清除执行哪个二进制文件。sysstat 提供的 nfsiostat 工具已弃用,而是由 nfs-utils 提供的。在转换周期中,sysstat 软件包中的 nfsiostat 二进制文件重命名为 nfsiostat-sysstat。(BZ#846699)

iostat 现在可以打印大于 72 个字符的设备名称

在以前的版本中,在 iostat 命令输出中调整了大于 72 个字符的设备名称,因为设备名称字段太短。为设备名称分配的空间已增加到 128 个字符,现在 iostat 可以在输出中打印较长的设备名称。(BZ#1267972)

使用 cp 复制带有结尾数据块的稀疏文件不再会导致数据崩溃

在创建稀疏文件时,fallocate 工具可以使用 FALLOC_FL_KEEP_SIZE 来分配 EOF 以上的数据块。因此,当扩展之间有差距(hole),并且 EOF 在这一差距中有影响时,最终漏洞不会被重现,从而导致复制文件中的静默数据崩溃,因为其大小太小。有了这个更新,cp 命令可确保超出明显文件大小的数据块不会被处理,因为目前不支持此类处理和分配。因此,在某些类型的稀疏文件中不再会发生静默数据崩溃。(BZ#1284906)

使用 df列出本地挂载时,autofs 挂载的 NFS 共享不再会导致超时

df 中的一个错误可能导致 autofs 挂载的 NFS 共享被检测为本地挂载。尝试只使用 -l 选项列出本地挂载,然后超时,因为 df 会尝试列出这些错误检测到的共享。这个程序错误已被解决,列出本地挂载现在可以正常工作。(BZ#1309247)

ksh 现在可以正确地显示登录信息

登录到交互式登录 shell 时,将执行 /etc/profile 脚本的内容来设置初始环境。登录到 Korn shell (ksh)时应向用户显示的消息,因为内部测试是内部测试,以确定 shell 是否依赖于 /etc/profile 之前设置的 PS1 环境变量的值。但是,只有在执行 /etc/profile 后,该环境变量仅在 Korn shell 中设置,这会导致消息永不显示为 ksh 用户。这个更新提供了一个替代测试,它不依赖于 /etc/profile 执行前设置的 PS1 变量,因此在登录时向 Korn shell 用户正确显示消息。(BZ#1321648)

新的 POSIX semaphore 破坏性语义

在以前的版本中,glibc 中的 POSIX semaphores 的实现不遵循 semaphores 的当前 POSIX 要求进行自我同步。因此,sem _post ()sem_wait () 函数可能会意外终止或返回 EINVAL 错误代码,因为它们在销毁后访问 semaphore。这个版本提供了新的 POSIX semaphore 破坏性语义的实现,用于跟踪等待者,避免防止 semaphore 的破坏。glibc 实施的 semaphores 现在是自我同步的,从而解决了这个问题。(BZ#1027348)

现在,在 SELinux 自动重新标记后磁盘会被完全卸载

在以前的版本中,在 SELinux 重新标记后,rhel-autorelabel 脚本通过运行 systemctl --force reboot 命令启动系统重启。因此,清理 rootfs 镜像并取消激活底层设备映射器(DM)设备所需的某些步骤已被跳过。要修复这个程序错误,rhel-autorelabel 脚本已被修改为在重启前调用 dracut-initframs-restore 脚本。现在,在上述场景中,磁盘会被完全卸载。(BZ#1281821)

sosreport 现在可以正确地收集带有非 ASCII 字符的源输出

在此次更新之前,当 sosreport 工具试图收集名称非 ASCII 字符的文件或命令的输出时,sosreport 不会被完全生成。在这个版本中,这些文件和命令会在工具中被正确收集和报告。(BZ#1296813)

现在,在内核转储配置 GUI 中可将 kdump 配置为 NFS 目标目的地

在以前的版本中,内核转储配置 GUI 中的 NFS 目标目的地的输入框并不表示需要输入导出路径。因此,在使用这个 GUI 时,用户无法将 kdump 功能配置为 NFS 目标目的地。在这个版本中,输入框标签已被修改为指示需要导出路径,用户可以在上述情况下配置 kdump。(BZ#1208191)

将 kdump 配置为卸载 NFS 共享的 NFS 目标时正确的警告信息

在此次更新之前,当用户试图将 kdump 配置为 NFS 目标目的地时会出现混淆的错误消息(如果 NFS 共享没有挂载)。通过内核转储配置 GUI 操作的 system-config-kdump 工具并不表示在应用 kdump 配置前需要挂载 NFS 导出。相反,会返回多个混淆的错误消息。在这个版本中,警告信息已被修改为表示 NFS 导出当前没有挂载,且应在 kdump 配置时挂载它。这个警告信息不太混淆,为用户提供有关如何成功完成 kdump 配置的正确信息。(BZ#1121590)

lparstat 不再因为 /proc/interrupts中的长行而失败

在此次更新之前,如果 /proc/interrupts 文件中的 SPU 行超过 512 个字符,使用 lparstat 命令会失败。在这个版本中,lparstat 可以正确地解析中断行,因此在上述情况下返回正确的结果。(BZ#1366512)

lparstat 默认输出模式现在可以正确地报告

在以前的版本中,当使用 lparstat 工具的默认输出模式时,lparstat 会错误地报告某些参数的值,如 physc,即 0.00。这个问题已被解决,受影响的值现在会被正确显示。(BZ#1347083)

Socket::getnameinfo 模块现在可以使用污点值正常工作

在以前的版本中,Perl Socket::getnameinfo 模块无法处理污点值。在这个版本中,应用补丁,模块现在可以使用污点值正常工作。(BZ#1200167)

python-sphinx 模块不再无法构建文档

在以前的版本中,python-sphinx 软件包的 man-page writer 模块丢失了 metainline 节点。因此,构建文档可能会失败。现在,提供了一个补丁来添加缺少的节点过期,因此文档现在可以成功构建。(BZ#1291573)

当重复列出可用的 polkit 操作时,程序不再耗尽内存

在以前的版本中,当列出可用操作时,polkit 客户端库无法正确释放内存,这可能会导致程序内存不足并终止。在这个版本中,库可以正确地释放内存,在这种情况下程序不再崩溃。(BZ#1310738)

解压缩 现在支持非拉丁和非unicode 编码

在以前的版本中,解压 不支持非拉丁和非unicode 编码,因此可以创建带有不正确名称的文件。有了这个更新,解压缩 支持使用 -O-I 选项进行这些编码。如需更多信息,请运行 unzip -h 命令。(BZ#1276744)

zlib 现在可以正确地解压缩 RFC1951 兼容文件

在以前的版本中,因为 zlib 中的一个错误,RFC1951 兼容文件无法正确解压缩。在这个版本中,这个程序错误已被修复,zlib 会正确解压缩 RFC1951 兼容文件。(BZ#1127330)

glibc times () 函数现在支持缓冲区的 NULL

在以前的版本中,glibc 中的 times () 函数不允许用户为缓冲区设置 NULL 值。因此,这个功能可能会导致使用它的应用程序意外终止。这个版本应用补丁,因此您可以为缓冲区设置 NULL 值,内核系统调用会返回预期的结果。(BZ#1308728)

iconv 不再添加冗余转换序列

在以前的版本中,用于 IBM930、IBM933、IBM935、IBM937 和 IBM939 字符集的字符转换例程中的错误可能会导致工具的输出中包含冗余转换序列。生成的非格式输出可能会导致无法读取输出数据。字符转换例程已被修复,不再返回冗余转换序列。(BZ#1293916)

改进的核心 C 库(glibc)以提高 malloc () 可扩展性

malloc () 函数实现中的一个缺陷可能会导致线程间内存分配请求不必要的序列化。在这个版本中修复了这个程序错误,并显著提高频繁创建和销毁线程的应用程序分配请求的并发吞吐量。(BZ#1276753)

当审计模块提供备用 DSO 时,动态链接程序不再会失败

在以前的版本中,当审计模块提供备用 DSO (动态共享对象)路径时,ld.so 动态链接器会意外终止并出现分段错误。在这个版本中解决了这个程序错误,动态链接器现在跟踪原始 DSO 路径以用于将来的参考,不再会在上述场景中崩溃。(BZ#1211100)

selinux-policy 现在,允许 hypervkvpd 在所有文件系统类型上获取attr

在以前的版本中,在启用了 Data Exchange 选项的虚拟机注入 IP 注入后,执行 restorecon 命令的过程中会出现 SELinux 拒绝。selinux-policy 软件包已更新,IP 注入现在可以在 SELinux permissive 和 enforcing 模式中正确完成。(BZ#1349356)

第 26 章 Desktop

poppler 不再错误地呈现某些字符

在以前的版本中,P oppler 库无法正确映射到字符代码。因此,如果字体不包含必要的 glyphs,则 Poppler 会显示 fi 字符串而不是显示正确的 glyph 或任何内容。在这个版本中,之前替换为 fi 字符串的字符会被正确显示。(BZ#1298616)

poppler 不再尝试访问阵列后面的内存

因为超过阵列长度的内存崩溃会导致 Poppler 库意外终止。已应用了一个修复,不允许 Poppler 尝试访问阵列后面的内存,P oppler 不会在上述情况下崩溃。(BZ#1299506)

当在没有组颜色空间的情况下处理 PDF 时,pdftocairo 不再崩溃

在以前的版本中,当处理没有组颜色空间的 PDF 时,P oper 库会尝试访问不存在的对象。因此,Poppl er 库会意外终止,并出现分段错误。应用了补丁来验证组颜色空间是否存在。因此,P ppler 不再崩溃,在上述情况下 pdftocairo 工具可以正常工作。(BZ#1299479)

poppler 在文本提取过程中不再意外终止

在以前的版本中,在行数组末尾写入可能会导致内存崩溃。因此,Poppl er 库可能会意外终止。应用了补丁,现在当添加项目时,数组总是重新定位。因此,Poppl er 不再会在上述情况下崩溃。(BZ#1299481)

因为缺少 GfxSeparationColorSpace 类,hot pl er 不再意外终止

在以前的版本中,P oper 库会尝试复制不存在的 GfxSeparationColorSpace 类,因此意外终止。在这个版本中,Pop ler 检查 GfxSeparationColorSpace 类是否存在,因此不会在上述情况下崩溃。(BZ#1299490)

因为断言了有问题的加密信息,pdfinfo 不再意外终止

在以前的版本中,Popler 会尝试获取有问题的加密所有者信息。因此,pdfinfo 工具会意外终止。已应用了一个修复来解决这个问题,Poppl er 不再破坏了加密信息。因此,pdfinfo 不再会在上述情况下崩溃。(BZ#1299500)

查看 PDF 时不再崩溃

在以前的版本中,屏幕注解和表单字段将 NULL 指针传递到 _poppler_action_newP oper 在 E ASP 应用程序中查看特定的 PopplerAction 时会创建一个假的 PopplerAction。因此,Ephone 会意外终止并出现分段错误。已应用补丁来修改 _poppler_annot_scren_newpoppler_form_field_get_action 来传递 PopplerDocument 而不是 NULL。因此,在上述情况下,E phone 不再崩溃。(BZ#1299503)

每个用户无法再访问由 GNOME Boxes 启动的虚拟机

在以前的版本中,GNOME Boxes 启动的虚拟机正在侦听本地 TCP 套接字。因此,任何用户可以连接到其他用户启动的任何虚拟机。应用了一个补丁,GNOME Boxes 不再默认打开此类套接字。因此,虚拟机现在可以被 SPICE 访问给拥有虚拟机的用户。(BZ#1043950)

GNOME 框 rebase 到版本 3.14.3.1

GNOME 框 应用程序已更新至版本 3.14.3.1。最值得注意的是,对一个程序错误的补丁已作为这个 rebase 的一部分应用:
  • 在以前的版本中,GNOME 框 应用程序中的虚拟网络计算(VNC)身份验证参数不会被正确处理。因此,使用身份验证到 VNC 服务器的连接会失败。这个程序错误已被解决,与带有身份验证的 VNC 服务器的连接现在可以正常工作。(BZ#1015199)

freerdp 现在可识别通配符证书

在以前的版本中,在 FreeRDP 中不支持通配符证书。因此,FreeRDP 无法识别通配符证书,连接时会显示以下警告:
WARNING: CERTIFICATE NAME MISMATCH!
缺失的功能已从上游和代码向后移植,以比较主机名。因此,如果使用有效的通配符证书,则不再显示上述提示。(BZ#1275241)

现在会自动安装重要的安全更新

在以前的版本中,无法自动安装安全更新。尽管 GNOME 通知了有关可用更新的用户,他们可以选择忽略通知且不安装更新。因此,重要的更新会被卸载。现在,可以使用 gnome-shell 扩展来强制安装重要的更新。因此,当有新的更新可用时,对话框窗口会通知用户要应用更新,并需要保存其工作。在可配置的时间后,系统会重启来安装待处理的更新。(BZ#1302864)

现在,在 accountsservice 中帐户的 shell 始终被验证

accountsservice 软件包用来确定禁用的帐户在 Red Hat Enterprise Linux 6 和 Red Hat Enterprise Linux 7 之间有所变化。因此,即使 shell 无效,用户也会出现在用户列表中为 500 - 1000 之外的 UID。应用了补丁,在帐户被视为可列出的用户帐户之前,始终验证帐户的 shell。因此,现在会过滤为 shell 使用 /sbin/nologin 的用户。(BZ#1341276)

在 Nautilus 3 中处理桌面的新方法

在以前的版本中,桌面上的 Nautilus 3 中的图标是通过获取其他监控并试图将桌面窗口适应适合 rectangle 的最小常见原则来管理的。因此,图标无法放在某些 monitor 中的随机区域,这可能会给用户造成混淆。这个行为已被修改,将桌面窗口限制为主监控器。虽然此更改不允许使用所有可用的监视器作为桌面的一部分,但它修复了上面描述的错误。(BZ#1207646)

Xvnc 会话支持 GLX

Xvnc 中的 GLX 支持代码需要使用 libGL 库。如果安装了第三方驱动程序并替换了 libGL,则 Xvnc 会话会启动,且不支持 GLX。因此,3D 应用程序无法在 Xvnc 下工作。有了这个更新,Xvnc 已重建为需要 libGL,假定在 /usr/lib64/ 中安装。现在,子目录中安装的第三方驱动程序不再与 Xvnc 冲突,现在它可以成功初始化 GLX。因此,GLX 功能在 Xvnc 会话中再次可用。
请注意,连接到 Xvnc 的客户端应用程序需要使用与 Xvnc 服务器相同的 libGL 版本,这可能需要使用 LD_LIBRARY_PATH 环境变量。(BZ#1326867)

扁平文档集合

使用 gnome-documents 应用程序时,可以将一个集合包括到另一个集合中,反之亦然。因此,应用程序会意外终止。在这个版本中,集合是扁平的,并允许循环集合链,从而修复此错误。(BZ#958690)

在使用特殊字符查询时,control-center 不再崩溃

在以前的版本中,当搜索新打印机时,用户输入的文本需要特定的字符集。因此,当搜索包含特殊字符的打印机名称时,control-center 工具可能会意外终止。在这个版本中,文本以有效的 ASCII 格式进行编码。因此,control-center 不再崩溃并正确查询打印机。(BZ#1298952)

gnome-control-center 不再因为零长度字符串而崩溃

在以前的版本中,gnome-control-center 工具与空字符串和无效的指针一起工作。因此,它会意外终止。gnome-control-center 工具现在检查给定应用程序的标识符是否至少为 1 个字符,并初始化 new_app_ids 指针。因此,上面声明的问题不再发生。(BZ#1298951)

发行注记软件包现在可以被正确安装

在以前的版本中,由于 Red Hat Enterprise Linux 发行注记软件包的命名,软件包不会在配置与英语不同的语言的系统中安装。这个版本在 yum-languagepacks 软件包中提供额外的解析规则。因此,发行注记软件包现在可以被正确安装。(BZ#1263241)

现在,为 pt_BRzh_CNzh_TW 本地化正确安装了 LibreOffice 语言软件包

在以前的版本中,使用 pt_BRzh_CNzh_TW 本地化的语言软件包在系统中自动安装转换的 libreoffice-langpack 软件包。在 yum 语言插件中添加了解析规则来解决这个问题。因此,会安装正确的 LibreOffice 语言软件包。(BZ#1251388)

第 27 章 文件系统

quota RPC 服务不再可用

升级 nfs-utils 软件包后,在启动 配额 远程过程调用(RPC)服务后,nfs-rquotad.service systemd 服务之前在系统中不可用。要修复这个程序错误,配额 软件包现在包含一个新的 rpc-rquotad.service thesystemd the 服务,它提供 配额 RPC 服务,允许查询和设置磁盘配额。该服务可以在 /etc/sysconfig/rpc-rquotad 文件中配置。另外还提供了 nfs-rquotad 服务别名,以确保与早期版本兼容。因此,配额 RPC 服务现在包括在 Red Hat Enterprise Linux 7 中,如上述情况中所示。(BZ#1207239)

repquota 现在为本地 passwd 数据库中定义的用户报告配额

当某些用户只在 LDAP 目录中定义时,在 XFS 文件系统上使用 repquota 工具列出所有用户配额时,以前未在本地 passwd 数据库中定义的用户配额不会被 repquota 报告。现在,会使用一个新的内核接口 Q_GETNEXTQUOTAQ_XGETNEXTQUOTA 配额 IOCTL 命令(如果可用)来检索存储在文件系统中的所有配额条目。这个新方法不需要枚举所有用户帐户,即使用户未知了本地系统,也可以正常工作。因此,rep quota 为所有用户报告配额,即使用户帐户是从远程 LDAP 服务器或系统安全服务守护进程(SSSD)检索的,也会缓存用户帐户。(BZ#1305968)

现在,配额 可以正确地报告宽限期

在以前的版本中,如果超过当前用户的软配额限制,则当 配额 工具显示 NFS 挂载的文件系统的宽限期时,整数类型会错误地解析,且宽限期已经过期。因此,配额 命令会错误地报告大量天数,而不是 none 值。在这个版本中解决了在网络中传输宽限期的整数类型错误解析。另外,这个更新将可能值的范围限制为 32 位签名的整数界限,以确保 NFS 服务器和具有不同 CPU 单词大小的客户端间的互操作性。因此,配额 工具可以正确地报告与 -2^31+1 到 2^31 秒范围内的服务器时间不同的宽限期。较低值报告为过期,并较高,作为最大可能的时间,直到差别位于正确的范围内为止。(BZ#1072858)

CIFS.idmap 现在将 SID 映射到 UID

在以前的版本中,cifs.idmap 工具无法将 SID 映射到 Red Hat Enterprise Linux 7 中的 UID。因此,cifs.idmap 无法用于将所有权映射到 Active Directory (AD)中的用户名或组名称。Makefile 已被修改,以验证是否显示了正确的构建选项,以确保映射正常工作。因此,cifs.idmap 中的映射现在可以正常工作。(BZ#1289454)

cifs-utils rebase 到版本 6.2

cifs-utils 软件包已升级到上游版本 6.2,它提供了大量的程序错误修复。包括以下程序错误修复:
  • libwbclient 的不必要的链接会被阻止。
  • 第二次尝试挂载时大写或ig_dev
  • paths.h 包含在 mtab.c
  • 在手册页中明确指定 backupuidbackupgid 的使用。
  • 包括了 x 114 挂载选项。(BZ#1351618)

第 28 章 硬件启用

主绑定接口不再接管没有失败的活跃接口

以前,primary_reselect=failure 绑定参数无法正常工作。即使其他接口没有失败,也始终接管主接口。在这个版本中,该参数可以正常工作,只有在当前非主活跃接口失败时主绑定接口才会接管。(BZ#1301451)

在 IBM Power Systems 的 little-endian 变体失败的 updatepp 操作中会阻止内存崩溃

在以前的版本中,IBM Power Systems 的 little-endian 变体上的 updatepp 操作有时会导致在页表中将错误的哈希值用于下一个哈希插入操作。这可能导致更新散列页表条目(PTE)操作或未无效的哈希 PTE 操作丢失,并可能导致内存崩溃。在这个版本中,在 updatepp 操作失败后,哈希值总是被重新计算,这可以防止潜在的内存崩溃。(BZ#1264920)

删除 USB 设备不再会导致竞争条件

在以前的版本中,删除 USB 设备会导致同步问题,这可能会导致竞争条件。因此,内存损坏,这会导致 USB 主机控制器失败。在这个版本中,计时器已足够早初始化,这可以防止出现竞争条件,且 USB 主机控制器不再失败。(BZ#1290202)

内核现在在 AMD Turion II 系统中引导

在以前的版本中,由于 tick broadcast code 中的 livelock,AMD Turion II 系统在某些情况下被锁定并在引导过程中变得无响应。有了这个更新,livelock 已被修复,内核现在在 AMD Turion II 系统中更可靠引导。(BZ#1265283)

因为运行时锁定争用,有许多 CPU 的实时系统不再具有大量延迟

在以前的版本中,在实时系统中,多个 CPU 会尝试使用一个 rq 锁定,这会导致锁定争用和延迟。延迟乘以 CPU 数量,这会导致有多个 CPU 的系统具有大量延迟。有了这个更新,超过 32 个内核的系统使用 推送 方法而不是 拉取,这可防止关键区域中的 CPU 长列表。因此,由于运行时锁定争用,有许多 CPU 的实时系统不再具有大量延迟。(BZ#1209987)

当使用 NVM Express 设备驱动程序启用多队列支持时,内核不再在引导时崩溃

由于核心块设备代码中的一个错误,内核在某些情况下,当对 Nonvolatile Memory Express (NVMe)设备驱动程序启用多队列支持时,内核会在启动时意外终止。此问题在 nvme 驱动程序中观察到,但其他块设备也可能会受到影响。在这个版本中,这个程序错误已被解决,内核在上述情况下不再崩溃。(BZ#1303255)

CPU 频率现在达到请求的值

在以前的版本中,intel_pstate 驱动程序会错误地舍入 CPU 频率值。因此,CPU 频率低于请求的用户。在这个版本中,舍入错误已被修复,CPU 频率现在达到请求的值。(BZ#1279617)

修复了 FCoE 代码的实时内核调度代码

实时内核光纤通道(FCoE)驱动程序已改为使用 get_cpu_light ()put_cpu_light () 函数,而不是更常见的 get_cpu ()put_cpu () 函数。但是,get_cpu () 的一个发生没有更改为 get_cpu_light ()。因此,禁用了抢占,在 FCoE 代码中出现 原子错误时调度 BUG: 调度。在这个版本中,代码已被修复,错误不再发生。(BZ#1258295)

未报告 PCI 适配器的 NUMA 节点不再降低了 IBM Power 系统的性能

在以前的版本中,因为一个回归,PCI 适配器不会报告 Non-Uniform Memory Access (NUMA)节点。这会导致使用 Red Hat Enterprise Linux 7 部署的每个 IBM Power 系统的性能显著降低。在这个版本中,回归问题已被修复,在这种情况下,系统性能不再会降低。(BZ#1273978)

在设置 DMA 传输时系统不再崩溃

由于输入/输出内存管理单元(IOMMU)页面大小不一致,Non-volatile Memory Express (NVMe)设备和内核,之前在 nvme_setup_prps () 函数中出现的 BUG_ON 信号。这可能会导致系统意外终止,同时设置直接内存访问(DMA)传输。在这个版本中,默认的 NVMe 页面大小被设置为 4 KB,系统崩溃不再发生。(BZ#1245140)

在热拔过程中内核不再挂起

由于可重试的命令错误,NVMe 驱动程序之前会泄漏 I/O 描述符和 DMA 映射。因此,如果删除了驱动器,则内核可能会在热拔操作过程中变得无响应。在这个版本中解决了命令重试时的驱动程序内存泄漏的问题,内核在这种情况下不再挂起。(BZ#1271860)

禁用大 Receive Offload (LRO)标记现在可以正确地传播

在以前的版本中,禁用大 Receive Offload (LRO)标记不会从 vlan 和 bond 层次结构中的上述设备传播 Downwards。因此,流量流会破坏。在这个版本中,这个问题已被解决,并禁用 LRO 标志。(BZ#1266578)

在 Intel Xeon v5 平台上切换 P-states 现在可以成功

在以前的版本中,在 Intel Xeon v5 平台上,处理器频率始终与最大可能的频率关联。因此,在这些客户端平台上切换 P-states 会失败。在这个版本中,通过确定范围并调整最小和最大百分比限制值来设置闲置频率、忙碌频率和处理器频率值。因此,在这些客户端平台上切换 P-states 现在可以成功。(BZ#1264990)

cpuscaling 测试不再失败

在以前的版本中,因为 intel-pstate 驱动程序中存在大量错误,红帽硬件认证测试套件的 cpuscaling 测试会失败。这个程序错误已被解决,cpuscaling 测试现在通过非常强大的硬件上。(BZ#1263866)

genwqe 驱动程序可以在内存压力期间分配内存

genwqe 设备驱动程序以前使用 GFP_ATOMIC 标志从内核的原子内存池中分配连续内存页面 - 即使在非原子情况下也是如此。这可能会导致在内存压力期间分配失败。在这个版本中,genwqe 驱动程序的内存分配使用 GFP_KERNEL 标志,驱动程序也可以在内存压力情况期间分配内存。(BZ#1270244)

禁用 CPU 时控制台不再挂起

在以前的版本中,当使用实时内核中的 CPU 热插拔 接口禁用 CPU 时,热插拔 锁定和控制台 semaphore 可能会以不正确的顺序获取。这可能会导致系统控制台变得无响应。在这个版本中,以正确顺序获取锁定,控制台不再挂起。(BZ#1269647)

现在,ixgbe 驱动程序中默认禁用 LRO

因为 Large Receive Offload (LRO)与转发和桥接不兼容,并可能导致性能问题和不稳定,现在在 ixgbe 驱动程序中默认禁用。
启用 LRO:
# ethtool -K ethX lro on
ethX 替换为接口的名称。(BZ#1266948)

IBM Power 系统的 nx842 co-processor 不再提供损坏的数据

在以前的版本中,在某些情况下,IBM Power Systems 的 nx842 co-processor 可能会提供无效的数据。这是因为在未压缩过程中发生的数据崩溃错误所致。在这个版本中,对 nx842 co-processor 的所有压缩和未压缩的调用都包含 cyclic 冗余检查(CRC)标记。这会强制所有压缩和未压缩操作来检查数据完整性,并防止 co-processor 提供损坏的数据。(BZ#1264905)

在调用 mlx4_en_recover_from_oom () 函数时,系统不再崩溃

在以前的版本中,当 mlx4_en 驱动器在高 TCP 流下调用 mlx4_en _recover_from_oom () 函数时,操作系统会意外终止。这个更新修复了这个程序错误,系统在此场景中不再崩溃。(BZ#1258136)

iw 正确显示规范信息

在以前的版本中,iw 工具在使用 iw reg set 命令设置后无法正确显示规范国家。这个版本会调整 iw 代码,使其更接近 Red Hat Enterprise Linux 无线代码。因此,iw 会如预期显示规范国家信息。(BZ#1324096)

i40e 不再在引导过程中发出 warn_slowpath 警告

在以前的版本中,i40e 驱动程序会在环大小更改时发出 warn_slowpath 警告,因为代码正在克隆 rx_ring struct,但在分配新内存前不会归零指针。在这个版本中,这个程序错误已被修复,不再显示警告。(BZ#1272833)

netprio_cgroups 模块现在在引导时挂载

在以前的版本中,systemd/sys/fs/cgroup/ 目录挂载为只读,这会阻止在初始系统设置期间挂载 /sys/fs/cgroup/net_prio/ 目录。因此,netprio_cgroups 模块没有在引导时挂载。有了这个更新,这个问题已被解决,netprio_cgroups 模块现在在引导时挂载。(BZ#1262204)

使用 qlcnic 设置绑定不再失败

在此次更新之前,某些绑定模式(如 balance-tlbbalance-alb )设置没有正确存储的 MAC 地址。当停止绑定时,这个 MAC 地址不会被恢复,并保留重复的 MAC。因此,重新建立绑定会失败,因为原始 MAC 地址不存在。这个版本改进了代码,以便在绑定关闭时正确恢复 MAC 地址。因此,与 qlcnic 设备的绑定可以正常工作。(BZ#1265058)

第 29 章 安装和引导

现在在安装过程中可以使用 ast 模块的图形卡

由于安装系统中缺少 ast 模块的依赖项,在安装 Red Hat Enterprise Linux 7 的过程中无法使用这个模块的图形卡。现在,添加了这些依赖项。(BZ#1272658)

现在,可以在包含无效或不支持的分区表的磁盘上执行安装。

在以前的版本中,当在带有损坏或不支持的分区表的磁盘中安装 Red Hat Enterprise Linux 7 时,安装会失败,在尝试写入磁盘时通常是安装失败。添加了对删除无效和不支持的分区表的支持,现在可以使用这些分区表在磁盘上执行安装。(BZ#1266199)

现在支持多个 inst.dd 选项来载入驱动程序磁盘

基于 inst.dd 选项载入驱动程序磁盘的作业使用唯一选项调度。当将多个 inst.dd 源指定为引导选项时,只有最后一个被加载并应用。此更新可确保不再以唯一方式调用作业。现在,可以指定多个 inst.dd 引导选项,以通过来自不同源的多个驱动程序更新镜像来提供驱动程序。(BZ#1268792)

安装过程中订阅管理器屏幕的帮助信息

安装程序的内置帮助系统现在包含有关订阅管理器屏幕的信息。(BZ#1260071)

Initial Setup 工具可以正确启动

由于 initial-setup-text 服务和 initial-setup-graphical 服务之间的竞争条件,Initial Setup 工具的接口有时会错误地启动。这两个服务现已合并到一个服务 initial-setup 中。原始服务仍可用于兼容性,但默认情况下不使用。现在,接口可以正确地显示。(BZ#1249598)

使用 IPv6 的 VNC 安装可以正常工作

由于处理 IPv6 地址时出现错误,IPv6 地址查找会失败。因此,无法使用 IPv6 通过 VNC 安装。这个程序错误已被解决。(BZ#1267872)

现在,安装的系统中提供了在安装过程中使用的 HyperPAV 别名

在以前的版本中,在安装的系统中没有正确配置 HyperPAV 别名。HyperPAV 处理现已得到改进,安装过程使用的任何 HyperPAV 别名现在都会在安装的系统中自动配置。(BZ#1031589)

自定义分区中的错误会被正确检测到

在以前的版本中,自定义分区中的错误没有正确为用户显示,允许安装继续进行无效的自定义分区配置,从而导致意外行为。这个程序错误已被解决,自定义分区中的错误现在可以正确地报告给用户,以便在继续安装前可以调整它们。(BZ#1269195)

安装期间配置的静态路由现在会在安装的系统中自动配置

在以前的版本中,静态路由配置文件不会从安装环境复制到安装的系统。因此,在安装完成后会丢失静态路由配置。现在,这些文件会被复制,在安装过程中配置的静态路由会在安装的系统中自动配置。(BZ#1255801)

grub2-mkconfig 工具现在遵循特定的 grubby 配置变量

在以前的版本中,当 grubbygrub 配置文件中添加一些条目时,特别是 debug 条目,grub2-mkconfig 在重新运行时无法识别和复制这些条目。在这个版本中,如果 /etc/sysconfig/kernel 指定了 MAKEDEBUG=yesgrub2-mkconfig 会复制新的 grubby 配置条目。(BZ#1226325)

现在,在升级内核和时正确配置了 GRUB2 redhat-release-*

在以前的版本中,如果同一 Yum 事务中存在 redhat-release-* 软件包和内核软件包,则 GRUB2 引导装载程序被错误重新配置。因此,GRUB2 无法引导新安装的内核。现在,GRUB2 已被正确重新配置,并可在这种情况中引导新内核。(BZ#1289314)

现在,Red Hat Enterprise Linux 6 有效的 Kickstart 文件可以被 ksvalidator正确识别

在以前的版本中,当使用 ksvalidator 工具验证为 Red Hat Enterprise Linux 6 创建的 Kickstart 文件时,使用带 --reserved-percent 选项的 logvol 命令会错误地声明 --reserved-percent 不是有效的选项。这个程序错误已被解决。(BZ#1290244)

在添加 iSCSI 设备时 Anaconda 不再崩溃

在以前的版本中,当尝试使用存储屏幕中的 Add a disk 按钮添加某些 iSCSI 设备时,Anaconda 安装程序会意外终止。这个程序错误现已解决。(BZ#1255280)

Anaconda 安装程序可以正确地允许调整有问题的磁盘选择

在以前的版本中,如果在安装 Red Hat Enterprise Linux 7 的过程中选择磁盘出现问题,在安装过程中会显示错误,从而导致安装失败。在这个版本中,正确会显示一个警告,允许在继续操作前调整磁盘选择。(BZ#1265330)

anaconda-user-help 软件包现在可以正确升级

当从 Red Hat Enterprise Linux 7.1 升级时,anaconda-user-help 软件包没有正确升级。这个问题已被解决,软件包现在可以被正确升级。(BZ#1275285)

更广泛的分区可用作 /boot

在以前的版本中,GRUB2 引导装载程序只支持 8 位设备节点副号码。因此,引导装载程序在大于 255 的设备节点上安装会失败。现在,所有有效的 Linux 设备节点副号码都被支持,因此可以将更广泛的分区用作 /boot 分区。(BZ#1279599)

systemd/ 字符的转义不再阻止系统引导

在以前的版本中,systemd 会错误地处理初始 RAM 磁盘(initrd)中的 LABEL=/ 选项。因此,未找到该标签,当 root 分区 LABEL 包含 / 字符时,系统无法引导。在这个版本中,在上述情况下,/ 会被正确转义,系统不再无法引导。更新至 Red Hat Enterprise Linux 的更新的版本会更新内核并重建 initrd。您还可以通过运行 dracut -f 命令重建 initrd。(BZ#1306126)

/boot 分区的默认大小为 1 GB

在之前的 Red Hat Enterprise Linux 7 版本中,/boot 分区的默认大小被设置为 500 MB。这可能会导致有多个内核的系统出现问题,以及安装 kernel-debuginfo 等其他软件包。在这种情况下,/boot 分区可能会完全或几乎完全完全,这样会阻止系统升级和需要手动清理来释放额外的空间。
在 Red Hat Enterprise Linux 7.3 中,/boot 分区的默认大小增加到 1 GB,且这些问题不再在新安装的系统中发生。请注意,之前版本的安装不会调整其 /boot 分区大小,可能仍需要手动清理才能进行升级。(BZ#1369837)

biosbootprepboot 现在在安装后包含在 Kickstart 文件中

当 Kickstart 文件包含创建 biosbootprepboot 分区的指令时,Blivet 模块不会在 Kickstart 数据中传递此信息。因此,在 Kickstart 安装后,新安装的系统上的 Kickstart 文件不包含创建 biosbootprepboot 分区的选项,且无法在其他系统中成功重复使用。有了这个更新,Kickstart 输出会如预期包括这些选项,而 Kickstart 文件可用于其他系统来创建 biosbootprepboot 分区。(BZ#1242666)

os-prober 现在在引导装载程序配置中使用设备映射器别名名称

os-prober 组件之前在引导装载程序配置中使用数字设备映射器设备。重启后,当安装程序磁盘镜像不再挂载时,数字会改变,从而导致引导条目不可用。因此,当在一台机器上安装了两个 Red Hat Enterprise Linux 实例时,其中一个无法启动。要修复这个程序错误,os-prober 现在使用设备映射器别名名称,而不是直接枚举的设备映射器名称。由于别名名称更为稳定,所以引导条目在上述情况下可以正常工作。(BZ#1300262)

在 IBM z Systems 上安装现在会生成正确的 Kickstart 文件

在以前的版本中,anaconda-ks.cfg 文件是系统安装过程中生成的 Kickstart 文件,并包含在安装过程中进行的所有选择,在 IBM z Systems DASD 上安装时将磁盘大小表示十进制数字。这个程序错误导致 Kickstart 文件无效,因为在指定磁盘大小时只接受整数,用户必须在使用该文件重现安装前手动编辑该文件。这个程序错误已被解决,在 IBM z Systems 上安装过程中生成的 Kickstart 文件现在可以在后续安装中使用,而无需任何编辑。(BZ#1257997)

在基于文本的安装过程中格式化 DASD 可以正常工作

在以前的版本中,一个程序错误阻止 DASD 在基于文本的安装过程中被正确格式化。因此,在使用前,需要手动格式化或错误格式化的 DASD。这个程序错误已被解决,安装程序现在可以在执行基于文本的安装时格式化 DASD。(BZ#1259437)

初始设置现在显示正确的窗口标题

Initial Setup 工具会在首次安装后自动显示,它允许您配置网络连接等设置,并注册您的系统,之前在窗口标题中显示不正确的字符串 __main__.py。在这个版本中,这个程序错误已被解决。(BZ#1267203)

当在 Kickstart 文件中使用 %packages --nobase --nocore 时安装不再会失败

在以前的版本中,使用包含 %packages 部分并同时指定 --nobase--nocore 选项的 Kickstart 文件会导致安装失败,因为缺少 yum-langpacks 软件包。这个软件包现在可用,上面描述的问题不再发生。(BZ#1271766)

第 30 章 内核

对之前在 crashdump 过程中损坏的 PT_NOTE 条目修复

在一些 HP 服务器中,内核崩溃可能会导致因为内核代码缺陷导致 PT_NOTE 条目崩溃。因此,内核崩溃转储工具无法初始化。提供的补丁与 PT_NOTE 条目分配一致,以便它们在一个物理页面中相同,因此写入和读取数据是相同的。因此,在上述情况下,内核崩溃转储现在可以正常工作。(BZ#1073651)

删除 slub_debug 参数以保存内存

slub_debug 参数启用 SLUB 分配器的调试,这样可使每个对象消耗额外的内存。如果使用 slub_debug 内核参数,则在 128 GB 系统上自动设置 kdump 捕获内核没有足够的内存分配给 kdump 捕获内核。因此,kdump init 脚本中的各种任务会终止,并显示 Out Of Memory (OOM)错误消息,且不会保存崩溃转储。提供的补丁会删除 slub_debug 参数,现在崩溃转储会在上述场景中按预期保存。(BZ#1180246)

删除竞争条件会导致在附加新 CPU 时死锁

在以前的版本中,当附加新 CPU 时,如果新 CPU 上的迁移线程已经标记为 活跃未启用,则可能会出现 CPU 热插拔和 stop_two_cpus ()函数之间的竞争条件。应用了一组补丁来消除此竞争条件。因此,附加新 CPU 的系统现在如预期运行。(BZ#1252281)

使用来自上游的巨页迁移补丁更新内核

在以前的版本中,巨页迁移可能会出现一些错误,包括内核 panic。上游的一组补丁已被向后移植来修复这些程序错误。现在,更新的内核更为稳定,在 AMD64 和 Intel 64 以外的构架中会自动禁用巨页迁移。(BZ#1287322)

使用 UEFI 引导内核并启用安全引导

当使用统一可扩展固件接口(UEFI)并启用安全引导时,操作系统可能会因为 3.10.0-327.3.1.el7.x86_64 内核引导所有内核。更新 3.10.0-327.4.4.el7 内核及系统如预期启动的新版本。(BZ#1290441)

为所有安装的内核在 initramfs 镜像中添加了新的 microcode

在以前的版本中,当安装 microcode_ctl 软件包时,postinstall scriptlet 只为正在运行的内核重新构建 initramfs 文件,而不用于任何其他安装的内核。因此,当构建完成后,还没有安装的内核有一个 initramfs 文件。提供的修复为所有安装的内核在 initramfs 镜像中添加了新的 microcode。因此,不再生成 superfluous initramfs 文件。(BZ#1292158)

GFS2 中竞争条件导致的内核 slab 错误不再发生

以前在 GFS2 文件系统中发生了一个竞争条件,其中两个进程同时尝试释放用于目录查找的内核 slab 内存。因此,当两个进程都释放相同的内存时,内核中会出现 slab 内存错误。现在,GFS2 文件系统已被修补来消除竞争条件,进程现在无法尝试释放已经被其他进程释放的内存。现在,在尝试释放内存时,每个进程都会被强制进行。因此,内核 slab 错误不再发生。(BZ#1276477)

GFS2 现在将数据写入文件中的正确位置

在以前的版本中,当写入使用 O_DIRECT (直接 I/O)打开的文件时,GFS2 文件系统会错误地计算大于 4 KB 的位置。因此,数据被写入文件中的错误位置。GFS2 已修补,以计算直接 I/O 写入的正确文件偏移。因此,GFS2 现在将数据写入文件中的正确位置。(BZ#1289630)

当 kdump 机制失败时,dump-capture 内核内存会释放

当使用 ,high,low 语法分配 crashkernel 内存时,在有些情况下,保留高部分,但保留 kdump 机制失败。由于以下原因,这个故障可能会在大型系统中发生。手动指定的 crashkernel 低内存太大,因此找不到足够的 memblock 区域。kexec 工具可以成功加载 dump-capture 内核,但引导 dump-capture 内核会失败,因为内存不足。在分配了高内存部分后,提供的补丁集为 dump-capture 内核保留低内存。因此,如果 kdump 机制失败,则 dump-capture 内核内存会被释放。因此,用户可以相应地测量措施。(BZ#1241236)

因为不可用的 kabi-whitelists 组件,ksc 工具不再无法文件错误

在以前的更新中,k abi-whitelists 组件被改为内核组件的 kabi-whitelists 子组件。因此,ksc 工具无法文件错误,因为 kabi-whitelists 组件值未激活,并生成以下出错信息:
Could not create bug.<Fault 32000:"The component value 'kabi-whitelists' is not active">
在这个版本中,内核组件的正确子组件是 kabi-whitelisted,ksc 文件错误如预期。(BZ#1328384)

现在,在没有强制参数运行时,ksc 会返回错误而不是崩溃

在以前的版本中,当没有强制参数 运行时,ksc 工具会意外终止。在这个版本中,ks c 会返回错误消息,并在上述情况下安全地退出。(BZ#1272348)

ext4 文件系统现在可以按预期调整

由于 ext4 代码中的一个错误,之前无法重新定义大小为 1 KB 的块大小并小于 32MB 的 ext4 文件系统的大小。现在,应用了一个补丁来解决这个问题,上面描述的 ext4 文件系统可以如预期调整大小。(BZ#1172496)

将 qdisc 附加到虚拟设备时的意外行为不再发生

在以前的版本中,将 qdisc 附加到虚拟设备可能会导致意外行为,如数据包被预先丢弃并减少带宽。有了这个更新,虚拟设备的默认 tx_queue_len 为 1000,由设备标记表示。现在,默认设置支持将 qdisc 附加到虚拟设备,不再需要对 tx_queue_len=0 特殊处理。(BZ#1152231)

udev 守护进程不再被 dracut

在以前的版本中,initramfs 进程中的 dracut 脚本使用 udevadm control 命令停止 udev 守护进程,这会导致 udev 守护进程退出。但是,systemd 服务策略是重启守护进程。在某些情况下,这会阻止系统引导。在这个版本中,停止 udev 守护进程的代码已从 dracut 脚本中删除,这可避免上述问题。(BZ#1276983)

修复了多fsb 缓冲日志记录

在以前的版本中,因为记录多块缓冲区的问题,对具有大型目录块大小的 XFS 文件系统的目录修改可能会导致内核 panic 和规范服务器崩溃。提供的补丁修复了 multi-fsb 缓冲日志记录,在这种情况下服务器不再崩溃。(BZ#1356009)

使用第 6 代 Intel Core 处理器中集成图形的笔记本电脑上不再发生硬屏幕锁定

在使用 6 代 Intel Core 处理器中的集成图形的笔记本电脑上,之前发生硬屏幕锁定有时会发生:
  • 在 monitor 的边缘间移动光标
  • 在多个监控器间移动光标
  • 更改 monitor 配置的任何方面
  • docking 或 undocking the machine
  • 插入或拔出 monitor
这个程序错误已被解决,在这种情况下,屏幕的硬锁定不再发生。(BZ#1341633)

在具有持久内存的系统中修复多个问题

在具有持久内存的系统上引导时,有时会出现几个问题,可以是真实的非线性内存模块(NVDIMM)或使用 memmap=X!Y 内核命令行参数模拟 NVDIMM。
完成持久性内存会导致为每个 pmem 设备的块(128 MB)显示以下信息:
Built 2 zonelists in Zone order, mobility grouping on.  Total pages: 8126731
Policy zone: Normal
系统变得无响应。
此时会显示以下 BUG 信息:
BUG: unable to handle kernel paging request at ffff88007b7eef70
在这个版本中解决了上面描述的错误。(BZ#1367257)

当未设置 SUDO_USERUSER 变量时,Python 错误不再会出现

在以前的版本中,当在没有设置 SUDO_USERUSER 环境变量的备用环境中执行时,会出现多个 python 错误。在这个版本中,未定义的 SUDO_ USER 和 USER 变量会被正确处理,不再会出现错误。(BZ#1312057)

CIFS 匿名身份验证不再失败

在以前的版本中,cifs 模块为匿名身份验证设置错误的值。对 samba 文件服务器所做的更改会公开此错误。因此,匿名身份验证会失败。在这个版本中,更改了客户端的行为,并为匿名身份验证设置正确的 auth 值。因此,cifs 匿名身份验证现在可以正常工作。(BZ#1361407)

第 31 章 网络

libcurl 成功与需要 HTTP 主机名的服务器通信,以匹配 TLS 会话主机名

在以前的版本中,在某些情况下,网络安全服务(NSS)为具有不同主机名的服务器错误地重复使用 TLS 会话。因此,HTTPS 服务器可能会以 HTTP 错误 400 (Bad Request)响应。上游补丁应用于 libcurl 库的源代码,以防止 NSS 在 HTTP 主机名与 TLS 会话主机名不匹配时重复使用 TLS 会话。因此,libcurl 可以成功与需要 HTTP 主机名的服务器通信,以匹配 TLS 会话主机名。(BZ#1269855)

curl 不再需要用户指定的公钥

在此次更新之前,curl 工具需要私有和公共 SSH 密钥(相互包含)用于用户身份验证。因此,如果用户只提供私有 SSH 密钥(使用 scp 实用程序是常见做法),curl 无法验证用户。现在,应用了上游补丁来提高 SSH 用户身份验证,如果只提供了 SSH 私钥,curl 现在也成功验证用户。(BZ#1275769)

libcurl 不再截断长用户名和密码

以前,lib curl 库中的 URL 解析程序不支持任意密码。因此,用户名和密码超过 255 个字符会被截断。现在,在 libcurl 源代码中应用了一系列上游补丁,现在 libcurl 可以正确处理 URL 中的长用户名和密码。(BZ#1260178)

PycURLpycurl.POSTFIELDS 选项现在可以正常工作

在以前的版本中,PycURL 接口违反了 libcurl API,这需要由 CURLOPT_POSTFIELDS 选项传递的字符串保持有效,直到传输完成为止。因此,如果使用 pycurl.POSTFIELDS 选项,libcurl 会在其生命周期之外访问字符串,这会导致未定义的行为。PycURL 源代码中应用了上游补丁,以确保传递给 libcurlCURLOPT_POSTFIELDS 选项的字符串保持足够长,并且上面描述的问题不再发生。(BZ#1153321)

sctp_accept () 在超时事件期间调用时不再会导致死锁

在以前的版本中,当在 4 通道握手后,用户在心跳超时事件期间用户调用 sctp_accept () 时,可能会出现死锁。在这个版本中,这个程序错误已通过提供 assoc->base.sk 指针来解决,以确保 SCTP 正确锁定并解锁侦听套接字。(BZ#1270586)

如果堆栈大小被设置为无限,则不再出现内存不足消息

在此次更新之前,当堆栈大小被设置为无限时,使用 ftp 命令会 放置,从而导致 sysconf (_SC_ARG_MAX)功能返回 -1, 这会导致 malloc ()函数被调用为 0, 并导致出现内存不足信息。在这个版本中,底层源代码已被改进,以分配合理的最小内存。因此,如果堆栈大小之前设置为无限,则 内存不足 消息不再会出现。(BZ#1304064)

NetworkManager 不再为 dhclient 提供完整的 FQDN (DHCP_HOSTNAME)。

在以前的版本中,NetworkManager 始终仅在 DHCP 请求中发送机器主机名的主机部分。因此,无法强制发送完全限定域名(FQDN)。在这个版本中,用户可以使用 nmcli 配置在 DHCP 请求中发送的 FQDN,并将 ipv4.dhcp-fqdn 设置为所需的 FQDN,并确保启用了 ipv4.dhcp-send-hostname。在配置文件中,可以使用 DHCP_FQDN 变量指定 FQDN。(BZ#1255507)

第 32 章 安全性

ftp_home_dir SELinux 布尔值已被删除

在以前的版本中,用户可以登录到主目录,尽管 ftp_home_dir SELinux 布尔值设为 off。在这个版本中,ftp_home_dir 布尔值已被删除。(BZ#1097775)

第 33 章 服务器和服务

named 服务现在绑定到所有接口

在这个版本中,当向接口添加新 IP 地址时,BIND 可以响应情况。如果配置允许新地址,BIND 将自动开始侦听该接口。(BZ#1294506)

修复 tomcat-digest 以生成密码哈希

当使用 tomcat-digest 工具创建 Tomcat 密码的 SHA 哈希时,命令会意外终止 ClassNotFoundException Java 异常。现在,提供了一个补丁来修复这个程序错误,tomcat-digest 现在会如预期生成密码哈希。(BZ#1240279)

Tomcat 现在可在新的 conf.d 目录中的配置文件中使用 shell 扩展

在以前的版本中,/etc/sysconfig/tomcat/etc/tomcat/tomcat.conf 文件在没有 shell 扩展的情况下被加载,从而导致应用程序意外终止。在这个版本中,通过添加新的配置目录 /etc/tomcat/conf.d,在 Tomcat 配置文件中使用 shell 扩展提供了一种机制。放置在新目录中的任何文件现在都可能包含 shell 变量。(BZ#1221896)

修复 tomcat-jsvc 服务单元以创建两个独立的 Tomcat 服务器

当尝试启动多个独立的 Tomcat 服务器时,第二个服务器无法启动,因为 jsvc 服务返回错误。在这个版本中修复了 jsvc systemd 服务单元,并处理 TOMCAT_USER 变量。(BZ#1201409)

因为文件描述符泄漏,dbus-daemon 服务不再变得无响应

在以前的版本中,如果在短时间内收到,则 dbus-daemon 服务会错误地处理包含文件描述符的多个消息。因此,dbus-daemon 会泄漏文件描述符并变得无响应。应用了补丁,以正确处理来自 dbus-daemon 中不同消息的多个文件描述符。因此,dbus-daemon 会正确关闭并传递文件描述符,在上述情况下不再无响应。(BZ#1325870)

更新标记 tomcat-admin-webapps 软件包配置文件

在以前的版本中,tomcat-admin-webapps web.xml 文件没有标记为配置文件。因此,升级 tomcat-admin-webapps 软件包覆盖了 /usr/share/tomcat/webapps/host-manager/WEB-INF/web.xml/usr/share/tomcat/webapps/manager/WEB-INF/web.xml 文件,从而导致自动删除自定义用户配置。在这个版本中修复了这些文件的分类,从而防止这个问题。(BZ#1208402)

在将 PDF 文件转换为 PNG 时,Ghostcript 不再挂起

在以前的版本中,当将 PDF 文件转换为 PNG 文件时,Ghostscript 可能会变得无响应。这个程序错误已被解决,转换时间现在与被转换的 PDF 文件的大小成比例。(BZ#1302121)

named-chroot 服务现在可以正确启动

由于回归问题,在 named-chroot.service 文件中省略 -t /var/named/chroot 选项。因此,如果缺少 /etc/named.conf 文件,named-chroot 服务无法启动。另外,如果 /etc/ 和 / var/named/chroot/etc/ 目录中存在 不同的 named.conf 文件,则 named-checkconf 工具会在服务启动时错误地检查 changed-root 目录中的一个。在这个版本中,服务文件中的选项已被添加,named-chroot 服务现在可以正常工作。(BZ#1278082)

AT-SPI2 驱动程序添加到 brltty

Assistive Technology Service Provider Interface 驱动程序版本 2 (AT-SPI2)已添加到 brltty 守护进程中。AT-SPI2 启用 brltty 和 GNOME 访问性工具包。(BZ#1324672)

tuned-adm 验证的新 --ignore- missing选项

--ignore-missing 命令行选项已添加到 tuned-adm verify 命令中。此命令验证 Tuned 配置集是否已成功应用,并显示请求的 Tuned 配置集和当前系统设置之间的区别。--ignore-missing 参数会导致 tuned-adm verify 静默跳过系统上不支持的功能,从而防止上述错误。(BZ#1243807)

新模块 Tuned 插件

模块 插件允许 Tuned 使用 Tuned 配置集设置中指定的参数加载和重新载入内核模块。(BZ#1249618)

inotify 用户监视的数量增加到 65536

要允许 Red Hat Enterprise Linux Atomic 主机上的更多 pod,inotify 用户监视的数量已增加到 65536。(BZ#1322001)

禁用了实时 Tuned 配置集的计时器迁移

在以前的版本中,tuned-profiles-realtime 软件包中包含的 realtime Tuned 配置集会将 kernel.timer_migration 变量的值设置为 1。因此,实时应用程序可能会受到负面影响。在这个版本中,在 realtime 配置集中禁用计时器迁移。(BZ#1323283)

内核引导参数中没有 RCU -nocbs

在以前的版本中,在 realtime-virtual-hostrealtime-virtual-guest tuned 配置集中没有设置 rcu_nocbs 内核参数。在这个版本中,rcu-nocbs 会如预期设置。(BZ#1334479)

实时 Tuned 配置集中删除了有关实时调度使用的全局限制

在此次更新之前,tuned-profiles-realtime 软件包中包含的 kernel.sched_rt_runtime_us sysctl 变量的 Tuned 工具配置不正确。因此,因为调度时间不兼容,创建虚拟机实例会导致错误。现在,kernel.sched_rt_runtime_us 的值被设置为 -1 (无限制),上面描述的问题不再发生。(BZ#1346715)

sapconf 现在可以正确地检测到 NTP 配置

在以前的版本中,sapconf 工具不会检查主机系统是否配置为使用网络时间协议(NTP)。因此,即使配置了 NTP,sapconf 也会显示以下错误:
3: NTP Service should be configured and started
在这个版本中,sapconf 会正确检查 NTP 配置,上面描述的问题不再发生。(BZ#1228550)

sapconf 正确列出默认软件包

在此次更新之前,sapconf 工具会将不正确的参数传递给 repoquery 工具,这会导致 sapconf 不列出软件包组中的默认软件包。这个程序错误已被解决,sapconf 现在会如预期列出默认软件包。(BZ#1235608)

logrotate 工具现在将状态保存到 /var/lib/logrotate/ 目录中

在以前的版本中,logrotate 工具将状态保存到 /var/lib/logrotate.status 文件中。因此,logrotate/var/lib 是只读文件系统的系统中无法正常工作。在这个版本中,状态文件已移到新的 /var/lib/logrotate/ 目录中,可以使用写入权限挂载。因此,logrotate 现在可以在 /var/lib 是只读文件系统的系统中工作。(BZ#1272236)

支持使用 Kerberos 打印到 SMB 打印机 cups

在这个版本中,cups 软件包会创建符号链接 /usr/lib/cups/backend/smb 引用 /usr/libexec/samba/cups_backend_smb 文件。smb_krb5_wrapper 工具使用符号链接通过 Kerberos 身份验证打印到服务器消息块(SMB)共享打印机。(BZ#1302055)

新安装的 tomcat 软件包有一个指向 /sbin/nologin的正确 shell

在以前的版本中,postinstall 脚本将 Tomcat shell 设置为 /bin/nologin,这不存在。因此,在尝试以 Tomcat 用户身份登录时,用户无法获取有关登录访问拒绝的有用消息。这个程序错误已被解决,postinstall 脚本现在被 corectly 将 Tomcat shell 设置为 /sbin/nologin。(BZ#1277197)

第 34 章 存储

/dev/disk/by-path/ 现在为 NPIV 路径帐户

在以前的版本中,如果在单个物理 HBA 上创建两个或多个虚拟主机总线适配器(HBA),则在每个路径的 /dev/disk/by-path/ 目录中只创建一个指向该设备的链接,而不是每个路径的一个链接。因此,使用光纤通道 N_Port ID 虚拟化(NPIV)创建带有虚拟 HBA 的 virsh 池无法正常工作。在这个版本中,/dev/disk/by-path/ 中的符号链接会被正确创建,且是唯一的。/dev/disk/by-path/ 中的符号链接为通过物理光纤通道 N_Port 连接的逻辑单元号(LUN)创建。(BZ#1266934)

在使用精简配置时,当精简池达到容量时,缓冲的写入将不再丢失

在以前的版本中,即使自动操作,在执行调整大小前,会尝试将未完成的 I/O 刷新到存储设备。由于精简池中没有空间,因此必须首先出错 I/O 操作,以允许增长成功。因此,如果精简池填充了容量,即使池在该时候递增,一些写入也会丢失。在这个版本中,在上述情况下,缓冲的写入不再丢失到 thin-pool 中。(BZ#1274676)

RAID 迁移现在可以在 IBM Power 系统的 little-endian 变体中正常工作

在以前的版本中,如果没有指定条带大小,raid-migrate 命令会在 IBM Power Systems 的 little-endian 变体中失败,因为 iprconfig 实用程序在 IBM Power Systems 的当前条带大小上恢复,并从适配器载入它,而无需正确更改底层源代码来修复这个程序错误,RAID 迁移现在可以在 IBM Power Systems 的 little-endian 变体中正常工作。(BZ#1297921)

multipathd 守护进程不再重新恢复不可用的 Implicit ALUA ghost 路径。

在以前的版本中,multipathd 守护进程自动恢复处于 GHOST 状态的 Implicit ALUA 设备,该设备不可用。如果设备是唯一存在,多路径会持续重试不可用的设备,而不是 I/O 操作失败。在这个版本中,multipathd 不再重新状态不可用的 Implicit ALUA ghost 路径。因此,当只有不可分配的 Implicit ALU A 路径可用时,多路径不再持续重试 I/O 操作。(BZ#1291406)

多路径现在在多路径设备中包括 0 个大小的备用路径

有些阵列不会在备用端口上报告其大小,从而导致 0 个设备。在以前的版本中,多路径不允许将 0 个大小的设备添加到多路径设备中。因此,多路径不会在多路径设备中添加 0 个大小的备用路径。在这个版本中,多路径允许为设备添加 0 个大小的路径。(BZ#1356651)

多路径不再修改由其他程序创建的 多路径 类型的 dm 表类型的设备

在以前的版本中,多路径工具假设它们负责使用多路径表管理所有 dm 设备。multipathd 守护进程会修改不是由多路径工具创建的设备表。在这个版本中,多路径工具只在以 mpath- 开头的设备上运行,这是多路径在它创建的所有设备中使用的 UUID 前缀。因此,多路径将不再修改由其他程序创建的 dm 表类型多路径的设备。(BZ#1241528)

multipathd 守护进程现在允许将路径添加到新多路径设备中(如果当前没有可用的路径)

在以前的版本中,当 multipathd 创建新多路径设备时,它不允许在创建多路径设备的 udev 更改事件前添加更多路径,即使它创建了没有可用路径的设备。如果创建了没有可用路径的多路径设备,则 udev 设备管理器会挂起尝试获取该设备的信息,直到它没有将主动路径添加到该设备中。在这个版本中,如果当前没有可用路径,multipathd 现在允许将路径添加到新创建的多路径设备中。因此,可用的路径会立即添加到没有的新设备中,udev 不会挂起。(BZ#1350931, BZ#1351430)

multipathd 守护进程不再在启动时遇到可恢复的错误

请注意,当 multipathd 在启动过程中按可恢复的错误时,会退出恢复。在这个版本中,如果 multipathd 在启动过程中达到可恢复的错误,且不再退出,则 multipathd 会继续。(BZ#1368501)

multipathd 守护进程现在响应失败的删除失败 而不是 ok

在以前的版本中,当删除路径或映射失败时,multipathd 守护进程不会保留错误状态,并使用 ok 删除失败。在这个版本中,multipathd 会响应失败的 删除失败。(BZ#1272620)

当在添加设备后更改 uid_attribute,然后删除该设备时,多路径不再崩溃

在以前的版本中,如果路径在添加到多路径设备后更改了它的 WWID,multipathd 守护进程会创建一个新设备。这会导致两个设备中的路径。因此,如果用户在创建多路径设备后更改了 uid_attribute,然后删除了设备,multipathd 会尝试访问空闲的内存和崩溃。在这个版本中,在多路径设备中使用多路径时,multipathd 不再允许更改路径的 WWID。因此,multipathd 不再会在这种情况下崩溃。(BZ#1323429)

重命名设备时多路径不再失败

在以前的版本中,多路径使用函数中未初始化的变量来重命名设备。这会导致多路径在重命名设备时出现偶尔失败,因为变量被设置为无效的值。在这个版本中,多路径会在重命名设备时初始化此变量。(BZ#1363830)

systemd 不再报告 multipath.pid 文件不可读取

在以前的版本中,systemd 报告在 multipathd 命令返回后无法读取 multipathd.pid 文件。这是因为 multipathd 命令在编译守护进程后立即返回,守护进程在配置完成后不会写入 pid 文件。在这个版本中,multipathd 命令会等待 multipathd 守护进程写入 pid 文件,或在返回前传递 3 秒,守护进程会在启动时写入 pid 文件。因此,systemd 不再报告 multipath.pid 文件不可读。(BZ#1253913)

多路径现在指出路径不是不属于块设备的路径的有效参数

在以前的版本中,如果您使用了到不是有效块设备的某个路径,则多路径会通知您 它需要一个路径来检查,这是不方便的。这是因为多路径将任何不是块设备路径或 major:minor 号视为多路径别名。在这个版本中,多路径不会将任何不是块设备的完全限定路径视为多路径别名。因此,多路径会指出该路径 不是 不属于块设备的路径的有效参数。(BZ#1319853)

多路径设备的所有 /dev/mapper 条目现在是 udev创建的符号链接

在以前的版本中,多路径设备的一些 /dev/mapper 条目是符号链接(symlinks),有些是块设备,因为多路径没有正确等待 udev 创建 /dev/mapper/ 符号链接。在这个版本中,多路径会在每个事务后等待 udev。因此,多路径设备的所有 /dev/mapper 条目现在都是 udev 创建的符号链接。(BZ#1255885)

现在,当多路径在它们之上创建一个多路径设备时,多路径会立即声明新设备

在以前的版本中,第一次多路径认为设备,它不会由 udev 规则中的多路径声明,因为多路径不会在 udev 中声明设备,除非 WWID 在处理 uevent 时位于 /etc/multipath/wwids 文件中。在这个版本中,当多路径向 wwids 文件添加新设备 WWID 时,它会在该设备中发出一个更改事件,以便它在 udev 规则中声明它。现在,当多路径在多路径上创建多路径设备时,多路径会立即声明新设备。(BZ#1299600)

在某些设备中失败不再使多路径创建其他设备

在以前的版本中,multipath 命令可能会因为不相关的设备失败而无法设置工作设备,因为如果无法获取它正在创建的任何设备的信息,它会很快退出。在这个版本中,如果多路径无法获取某些设备的信息,且在某些设备中失败不再使多路径创建其他设备,则多路径不再会提前退出。(BZ#1313324)

多路径不再丢失 uevent 信息,它现在添加了所有适当的设备

在以前的版本中,多路径并不总是正确添加所有路径设备,因为它没有正确检查是否存在 libudev 功能,以编译支持重新定义 uevent 套接字的大小。因此,多路径不会调整 uevent 套接字的大小,它可能会溢出。这会导致多路径丢失必要的事件。在这个版本中,多路径会检查正确的 libudev 功能,并编译支持重新定义 uevent 套接字大小。因此,多路径不再丢失 uevent 信息,它现在添加了所有适当的设备。(BZ#1296979)

在创建设备前,kpartx 工具不再返回

在以前的版本中,默认情况下,kpartx 工具会在不等待创建设备的情况下返回。这是用户在返回 kpartx 后立即存在设备的用户的混淆来源。在这个版本中,kpartx 在返回前等待创建设备。(BZ#1299648)

对设备重新定义大小的多个调用将在每次尝试重新定义设备大小,并正确报告结果

在以前的版本中,如果 multipathd 无法重新定义设备大小,它仍然认为该设备有新的大小。后续调用重新定义设备大小会报告成功,且不会调整设备大小,因为 multipathd 认为它没有保留。在这个版本中,如果调整大小失败,multipathd 会将设备大小重置为原始大小。因此,对设备重新定义大小的多次调用每次会尝试重新定义设备大小,并将正确报告结果。(BZ#1333492)

多路径现在为带有大于 2TB 的 DOS 分区正确为 4k 块设备创建分区设备

在以前的版本中,kpartx 工具为大于 2TB 的 DOS 分区创建错误的大小分区。这是因为 kpartx 存储了扇区数量,以及从原生扇区大小转换为 32 位未签名的整数所需的 multiplier。如果两个数字大于 2^32,则会导致滚动。在这个版本中,多路径现在为扇区大小的倍数使用 64 位未签名的整数,因此当数字乘以一起时,结果不会滚动。现在,多路径可以正确地创建分区。(BZ#1311463)

多路径不再删除正在使用的分区,并在添加路径时恢复分区

在以前的版本中,如果设备的所有路径都丢失,多路径会删除所有没有使用的分区,永远不会恢复它们。这是因为当多路径试图删除分区时,即使它们正在使用分区,也会删除它们,一旦删除它们永远不会恢复它们。在这个版本中,多路径会在尝试删除前检查任何分区是否正在使用,如果删除失败,它会在添加路径时恢复分区。(BZ#1292599)

当新设备名称与现有设备匹配时,kpartx 工具不再覆盖现有的分区设备

在以前的版本中,当潜在的新设备的名称与现有设备名称匹配时,kpartx 会静默地覆盖带有新设备的现有分区设备。这会导致 kpartx 设备在存在命名冲突时意外地改变它们。在这个版本中,kpartx 会检查 UUID,以确保它不会覆盖属于不同整个设备的分区设备。如果存在名称 clash,kpartx 现在将失败,并显示出错信息,而不是更改现有分区设备指向的位置。(BZ#1283750)

mpathconf --allow 命令现在创建一个带有允许节点引导的正确设备的配置文件

在以前的版本中,对于某些设置,mpathconf --allow 命令会创建一个不允许节点引导的配置文件。这是因为 mpathconf --allow 是从配置文件的 blacklist_exceptions 部分中删除现有条目,这可能会导致某些允许的设备列入黑名单。它还会在 blacklist_exceptions 部分打印重复的 WWID 条目。在这个版本中,mpath conf --allow 不再删除现有 blacklist_exceptions 条目,并只打印 WWID 条目。现在,这个命令总是创建一个带有允许节点引导的正确设备的配置文件。(BZ#1288660)

多路径设备现在被正确识别为 LVM 物理卷

在以前的版本中,LVM 有时无法识别多路径 PV。这是因为 multipathd 可以在为其到达创建 uevent 时重新载入设备。LVM udev 规则不允许处理当前暂停的设备,这会在重新载入过程中发生。在这个版本中,multipathd 延迟设备会重新加载,直到它收到创建 uevent。(BZ#1304687)

multipathd 守护进程不再打印路径在实际停机时启动

在以前的版本中,multipathd 守护进程可能会打印路径在实际停机时启动。如果 multipathd 在调用路径检查程序之前检测到路径已停机,它永远不会清除最后一个路径检查器消息,并打印出该消息。在这个版本中,如果在检查程序运行前确定路径,multipathd 会清除路径检查程序的信息。(BZ#1280524)

如果 udev 同时处理分区设备,multipathd 设备不再无法被创建

在以前的版本中,当 udev 在路径设备上有锁定时,multipathd 无法创建多路径设备。这是因为 multipathd 在创建多路径设备和 udev 在处理其分区设备时,multipathd grabbed 在路径设备上有一个专用锁定。在这个版本中,multipathd 也会获取一个共享锁定,以便它可以与 udev 同时运行。(BZ#1347769)

systemd 不再打印缺少依赖项的警告信息

在以前的版本中,当 multipathd systemd 服务单元文件需要 initramfs 中不可用的单元文件时,systemd 会输出缺少依赖项的警告信息。在这个版本中,multipathd 单元文件使用 Wants 而不是 Requires,因为它可以在没有 blk-availability 单元文件的情况下运行。(BZ#1269293)

kpartx 生成的设备现在与实际分区号相同

在以前的版本中,kpartx 生成的设备分区号与实际分区号不匹配。这是因为 kpartx 在决定分区号时没有扇区计算 sun 分区。在这个版本中,kpartx 在决定分区号时没有扇区的 sun 分区,kpartx 生成的设备现在与实际分区号相同。(BZ#1241774)

MTX 不再失败并显示大型磁带存储阵列失败

在使用大型磁带存储驱动器阵列配置的系统上,MTX 工具之前会失败,并显示错误。因此,无法管理磁带存储。这个版本改进了对较大的磁带存储阵列的支持,现在 MTX 可以如预期管理大型磁带存储。(BZ#1298647)

dmraid 和其他 设备映射器 子系统之间不再发生差异

在以前的版本中,dmraid 软件包使用不正确的测试选项编译。因此,dmraid 工具意外扫描所有设备,包括 LVM 等任何其他 设备映射器 子系统,这可能会干扰其它子系统,并在引导过程中造成各种故障。在这个版本中,在 dmraid 中禁用了测试模式,所有设备都在引导时不会被扫描。因此,不再发生 dmraid 和其他设备映射器子系统间的干扰。(BZ#1348289)

卸载后,systemd 不再警告 dmraid-activation.service 缺少的单元 dmraid

在此次更新之前,/etc/systemd/system/sysinit.target.wants/dmraid-activation.service 符号链接在卸载 dmraid 软件包后保留在系统中,这会导致 systemd 服务警告 dmraid-activation.service 中缺少单元。在这个版本中,卸载 dmraid 时会删除上述符号链接。(BZ#1315644)

mdadm 不再无法在重塑过程中停止 IMSM RAID 阵列

由于一个程序错误,在恢复之前尝试停止 Intel Matrix Storage Manager (IMSM) RAID 阵列失败。现在,底层源代码已被修改来修复这个程序错误,现在 mdadm 工具会在上述情况下正确停止阵列。(BZ#1312837)

在运行 I/O 操作时,使用 mdadm 为降级阵列分配热备用不再失败

在以前的版本中,当在 MD Array 上运行 I/O 操作时,为降级阵列分配一个热备用可能会失败,而 mdadm 工具会返回错误消息,例如:
mdadm: /dev/md1 has failed so using --add cannot work and might destroy
mdadm: data on /dev/sdd1. You should stop the array and re-assemble it
现在,应用了一个补丁来解决这个问题,并在降级阵列中添加热备用阵列现在如上述情况一样完成。(BZ#1300579)

重启后,使用 mdadm 创建的降级 RAID1 阵列不再显示为不活跃状态

在以前的版本中,在重启系统后,使用 mdadm 工具创建的降级 RAID1 阵列可能会显示为不活跃的 RAID0 阵列。在这个版本中,阵列会在系统重启后正确启动。(BZ#1290494)

尝试重新定义包含位映射到 RAID0 阵列的 RAID1 阵列不再破坏 RAID1 阵列

不支持使用 mdadm 工具调整包含位映射到 RAID0 阵列的 RAID1 阵列。在以前的版本中,当尝试重新定义包含 RAID0 阵列位映射的 RAID1 阵列时,操作将被拒绝,但 RAID1 阵列已损坏。在这个版本中,reshape 被拒绝,但 RAID1 阵列可以按预期工作。(BZ#1174622)

运行 mdadm reshape 操作的 IMSM RAID 阵列不再发生竞争条件

运行 mdadm reshape 操作的 Intel Matrix Storage Manager (IMSM) RAID 阵列之前,竞争条件可能允许在第一次操作完成前在同一阵列上启动第二个重塑,且重塑操作没有正确完成。在这个版本中,竞争条件不再发生,在完成第一次操作前无法启动第二个 reshape 操作。(BZ#1347762)

mdadm 现在可以编译使用设备名称超过 15 个字符的数组

在以前的版本中,当尝试编译包含设备名称超过 15 个字符的设备的数组时,mdadm 工具可能会意外终止并出现分段错误。在这个版本中,即使阵列使用大于 15 个字符的设备名称,mdadm 也会正确编译阵列。(BZ#1347749)

第 35 章 虚拟化

SMEP 和 SMAP 位屏蔽以启用二级 vCPU

在以前的版本中,在支持超级模式执行保护(SMEP)或 Supervisor 模式访问保护(SMAP)的主机上禁用扩展页表(EPT)会导致客户机仅限于单个 vCPU。在需要时,这个更新会在主机端屏蔽 SMEP 和 SMAP 位。因此,辅助 vCPU 启动并可以被客户虚拟机使用。(BZ#1273807)

在日语区域虚拟机管理器中 强制重置 菜单条目正确翻译

在以前的版本中,在日语区域虚拟机管理器中错误地翻译 Force Reset 菜单条目。在这个版本中,Force Reset 菜单条目会被正确翻译。(BZ#1282276)

有限 KSM 重复数据删除因素

在以前的版本中,内核相同的页面合并(KSM)重复数据删除因素没有明确限制,这会导致 Red Hat Enterprise Linux 主机存在性能问题,或者在高工作负载时变得无响应。这个版本限制了 KSM 重复数据删除因素,从而消除了与 KSM 页面相关的虚拟内存操作所描述的问题。(BZ#1298618)

接受带有 streamOptimized 子格式的 VMDK 镜像

在以前的版本中,带有由 qemu-img 工具创建的 streamOptimized 子格式的虚拟机磁盘(VMDK)镜像被 Elastic Sky X (ESX)服务拒绝,因为 VMDK 镜像的版本号太低。在这个版本中,streamOptimized VMDK 镜像的子格式号会自动增加。这会导致 ESX 服务接受 VMDK 镜像。(BZ#1299116)

带有 streamOptimized 子格式的 VMDK 镜像的数据布局不正确

在以前的版本中,使用 qemu-img 工具创建的 streamOptimized 子格式的虚拟机磁盘(VMDK)镜像的数据布局不正确。这导致在导入到 ESX 服务器时无法启动 VMDK 镜像。在这个版本中,镜像转换为有效的 VMDK 流Optimized 镜像。这会导致 VMDK 镜像可引导。(BZ#1299250)

带有 --pivot 选项 的块复制 不再失败

在以前的版本中,当指定了 --pivot 选项时,blockcopy 始终会失败。在这个版本中,libvirt 软件包已被更新以防止这个问题。blockcopy 现在可以与 --pivot 选项一起使用。(BZ#1197592)

修复了 virt-v2v 转换后客户机显示问题

在以前的版本中,使用 virt-v2v 工具转换的客户机的视频卡驱动程序设置会被忽略,从而导致客户机中的各种显示问题。这个更新可确保 virt-v2v 正确为转换的客户端生成 libvirt XML 文件。因此,视频卡设置会被保留,客户机可以在转换后充分利用图形功能。(BZ#1225789)

迁移 MSR_TSC_AUX 可以正常工作

在以前的版本中,在虚拟机迁移过程中,MSR_TSC_AUX 文件的内容有时会无法正确迁移。因此,在迁移完成后客户机会意外终止。这个版本确保了 MSR_TSC_AUX 的内容按预期迁移,上面描述的崩溃不再发生。(BZ#1265427)

从文档中删除的 Windows 客户机虚拟机信息

在这个版本中,对 Windows 客户虚拟机的所有引用都已从文档中删除。该信息被移到以下知识库文章 :https://access.redhat.com/articles/2470791 (BZ39)1262007

访问 virt-manager 上的客户机磁盘可以与 SELinux 正常工作。 libguestfs-python

在此次更新之前,当安装 libguestfs-python 软件包并在主机上启用了 SELinux 时,使用 virt-manager 界面访问客户机磁盘会导致 I/O 失败。现在,virt-managerlibguestfs 库共享相同的 libvirt 连接,这可防止上面描述的失败发生。(BZ#1173695)

部分 III. 技术预览

这部分概述了 Red Hat Enterprise Linux 7.3 中引入的或更新技术预览。
有关红帽对技术预览功能支持范围的详情,请参考 https://access.redhat.com/support/offerings/techpreview/

第 36 章 常规更新

systemd-importd 虚拟机和容器镜像导入和导出服务

最新的 systemd 版本现在包含之前构建中没有启用的 systemd-importd 守护进程,这会导致 machinectl pull the 命令失败。请注意,systemd-importd 守护进程作为技术预览提供,不应被视为稳定。(BZ#1284974)

第 37 章 认证和互操作性

容器中的 SSSD 现已正式发布

容器中的系统安全服务守护进程(SSSD)作为技术预览提供,允许 Red Hat Enterprise Linux Atomic Host 身份验证子系统连接到 Red Hat Identity Management 和 Microsoft Active Directory 等中央身份提供程序。
要安装此新镜像,请使用 atomic install rhel7/sssd 命令。(BZ#1200143)

使用 AD 和 LDAP sudo 供应商

Active Directory (AD)供应商是用于连接 AD 服务器的后端。从 Red Hat Enterprise Linux 7.2 开始,使用 AD sudo 供应商和 LDAP 提供程序作为技术预览提供。要启用 AD sudo 提供程序,请在 sssd.conf 文件的 [domain] 部分添加 sudo_provider=ad 设置。(BZ#1068725)

DNSSEC 在身份管理中作为技术预览提供

带有集成 DNS 的身份管理服务器现在支持 DNS 安全扩展(DNSSEC),这是一组增强 DNS 协议安全性的 DNS 扩展。托管在身份管理服务器上的 DNS 区域可使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。
建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档:
请注意,带有集成 DNS 的身份管理服务器使用 DNSSEC 来验证从其他 DNS 服务器获取的 DNS 回答。这会影响未根据 Red Hat Enterprise Linux 网络指南中描述的推荐命名实践配置的 DNS 区域可用性 :https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices。(BZ#1115294)

用于目录服务器的 nunc Stans 事件框架

添加了一个新的 Nunc Stans 事件框架来处理多个同时连接作为技术预览。框架支持几千个活跃连接,且无性能下降。它默认是禁用的。(BZ#1206301)

支持 secret 作为服务

在这个版本中,在系统安全服务守护进程(SSSD)中添加了响应 secret 作为技术预览。此响应程序允许应用程序使用 Custodia API ,通过 UNIX 套接字与 SSSD 进行通信。这可让 SSSD 将 secret 存储在其本地数据库中,或将其转发到远程 Custodia 服务器。(BZ#1311056)

IdM Web UI 启用智能卡登录

身份管理(IdM) Web UI 允许用户使用智能卡登录。请注意,这个功能是实验性的,且不被支持。(BZ#1317379, BZ#1346883, BZ#1343422)

身份管理 JSON-RPC API 作为技术预览

一个 API 可用于 Identity Management(IdM)。要查看 API,IdM 还提供了一个 API 浏览器作为技术预览。
在 Red Hat Enterprise Linux 7.3 中,IdM API 已改进来启用多个 API 命令版本。在以前的版本中,增强功能可能会以不兼容的方式改变命令的行为。用户现在可以继续使用已有的工具和脚本,即使 IdM API 发生了变化。这可启用:
  • 管理员要在服务器中使用之前或更高版本的 IdM,而不是在管理客户端中使用。
  • 开发人员使用 IdM 调用的特定版本,即使 IdM 版本在服务器上发生了变化。
在所有情况下,与服务器进行通信是可能的,无论是否一方使用,例如,一个新的版本会为这个功能引进新的选项。
有关使用 API 的详情,请参考 https://access.redhat.com/articles/2728021 (BZ39)1298286

第 38 章 集群

pcs 现在支持管理使用 Booth 和 ticket 约束的多站点集群

从 Red Hat Enterprise Linux 7.3 开始,pcs 工具可让您使用 pcs booth 命令管理使用 Booth 集群票据管理器的多站点集群。您还可以使用 pcs constraint ticket 命令管理多站点集群中的资源来设置 ticket 约束。也可以在 Web UI 中管理 ticket 约束。(BZ#1305049, BZ#1308514)

对 Pacemaker 集群中仲裁设备的支持

从 Red Hat Enterprise Linux 7.3 开始,您可以配置一个单独的仲裁设备(QDevice),该设备充当集群的第三方仲裁设备。此功能作为技术预览提供,其主要用途是允许集群保持比标准仲裁规则允许的更多节点故障。我们推荐在具有偶数节点的集群中使用仲裁设备,并强烈建议在在双节点集群中使用制裁设备。有关配置仲裁设备的详情,请参考 https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/。(BZ#1158805)

支持 clufter,这是转换和分析集群配置格式的工具

clufter 软件包在 Red Hat Enterprise Linux 7 中作为技术预览提供,为转换和分析集群配置格式提供了一个工具。它可用于协助从旧的堆栈配置迁移到利用 Pacemaker 的较新配置。有关 clufter 功能的详情,请查看 clufter (1) 手册页或 clufter -h 命令的输出。(BZ#1212909)

clufter rebase 到版本 0.59.5

clufter 软件包作为技术预览提供,它升级至上游版本 0.59.5,它提供很多程序错误修复、新功能和用户体验改进。主要更新包括:
  • 当将旧集群堆栈配置转换为 Pacemaker 堆栈的文件,或使用 clufter 命令的 ccs2 pcs cmd 和 ccs2pcs cmd 系列正确传播或添加相应的 pcs 命令序列时,监控操作会被正确传播或添加。
  • 当使用 corosync.conf 文件为 Pacemaker 堆栈转换配置文件时,作为产品转换基于 CMAN 的配置,或使用第一类输入(如 192.168.1.0/24 2pcscmd{,-needle} 系列)来正确传播集群名称。在以前的版本中,集群名称被错误地丢弃,从而导致一个命令将集群名称混淆,例如,pcs cluster setup --start --start --name node2 node2 node3
  • 当使用 ccs2pcs 命令系列将基于 CMAN 的配置转换为 Pacemaker 堆栈的并行配置时,会意外破坏标记为架构中 ID 类型的属性值。
  • 当使用命令系列将 CMAN 或 Pacemaker 堆栈特定的配置转换为相应的 pcs 命令序列时,clufter 工具不再推荐 pcs cluster cib file --config,这目前不适用于后续的本地修改 pcs 命令。相反,建议 pcs cluster cib 文件
  • 现在,clufter 工具输出可能会很大不同,具体取决于指定的发布目标,因为工具现在与相应的环境(如 pcs 版本)可以支持的内容保持一致。因此,您的发行版或设置可能不被支持,并且您不应该期望 clufter 工具生成的一个 pcs 命令可以移植到完全不同的环境。
  • clufter 工具现在支持 pcs 工具的几个新功能,包括仲裁设备。另外,clufter 工具支持最近添加到 pcs 工具中的旧功能,包括 ticket 约束,以及用于 colocation 和 order 约束的资源集。(BZ39)1343661, BZ39)1 270740, BZ39)1272570, BZ39)1272592, BZ0471300014, BZ0471300050, BZ39)1328078

对 Booth 集群票据管理器的支持

Red Hat Enterprise Linux 7.3 作为技术预览提供了对 Booth 集群票据管理器的支持。这可让您在单独的站点中配置多个高可用性集群,这些集群通过分布式服务进行通信,以协调对资源的管理。Booth 票据管理器可以为单独的票据提供基于共识的决策流程,确保指定的资源一次只能在一个已授予票据的站点上运行。有关使用 Booth ticket Manager 配置多站点集群的详情,请参考 https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/ (BZ39) 02087)

第 39 章 文件系统

CephFS 内核客户端现在可用

从 Red Hat Enterprise Linux 7.3 开始,Ceph 文件系统(CephFS)内核模块启用,作为 Red Hat Enterprise Linux 节点从 Red Hat Ceph Storage 集群挂载 Ceph 文件系统。Red Hat Enterprise Linux 中的内核客户端是 Red Hat Ceph Storage 中包含的用户空间(FUSE)客户端中的 Filesystem 更高效的替代。请注意,内核客户端目前缺少 CephFS 配额的支持。如需更多信息,请参阅 Red Hat Ceph Storage 2 的 Ceph 文件系统指南: https://access.redhat.com/documentation/en/red-hat-ceph-storage/2/single/ceph-file-system-guide-technology-preview (BZ39) 05497)

现在 ext4 和 XFS 作为技术预览提供文件系统 DAX

从 Red Hat Enterprise Linux 7.3 开始,直接访问(DAX)作为技术预览提供,是应用程序将持久内存直接映射到其地址空间的方法。
要使用 DAX,系统必须有某种可用的持久内存,通常使用一个或多个非线内存模块(NVDIMM),且必须在 NVDIMM 上创建支持 DAX 的文件系统。另外,该文件系统必须使用 dax 挂载选项挂载。然后,挂载了 dax 的文件系统上的文件的 mmap 会导致存储直接映射到应用程序的地址空间中。(BZ#1274459)

pNFS 块布局支持

作为技术预览,上游代码已向后移植到 Red Hat Enterprise Linux 客户端,以提供 pNFS 块布局支持。
另外,Red Hat Enterprise Linux 7.3 包括 pNFS SCSI 布局的技术预览。这个功能与 pNFS 块布局支持类似,但仅限于 SCSI 设备,因此更易于使用。因此,红帽建议为大多数用例评估 pNFS SCSI 布局而不是 pNFS 块布局。(BZ#1111712)

OverlayFS

OverlayFS 是一种联合文件系统。它允许用户在一个文件系统上覆盖另一个文件系统。更改记录在上面的文件系统中,而较小的文件系统则未修改。这允许多个用户共享文件系统镜像,如容器或 DVD-ROM,基础镜像使用只读介质。如需更多信息,请参阅 kernel 文件 Documentation/filesystems/overlayfs.txt。
在大多数情况下,OverlayFS 在 Red Hat Enterprise Linux 7.3 中仍是一个技术预览。因此,当这个技术被激活时,内核会记录警告信息。
与 Docker 一起使用时,在以下限制下可以对 OverlayFS 提供全面支持:
  • OverlayFS 仅支持作为 Docker 图形驱动程序。它只支持容器 COW 内容,而不适用于持久性存储。任何持久性存储都必须放在非 OverlayFS 卷中才能被支持。只能使用默认的 Docker 配置 ; 即,一个级别的 overlay,一个 lowerdir,且低级别和高级别都位于同一个文件系统中。
  • 目前只支持 XFS 作为较低层文件系统使用。
  • SELinux 必须在物理机器上启用并处于 enforcing 模式,但在执行容器分离时必须禁用 SELinux;即 /etc/sysconfig/docker 不得包含 --selinux-enabled。对 OverlayFS 的 SELinux 支持在上游社区上正常工作,在以后的版本中可以正常工作。
  • OverlayFS 内核 ABI 和用户空间的行为被视为不稳定,并可能会在以后的版本中有所变化。
  • 要使 yum 和 rpm 工具在容器内正常工作,用户应使用 yum-plugin-ovl 软件包。
请注意,OverlayFS 提供了一组受限的 POSIX 标准。在使用 OverlayFS 部署前,先测试您的应用程序。
请注意,必须在启用了 -n ftype=1 选项的情况下创建 XFS 文件系统,以用作覆盖。使用 rootfs 和系统安装期间创建的任何文件系统,在 Anaconda kickstart 中设置 --mkfsoptions=-n ftype=1 参数。在安装后创建新文件系统时,请运行 sVirt mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE 命令。要确定现有文件系统是否有资格用作 overlay,请运行 192.168.1.0/24 xfs_info /PATH/TO/DEVICE | grep ftype 命令,以查看是否启用了 ftype=1 选项。
从 Red Hat Enterprise Linux 7.3 开始,还有一些与 OverlayFS 相关的已知问题。详情请查看 Documentation/filesystems/overlayfs.txt 文件中的 非标准行为。(BZ#1206277)

支持带有灵活的文件布局的 NFSv4 客户端

Red Hat Enterprise Linux 7.2 中首先引进了对 NFSv4 客户端上的灵活的文件布局的支持,作为技术预览。此技术实现了非破坏性文件弹性和客户端镜像等高级功能,这在数据库、大型数据和虚拟化等区域提供增强的可用性。此功能已在 Red Hat Enterprise Linux 7.3 中更新,它仍然作为技术预览提供。
有关 NFS 灵活的文件布局的详情,请查看 https://datatracker.ietf.org/doc/draft-ietf-nfsv4-flex-files/。(BZ#1217590)

Btrfs 文件系统

在 Red Hat Enterprise Linux 7.3 中,btrfs (B-Tree)文件系统作为技术预览提供。此文件系统提供高级管理、可靠性且可扩展的功能。它允许用户创建快照,它会启用压缩和集成设备管理。(BZ#1205873)

现在提供了 pNFS SCSI 布局客户端和服务器支持

从 Red Hat Enterprise Linux 7.3 开始,对并行 NFS (pNFS) SCSI 布局的客户端和服务器支持作为技术预览提供。在块布局工作之上构建 pNFS 布局,并在 SCSI 设备中定义,并包含一系列固定的固定大小块作为必须支持 SCSI 持久保留的逻辑单元。逻辑单元(LU)设备通过其 SCSI 设备识别,隔离是通过分配保留来处理的。(BZ#1305092)

第 40 章 硬件启用

LSI 同步 CS HA-DAS 适配器

Red Hat Enterprise Linux 7.1 在 megaraid_sas 驱动程序中包含代码,以启用 LSI Syncro CS 高可用性直接附加存储(HA-DAS)适配器。虽然之前启用的适配器完全支持 megaraid_sas 驱动程序,但对 Syncro CS 使用这个驱动程序作为技术预览提供。对这个适配器的支持由 LSI、您的系统集成程序或系统厂商直接提供。我们鼓励在 Red Hat Enterprise Linux 7.2 及更新的版本上部署 Syncro CS 的用户向红帽和 LSI 提供反馈意见。有关 LSI Syncro CS 解决方案的更多信息,请访问 http://www.lsi.com/products/shared-das/pages/default.aspx。(BZ#1062759)

Intel DIMM 管理工具

作为技术预览,添加了以下组件来启用 Intel Dual Inline Memory 模块(DIMM)的管理。
  • 添加了用于配置 DIMM 的 API
  • libinvm-cli 库,它支持存储命令行(CLI)应用程序
  • libinvm-cim 库,允许使用存储通用信息模型(CIM)供应商
  • libinvm-i18n 库,它为 DIMMs 提供国际化功能
这可让用户执行基本的 DIMM 清单、容量配置、健康监控和故障排除。(BZ#1270993, BZ#1270998, BZ#1326924, BZ#1326931)

第 41 章 安装和引导

多线程 xz 压缩 rpm-build

压缩可能需要很长时间才能进行高并行构建,因为它目前只使用一个内核。这对在带有许多内核的硬件上构建的大型项目持续集成时存在问题。
此功能是作为技术预览提供的,在将 %_source_payload%_binary_payload 设置为 wLTX. xz dio 模式时,为源和目标软件包启用多线程 xz 压缩。在它中,L 代表压缩级别(默认为 6),X 是要使用的线程数量(may 为多个数字),如 w6T12.xzdio。这可以通过编辑 /usr/lib/rpm/macros 文件,也可以在 spec 文件或命令行中声明宏来完成。(BZ#1278924)

第 42 章 内核

异构内存管理作为技术预览包含

Red Hat Enterprise Linux 7.3 作为技术预览提供异构内存管理(HMM)功能。此功能已添加到内核中,作为希望将进程地址空间镜像到其自身内存管理单元(MMU)的设备的帮助层。因此,非 CPU 设备处理器可以使用统一系统地址空间读取系统内存。要启用此功能,请在内核命令行中添加 experimental_hmm=enable。(BZ#1230959)

用户命名空间

此功能通过在主机和容器之间提供更好的隔离来为运行 Linux 容器的服务器提供额外的安全性。容器的管理员无法再对主机执行管理操作,从而提高安全性。(BZ#1138782)

libocrdma Oce141xx 卡上的 RoCE 支持

作为技术预览,ocrdma 模块和 libocrdma 软件包支持 Oce141xx 系列中所有网络适配器上的 Remote Direct Memory Access over Converged Ethernet (RoCE)功能。(BZ#1334675)

VFIO 驱动程序的 No-IOMMU 模式

作为技术预览,这个更新为虚拟功能 I/O(VFIO)驱动程序添加了 No-IOMMU 模式。No-IOMMU 模式为用户提供了完全用户空间 I/O (UIO)访问,访问支持直接内存访问(DMA)的设备,而无需 I/O 内存管理单元(IOMMU)。请注意,除了不被支持外,使用这个模式可能也不安全,因为缺少 INMU 提供的 I/O 管理。(BZ#1299662)

criu rebase 到版本 2.3

Red Hat Enterprise Linux 7.2 作为技术预览引入了 criu 工具。此工具实现了 Checkpoint/Restore in User-space (CRIU),可用于冻结正在运行的应用程序并将其存储为文件集合。之后,应用程序可以从其冻结状态进行恢复。
请注意,criu 工具依赖于 协议缓冲,它是一个用于序列化结构化数据的语言中立、平台中立的可扩展机制。在 Red Hat Enterprise Linux 7.2 中还引进了提供这个依赖项的 protobufprotobuf-c 软件包作为技术预览。
在 Red Hat Enterprise Linux 7.3 中,criu 软件包已升级到上游版本 2.3,它提供很多程序错误修复和增强。值得注意的是,在 Red Hat Enterprise Linux for POWER, little endian 上也提供了 criu
另外,criu 现在可用于在 Red Hat Enterprise Linux 7 runc 容器中运行的以下应用程序:
  • vsftpd
  • Apache httpd
  • sendmail
  • postgresql
  • mongodb
  • mariadb
  • mysql
  • tomcat
  • dnsmasq (BZ#1296578)

添加了 ibmvnic 设备驱动程序

ibmvnic Device Driver 在 Red Hat Enterprise Linux 7.3 中引入了用于 IBM POWER 架构的技术预览。vNIC (虚拟网络接口控制器)是新的 PowerVM 虚拟网络技术,可提供企业功能并简化网络管理功能。它是一个高性能、高效的技术,与 SR-IOV NIC 相结合,可在虚拟 NIC 级别提供带宽控制服务质量(QoS)功能。vNIC 可显著降低虚拟化开销,从而减少了虚拟化的延迟和较少的服务器资源,包括 CPU 和内存。(BZ#947163)

kexec 作为技术预览

kexec 系统调用作为技术预览提供。这个系统调用启用从当前运行的内核载入并引导到另一个内核,从而从内核中执行引导装载程序的功能。在 kexec 引导过程中不会执行硬件初始化(通常在标准系统引导过程中完成),这可显著减少重启所需的时间。(BZ#1460849)

第 43 章 实时内核

新调度程序类: SCHED_DEADLINE

在这个版本中,为实时内核引入了 SCHED_DEADLINE 调度程序类作为技术预览。新的调度程序可根据应用程序截止时间启用可预测的任务调度。SCHED_DEADLINE 通过减少应用程序计时器操作来显著提高定期工作负载。(BZ#1297061)

第 44 章 网络

Cisco usNIC 驱动程序

Cisco 统一通信管理器(UCM)服务器具有可选功能,可提供 Cisco 专有用户空间网络接口控制器(usNIC),它允许为用户空间应用程序执行类似于远程直接内存访问(RDMA)的操作。libusnic_verbs 驱动程序作为技术预览提供,因此可以根据 Verbs API 的标准 InfiniBand RDMA 编程使用 usNIC 设备。(BZ#916384)

Cisco VIC 内核驱动程序

Cisco VIC Infiniband 内核驱动程序作为技术预览提供,允许在专有 Cisco 架构上使用类似于远程 Directory 内存访问(RDMA)的语义。(BZ#916382)

可信网络连接

可信网络连接(作为技术预览支持)用于现有网络访问控制(NAC)解决方案,如 TLS、802.1X 或 IPsec 以集成端点后评估;即,收集端点的系统信息(如操作系统配置设置、安装软件包等)。可信网络连接用于根据网络访问策略验证这些测量,然后允许端点访问网络。(BZ#755087)

qlcnic 驱动程序中的 SR-IOV 功能

对 Single-Root I/O 虚拟化(SR-IOV)的支持已作为技术预览添加到 qlcnic 驱动程序中。QLogic 将直接提供对这个功能的支持,并鼓励用户向 QLogic 和红帽提供反馈意见。qlcnic 驱动程序中的其他功能仍被完全支持。(BZ#1259547)

新软件包: libnftnlnftables

作为技术预览,这个更新添加了 nftableslibnftl 软件包。
nftables 软件包提供了一个数据包过滤工具,它比之前数据包过滤工具提供了大量改进。它是 iptablesip6tablesarptablesebtables 工具的指定成功者。
libnftnl 软件包提供了一个库,用于通过 libmnl 库与 nftables Netlink 的 API 进行低级交互。(BZ#1332585, BZ#1332581)

第 45 章 存储

LVM RAID 级别接管现在可用

RAID 级别的接管(在 RAID 类型间切换的功能)现在作为技术预览提供。通过 RAID 级别,用户可以根据更改的硬件特性来决定,RAID 配置类型最适合其需求,并在无需取消激活逻辑卷的情况下进行修改。例如:如果创建了 条带逻辑卷,之后就可以在有附加设备可用时将其转换为 RAID4 逻辑卷。
从 Red Hat Enterprise Linux 7.3 开始,以下转换作为技术预览提供:
  • 条状 <-> RAID4
  • 线性 <-> RAID1
  • mirror <-> RAID1 (mirror 是一个传统类型,但仍被支持) (BZ39)1191630

SCSI 的多队列 I/O 调度

Red Hat Enterprise Linux 7 为块设备包括一个新的多队列 I/O 调度机制,称为 blk-mq。scsi-mq 软件包允许小型计算机系统接口(SCSI)子系统使用此新排队机制。这个功能是作为技术预览提供的,默认不会启用。要启用它,请在内核命令行中添加 scsi_mod.use_blk_mq=Y。(BZ#1109348)

libStorageMgmt API 中的 Targetd 插件

从 Red Hat Enterprise Linux 7.1 开始,完全支持使用 libStorageMgmt(一个存储阵列独立 API)的存储阵列管理。所提供的 API 是稳定且一致的,允许开发人员以编程方式管理不同的存储阵列,并利用所提供的硬件加速功能。系统管理员还可以使用 libStorageMgmt 手动配置存储,并使用包含的命令行界面自动执行存储管理任务。
Targetd 插件没有被完全支持,仍是一个技术预览。(BZ#1119909)

支持 Data Integrity Field/Data Integrity Extension(DIF/DIX)

DIF/DIX 是 SCSI 标准的新补充。Red Hat Enterprise Linux 7.3 中完全支持用于功能章节中指定的 HBA 和存储阵列,但仍然为所有其他 HBA 和存储阵列处于技术预览状态。
DIF/DIX 将常用的 512 字节磁盘块的大小从 512 字节增加到 520 字节,添加了数据完整性字段(DIF)。DIF 存储数据块的校验和值,其是在写发生时通过主机总线适配器(HBA)计算的。然后存储设备会在接收时确认校验和,并存储数据和校验和。相反,当读发生时,校验和可通过存储设备和接收的 HBA 进行验证。(BZ#1072107)

第 46 章 虚拟化

嵌套虚拟化

作为技术预览,Red Hat Enterprise Linux 7 提供嵌套虚拟化。此功能可让 KVM 启动可以充当虚拟机监控程序并创建自己的客户机的客户机。如需更多信息,请参阅 Red Hat Enterprise Linux 7 虚拟化部署和管理指南。(BZ#1187762)

USB 3.0 支持 KVM 客户机

KVM 客户机的 USB 3.0 主机适配器(xHCI)模拟在 Red Hat Enterprise Linux 7.3 中仍是一个技术预览。(BZ#1103193)

选择 Intel 网络适配器现在支持 SR-IOV 作为 Hyper-V 上的客户机

在这个版本中,在 Hyper-V 上运行的 Red Hat Enterprise Linux 客户虚拟机增加了一个新的 PCI 透传驱动程序,为 ixgbevf 驱动程序支持的 Intel 网络适配器使用单根 I/O 虚拟化(SR-IOV)功能。此功能在满足以下条件时启用:
  • 对网络接口控制器(NIC)启用了 SR-IOV 支持
  • 对虚拟 NIC 启用了 SR-IOV 支持
  • 对虚拟交换机启用 SR-IOV 支持
NIC 中的虚拟功能(VF)附加到虚拟机。
目前,Microsoft Windows Server 2016 技术预览 5 支持该功能。(BZ#1348508)

为在 Hyper-V 下的客户虚拟机中通过 PCI Express 总线连接的设备添加驱动程序

在这个版本中,添加了一个新的驱动程序,它会在通过 PCI Express 总线连接的设备传递给 Hyper-V hypervisor 上运行的 Red Hat Enterprise Linux 客户机虚拟机时公开根 PCI 总线。目前,Microsoft Windows Server 2016 技术预览 5 支持该功能。(BZ#1302147)

Open Virtual Machine Firmware

在 Red Hat Enterprise Linux 7 中,OVMF(Open Virtual Machine Firmware)作为技术预览提供。OVMF 是 AMD64 和 Intel 64 客户端的 UEFI 安全引导环境。但是,OVMF 无法使用 RHEL 7 中可用的虚拟化组件引导。请注意,RHEL 8 完全支持 OVMF。

部分 IV. 设备驱动程序

这部分提供了在 Red Hat Enterprise Linux 7.3 中更新的所有设备驱动程序的综合列表。

第 47 章 新驱动程序

存储驱动程序

  • cxgbit
  • libnvdimm
  • mpt2sas
  • nd_blk
  • nd_btt
  • nd_e820
  • nd_pmem
  • nvme

网络驱动程序

  • ath10k_core (BZ#1298484)
  • ath10k_pci (BZ#1298484)
  • bnxt_en (BZ#1184635)
  • brcmfmac
  • brcmsmac
  • brcmutil
  • btbcm
  • btcoexist
  • btintel
  • btrtl
  • c_can
  • c_can_pci
  • c_can_platform
  • can-dev
  • cc770
  • cc770_platform
  • ems_pci
  • ems_usb
  • esd_usb2
  • fjes
  • Geneve
  • hfi1
  • i40iw
  • iwl3945
  • iwl4965
  • iwldvm
  • iwlegacy
  • iwlmvm
  • iwlwifi (BZ#1298113)
  • kvaser_pci
  • kvaser_usb
  • MACsec
  • mwifiex
  • mwifiex_pcie
  • mwifiex_sdio
  • mwifiex_usb
  • mwl8k
  • peak_pci
  • peak_usb
  • plx_pci
  • qed
  • qede
  • rdmavt
  • rt2800lib
  • rt2800mmio
  • rt2800pci
  • rt2800usb
  • rt2x00lib
  • rt2x00mmio
  • rt2x00pci
  • rt2x00usb
  • rt61pci
  • rt73usb
  • rtl_pci
  • rtl_usb
  • rtl8187
  • rtl8188ee
  • rtl8192c-common
  • rtl8192ce
  • rtl8192cu
  • rtl8192de
  • rtl8192ee
  • rtl8192se
  • rtl8723-common
  • rtl8723ae
  • rtl8723be
  • rtl8821ae
  • rtlwifi
  • sja1000
  • sja1000_platform
  • slcan
  • UAS
  • usb_8dev
  • vcan

图形驱动程序和各种驱动程序

  • amdgpu
  • amdkfd
  • gp2ap002a00f
  • gpio-ich
  • gpio-viperboard
  • idma64
  • int3400_thermal
  • leds-lt3593
  • ledtrig-gpio
  • nfit
  • pci-hyperv
  • pwm-lpss
  • qat_c3xxx
  • qat_c3xxxvf
  • qat_c62x
  • qat_c62xvf
  • qat_dh895xccvf
  • regmap-spi
  • rotary_encoder
  • rtc-rx4581
  • rtsx_usb
  • rtsx_usb_sdmmc
  • sht15
  • target_core_user
  • tpm_st33zp24
  • tpm_st33zp24_i2c
  • virt-dma
  • virtio-gpu
  • zram

第 48 章 更新的驱动程序

存储驱动程序更新

  • 3w-9xxx 驱动程序已更新至版本 2.26.02.014.rh1。
  • aacraid 驱动程序已更新至版本 1.2-1[41066]-ms。
  • be2iscsi 驱动程序已更新至版本 11.0.0.0。(BZ#1274912)
  • bfa 驱动程序已更新至版本 3.2.25.0。
  • bnx2fc 驱动程序已更新至版本 2.10.3。
  • cxgb3i 驱动程序已更新至版本 2.0.1-ko。
  • cxgb4i 驱动程序已更新至版本 0.9.5-ko。
  • libcxgbi 驱动程序已更新至版本 0.9.1-ko。
  • fnic 驱动程序已更新至版本 1.6.0.21。
  • hpsa 驱动程序已更新至版本 3.4.14-0-RH1。
  • isci 驱动程序已更新至版本 1.2.0。
  • lpfc 驱动程序已更新至版本 0:11.1.0.2。
  • megaraid_sas 驱动程序已更新至版本 06.811.02.00-rh1。
  • mt2sas 驱动程序已更新至版本 20.102.00.00。
  • mt3sas 驱动程序已更新至版本 13.100.00.00。
  • qla2xxx 驱动程序已更新至版本 8.07.00.33.07.3-k1。
  • vmw_pvscsi 驱动程序已更新至版本 1.0.6.0-k。
  • cxgbit 驱动程序已更新至版本 1.0.0-ko。
  • nvme 驱动程序已更新至版本 1.0。
  • smartpqi 驱动程序已更新至版本 0.9.13-370。
  • mtip32xx 驱动程序已更新至版本 1.3.1。(BZ#1273618, BZ#1269525)
  • ipr 驱动程序已更新至版本 2.6.3。(BZ#1274357)
  • bnx2i 驱动程序已更新至版本 2.7.10.1。(BZ#1273086)

网络驱动程序更新

  • bpa10x 驱动程序已更新至版本 0.11。
  • btbcm 驱动程序已更新至版本 0.1。
  • btintel 驱动程序已更新至版本 0.1。
  • btrtl 驱动程序已更新至版本 0.1。
  • btusb 驱动程序已更新至版本 0.8。
  • hci_uart 驱动程序已更新至版本 2.3。
  • hci_vhci 驱动程序已更新至版本 1.5。
  • hfi1 驱动程序已更新至版本 0.9-294。
  • i40iw 驱动程序已更新至版本 0.5.123。
  • ocrdma 驱动程序已更新至版本 11.0.0.0。
  • ib_srp 驱动程序已更新至版本 2.0。
  • bnx2x 驱动程序已更新至版本 1.712.30-0。
  • bnxt_en 驱动程序已更新至版本 1.2.0。
  • cnic 驱动程序已更新至版本 2.5.22。
  • enic 驱动程序已更新至版本 2.3.0.20。
  • be2net 驱动程序已更新至版本 11.0.0.0r。
  • e1000e 驱动程序已更新至版本 3.2.6-k。
  • i40e 驱动程序已更新至版本 1.5.10-k。
  • i40evf 驱动程序已更新至版本 1.5.10-k。
  • igb 驱动程序已更新至版本 5.3.0-k。
  • ixgbe 驱动程序已更新至版本 4.4.0-k-rh7.3。
  • ixgbevf 驱动程序已更新至版本 2.12.1-k-rh7.3。
  • qed 驱动程序已更新至版本 8.7.1.20。
  • qede 驱动程序已更新至版本 8.7.1.20。
  • qlcnic 驱动程序已更新至版本 5.3.65。
  • fjes 驱动程序已更新至版本 1.1。
  • geneve 驱动程序已更新至版本 0.6。
  • vmxnet 驱动程序已更新至版本 1.4.7.0-k。
  • iwl3945 驱动程序已更新至版本 in-tree:ds。
  • iwl4965 驱动程序已更新至版本 in-tree:d。
  • iwlegacy 驱动程序已更新至树内版本:
  • mwifiex 驱动程序已更新至版本 1.0。
  • mwifiex_pcie 驱动程序已更新至版本 1.0。
  • mwifiex_sdio 驱动程序已更新至版本 1.0。
  • mwifiex_usb 驱动程序已更新至版本 1.0。
  • mwl8k 驱动程序已更新至版本 0.13。
  • rt2800lib 驱动程序已更新至版本 2.3.0。
  • rt2800mmio 驱动程序已更新至版本 2.3.0。
  • rt2800pci 驱动程序已更新至版本 2.3.0。
  • rt2800usb 驱动程序已更新至版本 2.3.0。
  • rt2x00lib 驱动程序已更新至版本 2.3.0。
  • rt2x00mmio 驱动程序已更新至版本 2.3.0。
  • rt2x00pci 驱动程序已更新至版本 2.3.0。
  • rt2x00usb 驱动程序已更新至版本 2.3.0。
  • rt61pci 驱动程序已更新至版本 2.3.0。
  • rt73usb 驱动程序已更新至版本 2.3.0。
  • mlx4_core 驱动程序已更新至版本 2.2-1。(BZ#1298421)
  • mlx4_en 驱动程序已更新至版本 2.2-1。(BZ#1298422)
  • mlx4_ib 驱动程序已更新至版本 2.2-1。(BZ#1298423)
  • mlx5_core 驱动程序已更新至版本 2.2-1。(BZ#1298424)
  • mlx5_ib 驱动程序已更新至版本 3-1。(BZ#1298425)
  • sfc 驱动程序已更新至最新的上游版本。(BZ#1298425)

图形驱动程序和杂项驱动程序更新

  • tpm_st33zp24 驱动程序已更新至版本 1.3.0。
  • tpm_st33zp24_i2c 驱动程序已更新至版本 1.3.0。
  • qat_c3xxx 驱动程序已更新至版本 0.6.0。
  • qat_c62x 驱动程序已更新至版本 0.6.0。
  • intel_qat 驱动程序已更新至版本 0.6.0。
  • qat_dh895xcc 驱动程序已更新至版本 0.6.0。
  • qat_dh895xccvf 驱动程序已更新至版本 0.6.0。
  • amdkfd 驱动程序已更新至版本 0.7.2。
  • qat_dh895xccvf 驱动程序已更新至版本 0.6.0。
  • vmwgfx 驱动程序已更新至版本 2.10.0.0。
  • vmw_balloon 驱动程序已更新至版本 1.4.0.0-k。
  • hpilo 驱动程序已更新至版本 1.4.1。(BZ#1274436)

部分 V. 已弃用的功能

这部分概述所有次版本中已在 Red Hat Enterprise Linux 7.3 弃用的功能。
弃用的功能在 Red Hat Enterprise Linux 7 生命周期结束前一直被支持。弃用的功能可能在以后的主要发行本中不被支持,因此不建议在新的部署中使用。有关特定主要发行本中已弃用功能的最新列表,请参考最新版本的发行文档。
对于当前或将来的主发行版本中的新部署,我们不推荐使用已弃用的硬件组件。硬件驱动程序更新仅限于安全和关键修复。红帽建议尽快替换这个硬件。
一个软件包可能被弃用,我们不推荐在以后使用。在某些情况下,软件包可从产品中删除。然后,产品文档可识别提供类似、完全相同或者更高级功能的最新软件包,并提供进一步建议。

第 49 章 Red Hat Enterprise Linux 7 中已弃用的功能

nautilus-open-terminal 替换为 gnome-terminal-nautilus

从 Red Hat Enterprise Linux 7.3 开始,nautilus-open-terminal 软件包已弃用,并使用 gnome-terminal-nautilus 软件包替代。这个软件包提供了一个 Nautilus 扩展,它会在 Nautilus 的右键上下文菜单中添加 Open in Terminal 选项。nautilus-open-terminal 系统升级过程中由 gnome-terminal-nautilus 替代。

Python中删除 sslwrap ()

sslwrap () 函数已从 Python 2.7 中删除。实施 466 Python 增强建议 后,使用此功能会导致分段错误。这个删除与上游一致。
红帽建议使用 ssl.SSLContext 类和 ssl.SSLContext.wrap_socket () 函数。大多数应用程序都只能使用 ssl.create_default_context () 函数,它会创建带有安全默认设置的上下文。默认上下文也使用系统的默认信任存储。

来自库的符号不再被 ld解析

在以前的版本中,ld 链接程序会解析任何链接库中出现的符号,即使某些库只隐式链接为其它库的依赖项。这允许开发人员在应用程序代码中使用隐式链接库中的符号,并省略为链接明确指定这些库。
为安全起见,ld 已被修改为不会解析对作为依赖项隐式链接的库中符号的引用。
因此,当应用程序代码尝试使用未声明的库中的符号链接并仅作为依赖项被隐式链接时,与 ld 链接会失败。要使用链接为依赖项的库的符号,开发人员还必须明确链接这些库。
要恢复 ld 的先前行为,请使用 -copy-dt-needed-entries 命令行选项。(BZ#1292230)

Windows 客户机虚拟机支持有限

从 Red Hat Enterprise Linux 7 开始,只有特定订阅程序(如 Advanced mission Critical)支持 Windows 客户机虚拟机。

libnetlink 已被弃用

iproute-devel 软件包中包含的 libnetlink 库已弃用。用户应该使用 libnllibmnl 库。

KVM 的 S3 和 S4 电源管理状态已弃用

对 S3 ( RAM 的挂起)和 S4 (磁盘)电源管理状态已停用了原生 KVM 支持。这个功能以前作为技术预览提供。

Certificate Server 插件 udnPwdDirAuth 已停用

Red Hat Certificate Server 的 udnPwdDirAuth 身份验证插件已在 Red Hat Enterprise Linux 7.3 中删除。使用插件的配置集不再被支持。如果已批准,使用 udnPwdDirAuth 插件创建的证书仍然有效。

IdM 的 Red Hat Access 插件已停用

Red Hat Enterprise Linux 7.3 中删除了 Identity Management (IdM)的 Red Hat Access 插件。在更新过程中,redhat-access-plugin-ipa 软件包会被自动卸载。之前由插件提供的功能(如知识库访问和支持问题单参与)仍可通过红帽客户门户网站获得。红帽建议探索替代方案,如 redhat-support-tool 工具。

federated 单点登录的 Ipsilon 身份提供程序服务

ipsilon 软件包在 Red Hat Enterprise Linux 7.2 中作为技术预览引进。Ipsilon 链接到身份验证提供程序、应用程序或工具来允许单点登录(SSO)。
红帽不计划将 Ipsilon 从技术预览升级到完全支持的功能。ipsilon 软件包将在以后的次发行版本中从 Red Hat Enterprise Linux 中删除。
红帽已发布了 Red Hat Single Sign-On 作为基于 Keycloak 社区项目的 Web SSO 解决方案。Red Hat Single Sign-On 提供了比 Ipsilon 更大的功能,并被指定为红帽产品系列的标准 Web SSO 解决方案。详情请查看 ???

弃用的设备驱动程序

  • 3w-9xxx
  • 3w-sas
  • mptbase
  • mptctl
  • mptsas
  • mptscsih
  • mptspi
  • qla3xxx
  • megaraid_sas 驱动程序中的以下控制器已弃用:
    • Dell PERC5, PCI ID 0x15
    • SAS1078R, PCI ID 0x60
    • SAS1078DE, PCI ID 0x7C
    • SAS1064R, PCI ID 0x411
    • VERDE_ZCR, PCI ID 0x413
    • SAS1078GEN2, PCI ID 0x78
  • 以下由 be2net 驱动程序控制的以太网适配器已被弃用:
    • TIGERSHARK NIC, PCI ID 0x0700
  • be2iscsi 驱动程序中的以下控制器已被弃用:
    • Emulex OneConnect 10Gb iSCSI Initiator (generic), PCI ID 0x212
    • OCe10101, OCm10101, OCe10102, OCm10102 BE2 adapter family, PCI ID 0x702
    • OCe10100 BE2 adapter family, PCI ID 0x703
  • lpfc 驱动程序中的以下 Emulex 参与已被弃用:
    BladeEngine 2 (BE2) Devices
    • TIGERSHARK FCOE, PCI ID 0x0704
    Fibre Channel (FC) Devices
    • FIREFLY, PCI ID 0x1ae5
    • PROTEUS_VF, PCI ID 0xe100
    • BALIUS, PCI ID 0xe131
    • PROTEUS_PF, PCI ID 0xe180
    • RFLY, PCI ID 0xf095
    • PFLY, PCI ID 0xf098
    • LP101, PCI ID 0xf0a1
    • TFLY, PCI ID 0xf0a5
    • BSMB, PCI ID 0xf0d1
    • BMID, PCI ID 0xf0d5
    • ZSMB, PCI ID 0xf0e1
    • ZMID, PCI ID 0xf0e5
    • NEPTUNE, PCI ID 0xf0f5
    • NEPTUNE_SCSP, PCI ID 0xf0f6
    • NEPTUNE_DCSP, PCI ID 0xf0f7
    • FALCON, PCI ID 0xf180
    • SUPERFLY, PCI ID 0xf700
    • DRAGONFLY, PCI ID 0xf800
    • CENTAUR, PCI ID 0xf900
    • PEGASUS, PCI ID 0xf980
    • THOR, PCI ID 0xfa00
    • VIPER, PCI ID 0xfb00
    • LP10000S, PCI ID 0xfc00
    • LP11000S, PCI ID 0xfc10
    • LPE11000S, PCI ID 0xfc20
    • PROTEUS_S, PCI ID 0xfc50
    • HELIOS, PCI ID 0xfd00
    • HELIOS_SCSP, PCI ID 0xfd11
    • HELIOS_DCSP, PCI ID 0xfd12
    • ZEPHYR, PCI ID 0xfe00
    • HORNET, PCI ID 0xfe05
    • ZEPHYR_SCSP, PCI ID 0xfe11
    • ZEPHYR_DCSP, PCI ID 0xfe12
要在您的系统中检查硬件的 PCI ID,请运行 lspci -nn 命令。
请注意,此处未列出的驱动程序中的其他控制器不会改变。

使用 libvirt-lxc 工具的容器已弃用

从 Red Hat Enterprise Linux 7.1 开始,以下 libvirt-lxc 软件包已弃用:
  • libvirt-daemon-driver-lxc
  • libvirt-daemon-lxc
  • libvirt-login-shell
Linux 容器框架的未来开发现在基于 docker 命令行界面。libvirt-lxc 在以后的 Red Hat Enterprise Linux 版本中可能会删除工具(包括 Red Hat Enterprise Linux 7),且不应依赖于开发自定义容器管理应用程序。
如需更多信息,请参阅红帽知识库文章

部分 VI. 已知问题

这部分记录了 Red Hat Enterprise Linux 7.3 中已知的问题。

第 50 章 常规更新

默认情况下,TAB 密钥不会扩展 $PWD

在 Red Hat Enterprise Linux 6 中使用 CLI 时,按 TAB 密钥将 $PWD/ 扩展至当前目录中。在 Red Hat Enterprise Linux 7 中,CLI 没有相同的行为。通过将以下行放在 $HOME/.bash_profile 文件中,用户可以实现此行为:
if ((BASH_VERSINFO[0] >= 4)) && ((BASH_VERSINFO[1] >= 2)); then
    shopt -s direxpand
fi
(BZ#1185416)

gnome-getting-started-docs-* 移动到 Optional 频道

从 Red Hat Enterprise Linux 7.3 开始,gnome-getting-started-docs-* 软件包已从 Base 频道移到 Optional 频道。因此,如果之前安装了这些软件包,从早期版本的 Red Hat Enterprise Linux 7 升级会失败。要临时解决这个问题,请在升级到 Red Hat Enterprise Linux 7.3 前卸载 gnome-getting-started-docs-*。(BZ#1350802)

remote-viewer SPICE 客户端无法检测新插入智能卡读取器

Red Hat Enterprise Linux 7.3 中的 libcacard 库无法处理 USB 热插事件。因此,虽然 remote-viewer SPICE 客户端正在运行,但在某些情况下,应用程序在插入时无法检测到 USB 智能卡读取器。要临时解决这个问题,请从读取器中删除智能卡并重新插入它。(BZ#1249116)

第 51 章 认证和互操作性

通过 SSL 从 CA 导入用户证书的问题

pki user-cert-add 命令提供了一个选项,可直接从 CA 导入用户证书。由于客户端库初始化不正确,当命令通过 SSL 端口执行时,命令会失败,并显示以下错误消息:
javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated.
要临时解决这个问题,请使用 pki cert-show 命令将证书从 CA 下载到文件中。然后,使用 pki user-cert-add 命令从文件上传证书。在这个版本中,用户证书会被正确添加。(BZ#1246635)

IdM Web UI 在 Certificates 表中显示一个页面上显示所有证书

证书 表在身份管理(IdM) Web UI 中的 Authentication 选项卡下提供,忽略了 20 个条目的页大小限制。当有 20 个证书可用时,表会在一个页面中显示所有证书,而不是每行仅显示 20 个证书。(BZ#1358836)

使用 ipa-kra-installipa-ca-installipa-replica-install时的安全警告

当使用 ipa-kra-installipa-ca-installipa-replica-install 工具安装额外的密钥恢复授权(KRA)组件、证书颁发机构或副本时,会出现以下警告:
SecurityWarning: Certificate has no `subjectAltName`,
falling back to check for a `commonName` for now.
This feature is being removed by major browsers and deprecated by RFC 2818.
由于 RFC 2818 造成的错误,它会弃用在主题可分辨名称(DN)通用名称(CN)字段中执行主题主机名的过程。但是,三个实用程序成功。因此,您可以忽略警告信息。(BZ#1358457)

pam_pkcs11 只支持一个令牌

opensccoolkey 软件包中的 PKCS这个模块为各种类型的智能卡提供支持。但是 pam_pkcs11 模块一次仅支持其中一个。因此,您不能使用相同的配置使用 PKCS047 和 CAC 令牌。要临时解决这个问题,请安装以下之一:
  • 用于 PKCS the PIV 和 PIV 支持的 opensc 软件包
  • CAC、Coolkey 和 PIV 支持的 coolkey 软件包(BZ1141367919)

当目录服务器没有使用 LDAPS 配置时,在 IdM 副本上使用 ipa-ca-install 会失败

当副本上的 Directory Server 没有通过 LDAPS 配置时,在身份管理(IdM)副本中使用 ipa-ca-install 工具安装证书颁发机构(CA)会失败(通过端口 636 使用 TLS 协议)。尝试失败并显示以下错误:
[2/30]: configuring certificate server instance
ipa.ipaserver.install.cainstance.CAInstance: CRITICAL Failed to configure CA
instance: Command '/usr/sbin/pkispawn -s CA -f /tmp/tmpsDHYbO' returned non-zero exit status 1
...
在这种情况下无法安装副本。作为临时解决方案,请选择以下选项之一:
  • 在 master 服务器上安装 CA。
  • 在运行 ipa-ca-install 之前,手动在副本上启用 LDAPS。
在副本上手动启用 LDAPS:
1.从 /etc/httpd/alias 文件中导出服务器证书:
$ pk12util -d /etc/httpd/alias -k /etc/httpd/alias/pwdfile.txt -o temp.p12 -n 'ca1/replica'
ca1/replica 替换为您的证书的别名。
2.从证书中删除信任链,因为它已导入:
a.提取私钥:
$ openssl pkcs12 -in temp.p12 -nocerts -nodes -out temp.key
b.提取公钥:
$ openssl pkcs12 -in temp.p12 -nokeys -clcerts -out temp.pem
c.创建没有 CA 证书的 PKCS the 文件:
$ openssl pkcs12 -export -in temp.pem -inkey temp.key -out repl.p12 -name 'ca1/replica'
ca1/replica 替换为您的证书的别名。
3.将创建的证书导入到目录服务器的 NSSDB 数据库中:
$ pk12util -d /etc/dirsrv/slapd-EXAMPLE-COM -K '' -i repl.p12
4.删除临时证书文件:
$ rm -f temp.p12 temp.key temp.pem repl.p12
5.创建一个包含以下内容的文件 /tmp/enable_ssl.ldif
dn: cn=encryption,cn=config
changetype: modify
replace: nsSSL3
nsSSL3: off
-
replace: nsSSLClientAuth
nsSSLClientAuth: allowed
-
replace: nsSSL3Ciphers
nsSSL3Ciphers: default

dn: cn=config
changetype: modify
replace: nsslapd-security
nsslapd-security: on
6.修改 LDAP 配置以启用 SSL:
$ ldapmodify -H "ldap://localhost" -D "cn=directory manager" -f /tmp/enable_ssl.ldif -w dm_password
dm_password 替换为您的 Directory Manager 密码。
7.创建一个包含以下内容的文件 /tmp/add_rsa.ldif
dn: cn=RSA,cn=encryption,cn=config
changetype: add
objectclass: top
objectclass: nsEncryptionModule
cn: RSA
nsSSLPersonalitySSL: ca1/replica
nsSSLToken: internal (software)
nsSSLActivation: on
ca1/replica 替换为您的证书的别名。
8.在 LDAP 中添加条目:
$ ldapadd -H "ldap://localhost" -D "cn=directory manager" -f /tmp/add_rsa.ldif -w dm_password
dm_password 替换为您的 Directory Manager 密码。
9.删除临时文件:
$ rm -f /tmp/enable_ssl.ldif /tmp/add_rsa.ldif
10.重启目录服务器:
# systemctl restart dirsrv@EXAMPLE-COM.service
这些步骤后,启用了 LDAPS,您可以成功在副本上运行 ipa-ca-install。(BZ#1365858)

在将外部 CA 安装到 IdM 后,会重置第三方证书信任标志

ipa-ca-install --external-ca 命令用于将外部证书颁发机构(CA)安装到现有的身份管理(IdM)域中,生成用户必须提交到外部 CA 的证书签名请求(CSR)。
当使用之前安装的第三方证书为 CSR 签名时,会重置 NSS 数据库中的第三方证书信任标志。因此,证书不再标记为可信。此外,mod_nss 模块执行的检查失败,httpd 服务无法启动。在这种情况下,CA 安装会失败,并显示以下信息:
CA failed to start after 300 seconds
作为临时解决方案,在出现此消息后,将第三方证书标记重置为之前的状态,并重新启动 httpd。例如,如果 ca1 证书之前具有 C, 则信任标记:
# certutil -d /etc/httpd/alias -n 'ca1' -M -t C,,
# systemctl restart httpd.service
这会将系统恢复到正确的状态。(BZ#1318616)

realmd 无法从 AD 中删除计算机帐户

Red Hat Enterprise Linux 使用 Samba 作为活动目录(AD)域成员资格的默认后端。在这种情况下,如果您在 realm join 命令中使用 --computer-name 选项手动设置计算机名称,则保留域时无法从 AD 中删除该帐户。要临时解决这个问题,请不要使用 --computer-name 选项,而是将计算机名称添加到 /etc/realmd.conf 文件中。例如:
[domain.example.com]
computer-name = host_name
作为临时解决方案,主机可以成功加入到域,如果使用 realm leave --remove 命令离开域,则帐户会被自动删除。(BZ#1370457)

SSSD 无法从 LDAP 树管理 autofs 映射

在以前的版本中,在使用 RFC2307 LDAP 模式时,系统安全服务守护进程(SSSD)为 autofs 映射实施不正确的默认值。应用了补丁,它修复了与 schema 匹配的默认值。但是,连接到包含之前使用的模式 SSSD 的映射的 LDAP 服务器无法加载 autofs 属性。受影响的用户会在 /var/log/messages 日志文件中看到以下错误:
Your configuration uses the autofs provider with schema set to rfc2307 and default attribute mappings. The default map has changed in this release, please make sure the configuration matches the server attributes.
要临时解决这个问题,修改 /etc/sssd/sssd.conf 文件,并将您的域设置为使用现有属性映射:
[domain/EXAMPLE]
...
ldap_autofs_map_object_class   = automountMap
ldap_autofs_map_name           = ou
ldap_autofs_entry_object_class = automount
ldap_autofs_entry_key          = cn
ldap_autofs_entry_value        = automountInformation
因此,SSSD 可以从属性加载 autofs 映射。(BZ#1372814)

pkispawn 的依赖项列表不包括 openssl

如果没有安装 openssl 软件包,使用 pkispawn 工具会失败,并显示以下错误:
Installation failed: [Errno 2] No such file or directory
这是因为 openssl 软件包没有作为 pki-server 软件包中包含的 pki-core 软件包的运行时依赖项包括。作为临时解决方案,在运行 pkispawn 前安装 openssl。(BZ#1376488)

枚举大量用户会导致 CPU 负载过高,并减慢其他操作的速度

当在 etc/sssd/sssd.conf 文件中设置 enumerate=true,且 LDAP 服务器中存在大量用户(如 30,000 个用户)时,会出现一些性能问题:
  • sssd_be 进程几乎消耗了 CPU 资源
  • 某些操作(如以本地用户登录或注销)需要很长时间才能完成
  • sysdbtimestamp 缓存上运行 ldbsearch 操作会失败,并报告索引和完全搜索失败
请注意,这不是一个新的已知问题,因为这些问题也会在之前的 SSSD 版本中发生。(BZ#888739, BZ#1379774)

GDM 无法使用智能卡进行身份验证

使用智能卡验证时,系统安全服务守护进程(SSSD) PAM 响应器不会验证登录名称是否为 Kerberos 用户主体名称(UPN)。因此,当使用用户主体名称(UPN)作为登录名称时,gdm-password 可插拔验证模块(PAM)会显示密码提示而不是智能卡 PIN 提示符。因此,对 GNOME 显示管理器(GDM)的智能卡验证会失败。(BZ#1389796)

当使用大写或混合问题单用户名时,ipa passwd 命令会失败

身份管理(IdM) 4.0 在所有命令中引入了对用户主体的统一处理。但是,一些命令没有完全转换。因此,当您在用户名中使用大写字母或混合大写字母时,ipa passwd 命令会失败。要临时解决这个问题,请在使用 ipa passwd 命令时仅在用户名中使用小写字母。(BZ#1375133)

IdM Web UI 无法正确识别撤销的证书的状态

身份管理(IdM) Web UI 目前无法确定是否撤销了证书。因此:
  • 从用户、服务或主机详情页面查看证书时,不会显示 撤销 的符号。
  • Revoke 操作仍可从详情页面中获得。尝试撤销已经撤销的证书会导致错误对话框。
  • 即使因为证书冻结而撤销了证书,也始终禁用 Remove Hold 按钮(吊销原因 6)。(BZ#1371479)

对于小写,SSSD 只在 AD 的 sudoUser 属性中应用值

在以前的版本中,当系统安全服务守护进程(SSSD)从 Active Directory (AD)获取 sudo 规则时,sudoUser 属性必须与分配给规则的用户的 samAccountName 属性完全匹配。由于 Red Hat Enterprise Linux 7.3 中的回归,sudoUser 属性现在只匹配小写值。要临时解决这个问题,将 sudoUser 属性值重命名为小写。在这个版本中,sudo 规则会被正确应用。(BZ#1380436)

更新 ipa-clientipa-admintools 软件包可能会失败

在从 Red Hat Enterprise Linux 7.2 升级到 Red Hat Enterprise Linux 7.3 的过程中,在某些情况下,ipa-clientipa-admintools 软件包的更新可能会失败。要临时解决这个问题,请在升级到 Red Hat Enterprise Linux 7.3 之前卸载 ipa-clientipa-admintools,然后安装这些软件包的新版本。(BZ#1390565)

升级 SSSD 有时会导致 sssd 进程被终止

sssd 进程意外执行一个操作时,内部 watchdog 进程会终止它。但是 sssd 进程不会再次启动。如果 SSSD 数据库包含大量条目,则通常会在较慢的系统中升级 SSSD 时出现此问题。
要临时解决这个问题:
1.确保中央身份验证服务器可用。这样可确保用户在在下一步中删除 SSSD 缓存后用户可以进行身份验证。
2.在升级前,使用 sss_cache 工具删除 SSSD 缓存。
下一个更新将提供对此已知问题的修复。(BZ#1392441)

因为 bind-dyndb-ldap 模式错误,目录服务器会失败

Identity Management 中包含的 bind-dyndb-ldap LDAP 模式的版本包含语法错误,并缺少一个属性的描述。如果用户使用此版本的 schema,Directory 服务器组件将无法启动。因此,日志中会记录错误消息,告知用户有关不正确的语法。
要临时解决这个问题:
  1. 从上游 git.fedorahosted.org 存储库获取更正的 schema 文件:
    # wget https://git.fedorahosted.org/cgit/bind-dyndb-ldap.git/plain/doc/schema.ldif?id=17711141882aca3847a5daba2292bcbcc471ec63 -O /usr/share/doc/bind-dyndb-ldap-10.0/schema.ldif
  2. 将更正的模式文件复制到目录服务器的实例配置文件夹中。
    # cp /usr/share/doc/bind-dyndb-ldap-10.0/schema.ldif /etc/dirsrv/slapd-[EXAMPLE-COM]/schema/[SCHEMA_FILE_NAME].ldif
  3. 重启目录服务器:
    # systemctl restart dirsrv.target
(BZ#1413805)

第 52 章 编译器和工具

OProfile 工具默认无法在内核代码中收集性能数据

Red Hat Enterprise Linux 7.3 中的内核将 /proc/sys/kernel/perf_event_paranoid 的默认值从 1 改为 2。因此,内核中代码的性能事件数据收集需要 root 权限。当以普通用户身份运行 occountoperf 工具时,默认性能事件会尝试为内核和用户代码和性能事件的设置收集数据,因为默认的 perf_event_paranoid 设置失败。
要临时解决这个问题,请将 /proc/sys/kernel/perf_event_paranoid 的值改为 1。如果无法这样做,请通过运行 ophelp -d 命令来确定机器上使用的默认事件,然后从 :1:1 改为 :0:1 来禁用内核空间中的数据收集,例如:
$ operf -e CPU_CLK_UNHALTED:100000:0:0:1 true
因此,更改 /proc/sys/kernel/perf_event_paranoid 或明确禁用对内核事件的监控,从而允许数据收集数据。(BZ#1349077)

pesign 密钥数据库需要手动更改权限,以启用改进的访问权限控制

pesign 密钥数据库用于为 UEFI 二进制文件签名,现在提供了一种更通用的方法设置数据库访问权限。现在,您可以使用系统范围的密钥数据库配置权限,这意味着任何用户或组现在可以授予访问权限。
但是,pesign 中的权限 设置中 存在一个已知问题目前会阻止上述新功能正常工作。要启用改进的访问控制,您必须手动将权限改为 pesign
chmod 0660 /etc/pki/pesign/*
chmod 0770 /etc/pki/pesign
设置这些权限后,改进的访问控制将可用。如果您没有执行这些步骤,pe sign 的行为与之前的版本相同。(BZ#1141263)

第 53 章 Desktop

关闭笔记本电脑会破坏 GNOME 多显示配置

当使用连接到一个或多个外部显示的 GNOME 图形环境的笔记本电脑时,关闭 lid 以暂停笔记本电脑有时会导致窗口和图标在显示之间移动,并在系统恢复时重置显示布局。要临时解决这个问题,请打开 GNOME 显示界面,这会导致重新载入显示配置。(BZ#1360906)

对 Xorg 中的视觉支持有限

在 Xorg 服务器中,硬件驱动程序只支持 TrueColor 和 DirectColor 视觉化。需要 PseudoColor visual 的传统应用程序可以针对 Xephyr 嵌套 X 服务器运行,该服务器在 TrueColor 屏幕中显示时实现了 PseudoColor 转换。(BZ#1185690)

第 54 章 文件系统

默认选项规格不会被 /etc/exports中特定于主机的选项覆盖

当在 /etc/exports 文件的默认选项部分中使用 sec=sys 时,以下选项列表不会被正确解析。因此,特定于主机的选项无法覆盖默认选项。(BZ#1359042)

第 55 章 硬件启用

不支持依赖基于 DDF 的 RAID 的平台

Red Hat Enterprise Linux 目前不支持基于磁盘数据格式(DDF)的 BIOS RAID。这包括使用 LSI BIOS 的系统,这需要 megasr 专有驱动程序。
但是,在特定系统中,如带有 ServeRAID 适配器的 IBM z Systems 服务器,可以在 BIOS 中禁用 RAID。要做到这一点,输入 UEFI 菜单,并通过 System Settings 和 Devices 和 I/O Ports 菜单导航到 Configure the onboard SCU 子菜单。然后,将 SCU 设置从 RAID 改为 nonRAID。保存您的更改并重启系统。在此模式下,存储使用 Red Hat Enterprise Linux 中提供的开源非 RAID LSI 驱动程序进行配置,如 mptsasmpt2sasmpt3sas
要获得 IBM 系统的 megasr 驱动程序,请参阅 IBM 支持页面:
请注意,上述限制不适用于使用 megaraid 驱动程序的 LSI 适配器,因此这些适配器在固件中实施 RAID 功能。(BZ#1067292)

第 56 章 安装和引导

Dell Latitude E6430 笔记本电脑意外关闭

当系统尝试使用 Nvidia GPU 时,在 BIOS 中启用了 Nvidia 图形卡和 Nvidia Optimus 引导 Dell Latitude E6430 笔记本电脑时,系统会关闭。然后,BIOS 会错误地显示 系统在下次引导时出现活跃往返 错误。要临时解决这个问题,请在引导时使用 nouveau.runpm=0 参数。但请注意,使用 nouveau.runpm=0 可以增加功耗。(BZ#1349827)

/boot 分区大小不足可能会阻止系统升级

如果安装了多个内核和 kernel-debug 等附加软件包,则包含安装的内核和初始 ram 磁盘的 /boot 分区可能会变得满。这是因为此分区的默认大小被设置为 500 MB,并防止系统升级。
作为临时解决方案,如果您不需要,使用 yum 删除旧的内核。
这个已知问题只会影响到 Red Hat Enterprise Linux 7.2 及更早版本的安装。在 Red Hat Enterprise Linux 7.3 中,/boot 分区的默认大小增加到 1 GB,从而避免以后的升级时出现这个问题。(BZ#1270883)

Anaconda Kickstart 接受太短的密码

当使用 Kickstart 文件安装 Red Hat Enterprise Linux 7 时,Anaconda 安装程序会立即接受小于 --minlen Kickstart 选项定义的最小长度的密码(如果密码足够强大(默认为 50 或以上)。(BZ#1383718, BZ#1356975)

kickstart 安装中会忽略 SCAP 密码长度要求

交互式 kickstart 安装不强制实施 SCAP 规则定义的密码长度检查,并接受较短的 root 密码。要临时解决这个问题,请在 kickstart 文件中将 --strict 选项与 pwpolicy root 命令一起使用。(BZ#1372791)

在使用静态 IP 地址的 iSCSI 安装后,/etc/resolv.conf 中没有包括名称服务器

从带有静态 IP 地址的接口连接到 iSCSI 目标上的 root 文件系统时,不会在安装的系统上配置名称服务器。要临时解决这个问题,请在安装的系统的引导装载程序配置中添加 nameserver=<IP > 内核选项。(BZ#1363831)

当在 EAV DASD 上安装时,无法基于标准分区方案生成分区方案

安装到足够大的通用磁盘布局(CDL)直接访问存储设备(DASD),如扩展地址卷(EAV),除了 /、swap 和 /boot 外,还会提示安装程序创建 /home 分区。因为 CDL DASD 只能有三个分区,所以会出现错误。要临时解决这个问题,请手动创建磁盘布局。您还可以将 LVM 与多个逻辑卷(LV)搭配使用,但 /boot 只能存在于单独的标准分区中。(BZ#1370173)

Anaconda 不允许在没有密码的情况下创建用户

目前,无法取消选择 Require a password 在交互式安装过程中在 Anaconda GUI 中使用这个帐户 选项。因此,无法创建没有密码的用户帐户。要临时解决这个问题,在 pwpolicy 用户 行中使用带有 --emptyok 选项的 Kickstart 文件安装。(BZ#1380277)

Anaconda Kickstart 安装不遵循 --changesok 选项

目前,当从 Kickstart 文件安装 Red Hat Enterprise Linux 7 时,使用 --changesok 选项无法正确允许 Anaconda 安装程序更改 root 密码。(BZ#1356966)

Anaconda TUI 无法挂载硬盘上的 ISO 文件

硬盘上的 ISO 文件不能由 Anaconda 终端用户界面(TUI)挂载。因此,无法在硬盘中使用 ISO 文件作为安装源。如果您尝试使用硬盘中的 ISO 文件安装,则会显示 Noable devices found 错误。
在命令行中可以使用 inst.repo=hd:/dev/<hard disk>:/ 参数,但您无法更改安装程序中的网络配置。因此,会重置安装源,且无法再次访问 ISO 文件。(BZ#1369818)

在 IBM z Systems 上,初始设置不会在 SSH 的图形界面中打开

当使用 SSH 连接到 IBM z Systems 机器时,即使启用了 X 转发,也会在文本版本中打开 Initial Setup 界面。(BZ#1378082)

使用 UEFI 和 IPv6 进行 PXE 引导会显示 grub2 shell 而不是操作系统选择菜单

Pre-Boot Execution Environment (PXE) 在配置了 UEFI 和 IPv6 的客户端上启动时,/boot/grub/grub.cfg 文件中配置的引导菜单不会显示 Instead,则会出现以下情况。客户端从预期的 DHCPv6 子网获取 IPv6 地址,并从 PXE 服务器下载 .../grubx64.efi netboot 镜像。超时后,会显示 GRUB2 shell,而不是配置的操作系统选择菜单。(BZ#1154226)

从 HTTPS kickstart 源安装时不支持 FIPS 模式

安装镜像在安装过程中不支持使用 HTTPS kickstart 源的 FIPS 模式。因此,目前无法使用 fips=1inst.ks=https://<location>/ks.cfg 选项安装系统。(BZ#1341280)

启用地理位置服务时安装需要额外的时间

当安装 Red Hat Enterprise Linux 7.3 时,安装程序会在安装概述屏幕中暂停几分钟,且安全策略部分为 Not ready。因此,这会在安装下一步前添加额外的时间。
要临时解决这个问题,请在引导命令行中添加 inst.geoloc=0 选项来禁用地理位置服务。(BZ#1380224)

第 57 章 内核

内核更新后应用程序性能会受到影响

在以前的版本中,为 RHEL 7 内核设置了 CONFIG_RCU_NOCB_CPU_ALL 内核配置选项。从 RHEL 7.3 开始,不再设置 CONFIG_RCU_NOCB_CPU_ALL。因此,在将中断请求(IRQ)固定到特定的 CPU 的环境中,应用程序性能会在内核从 3.10.0-327 升级到 3.10.0-514 或 3.10.0-693 后会受到影响。要临时解决这个问题,请在引导时为所有可用 CPU 内核设置 rcu_nocbs 内核命令行参数。因此,临时解决方案将生成与构建时设置了 CONFIG_RCU_NOCB_CPU_ALL 相同的行为。
如需更多信息,请参阅以下解决方案文章,请参阅 RHEL 7.3 和 RHEL 7.4 内核中的 softirq 用法。(BZ#1551632)

改进了 SCTP 性能和更好的传输率

流控制传输协议(SCTP)实现已知消耗大量 CPU 资源。因此,CPU 资源不足通常无法达到高传输率,如 10Gbps 在单个关联上。在这个版本中,改进了特定 SCTP 处理的 CPU 使用量,这在某些情况下提高了 SCTP 性能并带来更好的传输率。
请注意,这个更新无法确保 SCTP 现在可以达到 10Gbps 传输率。(BZ#1058148)

查找传输或关联可能会导致内核 panic

由于无用错误,内核的流控制传输协议(SCTP)实现不会在使用时保存指向传输路径的指针。因此,另一个 CPU 可以释放指针,访问应该不可用的内存,并发生内核 panic。解决这个问题的信息包括在 https://bugzilla.redhat.com/show_bug.cgi?id=1368884 中。(BZ#1368884)

dracut 显示有关不存在的 /etc/hba.conf的不必要的错误消息

dracut 创建一个初始 RAM 文件系统(initramfs)时,如果 /etc/hba.conf 文件不存在,则 dracut 会显示一个带有以太网(FCoE)支持的初始 RAM 文件系统(initramfs)。您可以安全地忽略此消息。(BZ#1373129)

kdump 无法用于旧的 Type 12 持久内存

旧类型 12 Non-Volatile Dual In-line Memory Modules (NVDIMM)的系统是真实双线内存模块(DIMM),或使用 _memmap=XG!YG 内核命令行参数进行模拟,无法成功捕获内核崩溃转储。对于实际 NVDIMM 的系统,尝试捕获内核崩溃转储会导致数据崩溃。通过在此类系统中禁用 kdump 功能,用户可以解决这个问题。(BZ#1351098)

megaraid_sas 的更新可能会导致性能下降

megaraid_sas 驱动程序已更新至版本 06.811.02.00-rh1,它比之前的版本提供了很多性能改进。然而,在某些情况下观察了基于 Solid-state Drives (SSD)的配置。要临时解决这个问题,将 /sys/ 目录中的对应 queue_depth 参数设置为更高的值设为 256,这会使性能返回到其原始级别。(BZ#1367444)

xgene-enet 不会处理低可用内存的情况

xgene_enet 驱动程序目前无法正确处理内存不足。当发生此类错误时,驱动程序有时会意外终止,并将内核后端返回到串行控制台和 dmesg 日志。因此,该系统无法通过网络进行通信,必须重启。(BZ#1248185)

某些 NIC 固件可能会变得无响应,使用 bnx2x

由于预引导驱动程序卸载序列中的一个错误,一些互联网适配器的固件在 bnx2x 驱动程序接管设备后可能会变得无响应。bnx2x 驱动程序检测到问题,并在内核日志中 3 次内更新消息 storm stats。要临时解决这个问题,请应用您的硬件供应商提供的最新 NIC 固件更新。因此,卸载预引导固件现在可以正常工作,固件在 bnx2x 接管设备后不再挂起。(BZ#1315400)

更改 FCoE 服务器中的默认设置,以访问 kdump 机制的正确功能

以太网上的光纤通道(FCoE)服务器上的磁盘使用多路径存储系统,它允许磁盘从不同接口连接到系统。系统中有几个逻辑磁盘,但它们只映射到一个实际磁盘。因此,使用默认设置,FCoE 服务器无法在 kdump 内核中启动。要达到 kdump 机制的正确功能,建议用户指定 FCoE 磁盘的通用唯一标识符(UUID)。还建议用户启用 multipath 选项,以便以更有效的方式管理磁盘。(BZ#1293520)

iSCSI 连接会生成 I/O 错误

Red Hat Enterprise Linux 7.3 不再封顶对 SCSI 磁盘的 I/O 请求,最多 512Kib。因此,当 Red Hat Enterprise Linux 7.3 上运行的客户机连接到配置为使用 fileio 后端存储的 iSCSI 目标,并在旧版本的 Red Hat Enterprise Linux 上运行时,一些警告信息会出现在日志中,性能也会受到负面影响。要临时解决这个问题,请在系统上安装 udev 规则,将 I/O 请求大小限制为最大 4096Kib。文件io 后端存储的问题也可以通过将 iSCSI 目标升级到 Red Hat Enterprise Linux 7.3 来解决。(BZ#1387858)

当显示端口电缆被插入时,MST 显示变得无响应

在以前的版本中,DEll MST 显示在显示端口电缆时没有响应,因为不相关的 dp-aux 消息会中断一系列实现了 I2C 设备的读写消息。这个版本可防止 I2C-over-dp-aux 序列因为未相关的 MST 设置消息而中断。因此,在上述场景中,MST 不再变得无响应。(BZ#1274157)

在 IBM Power 系统中,如果之前使用 fadump 且同时使用网络目标,kdump 会失败

如果之前配置了相同的系统,则 kdump 内核崩溃转储机制将无法将转储保存到网络位置,而是使用固件支持的转储(fadump),并远程保存转储。这是因为当机制切回到 kdump 时,kdump- 前缀会添加到配置的网络接口中,但配置 fadump 已在之前添加了相同的前缀。生成的接口名称将变为 kdump-kdump-eth 0 ,然后截断最终 0。这会导致一个无效的接口名称 kdump-kdump-eth,然后 kdump 无法访问接口,并将崩溃转储保存到远程目标。
要临时解决这个问题:
1.将当前的 /boot/initramfs-$kver.img initrd 替换为 /boot /initramfs-$kver.img.default 文件。
2.运行 touch /etc/kdump.conf 命令,以便在重启后强制重建 kdump initrd
3.重启系统。(BZ#1372464)

第 58 章 网络

在 Red Hat Enterprise Linux 7 中禁用了使用 MD5 hash 算法验证签名的功能

无法连接到需要 MD5 签名证书的任何 Wi-Fi Protected Access (WPA) Enterprise Access Point (AP)。要临时解决这个问题,将 wpa_supplicant.service 文件从 /usr/lib/systemd/system/ 目录复制到 /etc/systemd/system/ 目录中,并将以下行添加到文件的 Service 部分:
Environment=OPENSSL_ENABLE_MD5_VERIFY=1
然后,以 root 用户身份运行 systemctl daemon-reload 命令来重新加载服务文件。
重要:请注意 MD5 证书是高度不安全的,红帽不推荐使用它们。(BZ#1062656)

第 59 章 安全性

scap-security-guide 不建议使用 Red Hat Enterprise Linux 6 的 kickstart 文件示例

Red Hat Enterprise Linux 6 示例 kickstart 文件包含在 Red Hat Enterprise Linux 7 的 scap-security-guide 软件包中,直接从上游仓库安装最新版本的 scap-security-guide 软件包,这意味着红帽质量工程团队没有检查这个版本。要临时解决这个问题,使用当前 Red Hat Enterprise Linux 6 发行版本中包含的 scap-security-guide 软件包中的修正的 Red Hat Enterprise Linux 6 示例 kickstart 文件,或者手动更改 kickstart 文件中的 %post 部分。请注意,Red Hat Enterprise Linux 7 示例 kickstart 文件不受此问题的影响。(BZ#1378489)

openscap 软件包不会作为依赖项安装 atomic

OpenSCAP 套件启用集成标准的安全内容自动化协议(SCAP)行。当前版本添加了使用 atomic 扫描和 oscap-docker 命令扫描容器的功能。但是,当您只安装 openscapopenscap-utilsopenscap-scanner 软件包时,默认不会安装 atomic 软件包。因此,任何容器扫描命令都失败并显示错误消息。要临时解决这个问题,以 root 用户身份运行 yum install atomic 命令安装 atomic 软件包。(BZ#1356547)

CIL 没有单独的 module 语句

新的 SELinux 用户空间在模块存储中使用 SELinux 通用中间语言(CIL)。CIL 将文件视为模块,且没有单独的 module 语句,该模块以文件名命名。因此,当策略模块的名称与其基本文件名不同时,这可能会导致混淆,而 semodule -l 命令不会显示模块版本。Additionaly, semodule -l 不显示禁用的模块。要临时解决这个问题,请使用 semodule --l=full 命令列出所有模块。(BZ#1345825)

第 60 章 服务器和服务

ReaR 创建两个 ISO 镜像,而不是创建一个

在 ReaR 中,OUTPUT_URL 指令为包含救援系统的 ISO 镜像指定位置。目前,在设置此指令时,ReaR 会创建 ISO 镜像的两个副本:一个位于指定的目录中,另一个位于 /var/lib/rear/output/ 默认目录中。镜像需要额外的空间。当将全系统备份包含在 ISO 镜像(使用 BACKUP=NETFSBACKUP_URL=iso:///backup/ 配置)时,这一点尤其重要。
要临时解决这个问题,请在 ReaR 完成后删除额外的 ISO 镜像,以避免使用双存储消耗一段时间,在默认目录中创建镜像,然后手动将其移到所需的位置。
有一个增强来更改此行为,并使 ReaR 只创建一个 ISO 镜像副本。(BZ#1320552)

dovecotfirst_valid_uid 的默认值已更改

在 Red Hat Enterprise Linux 7 中,dovecot 中的 first_valid_uid 的默认配置改为 1000,以匹配在 /etc/login.defs 文件中指定为 UID_MIN 的系统范围配置。如果系统将 UID_MIN 手动更改为 500,并且依赖于 dovecot 默认值,dovecot 将不会为 ID 低于 first_valid_uid 的用户。因此,如果您具有 ID 小于 1000 的常规用户,您必须更新 first_valid_uid。完成此操作后,dovecot 将按预期工作。(BZ#1280433)

第 61 章 存储

不支持集群中 RAID 上的精简置备

虽然 RAID 逻辑卷和精简置备的逻辑卷可以在只激活时在集群中使用,但目前不支持集群中的 RAID 上的精简置备。即使组合被单独激活,也是如此。目前,只有 LVM 的单个机器非集群模式才支持这个组合。(BZ#1014758)

使用镜像片段类型时,与 lvmetad 守护进程交互问题。

当使用旧的 镜像 片段类型创建带有 3 个或更多 leg 的镜像逻辑卷时,可能会存在与 lvmetad 守护进程的交互问题。只有在第二个设备失败后观察到的问题,当将镜像错误策略设置为非默认 分配 选项时,才会使用 lvmetad,且设备失败事件之间没有重启机器。最简单的解决方法是在 lvm.conf 文件中设置 use_ lvmetad = 0 来禁用 lvmetad。
raid1 segment 类型不会出现这些问题,这是 Red Hat Enterprise Linux 7 的默认类型。(BZ#1380521)

在具有 RAID4 和 RAID10 逻辑卷的系统上 Red Hat Enterprise Linux 7.3 升级的重要限制

在具有 RAID4 和 RAID10 逻辑卷的系统上,以下重要限制适用于 Red Hat Enterprise Linux 7.3 升级:
  • 不要将现有 LVM RAID4 或者 RAID10 逻辑卷的任何系统升级到 Red Hat Enterprise Linux 7.3,因为这些逻辑卷将无法激活。所有其他类型都不受影响。
  • 如果您没有现有的 RAID4 或者 RAID10 逻辑卷且您升级,请不要创建新的 RAID4 逻辑卷,因为它们可能无法激活后续发行版本和更新。在 Red Hat Enterprise Linux 7.3 中创建 RAID10 逻辑卷是安全的。
  • z-stream 修复正在工作,以允许激活现有的 RAID4 和 RAID10 逻辑卷,以及使用 Red Hat Enterprise Linux 7.3 创建新 RAID4 逻辑卷。(BZ#1385149)

如果没有到 iSCSI 目标的网络路径,系统有时会变得无响应

在使用 iSCSI 目标时,需要一个从发起方到目标的连续多路径,因为 zfcp 连接的 SCSI 逻辑单元号(LUN)需要它。如果交换位于 iSCSI 上,且当网络路径出现错误恢复时系统面临内存压力,则系统需要一些额外的内存才能恢复错误。因此,该系统可能会变得无响应。要临时解决这个问题,至少有一个工作网络路径到 iSCSI 目标,以便从交换可能获取内存。(BZ#1389245)

lvextend 命令返回的退出代码已更改

在以前的版本中,如果 lvextendlvresize 命令以会导致逻辑卷大小更改的方式运行,则仍然会尝试重新定义文件系统大小。不再进行不必要的尝试重新定义文件系统大小,这会导致命令的退出代码改变。LVM 不保证退出代码的一致性为零(成功)和非零(失败)。(BZ#1354396)

第 62 章 虚拟化

无法将某些虚拟机从 Red Hat Enterprise Linux 7.2 迁移到 7.3 主机

在此次更新之前,IBM Power 客户机虚拟机上会忽略任何未明确指定 的模型 值的 USB 控制器的 PCI 地址。这个程序错误已被解决,但因为 USB 控制器的不同 PCI 地址,无法执行使用描述的 USB 控制器到 Red Hat Enterprise Linux 7.3 主机的客户机,因为 USB 控制器的不同 PCI 地址。
要临时解决这个问题,请编辑客户机 XML 文件,并在 USB <controller> 元素中添加带有 pci-ohci 值的 model 属性,例如:
<controller type='usb' model='pci-ohci' index='0'>
  <address type='pci' domain='0x0000' bus='0x00' slot='0x05' function='0x0'/>
</controller>
之后,关闭客户机并再次启动它以使更改生效。因此,客户机可以从 Red Hat Enterprise Linux 7.2 迁移到 7.3。(BZ#1357468)

numad 更改 QEMU 内存绑定

目前, numad 守护进程无法区分数字集和内存绑定设置的内存绑定,由进程的内存映射显式设置。因此,数字 会更改 QEMU 内存绑定,即使 QEMU 命令行中指定了 NUMA 内存策略。要临时解决这个问题,如果客户机中指定了手动 NUMA 绑定,请禁用 numad。这样可确保虚拟机中配置的手动绑定不会被 numad 更改。(BZ#1360584)

QEMU 进程的内存用量在没有映射 hugetlbfs 页面的情况下显示

在计算进程内存用量时,内核不会考虑映射的 hugetlbfs 页面。因此,当虚拟机被配置为使用巨页时,topps 等命令会显示 QEMU 进程的内存用量,没有映射的 hugetlbfs 页面。(BZ#1221443)

qemu-kvm 以下 2.6.0 版本无法加载 2.88 MB 软盘磁盘

当使用版本 2.6.0 以下的 qemu-kvm 软件包时,如果客户机已启动后插入了 2.88 MB 软盘,KVM 客户机将无法载入它。要临时解决这个问题,请在引导客户机前插入软盘,或使用 qemu-kvm 2.6.0 或更高版本。(BZ#1209707)

第 63 章 Atomic Host 和容器

SELinux 会阻止 Docker 运行容器

由于 /usr/bin/docker-current 二进制文件缺少标签,Docker 会被 SELinux 运行容器。(BZ#1358819)

附录 A. 组件版本

本附录是 Red Hat Enterprise Linux 7.3 发行版本中的组件及其版本列表。
表 A.1. 组件版本
组件
版本
内核
3.10.0-514
QLogic qla2xxx 驱动程序
8.07.00.33.07.3-k1
QLogic qla4xxx 驱动程序
5.04.00.00.07.02-k0
Emulex lpfc 驱动程序
0:11.1.0.2
iSCSI initiator utils
iscsi-initiator-utils-6.2.0.873-35
DM-Multipath
device-mapper-multipath-0.4.9-99
LVM
lvm2-2.02.166-1

附录 B. 按组件的 Bugzillas 列表

本附录提供了本书中包含的所有组件及其相关 Bugzilla 的列表。公共 Bugzilla 号包括到 Bugzilla 详情的链接。
表 B.1. 按组件的 Bugzillas 列表
组件新功能显著的程序漏洞修复技术预览已知问题
389-ds-baseBZ#1018944, BZ#1209094, BZ#1209128, BZ#1273549, BZ#1290111, BZ#1349571BZ THE86512, BZ1273555, BZ 1271278567, BZ39)1278755, BZ0471278987, BZ0471288229, BZ0471290242, BZ39)1290600, BZ39)95947, BZ0471302823, BZ0471303641, BZ1304682, BZ1307151, BZ1310848, BZ0471314557, BZ0471315893, BZ1316580, BZ39)1320715, BZ 321124, BZ1331343, BZ39)1332709, BZ0471340307, BZ0471342609, BZ39)55760, BZ0471360447, BZ0471370300BZ#1206301 
MySQL-pythonBZ#1266849   
NetworkManagerBZ#1142898, BZ#1259063, BZ#1262922, BZ#1367916BZ#1255507  
TPS   BZ#1274096, BZ#1379379
WALinuxAgentBZ#1387783   
abrtBZ#1277848, BZ#1277849, BZ#1281312   
accountsservice BZ#1341276  
adwaita-qtBZ#1306307   
anacondaBZ#1101653, BZ#1240379, BZ#1254368BZ0471255280, BZ39)55801, BZ39)1259437, BZ39)65330, BZ39)66199, BZ39)67203, BZ39)67872, BZ39)68792, BZ39)1269195, BZ39)1271766 BZ#1356966, BZ#1363831, BZ#1369818, BZ#1370173, BZ#1380224, BZ#1380277, BZ#1383718
anaconda-user-help BZ#1260071, BZ#1275285  
arpwatchBZ#1291722   
auditBZ#1127343, BZ#1296204   
bash   BZ#1185416
bindBZ#1220594, BZ#1306610BZ#1278082, BZ#1294506  
bind-dyndb-ldap   BZ#1413805
binutilsBZ#1276755, BZ#1335313, BZ#1335684, BZ#1341730, BZ#1364516BZ#1243559, BZ#1300543  
booth  BZ#1302087 
brltty BZ#1324672  
certmonger BZ#1367683  
chkconfigBZ#1291340   
cifs-utils BZ#1289454, BZ#1351618  
clufter  BZ#1212909, BZ#1343661 
control-center BZ#1298951, BZ#1298952  
coreutilsBZ#1280357BZ#1284906, BZ#1309247, BZ#1321648  
corosync BZ#1289169, BZ#1306349, BZ#1336462  
cpuidBZ#1307043   
crashBZ#1292566   
crash-ptdump-commandBZ#1298172   
criu  BZ#1296578 
cups BZ#1302055  
curlBZ#1263318BZ#1260178, BZ#1269855, BZ#1275769  
custodiaBZ#1206288   
dbus BZ#1325870  
device-mapper-multipathBZ39)97456, BZHQ1299651, BZ39)1299652, BZ39)1300415, BZ1311659, BZ 1311659 , BZ39)33331, BZ39)41748, BZ39)1348372, BZ1353357BZ39)41528, BZ39)1241774, BZ39)53913, BZ39)55885, BZ39)69293, BZ39)1272620, BZ39)80524, BZ39)83750, BZ39)88660, BZ39)1291406, BZ39)9239), BZ39)96979, BZ39)1299600, BZ0471299648, BZ04704687, BZHQ11463, BZ0471313324, BZ0471319853, BZ0471323429, BZ39)1333492, BZ39)47769, BZ11450931, BZ04756651, BZ0471363830, BZ04768501  
device-mapper-persistent-dataBZ#1315452   
distributionBZ#1272603, BZ#1297815, BZ#1374826  BZ#1062656
dmraid BZ#1315644, BZ#1348289  
docker   BZ#1358819
dovecotBZ#1229164  BZ#1280433
dracutBZ#1359144BZ#1276983 BZ#1373129
efibootmgrBZ#1271412   
elfutilsBZ#1296313   
ethtoolBZ#1318316   
fence-agents BZ#1313561  
firewalldBZ#1147500, BZ#1302802   
freerdp BZ#1275241  
ftp BZ#1304064  
gccBZ#1182152, BZ#1213268, BZ#1304449BZ#1289022, BZ#1357060  
gcc-librariesBZ#1265252   
gdbBZ#1182151BZ#1186918, BZ#1265351, BZ#1326476  
gfs2-utilsBZ#1196321, BZ#1268045, BZ#1271674   
ghostscript BZ#1302121  
gimpBZ#1298226   
gimp-helpBZ#1370595   
glibcBZ#1211823, BZ#1213267, BZ#1268008, BZ#1292018, BZ#1296297, BZ#1298526, BZ#1335286BZ#1027348, BZ#1211100, BZ#1276753, BZ#1293916, BZ#1308728  
gnome-boxes BZ#1015199, BZ#1043950  
gnome-documents BZ#958690  
gnome-packagekit BZ#1290868  
gnome-shell-extensions BZ#1302864  
gnome-terminalBZ#1296110, BZ#1300826   
gnutlsBZ#1110750   
grub2 BZ#1226325, BZ#1279599 BZ#1154226
gssproxyBZ#1092515, BZ#1292487BZ#1340259  
hapoxy BZ#1300392  
initial-setup BZ#1249598 BZ#1378082
initscripts BZ#1281821  
ipaBZ747612, BZ047768316, BZ39)825391, BZ39)826790, BZ047837369, BZ0471084018, BZ1141146860, BZ1141200731, BZ0471211595, BZ39)12713, BZ0471224057, BZ39)74524, BZ 8787194, BZ39)1292141, BZ39)1298288, BZ39)1298848, BZ1141298966, BZ39)1314786, BZ39)1320838, BZ1141328552BZHQ96958, BZ 1351290142, BZ39)03, BZ 3181318169, BZ 4343142, BZ04748560, BZ39)1356146, BZ39)1357488, BZ 1351364113, BZ39)1368424, BZ39)1368981BZ#1115294, BZ#1298286, BZ#1317379BZ#1318616, BZ#1358457, BZ#1365858, BZ#1371479, BZ#1375133
iprouteBZ#1013584, BZ#1212026, BZ#1275426   
iprutilsBZ#1274367BZ#1297921  
iputilsBZ#1273336   
ipxeBZ#1298313   
iw BZ#1324096  
iwpmdBZ#1331651   
ixpdimm_sw  BZ#1270993 
java-1.7.0-openjdk BZ#1296413, BZ#1302385  
java-1.8.0-openjdkBZ#1245810   
kernelBZ-2020:727269, BZ047797488, BZ39)838926, BZ39)965453, BZ1141084618, BZ39)04151, BZ39)15947, BZ39)17093, BZ39)35562, BZ39)38650, BZ39)65316, BZ39)72351, BZ39)72819, BZ39)82021, BZ39)86835, BZ39)10350, BZ39)21311, BZ39)22936, BZ39)27339, BZ39)32050, BZ39)62031, BZ39)62728, BZ39)65259, BZ39)65339, BZ39)67398, BZ39)68334, BZ39)69051, BZ39)69281, BZ39)69626, BZ66570763, BZ39)73115, BZ39)73499, BZ 7474471, BZ39)75423, BZ39)75711, BZ39)75829, BZ39)76458, BZ39)78794, BZ39)80133, BZ39)83886, BZ39)86946, BZ39)87040, BZ39)89929, BZ39)85923, BZ39)96707, BZ39)97039, BZ39)97465, BZ39)98446, BZ 00665, BZ39)02101, BZ04708703, BZ 10110154, BZ39)11631, BZ39)28874, BZ39)31018, BZ39)39)78, BZ39)37587, BZ39)42989, BZ39)65689BZ0471073651,BZ THE1152231, BZ39)72496, BZ39)41, BZ39)45140, BZ39)52281, BZ39)57320, BZ39)58136, BZ39)62204, BZ39)63866, BZ39)64905, BZ39)64920, BZ39)64990, BZ39)58, BZ39)65283, BZ66578, BZ39)66948, BZ39)67339, BZ39)70244, BZ39)70586, BZ39)71860, BZ39)72833, BZ39)73807, BZ39)73978, BZ39)76477, BZ39)79617, BZ39)87322, BZ39)89314, BZ39)89630, BZ39)90202, BZ39)90441, BZ39)98618, BZ39)01451, BZ39)41633, BZ39)61407, BZ39)67257BZ39)916382, BZ39)947163, BZ39)09348, BZ39)11712, BZ39)38782, BZ 87787762, BZ39)05497, BZ39)05873, BZ39)06277, BZ39)17590, BZ39)30959, BZ39)74459, BZ299662, BZ39)02147, BZ39)05092, BZ39)34675, BZ39)48508BZHQ1058148, BZ39)21443, BZ39)74157, BZ39)93520, BZ39)15400, BZ39)49827, BZ39)51098, BZ39)67444, BZ39)68884, BZ39)85149, BZ39)87858
kernel-aarch64 BZ#1356009 BZ#1248185
kernel-rtBZ#1328607BZ#1209987, BZ#1258295, BZ#1269647, BZ#1303255BZ#1297061 
kexec-toolsBZ#1282554BZ#1180246 BZ#1372464
krb5BZ#1146945, BZ#1292153BZ#1347403  
kscBZ#906659BZ#1272348, BZ#1328384  
libcacard   BZ#1249116
libcxlBZ#1305080   
libdvdnavBZ#1068814   
libdvdreadBZ#1326238   
libguestfsBZ#1190669, BZ#1218766, BZ#1358332BZ#1173695, BZ#1225789  
libgweatherBZ#1371550   
libicaBZ#1274390   
libnftnl  BZ#1332585 
libnl3BZ#1296058   
libosinfoBZ#1257865, BZ#1282919   
libpfmBZ#1321051BZ#1276702  
libreofficeBZ#1290148   
libreportBZ#1258482, BZ#1289513   
libstoragemgmt  BZ#1119909 
libusnic_verbs  BZ#916384 
libvirtBZ#735385, BZ#846810, BZ#1215968, BZ#1325996BZ#1197592 BZ#1357468
libvmaBZ#1271624   
libvpdBZ#1182031   
logrotate BZ#1272236  
lorax BZ#1272658 BZ#1341280
lvm2BZ0471131777, BZ0471189221, BZ39)1286285, BZ0471299977, BZ0471329235, BZ0471348336, BZ39)1364244, BZ1371597BZ#1274676BZ#1191630BZ#1014758, BZ#1354396, BZ#1380521
mcelogBZ#1336431   
mdadm BZ#1174622, BZ#1290494, BZ#1300579, BZ#1312837, BZ#1347749, BZ#1347762 BZ#1067292
memkindBZ#1210910   
memtest86+BZ#1280352   
mesaBZ#1263120   
microcode_ctl BZ#1292158  
mod_auth_openidcBZ#1292561   
mod_security_crsBZ#1150614   
mtx BZ#1298647  
Mutter   BZ#1360906
nautilus BZ#1207646  
ndctlBZ#1271425   
nettleBZ#1252936   
nfs-utils   BZ#1359042
numactl BZ#1270734  
numad   BZ#1360584
nvme-cliBZ#1344730   
nvmlBZ#1274541   
opal-prdBZ#1224121   
open-vm-toolsBZ#1268537   
opencryptokiBZ#1185421   
openldapBZ#1292568BZ#1249093  
openscapBZ#1278147  BZ#1356547
opensslBZ#1225379   
oprofileBZ#1310950, BZ#1310951BZ#1264443, BZ#1272136, BZ#1335145 BZ#1349077
os-prober BZ#1300262  
oscap-anaconda-addon   BZ#1372791
其他BZ 78795, BZ1354626, BZ39)68484, BZ39)79689, BZ0471388471, BZ04789121, BZ1141389316, BZ39)1390661, BZ1141396085BZ#1262007, BZ#1360188, BZ#1360338, BZ#1369837BZ#1062759, BZ#1072107, BZ#1259547BZ#1350802, BZ#1358836, BZ#1389245, BZ#1390565
OVMF  BZ#653382 
pacemakerBZ#1288929, BZ#1303765BZ39)19188, BZ0471268313, BZ39)1284069, BZ39)86316, BZ39)1287315, BZ39)87868, BZ39)37688, BZ39)1338623, BZ1346726  
pamBZ#1273373   
pam_krb5 BZ#1263745  
pam_pkcs11   BZ#1367919
papi BZ#1263666, BZ#1277931, BZ#1357587  
pavucontrolBZ#1210846   
pcpBZ#1284307   
pcsBZ#1164402, BZ#1315371, BZ#1315652, BZ#1327739 BZ#1158805, BZ#1305049 
Perl BZ#1223045, BZ#1263734, BZ#1344749, BZ#1365991  
perl-IO-Socket-SSLBZ#1316377   
perl-Net-SSLeayBZ#1316379   
perl-Socket BZ#1200167  
pesign   BZ#1141263
phpBZ#1291667   
pidginBZ#1066457   
pki-coreBZ39)24365, BZ39)24642, BZ0471289323, BZ39)1302136, BZ0471303175, BZ0471305622, BZ39)13039)2, BZ 13021491, BZ39)1327683, BZ1347466, BZ39)53005, BZ04758439BZ#1082663, BZ#1224382, BZ#1274419, BZ#1308772, BZ#1329365, BZ#1331596 BZ#1246635, BZ#1376488
policycoreutils   BZ#1345825
polkit BZ#1310738  
poppler BZ#1298616, BZ#1299479, BZ#1299481, BZ#1299490, BZ#1299500, BZ#1299503, BZ#1299506  
powerpc-utils BZ#1347083, BZ#1366512  
procps-ng BZ#1169349, BZ#1262864, BZ#1284087  
protobuf-cBZ#1289666   
psacct BZ#1249665  
pykickstart BZ#1290244  
PythonBZ#1289277, BZ#1315758   
python-blivet BZ#1031589, BZ#1242666, BZ#1257997 BZ#1270883
python-dns BZ#1312770  
python-gssapiBZ#1292139   
python-netifacesBZ#1303046   
python-pycurlBZ#1260407BZ#1153321  
python-rhsmBZ#1104332, BZ#1346417   
python-schedutilsBZ#948381   
python-sphinx BZ#966954, BZ#1291573  
qemu-kvmBZ#1327599BZ#1265427, BZ#1299116, BZ#1299250BZ#1103193BZ#1209707
quotaBZ#1155584BZ#1072858, BZ#1207239, BZ#1305968  
realmdBZ#1293390  BZ#1370457
rear   BZ#1320552
resource-agents BZ#1325453  
rhythmboxBZ#1298233   
rpm  BZ#1278924 
rsyslogBZ#1223566, BZ#1303617   
RT-testsBZ#1346771   
rteval BZ#1312057  
RubyBZ#1197720   
sambaBZ#1263322, BZ#1303076BZ#1316899  
sapconf BZ#1228550, BZ#1235608  
scap-security-guide   BZ#1378489
scap-workbenchBZ#1202854   
selinux-policy BZ#1097775, BZ#1349356  
servicelogBZ#1182028   
sg3_utilsBZ#1170719BZ#1298739  
shadow-utilsBZ#1114081   
scsBZ39)87258, BZ39)1246423, BZ39)93044BZ#1296813  
squidBZ#1273942   
sssdBZ047789477, BZ790113, BZ39)874985, BZ047879333, BZ047988207, BZ0471007969, BZ0471031074, BZ39)1059272, BZ 40040022, BZ39)1287209, BZ0471290380, BZ0471310877, BZ047 1310809BZ#1300663, BZ#1369118, BZ#1373420BZ#1068725, BZ#1311056BZ#888739, BZ#1372814, BZ#1380436, BZ#1389796, BZ#1392441
sssd-docker  BZ#1200143 
strongimcv  BZ#755087 
subscription-managerBZ#874735, BZ#1336880, BZ#1336883   
swigBZ#1136487   
sysstatBZ#1258990, BZ#1332662BZ#846699, BZ#1224882, BZ#1267972, BZ#1328490  
system-config-kdump BZ#1121590, BZ#1208191  
system-config-languageBZ#1328068   
system-switch-javaBZ#1283904   
systemdBZ#1142378, BZ#1265749, BZ#1305279BZ#1230210, BZ#1266934, BZ#1267707, BZ#1301990, BZ#1306126, BZ#1308795, BZ#1360160BZ#1284974 
systemtapBZ#1289617   
tcshBZ#1315713   
telnetBZ#1323094   
tftpBZ#1311092   
tomcatBZ#1133070, BZ#1287928BZ#1201409, BZ#1208402, BZ#1221896, BZ#1240279, BZ#1277197  
tuned BZ0471243807, BZHQ1249618, BZHQ 1322001, BZ0471323283, BZ39)1334479, BZ39)1346715  
unboundBZ#1245250   
unzip BZ#1276744  
util-linuxBZ#587393, BZ#1153770, BZ#1298384   
valgrindBZ#1271754, BZ#1296318   
vinagreBZ#1291275   
virt-manager BZ#1282276  
virt-whoBZ#1245035, BZ#1278637, BZ#1286945   
vteBZ#1103380   
xfsprogsBZ#1309498   
xorg-x11-server BZ#1326867  
xzBZ#1160193   
yumBZ#1186690, BZ#1274211   
yum-langpacks BZ#1251388, BZ#1263241  
yum-utilsBZ#1192946, BZ#1335587   
zlib BZ#1127330  
zsh BZ0471267251, BZ0471267912, BZHQ1291782, BZ 1302229 , BZ1302229, BZ0471321303, BZ39)1338689  

附录 C. 修订历史记录

修订历史
修订 0.3-1Fri Apr 17 2020Jaroslav Klech
从第 3 章中删除了 soft_watchdog 内核参数。
修订 0.3-0Thu Feb 27 2020Jaroslav Klech
添加了 BZ39)51632 (内核)的已知问题备注。
修订 0.2-9Mon Oct 07 2019Jiří Herrmann
阐明与 OVMF 相关的技术预览备注。
修订 0.2-8Sun Apr 28 2019Lenka Špačková
改进了技术预览功能描述(文件系统)的词语。
修订 0.2-7Mon Feb 04 2019Lenka Špačková
改进了本书的结构。
修订 0.2-6Tue Apr 17 2018Lenka Špačková
更新了与 sslwrap () 弃用相关的建议。
修订 0.2-5Tue Feb 06 2018Lenka Špačková
添加了缺少的技术预览 - OVMF (虚拟化)。
添加了有关使用 libvirt-lxc 工具弃用容器的信息。
修订 0.2-4Mon Oct 30 2017Lenka Špačková
向已弃用的功能中添加了有关 ld linker 行为的更改的信息。
修订 0.2-3Wed Oct 11 2017Lenka Špačková
修复了 megaraid_sas 已知问题(内核)的临时解决方案。
修订 0.2-2Wed Sep 13 2017Lenka Špačková
添加了对 Xorg 服务器中视觉支持的有限支持的信息。
修订 0.2-1Fri Jul 14 2017Lenka Špačková
向技术预览(内核)中添加了 kexec
修订 0.2-0Fri Jun 23 2017Lenka Špačková
改进了 iostat 程序错误修复描述。
修订 0.1-9Wed May 03 2017Lenka Špačková
在集群中添加了新的 Pacemaker 功能。
修订 0.1-8Thu Apr 27 2017Lenka Špačková
Red Hat Access Labs 重命名为红帽客户门户网站 Labs。
修订 0.1-7Thu Mar 30 2017Lenka Špačková
为存储添加了一个新功能。
修订 0.1-6Thu Mar 23 2017Lenka Špačková
更新了 firewalld rebase 描述(安全)。
将与 SELinux 相关的程序错误修复描述移到正确的章节(安全)中。
修订 0.1-4Tue Feb 14 2017Lenka Špačková
更新了 samba rebase 描述(身份验证和互操作性)。
修订 0.1-2Fri Jan 20 2017Lenka Špačková
添加了与 bind-dyndb-ldap (身份验证和互操作性)相关的已知问题。
修订 0.1-1Fri Dec 16 2016Lenka Špačková
IBM z 系统的运行时检查已移至完全支持的功能(启用)。
添加了有关默认注册 URL (系统和订阅管理)的信息。
添加了 Extras 频道(虚拟化)中的 WALinuxAgent rebase 的备注。
添加了 ABRT reporter-upload 工具(组合和工具)可配置的 SSH 密钥文件的备注。
修订 0.1-0Fri Nov 25 2016Lenka Špačková
向技术预览(启用)添加了 Intel DIMM 管理工具。
添加了已知问题(内核)。
修订 0.0-9Mon Nov 21 2016Lenka Špačková
更新了已知问题(身份验证、互操作性、安装和引导)和新功能(组合和工具、内核、存储)。
修订 0.0-8Thu Nov 03 2016Lenka Špačková
发布 Red Hat Enterprise Linux 7.3 发行注记。
修订 0.0-3Thu Aug 25 2016Lenka Špačková
发布 Red Hat Enterprise Linux 7.3 Beta 发行注记。

法律通告

Copyright © 2016-2019 Red Hat, Inc.
本文档由红帽根据 Creati ve Commons Attribution-ShareAlike 3.0 Unported License 许可。如果您发布本文档或修改的版本,则必须向 Red Hat, Inc. 提供相关内容,并提供到原始链接。如果修改了文档,则必须删除所有红帽商标。
作为本文档的许可者,红帽可能会放弃强制制执行 CC-BY-SA 第4d 条款,且不声明该条款在适用条款允许的最大限度内有效。
Red Hat、Red Hat Enterprise Linux、SVVP 徽标、红帽徽标、JBoss、OpenShift、Fedora、Infinity 商标,Red Hat, Inc. 在美国和其他国家的注册商标。
Linux® 是 Linus Torvalds 在美国和其它国家的注册商标。
Java® 是 Oracle 和/或其关系的注册商标。
XFS® 是 Silicon 图形国际公司或其子公司在美国和/或其他国家的商标。
MySQL® 是美国、英国和其他国家的 MySQL AB 注册商标。
Node.js® 是 Joyent 的官方商标。红帽与官方 Joyent Node.js 开源社区或商业项目没有正式关联。
OpenStack® Word Mark 和 OpenStack 徽标是 OpenStack Foundation 在美国及其他国家的注册商标/服务标记或商标/服务标记,可根据 OpenStack Foundation 授权使用。我们不附属于 OpenStack Foundation 或 OpenStack 社区。
所有其他商标均由其各自所有者所有。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.