9.3 发行注记

支持 AWS EC2 镜像的传统的和 UEFI 引导

在以前的版本中，RHEL 镜像构建器创建 EC2 AMD 或 Intel 64 位架构 AMI 镜像，但只支持旧的引导类型。因此，无法利用需要 UEFI 引导的某些 AWS 功能，如安全引导。此增强扩展了 AWS EC2 AMD 或 Intel 64 位架构 AMI 镜像，以支持 UEFI 引导，以及旧的 BIOS 引导。因此，现在可以利用需要带有 UEFI 引导的镜像的 AWS 功能。

新的引导选项 inst.wait_for_disks= 为加载 Kickstart 文件或内核驱动程序添加了等待时间

有时，在引导过程中可能需要过几秒钟才能从带有 OEMDRV 标签的设备加载 Kickstart 文件或内核驱动程序。要调整等待时间，您现在可以使用新的引导选项 inst.wait_for_disks=。使用这个选项，您可以指定安装前要等待多少秒。默认时间被设置为 5 秒，但您可以使用 0 秒来最小化延迟。有关这个选项的更多信息，请参阅 存储引导选项。

在使用 GUI 和 TUI 在 ARM 上安装 RHEL 时能够选择所需的内核

在以前的版本中，您只能使用 Kickstart 方法在带有 kernel-64k 页大小的 ARM 上安装 RHEL。有了此更新，您现在可以使用 GUI 或 TUI 在 ARM 上安装 RHEL，并选择所需的内核版本。选择所需内核的选项在 Kernel Options 下的 Software Selection 屏幕上提供。

支持 VMware VSphere (OVA)

此更新添加了对使用 RHEL 镜像构建器构建 VMware VSphere OVA 文件的支持。Open Virtual Appliance(OVA)文件是 VMware VSphere 虚拟化应用程序使用的虚拟设备。OVA 文件包含用于描述虚拟机的文件，如 OVF 描述符文件、一个或多个虚拟机磁盘镜像文件(VMDK)、可选的清单(MF)和证书文件。通过使用 VMware VSphere (.ova)，您可以使用 vSphere GUI 客户端更轻松地将镜像部署到 VMware vSphere。在引导镜像前，您可以进一步自定义生成的虚拟机。

新的 network Kickstart 选项来控制 DNS 处理

现在，您可以使用带有以下新选项的 network Kickstart 命令控制 DNS 处理。通过 --device 选项使用这些新选项。

最小 RHEL 安装现在只安装 s390utils-core 软件包

在 RHEL 8.4 及之后的版本中，s390utils-base 软件包被分成 s390utils-core 软件包，以及一个辅助 s390utils-base 软件包。因此，将 RHEL 安装设置为 minimal-environment 只安装必要的 s390utils-core 软件包，而不是辅助 s390utils-base 软件包。如果要在最小 RHEL 安装中使用 s390utils-base 软件包，您必须在完成 RHEL 安装后手动安装软件包，或使用 Kickstart 文件显式安装 s390utils-base。

Keylime rebase 到版本 7.3.0

Keylime 软件包已更新至上游版本 7.3.0。这个版本提供各种改进和 bug 修复。最值得注意的是，allow 和 exclude 列表被合并到 Keylime 运行时策略中。您可以使用 convert_runtime_policy.py 脚本合并这两个列表。

Keylime 的端口在 SELinux 策略中有严格的规则

Keylime 使用的端口现在在 Keylime SELinux 策略中被标记为 keylime_port_t。策略现在允许具有此标签的端口的 TCP 连接。这是因为之前的 Keylime SELinux 策略允许连接到所有未定义端口，而且 Keylime 使用的大多数端口也位于 undefined 组中。因此，这个更新会增加 Keylime SELinux 策略的粒度，端口安全性可以更严格，更有针对性。

审计现在支持 FANOTIFY 记录字段

这个 audit 软件包的更新引进了对 FANOTIFY 审计记录字段的支持。审计子系统现在在 AUDIT_FANOTIFY 记录中记录其他信息，特别是：

fapolicyd 现在为故障排除提供规则号

有了这个增强，新的内核和审计组件允许 fapolicyd 服务发送导致拒绝 fanotify API 的规则号。因此，您可以更精确地对与 fapolicyd 相关的问题进行故障排除。

crypto-policies 现在在 FIPS 模式下为 TLS 1.2 连接提供 NO-ENFORCE-EMS 子策略

系统范围的加密策略现在包含 NO-ENFORCE-EMS 子策略。应用新子策略后，对于在 FIPS 模式下协商的所有 TLS 1.2 连接，系统不再需要 Extended Master Secret (EMS)扩展(RFC 7627)。这可允许系统连接到不支持 EMS 或 TLS 1.3 的旧系统。请注意，这违反了 FIPS-140-3 标准的要求。您可以通过输入 update-crypto-policies --set FIPS:NO-ENFORCE-EMS 来应用子策略。

在 FIPS 模式下，GnuTLS 需要带有 TLS 1.2 的 EMS

为了遵守 FIPS-140-3 标准，对于在 FIPS 模式下协商的所有 TLS 1.2 连接，GnuTLS 服务器和客户端需要 Extended Master Secret (EMS)扩展(RFC 7627)。如果您的场景需要保持与不支持 EMS 且无法使用 TLS 1.3 的旧服务器和客户端的兼容性，您可以应用 NO-ENFORCE-EMS 系统范围的加密策略：

NSS 现在在 FIPS 模式下强制实施 EMS

网络安全服务(NSS)库现在包含 TLS-REQUIRE-EMS 策略，来要求所有 TLS 1.2 连接的 Extended Master Secret (EMS)扩展(RFC 7627)，如 FIPS 140-3 标准强制的那样。当系统范围的加密策略被设置为 FIPS 时，NSS 使用新策略。

OpenSSL 现在支持在 FIPS 模式下禁用 EMS

现在，您可以通过编辑 /etc/pki/tls/fips_local.cnf 文件，在 FIPS 模式下将 OpenSSL 加密库配置为允许没有 Extended aster Secret (EMS)扩展(RFC 7627)的 TLS 1.2 连接。在您选择的文本编辑器中，在配置文件中添加以下部分：

OpenSSH 进一步强制实施 SHA-2

出于加密目的，作为从不太安全的 SHA-1 消息摘要中进一步迁移努力的一部分，OpenSSH 中进行了以下更改：

OpenSSL 现在包含针对类似 Bleichenbacher 的攻击的保护

这个 OpenSSL TLS 工具包发行版本引入了类似对 RSA PKCS #1 v1.5 解密过程的 Bleichenbacher 攻击的保护。如果 RSA 解密在 PKCS #1 v1.5 解密过程中检测到一个错误，则它现在返回一个随机生成的确定性消息，而不是一个错误。这个变化提供了对漏洞的通用保护，如 CVE-2020-25659 和 CVE-2020-25657。

OpenSSL 现在支持通过 Groups 选项配置 Brainpool 曲线

这个 OpenSSL TLS 工具包的更新引进了对 Elliptic Curve Cryptography (ECC)中 Brainpool 曲线的支持。另外，您可以通过 Groups 配置选项使用系统范围的加密策略控制曲线。

crypto-policies 现在支持 OpenSSL ECC Brainpool 曲线

有了此系统范围加密策略的更新，您现在可以使用 group 选项控制 OpenSSL 中的以下 Brainpool Elliptic Curve Cryptography (ECC)曲线：

crypto-policies 现在默认使用与 OpenSSL 相同的组顺序

在这个发行版本中，系统范围的加密策略(crypto-policies)在 OpenSSL Groups 配置选项中控制组顺序。要在 OpenSSL 中保留性能，crypto-policies 使用与 OpenSSL 内置首选项的顺序匹配的默认组顺序。因此，支持 crypto-policies 控制组顺序的 RHEL 加密后端，如 GnuTLS，现在使用与 OpenSSL 相同的顺序。

crypto-policies permitted_enctypes 不再在 FIPS 模式下破坏复制

在此更新前，运行在 RHEL 8 上的 IdM 服务器发送一个 AES-256-HMAC-SHA-1- 加密服务票据，该票据表示在 FIPS 模式下运行 RHEL 9 的一个 IdM 副本。因此，默认的 permitted_enctypes krb5 配置破坏了 RHEL 8 IdM 服务器和 FIPS 下 RHEL 9 IdM 副本之间的复制。

pcsc-lite-ccid rebase 到 1.5.2

pcsc-lite-ccid 软件包已更新至版本 1.5.2。此版本提供各种程序错误修复和增强，最重要的是：

OpenSC rebase 到 0.23

opensc 软件包已更新至版本 0.23。此版本提供各种程序错误修复和增强，最重要的是：

setools rebase 到 4.4.3

setools 软件包已更新至版本 4.4.3。此版本提供各种程序错误修复和增强，最重要的是：

SELinux 策略中限制的其他服务

此更新将额外的规则添加到限制以下 systemd 服务的 SELinux 策略中：

OpenSCAP rebase 到 1.3.8

OpenSCAP 软件包已更新到上游版本 1.3.8。此版本提供各种程序错误修复和增强，最重要的是：

SCAP 安全指南 rebase 到版本 0.1.69

SCAP 安全指南(SSG)软件包已 rebase 到上游版本 0.1.69。这个版本提供各种改进和 bug 修复。最值得注意的是，它引入了与西班牙国家加密中心于 2022 年 10 月发布的 CCN-STIC-610A22 指南一致的 RHEL 9 的三个新 SCAP 配置文件：

ANSSI-BP-028 安全配置文件已更新至版本 2.0

SCAP 安全指南中的以下法国信息系统安全局(ANSSI) BP-028 已更新，以与版本 2.0 保持一致：

python3-greenlet-devel 现在在 CRB 中 提供

python3-greenlet-devel 软件包现在在 CodeReady Linux Builder (CRB)存储库中提供，您必须明确启用该存储库。如需更多信息，请参阅 如何启用和使用 CodeReady Linux Builder 中的内容 知识库文章。请注意，不支持 CRB 存储库中包含的软件包。

SSG 规则，用来检查 pam_wheel.so 模块使用的组是否已简化

CIS Benchmark 需要限制 su 命令，而使用 sudo 命令。SCAP 安全指南(SSG)通过 pam_wheel.so 模块来满足这个要求，该模块将 su 命令限制到特定的组。此更新改进了检查这个组是否存在且没有成员的规则。因此，规则效率更高，并简化了评估报告的解释。

提供了新的 FIDO Device Onboarding Servers 容器镜像

以下用于加入 IoT 和边缘计算设备的 FIDO Device Onboarding Servers 容器镜像在 红帽容器目录 中提供：

minimal-raw 镜像类型现在支持 64 位 ARM 架构

有了这个增强，您可以创建一个支持 64 位 ARM 架构以及 AMD 和 Intel 64 位构架的 minimal-raw 镜像类型。minimal-raw 镜像是预先打包的、可引导的、最小 RPM 镜像，以 xz 格式压缩。要引导镜像，您必须解压缩它，并将其复制到任何可引导设备上，如 SD 卡。要解压缩镜像，请运行以下命令：

现在支持 Commit ID 作为 composer-cli CLI 的 --parent 参数的值

现在，您可以将镜像 Commit ID 用作 composer-cli 命令行 --parent 参数的值。要获取镜像 Commit ID，请下载并提取 RHEL for Edge Commit 镜像。您可以在提取的 .tar 文件中找到 ref 名称和提交 ID。

对构建 RHEL for Edge .ami 镜像的支持

有了此增强，您可以使用内部 RHEL 镜像构建器为 RHEL for Edge 构建 .ami 镜像。在初始引导过程中，您可以使用 Ignition 自定义蓝图，来将凭证注入到镜像中。您可以将 .ami 镜像上传到 AWS，并在 AWS 中引导 EC2 实例。

支持为 RHEL for Edge 构建 .vmdk 镜像

有了此增强，您可以使用内部 RHEL 镜像构建器为 RHEL for Edge 构建 .vmdk 镜像。您可以使用 Ignition 自定义蓝图，以便在初始引导过程中将凭证注入到镜像中。您可以在 vSphere 上载入镜像，并在虚拟机 vSphere 中引导镜像。该镜像与 ESXi 7.0 U2、ESXi 8.0 及之后的版本兼容。虚拟机与版本 19 和 20 兼容。

现在，您可以在不设置密码的情况下以初始用户身份登录到 Edge 系统

在以前的版本中，以 FDO 载入过程中创建的初始用户身份登录无法正常工作，因为系统要求的密码没有使用 useradd 命令设置。有了这个增强，密码现在设置为可选，即使您之前没有使用 useradd 命令设置密码，您也可以登录。请注意，您可以在不输入密码的情况下使用 SSH 密钥登录，如果失败，会提示您输入密码。

升级后自动重启新的 DNF Automatic reboot 选项

有了这个增强，您可以使用 DNF Automatic reboot 选项将您的系统设置为自动重启，以便在升级后应用更改。

新的 --poweroff 选项允许您在安装更新后关闭系统

有了此增强，新的 --poweroff 选项已添加到 dnf system-upgrade 插件的 reboot 命令中。您可以在安装更新而不是重启后使用这个选项来关闭系统。

新的 dnf leaves 和 show-leaves 插件现在可用于 DNF API

有了此增强，提供了以下新的 DNF 插件，其列出了系统上安装的不是作为其他安装的软件包的依赖项所需的软件包：

NetBackup 服务现在为备份恢复启用

使用 NetBackup (NBU)备份方法时，ReaR 现在在救援镜像中包含 NetBackup 服务版本 10.1.1 的单元文件，并在救援系统引导时启动它们。因此，您可以在恢复过程中使用 NBU 备份方法恢复系统备份，并成功完成恢复。

opencryptoki rebase 到 3.21.0

opencryptoki 软件包已 rebase 到版本 3.21.0，它提供很多改进和 bug 修复。最值得注意的是， opencryptoki 现在支持以下功能：

更新的 systemd-udevd 将一致的网络设备名称分配给 InfiniBand 接口

RHEL 9 中引入的 systemd 软件包的新版本包含更新的 systemd-udevd 设备管理器。设备管理器将 InfiniBand 接口的默认名称更改为 systemd-udevd 选择的一致性名称。

Postfix 现在支持 SRV 查找

有了这个增强，您现在可以使用 Postfix DNS 服务记录解析(SRV)来自动配置邮件客户端并平衡服务器的负载。另外，您可以通过在 Postfix 配置中使用以下与 SRV 相关的选项来防止由临时 DNS 问题或错误配置的 SRV 记录导致的邮件发送中断：

通用 LF-to-CRLF 驱动程序在 cups-filters 中可用

有了这个增强，您现在可以使用通用 LF-to-CRLF 驱动程序，它为接受带有 CR+LF 字符的文件的打印机将 LF 字符转换为 CR+LF 字符。回车(CR)和换行(LF)是标记行末尾的控制字符。因此，使用这个驱动程序，您可以将来自应用程序的 LF 字符终止的文件发送到只接受 CR+LF 字符的打印机。通用 LF-to-CRLF 驱动程序是 RHEL 7 中 text-only 驱动程序的重命名版本。新名称反映了其实际功能。

ARM 上的 RHEL 现在在 RHEL 9.3 中完全支持 wifi 适配器

有了这个增强，您可以启用对 arm64 平台的多个卡的 wifi 适配器的访问。

NetworkManager 现在支持 resolv.conf 中的 no-aaaa 选项

NetworkManager 现在支持在 resolv.conf 文件中添加 no-aaaa DNS 选项。通过在 DNS 选项设置中使用 no-aaaa 值，您可以禁用 IPv6 DNS 解析。

nmstate 现在支持混合静态 DNS 搜索和动态 DNS 名称服务器

nmstate 框架现在支持静态域名系统(DNS)搜索域和动态 DNS 名称服务器，这些服务器是 nmstate 从动态主机配置协议(DHCP)或 autoconf 机制获得的。在以前的版本中，静态 DNS 搜索域无法与动态 DNS 名称服务器共存，因为动态配置被 nmstate 丢弃了。这通常导致网络设置和管理中不必要的复杂性和限制。此功能增强旨在在管理 DNS 配置方面带来更多的灵活性。因此，nmstate 会尝试查找网络接口，以按照以下顺序存储 DNS 配置：

nmstate 现在支持 bridge.vlan-default-pvid NetworkManager 配置选项

有了此更新，您可以使用 nmstate 框架来配置 bridge.vlan-default-pvid NetworkManager 配置选项。通过使用这个选项，您可以在使用 Linux 网桥 VLAN 过滤时，为支持 VLAN 的桥接接口上的未标记流量设置默认端口 VLAN 标识符(PVID)。为此，请使用以下 YAML 配置：

NetworkManager 服务在 dbus 服务重启后立即重启

在以前的版本中，由于某些原因重启 dbus 后，NetworkManager 会停止。这个行为不是最佳的，导致了连接丢失。因此，这个增强更新了 NetworkManager，使其更加强大，并使其在 dbus 重启时自动重启。

nm-cloud-setup 工具现在支持 IMDSv2 配置

用户可以使用 nm-cloud-setup 工具配置带有实例元数据服务版本 2 (IMDSv2)的 AWS Red Hat Enterprise Linux EC2 实例。为了遵守改进的安全性，其限制对 EC2 元数据和新功能的未经授权的访问，需要 AWS 和红帽服务间的集成来提供高级功能。此功能增强使 nm-cloud-setup 工具能够获取并保存 IMDSv2 令牌，验证 EC2 环境，并使用安全 IMDSv2 令牌检索有关可用接口和 IP 配置的信息。

当使用已弃用的 ifcfg 格式时，NetworkManager 会发出通知

ifcfg 格式的连接配置文件已在 RHEL 9 中被弃用（请参阅 ifcfg 格式的 NetworkManager 连接配置文件已弃用）。有了此更新，NetworkManager 会通知用户有关此格式的弃用：

NetworkManager 现在在绑定配置中支持 lacp_active 选项

通过使用 NetworkManager，绑定配置中的 lacp_active 选项对链路聚合控制协议数据单元(LACPDU)帧提供精细控制。lacp_active 选项还调整了 LACPDU 帧的行为，并在绑定设置中控制这些帧的定期传输。要自定义网络配置，您可以通过将 lacp_active 设置为 ON 或 OFF 来启用或禁用 LACPDU 帧的定期传输。

NetworkManager 现在支持为绑定接口配置 ns_ip6_target 选项

此增强通过在 NetworkManager 中为绑定接口的 ns_i6_target 选项的配置指定最多 16 个 IPv6 地址作为监控对等点，来允许设置 arp_interval 选项。在以前的版本中，无法在 NetworkManager 中指定 IPv6 监控对等点。有了此更新，您可以使用 nmcli 工具在 bond.options 参数中配置 ns_ip6_target 选项。NetworkManager 通过启用最多 16 个 IPv6 地址的规范来将此设置应用到绑定接口。此增强同样适用于 IPv4 和 IPv6 设置。

NetworkManager 现在支持同一网络接口上的静态和 DHCP IP 配置

通过使用 nmstate 工具，您现在可以在 DHCP 或启用了 Ad-Hoc Network Autoconfiguration (autoconf)的接口上分配一个带有 dhcp: true 或 autoconf: true 值的静态 IP 地址。

nmstate 支持 MAC 地址可识别的网络接口

nmstate 工具支持直接到具有 MAC 地址而不是接口名称的网络接口的网络配置。

NetworkManager 支持定义在多少次 ARP 检查失败后，绑定驱动程序将端口标记为 down

此增强将arp_missed_max 选项添加到 NetworkManager 中的绑定连接配置文件中。如果您使用地址解析协议(ARP)监控器来检查绑定的端口是否已启动，您可以设置 arp_missed_max 来定义多少次检查失败后，绑定驱动程序将端口标记为 down。

NetworkManager 支持指定与链接相关的属性

此增强在 NetworkManager 连接配置文件中添加了以下网络链接属性：

nmstate API 支持 dhcp-send-hostname 和 dhcp-custom-hostname DHCP 选项

有了此增强，nmstate 工具支持在连接文件中以下两个 DHCP 选项的配置：

NetworkManager rebase 到版本 1.44.0

NetworkManager 软件包已升级到上游版本 1.44.0，与之前的版本相比，它提供了一些改进和 bug 修复：

SCTP rebase 到 RHEL 9 的内核网络树的最新版本

Stream Control Transport Protocol (SCTP)网络子系统中的显著变化包括：

MPTCP rebase 到 RHEL 9 的内核网络树的最新版本

多路径 TCP (MPTCP)协议扩展中的显著变化包括：

xdp-tools 软件包 rebase 到版本 1.4.0

xdp-tools 软件包已升级到 1.4.0 版本，其提供多个 bug 修复和增强。主要变更包括：

iproute rebase 到版本 6.2.0

iproute 软件包已升级到上游版本 6.2.0，与之前的版本相比，它提供了一些改进和 bug 修复。最显著的更改有：

内核支持以特定顺序激活绑定端口

有了这个增强，如果您在 active-backup 中配置了绑定、balance-tlb 或 balance-alb 模式，则内核的 netlink 接口支持在每个端口上设置优先级。优先级值使用 32 位整数，较高的值表示较高的优先级。现在，您可以按特定顺序激活绑定端口。

firewalld 现在避免不必要的防火墙规则刷新

随着 RHBA-2023:7748 的发布，建议升级 firewalld 服务，如果满足以下条件，则不会从 iptables 配置中删除所有现有的规则：

为 VLAN 接口引进新的 nmstate 属性

使用此 nmstate 框架的更新，引进了以下 VLAN 属性：

RHEL 9.3 中的内核版本

Red Hat Enterprise Linux 9.3 与内核版本 5.14.0-362.8.1 一起分发。

添加了对 NVIDIA Grace CPU 的支持

Red Hat Enterprise Linux 9.3 添加了对 NVIDIA Grace ARM 64 位 CPU 的支持。

RHEL 内核现在支持 AutoIBRS

Automatic Indirect Branch Restricted Speculation (AutoIBRS)是由 AMD EPYC 9004 Genoa 处理器系列以及更新的 CPU 版本提供的一个功能。AutoIBRS 是 Spectre v2 CPU 漏洞的默认缓解方案，它提升了性能，并改进了可扩展性。

perf rebase 到版本 6.2

perf 性能分析工具已 rebase 到版本 6.2。除了大量次要 bug 修复和更新外，perf list 命令现在显示包含人类可读名称和描述的 Performance Monitor Unit (PMU)事件。另外，这个更新添加了对以下处理器的支持：

Intel® QAT 内核驱动程序 rebase 到上游版本 6.2

Intel® Quick Assist Technology (QAT)已 rebase 到上游版本 6.2。Intel® QAT 包括针对对称和非对称加密、压缩性能和其他 CPU 密集型任务优化的加速器。

vTPM 功能可用于 Linux 容器

此增强为 Linux 容器和其它虚拟环境引入了虚拟受信任的平台模块(vTPM)。vTPM 是 TPM 的一个虚拟化版本，提供一个用于确保运行环境安全的专用的 TPM 实例。使用 vTPM 代理驱动程序，程序与模拟 TPM 交互的方式与它们与物理 TPM 交互的方式相同。

crash rebase 到版本 8.0.3

crash 是一个交互式工具，用于在内核崩溃时分析正在运行的系统和 kdump 创建的内核转储文件。crash 工具已更新至 8.0.3 版本，其中包括很多 bug 修复和增强。最显著的改进是增加了 IPv6 支持。

支持 LVM 精简置备存储卷作为 vmcore 转储目标

kdump 机制现在支持精简配置逻辑卷作为 vmcore 目标。要配置 LVM 精简配置，请完成以下步骤：

makedumpfile rebase 到上游版本 1.7.3

通过压缩页或排除不需要的内存页来使崩溃转储文件变小的makedumpfile 工具，已从上游版本 1.7.3 rebase 到上游版本 1.7.3。rebase 包括很多 bug 修复和增强。

Red Hat Enterprise Linux 支持 ARM 的 SystemReady ES 和 IR 层

Red Hat Enterprise Linux 现在支持 ARM 的 SystemReady ES 和 IR，而之前只支持 SR 层。在 RHEL 9.3 中，启用了 NVIDIA Orin、NXP i.MX 8M 和 NXP i.MX 8M Mini 模块已启用，并且是 RHEL 硬件认证的候选模块。硬件合作伙伴可以通过在红帽硬件认证之旅注册来 提交认证。客户可以使用目录中列出的受支持硬件来提高生产体验。

ARM 上的 RHEL 现在支持蓝牙

有了这个增强，您可以在命令行界面上使用 bluetoothctl 工具来配置蓝牙设备。

ARM 上的 RHEL 现在在 RHEL 9.3 中完全支持附加了 USB 的相机

此增强为 AMD 和 Intel 64 位构架平台上的 RHEL 启用了 CONFIG_MEDIA_SUPPORT 内核配置。现在，您可以在 AMD 和 Intel 64 位构架系统上使用 USB 相机。

bpf rebase 到版本 6.3

Berkeley Packet Filter (BPF)工具已 rebase 到 Linux 内核版本 6.3。主要变化和增强包括：

带有 BLS 的 grub2-mkconfig 的新默认行为

在 Boot Loader Specification (BLS)框架中，GRUB 在引导时从 BLS 片断动态生成引导菜单，且不会在 grub.cfg 文件中预定义。

NFS 服务器现在为 nfsd 实现了礼貌服务器代码

这个更新在 RHEL 内核 NFS 服务器中为 nfsd 引入了礼貌服务器代码的实现。借助这一新功能，NFS 服务器避免为与服务器长时间失去联系的客户端撤销租期，只要客户端在失去联系时不存在访问冲突。

DAX 挂载选项和 reflink 现在兼容

有了此更新，重新链接的文件通常与 DAX 模式兼容。文件系统 DAX 挂载选项 -o dax=always 与启用了重新链接的文件系统兼容。已重新链接的文件可以使用 inode 标记设置为 DAX 模式。详情请查看 xfs (5) 手册页。

RPCSEC GSS Kerberos V5 的新加密类型

RPCSEC GSS Kerberos V5 机制现在支持 RFC 6803 (Kerberos 5 的 Camellia 加密)和 RFC 8009 （ Kerberos 5 的带有 HMAC-SHA2 的 AES 加密）中定义的加密类型。

fuse3 现在允许在不触发 umount的情况下使目录条目无效

有了此更新，在 fuse3 软件包中添加了一个新的机制，它允许使目录条目无效，而无需自动触发条目上存在的任何挂载的 umount。

Stratis 存储管理器现在可用

Stratis 是一个本地存储管理器。它在存储池的上面为用户提供额外的功能：

对 GFS2 文件系统配置和操作的改进

已对 GFS2 文件系统实现了以下更新：

dmpd rebase 到版本 1.0.2

dmpd 软件包已升级至版本 1.0.2 。主要变更包括：

为 SCSI 设备添加了新的每设备计数器

现在，为 SCSI 更新中的 I/O 超时添加了一个新的每设备计数器 iotmo_cnt。除了 I/O 请求的 iorequest_cnt 计数外，还可以看到 iodone_cnt I/O 完成和 ioerr_cnt I/O 错误，请求超时的数量。例如：

mpathcleanup 清除 device-mapper-multipath 中的多路径设备

mpathcleanup 工具在基于 SCSI 的多路径设备上可以正常工作，并删除了多路径设备以及 SCSI 路径设备。有些用户需要定期删除多路径设备及其路径设备。在以前的版本中，没有删除多路径设备的工具，以及此操作所需的用户定义的脚本。

nvme-cli rebase 到版本 2.4

nvme-cli 软件包已升级到 2.4 版本，其提供多个 bug 修复和增强。主要变更包括：

支持对缺少物理卷的 LVM 卷组的故障切换

LVM-activate 资源代理现在支持两个新选项，它们允许在卷组缺少物理卷时进行卷组故障切换：

IPaddr2 和 IPsrcaddr 集群资源代理现在支持基于策略的路由

IPaddr2 和 IPsrcaddr 集群资源代理现在支持基于策略的路由，这可让您配置复杂的路由场景。基于策略的路由要求您配置资源代理的 table 参数。

Filesystem 资源代理现在支持 EFS 文件系统类型

ocf:heartbeat:Filesystem 集群资源代理现在支持 Amazon Elastic File System (EFS)。现在，您可以在配置 Filesystem 资源时指定 fstype=efs。

在指定克隆 meta 属性时，新的 pcs 解析需要 meta 关键字

为确保 pcs 命令格式的一致性，配置克隆 meta 属性，而无需指定 meta 关键字的 pcs resource clone、pcs resource promotable 和 pcs resource create 命令现在已弃用。

显示重新创建配置的资源约束的 pcs 命令

现在，您可以使用带有新的 --output-format=cmd 选项的 pcs constraint 命令显示用于在不同系统上重新创建配置的资源约束的 pcs constraint 命令。与之前的版本一样，默认的输出格式是纯文本，您可以使用 --output-format=text 选项指定。纯文本格式已稍微更改，以使其与其它 pcs 命令的输出格式保持一致。

将 Pacemaker 软件包 rebase 到版本：2.1.6

Pacemaker 软件包已升级到上游版本 2.1.6，与之前的版本相比，它提供了几个改进和 bug 修复。

对 pcs property 命令的改进

pcs property 命令现在支持以下改进：

Python 中的一个控制电子邮件地址解析的新环境变量

为缓解 CVE-2023-27043，一个向后兼容的更改，以确保在 Python 3 中引入了更严格的电子邮件地址的解析。

完全支持新的 nodejs:20 模块流

以前作为技术预览提供的新模块流 nodejs:20 被 RHEA-2023:7252 公告的发布完全支持。nodejs:20 模块流现在提供 Node.js 20.9，它是一个长期支持(LTS)版本。

Python tarfile 提取函数的新的 filter参数

要缓解 CVE-2007-4559，Python 向 tarfile 提取函数中添加了一个 filter 参数。参数允许关闭 tar 功能，以提高安全性（包括阻止 CVE-2007-4559 目录遍历攻击）。如果没有指定过滤器，则默认在 RHEL 中使用 'data' 过滤器，该过滤器是最安全但最受限的。另外，当应用程序会受到影响时，Python 会发出一个警告。

HTTP::Tiny Perl 模块现在默认验证 TLS 证书

HTTP::Tiny Perl 模块中 verify_SSL 选项的默认值已从 0 改为 1，以在使用 HTTPS 时验证 TLS 证书。这个更改修复了用于 HTTP::Tiny 的 CVE-2023-31486 和用于 CPAN Perl 模块的CVE-2023-31484 。

httpd rebase 到版本 2.4.57

Apache HTTP 服务器已更新至版本 2.4.57，与 2.4.53 版本相比，它提供了自 RHEL 9.1 以来的 bug 修复、功能增强和安全修复。

httpd中新 mod_authnz_fcgi 模块

Apache HTTP 服务器现在包含 mod_authnz_fcgi 模块，它使 FastCGI 授权应用程序可以验证用户并授权对资源的访问。

nginx:1.22中新的 ssl_pass_phrase_dialog 指令

有了对 nginx:1.22 模块流的此更新，您可以使用新的 ssl_pass_phrase_dialog 指令配置一个外部程序，对于每个加密的私钥，该程序在 nginx 启动时被调用。

一个新的 rhel9/squid 容器镜像

rhel9/squid 容器镜像现在在 Red Hat Container Registry 中提供。Squid 是 Web 客户端的高性能代理缓存服务器，支持 FTP、gopher 和 HTTP 数据对象。与传统的缓存软件不同，Squid 在单一的、非阻塞的、I/O 驱动的进程中处理所有请求。Squid 在 RAM 中保留缓存的元数据，特别是热对象，缓存 DNS 查找，支持非阻塞 DNS 查找，并实现失败请求的负缓存。

新模块流：redis:7

Redis 7 一个高级的键-值存储，现在作为新的模块流 redis:7 提供。

新的 glibc 选项，以影响 IBM Z 上优化的日常使用情况

在 IBM Z 构架上，glibc 库根据硬件功能（如 hwcaps 和 stfle 位）选择功能实现。有了此更新，您可以通过设置 glibc.cpu.hwcaps 可调项来指导库所做的选择。

改进了 glibc 中基于 Intel® Xeon® v5 硬件的字符串和内存例程性能

在以前的版本中，glibc 用于字符串和内存例程的默认缓存量导致在基于 Intel® Xeon® v5 的系统上性能低于预期。有了此更新，要使用的缓存量已被调整，以提高性能。

系统 GCC 编译器更新至版本 11.4.1

GNU Compiler Collection (GCC) 提供用于使用 C、C++ 和 Fortran 编程语言开发应用程序的工具。

GCC 现在支持保留寄存器参数

有了此更新，您可以将参数寄存器内容存储到堆栈，并产生合适的 Call Frame Information (CFI)，以允许 unwinder 找到它，而不会对性能产生负面影响。

64 位 Intel 构架上 GCC 中的一个新的 -mdaz-ftz 选项

64 位 Intel 架构上的 GNU Compiler Collection (GCC)的系统版本现在支持 -mdaz-ftz 选项，来在 MXCSR 控制和状态寄存器中启用 flush-to-zero (FTZ)和 denormals-are-zero (DAZ)标志。

新的 GCC Toolset 13

GCC Toolset 13 是一个编译器工具集，其提供开发工具的最新版本。它以 AppStream 存储库中的 Software Collection 的形式作为 Application Stream 提供。

GCC Toolset 13：GCC rebase 到版本 13.1.1

在 GCC Toolset 13 中，GNU Compiler Collection (GCC)已更新至版本 13.1.1.。主要变更包括：

GCC Toolset 13: annobin rebase 到版本 12.20

GCC Toolset 13 提供了 annobin 软件包版本 12.20。主要改进包括：

GCC Toolset 13：GDB rebase 到版本 12.1

GCC Toolset 13 提供 GDB 版本 12.1。

GCC Toolset 13：bintuils rebase 到版本 2.40

GCC Toolset 13 提供 binutils 软件包版本 2.40。主要改进包括：

libabigail rebase 到版本 2.3

libabigail 软件包已更新至版本 2.3。主要改进包括：

debugedit 中的 find-debuginfo 脚本现在支持 -q (--quiet)标记

有了此更新，您可以使用 debugedit 工具中的 find-debuginfo 脚本的 -q (--quiet)标记来屏蔽脚本中的非错误输出。

Valgrind rebase 到版本 3.21.0

Valgrind 已更新至版本 3.21.0。主要改进包括：

SystemTap rebase 到版本 4.9

systemtap 软件包已升级到版本 4.9。主要变更包括：

elfutils rebase 到版本 0.189

elfutils 软件包已更新至版本 0.189。主要改进和 bug 修复包括：

libpfm rebase 到版本 4.13

libpfm 软件包已更新至版本 4.13。有了此更新，libpfm 可以访问以下处理器微架构的性能监控硬件原生事件：

papi 支持新的处理器微架构

有了此增强，您可以使用以下处理器微架构上存在的 papi 事件访问性能监控硬件：

papi 现在支持 64 位 ARM 处理器的快速性能事件数读取操作

在以前的版本中，在 64 位 ARM 处理器上，所有性能事件计数器读取操作都需要使用资源密集型系统调用。已为 64 位 ARM 更新了 papi，以便让使用性能计数器监控其自身的进程使用更快的性能事件计数器的用户空间读取。将 /proc/sys/kernel/perf_user_access 参数设置为 1 ，来将 papi 读取 2个计数器的平均时钟周期数从 724 个周期减少到 29 个周期。

LLVM Toolset rebase 到版本 16.0.6

LLVM Toolset 已更新至版本 16.0.6。

Rust Toolset rebase 到版本 1.71.1

Rust Toolset 已更新至版本 1.71.1。主要变更包括：

Rust profiler_builtins 运行时组件现在可用

有了此增强，Rust profile_builtins 运行时组件现在可用。此运行时组件启用了以下编译器选项：

Go Toolset rebase 到版本 1.20.10

Go Toolset 已更新到版本 1.20.10。

pcp rebase 到版本 6.0.5

pcp 软件包已更新至版本 6.0.5。主要变更包括：

PCP 的 pmie 工具现在支持生成 webhook 事件

Performance Co-Pilot (PCP)中的性能指标推理引擎(pmie)工具现在支持生成 webhook 事件。有了此更新，配置的 pmie 规则生成可由 Event-Driven Ansible (EDA)消费的格式的事件。因此，EDA 可以响应 PCP 规则。

grafana rebase 到版本 9.2.10

grafana 软件包已更新至版本 9.2.10。主要变更包括：

Grafana 不再启用弱加密密码

有了此更新，对于加密安全通信，Grafana 不再启用被视为弱的密码。受影响的密码有：

.NET 8.0 可用

Red Hat Enterprise Linux 9.3 与 .NET 版本 8.0 一起分发。主要改进包括：

samba rebase 到版本 4.18.6

samba 软件包已升级到上游版本 4.18.6，与之前的版本相比，它提供了 bug 修复和增强。最显著的更改：

ipaclient 角色现在允许在 IdM 级别上配置用户 subID 范围

有了此更新，ipaclient ansible-freeipa 角色提供 ipaclient_subid 选项，您可以使用此选项在身份管理(IdM)级别上配置 subID 范围。没有明确设置为 true 的新选项，ipaclient 角色会保持默认行为，并在没有为 IdM 用户配置 subID 范围的情况下安装客户端。

现在，可以在单个 Ansible 任务中管理多个 IdM 组和服务

通过 ansible-freeipa 中的这一增强，您可以使用单个 Ansible 任务添加、修改和删除多个身份管理(IdM)用户组和服务。为此，请使用 ipagroup 和 ipaservice 模块的 groups 和 services 选项。

ansible-freeipa ipaserver 角色现在支持随机序列号

有了此更新，您可以将 ipaserver_random_serial_numbers=true 选项与 ansible-freeipa ipaserver 角色一起使用。这样，当使用 Ansible 安装身份管理(IdM)服务器时，您可以为 PKI 中的证书和请求生成完全随机的序列号。使用 RSNv3，您可以避免大型 IdM 安装中的范围管理，并防止重新安装 IdM 时常见的冲突。

ipa rebase 到版本 4.10.2

ipa 软件包已升级到版本 4.10.2 。主要变更包括：

ipaserver_remove_on_server 和 ipaserver_ignore_topology_disconnect 选项现在在 ipaserver 角色中提供

如果使用 ipaserver ansible-freeipa 角色的 remove_server_from_domain 选项从身份管理(IdM)拓扑中删除一个副本导致一个断开的拓扑，则必须指定您要保留域的哪一部分。具体来说，您必须执行以下操作：

IdM 现在支持 min_lifetime 参数

有了此增强，min_lifetime 参数已添加到 /etc/gssproxy114.conf 文件中。如果剩余生命周期低于这个值，则 min_lifetime 参数会触发续订服务票据。

您现在可以使用 ipacert Ansible 模块管理 IdM 证书

您现在可以使用 ansible-freeipa ipacert 模块为身份管理(IdM)用户、主机和服务请求或检索 SSL 证书。然后，用户、主机和服务可以使用这些证书向 IdM 进行身份验证。您还可以撤销证书，并恢复已搁置的证书。

optional_pac_tkt_chksum 选项帮助保留不同 krb5 版本间的互操作性

现在，您可以使用 optional_pac_tkt_chksum 选项来保留运行 krb5 软件包不同版本的 RHEL Kerberos 分发中心(KDC)服务器之间的互操作性。特别是，您可以更改其有关 Privilege Attribute Certificate(PAC)票据名验证的行为。如果将期望签名票据的 Kerberos 主体的 optional_pac_tkt_chksum 字符串属性设为 true，则 KDC 不会拒绝包含缺少 PAC 票据签名的票据的用户(S4U)请求的服务。签名票据的主体是票据授予服务(TGS)主体或跨领域 TGS 主体，具体取决于票据目标服务的领域。

IdM 现在支持基于资源的受限委托

有了此更新，IdM 支持基于资源的受限委托(RBCD)。RBCD 允许资源级别上委派的精细控制，并且可由凭据委派给的服务的所有者来设置访问权限。

RHEL 9.3 提供 389-ds-base 2.3.4

RHEL 9.3 与 389-ds-base 软件包版本 2.3.4 一起分发。与 2.3.4 版本相比，重要的 bug 修复和增强包括：

现在，如果 bind 操作失败，目录服务器现在可以关闭客户端连接

在以前的版本中，当 bind 操作失败时，一些忽略 bind 返回码的应用程序可能会通过进一步请求加载目录服务器。

Automembership 插件改进。默认情况下，它不再清理组

在以前的版本中，automember 重建任务会遍历所有 automember 规则，并删除所有成员资格，然后任务从头开始重新构建成员资格。因此，重建任务的成本很高，特别是在启用了其他 be_txn 插件时。

新的 passwordAdminSkipInfoUpdate: on/off 配置选项现在可用

您可以在 cn=config 条目下添加一个新的 passwordAdminSkipInfoUpdate: on/off 设置，以对密码管理员执行的密码更新提供精细控制。当您启用此设置时，密码更新不会更新某些属性，例如 passwordHistory,passwordExpirationTime,passwordRetryCount,pwdReset 和 passwordExpWarned。

新的 slapi_memberof（） 插件函数现在可用于目录服务器插件和客户端应用程序

新的 slapi_memberof（） 函数检索给定条目直接或间接所属组的可分辨名称(DN)。在以前的版本中，MemberOf、referential Integrity 和 ACL 插件实现了自己的机制来检索此类组。有了此更新，您可以使用引入了一个统一机制的 slapi_memberof（） 函数来返回组 DN。

目录服务器现在使用受管的和过滤的角色的索引属性来替换虚拟属性 nsRole

在以前的版本中，LDAP 搜索过滤器中包含的虚拟属性 nsRole 非常耗时，因为该属性无法被索引。有了此更新，当您在过滤器中使用虚拟属性 nsRole 执行 ldapsearch 时，目录服务器使用以下方法替换 nsRole 属性：

新的 nsslapd-numlisteners 配置选项现在可用

nsslapd-numlisteners 属性指定目录服务器用来监控已建立连接的监听程序线程的数量。您可以通过增加属性值来提高服务器遇到大量客户端连接时的响应时间。

IdM 支持选项来控制用于为 PAC 签名的加密类型

默认情况下，Kerberos 密钥分发中心(KDC)为 Privilege Attribute 证书(PAC)生成 AES HMAC-SHA2 签名。但是，活动目录(AD)不支持此加密类型。因此，AD 跨领域约束的委托请求无法被正确处理。

现在完全支持身份管理 API

在 RHEL 9.2 中，身份管理(IdM) API 作为技术预览提供，它从 RHEL 9.3 开始被完全支持。

现在完全支持 Intel Arc A 系列图形

之前作为技术预览提供的 Intel Arc A 系列图形(Alchemist 或 DG2)功能现在完全支持。Intel Arc A 系列图形是一个启用了硬件加速的 GPU，主要用于 PC 游戏。

Podman 健康检查操作现在可用

您可以在创建新容器时选择以下 Podman 健康检查操作之一：

Stratis 现在在 RHEL web 控制台中可用

有了此更新，Red Hat Enterprise Linux web 控制台提供了管理 Stratis 存储的功能。

用于管理 systemd 单元的新的 RHEL 系统角色

rhel-system-role 软件包现在包含 systemd RHEL 系统角色。您可以使用此角色在多个系统上部署单元文件并管理 systemd 单元。您可以通过提供 systemd 单元文件和模板，并通过指定这些单元的状态，如 started、stoped、masked 等，来自动执行 systemd 功能。

ssh 角色中的新选项，以禁用配置备份

现在，您可以通过将新的 ssh_backup 选项设置为 false 来防止在覆盖旧配置文件前备份它们。在以前的版本中，备份配置文件会自动创建，这可能是必需的。ssh_backup 选项的默认值为 true，它会保留原始行为。

keylime_server RHEL 系统角色

有了新的 keylime_server RHEL 系统角色，您可以使用 Ansible Playbook 在 RHEL 9 系统上配置验证器和注册器 Keylime 组件。Keylime 是一个使用可信平台模块(TPM)技术的远程机器认证工具。

支持新的 ha_cluster 系统角色功能

ha_cluster 系统角色现在支持以下功能：

storage 系统角色支持为 RAID LVM 卷配置条带大小

有了此更新，您现在可以在创建 RAID LVM 设备时指定自定义条带大小。为提高性能，请为 SAP HANA 使用自定义条带大小。建议的 RAID LVM 卷的条带大小为 64 KB。

network RHEL 系统角色支持 auto-dns 选项，以控制自动 DNS 记录更新

此功能增强位定义的名称服务器和搜索域提供支持。现在，您只能使用 dns 和 dns_search 属性中指定的名称服务器和搜索域，同时禁用自动配置的名称服务器和搜索域，如 DHCP 的 dns record。有了这个增强，您可以通过更改 auto-dns 设置来禁用自动 dns 记录。

network RHEL 系统角色支持 no-aaaa DNS 选项

现在，您可以使用 no-aaaa 选项在受管节点上配置 DNS 设置。在以前的版本中，没有选项来压制 stub 解析器产生的 AAAA 查询，包括由基于 NSS 的接口触发的 AAAA 查找（如 getaddrinfo ）；只有 DNS 查找会受到影响。有了这个增强，您可以压制由 stub 解析器生成的 AAAA 查询。

ad_integration RHEL 系统角色现在可以重新加入 AD 域

有了此更新，您可以使用 ad_integration RHEL 系统角色重新加入活动目录(AD)域。为此，请将 ad_integration_force_rejoin 变量设置为 true。如果 realm_list 输出显示该主机已在一个 AD 域中，则它将在重新加入前离开现有域。

certificate RHEL 系统角色现在在使用 certmonger 时允许更改证书文件模式

在以前的版本中，由具有 certmonger 提供者的 certificate RHEL 系统角色创建的证书使用默认的文件模式。但是，在某些用例中，您可能需要更严格的模式。有了此更新，您现在可以使用 mode 参数设置一个不同的证书和密钥文件模式。

postgresql RHEL 系统角色现在可用

新的 postgresql RHEL 系统角色安装、配置、管理和启动 PostgreSQL 服务器。该角色还优化了数据库服务器设置，以提高性能。

Podman RHEL 系统角色现在支持 Quadlets、健康检查和 secret

从 Podman 4.6 开始，您可以在 podman RHEL 系统角色中使用 podman_quadlet_specs 变量。您可以通过指定一个单元文件来定义 Quadlet，或通过名称、单元类型和规格在清单中定义 Quadlet。一个单元的类型可以是以下： container、kube、network 和 volume。请注意，Qadlets 仅适用于 RHEL 8 上的 root 容器。Quadlets 适用于 RHEL 9 上的无根容器。

使用 restorecon -T 0 提高了 selinux 系统角色的性能

在所有适用的情况下，selinux 系统角色现在将 -T 0 选项和 restorecon 命令一起使用。这提高了在文件上恢复默认的 SELinux 安全上下文的任务的性能。

rhc 系统角色现在支持设置代理服务器类型

在 rhc_proxy 参数下新引入的属性 scheme，使您可以使用 rhc 系统角色配置代理服务器类型。您可以设置两个值：http，默认值和 https。

firewall RHEL 系统角色支持与 ipset 相关的变量

有了 firewall RHEL 系统角色的这个更新，您可以定义、修改和删除 ipset。您还可以从防火墙区中添加和删除 ipset。或者，您可以在定义防火墙富规则时使用这些 ipset。

RHEL 系统角色现在对挂载点自定义有新的卷选项

有了此更新，您现在可以为挂载目录指定 mount_user、mount_group 和 mount_permissions 参数。

firewall RHEL 系统角色有一个禁用冲突服务的选项，如果 firewalld 被屏蔽，它不再失败

在以前的版本中，当角色运行时 firewalld 被屏蔽或存在冲突服务时，firewall 系统角色失败。这个更新引入了两个显著改进：

重置 firewall RHEL 系统角色配置现在需要较少的停机时间

在以前的版本中，当使用 previous: replaced 变量重置 firewall 角色配置时，firewalld 服务会重启。重启会增加停机时间并延长打开连接的时间，其中firewalld 不会阻止来自活跃连接的流量。有了这个增强，firewalld 服务通过重新加载而不是重启来完成配置重置。重新加载会最大限度地减少停机时间，并减少绕过防火墙规则的机会。因此，使用 previous: replaced 变量重置 firewall 角色配置现在需要最少的停机时间。

sevctl 现在与 AMD EPYC Rome 和 Milan 完全兼容

有了此更新，sevctl 工具可以正确地识别最新的 AMD EPYC 核，包括 AMD EPYC Rome 和 AMD EPYC Milan 系列。因此，您可以使用 sevctl 配置在这些 CPU 上可用的 AMD Secure Encrypted Virtualization (SEV)的功能。

virtio-vga 和 virtio-gpu 设备现在支持 blob 资源

现在，virtio-vga 和 virtio-gpu 设备可以使用 blob 内存资源，这在某些情况下提高了其性能。要将 blob 资源附加到 virtio 图形设备，请在虚拟机的 XML 配置中相应的 <video> 部分中添加一个 blob="on" 选项。例如：

对第 4 代 Intel Xeon 可扩展处理器的虚拟化支持

有了这个更新，RHEL 9 上的虚拟化增加了对第 4 代 Intel Xeon 可扩展处理器的支持，其以前被称为 Sapphire Rapids。因此，在 RHEL 9 中托管的虚拟机现在可以使用 SapphireRapids CPU 型号，并使用处理器提供的新功能。

改进了 IBM Z 上安全执行的内存回收

当在 IBM Z 上使用带有 IBM Secure Execution 的虚拟机(VM)时，您现在可以为虚拟机设置增强的内存回收。如果虚拟机使用 32 GiB 或更多 RAM，此设置可以提高重启或停止虚拟机的性能。

RHEL web 控制台中的新虚拟化功能

在这个版本中，RHEL web 控制台在 Virtual Machines 页面中包含新功能。您现在可以：

cloud-init 支持 NetworkManager keyfiles

有了此更新，cloud-init 工具可以使用 NetworkManager (NM) keyfile 来配置创建的云实例的网络。

cloud-init 现在默认使用 ESXi 上的 VMware 数据源

当在使用 VMware ESXi hypervisor（如 VMware vSphere 云平台）的主机上创建 RHEL 虚拟机(VM)时。这提高了使用 cloud-init 创建 RHEL 的 ESXi 实例的性能和稳定性。但请注意，ESXi 仍与 Open Virtualization Format (OVF)数据源兼容，如果 VMware 不可用，您可以使用 OVF 数据源。

sos rebase 到版本 4.6

用于收集配置、诊断和故障排除数据的 sos 工具已 rebase 到版本 4.6。此更新提供了以下改进：

Podman 支持拉取和推送使用 zstd 压缩的镜像

您可以拉取和推送使用 zstd 格式压缩的镜像。zstd 压缩效率比 gzip 更高，更快。它可以减少拉取和推送镜像所需的网络流量和存储量。

Podman 中的 Quadlet 现在可用

从 Podman v4.6 开始，您可以使用 Quadlet 从容器描述中自动生成 systemd 服务文件。Quadlets 比 podman generate systemd 命令更容易使用，因为描述侧重于相关的容器详情，且没有在 systemd 下运行容器的技术复杂性。

Container Tools 软件包已更新

更新的 Container Tools RPM 元软件包现已正式发布，其包括 Podman、Buildah、Skopeo、crun 和 runc 工具，现在可用。与之前的版本相比，这个版本应用了一系列 bug 修复和增强。

Podman 现在支持 Podmansh 登录 shell

从 Podman v4.6 开始，您可以使用 Podmansh 登录 shell 管理用户访问权限和控制。将您的设置配置为使用 /usr/bin/podmansh 命令作为登录 shell ，而不是标准 shell 命令，例如 /usr/bin/bash。当用户登录到系统设置时，podmansh 命令将用户的会话运行到名为 podmansh 的 Podman 容器中。用户登录的容器是使用 Quadlet 文件定义的，这些文件创建在 /etc/containers/systemd/users/ 目录中。在这些文件中，将 [Container] 部分中的 ContainerName 字段设置为 podmansh。当用户会话启动时，systemd 会自动启动 podmansh，并继续运行直到所有用户会话退出为止。

现在，可提供带有 Fulcio 和 Rekor 的 sigstore 签名的客户端

有了 Fulcio 和 Rekor 服务器，您现在可以根据 OpenID Connect (OIDC)服务器身份验证使用短期证书来创建签名，而不是手动管理私钥。以前作为技术预览提供的带有 Fulcio 和 Rekor 的 sigstore 签名的客户端现在完全支持。这个添加的功能只是客户端侧支持，不包括 Fulcio 或 Rekor 服务器。

pasta 网络模式现在可用

从 Podman v4.4.1 开始，您可以使用 pasta 网络模式。它是默认网络模式 slirp4netns 的高性能替换，支持 IPv6 转发。要选择 pasta 网络模式，请安装 passt 软件包，以使用带有--network=pasta 选项的 podman run 命令。使用 Podman v4.6，您可以使用 [network] 部分下的 default_rootless_network_cmd 字段在 /etc/containers/containers.conf 配置文件中设置默认的无根网络模式。

UBI 9 微容器镜像不再包含 tzdata安装的 zoneinfo

有了此更新，tzdata 软件包提供的时区信息不再包含在 UBI 9 Micro 容器镜像中，从而减少了镜像大小。UBI 9 Minimal 和 UBI 9 微容器是仅 UTC 的，用户应重新安装 tzdata 软件包，以获得完整的 zoneinfo （如果需要的话）。

安装程序现在可以正确地处理 url Kickstart 命令的 --proxy 选项

在以前的版本中，安装程序无法正确处理 url Kickstart 命令的 --proxy 选项。因此，您无法使用指定的代理来获取安装镜像。有了此更新，这个问题已被解决，--proxy 选项现在可以按预期正常工作。

liveimg 的 --noverifyssl 选项不再为使用 HTTPS 下载的镜像检查服务器的证书

在以前的版本中，安装程序会忽略 liveimg Kickstart 命令中的 --noverifyssl 选项。因此，如果无法为使用 HTTPS 协议下载的镜像验证服务器证书，安装过程会失败。有了这个更新，这个问题已解决，liveimg Kickstart 命令的 --noverifyssl 选项工作正常。

Anaconda 现在验证 FIPS 要求的 LUKS 密码短语

在以前的版本中，Anaconda 不检查 LUKS 密码短语的长度是否满足 FIPS 要求，即使底层工具执行了这个检查。因此，使用小于 8 个字符的密码短语在 FIPS 模式下安装会导致安装程序过早停止。

xfsprogs 的新版本不再缩小 /boot的大小

在以前的版本中，RHEL 9.3 中 5.19 版本的 xfsprogs 软件包会导致 /boot 的大小缩小。因此，与 RHEL 9.2 版本相比，它会导致 /boot 分区上可用空间的不同。此修复为所有镜像将 /boot 分区增加到 600 MiB，而不是 500 MiB，/boot 分区不再受到空间问题的影响。

OpenSSL 命令 cms 和 smime 可以在 FIPS 模式下加密文件

在以前的版本中，cms 和 smime OpenSSL 命令使用旧的加密算法，如 3DES 或 PKCS #1 v1.5。这些算法在 FIPS 模式下被禁用。因此，使用smime 命令用默认设置加密文件无法在 FIPS 模式下的系统上工作。此更新引进了以下更改：

SELinux 允许在 Dovecot 中进行邮件复制

您可以为具有双向复制集的高可用性配置 Dovecot 高性能邮件发送代理，但之前的 SELinux 策略不包含规则，以使 dovecot-deliver 工具可在运行时文件系统中通过管道进行通信。因此，Dovecot 中的邮件复制无法正常工作。有了此更新，权限已添加到 SELinux 策略中，因此 Dovecot 中的邮件复制可以正常工作。

从 NFS 文件系统引导现在可以在 SELinux 设置为 enforcing 模式的情况下工作

在以前的版本中，当使用 NFS 作为 root 文件系统时，SELinux 标签不会从服务器转发，从而导致 SELinux 设置为 enforcing 模式时引导失败。

RabbitMQ 使用 IPv6 不再失败

在以前的版本中，当您部署启用了 IPv6 的 rabbitmq 服务器时，inet_gethost 命令会尝试访问 /proc/sys/net/ipv6/conf/all/disable_ipv6 文件。因此，系统拒绝访问 /proc/sys/net/ipv6/conf/all/disable_ipv6。有了这个更新，系统现在可以读取 /proc/sys/net/ipv6/conf/all/disable_ipv6，rabbitmq 现在可以使用 IPv6。

SELinux 不再阻止通过 cloud-init 注册到 Insights

在以前的版本中，SELinux 策略不包含允许 cloud-init 脚本运行 insights-client 服务的规则。因此，尝试通过 cloud-init 脚本运行 insights-client --register 命令会失败。有了此更新，缺少的规则已被添加到策略中，您可以使用 enforcing 模式的 SELinux，通过 cloud-init 注册到 Insights。

staff_r SELinux 角色中的用户现在可以运行 scap_workbench 探测

在以前的版本中，selinux-policy 软件包不包含用于运行 scap-workbench 工具所需的 staff_r SELinux 角色中的用户的规则。因此，当用户在 staff_r SELinux 角色下运行时，scap-workbench 探测会失败。有了此更新，缺少的规则已被添加到 selinux-policy 中，SELinux 用户现在可以运行 scap_workbench 探测。

在 SELinux 策略中添加 insights-client 的权限

insights-client 服务需要不在 selinux-policy 之前版本中的权限。因此，insights-client 的一些组件无法正常工作，并报告了访问向缓存(AVC)错误消息。在这个版本中，SELinux 策略添加了新权限。因此，insights-client 在不报告 AVC 错误的情况下正确运行。

Keylime allowlist 生成脚本已更新

Keylime 脚本 create_allowlist.sh 为 Keylime 策略生成一个 allowlist。在 RHEL 9.3 中，它被 create_runtime_policy.sh 脚本替代，该脚本在尝试将允许列表转换为 JSON 运行时策略时失败。

Keylime 不再需要 tls_dir = default 的特定文件

之前，当在 Keylime verifier 或 registrar 配置中将 tls_dir 变量设为 default 时，Keylime 会拒绝不同于 cacert.crt 文件名的自定义证书颁发机构(CA)证书。有了此更新，这个问题不再发生，您甚至可以使用具有 tls_dir = default 设置的自定义 CA 证书文件。

环境变量可以覆盖带有下划线的 Keylime 代理选项

在以前的版本中，当 Keylime 代理配置选项名称包含下划线(_)时，通过环境变量覆盖这个选项无法正常工作。有了此更新，即使选项名称包含下划线，通过环境变量的覆盖也可以正常工作。

Keylime 注册中心可以正确地识别 IPv6 地址

在以前的版本中，Keylime 注册中心无法正确识别 IPv6 地址，因此无法绑定其监听端口。有了此更新，注册中心可以正确地识别 IPv6 地址，因此可以正确地绑定到其端口。

Keylime 代理可以正确地处理 IPv6 地址

在以前的版本中，当使用未包含在括号 [ ] 中的 IPv6 地址注册 Keylime 代理时，keylime_tenant 工具失败，并显示错误。有了此更新，keylime_tenant 可以正确处理 IPv6 地址，即使它们没有包括在括号中。

Keylime 不再会由于 QEMU 虚拟机中的新事件而导致测量引导证明失败

edk2-ovmf 软件包的更新在 QEMU 操作的虚拟系统的测量引导日志中引入了一个新的事件类型。这些事件会在 Keylime 测量的引导证明中导致失败。有了此更新，Keylime 可以正确地处理这些事件。

Keylime Webhook 通知程序可以正确地关闭 TLS 会话

在以前的版本中，keylime Webhook 通知程序无法正确关闭 TLS 会话。这会导致在监听器端报告警告。此更新解决了这个问题，webhook 通知程序现在可以正确地关闭 TLS 会话。

gpg-agent 现在在 FIPS 模式下作为 SSH 代理工作

在以前的版本中，当将密钥添加到 ssh-agent 程序中时，gpg-agent 工具会创建 MD5 指纹，即使 FIPS 模式禁用了 MD5 摘要。因此，ssh-add 工具无法将密钥添加到身份验证代理中。

tangd-keygen 现在可以正确地处理非默认 umask

在以前的版本中，tangd-keygen 脚本不会更改生成的密钥文件的文件权限。因此，在具有阻止向其他用户读取密钥的默认用户文件创建模式掩码(umask)的系统上，tang-show-keys 命令会返回错误消息 Internal Error 500 而不是显示密钥。有了这个更新，tangd-keygen 为生成的密钥文件设置文件权限，因此脚本现在可以在具有非默认 umask 的系统上正常工作。

fapolicyd 服务不再运行从可信数据库中删除的程序

在以前的版本中，fapolicyd 服务错误地将程序作为可信程序处理，即使它已从可信数据库中删除了。因此，输入 fapolicyd-cli --update 命令没有效果，即使被删除后程序也可以执行。有了此更新，fapolicyd-cli --update 命令可以正确地更新可信程序数据库，删除的程序无法再执行。

fapolicyd 不再导致系统在 mount 和 umount后挂起

在以前的版本中，当 mount 或 umount 操作运行两次，然后运行 fapolicyd-cli --update 命令，fapolicyd 服务可能会进入无限循环。因此，系统会停止响应。有了此更新，服务可以正确地运行 fapolicyd-cli --update 命令，服务可以处理任意数量的 mount 或 umount 操作。

Keylime 现在接受串联的 PEM 证书

在以前的版本中，当 Keylime 收到作为单个文件中多个 PEM 格式的证书的证书链时，keylime-agent-rust Keylime 组件会在生成 TLS 握手时失败。因此，客户端组件(keylime_verifier 和 keylime_tenant)无法连接到 Keylime 代理。有了此更新，keylime-agent-rust 可以正确处理多个包括中间 CA 证书的证书。因此，您现在可以使用与 Keylime 串联的 PEM 证书。

即使没有能力，Rsyslog 也可以启动

当 Rsyslog 以普通用户或在容器化环境中执行时，rsyslog 进程没有能力。因此，在这种情况下 Rsyslog 无法丢弃能力，并在启动时退出。有了此更新，如果没有能力，进程不再尝试丢弃能力。因此，Rsyslog 可以启动，即使它没有能力。

io_uring 现在可以在没有 SELinux 拒绝的情况下正常工作

在以前的版本中，io_uring 内核接口在 SELinux 策略中缺少 map 权限。因此，mmap 系统调用失败，io_uring 接口无法正常工作。有了此更新，SELinux 策略中允许 map 权限，接口现在可以正常工作，而没有 SELinux 拒绝。

oscap-anaconda-addon 现在为 CIS 强化网络服务器

在以前的版本中，安装带有 CIS 安全配置文件(cis、cis_server_l1、 cis_workstation_l1 或 cis_workstation_l2) 的 RHEL 网络服务器不可能带所选的 Network Servers 软件包组。这个问题已通过在 RHEL 9.3 提供的 oscap-anaconda-addon-2.0.0-17.el9 中排除 tftp 软件包得到了解决。因此，您可以安装带有 Network Servers 软件包组的 CIS 强化的 RHEL Network 服务器。

检查主目录的规则只适用于本地用户

scap-security-guide 软件包提供的多个合规性配置文件包含以下检查用户主目录的正确配置的规则：

密码过期规则只适用于本地用户

某些合规性配置文件（如 CIS 和 DISA STIG）包含以下检查用户帐户密码的期限和密码过期的规则：

Red Hat CVE 源已更新

位于 https://access.redhat.com/security/data/oval/ 的红帽常见漏洞和暴露(CVE)版本 1 已停用，并被 https://access.redhat.com/security/data/oval/v2/ 提供的 CVE 版本 2 替代。

与 journald 配置相关的规则不再添加额外的引号

在以前的版本中，SCAP 安全指南规则 journald_compress、journald_forward_to_syslog 和 journald_storage 之前在补救脚本中包含了一个 bug ，这导致在 /etc/systemd/journald.conf 配置文件中的配置选项中添加了额外的引号。因此，journald 系统服务无法解析配置选项，并忽略它们。因此，配置选项无效。这会在 OpenSCAP 扫描中导致错误的pass 结果。有了此更新，规则和补救脚本不再添加额外的引号。因此，这些规则现在会为 journald 生成一个有效的配置。

/var/lib/fdo 下的文件现在得到正确的 SElinux 标签

在以前的版本中，有一个允许 FDO 进程访问整个主机的安全问题。有了这个更新，通过使用带有 SElinux 的 service-info-api 服务器，您可以添加任何文件，来发给 /var/lib/fdo 目录下的设备，因此 /var/lib/fdo 下的文件现在可以得到正确的 SElinux 标签。

subscription-manager 不再在终端中保留非必要的文本

从 RHEL 9.1 开始，subscription-manager 在处理任何操作时会显示进度信息。在以前的版本中，对于某些语言（通常为非拉丁语言），在操作完成后不会清除进度消息。有了这个更新，在操作完成后，所有信息都会被正确清除。

dnf needs-restarting -s 命令现在可以正确地显示 systemd 服务列表

在以前的版本中，当您使用带有 -s 或 --services 选项的 needs-restarting 命令时，当检测到非 systemd 或故障进程时会出现一个错误。有了此更新，dnf needs-restarting -s 命令会忽略这样的进程，并显示带有受影响的 systemd 服务列表的警告。

dnf-automatic 命令现在正确地报告事务的退出状态

在以前的版本中，dnf-automatic 命令返回事务的一个成功的退出代码，即使此事务过程中一些操作没有成功完成。这可能会对使用 dnf-automatic 进行自动部署勘误的机器造成安全风险。有了此更新，这个问题已被解决，dnf-automatic 现在会在事务中报告软件包的每个问题。

在没有扩展文件属性的文件系统上安装带有 IMA 签名的软件包不再失败

在以前的版本中，RPM 尝试将 IMA 签名应用到文件，即使它们不支持这些签名。因此，软件包安装失败。有了此更新，RPM 跳过应用 IMA 签名。因此，软件包安装不再失败。

rsyslog 日志记录服务现在在启动救援系统时启动

在以前的版本中，消息日志记录的 rsyslog 服务不会自动在救援系统中启动。/dev/log 套接字在恢复过程中保持接收消息，而没有服务侦听此套接字。因此，/dev/log 套接字填充了信息，并导致恢复过程卡住。例如，用于重新生成 GRUB 配置的 grub2-mkconfig 命令会根据挂载的文件系统数量来生成大量日志消息。如果您使用 ReaR 恢复具有许多挂载的文件系统的系统，则大量日志消息会填充 /dev/log 套接字，恢复过程会被冻结。

对于长路径，which 命令不再失败

在以前的版本中，当您在路径超过 256 个字符的目录中执行 which 命令时，命令会失败，并显示 Can't get current working directory 错误信息。有了此修复，which 命令现在对路径长度限制使用 PATH_MAX 值。因此，命令不再失败。

ReaR 现在支持带有 OUTPUT=USB的 UEFI 安全引导

在以前的版本中，OUTPUT=USB ReaR 输出方法（其在可引导磁盘驱动器上存储救援镜像）不遵循 SECURE_BOOT_BOOTLOADER 设置。因此，在启用了 UEFI 安全引导的系统上，带有救援镜像的磁盘不会引导，因为引导装载程序没有签名。

ReaR 恢复的系统不再无法挂载所有 VG 逻辑卷

/etc/lvm/devices/system.devices 文件代表逻辑卷管理器(LVM)系统设备，并控制设备对 LVM 的可见性和可用性。默认情况下，system.devices 功能在 RHEL 9 中被启用，当活跃时，它替换 LVM 设备过滤器。

Intel Corporation I350 Gigabit Fiber Network Connection 现在在内核更新后提供一个链接

在以前的版本中，带有 Small Formfactor Pluggable (SFP) transceiver 模块，而没有 External Thermal Sensor (ETS)的硬件配置导致 igb 驱动程序错误地初始化 Inter-Integrated Circuit (I2C)，以读取 ETS。因此，连接无法获取链接。有了此 bug 修复，igb 驱动程序仅在带有 ETS 的 SFP 可用时初始化 I2C。因此，连接获取了链接。

nm-cloud-setup 服务不再从接口中删除手动配置的辅助 IP 地址

根据从云环境收到的信息，nm-cloud-setup 服务配置了网络接口。虽然您有为手动接口配置禁用 nm-cloud-setup 的选项，但在某些情况下会导致冲突。在某些情况下，主机上的其他服务将独立配置接口，包括添加辅助 IP 地址。当被 systemd 计时器单元再次触发时，nm-cloud-setup 会错误地删除这些辅助 IP 地址。这个 NetworkManager 软件包的更新解决了这个问题。您只需要等待 systemd 定时器单元触发 nm-cloud-setup。如果您不想等待计时器，您可以使用以下命令手动启用 nm-cloud-setup ：

在启用了 VMD 时，RHEL 之前无法识别 NVMe 磁盘

当您重置或重新附加驱动程序时，卷管理设备(VMD)域之前没有软重置。因此，硬件无法正确检测并枚举其设备。有了此更新，启用了 VMD 的操作系统可以正确地识别 NVMe 磁盘，特别是在重置服务器或使用虚拟机时。

GRUB 现在可以正确地处理非调试内核变体

在以前的版本中，在安装了多个内核 RPM 的系统中，输入 dnf install kernel-$VERSION 或 dnf update 命令会将最后一个安装的内核设置为默认内核。例如，这会在 AMD 和 Intel 64 位构架上，或者在 64 位 ARM 架构上的内核(4k)和 kernel-64k 上带有标准内核和实时内核的系统上发生。因此，系统可能会在以后的重启时引导到不需要的内核。有了此更新，GRUB 使用 /etc/sysconfig/kernel 配置文件中的 DEFAULTKERNEL 变量，默认内核保留正确的变体和最新的版本。

lpfc 驱动程序在 D_ID 端口交换过程中处于有效状态

在以前的版本中，在发出 NetApp giveback 操作后 SAN Boot 主机会导致 LVM 挂起任务警告和停滞的 I/O。由于光纤通道 D_ID 端口交换，也会在 DM-Multipath 环境中提供备用路径时发生此问题。由于竞争条件，D_ID 端口交换会导致 lpfc 驱动程序中的状态不一致，这会阻止 I/O 被发出。

multipathd 向所有路径中添加了持久性保留注册密钥

在以前的版本中，当 multipathd 守护进程启动时，它识别现有多路径设备的一个路径上持久性保留的注册密钥，并不是该设备的所有路径都有注册密钥。因此，如果在 multipathd 停止时，如果有带有持久性保留的多路径设备的新路径，则不会在这些路径上设置持久性保留。这允许路径上的 IO 处理，即使它们应该被保留密钥所禁止。

LUN 现在在操作系统安装过程中可见

在以前的版本中，系统没有使用固件源的身份验证信息，特别是在涉及带有存储在 iSCSI iBFT (Boot Firmware Table)中的 CHAP (Challenge-Handshake Authentication Protocol)的 iSCSI 硬件卸载的情况。因此，在安装过程中 iSCSI 登录会失败。

当在 /etc/fstab中将 NVMe-FC 设备添加为挂载点时，系统可以正确启动

在以前的版本中，由于 nvme-cli nvmf-autoconnect systemd 服务中的一个已知问题，在将光纤通道上的 Non-volatile Memory Express (NVMe-FC)设备添加为 /etc/fstab 文件中的挂载点时，系统无法引导。因此，系统进入紧急模式。有了此更新，当挂载 NVMe-FC 设备时，系统可以引导，而没有任何问题。

pcs config checkpoint diff 命令现在可以对所有配置部分正常工作

从 RHEL 9.0 发行版本开始，pcs config checkpoint diff 命令已停止显示以下配置部分的不同：隔离级别、排序约束、托管约束、票据约束、资源默认值和操作默认值。从 RHEL 9.1 发行版本开始，pcs config checkpoint diff 命令已停止显示资源和 Stonith 设备配置部分的不同。这是因为，作为负责显示每个不同配置部分的代码切换到了加载 CIB 文件的新机制，加载的内容被缓存。用于差异比较第二个文件没有加载，而是使用了第一个文件的缓存内容。因此，diff 命令没有产成任何输出。有了此更新，CIB 文件内容不再被缓存，pcs config checkpoint diff 命令显示所有配置部分的不同。

现在，当配置了隔离级别时，pcsd Web UI 会显示集群状态

在以前的版本中，当配置了隔离级别时，pcsd Web UI 不显示集群状态。有了此更新，您可以在配置了隔离级别时查看集群状态，并使用 Web UI 更改集群设置。

现在，配置为第二个隔离设备的隔离 watchdog 现在在第一个设备超时时隔离节点

在以前的版本中，当将 watchdog 隔离设备在隔离拓扑中配置为第二个设备时，在计算隔离操作时不会考虑 watchdog 超时。因此，如果第一个设备超时了，隔离操作也会超时，即使 watchdog 会隔离节点。有了此修复，watchdog 超时包含在隔离操作超时中，如果第一个设备超时，则隔离操作成功。

当列表按节点分组时，带有规则的位置约束不再显示

不能给带有规则的位置约束分配节点。在以前的版本中，当您按节点分组列表时，带有规则的位置约束会在空节点下显示。有了此修复，带有规则的位置约束不再显示，会给出一个警告信息，表示带有规则的约束没有显示。

更新多路径 SCSI 设备的pcs 命令现在可以正常工作

由于 Pacemaker CIB 文件中的变化，按照设计，pcs stonith update-scsi-devices 命令会停止工作，从而导致一些集群资源不必要的重启。有了此修复，这个命令可以正常工作，并更新 SCSI 设备，而无需运行在同一节点上的其他集群资源的重启。

当 pscd Web UI 打开时，pcsd-ruby 守护进程的内存占用量现在减少了

在以前的版本中，当 pcsd Web UI 打开时，pcsd-ruby 守护进程的内存占用量在过去几小时稳步增加。有了此修复，在 pcsd-ruby 守护进程中运行的 web 服务器现在定期执行安全重启。这会释放分配的内存，并减少内存占用。

azure-events-az 资源代理不再产生与 Pacemaker 2.1 及之后版本有关的错误

azure-events-az 资源代理执行 crm_simulate -Ls 命令并解析输出。使用 Pacemaker 2.1 及更高版本时，crm_simulate 命令的输出不再包含文本 Transition Summary:，这会导致错误。有了此修复，当此文本缺失时，代理不再产生错误。

mysql 资源代理现在可以与可升级的克隆资源一起工作

在以前的版本中，由于提升分数在提升的和非提升的值之间变化，mysql 资源代理会移动在节点间的 Promoted 角色中操作的克隆资源。有了此修复，Promoted 角色中的节点保留在 Promoted 角色中。

fence_scsi 代理现在可以自动检测共享的 lvmlockd 设备

在以前的版本中，fence_scsi 代理不会自动检测共享的 lvmlockd 设备。有了此更新，当 devices 属性没有设置时，fence_scsi 能够自动检测 lvmlockd 设备。

glibc system（） 函数现在无条件地恢复以前的信号掩码

在以前的版本中，如果 glibc system（） 函数从多个线程并行调用，SIGCHLD 信号的信号掩码可能无法被正确恢复。因此，在某些线程的 glibc system（） 函数返回后，SIGCHLD 信号保持阻止状态。

eu-addr2line -C 现在可以正确地识别其他参数

在以前的版本中，当您使用来自 elfutils 的 eu-addr2line 命令中的 -C 参数时，以下单个字符参数会消失。因此，eu-addr2line -Ci 命令的行为与 eu-addr2line -C 相同，而 eu-addr2line -iC 可以按预期正常工作。这个 bug 已被修复，eu-addr2line -Ci 现在识别这两个参数。

eu-addr2line -i 现在可以正确地处理 GCC 链接时间优化编译的代码

在以前的版本中，包含在elfutils 中的 libdw 库的 dwarf_getscopes函数无法找到 GCC link-time 优化编译的函数的抽象原始定义。因此，当您在 eu-addr2line 命令中使用 -i 参数时，eu-addr2line 无法显示 gcc -flto 编译的代码的内联函数。有了此更新，libdw dwarf_getscopes 函数可以在内联范围的正确编译单元中看到，eu-addr2line -i 可以按预期正常工作。

使用 papi 的程序在关闭时不再停止

在以前的版本中，在 papi 初始化一些组件前，papi 初始化了线程。因此，描述数组中元素数量的某些组件的条目没有被设置正确的值，并尝试了零大小的内存分配。因此，后续访问和这些零大小内存分配的释放导致程序停止。

OpenJDK XML 签名提供者现在可以在 FIPS 模式下正常工作

在以前的版本中，OpenJDK XML 签名提供者无法在 FIPS 模式下操作。由于对 FIPS 模式支持的改进，OpenJDK XML 签名提供者现在在 FIPS 模式下启用。

现在，常规用户的分页搜索不会影响性能

在以前的版本中，当目录服务器位于搜索负载下时，常规用户的分页搜索可能会影响服务器性能，因为锁与轮询网络事件的线程发生冲突。另外，如果在发送页搜索时发生网络问题，则整个服务器都没有响应，直到 nsslapd-iotimeout 参数过期为止。有了此更新，锁被分成几个部分，以避免与网络事件争用。因此，在常规用户的分页搜索过程中不会影响性能。

模式复制现在可以在目录服务器中正常工作

在以前的版本中，当目录服务器将模式复制到新服务器时，它会将所有模式添加到远程副本上的 99user.ldif 文件中。这似乎都是自定义模式，因为对所有定义，X-ORIGIN 关键字都设为了 user defined。因此，可能会导致 web 控制台出现问题，也可能导致对监控架构并期望 X-ORIGIN 关键字有特定值的客户出现问题。有了此更新，模式复制可以按预期工作。

Referra 模式现在可以在目录服务器中正常工作

在以前的版本中，CLI 将 nsslapd-referral 配置属性设置为后端，而不是映射树。因此，referral 模式无法正常工作。有了此更新，nsslapd-referral 属性会被正确设置，referral 模式可以按预期工作。

LMDB 导入现在可以更快地工作

在以前的版本中，要构建 entryrdn 索引，LMDB 导入 worker 线程会等待其他 worker 线程，以确保父条目被处理。这会产生锁竞争，从而大大减慢导入速度。有了此更新，通过 LMDB 数据库的 LDIF 导入已被重新设计，提供者线程会在 worker 线程用来构建 entryrdn 索引的临时数据库中存储有关条目 RDN 及其父级的数据。因此，不再需要 worker 线程同步，平均导入率更佳。

dirsrv 服务现在在重启后正确启动

在以前的版本中，dirsrv 服务在重启后无法启动，因为 dirsrv 服务没有明确等待 systemd-tmpfiles-setup.service 完成。这会导致竞争条件。有了此更新，dirsrv 服务会等待 systemd-tmpfiles-setup.service 完成，重启后不再无法启动。

更改安全参数现在可以正常工作

在以前的版本中，当使用 dsconf instance_name security set 命令更改安全参数时，操作会失败并显示错误：

SSSD 现在在评估基于 GPO 的访问控制时使用 sAMAccountName

在以前的版本中，如果 ldap_user_name 在 AD 客户端上被设置为 sAMAccountName 以外的值，则基于 GPO 的访问控制失败。有了此更新，在评估基于 GPO 的访问控制时，SSSD 总是使用 sAMAccountName。即使 ldap_user_name 在 AD 客户端上被设置为与 sAMAccountName 不同的值，基于 GPO 的访问控制现在也可以正常工作。

在检索用户时，SSSD 现在可以处理 user_attributes 选项中的重复属性

在以前的版本中，如果 sssd.conf 在 user_attributes 选项中包含重复属性，则 SSSD 无法正确处理这些重复。因此，具有这些属性的用户无法被检索。有了此更新，SSSD 可以正确地处理重复。因此，具有重复属性的用户现在可以被检索。

现在，动态 Kerberos PAC 票据签名强制机制修复了 IdM 中的跨版本不兼容

在以前的版本中，如果您的身份管理(IdM)部署的服务器同时在 RHEL 9 和 RHEL 8 上运行，则由 Privilege Attribute 证书(PAC)票据签名支持的上游实现导致的不兼容性会导致某些操作失败。有了此更新，RHEL 9 中的动态票据签名强制机制功能的实现修复了这个跨版本不兼容。要使这个功能实际生效，您必须：

现在不再允许删除 IdM admin 用户

在以前的版本中，如果您是 admins 组的成员，则无法阻止您删除身份管理(IdM) admin 用户。缺少 admin 用户会导致 IdM 和活动目录(AD)之间的信任停止正常工作。有了此更新，您可以不再删除 admin 用户。因此，IdM-AD 信任可以正常工作。

ipa-kdb 不再导致 krb5kdc 失败

在以前的版本中，ipa-kdb 驱动程序不会区分没有服务器主机对象和连接失败。因此，krb5kdc 服务器有时会意外停止，由于与 LDAP 服务器的连接问题产生的 NULL LDAP 上下文。

IdM 客户端安装程序不再在 ldap.conf 文件中指定 TLS CA 配置

在以前的版本中，IdM 客户端安装程序在 ldap.conf 文件中指定 TLS CA 配置。有了此更新，OpenSSH 使用默认的信任存储，IdM 客户端安装程序不会在 ldap.conf 文件中设置 TLS CA 配置。

当可信 AD 用户的名称包含混合问题单字符时，IdM 客户端可以正确地检索它们的信息

在以前的版本中，如果您尝试用户查找或用户的身份验证，并且可信活动目录(AD)用户在其名称中包含混合大小写字符，且在 IdM 中使用覆盖进行了配置，则会返回一个错误，阻止用户访问 IdM 资源。

Web 控制台 NBDE 绑定步骤现在也适用于带有根文件系统的卷组

在 RHEL 9.2 中，由于确定用户是否向 root 文件系统添加了 Tang 密钥的代码中的一个 bug，当 LUKS 容器上根本没有文件系统时，web 控制台中的绑定进程会崩溃。因为在点击了 Verify key 对话框中的 Trust key 按钮后， web 控制台会显示出错信息 TypeError: Qe (…​) is undefined，所以您必须在上述场景中的命令行界面中执行所有必要的步骤。

VNC 控制台现在可以在大多数分辨率下正常工作

在以前的版本中，当在某些显示分辨率下使用虚拟网络计算(VNC)控制台时，会出现鼠标偏移问题，或者只有接口的一部分可见。因此，无法使用 VNC 控制台。

storage 角色现在可以在不卸载的情况下调整挂载的文件系统大小

在以前的版本中，storage 角色无法调整挂载的设备的大小，即使文件系统支持在线调整大小。因此，storage 角色会在调整大小前卸载所有文件系统，对于正在使用的文件系统会失败，例如，在调整正在运行的系统的 / 目录的大小时。

podman_registries_conf 变量现在可以正确地配置 unqualified-search-registries 字段

在以前的版本中，配置了 podman_registries_conf 变量后，podman RHEL 系统角色失败。因此，在 /etc/containers/registries.conf.d/50-systemroles.conf 文件中不会生成 unqualified-search-registries = ["registry.access.redhat.com"] 设置。有了这个更新，此问题已被解决。

kdump 角色以幂等方式添加 authorized_keys

在以前的版本中，添加 authorized_key 的任务每次都添加一个额外的换行符。因此，该角色不是幂等的。有了此修复，添加新的 authorized_key 可以正常工作，并智能以幂等方式添加单个密钥值。

如果缺少 kdump_authorized_keys，kdump 系统角色不会失败

在以前的版本中，如果 kdump_ssh_user 变量中定义的用户无法访问 主目录中的 .ssh 目录或空的.ssh/authorized_keys 文件，kdump 系统角色将无法添加 SSH 授权密钥。有了此修复，kdump 系统角色可以正确地将授权密钥添加到 SSH 配置中。因此，基于密钥的身份验证可以在上述场景中可靠地工作。

在创建前无法从成员磁盘中删除数据的问题不再存在

在以前的版本中，当创建 RAID 卷时，在组成 RAID 卷前，系统不能有效地从成员磁盘中删除现有的数据。有了此更新，RAID 卷可以根据需要从成员磁盘中删除任何已存在的数据。

在有不存在服务的检查模式下运行 firewall RHEL 系统角色不再失败

在以前的版本中，在检查模式下使用不存在的服务运行 firewall 角色会失败。此修复更好地实现了遵守检查模式的 Ansible 最佳实践。因此，启用或禁用不存在的服务不再在检查模式中使角色失败。相反，会有一个警告提示您确认服务是否已在前面的 playbook 中定义。

RHEL 7 上的 firewall RHEL 系统角色不再尝试安装不存在的 Python 软件包

在以前的版本中，当 RHEL 7 上的 firewall 角色从另一个角色调用，且该角色在使用 python3 时，firewall 角色会尝试安装那个 Python 版本的 python3-firewall 库。但是，在 RHEL 7 上不提供该库。因此，python3-firewall 库没有找到，您会收到以下出错信息：

kdump RHEL 系统角色更新

kdump RHEL 系统角色已更新至更新的版本，其带来以下值得注意的改进：

使用 rhc 角色创建的 Insights 标签现在可以正确应用

在以前的版本中，当使用 rhc 角色创建 Insights 标签时，标签没有存储在正确的文件中。因此，标签没有发送给 Insights，因此它们没有应用到 Insights 清单中的系统。

raid_chunk_size 参数不再返回一个错误信息

在以前的版本中，RAID 池和卷不允许用于 raid_chunk_size 属性。有了此更新，您现在可以为 RAID 池和卷配置 raid_chunk_size 属性，而不会遇到任何限制。

certificate RHEL 系统角色现在在确定是否执行新证书请求时检查证书密钥大小

在以前的版本中，在评估是否请求新证书时，certificate RHEL 系统角色不会检查证书的密钥大小。因此，角色有时在应该发布新证书请求时没有发布新证书请求。有了此更新，certificate 现在检查 key_size 参数，以确定是否应执行一个新证书请求。

kdump 角色以等幂方式向 authorized_keys 添加多个密钥

在以前的版本中，同时向 authorized_keys 文件中添加多个 SSH 密钥会将一个主机的密钥值替换为另一个主机的密钥值。此更新通过使用 lineinfile 模块来管理 authorized_keys 文件解决了这个问题。lineinfile 按顺序迭代任务，检查现有的密钥，并一次在一台主机上的一个原子操作中写入新密钥。因此，在多个主机上添加 SSH 密钥可以正常工作，不会替换另一个主机的密钥值。

kdump 角色成功为 kdump_ssh_server 身份验证更新了 .ssh/authorized_keys

在以前的版本中，kdump 角色无法访问 .ssh 目录，来安全地验证用户，以登录到 kdump_ssh_server。因此，kdump 角色没有更新 .ssh/authorized_keys 文件和 SSH 机制，来验证kdump_ssh_server是否失败。在这个版本中解决了这个问题。因此，kdump_ssh_server 上的 kdump_ssh_user 身份验证可以可靠地工作。

为系统角色启用 kdump 需要在 RHEL 9 及更新的版本上使用 failure_action 配置参数

在以前的版本中，在 kdump 配置过程中使用default选项不成功，并在日志中打印以下警告：

firewall 系统角色的 previous: replaced 参数现在覆盖以前的配置，而不删除它

在以前的版本中，如果您将 previous: replaced 参数添加到变量列表中，firewall 系统角色会删除所有现有用户定义的设置，并将 firewalld 重置为默认设置。此修复使用 firewalld 中的回退配置（其在 EL7 版本中引入）来保留前面的配置。因此，当您在变量列表中使用 previous: replaced 参数时，在重置时不会删除 firewall.conf 配置文件，但文件中的文件和注释会保留。

在检查模式下使用 previous: replaced 时，firewall RHEL 系统角色可以正确地报告变化

在以前的版本中，当在检查模式下使用 previous: replaced 参数时，firewall 角色不会检查是否有文件更改了。因此，角色会给出一个关于未定义变量的错误。此修复向检查模式添加了新的检查变量，以评估是否有任何文件将被 previous: replaced 参数更改。检查 firewalld.conf 文件会评估 rpm 数据库，以确定文件是否已被软件包中提供的版本更改了。因此，在使用 previous: replaced 参数时，firewall 角色现在可以正确地报告更改。

在将区域分配给网络管理器接口时，firewall RHEL 系统角色可以正确地报告更改

在以前的版本中，当不存在更改时，网络管理器接口分配会报告更改。有了此修复，文件 library/firewall_lib.py 中的 try_set_zone_of_interface 模块会返回第二个值，它表示接口的区域是否被更改了。因此，当向 Network Manager 处理的接口分配区域时，模块现在可以正确地报告更改。

当 rhc_auth 包含激活码时，rhc 系统角色不会在注册的系统上失败

在以前的版本中，当使用 rhc_auth 参数中指定的激活码在注册的系统上执行 playbook 文件时，会出现失败。这个问题已解决。现在，可以在已经注册的系统上执行 playbook 文件，即使在 rhc_auth 参数中提供了激活码。

虚拟机关闭后，NVIDIA 图形设备继续工作

在以前的版本中，在 RHEL 内核中，设备电源转换延迟与 PCIe 规格要求的延迟更加一致。因此，在附加的虚拟机关闭后，一些 NVIDIA GPU 可能在用于设备分配时变得没有响应。这个更新扩展了 NVIDIA 音频设备功能的设备电源转换延迟。因此，在此场景下，Nvidia GPU 可以继续正常工作。

现在，故障转移 virtio NIC 在 Windows 虚拟机上被正确分配了 IP 地址

在以前的版本中，当启动带有故障转移 virtio NIC Windows 虚拟机(VM)时，虚拟机无法为 NIC 分配 IP 地址。因此，NIC 无法建立网络连接。这个问题已被解决，VM NIC 现在可以在上述场景中按预期建立网络连接。

安装程序显示要在虚拟机上安装 RHEL 的预期的系统磁盘

在以前的版本中，当使用 virtio-scsi 设备在虚拟机上安装 RHEL 时，这些设备可能会因为 device-mapper-multipath bug 而不在安装程序中出现。因此，在安装过程中，如果某些设备设置了串口，而有些设备没有，则 multipath 命令会声明所有具有串口的设备。因此，安装程序无法在虚拟机中找到要安装 RHEL 的预期的系统磁盘。

实时迁移后，Broadcom 网络适配器现在可以在 Windows 虚拟机上正常工作

在以前的版本中，Broadcom 系列设备的网络适配器（如 Broadcom、Qlogic 或 Marvell）无法在 Windows 虚拟机实时迁移过程中进行热拔。因此，迁移完成后，适配器不能正常工作。此问题只会影响使用单根 I/O 虚拟化(SR-IOV)附加到 Windows 虚拟机的适配器。有了此更新，底层代码已被修复，这个问题不再发生。

nodedev-dumpxml 可以正确列出某些介质设备的属性

在此更新前，nodedev-dumpxml 工具无法正确列出使用 nodedev-create 命令创建的介质设备的属性。这个问题已被解决，nodedev-dumpxml 现在可以正确地显示受影响的介质设备的属性。

重启 virtqemud 或 libvirtd后，无法附加 virtiofs 设备

在以前的版本中，重启 virtqemud 或 libvirtd 服务会阻止 virtiofs 存储设备附加到主机上的虚拟机(VM)。这个 bug 已被解决，您现在可以在上述场景中附加 virtiofs 设备。

向虚拟机热插一块 Watchdog 卡不再失败

在以前的版本中，如果没有 PCI 插槽可用，向正在运行的虚拟机(VM)添加一块 Watchdog 卡会失败，并显示以下错误：

对于 IBM Z 上的 virtio-gpu，blob 资源无法正常工作

virtio-gpu 设备目前与 IBM Z 系统上的 blob 内存资源不兼容。因此，如果您在 IBM Z 主机上配置带有 virtio-gpu 的虚拟机(VM)，以使用 blob 资源，则虚拟机没有任何图形输出。

光纤通道设备上的 NVMe 现在在 RHEL 安装程序中作为一个技术预览提供

现在，您可以将光纤通道设备上的 NVMe 作为技术预览添加到 RHEL 安装中。在 RHEL 安装程序中，您可以在 Installation Destination 屏幕中添加磁盘时，在 NVMe Fabrics Devices 部分中选择这些设备。

gnutls 现在使用 kTLS 作为技术预览

更新的 gnutls 软件包可以将内核 TLS (kTLS)作为技术预览，来在加密通道上加速数据传输。要启用 kTLS，请使用 modprobe 命令添加 tls.ko 内核模块，并使用以下内容为系统范围的加密策略创建一个新的配置文件 /etc/crypto-policies/local.d/gnutls-ktls.txt ：

GIMP 在 RHEL 9 中作为技术预览提供

GNU Image Manipulation Program(GIMP)2.99.8 现在作为技术预览在 RHEL 9 中提供。gimp 软件包版本 2.99.8 是一个预发行版本，它有一组改进，但只能保证稳定性。发布官方 GIMP 3 后，将作为此预发布版本的更新，在 RHEL 9 中引入。

TuneD 的套接字 API 作为技术预览提供

通过 UNIX 域套接字控制 TuneD 的套接字 API 现在作为技术预览提供。套接字 API 将一对一与 D-Bus API 映射，并为 D-Bus 不可用的情况提供替代通信方法。通过使用套接字 API，您可以控制 TuneD 守护进程来优化性能，并更改各种调优参数的值。套接字 API 默认被禁用，您可以在 tuned-main.conf 文件中启用它。

WireGuard VPN 作为技术预览提供

WireGuard（红帽作为技术预览提供）是一个在 Linux 内核中运行的高性能 VPN 解决方案。它使用现代加密，比其他 VPN 解决方案更容易配置。此外，因为 WireGuard 较小的代码基础，减少了受攻击的风险，因此提高了安全性。

KTLS 作为技术预览提供

RHEL 将内核传输层安全(KTLS)作为技术预览提供。kTLS 使用内核中的对称加密或解密算法为 AES-GCM 密码处理 TLS 记录。kTLS 还包括用来将 TLS 记录加密卸载到提供此功能的网络接口控制器(NIC)的接口。

systemd-resolved 服务作为技术预览提供

systemd-resolved 为本地应用程序提供名字解析。该服务实现了缓存和验证 DNS stub 解析器、链接本地多播名称解析(LLMNR)和多播 DNS 解析器和响应程序。

PRP 和 HSR 协议现在作为技术预览提供

这个更新添加了提供以下协议的 hsr 内核模块：

将 IPsec 封装卸载到 NIC 现在作为技术预览提供

此更新向内核添加了 IPsec 数据包卸载功能。在以前的版本中，只能将加密卸载到网络接口控制器(NIC)。有了此增强，内核现在可将整个 IPsec 封装过程卸载到 NIC，以减少工作负载。

RHEL 中 modems 的网络驱动程序作为技术预览提供

设备制造商支持将联邦通信委托(FCC)锁定作为默认设置。FCC 提供了一个锁，来将 WWAN 驱动程序绑定到特定的系统，其中 WWAN 驱动程序提供了一个与调制解调器进行通信的通道。根据调制解调器 PCI ID，制造商在 Red Hat Enterprise Linux 上为 ModemManager 集成了解锁工具。但是，如果之前未解锁，调制解调器仍不可用，即使 WWAN 驱动程序兼容并可以正常工作。Red Hat Enterprise Linux 为以下带有有限功能的调制解调器提供了驱动程序，来作为技术预览：

IPv6 上的段路由(SRv6)作为技术预览提供

RHEL 内核将 IPv6 (SRv6)上的段路由作为技术预览提供。您可以使用此功能来优化边缘计算中的流量流，或提高数据中心中的网络可编程性。但是，最重要的用例是在 5G 部署场景中的端到端(E2E)网络分片。在这个领域中，SRv6 协议为您提供了可编程自定义网络分片和资源保留，以解决特定应用程序或服务的网络要求。同时，解决方案可以部署到单一用途设备上，其满足较小计算占用的需求。

KTLS rebase 到版本 6.3

内核传输层安全(KTLS)功能是一个技术预览。有了此 RHEL 版本，kTLS 已 rebase 到 6.3 上游版本，重要的更改包括：

带有统一内核镜像的 kdump 机制作为技术预览提供

带有包含统一内核镜像(UKI)中内核镜像的 kdump 机制作为技术预览提供。UKI 是一个可执行文件，将 initramfs、vmlinuz 和内核命令行合并到一个文件中。UKI 密钥的好处是一次将 SecureBoot 的加密签名扩展到所有组件。

SGX 作为技术预览

软件扩展（SGX）是一个 Intel® 技术，用于保护软件代码和数据不受公开和修改的影响。RHEL 内核部分提供 SGX v1 和 v1.5 功能。版本 1 使用 Flexible Launch Control 机制启用平台，以使用 SGX 技术。版本 2 添加了 Enclave Dynamic Memory Management (EDMM)。主要特性包括：

用于内核的 Intel 数据流加速器驱动程序作为技术预览提供

内核的 Intel 数据流加速器驱动程序(IDXD)目前作为技术预览提供。它是一个 Intel CPU 集成的加速器，包括共享工作队列 ID(pasid)提交和共享虚拟内存(SVM)。

Soft-iWARP 驱动程序作为技术预览提供

软硬件硬件(siw)是一种软件，互联网是 RDMA 协议(iWARP)，适用于 Linux 的内核驱动程序。soft-iWARP 通过 TCP/IP 网络堆栈实施 iWARP 协议套件。这个协议套件在软件中完全实现，不需要特定的远程直接内存访问(RDMA)硬件。Soft-iWARP 使具有标准以太网适配器的系统连接到 iWARP 适配器或安装了 Soft-iWARP 的其他系统。

SGX 作为技术预览

软件扩展（SGX）是一个 Intel® 技术，用于保护软件代码和数据不受公开和修改的影响。RHEL 内核部分提供 SGX v1 和 v1.5 功能。版本 1 使用 Flexible Launch Control 机制启用平台，以使用 SGX 技术。版本 2 添加了 Enclave Dynamic Memory Management (EDMM)。主要特性包括：

rvu_af,rvu_nicpf 和 rvu_nicvf 作为技术预览提供

对于 Marvell OCTEON TX2 Infrastructure Processor 系列，以下内核模块作为技术预览提供：

DAX 现在作为技术预览供 ext4 和 XFS 使用

在 RHEL 9 中，DAX 文件系统作为技术预览提供。DAX 提供了将持久内存直接映射到其地址空间的方法。要使用 DAX，系统必须有某种可用的持久性内存，通常使用一个或多个非线性内存模块(NVDIMM)，必须在 NVDIMM 上创建 DAX 兼容文件系统。另外，该文件系统必须使用 dax 挂载选项挂载。然后，在 dax 挂载的文件系统中的一个文件 mmap 会导致存储直接映射到应用程序的地址空间中。

NVMe-oF Discovery Service 功能作为技术预览

NVMe-oF Discovery Service 功能（在 NVMexpress.org 技术 Proposals(TP)8013 和 8014 中）作为技术预览提供。要预览这些功能，请使用 nvme-cli 2.0 软件包，并将主机附加到实现 TP-8013 或 TP-8014 的 NVMe-oF 目标设备。有关 TP-8013 和 TP-8014 的更多信息，请参阅 https://nvmexpress.org/specifications/ 网站中的 NVM Express 2.0 Ratified TPs。

NVMe-stas 软件包作为技术预览

nvme-stas 软件包，它是 Linux 的中央 Discovery Controller (CDC) 客户端，现在作为技术预览提供。它处理异步事件通知 (AEN)、自动化的 NVMe 子系统连接控制、错误处理和报告以及自动 (zeroconf) 和手动配置。

NVMe TP 8006 in-band 身份验证作为技术预览提供

实现 Non-Volatile Memory Express (NVMe) TP 8006，它是一种针对 NVMe over Fabrics (NVMe-oF) 的带内验证，现在作为不支持的技术预览提供。NVMe Technical Proposal 8006 为 NVMe-oF 定义了 DH-HMAC-CHAP 带内验证协议，该协议由这个增强提供。

io_uring 接口作为技术预览提供

io_uring 是一个新的有效的异步 I/O 接口，现在作为技术预览提供。默认情况下禁用此功能。您可以通过将 kernel.io_uring_disabled sysctl 变量设置为以下值之一来启用这个接口：

jmc-core 和 owasp-java-encoder 作为技术预览

RHEL 9 与 jmc-core 和 owasp-java-encoder 软件包一起分发，作为 AMD 和 Intel 64 位架构的技术预览功能提供。

DNSSEC 在 IdM 中作为技术预览提供

带有集成 DNS 的身份管理(IdM)服务器现在实现了 DNS 安全扩展(DNSSEC)，这是一组增强 DNS 协议安全的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。

身份管理 JSON-RPC API 作为技术预览

一个 API 可用于 Identity Management(IdM)。要查看 API，IdM 还提供了一个 API 浏览器作为技术预览。

sssd-idp 子软件包作为技术预览提供

SSSD 的 sssd-idp 子软件包包含 oidc_child 和 krb5 idp 插件，它们是对身份管理(IdM)服务器执行 OAuth2 身份验证的客户端组件。此功能仅适用于 RHEL 9.1 及更高版本上的 IdM 服务器。

SSSD 内部 krb5 idp 插件作为技术预览提供

SSSD krb5 idp 插件允许您使用 OAuth2 协议对外部身份提供者(IdP)进行身份验证。此功能仅适用于 RHEL 9.1 及更高版本上的 IdM 服务器。

RHEL IdM 允许将用户身份验证委派给外部身份提供程序作为技术预览

在 RHEL IdM 中，您可以把用户与支持 OAuth 2 设备授权流的外部身份提供程序(IdP)关联。当这些用户使用 RHEL 9.1 或更高版本中的 SSSD 版本进行身份验证时，它们会在执行身份验证和在外部 IdP 授权后接收到带有 Kerberos 票据的 RHEL IdM 单点登录功能。

ACME 作为技术预览提供

自动证书管理环境(ACME)服务现在作为技术预览在 Identity Management(IdM)中提供。ACME 是一个用于自动标识符验证和证书颁发的协议。它的目标是通过缩短证书生命周期并避免证书生命周期管理中的手动过程来提高安全性。

GNOME 用于 64 位 ARM 架构，作为一个技术预览

GNOME 桌面环境可用于 64 位 ARM 架构，作为技术预览。

用于 IBM Z 架构的 GNOME 作为技术预览提供

对于 IBM Z 架构，GNOME 桌面环境作为技术预览。

创建嵌套虚拟机

对于运行在 Intel、AMD64 和 IBM Z 主机上的 RHEL 9 KVM 虚拟机，嵌套的 KVM 虚拟化作为技术预览提供。有了这个功能，运行在物理 RHEL 9 主机上的 RHEL 7、RHEL 8 或 RHEL 9 虚拟机可以充当 hypervisor，并托管自己的虚拟机。

用于 KVM 虚拟机的 AMD SEV 和 SEV-ES

作为技术预览，RHEL 9 为使用 KVM 管理程序的 AMD EPYC 主机提供安全加密虚拟化(SEV)功能。如果在虚拟机(VM)上启用，SEV 会加密虚拟机的内存来保护虚拟机被主机访问。这提高了虚拟机的安全性。

虚拟化现在在 ARM 64 上可用

作为技术预览，现在可以使用 ARM 64 CPU 在系统中创建 KVM 虚拟机。

virtio-mem 现在包括在 AMD64、Intel 64 和 ARM 64 中

作为技术预览，RHEL 9 在 AMD64、Intel 64 和 ARM 64 系统中引入了 virtio-mem 功能。使用 virtio-mem 可让虚拟机(VM)动态添加或删除主机内存。

RHEL 客户机中的 Intel TDX

作为技术预览，Intel Trust Domain Extension (TDX)功能现在可以在 RHEL 9.2 及之后的版本中使用。如果主机系统支持 TDX，您可以部署硬件隔离的 RHEL 9 虚拟机(VM)，称为信任域(TD)。但请注意，TDX 目前无法与 kdump 一起工作，启用 TDX 会导致 kdump 在虚拟机上失败。

RHEL 的统一内核镜像现在作为技术预览提供

作为技术预览，您现在可以获取 RHEL 内核作为虚拟机(VM）的统一内核镜像(UKI)。统一内核镜像将 kernel、initramfs 和内核命令行合并成一个签名的二进制文件。

Intel vGPU 作为技术预览提供

作为技术预览，可以将物理 Intel GPU 设备分为多个虚拟设备，称为 介质设备。然后可将这些介质设备分配给多个虚拟机(VM)作为虚拟 GPU。因此,这些虚拟机共享单个物理 Intel GPU 的性能。

RHEL 现在在 Azure 机密虚拟机上作为技术预览提供

使用更新的 RHEL 内核，您现在可以在 Microsoft Azure 上作为技术预览创建并运行 RHEL 机密虚拟机(VM)。新添加的统一内核镜像(UKI)现在在 Azure 上可以引导加密的机密虚拟机镜像。UKI 作为 RHEL 9 存储库中的 kernel-uki-virt 软件包提供。

Podman 的 SQLite 数据库后端作为技术预览提供

从 Podman v4.6 开始，Podman 的 SQLite 数据库后端作为技术预览提供。要将数据库后端设置为 SQLite，请在 /etc/containers/containers.conf 配置文件中添加 database_backend = "sqlite" 选项。在切换到 SQLite 数据库后端前，请运行 podman system reset 命令，来将存储重置回初始状态。请注意，您必须重新创建所有容器和 pod。SQLite 数据库保证好的稳定性和一致性。容器堆栈中的其他数据库也会被移到 SQLite。BoltDB 保留默认的数据库后端。

podman-machine 命令不被支持

用于管理虚拟机的 podman-machine 命令仅作为技术预览提供。相反，请直接从命令行运行 Podman。

弃用的 Kickstart 命令

以下 Kickstart 命令已弃用：

edge-commit 和 edge-container 蓝图中的用户和组自定义已弃用

在蓝图中指定用户或组自定义对于 edge-commit 和 edge-container 镜像类型已弃用，因为在升级镜像时用户自定义会消失，且不能在蓝图中再次指定用户。

initial-setup 软件包现已弃用

initial-setup 软件包已在 Red Hat Enterprise Linux 9.3 中被弃用，并将在下一个主 RHEL 发行版本中删除。作为替换，对图形用户界面，使用 gnome-initial-setup 。

inst.geoloc 引导选项的 provider_hostip 和 provider_fedora_geoip 值已弃用

为 inst.geoloc= 引导选项指定 GeoIP API 的 provider_hostip 和 provider_fedora_geoip 值已弃用。作为替换，您可以使用 geolocation_provider=URL 选项在安装程序配置文件中设置所需的地理位置。您仍然可以使用 inst.geoloc=0 选项禁用地理位置。

对于加密目的，SHA-1 已被弃用

使用 SHA-1 消息摘要用于加密目的在 RHEL 9 中已被弃用。SHA-1 生成的摘要不被视为是安全的，因为已发现多个基于哈希进行的安全攻击。RHEL 核心加密组件不再默认使用 SHA-1 创建签名。RHEL 9 中的应用程序已更新，以避免在与安全相关的用例中使用 SHA-1。

fapolicyd.rules 已被弃用

包含允许和拒绝执行规则的文件的 /etc/fapolicyd/rules.d/ 目录替代了 /etc/fapolicyd/fapolicyd.rules 文件。fagenrules 脚本现在将此目录中的所有组件规则文件合并到 /etc/fapolicyd/compiled.rules 文件。/etc/fapolicyd/fapolicyd 中的规则仍由 fapolicyd 框架处理，但只是为了保证向后兼容。

在 RHEL 9 中弃用 SCP

安全复制协议(SCP)已弃用，因为它有已知的安全漏洞。SCP API 仍可用于 RHEL 9 生命周期，但使用它可以降低系统安全性。

OpenSSL 需要在 FIPS 模式下对 RSA 加密进行填充

OpenSSL 在 FIPS 模式下不再支持没有填充的 RSA 加密。没有填充的 RSA 加密不常见，很少使用。请注意，带有 RSA (RSASVE)的密钥封装不使用填充，但仍支持。

NTLM 和 Krb4 在 Cyrus SASL 中已弃用

NTLM 和 Kerberos 4 验证协议已弃用，并可能在以后的 RHEL 主版本中删除。这些协议不再被视为安全的，已从上游实现中删除。

SASL 中的 digest-MD5 已被弃用

Simple Authentication Security Layer(SASL)框架中的 Digest-MD5 身份验证机制已弃用，并可能在以后的主发行版本中从 cyrus-sasl 软件包中删除。

OpenSSL 弃用了 MD2, MD4, MDC2, Whirlpool, Blowfish, CAST, DES, IDEA, RC2, RC4, RC5, SEED, 和 PBKDF1

OpenSSL 项目已弃用了一组加密算法，因为它们不安全，不常用，或两者都不安全。红帽还不建议使用这些算法，RHEL 9 则为其提供迁移加密数据以使用新的算法。对于系统的安全性，用户不得依赖于这些算法。

/etc/system-fips 现已弃用

支持通过 /etc/system-fips 文件指定 FIPS 模式，该文件将不会包含在将来的 RHEL 版本中。要在 FIPS 模式中安装 RHEL，请在系统安装过程中将 fips=1 参数添加到内核命令行。您可以使用 fips-mode-setup --check 命令检查 RHEL 是否以 FIPS 模式运行。

libcrypt.so.1 现已弃用

libcrypt.so.1 库现已弃用，它可能会在以后的 RHEL 版本中删除。

subscription-manager 命令的 --token 选项已弃用

subscription-manager register 命令的 --token=<TOKEN> 选项是一种身份验证方法，可帮助将您的系统注册到红帽。这个选项取决于授权服务器提供的功能。默认授权服务器 subscription.rhsm.redhat.com 计划关闭此功能。因此，尝试使用 subscription-manager register --token=<TOKEN> 可能会失败，并显示以下错误消息：

在 ReaR 配置文件中设置 TMPDIR 变量已弃用

使用诸如 export TMPDIR=…​ 的声明，在 /etc/rear/local.conf 或 /etc/rear/site.conf ReaR 配置文件中设置 TMPDIR 环境变量无法工作，且已弃用。

dump 软件包中的 dump 工具已弃用

用于文件系统备份的 dump 工具已弃用，在 RHEL 9 中将不再提供。

Bacula 中的 SQLite 数据库后端已被弃用

Bacula 备份系统支持多个数据库后端：PostgreSQL、MySQL 和 SQLite。SQLite 后端已被弃用，并将在以后的 RHEL 版本中不被支持。作为一种替代，迁移到其他一种后端(PostgreSQL 或 MySQL)，且在新部署中不使用 SQLite 后端。

RHEL 9 中已弃用网络团队（Network teams）

teamd 服务和 libteam 库在 Red Hat Enterprise Linux 9 中已弃用，并将在下一个主发行版本中删除。作为替换，配置绑定而不是网络组。

ifcfg 格式的 NetworkManager 连接配置文件已弃用

在 RHEL 9.0 及更高版本中，ifcfg 格式的连接配置文件已弃用。下一个主要 RHEL 发行版本将删除对这个格式的支持。但是，在 RHEL 9 中，如果修改了配置文件，NetworkManager 仍然会使用这个格式处理和更新现有的配置文件。

firewalld 中的 iptables 后端已弃用

在 RHEL 9 中，iptables 框架已弃用。因此，firewalld 中的 iptables 后端和 direct interface 也被弃用。您可以使用 firewalld 中的原生功能，而不是 direct interface 来配置所需的规则。

PF_KEYv2 内核 API 已被弃用

应用程序可以使用 PV_KEYv2 和较新的 netlink API 配置内核的 IPsec 实现。PV_KEYv2 没有在上游进行主动维护，并且缺少重要的安全功能，如现代密码、卸载和扩展的序列号支持。因此，从 RHEL 9.3 开始，PV_KEYv2 API 已被弃用，并将在下一个主 RHEL 发行版本中删除。如果您在应用程序中使用此内核 API，请对其进行迁移，以使用现代 netlink API 作为替代。

在 RHEL 9 中弃用 ATM 封装

异步传输模式(ATM)封装为 ATM Adaptation Layer 5(AAL-5)提供第 2 层（Point-to-Point 协议、以太网）或第 3 层（IP）连接。从 RHEL 7 开始，红帽尚未为 ATM NIC 驱动程序提供支持。RHEL 9 中丢弃对 ATM 实施的支持。这些协议目前仅在芯片组中使用，该协议支持 ADSL 技术，并由制造商逐步淘汰。因此，Red Hat Enterprise Linux 9 中已弃用 ATM 封装。

kexec-tools 的 kexec_load 系统调用已弃用

在以后的 RHEL 版本中将不支持 kexec_load 系统调用（其载入第二个内核）。kexec_file_load 系统调用替换了 kexec_load，它现在是所有架构上的默认系统调用。

RHEL 9 中已弃用网络团队（Network teams）

teamd 服务和 libteam 库在 Red Hat Enterprise Linux 9 中已弃用，并将在下一个主发行版本中删除。作为替换，配置绑定而不是网络组。

lvm2-activation-generator 及其生成的服务在 RHEL 9.0 中删除

lvm2-activation-generator 程序及其生成的服务 lvm2-activation、lvm2-activation-early、lvm2-activation-net 已在 RHEL 9.0 中删除。lvm.conf event_activation 设置用于激活服务将不再起作用。自动激活卷组的唯一方法是基于事件激活。