Language:
Format:

Red Hat Training

A Red Hat training course is available for RHEL 8

8.0 Notas de la versión

2021-02-22Red Hat

Proporcionar comentarios sobre la documentación de Red Hat

Agradecemos su opinión sobre nuestra documentación. Por favor, díganos cómo podemos mejorarla. Para ello:

Para realizar comentarios sencillos sobre pasajes concretos, asegúrese de que está viendo la documentación en el formato HTML multipágina. Resalte la parte del texto que desea comentar. A continuación, haga clic en la ventana emergente Add Feedback que aparece debajo del texto resaltado y siga las instrucciones que aparecen.
Para enviar comentarios más complejos, cree un ticket de Bugzilla:
1. Vaya al sitio web de Bugzilla.
2. Como componente, utilice Documentation.
3. Rellene el campo Description con su sugerencia de mejora. Incluya un enlace a la(s) parte(s) pertinente(s) de la documentación.
4. Haga clic en Submit Bug.

Capítulo 1. Resumen

Basado en Fedora 28 y el kernel upstream 4.18, Red Hat Enterprise Linux 8.0 proporciona a los usuarios una base estable, segura y consistente en las implementaciones de nube híbrida con las herramientas necesarias para soportar cargas de trabajo tradicionales y emergentes. Los aspectos más destacados de la versión incluyen:

Distribución

El contenido está disponible a través de los repositorios BaseOS y Application Stream (AppStream).
El repositorio AppStream admite una nueva extensión del formato RPM tradicional: modules. Esto permite disponer de varias versiones principales de un componente para su instalación.

Para más información, consulte Capítulo 3, Distribución de contenidos en RHEL 8.

Gestión de software

El gestor de paquetes YUM se basa ahora en la tecnología DNF y ofrece soporte para contenidos modulares, mayor rendimiento y una API estable y bien diseñada para la integración con herramientas.

Consulte Sección 5.1.4, “Gestión del software” para más detalles.

Shell y herramientas de línea de comandos

RHEL 8 proporciona los siguientes version control systems: Git 2.18, Mercurial 4.8, y Subversion 1.10.

Consulte ??? para más detalles.

Lenguajes de programación dinámicos, servidores web y de bases de datos

Python 3.6 es la implementación por defecto de Python en RHEL 8; se proporciona un soporte limitado para Python 2.7. No se instala ninguna versión de Python por defecto.
Node.js es nuevo en RHEL. Otros dynamic programming languages se han actualizado desde RHEL 7: PHP 7.2, Ruby 2.5, Perl 5.26, SWIG 3.0 ya están disponibles.
Los siguientes database servers se distribuyen con RHEL 8: MariaDB 10.3, MySQL 8.0, PostgreSQL 10, PostgreSQL 9.6 y Redis 5.
RHEL 8 proporciona el servidor HTTP Apache 2.4 e introduce un nuevo web server, nginx 1.14.
Squid ha sido actualizado a la versión 4.4, y ahora se incluye un nuevo proxy caching server: Varnish Cache 6.0.

Para más información, consulte Sección 5.1.7, “Lenguajes de programación dinámicos, servidores web y de bases de datos”.

Escritorio

GNOME Shell se ha reajustado a la versión 3.28.
La sesión de GNOME y el gestor de pantalla de GNOME utilizan Wayland como servidor de pantalla por defecto. El servidor X.Org, que es el servidor de visualización por defecto en RHEL 7, también está disponible.

Para más información, consulte Sección 5.1.8, “Escritorio”.

Creación del instalador y de la imagen

El instalador de Anaconda puede utilizar el cifrado de discos de LUKS2 e instalar el sistema en dispositivos de NVDIMM.
La herramienta Image Builder permite a los usuarios crear imágenes de sistema personalizadas en una variedad de formatos, incluidas las imágenes preparadas para su despliegue en nubes de varios proveedores.
La instalación desde un DVD utilizando la consola de gestión de hardware (HMC) y el elemento de soporte (SE) en IBM Z están disponibles en RHEL 8.

Consulte Sección 5.1.2, “Creación del instalador y de la imagen” para más detalles.

Núcleo

La función extendida Berkeley Packet Filtering (eBPF) ) permite que el espacio de usuario adjunte programas personalizados en una variedad de puntos (sockets, puntos de rastreo, recepción de paquetes) para recibir y procesar datos. Esta característica está disponible en Technology Preview.
BPF Compiler Collection (BCC), una herramienta para crear programas eficientes de rastreo y manipulación del núcleo, está disponible en Technology Preview.

Para más información, consulte Sección 5.3.1, “Núcleo”.

Sistemas de archivos y almacenamiento

El formato LUKS versión 2 (LUKS2) sustituye al formato LUKS heredado (LUKS1). El subsistema dm-crypt y la herramienta cryptsetup utilizan ahora LUKS2 como formato por defecto para los volúmenes cifrados.

Para más información, consulte Sección 5.1.12, “Sistemas de archivos y almacenamiento”.

Seguridad

En todo el sistema cryptographic policies, que configura los subsistemas criptográficos principales, cubriendo los protocolos TLS, IPsec, SSH, DNSSEC y Kerberos, se aplican por defecto. Con el nuevo comando update-crypto-policies, el administrador puede cambiar fácilmente entre los modos: por defecto, heredado, futuro y fips.
La compatibilidad con smart cards y los módulos de seguridad de hardware (HSM) con PKCS #11 es ahora consistente en todo el sistema.

Para más información, consulte Sección 5.1.15, “Seguridad”.

Red

El marco nftables sustituye a iptables en el papel de la instalación de filtrado de paquetes de red por defecto.
El demonio firewalld ahora utiliza nftables como su backend por defecto.
Se ha introducido la compatibilidad con los controladores de red virtuales de IPVLAN que permiten la conectividad de red para múltiples contenedores.
El eXpress Data Path (XDP), el XDP para el control del tráfico (tc) y el Address Family eXpress Data Path (AF_XDP), como partes de la función ampliada Berkeley Packet Filtering (eBPF) ), están disponibles en Technology Previews. Para más detalles, véase Sección 5.3.7, “Red”.

Consulte Sección 5.1.14, “Red” para conocer las características adicionales.

Virtualización

Ahora se admite un tipo de máquina más moderno basado en PCI Express (Q35) y se configura automáticamente en las máquinas virtuales creadas en RHEL 8. Esto proporciona una serie de mejoras en las características y la compatibilidad de los dispositivos virtuales.
Ahora se pueden crear y gestionar máquinas virtuales mediante la consola web de RHEL 8, también conocida como Cockpit.
El emulador QEMU introduce la función sandboxing, que proporciona limitaciones configurables a las llamadas de sistemas que QEMU puede realizar, y por lo tanto hace que las máquinas virtuales sean más seguras.

Para más información, consulte Sección 5.1.16, “Virtualización”.

Compiladores y herramientas de desarrollo

El compilador GCC, basado en la versión 8.2, aporta compatibilidad con las versiones más recientes del estándar del lenguaje C, mejores optimizaciones, nuevas técnicas de endurecimiento del código, advertencias mejoradas y nuevas funciones de hardware.
Varias herramientas de generación, manipulación y depuración de código pueden ahora manejar experimentalmente el formato de información de depuración DWARF5.
El soporte del kernel para eBPF tracing está disponible para algunas herramientas, como BCC, PCP y SystemTap.
Las bibliotecas glibc basadas en la versión 2.28 añaden compatibilidad con Unicode 11, nuevas llamadas al sistema Linux, mejoras clave en el resolvedor de DNS, endurecimiento adicional de la seguridad y mejora del rendimiento.
RHEL 8 proporciona OpenJDK 11, OpenJDK 8, IcedTea-Web y varias herramientas de Java, como Ant, Maven o Scala.

Consulte Sección 5.1.11, “Compiladores y herramientas de desarrollo” para obtener más detalles.

Alta disponibilidad y clusters

El gestor de recursos del clúster Pacemaker se ha actualizado a la versión 2.0.0, que proporciona una serie de correcciones de errores y mejoras.
En RHEL 8, el sistema de configuración pcs es totalmente compatible con Corosync 3, knet y los nombres de nodo.

Para más información, consulte Sección 5.1.13, “Alta disponibilidad y clusters”.

Recursos adicionales

Capabilities and limits de Red Hat Enterprise Linux 8 en comparación con otras versiones del sistema están disponibles en el artículo de la base de conocimientos Capacidades y límites de la tecnología Red Hat Enterprise Linux.
La información relativa a Red Hat Enterprise Linux life cycle se proporciona en el documento Ciclo de vida de Red Hat Enterprise Linux.
El documento del manifiesto del paquete proporciona un package listing para RHEL 8.
Los principales differences between RHEL 7 and RHEL 8 están documentados en Consideraciones para la adopción de RHEL 8.
En el documento Actualización de RHEL 7 a RHEL 8 se proporcionan instrucciones sobre cómo realizar un in-place upgrade from RHEL 7 to RHEL 8.
Las rutas de actualización soportadas actualmente se enumeran en Rutas de actualización in situ soportadas para Red Hat Enterprise Linux.
El servicio Red Hat Insights, que le permite identificar, examinar y resolver proactivamente los problemas técnicos conocidos, está ahora disponible con todas las suscripciones de RHEL. Para obtener instrucciones sobre cómo instalar el cliente Red Hat Insights y registrar su sistema en el servicio, consulte la página Red Hat Insights Get Started.

Portal de clientes de Red Hat Labs

Red Hat Customer Portal Labs es un conjunto de herramientas en una sección del Portal del Cliente disponible en https://access.redhat.com/labs/. Las aplicaciones del Portal del Cliente de Red Hat Labs pueden ayudarle a mejorar el rendimiento, a solucionar rápidamente los problemas, a identificar los problemas de seguridad y a desplegar y configurar rápidamente las aplicaciones complejas. Algunas de las aplicaciones más populares son:

Capítulo 2. Arquitecturas

Red Hat Enterprise Linux 8.0 se distribuye con la versión 4.18.0-80 del kernel, que proporciona soporte para las siguientes arquitecturas:

Arquitecturas de 64 bits de AMD e Intel
La arquitectura ARM de 64 bits
IBM Power Systems, Little Endian
IBM Z

Asegúrese de adquirir la suscripción apropiada para cada arquitectura. Para más información, consulte Introducción a Red Hat Enterprise Linux - arquitecturas adicionales. Para una lista de suscripciones disponibles, vea Utilización de suscripciones en el Portal del cliente.

Capítulo 3. Distribución de contenidos en RHEL 8

3.1. Instalación

Red Hat Enterprise Linux 8 se instala mediante imágenes ISO. Hay dos tipos de imágenes ISO disponibles para las arquitecturas AMD64, Intel 64 bits, ARM 64 bits, IBM Power Systems e IBM Z:

DVD ISO binario: Una imagen de instalación completa que contiene los repositorios de BaseOS y AppStream y permite completar la instalación sin repositorios adicionales.

Nota

La imagen ISO de DVD binario es mayor de 4,7 GB, por lo que es posible que no quepa en un DVD de una sola capa. Se recomienda un DVD de doble capa o una llave USB cuando se utilice la imagen ISO de DVD binario para crear medios de instalación de arranque. También puede utilizar la herramienta Image Builder para crear imágenes RHEL personalizadas. Para obtener más información sobre Image Builder, consulte el Composing a customized RHEL system image documento.

Boot ISO: Una imagen ISO de arranque mínima que se utiliza para arrancar en el programa de instalación. Esta opción requiere acceso a los repositorios de BaseOS y AppStream para instalar los paquetes de software. Los repositorios forman parte de la imagen ISO del DVD binario.

Consulte el documento Realización de una instalación estándar de RHEL para obtener instrucciones sobre la descarga de imágenes ISO, la creación de medios de instalación y la finalización de una instalación de RHEL. Para las instalaciones automatizadas de Kickstart y otros temas avanzados, consulte el documento Realización de una instalación avanzada de RHEL.

3.2. Repositorios

Red Hat Enterprise Linux 8 se distribuye a través de dos repositorios principales:

BaseOS
AppStream

Ambos repositorios son necesarios para una instalación básica de RHEL, y están disponibles con todas las suscripciones de RHEL.

El contenido del repositorio de BaseOS está destinado a proporcionar el conjunto básico de la funcionalidad del sistema operativo subyacente que proporciona la base para todas las instalaciones. Este contenido está disponible en el formato RPM y está sujeto a términos de soporte similares a los de las versiones anteriores de RHEL. Para obtener una lista de los paquetes distribuidos a través de BaseOS, consulte el manifiesto de paquetes.

El contenido en el repositorio de Application Stream incluye aplicaciones adicionales de espacio de usuario, lenguajes de tiempo de ejecución y bases de datos en apoyo de las variadas cargas de trabajo y casos de uso. El contenido de AppStream está disponible en uno de los dos formatos: el conocido formato RPM y una extensión del formato RPM llamada modules. Para ver la lista de paquetes disponibles en AppStream, consulte el manifiesto de paquetes.

Además, el repositorio CodeReady Linux Builder está disponible con todas las suscripciones a RHEL. Proporciona paquetes adicionales para el uso de los desarrolladores. Los paquetes incluidos en el repositorio CodeReady Linux Builder no son compatibles.

Para obtener más información sobre los repositorios de RHEL 8, consulte el manifiesto de paquetes.

3.3. Flujos de aplicaciones

Red Hat Enterprise Linux 8.0 introduce el concepto de Application Streams. Ahora se entregan y actualizan múltiples versiones de componentes del espacio de usuario con mayor frecuencia que los paquetes del sistema operativo principal. Esto proporciona una mayor flexibilidad para personalizar Red Hat Enterprise Linux sin afectar a la estabilidad subyacente de la plataforma o a implementaciones específicas.

Los componentes disponibles como Application Streams pueden ser empaquetados como módulos o paquetes RPM y son entregados a través del repositorio AppStream en RHEL 8. Cada componente de Application Stream tiene un ciclo de vida determinado, véase el ciclo de vida de Red Hat Enterprise Linux 8 Application Streams.

Los módulos son colecciones de paquetes que representan una unidad lógica: una aplicación, una pila de lenguajes, una base de datos o un conjunto de herramientas. Estos paquetes se construyen, se prueban y se publican juntos.

Los flujos de módulos representan versiones de los componentes del flujo de aplicaciones. Por ejemplo, hay dos flujos (versiones) del servidor de base de datos PostgreSQL disponibles en el módulo postgresql: PostgreSQL 10 (el flujo por defecto) y PostgreSQL 9.6. Sólo se puede instalar un flujo del módulo en el sistema. Diferentes versiones pueden ser utilizadas en contenedores separados.

Los comandos detallados de los módulos se describen en el documento Instalación, gestión y eliminación de componentes del espacio de usuario. Para obtener una lista de los módulos disponibles en AppStream, consulte el manifiesto de paquetes.

Capítulo 4. Lanzamiento de RHEL 8.0.1

4.1. Nuevas características

Actualización de los roles del sistema RHEL

Se han actualizado los paquetes rhel-system-roles, que proporcionan una interfaz de configuración para los subsistemas de RHEL. Los cambios más destacados son:

Se ha mejorado la gestión de los perfiles ausentes en el rol de red. Cuando se elimina la configuración de un perfil existente de NetworkManager en el disco estableciendo el estado persistente como ausente, ahora sólo se elimina la configuración persistente para el perfil, y la configuración actual en tiempo de ejecución permanece sin cambios. Como resultado, el dispositivo de red correspondiente ya no se cae en la situación descrita.
Se ha corregido la especificación del tamaño de la unidad de transmisión máxima (MTU) para las interfaces VLAN y MACVLAN en el rol de red. Como resultado, la configuración del tamaño de MTU en las interfaces VLAN y MACVLAN utilizando el rol de red ya no falla con el siguiente mensaje de error:
```
failure: created connection failed to normalize: nm-connection-error-quark:
connection.type: property is missing (6)
```
Los roles selinux y timesync ahora incluyen todas sus variables de entrada documentadas en sus archivos defaults(defaults/main.yml). Esto hace que sea fácil determinar qué variables de entrada son soportadas por los roles examinando el contenido de sus respectivos archivos defaults.
Los roles kdump y timesync han sido corregidos para que no fallen en modo de comprobación.

(BZ#1685902, BZ#1674004, BZ#1685904)

sos-collector rebasado a la versión 1.7

Los paquetes sos-collector han sido actualizados a la versión 1.7 en RHEL 8.0.1. Los cambios notables incluyen:

sos-collector puede ahora recoger sosreports de los nodos Red Hat Enterprise Linux CoreOS (RHCOS) de la misma manera que de los nodos RHEL normales. Los usuarios no necesitan hacer ningún cambio en la forma de ejecutar sos-collector. La identificación de cuando un nodo es RHCOS o RHEL es automática.
Cuando se recolecta de nodos RHCOS, sos-collector creará un contenedor temporal en el nodo y utilizará el contenedor support-tools para generar un sosreport. Este contenedor se eliminará después de la finalización.
El uso de la opción --cluster-type=none permite a los usuarios omitir todas las comprobaciones o modificaciones relacionadas con los clústeres en el comando sosreport que se ejecuta en los nodos, y simplemente recopilar de una lista estática de nodos pasada a través del parámetro --nodes.
Red Hat Satellite es ahora un tipo de cluster soportado para permitir la recolección de sosreports desde el Satélite y cualquier Cápsula.

(BZ#1695764)

Juegos de herramientas de compilación actualizados

Los siguientes conjuntos de herramientas de compilación, distribuidos como Application Streams, se han actualizado con RHEL 8.0.1:

Rust Toolset, que proporciona el compilador del lenguaje de programación Rust rustc, la herramienta de construcción cargo y el gestor de dependencias, así como las bibliotecas necesarias, a la versión 1.35
Go Toolset, que proporciona las herramientas y bibliotecas del lenguaje de programación Go(golang), a la versión 1.11.6.

(BZ#1731500)

Activación y desactivación de SMT

La configuración de Multi-Threading Simultáneo (SMT) está ahora disponible en RHEL 8. Desactivar SMT en la consola web permite mitigar una clase de vulnerabilidades de seguridad de la CPU como:

(BZ#1713186)

4.2. Problemas conocidos

Deterioro del rendimiento en los túneles IPSec

El uso del conjunto de cifrado IPSec aes256_sha2 o aes-gcm256 en RHEL 8.0.1 tiene un impacto negativo en el rendimiento de los túneles IPSec. Los usuarios con configuraciones específicas de VPN experimentarán un deterioro del 10% en el rendimiento de los túneles IPSec. Esta regresión no es causada por las mitigaciones de muestreo de datos microarquitectónicos (MDS); se puede observar con las mitigaciones tanto activadas como desactivadas.

(BZ#1731362)

Capítulo 5. Lanzamiento de RHEL 8.0.0

5.1. Nuevas características

Esta parte describe las nuevas características y las principales mejoras introducidas en Red Hat Enterprise Linux 8.

5.1.1. La consola web

Nota

La página de suscripciones de la consola web ahora es proporcionada por el nuevo paquete subscription-manager-cockpit.

Se ha añadido una interfaz de cortafuegos a la consola web

La página Networking de la consola web de RHEL 8 incluye ahora una sección Firewall. En esta sección, los usuarios pueden activar o desactivar el cortafuegos, así como añadir, eliminar y modificar las reglas del mismo.

(BZ#1647110)

La consola web está ahora disponible por defecto

Los paquetes para la consola web de RHEL 8, también conocida como Cockpit, son ahora parte de los repositorios por defecto de Red Hat Enterprise Linux, y por lo tanto pueden ser instalados inmediatamente en un sistema RHEL 8 registrado.

Además, en una instalación no mínima de RHEL 8, la consola web se instala automáticamente y los puertos del cortafuegos requeridos por la consola se abren automáticamente. También se ha añadido un mensaje del sistema antes del inicio de sesión que proporciona información sobre cómo habilitar o acceder a la consola web.

(JIRA:RHELPLAN-10355)

Mejor integración de IdM para la consola web

Si su sistema está inscrito en un dominio de gestión de identidades (IdM), la consola web de RHEL 8 utiliza ahora por defecto los recursos IdM gestionados de forma centralizada del dominio. Esto incluye las siguientes ventajas:

Los administradores del dominio IdM pueden utilizar la consola web para gestionar la máquina local.
El servidor web de la consola cambia automáticamente a un certificado emitido por la autoridad de certificación (CA) de IdM y aceptado por los navegadores.
Los usuarios con un ticket Kerberos en el dominio IdM no necesitan proporcionar credenciales de acceso para acceder a la consola web.
Los hosts SSH conocidos por el dominio IdM son accesibles a la consola web sin necesidad de añadir manualmente una conexión SSH.

Tenga en cuenta que para que la integración de IdM con la consola web funcione correctamente, el usuario debe ejecutar primero la utilidad ipa-advise con la opción enable-admins-sudo en el sistema maestro de IdM.

(JIRA:RHELPLAN-3010)

La consola web es ahora compatible con los navegadores móviles

Con esta actualización, los menús y las páginas de la consola web se pueden navegar en variantes de navegadores móviles. Esto hace posible la gestión de sistemas mediante la consola web de RHEL 8 desde un dispositivo móvil.

(JIRA:RHELPLAN-10352)

La página principal de la consola web muestra ahora las actualizaciones y suscripciones que faltan

Si un sistema gestionado por la consola web de RHEL 8 tiene paquetes obsoletos o una suscripción caducada, ahora se muestra una advertencia en la página principal de la consola web del sistema.

(JIRA:RHELPLAN-10353)

La consola web ahora admite la inscripción de PBD

Con esta actualización, puede utilizar la interfaz de la consola web de RHEL 8 para aplicar reglas de descifrado basadas en políticas (PBD) a los discos de los sistemas gestionados. Esto utiliza el cliente de descifrado Clevis para facilitar una serie de funciones de gestión de la seguridad en la consola web, como el desbloqueo automático de las particiones de disco cifradas con LUKS.

(JIRA:RHELPLAN-10354)

Las máquinas virtuales se pueden gestionar ahora mediante la consola web

Ahora se puede añadir la página de máquinas vir tuales a la interfaz de la consola web de RHEL 8, que permite al usuario crear y gestionar máquinas virtuales basadas en libvirt.

(JIRA:RHELPLAN-2896)

5.1.2. Creación del instalador y de la imagen

La instalación de RHEL desde un DVD utilizando SE y HMC es ahora totalmente compatible con IBM Z

La instalación de Red Hat Enterprise Linux 8 en el hardware IBM Z desde un DVD usando Support Element (SE) y Hardware Management Console (HMC) es ahora totalmente compatible. Esta adición simplifica el proceso de instalación en IBM Z con SE y HMC.

Cuando se arranca desde un DVD binario, el instalador pide al usuario que introduzca parámetros adicionales del kernel. Para establecer el DVD como fuente de instalación, añada inst.repo=hmc a los parámetros del kernel. El instalador entonces habilita el acceso a los archivos SE y HMC, obtiene las imágenes para la etapa 2 desde el DVD, y proporciona acceso a los paquetes en el DVD para la selección de software.

La nueva función elimina el requisito de una configuración de red externa y amplía las opciones de instalación.

(BZ#1500792)

El instalador ahora es compatible con el formato de cifrado de disco LUKS2

El instalador de Red Hat Enterprise Linux 8 ahora utiliza el formato LUKS2 por defecto, pero puede seleccionar una versión LUKS desde la ventana Anaconda’s Custom Partitioning o utilizando las nuevas opciones en los comandos autopart, logvol, part y RAID de Kickstart.

LUKS2 aporta muchas mejoras y características, por ejemplo, amplía las capacidades del formato en disco y proporciona formas flexibles de almacenar metadatos.

(BZ#1547908)

Anaconda admite el propósito del sistema en RHEL 8

Anteriormente, Anaconda no proporcionaba información sobre el propósito del sistema a Subscription Manager. En Red Hat Enterprise Linux 8.0, puede establecer el propósito del sistema durante la instalación utilizando la ventana Propósito del sistema de Anaconda’s o el comando syspurpose de Kickstart. Cuando la instalación se completa, Subscription Manager utiliza la información de propósito del sistema cuando se suscribe el sistema.

(BZ#1612060)

Pykickstart es compatible con System Purpose en RHEL 8

Anteriormente, no era posible que la biblioteca pykickstart proporcionara información sobre el propósito del sistema a Subscription Manager. En Red Hat Enterprise Linux 8.0, pykickstart analiza el nuevo comando syspurpose y registra el propósito del sistema durante la instalación automatizada y parcialmente automatizada. La información se pasa a Anaconda, se guarda en el sistema recién instalado y está disponible para Subscription Manager cuando se suscribe el sistema.

(BZ#1612061)

Anaconda soporta un nuevo parámetro de arranque del kernel en RHEL 8

Anteriormente, sólo se podía especificar un repositorio base desde los parámetros de arranque del kernel. En Red Hat Enterprise Linux 8, un nuevo parámetro del kernel, inst.addrepo=<name>,<url>, le permite especificar un repositorio adicional durante la instalación.

Este parámetro tiene dos valores obligatorios: el nombre del repositorio y la URL que apunta al repositorio. Para más información, consulte https://anaconda-installer.readthedocs.io/en/latest/boot-options.html#inst-addrepo

(BZ#1595415)

Anaconda soporta una ISO unificada en RHEL 8

En Red Hat Enterprise Linux 8.0, una ISO unificada carga automáticamente los repositorios fuente de instalación de BaseOS y AppStream.

Esta característica funciona para el primer repositorio base que se carga durante la instalación. Por ejemplo, si arranca la instalación sin ningún repositorio configurado y tiene la ISO unificada como repositorio base en la GUI, o si arranca la instalación usando la opción inst.repo= que apunta a la ISO unificada. Como resultado, el repositorio de AppStream está habilitado en la sección Additional Repositories de la ventana de la GUI Installation Source. No se puede eliminar el repositorio AppStream o cambiar su configuración, pero se puede desactivar en Installation Source. Esta característica no funciona si arranca la instalación utilizando un repositorio base diferente y luego lo cambia por la ISO unificada. Si hace eso, el repositorio base es reemplazado. Sin embargo, el repositorio de AppStream no es reemplazado y apunta al archivo original.

(BZ#1610806)

Anaconda puede instalar paquetes modulares en scripts Kickstart

El instalador de Anaconda se ha ampliado para manejar todas las características relacionadas con los flujos de aplicaciones: módulos, flujos y perfiles. Los scripts Kickstart pueden ahora habilitar combinaciones de módulos y flujos, instalar perfiles de módulos e instalar paquetes modulares. Para más información, vea Cómo realizar una instalación avanzada de RHEL.

(JIRA:RHELPLAN-1943)

La opción de arranque nosmt está ahora disponible en las opciones de instalación de RHEL 8

La opción de arranque nosmt está disponible en las opciones de instalación que se pasan a un sistema RHEL 8 recién instalado.

(BZ#1677411)

RHEL 8 soporta la instalación desde un repositorio en un disco duro local

Anteriormente, la instalación de RHEL desde un disco duro requería una imagen ISO como fuente de instalación. Sin embargo, la imagen ISO de RHEL 8 puede ser demasiado grande para algunos sistemas de archivos; por ejemplo, el sistema de archivos FAT32 no puede almacenar archivos de más de 4 GiB.

En RHEL 8, puede habilitar la instalación desde un repositorio en un disco duro local. Sólo tiene que especificar el directorio en lugar de la imagen ISO. Por ejemplo:`inst.repo=hd:<device>:<path to the repository>`

(BZ#1502323)

La creación de imágenes de sistema personalizadas con Image Builder está disponible en RHEL 8

La herramienta Image Builder permite a los usuarios crear imágenes RHEL personalizadas. Image Builder está disponible en AppStream en el paquete lorax-composer paquete.

Con Image Builder, los usuarios pueden crear imágenes de sistema personalizadas que incluyan paquetes adicionales. Se puede acceder a la funcionalidad de Image Builder a través de:

una interfaz gráfica de usuario en la consola web
una interfaz de línea de comandos en la herramienta composer-cli.

Los formatos de salida de Image Builder incluyen, entre otros:

imagen de disco ISO en vivo
archivo qcow2 para su uso directo con una máquina virtual u OpenStack
archivo de imagen del sistema de archivos
imágenes en la nube para Azure, VMWare y AWS

Para obtener más información sobre Image Builder, consulte el título de la documentación Composición de una imagen de sistema RHEL personalizada.

(JIRA:RHELPLAN-7291, BZ#1628645, BZ#1628646, BZ#1628647, BZ#1628648)

5.1.3. Núcleo

Versión del núcleo en RHEL 8.0

Red Hat Enterprise Linux 8.0 se distribuye con la versión 4.18.0-80 del kernel.

(BZ#1797671)

Ya está disponible el direccionamiento físico ARM de 52 bits

Con esta actualización, se dispone de soporte para el direccionamiento físico (PA) de 52 bits para la arquitectura ARM de 64 bits. Esto proporciona un mayor espacio de direcciones que el anterior PA de 48 bits.

(BZ#1643522)

El código IOMMU soporta tablas de páginas de 5 niveles en RHEL 8

El código de la unidad de gestión de memoria de E/S (IOMMU) en el kernel de Linux ha sido actualizado para soportar tablas de páginas de 5 niveles en Red Hat Enterprise Linux 8.

(BZ#1485546)

Soporte para la paginación de 5 niveles

Se ha añadido un nuevo tipo de tabla de páginas de software P4d_t en el kernel de Linux para soportar la paginación de 5 niveles en Red Hat Enterprise Linux 8.

(BZ#1485532)

La gestión de la memoria admite tablas de páginas de 5 niveles

Con Red Hat Enterprise Linux 7, el bus de memoria existente tenía 48/46 bits de capacidad de direccionamiento de memoria virtual/física, y el kernel de Linux implementó 4 niveles de tablas de páginas para gestionar estas direcciones virtuales a direcciones físicas. La línea de direccionamiento del bus físico puso la capacidad límite superior de la memoria física en 64 TB.

Estos límites se han ampliado a 57/52 bits de direccionamiento de memoria virtual/física con 128 PiB de espacio de direcciones virtuales y 4 PB de capacidad de memoria física.

Con el rango de direcciones ampliado, la gestión de memoria en Red Hat Enterprise Linux 8 añade soporte para la implementación de tablas de páginas de 5 niveles, para poder manejar el rango de direcciones ampliado.

(BZ#1485525)

kernel-signing-ca. cer se traslada a kernel-core en RHEL 8

En todas las versiones de Red Hat Enterprise Linux 7, la clave pública kernel-signing-ca.cer se encontraba en el paquete kernel-doc. Sin embargo, en Red Hat Enterprise Linux 8, kernel-signing-ca.cer se ha reubicado en el paquete kernel-core para todas las arquitecturas.

(BZ#1638465)

La mitigación de Spectre V2 ha cambiado por defecto de IBRS a Retpolines

La mitigación por defecto para la vulnerabilidad Spectre V2 (CVE-2017-5715) para los sistemas con los procesadores Intel Core de 6ª generación y sus derivados cercanos [1] ha cambiado de Especulación restringida de rama indirecta (IBRS) a Retpolines en Red Hat Enterprise Linux 8. Red Hat ha implementado este cambio como resultado de las recomendaciones de Intel para alinearse con los valores por defecto utilizados en la comunidad Linux y para restaurar el rendimiento perdido. Sin embargo, tenga en cuenta que el uso de Retpolines en algunos casos puede no mitigar completamente Spectre V2. El documento de Retpoline de Intel [2] describe algunos casos de exposición. Este documento también afirma que el riesgo de un ataque es bajo.

Para los casos de uso en los que se desea una mitigación completa de Spectre V2, el usuario puede seleccionar IBRS a través de la línea de arranque del kernel añadiendo el indicador spectre_v2=ibrs.

Si uno o más módulos del kernel no fueron construidos con el soporte de Retpoline, el archivo /sys/devices/system/cpu/vulnerabilities/spectre_v2 indicará la vulnerabilidad y el archivo /var/log/messages identificará los módulos infractores. Ver Cómo determinar qué módulos son los responsables de que spectre_v2 devuelva "Vulnerable": ¿Retpoline con módulo(s) inseguro(s)? " para más información.

1] La "6ª generación de procesadores Intel Core y sus derivados cercanos" es lo que el documento de Retpolines de Intel denomina "generación Skylake".

2] Retpoline: Una mitigación de la inyección en el objetivo de la rama - Libro Blanco

(BZ#1651806)

Software de host Intel® Omni-Path Architecture (OPA)

El software de host Intel Omni-Path Architecture (OPA) es totalmente compatible con Red Hat Enterprise Linux 8.

Intel OPA proporciona el hardware Host Fabric Interface (HFI) con la inicialización y la configuración para las transferencias de datos de alto rendimiento (alto ancho de banda, alta tasa de mensajes, baja latencia) entre los nodos de computación y E/S en un entorno de clúster.

Para obtener instrucciones sobre la instalación de la documentación de la Arquitectura Intel Omni-Path, consulte: https://www.intel.com/content/dam/support/us/en/documents/network-and-i-o/fabric-products/Intel_OP_Software_RHEL_8_RN_K51383.pdf

(BZ#1683712)

NUMA soporta más nodos en RHEL 8

Con esta actualización, el número de nodos de acceso a memoria no uniforme (NUMA) se ha incrementado de 4 nodos NUMA a 8 nodos NUMA en Red Hat Enterprise Linux 8 en sistemas con arquitectura ARM de 64 bits.

(BZ#1550498)

El passthrough de IOMMU está ahora habilitado por defecto en RHEL 8

La unidad de gestión de memoria de entrada/salida (IOMMU) se ha activado por defecto. Esto proporciona un mejor rendimiento para los sistemas AMD, ya que la reasignación de acceso directo a la memoria (DMA) está deshabilitada para el host. Esta actualización aporta coherencia con los sistemas Intel, en los que la reasignación DMA también está desactivada por defecto. Los usuarios pueden desactivar este comportamiento (y activar la reasignación DMA) especificando los parámetros iommu.passthrough=off o iommu=nopt en la línea de comandos del kernel, incluyendo el hipervisor.

(BZ#1658391)

El kernel de RHEL8 ahora soporta tablas de páginas de 5 niveles

El kernel de Red Hat Enterprise Linux es ahora totalmente compatible con los futuros procesadores Intel con hasta 5 niveles de tablas de páginas. Esto permite a los procesadores soportar hasta 4PB de memoria física y 128PB de espacio de direcciones virtuales. Las aplicaciones que utilizan grandes cantidades de memoria pueden ahora utilizar toda la memoria posible proporcionada por el sistema sin las restricciones de las tablas de páginas de 4 niveles.

(BZ#1623590)

El kernel de RHEL8 es compatible con el IBRS mejorado para las futuras CPU de Intel

El kernel de Red Hat Enterprise Linux ahora soporta el uso de la capacidad mejorada de Especulación Restringida de Rama Indirecta (IBRS) para mitigar la vulnerabilidad Spectre V2. Cuando se habilita, IBRS funcionará mejor que Retpolines (por defecto) para mitigar Spectre V2 y no interferirá con la tecnología Intel Control-flow Enforcement. Como resultado, la penalización del rendimiento al activar la mitigación de Spectre V2 será menor en las futuras CPU de Intel.

(BZ#1614144)

se ha añadidobpftool para la inspección y manipulación de programas y mapas basados en eBPF

La utilidad bpftool, que sirve para inspeccionar y manipular de forma sencilla programas y mapas basados en el filtrado de paquetes de Berkeley ampliado (eBPF), ha sido añadida al kernel de Linux. bpftool forma parte del árbol de fuentes del kernel, y es proporcionada por el paquete bpftool, que se incluye como un subpaquete del paquete kernel.

(BZ#1559607)

Las fuentes de kernel-rt han sido actualizadas

Las fuentes de kernel-rt han sido actualizadas para utilizar el último árbol de fuentes del kernel de RHEL. El último árbol de fuentes del kernel utiliza ahora el conjunto de parches en tiempo real de la versión 4.18, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior.

(BZ#1592977)

5.1.4. Gestión del software

YUM mejora del rendimiento y apoyo a los contenidos modulares

En Red Hat Enterprise Linux 8, la instalación de software está garantizada por la nueva versión de la herramienta YUM, que se basa en la tecnología DNF (YUM v4).

YUM v4 tiene las siguientes ventajas sobre el anterior YUM v3 utilizado en RHEL 7:

Mayor rendimiento
Soporte para contenidos modulares
API estable y bien diseñada para la integración con las herramientas

Para obtener información detallada sobre las diferencias entre la nueva herramienta YUM v4 y la versión anterior YUM v3 de RHEL 7, consulte Cambios en DNF CLI en comparación con YUM.

YUM v4 es compatible con YUM v3 cuando se utiliza desde la línea de comandos, editando o creando archivos de configuración.

Para instalar software, puede utilizar el comando yum y sus opciones particulares de la misma manera que en RHEL 7.

Algunos plug-ins y utilidades de yum han sido portados al nuevo back-end de DNF, y pueden ser instalados con los mismos nombres que en RHEL 7. También proporcionan enlaces simbólicos de compatibilidad, por lo que los binarios, archivos de configuración y directorios se pueden encontrar en las ubicaciones habituales.

Tenga en cuenta que la antigua API de Python proporcionada por YUM v3 ya no está disponible. Se aconseja a los usuarios que migren sus plug-ins y scripts a la nueva API proporcionada por YUM v4 (DNF Python API), que es estable y totalmente compatible. La API Python de DNF está disponible en DNF API Reference.

Las APIs Libdnf y Hawkey (tanto en C como en Python) son inestables y probablemente cambiarán durante el ciclo de vida de Red Hat Enterprise Linux 8.

Para más detalles sobre los cambios de los paquetes YUM y la disponibilidad de las herramientas, consulte Consideraciones para la adopción de RHEL 8.

Algunas de las características de YUM v3 pueden comportarse de manera diferente en YUM v4. Si algún cambio de este tipo afecta negativamente a sus flujos de trabajo, abra un caso con el Soporte de Red Hat, como se describe en ¿Cómo abro y gestiono un caso de soporte en el Portal del Cliente?

(BZ#1581198)

Características notables de RPM en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con RPM 4.14. Esta versión introduce muchas mejoras respecto a RPM 4.11, que está disponible en RHEL 7. Las características más notables incluyen:

Los paquetes debuginfo pueden instalarse en paralelo
Apoyo a las dependencias débiles
Apoyo a las dependencias ricas o booleanas
Soporte para empaquetar archivos de más de 4 GB de tamaño
Apoyo a los activadores de archivos

Además, los cambios más notables son:

Un parser de especificaciones más estricto
Simplificación de la comprobación de la salida de la firma en modo no-verboso
Adiciones y desapariciones en las macros

(BZ#1581990)

RPM ahora valida todo el contenido del paquete antes de iniciar una instalación

En Red Hat Enterprise Linux 7, la utilidad RPM verificaba el contenido de la carga útil de los archivos individuales mientras los desempaquetaba. Sin embargo, esto es insuficiente por múltiples razones:

Si la carga útil está dañada, sólo se nota después de ejecutar las acciones del script, que son irreversibles.
Si la carga útil está dañada, la actualización de un paquete aborta después de reemplazar algunos archivos de la versión anterior, lo que rompe una instalación en funcionamiento.
Los hashes de los archivos individuales se realizan sobre datos sin comprimir, lo que hace que RPM sea vulnerable a las vulnerabilidades del descompresor.

En Red Hat Enterprise Linux 8, todo el paquete se valida antes de la instalación en un paso separado, utilizando el mejor hash disponible.

Los paquetes creados en Red Hat Enterprise Linux 8 utilizan un nuevo hash SHA-256 en la carga útil comprimida. En los paquetes firmados, el hash de la carga útil está protegido adicionalmente por la firma, y por lo tanto no puede ser alterado sin romper la firma y otros hashes en la cabecera del paquete. Los paquetes más antiguos utilizan el hash MD5 de la cabecera y la carga útil, a menos que se desactive por configuración.

La macro %_pkgverify_level se puede utilizar para activar adicionalmente la verificación de firmas antes de la instalación o para desactivar completamente la verificación de la carga útil. Además, la macro %_pkgverify_flags se puede utilizar para limitar qué hashes y firmas se permiten. Por ejemplo, es posible deshabilitar el uso del hash débil MD5 a costa de la compatibilidad con paquetes más antiguos.

(JIRA:RHELPLAN-10596)

5.1.5. Servicios de infraestructura

Cambios notables en el perfil recomendado de Tuned en RHEL 8

Con esta actualización, el perfil recomendado de Tuned (informado por el comando tuned-adm recommend ) se selecciona ahora en base a las siguientes reglas - la primera regla que coincida tiene efecto:

Si el rol syspurpose (reportado por el comando syspurpose show ) contiene atomic, y al mismo tiempo:
- si Tuned se ejecuta en metal desnudo, se selecciona el perfil atomic-host
- si Tuned se ejecuta en una máquina virtual, se selecciona el perfil atomic-guest
Si Tuned se ejecuta en una máquina virtual, se selecciona el perfil de invitado virtual
Si la función syspurpose contiene escritorio o estación de trabajo y el tipo de chasis (reportado por dmidecode) es portátil, laptop o portátil, entonces se selecciona el perfil balanceado
Si no coincide ninguna de las reglas anteriores, se selecciona el perfil de rendimiento de caudal

(BZ#1565598)

Los archivos producidos por named pueden escribirse en el directorio de trabajo

Anteriormente, el demonio named almacenaba algunos datos en el directorio de trabajo, que ha sido de sólo lectura en Red Hat Enterprise Linux. Con esta actualización, se han cambiado las rutas de los archivos seleccionados a subdirectorios, donde se permite la escritura. Ahora, los permisos por defecto del directorio Unix y SELinux permiten la escritura en el directorio. Los archivos distribuidos dentro del directorio siguen siendo de sólo lectura a named.

(BZ#1588592)

Las bases de datos Geolite han sido sustituidas por las bases de datos Geolite2

Las bases de datos Geolite que estaban presentes en Red Hat Enterprise Linux 7 fueron reemplazadas por las bases de datos Geolite2 en Red Hat Enterprise Linux 8.

Las bases de datos de geolitos eran proporcionadas por el paquete GeoIP. Este paquete, junto con la base de datos heredada, ya no está soportado en la versión anterior.

Las bases de datos de Geolite2 son proporcionadas por múltiples paquetes. El paquete libmaxminddb incluye la biblioteca y la herramienta de línea de comandos mmdblookup, que permite la búsqueda manual de direcciones. El binario geoipupdate del paquete GeoIP heredado es ahora proporcionado por el paquete geoipupdate, y es capaz de descargar tanto las bases de datos heredadas como las nuevas bases de datos Geolite2.

(JIRA:RHELPLAN-6746)

Los registros de CUPS son manejados por journald

En RHEL 8, los registros de CUPS ya no se almacenan en archivos específicos dentro del directorio /var/log/cups, que se utilizaba en RHEL 7. En RHEL 8, todos los tipos de registros de CUPS se registran de forma centralizada en el demonio systemd journald junto con los registros de otros programas. Para acceder a los registros de CUPS, utilice el comando journalctl -u cups. Para más información, consulte Trabajar con los registros de CUPS.

(JIRA:RHELPLAN-12764)

Características notables de BIND en RHEL 8

RHEL 8 incluye BIND (Berkeley Internet Name Domain) en la versión 9.11. Esta versión del servidor DNS introduce múltiples novedades y cambios de características respecto a la versión 9.10.

Nuevas características:

Se ha añadido un nuevo método de aprovisionamiento de servidores secundarios llamado Catalog Zones.
Las cookies del sistema de nombres de dominio son ahora enviadas por el servicio nombrado y la utilidad dig.
La función Response Rate Limiting ahora puede ayudar a mitigar los ataques de amplificación de DNS.
Se ha mejorado el rendimiento de la zona de política de respuesta (RPZ).
Se ha añadido un nuevo formato de archivo de zona llamado mapa. Los datos de zona almacenados en este formato pueden ser mapeados directamente en la memoria, lo que permite que las zonas se carguen significativamente más rápido.
Se ha añadido una nueva herramienta llamada delv (domain entity lookup and validation), con una semántica similar a la de dig para buscar datos DNS y realizar la validación interna de las extensiones de seguridad DNS (DNSSEC).
Ya está disponible un nuevo comando mdig. Este comando es una versión del comando `dig` que envía múltiples consultas en cadena y luego espera las respuestas, en lugar de enviar una consulta y esperar la respuesta antes de enviar la siguiente consulta.
Se ha añadido una nueva opción de prefetch, que mejora el rendimiento del resolver recursivo.
Se ha añadido una nueva opción de zona en la vista, que permite compartir los datos de la zona entre las vistas. Cuando se utiliza esta opción, varias vistas pueden servir las mismas zonas de forma autorizada sin almacenar varias copias en la memoria.
Se ha añadido una nueva opción max-zone-ttl, que impone los TTL máximos para las zonas. Cuando se carga una zona que contiene un TTL superior, la carga falla. Las actualizaciones de DNS dinámico (DDNS) con TTLs más altos se aceptan pero el TTL se trunca.
Se han añadido nuevas cuotas para limitar las consultas que envían los resolutores recursivos a los servidores autoritativos que sufren ataques de denegación de servicio.
La utilidad nslookup ahora busca por defecto tanto direcciones IPv6 como IPv4.
El servicio nombrado ahora comprueba si hay otros procesos de servidor de nombres en ejecución antes de iniciarse.
Al cargar una zona firmada, named comprueba ahora si la hora de inicio de una firma de registro de recursos (RSIG) es futura y, en caso afirmativo, regenera la RRSIG inmediatamente.
Las transferencias de zona utilizan ahora tamaños de mensaje más pequeños para mejorar la compresión de los mensajes, lo que reduce el uso de la red.

Cambios en las características:

El esquema XML de la versión 3 para el canal de estadísticas, que incluye nuevas estadísticas y un árbol XML aplanado para un análisis más rápido, se proporciona mediante la interfaz HTTP. El esquema XML de la versión 2 ya no es compatible.
El servicio nombrado ahora escucha en las interfaces IPv6 e IPv4 por defecto.
El servicio nombrado ya no soporta GeoIP. Las listas de control de acceso (ACL) definidas por la presunta ubicación del remitente de la consulta no están disponibles.

(JIRA:RHELPLAN-1820)

5.1.6. Shell y herramientas de línea de comandos

El usuario nobody sustituye a nfsnobody

En Red Hat Enterprise Linux 7, lo había:

la pareja de usuario y grupo nobody con el ID 99, y
el par de usuario y grupo nfsnobody con el ID de 65534, que es el ID de desbordamiento del kernel por defecto, también.

Ambos han sido fusionados en el par de usuario y grupo nobody, que utiliza el ID 65534 en Red Hat Enterprise Linux 8. Las nuevas instalaciones ya no crean el par nfsnobody.

Este cambio reduce la confusión sobre los archivos que no son propiedad de nadie pero que no tienen nada que ver con NFS.

(BZ#1591969)

Sistemas de control de versiones en RHEL 8

RHEL 8 proporciona los siguientes sistemas de control de versiones:

Git 2.18, un sistema de control de revisiones distribuido con una arquitectura descentralizada.
Mercurial 4.8, un sistema ligero de control de versiones distribuido, diseñado para el manejo eficiente de grandes proyectos.
Subversion 1.10, un sistema de control de versiones centralizado.

Tenga en cuenta que el Sistema de Versiones Concurrentes (CVS) y el Sistema de Control de Revisiones (RCS), disponibles en RHEL 7, no se distribuyen con RHEL 8.

(BZ#1693775)

Cambios notables en Subversion 1.10

Subversion 1.10 introduce una serie de nuevas características desde la versión 1.7 distribuida en RHEL 7, así como los siguientes cambios de compatibilidad:

Debido a incompatibilidades en las bibliotecas de Subversion utilizadas para soportar los enlaces de lenguaje, los enlaces de Python 3 para Subversion 1. 10 no están disponibles. Como consecuencia, las aplicaciones que requieren enlaces de Python para Subversion no son compatibles.
Los repositorios basados en Berkeley DB ya no están soportados. Antes de migrar, haga una copia de seguridad de los repositorios creados con Subversion 1. 7 utilizando el comando svnadmin dump. Después de instalar RHEL 8, restaure los repositorios utilizando el comando svnadmin load.
Las copias de trabajo existentes que han sido verificadas por el cliente Subversion 1.7 en RHEL 7 deben ser actualizadas al nuevo formato antes de que puedan ser utilizadas desde Subversion 1.10. Después de instalar RHEL 8, ejecute el comando svn upgrade en cada copia de trabajo.
Ya no se admite la autenticación con tarjeta inteligente para acceder a los repositorios mediante https://.

(BZ#1571415)

Cambios notables en dstat

RHEL 8 se distribuye con una nueva versión de la herramienta dstat. Esta herramienta forma ahora parte del conjunto de herramientas Performance Co-Pilot (PCP). El archivo /usr/bin/dstat y el nombre del paquete dstat lo proporciona ahora el paquete pcp-system-tools.

La nueva versión de dstat introduce las siguientes mejoras respecto a dstat disponible en RHEL 7:

soporte depython3
Análisis histórico
Análisis de hosts remotos
Plugins de archivos de configuración
Nuevas métricas de rendimiento

(BZ#1684947)

5.1.7. Lenguajes de programación dinámicos, servidores web y de bases de datos

Python 3 es la implementación de Python por defecto en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con Python 3.6. El paquete puede no estar instalado por defecto. Para instalar Python 3.6, utilice el comando yum install python3.

Python2. 7 está disponible en el paquete python2. Sin embargo, Python 2 tendrá un ciclo de vida más corto y su objetivo es facilitar a los clientes una transición más suave a Python 3.

Ni el paquete python por defecto ni el ejecutable /usr/bin/python sin versionar se distribuyen con RHEL 8. Se aconseja a los clientes que utilicen directamente python3 o python2. Como alternativa, los administradores pueden configurar el comando python no versionado utilizando el comando alternatives.

Para más detalles, consulte Uso de Python en Red Hat Enterprise Linux 8.

(BZ#1580387)

Los scripts de Python deben especificar la versión principal en los hashbangs en el momento de construir el RPM

En RHEL 8, se espera que los scripts ejecutables de Python utilicen hashbangs (shebangs) especificando explícitamente al menos la versión principal de Python.

El script /usr/lib/rpm/redhat/brp-mangle-shebangs buildroot policy (BRP) se ejecuta automáticamente al construir cualquier paquete RPM. Este script intenta corregir los hashbangs en todos los archivos ejecutables. Cuando el script encuentra hashbangs ambiguos de Python que no especifican la versión mayor de Python, genera errores y la construcción del RPM falla. Ejemplos de tales hashbangs ambiguos incluyen:

#! /usr/bin/python
#! /usr/bin/env python

Para modificar los hashbangs en los scripts de Python que causan estos errores de compilación en el momento de construir el RPM, utilice el script pathfix.py del paquete platform-python-devel:

pathfix.py -pn -i %{__python3} PATH...

Se pueden especificar múltiples PATHs. Si un PATH es un directorio, pathfix.py busca recursivamente cualquier script de Python que coincida con el patrón ^[a-zA-Z0-9_] \_.py$, no sólo aquellos con un hashbang ambiguo. Añade el comando para ejecutar pathfix. py a la sección %prep o al final de la sección %install.

Para más información, consulte Manejo de hashbangs en scripts de Python.

(BZ#1583620)

Cambios notables en PHP

Red Hat Enterprise Linux 8 se distribuye con PHP 7.2. Esta versión introduce los siguientes cambios importantes con respecto a PHP 5.4, que está disponible en RHEL 7:

PHP utiliza FastCGI Process Manager (FPM) por defecto (seguro para su uso con un httpd roscado)
Las variables php_value y php-flag ya no deben utilizarse en los archivos de configuración de httpd; en su lugar, deben establecerse en la configuración del pool: /etc/php-fpm.d/*.conf
Los errores y advertencias de los scriptsPHP se registran en el archivo /var/log/php-fpm/www-error.log en lugar de /var/log/httpd/error.log
Al cambiar la variable de configuración PHP max_execution_time, el ajuste httpd ProxyTimeout debe ser aumentado para que coincida con
El usuario que ejecuta los scripts PHP está ahora configurado en la configuración del pool de FPM (el archivo /etc/php-fpm.d/www.conf; el usuario apache es el predeterminado)
El servicio php-fpm debe reiniciarse después de un cambio de configuración o de la instalación de una nueva extensión
La extensión zip se ha trasladado del paquete php-common a un paquete independiente, php-pecl-zip

Se han eliminado las siguientes extensiones:

aspell
mysql (tenga en cuenta que las extensiones mysqli y pdo_mysql siguen estando disponibles, proporcionadas por el paquete php-mysqlnd )
memcache

(BZ#1580430, BZ#1691688)

Cambios notables en Ruby

RHEL 8 ofrece Ruby 2.5, que introduce numerosas novedades y mejoras respecto a Ruby 2.0.0 disponible en RHEL 7. Los cambios más destacados son:

Se ha añadido el recolector de basura incremental.
Se ha añadido la sintaxis Refinamientos.
Los símbolos son ahora recolectados por la basura.
Los niveles de seguridad $SAFE=2 y $SAFE=3 han quedado obsoletos.
Las clases Fixnum y Bignum se han unificado en la clase Integer.
Se ha mejorado el rendimiento gracias a la optimización de la clase Hash, a la mejora del acceso a las variables de instancia y a que la clase Mutex es más pequeña y rápida.
Algunas API antiguas han quedado obsoletas.
Se han actualizado las bibliotecas incluidas, como RubyGems, Rake, RDoc, Psych, Minitest y test-unit.
Otras bibliotecas, como mathn, DL, ext/tk y XMLRPC, que antes se distribuían con Ruby, están obsoletas o ya no se incluyen.
El esquema de versionado SemVer se utiliza ahora para el versionado de Ruby.

(BZ#1648843)

Cambios notables en Perl

Perl 5.26, distribuido con RHEL 8, introduce los siguientes cambios respecto a la versión disponible en RHEL 7:

Ahora es compatible conUnicode 9.0.
Se proporcionan nuevas sondas SystemTap de entrada de operaciones, de archivo de carga y de archivo cargado.
El mecanismo de copia en escritura se utiliza al asignar escalares para mejorar el rendimiento.
Se ha añadido el módulo IO::Socket::IP para manejar los sockets IPv4 e IPv6 de forma transparente.
Se ha añadido el módulo Config::Perl::V para acceder a los datos de perl -V de forma estructurada.
Se ha añadido un nuevo paquete perl-App-cpanminus, que contiene la utilidad cpanm para obtener, extraer, construir e instalar módulos del repositorio Comprehensive Perl Archive Network (CPAN).
El directorio actual . ha sido eliminado de la ruta de búsqueda del módulo @INC por razones de seguridad.
La sentencia do ahora devuelve una advertencia de desaprobación cuando falla al cargar un archivo debido al cambio de comportamiento descrito anteriormente.
La llamada a la subrutina do(LIST) ya no se admite y da lugar a un error de sintaxis.
Ahora los hash son aleatorios por defecto. El orden en el que se devuelven las claves y los valores de un hash cambia en cada ejecución de Perl. Para desactivar la aleatoriedad, establezca la variable de entorno PERL_PERTURB_KEYS en 0.
Ya no se permiten los caracteres literales { sin mayúsculas en los patrones de expresiones regulares.
Se ha eliminado el soporte del ámbito léxico para la variable $_.
El uso del operador definido en un array o en un hash produce un error fatal.
La importación de funciones del módulo UNIVERSAL produce un error fatal.
Se han eliminado las herramientas find2perl, s2p, a2p, c2ph y pstruct.
Se ha eliminado la facilidad ${^ENCODING}. Ya no se admite el modo por defecto del pragma de codificación. Para escribir el código fuente en otra codificación que no sea UTF-8, utilice la opción Filter de la codificación.
El paquete perl está ahora alineado con el upstream. El paquete perl instala también los módulos centrales, mientras que el intérprete /usr/bin/perl es proporcionado por el paquete perl-interpreter. En versiones anteriores, el paquete perl sólo incluía un intérprete mínimo, mientras que el paquete perl-core incluía tanto el intérprete como los módulos centrales.
El módulo IO::Socket::SSL Perl ya no carga un certificado de autoridad de certificación desde el archivo ./certs/my-ca.pem o el directorio ./ca, una clave privada del servidor desde el archivo ./certs/server-key.pem, un certificado del servidor desde el archivo ./certs/server-cert.pem, una clave privada del cliente desde el archivo ./certs/client-key.pem y un certificado del cliente desde el archivo ./certs/client-cert.pem. En su lugar, especifique las rutas de acceso a los archivos de forma explícita.

(BZ#1511131)

Node.js nuevo en RHEL

Node.js, una plataforma de desarrollo de software para crear aplicaciones de red rápidas y escalables en el lenguaje de programación JavaScript, se ofrece por primera vez en RHEL. Anteriormente sólo estaba disponible como Colección de Software. RHEL 8 proporciona Node.js 10.

(BZ#1622118)

Cambios notables en SWIG

RHEL 8 incluye la versión 3.0 de Simplified Wrapper and Interface Generator (SWIG), que ofrece numerosas novedades, mejoras y correcciones de errores respecto a la versión 2.0 distribuida en RHEL 7. En particular, se ha implementado la compatibilidad con el estándar C 11. SWIG ahora también es compatible con Go 1.6, PHP 7, Octave 4.2 y Python 3.5.

(BZ#1660051)

Cambios notables en Apache httpd

RHEL 8 se distribuye con el servidor HTTP Apache 2.4.37. Esta versión introduce los siguientes cambios respecto a httpd disponible en RHEL 7:

El paquete mod_http2, que forma parte del módulo httpd, ofrece ahora soporte para HTTP/2.
El aprovisionamiento y la renovación automatizados de certificados TLS mediante el protocolo ACME (Automatic Certificate Management Environment) son ahora compatibles con el paquete mod_md (para su uso con proveedores de certificados como Let's Encrypt)
El servidor HTTP Apache soporta ahora la carga de certificados TLS y claves privadas de tokens de seguridad de hardware directamente desde módulos PKCS#11. Como resultado, una configuración mod_ssl puede ahora utilizar URLs PKCS#11 para identificar la clave privada TLS y, opcionalmente, el certificado TLS en las directivas SSLCertificateKeyFile y SSLCertificateFile.
El módulo de multiprocesamiento (MPM) configurado por defecto con el Servidor HTTP Apache ha cambiado de un modelo multiproceso y bifurcado (conocido como prefork) a un modelo multihilo de alto rendimiento, event. Cualquier módulo de terceros que no sea seguro para los hilos debe ser reemplazado o eliminado. Para cambiar el MPM configurado, edite el archivo /etc/httpd/conf.modules.d/00-mpm.conf. Consulte la página man de httpd.conf(5 ) para obtener más información.

Para más información sobre los cambios en httpd y su uso, consulte Configuración del servidor web Apache HTTP.

(BZ#1632754, BZ#1527084, BZ#1581178)

El servidor web nginx nuevo en RHEL

RHEL 8 introduce nginx 1.14, un servidor web y proxy que soporta HTTP y otros protocolos, con un enfoque en la alta concurrencia, el rendimiento y el bajo uso de memoria. nginx estaba previamente disponible sólo como una Colección de Software.

El servidor web nginx ahora soporta la carga de claves privadas TLS de tokens de seguridad de hardware directamente desde los módulos PKCS#11. Como resultado, una configuración de nginx puede utilizar URLs PKCS#11 para identificar la clave privada TLS en la directiva ssl_certificate_key.

(BZ#1545526)

Servidores de bases de datos en RHEL 8

RHEL 8 proporciona los siguientes servidores de bases de datos:

MySQL 8.0, un servidor de bases de datos SQL multiusuario y multihilo. Está compuesto por el demonio del servidor MySQL, mysqld, y muchos programas cliente.
MariaDB 10.3, un servidor de bases de datos SQL multiusuario y multihilo. A efectos prácticos, MariaDB es compatible con MySQL.
PostgreSQL 10 y PostgreSQL 9.6, un avanzado sistema de gestión de bases de datos relacionales a objetos (DBMS).
Redis 5, un almacén avanzado de valores clave. A menudo se le denomina servidor de estructuras de datos porque las claves pueden contener cadenas, hashes, listas, conjuntos y conjuntos ordenados. Redis se ofrece por primera vez en RHEL.

Tenga en cuenta que el servidor de bases de datos NoSQL MongoDB no está incluido en RHEL 8.0 porque utiliza la licencia pública del lado del servidor (SSPL).

(BZ#1647908)

Cambios notables en MySQL 8.0

RHEL 8 se distribuye con MySQL 8.0, que proporciona, por ejemplo, las siguientes mejoras:

MySQL incorpora ahora un diccionario de datos transaccional, que almacena información sobre los objetos de la base de datos.
MySQL ahora soporta roles, que son colecciones de privilegios.
Se ha cambiado el juego de caracteres por defecto de latin1 a utf8mb4.
Se ha añadido soporte para las expresiones comunes de la tabla, tanto no recursivas como recursivas.
MySQL soporta ahora funciones de ventana, que realizan un cálculo para cada fila de una consulta, utilizando filas relacionadas.
InnoDB soporta ahora las opciones NOWAIT y SKIP LOCKED con las sentencias de lectura de bloqueo.
Se han mejorado las funciones relacionadas con el SIG.
Se ha mejorado la funcionalidad de JSON.
Los nuevos paquetes mariadb-connector-c proporcionan una biblioteca cliente común para MySQL y MariaDB. Esta biblioteca se puede utilizar con cualquier versión de los servidores de bases de datos MySQL y MariaDB. Como resultado, el usuario puede conectar una compilación de una aplicación a cualquiera de los servidores MySQL y MariaDB distribuidos con RHEL 8.

Además, el servidor MySQL 8. 0 distribuido con RHEL 8 está configurado para utilizar mysql_native_password como complemento de autenticación por defecto porque las herramientas y librerías de cliente en RHEL 8 son incompatibles con el método caching_sha2_password, que se utiliza por defecto en la versión upstream de MySQL 8.0.

Para cambiar el complemento de autenticación por defecto a caching_sha2_password, edite el archivo /etc/my.cnf.d/mysql-default-authentication-plugin.cnf como sigue:

[mysqld]
default_authentication_plugin=caching_sha2_password

(BZ#1649891, BZ#1519450, BZ#1631400)

Cambios notables en MariaDB 10.3

MariaDB 10.3 aporta numerosas novedades respecto a la versión 5.5 distribuida en RHEL 7, como por ejemplo

Expresiones comunes de la tabla
Tablas con versión del sistema
BuclesFOR
Columnas invisibles
Secuencias
Instant ADD COLUMN para InnoDB
Compresión de columna independiente del motor de almacenamiento
Replicación paralela
Replicación de múltiples fuentes

Además, los nuevos paquetes mariadb-connector-c proporcionan una biblioteca cliente común para MySQL y MariaDB. Esta biblioteca se puede utilizar con cualquier versión de los servidores de bases de datos MySQL y MariaDB. Como resultado, el usuario puede conectar una compilación de una aplicación a cualquiera de los servidores MySQL y MariaDB distribuidos con RHEL 8.

Otros cambios notables son:

MariaDB Galera Cluster, un clúster multimaster síncrono, es ahora una parte estándar de MariaDB.
Se utilizaInnoDB como motor de almacenamiento por defecto en lugar de XtraDB.
Se ha eliminado el subpaquete mariadb-bench.
El nivel permitido por defecto de la madurez del plug-in se ha cambiado a un nivel menos que la madurez del servidor. Como resultado, los plug-ins con un nivel de madurez inferior que antes funcionaban, ya no se cargarán.

Véase también Uso de MariaDB en Red Hat Enterprise Linux 8.

(BZ#1637034, BZ#1519450, BZ#1688374)

Cambios notables en PostgreSQL

RHEL 8.0 proporciona dos versiones del servidor de bases de datos PostgreSQL, distribuidas en dos corrientes del módulo postgresql: PostgreSQL 10 (la corriente por defecto) y PostgreSQL 9.6. RHEL 7 incluye la versión 9.2 de PostgreSQL.

Los cambios notables en PostgreSQL 9. 6 son, por ejemplo:

Ejecución paralela de las operaciones secuenciales: scan, join y aggregate
Mejoras en la replicación sincrónica
Mejora de la búsqueda de texto completo que permite a los usuarios buscar frases
El controlador de federación de datos postgres_fdw soporta ahora operaciones remotas de unión, ordenación, UPDATE y DELETE
Mejoras sustanciales en el rendimiento, especialmente en lo que respecta a la escalabilidad en los servidores con múltiples CPUs

Las principales mejoras de PostgreSQL 10 incluyen:

Replicación lógica mediante las palabras clave publish y subscribe
Autenticación de contraseñas más fuerte basada en el mecanismo SCRAM-SHA-256
Partición declarativa de tablas
Mejora del paralelismo de las consultas
Mejoras significativas en el rendimiento general
Mejora de la supervisión y el control

Véase también Uso de PostgreSQL en Red Hat Enterprise Linux 8.

(BZ#1660041)

Cambios notables en Squid

RHEL 8.0 se distribuye con Squid 4.4, un servidor proxy de alto rendimiento para el almacenamiento en caché de los clientes web, que admite objetos de datos FTP, Gopher y HTTP. Esta versión ofrece numerosas novedades, mejoras y correcciones de errores respecto a la versión 3.5 disponible en RHEL 7.

Los cambios más destacados son:

Tamaño de la cola de ayuda configurable
Cambios en los canales de ayuda a la concurrencia
Cambios en el binario de ayuda
Protocolo de Adaptación de Contenidos a Internet (ICAP) seguro
Mejora de la compatibilidad con el multiprocesamiento simétrico (SMP)
Mejora de la gestión de los procesos
Se ha eliminado la compatibilidad con SSL
Se ha eliminado el analizador sintáctico personalizado Edge Side Includes (ESI)
Múltiples cambios de configuración

(BZ#1656871)

Varnish Cache nuevo en RHEL

Varnish Cache, un proxy inverso HTTP de alto rendimiento, se proporciona por primera vez en RHEL. Anteriormente sólo estaba disponible como Colección de Software. Varnish Cache almacena archivos o fragmentos de archivos en memoria que se utilizan para reducir el tiempo de respuesta y el consumo de ancho de banda de la red en futuras peticiones equivalentes. RHEL 8.0 se distribuye con Varnish Cache 6.0.

(BZ#1633338)

5.1.8. Escritorio

GNOME Shell, versión 3.28 en RHEL 8

GNOME Shell, versión 3.28 está disponible en Red Hat Enterprise Linux (RHEL) 8. Las mejoras más destacadas son:

Nuevas características de GNOME Boxes
Nuevo teclado en pantalla
Compatibilidad con dispositivos ampliada, sobre todo con la integración de la interfaz Thunderbolt 3
Mejoras para el software de GNOME, el editor de dconf y la terminal de GNOME

(BZ#1649404)

Wayland es el servidor de visualización por defecto

Con Red Hat Enterprise Linux 8, la sesión de GNOME y el Gestor de Pantalla de GNOME (GDM) utilizan Wayland como su servidor de pantalla por defecto en lugar del servidor X.org, que se utilizaba con la versión principal anterior de RHEL.

Wayland ofrece múltiples ventajas y mejoras respecto a X.org. Sobre todo:

Modelo de seguridad más sólido
Mejora de la gestión de varios monitores
Mejora del escalado de la interfaz de usuario (UI)
El escritorio puede controlar el manejo de las ventanas directamente.

Tenga en cuenta que las siguientes funciones no están disponibles actualmente o no funcionan como se esperaba:

Las configuraciones multi-GPU no son compatibles con Wayland.
El controlador binario NVIDIA no funciona bajo Wayland.
La utilidad xrandr no funciona bajo Wayland debido a su diferente enfoque de manipulación, resoluciones, rotaciones y diseño. Tenga en cuenta que otras utilidades de X.org para manipular la pantalla tampoco funcionan bajo Wayland,.
La grabación de pantalla, el escritorio remoto y la accesibilidad no siempre funcionan correctamente en Wayland.
No hay gestor de portapapeles disponible.
Wayland ignora las capturas de teclado emitidas por las aplicaciones X11, como los visores de máquinas virtuales.
Wayland dentro de las máquinas virtuales (VM) invitadas tiene problemas de estabilidad y rendimiento, por lo que se recomienda utilizar la sesión X11 para entornos virtuales.

Si actualiza a RHEL 8 desde un sistema RHEL 7 en el que utilizaba la sesión de GNOME X.org, su sistema sigue utilizando X.org. El sistema también vuelve automáticamente a X.org cuando los siguientes controladores gráficos están en uso:

El controlador binario de NVIDIA
El conductor de Cirrus
El conductor mga
El conductor de aspeed

Puede desactivar el uso de Wayland manualmente:

Para desactivar Wayland en GDM, establezca la opción WaylandEnable=false en el archivo /etc/gdm/custom.conf.
Para desactivar Wayland en la sesión de GNOME, seleccione la opción de X11 heredado utilizando el menú de rueda dentada en la pantalla de inicio de sesión después de introducir su nombre de usuario.

Para más detalles sobre Wayland, consulte https://wayland.freedesktop.org/.

(BZ#1589678)

Localización de paquetes RPM que están en repositorios no habilitados por defecto

Los repositorios adicionales para el escritorio no están habilitados por defecto. La deshabilitación se indica con la línea enabled=0 en el archivo .repo correspondiente. Si intentas instalar un paquete desde dicho repositorio usando PackageKit, PackageKit muestra un mensaje de error anunciando que la aplicación no está disponible. Para hacer que el paquete esté disponible, sustituya la línea enabled=0 utilizada anteriormente en el archivo . repo correspondiente por enabled=1.

(JIRA:RHELPLAN-2878)

GNOME Sofware para la gestión de paquetes

El paquete gnome-packagekit que proporcionaba una colección de herramientas para la gestión de paquetes en entorno gráfico en Red Hat Enterprise Linux 7 ya no está disponible. En Red Hat Enterprise Linux 8, una funcionalidad similar es proporcionada por la utilidad GNOME Software, que permite instalar y actualizar aplicaciones y extensiones de gnome-shell. GNOME Software se distribuye en el paquete gnome-software.

(JIRA:RHELPLAN-3001)

Escala fraccionaria disponible para GNOME Shell en Wayland

En una sesión de GNOME Shell on Wayland, está disponible la función de escalado fraccionario. Esta función permite escalar la GUI por fracciones, lo que mejora el aspecto de la GUI escalada en determinadas pantallas.

Tenga en cuenta que esta función se considera actualmente experimental y, por tanto, está desactivada por defecto.

Para habilitar la escala fraccionaria, ejecute el siguiente comando:

# gsettings set org.gnome.mutter experimental-features \N"['scale-monitor-framebuffer']\N-"

(BZ#1668883)

5.1.9. Habilitación de hardware

Las actualizaciones de firmware mediante fwupd están disponibles

RHEL 8 admite actualizaciones de firmware, como la cápsula UEFI, la actualización del firmware del dispositivo (DFU) y otras, mediante el demonio fwupd. El demonio permite que el software de sesión actualice el firmware del dispositivo en una máquina local de forma automática.

Para ver y aplicar las actualizaciones, puede utilizar:

Un gestor de software GUI, como GNOME Software
La herramienta de línea de comandos fwupdmgr

Los archivos de metadatos se descargan automáticamente desde el portal seguro Linux Vendor Firmware Service (LVFS) y se envían a fwupd a través de D-Bus. Las actualizaciones que deben aplicarse se descargan mostrando las notificaciones del usuario y los detalles de la actualización. El usuario debe aceptar explícitamente la acción de actualización del firmware antes de que se realice la actualización.

Tenga en cuenta que el acceso a LVFS está desactivado por defecto.

Para habilitar el acceso a LVFS, haga clic en el control deslizante en el diálogo de fuentes en GNOME Software, o ejecute el comando fwupdmgr enable-remote lvfs. Si utiliza fwupdmgr para obtener la lista de actualizaciones, se le preguntará si desea habilitar LVFS.

Con el acceso a LVFS, obtendrá las actualizaciones de firmware directamente del proveedor de hardware. Tenga en cuenta que dichas actualizaciones no han sido verificadas por el departamento de control de calidad de Red Hat.

(BZ#1504934)

El modo de memoria para la tecnología Optane DC Persistent Memory es totalmente compatible

Los dispositivos de almacenamiento de memoria persistente Intel Optane DC proporcionan una tecnología de memoria persistente de clase de centro de datos, que puede aumentar significativamente el rendimiento de las transacciones.

Para utilizar la tecnología del Modo Memoria, su sistema no necesita ningún controlador especial ni certificación específica. El Modo Memoria es transparente para el sistema operativo.

(BZ#1718422)

5.1.10. Gestión de la identidad

Nuevas comprobaciones de la sintaxis de las contraseñas en el servidor de directorios

Esta mejora añade nuevas comprobaciones de la sintaxis de las contraseñas a Directory Server. Los administradores pueden ahora, por ejemplo, habilitar las comprobaciones de diccionario, permitir o denegar el uso de secuencias de caracteres y palíndromos. Como resultado, si se habilita, la comprobación de la sintaxis de la política de contraseñas en Directory Server impone contraseñas más seguras.

(BZ#1334254)

El Servidor de directorios ofrece ahora un soporte mejorado para el registro de operaciones internas

Varias operaciones en Directory Server, iniciadas por el servidor y los clientes, provocan operaciones adicionales en segundo plano. Anteriormente, el servidor sólo registraba para las operaciones internas la palabra clave Internal connection, y el ID de la operación siempre se establecía en -1. Con esta mejora, Directory Server registra la conexión real y el ID de la operación. Ahora se puede rastrear la operación interna hasta la operación del servidor o del cliente que causó esta operación.

(BZ#1358706)

La biblioteca tomcatjss soporta la comprobación de OCSP utilizando el respondedor de la extensión AIA

Con esta mejora, la biblioteca tomcatjss admite la comprobación del Protocolo de Estado de Certificados en Línea (OCSP) utilizando la respuesta de la extensión de Acceso a la Información de la Autoridad (AIA) de un certificado. Como resultado, los administradores de Red Hat Certificate System pueden ahora configurar la comprobación OCSP que utiliza la URL de la extensión AIA.

(BZ#1636564)

Los comandos pki subsystem-cert-find y pki subsystem-cert-show muestran ahora el número de serie de los certificados

Con esta mejora, los comandos pki subsystem-cert-find y pki subsystem-cert-show de Certificate System muestran el número de serie de los certificados en su salida. El número de serie es un dato importante y a menudo es necesario para otros muchos comandos. Por tanto, ahora es más fácil identificar el número de serie de un certificado.

(BZ#1566360)

Los comandos pki user y pki group han quedado obsoletos en Certificate System

Con esta actualización, los nuevos comandos pki <subsystem>-user y pki <subsystem>-group sustituyen a los comandos pki user y pki group en Certificate System. Los comandos sustituidos siguen funcionando, pero muestran un mensaje de que el comando está obsoleto y hacen referencia a los nuevos comandos.

(BZ#1394069)

El sistema de certificados ahora permite la renovación sin conexión de los certificados del sistema

Con esta mejora, los administradores pueden utilizar la función de renovación sin conexión para renovar los certificados de sistema configurados en Certificate System. Cuando un certificado de sistema caduca, Certificate System no se inicia. Gracias a esta mejora, los administradores ya no necesitan soluciones para sustituir un certificado de sistema caducado.

(BZ#1669257)

El Sistema de Certificados ahora puede crear CSRs con extensión SKI para la firma de CAs externas

Con esta mejora, Certificate System admite la creación de una solicitud de firma de certificado (CSR) con la extensión del identificador de clave del sujeto (SKI) para la firma de una autoridad de certificación (CA) externa. Algunas CA requieren esta extensión con un valor determinado o derivado de la clave pública de la CA. Como resultado, los administradores pueden ahora utilizar el parámetro pki_req_ski en el archivo de configuración pasado a la utilidad pkispawn para crear una CSR con extensión SKI.

(BZ#1656856)

SSSD ya no utiliza el valor fallback_homedir de la sección [nss ] como fallback para los dominios AD

Antes de RHEL 7.7, el parámetro fallback_homedir de SSSD en un proveedor de Active Directory (AD) no tenía ningún valor por defecto. Si fallback_homedir no se establecía, SSSD utilizaba en su lugar el valor del mismo parámetro de la sección [nss] del archivo /etc/sssd/sssd.conf. Para aumentar la seguridad, SSSD en RHEL 7.7 introdujo un valor por defecto para fallback_homedir. Como consecuencia, SSSD ya no recurre al valor establecido en la sección [nss]. Si desea utilizar un valor diferente al predeterminado para el parámetro fallback_homedir en un dominio AD, debe establecerlo manualmente en la sección del dominio.

(BZ#1652719)

SSSD ahora permite seleccionar uno de los múltiples dispositivos de autenticación de tarjetas inteligentes

Por defecto, el demonio de servicios de seguridad del sistema (SSSD) intenta detectar un dispositivo para la autenticación con tarjeta inteligente automáticamente. Si hay varios dispositivos conectados, SSSD selecciona el primero que detecta. En consecuencia, no puede seleccionar un dispositivo en particular, lo que a veces provoca fallos.

Con esta actualización, puede configurar una nueva opción p11_uri para la sección [pam] del archivo de configuración sssd.conf. Esta opción permite definir qué dispositivo se utiliza para la autenticación con tarjeta inteligente.

Por ejemplo, para seleccionar un lector con el id de ranura 2 detectado por el módulo OpenSC PKCS#11, añada:

p11_uri = library-description=Marco de la tarjeta inteligente OpenSC;slot-id=2

a la sección [pam] de sssd.conf.

Para más detalles, consulte la página man sssd.conf.

(BZ#1620123)

Los usuarios locales son cacheados por SSSD y servidos a través del módulo nss_sss

En RHEL 8, el demonio de servicios de seguridad del sistema (SSSD) sirve a los usuarios y grupos desde los archivos /etc/passwd y /etc/groups por defecto. El módulo sss nsswitch precede a los archivos en el archivo /etc/nsswitch.conf.

La ventaja de servir a los usuarios locales a través de SSSD es que el módulo nss_sss tiene una caché rápida mapeada en memoria que acelera las búsquedas del conmutador de servicios de nombres (NSS) en comparación con el acceso al disco y la apertura de los archivos en cada solicitud de NSS. Anteriormente, el demonio de la caché del servicio de nombres(nscd) ayudaba a acelerar el proceso de acceso al disco. Sin embargo, utilizar nscd en paralelo con SSSD es engorroso, ya que tanto SSSD como nscd utilizan su propia caché independiente. En consecuencia, el uso de nscd en configuraciones en las que SSSD también está sirviendo a los usuarios de un dominio remoto, por ejemplo LDAP o Active Directory, puede causar un comportamiento impredecible.

Con esta actualización, la resolución de usuarios y grupos locales es más rápida en RHEL 8. Tenga en cuenta que el usuario root nunca es manejado por SSSD, por lo tanto la resolución de root no puede ser impactada por un potencial error en SSSD. Tenga en cuenta también que si SSSD no se está ejecutando, el módulo nss_sss maneja la situación con gracia retrocediendo a nss_files para evitar problemas. No tiene que configurar SSSD de ninguna manera, el dominio de archivos se añade automáticamente.

(JIRA:RHELPLAN-10439)

KCM sustituye a KEYRING como almacenamiento de caché de credenciales por defecto

En RHEL 8, el almacenamiento por defecto de la caché de credenciales es el Kerberos Credential Manager (KCM) que está respaldado por el deamon sssd-kcm. KCM supera las limitaciones del anteriormente utilizado KEYRING, como que es difícil de utilizar en entornos de contenedores porque no tiene espacio para nombres, y para ver y gestionar cuotas.

Con esta actualización, RHEL 8 contiene una caché de credenciales que se adapta mejor a los entornos en contenedores y que proporciona una base para crear más funciones en futuras versiones.

(JIRA:RHELPLAN-10440)

Los usuarios de Active Directory pueden ahora administrar la Gestión de Identidades

Con esta actualización, RHEL 8 permite añadir una anulación de ID de usuario para un usuario de Active Directory (AD) como miembro de un grupo de gestión de identidades (IdM). Una anulación de ID es un registro que describe cómo deben ser las propiedades de un usuario o grupo específico de AD dentro de una vista de ID específica, en este caso la vista de confianza predeterminada. Como consecuencia de la actualización, el servidor LDAP de IdM es capaz de aplicar las reglas de control de acceso del grupo de IdM al usuario de AD.

Los usuarios de AD ahora pueden utilizar las funciones de autoservicio de la interfaz de IdM, por ejemplo, para cargar sus claves SSH o cambiar sus datos personales. Un administrador de AD es capaz de administrar completamente IdM sin tener dos cuentas y contraseñas diferentes. Tenga en cuenta que, actualmente, algunas funciones de IdM pueden seguir sin estar disponibles para los usuarios de AD.

(JIRA:RHELPLAN-10442)

sssctl imprime un informe de reglas HBAC para un dominio IdM

Con esta actualización, la utilidad sssctl del demonio de servicios de seguridad del sistema (SSSD) puede imprimir un informe de control de acceso para un dominio de gestión de identidades (IdM). Esta función satisface la necesidad de ciertos entornos de ver, por motivos normativos, una lista de usuarios y grupos que pueden acceder a una máquina cliente específica. La ejecución de sssctl access-report domain_name en un cliente IdM imprime el subconjunto analizado de reglas de control de acceso basadas en host (HBAC) en el dominio IdM que se aplican a la máquina cliente.

Tenga en cuenta que ningún otro proveedor aparte de IdM admite esta función.

(JIRA:RHELPLAN-10443)

Los paquetes de gestión de identidades están disponibles como módulo

En RHEL 8, los paquetes necesarios para instalar un servidor y un cliente de gestión de identidades (IdM) se suministran como un módulo. El flujo del cliente es el flujo predeterminado del módulo idm y puede descargar los paquetes necesarios para instalar el cliente sin habilitar el flujo.

El flujo del módulo del servidor IdM se llama flujo DL1. El flujo contiene varios perfiles correspondientes a diferentes tipos de servidores IdM: servidor, dns, adtrust, cliente y predeterminado. Para descargar los paquetes de un perfil específico del flujo DL1:

Habilitar el flujo.
Cambia a las RPMs entregadas a través del flujo.
Ejecute el comando yum module install idm:DL1/nombre_del_perfil.

Para cambiar a un nuevo flujo de módulos una vez que se ha habilitado un flujo específico y se han descargado paquetes de él:

Elimina todo el contenido relevante instalado y desactiva el flujo de módulos actual.
Habilitar el nuevo flujo del módulo.

(JIRA:RHELPLAN-10438)

Solución de grabación de sesiones para RHEL 8 añadida

Se ha añadido una solución de grabación de sesiones a Red Hat Enterprise Linux 8 (RHEL 8). Un nuevo paquete tlog y su reproductor de sesiones de consola web asociado permiten grabar y reproducir las sesiones de terminal de los usuarios. La grabación puede ser configurada por usuario o grupo de usuarios a través del servicio System Security Services Daemon (SSSD). Todas las entradas y salidas del terminal se capturan y almacenan en un formato basado en texto en un diario del sistema. La entrada está inactiva por defecto por razones de seguridad para no interceptar contraseñas en bruto y otra información sensible.

La solución puede utilizarse para auditar las sesiones de los usuarios en sistemas sensibles a la seguridad. En caso de una violación de la seguridad, las sesiones grabadas pueden ser revisadas como parte de un análisis forense. Los administradores de sistemas pueden ahora configurar la grabación de sesiones localmente y ver el resultado desde la interfaz de la consola web de RHEL 8 o desde la interfaz de línea de comandos mediante la utilidad tlog-play.

(JIRA:RHELPLAN-1473)

authselect simplifica la configuración de la autenticación de usuarios

Esta actualización introduce la utilidad authselect que simplifica la configuración de la autenticación de usuarios en los hosts RHEL 8, sustituyendo a la utilidad authconfig. authselect viene con un enfoque más seguro para la gestión de la pila PAM que hace que los cambios de configuración de PAM sean más sencillos para los administradores de sistemas. authselect se puede utilizar para configurar métodos de autenticación como contraseñas, certificados, tarjetas inteligentes y huellas digitales. Tenga en cuenta que authselect no configura los servicios necesarios para unirse a dominios remotos. Esta tarea la realizan herramientas especializadas, como realmd o ipa-client-install.

(JIRA:RHELPLAN-10445)

SSSD ahora aplica los GPO de AD por defecto

La configuración por defecto de la opción de SSSD ad_gpo_access_control es ahora enforcing. En RHEL 8, SSSD aplica por defecto las reglas de control de acceso basadas en los objetos de política de grupo (GPO) de Active Directory.

Red Hat recomienda asegurarse de que los GPOs están configurados correctamente en Active Directory antes de actualizar de RHEL 7 a RHEL 8. Si no desea aplicar los GPOs, cambie el valor de la opción ad_gpo_access_control en el archivo /etc/sssd/sssd.conf a permisivo.

(JIRA:RHELPLAN-51289)

5.1.11. Compiladores y herramientas de desarrollo

Boost actualizado a la versión 1.66

La biblioteca C Boost ha sido actualizada a la versión 1.66. La versión de Boost incluida en Red Hat Enterprise Linux 7 es la 1.53. Para más detalles, consulte los registros de cambios de la versión anterior: https://www.boost.org/users/history/

Esta actualización introduce los siguientes cambios que rompen la compatibilidad con las versiones anteriores:

Se han eliminado la función bs_set_hook(), la función splay_set_hook() de los contenedores splay y el parámetro extra bool splay = true en la función splaytree_algorithms() de la biblioteca Intrusive.
Los comentarios o la concatenación de cadenas en los archivos JSON ya no son compatibles con el analizador sintáctico de la biblioteca Property Tree.
Se han corregido algunas distribuciones y funciones especiales de la biblioteca Math para que se comporten como se ha documentado y lancen un overflow_error en lugar de devolver el valor máximo finito.
Algunas cabeceras de la biblioteca Math se han trasladado al directorio libs/math/include_private.
Se ha cambiado el comportamiento de las funciones basic_regex<> ::mark_count() y basic_regex<>::subexpression(n) de la biblioteca Regex para que coincidan con su documentación.
El uso de plantillas variádicas en la biblioteca Variant puede romper las funciones de metaprogramación.
Se ha eliminado la API boost::python: :numeric. Los usuarios pueden utilizar boost::python:: numpy en su lugar.
Las operaciones aritméticas sobre punteros a tipos no objetuales ya no se proporcionan en la biblioteca Atomic.

(BZ#1494495)

Compatibilidad con Unicode 11.0.0

La biblioteca C del núcleo de Red Hat Enterprise Linux, glibc, ha sido actualizada para soportar el estándar Unicode versión 11.0.0. Como resultado, todas las APIs de caracteres anchos y multibyte, incluyendo la transliteración y la conversión entre conjuntos de caracteres, proporcionan información precisa y correcta conforme a este estándar.

(BZ#1512004)

El paquete boost es ahora independiente de Python

Con esta actualización, la instalación del paquete boost ya no instala la biblioteca Boost.Python como dependencia. Para utilizar Boost. Python, es necesario instalar explícitamente los paquetes boost-python3 o boost-python3-devel.

(BZ#1616244)

Un nuevo paquete compat-libgfortran-48 disponible

Para la compatibilidad con las aplicaciones de Red Hat Enterprise Linux 6 y 7 que utilizan la biblioteca Fortran, ahora está disponible un nuevo paquete de compatibilidad compat-libgfortran-48, que proporciona la biblioteca libgfortran.so.3.

(BZ#1607227)

Soporte de Retpoline en GCC

Esta actualización añade soporte para retpolines a GCC. Una retpoline es una construcción de software utilizada por el kernel para reducir la sobrecarga de la mitigación de los ataques Spectre Variant 2 descritos en CVE-2017-5715.

(BZ#1535774)

Mayor compatibilidad con la arquitectura ARM de 64 bits en los componentes de la cadena de herramientas

Los componentes de la cadena de herramientas, GCC y binutils, ofrecen ahora soporte ampliado para la arquitectura ARM de 64 bits. Por ejemplo:

GCC y binutils ahora soportan Scalable Vector Extension (SVE).
Se ha añadido a GCC soporte para el tipo de datos FP16, proporcionado por ARM v8.2. El tipo de datos FP16 mejora el rendimiento de determinados algoritmos.
Las herramientas de binutils ahora soportan la definición de la arquitectura ARM v8.3, incluyendo la Autenticación de Punteros. La función de autentificación de punteros evita que el código malicioso corrompa la ejecución normal de un programa o del núcleo mediante la elaboración de sus propios punteros de función. Como resultado, sólo se utilizan direcciones de confianza cuando se bifurca a diferentes lugares del código, lo que mejora la seguridad.

(BZ#1504980, BZ#1550501, BZ#1504995, BZ#1504993, BZ#1504994)

Optimizaciones de glibc para sistemas IBM POWER

Esta actualización proporciona una nueva versión de glibc optimizada para las arquitecturas IBM POWER 8 e IBM POWER 9. Como resultado, los sistemas IBM POWER 8 e IBM POWER 9 ahora cambian automáticamente a la variante de glibc apropiada y optimizada en tiempo de ejecución.

(BZ#1376834)

La biblioteca C de GNU se ha actualizado a la versión 2.28

Red Hat Enterprise Linux 8 incluye la versión 2.28 de la biblioteca GNU C (glibc). Las mejoras más destacadas son:

Funciones de refuerzo de la seguridad:
- Los archivos binarios seguros marcados con la bandera AT_SECURE ignoran la variable de entorno LD_LIBRARY_PATH.
- Ya no se imprimen las huellas de los fallos de comprobación de pila para acelerar el cierre y evitar la ejecución de más código en un entorno comprometido.
Mejoras en el rendimiento:
- Se ha mejorado el rendimiento de la función malloc() con una caché local de hilos.
- Adición de la variable de entorno GLIBC_TUNABLES para modificar las características de rendimiento de la biblioteca.
- Se ha mejorado la implementación de los semáforos de hilos y se han añadido nuevas funciones escalables pthread_rwlock_xxx().
- Se ha mejorado el rendimiento de la biblioteca de matemáticas.
Se ha añadido la compatibilidad con Unicode 11.0.0.
Se ha añadido una mayor compatibilidad con los números de coma flotante de 128 bits definidos por las normas ISO/IEC/IEEE 60559:2011, IEEE 754-2008 e ISO/IEC TS 18661-3:2015.
Mejoras en el stub resolver del Servicio de Nombres de Dominio (DNS) relacionadas con el archivo de configuración /etc/resolv.conf:
- La configuración se recarga automáticamente cuando se modifica el archivo.
- Se ha añadido soporte para un número arbitrario de dominios de búsqueda.
- Se ha añadido una selección aleatoria adecuada para la opción de rotación.
Se han añadido nuevas funciones para el desarrollo, entre ellas:
- Funciones de envoltura de Linux para las llamadas al núcleo preadv2 y pwritev2
- Nuevas funciones como reallocarray() y explicit_bzero()
- Nuevas banderas para la función posix_spawnattr_setflags() como POSIX_SPAWN_SETSID

(BZ#1512010, BZ#1504125, BZ#506398)

CMake disponible en RHEL

El sistema de construcción CMake versión 3.11 está disponible en Red Hat Enterprise Linux 8 como el paquete cmake.

(BZ#1590139, BZ#1502802)

make versión 4.2.1

Red Hat Enterprise Linux 8 se distribuye con la herramienta make build versión 4.2.1. Los cambios notables incluyen:

Cuando una receta falla, se muestra el nombre del makefile y el número de línea de la receta.
Se ha añadido la opción --trace para permitir el rastreo de objetivos. Cuando se utiliza esta opción, cada receta se imprime antes de la invocación, incluso si se suprime, junto con el nombre del archivo y el número de línea donde se encuentra esta receta, y también con los requisitos previos que hacen que se invoque.
La mezcla de reglas explícitas e implícitas ya no hace que make termine la ejecución. En su lugar, se imprime una advertencia. Tenga en cuenta que esta sintaxis es obsoleta y puede ser eliminada por completo en el futuro.
Se ha añadido la función $(archivo ...) para escribir texto en un archivo. Cuando se llama sin un argumento de texto, sólo abre y cierra inmediatamente el archivo.
Una nueva opción, --output-sync o -O, hace que la salida de varios trabajos se agrupe por trabajo y permite una depuración más fácil de las construcciones paralelas.
La opción --debug ahora acepta también la bandera n (none) para desactivar todas las configuraciones de depuración actualmente activadas.
El operador de asignación de shell != se ha añadido como alternativa a la función $(shell ...) para aumentar la compatibilidad con los archivos make de BSD. Para más detalles y diferencias entre el operador y la función, consulte el manual de GNU make.
Tenga en cuenta que, como consecuencia, las variables con un nombre terminado en signo de exclamación e inmediatamente seguido de una asignación, como variable !=valor, se interpretan ahora como la nueva sintaxis. Para restablecer el comportamiento anterior, añada un espacio después del signo de exclamación, como variable ! =valor.
Se ha añadido el operador de asignación ::= definido por el estándar POSIX.
Cuando se especifica la variable .POSIX, make observa los requisitos del estándar POSIX para el manejo de la barra invertida y la línea nueva. En este modo, se conserva cualquier espacio final antes de la barra invertida, y cada barra invertida seguida de una nueva línea y de caracteres de espacio en blanco se convierte en un solo carácter de espacio.
El comportamiento de las variables MAKEFLAGS y MFLAGS se define ahora con mayor precisión.
Una nueva variable, GNUMAKEFLAGS, se analiza para las banderas de make de forma idéntica a MAKEFLAGS. Como consecuencia, las banderas específicas de GNU make pueden ser almacenadas fuera de MAKEFLAGS y se incrementa la portabilidad de los archivos make.
Se ha añadido una nueva variable, MAKE_HOST, que contiene la arquitectura del host.
Las nuevas variables, MAKE_TERMOUT y MAKE_TERMERR, indican si make está escribiendo la salida estándar y el error a una terminal.
Establecer las opciones -r y -R en la variable MAKEFLAGS dentro de un makefile ahora funciona correctamente y elimina todas las reglas y variables incorporadas, respectivamente.
El ajuste .RECIPEPREFIX se recuerda ahora por receta. Además, las variables expandidas en esa receta también utilizan ese ajuste de prefijo de receta.
El ajuste .RECIPEPREFIX y todas las variables específicas del objetivo se muestran en la salida de la opción -p como si se tratara de un makefile, en lugar de como comentarios.

(BZ#1641015)

SystemTap versión 4.0

Red Hat Enterprise Linux 8 se distribuye con la herramienta de instrumentación SystemTap versión 4.0. Las mejoras más destacadas son:

Se ha mejorado el backend de Berkeley Packet Filter (eBPF) extendido, especialmente las cadenas y las funciones. Para utilizar este backend, inicie SystemTap con la opción --runtime=bpf.
Se ha añadido un nuevo servicio de red de exportación para su uso con el sistema de supervisión Prometheus.
Se ha mejorado la implementación del sondeo de llamadas al sistema para utilizar los tracepoints del kernel si es necesario.

(BZ#1641032)

Mejoras en la versión 2.30 de binutils

Red Hat Enterprise Linux 8 incluye la versión 2.30 del paquete binutils. Las mejoras notables incluyen:

Se ha mejorado la compatibilidad con las nuevas extensiones de la arquitectura IBM Z.

Enlazadores:

El enlazador ahora pone el código y los datos de sólo lectura en segmentos separados por defecto. Como resultado, los archivos ejecutables creados son más grandes y más seguros de ejecutar, porque el cargador dinámico puede desactivar la ejecución de cualquier página de memoria que contenga datos de sólo lectura.
Se ha añadido soporte para las notas de propiedad de GNU que proporcionan pistas al cargador dinámico sobre el archivo binario.
Anteriormente, el enlazador generaba código ejecutable no válido para la tecnología Intel Indirect Branch Tracking (IBT). Como consecuencia, los archivos ejecutables generados no podían iniciarse. Este error ha sido corregido.
Anteriormente, el enlazador de oro fusionaba las notas de propiedades de forma incorrecta. Como consecuencia, se podían habilitar características de hardware erróneas en el código generado, y el código podía terminar inesperadamente. Este error ha sido corregido.
Anteriormente, el enlazador dorado creaba secciones de notas con bytes de relleno al final para lograr la alineación según la arquitectura. Como el cargador dinámico no esperaba el relleno, podía terminar inesperadamente el programa que estaba cargando. Este error ha sido corregido.

Otras herramientas:

Las herramientas readelf y objdump ahora tienen opciones para seguir los enlaces a archivos de información de depuración separados y mostrar la información en ellos, también.
La nueva opción --inlines amplía la opción existente --line-numbers de la herramienta objdump para mostrar la información de anidamiento de las funciones inline.
La herramienta nm ha ganado una nueva opción --with-version-strings para mostrar la información de la versión de un símbolo después de su nombre, si está presente.
Se ha añadido al ensamblador soporte para la arquitectura ARMv8-R y los procesadores Cortex-R52, Cortex-M23 y Cortex-M33.

(BZ#1641004, BZ#1637072, BZ#1501420, BZ#1504114, BZ#1614908, BZ#1614920)

Performance Co-Pilot versión 4.3.0

Red Hat Enterprise Linux 8 se distribuye con Performance Co-Pilot (PCP) versión 4.3.0. Las mejoras notables incluyen:

La herramienta pcp-dstat incluye ahora un análisis histórico y una salida en formato de valores separados por comas (CSV).
Las utilidades de registro pueden utilizar etiquetas métricas y registros de texto de ayuda.
La herramienta pmdaperfevent ahora informa de los números correctos de la CPU en los niveles más bajos de Multihilo Simultáneo (SMT).
La herramienta pmdapostgresql ahora es compatible con Postgres series 10.x.
La herramienta pmdaredis es ahora compatible con Redis series 5.x.
La herramienta pmdabcc ha sido mejorada con el filtrado dinámico de procesos y syscalls, ucalls y ustat por proceso.
La herramienta pmdammv ahora exporta etiquetas métricas, y la versión del formato se incrementa a 3.
La herramienta pmdagfs2 es compatible con las métricas adicionales de las glock y los soportes de las glock.
Se han realizado varias correcciones en la política de SELinux.

(BZ#1641034)

Claves de protección de la memoria

Esta actualización habilita las características de hardware que permiten los cambios de bandera de protección de páginas por hilo. Se han añadido las nuevas envolturas de llamadas al sistema glibc para las funciones pkey_alloc(), pkey_free() y pkey_mprotect(). Además, se han añadido las funciones pkey_set() y pkey_get() para permitir el acceso a los indicadores de protección por hilo.

(BZ#1304448)

GCC ahora está por defecto en z13 en IBM Z

Con esta actualización, por defecto GCC en la arquitectura IBM Z construye código para el procesador z13, y el código se ajusta para el procesador z14. Esto equivale a utilizar las opciones -march=z13 y -mtune=z14. Los usuarios pueden anular este valor por defecto utilizando explícitamente las opciones para la arquitectura de destino y el ajuste.

(BZ#1571124)

elfutils actualizado a la versión 0.174

En Red Hat Enterprise Linux 8, el paquete elfutils está disponible en la versión 0.174. Los cambios notables incluyen:

Anteriormente, la herramienta eu-readelf podía mostrar una variable con un valor negativo como si tuviera un valor grande sin signo, o mostrar un valor grande sin signo como un valor negativo. Esto se ha corregido y eu-readelf ahora busca el tamaño y el signo de los tipos de valores constantes para mostrarlos correctamente.
Se ha añadido a la biblioteca libdw una nueva función dwarf_next_lines() para leer los datos .debug_line que faltan en CU. Esta función puede utilizarse como alternativa a las funciones dwarf_getsrclines() y dwarf_getsrcfiles().
Anteriormente, los archivos con más de 65280 secciones podían provocar errores en las bibliotecas libelf y libdw y en todas las herramientas que las utilizaban. Este error se ha corregido. Como resultado, los valores shnum y shstrndx extendidos en las cabeceras de los archivos ELF se manejan correctamente.

(BZ#1641007)

Valgrind actualizado a la versión 3.14

Red Hat Enterprise Linux 8 se distribuye con la herramienta de análisis de código ejecutable Valgrind versión 3.14. Los cambios notables incluyen:

Se ha añadido una nueva opción --keep-debuginfo para permitir la retención de información de depuración para el código descargado. Como resultado, los rastros de pila guardados pueden incluir información de archivos y líneas para el código que ya no está presente en la memoria.
Se han añadido supresiones basadas en el nombre del archivo fuente y el número de línea.
La herramienta Helgrind se ha ampliado con una opción --delta-stacktrace para especificar el cálculo de las trazas de pila de la historia completa. En particular, el uso de esta opción junto con --history-level=full puede mejorar el rendimiento de Helgrind hasta en un 25%.
Se ha reducido la tasa de falsos positivos en la herramienta Memcheck para el código optimizado en las arquitecturas Intel y AMD de 64 bits y en la arquitectura ARM de 64 bits. Tenga en cuenta que puede utilizar la opción --expensive-definedness-checks para controlar el manejo de las comprobaciones de definición y mejorar la tasa a expensas del rendimiento.
Valgrind ahora puede reconocer más instrucciones de la variante little-endian de IBM Power Systems.
Valgrind ahora puede procesar la mayoría de las instrucciones de vectores enteros y de cadenas del procesador z13 de la arquitectura IBM Z.

Para más información sobre las nuevas opciones y sus limitaciones conocidas, consulte la página del manual de valgrind(1 ).

(BZ#1641029, BZ#1501419)

GDB versión 8.2

Red Hat Enterprise Linux 8 se distribuye con la versión 8.2 del depurador GDB:

El protocolo IPv6 es compatible con la depuración remota con GDB y gdbserver.
Se ha mejorado la depuración sin información de depuración.
Se ha mejorado la finalización de símbolos en la interfaz de usuario de GDB para ofrecer mejores sugerencias mediante el uso de más construcciones sintácticas como etiquetas ABI o espacios de nombres.
Ahora los comandos pueden ejecutarse en segundo plano.
Ahora es posible depurar los programas creados en el lenguaje de programación Rust.
Se ha mejorado la depuración de los lenguajes C y C con el soporte del analizador sintáctico para los operadores _Alignof y alignof, las referencias rvalue de C y las matrices automáticas de longitud variable de C99.
Los scripts de extensión de GDB ahora pueden utilizar el lenguaje de scripting Guile.
La interfaz del lenguaje de scripting Python para las extensiones se ha mejorado con nuevas funciones de la API, decoradores de marcos, filtros y desenrolladores. Además, los scripts de la sección .debug_gdb_scripts de la configuración de GDB se cargan automáticamente.
GDB utiliza ahora la versión 3 de Python para ejecutar sus scripts, incluyendo las impresoras bonitas, los decoradores de marcos, los filtros y los desenrolladores.
Las arquitecturas ARM y ARM de 64 bits han sido mejoradas con el registro y la reproducción de la ejecución de procesos, incluyendo las instrucciones Thumb de 32 bits y de llamada al sistema.
GDB ahora soporta la Extensión Vectorial Escalable (SVE) en la arquitectura ARM de 64 bits.
Se ha añadido la compatibilidad con el registro Intel PKU y con Intel Processor Trace.
La funcionalidad de grabación y reproducción se ha ampliado para incluir las instrucciones rdrand y rdseed en los sistemas basados en Intel.
La funcionalidad de GDB en la arquitectura IBM Z se ha ampliado con soporte para tracepoints y tracepoints rápidos, registros vectoriales y ABI, y la llamada al sistema Catch. Además, GDB soporta ahora las instrucciones más recientes de la arquitectura.
Ahora GDB puede utilizar las sondas estáticas de espacio de usuario (SDT) de SystemTap en la arquitectura ARM de 64 bits.

(BZ#1641022, BZ#1497096, BZ#1505346, BZ#1592332, BZ#1550502)

la localización deglibc para RHEL se distribuye en varios paquetes

En RHEL 8, las localizaciones y traducciones de glibc ya no son proporcionadas por el paquete único glibc-common. En su lugar, cada configuración regional e idioma está disponible en un paquete glibc-langpack-CODE. Además, en la mayoría de los casos no se instalan todas las configuraciones regionales por defecto, sino sólo las seleccionadas en el instalador. Los usuarios deben instalar todos los paquetes de configuraciones regionales que necesiten por separado, o si lo desean pueden instalar glibc-all-langpacks para obtener el archivo de configuraciones regionales que contiene todas las configuraciones regionales de glibc instaladas como antes.

Para más información, consulte la sección sobre el uso de paquetes de idiomas.

(BZ#1512009)

GCC versión 8.2

En Red Hat Enterprise Linux 8, la cadena de herramientas GCC está basada en la serie de versiones GCC 8.2. Los cambios notables incluyen:

Se han añadido numerosas optimizaciones generales, como el análisis de alias, las mejoras del vectorizador, el plegado de código idéntico, el análisis interprocedimental, el pase de optimización de la fusión de almacenes y otras.
Se ha mejorado el sanitizador de direcciones. Se han añadido el Sanitizador de Fugas y el Sanitizador de Comportamientos Indefinidos.
Ahora se puede producir información de depuración en el formato DWARF5. Esta capacidad es experimental.
La herramienta de análisis de cobertura del código fuente GCOV se ha ampliado con varias mejoras.
Se han añadido nuevas advertencias y diagnósticos mejorados para la detección estática de más errores de programación.
GCC se ha ampliado para proporcionar herramientas que garanticen un endurecimiento adicional del código generado. Entre las mejoras relacionadas con la seguridad se encuentran la comprobación del desbordamiento, la protección adicional contra el choque de la pila, la comprobación de las direcciones de destino de las instrucciones de flujo de control, las advertencias para las funciones de manipulación de cadenas delimitadas y las advertencias para detectar índices de matrices fuera de los límites.

Las mejoras en la arquitectura y el soporte del procesador incluyen:

Se han añadido múltiples opciones nuevas específicas para la arquitectura Intel AVX-512, varias de sus microarquitecturas y las extensiones de protección de software de Intel (SGX).
La generación de código ahora puede dirigirse a las extensiones LSE de la arquitectura ARM de 64 bits, a las extensiones de punto flotante (FPE) de 16 bits de ARMv8.2-A y a las versiones de la arquitectura ARMv8.2-A, ARMv8.3-A y ARMv8.4-A.
Se ha añadido soporte para los procesadores z13 y z14 de la arquitectura IBM Z.

Entre los cambios notables relacionados con las lenguas y las normas se encuentran:

El estándar por defecto utilizado al compilar código en el lenguaje C ha cambiado a C17 con extensiones GNU.
El estándar por defecto utilizado al compilar código en el lenguaje C ha cambiado a C 14 con extensiones GNU.
La biblioteca de tiempo de ejecución de C es ahora compatible con los estándares C 11 y C 14.
El compilador de C ahora implementa el estándar C 14.
Se ha mejorado la compatibilidad con el lenguaje C estándar C11.
La nueva extensión __auto_type de GNU C proporciona un subconjunto de la funcionalidad de la palabra clave auto de C 11 en el lenguaje C.
Los nombres de los tipos _FloatN y _FloatNx especificados por la norma ISO/IEC TS 18661-3:2015 son ahora reconocidos por el front end de C.
Pasar una clase vacía como argumento ahora no ocupa espacio en las arquitecturas Intel 64 y AMD64, como lo requiere la ABI de la plataforma.
El valor devuelto por el operador alignof de C 11 ha sido corregido para que coincida con el operador _Alignof de C y devuelva la alineación mínima. Para encontrar la alineación preferida, utilice la extensión GNU __alignof__.
La versión principal de la biblioteca libgfortran para el código del lenguaje Fortran se ha cambiado a 5.
Se ha eliminado el soporte para los lenguajes Ada (GNAT), GCC Go y Objective C/C. Utilice el conjunto de herramientas Go para el desarrollo de código Go.

(JIRA:RHELPLAN-7437, BZ#1512593, BZ#1512378)

El modo FIPS de la biblioteca criptográfica Go ahora respeta la configuración del sistema

Anteriormente, la biblioteca criptográfica estándar de Go siempre utilizaba su modo FIPS a menos que se deshabilitara explícitamente en el momento de construir la aplicación que utilizaba la biblioteca. Como consecuencia, los usuarios de aplicaciones basadas en Go no podían controlar si se utilizaba el modo FIPS. Con este cambio, la biblioteca no utiliza por defecto el modo FIPS cuando el sistema no está configurado en modo FIPS. Como resultado, los usuarios de aplicaciones basadas en Go en sistemas RHEL tienen más control sobre el uso del modo FIPS de la biblioteca criptográfica Go.

(BZ#1633351)

strace actualizado a la versión 4.24

Red Hat Enterprise Linux 8 se distribuye con la herramienta strace versión 4.24. Los cambios notables incluyen:

Se han añadido funciones de manipulación de llamadas al sistema con la opción -e inject=. Esto incluye la inyección de errores, valores de retorno, retrasos y señales.
Se ha mejorado la sintaxis de las llamadas al sistema:
- Se ha añadido la opción -e trace=/regex para filtrar las llamadas al sistema con expresiones regulares.
- Anteponer un signo de interrogación a la calificación de una llamada del sistema en la opción -e trace= permite a strace continuar, incluso si la calificación no coincide con ninguna llamada del sistema.
- Se ha añadido la designación de personalidad a las calificaciones de las llamadas al sistema en la opción -e trace.
Se ha añadido la decodificación de la razón de salida de kvm vcpu. Para ello, utilice la opción -e kvm=vcpu.
La biblioteca libdw de elfutils se utiliza ahora para desenrollar la pila cuando se utiliza la opción -k. Además, la separación de símbolos se realiza utilizando la biblioteca libiberty.
Anteriormente, la opción -r hacía que strace ignorara la opción -t. Esto se ha corregido, y las dos opciones son ahora independientes.
Se ha añadido la opción -A para abrir los archivos de salida en modo apéndice.
Se ha añadido la opción -X para configurar el formato de salida xlat.
Se ha mejorado la decodificación de direcciones de socket con la opción -yy. Además, se ha añadido la impresión de números de dispositivos de bloques y caracteres en el modo -yy.
Ahora es posible rastrear los binarios de 64 y 32 bits con una sola herramienta strace en la arquitectura IBM Z. Como consecuencia, el paquete strace32 separado ya no existe en RHEL 8.

Además, se ha añadido, mejorado o actualizado la decodificación de los siguientes elementos:

protocolos, mensajes y atributos denetlink
arch_prctl, bpf, getsockopt, io_pgetevent, keyctl, prctl, pkey_alloc, pkey_free, pkey_mprotect, ptrace, rseq, setsockopt, socket, statx y otras llamadas al sistema
Múltiples comandos para la llamada al sistema ioctl
Constantes de varios tipos
Rastreo de rutas para execveat, inotify_add_watch, inotify_init, select, symlink, symlinkat y llamadas al sistema mmap con argumentos indirectos
Listas de códigos de señales

(BZ#1641014)

Conjunto de herramientas del compilador en RHEL 8

RHEL 8.0 proporciona los siguientes conjuntos de herramientas de compilación como flujos de aplicaciones:

Clang and LLVM Toolset 7.0.1, que proporciona el marco de infraestructura del compilador LLVM, el compilador Clang para los lenguajes C y C, el depurador LLDB y herramientas relacionadas para el análisis de código. Consulte el documento Using Clang and LLVM Toolset.
Rust Toolset 1.31, que proporciona el compilador de lenguaje de programación Rust rustc, la herramienta de construcción cargo y el gestor de dependencias, el plugin cargo-vendor y las bibliotecas necesarias. Consulte el documento Using Rust Tools et.
Go Toolset 1.11.5, que proporciona las herramientas y bibliotecas del lenguaje de programación Go. Go se conoce alternativamente como golang. Consulte el documento Using Go Tools et.

(BZ#1695698, BZ#1613515, BZ#1613516, BZ#1613518)

Implementaciones y herramientas Java en RHEL 8

El repositorio de RHEL 8 AppStream incluye:

Los paquetes java-11-openjdk, que proporcionan el entorno de ejecución Java OpenJDK 11 y el kit de desarrollo de software Java OpenJDK 11.
Los paquetes java-1.8.0-openjdk, que proporcionan el entorno de ejecución Java OpenJDK 8 y el kit de desarrollo de software Java OpenJDK 8.
Los paquetes icedtea-web, que proporcionan una implementación de Java Web Start.
El módulo ant, que proporciona una biblioteca Java y una herramienta de línea de comandos para compilar, ensamblar, probar y ejecutar aplicaciones Java. Ant se ha actualizado a la versión 1.10.
El módulo maven, proporciona una herramienta de gestión y comprensión de proyectos de software. Anteriormente, Maven sólo estaba disponible como Colección de Software o en el canal Opcional no soportado.
El módulo scala, que proporciona un lenguaje de programación de propósito general para la plataforma Java. Anteriormente, Scala sólo estaba disponible como Colección de Software.

Además, los paquetes java-1.8.0-ibm se distribuyen a través del repositorio complementario. Tenga en cuenta que los paquetes de este repositorio no están soportados por Red Hat.

(BZ#1699535)

Cambio de la ABI de C en std::string y std::list

La interfaz binaria de aplicación (ABI) de las clases std::string y std::list de la biblioteca libstdc cambió entre RHEL 7 (GCC 4.8) y RHEL 8 (GCC 8) para ajustarse al estándar C 11. La biblioteca libstdc soporta tanto la antigua como la nueva ABI, pero algunas otras bibliotecas del sistema C no lo hacen. Como consecuencia, las aplicaciones que enlazan dinámicamente con estas bibliotecas tendrán que ser reconstruidas. Esto afecta a todos los modos estándar de C, incluyendo C 98. También afecta a las aplicaciones construidas con los compiladores de Red Hat Developer Toolset para RHEL 7, que mantuvieron la antigua ABI para mantener la compatibilidad con las bibliotecas del sistema.

(BZ#1704867)

5.1.12. Sistemas de archivos y almacenamiento

Soporte para el Campo de Integridad de Datos/Extensión de Integridad de Datos (DIF/DIX)

DIF/DIX es compatible con las configuraciones en las que el proveedor de hardware lo ha calificado y proporciona soporte completo para el adaptador de bus de host (HBA) particular y la configuración de la matriz de almacenamiento en RHEL.

DIF/DIX no es compatible con las siguientes configuraciones:

No se admite su uso en el dispositivo de arranque.
No es compatible con los huéspedes virtualizados.
Red Hat no admite el uso de la biblioteca de gestión automática del almacenamiento (ASMLib) cuando DIF/DIX está activado.

DIF/DIX se activa o desactiva en el dispositivo de almacenamiento, lo que implica varias capas hasta (e incluyendo) la aplicación. El método para activar el DIF en los dispositivos de almacenamiento depende del dispositivo.

Para más información sobre la función DIF/DIX, consulte Qué es DIF/DIX.

(BZ#1649493)

XFS ahora soporta extensiones de datos compartidos de copia en escritura

El sistema de archivos XFS soporta la funcionalidad de extensión de datos compartidos de copia en escritura. Esta función permite que dos o más archivos compartan un conjunto común de bloques de datos. Cuando alguno de los archivos que comparten bloques comunes cambia, XFS rompe el vínculo con los bloques comunes y crea un nuevo archivo. Esto es similar a la funcionalidad de copia en escritura (COW) que se encuentra en otros sistemas de archivos.

Las extensiones de datos de copia en escritura compartidas son:

Rápido: La creación de copias compartidas no utiliza la E/S del disco.
Espacio eficiente: Los bloques compartidos no consumen espacio adicional en el disco.
Transparente: Los archivos que comparten bloques comunes actúan como archivos normales.

Las utilidades del espacio de usuario pueden utilizar extensiones de datos compartidos de copia en escritura para:

Clonación eficiente de archivos, como con el comando cp --reflink
Instantáneas por archivo

Esta funcionalidad también es utilizada por subsistemas del kernel como Overlayfs y NFS para un funcionamiento más eficiente.

Las extensiones de datos compartidas de copia en escritura están ahora habilitadas por defecto al crear un sistema de archivos XFS, a partir de la versión 4.17.0-2.el8 del paquete xfsprogs.

Tenga en cuenta que los dispositivos de acceso directo (DAX) actualmente no admiten XFS con extensiones de datos compartidas de copia en escritura. Para crear un sistema de archivos XFS sin esta característica, utilice el siguiente comando:

# mkfs.xfs -m reflink=0 block-device

Red Hat Enterprise Linux 7 puede montar sistemas de archivos XFS con extensiones de datos compartidos de copia en escritura sólo en el modo de sólo lectura.

(BZ#1494028)

El tamaño máximo del sistema de archivos XFS es de 1024 TiB

El tamaño máximo soportado de un sistema de archivos XFS se ha incrementado de 500 TiB a 1024 TiB.

Los sistemas de archivos de más de 500 TiB lo requieren:

la función CRC de metadatos y la función btree de inodos libres están activadas en el formato del sistema de archivos, y
el tamaño del grupo de asignación es de al menos 512 GiB.

En RHEL 8, la utilidad mkfs.xfs crea sistemas de archivos que cumplen estos requisitos por defecto.

No se admite el crecimiento de un sistema de archivos más pequeño que no cumpla estos requisitos hasta un nuevo tamaño superior a 500 TiB.

(BZ#1563617)

el sistema de archivosext4 ahora soporta la suma de comprobación de metadatos

Con esta actualización, los metadatos de ext4 están protegidos por sumas de comprobación. Esto permite que el sistema de archivos reconozca los metadatos corruptos, lo que evita daños y aumenta la resistencia del sistema de archivos.

(BZ#1695584)

VDO ahora es compatible con todas las arquitecturas

Virtual Data Optimizer (VDO) ya está disponible en todas las arquitecturas soportadas por RHEL 8.

Para ver la lista de arquitecturas compatibles, consulte ???.

(BZ#1534087)

El gestor de arranque BOOM simplifica el proceso de creación de entradas de arranque

BOOM es un gestor de arranque para sistemas Linux que utilizan cargadores de arranque compatibles con la especificación BootLoader para la configuración de entradas de arranque. Permite una configuración de arranque flexible y simplifica la creación de entradas de arranque nuevas o modificadas: por ejemplo, para arrancar imágenes instantáneas del sistema creadas mediante LVM.

BOOM no modifica la configuración existente del gestor de arranque, y sólo inserta entradas adicionales. La configuración existente se mantiene, y cualquier integración de la distribución, como los scripts de instalación y actualización del kernel, siguen funcionando como antes.

BOOM cuenta con una interfaz de línea de comandos (CLI) y una API simplificadas que facilitan la tarea de crear entradas de arranque.

(BZ#1649582)

LUKS2 es ahora el formato por defecto para encriptar volúmenes

En RHEL 8, el formato LUKS versión 2 (LUKS2) sustituye al formato LUKS heredado (LUKS1). El subsistema dm-crypt y la herramienta cryptsetup utilizan ahora LUKS2 como formato por defecto para los volúmenes cifrados. LUKS2 proporciona volúmenes encriptados con redundancia de metadatos y recuperación automática en caso de un evento de corrupción parcial de metadatos.

Debido a la disposición interna flexible, LUKS2 es también un habilitador de futuras características. Soporta el auto-desbloqueo a través del token genérico kernel-keyring incorporado en libcryptsetup que permite a los usuarios desbloquear los volúmenes LUKS2 utilizando una frase de contraseña almacenada en el servicio de retención kernel-keyring.

Otras mejoras notables son:

La configuración de la clave protegida utilizando el esquema de cifrado de clave envuelta.
Integración más fácil con el descifrado basado en políticas (Clevis).
Hasta 32 ranuras para llaves - LUKS1 sólo ofrece 8 ranuras para llaves.

Para más detalles, consulte las páginas de manual de cryptsetup(8 ) y cryptsetup-reencrypt(8).

(BZ#1564540)

NVMe/FC es totalmente compatible con los adaptadores Broadcom Emulex y Marvell Qlogic Fibre Channel

El tipo de transporte NVMe sobre Canal de Fibra (NVMe/FC) es ahora totalmente compatible con el modo de iniciador cuando se utiliza con adaptadores Broadcom Emulex y Marvell Qlogic Fibre Channel de 32 Gbit que cuentan con soporte NVMe.

NVMe sobre canal de fibra es un tipo de transporte de tejido adicional para el protocolo Nonvolatile Memory Express (NVMe), además del protocolo Remote Direct Memory Access (RDMA) que se introdujo anteriormente en Red Hat Enterprise Linux.

Activación de NVMe/FC:

Para habilitar NVMe/FC en el controlador lpfc, edite el archivo /etc/modprobe.d/lpfc.conf y añada la siguiente opción:
```
lpfc_enable_fc4_type=3
```
Para activar NVMe/FC en el controlador qla2xxx, edite el archivo /etc/modprobe.d/qla2xxx.conf y añada la siguiente opción:
```
qla2xxx.ql2xnvmeenable=1
```

Restricciones adicionales:

No se admite el multipath con NVMe/FC.
La agrupación NVMe no es compatible con NVMe/FC.
kdump no es compatible con NVMe/FC.
El arranque desde la red de área de almacenamiento (SAN) NVMe/FC no es compatible.

(BZ#1649497)

Nuevo ajuste de configuración de scan_lvs

Se ha añadido un nuevo ajuste en el archivo de configuración lvm.conf, scan_lvs, y se ha establecido en 0 por defecto. El nuevo comportamiento por defecto evita que LVM busque PVs que puedan existir encima de los LVs; es decir, no explorará los LVs activos en busca de más PVs. La configuración por defecto también evita que LVM cree PVs encima de los LVs.

La superposición de PVs sobre LVs puede ocurrir por medio de imágenes VM colocadas sobre LVs, en cuyo caso no es seguro para el host acceder a los PVs. Evitar este acceso inseguro es la razón principal del nuevo comportamiento por defecto. Además, en entornos con muchos LVs activos, la cantidad de escaneo de dispositivos realizado por LVM puede disminuir significativamente.

El comportamiento anterior se puede restaurar cambiando este ajuste a 1.

(BZ#1676598)

Nueva sección de anulaciones del archivo de configuración de DM Multipath

El archivo /etc/multipath.conf incluye ahora una sección de anulaciones que le permite establecer un valor de configuración para todos sus dispositivos. Estos atributos son utilizados por DM Multipath para todos los dispositivos a menos que sean sobrescritos por los atributos especificados en la sección multipaths del archivo /etc/multipath.conf para las rutas que contienen el dispositivo. Esta funcionalidad sustituye al parámetro all_devs de la sección de dispositivos del archivo de configuración, que ya no es compatible.

(BZ#1643294)

Ahora se puede instalar y arrancar desde dispositivos NVDIMM

Antes de esta actualización, el instalador ignoraba los dispositivos de módulo de memoria dual no volátil (NVDIMM) en cualquier modo.

Con esta actualización, las mejoras del kernel para soportar los dispositivos NVDIMM proporcionan una mayor capacidad de rendimiento del sistema y un mejor acceso al sistema de archivos para las aplicaciones de escritura intensiva, como las cargas de trabajo de bases de datos o analíticas, así como una reducción de la sobrecarga de la CPU.

Esta actualización introduce la compatibilidad con:

El uso de dispositivos NVDIMM para la instalación mediante el comando nvdimm Kickstart y la GUI, lo que permite instalar y arrancar desde dispositivos NVDIMM en modo sectorial y reconfigurar los dispositivos NVDIMM en modo sectorial durante la instalación.
La extensión de los scripts Kickstart para Anaconda con comandos para el manejo de dispositivos NVDIMM.
La capacidad de los componentes del sistema grub2, efibootmgr y efivar para manejar y arrancar desde dispositivos NVDIMM.

(BZ#1499442)

Se ha mejorado la detección de rutas marginales en DM Multipath

El servicio multipathd soporta ahora una mejor detección de rutas marginales. Esto ayuda a los dispositivos multipathd a evitar las rutas que pueden fallar repetidamente, y mejora el rendimiento. Las rutas marginales son rutas con errores de E/S persistentes pero intermitentes.

Las siguientes opciones en el archivo /etc/multipath. conf controlan el comportamiento de las rutas marginales:

marginal_path_double_failed_time,
marginal_path_err_sample_time,
marginal_path_err_rate_threshold, y
marginal_path_err_recheck_gap_time.

DM Multipath desactiva una ruta y la prueba con E/S repetidas durante el tiempo de muestra configurado si:

las opciones de multipath. conf que aparecen en la lista están configuradas,
una ruta falla dos veces en el tiempo configurado, y
hay otros caminos disponibles.

Si la ruta tiene más de la tasa de error configurada durante esta prueba, DM Multipath la ignora durante el tiempo de intervalo configurado, y luego vuelve a probarla para ver si está funcionando lo suficientemente bien como para ser reinstalada.

Para más información, consulte la página man de multipath.conf.

(BZ#1643550)

Programación de colas múltiples en dispositivos de bloque

Los dispositivos de bloque utilizan ahora la programación de colas múltiples en Red Hat Enterprise Linux 8. Esto permite que el rendimiento de la capa de bloque se adapte bien a las rápidas unidades de estado sólido (SSD) y a los sistemas multinúcleo.

Los planificadores tradicionales, que estaban disponibles en RHEL 7 y versiones anteriores, han sido eliminados. RHEL 8 solo admite planificadores de colas múltiples.

(BZ#1647612)

5.1.13. Alta disponibilidad y clusters

Nuevos comandos pcs para listar los dispositivos de vigilancia disponibles y probar los dispositivos de vigilancia

Para configurar SBD con Pacemaker, se necesita un dispositivo de vigilancia que funcione. Esta versión admite el comando pcs stonith sbd watchdog list para enumerar los dispositivos de vigilancia disponibles en el nodo local, y el comando pcs stonith sbd watchdog test para probar un dispositivo de vigilancia. Para obtener información sobre la herramienta de línea de comandos sbd, consulte la página man de sbd(8).

(BZ#1578891)

El comando pcs ahora soporta el filtrado de fallos de recursos por una operación y su intervalo

Pacemaker ahora hace un seguimiento de los fallos de los recursos por una operación de recursos sobre un nombre de recurso, y un nodo. El comando pcs resource failcount show permite ahora filtrar los fallos por recurso, nodo, operación e intervalo. Proporciona una opción para mostrar los fallos agregados por un recurso y nodo o detallados por un recurso, nodo, operación y su intervalo. Además, el comando pcs resource cleanup permite ahora filtrar los fallos por un recurso, nodo, operación e intervalo.

(BZ#1591308)

Marcas de tiempo habilitadas en el registro de corosync

El registro de corosync no contenía anteriormente marcas de tiempo, lo que hacía difícil relacionarlo con los registros de otros nodos y demonios. Con esta versión, las marcas de tiempo están presentes en el registro de corosync.

(BZ#1615420)

Nuevos formatos para los comandos pcs cluster setup, pcs cluster node add y pcs cluster node remove

En Red Hat Enterprise Linux 8, pcs soporta completamente Corosync 3, knet y los nombres de nodo. Los nombres de nodo son ahora obligatorios y sustituyen a las direcciones de nodo en el papel de identificador de nodo. Las direcciones de nodo son ahora opcionales.

En el comando pcs host auth, las direcciones de los nodos son por defecto nombres de nodos.
En los comandos pcs cl uster setup y pcs cluster node add, las direcciones de los nodos son por defecto las direcciones de los nodos especificadas en el comando pcs host auth.

Con estos cambios, los formatos de los comandos para configurar un clúster, añadir un nodo a un clúster y eliminar un nodo de un clúster han cambiado. Para obtener información sobre estos nuevos formatos de comando, consulte la pantalla de ayuda de los comandos pcs cluster setup, pcs cluster node add y pcs cluster node remove.

(BZ#1158816)

Nuevos comandos pcs

Red Hat Enterprise Linux 8 introduce los siguientes comandos nuevos.

RHEL 8 introduce un nuevo comando, pcs cluster node add-guest | remove-guest, que sustituye al comando pcs cluster remote-node add | remove de RHEL 7.
RHEL 8 introduce un nuevo comando, pcs quorum unblock, que sustituye al comando pcs cluster quorum unblock de RHEL 7.
El comando pcs resource failcount reset ha sido eliminado ya que duplica la funcionalidad del comando pcs resource cleanup.
RHEL 8 introduce nuevos comandos que sustituyen al comando pcs resource [show] de RHEL 7:
- El comando pcs resource [status] de RHEL 8 sustituye al comando pcs resource [show] de RHEL 7.
- El comando pcs resource config de RHEL 8 sustituye al comando pcs resource [show] --full de RHEL 7.
- El comando pcs resource config resource id en RHEL 8 sustituye al comando pcs resource show resource id en RHEL 7.
RHEL 8 introduce nuevos comandos que sustituyen al comando pcs stonith [show] de RHEL 7:
- El comando pcs stonith [status] de RHEL 8 sustituye al comando pcs stonith [show] de RHEL 7.
- El comando pcs stonith config de RHEL 8 sustituye al comando pcs stonith [show] --full de RHEL 7.
- El comando pcs stonith config resource id en RHEL 8 sustituye al comando pcs stonith show resource id en RHEL 7.

(BZ#1654280)

Pacemaker 2.0.0 en RHEL 8

Los paquetes de pacemaker han sido actualizados a la versión upstream de Pacemaker 2.0.0, que proporciona una serie de correcciones de errores y mejoras respecto a la versión anterior:

El registro detallado de Pacemaker es ahora /var/log/pacemaker/pacemaker.log por defecto (no directamente en /var/log o combinado con el registro de corosync en /var/log/cluster).
Los procesos daemon de Pacemaker han sido renombrados para que la lectura de los registros sea más intuitiva. Por ejemplo, pengine ha sido renombrado a pacemaker-schedulerd.
Se ha eliminado la compatibilidad con las propiedades de clúster predeterminadas "resource-stickiness" y "is-managed-default ". Las propiedades resource-stickiness y is-managed deben establecerse en los recursos por defecto. Las configuraciones existentes (aunque no las recién creadas) con la sintaxis obsoleta se actualizarán automáticamente para utilizar la sintaxis soportada.
Para una lista más completa de cambios, consulte la actualización de Pacemaker 2.0 en Red Hat Enterprise Linux 8.

Se recomienda que los usuarios que estén actualizando un cluster existente que utilice Red Hat Enterprise Linux 7 o anterior, ejecuten pcs cluster cib-upgrade en cualquier nodo del cluster antes y después de actualizar RHEL en todos los nodos del cluster.

(BZ#1543494)

Los recursos maestros han sido renombrados como recursos clonados promocionables

Red Hat Enterprise Linux (RHEL) 8 soporta Pacemaker 2.0, en el que un recurso maestro/esclavo ya no es un tipo de recurso separado sino un recurso clon estándar con un meta-atributo promocionable establecido a true. Se han implementado los siguientes cambios en apoyo de esta actualización:

Ya no es posible crear recursos maestros con el comando pcs. En su lugar, es posible crear recursos clonables promocionables. Las palabras clave y los comandos relacionados se han cambiado de maestros a promocionables.
Todos los recursos maestros existentes se muestran como recursos clonados promocionables.
Cuando se gestiona un clúster RHEL7 en la interfaz web, los recursos maestros se siguen llamando maestros, ya que los clústeres RHEL7 no admiten clones promocionables.

(BZ#1542288)

Nuevos comandos para autenticar los nodos de un clúster

Red Hat Enterprise Linux (RHEL) 8 incorpora los siguientes cambios en los comandos utilizados para autenticar nodos en un cluster.

El nuevo comando para la autenticación es pcs host auth. Este comando permite a los usuarios especificar nombres de host, direcciones y puertos pcsd.
El comando pcs cluster auth aut entifica sólo los nodos de un cluster local y no acepta una lista de nodos
Ahora es posible especificar una dirección para cada nodo. pcs/pcsd se comunicará con cada nodo usando la dirección especificada. Estas direcciones pueden ser diferentes a las que corosync utiliza internamente.
El comando pcs pcsd clear-auth ha sido sustituido por los comandos pcs pcsd deauth y pcs host deauth. Los nuevos comandos permiten a los usuarios desautenticar un solo host así como todos los hosts.
Anteriormente, la autenticación de nodos era bidireccional, y la ejecución del comando pcs cluster auth hacía que todos los nodos especificados se autenticaran entre sí. El comando pcs host auth, sin embargo, hace que sólo el host local se autentique contra los nodos especificados. Esto permite un mejor control de qué nodo se autentifica contra qué otros nodos cuando se ejecuta este comando. En la configuración del clúster en sí, y también cuando se añade un nodo, pcs sincroniza automáticamente los tokens en el clúster, por lo que todos los nodos en el clúster siguen siendo autenticados automáticamente como antes y los nodos del clúster pueden comunicarse entre sí.

Tenga en cuenta que estos cambios no son compatibles con versiones anteriores. Los nodos que fueron autenticados en un sistema RHEL 7 tendrán que ser autenticados de nuevo.

(BZ#1549535)

Los comandos pcs ahora soportan la visualización, limpieza y sincronización del historial de esgrima

El demonio de cercado de Pacemaker registra un historial de todas las acciones de cercado realizadas (pendientes, exitosas y fallidas). Con esta versión, los comandos pcs permiten a los usuarios acceder al historial de vallas de las siguientes maneras:

El comando pcs status muestra las acciones de esgrima fallidas y pendientes
El comando pcs status --full muestra todo el historial de esgrima
El comando pcs stonith history proporciona opciones para mostrar y limpiar el historial de cercas
Aunque el historial de esgrima se sincroniza automáticamente, el comando pcs stonith history admite ahora una opción de actualización que permite al usuario sincronizar manualmente el historial de esgrima en caso de que sea necesario

(BZ#1620190, BZ#1615891)

5.1.14. Red

nftables sustituye a iptables como marco de filtrado de paquetes de red por defecto

El marco de trabajo nftables proporciona facilidades de clasificación de paquetes y es el sucesor designado de las herramientas iptables, ip6tables, arptables y ebtables. Ofrece numerosas mejoras en cuanto a comodidad, características y rendimiento con respecto a las herramientas de filtrado de paquetes anteriores, sobre todo:

tablas de búsqueda en lugar de procesamiento lineal
un único marco para los protocolos IPv4 e IPv6
reglas aplicadas atómicamente en lugar de buscar, actualizar y almacenar un conjunto de reglas completo
soporte para la depuración y el rastreo en el conjunto de reglas(nftrace) y la supervisión de los eventos de rastreo (en la herramienta nft )
sintaxis más coherente y compacta, sin extensiones específicas de protocolo
una API Netlink para aplicaciones de terceros

Al igual que iptables, nftables utiliza tablas para almacenar cadenas. Las cadenas contienen reglas individuales para realizar acciones. La herramienta nft sustituye a todas las herramientas de los anteriores marcos de filtrado de paquetes. La biblioteca libnftables se puede utilizar para la interacción de bajo nivel con la API Netlink de nftables sobre la biblioteca libmnl.

Las herramientas iptables, ip6tables, ebtables y arptables son reemplazadas por sustitutos basados en nftables con el mismo nombre. Mientras que el comportamiento externo es idéntico al de sus homólogos heredados, internamente utilizan nftables con módulos de kernel netfilter heredados a través de una interfaz de compatibilidad cuando es necesario.

El efecto de los módulos en el conjunto de reglas de nftables puede observarse utilizando el comando nft list rules et. Dado que estas herramientas añaden tablas, cadenas y reglas al conjunto de reglas de nftables, tenga en cuenta que las operaciones del conjunto de reglas de nftables, como el comando nft flush rules et, podrían afectar a los conjuntos de reglas instalados mediante los comandos heredados anteriormente separados.

Para identificar rápidamente qué variante de la herramienta está presente, se ha actualizado la información de la versión para incluir el nombre del back-end. En RHEL 8, la herramienta iptables basada en nftables imprime la siguiente cadena de versión:

$ iptables --version
iptables v1.8.0 (nf_tables)

Para comparar, se imprime la siguiente información de la versión si la herramienta iptables heredada está presente:

$ iptables --version
iptables v1.8.0 (legacy)

(BZ#1644030)

Funciones TCP notables en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con la versión 4.18 de la pila de red TCP, que proporciona un mayor rendimiento, mejor escalabilidad y más estabilidad. El rendimiento se ha incrementado especialmente en el caso de servidores TCP ocupados con una alta tasa de conexiones de entrada.

Además, están disponibles dos nuevos algoritmos de congestión TCP, BBR y NV, que ofrecen una latencia más baja y un mejor rendimiento que el cúbico en la mayoría de los escenarios.

(BZ#1562998)

firewalld utiliza nftables por defecto

Con esta actualización, el subsistema de filtrado nftables es el backend del cortafuegos por defecto para el demonio firewalld. Para cambiar el backend, utilice la opción FirewallBackend en el archivo /etc/firewalld/firewalld.conf.

Este cambio introduce las siguientes diferencias de comportamiento al utilizar nftables:

las ejecuciones de las reglasiptables siempre ocurren antes que las reglas firewalld
- DROP en iptables significa que un paquete nunca es visto por firewalld
- ACCEPT en iptables significa que un paquete sigue estando sujeto a las reglas de firewalld
las reglas directasde firewalld se siguen implementando a través de iptables mientras que otras características de firewalld utilizan nftables
la ejecución directa de la regla se produce antes de la aceptación genérica por parte de firewalld de las conexiones establecidas

(BZ#1509026)

Cambio notable en wpa_supplicant en RHEL 8

En Red Hat Enterprise Linux (RHEL) 8, el paquete wpa_supplicant se construye con CONFIG_DEBUG_SYSLOG activado. Esto permite leer el registro de wpa_supplicant utilizando la utilidad journalctl en lugar de comprobar el contenido del archivo /var/log/wpa_supplicant.log.

(BZ#1582538)

NetworkManager ahora soporta funciones virtuales SR-IOV

En Red Hat Enterprise Linux 8.0, NetworkManager permite configurar el número de funciones virtuales (VF) para interfaces que soportan la virtualización de E/S de raíz única (SR-IOV). Adicionalmente, NetworkManager permite configurar algunos atributos de las VFs, tales como la dirección MAC, la VLAN, el ajuste de comprobación de spoof y las tasas de bits permitidas. Tenga en cuenta que todas las propiedades relacionadas con SR-IOV están disponibles en la configuración de la conexión sriov. Para más detalles, consulte la página man de nm-settings(5).

(BZ#1555013)

Ahora se admiten los controladores de red virtual IPVLAN

En Red Hat Enterprise Linux 8.0, el kernel incluye soporte para los controladores de red virtual IPVLAN. Con esta actualización, las tarjetas de interfaz de red (NIC) virtuales IPVLAN permiten la conectividad de red para múltiples contenedores exponiendo una única dirección MAC a la red local. Esto permite que un solo host tenga muchos contenedores superando la posible limitación en el número de direcciones MAC soportadas por los equipos de red pares.

(BZ#1261167)

NetworkManager admite una coincidencia de nombre de interfaz con comodines para las conexiones

Anteriormente, era posible restringir una conexión a una interfaz determinada utilizando sólo una coincidencia exacta en el nombre de la interfaz. Con esta actualización, las conexiones tienen una nueva propiedad match.interface-name que admite comodines. Esta actualización permite a los usuarios elegir la interfaz para una conexión de una manera más flexible utilizando un patrón de comodines.

(BZ#1555012)

Mejoras en la pila de redes 4.18

Red Hat Enterprise Linux 8.0 incluye la pila de redes actualizada a la versión 4.18, que proporciona varias correcciones de errores y mejoras. Los cambios más destacados son:

Se han introducido nuevas funciones de descarga, como UDP_GSO y, para algunos controladores de dispositivos, GRO_HW.
Mejora de la escalabilidad significativa para el Protocolo de Datagramas de Usuario (UDP).
Se ha mejorado el código de sondeo genérico de ocupado.
Mejora de la escalabilidad del protocolo IPv6.
Mejora de la escalabilidad del código de enrutamiento.
Se ha añadido un nuevo algoritmo de programación de colas de transmisión por defecto, fq_codel, que mejora el retraso de la transmisión.
Se ha mejorado la escalabilidad de algunos algoritmos de programación de colas de transmisión. Por ejemplo, pfifo_fast ahora no tiene bloqueo.
Se ha mejorado la escalabilidad de la unidad de reensamblaje de IP eliminando el hilo del núcleo de recolección de basura y los fragmentos de IP expiran sólo en el tiempo de espera. Como resultado, el uso de la CPU bajo DoS es mucho menor, y la tasa máxima de caída de fragmentos sostenible está limitada por la cantidad de memoria configurada para la unidad de reensamblaje IP.

(BZ#1562987)

Nuevas herramientas para convertir iptables en nftables

Esta actualización añade las herramientas iptables-translate e ip6tables-translate para convertir las reglas existentes de iptables o ip6tables en las equivalentes para nftables. Tenga en cuenta que algunas extensiones carecen de soporte de traducción. Si existe una extensión de este tipo, la herramienta imprime la regla no traducida precedida del signo #. Por ejemplo:

| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill
| nft # -A INPUT -j CHECKSUM --checksum-fill

Además, los usuarios pueden utilizar las herramientas iptables-restore-translate e ip6tables-restore-translate para traducir un volcado de reglas. Tenga en cuenta que antes de eso, los usuarios pueden utilizar los comandos iptables-save o ip6tables-save para imprimir un volcado de las reglas actuales. Por ejemplo:

| % sudo iptables-save >/tmp/iptables.dump
| % iptables-restore-translate -f /tmp/iptables.dump
| # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018
| add table ip nat
| ...

(BZ#1564596)

Nuevas funciones añadidas a la VPN mediante NetworkManager

En Red Hat Enterprise Linux 8.0, NetworkManager proporciona las siguientes nuevas características a la VPN:

Compatibilidad con el protocolo de intercambio de claves de Internet versión 2 (IKEv2).
Se han añadido algunas opciones más de Libreswan, como las opciones rightid, leftcert, narrowing, rekey, fragmentation. Para más detalles sobre las opciones soportadas, consulte la página man de nm-settings-libreswan.
Se han actualizado los cifrados por defecto. Esto significa que cuando el usuario no especifica los cifrados, el plugin NetworkManager-libreswan permite a la aplicación Libreswan elegir el cifrado por defecto del sistema. La única excepción es cuando el usuario selecciona una configuración de modo agresivo IKEv1. En este caso, los valores ike = aes256-sha1;modp1536 y eps = aes256-sha1 se pasan a Libreswan.

(BZ#1557035)

Se añade un nuevo tipo de trozo de datos, I-DATA, a SCTP

Esta actualización añade un nuevo tipo de trozo de datos, I-DATA, y programadores de flujos al protocolo de transmisión de control de flujos (SCTP). Anteriormente, SCTP enviaba los mensajes de usuario en el mismo orden en que eran enviados por un usuario. En consecuencia, un mensaje de usuario SCTP de gran tamaño bloqueaba todos los demás mensajes de cualquier flujo hasta su envío completo. Cuando se utilizan trozos de I-DATA, el campo del número de secuencia de transmisión (TSN) no se sobrecarga. Como resultado, SCTP ahora puede programar los flujos de diferentes maneras, e I-DATA permite el intercalado de mensajes de usuario (RFC 8260). Tenga en cuenta que ambos pares deben soportar el tipo de chunk I-DATA.

(BZ#1273139)

NetworkManager admite la configuración de las funciones de descarga de ethtool

Con esta mejora, NetworkManager soporta la configuración de las características de descarga de ethtool, y los usuarios ya no necesitan usar scripts init o un script despachador de NetworkManager. Como resultado, los usuarios ahora pueden configurar la función de descarga como parte del perfil de conexión utilizando uno de los siguientes métodos:

Utilizando la utilidad nmcli
Editando los archivos de claves en el directorio /etc/NetworkManager/system-connections/
Editando los archivos /etc/sysconfig/network-scripts/ifcfg-*

Tenga en cuenta que actualmente esta función no es compatible con las interfaces gráficas ni con la utilidad nmtui.

(BZ#1335409)

Soporte de TCP BBR en RHEL 8

Un nuevo algoritmo de control de la congestión TCP, el ancho de banda del cuello de botella y el tiempo de viaje de ida y vuelta (BBR) es ahora compatible con Red Hat Enterprise Linux (RHEL) 8. BBR intenta determinar el ancho de banda del enlace cuello de botella y el tiempo de ida y vuelta (RTT). La mayoría de los algoritmos de congestión se basan en la pérdida de paquetes (incluyendo CUBIC, el algoritmo de control de congestión TCP de Linux por defecto), que tienen problemas en los enlaces de alto rendimiento. BBR no reacciona a los eventos de pérdida directamente, sino que ajusta la tasa de ritmo de TCP para que coincida con el ancho de banda disponible. Los usuarios de TCP BBR deberían cambiar a la configuración de colas fq en todas las interfaces implicadas.

Tenga en cuenta que los usuarios deben utilizar explícitamente fq y no fq_codel.

Para más detalles, consulte la página man de tc-fq.

(BZ#1515987)

lksctp-tools, versión 1.0.18 en RHEL 8

El paquete lksctp-tools, versión 3.28 está disponible en Red Hat Enterprise Linux (RHEL) 8. Las mejoras notables y las correcciones de errores incluyen:

Integración con Travis CI y Coverity Scan
Soporte para la función sctp_peeloff_flags
Indicación de las características del núcleo que están disponibles
Corrección de los problemas de Coverity Scan

(BZ#1568622)

Lista negra del módulo SCTP por defecto en RHEL 8

Para aumentar la seguridad, se ha trasladado un conjunto de módulos del núcleo al paquete kernel-modules-extra. Estos no se instalan por defecto. Como consecuencia, los usuarios que no son root no pueden cargar estos componentes ya que están en la lista negra por defecto. Para utilizar uno de estos módulos del kernel, el administrador del sistema debe instalar kernel-modules-extra y eliminar explícitamente la lista negra de módulos. Como resultado, los usuarios no root podrán cargar el componente de software automáticamente.

(BZ#1642795)

Cambios notables en driverctl 0.101

Red Hat Enterprise Linux 8.0 se distribuye con driverctl 0.101. Esta versión incluye las siguientes correcciones de errores:

Se han corregido las advertencias de shellcheck.
El bash-completion se instala como driverctl en lugar de driverctl-bash-completion.sh.
Se ha corregido la función load_override para los buses no PCI.
El servicio driverctl carga todas las anulaciones antes de llegar al objetivo systemd basic.target.

(BZ#1648411)

Añadidas las prioridades de las reglas ricas a firewalld

Se ha añadido la opción de prioridad a las reglas ricas. Esto permite a los usuarios definir el orden de prioridad deseable durante la ejecución de la regla y proporciona un control más avanzado sobre las reglas ricas.

(BZ#1648497)

NVMe sobre RDMA es compatible con RHEL 8

En Red Hat Enterprise Linux (RHEL) 8, Nonvolatile Memory Express (NVMe) sobre Remote Direct Memory Access (RDMA) es compatible con Infiniband, RoCEv2 e iWARP sólo en modo iniciador.

Tenga en cuenta que Multipath sólo es compatible con el modo de conmutación por error.

Restricciones adicionales:

Kdump no es compatible con NVMe/RDMA.
No se admite el arranque desde un dispositivo NVMe a través de RDMA.

(BZ#1680177)

El back end nf_tables no soporta la depuración mediante dmesg

Red Hat Enterprise Linux 8.0 utiliza el back end nf_tables para los cortafuegos que no soporta la depuración del cortafuegos utilizando la salida de la utilidad dmesg. Para depurar las reglas del cortafuegos, utilice los comandos xtables-monitor -t o nft monitor trace para decodificar los eventos de evaluación de reglas.

(BZ#1645744)

Red Hat Enterprise Linux soporta VRF

El kernel de RHEL 8.0 soporta el enrutamiento y reenvío virtual (VRF). Los dispositivos VRF, combinados con las reglas establecidas mediante la utilidad ip, permiten a los administradores crear dominios VRF en la pila de red Linux. Estos dominios aíslan el tráfico en la capa 3 y, por lo tanto, el administrador puede crear diferentes tablas de enrutamiento y reutilizar las mismas direcciones IP dentro de diferentes dominios VRF en un host.

(BZ#1440031)

iproute, versión 4.18 en RHEL 8

El paquete iproute se distribuye con la versión 4.18 en Red Hat Enterprise Linux (RHEL) 8. El cambio más notable es que el alias de interfaz marcado como ethX:Y, como eth0:1, ya no está soportado. Para solucionar este problema, los usuarios deben eliminar el sufijo del alias, que son los dos puntos y el número siguiente antes de introducir ip link show.

(BZ#1589317)

5.1.15. Seguridad

Etiqueta SWID de la versión RHEL 8.0

Para permitir la identificación de las instalaciones de RHEL 8.0 mediante el mecanismo ISO/IEC 19770-2:2015, las etiquetas de identificación de software (SWID) se instalan en los archivos /usr/lib/swidtag/redhat. com/com. redhat. RHEL-8-<architecture> . swidtag y /usr/lib/swidtag/redhat.com/com.redhat.RHEL-8.0-<architecture>.swidtag. El directorio padre de estas etiquetas también puede encontrarse siguiendo el enlace simbólico /etc/swid/swidtags.d/redhat. com.

La firma XML de los archivos de etiquetas SWID puede verificarse mediante el comando xmlsec1 verify, por ejemplo:

xmlsec1 verify --trusted-pem /etc/pki/swid/CA/redhat.com/redhatcodesignca.cert /usr/share/redhat.com/com.redhat.RHEL-8-x86_64.swidtag

El certificado de la autoridad de certificación de firma de código también puede obtenerse en la página de Claves de Firma de Producto del Portal del Cliente.

(BZ#1636338)

Las políticas criptográficas de todo el sistema se aplican por defecto

Crypto-policies es un componente en Red Hat Enterprise Linux 8, que configura los subsistemas criptográficos centrales, cubriendo los protocolos TLS, IPsec, DNSSEC, Kerberos y SSH. Proporciona un pequeño conjunto de políticas, que el administrador puede seleccionar utilizando el comando update-crypto-policies.

La política criptográfica de todo el sistema DEFAULT ofrece una configuración segura para los modelos de amenaza actuales. Permite los protocolos TLS 1.2 y 1.3, así como los protocolos IKEv2 y SSH2. Las claves RSA y los parámetros Diffie-Hellman se aceptan si son mayores de 2047 bits.

Consulte el artículo Seguridad consistente mediante políticas criptográficas en Red Hat Enterprise Linux 8 en el Blog de Red Hat y la página man update-crypto-policies(8) para más información.

(BZ#1591620)

OpenSSH rebasado a la versión 7.8p1

Los paquetes openssh han sido actualizados a la versión 7.8p1. Los cambios notables incluyen:

Se ha eliminado la compatibilidad con el protocolo SSH versión 1.
Se ha eliminado la compatibilidad con el código de autenticación de mensajes hmac-ripemd160.
Se ha eliminado la compatibilidad con los cifrados RC4(arcfour).
Se ha eliminado la compatibilidad con los cifrados Blowfish.
Se ha eliminado la compatibilidad con los cifrados CAST.
Se ha cambiado el valor por defecto de la opción UseDNS a no.
Desactivar los algoritmos de clave pública DSA por defecto.
Se ha cambiado el tamaño mínimo del módulo para los parámetros Diffie-Hellman a 2048 bits.
Se ha cambiado la semántica de la opción de configuración ExposeAuthInfo.
La opción UsePrivilegeSeparation=sandbox es ahora obligatoria y no puede ser desactivada.
Establezca el tamaño mínimo de clave RSA aceptado en 1024 bits.

(BZ#1622511)

La generación automática de claves del servidor OpenSSH es ahora gestionada por sshd-keygen@.service

OpenSSH crea automáticamente las claves de host del servidor RSA, ECDSA y ED25519 si no las tiene. Para configurar la creación de claves de host en RHEL 8, utilice el servicio instanciado sshd-keygen@.service.

Por ejemplo, para desactivar la creación automática del tipo de clave RSA:

# systemctl mask sshd-keygen@rsa.service

Consulte el archivo /etc/sysconfig/sshd para obtener más información.

(BZ#1228088)

Las claves ECDSA son compatibles con la autenticación SSH

Esta versión de la suite OpenSSH introduce soporte para claves ECDSA almacenadas en tarjetas inteligentes PKCS #11. Como resultado, los usuarios pueden ahora utilizar tanto claves RSA como ECDSA para la autenticación SSH.

(BZ#1645038)

libssh implementa SSH como componente criptográfico principal

Este cambio introduce libssh como un componente criptográfico central en Red Hat Enterprise Linux 8. La biblioteca libssh implementa el protocolo Secure Shell (SSH).

Tenga en cuenta que el lado del cliente de libssh sigue la configuración establecida para OpenSSH a través de las políticas criptográficas de todo el sistema, pero la configuración del lado del servidor no se puede cambiar a través de las políticas criptográficas de todo el sistema.

(BZ#1485241)

Soporte de TLS 1.3 en las bibliotecas criptográficas

Esta actualización habilita la seguridad de la capa de transporte (TLS) 1.3 por defecto en todas las principales bibliotecas criptográficas del back-end. Esto permite una baja latencia en la capa de comunicaciones del sistema operativo y mejora la privacidad y la seguridad de las aplicaciones al aprovechar los nuevos algoritmos, como RSA-PSS o X25519.

(BZ#1516728)

NSS ahora utiliza SQL por defecto

Las bibliotecas de los Servicios de Seguridad de la Red (NSS) utilizan ahora por defecto el formato de archivo SQL para la base de datos de confianza. El formato de archivo DBM, que se utilizaba como formato de base de datos por defecto en versiones anteriores, no admite el acceso concurrente a la misma base de datos por parte de varios procesos y ha quedado obsoleto en la versión anterior. Como resultado, las aplicaciones que utilizan la base de datos de confianza del NSS para almacenar claves, certificados e información de revocación ahora crean bases de datos en el formato SQL por defecto. Los intentos de crear bases de datos en el formato DBM heredado fallan. Las bases de datos DBM existentes se abren en modo de sólo lectura y se convierten automáticamente al formato SQL. Tenga en cuenta que NSS soporta el formato de archivo SQL desde Red Hat Enterprise Linux 6.

(BZ#1489094)

La compatibilidad de PKCS #11 con las tarjetas inteligentes y los HSM es ahora coherente en todo el sistema

Con esta actualización, el uso de tarjetas inteligentes y módulos de seguridad de hardware (HSM) con la interfaz de token criptográfico PKCS #11 se vuelve consistente. Esto significa que el usuario y el administrador pueden utilizar la misma sintaxis para todas las herramientas relacionadas en el sistema. Las mejoras más destacadas son:

Compatibilidad con el esquema PKCS #11 Uniform Resource Identifier (URI) que garantiza una habilitación simplificada de los tokens en los servidores RHEL tanto para los administradores como para los escritores de aplicaciones.
Un método de registro en todo el sistema para tarjetas inteligentes y HSMs utilizando el pkcs11.conf.
Las aplicaciones NSS, GnuTLS y OpenSSL (a través del motor openssl-pkcs11 ) disponen de un soporte consistente para HSM y tarjetas inteligentes.
El servidor HTTP Apache(httpd) ahora soporta sin problemas los HSM.

Para más información, consulte la página man de pkcs11.conf(5).

(BZ#1516741)

Firefox ahora funciona con controladores PKCS #11 registrados en todo el sistema

El navegador web Firefox carga automáticamente el módulo p11-kit-proxy y se detectan automáticamente todas las tarjetas inteligentes registradas en todo el sistema en p11-kit a través del archivo pkcs11.conf. Para utilizar la autenticación de cliente TLS, no se requiere ninguna configuración adicional y las claves de una tarjeta inteligente se utilizan automáticamente cuando un servidor las solicita.

(BZ#1595638)

RSA-PSS ya es compatible con OpenSC

Esta actualización añade soporte para el esquema de firma criptográfica RSA-PSS al controlador de la tarjeta inteligente OpenSC. El nuevo esquema permite un algoritmo criptográfico seguro necesario para la compatibilidad con TLS 1.3 en el software cliente.

(BZ#1595626)

Cambios notables en Libreswan en RHEL 8

Los paquetes libreswan han sido actualizados a la versión 3.27, que proporciona muchas correcciones de errores y mejoras respecto a las versiones anteriores. Los cambios más notables son:

Se ha añadido soporte para RSA-PSS (RFC 7427) a través de authby=rsa-sha2, ECDSA (RFC 7427) a través de authby=ecdsa-sha2, CURVE25519 utilizando la palabra clave dh31, y CHACHA20-POLY1305 para IKE y ESP a través de la palabra clave de cifrado chacha20_poly1305 para el protocolo IKEv2.
El soporte para el módulo alternativo del kernel KLIPS ha sido eliminado de Libreswan, ya que upstream ha dejado de lado KLIPS por completo.
Los grupos Diffie-Hellman DH22, DH23 y DH24 ya no son compatibles (según el RFC 8247).

Tenga en cuenta que la opción authby=rsasig se ha cambiado para utilizar siempre el método RSA v1.5, y la opción authby=rsa-sha2 utiliza el método RSASSA-PSS. La opción authby=rsa-sha1 no es válida según el RFC 8247. Esta es la razón por la que Libreswan ya no admite SHA-1 con firmas digitales.

(BZ#1566574)

Las políticas criptográficas del sistema cambian la versión de IKE por defecto en Libreswan a IKEv2

La versión de IKE por defecto en la implementación de Libreswan IPsec ha sido cambiada de IKEv1 (RFC 2409) a IKEv2 (RFC 7296). Los algoritmos IKE y ESP/AH por defecto para su uso con IPsec han sido actualizados para cumplir con las políticas criptográficas de todo el sistema, RFC 8221 y RFC 8247. Ahora se prefieren tamaños de clave de encriptación de 256 bits sobre tamaños de clave de 128 bits.

Los cifrados IKE y ESP/AH por defecto incluyen ahora AES-GCM, CHACHA20POLY1305 y AES-CBC para el cifrado. Para la comprobación de la integridad, proporcionan AEAD y SHA-2. Los grupos Diffie-Hellman contienen ahora DH19, DH20, DH21, DH14, DH15, DH16 y DH18.

Se han eliminado los siguientes algoritmos de las políticas IKE y ESP/AH por defecto: AES_CTR, 3DES, SHA1, DH2, DH5, DH22, DH23 y DH24. Con la excepción de DH22, DH23 y DH24, estos algoritmos pueden ser habilitados por la opción ike= o phase2alg=/esp=/ah= en los archivos de configuración de IPsec.

Para configurar las conexiones VPN IPsec que aún requieren el protocolo IKEv1, añada la opción ikev2=no a los archivos de configuración de las conexiones. Consulte la página man de ipsec.conf(5 ) para obtener más información.

(BZ#1645606)

Cambios relacionados con la versión de IKE en Libreswan

Con esta mejora, Libreswan maneja la configuración del intercambio de claves de Internet (IKE) de forma diferente:

La versión de intercambio de claves de Internet (IKE) por defecto se ha cambiado de 1 a 2.
Ahora las conexiones pueden utilizar el protocolo IKEv1 o IKEv2, pero no ambos.
Se ha cambiado la interpretación de la opción ikev2:
- Los valores insisten se interpreta como IKEv2-only.
- Los valores no y never se interpretan como IKEv1-only.
- Los valores propuestos, yes y, permit ya no son válidos y dan lugar a un error, porque no estaba claro qué versiones de IKE resultaban de estos valores

(BZ#1648776)

Nuevas funciones de OpenSCAP en RHEL 8

El paquete OpenSCAP se ha actualizado a la versión 1.3.0, que introduce muchas mejoras con respecto a las versiones anteriores. Las características más notables son:

Se han consolidado la API y la ABI - se han eliminado los símbolos actualizados, obsoletos y/o no utilizados.
Las sondas no se ejecutan como procesos independientes, sino como hilos dentro del proceso oscap.
Se ha actualizado la interfaz de la línea de comandos.
Los enlaces dePython 2 han sido sustituidos por enlaces de Python 3.

(BZ#1614273)

La Guía de Seguridad de SCAP ahora admite políticas criptográficas para todo el sistema

Los paquetes scap-security-guide han sido actualizados para utilizar políticas criptográficas predefinidas para todo el sistema para configurar los subsistemas criptográficos centrales. Se ha eliminado el contenido de seguridad que entraba en conflicto con las políticas criptográficas de todo el sistema o las anulaba.

Tenga en cuenta que este cambio sólo se aplica al contenido de seguridad en scap-security-guide, y no es necesario actualizar el escáner OpenSCAP u otros componentes SCAP.

(BZ#1618505)

Se ha mejorado la interfaz de línea de comandos de OpenSCAP

El modo verboso está ahora disponible en todos los módulos y submódulos de oscap. La salida de la herramienta tiene un formato mejorado.

Se han eliminado las opciones obsoletas para mejorar la usabilidad de la interfaz de la línea de comandos.

Las siguientes opciones ya no están disponibles:

-Se ha eliminado por completo la opción de mostrar en oscap xccdf generate report.
-Se ha eliminado-probe-root en oscap oval eval. Se puede sustituir por la variable de entorno OSCAP_PROBE_ROOT.
--sce-results en oscap xccdf eval ha sido sustituido por --check-engine-results
el submódulovalidate-xml ha sido eliminado de los módulos CPE, OVAL y XCCDF. Los submódulos validate pueden ser utilizados en su lugar para validar el contenido SCAP contra los esquemas XML y los schematrons XSD.
el comandooscap oval list-probes ha sido eliminado, la lista de sondas disponibles puede ser mostrada usando oscap --version en su lugar.

OpenSCAP permite evaluar todas las reglas de un determinado benchmark XCCDF independientemente del perfil utilizando --profile '(all)'.

(BZ#1618484)

El perfil PCI-DSS de la Guía de Seguridad SCAP se ajusta a la versión 3.2.1

Los paquetes scap-security-guide proporcionan el perfil PCI-DSS (Payment Card Industry Data Security Standard) para Red Hat Enterprise Linux 8 y este perfil ha sido actualizado para alinearse con la última versión PCI-DSS - 3.2.1.

(BZ#1618528)

La guía de seguridad SCAP es compatible con OSPP 4.2

Los paquetes scap-security-guide proporcionan un borrador del perfil OSPP (Perfil de protección para sistemas operativos de propósito general) versión 4.2 para Red Hat Enterprise Linux 8. Este perfil refleja los controles de configuración obligatorios identificados en el Anexo de configuración NIAP del Perfil de protección para sistemas operativos de propósito general (Perfil de protección versión 4.2). La Guía de seguridad de SCAP proporciona comprobaciones y scripts automatizados que ayudan a los usuarios a cumplir los requisitos definidos en el OSPP.

(BZ#1618518)

Cambios notables en rsyslog en RHEL 8

Los paquetes rsyslog han sido actualizados a la versión 8.37.0, que proporciona muchas correcciones de errores y mejoras con respecto a las versiones anteriores. Los cambios más notables son:

Mejora del tratamiento de los mensajes internos de rsyslog; posibilidad de limitar su velocidad; se ha solucionado un posible bloqueo.
Mejora de la limitación de la velocidad en general; ahora se registra el spam source real.
Mejora de la gestión de los mensajes de gran tamaño: ahora el usuario puede establecer cómo tratarlos tanto en el núcleo como en determinados módulos con acciones independientes.
las bases de reglas demmnormalize ahora pueden ser incrustadas en el archivo de configuración en lugar de crear archivos separados para ellas.
Todas las variables de configuración, incluidas las variables en JSON, ahora no distinguen entre mayúsculas y minúsculas.
Varias mejoras en la salida de PostgreSQL.
Se ha añadido la posibilidad de utilizar variables del shell para controlar el procesamiento de la configuración, como la carga condicional de archivos de configuración adicionales, la ejecución de sentencias o la inclusión de un texto en la configuración. Tenga en cuenta que un uso excesivo de esta función puede dificultar mucho la depuración de problemas con rsyslog.
Ahora se pueden especificar los modos de creación de archivos de 4 dígitos en la configuración.
La entrada del Protocolo de Registro de Eventos Confiables (RELP) puede ahora vincularse también sólo en una dirección especificada.
El valor por defecto de la opción enable.body de la salida de correo está ahora alineado con la documentación
El usuario puede ahora especificar los códigos de error de inserción que deben ser ignorados en la salida de MongoDB.
La entrada de TCP paralelo (pTCP) tiene ahora el retraso configurable para un mejor equilibrio de la carga.
Para evitar los registros duplicados que podrían aparecer cuando journald rote sus archivos, se ha añadido la opción imjournal. Tenga en cuenta que el uso de esta opción puede afectar al rendimiento.

Tenga en cuenta que el sistema con rsyslog puede ser configurado para proporcionar un mejor rendimiento como se describe en el artículo de la base de conocimientos Configuración del registro del sistema sin journald o con uso minimizado de journald.

(BZ#1613880)

Nuevo módulo rsyslog: omkafka

Para habilitar los escenarios de almacenamiento de datos centralizados de kafka, ahora puede reenviar los registros a la infraestructura de kafka utilizando el nuevo módulo omkafka.

(BZ#1542497)

rsyslog imfile ahora soporta enlaces simbólicos

Con esta actualización, el módulo rsyslog imfile ofrece un mejor rendimiento y más opciones de configuración. Esto le permite utilizar el módulo para casos de uso de monitorización de archivos más complicados. Por ejemplo, ahora puede utilizar monitores de archivos con patrones glob en cualquier parte de la ruta configurada y rotar objetivos de enlaces simbólicos con un mayor rendimiento de datos.

(BZ#1614179)

El formato de archivo de configuración de rsyslog por defecto es ahora no legado

Los archivos de configuración de los paquetes rsyslog utilizan ahora el formato no legado por defecto. El formato heredado puede seguir utilizándose, sin embargo, la mezcla de declaraciones de configuración actuales y heredadas tiene varias limitaciones. Las configuraciones que se llevan de versiones anteriores de RHEL deben ser revisadas. Consulte la página man de rsyslog.conf(5) para obtener más información.

(BZ#1619645)

Audit 3.0 sustituye audispd por auditd

Con esta actualización, la funcionalidad de audispd se ha trasladado a auditd. Como resultado, las opciones de configuración de audispd son ahora parte de auditd.conf. Además, el directorio plugins.d se ha trasladado a /etc/audit. El estado actual de auditd y sus plugins puede ahora comprobarse ejecutando el comando service auditd state.

(BZ#1616428)

tangd_port_t permite cambiar el puerto por defecto para Tang

Esta actualización introduce el tipo tangd_port_t SELinux que permite que el servicio tangd se ejecute como confinado con el modo de aplicación de SELinux. Este cambio ayuda a simplificar la configuración de un servidor Tang para que escuche en un puerto definido por el usuario y también preserva el nivel de seguridad proporcionado por SELinux en el modo de aplicación.

Consulte la sección Configuración del desbloqueo automático de volúmenes encriptados mediante el descifrado basado en políticas para obtener más información.

(BZ#1664345)

Nuevos booleanos de SELinux

Esta actualización de la política del sistema SELinux introduce los siguientes booleanos:

colord_use_nfs
mysql_connect_http
pdns_can_network_connect_db
ssh_use_tcpd
sslh_can_bind_any_port
sslh_can_connect_any_port
virt_use_pcscd

Para obtener una lista de booleanos incluyendo su significado, y para saber si están activados o desactivados, instale el paquete selinux-policy-devel y utilice

# semanage boolean -l

(JIRA:RHELPLAN-10347)

SELinux ahora soporta systemd No New Privileges

Esta actualización introduce la capacidad de la política nnp_nosuid_transition que permite las transiciones de dominio de SELinux bajo No New Privileges (NNP) o nosuid si se permite nnp_nosuid_transition entre los contextos antiguos y nuevos. Los paquetes selinux-policy contienen ahora una política para los servicios systemd que utilizan la función de seguridad NNP.

La siguiente regla describe la autorización de esta capacidad para un servicio:

   allow source_domain  target_type:process2 { nnp_transition nosuid_transition };

Por ejemplo:

   allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };

La política de distribución ahora también contiene una interfaz de macros m4, que puede utilizarse en las políticas de seguridad de SELinux para los servicios que utilizan la función init_nnp_daemon_domain().

(BZ#1594111)

Soporte para una nueva comprobación de los permisos de los mapas en la llamada al sistema mmap

Se ha añadido el permiso de mapa de SELinux para controlar el acceso mapeado en memoria a archivos, directorios, sockets, etc. Esto permite que la política de SELinux impida el acceso directo a la memoria de varios objetos del sistema de archivos y garantice que cada acceso de este tipo sea revalidado.

(BZ#1592244)

SELinux ahora soporta el permiso getrlimit en la clase de proceso

Esta actualización introduce una nueva comprobación de control de acceso de SELinux, process:getrlimit, que se ha añadido para la función prlimit(). Esto permite a los desarrolladores de políticas SELinux controlar cuando un proceso intenta leer y luego modificar los límites de recursos de otro proceso usando el permiso process: setrlimit. Tenga en cuenta que SELinux no restringe que un proceso manipule sus propios límites de recursos a través de prlimit( ). Consulte las páginas man de prlimit (2 ) y getrlimit(2) para más información.

(BZ#1549772)

selinux-policy ahora soporta etiquetas VxFS

Esta actualización introduce el soporte para los atributos extendidos de seguridad (xattrs) de Veritas File System (VxFS). Esto permite almacenar etiquetas SELinux adecuadas con objetos en el sistema de archivos en lugar del tipo genérico vxfs_t. Como resultado, los sistemas con VxFS con soporte completo para SELinux son más seguros.

(BZ#1483904)

Los indicadores de seguridad en tiempo de compilación se aplican de forma más coherente

Los indicadores de seguridad en tiempo de compilación se aplican de forma más coherente en los paquetes RPM de la distribución RHEL 8, y el paquete redhat-rpm-config proporciona ahora automáticamente indicadores de seguridad. Los indicadores de compilación aplicados también ayudan a cumplir los requisitos de Common Criteria (CC). Se aplican los siguientes indicadores de seguridad:

Para la detección de errores de desbordamiento de búfer: D_FORTIFY_SOURCE=2
Endurecimiento de la biblioteca estándar que comprueba las matrices, vectores y cadenas de C: D_GLIBCXX_ASSERTIONS
Para el protector de pila (SSP): fstack-protector-strong
Para endurecer las excepciones: fexceptions
Para Control-Flow Integrity (CFI): fcf-protection=full (sólo en arquitecturas AMD e Intel de 64 bits)
Para la aleatorización del espacio de direcciones (ASLR): fPIE (para ejecutables) o fPIC (para bibliotecas)
Para la protección contra la vulnerabilidad Stack Clash: fstack-clash-protection (excepto ARM)
Banderas de enlace para resolver todos los símbolos al inicio: - Wl, -z,now

Consulte la página de manual de gcc(1 ) para obtener más información.

(JIRA:RHELPLAN-2306)

5.1.16. Virtualización

qemu-kvm 2.12 en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con qemu-kvm 2.12. Esta versión corrige múltiples errores y añade una serie de mejoras sobre la versión 1.5.3, disponible en Red Hat Enterprise Linux 7.

En particular, se han introducido las siguientes características:

Q35 tipo de máquina huésped
Arranque de invitados UEFI
Ajuste de NUMA y pinning en el huésped
conexión y desconexión en caliente de la vCPU
hilos de E/S para invitados

Tenga en cuenta que algunas de las funciones disponibles en qemu-kvm 2.12 no son compatibles con Red Hat Enterprise Linux 8. Para obtener información detallada, consulte "Soporte de funciones y limitaciones en la virtualización de RHEL 8" en el Portal del cliente de Red Hat.

(BZ#1559240)

El tipo de máquina Q35 es ahora compatible con la virtualización

Red hat Enterprise Linux 8 introduce la compatibilidad con Q35, un tipo de máquina más moderna basada en PCI Express. Esto proporciona una variedad de mejoras en las características y el rendimiento de los dispositivos virtuales, y asegura que una gama más amplia de dispositivos modernos sean compatibles con la virtualización. Además, las máquinas virtuales creadas en Red Hat Enterprise Linux 8 están configuradas para utilizar Q35 por defecto.

Tenga en cuenta también que el tipo de máquina PC, que antes era el predeterminado, ha quedado obsoleto y sólo debe utilizarse cuando se virtualicen sistemas operativos antiguos que no admitan Q35.

(BZ#1599777)

KVM soporta UMIP en RHEL 8

La virtualización KVM soporta ahora la función de prevención de instrucciones en modo usuario (UMIP), que puede ayudar a evitar que las aplicaciones del espacio de usuario accedan a la configuración de todo el sistema. Esto reduce los vectores potenciales de ataques de escalada de privilegios y, por tanto, hace que el hipervisor KVM y sus máquinas invitadas sean más seguros.

(BZ#1494651)

Información adicional en los informes de fallos de los huéspedes de KVM

Se ha ampliado la información sobre fallos que el hipervisor KVM genera si un huésped termina inesperadamente o deja de responder. Esto facilita el diagnóstico y la solución de problemas en las implementaciones de virtualización de KVM.

(BZ#1508139)

NVIDIA vGPU ahora es compatible con la consola VNC

Cuando se utiliza la función de GPU virtual (vGPU) de NVIDIA, ahora es posible utilizar la consola VNC para mostrar la salida visual del huésped.

(BZ#1497911)

Ceph es compatible con la virtualización

Con esta actualización, el almacenamiento Ceph es compatible con la virtualización KVM en todas las arquitecturas de CPU soportadas por Red Hat.

(BZ#1578855)

Cargador de arranque interactivo para máquinas virtuales KVM en IBM Z

Al arrancar una máquina virtual KVM en un host IBM Z, el firmware del cargador de arranque QEMU puede ahora presentar una interfaz de consola interactiva del SO invitado. Esto hace posible solucionar los problemas de arranque del SO invitado sin acceder al entorno del host.

(BZ#1508137)

IBM z14 ZR1 soportado en máquinas virtuales

El hipervisor KVM ahora soporta el modelo de CPU del servidor IBM z14 ZR1. Esto permite utilizar las características de esta CPU en las máquinas virtuales KVM que se ejecutan en un sistema IBM Z.

(BZ#1592337)

KVM soporta Telnet 3270 en IBM Z

Cuando se utiliza RHEL 8 como host en un sistema IBM Z, ahora es posible conectarse a máquinas virtuales en el host utilizando clientes Telnet 3270.

(BZ#1570029)

Se ha añadido el sandboxing de QEMU

En Red Hat Enterprise Linux 8, el emulador QEMU introduce la característica de sandboxing. El sandboxing de QEMU proporciona limitaciones configurables a las llamadas de sistemas que QEMU puede realizar, y por lo tanto hace que las máquinas virtuales sean más seguras. Tenga en cuenta que esta característica está habilitada y configurada por defecto.

(JIRA:RHELPLAN-10628)

Nuevos tipos de máquinas virtuales KVM en IBM POWER

Se han habilitado varios tipos nuevos de máquinas rhel-pseries para hipervisores KVM que se ejecutan en sistemas IBM POWER 8 e IBM POWER 9. Esto hace posible que las máquinas virtuales (VM) alojadas en RHEL 8 en un sistema IBM POWER utilicen correctamente las características de la CPU de estos tipos de máquinas. Además, esto permite migrar las máquinas virtuales en IBM POWER a una versión más reciente del hipervisor KVM.

(BZ#1585651, BZ#1595501)

Los sistemas ARM 64 ahora admiten máquinas virtuales con hasta 384 vCPUs

Cuando se utiliza el hipervisor KVM en un sistema ARM 64, ahora es posible asignar hasta 384 CPUs virtuales (vCPUs) a una sola máquina virtual (VM).

Tenga en cuenta que el número de CPUs físicas en el host debe ser igual o mayor que el número de vCPUs adjuntas a sus VMs, porque RHEL 8 no soporta el overcommitting de vCPUs.

(BZ#1422268)

Juegos de instrucciones GFNI y CLDEMOT habilitados para Intel Xeon SnowRidge

Las máquinas virtuales (VM) que se ejecutan en un host RHEL 8 en un sistema Intel Xeon SnowRidge ahora pueden utilizar los conjuntos de instrucciones GFNI y CLDEMOT. Esto puede aumentar significativamente el rendimiento de dichas VMs en ciertos escenarios.

(BZ#1494705)

IPv6 habilitado para OVMF

El protocolo IPv6 está ahora habilitado en Open Virtual Machine Firmware (OVMF). Esto hace posible que las máquinas virtuales que utilizan OVMF se beneficien de una serie de mejoras en el arranque de la red que proporciona IPv6.

(BZ#1536627)

Se ha añadido un controlador de bloque basado en VFIO para dispositivos NVMe

El emulador QEMU introduce un controlador basado en la función virtual de E/S (VFIO) para dispositivos de memoria no volátil Express (NVMe). El controlador se comunica directamente con los dispositivos NVMe conectados a las máquinas virtuales (VM) y evita el uso de la capa de sistema del kernel y sus controladores NVMe. Como resultado, esto mejora el rendimiento de los dispositivos NVMe en las máquinas virtuales.

(BZ#1519004)

Soporte multicanal para el controlador UIO genérico de Hyper-V

RHEL 8 admite ahora la función multicanal para el controlador de E/S de espacio de usuario (UIO) genérico de Hyper-V. Esto hace posible que las máquinas virtuales de RHEL 8 que se ejecutan en el hipervisor Hyper-V utilicen el controlador de modo de sondeo Netvsc (PMD) del kit de desarrollo del plano de datos (DPDK), que mejora las capacidades de red de estas máquinas virtuales.

Tenga en cuenta, sin embargo, que el estado de la interfaz Netvsc se muestra actualmente como Down incluso cuando se está ejecutando y es utilizable.

(BZ#1650149)

Mejora de la compatibilidad con páginas enormes

Cuando se utiliza RHEL 8 como host de virtualización, los usuarios pueden modificar el tamaño de las páginas que respaldan la memoria de una máquina virtual (VM) a cualquier tamaño que sea soportado por la CPU. Esto puede mejorar significativamente el rendimiento de la VM.

Para configurar el tamaño de las páginas de memoria de la VM, edite la configuración XML de la VM y añada el elemento <hugepages> a la sección <memoryBacking>.

(JIRA:RHELPLAN-14607)

5.1.17. Soporte

sosreport puede informar sobre programas y mapas basados en eBPF

La herramienta sosreport ha sido mejorada para reportar cualquier programa y mapa de Filtrado de Paquetes Berkeley extendido (eBPF) cargado en Red Hat Enterprise Linux 8.

(BZ#1559836)

5.2. Corrección de errores

Esta parte describe los errores corregidos en Red Hat Enterprise Linux 8.0 que tienen un impacto significativo en los usuarios.

5.2.1. Escritorio

PackageKit ahora puede operar en paquetes rpm

Con esta actualización, se ha añadido el soporte para operar sobre paquetes rpm en PackageKit.

(BZ#1559414)

5.2.2. Infraestructuras gráficas

QEMU no maneja correctamente las entradas ggtt de 8 bytes

QEMU ocasionalmente divide una escritura de entrada ggtt de 8 bytes en dos escrituras consecutivas de 4 bytes. Cada una de estas escrituras parciales puede desencadenar una escritura ggtt del host por separado. A veces las dos escrituras ggtt se combinan incorrectamente. En consecuencia, la traducción a una dirección de máquina falla, y se produce un registro de error.

(BZ#1598776)

5.2.3. Gestión de la identidad

El cliente de seguridad empresarial utiliza la biblioteca opensc para la detección de tokens

Red Hat Enterprise Linux 8.0 sólo soporta la biblioteca opensc para tarjetas inteligentes. Con esta actualización, el Cliente de Seguridad Empresarial (ESC) utiliza opensc para la detección de tokens en lugar de la biblioteca coolkey eliminada. Como resultado, las aplicaciones detectan correctamente los tokens soportados.

(BZ#1538645)

El sistema de certificados ahora soporta la rotación de los registros de depuración

Anteriormente, Certificate System utilizaba un marco de registro personalizado, que no admitía la rotación de registros. Como consecuencia, los registros de depuración como /var/log/pki/instance_name/ca/debug crecían indefinidamente. Con esta actualización, Certificate System utiliza el marco java.logging.util, que admite la rotación de registros. Como resultado, puede configurar la rotación de registros en el archivo /var/lib/pki/instance_name/conf/logging.properties.

Para más información sobre la rotación de registros, consulte la documentación del paquete java.util.logging.

(BZ#1565073)

Certificate System ya no registra las advertencias de la operación SetAllPropertiesRule cuando se inicia el servicio

Anteriormente, Certificate System registraba advertencias sobre la operación SetAllPropertiesRule en el archivo de registro /var/log/messages cuando se iniciaba el servicio. El problema se ha solucionado y las advertencias mencionadas ya no se registran.

(BZ#1424966)

El cliente KRA de Certificate System analiza correctamente las respuestas de las solicitudes de claves

Anteriormente, Certificate System cambió a una nueva biblioteca JSON. Como consecuencia, la serialización de ciertos objetos difería, y el cliente de autoridad de recuperación de claves (KRA) de Python no podía analizar las respuestas de solicitud de claves. Se ha modificado el cliente para que admita respuestas que utilicen tanto la antigua como la nueva biblioteca JSON. Como resultado, el cliente KRA de Python analiza correctamente las respuestas de solicitud de claves.

(BZ#1623444)

5.2.4. Compiladores y herramientas de desarrollo

GCC ya no produce falsas advertencias positivas sobre accesos fuera de límites

Anteriormente, al compilar con la opción de nivel de optimización -O3, la Colección de Compiladores de GNU (GCC) devolvía ocasionalmente una advertencia falsa positiva sobre un acceso fuera de límites, aunque el código compilado no lo contuviera. Se ha corregido la optimización y GCC ya no muestra la advertencia falsa positiva.

(BZ#1246444)

ltrace muestra correctamente las estructuras grandes

Anteriormente, la herramienta ltrace no podía imprimir correctamente las estructuras grandes devueltas por las funciones. Se ha mejorado el manejo de estructuras grandes en ltrace y ahora se imprimen correctamente.

(BZ#1584322)

La función incorporada de GCC __builtin_clz devuelve valores correctos en IBM Z

Anteriormente, la instrucción FLOGR de la arquitectura IBM Z era doblada incorrectamente por el compilador GCC. Como consecuencia, la función __builtin_clz que utilizaba esta instrucción podía devolver resultados erróneos cuando el código se compilaba con la opción -funroll-loops de GCC. Este error se ha corregido y la función proporciona ahora resultados correctos.

(BZ#1652016)

GDB proporciona un estado de salida distinto de cero cuando el último comando en modo batch falla

Anteriormente, GDB siempre salía con el estado 0 cuando se ejecutaba en modo batch, independientemente de los errores en los comandos. Como consecuencia, no era posible determinar si los comandos tenían éxito. Este comportamiento ha sido cambiado y ahora GDB sale con el estado 1 cuando se produce un error en el último comando. Esto preserva la compatibilidad con el comportamiento anterior en el que todos los comandos se ejecutan. Como resultado, ahora es posible determinar si la ejecución del modo por lotes de GDB tiene éxito.

(BZ#1491128)

5.2.5. Sistemas de archivos y almacenamiento

Los niveles de impresión más altos ya no hacen que iscsiadm termine inesperadamente

Anteriormente, la utilidad iscsiadm terminaba inesperadamente cuando el usuario especificaba un nivel de impresión superior a 0 con la opción --print o -P. Este problema se ha solucionado y ahora todos los niveles de impresión funcionan como se espera.

(BZ#1582099)

multipathd ya no desactiva la ruta cuando no consigue el WWID de una ruta

Anteriormente, el servicio multipathd trataba un intento fallido de obtener el WWID de una ruta como si obtuviera un WWID vacío. Si multipathd fallaba en obtener el WWID de una ruta, a veces deshabilitaba esa ruta.

Con esta actualización, multipathd sigue utilizando el antiguo WWID si no consigue el WWID al comprobar si ha cambiado.

Como resultado, multipathd ya no desactiva las rutas cuando no consigue el WWID, al comprobar si el WWID ha cambiado.

(BZ#1673167)

5.2.6. Alta disponibilidad y clusters

Nueva opción /etc/sysconfig/pcsd para rechazar la renegociación SSL/TLS iniciada por el cliente

Cuando la renegociación de TLS está habilitada en el servidor, se permite a un cliente enviar una solicitud de renegociación, que inicia un nuevo apretón de manos. Los requerimientos computacionales de un handshake son mayores en un servidor que en un cliente. Esto hace que el servidor sea vulnerable a los ataques DoS. Con esta corrección, el ajuste PCSD_SSL_OPTIONS en el archivo de configuración /etc/sysconfig/pcsd acepta la opción OP_NO_RENEGOTIATION para rechazar las renegociaciones. Tenga en cuenta que el cliente puede seguir abriendo múltiples conexiones a un servidor con un handshake realizado en todas ellas.

(BZ#1566430)

Un nodo de clúster eliminado ya no se muestra en el estado del clúster

Anteriormente, cuando se eliminaba un nodo con el comando pcs cluster node remove, el nodo eliminado permanecía visible en la salida de una pantalla de estado de pcs. Con esta corrección, el nodo eliminado ya no se muestra en el estado del clúster.

(BZ#1595829)

Los agentes de la valla pueden ahora configurarse utilizando los nuevos nombres de parámetros preferidos o los nombres de parámetros obsoletos

Se ha cambiado el nombre de un gran número de parámetros del agente de la valla, mientras que los antiguos nombres de los parámetros siguen siendo soportados como obsoletos. Anteriormente, pcs no podía establecer los nuevos parámetros a menos que se usara con la opción --force. Con esta corrección, pcs ahora admite los parámetros de agente de valla renombrados mientras mantiene el soporte para los parámetros obsoletos.

(BZ#1436217)

El comando pcs ahora lee correctamente el estado XML de un cluster para su visualización

El comando pcs ejecuta la utilidad crm_mon para obtener el estado de un cluster en formato XML. La utilidad crm_mon imprime XML en la salida estándar y las advertencias en la salida de error estándar. Anteriormente, pcs mezclaba el XML y las advertencias en un solo flujo y no podía analizarlo como XML. Con esta corrección, las salidas estándar y de error están separadas en pcs y la lectura del estado XML de un clúster funciona como se espera.

(BZ#1578955)

Ya no se aconseja a los usuarios que destruyan los clusters al crear nuevos clusters con nodos de clusters existentes

Anteriormente, cuando un usuario especificaba nodos de un clúster existente al ejecutar el comando de configuración de clústeres de pcs o al crear un clúster con la interfaz web de pcsd, pcs informaba de ello como un error y sugería que el usuario destruyera el clúster en los nodos. Como resultado, los usuarios destruirían el clúster en los nodos, rompiendo el clúster del que formaban parte los nodos, ya que los nodos restantes seguirían considerando que los nodos destruidos formaban parte del clúster. Con esta corrección, se aconseja a los usuarios que eliminen los nodos de su clúster, informándoles mejor de cómo resolver el problema sin romper sus clústeres.

(BZ#1596050)

los comandos depcs ya no piden credenciales de forma interactiva

Cuando un usuario que no es root ejecuta un comando de pcs que requiere permiso de root, pcs se conecta al demonio pcsd que se ejecuta localmente y le pasa el comando, ya que el demonio pcsd se ejecuta con permisos de root y es capaz de ejecutar el comando. Anteriormente, si el usuario no estaba autenticado en el demonio pcsd local, pcs pedía un nombre de usuario y una contraseña de forma interactiva. Esto era confuso para el usuario y requería un manejo especial en los scripts que ejecutaban pcs. Con este arreglo, si el usuario no está autenticado, pcs sale con un error que indica qué hacer: Ejecutar pcs como root o autenticarse usando el nuevo comando pcs client local-auth. Como resultado, los comandos de pcs no piden interactivamente las credenciales, mejorando la experiencia del usuario.

(BZ#1554310)

El demonio pcsd ahora se inicia con su certificado SSL autogenerado por defecto cuando crypto-policies se establece en FUTURE.

Una configuración de crypto-policies de FUTURE requiere que las claves RSA en los certificados SSL tengan una longitud mínima de 3072b. Anteriormente, el demonio pcsd no se iniciaba cuando se establecía esta política, ya que genera certificados SSL con una clave de 2048b. Con esta actualización, el tamaño de la clave de los certificados SSL autogenerados por pcsd se ha incrementado a 3072b y pcsd se inicia ahora con su certificado SSL autogenerado por defecto.

(BZ#1638852)

El servicio pcsd ahora se inicia cuando la red está lista

Anteriormente, cuando un usuario configuraba pcsd para enlazar con una dirección IP específica y la dirección no estaba lista durante el arranque cuando pcsd intentaba arrancar, entonces pcsd fallaba al arrancar y se requería una intervención manual para arrancar pcsd. Con esta corrección, pcsd .service depende de network-online.target. Como resultado, pcsd se inicia cuando la red está lista y es capaz de vincularse a una dirección IP.

(BZ#1640477)

5.2.7. Red

Los algoritmos débiles de TLS ya no están permitidos para la red glib

Anteriormente, el paquete glib-networking no era compatible con la política Crypto de todo el sistema de RHEL 8. Como consecuencia, las aplicaciones que utilizaban la biblioteca glib para la creación de redes podían permitir conexiones de seguridad de la capa de transporte (TLS) con algoritmos más débiles que los previstos por el administrador. Con esta actualización, se aplica la política de cifrado de todo el sistema, y ahora las aplicaciones que utilizan glib para la creación de redes sólo permiten conexiones TLS que son aceptables de acuerdo con la política.

(BZ#1640534)

5.2.8. Seguridad

La política de SELinux ahora permite que los procesos de iscsiuio se conecten al portal de descubrimiento

Anteriormente, la política de SELinux era demasiado restrictiva para los procesos de iscsiuio y estos procesos no podían acceder a los dispositivos /dev/uio* utilizando la llamada al sistema mmap. Como consecuencia, la conexión al portal de descubrimiento fallaba. Esta actualización añade las reglas que faltan a la política SELinux y los procesos iscsiuio funcionan como se espera en el escenario descrito.

(BZ#1626446)

5.2.9. Gestión de suscripciones

dnf y yum ahora pueden acceder a los repos independientemente de los valores de subscription-manager

Anteriormente, los comandos dnf o yum ignoraban el prefijo https:// de una URL añadida por el servicio subscription-manager. Los comandos dnf o yum actualizados no ignoran las URLs inválidas de https://. Como consecuencia, dnf y yum no podían acceder a los repos. Para solucionar el problema, se ha añadido una nueva variable de configuración, proxy_scheme, al archivo /etc/rhsm/rhsm.conf y el valor puede establecerse como http o https. Si no se especifica ningún valor, subscription-manager establece por defecto http, que es el más utilizado.

Tenga en cuenta que si el proxy utiliza http, la mayoría de los usuarios no deberían cambiar nada en la configuración en /etc/rhsm/rhsm.conf. Si el proxy utiliza https, los usuarios deben actualizar el valor de proxy_scheme a https. Entonces, en ambos casos, los usuarios necesitan ejecutar el comando repos --list de subscription-manager o esperar a que el proceso del demonio rhsmcertd regenere el /etc/yum.repos.d/redhat.repo correctamente.

(BZ#1654531)

5.2.10. Virtualización

El montaje de discos efímeros en Azure funciona ahora de forma más fiable

Anteriormente, el montaje de un disco efímero en una máquina virtual (VM) que se ejecutaba en la plataforma Microsoft Azure fallaba si la VM se "detenía (desasignaba)" y luego se iniciaba. Esta actualización garantiza que la reconexión de los discos se gestiona correctamente en las circunstancias descritas, lo que evita que se produzca el problema.

(BZ#1615599)

5.3. Previsiones tecnológicas

Esta parte proporciona una lista de todas las Previsiones Tecnológicas disponibles en Red Hat Enterprise Linux 8.0.

Para obtener información sobre el alcance del soporte de Red Hat para las características de Technology Preview, consulte Alcance del soporte de las características de Technology Preview.

5.3.1. Núcleo

eBPF disponible como Muestra de Tecnología

La función extended Berkeley Packet Filtering (eBPF) está disponible como Technology Preview tanto para la creación de redes como para el rastreo. eBPF permite que el espacio de usuario adjunte programas personalizados en una variedad de puntos (sockets, puntos de rastreo, recepción de paquetes) para recibir y procesar datos. La característica incluye una nueva llamada al sistema bpf(), que soporta la creación de varios tipos de mapas, y también para insertar varios tipos de programas en el kernel. Tenga en cuenta que la llamada al sistema bpf () sólo puede ser utilizada con éxito por un usuario con la capacidad CAP_SYS_ADMIN, como el usuario root. Consulte la página man de bpf(2) para más información.

(BZ#1559616)

BCC está disponible como una muestra de tecnología

BPF Compiler Collection (BCC) es un kit de herramientas de espacio de usuario para crear programas eficientes de rastreo y manipulación del kernel que está disponible como Technology Preview en Red Hat Enterprise Linux 8. BCC proporciona herramientas para el análisis de E/S, la creación de redes y la monitorización de sistemas operativos Linux utilizando el Berkeley Packet Filtering (eBPF) ampliado.

(BZ#1548302)

Control Group v2 disponible como Technology Preview en RHEL 8

el mecanismoControl Group v2 es un grupo de control jerárquico unificado. Control Group v2 organiza los procesos jerárquicamente y distribuye los recursos del sistema a lo largo de la jerarquía de forma controlada y configurable.

A diferencia de la versión anterior, Control Group v2 tiene una sola jerarquía. Esta única jerarquía permite al kernel de Linux:

Clasificar los procesos en función de la función de su propietario.
Elimina los problemas de políticas conflictivas de múltiples jerarquías.

Control Group v2 es compatible con numerosos controladores:

El controlador de la CPU regula la distribución de los ciclos de la CPU. Este controlador implementa:
- Modelos de peso y límite de ancho de banda absoluto para la política de programación normal.
- Modelo de asignación de ancho de banda absoluto para la política de programación en tiempo real.
El controlador de memoria regula la distribución de la memoria. En la actualidad, se controlan los siguientes tipos de usos de la memoria:
- Memoria de usuario: caché de página y memoria anónima.
- Estructuras de datos del kernel como las dentrías y los inodos.
- Búferes de socket TCP.
El controlador de E/S regula la distribución de los recursos de E/S.
El controlador de escritura interactúa con los controladores de memoria y de E/S y es específico de Control Group v2.

La información anterior se basa en el enlace: https://www.kernel.org/doc/Documentation/cgroup-v2.txt. Puede consultar el mismo enlace para obtener más información sobre determinados controladores de Control Group v2.

(BZ#1401552)

early kdump disponible como Technology Preview en Red Hat Enterprise Linux 8

La función early kdump permite que el kernel de colisión y el initramfs se carguen con suficiente antelación para capturar la información del vmcore incluso en el caso de colisiones tempranas. Para más detalles sobre early kdump, consulte el archivo /usr/share/doc/kexec-tools/early-kdump-howto.txt.

(BZ#1520209)

El controlador de dispositivo ibmvnic está disponible como Technology Preview

Con Red Hat Enterprise Linux 8.0, el controlador de interfaz de red virtual de IBM (vNIC) para arquitecturas IBM POWER, ibmvnic, está disponible como Technology Preview. vNIC es una tecnología de red virtual PowerVM que ofrece capacidades empresariales y simplifica la gestión de la red. Se trata de una tecnología eficiente y de alto rendimiento que, cuando se combina con SR-IOV NIC, proporciona capacidades de calidad de servicio (QoS) de control de ancho de banda a nivel de NIC virtual. vNIC reduce significativamente la sobrecarga de virtualización, lo que se traduce en menores latencias y menos recursos de servidor, incluyendo la CPU y la memoria, necesarios para la virtualización de la red.

(BZ#1524683)

5.3.2. Infraestructuras gráficas

La consola remota VNC está disponible como Technology Preview para la arquitectura ARM de 64 bits

En la arquitectura ARM de 64 bits, la consola remota de Virtual Network Computing (VNC) está disponible como Technology Preview. Tenga en cuenta que el resto de la pila de gráficos no está actualmente verificada para la arquitectura ARM de 64 bits.

(BZ#1698565)

5.3.3. Habilitación de hardware

El MD RAID1 con conciencia de clúster está disponible como una tecnología previa.

El cluster RAID1 no está habilitado por defecto en el espacio del kernel. Si quieres probar con el cluster RAID1, necesitas construir el kernel con el cluster RAID1 como módulo primero, usa los siguientes pasos:

Introduzca el comando make menuconfig.
Introduzca el comando make && make modules && make modules_install && make install.
Introduce el comando de reinicio.

(BZ#1654482)

5.3.4. Gestión de la identidad

DNSSEC disponible como Technology Preview en IdM

Los servidores de gestión de identidades (IdM) con DNS integrado son ahora compatibles con las extensiones de seguridad de DNS (DNSSEC), un conjunto de extensiones de DNS que mejoran la seguridad del protocolo DNS. Las zonas DNS alojadas en los servidores IdM pueden firmarse automáticamente utilizando DNSSEC. Las claves criptográficas se generan y rotan automáticamente.

Se recomienda a los usuarios que decidan asegurar sus zonas DNS con DNSSEC que lean y sigan estos documentos:

Prácticas operativas de DNSSEC, versión 2: http://tools.ietf.org/html/rfc6781#section-2
Guía de implantación del sistema de nombres de dominio (DNS) seguro: http://dx.doi.org/10.6028/NIST.SP.800-81-2
Consideraciones sobre el tiempo de renovación de la clave DNSSEC: http://tools.ietf.org/html/rfc7583

Tenga en cuenta que los servidores IdM con DNS integrado utilizan DNSSEC para validar las respuestas DNS obtenidas de otros servidores DNS. Esto podría afectar a la disponibilidad de las zonas DNS que no estén configuradas de acuerdo con las prácticas de nomenclatura recomendadas.

(BZ#1664718)

La API JSON-RPC de gestión de identidades está disponible como Technology Preview

Hay una API disponible para la gestión de identidades (IdM). Para ver la API, IdM también proporciona un navegador de API como Technology Preview.

En Red Hat Enterprise Linux 7.3, la API de IdM fue mejorada para permitir múltiples versiones de comandos de la API. Anteriormente, las mejoras podían cambiar el comportamiento de un comando de manera incompatible. Ahora, los usuarios pueden seguir utilizando las herramientas y scripts existentes, incluso si la API de IdM cambia. Esto permite:

Los administradores pueden utilizar versiones anteriores o posteriores de IdM en el servidor que en el cliente gestor.
Los desarrolladores pueden utilizar una versión específica de una llamada de IdM, incluso si la versión de IdM cambia en el servidor.

En todos los casos, la comunicación con el servidor es posible, independientemente de que una de las partes utilice, por ejemplo, una versión más nueva que introduzca nuevas opciones para una función.

Para obtener más detalles sobre el uso de la API, consulte Uso de la API de gestión de identidades para comunicarse con el servidor de IdM (PREVISIÓN TECNOLÓGICA).

(BZ#1664719)

5.3.5. Sistemas de archivos y almacenamiento

Adaptadores Aero disponibles como Technology Preview

Los siguientes adaptadores Aero están disponibles como Technology Preview:

PCI ID 0x1000:0x00e2 y 0x1000:0x00e6, controlado por el controlador mpt3sas
PCI ID 0x1000:Ox10e5 y 0x1000:0x10e6, controlado por el controlador megaraid_sas

(BZ#1663281)

Stratis ya está disponible

Stratis es un nuevo gestor de almacenamiento local. Proporciona sistemas de archivos gestionados sobre pools de almacenamiento con características adicionales para el usuario.

Stratis le permite realizar más fácilmente tareas de almacenamiento como:

Gestionar las instantáneas y el thin provisioning
Aumente automáticamente el tamaño del sistema de archivos según sea necesario
Mantener los sistemas de archivos

Para administrar el almacenamiento de Stratis, utilice la utilidad stratis, que se comunica con el servicio de fondo stratisd.

Stratis se suministra como un avance tecnológico.

Para más información, consulte la documentación de Stratis: Gestión del almacenamiento local en capas con Stratis.

(JIRA:RHELPLAN-1212)

OverlayFS

OverlayFS es un tipo de sistema de archivos de unión. Permite superponer un sistema de archivos sobre otro. Los cambios se registran en el sistema de archivos superior, mientras que el sistema de archivos inferior permanece sin modificar. Esto permite que varios usuarios compartan una imagen del sistema de archivos, como un contenedor o un DVD-ROM, donde la imagen base está en un medio de sólo lectura. Consulte la documentación del núcleo de Linux para obtener información adicional: https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt.

OverlayFS sigue siendo una Muestra de Tecnología en la mayoría de las circunstancias. Como tal, el kernel registra advertencias cuando se activa esta tecnología.

La compatibilidad total con OverlayFS está disponible cuando se utiliza con motores de contenedores compatibles(podman, cri-o o buildah) con las siguientes restricciones:

OverlayFS está soportado para su uso sólo como controlador de gráficos del motor de contenedores. Su uso se admite sólo para el contenido de contenedores COW, no para el almacenamiento persistente. Debe colocar cualquier almacenamiento persistente en volúmenes que no sean OverlayFS. Sólo se puede utilizar la configuración predeterminada del motor de contenedores; es decir, un nivel de superposición, un directorio inferior, y ambos niveles inferiores y superiores están en el mismo sistema de archivos.
Actualmente sólo se admite el uso de XFS como sistema de archivos de capa inferior.

Además, las siguientes reglas y limitaciones se aplican al uso de OverlayFS:

La ABI del kernel de OverlayFS y el comportamiento del espacio de usuario no se consideran estables, y podrían ver cambios en futuras actualizaciones.
OverlayFS proporciona un conjunto restringido de los estándares POSIX. Pruebe su aplicación a fondo antes de desplegarla con OverlayFS. Los siguientes casos no son compatibles con POSIX:
- Los archivos inferiores abiertos con O_RDONLY no reciben actualizaciones de st_atime cuando se leen los archivos.
- Los archivos inferiores abiertos con O_RDONLY, luego mapeados con MAP_SHARED son inconsistentes con la modificación posterior.
- Los valores st_ino o d_ino no están habilitados por defecto en RHEL 8, pero puede habilitar el cumplimiento total de POSIX para ellos con una opción de módulo o una opción de montaje.
  Para obtener una numeración consistente de los inodos, utilice la opción de montaje xino=on.
  También puede utilizar las opciones redirect_dir=on e index=on para mejorar el cumplimiento de POSIX. Estas dos opciones hacen que el formato de la capa superior sea incompatible con una superposición sin estas opciones. Es decir, puede obtener resultados inesperados o errores si crea una capa superior con redirect_dir=on o index=on, desmonta la capa superior y luego monta la capa superior sin estas opciones.
Comandos utilizados con XFS:
- Los sistemas de archivos XFS deben crearse con la opción -n ftype=1 activada para su uso como superposición.
- Con el rootfs y cualquier sistema de archivos creado durante la instalación del sistema, establezca los parámetros --mkfsoptions=-n ftype=1 en el kickstart de Anaconda.
- Al crear un nuevo sistema de archivos después de la instalación, ejecute el comando # mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE.
- Para determinar si un sistema de archivos existente es elegible para su uso como superposición, ejecute el comando # xfs_info /PATH/TO/DEVICE | grep ftype para ver si la opción ftype=1 está habilitada.
Las etiquetas de seguridad SELinux están habilitadas por defecto en todos los motores de contenedores compatibles con OverlayFS.
Hay varios problemas conocidos asociados con OverlayFS en esta versión. Para más detalles, consulte Non-standard behavior en la documentación del núcleo de Linux: https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt.

(BZ#1690207)

El sistema de archivos DAX ya está disponible para ext4 y XFS como Technology Preview

En Red Hat Enterprise Linux 8.0, el sistema de archivos DAX está disponible como una Muestra de Tecnología. DAX proporciona un medio para que una aplicación mapee directamente la memoria persistente en su espacio de direcciones. Para usar DAX, un sistema debe tener alguna forma de memoria persistente disponible, usualmente en la forma de uno o más módulos de memoria dual en línea no volátil (NVDIMMs), y un sistema de archivos que soporte DAX debe ser creado en los NVDIMMs. Además, el sistema de archivos debe ser montado con la opción de montaje dax. Entonces, un mmap de un archivo en el sistema de archivos montado en dax resulta en un mapeo directo del almacenamiento en el espacio de direcciones de la aplicación.

(BZ#1627455)

5.3.6. Alta disponibilidad y clusters

Paquetes de Podman de Marcapasos disponibles como Muestra de Tecnología

Los paquetes de contenedores de Pacemaker ahora se ejecutan en la plataforma de contenedores podman, y la función de paquetes de contenedores está disponible como Technology Preview. Hay una excepción a que esta característica sea Technology Preview: Red Hat soporta completamente el uso de paquetes Pacemaker para Red Hat Openstack.

(BZ#1619620)

5.3.7. Red

XDP disponible como Muestra de Tecnología

La función eXpress Data Path (XDP), que está disponible como Technology Preview, ofrece un medio para adjuntar programas de Berkeley Packet Filter (eBPF) ampliados para el procesamiento de paquetes de alto rendimiento en un punto temprano de la ruta de datos de entrada del núcleo, lo que permite un análisis, filtrado y manipulación de paquetes programables y eficientes.

(BZ#1503672)

eBPF para tc disponible como Technology Preview

Como avance tecnológico, el subsistema del kernel de control del tráfico (tc) y la herramienta tc pueden adjuntar programas de filtrado de paquetes de Berkeley (eBPF) ampliados como clasificadores de paquetes y acciones para las disciplinas de colas de entrada y salida. Esto permite el procesamiento programable de paquetes dentro de la ruta de datos de la red del núcleo.

(BZ#1699825)

AF_XDP está disponible como Muestra de Tecnología

El socketAddress Family eXpress Data Path(AF_XDP) está diseñado para el procesamiento de paquetes de alto rendimiento. Acompaña a XDP y garantiza una redirección eficaz de los paquetes seleccionados mediante programación a las aplicaciones del espacio de usuario para su posterior procesamiento.

(BZ#1633143)

KTLS está disponible como avance tecnológico

En Red Hat Enterprise Linux 8, la Seguridad de la Capa de Transporte del Kernel (KTLS) se proporciona como una Muestra de Tecnología. KTLS maneja los registros TLS utilizando los algoritmos de cifrado o descifrado simétrico en el kernel para el cifrado AES-GCM. KTLS también proporciona la interfaz para descargar el cifrado de registros TLS a los controladores de interfaz de red (NIC) que soportan esta funcionalidad.

(BZ#1570255)

El TIPC está disponible como avance tecnológico

La Comunicación Transparente entre Procesos(TIPC) es un protocolo especialmente diseñado para la comunicación eficiente dentro de clusters de nodos poco emparejados. Funciona como un módulo del kernel y proporciona una herramienta tipc en el paquete iproute2 para permitir a los diseñadores crear aplicaciones que puedan comunicarse de forma rápida y fiable con otras aplicaciones independientemente de su ubicación dentro del clúster. Esta función está disponible como Technology Preview.

(BZ#1581898)

El servicio systemd-resolved ya está disponible como Technology Preview

El servicio systemd-resolved proporciona resolución de nombres a las aplicaciones locales. El servicio implementa un resolvedor de stub DNS de caché y validación, un resolvedor de nombres Link-Local Multicast (LLMNR), y un resolvedor y respondedor de DNS Multicast.

Tenga en cuenta que, aunque el paquete systemd proporcione systemd-resolved, este servicio es una Muestra de Tecnología no soportada.

(BZ#1906489)

5.3.8. Roles del sistema Red Hat Enterprise Linux

El rol postfix de RHEL System Roles disponible como Technology Preview

Red Hat Enterprise Linux System Roles proporciona una interfaz de configuración para los subsistemas de Red Hat Enterprise Linux, que facilita la configuración del sistema mediante la inclusión de Ansible Roles. Esta interfaz permite gestionar las configuraciones del sistema en varias versiones de Red Hat Enterprise Linux, así como adoptar nuevas versiones principales.

Los paquetes rhel-system-roles se distribuyen a través del repositorio AppStream.

El rol de postfix está disponible como Technology Preview.

Las siguientes funciones son totalmente compatibles:

kdump
red
selinux
timesync

Para más información, consulte el artículo de la base de conocimientos sobre RHEL System Roles.

(BZ#1812552)

5.3.9. Virtualización

AMD SEV para máquinas virtuales KVM

Como muestra de tecnología, RHEL 8 introduce la función de virtualización cifrada segura (SEV) para las máquinas host AMD EPYC que utilizan el hipervisor KVM. Si se activa en una máquina virtual (VM), SEV cifra la memoria de la VM para que el host no pueda acceder a los datos de la VM. Esto aumenta la seguridad de la VM si el host es infectado con éxito por el malware.

Tenga en cuenta que el número de máquinas virtuales que pueden utilizar esta función a la vez en un solo host está determinado por el hardware del host. Los procesadores AMD EPYC actuales admiten hasta 15 máquinas virtuales en ejecución utilizando SEV.

También tenga en cuenta que para que las VMs con SEV configuradas puedan arrancar, también debe configurar la VM con un límite de memoria duro. Para ello, añada lo siguiente a la configuración XML de la VM:

<memtune>
  <hard_limit unit='KiB'>N</hard_limit>
</memtune>

El valor recomendado para N es igual o mayor que los 256 MiB de RAM del huésped. Por ejemplo, si el huésped tiene asignados 2 GiB de RAM, N debe ser 2359296 o mayor.

(BZ#1501618, BZ#1501607)

Intel vGPU

Como Technology Preview, ahora es posible dividir un dispositivo físico de GPU Intel en múltiples dispositivos virtuales denominados dispositivos mediados. Estos dispositivos mediados pueden ser asignados a múltiples máquinas virtuales (VM) como GPUs virtuales. Como resultado, estas máquinas virtuales comparten el rendimiento de una sola GPU Intel física.

Tenga en cuenta que sólo algunas GPUs de Intel son compatibles con la función vGPU. Además, la asignación de una GPU física a las máquinas virtuales imposibilita el uso de la GPU por parte del host y puede impedir el funcionamiento de la salida de pantalla gráfica en el host.

(BZ#1528684)

La virtualización anidada ya está disponible en IBM POWER 9

Como Technology Preview, ahora es posible utilizar las funciones de virtualización anidada en las máquinas host de RHEL 8 que se ejecutan en sistemas IBM POWER 9. La virtualización anidada permite que las máquinas virtuales (VM) KVM actúen como hipervisores, lo que permite ejecutar VMs dentro de VMs.

Tenga en cuenta que la virtualización anidada también sigue siendo una Muestra de Tecnología en los sistemas AMD64 e Intel 64.

También hay que tener en cuenta que para que la virtualización anidada funcione en IBM POWER 9, el host, el huésped y los huéspedes anidados deben ejecutar uno de los siguientes sistemas operativos:

RHEL 8
RHEL 7 para POWER 9

(BZ#1505999, BZ#1518937)

La virtualización KVM se puede utilizar en las máquinas virtuales Hyper-V de RHEL 8

Como Technology Preview, la virtualización KVM anidada ahora puede utilizarse en el hipervisor Microsoft Hyper-V. Como resultado, puede crear máquinas virtuales en un sistema invitado RHEL 8 que se ejecuta en un host Hyper-V.

Tenga en cuenta que actualmente, esta característica sólo funciona en los sistemas Intel. Además, en algunos casos la virtualización anidada no está habilitada por defecto en Hyper-V. Para habilitarla, consulte la siguiente documentación de Microsoft:

https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/user-guide/nested-virtualization

(BZ#1519039)

5.4. Funcionalidad obsoleta

Esta parte proporciona una visión general de la funcionalidad que ha sido deprecated en Red Hat Enterprise Linux 8.0.

La funcionalidad obsoleta continúa siendo soportada hasta el final de la vida útil de Red Hat Enterprise Linux 8. La funcionalidad obsoleta probablemente no será soportada en futuras versiones principales de este producto y no se recomienda para nuevas implementaciones. Para la lista más reciente de funcionalidad obsoleta dentro de una versión principal particular, consulte la última versión de la documentación de la versión.

Los componentes de hardware obsoletos no se recomiendan para nuevas implantaciones en las versiones actuales o futuras. Las actualizaciones de los controladores de hardware se limitan a correcciones de seguridad y críticas. Red Hat recomienda reemplazar este hardware tan pronto como sea razonablemente factible.

Un paquete puede ser obsoleto y no se recomienda su uso. En determinadas circunstancias, un paquete puede ser eliminado de un producto. La documentación del producto identifica entonces paquetes más recientes que ofrecen una funcionalidad similar, idéntica o más avanzada a la del paquete obsoleto, y proporciona otras recomendaciones.

Para obtener información sobre la funcionalidad que está presente en RHEL 7 pero que ha sido removed en RHEL 8, consulte Consideraciones al adoptar RHEL 8.

5.4.1. Creación del instalador y de la imagen

La opción --interactive del comando ignoredisk Kickstart ha quedado obsoleta

El uso de la opción --interactive en futuras versiones de Red Hat Enterprise Linux resultará en un error de instalación fatal. Se recomienda que modifique su archivo Kickstart para eliminar la opción.

(BZ#1637872)

Varios comandos y opciones de Kickstart han quedado obsoletos

El uso de los siguientes comandos y opciones en los archivos Kickstart de RHEL 8 imprimirá una advertencia en los registros.

auth o authconfig
dispositivo
deviceprobe
dmraid
instalar
lilo
lilocheck
ratón
multitrayecto
bootloader --upgrade
ignoredisk --interactive
partición --activa
reboot --kexec

En los casos en que sólo se enumeran opciones específicas, el comando base y sus otras opciones siguen estando disponibles y no están obsoletos.

Para más detalles y cambios relacionados en Kickstart, consulte la sección de cambios en Kickstart del documento Considerations in adopting RHEL 8.

(BZ#1642765)

5.4.2. Sistemas de archivos y almacenamiento

NFSv3 sobre UDP ha sido desactivado

El servidor NFS ya no abre o escucha en un socket del Protocolo de Datagramas de Usuario (UDP) por defecto. Este cambio sólo afecta a la versión 3 de NFS porque la versión 4 requiere el Protocolo de Control de Transmisión (TCP).

NFS sobre UDP ya no está soportado en RHEL 8.

(BZ#1592011)

El parámetro de la línea de comandos del núcleo del ascensor está obsoleto

El parámetro de línea de comandos del kernel elevador se utilizaba en versiones anteriores de RHEL para establecer el programador de discos para todos los dispositivos. En RHEL 8, el parámetro está obsoleto.

El kernel de Linux ha eliminado el soporte para el parámetro elevador, pero todavía está disponible en RHEL 8 por razones de compatibilidad.

Tenga en cuenta que el kernel selecciona un programador de disco por defecto basado en el tipo de dispositivo. Esta es típicamente la configuración óptima. Si necesita un planificador diferente, Red Hat recomienda que utilice las reglas udev o el servicio Tuned para configurarlo. Coinciden con los dispositivos seleccionados y cambian el planificador sólo para esos dispositivos.

Para más información, consulte el siguiente artículo: Por qué el parámetro 'elevator=' ya no funciona en RHEL8.

(BZ#1665295)

El módulo VDO Ansible en los paquetes VDO

El módulo VDO Ansible es actualmente proporcionado por el paquete vdo RPM. En una futura versión, el módulo VDO Ansible se trasladará a los paquetes RPM de Ansible.

(BZ#1669537)

5.4.3. Red

Los scripts de red están obsoletos en RHEL 8

Los scripts de red están obsoletos en Red Hat Enterprise Linux 8 y ya no se proporcionan por defecto. La instalación básica proporciona una nueva versión de los scripts ifup e ifdown que llaman al servicio NetworkManager a través de la herramienta nmcli. En Red Hat Enterprise Linux 8, para ejecutar los scripts ifup e ifdown, NetworkManager debe estar ejecutándose.

Tenga en cuenta que los comandos personalizados en los scripts /sbin/ifup-local, ifdown-pre-local e ifdown-local no se ejecutan.

Si se requiere alguno de estos scripts, la instalación de los scripts de red obsoletos en el sistema sigue siendo posible con el siguiente comando:

~]# yum install network-scripts

Los scripts ifup e ifdown enlazan con los scripts de red heredados instalados.

Al llamar a los scripts de red heredados se muestra una advertencia sobre su desaprobación.

(BZ#1647725)

5.4.4. Seguridad

DSA está obsoleto en RHEL 8

El Algoritmo de Firma Digital (DSA) se considera obsoleto en Red Hat Enterprise Linux 8. Los mecanismos de autenticación que dependen de claves DSA no funcionan en la configuración por defecto. Tenga en cuenta que los clientes OpenSSH no aceptan claves de host DSA incluso en el nivel de política criptográfica de todo el sistema LEGACY.

(BZ#1646541)

SSL2 Client Hello ha quedado obsoleto en NSS

El protocolo Transport Layer Security(TLS) versión 1.2 y anteriores permiten iniciar una negociación con un mensaje Client Hello formateado de manera compatible con el protocolo Secure Sockets Layer(SSL) versión 2. La compatibilidad con esta función en la biblioteca de servicios de seguridad de la red(NSS) ha quedado obsoleta y está desactivada por defecto.

Las aplicaciones que requieran soporte para esta función deben utilizar la nueva API SSL_ENABLE_V2_COMPATIBLE_HELLO para habilitarla. El soporte para esta función puede ser eliminado completamente en futuras versiones de Red Hat Enterprise Linux 8.

(BZ#1645153)

TLS 1.0 y TLS 1.1 están obsoletos

Los protocolos TLS 1.0 y TLS 1.1 están desactivados en el nivel de política criptográfica de todo el sistema DEFAULT. Si su escenario, por ejemplo, una aplicación de videoconferencia en el navegador web Firefox, requiere el uso de los protocolos obsoletos, cambie la política criptográfica de todo el sistema al nivel LEGACY:

# update-crypto-policies --set LEGACY

Para más información, consulte el artículo de la base de conocimientos Strong crypto defaults in RHEL 8 and deprecation of weak crypto algorithms en el Portal del Cliente de Red Hat y la página man update-crypto-policies(8).

(BZ#1660839)

5.4.5. Virtualización

Las instantáneas de las máquinas virtuales no se soportan correctamente en RHEL 8

El mecanismo actual de creación de instantáneas de máquinas virtuales (VM) ha quedado obsoleto, ya que no funciona de forma fiable. En consecuencia, se recomienda no utilizar las instantáneas de VM en RHEL 8.

Tenga en cuenta que se está desarrollando un nuevo mecanismo de instantáneas de máquinas virtuales que se implementará completamente en una futura versión menor de RHEL 8.

(BZ#1686057)

El tipo de GPU virtual Cirrus VGA ha quedado obsoleto

Con una futura actualización mayor de Red Hat Enterprise Linux, el dispositivo Cirrus VGA GPU ya no será soportado en las máquinas virtuales KVM. Por lo tanto, Red Hat recomienda utilizar los dispositivos stdvga, virtio-vga, o qxl en lugar de Cirrus VGA.

(BZ#1651994)

virt-manager ha quedado obsoleto

La aplicación Virtual Machine Manager, también conocida como virt-manager, ha quedado obsoleta. La consola web de RHEL 8, también conocida como Cockpit, está destinada a convertirse en su reemplazo en una versión posterior. Por lo tanto, se recomienda utilizar la consola web para gestionar la virtualización en una GUI. Sin embargo, en Red Hat Enterprise Linux 8.0, algunas funciones pueden ser accesibles solamente desde virt-manager o desde la línea de comandos.

(JIRA:RHELPLAN-10304)

5.4.6. Paquetes obsoletos

Los siguientes paquetes han sido obviados y probablemente no serán incluidos en una futura versión mayor de Red Hat Enterprise Linux:

389-ds-base-legacy-tools
authd
custodia
nombre de host
libidn
herramientas de red
red-scripts
nss-pam-ldapd
sendmail
yp-tools
ypbind
ypserv

5.5. Problemas conocidos

Esta parte describe los problemas conocidos en Red Hat Enterprise Linux 8.

5.5.1. La consola web

No es posible el registro en la consola web de RHEL con el shell session_recording

Actualmente, los inicios de sesión de la consola web de RHEL fallarán para los usuarios que tengan habilitado el registro de tlogs. La consola web de RHEL requiere que el shell de un usuario esté presente en el directorio /etc/shells para permitir un inicio de sesión exitoso. Sin embargo, si se añade tlog-rec-session a /etc/shells, un usuario registrado puede desactivar la grabación cambiando el shell de tlog-rec-session a otro shell de /etc/shells, utilizando la utilidad "chsh". Red Hat no recomienda añadir tlog-rec-session a /etc/shells por esta razón.

(BZ#1631905)

5.5.2. Creación del instalador y de la imagen

Los comandos Kickstart auth y authconfig requieren el repositorio AppStream

El paquete authselect-compat es necesario para los comandos auth y authconfig Kickstart durante la instalación. Sin este paquete, la instalación falla si se utilizan auth o authconfig. Sin embargo, por diseño, el paquete authselect-compat sólo está disponible en el repositorio de AppStream.

Para solucionar este problema, verifique que los repositorios de BaseOS y AppStream estén disponibles para el instalador o utilice el comando authselect Kickstart durante la instalación.

(BZ#1640697)

Los controladores de vídeo xorg-x11-drv-fbdev, xorg-x11-drv-vesa y xorg-x11-drv-vmware no están instalados por defecto

Las estaciones de trabajo con modelos específicos de tarjetas gráficas NVIDIA y las estaciones de trabajo con unidades de procesamiento acelerado AMD específicas no mostrarán la ventana gráfica de inicio de sesión después de una instalación de RHEL 8.0 Server.

Para solucionar este problema, realice una instalación de RHEL 8.0 Workstation en una máquina de estación de trabajo. Si se requiere una instalación de RHEL 8.0 Server en la estación de trabajo, instale manualmente el grupo de paquetes base-x después de la instalación ejecutando el comando yum -y groupinstall base-x.

Además, las máquinas virtuales que dependen de EFI para el soporte gráfico, como Hyper-V, también se ven afectadas. Si ha seleccionado el entorno base de Servidor con GUI en Hyper-V, es posible que no pueda iniciar la sesión debido a la aparición de una pantalla negra al reiniciar. Para solucionar este problema en Hyper-v, active el modo multiusuario o monopuesto siguiendo los siguientes pasos:

Reinicie la máquina virtual.
Durante el proceso de arranque, seleccione el núcleo deseado utilizando las teclas de flecha arriba y abajo de su teclado.
Pulse la tecla e de su teclado para editar la línea de comandos del kernel.
Añade systemd.unit=multi-user.target a la línea de comandos del kernel en GRUB.
Pulse Ctrl-X para iniciar la máquina virtual.
Después de iniciar la sesión, ejecute el comando yum -y groupinstall base-x.
Reinicie la máquina virtual para acceder al modo gráfico.

(BZ#1687489)

La instalación falla al utilizar el comando reboot --kexec

La instalación de RHEL 8 falla cuando se utiliza un archivo Kickstart que contiene el comando reboot --kexec. Para evitar el problema, utilice el comando reboot en lugar de reboot --kexec en su archivo Kickstart.

(BZ#1672405)

Al copiar el contenido del archivo DVD.iso binario en una partición se omiten los archivos .treeinfo y .discinfo

Durante la instalación local, mientras se copia el contenido del archivo de imagen RHEL 8 Binary DVD.iso a una partición, el * en el comando cp <path>/\* <mounted partition>/dir falla al copiar los archivos .treeinfo y .discinfo. Estos archivos son necesarios para una instalación correcta. Como resultado, los repositorios BaseOS y AppStream no se cargan, y un mensaje de registro relacionado con la depuración en el archivo anaconda.log es el único registro del problema.

Para solucionar el problema, copie los archivos .treeinfo y .discinfo que faltan en la partición.

(BZ#1692746)

La instalación de Anaconda incluye límites bajos de requisitos de configuración de recursos mínimos

Anaconda inicia la instalación en sistemas con una configuración mínima de recursos disponibles y no proporciona un mensaje previo de advertencia sobre los recursos necesarios para realizar la instalación con éxito. Como resultado, la instalación puede fallar y los errores de salida no proporcionan mensajes claros para una posible depuración y recuperación. Para solucionar este problema, asegúrese de que el sistema dispone de los recursos mínimos necesarios para la instalación: 2GB de memoria en PPC64(LE) y 1GB en x86_64. Como resultado, debería ser posible realizar una instalación exitosa.

(BZ#1696609)

Los comandos reboot --kexec e inst.kexec no proporcionan un estado predecible del sistema

Realizar una instalación de RHEL con el comando reboot --kexec Kickstart o los parámetros de arranque del kernel inst.kexec no proporcionan el mismo estado predecible del sistema que un reinicio completo. Como consecuencia, cambiar al sistema instalado sin reiniciar puede producir resultados impredecibles.

Tenga en cuenta que la función kexec está obsoleta y se eliminará en una futura versión de Red Hat Enterprise Linux.

(BZ#1697896)

5.5.3. Núcleo

El módulo i40iw no se carga automáticamente en el arranque

Debido a que muchos NICs i40e no soportan iWarp y el módulo i40iw no soporta completamente la suspensión/reanudación, este módulo no se carga automáticamente por defecto para asegurar que la suspensión/reanudación funcione correctamente. Para solucionar este problema, edite manualmente el archivo /lib/udev/rules.d/90-rdma-hw-modules.rules para activar la carga automática de i40iw.

Tenga en cuenta también que si hay otro dispositivo RDMA instalado con un dispositivo i40e en la misma máquina, el dispositivo RDMA no i40e activa el servicio rdma, que carga todos los módulos de pila RDMA habilitados, incluido el módulo i40iw.

(BZ#1623712)

El sistema a veces no responde cuando se conectan muchos dispositivos

Cuando Red Hat Enterprise Linux 8 configura un gran número de dispositivos, se produce un gran número de mensajes de consola en la consola del sistema. Esto sucede, por ejemplo, cuando hay un gran número de números de unidades lógicas (LUNs), con múltiples rutas a cada LUN. La avalancha de mensajes de consola, además de otros trabajos que está realizando el kernel, puede hacer que el watchdog del kernel fuerce un pánico del kernel porque éste parece estar colgado.

Debido a que el escaneo ocurre al principio del ciclo de arranque, el sistema deja de responder cuando hay muchos dispositivos conectados. Esto suele ocurrir en el momento del arranque.

Si kdump está habilitado en su máquina durante el evento de escaneo de dispositivos después del arranque, el bloqueo duro resulta en una captura de una imagen vmcore.

Para solucionar este problema, aumente el temporizador de bloqueo de watchdog. Para ello, añada la opción watchdog_thresh=N a la línea de comandos del kernel. Sustituya N por el número de segundos:

Si tiene menos de mil dispositivos, utilice 30.
Si tienes más de mil dispositivos, utiliza 60.

Para el almacenamiento, el número de dispositivo es el número de rutas a todos los LUNs: generalmente, el número de dispositivos /dev/sd*.

Después de aplicar la solución, el sistema ya no deja de responder cuando se configura una gran cantidad de dispositivos.

(BZ#1598448)

KSM a veces ignora las políticas de memoria NUMA

Cuando la función de memoria compartida del kernel (KSM) está activada con el parámetro merge_across_nodes=1, KSM ignora las políticas de memoria establecidas por la función mbind(), y puede fusionar páginas de algunas áreas de memoria a nodos de acceso a memoria no uniforme (NUMA) que no coinciden con las políticas.

Para solucionar este problema, desactive KSM o establezca el parámetro merge_across_nodes a 0 si utiliza la unión de memoria NUMA con QEMU. Como resultado, las políticas de memoria NUMA configuradas para la VM KVM funcionarán como se espera.

(BZ#1153521)

El controlador qede cuelga el NIC y lo hace inutilizable

Debido a un error, el controlador qede para las NIC de la serie 41000 y 45000 de QLogic puede hacer que las operaciones de actualización de firmware y de recopilación de datos de depuración fallen y que la NIC quede inutilizada o en estado colgado hasta que el reinicio (PCI reset) del host haga que la NIC vuelva a estar operativa.

Este problema se ha detectado en todos los escenarios siguientes:

cuando se actualiza el firmware del NIC utilizando el controlador de la bandeja de entrada
al recoger datos de depuración ejecutando el comando ethtool -d ethx
ejecutando el comando sosreport ya que incluye ethtool -d ethx.
cuando el controlador de la bandeja de entrada inicia la recopilación automática de datos de depuración, como el tiempo de espera de IO, el tiempo de espera de los comandos del buzón y una atención de hardware.

En el futuro, Red Hat publicará una fe de erratas a través de Red Hat Bug Advisory (RHBA) para solucionar este problema. Para solucionar este problema, cree un caso en https://access.redhat.com/support para solicitar una solución compatible con el problema hasta que se publique el RHBA.

(BZ#1697310)

Se han añadido símbolos de árboles radicales a kernel-abi-whitelists

Se han añadido los siguientes símbolos del árbol radial al paquete kernel-abi-whitelists en Red Hat Enterprise Linux 8:

__radix_tree_insert
__radix_tree_next_slot
radix_tree_delete
radix_tree_gang_lookup
radix_tree_gang_lookup_tag
radix_tree_next_chunk
radix_tree_preload
radix_tree_tag_set

Los símbolos anteriores no deberían estar presentes y serán eliminados de la lista blanca de RHEL8.

(BZ#1695142)

podman falla al comprobar un contenedor en RHEL 8

La versión del paquete Checkpoint and Restore In Userspace (CRIU) es obsoleta en Red Hat Enterprise Linux 8. Como consecuencia, CRIU no soporta la funcionalidad de checkpoint y restauración de contenedores y la utilidad podman falla al realizar el checkpoint de contenedores. Cuando se ejecuta el comando podman container checkpoint, se muestra el siguiente mensaje de error 'checkpointing a container requires at least CRIU 31100'

(BZ#1689746)

early-kdump y kdump estándar fallan si se utiliza la opción add_dracutmodules =earlykdump en dracut.conf

Actualmente, se produce una incoherencia entre la versión del núcleo que se instala para early-kdump y la versión del núcleo para la que se genera initramfs. Como consecuencia, al arrancar con early-kdump activado, early-kdump falla. Además, si early-kdump detecta que está siendo incluido en una imagen kdump initramfs estándar, fuerza una salida. Por lo tanto, el servicio estándar de kdump también falla al intentar reconstruir kdump initramfs si early-kdump se añade como módulo predeterminado de dracut. Como consecuencia, tanto early-kdump como kdump estándar fallan. Para solucionar este problema, no agregue add_dracutmodules =earlykdump o cualquier configuración equivalente en el archivo dracut.conf. Como resultado, early-kdump no es incluido por dracut por defecto, lo que evita que el problema ocurra. Sin embargo, si se requiere una imagen de early-kdump, tiene que ser creada manualmente.

(BZ#1662911)

El kernel de depuración no arranca en el entorno de captura de fallos en RHEL 8

Debido a la naturaleza de demanda de memoria del kernel de depuración, se produce un problema cuando el kernel de depuración está en uso y se desencadena un pánico del kernel. Como consecuencia, el kernel de depuración no es capaz de arrancar como el kernel de captura, y en su lugar se genera una traza de pila. Para solucionar este problema, aumente la memoria del kernel de captura en consecuencia. Como resultado, el kernel de depuración arranca con éxito en el entorno de captura de fallos.

(BZ#1659609)

La interfaz de red pasa a llamarse kdump-<nombre-de-interfaz> cuando se utiliza fadump

Cuando se utiliza el volcado asistido por firmware(fadump) para capturar un vmcore y almacenarlo en una máquina remota utilizando el protocolo SSH o NFS, la interfaz de red se renombra como kdump-<nombre-de-interfaz> si <nombre-de-interfaz> es genérico, por ejemplo, *eth#, o net#. Este problema se produce porque los scripts de captura de vmcore en el disco RAM inicial(initrd) añaden el prefijo kdump- al nombre de la interfaz de red para asegurar la nomenclatura persistente. El mismo initrd se utiliza también para un arranque normal, por lo que el nombre de la interfaz se cambia también para el kernel de producción.

(BZ#1745507)

5.5.4. Gestión del software

Ejecutar yum list bajo un usuario no root provoca el bloqueo de YUM

Cuando se ejecuta el comando yum list bajo un usuario no root después de haber actualizado el paquete libdnf, YUM puede terminar inesperadamente. Si se encuentra con este error, ejecute yum list bajo root para resolver el problema. Como resultado, los siguientes intentos de ejecutar yum list bajo un usuario no root ya no provocan el cierre de YUM.

(BZ#1642458)

YUM v4 omite por defecto los repositorios no disponibles

YUM v4 utiliza por defecto el ajuste "skip_if_unavailable=True" para todos los repositorios. Como consecuencia, si el repositorio requerido no está disponible, los paquetes del repositorio no se consideran en las operaciones de instalación, búsqueda o actualización. Posteriormente, algunos comandos yum y scripts basados en yum tienen éxito con el código de salida 0 incluso si hay repositorios no disponibles.

Actualmente, no hay otra solución disponible que actualizar el paquete libdnf.

(BZ#1679509)

5.5.5. Servicios de infraestructura

Las utilidades nslookup y host ignoran las respuestas de los servidores de nombres con recursión no disponible

Si se configuran más servidores de nombres y la recursión no está disponible para un servidor de nombres, las utilidades nslookup y host ignoran las respuestas de dicho servidor de nombres, a menos que sea el último configurado. En el caso del último servidor de nombres configurado, la respuesta se acepta incluso sin la bandera de recursión disponible. Sin embargo, si el último servidor de nombres configurado no responde o es inalcanzable, la resolución de nombres falla.

Para solucionar el problema:

Asegúrese de que los servidores de nombres configurados respondan siempre con el indicador de recursión disponible activado.
Permitir la recursión para todos los clientes internos.

Para solucionar el problema, también puede utilizar la utilidad dig para detectar si la recursión está disponible o no.

(BZ#1599459)

5.5.6. Shell y herramientas de línea de comandos

La vinculacióna Python del paquete net-snmp no está disponible

El conjunto de herramientas de Net-SNMP no proporciona enlaces para Python 3, que es la implementación de Python por defecto en RHEL 8. En consecuencia, los paquetes python-net-snmp, python2-net-snmp o python3-net-snmp no están disponibles en RHEL 8.

(BZ#1584510)

systemd en modo de depuración produce mensajes de registro innecesarios

El sistema systemd y el gestor de servicios en modo de depuración producen mensajes de registro innecesarios que comienzan con:

"Fallo en la adición de la regla para la llamada del sistema..."

Enumerar los mensajes por ejecución:

journalctl -b _PID=1

Estos mensajes de depuración son inofensivos, y puedes ignorarlos con seguridad.

Actualmente, no hay ninguna solución disponible.

(BZ#1658691)

ksh con la trampa KEYBD maneja mal los caracteres multibyte

El Korn Shell (KSH) no puede manejar correctamente los caracteres multibyte cuando la trampa KEYBD está activada. En consecuencia, cuando el usuario introduce, por ejemplo, caracteres japoneses, ksh muestra una cadena incorrecta. Para solucionar este problema, desactive la trampa KEYBD en el archivo /etc/kshrc comentando la siguiente línea:

trap keybd_trap KEYBD

Para más detalles, consulte una solución de la base de conocimientos relacionada.

(BZ#1503922)

5.5.7. Lenguajes de programación dinámicos, servidores web y de bases de datos

Los servidores de bases de datos no se pueden instalar en paralelo

Los módulos mariadb y mysql no pueden instalarse en paralelo en RHEL 8.0 debido a paquetes RPM conflictivos.

Por diseño, es imposible instalar más de una versión (stream) del mismo módulo en paralelo. Por ejemplo, debe elegir sólo una de las corrientes disponibles del módulo postgresql, ya sea la 10 (por defecto) o la 9.6. La instalación paralela de componentes es posible en Red Hat Software Collections para RHEL 6 y RHEL 7. En RHEL 8, se pueden utilizar diferentes versiones de servidores de bases de datos en contenedores.

(BZ#1566048)

Problemas en el registro de mod_cgid

Si el módulo httpd de Apache mod_cgid se utiliza bajo un módulo de multiprocesamiento roscado (MPM), que es la situación por defecto en RHEL 8, se producen los siguientes problemas de registro:

La salida stderr del script CGI no lleva el prefijo de la información estándar de la marca de tiempo.
La salida stderr del script CGI no se redirige correctamente a un archivo de registro específico del VirtualHost, si está configurado.

(BZ#1633224)

El módulo IO::Socket::SSL Perl no soporta TLS 1.3

Las nuevas características del protocolo TLS 1.3, como la reanudación de la sesión o la autenticación post-handshake, se implementaron en la biblioteca OpenSSL de RHEL 8 pero no en el módulo Net::SSLeay Perl, y por tanto no están disponibles en el módulo IO::Socket::SSL Perl. En consecuencia, la autenticación del certificado del cliente podría fallar y el restablecimiento de las sesiones podría ser más lento que con el protocolo TLS 1.2.

Para solucionar este problema, desactive el uso de TLS 1.3 estableciendo la opción SSL_version al valor !TLSv1_3 cuando cree un objeto IO::Socket::SSL.

(BZ#1632600)

La documentación de Scala generada es ilegible

Al generar la documentación con el comando scaladoc, la página HTML resultante es inutilizable debido a la falta de recursos JavaScript.

(BZ#1641744)

5.5.8. Escritorio

qxl no funciona en máquinas virtuales basadas en Wayland

El controlador qxl no es capaz de proporcionar características de configuración del modo de kernel en ciertos hipervisores. En consecuencia, los gráficos basados en el protocolo Wayland no están disponibles para las máquinas virtuales (VM) que utilizan qxl, y la pantalla de inicio de sesión basada en Wayland no se inicia.

Para solucionar el problema, utilice el programa :

El servidor de visualización Xorg en lugar de GNOME Shell on Wayland en VMs basadas en gráficos QuarkXpress Element Library (QXL).

El controlador virtio en lugar del controlador qxl para sus VMs.

(BZ#1641763)

El prompt de la consola no se muestra al ejecutar systemctl isolate multi-user.target

Cuando se ejecuta el comando systemctl isolate multi-user.target desde la Terminal de GNOME en una sesión del Escritorio GNOME, sólo se muestra un cursor y no el prompt de la consola. Para solucionar el problema, pulse las teclas Ctrl Alt F2. Como resultado, aparece el prompt de la consola.

El comportamiento se aplica tanto a GNOME Shell on Wayland como a X.Org display server.

(BZ#1678627)

5.5.9. Infraestructuras gráficas

El escritorio que se ejecuta en X.Org se cuelga al cambiar a resoluciones de pantalla bajas

Cuando se utiliza el escritorio GNOME con el servidor de visualización X.Org, el escritorio deja de responder si se intenta cambiar la resolución de la pantalla a valores bajos. Para solucionar el problema, no configure la resolución de la pantalla a un valor inferior a 800 × 600 píxeles.

(BZ#1655413)

radeon no reinicia el hardware correctamente

El controlador del kernel de radeon actualmente no restablece el hardware en el contexto kexec correctamente. En su lugar, radeon se cae, lo que hace que el resto del servicio kdump falle.

Para solucionar este problema, ponga en la lista negra a radeon en kdump añadiendo la siguiente línea al archivo /etc/kdump.conf:

dracut_args --omit-drivers "radeon"
force_rebuild 1

Reinicie la máquina y kdump. Después de iniciar kdump, la línea force_rebuild 1 puede ser eliminada del archivo de configuración.

Tenga en cuenta que en este escenario, no habrá gráficos disponibles durante kdump, pero kdump funcionará con éxito.

(BZ#1694705)

5.5.10. Habilitación de hardware

El estado del MII esclavo de respaldo no funciona cuando se utiliza el monitor de enlace ARP

Por defecto, los dispositivos gestionados por el controlador i40e, realizan la poda de origen, que descarta los paquetes que tienen la dirección de control de acceso al medio (MAC) de origen que coincide con uno de los filtros de recepción. Como consecuencia, el estado de la Interfaz Independiente de Medios (MII) esclava de respaldo no funciona cuando se utiliza el monitoreo del Protocolo de Resolución de Direcciones (ARP) en la unión de canales. Para solucionar este problema, desactive la poda de origen mediante el siguiente comando:

# ethtool --set-priv-flags <ethX> disable-source-pruning on

Como resultado, el estado MII del esclavo de respaldo funcionará como se espera.

(BZ#1645433)

El NMI watchdog de HP en algunos casos no genera un volcado de fallos

El controlador hpwdt para el vigilante NMI de HP a veces no puede reclamar una interrupción no enmascarable (NMI) generada por el temporizador del vigilante HPE porque el NMI fue consumido por el controlador perfmon.

Como consecuencia, hpwdt en algunos casos no puede llamar a un pánico para generar un volcado de fallos.

(BZ#1602962)

5.5.11. Gestión de la identidad

La caché de credenciales KCM no es adecuada para un gran número de credenciales en una sola caché de credenciales

El gestor de credenciales de Kerberos (KCM) puede manejar tamaños de caché de hasta 64 kB. Si contiene demasiadas credenciales, las operaciones de Kerberos, como kinit, fallan debido a un límite codificado en el búfer utilizado para transferir datos entre el componente sssd-kcm y la base de datos subyacente.

Para solucionar este problema, añada la opción ccache_storage = memory en la sección kcm del archivo /etc/sssd/sssd.conf. Esto instruye al respondedor de kcm para que sólo almacene los cachés de credenciales en memoria, no de forma persistente. Si haces esto, reiniciar el sistema o sssd-kcm borra los cachés de credenciales.

(BZ#1448094)

Cambiar /etc/nsswitch.conf requiere un reinicio manual del sistema

Cualquier cambio en el archivo /etc/nsswitch . conf, por ejemplo la ejecución del comando authselect select profile_id, requiere un reinicio del sistema para que todos los procesos relevantes utilicen la versión actualizada del archivo /etc/nsswitch.conf. Si no es posible reiniciar el sistema, reinicie el servicio que une su sistema a Active Directory, que es el demonio de servicios de seguridad del sistema (SSSD) o winbind.

(BZ#1657295)

Los valores de tiempo de espera conflictivos impiden que SSSD se conecte a los servidores

Algunos de los valores de tiempo de espera por defecto relacionados con las operaciones de conmutación por error utilizadas por el demonio de servicios de seguridad del sistema (SSSD) son conflictivos. En consecuencia, el valor del tiempo de espera reservado para que SSSD hable con un solo servidor impide que SSSD pruebe con otros servidores antes de que la operación de conexión se agote por completo. Para solucionar el problema, establezca el valor del parámetro ldap_opt_timeout timeout más alto que el valor del parámetro dns_resolver_timeout, y establezca el valor del parámetro dns_resolver_timeout más alto que el valor del parámetro dns_resolver_op_timeout.

(BZ#1382750)

SSSD sólo puede buscar certificados únicos en las anulaciones de ID

Cuando varias anulaciones de ID contienen el mismo certificado, el demonio de servicios de seguridad del sistema (SSSD) no puede resolver las consultas de los usuarios que coinciden con el certificado. Un intento de buscar estos usuarios no devuelve ningún usuario. Tenga en cuenta que la búsqueda de usuarios mediante su nombre de usuario o UID funciona como se espera.

(BZ#1446101)

SSSD no maneja correctamente varias reglas de coincidencia de certificados con la misma prioridad

Si un certificado determinado coincide con varias reglas de coincidencia de certificados con la misma prioridad, el demonio de servicios de seguridad del sistema (SSSD) sólo utiliza una de las reglas. Como solución, utilice una única regla de coincidencia de certificados cuyo filtro LDAP esté formado por los filtros de las reglas individuales concatenados con el operador | (o). Para ver ejemplos de reglas de coincidencia de certificados, consulte la página de manual de sss-certamp(5).

(BZ#1447945)

SSSD devuelve la pertenencia a un grupo LDAP incorrecto para los usuarios locales

Si el demonio de servicios de seguridad del sistema (SSSD) sirve a los usuarios desde los archivos locales, el proveedor de archivos no incluye la pertenencia a grupos de otros dominios. Como consecuencia, si un usuario local es miembro de un grupo LDAP, el comando id local_user no devuelve la pertenencia al grupo LDAP del usuario. Para solucionar el problema, invierta el orden de las bases de datos en las que el sistema busca la pertenencia a grupos de los usuarios en el archivo /etc/nsswitch.conf, sustituyendo sss files por files sss, o desactive el dominio implícito de files añadiendo

enable_files_domain=False

a la sección [sssd] en el archivo /etc/sssd/sssd.conf.

Como resultado, id local_user devuelve la pertenencia correcta al grupo LDAP para los usuarios locales.

(BZ#1652562)

Las reglas sudo podrían no funcionar con id_provider=ad si las reglas sudo hacen referencia a los nombres de los grupos

System Security Services Daemon (SSSD) no resuelve los nombres de grupo de Active Directory durante la operación initgroups debido a una optimización de la comunicación entre AD y SSSD mediante el uso de una caché. La entrada de la caché sólo contiene un identificador de seguridad (SID) y no los nombres de los grupos hasta que se solicita el grupo por nombre o por ID. Por lo tanto, las reglas de sudo no coinciden con el grupo de AD a menos que los grupos estén completamente resueltos antes de ejecutar sudo.

Para solucionar este problema, es necesario desactivar la optimización: Abra el archivo /etc/sssd/sssd.conf y añada el parámetro ldap_use_tokengroups = false en la sección [dominio/ejemplo.com ].

(BZ#1659457)

La configuración PAM por defecto para systemd-user ha cambiado en RHEL 8, lo que puede influir en el comportamiento de SSSD

La pila de módulos de autenticación enchufables (PAM) ha cambiado en Red Hat Enterprise Linux 8. Por ejemplo, la sesión de usuario systemd ahora inicia una conversación PAM usando el servicio systemd-user PAM. Este servicio ahora incluye recursivamente el servicio PAM system-auth, que puede incluir la interfaz pam_sss.so. Esto significa que el control de acceso SSSD siempre es llamado.

Tenga en cuenta este cambio cuando diseñe las reglas de control de acceso para los sistemas RHEL 8. Por ejemplo, puede añadir el servicio systemd-user a la lista de servicios permitidos.

Tenga en cuenta que para algunos mecanismos de control de acceso, como IPA HBAC o AD GPOs, el servicio systemd-user se ha añadido a la lista de servicios permitidos por defecto y no necesita realizar ninguna acción.

(BZ#1669407)

El servidor IdM no funciona en FIPS

Debido a una implementación incompleta del conector SSL para Tomcat, un servidor de gestión de identidades (IdM) con un servidor de certificados instalado no funciona en máquinas con el modo FIPS activado.

(BZ#1673296)

Samba deniega el acceso cuando se utiliza el complemento de asignación de ID sss

Para utilizar Samba como servidor de archivos en un host RHEL unido a un dominio de Active Directory (AD), el servicio Winbind de Samba debe estar ejecutándose incluso si se utiliza SSSD para gestionar usuarios y grupos desde AD. Si se une al dominio utilizando el comando realm join --client-software=sssd o sin especificar el parámetro --client-software en este comando, realm crea sólo el archivo /etc/sssd/sssd.conf. Cuando se ejecuta Samba en el miembro del dominio con esta configuración y se añade una configuración que utiliza el back end de mapeo de ID sss al archivo /etc/samba/smb.conf para compartir directorios, los cambios en el back end de mapeo de ID pueden causar errores. En consecuencia, Samba niega el acceso a los archivos en ciertos casos, incluso si el usuario o grupo existe y es conocido por SSSD.

Si planea actualizar desde una versión anterior de RHEL y el parámetro ldap_id_mapping en el archivo /etc/sssd/sssd.conf está establecido en True, que es el valor predeterminado, no hay ninguna solución disponible. En este caso, no actualice el host a RHEL 8 hasta que se haya solucionado el problema.

Posibles soluciones en otros escenarios:

Para las nuevas instalaciones, únase al dominio utilizando el comando realm join --client-software=winbind. Esto configura el sistema para utilizar Winbind en lugar de SSSD para todas las búsquedas de usuarios y grupos. En este caso, Samba utiliza el complemento de mapeo de ID rid o ad en /etc/samba/smb.conf dependiendo de si se establece la opción --automatic-id-mapping en yes (por defecto) o no. Si planea usar SSSD en el futuro o en otros sistemas, usar --automatic-id-mapping=no permite una migración más fácil pero requiere que almacene UIDs y GIDs POSIX en AD para todos los usuarios y grupos.
Cuando se actualiza desde una versión anterior de RHEL, y si el parámetro ldap_id_mapping en el archivo /etc/sssd/sssd. conf se establece en False y el sistema utiliza los atributos uidNumber y gidNumber de AD para la asignación de ID:
1. Cambie la entrada idmap config <domain> : backend = sss en el archivo /etc/samba/smb.conf por idmap config <domain> : backend = ad
2. Utilice el comando systemctl status winbind para reiniciar el Winbind.

(BZ#1657665)

El servicio nuxwdog falla en entornos HSM y requiere instalar el paquete keyutils en entornos no HSM

El servicio de vigilancia nuxwdog se ha integrado en Certificate System. En consecuencia, nuxwdog ya no se proporciona como un paquete independiente. Para utilizar el servicio de vigilancia, instale el paquete pki-server.

Tenga en cuenta que el servicio nuxwdog tiene los siguientes problemas conocidos:

El servicio nuxwdog no funciona si se utiliza un módulo de almacenamiento de hardware (HSM). Para este problema, no hay ninguna solución disponible.
En un entorno no-HSM, Red Hat Enterprise Linux 8.0 no instala automáticamente el paquete keyutils como una dependencia. Para instalar el paquete manualmente, utilice el comando dnf install keyutils.

(BZ#1652269)

La adición de anulaciones de ID de usuarios de AD sólo funciona en la CLI de IdM

Actualmente, la adición de anulaciones de ID de usuarios de Active Directory (AD) a los grupos de Gestión de identidades (IdM) con el fin de conceder acceso a las funciones de gestión falla en la interfaz web de IdM. Para solucionar el problema, utilice la interfaz de línea de comandos (CLI) de IdM.

Tenga en cuenta que si instaló el paquete ipa-idoverride-memberof-plugin en el servidor IdM después de realizar previamente ciertas operaciones utilizando la utilidad ipa, Red Hat recomienda limpiar la caché de la utilidad ipa para forzarla a refrescar su visión sobre los metadatos del servidor IdM.

Para ello, elimine el contenido del directorio ~/.cache/ipa para el usuario bajo el cual se ejecuta la utilidad ipa. Por ejemplo, para root:

# rm -r /root/.cache/ipa

(BZ#1651577)

No se muestra la información sobre los registros DNS necesarios al activar la compatibilidad con la confianza de AD en IdM

Cuando se habilita el soporte para la confianza de Active Directory (AD) en la instalación de Red Hat Enterprise Linux Identity Management (IdM) con gestión externa de DNS, no se muestra información sobre los registros DNS requeridos. La confianza del bosque en AD no tiene éxito hasta que se añaden los registros DNS requeridos. Para solucionar este problema, ejecute el comando 'ipa dns-update-system-records --dry-run' para obtener una lista de todos los registros DNS requeridos por IdM. Cuando el DNS externo para el dominio de IdM define los registros DNS necesarios, es posible establecer la confianza del bosque en AD.

(BZ#1665051)

5.5.12. Compiladores y herramientas de desarrollo

Las funciones sintéticas generadas por GCC confunden a SystemTap

La optimización de GCC puede generar funciones sintéticas para copias parcialmente inline de otras funciones. Herramientas como SystemTap y GDB no pueden distinguir estas funciones sintéticas de las reales. Como consecuencia, SystemTap puede colocar sondas tanto en los puntos de entrada de las funciones sintéticas como en las reales, y así registrar múltiples aciertos de sonda para una sola llamada a una función real.

Para evitar este problema, los scripts de SystemTap deben adaptarse con medidas como la detección de la recursividad y la supresión de las sondas relacionadas con las funciones parciales inline. Por ejemplo, un script

sonda kernel.function(\ "can_nice").call { }

puede intentar evitar el problema descrito de la siguiente manera:

global in_can_nice%

probe kernel.function("can_nice").call {
  in_can_nice[tid()] ++;
  if (in_can_nice[tid()] > 1) { next }
  /* code for real probe handler */
}

probe kernel.function("can_nice").return {
  in_can_nice[tid()] --;
}

Tenga en cuenta que este script de ejemplo no tiene en cuenta todos los escenarios posibles, tales como kprobes o kretprobes perdidos, o la recursión genuina prevista.

(BZ#1169184)

La herramienta ltrace no informa de las llamadas a funciones

Debido a las mejoras en el endurecimiento de los binarios aplicadas a todos los componentes de RHEL, la herramienta ltrace ya no puede detectar llamadas a funciones en archivos binarios procedentes de componentes de RHEL. Como consecuencia, la salida de ltrace está vacía porque no informa de ninguna llamada detectada cuando se utiliza en dichos archivos binarios. No hay ninguna solución disponible actualmente.

Como nota, ltrace puede reportar correctamente las llamadas en archivos binarios personalizados construidos sin las respectivas banderas de endurecimiento.

(BZ#1618748, BZ#1655368)

5.5.13. Sistemas de archivos y almacenamiento

No se puede descubrir un objetivo iSCSI utilizando el paquete iscsiuio

Red Hat Enterprise Linux 8 no permite el acceso concurrente a las áreas de registro PCI. Como consecuencia, se produjo un error de no se pudo establecer los parámetros de red del host (err 29) y la conexión al portal de descubrimiento falló. Para solucionar este problema, establezca el parámetro del kernel iomem=relaxed en la línea de comandos del kernel para la descarga iSCSI. Esto afecta específicamente a cualquier descarga que utilice el controlador bnx2i. Como resultado, la conexión al portal de descubrimiento es ahora exitosa y el paquete iscsiuio ahora funciona correctamente.

(BZ#1626629)

Los volúmenes VDO pierden el consejo de deduplicación después de pasar a una plataforma de distinto endiano

Virtual Data Optimizer (VDO) escribe la cabecera del índice del Servicio Universal de Deduplicación (UDS) en el formato endian nativo de su plataforma. VDO considera que el índice UDS está corrupto y lo sobrescribe con un nuevo índice en blanco si mueve su volumen VDO a una plataforma que utiliza un endian diferente.

Como consecuencia, cualquier consejo de deduplicación almacenado en el índice UDS antes de ser sobrescrito se pierde. VDO es entonces incapaz de deduplicar los datos recién escritos contra los datos que estaban almacenados antes de mover el volumen, lo que lleva a un menor ahorro de espacio.

(BZ#1696492)

La opción de montaje XFS DAX es incompatible con los extensiones de datos compartidos de copia en escritura

Un sistema de archivos XFS formateado con la función de extensiones de datos compartidos de copia en escritura no es compatible con la opción de montaje -o dax. Como consecuencia, el montaje de dicho sistema de archivos con -o d ax falla.

Para solucionar el problema, formatee el sistema de archivos con la opción de metadatos reflink=0 para desactivar los extensiones de datos compartidos de copia en escritura:

# mkfs.xfs -m reflink=0 block-device

Como resultado, el montaje del sistema de archivos con -o dax es exitoso.

Para más información, consulte Creación de un espacio de nombres DAX del sistema de archivos en un NVDIMM.

(BZ#1620330)

Algunos controladores SCSI pueden utilizar a veces una cantidad excesiva de memoria

Algunos controladores SCSI utilizan una mayor cantidad de memoria que en RHEL 7. En algunos casos, como la creación de vPort en un adaptador de bus de host (HBA) de canal de fibra, el uso de memoria podría ser excesivo, dependiendo de la configuración del sistema.

El aumento del uso de la memoria se debe a la preasignación de memoria en la capa de bloques. Tanto la programación de dispositivos de bloques de cola múltiple (BLK-MQ) como la pila SCSI de cola múltiple (SCSI-MQ) preasignan memoria para cada solicitud de E/S en RHEL 8, lo que provoca un mayor uso de la memoria.

(BZ#1733278)

5.5.14. Red

nftables no soporta tipos de conjuntos IP multidimensionales

El marco de filtrado de paquetes nftables no admite tipos de conjuntos con concatenaciones e intervalos. En consecuencia, no puede utilizar tipos de conjuntos IP multidimensionales, como hash:net,port, con nftables.

Para solucionar este problema, utilice el marco de iptables con la herramienta ipset si necesita tipos de conjuntos de IP multidimensionales.

(BZ#1593711)

El objetivo TRACE en la página man de iptables-extensions(8) no se refiere a la variante nf_tables

La descripción del objetivo TRACE en la página man de iptables-extensions(8) se refiere sólo a la variante compat, pero Red Hat Enterprise Linux (RHEL) 8.0 utiliza la variante nf_tables. La utilidad iptables basada en nftables en RHEL utiliza la expresión meta nftrace internamente. Por lo tanto, el kernel no imprime los eventos TRACE en el registro del kernel, sino que los envía al espacio de usuario. Sin embargo, la página de manual no hace referencia a la utilidad de línea de comandos xtables-monitor para mostrar estos eventos.

(BZ#1658734)

RHEL 8 muestra el estado de un enlace 802.3ad como "Churned" después de que un conmutador no haya estado disponible durante un largo periodo de tiempo

Actualmente, cuando se configura un enlace de red 802.3ad y el conmutador está fuera de servicio durante un período de tiempo prolongado, Red Hat Enterprise Linux muestra correctamente el estado del enlace como "Churned", incluso después de que la conexión vuelve a un estado de trabajo. Sin embargo, este es el comportamiento previsto, ya que el estado "Churned" tiene como objetivo indicar al administrador que se ha producido una interrupción significativa del enlace. Para borrar este estado, reinicie el enlace de red o reinicie el host.

(BZ#1708807)

El comando ebtables no admite la tabla broute

El comando ebtables basado en nftables en Red Hat Enterprise Linux 8.0 no soporta la tabla broute. En consecuencia, los usuarios no pueden utilizar esta función.

(BZ#1649790)

El tráfico de red IPsec falla durante la descarga de IPsec cuando GRO está desactivado

No se espera que la descarga de IPsec funcione cuando la descarga de recepción genérica (GRO) está desactivada en el dispositivo. Si la descarga de IPsec está configurada en una interfaz de red y GRO está desactivado en ese dispositivo, el tráfico de red IPsec falla.

Para solucionar este problema, mantenga activado el sistema GRO en el dispositivo.

(BZ#1649647)

NetworkManager utiliza ahora el complemento DHCP interno por defecto

NetworkManager soporta los plug-ins DHCP interno y dhclient. Por defecto, NetworkManager en Red Hat Enterprise Linux (RHEL) 7 utiliza el dhclient y RHEL 8 el plug-in interno. En ciertas situaciones, los plug-ins se comportan de manera diferente. Por ejemplo, dhclient puede utilizar configuraciones adicionales especificadas en el directorio /etc/dhcp/.

Si actualiza de RHEL 7 a RHEL 8 y NetworkManager se comporta de forma diferente, añada la siguiente configuración a la sección [main] del archivo /etc/NetworkManager/NetworkManager.conf para utilizar el complemento dhclient:

[main]
dhcp=dhclient

(BZ#1571655)

Las opciones avanzadas de la VPN basada en IPsec no se pueden cambiar usando gnome-control-center

Cuando se configura una conexión VPN basada en IP sec utilizando la aplicación gnome-control-center, el diálogo Avanzado sólo mostrará la configuración, pero no permitirá hacer ningún cambio. Como consecuencia, los usuarios no pueden cambiar ninguna opción avanzada de IPsec. Para solucionar este problema, utilice las herramientas nm-connection-editor o nmcli para realizar la configuración de las propiedades avanzadas.

(BZ#1697326)

Los archivos /etc/hosts.allow y /etc/hosts.deny contienen información inexacta

El paquete tcp_wrappers se elimina en Red Hat Enterprise Linux (RHEL) 8, pero no sus archivos, /etc/hosts.allow y /etc/hosts.deny. Como consecuencia, estos archivos contienen información obsoleta, que no es aplicable para RHEL 8.

Para solucionar este problema, utilice reglas de firewall para filtrar el acceso a los servicios. Para el filtrado basado en nombres de usuario y de host, utilice la configuración específica de la aplicación.

(BZ#1663556)

La desfragmentación de IP no puede ser sostenible bajo la sobrecarga de tráfico de la red

En Red Hat Enterprise Linux 8, el hilo del kernel de recolección de basura ha sido eliminado y los fragmentos de IP expiran sólo en el tiempo de espera. Como resultado, el uso de la CPU bajo Denegación de Servicio (DoS) es mucho menor, y la tasa máxima sostenible de caída de fragmentos está limitada por la cantidad de memoria configurada para la unidad de reensamblaje IP. Con la configuración por defecto, las cargas de trabajo que requieren tráfico fragmentado en presencia de caídas de paquetes, reordenamiento de paquetes o muchos flujos fragmentados concurrentes pueden incurrir en una regresión de rendimiento relevante.

En este caso, los usuarios pueden utilizar el ajuste apropiado de la caché de fragmentación IP en el directorio /proc/sys/net/ipv4 estableciendo la variable ipfrag_high_thresh para limitar la cantidad de memoria y la variable ipfrag_time para mantener por segundos un fragmento IP en la memoria. Por ejemplo,

echo 419430400 > /proc/sys/net/ipv4/ipfrag_high_thresh echo 1 > /proc/sys/net/ipv4/ipfrag_time

Lo anterior se aplica al tráfico IPv4. Para IPv6 los sintonizables relevantes son: ip6frag_high_thresh e ip6frag_time en el directorio /proc/sys/net/ipv6/.

Ten en cuenta que cualquier carga de trabajo que dependa de un tráfico fragmentado de alta velocidad puede causar problemas de estabilidad y rendimiento, especialmente con las caídas de paquetes, y este tipo de despliegues se desaconsejan en producción.

(BZ#1597671)

Cambios en los nombres de las interfaces de red en RHEL 8

En Red Hat Enterprise Linux 8, se utiliza por defecto el mismo esquema consistente de nomenclatura de dispositivos de red que en RHEL 7. Sin embargo, algunos controladores del kernel, como e1000e, nfp, qede, sfc, tg3 y bnxt_en cambiaron su nombre consistente en una instalación fresca de RHEL 8. Sin embargo, los nombres se conservan al actualizar desde RHEL 7.

(BZ#1701968)

5.5.15. Seguridad

libselinux-python sólo está disponible a través de su módulo

El paquete libselinux-python sólo contiene bindings de Python 2 para el desarrollo de aplicaciones SELinux y se utiliza por compatibilidad con versiones anteriores. Por esta razón, libselinux-python ya no está disponible en los repositorios por defecto de RHEL 8 a través del comando dnf install libselinux-python.

Para solucionar este problema, active los módulos libselinux-python y python27, e instale el paquete libselinux-python y sus dependencias con los siguientes comandos:

# dnf module enable libselinux-python
# dnf install libselinux-python

Alternativamente, instale libselinux-python utilizando su perfil de instalación con un solo comando:

# dnf module install libselinux-python:2.8/common

Como resultado, puede instalar libselinux-python utilizando el módulo correspondiente.

(BZ#1666328)

libssh no cumple con la política criptográfica de todo el sistema

La biblioteca libssh no sigue la configuración de políticas criptográficas de todo el sistema. Como consecuencia, el conjunto de algoritmos soportados no se modifica cuando el administrador cambia el nivel de las políticas criptográficas utilizando el comando update-crypto-policies.

Para solucionar este problema, el conjunto de algoritmos anunciados debe ser configurado individualmente por cada aplicación que utilice libssh. Como resultado, cuando el sistema está configurado en el nivel de política LEGACY o FUTURE, las aplicaciones que utilizan libssh se comportan de forma inconsistente cuando se comparan con OpenSSH.

(BZ#1646563)

Algunas cadenas de prioridad de rsyslog no funcionan correctamente

La compatibilidad con la cadena de prioridad GnuTLS para imtcp que permite un control detallado de la codificación no es completa. En consecuencia, las siguientes cadenas de prioridad no funcionan correctamente en rsyslog:

NINGUNO: VERS-ALL:-VERS-TLS1.3: MAC-ALL: DHE-RSA: AES-256-GCM: SIGN-RSA-SHA384: COMP-ALL: GROUP-ALL

Para evitar este problema, utilice sólo cadenas de prioridad que funcionen correctamente:

NINGUNO: VERS-ALL:-VERS-TLS1.3: MAC-ALL: ECDHE-RSA: AES-128-CBC: SIGN-RSA-SHA1: COMP-ALL: GROUP-ALL

En consecuencia, las configuraciones actuales deben limitarse a las cadenas que funcionan correctamente.

(BZ#1679512)

Efectos negativos de la configuración de registro por defecto en el rendimiento

La configuración del entorno de registro por defecto puede consumir 4 GB de memoria o incluso más y los ajustes de los valores de límite de velocidad son complejos cuando systemd-journald se ejecuta con rsyslog.

Consulte el artículo de la base de conocimientos Efectos negativos de la configuración de registro por defecto de RHEL en el rendimiento y sus mitigaciones para obtener más información.

(JIRA:RHELPLAN-10431)

OpenSCAP rpmverifypackage no funciona correctamente

Las llamadas al sistema chdir y chroot son llamadas dos veces por la sonda rpmverifypackage. En consecuencia, se produce un error cuando la sonda se utiliza durante un análisis de OpenSCAP con contenido personalizado de Open Vulnerability and Assessment Language (OVAL).

Para solucionar este problema, no utilice la prueba OVAL rpmverifypackage_test en su contenido o utilice sólo el contenido del paquete scap-security-guide donde no se utiliza rpmverifypackage_test.

(BZ#1646197)

SCAP Workbench no genera correcciones basadas en resultados a partir de perfiles adaptados

El siguiente error se produce al intentar generar roles de corrección basados en resultados a partir de un perfil personalizado utilizando la herramienta SCAP Workbench:

Error al generar el rol de remediación .../remediación.sh: El código de salida de oscap era 1: [salida truncada]

Para solucionar este problema, utilice el comando oscap con la opción --tailoring-file.

(BZ#1640715)

Kickstart utiliza org_fedora_oscap en lugar de com_redhat_oscap en RHEL 8

El Kickstart hace referencia al complemento Anaconda del Protocolo de Automatización de Contenidos de Seguridad Abierta (OSCAP) como org_fedora_oscap en lugar de com_redhat_oscap, lo que podría causar confusión. Esto se hace para mantener la compatibilidad con Red Hat Enterprise Linux 7.

(BZ#1665082)

OpenSCAP rpmverifyfile no funciona

El escáner OpenSCAP no cambia correctamente el directorio de trabajo actual en modo offline, y la función fchdir no se llama con los argumentos correctos en la sonda OpenSCAP rpmverifyfile. En consecuencia, el escaneo de sistemas de archivos arbitrarios usando el comando oscap-chroot falla si rpmverifyfile_test es usado en un contenido SCAP. Como resultado, oscap-chroot aborta en el escenario descrito.

(BZ#1636431)

OpenSCAP no proporciona escaneo fuera de línea de máquinas virtuales y contenedores

La refactorización de la base de código de OpenSCAP provocó que ciertas sondas RPM no pudieran escanear los sistemas de archivos de las máquinas virtuales y los contenedores en modo offline. Por esta razón, se eliminaron las siguientes herramientas del paquete openscap-utils: oscap-vm y oscap-chroot. También se eliminó por completo el paquete openscap-containers.

(BZ#1618489)

No se dispone de una utilidad para escanear la seguridad y el cumplimiento de los contenedores

En Red Hat Enterprise Linux 7, la utilidad oscap-docker se puede utilizar para escanear contenedores Docker basados en tecnologías Atomic. En Red Hat Enterprise Linux 8, los comandos OpenSCAP relacionados con Docker y Atomic no están disponibles. Como resultado, oscap-docker o una utilidad equivalente para el escaneo de seguridad y cumplimiento de los contenedores no está disponible en RHEL 8 por el momento.

(BZ#1642373)

La biblioteca TLS de OpenSSL no detecta si el token PKCS#11 admite la creación de firmas RSA sin procesar o RSA-PSS

El protocolo TLS-1.3 requiere el soporte de la firma RSA-PSS. Si el token PKCS#11 no es compatible con las firmas RSA o RSA-PSS en bruto, las aplicaciones de servidor que utilizan la biblioteca TLS de OpenSSL no podrán trabajar con la clave RSA si la tiene el token PKCS#11. Como resultado, la comunicación TLS fallará.

Para solucionar este problema, configure el servidor o el cliente para utilizar la versión TLS-1.2 como la versión de protocolo TLS más alta disponible.

(BZ#1681178)

Apache httpd no se inicia si utiliza una clave privada RSA almacenada en un dispositivo PKCS#11 y un certificado RSA-PSS

El estándar PKCS#11 no distingue entre objetos de clave RSA y RSA-PSS y utiliza el tipo CKK_RSA para ambos. Sin embargo, OpenSSL utiliza tipos diferentes para las claves RSA y RSA-PSS. Como consecuencia, el motor openssl-pkcs11 no puede determinar qué tipo debe proporcionarse a OpenSSL para los objetos de clave PKCS#11 RSA. Actualmente, el motor establece el tipo de clave como claves RSA para todos los objetos PKCS#11 CKK_RSA. Cuando OpenSSL compara los tipos de una clave pública RSA-PSS obtenida del certificado con el tipo contenido en un objeto de clave privada RSA proporcionado por el motor, concluye que los tipos son diferentes. Por tanto, el certificado y la clave privada no coinciden. La comprobación realizada en la función X509_check_private_key() de OpenSSL devuelve un error en este escenario. El servidor web httpd llama a esta función en su proceso de inicio para comprobar si el certificado y la clave proporcionados coinciden. Dado que esta comprobación siempre falla para un certificado que contenga una clave pública RSA-PSS y una clave privada RSA almacenada en el módulo PKCS#11, httpd no puede iniciarse utilizando esta configuración. No hay ninguna solución disponible para este problema.

(BZ#1664802)

httpd no se inicia si utiliza una clave privada ECDSA sin la correspondiente clave pública almacenada en un dispositivo PKCS#11

A diferencia de las claves RSA, las claves privadas ECDSA no contienen necesariamente información sobre la clave pública. En este caso, no se puede obtener la clave pública de una clave privada ECDSA. Por esta razón, un dispositivo PKCS#11 almacena la información de la clave pública en un objeto separado, ya sea un objeto de clave pública o un objeto de certificado. OpenSSL espera que la estructura EVP_PKEY proporcionada por un motor para una clave privada contenga la información de la clave pública. Cuando se rellena la estructura EVP_PKEY que se proporciona a OpenSSL, el motor del paquete openssl-pkcs11 intenta obtener la información de la clave pública sólo de los objetos de clave pública que coinciden e ignora los objetos de certificado presentes.

Cuando OpenSSL solicita una clave privada ECDSA al motor, la estructura EVP_PKEY proporcionada no contiene la información de la clave pública si ésta no está presente en el dispositivo PKCS#11, incluso cuando se dispone de un certificado coincidente que contiene la clave pública. Como consecuencia, dado que el servidor web Apache httpd llama a la función X509_check_private_key(), que requiere la clave pública, en su proceso de arranque, httpd no se inicia en este escenario. Para solucionar el problema, almacene tanto la clave privada como la pública en el dispositivo PKCS#11 cuando utilice claves ECDSA. Como resultado, httpd se inicia correctamente cuando las claves ECDSA se almacenan en el dispositivo PKCS#11.

(BZ#1664807)

OpenSSH no maneja correctamente los URIs PKCS #11 para claves con etiquetas que no coinciden

La suite OpenSSH puede identificar los pares de claves mediante una etiqueta. La etiqueta puede ser diferente en las claves privadas y públicas almacenadas en una tarjeta inteligente. En consecuencia, especificar URIs PKCS #11 con la parte del objeto (etiqueta de la clave) puede impedir que OpenSSH encuentre los objetos apropiados en PKCS #11.

Para solucionar este problema, especifique los URIs PKCS #11 sin la parte del objeto. Como resultado, OpenSSH es capaz de usar claves en tarjetas inteligentes referenciadas usando URIs PKCS #11.

(BZ#1671262)

La salida de iptables-ebtables no es 100 ompatible con ebtables

En RHEL 8, el comando ebtables es proporcionado por el paquete iptables-ebtables, que contiene una reimplementación de la herramienta basada en nftables. Esta herramienta tiene una base de código diferente, y su salida se desvía en aspectos, que son insignificantes o elecciones de diseño deliberadas.

En consecuencia, al migrar sus scripts que analizan la salida de algunos ebtables, ajuste los scripts para que reflejen lo siguiente:

El formato de la dirección MAC se ha modificado para que tenga una longitud fija. Cuando es necesario, los valores de los bytes individuales contienen un cero inicial para mantener el formato de dos caracteres por octeto.
El formato de los prefijos IPv6 se ha modificado para ajustarse al RFC 4291. La parte final después del carácter de barra ya no contiene una máscara de red en el formato de dirección IPv6, sino una longitud de prefijo. Este cambio se aplica sólo a las máscaras válidas (contiguas a la izquierda), mientras que las demás se siguen imprimiendo con el formato antiguo.

(BZ#1674536)

curve25519-sha256 no está soportado por defecto en OpenSSH

El algoritmo de intercambio de claves SSH curve25519-sha256 falta en las configuraciones de las políticas criptográficas de todo el sistema para el cliente y el servidor OpenSSH, aunque sea compatible con el nivel de política por defecto. Como consecuencia, si un cliente o un servidor utiliza curve25519-sha256 y este algoritmo no es soportado por el host, la conexión podría fallar.

Para solucionar este problema, puede anular manualmente la configuración de las políticas criptográficas de todo el sistema modificando los archivos openssh.config y opensshserver.config en el directorio /etc/crypto-policies/back-ends/ para el cliente y el servidor OpenSSH. Tenga en cuenta que esta configuración se sobrescribe con cada cambio de las políticas criptográficas de todo el sistema. Consulte la página de manual update-crypto-policies(8) para obtener más información.

(BZ#1678661)

OpenSSL maneja incorrectamente los tokens PKCS #11 que no admiten firmas RSA o RSA-PSS en bruto

La biblioteca OpenSSL no detecta las capacidades relacionadas con las claves de los tokens PKCS #11. En consecuencia, el establecimiento de una conexión TLS falla cuando se crea una firma con un token que no admite firmas RSA o RSA-PSS en bruto.

Para solucionar el problema, añada las siguientes líneas después de la línea .include al final de la sección crypto_policy en el archivo /etc/pki/tls/openssl.cnf:

SignatureAlgorithms = RSA+SHA256:RSA+SHA512:RSA+SHA384:ECDSA+SHA256:ECDSA+SHA512:ECDSA+SHA384
MaxProtocol = TLSv1.2

Como resultado, se puede establecer una conexión TLS en el escenario descrito.

(BZ#1685470)

Las conexiones SSH con sistemas alojados en VMware no funcionan

La versión actual de la suite OpenSSH introduce un cambio de las banderas de calidad de servicio IP (IPQoS) por defecto en los paquetes SSH, que no es manejado correctamente por la plataforma de virtualización VMware. En consecuencia, no es posible establecer una conexión SSH con sistemas en VMware.

Para solucionar este problema, incluya IPQoS=throughput en el archivo ssh_config. Como resultado, las conexiones SSH con sistemas alojados en VMware funcionan correctamente.

Consulte el artículo de la solución de la base de conocimientos RHEL 8 que se ejecuta en VMWare Workstation y que no puede conectarse mediante SSH a otros hosts para obtener más información.

(BZ#1651763)

5.5.16. Gestión de suscripciones

No se imprime ningún mensaje para el ajuste y desajuste del nivel de servicio

Cuando el servicio candlepin no tiene una funcionalidad 'syspurpose', el gestor de suscripciones utiliza una ruta de código diferente para establecer el argumento de nivel de servicio. Esta ruta de código no imprime el resultado de la operación. Como consecuencia, no se muestra ningún mensaje cuando el gestor de suscripciones establece el nivel de servicio. Esto es especialmente problemático cuando el nivel de servicio establecido tiene un error tipográfico o no está realmente disponible.

(BZ#1661414)

los complementos syspurpose no tienen efecto en la salida de subscription-manager attach --auto.

En Red Hat Enterprise Linux 8, se han añadido cuatro atributos de la herramienta de línea de comandos syspurpose: role, usage, service_level_agreement y addons. Actualmente, sólo role, usage y service_level_agreement afectan la salida de la ejecución del comando subscription-manager attach --auto. Los usuarios que intenten establecer valores en el argumento addons no observarán ningún efecto en las suscripciones que se adjuntan automáticamente.

(BZ#1687900)

5.5.17. Virtualización

Las máquinas virtuales ESXi que fueron personalizadas usando cloud-init y clonadas arrancan muy lentamente

Actualmente, si el servicio cloud-init se utiliza para modificar una máquina virtual (VM) que se ejecuta en el hipervisor VMware ESXi para utilizar IP estática y la VM se clona a continuación, la nueva VM clonada en algunos casos tarda mucho tiempo en reiniciarse. Esto se debe a que cloud-init reescribe la IP estática de la VM a DHCP y luego busca una fuente de datos disponible.

Para solucionar este problema, puede desinstalar cloud-init después de que la máquina virtual se inicie por primera vez. Como resultado, los siguientes reinicios no se ralentizarán.

(BZ#1666961, BZ#1706482)

La habilitación de la virtualización anidada bloquea la migración en vivo

Actualmente, la función de virtualización anidada es incompatible con la migración en vivo. Por lo tanto, la activación de la virtualización anidada en un host RHEL 8 impide la migración de cualquier máquina virtual (VM) del host, así como guardar instantáneas del estado de la VM en el disco.

Tenga en cuenta que la virtualización anidada se proporciona actualmente como una Muestra de Tecnología en RHEL 8, y por lo tanto no está soportada. Además, la virtualización anidada está desactivada por defecto. Si desea activarla, utilice los parámetros del módulo kvm_intel.nested o kvm_amd.nested.

(BZ#1689216)

Falla el uso de cloud-init para aprovisionar máquinas virtuales en Microsoft Azure

Actualmente, no es posible utilizar la utilidad cloud-init para aprovisionar una máquina virtual (VM) RHEL 8 en la plataforma Microsoft Azure. Para solucionar este problema, utilice uno de los siguientes métodos:

Utilice el paquete WALinuxAgent en lugar de cloud-init para aprovisionar máquinas virtuales en Microsoft Azure.
Añada la siguiente configuración a la sección [main] del archivo /etc/NetworkManager/NetworkManager.conf:
```
[main]
dhcp=dhclient
```

(BZ#1641190)

Las máquinas virtuales RHEL 8 de segunda generación a veces no arrancan en hosts Hyper-V Server 2016

Cuando se utiliza RHEL 8 como sistema operativo invitado en una máquina virtual (VM) que se ejecuta en un host Microsoft Hyper-V Server 2016, la VM en algunos casos no arranca y vuelve al menú de arranque GRUB. Además, se registra el siguiente error en el registro de eventos de Hyper-V:

El sistema operativo invitado informó que falló con el siguiente código de error: 0x1E

Este error se produce debido a un error de firmware UEFI en el host de Hyper-V. Para solucionar este problema, utilice Hyper-V Server 2019 como host.

(BZ#1583445)

los comandosvirsh iface-\* no funcionan consistentemente

Actualmente, los comandos virsh iface-*, como virsh iface-start y virsh iface-destroy, fallan frecuentemente debido a las dependencias de configuración. Por lo tanto, se recomienda no utilizar los comandos virsh iface-\* para configurar y gestionar las conexiones de red del host. En su lugar, utilice el programa NetworkManager y sus aplicaciones de gestión relacionadas.

(BZ#1664592)

Las extensiones de máquinas virtuales Linux para Azure a veces no funcionan

RHEL 8 no incluye el paquete python2 por defecto. Como consecuencia, la ejecución de extensiones de máquinas virtuales Linux para Azure, también conocidas como azure-linux-extensions, en una VM RHEL 8 en algunos casos falla.

Para aumentar la probabilidad de que azure-linux-extensions funcione como se espera, instale python2 en la máquina virtual RHEL 8 manualmente:

# yum install python2

(BZ#1561132)

5.5.18. Soporte

redhat-support-tool no recoge sosreport automáticamente de opencase

El comando redhat-support-tool no puede crear un archivo sosreport. Para solucionar este problema, ejecute el comando sosreport por separado y, a continuación, introduzca el comando redhat-support-tool addattachment -c para cargar el archivo o utilice la interfaz web en el Portal del cliente. Como resultado, se creará un caso y se cargará sosreport.

Tenga en cuenta que los comandos findkerneldebugs, btextract, analyze diagnose no funcionan como se esperaba y serán corregidos en futuras versiones.

(BZ#1688274)

Capítulo 6. Cambios notables en los contenedores

Está disponible un conjunto de imágenes de contenedores para Red Hat Enterprise Linux (RHEL) 8.0. Los cambios notables incluyen:

Docker no está incluido en RHEL 8.0. Para trabajar con contenedores, utilice las herramientas podman, buildah, skopeo y runc.
Para obtener información sobre estas herramientas y sobre el uso de contenedores en RHEL 8, consulte Creación, ejecución y gestión de contenedores.
La herramienta podman se ha lanzado como una función totalmente compatible.
La herramienta podman gestiona pods, imágenes de contenedores y contenedores en un solo nodo. Se basa en la biblioteca libpod, que permite gestionar contenedores y grupos de contenedores, llamados pods.
Para aprender a utilizar podman, consulte Construir, ejecutar y gestionar contenedores.
En RHEL 8 GA, las imágenes base universales de Red Hat (UBI) están disponibles por primera vez. Las UBI sustituyen a algunas de las imágenes que Red Hat proporcionaba anteriormente, como las imágenes base RHEL estándar y mínima.
A diferencia de las antiguas imágenes de Red Hat, las UBI son de libre redistribución. Esto significa que pueden utilizarse en cualquier entorno y compartirse en cualquier lugar. Puede utilizarlas incluso si no es cliente de Red Hat.
Para la documentación de UBI, consulte Construir, ejecutar y gestionar contenedores.
En RHEL 8 GA, hay disponibles imágenes de contenedor adicionales que proporcionan componentes de AppStream, para los cuales las imágenes de contenedor se distribuyen con Red Hat Software Collections en RHEL 7. Todas estas imágenes de RHEL 8 se basan en la imagen base ubi8.
Las imágenes contenedoras ARM para la arquitectura ARM de 64 bits son totalmente compatibles con RHEL 8.
El contenedor rhel-tools se ha eliminado en RHEL 8. Las herramientas sos y redhat-support-tool se proporcionan en el contenedor support-tools. Los administradores del sistema también pueden utilizar esta imagen como base para construir la imagen del contenedor de herramientas del sistema.
La compatibilidad con los contenedores sin raíz está disponible como vista previa de la tecnología en RHEL 8.
Los contenedores sin raíz son contenedores creados y gestionados por usuarios normales del sistema sin permisos administrativos.

Capítulo 7. Internacionalización

7.1. Idiomas internacionales de Red Hat Enterprise Linux 8

Red Hat Enterprise Linux 8 admite la instalación de varios idiomas y el cambio de idiomas en función de sus necesidades.

Lenguas de Asia oriental: japonés, coreano, chino simplificado y chino tradicional.
Idiomas europeos: inglés, alemán, español, francés, italiano, portugués y ruso.

La siguiente tabla enumera los tipos de letra y los métodos de entrada proporcionados para varios idiomas principales.

Idioma	Fuente por defecto (paquete de fuentes)	Métodos de entrada
Inglés	dejavu-sans-fonts
Francés	dejavu-sans-fonts
Alemán	dejavu-sans-fonts
Italiano	dejavu-sans-fonts
Ruso	dejavu-sans-fonts
Español	dejavu-sans-fonts
Portugués	dejavu-sans-fonts
Chino simplificado	google-noto-sans-cjk-ttc-fonts, google-noto-serif-cjk-ttc-fonts	ibus-libpinyin, libpinyin
Chino tradicional	google-noto-sans-cjk-ttc-fonts, google-noto-serif-cjk-ttc-fonts	ibus-libzhuyin, libzhuyin
Japonés	google-noto-sans-cjk-ttc-fonts, google-noto-serif-cjk-ttc-fonts	ibus-kkc, libkkc
Coreano	google-noto-sans-cjk-ttc-fonts, google-noto-serif-cjk-ttc-fonts	ibus-hangul, libhangu

7.2. Cambios notables en la internacionalización en RHEL 8

RHEL 8 introduce los siguientes cambios en la internacionalización en comparación con RHEL 7:

Se ha añadido la compatibilidad con el estándar informático Unicode 11.
La internacionalización se distribuye en varios paquetes, lo que permite realizar instalaciones de menor tamaño.
Para más información, consulte la localización deglibc para RHEL se distribuye en varios paquetes.
Las actualizaciones de los paquetes glibc para varias localizaciones están ahora sincronizadas con el repositorio de datos de localización común (CLDR).

Apéndice A. Lista de entradas por componente

Componente	Entradas
`389-ds-base`	BZ#1334254, BZ#1358706
`NetworkManager`	BZ#1555013, BZ#1555012, BZ#1557035, BZ#1335409, BZ#1571655
`PackageKit`	BZ#1559414
`WALinuxAgent`	BZ#1561132
`anaconda`	BZ#1499442, BZ#1500792, BZ#1547908, BZ#1612060, BZ#1595415, BZ#1610806, BZ#1533904, BZ#1672405, JIRA:RHELPLAN-1943, BZ#1677411, BZ#1502323, BZ#1696609
`auditoría`	BZ#1616428
`authselect`	BZ#1657295
`bcc`	BZ#1548302
`bind`	BZ#1588592
`bota de pluma`	BZ#1649582
`impulsar`	BZ#1494495, BZ#1616244
`cloud-init`	BZ#1615599, BZ#1641190
`cmake`	BZ#1590139
`cabina de mando`	BZ#1619993, BZ#1631905
`criu`	BZ#1689746
`cripto-políticas`	BZ#1591620, BZ#1645606, BZ#1678661, BZ#1660839
`cryptsetup`	BZ#1564540
`device-mapper-multipath`	BZ#1643550, BZ#1673167
`distribución`	BZ#1516728, BZ#1516741, BZ#1566048
`dnf`	BZ#1622580, BZ#1647760, BZ#1581191
`driverctl`	BZ#1648411
`edk2`	BZ#1536627
`esc`	BZ#1538645
`firewalld`	BZ#1509026, BZ#1648497
`gcc`	BZ#1169184, BZ#1607227, BZ#1535774, BZ#1504980, BZ#1571124, BZ#1246444, JIRA:RHELPLAN-7437, BZ#1652016
`gdb`	BZ#1491128
`gdm`	BZ#1589678, BZ#1641763, BZ#1678627
`glib-networking`	BZ#1640534
`glibc`	BZ#1512004, BZ#1376834, BZ#1512010, BZ#1304448, BZ#1512009, BZ#1512006, BZ#1514839, BZ#1533608
`gnome-control-center`	BZ#1697326
`go-toolset-1.10-golang`	BZ#1633351
`grub2`	BZ#1583445
`httpd`	BZ#1633224, BZ#1632754
`ipa-idoverride-memberof`	BZ#1651577
`ipa`	BZ#1664718, BZ#1664719, BZ#1665051
`iproute`	BZ#1640991, BZ#1589317
`iptables`	BZ#1644030, BZ#1564596, BZ#1646159, BZ#1658734, BZ#1649790, BZ#1674536
`iscsi-initiator-utils`	BZ#1626629, BZ#1582099
`kernel-rt`	BZ#1592977
`núcleo`	BZ#1598448, BZ#1559607, BZ#1643522, BZ#1485546, BZ#1562998, BZ#1494651, BZ#1485532, BZ#1494028, BZ#1563617, BZ#1485525, BZ#1261167, BZ#1562987, BZ#1273139, BZ#1401552, BZ#1638465, BZ#1598776, BZ#1503672, BZ#1633143, BZ#1596240, BZ#1534870, BZ#1153521, BZ#1515987, BZ#1642795, BZ#1570255, BZ#1645744, BZ#1440031, BZ#1649647, BZ#1422268, BZ#1494705, BZ#1650149, BZ#1655413, BZ#1651806, BZ#1620330, BZ#1665295, BZ#1505999, BZ#1645433, BZ#1663281, BZ#1695142, BZ#1627455, BZ#1581898, BZ#1597671, BZ#1550498, BZ#1658391, BZ#1623590, BZ#1614144, BZ#1519039, BZ#1524683, BZ#1694705
`kexec-tools`	BZ#1520209, BZ#1662911
`kmod-kvdo`	BZ#1534087, BZ#1639512, BZ#1696492
`ksh`	BZ#1503922
`libdnf`	BZ#1642458, BZ#1679509
`libreswan`	BZ#1566574, BZ#1648776, BZ#1657854
`libssh`	BZ#1485241
`libvirt`	BZ#1528684
`lksctp-tools`	BZ#1568622
`ltrace`	BZ#1618748, BZ#1584322
`lvm2`	BZ#1676598, BZ#1643543, BZ#1643545, BZ#1643547, BZ#1643549, BZ#1643562, BZ#1643576
`mariadb`	BZ#1637034
`mdadm`	BZ#1654482
`murmurar`	BZ#1668883
`net-snmp`	BZ#1584510
`nfs-utils`	BZ#1592011, BZ#1639432
`nftables`	BZ#1593711
`nginx`	BZ#1545526
`módulo nodejs-10`	BZ#1622118
`nss`	BZ#1489094, BZ#1645153
`nuxwdog`	BZ#1652269
`openldap`	BZ#1570056
`opensc`	BZ#1595638, BZ#1595626
`openscap`	BZ#1614273, BZ#1618484, BZ#1646197, BZ#1636431, BZ#1618489, BZ#1642373, BZ#1618464
`openssh`	BZ#1622511, BZ#1228088, BZ#1645038, BZ#1671262, BZ#1651763
`openssl-pkcs11`	BZ#1664802, BZ#1664807
`openssl`	BZ#1685470
`oscap-anaconda-addon`	BZ#1665082
`marcapasos`	BZ#1543494
`pcs`	BZ#1578891, BZ#1591308, BZ#1615420, BZ#1158816, BZ#1542288, BZ#1549535, BZ#1620190, BZ#1566430, BZ#1595829, BZ#1436217, BZ#1578955, BZ#1596050, BZ#1554310, BZ#1638852, BZ#1640477, BZ#1619620
`perl-IO-Socket-SSL`	BZ#1632600
`perl`	BZ#1511131
`pki-core`	BZ#1565073, BZ#1623444, BZ#1566360, BZ#1394069, BZ#1669257, BZ#1656856, BZ#1673296
`módulo postgresql-9.6`	BZ#1660041
`pykickstart`	BZ#1637872, BZ#1612061
`python-rtslib`	BZ#1666377
`qemu-kvm`	BZ#1559240, BZ#1508139, BZ#1497911, BZ#1578855, BZ#1651994, BZ#1621817, BZ#1508137, BZ#1592337, BZ#1570029, BZ#1689216, BZ#1585651, BZ#1519004
`redhat-release`	BZ#1636338
`redhat-support-tool`	BZ#1688274
`rsyslog`	BZ#1613880, BZ#1542497, BZ#1614179, BZ#1619645, BZ#1679512, JIRA:RHELPLAN-10431
`módulo scala-2.10`	BZ#1641744
`scap-guía de seguridad`	BZ#1618505, BZ#1618528, BZ#1618518
`scap-workbench`	BZ#1640715
`selinux-policy`	BZ#1664345, BZ#1594111, BZ#1592244, BZ#1549772, BZ#1483904, BZ#1626446
`configuración`	BZ#1591969, BZ#1663556
	BZ#1559836
`calamar`	BZ#1656871
`sssd`	BZ#1448094, BZ#1382750, BZ#1446101, BZ#1447945, BZ#1620123, BZ#1652562, BZ#1659457, BZ#1669407, BZ#1657665
`gestor de suscripciones`	BZ#1654531, BZ#1661414
`subversión`	BZ#1571415
`módulo swig-3.0`	BZ#1660051
`systemd`	BZ#1658691
`tomcatjss`	BZ#1424966, BZ#1636564
`afinado`	BZ#1565598
`valgrind`	BZ#1500481, BZ#1538009
`barniz`	BZ#1633338
`vdo`	BZ#1669537
`virt-manager`	BZ#1599777, BZ#1643609
`wpa_supplicant`	BZ#1582538, BZ#1537143
`servidor xorg-x11`	BZ#1687489, BZ#1698565
otros	JIRA:RHELPLAN-10347, BZ#1646563, JIRA:RHELPLAN-2306, BZ#1640697, BZ#1623712, BZ#1649404, BZ#1581198, BZ#1581990, BZ#1649497, BZ#1695584, BZ#1654280, BZ#1643294, BZ#1647612, BZ#1641015, BZ#1641032, BZ#1641004, BZ#1641034, BZ#1647110, BZ#1641007, BZ#1641029, BZ#1641022, JIRA:RHELPLAN-1212, BZ#1649493, BZ#1559616, BZ#1699825, BZ#1646541, BZ#1647725, BZ#1686057, BZ#1582530, BZ#1581496, BZ#1650618, BZ#1650675, BZ#1650701, JIRA:RHELPLAN-10439, JIRA:RHELPLAN-10440, JIRA:RHELPLAN-10442, JIRA:RHELPLAN-10443, JIRA:RHELPLAN-10438, JIRA:RHELPLAN-2878, JIRA:RHELPLAN-10355, JIRA:RHELPLAN-3010, JIRA:RHELPLAN-10352, JIRA:RHELPLAN-10353, JIRA:RHELPLAN-1473, JIRA:RHELPLAN-10445, JIRA:RHELPLAN-3001, JIRA:RHELPLAN-6746, JIRA:RHELPLAN-10354, JIRA:RHELPLAN-2896, JIRA:RHELPLAN-10304, JIRA:RHELPLAN-10628, JIRA:RHELPLAN-10441, JIRA:RHELPLAN-10444, JIRA:RHELPLAN-1842, JIRA:RHELPLAN-10596, JIRA:RHELPLAN-7291, JIRA:RHELPLAN-12764, BZ#1680177, JIRA:RHELPLAN-14607, JIRA:RHELPLAN-1820, BZ#1684947, BZ#1683712, BZ#1659609, BZ#1504934, BZ#1642765, BZ#1641014, BZ#1692746, BZ#1687900, BZ#1690207, BZ#1693775, BZ#1580387, BZ#1583620, BZ#1580430, BZ#1648843, BZ#1647908, BZ#1649891, BZ#1695698, BZ#1697896, BZ#1698613, BZ#1699535, BZ#1701968, BZ#1704867

Agradecimientos

Gracias a todos los que han aportado sus comentarios como parte del RHEL 8 Readiness Challenge. Los 3 primeros ganadores son:

Sterling Alexander
John Pittman
Jake Hunsaker

Apéndice B. Historial de revisiones

0.0-6

Thu Jan 28 2021, Lucie Maňásková(lmanasko@redhat.com)

Se ha actualizado el capítulo de avances tecnológicos.

0.0-5

Thu Dec 10 2020, Lenka Špačková(lspackova@redhat.com)

Se ha añadido información sobre el manejo de GPOs de AD en SSSD a Nuevas características (Gestión de identidades).

0.0-4

Tue Apr 28 2020, Lenka Špačková(lspackova@redhat.com)

Se ha actualizado la información sobre las actualizaciones in situ en la vista general.

0.0-3

Thu Mar 12 2020, Lenka Špačková(lspackova@redhat.com)

Se ha añadido el rol de sistema postfix RHEL que faltaba en las previsiones tecnológicas.

0.0-2

Wed Feb 12 2020, Jaroslav Klech(jklech@redhat.com)

Proporcionó una versión completa del núcleo a los capítulos de Arquitecturas y Nuevas Características.

0.0-1

Mar Jul 30 2019, Lucie Maňásková(lmanasko@redhat.com)

Publicación de las notas de la versión de Red Hat Enterprise Linux 8.0.1.

0.0-0

Mar, 07 de mayo de 2019, Ioanna Gkioka(igkioka@redhat.com)

Publicación de las notas de la versión de Red Hat Enterprise Linux 8.0.

Language and Page Formatting Options

Red Hat Training

8.0 Notas de la versión

Proporcionar comentarios sobre la documentación de Red Hat

Capítulo 1. Resumen

Distribución

Gestión de software

Shell y herramientas de línea de comandos

Lenguajes de programación dinámicos, servidores web y de bases de datos

Escritorio

Creación del instalador y de la imagen

Núcleo

Sistemas de archivos y almacenamiento

Seguridad

Red

Virtualización

Compiladores y herramientas de desarrollo

Alta disponibilidad y clusters

Recursos adicionales

Portal de clientes de Red Hat Labs

Capítulo 2. Arquitecturas

Capítulo 3. Distribución de contenidos en RHEL 8

3.1. Instalación

3.2. Repositorios

3.3. Flujos de aplicaciones

Capítulo 4. Lanzamiento de RHEL 8.0.1

4.1. Nuevas características

4.2. Problemas conocidos

Capítulo 5. Lanzamiento de RHEL 8.0.0

5.1. Nuevas características

5.1.1. La consola web

5.1.2. Creación del instalador y de la imagen

5.1.3. Núcleo

5.1.4. Gestión del software

5.1.5. Servicios de infraestructura

5.1.6. Shell y herramientas de línea de comandos

5.1.7. Lenguajes de programación dinámicos, servidores web y de bases de datos

5.1.8. Escritorio

5.1.9. Habilitación de hardware

5.1.10. Gestión de la identidad

5.1.11. Compiladores y herramientas de desarrollo

5.1.12. Sistemas de archivos y almacenamiento

5.1.13. Alta disponibilidad y clusters

5.1.14. Red

5.1.15. Seguridad

5.1.16. Virtualización

5.1.17. Soporte

5.2. Corrección de errores

5.2.1. Escritorio

5.2.2. Infraestructuras gráficas

5.2.3. Gestión de la identidad

5.2.4. Compiladores y herramientas de desarrollo

5.2.5. Sistemas de archivos y almacenamiento

5.2.6. Alta disponibilidad y clusters

5.2.7. Red

5.2.8. Seguridad

5.2.9. Gestión de suscripciones

5.2.10. Virtualización

5.3. Previsiones tecnológicas

5.3.1. Núcleo

5.3.2. Infraestructuras gráficas

5.3.3. Habilitación de hardware

5.3.4. Gestión de la identidad

5.3.5. Sistemas de archivos y almacenamiento

5.3.6. Alta disponibilidad y clusters

5.3.7. Red

5.3.8. Roles del sistema Red Hat Enterprise Linux

5.3.9. Virtualización

5.4. Funcionalidad obsoleta

5.4.1. Creación del instalador y de la imagen

5.4.2. Sistemas de archivos y almacenamiento

5.4.3. Red

5.4.4. Seguridad

5.4.5. Virtualización

5.4.6. Paquetes obsoletos

5.5. Problemas conocidos

5.5.1. La consola web

5.5.2. Creación del instalador y de la imagen

5.5.3. Núcleo

5.5.4. Gestión del software