8.0 notas de publicación (traducción automática)

Red Hat Enterprise Linux 8.0

Notas de la versión para Red Hat Enterprise Linux 8.0 (traducción automática)

Red Hat Customer Content Services

Resumen

Las notas de la versión proporcionan una cobertura de alto nivel de las mejoras y adiciones que se han implementado en Red Hat Enterprise Linux 8.0 y documentan problemas conocidos en esta versión, así como notables correcciones de errores, previsualizaciones de tecnología, funcionalidades obsoletas, funcionalidades eliminadas y otros detalles.

Proporcionar comentarios sobre la documentación de Red Hat (traducción automática)

Agradecemos su aportación a nuestra documentación. Por favor, háganos saber cómo podemos mejorarlo. Para hacerlo:

  • Para comentarios simples sobre pasajes específicos, asegúrese de que está viendo la documentación en formato HTML de varias páginas. Resalte la parte del texto que desea comentar. A continuación, haga clic en la ventana emergente Agregar comentarios que aparece debajo del texto resaltado y siga las instrucciones que se muestran.
  • Para enviar comentarios más complejos, cree un ticket de Bugzilla:

    1. Vaya al sitio Bugzillaweb.
    2. Como Componente, utilice Documentación.
    3. Rellene el campo Descripción con su sugerencia de mejora. Incluya un enlace a la(s) parte(s) relevante(s) de la documentación.
    4. Haga clic en Enviar error.

Capítulo 1. Panorama general (traducción automática)

Basado en Fedora 28 y en el kernel 4.18, Red Hat Enterprise Linux 8.0 proporciona a los usuarios una base estable, segura y consistente a través de implementaciones híbridas en nube con las herramientas necesarias para soportar cargas de trabajo tradicionales y emergentes. Los aspectos más destacados de la versión incluyen:

Distribución

  • El contenido está disponible a través de los repositorios BaseOS y Application Stream (AppStream).
  • El repositorio AppStream soporta una nueva extensión de los módulos tradicionales de formato RPM. Esto permite que múltiples versiones principales de un componente estén disponibles para su instalación.

Ver Capítulo 3, Distribución de contenidos en RHEL 8 (traducción automática)para más información.

Gestión de software

  • El gestor de paquetes YUM se basa ahora en la tecnología DNF y proporciona soporte para contenido modular, mayor rendimiento y una API estable y bien diseñada para la integración con herramientas.

Ver Sección 4.4, “Gestión de software (traducción automática)”para más detalles.

Servidores web, bases de datos, lenguajes dinámicos

  • Python 3.6 es la implementación predeterminada de Python en RHEL 8; se proporciona soporte limitado para Python 2.7. No hay ninguna versión de Python instalada por defecto.
  • RHEL 8 ofrece los siguientes servidores de base de datos: MariaDB 10.3, MySQL 8.0, PostgreSQL 10, PostgreSQL 9.6 y Redis 4.0.

Ver Sección 4.7, “Lenguajes de programación dinámicos, servidores web y de bases de datos (traducción automática)”para más información.

Escritorio

  • El Shell de GNOME se ha vuelto a basar en la versión 3.28.
  • La sesión de GNOME y el Gestor de visualización de GNOME utilizan Wayland como su servidor de visualización predeterminado. El servidor X.Org, que es el servidor de visualización predeterminado de RHEL 7, también está disponible.

Ver Sección 4.8, “Escritorio (traducción automática)”para más información.

Instalador y creación de imágenes

  • El instalador de Anaconda puede utilizar el cifrado de disco LUKS2 e instalar el sistema en dispositivos NVDIMM.
  • La nueva herramienta Composer permite a los usuarios crear imágenes de sistema personalizadas en una variedad de formatos, incluyendo imágenes preparadas para su despliegue en nubes de varios proveedores. Composer está disponible como una vista previa de la tecnología.
  • Instalación desde un DVD utilizando Hardware Management Console (HMC) y Support Element (SE) en IBM Z.

Ver Sección 4.2, “Instalador y creación de imágenes (traducción automática)”para más detalles.

Sistemas de archivos y almacenamiento

  • Se ha introducido el gestor de almacenamiento local de Stratis. Stratis le permite realizar fácilmente tareas de almacenamiento complejas y gestionar su pila de almacenamiento mediante una interfaz unificada.
  • El formato LUKS versión 2 (LUKS2) sustituye al formato LUKS heredado (LUKS1). El dm-cryptsubsistema y la cryptsetupherramienta utilizan ahora LUKS2 como formato predeterminado para los volúmenes cifrados.

Ver Sección 4.11, “Sistemas de archivos y almacenamiento (traducción automática)”para más información.

Seguridad

  • Por defecto se aplican políticas criptográficas a nivel de todo el sistema, que configuran los subsistemas criptográficos principales, cubriendo los protocolos TLS, IPSec, SSH, DNSSec y Kerberos. Con el nuevo update-crypto-policiescomando, el administrador puede cambiar fácilmente entre los modos: predeterminado, heredado, futuro y fips.
  • El soporte para tarjetas inteligentes y módulos de seguridad de hardware (HSM) con PKCS #11 ahora es consistente en todo el sistema.

Ver Sección 4.14, “Seguridad (traducción automática)”para más información.

Trabajo en red

  • El nftablesmarco reemplaza iptablesen el papel de la instalación de filtrado de paquetes de red por defecto.
  • El firewallddemonio ahora usa nftablescomo su backend por defecto.
  • Soporte para controladores de red virtual IPVLAN que permiten la conectividad de red para múltiples contenedores.

Consulte para Sección 4.13, “Trabajo en red (traducción automática)”obtener más detalles.

Virtualización

  • Un tipo de máquina más moderno basado en PCI Express (Q35) es ahora compatible y configurado automáticamente en máquinas virtuales creadas en RHEL 8. Esto proporciona una variedad de mejoras en las características y la compatibilidad de los dispositivos virtuales.
  • Ahora es posible crear y gestionar máquinas virtuales utilizando la consola web RHEL 8, también conocida como Cockpit.
  • El emulador de QEMU introduce la característica de sandboxing, que proporciona limitaciones configurables a lo que los sistemas llamados QEMU pueden realizar, y por lo tanto hace que las máquinas virtuales sean más seguras.

Ver Sección 4.15, “Virtualización (traducción automática)”para más información.

Compiladores y herramientas de desarrollo

  • El compilador GCC basado en la versión 8.2 ofrece soporte para versiones estándar de lenguaje C++ más recientes, mejores optimizaciones, nuevas técnicas de endurecimiento de código, mejores advertencias y nuevas características de hardware.
  • Varias herramientas para la generación, manipulación y depuración de código pueden ahora experimentar con el formato de información de depuración DWARF5.
  • El soporte de kernel para el rastreo de eBPF está disponible para algunas herramientas, tales como BCC, PCP, y SystemTap.
  • Las glibcbibliotecas basadas en la versión 2.28 añaden soporte para Unicode 11, llamadas a sistemas Linux más recientes, mejoras clave en la resolución de stub de DNS, endurecimiento de seguridad adicional y rendimiento mejorado.

Consulte para Sección 4.10, “Compiladores y herramientas de desarrollo (traducción automática)”obtener más detalles.

Alta disponibilidad y clusters

  • El gestor de recursos de clúster de marcapasos ha sido actualizado a la versión 2.0.0, que proporciona una serie de correcciones y mejoras.
  • En RHEL 8, el sistema de configuración pcs es totalmente compatible con Corosync 3, knet, y los nombres de nodos.

Ver Sección 4.12, “Alta disponibilidad y clusters (traducción automática)”para más información.

Recursos adicionales

Capítulo 2. Arquitecturas (traducción automática)

Red Hat Enterprise Linux 8.0 se distribuye con la versión 4.18 del núcleo, que proporciona soporte para las siguientes arquitecturas:

  • Arquitecturas AMD e Intel de 64 bits
  • La arquitectura ARM de 64 bits
  • IBM Power Systems, Little Endian
  • IBM Z

Capítulo 3. Distribución de contenidos en RHEL 8 (traducción automática)

3.1. Instalación (traducción automática)

Red Hat Enterprise Linux 8 se instala utilizando imágenes ISO. Hay dos tipos de imágenes ISO disponibles para las arquitecturas AMD64, Intel 64-bit, ARM 64-bit, IBM Power Systems, e IBM Z:

  • DVD binario ISO: Una imagen de instalación completa que contiene los repositorios BaseOS y AppStream y le permite completar la instalación sin repositorios adicionales.
  • Arrancar ISO: Una imagen ISO de arranque mínima que se utiliza para arrancar el programa de instalación. Esta opción requiere acceso a los repositorios BaseOS y AppStream para instalar paquetes de software. Los repositorios son parte de la imagen ISO del DVD Binario.

Consulte el Performing a standard RHEL installationdocumento para obtener instrucciones sobre cómo descargar imágenes ISO, crear medios de instalación y completar la instalación de RHEL. Para instalaciones Kickstart automatizadas y otros temas avanzados, consulte el Performing an advanced RHEL installationdocumento.

3.2. Repositorios (traducción automática)

Red Hat Enterprise Linux 8 se distribuye a través de dos repositorios:

  • BaseOS
  • AppStream

Ambos repositorios son necesarios para una instalación básica de RHEL y están disponibles con todas las suscripciones a RHEL.

El contenido en el repositorio BaseOS tiene por objeto proporcionar el conjunto central de la funcionalidad subyacente del sistema operativo que proporciona la base para todas las instalaciones. Este contenido está disponible en formato RPM y está sujeto a condiciones de soporte similares a las de versiones anteriores de RHEL. Para obtener una lista de los paquetes distribuidos a través de BaseOS, consulte la Package manifestsección

El contenido en el repositorio del flujo de aplicaciones incluye aplicaciones de espacio de usuario adicionales, lenguajes de ejecución y bases de datos en apoyo de las diversas cargas de trabajo y casos de uso. El contenido de AppStream está disponible en uno de dos formatos: el conocido formato RPM y una extensión del formato RPM llamada módulos. Para obtener una lista de los paquetes disponibles en AppStream, consulte la Package manifestsección

Además, el repositorio CodeReady Linux Builder está disponible con todas las suscripciones a RHEL. Proporciona paquetes adicionales para uso de los desarrolladores. Los paquetes incluidos en el repositorio CodeReady Linux Builder no son compatibles con el uso en producción.

Para obtener más información sobre los repositorios de RHEL 8, consulte la sección Package manifest.

3.3. Corrientes de aplicaciones (traducción automática)

Red Hat Enterprise Linux 8.0 introduce el concepto de flujos de aplicaciones. Ahora se suministran y actualizan múltiples versiones de componentes de espacio de usuario con mayor frecuencia que los paquetes del sistema operativo central. Esto proporciona una mayor flexibilidad para personalizar Red Hat Enterprise Linux sin afectar la estabilidad subyacente de la plataforma o implementaciones específicas.

Los componentes disponibles como flujos de aplicación se pueden empaquetar como módulos o paquetes RPM y se entregan a través del repositorio AppStream en RHEL 8. Cada componente del flujo de aplicaciones tiene un ciclo de vida determinado. Para más detalles, véaseRed Hat Enterprise Linux Life Cycle

Los módulos son colecciones de paquetes que representan una unidad lógica: una aplicación, una pila de idiomas, una base de datos o un conjunto de herramientas. Estos paquetes se construyen, se prueban y se liberan juntos.

Los flujos de módulos representan versiones de los componentes del flujo de aplicaciones. Por ejemplo, dos streams (versiones) del servidor de base de datos PostgreSQL están disponibles en el módulo postgresql: PostgreSQL 10 (el flujo por defecto) y PostgreSQL 9.6. Sólo se puede instalar un flujo de módulos en el sistema. Se pueden utilizar diferentes versiones en contenedores separados.

Los comandos detallados del módulo se describen en el Using Application Streamdocumento. Para obtener una lista de los módulos disponibles en AppStream, consulte la Package manifestsección

Capítulo 4. Nuevas características (traducción automática)

Esta parte describe las nuevas características y las principales mejoras introducidas en Red Hat Enterprise Linux 8.

4.1. La consola web (traducción automática)

Nota

La página de Suscripciones de la consola web está ahora disponible en el nuevo subscription-manager-cockpitpaquete.

Se ha añadido una interfaz de cortafuegos a la consola web

La página Networking de la consola web RHEL 8 incluye ahora una sección Firewall. En esta sección, los usuarios pueden habilitar o deshabilitar el firewall, así como agregar, quitar y modificar las reglas del firewall.

(BZ#1647110)

La consola web ya está disponible por defecto

Los paquetes para la consola web RHEL 8, también conocida como Cockpit, ahora forman parte de los repositorios por defecto de Red Hat Enterprise Linux y, por lo tanto, pueden instalarse inmediatamente en un sistema RHEL 8 registrado.

Además, en una instalación no mínima de RHEL 8, la consola web se instala automáticamente y los puertos de cortafuegos requeridos por la consola se abren automáticamente. También se ha añadido un mensaje del sistema antes de iniciar sesión que proporciona información sobre cómo habilitar o acceder a la consola web.

(JIRA:RHELPLAN-10355)

Mejor integración de IdM para la consola web

Si su sistema está inscrito en un dominio de gestión de identidades (IdM), la consola web RHEL 8 utiliza de forma predeterminada los recursos IdM del dominio gestionados de forma centralizada. Esto incluye los siguientes beneficios:

  • Los administradores del dominio IdM pueden utilizar la consola web para gestionar el equipo local.
  • El servidor web de la consola cambia automáticamente a un certificado emitido por la autoridad de certificación IdM (CA) y aceptado por los navegadores.
  • Los usuarios con un ticket Kerberos en el dominio IdM no necesitan proporcionar credenciales de inicio de sesión para acceder a la consola web.
  • Los hosts SSH conocidos por el dominio IdM son accesibles a la consola web sin necesidad de añadir manualmente una conexión SSH.

Tenga en cuenta que para que la integración IdM con la consola web funcione correctamente, el usuario debe ejecutar primero la ipa-adviseutilidad con la enable-admins-sudoopción en el sistema maestro IdM.

(JIRA:RHELPLAN-3010)

La consola web es ahora compatible con los navegadores móviles

Con esta actualización, los menús y páginas de la consola web se pueden navegar en variantes de navegadores móviles. Esto permite gestionar los sistemas utilizando la consola web RHEL 8 desde un dispositivo móvil.

(JIRA:RHELPLAN-10352)

La página principal de la consola web ahora muestra las actualizaciones y suscripciones que faltan

Si un sistema gestionado por la consola web RHEL 8 tiene paquetes obsoletos o una suscripción caducada, aparecerá una advertencia en la página principal de la consola web del sistema.

(JIRA:RHELPLAN-10353)

La consola web ahora soporta la inscripción a PBD

Con esta actualización, puede utilizar la interfaz de la consola web RHEL 8 para aplicar reglas de desencriptación basada en políticas (PBD) a los discos de los sistemas gestionados. Esto utiliza el cliente de descifrado de Clevis para facilitar una variedad de funciones de gestión de seguridad en la consola web, como el desbloqueo automático de las particiones de disco cifradas de LUKS.

(JIRA:RHELPLAN-10354)

Las Máquinas Virtuales ahora pueden ser administradas usando la consola web

La Virtual Machinespágina ahora puede añadirse a la interfaz de la consola web de RHEL 8, que permite al usuario crear y gestionar máquinas virtuales basadas en bibliotecas.

(JIRA:RHELPLAN-2896)

4.2. Instalador y creación de imágenes (traducción automática)

La instalación de RHEL desde un DVD utilizando SE y HMC es ahora totalmente compatible con IBM Z

La instalación de Red Hat Enterprise Linux 8 en hardware IBM Z desde un DVD utilizando el Elemento de Soporte (SE) y la Consola de Gestión de Hardware (HMC) es ahora totalmente compatible. Esta adición simplifica el proceso de instalación en IBM Z con SE y HMC.

Al arrancar desde un DVD binario, el instalador solicita al usuario que introduzca parámetros adicionales del kernel. Para configurar el DVD como fuente de instalación, añada inst.repo=hmclos parámetros del núcleo. El instalador habilita el acceso a los archivos SE y HMC, obtiene las imágenes de la etapa 2 del DVD y proporciona acceso a los paquetes del DVD para la selección del software.

La nueva característica elimina el requisito de una configuración de red externa y amplía las opciones de instalación.

(BZ#1500792)

El instalador ahora soporta el formato de encriptación de discos LUKS2

El instalador de Red Hat Enterprise Linux 8 ahora usa el formato LUKS2 por defecto, pero puede seleccionar una versión de LUKS desde la ventana de Particionado Personalizado de Anaconda o usando las nuevas opciones en los autopartcomandos logvol, part, , y RAIDcomandos de Kickstart.

LUKS2 proporciona muchas mejoras y características, por ejemplo, amplía las capacidades del formato en disco y proporciona formas flexibles de almacenar metadatos.

(BZ#1547908)

Anaconda apoya el propósito del sistema en RHEL 8

Anteriormente, Anaconda no proporcionaba información sobre el propósito del sistema al Administrador de suscripciones. En Red Hat Enterprise Linux 8.0, puede establecer el propósito del sistema durante la instalación usando la System Purposeventana de Anaconda o el syspurposecomando Kickstart. Cuando se completa la instalación, el Administrador de suscripciones utiliza la información de propósito del sistema al suscribirse al sistema.

(BZ#1612060)

Pykickstart soporta el propósito del sistema en RHEL 8

Anteriormente, la pykickstartbiblioteca no podía proporcionar información sobre el propósito del sistema al Administrador de suscripciones. En Red Hat Enterprise Linux 8.0, pykickstartanaliza el nuevo syspurposecomando y registra el propósito del sistema durante la instalación automatizada y parcialmente automatizada. La información se pasa a Anaconda, se guarda en el sistema recién instalado y está disponible para el Administrador de suscripciones al suscribirse al sistema.

(BZ#1612061)

Anaconda soporta un nuevo parámetro de arranque del kernel en RHEL 8

Anteriormente, sólo podía especificar un repositorio base desde los parámetros de arranque del núcleo. En Red Hat Enterprise Linux 8, un nuevo parámetro de kernel, inst.addrepo=<name>,<url>, le permite especificar un repositorio adicional durante la instalación.

Este parámetro tiene dos valores obligatorios: el nombre del repositorio y la URL que apunta al repositorio. Para más información, véase https://anaconda-installer.readthedocs.io/en/latest/boot-options.html#inst-addrepo

(BZ#1595415)

Anaconda soporta una ISO unificada en RHEL 8

En Red Hat Enterprise Linux 8.0, una ISO unificada carga automáticamente los repositorios de origen de instalación de BaseOS y AppStream.

Esta característica funciona para el primer repositorio base que se carga durante la instalación. Por ejemplo, si arranca la instalación sin ningún repositorio configurado y tiene la ISO unificada como repositorio base en la GUI, o si arranca la instalación usando la inst.repo=opción que apunta a la ISO unificada. Como resultado, el repositorio AppStream está habilitado en la sección Repositorios adicionales de la ventana de la GUI de origen de la instalación. No puede eliminar el repositorio de AppStream ni cambiar su configuración, pero puede desactivarlo en Fuente de instalación. Esta característica no funciona si arranca la instalación usando un repositorio base diferente y luego la cambia a la ISO unificada. Si lo hace, el repositorio base es reemplazado. Sin embargo, el repositorio de AppStream no se reemplaza y apunta al archivo original.

(BZ#1610806)

4.3. Kernel (traducción automática)

Ya está disponible el direccionamiento físico de 52 bits ARM

Con esta actualización, el soporte para direccionamiento físico (PA) de 52 bits para la arquitectura ARM de 64 bits está disponible. Esto proporciona un espacio de direcciones más grande que el anterior PA de 48 bits.

(BZ#1643522)

El código IOMMU soporta tablas de página de 5 niveles en RHEL 8

El código de la unidad de gestión de memoria de E/S (IOMMU) en el kernel de Linux ha sido actualizado para soportar tablas de página de 5 niveles en Red Hat Enterprise Linux 8.

(BZ#1485546)

Soporte para paginación de 5 niveles

Se ha añadido un nuevo P4d_ttipo de tabla de páginas de software al núcleo de Linux para soportar la paginación de 5 niveles en Red Hat Enterprise Linux 8.

(BZ#1485532)

La gestión de memoria soporta tablas de página de 5 niveles

Con Red Hat Enterprise Linux 7, el bus de memoria existente tenía 48/46 bits de capacidad de direccionamiento de memoria física/virtual, y el núcleo de Linux implementó 4 niveles de tablas de página para gestionar estas direcciones virtuales a direcciones físicas. La línea de direccionamiento del bus físico sitúa el límite superior de capacidad de la memoria física en 64 TB.

Estos límites se han ampliado a 57/52 bits de direccionamiento de memoria virtual/física con 128 PiB de espacio de direcciones virtual y 4 PB de capacidad de memoria física.

Con el rango de direcciones extendido, la gestión de memoria en Red Hat Enterprise Linux 8 añade soporte para la implementación de tablas de páginas de 5 niveles, para poder manejar el rango de direcciones expandido.

(BZ#1485525)

kernel-signing-ca.cer se traslada a kernel-coreen RHEL 8

En todas las versiones de Red Hat Enterprise Linux 7, la clave kernel-signing-ca.cerpública se encontraba en el kernel-docpaquete. Sin embargo, en Red Hat Enterprise Linux 8, kernel-signing-ca.cerha sido reubicado al kernel-corepaquete para cada arquitectura.

(BZ#1638465)

bpftool para la inspección y manipulación de programas y mapas basados en eBPF añadidos

La bpftoolutilidad que sirve para la inspección y manipulación sencilla de programas y mapas basados en el Berkeley Packet Filtering (eBPF) extendido ha sido añadida al núcleo de Linux. bpftooles una parte del árbol de fuentes del núcleo, y es proporcionada por el paquete bpftool, que se incluye como un subpaquete del paquete del núcleo.

(BZ#1559607)

Las kernel-rtfuentes han sido actualizadas

Las kernel-rtfuentes han sido actualizadas para usar el último árbol de fuentes del núcleo RHEL. El último árbol de fuentes del kernel está usando ahora el conjunto de parches en tiempo real upstream v4.18, que proporciona una serie de correcciones y mejoras con respecto a la versión anterior.

(BZ#1592977)

4.4. Gestión de software (traducción automática)

Mejora del rendimiento de YUM y soporte para contenido modular

En Red Hat Enterprise Linux 8, la instalación del software está garantizada por la nueva versión de la herramienta YUM, que se basa en la tecnología DNF.

El YUM basado en DNF tiene las siguientes ventajas sobre el anterior YUM v3 utilizado en RHEL 7:

  • Mayor rendimiento
  • Soporte para contenido modular
  • API estable y bien diseñada para la integración con herramientas

Para obtener información detallada sobre las diferencias entre la nueva herramienta YUM y la versión anterior YUM v3 de RHEL 7, véasehttp://dnf.readthedocs.io/en/latest/cli_vs_yum.html.

El YUM basado en DNF es compatible con el YUM v3 cuando se utiliza desde la línea de comandos, editando o creando archivos de configuración.

Para la instalación del software, puede utilizar el yumcomando y sus opciones particulares de la misma manera que en RHEL 7. Los paquetes se pueden instalar bajo los nombres anteriores usando Provides. Los paquetes también proporcionan enlaces simbólicos de compatibilidad, por lo que los binarios, archivos de configuración y directorios se pueden encontrar en las ubicaciones habituales.

Tenga en cuenta que la API Python heredada proporcionada por YUM v3 y la API Libdnf C son inestables y probablemente cambiarán durante el ciclo de vida de Red Hat Enterprise Linux 8. Se aconseja a los usuarios migrar sus plugins y scripts a la nueva API de DNF Python, que es estable y totalmente compatible. La API de DNF Python está disponible en https://dnf.readthedocs.io/en/latest/api.html

Algunas de las características del YUM v3 pueden comportarse de forma diferente en el YUM basado en DNF. Si alguno de estos cambios afecta negativamente a sus flujos de trabajo, abra un caso con el soporte técnico de Red Hat, tal y como se describe en How do I open and manage a support case on the Customer Portal?

(BZ#1581198)

Características destacables de RPM en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con RPM 4.14. Esta versión introduce muchas mejoras con respecto a la RPM 4.11, que está disponible en RHEL 7. Las características más notables incluyen:

  • Los debuginfopaquetes se pueden instalar en paralelo
  • Soporte para dependencias débiles
  • Soporte para dependencias ricas o booleanas
  • Compatibilidad con archivos de empaquetado de más de 4 GB de tamaño
  • Compatibilidad con activadores de archivos

También, los cambios más notables incluyen:

  • Especificaciones más estrictas
  • Comprobación simplificada de la firma de la salida en modo sin verborrea
  • Adiciones y depreciación en las macros

(BZ#1581990)

RPM ahora valida el contenido de todo el paquete antes de comenzar la instalación

En Red Hat Enterprise Linux 7, la utilidad RPM verificó el contenido de la carga útil de los archivos individuales mientras se desempaquetaban. Sin embargo, esto es insuficiente por múltiples razones:

  • Si la carga útil está dañada, sólo se nota después de ejecutar acciones de script, que son irreversibles.
  • Si la carga útil está dañada, la actualización de un paquete se interrumpe después de reemplazar algunos archivos de la versión anterior, lo que rompe una instalación en funcionamiento.
  • Los hash de los archivos individuales se realizan en datos no comprimidos, lo que hace que RPM sea vulnerable a las vulnerabilidades de los descompresores.

En Red Hat Enterprise Linux 8, el paquete completo es validado antes de la instalación en un paso separado, utilizando el mejor hash disponible.

Los paquetes construidos sobre Red Hat Enterprise Linux 8 utilizan un nuevo SHA256hash en la carga útil comprimida. En los paquetes firmados, el hash de la carga útil está adicionalmente protegido por la firma, y por lo tanto no puede ser alterado sin romper una firma y otros hashes en el encabezado del paquete. Los paquetes más antiguos utilizan el MD5hash de la cabecera y la carga útil, a menos que esté deshabilitado por la configuración, como el modo FIPS.

La macro`%_pkgverify_level` puede usarse para habilitar adicionalmente la verificación de firmas antes de la instalación o deshabilitar la verificación de la carga útil completamente. Además, la %_pkgverify_flagsmacro puede utilizarse para limitar qué hashes y firmas están permitidos. Por ejemplo, es posible desactivar el uso del MD5hash débil a costa de la compatibilidad con paquetes más antiguos.

(JIRA:RHELPLAN-1499)

4.5. Servicios de infraestructura (traducción automática)

Cambios notables en el perfil recomendado Tuned en RHEL 8

Con esta actualización, el perfil sintonizado recomendado (informado por el tuned-adm recommendcomando) se selecciona ahora en base a las siguientes reglas: la primera regla que coincida entra en vigor:

  • Si el syspurposerol (reportado por el syspurpose showcomando) contiene atomic, y al mismo tiempo:

    • si Tuned se ejecuta sobre metal desnudo, se selecciona el atomic-hostperfil
    • si Tuned se está ejecutando en una máquina virtual, se selecciona el atomic-guestperfil
  • Si Tuned se está ejecutando en una máquina virtual, se selecciona el virtual-guestperfil
  • Si el syspurposerol contiene desktopo workstationy el tipo de chasis (notificado pordmidecode) es Notebook, Laptop, o Portable,, se selecciona el balancedperfil
  • Si ninguna de las reglas anteriores coincide, se selecciona el throughput-performanceperfil

(BZ#1565598)

Los archivos producidos por nombre pueden ser escritos en el directorio de trabajo

Anteriormente, el demonio nombrado almacenaba algunos datos en el directorio de trabajo, que ha sido de sólo lectura en Red Hat Enterprise Linux. Con esta actualización, las rutas se han cambiado para los archivos seleccionados en subdirectorios, donde se permite la escritura. Ahora, los permisos predeterminados de los directorios Unix y SELinux permiten escribir en el directorio. Los archivos distribuidos dentro del directorio siguen siendo de sólo lectura con nombre.

(BZ#1588592)

Las bases de datos de Geolite han sido reemplazadas por las bases de datos de Geolite2

Las bases de datos Geolite que estaban presentes en Red Hat Enterprise Linux 7 fueron reemplazadas por las bases de datos Geolite2 en Red Hat Enterprise Linux 8.

Las bases de datos Geolite fueron proporcionadas por el GeoIPpaquete. Este paquete, junto con la base de datos heredada, ya no es compatible con la versión anterior.

Las bases de datos Geolite2 son proporcionadas por múltiples paquetes. El libmaxminddbpaquete incluye la biblioteca y la herramienta de línea de mmdblookupcomandos, que permite la búsqueda manual de direcciones. El geoipupdatebinario del paquete heredado GeoIPes ahora proporcionado por el geoipupdatepaquete, y es capaz de descargar tanto las bases de datos heredadas como las nuevas bases de datos de Geolite2.

(JIRA:RHELPLAN-6746)

Los registros de CUPS son manejados por journald

En RHEL 8, los registros CUPS ya no se almacenan en archivos específicos dentro del /var/log/cupsdirectorio que se utilizó en RHEL 7. En RHEL 8, todos los tipos de registros CUPS se registran de forma centralizada en el journalddemonio systemd junto con los registros de otros programas. Para acceder a los registros CUPS, utilice el journalctl -u cupscomando. Para obtener más información, consulte[Trabajar https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/deploying_different_types_of_servers/working-with-cups-logs_configuring-printingcon registros CUPS].

(JIRA:RHELPLAN-12764)

4.6. Shells y herramientas de línea de comandos (traducción automática)

El nobodyusuario sustituye nfsnobody

En Red Hat Enterprise Linux 7, la había:

  • el par de nobodyusuarios y grupos con el ID de 99, y
  • el par de nfsnobodyusuario y grupo con el ID de 65534, que también es el ID de desbordamiento predeterminado del núcleo.

Ambos se han fusionado en el par de nobodyusuarios y grupos, que utiliza el ID 65534 en Red Hat Enterprise Linux 8. Las nuevas instalaciones ya no crean el nfsnobodypar.

Este cambio reduce la confusión sobre los archivos que son propiedad de NFS nobodypero que no tienen nada que ver con NFS.

(BZ#1591969)

Sistemas de control de versiones en RHEL 8

RHEL 8 ofrece los siguientes sistemas de control de versiones:

  • Git 2.18un sistema de control de revisiones distribuido con una arquitectura descentralizada.
  • Mercurial 4.8un sistema de control de versiones distribuido y ligero, diseñado para el manejo eficiente de grandes proyectos.
  • Subversion 1.10un sistema de control de versiones centralizado. Para más información, véaseNotable changes in Subversion 1.10

Tenga en cuenta que el sistema de versiones simultáneas (CVS), disponible en RHEL 7, no se distribuye con RHEL 8.

(BZ#1693775)

Cambios notables en Subversion 1.10

Subversion 1.10 introduce una serie de nuevas características desde la versión 1.7 distribuida en RHEL 7, así como los siguientes cambios de compatibilidad:

  • Debido a incompatibilidades en las Subversionlibrerías utilizadas para soportar los enlaces de lenguaje, Python 3los enlaces para Subversion 1.10no están disponibles. Como consecuencia, las aplicaciones que requieren Pythonfijaciones no Subversionestán soportadas.
  • Ya no Berkeley DBse soportan los repositorios basados en. Antes de migrar, haga una copia de seguridad de Subversion 1.7los repositorios creados utilizando el svnadmin dumpcomando. Después de instalar RHEL 8, restaure los repositorios utilizando el svnadmin loadcomando.
  • Las copias de trabajo existentes obtenidas por el Subversion 1.7cliente en RHEL 7 deben ser actualizadas al nuevo formato antes de que puedan ser utilizadas a partir Subversion 1.10de . Después de instalar RHEL 8, ejecute el svn upgradecomando en cada copia de trabajo.
  • Ya no se soporta la autenticación por tarjeta inteligente para acceder a los repositorios mediante https://el uso de repositorios.

(BZ#1571415)

4.7. Lenguajes de programación dinámicos, servidores web y de bases de datos (traducción automática)

Python 3 es la implementación por defecto Pythonen RHEL 8

Red Hat Enterprise Linux 8 se distribuye conPython 3.6 El paquete no está instalado por defecto. Para instalarPython 3.6, use el yum install python3comando.

Python 2.7 está disponible en el python2paquete. Sin embargo, Python 2tendrá un ciclo de vida más corto y su objetivo es facilitar una transición más suave para Python 3los clientes.

Con RHEL 8 no se distribuye ni el paquete por defecto pythonni el ejecutable no versionado/usr/bin/python. Se aconseja a los clientes que utilicen python3o python2directamente. Alternativamente, los administradores pueden configurar el comando sin versionar pythonusando el alternativescomando.

Para más detalles, véaseUsing Python in Red Hat Enterprise Linux 8

(BZ#1580387)

Los scripts Python deben especificar la versión principal en hashbangs en el momento de la construcción de RPM

En RHEL 8, se espera que los scripts Python ejecutables utilicen hashbangs (shebangs) especificando explícitamente al menos la versión principal de Python.

El script /usr/lib/rpm/redhat/brp-mangle-shebangsbuildroot policy (BRP) se ejecuta automáticamente al crear cualquier paquete RPM. Este script intenta corregir los hashbangs en todos los archivos ejecutables. Cuando el script encuentra hashbangs ambiguos que no pueden ser resueltos en una versión mayor de Python, genera errores. Ejemplos de estos ambiguos hashbangs incluyen:

  • #! /usr/bin/python
  • #! /usr/bin/env python

Para modificar los hashbangs en los scripts Python que causan estos errores de compilación en el momento de la compilación RPM, utilice el pathfix.pyscript del paquete platform-python-devel:

pathfix.py -pn -i %{__python3} PATH ...

Se pueden especificar varios PATHs. Si un PATH es un directorio, busca pathfix.pyrecursivamente cualquier script Python que coincida con el patrón^[a-zA-Z0-9_]+\.py$, no sólo aquellos con un hashbang ambiguo. Añada este comando a la %prepsección o al final de la %installsección.

Para más información, véaseHandling hashbangs in Python scripts

(BZ#1583620)

Cambios notables en PHP

Red Hat Enterprise Linux 8 se distribuye conPHP 7.2 En esta versión se introducen los siguientes cambios importantes a lo largo de PHP 5.4, que están disponibles en RHEL 7:

  • PHP utiliza FastCGI Process Manager (FPM) por defecto (seguro para su uso con una roscahttpd)
  • Las variables php_valuey php-flagno deben seguir utilizándose en los archivos de httpdconfiguración, sino que deben configurarse en la configuración del pool: /etc/php-fpm.d/*.conf
  • PHP los errores de guión y las advertencias se registran en el /var/log/php-fpm/www-error.logarchivo en lugar de /var/log/httpd/error.log
  • Cuando se cambia la variable de max_execution_timeconfiguración de PHP, la httpd ProxyTimeoutconfiguración debe ser incrementada para que coincida con
  • El usuario que ejecuta PHPscripts está ahora configurado en la configuración del pool FPM (el /etc/php-fpm/d/www.confarchivo; el apacheusuario es el predeterminado)
  • El php-fpmservicio debe reiniciarse después de un cambio de configuración o después de instalar una nueva extensión

Las siguientes extensiones han sido eliminadas:

  • aspell
  • mysql (tenga en cuenta que las pdo_mysqlextensiones mysqliy las extensiones todavía están disponibles, proporcionadas por el php-mysqlndpaquete)
  • zip
  • memcache

(BZ#1580430, BZ#1691688)

Cambios notables en Ruby

RHEL 8 ofrece Ruby 2.5, que introduce numerosas funciones nuevas y mejoras con respecto Ruby 2.0.0a las disponibles en RHEL 7. Los cambios notables incluyen:

  • Se ha añadido un recolector de basura incremental.
  • Se ha añadido la Refinementssintaxis.
  • Los símbolos son ahora basura recolectada.
  • Los $SAFE=2niveles de $SAFE=3seguridad son ahora obsoletos.
  • Las clases Fixnumy Bignumlas clases se han unificado en la Integerclase.
  • Se ha mejorado el rendimiento optimizando la Hashclase, mejorando el acceso a las variables de la instancia, y la Mutexclase es más pequeña y rápida.
  • Algunas APIs antiguas han sido obsoletas.
  • Se han actualizado las bibliotecas agrupadas, como RubyGemsRake, RDoc, , Psych, , Minitest, y test-unit,.
  • Otras bibliotecas, como mathnDL, ext/tk, , y XMLRPC,, que se distribuían anteriormente con Ruby,, están obsoletas o ya no se incluyen.
  • El esquema de SemVerversionado se utiliza ahora para Rubyversionar.

(BZ#1648843)

Cambios notables en Perl

Perl 5.26distribuido con RHEL 8, introduce los siguientes cambios en la versión disponible en RHEL 7:

  • Unicode 9.0 ahora está soportado.
  • Nuevosop-entry, loading-filey se suministran loaded-file SystemTapsondas.
  • El mecanismo de copia sobre escritura se utiliza cuando se asignan escalares para mejorar el rendimiento.
  • Se ha añadido el IO::Socket::IPmódulo para el manejo transparente de sockets IPv4 e IPv6.
  • Se ha añadido el Config::Perl::Vmódulo para acceder perl -Va los datos de forma estructurada.
  • Se ha añadido un nuevo perl-App-cpanminuspaquete, que contiene la cpanmutilidad para obtener, extraer, construir e instalar módulos desde el repositorio de la Red Integral de Archivos Perl (CPAN).
  • El directorio .actual ha sido eliminado de la ruta de búsqueda del @INCmódulo por razones de seguridad.
  • La dosentencia ahora devuelve una advertencia de deprecación cuando no puede cargar un archivo debido al cambio de comportamiento descrito anteriormente.
  • La do subroutine(LIST)llamada ya no se soporta y se produce un error de sintaxis.
  • Los hash son aleatorios por defecto ahora. El orden en el que se devuelven las claves y los valores de un hash cambia en cada perlejecución. Para desactivar la aleatorización, establezca la variable de PERL_PERTURB_KEYSentorno en 0.
  • Los caracteres literales {inescapables en los patrones de expresión regulares ya no son permitidos.
  • Se ha eliminado el soporte de alcance léxico para la $_variable.
  • Usar el definedoperador en un arreglo o un hash resulta en un error fatal.
  • La importación de funciones desde el UNIVERSALmódulo produce un error fatal.
  • Se han quitado losfind2perl, s2p, a2p, , c2ph, y las pstructherramientas.
  • La ${^ENCODING}instalación ha sido removida. El modo predeterminado de encodingpragma ya no es compatible. Para escribir código fuente en otra codificación que no sea UTF-8, utilice la Filteropción de codificación.
  • El perlembalaje está ahora alineado con el anterior. El perlpaquete instala también los módulos principales, mientras que el /usr/bin/perlintérprete es proporcionado por el perl-interpreterpaquete. En versiones anteriores, el perlpaquete incluía sólo un intérprete mínimo, mientras que el perl-corepaquete incluía tanto al intérprete como a los módulos principales.

(BZ#1511131)

Node.js nuevo en RHEL 8

Node.jsuna plataforma de desarrollo de software para la creación de aplicaciones de red rápidas y escalables en el lenguaje de programación JavaScript, que se ofrece por primera vez en RHEL. Anteriormente sólo estaba disponible como una colección de software. La RHEL 8 proporcionaNode.js 10...

(BZ#1622118)

Cambios notables en SWIG

RHEL 8 incluye la versión 3.0 de Simplified Wrapper and Interface Generator (SWIG), que ofrece numerosas funciones nuevas, mejoras y correcciones de errores en la versión 2.0 distribuida en RHEL 7. En particular, se ha implementado el soporte de la norma C++11. SWIG ahora también soporta Go 1.6, PHP 7. Octava 4.2 y Pitón 3.5.

(BZ#1660051)

Cambios notables en Apache httpd

RHEL 8 se distribuye con el servidor HTTP Apache 2.4.37. Esta versión introduce los siguientes cambios con respecto a la httpddisponible en RHEL 7:

  • El mod_http2paquete, que forma parte del httpdmódulo, es ahora compatible con HTTP/2.
  • El mod_mdpaquete ahora admite el aprovisionamiento y la renovación automatizados de certificados TLS mediante el protocolo ACME (Automatic Certificate Management Environment) (para su uso con proveedores de certificados como Let’s Encrypt)
  • El servidor HTTP Apache ahora soporta la carga de certificados TLS y claves privadas desde tokens de seguridad de hardware directamente desde los PKCS#11módulos. Como resultado, una mod_sslconfiguración ahora puede usar PKCS#11URLs para identificar la clave privada de TLS y, opcionalmente, el certificado de TLS en las SSLCertificateFiledirectivas SSLCertificateKeyFiley.
  • El módulo de multiprocesamiento (MPM) configurado por defecto con el servidor HTTP Apache ha cambiado de un modelo multiproceso en horquilla (conocido como prefork)) a un modelo multihilo de alto rendimientoevent. Los módulos de otros fabricantes que no sean seguros para roscas deben ser reemplazados o retirados. Para cambiar el MPM configurado, edite el /etc/httpd/conf.modules.d/00-mpm.confarchivo. Vea la página de httpd.conf(5)manual para más información.

Para obtener más información sobre httpdel producto, véaseSetting up the Apache HTTP web server...

(BZ#1632754, BZ#1527084, BZ#1581178)

El servidor nginxweb nuevo en RHEL 8

RHEL 8 presenta nginx 1.14un servidor web y proxy que soporta HTTP y otros protocolos, con un enfoque en alta concurrencia, rendimiento y bajo uso de memoria.nginx

El servidor nginxweb ahora soporta la carga de claves privadas de TLS desde los tokens de seguridad de hardware directamente desde los PKCS#11módulos. Como resultado, una nginxconfiguración puede utilizar PKCS#11URLs para identificar la clave privada de TLS en la ssl_certificate_keydirectiva.

(BZ#1545526)

Servidores de base de datos en RHEL 8

RHEL 8 ofrece los siguientes servidores de base de datos:

  • MySQL 8.0un servidor de base de datos SQL multiusuario y multihilo. Consiste en el demonio del MySQLservidor, mysqld, y muchos programas cliente.
  • MariaDB 10.3un servidor de base de datos SQL multiusuario y multihilo. Para todos los fines prácticos, MariaDBes binario-compatible con MySQL.
  • PostgreSQL 10 y PostgreSQL 9.6un sistema avanzado de gestión de base de datos objeto-relacional (DBMS).
  • Redis 5un almacén avanzado de clave-valor. A menudo se le llama servidor de estructura de datos porque las claves pueden contener cadenas, hashes, listas, conjuntos y conjuntos ordenados. Redisse proporciona por primera vez en RHEL.

Tenga en cuenta que el servidor de base de datos NoSQL MongoDBno está incluido en RHEL 8.0 porque utiliza la Licencia Pública del Lado del Servidor (SSPL).

(BZ#1647908)

Cambios notables en MySQL 8.0

RHEL 8 se distribuye con MySQL 8.0, que proporciona, por ejemplo, las siguientes ampliaciones:

  • MySQL incorpora ahora un diccionario de datos transaccionales, que almacena información sobre los objetos de la base de datos.
  • MySQL ahora soporta roles, que son colecciones de privilegios.
  • El juego de caracteres por defecto se ha cambiado de latin1utf8mb4.
  • Se ha añadido soporte para expresiones de tabla comunes, tanto no recursivas como recursivas.
  • MySQL ahora soporta las funciones de ventana, que realizan un cálculo para cada línea de una consulta, utilizando líneas relacionadas.
  • InnoDB ahora soporta las SKIP LOCKEDopciones NOWAITy con el bloqueo de las sentencias de lectura.
  • Se han mejorado las funciones relacionadas con el SIG.
  • Se ha mejorado la funcionalidad de JSON.
  • Los nuevos mariadb-connector-cpaquetes proporcionan una biblioteca de clientes común para MySQLy MariaDBpara... Esta biblioteca es utilizable con cualquier versión de los MySQLservidores de MariaDBbase de datos. Como resultado, el usuario puede conectar una construcción de una aplicación a cualquiera de los MySQLMariaDBservidores distribuidos con RHEL 8.

Además, el MySQL 8.0servidor distribuido con RHEL 8 está configurado para utilizar mysql_native_passwordcomo plug-in de autenticación predeterminado, ya que las herramientas de cliente y las bibliotecas de RHEL 8 son incompatibles con el caching_sha2_passwordmétodo, que se utiliza de forma predeterminada en la versión anteriorMySQL 8.0.

Para cambiar el plug-in de autenticación predeterminado a caching_sha2_password,, edite el /etc/my.cnf.d/mysql-default-authentication-plugin.cnfarchivo de la siguiente manera:

[mysqld]
default_authentication_plugin=caching_sha2_password

(BZ#1649891, BZ#1519450, BZ#1631400)

Cambios notables en MariaDB 10.3

MariaDB 10.3 ofrece numerosas novedades sobre la versión 5.5 distribuida en RHEL 7. Algunos de los cambios más notables son:

  • MariaDB Galera Clusterun cluster multi-master síncrono, es ahora una parte estándar de MariaDB.
  • InnoDB se utiliza como el motor de almacenamiento predeterminado en lugar de XtraDB.
  • Expresiones de tabla comunes
  • Tablas versionadas del sistema
  • FOR presillas
  • Columnas invisibles
  • Secuencias
  • Instantáneo ADD COLUMNpara InnoDB
  • Compresión de columna independiente del motor de almacenamiento
  • Replicación paralela
  • Replicación de múltiples fuentes

Además, los nuevos mariadb-connector-cpaquetes proporcionan una biblioteca de clientes común para MySQLy paraMariaDB... Esta biblioteca es utilizable con cualquier versión de los MySQLservidores de MariaDBbase de datos. Como resultado, el usuario puede conectar una construcción de una aplicación a cualquiera de los MySQLMariaDBservidores distribuidos con RHEL 8.

Véase tambiénUsing MariaDB on Red Hat Enterprise Linux 8...

(BZ#1637034, BZ#1519450)

4.8. Escritorio (traducción automática)

GNOME Shell, versión 3.28 en RHEL 8

GNOME Shell, versión 3.28 está disponible en Red Hat Enterprise Linux (RHEL) 8. Las mejoras notables incluyen:

  • Nuevas características de las cajas de GNOME
  • Nuevo teclado en pantalla
  • Compatibilidad con dispositivos extendidos, lo que es más importante, integración con la interfaz de Thunderbolt 3
  • Mejoras para el software GNOME, el editor de dconf y el terminal de GNOME

(BZ#1649404)

Wayland es el servidor de visualización por defecto

Con Red Hat Enterprise Linux 8, la sesión de GNOME y el gestor de pantalla de GNOME (GDM) utilizan Wayland como su servidor de pantalla predeterminado en lugar del servidor X.org, que se utilizaba con la versión principal anterior de RHEL.

Wayland ofrece múltiples ventajas y mejoras sobre X.org. Más notablemente:

  • Modelo de seguridad más sólido
  • Manejo mejorado de múltiples monitores
  • Escalado mejorado de la interfaz de usuario (UI)
  • El escritorio puede controlar directamente el manejo de ventanas.

Tenga en cuenta que las siguientes funciones no están disponibles actualmente o no funcionan como se espera:

  • En Wayland no se admiten configuraciones de varias GPUs.
  • El controlador binario de NVIDIA no funciona con Wayland.
  • La xrandrutilidad no funciona bajo Wayland debido a su diferente enfoque de manejo, resoluciones, rotaciones y diseño. Tenga en cuenta que otras utilidades de X.org para manipular la pantalla tampoco funcionan bajo Wayland.
  • La grabación de pantalla, el escritorio remoto y la accesibilidad no siempre funcionan correctamente bajo Wayland.
  • No hay ningún administrador de portapapeles disponible.
  • Wayland ignora las capturas de teclado emitidas por las aplicaciones X11, como los visores de máquinas virtuales.
  • Wayland dentro de las máquinas virtuales huéspedes (VMs) tiene problemas de estabilidad y rendimiento, por lo que se recomienda utilizar la sesión X11 para entornos virtuales.

Si actualiza a RHEL 8 desde un sistema RHEL 7 en el que utilizó la sesión de GNOME de X.org, su sistema seguirá utilizando X.org. El sistema también vuelve automáticamente a X.org cuando se utilizan los siguientes controladores de gráficos:

  • El controlador binario de NVIDIA
  • El cirrusconductor
  • El mgaconductor
  • El aspeedconductor

Puede desactivar el uso de Wayland manualmente:

  • Para deshabilitar Wayland en GDM, establezca la WaylandEnable=falseopción en el /etc/gdm/custom.confarchivo.
  • Para desactivar Wayland en la sesión de GNOME, seleccione la opción X11 heredada utilizando el menú de rueda dentada en la pantalla de inicio de sesión después de introducir su nombre de usuario.

Para más detalles sobre Wayland, véasehttps://wayland.freedesktop.org/...

(BZ#1589678)

Localización de paquetes RPM que están en repositorios no habilitados por defecto

Los repositorios adicionales para el escritorio no están habilitados de forma predeterminada. La desactivación se indica por la enabled=0línea del archivo correspondiente.repo. Si intenta instalar un paquete desde dicho repositorio usando PackageKit, PackageKit muestra un mensaje de error anunciando que la aplicación no está disponible. Para que el paquete esté disponible, reemplace la enabled=0línea usada anteriormente en el archivo respectivo .repocon enabled=1.

(JIRA:RHELPLAN-2878)

Software de GNOME para la gestión de paquetes

El gnome-packagekitpaquete que proporcionaba una colección de herramientas para la gestión de paquetes en un entorno gráfico en Red Hat Enterprise Linux 7 ya no está disponible. En Red Hat Enterprise Linux 8, la utilidad del Software GNOME, que le permite instalar y actualizar aplicaciones y extensiones gnome-shell, proporciona una funcionalidad similar. El Software GNOME se distribuye en el gnome-softwarepaquete.

(JIRA:RHELPLAN-3001)

4.9. Gestión de identidades (traducción automática)

Nuevas comprobaciones de sintaxis de contraseñas en el servidor de directorios

Esta mejora añade nuevas comprobaciones de sintaxis de contraseñas al servidor de directorios. Los administradores pueden ahora, por ejemplo, habilitar las comprobaciones del diccionario, permitir o denegar el uso de secuencias de caracteres y palíndromos. Como resultado, si está habilitado, la comprobación de la sintaxis de la política de contraseñas en el Servidor de directorios hace que las contraseñas sean más seguras.

(BZ#1334254)

El servidor de directorios ahora proporciona soporte mejorado para el registro de operaciones internas

Varias operaciones en el servidor de directorios, iniciadas por el servidor y los clientes, causan operaciones adicionales en segundo plano. Anteriormente, el servidor sólo registraba la palabra clave de Internalconexión para las operaciones internas, y el ID de la operación siempre se establecía en -1. Con esta mejora, el servidor de directorio registra el ID de conexión y operación real. Ahora puede rastrear la operación interna hasta la operación del servidor o cliente que causó esta operación.

Para más detalles sobre el registro de operaciones internas, véase el enlace: https://access.redhat.com/documentation/en-us/red_hat_directory_server/11/html-single/administration_guide/#logging_internal_operations.

(BZ#1358706)

La tomcatjssbiblioteca admite la comprobación OCSP utilizando el respondedor de la extensión AIA

Con esta mejora, la tomcatjssbiblioteca admite la comprobación en línea del protocolo de estado de certificados (OCSP) utilizando el respondedor de la extensión Authority Information Access (AIA) de un certificado. Como resultado, los administradores de Red Hat Certificate System ahora pueden configurar la comprobación OCSP que utiliza la URL de la extensión AIA.

(BZ#1636564)

Directory Server presenta nuevas utilidades de línea de comandos para gestionar instancias

Red Hat Directory Server 11.0 presenta el dscreate, dsconf, y dsctlutilidades. Estas utilidades simplifican la gestión del servidor de directorios mediante la línea de comandos. Por ejemplo, ahora puede utilizar un comando con parámetros para configurar una característica en lugar de enviar complejas instrucciones LDIF al servidor.

A continuación se ofrece una descripción general del propósito de cada utilidad:

  • Utilice la dscreateutilidad para crear nuevas instancias del servidor de directorios utilizando el modo interactivo o un archivo INF. Tenga en cuenta que el formato de archivo INF es diferente al que el instalador usaba en versiones anteriores del servidor de directorios.
  • Utilice la dsconfutilidad para gestionar las instancias del servidor de directorios durante el tiempo de ejecución. Por ejemplo, use dsconfto:

    • Configurar las opciones en la cn=configentrada
    • Configurar plug-ins
    • Configurar la replicación
    • Realizar una copia de seguridad y restaurar una instancia
  • Utilice la dsctlutilidad para gestionar las instancias del servidor de directorios mientras están desconectadas. Por ejemplo, use dsctlto:

    • Iniciar y detener una instancia
    • Re-indexar la base de datos del servidor
    • Realizar una copia de seguridad y restaurar una instancia

Estas utilidades sustituyen a los scripts Perl y shell marcados como obsoletos en Directory Server 10. Los scripts siguen estando disponibles en el paquete no soportado389-ds-base-legacy-tools, sin embargo, Red Hat sólo soporta la gestión de Directory Server utilizando las nuevas utilidades.

Tenga en cuenta que la configuración del servidor de directorios mediante sentencias LDIF sigue siendo compatible, pero Red Hat recomienda utilizar las utilidades.

Para más detalles sobre la utilización de las utilidades, véase la Red Hat Directory Server 11 Documentationsección

(BZ#1693159)

Los pki subsystem-cert-showcomandos pki subsystem-cert-findy muestran ahora el número de serie de los certificados

Con esta mejora, los comandos pki subsystem-cert-findy pki subsystem-cert-showde Sistema de certificados muestran el número de serie de los certificados en su salida. El número de serie es una pieza importante de información y a menudo es requerido por varios otros comandos. Como resultado, ahora es más fácil identificar el número de serie de un certificado.

(BZ#1566360)

Los pki groupcomandos pki usery han sido obsoletos en Sistema de certificados

Con esta actualización, los nuevos pki <subsystem>-usery pki <subsystem>-groupcomandos sustituyen a los comandos pki usery pki groupen el sistema de certificados. Los comandos reemplazados siguen funcionando, pero muestran un mensaje de que el comando está obsoleto y se refieren a los nuevos comandos.

(BZ#1394069)

El sistema de certificados ahora admite la renovación fuera de línea de los certificados del sistema

Con esta mejora, los administradores pueden utilizar la función de renovación fuera de línea para renovar los certificados de sistema configurados en Sistema de certificados. Cuando un certificado de sistema expira, el sistema de certificado no se inicia. Como resultado de la mejora, los administradores ya no necesitan soluciones para reemplazar un certificado de sistema caducado.

(BZ#1669257)

El sistema de certificados ahora puede crear CSRs con extensión SKI para la firma externa de CA

Con esta mejora, el Sistema de certificados admite la creación de una solicitud de firma de certificado (CSR) con la extensión Subject Key Identifier (SKI) para la firma de autoridad de certificación externa (CA). Algunas CA requieren esta extensión, ya sea con un valor particular o derivada de la clave pública de la CA. Como resultado, los administradores ahora pueden utilizar el pki_req_skiparámetro del archivo de configuración pasado a la pkispawnutilidad para crear una CSR con extensión SKI.

(BZ#1656856)

Los usuarios locales son almacenados en caché por SSSD y atendidos a través del nss_sssmódulo

En RHEL 8, el demonio de servicios de seguridad del sistema (SSSD) sirve por defecto a usuarios y grupos desde los archivos /etc/passwdy/etc/groups. El módulo sssnsswitch precede a los archivos en el /etc/nsswitch.confarchivo.

La ventaja de servir a los usuarios locales a través de SSSD es que el nss_sssmódulo tiene un rápido memory-mapped cacheque acelera las búsquedas de Name Service Switch (NSS) en comparación con el acceso al disco y la apertura de los archivos en cada solicitud NSS. Anteriormente, el demonio de caché del servicio Name (nscd) ayudó a acelerar el proceso de acceso al disco. Sin embargo, el uso nscden paralelo con SSSD es engorroso, ya que tanto SSSD como nscdel uso de su propio caching independiente. Por consiguiente, el uso nscden configuraciones en las que los SSSD también sirven a usuarios de un dominio remoto, por ejemplo LDAP o Active Directory, puede causar un comportamiento impredecible.

Con esta actualización, la resolución de los usuarios y grupos locales es más rápida en RHEL 8. Tenga en cuenta que el rootusuario nunca es manejado por SSSD, por lo tanto, la rootresolución no puede verse afectada por un posible fallo en SSSD. Tenga en cuenta también que si el SSSD no se está ejecutando, el nss_sssmódulo maneja la situación con elegancia al retroceder para nss_filesevitar problemas. No es necesario configurar los SSSD de ninguna manera, el dominio de los archivos se añade automáticamente.

(JIRA:RHELPLAN-10439)

KCM reemplaza a KEYRING como almacenamiento de caché de credenciales predeterminado

En RHEL 8, el almacenamiento de caché de credenciales predeterminado es el Kerberos Credential Manager (KCM), que está respaldado por el sssd-kcmdeamon. KCM supera las limitaciones de la LLAVE utilizada anteriormente, como la dificultad de su uso en entornos contenedorizados al no estar espaciada por nombres, así como para visualizar y gestionar cuotas.

Con esta actualización, RHEL 8 contiene una caché de credenciales que se adapta mejor a entornos contenedorizados y que proporciona una base para crear más funciones en futuras versiones.

(JIRA:RHELPLAN-10440)

Los usuarios de Active Directory ahora pueden administrar la gestión de identidades

Con esta actualización, RHEL 8 permite añadir una sustitución de ID de usuario para un usuario de Active Directory (AD) como miembro de un grupo de gestión de identidades (IdM). Una sustitución de ID es un registro que describe cómo deben verse las propiedades de un usuario o grupo de AD específico dentro de una vista de ID específica, en este caso la Vista de confianza predeterminada. Como consecuencia de la actualización, el servidor LDAP IdM puede aplicar reglas de control de acceso para el grupo IdM al usuario AD.

Los usuarios de AD ahora pueden utilizar las funciones de autoservicio de la interfaz IdM, por ejemplo, para cargar sus claves SSH o cambiar sus datos personales. Un administrador de AD puede administrar completamente la IdM sin tener dos cuentas y contraseñas diferentes. Tenga en cuenta que actualmente, las funciones seleccionadas en IdM pueden no estar disponibles para los usuarios de AD.

(JIRA:RHELPLAN-10442)

sssctl imprime un informe de reglas HBAC para un dominio IdM

Con esta actualización, la sssctlutilidad de System Security Services Daemon (SSSD) puede imprimir un informe de control de acceso para un dominio de gestión de identidades (IdM). Esta característica satisface la necesidad de ciertos entornos de ver, por razones regulatorias, una lista de usuarios y grupos que pueden acceder a un equipo cliente específico. La ejecución sssctl access-report domain_nameen un cliente IdM imprime el subconjunto analizado de reglas de control de acceso basadas en host (HBAC) en el dominio IdM que se aplican a la máquina cliente.

Tenga en cuenta que ningún otro proveedor que no sea IdM admite esta función.

(JIRA:RHELPLAN-10443)

Los paquetes de gestión de identidades están disponibles como un módulo

En RHEL 8, los paquetes necesarios para instalar un servidor y un cliente de gestión de identidades (IdM) se envían como un módulo. La clientsecuencia es la secuencia predeterminada del idmmódulo y puede descargar los paquetes necesarios para instalar el cliente sin habilitar la secuencia.

El flujo del módulo del servidor IdM se denomina DL1flujo. La secuencia contiene múltiples perfiles correspondientes a diferentes tipos de servidores IdM: servidor, dns, adtrust, cliente y predeterminado. Para descargar los paquetes en un perfil específico del DL1stream: . Habilitar el flujo. Cambie a las RPMs entregadas a través del flujo. Ejecute el yum module install idm:DL1/profile_namecomando.

(JIRA:RHELPLAN-10438)

Añadida la solución de grabación de sesiones para RHEL 8

Se ha añadido una solución de grabación de sesiones a Red Hat Enterprise Linux 8 (RHEL 8). Un nuevo tlogpaquete y su reproductor de sesiones de consola web asociado permiten grabar y reproducir las sesiones del terminal de usuario. La grabación se puede configurar por usuario o grupo de usuarios a través del servicio System Security Services Daemon (SSSD). Todas las entradas y salidas del terminal se capturan y almacenan en formato de texto en un diario del sistema. La entrada está inactiva por defecto por razones de seguridad para no interceptar contraseñas sin procesar y otra información sensible.

La solución puede utilizarse para auditar las sesiones de usuario en sistemas sensibles a la seguridad. En caso de una violación de la seguridad, las sesiones grabadas pueden ser revisadas como parte de un análisis forense. Los administradores del sistema pueden ahora configurar localmente la grabación de la sesión y ver el resultado desde la interfaz de la consola web RHEL 8 o desde la interfaz de la línea de comandos utilizando la tlog-playutilidad.

(JIRA:RHELPLAN-1473)

authselect simplifica la configuración de la autenticación de usuarios

Esta actualización introduce la authselectutilidad que simplifica la configuración de la autenticación de usuario en los hosts RHEL 8, reemplazando a la authconfigutilidad. authselectviene con un enfoque más seguro para la gestión de la pila de PAM que simplifica los cambios de configuración de PAM para los administradores del sistema. authselectpuede utilizarse para configurar métodos de autenticación como contraseñas, certificados, tarjetas inteligentes y huellas dactilares. Tenga en cuenta que authselectno configura los servicios necesarios para unir dominios remotos. Esta tarea se realiza mediante herramientas especializadas, como por ipa-client-installejemplorealmd

(JIRA:RHELPLAN-10445)

SSSD ahora le permite seleccionar uno de los múltiples dispositivos de autenticación Smartcard

Con esta actualización, puede configurar PKCS#11 URI para la selección de dispositivos de autenticación Smartcard.

De forma predeterminada, el SSSD intenta detectar automáticamente un dispositivo para la autenticación de Smartcard. Si hay varios dispositivos conectados, el SSSD seleccionará el primero que se encuentre y no podrá seleccionar el dispositivo en particular. Puede conducir a fallos.

Por lo tanto, ahora puede configurar una nueva p11_uriopción para la [pam]sección de sssd.conf. Esta opción le permite definir qué dispositivo se utilizará para la autenticación con Smartcard.

Por ejemplo, para seleccionar el lector con el identificador de ranura '2' detectado por el módulo OpenSC PKCS#11, añada

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2

a la [pam]sección de sssd.confla ficha de datos de seguridad

Por favor, consulte man sssd-confpara más detalles.

(BZ#1620123)

4.10. Compiladores y herramientas de desarrollo (traducción automática)

Boost actualizado a la versión 1.66

La biblioteca Boost C++ ha sido actualizada a la versión 1.66. La versión de Boost incluida en Red Hat Enterprise Linux 7 es la 1.53. Para más detalles, vea los registros de cambios: https://www.boost.org/users/history/

Esta actualización introduce los siguientes cambios que rompen la compatibilidad con las versiones anteriores:

  • Se han eliminado la bs_set_hook()función, la splay_set_hook()función de los contenedores splay y el parámetro bool splay = trueadicional de la splaytree_algorithms()función de la biblioteca Intrusive.
  • Los comentarios o la concatenación de cadenas en archivos JSON ya no son compatibles con el analizador de la biblioteca de árboles de propiedades.
  • Algunas distribuciones y funciones especiales de la librería Math se han arreglado para que se comporten como están documentadas y aumenten en overflow_errorlugar de devolver el valor finito máximo.
  • Algunas cabeceras de la biblioteca Math se han movido al directoriolibs/math/include_private.
  • El comportamiento de las basic_regex<>::mark_count()basic_regex<>::subexpression(n)funciones de la biblioteca Regex ha sido cambiado para que coincida con su documentación.
  • El uso de modelos variádicos en la biblioteca de variantes puede romper las funciones de metaprogramación.
  • La boost::python::numericAPI ha sido eliminada. Los usuarios pueden usar en su boost::python::numpylugar.
  • Las operaciones aritméticas en punteros a tipos que no son objetos ya no se proporcionan en la biblioteca Atómica.

(BZ#1494495)

Compatibilidad con Unicode 11.0.0

La biblioteca C de Red Hat Enterprise Linux core, glibc, ha sido actualizada para soportar la versión 11.0.0 del estándar Unicode. Como resultado, todas las APIs de caracteres anchos y de caracteres multibyte, incluyendo la transliteración y la conversión entre conjuntos de caracteres, proporcionan información precisa y correcta conforme a este estándar.

(BZ#1512004)

El boostpaquete es ahora independiente de Python

Con esta actualización, la instalación del boostpaquete ya no instala la Boost.Pythonbiblioteca como una dependencia. Para poder utilizar Boost.Python, es necesario que instale explícitamente los paquetes boost-python3oboost-python3-devel.

(BZ#1616244)

Un nuevo compat-libgfortran-48paquete disponible

Para la compatibilidad con las aplicaciones Red Hat Enterprise Linux 6 y 7 que utilizan la biblioteca de Fortran, ahora hay disponible un nuevo paquete de compat-libgfortran-48compatibilidad, que proporciona la libgfortran.so.3biblioteca.

(BZ#1607227)

Soporte de Retpoline en GCC

Esta actualización añade soporte para retpolines a GCC. Una retpolina es una construcción de software utilizada por el núcleo para reducir la sobrecarga de la mitigación de los ataques de Spectre Variant 2 descritos en CVE-2017-5715.

(BZ#1535774)

Soporte mejorado para la arquitectura ARM de 64 bits en componentes de la cadena de herramientas

Toolchain, GCCy binutilsahora ofrecen soporte extendido para la arquitectura ARM de 64 bits. Por ejemplo:

  • GCC y binutilsahora soporta Extensión Vectorial Escalable (SVE).
  • El soporte para el tipo de FP16datos, proporcionado por ARM v8.2, ha sido agregado a GCC. El tipo de FP16datos mejora el rendimiento de ciertos algoritmos.
  • Las herramientas a partir binutilsde ahora soportarán la definición de la arquitectura ARM v8.3, incluyendo la Autenticación de Punteros. La característica de Autenticación de Punteros evita que el código malicioso corrompa la ejecución normal de un programa o del kernel al crear sus propios punteros de función. Como resultado, sólo se utilizan direcciones de confianza cuando se bifurcan a diferentes lugares del código, lo que mejora la seguridad.

(BZ#1504980, BZ#1550501, BZ#1504995, BZ#1504993, BZ#1504994)

Optimizaciones para glibcsistemas IBM POWER

Esta actualización proporciona una nueva versión optimizada glibcpara las arquitecturas IBM POWER 8 e IBM POWER 9. Como resultado, los sistemas IBM POWER 8 e IBM POWER 9 cambian automáticamente a la variante adecuada y optimizada glibcen tiempo de ejecución.

(BZ#1376834)

La biblioteca C de GNU actualizada a la versión 2.28

Red Hat Enterprise Linux 8 incluye la versión 2.28 de la biblioteca C de GNU (glibc). Entre las mejoras notables se incluyen

  • Elementos de seguridad de endurecimiento:

    • Los archivos binarios seguros marcados con la AT_SECUREbandera ignoran la variable de LD_LIBRARY_PATHentorno.
    • Los backtraces ya no se imprimen para comprobar las fallas de la pila para acelerar el apagado y evitar la ejecución de más código en un entorno comprometido.
  • Mejoras en el rendimiento:

    • El rendimiento de la malloc()función se ha mejorado con una caché local de hilos.
    • Adición de la variable de GLIBC_TUNABLESentorno para alterar las características de rendimiento de la biblioteca.
    • Se ha mejorado la implementación de semáforos roscados y se han añadido nuevas funciones escalablespthread_rwlock_xxx().
    • Se ha mejorado el rendimiento de la biblioteca de matemáticas.
  • Se ha añadido soporte para Unicode 11.0.0.
  • Se ha añadido una compatibilidad mejorada con los números de coma flotante de 128 bits definidos por las normas ISO/IEC/IEEE 60559:2011, IEEE 754-2008 e ISO/IEC TS 18661-3:2015.
  • Mejoras en la resolución de talones del Servicio de nombres de dominio (DNS) relacionadas con el archivo de /etc/resolv.confconfiguración:

    • La configuración se recarga automáticamente cuando se cambia el archivo.
    • Se ha añadido soporte para un número arbitrario de dominios de búsqueda.
    • Se ha añadido la selección aleatoria adecuada para la rotateopción.
  • Se han añadido nuevas características para el desarrollo, entre ellas:

    • Funciones del envoltorio de Linux para las llamadas al preadv2y al pwritev2kernel
    • Nuevas funciones que incluyen reallocarray()y explicit_bzero()
    • Nuevos indicadores para la posix_spawnattr_setflags()función, como por ejemplo POSIX_SPAWN_SETSID

(BZ#1512010, BZ#1504125, BZ#506398)

CMake disponible en RHEL

La versión 3.11 del sistema de construcción CMake está disponible en Red Hat Enterprise Linux 8 como el cmakepaquete.

(BZ#1590139, BZ#1502802)

make versión 4.2.1

Red Hat Enterprise Linux 8 se distribuye con la versión 4.2.1 de la herramienta de makeconstrucción. Los cambios notables incluyen:

  • Cuando una receta falla, se muestran el nombre del makefile y el número de línea de la receta.
  • Se ha añadido esta --traceopción para permitir el seguimiento de los objetivos. Cuando se utiliza esta opción, cada receta se imprime antes de la invocación, incluso si se suprime, junto con el nombre de archivo y el número de línea en el que se encuentra esta receta, y también con las condiciones previas que hacen que se invoque.
  • La mezcla de reglas explícitas e implícitas ya no causa makela terminación de la ejecución. En su lugar, se imprime un mensaje de advertencia. Tenga en cuenta que esta sintaxis está obsoleta y puede que se elimine por completo en el futuro.
  • Se ha añadido la $(file …​)función para escribir texto en un archivo. Cuando se llama sin un argumento de texto, sólo se abre y cierra inmediatamente el archivo.
  • Una nueva opción, --output-synco -O, hace que una salida de varios trabajos se agrupe por trabajo y permite una depuración más fácil de las compilaciones paralelas.
  • La --debugopción ahora acepta también el indicador (nonen) para desactivar todos los ajustes de depuración actualmente habilitados.
  • El operador de asignación de !=shell ha sido añadido como una alternativa a la $(shell …​)función para incrementar la compatibilidad con makefiles BSD. Para más detalles y diferencias entre el operador y la función, vea el manual de GNU make.

Tenga en cuenta que, en consecuencia, las variables con un nombre que terminan en signo de exclamación e inmediatamente seguidas de una asignación, como por ejemplo variable!=value,, se interpretan ahora como la nueva sintaxis. Para restaurar el comportamiento anterior, añada un espacio después del signo de exclamación, como por ejemplovariable! =value

+

  • Se ha añadido el operador de ::=asignación definido por el estándar POSIX.
  • Cuando se especifica la .POSIXvariable, se makeobservan los requisitos de la norma POSIX para manejar la barra invertida y la nueva línea. En este modo, cualquier espacio de arrastre antes de la barra invertida se conserva, y cada barra invertida seguida de una nueva línea y caracteres de espacio en blanco se convierte en un solo carácter de espacio.
  • El comportamiento de las variables MAKEFLAGSy MFLAGSde las variables se define ahora con mayor precisión.
  • Una nueva variable, GNUMAKEFLAGS, se analiza para los makeindicadores de forma idéntica a MAKEFLAGS. Como consecuencia, las banderas makeespecíficas de GNU pueden ser almacenadas fuera MAKEFLAGSy la portabilidad de los makefiles se incrementa.
  • Se ha añadido una nueva variable, MAKE_HOST, que contiene la arquitectura del host.
  • Las nuevas variables, MAKE_TERMOUTe MAKE_TERMERRindican si makese está escribiendo salida estándar y error en un terminal.
  • Establecer las -Ropciones -ry en la MAKEFLAGSvariable dentro de un makefile ahora funciona correctamente y elimina todas las reglas y variables incorporadas, respectivamente.
  • El .RECIPEPREFIXajuste se recuerda ahora por receta. Además, las variables expandidas en esa receta también utilizan esa configuración de prefijo de receta.
  • El .RECIPEPREFIXajuste y todas las variables específicas del objetivo se muestran en la salida de la -popción como si estuvieran en un makefile, en lugar de como comentarios.

(BZ#1641015)

Los programas Go creados con Go Toolset son compatibles con FIPS

La biblioteca criptográfica disponible en Go Toolset se ha cambiado para utilizar la versión 1.1.0 de la biblioteca OpenSSL si el sistema host está configurado en modo FIPS. Como consecuencia, los programas creados con esta versión de Go Toolset son compatibles con FIPS.

Para hacer que los programas Go utilicen sólo las rutinas criptográficas estándar no certificadas, utilice la -tags no_opensslopción del gocompilador en el momento de la compilación.

(BZ#1512570)

SystemTap versión 4.0

Red Hat Enterprise Linux 8 se distribuye con la herramienta de instrumentación SystemTap versión 4.0. Entre las mejoras notables se incluyen

  • Se ha mejorado el backend del Berkeley Packet Filter (eBPF) extendido, especialmente las cadenas y funciones. Para utilizar este backend, inicie SystemTap con la --runtime=bpfopción.
  • Se ha añadido un nuevo servicio de red de exportación para su uso con el sistema de monitorización Prometheus.
  • Se ha mejorado la implementación de la llamada de sondeo del sistema para utilizar los puntos de seguimiento del núcleo si es necesario.

(BZ#1641032)

Mejoras en la binutilsversión 2.30

Red Hat Enterprise Linux 8 incluye la versión 2.30 del binutilspaquete. Entre las mejoras notables se incluyen

  • Se ha mejorado la compatibilidad con las nuevas extensiones de la arquitectura de la s390x.

Ensamblador:

  • Se ha agregado soporte para el formato de archivo WebAssembly y la conversión de WebAssembly al formato de archivo ELF wasm32.
  • Se ha agregado soporte para la arquitectura ARMv8-R y los procesadores Cortex-R52, Cortex-M23 y Cortex-M33.
  • Se ha añadido soporte para la arquitectura RISC-V.

Enlazadores:

  • El enlazador ahora pone el código y los datos de sólo lectura en segmentos separados por defecto. Como resultado, los archivos ejecutables creados son más grandes y seguros de ejecutar, ya que el cargador dinámico puede desactivar la ejecución de cualquier página de memoria que contenga datos de sólo lectura.
  • Se ha añadido soporte para notas de propiedades de GNU que proporcionan pistas al cargador dinámico sobre el archivo binario.
  • Anteriormente, el enlazador generaba código ejecutable no válido para la tecnología Intel Indirect Branch Tracking (IBT). Como consecuencia, los archivos ejecutables generados no pudieron iniciarse. Este error ha sido corregido.
  • Anteriormente, el goldenlazador fusionaba las notas de propiedad de forma incorrecta. Como consecuencia, se podrían habilitar características de hardware incorrectas en el código generado, y el código podría terminar inesperadamente. Este error ha sido corregido.
  • Anteriormente, el goldenlazador creaba secciones de nota con bytes de relleno al final para lograr la alineación según la arquitectura. Debido a que el cargador dinámico no esperaba el relleno, podía terminar inesperadamente el programa que estaba cargando. Este error ha sido corregido.

Otras herramientas:

  • Las objdumpherramientas readelfy ahora tienen opciones para seguir los enlaces en archivos de información de depuración separados y mostrar información en ellos también.
  • La nueva --inlinesopción amplía la opción existente --line-numbersde la objdumpherramienta para mostrar información de anidamiento para funciones en línea.
  • La nmherramienta obtuvo una nueva opción --with-version-stringspara mostrar la información de la versión de un símbolo después de su nombre, si está presente.

(BZ#1641004, BZ#1637072, BZ#1501420, BZ#1504114, BZ#1614908, BZ#1614920)

Realizar co-piloto versión 4.1.3

Red Hat Enterprise Linux 8 se distribuye con Performance co-pilot (pcp) versión 4.1.3. Entre las mejoras notables se incluyen

  • La pcp-dstatherramienta ahora incluye análisis histórico y salida en formato CSV (Valores separados por comas).
  • Las utilidades de registro pueden utilizar etiquetas métricas y registros de texto de ayuda.
  • La pmdaperfeventherramienta ahora reporta los números de CPU correctos en los niveles inferiores de Enhebrado Múltiple Simultáneo (SMT).
  • La pmdapostgresqlherramienta ahora soporta Postgres serie 10.x.
  • La pmdaredisherramienta ahora es compatible con la serie 5.x de Redis.
  • La pmdabccherramienta ha sido mejorada con filtrado dinámico de procesos y syscalls, ucalls y ustat por proceso.
  • La pmdammvherramienta ahora exporta etiquetas métricas y la versión de formato se incrementa a 3.
  • La pmdagfs2herramienta soporta métricas adicionales de glock y soporte de glock.
  • Se han realizado varias correcciones a la política de SELinux.

(BZ#1641034)

Teclas de protección de memoria

Esta actualización habilita características de hardware que permiten cambios de bandera de protección por página de hilo. Se han añadido las nuevas envolturas de llamadas del glibcsistema para las pkey_alloc()pkey_mprotect()funciones , pkey_free(), y. Además, se han añadido las funciones pkey_set()y pkey_get()para permitir el acceso a los indicadores de protección por hilo.

(BZ#1304448)

elfutils actualizado a la versión 0.174

En Red Hat Enterprise Linux 8, el paquete elfutils está disponible en la versión 0.174. Los cambios notables incluyen:

  • Anteriormente, la eu-readelfherramienta podía mostrar una variable con un valor negativo como si tuviera un gran valor sin signo, o mostrar un gran valor sin signo como un valor negativo. Esto se ha corregido y eu-readelfahora busca el tamaño y la firma de los tipos de valores constantes para visualizarlos correctamente.
  • Se ha añadido una nueva función dwarf_next_lines()para leer .debug_linelos datos que carecen de CU a la biblioteca libdw. Esta función puede utilizarse como alternativa a las funciones dwarf_getsrclines()ydwarf_getsrcfiles().
  • Anteriormente, los archivos con más de 65280 secciones podían causar errores en las bibliotecas libelf y libdw y en todas las herramientas que las utilizaban. Este error ha sido corregido. Como resultado, los valores extendidos shnumy shstrndxlos valores en las cabeceras de los archivos ELF se manejan correctamente.

(BZ#1641007)

Valgrind actualizado a la versión 3.14

Red Hat Enterprise Linux 8 se distribuye con la herramienta de análisis de código ejecutable Valgrind versión 3.14. Los cambios notables incluyen:

  • Se ha añadido una nueva --keep-debuginfoopción para permitir la retención de la información de depuración para el código descargado. Como resultado, las trazas de pila guardadas pueden incluir información de archivos y líneas para código que ya no está presente en la memoria.
  • Se han añadido supresiones basadas en el nombre del archivo fuente y el número de línea.
  • La Helgrindherramienta se ha ampliado con una opción --delta-stacktracepara especificar el cálculo de trazas completas de la pila de historial. En particular, el uso de esta opción junto con --history-level=fullpuede mejorar Helgrindel rendimiento hasta en un 25%.
  • Se ha reducido la tasa de falsos positivos en la Memcheckherramienta para código optimizado en las arquitecturas Intel y AMD de 64 bits y en la arquitectura ARM de 64 bits. Observe que puede utilizar la --expensive-definedness-checksfunción para controlar la gestión de verificaciones de definición y mejorar la tasa a expensas del rendimiento.
  • Valgrind ahora puede reconocer más instrucciones de la variante de pequeño dinosaurio de IBM Power Systems.
  • Valgrind puede ahora procesar parcialmente instrucciones vectoriales enteras y en cadena del procesador IBM Z architecture z13.

Para obtener más información sobre las nuevas opciones y sus limitaciones conocidas, consulte la página del valgrind(1)manual.

(BZ#1641029, BZ#1501419)

GDB versión 8.2

Red Hat Enterprise Linux 8 se distribuye con la versión 8.2 del depurador de GDB:

  • El protocolo IPv6 es compatible con la depuración remota con GDB ygdbserver...
  • Se ha mejorado la depuración sin información de depuración.
  • Se ha mejorado la finalización de símbolos en la interfaz de usuario del GDB para ofrecer mejores sugerencias mediante el uso de construcciones más sintácticas, como etiquetas ABI o espacios de nombre.
  • Ahora los comandos pueden ejecutarse en segundo plano.
  • Los programas de depuración creados en el lenguaje de programación Rust ahora son posibles.
  • La depuración de los lenguajes C y C++ ha sido mejorada con soporte de parser para los _Alignofalignofoperadores, referencias de valor de C++, y arreglos automáticos de longitud variable C99.
  • Los scripts de extensión GDB ahora pueden usar el lenguaje de scripts Guile.
  • La interfaz de lenguaje de scripting de Python para extensiones ha sido mejorada con nuevas funciones de API, decoradores de marcos, filtros y desbobinadores. Además, los scripts en la .debug_gdb_scriptssección de configuración de GDB se cargan automáticamente.
  • GDB ahora utiliza Python versión 3 para ejecutar sus scripts, incluyendo bonitas impresoras, decoradores de marcos, filtros y desbobinadores.
  • Las arquitecturas ARM y ARM de 64 bits han sido mejoradas con el registro y reproducción de la ejecución del proceso, incluyendo instrucciones de llamada de sistema y Thumb 32 bits.
  • Se ha agregado soporte para el registro Intel MPX y la violación de límites, el registro PKU y Intel Processor Trace.
  • La funcionalidad de grabación y reproducción se ha ampliado para incluir las rdrandrdseedinstrucciones de los sistemas basados en Intel.
  • La funcionalidad del GDB en la arquitectura IBM Z se ha ampliado con soporte para tracepoints y traceppoints rápidos, registros vectoriales y ABI, y la llamada al Catchsistema. Además, GDB ahora soporta instrucciones más recientes de la arquitectura.
  • GDB ahora puede utilizar las sondas estáticas de espacio de usuario SystemTap (SDT) en la arquitectura ARM de 64 bits.

(BZ#1641022, BZ#1497096, BZ#1505346, BZ#1592332)

La localización para RHEL se distribuye en varios paquetes

En RHEL 8, las localizaciones y las traducciones ya no se proporcionan en un solo glibc-commonpaquete. En su lugar, cada lugar e idioma está disponible en un glibc-langpack-CODEpaquete. Además, no todas las locales se instalan de forma predeterminada, sólo las seleccionadas en el instalador. Los usuarios deben instalar todos los demás paquetes de localización que necesiten por separado.

Para obtener más información sobre el uso de langpacks, véaseInstalling and using langpacks

(BZ#1512009)

strace actualizado a la versión 4.24

Red Hat Enterprise Linux 8 se distribuye con la versión 4.24 de la straceherramienta. Los cambios notables incluyen:

  • Se han añadido funciones de manipulación de llamadas del sistema con esta -e inject=opción. Esto incluye inyección de errores, valores de retorno, retardos y señales.
  • Se ha mejorado la calificación de las llamadas del sistema:

    • Se ha añadido una -e trace=/regexopción para filtrar las llamadas del sistema con expresiones regulares.
    • Pendiente de un signo de interrogación a una cualificación de llamada de sistema en la -e trace=opción, permite stracecontinuar, incluso si la cualificación no coincide con ninguna llamada de sistema.
    • Se ha añadido la designación de personalidad a las cualificaciones de llamada del sistema en la -e traceopción.
  • Se ha añadido la decodificación del motivo de kvm vcpusalida. Para ello, utilice la -e kvm=vcpuopción.
  • La libdwbiblioteca se utiliza ahora para el desbobinado de pilas cuando se utiliza la -kopción. Además, es posible el desmantelamiento de símbolos cuando la libibertybiblioteca está instalada en el sistema.
  • Anteriormente, la -ropción causó que se ignorara la -topción. Esto se ha arreglado y las dos opciones son ahora independientes.
  • Se ha añadido la opción[option]`-A para abrir archivos de salida en modo append.
  • Se ha añadido la -Xopción para configurar el formato de xlatsalida.
  • Se ha mejorado la decodificación de las direcciones de los zócalos con la -yyopción. Además, se ha añadido la impresión de números de bloque y de dispositivo de caracteres en -yymodo.

Además, se ha añadido, mejorado o actualizado la decodificación de los siguientes elementos:

  • netlink protocolos, mensajes y atributos
  • arch_prctl, bpf, getsockopt, io_pgetevent, , kern_featureskeyctl, prctl, , pkey_alloc, pkey_free, pkey_mprotect, , ptrace, rseq, , , setsockopt, socketstatxy otras llamadas del sistema
  • Muchos comandos para la llamada del ioctlsistema
  • Constantes de varios tipos
  • Rastreo de rutas para execveatllamadas inotify_add_watchde symlinkatsistema y mmapllamadas de sistema con argumentos indirectosinotify_initselect
  • Llamadas al sistema específicas para las arquitecturas ARM __ARM_NR_*
  • Listas de códigos de señales

(BZ#1641014)

4.11. Sistemas de archivos y almacenamiento (traducción automática)

XFS ahora soporta extensiones de datos de copia sobre escritura compartidas

El sistema de archivos XFS soporta la funcionalidad de extensión de datos de copia sobre escritura compartida. Esta función permite que dos o más archivos compartan un conjunto común de bloques de datos. Cuando cualquiera de los archivos que comparten bloques comunes cambia, XFS rompe el enlace con los bloques comunes y crea un nuevo archivo. Esto es similar a la funcionalidad de copia sobre escritura (COW) que se encuentra en otros sistemas de archivos.

Los extensiones de datos de copia sobre escritura compartidos lo son:

Rápido
La creación de copias compartidas no utiliza E/S de disco.
Eficiencia de espacio
Los bloques compartidos no consumen espacio de disco adicional.
Transparente
Los archivos que comparten bloques comunes actúan como archivos normales.

Las utilidades del espacio de usuario pueden usar extensiones de datos de copia sobre escritura compartidas para:

  • Clonación eficiente de archivos, como con el cp --reflinkcomando
  • Instantáneas por archivo

Esta funcionalidad también es utilizada por subsistemas del núcleo como Overlayfs y NFS para una operación más eficiente.

Los extensiones de datos de copia sobre escritura compartidos ahora están habilitados de forma predeterminada al crear un sistema de archivos XFS, comenzando con la versión del xfsprogspaquete4.17.0-2.el8.

Tenga en cuenta que los dispositivos de acceso directo (DAX) actualmente no admiten XFS con extensiones de datos de copia sobre escritura compartidas. Para crear un sistema de archivos XFS sin esta función, utilice el siguiente comando:

# mkfs.xfs -m reflink=0 block-device

Red Hat Enterprise Linux 7 puede montar sistemas de archivos XFS con extensiones de datos de copia sobre escritura compartidas sólo en el modo de sólo lectura.

(BZ#1494028)

El tamaño máximo del sistema de archivos XFS es de 1024 TiB

El tamaño máximo admitido de un sistema de archivos XFS se ha aumentado de 500 TiB a 1024 TiB.

Los sistemas de archivos de más de 500 TiB lo requieren:

  • la función CRC de metadatos y la función de inode btree libre están habilitadas en el formato del sistema de archivos, y
  • el tamaño del grupo de asignación es de al menos 512 GiB.

En RHEL 8, la mkfs.xfsutilidad crea sistemas de archivos que cumplen estos requisitos de forma predeterminada.

No se admite el crecimiento de un sistema de archivos más pequeño que no cumpla estos requisitos a un nuevo tamaño superior a 500 TiB.

(BZ#1563617)

VDO ahora soporta todas las arquitecturas

Virtual Data Optimizer (VDO) ya está disponible en todas las arquitecturas soportadas por RHEL 8.

Para ver la lista de arquitecturas soportadas, véaseCapítulo 2, Arquitecturas (traducción automática)

(BZ#1534087)

El gestor de arranque BOOM simplifica el proceso de creación de entradas de arranque

BOOM es un gestor de arranque para sistemas Linux que utilizan cargadores de arranque que soportan la especificación BootLoader para la configuración de la entrada de arranque. Permite una configuración de arranque flexible y simplifica la creación de entradas de arranque nuevas o modificadas: por ejemplo, para arrancar imágenes instantáneas del sistema creadas utilizando LVM.

BOOM no modifica la configuración existente del gestor de arranque y sólo inserta entradas adicionales. Se mantiene la configuración existente y cualquier integración de la distribución, como la instalación del kernel y los scripts de actualización, continúan funcionando como antes.

BOOM tiene una interfaz de línea de comandos (CLI) y una API simplificadas que facilitan la tarea de crear entradas de arranque.

(BZ#1649582)

LUKS2 es ahora el formato por defecto para cifrar volúmenes

En RHEL 8, el formato LUKS versión 2 (LUKS2) sustituye al formato LUKS heredado (LUKS1). El dm-cryptsubsistema y la cryptsetupherramienta utilizan ahora LUKS2 como formato predeterminado para los volúmenes cifrados. LUKS2 proporciona volúmenes cifrados con redundancia de metadatos y auto-recuperación en caso de un evento parcial de corrupción de metadatos.

Gracias a su diseño interno flexible, LUKS2 es también un facilitador de características futuras. Soporta el autodesbloqueo a través del token genérico de kernel-keyring incorporado libcryptsetupque permite a los usuarios desbloquear volúmenes LUKS2 utilizando una frase de contraseña almacenada en el servicio de retención de kernel-keyring.

Otras mejoras notables incluyen:

  • La configuración de la clave protegida utilizando el esquema de cifrado de clave envuelto.
  • Integración más fácil con el descifrado basado en políticas (Clevis).
  • Hasta 32 ranuras para llaves - LUKS1 proporciona sólo 8 ranuras para llaves.

Para más detalles, vea las páginas cryptsetup(8)y cryptsetup-reencrypt(8)man.

(BZ#1564540)

NVMe/FC es totalmente compatible con los adaptadores de canal de fibra Broadcom Emulex

El tipo de transporte NVMe over Fibre Channel (NVMe/FC) es ahora totalmente compatible en modo Initiator cuando se utiliza con los adaptadores Broadcom Emulex Fibre Channel 32Gbit.

NVMe sobre Fibre Channel es un tipo de tejido de transporte adicional para el protocolo Nonvolatile Memory Express (NVMe), además del protocolo Remote Direct Memory Access (RDMA) que se introdujo previamente en Red Hat Enterprise Linux.

Para habilitar NVMe/FC en el lpfccontrolador, edite el /etc/modprobe.d/lpfc.confarchivo y añada la siguiente opción:

lpfc_enable_fc4_type=3

Los controladores que no sean lpfcde este tipo permanecen en la vista previa de la tecnología.

Restricciones adicionales:

  • Con NVMe/FC no se admite la multitrayecto.
  • La agrupación en clúster de NVMe no es compatible con NVMe/FC.
  • Actualmente, Red Hat Enterprise Linux no soporta el uso de NVMe/FC y SCSI/FC en un puerto iniciador al mismo tiempo.
  • El paquete kernel-alt no soporta NVMe/FC.
  • kdump no es compatible con NVMe/FC.
  • No se admite el arranque desde una red de área de almacenamiento (SAN) NVMe/FC.

(BZ#1649497)

Nueva overridessección del archivo de configuración DM Multipath

El /etc/multipath.confarchivo ahora incluye una overridessección que le permite establecer un valor de configuración para todos sus dispositivos. Estos atributos son usados por DM Multipath para todos los dispositivos a menos que sean sobrescritos por los atributos especificados en la multipathssección del /etc/multipath.confarchivo para las rutas que contienen el dispositivo. Esta funcionalidad sustituye al all_devsparámetro de la devicessección del archivo de configuración, que ya no es compatible.

(BZ#1643294)

Ahora se soporta la instalación y el arranque desde dispositivos NVDIMM

Antes de esta actualización, el instalador ignoraba los dispositivos de Módulo de memoria en línea dual no volátil (NVDIMM) en cualquier modo.

Con esta actualización, las mejoras del kernel para soportar dispositivos NVDIMM proporcionan capacidades mejoradas de rendimiento del sistema y acceso mejorado al sistema de archivos para aplicaciones intensivas en escritura como bases de datos o cargas de trabajo analíticas, así como una reducción de la sobrecarga de la CPU.

Esta actualización introduce soporte para:

  • El uso de dispositivos NVDIMM para la instalación utilizando el comando nvdimmKickstart y la GUI, lo que permite instalar y arrancar desde dispositivos NVDIMM en modo sector y reconfigurar dispositivos NVDIMM en modo sector durante la instalación.
  • La extensión de Kickstartscripts para Anaconda con comandos para el manejo de dispositivos NVDIMM.
  • La capacidad de grub2, efibootmgr, y los componentes del efivarsistema para manejar y arrancar desde dispositivos NVDIMM.

(BZ#1499442)

Se ha mejorado la detección de trayectos marginales en DM Multipath

El multipathdservicio ahora soporta la detección mejorada de rutas marginales. Esto ayuda a los dispositivos multitrayecto a evitar los trayectos que pueden fallar repetidamente y mejora el rendimiento. Las rutas marginales son rutas con errores de E/S persistentes pero intermitentes.

Las siguientes opciones en el /etc/multipath.confarchivo controlan el comportamiento de las rutas marginales:

  • marginal_path_double_failed_time,
  • marginal_path_err_sample_time,
  • marginal_path_err_rate_thresholdy
  • marginal_path_err_recheck_gap_time.

DM Multipath desactiva una ruta y la prueba con E/S repetidas durante el tiempo de muestreo configurado si:

  • se fijan las opciones listadasmultipath.conf,
  • una ruta falla dos veces en el tiempo configurado, y
  • hay otros caminos disponibles.

Si la ruta tiene más de la tasa de errores configurada durante esta prueba, DM Multipath la ignora durante el tiempo de intervalo configurado, y luego la vuelve a probar para ver si está funcionando lo suficientemente bien como para ser reinstalada.

Para obtener más información, consulte la página de multipath.confmanual.

(BZ#1643550)

Comportamiento predeterminado de la cola múltiple

Los dispositivos de bloque ahora utilizan la programación de múltiples colas en Red Hat Enterprise Linux 8. Esto permite que el rendimiento de la capa de bloques se pueda escalar bien con unidades de estado sólido (SSD) rápidas y sistemas multinúcleo.

El controlador SCSI Multiqueue (scsi-mq) está ahora habilitado por defecto, y el kernel arranca con la scsi_mod.use_blk_mq=Yopción. Este cambio es consistente con el kernel de Linux.

Device Mapper Multipath (DM Multipath) requiere que el scsi-mqcontrolador esté activo.

(BZ#1647612)

Stratis ya está disponible

Stratis es un nuevo gestor de almacenamiento local. Proporciona sistemas de archivos administrados en la parte superior de los pools de almacenamiento con características adicionales para el usuario.

Stratis le permite realizar más fácilmente tareas de almacenamiento como:

  • Gestionar instantáneas y thin provisioning
  • Aumente automáticamente el tamaño del sistema de archivos según sea necesario
  • Actualizar sistemas de ficheros

Para administrar el almacenamiento de Stratis, utilice la stratisutilidad, que se comunica con el servicio de stratisdfondo.

Para más información, véase la documentación de Stratis: Managing layered local storage with Stratis.

(JIRA:RHELPLAN-1212)

4.12. Alta disponibilidad y clusters (traducción automática)

Nuevos pcscomandos para listar los dispositivos de vigilancia disponibles y probar los dispositivos de vigilancia

Para configurar el SBD con Marcapasos, se requiere un dispositivo de vigilancia que funcione. Esta versión soporta el pcs stonith sbd watchdog listcomando para listar los dispositivos de vigilancia disponibles en el nodo local, y el pcs stonith sbd watchdog testcomando para probar un dispositivo de vigilancia. Para obtener información sobre la herramienta de línea de sbdcomandos, consulte la página sbd(8) man.

(BZ#1578891)

El pcscomando ahora soporta el filtrado de fallos de recursos por una operación y su intervalo

El marcapasos ahora rastrea las fallas de recursos por operación de un recurso encima de un nombre de recurso y un nodo. El pcs resource failcount showcomando ahora permite filtrar fallas por recurso, nodo, operación e intervalo. Proporciona una opción para mostrar fallos agregados por recurso y nodo o detallados por recurso, nodo, operación y su intervalo. Además, el pcs resource failcount resetcomando ahora permite filtrar fallas por recurso, nodo, operación e intervalo.

(BZ#1591308)

Sellos de tiempo habilitados en el corosyncregistro

El corosyncregistro no contenía previamente marcas de tiempo, lo que hacía difícil relacionarlo con registros de otros nodos y demonios. Con esta versión, las marcas de tiempo están presentes en el corosyncregistro.

(BZ#1615420)

Nuevos formatos para pcs cluster setup, pcs cluster node addy pcs cluster node removecomandos

En Red Hat Enterprise Linux 8, soporta pcscompletamente Corosync 3, knet, y nombres de nodos. Los nombres de nodo son ahora obligatorios y sustituyen a las direcciones de nodo en la función de identificador de nodo. Las direcciones de nodo son ahora opcionales.

  • En el pcs host authcomando, las direcciones de nodo son predeterminadas para los nombres de nodo
  • En los pcs cluster node addcomandos pcs cluster setupy, las direcciones de nodo predeterminadas son las direcciones de nodo especificadas en el pcs host authcomando.

Con estos cambios, los formatos de los comandos para configurar un clúster, añadir un nodo a un clúster y eliminar un nodo de un clúster han cambiado. Para obtener información sobre estos nuevos formatos de comando, consulte la pantalla de ayuda de los pcs cluster node removecomandos y pcs cluster setup,pcs cluster node add.

(BZ#1158816)

Marcapasos 2.0.0 en RHEL 8

Los pacemakerpaquetes han sido actualizados a la versión upstream de Pacemaker 2.0.0, que proporciona una serie de correcciones y mejoras con respecto a la versión anterior:

  • El registro de detalles del marcapasos está ahora /var/log/pacemaker/pacemaker.logpor defecto (no directamente en /var/logo combinado con el corosyncregistro en /var/log/cluster).
  • Los procesos del demonio Marcapasos han sido renombrados para que la lectura de los registros sea más intuitiva. Por ejemplo, pengineha sido renombrado a pacemaker-schedulerd.
  • Se ha eliminado la compatibilidad con las propiedades obsoletas default-resource-stickinessy is-managed-defaultde clústeres. En su lugar, las is-managedpropiedades resource-stickinessy deberían establecerse en los valores predeterminados de los recursos. Las configuraciones existentes (aunque no las de nueva creación) con la sintaxis obsoleta se actualizarán automáticamente para utilizar la sintaxis soportada.
  • Una lista más completa de los cambios está disponible en https://access.redhat.com/articles/3681151.

Se recomienda que los usuarios que estén actualizando un clúster existente utilizando Red Hat Enterprise Linux 7 o versiones anteriores, se ejecuten pcs cluster cib-upgradeen cualquier nodo de clúster antes y después de actualizar RHEL en todos los nodos de clúster.

(BZ#1543494)

Recursos maestros rebautizados como recursos de clonación promocionables

Red Hat Enterprise Linux (RHEL) 8 es compatible con Pacemaker 2.0, en el que un recurso maestro/esclavo ya no es un tipo de recurso separado, sino un recurso de clonación estándar con un promotablemeta-atributo configurado atrue... Los siguientes cambios han sido implementados en apoyo a esta actualización:

  • Ya no es posible crear recursos maestros con el pcscomando. En su lugar, es posible crear promotablerecursos de clonación. Las palabras clave y los comandos relacionados han sido cambiados de masterpromotable.
  • Todos los recursos maestros existentes se visualizan como recursos de clonación promocionables.
  • Cuando se gestiona un clúster de RHEL7 en la interfaz web, los recursos maestros siguen llamándose maestros, ya que los clústeres de RHEL7 no admiten clones promocionables.

(BZ#1542288)

Nuevos comandos para autentificar nodos en un cluster

Red Hat Enterprise Linux (RHEL) 8 incorpora los siguientes cambios en los comandos utilizados para autenticar nodos en un cluster.

  • El nuevo comando para la autenticación es pcs host auth. Este comando permite a los usuarios especificar nombres de host, direcciones y pcsdpuertos.
  • El pcs cluster authcomando autentica sólo los nodos de un cluster local y no acepta una lista de nodos
  • Ahora es posible especificar una dirección para cada nodo ypcs, a continuación,pcsd se comunicará con cada nodo utilizando la dirección especificada. Estas direcciones pueden ser diferentes a las que se corosyncutilizan internamente.
  • El pcs pcsd clear-authcomando ha sido reemplazado por los comandos pcs pcsd deauthypcs host deauth. Los nuevos comandos permiten a los usuarios desautorizar un único host así como todos los hosts.
  • Anteriormente, la autenticación de nodos era bidireccional, y al ejecutar el pcs cluster authcomando todos los nodos especificados se autenticaban entre sí. El pcs host authcomando, sin embargo, hace que sólo el host local se autentique contra los nodos especificados. Esto permite un mejor control de qué nodo se autentica contra qué otros nodos cuando se ejecuta este comando. En la propia configuración del clúster, y también al añadir un nodo, sincroniza pcsautomáticamente los tokens en el clúster, de modo que todos los nodos del clúster se autentican automáticamente como antes y los nodos del clúster pueden comunicarse entre sí.

Tenga en cuenta que estos cambios no son compatibles con versiones anteriores. Los nodos que hayan sido autenticados en un sistema RHEL 7 deberán serlo de nuevo.

(BZ#1549535)

Los pcscomandos ahora soportan la visualización, limpieza y sincronización del historial de esgrima

El demonio de la valla del marcapasos rastrea un historial de todas las acciones de la valla tomadas (pendientes, exitosas y fallidas). Con esta versión, los pcscomandos permiten a los usuarios acceder al historial de esgrima de las siguientes maneras:

  • El pcs statuscomando muestra las acciones de vallado fallidas y pendientes
  • El pcs status --fullcomando muestra todo el historial de esgrima
  • El pcs stonith historycomando proporciona opciones para mostrar y limpiar el historial de esgrima
  • Aunque el historial de esgrima se sincroniza automáticamente, el pcs stonith historycomando ahora soporta una updateopción que permite al usuario sincronizar manualmente el historial de esgrima en caso de ser necesario

(BZ#1620190, BZ#1615891)

4.13. Trabajo en red (traducción automática)

nftables reemplaza iptablescomo el marco de filtrado de paquetes de red predeterminado

El nftablesmarco proporciona instalaciones de clasificación de paquetes y es el sucesor designado de los iptablesip6tables, arptables, y ebtablesherramientas. Ofrece numerosas mejoras en comodidad, características y rendimiento en comparación con las herramientas de filtrado de paquetes anteriores, sobre todo:

  • tablas de búsqueda en lugar de procesamiento lineal
  • un marco único tanto para los IPv6protocolos IPv4como para los protocolos
  • todas las reglas se aplican atómicamente en lugar de obtener, actualizar y almacenar un conjunto de reglas completo
  • soporte para depuración y rastreo en el conjunto de reglas (nftrace) y monitoreo de eventos de rastreo (en la nftherramienta)
  • sintaxis más consistente y compacta, sin extensiones específicas de protocolo
  • una API de Netlink para aplicaciones de terceros

Al igual que en el caso de las cadenas de almacenamientoiptables, nftablesutilice tablas para almacenarlas. Las cadenas contienen reglas individuales para realizar acciones. La nftherramienta reemplaza todas las herramientas de los marcos de trabajo de filtrado de paquetes anteriores. La libnftablesbiblioteca se puede utilizar para la interacción de bajo nivel con la API de nftablesNetlink a través de la libmnlbiblioteca.

Las iptablesherramientas , ip6tables, ebtablesy las arptablesherramientas se sustituyen por reemplazos sin cita previa basados en nftables con el mismo nombre. Mientras que el comportamiento externo es idéntico al de sus homólogos heredados, internamente utilizan nftablescon módulos del netfilternúcleo heredados a través de una interfaz de compatibilidad cuando es necesario.

El efecto de los módulos sobre el nftablesconjunto de reglas se puede observar usando el nft list rulesetcomando. Dado que estas herramientas añaden tablas, cadenas y reglas al nftablesconjunto de reglas, tenga en cuenta que las operaciones de conjunto nftablesde reglas, como el nft flush rulesetcomando, pueden afectar a los conjuntos de reglas instalados utilizando los comandos heredados anteriormente separados.

Para identificar rápidamente qué variante de la herramienta está presente, se ha actualizado la información de la versión para incluir el nombre del back-end. En RHEL 8, la herramienta basada en nftables iptablesimprime la siguiente cadena de versión:

$ iptables --version
iptables v1.8.0 (nf_tables)

Para la comparación, se imprime la siguiente información de versión si la herramienta heredada iptablesestá presente:

$ iptables --version
iptables v1.8.0 (legacy)

(BZ#1644030)

Funciones TCP notables en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con la versión 4.16 de la pila de redes TCP, que proporciona un mayor rendimiento, mejor escalabilidad y más estabilidad. Las prestaciones se incrementan especialmente para servidores TCP ocupados con una alta tasa de conexión de entrada.

Además, están disponibles dos nuevos algoritmos de congestión TCP, BBRy NV,, que ofrecen una latencia más baja y un mejor rendimiento que el cúbico en la mayoría de los escenarios.

(BZ#1562998)

firewalld usos nftablespor defecto

Con esta actualización, el subsistema de nftablesfiltrado es el backend predeterminado del firewall para el firewallddemonio. Para cambiar el módulo de servicio, utilice la FirewallBackendopción del /etc/firewalld.confarchivo.

Este cambio introduce las siguientes diferencias en el comportamiento cuando se utilizanftables..:

  1. iptables las ejecuciones de reglas siempre ocurren antes firewalldque las reglas

    • DROP en iptablessignifica que un paquete nunca es visto por firewalld
    • ACCEPT en iptablessignifica que un paquete sigue estando sujeto a firewalldreglas
  2. firewalld las reglas directas se siguen implementando a través de otras firewalldfunciones, iptablesmientras que otras utilizan nftables
  3. la ejecución directa de la regla ocurre antes de la aceptación firewalldgenérica de las conexiones establecidas

(BZ#1509026)

Cambios notables en wpa_supplicantRHEL 8

En Red Hat Enterprise Linux (RHEL) 8, el wpa_supplicantpaquete está construido con la opción CONFIG_DEBUG_SYSLOGenabled. Esto permite leer el wpa_supplicantregistro utilizando la journalctlutilidad en lugar de comprobar el contenido del /var/log/wpa_supplicant.logarchivo.

(BZ#1582538)

NetworkManager ahora soporta funciones virtuales SR-IOV

En Red Hat Enterprise Linux 8.0, NetworkManager permite configurar el número de funciones virtuales (VF) para interfaces que soportan la virtualización de E/S de raíz única (SR-IOV). Además, NetworkManager permite configurar algunos atributos de los VFs, como la dirección MAC, VLAN, la spoof checkingconfiguración y las velocidades de bits permitidas. Tenga en cuenta que todas las propiedades relacionadas con SR-IOV están disponibles en la configuración de sriovconexión. Para más detalles, consulte la página de nm-settings(5)manual.

(BZ#1555013)

Ahora se admiten controladores de red virtual IPVLAN

En Red Hat Enterprise Linux 8.0, el kernel incluye soporte para controladores de red virtual IPVLAN. Con esta actualización, las Tarjetas de Interfaz de Red virtuales IPVLAN (NICs) permiten la conectividad de red para múltiples contenedores exponiendo una sola dirección MAC a la red local. Esto permite que un único host tenga muchos contenedores, superando la posible limitación en el número de direcciones MAC soportadas por el equipo de red de pares.

(BZ#1261167)

NetworkManager soporta un nombre de interfaz comodín que coincide con el nombre de las conexiones

Anteriormente, era posible restringir una conexión a una interfaz determinada utilizando sólo una coincidencia exacta en el nombre de la interfaz. Con esta actualización, las conexiones tienen una nueva match.interface-namepropiedad que soporta comodines. Esta actualización permite a los usuarios elegir la interfaz para una conexión de forma más flexible utilizando un patrón de caracteres comodín.

(BZ#1555012)

Mejoras en la pila de redes 4.18

Red Hat Enterprise Linux 8.0 incluye la pila de redes actualizada a la versión 4.18, que proporciona varias correcciones y mejoras. Los cambios notables incluyen:

  • Se introdujeron nuevas funciones de descarga, como UDP_GSO, y, para algunos controladores de dispositivos, GRO_HW.
  • Escalabilidad significativa mejorada para el Protocolo de Datagramas de Usuario (UDP).
  • Mejorado el código genérico de sondeo de ocupado.
  • Escalabilidad mejorada para el protocolo IPv6.
  • Escalabilidad mejorada para el código de enrutamiento.
  • Añadido un nuevo algoritmo de programación de colas de transmisión por defecto,fq_codel, que mejora el retardo de transmisión.
  • Escalabilidad mejorada para algunos algoritmos de programación de colas de transmisión. Por ejemplo, pfifo_fastahora no tiene cerradura.

(BZ#1562987)

Nuevas herramientas para convertir iptablesa nftables

Esta actualización añade las herramientas iptables-translatey ip6tables-translatepara convertir las reglas existentes iptableso ip6tableslas reglas en las equivalentes para nftables. Tenga en cuenta que algunas extensiones carecen de soporte de traducción. Si existe tal extensión, la herramienta imprime la regla no traducida precedida por el #signo. Por ejemplo:

| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill
| nft # -A INPUT -j CHECKSUM --checksum-fill

Además, los usuarios pueden utilizar las herramientas iptables-restore-translatey ip6tables-restore-translatepara traducir un volcado de reglas. Tenga en cuenta que antes de eso, los usuarios pueden usar los comandos iptables-saveo ip6tables-savepara imprimir un volcado de las reglas actuales. Por ejemplo:

| % sudo iptables-save >/tmp/iptables.dump
| % iptables-restore-translate -f /tmp/iptables.dump
| # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018
| add table ip nat
| ...

(BZ#1564596)

Nuevas características añadidas a la VPN usando NetworkManager

En Red Hat Enterprise Linux 8.0, NetworkManager proporciona las siguientes características nuevas a VPN:

  • Soporte para el protocolo Internet Key Exchange versión 2 (IKEv2).
  • Añadidas algunas opciones más de Libreswan, como las rightidfragmentationopciones leftcert, narrowing, , , rekey,. Para más detalles sobre las opciones soportadas, consulte la página nm-settings-libreswanman.
  • Actualizado las cifras por defecto. Esto significa que cuando el usuario no especifica las cifras, el plugin NetworkManager-libreswan permite a la aplicación Libreswan elegir el cifrado por defecto del sistema. La única excepción es cuando el usuario selecciona una configuración de modo agresivo de IKEv1. En este caso, los eps = aes256-sha1valores ike = aes256-sha1;modp1536y se pasan a Libreswan.

(BZ#1557035)

Un nuevo tipo de trozo de datos, I-DATA, añadido a SCTP

Esta actualización añade un nuevo tipo de chunk de datos, I-DATA, y programadores de streams al Protocolo de Transmisión de Control de Stream (SCTP). Anteriormente, SCTP enviaba los mensajes de los usuarios en el mismo orden en que fueron enviados por un usuario. En consecuencia, un mensaje de usuario SCTP de gran tamaño bloqueó todos los demás mensajes de cualquier secuencia hasta que se enviaron por completo. Cuando se utilizan I-DATAtrozos, el campo Número de secuencia de transmisión (TSN) no se sobrecarga. Como resultado, SCTP ahora puede programar las transmisiones de diferentes maneras, y I-DATApermite el entrelazado de mensajes de usuario (RFC 8260). Tenga en cuenta que ambos pares deben apoyar el tipo de I-DATAtrozo.

(BZ#1273139)

4.14. Seguridad (traducción automática)

El perfil PCI-DSS de la Guía de Seguridad SCAP se alinea con la versión 3.2.1

El SCAP Security Guideproyecto proporciona el perfil PCI-DSS (Payment Card Industry Data Security Standard) para Red Hat Enterprise Linux 8 y ha sido actualizado para alinearlo con la última versión PCI-DSS - 3.2.1.

(BZ#1618528)

OpenSSH ha vuelto a basar en la versión 7.8p1

Los opensshpaquetes han sido actualizados a la versión 7.8p1. Los cambios notables incluyen:

  • Se ha eliminado el soporte para el SSH version 1protocolo.
  • Se ha eliminado el soporte para el código de autenticación de hmac-ripemd160mensajes.
  • Eliminado el soporte para RC4 (arcfour) cifrado.
  • Eliminado el soporte para las Blowfishcifras.
  • Eliminado el soporte para las CASTcifras.
  • Cambiado el valor por defecto de la UseDNSopción a no.
  • Algoritmos de clave pública desactivados DSApor defecto.
  • Cambiado el tamaño mínimo del módulo para los Diffie-Hellmanparámetros a 2048 bits.
  • Cambiada la semántica de la opción de ExposeAuthInfoconfiguración.
  • La UsePrivilegeSeparation=sandboxopción es ahora obligatoria y no se puede desactivar.
  • Configure el tamaño mínimo aceptado RSAde la clave en 1024 bits.

(BZ#1622511)

RSA-PSS está ahora soportado en OpenSC

Esta actualización añade soporte para el esquema de firma criptográfica RSA-PSS al controlador de la tarjeta OpenSCinteligente. El nuevo esquema permite un algoritmo criptográfico seguro requerido para el soporte de TLS 1.3 en el software cliente.

(BZ#1595626)

Cambios notables en rsyslogRHEL 8

Los rsyslogpaquetes han sido actualizados a la versión 8.37.0, que proporciona muchas correcciones y mejoras con respecto a las versiones anteriores. Los cambios más notables incluyen

  • Mejora del procesamiento de los mensajes internos de rsyslog; posibilidad de limitar la velocidad de los mensajes; se ha corregido un posible punto muerto.
  • Mejora de la limitación de la velocidad en general; la fuente real de spam se registra ahora.
  • Manejo mejorado de mensajes de gran tamaño - el usuario puede ahora establecer cómo tratarlos tanto en el núcleo como en ciertos módulos con acciones separadas.
  • mmnormalize las bases de reglas ahora pueden ser incrustadas en el configarchivo en lugar de crear archivos separados para ellas.
  • El usuario ahora puede configurar la cadena de prioridad de GnuTLS para imtcpque permita un control detallado sobre el cifrado.
  • Todas configlas variables, incluyendo las variables en JSON, son ahora insensibles a mayúsculas y minúsculas.
  • Varias mejoras en la salida de PostgreSQL.
  • Añadida la posibilidad de usar variables shell para controlar configel procesamiento, como la carga condicional de archivos de configuración adicionales, la ejecución de sentencias o la inclusión de un texto en config. Tenga en cuenta que un uso excesivo de esta característica puede hacer que sea muy difícil depurar problemas con rsyslog.
  • Los modos de creación de archivos de 4 dígitos se pueden especificar ahora en config.
  • La entrada Relp (Relief Event Logging Protocol) ahora puede enlazar también sólo en una dirección especificada.
  • El valor predeterminado de la enable.bodyopción de salida de correo ahora está alineado con la documentación
  • El usuario puede ahora especificar códigos de error de inserción que deben ser ignorados en la salida de MongoDB.
  • La entrada paralela TCP (pTCP) tiene ahora el retraso configurable para un mejor balanceo de carga.

(BZ#1613880)

Nuevo módulo rsyslog: omkafka

Para habilitar los escenarios de almacenamiento de datos centralizado de kafka, ahora puede reenviar los registros a la infraestructura de kafka utilizando el nuevo omkafkamódulo.

(BZ#1542497)

libssh implementa SSH como un componente criptográfico central

Este cambio se introduce libsshcomo un componente criptográfico central en Red Hat Enterprise Linux 8. La libsshbiblioteca implementa el protocolo Secure SHell (SSH).

Tenga en cuenta que libsshno cumple con la política de cifrado de todo el sistema.

(BZ#1485241)

El soporte de PKCS #11 para tarjetas inteligentes y HSM ahora es consistente en todo el sistema

Con esta actualización, el uso de tarjetas inteligentes y módulos de seguridad de hardware (HSM) con interfaz de token criptográfico PKCS #11 se vuelve consistente. Esto significa que el usuario y el administrador pueden utilizar la misma sintaxis para todas las herramientas relacionadas en el sistema. Las mejoras notables incluyen:

  • Soporte para el esquema PKCS #11 Uniform Resource Identifier (URI) que asegura una habilitación simplificada de tokens en servidores RHEL tanto para administradores como para escritores de aplicaciones.
  • Un método de registro a nivel de sistema para tarjetas inteligentes y HSM que utilizan elpkcs11.conf...
  • Soporte consistente para HSMs y tarjetas inteligentes está disponible en aplicaciones NSS, GnuTLS y OpenSSL (a través del openssl-pkcs11motor).
  • El servidor HTTP Apache (httpd) ahora soporta sin problemas los HSM.

Para obtener más información, consulte la página de pkcs11.conf(5)manual.

(BZ#1516741)

Las políticas criptográficas de todo el sistema se aplican por defecto

Crypto-policies es un componente de Red Hat Enterprise Linux 8, que configura los principales subsistemas criptográficos, cubriendo los protocolos TLS, IPSec, SSH, DNSSec y Kerberos. Proporciona un pequeño conjunto de políticas, que el administrador puede seleccionar utilizando el update-crypto-policiescomando.

La política criptográfica de todo DEFAULTel sistema ofrece una configuración segura para los modelos de amenazas actuales. Permite los protocolos TLS 1.2 y 1.3, así como los protocolos IKEv2 y SSH2. Las claves RSA y los parámetros Diffie-Hellman se aceptan si son mayores de 2047 bits.

Vea el Consistent security by crypto policies in Red Hat Enterprise Linux 8artículo en el Blog de Red Hat y la página de update-crypto-policies(8)manual para más información.

(BZ#1591620)

La Guía de seguridad SCAP es compatible con OSPP 4.2

SCAP Security Guide proporciona un borrador del perfil OSPP (Protection Profile for General Purpose Operating Systems) versión 4.2 para Red Hat Enterprise Linux 8. Este perfil refleja los controles de configuración obligatorios identificados en el Anexo de Configuración NIAP del Perfil de Protección para Sistemas Operativos de Propósito General (Perfil de Protección Versión 4.2). SCAP Security Guide proporciona comprobaciones y scripts automatizados que permiten a los usuarios cumplir con los requisitos definidos en el OSPP.

(BZ#1618518)

Se ha mejorado la interfaz de línea de comandos de OpenSCAP

El modo detallado está ahora disponible en todos oscaplos módulos y submódulos. La salida de la herramienta ha mejorado el formateo.

Se han eliminado las opciones desaprobadas para mejorar la usabilidad de la interfaz de la línea de comandos.

Las siguientes opciones ya no están disponibles:

  • --show in oscap xccdf generate reportha sido completamente eliminado.
  • --probe-root en oscap oval evalha sido removido. Puede ser sustituido por el ajuste de la variable de entorno, OSCAP_PROBE_ROOT.
  • --sce-results in oscap xccdf evalse ha sustituido por --check-engine-results
  • validate-xml el submódulo ha sido eliminado de los módulos CPE, OVAL y XCCDF. Los validatesubmódulos pueden ser usados en su lugar para validar el contenido SCAP contra los esquemas XML y los patrones XSD.
  • oscap oval list-probes se ha eliminado, la lista de sondas disponibles puede mostrarse en su oscap --versionlugar.

OpenSCAP permite evaluar todas las reglas en un punto de referencia XCCDF dado, independientemente del perfil, mediante el uso de --profile '(all)'.

(BZ#1618484)

Soporte para una nueva comprobación de permisos de mapa en la mmapllamada al sistema

Se ha añadido el mappermiso SELinux para controlar el acceso asignado a la memoria a archivos, directorios, sockets, etc. Esto permite que la política SELinux impida el acceso directo a la memoria de varios objetos del sistema de archivos y asegure que cada uno de estos accesos sea revalidado.

(BZ#1592244)

SELinux ahora soporta systemd No New Privileges

Esta actualización introduce la capacidad de nnp_nosuid_transitionpolítica que permite las transiciones de dominio de SELinux bajo (NNPNo New Privileges) o nosuidsi nnp_nosuid_transitionse permite entre el contexto antiguo y el nuevo. Los selinux-policypaquetes ahora contienen una política para los servicios systemd que utilizan la función de NNPseguridad.

La siguiente regla describe cómo permitir esta capacidad para un servicio:

   allow source_domain  target_type:process2 { nnp_transition nosuid_transition };

Por ejemplo:

   allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };

La política de distribución contiene ahora también la interfaz de la macro m4, que puede ser utilizada en las políticas de seguridad de SELinux para los servicios que utilizan la init_nnp_daemon_domain()función.

(BZ#1594111)

SELinux ahora soporta getrlimitpermisos en la processclase

Esta actualización introduce un nuevo control de acceso SELinux, process:getrlimitque se ha añadido para la prlimit()función. Esto permite a los desarrolladores de políticas de SELinux controlar cuándo un proceso intenta leer y luego modificar los límites de recursos de otro proceso utilizando el process:setrlimitpermiso. Tenga en cuenta que SELinux no restringe un proceso de manipular sus propios límites de recursos a través de prlimit(). Vea las páginas prlimit(2)y getrlimit(2)man para más información.

(BZ#1549772)

Soporte de TLS 1.3 en librerías criptográficas

Esta actualización permite Transport Layer Security (TLS) 1.3 de forma predeterminada en todas las principales bibliotecas criptográficas de back-end. Esto permite una baja latencia en toda la capa de comunicaciones del sistema operativo y mejora la privacidad y seguridad de las aplicaciones al aprovechar los nuevos algoritmos, como RSA-PSS o X25519.

(BZ#1516728)

Novedades en OpenSCAPRHEL 8

La OpenSCAPsuite ha sido actualizada a la versión 1.3.0, que introduce muchas mejoras con respecto a las versiones anteriores. Las características más notables incluyen:

  • API y ABI se han consolidado - se han eliminado los símbolos actualizados, obsoletos y/o no utilizados.
  • Las sondas no se ejecutan como procesos independientes, sino como roscas dentro del oscapproceso.
  • La interfaz de la línea de comandos ha sido actualizada.
  • Python 2 las fijaciones han sido reemplazadas por Python 3fijaciones.

(BZ#1614273)

Audit 3.0 reemplaza audispdcon auditd

Con esta actualización, la funcionalidad de audispdse ha movido a auditd. Como resultado, las opciones de audispdconfiguración son ahora parte de auditd.conf. Además, el plugins.ddirectorio se ha movido bajo /etc/audit. El estado actual de los plug-ins auditdy sus plug-ins se puede comprobar ejecutando el service auditd statecomando.

(BZ#1616428)

rsyslog imfileahora soporta symlinks

Con esta actualización, el imfilemódulo rsyslog ofrece un mejor rendimiento y más opciones de configuración. Esto le permite utilizar el módulo para casos de uso más complicados de monitorización de archivos. Por ejemplo, ahora puede utilizar monitores de archivos con patrones glob en cualquier lugar a lo largo de la ruta configurada y rotar objetivos symlink con un mayor rendimiento de datos.

(BZ#1614179)

La generación automática de las claves del OpenSSHservidor es ahora manejada por sshd-keygen@.service

OpenSSH crea automáticamente las claves de host de servidor RSA, ECDSA y ED25519 si faltan. Para configurar la creación de la clave del host en RHEL 8, utilice el servicio sshd-keygen@.serviceinstanciado.

Por ejemplo, para desactivar la creación automática del tipo de clave RSA:

# systemctl mask sshd-keygen@rsa.service

Vea el /etc/sysconfig/sshdarchivo para más información.

(BZ#1228088)

El formato de archivo de rsyslogconfiguración predeterminado es ahora no heredado

Los archivos de configuración en los rsyslogpaquetes ahora usan el formato no-legacy por defecto. El formato heredado puede seguir utilizándose, sin embargo, la mezcla de sentencias de configuración actuales y heredadas tiene varias limitaciones. Las configuraciones realizadas desde versiones anteriores de RHEL deben ser revisadas. Vea la página de rsyslog.conf(5)manual para más información.

(BZ#1619645)

Nuevo SELinux booleans

Esta actualización de la política del sistema SELinux introduce los siguientes booleanos:

  • colord_use_nfs
  • mysql_connect_http
  • pdns_can_network_connect_db
  • ssh_use_tcpd
  • sslh_can_bind_any_port
  • sslh_can_connect_any_port
  • virt_use_pcscd

Para más detalles, vea la salida del siguiente comando:

# semanage boolean -l

(JIRA:RHELPLAN-10347)

4.15. Virtualización (traducción automática)

KVM soporta paginación de 5 niveles

Con Red Hat Enterprise Linux 8, la virtualización KVM soporta la característica de paginación de 5 niveles, que aumenta significativamente el espacio de direcciones físico y virtual que pueden utilizar los sistemas huésped y host.

(BZ#1485229)

KVM soporta UMIP en RHEL 8

La virtualización KVM ahora soporta la función User-Mode Instruction Prevention (UMIP), que puede ayudar a evitar que las aplicaciones de espacio de usuario accedan a la configuración de todo el sistema. Esto reduce los vectores potenciales para los ataques de escalamiento de privilegios y, por lo tanto, hace que el hipervisor KVM y sus máquinas huéspedes sean más seguros.

(BZ#1494651)

Información adicional en los informes de accidentes de los huéspedes de KVM

Se ha ampliado la información sobre colisiones que genera el hipervisor KVM si un huésped se da de baja de forma inesperada o no responde. Esto facilita el diagnóstico y la solución de problemas en implementaciones de virtualización KVM.

(BZ#1508139)

qemu-kvm 2.12 en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con la versión 2qemu-kvm.12. Esta versión corrige múltiples errores y añade una serie de mejoras sobre la versión 1.5.3, disponible en Red Hat Enterprise Linux 7.

En particular, se han introducido las siguientes características:

  • Q35 tipo de máquina huésped
  • Arranque de huésped UEFI
  • Sintonización y fijación de NUMA en el huésped
  • vCPU hot plug y hot unplug
  • roscado de E/S de invitado

Tenga en cuenta que algunas de las características disponibles en la versión 2qemu-kvm.12 no son compatibles con Red Hat Enterprise Linux 8. Para obtener información detallada, consulte "Compatibilidad y limitaciones de las funciones en la virtualización RHEL 8" en el Portal del cliente de Red Hat.

(BZ#1559240)

NVIDIA vGPU es ahora compatible con la consola VNC

Al utilizar la función de GPU virtual NVIDIA (vGPU), ahora es posible utilizar la consola VNC para mostrar la salida visual del invitado.

(BZ#1497911)

Ceph es compatible con la virtualización

Con esta actualización, el almacenamiento Ceph es compatible con la virtualización KVM en todas las arquitecturas de CPU compatibles con Red Hat.

(BZ#1578855)

El tipo de máquina Q35 está ahora soportado por la virtualización

Red hat Enterprise Linux 8 introduce el soporte para Q35, un tipo de máquina más moderno basado en PCI Express. Esto proporciona una variedad de mejoras en las características y el rendimiento de los dispositivos virtuales y garantiza que una gama más amplia de dispositivos modernos sean compatibles con la virtualización. Además, las máquinas virtuales creadas en Red Hat Enterprise Linux 8 están configuradas para utilizar Q35 de forma predeterminada.

Tenga en cuenta también que el tipo de equipo de PC previamente predeterminado ha quedado obsoleto y sólo debería utilizarse al virtualizar sistemas operativos más antiguos que no sean compatibles con Q35.

(BZ#1599777)

Cargador de arranque interactivo para máquinas virtuales en IBM Z

Al arrancar una máquina virtual (VM) en un host IBM Z, el firmware del cargador de arranque QEMU presenta ahora una interfaz de consola interactiva. Esto permite solucionar problemas de arranque del SO huésped sin necesidad de acceder al entorno del host.

(BZ#1508137)

Se ha añadido el sandboxing de QEMU

En Red Hat Enterprise Linux 8, el emulador QEMU introduce la característica de sandboxing. El sandboxing de QEMU proporciona limitaciones configurables a lo que los sistemas llamados QEMU pueden realizar, y por lo tanto hace que las máquinas virtuales sean más seguras. Tenga en cuenta que esta función está activada y configurada de forma predeterminada.

(JIRA:RHELPLAN-10628)

Juegos de instrucciones GFNI y CLDEMOT habilitados para Intel Xeon SnowRidge

Las máquinas virtuales (VM) que se ejecutan en un host RHEL 8 en un sistema Intel Xeon SnowRidge ahora pueden utilizar los conjuntos de instrucciones GFNI y CLDEMOT. Esto puede aumentar significativamente el rendimiento de estas máquinas virtuales en determinadas situaciones.

(BZ#1494705)

Se ha añadido un controlador de bloques basado en VFIO para dispositivos NVMe

El emulador QEMU introduce un controlador basado en funciones virtuales de E/S (VFIO) para dispositivos de memoria no volátil express (NVMe). El controlador se comunica directamente con los dispositivos NVMe conectados a las máquinas virtuales (VM) y evita el uso de la capa de sistema del núcleo y sus controladores NVMe. Como resultado, esto mejora el rendimiento de los dispositivos NVMe en máquinas virtuales.

(BZ#1519004)

Mejoras en el soporte de páginas gigantes

Cuando se utiliza RHEL 8 como host de virtualización, los usuarios pueden modificar el tamaño de las páginas que respaldan la memoria de una máquina virtual (VM) a cualquier tamaño que soporte la CPU. Esto puede mejorar significativamente el rendimiento de la máquina virtual.

Para configurar el tamaño de las páginas de memoria de la VM, edite la configuración XML de la VM y añada el elemento <hugepages> a la sección <memoryBacking>.

(JIRA:RHELPLAN-14607)

4.16. Soporte técnico (traducción automática)

sosreport puede reportar programas y mapas basados en eBPF

La herramienta sosreport ha sido mejorada para reportar cualquier programa extendido de Berkeley Packet Filtering (eBPF) cargado y mapas en Red Hat Enterprise Linux 8.

(BZ#1559836)

Capítulo 5. Previsiones de tecnología (traducción automática)

Esta parte proporciona una lista de todas las vistas previas de tecnología disponibles en Red Hat Enterprise Linux 8.0.

Para obtener información sobre el alcance del soporte de Red Hat para las funciones de Vista previa de la tecnología, consulte Technology Preview Features Support Scope.

5.1. Kernel (traducción automática)

XDP disponible como un avance tecnológico

La función eXpress Data Path (XDP), que está disponible como Technology Preview, proporciona un medio para cargar programas Berkeley Packet Filter (BPF) para el procesamiento de paquetes de alto rendimiento en el kernel, haciendo que la ruta de datos de red del kernel sea programable.

(BZ#1503672)

eBPF disponible como un avance tecnológico

La función ampliada de Berkeley Packet Filtering (eBPF) está disponible como una vista previa de la tecnología tanto para la creación de redes como para el rastreo. eBPF permite al espacio de usuario conectar programas personalizados en una variedad de puntos (tomas, puntos de rastreo, recepción de paquetes) para recibir y procesar datos. La característica incluye una nueva llamada bpf()de sistema, que permite crear varios tipos de mapas, y también insertar varios tipos de programas en el kernel. Vea la página de manual bpf(2) para más información.

(BZ#1559616)

BCC está disponible como un avance de la tecnología

BPF Compiler Collection (BCC) es un kit de herramientas de espacio de usuario para crear programas eficientes de rastreo y manipulación del kernel que está disponible como una Muestra de tecnología en Red Hat Enterprise Linux 8. BCCproporciona herramientas para el análisis de E/S, la creación de redes y la monitorización de sistemas operativos Linux utilizando la herramientaextended Berkeley Packet Filtering (eBPF).

(BZ#1548302)

Control Group v2 disponible como una vista previa de la tecnología en RHEL 8

El mecanismo Control Group v2 es un grupo de control de jerarquía unificada. Control Group v2 organiza los procesos jerárquicamente y distribuye los recursos del sistema a lo largo de la jerarquía de una manera controlada y configurable.

A diferencia de la versión anterior, Control Group v2 tiene una sola jerarquía. Esta única jerarquía permite al núcleo de Linux:

  • Categorizar los procesos en función de la función de su propietario.
  • Eliminar problemas con políticas conflictivas de múltiples jerarquías.

Control Group v2 soporta numerosos controladores:

  • El controlador de CPU regula la distribución de los ciclos de CPU. Este controlador implementa:

    • Modelos de límite de peso y ancho de banda absoluto para la política de programación normal.
    • Modelo absoluto de asignación de ancho de banda para la política de programación en tiempo real.
  • El controlador de memoria regula la distribución de la memoria. Actualmente, se realiza un seguimiento de los siguientes tipos de usos de memoria:

    • Memoria de Userland - memoria caché de páginas y memoria anónima.
    • Estructuras de datos del núcleo como dentrías e inodos.
    • Buffers de sockets TCP.
  • El controlador de E/S regula la distribución de los recursos de E/S.
  • El controlador de escritura interactúa con los controladores de memoria y de E/S y es específico del Grupo de control v2.

La información anterior se basó en el siguiente enlace: https://www.kernel.org/doc/Documentation/cgroup-v2.txt. Puede consultar el mismo enlace para obtener más información sobre los controladores de Grupo de control v2.

(BZ#1401552)

early kdump disponible como una Muestra de tecnología en Red Hat Enterprise Linux 8

La early kdumpcaracterística permite que el kernel e initramfs se carguen con la suficiente antelación como para capturar la vmcoreinformación incluso en caso de caídas tempranas. Para más detalles sobre early kdump, ver el /usr/share/doc/kexec-tools/early-kdump-howto.txtarchivo.

(BZ#1520209)

5.2. Sistemas de archivos y almacenamiento (traducción automática)

VDO disponible como un tipo de volumen lógico LVM

LVM puede utilizarse ahora para crear volúmenes lógicos de tipo Virtual Data Optimizer (VDO). VDO es un dispositivo de bloque virtual con la capacidad de comprimir y deduplicar datos.

Se trata de una función de vista previa de la tecnología.

(BZ#1643553)

Compatibilidad con el campo de integridad de datos/extensión de la integridad de datos (DIF/DIX)

DIF/DIX es una adición al estándar SCSI. Permanece en la vista previa de la tecnología para todos los HBA y matrices de almacenamiento, excepto para los que se enumeran específicamente como compatibles.

DIF/DIX aumenta el tamaño del bloque de disco de 512 bytes utilizado habitualmente de 512 a 520 bytes, añadiendo el Campo de integridad de datos (DIF). El DIF almacena un valor de suma de comprobación para el bloque de datos que es calculado por el adaptador de bus de host (HBA) cuando se produce una escritura. El dispositivo de almacenamiento confirma entonces la suma de comprobación en el momento de la recepción y almacena tanto los datos como la suma de comprobación. Por el contrario, cuando se produce una lectura, la suma de comprobación puede ser verificada por el dispositivo de almacenamiento y por el HBA receptor.

(BZ#1649493)

NVMe/FC está disponible como una vista previa de la tecnología en adaptadores Qlogic utilizando qla2xxx

El tipo de transporte NVMe over Fibre Channel (NVMe/FC) está disponible como una vista previa de tecnología en adaptadores Qlogic utilizando el qla2xxxcontrolador.

(BZ#1649922)

5.3. Alta disponibilidad y clusters (traducción automática)

podmanPaquetes de marcapasos disponibles como una vista previa de la tecnología

Los paquetes de contenedores de marcapasos ahora se ejecutan en la plataforma del podmancontenedor, y la función de paquete de contenedores está disponible como una vista previa de la tecnología. Hay una excepción a esta característica que es la Vista previa de la tecnología: Red Hat es totalmente compatible con el uso de paquetes de marcapasos para Red Hat Openstack.

(BZ#1619620)

5.4. Seguridad (traducción automática)

Etiqueta SWID de la versión RHEL 8.0

Para permitir la identificación de las instalaciones de RHEL 8.0 utilizando el mecanismo ISO/IEC 19770-2:2015, se instalan etiquetas de identificación de software (SWID) en los archivos /usr/lib/swidtag/redhat.com/com.redhat.RHEL-8-<architecture>.swidtagy/usr/lib/swidtag/redhat.com/com.redhat.RHEL-8.0-<architecture>.swidtag... El directorio principal de estas etiquetas también se puede encontrar siguiendo el enlace /etc/swid/swidtags.d/redhat.comsimbólico.

La firma XML de los archivos de etiquetas SWID se puede verificar utilizando el xmlsec1 verifycomando, por ejemplo:

xmlsec1 verify --trusted-pem /etc/pki/swid/CA/redhat.com/redhatcodesignca.cert /usr/share/redhat.com/com.redhat.RHEL-8-x86_64.swidtag

El certificado de la autoridad de certificación de firma de código también se puede obtener en la Product Signing Keyspágina del Portal del Cliente.

(BZ#1636338)

5.5. Virtualización (traducción automática)

AMD SEV para máquinas virtuales KVM

Como avance tecnológico, RHEL 8 presenta la función de virtualización encriptada segura (SEV) para máquinas host AMD EPYC que utilizan el hipervisor KVM. Si está habilitado en una máquina virtual (VM), SEV cifra la memoria VM para que el host no pueda acceder a los datos de la VM. Esto aumenta la seguridad de la máquina virtual si el host se infecta con éxito con malware.

Tenga en cuenta que el número de máquinas virtuales que pueden utilizar esta función a la vez en un único host viene determinado por el hardware del host. Los actuales procesadores AMD EPYC soportan 15 o menos VM en ejecución que utilizan SEV.

(BZ#1501618, BZ#1501607)

Virtualización anidada ahora disponible en IBM POWER 9

Como presentación preliminar de la tecnología, ahora es posible utilizar las funciones de virtualización anidadas en los equipos host RHEL 8 que se ejecutan en sistemas IBM POWER 9. La virtualización anidada permite que las máquinas virtuales (VM) de KVM actúen como hipervisores, lo que permite ejecutar VM dentro de las VM.

Tenga en cuenta que para que la virtualización anidada funcione en IBM POWER 9, el host, el invitado y los invitados anidados deben ejecutar uno de los siguientes sistemas operativos:

  • RHEL 8
  • RHEL 7 para POWER 9

(BZ#1505999)

Capítulo 6. Funcionalidad desaprobada (traducción automática)

Esta parte proporciona una visión general de las funcionalidades que han sido obsoletas en Red Hat Enterprise Linux 8.0.

La funcionalidad desaprobada continúa siendo soportada hasta el final de la vida útil de Red Hat Enterprise Linux 8. Es probable que la funcionalidad desaprobada no esté soportada en futuras versiones importantes de este producto y no se recomienda para nuevas implementaciones. Para obtener la lista más reciente de funciones obsoletas dentro de una versión principal en particular, consulte la última versión de la documentación de la versión.

Los componentes de hardware desaprobados no se recomiendan para nuevas implementaciones en las versiones principales actuales o futuras. Las actualizaciones de los controladores de hardware se limitan únicamente a la seguridad y a las correcciones críticas. Red Hat recomienda sustituir este hardware tan pronto como sea razonablemente posible.

Un paquete puede ser obsoleto y no se recomienda para su uso posterior. Bajo ciertas circunstancias, un paquete puede ser retirado de un producto. La documentación del producto identifica los paquetes más recientes que ofrecen funcionalidades similares, idénticas o más avanzadas a las obsoletas, y proporciona recomendaciones adicionales.

6.1. Instalador y creación de imágenes (traducción automática)

La --interactiveopción del comando ignorediskKickstart ha sido obsoleta

El uso de las --interactive optionversiones futuras de Red Hat Enterprise Linux resultará en un error de instalación fatal. Se recomienda que modifique el archivo Kickstart para eliminar la opción.

(BZ#1637872)

6.2. Sistemas de archivos y almacenamiento (traducción automática)

NFSv3 sobre UDP ha sido desactivado

El servidor NFS ya no se abre o escucha en un socket User Datagram Protocol (UDP) por defecto. Este cambio afecta sólo a la versión 3 de NFS porque la versión 4 requiere el Protocolo de Control de Transmisión (TCP).

NFS sobre UDP ya no es compatible con RHEL 8.

(BZ#1592011)

El modo de destino NVMe/FC es obsoleto

El modo de destino del protocolo de transporte Nonvolatile Memory Express over Fibre Channel (NVMe/FC) estaba disponible anteriormente como Technology Preview en RHEL 7. En RHEL 8, el modo NVMe/FC es obsoleto.

Si se activan los puertos del adaptador de bus de host FC (HBA) en el modo de destino NVMe, aparecerá el siguiente mensaje de error:

Warning: NVMe over FC Target - This driver has not undergone sufficient testing by Red Hat for this release and therefore cannot be used in production systems.

(BZ#1664838)

6.3. Trabajo en red (traducción automática)

Los scripts de red están obsoletos en RHEL 8

Los scripts de red son obsoletos en Red Hat Enterprise Linux 8 y ya no se proporcionan por defecto. La instalación básica proporciona una nueva versión de los ifupifdownscripts que llaman al servicio NetworkManager a través de la herramienta nmcli. En Red Hat Enterprise Linux 8, para ejecutar los ifdownscripts ifupy los scripts, NetworkManager debe estar ejecutándose.

Tenga en cuenta que los comandos personalizados en /sbin/ifup-local, ifdown-pre-localy los ifdown-localscripts no se ejecutan.

Si se requiere cualquiera de estos scripts, la instalación de los scripts de red obsoletos en el sistema sigue siendo posible con el siguiente comando:

~]# yum install network-scripts

Los scripts ifupy ifdownse enlazan con los scripts de red heredados instalados.

La llamada a los scripts de red heredados muestra una advertencia sobre su deprecación.

(BZ#1647725)

6.4. Seguridad (traducción automática)

DSA está obsoleto en Red Hat Enterprise Linux 8

El algoritmo de firma digital (DSA) se considera obsoleto en Red Hat Enterprise Linux 8. Los mecanismos de autenticación que dependen de las claves DSA no funcionan en la configuración predeterminada. Tenga en cuenta que los OpenSSHclientes no aceptan claves de host DSA ni siquiera en la política LEGACY.

(BZ#1646541)

SSL2Client Hello ha sido desaprobado en NSS

El protocolo Transport Layer Security (TLS) versión 1.2 y anteriores permite iniciar una negociación con un Client Hellomensaje formateado de forma compatible con el protocolo Secure Sockets Layer (SSL) versión 2. La compatibilidad con esta función de la biblioteca Network Security Services (NSS) ha quedado obsoleta y está desactivada de forma predeterminada.

Las aplicaciones que requieren soporte para esta característica necesitan usar la nueva SSL_ENABLE_V2_COMPATIBLE_HELLOAPI para habilitarla. El soporte para esta característica puede ser eliminado completamente en futuras versiones de Red Hat Enterprise Linux 8.

(BZ#1645153)

6.5. Virtualización (traducción automática)

Las instantáneas de máquinas virtuales no son compatibles con RHEL 8

El mecanismo actual de creación de instantáneas de máquinas virtuales (VM) ha quedado obsoleto, ya que no funciona de forma fiable. Por consiguiente, se recomienda no utilizar instantáneas de VM en RHEL 8.

Tenga en cuenta que se está desarrollando un nuevo mecanismo de instantáneas de la máquina virtual que se implementará completamente en una futura versión menor de RHEL 8.

(BZ#1686057)

El tipo de GPU virtual Cirrus VGA ha sido obsoleto

Con una futura actualización importante de Red Hat Enterprise Linux, el dispositivo de GPU Cirrus VGA ya no será compatible con las máquinas virtuales KVM. Por lo tanto, Red Hat recomienda utilizar los dispositivos stdvga, virtio-vga o qxl en lugar de Cirrus VGA.

(BZ#1651994)

virt-manager ha sido desaprobado

La aplicación Virtual Machine Manager, también conocida como virt-manager, ha sido obsoleta. La consola web RHEL 8, también conocida como Cockpit, está destinada a ser su sustituta en una versión posterior. Por lo tanto, se recomienda utilizar la consola web para gestionar la virtualización en una interfaz gráfica de usuario. Sin embargo, en Red Hat Enterprise Linux 8.0, algunas características sólo pueden ser accesibles desde el virt-manager o la línea de comandos.

(JIRA:RHELPLAN-10304)

Capítulo 7. Problemas conocidos (traducción automática)

Esta parte describe los problemas conocidos en Red Hat Enterprise Linux 8.

7.1. Instalador y creación de imágenes (traducción automática)

Los comandos authy authconfigKickstart requieren el repositorio de AppStream

El authselect-compatpaquete es requerido por los comandos authy authconfigKickstart durante la instalación. Sin este paquete, la instalación falla si se utiliza autho authconfigse utiliza. Sin embargo, por diseño, el authselect-compatpaquete sólo está disponible en el repositorio de AppStream.

Para solucionar este problema, verifique que los repositorios BaseOS y AppStream estén disponibles para el instalador o utilice el comando authselectKickstart durante la instalación.

(BZ#1640697)

Al copiar el contenido del Binary DVD.isoarchivo a una partición se omiten los archivos .treeinfoy.discinfo

Cuando se copia el contenido del archivo de imagen RHEL 8.0 Binary DVD.iso en una partición para una instalación local, el '*' del comando cp <path>/\* <mounted partition>/dirno copia los archivos .treeinfoy, .discinfoque son necesarios para una instalación correcta. Como resultado, los repositorios BaseOS y AppStream no se cargan, y un mensaje de registro de depuración en el anaconda.logarchivo es el único registro del problema.

Para solucionar el problema, copie los archivos que faltan .treeinfoy .discinfolos archivos en la partición.

(BZ#1692746)

7.2. Kernel (traducción automática)

El módulo i40iw no se carga automáticamente en el arranque

Debido a que muchas NICs i40e no soportan iWarp y el módulo i40iw no soporta completamente la suspensión/reanudación, este módulo no se carga automáticamente por defecto para asegurar que la suspensión/reanudación funcione correctamente. Para solucionar este problema, edita manualmente el /lib/udev/rules.d/90-rdma-hw-modules.rulesarchivo para habilitar la carga automática de i40iw.

Tenga en cuenta también que si hay otro dispositivo RDMA instalado con un dispositivo i40e en la misma máquina, el dispositivo RDMA no i40e activa el servicio rdma, que carga todos los módulos de pila RDMA habilitados, incluido el módulo i40iw.

(BZ#1623712)

El sistema a veces no responde cuando hay muchos dispositivos conectados

Cuando Red Hat Enterprise Linux 8 configura un gran número de dispositivos, se produce un gran número de mensajes de consola en la consola del sistema. Esto sucede, por ejemplo, cuando hay un gran número de números de unidad lógica (LUN), con múltiples rutas para cada LUN. La avalancha de mensajes de consola, además de otros trabajos que el núcleo está haciendo, puede hacer que el perro guardián del núcleo fuerce un pánico en el núcleo porque el núcleo parece estar colgado.

Debido a que el análisis se realiza al principio del ciclo de arranque, el sistema se vuelve insensible cuando se conectan muchos dispositivos. Esto ocurre típicamente en el momento del arranque.

Si kdumpse habilita en su equipo durante el evento de análisis del dispositivo después del inicio, el bloqueo duro da como resultado la captura de una vmcoreimagen.

Para solucionar este problema, aumente el temporizador de bloqueo del perro guardián. Para ello, añada la watchdog_thresh=Nopción a la línea de comandos del núcleo. Sustitúyalo Npor el número de segundos:

  • Si tiene menos de mil dispositivos, use30
  • Si tiene más de mil dispositivos, use60

Para el almacenamiento, el número de dispositivos es el número de rutas a todos los LUNs: generalmente, el número de /dev/sd*dispositivos.

Después de aplicar la solución, el sistema ya no se vuelve insensible a la hora de configurar una gran cantidad de dispositivos.

(BZ#1598448)

KSM a veces ignora las políticas de memoria de NUMA

Cuando la función de memoria compartida del núcleo (KSM) está habilitada con el parámetro "merge_across_across_nodes=1", KSM ignora las políticas de memoria establecidas por la función mbind(), y puede fusionar páginas de algunas áreas de memoria con nodos de acceso a memoria no uniforme (NUMA) que no coinciden con las políticas.

Para solucionar este problema, deshabilite KSM o establezca el parámetro merge_across_nodes en "0" si utiliza el enlace de memoria NUMA con QEMU. Como resultado, las políticas de memoria NUMA configuradas para la KVM VM funcionarán como se espera.

(BZ#1153521)

7.3. Gestión de software (traducción automática)

Si se ejecuta yum listbajo un usuario que no es usuario root, se produce un fallo en YUM

Cuando se ejecuta el yum listcomando bajo un usuario que no es root después de que el libdnfpaquete ha sido actualizado, YUM puede terminar inesperadamente. Si golpea este error, ejecute yum listbajo root para resolver el problema. Como resultado, los intentos subsecuentes de ejecutarse yum listbajo un usuario que no sea root ya no causan el fallo de YUM.

(BZ#1642458)

La página de yum(8)manual menciona incorrectamente el yum module profilecomando

La página del yum(8)manual indica incorrectamente que la herramienta de gestión de paquetes YUM incluye el yum module profilecomando para proporcionar detalles sobre los perfiles de los módulos. Sin embargo, este comando ya no está disponible y cuando se usa, YUM muestra un mensaje de error sobre un comando inválido. Para obtener más información sobre los perfiles de los módulos, utilice en su lugar el nuevo yum module info --profilecomando.

(BZ#1622580)

yum-plugin-aliases actualmente no disponible

El yum-plugin-aliasespaquete, que proporciona el aliascomando para agregar alias personalizados de yum, actualmente no está disponible. Por consiguiente, actualmente no es posible utilizar alias.

(BZ#1647760)

yum-plugin-changelog actualmente no disponible

El yum-plugin-changelogpaquete, que permite ver los registros de cambios de paquete antes y después de la actualización del paquete, no está disponible actualmente.

(BZ#1581191)

7.4. Servicios de infraestructura (traducción automática)

Tuned no establece los parámetros de la línea de comandos de arranque del kernel

La herramienta Tuned no es compatible con la especificación del cargador de arranque (BLS), que está activada de forma predeterminada. En consecuencia, Tuned no establece ciertos parámetros de la línea de comandos de arranque del kernel, lo que causa algunos problemas, como la disminución del rendimiento o que los núcleos de la CPU no se aíslen. Para solucionar este problema, desactive BLS y reinicie Tuned.

  1. Instale el paquete grubby.
  2. Elimine la siguiente línea del /etc/default/grubarchivo:

    GRUB_ENABLE_BLSCFG=true
  3. Re-generar el grub2.cfgarchivo ejecutándolo para sistemas que no sean de Eficiencia Energética:

    grub2-mkconfig -o /etc/grub2.cfg
    o para sistemas EFI:
    grub2-mkconfig -o /etc/grub2-efi.cfg
  4. Reinicie Tuned ejecutando:

    systemctl reinicio sintonizado

Como resultado, Tuned establece los parámetros de arranque del kernel como se espera.

(BZ#1576435)

7.5. Shells y herramientas de línea de comandos (traducción automática)

Python la encuadernación del net-snmppaquete no está disponible

El Net-SNMPconjunto de herramientas no proporciona un enlace para Python 3, que es la implementación predeterminada Pythonde RHEL 8. Por consiguiente, python-net-snmp, python2-net-snmp, o python3-net-snmppaquetes no están disponibles en RHEL 8.

(BZ#1584510)

7.6. Lenguajes de programación dinámicos, servidores web y de bases de datos (traducción automática)

Los servidores de base de datos no son instalables en paralelo

Los módulos mariadby mysqlno se pueden instalar en paralelo en RHEL 8.0 debido a los paquetes RPM en conflicto.

Por diseño, es imposible instalar más de una versión (stream) del mismo módulo en paralelo. Por ejemplo, necesita elegir sólo una de las secuencias disponibles en el postgresqlmódulo, ya sea (por defecto10) o 9.6(por defecto). La instalación paralela de componentes es posible en las colecciones de software de Red Hat para RHEL 6 y RHEL 7. En RHEL 8 se pueden utilizar diferentes versiones de servidores de bases de datos en contenedores.

(BZ#1566048)

Problemas en el mod_cgidregistro

Si el módulo httpd de mod_cgidApache se utiliza bajo un módulo multiprocesador (MPM), que es la situación por defecto en RHEL 8, se producen los siguientes problemas de registro:

  • La stderrsalida del script CGI no está precedida por la información de marca de tiempo estándar.
  • La stderrsalida del script CGI no se redirige correctamente a un archivo de registro específico para el archivo VirtualHost, si está configurado.

(BZ#1633224)

El módulo IO::Socket::SSLPerl no soporta TLS 1.3

Las nuevas funciones del protocolo TLS 1.3, como la reanudación de sesión o la autenticación posterior al apretón de manos, se implementaron en la biblioteca RHEL 8 OpenSSLpero no en el módulo Net::SSLeayPerl, por lo que no están disponibles en el módulo IO::Socket::SSLPerl. En consecuencia, la autenticación del certificado de cliente puede fallar y el restablecimiento de las sesiones puede ser más lento que con el protocolo TLS 1.2.

Para solucionar este problema, desactive el uso de TLS 1.3 configurando la SSL_versionopción al !TLSv1_3valor al crear un IO::Socket::SSLobjeto.

(BZ#1632600)

7.7. Gestión de identidades (traducción automática)

La caché de credenciales de KCM no es adecuada para un gran número de credenciales en una única caché de credenciales

Si la caché de credenciales contiene demasiadas credenciales, las operaciones de Kerberos, como kinit, fallan debido a un límite de código duro en el búfer utilizado para transferir datos entre el componente sssd-kcm y la base de datos subyacente.

Para solucionar este problema, añada la ccache_storage = memoryopción en la sección kcm del /etc/sssd/sssd.confarchivo. Esto le indica al kcm responder que sólo almacene las cachés de credenciales en memoria, no de forma persistente. Si hace esto, reiniciar el sistema o sssd-kcm borra las cachés de credenciales. Tenga en cuenta que KCM puede manejar tamaños de caché de hasta 64 kB.

(BZ#1448094)

Los valores de tiempo de espera en conflicto impiden que los SSSD se conecten a los servidores

Algunos de los valores de tiempo de espera predeterminados relacionados con las operaciones de conmutación por error utilizadas por el demonio de los servicios de seguridad del sistema (SSSD) son contradictorios. Por consiguiente, el valor de tiempo de espera reservado para que los SSSD hablen con un único servidor impide que los SSSD prueben otros servidores antes de la operación de conexión en su totalidad. Para solucionar el problema, establezca el valor del parámetro ldap_opt_timeouttimeout por encima del valor del dns_resolver_timeoutparámetro, y establezca el valor del dns_resolver_timeoutparámetro por encima del valor del dns_resolver_op_timeoutparámetro.

(BZ#1382750)

El uso de una tarjeta inteligente para iniciar sesión en la interfaz web de IdM no funciona

Cuando un usuario intenta iniciar sesión en la interfaz web de gestión de identidades (IdM) utilizando un certificado almacenado en su tarjeta inteligente, el código de interfaz D-Bus del demonio de servicios de seguridad del sistema (SSSD) utiliza una llamada de retorno incorrecta para buscar al usuario. En consecuencia, la búsqueda se bloquea. Para solucionar el problema, utilice otros métodos de autenticación.

(BZ#1642508)

El servidor IdM no funciona en FIPS

Debido a una implementación incompleta del conector SSL para Tomcat, un servidor IdM con un servidor de certificados instalado no funciona en máquinas con el modo FIPS activado.

(BZ#1673296)

El nuxwdogservicio falla en entornos HSM y requiere la instalación del keyutilspaquete en entornos no HSM

El servicio de nuxwdogvigilancia se ha integrado en el sistema de certificados. Como consecuencia, nuxwdogya no se ofrece como un paquete separado. Para utilizar el servicio watchdog, instale el pki-serverpaquete.

Tenga en cuenta que el nuxwdogservicio tiene los siguientes problemas conocidos:

  • El nuxwdogservicio no funciona si utiliza un módulo de almacenamiento de hardware (HSM). Para este número, no se dispone de soluciones alternativas.
  • En un entorno que no sea HSM, Red Hat Enterprise Linux 8.0 no instala automáticamente el keyutilspaquete como una dependencia. Para instalar el paquete manualmente, use el dnf install keyutilscomando.

(BZ#1652269)

7.8. Compiladores y herramientas de desarrollo (traducción automática)

Las funciones sintéticas generadas por el GCC confunden a SystemTap

La optimización de GCC puede generar funciones sintéticas para copias parcialmente alineadas de otras funciones. Herramientas como SystemTap y GDB no pueden distinguir estas funciones sintéticas de las funciones reales. Como consecuencia, SystemTap puede colocar sondas tanto en puntos de entrada de funciones sintéticas como reales, y así registrar múltiples coincidencias de sondas para una sola llamada de función real.

Para solucionar este problema, los scripts SystemTap deben adaptarse con medidas como la detección de recursión y la supresión de sondas relacionadas con funciones parciales en línea. Por ejemplo, un script

probe kernel.function("can_nice").call { }

puede tratar de evitar el problema descrito a continuación:

global in_can_nice%

probe kernel.function("can_nice").call {
  in_can_nice[tid()] ++;
  if (in_can_nice[tid()] > 1) { next }
  /* code for real probe handler */
}

probe kernel.function("can_nice").return {
  in_can_nice[tid()] --;
}

Tenga en cuenta que este script de ejemplo no tiene en cuenta todos los escenarios posibles, como kprobes o kretprobes perdidos, o recursión intencionada genuina.

(BZ#1169184)

La ltraceherramienta no notifica llamadas de función

Debido a las mejoras en el endurecimiento binario aplicado a todos los componentes de RHEL, la ltraceherramienta ya no puede detectar llamadas de función en archivos binarios procedentes de componentes de RHEL. Como consecuencia, la ltracesalida está vacía porque no reporta ninguna llamada detectada cuando se usa en dichos archivos binarios. Actualmente no hay ninguna solución alternativa disponible.

Como nota, ltracepuede reportar correctamente llamadas en archivos binarios personalizados construidos sin las respectivas banderas de endurecimiento.

(BZ#1618748, BZ#1655368)

7.9. Sistemas de archivos y almacenamiento (traducción automática)

No se puede descubrir un objetivo iSCSI utilizando el iscsiuiopaquete

Red Hat Enterprise Linux 8 no permite el acceso simultáneo a las áreas de registro PCI. Como consecuencia, se estableció un could not set host net params (err 29)error y falló la conexión al portal de descubrimiento. Para solucionar este problema, establezca el parámetro iomem=relaxedkernel en la línea de comandos del kernel para la descarga de iSCSI. Esto implica específicamente cualquier descarga que utilice el bnx2iconductor. Como resultado, la conexión al portal de descubrimiento es ahora exitosa y el iscsiuiopaquete funciona correctamente.

(BZ#1626629)

La opción de montaje XFS DAX es incompatible con los extensiones de datos de copia sobre escritura compartidos

Un sistema de archivos XFS formateado con la función de extensión de datos de copia sobre escritura compartida no es compatible con la opción de -o daxmontaje. Como consecuencia, montar un sistema de ficheros de este tipo con -o daxfallos.

Para solucionar el problema, formatee el sistema de archivos con la opción de reflink=0metadatos para deshabilitar las extensiones de datos de copia sobre escritura compartidas:

# mkfs.xfs -m reflink=0 block-device

Como resultado, el montaje del sistema de ficheros con -o daxes exitoso.

(BZ#1620330)

7.10. Trabajo en red (traducción automática)

nftables no soporta tipos de conjuntos IP multidimensionales

El marco de trabajo de filtrado de nftablespaquetes no soporta tipos de conjuntos con concatenaciones e intervalos. Por consiguiente, no se pueden utilizar tipos de sets IP multidimensionales, como por ejemplo, hash:net,port, con nftables.

Para solucionar este problema, utilice el iptablesmarco de trabajo con la ipsetherramienta si necesita tipos de conjuntos IP multidimensionales.

(BZ#1593711)

7.11. Seguridad (traducción automática)

OpenSCAPrpmverifypackage no funciona correctamente

Las llamadas al sistema chdiry chrootal sistema son llamadas dos veces por la rpmverifypackagesonda. En consecuencia, se produce un error cuando la sonda se utiliza durante una exploración OpenSCAP con contenido personalizado de Open Vulnerability and Assessment Language (OVAL).

Para solucionar este problema, no utilice la prueba rpmverifypackage_testOVAL en su contenido o utilice sólo el contenido del scap-security-guidepaquete donde rpmverifypackage_testno se utiliza.

(BZ#1646197)

libssh no cumple con la política de cifrado a nivel de todo el sistema

La libsshbiblioteca no sigue la configuración de políticas criptográficas de todo el sistema. Como consecuencia, el conjunto de algoritmos soportados no se cambia cuando el administrador cambia el nivel de políticas de cifrado usando el update-crypto-policiescomando.

Para solucionar este problema, el conjunto de algoritmos anunciados debe ser configurado de forma individual por cada aplicación que utilice libssh. Como resultado, cuando el sistema está configurado en el nivel de políticas LEGADO o FUTURO, las aplicaciones que se usan se libsshcomportan de manera inconsistente cuando se comparan con OpenSSH.....

(BZ#1646563)

SCAP Workbench no logra generar correcciones basadas en resultados a partir de perfiles personalizados

El siguiente error se produce al intentar generar funciones de reparación basadas en resultados a partir de un perfil personalizado utilizando la herramienta SCAP Workbench:

Error generating remediation role .../remediation.sh: Exit code of oscap was 1: [output truncated]

Para solucionar este problema, utilice el oscapcomando con la --tailoring-fileopción.

(BZ#1640715)

OpenSCAPrpmverifyfile no funciona

El escáner de OpenSCAP no cambia correctamente el directorio de trabajo actual en modo offline, y la fchdirfunción no se llama con los argumentos correctos en la sonda rpmverifyfilede OpenSCAP. En consecuencia, el análisis de sistemas de archivos arbitrarios que utilizan el oscap-chrootcomando falla si rpmverifyfile_testse utiliza en un contenido SCAP. Como resultado, oscap-chrootaborta en el escenario descrito.

(BZ#1636431)

No se dispone de una utilidad para el escaneado de seguridad y cumplimiento de las normas de los contenedores

En Red Hat Enterprise Linux 7, la oscap-dockerutilidad se puede utilizar para escanear contenedores Docker basados en tecnologías Atomic. En Red Hat Enterprise Linux 8, los comandos OpenSCAP relacionados con Docker y Atomic no están disponibles. Como resultado, oscap-dockero una utilidad equivalente para el control de seguridad y cumplimiento de las normas de los contenedores no está disponible en RHEL 8 en este momento.

(BZ#1642373)

Capítulo 8. Cambios notables en los contenedores (traducción automática)

Un conjunto de imágenes de contenedores está disponible para Red Hat Enterprise Linux (RHEL) 8.0. Los cambios notables incluyen:

  • El Docker no está incluido en RHEL 8.0. Para trabajar con contenedores, utilice las herramientas podman, buildah, skopeo y runc.

    Para obtener información sobre estas herramientas y sobre el uso de contenedores en RHEL 8, véase Building, running, and managing containers.

  • La herramienta podman ha sido lanzada como una característica totalmente soportada.

    La herramienta podman gestiona pods, imágenes de contenedores y contenedores en un solo nodo. Está construido sobre la librería libpod, que permite la gestión de contenedores y grupos de contenedores, llamados pods.

    Para aprender a utilizar podman, véaseBuilding, running, and managing containers

  • En RHEL 8 GA, Red Hat Universal Base Images (UBI) está disponible por primera vez. Los UBIs sustituyen a algunas de las imágenes que Red Hat ofrecía anteriormente, como las imágenes de base RHEL estándar y mínima.

    A diferencia de las imágenes más antiguas de Red Hat, las UBI se pueden redistribuir libremente. Esto significa que pueden utilizarse en cualquier entorno y compartirse en cualquier lugar. Puede utilizarlos aunque no sea cliente de Red Hat.

    Para obtener documentación sobre UBI, véaseBuilding, running, and managing containers

  • En RHEL 8 GA, hay disponibles imágenes de contenedores adicionales que proporcionan componentes de AppStream, para los cuales las imágenes de contenedores se distribuyen con Red Hat Software Collections en RHEL 7. Todas estas imágenes de RHEL 8 se basan en la imagen ubi8base.
  • RHEL 8 es totalmente compatible con ARM de imágenes de contenedor para la arquitectura ARM de 64 bits.
  • El rhel-toolscontenedor ha sido retirado en RHEL 8. Las sosredhat-support-toolherramientas se suministran en el support-toolscontenedor. Los administradores del sistema también pueden utilizar esta imagen como base para crear la imagen del contenedor de herramientas del sistema.
  • La compatibilidad con los contenedores rootless está disponible como avance tecnológico en RHEL 8.

    Los contenedores Rootless son contenedores creados y gestionados por usuarios regulares del sistema sin permisos administrativos.

Apéndice A. Lista de tickets por componente

ComponenteBilletes

389-ds-base

BZ#1334254, BZ#1358706, BZ#1693159

NetworkManager

BZ#1555013, BZ#1555012, BZ#1557035

PackageKit

BZ#1559414

anaconda

BZ#1499442, BZ#1500792, BZ#1547908, BZ#1612060, BZ#1595415, BZ#1610806, BZ#1533904

audit

BZ#1616428

bcc

BZ#1548302

bind

BZ#1588592

boom-boot

BZ#1649582

boost

BZ#1494495, BZ#1616244

cloud-init

BZ#1615599

cmake

BZ#1590139

cockpit

BZ#1619993

crypto-policies

BZ#1591620

cryptsetup

BZ#1564540

device-mapper-multipath

BZ#1643550

distribution

BZ#1566048, BZ#1516741, BZ#1516728

dnf

BZ#1622580, BZ#1647760, BZ#1581191

esc

BZ#1538645

firewalld

BZ#1509026

gcc

BZ#1169184, BZ#1607227, BZ#1535774, BZ#1504980, BZ#1246444

gdm

BZ#1589678

glibc

BZ#1512004, BZ#1376834, BZ#1512010, BZ#1304448, BZ#1512009, BZ#1512006, BZ#1514839, BZ#1533608

go-toolset

BZ#1512570

httpd

BZ#1633224, BZ#1632754

iproute

BZ#1640991

iptables

BZ#1644030, BZ#1564596

iscsi-initiator-utils

BZ#1626629, BZ#1582099

kernel-rt

BZ#1592977

kernel

BZ#1598448, BZ#1643522, BZ#1485546, BZ#1562998, BZ#1485229, BZ#1494651, BZ#1485532, BZ#1494028, BZ#1563617, BZ#1485525, BZ#1261167, BZ#1562987, BZ#1273139, BZ#1559607, BZ#1401552, BZ#1638465, BZ#1598776, BZ#1503672, BZ#1664838, BZ#1596240, BZ#1534870, BZ#1501618, BZ#1153521, BZ#1494705, BZ#1620330, BZ#1505999

kexec-tools

BZ#1520209

kmod-kvdo

BZ#1534087, BZ#1639512

libdnf

BZ#1642458

libreswan

BZ#1657854

libssh

BZ#1485241

ltrace

BZ#1618748, BZ#1584322

lvm2

BZ#1643553, BZ#1643543, BZ#1643545, BZ#1643547, BZ#1643549, BZ#1643562, BZ#1643576

mariadb

BZ#1637034

net-snmp

BZ#1584510

nfs-utils

BZ#1592011, BZ#1639432

nftables

BZ#1593711

nginx

BZ#1545526

nodejs-10-module

BZ#1622118

nss

BZ#1645153

nuxwdog

BZ#1652269

openldap

BZ#1570056

opensc

BZ#1595626

openscap

BZ#1646197, BZ#1636431, BZ#1642373, BZ#1618484, BZ#1614273, BZ#1618464

openssh

BZ#1622511, BZ#1228088

pacemaker

BZ#1543494

pcs

BZ#1578891, BZ#1591308, BZ#1615420, BZ#1158816, BZ#1542288, BZ#1549535, BZ#1620190, BZ#1566430, BZ#1595829, BZ#1436217, BZ#1578955, BZ#1596050, BZ#1554310, BZ#1638852, BZ#1640477, BZ#1619620

perl-IO-Socket-SSL

BZ#1632600

perl

BZ#1511131

pki-core

BZ#1565073, BZ#1623444, BZ#1566360, BZ#1394069, BZ#1669257, BZ#1656856, BZ#1673296

pykickstart

BZ#1637872, BZ#1612061

qemu-kvm

BZ#1508139, BZ#1559240, BZ#1497911, BZ#1578855, BZ#1651994, BZ#1621817, BZ#1508137, BZ#1519004

redhat-release

BZ#1636338

rsyslog

BZ#1613880, BZ#1542497, BZ#1614179, BZ#1619645

scap-security-guide

BZ#1618528, BZ#1618518

scap-workbench

BZ#1640715

selinux-policy

BZ#1592244, BZ#1594111, BZ#1549772, BZ#1626446

setup

BZ#1591969

sos

BZ#1559836

sssd

BZ#1448094, BZ#1382750, BZ#1642508, BZ#1620123

subversion

BZ#1571415

swig-3.0-module

BZ#1660051

tomcatjss

BZ#1424966, BZ#1636564

tuned

BZ#1576435, BZ#1565598

valgrind

BZ#1500481, BZ#1538009

virt-manager

BZ#1599777, BZ#1643609

wpa_supplicant

BZ#1582538

otro

BZ#1646563, BZ#1640697, BZ#1623712, BZ#1649404, BZ#1581198, BZ#1581990, BZ#1649497, BZ#1643294, BZ#1647612, BZ#1641015, BZ#1641032, BZ#1641004, BZ#1641034, BZ#1647110, BZ#1641007, BZ#1641029, BZ#1641022, BZ#1649493, BZ#1649922, BZ#1559616, BZ#1646541, BZ#1647725, BZ#1686057, BZ#1582530, BZ#1581496, BZ#1650618, BZ#1650675, BZ#1650701, JIRA:RHELPLAN-10347, JIRA:RHELPLAN-10439, JIRA:RHELPLAN-10440, JIRA:RHELPLAN-10442, JIRA:RHELPLAN-10443, JIRA:RHELPLAN-10438, JIRA:RHELPLAN-2878, JIRA:RHELPLAN-10355, JIRA:RHELPLAN-3010, JIRA:RHELPLAN-10352, JIRA:RHELPLAN-10353, JIRA:RHELPLAN-1212, JIRA:RHELPLAN-1473, JIRA:RHELPLAN-10445, JIRA:RHELPLAN-1499, JIRA:RHELPLAN-3001, JIRA:RHELPLAN-6746, JIRA:RHELPLAN-10354, JIRA:RHELPLAN-2896, JIRA:RHELPLAN-10304, JIRA:RHELPLAN-10628, JIRA:RHELPLAN-10441, JIRA:RHELPLAN-10444, JIRA:RHELPLAN-1842, JIRA:RHELPLAN-12764, JIRA:RHELPLAN-14607, BZ#1641014, BZ#1692746, BZ#1693775, BZ#1580387, BZ#1583620, BZ#1580430, BZ#1648843, BZ#1647908, BZ#1649891

Aviso Legal

Copyright © 2019 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.