JDK Mission Control se ha actualizado a la versión 7.1.1

El perfilador JDK Mission Control (JMC) para JVMs HotSpot, proporcionado por el flujo de módulos jmc:rhel8, se ha actualizado a la versión 7.1.1 con la versión RHEL 8.2.1.

Conjunto de herramientas de Rust rebasado a la versión 1.43

Rust Toolset ha sido actualizado a la versión 1.43. Los cambios más destacados son:

Los registros de contenedores ahora soportan el comando de sincronización de skopeo

Con esta mejora, los usuarios pueden utilizar el comando skopeo sync para sincronizar los registros de contenedores y los registros locales. El comando skopeo sync es útil para sincronizar una réplica del registro de contenedores local y para rellenar los registros que se ejecutan dentro de los entornos de air-gapped.

El archivo de configuración container.conf ya está disponible

Con esta mejora, los usuarios y administradores pueden especificar opciones de configuración por defecto y banderas de línea de comandos para los motores de contenedores. Los motores de contenedores leen los archivos /usr/share/containers/containers.conf y /etc/containers/containers.conf si existen. En el modo sin raíz, los motores de contenedores leen los archivos $HOME/.config/containers/containers.conf.

Ahora puede entrar y salir de un servidor de registro

Con esta mejora, puedes entrar y salir de un servidor de registro específico usando los comandos skopeo login y skopeo logout. El comando skopeo login lee el nombre de usuario y la contraseña desde la entrada estándar. El nombre de usuario y la contraseña también se pueden establecer usando las opciones --username (o -u) y --password (o -p).

Ahora puede restablecer el almacenamiento de podman

Con esta mejora, los usuarios pueden utilizar el comando podman system reset para restablecer el almacenamiento de podman al estado inicial. El comando podman system reset elimina todos los pods, contenedores, imágenes y volúmenes. Para más información, consulte la página man de podman-system-reset.

Posibilidad de registrar su sistema, adjuntar suscripciones a RHEL e instalar desde el CDN de Red Hat

En RHEL 8.2, puede registrar su sistema, adjuntar suscripciones a RHEL e instalar desde la Red Hat Content Delivery Network (CDN) antes de la instalación de paquetes. Las instalaciones interactivas de la GUI, así como las instalaciones automatizadas de Kickstart, soportan esta característica. Los beneficios incluyen:

Posibilidad de registrar el sistema en Red Hat Insights durante la instalación

En RHEL 8.2, puede registrar su sistema en Red Hat Insights durante la instalación. Las instalaciones interactivas de la GUI, así como las instalaciones automatizadas de Kickstart, soportan esta característica.

Image Builder ofrece ahora compatibilidad con cloud-init para crear imágenes de Azure

Con esta mejora, la compatibilidad con cloud-init está disponible para las imágenes de Azure creadas por Image Builder. Como resultado, la creación de imágenes locales con aprovisionamiento rápido y la capacidad de añadir datos personalizados está disponible para los clientes.

La cadena de encabezadoUser-Agent ahora incluye información leída del archivo /etc/os-release

Con esta mejora, la cadena de cabecera User-Agent, que normalmente se incluye con las peticiones HTTP realizadas por DNF, se ha ampliado con información leída del archivo /etc/os-release.

Todas las unidades de temporización dnf-automatic.timer utilizan ahora el reloj en tiempo real por defecto

Anteriormente, las unidades de temporización dnf-automatic.timer utilizaban el reloj monotónico, lo que daba lugar a un tiempo de activación imprevisible tras el arranque del sistema. Con esta actualización, las unidades de temporización se ejecutan entre las 6 y las 7 de la mañana. Si el sistema está apagado durante ese tiempo, las unidades de temporización se activan una hora después del arranque del sistema.

La utilidad createrepo_c ahora omite los paquetes cuyos metadatos contienen los caracteres de control no permitidos

Para garantizar un XML válido, los metadatos del paquete no deben contener ningún carácter de control, a excepción de:

opencv rebasado a la versión 3.4.6

Los paquetes opencv han sido actualizados a la versión 3.4.6. Los cambios notables incluyen:

graphviz-python3 se distribuye ahora en el repositorio CRB

Esta actualización añade el paquete graphviz-python3 a RHEL 8. El paquete proporciona los enlaces necesarios para el uso del software de visualización de gráficos Graphviz desde Python.

reajustado a la versión 2.13.0

Los paquetes ajustados han sido actualizados a la versión 2.13.0. Las mejoras más destacadas son:

powertop rebasado a la versión 2.11

El paquete powertop se ha actualizado a la versión 2.11, que aporta el siguiente cambio notable:

BIND soporta ahora .GeoIP2 en lugar de GeoLite Legacy GeoIP

La biblioteca GeoLite Legacy GeoIP ya no está soportada en BIND. Con esta actualización, GeoLite Legacy GeoP ha sido sustituida por GeoIP2, que se proporciona en el formato de datos libmaxminddb.

stale-answer ahora proporciona registros antiguos en caché en caso de ataque DDoS

Anteriormente, el ataque de denegación de servicio distribuido (DDoS) hacía que los servidores autoritativos fallaran con el error SERVFAIL. Con esta actualización, la funcionalidad stale-answer proporciona los registros caducados hasta que se obtiene una nueva respuesta.

BIND rebasado a la versión 9.11.13

Los paquetes bind han sido actualizados a la versión 9.11.13. Los cambios notables incluyen:

RHEL 8 contiene ahora el perfil DISA STIG

Las Guías Técnicas de Implementación de Seguridad (STIG) son un conjunto de recomendaciones básicas publicadas por la Agencia de Sistemas de Información de Defensa (DISA) para reforzar la seguridad de los sistemas de información y el software que de otro modo podrían ser vulnerables. Esta versión incluye el perfil y el archivo Kickstart para esta política de seguridad. Con esta mejora, los usuarios pueden comprobar la conformidad de los sistemas, remediar los sistemas para que sean conformes e instalar sistemas conformes con DISA STIG para Red Hat Enterprise Linux 8.

ahora se pueden personalizarlas criptopolíticas

Con esta actualización, puede ajustar ciertos algoritmos o protocolos de cualquier nivel de política o establecer un nuevo archivo de política completo como la política criptográfica actual de todo el sistema. Esto permite a los administradores personalizar la política criptográfica de todo el sistema según lo requieran los diferentes escenarios.

La Guía de Seguridad de SCAP ahora es compatible con ACSC Essential Eight

Los paquetes scap-security-guide proporcionan ahora el perfil de cumplimiento del Australian Cyber Security Centre (ACSC) Essential Eight y un archivo Kickstart correspondiente. Con esta mejora, los usuarios pueden instalar un sistema que se ajuste a esta línea de base de seguridad. Además, pueden utilizar el paquete OpenSCAP para comprobar el cumplimiento de la seguridad y su corrección utilizando esta especificación de controles mínimos de seguridad definidos por el ACSC.

ya está disponibleoscap-podman para la exploración de la seguridad y el cumplimiento de los contenedores

Esta actualización de los paquetes openscap introduce una nueva utilidad para el escaneo de seguridad y cumplimiento de los contenedores. La herramienta oscap-podman proporciona un equivalente de la utilidad oscap-docker que sirve para escanear contenedores e imágenes de contenedores en RHEL 7.

setroubleshoot ahora puede analizar y reaccionar a las denegaciones de acceso a execmem

Esta actualización introduce un nuevo plugin setroubleshoot. El plugin puede analizar las denegaciones de acceso a execmem (AVCs) y proporcionar los consejos pertinentes. Como resultado, setroubleshoot ahora puede sugerir la posibilidad de cambiar un booleano si permite el acceso, o informar del problema cuando ningún booleano puede permitir el acceso.

Nuevos paquetes: setools-gui y setools-console-analyses

El paquete setools-gui, que ha formado parte de RHEL 7, se introduce ahora en RHEL 8. Las herramientas gráficas ayudan a inspeccionar las relaciones y los flujos de datos, especialmente en sistemas de varios niveles con políticas SELinux muy especializadas. Con la herramienta gráfica apol del paquete setools-gui, se pueden inspeccionar y analizar aspectos de una política SELinux. Las herramientas del paquete setools-console-analyses permiten analizar las transiciones de dominio y los flujos de información de las políticas SELinux.

Los usuarios confinados en SELinux ahora pueden gestionar los servicios de sesión de los usuarios

Anteriormente, los usuarios confinados no podían gestionar los servicios de sesión de usuario. Como resultado, no podían ejecutar los comandos systemctl --user o busctl --user ni trabajar en la consola web de RHEL. Con esta actualización, los usuarios confinados pueden gestionar las sesiones de usuario.

El servicio lvmdbusd está ahora confinado por SELinux

El servicio lvmdbusd proporciona una API D-Bus al gestor de volúmenes lógicos (LVM). Anteriormente, el demonio lvmdbusd no podía pasar al contexto lvm_t aunque la política SELinux para lvm_t estuviera definida. Como consecuencia, el demonio lvmdbusd se ejecutaba en el dominio unconfined_service_t y SELinux etiquetaba a lvmdbusd como no confinado. Con esta actualización, el archivo ejecutable de lvmdbusd tiene el contexto lvm_exec_t definido y lvmdbusd puede utilizarse ahora correctamente con SELinux en modo de refuerzo.

semanage ahora soporta el listado y la modificación de puertos SCTP y DCCP.

Anteriormente, semanage port sólo permitía listar y modificar los puertos TCP y UDP. Esta actualización añade el soporte de los protocolos SCTP y DCCP a semanage port. Como resultado, los administradores pueden ahora comprobar si dos máquinas pueden comunicarse a través de SCTP y habilitar completamente las características de SCTP para desplegar con éxito las aplicaciones basadas en SCTP.

laexportación de semanage ahora muestra las personalizaciones relacionadas con los dominios permisivos

Con esta actualización, la utilidad semanage, que forma parte del paquete policycoreutils para SELinux, es capaz de mostrar las personalizaciones relacionadas con los dominios permisivos. Los administradores del sistema ahora pueden transferir las modificaciones locales permisivas entre máquinas utilizando el comando semanage export.

udica puede añadir nuevas reglas de permiso generadas a partir de denegaciones de SELinux a la política de contenedores existente

Cuando un contenedor que se ejecuta bajo una política generada por la utilidad udica desencadena una denegación de SELinux, udica es ahora capaz de actualizar la política. El nuevo parámetro -a o --append-rules puede utilizarse para añadir reglas desde un archivo AVC.

Los nuevos tipos de SELinux permiten que los servicios se ejecuten confinados

Esta actualización introduce nuevos tipos de SELinux que permiten que los siguientes servicios se ejecuten como servicios confinados en el modo de aplicación de SELinux en lugar de ejecutarse en el dominio unconfined_service_t:

Clevis es capaz de enumerar las políticas vigentes para un determinado dispositivo LUKS

Con esta actualización, el comando clevis luks list enumera las políticas PBD vigentes para un determinado dispositivo LUKS. Esto facilita la búsqueda de información sobre los pines de la horquilla en uso y la configuración de los pines, por ejemplo, las direcciones del servidor Tang, los detalles de las políticas tpm2 y los umbrales SSS.

Clevis proporciona nuevos comandos para informar del estado de las llaves y volver a enlazar las llaves caducadas

El comando clevis luks report proporciona ahora una forma sencilla de informar si las claves de un determinado enlace requieren rotación. Las rotaciones regulares de las claves en un servidor Tang mejoran la seguridad de los despliegues de Network-Bound Disk Encryption (NBDE), y por lo tanto el cliente debe proporcionar la detección de las claves caducadas. Si la clave está caducada, Clevis sugiere utilizar el comando clevis luks regen que vuelve a enlazar la ranura de la clave caducada con una clave actual. Esto simplifica significativamente el proceso de rotación de claves.

Ahora Clevis puede extraer la frase de contraseña utilizada para vincular una ranura concreta en un dispositivo LUKS

Con esta actualización del marco de descifrado basado en políticas de Clevis, ahora se puede extraer la frase de contraseña utilizada para vincular una ranura concreta en un dispositivo LUKS. Anteriormente, si se borraba la frase de contraseña de instalación de LUKS, Clevis no podía realizar tareas administrativas de LUKS, como volver a cifrar, habilitar una nueva ranura de clave con una frase de contraseña de usuario y volver a vincular Clevis cuando el administrador necesita cambiar el umbral sss. Esta actualización introduce el comando clevis luks pass que muestra la frase de contraseña utilizada para vincular una ranura concreta.

Clevis proporciona ahora un soporte mejorado para descifrar múltiples dispositivos LUKS en el arranque

Los paquetes clevis han sido actualizados para proporcionar un mejor soporte para descifrar múltiples dispositivos cifrados por LUKS en el arranque. Antes de esta mejora, el administrador tenía que realizar complicados cambios en la configuración del sistema para permitir el descifrado adecuado de múltiples dispositivos por parte de Clevis en el arranque. Con esta versión, puede configurar el descifrado utilizando el comando clevis luks bind y actualizando el initramfs mediante el comando dracut -fv --regenerate-all.

openssl-pkcs11 rebasado a 0.4.10

El paquete openssl-pkcs11 ha sido actualizado a la versión 0.4.10, que proporciona muchas correcciones de errores y mejoras respecto a la versión anterior. El paquete openssl-pkcs11 proporciona acceso a los módulos PKCS #11 a través de la interfaz del motor. Los principales cambios introducidos por la nueva versión son:

rsyslog rebasado a 8.1911.0

La utilidad rsyslog se ha actualizado a la versión 8.1911.0, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior. La siguiente lista incluye mejoras notables:

rsyslog ahora proporciona el plugin omhttp para la comunicación a través de una interfaz HTTP REST

Con esta actualización de los paquetes rsyslog, puede utilizar el nuevo plugin omhttp para producir una salida compatible con los servicios que utilizan una API de transferencia de estado representativa (REST), como la plataforma de almacenamiento Ceph, Amazon Simple Storage Service (Amazon S3) y Grafana Loki. Este nuevo módulo de salida HTTP proporciona una ruta REST configurable y un formato de mensaje, soporte para varios formatos de lotes, compresión y encriptación TLS.

omelasticsearch en rsyslog ahora soporta rebindinterval

Esta actualización de los paquetes rsyslog introduce el soporte para configurar el tiempo de reconexión periódica en el módulo omelasticsearch. Puede mejorar el rendimiento al enviar registros a un clúster de nodos de Elasticsearch configurando este parámetro de acuerdo con su escenario. El valor del parámetro rebindinterval indica el número de operaciones enviadas a un nodo después del cual rsyslog cierra la conexión y establece una nueva. El valor por defecto -1 significa que rsyslog no restablece la conexión.

rsyslog mmkubernetes ahora proporciona la expiración de la caché de metadatos

Con esta actualización de los paquetes rsyslog, puede utilizar dos nuevos parámetros para el módulo mmkubernetes para establecer la caducidad de la caché de metadatos. Esto garantiza que los objetos de Kubernetes eliminados se eliminen de la caché estática de mmkubernetes. El valor del parámetro cacheentryttl indica la edad máxima de las entradas de la caché en segundos. El parámetro cacheexpireinterval tiene los siguientes valores:

auditoría basada en la versión 3.0-0.14

Los paquetes de auditoría se han actualizado a la versión 3.0-0.14, que proporciona muchas correcciones de errores y mejoras con respecto a la versión anterior, sobre todo:

La auditoría contiene ahora muchas mejoras del kernel v5.5-rc1

Esta adición al kernel de Linux contiene la mayoría de las mejoras, correcciones de errores y limpiezas relacionadas con el subsistema de auditoría e introducidas entre la versión 4.18 y la 5.5-rc1. La siguiente lista destaca los cambios importantes:

fapolicyd rebasado a 0.9.1-2

Los paquetes fapolicyd que proporcionan la lista blanca de aplicaciones de RHEL han sido actualizados a la versión 0.9.1-2. Entre las mejoras y correcciones de errores más destacadas se encuentran:

sudo rebasado a 1.8.29-3.el8

los paquetessudo han sido actualizados a la versión 1.8.29-3, que proporciona una serie de correcciones de errores y mejoras respecto a la versión anterior. Los principales cambios introducidos por la nueva versión son:

El módulo pam_namespace ahora permite especificar opciones de montaje adicionales para tmpfs

Las opciones de montaje nosuid, noexec y nodev pueden utilizarse ahora en el archivo de configuración /etc/security/namespace.conf para desactivar, respectivamente, el efecto del bit setuid, desactivar la ejecución de ejecutables y evitar que los archivos se interpreten como dispositivos de carácter o de bloque en el sistema de archivos tmpfs montado.

pam_faillock ahora puede leer los ajustes del archivo de configuración faillock.conf

El módulo pam_faillock, que forma parte de los módulos de autenticación enchufables (PAM), ahora puede leer los ajustes del archivo de configuración ubicado en /etc/security/faillock.conf. Esto facilita la configuración de un bloqueo de cuenta en caso de fallos de autenticación, proporcionar perfiles de usuario para esta funcionalidad y manejar diferentes configuraciones de PAM simplemente editando el archivo faillock.conf.

Las aplicaciones de espacio de usuario pueden ahora recuperar el id de red seleccionado por el kernel

Las aplicaciones del espacio de usuario pueden solicitar al núcleo que seleccione un nuevo ID de netns y lo asigne a un espacio de nombres de red. Con esta mejora, los usuarios pueden especificar la bandera NLM_F_ECHO al enviar un mensaje de enlace de red RTM_NETNSID al núcleo. El núcleo envía entonces el mensaje de enlace de red de vuelta al usuario. Este mensaje incluye el ID de netns establecido al valor que el kernel seleccionó. Como resultado, las aplicaciones del espacio de usuario tienen ahora una opción fiable para identificar el ID de enlace de red que el núcleo ha seleccionado.

firewalld rebasado a la versión 0.8

Los paquetes firewalld han sido actualizados a la versión 0.8. Los cambios notables incluyen:

ndptool ahora puede especificar una dirección de destino en la cabecera IPv6

Con esta actualización, la utilidad ndptool puede enviar un mensaje Neighbor Solicitation (NS) o Neighbor Advertisement (NA) a un destino específico especificando la dirección en la cabecera IPv6. Como resultado, se puede enviar un mensaje a otras direcciones además de la dirección de enlace local.

nftables ahora soporta tipos de conjuntos IP multidimensionales

Con esta mejora, el marco de filtrado de paquetes de nftables admite tipos de conjuntos con concatenaciones e intervalos. Como resultado, los administradores ya no necesitan soluciones para crear tipos de conjuntos IP multidimensionales.

nftables rebasado a la versión 0.9.3

Los paquetes nftables han sido actualizados a la versión 0.9.3, que proporciona una serie de correcciones de errores y mejoras respecto a la versión anterior:

Las reglas para el servicio firewalld ahora pueden utilizar ayudantes de seguimiento de conexiones para los servicios que se ejecutan en un puerto no estándar

Los ayudantes definidos por el usuario en el servicio firewalld ahora pueden utilizar módulos de ayuda estándar del kernel. Esto permite a los administradores crear reglas de firewalld para utilizar ayudantes de seguimiento de conexiones para servicios que se ejecutan en un puerto no estándar.

El paquete whois ya está disponible

Con esta mejora, el paquete whois está ahora disponible en RHEL 8.2.0. Como resultado, ahora es posible recuperar información sobre un nombre de dominio o una dirección IP específicos.

eBPF para tc ya es totalmente compatible

El subsistema del kernel Traffic Control (tc) y la herramienta tc pueden adjuntar programas de Berkeley Packet Filtering (eBPF) ampliados como clasificadores de paquetes y acciones para las disciplinas de colas de entrada y salida. Esto permite el procesamiento programable de paquetes dentro de la ruta de datos de la red del kernel. eBPF para tc, que anteriormente estaba disponible como vista previa de la tecnología, es ahora totalmente compatible con RHEL 8.2.

Versión del núcleo en RHEL 8.2

Red Hat Enterprise Linux 8.2 se distribuye con la versión 4.18.0-193 del kernel.

Filtro de paquetes Berkeley ampliado para RHEL 8.2

La Extended Berkeley Packet Filter (eBPF) es una máquina virtual dentro del núcleo que permite la ejecución de código en el espacio del núcleo, en el entorno restringido de la caja de arena con acceso a un conjunto limitado de funciones. La máquina virtual ejecuta un código especial de tipo ensamblador. El bytecode de eBPF se carga primero en el kernel, seguido de su verificación, la traducción del código al código máquina nativo con compilación just-in-time, y luego la máquina virtual ejecuta el código.

Software de host Intel ® Omni-Path Architecture (OPA)

El software de host Intel Omni-Path Architecture (OPA) es totalmente compatible con Red Hat Enterprise Linux 8.2. Intel OPA proporciona hardware Host Fabric Interface (HFI) con inicialización y configuración para transferencias de datos de alto rendimiento (alto ancho de banda, alta tasa de mensajes, baja latencia) entre nodos de computación y E/S en un entorno de clúster.

Control Group v2 es ahora totalmente compatible con RHEL 8

el mecanismoControl Group v2 es un grupo de control jerárquico unificado. Control Group v2 organiza los procesos jerárquicamente y distribuye los recursos del sistema a lo largo de la jerarquía de forma controlada y configurable.

Aleatorización de las listas libres: Mejora del rendimiento y la utilización de la memoria lateral-cache de mapeo directo

Con esta mejora, se puede habilitar el asignador de páginas para aleatorizar las listas libres y mejorar la utilización media de una caché lateral de memoria de mapeo directo. La opción de línea de comandos del kernel page_alloc.shuffle, permite al asignador de páginas aleatorizar las listas libres y establece la bandera booleana a True. El archivo sysfs, que se encuentra en /sys/module/page_alloc/parameters/shuffle lee el estado de la bandera, baraja las listas libres, de manera que la memoria dinámica de acceso aleatorio (DRAM) se almacena en caché, y la banda de latencia entre la DRAM y la memoria persistente se reduce. Como resultado, se dispone de una memoria persistente de mayor capacidad y menor ancho de banda en las plataformas de servidor de propósito general.

La herramienta de espacio de usuario TPM se ha actualizado a la última versión

La herramienta de espacio de usuario tpm2-tools ha sido actualizada a la versión 3.2.1. Esta actualización proporciona varias correcciones de errores, en particular en relación con el código de registro de configuración de la plataforma y la limpieza de la página manual.

El chipset PCH de la serie C620 ahora es compatible con la función Intel Trace Hub

Esta actualización añade soporte de hardware para Intel Trace Hub (TH) en el Platform Controller Hub (PCH) de la serie C620, también conocido como Lewisburg PCH. Los usuarios con PCH de la serie C620 ahora pueden utilizar Intel TH.

La herramienta de perfeccionamiento ahora soporta la agregación de eventos por matriz para los procesadores CLX-AP y CPX

Con esta actualización, la herramienta perf ofrece ahora soporte para la agregación de recuentos de eventos por troquel para algunas CPU de Intel con múltiples troqueles. Para habilitar este modo, añada la opción --per-die además de la opción -a para los procesadores de sistema Xeon Cascade Lake-AP (CLX-AP) y Cooper Lake (CPX). Como resultado, esta actualización detecta cualquier desequilibrio entre los dies. El comando perf stat captura los recuentos de eventos y muestra la salida como:

El umbral de crashkernel=auto se reduce en IBM Z

El umbral inferior del parámetro de línea de comandos del kernel crashkernel=auto se reduce ahora de 4G a 1G en los sistemas IBM Z. Esta implementación permite que el IBM Z se alinee con el umbral de los sistemas AMD64 e Intel 64 para compartir la misma política de reserva en el umbral inferior de crashkernel=auto. Como resultado, el crashkernel es capaz de reservar automáticamente la memoria para kdump en sistemas con menos de 4GB de RAM.

La entrada del manual numactl aclara la salida del uso de la memoria

Con esta versión de RHEL 8, la página del manual de numactl menciona explícitamente que la información sobre el uso de la memoria refleja sólo las páginas residentes del sistema. El motivo de esta adición es eliminar la posible confusión de los usuarios sobre si la información de uso de la memoria se refiere a las páginas residentes o a la memoria virtual.

El documento de kexec-tools se ha actualizado para incluir la compatibilidad con el objetivo Kdump FCoE

En esta versión, se ha actualizado el archivo /usr/share/doc/kexec-tools/supported-kdump-targets.txt para incluir el soporte de Kdump Fibre Channel over Ethernet (FCoE). Como resultado, los usuarios ahora pueden tener una mejor comprensión del estado y los detalles del mecanismo de volcado de fallos de kdump en un soporte de objetivos FCoE.

El volcado asistido por el firmware ahora es compatible con PowerNV

El mecanismo de volcado asistido por el firmware(fadump) es ahora compatible con la plataforma PowerNV. La función es compatible con la versión de firmware IBM POWER9 FW941 y posteriores. En el momento del fallo del sistema, fadump, junto con el archivo vmcore, también exporta el archivo opalcore. El archivo opalcore contiene información sobre el estado de la memoria de OpenPOWER Abstraction Layer (OPAL) en el momento de la avería. El archivo opalcore es útil para depurar los fallos de los sistemas basados en OPAL.

el árbol de fuentes dekernel-rt ahora coincide con el último árbol de RHEL 8

Las fuentes de kernel-rt han sido actualizadas para utilizar el último árbol de fuentes del kernel RHEL. El conjunto de parches en tiempo real también se ha actualizado a la última versión v5.2.21-rt13. Ambas actualizaciones proporcionan una serie de correcciones de errores y mejoras.

rngd ahora puede ejecutarse con privilegios de no-root

El demonio generador de números aleatorios(rngd) comprueba si los datos suministrados por la fuente de aleatoriedad son suficientemente aleatorios y, a continuación, almacena los datos en la reserva de entropía de números aleatorios del kernel. Con esta actualización, rngd puede ejecutarse con privilegios de usuario no root para mejorar la seguridad del sistema.

La memoria virtual persistente es ahora compatible con RHEL 8.2 y posteriores en POWER 9

Cuando se ejecuta un host RHEL 8.2 o posterior con un hipervisor PowerVM en hardware IBM POWER9, el host puede ahora utilizar la función de memoria virtual persistente (vPMEM). Con vPMEM, los datos persisten a través de los reinicios de aplicaciones y particiones hasta que el servidor físico se apaga. Como resultado, el reinicio de las cargas de trabajo que utilizan vPMEM es significativamente más rápido.

LVM ahora soporta el método de caché dm-writecache

Los volúmenes de caché LVM ahora proporcionan el método de caché dm-writecache además del método existente dm-cache.

La política asíncrona de VDO es ahora compatible con ACID

Con esta versión, el modo de escritura asíncrono de VDO es ahora compatible con Atomicidad, Consistencia, Aislamiento y Durabilidad (ACID). Si el sistema se detiene inesperadamente mientras VDO está escribiendo datos en modo asíncrono, los datos recuperados son ahora siempre consistentes.

Ahora puede importar volúmenes VDO

La utilidad vdo ahora le permite importar volúmenes VDO existentes que actualmente no están registrados en su sistema. Para importar un volumen VDO, utilice el comando vdo import.

El nuevo contador de errores por operación está ahora disponible en la salida de mountstats y nfsiostat

Una característica menor de soporte está disponible para los sistemas cliente NFS: la salida de los comandos mountstats y nfsiostat en nfs-utils tienen un conteo de errores por operación. Esta mejora permite que estas herramientas muestren los recuentos y porcentajes de errores por operación que pueden ayudar a reducir los problemas en puntos de montaje NFS específicos en una máquina cliente NFS. Tenga en cuenta que estas nuevas estadísticas dependen de los cambios del kernel que están dentro del kernel de Red Hat Enterprise Linux 8.2.

Las IOs de escritura con conocimiento de cgroup están ahora disponibles en XFS

Con esta versión, XFS soporta IOs de escritura con conciencia de cgroup. En general, el writeback de cgroups requiere soporte explícito del sistema de archivos subyacente. Hasta ahora, las IOs de writeback en XFS eran el atributo para el cgroup raíz solamente.

Los sistemas de archivos FUSE ahora implementan copy_file_range()

La llamada al sistema copy_file_range() proporciona una forma de que los sistemas de archivos implementen un mecanismo eficiente de copia de datos. Con esta actualización, GlusterFS, que utiliza el marco de trabajo Filesystem in Userspace (FUSE) aprovecha este mecanismo. Dado que la funcionalidad de lectura/escritura de los sistemas de archivos FUSE implica múltiples copias de datos, el uso de copy_file_range () puede mejorar significativamente el rendimiento.

Los comandos mountstats y nfsiostat ya soportan las estadísticas por operación

Una característica de soporte está ahora disponible para los sistemas cliente NFS: el archivo /proc/self/mountstats tiene el contador de errores por operación. Con esta actualización, en cada fila de estadísticas por operación, el noveno número indica el número de operaciones que se han completado con un valor de estado inferior a cero. Este valor de estado indica un error. Para obtener más información, consulte las actualizaciones de los programas mountstats y nfsiostat en nfs-utils que muestran estos nuevos recuentos de errores.

Las nuevas estadísticas de montaje lease_time y lease_expired están disponibles en el archivo /proc/self/mountstats

Existe una función de soporte para los sistemas cliente NFSv4.x. El archivo /proc/self/mountstats tiene los campos lease_time y lease_expired al final de la línea que comienza con nfsv4:. El campo lease_time indica el número de segundos del tiempo de arrendamiento NFSv4. El campo lease_expired indica el número de segundos desde que el arrendamiento ha expirado, o 0 si el arrendamiento no ha expirado.

Nuevas opciones de comando para desactivar un recurso sólo si esto no afectaría a otros recursos

A veces es necesario desactivar recursos sólo si esto no tiene efecto sobre otros recursos. Asegurarse de que este sea el caso puede ser imposible de hacer a mano cuando se establecen relaciones complejas de recursos. Para responder a esta necesidad, el comando pcs resource disable ahora soporta las siguientes opciones:

Nuevo comando para mostrar las relaciones entre los recursos

El nuevo comando pcs resource relations permite visualizar las relaciones entre los recursos del cluster en una estructura de árbol.

Nuevo comando para mostrar el estado de un clúster de sitio primario y de sitio de recuperación

Si ha configurado un clúster para utilizarlo como sitio de recuperación, ahora puede configurar ese clúster como un clúster de sitio de recuperación con el comando pcs dr. A continuación, puede utilizar el comando pcs dr para mostrar el estado del clúster del sitio primario y del clúster del sitio de recuperación desde un único nodo.

Las restricciones de recursos caducadas se ocultan ahora por defecto al enumerar las restricciones

El listado de restricciones de recursos ya no muestra por defecto las restricciones caducadas. Para incluir las restricciones caducadas, utilice la opción --all del comando pcs constraint. De este modo, se listarán las restricciones caducadas, anotando las restricciones y sus reglas asociadas como (caducadas) en la pantalla.

Compatibilidad con Pacemaker para configurar los recursos para que permanezcan detenidos en caso de apagado limpio del nodo

Cuando un nodo del clúster se apaga, la respuesta por defecto de Pacemaker es detener todos los recursos que se ejecutan en ese nodo y recuperarlos en otro lugar. Algunos usuarios prefieren tener una alta disponibilidad sólo para los fallos, y tratar los apagados limpios como interrupciones programadas. Para solucionar esto, Pacemaker ahora admite las propiedades de cluster shutdown-lock y shutdown-lock-limit para especificar que los recursos activos en un nodo cuando se apaga deben permanecer detenidos hasta que el nodo se vuelva a unir. Los usuarios pueden ahora utilizar los apagados limpios como interrupciones programadas sin ninguna intervención manual. Para obtener información sobre cómo configurar los recursos para que permanezcan detenidos en un cierre limpio de nodo, consulte el enlace: Configurar los recursos para que permanezcan detenidos en un apagado de nodo limpio.

Soporte para ejecutar el entorno de cluster en un solo nodo

Un clúster con un solo miembro configurado ahora puede iniciar y ejecutar recursos en un entorno de clúster. Esto permite a un usuario configurar un sitio de recuperación de desastres separado para un clúster de varios nodos que utiliza un solo nodo para la copia de seguridad. Tenga en cuenta que un clúster con un solo nodo no es en sí mismo tolerante a fallos.

Un nuevo módulo: python38

RHEL 8.2 introduce Python 3.8, proporcionado por el nuevo módulo python38 y la imagen del contenedor ubi8/python-38.

Cambios en la instalación de mod_wsgi

Anteriormente, cuando el usuario intentaba instalar el módulo mod_wsgi mediante el comando yum install mod_wsgi, siempre se instalaba el paquete python3-mod_wsgi. RHEL 8.2 introduce Python 3.8 como complemento de Python 3.6. Con esta actualización, es necesario especificar qué versión de mod_wsgi se quiere instalar, de lo contrario se devuelve un mensaje de error.

Soporte para deflate acelerado por hardware en zlib en IBM Z

Esta actualización añade soporte para un algoritmo de deflación acelerado por hardware a la biblioteca zlib en los mainframes IBM Z. Como resultado, se ha mejorado el rendimiento de la compresión y la descompresión en las máquinas vectoriales IBM Z.

Mejora del rendimiento al descomprimir gzip en IBM Power Systems, little endian

Esta actualización añade una optimización para la comprobación de redundancia cíclica de 32 bits (CRC32) a la biblioteca zlib en IBM Power Systems, little endian. Como resultado, se ha mejorado el rendimiento de la descompresión de archivos gzip.

Un nuevo flujo de módulos: maven:3.6

RHEL 8.2 introduce un nuevo flujo de módulos, maven:3.6. Esta versión de la herramienta de gestión y comprensión de proyectos de software Maven proporciona numerosas correcciones de errores y varias mejoras respecto a la corriente maven:3 .5 distribuida con RHEL 8.0.

mod_md ahora soporta el protocolo ACMEv2

El módulo mod_md ha sido actualizado a la versión 2.0.8. Esta actualización añade una serie de características, en particular la compatibilidad con la versión 2 del protocolo de emisión y gestión de certificados del Entorno de Gestión Automática de Certificados (ACME), que es el estándar del Grupo de Trabajo de Ingeniería de Internet (IETF) (RFC 8555). El protocolo original ACMEv1 sigue siendo compatible, pero está obsoleto para los proveedores de servicios más populares.

Nuevas extensiones para PHP 7.3

El flujo de módulos de php:7.3 ha sido actualizado para proporcionar dos nuevas extensiones de PHP: rrd y Xdebug.

Nuevos paquetes: perl-LDAP y perl-Convert-ASN1

Esta actualización añade los paquetes perl-LDAP y Perl-Convert-ASN1 a RHEL 8. El paquete perl-LDAP proporciona un cliente LDAP para el lenguaje Perl. perl-LDAP requiere el paquete perl-Convert-ASN1, que codifica y descodifica las estructuras de datos de la Notación de Sintaxis Abstracta Uno (ASN.1) utilizando Reglas de Codificación Básica (BER) y Reglas de Codificación Distinguida (DER).

sscg ahora soporta la generación de archivos de claves privadas protegidas por una contraseña

La utilidad sscg es ahora capaz de generar archivos de claves privadas protegidas por una contraseña. Esto añade otro nivel de protección para las claves privadas, y es requerido por algunos servicios, como FreeRADIUS.

grafana rebasado a la versión 6.3.6

El paquete grafana ha sido actualizado a la versión 6.3.6, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

pcp rebasado a la versión 5.0.2

El paquete pcp ha sido actualizado a la versión 5.0.2, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

grafana-pcp ya está disponible en RHEL 8.2

El paquete grafana-pcp proporciona nuevas fuentes de datos de grafana y plugins de aplicación que conectan PCP con grafana. Con el paquete grafana-pcp, puede analizar las métricas históricas de PCP y las métricas de PCP en tiempo real utilizando el lenguaje de consulta pmseries y los servicios en vivo pmwebapi respectivamente. Para obtener más información, consulte Performance Co-Pilot Grafana Plugin.

Actualización del conjunto de herramientas GCC 9

GCC Toolset 9 es un conjunto de herramientas de compilación que proporciona versiones recientes de herramientas de desarrollo. Está disponible como un flujo de aplicaciones en forma de colección de software en el repositorio AppStream.

GCC Toolset 9 ahora soporta la descarga de objetivos NVIDIA PTX

El compilador GCC en GCC Toolset 9 ahora soporta la descarga de objetivos OpenMP para NVIDIA PTX.

El compilador GCC actualizado ya está disponible para RHEL 8.2

El compilador GCC del sistema, versión 8.3.1, se ha actualizado para incluir numerosas correcciones de errores y mejoras disponibles en el GCC upstream.

Un nuevo sintonizador para cambiar el tamaño máximo de fastbin en glibc

La función malloc utiliza una serie de fastbins que contienen trozos de memoria reutilizables hasta un tamaño determinado. El tamaño máximo de los trozos por defecto es de 80 bytes en sistemas de 32 bits y de 160 bytes en sistemas de 64 bits. Esta mejora introduce un nuevo ajuste glibc.malloc.mxfast en glibc que permite cambiar el tamaño máximo de los fastbins.

La biblioteca matemática vectorial está ahora habilitada para GNU Fortran en GCC Toolset 9

Con esta mejora, GNU Fortran de GCC Toolset puede ahora utilizar rutinas de la biblioteca matemática vectorizada libmvec. Anteriormente, el compilador de Fortran en GCC Toolset necesitaba un archivo de cabecera de Fortran antes de poder utilizar las rutinas de libmvec proporcionadas por la biblioteca de C de GNU glibc.

Se ha mejorado el ajuste de glibc.malloc.tcache

La variable de ajuste glibc.malloc. tcache_count permite establecer el número máximo de trozos de memoria de cada tamaño que se pueden almacenar en la caché por hilo (tcache). Con esta actualización, el límite superior de la sintonizable glibc.malloc .tcache_count se ha incrementado de 127 a 65535.

El cargador dinámico de glibc se ha mejorado para proporcionar un mecanismo de precarga de bibliotecas no heredado

Con esta mejora, ahora se puede invocar el cargador para cargar un programa de usuario con una opción --preload seguida de una lista de bibliotecas a precargar separada por dos puntos. Esta característica permite a los usuarios invocar sus programas directamente a través del cargador con una lista de precarga de bibliotecas no heredada.

GDB ahora soporta la extensión ARCH(13) en la arquitectura IBM Z

Con esta mejora, el depurador de GNU (GDB) soporta ahora las nuevas instrucciones implementadas por la extensión ARCH(13) en la arquitectura IBM Z.

elfutils rebasado a la versión 0.178

El paquete elfutils ha sido actualizado a la versión 0.178, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

SystemTap rebasado a la versión 4.2

La herramienta de instrumentación SystemTap ha sido actualizada a la versión 4.2. Las mejoras más destacadas son:

Mejoras en los contadores de rendimiento de la serie Z de IBM

Las máquinas IBM serie Z tipo 0x8561, 0x8562 y 0x3907 (z14 ZR1) son ahora reconocidas por libpfm. Ahora están disponibles los eventos de rendimiento para supervisar las operaciones de criptografía de curva elíptica (ECC) en la serie Z de IBM. Esto permite la monitorización de subsistemas adicionales en máquinas de la serie Z de IBM.

Conjunto de herramientas de Rust rebasado a la versión 1.41

Rust Toolset ha sido actualizado a la versión 1.41. Los cambios más destacados son:

El conjunto de herramientas LLVM se ha actualizado a la versión 9.0.1

El conjunto de herramientas LLVM ha sido actualizado a la versión 9.0.1. Con esta actualización, ahora se soportan las sentencias asm goto. Este cambio permite compilar el kernel de Linux en las arquitecturas AMD64 e Intel 64.

Go Toolset rebasado a la versión 1.13

Go Toolset ha sido actualizado a la versión 1.13. Las mejoras más destacadas son:

OpenJDK ahora también soporta secp256k1

Anteriormente, Open Java Development Kit (OpenJDK) sólo podía utilizar curvas de la biblioteca NSS. En consecuencia, OpenJDK sólo proporcionaba las curvas secp256r1, secp384r1 y secp521r1 para la criptografía de curva elíptica (ECC). Con esta actualización, OpenJDK utiliza la implementación interna de ECC y soporta también la curva secp256k1.

IdM ahora es compatible con los nuevos módulos de gestión de Ansible

Esta actualización introduce varios módulos ansible-freeipa para la automatización de tareas comunes de gestión de identidades (IdM) mediante los playbooks de Ansible:

IdM Healthcheck ahora soporta el cribado de registros DNS

Esta actualización introduce una prueba manual independiente de los registros DNS en un servidor de gestión de identidades (IdM).

La integración directa de RHEL en AD mediante SSSD ahora es compatible con FIPS

Con esta mejora, el demonio de seguridad de servicios del sistema (SSSD) se integra ahora con las implantaciones de Active Directory (AD) cuyos mecanismos de autenticación utilizan tipos de cifrado aprobados por la norma federal de procesamiento de información (FIPS). La mejora permite integrar directamente los sistemas RHEL en AD en entornos que deben cumplir los criterios FIPS.

El protocolo SMB1 ha sido desactivado en las utilidades del servidor y del cliente Samba por defecto

En Samba 4.11, los valores por defecto de los parámetros de protocolo mínimo del servidor y protocolo mínimo del cliente se han cambiado de NT1 a SMB2_02 porque el protocolo de bloque de mensajes del servidor versión 1 (SMB1) está obsoleto. Si no ha establecido estos parámetros en el archivo /etc/samba/smb.conf:

samba rebasado a la versión 4.11.2

Los paquetes samba han sido actualizados a la versión 4.11.2, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior. Los cambios más importantes son:

El servidor de directorios se ha actualizado a la versión 1.4.2.4

Los paquetes 389-ds-base han sido actualizados a la versión 1.4.2.4, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior. Para obtener una lista completa de los cambios notables, lea las notas de la versión upstream antes de actualizar:

Algunas secuencias de comandos heredadas han sido sustituidas en el servidor de directorio

Esta mejora proporciona reemplazos para los scripts heredados dbverify, validate-syntax.pl, cl-dump.pl, fixup-memberuid.pl y repl-monitor.pl no soportados en Directory Server. Estos scripts han sido sustituidos por los siguientes comandos:

La configuración de IdM como réplica oculta es ahora totalmente compatible

La gestión de identidades (IdM) en RHEL 8.2 soporta completamente la configuración de servidores IdM como réplicas ocultas. Una réplica oculta es un servidor IdM que tiene todos los servicios en ejecución y disponibles. Sin embargo, no se anuncia a otros clientes o maestros porque no existen registros SRV para los servicios en DNS, y los roles del servidor LDAP no están habilitados. Por lo tanto, los clientes no pueden utilizar el descubrimiento de servicios para detectar las réplicas ocultas.

La política de tickets de Kerberos ahora admite indicadores de autenticación

Los indicadores de autenticación se adjuntan a los tickets de Kerberos en función del mecanismo de preautenticación que se haya utilizado para adquirir el ticket:

El paquete krb5 es ahora compatible con FIPS

Con esta mejora, se prohíbe la criptografía no conforme. Como resultado, los administradores pueden utilizar Kerberos en entornos regulados por FIPS.

Directory Server establece el parámetro sslVersionMin basándose en la política crypto de todo el sistema

Por defecto, Directory Server ahora establece el valor del parámetro sslVersionMin basado en la política crypto de todo el sistema. Si establece el perfil de la política crypto en el archivo /etc/crypto-policies/config a:

SSSD ahora aplica los GPO de AD por defecto

La configuración por defecto de la opción de SSSD ad_gpo_access_control es ahora enforcing. En RHEL 8, SSSD aplica por defecto las reglas de control de acceso basadas en los objetos de política de grupo (GPO) de Active Directory.

Wayland está ahora habilitado en sistemas de doble GPU

Anteriormente, el entorno de GNOME utilizaba por defecto la sesión X11 en ordenadores portátiles y otros sistemas que tienen dos unidades de procesamiento gráfico (GPU). Con esta versión, GNOME ahora utiliza por defecto la sesión Wayland en sistemas de doble GPU, que es el mismo comportamiento que en sistemas de una sola GPU.

Compatibilidad con las nuevas tarjetas gráficas

Las siguientes tarjetas gráficas son ahora compatibles:

Los administradores pueden ahora utilizar certificados de cliente para autenticarse en la consola web de RHEL 8

Con esta mejora de la consola web, un administrador de sistemas puede utilizar certificados de cliente para acceder a un sistema RHEL 8 de forma local o remota mediante un navegador con autenticación de certificados incorporada. No se requiere ningún software de cliente adicional. Estos certificados son comúnmente proporcionados por una tarjeta inteligente o Yubikey, o pueden ser importados en el navegador.

Opción de iniciar sesión en la consola web con un certificado de cliente TLS

Con esta actualización, es posible configurar la consola web para iniciar sesión con un certificado de cliente TLS proporcionado por un navegador o un dispositivo como una tarjeta inteligente o una YubiKey.

Cambios en el acceso a la consola web

La consola web de RHEL ha sido actualizada con los siguientes cambios:

La consola web de RHEL ha sido rediseñada para utilizar el sistema de diseño de interfaz de usuario PatternFly 4

El nuevo diseño proporciona una mejor accesibilidad y se ajusta al diseño de OpenShift 4. Las actualizaciones incluyen:

Actualizaciones de la página demáquinas virtuales

La página de máquinas virtuales de la consola web ha recibido varias mejoras de almacenamiento:

Consola web Actualizaciones de la página de almacenamiento

Las pruebas de usabilidad mostraron que el concepto de default mount point en la página de almacenamiento de la consola web de RHEL era difícil de entender y generaba mucha confusión. Con esta actualización, la consola web ya no ofrece la opción Default al montar un sistema de archivos. La creación de un nuevo sistema de archivos ahora siempre requiere un punto de montaje especificado.

Al intentar crear una máquina virtual RHEL a partir de un árbol de instalación, ahora se devuelve un mensaje de error más útil.

Las máquinas virtuales de RHEL 7 y RHEL 8 creadas con la utilidad virt-install con la opción --location en algunos casos no arrancan. Esta actualización añade un mensaje de error de virt-install que proporciona instrucciones sobre cómo solucionar este problema.

Procesadores de la serie Intel Xeon Platinum 9200 compatibles con invitados KVM

La compatibilidad con los procesadores de la serie Intel Xeon Platinum 9200 (anteriormente conocidos como Cascade Lake) se ha añadido al hipervisor KVM y al código del kernel, así como a la API libvirt. Esto permite que las máquinas virtuales KVM utilicen los procesadores Intel Xeon Platinum de la serie 9200.

EDK2 rebasado a la versión estable201908

El paquete EDK2 ha sido actualizado a la versión stable201908, que aporta múltiples mejoras. En particular:

Creación de máquinas virtuales anidadas

Con esta actualización, la virtualización anidada es totalmente compatible con las máquinas virtuales (VM) KVM que se ejecutan en un host Intel 64 con RHEL 8. Con esta función, una VM de RHEL 7 o RHEL 8 que se ejecuta en un host físico de RHEL 8 puede actuar como hipervisor y alojar sus propias VM.

Se ha actualizado la lista de búsqueda de registros por defecto en /etc/containers/registries.conf

La lista por defecto de registries.search en /etc/containers/registries.conf ha sido actualizada para incluir sólo los registros de confianza que proporcionan imágenes de contenedores curadas, parcheadas y mantenidas por Red Hat y sus socios.

Podman ya no depende de oci-systemd-hook

Podman no necesita ni depende del paquete oci-systemd-hook, que ha sido eliminado de los módulos container-tools:rhel8 y container-tools:2.0.

El uso de los parámetros de arranque del kernel version o inst.version ya no detiene el programa de instalación

Anteriormente, al arrancar el programa de instalación desde la línea de comandos del kernel utilizando los parámetros de arranque version o inst.version se imprimía la versión, por ejemplo anaconda 30.25.6, y se detenía el programa de instalación.

Soporte de arranque seguro para s390x en el instalador

Anteriormente, RHEL 8.1 proporcionaba soporte para la preparación de discos de arranque para su uso en entornos IBM Z que obligaban al uso del arranque seguro. Las capacidades del servidor y del hipervisor utilizados durante la instalación determinaban si el formato en disco resultante contenía soporte para el arranque seguro. No había forma de influir en el formato en disco durante la instalación. En consecuencia, si se instalaba RHEL 8.1 en un entorno que soportaba el arranque seguro, el sistema no podía arrancar cuando se trasladaba a un entorno que no soportaba el arranque seguro, como se hace en algunos escenarios de conmutación por error.

La función de arranque seguro ya está disponible

Anteriormente, el valor por defecto de la opción de arranque seguro= no estaba configurado en auto, y como resultado, la función de arranque seguro no estaba disponible. Con esta actualización, a menos que se haya configurado previamente, el valor por defecto se establece en auto, y la función de arranque seguro está ahora disponible.

El archivo /etc/sysconfig/kernel ya no hace referencia al script new-kernel-pkg

Anteriormente, el archivo /etc/sysconfig/kernel hacía referencia al script new-kernel-pkg. Sin embargo, el script new-kernel-pkg no está incluido en un sistema RHEL 8. Con esta actualización, la referencia al script new-kernel-pkg se ha eliminado del archivo /etc/sysconfig/kernel.

La instalación no establece más que el número máximo de dispositivos permitidos en la variable NVRAM del dispositivo de arranque

Anteriormente, el programa de instalación de RHEL 8 establecía más del número máximo de dispositivos permitidos en la variable NVRAM del dispositivo de arranque. Como resultado, la instalación fallaba en sistemas que tenían más del número máximo de dispositivos. Con esta actualización, el programa de instalación de RHEL 8 comprueba ahora la configuración del dispositivo máximo y sólo añade el número permitido de dispositivos.

Las instalaciones funcionan para una ubicación de la imagen que utiliza un comando URL en un archivo Kickstart situado en una ubicación fuera de la red

Anteriormente, la instalación fallaba al principio del proceso cuando la activación de la red desencadenada por la ubicación remota de la imagen se especificaba mediante un comando URL en un archivo Kickstart situado en una ubicación que no era de red. Esta actualización soluciona el problema, y las instalaciones que proporcionan la ubicación de la imagen mediante un comando URL en un archivo Kickstart que se encuentra en una ubicación que no es de red, por ejemplo, un CD-ROM o un dispositivo de bloque local, ahora funcionan como se espera.

El programa de instalación de RHEL 8 sólo comprueba la existencia de dispositivos ECKD DASD no formateados

Anteriormente, al comprobar si había dispositivos sin formatear, el programa de instalación comprobaba todos los dispositivos DASD. Sin embargo, el programa de instalación sólo debería haber comprobado los dispositivos DASD ECKD. Como consecuencia, la instalación fallaba con un rastro cuando se utilizaba un dispositivo DASD FBA con SWAPGEN. Con esta actualización, el programa de instalación no comprueba los dispositivos DASD FBA, y la instalación se completa con éxito.

yum repolist ya no termina en el primer repositorio no disponible

Anteriormente, la opción de configuración del repositorio skip_if_unavailable se establecía por defecto de la siguiente manera:

Actualizaciones deReaR

RHEL 8.2 introduce una serie de actualizaciones en la utilidad Relax-and-Recover(ReaR).

mlocate-updatedb.timer se activa ahora durante la instalación del paquete mlocate

Anteriormente, la reindexación de la base de datos de archivos no se realizaba automáticamente, porque el temporizador mlocate-updatedb.timer estaba desactivado después de la instalación del paquete mlocate. Con esta actualización, el temporizador mlocate-updatedb. timer forma ahora parte del archivo 90-default.preset y se activa por defecto tras la instalación del paquete mlocate. Como resultado, la base de datos de archivos se actualiza automáticamente.

dnsmasq ahora maneja correctamente las consultas DNS no recursivas

Anteriormente, dnsmasq reenviaba todas las consultas no recursivas a un servidor upstream, lo cual llevaba a respuestas diferentes. Con esta actualización, las consultas no recursivas a nombres locales conocidos, como nombres de arrendamiento de hosts DHCP o hosts leídos del archivo /etc/hosts, son manejados por dnsmasq y no son reenviados a un servidor upstream. Como resultado, se devuelve la misma respuesta que a las consultas recursivas a nombres conocidos.

dhclient ya no falla al renovar la dirección IP después de los cambios de hora del sistema

Anteriormente, si la hora del sistema cambiaba, el sistema podía perder la dirección IP asignada debido a la eliminación por parte del kernel. Con esta actualización, dhclient utiliza un temporizador monotónico para detectar los saltos de tiempo hacia atrás y emite el mensaje DHCPREQUEST para la extensión del arrendamiento en caso de salto discontinuo en la hora del sistema. Como resultado, el sistema ya no pierde la dirección IP en el escenario descrito.

ipcalc ahora devuelve la dirección de difusión correcta para las redes /31

Esta actualización corrige la utilidad ipcalc para que siga correctamente el estándar RFC 3021. Como resultado, ipcalc devuelve la dirección de difusión correcta cuando se utiliza el prefijo /31 en una interfaz.

/etc/services contiene ahora la definición de puerto NRPE adecuada

Esta actualización añade la definición del puerto del servicio Nagios Remote Plug-in Executor (NRPE) al archivo /etc/services.

El código de resolución DNS de Postfix ahora utiliza res_search en lugar de res_query

Tras su anterior actualización en postfix, el código del resolver DNS utilizaba la función res_query en lugar de la función res_search. Como consecuencia, el resolvedor de DNS no buscaba los nombres de host en los dominios actuales y superiores con la siguiente configuración de postfix:

PCRE, CDB y SQLite pueden utilizarse ahora con Postfix

En RHEL 8, el paquete postfix se ha dividido en múltiples subpaquetes, cada uno de los cuales proporciona un plug-in para una base de datos específica. Anteriormente, los paquetes RPM que contenían los complementos postfix-pcre, postfix-cdb y postfix-sqlite no se distribuían. En consecuencia, las bases de datos con estos plug-ins no podían ser utilizadas con Postfix. Esta actualización añade paquetes RPM que contienen los plug-ins PCRE, CDB y SQLite al repositorio de AppStream. Como resultado, estos plug-ins pueden ser utilizados después de que el paquete RPM apropiado sea instalado.

fapolicyd ya no impide las actualizaciones de RHEL

Cuando una actualización sustituye el binario de una aplicación en ejecución, el kernel modifica la ruta del binario de la aplicación en la memoria añadiendo el sufijo " (eliminado)". Anteriormente, el demonio de la política de acceso a archivos fapolicyd trataba dichas aplicaciones como no confiables, y les impedía abrir y ejecutar cualquier otro archivo. Como consecuencia, el sistema a veces no podía arrancar después de aplicar las actualizaciones.

openssl-pkcs11 ya no bloquea los dispositivos al intentar iniciar sesión en varios dispositivos

Anteriormente, el motor openssl-pkcs11 intentaba iniciar sesión en el primer resultado de una búsqueda utilizando el URI PKCS #11 proporcionado y utilizaba el PIN proporcionado incluso si el primer resultado no era el dispositivo previsto y el PIN coincidía con otro dispositivo. Estos intentos fallidos de autenticación bloqueaban el dispositivo.

OpenSCAP los escaneos fuera de línea utilizando rpmverifyfile ahora funcionan correctamente

Antes de esta actualización, el explorador OpenSCAP no cambiaba correctamente el directorio de trabajo actual en modo fuera de línea, y la función fchdir no se llamaba con los argumentos correctos en la sonda rpmverifyfile de OpenSCAP. El escáner OpenSCAP ha sido corregido para cambiar correctamente el directorio de trabajo actual en modo offline, y la función fchdir ha sido corregida para usar los argumentos correctos en rpmverifyfile. Como resultado, el contenido SCAP que contiene OVAL rpmverifyfile puede ser usado por OpenSCAP para escanear sistemas de archivos arbitrarios.

httpd ahora se inicia correctamente si se utiliza una clave privada ECDSA sin que coincida con la clave pública almacenada en un dispositivo PKCS #11

A diferencia de las claves RSA, las claves privadas ECDSA no contienen necesariamente información sobre la clave pública. En este caso, no se puede obtener la clave pública de una clave privada ECDSA. Por esta razón, un dispositivo PKCS #11 almacena la información de la clave pública en un objeto separado, ya sea un objeto de clave pública o un objeto de certificado. OpenSSL espera que la estructura EVP_PKEY proporcionada por un motor para una clave privada contenga la información de la clave pública. Al rellenar la estructura EVP_PKEY que se proporcionaba a OpenSSL, el motor del paquete openssl-pkcs11 intentaba obtener la información de la clave pública sólo de los objetos de clave pública que coincidían e ignoraba los objetos de certificado presentes.

scap-security-guide Las correcciones PCI-DSS de las reglas de auditoría ahora funcionan correctamente

Anteriormente, el paquete scap-security-guide contenía una combinación de remediación y una comprobación que podía dar lugar a uno de los siguientes escenarios:

OpenSCAP ahora ofrece escaneo sin conexión de máquinas virtuales y contenedores

Anteriormente, la refactorización de la base de código OpenSCAP provocaba que ciertas sondas RPM no pudieran escanear los sistemas de archivos de las máquinas virtuales y los contenedores en modo offline. En consecuencia, las siguientes herramientas no podían incluirse en el paquete openscap-utils: oscap-vm y oscap-chroot. Además, el paquete openscap-containers fue eliminado por completo de RHEL 8. Con esta actualización se han solucionado los problemas de las sondas.

OpenSCAP rpmverifypackage ahora funciona correctamente

Anteriormente, las llamadas al sistema chdir y chroot eran llamadas dos veces por la sonda rpmverifypackage. En consecuencia, se producía un error cuando la sonda se utilizaba durante un análisis de OpenSCAP con contenido personalizado de Open Vulnerability and Assessment Language (OVAL). La sonda rpmverifypackage ha sido corregida para utilizar correctamente las llamadas al sistema chdir y chroot. Como resultado, rpmverifypackage ahora funciona correctamente.

El bloqueo en la función qdisc_run ahora no provoca el bloqueo del kernel

Anteriormente, una condición de carrera cuando la disciplina de la cola pfifo_fast se restablece mientras el tráfico dequeuing estaba llevando a la transmisión de paquetes después de que fueron liberados. Como consecuencia, a veces el kernel se terminaba inesperadamente. Con esta actualización, se ha mejorado el bloqueo en la función qdisc_run. Como resultado, el kernel ya no se bloquea en el escenario descrito.

Las APIs de DBus en org.fedoraproject.FirewallD1.config.service funcionan como se espera

Anteriormente, las funciones getIncludes, setIncludes y queryIncludes de la API de DBus en org. fedoraproject . FirewallD1 devolvían un mensaje de error: org.fedoraproject.FirewallD1.Exception: list index out of range due to bad indexing. Con esta actualización, las funciones getIncludes, setIncludes y queryIncludes de la API de DBus funcionan como se esperaba.

RHEL ya no registra una advertencia del kernel al descargar el módulo ipvs

Anteriormente, el módulo del servidor virtual IP(ipvs) utilizaba un recuento de referencias incorrecto, lo que provocaba una condición de carrera al descargar el módulo. En consecuencia, RHEL registraba una advertencia del kernel. Esta actualización corrige la condición de carrera. Como resultado, el kernel ya no registra la advertencia cuando se descarga el módulo ipvs.

La utilidad nft ya no interpreta los argumentos como opciones de la línea de comandos después del primer argumento no opcional

Anteriormente, la utilidad nft aceptaba opciones en cualquier parte de un comando nft. Por ejemplo, los administradores podían usar opciones entre o después de argumentos que no eran opciones. Como consecuencia, debido al guión inicial, nft interpretaba los valores de prioridad negativos como opciones, y el comando fallaba. El analizador de la línea de comandos de la utilidad nft se ha actualizado para que no interprete los argumentos que comienzan con un guión después de que se haya leído el primer argumento que no es una opción. Como resultado, los administradores ya no necesitan soluciones para pasar valores de prioridad negativa a nft.

Los archivos /etc/hosts.allow y /etc/hosts.deny ya no contienen referencias obsoletas a los tcp_wrapperseliminados

Anteriormente, los archivos /etc/hosts.allow y /etc/hosts.deny contenían información obsoleta sobre el paquete tcp_wrappers. Los archivos se han eliminado en RHEL 8 porque ya no son necesarios para tcp_wrappers, que se ha eliminado.

Se ha añadido un parámetro de configuración a firewalld para desactivar la deriva de zonas

Anteriormente, el servicio firewalld contenía un comportamiento no documentado conocido como "zone drifting". RHEL 8.0 eliminó este comportamiento porque podía tener un impacto negativo en la seguridad. Como consecuencia, en los hosts que utilizaban este comportamiento para configurar una zona de captura o de reserva, firewalld denegaba conexiones que antes estaban permitidas. Esta actualización vuelve a añadir el comportamiento de deriva de zona, pero como una característica configurable. Como resultado, los usuarios pueden ahora decidir usar el desvío de zona o deshabilitar el comportamiento para una configuración más segura del cortafuegos.

Ahora la memoria de subsección hotplug es totalmente compatible

Anteriormente, algunas plataformas alineaban las regiones de memoria física, como los Módulos Duales en Línea (DIMM) y los conjuntos de intercalación a los límites de memoria de 64MiB. Sin embargo, como el subsistema de conexión en caliente de Linux utiliza un tamaño de memoria de 128MiB, la conexión en caliente de nuevos dispositivos hacía que se superpusieran varias regiones de memoria en una única ventana de memoria de conexión en caliente. Consecuentemente, esto causó un fallo en el listado de los espacios de nombres de memoria persistente disponibles con el siguiente o similar trazado de llamada:

La corrupción de datos ahora desencadena un BUG en lugar de un mensaje WARN

Con esta mejora, las corrupciones de la lista en lib/list_debug. c ahora desencadenan un BUG, que genera un informe con un vmcore. Anteriormente, cuando se encontraba una corrupción de datos, se generaba un simple WARN, que probablemente pasaba desapercibido. Con el set CONFIG_BUG_ON_DATA_CORRUPTION, el kernel ahora crea un crash y dispara un BUG en respuesta a la corrupción de datos. Esto evita daños mayores y reduce el riesgo de seguridad. El kdump ahora genera un vmcore, lo que mejora la notificación de errores de corrupción de datos.

La compatibilidad con la tarjeta Intel Carlsville está disponible pero no se ha verificado en RHEL 8.2

El soporte de la tarjeta Intel Carlsville está disponible pero no ha sido probado en Red Hat Enterprise Linux 8.2.

RPS y XPS ya no colocan trabajos en CPUs aisladas

Anteriormente, el mecanismo de cola de software Receive Packet Steering (RPS) y el mecanismo de selección de cola de transmisión Transmit Packet Steering (XPS) asignaban trabajos en todos los conjuntos de CPU, incluidas las CPU aisladas. En consecuencia, esto podía provocar un pico de latencia inesperado en un entorno de tiempo real cuando una carga de trabajo sensible a la latencia utilizaba la misma CPU en la que se ejecutaban los trabajos RPS o XPS. Con esta actualización, la función store_rps_map() no incluye ninguna CPU aislada a efectos de configuración de RPS. Del mismo modo, los controladores del kernel utilizados para la configuración de XPS respetan el aislamiento de la CPU. Como resultado, RPS y XPS ya no colocan trabajos en CPUs aisladas en el escenario descrito. Si se configura una CPU aislada en el archivo /sys/devices/pci*/net/dev/queues/rx-*/rps_cpus, aparece el siguiente error:

Los controladores SCSI ya no utilizan una cantidad excesiva de memoria

Anteriormente, algunos controladores SCSI utilizaban una mayor cantidad de memoria que en RHEL 7. En algunos casos, como la creación de vPort en un adaptador de bus de host (HBA) de canal de fibra, el uso de memoria era excesivo, dependiendo de la configuración del sistema.

VDO ahora puede suspender antes de que UDS haya terminado de reconstruir

Anteriormente, el comando dmsetup suspender no respondía si se intentaba suspender un volumen VDO mientras se reconstruía el índice UDS. El comando terminaba sólo después de la reconstrucción.

Se han solucionado los problemas de registro de mod_cgid

Antes de esta actualización, si el módulo httpd de Apache mod_cgid se utilizaba bajo un módulo de multiprocesamiento roscado (MPM), se producían los siguientes problemas de registro:

Los objetos compartidos no reubicados y no inicializados ya no provocan fallos si dlopen falla

Anteriormente, si la llamada dlopen fallaba, el enlazador dinámico de glibc no eliminaba los objetos compartidos con la marca NODELETE antes de informar del error. En consecuencia, los objetos compartidos no reubicados y no inicializados permanecían en la imagen del proceso, resultando eventualmente en fallos de aserción o caídas. Con esta actualización, el cargador dinámico utiliza un estado NODELETE pendiente para eliminar los objetos compartidos ante un fallo de dlopen, antes de marcarlos como NODELETE de forma permanente. Como resultado, el proceso no deja ningún objeto sin ubicar. Además, los fallos de enlace perezoso mientras se ejecutan los constructores y destructores ELF ahora terminan el proceso.

Las funciones SIMD avanzadas en la arquitectura ARM de 64 bits ya no se compilan mal cuando se resuelven de forma perezosa

Anteriormente, el nuevo estándar de llamadas a procedimientos vectoriales (PCS) para la SIMD avanzada no guardaba y restauraba correctamente ciertos registros guardados en la calle al resolver perezosamente funciones de la SIMD avanzada. Como consecuencia, los binarios podían comportarse mal en tiempo de ejecución. Con esta actualización, las funciones vectoriales de SIMD avanzada y SVE en la tabla de símbolos se marcan con .variant_pcs y, como resultado, el enlazador dinámico enlazará dichas funciones antes.

El script envolvente de sudo ahora analiza las opciones

Anteriormente, el script envolvente /opt/redhat/devtoolset*/root/usr/bin/sudo no analizaba correctamente las opciones de sudo. Como consecuencia, algunas opciones de sudo (por ejemplo, sudo -i) no podían ser ejecutadas. Con esta actualización, más opciones de sudo se analizan correctamente y, como resultado, el script envolvente de sudo funciona más como /usr/bin/sudo.

Se ha corregido la alineación de las variables TLS en glibc

Anteriormente, los datos alineados del almacenamiento local de hilos (TLS) podían, bajo ciertas condiciones, instanciarse sin la alineación esperada. Con esta actualización, la biblioteca de hilos POSIX libpthread ha sido mejorada para asegurar la correcta alineación bajo cualquier condición. Como resultado, los datos TLS alineados son ahora instanciados correctamente para todos los hilos con la alineación correcta.

Las llamadas repetidas a pututxline tras un error EINTR o EAGAIN ya no corrompen el archivo utmp

Cuando la función pututxline intenta adquirir un bloqueo y no lo consigue a tiempo, la función devuelve con el código de error EINTR o EAGAIN. Anteriormente, en esta situación, si se volvía a llamar inmediatamente a pututxline y se lograba obtener el bloqueo, no se utilizaba un espacio coincidente ya asignado en el archivo utmp, sino que se añadía otra entrada en su lugar. Como consecuencia, estas entradas no utilizadas aumentaban sustancialmente el tamaño del archivo utmp. Esta actualización corrige el problema, y ahora las entradas se añaden al archivo utmp correctamente.

mtrace ya no se cuelga cuando se producen fallos internos

Anteriormente, un defecto en la implementación de la herramienta mtrace podía hacer que el rastreo de memoria se colgara. Para solucionar este problema, la implementación del rastreo de memoria de mtrace se ha hecho más robusta para evitar el cuelgue incluso ante fallos internos. Como resultado, los usuarios pueden ahora llamar a mtrace y ya no se cuelga, completándose en un tiempo limitado.

La función de bifurcación evita ciertos bloqueos relacionados con el uso de pthread_atfork

Anteriormente, si un programa registraba un manejador de atfork e invocaba a fork desde un manejador de señales asíncronas, un defecto en el bloqueo interno dependiente de la implementación podía hacer que el programa se congelara. Con esta actualización, la implementación de fork y sus manejadores atfork se ajusta para evitar el bloqueo en programas de un solo hilo.

strstr ya no devuelve coincidencias incorrectas para un patrón truncado

En algunas plataformas IBM Z (z15, antes conocida como arch13), la función strstr no actualizaba correctamente un registro de la CPU al manejar patrones de búsqueda que cruzaban un límite de página. Como consecuencia, strstr devolvía coincidencias incorrectas. Esta actualización corrige el problema, y como resultado, strstr funciona como se espera en el escenario mencionado.

Se han corregido las expresiones de elipsis de fuente de C.UTF-8 en glibc

Anteriormente, un defecto en la configuración regional de origen C.UTF-8 hacía que todos los puntos de código Unicode por encima de U 10000 carecieran de pesos de cotejo. Como consecuencia, todos los puntos de código por encima de U 10000 no se cotejaban como se esperaba. Se ha corregido la configuración regional de origen C.UTF-8 y la configuración regional binaria recién compilada tiene ahora pesos de cotejo para todos los puntos de código Unicode. La configuración regional C.UTF-8 compilada es 5,3MiB mayor como resultado de esta corrección.

glibc ya no falla cuando se llama a getpwent( ) sin llamar a setpwent()

Si su archivo /etc/nsswitch.conf apuntaba al proveedor de contraseñas Berkeley DB(db), podía solicitar datos usando la función getpwent () sin llamar primero a setpwent( ) sólo una vez. Cuando se llamaba a la función endpwent (), las siguientes llamadas a getpwent() sin llamar primero a setpwent () hacían que glibc fallara porque endpwent() no podía restablecer los internos para permitir una nueva consulta. Esta actualización soluciona el problema. Como resultado, después de terminar una consulta con endpwent(), las siguientes llamadas a getpwent () iniciarán una nueva consulta incluso si no se llama a setpwent().

ltrace ahora puede rastrear las llamadas al sistema en los binarios reforzados

Anteriormente, ltrace no producía ningún resultado en ciertos binarios reforzados, como los binarios del sistema, en las arquitecturas de 64 bits de AMD e Intel. Con esta actualización, ltrace ahora puede rastrear las llamadas al sistema en los binarios reforzados.

El fallo JCC de Intel ya no provoca una pérdida de rendimiento significativa en el compilador GCC

Ciertas CPUs de Intel están afectadas por el error de código condicional de salto (JCC) que provoca la ejecución incorrecta de instrucciones de máquina. En consecuencia, las CPUs afectadas podrían no ejecutar los programas correctamente. La solución completa implica la actualización del microcódigo de las CPUs vulnerables, lo que puede causar una degradación del rendimiento. Esta actualización habilita una solución en el ensamblador que ayuda a reducir la pérdida de rendimiento. La solución está activada por defecto en not.

make ya no se ralentiza al utilizar construcciones paralelas

Anteriormente, mientras se ejecutaban compilaciones paralelas, los subprocesos de make podían dejar de responder temporalmente cuando esperaban su turno para ejecutarse. Como consecuencia, las construcciones con valores -j altos se ralentizaban o se ejecutaban con valores -j efectivos más bajos. Con esta actualización, la lógica de control de trabajos de make es ahora no bloqueante. Como resultado, las compilaciones con valores -j altos se ejecutan a la máxima velocidad -j.

La herramienta ltrace ahora informa correctamente de las llamadas a funciones

Debido a las mejoras en el endurecimiento de los binarios aplicadas a todos los componentes de RHEL, la herramienta ltrace no podía detectar anteriormente las llamadas a funciones en los archivos binarios procedentes de los componentes de RHEL. Como consecuencia, la salida de ltrace estaba vacía porque no informaba de ninguna llamada detectada cuando se utilizaba en dichos archivos binarios. Esta actualización corrige la forma en que ltrace maneja las llamadas a funciones, lo que evita que se produzca el problema descrito.

La utilidad dsctl ya no falla al gestionar instancias con un guión en su nombre

Anteriormente, la utilidad dsctl no analizaba correctamente los guiones en los nombres de las instancias de Directory Server. Como consecuencia, los administradores no podían utilizar dsctl para gestionar instancias con un guión en su nombre. Esta actualización corrige el problema, y dsctl ahora funciona como se espera en el escenario mencionado.

Los nombres de las instancias del Servidor de Directorio ahora pueden tener hasta 103 caracteres

Cuando un cliente LDAP establece una conexión con Directory Server, el servidor almacena la información relacionada con la dirección del cliente en un buffer local. Anteriormente, el tamaño de este búfer era demasiado pequeño para almacenar un nombre de ruta LDAPI de más de 46 caracteres. Este es el caso, por ejemplo, si el nombre de la instancia del Servidor de Directorio es demasiado largo. Como consecuencia, el servidor terminaba inesperadamente debido a un desbordamiento del búfer. Esta actualización aumenta el tamaño del búfer hasta el tamaño máximo que admite la biblioteca Netscape Portable Runtime (NSPR) para el nombre de la ruta. Como resultado, Directory Server ya no se bloquea en el escenario mencionado.

La utilidad pkidestroy ahora escoge la instancia correcta

Anteriormente, el comando pkidestroy --force ejecutado en una instancia medio eliminada elegía la instancia pki-tomcat por defecto, independientemente del nombre de la instancia especificado con la opción -i instance.

Se ha actualizado la descripción de ldap_user_authorized_service en la página man de sssd-ldap

La pila de módulos de autenticación enchufables (PAM) ha cambiado en RHEL 8. Por ejemplo, la sesión de usuario systemd ahora inicia una conversación PAM utilizando el servicio PAM systemd-user. Este servicio ahora incluye recursivamente el servicio PAM system-auth, que puede incluir la interfaz pam_sss.so. Esto significa que el control de acceso SSSD siempre es llamado.

Ahora se muestra la información sobre los registros DNS necesarios al activar la compatibilidad con la confianza de AD en IdM

Anteriormente, cuando se habilitaba el soporte para la confianza de Active Directory (AD) en la instalación de Red Hat Enterprise Linux Identity Management (IdM) con gestión externa de DNS, no se mostraba información sobre los registros DNS requeridos. Era necesario introducir manualmente el comando ipa dns-update-system-records --dry-run para obtener una lista de todos los registros DNS requeridos por IdM.

GNOME Shell en Wayland ya no funciona lentamente cuando se utiliza un renderizador de software

Anteriormente, el back-end de Wayland de GNOME Shell no utilizaba un framebuffer cacheable cuando se utilizaba un renderizador por software. Como consecuencia, el GNOME Shell renderizado por software en Wayland era lento comparado con el GNOME Shell renderizado por software en el back end de X.org.

El inicio de una máquina virtual en un procesador Intel Core de 10ª generación ya no falla

Anteriormente, el inicio de una máquina virtual (VM) fallaba en un modelo de host que utilizaba un procesador Intel Core de 10ª generación, también conocido como Icelake-Server. Con esta actualización, libvirt ya no intenta desactivar la función pconfig CPU, que no es compatible con QEMU. Como resultado, el inicio de una máquina virtual en un modelo de host que ejecuta un procesador Intel de 10ª generación ya no falla.

El uso de cloud-init para aprovisionar máquinas virtuales en Microsoft Azure ahora funciona correctamente

Anteriormente, no era posible utilizar la utilidad cloud-init para aprovisionar una máquina virtual (VM) RHEL 8 en la plataforma Microsoft Azure. Esta actualización corrige el manejo de cloud-init de los puntos finales de Azure, y el aprovisionamiento de máquinas virtuales RHEL 8 en Azure ahora se realiza como se espera.

Las máquinas virtuales de RHEL 8 en los hosts de RHEL 7 pueden verse de forma fiable con una resolución superior a 1920x1200

Anteriormente, cuando se utilizaba una máquina virtual (VM) RHEL 8 que se ejecutaba en un sistema anfitrión RHEL 7, ciertos métodos de visualización de la salida gráfica de la VM, como la ejecución de la aplicación en modo quiosco, no podían utilizar una resolución superior a 1920x1200. Como consecuencia, la visualización de VMs utilizando esos métodos sólo funcionaba en resoluciones de hasta 1920x1200 aunque el hardware del host soportara resoluciones mayores. Esta actualización ajusta los controladores DRM y QXL de forma que se evite el problema descrito.

La personalización de una VM ESXi utilizando cloud-init y el reinicio de la VM ahora funciona correctamente

Anteriormente, si el servicio cloud-init se utilizaba para modificar una máquina virtual (VM) que se ejecutaba en el hipervisor VMware ESXi para utilizar IP estática y la VM se clonaba a continuación, la nueva VM clonada tardaba en algunos casos mucho tiempo en reiniciarse. Esta actualización modifica cloud-init para que no reescriba la IP estática de la VM a DHCP, lo que evita que se produzca el problema descrito.

La extracción de imágenes del registro de quay.io ya no conduce a imágenes no deseadas

Anteriormente, tener el registro de imágenes de contenedores quay.io en la lista de búsqueda de registros por defecto proporcionada en /etc/containers/registries.conf podía permitir a un usuario obtener una imagen falsa cuando se utilizaba un nombre corto. Para solucionar este problema, se ha eliminado el registro de imágenes de contenedores de quay.io de la lista de búsqueda de registros por defecto en /etc/containers/registries.conf. Como resultado, la extracción de imágenes del registro quay.io ahora requiere que los usuarios especifiquen el nombre completo del repositorio, como quay.io/myorg/myimage. El registro quay.io puede añadirse de nuevo a la lista de búsqueda de registros por defecto en /etc/containers/registries. conf para volver a activar la extracción de imágenes de contenedores utilizando nombres cortos, sin embargo, esto no se recomienda ya que podría crear un riesgo de seguridad.

nmstate está disponible como una muestra de tecnología

Nmstate es una API de red para hosts. Los paquetes nmstate, disponibles como Technology Preview, proporcionan una biblioteca y la utilidad de línea de comandos nmstatectl para gestionar la configuración de red de los hosts de forma declarativa. El estado de la red se describe mediante un esquema predefinido. Los informes sobre el estado actual y los cambios al estado deseado se ajustan al esquema.

AF_XDP está disponible como Muestra de Tecnología

El socketAddress Family eXpress Data Path(AF_XDP) está diseñado para el procesamiento de paquetes de alto rendimiento. Acompaña a XDP y garantiza una redirección eficaz de los paquetes seleccionados mediante programación a las aplicaciones del espacio de usuario para su posterior procesamiento.

XDP disponible como Muestra de Tecnología

La función eXpress Data Path (XDP), que está disponible como Technology Preview, ofrece un medio para adjuntar programas de Berkeley Packet Filter (eBPF) ampliados para el procesamiento de paquetes de alto rendimiento en un punto temprano de la ruta de datos de entrada del núcleo, lo que permite un análisis, filtrado y manipulación de paquetes programables y eficientes.

KTLS está disponible como avance tecnológico

En Red Hat Enterprise Linux 8, la Seguridad de la Capa de Transporte del Kernel (KTLS) se proporciona como una Muestra de Tecnología. KTLS maneja los registros TLS utilizando los algoritmos de cifrado o descifrado simétrico en el kernel para el cifrado AES-GCM. KTLS también proporciona la interfaz para descargar el cifrado de registros TLS a los controladores de interfaz de red (NIC) que soportan esta funcionalidad.

La utilidad dracut ahora soporta la creación de imágenes initrd con soporte de NetworkManager como una tecnología previa

Por defecto, la utilidad dracut utiliza un script de shell para gestionar la red en el disco RAM inicial(initrd). En ciertos casos, esto podría causar problemas cuando el sistema cambia del disco RAM al sistema operativo que utiliza NetworkManager para configurar la red. Por ejemplo, NetworkManager podría enviar otra solicitud de DHCP, incluso si el script en el disco RAM ya solicitó una dirección IP. Esta solicitud desde el disco RAM podría resultar en un tiempo de espera.

El controlador mlx5_core es compatible con el adaptador de red Mellanox ConnectX-6 Dx como Technology Preview

Esta mejora añade los IDs PCI del adaptador de red Mellanox ConnectX-6 Dx al controlador mlx5_core. En los hosts que utilizan este adaptador, RHEL carga el controlador mlx5_core automáticamente. Tenga en cuenta que Red Hat proporciona esta función como una Muestra de Tecnología no soportada.

El servicio systemd-resolved ya está disponible como Technology Preview

El servicio systemd-resolved proporciona resolución de nombres a las aplicaciones locales. El servicio implementa un resolvedor de stub DNS de caché y validación, un resolvedor de nombres Link-Local Multicast (LLMNR), y un resolvedor y respondedor de DNS Multicast.

kexec fast reboot como Technology Preview

La función de reinicio rápido de kexec, sigue estando disponible como Muestra de Tecnología. El reinicio es ahora significativamente más rápido gracias al reinicio rápido de kexec. Para utilizar esta función, cargue el kernel de kexec manualmente y, a continuación, reinicie el sistema operativo.

eBPF disponible como Muestra de Tecnología

Extended Berkeley Packet Filter (eBPF) es una máquina virtual dentro del núcleo que permite la ejecución de código en el espacio del núcleo, en el entorno restringido de la caja de arena con acceso a un conjunto limitado de funciones.

libbpf está disponible como Technology Preview

El paquete libbpf está actualmente disponible como Technology Preview. El paquete libbpf es crucial para las aplicaciones relacionadas con bpf como bpftrace y el desarrollo de bpf/xdp.

El controlador igc está disponible como Technology Preview para RHEL 8

El controlador de LAN cableada Intel 2.5G Ethernet Linux de igc ya está disponible en todas las arquitecturas para RHEL 8 como Technology Preview. La utilidad ethtool también es compatible con las LAN cableadas igc.

NVMe/TCP está disponible como una Muestra de Tecnología

El acceso y la compartición del almacenamiento Nonvolatile Memory Express (NVMe) a través de redes TCP/IP (NVMe/TCP) y sus correspondientes módulos del núcleo nvme-tcp.ko y nvmet-tcp.ko se han añadido como Technology Preview.

El sistema de archivos DAX ya está disponible para ext4 y XFS como Technology Preview

En Red Hat Enterprise Linux 8.2, el sistema de archivos DAX está disponible como una Muestra de Tecnología. DAX proporciona un medio para que una aplicación mapee directamente la memoria persistente en su espacio de direcciones. Para usar DAX, un sistema debe tener alguna forma de memoria persistente disponible, usualmente en la forma de uno o más módulos de memoria dual en línea no volátil (NVDIMMs), y un sistema de archivos que soporte DAX debe ser creado en los NVDIMMs. Además, el sistema de archivos debe ser montado con la opción de montaje dax. Entonces, un mmap de un archivo en el sistema de archivos montado en dax resulta en un mapeo directo del almacenamiento en el espacio de direcciones de la aplicación.

OverlayFS

OverlayFS es un tipo de sistema de archivos de unión. Permite superponer un sistema de archivos sobre otro. Los cambios se registran en el sistema de archivos superior, mientras que el sistema de archivos inferior permanece sin modificar. Esto permite que varios usuarios compartan una imagen del sistema de archivos, como un contenedor o un DVD-ROM, donde la imagen base está en un medio de sólo lectura. Consulte la documentación del núcleo de Linux para obtener información adicional: https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt.

Stratis ya está disponible como Muestra de Tecnología

Stratis es un nuevo gestor de almacenamiento local. Proporciona sistemas de archivos gestionados sobre pools de almacenamiento con características adicionales para el usuario.

IdM soporta ahora la configuración de un servidor Samba en un miembro del dominio IdM como Technology Preview

Con esta actualización, ahora se puede configurar un servidor Samba en un miembro del dominio de Gestión de Identidades (IdM). La nueva utilidad ipa-client-samba proporcionada por el paquete del mismo nombre añade un principal de servicio Kerberos específico de Samba a IdM y prepara el cliente IdM. Por ejemplo, la utilidad crea el archivo /etc/samba/smb.conf con la configuración de mapeo de ID para el back end de mapeo de ID sss. Como resultado, los administradores pueden ahora configurar Samba en un miembro del dominio IdM.

Paquetes de Podman de Marcapasos disponibles como Muestra de Tecnología

Los paquetes de contenedores de Pacemaker ahora se ejecutan en la plataforma de contenedores podman, y la función de paquetes de contenedores está disponible como Technology Preview. Hay una excepción a que esta característica sea Technology Preview: Red Hat soporta completamente el uso de paquetes Pacemaker para Red Hat Openstack.

Heurística en corosync-qdevice disponible como Technology Preview

La heurística es un conjunto de comandos que se ejecutan localmente en el arranque, en el cambio de pertenencia al clúster, en la conexión exitosa a corosync-qnetd y, opcionalmente, de forma periódica. Cuando todos los comandos terminan con éxito a tiempo (su código de error de retorno es cero), la heurística ha pasado; de lo contrario, ha fallado. El resultado de la heurística se envía a corosync-qnetd, donde se utiliza en los cálculos para determinar qué partición debe tener quórum.

Nuevo agente de valla-heurística-ping

Como muestra de tecnología, Pacemaker soporta ahora el agente fence_heuristics_ping. Este agente pretende abrir una clase de agentes de vallas experimentales que no hacen vallas reales por sí mismos, sino que explotan el comportamiento de los niveles de vallas de una manera nueva.

La API JSON-RPC de gestión de identidades está disponible como Technology Preview

Hay una API disponible para la gestión de identidades (IdM). Para ver la API, IdM también proporciona un navegador de API como Technology Preview.

DNSSEC disponible como Technology Preview en IdM

Los servidores de gestión de identidades (IdM) con DNS integrado son ahora compatibles con las extensiones de seguridad de DNS (DNSSEC), un conjunto de extensiones de DNS que mejoran la seguridad del protocolo DNS. Las zonas DNS alojadas en los servidores IdM pueden firmarse automáticamente utilizando DNSSEC. Las claves criptográficas se generan y rotan automáticamente.

La comprobación de la salud general de su infraestructura de clave pública ya está disponible como Muestra de Tecnología

Con esta actualización, la herramienta de comprobación de la infraestructura de clave pública (PKI) informa del estado del subsistema PKI a la herramienta de comprobación de la gestión de identidades (IdM), que se introdujo en RHEL 8.1. La ejecución de IdM Healthcheck invoca PKI Healthcheck, que recoge y devuelve el informe de estado del subsistema PKI.

El Escritorio GNOME en ARM está disponible como Muestra de Tecnología

El Escritorio GNOME está ahora disponible como Muestra de Tecnología en la arquitectura ARM de 64 bits. Los usuarios que necesiten una sesión gráfica para configurar y gestionar sus servidores pueden ahora conectarse a una sesión gráfica remota que ejecute el Escritorio GNOME usando VNC.

GNOME para la arquitectura ARM de 64 bits disponible como Technology Preview

El entorno de escritorio GNOME ya está disponible para la arquitectura ARM de 64 bits como Technology Preview. Esto permite a los administradores configurar y gestionar servidores desde una interfaz gráfica de usuario (GUI) de forma remota, utilizando la sesión VNC.

La consola remota VNC está disponible como Technology Preview para la arquitectura ARM de 64 bits

En la arquitectura ARM de 64 bits, la consola remota de Virtual Network Computing (VNC) está disponible como Technology Preview. Tenga en cuenta que el resto de la pila de gráficos no está actualmente verificada para la arquitectura ARM de 64 bits.

El rol postfix de RHEL System Roles disponible como Technology Preview

Red Hat Enterprise Linux System Roles proporciona una interfaz de configuración para los subsistemas de Red Hat Enterprise Linux, que facilita la configuración del sistema mediante la inclusión de Ansible Roles. Esta interfaz permite gestionar las configuraciones del sistema en varias versiones de Red Hat Enterprise Linux, así como adoptar nuevas versiones principales.

rhel-system-roles-sap disponible como Technology Preview

El paquete rhel-system-roles-sap proporciona roles de sistema de Red Hat Enterprise Linux (RHEL) para SAP, que pueden utilizarse para automatizar la configuración de un sistema RHEL para ejecutar cargas de trabajo SAP. Estos roles reducen en gran medida el tiempo de configuración de un sistema para ejecutar cargas de trabajo SAP, aplicando automáticamente los ajustes óptimos que se basan en las mejores prácticas descritas en las Notas SAP pertinentes. El acceso está limitado a las ofertas de RHEL for SAP Solutions. Póngase en contacto con el Servicio de Atención al Cliente de Red Hat si necesita ayuda con su suscripción.

Algunos adaptadores de red de Intel ahora son compatibles con SR-IOV en huéspedes RHEL en Hyper-V

Como Muestra de Tecnología, los sistemas operativos huéspedes de Red Hat Enterprise Linux que se ejecutan en un hipervisor Hyper-V pueden ahora utilizar la función de virtualización de E/S de raíz única (SR-IOV) para los adaptadores de red Intel soportados por los controladores ixgbevf e i40evf. Esta función se habilita cuando se cumplen las siguientes condiciones:

La virtualización KVM se puede utilizar en las máquinas virtuales Hyper-V de RHEL 8

Como Technology Preview, la virtualización KVM anidada ahora puede utilizarse en el hipervisor Microsoft Hyper-V. Como resultado, puede crear máquinas virtuales en un sistema invitado RHEL 8 que se ejecuta en un host Hyper-V.

AMD SEV para máquinas virtuales KVM

Como muestra de tecnología, RHEL 8 introduce la función de virtualización cifrada segura (SEV) para las máquinas host AMD EPYC que utilizan el hipervisor KVM. Si se activa en una máquina virtual (VM), SEV cifra la memoria de la VM para que el host no pueda acceder a los datos de la VM. Esto aumenta la seguridad de la VM si el host es infectado con éxito por el malware.

Intel vGPU

Como Technology Preview, ahora es posible dividir un dispositivo físico de GPU Intel en múltiples dispositivos virtuales denominados dispositivos mediados. Estos dispositivos mediados pueden ser asignados a múltiples máquinas virtuales (VM) como GPUs virtuales. Como resultado, estas máquinas virtuales comparten el rendimiento de una sola GPU Intel física.

la imagen del contenedorskopeo está disponible como Technology Preview

La imagen de contenedor registry.redhat.io/rhel8/skopeo es una implementación en contenedor del paquete skopeo. El skopeo es una herramienta de línea de comandos que realiza varias operaciones en imágenes de contenedores y repositorios de imágenes. Esta imagen de contenedor permite inspeccionar y copiar imágenes de contenedor de un registro de contenedores no autenticado a otro.

la imagen del contenedorbuildah está disponible como Technology Preview

La imagen de contenedor registry.redhat.io/rhel8/buildah es una implementación en contenedor del paquete buildah. El buildah es una herramienta que facilita la construcción de imágenes de contenedores OCI. Esta imagen de contenedor le permite construir imágenes de contenedor sin necesidad de instalar el paquete buildah en su sistema. El caso de uso no cubre la ejecución de esta imagen en modo sin raíz como usuario no root.

Varios comandos y opciones de Kickstart han quedado obsoletos

El uso de los siguientes comandos y opciones en los archivos Kickstart de RHEL 8 imprimirá una advertencia en los registros.

La opción --interactive del comando ignoredisk Kickstart ha quedado obsoleta

El uso de la opción --interactive en futuras versiones de Red Hat Enterprise Linux resultará en un error de instalación fatal. Se recomienda que modifique su archivo Kickstart para eliminar la opción.

rpmbuild --sign está obsoleto

Con esta actualización, el comando rpmbuild --sign ha quedado obsoleto. El uso de este comando en futuras versiones de Red Hat Enterprise Linux puede resultar en un error. Se recomienda utilizar el comando rpmsign en su lugar.

Los cifradosNSS SEED están obsoletos

La librería Mozilla Network Security Services(NSS) no soportará suites de cifrado TLS que usen un cifrado SEED en una futura versión. Para las implementaciones que dependen de los cifrados SEED, Red Hat recomienda habilitar el soporte para otros conjuntos de cifrado. De esta forma, se asegura una transición suave cuando NSS elimine el soporte para ellos.

TLS 1.0 y TLS 1.1 están obsoletos

Los protocolos TLS 1.0 y TLS 1.1 están desactivados en el nivel de política criptográfica de todo el sistema DEFAULT. Si su escenario, por ejemplo, una aplicación de videoconferencia en el navegador web Firefox, requiere el uso de los protocolos obsoletos, cambie la política criptográfica de todo el sistema al nivel LEGACY:

DSA está obsoleto en RHEL 8

El Algoritmo de Firma Digital (DSA) se considera obsoleto en Red Hat Enterprise Linux 8. Los mecanismos de autenticación que dependen de claves DSA no funcionan en la configuración por defecto. Tenga en cuenta que los clientes OpenSSH no aceptan claves de host DSA incluso en el nivel de política criptográfica de todo el sistema LEGACY.

SSL2 Client Hello ha quedado obsoleto en NSS

El protocolo Transport Layer Security(TLS) versión 1.2 y anteriores permiten iniciar una negociación con un mensaje Client Hello formateado de manera compatible con el protocolo Secure Sockets Layer(SSL) versión 2. La compatibilidad con esta función en la biblioteca de servicios de seguridad de la red(NSS) ha quedado obsoleta y está desactivada por defecto.

El TPM 1.2 está obsoleto

La versión estándar del criptoprocesador seguro Trusted Platform Module (TPM) se actualizó a la versión 2.0 en 2016. El TPM 2.0 ofrece muchas mejoras con respecto al TPM 1.2, y no es compatible con la versión anterior. El TPM 1.2 está obsoleto en RHEL 8, y es posible que se elimine en la próxima versión principal.

Los scripts de red están obsoletos en RHEL 8

Los scripts de red están obsoletos en Red Hat Enterprise Linux 8 y ya no se proporcionan por defecto. La instalación básica proporciona una nueva versión de los scripts ifup e ifdown que llaman al servicio NetworkManager a través de la herramienta nmcli. En Red Hat Enterprise Linux 8, para ejecutar los scripts ifup e ifdown, NetworkManager debe estar ejecutándose.

La instalación de RHEL for Real Time 8 mediante el arranque sin disco ha quedado obsoleta

El arranque sin disco permite que varios sistemas compartan un sistema de archivos raíz a través de la red. Aunque es conveniente, el arranque sin disco es propenso a introducir latencia de red en cargas de trabajo en tiempo real. Con una futura actualización menor de RHEL for Real Time 8, la función de arranque sin disco dejará de estar soportada.

El controlador qla3xxx está obsoleto

El controlador qla3xxx ha quedado obsoleto en RHEL 8. Es probable que el controlador no sea soportado en futuras versiones importantes de este producto, por lo que no se recomienda para nuevas implantaciones.

Los controladores dl2k, dnet, ethoc y dlci están obsoletos

Los controladores dl2k, dnet, ethoc y dlci han quedado obsoletos en RHEL 8. Es probable que estos controladores no reciban soporte en futuras versiones importantes de este producto, por lo que no se recomiendan para nuevas implantaciones.

El parámetro de la línea de comandos del núcleo del ascensor está obsoleto

El parámetro de línea de comandos del kernel elevador se utilizaba en versiones anteriores de RHEL para establecer el programador de discos para todos los dispositivos. En RHEL 8, el parámetro está obsoleto.

La réplica LVM está obsoleta

El tipo de segmento espejo LVM está ahora obsoleto. La compatibilidad con el espejo se eliminará en una futura versión importante de RHEL.

NFSv3 sobre UDP ha sido desactivado

El servidor NFS ya no abre o escucha en un socket del Protocolo de Datagramas de Usuario (UDP) por defecto. Este cambio sólo afecta a la versión 3 de NFS porque la versión 4 requiere el Protocolo de Control de Transmisión (TCP).

La biblioteca libgnome-keyring ha quedado obsoleta

La librería libgnome-keyring ha sido obviada en favor de la librería libsecret, ya que libgnome-keyring no es mantenida por el upstream, y no sigue las políticas criptográficas necesarias para RHEL. La nueva biblioteca libsecret es el reemplazo que sigue los estándares de seguridad necesarios.

Las tarjetas gráficas AGP ya no son compatibles

Las tarjetas gráficas que utilizan el bus Accelerated Graphics Port (AGP) no son compatibles con Red Hat Enterprise Linux 8. Utilice las tarjetas gráficas con bus PCI-Express como reemplazo recomendado.

La consola web ya no admite traducciones incompletas

La consola web de RHEL ya no proporciona traducciones para los idiomas que tienen traducciones disponibles para menos del 50 % de las cadenas traducibles de la consola. Si el navegador solicita la traducción a dicho idioma, la interfaz de usuario estará en inglés.

virt-manager ha quedado obsoleto

La aplicación Virtual Machine Manager, también conocida como virt-manager, ha quedado obsoleta. La consola web de RHEL 8, también conocida como Cockpit, está destinada a convertirse en su reemplazo en una versión posterior. Por lo tanto, se recomienda utilizar la consola web para gestionar la virtualización en una GUI. Tenga en cuenta, sin embargo, que algunas funciones disponibles en virt-manager pueden no estar aún disponibles en la consola web de RHEL 8.

Las instantáneas de las máquinas virtuales no se soportan correctamente en RHEL 8

El mecanismo actual de creación de instantáneas de máquinas virtuales (VM) ha quedado obsoleto, ya que no funciona de forma fiable. En consecuencia, se recomienda no utilizar las instantáneas de VM en RHEL 8.

El tipo de GPU virtual Cirrus VGA ha quedado obsoleto

Con una futura actualización mayor de Red Hat Enterprise Linux, el dispositivo Cirrus VGA GPU ya no será soportado en las máquinas virtuales KVM. Por lo tanto, Red Hat recomienda utilizar los dispositivos stdvga, virtio-vga, o qxl en lugar de Cirrus VGA.

El modelo de CPU cpu64-rhel6 ha sido obsoleto y eliminado

El modelo de CPU virtual de QEMU cpu64-rhel6 ha quedado obsoleto en RHEL 8.1, y ha sido eliminado en RHEL 8.2. Se recomienda utilizar los otros modelos de CPU proporcionados por QEMU y libvirt, según la CPU presente en la máquina anfitriona.

Los comandos Kickstart auth y authconfig requieren el repositorio AppStream

El paquete authselect-compat es necesario para los comandos auth y authconfig Kickstart durante la instalación. Sin este paquete, la instalación falla si se utilizan auth o authconfig. Sin embargo, por diseño, el paquete authselect-compat sólo está disponible en el repositorio de AppStream.

Los comandos reboot --kexec e inst.kexec no proporcionan un estado predecible del sistema

Realizar una instalación de RHEL con el comando reboot --kexec Kickstart o los parámetros de arranque del kernel inst.kexec no proporcionan el mismo estado predecible del sistema que un reinicio completo. Como consecuencia, cambiar al sistema instalado sin reiniciar puede producir resultados impredecibles.

La instalación de Anaconda incluye límites bajos de requisitos de configuración de recursos mínimos

Anaconda inicia la instalación en sistemas con una configuración mínima de recursos disponibles y no proporciona un mensaje previo de advertencia sobre los recursos necesarios para realizar la instalación con éxito. Como resultado, la instalación puede fallar y los errores de salida no proporcionan mensajes claros para una posible depuración y recuperación. Para solucionar este problema, asegúrese de que el sistema dispone de los recursos mínimos necesarios para la instalación: 2GB de memoria en PPC64(LE) y 1GB en x86_64. Como resultado, debería ser posible realizar una instalación exitosa.

La instalación falla al utilizar el comando reboot --kexec

La instalación de RHEL 8 falla cuando se utiliza un archivo Kickstart que contiene el comando reboot --kexec. Para evitar el problema, utilice el comando reboot en lugar de reboot --kexec en su archivo Kickstart.

La configuración inicial de RHEL 8 no puede realizarse a través de SSH

Actualmente, la interfaz de configuración inicial de RHEL 8 no se muestra cuando se inicia la sesión en el sistema mediante SSH. Como consecuencia, es imposible realizar la configuración inicial en una máquina RHEL 8 gestionada mediante SSH. Para solucionar este problema, realice la configuración inicial en la consola principal del sistema (ttyS0) y, posteriormente, inicie sesión mediante SSH.

El acceso a la red no está activado por defecto en el programa de instalación

Varias funciones de instalación requieren acceso a la red, por ejemplo, el registro de un sistema mediante la red de distribución de contenidos (CDN), la compatibilidad con el servidor NTP y las fuentes de instalación de la red. Sin embargo, el acceso a la red no está habilitado por defecto, y como resultado, estas características no pueden ser utilizadas hasta que se habilite el acceso a la red.

El registro falla para las cuentas de usuario que pertenecen a varias organizaciones

Actualmente, cuando se intenta registrar un sistema con una cuenta de usuario que pertenece a varias organizaciones, el proceso de registro falla con el mensaje de error You must specify an organization for new units.

En ocasiones, la instalación de la interfaz gráfica de usuario mediante la imagen ISO del DVD binario no puede llevarse a cabo sin el registro de la CDN

Cuando se realiza una instalación GUI utilizando el archivo de imagen ISO de DVD binario, una condición de carrera en el instalador puede a veces impedir que la instalación continúe hasta que se registre el sistema utilizando la función Conectar con Red Hat. Para solucionar este problema, realice los siguientes pasos:

Al copiar el contenido del archivo DVD.iso binario en una partición se omiten los archivos .treeinfo y .discinfo

Durante la instalación local, mientras se copia el contenido del archivo de imagen RHEL 8 Binary DVD.iso a una partición, el * en el comando cp <path>/\* <mounted partition>/dir falla al copiar los archivos .treeinfo y .discinfo. Estos archivos son necesarios para una instalación correcta. Como resultado, los repositorios BaseOS y AppStream no se cargan, y un mensaje de registro relacionado con la depuración en el archivo anaconda.log es el único registro del problema.

El servidor HTTPS autofirmado no se puede utilizar en la instalación de Kickstart

Actualmente, el instalador falla al instalar desde un servidor https autofirmado cuando se especifica el origen de la instalación en el archivo kickstart y se utiliza la opción --noverifyssl:

La instalación de la interfaz gráfica de usuario podría fallar si se intenta anular el registro mediante la CDN antes de que se complete la actualización del repositorio

En RHEL 8.2, cuando se registra el sistema y se adjuntan suscripciones utilizando la Red de Entrega de Contenidos (CDN), el programa de instalación de la GUI inicia una actualización de los metadatos del repositorio. El proceso de actualización no es parte del proceso de registro y suscripción, y como consecuencia, el botón Unregister está habilitado en la ventana Connect to Red Hat. Dependiendo de la conexión de red, el proceso de actualización puede tardar más de un minuto en completarse. Si hace clic en el botón Unregister antes de que se complete el proceso de actualización, la instalación de la GUI podría fallar, ya que el proceso de desregistro elimina los archivos del repositorio de la CDN y los certificados necesarios para que el programa de instalación se comunique con la CDN.

los complementos syspurpose no tienen efecto en la salida de subscription-manager attach --auto.

En Red Hat Enterprise Linux 8, se han añadido cuatro atributos de la herramienta de línea de comandos syspurpose: role, usage, service_level_agreement y addons. Actualmente, sólo role, usage y service_level_agreement afectan la salida de la ejecución del comando subscription-manager attach --auto. Los usuarios que intenten establecer valores en el argumento addons no observarán ningún efecto en las suscripciones que se adjuntan automáticamente.

Los datos de los dispositivos de almacenamiento de rutas múltiples se pierden al instalar RHEL utilizando un archivo Kickstart

Los datos de los dispositivos de almacenamiento multirruta que están conectados a un host se pierden al instalar RHEL utilizando un archivo Kickstart. Este problema se produce porque el instalador no ignora los dispositivos de almacenamiento de rutas múltiples que se especifican mediante el comando ignoredisk --drives. Como resultado, se pierden los datos de los dispositivos.

Las aplicaciones que utilizan el protocolo Wayland no pueden ser reenviadas a servidores de visualización remotos

En Red Hat Enterprise Linux 8, la mayoría de las aplicaciones utilizan el protocolo Wayland por defecto en lugar del protocolo X11. Como consecuencia, el servidor ssh no puede reenviar las aplicaciones que usan el protocolo Wayland pero es capaz de reenviar las aplicaciones que usan el protocolo X11 a un servidor de visualización remoto.

systemd-resolved.service no se inicia en el arranque

El servicio systemd-resolved ocasionalmente no se inicia en el arranque. Si esto ocurre, reinicie el servicio manualmente después de que termine el arranque utilizando el siguiente comando:

La vigilancia de los ejecutables de auditoría en los enlaces simbólicos no funciona

La monitorización de archivos proporcionada por la opción -w no puede rastrear directamente una ruta. Tiene que resolver la ruta a un dispositivo y un inodo para hacer una comparación con el programa ejecutado. Un reloj que monitoriza un enlace simbólico ejecutable monitoriza el dispositivo y un inodo del propio enlace simbólico en lugar del programa ejecutado en memoria, que se encuentra a partir de la resolución del enlace simbólico. Incluso si la vigilancia resuelve el enlace simbólico para obtener el programa ejecutable resultante, la regla se dispara en cualquier binario de llamada múltiple llamado desde un enlace simbólico diferente. Esto hace que se inunden los registros con falsos positivos. En consecuencia, las vigilancias de auditoría de ejecutables en enlaces simbólicos no funcionan.

SELINUX=disabled en /etc/selinux/config no funciona correctamente

Desactivar SELinux usando la opción SELINUX=disabled en el archivo /etc/selinux/config resulta en un proceso en el que el kernel arranca con SELinux activado y cambia a modo desactivado más tarde en el proceso de arranque. Esto podría causar fugas de memoria y condiciones de carrera y, en consecuencia, también pánicos en el kernel.

libselinux-python sólo está disponible a través de su módulo

El paquete libselinux-python sólo contiene bindings de Python 2 para el desarrollo de aplicaciones SELinux y se utiliza por compatibilidad con versiones anteriores. Por esta razón, libselinux-python ya no está disponible en los repositorios por defecto de RHEL 8 a través del comando dnf install libselinux-python.

udica procesa contenedores UBI 8 sólo cuando se inicia con --env container=podman

Los contenedores Red Hat Universal Base Image 8 (UBI 8) establecen la variable de entorno del contenedor con el valor oci en lugar del valor podman. Esto evita que la herramienta udica analice un archivo de notación de objetos JavaScript (JSON) del contenedor.

La eliminación del paquete rpm-plugin-selinux conlleva la eliminación de todos los paquetes selinux-policy del sistema

Eliminar el paquete rpm-plugin-selinux deshabilita SELinux en la máquina. También elimina todos los paquetes selinux-policy del sistema. La instalación repetida del paquete rpm-plugin-selinux instala entonces la política SELinux-policy-minimum, incluso si la política selinux-policy-targeted estaba previamente presente en el sistema. Sin embargo, la instalación repetida no actualiza el archivo de configuración de SELinux para tener en cuenta el cambio de política. Como consecuencia, SELinux está deshabilitado incluso al reinstalar el paquete rpm-plugin-selinux.

SELinux impide que systemd-journal-gatewayd llame a newfstat() en archivos de memoria compartida creados por corosync

La política de SELinux no contiene una regla que permita al demonio systemd-journal-gatewayd acceder a los archivos creados por el servicio corosync. Como consecuencia, SELinux niega a systemd-journal-gatewayd la posibilidad de llamar a la función newfstat() en los archivos de memoria compartida creados por corosync.

SELinux impide que auditd detenga o apague el sistema

La política de SELinux no contiene una regla que permita al demonio de Auditoría iniciar una unidad systemd power_unit_file_t. En consecuencia, auditd no puede detener o apagar el sistema incluso cuando está configurado para hacerlo en casos como la falta de espacio en una partición de disco de registro.

los usuarios pueden ejecutar comandos sudo como usuarios bloqueados

En los sistemas donde los permisos sudoers están definidos con la palabra clave ALL, los usuarios con permisos sudo pueden ejecutar comandos sudo como usuarios cuyas cuentas están bloqueadas. En consecuencia, las cuentas bloqueadas y caducadas pueden seguir utilizándose para ejecutar comandos.

Efectos negativos de la configuración de registro por defecto en el rendimiento

La configuración del entorno de registro por defecto puede consumir 4 GB de memoria o incluso más y los ajustes de los valores de límite de velocidad son complejos cuando systemd-journald se ejecuta con rsyslog.

Errores deparámetros no conocidos en la salida de rsyslog con config.enabled

En la salida de rsyslog, se produce un error inesperado en los errores de procesamiento de la configuración utilizando la directiva config.enabled. Como consecuencia, se muestran errores de parámetros no conocidos mientras se utiliza la directiva config . enabled excepto en las sentencias include().

Algunas cadenas de prioridad de rsyslog no funcionan correctamente

La compatibilidad con la cadena de prioridad GnuTLS para imtcp que permite un control detallado de la codificación no es completa. En consecuencia, las siguientes cadenas de prioridad no funcionan correctamente en rsyslog:

Las conexiones a servidores con firmas SHA-1 no funcionan con GnuTLS

Las firmas SHA-1 en los certificados son rechazadas por la biblioteca de comunicaciones seguras GnuTLS como inseguras. En consecuencia, las aplicaciones que utilizan GnuTLS como backend TLS no pueden establecer una conexión TLS con pares que ofrezcan tales certificados. Este comportamiento es inconsistente con otras bibliotecas criptográficas del sistema. Para solucionar este problema, actualice el servidor para utilizar certificados firmados con SHA-256 o un hash más fuerte, o cambie a la política LEGACY.

TLS 1.3 no funciona en NSS en modo FIPS

TLS 1.3 no es compatible con los sistemas que funcionan en modo FIPS. Como resultado, las conexiones que requieren TLS 1.3 para la interoperabilidad no funcionan en un sistema que funciona en modo FIPS.

OpenSSL maneja incorrectamente los tokens PKCS #11 que no admiten firmas RSA o RSA-PSS en bruto

La biblioteca OpenSSL no detecta las capacidades relacionadas con las claves de los tokens PKCS #11. En consecuencia, el establecimiento de una conexión TLS falla cuando se crea una firma con un token que no admite firmas RSA o RSA-PSS en bruto.

OpenSSL genera una extensión status_request malformada en el mensaje CertificateRequest en TLS 1.3

Los servidores OpenSSL envían una extensión status_request malformada en el mensaje CertificateRequest si el soporte para la extensión status_request y la autenticación basada en el certificado del cliente están activados. En este caso, OpenSSL no interopera con las implementaciones que cumplen con el protocolo RFC 8446. Como resultado, los clientes que verifican correctamente las extensiones en el mensaje CertificateRequest abortan las conexiones con el servidor OpenSSL. Para solucionar este problema, desactive la compatibilidad con el protocolo TLS 1.3 en ambos lados de la conexión o desactive la compatibilidad con status_request en el servidor OpenSSL. Esto evitará que el servidor envíe mensajes malformados.

ssh-keyscan no puede recuperar las claves RSA de los servidores en modo FIPS

El algoritmo SHA-1 está desactivado para las firmas RSA en el modo FIPS, lo que impide que la utilidad ssh-keyscan recupere las claves RSA de los servidores que operan en ese modo.

Libreswan no funciona correctamente con seccomp=enabled en todas las configuraciones

El conjunto de llamadas al sistema permitidas en la implementación del soporte SECCOMP de Libreswan no está actualmente completo. En consecuencia, cuando SECCOMP está habilitado en el archivo ipsec.conf, el filtrado de llamadas al sistema rechaza incluso las llamadas al sistema necesarias para el correcto funcionamiento del demonio pluto; el demonio es eliminado, y el servicio ipsec es reiniciado.

Algunos conjuntos de reglas interdependientes en SSG pueden fallar

La remediación de las reglas de la Guía de Seguridad SCAP (SSG) en un benchmark puede fallar debido al orden indefinido de las reglas y sus dependencias. Si dos o más reglas deben ejecutarse en un orden determinado, por ejemplo, cuando una regla instala un componente y otra regla configura el mismo componente, pueden ejecutarse en el orden incorrecto y la corrección informa de un error. Para solucionar este problema, ejecute la corrección dos veces, y la segunda ejecución corrige las reglas dependientes.

SCAP Workbench no genera correcciones basadas en resultados a partir de perfiles adaptados

El siguiente error se produce al intentar generar roles de corrección basados en resultados a partir de un perfil personalizado utilizando la herramienta SCAP Workbench:

Kickstart utiliza org_fedora_oscap en lugar de com_redhat_oscap en RHEL 8

El Kickstart hace referencia al complemento Anaconda del Protocolo de Automatización de Contenidos de Seguridad Abierta (OSCAP) como org_fedora_oscap en lugar de com_redhat_oscap, lo que podría causar confusión. Esto se hace para mantener la compatibilidad con Red Hat Enterprise Linux 7.

El complemento OSCAP Anaconda no instala todos los paquetes en modo texto

El complemento OSCAP Anaconda no puede modificar la lista de paquetes seleccionados para su instalación por el instalador del sistema si la instalación se ejecuta en modo texto. En consecuencia, cuando se especifica un perfil de política de seguridad mediante Kickstart y la instalación se ejecuta en modo texto, cualquier paquete adicional requerido por la política de seguridad no se instala durante la instalación.

El complemento OSCAP Anaconda no maneja correctamente los perfiles personalizados

El plugin OSCAP Anaconda Addon no maneja adecuadamente los perfiles de seguridad con personalizaciones en archivos separados. En consecuencia, el perfil personalizado no está disponible en la instalación gráfica de RHEL aunque lo especifique correctamente en la sección Kickstart correspondiente.

GnuTLS falla al reanudar la sesión actual con el servidor NSS

Cuando se reanuda una sesión TLS (Transport Layer Security) 1.3, el cliente GnuTLS espera 60 milisegundos más un tiempo estimado de ida y vuelta para que el servidor envíe los datos de reanudación de la sesión. Si el servidor no envía los datos de reanudación en este tiempo, el cliente crea una nueva sesión en lugar de reanudar la sesión actual. Esto no tiene efectos adversos graves, salvo un impacto menor en el rendimiento de una negociación de sesión normal.

La utilidad oscap-ssh falla al escanear un sistema remoto con --sudo

Cuando se realiza un análisis del Protocolo de Automatización de Contenidos de Seguridad (SCAP) de un sistema remoto utilizando la herramienta oscap-ssh con la opción --sudo, la herramienta oscap del sistema remoto guarda los archivos de resultados del análisis y los archivos de informe en un directorio temporal como usuario root. Si la configuración de umask en la máquina remota ha sido cambiada, oscap-ssh podría no tener acceso a estos archivos. Para solucionar este problema, modifique la herramienta oscap-ssh como se describe en esta solución "oscap-ssh --sudo" no recupera los archivos de resultados con el error "scp: ...: Permiso denegado". Como resultado, oscap guarda los archivos como el usuario de destino, y oscap-ssh accede a los archivos normalmente.

OpenSCAP produce falsos positivos causados por la eliminación de las líneas en blanco de las cadenas multilínea YAML

Cuando OpenSCAP genera remedios de Ansible a partir de un flujo de datos, elimina las líneas en blanco de las cadenas multilíneas de YAML. Dado que algunas reparaciones de Ansible contienen contenido literal de archivos de configuración, la eliminación de líneas en blanco afecta a las reparaciones correspondientes. Esto hace que la utilidad openscap falle las comprobaciones correspondientes de Open Vulnerability and Assessment Language (OVAL), aunque las líneas en blanco no tengan ningún efecto. Para solucionar este problema, compruebe las descripciones de las reglas y omita los resultados del análisis que fallaron debido a la falta de líneas en blanco. Como alternativa, utilice remedios de Bash en lugar de remedios de Ansible, porque los remedios de Bash no producen estos resultados falsos positivos.

Los perfiles basados en OSPP son incompatibles con los grupos de paquetes GUI.

Los paquetes deGNOME instalados por el grupo de paquetes Server with GUI requieren el paquete nfs-utils que no es compatible con el Perfil de Protección del Sistema Operativo (OSPP). Como consecuencia, si se selecciona el grupo de paquetes Server with GUI durante la instalación de un sistema con perfiles OSPP o basados en OSPP, por ejemplo, la Guía de Implementación Técnica de Seguridad (STIG), se aborta la instalación. Si el perfil basado en OSPP se aplica después de la instalación, el sistema no puede arrancar. Para solucionar este problema, no instale el grupo de paquetes Server with GUI ni ningún otro grupo que instale GUI cuando utilice el perfil OSPP y los perfiles basados en OSPP. Si utiliza los grupos de paquetes Server o Minimal Install en su lugar, el sistema se instala sin problemas y funciona correctamente.

El sistema RHEL8 con el grupo de paquetes Server with GUI no puede ser remediado usando el perfil e8

El uso del complemento OpenSCAP Anaconda para endurecer el sistema en el grupo de paquetes Server With GUI con perfiles que seleccionan reglas del grupo Verify Integrity with RPM requiere una cantidad extrema de RAM en el sistema. Este problema es causado por el escáner de OpenSCAP; para más detalles vea El escaneo de un gran número de archivos con OpenSCAP hace que los sistemas se queden sin memoria. Como consecuencia, el endurecimiento del sistema utilizando el perfil RHEL8 Essential Eight (e8) no tiene éxito. Para solucionar este problema, elija un grupo de paquetes más pequeño, por ejemplo, Server, e instale los paquetes adicionales que necesite después de la instalación. Como resultado, el sistema tendrá un número menor de paquetes, el escaneo requerirá menos memoria y, por lo tanto, el sistema puede ser endurecido automáticamente.

El escaneo de un gran número de archivos con OpenSCAP hace que los sistemas se queden sin memoria

El escáner OpenSCAP almacena todos los resultados recogidos en la memoria hasta que finaliza el escaneo. Como consecuencia, el sistema podría quedarse sin memoria en sistemas con poca RAM al escanear un gran número de archivos, por ejemplo de los grandes grupos de paquetes Server with GUI y Workstation. Para solucionar este problema, utilice grupos de paquetes más pequeños, por ejemplo, Server y Minimal Install en sistemas con poca memoria RAM. Si necesita utilizar grupos de paquetes grandes, puede probar si su sistema tiene suficiente memoria en un entorno virtual o de ensayo. Como alternativa, puede adaptar el perfil de exploración para deseleccionar las reglas que implican la recursión en todo el sistema de archivos /:

El tráfico de red IPsec falla durante la descarga de IPsec cuando GRO está desactivado

No se espera que la descarga de IPsec funcione cuando la descarga de recepción genérica (GRO) está desactivada en el dispositivo. Si la descarga de IPsec está configurada en una interfaz de red y GRO está desactivado en ese dispositivo, el tráfico de red IPsec falla.

iptables no solicita la carga de módulos para los comandos que actualizan una cadena si no se conoce el tipo de cadena especificado

Nota: Este problema provoca errores espurios sin implicación funcional al detener el servicio iptables systemd si se utiliza la configuración por defecto de los servicios.

La carga automática de los módulos back-end LOG específicos de la familia de direcciones por parte del módulo nft_compat puede colgar

Cuando el módulo nft_compat carga extremos posteriores de destino LOG específicos de la familia de direcciones mientras se realiza una operación en espacios de nombres de red(netns) en paralelo, puede producirse una colisión de bloqueos. Como consecuencia, la carga de los extremos posteriores de los objetivos LOG específicos de la familia de direcciones puede colgarse. Para solucionar el problema, cargue manualmente los extremos posteriores del objetivo LOG relevantes, como nf_log_ipv4.ko y nf_log_ipv6.ko, antes de ejecutar la utilidad iptables-restore. Como resultado, la carga de los extremos posteriores del objetivo LOG no se cuelga. Sin embargo, si el problema aparece durante el arranque del sistema, no hay ninguna solución disponible.

La eliminación accidental del parche hace que huge_page_setup_helper.py muestre un error

Un parche que actualiza el script huge_page_setup_helper. py, fue eliminado accidentalmente. En consecuencia, tras ejecutar el script huge_page_setup_helper.py, aparece el siguiente mensaje de error:

Los sistemas con una gran cantidad de memoria persistente experimentan retrasos durante el proceso de arranque

Los sistemas con una gran cantidad de memoria persistente tardan mucho en arrancar porque la inicialización de la memoria se hace en serie. Por lo tanto, si hay sistemas de archivos de memoria persistente listados en el archivo /etc/fstab, el sistema puede perder el tiempo mientras espera que los dispositivos estén disponibles. Para solucionar este problema, configure la opción DefaultTimeoutStartSec en el archivo /etc/systemd/system.conf con un valor suficientemente grande.

KSM a veces ignora las políticas de memoria NUMA

Cuando la función de memoria compartida del kernel (KSM) está activada con el parámetro merge_across_nodes=1, KSM ignora las políticas de memoria establecidas por la función mbind(), y puede fusionar páginas de algunas áreas de memoria a nodos de acceso a memoria no uniforme (NUMA) que no coinciden con las políticas.

El kernel de depuración no arranca en el entorno de captura de fallos en RHEL 8

Debido a la naturaleza de demanda de memoria del kernel de depuración, se produce un problema cuando el kernel de depuración está en uso y se desencadena un pánico del kernel. Como consecuencia, el kernel de depuración no es capaz de arrancar como el kernel de captura, y en su lugar se genera una traza de pila. Para solucionar este problema, aumente la memoria del kernel de captura en consecuencia. Como resultado, el kernel de depuración arranca con éxito en el entorno de captura de fallos.

zlib puede ralentizar una captura de vmcore en algunas funciones de compresión

El archivo de configuración de kdump utiliza el formato de compresión lzo(makedumpfile -l) por defecto. Cuando se modifica el archivo de configuración utilizando el formato de compresión zlib, (makedumpfile-c) es probable que traiga un mejor factor de compresión a costa de ralentizar el proceso de captura de vmcore. Como consecuencia, el kdump tarda hasta cuatro veces más en capturar un vmcore con zlib, en comparación con lzo.

Una captura de vmcore falla después de la operación de conexión o desconexión de la memoria

Después de realizar la operación de conexión o desconexión en caliente de la memoria, el evento se produce después de actualizar el árbol de dispositivos que contiene la información de la disposición de la memoria. De este modo, la utilidad makedumpfile intenta acceder a una dirección física inexistente. El problema aparece si se cumplen todas las condiciones siguientes:

El mecanismo de volcado fadump cambia el nombre de la interfaz de red a kdump-<interface-name>

Cuando se utiliza el volcado asistido por firmware (fadump) para capturar un vmcore y almacenarlo en una máquina remota utilizando el protocolo SSH o NFS, se renombra la interfaz de red a kdump-<interface-name>. El renombramiento ocurre cuando el <interface-name> es genérico, por ejemplo, *eth#, o net# y así sucesivamente. Este problema ocurre porque los scripts de captura de vmcore en el disco RAM inicial (initrd) añaden el prefijo kdump- al nombre de la interfaz de red para asegurar la persistencia del nombre. Como el mismo initrd se utiliza también para un arranque normal, el nombre de la interfaz se cambia también para el kernel de producción.

El sistema entra en el modo de emergencia en el momento del arranque cuando fadump está activado

El sistema entra en el modo de emergencia cuando se habilita el módulo de squash fadump (kdump) o dracut en el esquema initramfs porque el gestor systemd no consigue obtener la información de montaje y configurar la partición LV para montarla. Para solucionar este problema, añada el siguiente parámetro de línea de comandos del kernel rd.lvm.lv=<VG>/<LV> para descubrir y montar la partición LV fallida adecuadamente. Como resultado, el sistema arrancará con éxito en el escenario descrito.

El uso de irqpoll provoca un fallo en la generación de vmcore

Debido a un problema existente con el controlador nvme en las arquitecturas ARM de 64 bits que se ejecutan en las plataformas en la nube de Amazon Web Services (AWS), la generación de vmcore falla cuando se proporciona el parámetro de línea de comandos del kernel irqpoll al primer kernel. En consecuencia, no se vuelca ningún archivo vmcore en el directorio /var/crash/ después de un fallo del kernel. Para solucionar este problema:

El uso de la memoria vPMEM como objetivo de volcado retrasa el proceso de captura de fallos del kernel

Cuando se utilizan espacios de nombres de memoria persistente virtual (vPEM) como objetivo de kdump o fadump, el módulo papr_scm se ve obligado a desmapear y remapear la memoria respaldada por vPMEM y a volver a añadir la memoria a su mapa lineal. En consecuencia, este comportamiento desencadena llamadas del hipervisor (HCalls) al hipervisor POWER, y el tiempo total empleado, ralentiza considerablemente el arranque del kernel de captura. Por lo tanto, se recomienda no utilizar espacios de nombres vPMEM como objetivo de volcado para kdump o fadump.

El NMI watchdog de HP no siempre genera un volcado de fallos

En ciertos casos, el controlador hpwdt para el vigilante NMI de HP no puede reclamar una interrupción no enmascarable (NMI) generada por el temporizador del vigilante HPE porque el NMI fue consumido por el controlador perfmon.

El comando tuned-adm profile powersave hace que el sistema deje de responder

La ejecución del comando tuned-adm profile powersave conduce a un estado de falta de respuesta de los sistemas Penguin Valkyrie 2000 de 2 sockets con los procesadores Thunderx (CN88xx) más antiguos. En consecuencia, reinicie el sistema para que vuelva a funcionar. Para evitar este problema, evite utilizar el perfil powersave si su sistema cumple con las especificaciones mencionadas.

El controlador cxgb4 provoca un fallo en el kernel kdump

El kernel kdump se bloquea al intentar guardar información en el archivo vmcore. En consecuencia, el controlador cxgb4 impide que el kdump kernel guarde un núcleo para su posterior análisis. Para solucionar este problema, añada el parámetro novmcoredd a la línea de comandos de kdump kernel para permitir guardar archivos de núcleo.

El intento de añadir el puerto NIC del controlador ICE a una interfaz maestra de enlace en modo 5(balance-tlb) puede provocar un fallo

Al intentar añadir el puerto NIC del controlador ICE a una interfaz maestra de enlace en modo 5 (balance-tlb) puede producirse un fallo con un error Maestro 'bond0', Esclavo 'ens1f0': Error: Enslave failed. En consecuencia, se produce un fallo intermitente al añadir el puerto NIC a la interfaz maestra de enlace. Para solucionar este problema, intente volver a añadir la interfaz.

Adjuntar la función virtual a la máquina virtual con el tipo de interfaz='hostdev' puede fallar a veces

Adjuntar una Función Virtual (VF) a una máquina virtual utilizando un archivo .XML, siguiendo el método Assignment with <interface type='hostdev'>, puede fallar en ocasiones. Esto ocurre porque el uso del método Assignment with <interface type='hostdev'> impide que la VM se conecte a la NIC de la VF presentada a esta máquina virtual. Para solucionar este problema, adjunte el VF a la VM utilizando el archivo .XML con el método Assignment with <hostdev>. Como resultado, el comando virsh attach-device tiene éxito sin error. Para obtener más detalles sobre la diferencia entre Assignment with <hostdev> y Assignment with <interface type='hostdev'> (sólo dispositivos SRIOV), consulte PCI Passthrough de dispositivos de red de host.

El sistema de archivos /boot no puede colocarse en LVM

No se puede colocar el sistema de archivos /boot en un volumen lógico LVM. Esta limitación existe por las siguientes razones:

LVM ya no permite crear grupos de volúmenes con tamaños de bloque mixtos

Las utilidades de LVM como vgcreate o vgextend ya no permiten crear grupos de volúmenes (VG) en los que los volúmenes físicos (PV) tienen diferentes tamaños de bloque lógicos. LVM ha adoptado este cambio porque los sistemas de archivos no se pueden montar si se extiende el volumen lógico (LV) subyacente con un PV de un tamaño de bloque diferente.

DM Multipath podría no iniciarse cuando se conectan demasiados LUNs

El servicio multipathd puede agotarse y no iniciarse si hay demasiadas unidades lógicas (LUNs) conectadas al sistema. El número exacto de LUNs que causa el problema depende de varios factores, incluyendo el número de dispositivos, el tiempo de respuesta de la matriz de almacenamiento, la configuración de la memoria y la CPU, y la carga del sistema.

Limitaciones de la caché de escriturade LVM

El método de almacenamiento en caché de LVM tiene las siguientes limitaciones, que no están presentes en el método de caché:

Los dispositivos de espejo LVM que almacenan un volumen LUKS a veces no responden

Los dispositivos LVM en espejo con un tipo de segmento en espejo que almacenan un volumen LUKS pueden dejar de responder bajo ciertas condiciones. Los dispositivos que no responden rechazan todas las operaciones de E/S.

Un parche de NFS 4.0 puede reducir el rendimiento con una carga de trabajo abierta

Anteriormente, se corrigió un error que, en algunos casos, podía hacer que una operación de apertura de NFS pasara por alto el hecho de que un archivo había sido eliminado o renombrado en el servidor. Sin embargo, la corrección puede causar un rendimiento más lento con cargas de trabajo que requieren muchas operaciones abiertas. Para solucionar este problema, puede ser útil utilizar la versión 4.1 o superior de NFS, que ha sido mejorada para conceder delegaciones a los clientes en más casos, permitiendo a los clientes realizar operaciones de apertura de forma local, rápida y segura.

getpwnam() podría fallar cuando es llamado por una aplicación de 32 bits

Cuando un usuario de NIS utiliza una aplicación de 32 bits que llama a la función getpwnam(), la llamada falla si falta el paquete nss_nis. i686. Para solucionar este problema, instale manualmente el paquete que falta mediante el comando yum install nss_nis.i686.

nginx no puede cargar los certificados del servidor desde los tokens de seguridad del hardware

El servidor web nginx soporta la carga de claves privadas TLS desde tokens de seguridad de hardware directamente desde los módulos PKCS#11. Sin embargo, actualmente es imposible cargar certificados de servidor desde tokens de seguridad de hardware a través del URI PKCS#11. Para solucionar este problema, almacene los certificados del servidor en el sistema de archivos

php-fpm causa denegaciones de SELinux AVC cuando php-opcache es instalado con PHP 7.2

Cuando se instala el paquete php-opcache, el gestor de procesos FastCGI(php-fpm) provoca denegaciones de SELinux AVC. Para solucionar este problema, cambie la configuración por defecto en el archivo /etc/php.d/10-opcache.ini por la siguiente:

Falta el nombre del paquete mod_wsgi cuando se instala como dependencia

Con un cambio en la instalación de mod_wsgi, descrito en BZ#1779705, el paquete python3-mod_wsgi ya no proporciona el nombre mod_wsgi. Al instalar el módulo mod_wsgi, debe especificar el nombre completo del paquete. Este cambio causa problemas con las dependencias de paquetes de terceros.

Las funciones sintéticas generadas por GCC confunden a SystemTap

La optimización de GCC puede generar funciones sintéticas para copias parcialmente inline de otras funciones. Herramientas como SystemTap y GDB no pueden distinguir estas funciones sintéticas de las reales. Como consecuencia, SystemTap coloca sondas tanto en los puntos de entrada de las funciones sintéticas como en los reales y, por lo tanto, registra múltiples impactos de sonda para una sola llamada a una función real.

Cambiar /etc/nsswitch.conf requiere un reinicio manual del sistema

Cualquier cambio en el archivo /etc/nsswitch . conf, por ejemplo la ejecución del comando authselect select profile_id, requiere un reinicio del sistema para que todos los procesos relevantes utilicen la versión actualizada del archivo /etc/nsswitch.conf. Si no es posible reiniciar el sistema, reinicie el servicio que une su sistema a Active Directory, que es el demonio de servicios de seguridad del sistema (SSSD) o winbind.

SSSD devuelve la pertenencia a un grupo LDAP incorrecto para los usuarios locales cuando el dominio de archivos está habilitado

Si el demonio de servicios de seguridad del sistema (SSSD) sirve a los usuarios desde los archivos locales y el atributo ldap_rfc2307_fallback_to_local_users de la sección [domain/LDAP] del archivo sssd. conf se establece como True, el proveedor de archivos no incluye la pertenencia a grupos de otros dominios. Como consecuencia, si un usuario local es miembro de un grupo LDAP, el comando id local_user no devuelve la pertenencia al grupo LDAP del usuario. Para solucionar este problema, desactive el dominio de archivos implícito añadiendo

SSSD no maneja correctamente varias reglas de coincidencia de certificados con la misma prioridad

Si un certificado determinado coincide con varias reglas de coincidencia de certificados con la misma prioridad, el demonio de servicios de seguridad del sistema (SSSD) sólo utiliza una de las reglas. Como solución, utilice una única regla de coincidencia de certificados cuyo filtro LDAP esté formado por los filtros de las reglas individuales concatenados con el operador | (o). Para ver ejemplos de reglas de coincidencia de certificados, consulte la página de manual de sss-certamp(5).

Los grupos privados no se crean con auto_private_group = hybrid cuando se definen varios dominios

Los grupos privados no se crean con la opción auto_private_group = hybrid cuando se definen varios dominios y la opción hybrid se utiliza en cualquier dominio que no sea el primero. Si se define un dominio de archivos implícito junto con un dominio AD o LDAP en el archivo sssd.conf y no se marca como MPG_HYBRID, entonces SSSD falla al crear un grupo privado para un usuario que tiene uid=gid y el grupo con este gid no existe en AD o LDAP.

python-ply no es compatible con FIPS

El módulo YACC del paquete python-ply utiliza el algoritmo hash MD5 para generar la huella digital de una firma YACC. Sin embargo, el modo FIPS bloquea el uso de MD5, que sólo está permitido en contextos no relacionados con la seguridad. Como consecuencia, python-ply no es compatible con FIPS. En un sistema en modo FIPS, todas las llamadas a ply.yacc.yacc() fallan con el mensaje de error:

FreeRADIUS trunca silenciosamente las contraseñas de túnel de más de 249 caracteres

Si una contraseña de túnel tiene más de 249 caracteres, el servicio FreeRADIUS la trunca silenciosamente. Esto puede dar lugar a incompatibilidades inesperadas de la contraseña con otros sistemas.

La instalación de KRA falla si todos los miembros de KRA son réplicas ocultas

La utilidad ipa-kra-install falla en un cluster donde la Autoridad de Recuperación de Claves (KRA) ya está presente si la primera instancia de KRA está instalada en una réplica oculta. En consecuencia, no se pueden añadir más instancias de KRA al clúster.

Directory Server advierte sobre los atributos que faltan en el esquema si esos atributos se utilizan en un filtro de búsqueda

Si establece el parámetro nsslapd-verify-filter-schema como warn-invalid, Directory Server procesa las operaciones de búsqueda con atributos que no están definidos en el esquema y registra una advertencia. Con esta configuración, Directory Server devuelve los atributos solicitados en los resultados de la búsqueda, independientemente de si los atributos están definidos en el esquema o no.

ipa-healthcheck-0.4 no obvia las versiones anteriores de ipa-healthcheck

La herramienta Healthcheck se ha dividido en dos subpaquetes: ipa-healthcheck e ipa-healthcheck-core. Sin embargo, sólo el subpaquete ipa-healthcheck-core está correctamente configurado para obviar las versiones anteriores de ipa-healthcheck. Como resultado, al actualizar Healthcheck sólo se instala ipa-healthcheck-core y el comando ipa-healthcheck no funciona después de la actualización.

Limitaciones de la sesión Wayland

Con Red Hat Enterprise Linux 8, el entorno GNOME y el Gestor de pantalla de GNOME (GDM) utilizan Wayland como tipo de sesión por defecto en lugar de la sesión X11, que se utilizaba con la versión principal anterior de RHEL.

Arrastrar y soltar no funciona entre el escritorio y las aplicaciones

Debido a un error en el paquete gnome-shell-extensions, la funcionalidad de arrastrar y soltar no funciona actualmente entre el escritorio y las aplicaciones. El soporte para esta función se añadirá de nuevo en una futura versión.

No es posible desactivar los repositorios flatpak desde los repositorios de software

Actualmente, no es posible desactivar o eliminar los repositorios flatpak en la herramienta de Repositorios de Software en la utilidad de Software de GNOME.

Las máquinas virtuales RHEL 8 de segunda generación a veces no arrancan en hosts Hyper-V Server 2016

Cuando se utiliza RHEL 8 como sistema operativo invitado en una máquina virtual (VM) que se ejecuta en un host Microsoft Hyper-V Server 2016, la VM en algunos casos no arranca y vuelve al menú de arranque GRUB. Además, se registra el siguiente error en el registro de eventos de Hyper-V:

La caída del sistema puede provocar la pérdida de la configuración de fadump

Este problema se observa en sistemas en los que el volcado asistido por el firmware (fadump) está habilitado y la partición de arranque se encuentra en un sistema de archivos con registro en el diario, como XFS. Un fallo del sistema puede hacer que el cargador de arranque cargue un initrd más antiguo que no tenga habilitado el soporte de captura de volcado. En consecuencia, después de la recuperación, el sistema no captura el archivo vmcore, lo que resulta en la pérdida de la configuración de fadump.

No se pueden ejecutar aplicaciones gráficas con el comando sudo

Al intentar ejecutar aplicaciones gráficas como un usuario con privilegios elevados, la aplicación falla al abrirse con un mensaje de error. El fallo se produce porque Xwayland está restringido por el archivo Xauthority a utilizar credenciales de usuario normales para la autenticación.

radeon no reinicia el hardware correctamente

El controlador del kernel de radeon actualmente no restablece el hardware en el contexto kexec correctamente. En su lugar, radeon se cae, lo que hace que el resto del servicio kdump falle.

Varias pantallas HDR en una misma topología MST pueden no encenderse

En los sistemas que utilizan GPUs NVIDIA Turing con el controlador nouveau, el uso de un concentrador DisplayPort (como un dock de portátil) con varios monitores que soportan HDR conectados a él puede provocar que no se enciendan todas las pantallas a pesar de haberlo hecho en versiones anteriores de RHEL. Esto se debe a que el sistema piensa erróneamente que no hay suficiente ancho de banda en el hub para soportar todas las pantallas.

Los usuarios sin privilegios pueden acceder a la página de suscripciones

Si una persona que no es administrador navega a la página Subscriptions de la consola web, la consola web muestra un mensaje de error genérico Cockpit tuvo un error interno inesperado.

Bajo rendimiento de visualización de la GUI en máquinas virtuales RHEL 8 en un host Windows Server 2019

Cuando se utiliza RHEL 8 como sistema operativo invitado en modo gráfico en un host de Windows Server 2019, el rendimiento de visualización de la interfaz gráfica de usuario es bajo, y la conexión a una salida de consola del invitado actualmente tarda bastante más de lo esperado.

La visualización de múltiples monitores de máquinas virtuales que utilizan Wayland no es posible con QXL

El uso de la utilidad remote-viewer para mostrar más de un monitor de una máquina virtual (VM) que está utilizando el servidor de visualización Wayland hace que la VM no responda y que se muestre indefinidamente el mensaje de estado Waiting for display.

los comandosvirsh iface-\* no funcionan consistentemente

Actualmente, los comandos virsh iface-*, como virsh iface-start y virsh iface-destroy, fallan frecuentemente debido a las dependencias de configuración. Por lo tanto, se recomienda no utilizar los comandos virsh iface-\* para configurar y gestionar las conexiones de red del host. En su lugar, utilice el programa NetworkManager y sus aplicaciones de gestión relacionadas.

Las máquinas virtuales RHEL 8 a veces no pueden arrancar en los hosts Witherspoon

Las máquinas virtuales (VMs) de RHEL 8 que utilizan el tipo de máquina pseries-rhel7.6.0-sxxm en algunos casos fallan al arrancar en hosts Power9 S922LC for HPC (también conocidos como Witherspoon) que utilizan la CPU DD2.2 o DD2.3.

Las máquinas virtuales IBM POWER no funcionan correctamente con nodos NUMA vacíos

Actualmente, cuando una máquina virtual (VM) IBM POWER que se ejecuta en un host RHEL 8 está configurada con un nodo NUMA que utiliza cero memoria(memory='0') y cero CPUs, la VM no puede arrancar. Por lo tanto, Red Hat recomienda encarecidamente no utilizar VMs IBM POWER con tales nodos NUMA vacíos en RHEL 8.

La topología de la CPU SMT no es detectada por las máquinas virtuales cuando se utiliza el modo de paso de host en AMD EPYC

Cuando una máquina virtual (VM) arranca con el modo de paso de host de CPU en un host AMD EPYC, la bandera de la función TOPOEXT CPU no está presente. En consecuencia, la VM no puede detectar una topología de CPU virtual con múltiples hilos por núcleo. Para solucionar este problema, inicie la máquina virtual con el modelo de CPU EPYC en lugar de con el modo de paso de host.

Los identificadores de disco en las máquinas virtuales RHEL 8.2 pueden cambiar al reiniciar la máquina.

Cuando se utiliza una máquina virtual (VM) con RHEL 8.2 como sistema operativo invitado en un hipervisor Hyper-V, los identificadores de dispositivo para los discos virtuales de la VM en algunos casos cambian cuando la VM se reinicia. Por ejemplo, un disco originalmente identificado como /dev/sda puede convertirse en /dev/sdb. Como consecuencia, la VM podría no arrancar, y los scripts que hacen referencia a los discos de la VM podrían dejar de funcionar.

Las máquinas virtuales a veces no se inician cuando se utilizan muchos discos virtio-blk

Añadir un gran número de dispositivos virtio-blk a una máquina virtual (VM) puede agotar el número de vectores de interrupción disponibles en la plataforma. Si esto ocurre, el SO invitado de la VM falla al arrancar, y muestra un dracut-initqueue[392]: Advertencia: Error de no poder arrancar.

Adjuntar dispositivos LUN a máquinas virtuales usando virtio-blk no funciona

El tipo de máquina q35 no es compatible con los dispositivos virtio 1.0 de transición, por lo que RHEL 8 carece de soporte para las características que quedaron obsoletas en virtio 1.0. En particular, no es posible en un host RHEL 8 enviar comandos SCSI desde dispositivos virtio-blk. Como consecuencia, adjuntar un disco físico como dispositivo LUN a una máquina virtual falla cuando se utiliza el controlador virtio-blk.

La migración de un huésped POWER9 de un host RHEL 7-ALT a RHEL 8 falla

Actualmente, la migración de una máquina virtual POWER9 desde un sistema anfitrión RHEL 7-ALT a RHEL 8 no responde con un estado "Estado de la migración: activo".

redhat-support-tool no funciona con la política criptográfica FUTURE

Dado que una clave criptográfica utilizada por un certificado en la API del Portal del Cliente no cumple los requisitos de la política criptográfica de todo el sistema FUTURE, la utilidad redhat-support-tool no funciona con este nivel de política por el momento.

No se espera que UDICA funcione con la corriente estable 1.0

UDICA, la herramienta para generar políticas SELinux para contenedores, no se espera que funcione con contenedores que se ejecutan a través de podman 1.0.x en el flujo de módulos container-tools:1.0.

Notas sobre el soporte FIPS con Podman

El Estándar Federal de Procesamiento de Información (FIPS) requiere que se utilicen módulos certificados. Anteriormente, Podman instalaba correctamente los módulos certificados en los contenedores habilitando las banderas adecuadas en el arranque. Sin embargo, en esta versión, Podman no configura correctamente los ayudantes de aplicación adicionales que normalmente proporciona el sistema en forma de la política criptográfica de todo el sistema FIPS. Aunque la configuración de la política de cifrado de todo el sistema no es necesaria para los módulos certificados, mejora la capacidad de las aplicaciones para utilizar los módulos de cifrado de forma compatible. Para solucionar este problema, cambie su contenedor para ejecutar el comando update-crypto-policies --set FIPS antes de ejecutar cualquier otro código de aplicación.