Anaconda rebasado a la versión 33.16

Con esta versión, Anaconda se ha reajustado a la versión 33.16. Esta versión proporciona las siguientes mejoras notables con respecto a la versión anterior.

Cambios en la interfaz gráfica del programa de instalación de RHEL

El programa de instalación de RHEL incluye ahora la siguiente configuración de usuario en la ventana de resumen de la instalación:

El backend de Image Builder osbuild-composer sustituye a lorax-composer

El backend osbuild-composer sustituye a lorax-composer. El nuevo servicio proporciona APIs REST para la construcción de imágenes. Como resultado, los usuarios pueden beneficiarse de un backend más fiable y de imágenes de salida más predecibles.

Image Builder osbuild-composer soporta un conjunto de tipos de imágenes

Con el reemplazo del backend de osbuild-composer, el siguiente conjunto de tipos de imagen soportados en osbuild-composer esta vez:

Image Builder ahora soporta el empuje a las nubes a través de la GUI

Con esta mejora, al crear imágenes, los usuarios pueden elegir la opción de empujar a las nubes de servicio Azure y AWS a través de la GUI Image Builder. Como resultado, los usuarios pueden beneficiarse de cargas e instancias más fáciles.

Presentación de las imágenes de RHEL for Edge

Con esta versión, ahora puede crear imágenes RHEL personalizadas para servidores Edge.

El valor por defecto de la opción de configuración best dnf ha sido cambiado de True a False

Con esta actualización, el valor de la mejor opción de configuración de dnf se ha establecido en True en el archivo de configuración por defecto para mantener el comportamiento original de dnf. Como resultado, para los usuarios que utilizan el archivo de configuración por defecto el comportamiento permanece sin cambios.

Ahora está disponible la nueva opción --norepopath para el comando dnf reposync

Anteriormente, el comando reposync creaba por defecto un subdirectorio bajo el directorio --download-path para cada repositorio descargado. Con esta actualización, se ha introducido la opción --norepopath, y reposync no crea el subdirectorio. Como resultado, el repositorio se descarga directamente en el directorio especificado por --download-path. Esta opción también está presente en la página web YUM v3.

Posibilidad de activar y desactivar los plugins de libdnf

Anteriormente, la comprobación de la suscripción estaba codificada en la versión RHEL de los complementos libdnf. Con esta actualización, la utilidad microdnf puede habilitar y deshabilitar los complementos de libdnf, y la comprobación de las suscripciones puede ahora deshabilitarse del mismo modo que en DNF. Para desactivar la comprobación de suscripciones, utilice el comando --disableplugin=subscription-manager. Para desactivar todos los complementos, utilice el comando --noplugins.

Actualizaciones deReaR

RHEL 8.3 introduce una serie de actualizaciones en la utilidad Relax-and-Recover(ReaR). Los cambios más destacados son:

smartmontools rebasado a la versión 7.1

El paquete smartmontools ha sido actualizado a la versión 7.1, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

opencryptoki rebasado a la versión 3.14.0

Los paquetes opencryptoki han sido actualizados a la versión 3.14.0, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

gpgme rebasado a la versión 1.13.1.

Los paquetes gpgme han sido actualizados a la versión 1.13.1. Los cambios notables incluyen:

powertop rebasado a la versión 2.12

Los paquetes de powertop han sido actualizados a la versión 2.12. Entre los cambios más destacados respecto a la versión 2.11 disponible anteriormente se encuentran:

reajustado a la versión 2.14.0

Los paquetes ajustados han sido actualizados a la versión 2.14.0. Las mejoras más destacadas son:

tcpdump rebasado a la versión 4.9.3

La utilidad tcpdump ha sido actualizada a la versión 4.9.3 para corregir las vulnerabilidades y exposiciones comunes (CVE).

libpcap rebasado a la versión 1.9.1

Los paquetes libpcap han sido actualizados a la versión 1.9.1 para corregir las vulnerabilidades y exposiciones comunes (CVE).

iperf3 ahora soporta la opción sctp en el lado del cliente

Con esta mejora, el usuario puede utilizar el Protocolo de Transmisión de Control de Flujo (SCTP) en lugar del Protocolo de Control de Transmisión (TCP) en el lado del cliente para probar el rendimiento de la red.

iperf3 ahora soporta SSL

Con esta mejora, el usuario puede utilizar la autenticación RSA entre el cliente y el servidor para restringir las conexiones al servidor sólo a los clientes legítimos.

bind rebasado a 9.11.20

El paquete bind ha sido actualizado a la versión 9.11.20, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

Un nuevo perfil TuneD de optimización de consolas serie para reducir la E/S en las consolas serie reduciendo el valor de printk

Con esta actualización, está disponible un nuevo perfil TuneD de optimización de la consola serie. En algunos escenarios, los controladores del kernel pueden enviar grandes cantidades de operaciones de E/S a la consola serie. Este comportamiento puede causar una falta de respuesta temporal mientras la E/S se escribe en la consola serie. El perfil optimize-serial-console reduce esta E/S bajando el valor de printk del valor por defecto de 7 4 1 7 a 4 4 1 7. Los usuarios con una consola serial que deseen hacer este cambio en su sistema pueden instrumentar su sistema de la siguiente manera:

Se han añadido nuevos perfiles TuneD para las plataformas basadas en AMD

En RHEL 8.3, el perfil TuneD de rendimiento se ha actualizado para incluir el ajuste para las plataformas basadas en AMD. No es necesario cambiar ningún parámetro manualmente y el ajuste se aplica automáticamente en el sistema AMD. Los sistemas AMD Epyc Naples y Rome alteran los siguientes parámetros en el perfil de rendimiento por defecto:

memcached rebasado a la versión 1.5.22

Los paquetes de memcached han sido actualizados a la versión 1.5.22. Los cambios notables sobre la versión anterior incluyen:

Cyrus SASL admite ahora la vinculación de canales con los complementos SASL/GSSAPI y SASL/GSS-SPNEGO

Esta actualización añade soporte para los enlaces de canal con los complementos SASL/GSSAPI y SASL/GSS-SPNEGO. Como resultado, cuando se utiliza en las bibliotecas openldap, esta característica permite a Cyrus SASL mantener la compatibilidad y el acceso a los sistemas de Microsoft Active Directory y Microsoft Windows que están introduciendo la vinculación de canal obligatoria para las conexiones LDAP.

Libreswan rebasado a 3.32

Con esta actualización, Libreswan ha sido rebasado a la versión 3.32, que incluye varias características nuevas y correcciones de errores. Las características más destacadas son:

La librería libssh ha sido rebasada a la versión 0.9.4

La biblioteca libssh, que implementa el protocolo SSH, ha sido actualizada a la versión 0.9.4.

gnutls rebasado a 3.6.14

Los paquetes de gnutls han sido reajustados a la versión 3.6.14. Esta versión proporciona muchas correcciones de errores y mejoras, sobre todo:

las comprobaciones FIPS DH degnutls ahora son conformes a la norma NIST SP 800-56A rev. 3

Esta actualización de los paquetes gnutls proporciona las comprobaciones requeridas por la Publicación Especial 800-56A Revisión 3 del NIST, secciones 5.7.1.1 y 5.7.1.2, paso 2. El cambio es necesario para las futuras certificaciones FIPS 140-2. Como resultado, gnutls ahora sólo acepta parámetros de 2048 bits o más de RFC 7919 y RFC 3526 durante el intercambio de claves Diffie-Hellman cuando funciona en modo FIPS.

gnutls ahora realiza validaciones según NIST SP 800-56A rev 3

Esta actualización de los paquetes gnutls añade las comprobaciones requeridas por la Publicación Especial 800-56A Revisión 3 del NIST, secciones 5.6.2.2.2 y 5.6.2.1.3, paso 2. Esta adición prepara a gnutls para futuras certificaciones FIPS 140-2. Como resultado, gnutls realiza pasos de validación adicionales para las claves públicas generadas y recibidas durante el intercambio de claves Diffie-Hellman cuando funciona en modo FIPS.

update-crypto-policies y fips-mode-setup movidos a crypto-policies-scripts

Los scripts update-crypto-policies y fips-mode-setup, que antes se incluían en el paquete crypto-policies, se han trasladado a un subpaquete RPM independiente crypto-policies-scripts. El paquete se instala automáticamente a través de la dependencia Recommends en las instalaciones regulares. Esto permite que la imagen ubi8/ubi-minimal evite la inclusión del intérprete del lenguaje Python y, por lo tanto, reduce el tamaño de la imagen.

OpenSC se ha actualizado a la versión 0.20.0

El paquete opensc ha sido reajustado a la versión 0.20.0 que soluciona múltiples errores y problemas de seguridad. Los cambios más importantes son:

stunnel rebasado a la versión 5.56

Con esta actualización, la envoltura de encriptación de stunnel ha sido rebasada a la versión 5.56, que incluye varias características nuevas y correcciones de errores. Las características más destacadas son:

libkcapi rebasado a la versión 1.2.0

El paquete libkcapi ha sido rebasado a la versión 1.2.0, que incluye cambios menores.

setools rebasado a 4.3.0

El paquete setools, que es una colección de herramientas diseñadas para facilitar el análisis de políticas de SELinux, ha sido actualizado a la versión 4.3.0.

Los archivos y directorios individuales de CephFS ahora pueden tener etiquetas SELinux

El sistema de archivos Ceph (CephFS) ha habilitado recientemente el almacenamiento de etiquetas SELinux en los atributos extendidos de los archivos. Anteriormente, todos los archivos de un volumen CephFS estaban etiquetados con una única etiqueta común system_u:object_r:cephfs_t:s0. Con esta mejora, se pueden cambiar las etiquetas de los archivos individuales, y SELinux define las etiquetas de los archivos recién creados basándose en reglas de transición. Tenga en cuenta que los archivos no etiquetados previamente siguen teniendo la etiqueta system_u:object_r: cephfs_t:s0 hasta que se cambie explícitamente.

OpenSCAP rebasado a la versión 1.3.3

Los paquetes de openscap se han actualizado a la versión 1.3.3, que proporciona muchas correcciones de errores y mejoras con respecto a la versión anterior, sobre todo:

La guía de seguridad de SCAP ofrece ahora un perfil alineado con el benchmark de CIS RHEL 8 v1.0.0

Con esta actualización, los paquetes scap-security-guide proporcionan un perfil alineado con el CIS Red Hat Enterprise Linux 8 Benchmark v1.0.0. El perfil le permite endurecer la configuración del sistema utilizando las directrices del Center for Internet Security (CIS). Como resultado, puede configurar y automatizar el cumplimiento de sus sistemas RHEL 8 con CIS utilizando el Ansible Playbook de CIS y el perfil SCAP de CIS.

scap-security-guide proporciona ahora un perfil que implementa la HIPAA

Esta actualización de los paquetes scap-security-guide añade el perfil de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) al contenido de cumplimiento de seguridad de RHEL 8. Este perfil implementa las recomendaciones que se indican en el sitio web The HIPAA Privacy Rule.

scap-security-guide rebasado a 0.1.50

Los paquetes scap-security-guide, que contienen el último conjunto de políticas de seguridad para sistemas Linux, han sido actualizados a la versión 0.1.50.

SCAP Workbench puede ahora generar remedios basados en resultados a partir de perfiles adaptados

Con esta actualización, ahora puede generar funciones de corrección basadas en resultados a partir de perfiles adaptados mediante la herramienta SCAP Workbench.

El nuevo rol de Ansible proporciona despliegues automatizados de los clientes de Clevis

Esta actualización del paquete rhel-system-roles introduce el rol de sistema nbde_client RHEL. Este rol de Ansible permite desplegar múltiples clientes Clevis de forma automatizada.

El nuevo rol de Ansible ahora puede configurar un servidor Tang

Con esta mejora, puede desplegar y gestionar un servidor Tang como parte de una solución automatizada de cifrado de discos con el nuevo rol de sistema nbde_server. El rol de Ansible nbde_server, que se incluye en el paquete rhel-system-roles, admite las siguientes funciones:

lahorquilla se ha reajustado a la versión 13

Los paquetes de la clevis han sido reajustados a la versión 13, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

laedición de las horquillas le permite editar una configuración específica de las clavijas

Esta actualización de los paquetes clevis introduce el nuevo subcomando clevis luks edit que permite editar una configuración de pines específica. Por ejemplo, ahora puede cambiar la dirección URL de un servidor Tang y el parámetro pcr_ids en una configuración TPM2. También puede añadir y eliminar nuevos pines sss y cambiar el umbral de un pin sss.

clevis luks bind -y ahora permite la vinculación automática

Con esta mejora, Clevis admite la vinculación automática con el parámetro -y. Ahora puede utilizar la opción -y con el comando clevis luks bind, que responde automáticamente a las indicaciones posteriores con yes. Por ejemplo, cuando se utiliza un pin Tang, ya no es necesario confiar manualmente en las claves Tang.

fapolicyd rebasado a la versión 1.0

Los paquetes fapolicyd han sido reajustados a la versión 1.0, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

fapolicyd proporciona ahora su propia política SELinux en fapolicyd-selinux

Con esta mejora, el marco fapolicyd ahora proporciona su propia política de seguridad SELinux. El demonio está confinado bajo el dominio fapolicyd_t y la política se instala a través del subpaquete fapolicyd-selinux.

USBGuard rebasado a la versión 0.7.8

Los paquetes usbguard han sido reajustados a la versión 0.7.8 que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

USBGuard proporciona muchas mejoras para los usuarios de escritorios corporativos

Esta adición al proyecto USBGuard contiene mejoras y correcciones de errores para mejorar la usabilidad para los usuarios de escritorios corporativos. Los cambios importantes incluyen:

USBGuard proporciona ahora su propia política SELinux en usbguard-selinux

Con esta mejora, el marco USBGuard ahora proporciona su propia política de seguridad SELinux. El demonio está confinado bajo el dominio usbguard_t y la política se instala a través del subpaquete usbguard-selinux.

libcap ahora es compatible con las capacidades ambientales

Con esta actualización, los usuarios pueden conceder capacidades de ambiente en el inicio de sesión y evitar la necesidad de tener acceso de root para los procesos debidamente configurados.

La librería libseccomp ha sido rebasada a la versión 2.4.3

La biblioteca libseccomp, que proporciona una interfaz para el mecanismo de filtrado de llamadas del sistema seccomp, se ha actualizado a la versión 2.4.3.

el móduloomamqp1 ya es compatible

Con esta actualización, el protocolo AMQP 1. 0 soporta el envío de mensajes a un destino en el bus. Anteriormente, Openstack utilizaba el protocolo AMQP1 como estándar de comunicación, y este protocolo ahora puede registrar mensajes en mensajes AMQP. Esta actualización introduce el subpaquete rsyslog-omamqp1 para ofrecer el modo de salida omamqp1, que registra los mensajes y los envía al destino en el bus.

OpenSCAP comprime el contenido remoto

Con esta actualización, OpenSCAP utiliza la compresión gzip para transferir el contenido remoto. El tipo más común de contenido remoto son los feeds de CVE basados en texto, que aumentan de tamaño con el tiempo y normalmente tienen que descargarse para cada exploración. La compresión gzip reduce el ancho de banda al 10% del necesario para el contenido sin comprimir. Como resultado, se reducen los requisitos de ancho de banda en toda la cadena entre el sistema escaneado y el servidor que aloja el contenido remoto.

La guía de seguridad de SCAP proporciona ahora un perfil alineado con NIST-800-171

Con esta actualización, los paquetes scap-security-guide proporcionan un perfil alineado con la norma NIST-800-171. El perfil le permite endurecer la configuración del sistema de acuerdo con los requisitos de seguridad para la protección de la información no clasificada controlada (CUI) en los sistemas de información no federales. Como resultado, puede configurar más fácilmente los sistemas para que estén alineados con la norma NIST-800-171.

Los módulos de seguimiento de conexiones IPv4 e IPv6 se han fusionado en el módulo nf_conntrack

Esta mejora fusiona los módulos de seguimiento de conexiones nf_conntrack_ipv4 y nf_conntrack_ipv6 de Netfilter en el módulo del núcleo nf_conntrack. Debido a este cambio, la inclusión en la lista negra de los módulos específicos de la familia de direcciones ya no funciona en RHEL 8.3, y se puede incluir en la lista negra sólo el módulo nf_conntrack para desactivar el soporte de seguimiento de conexiones para los protocolos IPv4 e IPv6.

firewalld rebasado a la versión 0.8.2

Los paquetes firewalld han sido actualizados a la versión 0.8.2, que proporciona una serie de correcciones de errores respecto a la versión anterior. Para más detalles, consulte las notas de la versión 0.8.2 de firewalld.

NetworkManager se ha actualizado a la versión 1.26.0

Los paquetes de NetworkManager han sido actualizados a la versión 1.26.0, que proporciona una serie de mejoras y correcciones de errores con respecto a la versión anterior:

El XDP es compatible de forma condicional

Red Hat admite la función eXpress Data Path (XDP) sólo si se dan todas las condiciones siguientes:

xdp-tools es totalmente compatible

El paquete xdp-tools, que contiene utilidades de apoyo al espacio de usuario para la función eXpress Data Path (XDP) del kernel, es ahora compatible con las arquitecturas de 64 bits de AMD e Intel. Incluye la biblioteca libxdp, la utilidad xdp-loader para cargar programas XDP, el programa de ejemplo xdp-filter para filtrar paquetes y la utilidad xdpdump para capturar paquetes de una interfaz de red con XDP activado.

La utilidad dracut por defecto ahora utiliza NetworkManager en el disco RAM inicial

Anteriormente, la utilidad dracut utilizaba un script de shell para gestionar la red en el disco RAM inicial, initrd. En ciertos casos, esto podía causar problemas. Por ejemplo, el NetworkManager envía otra solicitud de DHCP, incluso si el script en el disco RAM ya ha solicitado una dirección IP, lo que podría resultar en un tiempo de espera.

La configuración de la red en la línea de comandos del kernel se ha consolidado bajo el parámetro ip

Los parámetros ipv6, máscara de red, puerta de enlace y nombre de host para establecer la configuración de red en la línea de comandos del kernel se han consolidado bajo el parámetro ip. El parámetro ip acepta diferentes formatos, como el siguiente:

Versión del núcleo en RHEL 8.3

Red Hat Enterprise Linux 8.3 se distribuye con la versión 4.18.0-240 del kernel.

Filtro de paquetes Berkeley ampliado para RHEL 8.3

La Extended Berkeley Packet Filter (eBPF) es una máquina virtual dentro del núcleo que permite la ejecución de código en el espacio del núcleo, en el entorno restringido de la caja de arena con acceso a un conjunto limitado de funciones. La máquina virtual ejecuta un código especial de tipo ensamblador.

Software de host de la arquitectura Omni-Path (OPA) de Cornelis Networks

El software de host Omni-Path Architecture (OPA) es totalmente compatible con Red Hat Enterprise Linux 8.3. OPA proporciona hardware Host Fabric Interface (HFI) con inicialización y configuración para transferencias de datos de alto rendimiento (alto ancho de banda, alta tasa de mensajes, baja latencia) entre nodos de computación y E/S en un entorno de clúster.

TSX está ahora desactivado por defecto

A partir de RHEL 8.3, el kernel tiene ahora la tecnología Intel® Transactional Synchronization Extensions (TSX) deshabilitada por defecto para mejorar la seguridad del sistema operativo. El cambio se aplica a las CPU que admiten la desactivación de TSX, incluidos los procesadores escalables Intel® Xeon® de segunda generación (antes conocidos como Cascade Lake con los chipsets de la serie Intel® C620).

RHEL 8.3 ahora soporta la función de seguimiento del propietario de la página

Con esta actualización, puede utilizar la función de seguimiento del propietario de la página para observar la utilización de la memoria del kernel a nivel de asignación de la página.

Ahora se admite EDAC para los procesadores AMD EPYC™ serie 7003

Esta mejora proporciona compatibilidad con el dispositivo de detección y corrección de errores (EDAC) para los procesadores AMD EPYC™ serie 7003. Anteriormente, los errores de memoria corregidos (CE) y no corregidos (UE) no se informaban en los sistemas basados en los procesadores AMD EPYC™ serie 7003. Con esta actualización, estos errores ahora se informarán mediante EDAC.

Flamegraph es ahora compatible con la herramienta perf

Con esta actualización, la herramienta de línea de comandos perf soporta flamegraphs para crear una representación gráfica del rendimiento del sistema. Los datos de perf se agrupan en muestras con backtraces de pila similares. Como resultado, estos datos se convierten en una representación visual para permitir una identificación más fácil de las áreas de código que hacen un uso intensivo de los cálculos. Para generar un flamegraph utilizando la herramienta perf, ejecute los siguientes comandos:

/dev/random y /dev/urandom son ahora alimentados condicionalmente por el Kernel Crypto API DRBG

En el modo FIPS, los generadores de números pseudoaleatorios /dev/random y /dev/urandom se alimentan del generador de bits aleatorios determinista (DRBG) de la Kernel Crypto API. Las aplicaciones en modo FIPS utilizan los dispositivos mencionados como fuente de ruido conforme a FIPS, por lo que los dispositivos deben emplear algoritmos aprobados por FIPS. Para lograr este objetivo, se han añadido los ganchos necesarios al controlador /dev/random. Como resultado, los ganchos están habilitados en el modo FIPS y hacen que /dev/random y /dev/urandom se conecten al DRBG de la API Crypto del núcleo.

libbpf es totalmente compatible

El paquete libbpf, crucial para las aplicaciones relacionadas con bpf como bpftrace y el desarrollo de bpf/xdp, es ahora totalmente compatible.

la utilidadlshw proporciona ahora información adicional sobre la CPU

Con esta mejora, la utilidad List Hardware (lshw) muestra más información sobre la CPU. El campo de la versión de la CPU proporciona ahora los detalles de la familia, el modelo y el paso de los procesadores del sistema en formato numérico como versión

el árbol de fuentes dekernel-rt ha sido actualizado al árbol de RHEL 8.3

Las fuentes de kernel-rt han sido actualizadas para utilizar el último árbol de fuentes del kernel de Red Hat Enterprise Linux. El conjunto de parches en tiempo real también se ha actualizado a la última versión de la corriente principal, v5.6.14-rt7. Ambas actualizaciones proporcionan una serie de correcciones de errores y mejoras.

tpm2-tools rebasado a la versión 4.1.1

El paquete tpm2-tools se ha actualizado a la versión 4.1.1, que proporciona una serie de adiciones, actualizaciones y eliminaciones de comandos. Para obtener más detalles, consulte las actualizaciones del paquete tpm2-tools en la solución RHEL8.3.

El adaptador de red Mellanox ConnectX-6 Dx es ahora totalmente compatible

Esta mejora añade los IDs PCI del adaptador de red Mellanox ConnectX-6 Dx al controlador mlx5_core. En los hosts que utilizan este adaptador, RHEL carga el controlador mlx5_core automáticamente. Esta función, que anteriormente estaba disponible como vista previa de la tecnología, es ahora totalmente compatible con RHEL 8.3.

controladormlxsw rebasado a la versión 5.7

El controlador mlxsw se ha actualizado a la versión 5.7 e incluye las siguientes novedades:

LVM ahora puede gestionar volúmenes VDO

LVM ahora soporta el tipo de segmento Virtual Data Optimizer (VDO). Como resultado, ahora puede utilizar las utilidades de LVM para crear y gestionar volúmenes VDO como volúmenes lógicos nativos de LVM.

La pila SCSI ahora funciona mejor con los adaptadores de alto rendimiento

Se ha mejorado el rendimiento de la pila SCSI. Como resultado, los adaptadores de bus de host (HBA) de última generación y alto rendimiento son ahora capaces de alcanzar mayores IOPS (E/S por segundo) en RHEL.

El controlador megaraid_sas ha sido actualizado a la última versión

El controlador megaraid_sas ha sido actualizado a la versión 07.713.01.00-rc1. Esta actualización proporciona varias correcciones de errores y mejoras relacionadas con la mejora del rendimiento, una mayor estabilidad de los adaptadores MegaRAID compatibles y un conjunto de funciones más completo.

Stratis ahora muestra el nombre de la piscina en caso de error

Cuando se intenta crear un pool de Stratis en un dispositivo de bloque que ya está en uso por un pool de Stratis existente, la utilidad stratis ahora reporta el nombre del pool existente. Anteriormente, la utilidad sólo indicaba la etiqueta UUID del pool.

FPIN Soporte de notificación de tramas ELS

El controlador lpfc Fibre Channel (FC) admite ahora las notificaciones de impacto en el rendimiento del tejido (FPIN) relativas a la integridad del enlace, que ayudan a identificar los problemas a nivel de enlace y permiten al conmutador elegir una ruta más fiable.

Nuevos comandos para depurar los metadatos en disco de LVM

La utilidad pvck, que está disponible en el paquete lvm2, ahora proporciona comandos de bajo nivel para depurar o rescatar los metadatos en disco de LVM en volúmenes físicos:

LVM RAID admite la integridad de DM para evitar la pérdida de datos debido a los datos corruptos en un dispositivo

Ahora es posible añadir la integridad de Device Mapper (DM) a una configuración RAID LVM para evitar la pérdida de datos. La capa de integridad detecta la corrupción de datos en un dispositivo y alerta a la capa RAID para que corrija los datos corruptos en todo el RAID LVM.

Almacenamiento resistente (GFS2) compatible con las nubes públicas de AWS, Azure y Aliyun

Resilient Storage (GFS2) es ahora compatible con las tres principales nubes públicas, Amazon (AWS), Microsoft (Azure) y Alibaba (Aliyun), con la introducción de la compatibilidad con dispositivos de bloques compartidos en esas plataformas. Como resultado, GFS2 es ahora un verdadero sistema de archivos de clúster en la nube híbrida con opciones para usar tanto en las instalaciones como en la nube pública. Para obtener información sobre la configuración del almacenamiento en bloque compartido en Microsoft Azure y en AWS, consulte Implementación de Red Hat Enterprise Linux 8 en plataformas de nube pública. Para obtener información sobre la configuración del almacenamiento en bloque compartido en Alibaba Cloud, consulte Configuración del almacenamiento en bloque compartido para un clúster de alta disponibilidad de Red Hat en Alibaba Cloud.

El espacio de usuario ahora soporta el último demonio nfsdcld

El espacio de usuario ahora soporta el último demonio nfsdcld, que es el único método de seguimiento de clientes consciente del espacio de nombres. Esta mejora garantiza la recuperación de la apertura o el bloqueo del cliente desde el demonio knfsd en el contenedor sin ninguna corrupción de datos.

nconnect admite ahora múltiples conexiones simultáneas

Con esta mejora, puede utilizar la funcionalidad nconnect para crear múltiples conexiones concurrentes a un servidor NFS, permitiendo una capacidad de equilibrio de carga diferente. Habilite la funcionalidad nconnect con la opción de montaje NFS nconnect=X, donde X es el número de conexiones concurrentes a utilizar. El límite actual es 16.

ahora se admite el demonionfsdcld para el seguimiento de la información del cliente

Con esta mejora, el demonio nfsdcld es ahora el método por defecto en el seguimiento de la información por cliente en un almacenamiento estable. Como resultado, el NFS v4 que se ejecuta en contenedores permite a los clientes reclamar las aperturas o bloqueos después de un reinicio del servidor.

marcapasos rebasado a la versión 2.0.4

El gestor de recursos de clústeres Pacemaker se ha actualizado a la versión 2.0.4, que proporciona una serie de correcciones de errores.

Nueva propiedad de clúster de prioridad-cerrado-retraso

Pacemaker soporta ahora la nueva propiedad de cluster priority-fencing-delay, que permite configurar un cluster de dos nodos para que en una situación de split-brain el nodo con menos recursos en ejecución sea el que se cerque.

Nuevos comandos para gestionar múltiples conjuntos de recursos y operaciones por defecto

Ahora es posible crear, listar, modificar y eliminar múltiples conjuntos de valores por defecto de recursos y operaciones. Cuando se crea un conjunto de valores por defecto, se puede especificar una regla que contenga expresiones de recursos y operaciones. Esto le permite, por ejemplo, configurar un valor de recurso por defecto para todos los recursos de un tipo determinado. Los comandos que enumeran los valores por defecto existentes ahora incluyen múltiples conjuntos de valores por defecto en su salida.

Soporte para etiquetar los recursos del clúster

Ahora es posible etiquetar recursos de cluster en un cluster Pacemaker con el comando pcs tag. Esta función le permite administrar un conjunto específico de recursos con un solo comando. También puede utilizar el comando pcs tag para eliminar o modificar la etiqueta de un recurso y para mostrar la configuración de la etiqueta.

Pacemaker ahora soporta la recuperación al degradar un recurso promovido en lugar de detenerlo completamente

Ahora es posible configurar un recurso promocionable en un cluster Pacemaker para que cuando una acción de promoción o monitorización falle para ese recurso, o la partición en la que el recurso se está ejecutando pierda el quórum, el recurso se degradará pero no se detendrá completamente.

Nuevo parámetro de configuración SBD_SYNC_RESOURCE_STARTUP SBD para mejorar la sincronización con Pacemaker

Para controlar mejor la sincronización entre SBD y Pacemaker, el archivo /etc/sysconfig/sbd admite ahora el parámetro SBD_SYNC_RESOURCE_STARTUP. Cuando se instalan los paquetes Pacemaker y SBD de RHEL 8.3 o posterior y SBD se configura con SBD_SYNC_RESOURCE_STARTUP=true, SBD se pone en contacto con el demonio Pacemaker para obtener información sobre el estado del demonio.

Una nueva corriente de módulos: ruby:2.7

RHEL 8.3 introduce Ruby 2.7.1 en un nuevo flujo de módulos ruby:2.7. Esta versión proporciona una serie de mejoras de rendimiento, correcciones de errores y seguridad, y nuevas características sobre Ruby 2.6 distribuido con RHEL 8.1.

Una nueva corriente de módulos: nodejs:14

Ya está disponible un nuevo módulo, nodejs:14. Node.js 14, incluido en RHEL 8.3, aporta numerosas novedades y correcciones de errores y seguridad respecto a Node.js 12 distribuido en RHEL 8.1.

git rebasado a la versión 2.27

Los paquetes git han sido actualizados a la versión 2.27. Los cambios notables sobre la versión 2.18 disponible anteriormente incluyen:

Cambios en Python

RHEL 8.3 introduce los siguientes cambios en el flujo del módulo python38:3.8:

Una nueva corriente de módulos: php:7.4

RHEL 8.3 introduce PHP 7.4, que proporciona una serie de correcciones de errores y mejoras sobre la versión 7.3.

Un nuevo flujo de módulos: nginx:1.18

Ya está disponible el servidor web y proxy nginx 1.18, que proporciona una serie de correcciones de errores, correcciones de seguridad, nuevas características y mejoras respecto a la versión 1.16. Los cambios más destacados son:

Un nuevo módulo: perl:5.30

RHEL 8.3 introduce Perl 5.30, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior Perl 5.26. La nueva versión también deja de lado o elimina ciertas características del lenguaje. Los cambios más significativos son los siguientes

Un nuevo módulo: perl-libwww-perl:6.34

RHEL 8.3 introduce un nuevo flujo de módulos perl-libwww-perl:6.34, que proporciona el paquete perl-libwww-perl para todas las versiones de Perl disponibles en RHEL 8. El paquete perl-libwww-perl no modular, disponible desde RHEL 8.0, que no puede utilizarse con otros flujos de Perl que no sean 5.26, ha quedado obsoleto por el nuevo flujo perl-libwww-perl:6.34 por defecto.

Un nuevo módulo: perl-IO-Socket-SSL:2.066

Ya está disponible un nuevo flujo del módulo perl-IO-Socket-SSL:2.066. Este módulo proporciona los paquetes perl-IO-Socket-SSL y perl-Net-SSLeay y es compatible con todos los flujos de Perl disponibles en RHEL 8.

El flujo del módulo squid:4 se ha reajustado a la versión 4.11

El servidor proxy Squid, proporcionado por el flujo del módulo squid:4, ha sido actualizado de la versión 4.4 a la versión 4.11. Esta versión proporciona múltiples correcciones de errores y seguridad, y varias mejoras, como nuevas opciones de configuración.

Cambios en el flujo del módulo httpd:2.4

RHEL 8.3 introduce los siguientes cambios notables en el servidor HTTP Apache, disponibles a través del flujo de módulos httpd:2.4:

Soporte para el registro en journald desde la directiva CustomLog en httpd

Ahora es posible enviar registros de acceso (transferencia) a journald desde el servidor HTTP Apache utilizando una nueva opción para la directiva CustomLog.

Nuevo conjunto de herramientas GCC 10

GCC Toolset 10 es un conjunto de herramientas de compilación que proporciona versiones recientes de herramientas de desarrollo. Está disponible como un flujo de aplicaciones en forma de colección de software en el repositorio AppStream.

El conjunto de herramientas de Rust se ha actualizado a la versión 1.45.2

Rust Toolset ha sido actualizado a la versión 1.45.2. Los cambios más destacados son:

El conjunto de herramientas LLVM se ha actualizado a la versión 10.0.1

El conjunto de herramientas LLVM ha sido actualizado a la versión 10.0.1. Con esta actualización, los paquetes clang-libs ya no incluyen bibliotecas de componentes individuales. Como resultado, ya no es posible enlazar aplicaciones con ellas. Para enlazar aplicaciones con las bibliotecas clang, utilice el paquete libclang-cpp.so.

Go Toolset rebasado a la versión 1.14.7

Go Toolset se ha actualizado a la versión 1.14.7 Los cambios más importantes son

SystemTap rebasado a la versión 4.3

La herramienta de instrumentación SystemTap ha sido actualizada a la versión 4.3, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

Valgrind rebasado a la versión 3.16.0

La herramienta de análisis de código ejecutable Valgrind ha sido actualizada a la versión 3.16.0, que proporciona una serie de correcciones de errores y mejoras respecto a la versión anterior:

elfutils rebasado a la versión 0.180

El paquete elfutils ha sido actualizado a la versión 0.180, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

GDB ahora soporta la grabación y reproducción de procesos en IBM z15

Con esta mejora, el depurador de GNU (GDB) soporta ahora el registro y la reproducción de procesos con la mayoría de las nuevas instrucciones del procesador IBM z15 (anteriormente conocido como arch13). Tenga en cuenta que las siguientes instrucciones no están actualmente soportadas: SORTL (listas de ordenación), DFLTCC (llamada a la conversión de deflación), KDSA (computación de autenticación de firma digital).

Los eventos de monitorización del rendimiento de Marvell ThunderX2 han sido actualizados en papi

Con esta mejora, se han actualizado una serie de eventos de rendimiento específicos de ThunderX2, incluidos los eventos uncore. Como resultado, los desarrolladores pueden investigar mejor el rendimiento del sistema en los sistemas Marvell ThunderX2.

La biblioteca matemática glibc está ahora optimizada para IBM Z

Con esta mejora, las funciones matemáticas de libm se han optimizado para mejorar el rendimiento en las máquinas IBM Z. Los cambios notables incluyen:

Ya está disponible un directorio temporal adicional específico de libffi

Anteriormente, en los sistemas reforzados, los directorios temporales de todo el sistema podían no tener permisos adecuados para su uso con la biblioteca libffi.

Mejora del rendimiento de strstr() y strcasestr()

Con esta actualización, se ha mejorado el rendimiento de las funciones strstr() y strcasestr() en varias arquitecturas soportadas. Como resultado, los usuarios se benefician ahora de un rendimiento significativamente mejor de todas las aplicaciones que utilizan rutinas de manipulación de cadenas y memoria.

glibc ahora maneja correctamente la carga de un archivo local truncado

Si el archivo de locales del sistema se ha truncado previamente, ya sea debido a un corte de energía durante la actualización o a un fallo de disco, un proceso podría terminar inesperadamente al cargar el archivo. Esta mejora añade comprobaciones de consistencia adicionales a la carga del archivo de configuraciones regionales. Como resultado, los procesos son ahora capaces de detectar el truncamiento del archivo y volver a las configuraciones regionales no instaladas en el archivo o a la configuración regional POSIX por defecto.

GDB ahora soporta debuginfod

Con esta mejora, el depurador de GNU (GDB) puede ahora descargar paquetes de información de depuración desde servidores centralizados bajo demanda utilizando la biblioteca cliente elfutils debuginfod.

pcp rebasado a la versión 5.1.1-3

El paquete pcp ha sido actualizado a la versión 5.1.1-3. Los cambios notables incluyen:

grafana rebasado a la versión 6.7.3

El paquete grafana ha sido actualizado a la versión 6.7.3. Los cambios más destacados son:

grafana-pcp rebasado a la versión 2.0.2

El paquete grafana-pcp ha sido actualizado a la versión 2.0.2. Los cambios notables incluyen:

Una nueva imagen de contenedor rhel8/pcp

La imagen del contenedor rhel8/pcp ya está disponible en el Red Hat Container Registry. La imagen contiene el kit de herramientas Performance Co-Pilot (PCP), que incluye el paquete pcp-zeroconf preinstalado y el PMDA de OpenMetrics.

Una nueva imagen de contenedor rhel8/grafana

La imagen de contenedor rhel8/grafana ya está disponible en el Red Hat Container Registry. Grafana es una utilidad de código abierto con panel de métricas, y editor de gráficos para la herramienta de monitorización Graphite, Elasticsearch, OpenTSDB, Prometheus, InfluxDB y PCP.

La utilidad de copia de seguridad de IdM ahora comprueba los roles de réplica requeridos

La utilidad ipa-backup ahora comprueba si todos los servicios utilizados en el clúster de IdM, como una Autoridad de Certificados (CA), un Sistema de Nombres de Dominio (DNS) y un Agente de Recuperación de Claves (KRA) están instalados en la réplica donde se está ejecutando la copia de seguridad. Si la réplica no tiene todos estos servicios instalados, la utilidad ipa-backup sale con una advertencia, porque las copias de seguridad tomadas en ese host no serían suficientes para una restauración completa del clúster.

Nueva herramienta de notificación de caducidad de contraseñas

Expiring Password Notification (EPN), proporcionada por el paquete ipa-client-epn, es una herramienta independiente que puede utilizar para crear una lista de usuarios de Gestión de Identidades (IdM) cuyas contraseñas van a caducar pronto.

JSS proporciona ahora un SSLContext compatible con FIPS

Anteriormente, Tomcat utilizaba la directiva SSLEngine de la clase SSLContext de la Arquitectura de Criptografía de Java (JCA). La implementación por defecto de SunJSSE no es compatible con el Estándar Federal de Procesamiento de Información (FIPS), por lo que PKI proporciona ahora una implementación compatible con FIPS a través de JSS.

Ya está disponible la comprobación de la salud general de su infraestructura de clave pública

Con esta actualización, la herramienta de comprobación de la infraestructura de clave pública (PKI) informa del estado del subsistema PKI a la herramienta de comprobación de la gestión de identidades (IdM), que se introdujo en RHEL 8.1. La ejecución de IdM Healthcheck invoca PKI Healthcheck, que recoge y devuelve el informe de estado del subsistema PKI.

Soporte para RSA PSS

Con esta mejora, la PKI admite ahora el algoritmo de firma RSA PSS (Probabilistic Signature Scheme).

Directory Server exporta la clave privada y el certificado a un espacio de nombres privado cuando el servicio se inicia

Directory Server utiliza las bibliotecas OpenLDAP para las conexiones salientes, como los acuerdos de replicación. Dado que estas bibliotecas no pueden acceder directamente a la base de datos de los servicios de seguridad de la red (NSS), Directory Server extrae la clave privada y los certificados de la base de datos NSS en las instancias con soporte de cifrado TLS para permitir que las bibliotecas OpenLDAP establezcan conexiones cifradas. Anteriormente, Directory Server extraía la clave privada y los certificados en el directorio establecido en el parámetro nsslapd-certdir de la entrada cn=config (por defecto: /etc/dirsrv/slapd-

El servidor de directorios ahora puede convertir una instancia en modo de sólo lectura si se alcanza el umbral de monitorización del disco

Esta actualización añade el parámetro nsslapd-disk-monitoring-readonly-on-threshold a la entrada cn=config. Si habilita este parámetro, Directory Server cambia todas las bases de datos a sólo lectura si la supervisión del disco está habilitada y el espacio libre en el disco es inferior al valor que configuró en nsslapd-disk-monitoring-threshold. Con nsslapd-disk-monitoring-readonly-on-threshold activado, las bases de datos no pueden modificarse hasta que Directory Server apague correctamente la instancia. Esto puede evitar la corrupción de datos.

samba rebasado a la versión 4.12.3

Los paquetes samba han sido actualizados a la versión 4.12.3, que proporciona una serie de correcciones de errores y mejoras respecto a la versión anterior:

cockpit-session-recording rebasado a la versión 4

El módulo de grabación de sesiones de cabina se ha actualizado a la versión 4. Esta versión ofrece los siguientes cambios notables con respecto a la versión anterior:

krb5 rebasado a la versión 1.18.2

Los paquetes krb5 han sido actualizados a la versión 1.18.2. Las correcciones y mejoras más importantes son:

IdM ahora es compatible con los nuevos módulos de gestión de Ansible

Esta actualización introduce varios módulos ansible-freeipa para la automatización de tareas comunes de gestión de identidades (IdM) mediante los playbooks de Ansible:

IdM ahora soporta un nuevo rol de sistema Ansible para la gestión de certificados

Identity Management (IdM) admite un nuevo rol de sistema Ansible para automatizar las tareas de gestión de certificados. El nuevo rol incluye las siguientes ventajas:

La gestión de identidades ahora es compatible con FIPS

Con esta mejora, ahora puede utilizar tipos de cifrado aprobados por la Norma Federal de Procesamiento de la Información (FIPS) con los mecanismos de autenticación en Identity Management (IdM). Tenga en cuenta que una confianza cruzada entre IdM y Active Directory no es compatible con FIPS.

OpenDNSSEC en idm:DL1 rebasado a la versión 2.1

El componente OpenDNSSEC del flujo del módulo idm:DL1 se ha actualizado a la serie de versiones 2.1, que es la versión actual de soporte a largo plazo. OpenDNSSEC es un proyecto de código abierto que impulsa la adopción de las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) para mejorar la seguridad de Internet. OpenDNSSEC 2.1 ofrece una serie de correcciones de errores y mejoras con respecto a la versión anterior. Para más información, lea las notas de la versión anterior: https://www.opendnssec.org/archive/releases/

IdM admite ahora la suite de cifrado RC4 obsoleta con una nueva subpolítica criptográfica para todo el sistema

Esta actualización introduce la nueva subpolítica criptográfica AD-SUPPORT que habilita el conjunto de cifrado Rivest Cipher 4 (RC4) en la gestión de identidades (IdM).

Adaptación a los nuevos requisitos de enlace del canal LDAP de Microsoft y de firma LDAP

Con las recientes actualizaciones de Microsoft, Active Directory (AD) marca los clientes que no utilizan la configuración predeterminada de Windows para la vinculación del canal LDAP y la firma LDAP. Como consecuencia, los sistemas RHEL que utilizan el demonio de servicios de seguridad del sistema (SSSD) para la integración directa o indirecta con AD podrían desencadenar IDs de eventos de error en AD tras operaciones exitosas de la capa de seguridad y autenticación simple (SASL) que utilizan la interfaz de programa de aplicación de servicios de seguridad genéricos (GSSAPI).

SSSD, adcli y realmd ahora soportan el conjunto de cifrado RC4 obsoleto con una nueva subpolítica criptográfica para todo el sistema

Esta actualización introduce la nueva subpolítica criptográfica AD-SUPPORT que habilita el conjunto de cifrado Rivest Cipher 4 (RC4) para las siguientes utilidades:

authselect tiene un nuevo perfil mínimo

La utilidad authselect tiene un nuevo perfil mínimo. Puede utilizar este perfil para servir sólo a los usuarios y grupos locales directamente desde los archivos del sistema en lugar de utilizar otros proveedores de autenticación. Por lo tanto, puede eliminar con seguridad los paquetes SSSD, winbind y fprintd y puede utilizar este perfil en sistemas que requieren una instalación mínima para ahorrar espacio en disco y memoria.

SSSD ahora actualiza el archivo secrets.tdb de Samba al rotar una contraseña

Una nueva opción ad_update_samba_machine_account_password en el archivo sssd. conf está ahora disponible en RHEL. Puede utilizarla para configurar SSSD para que actualice automáticamente el archivo secrets.tdb de Samba cuando rote la contraseña de dominio de una máquina mientras utiliza Samba.

SSSD ahora aplica los GPO de AD por defecto

La configuración por defecto de la opción de SSSD ad_gpo_access_control es ahora enforcing. En RHEL 8, SSSD aplica por defecto las reglas de control de acceso basadas en los objetos de política de grupo (GPO) de Active Directory.

El Servidor de Directorio ahora soporta el atributo de operación pwdReset

Esta mejora añade soporte para el atributo de operación pwdReset a Directory Server. Cuando un administrador cambia la contraseña de un usuario, Directory Server establece pwdReset en la entrada del usuario a true. Como resultado, las aplicaciones pueden utilizar este atributo para identificar si la contraseña de un usuario ha sido restablecida por un administrador.

El Servidor de Directorios ahora registra el trabajo y el tiempo de operación en las entradas de RESULTADO

Con esta actualización, el servidor de directorios registra ahora dos valores de tiempo adicionales en las entradas de RESULTADO en el archivo `/var/log/dirsrv/slapd-

Ya está disponible la sesión de solicitud única

Ahora puede iniciar GNOME en una sesión de una sola aplicación, también conocida como modo quiosco. En esta sesión, GNOME muestra sólo una ventana de pantalla completa de una aplicación que haya configurado.

tigervnc ha sido rebasado a la versión 1.10.1

La suite tigervnc ha sido reajustada a la versión 1.10.1. La actualización contiene varias correcciones y mejoras. Las más notables:

Compatibilidad con las nuevas tarjetas gráficas

Las siguientes tarjetas gráficas son ahora totalmente compatibles:

Aceleración por hardware con Nvidia Volta y Turing

El controlador de gráficos de nouveau soporta ahora la aceleración por hardware con las familias de GPUs Nvidia Volta y Turing. Como resultado, el escritorio y las aplicaciones que utilizan gráficos 3D ahora se renderizan de forma eficiente en la GPU. Además, esto libera la CPU para otras tareas y mejora la capacidad de respuesta general del sistema.

Reducción del tearing de la pantalla en XWayland

El backend de visualización de XWayland permite ahora la extensión XPresent. Con XPresent, las aplicaciones pueden actualizar eficazmente el contenido de sus ventanas, lo que reduce el tearing de la pantalla.

Establecer privilegios desde la sesión de la consola web

Con esta actualización, la consola web proporciona una opción para cambiar entre el acceso administrativo y el acceso limitado desde dentro de una sesión de usuario. Puede cambiar entre los modos haciendo clic en el indicador Administrative access o Limited access en su sesión de la consola web.

Mejoras en la búsqueda de registros

Con esta actualización, la consola web introduce un cuadro de búsqueda que admite varias formas nuevas de que los usuarios puedan buscar entre los registros. El cuadro de búsqueda admite la búsqueda de expresiones regulares en los mensajes de registro, especificando el servicio o buscando entradas con campos de registro específicos.

La página de resumen muestra informes más detallados de Insights

Con esta actualización, cuando una máquina está conectada a Red Hat Insights, la tarjeta Health en la página Overview de la consola web muestra información más detallada sobre el número de accesos y su prioridad.

Terminal log rol añadido a RHEL System Roles

Con esta mejora, se ha añadido un nuevo rol Terminal log (TLOG) a los roles de sistema de RHEL que se envían con el paquete rhel-system-roles. Ahora los usuarios pueden utilizar el rol tlog para establecer y configurar la grabación de sesiones mediante Ansible.

La función de sistema de registro de RHEL ya está disponible para Ansible

Con el rol de sistema de registro, puede desplegar varias configuraciones de registro de forma consistente en hosts locales y remotos. Puede configurar un host RHEL como servidor para recopilar registros de muchos sistemas cliente.

rhel-system-roles-sap totalmente compatible

El paquete rhel-system-roles-sap, que anteriormente estaba disponible como una Muestra de Tecnología, es ahora totalmente compatible. Proporciona funciones del sistema Red Hat Enterprise Linux (RHEL) para SAP, que pueden utilizarse para automatizar la configuración de un sistema RHEL para ejecutar cargas de trabajo SAP. Estos roles reducen en gran medida el tiempo de configuración de un sistema para ejecutar cargas de trabajo de SAP, aplicando automáticamente los ajustes óptimos que se basan en las mejores prácticas descritas en las notas pertinentes de SAP. El acceso está limitado a las ofertas de RHEL for SAP Solutions. Póngase en contacto con el Servicio de Atención al Cliente de Red Hat si necesita ayuda con su suscripción.

El rol de sistema RHEL de métricas ya está disponible para Ansible.

Con la métrica RHEL System Role, puede configurar, para los hosts locales y remotos:

rhel-system-roles-sap actualizado

Los paquetes rhel-system-roles-sap han sido actualizados a la versión 2.0.0, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

La migración de una máquina virtual a un host con una configuración TSC incompatible ahora falla más rápido

Anteriormente, la migración de una máquina virtual a un host con una configuración de contador de tiempo (TSC) incompatible fallaba al final del proceso. Con esta actualización, al intentar dicha migración se genera un error antes de que se inicie el proceso de migración.

Soporte de virtualización para los procesadores AMD EPYC de segunda generación

Con esta actualización, la virtualización en RHEL 8 añade soporte para los procesadores AMD EPYC de segunda generación, también conocidos como EPYC Rome. Como resultado, las máquinas virtuales alojadas en RHEL 8 ahora pueden utilizar el modelo de CPU EPYC-Rome y utilizar las nuevas características que los procesadores proporcionan.

Nuevo comando: virsh iothreadset

Esta actualización introduce el comando virsh iothreadset, que puede utilizarse para configurar el sondeo dinámico de IOThread. Esto hace posible configurar máquinas virtuales con latencias más bajas para cargas de trabajo de E/S intensivas a expensas de un mayor consumo de CPU para el IOThread. Para las opciones específicas, consulte la página man de virsh.

KVM admite ahora UMIP en los procesadores Intel Core de 10ª generación

Con esta actualización, la función de prevención de instrucciones en modo usuario (UMIP) es ahora compatible con KVM para los hosts que se ejecutan en procesadores Intel Core de 10ª generación, también conocidos como servidores Ice Lake. La función UMIP emite una excepción de protección general si ciertas instrucciones, como sgdt, sidt, sldt, smsw y str, se ejecutan cuando el nivel de privilegio actual (CPL) es mayor que 0. Como resultado, UMIP garantiza la seguridad del sistema al impedir que las aplicaciones no autorizadas accedan a ciertas configuraciones de todo el sistema que pueden utilizarse para iniciar ataques de escalada de privilegios.

La biblioteca libvirt ahora soporta la asignación de ancho de banda de memoria

libvirt ahora soporta la Asignación de Ancho de Banda de Memoria (MBA). Con MBA, puede asignar partes del ancho de banda de la memoria del host en hilos de vCPU utilizando el elemento <memorytune> en la sección <cputune>.

Las máquinas virtuales de RHEL 6 ahora soportan el tipo de máquina Q35

Las máquinas virtuales (VM) alojadas en RHEL 8 que utilizan RHEL 6 como sistema operativo invitado ahora pueden utilizar Q35, un tipo de máquina más moderno basado en PCI Express. Esto proporciona una variedad de mejoras en las características y el rendimiento de los dispositivos virtuales, y garantiza que una gama más amplia de dispositivos modernos sean compatibles con las VM de RHEL 6.

Todos los eventos registrados de QEMU tienen ahora una marca de tiempo. Como resultado, los usuarios pueden solucionar más fácilmente sus máquinas virtuales utilizando los registros guardados en el directorio /var/log/libvirt/qemu/.

Los registros de QEMU ahora incluyen marcas de tiempo para los eventos del servidor de especias

El dispositivo bochs-display es ahora compatible

RHEL 8.3 y posteriores introducen el dispositivo de visualización Bochs, que es más seguro que el dispositivo stdvga utilizado actualmente. Tenga en cuenta que todas las máquinas virtuales (VM) compatibles con bochs-display lo utilizarán por defecto. Esto incluye principalmente las VMs que utilizan la interfaz UEFI.

Protección MDS optimizada para máquinas virtuales

Con esta actualización, un host RHEL 8 puede informar a sus máquinas virtuales (VM) si son vulnerables al muestreo de datos microarquitectónicos (MDS). Las máquinas virtuales que no son vulnerables no utilizan medidas contra el MDS, lo que mejora su rendimiento.

Ahora es posible crear imágenes de disco QCOW2 en RBD

Con esta actualización, es posible crear imágenes de disco QCOW2 en el almacenamiento RADOS Block Device (RBD). Como resultado, las máquinas virtuales pueden utilizar servidores RBD para sus back ends de almacenamiento con imágenes QCOW2.

El número máximo de dispositivos VFIO soportados ha aumentado a 64

Con esta actualización, puede adjuntar hasta 64 dispositivos PCI que utilizan VFIO a una sola máquina virtual en un host RHEL 8. Esta cifra es superior a la de 32 de RHEL 8.2 y anteriores.

los comandosdiscard y write-zeroes están ahora soportados en QEMU/KVM

Con esta actualización, los comandos de descarte y escritura de ceros para virtio-blk son ahora compatibles con QEMU/KVM. Como resultado, las máquinas virtuales pueden utilizar el dispositivo virtio-blk para descartar los sectores no utilizados de un SSD, llenar los sectores con ceros cuando se vacían, o ambos. Esto puede utilizarse para aumentar el rendimiento del SSD o para garantizar que una unidad se borre de forma segura.

RHEL 8 ahora es compatible con IBM POWER 9 XIVE

Esta actualización introduce en RHEL 8 la compatibilidad con la función External Interrupt Virtualization Engine (XIVE) de IBM POWER9. Como resultado, las máquinas virtuales (VM) que se ejecutan en un hipervisor RHEL 8 en un sistema IBM POWER 9 pueden utilizar XIVE, lo que mejora el rendimiento de las VM de E/S intensiva.

Compatibilidad del Grupo de Control v2 con las máquinas virtuales

Con esta actualización, la suite libvirt soporta grupos de control v2. Como resultado, las máquinas virtuales alojadas en RHEL 8 pueden aprovechar las capacidades de control de recursos del grupo de control v2.

Las IPI paravirtualizadas son ahora compatibles con las máquinas virtuales de Windows

Con esta actualización, se ha añadido el indicador hv_ipi a las iluminaciones de hipervisor compatibles con las máquinas virtuales (VM) de Windows. Esto permite que las interrupciones entre procesadores (IPI) se envíen a través de una hiperllamada. Como resultado, las IPIs pueden realizarse más rápidamente en las VMs que ejecutan un SO Windows.

Ahora es posible migrar máquinas virtuales con la caché de disco activada

Esta actualización hace que el hipervisor KVM de RHEL 8 sea compatible con la migración en vivo de la caché de disco. Como resultado, ahora es posible migrar en vivo máquinas virtuales con la caché de disco habilitada.

las interfaces macvtap ahora pueden ser utilizadas por las máquinas virtuales en sesiones no privilegiadas

Ahora es posible que las máquinas virtuales (VM) utilicen una interfaz macvtap previamente creada por un proceso con privilegios. En particular, esto permite que las máquinas virtuales iniciadas por la sesión de usuario sin privilegios de libvirtd utilicen una interfaz macvtap.

Las máquinas virtuales ya pueden utilizar las características de los procesadores Intel Core de 10ª generación

Los nombres de los modelos de CPU Icelake-Server e Icelake-Client están ahora disponibles para las máquinas virtuales (VMs). En los hosts con procesadores Intel Core de 10ª generación, el uso de Icelake-Server o Icelake-Client como tipo de CPU en la configuración XML de una VM hace que las nuevas características de estas CPU estén expuestas a la VM.

QEMU ahora soporta el cifrado LUKS

Con esta actualización, es posible crear discos virtuales utilizando el cifrado de Linux Unified Key Setup (LUKS). Puede cifrar los discos al crear el volumen de almacenamiento incluyendo el campo <encryption> en la configuración XML de la máquina virtual (VM). También puede hacer que el disco virtual cifrado LUKS sea completamente transparente para la VM incluyendo el campo <encryption> en la definición del dominio del disco en el archivo de configuración XML.

Registros mejorados para nbdkit

El registro del servicio nbdkit ha sido modificado para ser menos verboso. Como resultado, nbdkit registra sólo los mensajes potencialmente importantes, y los registros creados durante las conversiones virt-v2v son más cortos y fáciles de analizar.

Mejora de la coherencia de las etiquetas de seguridad y los permisos de SELinux de las máquinas virtuales

Con esta actualización, el servicio libvirt puede registrar las etiquetas de seguridad SELinux y los permisos asociados a los archivos, y restaurar las etiquetas después de modificar los archivos. Como resultado, por ejemplo, el uso de utilidades libguestfs para modificar una imagen de disco de máquina virtual (VM) propiedad de un usuario específico ya no cambia el propietario de la imagen a root.

QEMU utiliza ahora la biblioteca gcrypt para los cifrados XTS

Con esta actualización, el emulador QEMU ha sido cambiado para utilizar la implementación del modo de cifrado XTS proporcionada por la biblioteca gcrypt. Esto mejora el rendimiento de E/S de las máquinas virtuales cuyo almacenamiento anfitrión utiliza el controlador de cifrado luks nativo de QEMU.

Los controladores de Windows Virtio ahora se pueden actualizar mediante Windows Updates

Con esta actualización, se inicia por defecto una nueva cadena SMBIOS estándar cuando se inicia QEMU. Los parámetros proporcionados en los campos de SMBIOS permiten generar IDs para el hardware virtual que se ejecuta en la máquina virtual(VM). Como resultado, Windows Update puede identificar el hardware virtual y el tipo de máquina del hipervisor RHEL, y actualizar los controladores de Virtio en las VM que ejecutan Windows 10 , Windows Server 2016 y Windows Server 2019 .

Nuevo comando: virsh guestinfo

El comando virsh guestinfo ha sido introducido en RHEL 8.3. Esto hace posible reportar los siguientes tipos de información sobre una máquina virtual (VM):

Las entradas VNNI para BFLOAT16 son ahora compatibles con KVM

Con esta actualización, las instrucciones de red neuronal vectorial (VNNI) que admiten entradas BFLOAT16, también conocidas como instrucciones AVX512_BF16, son ahora compatibles con KVM para los hosts que se ejecutan en los procesadores escalables Intel Xeon de tercera generación, también conocidos como Cooper Lake. Como resultado, el software invitado puede ahora utilizar las instrucciones AVX512_BF16 dentro de las máquinas virtuales, habilitándolas en la configuración de la CPU virtual.

Nuevo comando: virsh pool-capabilities

RHEL 8.3 introduce la opción del comando virsh pool-capabilities. Este comando muestra información que puede ser utilizada para crear pools de almacenamiento, así como volúmenes de almacenamiento dentro de cada pool, en su host. Esto incluye:

Compatibilidad con CPUID.1F en máquinas virtuales con procesadores Intel Xeon Platinum serie 9200

Con esta actualización, las máquinas virtuales alojadas en RHEL 8 pueden configurarse con una topología de CPU virtual de múltiples troqueles, utilizando la función de hoja de Enumeración de Topología Extendida (CPUID.1F). Esta característica es soportada por los procesadores Intel Xeon Platinum de la serie 9200, anteriormente conocidos como Cascade Lake. Como resultado, ahora es posible en los hosts que utilizan procesadores Intel Xeon Platinum serie 9200 crear una topología vCPU que refleje la topología de la CPU física del host.

Las máquinas virtuales ya pueden utilizar las funciones de los procesadores escalables Intel Xeon de tercera generación

El nombre del modelo de CPU Cooperlake está ahora disponible para las máquinas virtuales (VM). El uso de Cooperlake como tipo de CPU en la configuración XML de una VM hace que las nuevas características de los procesadores escalables Intel Xeon de tercera generación estén expuestas a la VM, si el host utiliza esta CPU.

La memoria persistente Intel Optane ahora es compatible con KVM

Con esta actualización, las máquinas virtuales alojadas en RHEL 8 pueden beneficiarse de la tecnología de memoria persistente Intel Optane, anteriormente conocida como Intel Crystal Ridge. Los dispositivos de almacenamiento de memoria persistente Intel Optane proporcionan una tecnología de memoria persistente de clase de centro de datos, que puede aumentar significativamente el rendimiento de las transacciones.

Las máquinas virtuales ahora pueden utilizar Intel Processor Trace

Con esta actualización, las máquinas virtuales (VM) alojadas en RHEL 8 pueden utilizar la función Intel Processor Trace (PT). Cuando su anfitrión utiliza una CPU que soporta Intel PT, puede utilizar un software especializado de Intel para recoger una variedad de métricas sobre el rendimiento de la CPU de su VM. Tenga en cuenta que esto también requiere habilitar la función intel-pt en la configuración XML de la VM.

Ahora se pueden asignar dispositivos DASD a máquinas virtuales en IBM Z

Los dispositivos de almacenamiento de acceso directo (DASD) proporcionan una serie de características de almacenamiento específicas. Utilizando la función vfio-ccw, puede asignar DASDs como dispositivos mediados a sus máquinas virtuales (VMs) en hosts IBM Z. Esto, por ejemplo, hace posible que la VM acceda a un conjunto de datos de z/OS, o que comparta los DASDs asignados con una máquina z/OS.

Soporte de IBM Secure Execution para IBM Z

Cuando utilice hardware IBM Z para ejecutar su host RHEL 8, puede mejorar la seguridad de sus máquinas virtuales (VM) configurando IBM Secure Execution para las VM. IBM Secure Execution, también conocido como Virtualización Protegida, impide que el sistema anfitrión acceda al estado y al contenido de la memoria de una VM.

cloud-utils-growpart rebasado a 0.31

El paquete cloud-utils-growpart ha sido actualizado a la versión 0.31, que proporciona múltiples correcciones de errores y mejoras. Los cambios más destacados son:

la imagendel contenedorskopeo ya está disponible

La imagen de contenedor registry.redhat.io/rhel8/skopeo es una implementación en contenedor del paquete skopeo. La herramienta skopeo es una utilidad de línea de comandos que realiza varias operaciones en imágenes de contenedores y repositorios de imágenes. Esta imagen de contenedor le permite inspeccionar imágenes de contenedor en un registro, eliminar una imagen de contenedor de un registro y copiar imágenes de contenedor de un registro de contenedor no autenticado a otro. Para extraer la imagen de contenedor registry.redhat.io/rhel8/skopeo, necesita una suscripción activa a Red Hat Enterprise Linux.

la imagen del contenedorbuildah ya está disponible

La imagen de contenedor registry.redhat.io/rhel8/buildah es una implementación en contenedor del paquete buildah. La herramienta buildah facilita la construcción de imágenes de contenedores OCI. Esta imagen de contenedor le permite construir imágenes de contenedor sin necesidad de instalar el paquete buildah en su sistema. El caso de uso no cubre la ejecución de esta imagen en modo sin raíz como usuario no root. Para obtener la imagen de contenedor registry.redhat.io/rhel8/buildah, necesita una suscripción activa a Red Hat Enterprise Linux.

Ya está disponible la API RESTful de Podman v2.0

La nueva API de Podman 2.0 basada en REST sustituye a la antigua API remota basada en la biblioteca varlink. La nueva API funciona tanto en un entorno rootful como en uno sin root y proporciona una capa de compatibilidad con Docker.

La instalación de Podman no requiere container-selinux

Con esta mejora, la instalación del paquete container-selinux es ahora opcional durante la construcción del contenedor. Como resultado, Podman tiene menos dependencias de otros paquetes.

La configuración inicial de RHEL 8 ahora funciona correctamente a través de SSH

Anteriormente, la interfaz de configuración inicial de RHEL 8 no se mostraba cuando se iniciaba la sesión en el sistema mediante SSH. Como consecuencia, era imposible realizar la configuración inicial en una máquina RHEL 8 gestionada mediante SSH. Este problema se ha solucionado, y la configuración inicial de RHEL 8 ahora funciona correctamente cuando se realiza a través de SSH.

La instalación falló al utilizar el comando reboot --kexec

Anteriormente, la instalación de RHEL 8 fallaba cuando se utilizaba un archivo Kickstart que contenía el comando reboot --kexec.

America/New York zona horaria ahora se puede establecer correctamente

Anteriormente, el proceso de instalación interactiva de Anaconda no permitía a los usuarios establecer la zona horaria America/New York cuando se utilizaba un archivo kickstart. Con esta actualización, los usuarios pueden ahora establecer America/New York como zona horaria preferida en el instalador interactivo si no se especifica una zona horaria en el archivo kickstart.

Los contextos de SELinux ahora se establecen correctamente

Anteriormente, cuando SELinux estaba en modo de aplicación, los contextos incorrectos de SELinux en algunas carpetas y archivos daban lugar a denegaciones inesperadas del CVA al intentar acceder a estos archivos después de la instalación.

El particionamiento automático crea ahora una partición /boot válida

Anteriormente, cuando se instalaba RHEL en un sistema que utilizaba el particionamiento automático o un archivo kickstart con particiones preconfiguradas, el instalador creaba un esquema de particionamiento que podía contener una partición /boot no válida. En consecuencia, el proceso de instalación automática terminaba prematuramente porque fallaba la verificación del esquema de particionamiento. Con esta actualización, Anaconda crea un esquema de particionamiento que contiene una partición /boot válida. Como resultado, la instalación automática se completa como se esperaba.

La instalación de la interfaz gráfica de usuario utilizando la imagen ISO del DVD binario ahora se completa con éxito sin el registro de la CDN

Anteriormente, cuando se realizaba una instalación GUI utilizando el archivo de imagen ISO de DVD binario, una condición de carrera en el instalador impedía que la instalación procediera hasta que se registrara el sistema utilizando la función Conectar con Red Hat.

los dispositivos iSCSI o FCoE creados en Kickstart y utilizados en el comando ignoredisk --only-use ya no detienen el proceso de instalación

Anteriormente, cuando los dispositivos iSCSI o FCoE creados en Kickstart se utilizaban en el comando ignoredisk --only-use, el programa de instalación fallaba con un error similar a Disk \ "disk/by-id/scsi-360a9800042566643352b476d674a774a" dado en el comando ignoredisk no existe. Esto detuvo el proceso de instalación.

El registro del sistema usando CDN falló con el mensaje de error Name or service not known

Al intentar registrar un sistema mediante la red de entrega de contenidos (CDN), el proceso de registro falló con el mensaje de error Name or service not known.

dnf-automatic ahora actualiza sólo los paquetes con firmas GPG correctas

Anteriormente, el archivo de configuración de dnf-automatic no comprobaba las firmas GPG de los paquetes descargados antes de realizar una actualización. Como consecuencia, las actualizaciones no firmadas o firmadas por una clave que no se importaba podían ser instaladas por dnf-automatic aunque la configuración del repositorio requiriera la comprobación de la firma GPG(gpgcheck=1). Con esta actualización, el problema se ha solucionado, y dnf-automatic comprueba las firmas GPG de los paquetes descargados antes de realizar la actualización. Como resultado, sólo se instalan las actualizaciones con firmas GPG correctas desde los repositorios que requieren la comprobación de firmas GPG.

La coma final ya no provoca la eliminación de entradas en una opción de tipo apéndice

Anteriormente, añadir una coma final (una entrada vacía al final de la lista) a una opción de tipo append (por ejemplo, exclude, excludepkgs, includepkgs) hacía que se eliminaran todas las entradas de la opción. Además, añadir dos comas (una entrada vacía) hacía que sólo se utilizaran las entradas que iban después de las comas.

La disposición del disco ReaR ya no incluye entradas para los dispositivos iSCSI y sistemas de archivos de Rancher 2 Longhorn

Esta actualización elimina las entradas para los dispositivos iSCSI de Rancher 2 Longhorn y los sistemas de archivos de la disposición de discos creada por ReaR.

La creación de imágenes de rescate con un archivo de más de 4 GB está ahora habilitada en IBM POWER, little endian

Anteriormente, la utilidad ReaR no podía crear imágenes de rescate que contuvieran archivos de más de 4 GB en IBM POWER, arquitectura little endian. Con esta actualización, el problema se ha solucionado y ahora es posible crear una imagen de rescate con un archivo de más de 4 GB en IBM POWER, little endian.

SELinux ya no impide que systemd-journal-gatewayd llame a newfstat() en los archivos /dev/shm/ utilizados por corosync

Anteriormente, la política de SELinux no contenía una regla que permitiera al demonio systemd-journal-gatewayd acceder a los archivos creados por el servicio corosync. Como consecuencia, SELinux denegaba a systemd-journal-gatewayd la llamada a la función newfstat() en los archivos de memoria compartida creados por corosync. Con esta actualización, SELinux ya no impide que systemd-journal-gatewayd llame a newfstat () en los archivos de memoria compartida creados por corosync.

Libreswan ahora funciona con seccomp=enabled en todas las configuraciones

Antes de esta actualización, el conjunto de llamadas al sistema permitidas en la implementación de soporte de Libreswan SECCOMP no coincidía con el nuevo uso de las bibliotecas RHEL. En consecuencia, cuando SECCOMP estaba habilitado en el archivo ipsec.conf, el filtrado de llamadas al sistema rechazaba incluso las llamadas al sistema necesarias para el correcto funcionamiento del demonio pluto; el demonio era eliminado y el servicio ipsec se reiniciaba. Con esta actualización, todas las nuevas llamadas al sistema requeridas han sido permitidas, y Libreswan ahora funciona con la opción seccomp=enabled correctamente.

SELinux ya no impide que auditd detenga o apague el sistema

Anteriormente, la política de SELinux no contenía una regla que permitiera al demonio de auditoría iniciar una unidad systemd power_unit_file_t. En consecuencia, auditd no podía detener o apagar el sistema incluso cuando estaba configurado para hacerlo en casos como la falta de espacio en una partición de disco de registro.

IPTABLES_SAVE_ON_STOP ahora funciona correctamente

Anteriormente, la función IPTABLES_SAVE_ON_STOP del servicio iptables no funcionaba porque los archivos con contenido de tablas IP guardadas recibían un contexto SELinux incorrecto. Esto impedía que el script de iptables cambiara los permisos, y posteriormente el script no podía guardar los cambios. Esta actualización define un contexto adecuado para los archivos iptables.save e ip6tables.save, y crea una regla de transición de nombre de archivo. Como consecuencia, la función IPTABLES_SAVE_ON_STOP del servicio iptables funciona correctamente.

Las bases de datos NSCD pueden ahora utilizar diferentes modos

Los dominios en el atributo nsswitch_domain tienen acceso a los servicios de Name Service Cache Daemon (NSCD). Cada base de datos NSCD se configura en el archivo nscd.conf, y la propiedad shared determina si la base de datos utiliza el modo de memoria compartida o de socket. Anteriormente, todas las bases de datos NSCD tenían que utilizar el mismo modo de acceso, dependiendo del valor booleano nscd_use_shm. Ahora, el uso del socket de flujo Unix está siempre permitido, y por lo tanto diferentes bases de datos NSCD pueden utilizar diferentes modos.

La utilidad oscap-ssh ahora funciona correctamente al escanear un sistema remoto con --sudo

Cuando se realiza un análisis del Protocolo de Automatización de Contenidos de Seguridad (SCAP) de un sistema remoto utilizando la herramienta oscap-ssh con la opción --sudo, la herramienta oscap del sistema remoto guarda los archivos de resultados del análisis y los archivos de informe en un directorio temporal como usuario root. Anteriormente, si se cambiaba la configuración de umask en la máquina remota, oscap-ssh podía no tener acceso a estos archivos. Esta actualización soluciona el problema, y como resultado, oscap guarda los archivos como el usuario de destino, y oscap-ssh accede a los archivos normalmente.

OpenSCAP ahora maneja correctamente los sistemas de archivos remotos

Anteriormente, OpenSCAP no detectaba de forma fiable los sistemas de archivos remotos si su especificación de montaje no empezaba con dos barras. Como consecuencia, OpenSCAP manejaba algunos sistemas de archivos basados en la red como locales. Con esta actualización, OpenSCAP identifica los sistemas de archivos utilizando el tipo de sistema de archivos en lugar de la especificación de montaje. Como resultado, OpenSCAP ahora maneja correctamente los sistemas de archivos remotos.

OpenSCAP ya no elimina las líneas en blanco de las cadenas multilíneas YAML

Anteriormente, OpenSCAP eliminaba las líneas en blanco de las cadenas multilínea YAML dentro de las correcciones de Ansible generadas a partir de un flujo de datos. Esto afectaba a las correcciones de Ansible y hacía que la utilidad openscap fallara en las comprobaciones correspondientes de Open Vulnerability and Assessment Language (OVAL), produciendo resultados falsos positivos. El problema se ha solucionado y, como resultado, openscap ya no elimina las líneas en blanco de las cadenas multilínea YAML.

OpenSCAP ahora puede escanear sistemas con un gran número de archivos sin quedarse sin memoria

Anteriormente, al escanear sistemas con poca memoria RAM y un gran número de archivos, el escáner OpenSCAP a veces hacía que el sistema se quedara sin memoria. Con esta actualización, se ha mejorado la gestión de la memoria del escáner OpenSCAP. Como resultado, el escáner ya no se queda sin memoria en sistemas con poca RAM cuando se escanea un gran número de archivos, por ejemplo, grupos de paquetes Servidor con GUI y Estación de Trabajo.

config.enabled ahora controla las declaraciones correctamente

Anteriormente, el rsyslog evaluaba incorrectamente la directiva config.enabled durante el procesamiento de la configuración de una sentencia. Como consecuencia, los errores de parámetro no conocido se mostraban para cada sentencia excepto para la de include(). Con esta actualización, la configuración se procesa para todas las sentencias por igual. Como resultado, config.enabled ahora desactiva o activa correctamente las sentencias sin mostrar ningún error.

fapolicyd ya no impide las actualizaciones de RHEL

Cuando una actualización sustituye el binario de una aplicación en ejecución, el kernel modifica la ruta del binario de la aplicación en la memoria añadiendo el sufijo " (eliminado)". Anteriormente, el demonio de la política de acceso a archivos fapolicyd trataba dichas aplicaciones como no confiables, y les impedía abrir y ejecutar cualquier otro archivo. Como consecuencia, el sistema a veces no podía arrancar después de aplicar las actualizaciones.

El perfil e8 se puede utilizar ahora para remediar los sistemas RHEL 8 con Server con GUI

El uso del complemento OpenSCAP Anaconda para endurecer el sistema en el grupo de paquetes Server With GUI con perfiles que seleccionan reglas del grupo Verify Integrity with RPM ya no requiere una cantidad extrema de RAM en el sistema. La causa de este problema era el escáner OpenSCAP. Para obtener más detalles, consulte El análisis de un gran número de archivos con OpenSCAP hace que los sistemas se queden sin memoria. Como consecuencia, el endurecimiento del sistema mediante el perfil RHEL 8 Essential Eight (e8) ahora también funciona con Server With GUI.

La carga automática de los módulos de extensión de iptables por el módulo nft_compat ya no se cuelga

Anteriormente, cuando el módulo nft_compat cargaba un módulo de extensión mientras ocurría una operación en espacios de nombres de red(netns) en paralelo, podía producirse una colisión de bloqueos si esa extensión registraba un subsistema pernet durante la inicialización. Como consecuencia, el comando modprobe llamado por el kernel se colgaba. Esto también podía ser causado por otros servicios, como libvirtd, que también ejecutan comandos iptables. Este problema se ha solucionado. Como resultado, la carga de módulos de extensión de iptables mediante el módulo nft_compat ya no se cuelga.

El servicio firewalld ahora elimina los ipsets cuando el servicio se detiene

Anteriormente, al detener el servicio firewalld no se eliminaban los ipsets. Esta actualización soluciona el problema. Como resultado, los ipsets ya no quedan en el sistema después de que firewalld se detenga.

firewalld ya no retiene las entradas de ipset tras el apagado

Anteriormente, el cierre de firewalld no eliminaba las entradas ipset. En consecuencia, las entradas ipset permanecían activas en el kernel incluso después de detener el servicio firewalld. Con esta corrección, el cierre de firewalld elimina las entradas de ipset como se esperaba.

firewalld ahora restaura las entradas ipset después de la recarga

Anteriormente, firewalld no conservaba las entradas de ipset en tiempo de ejecución después de la recarga. En consecuencia, los usuarios tenían que volver a añadir manualmente las entradas que faltaban. Con esta actualización, firewalld ha sido modificado para restaurar las entradas ipset después de la recarga.

los serviciosnftables y firewalld son ahora mutuamente excluyentes

Anteriormente, era posible habilitar los servicios nftables y firewalld al mismo tiempo. Como consecuencia, nftables anulaba las reglas de firewalld. Con esta actualización, los servicios nftables y firewalld son ahora mutuamente excluyentes, por lo que no se pueden habilitar al mismo tiempo.

El script huge_page_setup_helper.py ahora funciona correctamente

Se ha eliminado accidentalmente un parche que actualizaba el script huge_page_setup_helper . py para Python 3. En consecuencia, tras ejecutar huge_page_setup_helper.py, aparecía el siguiente mensaje de error:

Los scripts bcc ahora compilan con éxito un módulo BPF

Durante la compilación del código de script para crear un módulo Berkeley Packet Filter (BPF), el kit de herramientas bcc utilizaba las cabeceras del kernel para la definición del tipo de datos. Algunas cabeceras del kernel necesitaban que se definiera la macro KBUILD_MODNAME. En consecuencia, los scripts de bcc que no añadían KBUILD_MODNAME, podían fallar al compilar un módulo BPF en varias arquitecturas de CPU. Los siguientes scripts bcc se veían afectados:

bcc-tools y bpftrace funcionan correctamente en IBM Z

Anteriormente, un backport de características introdujo la opción del kernel ARCH_HAS_NON_OVERLAPPING_ADDRESS_SPACE. Sin embargo, el paquete bcc-tools y el paquete de lenguaje de rastreo bpftrace para arquitecturas IBM Z no tenían el soporte adecuado para esta opción. En consecuencia, la llamada al sistema bpf() fallaba con la excepción de argumento inválido y bpftrace fallaba con un error que indicaba Error loading program al intentar cargar el programa BPF. Con esta actualización, la opción ARCH_HAS_NON_OVERLAPPING_ADDRESS_SPACE se ha eliminado. Como resultado, el problema ya no aparece en el escenario descrito.

El proceso de arranque ya no falla por falta de entropía

Anteriormente, el proceso de arranque fallaba por falta de entropía. Ahora se utiliza un mecanismo mejor para permitir que el kernel reúna entropía al principio del proceso de arranque, que no depende de ninguna interrupción específica del hardware. Esta actualización soluciona el problema asegurando la disponibilidad de suficiente entropía para asegurar la generación aleatoria en el arranque temprano. Como resultado, la corrección evita el tiempo de espera del kickstart o los arranques lentos y el proceso de arranque funciona como se espera.

Los reinicios repetidos usando kexec ahora funcionan como se espera

Anteriormente, durante el reinicio del kernel en la plataforma Amazon EC2 Nitro, no se llamaba al módulo remove(rmmod) durante la llamada shutdown() de la ruta de ejecución del kernel. En consecuencia, los reinicios repetidos del kernel utilizando la llamada al sistema kexec provocaban un fallo. Con esta actualización, el problema se ha solucionado añadiendo el manejador PCI shutdown () que permite la ejecución segura del kernel. Como resultado, los reinicios repetidos utilizando kexec en las plataformas Amazon EC2 Nitro ya no fallan.

Los reinicios repetidos utilizando la memoria vPMEM como objetivo de volcado ahora funcionan como se espera

Anteriormente, el uso de espacios de nombres de memoria virtual persistente (vPMEM) como destino de volcado para kdump o fadump hacía que el módulo papr_scm desmapeara y reasignara la memoria respaldada por vPMEM y volviera a añadir la memoria a su mapa lineal.

Ya no falla el intento de añadir el puerto NIC del controlador ICE a una interfaz maestra de enlace en modo 5

Anteriormente, al intentar añadir el puerto NIC del controlador ICE a una interfaz maestra de enlace en modo 5(balance-tlb) se producía un fallo con un error Maestro 'bond0', Esclavo 'ens1f0': Error: Enslave failed. En consecuencia, se producía un fallo intermitente al añadir el puerto NIC a la interfaz maestra de enlace. Esta actualización soluciona el problema y la adición de la interfaz ya no falla.

Cuando se utiliza un sistema de archivos GFS2 con el agente del sistema de archivos, la opción fast_stop ahora es por defecto no

Anteriormente, cuando se utilizaba un sistema de archivos GFS2 con el agente del sistema de archivos, la opción fast_stop tenía el valor predeterminado de sí. Este valor podía dar lugar a eventos de valla innecesarios debido al tiempo que puede tardar un sistema de archivos GFS2 en desmontarse. Con esta actualización, esta opción pasa a ser no por defecto. Para todos los demás sistemas de archivos, sigue siendo por defecto "sí".

los agentesfence_compute y fence_evacuate ahora interpretan la opción insegura de una manera más estándar

Anteriormente, los agentes fence_compute y fence_evacuate funcionaban como si se especificara --insecure por defecto. Con esta actualización, los clientes que no utilicen certificados válidos para sus servicios de computación o evacuación deben establecer insecure=true y utilizar la opción --insecure cuando se ejecuten manualmente desde la CLI. Esto es coherente con el comportamiento de todos los demás agentes.

Consumo de CPU optimizado por libdb

Una actualización anterior de la base de datos libdb provocaba un consumo excesivo de la CPU en el hilo de goteo. Con esta actualización, se ha optimizado el uso de la CPU.

La gema did_you_mean de Ruby ya no contiene un archivo con licencia no comercial

Anteriormente, la gema did_you_mean disponible en el flujo del módulo ruby:2. 5 contenía un archivo con una licencia no comercial. Esta actualización elimina el archivo afectado.

nginx ahora puede cargar certificados de servidor desde tokens de seguridad de hardware a través del URI PKCS#11

La directiva ssl_certificate del servidor web nginx soporta la carga de certificados de servidor TLS desde tokens de seguridad de hardware directamente desde módulos PKCS#11. Anteriormente, era imposible cargar certificados de servidor desde tokens de seguridad de hardware a través del URI PKCS#11.

El cargador dinámico de glibc ya no falla al cargar una biblioteca compartida que utiliza DT_FILTER y tiene un constructor

Antes de esta actualización, un defecto en la implementación del cargador dinámico de objetos compartidos como filtros hacía que el cargador dinámico fallara al cargar una biblioteca compartida que utilizara un filtro y tuviera un constructor. Con esta versión, la implementación del cargador dinámico de filtros(DT_FILTER) ha sido corregida para manejar correctamente tales bibliotecas compartidas. Como resultado, el cargador dinámico ahora funciona como se espera en el escenario mencionado.

glibc ahora puede eliminar los pseudo-montajes de la lista getmntent()

El kernel incluye pseudo-entradas de automontaje en las tablas expuestas al espacio de usuario. En consecuencia, los programas que utilizan la API getmntent( ) ven tanto los montajes regulares como estos pseudo-montajes en la lista. Los pseudo-montajes no se corresponden con los montajes reales, ni incluyen información válida.

El patrón movv1qi ya no provoca errores de compilación en el código autovectorizado en IBM Z

Antes de esta actualización, se emitían instrucciones de carga erróneas para el patrón movv1qi. Como consecuencia, cuando la auto-vectorización estaba en efecto, podía ocurrir una mala compilación en los sistemas IBM Z. Esta actualización corrige el patrón movv1qi, y como resultado, el código se compila y ejecuta correctamente ahora.

PAPI_event_name_to_code() ahora funciona correctamente en múltiples hilos

Antes de esta actualización, el código interno de PAPI no manejaba correctamente la coordinación de hilos. Como consecuencia, cuando varios hilos utilizaban la operación PAPI_event_name_to_code(), se producía una condición de carrera y la operación fallaba. Esta actualización mejora el manejo de múltiples hilos en el código interno de PAPI. Como resultado, el código multihilo que utiliza la operación PAPI_event_name_to_code () ahora funciona correctamente.

Mejora del rendimiento de las funciones matemáticas de glibc en IBM Power Systems

Anteriormente, las funciones matemáticas de glibc realizaban actualizaciones de estado de punto flotante y llamadas al sistema innecesarias en IBM Power Systems, lo que afectaba negativamente al rendimiento. Esta actualización elimina la actualización innecesaria del estado de punto flotante, y mejora las implementaciones de: ceil(), ceilf(), fegetmode(), fesetmode(), fesetenv(), fegetexcept(), feenableexcept(), fedisablexcept(), fegetround() y fesetround(). Como resultado, se ha mejorado el rendimiento de la biblioteca matemática en IBM Power Systems.

Las llaves de protección de la memoria son ahora compatibles con IBM Power

En IBM Power Systems, las interfaces de la llave de protección de memoria pkey_set y pkey_get eran anteriormente funciones stub, y en consecuencia siempre fallaban. Esta actualización implementa las interfaces, y como resultado, la biblioteca GNU C(glibc) ahora soporta claves de protección de memoria en IBM Power Systems.

papi-testsuite y papi-devel instalan ahora el paquete papi-libs necesario

Anteriormente, los paquetes RPM papi-testsuite y papi-devel no declaraban una dependencia del paquete papi-libs correspondiente. En consecuencia, las pruebas no se ejecutaban y los desarrolladores no disponían de la versión necesaria de la biblioteca compartida papi para sus aplicaciones.

La instalación de los paquetes lldb para múltiples arquitecturas ya no provoca conflictos de archivos

Anteriormente, los paquetes lldb instalaban archivos dependientes de la arquitectura en ubicaciones independientes de la misma. Como consecuencia, la instalación de las versiones de 32 y 64 bits de los paquetes provocaba conflictos con los archivos. Esta actualización empaqueta los archivos en ubicaciones correctas dependientes de la arquitectura. Como resultado, la instalación de lldb en el escenario descrito se completa con éxito.

getaddrinfo ahora maneja correctamente un fallo de asignación de memoria

Anteriormente, después de un fallo de asignación de memoria, la función getaddrinfo de la biblioteca GNU C glibc no liberaba el contexto de resolución interno. Como consecuencia, getaddrinfo no era capaz de recargar el archivo /etc/resolv. conf durante el resto del tiempo de vida del hilo de llamada, lo que provocaba una posible fuga de memoria.

glibc evita ciertos fallos causados por el ordenamiento del resolver IFUNC

Anteriormente, la implementación de las bibliotecas librt y libpthread de la biblioteca GNU C glibc contenía los resolvedores de funciones indirectas (IFUNC) para las siguientes funciones: clock_gettime, clock_getcpuclockid, clock_nanosleep, clock_settime, vfork. En algunos casos, los resolvedores IFUNC podían ejecutarse antes de que las bibliotecas librt y libpthread fueran reubicadas. En consecuencia, las aplicaciones fallaban en el cargador dinámico de glibc durante el inicio temprano del programa.

Ya no se producen fallos de aserción durante pthread_create

Anteriormente, el cargador dinámico de glibc no retrocedía los cambios en el contador interno de ID del módulo de almacenamiento local de hilos (TLS). Como consecuencia, podía producirse un fallo de aserción en la función pthread_create después de que la función dlopen hubiera fallado en ciertos aspectos. Con esta corrección, el cargador dinámico de glibc actualiza el contador de ID del módulo TLS en un momento posterior, después de que ciertos fallos ya no puedan ocurrir. Como resultado, los fallos de aserción ya no ocurren.

glibc instala ahora las dependencias correctas para las aplicaciones de 32 bits que utilizan nss_db

Anteriormente, el paquete nss_db .x86_64 no declaraba dependencias del paquete nss_db.i686. Por lo tanto, la instalación automatizada no instalaba nss_db.i686 en el sistema, a pesar de tener un entorno de 32 bits glibc.i686 instalado. Como consecuencia, las aplicaciones de 32 bits que utilizaban nss_db no realizaban búsquedas precisas en la base de datos de usuarios, mientras que las aplicaciones de 64 bits en la misma configuración funcionaban correctamente.

información de localización deglibc actualizada con el idioma Odia

El nombre del estado indio anteriormente conocido como Orissa ha cambiado a Odisha, y el nombre de su idioma oficial ha cambiado de Oriya a Odia. Con esta actualización, la información de localización de glibc refleja el nuevo nombre del idioma.

Los subpaquetes de LLVM ahora instalan los archivos dependientes de arch en ubicaciones dependientes de arch

Anteriormente, los subpaquetes de LLVM instalaban archivos dependientes del arco en ubicaciones independientes del mismo. Esto provocaba conflictos al instalar versiones de 32 y 64 bits de LLVM. Con esta actualización, los archivos del paquete se instalan ahora correctamente en ubicaciones dependientes del arco, evitando conflictos de versión.

Las búsquedas de contraseñas y grupos ya no fallan en glibc

Anteriormente, el módulo nss_compat de la biblioteca glibc sobrescribía el estado errno con códigos de error incorrectos durante el procesamiento de las entradas de contraseñas y grupos. En consecuencia, las aplicaciones no redimensionaban los búferes como se esperaba, haciendo que las búsquedas de contraseñas y grupos fallaran. Esta actualización corrige el problema, y las búsquedas ahora se completan como se esperaba.

SSSD ya no descarga por defecto todas las reglas con carácter comodín

Anteriormente, la opción ldap_sudo_include_regexp se establecía incorrectamente como verdadera por defecto. Como consecuencia, cuando SSSD comenzaba a ejecutarse o después de actualizar las reglas de SSSD, SSSD descargaba todas las reglas que contenían un carácter comodín(*) en el atributo sudoHost. Esta actualización corrige el error, y la opción ldap_sudo_include_regexp está ahora correctamente establecida en false por defecto. Como resultado, el problema descrito ya no se produce.

krb5 ahora sólo solicita los tipos de encriptación permitidos

Anteriormente, los tipos de cifrado permitidos especificados en la variable permitted_enctypes del archivo /etc/krb5.conf no se aplicaban a los tipos de cifrado por defecto si los atributos default_tgs_enctypes o default_tkt_enctypes no estaban establecidos. En consecuencia, los clientes de Kerberos podían solicitar suites de cifrado obsoletas como RC4, lo que podía hacer que otros procesos fallaran. Con esta actualización, los tipos de cifrado especificados en la variable permitted_enctypes se aplican también a los tipos de cifrado por defecto, y sólo se solicitan los tipos de cifrado permitidos.

Los KDCs ahora aplican correctamente la política de duración de las contraseñas desde los backends LDAP

Anteriormente, los centros de distribución de Kerberos (KDC) que no eran de IPA no garantizaban la duración máxima de las contraseñas porque el backend LDAP de Kerberos aplicaba incorrectamente las políticas de contraseñas. Con esta actualización, el backend LDAP de Kerberos se ha corregido y los tiempos de vida de las contraseñas se comportan como se espera.

Envío de notificaciones de caducidad de contraseñas a los clientes de AD mediante SSSD

Anteriormente, los clientes de Active Directory (no IdM) que utilizaban SSSD no recibían avisos de caducidad de las contraseñas debido a un cambio reciente en la interfaz de SSSD para adquirir las credenciales de Kerberos.

El servidor de directorios ya no pierde memoria cuando se utilizan definiciones indirectas de COS

Anteriormente, después de procesar una definición de clase de servicio (COS) indirecta, Directory Server perdía memoria para cada operación de búsqueda que utilizaba una definición de COS indirecta. Con esta actualización, Directory Server libera todas las estructuras de COS internas asociadas a la entrada de la base de datos después de haberla procesado. Como resultado, el servidor ya no pierde memoria cuando utiliza definiciones de COS indirectas.

La adición de anulaciones de ID de usuarios de AD ahora funciona en la interfaz web de IdM

Anteriormente, la adición de anulaciones de ID de usuarios de Active Directory (AD) a grupos de gestión de identidades (IdM) en la vista de confianza predeterminada con el fin de conceder acceso a las funciones de gestión fallaba al utilizar la interfaz web de IdM. Esta actualización corrige el error. Como resultado, ahora puede utilizar tanto la interfaz web como la interfaz de línea de comandos (CLI) de IdM en este caso.

FreeRADIUS ya no genera certificados durante la instalación del paquete

Anteriormente, FreeRADIUS generaba certificados durante la instalación del paquete, lo que provocaba los siguientes problemas:

FreeRADIUS ahora genera parámetros Diffie-Hellman que cumplen con FIPS

Debido a los nuevos requisitos de FIPS que no permiten que openssl genere parámetros Diffie-Hellman (dh) a través de dhparam, la generación de parámetros dh se ha eliminado de los scripts de arranque de FreeRADIUS y el archivo, rfc3526-group-18-8192.dhparam, se incluye con los paquetes de FreeRADIUS para todos los sistemas, y así permite que FreeRADIUS se inicie en modo FIPS.

La actualización de Healthcheck ahora actualiza correctamente tanto ipa-healthcheck-core como ipa-healthcheck

Anteriormente, al introducir yum update healthcheck no se actualizaba el paquete ipa-healthcheck, sino que se sustituía por el paquete ipa-healthcheck-core. Como consecuencia, el comando ipa-healthcheck no funcionaba después de la actualización.

Los portátiles con GPUs Nvidia híbridas ya pueden reanudar su actividad desde la suspensión

Anteriormente, el controlador de gráficos nouveau a veces no podía encender las GPUs Nvidia híbridas en ciertos portátiles desde el modo de ahorro de energía. Como resultado, los portátiles no se reanudaban desde la suspensión.

La migración de máquinas virtuales con el modelo de CPU por defecto funciona ahora de forma más fiable

Anteriormente, si se creaba una máquina virtual (VM) sin un modelo de CPU específico, QEMU utilizaba un modelo por defecto que no era visible para el servicio libvirt. Como consecuencia, era posible migrar la VM a un host que no soportaba el modelo de CPU por defecto de la VM, lo que a veces provocaba cuelgues y un comportamiento incorrecto en el SO invitado tras la migración.

Notas sobre el soporte FIPS con Podman

El Estándar Federal de Procesamiento de Información (FIPS) requiere que se utilicen módulos certificados. Anteriormente, Podman instalaba correctamente los módulos certificados en los contenedores habilitando las banderas adecuadas en el arranque. Sin embargo, en esta versión, Podman no configura correctamente los ayudantes de aplicación adicionales que normalmente proporciona el sistema en forma de la política criptográfica de todo el sistema FIPS. Aunque la configuración de la política de cifrado de todo el sistema no es necesaria para los módulos certificados, mejora la capacidad de las aplicaciones para utilizar los módulos de cifrado de forma compatible. Para solucionar este problema, cambie su contenedor para ejecutar el comando update-crypto-policies --set FIPS antes de ejecutar cualquier otro código de aplicación. El comando update-crypto-policies --set FIPS ya no es necesario con esta corrección.

Activado el módulo xt_u32 Netfilter

El módulo xt_u32 Netfilter está ahora disponible en el rpm kernel-modules-extra. Este módulo ayuda en el reenvío de paquetes basado en los datos que son inaccesibles para otros filtros de paquetes basados en protocolos y por lo tanto facilita la migración manual a nftables. Sin embargo, el módulo xt_u32 Netfilter no está soportado por Red Hat.

nmstate está disponible como una muestra de tecnología

Nmstate es una API de red para hosts. Los paquetes nmstate, disponibles como Technology Preview, proporcionan una biblioteca y la utilidad de línea de comandos nmstatectl para gestionar la configuración de red de los hosts de forma declarativa. El estado de la red se describe mediante un esquema predefinido. Los informes sobre el estado actual y los cambios al estado deseado se ajustan al esquema.

AF_XDP está disponible como Muestra de Tecnología

El socketAddress Family eXpress Data Path(AF_XDP) está diseñado para el procesamiento de paquetes de alto rendimiento. Acompaña a XDP y garantiza una redirección eficaz de los paquetes seleccionados mediante programación a las aplicaciones del espacio de usuario para su posterior procesamiento.

XDP disponible como Muestra de Tecnología

La función eXpress Data Path (XDP), que está disponible como Technology Preview, ofrece un medio para adjuntar programas de Berkeley Packet Filter (eBPF) ampliados para el procesamiento de paquetes de alto rendimiento en un punto temprano de la ruta de datos de entrada del núcleo, lo que permite un análisis, filtrado y manipulación de paquetes programables y eficientes.

KTLS está disponible como avance tecnológico

En Red Hat Enterprise Linux 8, la Seguridad de la Capa de Transporte del Kernel (KTLS) se proporciona como una Muestra de Tecnología. KTLS maneja los registros TLS utilizando los algoritmos de cifrado o descifrado simétrico en el kernel para el cifrado AES-GCM. KTLS también proporciona la interfaz para descargar el cifrado de registros TLS a los controladores de interfaz de red (NIC) que soportan esta funcionalidad.

Funciones del XDP disponibles como Technology Preview

Red Hat proporciona el uso de las siguientes características de eXpress Data Path (XDP) como Technology Preview no soportada:

el móduloact_mpls está disponible como Muestra de Tecnología

El módulo act_mpls ya está disponible en el rpm kernel-modules-extra como Technology Preview. El módulo permite la aplicación de acciones de Conmutación de Etiquetas Multiprotocolo (MPLS) con filtros de Control de Tráfico (TC), por ejemplo, empujar y sacar entradas de la pila de etiquetas MPLS con filtros TC. El módulo también permite configurar de forma independiente los campos Etiqueta, Clase de tráfico, Fondo de pila y Tiempo de vida.

Multipath TCP ya está disponible como Technology Preview

Multipath TCP (MPTCP), una extensión de TCP, ya está disponible como Technology Preview. MPTCP mejora el uso de los recursos dentro de la red y la resistencia a los fallos de la misma. Por ejemplo, con Multipath TCP en el servidor RHEL, los smartphones con MPTCP v1 activado pueden conectarse a una aplicación que se ejecuta en el servidor y cambiar entre las redes Wi-Fi y celular sin interrumpir la conexión con el servidor.

El servicio systemd-resolved ya está disponible como Technology Preview

El servicio systemd-resolved proporciona resolución de nombres a las aplicaciones locales. El servicio implementa un resolvedor de stub DNS de caché y validación, un resolvedor de nombres Link-Local Multicast (LLMNR), y un resolvedor y respondedor de DNS Multicast.

La función de reinicio rápido de kexec está disponible como Technology Preview

La función de reinicio rápido de kexec sigue estando disponible como Technology Preview. El reinicio rápido de kexec acelera significativamente el proceso de arranque al permitir que el kernel arranque directamente en el segundo kernel sin pasar primero por el Sistema Básico de Entrada/Salida (BIOS). Para utilizar esta función:

eBPF disponible como Muestra de Tecnología

Extended Berkeley Packet Filter (eBPF) es una máquina virtual dentro del núcleo que permite la ejecución de código en el espacio del núcleo, en el entorno restringido de la caja de arena con acceso a un conjunto limitado de funciones.

El controlador igc está disponible como Technology Preview para RHEL 8

El controlador de LAN cableada Intel 2.5G Ethernet Linux de igc ya está disponible en todas las arquitecturas para RHEL 8 como Technology Preview. La utilidad ethtool también es compatible con las LAN cableadas igc.

NVMe/TCP está disponible como una Muestra de Tecnología

El acceso y la compartición del almacenamiento Nonvolatile Memory Express (NVMe) a través de redes TCP/IP (NVMe/TCP) y sus correspondientes módulos del núcleo nvme-tcp.ko y nvmet-tcp.ko se han añadido como Technology Preview.

El sistema de archivos DAX ya está disponible para ext4 y XFS como Technology Preview

En Red Hat Enterprise Linux 8, el sistema de archivos DAX está disponible como una Muestra de Tecnología. DAX proporciona un medio para que una aplicación mapee directamente la memoria persistente en su espacio de direcciones. Para usar DAX, un sistema debe tener alguna forma de memoria persistente disponible, usualmente en la forma de uno o más módulos de memoria dual en línea no volátil (NVDIMMs), y un sistema de archivos que soporte DAX debe ser creado en los NVDIMMs. Además, el sistema de archivos debe ser montado con la opción de montaje dax. Entonces, un mmap de un archivo en el sistema de archivos montado en dax resulta en un mapeo directo del almacenamiento en el espacio de direcciones de la aplicación.

OverlayFS

OverlayFS es un tipo de sistema de archivos de unión. Permite superponer un sistema de archivos sobre otro. Los cambios se registran en el sistema de archivos superior, mientras que el sistema de archivos inferior permanece sin modificar. Esto permite que varios usuarios compartan una imagen del sistema de archivos, como un contenedor o un DVD-ROM, donde la imagen base está en un medio de sólo lectura.

Stratis ya está disponible como Muestra de Tecnología

Stratis es un nuevo gestor de almacenamiento local. Proporciona sistemas de archivos gestionados sobre pools de almacenamiento con características adicionales para el usuario.

IdM soporta ahora la configuración de un servidor Samba en un miembro del dominio IdM como Technology Preview

Con esta actualización, ahora se puede configurar un servidor Samba en un miembro del dominio de Gestión de Identidades (IdM). La nueva utilidad ipa-client-samba proporcionada por el paquete del mismo nombre añade un principal de servicio Kerberos específico de Samba a IdM y prepara el cliente IdM. Por ejemplo, la utilidad crea el archivo /etc/samba/smb.conf con la configuración de mapeo de ID para el back end de mapeo de ID sss. Como resultado, los administradores pueden ahora configurar Samba en un miembro del dominio IdM.

La versión en modo local del comando de configuración del clúster de pcs está disponible como vista previa de la tecnología

Por defecto, el comando pcs cluster setup sincroniza automáticamente todos los archivos de configuración a los nodos del cluster. En Red Hat Enterprise Linux 8.3, el comando de configuración de cluster pcs proporciona la opción --corosync-conf como un avance tecnológico. Al especificar esta opción, el comando cambia al modo local. En este modo, pcs crea un archivo corosync .conf y lo guarda en un archivo especificado sólo en el nodo local, sin comunicarse con ningún otro nodo. Esto permite crear un archivo corosync.conf en un script y manejar ese archivo por medio del script.

Paquetes de Podman de Marcapasos disponibles como Muestra de Tecnología

Los paquetes de contenedores de Pacemaker ahora se ejecutan en la plataforma de contenedores podman, y la función de paquetes de contenedores está disponible como Technology Preview. Hay una excepción a que esta característica sea Technology Preview: Red Hat soporta completamente el uso de paquetes Pacemaker para Red Hat Openstack.

Heurística en corosync-qdevice disponible como Technology Preview

La heurística es un conjunto de comandos que se ejecutan localmente en el arranque, en el cambio de pertenencia al clúster, en la conexión exitosa a corosync-qnetd y, opcionalmente, de forma periódica. Cuando todos los comandos terminan con éxito a tiempo (su código de error de retorno es cero), la heurística ha pasado; de lo contrario, ha fallado. El resultado de la heurística se envía a corosync-qnetd, donde se utiliza en los cálculos para determinar qué partición debe tener quórum.

Nuevo agente de valla-heurística-ping

Como muestra de tecnología, Pacemaker soporta ahora el agente fence_heuristics_ping. Este agente pretende abrir una clase de agentes de vallas experimentales que no hacen vallas reales por sí mismos, sino que explotan el comportamiento de los niveles de vallas de una manera nueva.

La API JSON-RPC de gestión de identidades está disponible como Technology Preview

Hay una API disponible para la gestión de identidades (IdM). Para ver la API, IdM también proporciona un navegador de API como Technology Preview.

DNSSEC disponible como Technology Preview en IdM

Los servidores de gestión de identidades (IdM) con DNS integrado son ahora compatibles con las extensiones de seguridad de DNS (DNSSEC), un conjunto de extensiones de DNS que mejoran la seguridad del protocolo DNS. Las zonas DNS alojadas en los servidores IdM pueden firmarse automáticamente utilizando DNSSEC. Las claves criptográficas se generan y rotan automáticamente.

El Escritorio GNOME en ARM está disponible como Muestra de Tecnología

El Escritorio GNOME está ahora disponible como Muestra de Tecnología en la arquitectura ARM de 64 bits. Los usuarios que necesiten una sesión gráfica para configurar y gestionar sus servidores pueden ahora conectarse a una sesión gráfica remota que ejecute el Escritorio GNOME usando VNC.

GNOME para la arquitectura ARM de 64 bits disponible como Technology Preview

El entorno de escritorio GNOME ya está disponible para la arquitectura ARM de 64 bits como Technology Preview. Esto permite a los administradores configurar y gestionar servidores desde una interfaz gráfica de usuario (GUI) de forma remota, utilizando la sesión VNC.

El escritorio GNOME en IBM Z está disponible como Technology Preview

El escritorio GNOME, incluyendo el navegador web Firefox, está ahora disponible como Technology Preview en la arquitectura IBM Z. Ahora puede conectarse a una sesión gráfica remota que ejecute GNOME utilizando VNC para configurar y gestionar sus servidores IBM Z.

La consola remota VNC está disponible como Technology Preview para la arquitectura ARM de 64 bits

En la arquitectura ARM de 64 bits, la consola remota de Virtual Network Computing (VNC) está disponible como Technology Preview. Tenga en cuenta que el resto de la pila de gráficos no está actualmente verificada para la arquitectura ARM de 64 bits.

Gráficos Intel Tiger Lake disponibles como Technology Preview

Los gráficos Intel Tiger Lake UP3 y UP4 Xe ya están disponibles como Technology Preview.

El rol postfix de RHEL System Roles disponible como Technology Preview

Red Hat Enterprise Linux System Roles proporciona una interfaz de configuración para los subsistemas de Red Hat Enterprise Linux, que facilita la configuración del sistema mediante la inclusión de Ansible Roles. Esta interfaz permite gestionar las configuraciones del sistema en varias versiones de Red Hat Enterprise Linux, así como adoptar nuevas versiones principales.

La virtualización KVM se puede utilizar en las máquinas virtuales Hyper-V de RHEL 8

Como Technology Preview, la virtualización KVM anidada ahora puede utilizarse en el hipervisor Microsoft Hyper-V. Como resultado, puede crear máquinas virtuales en un sistema invitado RHEL 8 que se ejecuta en un host Hyper-V.

AMD SEV para máquinas virtuales KVM

Como muestra de tecnología, RHEL 8 introduce la función de virtualización cifrada segura (SEV) para las máquinas host AMD EPYC que utilizan el hipervisor KVM. Si se activa en una máquina virtual (VM), SEV cifra la memoria de la VM para que el host no pueda acceder a los datos de la VM. Esto aumenta la seguridad de la VM si el host es infectado con éxito por el malware.

Intel vGPU

Como Technology Preview, ahora es posible dividir un dispositivo físico de GPU Intel en múltiples dispositivos virtuales denominados dispositivos mediados. Estos dispositivos mediados pueden ser asignados a múltiples máquinas virtuales (VM) como GPUs virtuales. Como resultado, estas máquinas virtuales comparten el rendimiento de una sola GPU Intel física.

Creación de máquinas virtuales anidadas

La virtualización KVM anidada se ofrece como Technology Preview para las máquinas virtuales (VM) KVM que se ejecutan en hosts de sistemas AMD64 e IBM Z con RHEL 8. Con esta función, una VM de RHEL 7 o RHEL 8 que se ejecuta en un host físico de RHEL 8 puede actuar como hipervisor y alojar sus propias VM.

Algunos adaptadores de red de Intel ahora son compatibles con SR-IOV en huéspedes RHEL en Hyper-V

Como Muestra de Tecnología, los sistemas operativos huéspedes de Red Hat Enterprise Linux que se ejecutan en un hipervisor Hyper-V pueden ahora utilizar la función de virtualización de E/S de raíz única (SR-IOV) para los adaptadores de red Intel soportados por los controladores ixgbevf e iavf. Esta función se habilita cuando se cumplen las siguientes condiciones:

la imagen del contenedorpodman está disponible como Technology Preview

La imagen de contenedor registry.redhat.io/rhel8/podman es una implementación en contenedor del paquete podman. La herramienta podman se utiliza para gestionar contenedores e imágenes, volúmenes montados en esos contenedores y pods hechos a partir de grupos de contenedores. Podman se basa en la biblioteca libpod para la gestión del ciclo de vida de los contenedores. La librería libpod proporciona APIs para gestionar contenedores, pods, imágenes de contenedores y volúmenes. Esta imagen de contenedor permite crear, modificar y ejecutar imágenes de contenedor sin necesidad de instalar el paquete podman en su sistema. El caso de uso no cubre la ejecución de esta imagen en modo sin raíz como usuario no root. Para obtener la imagen de contenedor registry.redhat.io/rhel8/podman, necesita una suscripción activa a Red Hat Enterprise Linux.

crun está disponible como Technology Preview

El tiempo de ejecución OCI crun ha sido añadido al módulo container-rools:rhl8. El crun proporciona un acceso a la ejecución con cgoupsV2. El crun soporta una anotación que permite al contenedor acceder a los grupos adicionales de los usuarios sin raíz. Esto es útil para el montaje de volúmenes en un directorio al que el usuario sólo tiene acceso de grupo, o el directorio es setgid en él.

Varios comandos y opciones de Kickstart han quedado obsoletos

El uso de los siguientes comandos y opciones en los archivos Kickstart de RHEL 8 imprimirá una advertencia en los registros.

La opción --interactive del comando ignoredisk Kickstart ha quedado obsoleta

El uso de la opción --interactive en futuras versiones de Red Hat Enterprise Linux resultará en un error de instalación fatal. Se recomienda que modifique su archivo Kickstart para eliminar la opción.

el back end delorax-composer para Image Builder está obsoleto en RHEL 8

El anterior back end lorax-composer para Image Builder se considera obsoleto. Sólo recibirá correcciones selectas durante el resto del ciclo de vida de Red Hat Enterprise Linux 8 y será omitido en futuros lanzamientos importantes. Red Hat recomienda que desinstale lorax-composer e instale osbuild-composer en su lugar.

rpmbuild --sign está obsoleto

Con esta actualización, el comando rpmbuild --sign ha quedado obsoleto. El uso de este comando en futuras versiones de Red Hat Enterprise Linux puede resultar en un error. Se recomienda utilizar el comando rpmsign en su lugar.

mailman está obsoleto

Con esta actualización, los paquetes mailman han sido marcados como obsoletos y no estarán disponibles en las futuras versiones principales de Red Hat Enterprise Linux.

Los cifradosNSS SEED están obsoletos

La librería Mozilla Network Security Services(NSS) no soportará suites de cifrado TLS que utilicen un cifrado SEED en una futura versión. Para asegurar una transición suave de las implementaciones que dependen de los cifrados SEED cuando NSS elimine el soporte, Red Hat recomienda habilitar el soporte para otros conjuntos de cifrado.

TLS 1.0 y TLS 1.1 están obsoletos

Los protocolos TLS 1.0 y TLS 1.1 están desactivados en el nivel de política criptográfica de todo el sistema DEFAULT. Si su escenario, por ejemplo, una aplicación de videoconferencia en el navegador web Firefox, requiere el uso de los protocolos obsoletos, cambie la política criptográfica de todo el sistema al nivel LEGACY:

DSA está obsoleto en RHEL 8

El Algoritmo de Firma Digital (DSA) se considera obsoleto en Red Hat Enterprise Linux 8. Los mecanismos de autenticación que dependen de claves DSA no funcionan en la configuración por defecto. Tenga en cuenta que los clientes OpenSSH no aceptan claves de host DSA incluso en el nivel de política criptográfica de todo el sistema LEGACY.

SSL2 Client Hello ha quedado obsoleto en NSS

El protocolo Transport Layer Security(TLS) versión 1.2 y anteriores permiten iniciar una negociación con un mensaje Client Hello formateado de manera compatible con el protocolo Secure Sockets Layer(SSL) versión 2. La compatibilidad con esta función en la biblioteca de servicios de seguridad de la red(NSS) ha quedado obsoleta y está desactivada por defecto.

El TPM 1.2 está obsoleto

La versión estándar del criptoprocesador seguro Trusted Platform Module (TPM) se actualizó a la versión 2.0 en 2016. El TPM 2.0 ofrece muchas mejoras con respecto al TPM 1.2, y no es compatible con la versión anterior. El TPM 1.2 está obsoleto en RHEL 8, y es posible que se elimine en la próxima versión principal.

Los scripts de red están obsoletos en RHEL 8

Los scripts de red están obsoletos en Red Hat Enterprise Linux 8 y ya no se proporcionan por defecto. La instalación básica proporciona una nueva versión de los scripts ifup e ifdown que llaman al servicio NetworkManager a través de la herramienta nmcli. En Red Hat Enterprise Linux 8, para ejecutar los scripts ifup e ifdown, NetworkManager debe estar ejecutándose.

La instalación de RHEL for Real Time 8 mediante el arranque sin disco ha quedado obsoleta

El arranque sin disco permite que varios sistemas compartan un sistema de archivos raíz a través de la red. Aunque es conveniente, el arranque sin disco es propenso a introducir latencia de red en cargas de trabajo en tiempo real. Con una futura actualización menor de RHEL for Real Time 8, la función de arranque sin disco dejará de estar soportada.

El controlador qla3xxx está obsoleto

El controlador qla3xxx ha quedado obsoleto en RHEL 8. Es probable que el controlador no sea soportado en futuras versiones importantes de este producto, por lo que no se recomienda para nuevas implantaciones.

Los controladores dl2k, dnet, ethoc y dlci están obsoletos

Los controladores dl2k, dnet, ethoc y dlci han quedado obsoletos en RHEL 8. Es probable que estos controladores no reciban soporte en futuras versiones importantes de este producto, por lo que no se recomiendan para nuevas implantaciones.

El parámetro de la línea de comandos del núcleo del ascensor está obsoleto

El parámetro de línea de comandos del kernel elevador se utilizaba en versiones anteriores de RHEL para establecer el programador de discos para todos los dispositivos. En RHEL 8, el parámetro está obsoleto.

La réplica LVM está obsoleta

El tipo de segmento espejo LVM está ahora obsoleto. La compatibilidad con el espejo se eliminará en una futura versión importante de RHEL.

peripety está obsoleto

El paquete peripety está obsoleto desde RHEL 8.3.

NFSv3 sobre UDP ha sido desactivado

El servidor NFS ya no abre o escucha en un socket del Protocolo de Datagramas de Usuario (UDP) por defecto. Este cambio sólo afecta a la versión 3 de NFS porque la versión 4 requiere el Protocolo de Control de Transmisión (TCP).

openssh-ldap ha quedado obsoleto

El subpaquete openssh-ldap ha sido obsoleto en Red Hat Enterprise Linux 8 y será eliminado en RHEL 9. Como el subpaquete openssh-ldap no se mantiene en el upstream, Red Hat recomienda utilizar SSSD y el helper sss_ssh_authorizedkeys, que se integran mejor con otras soluciones IdM y son más seguras.

Se han eliminado los tipos de cifrado DES y 3DES

Debido a razones de seguridad, el algoritmo del Estándar de Encriptación de Datos (DES) ha sido obsoleto y deshabilitado por defecto desde RHEL 7. Con la reciente actualización de los paquetes de Kerberos, los tipos de cifrado Single-DES (DES) y Triple-DES (3DES) se han eliminado de RHEL 8.

La biblioteca libgnome-keyring ha quedado obsoleta

La librería libgnome-keyring ha sido obviada en favor de la librería libsecret, ya que libgnome-keyring no es mantenida por el upstream, y no sigue las políticas criptográficas necesarias para RHEL. La nueva biblioteca libsecret es el reemplazo que sigue los estándares de seguridad necesarios.

Las tarjetas gráficas AGP ya no son compatibles

Las tarjetas gráficas que utilizan el bus Accelerated Graphics Port (AGP) no son compatibles con Red Hat Enterprise Linux 8. Utilice las tarjetas gráficas con bus PCI-Express como reemplazo recomendado.

La consola web ya no admite traducciones incompletas

La consola web de RHEL ya no proporciona traducciones para los idiomas que tienen traducciones disponibles para menos del 50 % de las cadenas traducibles de la consola. Si el navegador solicita la traducción a dicho idioma, la interfaz de usuario estará en inglés.

El paquete geoipupdate ha quedado obsoleto

El paquete geoipupdate requiere una suscripción de terceros y también descarga contenido propietario. Por lo tanto, el paquete geoipupdate ha quedado obsoleto y se eliminará en la próxima versión principal de RHEL.

virt-manager ha quedado obsoleto

La aplicación Virtual Machine Manager, también conocida como virt-manager, ha quedado obsoleta. La consola web de RHEL 8, también conocida como Cockpit, está destinada a convertirse en su reemplazo en una versión posterior. Por lo tanto, se recomienda utilizar la consola web para gestionar la virtualización en una GUI. Tenga en cuenta, sin embargo, que algunas funciones disponibles en virt-manager pueden no estar aún disponibles en la consola web de RHEL 8.

Las instantáneas de las máquinas virtuales no se soportan correctamente en RHEL 8

El mecanismo actual de creación de instantáneas de máquinas virtuales (VM) ha quedado obsoleto, ya que no funciona de forma fiable. En consecuencia, se recomienda no utilizar las instantáneas de VM en RHEL 8.

El tipo de GPU virtual Cirrus VGA ha quedado obsoleto

Con una futura actualización mayor de Red Hat Enterprise Linux, el dispositivo Cirrus VGA GPU ya no será soportado en las máquinas virtuales KVM. Por lo tanto, Red Hat recomienda utilizar los dispositivos stdvga, virtio-vga, o qxl en lugar de Cirrus VGA.

SPICE ha quedado obsoleto

En RHEL 8.3, el protocolo de visualización remota SPICE ha quedado obsoleto. Tenga en cuenta que SPICE seguirá siendo compatible con RHEL 8, pero Red Hat recomienda utilizar soluciones alternativas para la transmisión de pantalla remota:

La API REST de Podman basada en varlink V1 ha quedado obsoleta

La API REST de Podman basada en varlink V1 ha sido obviada en favor de la nueva API REST de Podman V2. Esta funcionalidad será eliminada en una versión posterior de Red Hat Enterprise Linux 8.

Los comandos Kickstart auth y authconfig requieren el repositorio AppStream

El paquete authselect-compat es necesario para los comandos auth y authconfig Kickstart durante la instalación. Sin este paquete, la instalación falla si se utilizan auth o authconfig. Sin embargo, por diseño, el paquete authselect-compat sólo está disponible en el repositorio de AppStream.

Los comandos reboot --kexec e inst.kexec no proporcionan un estado predecible del sistema

Realizar una instalación de RHEL con el comando reboot --kexec Kickstart o los parámetros de arranque del kernel inst.kexec no proporcionan el mismo estado predecible del sistema que un reinicio completo. Como consecuencia, cambiar al sistema instalado sin reiniciar puede producir resultados impredecibles.

El acceso a la red no está activado por defecto en el programa de instalación

Varias funciones de instalación requieren acceso a la red, por ejemplo, el registro de un sistema mediante la red de distribución de contenidos (CDN), la compatibilidad con el servidor NTP y las fuentes de instalación de la red. Sin embargo, el acceso a la red no está habilitado por defecto, y como resultado, estas características no pueden ser utilizadas hasta que se habilite el acceso a la red.

El nuevo back-end de osbuild-composer no replica el estado del blueprint de lorax-composer en las actualizaciones

Los usuarios de Image Builder que están actualizando desde el back end lorax-composer al nuevo back end osbuild-composer, los blueprints pueden desaparecer. Como resultado, una vez completada la actualización, los blueprints no se muestran automáticamente. Para solucionar este problema, realice los siguientes pasos.

El servidor HTTPS autofirmado no se puede utilizar en la instalación de Kickstart

Actualmente, el instalador falla al instalar desde un servidor https autofirmado cuando se especifica el origen de la instalación en el archivo kickstart y se utiliza la opción --noverifyssl:

La instalación de la interfaz gráfica de usuario podría fallar si se intenta anular el registro mediante la CDN antes de que se complete la actualización del repositorio

Desde RHEL 8.2, cuando se registra el sistema y se adjuntan suscripciones utilizando la Red de Entrega de Contenidos (CDN), el programa de instalación de la GUI inicia una actualización de los metadatos del repositorio. El proceso de actualización no es parte del proceso de registro y suscripción, y como consecuencia, el botón Unregister está habilitado en la ventana Connect to Red Hat. Dependiendo de la conexión de red, el proceso de actualización puede tardar más de un minuto en completarse. Si hace clic en el botón Unregister antes de que se complete el proceso de actualización, la instalación de la GUI podría fallar, ya que el proceso de desregistro elimina los archivos del repositorio de la CDN y los certificados necesarios para que el programa de instalación se comunique con la CDN.

El registro falla para las cuentas de usuario que pertenecen a varias organizaciones

Actualmente, cuando se intenta registrar un sistema con una cuenta de usuario que pertenece a varias organizaciones, el proceso de registro falla con el mensaje de error You must specify an organization for new units.

El instalador de RHEL no se inicia cuando se configuran las interfaces de red InfiniBand mediante las opciones de arranque del instalador

Cuando se configuran las interfaces de red InfiniBand en una fase temprana de la instalación de RHEL utilizando las opciones de arranque del instalador (por ejemplo, para descargar la imagen del instalador utilizando el servidor PXE), el instalador no consigue activar las interfaces de red.

La instalación de Anaconda falla cuando el espacio de nombres del dispositivo NVDIMM está configurado en modo devdax.

La instalación de Anaconda falla con un trackback después de arrancar con el espacio de nombres del dispositivo NVDIMM configurado en modo devdax antes de la instalación de la GUI.

No se detecta la fuente de instalación demedios locales cuando se arranca la instalación desde un USB creado con una herramienta de terceros

Cuando se arranca la instalación de RHEL desde un USB creado con una herramienta de terceros, el instalador no detecta la fuente de instalación de medios locales (sólo se detecta 'Red Hat CDN').

Anaconda ahora muestra un diálogo para discos DASD ldl o sin formato en modo texto

Anteriormente, durante una instalación en modo texto, Anaconda no mostraba un cuadro de diálogo para los discos de distribución de discos Linux(ldl) o los discos de dispositivos de almacenamiento de acceso directo (DASD) no formateados. Como resultado, los usuarios no podían utilizar esos discos para la instalación.

los complementos syspurpose no tienen efecto en la salida de subscription-manager attach --auto.

En Red Hat Enterprise Linux 8, se han añadido cuatro atributos de la herramienta de línea de comandos syspurpose: role, usage, service_level_agreement y addons. Actualmente, sólo role, usage y service_level_agreement afectan la salida de la ejecución del comando subscription-manager attach --auto. Los usuarios que intenten establecer valores en el argumento addons no observarán ningún efecto en las suscripciones que se adjuntan automáticamente.

libmaxminddb-devel-debuginfo.rpm se elimina al ejecutar dnf update

Al ejecutar el comando dnf update, la herramienta binaria mmdblookup se mueve del subpaquete libmaxminddb-devel al paquete principal libmaxmindb. En consecuencia, se elimina el archivo libmaxminddb-devel-debuginfo. rpm, lo que puede crear una ruta de actualización rota para este paquete. Para solucionar este problema, elimine libmaxminddb-devel-debuginfo antes de ejecutar el comando dnf update.

Los usuarios pueden ejecutar comandos sudo como usuarios bloqueados

En los sistemas donde los permisos sudoers están definidos con la palabra clave ALL, los usuarios con permisos sudo pueden ejecutar comandos sudo como usuarios cuyas cuentas están bloqueadas. En consecuencia, las cuentas bloqueadas y caducadas pueden seguir utilizándose para ejecutar comandos.

GnuTLS falla al reanudar la sesión actual con el servidor NSS

Cuando se reanuda una sesión TLS (Transport Layer Security) 1.3, el cliente GnuTLS espera 60 milisegundos más un tiempo estimado de ida y vuelta para que el servidor envíe los datos de reanudación de la sesión. Si el servidor no envía los datos de reanudación en este tiempo, el cliente crea una nueva sesión en lugar de reanudar la sesión actual. Esto no tiene efectos adversos graves, salvo un impacto menor en el rendimiento de una negociación de sesión normal.

libselinux-python sólo está disponible a través de su módulo

El paquete libselinux-python sólo contiene bindings de Python 2 para el desarrollo de aplicaciones SELinux y se utiliza por compatibilidad con versiones anteriores. Por esta razón, libselinux-python ya no está disponible en los repositorios por defecto de RHEL 8 a través del comando dnf install libselinux-python.

udica procesa contenedores UBI 8 sólo cuando se inicia con --env container=podman

Los contenedores Red Hat Universal Base Image 8 (UBI 8) establecen la variable de entorno del contenedor con el valor oci en lugar del valor podman. Esto evita que la herramienta udica analice un archivo de notación de objetos JavaScript (JSON) del contenedor.

Efectos negativos de la configuración de registro por defecto en el rendimiento

La configuración del entorno de registro por defecto puede consumir 4 GB de memoria o incluso más y los ajustes de los valores de límite de velocidad son complejos cuando systemd-journald se ejecuta con rsyslog.

Los permisos de archivo de /etc/passwd- no están alineados con el Benchmark 1.0.0 de CIS RHEL 8

Debido a un problema con el CIS Benchmark, la remediación de la regla SCAP que asegura los permisos en el archivo /etc/passwd- backup configura los permisos a 0644. Sin embargo, el CIS Red Hat Enterprise Linux 8 Benchmark 1.0.0 requiere permisos de archivo 0600 para ese archivo. Como consecuencia, los permisos de archivo de /etc/passwd- no están alineados con el benchmark después de la remediación.

SELINUX=disabled en /etc/selinux/config no funciona correctamente

Desactivar SELinux usando la opción SELINUX=disabled en el archivo /etc/selinux/config resulta en un proceso en el que el kernel arranca con SELinux activado y cambia a modo desactivado más tarde en el proceso de arranque. Esto podría causar fugas de memoria y condiciones de carrera y, en consecuencia, también pánicos en el kernel.

ssh-keyscan no puede recuperar las claves RSA de los servidores en modo FIPS

El algoritmo SHA-1 está desactivado para las firmas RSA en el modo FIPS, lo que impide que la utilidad ssh-keyscan recupere las claves RSA de los servidores que operan en ese modo.

OpenSSL maneja incorrectamente los tokens PKCS #11 que no admiten firmas RSA o RSA-PSS en bruto

La biblioteca OpenSSL no detecta las capacidades relacionadas con las claves de los tokens PKCS #11. En consecuencia, el establecimiento de una conexión TLS falla cuando se crea una firma con un token que no admite firmas RSA o RSA-PSS en bruto.

OpenSSL en modo FIPS sólo acepta parámetros D-H específicos

En el modo FIPS, los clientes de la capa de seguridad de transporte (TLS) que utilizan OpenSSL devuelven un error de valor dh incorrecto y abortan las conexiones TLS con servidores que utilizan parámetros generados manualmente. Esto se debe a que OpenSSL, cuando está configurado para trabajar de acuerdo con FIPS 140-2, sólo funciona con parámetros D-H que cumplen con el Apéndice D de NIST SP 800-56A rev3 (grupos 14, 15, 16, 17 y 18 definidos en RFC 3526 y con grupos definidos en RFC 7919). Además, los servidores que utilizan OpenSSL ignoran todos los demás parámetros y en su lugar seleccionan parámetros conocidos de tamaño similar. Para solucionar este problema, utilice sólo los grupos que cumplen con la normativa.

La eliminación del paquete rpm-plugin-selinux conlleva la eliminación de todos los paquetes selinux-policy del sistema

Eliminar el paquete rpm-plugin-selinux deshabilita SELinux en la máquina. También elimina todos los paquetes selinux-policy del sistema. La instalación repetida del paquete rpm-plugin-selinux instala entonces la política SELinux-policy-minimum, incluso si la política selinux-policy-targeted estaba previamente presente en el sistema. Sin embargo, la instalación repetida no actualiza el archivo de configuración de SELinux para tener en cuenta el cambio de política. Como consecuencia, SELinux está deshabilitado incluso al reinstalar el paquete rpm-plugin-selinux.

el serviciosystemd no puede ejecutar comandos desde rutas arbitrarias

El servicio systemd no puede ejecutar comandos desde rutas arbitrarias /home/user/bin porque el paquete de políticas de SELinux no incluye ninguna regla de este tipo. En consecuencia, los servicios personalizados que se ejecutan en rutas que no son del sistema fallan y finalmente registran los mensajes de auditoría de denegación de Access Vector Cache (AVC) cuando SELinux deniega el acceso. Para solucionar este problema, realice una de las siguientes acciones:

rpm_verify_permissions falla en el perfil CIS

La regla rpm_verify_permissions compara los permisos de los archivos con los permisos por defecto de los paquetes. Sin embargo, el perfil del Centro de Seguridad de Internet (CIS), que es proporcionado por los paquetes scap-security-guide, cambia algunos permisos de archivos para que sean más estrictos que los predeterminados. Como consecuencia, la verificación de ciertos archivos usando rpm_verify_permissions falla.

Kickstart utiliza org_fedora_oscap en lugar de com_redhat_oscap en RHEL 8

El Kickstart hace referencia al complemento Anaconda del Protocolo de Automatización de Contenidos de Seguridad Abierta (OSCAP) como org_fedora_oscap en lugar de com_redhat_oscap, lo que podría causar confusión. Esto se hace para mantener la compatibilidad con Red Hat Enterprise Linux 7.

Algunos conjuntos de reglas interdependientes en SSG pueden fallar

La remediación de las reglas de la Guía de Seguridad SCAP (SSG) en un benchmark puede fallar debido al orden indefinido de las reglas y sus dependencias. Si dos o más reglas deben ejecutarse en un orden determinado, por ejemplo, cuando una regla instala un componente y otra regla configura el mismo componente, pueden ejecutarse en el orden incorrecto y la corrección informa de un error. Para solucionar este problema, ejecute la corrección dos veces, y la segunda ejecución corrige las reglas dependientes.

El complemento OSCAP Anaconda no instala todos los paquetes en modo texto

El complemento OSCAP Anaconda no puede modificar la lista de paquetes seleccionados para su instalación por el instalador del sistema si la instalación se ejecuta en modo texto. En consecuencia, cuando se especifica un perfil de política de seguridad mediante Kickstart y la instalación se ejecuta en modo texto, cualquier paquete adicional requerido por la política de seguridad no se instala durante la instalación.

El complemento OSCAP Anaconda no maneja correctamente los perfiles personalizados

El plugin OSCAP Anaconda Addon no maneja adecuadamente los perfiles de seguridad con personalizaciones en archivos separados. En consecuencia, el perfil personalizado no está disponible en la instalación gráfica de RHEL aunque lo especifique correctamente en la sección Kickstart correspondiente.

Los perfiles basados en OSPP son incompatibles con los grupos de paquetes GUI.

Los paquetes deGNOME instalados por el grupo de paquetes Server with GUI requieren el paquete nfs-utils que no es compatible con el Perfil de Protección del Sistema Operativo (OSPP). Como consecuencia, al seleccionar el grupo de paquetes Server with GUI durante la instalación de un sistema con perfiles OSPP o basados en OSPP, por ejemplo, Guía de Implementación Técnica de Seguridad (STIG), OpenSCAP muestra una advertencia de que el grupo de paquetes seleccionado no es compatible con la política de seguridad. Si el perfil basado en OSPP se aplica después de la instalación, el sistema no puede arrancar. Para solucionar este problema, no instale el grupo de paquetes Server with GUI ni ningún otro grupo que instale GUI cuando utilice el perfil OSPP y los perfiles basados en OSPP. Si utiliza los grupos de paquetes Server o Minimal Install en su lugar, el sistema se instala sin problemas y funciona correctamente.

No es posible la instalación con el Servidor con selecciones de software de GUI o Estación de Trabajo y perfil de seguridad CIS

El perfil de seguridad CIS no es compatible con las selecciones de software Servidor con GUI y Estación de Trabajo. En consecuencia, no es posible realizar una instalación de RHEL 8 con la selección de software Servidor con GUI y el perfil CIS. Un intento de instalación utilizando el perfil CIS y cualquiera de estas selecciones de software generará el mensaje de error:

La corrección de las reglas relacionadas con el servicio durante las instalaciones de kickstart podría fallar

Durante una instalación kickstart, la utilidad OpenSCAP a veces muestra incorrectamente que no es necesaria una remediación del estado de habilitación o deshabilitación de servicios. En consecuencia, OpenSCAP podría establecer los servicios del sistema instalado en un estado no compatible. Como solución, puede escanear y remediar el sistema después de la instalación kickstart. Esto solucionará los problemas relacionados con los servicios.

Algunas cadenas de prioridad de rsyslog no funcionan correctamente

La compatibilidad con la cadena de prioridad GnuTLS para imtcp que permite un control detallado de la codificación no es completa. En consecuencia, las siguientes cadenas de prioridad no funcionan correctamente en rsyslog:

laspolíticas criptográficas permiten incorrectamente los cifrados de Camellia

Las políticas criptográficas de todo el sistema de RHEL 8 deberían deshabilitar los cifrados de Camellia en todos los niveles de políticas, como se indica en la documentación del producto. Sin embargo, el protocolo Kerberos habilita los cifrados por defecto.

La utilidad iptables ahora solicita la carga del módulo para los comandos que actualizan una cadena independientemente de la bandera NLM_F_CREATE

Anteriormente, al establecer la política de una cadena, la utilidad iptables-nft generaba un mensaje NEWCHAIN pero no establecía la bandera NLM_F_CREATE. Como consecuencia, el kernel de RHEL 8 no cargaba ningún módulo y el comando de cadena de actualización resultante fallaba si los módulos del kernel asociados no se cargaban manualmente. Con esta actualización, la utilidad iptables-nft ahora solicita la carga de módulos para todos los comandos que actualizan una cadena y los usuarios pueden establecer la política de una cadena utilizando la utilidad iptables-nft sin cargar manualmente los módulos asociados.

El soporte para la actualización de los contadores de paquetes/bytes en el kernel se modificó incorrectamente entre RHEL 7 y RHEL 8

Cuando se hace referencia a un comando ipset con contadores habilitados desde una regla iptables, que especifica restricciones adicionales en las entradas ipset que coinciden, los contadores ipset se actualizan sólo si todas las restricciones adicionales coinciden. Esto también es problemático con las restricciones --packets-gt o --bytes-gt.

La descarga de programas XDP falla en las tarjetas de red Netronome que utilizan el controlador nfp

El controlador nfp para las tarjetas de red Netronome contiene un error. Por lo tanto, la descarga de programas eXpress Data Path (XDP) falla si se utilizan dichas tarjetas y se carga el programa XDP utilizando la función IFLA_XDP_EXPECTED_FD con la bandera XDP_FLAGS_REPLACE. Por ejemplo, este fallo afecta a los programas XDP que se cargan utilizando la biblioteca libxdp. Actualmente, no hay ninguna solución disponible para este problema.

Anaconda no tiene acceso a la red cuando utiliza DHCP en la opción de arranque ip

El disco RAM inicial(initrd) utiliza NetworkManager para gestionar la red. El módulo dracut NetworkManager proporcionado por el archivo ISO de RHEL 8.3 asume incorrectamente que el primer campo de la opción ip en las opciones de arranque de Anaconda está siempre establecido. Como consecuencia, si utiliza DHCP y establece ip=::::

Los sistemas con una gran cantidad de memoria persistente experimentan retrasos durante el proceso de arranque

Los sistemas con una gran cantidad de memoria persistente tardan mucho en arrancar porque la inicialización de la memoria se hace en serie. Por lo tanto, si hay sistemas de archivos de memoria persistente listados en el archivo /etc/fstab, el sistema puede perder el tiempo mientras espera que los dispositivos estén disponibles. Para solucionar este problema, configure la opción DefaultTimeoutStartSec en el archivo /etc/systemd/system.conf con un valor suficientemente grande.

El kernel devuelve falsos positivos en los sistemas IBM Z

En RHEL 8, los sistemas IBM Z carecen de una entrada en la lista blanca de la zona de memoria ZONE_DMA para permitir el acceso del usuario. En consecuencia, el kernel devuelve advertencias falsas positivas como:

La espera ocupada del servicio rngd provoca un consumo total de la CPU en modo FIPS

Se ha añadido una nueva fuente de entropía del kernel para el modo FIPS para los kernels que comienzan con la versión 4.18.0-193.10. En consecuencia, cuando está en modo FIPS, el servicio rngd está ocupado esperando la llamada al sistema poll() para el dispositivo /dev/random, lo que provoca un consumo del 100% del tiempo de la CPU. Para solucionar este problema, detenga y desactive rngd ejecutando

Una captura de vmcore falla después de la operación de conexión o desconexión de la memoria

Después de realizar la operación de conexión o desconexión en caliente de la memoria, el evento se produce después de actualizar el árbol de dispositivos que contiene la información de la disposición de la memoria. De este modo, la utilidad makedumpfile intenta acceder a una dirección física inexistente. El problema aparece si se cumplen todas las condiciones siguientes:

El uso de irqpoll provoca un fallo en la generación de vmcore

Debido a un problema existente con el controlador nvme en las arquitecturas ARM de 64 bits que se ejecutan en las plataformas en la nube de Amazon Web Services (AWS), la generación de vmcore falla cuando se proporciona el parámetro de línea de comandos del kernel irqpoll al primer kernel. En consecuencia, no se vuelca ningún archivo vmcore en el directorio /var/crash/ después de un fallo del kernel. Para solucionar este problema:

El kernel de depuración no arranca en el entorno de captura de fallos en RHEL 8

Debido a la naturaleza de demanda de memoria del kernel de depuración, se produce un problema cuando el kernel de depuración está en uso y se desencadena un pánico del kernel. Como consecuencia, el kernel de depuración no es capaz de arrancar como el kernel de captura, y en su lugar se genera una traza de pila. Para solucionar este problema, aumente la memoria del kernel de captura en consecuencia. Como resultado, el kernel de depuración arranca con éxito en el entorno de captura de fallos.

zlib puede ralentizar una captura de vmcore en algunas funciones de compresión

El archivo de configuración de kdump utiliza el formato de compresión lzo(makedumpfile -l) por defecto. Cuando se modifica el archivo de configuración utilizando el formato de compresión zlib, (makedumpfile-c) es probable que traiga un mejor factor de compresión a costa de ralentizar el proceso de captura de vmcore. Como consecuencia, el kdump tarda hasta cuatro veces más en capturar un vmcore con zlib, en comparación con lzo.

El NMI watchdog de HP no siempre genera un volcado de fallos

En ciertos casos, el controlador hpwdt para el vigilante NMI de HP no puede reclamar una interrupción no enmascarable (NMI) generada por el temporizador del vigilante HPE porque el NMI fue consumido por el controlador perfmon.

El comando tuned-adm profile powersave hace que el sistema deje de responder

La ejecución del comando tuned-adm profile powersave conduce a un estado de falta de respuesta de los sistemas Penguin Valkyrie 2000 de 2 sockets con los procesadores Thunderx (CN88xx) más antiguos. En consecuencia, reinicie el sistema para que vuelva a funcionar. Para evitar este problema, evite utilizar el perfil powersave si su sistema cumple con las especificaciones mencionadas.

El valor predeterminado de 7 4 1 7 printk a veces provoca una falta de respuesta temporal del sistema

El valor predeterminado 7 4 1 7 printk permite una mejor depuración de la actividad del kernel. Sin embargo, cuando se combina con una consola en serie, este valor printk puede causar intensas ráfagas de E/S que pueden hacer que un sistema RHEL deje de responder temporalmente. Para solucionar este problema, hemos añadido un nuevo perfil TuneD optimize-serial-console, que reduce el valor printk por defecto a 4 4 1 7. Los usuarios pueden instrumentar su sistema de la siguiente manera:

El controlador ACPI del kernel informa que no tiene acceso a una región de memoria PCIe ECAM

La tabla de la interfaz de configuración avanzada y alimentación (ACPI) proporcionada por el firmware no define una región de memoria en el bus PCI en el método de configuración de recursos actuales (_CRS) para el dispositivo de bus PCI. En consecuencia, se produce el siguiente mensaje de advertencia durante el arranque del sistema:

El controlador cxgb4 provoca un fallo en el kernel kdump

El kernel kdump se bloquea al intentar guardar información en el archivo vmcore. En consecuencia, el controlador cxgb4 impide que el kdump kernel guarde un núcleo para su posterior análisis. Para solucionar este problema, añada el parámetro novmcoredd a la línea de comandos de kdump kernel para permitir guardar archivos de núcleo.

La biblioteca OPEN MPI puede provocar fallos en tiempo de ejecución con la PML por defecto

En la implementación de OPEN Message Passing Interface (OPEN MPI) de la serie 4.0.x, Unified Communication X (UCX) es el comunicador punto a punto (PML) por defecto. Las versiones posteriores de OPEN MPI de la serie 4.0.x obviaron openib Byte Transfer Layer (BTL).

El sistema de archivos /boot no puede colocarse en LVM

No se puede colocar el sistema de archivos /boot en un volumen lógico LVM. Esta limitación existe por las siguientes razones:

LVM ya no permite crear grupos de volúmenes con tamaños de bloque mixtos

Las utilidades de LVM como vgcreate o vgextend ya no permiten crear grupos de volúmenes (VG) en los que los volúmenes físicos (PV) tienen diferentes tamaños de bloque lógicos. LVM ha adoptado este cambio porque los sistemas de archivos no se pueden montar si se extiende el volumen lógico (LV) subyacente con un PV de un tamaño de bloque diferente.

Limitaciones de la caché de escriturade LVM

El método de almacenamiento en caché de LVM tiene las siguientes limitaciones, que no están presentes en el método de caché:

Los dispositivos de espejo LVM que almacenan un volumen LUKS a veces no responden

Los dispositivos LVM en espejo con un tipo de segmento en espejo que almacenan un volumen LUKS pueden dejar de responder bajo ciertas condiciones. Los dispositivos que no responden rechazan todas las operaciones de E/S.

Un parche de NFS 4.0 puede reducir el rendimiento con una carga de trabajo abierta

Anteriormente, se corrigió un error que, en algunos casos, podía hacer que una operación de apertura de NFS pasara por alto el hecho de que un archivo había sido eliminado o renombrado en el servidor. Sin embargo, la corrección puede causar un rendimiento más lento con cargas de trabajo que requieren muchas operaciones abiertas. Para solucionar este problema, puede ser útil utilizar la versión 4.1 o superior de NFS, que ha sido mejorada para conceder delegaciones a los clientes en más casos, permitiendo a los clientes realizar operaciones de apertura de forma local, rápida y segura.

getpwnam() podría fallar cuando es llamado por una aplicación de 32 bits

Cuando un usuario de NIS utiliza una aplicación de 32 bits que llama a la función getpwnam(), la llamada falla si falta el paquete nss_nis. i686. Para solucionar este problema, instale manualmente el paquete que falta mediante el comando yum install nss_nis.i686.

Los conflictos de símbolos entre las librerías de OpenLDAP podrían provocar fallos en httpd

Cuando las bibliotecas libldap y libldap_r proporcionadas por OpenLDAP se cargan y utilizan dentro de un mismo proceso, pueden producirse conflictos de símbolos entre estas bibliotecas. En consecuencia, los procesos hijo de Apache httpd que utilizan la extensión PHP ldap podrían terminar inesperadamente si los módulos mod_security o mod_auth_openidc también son cargados por la configuración de httpd.

La instalación de KRA falla si todos los miembros de KRA son réplicas ocultas

La utilidad ipa-kra-install falla en un cluster donde la Autoridad de Recuperación de Claves (KRA) ya está presente, si la primera instancia de KRA está instalada en una réplica oculta. En consecuencia, no se pueden añadir más instancias de KRA al clúster.

El uso de la utilidad cert-fix con la opción --agent-uid pkidbuser rompe el sistema de certificados

El uso de la utilidad cert-fix con la opción --agent-uid pkidbuser corrompe la configuración LDAP de Certificate System. Como consecuencia, el sistema de certificados puede volverse inestable y es necesario tomar medidas manuales para recuperar el sistema.

Los certificados emitidos por PKI ACME Responder conectados a PKI CA pueden fallar la validación de OCSP

El perfil de certificado ACME por defecto proporcionado por PKI CA contiene una URL OCSP de muestra que no apunta a un servicio OCSP real. Como consecuencia, si PKI ACME Responder está configurado para utilizar un emisor de PKI CA, los certificados emitidos por el respondedor pueden fallar la validación de OCSP.

FreeRADIUS trunca silenciosamente las contraseñas de túnel de más de 249 caracteres

Si una contraseña de túnel tiene más de 249 caracteres, el servicio FreeRADIUS la trunca silenciosamente. Esto puede dar lugar a incompatibilidades inesperadas de la contraseña con otros sistemas.

No es posible desactivar los repositorios flatpak desde los repositorios de software

Actualmente, no es posible desactivar o eliminar los repositorios flatpak en la herramienta de Repositorios de Software en la utilidad de Software de GNOME.

Arrastrar y soltar no funciona entre el escritorio y las aplicaciones

Debido a un error en el paquete gnome-shell-extensions, la funcionalidad de arrastrar y soltar no funciona actualmente entre el escritorio y las aplicaciones. El soporte para esta función se añadirá de nuevo en una futura versión.

Las máquinas virtuales RHEL 8 de segunda generación a veces no arrancan en hosts Hyper-V Server 2016

Cuando se utiliza RHEL 8 como sistema operativo invitado en una máquina virtual (VM) que se ejecuta en un host Microsoft Hyper-V Server 2016, la VM en algunos casos no arranca y vuelve al menú de arranque GRUB. Además, se registra el siguiente error en el registro de eventos de Hyper-V:

radeon no reinicia el hardware correctamente

El controlador del kernel de radeon actualmente no restablece el hardware en el contexto kexec correctamente. En su lugar, radeon se cae, lo que hace que el resto del servicio kdump falle.

Varias pantallas HDR en una misma topología MST pueden no encenderse

En los sistemas que utilizan GPUs NVIDIA Turing con el controlador nouveau, el uso de un concentrador DisplayPort (como un dock de portátil) con varios monitores que soportan HDR conectados a él puede provocar un fallo en el encendido. Esto se debe a que el sistema piensa erróneamente que no hay suficiente ancho de banda en el concentrador para soportar todas las pantallas.

No se pueden ejecutar aplicaciones gráficas con el comando sudo

Al intentar ejecutar aplicaciones gráficas como un usuario con privilegios elevados, la aplicación falla al abrirse con un mensaje de error. El fallo se produce porque Xwayland está restringido por el archivo Xauthority a utilizar credenciales de usuario normales para la autenticación.

VNC Viewer muestra colores incorrectos con la profundidad de color de 16 bits en IBM Z

La aplicación VNC Viewer muestra colores incorrectos cuando se conecta a una sesión VNC en un servidor IBM Z con la profundidad de color de 16 bits.

La aceleración por hardware no es compatible con ARM

Los controladores gráficos integrados no son compatibles con la aceleración por hardware ni con la API Vulkan en la arquitectura ARM de 64 bits.

Los usuarios sin privilegios pueden acceder a la página de suscripciones

Si una persona que no es administrador navega a la página Subscriptions de la consola web, la consola web muestra un mensaje de error genérico Cockpit tuvo un error interno inesperado.

la entrada deoVirt y las funcionalidades de salida de elasticsearch no son compatibles con el registro de roles del sistema

La entrada de oVirt y la salida de elasticsearch no están soportadas en System Roles Logging aunque se mencionan en el archivo README. No hay ninguna solución disponible por el momento.

La visualización de múltiples monitores de máquinas virtuales que utilizan Wayland no es posible con QXL

El uso de la utilidad remote-viewer para mostrar más de un monitor de una máquina virtual (VM) que está utilizando el servidor de visualización Wayland hace que la VM no responda y que se muestre indefinidamente el mensaje de estado Waiting for display.

los comandosvirsh iface-\* no funcionan consistentemente

Actualmente, los comandos virsh iface-*, como virsh iface-start y virsh iface-destroy, fallan frecuentemente debido a las dependencias de configuración. Por lo tanto, se recomienda no utilizar los comandos virsh iface-\* para configurar y gestionar las conexiones de red del host. En su lugar, utilice el programa NetworkManager y sus aplicaciones de gestión relacionadas.

Las máquinas virtuales a veces no se inician cuando se utilizan muchos discos virtio-blk

Añadir un gran número de dispositivos virtio-blk a una máquina virtual (VM) puede agotar el número de vectores de interrupción disponibles en la plataforma. Si esto ocurre, el SO invitado de la VM falla al arrancar, y muestra un dracut-initqueue[392]: Advertencia: Error de no poder arrancar.

Adjuntar dispositivos LUN a máquinas virtuales usando virtio-blk no funciona

El tipo de máquina q35 no es compatible con los dispositivos virtio 1.0 de transición, por lo que RHEL 8 carece de soporte para las características que quedaron obsoletas en virtio 1.0. En particular, no es posible en un host RHEL 8 enviar comandos SCSI desde dispositivos virtio-blk. Como consecuencia, adjuntar un disco físico como dispositivo LUN a una máquina virtual falla cuando se utiliza el controlador virtio-blk.

Las máquinas virtuales que utilizan Cooperlake no pueden arrancar cuando TSX está desactivado en el host

Las máquinas virtuales (VM) que utilizan el modelo de CPU Cooperlake actualmente no arrancan cuando el indicador de CPU TSX está deshabilitado en el host. En su lugar, el host muestra el siguiente mensaje de error:

Las máquinas virtuales a veces no pueden arrancar en los hosts Witherspoon

Las máquinas virtuales (VMs) que utilizan el tipo de máquina pseries-rhel7.6.0-sxxm en algunos casos fallan al arrancar en los hosts Power9 S922LC for HPC (también conocidos como Witherspoon) que utilizan la CPU DD2.2 o DD2.3.

Problemas con la GPU en las instancias Azure NV6

Cuando se ejecuta RHEL 8 como sistema operativo invitado en una instancia de Microsoft Azure NV6, reanudar la máquina virtual (VM) desde la hibernación a veces hace que la GPU de la VM funcione incorrectamente. Cuando esto ocurre, el kernel registra el siguiente mensaje:

kdump a veces no se inicia en Azure y Hyper-V

En los sistemas operativos invitados de RHEL 8 alojados en los hipervisores de Microsoft Azure o Hyper-V, el inicio del kernel kdump en algunos casos falla cuando los notificadores post-ejecución están habilitados.

La configuración de la IP estática en una máquina virtual RHEL 8 en un host VMWare no funciona

Actualmente, cuando se utiliza RHEL 8 como sistema operativo invitado de una máquina virtual (VM) en un host VMWare, la función DatasourceOVF no funciona correctamente. Como consecuencia, si utiliza la utilidad cloud-init para establecer la red de la VM en IP estática y luego reinicia la VM, la red de la VM cambiará a DHCP.

El volcado del núcleo de las máquinas virtuales RHEL 8 con ciertas NICs a una máquina remota en Azure tarda más de lo esperado

Actualmente, el uso de la utilidad kdump para guardar el archivo de volcado del núcleo de una máquina virtual (VM) RHEL 8 en un hipervisor de Microsoft Azure en una máquina remota no funciona correctamente cuando la VM está utilizando una NIC con la red acelerada habilitada. Como consecuencia, el archivo de volcado se guarda después de aproximadamente 200 segundos, en lugar de inmediatamente. Además, el siguiente mensaje de error se registra en la consola antes de que se guarde el archivo de volcado.

Los contadores de paquetesTX/RX no aumentan después de que las máquinas virtuales se reanuden desde la hibernación

Los contadores de paquetes TX/RX dejan de aumentar cuando una máquina virtual (VM) RHEL 8, con una NIC CX4 VF, se reanuda desde la hibernación en Microsoft Azure. Para que los contadores sigan funcionando, reinicie la VM. Tenga en cuenta que, al hacerlo, se reiniciarán los contadores.

Las máquinas virtuales de RHEL 8 no se reanudan desde la hibernación en Azure

El GUID de la función virtual (VF), dispositivo vmbus, cambia cuando una máquina virtual (VM) RHEL 8, con SR-IOV habilitado, se hiberna y se desasigna en Microsoft Azure . Como resultado, cuando la VM se reinicia, no se reanuda y se bloquea. Como solución, reinicie la VM utilizando la consola de serie de Azure.

La migración de un huésped POWER9 de un host RHEL 7-ALT a RHEL 8 falla

Actualmente, la migración de una máquina virtual POWER9 desde un sistema anfitrión RHEL 7-ALT a RHEL 8 no responde con un estado "Estado de la migración: activo".

redhat-support-tool no funciona con la política criptográfica FUTURE

Dado que una clave criptográfica utilizada por un certificado en la API del Portal del Cliente no cumple los requisitos de la política criptográfica de todo el sistema FUTURE, la utilidad redhat-support-tool no funciona con este nivel de política por el momento.

No se espera que UDICA funcione con la corriente estable 1.0

UDICA, la herramienta para generar políticas SELinux para contenedores, no se espera que funcione con contenedores que se ejecutan a través de podman 1.0.x en el flujo de módulos container-tools:1.0.

podman system connection add no establece automáticamente la conexión por defecto

El comando podman system connection add no establece automáticamente que la primera conexión sea la conexión por defecto. Para establecer la conexión por defecto, debe ejecutar manualmente el comando podman system connection default