Language:
Format:

Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 5. Lanzamiento de RHEL 8.0.0

5.1. Nuevas características

Esta parte describe las nuevas características y las principales mejoras introducidas en Red Hat Enterprise Linux 8.

5.1.1. La consola web

Nota

La página de suscripciones de la consola web ahora es proporcionada por el nuevo paquete subscription-manager-cockpit.

Se ha añadido una interfaz de cortafuegos a la consola web

La página Networking de la consola web de RHEL 8 incluye ahora una sección Firewall. En esta sección, los usuarios pueden activar o desactivar el cortafuegos, así como añadir, eliminar y modificar las reglas del mismo.

(BZ#1647110)

La consola web está ahora disponible por defecto

Los paquetes para la consola web de RHEL 8, también conocida como Cockpit, son ahora parte de los repositorios por defecto de Red Hat Enterprise Linux, y por lo tanto pueden ser instalados inmediatamente en un sistema RHEL 8 registrado.

Además, en una instalación no mínima de RHEL 8, la consola web se instala automáticamente y los puertos del cortafuegos requeridos por la consola se abren automáticamente. También se ha añadido un mensaje del sistema antes del inicio de sesión que proporciona información sobre cómo habilitar o acceder a la consola web.

(JIRA:RHELPLAN-10355)

Mejor integración de IdM para la consola web

Si su sistema está inscrito en un dominio de gestión de identidades (IdM), la consola web de RHEL 8 utiliza ahora por defecto los recursos IdM gestionados de forma centralizada del dominio. Esto incluye las siguientes ventajas:

Los administradores del dominio IdM pueden utilizar la consola web para gestionar la máquina local.
El servidor web de la consola cambia automáticamente a un certificado emitido por la autoridad de certificación (CA) de IdM y aceptado por los navegadores.
Los usuarios con un ticket Kerberos en el dominio IdM no necesitan proporcionar credenciales de acceso para acceder a la consola web.
Los hosts SSH conocidos por el dominio IdM son accesibles a la consola web sin necesidad de añadir manualmente una conexión SSH.

Tenga en cuenta que para que la integración de IdM con la consola web funcione correctamente, el usuario debe ejecutar primero la utilidad ipa-advise con la opción enable-admins-sudo en el sistema maestro de IdM.

(JIRA:RHELPLAN-3010)

La consola web es ahora compatible con los navegadores móviles

Con esta actualización, los menús y las páginas de la consola web se pueden navegar en variantes de navegadores móviles. Esto hace posible la gestión de sistemas mediante la consola web de RHEL 8 desde un dispositivo móvil.

(JIRA:RHELPLAN-10352)

La página principal de la consola web muestra ahora las actualizaciones y suscripciones que faltan

Si un sistema gestionado por la consola web de RHEL 8 tiene paquetes obsoletos o una suscripción caducada, ahora se muestra una advertencia en la página principal de la consola web del sistema.

(JIRA:RHELPLAN-10353)

La consola web ahora admite la inscripción de PBD

Con esta actualización, puede utilizar la interfaz de la consola web de RHEL 8 para aplicar reglas de descifrado basadas en políticas (PBD) a los discos de los sistemas gestionados. Esto utiliza el cliente de descifrado Clevis para facilitar una serie de funciones de gestión de la seguridad en la consola web, como el desbloqueo automático de las particiones de disco cifradas con LUKS.

(JIRA:RHELPLAN-10354)

Las máquinas virtuales se pueden gestionar ahora mediante la consola web

Ahora se puede añadir la página de máquinas vir tuales a la interfaz de la consola web de RHEL 8, que permite al usuario crear y gestionar máquinas virtuales basadas en libvirt.

(JIRA:RHELPLAN-2896)

5.1.2. Creación del instalador y de la imagen

La instalación de RHEL desde un DVD utilizando SE y HMC es ahora totalmente compatible con IBM Z

La instalación de Red Hat Enterprise Linux 8 en el hardware IBM Z desde un DVD usando Support Element (SE) y Hardware Management Console (HMC) es ahora totalmente compatible. Esta adición simplifica el proceso de instalación en IBM Z con SE y HMC.

Cuando se arranca desde un DVD binario, el instalador pide al usuario que introduzca parámetros adicionales del kernel. Para establecer el DVD como fuente de instalación, añada inst.repo=hmc a los parámetros del kernel. El instalador entonces habilita el acceso a los archivos SE y HMC, obtiene las imágenes para la etapa 2 desde el DVD, y proporciona acceso a los paquetes en el DVD para la selección de software.

La nueva función elimina el requisito de una configuración de red externa y amplía las opciones de instalación.

(BZ#1500792)

El instalador ahora es compatible con el formato de cifrado de disco LUKS2

El instalador de Red Hat Enterprise Linux 8 ahora utiliza el formato LUKS2 por defecto, pero puede seleccionar una versión LUKS desde la ventana Anaconda’s Custom Partitioning o utilizando las nuevas opciones en los comandos autopart, logvol, part y RAID de Kickstart.

LUKS2 aporta muchas mejoras y características, por ejemplo, amplía las capacidades del formato en disco y proporciona formas flexibles de almacenar metadatos.

(BZ#1547908)

Anaconda admite el propósito del sistema en RHEL 8

Anteriormente, Anaconda no proporcionaba información sobre el propósito del sistema a Subscription Manager. En Red Hat Enterprise Linux 8.0, puede establecer el propósito del sistema durante la instalación utilizando la ventana Propósito del sistema de Anaconda’s o el comando syspurpose de Kickstart. Cuando la instalación se completa, Subscription Manager utiliza la información de propósito del sistema cuando se suscribe el sistema.

(BZ#1612060)

Pykickstart es compatible con System Purpose en RHEL 8

Anteriormente, no era posible que la biblioteca pykickstart proporcionara información sobre el propósito del sistema a Subscription Manager. En Red Hat Enterprise Linux 8.0, pykickstart analiza el nuevo comando syspurpose y registra el propósito del sistema durante la instalación automatizada y parcialmente automatizada. La información se pasa a Anaconda, se guarda en el sistema recién instalado y está disponible para Subscription Manager cuando se suscribe el sistema.

(BZ#1612061)

Anaconda soporta un nuevo parámetro de arranque del kernel en RHEL 8

Anteriormente, sólo se podía especificar un repositorio base desde los parámetros de arranque del kernel. En Red Hat Enterprise Linux 8, un nuevo parámetro del kernel, inst.addrepo=<name>,<url>, le permite especificar un repositorio adicional durante la instalación.

Este parámetro tiene dos valores obligatorios: el nombre del repositorio y la URL que apunta al repositorio. Para más información, consulte https://anaconda-installer.readthedocs.io/en/latest/boot-options.html#inst-addrepo

(BZ#1595415)

Anaconda soporta una ISO unificada en RHEL 8

En Red Hat Enterprise Linux 8.0, una ISO unificada carga automáticamente los repositorios fuente de instalación de BaseOS y AppStream.

Esta característica funciona para el primer repositorio base que se carga durante la instalación. Por ejemplo, si arranca la instalación sin ningún repositorio configurado y tiene la ISO unificada como repositorio base en la GUI, o si arranca la instalación usando la opción inst.repo= que apunta a la ISO unificada. Como resultado, el repositorio de AppStream está habilitado en la sección Additional Repositories de la ventana de la GUI Installation Source. No se puede eliminar el repositorio AppStream o cambiar su configuración, pero se puede desactivar en Installation Source. Esta característica no funciona si arranca la instalación utilizando un repositorio base diferente y luego lo cambia por la ISO unificada. Si hace eso, el repositorio base es reemplazado. Sin embargo, el repositorio de AppStream no es reemplazado y apunta al archivo original.

(BZ#1610806)

Anaconda puede instalar paquetes modulares en scripts Kickstart

El instalador de Anaconda se ha ampliado para manejar todas las características relacionadas con los flujos de aplicaciones: módulos, flujos y perfiles. Los scripts Kickstart pueden ahora habilitar combinaciones de módulos y flujos, instalar perfiles de módulos e instalar paquetes modulares. Para más información, vea Cómo realizar una instalación avanzada de RHEL.

(JIRA:RHELPLAN-1943)

La opción de arranque nosmt está ahora disponible en las opciones de instalación de RHEL 8

La opción de arranque nosmt está disponible en las opciones de instalación que se pasan a un sistema RHEL 8 recién instalado.

(BZ#1677411)

RHEL 8 soporta la instalación desde un repositorio en un disco duro local

Anteriormente, la instalación de RHEL desde un disco duro requería una imagen ISO como fuente de instalación. Sin embargo, la imagen ISO de RHEL 8 puede ser demasiado grande para algunos sistemas de archivos; por ejemplo, el sistema de archivos FAT32 no puede almacenar archivos de más de 4 GiB.

En RHEL 8, puede habilitar la instalación desde un repositorio en un disco duro local. Sólo tiene que especificar el directorio en lugar de la imagen ISO. Por ejemplo:`inst.repo=hd:<device>:<path to the repository>`

(BZ#1502323)

La creación de imágenes de sistema personalizadas con Image Builder está disponible en RHEL 8

La herramienta Image Builder permite a los usuarios crear imágenes RHEL personalizadas. Image Builder está disponible en AppStream en el paquete lorax-composer paquete.

Con Image Builder, los usuarios pueden crear imágenes de sistema personalizadas que incluyan paquetes adicionales. Se puede acceder a la funcionalidad de Image Builder a través de:

una interfaz gráfica de usuario en la consola web
una interfaz de línea de comandos en la herramienta composer-cli.

Los formatos de salida de Image Builder incluyen, entre otros:

imagen de disco ISO en vivo
archivo qcow2 para su uso directo con una máquina virtual u OpenStack
archivo de imagen del sistema de archivos
imágenes en la nube para Azure, VMWare y AWS

Para obtener más información sobre Image Builder, consulte el título de la documentación Composición de una imagen de sistema RHEL personalizada.

(JIRA:RHELPLAN-7291, BZ#1628645, BZ#1628646, BZ#1628647, BZ#1628648)

5.1.3. Núcleo

Versión del núcleo en RHEL 8.0

Red Hat Enterprise Linux 8.0 se distribuye con la versión 4.18.0-80 del kernel.

(BZ#1797671)

Ya está disponible el direccionamiento físico ARM de 52 bits

Con esta actualización, se dispone de soporte para el direccionamiento físico (PA) de 52 bits para la arquitectura ARM de 64 bits. Esto proporciona un mayor espacio de direcciones que el anterior PA de 48 bits.

(BZ#1643522)

El código IOMMU soporta tablas de páginas de 5 niveles en RHEL 8

El código de la unidad de gestión de memoria de E/S (IOMMU) en el kernel de Linux ha sido actualizado para soportar tablas de páginas de 5 niveles en Red Hat Enterprise Linux 8.

(BZ#1485546)

Soporte para la paginación de 5 niveles

Se ha añadido un nuevo tipo de tabla de páginas de software P4d_t en el kernel de Linux para soportar la paginación de 5 niveles en Red Hat Enterprise Linux 8.

(BZ#1485532)

La gestión de la memoria admite tablas de páginas de 5 niveles

Con Red Hat Enterprise Linux 7, el bus de memoria existente tenía 48/46 bits de capacidad de direccionamiento de memoria virtual/física, y el kernel de Linux implementó 4 niveles de tablas de páginas para gestionar estas direcciones virtuales a direcciones físicas. La línea de direccionamiento del bus físico puso la capacidad límite superior de la memoria física en 64 TB.

Estos límites se han ampliado a 57/52 bits de direccionamiento de memoria virtual/física con 128 PiB de espacio de direcciones virtuales y 4 PB de capacidad de memoria física.

Con el rango de direcciones ampliado, la gestión de memoria en Red Hat Enterprise Linux 8 añade soporte para la implementación de tablas de páginas de 5 niveles, para poder manejar el rango de direcciones ampliado.

(BZ#1485525)

kernel-signing-ca. cer se traslada a kernel-core en RHEL 8

En todas las versiones de Red Hat Enterprise Linux 7, la clave pública kernel-signing-ca.cer se encontraba en el paquete kernel-doc. Sin embargo, en Red Hat Enterprise Linux 8, kernel-signing-ca.cer se ha reubicado en el paquete kernel-core para todas las arquitecturas.

(BZ#1638465)

La mitigación de Spectre V2 ha cambiado por defecto de IBRS a Retpolines

La mitigación por defecto para la vulnerabilidad Spectre V2 (CVE-2017-5715) para los sistemas con los procesadores Intel Core de 6ª generación y sus derivados cercanos [1] ha cambiado de Especulación restringida de rama indirecta (IBRS) a Retpolines en Red Hat Enterprise Linux 8. Red Hat ha implementado este cambio como resultado de las recomendaciones de Intel para alinearse con los valores por defecto utilizados en la comunidad Linux y para restaurar el rendimiento perdido. Sin embargo, tenga en cuenta que el uso de Retpolines en algunos casos puede no mitigar completamente Spectre V2. El documento de Retpoline de Intel [2] describe algunos casos de exposición. Este documento también afirma que el riesgo de un ataque es bajo.

Para los casos de uso en los que se desea una mitigación completa de Spectre V2, el usuario puede seleccionar IBRS a través de la línea de arranque del kernel añadiendo el indicador spectre_v2=ibrs.

Si uno o más módulos del kernel no fueron construidos con el soporte de Retpoline, el archivo /sys/devices/system/cpu/vulnerabilities/spectre_v2 indicará la vulnerabilidad y el archivo /var/log/messages identificará los módulos infractores. Ver Cómo determinar qué módulos son los responsables de que spectre_v2 devuelva "Vulnerable": ¿Retpoline con módulo(s) inseguro(s)? " para más información.

1] La "6ª generación de procesadores Intel Core y sus derivados cercanos" es lo que el documento de Retpolines de Intel denomina "generación Skylake".

2] Retpoline: Una mitigación de la inyección en el objetivo de la rama - Libro Blanco

(BZ#1651806)

Software de host Intel® Omni-Path Architecture (OPA)

El software de host Intel Omni-Path Architecture (OPA) es totalmente compatible con Red Hat Enterprise Linux 8.

Intel OPA proporciona el hardware Host Fabric Interface (HFI) con la inicialización y la configuración para las transferencias de datos de alto rendimiento (alto ancho de banda, alta tasa de mensajes, baja latencia) entre los nodos de computación y E/S en un entorno de clúster.

Para obtener instrucciones sobre la instalación de la documentación de la Arquitectura Intel Omni-Path, consulte: https://www.intel.com/content/dam/support/us/en/documents/network-and-i-o/fabric-products/Intel_OP_Software_RHEL_8_RN_K51383.pdf

(BZ#1683712)

NUMA soporta más nodos en RHEL 8

Con esta actualización, el número de nodos de acceso a memoria no uniforme (NUMA) se ha incrementado de 4 nodos NUMA a 8 nodos NUMA en Red Hat Enterprise Linux 8 en sistemas con arquitectura ARM de 64 bits.

(BZ#1550498)

El passthrough de IOMMU está ahora habilitado por defecto en RHEL 8

La unidad de gestión de memoria de entrada/salida (IOMMU) se ha activado por defecto. Esto proporciona un mejor rendimiento para los sistemas AMD, ya que la reasignación de acceso directo a la memoria (DMA) está deshabilitada para el host. Esta actualización aporta coherencia con los sistemas Intel, en los que la reasignación DMA también está desactivada por defecto. Los usuarios pueden desactivar este comportamiento (y activar la reasignación DMA) especificando los parámetros iommu.passthrough=off o iommu=nopt en la línea de comandos del kernel, incluyendo el hipervisor.

(BZ#1658391)

El kernel de RHEL8 ahora soporta tablas de páginas de 5 niveles

El kernel de Red Hat Enterprise Linux es ahora totalmente compatible con los futuros procesadores Intel con hasta 5 niveles de tablas de páginas. Esto permite a los procesadores soportar hasta 4PB de memoria física y 128PB de espacio de direcciones virtuales. Las aplicaciones que utilizan grandes cantidades de memoria pueden ahora utilizar toda la memoria posible proporcionada por el sistema sin las restricciones de las tablas de páginas de 4 niveles.

(BZ#1623590)

El kernel de RHEL8 es compatible con el IBRS mejorado para las futuras CPU de Intel

El kernel de Red Hat Enterprise Linux ahora soporta el uso de la capacidad mejorada de Especulación Restringida de Rama Indirecta (IBRS) para mitigar la vulnerabilidad Spectre V2. Cuando se habilita, IBRS funcionará mejor que Retpolines (por defecto) para mitigar Spectre V2 y no interferirá con la tecnología Intel Control-flow Enforcement. Como resultado, la penalización del rendimiento al activar la mitigación de Spectre V2 será menor en las futuras CPU de Intel.

(BZ#1614144)

se ha añadidobpftool para la inspección y manipulación de programas y mapas basados en eBPF

La utilidad bpftool, que sirve para inspeccionar y manipular de forma sencilla programas y mapas basados en el filtrado de paquetes de Berkeley ampliado (eBPF), ha sido añadida al kernel de Linux. bpftool forma parte del árbol de fuentes del kernel, y es proporcionada por el paquete bpftool, que se incluye como un subpaquete del paquete kernel.

(BZ#1559607)

Las fuentes de kernel-rt han sido actualizadas

Las fuentes de kernel-rt han sido actualizadas para utilizar el último árbol de fuentes del kernel de RHEL. El último árbol de fuentes del kernel utiliza ahora el conjunto de parches en tiempo real de la versión 4.18, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior.

(BZ#1592977)

5.1.4. Gestión del software

YUM mejora del rendimiento y apoyo a los contenidos modulares

En Red Hat Enterprise Linux 8, la instalación de software está garantizada por la nueva versión de la herramienta YUM, que se basa en la tecnología DNF (YUM v4).

YUM v4 tiene las siguientes ventajas sobre el anterior YUM v3 utilizado en RHEL 7:

Mayor rendimiento
Soporte para contenidos modulares
API estable y bien diseñada para la integración con las herramientas

Para obtener información detallada sobre las diferencias entre la nueva herramienta YUM v4 y la versión anterior YUM v3 de RHEL 7, consulte Cambios en DNF CLI en comparación con YUM.

YUM v4 es compatible con YUM v3 cuando se utiliza desde la línea de comandos, editando o creando archivos de configuración.

Para instalar software, puede utilizar el comando yum y sus opciones particulares de la misma manera que en RHEL 7.

Algunos plug-ins y utilidades de yum han sido portados al nuevo back-end de DNF, y pueden ser instalados con los mismos nombres que en RHEL 7. También proporcionan enlaces simbólicos de compatibilidad, por lo que los binarios, archivos de configuración y directorios se pueden encontrar en las ubicaciones habituales.

Tenga en cuenta que la antigua API de Python proporcionada por YUM v3 ya no está disponible. Se aconseja a los usuarios que migren sus plug-ins y scripts a la nueva API proporcionada por YUM v4 (DNF Python API), que es estable y totalmente compatible. La API Python de DNF está disponible en DNF API Reference.

Las APIs Libdnf y Hawkey (tanto en C como en Python) son inestables y probablemente cambiarán durante el ciclo de vida de Red Hat Enterprise Linux 8.

Para más detalles sobre los cambios de los paquetes YUM y la disponibilidad de las herramientas, consulte Consideraciones para la adopción de RHEL 8.

Algunas de las características de YUM v3 pueden comportarse de manera diferente en YUM v4. Si algún cambio de este tipo afecta negativamente a sus flujos de trabajo, abra un caso con el Soporte de Red Hat, como se describe en ¿Cómo abro y gestiono un caso de soporte en el Portal del Cliente?

(BZ#1581198)

Características notables de RPM en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con RPM 4.14. Esta versión introduce muchas mejoras respecto a RPM 4.11, que está disponible en RHEL 7. Las características más notables incluyen:

Los paquetes debuginfo pueden instalarse en paralelo
Apoyo a las dependencias débiles
Apoyo a las dependencias ricas o booleanas
Soporte para empaquetar archivos de más de 4 GB de tamaño
Apoyo a los activadores de archivos

Además, los cambios más notables son:

Un parser de especificaciones más estricto
Simplificación de la comprobación de la salida de la firma en modo no-verboso
Adiciones y desapariciones en las macros

(BZ#1581990)

RPM ahora valida todo el contenido del paquete antes de iniciar una instalación

En Red Hat Enterprise Linux 7, la utilidad RPM verificaba el contenido de la carga útil de los archivos individuales mientras los desempaquetaba. Sin embargo, esto es insuficiente por múltiples razones:

Si la carga útil está dañada, sólo se nota después de ejecutar las acciones del script, que son irreversibles.
Si la carga útil está dañada, la actualización de un paquete aborta después de reemplazar algunos archivos de la versión anterior, lo que rompe una instalación en funcionamiento.
Los hashes de los archivos individuales se realizan sobre datos sin comprimir, lo que hace que RPM sea vulnerable a las vulnerabilidades del descompresor.

En Red Hat Enterprise Linux 8, todo el paquete se valida antes de la instalación en un paso separado, utilizando el mejor hash disponible.

Los paquetes creados en Red Hat Enterprise Linux 8 utilizan un nuevo hash SHA-256 en la carga útil comprimida. En los paquetes firmados, el hash de la carga útil está protegido adicionalmente por la firma, y por lo tanto no puede ser alterado sin romper la firma y otros hashes en la cabecera del paquete. Los paquetes más antiguos utilizan el hash MD5 de la cabecera y la carga útil, a menos que se desactive por configuración.

La macro %_pkgverify_level se puede utilizar para activar adicionalmente la verificación de firmas antes de la instalación o para desactivar completamente la verificación de la carga útil. Además, la macro %_pkgverify_flags se puede utilizar para limitar qué hashes y firmas se permiten. Por ejemplo, es posible deshabilitar el uso del hash débil MD5 a costa de la compatibilidad con paquetes más antiguos.

(JIRA:RHELPLAN-10596)

5.1.5. Servicios de infraestructura

Cambios notables en el perfil recomendado de Tuned en RHEL 8

Con esta actualización, el perfil recomendado de Tuned (informado por el comando tuned-adm recommend ) se selecciona ahora en base a las siguientes reglas - la primera regla que coincida tiene efecto:

Si el rol syspurpose (reportado por el comando syspurpose show ) contiene atomic, y al mismo tiempo:
- si Tuned se ejecuta en metal desnudo, se selecciona el perfil atomic-host
- si Tuned se ejecuta en una máquina virtual, se selecciona el perfil atomic-guest
Si Tuned se ejecuta en una máquina virtual, se selecciona el perfil de invitado virtual
Si la función syspurpose contiene escritorio o estación de trabajo y el tipo de chasis (reportado por dmidecode) es portátil, laptop o portátil, entonces se selecciona el perfil balanceado
Si no coincide ninguna de las reglas anteriores, se selecciona el perfil de rendimiento de caudal

(BZ#1565598)

Los archivos producidos por named pueden escribirse en el directorio de trabajo

Anteriormente, el demonio named almacenaba algunos datos en el directorio de trabajo, que ha sido de sólo lectura en Red Hat Enterprise Linux. Con esta actualización, se han cambiado las rutas de los archivos seleccionados a subdirectorios, donde se permite la escritura. Ahora, los permisos por defecto del directorio Unix y SELinux permiten la escritura en el directorio. Los archivos distribuidos dentro del directorio siguen siendo de sólo lectura a named.

(BZ#1588592)

Las bases de datos Geolite han sido sustituidas por las bases de datos Geolite2

Las bases de datos Geolite que estaban presentes en Red Hat Enterprise Linux 7 fueron reemplazadas por las bases de datos Geolite2 en Red Hat Enterprise Linux 8.

Las bases de datos de geolitos eran proporcionadas por el paquete GeoIP. Este paquete, junto con la base de datos heredada, ya no está soportado en la versión anterior.

Las bases de datos de Geolite2 son proporcionadas por múltiples paquetes. El paquete libmaxminddb incluye la biblioteca y la herramienta de línea de comandos mmdblookup, que permite la búsqueda manual de direcciones. El binario geoipupdate del paquete GeoIP heredado es ahora proporcionado por el paquete geoipupdate, y es capaz de descargar tanto las bases de datos heredadas como las nuevas bases de datos Geolite2.

(JIRA:RHELPLAN-6746)

Los registros de CUPS son manejados por journald

En RHEL 8, los registros de CUPS ya no se almacenan en archivos específicos dentro del directorio /var/log/cups, que se utilizaba en RHEL 7. En RHEL 8, todos los tipos de registros de CUPS se registran de forma centralizada en el demonio systemd journald junto con los registros de otros programas. Para acceder a los registros de CUPS, utilice el comando journalctl -u cups. Para más información, consulte Trabajar con los registros de CUPS.

(JIRA:RHELPLAN-12764)

Características notables de BIND en RHEL 8

RHEL 8 incluye BIND (Berkeley Internet Name Domain) en la versión 9.11. Esta versión del servidor DNS introduce múltiples novedades y cambios de características respecto a la versión 9.10.

Nuevas características:

Se ha añadido un nuevo método de aprovisionamiento de servidores secundarios llamado Catalog Zones.
Las cookies del sistema de nombres de dominio son ahora enviadas por el servicio nombrado y la utilidad dig.
La función Response Rate Limiting ahora puede ayudar a mitigar los ataques de amplificación de DNS.
Se ha mejorado el rendimiento de la zona de política de respuesta (RPZ).
Se ha añadido un nuevo formato de archivo de zona llamado mapa. Los datos de zona almacenados en este formato pueden ser mapeados directamente en la memoria, lo que permite que las zonas se carguen significativamente más rápido.
Se ha añadido una nueva herramienta llamada delv (domain entity lookup and validation), con una semántica similar a la de dig para buscar datos DNS y realizar la validación interna de las extensiones de seguridad DNS (DNSSEC).
Ya está disponible un nuevo comando mdig. Este comando es una versión del comando `dig` que envía múltiples consultas en cadena y luego espera las respuestas, en lugar de enviar una consulta y esperar la respuesta antes de enviar la siguiente consulta.
Se ha añadido una nueva opción de prefetch, que mejora el rendimiento del resolver recursivo.
Se ha añadido una nueva opción de zona en la vista, que permite compartir los datos de la zona entre las vistas. Cuando se utiliza esta opción, varias vistas pueden servir las mismas zonas de forma autorizada sin almacenar varias copias en la memoria.
Se ha añadido una nueva opción max-zone-ttl, que impone los TTL máximos para las zonas. Cuando se carga una zona que contiene un TTL superior, la carga falla. Las actualizaciones de DNS dinámico (DDNS) con TTLs más altos se aceptan pero el TTL se trunca.
Se han añadido nuevas cuotas para limitar las consultas que envían los resolutores recursivos a los servidores autoritativos que sufren ataques de denegación de servicio.
La utilidad nslookup ahora busca por defecto tanto direcciones IPv6 como IPv4.
El servicio nombrado ahora comprueba si hay otros procesos de servidor de nombres en ejecución antes de iniciarse.
Al cargar una zona firmada, named comprueba ahora si la hora de inicio de una firma de registro de recursos (RSIG) es futura y, en caso afirmativo, regenera la RRSIG inmediatamente.
Las transferencias de zona utilizan ahora tamaños de mensaje más pequeños para mejorar la compresión de los mensajes, lo que reduce el uso de la red.

Cambios en las características:

El esquema XML de la versión 3 para el canal de estadísticas, que incluye nuevas estadísticas y un árbol XML aplanado para un análisis más rápido, se proporciona mediante la interfaz HTTP. El esquema XML de la versión 2 ya no es compatible.
El servicio nombrado ahora escucha en las interfaces IPv6 e IPv4 por defecto.
El servicio nombrado ya no soporta GeoIP. Las listas de control de acceso (ACL) definidas por la presunta ubicación del remitente de la consulta no están disponibles.

(JIRA:RHELPLAN-1820)

5.1.6. Shell y herramientas de línea de comandos

El usuario nobody sustituye a nfsnobody

En Red Hat Enterprise Linux 7, lo había:

la pareja de usuario y grupo nobody con el ID 99, y
el par de usuario y grupo nfsnobody con el ID de 65534, que es el ID de desbordamiento del kernel por defecto, también.

Ambos han sido fusionados en el par de usuario y grupo nobody, que utiliza el ID 65534 en Red Hat Enterprise Linux 8. Las nuevas instalaciones ya no crean el par nfsnobody.

Este cambio reduce la confusión sobre los archivos que no son propiedad de nadie pero que no tienen nada que ver con NFS.

(BZ#1591969)

Sistemas de control de versiones en RHEL 8

RHEL 8 proporciona los siguientes sistemas de control de versiones:

Git 2.18, un sistema de control de revisiones distribuido con una arquitectura descentralizada.
Mercurial 4.8, un sistema ligero de control de versiones distribuido, diseñado para el manejo eficiente de grandes proyectos.
Subversion 1.10, un sistema de control de versiones centralizado.

Tenga en cuenta que el Sistema de Versiones Concurrentes (CVS) y el Sistema de Control de Revisiones (RCS), disponibles en RHEL 7, no se distribuyen con RHEL 8.

(BZ#1693775)

Cambios notables en Subversion 1.10

Subversion 1.10 introduce una serie de nuevas características desde la versión 1.7 distribuida en RHEL 7, así como los siguientes cambios de compatibilidad:

Debido a incompatibilidades en las bibliotecas de Subversion utilizadas para soportar los enlaces de lenguaje, los enlaces de Python 3 para Subversion 1. 10 no están disponibles. Como consecuencia, las aplicaciones que requieren enlaces de Python para Subversion no son compatibles.
Los repositorios basados en Berkeley DB ya no están soportados. Antes de migrar, haga una copia de seguridad de los repositorios creados con Subversion 1. 7 utilizando el comando svnadmin dump. Después de instalar RHEL 8, restaure los repositorios utilizando el comando svnadmin load.
Las copias de trabajo existentes que han sido verificadas por el cliente Subversion 1.7 en RHEL 7 deben ser actualizadas al nuevo formato antes de que puedan ser utilizadas desde Subversion 1.10. Después de instalar RHEL 8, ejecute el comando svn upgrade en cada copia de trabajo.
Ya no se admite la autenticación con tarjeta inteligente para acceder a los repositorios mediante https://.

(BZ#1571415)

Cambios notables en dstat

RHEL 8 se distribuye con una nueva versión de la herramienta dstat. Esta herramienta forma ahora parte del conjunto de herramientas Performance Co-Pilot (PCP). El archivo /usr/bin/dstat y el nombre del paquete dstat lo proporciona ahora el paquete pcp-system-tools.

La nueva versión de dstat introduce las siguientes mejoras respecto a dstat disponible en RHEL 7:

soporte depython3
Análisis histórico
Análisis de hosts remotos
Plugins de archivos de configuración
Nuevas métricas de rendimiento

(BZ#1684947)

5.1.7. Lenguajes de programación dinámicos, servidores web y de bases de datos

Python 3 es la implementación de Python por defecto en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con Python 3.6. El paquete puede no estar instalado por defecto. Para instalar Python 3.6, utilice el comando yum install python3.

Python2. 7 está disponible en el paquete python2. Sin embargo, Python 2 tendrá un ciclo de vida más corto y su objetivo es facilitar a los clientes una transición más suave a Python 3.

Ni el paquete python por defecto ni el ejecutable /usr/bin/python sin versionar se distribuyen con RHEL 8. Se aconseja a los clientes que utilicen directamente python3 o python2. Como alternativa, los administradores pueden configurar el comando python no versionado utilizando el comando alternatives.

Para más detalles, consulte Uso de Python en Red Hat Enterprise Linux 8.

(BZ#1580387)

Los scripts de Python deben especificar la versión principal en los hashbangs en el momento de construir el RPM

En RHEL 8, se espera que los scripts ejecutables de Python utilicen hashbangs (shebangs) especificando explícitamente al menos la versión principal de Python.

El script /usr/lib/rpm/redhat/brp-mangle-shebangs buildroot policy (BRP) se ejecuta automáticamente al construir cualquier paquete RPM. Este script intenta corregir los hashbangs en todos los archivos ejecutables. Cuando el script encuentra hashbangs ambiguos de Python que no especifican la versión mayor de Python, genera errores y la construcción del RPM falla. Ejemplos de tales hashbangs ambiguos incluyen:

#! /usr/bin/python
#! /usr/bin/env python

Para modificar los hashbangs en los scripts de Python que causan estos errores de compilación en el momento de construir el RPM, utilice el script pathfix.py del paquete platform-python-devel:

pathfix.py -pn -i %{__python3} PATH...

Se pueden especificar múltiples PATHs. Si un PATH es un directorio, pathfix.py busca recursivamente cualquier script de Python que coincida con el patrón ^[a-zA-Z0-9_] \_.py$, no sólo aquellos con un hashbang ambiguo. Añade el comando para ejecutar pathfix. py a la sección %prep o al final de la sección %install.

Para más información, consulte Manejo de hashbangs en scripts de Python.

(BZ#1583620)

Cambios notables en PHP

Red Hat Enterprise Linux 8 se distribuye con PHP 7.2. Esta versión introduce los siguientes cambios importantes con respecto a PHP 5.4, que está disponible en RHEL 7:

PHP utiliza FastCGI Process Manager (FPM) por defecto (seguro para su uso con un httpd roscado)
Las variables php_value y php-flag ya no deben utilizarse en los archivos de configuración de httpd; en su lugar, deben establecerse en la configuración del pool: /etc/php-fpm.d/*.conf
Los errores y advertencias de los scriptsPHP se registran en el archivo /var/log/php-fpm/www-error.log en lugar de /var/log/httpd/error.log
Al cambiar la variable de configuración PHP max_execution_time, el ajuste httpd ProxyTimeout debe ser aumentado para que coincida con
El usuario que ejecuta los scripts PHP está ahora configurado en la configuración del pool de FPM (el archivo /etc/php-fpm.d/www.conf; el usuario apache es el predeterminado)
El servicio php-fpm debe reiniciarse después de un cambio de configuración o de la instalación de una nueva extensión
La extensión zip se ha trasladado del paquete php-common a un paquete independiente, php-pecl-zip

Se han eliminado las siguientes extensiones:

aspell
mysql (tenga en cuenta que las extensiones mysqli y pdo_mysql siguen estando disponibles, proporcionadas por el paquete php-mysqlnd )
memcache

(BZ#1580430, BZ#1691688)

Cambios notables en Ruby

RHEL 8 ofrece Ruby 2.5, que introduce numerosas novedades y mejoras respecto a Ruby 2.0.0 disponible en RHEL 7. Los cambios más destacados son:

Se ha añadido el recolector de basura incremental.
Se ha añadido la sintaxis Refinamientos.
Los símbolos son ahora recolectados por la basura.
Los niveles de seguridad $SAFE=2 y $SAFE=3 han quedado obsoletos.
Las clases Fixnum y Bignum se han unificado en la clase Integer.
Se ha mejorado el rendimiento gracias a la optimización de la clase Hash, a la mejora del acceso a las variables de instancia y a que la clase Mutex es más pequeña y rápida.
Algunas API antiguas han quedado obsoletas.
Se han actualizado las bibliotecas incluidas, como RubyGems, Rake, RDoc, Psych, Minitest y test-unit.
Otras bibliotecas, como mathn, DL, ext/tk y XMLRPC, que antes se distribuían con Ruby, están obsoletas o ya no se incluyen.
El esquema de versionado SemVer se utiliza ahora para el versionado de Ruby.

(BZ#1648843)

Cambios notables en Perl

Perl 5.26, distribuido con RHEL 8, introduce los siguientes cambios respecto a la versión disponible en RHEL 7:

Ahora es compatible conUnicode 9.0.
Se proporcionan nuevas sondas SystemTap de entrada de operaciones, de archivo de carga y de archivo cargado.
El mecanismo de copia en escritura se utiliza al asignar escalares para mejorar el rendimiento.
Se ha añadido el módulo IO::Socket::IP para manejar los sockets IPv4 e IPv6 de forma transparente.
Se ha añadido el módulo Config::Perl::V para acceder a los datos de perl -V de forma estructurada.
Se ha añadido un nuevo paquete perl-App-cpanminus, que contiene la utilidad cpanm para obtener, extraer, construir e instalar módulos del repositorio Comprehensive Perl Archive Network (CPAN).
El directorio actual . ha sido eliminado de la ruta de búsqueda del módulo @INC por razones de seguridad.
La sentencia do ahora devuelve una advertencia de desaprobación cuando falla al cargar un archivo debido al cambio de comportamiento descrito anteriormente.
La llamada a la subrutina do(LIST) ya no se admite y da lugar a un error de sintaxis.
Ahora los hash son aleatorios por defecto. El orden en el que se devuelven las claves y los valores de un hash cambia en cada ejecución de Perl. Para desactivar la aleatoriedad, establezca la variable de entorno PERL_PERTURB_KEYS en 0.
Ya no se permiten los caracteres literales { sin mayúsculas en los patrones de expresiones regulares.
Se ha eliminado el soporte del ámbito léxico para la variable $_.
El uso del operador definido en un array o en un hash produce un error fatal.
La importación de funciones del módulo UNIVERSAL produce un error fatal.
Se han eliminado las herramientas find2perl, s2p, a2p, c2ph y pstruct.
Se ha eliminado la facilidad ${^ENCODING}. Ya no se admite el modo por defecto del pragma de codificación. Para escribir el código fuente en otra codificación que no sea UTF-8, utilice la opción Filter de la codificación.
El paquete perl está ahora alineado con el upstream. El paquete perl instala también los módulos centrales, mientras que el intérprete /usr/bin/perl es proporcionado por el paquete perl-interpreter. En versiones anteriores, el paquete perl sólo incluía un intérprete mínimo, mientras que el paquete perl-core incluía tanto el intérprete como los módulos centrales.
El módulo IO::Socket::SSL Perl ya no carga un certificado de autoridad de certificación desde el archivo ./certs/my-ca.pem o el directorio ./ca, una clave privada del servidor desde el archivo ./certs/server-key.pem, un certificado del servidor desde el archivo ./certs/server-cert.pem, una clave privada del cliente desde el archivo ./certs/client-key.pem y un certificado del cliente desde el archivo ./certs/client-cert.pem. En su lugar, especifique las rutas de acceso a los archivos de forma explícita.

(BZ#1511131)

Node.js nuevo en RHEL

Node.js, una plataforma de desarrollo de software para crear aplicaciones de red rápidas y escalables en el lenguaje de programación JavaScript, se ofrece por primera vez en RHEL. Anteriormente sólo estaba disponible como Colección de Software. RHEL 8 proporciona Node.js 10.

(BZ#1622118)

Cambios notables en SWIG

RHEL 8 incluye la versión 3.0 de Simplified Wrapper and Interface Generator (SWIG), que ofrece numerosas novedades, mejoras y correcciones de errores respecto a la versión 2.0 distribuida en RHEL 7. En particular, se ha implementado la compatibilidad con el estándar C 11. SWIG ahora también es compatible con Go 1.6, PHP 7, Octave 4.2 y Python 3.5.

(BZ#1660051)

Cambios notables en Apache httpd

RHEL 8 se distribuye con el servidor HTTP Apache 2.4.37. Esta versión introduce los siguientes cambios respecto a httpd disponible en RHEL 7:

El paquete mod_http2, que forma parte del módulo httpd, ofrece ahora soporte para HTTP/2.
El aprovisionamiento y la renovación automatizados de certificados TLS mediante el protocolo ACME (Automatic Certificate Management Environment) son ahora compatibles con el paquete mod_md (para su uso con proveedores de certificados como Let's Encrypt)
El servidor HTTP Apache soporta ahora la carga de certificados TLS y claves privadas de tokens de seguridad de hardware directamente desde módulos PKCS#11. Como resultado, una configuración mod_ssl puede ahora utilizar URLs PKCS#11 para identificar la clave privada TLS y, opcionalmente, el certificado TLS en las directivas SSLCertificateKeyFile y SSLCertificateFile.
El módulo de multiprocesamiento (MPM) configurado por defecto con el Servidor HTTP Apache ha cambiado de un modelo multiproceso y bifurcado (conocido como prefork) a un modelo multihilo de alto rendimiento, event. Cualquier módulo de terceros que no sea seguro para los hilos debe ser reemplazado o eliminado. Para cambiar el MPM configurado, edite el archivo /etc/httpd/conf.modules.d/00-mpm.conf. Consulte la página man de httpd.conf(5 ) para obtener más información.

Para más información sobre los cambios en httpd y su uso, consulte Configuración del servidor web Apache HTTP.

(BZ#1632754, BZ#1527084, BZ#1581178)

El servidor web nginx nuevo en RHEL

RHEL 8 introduce nginx 1.14, un servidor web y proxy que soporta HTTP y otros protocolos, con un enfoque en la alta concurrencia, el rendimiento y el bajo uso de memoria. nginx estaba previamente disponible sólo como una Colección de Software.

El servidor web nginx ahora soporta la carga de claves privadas TLS de tokens de seguridad de hardware directamente desde los módulos PKCS#11. Como resultado, una configuración de nginx puede utilizar URLs PKCS#11 para identificar la clave privada TLS en la directiva ssl_certificate_key.

(BZ#1545526)

Servidores de bases de datos en RHEL 8

RHEL 8 proporciona los siguientes servidores de bases de datos:

MySQL 8.0, un servidor de bases de datos SQL multiusuario y multihilo. Está compuesto por el demonio del servidor MySQL, mysqld, y muchos programas cliente.
MariaDB 10.3, un servidor de bases de datos SQL multiusuario y multihilo. A efectos prácticos, MariaDB es compatible con MySQL.
PostgreSQL 10 y PostgreSQL 9.6, un avanzado sistema de gestión de bases de datos relacionales a objetos (DBMS).
Redis 5, un almacén avanzado de valores clave. A menudo se le denomina servidor de estructuras de datos porque las claves pueden contener cadenas, hashes, listas, conjuntos y conjuntos ordenados. Redis se ofrece por primera vez en RHEL.

Tenga en cuenta que el servidor de bases de datos NoSQL MongoDB no está incluido en RHEL 8.0 porque utiliza la licencia pública del lado del servidor (SSPL).

(BZ#1647908)

Cambios notables en MySQL 8.0

RHEL 8 se distribuye con MySQL 8.0, que proporciona, por ejemplo, las siguientes mejoras:

MySQL incorpora ahora un diccionario de datos transaccional, que almacena información sobre los objetos de la base de datos.
MySQL ahora soporta roles, que son colecciones de privilegios.
Se ha cambiado el juego de caracteres por defecto de latin1 a utf8mb4.
Se ha añadido soporte para las expresiones comunes de la tabla, tanto no recursivas como recursivas.
MySQL soporta ahora funciones de ventana, que realizan un cálculo para cada fila de una consulta, utilizando filas relacionadas.
InnoDB soporta ahora las opciones NOWAIT y SKIP LOCKED con las sentencias de lectura de bloqueo.
Se han mejorado las funciones relacionadas con el SIG.
Se ha mejorado la funcionalidad de JSON.
Los nuevos paquetes mariadb-connector-c proporcionan una biblioteca cliente común para MySQL y MariaDB. Esta biblioteca se puede utilizar con cualquier versión de los servidores de bases de datos MySQL y MariaDB. Como resultado, el usuario puede conectar una compilación de una aplicación a cualquiera de los servidores MySQL y MariaDB distribuidos con RHEL 8.

Además, el servidor MySQL 8. 0 distribuido con RHEL 8 está configurado para utilizar mysql_native_password como complemento de autenticación por defecto porque las herramientas y librerías de cliente en RHEL 8 son incompatibles con el método caching_sha2_password, que se utiliza por defecto en la versión upstream de MySQL 8.0.

Para cambiar el complemento de autenticación por defecto a caching_sha2_password, edite el archivo /etc/my.cnf.d/mysql-default-authentication-plugin.cnf como sigue:

[mysqld]
default_authentication_plugin=caching_sha2_password

(BZ#1649891, BZ#1519450, BZ#1631400)

Cambios notables en MariaDB 10.3

MariaDB 10.3 aporta numerosas novedades respecto a la versión 5.5 distribuida en RHEL 7, como por ejemplo

Expresiones comunes de la tabla
Tablas con versión del sistema
BuclesFOR
Columnas invisibles
Secuencias
Instant ADD COLUMN para InnoDB
Compresión de columna independiente del motor de almacenamiento
Replicación paralela
Replicación de múltiples fuentes

Además, los nuevos paquetes mariadb-connector-c proporcionan una biblioteca cliente común para MySQL y MariaDB. Esta biblioteca se puede utilizar con cualquier versión de los servidores de bases de datos MySQL y MariaDB. Como resultado, el usuario puede conectar una compilación de una aplicación a cualquiera de los servidores MySQL y MariaDB distribuidos con RHEL 8.

Otros cambios notables son:

MariaDB Galera Cluster, un clúster multimaster síncrono, es ahora una parte estándar de MariaDB.
Se utilizaInnoDB como motor de almacenamiento por defecto en lugar de XtraDB.
Se ha eliminado el subpaquete mariadb-bench.
El nivel permitido por defecto de la madurez del plug-in se ha cambiado a un nivel menos que la madurez del servidor. Como resultado, los plug-ins con un nivel de madurez inferior que antes funcionaban, ya no se cargarán.

Véase también Uso de MariaDB en Red Hat Enterprise Linux 8.

(BZ#1637034, BZ#1519450, BZ#1688374)

Cambios notables en PostgreSQL

RHEL 8.0 proporciona dos versiones del servidor de bases de datos PostgreSQL, distribuidas en dos corrientes del módulo postgresql: PostgreSQL 10 (la corriente por defecto) y PostgreSQL 9.6. RHEL 7 incluye la versión 9.2 de PostgreSQL.

Los cambios notables en PostgreSQL 9. 6 son, por ejemplo:

Ejecución paralela de las operaciones secuenciales: scan, join y aggregate
Mejoras en la replicación sincrónica
Mejora de la búsqueda de texto completo que permite a los usuarios buscar frases
El controlador de federación de datos postgres_fdw soporta ahora operaciones remotas de unión, ordenación, UPDATE y DELETE
Mejoras sustanciales en el rendimiento, especialmente en lo que respecta a la escalabilidad en los servidores con múltiples CPUs

Las principales mejoras de PostgreSQL 10 incluyen:

Replicación lógica mediante las palabras clave publish y subscribe
Autenticación de contraseñas más fuerte basada en el mecanismo SCRAM-SHA-256
Partición declarativa de tablas
Mejora del paralelismo de las consultas
Mejoras significativas en el rendimiento general
Mejora de la supervisión y el control

Véase también Uso de PostgreSQL en Red Hat Enterprise Linux 8.

(BZ#1660041)

Cambios notables en Squid

RHEL 8.0 se distribuye con Squid 4.4, un servidor proxy de alto rendimiento para el almacenamiento en caché de los clientes web, que admite objetos de datos FTP, Gopher y HTTP. Esta versión ofrece numerosas novedades, mejoras y correcciones de errores respecto a la versión 3.5 disponible en RHEL 7.

Los cambios más destacados son:

Tamaño de la cola de ayuda configurable
Cambios en los canales de ayuda a la concurrencia
Cambios en el binario de ayuda
Protocolo de Adaptación de Contenidos a Internet (ICAP) seguro
Mejora de la compatibilidad con el multiprocesamiento simétrico (SMP)
Mejora de la gestión de los procesos
Se ha eliminado la compatibilidad con SSL
Se ha eliminado el analizador sintáctico personalizado Edge Side Includes (ESI)
Múltiples cambios de configuración

(BZ#1656871)

Varnish Cache nuevo en RHEL

Varnish Cache, un proxy inverso HTTP de alto rendimiento, se proporciona por primera vez en RHEL. Anteriormente sólo estaba disponible como Colección de Software. Varnish Cache almacena archivos o fragmentos de archivos en memoria que se utilizan para reducir el tiempo de respuesta y el consumo de ancho de banda de la red en futuras peticiones equivalentes. RHEL 8.0 se distribuye con Varnish Cache 6.0.

(BZ#1633338)

5.1.8. Escritorio

GNOME Shell, versión 3.28 en RHEL 8

GNOME Shell, versión 3.28 está disponible en Red Hat Enterprise Linux (RHEL) 8. Las mejoras más destacadas son:

Nuevas características de GNOME Boxes
Nuevo teclado en pantalla
Compatibilidad con dispositivos ampliada, sobre todo con la integración de la interfaz Thunderbolt 3
Mejoras para el software de GNOME, el editor de dconf y la terminal de GNOME

(BZ#1649404)

Wayland es el servidor de visualización por defecto

Con Red Hat Enterprise Linux 8, la sesión de GNOME y el Gestor de Pantalla de GNOME (GDM) utilizan Wayland como su servidor de pantalla por defecto en lugar del servidor X.org, que se utilizaba con la versión principal anterior de RHEL.

Wayland ofrece múltiples ventajas y mejoras respecto a X.org. Sobre todo:

Modelo de seguridad más sólido
Mejora de la gestión de varios monitores
Mejora del escalado de la interfaz de usuario (UI)
El escritorio puede controlar el manejo de las ventanas directamente.

Tenga en cuenta que las siguientes funciones no están disponibles actualmente o no funcionan como se esperaba:

Las configuraciones multi-GPU no son compatibles con Wayland.
El controlador binario NVIDIA no funciona bajo Wayland.
La utilidad xrandr no funciona bajo Wayland debido a su diferente enfoque de manipulación, resoluciones, rotaciones y diseño. Tenga en cuenta que otras utilidades de X.org para manipular la pantalla tampoco funcionan bajo Wayland,.
La grabación de pantalla, el escritorio remoto y la accesibilidad no siempre funcionan correctamente en Wayland.
No hay gestor de portapapeles disponible.
Wayland ignora las capturas de teclado emitidas por las aplicaciones X11, como los visores de máquinas virtuales.
Wayland dentro de las máquinas virtuales (VM) invitadas tiene problemas de estabilidad y rendimiento, por lo que se recomienda utilizar la sesión X11 para entornos virtuales.

Si actualiza a RHEL 8 desde un sistema RHEL 7 en el que utilizaba la sesión de GNOME X.org, su sistema sigue utilizando X.org. El sistema también vuelve automáticamente a X.org cuando los siguientes controladores gráficos están en uso:

El controlador binario de NVIDIA
El conductor de Cirrus
El conductor mga
El conductor de aspeed

Puede desactivar el uso de Wayland manualmente:

Para desactivar Wayland en GDM, establezca la opción WaylandEnable=false en el archivo /etc/gdm/custom.conf.
Para desactivar Wayland en la sesión de GNOME, seleccione la opción de X11 heredado utilizando el menú de rueda dentada en la pantalla de inicio de sesión después de introducir su nombre de usuario.

Para más detalles sobre Wayland, consulte https://wayland.freedesktop.org/.

(BZ#1589678)

Localización de paquetes RPM que están en repositorios no habilitados por defecto

Los repositorios adicionales para el escritorio no están habilitados por defecto. La deshabilitación se indica con la línea enabled=0 en el archivo .repo correspondiente. Si intentas instalar un paquete desde dicho repositorio usando PackageKit, PackageKit muestra un mensaje de error anunciando que la aplicación no está disponible. Para hacer que el paquete esté disponible, sustituya la línea enabled=0 utilizada anteriormente en el archivo . repo correspondiente por enabled=1.

(JIRA:RHELPLAN-2878)

GNOME Sofware para la gestión de paquetes

El paquete gnome-packagekit que proporcionaba una colección de herramientas para la gestión de paquetes en entorno gráfico en Red Hat Enterprise Linux 7 ya no está disponible. En Red Hat Enterprise Linux 8, una funcionalidad similar es proporcionada por la utilidad GNOME Software, que permite instalar y actualizar aplicaciones y extensiones de gnome-shell. GNOME Software se distribuye en el paquete gnome-software.

(JIRA:RHELPLAN-3001)

Escala fraccionaria disponible para GNOME Shell en Wayland

En una sesión de GNOME Shell on Wayland, está disponible la función de escalado fraccionario. Esta función permite escalar la GUI por fracciones, lo que mejora el aspecto de la GUI escalada en determinadas pantallas.

Tenga en cuenta que esta función se considera actualmente experimental y, por tanto, está desactivada por defecto.

Para habilitar la escala fraccionaria, ejecute el siguiente comando:

# gsettings set org.gnome.mutter experimental-features \N"['scale-monitor-framebuffer']\N-"

(BZ#1668883)

5.1.9. Habilitación de hardware

Las actualizaciones de firmware mediante fwupd están disponibles

RHEL 8 admite actualizaciones de firmware, como la cápsula UEFI, la actualización del firmware del dispositivo (DFU) y otras, mediante el demonio fwupd. El demonio permite que el software de sesión actualice el firmware del dispositivo en una máquina local de forma automática.

Para ver y aplicar las actualizaciones, puede utilizar:

Un gestor de software GUI, como GNOME Software
La herramienta de línea de comandos fwupdmgr

Los archivos de metadatos se descargan automáticamente desde el portal seguro Linux Vendor Firmware Service (LVFS) y se envían a fwupd a través de D-Bus. Las actualizaciones que deben aplicarse se descargan mostrando las notificaciones del usuario y los detalles de la actualización. El usuario debe aceptar explícitamente la acción de actualización del firmware antes de que se realice la actualización.

Tenga en cuenta que el acceso a LVFS está desactivado por defecto.

Para habilitar el acceso a LVFS, haga clic en el control deslizante en el diálogo de fuentes en GNOME Software, o ejecute el comando fwupdmgr enable-remote lvfs. Si utiliza fwupdmgr para obtener la lista de actualizaciones, se le preguntará si desea habilitar LVFS.

Con el acceso a LVFS, obtendrá las actualizaciones de firmware directamente del proveedor de hardware. Tenga en cuenta que dichas actualizaciones no han sido verificadas por el departamento de control de calidad de Red Hat.

(BZ#1504934)

El modo de memoria para la tecnología Optane DC Persistent Memory es totalmente compatible

Los dispositivos de almacenamiento de memoria persistente Intel Optane DC proporcionan una tecnología de memoria persistente de clase de centro de datos, que puede aumentar significativamente el rendimiento de las transacciones.

Para utilizar la tecnología del Modo Memoria, su sistema no necesita ningún controlador especial ni certificación específica. El Modo Memoria es transparente para el sistema operativo.

(BZ#1718422)

5.1.10. Gestión de la identidad

Nuevas comprobaciones de la sintaxis de las contraseñas en el servidor de directorios

Esta mejora añade nuevas comprobaciones de la sintaxis de las contraseñas a Directory Server. Los administradores pueden ahora, por ejemplo, habilitar las comprobaciones de diccionario, permitir o denegar el uso de secuencias de caracteres y palíndromos. Como resultado, si se habilita, la comprobación de la sintaxis de la política de contraseñas en Directory Server impone contraseñas más seguras.

(BZ#1334254)

El Servidor de directorios ofrece ahora un soporte mejorado para el registro de operaciones internas

Varias operaciones en Directory Server, iniciadas por el servidor y los clientes, provocan operaciones adicionales en segundo plano. Anteriormente, el servidor sólo registraba para las operaciones internas la palabra clave Internal connection, y el ID de la operación siempre se establecía en -1. Con esta mejora, Directory Server registra la conexión real y el ID de la operación. Ahora se puede rastrear la operación interna hasta la operación del servidor o del cliente que causó esta operación.

(BZ#1358706)

La biblioteca tomcatjss soporta la comprobación de OCSP utilizando el respondedor de la extensión AIA

Con esta mejora, la biblioteca tomcatjss admite la comprobación del Protocolo de Estado de Certificados en Línea (OCSP) utilizando la respuesta de la extensión de Acceso a la Información de la Autoridad (AIA) de un certificado. Como resultado, los administradores de Red Hat Certificate System pueden ahora configurar la comprobación OCSP que utiliza la URL de la extensión AIA.

(BZ#1636564)

Los comandos pki subsystem-cert-find y pki subsystem-cert-show muestran ahora el número de serie de los certificados

Con esta mejora, los comandos pki subsystem-cert-find y pki subsystem-cert-show de Certificate System muestran el número de serie de los certificados en su salida. El número de serie es un dato importante y a menudo es necesario para otros muchos comandos. Por tanto, ahora es más fácil identificar el número de serie de un certificado.

(BZ#1566360)

Los comandos pki user y pki group han quedado obsoletos en Certificate System

Con esta actualización, los nuevos comandos pki <subsystem>-user y pki <subsystem>-group sustituyen a los comandos pki user y pki group en Certificate System. Los comandos sustituidos siguen funcionando, pero muestran un mensaje de que el comando está obsoleto y hacen referencia a los nuevos comandos.

(BZ#1394069)

El sistema de certificados ahora permite la renovación sin conexión de los certificados del sistema

Con esta mejora, los administradores pueden utilizar la función de renovación sin conexión para renovar los certificados de sistema configurados en Certificate System. Cuando un certificado de sistema caduca, Certificate System no se inicia. Gracias a esta mejora, los administradores ya no necesitan soluciones para sustituir un certificado de sistema caducado.

(BZ#1669257)

El Sistema de Certificados ahora puede crear CSRs con extensión SKI para la firma de CAs externas

Con esta mejora, Certificate System admite la creación de una solicitud de firma de certificado (CSR) con la extensión del identificador de clave del sujeto (SKI) para la firma de una autoridad de certificación (CA) externa. Algunas CA requieren esta extensión con un valor determinado o derivado de la clave pública de la CA. Como resultado, los administradores pueden ahora utilizar el parámetro pki_req_ski en el archivo de configuración pasado a la utilidad pkispawn para crear una CSR con extensión SKI.

(BZ#1656856)

SSSD ya no utiliza el valor fallback_homedir de la sección [nss ] como fallback para los dominios AD

Antes de RHEL 7.7, el parámetro fallback_homedir de SSSD en un proveedor de Active Directory (AD) no tenía ningún valor por defecto. Si fallback_homedir no se establecía, SSSD utilizaba en su lugar el valor del mismo parámetro de la sección [nss] del archivo /etc/sssd/sssd.conf. Para aumentar la seguridad, SSSD en RHEL 7.7 introdujo un valor por defecto para fallback_homedir. Como consecuencia, SSSD ya no recurre al valor establecido en la sección [nss]. Si desea utilizar un valor diferente al predeterminado para el parámetro fallback_homedir en un dominio AD, debe establecerlo manualmente en la sección del dominio.

(BZ#1652719)

SSSD ahora permite seleccionar uno de los múltiples dispositivos de autenticación de tarjetas inteligentes

Por defecto, el demonio de servicios de seguridad del sistema (SSSD) intenta detectar un dispositivo para la autenticación con tarjeta inteligente automáticamente. Si hay varios dispositivos conectados, SSSD selecciona el primero que detecta. En consecuencia, no puede seleccionar un dispositivo en particular, lo que a veces provoca fallos.

Con esta actualización, puede configurar una nueva opción p11_uri para la sección [pam] del archivo de configuración sssd.conf. Esta opción permite definir qué dispositivo se utiliza para la autenticación con tarjeta inteligente.

Por ejemplo, para seleccionar un lector con el id de ranura 2 detectado por el módulo OpenSC PKCS#11, añada:

p11_uri = library-description=Marco de la tarjeta inteligente OpenSC;slot-id=2

a la sección [pam] de sssd.conf.

Para más detalles, consulte la página man sssd.conf.

(BZ#1620123)

Los usuarios locales son cacheados por SSSD y servidos a través del módulo nss_sss

En RHEL 8, el demonio de servicios de seguridad del sistema (SSSD) sirve a los usuarios y grupos desde los archivos /etc/passwd y /etc/groups por defecto. El módulo sss nsswitch precede a los archivos en el archivo /etc/nsswitch.conf.

La ventaja de servir a los usuarios locales a través de SSSD es que el módulo nss_sss tiene una caché rápida mapeada en memoria que acelera las búsquedas del conmutador de servicios de nombres (NSS) en comparación con el acceso al disco y la apertura de los archivos en cada solicitud de NSS. Anteriormente, el demonio de la caché del servicio de nombres(nscd) ayudaba a acelerar el proceso de acceso al disco. Sin embargo, utilizar nscd en paralelo con SSSD es engorroso, ya que tanto SSSD como nscd utilizan su propia caché independiente. En consecuencia, el uso de nscd en configuraciones en las que SSSD también está sirviendo a los usuarios de un dominio remoto, por ejemplo LDAP o Active Directory, puede causar un comportamiento impredecible.

Con esta actualización, la resolución de usuarios y grupos locales es más rápida en RHEL 8. Tenga en cuenta que el usuario root nunca es manejado por SSSD, por lo tanto la resolución de root no puede ser impactada por un potencial error en SSSD. Tenga en cuenta también que si SSSD no se está ejecutando, el módulo nss_sss maneja la situación con gracia retrocediendo a nss_files para evitar problemas. No tiene que configurar SSSD de ninguna manera, el dominio de archivos se añade automáticamente.

(JIRA:RHELPLAN-10439)

KCM sustituye a KEYRING como almacenamiento de caché de credenciales por defecto

En RHEL 8, el almacenamiento por defecto de la caché de credenciales es el Kerberos Credential Manager (KCM) que está respaldado por el deamon sssd-kcm. KCM supera las limitaciones del anteriormente utilizado KEYRING, como que es difícil de utilizar en entornos de contenedores porque no tiene espacio para nombres, y para ver y gestionar cuotas.

Con esta actualización, RHEL 8 contiene una caché de credenciales que se adapta mejor a los entornos en contenedores y que proporciona una base para crear más funciones en futuras versiones.

(JIRA:RHELPLAN-10440)

Los usuarios de Active Directory pueden ahora administrar la Gestión de Identidades

Con esta actualización, RHEL 8 permite añadir una anulación de ID de usuario para un usuario de Active Directory (AD) como miembro de un grupo de gestión de identidades (IdM). Una anulación de ID es un registro que describe cómo deben ser las propiedades de un usuario o grupo específico de AD dentro de una vista de ID específica, en este caso la vista de confianza predeterminada. Como consecuencia de la actualización, el servidor LDAP de IdM es capaz de aplicar las reglas de control de acceso del grupo de IdM al usuario de AD.

Los usuarios de AD ahora pueden utilizar las funciones de autoservicio de la interfaz de IdM, por ejemplo, para cargar sus claves SSH o cambiar sus datos personales. Un administrador de AD es capaz de administrar completamente IdM sin tener dos cuentas y contraseñas diferentes. Tenga en cuenta que, actualmente, algunas funciones de IdM pueden seguir sin estar disponibles para los usuarios de AD.

(JIRA:RHELPLAN-10442)

sssctl imprime un informe de reglas HBAC para un dominio IdM

Con esta actualización, la utilidad sssctl del demonio de servicios de seguridad del sistema (SSSD) puede imprimir un informe de control de acceso para un dominio de gestión de identidades (IdM). Esta función satisface la necesidad de ciertos entornos de ver, por motivos normativos, una lista de usuarios y grupos que pueden acceder a una máquina cliente específica. La ejecución de sssctl access-report domain_name en un cliente IdM imprime el subconjunto analizado de reglas de control de acceso basadas en host (HBAC) en el dominio IdM que se aplican a la máquina cliente.

Tenga en cuenta que ningún otro proveedor aparte de IdM admite esta función.

(JIRA:RHELPLAN-10443)

Los paquetes de gestión de identidades están disponibles como módulo

En RHEL 8, los paquetes necesarios para instalar un servidor y un cliente de gestión de identidades (IdM) se suministran como un módulo. El flujo del cliente es el flujo predeterminado del módulo idm y puede descargar los paquetes necesarios para instalar el cliente sin habilitar el flujo.

El flujo del módulo del servidor IdM se llama flujo DL1. El flujo contiene varios perfiles correspondientes a diferentes tipos de servidores IdM: servidor, dns, adtrust, cliente y predeterminado. Para descargar los paquetes de un perfil específico del flujo DL1:

Habilitar el flujo.
Cambia a las RPMs entregadas a través del flujo.
Ejecute el comando yum module install idm:DL1/nombre_del_perfil.

Para cambiar a un nuevo flujo de módulos una vez que se ha habilitado un flujo específico y se han descargado paquetes de él:

Elimina todo el contenido relevante instalado y desactiva el flujo de módulos actual.
Habilitar el nuevo flujo del módulo.

(JIRA:RHELPLAN-10438)

Solución de grabación de sesiones para RHEL 8 añadida

Se ha añadido una solución de grabación de sesiones a Red Hat Enterprise Linux 8 (RHEL 8). Un nuevo paquete tlog y su reproductor de sesiones de consola web asociado permiten grabar y reproducir las sesiones de terminal de los usuarios. La grabación puede ser configurada por usuario o grupo de usuarios a través del servicio System Security Services Daemon (SSSD). Todas las entradas y salidas del terminal se capturan y almacenan en un formato basado en texto en un diario del sistema. La entrada está inactiva por defecto por razones de seguridad para no interceptar contraseñas en bruto y otra información sensible.

La solución puede utilizarse para auditar las sesiones de los usuarios en sistemas sensibles a la seguridad. En caso de una violación de la seguridad, las sesiones grabadas pueden ser revisadas como parte de un análisis forense. Los administradores de sistemas pueden ahora configurar la grabación de sesiones localmente y ver el resultado desde la interfaz de la consola web de RHEL 8 o desde la interfaz de línea de comandos mediante la utilidad tlog-play.

(JIRA:RHELPLAN-1473)

authselect simplifica la configuración de la autenticación de usuarios

Esta actualización introduce la utilidad authselect que simplifica la configuración de la autenticación de usuarios en los hosts RHEL 8, sustituyendo a la utilidad authconfig. authselect viene con un enfoque más seguro para la gestión de la pila PAM que hace que los cambios de configuración de PAM sean más sencillos para los administradores de sistemas. authselect se puede utilizar para configurar métodos de autenticación como contraseñas, certificados, tarjetas inteligentes y huellas digitales. Tenga en cuenta que authselect no configura los servicios necesarios para unirse a dominios remotos. Esta tarea la realizan herramientas especializadas, como realmd o ipa-client-install.

(JIRA:RHELPLAN-10445)

SSSD ahora aplica los GPO de AD por defecto

La configuración por defecto de la opción de SSSD ad_gpo_access_control es ahora enforcing. En RHEL 8, SSSD aplica por defecto las reglas de control de acceso basadas en los objetos de política de grupo (GPO) de Active Directory.

Red Hat recomienda asegurarse de que los GPOs están configurados correctamente en Active Directory antes de actualizar de RHEL 7 a RHEL 8. Si no desea aplicar los GPOs, cambie el valor de la opción ad_gpo_access_control en el archivo /etc/sssd/sssd.conf a permisivo.

(JIRA:RHELPLAN-51289)

5.1.11. Compiladores y herramientas de desarrollo

Boost actualizado a la versión 1.66

La biblioteca C Boost ha sido actualizada a la versión 1.66. La versión de Boost incluida en Red Hat Enterprise Linux 7 es la 1.53. Para más detalles, consulte los registros de cambios de la versión anterior: https://www.boost.org/users/history/

Esta actualización introduce los siguientes cambios que rompen la compatibilidad con las versiones anteriores:

Se han eliminado la función bs_set_hook(), la función splay_set_hook() de los contenedores splay y el parámetro extra bool splay = true en la función splaytree_algorithms() de la biblioteca Intrusive.
Los comentarios o la concatenación de cadenas en los archivos JSON ya no son compatibles con el analizador sintáctico de la biblioteca Property Tree.
Se han corregido algunas distribuciones y funciones especiales de la biblioteca Math para que se comporten como se ha documentado y lancen un overflow_error en lugar de devolver el valor máximo finito.
Algunas cabeceras de la biblioteca Math se han trasladado al directorio libs/math/include_private.
Se ha cambiado el comportamiento de las funciones basic_regex<> ::mark_count() y basic_regex<>::subexpression(n) de la biblioteca Regex para que coincidan con su documentación.
El uso de plantillas variádicas en la biblioteca Variant puede romper las funciones de metaprogramación.
Se ha eliminado la API boost::python: :numeric. Los usuarios pueden utilizar boost::python:: numpy en su lugar.
Las operaciones aritméticas sobre punteros a tipos no objetuales ya no se proporcionan en la biblioteca Atomic.

(BZ#1494495)

Compatibilidad con Unicode 11.0.0

La biblioteca C del núcleo de Red Hat Enterprise Linux, glibc, ha sido actualizada para soportar el estándar Unicode versión 11.0.0. Como resultado, todas las APIs de caracteres anchos y multibyte, incluyendo la transliteración y la conversión entre conjuntos de caracteres, proporcionan información precisa y correcta conforme a este estándar.

(BZ#1512004)

El paquete boost es ahora independiente de Python

Con esta actualización, la instalación del paquete boost ya no instala la biblioteca Boost.Python como dependencia. Para utilizar Boost. Python, es necesario instalar explícitamente los paquetes boost-python3 o boost-python3-devel.

(BZ#1616244)

Un nuevo paquete compat-libgfortran-48 disponible

Para la compatibilidad con las aplicaciones de Red Hat Enterprise Linux 6 y 7 que utilizan la biblioteca Fortran, ahora está disponible un nuevo paquete de compatibilidad compat-libgfortran-48, que proporciona la biblioteca libgfortran.so.3.

(BZ#1607227)

Soporte de Retpoline en GCC

Esta actualización añade soporte para retpolines a GCC. Una retpoline es una construcción de software utilizada por el kernel para reducir la sobrecarga de la mitigación de los ataques Spectre Variant 2 descritos en CVE-2017-5715.

(BZ#1535774)

Mayor compatibilidad con la arquitectura ARM de 64 bits en los componentes de la cadena de herramientas

Los componentes de la cadena de herramientas, GCC y binutils, ofrecen ahora soporte ampliado para la arquitectura ARM de 64 bits. Por ejemplo:

GCC y binutils ahora soportan Scalable Vector Extension (SVE).
Se ha añadido a GCC soporte para el tipo de datos FP16, proporcionado por ARM v8.2. El tipo de datos FP16 mejora el rendimiento de determinados algoritmos.
Las herramientas de binutils ahora soportan la definición de la arquitectura ARM v8.3, incluyendo la Autenticación de Punteros. La función de autentificación de punteros evita que el código malicioso corrompa la ejecución normal de un programa o del núcleo mediante la elaboración de sus propios punteros de función. Como resultado, sólo se utilizan direcciones de confianza cuando se bifurca a diferentes lugares del código, lo que mejora la seguridad.

(BZ#1504980, BZ#1550501, BZ#1504995, BZ#1504993, BZ#1504994)

Optimizaciones de glibc para sistemas IBM POWER

Esta actualización proporciona una nueva versión de glibc optimizada para las arquitecturas IBM POWER 8 e IBM POWER 9. Como resultado, los sistemas IBM POWER 8 e IBM POWER 9 ahora cambian automáticamente a la variante de glibc apropiada y optimizada en tiempo de ejecución.

(BZ#1376834)

La biblioteca C de GNU se ha actualizado a la versión 2.28

Red Hat Enterprise Linux 8 incluye la versión 2.28 de la biblioteca GNU C (glibc). Las mejoras más destacadas son:

Funciones de refuerzo de la seguridad:
- Los archivos binarios seguros marcados con la bandera AT_SECURE ignoran la variable de entorno LD_LIBRARY_PATH.
- Ya no se imprimen las huellas de los fallos de comprobación de pila para acelerar el cierre y evitar la ejecución de más código en un entorno comprometido.
Mejoras en el rendimiento:
- Se ha mejorado el rendimiento de la función malloc() con una caché local de hilos.
- Adición de la variable de entorno GLIBC_TUNABLES para modificar las características de rendimiento de la biblioteca.
- Se ha mejorado la implementación de los semáforos de hilos y se han añadido nuevas funciones escalables pthread_rwlock_xxx().
- Se ha mejorado el rendimiento de la biblioteca de matemáticas.
Se ha añadido la compatibilidad con Unicode 11.0.0.
Se ha añadido una mayor compatibilidad con los números de coma flotante de 128 bits definidos por las normas ISO/IEC/IEEE 60559:2011, IEEE 754-2008 e ISO/IEC TS 18661-3:2015.
Mejoras en el stub resolver del Servicio de Nombres de Dominio (DNS) relacionadas con el archivo de configuración /etc/resolv.conf:
- La configuración se recarga automáticamente cuando se modifica el archivo.
- Se ha añadido soporte para un número arbitrario de dominios de búsqueda.
- Se ha añadido una selección aleatoria adecuada para la opción de rotación.
Se han añadido nuevas funciones para el desarrollo, entre ellas:
- Funciones de envoltura de Linux para las llamadas al núcleo preadv2 y pwritev2
- Nuevas funciones como reallocarray() y explicit_bzero()
- Nuevas banderas para la función posix_spawnattr_setflags() como POSIX_SPAWN_SETSID

(BZ#1512010, BZ#1504125, BZ#506398)

CMake disponible en RHEL

El sistema de construcción CMake versión 3.11 está disponible en Red Hat Enterprise Linux 8 como el paquete cmake.

(BZ#1590139, BZ#1502802)

make versión 4.2.1

Red Hat Enterprise Linux 8 se distribuye con la herramienta make build versión 4.2.1. Los cambios notables incluyen:

Cuando una receta falla, se muestra el nombre del makefile y el número de línea de la receta.
Se ha añadido la opción --trace para permitir el rastreo de objetivos. Cuando se utiliza esta opción, cada receta se imprime antes de la invocación, incluso si se suprime, junto con el nombre del archivo y el número de línea donde se encuentra esta receta, y también con los requisitos previos que hacen que se invoque.
La mezcla de reglas explícitas e implícitas ya no hace que make termine la ejecución. En su lugar, se imprime una advertencia. Tenga en cuenta que esta sintaxis es obsoleta y puede ser eliminada por completo en el futuro.
Se ha añadido la función $(archivo ...) para escribir texto en un archivo. Cuando se llama sin un argumento de texto, sólo abre y cierra inmediatamente el archivo.
Una nueva opción, --output-sync o -O, hace que la salida de varios trabajos se agrupe por trabajo y permite una depuración más fácil de las construcciones paralelas.
La opción --debug ahora acepta también la bandera n (none) para desactivar todas las configuraciones de depuración actualmente activadas.
El operador de asignación de shell != se ha añadido como alternativa a la función $(shell ...) para aumentar la compatibilidad con los archivos make de BSD. Para más detalles y diferencias entre el operador y la función, consulte el manual de GNU make.
Tenga en cuenta que, como consecuencia, las variables con un nombre terminado en signo de exclamación e inmediatamente seguido de una asignación, como variable !=valor, se interpretan ahora como la nueva sintaxis. Para restablecer el comportamiento anterior, añada un espacio después del signo de exclamación, como variable ! =valor.
Se ha añadido el operador de asignación ::= definido por el estándar POSIX.
Cuando se especifica la variable .POSIX, make observa los requisitos del estándar POSIX para el manejo de la barra invertida y la línea nueva. En este modo, se conserva cualquier espacio final antes de la barra invertida, y cada barra invertida seguida de una nueva línea y de caracteres de espacio en blanco se convierte en un solo carácter de espacio.
El comportamiento de las variables MAKEFLAGS y MFLAGS se define ahora con mayor precisión.
Una nueva variable, GNUMAKEFLAGS, se analiza para las banderas de make de forma idéntica a MAKEFLAGS. Como consecuencia, las banderas específicas de GNU make pueden ser almacenadas fuera de MAKEFLAGS y se incrementa la portabilidad de los archivos make.
Se ha añadido una nueva variable, MAKE_HOST, que contiene la arquitectura del host.
Las nuevas variables, MAKE_TERMOUT y MAKE_TERMERR, indican si make está escribiendo la salida estándar y el error a una terminal.
Establecer las opciones -r y -R en la variable MAKEFLAGS dentro de un makefile ahora funciona correctamente y elimina todas las reglas y variables incorporadas, respectivamente.
El ajuste .RECIPEPREFIX se recuerda ahora por receta. Además, las variables expandidas en esa receta también utilizan ese ajuste de prefijo de receta.
El ajuste .RECIPEPREFIX y todas las variables específicas del objetivo se muestran en la salida de la opción -p como si se tratara de un makefile, en lugar de como comentarios.

(BZ#1641015)

SystemTap versión 4.0

Red Hat Enterprise Linux 8 se distribuye con la herramienta de instrumentación SystemTap versión 4.0. Las mejoras más destacadas son:

Se ha mejorado el backend de Berkeley Packet Filter (eBPF) extendido, especialmente las cadenas y las funciones. Para utilizar este backend, inicie SystemTap con la opción --runtime=bpf.
Se ha añadido un nuevo servicio de red de exportación para su uso con el sistema de supervisión Prometheus.
Se ha mejorado la implementación del sondeo de llamadas al sistema para utilizar los tracepoints del kernel si es necesario.

(BZ#1641032)

Mejoras en la versión 2.30 de binutils

Red Hat Enterprise Linux 8 incluye la versión 2.30 del paquete binutils. Las mejoras notables incluyen:

Se ha mejorado la compatibilidad con las nuevas extensiones de la arquitectura IBM Z.

Enlazadores:

El enlazador ahora pone el código y los datos de sólo lectura en segmentos separados por defecto. Como resultado, los archivos ejecutables creados son más grandes y más seguros de ejecutar, porque el cargador dinámico puede desactivar la ejecución de cualquier página de memoria que contenga datos de sólo lectura.
Se ha añadido soporte para las notas de propiedad de GNU que proporcionan pistas al cargador dinámico sobre el archivo binario.
Anteriormente, el enlazador generaba código ejecutable no válido para la tecnología Intel Indirect Branch Tracking (IBT). Como consecuencia, los archivos ejecutables generados no podían iniciarse. Este error ha sido corregido.
Anteriormente, el enlazador de oro fusionaba las notas de propiedades de forma incorrecta. Como consecuencia, se podían habilitar características de hardware erróneas en el código generado, y el código podía terminar inesperadamente. Este error ha sido corregido.
Anteriormente, el enlazador dorado creaba secciones de notas con bytes de relleno al final para lograr la alineación según la arquitectura. Como el cargador dinámico no esperaba el relleno, podía terminar inesperadamente el programa que estaba cargando. Este error ha sido corregido.

Otras herramientas:

Las herramientas readelf y objdump ahora tienen opciones para seguir los enlaces a archivos de información de depuración separados y mostrar la información en ellos, también.
La nueva opción --inlines amplía la opción existente --line-numbers de la herramienta objdump para mostrar la información de anidamiento de las funciones inline.
La herramienta nm ha ganado una nueva opción --with-version-strings para mostrar la información de la versión de un símbolo después de su nombre, si está presente.
Se ha añadido al ensamblador soporte para la arquitectura ARMv8-R y los procesadores Cortex-R52, Cortex-M23 y Cortex-M33.

(BZ#1641004, BZ#1637072, BZ#1501420, BZ#1504114, BZ#1614908, BZ#1614920)

Performance Co-Pilot versión 4.3.0

Red Hat Enterprise Linux 8 se distribuye con Performance Co-Pilot (PCP) versión 4.3.0. Las mejoras notables incluyen:

La herramienta pcp-dstat incluye ahora un análisis histórico y una salida en formato de valores separados por comas (CSV).
Las utilidades de registro pueden utilizar etiquetas métricas y registros de texto de ayuda.
La herramienta pmdaperfevent ahora informa de los números correctos de la CPU en los niveles más bajos de Multihilo Simultáneo (SMT).
La herramienta pmdapostgresql ahora es compatible con Postgres series 10.x.
La herramienta pmdaredis es ahora compatible con Redis series 5.x.
La herramienta pmdabcc ha sido mejorada con el filtrado dinámico de procesos y syscalls, ucalls y ustat por proceso.
La herramienta pmdammv ahora exporta etiquetas métricas, y la versión del formato se incrementa a 3.
La herramienta pmdagfs2 es compatible con las métricas adicionales de las glock y los soportes de las glock.
Se han realizado varias correcciones en la política de SELinux.

(BZ#1641034)

Claves de protección de la memoria

Esta actualización habilita las características de hardware que permiten los cambios de bandera de protección de páginas por hilo. Se han añadido las nuevas envolturas de llamadas al sistema glibc para las funciones pkey_alloc(), pkey_free() y pkey_mprotect(). Además, se han añadido las funciones pkey_set() y pkey_get() para permitir el acceso a los indicadores de protección por hilo.

(BZ#1304448)

GCC ahora está por defecto en z13 en IBM Z

Con esta actualización, por defecto GCC en la arquitectura IBM Z construye código para el procesador z13, y el código se ajusta para el procesador z14. Esto equivale a utilizar las opciones -march=z13 y -mtune=z14. Los usuarios pueden anular este valor por defecto utilizando explícitamente las opciones para la arquitectura de destino y el ajuste.

(BZ#1571124)

elfutils actualizado a la versión 0.174

En Red Hat Enterprise Linux 8, el paquete elfutils está disponible en la versión 0.174. Los cambios notables incluyen:

Anteriormente, la herramienta eu-readelf podía mostrar una variable con un valor negativo como si tuviera un valor grande sin signo, o mostrar un valor grande sin signo como un valor negativo. Esto se ha corregido y eu-readelf ahora busca el tamaño y el signo de los tipos de valores constantes para mostrarlos correctamente.
Se ha añadido a la biblioteca libdw una nueva función dwarf_next_lines() para leer los datos .debug_line que faltan en CU. Esta función puede utilizarse como alternativa a las funciones dwarf_getsrclines() y dwarf_getsrcfiles().
Anteriormente, los archivos con más de 65280 secciones podían provocar errores en las bibliotecas libelf y libdw y en todas las herramientas que las utilizaban. Este error se ha corregido. Como resultado, los valores shnum y shstrndx extendidos en las cabeceras de los archivos ELF se manejan correctamente.

(BZ#1641007)

Valgrind actualizado a la versión 3.14

Red Hat Enterprise Linux 8 se distribuye con la herramienta de análisis de código ejecutable Valgrind versión 3.14. Los cambios notables incluyen:

Se ha añadido una nueva opción --keep-debuginfo para permitir la retención de información de depuración para el código descargado. Como resultado, los rastros de pila guardados pueden incluir información de archivos y líneas para el código que ya no está presente en la memoria.
Se han añadido supresiones basadas en el nombre del archivo fuente y el número de línea.
La herramienta Helgrind se ha ampliado con una opción --delta-stacktrace para especificar el cálculo de las trazas de pila de la historia completa. En particular, el uso de esta opción junto con --history-level=full puede mejorar el rendimiento de Helgrind hasta en un 25%.
Se ha reducido la tasa de falsos positivos en la herramienta Memcheck para el código optimizado en las arquitecturas Intel y AMD de 64 bits y en la arquitectura ARM de 64 bits. Tenga en cuenta que puede utilizar la opción --expensive-definedness-checks para controlar el manejo de las comprobaciones de definición y mejorar la tasa a expensas del rendimiento.
Valgrind ahora puede reconocer más instrucciones de la variante little-endian de IBM Power Systems.
Valgrind ahora puede procesar la mayoría de las instrucciones de vectores enteros y de cadenas del procesador z13 de la arquitectura IBM Z.

Para más información sobre las nuevas opciones y sus limitaciones conocidas, consulte la página del manual de valgrind(1 ).

(BZ#1641029, BZ#1501419)

GDB versión 8.2

Red Hat Enterprise Linux 8 se distribuye con la versión 8.2 del depurador GDB:

El protocolo IPv6 es compatible con la depuración remota con GDB y gdbserver.
Se ha mejorado la depuración sin información de depuración.
Se ha mejorado la finalización de símbolos en la interfaz de usuario de GDB para ofrecer mejores sugerencias mediante el uso de más construcciones sintácticas como etiquetas ABI o espacios de nombres.
Ahora los comandos pueden ejecutarse en segundo plano.
Ahora es posible depurar los programas creados en el lenguaje de programación Rust.
Se ha mejorado la depuración de los lenguajes C y C con el soporte del analizador sintáctico para los operadores _Alignof y alignof, las referencias rvalue de C y las matrices automáticas de longitud variable de C99.
Los scripts de extensión de GDB ahora pueden utilizar el lenguaje de scripting Guile.
La interfaz del lenguaje de scripting Python para las extensiones se ha mejorado con nuevas funciones de la API, decoradores de marcos, filtros y desenrolladores. Además, los scripts de la sección .debug_gdb_scripts de la configuración de GDB se cargan automáticamente.
GDB utiliza ahora la versión 3 de Python para ejecutar sus scripts, incluyendo las impresoras bonitas, los decoradores de marcos, los filtros y los desenrolladores.
Las arquitecturas ARM y ARM de 64 bits han sido mejoradas con el registro y la reproducción de la ejecución de procesos, incluyendo las instrucciones Thumb de 32 bits y de llamada al sistema.
GDB ahora soporta la Extensión Vectorial Escalable (SVE) en la arquitectura ARM de 64 bits.
Se ha añadido la compatibilidad con el registro Intel PKU y con Intel Processor Trace.
La funcionalidad de grabación y reproducción se ha ampliado para incluir las instrucciones rdrand y rdseed en los sistemas basados en Intel.
La funcionalidad de GDB en la arquitectura IBM Z se ha ampliado con soporte para tracepoints y tracepoints rápidos, registros vectoriales y ABI, y la llamada al sistema Catch. Además, GDB soporta ahora las instrucciones más recientes de la arquitectura.
Ahora GDB puede utilizar las sondas estáticas de espacio de usuario (SDT) de SystemTap en la arquitectura ARM de 64 bits.

(BZ#1641022, BZ#1497096, BZ#1505346, BZ#1592332, BZ#1550502)

la localización deglibc para RHEL se distribuye en varios paquetes

En RHEL 8, las localizaciones y traducciones de glibc ya no son proporcionadas por el paquete único glibc-common. En su lugar, cada configuración regional e idioma está disponible en un paquete glibc-langpack-CODE. Además, en la mayoría de los casos no se instalan todas las configuraciones regionales por defecto, sino sólo las seleccionadas en el instalador. Los usuarios deben instalar todos los paquetes de configuraciones regionales que necesiten por separado, o si lo desean pueden instalar glibc-all-langpacks para obtener el archivo de configuraciones regionales que contiene todas las configuraciones regionales de glibc instaladas como antes.

Para más información, consulte la sección sobre el uso de paquetes de idiomas.

(BZ#1512009)

GCC versión 8.2

En Red Hat Enterprise Linux 8, la cadena de herramientas GCC está basada en la serie de versiones GCC 8.2. Los cambios notables incluyen:

Se han añadido numerosas optimizaciones generales, como el análisis de alias, las mejoras del vectorizador, el plegado de código idéntico, el análisis interprocedimental, el pase de optimización de la fusión de almacenes y otras.
Se ha mejorado el sanitizador de direcciones. Se han añadido el Sanitizador de Fugas y el Sanitizador de Comportamientos Indefinidos.
Ahora se puede producir información de depuración en el formato DWARF5. Esta capacidad es experimental.
La herramienta de análisis de cobertura del código fuente GCOV se ha ampliado con varias mejoras.
Se han añadido nuevas advertencias y diagnósticos mejorados para la detección estática de más errores de programación.
GCC se ha ampliado para proporcionar herramientas que garanticen un endurecimiento adicional del código generado. Entre las mejoras relacionadas con la seguridad se encuentran la comprobación del desbordamiento, la protección adicional contra el choque de la pila, la comprobación de las direcciones de destino de las instrucciones de flujo de control, las advertencias para las funciones de manipulación de cadenas delimitadas y las advertencias para detectar índices de matrices fuera de los límites.

Las mejoras en la arquitectura y el soporte del procesador incluyen:

Se han añadido múltiples opciones nuevas específicas para la arquitectura Intel AVX-512, varias de sus microarquitecturas y las extensiones de protección de software de Intel (SGX).
La generación de código ahora puede dirigirse a las extensiones LSE de la arquitectura ARM de 64 bits, a las extensiones de punto flotante (FPE) de 16 bits de ARMv8.2-A y a las versiones de la arquitectura ARMv8.2-A, ARMv8.3-A y ARMv8.4-A.
Se ha añadido soporte para los procesadores z13 y z14 de la arquitectura IBM Z.

Entre los cambios notables relacionados con las lenguas y las normas se encuentran:

El estándar por defecto utilizado al compilar código en el lenguaje C ha cambiado a C17 con extensiones GNU.
El estándar por defecto utilizado al compilar código en el lenguaje C ha cambiado a C 14 con extensiones GNU.
La biblioteca de tiempo de ejecución de C es ahora compatible con los estándares C 11 y C 14.
El compilador de C ahora implementa el estándar C 14.
Se ha mejorado la compatibilidad con el lenguaje C estándar C11.
La nueva extensión __auto_type de GNU C proporciona un subconjunto de la funcionalidad de la palabra clave auto de C 11 en el lenguaje C.
Los nombres de los tipos _FloatN y _FloatNx especificados por la norma ISO/IEC TS 18661-3:2015 son ahora reconocidos por el front end de C.
Pasar una clase vacía como argumento ahora no ocupa espacio en las arquitecturas Intel 64 y AMD64, como lo requiere la ABI de la plataforma.
El valor devuelto por el operador alignof de C 11 ha sido corregido para que coincida con el operador _Alignof de C y devuelva la alineación mínima. Para encontrar la alineación preferida, utilice la extensión GNU __alignof__.
La versión principal de la biblioteca libgfortran para el código del lenguaje Fortran se ha cambiado a 5.
Se ha eliminado el soporte para los lenguajes Ada (GNAT), GCC Go y Objective C/C. Utilice el conjunto de herramientas Go para el desarrollo de código Go.

(JIRA:RHELPLAN-7437, BZ#1512593, BZ#1512378)

El modo FIPS de la biblioteca criptográfica Go ahora respeta la configuración del sistema

Anteriormente, la biblioteca criptográfica estándar de Go siempre utilizaba su modo FIPS a menos que se deshabilitara explícitamente en el momento de construir la aplicación que utilizaba la biblioteca. Como consecuencia, los usuarios de aplicaciones basadas en Go no podían controlar si se utilizaba el modo FIPS. Con este cambio, la biblioteca no utiliza por defecto el modo FIPS cuando el sistema no está configurado en modo FIPS. Como resultado, los usuarios de aplicaciones basadas en Go en sistemas RHEL tienen más control sobre el uso del modo FIPS de la biblioteca criptográfica Go.

(BZ#1633351)

strace actualizado a la versión 4.24

Red Hat Enterprise Linux 8 se distribuye con la herramienta strace versión 4.24. Los cambios notables incluyen:

Se han añadido funciones de manipulación de llamadas al sistema con la opción -e inject=. Esto incluye la inyección de errores, valores de retorno, retrasos y señales.
Se ha mejorado la sintaxis de las llamadas al sistema:
- Se ha añadido la opción -e trace=/regex para filtrar las llamadas al sistema con expresiones regulares.
- Anteponer un signo de interrogación a la calificación de una llamada del sistema en la opción -e trace= permite a strace continuar, incluso si la calificación no coincide con ninguna llamada del sistema.
- Se ha añadido la designación de personalidad a las calificaciones de las llamadas al sistema en la opción -e trace.
Se ha añadido la decodificación de la razón de salida de kvm vcpu. Para ello, utilice la opción -e kvm=vcpu.
La biblioteca libdw de elfutils se utiliza ahora para desenrollar la pila cuando se utiliza la opción -k. Además, la separación de símbolos se realiza utilizando la biblioteca libiberty.
Anteriormente, la opción -r hacía que strace ignorara la opción -t. Esto se ha corregido, y las dos opciones son ahora independientes.
Se ha añadido la opción -A para abrir los archivos de salida en modo apéndice.
Se ha añadido la opción -X para configurar el formato de salida xlat.
Se ha mejorado la decodificación de direcciones de socket con la opción -yy. Además, se ha añadido la impresión de números de dispositivos de bloques y caracteres en el modo -yy.
Ahora es posible rastrear los binarios de 64 y 32 bits con una sola herramienta strace en la arquitectura IBM Z. Como consecuencia, el paquete strace32 separado ya no existe en RHEL 8.

Además, se ha añadido, mejorado o actualizado la decodificación de los siguientes elementos:

protocolos, mensajes y atributos denetlink
arch_prctl, bpf, getsockopt, io_pgetevent, keyctl, prctl, pkey_alloc, pkey_free, pkey_mprotect, ptrace, rseq, setsockopt, socket, statx y otras llamadas al sistema
Múltiples comandos para la llamada al sistema ioctl
Constantes de varios tipos
Rastreo de rutas para execveat, inotify_add_watch, inotify_init, select, symlink, symlinkat y llamadas al sistema mmap con argumentos indirectos
Listas de códigos de señales

(BZ#1641014)

Conjunto de herramientas del compilador en RHEL 8

RHEL 8.0 proporciona los siguientes conjuntos de herramientas de compilación como flujos de aplicaciones:

Clang and LLVM Toolset 7.0.1, que proporciona el marco de infraestructura del compilador LLVM, el compilador Clang para los lenguajes C y C, el depurador LLDB y herramientas relacionadas para el análisis de código. Consulte el documento Using Clang and LLVM Toolset.
Rust Toolset 1.31, que proporciona el compilador de lenguaje de programación Rust rustc, la herramienta de construcción cargo y el gestor de dependencias, el plugin cargo-vendor y las bibliotecas necesarias. Consulte el documento Using Rust Tools et.
Go Toolset 1.11.5, que proporciona las herramientas y bibliotecas del lenguaje de programación Go. Go se conoce alternativamente como golang. Consulte el documento Using Go Tools et.

(BZ#1695698, BZ#1613515, BZ#1613516, BZ#1613518)

Implementaciones y herramientas Java en RHEL 8

El repositorio de RHEL 8 AppStream incluye:

Los paquetes java-11-openjdk, que proporcionan el entorno de ejecución Java OpenJDK 11 y el kit de desarrollo de software Java OpenJDK 11.
Los paquetes java-1.8.0-openjdk, que proporcionan el entorno de ejecución Java OpenJDK 8 y el kit de desarrollo de software Java OpenJDK 8.
Los paquetes icedtea-web, que proporcionan una implementación de Java Web Start.
El módulo ant, que proporciona una biblioteca Java y una herramienta de línea de comandos para compilar, ensamblar, probar y ejecutar aplicaciones Java. Ant se ha actualizado a la versión 1.10.
El módulo maven, proporciona una herramienta de gestión y comprensión de proyectos de software. Anteriormente, Maven sólo estaba disponible como Colección de Software o en el canal Opcional no soportado.
El módulo scala, que proporciona un lenguaje de programación de propósito general para la plataforma Java. Anteriormente, Scala sólo estaba disponible como Colección de Software.

Además, los paquetes java-1.8.0-ibm se distribuyen a través del repositorio complementario. Tenga en cuenta que los paquetes de este repositorio no están soportados por Red Hat.

(BZ#1699535)

Cambio de la ABI de C en std::string y std::list

La interfaz binaria de aplicación (ABI) de las clases std::string y std::list de la biblioteca libstdc cambió entre RHEL 7 (GCC 4.8) y RHEL 8 (GCC 8) para ajustarse al estándar C 11. La biblioteca libstdc soporta tanto la antigua como la nueva ABI, pero algunas otras bibliotecas del sistema C no lo hacen. Como consecuencia, las aplicaciones que enlazan dinámicamente con estas bibliotecas tendrán que ser reconstruidas. Esto afecta a todos los modos estándar de C, incluyendo C 98. También afecta a las aplicaciones construidas con los compiladores de Red Hat Developer Toolset para RHEL 7, que mantuvieron la antigua ABI para mantener la compatibilidad con las bibliotecas del sistema.

(BZ#1704867)

5.1.12. Sistemas de archivos y almacenamiento

Soporte para el Campo de Integridad de Datos/Extensión de Integridad de Datos (DIF/DIX)

DIF/DIX es compatible con las configuraciones en las que el proveedor de hardware lo ha calificado y proporciona soporte completo para el adaptador de bus de host (HBA) particular y la configuración de la matriz de almacenamiento en RHEL.

DIF/DIX no es compatible con las siguientes configuraciones:

No se admite su uso en el dispositivo de arranque.
No es compatible con los huéspedes virtualizados.
Red Hat no admite el uso de la biblioteca de gestión automática del almacenamiento (ASMLib) cuando DIF/DIX está activado.

DIF/DIX se activa o desactiva en el dispositivo de almacenamiento, lo que implica varias capas hasta (e incluyendo) la aplicación. El método para activar el DIF en los dispositivos de almacenamiento depende del dispositivo.

Para más información sobre la función DIF/DIX, consulte Qué es DIF/DIX.

(BZ#1649493)

XFS ahora soporta extensiones de datos compartidos de copia en escritura

El sistema de archivos XFS soporta la funcionalidad de extensión de datos compartidos de copia en escritura. Esta función permite que dos o más archivos compartan un conjunto común de bloques de datos. Cuando alguno de los archivos que comparten bloques comunes cambia, XFS rompe el vínculo con los bloques comunes y crea un nuevo archivo. Esto es similar a la funcionalidad de copia en escritura (COW) que se encuentra en otros sistemas de archivos.

Las extensiones de datos de copia en escritura compartidas son:

Rápido: La creación de copias compartidas no utiliza la E/S del disco.
Espacio eficiente: Los bloques compartidos no consumen espacio adicional en el disco.
Transparente: Los archivos que comparten bloques comunes actúan como archivos normales.

Las utilidades del espacio de usuario pueden utilizar extensiones de datos compartidos de copia en escritura para:

Clonación eficiente de archivos, como con el comando cp --reflink
Instantáneas por archivo

Esta funcionalidad también es utilizada por subsistemas del kernel como Overlayfs y NFS para un funcionamiento más eficiente.

Las extensiones de datos compartidas de copia en escritura están ahora habilitadas por defecto al crear un sistema de archivos XFS, a partir de la versión 4.17.0-2.el8 del paquete xfsprogs.

Tenga en cuenta que los dispositivos de acceso directo (DAX) actualmente no admiten XFS con extensiones de datos compartidas de copia en escritura. Para crear un sistema de archivos XFS sin esta característica, utilice el siguiente comando:

# mkfs.xfs -m reflink=0 block-device

Red Hat Enterprise Linux 7 puede montar sistemas de archivos XFS con extensiones de datos compartidos de copia en escritura sólo en el modo de sólo lectura.

(BZ#1494028)

El tamaño máximo del sistema de archivos XFS es de 1024 TiB

El tamaño máximo soportado de un sistema de archivos XFS se ha incrementado de 500 TiB a 1024 TiB.

Los sistemas de archivos de más de 500 TiB lo requieren:

la función CRC de metadatos y la función btree de inodos libres están activadas en el formato del sistema de archivos, y
el tamaño del grupo de asignación es de al menos 512 GiB.

En RHEL 8, la utilidad mkfs.xfs crea sistemas de archivos que cumplen estos requisitos por defecto.

No se admite el crecimiento de un sistema de archivos más pequeño que no cumpla estos requisitos hasta un nuevo tamaño superior a 500 TiB.

(BZ#1563617)

el sistema de archivosext4 ahora soporta la suma de comprobación de metadatos

Con esta actualización, los metadatos de ext4 están protegidos por sumas de comprobación. Esto permite que el sistema de archivos reconozca los metadatos corruptos, lo que evita daños y aumenta la resistencia del sistema de archivos.

(BZ#1695584)

VDO ahora es compatible con todas las arquitecturas

Virtual Data Optimizer (VDO) ya está disponible en todas las arquitecturas soportadas por RHEL 8.

Para ver la lista de arquitecturas compatibles, consulte ???.

(BZ#1534087)

El gestor de arranque BOOM simplifica el proceso de creación de entradas de arranque

BOOM es un gestor de arranque para sistemas Linux que utilizan cargadores de arranque compatibles con la especificación BootLoader para la configuración de entradas de arranque. Permite una configuración de arranque flexible y simplifica la creación de entradas de arranque nuevas o modificadas: por ejemplo, para arrancar imágenes instantáneas del sistema creadas mediante LVM.

BOOM no modifica la configuración existente del gestor de arranque, y sólo inserta entradas adicionales. La configuración existente se mantiene, y cualquier integración de la distribución, como los scripts de instalación y actualización del kernel, siguen funcionando como antes.

BOOM cuenta con una interfaz de línea de comandos (CLI) y una API simplificadas que facilitan la tarea de crear entradas de arranque.

(BZ#1649582)

LUKS2 es ahora el formato por defecto para encriptar volúmenes

En RHEL 8, el formato LUKS versión 2 (LUKS2) sustituye al formato LUKS heredado (LUKS1). El subsistema dm-crypt y la herramienta cryptsetup utilizan ahora LUKS2 como formato por defecto para los volúmenes cifrados. LUKS2 proporciona volúmenes encriptados con redundancia de metadatos y recuperación automática en caso de un evento de corrupción parcial de metadatos.

Debido a la disposición interna flexible, LUKS2 es también un habilitador de futuras características. Soporta el auto-desbloqueo a través del token genérico kernel-keyring incorporado en libcryptsetup que permite a los usuarios desbloquear los volúmenes LUKS2 utilizando una frase de contraseña almacenada en el servicio de retención kernel-keyring.

Otras mejoras notables son:

La configuración de la clave protegida utilizando el esquema de cifrado de clave envuelta.
Integración más fácil con el descifrado basado en políticas (Clevis).
Hasta 32 ranuras para llaves - LUKS1 sólo ofrece 8 ranuras para llaves.

Para más detalles, consulte las páginas de manual de cryptsetup(8 ) y cryptsetup-reencrypt(8).

(BZ#1564540)

NVMe/FC es totalmente compatible con los adaptadores Broadcom Emulex y Marvell Qlogic Fibre Channel

El tipo de transporte NVMe sobre Canal de Fibra (NVMe/FC) es ahora totalmente compatible con el modo de iniciador cuando se utiliza con adaptadores Broadcom Emulex y Marvell Qlogic Fibre Channel de 32 Gbit que cuentan con soporte NVMe.

NVMe sobre canal de fibra es un tipo de transporte de tejido adicional para el protocolo Nonvolatile Memory Express (NVMe), además del protocolo Remote Direct Memory Access (RDMA) que se introdujo anteriormente en Red Hat Enterprise Linux.

Activación de NVMe/FC:

Para habilitar NVMe/FC en el controlador lpfc, edite el archivo /etc/modprobe.d/lpfc.conf y añada la siguiente opción:
```
lpfc_enable_fc4_type=3
```
Para activar NVMe/FC en el controlador qla2xxx, edite el archivo /etc/modprobe.d/qla2xxx.conf y añada la siguiente opción:
```
qla2xxx.ql2xnvmeenable=1
```

Restricciones adicionales:

No se admite el multipath con NVMe/FC.
La agrupación NVMe no es compatible con NVMe/FC.
kdump no es compatible con NVMe/FC.
El arranque desde la red de área de almacenamiento (SAN) NVMe/FC no es compatible.

(BZ#1649497)

Nuevo ajuste de configuración de scan_lvs

Se ha añadido un nuevo ajuste en el archivo de configuración lvm.conf, scan_lvs, y se ha establecido en 0 por defecto. El nuevo comportamiento por defecto evita que LVM busque PVs que puedan existir encima de los LVs; es decir, no explorará los LVs activos en busca de más PVs. La configuración por defecto también evita que LVM cree PVs encima de los LVs.

La superposición de PVs sobre LVs puede ocurrir por medio de imágenes VM colocadas sobre LVs, en cuyo caso no es seguro para el host acceder a los PVs. Evitar este acceso inseguro es la razón principal del nuevo comportamiento por defecto. Además, en entornos con muchos LVs activos, la cantidad de escaneo de dispositivos realizado por LVM puede disminuir significativamente.

El comportamiento anterior se puede restaurar cambiando este ajuste a 1.

(BZ#1676598)

Nueva sección de anulaciones del archivo de configuración de DM Multipath

El archivo /etc/multipath.conf incluye ahora una sección de anulaciones que le permite establecer un valor de configuración para todos sus dispositivos. Estos atributos son utilizados por DM Multipath para todos los dispositivos a menos que sean sobrescritos por los atributos especificados en la sección multipaths del archivo /etc/multipath.conf para las rutas que contienen el dispositivo. Esta funcionalidad sustituye al parámetro all_devs de la sección de dispositivos del archivo de configuración, que ya no es compatible.

(BZ#1643294)

Ahora se puede instalar y arrancar desde dispositivos NVDIMM

Antes de esta actualización, el instalador ignoraba los dispositivos de módulo de memoria dual no volátil (NVDIMM) en cualquier modo.

Con esta actualización, las mejoras del kernel para soportar los dispositivos NVDIMM proporcionan una mayor capacidad de rendimiento del sistema y un mejor acceso al sistema de archivos para las aplicaciones de escritura intensiva, como las cargas de trabajo de bases de datos o analíticas, así como una reducción de la sobrecarga de la CPU.

Esta actualización introduce la compatibilidad con:

El uso de dispositivos NVDIMM para la instalación mediante el comando nvdimm Kickstart y la GUI, lo que permite instalar y arrancar desde dispositivos NVDIMM en modo sectorial y reconfigurar los dispositivos NVDIMM en modo sectorial durante la instalación.
La extensión de los scripts Kickstart para Anaconda con comandos para el manejo de dispositivos NVDIMM.
La capacidad de los componentes del sistema grub2, efibootmgr y efivar para manejar y arrancar desde dispositivos NVDIMM.

(BZ#1499442)

Se ha mejorado la detección de rutas marginales en DM Multipath

El servicio multipathd soporta ahora una mejor detección de rutas marginales. Esto ayuda a los dispositivos multipathd a evitar las rutas que pueden fallar repetidamente, y mejora el rendimiento. Las rutas marginales son rutas con errores de E/S persistentes pero intermitentes.

Las siguientes opciones en el archivo /etc/multipath. conf controlan el comportamiento de las rutas marginales:

marginal_path_double_failed_time,
marginal_path_err_sample_time,
marginal_path_err_rate_threshold, y
marginal_path_err_recheck_gap_time.

DM Multipath desactiva una ruta y la prueba con E/S repetidas durante el tiempo de muestra configurado si:

las opciones de multipath. conf que aparecen en la lista están configuradas,
una ruta falla dos veces en el tiempo configurado, y
hay otros caminos disponibles.

Si la ruta tiene más de la tasa de error configurada durante esta prueba, DM Multipath la ignora durante el tiempo de intervalo configurado, y luego vuelve a probarla para ver si está funcionando lo suficientemente bien como para ser reinstalada.

Para más información, consulte la página man de multipath.conf.

(BZ#1643550)

Programación de colas múltiples en dispositivos de bloque

Los dispositivos de bloque utilizan ahora la programación de colas múltiples en Red Hat Enterprise Linux 8. Esto permite que el rendimiento de la capa de bloque se adapte bien a las rápidas unidades de estado sólido (SSD) y a los sistemas multinúcleo.

Los planificadores tradicionales, que estaban disponibles en RHEL 7 y versiones anteriores, han sido eliminados. RHEL 8 solo admite planificadores de colas múltiples.

(BZ#1647612)

5.1.13. Alta disponibilidad y clusters

Nuevos comandos pcs para listar los dispositivos de vigilancia disponibles y probar los dispositivos de vigilancia

Para configurar SBD con Pacemaker, se necesita un dispositivo de vigilancia que funcione. Esta versión admite el comando pcs stonith sbd watchdog list para enumerar los dispositivos de vigilancia disponibles en el nodo local, y el comando pcs stonith sbd watchdog test para probar un dispositivo de vigilancia. Para obtener información sobre la herramienta de línea de comandos sbd, consulte la página man de sbd(8).

(BZ#1578891)

El comando pcs ahora soporta el filtrado de fallos de recursos por una operación y su intervalo

Pacemaker ahora hace un seguimiento de los fallos de los recursos por una operación de recursos sobre un nombre de recurso, y un nodo. El comando pcs resource failcount show permite ahora filtrar los fallos por recurso, nodo, operación e intervalo. Proporciona una opción para mostrar los fallos agregados por un recurso y nodo o detallados por un recurso, nodo, operación y su intervalo. Además, el comando pcs resource cleanup permite ahora filtrar los fallos por un recurso, nodo, operación e intervalo.

(BZ#1591308)

Marcas de tiempo habilitadas en el registro de corosync

El registro de corosync no contenía anteriormente marcas de tiempo, lo que hacía difícil relacionarlo con los registros de otros nodos y demonios. Con esta versión, las marcas de tiempo están presentes en el registro de corosync.

(BZ#1615420)

Nuevos formatos para los comandos pcs cluster setup, pcs cluster node add y pcs cluster node remove

En Red Hat Enterprise Linux 8, pcs soporta completamente Corosync 3, knet y los nombres de nodo. Los nombres de nodo son ahora obligatorios y sustituyen a las direcciones de nodo en el papel de identificador de nodo. Las direcciones de nodo son ahora opcionales.

En el comando pcs host auth, las direcciones de los nodos son por defecto nombres de nodos.
En los comandos pcs cl uster setup y pcs cluster node add, las direcciones de los nodos son por defecto las direcciones de los nodos especificadas en el comando pcs host auth.

Con estos cambios, los formatos de los comandos para configurar un clúster, añadir un nodo a un clúster y eliminar un nodo de un clúster han cambiado. Para obtener información sobre estos nuevos formatos de comando, consulte la pantalla de ayuda de los comandos pcs cluster setup, pcs cluster node add y pcs cluster node remove.

(BZ#1158816)

Nuevos comandos pcs

Red Hat Enterprise Linux 8 introduce los siguientes comandos nuevos.

RHEL 8 introduce un nuevo comando, pcs cluster node add-guest | remove-guest, que sustituye al comando pcs cluster remote-node add | remove de RHEL 7.
RHEL 8 introduce un nuevo comando, pcs quorum unblock, que sustituye al comando pcs cluster quorum unblock de RHEL 7.
El comando pcs resource failcount reset ha sido eliminado ya que duplica la funcionalidad del comando pcs resource cleanup.
RHEL 8 introduce nuevos comandos que sustituyen al comando pcs resource [show] de RHEL 7:
- El comando pcs resource [status] de RHEL 8 sustituye al comando pcs resource [show] de RHEL 7.
- El comando pcs resource config de RHEL 8 sustituye al comando pcs resource [show] --full de RHEL 7.
- El comando pcs resource config resource id en RHEL 8 sustituye al comando pcs resource show resource id en RHEL 7.
RHEL 8 introduce nuevos comandos que sustituyen al comando pcs stonith [show] de RHEL 7:
- El comando pcs stonith [status] de RHEL 8 sustituye al comando pcs stonith [show] de RHEL 7.
- El comando pcs stonith config de RHEL 8 sustituye al comando pcs stonith [show] --full de RHEL 7.
- El comando pcs stonith config resource id en RHEL 8 sustituye al comando pcs stonith show resource id en RHEL 7.

(BZ#1654280)

Pacemaker 2.0.0 en RHEL 8

Los paquetes de pacemaker han sido actualizados a la versión upstream de Pacemaker 2.0.0, que proporciona una serie de correcciones de errores y mejoras respecto a la versión anterior:

El registro detallado de Pacemaker es ahora /var/log/pacemaker/pacemaker.log por defecto (no directamente en /var/log o combinado con el registro de corosync en /var/log/cluster).
Los procesos daemon de Pacemaker han sido renombrados para que la lectura de los registros sea más intuitiva. Por ejemplo, pengine ha sido renombrado a pacemaker-schedulerd.
Se ha eliminado la compatibilidad con las propiedades de clúster predeterminadas "resource-stickiness" y "is-managed-default ". Las propiedades resource-stickiness y is-managed deben establecerse en los recursos por defecto. Las configuraciones existentes (aunque no las recién creadas) con la sintaxis obsoleta se actualizarán automáticamente para utilizar la sintaxis soportada.
Para una lista más completa de cambios, consulte la actualización de Pacemaker 2.0 en Red Hat Enterprise Linux 8.

Se recomienda que los usuarios que estén actualizando un cluster existente que utilice Red Hat Enterprise Linux 7 o anterior, ejecuten pcs cluster cib-upgrade en cualquier nodo del cluster antes y después de actualizar RHEL en todos los nodos del cluster.

(BZ#1543494)

Los recursos maestros han sido renombrados como recursos clonados promocionables

Red Hat Enterprise Linux (RHEL) 8 soporta Pacemaker 2.0, en el que un recurso maestro/esclavo ya no es un tipo de recurso separado sino un recurso clon estándar con un meta-atributo promocionable establecido a true. Se han implementado los siguientes cambios en apoyo de esta actualización:

Ya no es posible crear recursos maestros con el comando pcs. En su lugar, es posible crear recursos clonables promocionables. Las palabras clave y los comandos relacionados se han cambiado de maestros a promocionables.
Todos los recursos maestros existentes se muestran como recursos clonados promocionables.
Cuando se gestiona un clúster RHEL7 en la interfaz web, los recursos maestros se siguen llamando maestros, ya que los clústeres RHEL7 no admiten clones promocionables.

(BZ#1542288)

Nuevos comandos para autenticar los nodos de un clúster

Red Hat Enterprise Linux (RHEL) 8 incorpora los siguientes cambios en los comandos utilizados para autenticar nodos en un cluster.

El nuevo comando para la autenticación es pcs host auth. Este comando permite a los usuarios especificar nombres de host, direcciones y puertos pcsd.
El comando pcs cluster auth aut entifica sólo los nodos de un cluster local y no acepta una lista de nodos
Ahora es posible especificar una dirección para cada nodo. pcs/pcsd se comunicará con cada nodo usando la dirección especificada. Estas direcciones pueden ser diferentes a las que corosync utiliza internamente.
El comando pcs pcsd clear-auth ha sido sustituido por los comandos pcs pcsd deauth y pcs host deauth. Los nuevos comandos permiten a los usuarios desautenticar un solo host así como todos los hosts.
Anteriormente, la autenticación de nodos era bidireccional, y la ejecución del comando pcs cluster auth hacía que todos los nodos especificados se autenticaran entre sí. El comando pcs host auth, sin embargo, hace que sólo el host local se autentique contra los nodos especificados. Esto permite un mejor control de qué nodo se autentifica contra qué otros nodos cuando se ejecuta este comando. En la configuración del clúster en sí, y también cuando se añade un nodo, pcs sincroniza automáticamente los tokens en el clúster, por lo que todos los nodos en el clúster siguen siendo autenticados automáticamente como antes y los nodos del clúster pueden comunicarse entre sí.

Tenga en cuenta que estos cambios no son compatibles con versiones anteriores. Los nodos que fueron autenticados en un sistema RHEL 7 tendrán que ser autenticados de nuevo.

(BZ#1549535)

Los comandos pcs ahora soportan la visualización, limpieza y sincronización del historial de esgrima

El demonio de cercado de Pacemaker registra un historial de todas las acciones de cercado realizadas (pendientes, exitosas y fallidas). Con esta versión, los comandos pcs permiten a los usuarios acceder al historial de vallas de las siguientes maneras:

El comando pcs status muestra las acciones de esgrima fallidas y pendientes
El comando pcs status --full muestra todo el historial de esgrima
El comando pcs stonith history proporciona opciones para mostrar y limpiar el historial de cercas
Aunque el historial de esgrima se sincroniza automáticamente, el comando pcs stonith history admite ahora una opción de actualización que permite al usuario sincronizar manualmente el historial de esgrima en caso de que sea necesario

(BZ#1620190, BZ#1615891)

5.1.14. Red

nftables sustituye a iptables como marco de filtrado de paquetes de red por defecto

El marco de trabajo nftables proporciona facilidades de clasificación de paquetes y es el sucesor designado de las herramientas iptables, ip6tables, arptables y ebtables. Ofrece numerosas mejoras en cuanto a comodidad, características y rendimiento con respecto a las herramientas de filtrado de paquetes anteriores, sobre todo:

tablas de búsqueda en lugar de procesamiento lineal
un único marco para los protocolos IPv4 e IPv6
reglas aplicadas atómicamente en lugar de buscar, actualizar y almacenar un conjunto de reglas completo
soporte para la depuración y el rastreo en el conjunto de reglas(nftrace) y la supervisión de los eventos de rastreo (en la herramienta nft )
sintaxis más coherente y compacta, sin extensiones específicas de protocolo
una API Netlink para aplicaciones de terceros

Al igual que iptables, nftables utiliza tablas para almacenar cadenas. Las cadenas contienen reglas individuales para realizar acciones. La herramienta nft sustituye a todas las herramientas de los anteriores marcos de filtrado de paquetes. La biblioteca libnftables se puede utilizar para la interacción de bajo nivel con la API Netlink de nftables sobre la biblioteca libmnl.

Las herramientas iptables, ip6tables, ebtables y arptables son reemplazadas por sustitutos basados en nftables con el mismo nombre. Mientras que el comportamiento externo es idéntico al de sus homólogos heredados, internamente utilizan nftables con módulos de kernel netfilter heredados a través de una interfaz de compatibilidad cuando es necesario.

El efecto de los módulos en el conjunto de reglas de nftables puede observarse utilizando el comando nft list rules et. Dado que estas herramientas añaden tablas, cadenas y reglas al conjunto de reglas de nftables, tenga en cuenta que las operaciones del conjunto de reglas de nftables, como el comando nft flush rules et, podrían afectar a los conjuntos de reglas instalados mediante los comandos heredados anteriormente separados.

Para identificar rápidamente qué variante de la herramienta está presente, se ha actualizado la información de la versión para incluir el nombre del back-end. En RHEL 8, la herramienta iptables basada en nftables imprime la siguiente cadena de versión:

$ iptables --version
iptables v1.8.0 (nf_tables)

Para comparar, se imprime la siguiente información de la versión si la herramienta iptables heredada está presente:

$ iptables --version
iptables v1.8.0 (legacy)

(BZ#1644030)

Funciones TCP notables en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con la versión 4.18 de la pila de red TCP, que proporciona un mayor rendimiento, mejor escalabilidad y más estabilidad. El rendimiento se ha incrementado especialmente en el caso de servidores TCP ocupados con una alta tasa de conexiones de entrada.

Además, están disponibles dos nuevos algoritmos de congestión TCP, BBR y NV, que ofrecen una latencia más baja y un mejor rendimiento que el cúbico en la mayoría de los escenarios.

(BZ#1562998)

firewalld utiliza nftables por defecto

Con esta actualización, el subsistema de filtrado nftables es el backend del cortafuegos por defecto para el demonio firewalld. Para cambiar el backend, utilice la opción FirewallBackend en el archivo /etc/firewalld/firewalld.conf.

Este cambio introduce las siguientes diferencias de comportamiento al utilizar nftables:

las ejecuciones de las reglasiptables siempre ocurren antes que las reglas firewalld
- DROP en iptables significa que un paquete nunca es visto por firewalld
- ACCEPT en iptables significa que un paquete sigue estando sujeto a las reglas de firewalld
las reglas directasde firewalld se siguen implementando a través de iptables mientras que otras características de firewalld utilizan nftables
la ejecución directa de la regla se produce antes de la aceptación genérica por parte de firewalld de las conexiones establecidas

(BZ#1509026)

Cambio notable en wpa_supplicant en RHEL 8

En Red Hat Enterprise Linux (RHEL) 8, el paquete wpa_supplicant se construye con CONFIG_DEBUG_SYSLOG activado. Esto permite leer el registro de wpa_supplicant utilizando la utilidad journalctl en lugar de comprobar el contenido del archivo /var/log/wpa_supplicant.log.

(BZ#1582538)

NetworkManager ahora soporta funciones virtuales SR-IOV

En Red Hat Enterprise Linux 8.0, NetworkManager permite configurar el número de funciones virtuales (VF) para interfaces que soportan la virtualización de E/S de raíz única (SR-IOV). Adicionalmente, NetworkManager permite configurar algunos atributos de las VFs, tales como la dirección MAC, la VLAN, el ajuste de comprobación de spoof y las tasas de bits permitidas. Tenga en cuenta que todas las propiedades relacionadas con SR-IOV están disponibles en la configuración de la conexión sriov. Para más detalles, consulte la página man de nm-settings(5).

(BZ#1555013)

Ahora se admiten los controladores de red virtual IPVLAN

En Red Hat Enterprise Linux 8.0, el kernel incluye soporte para los controladores de red virtual IPVLAN. Con esta actualización, las tarjetas de interfaz de red (NIC) virtuales IPVLAN permiten la conectividad de red para múltiples contenedores exponiendo una única dirección MAC a la red local. Esto permite que un solo host tenga muchos contenedores superando la posible limitación en el número de direcciones MAC soportadas por los equipos de red pares.

(BZ#1261167)

NetworkManager admite una coincidencia de nombre de interfaz con comodines para las conexiones

Anteriormente, era posible restringir una conexión a una interfaz determinada utilizando sólo una coincidencia exacta en el nombre de la interfaz. Con esta actualización, las conexiones tienen una nueva propiedad match.interface-name que admite comodines. Esta actualización permite a los usuarios elegir la interfaz para una conexión de una manera más flexible utilizando un patrón de comodines.

(BZ#1555012)

Mejoras en la pila de redes 4.18

Red Hat Enterprise Linux 8.0 incluye la pila de redes actualizada a la versión 4.18, que proporciona varias correcciones de errores y mejoras. Los cambios más destacados son:

Se han introducido nuevas funciones de descarga, como UDP_GSO y, para algunos controladores de dispositivos, GRO_HW.
Mejora de la escalabilidad significativa para el Protocolo de Datagramas de Usuario (UDP).
Se ha mejorado el código de sondeo genérico de ocupado.
Mejora de la escalabilidad del protocolo IPv6.
Mejora de la escalabilidad del código de enrutamiento.
Se ha añadido un nuevo algoritmo de programación de colas de transmisión por defecto, fq_codel, que mejora el retraso de la transmisión.
Se ha mejorado la escalabilidad de algunos algoritmos de programación de colas de transmisión. Por ejemplo, pfifo_fast ahora no tiene bloqueo.
Se ha mejorado la escalabilidad de la unidad de reensamblaje de IP eliminando el hilo del núcleo de recolección de basura y los fragmentos de IP expiran sólo en el tiempo de espera. Como resultado, el uso de la CPU bajo DoS es mucho menor, y la tasa máxima de caída de fragmentos sostenible está limitada por la cantidad de memoria configurada para la unidad de reensamblaje IP.

(BZ#1562987)

Nuevas herramientas para convertir iptables en nftables

Esta actualización añade las herramientas iptables-translate e ip6tables-translate para convertir las reglas existentes de iptables o ip6tables en las equivalentes para nftables. Tenga en cuenta que algunas extensiones carecen de soporte de traducción. Si existe una extensión de este tipo, la herramienta imprime la regla no traducida precedida del signo #. Por ejemplo:

| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill
| nft # -A INPUT -j CHECKSUM --checksum-fill

Además, los usuarios pueden utilizar las herramientas iptables-restore-translate e ip6tables-restore-translate para traducir un volcado de reglas. Tenga en cuenta que antes de eso, los usuarios pueden utilizar los comandos iptables-save o ip6tables-save para imprimir un volcado de las reglas actuales. Por ejemplo:

| % sudo iptables-save >/tmp/iptables.dump
| % iptables-restore-translate -f /tmp/iptables.dump
| # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018
| add table ip nat
| ...

(BZ#1564596)

Nuevas funciones añadidas a la VPN mediante NetworkManager

En Red Hat Enterprise Linux 8.0, NetworkManager proporciona las siguientes nuevas características a la VPN:

Compatibilidad con el protocolo de intercambio de claves de Internet versión 2 (IKEv2).
Se han añadido algunas opciones más de Libreswan, como las opciones rightid, leftcert, narrowing, rekey, fragmentation. Para más detalles sobre las opciones soportadas, consulte la página man de nm-settings-libreswan.
Se han actualizado los cifrados por defecto. Esto significa que cuando el usuario no especifica los cifrados, el plugin NetworkManager-libreswan permite a la aplicación Libreswan elegir el cifrado por defecto del sistema. La única excepción es cuando el usuario selecciona una configuración de modo agresivo IKEv1. En este caso, los valores ike = aes256-sha1;modp1536 y eps = aes256-sha1 se pasan a Libreswan.

(BZ#1557035)

Se añade un nuevo tipo de trozo de datos, I-DATA, a SCTP

Esta actualización añade un nuevo tipo de trozo de datos, I-DATA, y programadores de flujos al protocolo de transmisión de control de flujos (SCTP). Anteriormente, SCTP enviaba los mensajes de usuario en el mismo orden en que eran enviados por un usuario. En consecuencia, un mensaje de usuario SCTP de gran tamaño bloqueaba todos los demás mensajes de cualquier flujo hasta su envío completo. Cuando se utilizan trozos de I-DATA, el campo del número de secuencia de transmisión (TSN) no se sobrecarga. Como resultado, SCTP ahora puede programar los flujos de diferentes maneras, e I-DATA permite el intercalado de mensajes de usuario (RFC 8260). Tenga en cuenta que ambos pares deben soportar el tipo de chunk I-DATA.

(BZ#1273139)

NetworkManager admite la configuración de las funciones de descarga de ethtool

Con esta mejora, NetworkManager soporta la configuración de las características de descarga de ethtool, y los usuarios ya no necesitan usar scripts init o un script despachador de NetworkManager. Como resultado, los usuarios ahora pueden configurar la función de descarga como parte del perfil de conexión utilizando uno de los siguientes métodos:

Utilizando la utilidad nmcli
Editando los archivos de claves en el directorio /etc/NetworkManager/system-connections/
Editando los archivos /etc/sysconfig/network-scripts/ifcfg-*

Tenga en cuenta que actualmente esta función no es compatible con las interfaces gráficas ni con la utilidad nmtui.

(BZ#1335409)

Soporte de TCP BBR en RHEL 8

Un nuevo algoritmo de control de la congestión TCP, el ancho de banda del cuello de botella y el tiempo de viaje de ida y vuelta (BBR) es ahora compatible con Red Hat Enterprise Linux (RHEL) 8. BBR intenta determinar el ancho de banda del enlace cuello de botella y el tiempo de ida y vuelta (RTT). La mayoría de los algoritmos de congestión se basan en la pérdida de paquetes (incluyendo CUBIC, el algoritmo de control de congestión TCP de Linux por defecto), que tienen problemas en los enlaces de alto rendimiento. BBR no reacciona a los eventos de pérdida directamente, sino que ajusta la tasa de ritmo de TCP para que coincida con el ancho de banda disponible. Los usuarios de TCP BBR deberían cambiar a la configuración de colas fq en todas las interfaces implicadas.

Tenga en cuenta que los usuarios deben utilizar explícitamente fq y no fq_codel.

Para más detalles, consulte la página man de tc-fq.

(BZ#1515987)

lksctp-tools, versión 1.0.18 en RHEL 8

El paquete lksctp-tools, versión 3.28 está disponible en Red Hat Enterprise Linux (RHEL) 8. Las mejoras notables y las correcciones de errores incluyen:

Integración con Travis CI y Coverity Scan
Soporte para la función sctp_peeloff_flags
Indicación de las características del núcleo que están disponibles
Corrección de los problemas de Coverity Scan

(BZ#1568622)

Lista negra del módulo SCTP por defecto en RHEL 8

Para aumentar la seguridad, se ha trasladado un conjunto de módulos del núcleo al paquete kernel-modules-extra. Estos no se instalan por defecto. Como consecuencia, los usuarios que no son root no pueden cargar estos componentes ya que están en la lista negra por defecto. Para utilizar uno de estos módulos del kernel, el administrador del sistema debe instalar kernel-modules-extra y eliminar explícitamente la lista negra de módulos. Como resultado, los usuarios no root podrán cargar el componente de software automáticamente.

(BZ#1642795)

Cambios notables en driverctl 0.101

Red Hat Enterprise Linux 8.0 se distribuye con driverctl 0.101. Esta versión incluye las siguientes correcciones de errores:

Se han corregido las advertencias de shellcheck.
El bash-completion se instala como driverctl en lugar de driverctl-bash-completion.sh.
Se ha corregido la función load_override para los buses no PCI.
El servicio driverctl carga todas las anulaciones antes de llegar al objetivo systemd basic.target.

(BZ#1648411)

Añadidas las prioridades de las reglas ricas a firewalld

Se ha añadido la opción de prioridad a las reglas ricas. Esto permite a los usuarios definir el orden de prioridad deseable durante la ejecución de la regla y proporciona un control más avanzado sobre las reglas ricas.

(BZ#1648497)

NVMe sobre RDMA es compatible con RHEL 8

En Red Hat Enterprise Linux (RHEL) 8, Nonvolatile Memory Express (NVMe) sobre Remote Direct Memory Access (RDMA) es compatible con Infiniband, RoCEv2 e iWARP sólo en modo iniciador.

Tenga en cuenta que Multipath sólo es compatible con el modo de conmutación por error.

Restricciones adicionales:

Kdump no es compatible con NVMe/RDMA.
No se admite el arranque desde un dispositivo NVMe a través de RDMA.

(BZ#1680177)

El back end nf_tables no soporta la depuración mediante dmesg

Red Hat Enterprise Linux 8.0 utiliza el back end nf_tables para los cortafuegos que no soporta la depuración del cortafuegos utilizando la salida de la utilidad dmesg. Para depurar las reglas del cortafuegos, utilice los comandos xtables-monitor -t o nft monitor trace para decodificar los eventos de evaluación de reglas.

(BZ#1645744)

Red Hat Enterprise Linux soporta VRF

El kernel de RHEL 8.0 soporta el enrutamiento y reenvío virtual (VRF). Los dispositivos VRF, combinados con las reglas establecidas mediante la utilidad ip, permiten a los administradores crear dominios VRF en la pila de red Linux. Estos dominios aíslan el tráfico en la capa 3 y, por lo tanto, el administrador puede crear diferentes tablas de enrutamiento y reutilizar las mismas direcciones IP dentro de diferentes dominios VRF en un host.

(BZ#1440031)

iproute, versión 4.18 en RHEL 8

El paquete iproute se distribuye con la versión 4.18 en Red Hat Enterprise Linux (RHEL) 8. El cambio más notable es que el alias de interfaz marcado como ethX:Y, como eth0:1, ya no está soportado. Para solucionar este problema, los usuarios deben eliminar el sufijo del alias, que son los dos puntos y el número siguiente antes de introducir ip link show.

(BZ#1589317)

5.1.15. Seguridad

Etiqueta SWID de la versión RHEL 8.0

Para permitir la identificación de las instalaciones de RHEL 8.0 mediante el mecanismo ISO/IEC 19770-2:2015, las etiquetas de identificación de software (SWID) se instalan en los archivos /usr/lib/swidtag/redhat. com/com. redhat. RHEL-8-<architecture> . swidtag y /usr/lib/swidtag/redhat.com/com.redhat.RHEL-8.0-<architecture>.swidtag. El directorio padre de estas etiquetas también puede encontrarse siguiendo el enlace simbólico /etc/swid/swidtags.d/redhat. com.

La firma XML de los archivos de etiquetas SWID puede verificarse mediante el comando xmlsec1 verify, por ejemplo:

xmlsec1 verify --trusted-pem /etc/pki/swid/CA/redhat.com/redhatcodesignca.cert /usr/share/redhat.com/com.redhat.RHEL-8-x86_64.swidtag

El certificado de la autoridad de certificación de firma de código también puede obtenerse en la página de Claves de Firma de Producto del Portal del Cliente.

(BZ#1636338)

Las políticas criptográficas de todo el sistema se aplican por defecto

Crypto-policies es un componente en Red Hat Enterprise Linux 8, que configura los subsistemas criptográficos centrales, cubriendo los protocolos TLS, IPsec, DNSSEC, Kerberos y SSH. Proporciona un pequeño conjunto de políticas, que el administrador puede seleccionar utilizando el comando update-crypto-policies.

La política criptográfica de todo el sistema DEFAULT ofrece una configuración segura para los modelos de amenaza actuales. Permite los protocolos TLS 1.2 y 1.3, así como los protocolos IKEv2 y SSH2. Las claves RSA y los parámetros Diffie-Hellman se aceptan si son mayores de 2047 bits.

Consulte el artículo Seguridad consistente mediante políticas criptográficas en Red Hat Enterprise Linux 8 en el Blog de Red Hat y la página man update-crypto-policies(8) para más información.

(BZ#1591620)

OpenSSH rebasado a la versión 7.8p1

Los paquetes openssh han sido actualizados a la versión 7.8p1. Los cambios notables incluyen:

Se ha eliminado la compatibilidad con el protocolo SSH versión 1.
Se ha eliminado la compatibilidad con el código de autenticación de mensajes hmac-ripemd160.
Se ha eliminado la compatibilidad con los cifrados RC4(arcfour).
Se ha eliminado la compatibilidad con los cifrados Blowfish.
Se ha eliminado la compatibilidad con los cifrados CAST.
Se ha cambiado el valor por defecto de la opción UseDNS a no.
Desactivar los algoritmos de clave pública DSA por defecto.
Se ha cambiado el tamaño mínimo del módulo para los parámetros Diffie-Hellman a 2048 bits.
Se ha cambiado la semántica de la opción de configuración ExposeAuthInfo.
La opción UsePrivilegeSeparation=sandbox es ahora obligatoria y no puede ser desactivada.
Establezca el tamaño mínimo de clave RSA aceptado en 1024 bits.

(BZ#1622511)

La generación automática de claves del servidor OpenSSH es ahora gestionada por sshd-keygen@.service

OpenSSH crea automáticamente las claves de host del servidor RSA, ECDSA y ED25519 si no las tiene. Para configurar la creación de claves de host en RHEL 8, utilice el servicio instanciado sshd-keygen@.service.

Por ejemplo, para desactivar la creación automática del tipo de clave RSA:

# systemctl mask sshd-keygen@rsa.service

Consulte el archivo /etc/sysconfig/sshd para obtener más información.

(BZ#1228088)

Las claves ECDSA son compatibles con la autenticación SSH

Esta versión de la suite OpenSSH introduce soporte para claves ECDSA almacenadas en tarjetas inteligentes PKCS #11. Como resultado, los usuarios pueden ahora utilizar tanto claves RSA como ECDSA para la autenticación SSH.

(BZ#1645038)

libssh implementa SSH como componente criptográfico principal

Este cambio introduce libssh como un componente criptográfico central en Red Hat Enterprise Linux 8. La biblioteca libssh implementa el protocolo Secure Shell (SSH).

Tenga en cuenta que el lado del cliente de libssh sigue la configuración establecida para OpenSSH a través de las políticas criptográficas de todo el sistema, pero la configuración del lado del servidor no se puede cambiar a través de las políticas criptográficas de todo el sistema.

(BZ#1485241)

Soporte de TLS 1.3 en las bibliotecas criptográficas

Esta actualización habilita la seguridad de la capa de transporte (TLS) 1.3 por defecto en todas las principales bibliotecas criptográficas del back-end. Esto permite una baja latencia en la capa de comunicaciones del sistema operativo y mejora la privacidad y la seguridad de las aplicaciones al aprovechar los nuevos algoritmos, como RSA-PSS o X25519.

(BZ#1516728)

NSS ahora utiliza SQL por defecto

Las bibliotecas de los Servicios de Seguridad de la Red (NSS) utilizan ahora por defecto el formato de archivo SQL para la base de datos de confianza. El formato de archivo DBM, que se utilizaba como formato de base de datos por defecto en versiones anteriores, no admite el acceso concurrente a la misma base de datos por parte de varios procesos y ha quedado obsoleto en la versión anterior. Como resultado, las aplicaciones que utilizan la base de datos de confianza del NSS para almacenar claves, certificados e información de revocación ahora crean bases de datos en el formato SQL por defecto. Los intentos de crear bases de datos en el formato DBM heredado fallan. Las bases de datos DBM existentes se abren en modo de sólo lectura y se convierten automáticamente al formato SQL. Tenga en cuenta que NSS soporta el formato de archivo SQL desde Red Hat Enterprise Linux 6.

(BZ#1489094)

La compatibilidad de PKCS #11 con las tarjetas inteligentes y los HSM es ahora coherente en todo el sistema

Con esta actualización, el uso de tarjetas inteligentes y módulos de seguridad de hardware (HSM) con la interfaz de token criptográfico PKCS #11 se vuelve consistente. Esto significa que el usuario y el administrador pueden utilizar la misma sintaxis para todas las herramientas relacionadas en el sistema. Las mejoras más destacadas son:

Compatibilidad con el esquema PKCS #11 Uniform Resource Identifier (URI) que garantiza una habilitación simplificada de los tokens en los servidores RHEL tanto para los administradores como para los escritores de aplicaciones.
Un método de registro en todo el sistema para tarjetas inteligentes y HSMs utilizando el pkcs11.conf.
Las aplicaciones NSS, GnuTLS y OpenSSL (a través del motor openssl-pkcs11 ) disponen de un soporte consistente para HSM y tarjetas inteligentes.
El servidor HTTP Apache(httpd) ahora soporta sin problemas los HSM.

Para más información, consulte la página man de pkcs11.conf(5).

(BZ#1516741)

Firefox ahora funciona con controladores PKCS #11 registrados en todo el sistema

El navegador web Firefox carga automáticamente el módulo p11-kit-proxy y se detectan automáticamente todas las tarjetas inteligentes registradas en todo el sistema en p11-kit a través del archivo pkcs11.conf. Para utilizar la autenticación de cliente TLS, no se requiere ninguna configuración adicional y las claves de una tarjeta inteligente se utilizan automáticamente cuando un servidor las solicita.

(BZ#1595638)

RSA-PSS ya es compatible con OpenSC

Esta actualización añade soporte para el esquema de firma criptográfica RSA-PSS al controlador de la tarjeta inteligente OpenSC. El nuevo esquema permite un algoritmo criptográfico seguro necesario para la compatibilidad con TLS 1.3 en el software cliente.

(BZ#1595626)

Cambios notables en Libreswan en RHEL 8

Los paquetes libreswan han sido actualizados a la versión 3.27, que proporciona muchas correcciones de errores y mejoras respecto a las versiones anteriores. Los cambios más notables son:

Se ha añadido soporte para RSA-PSS (RFC 7427) a través de authby=rsa-sha2, ECDSA (RFC 7427) a través de authby=ecdsa-sha2, CURVE25519 utilizando la palabra clave dh31, y CHACHA20-POLY1305 para IKE y ESP a través de la palabra clave de cifrado chacha20_poly1305 para el protocolo IKEv2.
El soporte para el módulo alternativo del kernel KLIPS ha sido eliminado de Libreswan, ya que upstream ha dejado de lado KLIPS por completo.
Los grupos Diffie-Hellman DH22, DH23 y DH24 ya no son compatibles (según el RFC 8247).

Tenga en cuenta que la opción authby=rsasig se ha cambiado para utilizar siempre el método RSA v1.5, y la opción authby=rsa-sha2 utiliza el método RSASSA-PSS. La opción authby=rsa-sha1 no es válida según el RFC 8247. Esta es la razón por la que Libreswan ya no admite SHA-1 con firmas digitales.

(BZ#1566574)

Las políticas criptográficas del sistema cambian la versión de IKE por defecto en Libreswan a IKEv2

La versión de IKE por defecto en la implementación de Libreswan IPsec ha sido cambiada de IKEv1 (RFC 2409) a IKEv2 (RFC 7296). Los algoritmos IKE y ESP/AH por defecto para su uso con IPsec han sido actualizados para cumplir con las políticas criptográficas de todo el sistema, RFC 8221 y RFC 8247. Ahora se prefieren tamaños de clave de encriptación de 256 bits sobre tamaños de clave de 128 bits.

Los cifrados IKE y ESP/AH por defecto incluyen ahora AES-GCM, CHACHA20POLY1305 y AES-CBC para el cifrado. Para la comprobación de la integridad, proporcionan AEAD y SHA-2. Los grupos Diffie-Hellman contienen ahora DH19, DH20, DH21, DH14, DH15, DH16 y DH18.

Se han eliminado los siguientes algoritmos de las políticas IKE y ESP/AH por defecto: AES_CTR, 3DES, SHA1, DH2, DH5, DH22, DH23 y DH24. Con la excepción de DH22, DH23 y DH24, estos algoritmos pueden ser habilitados por la opción ike= o phase2alg=/esp=/ah= en los archivos de configuración de IPsec.

Para configurar las conexiones VPN IPsec que aún requieren el protocolo IKEv1, añada la opción ikev2=no a los archivos de configuración de las conexiones. Consulte la página man de ipsec.conf(5 ) para obtener más información.

(BZ#1645606)

Cambios relacionados con la versión de IKE en Libreswan

Con esta mejora, Libreswan maneja la configuración del intercambio de claves de Internet (IKE) de forma diferente:

La versión de intercambio de claves de Internet (IKE) por defecto se ha cambiado de 1 a 2.
Ahora las conexiones pueden utilizar el protocolo IKEv1 o IKEv2, pero no ambos.
Se ha cambiado la interpretación de la opción ikev2:
- Los valores insisten se interpreta como IKEv2-only.
- Los valores no y never se interpretan como IKEv1-only.
- Los valores propuestos, yes y, permit ya no son válidos y dan lugar a un error, porque no estaba claro qué versiones de IKE resultaban de estos valores

(BZ#1648776)

Nuevas funciones de OpenSCAP en RHEL 8

El paquete OpenSCAP se ha actualizado a la versión 1.3.0, que introduce muchas mejoras con respecto a las versiones anteriores. Las características más notables son:

Se han consolidado la API y la ABI - se han eliminado los símbolos actualizados, obsoletos y/o no utilizados.
Las sondas no se ejecutan como procesos independientes, sino como hilos dentro del proceso oscap.
Se ha actualizado la interfaz de la línea de comandos.
Los enlaces dePython 2 han sido sustituidos por enlaces de Python 3.

(BZ#1614273)

La Guía de Seguridad de SCAP ahora admite políticas criptográficas para todo el sistema

Los paquetes scap-security-guide han sido actualizados para utilizar políticas criptográficas predefinidas para todo el sistema para configurar los subsistemas criptográficos centrales. Se ha eliminado el contenido de seguridad que entraba en conflicto con las políticas criptográficas de todo el sistema o las anulaba.

Tenga en cuenta que este cambio sólo se aplica al contenido de seguridad en scap-security-guide, y no es necesario actualizar el escáner OpenSCAP u otros componentes SCAP.

(BZ#1618505)

Se ha mejorado la interfaz de línea de comandos de OpenSCAP

El modo verboso está ahora disponible en todos los módulos y submódulos de oscap. La salida de la herramienta tiene un formato mejorado.

Se han eliminado las opciones obsoletas para mejorar la usabilidad de la interfaz de la línea de comandos.

Las siguientes opciones ya no están disponibles:

-Se ha eliminado por completo la opción de mostrar en oscap xccdf generate report.
-Se ha eliminado-probe-root en oscap oval eval. Se puede sustituir por la variable de entorno OSCAP_PROBE_ROOT.
--sce-results en oscap xccdf eval ha sido sustituido por --check-engine-results
el submódulovalidate-xml ha sido eliminado de los módulos CPE, OVAL y XCCDF. Los submódulos validate pueden ser utilizados en su lugar para validar el contenido SCAP contra los esquemas XML y los schematrons XSD.
el comandooscap oval list-probes ha sido eliminado, la lista de sondas disponibles puede ser mostrada usando oscap --version en su lugar.

OpenSCAP permite evaluar todas las reglas de un determinado benchmark XCCDF independientemente del perfil utilizando --profile '(all)'.

(BZ#1618484)

El perfil PCI-DSS de la Guía de Seguridad SCAP se ajusta a la versión 3.2.1

Los paquetes scap-security-guide proporcionan el perfil PCI-DSS (Payment Card Industry Data Security Standard) para Red Hat Enterprise Linux 8 y este perfil ha sido actualizado para alinearse con la última versión PCI-DSS - 3.2.1.

(BZ#1618528)

La guía de seguridad SCAP es compatible con OSPP 4.2

Los paquetes scap-security-guide proporcionan un borrador del perfil OSPP (Perfil de protección para sistemas operativos de propósito general) versión 4.2 para Red Hat Enterprise Linux 8. Este perfil refleja los controles de configuración obligatorios identificados en el Anexo de configuración NIAP del Perfil de protección para sistemas operativos de propósito general (Perfil de protección versión 4.2). La Guía de seguridad de SCAP proporciona comprobaciones y scripts automatizados que ayudan a los usuarios a cumplir los requisitos definidos en el OSPP.

(BZ#1618518)

Cambios notables en rsyslog en RHEL 8

Los paquetes rsyslog han sido actualizados a la versión 8.37.0, que proporciona muchas correcciones de errores y mejoras con respecto a las versiones anteriores. Los cambios más notables son:

Mejora del tratamiento de los mensajes internos de rsyslog; posibilidad de limitar su velocidad; se ha solucionado un posible bloqueo.
Mejora de la limitación de la velocidad en general; ahora se registra el spam source real.
Mejora de la gestión de los mensajes de gran tamaño: ahora el usuario puede establecer cómo tratarlos tanto en el núcleo como en determinados módulos con acciones independientes.
las bases de reglas demmnormalize ahora pueden ser incrustadas en el archivo de configuración en lugar de crear archivos separados para ellas.
Todas las variables de configuración, incluidas las variables en JSON, ahora no distinguen entre mayúsculas y minúsculas.
Varias mejoras en la salida de PostgreSQL.
Se ha añadido la posibilidad de utilizar variables del shell para controlar el procesamiento de la configuración, como la carga condicional de archivos de configuración adicionales, la ejecución de sentencias o la inclusión de un texto en la configuración. Tenga en cuenta que un uso excesivo de esta función puede dificultar mucho la depuración de problemas con rsyslog.
Ahora se pueden especificar los modos de creación de archivos de 4 dígitos en la configuración.
La entrada del Protocolo de Registro de Eventos Confiables (RELP) puede ahora vincularse también sólo en una dirección especificada.
El valor por defecto de la opción enable.body de la salida de correo está ahora alineado con la documentación
El usuario puede ahora especificar los códigos de error de inserción que deben ser ignorados en la salida de MongoDB.
La entrada de TCP paralelo (pTCP) tiene ahora el retraso configurable para un mejor equilibrio de la carga.
Para evitar los registros duplicados que podrían aparecer cuando journald rote sus archivos, se ha añadido la opción imjournal. Tenga en cuenta que el uso de esta opción puede afectar al rendimiento.

Tenga en cuenta que el sistema con rsyslog puede ser configurado para proporcionar un mejor rendimiento como se describe en el artículo de la base de conocimientos Configuración del registro del sistema sin journald o con uso minimizado de journald.

(BZ#1613880)

Nuevo módulo rsyslog: omkafka

Para habilitar los escenarios de almacenamiento de datos centralizados de kafka, ahora puede reenviar los registros a la infraestructura de kafka utilizando el nuevo módulo omkafka.

(BZ#1542497)

rsyslog imfile ahora soporta enlaces simbólicos

Con esta actualización, el módulo rsyslog imfile ofrece un mejor rendimiento y más opciones de configuración. Esto le permite utilizar el módulo para casos de uso de monitorización de archivos más complicados. Por ejemplo, ahora puede utilizar monitores de archivos con patrones glob en cualquier parte de la ruta configurada y rotar objetivos de enlaces simbólicos con un mayor rendimiento de datos.

(BZ#1614179)

El formato de archivo de configuración de rsyslog por defecto es ahora no legado

Los archivos de configuración de los paquetes rsyslog utilizan ahora el formato no legado por defecto. El formato heredado puede seguir utilizándose, sin embargo, la mezcla de declaraciones de configuración actuales y heredadas tiene varias limitaciones. Las configuraciones que se llevan de versiones anteriores de RHEL deben ser revisadas. Consulte la página man de rsyslog.conf(5) para obtener más información.

(BZ#1619645)

Audit 3.0 sustituye audispd por auditd

Con esta actualización, la funcionalidad de audispd se ha trasladado a auditd. Como resultado, las opciones de configuración de audispd son ahora parte de auditd.conf. Además, el directorio plugins.d se ha trasladado a /etc/audit. El estado actual de auditd y sus plugins puede ahora comprobarse ejecutando el comando service auditd state.

(BZ#1616428)

tangd_port_t permite cambiar el puerto por defecto para Tang

Esta actualización introduce el tipo tangd_port_t SELinux que permite que el servicio tangd se ejecute como confinado con el modo de aplicación de SELinux. Este cambio ayuda a simplificar la configuración de un servidor Tang para que escuche en un puerto definido por el usuario y también preserva el nivel de seguridad proporcionado por SELinux en el modo de aplicación.

Consulte la sección Configuración del desbloqueo automático de volúmenes encriptados mediante el descifrado basado en políticas para obtener más información.

(BZ#1664345)

Nuevos booleanos de SELinux

Esta actualización de la política del sistema SELinux introduce los siguientes booleanos:

colord_use_nfs
mysql_connect_http
pdns_can_network_connect_db
ssh_use_tcpd
sslh_can_bind_any_port
sslh_can_connect_any_port
virt_use_pcscd

Para obtener una lista de booleanos incluyendo su significado, y para saber si están activados o desactivados, instale el paquete selinux-policy-devel y utilice

# semanage boolean -l

(JIRA:RHELPLAN-10347)

SELinux ahora soporta systemd No New Privileges

Esta actualización introduce la capacidad de la política nnp_nosuid_transition que permite las transiciones de dominio de SELinux bajo No New Privileges (NNP) o nosuid si se permite nnp_nosuid_transition entre los contextos antiguos y nuevos. Los paquetes selinux-policy contienen ahora una política para los servicios systemd que utilizan la función de seguridad NNP.

La siguiente regla describe la autorización de esta capacidad para un servicio:

   allow source_domain  target_type:process2 { nnp_transition nosuid_transition };

Por ejemplo:

   allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };

La política de distribución ahora también contiene una interfaz de macros m4, que puede utilizarse en las políticas de seguridad de SELinux para los servicios que utilizan la función init_nnp_daemon_domain().

(BZ#1594111)

Soporte para una nueva comprobación de los permisos de los mapas en la llamada al sistema mmap

Se ha añadido el permiso de mapa de SELinux para controlar el acceso mapeado en memoria a archivos, directorios, sockets, etc. Esto permite que la política de SELinux impida el acceso directo a la memoria de varios objetos del sistema de archivos y garantice que cada acceso de este tipo sea revalidado.

(BZ#1592244)

SELinux ahora soporta el permiso getrlimit en la clase de proceso

Esta actualización introduce una nueva comprobación de control de acceso de SELinux, process:getrlimit, que se ha añadido para la función prlimit(). Esto permite a los desarrolladores de políticas SELinux controlar cuando un proceso intenta leer y luego modificar los límites de recursos de otro proceso usando el permiso process: setrlimit. Tenga en cuenta que SELinux no restringe que un proceso manipule sus propios límites de recursos a través de prlimit( ). Consulte las páginas man de prlimit (2 ) y getrlimit(2) para más información.

(BZ#1549772)

selinux-policy ahora soporta etiquetas VxFS

Esta actualización introduce el soporte para los atributos extendidos de seguridad (xattrs) de Veritas File System (VxFS). Esto permite almacenar etiquetas SELinux adecuadas con objetos en el sistema de archivos en lugar del tipo genérico vxfs_t. Como resultado, los sistemas con VxFS con soporte completo para SELinux son más seguros.

(BZ#1483904)

Los indicadores de seguridad en tiempo de compilación se aplican de forma más coherente

Los indicadores de seguridad en tiempo de compilación se aplican de forma más coherente en los paquetes RPM de la distribución RHEL 8, y el paquete redhat-rpm-config proporciona ahora automáticamente indicadores de seguridad. Los indicadores de compilación aplicados también ayudan a cumplir los requisitos de Common Criteria (CC). Se aplican los siguientes indicadores de seguridad:

Para la detección de errores de desbordamiento de búfer: D_FORTIFY_SOURCE=2
Endurecimiento de la biblioteca estándar que comprueba las matrices, vectores y cadenas de C: D_GLIBCXX_ASSERTIONS
Para el protector de pila (SSP): fstack-protector-strong
Para endurecer las excepciones: fexceptions
Para Control-Flow Integrity (CFI): fcf-protection=full (sólo en arquitecturas AMD e Intel de 64 bits)
Para la aleatorización del espacio de direcciones (ASLR): fPIE (para ejecutables) o fPIC (para bibliotecas)
Para la protección contra la vulnerabilidad Stack Clash: fstack-clash-protection (excepto ARM)
Banderas de enlace para resolver todos los símbolos al inicio: - Wl, -z,now

Consulte la página de manual de gcc(1 ) para obtener más información.

(JIRA:RHELPLAN-2306)

5.1.16. Virtualización

qemu-kvm 2.12 en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con qemu-kvm 2.12. Esta versión corrige múltiples errores y añade una serie de mejoras sobre la versión 1.5.3, disponible en Red Hat Enterprise Linux 7.

En particular, se han introducido las siguientes características:

Q35 tipo de máquina huésped
Arranque de invitados UEFI
Ajuste de NUMA y pinning en el huésped
conexión y desconexión en caliente de la vCPU
hilos de E/S para invitados

Tenga en cuenta que algunas de las funciones disponibles en qemu-kvm 2.12 no son compatibles con Red Hat Enterprise Linux 8. Para obtener información detallada, consulte "Soporte de funciones y limitaciones en la virtualización de RHEL 8" en el Portal del cliente de Red Hat.

(BZ#1559240)

El tipo de máquina Q35 es ahora compatible con la virtualización

Red hat Enterprise Linux 8 introduce la compatibilidad con Q35, un tipo de máquina más moderna basada en PCI Express. Esto proporciona una variedad de mejoras en las características y el rendimiento de los dispositivos virtuales, y asegura que una gama más amplia de dispositivos modernos sean compatibles con la virtualización. Además, las máquinas virtuales creadas en Red Hat Enterprise Linux 8 están configuradas para utilizar Q35 por defecto.

Tenga en cuenta también que el tipo de máquina PC, que antes era el predeterminado, ha quedado obsoleto y sólo debe utilizarse cuando se virtualicen sistemas operativos antiguos que no admitan Q35.

(BZ#1599777)

KVM soporta UMIP en RHEL 8

La virtualización KVM soporta ahora la función de prevención de instrucciones en modo usuario (UMIP), que puede ayudar a evitar que las aplicaciones del espacio de usuario accedan a la configuración de todo el sistema. Esto reduce los vectores potenciales de ataques de escalada de privilegios y, por tanto, hace que el hipervisor KVM y sus máquinas invitadas sean más seguros.

(BZ#1494651)

Información adicional en los informes de fallos de los huéspedes de KVM

Se ha ampliado la información sobre fallos que el hipervisor KVM genera si un huésped termina inesperadamente o deja de responder. Esto facilita el diagnóstico y la solución de problemas en las implementaciones de virtualización de KVM.

(BZ#1508139)

NVIDIA vGPU ahora es compatible con la consola VNC

Cuando se utiliza la función de GPU virtual (vGPU) de NVIDIA, ahora es posible utilizar la consola VNC para mostrar la salida visual del huésped.

(BZ#1497911)

Ceph es compatible con la virtualización

Con esta actualización, el almacenamiento Ceph es compatible con la virtualización KVM en todas las arquitecturas de CPU soportadas por Red Hat.

(BZ#1578855)

Cargador de arranque interactivo para máquinas virtuales KVM en IBM Z

Al arrancar una máquina virtual KVM en un host IBM Z, el firmware del cargador de arranque QEMU puede ahora presentar una interfaz de consola interactiva del SO invitado. Esto hace posible solucionar los problemas de arranque del SO invitado sin acceder al entorno del host.

(BZ#1508137)

IBM z14 ZR1 soportado en máquinas virtuales

El hipervisor KVM ahora soporta el modelo de CPU del servidor IBM z14 ZR1. Esto permite utilizar las características de esta CPU en las máquinas virtuales KVM que se ejecutan en un sistema IBM Z.

(BZ#1592337)

KVM soporta Telnet 3270 en IBM Z

Cuando se utiliza RHEL 8 como host en un sistema IBM Z, ahora es posible conectarse a máquinas virtuales en el host utilizando clientes Telnet 3270.

(BZ#1570029)

Se ha añadido el sandboxing de QEMU

En Red Hat Enterprise Linux 8, el emulador QEMU introduce la característica de sandboxing. El sandboxing de QEMU proporciona limitaciones configurables a las llamadas de sistemas que QEMU puede realizar, y por lo tanto hace que las máquinas virtuales sean más seguras. Tenga en cuenta que esta característica está habilitada y configurada por defecto.

(JIRA:RHELPLAN-10628)

Nuevos tipos de máquinas virtuales KVM en IBM POWER

Se han habilitado varios tipos nuevos de máquinas rhel-pseries para hipervisores KVM que se ejecutan en sistemas IBM POWER 8 e IBM POWER 9. Esto hace posible que las máquinas virtuales (VM) alojadas en RHEL 8 en un sistema IBM POWER utilicen correctamente las características de la CPU de estos tipos de máquinas. Además, esto permite migrar las máquinas virtuales en IBM POWER a una versión más reciente del hipervisor KVM.

(BZ#1585651, BZ#1595501)

Los sistemas ARM 64 ahora admiten máquinas virtuales con hasta 384 vCPUs

Cuando se utiliza el hipervisor KVM en un sistema ARM 64, ahora es posible asignar hasta 384 CPUs virtuales (vCPUs) a una sola máquina virtual (VM).

Tenga en cuenta que el número de CPUs físicas en el host debe ser igual o mayor que el número de vCPUs adjuntas a sus VMs, porque RHEL 8 no soporta el overcommitting de vCPUs.

(BZ#1422268)

Juegos de instrucciones GFNI y CLDEMOT habilitados para Intel Xeon SnowRidge

Las máquinas virtuales (VM) que se ejecutan en un host RHEL 8 en un sistema Intel Xeon SnowRidge ahora pueden utilizar los conjuntos de instrucciones GFNI y CLDEMOT. Esto puede aumentar significativamente el rendimiento de dichas VMs en ciertos escenarios.

(BZ#1494705)

IPv6 habilitado para OVMF

El protocolo IPv6 está ahora habilitado en Open Virtual Machine Firmware (OVMF). Esto hace posible que las máquinas virtuales que utilizan OVMF se beneficien de una serie de mejoras en el arranque de la red que proporciona IPv6.

(BZ#1536627)

Se ha añadido un controlador de bloque basado en VFIO para dispositivos NVMe

El emulador QEMU introduce un controlador basado en la función virtual de E/S (VFIO) para dispositivos de memoria no volátil Express (NVMe). El controlador se comunica directamente con los dispositivos NVMe conectados a las máquinas virtuales (VM) y evita el uso de la capa de sistema del kernel y sus controladores NVMe. Como resultado, esto mejora el rendimiento de los dispositivos NVMe en las máquinas virtuales.

(BZ#1519004)

Soporte multicanal para el controlador UIO genérico de Hyper-V

RHEL 8 admite ahora la función multicanal para el controlador de E/S de espacio de usuario (UIO) genérico de Hyper-V. Esto hace posible que las máquinas virtuales de RHEL 8 que se ejecutan en el hipervisor Hyper-V utilicen el controlador de modo de sondeo Netvsc (PMD) del kit de desarrollo del plano de datos (DPDK), que mejora las capacidades de red de estas máquinas virtuales.

Tenga en cuenta, sin embargo, que el estado de la interfaz Netvsc se muestra actualmente como Down incluso cuando se está ejecutando y es utilizable.

(BZ#1650149)

Mejora de la compatibilidad con páginas enormes

Cuando se utiliza RHEL 8 como host de virtualización, los usuarios pueden modificar el tamaño de las páginas que respaldan la memoria de una máquina virtual (VM) a cualquier tamaño que sea soportado por la CPU. Esto puede mejorar significativamente el rendimiento de la VM.

Para configurar el tamaño de las páginas de memoria de la VM, edite la configuración XML de la VM y añada el elemento <hugepages> a la sección <memoryBacking>.

(JIRA:RHELPLAN-14607)

5.1.17. Soporte

sosreport puede informar sobre programas y mapas basados en eBPF

La herramienta sosreport ha sido mejorada para reportar cualquier programa y mapa de Filtrado de Paquetes Berkeley extendido (eBPF) cargado en Red Hat Enterprise Linux 8.

(BZ#1559836)

Select Your Language

Red Hat Training

Capítulo 5. Lanzamiento de RHEL 8.0.0

5.1. Nuevas características

5.1.1. La consola web

5.1.2. Creación del instalador y de la imagen

5.1.3. Núcleo

5.1.4. Gestión del software

5.1.5. Servicios de infraestructura

5.1.6. Shell y herramientas de línea de comandos

5.1.7. Lenguajes de programación dinámicos, servidores web y de bases de datos

5.1.8. Escritorio

5.1.9. Habilitación de hardware

5.1.10. Gestión de la identidad

5.1.11. Compiladores y herramientas de desarrollo

5.1.12. Sistemas de archivos y almacenamiento

5.1.13. Alta disponibilidad y clusters

5.1.14. Red

5.1.15. Seguridad

5.1.16. Virtualización

5.1.17. Soporte

Quick Links

Help

Site Info

Related Sites

About

Red Hat legal and privacy links

Red Hat legal and privacy links

Language and Page Formatting Options

Red Hat Training

Capítulo 5. Lanzamiento de RHEL 8.0.0

5.1. Nuevas características

5.1.1. La consola web

5.1.2. Creación del instalador y de la imagen

5.1.3. Núcleo

5.1.4. Gestión del software

5.1.5. Servicios de infraestructura

5.1.6. Shell y herramientas de línea de comandos

5.1.7. Lenguajes de programación dinámicos, servidores web y de bases de datos

5.1.8. Escritorio

5.1.9. Habilitación de hardware

5.1.10. Gestión de la identidad

5.1.11. Compiladores y herramientas de desarrollo

5.1.12. Sistemas de archivos y almacenamiento

5.1.13. Alta disponibilidad y clusters

5.1.14. Red

5.1.15. Seguridad

5.1.16. Virtualización

5.1.17. Soporte

Quick Links

Help

Site Info

Related Sites

Systems Status

About

Red Hat legal and privacy links

Red Hat legal and privacy links