Red Hat Training
A Red Hat training course is available for RHEL 8
Capítulo 5. Lanzamiento de RHEL 8.0.0
5.1. Nuevas características
Esta parte describe las nuevas características y las principales mejoras introducidas en Red Hat Enterprise Linux 8.
5.1.1. La consola web
La página de suscripciones de la consola web ahora es proporcionada por el nuevo paquete subscription-manager-cockpit
.
Se ha añadido una interfaz de cortafuegos a la consola web
La página Networking de la consola web de RHEL 8 incluye ahora una sección Firewall. En esta sección, los usuarios pueden activar o desactivar el cortafuegos, así como añadir, eliminar y modificar las reglas del mismo.
(BZ#1647110)
La consola web está ahora disponible por defecto
Los paquetes para la consola web de RHEL 8, también conocida como Cockpit, son ahora parte de los repositorios por defecto de Red Hat Enterprise Linux, y por lo tanto pueden ser instalados inmediatamente en un sistema RHEL 8 registrado.
Además, en una instalación no mínima de RHEL 8, la consola web se instala automáticamente y los puertos del cortafuegos requeridos por la consola se abren automáticamente. También se ha añadido un mensaje del sistema antes del inicio de sesión que proporciona información sobre cómo habilitar o acceder a la consola web.
(JIRA:RHELPLAN-10355)
Mejor integración de IdM para la consola web
Si su sistema está inscrito en un dominio de gestión de identidades (IdM), la consola web de RHEL 8 utiliza ahora por defecto los recursos IdM gestionados de forma centralizada del dominio. Esto incluye las siguientes ventajas:
- Los administradores del dominio IdM pueden utilizar la consola web para gestionar la máquina local.
- El servidor web de la consola cambia automáticamente a un certificado emitido por la autoridad de certificación (CA) de IdM y aceptado por los navegadores.
- Los usuarios con un ticket Kerberos en el dominio IdM no necesitan proporcionar credenciales de acceso para acceder a la consola web.
- Los hosts SSH conocidos por el dominio IdM son accesibles a la consola web sin necesidad de añadir manualmente una conexión SSH.
Tenga en cuenta que para que la integración de IdM con la consola web funcione correctamente, el usuario debe ejecutar primero la utilidad ipa-advise
con la opción enable-admins-sudo
en el sistema maestro de IdM.
(JIRA:RHELPLAN-3010)
La consola web es ahora compatible con los navegadores móviles
Con esta actualización, los menús y las páginas de la consola web se pueden navegar en variantes de navegadores móviles. Esto hace posible la gestión de sistemas mediante la consola web de RHEL 8 desde un dispositivo móvil.
(JIRA:RHELPLAN-10352)
La página principal de la consola web muestra ahora las actualizaciones y suscripciones que faltan
Si un sistema gestionado por la consola web de RHEL 8 tiene paquetes obsoletos o una suscripción caducada, ahora se muestra una advertencia en la página principal de la consola web del sistema.
(JIRA:RHELPLAN-10353)
La consola web ahora admite la inscripción de PBD
Con esta actualización, puede utilizar la interfaz de la consola web de RHEL 8 para aplicar reglas de descifrado basadas en políticas (PBD) a los discos de los sistemas gestionados. Esto utiliza el cliente de descifrado Clevis para facilitar una serie de funciones de gestión de la seguridad en la consola web, como el desbloqueo automático de las particiones de disco cifradas con LUKS.
(JIRA:RHELPLAN-10354)
Las máquinas virtuales se pueden gestionar ahora mediante la consola web
Ahora se puede añadir la página de máquinas vir
tuales a la interfaz de la consola web de RHEL 8, que permite al usuario crear y gestionar máquinas virtuales basadas en libvirt.
(JIRA:RHELPLAN-2896)
5.1.2. Creación del instalador y de la imagen
La instalación de RHEL desde un DVD utilizando SE y HMC es ahora totalmente compatible con IBM Z
La instalación de Red Hat Enterprise Linux 8 en el hardware IBM Z desde un DVD usando Support Element (SE) y Hardware Management Console (HMC) es ahora totalmente compatible. Esta adición simplifica el proceso de instalación en IBM Z con SE y HMC.
Cuando se arranca desde un DVD binario, el instalador pide al usuario que introduzca parámetros adicionales del kernel. Para establecer el DVD como fuente de instalación, añada inst.repo=hmc
a los parámetros del kernel. El instalador entonces habilita el acceso a los archivos SE y HMC, obtiene las imágenes para la etapa 2 desde el DVD, y proporciona acceso a los paquetes en el DVD para la selección de software.
La nueva función elimina el requisito de una configuración de red externa y amplía las opciones de instalación.
(BZ#1500792)
El instalador ahora es compatible con el formato de cifrado de disco LUKS2
El instalador de Red Hat Enterprise Linux 8 ahora utiliza el formato LUKS2 por defecto, pero puede seleccionar una versión LUKS desde la ventana Anaconda’s Custom Partitioning o utilizando las nuevas opciones en los comandos autopart
, logvol
, part
y RAID
de Kickstart.
LUKS2 aporta muchas mejoras y características, por ejemplo, amplía las capacidades del formato en disco y proporciona formas flexibles de almacenar metadatos.
(BZ#1547908)
Anaconda admite el propósito del sistema en RHEL 8
Anteriormente, Anaconda no proporcionaba información sobre el propósito del sistema a Subscription Manager. En Red Hat Enterprise Linux 8.0, puede establecer el propósito del sistema durante la instalación utilizando la ventana Propósito del sistema
de Anaconda’s o el comando syspurpose
de Kickstart. Cuando la instalación se completa, Subscription Manager utiliza la información de propósito del sistema cuando se suscribe el sistema.
(BZ#1612060)
Pykickstart
es compatible con System Purpose en RHEL 8
Anteriormente, no era posible que la biblioteca pykickstart
proporcionara información sobre el propósito del sistema a Subscription Manager. En Red Hat Enterprise Linux 8.0, pykickstart
analiza el nuevo comando syspurpose
y registra el propósito del sistema durante la instalación automatizada y parcialmente automatizada. La información se pasa a Anaconda, se guarda en el sistema recién instalado y está disponible para Subscription Manager cuando se suscribe el sistema.
(BZ#1612061)
Anaconda soporta un nuevo parámetro de arranque del kernel en RHEL 8
Anteriormente, sólo se podía especificar un repositorio base desde los parámetros de arranque del kernel. En Red Hat Enterprise Linux 8, un nuevo parámetro del kernel, inst.addrepo=<name>,<url>
, le permite especificar un repositorio adicional durante la instalación.
Este parámetro tiene dos valores obligatorios: el nombre del repositorio y la URL que apunta al repositorio. Para más información, consulte https://anaconda-installer.readthedocs.io/en/latest/boot-options.html#inst-addrepo
(BZ#1595415)
Anaconda soporta una ISO unificada en RHEL 8
En Red Hat Enterprise Linux 8.0, una ISO unificada carga automáticamente los repositorios fuente de instalación de BaseOS y AppStream.
Esta característica funciona para el primer repositorio base que se carga durante la instalación. Por ejemplo, si arranca la instalación sin ningún repositorio configurado y tiene la ISO unificada como repositorio base en la GUI, o si arranca la instalación usando la opción inst.repo=
que apunta a la ISO unificada. Como resultado, el repositorio de AppStream está habilitado en la sección Additional Repositories de la ventana de la GUI Installation Source. No se puede eliminar el repositorio AppStream o cambiar su configuración, pero se puede desactivar en Installation Source. Esta característica no funciona si arranca la instalación utilizando un repositorio base diferente y luego lo cambia por la ISO unificada. Si hace eso, el repositorio base es reemplazado. Sin embargo, el repositorio de AppStream no es reemplazado y apunta al archivo original.
(BZ#1610806)
Anaconda puede instalar paquetes modulares en scripts Kickstart
El instalador de Anaconda se ha ampliado para manejar todas las características relacionadas con los flujos de aplicaciones: módulos, flujos y perfiles. Los scripts Kickstart pueden ahora habilitar combinaciones de módulos y flujos, instalar perfiles de módulos e instalar paquetes modulares. Para más información, vea Cómo realizar una instalación avanzada de RHEL.
(JIRA:RHELPLAN-1943)
La opción de arranque nosmt
está ahora disponible en las opciones de instalación de RHEL 8
La opción de arranque nosmt
está disponible en las opciones de instalación que se pasan a un sistema RHEL 8 recién instalado.
(BZ#1677411)
RHEL 8 soporta la instalación desde un repositorio en un disco duro local
Anteriormente, la instalación de RHEL desde un disco duro requería una imagen ISO como fuente de instalación. Sin embargo, la imagen ISO de RHEL 8 puede ser demasiado grande para algunos sistemas de archivos; por ejemplo, el sistema de archivos FAT32 no puede almacenar archivos de más de 4 GiB.
En RHEL 8, puede habilitar la instalación desde un repositorio en un disco duro local. Sólo tiene que especificar el directorio en lugar de la imagen ISO. Por ejemplo:`inst.repo=hd:<device>:<path to the repository>`
(BZ#1502323)
La creación de imágenes de sistema personalizadas con Image Builder está disponible en RHEL 8
La herramienta Image Builder permite a los usuarios crear imágenes RHEL personalizadas. Image Builder está disponible en AppStream en el paquete lorax-composer paquete.
Con Image Builder, los usuarios pueden crear imágenes de sistema personalizadas que incluyan paquetes adicionales. Se puede acceder a la funcionalidad de Image Builder a través de:
- una interfaz gráfica de usuario en la consola web
-
una interfaz de línea de comandos en la herramienta
composer-cli
.
Los formatos de salida de Image Builder incluyen, entre otros:
- imagen de disco ISO en vivo
- archivo qcow2 para su uso directo con una máquina virtual u OpenStack
- archivo de imagen del sistema de archivos
- imágenes en la nube para Azure, VMWare y AWS
Para obtener más información sobre Image Builder, consulte el título de la documentación Composición de una imagen de sistema RHEL personalizada.
(JIRA:RHELPLAN-7291, BZ#1628645, BZ#1628646, BZ#1628647, BZ#1628648)
5.1.3. Núcleo
Versión del núcleo en RHEL 8.0
Red Hat Enterprise Linux 8.0 se distribuye con la versión 4.18.0-80 del kernel.
(BZ#1797671)
Ya está disponible el direccionamiento físico ARM de 52 bits
Con esta actualización, se dispone de soporte para el direccionamiento físico (PA) de 52 bits para la arquitectura ARM de 64 bits. Esto proporciona un mayor espacio de direcciones que el anterior PA de 48 bits.
(BZ#1643522)
El código IOMMU soporta tablas de páginas de 5 niveles en RHEL 8
El código de la unidad de gestión de memoria de E/S (IOMMU) en el kernel de Linux ha sido actualizado para soportar tablas de páginas de 5 niveles en Red Hat Enterprise Linux 8.
(BZ#1485546)
Soporte para la paginación de 5 niveles
Se ha añadido un nuevo tipo de tabla de páginas de software P4d_t
en el kernel de Linux para soportar la paginación de 5 niveles en Red Hat Enterprise Linux 8.
(BZ#1485532)
La gestión de la memoria admite tablas de páginas de 5 niveles
Con Red Hat Enterprise Linux 7, el bus de memoria existente tenía 48/46 bits de capacidad de direccionamiento de memoria virtual/física, y el kernel de Linux implementó 4 niveles de tablas de páginas para gestionar estas direcciones virtuales a direcciones físicas. La línea de direccionamiento del bus físico puso la capacidad límite superior de la memoria física en 64 TB.
Estos límites se han ampliado a 57/52 bits de direccionamiento de memoria virtual/física con 128 PiB de espacio de direcciones virtuales y 4 PB de capacidad de memoria física.
Con el rango de direcciones ampliado, la gestión de memoria en Red Hat Enterprise Linux 8 añade soporte para la implementación de tablas de páginas de 5 niveles, para poder manejar el rango de direcciones ampliado.
(BZ#1485525)
kernel-signing-ca.
cer se traslada a kernel-core
en RHEL 8
En todas las versiones de Red Hat Enterprise Linux 7, la clave pública kernel-signing-ca
.cer se encontraba en el paquete kernel-doc
. Sin embargo, en Red Hat Enterprise Linux 8, kernel-signing-ca.cer
se ha reubicado en el paquete kernel-core
para todas las arquitecturas.
(BZ#1638465)
La mitigación de Spectre V2 ha cambiado por defecto de IBRS a Retpolines
La mitigación por defecto para la vulnerabilidad Spectre V2 (CVE-2017-5715) para los sistemas con los procesadores Intel Core de 6ª generación y sus derivados cercanos [1] ha cambiado de Especulación restringida de rama indirecta (IBRS) a Retpolines en Red Hat Enterprise Linux 8. Red Hat ha implementado este cambio como resultado de las recomendaciones de Intel para alinearse con los valores por defecto utilizados en la comunidad Linux y para restaurar el rendimiento perdido. Sin embargo, tenga en cuenta que el uso de Retpolines en algunos casos puede no mitigar completamente Spectre V2. El documento de Retpoline de Intel [2] describe algunos casos de exposición. Este documento también afirma que el riesgo de un ataque es bajo.
Para los casos de uso en los que se desea una mitigación completa de Spectre V2, el usuario puede seleccionar IBRS a través de la línea de arranque del kernel añadiendo el indicador spectre_v2=ibrs
.
Si uno o más módulos del kernel no fueron construidos con el soporte de Retpoline, el archivo /sys/devices/system/cpu/vulnerabilities/spectre_v2
indicará la vulnerabilidad y el archivo /var/log/messages
identificará los módulos infractores. Ver Cómo determinar qué módulos son los responsables de que spectre_v2 devuelva "Vulnerable": ¿Retpoline con módulo(s) inseguro(s)? " para más información.
1] La "6ª generación de procesadores Intel Core y sus derivados cercanos" es lo que el documento de Retpolines de Intel denomina "generación Skylake".
2] Retpoline: Una mitigación de la inyección en el objetivo de la rama - Libro Blanco
(BZ#1651806)
Software de host Intel® Omni-Path Architecture (OPA)
El software de host Intel Omni-Path Architecture (OPA) es totalmente compatible con Red Hat Enterprise Linux 8.
Intel OPA proporciona el hardware Host Fabric Interface (HFI) con la inicialización y la configuración para las transferencias de datos de alto rendimiento (alto ancho de banda, alta tasa de mensajes, baja latencia) entre los nodos de computación y E/S en un entorno de clúster.
Para obtener instrucciones sobre la instalación de la documentación de la Arquitectura Intel Omni-Path, consulte: https://www.intel.com/content/dam/support/us/en/documents/network-and-i-o/fabric-products/Intel_OP_Software_RHEL_8_RN_K51383.pdf
NUMA soporta más nodos en RHEL 8
Con esta actualización, el número de nodos de acceso a memoria no uniforme (NUMA) se ha incrementado de 4 nodos NUMA a 8 nodos NUMA en Red Hat Enterprise Linux 8 en sistemas con arquitectura ARM de 64 bits.
(BZ#1550498)
El passthrough de IOMMU está ahora habilitado por defecto en RHEL 8
La unidad de gestión de memoria de entrada/salida (IOMMU) se ha activado por defecto. Esto proporciona un mejor rendimiento para los sistemas AMD, ya que la reasignación de acceso directo a la memoria (DMA) está deshabilitada para el host. Esta actualización aporta coherencia con los sistemas Intel, en los que la reasignación DMA también está desactivada por defecto. Los usuarios pueden desactivar este comportamiento (y activar la reasignación DMA) especificando los parámetros iommu.passthrough=off
o iommu=nopt
en la línea de comandos del kernel, incluyendo el hipervisor.
(BZ#1658391)
El kernel de RHEL8 ahora soporta tablas de páginas de 5 niveles
El kernel de Red Hat Enterprise Linux es ahora totalmente compatible con los futuros procesadores Intel con hasta 5 niveles de tablas de páginas. Esto permite a los procesadores soportar hasta 4PB de memoria física y 128PB de espacio de direcciones virtuales. Las aplicaciones que utilizan grandes cantidades de memoria pueden ahora utilizar toda la memoria posible proporcionada por el sistema sin las restricciones de las tablas de páginas de 4 niveles.
(BZ#1623590)
El kernel de RHEL8 es compatible con el IBRS mejorado para las futuras CPU de Intel
El kernel de Red Hat Enterprise Linux ahora soporta el uso de la capacidad mejorada de Especulación Restringida de Rama Indirecta (IBRS) para mitigar la vulnerabilidad Spectre V2. Cuando se habilita, IBRS funcionará mejor que Retpolines (por defecto) para mitigar Spectre V2 y no interferirá con la tecnología Intel Control-flow Enforcement. Como resultado, la penalización del rendimiento al activar la mitigación de Spectre V2 será menor en las futuras CPU de Intel.
(BZ#1614144)
se ha añadidobpftool
para la inspección y manipulación de programas y mapas basados en eBPF
La utilidad bpftool
, que sirve para inspeccionar y manipular de forma sencilla programas y mapas basados en el filtrado de paquetes de Berkeley ampliado (eBPF), ha sido añadida al kernel de Linux. bpftool
forma parte del árbol de fuentes del kernel, y es proporcionada por el paquete bpftool, que se incluye como un subpaquete del paquete kernel.
(BZ#1559607)
Las fuentes de kernel-rt
han sido actualizadas
Las fuentes de kernel-rt
han sido actualizadas para utilizar el último árbol de fuentes del kernel de RHEL. El último árbol de fuentes del kernel utiliza ahora el conjunto de parches en tiempo real de la versión 4.18, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior.
(BZ#1592977)
5.1.4. Gestión del software
YUM mejora del rendimiento y apoyo a los contenidos modulares
En Red Hat Enterprise Linux 8, la instalación de software está garantizada por la nueva versión de la herramienta YUM, que se basa en la tecnología DNF (YUM v4).
YUM v4 tiene las siguientes ventajas sobre el anterior YUM v3 utilizado en RHEL 7:
- Mayor rendimiento
- Soporte para contenidos modulares
- API estable y bien diseñada para la integración con las herramientas
Para obtener información detallada sobre las diferencias entre la nueva herramienta YUM v4 y la versión anterior YUM v3 de RHEL 7, consulte Cambios en DNF CLI en comparación con YUM.
YUM v4 es compatible con YUM v3 cuando se utiliza desde la línea de comandos, editando o creando archivos de configuración.
Para instalar software, puede utilizar el comando yum
y sus opciones particulares de la misma manera que en RHEL 7.
Algunos plug-ins y utilidades de yum han sido portados al nuevo back-end de DNF, y pueden ser instalados con los mismos nombres que en RHEL 7. También proporcionan enlaces simbólicos de compatibilidad, por lo que los binarios, archivos de configuración y directorios se pueden encontrar en las ubicaciones habituales.
Tenga en cuenta que la antigua API de Python proporcionada por YUM v3 ya no está disponible. Se aconseja a los usuarios que migren sus plug-ins y scripts a la nueva API proporcionada por YUM v4 (DNF Python API), que es estable y totalmente compatible. La API Python de DNF está disponible en DNF API Reference.
Las APIs Libdnf y Hawkey (tanto en C como en Python) son inestables y probablemente cambiarán durante el ciclo de vida de Red Hat Enterprise Linux 8.
Para más detalles sobre los cambios de los paquetes YUM y la disponibilidad de las herramientas, consulte Consideraciones para la adopción de RHEL 8.
Algunas de las características de YUM v3 pueden comportarse de manera diferente en YUM v4. Si algún cambio de este tipo afecta negativamente a sus flujos de trabajo, abra un caso con el Soporte de Red Hat, como se describe en ¿Cómo abro y gestiono un caso de soporte en el Portal del Cliente?
(BZ#1581198)
Características notables de RPM en RHEL 8
Red Hat Enterprise Linux 8 se distribuye con RPM 4.14. Esta versión introduce muchas mejoras respecto a RPM 4.11, que está disponible en RHEL 7. Las características más notables incluyen:
-
Los paquetes
debuginfo
pueden instalarse en paralelo - Apoyo a las dependencias débiles
- Apoyo a las dependencias ricas o booleanas
- Soporte para empaquetar archivos de más de 4 GB de tamaño
- Apoyo a los activadores de archivos
Además, los cambios más notables son:
- Un parser de especificaciones más estricto
- Simplificación de la comprobación de la salida de la firma en modo no-verboso
- Adiciones y desapariciones en las macros
(BZ#1581990)
RPM ahora valida todo el contenido del paquete antes de iniciar una instalación
En Red Hat Enterprise Linux 7, la utilidad RPM verificaba el contenido de la carga útil de los archivos individuales mientras los desempaquetaba. Sin embargo, esto es insuficiente por múltiples razones:
- Si la carga útil está dañada, sólo se nota después de ejecutar las acciones del script, que son irreversibles.
- Si la carga útil está dañada, la actualización de un paquete aborta después de reemplazar algunos archivos de la versión anterior, lo que rompe una instalación en funcionamiento.
- Los hashes de los archivos individuales se realizan sobre datos sin comprimir, lo que hace que RPM sea vulnerable a las vulnerabilidades del descompresor.
En Red Hat Enterprise Linux 8, todo el paquete se valida antes de la instalación en un paso separado, utilizando el mejor hash disponible.
Los paquetes creados en Red Hat Enterprise Linux 8 utilizan un nuevo hash SHA-256
en la carga útil comprimida. En los paquetes firmados, el hash de la carga útil está protegido adicionalmente por la firma, y por lo tanto no puede ser alterado sin romper la firma y otros hashes en la cabecera del paquete. Los paquetes más antiguos utilizan el hash MD5
de la cabecera y la carga útil, a menos que se desactive por configuración.
La macro %_pkgverify_level
se puede utilizar para activar adicionalmente la verificación de firmas antes de la instalación o para desactivar completamente la verificación de la carga útil. Además, la macro %_pkgverify_flags
se puede utilizar para limitar qué hashes y firmas se permiten. Por ejemplo, es posible deshabilitar el uso del hash débil MD5
a costa de la compatibilidad con paquetes más antiguos.
(JIRA:RHELPLAN-10596)
5.1.5. Servicios de infraestructura
Cambios notables en el perfil recomendado de Tuned en RHEL 8
Con esta actualización, el perfil recomendado de Tuned (informado por el comando tuned-adm recommend
) se selecciona ahora en base a las siguientes reglas - la primera regla que coincida tiene efecto:
Si el rol
syspurpose
(reportado por el comandosyspurpose show
) contieneatomic
, y al mismo tiempo:-
si Tuned se ejecuta en metal desnudo, se selecciona el perfil
atomic-host
-
si Tuned se ejecuta en una máquina virtual, se selecciona el perfil
atomic-guest
-
si Tuned se ejecuta en metal desnudo, se selecciona el perfil
-
Si Tuned se ejecuta en una máquina virtual, se selecciona el perfil
de invitado virtual
-
Si la función
syspurpose
contieneescritorio
oestación de trabajo
y el tipo de chasis (reportado pordmidecode
) esportátil
,laptop
oportátil
, entonces se selecciona el perfilbalanceado
-
Si no coincide ninguna de las reglas anteriores, se selecciona el perfil de
rendimiento de caudal
(BZ#1565598)
Los archivos producidos por named pueden escribirse en el directorio de trabajo
Anteriormente, el demonio named almacenaba algunos datos en el directorio de trabajo, que ha sido de sólo lectura en Red Hat Enterprise Linux. Con esta actualización, se han cambiado las rutas de los archivos seleccionados a subdirectorios, donde se permite la escritura. Ahora, los permisos por defecto del directorio Unix y SELinux permiten la escritura en el directorio. Los archivos distribuidos dentro del directorio siguen siendo de sólo lectura a named.
(BZ#1588592)
Las bases de datos Geolite han sido sustituidas por las bases de datos Geolite2
Las bases de datos Geolite que estaban presentes en Red Hat Enterprise Linux 7 fueron reemplazadas por las bases de datos Geolite2 en Red Hat Enterprise Linux 8.
Las bases de datos de geolitos eran proporcionadas por el paquete GeoIP
. Este paquete, junto con la base de datos heredada, ya no está soportado en la versión anterior.
Las bases de datos de Geolite2 son proporcionadas por múltiples paquetes. El paquete libmaxminddb
incluye la biblioteca y la herramienta de línea de comandos mmdblookup
, que permite la búsqueda manual de direcciones. El binario geoipupdate
del paquete GeoIP
heredado es ahora proporcionado por el paquete geoipupdate
, y es capaz de descargar tanto las bases de datos heredadas como las nuevas bases de datos Geolite2.
(JIRA:RHELPLAN-6746)
Los registros de CUPS son manejados por journald
En RHEL 8, los registros de CUPS ya no se almacenan en archivos específicos dentro del directorio /var/log/cups
, que se utilizaba en RHEL 7. En RHEL 8, todos los tipos de registros de CUPS se registran de forma centralizada en el demonio systemd journald
junto con los registros de otros programas. Para acceder a los registros de CUPS, utilice el comando journalctl -u cups
. Para más información, consulte Trabajar con los registros de CUPS.
(JIRA:RHELPLAN-12764)
Características notables de BIND en RHEL 8
RHEL 8 incluye BIND (Berkeley Internet Name Domain) en la versión 9.11. Esta versión del servidor DNS introduce múltiples novedades y cambios de características respecto a la versión 9.10.
Nuevas características:
- Se ha añadido un nuevo método de aprovisionamiento de servidores secundarios llamado Catalog Zones.
-
Las cookies del sistema de nombres de dominio son ahora enviadas por el servicio
nombrado
y la utilidaddig
. - La función Response Rate Limiting ahora puede ayudar a mitigar los ataques de amplificación de DNS.
- Se ha mejorado el rendimiento de la zona de política de respuesta (RPZ).
-
Se ha añadido un nuevo formato de archivo de zona llamado
mapa
. Los datos de zona almacenados en este formato pueden ser mapeados directamente en la memoria, lo que permite que las zonas se carguen significativamente más rápido. -
Se ha añadido una nueva herramienta llamada
delv
(domain entity lookup and validation), con una semántica similar a la de dig para buscar datos DNS y realizar la validación interna de las extensiones de seguridad DNS (DNSSEC). -
Ya está disponible un nuevo comando
mdig
. Este comando es una versión del comando `dig` que envía múltiples consultas en cadena y luego espera las respuestas, en lugar de enviar una consulta y esperar la respuesta antes de enviar la siguiente consulta. -
Se ha añadido una nueva opción de
prefetch
, que mejora el rendimiento del resolver recursivo. -
Se ha añadido una nueva opción de zona
en la
vista, que permite compartir los datos de la zona entre las vistas. Cuando se utiliza esta opción, varias vistas pueden servir las mismas zonas de forma autorizada sin almacenar varias copias en la memoria. -
Se ha añadido una nueva opción
max-zone-ttl
, que impone los TTL máximos para las zonas. Cuando se carga una zona que contiene un TTL superior, la carga falla. Las actualizaciones de DNS dinámico (DDNS) con TTLs más altos se aceptan pero el TTL se trunca. - Se han añadido nuevas cuotas para limitar las consultas que envían los resolutores recursivos a los servidores autoritativos que sufren ataques de denegación de servicio.
-
La utilidad
nslookup
ahora busca por defecto tanto direcciones IPv6 como IPv4. -
El servicio
nombrado
ahora comprueba si hay otros procesos de servidor de nombres en ejecución antes de iniciarse. -
Al cargar una zona firmada,
named
comprueba ahora si la hora de inicio de una firma de registro de recursos (RSIG) es futura y, en caso afirmativo, regenera la RRSIG inmediatamente. - Las transferencias de zona utilizan ahora tamaños de mensaje más pequeños para mejorar la compresión de los mensajes, lo que reduce el uso de la red.
Cambios en las características:
-
El esquema XML de la versión
3
para el canal de estadísticas, que incluye nuevas estadísticas y un árbol XML aplanado para un análisis más rápido, se proporciona mediante la interfaz HTTP. El esquema XML de la versión2
ya no es compatible. -
El servicio
nombrado
ahora escucha en las interfaces IPv6 e IPv4 por defecto. -
El servicio
nombrado
ya no soporta GeoIP. Las listas de control de acceso (ACL) definidas por la presunta ubicación del remitente de la consulta no están disponibles.
(JIRA:RHELPLAN-1820)
5.1.6. Shell y herramientas de línea de comandos
El usuario nobody
sustituye a nfsnobody
En Red Hat Enterprise Linux 7, lo había:
-
la pareja de usuario y grupo
nobody
con el ID 99, y -
el par de usuario y grupo
nfsnobody
con el ID de 65534, que es el ID de desbordamiento del kernel por defecto, también.
Ambos han sido fusionados en el par de usuario y grupo nobody
, que utiliza el ID 65534 en Red Hat Enterprise Linux 8. Las nuevas instalaciones ya no crean el par nfsnobody
.
Este cambio reduce la confusión sobre los archivos que no
son propiedad de nadie
pero que no tienen nada que ver con NFS.
(BZ#1591969)
Sistemas de control de versiones en RHEL 8
RHEL 8 proporciona los siguientes sistemas de control de versiones:
-
Git 2.18
, un sistema de control de revisiones distribuido con una arquitectura descentralizada. -
Mercurial 4.8
, un sistema ligero de control de versiones distribuido, diseñado para el manejo eficiente de grandes proyectos. -
Subversion 1.10
, un sistema de control de versiones centralizado.
Tenga en cuenta que el Sistema de Versiones Concurrentes (CVS) y el Sistema de Control de Revisiones (RCS), disponibles en RHEL 7, no se distribuyen con RHEL 8.
(BZ#1693775)
Cambios notables en Subversion 1.10
Subversion 1.10
introduce una serie de nuevas características desde la versión 1.7 distribuida en RHEL 7, así como los siguientes cambios de compatibilidad:
-
Debido a incompatibilidades en las bibliotecas de
Subversion
utilizadas para soportar los enlaces de lenguaje, los enlaces de Python3
paraSubversion 1.
10 no están disponibles. Como consecuencia, las aplicaciones que requieren enlaces dePython
paraSubversion
no son compatibles. -
Los repositorios basados en
Berkeley DB
ya no están soportados. Antes de migrar, haga una copia de seguridad de los repositorios creados conSubversion 1.
7 utilizando el comandosvnadmin
dump. Después de instalar RHEL 8, restaure los repositorios utilizando el comandosvnadmin
load. -
Las copias de trabajo existentes que han sido verificadas por el cliente
Subversion 1.7
en RHEL 7 deben ser actualizadas al nuevo formato antes de que puedan ser utilizadas desdeSubversion 1.10
. Después de instalar RHEL 8, ejecute el comandosvn upgrade
en cada copia de trabajo. -
Ya no se admite la autenticación con tarjeta inteligente para acceder a los repositorios mediante
https://
.
(BZ#1571415)
Cambios notables en dstat
RHEL 8 se distribuye con una nueva versión de la herramienta dstat
. Esta herramienta forma ahora parte del conjunto de herramientas Performance Co-Pilot (PCP). El archivo /usr/bin/dstat
y el nombre del paquete dstat
lo proporciona ahora el paquete pcp-system-tools
.
La nueva versión de dstat
introduce las siguientes mejoras respecto a dstat
disponible en RHEL 7:
-
soporte de
python3
- Análisis histórico
- Análisis de hosts remotos
- Plugins de archivos de configuración
- Nuevas métricas de rendimiento
5.1.7. Lenguajes de programación dinámicos, servidores web y de bases de datos
Python 3
es la implementación de Python
por defecto en RHEL 8
Red Hat Enterprise Linux 8 se distribuye con Python 3.6
. El paquete puede no estar instalado por defecto. Para instalar Python
3.6, utilice el comando yum install python3
.
Python2.
7 está disponible en el paquete python2
. Sin embargo, Python 2
tendrá un ciclo de vida más corto y su objetivo es facilitar a los clientes una transición más suave a Python 3
.
Ni el paquete python
por defecto ni el ejecutable /usr/bin/python
sin versionar se distribuyen con RHEL 8. Se aconseja a los clientes que utilicen directamente python3
o python2
. Como alternativa, los administradores pueden configurar el comando python
no versionado utilizando el comando alternatives
.
Para más detalles, consulte Uso de Python en Red Hat Enterprise Linux 8.
(BZ#1580387)
Los scripts de Python deben especificar la versión principal en los hashbangs en el momento de construir el RPM
En RHEL 8, se espera que los scripts ejecutables de Python utilicen hashbangs (shebangs) especificando explícitamente al menos la versión principal de Python.
El script /usr/lib/rpm/redhat/brp-mangle-shebangs
buildroot policy (BRP) se ejecuta automáticamente al construir cualquier paquete RPM. Este script intenta corregir los hashbangs en todos los archivos ejecutables. Cuando el script encuentra hashbangs ambiguos de Python que no especifican la versión mayor de Python, genera errores y la construcción del RPM falla. Ejemplos de tales hashbangs ambiguos incluyen:
-
#! /usr/bin/python
-
#! /usr/bin/env python
Para modificar los hashbangs en los scripts de Python que causan estos errores de compilación en el momento de construir el RPM, utilice el script pathfix.py
del paquete platform-python-devel:
pathfix.py -pn -i %{__python3} PATH...
Se pueden especificar múltiples PATHs. Si un PATH es un directorio, pathfix
.py busca recursivamente cualquier script de Python que coincida con el patrón ^[a-zA-Z0-9_] \_.py$
, no sólo aquellos con un hashbang ambiguo. Añade el comando para ejecutar pathfix.
py a la sección %prep
o al final de la sección %install
.
Para más información, consulte Manejo de hashbangs en scripts de Python.
(BZ#1583620)
Cambios notables en PHP
Red Hat Enterprise Linux 8 se distribuye con PHP 7.2
. Esta versión introduce los siguientes cambios importantes con respecto a PHP 5.4
, que está disponible en RHEL 7:
-
PHP
utiliza FastCGI Process Manager (FPM) por defecto (seguro para su uso con unhttpd
roscado) -
Las variables
php_value
yphp-flag
ya no deben utilizarse en los archivos de configuración dehttpd
; en su lugar, deben establecerse en la configuración del pool:/etc/php-fpm.d/*.conf
-
Los errores y advertencias de los scripts
PHP
se registran en el archivo/var/log/php-fpm/www-error.log
en lugar de/var/log/httpd/error.log
-
Al cambiar la variable de configuración PHP
max_execution_time
, el ajustehttpd
ProxyTimeout
debe ser aumentado para que coincida con -
El usuario que ejecuta los scripts
PHP
está ahora configurado en la configuración del pool de FPM (el archivo/etc/php-fpm.d/www.conf
; el usuarioapache
es el predeterminado) -
El servicio
php-fpm
debe reiniciarse después de un cambio de configuración o de la instalación de una nueva extensión -
La extensión
zip
se ha trasladado del paquetephp-common
a un paquete independiente,php-pecl-zip
Se han eliminado las siguientes extensiones:
-
aspell
-
mysql
(tenga en cuenta que las extensionesmysqli
ypdo_mysql
siguen estando disponibles, proporcionadas por el paquetephp-mysqlnd
) -
memcache
(BZ#1580430, BZ#1691688)
Cambios notables en Ruby
RHEL 8 ofrece Ruby 2.5
, que introduce numerosas novedades y mejoras respecto a Ruby 2.0.0
disponible en RHEL 7. Los cambios más destacados son:
- Se ha añadido el recolector de basura incremental.
-
Se ha añadido la sintaxis
Refinamientos
. - Los símbolos son ahora recolectados por la basura.
-
Los niveles de seguridad
$SAFE=2
y$SAFE=3
han quedado obsoletos. -
Las clases
Fixnum
yBignum
se han unificado en la claseInteger
. -
Se ha mejorado el rendimiento gracias a la optimización de la clase
Hash
, a la mejora del acceso a las variables de instancia y a que la claseMutex
es más pequeña y rápida. - Algunas API antiguas han quedado obsoletas.
-
Se han actualizado las bibliotecas incluidas, como
RubyGems
,Rake
,RDoc
,Psych
,Minitest
ytest-unit
. -
Otras bibliotecas, como
mathn
,DL
,ext/tk
yXMLRPC
, que antes se distribuían conRuby
, están obsoletas o ya no se incluyen. -
El esquema de versionado
SemVer
se utiliza ahora para el versionado deRuby
.
(BZ#1648843)
Cambios notables en Perl
Perl 5.26
, distribuido con RHEL 8, introduce los siguientes cambios respecto a la versión disponible en RHEL 7:
-
Ahora es compatible con
Unicode 9.0
. -
Se proporcionan nuevas sondas
SystemTap
deentrada de operaciones
, dearchivo de carga
yde archivo cargado
. - El mecanismo de copia en escritura se utiliza al asignar escalares para mejorar el rendimiento.
-
Se ha añadido el módulo
IO::Socket::IP
para manejar los sockets IPv4 e IPv6 de forma transparente. -
Se ha añadido el módulo
Config::Perl::V
para acceder a los datos deperl -V
de forma estructurada. -
Se ha añadido un nuevo paquete
perl-App-cpanminus
, que contiene la utilidadcpanm
para obtener, extraer, construir e instalar módulos del repositorio Comprehensive Perl Archive Network (CPAN). -
El directorio actual
.
ha sido eliminado de la ruta de búsqueda del módulo@INC
por razones de seguridad. -
La sentencia
do
ahora devuelve una advertencia de desaprobación cuando falla al cargar un archivo debido al cambio de comportamiento descrito anteriormente. -
La llamada a la
subrutina do(LIST)
ya no se admite y da lugar a un error de sintaxis. -
Ahora los hash son aleatorios por defecto. El orden en el que se devuelven las claves y los valores de un hash cambia en cada ejecución de
Perl
. Para desactivar la aleatoriedad, establezca la variable de entornoPERL_PERTURB_KEYS
en0
. -
Ya no se permiten los caracteres literales
{
sin mayúsculas en los patrones de expresiones regulares. -
Se ha eliminado el soporte del ámbito léxico para la variable
$_
. -
El uso del operador
definido
en un array o en un hash produce un error fatal. -
La importación de funciones del módulo
UNIVERSAL
produce un error fatal. -
Se han eliminado las herramientas
find2perl
,s2p
,a2p
,c2ph
ypstruct
. -
Se ha eliminado la facilidad
${^ENCODING}
. Ya no se admite el modo por defecto del pragma decodificación
. Para escribir el código fuente en otra codificación que no seaUTF-8
, utilice la opciónFilter
de la codificación. -
El paquete
perl
está ahora alineado con el upstream. El paqueteperl
instala también los módulos centrales, mientras que el intérprete/usr/bin/perl
es proporcionado por el paqueteperl-interpreter
. En versiones anteriores, el paqueteperl
sólo incluía un intérprete mínimo, mientras que el paqueteperl-core
incluía tanto el intérprete como los módulos centrales. -
El módulo
IO::Socket::SSL
Perl ya no carga un certificado de autoridad de certificación desde el archivo./certs/my-ca.pem
o el directorio./ca
, una clave privada del servidor desde el archivo./certs/server-key.pem
, un certificado del servidor desde el archivo./certs/server-cert.pem
, una clave privada del cliente desde el archivo./certs/client-key.pem
y un certificado del cliente desde el archivo./certs/client-cert.pem
. En su lugar, especifique las rutas de acceso a los archivos de forma explícita.
(BZ#1511131)
Node.js
nuevo en RHEL
Node.js
, una plataforma de desarrollo de software para crear aplicaciones de red rápidas y escalables en el lenguaje de programación JavaScript, se ofrece por primera vez en RHEL. Anteriormente sólo estaba disponible como Colección de Software. RHEL 8 proporciona Node.js 10
.
(BZ#1622118)
Cambios notables en SWIG
RHEL 8 incluye la versión 3.0 de Simplified Wrapper and Interface Generator (SWIG), que ofrece numerosas novedades, mejoras y correcciones de errores respecto a la versión 2.0 distribuida en RHEL 7. En particular, se ha implementado la compatibilidad con el estándar C 11. SWIG
ahora también es compatible con Go 1.6
, PHP 7
, Octave 4.2
y Python 3.5
.
(BZ#1660051)
Cambios notables en Apache httpd
RHEL 8 se distribuye con el servidor HTTP Apache 2.4.37. Esta versión introduce los siguientes cambios respecto a httpd
disponible en RHEL 7:
-
El paquete
mod_http2
, que forma parte del módulohttpd
, ofrece ahora soporte para HTTP/2. -
El aprovisionamiento y la renovación automatizados de certificados TLS mediante el protocolo ACME (Automatic Certificate Management Environment) son ahora compatibles con el paquete
mod_md
(para su uso con proveedores de certificados comoLet's Encrypt
) -
El servidor HTTP Apache soporta ahora la carga de certificados TLS y claves privadas de tokens de seguridad de hardware directamente desde módulos
PKCS#11
. Como resultado, una configuraciónmod_ssl
puede ahora utilizar URLsPKCS#11
para identificar la clave privada TLS y, opcionalmente, el certificado TLS en las directivasSSLCertificateKeyFile
ySSLCertificateFile
. -
El módulo de multiprocesamiento (MPM) configurado por defecto con el Servidor HTTP Apache ha cambiado de un modelo multiproceso y bifurcado (conocido como
prefork
) a un modelo multihilo de alto rendimiento,event
. Cualquier módulo de terceros que no sea seguro para los hilos debe ser reemplazado o eliminado. Para cambiar el MPM configurado, edite el archivo/etc/httpd/conf.modules.d/00-mpm.conf
. Consulte la página man dehttpd.conf(5
) para obtener más información.
Para más información sobre los cambios en httpd
y su uso, consulte Configuración del servidor web Apache HTTP.
(BZ#1632754, BZ#1527084, BZ#1581178)
El servidor web nginx
nuevo en RHEL
RHEL 8 introduce nginx 1.14
, un servidor web y proxy que soporta HTTP y otros protocolos, con un enfoque en la alta concurrencia, el rendimiento y el bajo uso de memoria. nginx
estaba previamente disponible sólo como una Colección de Software.
El servidor web nginx
ahora soporta la carga de claves privadas TLS de tokens de seguridad de hardware directamente desde los módulos PKCS#11
. Como resultado, una configuración de nginx
puede utilizar URLs PKCS#11
para identificar la clave privada TLS en la directiva ssl_certificate_key
.
(BZ#1545526)
Servidores de bases de datos en RHEL 8
RHEL 8 proporciona los siguientes servidores de bases de datos:
-
MySQL 8.0
, un servidor de bases de datos SQL multiusuario y multihilo. Está compuesto por el demonio del servidorMySQL
,mysqld
, y muchos programas cliente. -
MariaDB 10.3
, un servidor de bases de datos SQL multiusuario y multihilo. A efectos prácticos,MariaDB
es compatible conMySQL
. -
PostgreSQL 10
yPostgreSQL 9.6
, un avanzado sistema de gestión de bases de datos relacionales a objetos (DBMS). -
Redis 5
, un almacén avanzado de valores clave. A menudo se le denomina servidor de estructuras de datos porque las claves pueden contener cadenas, hashes, listas, conjuntos y conjuntos ordenados.Redis
se ofrece por primera vez en RHEL.
Tenga en cuenta que el servidor de bases de datos NoSQL MongoDB
no está incluido en RHEL 8.0 porque utiliza la licencia pública del lado del servidor (SSPL).
(BZ#1647908)
Cambios notables en MySQL 8.0
RHEL 8 se distribuye con MySQL 8.0
, que proporciona, por ejemplo, las siguientes mejoras:
-
MySQL
incorpora ahora un diccionario de datos transaccional, que almacena información sobre los objetos de la base de datos. -
MySQL
ahora soporta roles, que son colecciones de privilegios. -
Se ha cambiado el juego de caracteres por defecto de
latin1
autf8mb4
. - Se ha añadido soporte para las expresiones comunes de la tabla, tanto no recursivas como recursivas.
-
MySQL
soporta ahora funciones de ventana, que realizan un cálculo para cada fila de una consulta, utilizando filas relacionadas. -
InnoDB
soporta ahora las opcionesNOWAIT
ySKIP LOCKED
con las sentencias de lectura de bloqueo. - Se han mejorado las funciones relacionadas con el SIG.
- Se ha mejorado la funcionalidad de JSON.
-
Los nuevos paquetes
mariadb-connector-c
proporcionan una biblioteca cliente común paraMySQL
yMariaDB
. Esta biblioteca se puede utilizar con cualquier versión de los servidores de bases de datosMySQL
yMariaDB
. Como resultado, el usuario puede conectar una compilación de una aplicación a cualquiera de los servidoresMySQL
yMariaDB
distribuidos con RHEL 8.
Además, el servidor MySQL 8.
0 distribuido con RHEL 8 está configurado para utilizar mysql_native_password
como complemento de autenticación por defecto porque las herramientas y librerías de cliente en RHEL 8 son incompatibles con el método caching_sha2_password
, que se utiliza por defecto en la versión upstream de MySQL 8.0
.
Para cambiar el complemento de autenticación
por defecto a caching_sha2_password
, edite el archivo /etc/my.cnf.d/mysql-default-authentication-plugin.cnf
como sigue:
[mysqld] default_authentication_plugin=caching_sha2_password
(BZ#1649891, BZ#1519450, BZ#1631400)
Cambios notables en MariaDB 10.3
MariaDB 10.3
aporta numerosas novedades respecto a la versión 5.5 distribuida en RHEL 7, como por ejemplo
- Expresiones comunes de la tabla
- Tablas con versión del sistema
-
Bucles
FOR
- Columnas invisibles
- Secuencias
-
Instant
ADD COLUMN
paraInnoDB
- Compresión de columna independiente del motor de almacenamiento
- Replicación paralela
- Replicación de múltiples fuentes
Además, los nuevos paquetes mariadb-connector-c
proporcionan una biblioteca cliente común para MySQL
y MariaDB
. Esta biblioteca se puede utilizar con cualquier versión de los servidores de bases de datos MySQL
y MariaDB
. Como resultado, el usuario puede conectar una compilación de una aplicación a cualquiera de los servidores MySQL
y MariaDB
distribuidos con RHEL 8.
Otros cambios notables son:
-
MariaDB Galera Cluster
, un clúster multimaster síncrono, es ahora una parte estándar deMariaDB
. -
Se utiliza
InnoDB
como motor de almacenamiento por defecto en lugar deXtraDB
. - Se ha eliminado el subpaquete mariadb-bench.
- El nivel permitido por defecto de la madurez del plug-in se ha cambiado a un nivel menos que la madurez del servidor. Como resultado, los plug-ins con un nivel de madurez inferior que antes funcionaban, ya no se cargarán.
Véase también Uso de MariaDB en Red Hat Enterprise Linux 8.
(BZ#1637034, BZ#1519450, BZ#1688374)
Cambios notables en PostgreSQL
RHEL 8.0 proporciona dos versiones del servidor de bases de datos PostgreSQL
, distribuidas en dos corrientes del módulo postgresql
: PostgreSQL 10
(la corriente por defecto) y PostgreSQL 9.6
. RHEL 7 incluye la versión 9.2 de PostgreSQL
.
Los cambios notables en PostgreSQL 9.
6 son, por ejemplo:
-
Ejecución paralela de las operaciones secuenciales:
scan
,join
yaggregate
- Mejoras en la replicación sincrónica
- Mejora de la búsqueda de texto completo que permite a los usuarios buscar frases
-
El controlador de federación de datos
postgres_fdw
soporta ahora operaciones remotas deunión
,ordenación
,UPDATE
yDELETE
- Mejoras sustanciales en el rendimiento, especialmente en lo que respecta a la escalabilidad en los servidores con múltiples CPUs
Las principales mejoras de PostgreSQL 10
incluyen:
-
Replicación lógica mediante las palabras clave
publish
ysubscribe
-
Autenticación de contraseñas más fuerte basada en el mecanismo
SCRAM-SHA-256
- Partición declarativa de tablas
- Mejora del paralelismo de las consultas
- Mejoras significativas en el rendimiento general
- Mejora de la supervisión y el control
Véase también Uso de PostgreSQL en Red Hat Enterprise Linux 8.
(BZ#1660041)
Cambios notables en Squid
RHEL 8.0 se distribuye con Squid 4.4
, un servidor proxy de alto rendimiento para el almacenamiento en caché de los clientes web, que admite objetos de datos FTP, Gopher y HTTP. Esta versión ofrece numerosas novedades, mejoras y correcciones de errores respecto a la versión 3.5 disponible en RHEL 7.
Los cambios más destacados son:
- Tamaño de la cola de ayuda configurable
- Cambios en los canales de ayuda a la concurrencia
- Cambios en el binario de ayuda
- Protocolo de Adaptación de Contenidos a Internet (ICAP) seguro
- Mejora de la compatibilidad con el multiprocesamiento simétrico (SMP)
- Mejora de la gestión de los procesos
- Se ha eliminado la compatibilidad con SSL
- Se ha eliminado el analizador sintáctico personalizado Edge Side Includes (ESI)
- Múltiples cambios de configuración
Varnish Cache
nuevo en RHEL
Varnish Cache
, un proxy inverso HTTP de alto rendimiento, se proporciona por primera vez en RHEL. Anteriormente sólo estaba disponible como Colección de Software. Varnish Cache
almacena archivos o fragmentos de archivos en memoria que se utilizan para reducir el tiempo de respuesta y el consumo de ancho de banda de la red en futuras peticiones equivalentes. RHEL 8.0 se distribuye con Varnish Cache 6.0
.
(BZ#1633338)
5.1.8. Escritorio
GNOME Shell, versión 3.28 en RHEL 8
GNOME Shell, versión 3.28 está disponible en Red Hat Enterprise Linux (RHEL) 8. Las mejoras más destacadas son:
- Nuevas características de GNOME Boxes
- Nuevo teclado en pantalla
- Compatibilidad con dispositivos ampliada, sobre todo con la integración de la interfaz Thunderbolt 3
- Mejoras para el software de GNOME, el editor de dconf y la terminal de GNOME
(BZ#1649404)
Wayland es el servidor de visualización por defecto
Con Red Hat Enterprise Linux 8, la sesión de GNOME y el Gestor de Pantalla de GNOME (GDM) utilizan Wayland como su servidor de pantalla por defecto en lugar del servidor X.org, que se utilizaba con la versión principal anterior de RHEL.
Wayland ofrece múltiples ventajas y mejoras respecto a X.org. Sobre todo:
- Modelo de seguridad más sólido
- Mejora de la gestión de varios monitores
- Mejora del escalado de la interfaz de usuario (UI)
- El escritorio puede controlar el manejo de las ventanas directamente.
Tenga en cuenta que las siguientes funciones no están disponibles actualmente o no funcionan como se esperaba:
- Las configuraciones multi-GPU no son compatibles con Wayland.
- El controlador binario NVIDIA no funciona bajo Wayland.
-
La utilidad
xrandr
no funciona bajo Wayland debido a su diferente enfoque de manipulación, resoluciones, rotaciones y diseño. Tenga en cuenta que otras utilidades de X.org para manipular la pantalla tampoco funcionan bajo Wayland,. - La grabación de pantalla, el escritorio remoto y la accesibilidad no siempre funcionan correctamente en Wayland.
- No hay gestor de portapapeles disponible.
- Wayland ignora las capturas de teclado emitidas por las aplicaciones X11, como los visores de máquinas virtuales.
- Wayland dentro de las máquinas virtuales (VM) invitadas tiene problemas de estabilidad y rendimiento, por lo que se recomienda utilizar la sesión X11 para entornos virtuales.
Si actualiza a RHEL 8 desde un sistema RHEL 7 en el que utilizaba la sesión de GNOME X.org, su sistema sigue utilizando X.org. El sistema también vuelve automáticamente a X.org cuando los siguientes controladores gráficos están en uso:
- El controlador binario de NVIDIA
-
El conductor de
Cirrus
-
El conductor
mga
-
El conductor de
aspeed
Puede desactivar el uso de Wayland manualmente:
-
Para desactivar Wayland en GDM, establezca la opción
WaylandEnable=false
en el archivo/etc/gdm/custom.conf
. - Para desactivar Wayland en la sesión de GNOME, seleccione la opción de X11 heredado utilizando el menú de rueda dentada en la pantalla de inicio de sesión después de introducir su nombre de usuario.
Para más detalles sobre Wayland, consulte https://wayland.freedesktop.org/.
(BZ#1589678)
Localización de paquetes RPM que están en repositorios no habilitados por defecto
Los repositorios adicionales para el escritorio no están habilitados por defecto. La deshabilitación se indica con la línea enabled=0
en el archivo .repo
correspondiente. Si intentas instalar un paquete desde dicho repositorio usando PackageKit, PackageKit muestra un mensaje de error anunciando que la aplicación no está disponible. Para hacer que el paquete esté disponible, sustituya la línea enabled=0
utilizada anteriormente en el archivo . repo
correspondiente por enabled=1
.
(JIRA:RHELPLAN-2878)
GNOME Sofware para la gestión de paquetes
El paquete gnome-packagekit
que proporcionaba una colección de herramientas para la gestión de paquetes en entorno gráfico en Red Hat Enterprise Linux 7 ya no está disponible. En Red Hat Enterprise Linux 8, una funcionalidad similar es proporcionada por la utilidad GNOME Software, que permite instalar y actualizar aplicaciones y extensiones de gnome-shell. GNOME Software se distribuye en el paquete gnome-software
.
(JIRA:RHELPLAN-3001)
Escala fraccionaria disponible para GNOME Shell en Wayland
En una sesión de GNOME Shell on Wayland, está disponible la función de escalado fraccionario. Esta función permite escalar la GUI por fracciones, lo que mejora el aspecto de la GUI escalada en determinadas pantallas.
Tenga en cuenta que esta función se considera actualmente experimental y, por tanto, está desactivada por defecto.
Para habilitar la escala fraccionaria, ejecute el siguiente comando:
# gsettings set org.gnome.mutter experimental-features \N"['scale-monitor-framebuffer']\N-"
5.1.9. Habilitación de hardware
Las actualizaciones de firmware mediante fwupd
están disponibles
RHEL 8 admite actualizaciones de firmware, como la cápsula UEFI, la actualización del firmware del dispositivo (DFU) y otras, mediante el demonio fwupd
. El demonio permite que el software de sesión actualice el firmware del dispositivo en una máquina local de forma automática.
Para ver y aplicar las actualizaciones, puede utilizar:
- Un gestor de software GUI, como GNOME Software
-
La herramienta de línea de comandos
fwupdmgr
Los archivos de metadatos se descargan automáticamente desde el portal seguro Linux Vendor Firmware Service (LVFS) y se envían a fwupd
a través de D-Bus. Las actualizaciones que deben aplicarse se descargan mostrando las notificaciones del usuario y los detalles de la actualización. El usuario debe aceptar explícitamente la acción de actualización del firmware antes de que se realice la actualización.
Tenga en cuenta que el acceso a LVFS está desactivado por defecto.
Para habilitar el acceso a LVFS, haga clic en el control deslizante en el diálogo de fuentes
en GNOME Software, o ejecute el comando fwupdmgr enable-remote lvfs
. Si utiliza fwupdmgr
para obtener la lista de actualizaciones, se le preguntará si desea habilitar LVFS.
Con el acceso a LVFS, obtendrá las actualizaciones de firmware directamente del proveedor de hardware. Tenga en cuenta que dichas actualizaciones no han sido verificadas por el departamento de control de calidad de Red Hat.
(BZ#1504934)
El modo de memoria para la tecnología Optane DC Persistent Memory es totalmente compatible
Los dispositivos de almacenamiento de memoria persistente Intel Optane DC proporcionan una tecnología de memoria persistente de clase de centro de datos, que puede aumentar significativamente el rendimiento de las transacciones.
Para utilizar la tecnología del Modo Memoria, su sistema no necesita ningún controlador especial ni certificación específica. El Modo Memoria es transparente para el sistema operativo.
(BZ#1718422)
5.1.10. Gestión de la identidad
Nuevas comprobaciones de la sintaxis de las contraseñas en el servidor de directorios
Esta mejora añade nuevas comprobaciones de la sintaxis de las contraseñas a Directory Server. Los administradores pueden ahora, por ejemplo, habilitar las comprobaciones de diccionario, permitir o denegar el uso de secuencias de caracteres y palíndromos. Como resultado, si se habilita, la comprobación de la sintaxis de la política de contraseñas en Directory Server impone contraseñas más seguras.
(BZ#1334254)
El Servidor de directorios ofrece ahora un soporte mejorado para el registro de operaciones internas
Varias operaciones en Directory Server, iniciadas por el servidor y los clientes, provocan operaciones adicionales en segundo plano. Anteriormente, el servidor sólo registraba para las operaciones internas la palabra clave Internal
connection, y el ID de la operación siempre se establecía en -1
. Con esta mejora, Directory Server registra la conexión real y el ID de la operación. Ahora se puede rastrear la operación interna hasta la operación del servidor o del cliente que causó esta operación.
(BZ#1358706)
La biblioteca tomcatjss
soporta la comprobación de OCSP utilizando el respondedor de la extensión AIA
Con esta mejora, la biblioteca tomcatjss
admite la comprobación del Protocolo de Estado de Certificados en Línea (OCSP) utilizando la respuesta de la extensión de Acceso a la Información de la Autoridad (AIA) de un certificado. Como resultado, los administradores de Red Hat Certificate System pueden ahora configurar la comprobación OCSP que utiliza la URL de la extensión AIA.
(BZ#1636564)
Los comandos pki subsystem-cert-find
y pki subsystem-cert-show
muestran ahora el número de serie de los certificados
Con esta mejora, los comandos pki subsystem-cert-find
y pki subsystem-cert-show
de Certificate System muestran el número de serie de los certificados en su salida. El número de serie es un dato importante y a menudo es necesario para otros muchos comandos. Por tanto, ahora es más fácil identificar el número de serie de un certificado.
(BZ#1566360)
Los comandos pki user
y pki group
han quedado obsoletos en Certificate System
Con esta actualización, los nuevos comandos pki <subsystem>-user
y pki <subsystem>-group
sustituyen a los comandos pki user
y pki group
en Certificate System. Los comandos sustituidos siguen funcionando, pero muestran un mensaje de que el comando está obsoleto y hacen referencia a los nuevos comandos.
(BZ#1394069)
El sistema de certificados ahora permite la renovación sin conexión de los certificados del sistema
Con esta mejora, los administradores pueden utilizar la función de renovación sin conexión para renovar los certificados de sistema configurados en Certificate System. Cuando un certificado de sistema caduca, Certificate System no se inicia. Gracias a esta mejora, los administradores ya no necesitan soluciones para sustituir un certificado de sistema caducado.
El Sistema de Certificados ahora puede crear CSRs con extensión SKI para la firma de CAs externas
Con esta mejora, Certificate System admite la creación de una solicitud de firma de certificado (CSR) con la extensión del identificador de clave del sujeto (SKI) para la firma de una autoridad de certificación (CA) externa. Algunas CA requieren esta extensión con un valor determinado o derivado de la clave pública de la CA. Como resultado, los administradores pueden ahora utilizar el parámetro pki_req_ski
en el archivo de configuración pasado a la utilidad pkispawn
para crear una CSR con extensión SKI.
(BZ#1656856)
SSSD ya no utiliza el valor fallback_homedir
de la sección [nss
] como fallback para los dominios AD
Antes de RHEL 7.7, el parámetro fallback_homedir
de SSSD en un proveedor de Active Directory (AD) no tenía ningún valor por defecto. Si fallback_homedir
no se establecía, SSSD utilizaba en su lugar el valor del mismo parámetro de la sección [nss]
del archivo /etc/sssd/sssd.conf
. Para aumentar la seguridad, SSSD en RHEL 7.7 introdujo un valor por defecto para fallback_homedir
. Como consecuencia, SSSD ya no recurre al valor establecido en la sección [nss]
. Si desea utilizar un valor diferente al predeterminado para el parámetro fallback_homedir
en un dominio AD, debe establecerlo manualmente en la sección del dominio.
(BZ#1652719)
SSSD ahora permite seleccionar uno de los múltiples dispositivos de autenticación de tarjetas inteligentes
Por defecto, el demonio de servicios de seguridad del sistema (SSSD) intenta detectar un dispositivo para la autenticación con tarjeta inteligente automáticamente. Si hay varios dispositivos conectados, SSSD selecciona el primero que detecta. En consecuencia, no puede seleccionar un dispositivo en particular, lo que a veces provoca fallos.
Con esta actualización, puede configurar una nueva opción p11_uri
para la sección [pam]
del archivo de configuración sssd.conf
. Esta opción permite definir qué dispositivo se utiliza para la autenticación con tarjeta inteligente.
Por ejemplo, para seleccionar un lector con el id de ranura 2
detectado por el módulo OpenSC PKCS#11, añada:
p11_uri = library-description=Marco de la tarjeta inteligente OpenSC;slot-id=2
a la sección [pam]
de sssd.conf
.
Para más detalles, consulte la página man sssd.conf
.
(BZ#1620123)
Los usuarios locales son cacheados por SSSD y servidos a través del módulo nss_sss
En RHEL 8, el demonio de servicios de seguridad del sistema (SSSD) sirve a los usuarios y grupos desde los archivos /etc/passwd
y /etc/groups
por defecto. El módulo sss
nsswitch precede a los archivos en el archivo /etc/nsswitch.conf
.
La ventaja de servir a los usuarios locales a través de SSSD es que el módulo nss_sss
tiene una caché rápida mapeada en memoria
que acelera las búsquedas del conmutador de servicios de nombres (NSS) en comparación con el acceso al disco y la apertura de los archivos en cada solicitud de NSS. Anteriormente, el demonio de la caché del servicio de nombres(nscd
) ayudaba a acelerar el proceso de acceso al disco. Sin embargo, utilizar nscd
en paralelo con SSSD es engorroso, ya que tanto SSSD como nscd
utilizan su propia caché independiente. En consecuencia, el uso de nscd
en configuraciones en las que SSSD también está sirviendo a los usuarios de un dominio remoto, por ejemplo LDAP o Active Directory, puede causar un comportamiento impredecible.
Con esta actualización, la resolución de usuarios y grupos locales es más rápida en RHEL 8. Tenga en cuenta que el usuario root
nunca es manejado por SSSD, por lo tanto la resolución de root
no puede ser impactada por un potencial error en SSSD. Tenga en cuenta también que si SSSD no se está ejecutando, el módulo nss_sss
maneja la situación con gracia retrocediendo a nss_files
para evitar problemas. No tiene que configurar SSSD de ninguna manera, el dominio de archivos se añade automáticamente.
(JIRA:RHELPLAN-10439)
KCM sustituye a KEYRING como almacenamiento de caché de credenciales por defecto
En RHEL 8, el almacenamiento por defecto de la caché de credenciales es el Kerberos Credential Manager (KCM) que está respaldado por el deamon sssd-kcm
. KCM supera las limitaciones del anteriormente utilizado KEYRING, como que es difícil de utilizar en entornos de contenedores porque no tiene espacio para nombres, y para ver y gestionar cuotas.
Con esta actualización, RHEL 8 contiene una caché de credenciales que se adapta mejor a los entornos en contenedores y que proporciona una base para crear más funciones en futuras versiones.
(JIRA:RHELPLAN-10440)
Los usuarios de Active Directory pueden ahora administrar la Gestión de Identidades
Con esta actualización, RHEL 8 permite añadir una anulación de ID de usuario para un usuario de Active Directory (AD) como miembro de un grupo de gestión de identidades (IdM). Una anulación de ID es un registro que describe cómo deben ser las propiedades de un usuario o grupo específico de AD dentro de una vista de ID específica, en este caso la vista de confianza predeterminada. Como consecuencia de la actualización, el servidor LDAP de IdM es capaz de aplicar las reglas de control de acceso del grupo de IdM al usuario de AD.
Los usuarios de AD ahora pueden utilizar las funciones de autoservicio de la interfaz de IdM, por ejemplo, para cargar sus claves SSH o cambiar sus datos personales. Un administrador de AD es capaz de administrar completamente IdM sin tener dos cuentas y contraseñas diferentes. Tenga en cuenta que, actualmente, algunas funciones de IdM pueden seguir sin estar disponibles para los usuarios de AD.
(JIRA:RHELPLAN-10442)
sssctl
imprime un informe de reglas HBAC para un dominio IdM
Con esta actualización, la utilidad sssctl
del demonio de servicios de seguridad del sistema (SSSD) puede imprimir un informe de control de acceso para un dominio de gestión de identidades (IdM). Esta función satisface la necesidad de ciertos entornos de ver, por motivos normativos, una lista de usuarios y grupos que pueden acceder a una máquina cliente específica. La ejecución de sssctl access-report
domain_name
en un cliente IdM imprime el subconjunto analizado de reglas de control de acceso basadas en host (HBAC) en el dominio IdM que se aplican a la máquina cliente.
Tenga en cuenta que ningún otro proveedor aparte de IdM admite esta función.
(JIRA:RHELPLAN-10443)
Los paquetes de gestión de identidades están disponibles como módulo
En RHEL 8, los paquetes necesarios para instalar un servidor y un cliente de gestión de identidades (IdM) se suministran como un módulo. El flujo del cliente
es el flujo predeterminado del módulo idm
y puede descargar los paquetes necesarios para instalar el cliente sin habilitar el flujo.
El flujo del módulo del servidor IdM se llama flujo DL1
. El flujo contiene varios perfiles correspondientes a diferentes tipos de servidores IdM: servidor, dns, adtrust, cliente y predeterminado. Para descargar los paquetes de un perfil específico del flujo DL1
:
- Habilitar el flujo.
- Cambia a las RPMs entregadas a través del flujo.
-
Ejecute el comando
yum module install idm:DL1/nombre_del_perfil
.
Para cambiar a un nuevo flujo de módulos una vez que se ha habilitado un flujo específico y se han descargado paquetes de él:
- Elimina todo el contenido relevante instalado y desactiva el flujo de módulos actual.
- Habilitar el nuevo flujo del módulo.
(JIRA:RHELPLAN-10438)
Solución de grabación de sesiones para RHEL 8 añadida
Se ha añadido una solución de grabación de sesiones a Red Hat Enterprise Linux 8 (RHEL 8). Un nuevo paquete tlog
y su reproductor de sesiones de consola web asociado permiten grabar y reproducir las sesiones de terminal de los usuarios. La grabación puede ser configurada por usuario o grupo de usuarios a través del servicio System Security Services Daemon (SSSD). Todas las entradas y salidas del terminal se capturan y almacenan en un formato basado en texto en un diario del sistema. La entrada está inactiva por defecto por razones de seguridad para no interceptar contraseñas en bruto y otra información sensible.
La solución puede utilizarse para auditar las sesiones de los usuarios en sistemas sensibles a la seguridad. En caso de una violación de la seguridad, las sesiones grabadas pueden ser revisadas como parte de un análisis forense. Los administradores de sistemas pueden ahora configurar la grabación de sesiones localmente y ver el resultado desde la interfaz de la consola web de RHEL 8 o desde la interfaz de línea de comandos mediante la utilidad tlog-play
.
(JIRA:RHELPLAN-1473)
authselect
simplifica la configuración de la autenticación de usuarios
Esta actualización introduce la utilidad authselect
que simplifica la configuración de la autenticación de usuarios en los hosts RHEL 8, sustituyendo a la utilidad authconfig
. authselect
viene con un enfoque más seguro para la gestión de la pila PAM que hace que los cambios de configuración de PAM sean más sencillos para los administradores de sistemas. authselect
se puede utilizar para configurar métodos de autenticación como contraseñas, certificados, tarjetas inteligentes y huellas digitales. Tenga en cuenta que authselect
no configura los servicios necesarios para unirse a dominios remotos. Esta tarea la realizan herramientas especializadas, como realmd
o ipa-client-install
.
(JIRA:RHELPLAN-10445)
SSSD ahora aplica los GPO de AD por defecto
La configuración por defecto de la opción de SSSD ad_gpo_access_control
es ahora enforcing
. En RHEL 8, SSSD aplica por defecto las reglas de control de acceso basadas en los objetos de política de grupo (GPO) de Active Directory.
Red Hat recomienda asegurarse de que los GPOs están configurados correctamente en Active Directory antes de actualizar de RHEL 7 a RHEL 8. Si no desea aplicar los GPOs, cambie el valor de la opción ad_gpo_access_control
en el archivo /etc/sssd/sssd.conf
a permisivo
.
(JIRA:RHELPLAN-51289)
5.1.11. Compiladores y herramientas de desarrollo
Boost actualizado a la versión 1.66
La biblioteca C Boost ha sido actualizada a la versión 1.66. La versión de Boost incluida en Red Hat Enterprise Linux 7 es la 1.53. Para más detalles, consulte los registros de cambios de la versión anterior: https://www.boost.org/users/history/
Esta actualización introduce los siguientes cambios que rompen la compatibilidad con las versiones anteriores:
-
Se han eliminado la función
bs_set_hook()
, la funciónsplay_set_hook()
de los contenedores splay y el parámetro extrabool splay = true
en la funciónsplaytree_algorithms()
de la biblioteca Intrusive. - Los comentarios o la concatenación de cadenas en los archivos JSON ya no son compatibles con el analizador sintáctico de la biblioteca Property Tree.
-
Se han corregido algunas distribuciones y funciones especiales de la biblioteca Math para que se comporten como se ha documentado y lancen un
overflow_error
en lugar de devolver el valor máximo finito. -
Algunas cabeceras de la biblioteca Math se han trasladado al directorio
libs/math/include_private
. -
Se ha cambiado el comportamiento de las funciones
basic_regex<>
::mark_count()
ybasic_regex<>::subexpression(n)
de la biblioteca Regex para que coincidan con su documentación. - El uso de plantillas variádicas en la biblioteca Variant puede romper las funciones de metaprogramación.
-
Se ha eliminado la API boost::python:
:numeric
. Los usuarios pueden utilizar boost::python::numpy
en su lugar. - Las operaciones aritméticas sobre punteros a tipos no objetuales ya no se proporcionan en la biblioteca Atomic.
(BZ#1494495)
Compatibilidad con Unicode 11.0.0
La biblioteca C del núcleo de Red Hat Enterprise Linux, glibc, ha sido actualizada para soportar el estándar Unicode versión 11.0.0. Como resultado, todas las APIs de caracteres anchos y multibyte, incluyendo la transliteración y la conversión entre conjuntos de caracteres, proporcionan información precisa y correcta conforme a este estándar.
(BZ#1512004)
El paquete boost
es ahora independiente de Python
Con esta actualización, la instalación del paquete boost
ya no instala la biblioteca Boost
.Python como dependencia. Para utilizar Boost. Python
, es necesario instalar explícitamente los paquetes boost-python3
o boost-python3-devel
.
(BZ#1616244)
Un nuevo paquete compat-libgfortran-48
disponible
Para la compatibilidad con las aplicaciones de Red Hat Enterprise Linux 6 y 7 que utilizan la biblioteca Fortran, ahora está disponible un nuevo paquete de compatibilidad compat-libgfortran-48
, que proporciona la biblioteca libgfortran.so.3
.
(BZ#1607227)
Soporte de Retpoline en GCC
Esta actualización añade soporte para retpolines a GCC. Una retpoline es una construcción de software utilizada por el kernel para reducir la sobrecarga de la mitigación de los ataques Spectre Variant 2 descritos en CVE-2017-5715.
(BZ#1535774)
Mayor compatibilidad con la arquitectura ARM de 64 bits en los componentes de la cadena de herramientas
Los componentes de la cadena de herramientas, GCC
y binutils
, ofrecen ahora soporte ampliado para la arquitectura ARM de 64 bits. Por ejemplo:
-
GCC
ybinutils
ahora soportan Scalable Vector Extension (SVE). -
Se ha añadido a
GCC
soporte para el tipo de datosFP16
, proporcionado por ARM v8.2. El tipo de datosFP16
mejora el rendimiento de determinados algoritmos. -
Las herramientas de
binutils
ahora soportan la definición de la arquitectura ARM v8.3, incluyendo la Autenticación de Punteros. La función de autentificación de punteros evita que el código malicioso corrompa la ejecución normal de un programa o del núcleo mediante la elaboración de sus propios punteros de función. Como resultado, sólo se utilizan direcciones de confianza cuando se bifurca a diferentes lugares del código, lo que mejora la seguridad.
(BZ#1504980, BZ#1550501, BZ#1504995, BZ#1504993, BZ#1504994)
Optimizaciones de glibc
para sistemas IBM POWER
Esta actualización proporciona una nueva versión de glibc
optimizada para las arquitecturas IBM POWER 8 e IBM POWER 9. Como resultado, los sistemas IBM POWER 8 e IBM POWER 9 ahora cambian automáticamente a la variante de glibc
apropiada y optimizada en tiempo de ejecución.
(BZ#1376834)
La biblioteca C de GNU se ha actualizado a la versión 2.28
Red Hat Enterprise Linux 8 incluye la versión 2.28 de la biblioteca GNU C (glibc). Las mejoras más destacadas son:
Funciones de refuerzo de la seguridad:
-
Los archivos binarios seguros marcados con la bandera
AT_SECURE
ignoran la variable de entornoLD_LIBRARY_PATH
. - Ya no se imprimen las huellas de los fallos de comprobación de pila para acelerar el cierre y evitar la ejecución de más código en un entorno comprometido.
-
Los archivos binarios seguros marcados con la bandera
Mejoras en el rendimiento:
-
Se ha mejorado el rendimiento de la función
malloc()
con una caché local de hilos. -
Adición de la variable de entorno
GLIBC_TUNABLES
para modificar las características de rendimiento de la biblioteca. -
Se ha mejorado la implementación de los semáforos de hilos y se han añadido nuevas funciones escalables
pthread_rwlock_xxx()
. - Se ha mejorado el rendimiento de la biblioteca de matemáticas.
-
Se ha mejorado el rendimiento de la función
- Se ha añadido la compatibilidad con Unicode 11.0.0.
- Se ha añadido una mayor compatibilidad con los números de coma flotante de 128 bits definidos por las normas ISO/IEC/IEEE 60559:2011, IEEE 754-2008 e ISO/IEC TS 18661-3:2015.
Mejoras en el stub resolver del Servicio de Nombres de Dominio (DNS) relacionadas con el archivo de configuración
/etc/resolv.conf
:- La configuración se recarga automáticamente cuando se modifica el archivo.
- Se ha añadido soporte para un número arbitrario de dominios de búsqueda.
-
Se ha añadido una selección aleatoria adecuada para la opción de
rotación
.
Se han añadido nuevas funciones para el desarrollo, entre ellas:
-
Funciones de envoltura de Linux para las llamadas al núcleo
preadv2
ypwritev2
-
Nuevas funciones como
reallocarray()
yexplicit_bzero()
-
Nuevas banderas para la función
posix_spawnattr_setflags()
comoPOSIX_SPAWN_SETSID
-
Funciones de envoltura de Linux para las llamadas al núcleo
(BZ#1512010, BZ#1504125, BZ#506398)
CMake disponible en RHEL
El sistema de construcción CMake versión 3.11 está disponible en Red Hat Enterprise Linux 8 como el paquete cmake
.
(BZ#1590139, BZ#1502802)
make
versión 4.2.1
Red Hat Enterprise Linux 8 se distribuye con la herramienta make
build versión 4.2.1. Los cambios notables incluyen:
- Cuando una receta falla, se muestra el nombre del makefile y el número de línea de la receta.
-
Se ha añadido la opción
--trace
para permitir el rastreo de objetivos. Cuando se utiliza esta opción, cada receta se imprime antes de la invocación, incluso si se suprime, junto con el nombre del archivo y el número de línea donde se encuentra esta receta, y también con los requisitos previos que hacen que se invoque. -
La mezcla de reglas explícitas e implícitas ya no hace que
make
termine la ejecución. En su lugar, se imprime una advertencia. Tenga en cuenta que esta sintaxis es obsoleta y puede ser eliminada por completo en el futuro. -
Se ha añadido la función
$(archivo ...)
para escribir texto en un archivo. Cuando se llama sin un argumento de texto, sólo abre y cierra inmediatamente el archivo. -
Una nueva opción,
--output-sync
o-O
, hace que la salida de varios trabajos se agrupe por trabajo y permite una depuración más fácil de las construcciones paralelas. -
La opción
--debug
ahora acepta también la banderan
(none) para desactivar todas las configuraciones de depuración actualmente activadas. El operador de asignación de shell
!=
se ha añadido como alternativa a la función$(shell ...)
para aumentar la compatibilidad con los archivos make de BSD. Para más detalles y diferencias entre el operador y la función, consulte el manual de GNU make.Tenga en cuenta que, como consecuencia, las variables con un nombre terminado en signo de exclamación e inmediatamente seguido de una asignación, como variable
!=valor
, se interpretan ahora como la nueva sintaxis. Para restablecer el comportamiento anterior, añada un espacio después del signo de exclamación, como variable!
=valor
.-
Se ha añadido el operador de asignación
::=
definido por el estándar POSIX. -
Cuando se especifica la variable
.POSIX
,make
observa los requisitos del estándar POSIX para el manejo de la barra invertida y la línea nueva. En este modo, se conserva cualquier espacio final antes de la barra invertida, y cada barra invertida seguida de una nueva línea y de caracteres de espacio en blanco se convierte en un solo carácter de espacio. -
El comportamiento de las variables
MAKEFLAGS
yMFLAGS
se define ahora con mayor precisión. -
Una nueva variable,
GNUMAKEFLAGS
, se analiza para las banderas demake
de forma idéntica aMAKEFLAGS
. Como consecuencia, las banderasespecíficas de
GNUmake
pueden ser almacenadas fuera deMAKEFLAGS
y se incrementa la portabilidad de los archivos make. -
Se ha añadido una nueva variable,
MAKE_HOST
, que contiene la arquitectura del host. -
Las nuevas variables,
MAKE_TERMOUT
yMAKE_TERMERR
, indican simake
está escribiendo la salida estándar y el error a una terminal. -
Establecer las opciones
-r
y-R
en la variableMAKEFLAGS
dentro de un makefile ahora funciona correctamente y elimina todas las reglas y variables incorporadas, respectivamente. -
El ajuste
.RECIPEPREFIX
se recuerda ahora por receta. Además, las variables expandidas en esa receta también utilizan ese ajuste de prefijo de receta. -
El ajuste
.RECIPEPREFIX
y todas las variables específicas del objetivo se muestran en la salida de la opción-p
como si se tratara de un makefile, en lugar de como comentarios.
(BZ#1641015)
SystemTap versión 4.0
Red Hat Enterprise Linux 8 se distribuye con la herramienta de instrumentación SystemTap versión 4.0. Las mejoras más destacadas son:
-
Se ha mejorado el backend de Berkeley Packet Filter (eBPF) extendido, especialmente las cadenas y las funciones. Para utilizar este backend, inicie SystemTap con la opción
--runtime=bpf
. - Se ha añadido un nuevo servicio de red de exportación para su uso con el sistema de supervisión Prometheus.
- Se ha mejorado la implementación del sondeo de llamadas al sistema para utilizar los tracepoints del kernel si es necesario.
(BZ#1641032)
Mejoras en la versión 2.30 de binutils
Red Hat Enterprise Linux 8 incluye la versión 2.30 del paquete binutils
. Las mejoras notables incluyen:
- Se ha mejorado la compatibilidad con las nuevas extensiones de la arquitectura IBM Z.
Enlazadores:
- El enlazador ahora pone el código y los datos de sólo lectura en segmentos separados por defecto. Como resultado, los archivos ejecutables creados son más grandes y más seguros de ejecutar, porque el cargador dinámico puede desactivar la ejecución de cualquier página de memoria que contenga datos de sólo lectura.
- Se ha añadido soporte para las notas de propiedad de GNU que proporcionan pistas al cargador dinámico sobre el archivo binario.
- Anteriormente, el enlazador generaba código ejecutable no válido para la tecnología Intel Indirect Branch Tracking (IBT). Como consecuencia, los archivos ejecutables generados no podían iniciarse. Este error ha sido corregido.
-
Anteriormente, el enlazador
de oro
fusionaba las notas de propiedades de forma incorrecta. Como consecuencia, se podían habilitar características de hardware erróneas en el código generado, y el código podía terminar inesperadamente. Este error ha sido corregido. -
Anteriormente, el enlazador
dorado
creaba secciones de notas con bytes de relleno al final para lograr la alineación según la arquitectura. Como el cargador dinámico no esperaba el relleno, podía terminar inesperadamente el programa que estaba cargando. Este error ha sido corregido.
Otras herramientas:
-
Las herramientas
readelf
yobjdump
ahora tienen opciones para seguir los enlaces a archivos de información de depuración separados y mostrar la información en ellos, también. -
La nueva opción
--inlines
amplía la opción existente--line-numbers
de la herramientaobjdump
para mostrar la información de anidamiento de las funciones inline. -
La herramienta
nm
ha ganado una nueva opción--with-version-strings
para mostrar la información de la versión de un símbolo después de su nombre, si está presente. - Se ha añadido al ensamblador soporte para la arquitectura ARMv8-R y los procesadores Cortex-R52, Cortex-M23 y Cortex-M33.
(BZ#1641004, BZ#1637072, BZ#1501420, BZ#1504114, BZ#1614908, BZ#1614920)
Performance Co-Pilot versión 4.3.0
Red Hat Enterprise Linux 8 se distribuye con Performance Co-Pilot (PCP) versión 4.3.0. Las mejoras notables incluyen:
-
La herramienta
pcp-dstat
incluye ahora un análisis histórico y una salida en formato de valores separados por comas (CSV). - Las utilidades de registro pueden utilizar etiquetas métricas y registros de texto de ayuda.
-
La herramienta
pmdaperfevent
ahora informa de los números correctos de la CPU en los niveles más bajos de Multihilo Simultáneo (SMT). -
La herramienta
pmdapostgresql
ahora es compatible con Postgres series 10.x. -
La herramienta
pmdaredis
es ahora compatible con Redis series 5.x. -
La herramienta
pmdabcc
ha sido mejorada con el filtrado dinámico de procesos y syscalls, ucalls y ustat por proceso. -
La herramienta
pmdammv
ahora exporta etiquetas métricas, y la versión del formato se incrementa a 3. -
La herramienta
pmdagfs2
es compatible con las métricas adicionales de las glock y los soportes de las glock. - Se han realizado varias correcciones en la política de SELinux.
(BZ#1641034)
Claves de protección de la memoria
Esta actualización habilita las características de hardware que permiten los cambios de bandera de protección de páginas por hilo. Se han añadido las nuevas envolturas de llamadas al sistema glibc
para las funciones pkey_alloc()
, pkey_free()
y pkey_mprotect()
. Además, se han añadido las funciones pkey_set()
y pkey_get()
para permitir el acceso a los indicadores de protección por hilo.
(BZ#1304448)
GCC ahora está por defecto en z13 en IBM Z
Con esta actualización, por defecto GCC en la arquitectura IBM Z construye código para el procesador z13, y el código se ajusta para el procesador z14. Esto equivale a utilizar las opciones -march=z13
y -mtune=z14
. Los usuarios pueden anular este valor por defecto utilizando explícitamente las opciones para la arquitectura de destino y el ajuste.
(BZ#1571124)
elfutils
actualizado a la versión 0.174
En Red Hat Enterprise Linux 8, el paquete elfutils está disponible en la versión 0.174. Los cambios notables incluyen:
-
Anteriormente, la herramienta
eu-readelf
podía mostrar una variable con un valor negativo como si tuviera un valor grande sin signo, o mostrar un valor grande sin signo como un valor negativo. Esto se ha corregido yeu-readelf
ahora busca el tamaño y el signo de los tipos de valores constantes para mostrarlos correctamente. -
Se ha añadido a la biblioteca libdw una nueva función
dwarf_next_lines()
para leer los datos.debug_line
que faltan en CU. Esta función puede utilizarse como alternativa a las funcionesdwarf_getsrclines()
ydwarf_getsrcfiles()
. -
Anteriormente, los archivos con más de 65280 secciones podían provocar errores en las bibliotecas libelf y libdw y en todas las herramientas que las utilizaban. Este error se ha corregido. Como resultado, los valores
shnum
yshstrndx
extendidos en las cabeceras de los archivos ELF se manejan correctamente.
(BZ#1641007)
Valgrind actualizado a la versión 3.14
Red Hat Enterprise Linux 8 se distribuye con la herramienta de análisis de código ejecutable Valgrind versión 3.14. Los cambios notables incluyen:
-
Se ha añadido una nueva opción
--keep-debuginfo
para permitir la retención de información de depuración para el código descargado. Como resultado, los rastros de pila guardados pueden incluir información de archivos y líneas para el código que ya no está presente en la memoria. - Se han añadido supresiones basadas en el nombre del archivo fuente y el número de línea.
-
La herramienta
Helgrind
se ha ampliado con una opción--delta-stacktrace
para especificar el cálculo de las trazas de pila de la historia completa. En particular, el uso de esta opción junto con--history-level=full
puede mejorar el rendimiento deHelgrind
hasta en un 25%. -
Se ha reducido la tasa de falsos positivos en la herramienta
Memcheck
para el código optimizado en las arquitecturas Intel y AMD de 64 bits y en la arquitectura ARM de 64 bits. Tenga en cuenta que puede utilizar la opción--expensive-definedness-checks
para controlar el manejo de las comprobaciones de definición y mejorar la tasa a expensas del rendimiento. - Valgrind ahora puede reconocer más instrucciones de la variante little-endian de IBM Power Systems.
- Valgrind ahora puede procesar la mayoría de las instrucciones de vectores enteros y de cadenas del procesador z13 de la arquitectura IBM Z.
Para más información sobre las nuevas opciones y sus limitaciones conocidas, consulte la página del manual de valgrind(1
).
(BZ#1641029, BZ#1501419)
GDB versión 8.2
Red Hat Enterprise Linux 8 se distribuye con la versión 8.2 del depurador GDB:
-
El protocolo IPv6 es compatible con la depuración remota con GDB y
gdbserver
. - Se ha mejorado la depuración sin información de depuración.
- Se ha mejorado la finalización de símbolos en la interfaz de usuario de GDB para ofrecer mejores sugerencias mediante el uso de más construcciones sintácticas como etiquetas ABI o espacios de nombres.
- Ahora los comandos pueden ejecutarse en segundo plano.
- Ahora es posible depurar los programas creados en el lenguaje de programación Rust.
-
Se ha mejorado la depuración de los lenguajes C y C con el soporte del analizador sintáctico para los operadores
_Alignof
yalignof
, las referencias rvalue de C y las matrices automáticas de longitud variable de C99. - Los scripts de extensión de GDB ahora pueden utilizar el lenguaje de scripting Guile.
-
La interfaz del lenguaje de scripting Python para las extensiones se ha mejorado con nuevas funciones de la API, decoradores de marcos, filtros y desenrolladores. Además, los scripts de la sección
.debug_gdb_scripts
de la configuración de GDB se cargan automáticamente. - GDB utiliza ahora la versión 3 de Python para ejecutar sus scripts, incluyendo las impresoras bonitas, los decoradores de marcos, los filtros y los desenrolladores.
- Las arquitecturas ARM y ARM de 64 bits han sido mejoradas con el registro y la reproducción de la ejecución de procesos, incluyendo las instrucciones Thumb de 32 bits y de llamada al sistema.
- GDB ahora soporta la Extensión Vectorial Escalable (SVE) en la arquitectura ARM de 64 bits.
- Se ha añadido la compatibilidad con el registro Intel PKU y con Intel Processor Trace.
-
La funcionalidad de grabación y reproducción se ha ampliado para incluir las instrucciones
rdrand
yrdseed
en los sistemas basados en Intel. -
La funcionalidad de GDB en la arquitectura IBM Z se ha ampliado con soporte para tracepoints y tracepoints rápidos, registros vectoriales y ABI, y la llamada al sistema
Catch
. Además, GDB soporta ahora las instrucciones más recientes de la arquitectura. - Ahora GDB puede utilizar las sondas estáticas de espacio de usuario (SDT) de SystemTap en la arquitectura ARM de 64 bits.
(BZ#1641022, BZ#1497096, BZ#1505346, BZ#1592332, BZ#1550502)
la localización deglibc
para RHEL se distribuye en varios paquetes
En RHEL 8, las localizaciones y traducciones de glibc
ya no son proporcionadas por el paquete único glibc-common
. En su lugar, cada configuración regional e idioma está disponible en un paquete glibc-langpack-CODE
. Además, en la mayoría de los casos no se instalan todas las configuraciones regionales por defecto, sino sólo las seleccionadas en el instalador. Los usuarios deben instalar todos los paquetes de configuraciones regionales que necesiten por separado, o si lo desean pueden instalar glibc-all-langpacks
para obtener el archivo de configuraciones regionales que contiene todas las configuraciones regionales de glibc
instaladas como antes.
Para más información, consulte la sección sobre el uso de paquetes de idiomas.
(BZ#1512009)
GCC versión 8.2
En Red Hat Enterprise Linux 8, la cadena de herramientas GCC está basada en la serie de versiones GCC 8.2. Los cambios notables incluyen:
- Se han añadido numerosas optimizaciones generales, como el análisis de alias, las mejoras del vectorizador, el plegado de código idéntico, el análisis interprocedimental, el pase de optimización de la fusión de almacenes y otras.
- Se ha mejorado el sanitizador de direcciones. Se han añadido el Sanitizador de Fugas y el Sanitizador de Comportamientos Indefinidos.
- Ahora se puede producir información de depuración en el formato DWARF5. Esta capacidad es experimental.
- La herramienta de análisis de cobertura del código fuente GCOV se ha ampliado con varias mejoras.
- Se han añadido nuevas advertencias y diagnósticos mejorados para la detección estática de más errores de programación.
- GCC se ha ampliado para proporcionar herramientas que garanticen un endurecimiento adicional del código generado. Entre las mejoras relacionadas con la seguridad se encuentran la comprobación del desbordamiento, la protección adicional contra el choque de la pila, la comprobación de las direcciones de destino de las instrucciones de flujo de control, las advertencias para las funciones de manipulación de cadenas delimitadas y las advertencias para detectar índices de matrices fuera de los límites.
Las mejoras en la arquitectura y el soporte del procesador incluyen:
- Se han añadido múltiples opciones nuevas específicas para la arquitectura Intel AVX-512, varias de sus microarquitecturas y las extensiones de protección de software de Intel (SGX).
- La generación de código ahora puede dirigirse a las extensiones LSE de la arquitectura ARM de 64 bits, a las extensiones de punto flotante (FPE) de 16 bits de ARMv8.2-A y a las versiones de la arquitectura ARMv8.2-A, ARMv8.3-A y ARMv8.4-A.
- Se ha añadido soporte para los procesadores z13 y z14 de la arquitectura IBM Z.
Entre los cambios notables relacionados con las lenguas y las normas se encuentran:
- El estándar por defecto utilizado al compilar código en el lenguaje C ha cambiado a C17 con extensiones GNU.
- El estándar por defecto utilizado al compilar código en el lenguaje C ha cambiado a C 14 con extensiones GNU.
- La biblioteca de tiempo de ejecución de C es ahora compatible con los estándares C 11 y C 14.
- El compilador de C ahora implementa el estándar C 14.
- Se ha mejorado la compatibilidad con el lenguaje C estándar C11.
-
La nueva extensión
__auto_type
de GNU C proporciona un subconjunto de la funcionalidad de la palabra claveauto
de C 11 en el lenguaje C. -
Los nombres de los tipos
_FloatN
y_FloatNx
especificados por la norma ISO/IEC TS 18661-3:2015 son ahora reconocidos por el front end de C. - Pasar una clase vacía como argumento ahora no ocupa espacio en las arquitecturas Intel 64 y AMD64, como lo requiere la ABI de la plataforma.
-
El valor devuelto por el operador
alignof
de C 11 ha sido corregido para que coincida con el operador_Alignof
de C y devuelva la alineación mínima. Para encontrar la alineación preferida, utilice la extensión GNU__alignof__
. -
La versión principal de la biblioteca
libgfortran
para el código del lenguaje Fortran se ha cambiado a 5. - Se ha eliminado el soporte para los lenguajes Ada (GNAT), GCC Go y Objective C/C. Utilice el conjunto de herramientas Go para el desarrollo de código Go.
(JIRA:RHELPLAN-7437, BZ#1512593, BZ#1512378)
El modo FIPS de la biblioteca criptográfica Go ahora respeta la configuración del sistema
Anteriormente, la biblioteca criptográfica estándar de Go siempre utilizaba su modo FIPS a menos que se deshabilitara explícitamente en el momento de construir la aplicación que utilizaba la biblioteca. Como consecuencia, los usuarios de aplicaciones basadas en Go no podían controlar si se utilizaba el modo FIPS. Con este cambio, la biblioteca no utiliza por defecto el modo FIPS cuando el sistema no está configurado en modo FIPS. Como resultado, los usuarios de aplicaciones basadas en Go en sistemas RHEL tienen más control sobre el uso del modo FIPS de la biblioteca criptográfica Go.
(BZ#1633351)
strace
actualizado a la versión 4.24
Red Hat Enterprise Linux 8 se distribuye con la herramienta strace
versión 4.24. Los cambios notables incluyen:
-
Se han añadido funciones de manipulación de llamadas al sistema con la opción
-e inject=
. Esto incluye la inyección de errores, valores de retorno, retrasos y señales. Se ha mejorado la sintaxis de las llamadas al sistema:
-
Se ha añadido la opción
-e trace=/regex
para filtrar las llamadas al sistema con expresiones regulares. -
Anteponer un signo de interrogación a la calificación de una llamada del sistema en la opción
-e trace=
permite astrace
continuar, incluso si la calificación no coincide con ninguna llamada del sistema. -
Se ha añadido la designación de personalidad a las calificaciones de las llamadas al sistema en la opción
-e trace
.
-
Se ha añadido la opción
-
Se ha añadido la decodificación de la razón de salida de
kvm vcpu
. Para ello, utilice la opción-e kvm=vcpu
. -
La biblioteca
libdw
deelfutils
se utiliza ahora para desenrollar la pila cuando se utiliza la opción-k
. Además, la separación de símbolos se realiza utilizando la bibliotecalibiberty
. -
Anteriormente, la opción
-r
hacía questrace
ignorara la opción-t
. Esto se ha corregido, y las dos opciones son ahora independientes. -
Se ha añadido la opción
-A
para abrir los archivos de salida en modo apéndice. -
Se ha añadido la opción
-X
para configurar el formato de salidaxlat
. -
Se ha mejorado la decodificación de direcciones de socket con la opción
-yy
. Además, se ha añadido la impresión de números de dispositivos de bloques y caracteres en el modo-yy
. -
Ahora es posible rastrear los binarios de 64 y 32 bits con una sola herramienta
strace
en la arquitectura IBM Z. Como consecuencia, el paquetestrace32
separado ya no existe en RHEL 8.
Además, se ha añadido, mejorado o actualizado la decodificación de los siguientes elementos:
-
protocolos, mensajes y atributos de
netlink
-
arch_prctl
,bpf
,getsockopt
,io_pgetevent
,keyctl
,prctl
,pkey_alloc
,pkey_free
,pkey_mprotect
,ptrace
,rseq
,setsockopt
,socket
,statx
y otras llamadas al sistema -
Múltiples comandos para la llamada al sistema
ioctl
- Constantes de varios tipos
-
Rastreo de rutas para
execveat
,inotify_add_watch
,inotify_init
,select
,symlink
,symlinkat
y llamadas al sistemammap
con argumentos indirectos - Listas de códigos de señales
(BZ#1641014)
Conjunto de herramientas del compilador en RHEL 8
RHEL 8.0 proporciona los siguientes conjuntos de herramientas de compilación como flujos de aplicaciones:
- Clang and LLVM Toolset 7.0.1, que proporciona el marco de infraestructura del compilador LLVM, el compilador Clang para los lenguajes C y C, el depurador LLDB y herramientas relacionadas para el análisis de código. Consulte el documento Using Clang and LLVM Toolset.
-
Rust Toolset 1.31, que proporciona el compilador de lenguaje de programación Rust
rustc
, la herramienta de construccióncargo
y el gestor de dependencias, el plugincargo-vendor
y las bibliotecas necesarias. Consulte el documento Using Rust Tools et. -
Go Toolset 1.11.5, que proporciona las herramientas y bibliotecas del lenguaje de programación Go. Go se conoce alternativamente como
golang
. Consulte el documento Using Go Tools et.
(BZ#1695698, BZ#1613515, BZ#1613516, BZ#1613518)
Implementaciones y herramientas Java en RHEL 8
El repositorio de RHEL 8 AppStream incluye:
-
Los paquetes
java-11-openjdk
, que proporcionan el entorno de ejecución Java OpenJDK 11 y el kit de desarrollo de software Java OpenJDK 11. -
Los paquetes
java-1.8.0-openjdk
, que proporcionan el entorno de ejecución Java OpenJDK 8 y el kit de desarrollo de software Java OpenJDK 8. -
Los paquetes
icedtea-web
, que proporcionan una implementación de Java Web Start. -
El módulo
ant
, que proporciona una biblioteca Java y una herramienta de línea de comandos para compilar, ensamblar, probar y ejecutar aplicaciones Java.Ant
se ha actualizado a la versión 1.10. -
El módulo
maven
, proporciona una herramienta de gestión y comprensión de proyectos de software. Anteriormente,Maven
sólo estaba disponible como Colección de Software o en el canal Opcional no soportado. -
El módulo
scala
, que proporciona un lenguaje de programación de propósito general para la plataforma Java. Anteriormente,Scala
sólo estaba disponible como Colección de Software.
Además, los paquetes java-1.8.0-ibm
se distribuyen a través del repositorio complementario. Tenga en cuenta que los paquetes de este repositorio no están soportados por Red Hat.
(BZ#1699535)
Cambio de la ABI de C en std::string
y std::list
La interfaz binaria de aplicación (ABI) de las clases std::string
y std::list
de la biblioteca libstdc
cambió entre RHEL 7 (GCC 4.8) y RHEL 8 (GCC 8) para ajustarse al estándar C 11. La biblioteca libstdc
soporta tanto la antigua como la nueva ABI, pero algunas otras bibliotecas del sistema C no lo hacen. Como consecuencia, las aplicaciones que enlazan dinámicamente con estas bibliotecas tendrán que ser reconstruidas. Esto afecta a todos los modos estándar de C, incluyendo C 98. También afecta a las aplicaciones construidas con los compiladores de Red Hat Developer Toolset para RHEL 7, que mantuvieron la antigua ABI para mantener la compatibilidad con las bibliotecas del sistema.
(BZ#1704867)
5.1.12. Sistemas de archivos y almacenamiento
Soporte para el Campo de Integridad de Datos/Extensión de Integridad de Datos (DIF/DIX)
DIF/DIX es compatible con las configuraciones en las que el proveedor de hardware lo ha calificado y proporciona soporte completo para el adaptador de bus de host (HBA) particular y la configuración de la matriz de almacenamiento en RHEL.
DIF/DIX no es compatible con las siguientes configuraciones:
- No se admite su uso en el dispositivo de arranque.
- No es compatible con los huéspedes virtualizados.
- Red Hat no admite el uso de la biblioteca de gestión automática del almacenamiento (ASMLib) cuando DIF/DIX está activado.
DIF/DIX se activa o desactiva en el dispositivo de almacenamiento, lo que implica varias capas hasta (e incluyendo) la aplicación. El método para activar el DIF en los dispositivos de almacenamiento depende del dispositivo.
Para más información sobre la función DIF/DIX, consulte Qué es DIF/DIX.
(BZ#1649493)
XFS ahora soporta extensiones de datos compartidos de copia en escritura
El sistema de archivos XFS soporta la funcionalidad de extensión de datos compartidos de copia en escritura. Esta función permite que dos o más archivos compartan un conjunto común de bloques de datos. Cuando alguno de los archivos que comparten bloques comunes cambia, XFS rompe el vínculo con los bloques comunes y crea un nuevo archivo. Esto es similar a la funcionalidad de copia en escritura (COW) que se encuentra en otros sistemas de archivos.
Las extensiones de datos de copia en escritura compartidas son:
- Rápido
- La creación de copias compartidas no utiliza la E/S del disco.
- Espacio eficiente
- Los bloques compartidos no consumen espacio adicional en el disco.
- Transparente
- Los archivos que comparten bloques comunes actúan como archivos normales.
Las utilidades del espacio de usuario pueden utilizar extensiones de datos compartidos de copia en escritura para:
-
Clonación eficiente de archivos, como con el comando
cp --reflink
- Instantáneas por archivo
Esta funcionalidad también es utilizada por subsistemas del kernel como Overlayfs y NFS para un funcionamiento más eficiente.
Las extensiones de datos compartidas de copia en escritura están ahora habilitadas por defecto al crear un sistema de archivos XFS, a partir de la versión 4.17.0-2.el8
del paquete xfsprogs
.
Tenga en cuenta que los dispositivos de acceso directo (DAX) actualmente no admiten XFS con extensiones de datos compartidas de copia en escritura. Para crear un sistema de archivos XFS sin esta característica, utilice el siguiente comando:
# mkfs.xfs -m reflink=0 block-device
Red Hat Enterprise Linux 7 puede montar sistemas de archivos XFS con extensiones de datos compartidos de copia en escritura sólo en el modo de sólo lectura.
(BZ#1494028)
El tamaño máximo del sistema de archivos XFS es de 1024 TiB
El tamaño máximo soportado de un sistema de archivos XFS se ha incrementado de 500 TiB a 1024 TiB.
Los sistemas de archivos de más de 500 TiB lo requieren:
- la función CRC de metadatos y la función btree de inodos libres están activadas en el formato del sistema de archivos, y
- el tamaño del grupo de asignación es de al menos 512 GiB.
En RHEL 8, la utilidad mkfs.xfs
crea sistemas de archivos que cumplen estos requisitos por defecto.
No se admite el crecimiento de un sistema de archivos más pequeño que no cumpla estos requisitos hasta un nuevo tamaño superior a 500 TiB.
(BZ#1563617)
el sistema de archivosext4
ahora soporta la suma de comprobación de metadatos
Con esta actualización, los metadatos de ext4
están protegidos por sumas de comprobación
. Esto permite que el sistema de archivos reconozca los metadatos corruptos, lo que evita daños y aumenta la resistencia del sistema de archivos.
VDO ahora es compatible con todas las arquitecturas
Virtual Data Optimizer (VDO) ya está disponible en todas las arquitecturas soportadas por RHEL 8.
Para ver la lista de arquitecturas compatibles, consulte ???.
(BZ#1534087)
El gestor de arranque BOOM simplifica el proceso de creación de entradas de arranque
BOOM es un gestor de arranque para sistemas Linux que utilizan cargadores de arranque compatibles con la especificación BootLoader para la configuración de entradas de arranque. Permite una configuración de arranque flexible y simplifica la creación de entradas de arranque nuevas o modificadas: por ejemplo, para arrancar imágenes instantáneas del sistema creadas mediante LVM.
BOOM no modifica la configuración existente del gestor de arranque, y sólo inserta entradas adicionales. La configuración existente se mantiene, y cualquier integración de la distribución, como los scripts de instalación y actualización del kernel, siguen funcionando como antes.
BOOM cuenta con una interfaz de línea de comandos (CLI) y una API simplificadas que facilitan la tarea de crear entradas de arranque.
(BZ#1649582)
LUKS2 es ahora el formato por defecto para encriptar volúmenes
En RHEL 8, el formato LUKS versión 2 (LUKS2) sustituye al formato LUKS heredado (LUKS1). El subsistema dm-crypt
y la herramienta cryptsetup
utilizan ahora LUKS2 como formato por defecto para los volúmenes cifrados. LUKS2 proporciona volúmenes encriptados con redundancia de metadatos y recuperación automática en caso de un evento de corrupción parcial de metadatos.
Debido a la disposición interna flexible, LUKS2 es también un habilitador de futuras características. Soporta el auto-desbloqueo a través del token genérico kernel-keyring incorporado en libcryptsetup
que permite a los usuarios desbloquear los volúmenes LUKS2 utilizando una frase de contraseña almacenada en el servicio de retención kernel-keyring.
Otras mejoras notables son:
- La configuración de la clave protegida utilizando el esquema de cifrado de clave envuelta.
- Integración más fácil con el descifrado basado en políticas (Clevis).
- Hasta 32 ranuras para llaves - LUKS1 sólo ofrece 8 ranuras para llaves.
Para más detalles, consulte las páginas de manual de cryptsetup(8
) y cryptsetup-reencrypt(8)
.
(BZ#1564540)
NVMe/FC es totalmente compatible con los adaptadores Broadcom Emulex y Marvell Qlogic Fibre Channel
El tipo de transporte NVMe sobre Canal de Fibra (NVMe/FC) es ahora totalmente compatible con el modo de iniciador cuando se utiliza con adaptadores Broadcom Emulex y Marvell Qlogic Fibre Channel de 32 Gbit que cuentan con soporte NVMe.
NVMe sobre canal de fibra es un tipo de transporte de tejido adicional para el protocolo Nonvolatile Memory Express (NVMe), además del protocolo Remote Direct Memory Access (RDMA) que se introdujo anteriormente en Red Hat Enterprise Linux.
Activación de NVMe/FC:
Para habilitar NVMe/FC en el controlador
lpfc
, edite el archivo/etc/modprobe.d/lpfc.conf
y añada la siguiente opción:lpfc_enable_fc4_type=3
Para activar NVMe/FC en el controlador
qla2xxx
, edite el archivo/etc/modprobe.d/qla2xxx.conf
y añada la siguiente opción:qla2xxx.ql2xnvmeenable=1
Restricciones adicionales:
- No se admite el multipath con NVMe/FC.
- La agrupación NVMe no es compatible con NVMe/FC.
-
kdump
no es compatible con NVMe/FC. - El arranque desde la red de área de almacenamiento (SAN) NVMe/FC no es compatible.
(BZ#1649497)
Nuevo ajuste de configuración de scan_lvs
Se ha añadido un nuevo ajuste en el archivo de configuración lvm.conf
, scan_lvs
, y se ha establecido en 0 por defecto. El nuevo comportamiento por defecto evita que LVM busque PVs que puedan existir encima de los LVs; es decir, no explorará los LVs activos en busca de más PVs. La configuración por defecto también evita que LVM cree PVs encima de los LVs.
La superposición de PVs sobre LVs puede ocurrir por medio de imágenes VM colocadas sobre LVs, en cuyo caso no es seguro para el host acceder a los PVs. Evitar este acceso inseguro es la razón principal del nuevo comportamiento por defecto. Además, en entornos con muchos LVs activos, la cantidad de escaneo de dispositivos realizado por LVM puede disminuir significativamente.
El comportamiento anterior se puede restaurar cambiando este ajuste a 1.
Nueva sección de anulaciones
del archivo de configuración de DM Multipath
El archivo /etc/multipath
.conf incluye ahora una sección de anulaciones
que le permite establecer un valor de configuración para todos sus dispositivos. Estos atributos son utilizados por DM Multipath para todos los dispositivos a menos que sean sobrescritos por los atributos especificados en la sección multipaths
del archivo /etc/multipath
.conf para las rutas que contienen el dispositivo. Esta funcionalidad sustituye al parámetro all_devs
de la sección de dispositivos
del archivo de configuración, que ya no es compatible.
(BZ#1643294)
Ahora se puede instalar y arrancar desde dispositivos NVDIMM
Antes de esta actualización, el instalador ignoraba los dispositivos de módulo de memoria dual no volátil (NVDIMM) en cualquier modo.
Con esta actualización, las mejoras del kernel para soportar los dispositivos NVDIMM proporcionan una mayor capacidad de rendimiento del sistema y un mejor acceso al sistema de archivos para las aplicaciones de escritura intensiva, como las cargas de trabajo de bases de datos o analíticas, así como una reducción de la sobrecarga de la CPU.
Esta actualización introduce la compatibilidad con:
-
El uso de dispositivos NVDIMM para la instalación mediante el comando
nvdimm
Kickstart y la GUI, lo que permite instalar y arrancar desde dispositivos NVDIMM en modo sectorial y reconfigurar los dispositivos NVDIMM en modo sectorial durante la instalación. -
La extensión de los scripts
Kickstart
para Anaconda con comandos para el manejo de dispositivos NVDIMM. -
La capacidad de los componentes del sistema
grub2
,efibootmgr
yefivar
para manejar y arrancar desde dispositivos NVDIMM.
(BZ#1499442)
Se ha mejorado la detección de rutas marginales en DM Multipath
El servicio multipathd
soporta ahora una mejor detección de rutas marginales. Esto ayuda a los dispositivos multipathd a evitar las rutas que pueden fallar repetidamente, y mejora el rendimiento. Las rutas marginales son rutas con errores de E/S persistentes pero intermitentes.
Las siguientes opciones en el archivo /etc/multipath.
conf controlan el comportamiento de las rutas marginales:
-
marginal_path_double_failed_time
, -
marginal_path_err_sample_time
, -
marginal_path_err_rate_threshold
, y -
marginal_path_err_recheck_gap_time
.
DM Multipath desactiva una ruta y la prueba con E/S repetidas durante el tiempo de muestra configurado si:
-
las opciones de
multipath.
conf que aparecen en la lista están configuradas, - una ruta falla dos veces en el tiempo configurado, y
- hay otros caminos disponibles.
Si la ruta tiene más de la tasa de error configurada durante esta prueba, DM Multipath la ignora durante el tiempo de intervalo configurado, y luego vuelve a probarla para ver si está funcionando lo suficientemente bien como para ser reinstalada.
Para más información, consulte la página man de multipath.conf
.
(BZ#1643550)
Programación de colas múltiples en dispositivos de bloque
Los dispositivos de bloque utilizan ahora la programación de colas múltiples en Red Hat Enterprise Linux 8. Esto permite que el rendimiento de la capa de bloque se adapte bien a las rápidas unidades de estado sólido (SSD) y a los sistemas multinúcleo.
Los planificadores tradicionales, que estaban disponibles en RHEL 7 y versiones anteriores, han sido eliminados. RHEL 8 solo admite planificadores de colas múltiples.
(BZ#1647612)
5.1.13. Alta disponibilidad y clusters
Nuevos comandos pcs
para listar los dispositivos de vigilancia disponibles y probar los dispositivos de vigilancia
Para configurar SBD con Pacemaker, se necesita un dispositivo de vigilancia que funcione. Esta versión admite el comando pcs stonith sbd
watchdog list
para enumerar los dispositivos de vigilancia disponibles en el nodo local, y el comando pcs stonith sbd watchdog test
para probar un dispositivo de vigilancia. Para obtener información sobre la herramienta de línea de comandos sbd
, consulte la página man de sbd
(8).
(BZ#1578891)
El comando pcs
ahora soporta el filtrado de fallos de recursos por una operación y su intervalo
Pacemaker ahora hace un seguimiento de los fallos de los recursos por una operación de recursos sobre un nombre de recurso, y un nodo. El comando pcs resource failcount show
permite ahora filtrar los fallos por recurso, nodo, operación e intervalo. Proporciona una opción para mostrar los fallos agregados por un recurso y nodo o detallados por un recurso, nodo, operación y su intervalo. Además, el comando pcs resource cleanup
permite ahora filtrar los fallos por un recurso, nodo, operación e intervalo.
(BZ#1591308)
Marcas de tiempo habilitadas en el registro de corosync
El registro de corosync
no contenía anteriormente marcas de tiempo, lo que hacía difícil relacionarlo con los registros de otros nodos y demonios. Con esta versión, las marcas de tiempo están presentes en el registro de corosync
.
(BZ#1615420)
Nuevos formatos para los comandos pcs cluster setup
, pcs cluster node add
y pcs cluster node remove
En Red Hat Enterprise Linux 8, pcs
soporta completamente Corosync 3, knet
y los nombres de nodo. Los nombres de nodo son ahora obligatorios y sustituyen a las direcciones de nodo en el papel de identificador de nodo. Las direcciones de nodo son ahora opcionales.
-
En el comando
pcs host auth
, las direcciones de los nodos son por defecto nombres de nodos. -
En los comandos
pcs cl
ustersetup
ypcs cluster node add
, las direcciones de los nodos son por defecto las direcciones de los nodos especificadas en el comandopcs host auth
.
Con estos cambios, los formatos de los comandos para configurar un clúster, añadir un nodo a un clúster y eliminar un nodo de un clúster han cambiado. Para obtener información sobre estos nuevos formatos de comando, consulte la pantalla de ayuda de los comandos pcs cluster setup
, pcs cluster node add
y pcs cluster node remove
.
(BZ#1158816)
Nuevos comandos pcs
Red Hat Enterprise Linux 8 introduce los siguientes comandos nuevos.
-
RHEL 8 introduce un nuevo comando,
pcs cluster node add-guest | remove-guest
, que sustituye al comandopcs cluster remote-node add | remove
de RHEL 7. -
RHEL 8 introduce un nuevo comando,
pcs quorum unblock
, que sustituye al comandopcs cluster quorum unblock
de RHEL 7. -
El comando pcs
resource failcount reset
ha sido eliminado ya que duplica la funcionalidad del comandopcs resource cleanup
. RHEL 8 introduce nuevos comandos que sustituyen al comando
pcs resource [show]
de RHEL 7:-
El comando pcs resource
[status]
de RHEL 8 sustituye al comandopcs resource [show]
de RHEL 7. -
El comando pcs
resource config
de RHEL 8 sustituye al comandopcs resource [show] --full
de RHEL 7. -
El comando pcs
resource
config resource id
en RHEL 8 sustituye al comandopcs resource show resource id
en RHEL 7.
-
El comando pcs resource
RHEL 8 introduce nuevos comandos que sustituyen al comando
pcs stonith [show]
de RHEL 7:-
El comando pcs stonith
[status]
de RHEL 8 sustituye al comandopcs stonith [show]
de RHEL 7. -
El comando pcs
stonith config
de RHEL 8 sustituye al comandopcs stonith [show] --full
de RHEL 7. -
El comando
pcs stonith
config resource id
en RHEL 8 sustituye al comandopcs stonith show resource id
en RHEL 7.
-
El comando pcs stonith
(BZ#1654280)
Pacemaker 2.0.0 en RHEL 8
Los paquetes de pacemaker
han sido actualizados a la versión upstream de Pacemaker 2.0.0, que proporciona una serie de correcciones de errores y mejoras respecto a la versión anterior:
-
El registro detallado de Pacemaker es ahora
/var/log/pacemaker/pacemaker.log
por defecto (no directamente en/var/log
o combinado con el registro decorosync
en/var/log/cluster
). -
Los procesos daemon de Pacemaker han sido renombrados para que la lectura de los registros sea más intuitiva. Por ejemplo,
pengine
ha sido renombrado apacemaker-schedulerd
. -
Se ha eliminado la compatibilidad con las propiedades de clúster
predeterminadas
"resource-stickiness" y"is-managed-default
". Las propiedadesresource-stickiness
yis-managed
deben establecerse en los recursos por defecto. Las configuraciones existentes (aunque no las recién creadas) con la sintaxis obsoleta se actualizarán automáticamente para utilizar la sintaxis soportada. - Para una lista más completa de cambios, consulte la actualización de Pacemaker 2.0 en Red Hat Enterprise Linux 8.
Se recomienda que los usuarios que estén actualizando un cluster existente que utilice Red Hat Enterprise Linux 7 o anterior, ejecuten pcs cluster cib-upgrade
en cualquier nodo del cluster antes y después de actualizar RHEL en todos los nodos del cluster.
Los recursos maestros han sido renombrados como recursos clonados promocionables
Red Hat Enterprise Linux (RHEL) 8 soporta Pacemaker 2.0, en el que un recurso maestro/esclavo ya no es un tipo de recurso separado sino un recurso clon estándar con un meta-atributo promocionable
establecido a true
. Se han implementado los siguientes cambios en apoyo de esta actualización:
-
Ya no es posible crear recursos maestros con el comando
pcs
. En su lugar, es posible crear recursos clonablespromocionables
. Las palabras clave y los comandos relacionados se han cambiado demaestros
apromocionables
. - Todos los recursos maestros existentes se muestran como recursos clonados promocionables.
- Cuando se gestiona un clúster RHEL7 en la interfaz web, los recursos maestros se siguen llamando maestros, ya que los clústeres RHEL7 no admiten clones promocionables.
(BZ#1542288)
Nuevos comandos para autenticar los nodos de un clúster
Red Hat Enterprise Linux (RHEL) 8 incorpora los siguientes cambios en los comandos utilizados para autenticar nodos en un cluster.
-
El nuevo comando para la autenticación es
pcs host auth
. Este comando permite a los usuarios especificar nombres de host, direcciones y puertospcsd
. -
El comando
pcs cluster auth aut
entifica sólo los nodos de un cluster local y no acepta una lista de nodos -
Ahora es posible especificar una dirección para cada nodo.
pcs/pcsd
se comunicará con cada nodo usando la dirección especificada. Estas direcciones pueden ser diferentes a las quecorosync
utiliza internamente. -
El comando pcs
pcsd clear-auth
ha sido sustituido por los comandospcs pcsd deauth
ypcs host deauth
. Los nuevos comandos permiten a los usuarios desautenticar un solo host así como todos los hosts. -
Anteriormente, la autenticación de nodos era bidireccional, y la ejecución del comando pcs
cluster auth
hacía que todos los nodos especificados se autenticaran entre sí. El comando pcshost
auth, sin embargo, hace que sólo el host local se autentique contra los nodos especificados. Esto permite un mejor control de qué nodo se autentifica contra qué otros nodos cuando se ejecuta este comando. En la configuración del clúster en sí, y también cuando se añade un nodo,pcs
sincroniza automáticamente los tokens en el clúster, por lo que todos los nodos en el clúster siguen siendo autenticados automáticamente como antes y los nodos del clúster pueden comunicarse entre sí.
Tenga en cuenta que estos cambios no son compatibles con versiones anteriores. Los nodos que fueron autenticados en un sistema RHEL 7 tendrán que ser autenticados de nuevo.
(BZ#1549535)
Los comandos pcs
ahora soportan la visualización, limpieza y sincronización del historial de esgrima
El demonio de cercado de Pacemaker registra un historial de todas las acciones de cercado realizadas (pendientes, exitosas y fallidas). Con esta versión, los comandos pcs
permiten a los usuarios acceder al historial de vallas de las siguientes maneras:
-
El comando
pcs status
muestra las acciones de esgrima fallidas y pendientes -
El comando
pcs status --full
muestra todo el historial de esgrima -
El comando
pcs stonith history
proporciona opciones para mostrar y limpiar el historial de cercas -
Aunque el historial de esgrima se sincroniza automáticamente, el comando
pcs stonith history
admite ahora una opción deactualización
que permite al usuario sincronizar manualmente el historial de esgrima en caso de que sea necesario
(BZ#1620190, BZ#1615891)
5.1.14. Red
nftables
sustituye a iptables
como marco de filtrado de paquetes de red por defecto
El marco de trabajo nftables
proporciona facilidades de clasificación de paquetes y es el sucesor designado de las herramientas iptables
, ip6tables
, arptables
y ebtables
. Ofrece numerosas mejoras en cuanto a comodidad, características y rendimiento con respecto a las herramientas de filtrado de paquetes anteriores, sobre todo:
- tablas de búsqueda en lugar de procesamiento lineal
-
un único marco para los protocolos
IPv4
eIPv6
- reglas aplicadas atómicamente en lugar de buscar, actualizar y almacenar un conjunto de reglas completo
-
soporte para la depuración y el rastreo en el conjunto de reglas
(nftrace
) y la supervisión de los eventos de rastreo (en la herramientanft
) - sintaxis más coherente y compacta, sin extensiones específicas de protocolo
- una API Netlink para aplicaciones de terceros
Al igual que iptables
, nftables
utiliza tablas para almacenar cadenas. Las cadenas contienen reglas individuales para realizar acciones. La herramienta nft
sustituye a todas las herramientas de los anteriores marcos de filtrado de paquetes. La biblioteca libnftables
se puede utilizar para la interacción de bajo nivel con la API Netlink de nftables
sobre la biblioteca libmnl
.
Las herramientas iptables
, ip6tables
, ebtables
y arptables
son reemplazadas por sustitutos basados en nftables con el mismo nombre. Mientras que el comportamiento externo es idéntico al de sus homólogos heredados, internamente utilizan nftables
con módulos de kernel netfilter
heredados a través de una interfaz de compatibilidad cuando es necesario.
El efecto de los módulos en el conjunto de reglas de nftables
puede observarse utilizando el comando nft list rules
et. Dado que estas herramientas añaden tablas, cadenas y reglas al conjunto de reglas de nftables
, tenga en cuenta que las operaciones del conjunto de reglas de nftables
, como el comando nft flush rules
et, podrían afectar a los conjuntos de reglas instalados mediante los comandos heredados anteriormente separados.
Para identificar rápidamente qué variante de la herramienta está presente, se ha actualizado la información de la versión para incluir el nombre del back-end. En RHEL 8, la herramienta iptables
basada en nftables imprime la siguiente cadena de versión:
$ iptables --version iptables v1.8.0 (nf_tables)
Para comparar, se imprime la siguiente información de la versión si la herramienta iptables
heredada está presente:
$ iptables --version iptables v1.8.0 (legacy)
(BZ#1644030)
Funciones TCP notables en RHEL 8
Red Hat Enterprise Linux 8 se distribuye con la versión 4.18 de la pila de red TCP, que proporciona un mayor rendimiento, mejor escalabilidad y más estabilidad. El rendimiento se ha incrementado especialmente en el caso de servidores TCP ocupados con una alta tasa de conexiones de entrada.
Además, están disponibles dos nuevos algoritmos de congestión TCP, BBR
y NV
, que ofrecen una latencia más baja y un mejor rendimiento que el cúbico en la mayoría de los escenarios.
(BZ#1562998)
firewalld
utiliza nftables
por defecto
Con esta actualización, el subsistema de filtrado nftables
es el backend del cortafuegos por defecto para el demonio firewalld
. Para cambiar el backend, utilice la opción FirewallBackend
en el archivo /etc/firewalld/firewalld.conf
.
Este cambio introduce las siguientes diferencias de comportamiento al utilizar nftables
:
las ejecuciones de las reglas
iptables
siempre ocurren antes que las reglasfirewalld
-
DROP
eniptables
significa que un paquete nunca es visto porfirewalld
-
ACCEPT
eniptables
significa que un paquete sigue estando sujeto a las reglas defirewalld
-
-
las reglas directas
de firewalld
se siguen implementando a través deiptables
mientras que otras características defirewalld
utilizannftables
-
la ejecución directa de la regla se produce antes de la aceptación genérica por parte
de firewalld
de las conexiones establecidas
(BZ#1509026)
Cambio notable en wpa_supplicant
en RHEL 8
En Red Hat Enterprise Linux (RHEL) 8, el paquete wpa_supplicant
se construye con CONFIG_DEBUG_SYSLOG
activado. Esto permite leer el registro de wpa_supplicant
utilizando la utilidad journalctl
en lugar de comprobar el contenido del archivo /var/log/wpa_supplicant.log
.
(BZ#1582538)
NetworkManager ahora soporta funciones virtuales SR-IOV
En Red Hat Enterprise Linux 8.0, NetworkManager permite configurar el número de funciones virtuales (VF) para interfaces que soportan la virtualización de E/S de raíz única (SR-IOV). Adicionalmente, NetworkManager permite configurar algunos atributos de las VFs, tales como la dirección MAC, la VLAN, el ajuste de comprobación de spoof
y las tasas de bits permitidas. Tenga en cuenta que todas las propiedades relacionadas con SR-IOV están disponibles en la configuración de la conexión sriov
. Para más detalles, consulte la página man de nm-settings(5)
.
(BZ#1555013)
Ahora se admiten los controladores de red virtual IPVLAN
En Red Hat Enterprise Linux 8.0, el kernel incluye soporte para los controladores de red virtual IPVLAN. Con esta actualización, las tarjetas de interfaz de red (NIC) virtuales IPVLAN permiten la conectividad de red para múltiples contenedores exponiendo una única dirección MAC a la red local. Esto permite que un solo host tenga muchos contenedores superando la posible limitación en el número de direcciones MAC soportadas por los equipos de red pares.
(BZ#1261167)
NetworkManager admite una coincidencia de nombre de interfaz con comodines para las conexiones
Anteriormente, era posible restringir una conexión a una interfaz determinada utilizando sólo una coincidencia exacta en el nombre de la interfaz. Con esta actualización, las conexiones tienen una nueva propiedad match.interface-name
que admite comodines. Esta actualización permite a los usuarios elegir la interfaz para una conexión de una manera más flexible utilizando un patrón de comodines.
(BZ#1555012)
Mejoras en la pila de redes 4.18
Red Hat Enterprise Linux 8.0 incluye la pila de redes actualizada a la versión 4.18, que proporciona varias correcciones de errores y mejoras. Los cambios más destacados son:
-
Se han introducido nuevas funciones de descarga, como
UDP_GSO
y, para algunos controladores de dispositivos,GRO_HW
. - Mejora de la escalabilidad significativa para el Protocolo de Datagramas de Usuario (UDP).
- Se ha mejorado el código de sondeo genérico de ocupado.
- Mejora de la escalabilidad del protocolo IPv6.
- Mejora de la escalabilidad del código de enrutamiento.
-
Se ha añadido un nuevo algoritmo de programación de colas de transmisión por defecto
, fq_codel
, que mejora el retraso de la transmisión. -
Se ha mejorado la escalabilidad de algunos algoritmos de programación de colas de transmisión. Por ejemplo,
pfifo_fast
ahora no tiene bloqueo. - Se ha mejorado la escalabilidad de la unidad de reensamblaje de IP eliminando el hilo del núcleo de recolección de basura y los fragmentos de IP expiran sólo en el tiempo de espera. Como resultado, el uso de la CPU bajo DoS es mucho menor, y la tasa máxima de caída de fragmentos sostenible está limitada por la cantidad de memoria configurada para la unidad de reensamblaje IP.
(BZ#1562987)
Nuevas herramientas para convertir iptables
en nftables
Esta actualización añade las herramientas iptables-translate
e ip6tables-translate
para convertir las reglas existentes de iptables
o ip6tables
en las equivalentes para nftables
. Tenga en cuenta que algunas extensiones carecen de soporte de traducción. Si existe una extensión de este tipo, la herramienta imprime la regla no traducida precedida del signo #
. Por ejemplo:
| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill | nft # -A INPUT -j CHECKSUM --checksum-fill
Además, los usuarios pueden utilizar las herramientas iptables-restore-translate
e ip6tables-restore-translate
para traducir un volcado de reglas. Tenga en cuenta que antes de eso, los usuarios pueden utilizar los comandos iptables-save
o ip6tables-save
para imprimir un volcado de las reglas actuales. Por ejemplo:
| % sudo iptables-save >/tmp/iptables.dump | % iptables-restore-translate -f /tmp/iptables.dump | # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018 | add table ip nat | ...
(BZ#1564596)
Nuevas funciones añadidas a la VPN mediante NetworkManager
En Red Hat Enterprise Linux 8.0, NetworkManager proporciona las siguientes nuevas características a la VPN:
- Compatibilidad con el protocolo de intercambio de claves de Internet versión 2 (IKEv2).
-
Se han añadido algunas opciones más de Libreswan, como las opciones
rightid
,leftcert
,narrowing
,rekey
,fragmentation
. Para más detalles sobre las opciones soportadas, consulte la página man denm-settings-libreswan
. -
Se han actualizado los cifrados por defecto. Esto significa que cuando el usuario no especifica los cifrados, el plugin NetworkManager-libreswan permite a la aplicación Libreswan elegir el cifrado por defecto del sistema. La única excepción es cuando el usuario selecciona una configuración de modo agresivo IKEv1. En este caso, los valores
ike = aes256-sha1;modp1536
yeps = aes256-sha1
se pasan a Libreswan.
(BZ#1557035)
Se añade un nuevo tipo de trozo de datos, I-DATA
, a SCTP
Esta actualización añade un nuevo tipo de trozo de datos, I-DATA
, y programadores de flujos al protocolo de transmisión de control de flujos (SCTP). Anteriormente, SCTP enviaba los mensajes de usuario en el mismo orden en que eran enviados por un usuario. En consecuencia, un mensaje de usuario SCTP de gran tamaño bloqueaba todos los demás mensajes de cualquier flujo hasta su envío completo. Cuando se utilizan trozos de I-DATA
, el campo del número de secuencia de transmisión (TSN) no se sobrecarga. Como resultado, SCTP ahora puede programar los flujos de diferentes maneras, e I-DATA
permite el intercalado de mensajes de usuario (RFC 8260). Tenga en cuenta que ambos pares deben soportar el tipo de chunk I-DATA
.
(BZ#1273139)
NetworkManager
admite la configuración de las funciones de descarga de ethtool
Con esta mejora, NetworkManager
soporta la configuración de las características de descarga de ethtool
, y los usuarios ya no necesitan usar scripts init o un script despachador de NetworkManager
. Como resultado, los usuarios ahora pueden configurar la función de descarga como parte del perfil de conexión utilizando uno de los siguientes métodos:
-
Utilizando la utilidad
nmcli
-
Editando los archivos de claves en el directorio
/etc/NetworkManager/system-connections/
-
Editando los archivos
/etc/sysconfig/network-scripts/ifcfg-*
Tenga en cuenta que actualmente esta función no es compatible con las interfaces gráficas ni con la utilidad nmtui
.
(BZ#1335409)
Soporte de TCP BBR en RHEL 8
Un nuevo algoritmo de control de la congestión TCP, el ancho de banda del cuello de botella y el tiempo de viaje de ida y vuelta (BBR) es ahora compatible con Red Hat Enterprise Linux (RHEL) 8. BBR intenta determinar el ancho de banda del enlace cuello de botella y el tiempo de ida y vuelta (RTT). La mayoría de los algoritmos de congestión se basan en la pérdida de paquetes (incluyendo CUBIC, el algoritmo de control de congestión TCP de Linux por defecto), que tienen problemas en los enlaces de alto rendimiento. BBR no reacciona a los eventos de pérdida directamente, sino que ajusta la tasa de ritmo de TCP para que coincida con el ancho de banda disponible. Los usuarios de TCP BBR deberían cambiar a la configuración de colas fq
en todas las interfaces implicadas.
Tenga en cuenta que los usuarios deben utilizar explícitamente fq
y no fq_codel
.
Para más detalles, consulte la página man de tc-fq
.
(BZ#1515987)
lksctp-tools
, versión 1.0.18 en RHEL 8
El paquete lksctp-tools
, versión 3.28 está disponible en Red Hat Enterprise Linux (RHEL) 8. Las mejoras notables y las correcciones de errores incluyen:
- Integración con Travis CI y Coverity Scan
-
Soporte para la función
sctp_peeloff_flags
- Indicación de las características del núcleo que están disponibles
- Corrección de los problemas de Coverity Scan
(BZ#1568622)
Lista negra del módulo SCTP por defecto en RHEL 8
Para aumentar la seguridad, se ha trasladado un conjunto de módulos del núcleo al paquete kernel-modules-extra
. Estos no se instalan por defecto. Como consecuencia, los usuarios que no son root no pueden cargar estos componentes ya que están en la lista negra por defecto. Para utilizar uno de estos módulos del kernel, el administrador del sistema debe instalar kernel-modules-extra
y eliminar explícitamente la lista negra de módulos. Como resultado, los usuarios no root podrán cargar el componente de software automáticamente.
(BZ#1642795)
Cambios notables en driverctl
0.101
Red Hat Enterprise Linux 8.0 se distribuye con driverctl
0.101. Esta versión incluye las siguientes correcciones de errores:
-
Se han corregido las advertencias de
shellcheck
. -
El
bash-completion
se instala comodriverctl
en lugar dedriverctl-bash-completion.sh
. -
Se ha corregido la función
load_override
para los buses no PCI. -
El servicio
driverctl
carga todas las anulaciones antes de llegar al objetivo systemdbasic.target
.
(BZ#1648411)
Añadidas las prioridades de las reglas ricas a firewalld
Se ha añadido la opción de prioridad
a las reglas ricas. Esto permite a los usuarios definir el orden de prioridad deseable durante la ejecución de la regla y proporciona un control más avanzado sobre las reglas ricas.
(BZ#1648497)
NVMe sobre RDMA es compatible con RHEL 8
En Red Hat Enterprise Linux (RHEL) 8, Nonvolatile Memory Express (NVMe) sobre Remote Direct Memory Access (RDMA) es compatible con Infiniband, RoCEv2 e iWARP sólo en modo iniciador.
Tenga en cuenta que Multipath sólo es compatible con el modo de conmutación por error.
Restricciones adicionales:
- Kdump no es compatible con NVMe/RDMA.
- No se admite el arranque desde un dispositivo NVMe a través de RDMA.
El back end nf_tables
no soporta la depuración mediante dmesg
Red Hat Enterprise Linux 8.0 utiliza el back end nf_tables
para los cortafuegos que no soporta la depuración del cortafuegos utilizando la salida de la utilidad dmesg
. Para depurar las reglas del cortafuegos, utilice los comandos xtables-monitor -t
o nft monitor trace
para decodificar los eventos de evaluación de reglas.
(BZ#1645744)
Red Hat Enterprise Linux soporta VRF
El kernel de RHEL 8.0 soporta el enrutamiento y reenvío virtual (VRF). Los dispositivos VRF, combinados con las reglas establecidas mediante la utilidad ip
, permiten a los administradores crear dominios VRF en la pila de red Linux. Estos dominios aíslan el tráfico en la capa 3 y, por lo tanto, el administrador puede crear diferentes tablas de enrutamiento y reutilizar las mismas direcciones IP dentro de diferentes dominios VRF en un host.
(BZ#1440031)
iproute
, versión 4.18 en RHEL 8
El paquete iproute
se distribuye con la versión 4.18 en Red Hat Enterprise Linux (RHEL) 8. El cambio más notable es que el alias de interfaz marcado como ethX:Y, como eth0:1, ya no está soportado. Para solucionar este problema, los usuarios deben eliminar el sufijo del alias, que son los dos puntos y el número siguiente antes de introducir ip link show
.
(BZ#1589317)
5.1.15. Seguridad
Etiqueta SWID de la versión RHEL 8.0
Para permitir la identificación de las instalaciones de RHEL 8.0 mediante el mecanismo ISO/IEC 19770-2:2015, las etiquetas de identificación de software (SWID) se instalan en los archivos /usr/lib/swidtag/redhat.
com/com. redhat.
RHEL-8-<architecture>
.
swidtag
y /usr/lib/swidtag/redhat.com/com.redhat.RHEL-8.0-<architecture>.swidtag
. El directorio padre de estas etiquetas también puede encontrarse siguiendo el enlace simbólico /etc/swid/swidtags.d/redhat.
com.
La firma XML de los archivos de etiquetas SWID puede verificarse mediante el comando xmlsec1 verify
, por ejemplo:
xmlsec1 verify --trusted-pem /etc/pki/swid/CA/redhat.com/redhatcodesignca.cert /usr/share/redhat.com/com.redhat.RHEL-8-x86_64.swidtag
El certificado de la autoridad de certificación de firma de código también puede obtenerse en la página de Claves de Firma de Producto del Portal del Cliente.
(BZ#1636338)
Las políticas criptográficas de todo el sistema se aplican por defecto
Crypto-policies es un componente en Red Hat Enterprise Linux 8, que configura los subsistemas criptográficos centrales, cubriendo los protocolos TLS, IPsec, DNSSEC, Kerberos y SSH. Proporciona un pequeño conjunto de políticas, que el administrador puede seleccionar utilizando el comando update-crypto-policies
.
La política criptográfica de todo el sistema DEFAULT
ofrece una configuración segura para los modelos de amenaza actuales. Permite los protocolos TLS 1.2 y 1.3, así como los protocolos IKEv2 y SSH2. Las claves RSA y los parámetros Diffie-Hellman se aceptan si son mayores de 2047 bits.
Consulte el artículo Seguridad consistente mediante políticas criptográficas en Red Hat Enterprise Linux 8 en el Blog de Red Hat y la página man update-crypto-policies(8)
para más información.
(BZ#1591620)
OpenSSH rebasado a la versión 7.8p1
Los paquetes openssh
han sido actualizados a la versión 7.8p1. Los cambios notables incluyen:
-
Se ha eliminado la compatibilidad con el protocolo
SSH versión 1
. -
Se ha eliminado la compatibilidad con el código de autenticación de mensajes
hmac-ripemd160
. -
Se ha eliminado la compatibilidad con los cifrados RC4
(arcfour
). -
Se ha eliminado la compatibilidad con los cifrados
Blowfish
. -
Se ha eliminado la compatibilidad con los cifrados
CAST
. -
Se ha cambiado el valor por defecto de la opción
UseDNS
ano
. -
Desactivar los algoritmos de clave pública
DSA
por defecto. -
Se ha cambiado el tamaño mínimo del módulo para los parámetros
Diffie-Hellman
a 2048 bits. -
Se ha cambiado la semántica de la opción de configuración
ExposeAuthInfo
. -
La opción
UsePrivilegeSeparation=sandbox
es ahora obligatoria y no puede ser desactivada. -
Establezca el tamaño mínimo de clave
RSA
aceptado en 1024 bits.
(BZ#1622511)
La generación automática de claves del servidor OpenSSH
es ahora gestionada por sshd-keygen@.service
OpenSSH
crea automáticamente las claves de host del servidor RSA, ECDSA y ED25519 si no las tiene. Para configurar la creación de claves de host en RHEL 8, utilice el servicio instanciado sshd-keygen@.service
.
Por ejemplo, para desactivar la creación automática del tipo de clave RSA:
# systemctl mask sshd-keygen@rsa.service
Consulte el archivo /etc/sysconfig/sshd
para obtener más información.
(BZ#1228088)
Las claves ECDSA son compatibles con la autenticación SSH
Esta versión de la suite OpenSSH
introduce soporte para claves ECDSA almacenadas en tarjetas inteligentes PKCS #11. Como resultado, los usuarios pueden ahora utilizar tanto claves RSA como ECDSA para la autenticación SSH.
(BZ#1645038)
libssh
implementa SSH como componente criptográfico principal
Este cambio introduce libssh
como un componente criptográfico central en Red Hat Enterprise Linux 8. La biblioteca libssh
implementa el protocolo Secure Shell (SSH).
Tenga en cuenta que el lado del cliente de libssh
sigue la configuración establecida para OpenSSH
a través de las políticas criptográficas de todo el sistema, pero la configuración del lado del servidor no se puede cambiar a través de las políticas criptográficas de todo el sistema.
(BZ#1485241)
Soporte de TLS 1.3 en las bibliotecas criptográficas
Esta actualización habilita la seguridad de la capa de transporte (TLS) 1.3 por defecto en todas las principales bibliotecas criptográficas del back-end. Esto permite una baja latencia en la capa de comunicaciones del sistema operativo y mejora la privacidad y la seguridad de las aplicaciones al aprovechar los nuevos algoritmos, como RSA-PSS o X25519.
(BZ#1516728)
NSS ahora utiliza SQL por defecto
Las bibliotecas de los Servicios de Seguridad de la Red (NSS) utilizan ahora por defecto el formato de archivo SQL para la base de datos de confianza. El formato de archivo DBM, que se utilizaba como formato de base de datos por defecto en versiones anteriores, no admite el acceso concurrente a la misma base de datos por parte de varios procesos y ha quedado obsoleto en la versión anterior. Como resultado, las aplicaciones que utilizan la base de datos de confianza del NSS para almacenar claves, certificados e información de revocación ahora crean bases de datos en el formato SQL por defecto. Los intentos de crear bases de datos en el formato DBM heredado fallan. Las bases de datos DBM existentes se abren en modo de sólo lectura y se convierten automáticamente al formato SQL. Tenga en cuenta que NSS soporta el formato de archivo SQL desde Red Hat Enterprise Linux 6.
(BZ#1489094)
La compatibilidad de PKCS #11 con las tarjetas inteligentes y los HSM es ahora coherente en todo el sistema
Con esta actualización, el uso de tarjetas inteligentes y módulos de seguridad de hardware (HSM) con la interfaz de token criptográfico PKCS #11 se vuelve consistente. Esto significa que el usuario y el administrador pueden utilizar la misma sintaxis para todas las herramientas relacionadas en el sistema. Las mejoras más destacadas son:
- Compatibilidad con el esquema PKCS #11 Uniform Resource Identifier (URI) que garantiza una habilitación simplificada de los tokens en los servidores RHEL tanto para los administradores como para los escritores de aplicaciones.
-
Un método de registro en todo el sistema para tarjetas inteligentes y HSMs utilizando el
pkcs11.conf
. -
Las aplicaciones NSS, GnuTLS y OpenSSL (a través del motor
openssl-pkcs11
) disponen de un soporte consistente para HSM y tarjetas inteligentes. -
El servidor HTTP Apache
(httpd
) ahora soporta sin problemas los HSM.
Para más información, consulte la página man de pkcs11.conf(5)
.
(BZ#1516741)
Firefox ahora funciona con controladores PKCS #11 registrados en todo el sistema
El navegador web Firefox carga automáticamente el módulo p11-kit-proxy
y se detectan automáticamente todas las tarjetas inteligentes registradas en todo el sistema en p11-kit
a través del archivo pkcs11.conf
. Para utilizar la autenticación de cliente TLS, no se requiere ninguna configuración adicional y las claves de una tarjeta inteligente se utilizan automáticamente cuando un servidor las solicita.
(BZ#1595638)
RSA-PSS ya es compatible con OpenSC
Esta actualización añade soporte para el esquema de firma criptográfica RSA-PSS al controlador de la tarjeta inteligente OpenSC
. El nuevo esquema permite un algoritmo criptográfico seguro necesario para la compatibilidad con TLS 1.3 en el software cliente.
(BZ#1595626)
Cambios notables en Libreswan
en RHEL 8
Los paquetes libreswan
han sido actualizados a la versión 3.27, que proporciona muchas correcciones de errores y mejoras respecto a las versiones anteriores. Los cambios más notables son:
-
Se ha añadido soporte para RSA-PSS (RFC 7427) a través de
authby=rsa-sha2
, ECDSA (RFC 7427) a través deauthby=ecdsa-sha2
, CURVE25519 utilizando la palabra clavedh31
, yCHACHA20-POLY1305
para IKE y ESP a través de la palabra clave de cifradochacha20_poly1305
para el protocolo IKEv2. -
El soporte para el módulo alternativo del kernel KLIPS ha sido eliminado de
Libreswan
, ya que upstream ha dejado de lado KLIPS por completo. - Los grupos Diffie-Hellman DH22, DH23 y DH24 ya no son compatibles (según el RFC 8247).
Tenga en cuenta que la opción authby=rsasig
se ha cambiado para utilizar siempre el método RSA v1.5, y la opción authby=rsa-sha2
utiliza el método RSASSA-PSS. La opción authby=rsa-sha1
no es válida según el RFC 8247. Esta es la razón por la que Libreswan
ya no admite SHA-1 con firmas digitales.
(BZ#1566574)
Las políticas criptográficas del sistema cambian la versión de IKE por defecto en Libreswan a IKEv2
La versión de IKE por defecto en la implementación de Libreswan IPsec ha sido cambiada de IKEv1 (RFC 2409) a IKEv2 (RFC 7296). Los algoritmos IKE y ESP/AH por defecto para su uso con IPsec han sido actualizados para cumplir con las políticas criptográficas de todo el sistema, RFC 8221 y RFC 8247. Ahora se prefieren tamaños de clave de encriptación de 256 bits sobre tamaños de clave de 128 bits.
Los cifrados IKE y ESP/AH por defecto incluyen ahora AES-GCM, CHACHA20POLY1305 y AES-CBC para el cifrado. Para la comprobación de la integridad, proporcionan AEAD y SHA-2. Los grupos Diffie-Hellman contienen ahora DH19, DH20, DH21, DH14, DH15, DH16 y DH18.
Se han eliminado los siguientes algoritmos de las políticas IKE y ESP/AH por defecto: AES_CTR, 3DES, SHA1, DH2, DH5, DH22, DH23 y DH24. Con la excepción de DH22, DH23 y DH24, estos algoritmos pueden ser habilitados por la opción ike=
o phase2alg=/esp=/ah=
en los archivos de configuración de IPsec.
Para configurar las conexiones VPN IPsec que aún requieren el protocolo IKEv1, añada la opción ikev2=no
a los archivos de configuración de las conexiones. Consulte la página man de ipsec.conf(5
) para obtener más información.
(BZ#1645606)
Cambios relacionados con la versión de IKE en Libreswan
Con esta mejora, Libreswan maneja la configuración del intercambio de claves de Internet (IKE) de forma diferente:
- La versión de intercambio de claves de Internet (IKE) por defecto se ha cambiado de 1 a 2.
- Ahora las conexiones pueden utilizar el protocolo IKEv1 o IKEv2, pero no ambos.
Se ha cambiado la interpretación de la opción
ikev2
:-
Los valores
insisten
se interpreta como IKEv2-only. -
Los valores
no
ynever
se interpretan como IKEv1-only. -
Los valores
propuestos
,yes
y,permit
ya no son válidos y dan lugar a un error, porque no estaba claro qué versiones de IKE resultaban de estos valores
-
Los valores
(BZ#1648776)
Nuevas funciones de OpenSCAP
en RHEL 8
El paquete OpenSCAP
se ha actualizado a la versión 1.3.0, que introduce muchas mejoras con respecto a las versiones anteriores. Las características más notables son:
- Se han consolidado la API y la ABI - se han eliminado los símbolos actualizados, obsoletos y/o no utilizados.
-
Las sondas no se ejecutan como procesos independientes, sino como hilos dentro del proceso
oscap
. - Se ha actualizado la interfaz de la línea de comandos.
-
Los enlaces de
Python 2
han sido sustituidos por enlaces dePython 3
.
(BZ#1614273)
La Guía de Seguridad de SCAP
ahora admite políticas criptográficas para todo el sistema
Los paquetes scap-security-guide
han sido actualizados para utilizar políticas criptográficas predefinidas para todo el sistema para configurar los subsistemas criptográficos centrales. Se ha eliminado el contenido de seguridad que entraba en conflicto con las políticas criptográficas de todo el sistema o las anulaba.
Tenga en cuenta que este cambio sólo se aplica al contenido de seguridad en scap-security-guide
, y no es necesario actualizar el escáner OpenSCAP u otros componentes SCAP.
(BZ#1618505)
Se ha mejorado la interfaz de línea de comandos de OpenSCAP
El modo verboso está ahora disponible en todos los módulos y submódulos de oscap
. La salida de la herramienta tiene un formato mejorado.
Se han eliminado las opciones obsoletas para mejorar la usabilidad de la interfaz de la línea de comandos.
Las siguientes opciones ya no están disponibles:
-
-Se ha eliminado por completo
la opción de mostrar
enoscap xccdf generate report
. -
-Se ha eliminado
-probe-root
enoscap oval eval
. Se puede sustituir por la variable de entornoOSCAP_PROBE_ROOT
. -
-
-sce-results
enoscap xccdf eval
ha sido sustituido por--check-engine-results
-
el submódulo
validate-xml
ha sido eliminado de los módulos CPE, OVAL y XCCDF. Los submódulosvalidate
pueden ser utilizados en su lugar para validar el contenido SCAP contra los esquemas XML y los schematrons XSD. -
el comando
oscap oval list-probes
ha sido eliminado, la lista de sondas disponibles puede ser mostrada usandooscap --version
en su lugar.
OpenSCAP permite evaluar todas las reglas de un determinado benchmark XCCDF independientemente del perfil utilizando --profile '(all)'
.
(BZ#1618484)
El perfil PCI-DSS de la Guía de Seguridad SCAP se ajusta a la versión 3.2.1
Los paquetes scap-security-guide
proporcionan el perfil PCI-DSS (Payment Card Industry Data Security Standard) para Red Hat Enterprise Linux 8 y este perfil ha sido actualizado para alinearse con la última versión PCI-DSS - 3.2.1.
(BZ#1618528)
La guía de seguridad SCAP es compatible con OSPP 4.2
Los paquetes scap-security-guide
proporcionan un borrador del perfil OSPP (Perfil de protección para sistemas operativos de propósito general) versión 4.2 para Red Hat Enterprise Linux 8. Este perfil refleja los controles de configuración obligatorios identificados en el Anexo de configuración NIAP del Perfil de protección para sistemas operativos de propósito general (Perfil de protección versión 4.2). La Guía de seguridad de SCAP proporciona comprobaciones y scripts automatizados que ayudan a los usuarios a cumplir los requisitos definidos en el OSPP.
(BZ#1618518)
Cambios notables en rsyslog
en RHEL 8
Los paquetes rsyslog
han sido actualizados a la versión 8.37.0, que proporciona muchas correcciones de errores y mejoras con respecto a las versiones anteriores. Los cambios más notables son:
- Mejora del tratamiento de los mensajes internos de rsyslog; posibilidad de limitar su velocidad; se ha solucionado un posible bloqueo.
- Mejora de la limitación de la velocidad en general; ahora se registra el spam source real.
- Mejora de la gestión de los mensajes de gran tamaño: ahora el usuario puede establecer cómo tratarlos tanto en el núcleo como en determinados módulos con acciones independientes.
-
las bases de reglas de
mmnormalize
ahora pueden ser incrustadas en el archivo deconfiguración
en lugar de crear archivos separados para ellas. -
Todas las variables de
configuración
, incluidas las variables en JSON, ahora no distinguen entre mayúsculas y minúsculas. - Varias mejoras en la salida de PostgreSQL.
-
Se ha añadido la posibilidad de utilizar variables del shell para controlar el procesamiento de
la configuración
, como la carga condicional de archivos de configuración adicionales, la ejecución de sentencias o la inclusión de un texto en laconfiguración
. Tenga en cuenta que un uso excesivo de esta función puede dificultar mucho la depuración de problemas con rsyslog. -
Ahora se pueden especificar los modos de creación de archivos de 4 dígitos en la
configuración
. - La entrada del Protocolo de Registro de Eventos Confiables (RELP) puede ahora vincularse también sólo en una dirección especificada.
-
El valor por defecto de la opción
enable.body
de la salida de correo está ahora alineado con la documentación - El usuario puede ahora especificar los códigos de error de inserción que deben ser ignorados en la salida de MongoDB.
- La entrada de TCP paralelo (pTCP) tiene ahora el retraso configurable para un mejor equilibrio de la carga.
-
Para evitar los registros duplicados que podrían aparecer cuando
journald
rote sus archivos, se ha añadido la opciónimjournal
. Tenga en cuenta que el uso de esta opción puede afectar al rendimiento.
Tenga en cuenta que el sistema con rsyslog
puede ser configurado para proporcionar un mejor rendimiento como se describe en el artículo de la base de conocimientos Configuración del registro del sistema sin journald o con uso minimizado de journald.
(BZ#1613880)
Nuevo módulo rsyslog: omkafka
Para habilitar los escenarios de almacenamiento de datos centralizados de kafka, ahora puede reenviar los registros a la infraestructura de kafka utilizando el nuevo módulo omkafka
.
(BZ#1542497)
rsyslog imfile
ahora soporta enlaces simbólicos
Con esta actualización, el módulo rsyslog imfile
ofrece un mejor rendimiento y más opciones de configuración. Esto le permite utilizar el módulo para casos de uso de monitorización de archivos más complicados. Por ejemplo, ahora puede utilizar monitores de archivos con patrones glob en cualquier parte de la ruta configurada y rotar objetivos de enlaces simbólicos con un mayor rendimiento de datos.
(BZ#1614179)
El formato de archivo de configuración de rsyslog
por defecto es ahora no legado
Los archivos de configuración de los paquetes rsyslog
utilizan ahora el formato no legado por defecto. El formato heredado puede seguir utilizándose, sin embargo, la mezcla de declaraciones de configuración actuales y heredadas tiene varias limitaciones. Las configuraciones que se llevan de versiones anteriores de RHEL deben ser revisadas. Consulte la página man de rsyslog.conf(5)
para obtener más información.
(BZ#1619645)
Audit 3.0 sustituye audispd
por auditd
Con esta actualización, la funcionalidad de audispd
se ha trasladado a auditd
. Como resultado, las opciones de configuración de audispd
son ahora parte de auditd.conf
. Además, el directorio plugins.d
se ha trasladado a /etc/audit
. El estado actual de auditd
y sus plugins puede ahora comprobarse ejecutando el comando service auditd state
.
(BZ#1616428)
tangd_port_t
permite cambiar el puerto por defecto para Tang
Esta actualización introduce el tipo tangd_port_t
SELinux que permite que el servicio tangd
se ejecute como confinado con el modo de aplicación de SELinux. Este cambio ayuda a simplificar la configuración de un servidor Tang para que escuche en un puerto definido por el usuario y también preserva el nivel de seguridad proporcionado por SELinux en el modo de aplicación.
Consulte la sección Configuración del desbloqueo automático de volúmenes encriptados mediante el descifrado basado en políticas para obtener más información.
Nuevos booleanos de SELinux
Esta actualización de la política del sistema SELinux introduce los siguientes booleanos:
- colord_use_nfs
- mysql_connect_http
- pdns_can_network_connect_db
- ssh_use_tcpd
- sslh_can_bind_any_port
- sslh_can_connect_any_port
- virt_use_pcscd
Para obtener una lista de booleanos incluyendo su significado, y para saber si están activados o desactivados, instale el paquete selinux-policy-devel
y utilice
# semanage boolean -l
(JIRA:RHELPLAN-10347)
SELinux ahora soporta systemd No New Privileges
Esta actualización introduce la capacidad de la política nnp_nosuid_transition
que permite las transiciones de dominio de SELinux bajo No New Privileges
(NNP) o nosuid
si se permite nnp_nosuid_transition
entre los contextos antiguos y nuevos. Los paquetes selinux-policy
contienen ahora una política para los servicios systemd que utilizan la función de seguridad NNP
.
La siguiente regla describe la autorización de esta capacidad para un servicio:
allow source_domain target_type:process2 { nnp_transition nosuid_transition };
Por ejemplo:
allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };
La política de distribución ahora también contiene una interfaz de macros m4, que puede utilizarse en las políticas de seguridad de SELinux para los servicios que utilizan la función init_nnp_daemon_domain()
.
(BZ#1594111)
Soporte para una nueva comprobación de los permisos de los mapas en la llamada al sistema mmap
Se ha añadido el permiso de mapa
de SELinux para controlar el acceso mapeado en memoria a archivos, directorios, sockets, etc. Esto permite que la política de SELinux impida el acceso directo a la memoria de varios objetos del sistema de archivos y garantice que cada acceso de este tipo sea revalidado.
(BZ#1592244)
SELinux ahora soporta el permiso getrlimit
en la clase de proceso
Esta actualización introduce una nueva comprobación de control de acceso de SELinux, process:getrlimit
, que se ha añadido para la función prlimit()
. Esto permite a los desarrolladores de políticas SELinux controlar cuando un proceso intenta leer y luego modificar los límites de recursos de otro proceso usando el permiso process: setrlimit
. Tenga en cuenta que SELinux no restringe que un proceso manipule sus propios límites de recursos a través de prlimit( )
. Consulte las páginas man de prlimit (2
) y getrlimit(2)
para más información.
(BZ#1549772)
selinux-policy
ahora soporta etiquetas VxFS
Esta actualización introduce el soporte para los atributos extendidos de seguridad (xattrs) de Veritas File System (VxFS). Esto permite almacenar etiquetas SELinux adecuadas con objetos en el sistema de archivos en lugar del tipo genérico vxfs_t. Como resultado, los sistemas con VxFS con soporte completo para SELinux son más seguros.
(BZ#1483904)
Los indicadores de seguridad en tiempo de compilación se aplican de forma más coherente
Los indicadores de seguridad en tiempo de compilación se aplican de forma más coherente en los paquetes RPM de la distribución RHEL 8, y el paquete redhat-rpm-config
proporciona ahora automáticamente indicadores de seguridad. Los indicadores de compilación aplicados también ayudan a cumplir los requisitos de Common Criteria (CC). Se aplican los siguientes indicadores de seguridad:
-
Para la detección de errores de desbordamiento de búfer:
D_FORTIFY_SOURCE=2
-
Endurecimiento de la biblioteca estándar que comprueba las matrices, vectores y cadenas de C:
D_GLIBCXX_ASSERTIONS
-
Para el protector de pila (SSP):
fstack-protector-strong
-
Para endurecer las excepciones:
fexceptions
-
Para Control-Flow Integrity (CFI):
fcf-protection=full
(sólo en arquitecturas AMD e Intel de 64 bits) -
Para la aleatorización del espacio de direcciones (ASLR):
fPIE
(para ejecutables) ofPIC
(para bibliotecas) -
Para la protección contra la vulnerabilidad Stack Clash:
fstack-clash-protection
(excepto ARM) -
Banderas de enlace para resolver todos los símbolos al inicio: -
Wl
,-z,now
Consulte la página de manual de gcc(1
) para obtener más información.
(JIRA:RHELPLAN-2306)
5.1.16. Virtualización
qemu-kvm
2.12 en RHEL 8
Red Hat Enterprise Linux 8 se distribuye con qemu-kvm
2.12. Esta versión corrige múltiples errores y añade una serie de mejoras sobre la versión 1.5.3, disponible en Red Hat Enterprise Linux 7.
En particular, se han introducido las siguientes características:
- Q35 tipo de máquina huésped
- Arranque de invitados UEFI
- Ajuste de NUMA y pinning en el huésped
- conexión y desconexión en caliente de la vCPU
- hilos de E/S para invitados
Tenga en cuenta que algunas de las funciones disponibles en qemu-kvm
2.12 no son compatibles con Red Hat Enterprise Linux 8. Para obtener información detallada, consulte "Soporte de funciones y limitaciones en la virtualización de RHEL 8" en el Portal del cliente de Red Hat.
(BZ#1559240)
El tipo de máquina Q35 es ahora compatible con la virtualización
Red hat Enterprise Linux 8 introduce la compatibilidad con Q35, un tipo de máquina más moderna basada en PCI Express. Esto proporciona una variedad de mejoras en las características y el rendimiento de los dispositivos virtuales, y asegura que una gama más amplia de dispositivos modernos sean compatibles con la virtualización. Además, las máquinas virtuales creadas en Red Hat Enterprise Linux 8 están configuradas para utilizar Q35 por defecto.
Tenga en cuenta también que el tipo de máquina PC, que antes era el predeterminado, ha quedado obsoleto y sólo debe utilizarse cuando se virtualicen sistemas operativos antiguos que no admitan Q35.
(BZ#1599777)
KVM soporta UMIP en RHEL 8
La virtualización KVM soporta ahora la función de prevención de instrucciones en modo usuario (UMIP), que puede ayudar a evitar que las aplicaciones del espacio de usuario accedan a la configuración de todo el sistema. Esto reduce los vectores potenciales de ataques de escalada de privilegios y, por tanto, hace que el hipervisor KVM y sus máquinas invitadas sean más seguros.
(BZ#1494651)
Información adicional en los informes de fallos de los huéspedes de KVM
Se ha ampliado la información sobre fallos que el hipervisor KVM genera si un huésped termina inesperadamente o deja de responder. Esto facilita el diagnóstico y la solución de problemas en las implementaciones de virtualización de KVM.
(BZ#1508139)
NVIDIA vGPU ahora es compatible con la consola VNC
Cuando se utiliza la función de GPU virtual (vGPU) de NVIDIA, ahora es posible utilizar la consola VNC para mostrar la salida visual del huésped.
(BZ#1497911)
Ceph es compatible con la virtualización
Con esta actualización, el almacenamiento Ceph es compatible con la virtualización KVM en todas las arquitecturas de CPU soportadas por Red Hat.
(BZ#1578855)
Cargador de arranque interactivo para máquinas virtuales KVM en IBM Z
Al arrancar una máquina virtual KVM en un host IBM Z, el firmware del cargador de arranque QEMU puede ahora presentar una interfaz de consola interactiva del SO invitado. Esto hace posible solucionar los problemas de arranque del SO invitado sin acceder al entorno del host.
(BZ#1508137)
IBM z14 ZR1 soportado en máquinas virtuales
El hipervisor KVM ahora soporta el modelo de CPU del servidor IBM z14 ZR1. Esto permite utilizar las características de esta CPU en las máquinas virtuales KVM que se ejecutan en un sistema IBM Z.
(BZ#1592337)
KVM soporta Telnet 3270 en IBM Z
Cuando se utiliza RHEL 8 como host en un sistema IBM Z, ahora es posible conectarse a máquinas virtuales en el host utilizando clientes Telnet 3270.
(BZ#1570029)
Se ha añadido el sandboxing de QEMU
En Red Hat Enterprise Linux 8, el emulador QEMU introduce la característica de sandboxing. El sandboxing de QEMU proporciona limitaciones configurables a las llamadas de sistemas que QEMU puede realizar, y por lo tanto hace que las máquinas virtuales sean más seguras. Tenga en cuenta que esta característica está habilitada y configurada por defecto.
(JIRA:RHELPLAN-10628)
Nuevos tipos de máquinas virtuales KVM en IBM POWER
Se han habilitado varios tipos nuevos de máquinas rhel-pseries para hipervisores KVM que se ejecutan en sistemas IBM POWER 8 e IBM POWER 9. Esto hace posible que las máquinas virtuales (VM) alojadas en RHEL 8 en un sistema IBM POWER utilicen correctamente las características de la CPU de estos tipos de máquinas. Además, esto permite migrar las máquinas virtuales en IBM POWER a una versión más reciente del hipervisor KVM.
(BZ#1585651, BZ#1595501)
Los sistemas ARM 64 ahora admiten máquinas virtuales con hasta 384 vCPUs
Cuando se utiliza el hipervisor KVM en un sistema ARM 64, ahora es posible asignar hasta 384 CPUs virtuales (vCPUs) a una sola máquina virtual (VM).
Tenga en cuenta que el número de CPUs físicas en el host debe ser igual o mayor que el número de vCPUs adjuntas a sus VMs, porque RHEL 8 no soporta el overcommitting de vCPUs.
(BZ#1422268)
Juegos de instrucciones GFNI y CLDEMOT habilitados para Intel Xeon SnowRidge
Las máquinas virtuales (VM) que se ejecutan en un host RHEL 8 en un sistema Intel Xeon SnowRidge ahora pueden utilizar los conjuntos de instrucciones GFNI y CLDEMOT. Esto puede aumentar significativamente el rendimiento de dichas VMs en ciertos escenarios.
(BZ#1494705)
IPv6 habilitado para OVMF
El protocolo IPv6 está ahora habilitado en Open Virtual Machine Firmware (OVMF). Esto hace posible que las máquinas virtuales que utilizan OVMF se beneficien de una serie de mejoras en el arranque de la red que proporciona IPv6.
(BZ#1536627)
Se ha añadido un controlador de bloque basado en VFIO para dispositivos NVMe
El emulador QEMU introduce un controlador basado en la función virtual de E/S (VFIO) para dispositivos de memoria no volátil Express (NVMe). El controlador se comunica directamente con los dispositivos NVMe conectados a las máquinas virtuales (VM) y evita el uso de la capa de sistema del kernel y sus controladores NVMe. Como resultado, esto mejora el rendimiento de los dispositivos NVMe en las máquinas virtuales.
(BZ#1519004)
Soporte multicanal para el controlador UIO genérico de Hyper-V
RHEL 8 admite ahora la función multicanal para el controlador de E/S de espacio de usuario (UIO) genérico de Hyper-V. Esto hace posible que las máquinas virtuales de RHEL 8 que se ejecutan en el hipervisor Hyper-V utilicen el controlador de modo de sondeo Netvsc (PMD) del kit de desarrollo del plano de datos (DPDK), que mejora las capacidades de red de estas máquinas virtuales.
Tenga en cuenta, sin embargo, que el estado de la interfaz Netvsc se muestra actualmente como Down incluso cuando se está ejecutando y es utilizable.
(BZ#1650149)
Mejora de la compatibilidad con páginas enormes
Cuando se utiliza RHEL 8 como host de virtualización, los usuarios pueden modificar el tamaño de las páginas que respaldan la memoria de una máquina virtual (VM) a cualquier tamaño que sea soportado por la CPU. Esto puede mejorar significativamente el rendimiento de la VM.
Para configurar el tamaño de las páginas de memoria de la VM, edite la configuración XML de la VM y añada el elemento <hugepages> a la sección <memoryBacking>.
(JIRA:RHELPLAN-14607)
5.1.17. Soporte
sosreport puede informar sobre programas y mapas basados en eBPF
La herramienta sosreport ha sido mejorada para reportar cualquier programa y mapa de Filtrado de Paquetes Berkeley extendido (eBPF) cargado en Red Hat Enterprise Linux 8.
(BZ#1559836)