7.4 リリースノート

Red Hat Enterprise Linux 7

Red Hat Enterprise Linux 7.4 リリースノート

Red Hat Customer Content Services

概要

本リリースノートでは、Red Hat Enterprise Linux 7.4 での改良点や実装された追加機能の概要、本リリースにおける既知の問題などについて説明しています。また、重要なバグ修正、テクニカルプレビュー、使用されなくなった機能などの詳細も説明しています。

前書き

機能拡張、セキュリティー、バグ修正によるエラータなどを集約したものが Red Hat Enterprise Linux のマイナーリリースになります。『Red Hat Enterprise Linux 7.4 リリースノート』 では、今回のマイナーリリースで Red Hat Enterprise Linux 7 オペレーティングシステムと付随するアプリケーションに追加された主要な変更について説明しています。また、既知の問題および現在利用可能なテクノロジープレビューの完全一覧も記載されています。
他のバージョンと比較した Red Hat Enterprise Linux 7 の機能および制限については https://access.redhat.com/articles/rhel-limits にある Red Hat ナレッジベースの記事を参照してください。
本リリースで配布されるパッケージは、Red Hat Enterprise Linux 7 パッケージマニフェスト で確認できます。Red Hat Enterprise Linux 6 からの移行については、移行計画ガイド を参照してください。
Red Hat Enterprise Linux のライフサイクルについては https://access.redhat.com/support/policy/updates/errata/ をご覧ください。

第1章 概要

セキュリティー

  • Red Hat Enterprise Linux 7.4 では、Network Bound Disk Encryption (NBDE) のサポートが導入されました。これを使用すると、システムの再起動時にパスワードを手動で入力せずにベアメタルマシン上のハードドライブの root ボリュームを暗号化できます。
  • USBGuard ソフトウェアフレームワークが割り込み USB デバイスに対するシステム保護を提供します。これは、デバイス属性をベースにしたホワイトリストとブラックリスト登録機能の実装によってもたらされます。
  • OpenSSH ライブラリー更新に Secure File Transfer Protocol (SFTP) で中断したアップロードを再開する機能が含まれ、SHA-256 アルゴリズムを使用する新たなフィンガープリントタイプのサポートが追加されます。この OpenSSH バージョンは、SSH-1 プロトコルのサーバー側のサポートを削除します。
  • 複数の新規 audit 機能が追加され、管理が容易になったほか、監査システムがログ記録したイベントをフィルターできるようになっています。また、重大イベントからより多くの情報を収集し、多数のレコードを解釈できるようになっています。
  • ライブラリーおよびユーティリティーの OpenSC セットが Common Access Card (CAC) のサポートを追加し、CoolKey アプレットの機能も提供しています。
  • OpenSSL 更新に Transport Layer Security (TLS) バージョン 1.2 のプロトコルのサポートや Application-Layer Protocol Negotiation (ALPN) のサポートといった複数の機能拡張が含まれています。
  • OpenSCAP ツールが NIST 認証となり、規制環境での採用が容易になりました。
  • 安全とみなされていなかった暗号化プロトコルとアルゴリズムが廃止され、その他の多くの暗号化関連の改善が導入されています。詳細については、39章非推奨の機能 と Red Hat カスタマーポータルのナレッジベース記事 Enhancing the Security of the Operating System with Cryptography Changes in Red Hat Enterprise Linux 7.4 を参照してください。
セキュリティー機能拡張に関する詳細は、15章セキュリティー を参照して下さい。

Identity Management

  • コンテナー内の System Security Services Daemon (SSSD) に完全対応となりました。Identity Management (IdM) サーバーのコンテナーは、テクノロジープレビュー機能として利用可能です。
  • FIPS モードが有効であるシステムに、新規の Identity Management サーバー、レプリカ、およびクライアントがインストール可能となりました。
  • スマートカード認証に関連する機能拡張が導入されています。
IdM の変更に関する詳細情報は、5章認証および相互運用性 を参照してください。IdM 関連で廃止となった機能についての詳細は、39章非推奨の機能 を参照してください。

ネットワーク

  • NetworkManager がルーティングの新機能に対応するようになり、Media Access Control Security (MACsec) テクノロジーが有効となったほか、アンマネージドデバイスの処理も可能になっています。
  • Kernel Generic Routing Encapsulation (GRE) トンネリングが強化されました。
ネットワーク機能に関する詳細は、14章ネットワーク を参照して下さい。

ストレージ

  • LVM が RAID 構成の引き継ぎを完全サポートしており、RAID 論理ボリュームをある RAID レベルから別のレベルに変換可能としています。また、RAID の変更では、RAID のアルゴリズム、ストライプサイズ、またはイメージ数などのプロパティーの変更が可能になっています。
ストレージ関連の機能については、17章ストレージ を参照してください。

ツール

  • Performance Co-Pilot (PCP) アプリケーションの機能が拡張され、pcp2influxdbpcp-mpstat、および pcp-pidstat といった新クライアントツールに対応するようになりました。また、各種 Performance Co-Pilot 分析ツール向けに新たな PCP パフォーマンスメトリクスがサブシステムから入手可能となっています。
各種ツールについてのアップデートについては、7章コンパイラーとツール を参照してください。

高可用性

  • Red Hat Enterprise Linux 7.4 では、以下の機能を完全にサポートしています。
    • クラスター構成フォーマットの変換および分析用のツール clufter
    • ストレッチクラスターを管理するための Pacemaker クラスターにおけるクォーラムデバイス (QDevice)
    • Booth クラスターチケットマネージャー
本リリースで導入された高可用性の機能に関する詳細は、6章クラスタリング を参照してください。

管理と自動化

  • Red Hat Enterprise Linux 7.4 には Ansible による Red Hat Enterprise Linux System Roles が含まれています。これは、Red Hat Enterprise Linux デプロイメントの管理とメンテナンスを簡素化する設定インターフェースです。この機能はテクノロジープレビューとして利用可能です。
詳細は 33章Ansible を使った Red Hat Enterprise Linux System Roles を参照してください。

Red Hat Insights

Red Hat Enterprise Linux 7.2 以降では、Red Hat Insights サービスが利用可能になっています。Red Hat Insights は、使用中のデプロイメントに影響が及ぶ前に既知の技術的問題を特定し、分析、解決することを可能にするよう設計されたプロアクティブなサービスです。Insights は Red Hat Support Engineers、文書化されたソリューション、および解決済みの問題からなる複合情報を活用して、システム管理者に関連性のある実行可能な情報を提供します。
このサービスは、カスタマーポータル https://access.redhat.com/insights/ または Red Hat Satellite でホストされており、そこから提供されます。ご使用中のシステムを登録するには、Getting Started Guide for Insights にある手順に従ってください。データセキュリティーや制限に関する詳細情報は、https://access.redhat.com/insights/splash/ を参照してください。

Red Hat Customer Portal Labs

Red Hat Customer Portal Labs はカスタマーポータルにあるツールセットで、https://access.redhat.com/labs/ から入手できます。Red Hat Customer Portal Labs のアプリケーションは、パフォーマンスの改善、迅速なトラブルシュート、セキュリティー問題の特定、複雑なアプリケーションの迅速なデプロイと設定に役立ちます。一般的なアプリケーションは以下の通りです。

第2章 アーキテクチャー

Red Hat Enterprise Linux 7.4 は以下のアーキテクチャーに単体で使用できます。[1]
  • 64 ビット AMD
  • 64 ビット Intel
  • IBM POWER7+ および POWER8 (Big Endian 版) [2]
  • IBM POWER8 (Little Endian 版) [3]
  • IBM z Systems [4]


[1] Red Hat Enterprise Linux 7.4 は 64 ビットのハードウェアでのインストールにしか対応していないことに注意してください。ただし、仮想マシンとしてであれば 32 ビットのオペレーティングシステム (Red Hat Enterprise Linux の旧バージョンなど) を実行させることができます。
[2] Red Hat Enterprise Linux 7.4 (Big Endian 版) は現在、Red Hat Enterprise Virtualization for Power の KVM ゲストとして、また PowerVM でサポートされています。
[3] Red Hat Enterprise Linux 7.4 (Little Endian 版) は現在、Red Hat Enterprise Virtualization for Power の KVM ゲストとして、また PowerVM および PowerNV (ベアメタル) でサポートされています。
[4] Red Hat Enterprise Linux 7.4 が対応するのは IBM zEnterprise 196 ハードウェアまたはそれ以降になります。IBM System z10 メインフレームのシステムには対応しなくなるため、Red Hat Enterprise Linux 7.4 は起動しなくなります。

第3章 外部のカーネルパラメーターに対する重要な変更

本章では、システム管理者向けに Red Hat Enterprise Linux 7.4 に含まれるカーネルの重要な変更点についてまとめています。これらの変更には、proc エントリー、sysctlsysfs デフォルト値、boot パラメーター、カーネル設定オプションの追加や更新、また注目すべき動作の変更などが含まれます。

更新された /proc/sys/kernel エントリー

hung_task_panic
応答しないタスクが検出されたときにカーネルの動作を制御します。このファイルは CONFIG_DETECT_HUNG_TASK が有効な場合に使用されます。
形式: { "0" | "1" }
0 - 処理が続行されます (デフォルトの動作)。
1 - すぐにパニックが発生します。
hung_task_check_count
チェックされたタスクの数の上限を提供します。このファイルは、CONFIG_DETECT_HUNG_TASK が有効な場合に使用されます。
hung_task_timeout_secs
間隔をチェックします。D 状態のタスクがこの値よりも長い時間スケジュールされない場合に警告が報告されます。このファイルは、CONFIG_DETECT_HUNG_TASK が有効な場合に使用されます。
0 - 無制限のタイムアウト。チェックは実行されません。
hung_task_warning
チェック間隔の間に報告する警告の最大数を提供します。この値に達すると、それ以上警告は報告されません。このファイルは、CONFIG_DETECT_HUNG_TASK が有効な場合に使用されます。
-1 - 無限の数の警告を報告します。
panic_on_rcu_stall
1 に設定された場合は、RCU ストール検出メッセージの都に panic() 関数を呼び出します。これは、vmcore を使用した RCU ストールの原因を定義する場合に役に立ちます。
0 - RCU ストールが発生した場合にパニックが発生しません (デフォルトの動作)。
1 - RCU ストールメッセージの出力後にパニックが発生します。

更新された /proc/sys/user エントリー

/proc/sys/user ディレクトリーのファイルを使用して、名前空間と、ユーザーごとに名前空間の制限がある他のオブジェクトの数のデフォルト制限を上書きできます。これらの制限の目的は、誤作動で大量のオブジェクトを作成しようとするプログラムを停止することです。これらの制限のデフォルト値は、正常に動作しているプログラムがその制限に到達できないよう調整されます。
ユーザーごとの名前空間オブジェクトの作成は、オブジェクトを作成し、そのユーザー名前空間のユーザーごとの制限未満であることが検証されたユーザー名前空間のユーザーに対して行われます。このようなオブジェクトの作成は、ユーザー名前空間で行われ、ユーザー名前空間を作成したすべてのユーザーに対しても行われます。
このように作成されたオブジェクトを再帰的にカウントすることにより、ユーザー名前空間の作成でユーザーが現在の制限を超えないようになります。
/proc/sys/user の更新されたファイルは以下のとおりです。
max_cgroup_namespaces
現在のユーザー名前空間のどのユーザーでも作成できる cgroup 名前空間の最大数。
max_ipc_namespaces
現在のユーザー名前空間のどのユーザーでも作成できる ipc 名前空間の最大数。
max_mnt_namespaces
現在のユーザー名前空間のどのユーザーでも作成できる mount 名前空間の最大数。
max_net_namespaces
現在のユーザー名前空間のどのユーザーでも作成できる network 名前空間の最大数。
max_pid_namespaces
現在のユーザー名前空間のどのユーザーでも作成できる pid 名前空間の最大数。
max_user_namespaces
現在のユーザー名前空間のどのユーザーでも作成できるユーザー名前空間の最大数。
max_uts_namespaces
現在のユーザー名前空間のどのユーザーでも作成できるユーザー名前空間の最大数。

カーネルのパラメーター

acpi_force_table_verification [HW,ACPI]
初期の段階でテーブルチェックサムの検証を有効にします。デフォルトでは、x86 の初期マッピングサイズの制限のため無効になります。
acpi_no_auto_ssdt [HW,ACPI]
Secondary System Description Table (SSDT) の自動ロードを無効にします。
acpi_no_static_ssdt [HW,ACPI]
初期起動時に静的な SSDT のインストールを無効にします。デフォルトでは、RSDT/XSDT に含まれる SSDT は自動的にインストールされ、/sys/firmware/acpi/tables ディレクトリーに格納されます。
このオプションを使用すると、この機能が無効になります。このオプションを指定しても、SSDT テーブルを /sys/firmware/acpi/tables/dynamic ディレクトリーにインストールする動的なテーブルインストールは影響を受けません。
irqaffinity= [SMP] Set the default irq affinity mask
形式: <cpu number>,..., <cpu number>
または
<cpu number>-<cpu number>
正の範囲を昇順で使用したり、組み合わせたりできます。
<cpu number>,...,<cpu number>-<cpu number>
nokaslr [KNL]]
初期起動時に静的な SSDT のインストールを無効にします。デフォルトでは、RSDT/XSDT に含まれる SSDT は自動的にインストールされ、/sys/firmware/acpi/tables ディレクトリーに格納されます。
CONFIG_RANDOMIZE_BASE が設定された場合に、カーネルおよびモジュールベースオフセットの Address SpaceLayout Randomization (ASLR) を無効にします。
nohibernate
ハイバネーションと再開を無効にします。
crash_kexec_post_notifiers
panic-notifiers を実行し、kmsg をダンプしたあとに、kdump を実行します。
[PCI] hpbussize=nn
ホットプラグブリッジ以下のバスに予約された追加バス最小数を提供します。デフォルト値は 1 です。
pcie_port_pm=[PCIE]
ホットプラグブリッジ以下のバスに予約された追加バス最小数を提供します。デフォルト値は 1 です。
pcie_port_pm=[PCIE]
PCIe ポートの電源管理処理:
形式: { "off" | "force" }
off - すべての PCIe ポートの電源管理を無効にします。
1 - すべての PCIe ポートの電源管理を有効にします。
sunrpc.svc_rpc_per_connection_limit=[NFS,SUNRPC]
サーバーが単一の接続から同時に処理する要求の数を制限します。デフォルト値は 0 (制限なし) です。

パート I. 新しい機能

ここでは Red Hat Enterprise Linux 7.4 の新機能について説明します。

第4章 全般的な更新

Red Hat Enterprise Linux 6 から Red Hat Enterprise Linux 7 へのインプレースアップグレード

インプレースアップグレードでは、既存のオペレーティングシステムを置換して Red Hat Enterprise Linux の新たなメジャーリリースにシステムをアップグレードします。インプレースアップグレードを実行するには、実際のアップグレード実行前にすべてのアップグレード問題を検査するユーティリティーである Preupgrade Assistant を使用します。これは、Red Hat Upgrade Tool 用の追加スクリプトも提供します。Preupgrade Assistant が報告する問題すべてを解決したら、Red Hat Upgrade Tool を使ってシステムをアップグレードします。
手順およびサポートされるシナリオの詳細については、移行計画ガイド および Red Hat Enterprise Linux 6 から Red Hat Enterprise Linux 7 への移行方法 を参照してください。.
Preupgrade Assistant および Red Hat Upgrade Tool は Red Hat Enterprise Linux 6 Extras チャンネルから入手できます。Red Hat Enterprise Linux Extras の製品ライフサイクル を参照してください。(BZ#1432080)

第5章 認証および相互運用性

コンテナー内の SSSD を完全サポート

System Security Services Daemon (SSSD) を提供する rhel7/sssd コンテナーイメージがテクノロジープレビューではなく、完全サポートとなりました。rhel7/ipa-server コンテナーイメージはテクノロジープレビューのままであることに留意してください。
詳細は Using Containerized Identity Management Services を参照してください。(BZ#1467260)

Identity Management が FIPS をサポート

今回の機能拡張では、Identity Management (IdM) が連邦情報処理標準 (FIPS: Federal Information Processing Standard) をサポートするようになりました。これにより、FIPS に合致する必要のある環境での IdM の稼働が可能になっています。FIPS モードを有効にして IdM を稼働するには、FIPS モードを有効にした Red Hat Enterprise Linux 7.4 を使用して IdM 環境内の全サーバーを設定する必要があります。
以下の点に注意してください。
  • FIPS モードを無効にしてインストールした既存の IdM サーバーで FIPS モードを有効にすることはできません。
  • FIPS モードが無効になっている既存の IdM サーバーに FIPS サポートを有効にした新規レプリカをインストールすることはできません。
詳細は Linux ドメイン ID、認証、およびポリシーガイド を参照してください。(BZ#1125174)

スマートカード認証の際に、SSSD が Kerberos チケットの取得をサポート

System Security Services Daemon (SSSD) が Kerberos PKINIT 事前承認メカニズムをサポートするようになりました。Identity Management (IdM) ドメインに登録済みのデスクトップクライアントシステムにスマートカードで認証する際に、認証が成功するとユーザーは有効な Kerberos チケット保証チケット (TGT) を受け取ります。ユーザーはこの TGT を使って、クライアントシステムからさらにシングルサインオン (SSO) 認証をすることができます。

SSSD で同一のスマートカード証明書を使って別のユーザーアカウントにログイン可能

これまでは System Security Services Daemon (SSSD) では、各証明書が単一ユーザーに一意にマッピングされている必要がありました。スマートカード認証を使用すると、複数のアカウントがあるユーザーは同一のスマートカード証明書ではすべてのアカウントにログインできませんでした。例えば、個人のアカウントと機能アカウント (データベース管理者アカウントなど) を持つユーザーは個人アカウントにしかログインできませんでした。
今回の更新により、SSSD で証明書が一意に単一ユーザーにマッピングされる必要性がなくなりました。このため、ユーザーは単一のスマートカード証明書を使って異なるアカウントにログインできます。

IdM ウェブ UI でスマートカードを使用したログインが可能

Identity Management ウェブ UI を使用してユーザーがスマートカードを使用したログインをできるようになりました。

新パッケージ: keycloak-httpd-client-install

keycloak-httpd-client-install パッケージは、Red Hat シングルサインオン (RH-SSO、Keycloak とも呼ぶ) でフェデレーションを行った Identity Provider (IdP) クライアントとして登録する際に、Apache httpd 認証モジュールを自動化および簡素化する各種のライブラリーとツールを提供します。
RH-SSO に関する詳細情報は、https://access.redhat.com/products/red-hat-single-sign-on を参照してください。
今回の更新の一部として、以下の新規依存関係が Red Hat Enterprise Linux に追加されました。
  • python-requests-oauthlib パッケージ: python-requests パッケージ向けの OAuth ライブラリーサポートを提供します。これにより python-requests は認証に OAuth を使用できるようになります。
  • python-oauthlib パッケージ: これは Python ライブラリーで、OAuth 認証メッセージ作成および消費を提供します。メッセージを転送するツールと併せて使用するものです。(BZ#1401781, BZ#1401783, BZ#1401784)

新 Kerberos 認証情報キャッシュタイプ: KCM

今回の更新では、kcm と呼ばれる新たな SSSD サービスが追加されました。このサービスは sssd-kcm サブパッケージに格納されています。
kcm サービスをインストールする際には、KCM と呼ばれる新しいタイプの認証情報キャッシュを使用するように Kerberos ライブラリーを設定できます。KCM 認証情報キャッシュタイプが設定されると、sssd-kcm サービスが認証情報を管理します。
KCM 認証情報キャッシュタイプは、コンテナー化された環境に適しています。
  • KCM を使用すると、kcm サービスがリッスンする UNIX ソケットのマウントを基に、コンテナー間で認証情報キャッシュがオンデマンドで共有できます。
  • RHEL がデフォルトで使用する KEYRING 認証情報キャッシュタイプとは異なり、kcm サービスは kernel の外のユーザースペースで稼働します。KCM の場合、kcm サービスを実行できるのは、選択したコンテナーのみになります。KEYRING の場合は、全コンテナーが kernel を共有するので、認証情報キャッシュも共有することになります。
また、KCM 認証情報キャッシュタイプは、FILE キャッシュタイプとは異なり、キャッシュコレクションをサポートします。
詳細は、sssd-kcm(8) man ページを参照してください。(BZ#1396012)

AD ユーザーがウェブ UI にログインしてセルフサービスページにアクセス可能

これまでは Active Directory (AD) ユーザーはコマンドラインから kinit ユーティリティーを使ってしか認証できませんでした。今回の更新により、AD ユーザーは Identity Management (IdM) ウェブ UI にもログインできるようになりました。AD ユーザーがログイン可能となるには、IdM 管理者がそのユーザーの ID 上書きを作成する必要があることに留意してください。
これにより、AD ユーザーは IdM ウェブ UI からセルフサービスにアクセスできます。セルフサービスページには、AD ユーザーの ID 上書きから情報が表示されます。

SSSD で SSSD サーバーモードによる AD サブドメインの設定が可能

これまでは System Security Services Daemon (SSSD) は自動的に信頼される Active Directory (AD) ドメインを設定していました。今回の更新により SSSD では、登録済みドメインと同じ方法で信頼される AD ドメインの特定パラメーターを設定できるようになりました。
これにより、SSSD が通信するドメインコントローラーといった、信頼されるドメインの個別設定が可能になっています。これを実行するには、/etc/sssd/sssd.conf ファイル内に以下の形式に従った名前のセクションを作成します。
[domain/main_domain/trusted_domain]
例えば、メインの IdM ドメイン名が ipa.com で信頼される AD ドメイン名が ad.com の場合、セクション名は以下のようになります。
[domain/ipa.com/ad.com]
(BZ#1214491)

SSSD が AD 環境でユーザーおよびグループ検索と短い名前での認証に対応

これまでは System Security Services Daemon (SSSD) は、デーモンがスタンドアロンドメインに参加した場合にのみ、ユーザーおよびグループの解決でドメイン要素のないユーザー名 (短い名前とも呼ぶ) に対応していました。今回の更新により、以下の環境で全 SSSD ドメインにおいてこの目的で短い名前を使用することができます。
  • Active Directory (AD) に参加しているクライアント
  • AD フォレストとの信頼関係がある Identity Management (IdM) デプロイメント
短い名前を使用する場合でも、全コマンドの出力形式は常に完全修飾になります。この機能は、以下のいずれか方法で (上から望ましい順) ドメインの解決順序を設定した後、デフォルトで有効になります。
  • ローカルで /etc/sssd/sssd.conf ファイルの [sssd] セクションにある domain_resolution_order オプションを使用してリストを設定する。
  • ID ビューを使用する。
  • グローバルで IdM 設定を使用する。
この機能を無効にするには、/etc/sssd/sssd.conf ファイルの [domain/example.com] セクションで use_fully_qualified_names オプションを True に設定します。(BZ#1330196)

SSSD が UID や SID の設定なしで、ユーザーおよびグループ解決、認証、承認をサポート

通常の System Security Services Daemon (SSSD) デプロイメントでは、ユーザーとグループには POSIX 属性セットがあるか、Windows セキュリティー識別子 (SID) に基づいて SSSD がユーザーとグループを解決できるようになっています。
今回の更新により、LDAP を ID プロバイダーとして使用する設定では、UID や SID が LDAP ディレクトリーにない場合でも、SSSD は以下の機能に対応するようになっています。
  • D-Bus インターフェースによるユーザーおよびグループの解決。
  • プラグ可能な認証モジュール (PAM) インターフェースを使った認証および承認。(BZ#1425891)

SSSD で sssctl user-checks コマンドが導入され、単一操作内での基本的 SSSD 機能を確認

sssctl ユーティリティーに新規コマンド user-checks が含まれるようになりました。sssctl user-checks コマンドは、System Security Services Daemon (SSSD) をユーザー検索、認証、および承認のためのバックエンドとして使用するアプリケーションにおけるデバッグ問題に役立ちます。
  • sssctl user-checks [USER_NAME] コマンドは、Name Service Switch (NSS) と D-Bus インターフェースの InfoPipe レスポンダーから利用可能なユーザーデータを表示します。このデータは、ユーザーが system-auth のプラグ可能な認証モジュール (PAM) サービスを使用してログインする権限があるかどうかを表示します。
  • sssctl user-checks が受け付ける追加オプションは、認証もしくは別の PAM サービスをチェックします。
sssctl user-checks に関する詳細は、sssctl user-checks --help コマンドを使用してください。(BZ#1414023)

secrets をサービスとしてサポート

今回の更新では、レスポンダー secrets が System Security Services Daemon (SSSD) に追加されました。このレスポンダーを使用すると、アプリケーションは Custodia API を使用して UNIX ソケット経由で SSSD と通信できるようになります。これにより SSSD は、ローカルデータベースに秘密を保存するか、Custodia サーバーに転送することが可能になりました (BZ#1311056)。

Directory Server が SSHA_512 パスワード保存スキームをデフォルトで使用

これまでは Directory Server は、160-bit のソルトを使用した弱いセキュアハッシュアルゴリズム (SSHA) を cn=config エントリーの passwordStorageSchemensslapd-rootpwstoragescheme パラメーターで設定するデフォルトのパスワード保存アルゴリズムとして使用していました。セキュリティーを強化するため、これら両方のパラメーターのデフォルトがより強力な 512-bit SSHA スキーム (SSHA_512) に変更されています。
新たなデフォルトは以下の場合に使用されます。
  • Directory Server の新規インストール時
  • passwordStorageScheme パラメーターが設定されておらず、userPassword 属性に保存されているパスワードを更新する際
  • nsslapd-rootpwstoragescheme パラメーターが設定されておらず、nsslapd-rootpw 属性で設定されている Directory Server のパスワードを更新する際 (BZ#1425907)

Directory Server が tcmalloc メモリーアロケーターを使用

Red Hat Directory Server が tcmalloc メモリーアロケーターを使用するようになりました。これまで使用していた標準の glibc アロケーターはより多くのメモリーを必要とし、状況によってはサーバーでメモリー不足となる場合がありました。tcmalloc メモリーアロケーターを使用することで、Directory Server で必要となるメモリーが抑えられ、パフォーマンスが向上します。(BZ#1426275)

Directory Server が nunc-stans フレームワークを使用

nunc-stans イベントベースフレームワークが Directory Server に統合されました。これまでは、Directory Server への同時着信接続が多くなると動作が遅くなっていましたが、今回の更新でパフォーマンスにマイナス影響を出さずに多数の接続を処理できるようになっています。(BZ#1426278, BZ#1206301, BZ#1425906)

Directory Server memberOf プラグインのパフォーマンス向上

これまでは、大きいグループや入れ子型のグループの作業を実行する際に、プラグインの操作に時間がかかる場合がありました。今回の更新により、Red Hat Directory Server memberOf プラグインが改善され、memberOf プラグインによるグループへのユーザー追加およびグループからのユーザー削除が迅速になりました。(BZ#1426283)

Directory Server がエラーログファイルに重大度レベルを記録

Directory Server が重大度レベルを /var/log/dirsrv/slapd-instance_name/errors ログファイルに記録するようになりました。これまでは、エラーログファイルでエントリーの重大度を判別することが困難でした。今回の機能拡張で、管理者は重大度レベルを使用してエラーログをフィルターすることができます。
詳細情報については、Red Hat Directory Server Configuration, Command, and File Reference の対応セクションを参照してください (https://access.redhat.com/documentation/en-US/Red_Hat_Directory_Server/10/html/Configuration_Command_and_File_Reference/error-logs.html#error-logs-content) (BZ#1426289)

Directory Server が PBKDF2_SHA256 パスワード保存スキームに対応

セキュリティー向上のために今回の更新では 256-bit パスワードベースのキー派生関数 2 (PBKDF2_SHA256) が Directory Server の対応パスワード保存スキーム一覧に追加されました。このスキームは、30,000 の反復を使用して 256-bit セキュアハッシュアルゴリズム (SHA256) を適用します。
Red Hat Enterprise Linux 7.4 より前のネットワークセキュリティーサービス (NSS) データベースは、PBKDF2 に対応していません。このため、以前の Directory Server バージョンではレプリケーショントポロジーでこのパスワードスキームが使用できないことに注意してください。(BZ#1436973)

Directory Server での自動チューニングサポートの改善

これまでは、パフォーマンスを改善するにはデータベースを監視して、手動で設定をチューニングする必要がありました。今回の更新で Directory Server は以下の自動チューニングの最適化に対応するようになっています。
  • データベースおよびエントリーキャッシュ
  • 作成されたスレッド数
Directory Server は、サーバーのハードドライブリソースをベースにこれらの設定をチューニングします。
新規 Directory Server インスタンスをインストールすると、自動チューニングはデフォルトで自動的に有効になるようになっています。以前のバージョンからのインスタンスアップグレードでは、自動チューニングを有効にすることを Red Hat では推奨しています。詳細については、以下を参照してください。

外部 DNS サーバー上の IdM DNS レコードの半自動アップグレードが IdM で可能

外部 DNS サーバー上の Identity Management (IdM) DNS レコードの更新を簡素化するために、IdM に ipa dns-upgrade-system-records --dry-run --out [file] コマンドが導入されました。このコマンドは、nsupdate ユーティリティーで受け付ける形式でレコード一覧が生成されます。
Transaction Signature (TSIG) プロトコルまたは GSS algorithm for TSIG (GSS-TSIG) でセキュア化された標準の動的 DNS 更新を使用することで、生成されたファイルを使って外部 DNS サーバー上のレコードを更新できます。

IdM が SHA-256 証明書と公開キーフィンガープリントを生成

これまでは Identity Management (IdM) は、証明書および公開キーのフィンガープリント生成に MD5 ハッシュアルゴリズムを使用してきました。セキュリティー強化のために、IdM はこのシナリオにおいて SHA-256 アルゴリズムを使用するようになりました。(BZ#1444937)

IdM がスマートカード証明書とユーザーアカウントのリンクのための柔軟性のあるマッピングメカニズムをサポート

これまでは、Identity Management (IdM) 内の特定のスマートカードに対応するユーザーアカウントを見つける唯一の方法は、Base64 でエンコード化された DER 文字列としてスマートカード証明書全体を提供することでした。今回の更新により、証明書の文字列自体ではなく、スマートカード証明書の属性を指定することでもユーザーアカウントをみつけることができるようになっています。例えば、管理者は特定の証明機関 (CA) が発行したスマートカード証明書と IdM 内のユーザーアカウントをリンクさせる、マッチングルールとマッピングルールを定義することができます。

新たなユーザースペースツールでより便利な LMDB デバッグが可能

今回の更新では、/usr/libexec/openldap/ ディレクトリーに mdb_copymdb_dumpmdb_load、および mdb_stat のツールが導入されています。また、関連の man ページも man/man1 サブディレクトリーに追加されています。これらの新ツールは、Lightning Memory-Mapped Database (LMDB) バックエンドに関連する問題のデバッグにのみ使用してください。(BZ#1428740)

openldap がバージョン 2.4.44 にリベース

openldap パッケージがアップストリームバージョン 2.4.44 にアップグレードされ、以前のバージョンに対するバグ修正および拡張機能が数多く加えられています。特に、このバージョンでは多くのレプリケーションと Lightning Memory-Mapped Database (LMDB) のバグ修正がなされています。(BZ#1386365)

DNS lookups のセキュリティー改善および Identity Management におけるサービスプリンシパル検索の信頼性

Kerberos クライアントライブラリーは、チケット保証チケットサーバー (TGS) リクエストを発行する際にホスト名の正規化を試みなくなりました。この機能により、以下が改善されます。
  • これまでは正規化の間に必要とされていた DNS 検索が実行されないので、セキュリティーが改善します。
  • クラウドやコンテナー化されたアプリケーションなどのより複数な DNS 環境におけるサービスプリンシパル検索の信頼性の改善。
ホストおよびサービスプリンシパルで正確な完全修飾ドメイン名 (FQDN) を指定してください。この変更により、Kerberos は短い名前などの他の形式のプリンシパルの解決を試みません。(BZ#1404750)

samba が 4.6.2 リリースシリーズにリベース

samba パッケージはアップストリームのリリースシリーズ 4.6.2 にアップグレードされて、旧バージョンに対して多くのバグ修正および機能拡張が加えられています。
  • Samba は、winbindd サービスの起動前に ID マッピング設定を検証するようになりました。設定が無効な場合は、winbindd は起動に失敗します。testparm ユーティリティーを使って /etc/samba/smb.conf ファイルを検証してください。詳細は、smb.conf man ページの IDENTITY MAPPING CONSIDERATIONS セクションを参照してください。
  • Windows 10 からのプリンタードライバーのアップロードが正常に機能します。
  • これまでは、rpc server dynamic port range パラメーターのデフォルト値は 1024-1300 でした。今回の更新により、デフォルト値が 49152-65535 に変更され、Windows Server 2008 およびそれ以降で使用される範囲に一致するようになっています。必要に応じてファイアウォールルールを更新してください。
  • ドメインを離れる際に、net ads unregister コマンドが Active Directory DNS ゾーンからホストの DNS エントリーを削除できるようになりました。
  • SMB 2.1 リースが smb2 leases パラメーターでデフォルトで有効になっています。SMB リースにより、クライアントが積極的にファイルをキャッシュできます。
  • セキュリティー強化のために、NT LAN マネージャーバージョン 1 (NTLMv1) プロトコルがデフォルトで無効になっています。安全でない NTLMv1 プロトコルが必要な場合は、/etc/samba/smb.conf ファイル内の ntlm auth パラメーターを yes に設定します。
  • イベントスクリプトとの対話のために event サブコマンドが ctdb ユーティリティーに追加されました。
  • idmap_hash ID マッピングバックエンドが非推奨とマークされ、今後の Samba バージョンからは削除される予定です。
  • 非推奨となっていた only userusername のパラメーターが削除されました。
smbdnmbd または winbind デーモンの起動時に、Samba により tbd データベースファイルが自動的に更新されるようになりました。Samba の起動前にデータベースをバックアップするようにしてください。Red Hat では tbd データベースファイルのダウングレードはサポートしていないので注意してください。
主な変更点に関する詳細情報は、更新前にアップストリームのリリースノートを参照してください。

SSSD がスマートカードによるユーザー認証をする設定が authconfig で可能

この新機能では、authconfig コマンドで System Security Services Daemon (SSSD) がスマートカードを使ったユーザー認証をする設定が可能になりました。例を示します。
# authconfig --enablesssd --enablesssdauth --enablesmartcard --smartcardmodule=sssd --smartcardaction=0 --updateall
今回の更新により、pam_pkcs11 がインストールされていないシステムでスマートカード認証が可能になっています。ただし、pam_pkcs11 がインストールされている場合は、--smartcardmodule=sssd オプションは無視されます。/etc/pam_pkcs11/pam_pkcs11.conf で最初に定義されている pkcs11_module がデフォルトとして使用されます。

authconfig でアカウントロックが可能

今回の更新で --enablefaillock オプションが authconfig コマンドに追加されました。このオプションを有効にすると、設定アカウントで 15 分以内にログインに 4 回連続で失敗した場合、アカウントがロックされます。(BZ#1334449)

IdM サーバーのパフォーマンス改善

Identity Management (IdM) サーバーは、全般的な多くのワークフローおよび設定にわたり高レベルのパフォーマンスを発揮します。主に以下の改善点があります。
  • IdM サーバー管理フレームワーク内のラウンドトリップを減らすことで認証情報コンテナーのパフォーマンスを改善。
  • 内部のコミュニケーションと認証にかかる時間を減らすように IdM サーバー管理フレームワークをチューニング。
  • nunc-stans フレームワークの使用により、Directory Server 接続管理がより拡張可能。
  • 新規インストールでは、Directory Server がサーバーのハードウェアリソースに基づいてデータベースエントリーキャッシュとスレッド数を自動的にチューニング。
  • 大型または入れ子型のグループでの作業で、memberOf プラグインのパフォーマンスが改善。(BZ#1395940, BZ#1425906, BZ#1400653)

IdM ウェブ UI のデフォルトセッションの有効期間の変更

これまでは、ユーザー名とパスワードを使用して Identity Management (IdM) ウェブ UI にログインした場合、20 分間なにも操作がないとユーザーはウェブ UI から自動的にログアウトされました。今回の更新により、このデフォルトセッションの長さはログイン操作中に取得された Kerberos チケットの有効期間と同じ長さになっています。デフォルトセッションの長さを変更するには、/etc/ipa/default.conf ファイルの kinit_lifetime オプションを使用してから httpd サービスを再起動します。(BZ#1459153)

dbmon.sh スクリプトがインスタンス名を使用して Directory Server インスタンスに接続

dbmon.sh シェルスクリプトでは、Directory Server のデータベースとエントリーキャッシュの使用量を監視することができます。今回の更新により、このスクリプトは HOSTPORT の環境変数を使用しなくなりました。安全なバインドをサポートするために、サーバーが安全な接続を必要とする場合は、スクリプトが Directory Server インスタンス名を SERVID 環境変数から読み取り、これを使ってホスト名、ポート、および情報を取得するようになっています。例えば、slapd-localhost インスタンスを監視する場合は、以下を入力します。
SERVID=slapd-localhost INCR=1 BINDDN="cn=Directory Manager" BINDPW="password" dbmon.sh
(BZ#1394000)

第6章 クラスタリング

clufter がバージョン 0.76.0 にリベースされ、完全サポート対象になる

clufter パッケージは、クラスター設定形式を変換し、分析するツールを提供します。これらのパッケージを使用して、古いスタック設定から Pacemaker を活用した新設定への移行を実行することができます。clufter ツールはこれまでテクノロジープレビューとして提供されていましたが、今回の更新により完全にサポートされるようになりました。clufter の機能に関する情報は、clufter(1) の man ページまたは clufter -h コマンドの出力を参照してください。clufter の使用例については、以下の Red Hat ナレッジベースのアーティクルを参照してください: https://access.redhat.com/articles/2810031
clufter パッケージは、アップストリームのバージョン 0.76.0 にアップグレードされ、バグ修正および新機能が数多く追加されています。とくに注目すべき更新は以下の通りです。
  • CMAN および RGManager スタック固有の設定を、ccs2pcs* ファミリーのコマンドで各 Pacemaker 設定 (または pcs コマンドのシーケンス) に変換する際に、clufter ツールは有効な lvm リソースエージェント設定の変換を拒否しなくなりました。
  • ccs2pcs ファミリーのコマンドで CMAN ベースの設定を Pacemaker スタック用の類似した設定に変換する場合、(maximum number of failures before returning a failure to a status check などの) 処理で失われた一部のリソース関連のコンフィギュレーションビットが正常に伝播されます。
  • clufter コマンドの cib2pcs および pcs2pcscmd ファミリーを使用して pcs コマンドを生成する際に、正常な完成された構文がアラートハンドラーの定義に使用されるようになりました。この際、設定変更の単一ステップのプッシュの (デフォルト) 動作が優先されます。
  • pcs コマンドを生成する際に、clufter ツールは、設定全体のプッシュではなく、差分の更新で設定に加えられた変更のみを更新する pcs コマンドを生成する優先機能をサポートするようになりました。同様に、適用可能な場合に clufter ツールは、pcs ツールに対してユーザーパーミッション (ACL) の設定を指示することをサポートします。これをドキュメントスキーマの各種メジャーバージョン間で機能させるため、clufter には pacemaker の内部の仕組みを反映した内部のオンデマンド形式アップグレードの概念が組み込まれるようになりました。同様に、 clufterbundle 機能を設定できるようになりました。
  • clufter コマンドの ccs2pcscmd および pcs2pcscmd ファミリーによって生成されるものと同様のスクリプトのような出力シーケンスで、意図されるシェルインタープリターは最初のコメント行として、また単なる POSIX シェルではなく Bash が使用されていることが予想される場所を明確にするためにオペレーティングシステムによって直接認識されるものとして生成されます。これについては、これまでに一部誤解が生じていた可能性があります。
  • clufter の Bash 補完ファイルは、= 文字で完了するシーケンスでオプションの値を指定する場合に問題なく機能するようになりました。
  • clufter ツールは、出力のより便利な表示を行えるようターミナルでの対話的な使用を正常に検知し、これまで無視されてきた一部のエラー状況についてのより良い診断を行えるようになりました (BZ#1387424, BZ#1381522, BZ#1440876, BZ#1381531, BZ#1381565)。

Pacemaker クラスターにおけるクォーラムデバイスのサポート

Red Hat Enterprise Linux 7.4 より、テクノロジープレビューとして利用されたクォーラムデバイスの完全サポートが提供されます。これにより、クラスターのサードパーティーのアービトレーションデバイスとして機能する別のクォーラムデバイス (QDevice) を設定することが可能となりました。主要な用途は、クラスターが、標準のクォーラムルールによって許容されているよりも多くのノードエラーに耐えられるようにすることです。クォーラムデバイスは、偶数のノードで構成されるクラスターに推奨しており、2 ノード構成のクラスターに強くお勧めします。クォーラムデバイスの設定については、https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/ を参照してください (BZ#1158805)。

Booth クラスターチケットマネージャーのサポート

Red Hat Enterprise Linux 7.4 では、Booth クラスターチケットマネージャーの完全サポートを提供しています。テクノロジープレビューとして利用可能であったこの機能により、複数の高可用性クラスターを、別々のサイトに構成することができます。これらのサイト間では、分散サービスを介して通信を行い、リソース管理を調整します。Booth チケットマネージャーは、指定したリソースが 1 度に実行されるのは、チケットで許可されている 1 つのサイトのみとなるようにする、各チケットの合意に基づいた意思決定プロセスを円滑化します。Booth チケットマネージャーを使用したマルチサイトクラスターの設定に関する情報は、https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/(BZ#1302087) を参照してください。

SBD デーモンと共有ストレージを使用するためのサポートが追加される

Red Hat Enterprise Linux 7.4 は、共有ブロックデバイスと共に SBD (Storage-Based Death) デーモンを使用するためのサポートを提供します。これにより、これまでサポートされてきたウォッチドッグデバイスによるフェンシングに加え、共有ブロックデバイスによるフェンシングが可能になります。fence-agents パッケージは、RHCS 形式のフェンスエージェントによる実際のフェンシングをトリガーし、制御するために必要な fence_sbd フェンスエージェントを提供します。SBD は Pacemaker リモートノードではサポートされません (BZ#1413951)。

CTDB リソースエージェントの完全サポート

Samba デプロイメントを実装するために使用される CTDB リソースエージェントが Red Hat Enterprise Linux でサポートされるようになりました (BZ#1077888)。

High Availability および Resilient Storage Add-On が IBM POWER の Little Endian 版で利用可能になる

Red Hat Enterprise Linux 7.4 では、 IBM POWER Little Endian 版のアーキテクチャー用に High Availability および Resilient Storage Add-On のサポートが追加されています。このサポートは POWER8 サーバー上の PowerVM で実行されるクラスターノードに対してのみ提供されることに注意してください (BZ#1289662, BZ#1426651)。

pcs が暗号化された corosync 通信をセットアップする機能を提供

pcs cluster setup コマンドは、クラスター内の corosync 暗号の設定を制御する新規の --encryption フラグをサポートするようになりました。これにより、ユーザーは完全に信頼されていない環境でも暗号化された corosync 通信でクラスターをセットアップできるようになりました (BZ#1165821)。

リモートおよびゲストノードをサポートし、削除する新規コマンド

Red Hat Enterprise Linux 7.4 は、リモートおよびゲストノードを作成し、削除するための以下のコマンドを新たに提供します。
  • pcs cluster node add-guest
  • pcs cluster node remove-guest
  • pcs cluster node add-remote
  • pcs cluster node remove-remote
これらのコマンドは、非推奨とされてきた pcs cluster remote-node add および pcs cluster remote-node remove コマンドに置き換わります (BZ#1176018, BZ#1386512)。

pcsd バインドアドレスの設定機能

pcsd バインドアドレスを /etc/sysconfig/pcsd ファイルで設定できるようになりました。以前のリリースでは、pcsd はすべてのインターフェースにバインドできましたが、これは一部のユーザーにとっては最適な方法ではありませんでした。デフォルトで、pcsd はすべてのインターフェースにバインドされます (BZ#1373614)。

監視操作を無効にする pcs resource unmanage コマンドの新規オプション

リソースが管理対象外のモードに設定されている場合でも、監視操作はクラスターによって実行されます。これにより、クラスターは、リソースが管理対象外である場合の特定のユーザユースで予期されるエラーなど、ユーザーとの関連性のないエラーを報告する可能性があります。pcs resource unmanage コマンドは、リソースを管理対象外のモードに設定する際に監視操作を無効にする --monitor オプションをサポートするようになりました。さらに、pcs resource manage コマンドは、リソースを管理対象モードに戻す際に監視操作を有効にする --monitor オプションもサポートします (BZ#1303969)。

位置制約を設定する際の pcs コマンドラインの正規表現のサポート

pcs はコマンドラインでの位置制約における正規表現をサポートするようになりました。これらの制約は、リソース名に一致する正規表現に基づいて複数のリソースに適用されます。これにより、以前は複数の制約が必要とされていたのに対して 1 つの制約が使用されるようになるため、クラスター管理が簡単になります (BZ#1362493)。

正規表現またはノード属性およびその値によるフェンシングトポロジーのノード指定

ノード名に適用される正規表現や、ノード属性およびその値によってフェンシングとポロジーのノードを指定できるようになりました。
たとえば、以下のコマンドをノード node1node2、および node3 を設定してフェンスデバイス apc1 および apc2 を使用し、ノード node4node5、および node6 を設定してフェンスデバイス apc3および apc4 を使用します。
pcs stonith level add 1 "regexp%node[1-3]" apc1,apc2
pcs stonith level add 1 "regexp%node[4-6]" apc3,apc4
以下のコマンドは、ノード属性のマッチングを使用して同じ結果を生成します。
pcs node attribute node1 rack=1
pcs node attribute node2 rack=1
pcs node attribute node3 rack=1
pcs node attribute node4 rack=2
pcs node attribute node5 rack=2
pcs node attribute node6 rack=2
pcs stonith level add 1 attrib%rack=1 apc1,apc2
pcs stonith level add 1 attrib%rack=2 apc3,apc4
(BZ#1261116)

リソースエージェント Oracle および OraLsnr についての Oracle 11g のサポート

Red Hat Enterprise Linuz RHEL 7.4 は、Pacemaker と共に使用される Oracle および OraLsnr リソースエージェントの Oracle Database 11g のサポートを提供します (BZ#1336847)。

SBD と共有ストレージを使用するためのサポート

pcs コマンドを使用して SBD (Storage-Based Death) を共有ストレージと共に設定するためのサポートが追加されました (BZ#1413958)。

NodeUtilization リソースエージェントのサポート

Red Hat Enterprise Linux 7.4 は NodeUtilization リソースエージェントをサポートします。NodeUtilization エージェントは利用可能な CPU、ホストメモリーの可用性、およびハイパーバイザーメモリーの可用性のシステムパラメーターを検出し、これらのパラメーターを CIB に追加します。エージェントはクローンリソースとして実行でき、各ノードでこれらのパラメーターを自動的に設定することができます。NodeUtilization リソースエージェントおよびこのエージェントのリソースオプションについての詳細を参照するには、pcs resource describe NodeUtilization コマンドを実行します。Pacemaker の使用および配置ストラテジーについての詳細は、https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/s1-utilization-HAAR.html を参照してください (BZ#1430304)。

第7章 コンパイラーとツール

Performance Co-Pilot がバージョン 3.11.8 にリベース

Performance Co-Pilot アプリケーション (PCP) がアップストリームバージョン 3.11.81 にアップグレードされ、以前のバージョンに対してバグ修正および機能拡張が数多く追加されました。主な機能拡張は以下の通りです。
  • 新規のクライアントツール pcp2influxdb が追加され、パフォーマンスメトリクス値の influxdb データベースへのエクスポートが可能になりました。
  • 新規のクライアントツール pcp-mpstat および pcp-pidstat が追加され、mpstat および pidstat 値のレトロスペクティブ分析が可能になりました。
  • デバイスマッパー、Ceph デバイス、cpusched cgroup、per-processor soft IRQ (プロセッサー別のソフト IRC)、buddyinfozoneinfo、共有メモリー、libvirt、same-page-sharing (同一ページの共有)、lioRedis、および Docker についての新規のパフォーマンスメトリクスが追加されました。
  • 複数のサブシステムからの追加のパフォーマンスメトリクスを各種の PCP 分析ツールで利用できるようになりました (BZ#1423020)。

systemtap がバージョン 3.1 にリベース

systemtap パッケージがアップストリームバージョン 3.1 にアップグレードされ、以前のバージョンに対してバグ修正および機能拡張が数多く追加されています。主な変更点は以下の通りです。
  • システム呼び出しのプローブのデフォルト設定は debuginfo 情報に基づかなくなりました。
  • Python 関数のプローブのサポートが追加されました。
  • Java 関数パラメーターへのアクセスがより均一化されました。
  • 統計集計 (Statistical Aggregate) 変数のパフォーマンスが向上しました。
  • 新規の統計演算子 @variance が追加されました。
  • ユーザースペースの値の取得および設定のためのオプションが追加されました。
  • NFS トラフィックを監視するスクリプトが追加されました。
  • nfs.proc.read_done プローブで count 変数が 0 ではなく実際の値を表示するようになりました (BZ#1398393、BZ#1416204、BZ#1433391)。

valgrind がバージョン 3.12 にリベース

valgrind パッケージがアップストリームバージョン 3.12 にアップグレードされ、以前のバージョンに対してバグ修正および機能拡張が数多く追加されています。主な変更点は以下の通りです。
  • 新規オプションの --ignore-range-below-sp が memcheck ツールに追加され、スタックポインター下のメモリーアクセスが無視されるようになりました。これは、現在非推奨になっているオプション --workaround-gcc296-bugs=yes を一般的に置き換えるものです。
  • --gen-suppressions=yes オプションで生成される suppression エントリーの呼び出し元の最大数は、--num-callers オプションで指定される値と等しくなりました。
  • AMD64 および Intel 64 アーキテクチャーでの memcheck ツールなどの最も一般的なユースケースでのコードブロックのインストルメントにかかるコストが削減されました。
  • 8KB 以下の命令のアドレス範囲の多くを破棄するプログラムをデバッグにおけるパフォーマンスが向上しました。
  • IBM Power 9 (ISA 3.0) アーキテクチャーのサポートが追加されました。
  • AMD の FMA4 命令の部分的なサポートが追加されました。
  • 64 ビット ARM アーキテクチャーのバージョン 8 における暗号および CRC 命令のサポートが追加されました (BZ#1391217)。

新パッケージ: unitsofmeasurement

unitsofmeasurement パッケージは Java コードでの測定単位の表現を有効にします。測定単位の新規の API により、物理的な数量の処理が簡単になり、エラーが発生しにくくなりました。このパッケージの API はメモリーおよびリソースの使用を効率化します (BZ#1422263)。

HTTP クライアントの SSL/TLS 証明書の検証が Python 標準ライブラリーにてデフォルトで有効にされる

HTTP クライアントのデフォルトのグローバル設定が Python 標準ライブラリーで変更され、SSL/TLS 証明書がデフォルトで検証されるようになりました。ファイルベースの設定を使用するお客様はこの変更による影響を受けません。詳細は、https://access.redhat.com/articles/2039753 を参照してください (BZ#1219110)。

%gemspec_add_dep および %gemspec_remove_dep のサポートが追加される

今回の更新により、%gemspec_add_dep および %gemspec_remove_dep マクロのサポートが追加されました。これらのマクロにより rubygem-* パッケージの依存関係の調整がより容易になります。さらに、現在のすべてのマクロが拡張され、パッケージのリリース前のバージョンのサポートが強化されました (BZ#1397390)。

ipmitool がバージョン 1.8.18 にリベース

ipmitool パッケージがアップストリームバージョン 1.8.18 にアップグレードされ、以前のバージョンに対してバグ修正および機能拡張の数多くが追加されています。主な変更点は以下の通りです。
  • PEF ユーザーインターフェースが再設計されています。
  • 新規のサブコマンド lan6 が IP バージョン 6 のローカルエリアネットワークパラメーター用に追加されました。
  • VITA 固有のセンサータイプおよびイベントのサポートが追加されました。
  • HMAC_MD5 および HMAC_SHA256 暗号のサポートが追加されました。
  • PICMG 拡張 5.x のチェックサポートが追加されました。
  • 新規の通信インターフェースとしての USB メディアのサポートが追加されました。
  • USB ドライバーが GNU Linux システム用にデフォルトで有効にされます (BZ#1398658)。

IBM Power の Little Endian 版向けに lshw が更新

マシンのハードウェア設定についての詳細情報を提供する lshw パッケージが IBM Power System の Little Endian 版向けに更新されました (BZ#1368704)。

dmidecode が更新される

dmidecode パッケージがバージョン 3.0 に更新され、複数のバグ修正や機能改善が行われました (BZ#1385884)。

iSCSI が targetcli の使用による ALUA 操作をサポート

イニシエーターからターゲットへの複数のパスで、非対称論理ユニットアクセス (ALUA) を使用し、非均一的で優先的な方法でパスを使用する方法を設定できます。Linux-IO (LIO) カーネルターゲットはこの機能を常にサポートしてきました。今回の更新により、targetcli コマンドシェルを使用して ALUA の操作を設定することができます (BZ#1243410)。

jansson がバージョン 2.10 にリベース

jansson ライブラリーがバージョン 2.10 に更新され、複数のバグ修正および機能拡張が追加されています。主な機能拡張は以下の通りです。
  • インターフェースが追加され、clevistang および jose アプリケーションがサポートされるようになりました (BZ#1389805)。

egrep および fgrep の新たな互換性環境変数

以前の grep リベースでは、egrep および fgrep コマンドはそれぞれ grep -E および grep -F に置き換えられました。この変更により、grep のみが ps コマンドの出力に表示されるためお客様のスクリプトに影響が及ぶ可能性がありました。この問題を防ぐため、今回の更新では新規の互換性環境変数 GREP_LEGACY_EGREP_FGREP_PS が導入されました。egrep および fgrepps 出力で引き続き表示されるようにするには、変数を 1 に設定します。
GREP_LEGACY_EGREP_FGREP_PS=1
(BZ#1297441)

lastcomm--pid オプションに対応

lastcomm コマンドが --pid オプションに対応するようになりました。このオプションは、カーネルでサポートされている場合に各レコードのプロセス ID (PID) および親プロセス ID (PPID) を表示します (BZ#1255183)。

新パッケージ: perl-Perl4-CoreLibs

新規の perl-Perl4-CoreLibs パッケージが Red Hat Enterprise Linux 7 の Base チャンネルで利用できるようになりました。このパッケージには Perl 4 で利用可能であったライブラリーで Perl 5.16 で削除されたライブラリーが含まれ、これらは Red Hat Enterprise Linux 7 と共に提供されます。以前のリベースでは、これらのライブラリーは Optional チャンネルより Perl サブパッケージで提供されていました (BZ#1366724)。

tar がアーカイブからの抽出時にディレクトリーへのシンボリックリンクをフォロー

今回の更新により、--keep-directory-symlink オプションが tar コマンドに追加されました。このオプションは、抽出対象のディレクトリーと同じ名前のシンボリックリンクが表示されると tar の動作を変更します。tar はデフォルトでシンボリックリンクを削除してからディレクトリーを抽出していました。--keep-directory-symlink オプションはこの動作を無効にし、tar に対して、アーカイブからの抽出時にディレクトリーへのシンボリックリンクにフォローするように指示します (BZ#1350640)。

IO::Socket::SSL Perl モジュールが TLS バージョンの制限に対応

Net:SSLeay Perl モジュールが更新されてセキュリティー強化のために使用できる TLS プロトコルのバージョン 1.1 または 1.2 を明示的に指定できるようになり、IO::Socket::SSL モジュールもこれに応じて更新されました。新規の IO::Socket::SSL オブジェクトの作成時に、SSL_version オプションを TLSv1_1 または TLSv1_2 に設定することで TLS バージョンを 1.1 または 1.2 に限定できるようになりました。また、TLSv11 および TLSv12 を使用することもできます。これらの値には大文字と小文字の区別が必要であることに注意してください (BZ#1335035)。

Net:SSLeay Perl モジュールが TLS バージョンの制限に対応

Net:SSLeay Perl モジュールが更新され、セキュリティー強化のために使用できる TLS プロトコルのバージョンを明示的に指定できるようになりました。TLS をバージョン 1.1 または 1.2 に限定するには、Net::SSLeay::ssl_version の変数をそれぞれ 11 または 12 に設定します (BZ#1335028)。

wget が TLS プロトコルバージョンの指定に対応

以前のバージョンでは、wget ユーティリティーではリモートサーバーへの接続時に TLS プロトコルの最も高いバージョンである 1.2 がデフォルトで使用されました。今回の更新により、wget の機能が強化され、--secure-protocol=TLSv1_1 または --secure-protocol=TLSv1_2 コマンドラインのオプションを wget コマンドに追加することで、ユーザーが TLS プロトコルのマイナーバージョンを明示的に選択できるようになりました (BZ#1439811)。

tcpdump がバージョン 4.9.0 にリベース

tcpdump パッケージがアップストリームバージョン 4.9.0 にアップグレードされ、以前のバージョンに対してバグ修正および機能拡張が数多く追加されています。主な変更点は以下の通りです。
  • セキュリティー脆弱性が数多く修正されました
  • よく使用されるネットワークプロトコルの分析において数多くの改善が加えられました
  • デフォルトの snaplen 機能が 262144 バイトに拡張されました
  • キャプチャーバッファーが 4 MiB に拡大されました
変更の詳細な一覧については、アップストリームの変更ログを参照してください: http://www.tcpdump.org/tcpdump-changes.txt (BZ#1422473)

tcpdump のキャプチャーの方向を設定するオプションが -P から -Q に変更

以前のリリースでは、Red Hat Enterprise Linux の tcpdump ユーティリティーは -P オプションを使用してキャプチャーの方向を設定し、アップストリームバージョンは -Q を使用していました。今回 -Q オプションが実装され、これが優先される設定になりました。-P オプションには -Q のエイリアスとしての以前の機能が保持されますが、警告が表示されます (BZ#1292056)。

OpenJDK が 64 ビット ARM アーキテクチャーの SystemTap に対応

OpenJDK プラットフォームは 64 ビット ARM アーキテクチャーで SystemTap インストルメントツールでのイントロスペクションをサポートします (BZ#1373986)。

sos がバージョン 3.4 にリベース

sos パッケージがアップストリームバージョン 3.4 にアップグレードされ、以下を含む機能拡張、新機能およびバグ修正が数多く追加されています。
  • virt-whonodejsnpmdracutjuju 2.0grafananfsganeshacollectdcanonical_livepatchjarssaltsaltmasterstorageconsolegnocchicryptoazure/Red Hat、および zfs の新規のプラグインが追加されました。
  • API プラグインの機能拡張
  • 国際化の更新
  • ネットワークプラグインは、ネットワーク名に一重引用符文字 ' が含まれる場合もクラッシュしなくなりました。
  • foreman-debug プラグイン実行時のタイムアウトが長く設定され、不完全な foreman-debug 情報の収集を防げるようになりました。
  • 一部のプライベート SSL 証明書ファイルが収集されなくなりました (BZ#1414879)。

targetd がバージョン 0.8.6 にリベース

targetd パッケージがアップストリームのバージョン 0.8.6 にアップグレードされ、以前のバージョンに対するバグ修正および機能強化が数多く追加されています。とくに、targetd サービスがPython 2 または Python 3 ランタイムのいずれかで実行され、以下の API が追加されています。initiator_listaccess_group_listaccess_group_createaccess_group_destroyaccess_group_init_addaccess_group_init_delaccess_group_map_listaccess_group_map_create、およびaccess_group_map_destroy
主なバグ修正は以下の通りです。
  • targetd は JSON-RPC 応答バージョン 2.0 に準拠するようになりました。
  • export_create API を使用して同一の LUN を複数のイニシエーターにマップできるようになりました。
  • targetd で SSL 証明書が起動時に存在することを確認できるようになりました (BZ#1162381)。

rubygem-abrt がバージョン 0.3.0 にリベース

rubygem-abrt パッケージがバージョン 0.3.0 にリベースされ、以前のバージョンに対して複数のバグ修正および機能拡張が追加されています。主な変更点は以下の通りです。
  • Ruby ABRT ハンドラーが自動匿名マイクロレポート uReport をサポートするようになりました。uReports が有効にされると、開発者にはアプリケーションの問題についての通知がすぐに送られ、迅速なバグの修正や問題の解決が可能になります。
  • 以前のリリースでは、Ruby アプリケーションが Bundler を使用してその依存関係を管理する際にエラーが生じると、Ruby ABRT ハンドラーのコンポーネントをロードするために正しくないロジックが使用されていました。そのため、予想しない LoadReport エラーが、適切な ABRT レポートの代わりにユーザーに報告されていました。ロードするロジックが修正されたので、Ruby アプリケーションのエラーが ABRT を使用して正しく処理され、報告されるようになりました (BZ#1418750)。

新パッケージ: http-parser

新規の http-parser パッケージは HTTP メッセージを解析するためのユーティリティーを提供します。これは要求と応答の両方を解析します。パーサーは HTTP アプリケーションのパフォーマンスで使用されるように設計されています。これはシステム呼び出しや割り当てを実行せず、データをバッファー処理せず、いつでも中断できます。アーキテクチャーによって、メッセージストリームごとに約 40 バイトのデータのみが必要になります (BZ#1393819)。

すべてのデフォルト POSIX mutex の Intel および IBM POWER トランザクションメモリーサポート

デフォルトの POSIX mutex は Intel および IBM POWER のトランザクションメモリーサポートで透過的に置き換えられます。これにより、ロック取得にかかるコストを大幅に削減できます。すべてのデフォルト POSIX mutex のトランザクションメモリーサポートを有効にするには、RHEL_GLIBC_TUNABLES=glibc.elision.enable 環境変数を 1 に設定します。その結果、一部のアプリケーションのパフォーマンスを強化できます。
開発者はプロファイリングを使用してこの機能を有効にすることでアプリケーションのパフォーマンスを強化できるかどうかを判断することが勧められています (BZ#841653、BZ#731835)。

glibc がグループのマージに対応

異なる Name Service モジュールのグループメンバーをマージする機能が glibc に追加されました。その結果、複数のホスト間で一元化されたユーザーのアクセス制御およびグループメンバーシップの管理が以前よりも容易になりました (BZ#1298975)。

glibc が IBM POWER9 アーキテクチャーで最適化された文字列比較関数に対応

glibc ライブラリーの文字列比較関数 strcmp および strncmp が IBM POWER9 アーキテクチャーで最適化されています (BZ#1320947)。

Intel SSE、AVX および AVX512 機能の使用により動的にロードされるライブラリーのパフォーマンスが向上

Intel SSE、AVX、および AVX512 機能の使用によりライブラリーの動的なライブラリーのロードが更新されました。その結果、これらのライブラリーのロード中のパフォーマンスが向上しました。さらに、LD_AUDIT 形式の監査のサポートが追加されています (BZ#1421155)。

elfutils がバージョン 0.168 にリベース

elfutils パッケージがアップストリームバージョン 0.168 にアップグレードされ、バグ修正および機能拡張が数多く追加されています。
  • eu-readelf ユーティリティーのオプション --symbols によりシンボルを表示するためのセクションを選択できるようになりました。
  • ELF/DWARF 文字列テーブルの作成関数が libdw ライブラリーに新たに追加されました。
  • DW_LANG_PL1 定数が DW_LANG_PLI に変更されました。以前の名前の使用は依然として許可されます。
  • libelf ライブラリーの gelf_newehdr および gelf_newphdr 関数の戻り値の型が、他の libelf 実装とのソースの互換性のために void* に変更されました。この変更により、Red Hat Enterprise Linux でサポートされるすべてのプットフォームでのバイナリー互換性が維持されます (BZ#1400302)。

bison がバージョン 3.0.4 にリベース

bison パッケージがアップストリームバージョン 3.0.4 にアップグレードされ、バグ修正および機能拡張が数多く追加されています。
  • 一部のプットフォームでは、一部のキャレットエラーにより診断が終了しない可能性がありました。この問題は修正されています。
  • -Werror=CATEGORY オプションが追加され、指定された警告をエラーとして処理できるようになりました。警告は -W オプションを使用して明示的にアクティブにしておく必要がなくなりました。
  • 優先順位 (precedence) 規則の処理において多くの改善が行われています。
  • 不要 (useless) 項目 (規則?) の処理において多くの改善が行われています。
さらに、以下の 3 つの後方互換性を失わせる変更が導入されています。
  • 以下の機能が非推奨になりました: YYFAILYYLEX_PARAMYYPARSE_PARAMyystypeyyltype
  • アクションの末尾に欠落しているセミコロンが自動的に追加されることはなくなりました。
  • Autoconf バージョン 2.69 以前では、Bison 拡張を使用する場合オプション -Wno-yacc(AM_)YFLAGS に渡す必要があります (BZ#1306000)。

システムのデフォルト CA バンドルがコンパイル時のデフォルト設定や mutt の設定でデフォルトとして設定される

以前のバージョンでは、LS/SSL 経由で新しいシステムに接続する場合、mutt のメールクライアントがユーザーに対し、証明書を保存することを要求しました。今回の更新により、システムの認証局 (CA) バンドルが mutt でデフォルトで設定されます。その結果、mutt はユーザーに対する証明書の承認または拒否を求めるプロンプトなしに、有効な証明書で SSL/TLS 経由でホストに接続できるようになりました (BZ#1388511)。

objdump の混合リストの生成がスピードアップ

以前のバージョンでは、DWARE デバッグ情報を解析し、ソースコードを見つけるために objdump ツールで使用される BFD ライブラリーのパフォーマンスには制限がありました。その結果、objdump の速度は、ソースコードの混合リストの生成や逆アセンブルの際に大幅に遅くなりました。BFD ライブラリーのパフォーマンスが向上したことにより、objdump によるソースコードの混合リストの生成や逆アセンブルの速度が速くなりました (BZ#1366052)。

ethtoolfjes ドライバーからの可読形式の出力に対応

ethtool ユーティリティーの機能が拡張し、fjes ドライバーの可読形式のレジスターダンプ出力が提供されるようになりました。その結果、ethtool のユーザーによる Fujitsu Extended Socket Network Device ドライバーの検査がより容易になりました (BZ#1402701)。

ecj がバージョン 4.5.2 にリベース

ecj パッケージがアップストリームバージョン 4.5.2 にアップグレードされ、以前のバージョンに対してバグ修正と機能拡張が数多く追加されました。とくに、バージョン 8 の Java 言語に追加された機能サポートが充実しました。その結果、Java 8 機能を使用した Java コードのコンパイルが失敗しなくなりました。これには Java ランタイム環境によって提供されるシステムクラスなど、Java 8 機能を使用しないコードがこれらの機能を使用するコードを参照するケースも含まれます (BZ#1379855)。

第8章 デスクトップ

GNOME がバージョン 3.22.3 にリベース

GNOME デスクトップがアップストリームバージョン 3.22.3 にアップグレードされ、多くのバグ修正および機能拡張が加えられています。主な変更点は以下の通りです。
  • デスクトップ通知をオーバーホール
  • 世界時計とメディアプレイヤーをビルトイン統合
  • 画面の輝度の自動調節 (光センサーのあるシステム)
  • 多くのアプリケーションでキーボードショートカットを文書化する標準ダイアログをサポート
  • 複数の設定パネルを改善 (プリンター、マウス、タッチパッド、キーボードショートカット)
  • 複数ファイルの名前変更を一度に実行するオプション
  • 圧縮ファイルおよび Google Drive のビルトインサポート
  • ゴミ箱の「元に戻す」をサポート (BZ#1383353)

xorg-x11-drv-libinput ドライバーを X.Org 入力ドライバーに追加

xorg-x11-drv-libinput X.Org ドライバーは、低レベル libinput ライブラリー向けのラッパードライバーです。今回の更新では、X.Org 入力ドライバーにこのドライバーが追加されました。xorg-x11-drv-libinput をインストールすると、xorg-x11-drv-synaptics ドライバーを削除して、libinput が提供するより優れた入力デバイス処理にアクセスできるようになります。(BZ#1413811)

cloud-init をベースチャンネルに移動

Red Hat Enterprise Linux 7.4 では、cloud-init パッケージとその依存関係は Red Hat Common チャンネルからベースチャンネルに移動されています。Cloud-init は、環境が提供するメタデータを使ってシステムの初期化を処理するツールです。これは通常、OpenStack や Amazon Web Services などのクラウド環境で起動するサーバーの設定に使用されます。cloud-init パッケージは、Red Hat Common チャンネルで提供されている最新バージョンから更新されていないことに注意してください。(BZ#1427280)

dconf-editor コマンドが別パッケージ

アップストリームの dconf チームは、dconf-editor を個別パッケージに格納しました。今回のリリースではこの変更を反映しています。
さらに、バージョン 3.22 ではユーザーインターフェースが再設計されています。
  • 左側のツリー表示がなくなりました。
  • キーとディレクトリーが同じウィンドウ内に表示されるようになっています。
  • 階層を戻る機能は、ヘッダーバーのパス表示に移動されました。(BZ#1388931)

第9章 ファイルシステム

autofsamd 形式のマップのブラウザオプションをサポート

sun 形式のマップのブラウザ機能は、automount 管理でマウント済みのディレクトリー一覧で利用可能な automount ポイントを表示します。これが autofs amd 形式のマップでも利用可能になりました。
対応するエントリーをマスターマップに追加せずに、amd で automount ポイントを設定する場合と同じ方法で、amd 形式マウントの autofs 設定にマウントポイントセクションを追加することができます。このため、共有しているマルチベンダー環境内で autofs マスターマップに互換性のないマスターマップエントリーが混在することを避けることができます。
browsable_dirs オプションは autofs [ amd ] 設定セクションで使用するか、amd マウントポイントセクションの後に使用することができます。amd タイプの auto マップエントリーでの browsableutimeout のマップオプションも使用することができます。
browsable_dirs オプションは yes または no のいずれかにのみ設定することに注意してください。(BZ#1367576)

autofs がマウントログエントリーの識別子を提供しログ検索が容易

盛況なサイトでは、マウント問題を調査する際に特定のマウント試行のログエントリーを識別することが難しい場合があります。ログが多くのアクティビティーを記録する場合、エントリーには他の同時マウントリクエストやアクティビティーが混在することがよくあります。今回の更新では、autofs 設定でマウントリクエストログ識別子のログエントリーへの追加を有効にすると、特定のマウントリクエストのエントリーを簡単にフィルターすることができるようになりました。(BZ#1382093)

gfs2-utils がバージョン 3.1.10 にリベース

gfs2-utils パッケージがアップストリームバージョン 3.1.10 にアップグレードされ、バグ修正および拡張機能が数多く加えられています。特に以下が追加されています。
  • fsck.gfs2 コマンドの確認とパフォーマンス改善
  • mkfs.gfs2 コマンドにおけるブロックデバイス geometry の余り処理が向上
  • gfs2_edit savemeta リーフチェーンブロック処理のバグ修正
  • カスタム関数ではなく libuuid ライブラリーが UUID を処理
  • プロファイリング用の新 --enable-gprof 設定オプション
  • ドキュメントの改善 (BZ#1413684)

FUSE が lseek コールの SEEK_HOLESEEK_DATA をサポート

今回の更新により、 Filesystem in Userspace (FUSE) lseek システムコールの SEEK_HOLE および SEEK_DATA 機能が提供されています。これで FUSE lseek を使用して、ファイルのオフセットをデータを格納しているファイル内の次の場所に SEEK_DATA で、またはホールには SEEK_HOLE で調節することができます。(BZ#1306396)

NFSoRDMA サーバーを完全サポート

NFS over RDMA (NFSoRDMA) サーバーはこれまでテクノロジープレビューとして提供されていましたが、Red Hat Enterprise Linux クライアントでアクセスする際には完全サポートとなりました。NFSoRDMA に関する詳細情報は、Red Hat Enterprise Linux 7 Storage Administration Guide の以下のセクションを参照してください。https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Storage_Administration_Guide/index.html#nfs-rdma (BZ#1400501)

NFS サーバーが限定的コピーオフロードをサポート

NFS サーバー側のコピー機能を使用すると、NFS クライアントはネットワークを使用してデータをやり取りせずに、同一の NFS サーバー上の同一ファイルシステムに格納されている 2 つのファイル間でファイルデータをコピーできます。NFS プロトコルを使用すると異なるファイルシステム間やサーバー間でのコピーは可能ですが、Red Hat Enterprise Linux 実装では現在、このような操作はサポートしていないことに注意してください。(BZ#1356122)

Security Enhanced Linux (SELinux) の GFS2 ファイルシステムでの使用をサポート

SELinux の GFS2 ファイルシステムでの使用がサポートされるようになりました。GFS2 での SELinux の使用はパフォーマンスペナルティーを少し発生させるので、SELinux が enforcing モードのシステムでは GFS2 でのSELinux の使用を選択しないこともあります。この設定についての詳細は、https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Global_File_System_2/index.html を参照してください。(BZ#437984)

NFSoRDMA クライアントおよびサーバーが Kerberos 認証に対応

今回の更新では NFS over RDMA (NFSoRDMA) クライアントおよびサーバーの Kerberos 認証サポートが追加され、NFSoRDMA 機能で krb5、krb5i、および krb5p 認証が使用できるようになりました。これは各リモートプロシージャコール (RPC) 処理の安全な認証に使用できます。NFSoRDMA での Kerberos の使用には、1.3.0-0.36 以上の nfs-utils パッケージのインストールが必要になることに注意してください。(BZ#1401797)

rpc.idmapd が DNS からの NFSv4 ID ドメイン取得をサポート

ID マッピングに使用する NFS ドメイン名が DNS から取得できるようになりました。Domain 変数が /etc/idmapd.conf ファイルで設定されていないと、DNS に対して _nfsv4idmapdomain テキストレコードの検索がクエリされます。値が見つかると、NFS ドメインとして使用されます。
以下の方法でレコードを定義できます。
;; NFSv4 domain (for idmapping).  See Sun doc 819-1634 and
;;      http://tools.ietf.org/html/draft-mesta-nfsv4-domain-01.html
_nfsv4idmapdomain IN TXT "dicksonnet.net".
(BZ#980925)

NFSv4.1 がデフォルトの NFS マウントプロトコル

これまでは、NFSv4.0 がデフォルトの NFS マウントプロトコルでした。NFSv4.1 ではセッション、pNFS、パラレル OPEN、セッション省略などの大幅な改善がなされています。今回の更新で NFSv4.1 がデフォルトの NFS マウントプロトコルになっています。
既にマウントプロトコルのマイナーバージョンを指定している場合は、今回の更新で動作が変更されることはありません。サーバーが NFSv4.1 に対応しており、NFSv4 を特定のマイナーバージョンなしで指定した場合に動作が変更されます。お使いのサーバーが NFSv4.0 しかサポートしていない場合は、マウントは NFSv4.0 マウントのままになります。以下でマイナーバージョンとして 0 を指定すると、元の動作を維持できます。
  • マウントコマンドライン
  • /etc/fstab ファイル
  • /etc/nfsmount.conf ファイル (BZ#1375259)

第10章 ハードウェアの有効化

ハードウェアユーティリティーツールが最近リリースされたハードウェアを適切に識別

これまでは、古くなった ID ファイルにより、コンピューターに接続されているハードウェアで最近リリースされたものが不明とレポートされていました。このバグを修正するため、PCI、USB、およびベンダーのデバイス識別ファイルが更新されました。この結果、ハードウェアユーティリティーツールが正確に最近リリースされたハードウェアを識別します。(BZ#1386133)

7.4 で導入された Wacom 新ドライバーが最新タブレットをサポート

今回の更新では、Wacom の新ドライバーが導入され、最近リリースのタブレットとリリース予定のタブレットに対応しています。また、現行のドライバーはこれまでにリリースされたタブレットを引き続きサポートします。
注目すべき機能
  • Wacom 27QHT (touch) に対応
  • ExpressKey Remote (BZ#1385026)

Wacom カーネルドライバーが ThinkPad X1 Yoga タッチスクリーンに対応

今回の更新で、ThinkPad X1 Yoga タッチスクリーンのサポートが Wacom カーネルドライバーに追加されました。この結果、そのマシン上で Red Hat Enterprise Linux 7 を稼働する際にタッチスクリーンが適切に使用できます。(BZ#1388646)

Wacom Cintiq 27 QHDT タブレットにタッチスクリーン機能を追加

今回の更新では Wacom Cintiq 27 QHDT タブレット向けのタッチスクリーン機能サポートが追加され、そのマシン上で Red Hat Enterprise Linux 7 を稼働する際にタッチスクリーンが適切に使用できます。 (BZ#1391668)

AMDGPUSouthern IslandsSea IslandsVolcanic Islands および Arctic Islands のチップセットをサポート

Southern IslandsSea IslandsVolcanic Islands および Arctic Islands チップセットのサポートが追加されました。AMDGPU グラフィックドライバーは、最新の AMD/ATI Radeon グラフィックカード向けの次世代オープンソースグラフィックドライバーのファミリーです。これは、Southern IslandsSea IslandsVolcanic Islands、および Arctic Islands チップセットをベースにしています。linux-firmware パッケージが提供する、カード向けの適切なファームウェアもしくはマイクロコードのインストールが必要になります。(BZ#1385757)

AMD モバイルグラフィックスをサポート

Polaris アーキテクチャーをベースとした AMD モバイルグラフィックスのサポートが追加されました。Polaris アーキテクチャーは Arctic Islands チップセットをベースにしています。linux-firmware パッケージが提供する、カード向けの適切なファームウェアもしくはマイクロコードのインストールが必要になります。(BZ#1339127)

Netronome NFP デバイスに対応

今回の更新では nfp ドライバーが Linux カーネルに追加されました。これにより、Netronome Network Flow Processor (Netronome NFP 4000/6000 VF) デバイスが Red Hat Enterprise Linux 7 でサポートされるようになっています。(BZ#1377767)

nvme-cli がバージョン 1.3 にリベース

nvme-cli ユーティリティーがバージョン 1.3 に更新され、Nonvolatile Memory Express (NVMe) をサポートするようになりました。NVMe のサポートにより、Remote Direct Memory Access (RDMA) でターゲットを発見し、このターゲットに接続することができます。(BZ#1382119)

queued spinlock を Linux カーネルに実装

今回の更新では、AMD64 および Intel 64 アーキテクチャー上のカーネル内の spinlock 実装が ticket spinlock から queued spinlock に変更されました。queued spinclock は ticket spinlock よりも拡張性があります。このため、CPU 数の多い Symmetric Multi Processing (SMP) システムでは特に、システムパフォーマンスが改善します。パフォーマンスは、CPU 数の増加に沿って向上します。spinlock 実装の変更により、Red Hat Enterprise Linux 7 に組み込まれているカーネルモジュールは、以前のリリースのカーネルから読み込むことができない場合があります。Red Hat Enterprise Linux (RHEL) バージョン 7.4 以前のリリースでのカーネルモジュールは、RHEL 7.4 リリースのカーネルに読み込むことができます。(BZ#1241990)

rapl が Intel Xeon v2 サーバーをサポート

Intel rapl ドライバーが Intel Xeon v2 サーバーに対応するようになりました。(BZ#1379590)

Intel Platform Controller Hub [PCH] デバイスのサポート

カーネルが Intel Xeon プロセッサー E3 v6 ファミリー CPU 上の新しい Intel PCH ハードウェアに対応するようになりました。(BZ#1391219)

genwqe-tools で zLib のための IBM Power および s390x ハードウェア使用が可能

genwqe-tools パッケージを使用すると、IBM Power および s390x ハードウェアのユーザーが zLib 圧縮および展開のための FPGA ベースの PCIe カードを使用することができます。
このツールにより、RFC1950、RFC1951 および RFC1952 準拠のハードウェアを使用してパフォーマンス向上を図ることができます。(BZ#1275663)

librtas がバージョン 2.0.1 にリベース

librtas パッケージがアップストリームバージョン 2.0.1 にアップグレードされ、バグ修正および拡張機能が数多く加えられています。特に以下のライブラリーの soname が変更されています。librtas.so.1librtas.so.2 に、また librtasevent.so.1librtasevent.so.2 になっています。(BZ#1380656)

NFP ドライバー

Network Flow Processor (NFP) がドライバーが Linux カーネル 4.11 バージョンからバックポートされました。このドライバーは、高度な Ethernet NIC として機能する Netronome NFP4000 および NFP6000 ベースのカードをサポートします。このドライバーは、SR-IOV の物理的および仮想機能の両方で機能します。(BZ#1406197)

Wacom ExpressKey Remote のサポート

Wacom ExpressKey Remote (EKR) が Red Hat Enterprise Linux 7 でサポートされるようになりました。EKR は外部ドライバーで、ショートカット、メニューおよびコマンドへのアクセスを可能にします。(BZ#1346348)

Wacom Cintiq 27 QHD が ExpressKey Remote をサポート

今回の更新では、Wacom Cintiq 27 QHD タブレットが ExpressKey Remote (EKR) をサポートするようになりました。EKR は外部ドライバーで、ショートカット、メニューおよびコマンドへのアクセスを可能にします。(BZ#1342990)

Trusted Computing Group の TPM 2.0 System API ライブラリーと管理ユーティリティーが利用可能

Red Hat Enterprise Linux に 2 つの新パッケージが追加され、Trusted Computing Group の Trusted Platform Module (TPM) 2.0 ハードウェアをサポートするようになりました。
  • tpm2-tss パッケージは、TPM 2.0 System API ライブラリーの Intel 実装を追加します。このライブラリーによりプログラムが TPM 2.0 デバイスと対話できます。
  • tpm2-tools パッケージは、ユーザースペースから TPM 2.0 デバイスを管理、利用するためのユーティリティーセットを追加します。(BZ#1275027, BZ#1275029)

新パッケージ: tss2

tss2 パッケージは、Trusted Computing Group Software Stack (TSS) 2.0 の IBM 実装を追加します。このパッケージによりユーザーは TPM 2.0 デバイスと対話できるようになります。(BZ#1384452)

第11章 インストールと起動

自動パーティショニングで /home/ が作成されないようにするキックスタートファイル内の autopart --nohome

今回の更新では、/home/ パーティションの自動作成を無効にするために、キックスタートファイルの autopart コマンドに --nohome オプションが追加されました。今回の機能拡張で、/home/ パーティションの作成を回避する場合に、手動でパーティショニングをする必要がなくなります。今回の更新の結果、自動でパーティショニングを作成した場合にも /home パーティションが作成されません (BZ#663099)。

Anaconda による RAID チャンクサイズの有効化

今回の更新では、キックスタートファイルの raid ユーティリティーに --chunksize パラメーターを設定して RAID ストレージのチャンクサイズを KB 単位で指定できるようになりました。--chunksize パラメーターは、デフォルトの値を上書きします。そのため、新しくチャンクサイズを指定することで、デフォルト値がパフォーマンスに与える悪影響を回避することができます (BZ#1332316)。

Anaconda テキストモードによる IPoIB インターフェースのサポート

今回の更新では、テキストモードで手動インストールする際の IP over InfiniBand (IPoIB) ネットワークインターフェースのサポートが追加されました。IPoIB インターフェースのステータス情報を表示して、インターフェースの設定を変更できるようになりました (BZ#1366935)。

stage2 またはキックスタートファイルでネットワークの場所を複数指定してインストールの失敗を回避

今回の更新では、inst.stage2 および inst.ks ブートオプションで stage2 やキックスタートファイルのネットワークの場所を複数指定できるようになりました。これにより、stage2 またはキックスタートファイルで問い合わせたサーバーにアクセスできない場合に、要求ファイルに到達できなかったり、インストールに失敗したりする状況が回避されます。
今回の新しい更新では、複数の場所を指定されるのでインストールの失敗を回避できます。定義した場所がすべて HTTPHTTPS または FTP の URL の場合には、要求ファイルが正常にフェッチされるまで順番に問い合わせが試行されます。URL 以外の場所がある場合には、最後に指定された場所のみが試行され、残りの場所は無視されます (BZ#1391724)。

ハードディスクドライブおよび USB からのドライバーディスクの読み込みの有効化

今回の更新では、ネットワーク経由や initrd から読み込むのではなく、ハードディスクドライブまたは同様のデバイスからドライバーディスクを読み込むことができるようになりました。インストールは、キックスタートまたは起動オプションを使用して続行できます。
手順は以下のとおりです。
1. ハードディスクドライブ、USB または同様のデバイスのドライバーディスクを読み込みます。
2. このデバイスに対して DD などのラベルを設定します。
注記:
キックスタートでのインストールの場合は、
driverdisk LABEL=DD:/e1000.rpm
上記をキックスタートファイルに追加します。
起動オプションを指定する場合には、起動の引数として以下を指定して、
inst.dd=hd:LABEL=DD:/dd.rpm
インストールを開始します。
キックスタート、起動オプションのいずれの場合も DD は具体的なラベルに、dd.rpm は具体的な名前に置き換えます。LABEL には、inst.repo コマンドでサポートされている内容を使用してハードディスクドライブを指定します。キックスタートの driverdisk コマンドの LABEL を指定する引数には、英数字以外は使用しないでください (BZ#1377233)。

inst.debug を使用することで anaconda のインストールの問題のデバッグをより簡素化にする

今回の更新では、inst.debug 起動オプションを指定して Anaconda のインストールを開始することでマシンの初期段階に関するログを保存する機能が追加されました。このオプションは、/tmp/pre-anaconda-logs/ ディレクトリーに lsblkdmesglvmdump の 3 つのログを追加で保存し、インストール時に発生した問題のデバッグを簡素化できます (BZ#1255659)。

キックスタートのインストールに失敗すると自動的に %onerror スクリプトがトリガーされる

今回の機能拡張では、anaconda インストールに失敗した場合に、キックスタートファイルの %onerror セクションが確実に実行されるようになりました。これらのスクリプトを使用して、さらに検証が行えるようにログを自動的に収集できるようになりました。今回の更新の結果、インストール時にトレースバックや別の致命的なエラーが発生した場合に、インストーラーが %onerror スクリプトを実行して、%traceback スクリプトにより、エラーがトレースバックにより発生したかどうかが確認されます (BZ#1412538)。

LVM シンプールの自動パーティショニングの動きに変更を追加

以前のリリースでは、キックスタートファイル、対話式インストールのいずれを使用した場合でも、インストールで作成または使用した論理ボリューム管理 (LVM) の新プールで、全サイズの 20% が確保されていました。
今回の更新で以下の変更が加えられました。
  • 自動パーティショニングで LVM のシンプールを作成した場合に、ボリュームグループのサイズの 20 % (最小サイズ 1 GiB、最大サイズ 100 GiB) が確保されます。
  • キックスタートファイルで logvol --thinpool --grow コマンドを使用した場合には、シンプールは最大許容サイズに拡大され、ボリュームグループのサイズを増やす容量がなくなります。このような場合には、volgroup --reserved-space または volgroup --reserved-percent コマンドを使用して、ボリュームグループ用に領域を確保することができ、またこれが推奨されます (BZ#1131247)。

32 ビットのブートローダーは UEFI で 64 ビットのカーネルを起動できるようになる

今回の更新では、32 ビットのブートローダーを使用して UEFI ファームウェアが含まれるシステムで grub2-i386-efi などの 64 ビットのカーネルを起動できるようになりました (BZ#1310775)。

Lorax は SSL エラーを無視できるようになる

以前のリリースでは lorax ツールは 自己署名の証明書を指定した HTTPS リポジトリーを使用できませんでした。使用しようとすると、エラーが発生してそれ以降に続行する方法がありませんでした。今回の更新では ユーティリティーに --noverifyssl のコマンドラインオプションが追加され、サーバーの証明書の検証を省略してエラーを無視できるようになりました (BZ#1430483)。

shim-signed がバージョン 12-1 にリベース

今回の更新では shim-signed パッケージがアップストリームバージョン 12-1 にアップグレードされ、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。特に、32 ビットの UEFI ファームウェアおよび Extensible Firmware Interface (EFI) ユーティリティーが追加されました (BZ#1310764)。

killproc() および status() に対する後方互換性の有効化

今回の更新以前は、Red Hat Enterprise Linux 7 に含まれる /etc/rc.d/init.d/functions スクリプトには、対応する Red Hat Enterprise Linux 6 機能の一部が欠けていました。initscripts パッケージが更新され、/etc/rc.d/init.d/functions ファイルの killproc() および status() の関数に -b オプションのサポートが追加されました。今回の追加で、Red Hat Enterprise Linux 6 に対する後方互換の対応が可能になり、Red Hat Enterprise Linux 6 から Red Hat Enterprise Linux 7 へのアップグレード時に発生する可能性のある不具合を回避できるようになりました (BZ#1428935)。

Anaconda はネットワークが利用可能になるまで待機してからインストールを開始可能になった

環境によっては、最初の DHCP 要求が失敗すると想定されている場合もあります。以前のリリースでは、最初の DHCP が失敗すると、Anaconda がインストールを続行して、特に後ほど接続を手動で確立できない自動インストールで問題が発生する可能性がありました。今回の更新では、Anaconda の新しい起動オプション、inst.waitfornet=X が導入され、インストール続行前にインストーラーが強制的に、ネットワークの確立まで X 秒待機するようになりました。接続が確立されるか、指定の時間間隔が経過したら、インストールが続行されます (BZ#1315160)。

DHCP_FQDN によりシステムの完全修飾ドメイン名が指定できるようになった

以前のリリースでは、システムのホスト名を指定する際に、DHCP_HOSTNAME ディレクティブを必要とする ifcfg インターフェースの設定ファイルを使用していました。新しい initscripts の DHCP_FQDN ディレクティブは、システムの完全修飾ドメイン名も指定できます。これは、DHCP_HOSTNAME ディレクティブを補足するもので、DHCP_HOSTNAMEDHCP_FQDN の両方が指定された場合には DHCP_FQDN のみが使用されます (BZ#1260552)。

インストールプロセス中にシン論理ボリュームのスナップショットを作成できるようになる

今回の更新では新しいキックスタートコマンド、snapshot のサポートが追加されました。このコマンドにより、インストール前または後に LVM シンボリュームスナップショットを作成できるようになりました。利用可能なオプションは以下のとおりです。
  • <vg_name>/<lv_name>: スナップショットを作成するボリュームグループと論理ボリュームの名前を指定します。
  • --name=: スナップショットの名前を指定します。
  • --when=: インストール開始前にスナップショットを作成する場合に pre-install を指定します。これは、アップグレード前にシステムの状態を保存する場合に便利です。または、追加の変更を加える前に新規インストールしたシステムのスナップショットを作成するには post-install を指定します。
これら 3 つのオプションは必須です。また、単一のキックスタートファイルでこのコマンドを複数回使用してインストール前/後にスナップショットを作成したり、複数の論理ボリュームのスナップショットを作成したりできます。このコマンドを指定する際は、--name= パラメーター毎に一意名を指定するようにしてください (BZ#1113207)。

第12章 カーネル

perf が Intel Xeon v5 の Uncore イベントに対応

今回の更新により、Linux のパフォーマンス分析ツール (perf) が更新され、Intel Xeon v5 サーバー CPU での uncore イベントがサポートされるようになりました。これらのイベントは、上級ユーザーに追加のパフォーマンスモニター情報を提供します (BZ#1355919)。

crash が IBM Power ISA 3.0 の vmcore ダンプを分析

crash ユーティリティーが更新され、IBM Power ISA バージョン 3.0 アーキテクチャーに関連するカーネルページテーブルの変更に対応できるようになりました。その結果、crash ユーティリティーが IBM Power ISA 3.0 システムでのカーネルの vmcore ダンプを解析できるようになりました (BZ#1368711)。

IBM Power および IBM Power の Little Endian 版向けに crash が更新

crash パッケージが更新され、IBM Power Systems および IBM Power Systems の Little Endian 版がサポートされるようになりました。これらのパッケージは、ライブシステムや kexec-tools パッケージまたは Red Hat Enterprise Linux カーネルで作成されるカーネルコアダンプを調査するために使用できる自己完結型ツールのコア分析スイートを提供します (BZ#1384944)。

memkind がバージョン 1.3.0 に更新

memkind ライブラリーがバージョン 1.3.0 に更新され、以前のバージョンに対する複数のバグ修正および機能拡張が追加されています。
主な変更点は以下の通りです。
  • ロギングメカニズムが導入されました。
  • 以下のシンボルが非推奨になりました: memkind_finalize()、memkind_get_num_kind()、memkind_get_kind_by_partition()、memkind_get_kind_by_name()、memkind_partition_mmap()、memkind_get_size()、MEMKIND_ERROR_MEMALIGN、MEMKIND_ERROR_MALLCTL、MEMKIND_ERROR_GETCPU、MEMKIND_ERROR_PMTT、MEMKIND_ERROR_TIEDISTANCE、MEMKIND_ERROR_ALIGNMENT、MEMKIND_ERROR_MALLOCX、MEMKIND_ERROR_REPNAME、MEMKIND_ERROR_PTHREAD、MEMKIND_ERROR_BADPOLICY、MEMKIND_ERROR_REPPOLICY
  • Hardware Locality (hwloc) が統合され、--with-hwloc オプションを使用してオンにできるようになりました。
  • libmemkind.so で公開されるシンボルのクリーンアップが実行されました。たとえば、libnuma および jemalloc は公開されなくなりました。
  • AutoHBW ファイルが /memkind/autohbw/ ディレクトリーに移動し、コードのリファクタリングが行われ、テストが適切なシナリオに追加されました。
  • セキュリティーを強化するフラグが memkind に追加されました。フラグは --disable-secure 設定時間オプションを使ってオフにできます。
  • jemalloc の設定は使用されない機能をオフにできるように変更されました (BZ#1384549)。

Jitter Entropy RNG がカーネルに追加される

今回の更新により、CPU タイミングの違いによるエントロピーを収集する Jitter Entropy Random Number Generator (RNG) が追加されています。この RNG は、algif_rng インターフェースでデフォルトで利用できます。生成される数は /dev/random ファイルでカーネルに戻されるため、これらの数は他の/dev/random ユーザーも使用できます。その結果、オペレーティングシステムには利用可能なエントロピーのソースが増えることになります (BZ#1270982)。

/dev/random が urandom プールの初期化についての通知および警告を表示

今回の更新により、ランダムドライバー (/dev/random) が、非停止 (nonblocking) プール (/dev/urandom で使用) が初期化される際にメッセージを出力するように変更されています (BZ#1298643)。

fjes がバージョン 1.2 に更新

fjes ドライバーがバージョン 1.2 に更新され、以前のバージョンに対するバグ修正および機能拡張が数多く追加されています (BZ#1388716)。

crash がバージョン 7.1.9 にリベース

今回の更新により、crash パッケージがアップストリームバージョン 7.1.9 にアップグレードされ、以前のバージョンに対するバグ修正および拡張機能が数多く追加されています (BZ#1393534)。

ユーザーネームスペースの完全サポート

Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして提供されていたユーザーのネームスペース (userns) が完全サポートとなりました。これは、ホストとコンテナーの分離を強化することで、Linux コンテナーを実行しているサーバーの安全性を高めます。コンテナー管理者がホストでの管理操作を実行できなくなるので、安全性が高まります。
user.max_user_namespaces のデフォルト値はゼロです。これをゼロ以外の値に設定し、誤作動するアプリケーションを停止することができます。user.max_usernamespaces を 15000 などの大きな値に設定し、通常の操作で値を再度参照しなくてもよいようにすることが推奨されています (BZ#1340238)。

Intel Cache Allocation テクノロジーに対応

今回の更新により、Intel Cache Allocation テクノロジーのサポートが追加されています。このテクノロジーにより、ソフトウェアでキャッシュの割り当てをキャッシュの定義されたセットに限定することができます。定義されたサブセットは他のサブセットと重複することがあります (BZ#1288964)。

qat が最新のアップストリームバージョンに更新

qat ドライバーが最新のアップストリームバージョンにアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されています。
主なバグ修正および機能拡張は以下の通りです。
  • Diffie-Hellman (DH) ソフトウェアのサポートを追加
  • Elliptic Curve Diffie–Hellman (ECDH) ソフトウェアのサポートを追加
  • curve P-192 および P-256 用の Error-correcting Code (ECC) ソフトウェアのサポートを追加 (BZ#1382849)

intel-cmt-cat パッケージの追加

このパッケージで提供される pqos ユーティリティーにより、管理者は L3 キャッシュの監視および操作を実行し、ユーティリティーとパフォーマンスを強化できるようになりました。
このツールはカーネル API をバイパスし、直接ハードウェアで作動します。これには事前に CPU ピニングがターゲットプロセスで使用されている必要があります (BZ#1315489)。

NVMe ドライバーがカーネルバージョン 4.10 にリベース

NVM-Express カーネルドライバーがアップストリームカーネルバージョン 4.10 に更新され、バグ修正および機能拡張が数多く追加されています。主な変更点は以下の通りです: 既存の RDMA NIC (Infiniband, RoCE, iWARP) および既存の NVMe SSD を使用する初期の NVMe-over-Fabrics トランスポート実装がドライバーに追加されましたが、これには DIF/DIX およびマルチパス化 (multipathing) のサポートは含まれていません (BZ#1383834)。

i40e が信頼されている/信頼されていない VF に対応

今回の更新により、信頼されている/信頼されていない仮想機能のサポートが i40e NIC ドライバーに追加されました (BZ#1384456)。

OVS 802.1ad のカーネルサポート (QinQ)

今回の更新により、カーネルで 802.1ad (QinQ) ネットワーク標準を有効にすることで 2 つの VLAN タグを Open vSwitch (OVS) で使用する機能が提供されます。今回の更新のユーザースペースの部分は openvswitch パッケージで提供されることに注意してください (BZ#1155732)。

共有メモリーおよび hugetlbfs のライブポストコピー移行サポート

今回の更新により、カーネルが強化され、ライブポストコピー移行で共有メモリーと hugetlbfs ファイルシステムをサポートできるようになりました。この機能を利用するには、以下を実行します。
  • ホストでの 2MiB huge page の設定
  • 2MiB huge page でのゲスト VM の設定
  • ゲスト VM およびメモリーをテストするための負荷テストアプリケーションの実行
  • ポストコピーによるゲスト VM のライブマイグレーション (BZ#1373606)。

新パッケージ: dbxtool

dbxtool パッケージは、UEFI Secure Boot DBX 更新を適用するためのコマンドラインユーティリティーと 1回限りの systemd サービスを提供します (BZ#1078990)。

MM KASLR を Linux カーネルで有効化

今回の更新により、Kernel Address Space Layout Randomization (KASLR) 機能が Linux カーネルのメモリー管理 (mm) セクションで有効になりました。その結果、KASLR はいくつかの mm セクションの仮想アドレスの開始アドレスのランダム化を許可します (Direct mapping/vmalloc/vmemmap セクション)。KASLR は、カーネル内部の場所についての知識に依存した不正使用の試みを防ぐセキュリティー機能です (BZ#1424943)。

mlx5 が SRIOV で信頼される VF に対応

今回の更新により、Single Root I/O Virtualization (SRIOV) で信頼される仮想機能 (VF) のサポートが mlx5 ドライバーに追加されました (BZ#1383280)。

4.9 カーネルの rwsem パフォーマンス更新がバックポート

今回の更新により、kernel Application Binary Interface (kABI) が維持される状態で、大半のアップストリーム R/W セマフォー (rwsem) のパフォーマンス関連の変更 (Linux カーネルバージョン 4.9 まで) が Linux カーネルにバックポートされました。
主な変更点は以下の通りです。
  • Writer の楽観的なスピン (Writer-optimistic spinning) により、ロックの待ち時間が削減すると共にロックのパフォーマンスが向上しました。
  • 内部のスピンロックを保持せずロック不要の waiter wakeup を使用 (BZ#1416924)。

getrandom が Linux カーネルに追加

今回の更新により、getrandom システム呼び出しが Linux カーネルに追加されます。その結果、ユーザースペースは /dev/urandom で使用される同じ非ブロックエントロピープール (non-blocking entoropy pool) のランダム度を要求し、ユーザースペースは 128 バイト以上のエントロピーがそのプールに蓄積されるまでブロックできます (BZ#1432218)。

XTS-AES キー検証が FIPS 140-2 要件に対応

今回の更新により、Red Hat Enterprise Linux を FIPS モードで実行し、カーネル XTS-AES キー検証を使用している際に、AES キーは tweak キーとは異なるキーとなるように強制されます。これにより FIPS 140-2 IG A.9 要件を満たしていることになります。さらに、ciphertext stealing (XTS) テストベクターを備えた XEX ベースの tweaked-codebook モードが省略されるようにマーキングされます (BZ#1314179)。

第13章 リアルタイムカーネル

Red Hat Enterprise Linux for Real Time Kernel について

Red Hat Enterprise Linux for Real Time Kernel は、決定要件が非常に高いシステムにおける詳細なチューニングを可能にするものです。標準カーネルをチューニングすることで、結果の一貫性が高まります。リアルタイムカーネルを使用すると、標準カーネルのチューニングで得られる結果の一貫性がさらに向上します。
リアルタイムカーネルは rhel-7-server-rt-rpms リポジトリーから入手可能です。インストール方法は Installation Guide にあり、その他のドキュメンテーションは Product Documentation for Red Hat Enterprise Linux for Real Time にあります。

kernel-rt のリベース

kernel-rt ソースが最新の Red Hat Enterprise Linux カーネルソースツリーをベースとするようアップグレードされ、バグ修正および拡張機能が数多く加えられています。(BZ#1391779)

第14章 ネットワーク

NetworkManager がバージョン 1.8 にリベース

NetworkManager パッケージがアップストリームバージョン 1.8 にアップグレードされ、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。主な変更点は以下の通りです。
  • 追加のルーティングオプションのサポートが追加されました。
  • デバイスの移行状態が再起動されるまで永続化されるようになりました。
  • 外部で管理されたデバイスが正しく処理されるようになりました。
  • マルチホームホスト上のネットワークの信頼性が強化されました。
  • ホスト名管理の設定がより柔軟化されました。
  • 802-3 link properties の変更および強制指定のサポートが追加されました。
詳しい情報は https://cgit.freedesktop.org/NetworkManager/NetworkManager/tree/NEWS?h=1.8.0 (BZ#1414103) を参照してください。

NetworkManager によるルーティング関連の追加機能のサポート

今回の更新では、NetworkManager は、接続の静的 IPv4 および IPv6 ルーティング向けの source_address (src、IPv4 のみ)、fromtype_of_service (tos)、windowmaximum_transmission_unit (mtu)、congestion_window (cwnd)、initial_congestion_window (initcwnd)、initial_receiver_window (initrwnd) などの詳細オプションが設定できるようになりました (BZ#1373698)。

NetworkManager によるデバイス状態の処理機能の改善

今回の更新では、NetworkManager はサービスの再起動後にデバイスの状態を維持し、再起動時に管理モードに設定されたインターフェースを引き継ぐようになりました。さらに NetworkManager は、「unmanaged」と明示的に設定されていないが、ユーザーまたは別のネットワークサービスにより手動で制御されているデバイスを処理できるようになりました (BZ#1394579)。

NetworkManager による MACsec (IEEE 802.1AE) のサポート

今回の更新では、Media Access Control Security (MACsec) の暗号化を NetworkManager に設定するサポートが追加されました (BZ#1337997)。

NetworkManager による 802-3 link properties の変更および強制指定のサポート

以前のリリースでは、NetworkManager802-3 link properties : 802-3-ethernet.speed802-3 ethernet.duplex802-3-ethernet.auto-negotiate を公開するのみでした。今回の更新では、このプロパティーを変更して強制的に指定できるようになりました。auto-negotiate=yes を使用して自動的に指定することも、auto-negotiate=nospeed=<Mbit/s>duplex=[half,full] を使用して手動で設定することも可能です。
auto-negotiate=no と、speed または duplex が設定されていない場合に、リンクの交渉がスキップされ、auto-negotiate=no, speed=0, duplex=NULL のデフォルト値が維持される点に注意してください。
また auto-negotiate のデフォルト値が yes から no に変更され、後方互換性が確保されている点に注意してください。以前のリリースでは、このプロパティーは無視されていましたが、auto-negotiate の値が yes の場合にはリンク交渉が強制的に有効化できるようになりました。no に設定して speedduplex を設定しない場合には、リンク交渉は無視されます (BZ#1353612)。

NetworkManager によるデバイス名をベースにしたボンドスレーブの順序付けのサポート

以前のリリースでは、スレーブ接続を有効化する既存の順番が原因でマスターインターフェースの MAC アドレスを決定する際に問題が発生する可能性がありました。今回の更新では、デバイス名をベースにより推測可能な順序付けがされるようになりました。新しい順序付けを有効化するには、NetworkManager 設定の slaves-order=name 設定を使用します。
新しい順序付けはデフォルトでは無効になっており、明示的に有効化する必要がある点に注意してください (BZ#1420708)。

NetworkManager による SR-IOV デバイス向けの VF のサポート

今回の更新では NetworkManager システムサービスは、Single Root I/O Virtualization (SR-IOV) PCI デバイス向けに VF (Virtual Function) を作成するサポートが追加されました。VF 数は、NetworkManager 設定ファイルのデバイスセクションにある sriov-num-vfs オプションを使用して指定することができます。VF の作成後に NetworkManager はその VF で接続プロファイルを有効化することができます。
Maximum Transmission Unit (MTU) などの VF インターフェースのプロパティーは、物理インターフェースに設定されたプロパティーと互換性がある値にしか設定できない点に注意してください (BZ#1398934)。

カーネル GRE がバージョン 4.8 にリベース

カーネル Generic Routing Encapsulation (GRE) のトンネリングがアップストリームバージョン 4.8 に更新され、1 つ前のバージョンに対して多くのバグ修正や機能拡張が追加されています。最も顕著な変更は以下のとおりです。
  • IPv4 GRE および IPv6 GRE の送信および受信パスのコードマージ
  • gre (IPv4 GRE) または ip6gre (IPv6 GRE) デバイスを停止させずにリンク層のアドレスを変更する機能の拡張
  • IPv6 GRE トラフィック向けの checksumscatter-gatherhighdmagso または gro などのさまざまなオフロードのサポート
  • ip6gretap デバイスの追加時におけるカーネルモジュールの自動読み込み
  • Linux カーネルバージョン 4.8 に合わせて GRE トンネルに影響を与えるさまざまなトンネリングの修正 (例: エラー処理、MTU 計算、パス MTU の検出) (BZ#1369158)

dnsmasq がバージョン 2.76 にリベース

dnsmasq パッケージはバージョン 2.76 にアップグレードされ、数多くのバグ修正や拡張機能が追加されました。主な変更点には以下が含まれます。
  • dhcp_release6 ユーティリティーがサポートされるようになりました。
  • ra-param オプションが追加されました。
  • DHCPv6 情報要求に対応する RFC-4242 information-refresh-time オプションのサポートが追加されました。
  • RFC-3775 準拠のモバイル IPv6 サポートに ra-advrouter モードが追加されました。
  • script-arp スクリプトが追加され、dhcp-script スクリプトに新たな関数が 2 つ追加されました。
  • DHCPv6 の一時的なアドレス割当に、演算ベースで決定された静的なアドレスではなく、’無作為なアドレスを使用することができるようになりました。
  • 任意の新規 DNS Security Extensions (DNSSEC) サポートが無効になりました。
  • dnsmasq は IPv6 ルーター広告のデフォルト値を変更できるので、デフォルトの優先順位と、dnsmasq が広告したルートの間隔 (時間) を変更には ra-param オプションを使用します。詳しい情報は dnsmasq(1) man ページを参照してください (BZ#1375527、BZ#1398337)。

BIND の URI リソースレコードを処理する方法が変更され URI 後方互換性にも影響を与えるようになった

今回の更新では、BIND スイートは URI リソースレコードを使用することで、余分なバイト数を値のフィールドに追加しなくなりました。つまり、Red Hat Enterprise Linux (RHEL) 7.4 の BIND は RFC 7553: https://tools.ietf.org/html/rfc7553 に記載どおりの形式でのみ通信されるようになりました。
今回の更新により、新規の URI レコードは、以前の RHEL バージョンの BIND を使用して作成したレコードと互換性がなくなります。たとえば、RHEL 7.4 の BIND は以下ができません。
  • 以前の RHEL バージョンの BIND で提供された URI レコードを理解すること
  • 以前の RHEL バージョンの BIND を使用してクライアントに URI レコードにサービスを提供すること
ただし、RHEL 7.4 の BIND は依然として以下を実行できます。
  • 過去のバージョンおよび今後のバージョンの RHEL の BIND からのレコードをキャッシュして受信すること
  • 以前の URI 形式のレコードに不明な DNS リソースレコードとしてサービスを提供すること。詳しくは、RFC 3597 を参照してください (https://tools.ietf.org/html/rfc3597)。
今回の更新後に、DNS ゾーンファイルに変更を加える必要はありません (BZ#1388534)。

BIND アップストリームバージョン 9.11.0 からの DynDB API を Red Hat Enterprise Linux に追加

今回の更新では、bind パッケージのアップストリームバージョン 9.11.0 で導入された dyndb システムプラグインの API がバックポートされました。これにより、Red Hat Enterprise Linux の bind-dyndb-ldap プラグインが新しい API を使用するようになりました。以前の Red Hat Enterprise Linux リリースで使用されていた、ダウンストリームの dynamic_db 機能に対するサポートはなくなりました。
アップストリームの dyndb はダウンストリームの dynamic_db とは異なる設定構文を使用するため、今回の更新で、構文も変更されていますが、設定を手動で変更する必要はありません (BZ#1393886)。

Microsoft Azure クラウド向け DDNS 用の DHCP クライアントフック例を追加

Microsoft Azure クラウド向け DDNS 用の DHCP クライアントフックの例が dhclient パッケージに追加されました。管理者はこのフックを有効にして、Red Hat Enterprise Linux クライアントを容易に DDNS サーバーに登録することができます (BZ#1374119)。

dhcp_release6 による IPv6 アドレスの解放

今回の更新では、dhcp_release6 ユーティリティーは、ローカルの dnsmasq サーバー上の IPv6 アドレス用に Dynamic Host Configuration Protocol バージョン 6 (DHCPv6) リースを解放できるようになりました。dhcp_release6 コマンドに関する詳しい情報は、dhcp_release6(1) man ページを参照してください (BZ#1375569)。

Sendmail が ECDHE をサポート

今回の更新では Red Hat Enterprise Linux 7 Sendmail に楕円曲線ディフィーヘルマン共有 (ECDHE: Elliptic Curve Diffie-Hellman Exchange) サポートが追加されました。ECDHE とは、楕円曲線暗号 (ECC) を使用する Diffie-Hellman プロトコルの派生で、2 者がセキュアでないチャネルで共有鍵を作成可能な匿名の鍵共有プロトコルのことです (BZ#1124827)。

telnet による -6 オプションのサポート

今回の更新では、telnet ユーティリティーは IPv6 接続をテストする -6 オプションをサポートするようになりました (BZ#1367415)。

Unbound に DNS ネガティブ応答をキャッシュする TTL 制限が調節可能になる

今回の更新では、Unbound サービスに cache-max-negative-ttl 設定オプションが追加され、特に DNS ネガティブ応答をキャッシュできるように、最大 TTL を調節できるようになりました。以前のリリースでは、この制限はドメイン SOA レコードにより決定されるか、設定済みの場合には DNS 応答をすべてキャッシュした時の TTL 上限と同じ値に設定されていました。
Unbound が DNS 応答のキャッシュの TTL を決定する場合に、cache-min-ttl オプションの値セットは cache-max-negative-ttl で指定された値よりも優先される点に注意してください (BZ#1382383)。

UDP ソケットのスケーラビリティーの向上

今回の更新では、UDP フォワードメモリーアカウンティングを向上し、UDP のロック競合を減らします。それにより、送信機能に変更を加えることなく、複数のピアからトラフィックを受信する UDP ソケットの全体的な受信処理量が大幅に増加されます (BZ#1388467)。

IP によるカーネルの IP_BIND_ADDRESS_NO_PORT のサポート追加

今回の更新では、IP_BIND_ADDRESS_NO_PORT のソケットオプションが追加されました。これにより、bind() 要求がポート番号 0 に対して使用された場合に、カーネルが L4 タプルを省略できるようになりました。そのため、異なる送信先ホストに対する多くの接続を同時に保持できます (BZ#1374498)。

IPVS Source Hash スケジュールによる L4 スケジュールおよび SH フォールバックのサポートの追加

今回の更新では、IP Virtual Server (IPVD) Source Hash スケジュールアルゴリズムに以下が追加されました。
  • L4 ハッシュ
  • 送信先サーバーの重みが 0 の場合には (つまり送信先サーバーが非アクティブの場合)、次にアクティブなサーバーへの要求に SH がフォールバックする機能
上記が追加された結果、1 つのソース IP アドレスからの要求の負荷をポート番号をベースに分散できるようになりました。非アクティブなサーバーへの要求はタイムアウトしなくなりました (BZ#1365002)。

iproute によるブリッジポートオプションの変更サポート

今回の更新では、stateprioritycost などのブリッジポートオプションの変更機能が iproute パッケージに追加されました。新機能が追加されたことで、iproutebridge-utils パッケージの代わりとして使用できるようになりました (BZ#1373971)。

SCTP のソケット API 拡張 (RFC 6458) の新規オプション実装

今回の更新では SCTP_SNDINFOSCTP_NXTINFOSCTP_NXTINFO および SCTP_DEFAULT_SNDINFO のオプションがストリーム コントロール トランスミッション プロトコル (SCTP: Stream Control Transmission Protocol) のソケット API 拡張に追加されました (RFC 6458)。
SCTP_SNDRCVSCTP_EXTRCV および SCTP_DEFAULT_SEND_PARAM のオプションが非推奨となり、これらの新しいオプションに置き換えられます。非推奨の機能セクションも参照してください (BZ#1339791)。

ss による SCTP ソケットリストのサポート

以前のリリースでは netstat ユーティリティーがストリームコントロールトランスミッションプロトコル (SCTP) ソケットの一覧を提供していましたが、今回の更新では ss ユーティリティーがこの同じ一覧を表示できるようになりました (BZ#1063934)。

wpa_supplicant による MACsec のサポート

今回の更新では wpa_supplicant ユーティリティーは Media Access Control Security (MACsec) の暗号化 802.1AE をサポートするようになりました。これにより、デフォルトで MACsec を設定できるようになりました (BZ#1338005)。

wpa_supplicant がバージョン 2.6 にリベース

wpa_supplicant パッケージがアップストリームバージョン 2.6 にアップグレードされ、数多くのバグ修正や拡張機能が追加されました。詳しい情報は http://w1.fi/cgit/hostap/plain/wpa_supplicant/ChangeLog を参照してください (BZ#1404793)。

Linux カーネルへの switchdev インフラストラクチャーおよび mlxsw の追加

今回の更新では、以下の機能が Linux カーネルにバックポートされました。
  • Ethernet スイッチのデバイスドライバーモデル (switchdev インフラストラクチャー)
今回の更新により、スイッチデバイスはカーネルからフォワーディングデータプレーンをオフロードできるようになりました。
  • mlxsw ドライバー (BZ#1275772、BZ#1414400、BZ#1434587 および BZ#1434591)
mlxsw がサポートするスイッチハードウェア: Mellanox SwitchX-2 (スローパスのみ)、Mellanox SwitchIB および SwitchIB-2、Mellanox Spectrum
mlxsw がサポートする機能: ポート別のジャンボフレーム、速度設定、状態設定、統計、スプリッターケーブルを使用したポート分割、ポートミラーリング、QoS: 802.1p、データセンターブリッジング (DCB)、TC flower オフロードを使用したアクセス制御リスト (ACL) がテクノロジープレビューとして導入されました。
レイヤー 2 機能: VLAN、スパニングツリープロトコル (STP: Spanning Tree Protocol)、チームまたはボンディングオフローディングを使用したリンクアグリゲーション (LAG)、Link Layer Discovery Protocol (LLDP)
レイヤー 3 機能: ユニキャストルーティング
これらの全機能を設定するには、更新済みの iprouteパッケージで提供される標準ツールを使用します (BZ#1297841)。

Linux ブリッジコードがバージョン 4.9 にリベース

Linux ブリッジコードがアップストリームバージョン 4.9 にアップグレードされ、1 つ前のバージョンに対して多くのバグ修正および機能拡張が追加されています。主な変更は以下のとおりです。
  • 802.1ad VLAN フィルタリングおよび Tx VLAN アクセラレーションのサポート
  • 802.11 Proxy アドレス解決プロトコル (ARP: Address Resolution Protocol) のサポート
  • switchdev を使用したオフロードの切り替えサポート
  • ユーザー mdb エントリーの VLAN サポート
  • mdb エントリーの拡張属性サポート
  • 一時ポートルーターのサポート
  • VLAN 別の統計のサポート
  • Internet Group Management Protocol/Multicast Listener Discovery (IGMP/MLD) 統計サポート
  • sysfs を使用して対応していた全設定の netlink でのサポート
  • 不明なマルチキャストフラッドを制御するポート別のポートフラッグの追加 (BZ#1352289)

bind-dyndb-ldap がバージョン 11.1 にリベース

bind-dyndb-ldap パッケージがアップストリームバージョン 11.1 にアップグレードされ、1 つ前のバージョンに対して多くのバグ修正および機能拡張が追加されています。
具体的には /etc/named.conf ファイルは新しい DynDB API を使用するようになりました。bind-dyndb-ldap パッケージを更新すると、自動的にファイルは API スタイルに変換されます (BZ#1393889)。

tboot がバージョン 1.9.5 にリベース

tboot パッケージがアップストリームバージョン 1.9.5 にアップグレードされ、バグ修正および拡張機能が数多く加えられています。主な変更点は以下の通りです。
  • 今回の更新で、Trusted Platform Module (TPM) 2.0 のリンク制御プロトコル (LCP) 作成ユーティリティーの第二世代、および更新された LCP 作成ユーティリティーのユーザーガイドが追加されました。
  • Intel Platform Trust Technology (PTT) および Linux PTT ドライバーが正しく機能するように回避策が実装されました。
  • Linux カーネルの新機能に対応するために Linux カーネルヘッダーの構造体宣言に新しいフィールドが追加されました (BZ#1384210)。

rdma-core バージョン 13にリベースすることによる rdma 関連のパッケージの強化

rdma パッケージに関連するパッケージがアップグレードされ、単一のソースパッケージ、rdma-core バージョン 13 に統合されました。統合されたパッケージは以下のとおりです。
  • rdma
  • iwpmd
  • libibverbs
  • librdmacm
  • ibacm
  • libibumad
  • libocrdma
  • libmlx4
  • libmlx5
  • libhfi1verbs
  • libi40iw
  • srp_daemon (以前は srptools)
  • libmthca
  • libcxgb3
  • libcxgb4
  • libnes
  • libipathverbs
  • librxe
  • rdma-ndd
以前のリリースに含まれていなかった以下のパッケージが、新規パッケージ rdma-core の一部として追加されました。
  • libqedr
  • libhns
  • libvmw_pvrdma
ibverbs ハードウェア固有のプロバーダーライブラリーはすべて libibverbs のサブパッケージに同梱されるようになり、インストールを効率的に行い、発生する可能性のあるバージョンの不一致を避けることができます (BZ#1404035)。

静的 MAC アドレスへの OVN IP アドレス管理サポートの追加

今回の更新では、ユーザーが指定した静的 MAC アドレスを使用して動的 IP アドレスを割り当てるサポートが追加されました。そのため、Open Virtual Network (OVN) ユーザーは静的な MAC アドレスと関連付けられた動的 IP で設定を作成できるようになりました (BZ#1368043)。

マルチホームホスト上のネットワークの信頼性強化

別のインターフェースにすでに存在するルートを持つインターフェースで、NetworkManager ユーティリティーは、RPF (Reverse Path Filtering) メソッドを Strict から Loose に自動的に切り替えます。これにより、マルチホームホスト上のネットワークの信頼性が強化されます (BZ#1394344)。

GENEVE、VXLAN および GRE トンネルのサポート追加

今回の更新では、GENEVE、VXLAN および GRE トンネルのオフロードをサポートするインフラストラクチャーが追加されました。また、GENEVE トンネル実装のさまざまなバグが修正されました (BZ#1326309)。

トンネルトラフィックの LCO のサポート追加

今回の更新では Local Checksum Offloading (LCO) 技術が追加され、特定のネットワークカードがトンネルトラフィックのチェックサムオフロードを使用できるようになりました。今回の機能拡張で VXLAN、GRE、その他のトンネルのパフォーマンスが向上されました (BZ#1326318)。

NIC のトンネルパフォーマンスの向上

今回の更新では、デフォルトでトンネルオフロードをサポートしないネットワークインターフェースカード (NIC) のトンネルパフォーマンスが強化されました。そのため、これらの NIC にある既存のハードウェアのオフロードを利用できるようになりました (BZ#1326353)。

カーネルでの NPT のサポート

今回の更新では RFC 6296 に定義されている IPv6-to-IPv6 Network Prefix Translation (NPTv6) 機能が Netfilter フレームワークに追加されました。そのため、IPv6 プリフィックス間のステートレスな変換に NPT を有効化できるようになりました (BZ#1432897)。

D-Bus API での DNS 設定のSupport

以前のリリースでは外部アプリケーションは、NetworkManager が使用する DNS パラメーターを簡単に取得できませんでした。今回の更新では、D-Bus API 経由での DNS 設定がサポートされたため、名前サーバーやドメインなどの DNS 関連の情報が NetworkManager の D-Bus API 経由でクライアントアプリケーションに提供されるようになりました。このようなアプリケーションの例として、DNS 設定を表示できるようになった nmcli ツールなどが挙げられます (BZ#1404594)。

PPP サポートの別パッケージへの移動

今回の更新では Point-to-Point Protocol (PPP) サポートが別のオプションの NetworkManager-ppp パッケージに移動されました。そのため、NetworkManager の依存関係チェーンが少なくなり、インストールするパッケージの数を減らすことができます。
PPP 設定を設定するには、NetworkManager-ppp パッケージがインストールされていることを確認する必要があります (BZ#1404598)。

tc ユーティリティーによる flower のサポート

tc ユーティリティーがカーネルの flower トラフィック制御分類子を使用するように強化されました。今回の更新では、インターフェースから flower 分類子ルールを追加、変更、削除できるようになりました (BZ#1422629)。

SCTP フォワーディングパスの CRC32c 値の計算に対する修正

以前のリリースでは、カーネルがオフロードをサポートしないインターフェースにパケットを転送した場合に、カーネルは、ストリームコントロールトランスミッションプロトコル (SCTP) パケットの CRC32c 値にオフロードされたチェックサムを含めて誤って計算をしていました。今回の更新ではフォワーディングパスの CRC32c の計算が修正されたため、上記の状況で SCTP パケットが正しく送信されるようになりました (BZ#1072503)。

Red Hat Enterprise Linux 7 への iperf3 の追加

今回の更新では、IP ネットワークで最大獲得可能な帯域幅をアクティブに計測する iperf3 ユーティリティー (バージョン 3.1.7) が追加されました (BZ#913329)。

OVN のインストールによる簡単に設定可能な firewalld ルールのサポート

この機能により Open Virtual Network (OVN) の firewalld 設定ルールが openvswitch パッケージに追加されます。そのため、ユーザーは firewalld を有効化していると、firewalld 設定を手動で作成する必要なしに OVN を簡単にインストールできます (BZ#1390938)。

netlink によるブリッジマスター属性のサポート

今回の更新では、ブリッジ属性が変更されると通知がリスターに送信されるようになりました。これには sysfs、rtnl、ioctl または NetworkManager などのユーザーアプリケーションによる変更を含みます (BZ#950243)。

第15章 セキュリティー

新規パッケージ: tangclevisjoseluksmeta

NBDE (Network Bound Disk Encryption) により、システムの最起動時に手動でパスワードを入力する必要なく、物理マシンのハードドライブにある root ボリュームを暗号化できます。
  • Tang はネットワークとデータをバインドするサーバーで、リモートサーバーにバインドする暗号化の操作を行うデーモンが含まれます。tang パッケージは、サーバー側の NBDE プロジェクトの機能を提供します。
  • Clevis は自動復号化用のプラグ可能なフレームです。このフレームワークを使用して、データを自動的に復号化したり、LUKS ボリュームのロックを自動的に解除したりさえすることができます。clevis パッケージは、クライアント側の NBDE プロジェクトの機能を提供します。
  • José は、Javascript Object Signing and Encryption 標準の C 言語実装です。jose パッケージは、clevistang パッケージの依存関係としてインストールされます。
  • LUKSMeta は、LUKSv1 ヘッダーにメタデータを保存する単純なライブラリーです。luksmeta パッケージは clevistang パッケージの依存関係としてインストールされます。
tang-nagios および clevis-udisk2 サブパッケージはテクノロジープレビューとしてのみ提供されます (BZ#1300697、BZ#1300696、BZ#1399228、BZ#1399229)。

新規パッケージ: usbguard

USBGuard ソフトウェアフレームワークは、デバイス属性をもとに基本的なホワイトリストとブラックリスト登録機能を実装して、割り込み USB デバイスからシステムを保護します。ユーザー定義のポリシーを強制的に実行するために、USBGuard は Linux カーネルの USB デバイス認証機能を使用します。USBGuard フレームワークは以下のコンポーネントを提供します。
  • 動的対話およびポリシーの強制向けのプロセス間通信 (IPC: inter-process communication) インターフェースが含まれるデーモンコンポーネント
  • 実行中の USBGuard インスタンスと対話するコマンドラインインターフェース
  • USB 認証ポリシーを記述するルール言語
  • 共有ライブラリーに実装されたデーモンコンポーネントと対話する C++ API (BZ#1395615)

openssh がバージョン 7.4 にリベース

openssh パッケージがアップストリームバージョン 7.4 に更新され、以下のような拡張機能、新機能、バグ修正が追加されています。
  • SFTP で中断されたアップロードの再開サポートを追加
  • 認証失敗のメッセージに拡張ログ形式を追加
  • UseDNS defaults No オプションを追加
  • SHA-256 アルゴリズムを使用する新しいフィンガープリントの種類を追加
  • 外付けの暗証番号入力デバイスでの PKCS#11 デバイスの使用サポートを追加
  • OpenSSH サーバーから SSH-1 プロトコルのサポートを削除
  • レガシーの v00 cert 形式のサポートを削除
  • 鍵の種類を任意で無効にできるように ssh ユーティリティーおよび sshd デーモンに PubkeyAcceptedKeyTypes および HostKeyAlgorithms 設定オプションを追加
  • OpenSSH クライアントに AddKeysToAgent オプションを追加
  • ProxyJump ssh オプションと対応の -J コマンドラインフラグを追加
  • Diffie-Hellman 2K、4K、8K グループのサポートを追加
  • ssh_config ファイルに Include ディレクティブを追加
  • UseLogin オプションのサポートを削除
  • サーバーでの認証前の圧縮サポートを削除
  • 事前認証プロセスに seccomp フィルターを使用 (BZ#1341754)

audit がバージョン 2.7.6 にリベース

audit パッケージがアップストリームバージョン 2.7.6 に更新され、以下のような拡張機能、新機能、バグ修正が追加されています。
  • auditd サービスは起動時に自動的にロギングディレクトリーのパーミッションを調節するようになりました。これは、パッケージのアップグレード後にディレクトリーのパーミッションを正しく保つのに役立ちます。
  • ausearch ユーティリティーに新たに --format 出力オプションが追加されました。--format text オプションでは、発生した内容を英語の文章として出力します。--format csv オプションは、サブジェクト、オブジェクト、アクション、結果、発生原因、メタデータフィールドにログを正規化して、 Separated Value (CSV) 形式で出力します。これは、イベントの情報をデータベース、スプレッドシート、またはその他の分析プログラムにプッシュして、監視イベントを表示、表作成、または分析するのに適しています。
  • auditctl ユーティリティーは --reset-lost コマンドラインオプションを使用してカーネル内の損失イベント数をリセットできるようになりました。これにより、毎日値をゼロにリセットできるので、失ったイベントを簡単に確認できるようになります。
  • ausearch および aureport には --start コマンドラインオプションの boot オプションが追加され、システムを起動してからのイベントを検索できます。
  • ausearch および aureport--escape コマンドラインオプションが追加され、どのようなエスケープを実行してフィールドを監視するのかより良く制御できるようになりました。現在は rawttyshell および shell_quote エスケープをサポートします。
  • auditctl ではエントリーフィルターが含まれるルールを使用できるようになりました。このフィルターは Red Hat Enterprise Linux 5 以降サポートされていません。このリリース以前の Red Hat Enterprise Linux 6 および 7 では auditctl によりエントリールールが終了フィルターに移動され、エントリーフィルターが非推奨であるとの警告が表示されていました (BZ#1381601)。

opensc がバージョン 0.16.0 にリベース

ライブラリーとユーティリティーの OpenSC セットにより、スマーカードとの連携サポートが追加されました。OpenSC は、暗号化機能をサポートするカードに焦点を当て、認証、メールの暗号化、またはデジタル署名の使用ができるようにします。
Red Hat Enterprise Linux 7.4 の主な機能拡張は以下のとおりです。
  • OpenSC により Common Access Card (CAC) カードへのサポートが追加されました。
  • OpenSC により PKCS#11 API が実装され、CoolKey アプレット機能が追加されました。coolkey パッケージにより、opensc パッケージが置き換えられます。
coolkey パッケージは Red Hat Enterprise Linux 7 のライフタイムの間サポートされますが、新しいハードウェア有効化は opensc パッケージによって提供される点に注意してください (BZ#1081088、BZ#1373164)。

openssl がバージョン 1.0.2k にリベース

openssl パッケージがアップストリームバージョン 1.0.2k に更新され、以下のような拡張機能、新機能、バグ修正が追加されています。
  • Datagram TLS (DTLS) プロトコルバージョン 1.2 のサポートを追加
  • TLS の Elliptic Curve 自動選択へのサポートを追加
  • Application-Layer Protocol Negotiation (ALPN) へのサポートを追加
  • RSA-PSS、RSA-OAEP、ECDH および X9.42 DH のスキームに対する暗号メッセージ構文 (CMS: Cryptographic Message Syntax) サポートを追加
今回のバージョンは、以前のリリースの Red Hat Enterprise Linux 7 に含まれる OpenSSL ライブラリーバージョンの API と ABI と互換性があります (BZ#1276310)。

openssl-ibmca がバージョン 1.3.0 にリベース

openssl-ibmca パッケージがアップストリームバージョン 1.3.0 に更新され、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。主な変更点は以下の通りです。
  • SHA-512 へのサポートの追加
  • ibmca エンジンの起動時に暗号化メソッドを動的に読み込む。これにより、ibmca は暗号化メソッドがハードウェアでサポートされている場合には libica ライブラリーを使用して暗号化メソッドをダイレクトできるようになります。
  • ストリーム暗号モードでブロックサイズ処理のバグを修正 (BZ#1274385)

OpenSCAP 1.2 の NIST 認定

OpenSCAP 1.2、Security Content Automation Protocol (SCAP) スキャナーが、Red Hat Enterprise Linux 6 および 7 向けの、米政府評価済みの設定および脆弱性管理スキャナーとして、アメリカ国立標準技術研究所 (NIST) に認定されました。OpenSCAP はセキュリティーの自動化コンテンツを正しく分析、評価して、NIST が機密性およびセキュリティーレベルの高い環境で実行するのに必要な機能やドキュメントが提供されます。さらに、OpenSCAP は、Linux コンテナーを評価する、初の NIST 認定の設定スキャナーです。ユースケースには、Red Hat Enterprise Linux 7 ホスト設定を確認して PCI および DoD セキュリティー技術導入ガイド (STIG) に準拠しているかどうかの評価、Red Hat Common Vulnerabilities and Exposures (CVE) データを使用した既知の脆弱性スキャンなどが含まれます (BZ#1363826)。

libreswan がバージョン 3.20 にリベース

NetworkManager パッケージがアップストリームバージョン 3.2 にアップグレードされ、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。主な変更点は以下の通りです。
  • 単一のシンプルな設定を全ホストに使用して大量のホストに対応する IPsec デプロイメントを可能にする opportunistic IPsec (Mesh Encryption) のサポートを追加
  • FIPS をさらに強化
  • Virtual Tunnel Interface (VTI) を使用したルーティングベースの VPN に対するサポートを追加
  • root 以外の設定のサポートを向上
  • オンライン証明書ステータスプロトコル (OCSP) と証明取り消し一覧 (CRL) サポートを向上
  • --fipsstatus--fetchcrls--globalstatus--shuntstatus など、新たな whack コマンドオプションを追加
  • NAT 日和見暗号 (OE) のクライアントアドレス変換に対するサポートを追加 (leftcat=yes)
  • Traffic Flow Confidentiality メカニズムのサポートを追加 (tfc=)
  • RFC 4307bis および RFC 7321bis に沿った暗号化設定に更新
  • Extended Sequence Numbers (ESN) (esn=yes) のサポートを追加
  • リプレイウィンドウ (replay-window=) の無効化および増加サポートを追加 (BZ#1399883)。

監査によるセッション ID をベースにしたフィルタリングサポートの追加

今回の更新では、Linux Audit システムにより sessionid の値をベースに監査メッセージをフィルタリングするユーザールールがサポートされるようになりました (BZ#1382504)。

libseccomp による IBM Power アーキテクチャーのサポート

今回の更新では libseccomp ライブラリーが IBM Power、64 ビットの IBM Powe、64 ビットの little-endian IBM Power アーキテクチャーをサポートするようになり、GNOME のリベースが可能になりました (BZ#1425007)。

AUDIT_KERN_MODULE によるモジュール読み込みの記録

AUDIT_KERN_MODULE の補助記録が init_module()finit_module() および delete_module()AUDIT_SYSCALL 記録に追加されました。この情報は audit_context 構造に保存されます (BZ#1382500)。

OpenSSH が鍵署名に SHA-2 を使用

以前のリリースでは、RSA および DSA 鍵を使用した公開鍵署名に OpenSSH は SHA-1 ハッシュアルゴリズムを使用していました。SHA-1 がセキュアであると見なされなくなり、新しい SSH プロトコル拡張が登場し、これにより SHA-2 が使用できます。今回の更新では SHA-2 が公開鍵署名のデフォルトのアルゴリズムとなり、SHA-1 は後方互換性の目的でのみ提供されています (BZ#1322911)。

firewalld による追加の IP セットのサポート

今回の firewalld サービスデーモンの更新で、以下の ipset タイプへのサポートが追加されました。
  • hash:ip,port
  • hash:ip,port,ip
  • hash:ip,port,net
  • hash:ip,mark
  • hash:net,net
  • hash:net,port
  • hash:net,port,net
  • hash:net,iface
送信元と宛先の組み合わせを同時に提供する以下の ipset タイプは、firewalld の送信元としてはサポートされません。これらのタイプを使用した IP セットは firewalld で作成されますが、用途はルールのダイレクトに制限されます。
  • hash:ip,port,ip
  • hash:ip,port,net
  • hash:net,net
  • hash:net,port,net
ipset パッケージがアップストリームバージョン 6.29 にリベースされ、以下の ipset タイプが追加でサポートされるようになりました。
  • hash:mac
  • hash:net,port,net
  • hash:net,net
  • hash:ip,mark (BZ#1419058)

firewalld によるリッチルールの ICMP タイプに対するアクションのサポート

今回の更新により、firewalld サービスデーモンでは、accept、log、mark アクションを含むリッチルールで Internet Control Message Protocol (ICMP) タイプを使用できるようになりました (BZ#1409544)。

firewalld による自動ヘルパーの割り当ての無効化サポート

firewalld サービスデーモンの今回の更新で、自動ヘルパーの割り当てを無効化する機能に対するサポートが追加されました。自動ヘルパー割り当てがオフになっている場合も、追加のルールを含めることなくfirewalld ヘルパーを使用できるようになりました (BZ#1006225)。

nss および nss-util による SHA-256 のデフォルト使用

今回の更新では、NSS ライブラリーのデフォルト設定がデジタル署名の作成時に、より強固なハッシュアルゴリズムを使用するように変更されました。RSA、EC、2048 ビット (以上の) DSA キーで構成される SHA-256 アルゴリズムが使用されるようになりました。
certutilcrlutilcmsutil などの NSS ユーティリティーもデフォルト設定で SHA-256 を使用する点に注意してください (BZ#1309781)。

Audit にあるフィルターの exclude ルールにさらなるフィールドを追加

exclude フィルターが強化され、msgtype フィールドだけでなく、piduidgidauidsessionIDSELinux タイプが含まれるようになりました (BZ#1382508)。

PROCTITLE は Audit イベントに完全なコマンドを提供

今回の更新では、Audit イベントに PROCTITLE レコードが追加されました。PROCTITLE は完全な実行コマンドを提供します。PROCTITLE の値は、Audit イベントパーサーを回避できないようにエンコードされます。PROCTITLE の値は、ユーザー空間の日付で操作が可能であるため、信頼済みではありません (BZ#1299527)。

nss-softokn がバージョン 3.28.3 にリベース

nss-softokn パッケージはアップストリームバージョン 3.28.3 にアップグレードされ、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。
  • TLS (RFC 7905)、Internet Key Exchange Protocol (IKE)、(RFC 7634)で使用される ChaCha20-Poly1305 (RFC 7539) アルゴリズムに対するサポートを追加
  • 鍵交換の目的で Curve25519/X25519 曲線のサポートを追加
  • Extended Master Secret (RFC 7627) 拡張のサポートを追加 (BZ#1369055)

libica がバージョン 3.0.2 にリベース

libica パッケージがアップストリームバージョン 3.0.2 にアップグレードされ、1 つ前のバージョンに多くの修正が加えられています。主な変更点は以下のとおりです。
  • 連邦情報処理標準 (FIPS: Federal Information Processing Standard) モードのサポート
  • 更新されたセキュリティー NIST SP 800-90A に準拠する決定論的乱数生成器 (DRBG: Deterministic Random Bit Generator) への拡張サポートを含む、仕様擬似乱数の生成サポート (BZ#1391558)

opencryptoki がバージョン 3.6.2 にリベース

opencryptoki パッケージはアップストリームバージョン 3.6.2 にアップグレードされて、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。
  • OpenSSL 1.1 へのサポートを追加
  • 非推奨の OpenSSL インターフェースを置き換え
  • 非推奨の libica インターフェースを置き換え
  • IBM Crypto Accelerator (ICA) のパフォーマンスを向上
  • icsf トークンの rc=8, reasoncode=2028 エラーメッセージのサポートを追加 (BZ#1391559)

AUDIT_NETFILTER_PKT イベントの正規化

AUDIT_NETFILTER_PKT 監査イベントが簡素化されメッセージフィールドが一貫性のある状態で表示されるようになりました (BZ#1382494)。

p11tool は保存した ID を指定することでオブジェクトの記述をサポート

今回の更新では p11tool GnuTLS PKCS#11 ツールは、保存した ID を指定してオブジェクトを記述するために新しい --id オプションをサポートするるようになりました。これにより、p11tool 以外にも多くのアプリケーションがオブジェクトの記述に対応できるようになりました (BZ#1399232)。

新規パッケージ: nss-pem

今回の更新では、nss-pem パッケージが導入されました。以前のリリースではこのパッケージは nss パッケージの一部でしたが、別パッケージとして提供されています。nss-pem パッケージは、PKCS#11 モジュールとして実装される Network Security Services (NSS) の PEM ファイルリーダーを提供します (BZ#1316546)。

rsyslogpmrfc3164pmrfc3164sd に置き換え

今回の rsyslog パッケージの更新では、BSD syslog プロトコル形式 (RFC 3164) のログの解析に使用する pmrfc3164sd モジュールが公式な pmrfc3164 モジュールに置き換えられました。公式モジュールは pmrfc3164sd の機能に完全に対応していないので rsyslog の一部として提供されています。しかし、できる限り、新しい pmrfc3164 モジュールを使用することを推奨します。pmrfc3164sd モジュールのサポートは終了しています (BZ#1431616)。

libreswan による right=%opportunisticgroup のサポート

今回の更新では、Libreswan 設定の conn testin の部分にある right オプションの %opportunisticgroup 値がサポートされるようになりました。これにより、X.509 認証で opportunistic IPsec を使用できるようになり、大規模な環境での管理にかかるオーバーヘッドが大幅に削減されました (BZ#1324458)。

ca-certificates が Mozilla Firefox 52.2 ESR 要件を満たすようになる

Network Security Services (NSS) コードおよび認証局 (CA) 一覧が更新され、最新の Mozilla Firefox 延長サポート版 (ESR: Extended Support Release) で公開されている推奨条件を満たすようになりました。更新された認証局一覧はインターネットの公開鍵基盤 (PKI) で使用される証明書との互換性を向上します。証明書の検証で却下されないように、Red Hat は 2017 年 6 月 12 日に更新済みの認証局一覧をインストールすることを推奨します (BZ#1444413)。

nss が証明書の Mozilla Firefox 52.2 ESR 要件を満たす

認証局 (CA) 一覧が更新され、最新の Mozilla Firefox 延長サポート版 (ESR: Extended Support Release) で公開されている推奨条件を満たすようになりました。更新された認証局一覧はインターネットの公開鍵基盤 (PKI) で使用される証明書との互換性を向上します。証明書の検証で却下されないように、Red Hat は 2017 年 6 月 12 日に更新済みの認証局一覧をインストールすることを推奨します (BZ#1444414)。

scap-security-guide がバージョン 0.1.33 にリベース

scap-security-guide パッケージがアップストリームバージョン 0.1.33 にアップグレードされ、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。特に、今回の新規バージョンでは、既存のコンプライアンスプロファイルが拡張され、新しい設定ベースラインを含めるように対象範囲が広がっています。
  • PCI-DSS v3 コントロールベースラインのサポートを延長
  • 米国政府 Commercial Cloud Services (C2S) のサポートを延長
  • Red Hat Corporate Profile for Certified Cloud Providers (RH CCP) のサポートを延長
  • Red Hat Enterprise Linux V1R1 プロファイルの DISA STIG に対応するように Red Hat Enterprise Linux 7 プロファイル向け米国防情報システム局 (DISA) セキュリティー技術導入ガイド (STIG) プロファイルのサポートを追加
  • 管理された非格付け情報 (CUI) のセキュリティーを確保するために Red Hat Enterprise Linux 7 を NIST Special Publication 800-53 のコントロールに沿って設定する米国国立標準技術研究所 (NIST 800-171) プロファイルの非格付け情報のサポートを追加
  • 米国国立標準技術研究所 (NIST)、アメリカ国防総省、アメリカ国家安全保障局と Red Hat で提携して開発した米国政府共通設定基準 (USGCB/STIG) プロファイルのサポートを追加
USGCB/STIG プロファイルは以下のドキュメントからの設定要件を実装します。
  • Committee on National Security Systems Instruction No. 1253 (CNSSI 1253)
  • 米国国立標準技術研究所の管理された非格付け情報 (CUI) (NIST 800-171)
  • 中位影響レベルシステムの NIST 800-53 の管理セレクション (NIST 800-53)
  • 米国政府共通設定基準 (USGCB: United States Government Configuration Baseline)
  • NIAP Protection Profile for General Purpose Operating Systems v4.0 (OSPP v4.0)
  • DISA Operating System Security Requirements Guide (OS SRG)
以前含まれていたプロファイルは削除されたり、統合されたりしている点に注意してください (BZ#1410914)。

第16章 サーバーとサービス

chrony がバージョン 3.1 にリベース

chrony パッケージがアップストリームバージョン 3.1 にアップグレードされ、多くのバグ修正および機能拡張が加えられています。主な機能拡張は以下の通りです。
  • ソフトウェアおよびハードウェアのタイムスタンプサポートが追加され、正確性が改善 (マイクロ秒以下の正確性が可能)。
  • 非対称ネットワークのぶれで正確性が向上。
  • interleaved モードのサポートを追加。
  • コマンドキーによる認証の代わりとなる、Unix ドメインソケットの設定および監視のサポートを追加 (リモート設定はできなくなりました)。
  • サーバーの自動置換の改善。
  • ntpd デーモンと互換性のある orphan モードの追加。
  • NTP サーバーの応答レート制限を追加。
  • info 形式のドキュメントに代わる詳細な man ページを追加。(BZ#1387223)

linuxptp がバージョン 1.8 にリベース

linuxptp パッケージがアップストリームバージョン 1.8 にアップグレードされ、多くのバグ修正および機能拡張が加えられています。主な機能拡張は以下の通りです。
  • ユニキャストメッセージを使用したハイブリッドのエンドツーエンド (E2E) 遅延測定のサポート。これは、大規模ネットワークにおけるネットワークトラフィックを抑えるためのものです。
  • 独立した Precision Time Protocol (PTP) ハードウェアクロックを使用した境界クロック (BC) の稼働をサポート。
  • PTP メッセージの Time to Live (TTL) と Differentiated Services Code Point (DSCP) を設定するオプションの追加。(BZ#1359311)

tuned がバージョン 2.8.0 にリベース

tuned パッケージがアップストリームバージョン 2.8.0 にアップグレードされ、多くのバグ修正および機能拡張が加えられています。注目すべき変更点は以下の通りです。
  • CPU パーティション設定プロファイルを追加。
  • コア分離のサポートを追加。
  • initrd オーバーレイのサポートを追加。
  • 継承を改善。
  • udev デバイスマネージャーをベースとした RegExp デバイスマッチングを実装。(BZ#1388454, BZ#1395855, BZ#1395899, BZ#1408308, BZ#1394965)

logrotate/var/lib/logrotate/logrotate.status をデフォルトの状態ファイルとして使用

これまでは、logrotate cron joblogrotate 状態ファイルへの修正パスを使用していました。このため、cron job が使用するパスは、logrotate 自体が使用するデフォルトの状態ファイルパスと一致しませんでした。この混乱を避けるために、logrotate が使用するデフォルトの状態ファイルパスが、logrotate cron job の使用する状態ファイルパスに一致するように変更されました。この結果、両方のシナリオで logrotate はデフォルトの状態ファイルパスに /var/lib/logrotate/logrotate.status を使用するようになっています。(BZ#1381719)

rsyslog がバージョン 8.24.0 にリベース

rsyslog ユーティリティーがアップストリームバージョン 8.24.0 にリベースされ、多くの機能拡張、新機能、およびバグ修正が追加されています。主な改善点は以下の通りです。
  • 新しいコアエンジンが実装され、メッセージ処理が迅速になっています。
  • JSON 形式のデータ処理における速度と安定性が改善。
  • RainerScript 設定形式がデフォルトとして選択され、より多くのオプションで改善。
  • 外部アプリケーションを使用する、rsyslog 内のメッセージ操作向けの mmexternal モジュールを新たに追加。
  • omprog モジュールと外部バイナリとの通信における改善。
  • imrelpomrelp のモジュールが TLS プロトコルを使用した暗号化通信をサポート。
  • imuxsock モジュールが、グローバルルール設定するを上書きする個別ソケット向けのルールセットをサポート。
  • imuxsock モジュールの使用時に、レート制限メッセージにレート制限を発生させるプロセスの PID が含まれる。
  • TCP サーバーエラーメッセージにリモートホストの IP アドレスが含まれる。
  • 永続的な journald 設定に切り替え後は、imjournal モジュールがログの受け取りを停止しない。
  • マシンのクロックが以前の時間に設定されると、runtime journal へのログ作成が再起動後に完全に停止しない。
カスタムモジュールを使用しているお客様は、最初バージョンの rsyslog に更新することが推奨されます。
非推奨の rsyslog オプションについての情報は、非推奨機能の章も参照してください。(BZ#1313490, BZ#1174345, BZ#1053641, BZ#1196230, BZ#1326216, BZ#1088021, BZ#1419228)

mod_nss の新キャッシュ設定オプション

今回の更新では、mod_nss モジュールへの OCSP 応答のキャッシュを制御する新オプションが追加されました。新オプションでは以下を制御することができます。
  • OCSP 応答を待機する時間
  • OCSP キャッシュのサイズ
  • キャッシュにアイテムが存在する最長および最短時間。これにはなにもキャッシュしない場合も含まれます。(BZ#1392582)

nss_pcacheからデータベースおよびプレフィックスオプションを削除

nss_pcache の PIN キャッシュサービスは、mod_nss Apache モジュールの Network Security Services (NSS) データベースを共有しなくなりました。これは、nss_pcache がトークンへのアクセスを必要としなくなったためです。NSS データベースおよびプレフィックス向けのオプションは削除され、mod_nss が自動で処理するようになっています。(BZ#1382102)

新パッケージ: libfastjson

今回の更新では、rsyslog 向けの json-c ライブラリーの代わりとして libfastjsonライブラリーが導入されました。libfastjson の制限付き機能セットにより、json-c よりも大幅にパフォーマンスが改善されています。(BZ#1395145)

tuned が initrd オーバーレイをサポート

tuned が initrd オーバーレイをサポートするようになりました。これは、デフォルトの (Dracut) initrd イメージを拡張できるもので、bootloader プラグインでサポートされています。以下の例では、Tuned プロファイルにおける典型的な使用例を示しています。
[bootloader]
initrd_add_dir=${i:PROFILE_DIR}/overlay.img
これでこのプロファイルがアクティベートされると、最新の initrd に overlay.img ディレクトリーのコンテンツが追加されます。(BZ#1414098)

openwsman が特定の SSL プロトコルをサポート

これまでは、特定の SSL プロトコルを openwsman ユーティリティーで無効にすることはできませんでした。今回の更新では無効化プロトコル一覧の設定ファイルオプションが追加されました。これにより、特定の SSL プロトコルを openwsman 設定ファイルで無効にすることができます。(BZ#1190689)

rear がバージョン 2.0 にリベース

Red Hat Enterprise Linux 7 で更新済み rear パッケージが利用可能になりました。これはいくつかのバグを修正し、各種の機能拡張を追加するものです。主な変更点は以下の通りです。
  • Cyclic Redundancy Check (CRC) 機能は XFS ファイルシステムでデフォルトで有効になっています。これまでは、rear は動作におけるこの変更を無視し、/boot パーティションを互換性のない UUID フラグでフォーマットしていました。これにより、リカバリープロセスは失敗していました。今回のリベースで、rear CRC 機能をチェックし、リカバリー中に適切に UUID を保存します。
  • IBM Power System アーキテクチャー向けの GRUB および GRUB2 ブートローダーのサポートを追加。
  • /usr/share/rear/conf/default.conf 設定ファイルでディレクティブ NETFS_RESTORE_CAPABILITIESy に設定すると、Linux の機能が保持されます。
  • CIFS 認証情報がレスキューイメージに保持されます。
  • 最新の稼働中システムで GRUB2の動作が予期せぬ変更をしないように、GRUB_SUPERUSERGRUB_RESCUE_PASSWORD のディレクティブがなくなりました。
  • ドキュメントの改善。
  • 複数のバックアップ作成が有効になりました。(BZ#1355667)

python-tornado がバージョン 4.2.1 にリベース

python-tornado パッケージがアップストリームバージョン 4.2.1 にアップグレードされ、多くのバグ修正および新機能が加えられています。主な変更点は以下の通りです。
  • 新クラス tornado.netutil.Resolver が DNS 解決の非対称インターフェースを提供。
  • 新モジュール tornado.tcpclient が非ブロッキング DNS、SSL ハンドシェイク、および IPv6 対応の TCP 接続を作成。
  • IOLoop.instance() 関数がスレッドセーフ。
  • ロギングの改善。低レベルのログ頻度が低下。Tornado は root ロガーではなく独自のロガーを使用するので、より詳細な設定が可能。
  • python-tornado 内で複数の参照サイクルが分離され、CPython でより効率的なガーベジコレクションが可能。
  • コルーチンがより迅速になり、Tornado 内で大幅に使用。(BZ#1158617)

第17章 ストレージ

LVM の RAID レベルテークオーバーのサポートが追加される

LVM はテクノロジープレビューで利用できた RAID テークオーバーの完全なサポートを提供します。これにより、ユーザーは RAID 論理ボリュームを 1 つの RAID レベルから別のレベルに変換することができます。今回のリリースにより、RAID テークオーバーの組み合わせの数が増加します。一部の移行のサポートには中間のステップが必要になる場合があります。RAID テークオーバーによって追加される新規の RAID タイプはリリースされるカーネルバージョンの順にサポートされる訳ではありません。これらの RAID タイプは raid0、raid0_meta、raid5_n、および raid6_{ls,rs,la,ra,n}_6 です。これらの RAID タイプを作成し、Red Hat Enterprise Linux 7.4 のそれらの RAID タイプに変換するユーザーは以前のリリースを実行しているシステムで論理ボリュームをアクティブ化できません。RAID テークオーバーは、単一マシンモードのトップレベルの論理ボリュームでのみ利用可能です (つまり、テークオーバーはクラスターボリュームグループでは利用できず、RAID がスナップショットの下、またはシンプールの一部である場合には利用できません)(BZ#1366296)。

LVM が RAID の再成形 (reshaping) に対応

LVM が RAID 再成形 (reshaping) のサポートを提供するようになりました。テークオーバーによってユーザーは 1 つの RAID タイプから別のタイプに変更でき、再成形によってユーザーは RAID アルゴリズム、ストライプサイズ、リージョンサイズ、またはイメージ数などのプロパティーを変更できるようになりました。たとえば、ユーザーは 2 つのデバイスを追加して 3-way ストライプを 5-way ストライプに変更できます。再成形は単一マシンモードのトップレベルの論理ボリュームでのみ利用でき、論理ボリュームが使用されていない場合 (ファイルシステムでマウントされる場合など) にのみ利用できます (BZ#1191935、BZ#834579、BZ#1191978、BZ#1392947)。

デバイスマッパーのリニアデバイスが DAX に対応

Direct Access (DAX) サポートが dm-linear および dm-stripe ターゲットに追加されました。複数の Non-Volatile Dual In-line Memory Module (NVDIMM) デバイスを組み合わせて大規模な Persistent Memory (PMEM) ブロックデバイスを提供できます (BZ#1384648)。

libstoragemgmt がバージョン 1.4.0 にリベース

libstoragemgmt パッケージがアップストリームバージョン 1.4.0 にアップグレードされ、以前のバージョンに対してバグ修正および拡張機能が数多く追加されています。とくに、以下のライブラリーが追加されています。
  • ローカルディスクのシリアル番号のクエリー: lsm_local_disk_serial_num_get()/lsm.LocalDisk.serial_num_get()
  • ローカルディスクの LED ステータのスクエリー: lsm_local_disk_led_status_get()/lsm.LocalDisk.led_status_get()
  • ローカルディスクのリンク速度のクエリー: lsm_local_disk_link_speed_get()/lsm.LocalDisk.link_speed_get()
主なバグ修正は以下の通りです。
  • Dell PowerEdge RAID Controller (PERC) の megaraid プラグインが修正されました。
  • NVM Express (NVMe) ディスクのローカルディスクの回転速度のクエリーが修正されました。
  • ローカルディスククエリーでの lsmcli の正しくないエラー処理が修正されました。
  • すべての gcc コンパイルの警告が修正されました。
  • autoconf AC_OUTPUT マクロの旧式の使用法が修正されました (BZ#1403142)。

mpt3sas がバージョン 15.100.00.00 に更新

mpt3sas ストレージドライバーがバージョン 15.100.00.00 に更新され、以下の PCI ID を持つ新規デバイスのサポートが追加されました。
  • 0x1000:0x00AA
  • 0x1000:0x00AB
  • 0x1000:0x00AC
  • 0x1000:0x00AD
  • 0x1000:0x00AE
  • 0x1000:0x00AF (BZ#1306453)

lpfc ドライバーの lpfc_no_hba_reset モジュールパラメーターが利用可能に

今回の更新により、Emulex Fibre Channel Host Bus Adapter (HBA) の特定モデルの lpfc ドライバーが lpfc_no_hba_reset モジュールパラメーターを追加することにより強化されています。このパラメーターは SCSI エラー処理時にリセットされない HBA の 1 つ以上の 16 進の world-wide port number (WWPN) の一覧を受け入れます。
lpfc により、SCSI エラー処理時に HBA のポートで再設定されるポートを制御できるようになりました。また lpfc により、SCSI エラー処理時間の上限を表す eh_deadline パラメーターを設定できるようになりました (BZ#1366564)。

LVM が Veritas Dynamic Multi-Pathing システムを検出し、基になるデバイスパスに直接アクセスしなくなる

LVM を Veritas Dynamic Multi-Pathing と正常に連動させるには、設定ファイル/etc/lvm/lvm.conf のデバイスセクションで obtain_device_list_from_udev を 0 に設定する必要があります。これらの multi-pathed デバイスは標準の udev インターフェースで公開されないため、この設定がないと LVM はその存在を認識しません (BZ#1346280)。

libnvdimm カーネルサブシステムが PMEM の細分化に対応

Intel の Non-Volatile Dual In-line Memory Module (NVDIMM) ラベル仕様が複数の Persistent Memory (PMEM) Namespace をリージョンごとに設定できるように拡張されました (インターリーブ設定)。Red Hat Enterprise Linux 7.4 に同梱されるカーネルはこれらの新たな設定をサポートするよう変更されています。
細分化のサポートがない時点では、単一リージョンが単一のモードでのみ使用されていました ( pmemdevice dax、または sector)。今回の更新により、単一リージョンを細分化し、それぞれ独立して設定できるようになりました (BZ#1383827)。

multipathd が実行されていない場合の警告メッセージ

multipathd が実行されていない場合にマルチパスデバイスを作成したり、一覧表示する multipath コマンドを実行するとユーザーは警告メッセージを受信します。
multipathd が実行されていない場合、デバイスは失敗したパスを復元したり、デバイスのセットアップの変更に対応したりできません。multipathd デーモンにより、マルチパスデバイスがあり、multipathd が実行されていない場合に警告メッセージが出力されます (BZ#1359510)。

c ライブラリーインターフェースが multipathd に追加され、構造化された出力が可能になる

ユーザーは libdmmp ライブラリーを使用して multipathd から構造化情報を取得できるようになりました。multipathd から情報を取得する他のプログラムは、コマンドを実行したり結果を解析することなくこの情報を取得できます (BZ#1430097)。

新規の remove retries multipath 設定値

multipath が削除しようとしているマルチパスデバイスが一時的に使用中の場合、削除は失敗します。remove_retries 設定値を設定することにより、multipath コマンドが使用中のマルチパスデバイスの削除を試行する回数を制御することができます。デフォルト値は 0 であり、この場合 multipath は失敗した削除を再試行することはありません (BZ#1368211)。

新規の multipathd reset multipaths stats コマンド

multipath は 2 つの新規 multipathd コマンド、multipathd reset multipaths stats および multipathd reset multipath dev stats をサポートします。これらのコマンドは、すべてのデバイスまたは指定されたデバイスについて multipathd が追跡するデバイスの統計をリセットをそれぞれリセットします。これにより、ユーザーは、変更が加えた後にデバイス統計をリセットできます (BZ#1416569)。

新規の disable_changed_wwids mulitpath 設定パラメーター

multipath は新規の multipath.conf デフォルトのセクションパラメーター disable_changed_wwids をサポートします。これを設定することにより、multipathd に使用中のパスデバイスが wwid を変更する時を認識させ、その wwid が直前の値に戻るまでパスデバイスへのアクセスを無効にします。
scsi デバイスの wwid が変更される場合、これはデバイスが異なる LUN に再マップされたことを示している可能性があります。これが scsi デバイスの使用中に生じると、データが破損する可能性があります。disable_changed_wwids パラメーターを設定すると、scsi デバイスがその wwid を変更する際にユーザーに警告が送信されます。多くの場合、multipathd は、パスデバイスが元の LUN からマップ解除されるとすぐにそのパスデバイスへのアクセスを無効にするため、破損する可能性がなくなります。ただし、multipathd は scsi デバイスが再マップされる前に変更を常に認識する訳ではありません。つまり、これは破損の可能性がゼロではないことを意味します。現時点で、使用中の scsi デバイスの再マップはサポートされていません (BZ#1169168)。

HPE 3PAR アレイの組み込み設定が更新される

3PAR アレイの組み込み設定は no_path_retry を 12 に設定します (BZ#1279355)。

NFINIDAT InfiniBox.* デバイスの組み込み設定が追加される

multipath は NFINIDAT InfiniBox.* デバイスの自動設定を実行します (BZ#1362409)。

device-mapper-multipathmax_sectors_kb 設定パラメーターに対応

今回の更新で、device-mapper-multipathmax_sectors_kb パラメーターを multipath.conf ファイルのデフォルト、デバイス、およびマルチパスセクションでサポートするようになりました。max_sectors_kb パラメーターを使用すると、マルチパスデバイスの初回アクティベート前にマルチパスデバイスのすべての基本的なパスで max_sectors_kb デバイスキューパラメーターを特定の値に設定することができます。
マルチパスデバイスの作成時には、デバイスはパスデバイスから max_sectors_kb 値を継承します。手動でこの値をマルチパスデバイス向けに高めたり、パスデバイス向けにこの値を低くすると、マルチパスデバイスはパスデバイスが許可するよりも大きな I/O 操作を作成する場合があります。
max_sectors_kb multipath.conf パラメーターを使用すると、パスデバイス上にマルチパスデバイスを作成する前にこれらの値が容易に設定でき、無効なサイズの I/O 操作が渡されることを回避できます (BZ#1394059)。

新規のdetect_checker multipath 設定パラメーター

VNX2 などの一部のデバイスをオプションとして ALUA モードで設定できます。このモードでは、ALUA 以外のモードとは異なる path_checker および prioritizer を使用する必要があります。multipath は multipath.conf デフォルトおよびデバイスセクションで detect_checker パラメーターをサポートします。これが設定されている場合、multipath はデバイスが ALUA をサポートするかどうかを検知し、サポートする場合は設定された path_checker を上書きし、代わりに TUR チェッカーを使用します。detect_checker オプションは、オプションの ALUA モードが設定されたデバイスが、そのモードの種類を問わず正常に自動設定されるようにします (BZ#1372032)。

multipath で Nimble Storage デバイスの組み込みデフォルト設定が使用される

multipath のデフォルトハードウェアテーブルには Nimble Storage アレイのエントリーが含まれるようになりました (BZ#1406226)。

LVM が RAID 論理ボリュームのサイズの縮小に対応

Red Hat Enterprise Linux 7.4 の時点で、lvreduce または lvresize コマンドを使用して RAID 論理ボリュームのサイズを縮小することができます (BZ#1394048)。

iprutils がバージョン 2.4.14 にリベース

iprutils パッケージがアップストリームバージョン 2.4.14 にアップグレードされました。以前のバージョンに対してバグ修正および機能拡張が数多く追加されています。
  • Endian 変換 (endian swapped) device_id は以前のバージョンとの互換性を持つようになりました。
  • ベアメタルモードの VSET ライトキャッシュが許可されています。
  • デュアルアダプターセットアップでの RAIDS の作成が修正されました。
  • 単一アダプター設定の再ビルドの検証がデフォルトで無効にされます (BZ#1384382)。

mdadm がバージョン 4.0 にリベース

mdadm パッケージがアップストリームバージョン 4.0 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されています。とくに、今回の更新により Intel Matrix Storage Manager (IMSM) メタデータの不良ブロック管理サポートが追加されました。今回の更新に含まれる機能は外部のメタデータ形式でサポートされ、Red Hat は Intel Rapid Storage Technology enterprise (Intel RSTe) ソフトウェアスタックを引き続きサポートします (BZ#1380017)。

LVM が dm-cache メタデータバージョン 2 に対応

LVM/DM キャッシュが大幅に改善されました。大規模なキャッシュサイズがサポートされ、変更されるワークロードへの適応性が強化し、起動およびシャットダウン時間が大幅に改善され、全体のパフォーマンスが向上しました。dm-cache メタデータ形式のバージョン 2 が、LVM でキャッシュ論理ボリュームを作成する際のデフォルトになります。バージョン 1 は以前に作成された LVM キャッシュ論理ボリュームで引き続きサポートされます。バージョン 2 へのアップグレードには、古いキャッシュ層の削除や新規キャッシュ層の作成が必要になります (BZ#1436748)。

指定ハードウェアでの DIF/DIX (T10 PI) のサポート

SCSI T10 DIF/DIX は、ハードウェアベンダーがこれを認定し、特定の HBA およびストレージアレイの設定を完全にサポートしている場合に Red Hat Enterprise Linux 7.4 で完全にサポートされます。DIF/DIX は他の設定ではサポートされず、ブートデバイスでの使用もサポートされず、さらに仮想化ゲストでもサポートされません。
現時点では、以下のベンダーがこのサポートを提供しています。
FUJITSU は以下の組み合わせで DIF と DIX をサポート:
EMULEX 16G FC HBA:
  • EMULEX LPe16000/LPe16002、10.2.254.0 BIOS、10.4.255.23 FW と
  • FUJITSU ETERNUS DX100 S3、DX200 S3、DX500 S3、DX600 S3、DX8100 S3、DX8700 S3、DX8900 S3、DX200F、DX60 S3、AF250、AF650
QLOGIC 16G FC HBA:
  • QLOGIC QLE2670/QLE2672、3.28 BIOS、8.00.00 FW と
  • FUJITSU ETERNUS DX100 S3、DX200 S3、DX500 S3、DX600 S3、DX8100 S3、DX8700 S3、DX8900 S3、DX200F、DX60 S3
T10 DIX にはディスクブロックでのチェックサム生成と検証を行う他のソフトウェアまたはデータベースが必要になることに注意してください。現在対応している Linux ファイルシステムの中でこの機能が備わっているファイルシステムはありません。
EMC は以下の組み合わせで DIF をサポート:
EMULEX 8G FC HBA:
  • ファームウェア 2.01a10 以降の LPe12000-E および LPe12002-E と
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
EMULEX 16G FC HBA:
  • ファームウェア 10.0.803.25 以降の LPe16000B-E および LPe16002B-E と
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
QLOGIC 16G FC HBA:
  • QLE2670-E-SP および QLE2672-E-SP と
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
最新の状況については、ハードウェアベンダーのサポート情報を確認してください。
他の HBA およびストレージアレイに関する DIF/DIX のサポートは引き続きテクノロジービューになります(BZ#1457907)。

dmstats ファシリティーで変更されるファイルの統計の追跡が可能になる

以前のバージョンでは、dmstats ファシリティーはサイズが変更されていないファイルの統計を報告できました。現時点では、ファイル (またはファイルにある可能性のあるファイルのホール) のサイズが変更された場合でも、ファイルの変更を確認したり、マッピングを更新してファイルの I/O を追跡できるようになりました (BZ#1378956)。

第18章 システムとサブスクリプション管理

yum に新しい payload_gpgcheck オプションを追加

今回の更新では、新設定オプション payload_gpgcheckyum ユーティリティーに追加されました。これはパッケージのペイロードセクションでの GNU Privacy Guard (GPG) 署名確認を有効にするので、パッケージインストール時のセキュリティーと整合性を強化します。これまでは gpgcheck オプションを有効にすると、yum はヘッダーでのGPG 署名確認のみを実行していました。このため、ペイロードデータが改ざんされていたり破損していたりすると、RPM 展開エラーが発生し、パッケージは一部しかインストールされませんでした。このため、オペレーティングシステムが一貫性のない脆弱な状態に置かれる場合がありました。
新しい payload_gpgcheck オプションを gpgcheck または localpkg_gpgcheck オプションと使用すると、この問題を回避することができます。この結果、payload_gpgcheck が有効であれば、yum が GPG 署名確認がペイロードで実行され、確認できない場合は処理が中止されます。payload_gpgcheck の使用は、ダウンロードされたパッケージで rpm -K を手動で実行することと同じになります。(BZ#1343690)

第19章 仮想化

storvsc ドライバーが統合 Hyper-V FC アダプターをサポート

今回の更新では、storvsc ドライバーによる Hyper-V 仮想化のファイバーチャンネル (FC) デバイス処理が改善されました。特に、新しいファイバーチャンネル (FC) アダプターが Hyper-V ハイパーバイザー上で設定されると、新規 hostX (例えば、host1) ファイルが /sys/class/fc_host//sys/class/scsi_host/ のディレクトリー内に作成されます。このファイルには、Hyper-V FC Adapter ワールドワイドポート番号 (WWPN) およびワールドワイドノードネーム (WWNN) で決定される port_namehost_name のエントリーが含まれます。(BZ#1308632, BZ#1425469)

Amazon Web Services 向け ENA ドライバー

今回の更新では、Amazon Elastic Network Adapter (ENA) ドライバーのサポートが Red Hat Enterprise Linux 7 カーネルに追加されました。ENA は、Amazon Web Services クラウドの特定のインスタンスタイプ向けの Red Hat Enterprise Linux 7 ゲスト仮想マシンにおけるネットワーク効率を大幅に強化します。
ENA についての詳細情報は、https://aws.amazon.com/blogs/aws/elastic-network-adapter-high-performance-network-interface-for-amazon-ec2 を参照してください。(BZ#1357491, BZ#1410047)

libvirt がバージョン 3.2.0 にリベース

libvirt パッケージがアップストリームバージョン 3.2.0 にアップグレードされ、バグ修正および拡張機能が数多く加えられています。主な変更点は以下の通りです。
  • 特定の libvirt ストレージサブドライバーのインストールおよびアンインストールが可能になり、インストールのフットプリントを減らしています。
  • Name Services Switch (NSS) が KVM ゲスト名を自動的にネットワークアドレスに解決するよう、/etc/nsswitch.conf ファイルで設定できるようになっています。(BZ#1382640)

KVM が MCE をサポート

今回の更新では MCE (Machine Check Exception) のサポートが KVM カーネルモジュールに追加され、KVM ゲスト仮想マシンで Intel Xeon v5 Local プロセッサーのローカル MCE (LMCE) 機能が使用できるようになっています。LMCE では MCE を全スレッドにブロードキャストするのではなく、単一のプロセッサースレッドに配信し、これにより vCPU のパフォーマンスが必要以上に低下することを防ぎます。この結果、多数のプロセッサースレッドがあるマシン上での MCE 処理時にソフトウェアの負荷が少なくなります。(BZ#1402102, BZ#1402116)

tun/tap デバイス上の rx バッチ処理をサポート

今回の更新では、tun/tap デバイスの rx バッチ処理がサポートされるようになりました。これによりバンドル化されたネットワークフレームワークの受信が可能となり、パフォーマンスが改善します。(BZ#1414627)

libguestfs がバージョン 1.36.3 にリベース

libguestfs パッケージがアップストリームバージョン 1.36.3 にアップグレードされ、バグ修正および拡張機能が数多く加えられています。主な変更点は以下の通りです。
  • virt-tail ユーティリティーが追加され、これを使ってゲスト内の長いファイルを tail -f コマンドのようにフォローできるようになりました。詳細は、virt-tail(1) man ページを参照してください。
  • virt-v2v ユーティリティーのサポートするオペレーティングシステムと入力ソースの種類が増えました。さらに、Windows ゲストの変換が大幅に書き換えられ、簡素化されました。
  • virt-customizevirt-builder、および virt-systprep ユーティリティーに複数のオプションが追加されました。(BZ#1359086)

QXL ドライバーの virt-v2v インストールの改善

Windows ゲスト仮想マシンにおける QXL ドライバーの virt-v2v 実装が変更され、このゲストで QXL ドライバーが正常にインストールされるようになりました。(BZ#1233093, BZ#1255610, BZ#1357427, BZ#1374651)

virt-v2v が qcow2 形式 1.1 でディスクイメージのエクスポートが可能

今回の更新では virt-v2v ユーティリティーで -o rhev オプションを使用すると、qcow2 形式バージョン 1.1 互換のディスクイメージをエクスポートするようになりました。また、virt-v2v に vdsm 出力モード用の --vdsm-compat=COMPAT オプションが加わりました。このオプションは、virt-v2v-o vdsm オプションを使用してイメージをエクスポートする際に、使用する qcow2 形式のバージョンを指定します。(BZ#1400205)

追加の virt ツールがディスク全体を LUKS で暗号化しているゲストで機能

今回の更新では、ディスク全体を LUKS で暗号化しているゲストで virt-customizevirt-get-kernelvirt-sparsify、および virt-sysprep のツールが使用できるようになりました。このため、これらのツールでそのようなゲストを開くキーやパスフレーズを提供できます。(BZ#1362649)

libguestfs コマンドすべてでタブ入力が可能

libguestfs 全ツール向けの Bash 補完スクリプトが追加されました。これにより、すべての libguestfs コマンドでタブ入力が使用できます。(BZ#1367738)

サイズ変更ディスクをリモートの場所に直接書き込み可能

今回の更新では、virt-resize ユーティリティーが出力をリモートの場所に書き込めるようになりました。これは、サイズ変更したディスクイメージを Ceph ストレージボリュームに直接書き込む場合などに便利です。virt-resize の出力ディスクは、URI を使って指定することができます。この出力の指定には、サポートされている入力プロトコルやフォーマットを使用することができます。(BZ#1404182)

ユーザーのネームスペースが完全サポート

これまではテクノロジープレビューとして提供されていたユーザーのネームスペース機能が完全サポートとなりました。これは、ホストとコンテナーを適切に分離することで、Linux コンテナーを実行しているサーバーの安全性を高めます。コンテナー管理者がホストでの管理操作を実行できなくなるので、安全性が高まります (BZ#1138782)。

第20章 Atomic Host とコンテナー

Red Hat Enterprise Linux Atomic Host

Red Hat Enterprise Linux Atomic Host は、Linux コンテナーの実行のために最適化された安全、軽量で、フットプリントを最小限に抑えたオペレーティングシステムです。最新の新機能、既知のバグ、およびテクノロジープレビューについては、Atomic Host およびコンテナーの『Release Notes』 を参照してください。

第21章 Red Hat Software Collections

Red Hat Software Collections とは、動的なプログラミング言語、データベースサーバー、関連パッケージなどを提供する Red Hat のコンテンツセットのことで、AMD 64 および Intel 64 アーキテクチャーをベースにした Red Hat Enterprise Linux 6 および Red Hat Enterprise Linux 7 のサポートされているどのリリースに対してもインストールして使用することができます。Red Hat Developer Toolset は、別の Software Collection として含まれています。
Red Hat Developer Toolset は Red Hat Enterprise Linux プラットフォームで作業する開発者向けに設計されており、最新版の GNU Compiler Collection、GNU Debugger、その他の各種開発用ツールやデバッグ用ツール、パフォーマンス監視用ツールなども提供しています。Red Hat Software Collections 2.3 以降のバージョンでは、Eclipse 開発プラットフォームは別個の Software Collection として提供されています。
Red Hat Software Collections で配信される動的言語、データベースサーバーなどのツールは Red Hat Enterprise Linux で提供されるデフォルトのシステムツールに代わるものでも、これらのデフォルトのツールよりも推奨されるツールでもありません。Red Hat Software Collections では、scl ユーティリティーをベースにした別のパッケージメカニズムを使用しており、複数のパッケージセットを並行して提供できます。Red Hat Software Collections を利用すると、Red Hat Enterprise Linux で別のバージョンをオプションで使用できます。scl ユーティリティーを使用すると、いつでも任意のパッケージバージョンを選択して実行することができます。

重要

Red Hat Software Collections のライフサイクルおよびサポート期間は、Red Hat Enterprise Linux に比べて短くなります。詳細は「Red Hat Software Collections 製品ライフサイクル」を参照してください。
Red Hat Software Collections のセットに収納されているコンポーネント、システム要件、既知の問題、使い方、各 Software Collection の詳細などについては Red Hat Software Collections のドキュメント を参照してください。
Red Hat Software Collections の一部となる Red Hat Developer Toolset に収納されているコンポーネント、インストール、使い方、既知の問題など詳細については Red Hat Developer Toolset のドキュメント を参照してください。

パート II. 主なバグ修正

ここでは、ユーザーに大きな影響を与える Red Hat Enterprise Linux 7.4 で修正されたバグについて説明します。

第22章 備考

バグ修正の説明は、現在本書の英語版にのみ記載されています。

パート III. テクノロジープレビュー

ここでは Red Hat Enterprise Linux 7.4 で更新または導入されたテクノロジープレビューについて簡単に説明します。
Red Hat のテクノロジープレビュー機能のサポート範囲については、https://access.redhat.com/ja/support/offerings/techpreview/ を参照してください。

第23章 全般的な更新

systemd-importd VM およびコンテナーのインポートおよびエクスポートサービス

最新バージョンの systemd には、以前のビルドでは有効ではなく、machinectl pull-* コマンドの失敗を引き起こしていた systemd-importd デーモンが含まれるようになりました。systemd-importd デーモンはテクノロジープレビューとして提供され、このデーモンが安定している訳ではないことに注意してください (BZ#1284974)。

第24章 認証および相互運用性

AD および LDAP の sudo プロバイダーの使用

AD (Active Directory) プロバイダーは AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 から、AD sudo プロバイダーと LDAP プロバイダーの併用はテクノロジープレビューとして利用可能になっています。AD sudo プロバイダーを有効にするには、sssd.conf ファイルの [domain] セクションに sudo_provider=ad 設定を追加します。(BZ#1068725)

DNSSEC が IdM でテクノロジープレビューとして利用可能

統合 DNS を備える Identity Management (IdM) サーバーで DNSSEC (DNS Security Extension) がサポートされています。DNSSEC とは DNS プロトコルの安全性を強化する DNS に対する機能拡張セットです。IdM サーバーでホストされる DNS ゾーンには DNSSEC を使用した自動署名が可能です。暗号キーは自動的に生成、回転されます。
DNSSEC で DNS ゾーンの安全性を強化する決定をした場合は、以下のドキュメントを参照することが推奨されます。
統合 DNS を備えた IdM サーバーは DNSSEC を使って、他の DNS サーバーから取得する DNS の応答を認証します。DNS ゾーンが、Red Hat Enterprise Linux ネットワークガイド (https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices) に記載の推奨命名規則に準じた設定ではない場合は、その可用性に影響する場合があるため注意してください (BZ#1115294)。

Identity Management JSON-RPC API がテクノロジープレビューとして利用可能

API が Identity Management (IdM) で利用可能になりました。API を表示するために、IdM は API ブラウザーをテクノロジープレビューとして提供しています。
Red Hat Enterprise Linux 7.3 では、IdM API は複数バージョンの API コマンドを有効とするように機能拡張されました。これまでは、機能拡張では、コマンドによる動作が互換性のない方法で変更されていました。今回の更新では、ユーザーは IdM API が変更されても、既存のツールやスクリプトを引き続き使用することができます。これにより、以下が可能になっています。
  • 管理者は、管理しているクライアント以外のサーバー上で IdM の以前のバージョンもしくは最近のバージョンを使用することができます。
  • IdM のバージョンが変更されても、開発者は特定バージョンの IdM コールを使用することができます。
すべてのケースでサーバーとの通信は可能になっています。例えば、ある機能向けの新オプションが新しいバージョンで導入されていて、通信の一方の側でこれを使用していたとしても、特に問題ありません。
API に使用に関する詳細情報は、https://access.redhat.com/articles/2728021 を参照して下さい (BZ#1298286)。

Custodia シークレットサービスプロバイダーが利用可能

シークレットサービスプロバイダーの Custodia がテクノロジープレビューとして利用可能になっています。Custodia はキーやパスワードを保存したり、それらのプロキシーとして機能します。
詳細については、アップストリームのドキュメント http://custodia.readthedocs.io を参照してください。(BZ#1403214)

コンテナー化された Identity Management サーバーがテクノロジープレビューとして利用可能

rhel7/ipa-server コンテナーイメージがテクノロジープレビューとして利用可能になっています。rhel7/sssd コンテナーイメージは完全サポートとなっていることに留意してください。
詳細は Using Containerized Identity Management Services を参照してください。(BZ#1405325, BZ#1405326)

第25章 クラスタリング

pcs ツールが Pacemaker でバンドルリソースを管理

Red Hat Enterprise Linux 7.4 からテクノロジープレビューとして pcs ツールがバンドルリソースをサポートするようになりました。pcs resource bundle createpcs resource bundle update のコマンドを使ってバンドルの作成と修正ができます。既存のバンドルにリソースを追加するには、pcs resource create コマンドを使用します。bundle リソースに設定可能なパラメーターについての情報は、pcs resource bundle --help コマンドを実行してください。(BZ#1433016)

第26章 コンパイラーとツール

Shenandoah ガーベジコレクター

一時停止時間の短い新しい Shenandoah ガーベジコレクターが、 Intel 64、AMD64、および 64-bit ARM アーキテクチャーの OpenJDK でテクノロジープレビューとして利用可能になりました。Shenandoah は並列 evacuation を実行するので、長い一時停止をすることなく大量のヒープを実行することが可能です。詳細については、https://wiki.openjdk.java.net/display/shenandoah/Main を参照してください。(BZ#1400306)

第27章 ファイルシステム

CephFS カーネルクライアントが利用可能

Red Hat Enterprise Linux 7.3 以降で、Ceph File System (CephFS) カーネルモジュールがテクノロジープレビューとして提供されるようになり、Red Hat Enterprise Linux ノードが Red Hat Ceph Storage クラスターから Ceph File System をマウントできるようになりました。Red Hat Enterprise Linux のカーネルクライアントは、Red Hat Ceph Storage に同梱されている Filesystem in Userspace (FUSE) クライアントよりも効率性の高いオプションです。現在、カーネルクライアントには CephFS のクォータのサポートがありません。詳しい情報は Red Hat Ceph Storage 2 の Ceph File System Guide: https://access.redhat.com/documentation/en/red-hat-ceph-storage/2/single/ceph-file-system-guide-technology-preview (BZ#1205497) を参照してください。

ext4 および XFS ファイルシステムが DAX をサポート

Red Hat Enterprise Linux 7.3 以降、Direct Access (DAX) では、アプリケーションがアドレス空間に永続メモリーを直接マッピングする手段をテクノロジープレビューとして提供するようになりました。DAX を使用するには、永続メモリーがシステムに設定されている必要があります。永続メモリーは通常、1 つまたは複数の Non-Volatile Dual In-line Memory Module (NVDIMM) などの形式で提供され、DAX をサポートするファイルシステムは NVDIMM 上に作成する必要があります。また、ファイルシステムは dax のマウントオプションでマウントする必要があります。DAX でマウントしたファイルシステムにファイルを mmap すると、アプリケーションのアドレス空間にストレージが直接マッピングされます。(BZ#1274459)

pNFS およびブロックレイアウトのサポート

テクノロジープレビューとしてアップストリームのコードが Red Hat Enterprise Linux クライアントにバックポートされ、pNFS ブロックレイアウト機能が提供されています。
さらに Red Hat Enterprise Linux 7.4 では、pNFS SCSI レイアウトがテクノロジープレビューとして追加されています。この機能は、pNFS ブロックレイアウト機能に似ていますが、SCSI デバイスにのみ限定されるため、より簡単に使用できます。そのため Red Hat では、pNFS ブロックレイアウトではなく、pNFS SCSI レイアウトの使用を推奨しています。(BZ#1111712)

OverlayFS

OverlayFS とはユニオンファイルシステムのタイプの 1 つです。任意のファイルシステム上に別のファイルシステムを重ねる (オーバーレイする) ことができます。変更は上層側のファイルシステムに記録され、下層側のファイルシステムは未変更のままになります。コンテナーの場合や DVD-ROM などベースのイメージが読み取り専用メディアの場合には、複数のユーザーで 1 つのファイルシステムイメージを共有することができます。詳細はカーネルファイルの Documentation/filesystems/overlayfs.txt を参照してください。
多くの状況で OverlayFS は Red Hat Enterprise Linux 7.3 では引き続きテクノロジープレビューとして提供されます。このため、OverlayFS を作動させるとカーネルにより警告のログが記録されます。
Docker で次の制約を付けて使用する場合は完全対応として利用していただけます。
  • OverlayFS は Docker のグラフドライバーとして使用する場合にのみサポートされます。コンテナー COW コンテンツでの使用のみサポートされ、永続ストレージとしてはサポートされません。永続ストレージは OverlayFS 以外のボリュームに配置している場合に限りサポートの対象となります。使用できるのはデフォルトの Docker 設定のみです。つまり、オーバーレイレベル 1 つ、下層側ディレクトリー 1 つ、同じファイルシステム上に配置された上層レベルと下層レベルという構成です。
  • 下層ファイルシステムとして使用がサポートされているのは現在 XFS のみです。
  • 物理マシンで SELinux を有効にして enforcing モードの設定にしておく必要がありますが、コンテナーの分離を行う場合はコンテナー側では無効にしなければなりません。つまり、/etc/sysconfig/docker には --selinux-enabled は追加しないでください。OverlayFS の SELinux サポートはアップストリームで開発中であり、今後のリリースで提供される予定です。
  • OverlayFS カーネル ABI とユーザー空間の動作については安定性に欠けるとみなされているため、今後の更新で変更が加えられる可能性があります。
  • コンテナー内で yum および rpm のユーティリティーを正常に機能させるには、yum-plugin-ovl パッケージを使用する必要があります。
OverlayFS は制限付きで POSIX 標準セットを提供しています。OverlayFS で POSIX 標準を導入する場合はまず先にアプリケーションテストを十分に行ってから導入するようにしてください。
オーバーレイとして使用するように -n ftype=1 オプションを有効にして、XFS ファイルシステムを作成する必要がある点に注意してください。システムのインストール時に作成される rootfs およびファイルシステムについては、Anaconda キックスタートで --mkfsoptions=-n ftype=1 のパラメーターを設定してください。インストール後に新しいファイルシステムを作成する場合は # mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE コマンドを実行します。既存のファイルシステムがオーバーレイとして使用する資格があるかを判断するには # xfs_info /PATH/TO/DEVICE | grep ftype コマンドを使用して ftype=1 オプションが有効であるかどうかを確認します。
また、Red Hat Enterprise Linux 7.3 リリースの時点で OverlayFS に関連する既知の問題がいくつかあります。詳細については、Documentation/filesystems/overlayfs.txt ファイルの Non-standard behavior を参照してください (BZ#1206277)。

pNFS SCSI レイアウトクライアントおよびサーバーサポートの提供

Red Hat Enterprise Linux 7.3 より、Parallel NFS (pNFS) SCSI レイアウトのクライアントおよびサーバーサポートがテクノロジープレビューとして提供されます。ブロックレイアウトをベースに構築されている pNFS レイアウトは SCSI デバイスをまたいで定義されており、このレイアウトには論理ユニットとして順番に並んだ固定サイズのブロックが含まれています。この論理ユニットには SCSI の永続予約をサポートできる機能が必要です。論理ユニット (LU) デバイスは、SCSI デバイスの ID で識別され、フェンシングは予約の割り当てで処理されます (BZ#1305092)。

第28章 ハードウェアの有効化

LSI Syncro CS HA-DAS アダプター

Red Hat Enterprise Linux 7.1 には、LSI Syncro CS の HA-DAS (high-availability direct-attached storage)アダプターを有効にするため、megaraid_sas ドライバーにコードが含まれていました。megaraid_sas ドライバーはこれまで有効であったアダプターに対して完全サポートされますが、Syncro CS に対してはテクノロジープレビューとして提供されます。このアダプターのサポートは LSI、システムインテグレーター、またはシステムベンダーによって直接提供されます。Red Hat Enterprise Linux 7.2 以上に Syncro CS をデプロイする場合は、Red Hat および LSI へのフィードバックにご協力ください。http://www.lsi.com/products/shared-das/pages/default.aspx にアクセスしてください (BZ#1062759)。

第29章 インストールと起動

rpm-build のマルチスレッド xz 圧縮。

現在、1 つのコアのみを使用するため、高並列構築の圧縮に時間がかかることがあります。これは、特に多くのコアを持つハードウェアに構築された大型プロジェクトを継続的に統合する場合に問題になります。
テクノロジープレビューとして提供されるこの機能は、%_source_payload または %_binary_payload マクロを wLTX.xzdio パターンに設定すると、ソースおよびバイナリーパッケージのマルチスレッド xz 圧縮を可能にします。wLTX.xzdioL は圧縮レベルを表し (デフォルトは 6)、 X は使用されるスレッドの数 (複数桁も可能) を表します (例: w6T12.xzdio)。この設定を行うには、/usr/lib/rpm/macros ファイルを編集するか、仕様ファイルまたはコマンドライン内でマクロを宣言します (BZ#1278924)。

第30章 カーネル

HMM (heterogeneous memory management) 機能をテクノロジープレビューで提供

Red Hat Enterprise Linux 7.3 では、HMM (heterogeneous memory management) 機能をテクノロジープレビューとして提供しています。この機能は、プロセスアドレス空間を独自のメモリー管理ユニット (MMU) にミラーする必要のあるデバイスのヘルパーレイヤーとしてカーネルに追加されています。これにより、CPU 以外のデバイスプロセッサーは統一システムアドレス空間を使用してシステムメモリーを読み取ることができます。この機能を有効にするには、experimental_hmm=enable をカーネルコマンドラインに追加します (BZ#1230959)。

criu がバージョン 2.12 にリベース

Red Hat Enterprise Linux 7.2 は criu ツールをテクノロジープレビューとして導入しました。このツールは、Checkpoint/Restore in User-space (CRIU) を実装します。これを使用すると、実行中のアプリケーションをフリーズさせた後にファイルの集合としてこれを保存し、後にフリーズ状態から復元できます。
criu ツールは Protocol Buffers に依存します。これは、構造化データをシリアル化するための、言語とプラットフォームに中立的な拡張性のあるメカニズムです。依存パッケージとなる protobufprotobuf-c パッケージも Red Hat Enterprise Linux 7.2 にテクノロジープレビューとして導入されています。
Red Hat Enterprise Linux 7.4 では、criu パッケージがアップストリームバージョン 2.12 にアップグレードされ、バグ修正および拡張機能が数多く加えられています (BZ#1400230)

Kexec がテクノロジープレビューとして利用可能

kexec システムコールがテクノロジープレビューとして提供されています。このシステムコールを使用すると現在実行中のカーネルから別のカーネルを読み込んだり、起動したりすることが可能で、カーネル内のブートローダーとして機能します。通常のシステム起動中に実行されるハードウェアの初期化は kexec 起動中にはなされず、これで再起動にかかる時間が大幅に短縮されます。(BZ#1460849)

kexec fast reboot がテクノロジープレビューとして利用可能

今回の更新では kexec fast reboot 機能がテクノロジープレビューとして追加され、再起動が大幅に速くなっています。この機能を使用するには、kexec カーネルを手動で読み込み、オペレーティングシステムを再起動する必要があります。kexec fast reboot は、デフォルトの再起動アクションにはできません。
特別なケースでは、kexec fast rebootAnaconda に使用する場合が挙げられます。この場合でも kexec fast reboot をデフォルトにすることはできませんが、Anaconda でこれを使用すると、インストール完了後にユーザーがカーネルを anaconda オプションで起動すると、オペレーティングシステムは自動的に kexec fast reboot を使用します。kexec 再起動をスケジュールするには、カーネルコマンドラインで inst.kexec コマンドを使用するか、Kickstart ファイルに reboot --kexec の行を追加します。(BZ#1464377)

柔軟なファイルレイアウトの NFSv4 pNFS クライアントを更新

NFSv4 クライアントでの柔軟なファイルレイアウトは、Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして最初に導入されました。Red Hat Enterprise Linux 7.4 ではこの機能が更新されましたが、引き続きテクノロジープレビューとして提供されています。
NFSv4 の柔軟なファイルレイアウトは、中断のないファイルモビリティーやクライアント側のミラーリングなどの高度な機能を有効にし、データベース、ビッグデータ、仮想化のエリアのユーザビリティーを強化します。NFS の柔軟なファイルレイアウトについての詳細情報は、https://datatracker.ietf.org/doc/draft-ietf-nfsv4-flex-files/ を参照してください。(BZ#1349668)

第31章 リアルタイムカーネル

新しいスケジューラークラス: SCHED_DEADLINE

今回の更新で、リアルタイムカーネル向けの SCHED_DEADLINE スケジューラークラスがテクノロジープレビューとして導入されました。この新しいスケジューラーを使用すると、アプリケーションの締め切りに基づいた予測可能なタスクのスケジューリングが可能になります。SCHED_DEADLINE を使用するとアプリケーションタイマー操作が減るので、定期的なワークロードで役立ちます (BZ#1297061)。

第32章 ネットワーク

Cisco usNIC ドライバー

Cisco Unified Communication Manager (UCM) サーバーには Cisco 専用の User Space Network Interface Controller (usNIC) を提供するオプション機能があります。これを使用すると、ユーザースペースのアプリケーションに対して Remote Direct Memory Access (RDMA) のような動作を実行することができるようになります。テクノロジープレビューとして利用可能な libusnic_verbs ドライバーを使用すると、Verbs API ベースの標準 InfiniBand RDMA プログラミングで usNIC デバイスが利用可能になります (BZ#916384)。

Cisco VIC カーネルドライバー

Cisco VIC Infiniband のカーネルドライバーはテクノロジープレビューとして利用可能で、RDMA (Remote Directory Memory Access) のようなセマンティックが専用の Cisco アーキテクチャーで使用可能になります (BZ#916382)。

Trusted Network Connect

Trusted Network Connect はテクノロジープレビューとして利用可能で、TLS、802.1X、IPsec など既存のネットワークアクセス制御 (NAC) ソリューションと併用して、エンドポイントのポスチャー評価を一体化します。つまりエンドポイントのシステムの情報を収集します (オペレーティングシステムを構成している設定、インストールしているパッケージ、その他、整合性測定と呼ばれているもの)。エンドポイントのネットワークへのアクセスを許可する前に、Trusted Network Connect を使用してこれらの測定をネットワークアクセスポリシーに対して検証します (BZ#755087)。

qlcnic ドライバーの SR-IOV 機能

SR-IOV (Single-Root I/O virtualization) のサポートが qlcnic ドライバーにテクノロジープレビューとして追加されています。この機能のサポートは QLogic から直接提供されます。QLogic および Red Hat へのフィードバックをぜひお願いします。qlcnic ドライバー内の他の機能は引き続き完全サポートとなります (BZ#1259547)。

新パッケージ: libnftnlnftables

今回の更新では nftableslibnftl のパッケージがテクノロジープレビューとして追加されました。
nftables パッケージはパケットフィルタリングツールを提供し、以前のものに比べると利便性、機能およびパフォーマンスが改善しています。これは、iptablesip6tablesarptables、および ebtables のユーティリティーの後継となるものです。
libnftnl パッケージは、libmnl ライブラリーを介して nftables Netlink の API と低レベルの対話をするためのライブラリーを提供します。(BZ#1332585)

flower 分類子がオフロードをサポート

flower はトラフィック制御 (TC) 分類子で、各種プロトコルのパケットフィールドのマッチング設定を可能にします。また、複雑なフィルタリングや分類タスクの u32 分類子に対するルール設定を容易にします。flower は、ハードウェアが対応している場合に、基礎となるハードウェアへの分類およびアクションのルールをオフロードする機能もサポートしています。flower TC 分類子はテクノロジープレビューとして提供されています。(BZ#1393375)

第33章 Ansible を使った Red Hat Enterprise Linux System Roles

新パッケージ: ansible

Red Hat Enterprise Linux System Roles がテクノロジープレビューとして利用可能で、これは Red Hat Enterprise Linux サブシステム向けの設定インターフェースです。Ansible Roles を含めることでシステム設定が容易になっています。このインターフェースを使用すると、Red Hat Enterprise Linux の複数バージョンのシステム設定を管理できるほか、新しいメジャーリリースも導入できます。
Red Hat Enterprise Linux 7.4 では、Red Hat Enterprise Linux System Roles パッケージは Extras チャンネルから配信されています。Red Hat Enterprise Linux System Roles の詳細については、https://access.redhat.com/articles/3050101 を参照してください。
備考:
  • 現在 Ansible は、Red Hat Enterprise Linux FIPS 検証プロセスの一部とはなっていません。これについては今後のリリースで対応することを検討しています。
  • Ansible はサポート対象外のランタイム依存関係として含まれています。(BZ#1313263)

第34章 セキュリティー

tang-nagios および clevis-udisk2 サブパッケージがテクノロジープレビューとして利用可能

Red Hat Enterprise Linux Network-Bound Disk Encryption (NBDE) プロジェクトの一部であるtangclevis のパッケージには、tang-nagios および clevis-udisk2 のサブパッケージも含まれています。これらのサブパッケージはテクノロジープレビューとしてのみ提供されます。(BZ#1467338)

第35章 ストレージ

SCSI 向けのマルチキュー I/O スケジューリング

Red Hat Enterprise Linux 7 には blk-mq として知られるブロックデバイス用の新しいマルチキュー I/O スケジューリングのメカニズムが含まれています。scsi-mq パッケージにより、SCSI (Small Computer System Interface) サブシステムはこの新しいキューイングメカニズムを使用できます。この機能はテクノロジープレビューとして提供され、デフォルトでは有効になっていません。有効にするには、 scsi_mod.use_blk_mq=Y をカーネルコマンドラインに追加します (BZ#1109348)。

libStorageMgmt API の Targetd プラグイン

Red Hat Enterprise Linux 7.1 から、ストレージアレイから独立した API である libStorageMgmt を使ったストレージアレイの管理が完全サポートされました。提供される API は安定性と整合性を備え、開発者は異なるストレージアレイをプログラム的に管理し、ハードウェアアクセラレーション機能を使用できます。また、システム管理者は libStorageMgmt を使用して手動でストレージを設定したり、含まれているコマンドラインインターフェースを使用してストレージ管理タスクを自動化したりできます。
Targetdプラグインは完全サポートされず、引き続きテクノロジープレビューとして提供されます (BZ#1119909)。

DIF/DIX (Data Integrity Field/Data Integrity Extension) のサポート

DIF/DIX が新たに SCSI 標準に追加されました。Red Hat Enterprise Linux 7.4 では「新しい機能」の章に記載されている HBA およびストレージアレイに対して完全サポートされますが、その他の HBA およびストレージアレイに対しては引き続きテクノロジープレビューとなります。
DIF/DIX により DIF (Data Integrity Field) が追加され、一般的に使用される 512 バイトのディスクブロックのサイズが 512 から 520 バイトに増加します。IDF は、書き込みの発生時に HBA (Host Bus Adapter) によって算出されるデータブロックのチェックサム値を保存します。その後、受信時にストレージデバイスがチェックサムを確認し、データとチェックサムの両方を保存します。読み取りが発生すると、チェックサムはストレージデバイスおよび受信する HBA によって検証されます (BZ#1072107)。

Device DAX が NVDIMM デバイスでテクノロジープレビューとして利用可能

Device DAX を使用すると、ハイパーバイザーやデータベースのユーザーによる永続メモリーへの raw アクセスがファイルシステムを介在せずに可能になります。 特にアプリケーションに予測可能な障害の粒度と、ユーザースペースから永続的ドメインへにデータをフラッシュする機能を備えることができます。Red Hat Enterprise Linux 7.4 から、Device Dax はNVDIMM デバイス用のテクノロジープレビューとして利用可能になっています。(BZ#1383489)

第36章 仮想化

KVM ゲスト用の USB 3.0 サポート

Red Hat Enterprise Linux 7.4 では、KVM ゲスト向けの USB 3.0 ホストアダプター (xHCI) エミュレーションは引き続きテクノロジープレビューとなります。(BZ#1103193)

Intel ネットワークアダプターの選択において Hyper-V 上のゲストとして SR-IOV をサポート

Hyper-V を実行する Red Hat Enterprise Linux ゲスト仮想マシンの今回の更新では、新しい PCI パススルードライバーが追加され、ixgbevf ドライバーでサポートされる Intel ネットワークアダプターに Single-Root I/O Virtualization (SR-IOV) 機能を使用できるようになりました。この機能は、以下の条件が満たされた場合に有効になります。
  • ネットワークインターフェースコントローラー (NIC) の SR-IOV サポートが有効化されている場合
  • 仮想 NIC の SR-IOV サポートが有効化されている場合
  • 仮想スイッチの SR-IOV サポートが有効化されている場合
NIC からの Virtual Function (VF) は、仮想マシンにアタッチされています。
現在この機能は Microsoft Windows Server 2016 Technical Preview 5 でサポートされています (BZ#1348508)。

Hyper-V のゲスト仮想マシンにおいて PCI Express バスで接続されているデバイスに対してドライバーを追加

今回の更新では、PCI Express で接続されているデバイスが Hyper-V ハイパーバイザーで実行中の Red Hat Enterprise Linux ゲスト仮想マシンにパススルーされる場合に、Root PCI バスを公開するように、新しいドライバーが追加されました。現在この機能は Microsoft Windows Server 2016 Technical Preview 5 でサポートされています (BZ#1302147)。

VFIO ドライバーの No-IOMMU モード

今回の更新により、VFIO (Virtual Function I/O) ドライバーの No-IOMMU モードがテクノロジープレビューとして追加されました。No-IOMMU モードは、I/O メモリー管理ユニット (IOMMU) なしに直接メモリーアクセス (DMA) 対応デバイスへの完全なユーザー空間 I/O (UIO) アクセスを提供します。しかし、このモードはサポートされないだけでなく、IOMMU で提供される I/O 管理機能がないために安全に使用することができません (BZ#1299662)。

ibmvnic デバイスドライバーを追加

ibmvnic デバイスドライバーが Red Hat Enterprise Linux 7.3 for IBM POWER アーキテクチャーにテクノロジープレビューとして追加されました。vNIC (Virtual Network Interface Controller) はエンタープライズケイパビリティーを提供し、ネットワーク管理を単純化する新たな PowerVM 仮想ネットワークテクノロジーです。これは SR-IOV NIC と組み合わせると、仮想 NIC レベルで帯域幅の制御に関する Qos (Quality of Service) ケイパビリティーを提供する高パフォーマンスの効率的なテクノロジーとして機能します。vNIC は仮想化オーバーヘッドを大幅に削減するため、待ち時間が短縮し、ネットワークの仮想化に必要な CPU およびメモリーを含むサーバーリソースが少なくなります (BZ#947163)。

virt-v2v で vmx 設定ファイルを使用した VMware ゲストの変換

テクノロジープレビューとして、virt-v2v ユーティリティーには vmx 入力モードが含まれるようになり、ユーザーは VMware vmx 設定ファイルからゲスト仮想マシンを変換できます。これを行うには、たとえば、NFS を使用してストレージをマウントすることにより対応する VMware ストレージにアクセスする必要もあります。(BZ#1441197)

virt-v2v による Debian および Ubuntu ゲストの変換が可能

テクノロジープレビューとして、virt-v2v ユーティリティーは Debian および Ubuntu ゲスト仮想マシンを変換できるようになりました。現時点では、この変換を行うときに以下の問題が発生することに注意してください。
  • virt-v2v は GRUB2 設定内のデフォルトのカーネルは変更できず、ゲスト上でより適切なカーネルのバージョンが利用可能であった場合でも、ゲスト内で設定されたカーネルは変換中に変更できません。
  • Debian または Ubuntu VMware ゲストを KVM に変換した後は、ゲストのネットワークインターフェース名が変更されり、手動での設定が必要になる場合があります。(BZ#1387213)

パート IV. デバイスドライバー

本パートでは、Red Hat Enterprise Linux 7.4 で更新された全デバイスドライバーを一覧表示しています。

第37章 新しいドライバー

ストレージドライバー

  • nvme-fabrics
  • nvme-rdma
  • nvmet
  • nvmet-rdma
  • nvme-loop
  • qedi
  • qedf

ネットワークドライバー

  • qedr
  • rdma_rxe
  • ntb_transport
  • ntb_perf
  • mdev
  • vfio_mdev
  • amd-xgbe
  • atlantic
  • libcxgb
  • ena
  • rocker
  • amd8111e
  • nfp
  • mlxsw_core
  • mlxsw_i2c
  • mlxsw_spectrum
  • mlxsw_pci
  • mlxsw_switchx2
  • mlxsw_switchib
  • mlxsw_minimal

グラフィックスドライバーおよびその他のドライバー

  • ccp
  • chcr
  • uio_hv_generic
  • usbip-core
  • vhost_vsock
  • tpm_tis_spi
  • gpio-amdpt
  • joydev
  • sdio_uart
  • ptp_kvm
  • mei_wdt
  • dell-rbtn
  • dell-smo8800
  • intel-hid
  • dell-smbios
  • skx_edac
  • kvmgt
  • pinctrl-intel
  • pinctrl-sunrisepoint
  • pinctrl-amd
  • dax_pmem
  • dax
  • nfit
  • ledtrig-usbport

第38章 更新されたドライバー

ストレージドライバー

  • aacraid ドライバーがバージョン 1.2.1[50792]-custom に更新されています。
  • lpfc ドライバーがバージョン 0:11.2.0.6 に更新されています。
  • vmw_pvscsi ドライバーがバージョン 1.0.7.0-k に更新されています。
  • megaraid_sas ドライバーがバージョン 07.701.17.00-rh1 に更新されています。
  • bfa ドライバーがバージョン 3.2.25.1 に更新されています。
  • hpsa ドライバーがバージョン 3.4.18-0-RH1 に更新されています。
  • be2iscsi バージョンが 11.2.1.0 に更新されています。
  • qla2xxx ドライバーがバージョン 8.07.00.38.07.4-k1 に更新されています。
  • mpt2sas ドライバーがバージョン 20.103.00.00 に更新されています。
  • mpt3sas ドライバーがバージョン 15.100.00.00 に更新されています。

ネットワークドライバー

  • ntb ドライバーがバージョン 1.0 に更新されています。
  • igbvf ドライバーがバージョン 2.4.0-k に更新されています。
  • igb ドライバーがバージョン 5.4.0-k に更新されています。
  • ixgbevf ドライバーがバージョン 3.2.2-k-rh7.4 に更新されています。
  • i40e ドライバーがバージョン 1.6.27-k に更新されています。
  • fm10k ドライバーがバージョン 0.21.2-k に更新されています。
  • i40evf ドライバーがバージョン 1.6.27-k に更新されています。
  • ixgbe ドライバーがバージョン 4.4.0-k-rh7.4 に更新されています。
  • be2net ドライバーがバージョン 11.1.0.0r に更新されています。
  • qede ドライバーがバージョン 8.10.10.21 に更新されています。
  • qlge ドライバーがバージョン 1.00.00.35 に更新されています。
  • qed ドライバーがバージョン 8.10.10.21 に更新されています。
  • bna ドライバーがバージョン 3.2.25.1r に更新されています。
  • bnxt ドライバーがバージョン 1.7.0 に更新されています。
  • enic ドライバーがバージョン 2.3.0.31 に更新されています。
  • fjes ドライバーがバージョン 1.2 に更新されています。
  • hpwdt ドライバーがバージョン 1.4.02 に更新されています。

グラフィックドライバーおよび他のドライバー

  • vmwgfx ドライバーがバージョン 2.12.0.0 に更新されています。
  • hpilo ドライバーがバージョン 1.5.0 に更新されています。

第39章 非推奨の機能

本章では、Red Hat Enterprise Linux 7.4 までの Red Hat Enterprise Linux 7 のマイナーリリースで非推奨となった機能の概要を説明します。
非推奨の機能は、Red Hat Enterprise Linux 7 のライフサイクル終了までサポートされます。非推奨の機能は、本製品の今後のメジャーリリースではサポートされない可能性が高く、新規実装は推奨されません。特定メジャーリリースの非推奨機能の最新一覧については、そのメジャーリリースの最新版リリースノートを参照してください。
現行および今後のメジャーリリースでは、非推奨の ハードウェア コンポーネントの新規実装は推奨されません。ハードウェアドライバーの更新はセキュリティーと重大な修正のみに限定されます。Red Hat では、このようなハードウェアをできるだけ早い機会に取り替えることを推奨しています。
パッケージ が非推奨となり、使用の継続が推奨されない場合があります。特定の状況では、パッケージが製品から削除されることもあります。その場合は、製品のドキュメントで、非推奨となったパッケージと同様、同一、またはより高度な機能を提供する最近のパッケージを特定して、詳細な推奨事項が記載されます。

Identity Management に関連する非推奨機能

以下の機能は将来削除されるか、または他のコンポーネントに置き換えられる予定です。
  • authconfig
  • pam_pkcs11
  • pam_krb5
  • OpenLDAP サーバー

非推奨の安全でないアルゴリズムおよびプロトコル

暗号化ハッシュおよび暗号化と暗号化プロトコルを提供するアルゴリズムは、一定期間後に、使用には危険または単に安全ではないと見なされます。詳細については、Red Hat カスタマーポータルのナレッジベース記事 Enhancing the Security of the Operating System with Cryptography Changes in Red Hat Enterprise Linux 7.4 を参照してください。
弱い暗号とアルゴリズムはデフォルトで OpenSSH で使用されない
この更新により、デフォルトの設定で OpenSSH ライブラリーにより複数の弱い暗号およびアルゴリズムが削除されます。ただし、ほとんどの場合は、後方互換性が確保されます。
OpenSSH サーバーおよびクライアントからは以下の暗号とアルゴリズムが削除されました。
  • ホストキーアルゴリズム:
    • ssh-rsa-cert-v00@openssh.com
    • ssh-dss-cert-v00@openssh.com
  • 暗号:
    • arcfour256
    • arcfour128
    • arcfour
    • rijndael-cbc@lysator.liu.se
  • MAC:
    • hmac-md5
    • hmac-md5-96
    • hmac-md5-96-etm@openssh.com
    • hmac-md5-etm@openssh.com
    • hmac-ripemd160
    • hmac-ripemd160-etm@openssh.com
    • hmac-ripemd160@openssh.com
    • hmac-sha1-96
    • hmac-sha1-96-etm@openssh.com (MD5、truncated SHA-1、RIPEMD160)
OpenSSH クライアントからは以下の暗号が削除されました。
  • 暗号: blowfish-cbc、cast128-cbc、および 3des-cbc。
OpenSSH では SHA-1 ベースのキー交換アルゴリズムが FIPS モードで使用されない
この更新により、FIPS モードでデフォルトのリストから SHA-1 ベースのキー交換アルゴリズムが削除されます。これらのアルゴリズムを有効にするには、~/.ssh/config/etc/ssh/sshd_config のファイルの以下の設定スニペットを使用します。
KexAlgorithms=+diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1
SSH-1 プロトコルを OpenSSH サーバーから削除
SSH-1 プロトコルサポートは OpenSSH サーバーから削除されました。詳細については、ナレッジベース記事 The server-side SSH-1 protocol removal from RHEL 7.4 を参照してください。
MD5、MD4、および SHA0 が OpenSSL で署名アルゴリズムとして使用できない
この更新により、証明書での MD5、MD4、および SHA0 署名、Certificate Revocation Lists (CRL)、メッセージ署名のサポートが削除されました。
また、デジタル署名を生成するデフォルトのアルゴリズムが SHA-1 から SHA-256 に変更されました。これまでのアルゴリズムをサポートするために SHA-1 署名の検証は引き続き有効です。
システム管理者は、etc/pki/tls/legacy-settings ポリシー設定ファイルで LegacySigningMDs オプションを変更することにより MD5、MD4、または SHA0 サポートを有効にできます。以下に例を示します。
echo 'LegacySigningMDs algorithm' >> /etc/pki/tls/legacy-settings
複数のレガシーアルゴリズムを追加するには、コンマまたはスペース文字 (新しい行を除く) を使用します。詳細については、OpenSSL パッケージの README.legacy-settings ファイルを参照してください。
また、OPENSSL_ENABLE_MD5_VERIFY 環境変数を設定して MD5 検証を有効にすることもできます。
OpenSSL クライアントで 1024 ビットよりも短い DH を使用してサーバーに接続できない
この更新により、OpenSSL クライアントが 1024 ビットよりも短い Diffie-Hellman (DH) パラメーターを使用してサーバーに接続できなくなります。この結果、OpenSSL を使用したクライアントが Logjam などの脆弱性の影響を受けなくなります。
システム管理者は、/etc/pki/tls/legacy-settingsMinimumDHBits オプションを変更して短い DH パラメーターのサポートを有効にできます。以下に例を示します。
echo 'MinimumDHBits 768' > /etc/pki/tls/legacy-settings
このオプションは、最小値を増加させるためにも使用できます (システム管理者が必要とする場合)。
SSL 2.0 サポートが OpenSSL から完全に削除
SSL プロトコルバージョン 2.0 (7 年以上安全でないと見なされてきました) は 2011 年に RFC 6176 によって非推奨となりました。Red Hat Enterprise Linux では、SSL 2.0 のサポートはデフォルトですでに無効になっています。この更新により、SSL 2.0 サポートは完全に削除されました。このプロトコルバージョンを使用する OpenSSL ライブラリー API コールはエラーメッセージを返すようになりました。
OpenSSL の EXPORT 暗号スイートは非推奨
この変更により、OpenSSL ツールキットから EXPORT 暗号スイートのサポートが削除されます。これらの弱い暗号スイートを無効にすることにより、OpenSSL は FREAK などの脆弱性の影響を受けなくなります。EXPORT 暗号スイートは、TLS プロトコル設定で不要になりました。
GnuTLS クライアントで 1024 ビットよりも短い DH を使用してサーバーに接続できない
この更新により、GNU Transport Layer Security (GnuTLS) クライアントが 1024 ビットよりも短い Diffie-Hellman (DH) パラメーターを使用してサーバーに接続できなくなります。この結果、OpenSSL を使用したクライアントが Logjam などの脆弱性の影響を受けなくなります。
ユーザーまたは設定から直接優先度文字列を受け取るアプリケーションでは、使用された優先度文字列に優先度文字列 %PROFILE_VERY_WEAK を追加することにより、この変更を元に戻すことができます。
TLS を使用している NSS クライアントで 1024 ビットよりも短い DH を使用してサーバーに接続できない
この更新により、Network Security Services (NSS) クライアントが 1024 ビットよりも短い Diffie-Hellman (DH) パラメーターを使用してサーバーに接続できなくなります。この結果、OpenSSL を使用したクライアントが Logjam などの脆弱性の影響を受けなくなります。
システム管理者は、/etc/pki/nss-legacy/nss-rhel7.config ポリシー設定ファイルの内容を以下のものに変更して短い DH パラメーターのサポートを有効にできます。
library=
name=Policy
NSS=flags=policyOnly,moduleDB
config="allow=DH-MIN=767:DSA-MIN=767:RSA-MIN=767"

空の行がファイルの最後に必要であることに注意してください。
NSS の EXPORT 暗号スイートは非推奨
この変更により、Network Security Services (NSS) ライブラリーの EXPORT 暗号スイートのサポートが削除されます。これらの弱い暗号スイートを無効にすることにより、FREAK などの脆弱性から保護できます。EXPORT 暗号スイートは、TLS プロトコル設定で不要になりました。

レガシー CA 証明書が ca-certificates パッケージから削除

以前は、GnuTLSOpenSSL、および glib-networking ライブラリーの古いバージョンと Public Key Infrastructure (PKI) の互換性を維持するために、ca-certificates パッケージに、デフォルトで信頼された 1024 ビットのRSA キーがあるレガシー CA 証明書セットが含まれていました。
Red Hat Enterprise Linux 7.4 には、ルート CA 証明書の代わりを正しく特定できる OpenSSLGnuTLS、および glib-networking の更新済みバージョンが含まれるため、公開 Web PKI の互換性を維持するためにこれらのレガシー CA 証明書は不要になりました。
レガシー CA 証明書を無効にするために以前に使用できたレガシー設定メカニズムはサポートされなくなり、レガシー CA 証明書の一覧が空白に変更されました。
ca-legacy ツールはまだ利用可能であり、将来的な再利用のために現在の設定は保持されます。

opensccoolkey を置換

OpenSC ライブラリーは PKCS#11 API を実装し、coolkey パッケージを置き換えます。Red Hat Enterprise Linux 7 では、CoolKey Applet 機能は opensc パッケージによっても提供されます。
coolkey パッケージは Red Hat Enterprise Linux 7 のライフタイムの間サポートされますが、新しいハードウェア有効化は opensc パッケージによって提供されます。

FedFS が非推奨

Federated File System (FedFS) は非推奨と見なされます。アップストリーム fedfs プロジェクトは積極的に保守されなくなります。Red Hat は柔軟な機能を提供する autofs を使用することをお勧めします。

Btrfs がテクノロジープレビューを終了

Btrfs ファイルシステムは Red Hat Enterprise Linux 6 の初回リリース以降、テクノロジープレビューにとどまっています。Red Hat は Btrfs を完全なサポート機能に移行する予定はなく、今後の Red Hat Enterprise Linux では削除される予定です。
Btrfs ファイルシステムは Red Hat Enterprise Linux 7.4 の各種更新を受信しており、Red Hat Enterprise Linux 7 シリーズでは提供されますが、この機能に対する更新はこれで最後となる予定です。
Red Hat は、特にスナップショット、圧縮、NVRAM、使用性など、お客様のユースケースに対応するためにこれからの技術に引き続き投資します。ファイルシステムやストレージ技術の機能や要件に対するフィードバックを Red Hat の他担当者に提供いただけるようご協力お願いします。

gnome-terminal-nautilusnautilus-open-terminal を置換

Red Hat Enterprise Linux 7.3 より、nautilus-open-terminal パッケージが非推奨となり、gnome-terminal-nautilus パッケージに置き換えられました。このパッケージは、Nautilus の右クリックのコンテキストメニューに 端末で開く のオプションを追加する Nautilus の拡張機能です。nautilus-open-terminal は、システムのアップグレード中に gnome-terminal-nautilus によって置き換えられます。

sslwrap()Python から削除

Python 2.7 から sslwrap() 関数が削除されました。466 Python Enhancement Proposal が実装された後にこの関数を使用すると、セグメンテーション違反が発生します。この削除はアップストリームに沿うものです。Red Hat では、この関数の代わりに ssl.wrap_socket() 関数の使用を推奨しています。

Windows ゲスト仮想マシンのサポートが限定的

Red Hat Enterprise Linux 7 の時点では、Windows ゲスト仮想マシンは、Advanced Mission Critical (AMC) などの特定のサブスクリプションプログラムにおいてのみサポートされます。

libnetlink が非推奨

iproute-devel パッケージに含まれている libnetlink ライブラリーは非推奨になりました。ユーザーは、このライブラリーの代わりに libnl および libmnl ライブラリーを使用することを推奨します。

KVM の S3 および S4 の電源管理状態が非推奨

S3 (Suspend to RAM) および S4 (Suspend to Disk) の電源管理状態に対する KVM のネイティブサポートが廃止されました。この機能は、以前はテクノロジープレビューとして提供されていました。

Certificate Server の udnPwdDirAuth プラグインが廃止

Red Hat Enterprise Linux 7.3 では、Red Hat Certificate Server の udnPwdDirAuth 認証プラグインが廃止されました。このプラグインを使用するプロファイルはサポートされなくなりました。udnPwdDirAuth プラグインを使用したプロファイルで作成された証明書は、承認済みの場合には引き続き有効です。

IdM 向けの Red Hat Access プラグインが廃止

Red Hat Enterprise Linux 7.3 では、Identity Management (IdM) 向けの Red Hat Access プラグインが廃止されました。redhat-access-plugin-ipa パッケージはシステムの更新時に自動的にアンインストールされます。 ナレッジベースへのアクセスやサポートケースエンゲージメントなど、このプラグインによって以前提供されていた機能は、Red Hat カスタマーポータルで引き続き利用することができます。Red Hat では、redhat-support-tool ツールなどの代替オプションを検討されることを推奨します。

フェデレーション方式のシングルサインオン向けの Ipsilon 認証プロバイダーサービス

ipsilon パッケージは Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして導入されました。Ipsilon は認証プロバイダーとアプリケーション/ユーティリティーをリンクして、シングルサインオン (SSO) を可能にします。
Red Hat は、Ipsilon をテクノロジープレビューから完全にサポートされた機能にアップグレードする予定はありません。ipsilon パッケージは、Red Hat Enterprise Linux の今後のマイナーリリースで削除される予定です。
Red Hat は、Web SSO ソリューションとして Red Hat Single Sign-On (Keycloak コミュニティープロジェクトをベースにする) をリリースしました。Red Hat Single Sign-On は、Ipsilon よりも強力な機能を提供し、Red Hat 製品ポートフォリオ全体の標準 Web SSO ソリューションと指定されています。

複数の rsyslog オプションが非推奨

Red Hat Enterprise Linux 7.4 の rsyslog ユーティリティーバージョンで複数のオプションが非推奨になりました。これらのオプションは効力がなくなり、警告が表示されてしまいます。
  • これまで -c-u-q-x-A-Q-4-6 のオプションを使用した機能は rsyslog 設定を使用して取得できます。
  • これまで -l および -s で指定した機能の代わりとなるものはありません。

SCTP (RFC 6458) のソケット API 拡張オプションが非推奨

ストリーム コントロール トランスミッション プロトコル (SCTP: Stream Control Transmission Protocol) のソケット API 拡張の SCTP_SNDRCVSCTP_EXTRCV および SCTP_DEFAULT_SEND_PARAM は RFC 6458 仕様に従い、非推奨となりました。
非推奨となったオプションの代わりに、SCTP_SNDINFOSCTP_NXTINFOSCTP_NXTINFOSCTP_DEFAULT_SNDINFO の新規オプションが実装されました。

SSLv2 および SSLv3 は NetApp ONTAP によるサポートがなくなりました

NetApp ONTAP ストレージアレイへの SSLv2 および SSLv3 接続は libstorageMgmt ライブラリーでサポートされなくなりました。NetApp に問い合わせて Transport Layer Security (TLS) プロトコルを有効化してください。

dconf-dbus-1 は非推奨となり、dconf-editor が別途提供

今回の更新では dconf-dbus-1 API が削除されましたが、バイナリーの互換性を確保するために dconf-dbus-1 ライブラリーがバックポートされました。Red Hat は dconf-dbus-1 ではなく GDBus ライブラリーを使用することを推奨します。
dconf-error.h ファイルの名前が dconf-enums.h に変更されました。また dconf Editor は別の dconf-editor パッケージで提供されるようになりました。詳しい情報は 8章デスクトップを参照してください。

FreeRADIUSAuth-Type := System を受け入れなくなりました

FreeRADIUS サーバーは、rlm_unix 認証モデルの Auth-Type := System オプションを受け入れなくなりました。このオプションの代わりに、設定ファイルの authorize セクションで unix モジュールを使用することになりました。

非推奨のデバイスドライバー

  • 3w-9xxx
  • 3w-sas
  • mptbase
  • mptctl
  • mptsas
  • mptscsih
  • mptspi
  • mvsas
  • qla3xxx
  • megaraid_sas ドライバーの以下のコントローラーが非推奨となりました。
    • Dell PERC5、PCI ID 0x15
    • SAS1078R、PCI ID 0x60
    • SAS1078DE、PCI ID 0x7C
    • SAS1064R、PCI ID 0x411
    • VERDE_ZCR、PCI ID 0x413
    • SAS1078GEN2、PCI ID 0x78
  • be2net ドライバーによって制御される次のイーサネットアダプターは非推奨となりました。
    • TIGERSHARK NIC、PCI ID 0x0700
  • be2iscsi ドライバーの以下のコントローラーは非推奨となりました。
    • Emulex OneConnect 10Gb iSCSI Initiator (汎用)、PCI ID 0x212
    • OCe10101、OCm10101、OCe10102、OCm10102 BE2 アダプターファミリー、PCI ID 0x702
    • OCe10100 BE2 アダプターファミリー、PCI ID 0x703
  • lpfc ドライバーの以下の Emulex ボードは非推奨となりました。
    BladeEngine 2 (BE2) デバイス
    • TIGERSHARK FCOE、PCI ID 0x0704
    ファイバーチャネル (FC) デバイス
    • FIREFLY、PCI ID 0x1ae5
    • PROTEUS_VF、PCI ID 0xe100
    • BALIUS、PCI ID 0xe131
    • PROTEUS_PF、PCI ID 0xe180
    • RFLY、PCI ID 0xf095
    • PFLY、PCI ID 0xf098
    • LP101、PCI ID 0xf0a1
    • TFLY、PCI ID 0xf0a5
    • BSMB、PCI ID 0xf0d1
    • BMID、PCI ID 0xf0d5
    • ZSMB、PCI ID 0xf0e1
    • ZMID、PCI ID 0xf0e5
    • NEPTUNE、PCI ID 0xf0f5
    • NEPTUNE_SCSP、PCI ID 0xf0f6
    • NEPTUNE_DCSP、PCI ID 0xf0f7
    • FALCON、PCI ID 0xf180
    • SUPERFLY、PCI ID 0xf700
    • DRAGONFLY、PCI ID 0xf800
    • CENTAUR、PCI ID 0xf900
    • PEGASUS、PCI ID 0xf980
    • THOR、PCI ID 0xfa00
    • VIPER、PCI ID 0xfb00
    • LP10000S、PCI ID 0xfc00
    • LP11000S、PCI ID 0xfc10
    • LPE11000S、PCI ID 0xfc20
    • PROTEUS_S、PCI ID 0xfc50
    • HELIOS、PCI ID 0xfd00
    • HELIOS_SCSP、PCI ID 0xfd11
    • HELIOS_DCSP、PCI ID 0xfd12
    • ZEPHYR、PCI ID 0xfe00
    • HORNET、PCI ID 0xfe05
    • ZEPHYR_SCSP、PCI ID 0xfe11
    • ZEPHYR_DCSP、PCI ID 0xfe12
使用中のシステム上の PCI ID を確認するには、lspci -nn コマンドを実行します。
上記のドライバーのコントローラーで、この一覧には含まれていないコントローラーについては変更がない点に注意してください。

非推奨のアダプター

以下のアダプターが非推奨になりました。
  • 0x2422 -> ISP24xx
  • 0x2432 -> ISP24xx
  • 0x5422 -> ISP2422
  • 0x5432 -> QLE220
  • 0x8001 -> QLE81xx
  • 0xF000 -> QLE10000
  • 0x8044 -> QLE84xx
  • 0x8432 -> QLE8000

SFN4XXX アダプターが非推奨

Red Hat Enterprise Linux 7.4 以降、SFN4XXX Solarflare ネットワークアダプターが非推奨になりました。以前は、Solarflare にはすべてのアダプターに対する単一のドライバー sfc がありました。最近、SFN4XXX は sfc から分割され、sfc-falcon という名前の新しい SFN4XXX 専用ドライバーに移動されました。これら両方のドライバーは現時点ではサポートされますが、sfc-falcon と SFN4XXX のサポートは将来のメジャーリリースで削除される予定です。

FCoE ストレージ技術

Fibre Channel over Ethernet (FCoE) のストレージ技術が非推奨になりました。非推奨となった理由は、提供されてから数年経っても幅広く採用されず、一般的な関心を集められなかったためです。

パート V. 既知の問題

ここでは Red Hat Enterprise Linux 7.4 の既知の問題について説明します。

第40章 認証および相互運用性

グループの検索時に sudo が予期せずアクセスを拒否する

この問題は、システムで以下の条件が合致する場合に発生します。
  • filessss などの複数の Name Service Switch (NSS) ソースで利用可能な sudoers においてグループ名が設定されている。
  • NSS 優先順位がローカルグループの定義に設定されている。/etc/nsswitch.conf ファイルに以下の行が含まれると、これに該当します。
sudoers: files sss
  • match_group_by_gid という名前の sudo のデフォルトオプションが true に設定されている。これがこのオプションのデフォルト値です。
NSS ソースの優先順位のために、sudo ユーティリティーが指定されたグループの GID 検索を試みると、sudo はローカルグループの定義のみを記述した結果を受け取ります。このため、ユーザーがローカルグループではなくリモートグループに属している場合、sudoers ルールが一致せず、sudo がアクセスを拒否します。
この問題を回避するには、以下のいずれかを実行します。
  • sudoersmatch_group_by_gid のデフォルト値を明示的に無効にする。/etc/sudoers ファイルを開いて以下の行を追加します。
Defaults !match_group_by_gid
  • NSS が files よりも sss NSS ソースを優先するように設定する。/etc/nsswitch.conf ファイルを開いて sssfiles の前に来るようにします。
sudoers: sss files
こうすることで、sudo はリモートグループに属するユーザーにアクセスを許可します。(BZ#1293306)

FIPS モードのシステムで CS が Thales HSM とのインストールに失敗する

証明書システム (CS) を Thales ハードウェアセキュリティーモジュール (HSM) とインストールした後、HSM でシステムキーすべてを生成すると、SSL プロトコル が正常に機能しません。このため、CS は FIPS モードが有効になっているシステムでのインストールに失敗します。
この問題を回避するには、2 段階の CS インストール中に、/etc/[instance_name]/server.xml ファイル内の sslRangeCiphers パラメーターを以下のように修正します。
  • 下記のようにプラス記号 (+) を追加して、この暗号を有効にします。
+TLS_DHE_RSA_WITH_AES_128_CBC_SHA,+TLS_DHE_RSA_
WITH_AES_256_CBC_SHA,+TLS_DHE_RSA_WITH_AES_128_
CBC_SHA256,+TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
,+TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,+TLS_RSA_
WITH_AES_128_CBC_SHA256,+TLS_RSA_WITH_AES_256_C
BC_SHA256
  • 他のすべての暗号にマイナス記号 (-) を追加して、無効にします。例を示します。
-TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,-TLS_ECDH_
ECDSA_WITH_3DES_EDE_CBC_SHA
(BZ#1382066)

KCM 認証情報キャッシュが単一の認証情報キャッシュにおける多数の認証情報に適切でない

認証情報キャッシュに過剰な認証情報が含まれると、sssd-kcmsssd-secrets のコンポーネント間の移動に使用されるバッファーのハードコーディング制限のために、klist のような Kerberos 操作が失敗します。
この問題を回避するには、/etc/sssd/sssd.conf ファイルの [kcm] セクションに ccache_storage = memory オプションを追加します。これは、kcm レスポンダーに対してインメモリーでのみ認証情報をキャッシュし、永続的にはキャッシュしないように指示します。これを実行した場合は、システムを再起動するか sssd-kcm を実行して認証情報キャッシュをクリアしてください。(BZ#1448094)

負荷が高いと sssd-secrets コンポーネントがクラッシュする

sssd-secrets コンポーネントが多数のリクエストを受け付けると、Network Security Services (NSS) ライブラリーにバグが発生し、sssd-secrets が予期せず終了します。ただし、systemd サービスが次のリクエストで sssd-secrets を再起動するので、サービス拒否は一時的なものになります。(BZ#1460689)

SSSD が同一優先順位の証明書の一致ルールを正常に処理しない

ある証明書が優先順位が同じ複数の証明書一致ルールに一致する場合、System Security Services Daemon (SSSD) は 1 つのルールしか使用しません。回避策として挙げられるのは、単一の証明書一致ルールを使用することで、このルールの LDAP フィルターが | (or) 演算子で連結されている個別のルールのフィルターで構成されているものにします。証明書一致ルールの例については、sss-certamp(5) man ページを参照してください。(BZ#1447945)

SSSD が ID 上書きで一意の証明書しか検索できない

複数の ID 上書きに同一の証明書が含まれていると、System Security Services Daemon (SSSD) は証明書に一致するユーザーのクエリーを解決することができません。そのようなユーザーの検索を試行しても、ユーザーは返されません。ユーザー名または UID を使ったユーザー検索は予想通り機能することに留意してください。(BZ#1446101)

第41章 コンパイラーとツール

実行可能スタックが無効になっていると JIT テクニックで正規表現のパフォーマンスが強化されない

SELinux モジュールポリシーが実行可能スタックを許可しない場合、PCRE ライブラリーは JIT コンパイルを使用した正規表現のスピードアップが実行できません。このため、正規表現での JIT コンパイルの試行が無視され、パフォーマンスが強化されません。
この問題を回避するには、影響のある SELinux ドメインで execmem アクションを有効にするルールを使って SELinux ポリシーを修正します。これで JIT コンパイルが有効になります。ルールのいくつかは既に提供されており、特定の SELinux ブール値で有効にできます。これらのブール値を一覧表示するには、以下のコマンドを実行します。
getsebool -a | grep execmem
別の方法では、アプリケーションコードを変更して pcre_study() 関数呼び出しで JIT コンパイルをリクエストしないようにします。(BZ#1290432)

第42章  デスクトップ

totem のみの更新が失敗する

totemgstreamer1-plugins-bad-free パッケージの間には明示的な依存関係がないことから、totem パッケージのみの更新は失敗します。この問題を回避するには、totem パッケージのみを更新せずにシステムアップデートを使用します。(BZ#1451211)

起動時にオペレーティングシステムが Wacom Expresskeys Remote モード 1 を想定する

Wacom Expresskeys Remote (EKR) はスタンドアロンデバイスであるため、オペレーティングシステム (OS) の起動時にどのオペレーティングモードにも切り替え可能です。ただし現在は、OS は起動時に EKR がモード 1 に設定されていることを想定します。このため、EKR モードがシステム起動前に 1 に設定されていないと、EKR は OS と同期されません。この問題を回避するには、OS 起動前に EKR をモード 1 に設定します。(BZ#1458351)

nVidia GM20x ハードウェア上で複数画面使用時に Nouveau に問題が発生する

nVidia GM20x シリーズデバイスに接続されている画面の組み合わせにより、多くのエラーが発生します。これは dmesgDRM: EVO timeout などのメッセージがあることで分かります。
この問題は現在調査中です。(BZ#1463368)

Add/Remove Software ツール (gpk-application) が新規にインポートされたキーを初回試行時に使用しない

GNOMEAdd/Remove Software グラフィカルインターフェースを使ってインポートされていないキーで署名されたパッケージをインストールすると、このツールはキーをインポートするようにプロンプトを出します。しかし、キーがインポートされてもバグによりこのキーをすぐに使用することができないので、インストールは成功しません。この問題を回避するには、同じパッケージを再度インストールします。この時点でキーは既にインポートされているので、インストールは成功します。(BZ#1387181)

第43章 ファイルシステム

NFSv4 で機能する NetApp ストレージアプライアンスの設定確認

NFSv4 で機能する NetApp ストレージアプライアンスを使用する際には、機能をマイナーバージョンごとに有効または無効にすることができることに注意してください。
以下の Data ONTAP コマンドを使用するなどして、適切な機能が無効または有効になっている設定であることを確認してください。
vserver nfs show -vserver <vserver-name> -fields v4.0-acl,v4.0-read-delegation,v4.0-write-delegation,v4.0-referrals,v4.0-migration,v4.1-referrals,v4.1-migration,v4.1-acl,v4.1-read-delegation,v4.1-write-delegation
(BZ#1450447)

第44章 ハードウェアの有効化

i40e ドライバーが最も一般的な HWTSTAMP フィルターを拒否する

INTEL-SA-00063 アドバイザリーで記述されている Intel Ethernet Controller X710 および XL710 ファミリー向けのセキュリティー修正における L4 timestamping (UDP) の無効化により、i40e デバイスドライバーは最も一般的な HWTSTAMP フィルターを拒否します。この問題が発生するのは Intel X710 デバイスのみで、新しい X722 デバイスでは発生しません。(BZ#1431964)

第45章 インストールと起動

HTTP キックスタートのソースからインストールする場合に FIPS モードがサポートされない

HTTPS キックスタートのソースでインストールする際に、インストールイメージで FIPS モードがサポートされていないため、現在コマンドラインに fips=1inst.ks=https://<location>/ks.cfg オプションを追加してシステムをインストールすることができません (BZ#1341280)。

UEFI と IPv6 を使用して PXE ブートを行うと、オペレーティングシステムの選択メニューの代わりに GRUB2 シェルが表示される

Pre-Boot Execution Environment (PXE) が UEFI と IPv6 が設定されたクライアントで起動すると、/boot/grub/grub.cfg ファイルで設定された起動メニューが表示されません。タイムアウト後に、設定されたオペレーティングシステムの選択メニューの代わりに GRUB2 シェルが表示されます (BZ#1154226)。

第46章 カーネル

セカンダリーコアがオフラインでないと kexec が失敗する

特定の状況では、セカンダリーコアのオフライン化が HP ProLiant m400 や AppliedMicro Mustang などの AppliedMicro X-Gene プラットフォームで失敗します。この結果、カーネルパニックが発生すると、カーネルは kexec による kdump クラッシュダンプメカニズムの機能に失敗することがあります。その結果、カーネルクラッシュダンプファイルが保存されません。(BZ#1218374)

キャッシュの間違ったフラッシュによるファイルシステムの破損は修正されたものの、I/O 操作が遅い

megaraid_sas ドライバーのバグのために、システムシャットダウン、再起動、電源切れの際にディスク書き込みバックキャッシュでファイルシステムが使用されると、ファイルシステムの破損が発生していました。今回の更新では megaraid_sas を修正し、フラッシュキャッシュコマンドを正確に RAID カードに送信します。この結果、RAID カードファームウェアも更新すると、このような状況下では、ファイルシステムは破損しなくなりました。
Broadcom megaraid_sas RAID アダプターを使用すると、システムログ (dmesg) の機能を確認できます。適切な機能は以下の文字列で示されます。
FW supports sync cache Yes
この修正によりキャッシュが適切にフラッシュされるようになったので、I/O 操作が遅くなることがあることに留意してください。(BZ#1380447)

Wacom Cintiq 12WX 外して入れなおすと再検出されない

同じ USB ポートで Wacom Cintiq 12WX をすばやく外して入れなおすと、このタブレットは現在認識されません。この問題を回避するには、入れなおす時に 3-5 秒待ってください。(BZ#1458354)

仮想 DVD を使った IBM POWER8 マシンへのインストールが GUI 起動時に失敗する

Red Hat Enterprise Linux 7.4 を特定の IBM POWER8 ハードウェア (S822LC マシンを含む) にインストールする際に、Anaconda GUI 起動時にこれが失敗することがあります。
この問題は X11 の起動エラーが特徴で、その後に Anaconda 画面に Pane is dead というメッセージが表示されます。
この問題を回避するには、inst.text をカーネルコマンドラインに追加し、テキストモードでインストールします。
この問題は仮想 DVD インストールに限られており、netboot イメージで追加のテストを行うと GUI インストールができるようになります。(BZ#1377857)

VMWare ESXi 5.5 でキーボードショートカットを使って全画面モードに入ると画面に問題が発生する

VMWare ESXi 5.5 ホスト上で Red Hat Enterprise Linux 7.4 を仮想マシンゲストとして稼働している際に Ctrl+Alt+Enter を押してコンソールで全画面モードに入ると、画面が使用できなくなります。同時に、以下のようなエラーがシステムログ (dmesg) に保存されます。
[drm:vmw_cmdbuf_work_func [vmwgfx]] *ERROR* Command buffer error.
この問題を回避するには、仮想マシンをシャットダウンして .vmx 設定ファイルを開き、以下のパラメーターを追加または修正します。
svga.maxWidth = X
svga.maxHeight = Y
svga.vramSize = "X * Y * 4"
ここでの X と Y は、使用中の画面の水平方向および垂直方向の解像度に置き換えます。svga.vramSize パラメーターは、X x Y x 4 の値を取ります。例えば、解像度が 1920x1080 の場合、以下のようになります。
svga.maxWidth = 1920
svga.maxHeight = 1080
svga.vramSize = "8294400"
この問題が報告されているのは、VMWare ESXi 5.5 のバージョンのみです。他のバージョンでは問題なく全画面モードに入れます。(BZ#1451242)

第47章 ネットワーク

MD5 ハッシュアルゴリズムを使用した署名の検証は、Red Hat Enterprise Linux 7 で無効になっています。

MD5 で署名された証明書を必要とする Wi-Fi Protected Access (WPA) Enterprise Access Point (AP) に接続することはできません。この問題を回避するには、wpa_supplicant.service ファイルを /usr/lib/systemd/system ディレクトリーから /etc/systemd/system/ ディレクトリーにコピーして、そのファイルの Service のセクションに以下の行を追加します。
Environment=OPENSSL_ENABLE_MD5_VERIFY=1
次に root として systemctl daemon-reload コマンドを実行し、サービスファイルを再読み込みします。
重要: MD5 証明書は安全性が非常に低いため、Red Hat では使用を推奨していません (BZ#1062656)。

第48章 セキュリティー

FIPS モードでは certutil が NSS データベースパスワード要件を返さない

FIPS モードで実行中の場合、新規の Network Security Services (NSS) データベースを certutil ツールで作成すると、データベースパスワード要件がユーザーには分かりません。プロンプトメッセージではパスワード要件が提示されず、certutil は以下の一般的なエラーメッセージのみを返します。
certutil: could not authenticate to token NSS FIPS 140-2 Certificate DB.: SEC_ERROR_IO: An I/O error occurred during security authorization.
(BZ#1401809)

systemd-importdinit_t として実行される

systemd-importd サービスは、systemd ユニットファイルで NoNewPrivileges セキュリティーフラグを使用しています。これにより、init_t から systemd_importd_t ドメインへの SELinux ドメイン移行がブロックされます。(BZ#1365944)

USBGuardが IBM Power で利用可能

割り込み USB デバイスに対するシステム保護を提供する usbguard パッケージが利用可能になっています。今回の更新では、IBM Power アーキテクチャー向けの USBGuard ソフトウェアフレームワークがテクノロジープレビューとして提供されています。今後の Red Hat Enterprise Linux リリースで完全サポートが予定されています。
USB は IBM z Systems ではサポートされておらず、USBGuard フレームワークはこのシステムでは提供されないことに注意してください。(BZ#1467369)

第49章 ストレージ

クラスター内で RAID にシンプロビジョニングを加えた場合のサポートがない

RAID 論理ボリュームとシンプロビジョニングされた論理ボリュームはクラスター内でそれぞれ別にアクティブにされると使用が可能ですが、クラスター内では RAID にシンプロビジョニングを加えた場合は、サポートされていません。これは、この組み合わせが別々にアクティベートされても変わりません。現時点では、この組み合わせがサポートされるのは、LVM の単一マシンの非クラスター化されたモードのみになります (BZ#1014758)。

LVM または md デバイスに以前のインストールからのメタデータがある場合に Anaconda インストールが失敗する

マルチパス化するディスクが既に以前のインストールからの LVM または md メタデータで起動してしまっているマシンで Red Hat Enetrprise Linux 7 をインストールすると、そのインストール中に Anaconda が起動する間にマルチパスはそのデバイスでは設定されず、LVM/md がパスデバイスのいずれかで設定されます。これは Anaconda で問題となり、インストールが失敗します。この問題を回避するには、インストールのために起動する際に mpath.wwid=<WWID> をカーネルコマンドラインに追加します。ここでの <WWID> は、マルチパスを設定するデバイスの wwid になります。この値は scsi デバイスの ID_SERIAL udev データベースの値および DASD デバイスの ID_UID と同じものになります。(BZ#1378714)

第50章 システムとサブスクリプション管理

rdma-core がインストールされているとシステムアップグレードで Yum が不要な 32-bit パッケージをインストールする

Red Hat Enterprise Linux 7.4 では、rdma-core.noarch パッケージは rdma-core.i686 および rdma-core.x86_64 により使用されなくなっています。システムアップグレードでは Yum が元のパッケージを新パッケージで置換し、必要な依存関係をインストールします。このため、32-bit パッケージとその 32-bit 依存関係 (サイズ大の可能性あり) が不要な場合でもデフォルトでインストールされてしまいます。
この問題を回避するには、yum update コマンドで --exclude=\*.i686 オプションを使用するか、アップグレード後に yum remove rdma-core.i686 コマンドを使用して 32-bit パッケージを削除します。(BZ#1458338)

第51章 仮想化

OVMF ゲストの起動に失敗する

qemu-kvm パッケージを使用している Red Hat Enterprise Linux ホストで Open Virtual Machine Firmware (OVMF) を使用するゲスト仮想マシンを起動しようとすると失敗し、ゲストが応答しなくなり、空白の画面が表示されます。(BZ#1174132)

virsh iface-bridge でのブリッジ作成が失敗する

Red Hat Enterprise Linux 7 をネットワーク以外のソースからインストールする場合、デフォルトではネットワークデバイス名がインターフェース設定ファイルでは指定されていません (これは DEVICE= 行で実行)。このため virsh iface-bridge コマンドを使ったネットワークブリッジの作成は、エラーメッセージが出て失敗します。この問題を回避するには、/etc/sysconfig/network-scripts/ifcfg-* ファイルに DEVICE= の行を追加します。
詳細については、Red Hat ナレッジベースの https://access.redhat.com/solutions/2792701 (BZ#1100588) を参照してください。

ゲストが ESXi 5.5 で起動に失敗することがある

VMware ESXi 5.5 ハイパーバイザーで Red Hat Enterprise Linux 7 ゲストを実行するときに、特定のコンポーネントが間違った Memory Type Range Register (MTRR) 値で初期化されるか、起動ごとに MTRR 値が間違って再設定されます。これにより、ゲストのカーネルでパニックが発生したり、ゲストが起動中に応答しなくなったりすることがあります。
この問題を回避するには、disable_mtrr_trim オプションをゲストのカーネルコマンドラインに追加して、MTRR が間違って設定された場合にゲストが起動し続けることができるようします。このオプションを使用した場合は、起動中にゲストにより WARNING: BIOS bug というメッセージが表示されますが、無視しても安全です。(BZ#1429792)

STIG for Red Hat Virtualization Hypervisor プロファイルが Anaconda で表示されない

oscap-anaconda-addon モジュールは現在 STIG for Red Hat Virtualization Hypervisor セキュリティー強化プロファイルを正しく解析できません。結果的に、プロファイルの名前は Anaconda のインターフェース選択で DISA STIG for Red Hat Enterprise Linux 7 または United States Government Configuration Baseline (USGCB / STIG) - DRAFT として表示されます。ただし、これは表示の問題にすぎず、STIG for Red Hat Virtualization Hypervisor プロファイルの代わりに DISA STIG for Red Hat Enterprise Linux 7 プロファイルを安全に使用できます。(BZ#1437106)

付録A コンポーネントのバージョン

Red Hat Enterprise Linux 7.4 リリースを構成しているコンポーネントとそのバージョンを以下に示します。

表A.1 コンポーネントのバージョン

コンポーネント
バージョン
Kernel
3.10.0-691
QLogic qla2xxx ドライバー
8.07.00.38.07.4-k1
QLogic qla4xxx ドライバー
5.04.00.00.07.02-k0
Emulex lpfc ドライバー
0:11.2.0.6
iSCSI initiator utils
iscsi-initiator-utils-6.2.0.874-4
DM-Multipath
device-mapper-multipath-0.4.9-111
LVM
lvm2-2.02.171-8

付録B コンポーネント別の Bugzilla リスト

本付録では、本リリースノートに含まれるすべてのコンポーネントとそれらに関連する Bugzilla のリストを提供します。公開されている Bugzilla の番号には Bugzilla の詳細へのリンクが含まれています。

表B.1 コンポーネント別の Bugzilla リスト

コンポーネント新しい機能注目すべきバグ修正テクノロジープレビュー既知の問題
389-ds-baseBZ#1394000, BZ#1395940, BZ#1425907BZ#1378209  
Doc-administration-guideBZ#1426286, BZ#1426289   
Doc-release-notesBZ#1426275, BZ#1426278, BZ#1426283, BZ#1436973   
Documentation   BZ#1458338
NetworkManagerBZ#1337997, BZ#1353612, BZ#1373698, BZ#1394344, BZ#1394579, BZ#1398934, BZ#1404594, BZ#1404598, BZ#1414103, BZ#1420708BZ#1391170, BZ#1393997  
aide BZ#1377215  
anacondaBZ#663099, BZ#1113207, BZ#1131247, BZ#1255659, BZ#1315160, BZ#1332316, BZ#1366935, BZ#1377233, BZ#1391724, BZ#1412538BZ#1317370, BZ#1327439, BZ#1356975, BZ#1358778, BZ#1373360, BZ#1380224, BZ#1380277, BZ#1404158, BZ#1412022, BZ#1441337 BZ#1378714
ansible  BZ#1313263 
auditBZ#1381601   
authconfigBZ#1334449, BZ#1378943   
autofsBZ#1367576, BZ#1382093BZ#1101782, BZ#1383194, BZ#1383910, BZ#1420574, BZ#1420584  
bindBZ#1388534, BZ#1393886   
bind-dyndb-ldapBZ#1393889   
binutilsBZ#1366052BZ#1326710, BZ#1406498  
bisonBZ#1306000   
boothBZ#1302087   
ca-certificatesBZ#1444414   
chronyBZ#1387223   
chrpath BZ#1271380  
clevisBZ#1300697   
cloud-initBZ#1427280   
clufterBZ#1387424   
crashBZ#1368711, BZ#1384944, BZ#1393534   
criu  BZ#1400230 
custodia  BZ#1403214 
cyrus-sasl BZ#1421663  
dbxtoolBZ#1078990   
dconf-editorBZ#1388931   
device-mapper-multipathBZ#1169168, BZ#1279355, BZ#1359510, BZ#1362409, BZ#1368211, BZ#1372032, BZ#1394059, BZ#1406226, BZ#1416569, BZ#1430097BZ#1239173, BZ#1362120, BZ#1380602, BZ#1402092, BZ#1403552, BZ#1431562  
dhcpBZ#1374119   
distribution   BZ#1062656
dmidecodeBZ#1385884   
dnsmasqBZ#1375527, BZ#1375569   
ecjBZ#1379855   
elfutilsBZ#1400302   
empathy BZ#1386616  
ethtoolBZ#1402701   
fcoe-utils BZ#1384707  
firewalldBZ#1006225, BZ#1409544, BZ#1419058BZ#1401978  
genwqe-toolsBZ#1275663   
gfs2-utilsBZ#1413684   
ghostscript BZ#1390847, BZ#1411725, BZ#1424752  
git BZ#1369173  
glibcBZ#841653, BZ#1298975, BZ#1320947, BZ#1421155BZ#1324568, BZ#1326739  
gnome-initial-setup BZ#1226819  
gnome-packagekit   BZ#1387181
gnome-shellBZ#1383353   
gnutlsBZ#1399232   
grepBZ#1297441   
grub2   BZ#1154226
gstreamer1-plugins-good   BZ#1451211
http-parserBZ#1393819   
hwdataBZ#1386133   
initial-setup BZ#1378082  
initscriptsBZ#1260552, BZ#1428935BZ#1278521, BZ#1367554, BZ#1369790, BZ#1374837, BZ#1385272, BZ#1392766, BZ#1394191, BZ#1398671, BZ#1398678, BZ#1398679, BZ#1398683, BZ#1398686, BZ#1406254, BZ#1408219, BZ#1428574, BZ#1434075  
intel-cmt-catBZ#1315489   
ipaBZ#872671, BZ#1125174, BZ#1200767, BZ#1366572, BZ#1402959, BZ#1404750, BZ#1409628, BZ#1459153 BZ#1115294, BZ#1298286 
ipa-server-docker  BZ#1405325 
iperf3BZ#913329   
ipmitoolBZ#1398658   
iprouteBZ#1063934, BZ#1422629BZ#1375215  
iprutilsBZ#1384382   
janssonBZ#1389805   
java-1.7.0-openjdkBZ#1373986   
java-1.8.0-openjdk  BZ#1400306 
kernelBZ#437984, BZ#950243, BZ#1072503, BZ#1138782, BZ#1155732, BZ#1241990, BZ#1270982, BZ#1288964, BZ#1297841, BZ#1298643, BZ#1299527, BZ#1306396, BZ#1306453, BZ#1308632, BZ#1314179, BZ#1326309, BZ#1326318, BZ#1326353, BZ#1339127, BZ#1339791, BZ#1340238, BZ#1346348, BZ#1352289, BZ#1355919, BZ#1356122, BZ#1357491, BZ#1365002, BZ#1366564, BZ#1369158, BZ#1373606, BZ#1373971, BZ#1374498, BZ#1377767, BZ#1379590, BZ#1382494, BZ#1382500, BZ#1382504, BZ#1382508, BZ#1382849, BZ#1383280, BZ#1383827, BZ#1383834, BZ#1384456, BZ#1384648, BZ#1385026, BZ#1385757, BZ#1388467, BZ#1388646, BZ#1388716, BZ#1391219, BZ#1391668, BZ#1400501, BZ#1401797, BZ#1402102, BZ#1406197, BZ#1416924, BZ#1424943, BZ#1432218, BZ#1432897BZ#1084802, BZ#1213119, BZ#1217546, BZ#1324918, BZ#1351098, BZ#1353218, BZ#1363661, BZ#1370638, BZ#1379787, BZ#1386923, BZ#1387485, BZ#1406885, BZ#1408330, BZ#1412898BZ#916382, BZ#947163, BZ#1109348, BZ#1111712, BZ#1205497, BZ#1206277, BZ#1230959, BZ#1274459, BZ#1299662, BZ#1302147, BZ#1305092, BZ#1348508, BZ#1349668, BZ#1383489, BZ#1393375, BZ#1460849BZ#1377857, BZ#1380447, BZ#1429792, BZ#1431964, BZ#1451242, BZ#1458354
kernel-aarch64   BZ#1218374
kernel-rtBZ#1391779 BZ#1297061 
keycloak-httpd-client-installBZ#1401781   
libdb BZ#1277887  
libfastjsonBZ#1395145   
libguestfsBZ#1233093, BZ#1359086, BZ#1362649, BZ#1367738, BZ#1400205, BZ#1404182BZ#1161019, BZ#1265588, BZ#1311890, BZ#1354507, BZ#1374232, BZ#1374405, BZ#1383517, BZ#1392798, BZ#1401474, BZ#1402301, BZ#1431579BZ#1387213, BZ#1441197 
libicaBZ#1391558   
libnfsidmapBZ#980925   
libnftnl BZ#1418967BZ#1332585 
libreswanBZ#1324458, BZ#1399883   
librtasBZ#1380656   
libseccompBZ#1425007   
libstoragemgmtBZ#1403142 BZ#1119909 
libusnic_verbs  BZ#916384 
libvirtBZ#1382640, BZ#1414627   
libwacomBZ#1342990  BZ#1458351
linuxptpBZ#1359311   
logrotateBZ#1381719   
loraxBZ#1310775, BZ#1430483  BZ#1341280
lshwBZ#1368704   
lvm2BZ#1191935, BZ#1346280, BZ#1366296, BZ#1378956, BZ#1394048, BZ#1436748BZ#1380532, BZ#1382688, BZ#1386184 BZ#1014758
mariadb BZ#1356897  
mdadmBZ#1380017   
memkindBZ#1384549   
mod_nssBZ#1382102, BZ#1392582   
muttBZ#1388511   
net-snmp BZ#1286693, BZ#1324306  
netcf   BZ#1100588
nfs-utilsBZ#1375259  BZ#1450447
nssBZ#1309781, BZ#1316546, BZ#1444413BZ#1220573 BZ#1401809
nss-softoknBZ#1369055   
nvme-cliBZ#1382119   
opencryptokiBZ#1391559   
openldapBZ#1386365, BZ#1428740   
openscBZ#1081088   
openscapBZ#1363826BZ#1447341  
opensshBZ#1322911, BZ#1341754BZ#1418062  
opensslBZ#1276310   
openssl-ibmcaBZ#1274385   
openvswitchBZ#1368043, BZ#1390938   
openwsmanBZ#1190689   
oprofile BZ#1380809  
oscap-anaconda-addon   BZ#1437106
otherBZ#1432080, BZ#1444937, BZ#1457907, BZ#1467260BZ#1408694BZ#1062759, BZ#1072107, BZ#1259547, BZ#1464377, BZ#1467338BZ#1174132
pacemakerBZ#1289662BZ#1388489  
pcpBZ#1422263, BZ#1423020   
pcre BZ#1400267 BZ#1290432
pcsBZ#1158805, BZ#1165821, BZ#1176018, BZ#1261116, BZ#1303969, BZ#1362493, BZ#1373614, BZ#1413958BZ#1386114BZ#1433016 
perl-IO-Socket-SSLBZ#1335035   
perl-Net-SSLeayBZ#1335028   
perl-Perl4-CoreLibsBZ#1366724   
perl-local-lib BZ#1122993  
pki-core   BZ#1382066
procps-ng BZ#1373246  
psacctBZ#1255183   
pythonBZ#1219110   
python-blivet BZ#1214407, BZ#1327463  
python-tornadoBZ#1158617   
qemu-kvm  BZ#1103193 
rdma-coreBZ#1404035   
rearBZ#1355667BZ#1343119  
resource-agentsBZ#1077888, BZ#1336847, BZ#1430304   
rhino BZ#1350331  
rpm BZ#1378307BZ#1278924 
rsyslogBZ#1313490, BZ#1431616   
RubyBZ#1397390BZ#1308992  
rubygem-abrtBZ#1418750   
sambaBZ#1391954   
sbdBZ#1413951   
sblim-cmpi-fsvol BZ#1136116  
scap-security-guideBZ#1410914BZ#1450731  
seabios BZ#1020622  
selinux-policy BZ#1368057, BZ#1386916 BZ#1365944
sendmailBZ#1124827   
sg3_utils BZ#1380744  
shim-signedBZ#1310764   
sosBZ#1414879   
sssdBZ#1214491, BZ#1311056, BZ#1330196, BZ#1340711, BZ#1396012, BZ#1414023, BZ#1425891 BZ#1068725BZ#1446101, BZ#1447945, BZ#1448094, BZ#1460689
strace BZ#1377847  
strongimcv  BZ#755087 
sudo   BZ#1293306
systemd  BZ#1284974 
systemtapBZ#1398393   
tarBZ#1350640BZ#1184697, BZ#1319820, BZ#1341786  
targetcliBZ#1243410   
targetdBZ#1162381   
tbootBZ#1384210   
tcpdumpBZ#1292056, BZ#1422473   
tcsh BZ#1388426  
telnetBZ#1367415   
tpm2-tssBZ#1275027   
tss2BZ#1384452   
tunedBZ#1388454, BZ#1414098   
unboundBZ#1382383   
usbguardBZ#1395615  BZ#1467369
valgrindBZ#1391217   
wgetBZ#1439811   
wpa_supplicantBZ#1338005, BZ#1404793   
xorg-x11-drv-libinputBZ#1413811   
xorg-x11-drv-nouveau   BZ#1463368
yp-tools BZ#1401432  
ypbind BZ#1217435, BZ#1382804  
yumBZ#1343690BZ#1352585, BZ#1370134  
yum-utils BZ#1406891  

付録C 改訂履歴

改訂履歴
改訂 0.0-4.3Fri Aug 11 2017Red Hat Localization Services
翻訳完了
改訂 0.0-4.2Fri Aug 11 2017Terry Chuang
翻訳ファイルを XML ソースバージョン 0.0-4 と同期
改訂 0.0-4.1Sun Jul 16 2017Terry Chuang
翻訳ファイルを XML ソースバージョン 0.0-4 と同期
改訂 0.0-4Tue May 23 2017Lenka Špačková
Red Hat Enterprise Linux 7.4 ベータリリースノートのリリース。

法律上の通知

Copyright © 2017 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.