Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.5 リリースノート

Red Hat Enterprise Linux 7

Red Hat Enterprise Linux 7.5 リリースノート

Red Hat Customer Content Services

概要

本リリースノートでは、Red Hat Enterprise Linux 7.5 での改良点や実装された追加機能の概要、本リリースにおける既知の問題などについて説明しています。また、重要なバグ修正、テクノロジープレビュー、非推奨となった機能などの詳細も説明しています。

前書き

機能拡張、セキュリティー、バグ修正によるエラータなどを集約したものが Red Hat Enterprise Linux (RHEL) のマイナーリリースになります。『Red Hat Enterprise Linux 7.5 リリースノート』では、今回のマイナーリリースで Red Hat Enterprise Linux 7 オペレーティングシステムと付随するアプリケーションに追加された主要な変更について説明しています。また、既知の問題および現在利用可能なすべてのテクノロジープレビューの詳細な一覧も記載されています。
他のバージョンと比較した Red Hat Enterprise Linux 7 の機能および制限については、Red Hat ナレッジベースの記事「Red Hat Enterprise Linux technology capabilities and limits」を参照してください。
本リリースで配布されるパッケージは、『Red Hat Enterprise Linux 7 パッケージマニフェスト』で確認できます。Red Hat Enterprise Linux 6 からの移行については、『移行計画ガイド』を参照してください。
Red Hat Enterprise Linux のライフサイクルについては「Red Hat Enterprise Linux のライフサイクル」をご覧ください。

第1章 概要

セキュリティーおよびコンプライアンス

  • クラウドやリモートでホストされるシステムのセキュリティーが改善され使用性が強化されたことで、起動時に Network Bound Disk Encrypted (NBDE) デバイスのロックをよりセキュアに解除できるようになりました。これにより、頻繁に不都合なタイミングで行われるブートプロセス時に、手動介入が必要なくなります。
  • OpenScap と Red Hat Ansible Automation を統合することで、コンプライアンスの問題修正の自動化を簡単にし、管理者がより効率的に環境全体でポリシーをデプロイできるようになりました。
  • Precision Time Protocol (PTP) および Network Time Protocol (NTP) のボンディングインターフェースでのフェイルオーバーが追加され、正確なタイムスタンプや同期の必要性に対応し、コンプライアンスが改善されました。
詳細は「14章セキュリティー」および「7章コンパイラーとツール」を参照してください。

パフォーマンスと効率性

  • プライマリーストレージを圧縮し、インラインの重複を排除することで、データの冗長を減らすように設計された Virtual Data Optimizer (VDO) が導入されました。組み込みのデータ削減技術により、ストレージ効率を増やし、ストレージコストを削減します。
  • Distributed File System (DFS) が、Server Message Block (SMB) プロトコルバージョン 2 および 3 でもサポートされるようになりました。これにより、Windows システムの管理者は、複数の SMB ファイルシステムを単一の仮想ファイルシステムにまとめることができます。
詳細については、「16章ストレージ」および「9章ファイルシステム」を参照してください。

プラットフォームの管理性

  • 個別システムのストレージ、ネットワーク、コンテナー、サービスなどを管理するインターフェースを簡素化するように設計された Cockpit 管理コンソールの使用性を強化しました。
  • 新しいユーティリティー boom が追加され、LVM スナップショットやイメージのブートローダーエントリーの管理を向上させるコマンドラインツールや API が提供されるようになりました。
詳細は、「17章システムとサブスクリプション管理」および「16章ストレージ」を参照してください。

アイデンティティー管理およびアクセス制御

  • Identity Management では、フォレスト間のトラストに Windows Server 2016 フォレスト/ドメイン機能レベルがサポートされるようになりました。
  • Directory Server での複製時の競合エントリーを処理する機能が強化されました。
  • OpenLDAP スイートが Network Security Services の Mozilla 実装の代わりに OpenSSL ライブラリーでコンパイルされるようになりました。
  • samba パッケージは、アップストリームバージョン 4.7.1 にアップグレードされました。特に、Red Hat Enterprise Linux の Samba スイートは、デフォルトで SMB プロトコルバージョン 3 を使用するようになりました。
  • System Security Services Daemon (SSSD) の機能拡張が複数追加されました。
  • Identity Management が提供する Active Directory 統合のパフォーマンスと安定性が強化されました。
詳細は、「5章認証および相互運用性」を参照してください。

新規カーネルバージョンでのアーキテクチャーのサポート

Red Hat Enterprise Linux 7.5 には、kernel-alt パッケージが同梱されています。これには、以下のアーキテクチャーをサポートするカーネルバージョン 4.14 が含まれます。
  • 64 ビットの ARM
  • IBM POWER9 Little Endian (リトルエンディアン)
  • IBM z Systems
詳細については、「2章アーキテクチャー」を参照してください。

仮想化

  • KVM 仮想化が、IBM POWER8 システムでサポートされるようになりました。さらに今回の更新で、IBM POWER9 Little Endian (リトルエンディアン) および IBM z Systems 上での KVM 仮想化に対するサポートが追加されました。ただし、これには kernel-alt パッケージで提供されるカーネルバージョン 4.14 を使用する必要があります。
詳細については、「18章仮想化」および「2章アーキテクチャー」を参照してください。

Red Hat Insights

Red Hat Enterprise Linux 7.2 以降では、Red Hat Insights サービスが利用可能になっています。Red Hat Insights は、使用中のデプロイメントに影響が及ぶ前に既知の技術的問題を特定し、分析、解決することを可能にするよう設計されたプロアクティブなサービスです。Insights では、Red Hat サポートエンジニアの知見、文書化されたソリューション、および解決済みの問題を組み合わせて活用し、システム管理者に適切な実行可能な情報を提供します。
このサービスは、カスタマーポータル または Red Hat Satellite でホストされており、そこから提供されます。ご使用中のシステムを登録するには、スタート に記載の手順に従ってください。

Red Hat Customer Portal Labs

Red Hat Customer Portal Labs はカスタマーポータルにあるツールセットで、https://access.redhat.com/labs/ から入手できます。Red Hat Customer Portal Labs のアプリケーションは、パフォーマンスの改善、迅速なトラブルシュート、セキュリティー問題の特定、複雑なアプリケーションの迅速なデプロイと設定に役立ちます。一般的なアプリケーションは以下の通りです。

第2章 アーキテクチャー

Red Hat Enterprise Linux 7.5 は以下のアーキテクチャーに単体で使用できます。[1]
  • 64 ビット AMD
  • 64 ビット Intel
  • IBM POWER7 以降および POWER8 (ビッグエンディアン) [2]
  • IBM POWER8 (リトルエンディアン) [3]
  • IBM z Systems [4]

kernel-alt パッケージにおけるアーキテクチャーのサポート

Red Hat Enterprise Linux 7.5 には、kernel-alt パッケージが同梱されています。これには、以下のアーキテクチャーをサポートするカーネルバージョン 4.14 が含まれます。
  • 64 ビットの ARM
  • IBM POWER9 Little Endian (リトルエンディアン) [5]
  • IBM z Systems
以下の表は、Red Hat Enterprise Linux 7.5 で利用できる 2 つのカーネルバージョンでサポートされているアーキテクチャーの概要となります。

表2.1 Red Hat Enterprise Linux 7.5 でサポートされるアーキテクチャー

アーキテクチャー
カーネルバージョン 3.10
カーネルバージョン 4.14
64 ビットの AMD および Intel対応非対応
64 ビットの ARM非対応対応
IBM POWER7 (ビッグエンディアン)対応非対応
IBM POWER8 (ビッグエンディアン)対応非対応
IBM POWER8 (リトルエンディアン)対応非対応
IBM POWER9 (リトルエンディアン)非対応対応
IBM z System対応[a]対応 (構造 A)
[a] カーネルバージョン 3.10 は、IBM z Systems における KVM 仮想化とコンテナーをサポートしません。この両方の機能は、IBM z Systems の カーネル 4.14 でサポートされますが、これは構造 A と呼ばれています。


[1] Red Hat Enterprise Linux 7.5 は 64 ビットのハードウェアでのインストールにしか対応していないことに注意してください。ただし、仮想マシンとしてであれば、32 ビットのオペレーティングシステム (Red Hat Enterprise Linux の旧バージョンなど) を実行することができます。
[2] Red Hat Enterprise Linux 7.5 POWER8 (ビッグエンディアン) は、現在 KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 POWER8 システムの KVM ゲストとしてサポートされます。
[3] Red Hat Enterprise Linux 7.5 POWER8 (リトルエンディアン) は、現在 KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 POWER8 システムの KVM ゲストとしてサポートされます。また、Red Hat Enterprise Linux 7.5 POWER8 (リトルエンディアン) ゲストは、kernel-alt パッケージを使用するカーネルバージョン 4.14 における POWER8 互換モードで、KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 POWER9 システムでサポートされます。
[4] Red Hat Enterprise Linux 7.5 for z Systems (カーネルバージョン 3.10 および 4.14) は、現在 kernel-alt パッケージを使用するカーネルバージョン 4.14 で KVM を実行する Red Hat Enterprise Linux 7.5 for z Systems ホストの KVM ゲストとしてサポートされます。
[5] Red Hat Enterprise Linux 7.5 POWER9 (リトルエンディアン) は、現在 kernel-alt パッケージを使用するカーネルバージョン 4.14 で KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 POWER9 システムの KVM ゲストとしてサポートされます。

第3章 外部のカーネルパラメーターに対する重要な変更

本章では、proc エントリー、sysctlsysfs のデフォルト値、boot パラメーター、カーネル設定オプションの追加や更新、また重要な動作の変更など、システム管理者向けに Red Hat Enterprise Linux 7.5 に同梱されるカーネルの重要な変更点についてまとめています。

カーネルのパラメーター

amd_iommu_intr = [HW,X86-64]
以下の AMD IOMMU 割り込みの再マッピングモードのいずれかを指定します。
legacy: レガシーの割り込み再マッピングモードを使用します。
vapic: 仮想 APIC モードを使用します。これにより、IOMMU が割り込みを直接ゲストに挿入できるようになります。このモードでは kvm-amd.avic=1 の設定が必要になります。これが、IOMMU HW サポートが存在する場合のデフォルトになります。
debug_pagealloc = [KNL]
CONFIG_DEBUG_PAGEALLOC を設定すると、システムの起動時にその機能が有効になります。デフォルトでは無効です。debug pagealloc にメモリーを大量に割り当てないようにするには、システムの起動時に有効にしないでください。オペレーティングシステムは、CONFIG_DEBUG_PAGEALLOC がないカーネルビルドを使用したときと同じように動作します。
この機能を有効にするには、debug_pagealloc = on とします。
ftrace_graph_max_depth = uint[FTRACE]
このパラメーターは、関数のグラフ追跡で使用されます。関数を追跡する最大深度を定義します。この値は、tracefs が追跡するディレクトリーの max_graph_depth file ファイルにより、ランタイム時に変更できます。
デフォルト値は 0 で、この場合は制限が設定されません。
init_pkru = [x86]
すべてのプロセスに対する、デフォルトのメモリー保護キーの正しいレジスターコンテンツを指定します。
デフォルトの値は 0x55555554 です。0 以外のすべての pkey への割り当てを無効にします。システムの起動時に、debugfs ファイルシステムの値を上書きできます。
nopku = [x86]
一部の Intel CPU で検出された、メモリー保護キーの CPU 機能を無効にします。
mem_encrypt = [X86-64]
AMD の SME (Secure Memory Encryption) 制御を提供します。有効な引数は on または off です。
デフォルト設定は、カーネルの設定オプションによって異なります。
on : CONFIG_AMD_MEM_ENCRYPT_ACTIVE_BY_DEFAULT=y
off : CONFIG_AMD_MEM_ENCRYPT_ACTIVE_BY_DEFAULT=n
mem_encrypt=on: SME を有効にする
mem_encrypt=off: SME を有効にしない

Spectre および Meltdown の問題を軽減するカーネルパラメーター

kpti = [X86-64]
カーネルページテーブルの分離を有効にします。
nopti = [X86-64]
カーネルページテーブルの分離を無効します。
nospectre_v2 = [X86]
Spectre バリアント 2 (Indirect Branch Speculation) 脆弱性に対する緩和策をすべて無効にします。このオプションを使用すると、オペレーティングシステムがデータをリークする可能性があります。これは、spectre_v2=off と同じです。
spectre_v2 = [X86]
Spectre バリアント 2 (Indirect Branch Speculation) 脆弱性の緩和を制御します。
有効なコマンドの引数は、on、off、auto です。
on: 無条件に有効にする
off: 無条件に無効にする
auto: CPU モデルが脆弱であるかどうかをカーネルが検出する
on を選択すると、CPU、利用可能なマイクロコード、CONFIG_RETPOLINE 設定オプションの設定、カーネルを構築したコンパイラーに従って、ランタイムで緩和策を選択します。auto にすると、同様の緩和策が選択される可能性があります。
特定の緩和策を選択することもできます。
retpoline: 間接分岐を置き換える
ibrs: Intel: Indirect Branch Restricted Speculation (カーネル)
ibrs_always: Intel: Indirect Branch Restricted Speculation (カーネルおよびユーザー空間)
このオプションを指定しても、spectre_v2=auto と同じではありません。

/proc/sys/net/core エントリーの更新

dev_weight_rx_bias
RPS 処理 (RFSaRFS など) が、softirq サイクルあたりの netdev_budget に対して、登録されているドライバーの NAPI poll 関数と競合します。
このパラメーターには、RX softirq サイクル時に、RPS ベースのパケット処理で、設定した netdev_budget が経過した割合に影響します。これは、現在の dev_weight ネットワークの stack の転送を受け取る側で、非対称の CPU ニーズを適用できるようにします。
このパラメーターは、CPU ベースで有効です。dev_weight に基づいて決定し、乗算 (dev_weight * dev_weight_rx_bias) で計算されます。デフォルト値は 1 です。
dev_weight_tx_bias
このパラメーターは、TX softirq サイクル時に処理できる最大パケット数のスケーリングを行います。
これは CPU ベースで有効で、非対称ネットのスタック処理のニーズに対して、現在の dev_weight のスケーリングができるようにします。TX softirq が CPU hog を処理しないようにします。
dev_weight に基づいて決定し、乗算 (dev_weight * dev_weight_rx_bias) で計算されます。デフォルト値は 1 です。

パート I. 新機能

本パートでは、Red Hat Enterprise Linux 7.5 で導入された新機能および主要な機能拡張について説明します。

第4章 全般的な更新

Red Hat Enterprise Linux 6 から Red Hat Enterprise Linux 7 へのインプレースアップグレード

インプレースアップグレードでは、既存のオペレーティングシステムを入れ替えて Red Hat Enterprise Linux の新たなメジャーリリースにシステムをアップグレードします。インプレースアップグレードを実行するには、実際のアップグレードを実行する前にアップグレード問題を検査するユーティリティーである Preupgrade Assistant を使用します。これは、Red Hat Upgrade Tool 用の追加スクリプトも提供します。Preupgrade Assistant が報告する問題をすべて解決したら、Red Hat Upgrade Tool を使用してシステムをアップグレードします。
手順およびサポートされるシナリオの詳細については、『移行計画ガイド』および「How do I upgrade from Red Hat Enterprise Linux 6 to Red Hat Enterprise Linux 7?」を参照してください。
Preupgrade Assistant および Red Hat Upgrade Tool は Red Hat Enterprise Linux 6 Extras チャンネルから入手できます。「Red Hat Enterprise Linux Extras の製品ライフサイクル」を参照してください。(BZ#1432080)

setup パッケージが、予期しない環境設定を上書きする方法を提供

setup パッケージは、最後に提供される /etc/profile.d ディレクトリーの環境変数を上書きする sh.local および csh.local ファイルを提供するようになりました。以前のリリースでは、順番が定義されていなかったため、特に複数のスクリプトが同じ環境変数を変更すると、環境設定が予期しないものになっていました。(BZ#1344007)

第5章 認証および相互運用性

トラストに関して Windows Server 2016 フォレスト/ドメイン機能レベルをサポート可能に

Identity Management を使用する場合、Windows Server 2016 フォレスト/ドメイン機能レベルで実行する Active Directory フォレストに対して、サポートされるフォレストトラストを確立できるようになりました。(BZ#1484683)

Directory Server は、複製の競合エントリーを検索結果に表示しない

以前のリリースでは、複製トポロジーに複製競合エントリーが存在する場合に、デフォルトでは、Directory Server により検索結果の一部として、競合するエントリーも返していました。その結果、サーバーが競合するエントリーを返した場合に特定の LDAP クライアントが不正に動作していました。今回の更新では、サーバーは検索で競合するエントリーを返さないので、表示するには明示的に要求する必要があります。クライアントは、予想どおりに機能するようになりました。
さらに、今回の更新では、より複雑な競合シナリオの解決策も改善されています。
詳細は、『Red Hat Directory Server Administration Guide』を参照してください。(BZ#1274430)

OpenLDAP は NSS ではなく OpenSSL でコンパイルされる

以前のリリースでは OpenLDAP スイートは Network Security Services の Mozilla 実装 (Mozilla NSS) を使用していました。今回の更新で、OpenLDAP は OpenSSL ライブラリーを使用します。NSS データベース (DB) の既存の証明書は、自動的に PEM 形式に抽出され、OpenSSL に渡されます。
NSS DB は今後もサポート予定ですが、PEM ファイルなど OpenSSL 関連の設定は、NSS DB などの NSS 系の設定よりも推奨されます。(BZ#1400578)

Samba がバージョン 4.7.1 にリベース

samba パッケージがアップストリームバージョン 4.7.1 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • これまでは、rpc server dynamic port range パラメーターのデフォルト値は 1024 - 1300 でした。今回の更新でデフォルト値が 49152 - 65535 に変更され、Windows Server 2008 およびそれ以降で使用される範囲に一致するようになりました。必要に応じてファイアウォールルールを更新してください。
  • Samba は Intel CPU の Advanced Encryption Standard (AES) 命令セットを使用して、Server Message Block (SMB) 3 署名および暗号化操作を加速します。
  • ntlm auth パラメーターのオプションが拡張されました。パラメーターには、ntlmv2-only (エイリアス no)、ntlmv1-permitted (エイリアス yes)、mschapv2-and-ntlmv2-only、および disabled オプションを使用できるようになりました。さらに、デフォルト値は、no から ntlmv2-only になりました。
  • smbclient ユーティリティーは、サーバーへの接続時に、ドメイン、オペレーティングシステム、サーバーバージョンの情報が含まれるバナーを表示しなくなりました。
  • client max protocol パラメーターのデフォルト値は、SMB3_11 に変更されました。これにより、プロトコルバージョンの設定なしに、smbclient などのユーティリティーで SMB 3.11 プロトコルに接続できるようになりました。
  • 相互運用性が改善されるように、Samba は CTDB クラスターで、複数のマイナーバージョンの使用がサポートされなくなりました。
smbdnmbd、または winbind デーモンの起動時に、Samba により tbd データベースファイルが自動的に更新されるようになりました。Samba の起動前にデータベースをバックアップするようにしてください。Red Hat では tbd データベースファイルのダウングレードはサポートしていないので注意してください。
更新する前に、アップストリームのリリースノートで主な変更の詳細を確認してください。

SSSD LDAP プロバイダーは、自動的にユーザーのユーザープライベートグループを作成可能

System Security Services Daemon (SSSD) LDAP プロバイダーを使用する場合は、ユーザーグループを各ユーザーに割り当てる必要があります。以前のリリースでは、管理者は手動で各ユーザーのグループを作成する必要がありました。今回の更新では、SSSD は自動的にユーザーエントリーからユーザーのプライベートグループを生成し、UID と GID を一致させます。この機能を有効化するには、/etc/sssd/sssd.conf ファイルで、LDAP プロバイダーセクションの auto_private_groups オプションを有効化します。(BZ#1327705)

AD ドメインに登録された SSSD は初回接続に成功した後は検出された AD サイトを記憶

以前のリリースでは、クライアントの Active Directory (AD) サイトを判断するために、System Security Services Daemon (SSSD) は AD のドメインコントローラー (DC) に LDAP ping を送信していました。問い合わせ先の DC に到達できない場合にはタイムアウトが発生し、接続が数秒遅延しました。今回の更新で、SSSD は最初に検出が成功した後はクライアントのサイトを記憶するようになりました。初回接続後の LDAP の ping はクライアントのサイトから DC 上で実行されるので、この要求にかかる時間が短縮されます。(BZ#1400614)

SSSD は syslog にステータスの変更をログとして記録

以前のリリースでは、System Security Services Daemon (SSSD) は、オンラインまたはオフラインステータスの変更に関する情報を SSSD ログにのみ記録していました。今回の更新で、SSSD ステータスの変更は syslog サービスにもログとして記録され、システム管理者がより多くの情報を利用できるようになりました。(BZ#1416150)

SSSD のパフォーマンス向上

今回の更新で、System Security Services Daemon (SSSD) のパフォーマンスに関連するさまざまな機能拡張が追加されました。特に重要な機能拡張は以下のとおりです。
  • SSSD キャッシュに、足りなかったインデックスが複数追加され、キャッシュされたオブジェクトをより早く検索できるようになりました。
  • ユーザーとグループの保存方法が変更され、キャッシュ済みの大量のオブジェクトでキャッシュが生成された後に発生していた SSSD キャッシュのパフォーマンスの低下が抑えられます。
その結果、特に大きいグループなど、SSSD がユーザーおよびグループのオブジェクトを読み込む時間が短縮されます。また、キャッシュオブジェクトの数やキャッシュサイズが増加しても、SSSD キャッシュのパフォーマンスが安定した状態を保てるようになりました。(BZ#1472255、BZ#1482555)

pwdhash ユーティリティーは、設定ディレクトリーからストレージスキームを取得可能

以前のリリースでは、pwdhash に設定ディレクトリーへのパスを渡す場合、ユーティリティーは Directory Server のデフォルトのストレージスキームを使用してパスワードを暗号化していました。今回の更新で、/etc/dirsrv/slapd-instance_name/dse.ldif ファイルの読み取りパーミッションが設定されたユーザーで pwdhash を実行すると、pwdhash ユーティリティーは cn=config エントリーの nsslapd-rootpwstoragescheme 属性で設定されたストレージスキームを使用するようになり、ストレージスキームが Directory Server のデフォルト設定と異なる場合に、上記のシナリオでもストレージスキームを指定する必要がなくなりました。(BZ#1467777)

2 つの Directory Server インスタンスを比較する新規ユーティリティー

今回の更新で、ds-replcheck ユーティリティーが Directory Server に追加されました。このユーティリティーは、オンラインモードで 2 つのサーバーのデータを、オフラインモードで 2 つの LDIF 形式のファイルを比較します。その結果、2 つの Directory Server の複製に一貫性があることを確認できるようになりました。
詳しい情報は、『Red Hat Directory Server Administration Guide』を参照してください。(BZ#1406351)

Directory Server が読み取り専用レプリカでの memberOf プラグイン有効化をサポート可能に

以前のリリースでは、読み取り専用の Directory Server レプリカサーバーで memberOf プラグインを有効化すると、プラグインはメンバーエントリーの更新に失敗していました。複製トポロジーでこのプラグインを使用するには、書き込みが可能なサーバーで有効化して、memberOf 属性を読み取り専用のレプリカに複製することしかできませんでした。今回の更新で、全サーバーでプラグインを有効化できるようになったため、書き込みが可能なサーバーと同様に、読み取り専用のサーバーでプラグインを使用できるようになりました。
詳細は、『Red Hat Directory Server Administration Guide』を参照してください。(BZ#1352121)

Directory Server がバージョン 1.3.7.5 にリベース

389-ds-base パッケージがアップストリームバージョン 1.3.7.5 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。更新する前に、アップストリームのリリースノートで主な変更の詳細な一覧を確認してください。

Directory Server が追加のパスワードストレージスキームをサポート

互換性の理由から、今回の更新で Directory Server に以下に示す強度の弱いパスワードストレージスキームに対するサポートが追加されました。
  • CRYPT-MD5
  • CRYPT-SHA256
  • CRYPT-SHA512
セキュリティーの理由上、強度の弱いストレージスキームを既存のインストールに、一時的に使用するようにし、強度の強いパスワードストレージスキームへの移行を検討してください。(BZ#1479012)

Directory Server はワーカースレッド毎に、別の正規化 DN キャッシュを使用

以前のリリースでは、複数のワーカースレッドが 1 つの正規化された識別名 (DN) を使用していたため、複数のクライアントが Directory Server で操作を実行すると、パフォーマンスが低下していました。今回の更新で、Directory Server はワーカースレッド毎に別の正規化 DN キャッシュを作成するようになり、上記のシナリオでもパフォーマンスが低下しなくなりました。(BZ#1458536)

pki-core がバージョン 10.5.1 にリベース

pki-core パッケージがアップストリームバージョン 10.5.1 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。特に、今回の更新で、証明局に対するコモンクライテリアのプロテクションプロファイル (CCPP) バージョン 2.1 の要件に対応するようになりました。(BZ#1473452)

Certificate System が CMC での CA、KRA、および OCSP サブシステムのインストールをサポート

今回の機能拡張により、Certificate Management over CMS (CMC) で CA、KRA、または OCSP サブシステムをインストールするメカニズムが追加されました。インストールは、2 つのステップで完了します。インストールの最初のステップでは、システム証明書の証明書署名要求 (CSR) を生成します。CSR は、CMC を使用してシステム証明書を発行するのに使用することができます。インストールの 2 番目のステップでは、これらのシステム証明書を使用して、サブシステムのインストールを完了します。(BZ#1464549)

Certificate System が別のユーザーとして実行するインスタンスの作成をサポート

以前のリリースでは、Certificate System はサービスの起動に /usr/lib/systemd/system/ の systemd ユニットファイルしか使用できませんでした。そのため、異なるユーザーや pkiuser のグループで実行するサービスを作成できませんでした。pkispawn ユーティリティーが更新されたので、pkispawn に渡される設定ファイルに異なるユーザーまたはグループが含まれる場合には、このユーティリティーにより、/etc/systemd/system/pki-tomcatd@<instance_name>.service.d/user.conf ファイルのカスタマイズ値を使用して上書きファイルが作成されるようになりました。そのため、Certificate System ユーザーを実行している場合に、異なるユーザーまたはグループをデフォルトとして実行できるようになりました。(BZ#1523410)

Certificate System は PBKDF2 鍵導出が含まれる PBES2 を使用して PKCS #12 ファイルを作成可能

今回の更新で Certificate System が拡張され、トークンベースの鍵リカバリーが無効になっている場合に、Key Recovery Authority (KRA) から復元した秘密鍵の AES 暗号化がサポートされるようになりました。具体的には、AES 暗号化が有効化されている場合に、復元された鍵を含むエクスポートされた PKCS #12 ファイルは、Password-Based Key Derivation Function 2 (PBKDF2) の鍵導出および AES 128 暗号化と共に、PKCS #5 Password-Based Cryptography Specification バージョン 2 (PBES2) を使用します。PBKDF2 と共に PBES2 を使用すると、Certificate System で作成されたファイルのセキュリティーが強化されます。(BZ#1446786)

Certificate System 証明局は以前に発行された署名証明書で署名された CMC 更新要求を処理可能

今回の更新で、以前に発行した署名証明書で署名された Certificate Management over CMS (CMC) の更新要求を証明局 (CA) が処理できるようになりました。この実装は、UniqueKeyConstraint で強化されたプロファイル制約で caFullCMCUserSignedCert を使用し、呼び出された証明書が共有した鍵を更新できないようにアップデートされています。さらに、要求で同じ鍵を共有する最新の証明書の origNotAfter 属性を確保して、属性を RenewGracePeriodConstraint で使用できるようにします。既存の origNotAfter 属性がある場合には、既存の renewal by serial フローと不整合を生じないように、このプロセスでは上書きされません。また、caFullCMCUserSignedCert.cfg プロファイルが UniqueKeyConstraintRenewGracePeriodConstraint を含むように更新されており、正しい順番に配置する必要があります。デフォルトでは、allowSameKeyRenewal パラメーターは、UniqueKeyConstrainttrue に設定されている点に注意してください。(BZ#1419761)

Certificate System は Mozilla NSS のセキュアな乱数生成器を使用

今回の更新で、Certificate System は Mozilla Network Security Services (NSS) が提供するセキュアな乱数生成器を使用するようになりました。これにより、Red Hat Certificate System は、連邦情報処理標準 (FIPS: Federal Information Processing Standard) の要求どおりに、決定論的乱数生成器 (DRBG: Deterministic Random Bit Generator) と Red Hat Enterprise Linux を同期させることができます。(BZ#1452347)

Certificate System での監査イベント変更

Certificate System の監査ログをより簡素化するために、デフォルトで有効な監査イベントのリストが更新されました。さらに、一部のイベントの統合または名称変更が実施されました。
監査イベントがデフォルトで有効となっているサブシステムに関する情報を含め、Red Hat Certificate System 監査イベントの詳細な一覧は、『Red Hat Certificate System Administration Guide』の「Appendix E. Audit Events」を参照してください。(BZ#1445532)

krb5kdcpolicy インターフェースを追加

今回の更新で、kdcpolicyと呼ばれるKerberos キー配信センター (KDC) ポリシーのインターフェースが krb5 パッケージに導入されました。kdcpolicy を使用することで、管理者は krb5 にプラグインを追加でき、チケットの寿命を制御し、サービスチケットの発行をより詳細に制御できるようになります。
詳細は MIT Kerberos ドキュメント (https://web.mit.edu/kerberos/krb5-1.16/doc/plugindev/kdcpolicy.html) を参照してください。(BZ#1462982)

Certificate System が SKI 拡張のハッシュアルゴリズムを設定可能に

以前のリリースでは、主体者鍵識別子 (SKI: Subject Key Identifier) の証明書拡張を生成する場合に、Certificate System は SHA1 ハッシュアルゴリズムのみをサポートしていました。今回の更新で、管理者は証明書プロファイルで SKI 拡張のハッシュアルゴリズムを設定できるようになりました。
以下のアルゴリズムを利用できるようになりました。
  • SHA1
  • SHA256
  • SHA384
  • SHA512
デフォルトのアルゴリズムは SHA1 のままであるため、既存のプロファイルは自動的に更新されないので注意してください。(BZ#1024558)

pki コマンドラインインターフェースは自動的にデフォルトの NSS データベースを作成

ユーザー名やパスワードを使用した基本認証など SSL 接続で操作を実行する場合、pki コマンドラインインターフェースでは Network Security Services (NSS) データベースおよびパスワードが必要になります。以前のリリースでは、データベースが存在しない場合や、データベースのパスワードが指定されていない場合には、pki によりエラーが表示されていました。コマンドラインインターフェースが更新され、~/.dogtag/nssdb/ ディレクトリーのパスワードなしで、デフォルトの NSS データベースが自動的に作成されるようになりました。その結果、SSL での操作は、NSS データベースまたはパスワードを指定せずに実行できるようになりました。(BZ#1400645)

Certificate System は強度の弱い 3DES 暗号化設定をデフォルトで無効化

Certificate System は、強度の弱い Triple Data Encryption Standard (3DES) ベースの暗号化設定を、デフォルトで無効にするようになりました。これにより、システムのセキュリティーが強化されます。ただし、管理者は必要に応じてこれらの暗号化設定を再度有効にすることができます。詳細は、『Red Hat Certificate System Administration Guide』を参照してください。
このように、新たな Certificate System インストールのデフォルトでは、強度の強い暗号化設定のみが有効になっています。(BZ#1469169)

Certificate System CA サブシステムの OCSP プロバイダーの応答に nextUpdate フィールドを追加

認証局 (CA) が証明書失効リスト (CRL) キャッシュを使用するように設定された場合には、CA サブシステムの Online Certificate Status Protocol (OCSP) のレスポンダーの応答に nextUpdate フィールドが追加されるようになりました。そのため、CA が CRL キャッシュを使用するように設定されている場合には、軽量の OCSP プロファイル (RFC 5019) に準拠するクライアントは OCSP の応答を処理できるようになりました。(BZ#1523443)

ding-libs がバージョン 0.6.1 にリベース

ding-libs パッケージがバージョン 0.6.1 にアップグレードされました。最も重要な変更点は、ding-libs がより大きな値を扱えるようになったことです。これは、ハードコードされた値の文字数に対する制限が排除されたためで、現在の制約は利用可能なメモリー容量だけです。(BZ#1480270)

第6章 クラスタリング

Pacemaker クラスターにクエリーを行うための新たな SNMP エージェント

新たな pcs_snmp_agent エージェントにより、SNMP を用いて Pacemaker クラスターにデータをクエリーすることができます。このエージェントにより、クラスター、そのノード、およびそのリソースに関する基本的な情報が得られます。このエージェントの設定方法については、pcs_snmp_agent(8) man ページおよび『High Availability Add-On リファレンス』を参照してください。(BZ#1367808)

Amazon Web Services 上の Red Hat Enterprise Linux High Availability クラスターに対するサポート

Red Hat Enterprise Linux 7.5 は、Amazon Web Services (AWS) 上の仮想マシン (VM) の High Availability クラスターをサポートします。AWS 上の Red Hat Enterprise Linux High Availability クラスターの設定方法については、「Installing and Configuring a Red Hat Enterprise Linux 7.5 (and later) High-Availability Cluster on Amazon Web Services (AWS)」を参照してください。(BZ#1451776)

Microsoft Azure 上の Red Hat Enterprise Linux High Availability クラスターに対するサポート

Red Hat Enterprise Linux 7.5 は、Microsoft Azure 上の仮想マシン (VM) の High Availability クラスターをサポートします。Microsoft Azure 上の Red Hat Enterprise Linux High Availability クラスターの設定方法については、「Installing and Configuring a Red Hat Enterprise Linux 7.5 (and later) High-Availability Cluster on Microsoft Azure」を参照してください。(BZ#1476009)

該当するパラメーターが変更された場合に限り、リソースクリーンアップ時にアンフェンシングを実施

以前のリリースでは、アンフェンシングをサポートするフェンスデバイス (fence_scsi または fence_mpath 等) を含むクラスターでは、通常のリソースクリーンアップまたは STONITH リソースのクリーンアップにより (すべてのリソースの再起動を含む)、必ずアンフェンシングが実施されていました。今回の更新で、アンフェンシングをサポートするデバイスに対するパラメーターが変更された場合にだけ、アンフェンシングが実施されるようになりました。(BZ#1427648)

pcsd ポートを任意に設定可能に

pcsd がリッスンするポートを pcsd 設定ファイルで変更できるようになりました。また、カスタムポートを使用して pcspcsd と通信できるようになりました。この機能は、主にコンテナ内で pcsd を使用するためのものです。(BZ#1415197)

AWS Python ライブラリーおよび CLI クライアントがフェンシングおよびリソースエージェントをサポート可能に

この機能拡張により、Amazon Web Services Python ライブラリー (python-boto3、python-botocore、および python-s3transfer) ならびに CLI クライアント (awscli) が、高可用性セットアップのフェンシングおよびリソースエージェントをサポートするようになりました。(BZ#1512020)

Azure Python ライブラリーが HA セットアップにおけるフェンシングをサポート可能に

この機能拡張により、Azure Python ライブラリー (python-isodate、python-jwt、python-adal、python-msrest、python-msrestazure、および python-azure-sdk) が、高可用性セットアップのフェンシングをサポートするようになりました。(BZ#1512021)

新機能を sbd バイナリーに追加

コマンドラインツールとして使用される sbd バイナリーで、以下の新機能を利用できるようになりました。
  • ウォッチドッグデバイス機能を容易に検証する機能
  • 利用可能なウォッチドッグデバイスのリストをクエリーする機能
sbd コマンドラインツールの詳細については、sbd(8) man ページを参照してください。(BZ#1462002)

sbd がバージョン 1.3.1 にリベース

sbd パッケージがアップストリームバージョン 1.3.1 にリベースされました。このバージョンには、以下の変更が取り込まれています。
  • ウォッチドッグデバイスをテストしクエリーを行うためのコマンドの追加
  • コマンドラインオプションおよび設定ファイルの見直し
  • reboot ではなく off アクションの適切な処理 (BZ#1499864)

デフォルトで、リソースの処理が保留中の時もクラスターステータスが表示される

Pacemaker が record-pending オプションをサポートするようになりました。以前のリリースではこのオプションのデフォルトは false で、クラスターステータスはリソースのその時のステータス (開始済みまたは停止済み) しか表示しませんでした。record-pending のデフォルトが true になり、リソースが開始または停止プロセス中であってもクラスターステータスが表示されるようになりました。(BZ#1461976)

clufter がバージョン 0.77.0 にリベース

clufter パッケージがアップストリームバージョン 0.77.0 にアップグレードされ、以前のバージョンに対するバグ修正および新機能が数多く追加され、ユーザーエクスペリエンスが向上しました。主な更新点は以下のとおりです。
  • corosync.conf 等価が cluster_name オプションを省略する状況で (`pcs` による標準的な設定とは異なる状況)、pcs2pcscmd-needle コマンドと共に clufter を使用して既存の設定を変換する場合、生成されるシーケンスの pcs cluster setup コマンドによりクラスター誤設定が発生することがなくなりました (要求されるクラスター名の規定として、始めに指定されたノードの名前を変換)。元の設定を正確に反映するために、このコマンドに --encryption 0|1 スイッチが追加されました。
  • スクリプト的な出力シーケンス (例: clufter コマンドの ccs2pcscmd および pcs2pcscmd ファミリーにより生成されるシーケンス) では、オペレーティングシステムが対応するコメントアウト行を適切に処理するように、意図したシェルインタープリターが正しいフォーマットで生成されるようになりました。(BZ#1381531)
  • clufter ツールは、pcs を活用する近年追加された設定方法 (クォーラムデバイス用ヒューリスティック、最上位の bundle リソースユニットのメタ属性) にも対応し、既存の設定を反映するために、pcs を使用した設定コマンドシーケンスを生成することができます。
clufter 機能の詳細については、clufter(1) man ページまたは clufter -h コマンドの出力を参照してください。clufter の使用例については、Red Hat ナレッジベースの記事「Using the clufter tool in Red Hat Enterprise Linux」を参照してください。(BZ#1509381)

Sybase ASE フェイルオーバーのサポートを追加

Red Hat High Availability Add-On において、ocf:heartbeat:sybaseASE リソースを使用して Sybase ASE フェイルオーバーがサポートされるようになりました。パラメーターを表示するには、このリソースを設定して pcs resource describe ocf:heartbeat:sybaseASE コマンドを実行します。このエージェントの詳細については、ocf_heartbeat_sybaseASE(7) man ページを参照してください。(BZ#1436189)

第7章 コンパイラーとツール

linuxptp パッケージがクロック同期で active-backup のボンディングをサポート可能に

今回の更新で、ptp4l アプリケーションが active-backup モードに設定されたボンディングインターフェースを使用するように指定できるようになりました。その結果、ptp4l は、ボンディングのアクティブなインターフェースのクロックを Precision Time Protocol (PTP) のクロックとして使用し、フェイルオーバー時には、ボンディングの別のインターフェースに切り替えることができるようになりました。また、自動モード (-a オプション) の phc2sys ユーティリティーでは、PTP スレーブとして稼動している場合はシステムクロックをアクティブなインターフェースの PTP クロックに、PTP マスターとして稼働している場合は PTP クロックをシステムクロックに、それぞれ同期することができます。(BZ#1002657)

partedresizepart コマンドを使用してパーティションのサイズを変更

resizepart NUMBER END コマンドを使用して、ディスクパーティションのサイズを変更する機能が、Red Hat Enterprise Linux 7 で配布されている parted ディスクパーティション設定ユーティリティーにバックポートされました。詳細は parted(8) man ページを参照してください。
このコマンドは、パーティションのサイズを変更しますが、パーティション上のファイルシステムは変更しません。ファイルシステムの拡大または縮小には、resize2fs などのファイルシステムユーティリティーを使用してください。(BZ#1423357)

binutils がバージョン 2.27 にリベース

binutils パッケージが、アップストリームのバージョン 2.27 にリベースされました。このバージョンでは、以下の変更が追加されました。
  • 圧縮デバッグセクションのサポート
  • リンク時における孤立セクションの処理が改善
  • LLVM プラグインのサポート
  • objcopy ユーティリティーを使用して、新しいシンボルをオブジェクトファイルに挿入する機能
  • IBM POWER9 アーキテクチャーのサポート
  • ARMv8.1 および ARMv8.2 の命令セット拡張のサポート
さらに、今回の更新で、以下のバグが修正されました。
  • 以前のリリースでは、binutils パッケージに、GNU コーディング規約を説明する standards.info ドキュメンテーションファイルがありませんでした。このファイルが追加され、再度 info コマンドで利用できるようになりました。
  • 以前のリリースでは、IBM Power Systems アーキテクチャーの ld リンカーは、linker コマンドラインで指定する最初のオブジェクトに中間データを保存していました。その結果、そのファイルが出力で使用されず破棄されると、セグメンテーション違反が発生してリンカーが突然終了していました。このリンカーが変更され、入力ファイルへの中間ストレージをスキップしてデータを直接出力ファイルに保存するようになったため、ここで説明されている状況でも、リンカーがセグメンテーション違反で終了することはなくなりました。(BZ#1385959、BZ#1356856、BZ#1467390、BZ#1513014)

pcp がバージョン 3.12.2 にリベース

Performance Co-Pilot (PCP) アプリケーションが 3.12.2 にリベースされ、機能拡張とバグ修正が数多く追加されました。
コレクターシステムのアップデート:
  • PMDA (Performance Metric Domain Agent) の perfevent、コンテナーおよび CGroups、MySQL スレーブメトリクス、Linux のプロセスあたりのメトリクス、エントロピーにおける Linux カーネルメトリクス、slabinfo、IPv6 ソケット、および NFSD ワーカースレッドが更新されました。
  • PMDA で、Prometheus エンドポイントおよび HAProxy が新たに利用できるようになりました。
  • デバイスマッパー統計で、API が公開されます。
監視システムのアップデート:
  • 派生メトリクス言語が、すべての監視に拡張されました。
  • pmchart チャート作成ユーティリティーに、タイムゾーンと表示に関するバグの修正が適用されました。
  • pmlogconf 設定ユーティリティーは、hotproc メトリクスのログを自動的に有効にし、atop メトリクスを追加します。パフォーマンスはさらに最適化されるようになりました。
  • pcp-atop 監視ユーティリティーが新たに --hotproc オプションを認識するようになりました。いくつかのバグが修正されています。
  • 監視ユーティリティー pcp-pidstat および pcp-mpstat が、いくつかの出力オプションを認識するようになりました。
  • レポート作成ユーティリティー pmrep が、sadf ツールと互換性のあるコンマ区切り値 (CSV) の出力をサポートするようになりました。また、PCP メトリクスをエクスポートする新しいユーティリティー pcp2zabbixpcp2xmlpcp2json、および pcp2elasticsearch も追加されました。(BZ#1472153)

DWARF 5 のサポートを各種ツールに拡大

DWARF デバッグフォーマットバージョン 5 に対するサポートが、以下のツールに拡張されました。
  • elfutils パッケージの eu-readelf ツールが、DWARF 5 タグと属性をすべて認識するようになりました。
  • binutils パッケージの readelf ツールおよび objdump ツールが、DWARF 5 タグ DW_AT_exported_symbols を認識し、デバッグ情報セクションに正しくレポートできるようになりました。(BZ#1472955、BZ#1472969)

systemtap がバージョン 3.2 にリベース

SystemTap ユーティリティーが、アップストリームバージョン 3.2 に更新されました。主な機能拡張は以下のとおりです。
  • 一致する正規表現の抽出サポートが追加されました。
  • 標準入力からの入力を受け入れるプローブエイリアスが追加されました。
  • トランスレーター診断が改善されました。
  • statx システムコールへのサポートが新たに追加されました。
  • stap 言語に、サブ文字列の位置を検出する文字列関数 strpos() が追加されました。
さらに、今回の更新で、以下のバグが修正されました。
  • 以前のリリースでは、統計抽出関数 @min() および @max() の返す値が間違っており、この関数を使用するスクリプトが適切に動作していませんでした。@min() 関数および @max() 関数が、それぞれ最大値および最小値を正しく返すように修正されたため、この影響を受けていたスクリプトが期待どおりに動作するようになりました。
  • 以前のリリースでは、stap -L コマンドを使用したときに、一部のカーネルのトレースポイントが、プローブできない時も誤って表示されていました。SystemTap が修正され、一覧表示されるトレースポイントと、プローブ可能なトレースポイントが再び一致するようになりました。
  • netdev.receive プローブが修正され、再度データを収集できるようになりました。
  • netdev.receive プローブ問題の影響を受けていたスクリプト例 nettop.stp が、再び期待どおりに動作するようになりました。
Red Hat Enterprise Linux のカーネルバージョンは eBPF (extended Berkeley Packet Filter) をサポートしていないため、関連するアップストリームの SystemTap 機能を利用できない点に注意してください。(BZ#1473722、BZ#1490862、BZ#1506230、BZ#1485228、BZ#1518462)

valgrind がバージョン 3.13.0 にリベース

valgrind パッケージがバージョン 3.13.0 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • Valgrind が、大規模プログラムを実行するために、いくつかの点で拡張されました。Valgrind が使用できるメモリーの量が 128 GB まで増えたため、Memcheck ツールが、最大約 60 GB まで割り当てるアプリケーションの実行をサポートするようになりました。また、Valgrind は、1200 MB までの実行可能ファイルをロードできるようになりました。
  • Memcheck ツール、Helgrind ツール、および Massif ツールで、解析したアプリケーションにおけるヒープ消費をレポートするのに、新しい実行ツリー (xtree) 表現を使用できるようになりました。
  • シンボルデマングラーが更新され、C++11 規格および Rust プログラミング言語をサポートするようになりました。
  • 64 ビットの Intel および AMD アーキテクチャーで AVX2 命令を使用したコードのロングブロックで発生していた問題が解消されました。
  • PowerPC アーキテクチャーにおける 64 ビットの timebase レジスターは、Valgrind によってモデル化されなくなり、32 ビットのみとなりました。
  • IBM Power Systems アーキテクチャーのサポートが拡張され、ISA 3.0B 規格が含まれるようになりました。
  • 64 ビットの ARM アーキテクチャーにおける LL (ロードリンク) および SC (ストアコンディショナル) に代わる実装が追加されました。この実装は、必要になると自動的に有効になります。手動で有効にするには、--sim-hints=fallback-llsc オプションを使用します。(BZ#1473725、BZ#1508148)

ncat がバージョン 7.50 にリベース

ncat ユーティリティー (nmap-ncat パッケージにより提供) がアップストリームバージョン 7.50 にリベースされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • SOCKS5 認証のサポートが追加されました。
  • ポートのステータスをすぐに確認する -z オプションが追加されました。
  • --no-shutdown オプションが、リッスンモードだけでなく接続モードでも有効になりました。(BZ#1460249)

rsync がバージョン 3.1.2 にリベース

rsync パッケージがアップストリームバージョン 3.1.2 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
今回の更新で、以下の出力が変更になりました。
  • 数値のデフォルトの出力形式で、3 桁区切り記号が使用されるようになりました (例: 1,234,567)。
  • --progress オプションの出力において、xfer および to-check で短縮形が採用され、それぞれ xfr および to-chk に変更されました。
このバージョンの主な機能拡張は以下のとおりです。
  • I/O 処理が改善されたため、データ転送が速くなりました。
  • より詳細な出力を得るために、--info オプションと --debug オプションが新たに追加されました。
  • ナノ秒に修正した時間を同期する機能が追加されました。
  • コピー操作時にファイル所有者を操作するために、--usermap オプション、--groupmap オプション、および --chown オプションが新たに追加されました。
  • --preallocate オプションが新たに追加されました。(BZ#1432899)

tcpdumpvirtio トラフィックを解析可能

tcpdump ユーティリティーは、virtio-vsock 通信デバイスをサポートするようになりました。これにより、tcpdump が、ハイパーバイザーとゲスト仮想マシンとの間の virtio 通信にフィルターを付けて解析できるようになりました。(BZ#1464390)

Vim が C++11 の構文強調表示をサポート可能に

Vim テキストエディターで C++ の構文強調表示が機能強化され、C++11 規格をサポートするようになりました。(BZ#1267826)

Vimblowfish2 暗号化メソッドをサポート可能に

Vim テキストエディターに、blowfish2 暗号化メソッドのサポートが追加されました。このメソッドは、blowfish よりも強力な暗号化を提供します。blowfish2 暗号化メソッドを設定するには、:setlocal cm=blowfish2 コマンドを使用します。blowfish2 で暗号化したファイルは、Red Hat Enterprise Linux 7 および Red Hat Enterprise Linux 6 と互換性があります。(BZ#1319760)

Perl モジュール IO::Socket::SSL がデフォルトでシステム全体の CA 証明書ストアを使用

以前のリリースでは、Perl モジュール IO::Socket::SSL に基づいている TLS アプリケーションが、認証局 (CA) の証明書への明示パスを提供しない場合は、認証局が認識されず、ピアの ID が確認できませんでした。今回の更新で、モジュールはデフォルトでシステム全体の CA 証明書ストアを使用するようになりました。ただし、IO::Socket::SSL->new() コンストラクターの SSL_ca_file オプションに undef 値を渡すことで、この証明書ストアを無効にすることができます。(BZ#1402588)

perl-DateTime-TimeZone がバージョン 1.70 にリベース

perl-DateTime-TimeZone パッケージがアップストリームバージョン 1.70 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • 今回の更新で、Bugzilla バージョン 5 をインストールできるようになりました。このバージョンでは、以前システムが提供していたバージョンよりも新しい perl-DateTime-TimeZone が必要になります。
  • Olson タイムゾーンデータベースがバージョン 2017b にアップデートされました。以前のリリースでは、DateTime::TimeZone モジュールを使用する Perl 言語で記述されたアプリケーションが、データベースが古くなったために、バージョン 2013h 以降に仕様が変更されたタイムゾーンを誤って処理していました。
  • 無効なタイムゾーン識別子のローカルタイムゾーンを使用する問題が解消されました。(BZ#1241818、BZ#1101251)

system-config-kdump で fadump を実行する際に自動または手動による kdump メモリー設定を選択可能に

今回の更新で、fadump メモリー予約のサポートが system-config-kdump パッケージに追加されたため、ファームウェア支援ダンプ を選択した場合に、自動 kdump メモリー設定 または 手動設定 のいずれかを選択できるようになりました。(BZ#1384943)

conman がバージョン 0.2.8 にリベース

conman パッケージがアップストリームバージョン 0.2.8 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • スケーラビリティーが改善されました。
  • Coverity スキャン および Clang の警告が修正され、スケーラビリティーが改善されました。
  • IPMI (Intelligent Platform Management Interface) の SOL (Serial Over LAN) コンソールにおける任意の制限が修正されました。
  • conman.confloopback 設定のデフォルト値が ON に変更されました。(BZ#1435840)

TFTP windowsize オプションのサポートを実装

今回の更新で、TFTP (Trivial File Transfer Protocol) サーバーおよびクライアントに、RFC 7440 に従った windowsize オプションのサポートが実装されました。windowsize オプションが使用されると、データブロックがバッチで送られるため、スループットが著しく改善されます。(BZ#1328827)

SOCKS5 用に curl が GSSAPI の無効化をサポート可能に

SOCKS5 プロキシーの認証方法をコントロールするために、新たな --socks5-basic および --socks5-gssapi オプションが curl ユーティリティーに、対応するオプション CURLOPT_SOCKS5_AUTHlibcurl ライブラリーに、それぞれ導入されました。(BZ#1409208)

rsync ユーティリティーがタイムスタンプにおけるナノ秒の部分が含まれるファイルをコピー

これまで rsync ユーティリティーでは、ファイルのタイムスタンプのナノ秒部分を無視してきたため、新たに作成されるファイルのナノ秒のタイムスタンプは常にゼロでした。今回の更新で、rsync ユーティリティーがナノ秒部分を認識するようになったため、新たにコピーしたファイルでも、ナノ秒をサポートするシステムでは、元のナノ秒のタイムスタンプが保持されるようになりました。(BZ#1393543)

tcpdump rebased がバージョン 4.9.2 にリベース

tcpdump パッケージがアップストリームバージョン 4.9.2 にアップグレードされ、以前のバージョンに対するバグ修正 (CVE の数が 100 近く) および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • OpenSSL 1.1 に関連するセグメンテーション違反が修正され、OpenSSL 使用が改善されました。
  • バッファーオーバーフローの脆弱性が修正されました。
  • 無限ループの脆弱性が修正されました。
  • 多くのバッファーオーバーリードの脆弱性が修正されました。(BZ#1490842)

OProfile のサポートを Intel Xeon プロセッサーファミリーに拡大

OProfile が拡張され、Intel Xeon Phi™ Processor x200 および x205 製品ファミリーをサポートするようになりました。(BZ#1465354)

libpfmpcp、および papi における Intel Xeon v4 Uncore パフォーマンスイベントへのサポート

今回の更新で、libpfm パフォーマンス監視ライブラリー、pcp ツール、および papi インターフェースに、Intel Xeon v4 Uncore パフォーマンスイベントのサポートが追加されました。(BZ#1474999)

IBM POWER アーキテクチャーでメモリーコピーパフォーマンスが向上

以前のリリースでは、64 ビットの IBM POWER システムにおいて、GNU C ライブラリー (glibc) の memcpy() 関数が、アラインされていないベクターロードとストア命令を使用していました。その結果、memcpy() を使用して POWER9 システムのデバイスメモリーにアクセスすると、パフォーマンスが低下しました。POWER9 のメモリーに関わらずアプリケーションのパフォーマンスを向上させるために、アラインされたメモリーアクセス命令を使用するように memcpy() 関数が強化されました。前の世代の POWER アーキテクチャーでも、パフォーマンスに影響を与えません。(BZ#1498925)

TAI クロックマクロが利用可能

以前のリリースでは、カーネルは CLOCK_TAI クロックを提供していましたが、glibc ヘッダーファイル time.h で、それにアクセスする CLOCK_TAI マクロがありませんでした。マクロ定義がヘッダーに追加されました。その結果、アプリケーションが CLOCK_TAI カーネルクロックにアクセスできるようになりました。(BZ#1448822)

IBM z Systems で 4 KiB ページテーブルを選択的に使用

今回の更新で、最下位レベルの 4 KiB メモリーページテーブルを必要とする IBM z Systems アーキテクチャーのアプリケーションにマークを付けるために、binutils パッケージの ld リンカーに --s390-pgste オプションが追加されました。その結果、この機能の使用がそれを必要とするアプリケーションに制限され、システムの全アプリケーションが領域を最適に利用できるようになりました。qemu バックエンドは、実行中のすべてのアプリケーションにおいて、4 KiB の最下位ページテーブルの使用を強制しなくなりました。したがって、アプリケーションで必要な場合は、新しいオプションを指定する必要があります。(BZ#1485398)

IBM z Systems の glibc 関数がより効果的に

IBM z Systems アーキテクチャーに、glibc ライブラリーへの新たな命令が追加されました。その結果、このアーキテクチャーでコンパイルしたプログラムでは、glibc 関数のパフォーマンスが改善されています。(BZ#1375235)

ld リンカーは位置独立コードと位置依存コードを誤って混合しない

以前のリリースでは、ld リンカーは、PIE (Position Independent Executable) で構築されたかどうかを考慮せずに、IBM z Systems プラットフォームのオブジェクトファイルを結合していました。PIE コードと非 PIE コードは組み合わせて使用できないため、作成された実行ファイルを実行することができませんでした。このリンカーは、PIE コードと非 PIE コードが混合されていることを検出し、エラーメッセージを生成するように拡張されました。したがって、この方法で壊れた実行ファイルが作成されることはなくなりました。(BZ#1406430)

python-virtualenv がバージョン 15.1.0 にリベース

python-virtualenv パッケージが 15.1.0 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。今回の更新で、バンドルされた setuptools パッケージがバージョン 28.0.0 にアップグレードされ、pip パッケージがバージョン 9.0.1 にアップグレードされました。(BZ#1461154)

python-urllib3subjectAltName の IP アドレスをサポート

python-urllib3 パッケージ (接続プール設定とファイルの POST 機能を持つ Python HTTP モジュール) は、subjectAltName (SAN) フィールドの IP アドレスをサポートします。(BZ#1434114)

GCC に retpoline のサポートを追加

今回の更新で、GCC に retpoline のサポートが追加されました。カーネルは retpoline 手法を使用して、CVE-2017-5715 に記載の Spectre Variant 2 攻撃緩和のオーバーヘッドを削減します。(BZ#1535655)

Shenandoah ガーベジコレクターを完全にサポート

OpenJDK 向けの一時停止時間の短い Shenandoah ガーベジコレクターは、以前のリリースではテクノロジープレビューでしたが、Intel 64、AMD64、および 64 ビット ARM アーキテクチャーで完全にサポートされるようになりました。Shenandoah は並列退避を実行し、短い一時停止時間で大量のヒープを実行することが可能です。詳細については、「OpenJDKWiki」を参照してください。(BZ#1578075)

第8章 デスクトップ

GNOME シェルがバージョン 3.26 にリベース

Red Hat Enterprise Linux 7.5 で、GNOME シェル がアップストリームバージョン 3.26 にリベースされました。主な機能拡張は以下のとおりです。
  • システム検索による結果のレイアウトが更新され読みやすくなり、一度により多くのアイテムを表示できるようになりました。また、システムアクションも検索できるようになりました。
  • 設定 アプリケーションのレイアウトも新しくなりました。
  • GNOME 3.26 では、Characters アプリケーション、Polari、GNOME IRC クライアントなど、絵文字を入力する方法がいくつか導入されました。
  • GNOME の表示設定のデザインが変更になりました。
変更の詳細な一覧は、「GNOME 3.26 の紹介: "Manchester"」を参照してください。(BZ#1481381)

gnome-settings-daemon がバージョン 3.26 にリベース

Wayland ディスプレイサーバープロトコルを利用できるように gnome-settings-daemon がリベースされ、モニターの分数スケールが可能になりました。セッションでは、1 つの gnome-settings-daemon プロセスではなく、gsd-* という名前の一連のプロセスが実行されます。(BZ#1481410)

libreoffice がバージョン 5.3 にリベース

LibreOffice オフィススイートがバージョン 5.3 にアップグレードされ、機能拡張が数多く追加されました。
  • LibreOffice では、MUFFIN (My User Friendly & Flexible INterface) という名前の LibreOffice UI が新たに追加されました。
  • ​LibreOffice Writer に、テキスト領域で移動する Go to Page ダイアログが追加されました。
  • LibreOffice Writer に、テーブルスタイル機能も追加されました。
  • LibreOffice に、矢印ツールボックスが追加されました。
  • Calc で、数値書式とデフォルトのセルスタイルが改善されました。
  • LibreOffice Impress に、テンプレートセレクターが追加されました。
LibreOffice Base は、Firebird 2.5 データを読み込まなくなりました。以前のバージョンの LibreOffice で作成した組み込みの .odb ファイルは、このバージョンとは互換性がありません。
変更の詳細な一覧は、『LibreOffice 5.3 リリースノート』を参照してください。(BZ#1474303)

GIMP がバージョン 2.8.22 にリベース

GNU Image Manipulation Program (GIMP) バージョン 2.8.22 には、以下の重要なバグ修正と機能拡張が追加されました。
Core:
  • 既存の .xcf.bz ファイルおよび .xcf.gz ファイルに保存すると、ファイルが切り詰められ、ファイルが大きくなることはなくなりました。
  • gimp-text-fontname によって作成されたテキストレイヤーは、サイズ変更時に境界を考慮します。
GUI:
  • シングルウィンドウモード (特に pixmap テーマ) における描画パフォーマンスが改善されました。
  • Paint Dynamics エディターダイアログにおける y 軸は、フロー ではなく 比率 を示すようになりました。
  • スプラッシュ画面のパルス状の進捗は、不明の継続時間を示します。
  • LC-MS ディスプレイフィルターの Gamut 警告色の問題が解消されました。
  • 編集時に太字フォントが太字にならない問題が解消されました。
  • 誤った隣接アイテムの名前が変更されてしまう問題がなくなりました。
プラグイン:
  • PSD ファイルをインポートする際に、間違ったレイヤーグループ構造が作成されなくなりました。
  • 大きなイメージまたは大きな解像度による PDF プラグインのクラッシュが発生しなくなりました。
  • 無効な PCX ファイルの解析が早期に停止されるようになり、その後セグメンテーション違反が発生することがなくなりました。
  • エスケープキーで Python コンソールを閉じることができなくなりました。
  • Edge Detect/Difference of Gaussians でフィルターをかけると、空のイメージを返します。
  • 印刷すると、イメージは白い背景に作成されるため、透明なイメージではなく黒い箱が印刷されることがなくなりました。
  • 色覚異常表示フィルターが修正され、ガンマ補正が直接適用されるようになりました。
  • Script-Fu の正規表現が、Unicode 文字の文字インデックスを正しく返すようになりました。
  • 数値が大きくなったときの Script-Fu モジュロが修正されました。
バスク語、ブラジル系ポルトガル語、カタラン語、中国語 (中国)、チェコ語、デンマーク語、フィンランド語、ドイツ語、ギリシャ語、ハンガリー語、アイスランド語、イタリア語、カザフ語、ノルウェー語、ポーランド語、ポルトガル語、スロバキア語、スコットランドゲール語、スペイン語などの翻訳が更新されました。(BZ#1210840)

Inkscape がバージョン 0.92.2 にリベース

ベクトル画像処理ソフト Inkscape がリベースされ、以前のバージョンに対する機能拡張が数多く追加されました。主な機能拡張は以下のとおりです。
  • メッシュグラデーションがサポートされるようになりました。
  • paint-order、mix-blend-mode など、多くの SVG2 プロパティーおよび CSS3 プロパティーがサポートされるようになりました。ただし、GUI ですべてのプロパティーを利用できるわけではありません。
  • すべてのオブジェクトは、新しいオブジェクトダイアログボックスに表示されます。ここから、オブジェクトを選択、ラベル付け、非表示、およびロックすることができます。
  • 選択は、ドキュメント構造にかかわらず、オブジェクトをグループにまとめることができます。
  • 誤って動かさないように、ガイドをロックできるようになりました。
  • 新しいパス効果がいくつか追加されました (エンベロープ/パースペクティブ、格子変形、ミラー、ローテートコピー など)。
  • 拡張 (シームレスパターン拡張など) がいくつか追加されました。多くの拡張が更新され、新しい機能も追加されました。
  • 色弱シミュレーターフィルターが追加されました。
  • スプレーツールと測定ツールに、新しい機能がいくつか追加されました。
  • ペンシルツールでは、ラインにインタラクティブスムージングを作成できます。
  • BSplines は、ペンツールで利用できます。
  • チェックボード背景を使用すれば、オブジェクトの透明度をより簡単に表示できます。(BZ#1480184)

webkitgtk4 がバージョン 2.16 にリベース

webkitgtk4 パッケージがバージョン 2.16 にアップグレードされ、機能拡張が数多く追加されました。主な機能拡張は以下のとおりです。
  • メモリー消費を減らすために、オンデマンドでハードウェアのアクセラレーションが有効になります。
  • webkitgtk4 に、ハードウェアのアクセラレーションポリシーを設定する WebKitSetting プラグインが追加されました。
  • CSS グリッドレイアウトがデフォルトで有効になります。
  • 一時的な web ビューを作成する新しい API が追加され、プライベートブラウジングが改善されました。
  • ウェブサイトのデータを処理する API が新たに追加されました。
  • 新たに 2 つのデバッグツール (メモリーサンプラーとリソース使用オーバーレイ) を利用できるようになりました。
  • GTK+ フォント設定が有効になりました。
  • GTK+ バージョン 3.20 以降を使用すると、テーマレンダリングパフォーマンスが改善されます。(BZ#1476707)

qt5 がバージョン 5.9.2 にリベース

qt5 パッケージがアップストリームバージョン 5.9.2 にアッグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。qt5 には、以下が追加されています。
  • パフォーマンスと安定性の強化
  • 長期サポート
  • C++11 サポートの強化。Qt 5.9 には、C++11 準拠のコンパイラーが必要になります。
  • Qt Quick Controls 2。埋め込みデバイスをサポートする新しいモジュールです。(BZ#1479097)

新パッケージ: qgnomeplatform

QGnomePlatform テーマモジュールが Red Hat Enterprise Linux に追加されました。GNOME デスクトップ環境では、Qt 5 で作成したアプリケーションで、現在のビジュアル設定が有効になります。(BZ#1479351)

ModemManager がバージョン 1.6.8 にリベース

ModemManager パッケージがアップストリームバージョン 1.6.8 にアップグレードされ、新しいモデムハードウェアをサポートするようになりました。以前のバージョンに対する機能拡張が数多く追加されています。たとえば、libqmi ライブラリーが 1.18.0 に、libmbim ライブラリーが 1.14.2 に、usb_modeswitch ツールが 2.5.1 に、そして usb-modeswitch-data パッケージが 20170806 にアップグレードされました。(BZ#1483051)

新パッケージ: libsmbios

Red Hat Enterprise Linux 7.5 には、フラッシュハブ TPM (Trusted Platform Module) および Synaptics MST (Micro Systems Technology) をサポートする libsmbios パッケージが含まれます。libsmbios は、SMBIOS テーブルなどの標準 BIOS テーブルから情報を取得するクライアントプログラムが使用可能なライブラリーおよびユーティリティーです。(BZ#1463329)

mutter がバージョン 3.26 にリベース

mutter パッケージがバージョン 3.26 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
最も重要なバグ修正は、以下のとおりです。
  • ショートカット抑制ダイアログが再表示されると突然終了する
  • モニター設定の移行時に突然終了する
  • X11 セッションにおけるマルチヘッドリグレッション
  • 画面の回転リグレッション
  • タブレット端末を再接続すると突然終了する
主な機能拡張は以下のとおりです。
  • ヘッドレス実行のサポート
  • サンドボックスアプリケーション ID に対する snap パッケージのサポート
  • _NET_RESTACK_WINDOW および ConfigureRequest シブリングのサポート
  • mutter が _NET_NUMBER_OF_DESKTOPS をエクスポート
  • mutter がタイル表示されたウィンドウのサイズを変更可能
  • ラテン以外でのキー割り当てが解決
  • タイリング情報のクライアントへのエクスポートのサポート
  • 複数のセクションでモニターレイアウトを引き継げるようになる (BZ#1481386)

SANE_USB_WORKAROUND 環境変数により、古いスキャナーを USB3 で使用可能

以前のリリースでは、特定の古いタイプのスキャナーを USB3 ポートにプラグインした時に、SANE (Scanner Access Now Easy) がそれらのスキャナーと通信できませんでした。今回の更新で、SANE_USB_WORKAROUND 環境変数が追加されました。これを 1 に設定すると、この問題を排除できます。(BZ#1458903)

ビデオストリーム処理を改善するために libyami パッケージを追加

今回の更新で、libyami パッケージが Red Hat Enterprise Linux 7 に追加され、ビデオストリーム処理が改善されました。具体的には、ハードウェアアクセラレーションを用いて、ビデオストリームが解析およびデコードされます。(BZ#1456906)

netpbm がバージョン 10.79.00 にリベース

netpbm パッケージがバージョン 10.79.00 にアップグレードされ、これらのパッケージに含まれる複数のプログラムに対するバグ修正や拡張機能が数多く追加されました。詳細な変更ログについては /usr/share/doc/netpbm/HISTORY ファイルを参照してください。(BZ#1381122)

Red Hat Enterprise Linux 7.5 で libva をサポート

Libva は、VA-API (Video Acceleration API) の実装です。
VA-API は、オープンソースライブラリーと API 仕様で、動画処理に対するグラフィックスハードウェアアクセラレーション機能へのアクセスを提供します。これは、メインライブラリーおよびサポートされている各ハードウェアベンダーに対するドライバー固有のアクセラレーションバックエンドから構成されます。(BZ#1456903)

GStreamermp3 をサポート可能に

MPEG-2 Audio layer III デコーダー (一般的には mp3 として知られています) が GStreamer に追加されています。mp3 サポートは、mpeg123 ライブラリーと、対応する GStreamer プラグインで利用できます。
GNOME Software、または様々な GStreamer アプリケーションで codec インストーラーを使用して、mp3 プラグインをダウンロードできます。(BZ#1481753)

GNOME control-center がバージョン 3.26 にリベース

Red Hat Enterprise Linux 7.5 で、control-center がアップストリームバージョン 3.26 にリベースされました。主な機能拡張は以下のとおりです。
  • 夜間モード は、1 日の時刻に応じてディスプレイの色を変更する新たな機能です。画面の色は、それぞれの地域の日出と日入り時刻を元に変化します。あるいは、カスタムスケジュールに設定することもできます。夜間モード は、X11Wayland ディスプレイサーバープロトコルの両方で機能します。
  • 今回の更新で、設定 アプリケーションに新しいレイアウトが導入されました。アイコンが平面的に並べられるレイアウトがサイドバー形式に置き換えられ、異なる設定領域の間で切り替えを行うことができます。さらに、設定 ウィンドウが大きくなりサイズの変更も可能になりました。
  • GNOME の ネットワーク 設定が改善されました。Wi-Fi は専用の設定領域を持ち、ネットワーク 設定ダイアログが更新されました。
  • GNOME の ディスプレイ 設定のデザインが変更されました。新しいデザインでは、関連性のある設定が正面に表示されます。複数のディスプレイが接続されている場合は、ボタンの並びが表示され、希望の使用方法を選択することができます。新しい ディスプレイ 設定には、新たなスケーリング設定のプレビューバージョンが含まれます。この機能により、画面に表示される対象物のサイズを、お使いのディスプレイの解像度 (PPI または DPI と呼ばれます) に合わせて調整することができます。X11 ではディスプレイごとの設定がサポートされないので、Wayland が推奨される点に注意してください。
  • 設定 アプリケーションの他の 3 つの領域 (オンラインアカウントプリンター、および ユーザー) のユーザーインターフェースデザインが変更されました。(BZ#1481407)

新パッケージ: emacs-php-mode

今回の更新で、新たな emacs-php-mode パッケージが Red Hat Enterprise Linux 7 に追加されました。emacs-php-mode により Emacs テキストエディターに PHP モードが提供されるため、より良い PHP 編集が可能になります。(BZ#1266953)

オランダ語のキーボードレイアウトを提供

オランダ語の Red Hat Enterprise Linux のインストールにおいて、Windows OS で使用される US インターナショナルマップを模擬する新たなキーボードマップが提供されるようになりました。新たな latn1-pre.mim keymap ファイルにより、単一のキーマップおよび区分表示符を活用し、英語とオランダ語の両方を簡単に入力することができます。(BZ#1058510)

第9章 ファイルシステム

SMB 2 および SMB 3 が DFS をサポート可能に

DFS (Distributed File System) は、以前のリリースでは SMB (Server Message Block) プロトコルのバージョン 1 でしかサポートされていませんでしたが、SMB 2 および SMB 3 でもサポートされるようになりました。
今回の更新で、DFS 共有のマウントに SMB 2 プロトコルおよび SMB 3 プロトコルを使用できるようになりました。(BZ#1481303)

大容量のメモリーをマッピングする際のファイルシステム DAX のパフォーマンスを改善

この機能拡張までは、DAX (Direct Access) 機能は、4 KiB のエントリーしかアプリケーションのアドレス領域にマッピングしていませんでした。このため TLB (Translation Lookaside Buffer) プレッシャーが高くなり、大容量のメモリーをマッピングするワークロードのパフォーマンスに悪影響がありました。今回の更新で、永続的なメモリーマッピングにおいて、カーネルが 2 MiB の PMD (Page Middle Directory) 障害に対応するようになりました。これにより TLB プレッシャーが大幅に減少し、マッピングするメモリー容量が大きくなってもファイルシステム DAX のパフォーマンスは高くなります。(BZ#1457572)

quotacheckext4 での速度が向上

quotacheck ユーティリティーは、個別ファイルをそれぞれ分析して占有ディスクサイズを特定する代わりに、直接 ext4 ファイルシステムのメタデータをスキャンするようになりました。ファイルシステムに多数のファイルが含まれる場合には、クォータの初期化やクォータチェックの時間が大幅に短縮されます。(BZ#1393849)

第10章 ハードウェアのサポート

ファームウェアを更新した Broadcom 5880 スマートカードリーダーをサポート可能に

今回の更新に含まれる USB ID エントリーは、Broadcom 5880 スマートカードリーダーの更新ファームウェアバージョンに対応したもので、Red Hat Enterprise Linux はこれらのリーダーを正しく認識して使用できるようになりました。
古いファームウェアバージョンの Broadcom 5880 スマートカードリーダーをお使いのユーザーは、ファームウェアを更新する必要がある点に注意してください。更新プロセスの詳細については、www.dell.com のサポートセクションをご覧ください。(BZ#1435668)

fwupd が Synaptics MST ハブをサポート可能に

Red Hat Enterprise Linux 7.5 では、fwupd ユーティリティーに Synaptics MST ハブ用のプラグインが追加されました。このプラグインにより、ファームウェアをフラッシュしたり、このデバイスのファームウェア情報をクエリーしたりすることができます。(BZ#1420913)

kernel-rt ソースの更新

kernel-rt ソースが最新の Red Hat Enterprise Linux カーネルソースツリーをベースとするようアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。(BZ#1462329)

RT スロットリングメカニズムの改善

現在のリアルタイムスロットリングメカニズムは、多くの CPU パワーを必要とするリアルタイムタスクによって非リアルタイムタスクが長時間処理されない状況を防ぎます。リアルタイムの実行キューがスロットリングされると、非リアルタイムタスクが処理されるか、非リアルタイムタスクがなければ CPU はアイドル状態になります。CPU がアイドル状態になる時間を減らして安全に CPU 使用率を最大にするために、RT_RUNTIME_GREED スケジューラー機能が実装されました。この機能を有効にすると、非リアルタイムタスクが長時間処理されていない状況がどうかを確認してから、リアルタイムタスクをスロットリングします。その結果、RT_RUNTIME_GREED スケジューラーオプションは、リアルタイムタスクの処理を最大限継続しながら、非リアルタイムタスクのために全 CPU のランタイムをある程度確保します。(BZ#1401061)

VMware Paravirtual RDMA ドライバー

機能拡張に関するこの更新で、Red Hat Enterprise Linux に VMware Paravirtual RDMA ドライバーが追加されました。この機能により、VMware ユーザーは PVRDMA デバイスを持つ Red Hat Enterprise Linux ベースの VM をデプロイして使用することができます。(BZ#1454965)

opal-prd がバージョン 5.9 にリベース

ハードウェア固有の復元プロセスを処理する opal-prd デーモンが、バージョン 5.9 にリベースされました。この更新には、以下に示す重要な修正および機能拡張が含まれます。
  • デバッグモードで stdio にログの記録を行った後のフラッシュ
  • メモリーリークに関する問題の解消
  • opal-prd コマンドラインオプションに関する問題の解消
  • occ_reset コールに関する問題の解消
  • ナノスリープ範囲に関する API コメント
  • opal-prd の起動中、pnor ファイルは渡されない
  • FSP システムホストにおいて、pnor アクセスインターフェースを無効化
  • ZZ のランタイム OCC load/start に対するサポートを追加
これらのバグを修正して機能拡張を追加するために、opal-prd ユーザーはこれらの更新版パッケージにアップグレードしてください。

libreswan が NIC のオフロード処理をサポート可能に

libreswan パッケージに関するこの更新で、ネットワークインターフェースコントローラー (NIC) のオフロード処理に対するサポートが導入されました。Libreswan は、自動的に NIC ハードウェアのオフロードに対するサポートを検出するようになりました。また、この機能を手動で設定するために、nic-offload=auto|yes|no オプションが追加されました。(BZ#1463062)

Trusted Computing Group の TPM 2.0 System API ライブラリーと管理ユーティリティーが利用可能

以前のリリースでは、Trusted Computing Group の Trusted Platform Module (TPM) 2.0 ハードウェアを処理する以下のパッケージはテクノロジープレビューとして利用可能でしたが、これが完全にサポートされるようになりました。
  • tpm2-tss パッケージは、TPM 2.0 System API ライブラリーの Intel 実装を追加します。このライブラリーによりプログラムが TPM 2.0 デバイスと対話できます。
  • tpm2-tools パッケージは、ユーザー空間から TPM 2.0 デバイスを管理、利用するためのユーティリティーセットを追加します。(BZ#1463097、BZ#1463100)

新規パッケージ: tpm2-abrmd

今回の更新で、Red Hat Enterprise Linux 7 に tpm2-abrmd パッケージが追加されました。tpm2-abrmd パッケージにより、Trusted Computing Group の Trusted Plaform Module (TPM) 2.0 Access Broker (TAB) および Resource Manager (RM) 仕様を実装するシステムサービスが提供されます。(BZ#1492466)

第11章 インストールと起動

キックスタートインストールで、マウントポイントを既存のブロックデバイスに割り当て可能

キックスタートで新しい mount コマンドを利用できるようになりました。このコマンドにより、ファイルシステムを持つ特定のブロックデバイスにマウントポイントが割り当てられます。また、--reformat オプションを指定して再フォーマットすることもできます。
その他のストレージ関連コマンド (autopartpart、または logvol) とは異なり、mount ではキックスタートファイルにすべてのストレージ設定を指定する必要はありません。必要なのは、指定したブロックデバイスがシステムに存在するのを確認することだけです。ただし、既存のストレージ設定を使用せずに、新たに作成して様々なデバイスをマウントしたい場合は、その他のストレージ設定コマンドを使用する必要があります。
1 つのキックスタートファイルに、mount とその他のストレージ設定コマンドを併用することはできません。(BZ#1450922)

livemedia-creator ユーティリティーで、UEFI システム用のキックスタートファイルのサンプルを提供

livemedia-creator パッケージで提供されているキックスタートファイルの例が更新され、32 ビットおよび 64 ビットの UEFI システムに対応するようになりました。このファイルは、/usr/share/lorax-version/ ディレクトリーに保存されています。
起動可能な UEFI ディスクイメージを構築するには、UEFI システムまたは仮想マシンで livemedia-creator を実行する必要があります。(BZ#1458937)

デバイスの MAC アドレスにデバイスの設定ファイルをバインドするキックスタートコマンド network のオプションを追加

キックスタートコマンド network に新たに追加された --bindto=mac オプションを使用して、インストールしたシステムのデバイスの ifcfg ファイルで、デフォルトの DEVICE の代わりに HWADDR パラメーター (MAC アドレス) を使用できるようになりました。これにより、デバイス名ではなく MAC にデバイス設定がバインドされるようになります。
新たに追加された --bindto オプションは、キックスタートオプションの network --device とは無関係です。キックスタートファイルでデバイスがその名前、link、または bootif を使用して指定されていたとしても、このオプションは ifcfg ファイルに適用されます。(BZ#1328576)

キックスタートの新しいオプション %packages で、Yum のタイムアウトおよび再試行の回数を設定可能

今回の更新で、キックスタートファイルの %packages セクションに新しいオプションが 2 つ追加されました。
  • --timeout=X: Yum タイムアウトを X 秒に設定します。デフォルトは 30 です。
  • --retries=Y: Yum の再試行数を Y に設定します。デフォルトは 10 です。
インストール時に複数の %packages セクションを使用している場合は、最後に表示されるセクションに設定したオプションがすべてのセクションに使用されます。最後のセクションにいずれのオプションも設定されていない場合は、キックスタートファイルのすべての %packages セクションがデフォルト値を使用します。
この新しいオプションは、ディスクの読み取りまたはネットワークの速度によってパッケージのダウンロード速度が制限される場合に、1 つのパッケージから複数のインストールを並行して実行する際に役に立ちます。このオプションがシステムに影響を与えるのはインストール時に限定され、インストールしたシステムの Yum 設定には影響を与えません。(BZ#1448459)

IBM z Systems でのゲスト仮想マシンの作成に Red Hat Enterprise Linux 7 ISO イメージを使用可能

このリリースで、IBM z Systems アーキテクチャー上の KVM 仮想マシン用に、起動可能な Red Hat Enterprise Linux ISO ファイルを作成できるようになりました。その結果、IBM z Systems 上の Red Hat Enterprise Linux ゲスト仮想マシンを boot.iso ファイルから起動できます。(BZ#1478448)

ifcfg-* ファイルに ARPUPDATE オプションを導入

今回の更新で、ifcfg-* ファイルに ARPUPDATE オプションが導入されました。そのデフォルト値は yes です。値を no に設定すると、現在のネットワークインターフェースコントローラー (NIC) に関するアドレス解決プロトコル (ARP) 情報で、近接コンピューターが更新されるのを無効にすることができます。このオプションは、特に Direct ルーティングを有効にして Linux Virtual Server (LVS) Load Balancing を使用する際に必要です。(BZ#1478419)

rpm -V コマンドに --noconfig オプションを追加

今回の更新で、rpm -V コマンドに --noconfig オプションが追加されました。このオプションを設定してコマンドを実行すると、設定ファイル以外で変更されたファイルだけが一覧として出力されるので、システム上の問題を診断するのに役立ちます。(BZ#1406611)

ifcfg-* ファイルで第 3 の DNS サーバーの指定が可能に

ifcfg-* 設定ファイルで DNS3 オプションがサポートされるようになりました。従来、指定できるドメインネームシステム (DNS) サーバーは最大 2 つでしたが、このオプションを使用して、/etc/resolv.conf で使用される第 3 のDNS アドレスを指定することができます。(BZ#1357658)

rpm-build のマルチスレッド xz 圧縮

今回の更新で、ソースおよびバイナリーパッケージのマルチスレッド xz 圧縮が追加されました。この場合、%_source_payload または %_binary_payload マクロを wLTX.xzdio パターンに設定します。ここで、L は圧縮レベルを表し (デフォルトは 6)、X は使用されるスレッドの数 (複数桁も可能) を表します (例: w6T12.xzdio)。この機能を有効にするには、/usr/lib/rpm/macros ファイルを編集するか、仕様ファイル内またはコマンドラインでマクロを宣言します。
その結果、高並列構築の圧縮時間が短縮されます。これは特に、多くのコアを持つハードウェアに構築された大型プロジェクトを継続的に統合する場合に有用です。(BZ#1278924)

第12章 カーネル

新しい Intel プロセッサーのメモリー保護キーをサポート可能に

メモリー保護キーは、ページベースの保護を強化するメカニズムですが、アプリケーションが保護ドメインを変更した時にページテーブルを修正する必要はありません。お使いのプロセッサーがメモリー保護キーをサポートするかどうかを確認するには、/proc/cpuinfo ファイルに pku フラグがあるかどうかを調べます。プログラミング例を含む詳細情報は、kernel-doc パッケージが提供する /usr/share/doc/kernel-doc-*/Documentation/x86/protection-keys.txt ファイルを参照してください。(BZ#1272615)

Pondicherry 2 メモリーコントローラーに EDAC のサポートを追加

Intel Atom C3000 シリーズのプロセッサーをベースにしたマシンで使用される Pondicherry 2 メモリーコントローラーに、EDAC (Error Detection and Correction) のサポートが追加されました。(BZ#1273769)

MBA をサポート可能に

MBA (Memory Bandwidth Allocation) は、Broadwell サーバーにおける既存の CQE (Cache QoS Enforcement) 機能を拡張したものです。MBA は Intel 社の RDT (Resource Director Technology) の機能で、アプリケーションのメモリー帯域幅を制御します。今回の更新で、MBA のサポートが追加されました。(BZ#1379551)

スワップの最適化により、高速ブロックデバイスをセカンダリーメモリーとして使用可能

他のメモリー管理サブシステムに比べて回転ディスクのパフォーマンスが非常に劣っていたため (特にレイテンシーに関して)、これまでスワップサブシステムのパフォーマンスは重要視されていませんでした。しかし、高速の SSD デバイスが出現したため、スワップサブシステムのオーバーヘッドが顕著となりました。今回の更新で、このオーバーヘッドを削減するための種々のパフォーマンス最適化が行われました。(BZ#1400689)

HID Wacom がバージョン 4.12 にリベース

HID Wacom カーネルモジュールパッケージがアップストリームバージョン 4.12 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
  • hid_wacom 電力供給コードが更新され、従来の問題が解消されました。
  • Bluetooth ベースの Intuos 2 Pro ペンタブレットに対するサポートが追加されました。
  • Intuos 2 Pro ペンタブレットおよび Bamboo Slate に影響を及ぼしていたバグが修正されました。(BZ#1475409)

新たな livepatch 機能で、kpatch-patch パッケージのレイテンシーが改善され成功率が向上

今回の更新で、kpatch カーネルライブパッチインフラストラクチャーがアップグレードされ、カーネルへのパッチ適用にアップストリームの新たな livepatch 機能を使用できるようになりました。この機能により、kpatch-patch ホットフィックスパッケージのスケジュールレイテンシーが改善され、成功率があがりました。(BZ#1430637)

Persistent Kernel Module Upgrade (PKMU) をサポート

kmod パッケージにより、カーネルモジュールの自動読み込み、アンロード、および管理を処理するさまざまなプログラムが提供されます。以前のリリースでは、kmod は /lib/modules/<kernel version> ディレクトリー内のモジュールしか検索しませんでした。その結果、モジュールを読み込み可能にするために /usr/sbin/weak-modules スクリプトを実行して symlink をインストールするなど、ユーザーは追加の操作を実施する必要がありました。今回の更新で kmod が修正され、ファイルシステム内のあらゆる場所にあるモジュールを検索するようになりました。したがって、ユーザーは新たなモジュールを別のディレクトリーにインストールし、そのモジュールを探すように kmod ツールを設定することができるので、新たなカーネルは自動的にモジュールを利用できるようになりました。1 つのカーネルに複数のディレクトリーを指定することや、カーネルごとに異なるディレクトリーを指定することもできます。カーネルバージョンは、正規表現で指定します。(BZ#1361857)

Linux カーネルが暗号化された SMB 3 接続をサポート可能に

SMB (Server Message Block) プロトコルを使用する場合、この機能の導入前はカーネルは暗号化されていない接続しかサポートしていませんでした。今回の更新で、SMB 3.0 以降のプロトコルバージョンに対する暗号化のサポートが追加されました。そのため、サーバーがこの機能を提供、または要求した場合に、暗号化を使用して SMB 共有をマウントできるようになりました。
暗号化された SMB プロトコルを使用して共有をマウントするには、mount コマンドに seal マウントオプションと vers マウントオプション (3.0 以降に設定) を付けて実行します。詳細と例は、『Red Hat Enterprise Linux 7 Storage Administration Guide』seal パラメーターの説明を参照してください。(BZ#1429710)

AMD Naples プラットフォームで SME を有効化

今回の更新で、AMD Naples プラットフォームベースのシステムで AMD Secure Memory Encryption (SME) を利用できるようになりました。Advanced Encryption Standard (AES) エンジンは、ダイナミックランダムアクセスメモリー (DRAM) を暗号化および復号化することができます。AES エンジンの提供する SME は、ハードウェアプローブ攻撃からマシンを保護することを目的としています。SME をアクティブ化するには、カーネルパラメーター mem_encrypt=on を設定してシステムを起動します。(BZ#1361287)

ie31200_edac ドライバーのサポートを追加

この機能拡張により、Skylake および Kabi Lake CPU ファミリーのコンシューマーバージョンに、ie31200_edac ドライバーのサポートが追加されました。(BZ#1482253)

EDAC が GHES をサポート可能に

この機能拡張により、BIOS が提供する GHES (Generic Hardware Error Source) を使用するために EDAC (Error Detection and Correction) のサポートが追加されました。GHES は、ハードウェア固有のドライバーの代わりに、メモリー修正済および未修正エラーのソースとして使用されます。(BZ#1451916)

CUIR 要求範囲の検出強化を完全にサポート

Control Unit Initiated Reconfiguration (CUIR) のサポートにより、Direct Access Storage Device (DASD) デバイスドライバーは DASD へのパスを自動的にオフラインに移行して並行サービスに対応することができます。DASD へのパスが他にあれば、DASD は利用可能な状態を維持します。
再びパスが利用可能になると、CUIR は DASD デバイスドライバーにその旨を伝え、デバイスドライバーはパスをオンラインに戻すことを試みます。
Logical Partitioning (LPAR) モードで動作中の Linux インスタンスに対するサポートに加えて、IBM z/VM システム上の Linux インスタンスに対するサポートが追加されました。(BZ#1494476)

ルートファイルシステムをマウントせずに、kdumpvmcore の収集が可能

Red Hat Enterprise Linux 7.4 の kdump では、必ずしも vmcore イメージファイルの収集に必要ではなくても、ルートファイルシステムがマウントされている必要がありました。その結果、ダンプターゲットがルートファイルシステムではなく USB やネットワーク上にありルートデバイスをマウントできない場合、kdumpvmcore ファイルの収集に失敗していました。この機能拡張で、ルートデバイスがダンプに必要ない場合デバイスはマウントされず、vmcore ファイルを収集できるようになりました。(BZ#1431974、BZ#1460652)

KASLR を完全にサポートし、デフォルトで有効化

カーネルアドレス領域レイアウトのランダム化 (KASLR) は、以前のリリースではテクノロジープレビューでしたが、AMD64 および Intel 64 アーキテクチャー上の Red Hat Entreprise Linux 7.5 で完全にサポートされるようになりました。KASLR は、カーネルテキストの KASLR と mm の KASLR の 2 つからなるカーネル機能です。この 2 つが共に機能して、Linux カーネルのセキュリティーを強化します。
カーネルテキストの物理アドレスと仮想アドレスが、それぞれ別の位置にランダム化されます。カーネルの物理アドレスは 64 TB の任意の場所に配置できますが、カーネルの仮想アドレスは、[0xffffffff80000000 - 0xffffffffc0000000] の間の 1 GB 領域に制限されます。
3 つの mm セクション (直接マッピング、vmalloc、および vmemmap セクション) の開始アドレスは、特定の領域でランダム化されています。以前のリリースでは、このセクションの開始アドレスは固定値でした。
攻撃者は、特定の記号がカーネルアドレス領域のどこにあるかを知る必要があります。したがって、カーネルアドレス領域に悪意のあるコードが挿入され、カーネルの実行がそのコードにリダイレクトされるのを、KASLR により防ぐことができます。
KASLR コードが Linux カーネルにコンパイルされ、デフォルトで有効になるようになりました。明示的に無効にするには、nokaslr カーネルオプションをカーネルコマンドラインに追加します。(BZ#1491226)

Intel® Omni-Path Architecture (OPA) ホストソフトウェアのサポート

Intel® Omni-Path Architecture (OPA) ホストソフトウェアは、Red Hat Enterprise Linux 7.5 で完全にサポートされます。Intel OPA を使用すると、Host Fabric Interface (HFI) ハードウェアに対して、クラスター環境内のコンピュートノードと I/O ノード間の高パフォーマンスデータ転送 (高帯域幅、高メッセージレート、低レイテンシー) 向けの初期化および設定を実行できます
Intel® Omni-Path Architecture ドキュメントのインストール方法については、『Intel® Omni-Path Fabric Software in Red Hat* Enterprise Linux* 7.5 Release Notes』を参照してください。(BZ#1543995)

noreplace-paravirt をカーネルコマンドラインパラメーターから削除

noreplace-paravirt カーネルコマンドラインパラメーターと Spectre および Meltdown の脆弱性問題を軽減するパッチの互換性が失われたので、パラメーターが削除されました。カーネルコマンドラインで noreplace-paravirt を指定して AMD64 および Intel 64 システムを起動すると、オペレーティングシステムの再起動が繰り返されます。(BZ#1538911)

SGI UV2+ システムで新たな EFI memmap の実装が利用可能に

従来のリリースでは、kexec 再起動をまたいだ Extensible Firmware Interface (EFI) の安定したランタイムサービスマッピング (memmap) の実装は、Silicon Graphics International (SGI) UV2 およびそれ以降のシステムでは利用することができませんでした。今回の更新で、EFI memmap のサポートが追加されました。さらに今回の更新で、kdump カーネルによる Secure Boot の使用も可能になりました。(BZ#1102454)

柔軟なファイルレイアウトが可能な pNFS 共有のマウントを完全にサポート

pNFS クライアントでの柔軟なファイルレイアウトは、Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして初めて導入され、Red Hat Enterprise Linux 7.5 で完全にサポートされるようになりました。
pNFS の柔軟なファイルレイアウトは、中断のないファイルモビリティーやクライアント側のミラーリングなどの高度な機能を有効にし、データベース、ビッグデータ、仮想化の技術領域のユーザビリティーを強化します。pNFS の柔軟なファイルレイアウトについての詳細情報は、「Parallel NFS (pNFS) Flexible File Layout」を参照してください。(BZ#1349668)

第13章 ネットワーク

dhcp-script 出力のエラー処理機能が向上

以前のリリースでは、dhcp-script 出力のエラーはすべて無視されていました。今回の更新で、スクリプトの出力が addolddelarp-addarp-deltftp アクションに記録されるようになりました。その結果、dnsmasq の実行中にエラーが表示されます。
lease-init アクションは Dnsmasq の開始時にしか発生しない点に注意してください。今回の更新で、標準のエラー出力ではなく出力の概要だけが、lease-init アクションにより systemd サービスに渡されて記録されるようになりました。(BZ#1188259)

ipset にネットワーク名前空間の分離を追加

以前のリリースでは、ipset のエントリーが任意のネットワーク名前空間から見られる状態にあり、修正が可能でした。今回の更新で、ipset にネットワーク名前空間ごとの分離機能が追加されました。その結果、ipset の設定が名前空間ごとに分離されました。(BZ#1226051)

NetworkManager が複数のルーティングテーブルをサポートし、ソースルーティングが可能に

今回の更新で IPv4 および IPv6 ルート用に新たな table 属性が追加され、ユーザーは手動で設定できるようになりました。それぞれの手動静的ルートに対して、ルーティングテーブルを選択することができます。その結果、ルートのテーブルを設定することが、そのテーブルのルートを設定する効果を持ちます。さらに、接続プロファイルのデフォルトルーティングテーブルを、新たな ipv4.route-table 設定 (IPv4 の場合) および ipv6.route-table 設定 (IPv6 の場合) により定義することができます。これらの設定により、ルートの置かれるテーブルが定義されます。ただし、この設定を明示的に上書きする手動ルートは除きます。(BZ#1436531)

nftables がバージョン 0.8 にリベース

nftables パッケージが 0.8 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • 新たな式: fibnumgenquotartnotrack が追加されました。
  • 任意の鍵の組み合わせをハッシュできるようになりました。
  • チェックサムの調整を含めて、非バイトバウンドパケットヘッダーフィールドを設定できるようになりました。
  • エレメント定義を設定する際の変数参照、およびエレメントコマンドからの変数定義を使うことができるようになりました。
  • 一括フラッシュのサポートが追加されました。
  • フラグが記録されるようになりました。
  • tc classid パーサーのサポートが追加されました。
  • リンクレイヤーアドレスとのエンディアンの問題が解消されました。
  • 従来、パーサーは別のフラグが付いたマップを維持していましたが、この問題が解消されました。
  • カーネルの仕様に合わせて、時間のデータタイプにミリ秒が使われるようになりました。(BZ#1472261)

NetworkManager に永続的な DHCP クライアント挙動を追加

今回の更新で、ipv4.dhcp-timeout プロパティーを 32 ビット整数の最大値 (MAXINT32) または infinity のどちらかに設定できるようになりました。その結果、NetworkManager は、成功するまで DHCP サーバーからリースの取得/更新を試み続けます。(BZ#1350830)

チームオプションに対応する新たなプロパティーを NetworkManager に追加

以前のリリースでは、NetworkManagerconfig プロパティーに JSON ストリングを提供して接続にチームの構成を適用していましたが、チーム設定で利用することができるのはこのプロパティーだけでした。今回の更新で、チームの構成オプションに一対一に対応する新たなプロパティーが NetworkManager に追加されました。その結果、NetworkManager config プロパティーの固有 JSON ストリングを通じて、あるいは新たなチームプロパティーに値を割り当てて、設定が提供されるようになりました。config に適用されたすべての設定変更は、新たなチームプロパティーに反映されます (その逆も同様)。NetworkManager では、チームの link-watcher および team.runner を正しく設定することが要求されるようになりました。link-watcher および team.runner 設定が無効または不明な場合には、チームの接続全体が拒否されます。
新規の runner プロパティーを変更すると、特定のランナーに関連するすべてのプロパティーがデフォルトにリセットされる点に注意してください。(BZ#1398925)

応答エラーがパケットマークを反映

以前のリリースでは、アクティブではないポートの接続要求を受け取ると、エラーパケットがクライアントに返信されていました。着信接続に何らかのファイアウォールルールがマーキングされていても、生成されるエラーメッセージにはこのマークが付けられませんでした (この機能がカーネルに実装されていなかったため)。今回の更新で、接続を開始しようとした着信パケットと同じマーキングが、生成されるエラーメッセージに付けられるようになりました。(BZ#1469857)

NTP に対する新たなソケットタイムスタンプ処理オプション

今回の更新で、chrony 等の Network Time Protocol (NTP) 実装のボンディングまたはその他の仮想インターフェースとのハードウェアタイムスタンプ処理に対して、SOF_TIMESTAMPING_OPT_PKTINFO および SOF_TIMESTAMPING_OPT_TX_SWHW ソケットタイムスタンプ処理オプションが追加されました。(BZ#1421164)

iproute2 がバージョン 4.11.0 にリベース

iproute2 パッケージがアップストリームバージョン 4.11.0 にアップグレードされ、バグ修正および機能拡張が数多く追加されました。特に、ip ツールの変更点は以下のとおりです。
  • さまざまなコマンドに対する JSON 出力のサポートが追加されました。
  • より多くのインターフェースタイプ属性がサポートされるようになりました。
  • 出力のカラー表示がサポートされるようになりました。
  • ip-monitor による状態監視において、labeldev オプション、および rule オブジェクトがサポートされるようになりました。
  • ip-rule コマンドでセレクターのサポートが追加されました。
また、tc ユーティリティーの主な機能改善は以下のとおりです。
  • tc の bash 補完機能がサポートされるようになりました。
  • tcvlan アクションが導入されました。
  • pedit アクションの拡張モードが導入されました。
  • csum アクションでストリームコントロールトランスミッションプロトコル (SCTP) のサポートが追加されました。
その他のツールの機能改善:
  • lnstat ツールで拡張統計機能のサポートが追加されました。
  • nstat ユーティリティーで SCTP のサポートが追加されました。(BZ#1435647)

tc-pedit アクションがレイヤー 2 およびレイヤー 4 に関する offset をサポート可能に

tc-pedit アクションによりパケットデータを変更することができます。今回の更新で、レイヤー 3 に加えてレイヤー 2 および 4 ヘッダーに関する offset オプションを tc-pedit に指定できようになりました。これにより、pedit header の処理が確実で柔軟になります。その結果、イーサネットヘッダーの編集が容易になり、レイヤー 3 ヘッダーのサイズとは無関係にレイヤー 4 ヘッダーへのアクセスが機能するようになりました。(BZ#1468280)

iproute にバックポートされた機能

さまざまな機能拡張が iproute パッケージにバックポートされました。主な変更点は以下のとおりです。
  • dpipe サブコマンドにより、devlink ツールにパイプラインデバッグのサポートが追加されました。
  • tc フィルターで in_hw または not_in_hw フラグが表示され、ハードウェアオフロードのステータスを確認できるようになりました。
  • tc pedit アクションにおける IPv6 のサポートが追加されました。
  • devlink ツールに、eSwitch カプセル化の設定および取得に対するサポートが追加されました。
  • tc flower フィルターのマッチング機能が拡張されました。
  • TCP フラグによるマッチングのサポート。
  • IP ヘッダーの type-of-service (ToS) および time-to-live (TTL) フィールドによるマッチングのサポート。
(BZ#1456539)

Geneve ドライバーがバージョン 4.12 にリベース

Geneve ドライバーがバージョン 4.12 に更新され、Geneve トンネリングを使用した Open vSwitch (OVS) または Open Virtual Network (OVN) デプロイメントのためのバグ修正および機能拡張が数多く追加されました。(BZ#1467288)

VXLAN および GENEVE オフロード処理にコントロールスイッチを追加

今回の更新で ethtool ユーティリティーに新たなコントロールスイッチが追加され、ネットワークカードへの VXLAN/GENEVE トンネルのオフロードを有効/無効にすることができるようになりました。この機能拡張により、VXLAN または GENEVE トンネルに関する問題のデバッグが容易になります。さらに、ethtool を使用してオフロード機能を無効にして、これらのタイプのトンネルをネットワークカードにオフロードすることで生じる問題を解決することができます。(BZ#1308630)

unbound がバージョン 1.6.6 にリベース

unbound パッケージがアップストリームバージョン 1.6.6 にリベースされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • RFC 7816 に従い DNS クエリー名 (QNAME) 最小化が実装されました。
  • 新たな max-udp-size 設定オプションが追加されました。そのデフォルト値は 4096 です。
  • 新たな DNS64 モジュールおよび dns64-prefix オプションが追加されました。
  • ネガティブトラストアンカー管理のために、unbound-control ユーティリティーに新たな insecure_add および insecure_remove コマンドが追加されました。
  • unbound-control ユーティリティーがローカルゾーンおよびローカルデータを一括で追加/削除できるようになりました。これらの操作を実施するには、local_zoneslocal_zones_removelocal_datas、および local_datas_remove コマンドを使用します。
  • libldnslibunbound の依存関係ではなくなり、同時にインストールはされません。
  • Linux 上の全スレッドに均等にクエリーを分配するために、新たな so-reuseport: オプションを利用できるようになりました。
  • 新たなリソースレコードタイプ CDSCDNSKEYURI (RFC 7553 による)、CSYNC、および OPENPGPKEY が追加されました。
  • 新たな local-zone タイプが追加されました。inform はクライアント IP と共にメッセージを記録します。inform_deny はクエリーを記録しますがその答えはドロップします。
  • ローカルソケットを使用したリモート制御を利用できるようになりました。control-interface: /path/sock および control-use-cert: no コマンドを使用します。
  • 非ローカル IP アドレスにバインドするために、新たな ip-transparent: 設定オプションが追加されました。
  • インターフェースまたはアドレスが非アクティブな時に IP アドレスにバインドするために、新たな ip-freebind: 設定オプションが追加されました。
  • 新たな harden-algo-downgrade: 設定オプションが追加されました。
  • ドメイン onion (RFC 7686 による)、test、および invalid (RFC 6761 による) がデフォルトでブロックされるようになりました。
  • libunbound ライブラリーのユーザー定義プラグ可能イベント API が追加されました。
  • Unbound の作業ディレクトリーを設定するには、unbound.conf ファイルで directory: dir と共に include: file ステートメントを使用するか (この場合、ファイルはそのディレクトリーに対する相対パスとして指定されます)、絶対パスと共に chroot コマンドを使用します。
  • オプション define-tagaccess-control-tagaccess-control-tag-actionaccess-control-tag-datalocal-zone-tag、および local-zone-override による、より詳細なローカルゾーン制御が実装されました。
  • ランダム 64 ビットローカルパートを持つすべてのクエリーに対して Linux の freebind 機能を使用するために、新たな outgoing-interface: netblock/64 IPv6 オプションが追加されました。
  • クエリーログと類似した DNS 返信のログ機能が追加されました。
  • 鍵タグクエリーおよび trustanchor.unbound CH TXT クエリーを使用する、トラストアンカー信号が実装されました。
  • DNS (EDNS) クライアントサブネット用拡張メカニズムが実装されました。
  • ipsecmod (日和見 IPsec サポートモジュール) が実装されました。(BZ#1251440)

DHCP が標準の動的 DNS 更新をサポート可能に

今回の更新で、DHCP サーバーでは標準のプロトコルを使用した DNS レコードの更新が許可されるようになりました。その結果、RFC 2136 (https://tools.ietf.org/html/rfc2136) に記載されたように、DHCP は標準の動的 DNS 更新をサポートします。(BZ#1394727)

DDNS が新たなアルゴリズムをサポート可能に

以前のリリースでは、dhcpd デーモンは HMAC-MD5 ハッシュアルゴリズム (重要なアプリケーションに対してはセキュアと考えられない) しかサポートしませんでした。したがって、動的 DNS (DDNS) の更新はセキュアではない可能性がありました。今回の更新で、新たなアルゴリズム (HMAC-SHA1HMAC-SHA224HMAC-SHA256HMAC-SHA384、または HMAC-SHA512) に対するサポートが追加されました。(BZ#1396985)

IPTABLES_SYSCTL_LOAD_LISTsysctl.d ファイルをサポート可能に

iptables サービスが再起動されると、iptables init スクリプトにより IPTABLES_SYSCTL_LOAD_LISTsysctl 設定が再読み込みされます。以前のリリースでは、変更された設定は /etc/sysctl.conf ファイル内でしか検索されませんでした。今回の更新で、/etc/sysctl.d/ ディレクトリーでもこれらの変更が検索されるようになりました。その結果、iptables サービスを再起動する際、/etc/sysctl.d/ 内のユーザーファイルが適切に考慮されるようになりました。(BZ#1402021)

SCTPMSG_MORE をサポート可能に

完全なパケットが送信可能になるまで、または MSG_MORE フラグを指定しない呼び出しが実施されるまで、このフラグが設定され小さなデータがバッファーされます。今回の更新で、ストリームコントロールトランスミッションプロトコル (SCTP) における MSG_MORE のサポートが追加されました。その結果、小さなデータチャンクをバッファーし、完全なパケットとして送信することができます。(BZ#1409365)

MACsec がバージョン 4.13 にリベース

Media Access Control Security (MACsec) ドライバーがアップストリームバージョン 4.13 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な機能拡張は以下のとおりです。
  • Generic Receive Offload (GRO) および Receive Packet Steering (RPS) が、MACsec デバイスで有効になっています。
  • MODULE_ALIAS_GENL_FAMILY モジュールが追加されました。この機能拡張は、モジュールがまだ読み込まれていない時に wpa_supplicant 等のツールを起動するのに役立ちます。(BZ#1467335)

Open vSwitch で mlx5 ドライバーを使用する際のパフォーマンス拡張

Open vSwitch (OVS) アプリケーションにより、仮想マシン同士および仮想マシンと物理ネットワーク間の通信が可能になります。OVS はハイパーバイザー内にあり、切り替えはネットワークフローに関するの 12 のマッチング条件に基づきます。ただし、OVS ソフトウェアベースのソリューションは非常に多くの CPU パワーを必要とします。したがって、システムパフォーマンスが影響を受け、利用可能な全帯域幅の使用が阻害されます。
今回の更新で、Mellanox ConnectX-4、ConnectX-4 Lx、および ConnectX-5 アダプター用 mlx5 ドライバーが OVS をオフロードできるようになりました。Mellanox Accelerated Switching And Packet Processing (ASAP2) Direct テクノロジーにより、Mellanox Embedded Switch (eSwitch) を持つ Mellanox ConnectX-4 およびそれ以降のネットワークインターフェースカードで OVS データプレーンを処理して、OVS のオフロードが可能です。その際、OVS 制御プレーンは変更されない状態を維持します。その結果、OVS のパフォーマンスが大幅に向上すると共に、CPU パワーの消費が抑えられます。
現在 ASAP2 Direct がサポートするアクションは、パケット解析およびマッチング、転送、ドロップ、ならびに VLAN プッシュ/ポップ、または VXLAN カプセル化およびカプセル化解除です。(BZ#1456687)

Netronome NFP イーサネットドライバーが representor netdev 機能をサポート可能に

今回の更新で、Netronome NFP イーサネットドライバーの representor netdev 機能が Red Hat Enterprise Linux 7.5 にバックポートされました。この機能拡張により、ドライバーでは以下のことが可能になります。
  • フォールバックトラフィックを受信および送信する
  • Open vSwitch での使用
  • TC-Flower ユーティリティーを使用して、NFP ハードウェアに対するプログラミングフローをサポートする (BZ#1454745)

TC-Flower のオフロード処理およびアクションに対するサポートを追加

今回の更新で、TC-Flower 分類子のオフロード処理に対するサポート、および Open vSwitch のオフロード処理に関するアクションに対するサポートが追加されました。これにより、Netronome SmartNIC を使用して Open vSwitch のパフォーマンスを向上させることが可能です。(BZ#1468286)

DNS スタブリゾルバーの改善

glibc パッケージの DNS スタブリゾルバーがアップストリーム glibc バージョン 2.26 に更新されました。主な改善点およびバグ修正は以下のとおりです。
  • /etc/resolv.conf ファイルに加えた変更が自動的に認識され、実行中のプログラムに適用されるようになりました。従来の動作に戻すには、/etc/resolv.confoptions 行に no-reload オプションを追加します。システム設定によっては、ネットワークサブシステム設定の一部として /etc/resolv.conf ファイルが自動的に上書きされ、no-reload オプションが削除される点に注意してください。
  • 従来、検索ドメインエントリー数の上限は 6 でしたが、この制限が削除されました。/etc/resolv.confsearch ディレクティブを使用して、任意の数のドメインを指定できるようになりました。エントリーが増えると、DNS 処理に非常に大きなオーバーヘッドが加わる場合がある点に注意してください。エントリーの数が 3 を超える場合は、ローカルキャッシュリゾルバーの実行を検討してください。
  • getaddrinfo() 関数のさまざまな境界条件の処理が修正されました。/etc/hosts ファイルの非常に長い行 (コメントを含む) は、他の行からの検索結果に影響を与えなくなりました。特定の /etc/hosts 設定のシステムがスタック枯渇により突然終了する問題は、発生しなくなりました。
  • 以前のリリースでは、/etc/resolv.confrotate オプションが有効な場合、新しいプロセスの最初の DNS クエリーは、必ず /etc/resolv.conf の名前サーバーリストで 2 番目に設定された名前サーバーに送付されていました。この動作が変更され、最初の DNS クエリーでは、リストからランダムに選択された名前サーバーが使用されるようになりました。その後のクエリーでは、従来どおり利用可能なすべての名前サーバーをローテーションします。(BZ#677316、BZ#1432085、BZ#1257639、BZ#1452034、BZ#1329674)

第14章 セキュリティー

LUKS で暗号化されたリムーバブルストレージデバイスを NBDE を使用して自動的にアンロック可能

今回の更新では、clevis パッケージと clevis_udisks2 サブパッケージにより、リムーバブルボリュームと Network-Bound Disk Encryption (NBDE) ポリシーをバインドできるようになりました。USB ドライブなど、LUKS で暗号化されたリムーバブルストレージデバイスを自動的にアンロックするには、clevis luks bindclevis luks unlock コマンドを使用します。(BZ#1475408)

新規パッケージ: clevis-systemd

Clevis のプラグ可能なフレームワークが更新され、clevis-systemd サブパッケージが導入されたので、起動時に LUKS で暗号化されている root 以外のボリュームを自動的にアンロックする設定が可能になりました。(BZ#1475406)

OpenSCAP を Ansible ワークフローに統合可能

今回の更新で、OpenSCAP スキャナーにより、プロファイルまたはスキャン結果をもとに Ansible Playbooks 形式で修正スクリプトを生成できるようになりました。SCAP Security Guide Profiles をもとにした Playbook には全ルールの修正が含まれ、スキャン結果をもとにした Playbook には評価時に失敗したルールの修正のみが含まれます。ユーザーは、カスタマイズしたプロファイルから Playbook を生成することも、Playbook の値を編集して直接カスタマイズすることもできます。Playbook でタスクのメタデータとして使用されるルール ID、ストラテジー、複雑性、中断、または参照などのタグは、適用するタスクを絞り込むフィルターとして機能します。(BZ#1404429)

SECCOMP_FILTER_FLAG_TSYNC により、呼び出しプロセススレッドを同期可能

今回の更新で SECCOMP_FILTER_FLAG_TSYNC フラグが導入されました。新規フィルターを追加すると、このフラグは呼び出しプロセスの他のスレッドすべてを、同じ seccomp フィルターツリーに同期します。詳細情報は、seccomp(2) man ページを参照してください。
アプリケーションが複数の libseccomp または seccomp-bpf フィルターをインストールする場合には、seccomp() のシステム呼び出しを、システム呼び出しの許可一覧に追加する必要があります。(BZ#1458278)

nss がバージョン 3.34 にリベース

nss パッケージがアップストリームバージョン 3.34 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • TLS 圧縮がサポートされなくなりました。
  • TLS サーバーコードは、RSA 鍵なしにセッションチケットをサポートするようになりました。
  • PKCS#11 URI を使用して証明書を指定できるようになりました。
  • RSA-PSS の暗号化署名スキームは、証明書の署名と、その確認ができるようになりました。(BZ#1457789)

mod_sslSSLv3 を無効化

SSL/TLS 接続のセキュリティーを向上させるために、httpd mod_ssl モジュールのデフォルト設定が SSLv3 プロトコルのサポートを無効にして、特定の暗号化スイートの使用を制限するように変更されました。今回の変更は新規インストールされた mod_ssl パッケージにしか適用されないので、既存のユーザーは手動で SSL 設定を変更する必要があります。
SSLv3 や、DES または RC4 ベースの暗号化スイートを使用して接続を確立しようとする SSL クライアントは、新しくなったデフォルト設定で拒否されます。このようなセキュアでない接続を許可するには、/etc/httpd/conf.d/ssl.confSSLProtocol および SSLCipherSuite ディレクティブを変更してください。(BZ#1274890)

Libreswan が IKEv2 向けのスプリット DNS 設定をサポート可能に

libreswan パッケージの今回の更新で、leftmodecfgdns= および leftcfgdomains= オプションを使用した、Internet Key Exchange version 2 (IKEv2) プロトコルのスプリット DNS 設定のサポートが導入されました。これにより、特定のプライベートドメインに対する DNS フォワーディングで、ローカルで実行する DNS サーバーを再設定できるようになりました。(BZ#1300763)

libreswan が ESP の AES-GMAC をサポート可能に

今回の更新で、libreswan パッケージに、phase2alg=null_auth_aes_gmac オプションによる IPsec Encapsulating Security Payload (ESP) 内の Advanced Encryption Standard (AES) Galois Message Authentication Code (GMAC) に対するサポートが追加されました。(BZ#1475434)

openssl-ibmca が 1.4.0 にリベース

openssl-ibmca パッケージがアップストリームバージョン 1.4.0 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
  • Advanced Encryption Standard Galois/Counter Mode (AES-GCM) サポートが追加されました。
  • FIPS モードでの OpenSSL 操作に対する修正が組み込まれました。(BZ#1456516)

opencryptoki が 3.7.0 にリベース

opencryptoki パッケージがアップストリームバージョン 3.7.0 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
  • ライセンスが Common Public License Version 1.0 (CPL) にアップグレードされました。
  • Enterprise PKCS #11 (EP11) および Common Cryptographic Architecture (CCA) の ECDSA with SHA-2 サポートが追加されました。
  • ミューテックスロックからトランザクショナルメモリー (TM) を移動することでパフォーマンスを向上させました。(BZ#1456520)

configuration_compliance を指定して atomic scan を実行すると、セキュリティーに準拠したコンテナーイメージをビルド時に作成可能

rhel7/openscap コンテナーイメージに、configuration_compliance スキャンタイプが追加されました。atomic scan コマンドの引数として使用すると、この新しいスキャンタイプに設定され、以下が可能になります。
  • SCAP Security Guide (SSG) に含まれるプロファイルと照合して、Red Hat Enterprise Linux ベースのコンテナーイメージとコンテナーをスキャンする
  • Red Hat Enterprise Linux ベースのコンテナーイメージが SSG で指定されているプロファイルに準拠するように修正する
  • スキャンまたは修正からの HTML レポートを生成する
修正すると、コンテナーイメージに変更された設定が追加され、元のコンテナーイメージの上に新しい層が追加されます。
元のコンテナーイメージは変更されず、新しい層がそのイメージの上層に追加されるだけなので注意してください。修正プロセスでは、改善された設定がすべて含まれる新規コンテナーイメージが構築されます。この層のコンテンツは、スキャンのセキュリティーポリシーで定義されます。つまり、修正されたコンテナーイメージは、元のコンテナーイメージとは異なるので、予想どおり修正されたコンテナーイメージからは Red Hat の署名がなくなります。(BZ#1472499)

tang-nagios により NagiosTang をモニタリング可能

tang-nagios サブパッケージでは、TangNagios プラグインを提供します。このプラグインにより、Nagios プログラムで Tang サーバーを監視できるようになります。このサブパッケージは Optional チャンネルで入手できます。詳しい情報は tang-nagios(1) man ページを参照してください。(BZ#1478895)

clevis が特権操作をログに記録

今回の更新で、clevis-udisks2 サブパッケージは、鍵を復元しようとした内容をすべて監査ログに記録し、特権を要する操作を Linux 監査システムを使用して追跡できるようになりました。(BZ#1478888)

アプリケーションのメモリーリークを防止するために PK11_CreateManagedGenericObject()NSS に追加

PK11_DestroyGenericObject() 関数では、PK11_CreateGenericObject() で割り当てられたオブジェクトが正しく破棄されませんが、オブジェクトの使用後も永続するオブジェクトを作成するために、この関数に依存するアプリケーションもあります。このような理由から、Network Security Services (NSS) ライブラリーに PK11_CreateManagedGenericObject() 関数が含まれるようになりました。PK11_CreateManagedGenericObject() でオブジェクトを作成すると、PK11_DestroyGenericObject() 関数は、元のオブジェクトを正しく破棄するようになります。また、curl ユーティリティーなどのアプリケーションは PK11_CreateManagedGenericObject() を使用してメモリーリークを回避できるようになりました。(BZ#1395803)

OpenSSHopenssl-ibmca および openssl-ibmpkcs11 の HSM をサポート可能に

今回の更新で、OpenSSH スイートが openssl-ibmca および openssl-ibmpkcs11 が処理するハードウェアセキュリティーモジュール (HSM) を許可するようになりました。従来のリリースでは、OpenSSH 特権分離が有効な間は、OpenSSH seccomp フィルターによりこれらのカードの動作が拒否されていました。seccomp フィルターが更新され、IBM z Systems 上の暗号化カードが必要とするシステムコールが許可されるようになりました。

cgroup_seclabel により、cgroups での粒度の細かいアクセス制御が可能

今回の更新で、コントロールグループ (cgroup) ファイルにラベルを設定できる cgroup_seclabel ポリシー機能が導入されました。この機能が追加される前は、cgroup ファイルシステムにラベルを付けることはできず、コンテナー内の systemd サービスマネージャーを実行するには、cgroup ファイルシステム上のコンテンツの読み取りおよび書き込みパーミッションを許可する必要がありました。cgroup_seclabel ポリシー機能により、cgroup ファイルシステムに対する粒度の細かいアクセス制御が可能になりました。(BZ#1494179)

起動プロセスで、ネットワーク接続された暗号化デバイスのロック解除が可能

以前のリリースでは、起動プロセスで、ネットワークサービスを起動する前に、ネットワークによって接続されるブロックデバイスのロックを解除しようとしていました。ネットワークが有効ではないので、これらのデバイスを接続して復号化できませんでした。
今回の更新で、systemd パッケージに remote-cryptsetup.target ユニットと他のパッチが追加されました。その結果、システムの起動時にネットワークによって接続される暗号化ブロックデバイスのロックを解除し、これらのブロックデバイスにファイルシステムをマウントできるようになりました。
システムの起動時にサービスを正しく起動できるように、/etc/crypttab 設定ファイルで _netdev オプションを使用してネットワークデバイスに印を付ける必要があります。
この機能の一般的なユースケースとして、ネットワークでバインドされたディスクの暗号化で使用することが挙げられます。ネットワークでバインドされたディスクの暗号化に関する情報は、『Red Hat Enterprise Linux Security Guide』の以下の章を参照してください。

SELinuxInfiniBand オブジェクトラベリングをサポート可能に

今回のリリースで、SELinuxInfiniBand エンドポートおよび P_Key ラベリングをサポートするようになりました。これには、カーネル、ポリシー、および semanage ツールの拡張が含まれます。InfiniBand に関連するラベルを管理するには、以下のコマンドを使用します。
  • semanage ibendport
  • semanage ibpkey (BZ#1471809、BZ#1464484、BZ#1464478)

libica が 3.2.0 にリベース

libica パッケージがバージョン 3.2.0 にアップグレードされました。このパッケージでは主に、Enhanced SIMD 命令のサポートが追加されました。(BZ#1376836)

SELinux が systemd No New Privileges をサポート可能に

今回の更新で、以前のコンテキストと新しいコンテキスト間で nnp_nosuid_transition が許可されている場合に No New Privileges (NNP) または nosuid で SELinux ドメインの移行を可能にする、nnp_nosuid_transition ポリシー機能が導入されました。selinux-policy パッケージには、NNP セキュリティー機能を使用する systemd サービスのポリシーが含まれるようになりました。
以下のルールは、サービスに対するこの機能を許可しています。
allow source_domain  target_type:process2 { nnp_transition nosuid_transition };
以下に例を示します。
allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };
分散ポリシーには、m4 マクロインターフェースも含まれるようになりました。これは、init_nnp_daemon_domain() 関数を使用する SELinux セキュリティーポリシーに使用できます。(BZ#1480518)

Libreswan がバージョン 3.23 にリベース

libreswan パッケージがアップストリームバージョン 3.23 にアップグレードされ、バグ修正、スピード向上および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • dnssec-enable=yes|nodnssec-rootkey-file=、および dnssec-anchors= オプションにより、DNS Security Extensions (DNSSEC) スイートの拡張サポートが追加されました。
  • ppk=yes|no|insist オプションを使用した Postquantum Preshared Keys (PPK) の実験的サポートが追加されました。
  • RSA-SHA の署名認証 (RFC 7427) に対するサポートが追加されました。
  • 新しい logip= オプション (デフォルト値は yes) を使用して、受信 IP アドレスのロギングを無効にすることができます。これは、プライバシー侵害が懸念される大規模なサービスプロバイダーに便利です。
  • DNS の IPSECKEY レコードを使用することで、バインドされていない DNS サーバーの ipsecmod module サポートが追加されました。
  • decap-dscp=yes オプションを使用した、Differentiated Services Code Point (DSCP) アーキテクチャーのサポートが追加されました。DSCP は以前は、Terms Of Service (TOS) と呼ばれていました。
  • nopmtudisc=yes オプションを使用した Path MTU Discovery (PMTUD) を無効にするサポートが追加されました。
  • IDr (Identification - Responder) ペイロードのサポートが追加され、マルチドメインのデプロイメントが改善されました。
  • 極めてビジー状態のサーバーで、EAGAIN のエラーメッセージが返された場合に IKE パケットを再送信するようになりました。
  • カスタマイズできるように、updown スクリプトにさまざまな改善が加えられました。
  • RFC 8221 および RFC 8247 に準拠する暗号化アルゴリズムの設定が更新されました。
  • updown スクリプトを無効化するため、leftupdown= オプションに %none および /dev/null の値が追加されました。
  • CREATE_CHILD_SA 交換を使用した rekey のサポートが改善されました。
  • IKEv1 XAUTH スレッドの競合状態が解決されました。
  • pthread ロックの最適化によりパフォーマンスが大幅に改善されました。
詳細は ipsec.conf man ページを参照してください。(BZ#1457904)

libreswan が IKEv2 MOBIKE をサポート可能に

今回の更新で、mobike=yes|no オプションによる XFRM_MIGRATE メカニズムを使用する IKEv2 Mobility and Multihoming (MOBIKE) プロトコル (RFC 4555) のサポートが追加されました。MOBIKE により、IPsec トンネルに影響を及ぼすことなく、Wi-Fi、LTE などのネットワークをシームレスに切り替えることができます。(BZ#1471763)

scap-workbench がバージョン 1.1.6 にリベース

scap-workbench パッケージがバージョン 1.1.6 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • プロファイルやスキャンした結果から、Bash および Ansible 変更ロールを生成するサポートが追加されました。生成した変更内容は、後で使用できるようにファイルに保存できます。
  • コマンドラインから直接カスタマイズファイルを開くサポートが追加されました。
  • SSH のポート番号が 32,768 より大きい場合に short 整数型がオーバーフローする問題が解消されました。(BZ#1479036)

OpenSCAPDISA STIG Viewer の結果を生成可能

OpenSCAP スイートは、DISA STIG Viewer ツールと互換性のある形式で結果を生成できるようになりました。これにより、ユーザーは Defense Information Systems Agency Security Technical Implementation Guide (DISA STIG) コンプライアンスのローカルシステムをスキャンして、DISA STIG Viewer で結果を表示できるようになりました。(BZ#1505517)

selinux-policy で permissive モードに設定できないドメイン

セキュリティー強化手段として、SELinux ポリシーでは、以下のドメインをデフォルトでは permissive モードに設定しなくなりました。
  • blkmapd_t
  • hsqldb_t
  • ipmievd_t
  • sanlk_resetd_t
  • systemd_hwdb_t
  • targetd_t
これらのドメインのデフォルトモードは、enforcing に設定されるようになりました。(BZ#1494172)

audit がバージョン 2.8.1 にリベース

audit パッケージがアップストリームバージョン 2.8.1 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • ambient ケイパビリティーフィールドのサポートを追加。
  • Audit デーモンが IPv6 でも機能するようになりました。
  • auditd.conf ファイルにデフォルトポートを追加。
  • Access Vector Cache (AVC) メッセージを報告するように auvirt ツールを修正。(BZ#1476406)

OpenSC が SCE7.0 144KDI CAC Alt. トークンをサポート可能に

今回の更新で、SCE7.0 144KDI Common Access Card (CAC) Alternate トークンのサポートが追加されました。これらの新たなカードは、以前の U.S. Department of Defense (DoD) Implementation Guide for CAC PIV End-Point 仕様に適合していませんでした。OpenSC ドライバーが更新され、仕様の更新に対応しています。(BZ#1473418)

第15章 サーバーとサービス

dbus プロセスの残余

Red Hat Enterprise Linux 7.5 では、dbus を使用するアプリケーションをリモートで起動することのできる機能が追加されました (SSH または IBM Platform LSF 経由)。
ただし、dbus を使用するプロセスをリモートで起動すると、メインのプロセスが終了した後でも dbus プロセスは動作を続け、リモートセッションをブロックしてセッションの正常な終了を妨げます。
この問題を回避するには、「Leftover dbus processes after launching a dbus-using application remotely and then closing the application」の手順に従ってください。(BZ#1460262)

dbus がバージョン 1.10 にリベース

dbus パッケージがアップストリームバージョン 1.10 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • dbus-run-session は、ログインセッションのランタイムに dbus セッションを実行する新規ユーティリティーで、dbus を使用するアプリケーションを起動する ssh セッションを予測可能で、信頼性の高いものにします。詳細はman 1 dbus-run-session を参照してください。
  • 複数のメモリーおよびファイル記述子リークの問題が解消され、dbus-daemon によるメモリー使用や信頼性が改善されました。
  • 主なシステムおよびセッションバス設定ファイルは、/etc/dbus-1/ から /usr/share/dbus-1/ ディレクトリーに移動されました。以前の場所はまだ使用できますが、非推奨です (具体的には session.conf および system.conf が非推奨ですが、システム管理者が設定したスニペットを session.d および system.d に配置できます)。(BZ#1480264)

tuned がバージョン 2.9.0 にリベース

tuned パッケージがアップストリームバージョン 2.9.0 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • net プラグインは、ring および pause パラメーターで拡張されました。
  • 手動または自動設定のプロファイルのコンセプトが導入されました。
  • プロファイル推奨ファイルのディレクトリーがサポートされるようになりました。(BZ#1467576)

chrony がバージョン 3.2 にリベース

chrony パッケージがアップストリームバージョン 3.2 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な機能拡張は以下のとおりです。
  • Ethernet インターフェースをまとめるボンディング、ブリッジング、その他の論理インターフェースでのハードウェアタイムスタンプをサポートします。
  • Network Time Protocol (NTP) パケットではなく、受信した Precision Time Protocol (PTP) パケットのみをタイムスタンプ可能なネットワークカードで、転送のみのハードウェアタイムスタンプをサポートします。
  • ハードウェアタイムスタンプとインターリーブモードで同期の安定性を向上させます。
  • 国際原子時 (TAI) および協定世界時 (UTC) 間のシステムクロックの補正を自動的に設定するために、leapsectz オプションが改良されました。(BZ#1482565)

CUPS で SNMP ページ数取得の無効化が可能

現在、特定のプリンターでは Simple Network Management Protocol (SNMP) のページカウント機能が誤った情報を表示します。今回の更新で、CUPS 印刷システムで SNMP ページ数取得をオフにして、この問題を回避できるようになりました。そのためには、プリンターの postscript printer description (PPD) ファイルに *cupsSNMPPages: False を追加します。
プリンターの PPD ファイルへのオプション追加手順は、ソリューションアーティクル「RHEL 印刷サーバーが SNMP クエリーをプリンターに送信している」に記載されています。(BZ#1434153)

TLS バージョン 1.2 以降の暗号化のみを使用するように CUPS を設定可能

CUPS 印刷システムは、TLS バージョン 1.2 以降の暗号化のみを使用するように設定できるようになりました。この機能を使用するには、SSLOptions MinTLS1.2 オプションを、CUPS の /etc/cups/client.conf ファイルや、CPUS デーモンの /etc/cups/cupsd.conf ファイルに追加します。(BZ#1466497)

squid パッケージに kerberos_ldap_group ヘルパーを追加

今回の更新で、kerberos_ldap_group の外部アクセス制御リスト (ACL) ヘルパーが squid パッケージに追加されました。kerberos_ldap_group ヘルパーは、LDAP サーバーへの Simple Authentication and Security Layer (SASL) および Generic Security Services API (GSSAPI) 認証をサポートする参照実装のことです。このヘルパーは、Active Directory や OpenLDAP ベースの LDAP サーバーに接続することを主目的としたものです。(BZ#1452200)

OpenIPMI がバージョン 2.0.23 にリベース

OpenIPMI パッケージがバージョン 2.0.23 にアップグレードされ、バグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • ファンのデューティー比を直接設定するコマンドが追加されました。
  • コンパイル後に、コマンドラインから state ディレクトリーを指定する方法が追加されました。
  • 完全な 16 メッセージウィンドウを処理できるように、メッセージマッピングサイズが 32 ビットに変更されました。
  • IPMI LAN Simulator コマンドのサポートが追加されました。ipmi_sim_cmd(5) man ページを参照してください。
  • IPMI LAN Interface 設定ファイルのサポートが追加されました。ipmi_lan(5) man ページを参照してください。(BZ#1457805)

freeIPMI 1.2.9 から freeIPMI 1.5.7 への変更の概要

以下は、最も重要な変更点です。
ipmi-fru ツールは、DDR3 および DDR4 SDRAM モジュールおよび新規の FRU マルチレコードをサポートするようになりました。新しい ipmi-config ツールは、以前、bmc-configipmi-pef-configipmi-sensors-config、および ipmi-chassis-config ツールに含まれていた全機能を実装する統合型の設定ツールです。ipmi-sel ツールは、IPMI System Event Log レコードを読み込み、管理するので、システムのデバッグに便利です。
変更の詳細な一覧は、インストール後に /usr/share/doc/freeipmi/NEWS ファイルで確認できます。(BZ#1435848)

PHP FPM プール設定で利用可能な、新規 clear_env オプション

今回の更新で、PHP の FastCGI Process Manager (FPM) プール設定に、新しい clear_env オプションが導入されました。clear_env オプションが無効な場合には、FPM デーモンの実行時に設定された環境変数が保存され、スクリプトで利用できます。デフォルトでは clear_env が有効になっており、現在の動作が保たれます。(BZ#1410010)

第16章 ストレージ

VDO によるデータ重複の排除および圧縮

Red Hat Enterprise Linux 7.5 では、Virtual Data Optimizer (VDO) が導入されました。この機能によりブロックデバイスを作成し、ユーザーが意識することなくデータ重複の排除、圧縮およびシンプロビジョニングを行うことができます。標準のファイルシステムおよびアプリケーションをこれらの仮想ブロックデバイス上で実行するのに、変更などは必要ありません。
VDO は、現在 AMD64 および Intel 64 アーキテクチャー上でのみ利用可能です。
VDO に関する詳細については、『Storage Administration Guide』の「Data Deduplication and Compression with VDO」の章を参照してください (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/storage_administration_guide/vdo)。(BZ#1480047)

LVM スナップショットやイメージのブートエントリーを管理する新たな boom ユーティリティー

このリリースで boom コマンドが追加され、システムの新たなブートローダーエントリーを管理できるようになりました。このコマンドを使用して、システムスナップショットおよびイメージ用の新たなブートエントリーを作成、削除、一覧表示、および修正することができます。このユーティリティーは、LVM スナップショットのブートメニューエントリーを一元的に管理するツールとして機能します。したがって、ブートローダーの設定ファイルを手動で編集して詳細なカーネルパラメーターを設定する必要はなくなりました。ツールは lvm2-python-boom パッケージにより提供されます。(BZ#1278192)

DM Multipath で事前の予約鍵は不要

DM Multipath において、multipath.conf ファイルで新たな 2 つの設定オプションがサポートされるようになりました。
  • unpriv_sgio
  • prkeys_file
defaults および multipaths セクションの reservation_key オプションに、新たなキーワードとして file を設定することができます。設定すると、multipathd サービスは defaults セクションの prkeys_file オプションで設定したファイルを使用して、マルチパスデバイスのパスに使用される予約鍵を取得するようになります。prkeys ファイルは、mpathpersist ユーティリティーによって自動的に更新されます。reservation_key オプションのデフォルトは定義されないままです。また、prkeys_file のデフォルトは /etc/multipath/prkeys です。
新たな unpriv_sgio オプションが yes に設定されると、DM Multipath は新たなデバイスおよびそのパスをすべて unpriv_sgio 属性で作成するようになります。このオプションは他のソフトウェアによって内部的に使用されるものなので、ほとんどの DM Multipath ユーザーにとっては不必要です。デフォルトでは no に設定されています。
これらの変更によって、使われる予約鍵を事前に把握してそれらを multipath.conf 設定ファイルに追加しなくても、mpathpersist ユーティリティーを使用することができます。その結果、mpathpersist ユーティリティーを使用して、複数のセットアップでマルチパスの永続予約を管理するのが容易になります。(BZ#1452210)

multipath.confblacklist および blacklist_exception セクションで新たな property パラメーターをサポート

multipath.conf 設定ファイルの blacklist および blacklist_exception セクションで、property パラメーターがサポートされるようになりました。このパラメーターにより、特定のタイプのデバイスをブラックリストに登録することができます。property パラメーターには、そのデバイスの udev 環境変数名の参照対象となる正規表現ストリングが使われます。
blacklist_exceptionproperty パラメーターの働きは、blacklist_exception の他のパラメーターとは異なります。パラメーターが設定されると、デバイスには一致する udev 変数がなければなりません。もしなければ、デバイスはブラックリストに登録されます。
このパラメーターの最も役に立つ点は、マルチパスが無視する USB スティックやローカルハードドライブ等の SCSI デバイスをブラックリストに登録することができるということです。マルチパス対応にすることが妥当な SCSI デバイスだけを許可するには、multipath.conf ファイルの blacklist_exceptions セクションでこのパラメーターを (SCSI_IDENT_|ID_WWN) に設定します。(BZ#1456955)

smartmontools が NVMe デバイスをサポート可能に

今回の更新で、smartmontools パッケージに Nonvolatile Memory Express (NVMe) デバイス (特に、ソリッドステートドライブ (SSD)) のサポートが追加されました。その結果、smartmontools ユーティリティーにより Self-Monitoring, Analysis and Reporting Technology System (S.M.A.R.T.) を使用して NVMe ディスクを監視できるようになりました。(BZ#1369731)

特定ハードウェアにおける DIF/DIX (T10 PI) のサポート

ハードウェアベンダーが認定し、特定の HBA およびストレージアレイの構成を完全にサポートしている場合、SCSI T10 DIF/DIX は Red Hat Enterprise Linux 7.5 で完全にサポートされます。DIF/DIX は他の構成ではサポートされません。また、ブートデバイスでの使用や仮想化ゲストでの使用もサポートされません。
現時点では、以下のベンダーがこのサポートを提供しています。
FUJITSU は以下の構成で DIF と DIX をサポートします。
EMULEX 16G FC HBA:
  • EMULEX LPe16000/LPe16002、10.2.254.0 BIOS、10.4.255.23 FW と
  • FUJITSU ETERNUS DX100 S3、DX200 S3、DX500 S3、DX600 S3、DX8100 S3、DX8700 S3、DX8900 S3、DX200F、DX60 S3、AF250、AF650、DX60 S4、DX100 S4、DX200 S4、DX500 S4、DX600 S4、AF250 S2、AF650 S2
QLOGIC 16G FC HBA:
  • QLOGIC QLE2670/QLE2672、3.28 BIOS、8.00.00 FW と
  • FUJITSU ETERNUS DX100 S3、DX200 S3、DX500 S3、DX600 S3、DX8100 S3、DX8700 S3、DX8900 S3、DX200F、DX60 S3、AF250、AF650、DX60 S4、DX100 S4、DX200 S4、DX500 S4、DX600 S4、AF250 S2、AF650 S2
T10 DIX にはディスクブロックでのチェックサム生成と検証を行う他のソフトウェアまたはデータベースが必要になることに注意してください。現在サポートされている Linux ファイルシステムは、いずれもこの機能を持ちません。
EMC は以下の構成で DIF をサポートします。
EMULEX 8G FC HBA:
  • ファームウェア 2.01a10 以降の LPe12000-E および LPe12002-E と
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
EMULEX 16G FC HBA:
  • ファームウェア 10.0.803.25 以降の LPe16000B-E および LPe16002B-E と
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
QLOGIC 16G FC HBA:
  • QLE2670-E-SP および QLE2672-E-SP と
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
最新の状況については、ハードウェアベンダーのサポート情報を確認してください。
他の HBA およびストレージアレイに関する DIF/DIX のサポートは、引き続きテクノロジープレビューとして提供されます。(BZ#1499059)

ファイルシステム Direct Access (DAX) およびデバイス DAX がヒュージページをサポート可能に

以前のリリースでは、それぞれのファイルシステム DAX およびデバイス DAX のページフォールトは、ユーザー空間の単一ページをマッピングしていました。今回の更新で、ファイルシステム DAX およびデバイス DAX は、ヒュージページと呼ばれる大きな永続メモリーをマッピングできるようになりました。
AMD64 および Intel 64 アーキテクチャーのファイルシステム DAX では、たとえばサイズ 2 MiB のヒュージページがサポートされます。AMD64 および Intel 64 のデバイス DAX では、2 MiB または 1 GiB のヒュージページの使用がサポートされます。ちなみに、これらのアーキテクチャー上の標準ページは、4 KiB のサイズです。
DAX 名前空間を作成する際に、名前空間がすべてのページフォールトに使用するページサイズを設定することができます。
ヒュージページによりページフォールトが減少し、ページテーブルが小さくなり、Translation Lookaside Buffer (TLB) の競合が減ります。その結果、ファイルシステム DAX およびデバイス DAX は少ないメモリー使用でより優れたパフォーマンスを発揮するようになりました。(BZ#1457561、BZ#1383493)

fsadm が LUKS 暗号化 LVM ボリュームを拡張および縮小可能に

fsadm ユーティリティーにより、Linux Unified Key Setup (LUKS) を使用して暗号化された論理ボリュームマネージャー (LVM) のボリュームを拡張および縮小できるようになりました。fsadm --lvresize コマンドにより直接 fsadm を使用する場合と、lvresize --resizefs コマンドにより間接的に使用する場合の両方で、この機能拡張を利用することができます。
技術的な制約から、ヘッダーの削除された暗号化デバイスのサイズ変更はサポートされない点に注意してください。(BZ#1113681)

第17章 システムとサブスクリプション管理

cockpit がバージョン 154 にリベース

Cockpit のブラウザーベースの管理コンソールを提供する cockpit パッケージが、バージョン 154 にアップグレードされました。このバージョンには、バグ修正と機能拡張が数多く追加されています。主な変更点は以下のとおりです。
  • アカウント ページでは、アカウントのロックとパスワードの有効期限が設定できるようになりました。
  • ロードグラフでは、すべてのネットワークでループバックトラフィックが常に無視されます。
  • Cockpit は、systemd サービスの条件で満たされていないものに関する情報を提供します。
  • サービス ページで新たに作成されたタイマーが、自動的に起動して有効になるようになりました。
  • 利用可能な全領域を使用するように、端末のウィンドウサイズを動的に変更できるようになりました。
  • Internet Explorer で発生していた様々なナビゲーションおよび JavaScript のエラーが修正されました。
  • Cockpit は、SSCG (Self-Signed Certificate Generator) が利用できる場合はそれを使用して、SSL 証明書を生成します。
  • 任意のパスからの SSH キー読み込みがサポートされるようになりました。
  • /etc/os-release ファイルが不足または無効な場合に適切に処理されるようになりました。
  • 特権のないユーザーが、システム ページで、シャットダウンまたは再起動のボタンを使用することができなくなりました。
一部の cockpit パッケージは、Red Hat Enterprise Linux 7 Extras チャンネルから入手できます。詳細は「Red Hat Enterprise Linux Extras の製品ライフサイクル」を参照してください。(BZ#1470780、BZ#1425887、BZ#1493756)

yum-utils ユーザーは、トランザクション前にアクションを実施可能

新たな yum-plugin-pre-transaction-actions プラグインが yum-utils コレクションに追加されました。これにより、トランザクションが開始される前にアクションを実施することができます。プラグインの使用方法および設定は、既存の yum-plugin-post-transaction-actions プラグインとほとんど同じです。(BZ#1470647)

root 以外のユーザーの yum 実行において、ユーザーごとのキャッシュ作成の無効化が可能

新たな usercache オプションが yum ユーティリティーの yum.conf(5) 設定ファイルに追加されました。これにより、root 以外のユーザーとして yum を実行した時に、ユーザーごとにキャッシュが作成されるのを無効にすることができます。この変更の理由は、ユーザーごとにキャッシュを作成して格納することを望まないユーザーがいるためです ($TMPDIR ディレクトリーの領域が、ユーザーキャッシュデータで消費される場合など)。(BZ#1432319)

yum-builddep で RPM マクロを定義可能

yum-builddep ユーティリティーが強化され、.spec ファイルの構文解析で RPM マクロを定義できるようになりました。この変更は、yum-builddep が .spec ファイルを構文解析するのに RPM マクロの定義が必要になった事例が発生したために加えられました。rpm ユーティリティーと同様、yum-builddep ツールを使用して、--define オプションで RPM マクロを指定できるようになりました。(BZ#1437636)

subscription-manager が登録時にホスト名を表示

従来、特定のシステムに対する有効なホスト名を探す際に、ユーザーは別の Satellite 設定を確認する必要がありました。今回の更新で、subscription-manager ユーティリティーがシステム登録時にホスト名を表示するようになりました。(BZ#1463325)

subscription-manager プラグインが yum-config-manager と共に動作

今回の更新で、subscription-manager プラグインが yum-config-manager ユーティリティーと共に動作するようになりました。yum-config-manager の操作がトリガーとなって redhat.repo が生成されるので、始めに yum コマンドを実行せずに Red Hat Enterprise Linux コンテナーはリポジトリーを有効/無効にすることができます。(BZ#1329349)

subscription-manager/etc/pki/product-default/ 内のすべての製品証明書を保護

以前のリリースでは、subscription-manager ユーティリティーは、タグが rhel-# と一致する redhat-release パッケージで提供された製品証明書しか保護しませんでした。その結果、RHEL-ALT または High Touch Beta 等の製品証明書が、product-id yum プラグインにより /etc/pki/product-default/ ディレクトリーから削除されてしまうことがありました。今回の更新で subscription-manager が修正され、/etc/pki/product-default/ 内のすべての証明書を自動削除から保護するようになりました。(BZ#1526622)

rhn-migrate-classic-to-rhsmsubscription-manager および product-id yum プラグインを自動的に有効化

今回の更新で、rhn-migrate-classic-to-rhsm ユーティリティーが yum プラグイン (subscription-manager および product-id) を自動的に有効にするようになりました。今回の更新で、subscription-manager ユーティリティーが yum プラグイン (subscription-manager および product-id) を自動的に有効にするようになりました。この変更は、rhn-client-tools ユーティリティーを使用してシステムを Red Hat Network Classic に登録していた Red Hat Enterprise Linux ユーザーや、今でも Satellite 5 エンタイトルメントサーバーと共にこのユーティリティーを使用している Red Hat Enterprise Linux ユーザーが、一時的に yum プラグインを無効にしている場合に役に立ちます。その結果、rhn-migrate-classic-to-rhsm により、エンタイトルメントに新しい subscription-manager ツールを簡単に使い始めることができます。rhn-migrate-classic-to-rhsm を実行すると、警告メッセージが表示される点に注意してください。このデフォルト挙動が望ましくない場合に、それを変更する方法が記載されています。(BZ#1466453)

subscription-managersubscription-manager および product-id yum プラグインを自動的に有効化

今回の更新で、subscription-manager ユーティリティーが yum プラグイン (subscription-manager および product-id) を自動的に有効にするようになりました。この変更は、rhn-client-tools ユーティリティーを使用してシステムを Red Hat Network Classic に登録していた Red Hat Enterprise Linux ユーザーや、今でも Satellite 5 エンタイトルメントサーバーと共にこのユーティリティーを使用している Red Hat Enterprise Linux ユーザーが、一時的に yum プラグインを無効にしている場合に役に立ちます。その結果、エンタイトルメントに新しい subscription-manager ツールを簡単に使い始めることができます。subscription-manager を実行すると、警告メッセージが表示される点に注意してください。このデフォルト挙動が望ましくない場合に、それを変更する方法が記載されています。(BZ#1319927)

subscription-manager-cockpitcockpit-system のサブスクリプション機能を代替

今回の更新で、新たな subscription-manager-cockpit RPM が導入されました。新たな subscription-manager-cockpit RPM は新たな dbus ベースの実装を提供すると共に、cockpit-system で提供される同じサブスクリプション機能に対する修正を行っています。両方の RPM がインストールされている場合は、subscription-manager-cockpit からの実装が使用されます。(BZ#1499977)

virt-who がホストとゲストのマッピングの送付先を記録

virt-who ユーティリティーが、rhsm.log ファイルを使用してホストとゲストのマッピングを送付したオーナーまたはアカウントを記録するようになりました。これは、virt-who の適切な設定に役立ちます。(BZ#1408556)

virt-who が設定エラーに関する情報を提供

virt-who ユーティリティーが、一般的な virt-who 設定エラーの有無を確認し、それらのエラーの原因となった設定項目を特定するログメッセージを出力するようになりました。その結果、virt-who 設定エラーを容易に修正することができます。(BZ#1436617)

第18章 仮想化

IBM z Systems での KVM 仮想化

KVM 仮想化が IBM z Systems でサポートされるようになりました。ただし、この機能は、kernel-alt パッケージで提供されるカーネルバージョン 4.14 に基づく、新たに導入されたユーザー空間でのみ利用することができます。
また、ハードウェアが異なるため、KVM 仮想化の特定の特長および機能が、AMD64 システムおよび Intel 64 システムでサポートされるものと異なります。
IBM z Systems で KVM 仮想化をインストールして使用する方法は、『仮想化の導入および管理ガイド』を参照してください。(BZ#1400070、BZ#1379517、BZ#1479525、BZ#1479526、BZ#1471761)

IBM POWER9 で KVM 仮想化をサポート

今回の更新で、KVM 仮想化が IBM POWER9 システムでサポートされ、KVM 仮想化を IBM POWER9 マシンで使用できるようになりました。ただし、この機能は、kernel-alt パッケージで提供されるカーネルバージョン 4.14 に基づく、新たに導入されたユーザー空間でのみ利用することができます。
また、ハードウェアが異なるため、IBM POWER9 における KVM 仮想化の特定の特長および機能が、AMD64 システムおよび Intel 64 システムでサポートされるものと異なります。
POWER9 で KVM 仮想化をインストールして使用する方法は、『仮想化の導入および管理ガイド』を参照してください。(BZ#1465503、BZ#1478482、BZ#1478478)

IBM POWER8 で KVM 仮想化をサポート

今回の更新で、KVM 仮想化が IBM POWER8 システムでサポートされ、KVM 仮想化を IBM POWER8 マシンで使用できるようになりました。
ハードウェアが異なるため、IBM POWER8 における KVM 仮想化の特定の特長および機能が、AMD64 システムおよび Intel 64 システムでサポートされるものと異なります。
POWER8 で KVM 仮想化をインストールして使用する方法は、『仮想化の導入および管理ガイド』を参照してください。(BZ#1531672)

複数のゲストによる NVIDIA GPU デバイスの同時使用が可能

NVIDIA vGPU 機能が Red Hat Enterprise Linux 7 でサポートされるようになりました。これにより、vGPU 準拠の NVIDIA GPU を、媒介デバイス と呼ばれる複数の仮想デバイスに分割できるようになります。媒介デバイスをゲスト仮想マシンに割り当てると、このゲストは 1 つの物理 GPU のパフォーマンスを共有できるようになります。
この機能を設定するには、libvirt サービスが vGPU として使用できる媒介デバイスを手動で作成します。詳細は『仮想化の導入および管理ガイド』を参照してください。(BZ#1292451)

KVM ゲストの KASLR

Red Hat Enteprise Linux 7.5 では、KVM 仮想マシン用に KASLR (Kernel Address Space Randomization) 機能が導入されました。KASLR によりカーネルイメージの圧縮を解除する物理アドレスおよび仮想アドレスをランダムにすることができるため、カーネルオブジェクトの場所に基づいてゲストのセキュリティーが悪用されるのを防ぎます。
KASLR はデフォルトでアクティブになりますが、ゲストのカーネルコマンドラインに nokaslr 文字列を追加すると、特定のゲストで非アクティブ化することができます。
KASLR が有効なゲストのカーネルクラッシュダンプは、crash ユーティリティーを使用して解析することができません。この問題を解消するには、ゲストの XML 設定ファイルの <features> セクションに、<vmcoreinfo/> 要素を追加します。ただし、<vmcoreinfo/> が設定された KVM ゲストは、この要素をサポートしないホストシステム (たとえば Red Hat Enterprise Linux 7.4 以前を使用するホスト) に移行することができません。(BZ#1411490、BZ#1395248)

OVA ファイルの並列解凍のサポート

このリリースでは、解凍ユーティリティー pigz および pxzvirt-v2v ユーティリティーによりサポートされます。
これらのユーティリティーにより、マルチプロセッサーマシンで gzip および xz ユーティリティーを使用して圧縮した OVA ファイルが迅速に抽出されます。また、pigz および pxz のコマンドラインインターフェースは、gzip および xz のコマンドラインインターフェースと完全に互換性があります。
pigz および pxz がインストールされている場合は、デフォルトで使用されます。pigz および pxz がインストールされていない場合は、抽出動作に変更はありません。(BZ#1448739)

Cannonlake ゲストにおいて SMAP をサポート可能に

今回の更新で、Cannonlake というコードネームの第 7 世代 Intel プロセッサーを使用するゲストで SMAP (Superior Mode Access Prevention) 機能がサポートされるようになりました。これにより、悪意のあるプログラムにより、カーネルがユーザー空間のプログラムからデータを使用するのが防止されるため、ゲストのセキュリティーが向上します。
ホストの CPU がゲストに SMAP を提供しているのを確認するには、virsh capabilities コマンドを実行して、<feature name='smap'/> 文字列を確認します。(BZ#1465223)

libvirt が 3.9.0 にリベース

libvirt パッケージがバージョン 3.9.0 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • スパースファイルが、別のホストとの間で移動した後に保存されるようになりました。
  • リモートプロシージャーコール (RPC) の応答制限が上がりました。
  • 仮想化 IBM POWER9 CPU がサポートされるようになりました。
  • ゲスト仮想マシンを実行するデバイスの割り当て (デバイスのホットプラグとしても知られている) でサポートされるデバイスの種類 (入力デバイスなど) が増えました。
  • libvirt ライブラリーが、セキュリティー問題 CVE-2017-1000256 および CVE-2017-5715 に対して保護されるようになりました。
  • VFIO を媒介するデバイスの機能の信頼性が上がりました。(BZ#1472263)

virt-manager が 1.4.3 にリベース

virt-manager パッケージがバージョン 1.4.3 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • virt-manager インターフェースが、AMD64 アーキテクチャーおよび Intel 64 アーキテクチャーを使用しないゲスト仮想マシンを作成するときに、正しい CPU モデルを表示するようになりました。
  • デフォルトのデバイス選択が、IBM POWER、IBM z Systems、または 64 ビット ARM のアーキテクチャーを使用するゲストに対して最適化されました。
  • ホストシステムに設置されたネットワークカードが SR-IOV (single root I/O virtualization) と互換性がある場合は、選択した SR-IOV 対応カードで利用可能な仮想機能のプールを一覧表示する仮想ネットワークを作成できるようになりました。
  • 新たに作成したゲストに選択できる OS の種類とバージョンが増えました。(BZ#1472271)

virt-what がバージョン 1.18 にリベース

virt-what パッケージがアップストリームバージョン 1.18 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。たとえば、virt-what ユーティリティーは、以下の種類のゲスト仮想マシンを検出できるようになりました。
  • 64 ビットの ARM ホストで実行し、API (Advanced Configuration and Power Interface) を使用して起動したゲスト
  • oVirt または Red Hat Virtualization Hypervisor で実行しているゲスト
  • LPAR (logical partitioning) を使用する IBM POWER7 ホストで実行しているゲスト
  • FreeBSD bhyve ハイパーバイザーで実行しているゲスト
  • KVM ハイパーバイザーを使用する IBM z Systems ホストで実行しているゲスト
  • QEMU TCG (Tiny Code Generator) を使用してエミュレートしたゲスト
  • OpenBSD VMM (virtual machine monitor) サービスで実行しているゲスト
  • AWS (Amazon Web Services) プラットフォームで実行しているゲスト
  • SPARC プラットフォーム用の Oracle VM Server で実行しているゲスト
また、以下のバグが修正されました。
  • virt-what ユーティリティーが、SMBIOS (System Managemement BIOS) を使用しないプラットフォームで失敗しなくなりました。
  • $PATH 変数が設定されていなくても、virt-what が適切に動作するようになりました。(BZ#1476878)

tboot がバージョン 1.96 にリベース

tboot パッケージがアップストリームバージョン 1.96 にアップグレードされ、バグ修正および機能拡張がいくつか追加されました。主な変更点は以下のとおりです。
  • RSA 鍵操作および ECDSA 署名検証で、OpenSSL ライブラリーのバージョン 1.1.0 以降がサポートされるようになりました。
  • TCG (Trusted Computing Group) の TPM (Trusted Platform Module) のイベントログに対するサポートが追加されました。
  • x2APIC シリーズの APIC (Advanced Programmable Interrupt Controller) がサポートされるようになりました。
  • カーネルイメージが意図せず上書きされないように、新たなチェックが追加されました。
  • モジュールを移動しているときに、tboot ユーティリティーでモジュールを上書きできなくなりました。
  • Amazon S3 (Amazon Simple Storage Service) のシークレットのシーリングまたはシーリング解除に失敗していたバグが修正されました。
  • 複数の Null ポインターが逆参照しているバグが修正されました。(BZ#1457529)

virt-v2v でスナップショットがある VMware ゲストを変換可能

virt-v2v ユーティリティーが強化され、スナップショットがある VMware ゲスト仮想マシンを変換できるようになりました。その変換後、そのようなゲストのステータスは最上位スナップショットに設定され、その他のスナップショットは削除されます。(BZ#1172425)

virt-rescue の機能拡張

virt-rescue ユーティリティーのこのリリースには、以下の機能拡張が含まれています。
  • Ctrl キーと文字キーを同時に押すシーケンスは、virt-rescue そのものではなく virt-rescue で実行されるコマンドに対して機能するようになりました。
  • -i オプションにより、ゲストの検査後にすべてのディスクをマウントすることができます。(BZ#1438710)

virt-v2v が LUKS で暗号化された Linux ゲストを変換可能

今回の更新で、/boot パーティション以外のすべてのパーティションが暗号化された場合に、virt-v2v ユーティリティーが、ディスク全体を LUKS で暗号化してインストールした Linux ゲストを変換できるようになりました。
注記:
  • virt-v2v ユーティリティーは、その他の暗号化スキームを使用しているパーティションでは、Linux ゲストの変換をサポートしません。
  • virt-p2v ユーティリティーは、ディスク全体を LUKS で暗号化してインストールした Linux マシンの変換をサポートしません。(BZ#1451665)

一部の CPU モデルで libvirt に CAT サポートを追加

一部の CPU モデルで、libvirt サービスが CAT (Cache Allocation Technology) をサポートするようになりました。これにより、ゲスト仮想マシンが、ホストの CPU キャッシュの一部を vCPU スレッドに割り当てられるようになりました。
この機能の設定方法は、『仮想化のチューニングと最適化ガイド』を参照してください。(BZ#1289368)

KVM ゲストの時刻同期を改善するために PTP デバイスを追加

KVM ゲスト仮想マシン用に PTP デバイスが追加されました。これにより、NTP 調整によるホストとゲスト間のクロックの差異が抑えられ kvmclocks サービスの精度が向上します。その結果、PTP デバイスにより KVM ホストとそのゲスト間の時刻同期の信頼性が向上します。
PTP デバイスのセットアップについては、『仮想化の導入および管理ガイド』を参照してください。(BZ#1379822)

第19章 Red Hat Enterprise Linux 7.5 for ARM

Red Hat Enterprise Linux 7.5 for ARM では、Red Hat Enterprise Linux 7.5 のユーザー空間のカーネルが更新されました。このカーネルは、バージョン 4.14 をベースにしており、kernel-alt パッケージで提供されます。このオファリングは、他の更新パッケージで配信されていますが、パッケージの多くは標準の Red Hat Enterprise Linux 7 Server RPM となっています。インストール ISO イメージは、「カスタマーポータルのダウンロードページ」で入手できます。
Red Hat Enterprise Linux 7.5 のユーザー空間に関する情報は、Red Hat Enterprise Linux 7 のドキュメント を参照してください。以前のバージョンに関する情報は、「Red Hat Enterprise Linux 7.4 for ARM - Release Notes」を参照してください。
本リリースでは、以下のパッケージは開発用プレビューとして提供されます。
  • libvirt (Optional チャンネル)
  • qemu-kvm-ma (Optional チャンネル)

注記

64 ビット ARM アーキテクチャー上での KVM 仮想化は、開発用プレビューの状態です。したがって、Red Hat によるサポートはありません。詳細については、『Virtualization Deployment and Administration Guide』を参照してください。お客様のユースケースについて Red Hat にご相談いただければ、Red Hat Enterprise Linux の今後のリリースで考慮される場合があります。

19.1. 新機能および更新

コアカーネル

  • 今回の更新で、64 ビット ARM システムに対してキューの書き込みをロックする qrwlock が導入されました。このメカニズムの実装により、グローバルタスクロックで競合している複数の CPU が公平に扱われ、パフォーマンスが向上しロック不足を回避することができます。この変更により、既知の問題 (以前のリリースで生じていた高負荷時のソフトロックアップ) も解消しています。
    以前のバージョンの Red Hat Enterprise Linux 7 for ARM 用にビルドされたカーネルモジュールは (kernel-alt パッケージに対して)、更新されたカーネルに対して再度ビルドする必要がある点に注意してください。(BZ#1507568)

セキュリティー

64 ビット ARM システム上で、USBGuard を完全にサポート

USBGuard ソフトウェアフレームワークにより、デバイス属性をもとにした基本的なホワイトリストおよびブラックリスト登録機能を実装して、割り込み USB デバイスからシステムを保護します。以前はテクノロジープレビューとして利用可能だった 64 ビット ARM システム上での USBGuard の使用が、完全にサポートされるようになりました。

19.2. カーネル設定の変更

ハードウェアのサポート

  • Bluetooth (無効)
  • ワイヤレス (無効)
  • CPU_IDLE (有効)
  • GPIO_DWAPB (有効)
  • I2C (有効): Designware、QUP、および XLP9XX
    • センサーのサポート:
      • IIO ドライバー (無効)
      • 加速度センサー (無効)
      • 光 + 向き + 割り込みトリガー (無効)
  • インプットドライバー
    • マウス、synaptics、rmi4
  • LED
    • Intel SS4200 (無効)
  • 標準 IRQ CHIP (有効)
  • Hibernate (有効)
  • クロックソース DATA (有効)
    • OSS_CORE (無効)
    • すべての SND ドライバー (無効)

ネットワークドライバーのサポート

  • Thunder2 ドライバー (有効)
  • Amazon (有効)
  • Altera (無効)
  • ARC (無効)
  • Broadcom B44、BCMGENET、BNX2X_VLAN、CNIC (無効)
  • Hisilicon (有効)
  • cadence MACB (無効)
  • Chelsio T3 (無効)
  • Intel E1000 (無効)
  • Mellanox (有効)
  • myri10GE (無効)
  • Qlogic: qla2xxx、netxen_nic、Qed、Qede (有効)
  • Qualcomm: qcom_emac (有効)
  • Broadcom: bcm7xxx (無効)

Infiniband のサポート

  • CXBG4 (有効)
  • I40IW (有効)
  • MLX4 (有効)
  • MLX5 (有効)
  • IPOIB (有効)
  • IPOIB_CM (有効)
  • IPOIB_DEBUG (有効)
  • ISERT (有効)
  • SRP (有効)
  • SRPT (有効)

コアカーネルのサポート

  • スケジュールインバランス (有効)
  • 48 ビット VA のサポート (有効)
  • ティック CPU アカウンティング (無効)
  • コンテキストトラッキング (有効)
  • RCU NOCB (有効)
  • CGROUP-Hugetlb (有効)
  • CRIU (有効)
  • BPF_SYSCALL (無効)
  • PERF_USE_VMALLOC (無効)
  • HZ_100/HZ (有効)
  • NO_HZ_IDLE (無効)
  • NO_HZ_FULL (有効)
  • BPF_EVENTS (無効)
  • LZ4 圧縮 (無効)
  • BTREE (有効)
  • CPUMASK_OFFSTACK (無効)
  • DEBUG_INFO_DWARF4 (有効)
  • SCHEDSTATS (有効)
  • ストレート DEVMEM (無効)
  • Transparent Hugepage (HTP) (有効)
  • ZSMaLLOC_STAT、IDLE_PAGE_TRACKING(有効)
  • PAGE_EXTENSION および PAGE_POISONING (無効)

ネットワークスタックのサポート

  • SLIP (有効)
  • JME (無効)
  • IPVLAN (無効)
  • BPF_JIT (無効)
  • dccp (無効)
  • [ipv4] NET_FOU、Diag、CDG、NV (無効)
  • [ipv6] ILA (無効)、GRE (有効)
  • MAC80211 (無効)
  • netfilter_conntrack (有効)

グラフィックおよび GPU のサポート

  • DRM_I2C_SIL64 (無効)
  • TTY
    • serial_nonstandard、cyclades、synclinkmp、synclink_gt、N_HDLC、serial_8250_MID (有効)
    • fbdev (有効)
  • USB: PHY (無効)

ストレージのサポート

  • ブロック scsi リクエスト (有効)
  • ブロック debugfs (有効)
  • ブロックマルチキュー PCI (有効)
  • ブロックマルチキュー VirtIO (有効)
  • ブロックマルチキュー IOSched_deadline (有効)
  • MD ロングライト (無効)
  • SCSI: ARCMSR、AM53C974、WD719x、BNX2X_FCOE、BNX2_ISCSI、ESAS2R (無効)
  • SCSI: HISI_SAS (有効)
  • SPI: QUP、SLP (有効)
  • SSB (無効)

ファイルシステム

  • FS_DAX (有効)
  • BTRFS (無効)
  • Ceph (有効)
  • DLM (無効)
  • FSCAHE (無効)
  • GFS2 (無効)
  • NFS 上のスワップ (無効)
  • NFS-FSCACHE (有効)

仮想化および KVM のサポート

  • KVM_IRQCHIP、KVM_IRQ_ROUTING、KVM_MSI (有効)
  • Virtio: noiommu (有効)

19.3. Red Hat Satellite でのサポート

Red Hat Enterprise Linux 7.5 for ARM のシステム管理は、Red Hat Satellite 6 ではサポートされますが Red Hat Satellite 5 ではサポートされません。

19.4. 既知の問題

SELinux MLS ポリシーがカーネルバージョン 4.14 ではサポートされない

SELinux Multi-Level Security (MLS) ポリシーは、不明なクラスおよびパーミッションを拒否し、kernel-alt パッケージのカーネルバージョン 4.14 は、どのポリシーでも定義されていないマッピングのパーミッションを認識します。MLS ポリシーが有効で SELinux が Enforcing モードのシステムでは、すべてのコマンドが セグメンテーション違反 エラーで中断されます。MLS ポリシーが有効で SELinux が Permissive モードのシステムでは、SELinux の拒否警告が多数表示されます。カーネルバージョン 4.14 と SELinux MLS ポリシーの組み合わせはサポートされていません。

Cavium ThunderX では、IPMI_SI=no の場合にしか ipmitool が BMC と通信しない

systemctl コマンドを使用して ipmi.service を開始する場合、デフォルトの設定では ipmi_si ドライバーを読み込もうとします。IPMI SI デバイスを持たない Cavium ThunderX では、ipmi.service によりipmi_devintf ドライバーが意図せず削除されます。その結果、カーネルの ipmitool ユーティリティーは Baseboard Management Controller (BMC) と通信することができません。この問題を回避するには、/etc/sysconfig/ipmi ファイルを編集して IPMI_SI 変数を以下のように設定します。
IPMI_SI=no
続いて、必要であればオペレーティングシステムを再起動します。この結果、正しいドライバーが読み込まれ、ipmitoo/dev/ipmi0/ ディレクトリーを通じて BMC と通信することができます。(BZ#1448181)

SATA ALPM デバイスの低電力モードへの移行が正しく機能しない

64 ビット ARM システムでは、以下のコマンドを使用して Aggressive Link Power Management (ALPM) 電力管理プロトコルを使用する Serial Advanced Technology Attachment (SATA) デバイスの低電力モードを有効/無効にすると、SATA が正常に機能しません。
tuned-adm profile powersave
tuned-adm profile performance
その結果、SETA の異常によりすべてのディスク I/O が停止し、この状況から抜け出すためにはオペレーティングシステムを再起動しなければなりません。この問題を回避するには、以下のいずれかのオプションを使用します。
  • システムを powersave プロファイルに設定しない
  • ALPM に関するバグを修正するファームウェアのアップデートがないか、ハードウェアベンダーに確認する
(BZ#1430391)

ARM において tunednetwork-latency に設定すると、システムがハングする

64 ビット ARM システムにおいて tuned プロファイルを network-latency に設定すると、オペレーティングシステムが反応しなくなり、カーネルはシリアルコンソールにバックトレースを出力します。この問題を回避するには、tuned プロファイルを network-latency に設定しないでください。(BZ#1503121)

modprobe が不正なパラメーターのカーネルモジュールの読み込みに成功する

Red Hat Enterprise Linux 7 for ARM および Red Hat Enterprise Linux 7 for IBM Power LE (POWER9) では、modprobe コマンドを使用して不正なパラメーターのカーネルモジュールを読み込もうとすると、不正なパラメーターが無視され想定どおりにモジュールが読み込まれます。
この動作は、従来のアーキテクチャー (AMD64 および Intel 64、IBM z Systems、ならびに IBM Power Systems 等) 上の Red Hat Enterprise Linux とは異なる点に注意してください。これらのシステムでは modprobe はエラーで終了し、上記のような状況で不正なパラメーターのモジュールが読み込まれることはありません。
すべてのアーキテクチャーにおいて、エラーメッセージは dmesg の出力に記録されます。(BZ#1449439)

19.5. バグ修正

ld リンカーが、正しい動的実行可能ファイルを生成

従来、64 ビット ARM アーキテクチャーでは、ld リンカーは正しい動的実行可能ファイルを生成することができず、Go 言語コンパイラー go により呼び出された場合に中断していました。リンカーが更新され、コピーの再配置を正しく扱うことができるようになりました。その結果、上記の状況でリンカーが異常を起こすことはなくなりました。(BZ#1430743)

ld リンカーが、一定のデータに対して正しい動的再配置を生成

従来、64 ビット ARM アーキテクチャーでは、ライブラリーと実行可能ファイル間で共有される一定のデータに対して、ld リンカーは間違った動的再配置を生成していました。その結果、生成された実行可能ファイルがリソースを大量に消費し、共有データがアクセスされると突然中断していました。リンカーが更新され、正しい動的再配置を生成するようになり、上記の問題は発生しなくなりました。(BZ#1452170)

64 ビット ARM システムで qrwlock を有効化

今回の更新で、64 ビット ARM システムに対してキューの読み取り/書き込みをロックする qrwlock が導入されました。このメカニズムの実装により、グローバルタスクロックで競合している複数の CPU が公平に扱われ、パフォーマンスが向上しロック不足を回避することができます。この変更により、既知の問題 (以前のリリースで生じていた高負荷時のソフトロックアップ) も解消しています (Red Hat Bugzilla #1454844 を参照)。
以前のバージョンの Red Hat Enterprise Linux 7 for ARM 用にビルドされたカーネルモジュールは (kernel-alt パッケージに対して)、更新されたカーネルに対して再度ビルドする必要がある点に注意してください。

CMA をデフォルトで無効化

メモリーが 1 G 以下に制限された 64 ビット ARM の Red Hat Enterprise Linux システムでは、Contiguous Memory Allocator (CMA) が大量のメモリーを消費し、残りのカーネルに十分な量のメモリーが配分されませんでした。その結果、カーネルまたは特定のユーザー空間アプリケーション (Linux での共有メモリー (SHM)(/dev/shm) 等) で out-of-memory (OOM) の状況が発生することがありました。
すべてのアーキテクチャーについて、Red Hat Enterprise Linux カーネルでの CMA のサポートがデフォルトでは無効になり、CMA が原因で OOM が発生することはなくなりました。(BZ#1519317)

第20章 Red Hat Enterprise Linux 7.5 for IBM Power LE (POWER9)

Red Hat Enterprise Linux 7.5 for IBM Power LE (POWER9) では、Red Hat Enterprise Linux 7.5 のユーザー空間のカーネルが更新されました。このカーネルは、バージョン 4.14 をベースにしており、kernel-alt パッケージで提供されます。このオファリングは、他の更新パッケージで配信されていますが、その多くは標準の Red Hat Enterprise Linux 7 Server RPM となっています。インストール ISO イメージは、「カスタマーポータルのダウンロードページ」で入手できます。
Red Hat Enterprise Linux 7.5 のインストールおよびユーザー空間に関する情報は、『インストールガイド』およびその他の Red Hat Enterprise Linux 7 ドキュメント を参照してください。以前のバージョンに関する情報は、「Red Hat Enterprise Linux 7.4 for IBM Power LE (POWER9) - Release Notes」を参照してください。

注記

USB ドライブを使用して IBM Power LE にベアメタルをインストールするには、起動メニューで、inst.stage2= のブートオプションを手動で指定する必要があります。詳細は、『インストールガイド』の「起動オプション」の章を参照してください。

20.1. 新機能および更新

仮想化

  • KVM 仮想化が IBM POWER9 システムでサポートされるようになりました。ただし、ハードウェアが異なるため、特定の特長および機能が AMD64 および Intel 64 システムでサポートされるものと異なります。詳細については、『仮想化の導入および管理ガイド』を参照してください。

プラットフォームツール

  • OProfile には、IBM POWER9 プロセッサーのサポートが追加されました。PM_RUN_INST_CMPL OProfile パフォーマンス監視イベントは設定できないので、OProfile のこのバージョンでは使用しないでください。(BZ#1463290)
  • 今回の更新で、papi に対する IBM POWER9 のパフォーマンス監視ハードウェアイベントのサポートが追加されました。命令サイクル (PAPI_TOT_INS) またはプロセッサーサイクル (PAPI_TOT_CYC) など、イベントに対する基本的な PAPI プリセットが含まれます。(BZ#1463291)
  • libpfm のバージョンには、IBM POWER9 パフォーマンス監視ハードウェアイベントのサポートが追加されました。(BZ#1463292)
  • SystemTap には、カーネルに必要な後方互換性の修正が追加されました。
  • 以前のリリースでは、64 ビットの IBM POWER システムにおいて、GNU C ライブラリー (glibc) の memcpy() 関数が、アラインされていないベクターロードとストア命令を使用していました。その結果、memcpy() を使用して POWER9 システムのデバイスメモリーにアクセスすると、パフォーマンスが低下しました。POWER9 のメモリーに関わらずアプリケーションのパフォーマンスを向上させるために、アラインされたメモリーアクセス命令を使用するように memcpy() 関数が強化されました。前の世代の POWER アーキテクチャーでも、パフォーマンスに影響を与えません。(BZ#1498925)

セキュリティー

USBGuard をテクノロジープレビューとして IBM Power LE (POWER9) に提供

USBGuard ソフトウェアフレームワークにより、デバイス属性をもとにした基本的なホワイトリストおよびブラックリスト登録機能を実装して、割り込み USB デバイスからシステムを保護します。USBGuard は IBM Power LE (POWER9) でテクノロジープレビューとして利用できるようになりました。
USB は IBM z Systems ではサポートされておらず、USBGuard フレームワークはこのシステムでは提供されないことに注意してください。

20.2. カーネル設定の変更

ハードウェアのサポート

  • DEVFREQ_GOV_SIMPLE_ONDEMAND (有効)
  • GPIO IRQCHIP (有効)
  • HID plantronic (無効)
  • I2C センサー
    • JC42 (無効)
    • NTC thermostat (有効)
    • I2C MUX (有効)

ネットワークドライバーのサポート

  • Broadcom B44 ドライバー (無効)
  • Brocade BNA ドライバー (無効)
  • Calxeda ドライバー (無効)
  • IBM Ethernet ドライバー [ehea] (無効)
  • Intel E1000 ドライバー (無効)
  • Mellanox ドライバー [mlxsw] (無効)
  • Netronoma ドライバー [NFP] (無効)
  • Qlogic [qla3xxx] ドライバー (無効)
  • SFC falcon ドライバー (無効)
  • ワイヤレス (無効)
    • WLAN (無効)
    • Ath ドライバー (無効)
    • Ath10k ドライバー (無効)
    • Ath 9k ドライバー (無効)
    • Ath wil6210 (無効)
    • Broadcom WLAN (無効)
    • Broadcom brcm80211 (無効)
    • Intel WLAN (無効)
    • Intel iwlegacy (無効)
    • Intel iwlwifi (無効)
    • Marvell ドライバー (無効)
    • Marvell mwiflex (無効)
    • Ralink WLAN ドライバー (無効)
    • Ralink rt2x00 ドライバー (無効)
    • Realtek ドライバー (無効)
    • Realtek rt1818x ドライバー (無効)
    • Realtek rtiwifi ドライバー (無効)
  • NVME ドライバー + ターゲットドライバー (有効)
  • ptp 1588 ドライバー (無効)
  • s390 HMC ドライバー (無効)
  • RTL8192e ドライバー (無効)
  • RTL8712u ドライバー (無効)
  • Serial UARTLITE ドライバー (有効)
  • USB LED trigger USBPORT (無効)
  • USBIP ドライバー (無効)
  • Power Mgt Deubg + Adv Debug + Sleep Debug (有効)

コアカーネルのサポート

  • Sched Imbalance patchset (有効)
  • OPTprobes、kprobe on ftrace (有効)
  • 64bit Aligned Access (無効)
  • Arch Soft Dirty (有効)
  • Arch MMAP Rnd Compat (無効)
  • SWIOTLB (無効)
  • 暗号化: akcipher、rsa (有効)
  • 圧縮:
    • カーネルの gzip サポート (有効)
    • カーネルの XZ サポート (有効)
  • ロック: Mutex spin on owner (デバッグカーネルで有効)
  • 関数トレーサー (有効)
  • Dynamic Ftrace (有効)
  • Ftrace mcount レコード (有効)
  • 共通のカーネルライブラリー
    • Rational (有効)
    • Btree (有効)
    • libfdt (有効)
    • parman (無効)
  • MM
    • NO_BOOTMEM (有効)
    • MOVABLE NODE (有効)
    • HMM (Hetrogenous Memory Management) (有効)
      • HMM ミラーリング (有効)
      • Coherent Device Memory (CDM) (有効)
      • ゾーンデバイス (有効)
  • IMA (有効)
  • YAMA (無効)

ネットワークスタックのサポート

  • Compact Netlink Msg (無効)
  • BPF_JIT (有効)
  • DCCP (無効)
  • CCIDS (無効)
  • IPv6 NF target NPT (無効)
  • Mac80211 (無効)

デスクトップ、グラフィックおよび GPU サポート

  • DRM_DP_AUX_CHARDEV (有効)
  • STK1160 ビデオ USB ドライバー (無効)
  • V412 BUF2_DMA_SG (有効)

ストレージのサポート

  • DAX (無効)
  • NVDIMM + PFN + DAX (有効)
  • SCSI
    • 3Ware 9xxx ドライバー (無効)
    • 3Ware sAS ドライバー (無効)
    • ARCMSR ドライバー (無効)
    • AIC79xx ドライバー (無効)
    • Broadcom Bnx2x ドライバー (有効)
    • Broadcom Bnx2 ドライバー (無効)
    • QED ドライバー (無効)
    • QEDI ドライバー (無効)

ファイルシステム

  • BTRFS (無効)
  • DLM (無効)
  • GFS2 DLM ロックサポート (無効)

仮想化および KVM のサポート

  • vhost [vsock] (無効)
  • VMWare vsock (無効)

20.3. Red Hat Satellite でのサポート

Red Hat Enterprise Linux 7.5 for IBM POWER LE (POWER9) のシステム管理は、Red Hat Satellite 6 ではサポートされますが Red Hat Satellite 5 ではサポートされません。

20.4. 既知の問題

SELinux MLS ポリシーがカーネルバージョン 4.14 ではサポートされない

SELinux Multi-Level Security (MLS) ポリシーは、不明なクラスおよびパーミッションを拒否し、kernel-alt パッケージのカーネルバージョン 4.14 は、どのポリシーでも定義されていないマッピングのパーミッションを認識します。MLS ポリシーが有効で SELinux が Enforcing モードのシステムでは、すべてのコマンドが セグメンテーション違反 エラーで中断されます。MLS ポリシーが有効で SELinux が Permissive モードのシステムでは、SELinux の拒否警告が多数表示されます。カーネルバージョン 4.14 と SELinux MLS ポリシーの組み合わせはサポートされていません。

kdumpmpt3sas がブラックリストに含まれる場合にのみ vmcore を保存する

kdump カーネルが mpt3sas ドライバーを読み込むと、特定の POWER9 システムで kdump カーネルはクラッシュし、vmcore を保存できません。この問題を回避するには、/etc/sysconfig/kdump ファイルの KDUMP_COMMANDLINE_APPEND 変数に module_blacklist=mpt3sas の文字列を追加して、kdump カーネル環境から mpt3sas をブラックリストに追加します。
KDUMP_COMMANDLINE_APPEND="irqpoll maxcpus=1 ... module_blacklist=mpt3sas"
次に、root ユーザーとして systemctl restart コマンドを実行し、kdump サービスを再起動して、設定ファイルへの変更を取得します。
~]# systemctl restart kdump.service
上記を行うと、kdump は POWER9 システムで vmcore を保存できるようになります。(BZ#1496273)

OOM-killer が正しく機能しないことが原因で OOM の状況からの復帰に失敗する

大量のメモリーが使用されるシステムでは、out-of-memory (OOM) の状況から正しく復帰することができません。カーネルの OOM-killer は、メモリーを最も多く使用するプロセスを強制終了して、メモリーが再利用できるように開放します。ただし、OOM-killer はあまり長く待たずに 2 番目のプロセスを強制終了する場合があり、最終的に、システム上のプロセスをすべて強制終了し、以下のエラーをログに記録します。
Kernel panic - not syncing: Out of memory and no killable processes...
これが発生した場合には、オペレーティングシステムを再起動する必要があります。回避策はありません。(BZ#1405748)

HTM は IBM POWER システム上で実行中のゲストで無効設定される

Hardware Transactional Memory (HTM) 機能が原因で、現在 IBM POWER8 から IBM POWER9 ホストへのゲスト仮想マシンの移行ができず、デフォルトでは無効になっています。そのため、IBM POWER8 および IBM POWER9 ホストで実行中のゲスト仮想マシンは、手動で有効にするまで HTM を使用できません。
そのためには、これらのゲストのデフォルトの pseries-rhel7.5 マシンタイプを pseries-rhel7.4 に変更してください。この方法で設定したゲストは IBM POWER8 から IBM POWER9 ホストに移行できません。(BZ#1525599)

ヒュージページを使用するゲストは IBM POWER8 から IBM POWER9 への移行に失敗する

IBM POWER8 ホストでは 16 MB および 16 GB のヒュージページしか使用できませんが、これらのヒュージページサイズは IBM POWER9 ではサポートされていないので、ゲストに静的なヒュージページが設定されている場合には、IBM POWER8 ホストから IBM POWER9 ホストにゲストを移行すると、失敗します。
この問題を回避するには、移行前にゲストのヒュージページを無効にして、ゲストを再起動します。(BZ#1538959)

modprobe が不正なパラメーターのカーネルモジュールの読み込みに成功する

Red Hat Enterprise Linux 7 for ARM および Red Hat Enterprise Linux 7 for IBM Power LE (POWER9) では、modprobe コマンドを使用して不正なパラメーターのカーネルモジュールを読み込もうとすると、不正なパラメーターが無視され想定どおりにモジュールが読み込まれます。
この動作は、従来のアーキテクチャー (AMD64 および Intel 64、IBM z Systems、ならびに IBM Power Systems 等) 上の Red Hat Enterprise Linux とは異なる点に注意してください。これらのシステムでは modprobe はエラーで終了し、上記のような状況で不正なパラメーターのモジュールが読み込まれることはありません。
すべてのアーキテクチャーにおいて、エラーメッセージは dmesg の出力に記録されます。(BZ#1449439)

20.5. バグ修正

オンボードデバイスからメモリーを読み込もうとしたため発生した kdump のハングを修正

リトルエンディアン版の IBM Power Systems ハードウェアでは、カーネルが GPU などのオンボードデバイスからメモリーを読み込み、vmcore の一部として追加しようとしたため、kdump メカニズムが反応しなくなりました。今回の更新で、kdump 中にメモリーを読み込もうとする時にオンボードデバイスを省略するように kexec-tools が修正されました。kdump が正常に機能するようになり、vmcore はディスクに保存され、オペレーティングシステムは予想どおり再起動されます。(BZ#1478049)

第21章 Atomic Host とコンテナー

Red Hat Enterprise Linux Atomic Host

Red Hat Enterprise Linux Atomic Host は、Linux コンテナーの実行のために最適化された安全、軽量で、フットプリントを最小限に抑えたオペレーティングシステムです。最新の機能、既知のバグ、およびテクノロジープレビューについては、Atomic Host およびコンテナーに関する『Release Notes』を参照してください。

第22章 Red Hat Software Collections

Red Hat Software Collections とは、動的なプログラミング言語、データベースサーバー、関連パッケージなどを提供する Red Hat のコンテンツセットのことで、AMD64 および Intel 64 アーキテクチャー、64 ビット ARM アーキテクチャー、IBM z Systems、ならびに IBM POWER (リトルエンディアン) 上の Red Hat Enterprise Linux 7 の全サポートリリースにインストールして使用することができます。特定のコンポーネントは、AMD64 および Intel 64 アーキテクチャー上の Red Hat Enterprise Linux 6 の全サポートリリース用にも提供されています。
Red Hat Developer Toolset は Red Hat Enterprise Linux プラットフォームで作業する開発者向けに設計されており、最新版の GNU Compiler Collection、GNU Debugger、その他の各種開発用ツールやデバッグ用ツール、パフォーマンス監視用ツールなども提供しています。Red Hat Developer Toolset は、別の Software Collection として提供されています。
Red Hat Software Collections で配信される動的言語、データベースサーバーなどのツールは、Red Hat Enterprise Linux で提供されるデフォルトのシステムツールに代わるものでも、これらのデフォルトのツールよりも推奨されるツールでもありません。Red Hat Software Collections では、scl ユーティリティーをベースにした別のパッケージメカニズムを使用しており、複数のパッケージセットを並行して提供できます。Red Hat Software Collections を利用すると、Red Hat Enterprise Linux で別のバージョンをオプションで使用できます。scl ユーティリティーを使用すると、いつでも任意のパッケージバージョンを選択して実行することができます。

重要

Red Hat Software Collections のライフサイクルおよびサポート期間は、Red Hat Enterprise Linux に比べて短くなります。詳細は「Red Hat Software Collections の製品ライフサイクル」を参照してください。
Red Hat Software Collections のセットに収納されているコンポーネント、システム要件、既知の問題、使い方、各 Software Collection の詳細などについては Red Hat Software Collections のドキュメント を参照してください。
この Software Collection に収納されているコンポーネント、インストール、使い方、既知の問題など詳細については Red Hat Developer Toolset のドキュメント を参照してください。

パート II. 重要なバグ修正

本パートでは、Red Hat Enterprise Linux 7.5 で修正されたバグのうち、ユーザーに大きな影響を与えるものについて説明します。

第23章 備考

バグ修正の説明は、現在本書の 英語版 にのみ記載されています。

パート III. テクノロジープレビュー

本パートでは、Red Hat Enterprise Linux 7.5 で利用可能なすべてのテクノロジープレビュー機能を一覧にして示します。
Red Hat のテクノロジープレビュー機能のサポート範囲については、https://access.redhat.com/ja/support/offerings/techpreview/ を参照してください。

第24章 全般的な更新

systemd-importd VM およびコンテナーのインポートおよびエクスポートサービス

最新バージョンの systemd には、以前のビルドでは有効ではなく、machinectl pull-* コマンドの失敗を引き起こしていた systemd-importd デーモンが含まれるようになりました。systemd-importd デーモンはテクノロジープレビューとして提供され、このデーモンが安定している訳ではないことに注意してください。(BZ#1284974)

第25章 認証および相互運用性

AD および LDAP の sudo プロバイダーの使用

AD (Active Directory) プロバイダーは AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 から、AD sudo プロバイダーと LDAP プロバイダーの併用がテクノロジープレビューとして利用可能になっています。AD sudo プロバイダーを有効にするには、sssd.conf ファイルの [domain] セクションに sudo_provider=ad 設定を追加します。(BZ#1068725)

DNSSEC が IdM でテクノロジープレビューとして利用可能

統合 DNS を備える Identity Management (IdM) サーバーで DNSSEC (DNS Security Extension) がサポートされています。DNSSEC とは DNS プロトコルの安全性を強化する DNS に対する機能拡張セットです。IdM サーバーでホストされる DNS ゾーンには DNSSEC を使用した自動署名が可能です。暗号キーは自動的に生成、回転されます。
DNSSEC で DNS ゾーンの安全性を強化する決定をした場合は、以下のドキュメントを参照することが推奨されます。
統合 DNS を備えた IdM サーバーは、DNSSEC を使って他の DNS サーバーから取得する DNS の応答を認証します。DNS ゾーンが、『Red Hat Enterprise Linux ネットワークガイド』の「推奨される命名プラクティス」に記載の推奨命名規則に準じた設定ではない場合は、その可用性に影響する場合があるため注意してください。(BZ#1115294)

Identity Management JSON-RPC API がテクノロジープレビューとして利用可能

API が Identity Management (IdM) で利用可能になりました。API を表示するために、IdM は API ブラウザーをテクノロジープレビューとして提供しています。
Red Hat Enterprise Linux 7.3 では、IdM API は複数バージョンの API コマンドを有効とするように機能拡張されました。これまでは、機能拡張によるコマンド動作が互換性なく変わる場合がありました。今回の更新で、IdM API が変更されても、ユーザーは既存のツールやスクリプトを引き続き使用できるようになりました。これにより、以下が可能になっています。
  • 管理者は、管理しているクライアント以外のサーバー上で IdM の以前のバージョンもしくは最近のバージョンを使用することができます。
  • IdM のバージョンが変更されても、開発者は特定バージョンの IdM コールを使用することができます。
すべてのケースでサーバーとの通信が可能です。通信の一方の側が、例えばある機能向けの新しいオプションが導入された新バージョンを使用していたとしても、特に問題ありません。
API の使用に関する詳細情報は、「Using the Identity Management API to Communicate with the IdM Server (TECHNOLOGY PREVIEW)」を参照してください。(BZ#1298286)

Custodia シークレットサービスプロバイダーが利用可能

シークレットサービスプロバイダーの Custodia がテクノロジープレビューとして利用可能になっています。Custodia はキーやパスワードを保存し、また、それらのプロキシーとして機能します。
詳細については、アップストリームのドキュメント (http://custodia.readthedocs.io) を参照してください。(BZ#1403214)

コンテナー化された Identity Management サーバーがテクノロジープレビューとして利用可能

rhel7/ipa-server コンテナーイメージがテクノロジープレビューとして利用可能になっています。rhel7/sssd コンテナーイメージは完全サポートとなっていることに留意してください。
詳細は『Using Containerized Identity Management Services』を参照してください。(BZ#1405325、BZ#1405326)

第26章 クラスタリング

pcs ツールが Pacemaker でバンドルリソースを管理

Red Hat Enterprise Linux 7.4 から、pcs ツールがテクノロジープレビューとしてバンドルリソースをサポートするようになりました。pcs resource bundle createpcs resource bundle update のコマンドを使ってバンドルの作成と修正ができます。既存のバンドルにリソースを追加するには、pcs resource create コマンドを使用します。bundle リソースに設定可能なパラメーターについての情報は、pcs resource bundle --help コマンドを実行してください。(BZ#1433016)

新しい fence-agents-heuristics-ping フェンスエージェント

Pacemaker は、テクノロジープレビューとして fence_heuristics_ping エージェントをサポートするようになりました。このエージェントは、実際のフェンシングは行わずに、フェンシングレベルの動作を新たな方法で活用する、テスト用のフェンスエージェントのクラスを開くことを目的とします。
ヒューリスティックエージェントが実際のフェンシングを行うフェンスエージェントと同じフェンシングレベルに設定されているが、そのフェンスエージェントよりも順番が先に設定されている場合には、フェンシングを行うエージェントに対して off アクションを発行する前に、ヒューリスティックエージェントに対して発行します。ヒューリスティックエージェントが off アクションでマイナスの結果を出す場合には、フェンシングレベルは明らかに成功しないので、Pacemaker フェンシングがフェンシングを行うエージェントに対して off アクションを発行する手順は省略されます。ヒューリスティックエージェントはこの動作を使用して、実際にフェンシングを行うエージェントが特定の状況下でノードをフェンシングするのを防ぐことができます。
特にノードが 2 つのクラスターで、事前にサービスを正しく引き継ぎできないと分かっており、ピアのフェンシングをしても意味がない場合などに、このエージェントを使用できます。たとえば、ネットワークアップリンクに到達できず、サービスがクライアントに到達されない場合には (ルーターへの ping 送信が検出される可能性がある状況)、ノードがサービスを引き継いでも意味がありません。(BZ#1476401)

ヒューリスティックをテクノロジープレビューとして corosync-qdevice でサポート

ヒューリスティックとは、起動時、クラスターメンバーシップの変更時、corosync-qnetd への接続成功時、オプションで定期的に、ローカルで実行されるコマンドセットのことです。すべてのコマンドが正常に時間どおりに完了した場合に (返されるエラーコードは 0 です) ヒューリスティックは合格しますが、時間どおりに完了しない場合には失敗します。ヒューリスティックの結果は corosync-qnetd に送信され、定数に達したパーティションがどれかを判断する計算で使用されます。(BZ#1413573、BZ#1389209)

第27章 デスクトップ

Wayland がテクノロジープレビューとして利用可能

テクノロジープレビューとして、Wayland ディスプレイサーバープロトコルを Red Hat Enterprise Linux で利用できるようになりました。今回の更新で、GNOME で Wayland のサポートを有効にするために必要な依存関係のパッケージが追加され、これにより分数スケールがサポートされます。Wayland では、その入力ドライバーとして libinput ライブラリーが使用されます。
以下の機能は、現在利用できない、または正常に機能しない状態です。
  • 複数 GPU の使用はサポートされません。
  • NVIDIA バイナリードライバーは Wayland では機能しません。
  • 処理、解像度、回転、およびレイアウトに対するアプローチが異なるので、xrandr ユーティリティーは Wayland では機能しません。
  • 画面の記録、リモートデスクトップ、およびアクセシビリティーは、Wayland では正常に機能しない場合があります。
  • クリップボードマネージャーは利用することができません。
  • Wayland 環境で GNOME Shell を再起動することはできません。
  • Wayland は、X11 アプリケーション (仮想マシンビューアー等) のキーボードグラブを無視します。(BZ#1481411)

分数スケールがテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.5 以降の GNOME では、DPI が低 (scale 1) と高 (scale 2) の中間になってしまうモニターの問題に対処するために、テクノロジープレビューとして分数スケールが提供されています。
技術的な制約から、分数スケールは Wayland でのみ利用することができます。(BZ#1481395)

第28章 ファイルシステム

CephFS カーネルクライアントが利用可能に

Red Hat Enterprise Linux 7.3 以降で、Ceph File System (CephFS) カーネルモジュールがテクノロジープレビューとして提供されるようになり、Red Hat Enterprise Linux ノードが Red Hat Ceph Storage クラスターから Ceph File System をマウントできるようになりました。Red Hat Enterprise Linux のカーネルクライアントは、Red Hat Ceph Storage に同梱されている Filesystem in Userspace (FUSE) クライアントよりも効率性の高いオプションです。現在、カーネルクライアントには CephFS のクォータのサポートがありません。詳しい情報は Red Hat Ceph Storage 2 の『Ceph File System Guide (Technology Preview)』を参照してください。(BZ#1205497)

ext4 ファイルシステムおよび XFS ファイルシステムが DAX をサポート可能に

Red Hat Enterprise Linux 7.3 以降、DAX (Direct Access) により、アプリケーションが永続メモリーを直接アドレス空間にマッピングすることがテクノロジープレビューとして可能になりました。DAX を使用するには、永続メモリーがシステムに設定されている必要があります。永続メモリーは、通常 1 つまたは複数の NVDIMM (Non-Volatile Dual In-line Memory Module) の形態を取り、NVDIMM に DAX をサポートするファイルシステムを作成する必要があります。また、ファイルシステムは dax マウントオプションでマウントする必要があります。dax でマウントしたファイルシステムのファイルを mmap 処理すると、ストレージが直接アプリケーションのアドレス空間にマッピングされます。(BZ#1274459)

pNFS ブロックレイアウトが利用可能に

テクノロジープレビューとして、Red Hat Enterprise Linux クライアントがブロックレイアウト機能を設定して pNFS 共有をマウントできるようになりました。
Red Hat では、ブロックレイアウトと類似しているが使いやすい pNFS SCSI レイアウトの使用を推奨する点に注意してください。(BZ#1111712)

クライアントおよびサーバーにおいて pNFS SCSI レイアウトが利用可能に

Red Hat Enterprise Linux 7.3 以降、Parallel NFS (pNFS) SCSI レイアウトのクライアントおよびサーバーサポートがテクノロジープレビューとして提供されています。ブロックレイアウトをベースに構築されている pNFS レイアウトは SCSI デバイスをまたいで定義されており、このレイアウトには論理ユニットとして順番に並んだ固定サイズのブロックが含まれています。この論理ユニットには SCSI の永続予約をサポートできる機能が必要です。論理ユニット (LU) デバイスは、SCSI デバイスの ID で識別され、フェンシングは予約の割り当てで処理されます。(BZ#1305092)

OverlayFS

OverlayFS はユニオンファイルシステムの一つです。ファイルシステムの上に別のファイルシステムを重ねる (オーバーレイする) ことができます。変更は上層のファイルシステムに記録され、下層のファイルシステムは未変更のままになります。コンテナーや DVD-ROM などのファイルシステムイメージを複数のユーザーで共有でき、ベースのイメージは読み取り専用メディアに置かれます。追加情報は、カーネルファイルの Documentation/filesystems/overlayfs.txt を参照してください。
Red Hat Enterprise Linux 7.5 では、OverlayFS は多くの状況で引き続きテクノロジープレビューとして提供されます。このため、OverlayFS を有効にすると、カーネルにより警告のログが記録されます。
Docker で次の制約を付けて使用する場合は、完全対応となります。
  • OverlayFS は、Docker のグラフドライバーとして使用する場合に限りサポートされます。コンテナーの COW コンテンツで使用する場合に限りサポートされ、永続ストレージとしてはサポートされません。永続ストレージは OverlayFS 以外のボリュームに配置している場合に限りサポート対象となります。デフォルトの Docker 設定 (オーバーレイレベルが 1 つ、下層側ディレクトリーが 1 つ、上層レベルと下層レベルが同じファイルシステム上に配置されている) だけを使用できます。
  • 下層ファイルシステムとして使用がサポートされているのは、現在 XFS のみです。
  • Red Hat Enterprise Linux 7.3 以前では、物理マシンで SELinux を有効にして Enforcing モードに設定しておく必要がありますが、コンテナーを分離する場合は、コンテナーで無効にする必要があります。つまり、/etc/sysconfig/docker ファイルに --selinux-enabled を追加しないでください。Red Hat Enterprise Linux 7.4 以降では、OverlayFS は SELinux セキュリティーラベルをサポートしているため、/etc/sysconfig/docker--selinux-enabled を指定すると、コンテナーで SELinux サポートを有効にできます。
  • OverlayFS カーネル ABI とユーザー空間の動作については安定性に欠けるとみなされているため、今後の更新で変更が加えられる可能性があります。
  • コンテナー内で yum および rpm のユーティリティーを正常に機能させるには、yum-plugin-ovl パッケージを使用する必要があります。
OverlayFS は制限付きで POSIX 標準セットを提供しています。OverlayFS で POSIX 標準を導入する場合は、導入する前にアプリケーションテストを十分に行うようにしてください。
XFS ファイルシステムをオーバーレイとして使用するには、-n ftype=1 オプションを有効にして作成する必要がある点に注意してください。システムのインストール時に作成される rootfs およびファイルシステムについては、Anaconda キックスタートで --mkfsoptions=-n ftype=1 のパラメーターを設定してください。インストール後に新しいファイルシステムを作成する場合は、# mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE コマンドを実行します。既存のファイルシステムをオーバーレイとして使用できるかどうかは、# xfs_info /PATH/TO/DEVICE | grep ftype コマンドで ftype=1 オプションが有効であるかどうかを確認して判断します。
また、Red Hat Enterprise Linux 7.5 がリリースされた時点では、OverlayFS に関連する既知の問題がいくつかあります。詳細は、Documentation/filesystems/overlayfs.txt ファイルの Non-standard behavior を参照してください。(BZ#1206277)

Btrfs ファイルシステム

Btrfs (B-Tree) ファイルシステムは、Red Hat Enterprise Linux 7 ではテクノロジープレビューとして提供されています。
この機能のアップデートは、Red Hat Enterprise Linux 7.4 が最後となることが予定されています。Btrfs は廃止予定となっており、Red Hat では Btrfs 機能を完全にはサポートせず、今後の Red Hat Enterprise Linux バージョンで削除されます。(BZ#1477977)

新規パッケージ: ima-evm-utils

ima-evm-utils パッケージの提供するユーティリティーにより、Integrity Measurement Architecture (IMA) および Extended Verification Module (EVM) 機能を使用して、実行時にファイルシステムのラベル化やシステムの整合性確認を行うことができます。これらのユーティリティーにより、ファイルが誤ってまたは悪意により変更されたかどうかをモニタリングすることができます。
ima-evm-utils パッケージがテクノロジープレビューとして利用できるようになりました。(BZ#1384450)

第29章 ハードウェアのサポート

LSI Syncro CS HA-DAS アダプター

Red Hat Enterprise Linux 7.1 では、LSI Syncro CS の HA-DAS (high-availability direct-attached storage) アダプターを有効にするためのコードが megaraid_sas ドライバーに含まれていました。megaraid_sas ドライバーはこれまで有効であったアダプターに対して完全サポートされますが、Syncro CS に対してはテクノロジープレビューとして使用することができます。このアダプターのサポートは LSI、システムインテグレーター、またはシステムベンダーによって直接提供されます。Red Hat Enterprise Linux 7.2 以降に Syncro CS をデプロイする場合は、Red Hat および LSI へのフィードバックにご協力ください。LSI Syncro CS ソリューションの詳細については、http://www.lsi.com/products/shared-das/pages/default.aspx にアクセスしてください。(BZ#1062759)

tss2 が IBM Power LE 向けに TPM 2.0 を有効化

tss2 パッケージが、IBM Power LE アーキテクチャー向けに、Trusted Computing Group Software Stack (TSS) 2.0 の IBM 実装をテクノロジープレビューとして追加します。このパッケージにより、TPM 2.0 デバイスとの対話が可能になります。(BZ#1384452)

ibmvnic デバイスドライバー

Red Hat Enterprise Linux 7.3 以降、ibmvnic デバイスドライバーがテクノロジープレビューとして IBM POWER アーキテクチャー向けに利用可能です。vNIC (Virtual Network Interface Controller) は PowerVM 仮想ネットワークテクノロジーで、エンタープライズケイパビリティーを提供しネットワーク管理を単純化します。SR-IOV NIC と組み合わせることで、仮想 NIC レベルで帯域幅の制御に関する Qos (Quality of Service) 機能を提供する高パフォーマンスの効率的なテクノロジーとして機能します。vNIC は仮想化オーバーヘッドを大幅に削減するため、レイテンシーを抑え、ネットワークの仮想化に必要な CPU およびメモリーを含むサーバーリソースを削減します。(BZ#1391561、BZ#947163)

第30章 カーネル

HMM (heterogeneous memory management) 機能をテクノロジープレビューとして提供

Red Hat Enterprise Linux 7.3 では、HMM (heterogeneous memory management) 機能がテクノロジープレビューとして導入されました。この機能は、プロセスアドレス空間を独自のメモリー管理ユニット (MMU) にミラーする必要のあるデバイスのヘルパーレイヤーとして、カーネルに追加されています。これにより、CPU 以外のデバイスプロセッサーは、統一システムアドレス空間を使用してシステムメモリーを読み取ることができます。この機能を有効にするには、experimental_hmm=enable をカーネルコマンドラインに追加します。(BZ#1230959)

criu がバージョン 3.5 にリベース

Red Hat Enterprise Linux 7.2 は criu ツールをテクノロジープレビューとして導入しました。このツールは、Checkpoint/Restore in User-space (CRIU) を実装します。これを使用すると、実行中のアプリケーションをフリーズさせた後にファイルの集合としてこれを保存し、後にフリーズ状態から復元できます。
criu ツールは Protocol Buffers に依存します。これは、構造化データをシリアル化するための、言語とプラットフォームに中立的な拡張性のあるメカニズムです。依存パッケージとなる protobufprotobuf-c パッケージも、テクノロジープレビューとして Red Hat Enterprise Linux 7.2 に導入されています。
Red Hat Enterprise Linux 7.5 では、criu パッケージがアップストリームバージョン 3.5 にアップグレードされ、バグ修正および機能拡張が数多く追加されました。さらに、IBM z Systems および 64 ビット ARM アーキテクチャーに対するサポートも追加されました。(BZ#1400230、BZ#1464596)

kexec がテクノロジープレビューとして利用可能

kexec システムコールがテクノロジープレビューとして提供されています。このシステムコールを使用すると、現在実行中のカーネルから別のカーネルを読み込み起動することができます。したがって、このシステムコールはカーネル内のブートローダーとして機能します。kexec 起動時には、通常のシステム起動中に実行されるハードウェアの初期化が実施されないので、再起動にかかる時間が大幅に短縮されます。(BZ#1460849)

kexec fast reboot がテクノロジープレビューとして利用可能

今回の更新で kexec fast reboot 機能がテクノロジープレビューとして追加され、再起動が大幅に速くなっています。この機能を使用するには、kexec カーネルを手動で読み込み、オペレーティングシステムを再起動する必要があります。kexec fast reboot をデフォルトの再起動アクションに設定することはできません。
特別なケースとしては、kexec fast rebootAnaconda に使用する場合が挙げられます。この場合でも kexec fast reboot をデフォルトに設定することはできませんが、Anaconda でこれを使用した場合には、インストール完了後にユーザーがカーネルを anaconda オプションで起動すると、オペレーティングシステムは自動的に kexec fast reboot を使用します。kexec 再起動をスケジュールするには、カーネルコマンドラインで inst.kexec コマンドを使用するか、Kickstart ファイルに reboot --kexec の行を追加します。(BZ#1464377)

テクノロジープレビューとして、非特権ユーザーによる名前空間へのアクセスの有効化が可能

必要に応じて、テクノロジープレビューとして namespace.unpriv_enable カーネルコマンドラインオプションを設定できるようになりました。
デフォルトの設定は無効です。
1 に設定すると、非特権ユーザーが CLONE_NEWNS のフラグで clone() 関数にコールを発行しても、エラーは返されなくなり操作が可能です。
ただし、非特権ユーザーによる名前空間へのアクセスを有効にするには、一部のユーザー名前空間で CAP_SYS_ADMIN フラグを設定してマウント名前空間を作成する必要があります。(BZ#1350553)

qla2xxx ドライバーの SCSI-MQ 機能がテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.4 で更新された qla2xxx& ドライバーでは、モジュールパラメーターを ql2xmqsupport=1 に設定して SCSI-MQ (マルチキュー) 機能を有効にすることができます。デフォルト値は 0 (無効) です。SCSI-MQ 機能は、qla2xxx ドライバーと共に使用する際にテクノロジープレビューとして利用可能です。
SCSI-MQ 機能を使用してファイバーチャネルアダプター上での非同期 IO のパフォーマンステストを実施したところ、特定の条件下では大幅なパフォーマンス低下が確認された点に注意してください。修正をテスト中ですが、Red Hat Enterprise Linux 7.4 リリースの時点ではまだ利用可能ではありませんでした。

NVMe over Fibre Channel がテクノロジープレビューとして利用可能に

NVMe over Fibre Channel トランスポートタイプがテクノロジープレビューとして利用可能になりました。NVMe over Fibre Channel は、以前 Red Hat Enterprise Linux に導入された Remote Direct Memory Access (RDMA) プロトコルおよび Nonvolatile Memory Express (NVMe) プロトコルのファブリックトランスポートタイプです。
lpfc ドライバーで NVMe over Fibre Channel を有効にするには、/etc/modprobe.d/lpfc.conf ファイルを編集して以下のオプションのいずれかまたは両方を追加します。
  • 操作の NVMe モードを有効にするには、lpfc_enable_fc4_type=3 オプションを追加します。
  • ターゲットモードを有効にするには、lpfc_enable_nvmet=<wwpn list> オプションを追加します。ここで、<wwpn list>0x の接頭辞を付けたワールドワイドポートネーム (WWPN) の値のコンマ区切りリストです。
NVMe ターゲットを設定するには、nvmetcli ユーティリティーを使用します。
NVMe over Fibre Channel により、既存のファイバーチャネルインフラストラクチャー上で、より高パフォーマンスで低レイテンシーな I/O プロトコルが得られます。このことは、ソリッドステートストレージアレイで特に重要になります。NVMe ストレージのパフォーマンスメリットを、別のプロトコル (SCSI) にカプセル化するのではなく、ファブリックトランスポートを通じて渡すことができるためです。
Red Hat Enterprise Linux 7.5 では、NVMe over Fibre Channel は lpfc ドライバーを使用する Broadcom 32 Gbit アダプターでのみ利用可能です。(BZ#1387768、BZ#1454386)

perf cqmresctrl に置き換え

Intel Cache Allocation Technology (CAT) が Red Hat Enterprise Linux 7.4 でテクノロジープレビューとして導入されました。ただし、perf インストラクチャーと Cache Quality of Service Monitoring (CQM) ハードウェアサポートの不整合により、perf cqm ツールが正常に機能しませんでした。したがって、perf cqm の使用時にさまざまな問題が生じていました。
主な問題は以下のとおりです。
  • perf cqmresctrl を使用して割り当てたタスクグループをサポートしない
  • リサイクルに関するさまざまな問題により、perf cqm が不規則で不正確なデータを提供する
  • 異なるタイプのイベント (例: タスク、全システム、および cgroup イベント) を同時に実行する場合、perf cqm のサポートが不十分である
  • cgroup イベントに対して perf cqm は 部分的なサポートしか提供しない
  • cgroup イベントが階層構造を持つ場合、または cgroup 内のタスクと cgroup を同時に監視する場合、 cgroup イベントに対する部分的なサポートが機能しない
  • タスクをライフスパンにわたって監視すると perf のオーバーヘッドが生じる
  • perf cqm はキャッシュ占有の集計値またはソケット全体のメモリー帯域幅を報告するが、多くのクラウドおよび VMM ベースのユースケースでは、個々のソケットごとの使用状況が求められる
今回の更新で perf cqmresctrl ファイルシステムをベースにしたアプローチに置き換えられ、上記の問題がすべて解消されました。(BZ#1457533、BZ#1288964)

第31章 リアルタイムカーネル

SCHED_DEADLINE スケジューラークラスがテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.4 で導入されたリアルタイムカーネル向けの SCHED_DEADLINE スケジューラークラスが、引き続きテクノロジープレビューとして利用可能です。このスケジューラーを使用すると、アプリケーションの締め切りに基づいた予測可能なタスクのスケジューリングが可能になります。SCHED_DEADLINE によりアプリケーションタイマー操作が減るので、定期的なワークロードでメリットが得られます。(BZ#1297061)

第32章 ネットワーク

Cisco usNIC ドライバー

Cisco Unified Communication Manager (UCM) サーバーには、Cisco 専用の User Space Network Interface Controller (usNIC) を提供するオプション機能があります。これを使用すると、ユーザー空間アプリケーションに対して Remote Direct Memory Access (RDMA) のような動作を実行できるようになります。テクノロジープレビューとして利用可能な libusnic_verbs ドライバーを使用すると、Verbs API ベースの標準 InfiniBand RDMA プログラミングで usNIC デバイスが利用可能になります。(BZ#916384)

Cisco VIC カーネルドライバー

Cisco VIC Infiniband のカーネルドライバーはテクノロジープレビューとして利用可能で、RDMA (Remote Directory Memory Access) のようなセマンティックが専用の Cisco アーキテクチャーで使用可能になります。(BZ#916382)

Trusted Network Connect

Trusted Network Connect はテクノロジープレビューとして利用可能で、TLS、802.1X、IPsec など既存のネットワークアクセス制御 (NAC) ソリューションと併用して、エンドポイントのポスチャー評価を一体化します。つまりエンドポイントのシステムの情報を収集します (オペレーティングシステムの構成設定、インストールしているパッケージ、その他、整合性測定と呼ばれているもの)。エンドポイントにネットワークへのアクセスを許可する前に、Trusted Network Connect を使用してこれらの測定をネットワークアクセスポリシーに対して検証します。(BZ#755087)

qlcnic ドライバーの SR-IOV 機能

SR-IOV (Single-Root I/O virtualization) のサポートが qlcnic ドライバーにテクノロジープレビューとして追加されています。この機能のサポートは QLogic から直接提供されます。QLogic および Red Hat へのフィードバックをぜひお願いします。qlcnic ドライバー内の他の機能は引き続き完全サポートとなります。(BZ#1259547)

libnftnl および nftables パッケージ

Red Hat Enterprise Linux 7.3 以降のバージョンでは、nftables および libnftl パッケージはテクノロジープレビューとして利用できます。
nftables パッケージはパケットフィルタリングツールを提供し、以前のものに比べると利便性、機能およびパフォーマンスが改善されています。これは、iptablesip6tablesarptables、および ebtables ユーティリティーの後継となるものです。
libnftnl パッケージは、libmnl ライブラリーを介して nftables Netlink の API と低レベルの対話をするためのライブラリーを提供します。(BZ#1332585)

flower 分類子がオフロードをサポート

flower はトラフィック制御 (TC) 分類子で、各種プロトコルのパケットフィールドのマッチング設定を可能にします。また、複雑なフィルタリングや分類タスクの u32 分類子に対するルール設定を容易にします。flower は、ハードウェアが対応している場合に、基礎となるハードウェアへの分類およびアクションのルールをオフロードする機能もサポートしています。flower TC 分類子はテクノロジープレビューとして提供されています。(BZ#1393375)

第33章 Ansible を使用した Red Hat Enterprise Linux System Roles

Red Hat Enterprise Linux System Roles

テクノロジープレビューとして利用可能な Red Hat Enterprise Linux System Roles は、Red Hat Enterprise Linux サブシステム向けの設定インターフェースです。Ansible Roles を使用することでシステム設定が容易になります。このインターフェースにより、複数バージョンの Red Hat Enterprise Linux でシステム設定を管理することや、新しいメジャーリリースを導入することもできます。
Red Hat Enterprise Linux 7.4 以降、Red Hat Enterprise Linux System Roles パッケージは Extras チャンネルから配信されています。Red Hat Enterprise Linux System Roles の詳細は、「Red Hat Enterprise Linux (RHEL) System Roles」を参照してください。(BZ#1313263)

第34章 セキュリティー

USBGuard は、画面のロック時に USB デバイスのブロックを有効にする機能をテクノロジープレビューとして提供

USBGuard フレームワークにより、InsertedDevicePolicy ランタイムパラメーターの値を設定して、すでに実行中の usbguard-daemon インスタンスが新たに挿入された USB デバイスをどのように処理するかをコントロールすることができます。この機能はテクノロジープレビューとして提供され、デフォルトでは、デバイスを認証するかどうかを判断するためのポリシールールが適用されます。
詳細については、ナレッジベースの記事「Blocking USB devices while the screen is locked (Tech Preview)」を参照してください。

pk12utilRSA-PSS で署名された証明書をインポート可能に

pk12util ツールは、テクノロジープレビューとして RSA-PSS アルゴリズムで署名された証明書のインポートに対応するようになりました。
対応する秘密鍵がインポートされ、署名アルゴリズムを RSA-PSS に限定する PrivateKeyInfo.privateKeyAlgorithm フィールドがある場合、鍵をブラウザーにインポートする際に無視されます。詳細については、「export of RSA-PSS key to PKCS#12 drops the RSA-PSS identifier」を参照してください。(BZ#1431210)

certutil において RSA-PSS で署名された証明書のサポートが改善

certutil ツールにおいて RSA-PSS アルゴリズムで署名された証明書のサポートが改善されました。主な機能強化および修正は以下のとおりです。
  • --pss オプションが文書化されました。
  • PKCS#1 v1.5 アルゴリズムは、証明書が RSA-PSS を使用するように制限されたときに、自己署名を使用しなくなりました。
  • 証明書の一覧を表示するときに、subjectPublicKeyInfo フィールドの RSA-PSS パラメーターが空の場合は出力されなくなりました。
  • RSA-PSS アルゴリズムで署名された正規の RSA 証明書を作成する --pss-sign オプションが追加されました。
テクノロジープレビューとして、certutil において RSA-PSS で署名された証明書のサポートが提供されるようになりました。(BZ#1425514)

NSS が証明書の RSA-PSS 署名を確認可能に

新しいバージョンの nss パッケージでは、Network Security Services (NSS) ライブラリーが証明書の RSA-PSS 署名を確認する機能をテクノロジープレビューとして提供するようになりました。以前のバージョンでは、クライアントが NSSSSL バックエンドとして使用している場合は、RSA-PSS アルゴリズムで署名される証明書だけを提供するサーバーへの TLS 接続を確立できませんでした。
この機能には、以下の制限があります。
  • /etc/pki/nss-legacy/rhel7.config ファイルにおけるアルゴリズムポリシー設定は、RSA-PSS 署名に使用されるハッシュアルゴリズムには適用されません。
  • 証明書チェーン間の RSA-PSS パラメーターの制限は無視され、証明書は 1 つだけ考慮されます。(BZ#1432142)

libreswan で SECCOMP の有効化が可能に

テクノロジープレビューとして ipsec.conf 設定ファイルに seccomp=enabled|tolerant|disabled オプションが 追加され、Secure Computing モード (SECCOMP) を使用できるようになりました。これにより、Libreswan が実行可能なすべてのシステムコールがホワイトリストに追加され、syscall のセキュリティーが強化されます。詳しい情報は ipsec.conf(5) man ページを参照してください。(BZ#1375750)

第35章 ストレージ

SCSI 向けのマルチキュー I/O スケジューリング

Red Hat Enterprise Linux 7 には、blk-mq として知られるブロックデバイス用の新たなマルチキュー I/O スケジューリングメカニズムが含まれています。scsi-mq パッケージを使用すると、SCSI (Small Computer System Interface) サブシステムで、この新しいキューメカニズムを利用することができます。この機能はテクノロジープレビューのため、デフォルトでは有効になっていません。有効にする場合は、カーネルコマンドラインに scsi_mod.use_blk_mq=Y を追加します。
blk-mq は、パフォーマンスを改善するために導入されていますが (特に低レイテンシーデバイス向け)、常にパフォーマンスが改善することは保証されていません。特に、CPU が多いシステムで scsi-mq を有効にすると、パフォーマンスが著しく低下する場合があります。(BZ#1109348)

libStorageMgmt API の Targetd プラグイン

Red Hat Enterprise Linux 7.1 以降、ストレージアレイから独立した API である libStorageMgmt を使用したストレージアレイの管理が完全にサポートされています。提供される API は安定性と整合性を備え、開発者は異なるストレージアレイをプログラム的に管理し、ハードウェアアクセラレーション機能を使用できます。また、システム管理者は libStorageMgmt を使用してストレージを手動で設定したり、提供されているコマンドラインインターフェースを使用してストレージ管理タスクを自動化したりできます。
Targetd プラグインは完全にはサポートされず、引き続きテクノロジープレビューとして提供されます。(BZ#1119909)

DIF/DIX (Data Integrity Field/Data Integrity Extension) のサポート

DIF/DIX が新たに SCSI 標準規格に追加されました。Red Hat Enterprise Linux 7.5 では「新機能」の章に記載されている HBA およびストレージアレイでは完全にサポートされますが、その他の HBA およびストレージアレイに対しては引き続きテクノロジープレビューとなります。
DIF/DIX において、一般的に使用される 512 バイトのディスクブロックのサイズが 520 バイトに拡大され、DIF (Data Integrity Field) が追加されました。DIF は、書き込みの発生時に HBA (Host Bus Adapter) によって算出されるデータブロックのチェックサム値を保存します。その後、受信時にストレージデバイスがチェックサムを確認し、データとチェックサムの両方を保存します。読み取りの場合は、チェックサムがストレージデバイスおよび受信する HBA によって検証されます。(BZ#1072107)

第36章 仮想化

KVM ゲスト用の USB 3.0 サポート

Red Hat Enterprise Linux 7 では、KVM ゲスト向けの USB 3.0 ホストアダプター (xHCI) エミュレーションは引き続きテクノロジープレビューとなります。(BZ#1103193)

特定の Intel ネットワークアダプターが Hyper-V 上のゲストとして SR-IOV をサポート可能に

今回の更新で、Hyper-V 上で動作している Red Hat Enterprise Linux ゲスト仮想マシンでは、新たな PCI パススルードライバーにより、ixgbevf ドライバーのサポートする Intel ネットワークアダプターが Single-Root I/O Virtualization (SR-IOV) 機能を使用できるようになりました。この機能は、以下の条件が満たされた場合に有効になります。
  • ネットワークインターフェースコントローラー (NIC) の SR-IOV サポートが有効化されている
  • 仮想 NIC の SR-IOV サポートが有効化されている
  • 仮想スイッチの SR-IOV サポートが有効化されている
NIC からの 仮想機能 (VF) が、仮想マシンに接続されます。
現在この機能は Microsoft Windows Server 2016 でサポートされています。(BZ#1348508)

VFIO ドライバーの No-IOMMU モード

今回の更新で、仮想機能 I/O (VFIO) ドライバーの No-IOMMU モードがテクノロジープレビューとして追加されました。No-IOMMU モードでは、I/O メモリー管理ユニット (IOMMU) なしに直接メモリーアクセス (DMA) 対応デバイスへの完全なユーザー空間 I/O (UIO) アクセスが得られます。しかし、このモードはサポートされないだけでなく、IOMMU による I/O 管理機能がないため安全に使用することができません。(BZ#1299662)

virt-v2v で vmx 設定ファイルを使用した VMware ゲストの変換

テクノロジープレビューとして、virt-v2v ユーティリティーに vmx 入力モードが追加され、ユーザーは VMware vmx 設定ファイルからゲスト仮想マシンを変換できるようになりました。これを行うには、たとえば NFS を使用してストレージをマウントして、対応する VMware ストレージにアクセスする必要もあります。SSH に -it ssh パラメーターを追加して、ストレージにアクセスすることも可能です。(BZ#1441197、BZ#1523767)

virt-v2v による Debian および Ubuntu ゲストの変換が可能

テクノロジープレビューとして、virt-v2v ユーティリティーは Debian および Ubuntu ゲスト仮想マシンを変換できるようになりました。現時点では、この変換を行う時に以下の問題が発生することに注意してください。
  • virt-v2v は GRUB2 設定内のデフォルトのカーネルは変更できず、ゲスト上でより適切なカーネルのバージョンが利用可能であった場合でも、ゲスト内で設定されたカーネルは変換中に変更できません。
  • Debian または Ubuntu VMware ゲストを KVM に変換した後は、ゲストのネットワークインターフェース名が変更されるので、手動での設定が必要になる場合があります。(BZ#1387213)

Virtio デバイスが vIOMMU を使用可能に

今回の更新で、テクノロジープレビューとして virtio デバイスが virtual Input/Output Memory Management Unit (vIOMMU) を使用できるようになりました。これにより、デバイスの Direct Memory Access (DMA) 先を許可されたアドレスに制限することで、DMA のセキュリティーが確保されます。ただし、Red Hat Enterprise Linux 7.4 以降を使用するゲスト仮想マシンのみがこの機能を使用することができます。(BZ#1283251、BZ#1464891)

virt-v2v が VMWare ゲストをより迅速かつ確実に変換

テクノロジープレビューとして、virt-v2v ユーティリティーは VMWare Virtual Disk Development Kit (VDDK) を使用して、VMWare ゲスト仮想マシンを KVM ゲストにインポートできるようになりました。これにより、virt-v2v は直接 VMWare ESXi ハイパーバイザーに接続されるので、変換の速度と信頼性が向上します。
この変換インポートの方法には、外部の nbdkit ユーティリティーとその VDDK プラグインが必要です。(BZ#1477912)

Open Virtual Machine Firmware

Red Hat Enterprise Linux 7 では、Open Virtual Machine Firmware (OVMF) がテクノロジープレビューとして利用可能です。OVMF は、AMD64 および Intel 64 ゲストに対する、UEFI のセキュアな起動環境です。(BZ#653382)

パート IV. デバイスドライバー

本パートでは、Red Hat Enterprise Linux 7.5 で新たに追加されたデバイスドライバー、または今回更新されたデバイスドライバーをすべて網羅します。

第37章 新規ドライバー

ストレージドライバー

  • USB タイプ C コネクタークラス (typec.ko.xz):
  • USB タイプ C コネクターシステムソフトウェアインターフェースドライバー (typec_ucsi.ko.xz):
  • TCM QLA2XXX シリーズ NPIV 対応ファブリックドライバー (tcm_qla2xxx.ko.xz):
  • Chelsio FCoE ドライバー (csiostor.ko.xz): 1.0.0-ko

ネットワークドライバー

  • mac80211 用 802.11 無線 LAN ソフトウェアシミュレーター (mac80211_hwsim.ko.xz):
  • Vsock 監視用デバイス。nlmon デバイスベース (vsockmon.ko.xz):
  • Cavium LiquidIO Intelligent Server Adapter 仮想機能ドライバー (liquidio_vf.ko.xz): 1.6.1
  • Cavium LiquidIO Intelligent Server Adapter ドライバー (liquidio.ko.xz): 1.6.1
  • Mellanox ファームウェアフラッシュ lib (mlxfw.ko.xz):
  • Intel OPA 仮想ネットワークドライバー (opa_vnic.ko.xz):
  • Broadcom NetXtreme-C/E RoCE ドライバー (bnxt_re.ko.xz):
  • VMware Paravirtual RDMA ドライバー (vmw_pvrdma.ko.xz):

グラフィックスドライバーおよびその他のドライバー

  • Pondicherry メモリーコントローラーを使用する Intel SoC 用 MC ドライバー (pnd2_edac.ko.xz):
  • ALPS HID ドライバー (hid-alps.ko.xz):
  • Intel Corporation DAX デバイス (device_dax.ko.xz):
  • Synopsys DesignWare DMA Controller プラットフォームドライバー (dw_dmac.ko.xz):
  • Synopsys DesignWare DMA Controller コアドライバー (dw_dmac_core.ko.xz):
  • Intel Sunrisepoint PCH pinctrl/GPIO ドライバー (pinctrl-sunrisepoint.ko.xz):
  • Intel Lewisburg pinctrl/GPIO ドライバー (pinctrl-lewisburg.ko.xz):
  • Intel Cannon Lake PCH pinctrl/GPIO ドライバー (pinctrl-cannonlake.ko.xz):
  • Intel Denverton SoC pinctrl/GPIO ドライバー (pinctrl-denverton.ko.xz):
  • Intel Gemini Lake SoC pinctrl/GPIO ドライバー (pinctrl-geminilake.ko.xz):
  • Intel pinctrl/GPIO コアドライバー (pinctrl-intel.ko.xz):

第38章 更新されたドライバー

ストレージドライバーに関する更新

  • QLogic Fibre Channel HBA ドライバー (qla2xxx.ko.xz) がバージョン 9.00.00.00.07.5-k1 に更新されました。
  • Cisco FCoE HBA ドライバー (fnic.ko.xz) がバージョン 1.6.0.34 に更新されました。
  • Emulex OneConnectOpen-iSCSI ドライバー (be2iscsi.ko.xz) がバージョン 11.4.0.1 に更新されました。
  • QLogic FCoE ドライバー (bnx2fc.ko.xz) がバージョン 2.11.8 に更新されました。
  • Microsemi Smart Family Controller ドライバー (smartpqi.ko.xz) がバージョン 1.1.2-126 に更新されました。
  • Emulex LightPulse Fibre Channel SCSI ドライバー (lpfc.ko.xz) がバージョン 0:11.4.0.4 に更新されました。
  • LSI MPT Fusion SAS 3.0 デバイスドライバー (mpt3sas.ko.xz) がバージョン 16.100.00.00 に更新されました。
  • QLogic QEDF 25/40/50/100Gb FCoE ドライバー (qedf.ko.xz) がバージョン 8.20.5.0 に更新されました。
  • Avago MegaRAID SAS ドライバー (megaraid_sas.ko.xz) がバージョン 07.702.06.00-rh2 に更新されました。
  • HP Smart Array Controller ドライバー (hpsa.ko.xz) がバージョン 3.4.20-0-RH2 に更新されました。

ネットワークドライバーに関する更新

  • Realtek RTL8152/RTL8153 ベース USB Ethernet Adapters ドライバー (r8152.ko.xz) がバージョン v1.08.9 に更新されました。
  • Intel(R) 10 Gigabit PCI Express ネットワークドライバー (ixgbe.ko.xz) がバージョン 5.1.0-k-rh7.5 に更新されました。
  • Intel(R) Ethernet Switch Host Interface ドライバー (fm10k.ko.xz) がバージョン 0.21.7-k に更新されました。
  • Intel(R) Ethernet Connection XL710 ネットワークドライバー (i40e.ko.xz) がバージョン 2.1.14-k に更新されました。
  • Intel(R) 10 Gigabit 仮想機能ネットワークドライバー (ixgbevf.ko.xz) がバージョン 4.1.0-k-rh7.5 に更新されました。
  • Intel(R) XL710 X710 仮想機能ネットワークドライバー (i40evf.ko.xz) がバージョン 3.0.1-k に更新されました。
  • Elastic Network Adapter (ENA) ドライバー (ena.ko.xz) がバージョン 1.2.0k に更新されました。
  • Cisco VIC Ethernet NIC ドライバー (enic.ko.xz) がバージョン 2.3.0.42 に更新されました。
  • Broadcom BCM573xx ネットワークドライバー (bnxt_en.ko.xz) がバージョン 1.8.0 に更新されました。
  • QLogic FastLinQ 4xxxx Core Module ドライバー (qed.ko.xz) がバージョン 8.10.11.21 に更新されました。
  • QLogic 1/10 GbE Converged/Intelligent Ethernet ドライバー (qlcnic.ko.xz) がバージョン 5.3.66 に更新されました。
  • Mellanox ConnectX HCA Ethernet ドライバー (mlx4_en.ko.xz) がバージョン 4.0-0 に更新されました。
  • Mellanox ConnectX HCA low-level ドライバー (mlx4_core.ko.xz) がバージョン 4.0-0 に更新されました。
  • Mellanox Connect-IB、ConnectX-4 コアドライバー (mlx5_core.ko.xz) がバージョン 5.0-0 に更新されました。

グラフィックドライバーおよび他のドライバーに関する更新

  • スタンドアロン VMware SVGA デバイス drm ドライバー (vmwgfx.ko.xz) がバージョン 2.14.0.0 に更新されました。

第39章 非推奨の機能

本章では、Red Hat Enterprise Linux 7.5 までの Red Hat Enterprise Linux 7 のマイナーリリースで非推奨となった機能の概要を説明します。
非推奨の機能は、Red Hat Enterprise Linux 7 のライフサイクル終了までサポートされます。非推奨の機能は、本製品の今後のメジャーリリースではサポートされない可能性が高く、新規実装は推奨されません。特定メジャーリリースの非推奨機能の最新一覧については、そのメジャーリリースの最新版リリースノートを参照してください。
現行および今後のメジャーリリースでは、非推奨の ハードウェア コンポーネントの新規実装は推奨されません。ハードウェアドライバーの更新は、セキュリティーに関連するものと重大な修正のみに限定されます。Red Hat では、このようなハードウェアをできるだけ早い機会に取り替えることを推奨しています。
パッケージ が非推奨となり、使用の継続が推奨されない場合があります。特定の状況では、パッケージが製品から削除されることもあります。その場合は、製品のドキュメントで非推奨となったパッケージと同様、同一、またはより高度な機能を提供する最近のパッケージを識別し、詳細な推奨事項を提供します。

Python 2 を非推奨化

Red Hat Enterprise Linux (RHEL) の次期メジャーリリースで、Python 2Python 3 に置き換えられる予定です。
大規模なコードベースを Python 3 に移行する方法については、『Conservative Python 3 Porting Guide』を参照してください。
Red Hat Software Collections の一部として、RHEL ユーザーは Python 3 を使用することができます。また、Python 3 は RHEL 上でサポートされます。

LVM ライブラリーおよび LVM Python バインディングを非推奨化

lvm2-python-libs パッケージにより提供される lvm2app ライブラリーおよび LVM Python バインディングが非推奨となりました。
Red Hat では、代替として以下のソリューションを推奨します。
  • LVM D-Bus API と lvm2-dbusd サービスの組み合わせ。このソリューションでは Python バージョン 3 を使用する必要があります。
  • JSON フォーマットを用いた LVM コマンドラインユーティリティー。このフォーマットは、lvm2 パッケージのバージョン 2.02.158 から使用することができます。

LVM でのミラー化されたミラーログを非推奨化

ミラー化された LVM ボリュームでのミラー化されたミラーログ機能が非推奨となりました。Red Hat Enterprise Linux の今後のメジャーリリースでは、ミラー化されたミラーログを持つ LVM ボリュームの作成またはアクティブ化はサポートされない予定です。
推奨される代替ソリューションは以下のとおりです。
  • RAID1 LVM ボリューム。RAID1 ボリュームの優れた点は、劣化モードででも機能し、一時的な障害の後に回復できることです。ミラー化されたボリュームを RAID1 に変換する方法については、『論理ボリュームマネージャーの管理』の「ミラー化 LVM デバイスの RAID1 デバイスへの変換」セクションを参照してください。
  • ディスクミラーログ。ミラー化されたミラーログをディスクミラーログに変換するには、コマンド lvconvert --mirrorlog disk my_vg/my_lv を使用します。

Identity Management およびセキュリティーに関連する非推奨パッケージ

以下のパッケージは非推奨となり、Red Hat Enterprise Linux の今後のメジャーリリースには含まれません。
非推奨パッケージ提案される代替パッケージまたは製品
authconfigauthselect
pam_pkcs11sssd[a]
pam_krb5sssd[b]
openldap-servers ユースケースによっては、Red Hat Enterprise Linux に含まれる Identity Management または Red Hat Directory Server に移行してください[c]
mod_auth_kerb mod_auth_gssapi
python-kerberos
python-krbV
python-gssapi
python-requests-kerberospython-requests-gssapi
hesiod代替パッケージ/製品はありません。
mod_nssmod_ssl
mod_revocator代替パッケージ/製品はありません。
[a] System Security Services Daemon (SSSD) には拡張スマートカード機能が含まれています。
[b] pam_krb5 から sssd への移行詳細については、アップストリーム SSSD ドキュメントの『Migrating from pam_krb5 to sssd』を参照してください。
[c] Red Hat Directory Server には有効な Directory Server サブスクリプションが必要です。詳細については、Red Hat ナレッジベースの「What is the support status of the LDAP-server shipped with Red Hat Enterprise Linux?」を参照してください。

注記

Red Hat Enterprise Linux 7.5 では、以下のパッケージが上記の表に追加されました。
  • mod_auth_kerb
  • python-kerberospython-krbV
  • python-requests-kerberos
  • hesiod
  • mod_nss
  • mod_revocator

初期の IdM サーバーおよびドメインレベル 0 の IdM レプリカに対するサポートを制限

Red Hat では、Red Hat Enterprise Linux (RHEL) 7.3 (およびそれ以前) 上で動作している Identity Management (IdM) サーバーと RHEL の次期メジャーリリースの IdM クライアントの組み合わせをサポートする計画はありません。RHEL の次期メジャーバージョン上で動作するクライアントシステムを、現在 RHEL 7.3 (またはそれ以前) 上で動作している IdM サーバーにより管理されているデプロイメントに導入することを計画している場合には、サーバーをアップグレードして RHEL 7.4 以降に移行する必要がある点に注意してください。
RHEL の次期メジャーリリースでは、ドメインレベル 1 のレプリカしかサポートされません。RHEL の次期メジャーバージョン上で動作する IdM レプリカを既存のデプロイメントに導入する前に、すべての IdM サーバーを RHEL 7.4 またはそれ以降にアップグレードして、ドメインレベルを 1 に変更する必要がある点に注意してください。
ご自分のデプロイメントが影響を受ける場合には、事前にアップグレードを計画することを検討してください。

Red Hat Enterprise Linux の次期メジャーリリースでは、nss-pam-ldapd および NIS パッケージのバグ修正だけをサポート

Red Hat Enterprise Linux の今後のメジャーリリースで、nss-pam-ldapd パッケージおよび NIS server に関連するパッケージがリリースされる計画ですが、サポートの範囲は制限されます。Red Hat はバグレポートは受け付けますが、機能拡張の新規要求は受け付けません。以下の代替ソリューションに移行してください。
影響を受けるパッケージ提案される代替パッケージまたは製品
nss-pam-ldapdsssd
ypserv
ypbind
portmap
yp-tools
Red Hat Enterprise Linux の Identity Management

golang に代わる Go Toolset の使用

Red Hat Enterprise Linux 7.5 では、golang パッケージがバージョン 1.9 に更新されました。
Optional チャンネルから入手することのできる golang パッケージは、Red Hat Enterprise Linux 7 の今後のマイナーリリースから削除される計画です。このパッケージの代わりに、開発者は Go Toolset を使用することを推奨します。この代替パッケージは、現在テクノロジープレビューとして Red Hat Developer プログラム から利用可能です。

mesa-private-llvmllvm-private に置き換え

Red Hat Enterprise Linux 7 の今後のマイナーリリースでは、Mesa に対する LLVM ベースのランタイムサポートを含む mesa-private-llvm パッケージが、llvm-private に置き換えられます。

libdbi および libdbi-drivers を非推奨化

libdbi および libdbi-drivers パッケージは、Red Hat Enterprise Linux (RHEL) の次期メジャーリリースには含まれません。

Extras チャンネルで非推奨となった Ansible

Ansible およびその依存関係は、今後 Extras チャンネルを通じて更新されることはありません。その代わりに、Red Hat Enterprise Linux サブスクリプションで Red Hat Ansible Engine 製品を利用することができ、公式な Ansible Engine チャンネルにアクセスすることができます。従来 Extras チャンネルから Ansible およびその依存関係をインストールしていたお客様は、Ansible Engine チャンネルから有効化および更新を行うか、パッケージをアンインストールしてください。今後、エラータは Extras チャンネルから提供されることはありません。
これまで Ansible は、Extras で Red Hat Enterprise Linux (RHEL) System Roles のランタイム依存関係として提供され、サポートもこの範囲に限られていました (AMD64 および Intel 64 アーキティチャーならびに IBM POWER リトルエンディアン用)。今日では、AMD64 および Intel 64 アーキティチャーで Ansible Engine を利用することが可能です。IBM POWER については、近々リトルエンディアンへの対応が開始される予定です。
Extras チャンネルの Ansible は、Red Hat Enterprise Linux FIPS 検証プロセスに含まれていなかった点に注意してください。
以下のパッケージが Extras チャンネルで非推奨となりました。
  • ansible(-doc)
  • libtomcrypt
  • libtommath(-devel)
  • python2-crypto
  • python2-jmespath
  • python-httplib2
  • python-paramiko(-doc)
  • python-passlib
  • sshpass
詳細および説明については、ナレッジベースの記事「Ansible deprecated in the Extras channel」を参照してください。
テクノロジープレビューとして利用可能な Red Hat Enterprise Linux System Roles は、引き続き Extras チャンネルから配布される点に注意してください。Red Hat Enterprise Linux System Roles は ansible パッケージに依存しなくなりましたが、Red Hat Enterprise Linux System Roles を使用する playbook を実行するには、引き続き Ansible Engine リポジトリーから ansible をインストールする必要があります。

signtool を非推奨化

セキュアな署名アルゴリズムを使用しない nss パッケージから提供される signtool ツールは非推奨となり、Red Hat Enterprise Linux の今後のマイナーリリースには含まれません。

TLS 圧縮機能のサポートを nss から除外

CRIME 攻撃などのセキュリティー関連リスクを避けるために、すべての TLS バージョンについて TLS 圧縮機能のサポートを NSS ライブラリーから除外しました。この変更で、API の互換性は維持されます。

デフォルトでは、パブリック Web CA はコード署名用には信頼されない

Red Hat Enterprise Linux 7.5 と共に配布される Mozilla CA 信頼できる証明書リストでは、パブリック Web CA はコード署名用として信頼されなくなりました。したがって、NSS または OpenSSL 等の関連フラグを使用するソフトウェアは、デフォルトではこれらの CA をコード署名用として信頼しなくなりました。ソフトウェアは、引き続きコード署名によるセキュリティー確保を完全にサポートします。また、システム設定を使用して、引き続き CA 証明書をコード署名用に信頼できるものとして設定することは可能です。

Sendmail を非推奨化

Red Hat Enterprise Linux 7 では、Sendmail が非推奨となりました。Postfix を使用し、デフォルトのメール転送エージェント (MTA) として設定してください。

dmraid を非推奨化

Red Hat Enterprise Linux 7.5 以降、dmraid パッケージが非推奨となりました。Red Hat Enterprise Linux 7 リリースでは引き続き利用可能ですが、今後のメジャーリリースでは、ハードウェア/ソフトウェアを組み合わせたレガシー RAID ホストバスアダプター (HBA) はサポートされません。

ソケットレイヤーからの DCCP モジュール自動読み込みをデフォルトでは無効化

セキュリティー上の理由から、ソケットレイヤーからの Datagram Congestion Control Protocol (DCCP) カーネルモジュールの自動読み込みは、デフォルトでは無効になりました。これにより、悪意を持ったユーザー空間アプリケーションは、モジュールを読み込むことができません。modprobe プログラムを使用して、引き続き DCCP に関連するすべてのモジュールを手動で読み込むことは可能です。
DCCP モジュールをブラックリストに登録するための /etc/modprobe.d/dccp-blacklist.conf 設定ファイルが、カーネルパッケージに含まれています。このファイルを編集してそのエントリーをクリアする、またはファイルそのものを削除することで、以前の動作に戻すことができます。
同じカーネルパッケージまたは異なるバージョンのカーネルパッケージを再インストールしても、手動で加えた変更はオーバーライドされない点に注意してください。ファイルを手動で編集または削除した場合、これらの変更はパッケージのインストール後も維持されます。

rsyslog-libdbi を非推奨化

あまり使用されない rsyslog モジュールの 1 つが含まれる rsyslog-libdbi サブパッケージは非推奨となり、Red Hat Enterprise Linux の今後のメジャーリリースには含まれません。使用されない、またはほとんど使用されないモジュールを削除すると、使用するデータベース出力を容易に探すことができます。

rsyslogimudp モジュールの inputname オプションを非推奨化

rsyslog サービスの imudp モジュールの inputname オプションが非推奨となりました。このオプションの代わりに、name オプションを使用してください。

SMBv1 は Microsoft Windows 10 および 2016 (アップデート 1709 以降) にインストールされない

Microsoft は、最新バージョンの Microsoft Windows および Microsoft Windows Server には Server Message Block version 1 (SMBv1) プロトコルをインストールしないと発表しました。また、Microsoft はこれらの製品の旧バージョンでは SMBv1 を無効にすることを推奨しています。
この変更により、Linux と Windows の複合環境でシステムを運用している Red Hat のお客様が影響を受けます。Red Hat Enterprise Linux 7.1 以前では、SMBv1 バージョンのプロトコルしかサポートされません。SMBv2 に対するサポートは、Red Hat Enterprise Linux 7.2 で導入されました。
この変更が Red Hat のお客様にどのような影響を及ぼすかの詳細については、Red Hat ナレッジベースの「SMBv1 no longer installed with latest Microsoft Windows 10 and 2016 update (version 1709)」を参照してください。

FedFS を非推奨化

アップストリームの FedFS プロジェクトが積極的に保守されなくなったため、Federated File System (FedFS) が非推奨となりました。Red Hat では、FedFS のインストールから autofs の使用に移行することを推奨します。これにより、柔軟な機能が得られます。

Btrfs を非推奨化

Btrfs ファイルシステムは Red Hat Enterprise Linux 6 の初回リリース以降、テクノロジープレビューにとどまっています。Red Hat としては Btrfs を完全なサポート機能に移行する予定はなく、Red Hat Enterprise Linux の今後のメジャーリリースではこのファイルシステムが削除される予定です。
Red Hat Enterprise Linux 7.4 では、Btrfs ファイルシステムはアップストリームのさまざまな更新を受けており、Red Hat Enterprise Linux 7 シリーズではこのファイルシステムを利用することができますが、この機能に対する更新はこれで最後となる予定です。

tcp_wrappers を非推奨化

tcp_wrappers パッケージが非推奨となりました。tcp_wrappers が提供するライブラリーおよび小規模なデーモンプログラムにより、auditcyrus-imapdovecotnfs-utilsopensshopenldapproftpdsendmailstunnelsyslog-ngvsftpd、およびその他のさまざまなネットワークサービス用に、着信リクエストを監視し絞り込むことができます。

nautilus-open-terminalgnome-terminal-nautilus に置き換え

Red Hat Enterprise Linux 7.3 より、nautilus-open-terminal パッケージが非推奨となり、gnome-terminal-nautilus パッケージに置き換えられています。このパッケージは、Nautilus の右クリックのコンテキストメニューに 端末で開く のオプションを追加する Nautilus の拡張機能です。nautilus-open-terminal は、システムのアップグレード中に gnome-terminal-nautilus によって置き換えられます。

sslwrap()Python から削除

Python 2.7 から sslwrap() 関数が削除されました。466 Python Enhancement Proposal が実装された後にこの関数を使用すると、セグメンテーション違反が発生します。この削除はアップストリームに沿うものです。
Red Hat では、この関数の代わりに ssl.SSLContext クラスおよび ssl.SSLContext.wrap_socket() 関数の使用を推奨しています。多くのアプリケーションでは、単純に ssl.create_default_context() 関数を使用することができます。これによりセキュアなデフォルト設定でコンテキストが作成されます。デフォルトのコンテキストでは、システムのデフォルトのトラストストアも使用されます。

依存関係としてリンク付けされたライブラリーのシンボルが、ld では解決されない

以前のリリースでは、リンク付けされたあらゆるライブラリーのシンボルが、すべて ld リンカーによって解決されていました (他のライブラリーの依存関係として暗示的にしかリンク付けされていない場合も含めて)。そのため、開発者が暗示的にリンク付けされたライブラリーのシンボルをアプリケーションコードに使用するのに、これらのライブラリーのリンクを明示的に指定する必要はありませんでした。
セキュリティー上の理由から ld が変更され、依存関係として暗示的にリンク付けされたライブラリーのシンボルに対する参照を解決しないようになりました。
その結果、ライブラリーのリンクを宣言せず依存関係として暗示的にしかリンク付けしていない場合には、アプリケーションコードでそのライブラリーのシンボルの使用を試みると、ld とのリンクに失敗します。依存関係としてリンク付けされたライブラリーのシンボルを使用する場合、開発者はこれらのライブラリーとも明示的にリンク付けする必要があります。
以前の ld の動作に戻すには、-copy-dt-needed-entries コマンドラインオプションを使用します。(BZ#1292230)

Windows ゲスト仮想マシンの限定的サポート

Red Hat Enterprise Linux 7 の時点では、Windows ゲスト仮想マシンは、Advanced Mission Critical (AMC) などの特定のサブスクリプションプログラムにおいてのみサポートされます。

libnetlink を非推奨化

iproute-devel パッケージに含まれている libnetlink ライブラリーは非推奨となりました。このライブラリーの代わりに libnl および libmnl ライブラリーを使用してください。

KVM の S3 および S4 の電源管理状態を非推奨化

S3 (Suspend to RAM) および S4 (Suspend to Disk) の電源管理状態に対する KVM のネイティブサポートが廃止されました。この機能は、以前はテクノロジープレビューとして提供されていました。

Certificate Server の udnPwdDirAuth プラグインを廃止

Red Hat Enterprise Linux 7.3 で、Red Hat Certificate Server の udnPwdDirAuth 認証プラグインが廃止されました。このプラグインを使用するプロファイルはサポートされなくなりました。udnPwdDirAuth プラグインを使用するプロファイルで作成された証明書は、承認されている場合には引き続き有効です。

IdM 向けの Red Hat Access プラグインを廃止

Red Hat Enterprise Linux 7.3 で、Identity Management (IdM) 向けの Red Hat Access プラグインが廃止されました。redhat-access-plugin-ipa パッケージは、システムの更新時に自動的にアンインストールされます。ナレッジベースへのアクセスやサポートケースエンゲージメントなど、このプラグインによって以前提供されていた機能は、Red Hat カスタマーポータルで引き続き利用することができます。Red Hat では、redhat-support-tool ツールなどの代替オプションを検討されることを推奨します。

フェデレーション方式のシングルサインオン向けの Ipsilon 認証プロバイダーサービス

ipsilon パッケージは Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして導入されました。Ipsilon は認証プロバイダーとアプリケーション/ユーティリティーをリンクして、シングルサインオン (SSO) を可能にします。
Red Hat としては、Ipsilon をテクノロジープレビューから完全にサポートされた機能にアップグレードする予定はありません。ipsilon パッケージは、Red Hat Enterprise Linux の今後のマイナーリリースで削除される予定です。
Red Hat では、Keycloak コミュニティープロジェクトをベースとした Web SSO ソリューションとして Red Hat Single Sign-On をリリースしました。Red Hat Single Sign-On は、Ipsilon よりも優れた機能を提供し、Red Hat の製品ポートフォリオ全体の標準 Web SSO ソリューションとして設計されています。

複数の rsyslog オプションを非推奨化

Red Hat Enterprise Linux 7.4 の rsyslog ユーティリティーバージョンで複数のオプションが非推奨となりました。これらのオプションは効力がなくなり、警告が表示されてしまいます。
  • これまでオプション -c-u-q-x-A-Q-4-6 により提供されていた機能は、rsyslog 設定を使用して利用することができます。
  • これまでオプション -l および -s により提供されていた機能の代わりとなるものはありません。

非推奨となった memkind ライブラリーのシンボル

memkind ライブラリーの以下のシンボルが非推奨となりました。
  • memkind_finalize()
  • memkind_get_num_kind()
  • memkind_get_kind_by_partition()
  • memkind_get_kind_by_name()
  • memkind_partition_mmap()
  • memkind_get_size()
  • MEMKIND_ERROR_MEMALIGN
  • MEMKIND_ERROR_MALLCTL
  • MEMKIND_ERROR_GETCPU
  • MEMKIND_ERROR_PMTT
  • MEMKIND_ERROR_TIEDISTANCE
  • MEMKIND_ERROR_ALIGNMENT
  • MEMKIND_ERROR_MALLOCX
  • MEMKIND_ERROR_REPNAME
  • MEMKIND_ERROR_PTHREAD
  • MEMKIND_ERROR_BADPOLICY
  • MEMKIND_ERROR_REPPOLICY

SCTP (RFC 6458) のソケット API 拡張オプションを非推奨化

ストリームコントロールトランスミッションプロトコル (SCTP: Stream Control Transmission Protocol) のソケット API 拡張の SCTP_SNDRCVSCTP_EXTRCV、および SCTP_DEFAULT_SEND_PARAM は、RFC 6458 仕様に従い非推奨となりました。
新たなオプション SCTP_SNDINFOSCTP_NXTINFOSCTP_NXTINFO、および SCTP_DEFAULT_SNDINFO が、非推奨となったオプションの代替として実装されました。

SSLv2 および SSLv3 を使用した NetApp ONTAP の管理が libstorageMgmt ではサポートされない

NetApp ONTAP ストレージアレイへの SSLv2 および SSLv3 接続が、libstorageMgmt ライブラリーではサポートされなくなりました。ユーザーは、NetApp サポートに連絡して Transport Layer Security (TLS) プロトコルを有効にすることができます。

dconf-dbus-1 を非推奨化し、dconf-editor を別途提供

今回の更新で dconf-dbus-1 API が削除されましたが、バイナリーの互換性を確保するために dconf-dbus-1 ライブラリーがバックポートされました。Red Hat は dconf-dbus-1 ではなく GDBus ライブラリーを使用することを推奨します。
dconf-error.h ファイルの名前が dconf-enums.h に変更されました。また dconf Editor は別の dconf-editor パッケージで提供されるようになりました。

FreeRADIUSAuth-Type := System を受け入れない

FreeRADIUS サーバーは、rlm_unix 認証モデルの Auth-Type := System オプションを受け入れなくなりました。このオプションの代わりに、設定ファイルの authorize セクションで unix モジュールを使用することになりました。

非推奨のデバイスドライバー

以下のデバイスドライバーは、Red Hat Enterprise Linux 7 のライフサイクル終了までサポートされます。ただし、本製品の今後のメジャーリリースではサポートされない可能性が高く、新規実装は推奨されません。
  • 3w-9xxx
  • 3w-sas
  • aic79xx
  • aoe
  • arcmsr
  • ata ドライバー:
    • acard-ahci
    • sata_mv
    • sata_nv
    • sata_promise
    • sata_qstor
    • sata_sil
    • sata_sil24
    • sata_sis
    • sata_svw
    • sata_sx4
    • sata_uli
    • sata_via
    • sata_vsc
  • bfa
  • cxgb3
  • cxgb3i
  • hptiop
  • isci
  • iw_cxgb3
  • mptbase
  • mptctl
  • mptsas
  • mptscsih
  • mptspi
  • mtip32xx
  • mvsas
  • mvumi
  • OSD ドライバー:
    • osd
    • libosd
  • osst
  • pata ドライバー:
    • pata_acpi
    • pata_ali
    • pata_amd
    • pata_arasan_cf
    • pata_artop
    • pata_atiixp
    • pata_atp867x
    • pata_cmd64x
    • pata_cs5536
    • pata_hpt366
    • pata_hpt37x
    • pata_hpt3x2n
    • pata_hpt3x3
    • pata_it8213
    • pata_it821x
    • pata_jmicron
    • pata_marvell
    • pata_netcell
    • pata_ninja32
    • pata_oldpiix
    • pata_pdc2027x
    • pata_pdc202xx_old
    • pata_piccolo
    • pata_rdc
    • pata_sch
    • pata_serverworks
    • pata_sil680
    • pata_sis
    • pata_via
    • pdc_adma
  • pm80xx(pm8001)
  • pmcraid
  • qla3xxx
  • stex
  • sx8
  • ufshcd

非推奨のアダプター

  • aacraid ドライバーの以下のアダプターが非推奨となりました。
    • PERC 2/Si (Iguana/PERC2Si)、PCI ID 0x1028:0x0001
    • PERC 3/Di (Opal/PERC3Di)、PCI ID 0x1028:0x0002
    • PERC 3/Si (SlimFast/PERC3Si)、PCI ID 0x1028:0x0003
    • PERC 3/Di (Iguana FlipChip/PERC3DiF)、PCI ID 0x1028:0x0004
    • PERC 3/Di (Viper/PERC3DiV)、PCI ID 0x1028:0x0002
    • PERC 3/Di (Lexus/PERC3DiL)、PCI ID 0x1028:0x0002
    • PERC 3/Di (Jaguar/PERC3DiJ)、PCI ID 0x1028:0x000a
    • PERC 3/Di (Dagger/PERC3DiD)、PCI ID 0x1028:0x000a
    • PERC 3/Di (Boxster/PERC3DiB)、PCI ID 0x1028:0x000a
    • catapult、PCI ID 0x9005:0x0283
    • tomcat、PCI ID 0x9005:0x0284
    • Adaptec 2120S (Crusader)、PCI ID 0x9005:0x0285
    • Adaptec 2200S (Vulcan)、PCI ID 0x9005:0x0285
    • Adaptec 2200S (Vulcan-2m)、PCI ID 0x9005:0x0285
    • Legend S220 (Legend Crusader)、PCI ID 0x9005:0x0285
    • Legend S230 (Legend Vulcan)、PCI ID 0x9005:0x0285
    • Adaptec 3230S (Harrier)、PCI ID 0x9005:0x0285
    • Adaptec 3240S (Tornado)、PCI ID 0x9005:0x0285
    • ASR-2020ZCR SCSI PCI-X ZCR (Skyhawk)、PCI ID 0x9005:0x0285
    • ASR-2025ZCR SCSI SO-DIMM PCI-X ZCR (Terminator)、PCI ID 0x9005:0x0285
    • ASR-2230S + ASR-2230SLP PCI-X (Lancer)、PCI ID 0x9005:0x0286
    • ASR-2130S (Lancer)、PCI ID 0x9005:0x0286
    • AAR-2820SA (Intruder)、PCI ID 0x9005:0x0286
    • AAR-2620SA (Intruder)、PCI ID 0x9005:0x0286
    • AAR-2420SA (Intruder)、PCI ID 0x9005:0x0286
    • ICP9024RO (Lancer)、PCI ID 0x9005:0x0286
    • ICP9014RO (Lancer)、PCI ID 0x9005:0x0286
    • ICP9047MA (Lancer)、PCI ID 0x9005:0x0286
    • ICP9087MA (Lancer)、PCI ID 0x9005:0x0286
    • ICP5445AU (Hurricane44)、PCI ID 0x9005:0x0286
    • ICP9085LI (Marauder-X)、PCI ID 0x9005:0x0285
    • ICP5085BR (Marauder-E)、PCI ID 0x9005:0x0285
    • ICP9067MA (Intruder-6)、PCI ID 0x9005:0x0286
    • Themisto Jupiter Platform、PCI ID 0x9005:0x0287
    • Themisto Jupiter Platform、PCI ID 0x9005:0x0200
    • Callisto Jupiter Platform、PCI ID 0x9005:0x0286
    • ASR-2020SA SATA PCI-X ZCR (Skyhawk)、PCI ID 0x9005:0x0285
    • ASR-2025SA SATA SO-DIMM PCI-X ZCR (Terminator)、PCI ID 0x9005:0x0285
    • AAR-2410SA PCI SATA 4ch (Jaguar II)、PCI ID 0x9005:0x0285
    • CERC SATA RAID 2 PCI SATA 6ch (DellCorsair)、PCI ID 0x9005:0x0285
    • AAR-2810SA PCI SATA 8ch (Corsair-8)、PCI ID 0x9005:0x0285
    • AAR-21610SA PCI SATA 16ch (Corsair-16)、PCI ID 0x9005:0x0285
    • ESD SO-DIMM PCI-X SATA ZCR (Prowler)、PCI ID 0x9005:0x0285
    • AAR-2610SA PCI SATA 6ch、PCI ID 0x9005:0x0285
    • ASR-2240S (SabreExpress)、PCI ID 0x9005:0x0285
    • ASR-4005、PCI ID 0x9005:0x0285
    • IBM 8i (AvonPark)、PCI ID 0x9005:0x0285
    • IBM 8i (AvonPark Lite)、PCI ID 0x9005:0x0285
    • IBM 8k/8k-l8 (Aurora)、PCI ID 0x9005:0x0286
    • IBM 8k/8k-l4 (Aurora Lite)、PCI ID 0x9005:0x0286
    • ASR-4000 (BlackBird)、PCI ID 0x9005:0x0285
    • ASR-4800SAS (Marauder-X)、PCI ID 0x9005:0x0285
    • ASR-4805SAS (Marauder-E)、PCI ID 0x9005:0x0285
    • ASR-3800 (Hurricane44)、PCI ID 0x9005:0x0286
    • Perc 320/DC、PCI ID 0x9005:0x0285
    • Adaptec 5400S (Mustang)、PCI ID 0x1011:0x0046
    • Adaptec 5400S (Mustang)、PCI ID 0x1011:0x0046
    • Dell PERC2/QC、PCI ID 0x1011:0x0046
    • HP NetRAID-4M、PCI ID 0x1011:0x0046
    • Dell Catchall、PCI ID 0x9005:0x0285
    • Legend Catchall、PCI ID 0x9005:0x0285
    • Adaptec Catch All、PCI ID 0x9005:0x0285
    • Adaptec Rocket Catch All、PCI ID 0x9005:0x0286
    • Adaptec NEMER/ARK Catch All、PCI ID 0x9005:0x0288
  • mpt2sas ドライバーの以下のアダプターが非推奨となりました。
    • SAS2004、PCI ID 0x1000:0x0070
    • SAS2008、PCI ID 0x1000:0x0072
    • SAS2108_1、PCI ID 0x1000:0x0074
    • SAS2108_2、PCI ID 0x1000:0x0076
    • SAS2108_3、PCI ID 0x1000:0x0077
    • SAS2116_1、PCI ID 0x1000:0x0064
    • SAS2116_2、PCI ID 0x1000:0x0065
    • SSS6200、PCI ID 0x1000:0x007E
  • megaraid_sas ドライバーの以下のアダプターが非推奨となりました。
    • Dell PERC5、PCI ID 0x1028:0x15
    • SAS1078R、PCI ID 0x1000:0x60
    • SAS1078DE、PCI ID 0x1000:0x7C
    • SAS1064R、PCI ID 0x1000:0x411
    • VERDE_ZCR、PCI ID 0x1000:0x413
    • SAS1078GEN2、PCI ID 0x1000:0x78
    • SAS0079GEN2、PCI ID 0x1000:0x79
    • SAS0073SKINNY、PCI ID 0x1000:0x73
    • SAS0071SKINNY、PCI ID 0x1000:0x71
  • qla2xxx ドライバーの以下のアダプターが非推奨となりました。
    • ISP24xx、PCI ID 0x1077:0x2422
    • ISP24xx、PCI ID 0x1077:0x2432
    • ISP2422、PCI ID 0x1077:0x5422
    • QLE220、PCI ID 0x1077:0x5432
    • QLE81xx、PCI ID 0x1077:0x8001
    • QLE10000、PCI ID 0x1077:0xF000
    • QLE84xx、PCI ID 0x1077:0x8044
    • QLE8000、PCI ID 0x1077:0x8432
    • QLE82xx、PCI ID 0x1077:0x8021
  • qla4xxx ドライバーの以下のアダプターが非推奨となりました。
    • QLOGIC_ISP8022、PCI ID 0x1077:0x8022
    • QLOGIC_ISP8324、PCI ID 0x1077:0x8032
    • QLOGIC_ISP8042、PCI ID 0x1077:0x8042
  • be2net ドライバーによって制御される次のイーサネットアダプターは非推奨となりました。
    • TIGERSHARK NIC、PCI ID 0x0700
  • be2iscsi ドライバーの以下のアダプターが非推奨となりました。
    • Emulex OneConnect 10Gb iSCSI Initiator (汎用)、PCI ID 0x212
    • OCe10101、OCm10101、OCe10102、OCm10102 BE2 アダプターファミリー、PCI ID 0x702
    • OCe10100 BE2 アダプターファミリー、PCI ID 0x703
  • lpfc ドライバーの以下のアダプターが非推奨となりました。
    • BladeEngine 2 (BE2) デバイス
      • TIGERSHARK FCOE、PCI ID 0x0704
    • ファイバーチャネル (FC) デバイス
      • FIREFLY、PCI ID 0x1ae5
      • PROTEUS_VF、PCI ID 0xe100
      • BALIUS、PCI ID 0xe131
      • PROTEUS_PF、PCI ID 0xe180
      • RFLY、PCI ID 0xf095
      • PFLY、PCI ID 0xf098
      • LP101、PCI ID 0xf0a1
      • TFLY、PCI ID 0xf0a5
      • BSMB、PCI ID 0xf0d1
      • BMID、PCI ID 0xf0d5
      • ZSMB、PCI ID 0xf0e1
      • ZMID、PCI ID 0xf0e5
      • NEPTUNE、PCI ID 0xf0f5
      • NEPTUNE_SCSP、PCI ID 0xf0f6
      • NEPTUNE_DCSP、PCI ID 0xf0f7
      • FALCON、PCI ID 0xf180
      • SUPERFLY、PCI ID 0xf700
      • DRAGONFLY、PCI ID 0xf800
      • CENTAUR、PCI ID 0xf900
      • PEGASUS、PCI ID 0xf980
      • THOR、PCI ID 0xfa00
      • VIPER、PCI ID 0xfb00
      • LP10000S、PCI ID 0xfc00
      • LP11000S、PCI ID 0xfc10
      • LPE11000S、PCI ID 0xfc20
      • PROTEUS_S、PCI ID 0xfc50
      • HELIOS、PCI ID 0xfd00
      • HELIOS_SCSP、PCI ID 0xfd11
      • HELIOS_DCSP、PCI ID 0xfd12
      • ZEPHYR、PCI ID 0xfe00
      • HORNET、PCI ID 0xfe05
      • ZEPHYR_SCSP、PCI ID 0xfe11
      • ZEPHYR_DCSP、PCI ID 0xfe12
使用中のシステム上の PCI ID を確認するには、lspci -nn コマンドを実行します。
この一覧に含まれていない上記ドライバーのアダプターについては、変更がない点に注意してください。

libcxgb3 ライブラリーおよび cxgb3 ファームウェアパッケージを非推奨化

libibverbs パッケージにより提供される libcxgb3 ライブラリーおよび cxgb3 ファームウェアパッケージが非推奨となりました。Red Hat Enterprise Linux 7 では引き続きサポートされますが、本製品の次期メジャーリリースではサポートされない可能性が高いです。この変更は、上述の cxgb3cxgb3i、および iw_cxgb3 ドライバーの非推奨化に対応するものです。

SFN4XXX アダプターを非推奨化

Red Hat Enterprise Linux 7.4 以降、SFN4XXX Solarflare ネットワークアダプターが非推奨となっています。以前は、Solarflare にはすべてのアダプターに対する単一のドライバー sfc がありました。最近、SFN4XXX は sfc から分割され、sfc-falcon という名前の新しい SFN4XXX 専用ドライバーに移されました。これら両方のドライバーは現時点ではサポートされますが、sfc-falcon と SFN4XXX のサポートは今後のメジャーリリースで削除される予定です。

Software-initiated-only FCoE ストレージ技術を非推奨化

Fibre Channel over Ethernet (FCoE) ストレージ技術の software-initiated-only タイプは、限られたお客様でしか採用されなかったため非推奨となりました。software-initiated-only ストレージ技術は、Red Hat Enterprise Linux 7 のライフサイクル期間中は引き続きサポートされます。非推奨化の通知には、Red Hat Enterprise Linux の今後のメジャーリリースではsoftware-initiated ベースの FCoE がサポートされない意向が示されています。
ハードウェアベースの FCoE に対するサポートおよび関連するユーザー空間ツール (ドライバー、libfc、または libfcoe) は、この非推奨化の影響を受けない点に注意してください。

libvirt-lxc ツールを使用するコンテナーを非推奨化

Red Hat Enterprise Linux 7.1 以降、以下の libvirt-lxc パッケージは非推奨となっています。
  • libvirt-daemon-driver-lxc
  • libvirt-daemon-lxc
  • libvirt-login-shell
Linux コンテナーに関する今後の開発は、docker コマンドラインインターフェースがベースになります。libvirt-lxc ツールは、Red Hat Enterprise Linux (Red Hat Enterprise Linux 7 を含む) の今後のリリースからは削除される可能性があります。したがって、カスタムなコンテナー管理アプリケーションを開発する際には依存しないようにしてください。
詳細については、Red Hat ナレッジベースの記事 を参照してください。

パート V. 既知の問題

本パートでは、Red Hat Enterprise Linux 7.5 の既知の問題について説明します。

第40章 認証および相互運用性

軽量 CA の鍵取得に失敗した後にクラッシュが報告される

Identity Management (IdM) を使用する場合に、軽量の証明局 (CA) 鍵の取得に何らかの理由で失敗すると、操作は「Uncaught Exception」により予期せず失敗します。この例外が発生すると、クラッシュレポートが作成されます。(BZ#1478366)

誤設定がある場合には OpenLDAP によりプログラムが即座に中断される

以前のリリースでは、Network Security Services の Mozilla 実装 (Mozilla NSS) は、OpenLDAP スイートにおける特定の設定エラーに対して警告を発することはなく無視していました。このため接続確立時にのみプログラムが中断していました。今回の更新で OpenLDAP が Mozilla NSS から OpenSSL に変わり (BZ#1400578 のリリースノートを参照)、OpenSSL では TLS コンテキストが即座に確立されるので、プログラムはすぐに中断します。この動作により、機能していない TLS ポートを開放した状態にするなど、考えられるセキュリティーリスクを回避することができます。
この問題を回避するには、OpenLDAP 設定を確認して修正してください。(BZ#1515833)

CACertFile または CACertDir が無効な場所を参照している場合に OpenLDAP は失敗を報告する

以前のリリースでは、CACertFile または CACertDir オプションが読み取りまたは読み込みできない場所を参照している場合でも、Network Security Services の Mozilla 実装 (Mozilla NSS) は必ずしも誤設定と認識しませんでした。今回の更新で、OpenLDAP スイートが Mozilla NSS から OpenSSL に切り替わりました (BZ#1400578 のリリースノート参照)。OpenSSL では、CACertFile または CACertDir が無効な場所を参照している場合に、問題が警告を受けずに無視されることはなくなりました。
この問題を回避するには、誤設定のオプションを削除するか、読み込み可能な場所を参照していることを確認してください。
さらに OpenLDAP では、CACertDir が参照するコンテンツに対して、より厳密なルールが適用されるようになりました。このディレクトリーの証明書を使用してエラーが発生する場合には、ディレクトリーが不整合な状態になっている可能性があります。この問題を解消するには、このディレクトリーで openssl rehash コマンドを実行してください。
CACertFile および CACertDir の詳細については、ldap.conf(5)、slapd.conf(5)、slapd-config(5)、および ldap_set_option(3) man ページを参照してください。(BZ#1515918、BZ#1515839)

cn=config で矛盾する変更が加えられた後に OpenLDAP は TLS 設定を更新しない

今回の更新で、OpenLDAP は Network Security Services の Mozilla 実装 (Mozilla NSS) から OpenSSL に切り替えられました (BZ#1400578 のリリースノート参照)。OpenSSL では、cn=config データベースの TLS 設定に矛盾のある変更が加えられた場合には、サーバーの TLS プロトコルが中断し、設定が予想どおりに更新されません。この問題を回避するには、cn=config の TLS 設定を更新する場合に変更レコードを 1 つだけ使用してください。変更レコードの定義については、ldif(5) man ページを参照してください。(BZ#1524193)

突然 Identity Management が接続を終了する

Directory Server のバグにより、一定時間が経過した後に突然 Identity Management (IdM) が接続を終了し、以下のエラーメッセージと共に認証に失敗します。
kinit: Generic error (see e-text) while getting initial credentials
この問題は、Red Hat Enterprise Linux 7.5 上にオフラインメディアから IdM をインストールした場合に発生します。問題を回避するには、yum update を実行して更新された 389-ds-base パッケージを取得して問題を解決してください。(BZ#1544477)

シャットダウン中に突然 Directory Server が終了する場合がある

Directory Server は nunc-stans フレームワークを使用して接続イベントを管理します。サーバーのシャットダウン時に接続が閉じられると、nunc-stans ジョブは開放された接続にアクセスしてしまいます。その結果、突然 Directory Server が終了する場合があります。この状況はシャットダウンプロセスの終盤に発生するので、データが破損したり失われたりすることはありません。現在のところ、回避策はありません。(BZ#1517383)

第41章 クラスタリング

el7 カーネルでは VDO 上での RAID 10 リシェイプによりデータが破損

VDO 上で RAID 10 のリシェイプを行うと (LVM および mdadm の両方で)、データが破損し最終的に raid10.c:1011 カーネルバグを引き起こす場合があります。VDO 上に RAID 10 (あるいは他の RAID タイプ) をスタックしても、VDO のデータ重複排除/圧縮機能を活用することができないので、この構成は推奨されません。(BZ#1528466、BZ#1530776)

第42章 コンパイラーとツール

TLS 接続が確立されるたびに、libcurl を使用するアプリケーションのメモリー消費が増加する

Network Security Services (NSS) の PK11_DestroyGenericObject() 関数は、PK11_CreateGenericObject() により割り当てられたリソースを解放するタイミングが間に合わず、TLS 接続が確立されるたびに、アプリケーションが libcurl パッケージを使用して割り当てるメモリーが増えてしまう可能性があります。
この問題を回避するには、以下の手順を実行します。
  • できるだけ既存の TLS 接続を再利用する、あるいは
  • 直接、libcurl を使用してファイルから読み込むのではなく、NSS データベースからの証明書と鍵を使用する (BZ#1510247)

第 2 世代 Intel Xeon Phi プロセッサーでは、NMI ウォッチドッグが無効の場合 OProfile および perf はイベントをサンプリングすることができない

パフォーマンスカウンターのハードウェアエラーにより、第 2 世代 Intel Xeon Phi プロセッサーでは、デフォルトのハードウェアイベント CPU_CLK_UNHALTED を使用したパフォーマンスイベントのサンプリングに失敗する場合があります。そのため、NMI ウォッチドッグが無効の場合、OProfile および perf ツールはサンプルの取得に失敗します。この問題を回避するには、perf または operf コマンドを実行する前に、NMI ウォッチドッグを有効にします。
echo 1 > /proc/sys/kernel/nmi_watchdog
...
operf some_examined_program
opreport
...
この回避策で選択されたツールは正常に動作しますが、NMI ウォッチドックの動作が正常になる訳ではない点に注意してください。異常のあるカウンターを使用している NMI ウォッチドックに原因があるためです。(BZ#1536004)

第43章 デスクトップ

ダウンロードした RPM ファイルを Nautilus からインストールできない

PackageKit への yum バックエンドが、ローカルファイルに関する詳細の取得に対応していないため、Nautilus ファイルマネージャーで RPM ファイルをダブルクリックしてもファイルがインストールされず、以下のエラーメッセージが返されます。
Sorry, this did not work, File is not supported
この問題を回避するには、gnome-packagekit パッケージをインストールしてダブルクリック動作に対応するか、yum ユーティリティーでファイルを手動でインストールします。(BZ#1434477)

キャプスロックの LED ステータス

UTF-8 キーマップを使用している場合は、キャプスロック機能が適切に動作していても、TTY モードではキャプスロックの LED が更新されません。Red Hat Enterprise Linux 7.5 以降で LED を適切に更新するには、以下のように /etc/udev/rules.d/99-kbd.rules 設定ファイルを作成する必要があります。
ACTION=="add", SUBSYSTEM=="leds",
ENV{DEVPATH}=="*/input*::capslock",
ATTR{trigger}="kbd-ctrlllock"
新しい udev ルールを再読み込みするには、以下のコマンドを実行します。
# udevadm control --reload-rules
# udevadm trigger
このように変更すれば、キャプスロックキーを押したときに、キャプスロックの LED のステータスが期待どおりに変わります。(BZ#1470932、BZ#1256895)

GNOME Shell バージョンの不整合

GNOME デスクトップ環境では、現在異なる GNOME Shell バージョンが表示されます。具体的には、gnome-shell --version コマンドで返されるバージョンと、設定詳細 セクションに表示されるバージョンが異なります。(BZ#1511454)

32 ビットバージョンの flatpak のアンインストール

multilib における潜在的な競合を回避するために、Red Hat Enterprise Linux 7.5 にアップデートする前に、32 ビットバージョンの flatpak パッケージをアンインストールすることが推奨されます。(BZ#1512940)

GNOME ダウングレードが機能しない

Red Hat Enterprise Linux 7.4 で導入された新しいバージョンの GNOME (3.22) では、yum downgrade コマンドまたは dnf downgrade コマンドを使用して、GNOME をバージョン 3.22 から 3.14 へダウングレードすることができなくなりました。唯一の回避策は、GNOME 関連のパッケージを、以前のバージョンに置き換えることです。ダウングレードを手動で行う場合は、GNOME 3.16-3.22 リリースノートで、使用できなくなる機能について確認してください。(BZ#1451876)

Wayland が、仮想マシンビューアー等の X11 アプリケーションのキーボードグラブを無視する

現在、XWayland サーバーから実行された場合、リモートデスクトップビューアーまたは仮想マシンマネージャー等の X11 ソフトウェアに依存するグラフィカルクライアントは、クライアント内にシステムキーボードショートカットを取得することができません。したがって、virt-manager ゲストのディスプレイ等のゲストウィンドウでショートカットをアクティブ化すると、ゲストではなくローカルのデスクトップが影響を受けます。
この問題を回避するには、Wayland ショートカット抑制プロトコルに対応した Wayland ネイティブクライアントを使用するか、デフォルトである X11 上の GNOME セッションに戻してシステムキーボードショートカットを必要とする X11 クライアントを実行します。
Wayland はテクノロジープレビューとして提供されている点に注意してください。(BZ#1500397)

スーパーユーザーはグラフィカルセッションを実行するべきではない

root ユーザーがグラフィカルセッションを開始すると、さまざまなバグが発生します。グラフィカルセッションは重大な予期せぬ問題の原因となり、セキュアではなく、Unix の原則に反するので、スーパーユーザーによる使用は想定されていないためです。

remote-viewer および virt-viewer から表示した VM のキーボードが機能しない

Wayland 内で実行した場合、remote-viewer および virt-viewer ユーティリティーは仮想マシンのキーイベントを認識しません。さらに、 Xwayland により以下のエラーが報告されます。
send_key: assertion 'scancode != 0'
(BZ#1540056)

Waylandgnome-system-log が動作しない

現在、Wayland セッションにログインした場合、 root ユーザーはそのユーザーの Xwayland ディスプレイにアクセスすることができません。そのため、端末で gnome-system-log ユーティリティーを実行しても、システムログファイルが表示されません。
この問題を回避するには、以下の xhost サーバーアクセス制御プログラムを実行します。
$ xhost +si:localuser:root
(BZ#1537529)

GUI 画面が正しく表示されない

色深度 16 で実行する場合、Emulex Pilot2 および Pilot3 カードの X ドライバーにバグが含まれます。このバグにより、この色深度ではグラフィカルディスプレイを使用することができません。
特定の構成でディスプレイを使用可能にするには、24 bpp イメージフォーマットを使用します。あるいは、 ShadowFB off オプションを使用して、xorg.conf ファイルのシャドウフレームバッファー抽象化レイヤーを無効にします。シャドウフレームバッファーを無効にすると、パフォーマンスに大きな影響が出る場合がある点に注意してください。(BZ#1499129)

xrandr が一部のビデオモードを提供できない

追加されるディスプレイ解像度は、X11 用ビデオドライバーによって異なります。特に、Intel および一般的なモード設定のドライバーからは、ノート PC ディスプレイ用にさまざまなビデオモードが提供されます。したがって、ネイティブではない一部のビデオモードは、構成によって利用できない場合があります。
この問題を回避するには、別のビデオドライバーを使用するか、xrandr(1) コマンドラインユーティリティーを使用して、手動で解像度を出力に追加します。(BZ#1478625)

radeon がハードウェアを正常にリセットできない

現在、radeon カーネルドライバーは、kexec コンテキストのハードウェアを正常にリセットすることができません。radeon の機能が停止し、残りの kdump サービスが失敗します。
このバグを回避するには、/etc/kdump.conf ファイルに以下の行を追加して、kdumpradeon をブラックリストに登録します。
dracut_args --omit-drivers "radeon"
force_rebuild 1
マシンおよび kdump を再起動します。kdump が開始された後に、設定ファイルから force_rebuild 1 行を削除します。
このシナリオでは、kdump 中はグラフィックを利用することはできませんが、kdump は正常に完了します。(BZ#1509444)

nouveau が Nvidia secboot ファームウェアを読み込むことができない

一部の Dell Coffeelake システムでは、nouveau カーネルモジュールは pascal カード用の Nvidia secboot ファームウェアを読み込むことができません。したがって、これらのシステムでは Nvidia GPU は機能しなくなり、システムのディスプレイポートも機能しなくなります。
このバグにより起動に問題が生じる場合には、nouveau をブラックリストに登録して問題を軽減します。ただし、マシンの機能しないポートが、この操作により正常に機能するようになる訳ではない点に注意してください。(BZ#1535168)

Xchat のステータスアイコンが上部アイコンパネルに表示されなくなる

システムがサスペンド状態になってから回復すると、着信メッセージを示す Xchat のステータスアイコンが上部アイコンパネルに表示されなくなります。
Gnome Software を使用してインストールした上部アイコンはサスペンドモード中も維持され、パネルから消えることはありません。(BZ#1544840)

GDM がホットプラグのモニターをアクティブ化しない

モニターを接続せずにマシンを起動した場合、モニターを接続しても GNOME Display Manager (GDM) 画面では非アクティブな状態を維持します。
回避策としては、モニターが接続されている間に以下のコマンドを実行して GDM を強制的に終了します。
# systemctl restart gdm.service
あるいは、xrandr ユーティリティーを使用してモニターをアクティブ化します。(BZ#1497303)

Wacom Expresskeys Remote がタブレットとして検出されない

gnome-shell および control-center ユーティリティーは、ペアリングされていない Wacom Expresskeys Remote デバイス (EKR) を検出しません。したがって、Wacom の設定 GUI においてEKR のボタンをマッピングすることができません。
現在、EKR は内蔵パッドを持つタブレットとペアリングされている場合に限り機能します。(BZ#1543631)

Synaptics の依存関係が xorg-x11-drivers を削除

Red Hat Enterprise Linux 7 の近年のリリースには、X 向けの xorg-x11-drv-libinput ドライバーが含まれています。このドライバーにより、一部の入力デバイスの操作性が大幅に向上する場合があります。xorg-x11-drv-libinput への切り替えを試みているユーザーは、xorg-x11-drivers パッケージが必要とする xorg-x11-drv-synaptics ドライバーを削除してください。ただし、synaptics の削除には xorg-x11-drivers の削除が必要です。
この問題を回避するには、xorg-x11-drivers を削除します。このパッケージは、システムのセットアップ時に適切なドライバー群をインストールするためだけに存在するので、削除しても実行時には一切影響を及ぼしません。すでにインストールされている X ドライバーは、期待どおりに更新されます。(BZ#1516970)

T470s ドッキングステーションのジャックが、サスペンド状態からの回復時に機能しない

ドッキングステーションに接続されたアナログオーディオの入出力を使用中の ThinkPad T470s がサスペンド状態になってから回復すると、出力音声が得られません。この問題は、ThinkPad ノート PC のアナログオーディオ入出力には影響を及ぼしません。(BZ#1548055)

xrandr 実行時に画面がオフになることがある

Nouveau ドライバーを使用している場合、RANDR 操作 (画面解像度のクエリー等) と重い 3D 負荷の組み合わせにより、画面がちらつくことがあります。
3D と RANDR の同時操作を最小限に抑えることで、ちらつきを避けることができます。つまり、3D 負荷が少ない時に画面のクエリーやサイズ変更を行います。(BZ#1545550)

第 8 世代 Intel Core プロセッサーのシステムでは、HDMI および DP の音声入力が amixer 等に表示されない

Red Hat Enterprise Linux では、alpha ステータスのハードウェアに対する i915 ドライバーのサポートがデフォルトでは無効になっています。そのため、i915 はオーディオドライバーにバインドしません。その結果、第 8 世代 Intel Core プロセッサーのシステムでは、HDMI および DP のビデオ/オーディオジャックの音声入力が amixer 等に表示されません。
この問題を回避するには、カーネルコマンドラインに i915.alpha_support=1 行を追加してシステムを起動します。(BZ#1540643)

自動的に起動したアプリケーションのトレイアイコンが反応しない

画面上部に従来のトレイアイコンを表示する GNOME Shell *TopIcons* 拡張が、自動的に起動したアプリケーションに対して機能しません (トレイアイコンが反応しない)。このバグは、GNOME セションの開始後に起動したアプリケーションには該当しません。
回避策としては、次に示す簡単な手順に従って GNOME セッションを再起動します。1. Alt キーと F2 キーを同時に押します。2. r と入力します。3. Enter キーを押します。(BZ#1550115)

ログイン画面のパネル色の不整合

GNOME クラシック セッションにログインする際、ノート PC がサスペンド状態になってから回復すると、ログイン画面の上部パネルが黒ではなく白になります。
この問題は、GNOME クラシック の機能には影響を及ぼしません。(BZ#1541021)

VM ゲストのアタッチ後、追加のディスプレーがミラー状態になる

ゲスト VM のモニターを表示して remote-viewer メニューから追加ディスプレーを有効にすると、新たに追加したディスプレーに最初のディスプレーの内容が表示されます。
回避策としては、いずれかのディスプレーで remote-viewer のフレームサイズを変更します。デスクトップ環境が両方のディスプレーに拡大され、ゲストディスプレーが正しく再配置されます。(BZ#1539686)

第44章 インストールと起動

リトアニア語を選択するとインストーラーがクラッシュする

リトアニア語 (Lietuvių) をグラフィカルインストーラーの最初の画面で選択して 続行 (Tęsti) を押すと、インストーラーがクラッシュしてトレースバックメッセージが表示されます。この問題を回避するには、別の言語を使用するか、グラフィカルインストーラーを避けて、テキストモードやキックスタートインストールなど、別のアプローチを使用します。(BZ#1527319)

キックスタートを使用して TUI でインストールすると、oscap-anaconda-addon が修正に失敗する

text Kickstart コマンドを使用して、インストールの表示モードをテキストベースユーザーインターフェース (TUI) に設定するキックスタートファイルでシステムをインストールする場合に、OpenSCAP Anaconda アドオンは、特定のセキュリティーポリシーにマシンを完全に修正できなくなります。この問題は、修正に必要なパッケージがインストールされていないために発生します。
この問題を回避するには、グラフィカルインストーラーを使用するか、セキュリティーポリシーで必要なパッケージをキックスタートファイルの %packages セクションに手動で追加します。(BZ#1547609)

UEFI システムにおいて、デフォルトでは grub2-mkimage コマンドの実行に失敗する

UEFI システムでは、 以下のエラーメッセージが出て grub2-mkimage コマンドの実行に失敗します。
error: cannot open `/usr/lib/grub/x86_64-efi/moddep.lst': No such file or directory.
このエラーの原因は、システムに grub2-efi-x64-modules パッケージが存在しないことです。この事象は、パッケージがデフォルトのインストールに含まれておらず、grub2-mkimage コマンドを提供する grub2-tools の依存関係として識別されない、という既知の問題によって生じます。
このエラーにより、このパッケージに依存するその他のツール (ReaR 等) の動作も失敗します。
この問題を回避するには、Yum を使用して手動で grub2-efi-x64-modules をインストールするか、システムのインストールに使用されるキックスタートファイルにこのパッケージを追加します。(BZ#1512493)

HPE BL920s Gen9 システム上に RHEL 7.5 をインストールする際のカーネルパニック

Meltdown の脆弱性に対する修正に関連する既知の問題により、HPE BL920s Gen2 (Superdome 2) システム上に Red Hat Enterprise Linux 7.5 をインストールする際に、NULL ポインターが逆参照されカーネルパニックが発生します。この問題が起こると、以下のエラーメッセージが表示されます。
WARNING: CPU: 576 PID: 3924 at kernel/workqueue.c:1518__queue_delayed_work+0x184/0x1a0
続いてシステムが再起動するか、異常な状態に移行します。
この問題の回避策として、いくつかの手段が考えられます。
  • ブートローダーを使用して、カーネルコマンドラインに nopti オプションを追加する。システムの起動が完了したら、最新の RHEL 7.5 カーネルにアップグレードします。
  • RHEL 7.4 をインストールし、続いて最新の RHEL 7.5 カーネルにアップグレードする。
  • シングルブレード上に RHEL 7.5 をインストールする。システムをインストールしたら最新の RHEL 7.5 カーネルにアップグレードし、続いて必要に応じてその他のブレードを追加します。(BZ#1540061)

読み取り専用のシステムを設定するのに READONLY=yes オプションだけでは不十分

Red Hat Enterprise Linux 6 では、/etc/sysconfig/readonly-root ファイルの READONLY=yes オプションを使用して読み取り専用のシステムパーティションを設定していました。Red Hat Enterprise Linux 7 の systemd では、システムパーティションのマウントに新たなアプローチが使用されているので、このオプションだけでは不十分です。
Red Hat Enterprise Linux 7 で読み取り専用のシステムを設定するには、以下の手順を実施します。
  • /etc/sysconfig/readonly-rootREADONLY=yes オプションを設定します。
  • /etc/fstab ファイルでルートマウントポイントに ro オプションを追加します。

第45章 カーネル

Spectre および Meltdown 問題に対応するセキュリティーパッチがパフォーマンス劣化の原因となる可能性がある

CVE-2017-5754、CVE-2017-5715、および CVE-2017-5753 で報告される問題に対応するセキュリティーパッチが導入されました。この問題の影響、検出、および解決策などの詳細については、Red Hat ナレッジベースの記事「カーネルのサイドチャネル攻撃 - CVE-2017-5754 CVE-2017-5753 CVE-2017-5715」を参照してください。パッチはデフォルトでは有効になっていますが、パフォーマンス悪化の原因となる可能性があります。
Red Hat Enterprise Linux Tunable を使用して、影響を制御することができます。起動時にカーネルコマンドラインを使用するか、実行時に debugfs コントロールを使用して、3 つの debugfs tunable を有効化または無効化してください。tunable は、Page Table Isolation (pti)、Indirect Branch Restricted Speculation (ibrs)、および Indirect Branch Prediction Barriers (ibpb) を制御します。起動時に検出されたアーキテクチャーの保護に必要なので、Red Hat ではデフォルトでこれらの各機能を有効にしています。
他の手段でお使いのシステムを保護されているお客様で、CVE 軽減を無効にしてパフォーマンスの悪化を回避する場合には、以下のオプションのいずれかを使用します。
1. カーネルコマンドラインに以下のフラグを追加して、カーネルを再起動して変更を有効にする。
noibrs noibpb nopti
2. 以下のコマンドを実行して、実行時にパッチを無効にする。変更はすぐに有効になるので、再起動は必要ありません。
# echo 0 > /sys/kernel/debug/x86/pti_enabled
# echo 0 > /sys/kernel/debug/x86/ibpb_enabled
# echo 0 > /sys/kernel/debug/x86/ibrs_enabled
「Kernel Side-Channel Attacks - CVE-2017-5754 CVE-2017-5753 CVE-2017-5715」の Diagnose タブも参照してください。(BZ#1532547)

KSC は xz 圧縮をサポートしない

カーネルモジュールのソースチェッカー (ksc ツール) は xz 圧縮方法を処理できず、以下のエラーを報告します。
File format not recognized (Only kernel object files are supported)
この問題を回避するには、xz 圧縮を使用するサードパーティーモジュールは、ksc ツールを実行する前にすべて手動で展開します。(BZ#1441455)

megaraid_sas を更新するとパフォーマンスが劣化することがある

megaraid_sas ドライバーが 06.811.02.00-rh1 に更新され、以前のバージョンにパフォーマンスの改善点が多く加えられました。しかし、SSD (Solid-state Drive) ベースの構成で、パフォーマンスが劣化する場合があることが報告されています。この問題を回避してパフォーマンスを元の状態に戻すには、/sys/ ディレクトリーの対応する queue_depth パラメーターをより大きな値 (最大値 256) に設定します。(BZ#1367444)

qede が読み込まれている場合、qedi は iSCSI PCIe 機能へのバインドに失敗する

QL41xxx ネットワークアダプター用のイーサネットドライバーである qede ドライバーは、必要以上の MSI-X ベクターを割り当てます。したがって、qedi ドライバーは、ハードウェアによって公開される iSCSI PCIe 機能へのバインドに失敗します。この問題を回避するには、qede ドライバーと qedi ドライバーの両方をアンロードし、続いて qedi だけを読み込みます。その結果、qedi はハードウェアによって公開される iSCSI 機能を確認し、アタッチされた iSCSI ターゲットを検出することができます。(BZ#1484047)

radeon によりカーネルパニックが発生する

セカンダリーまたはプライマリー GPU として radeon カーネルドライバーが組み込まれた一部のシステムでは、amdgpu グラフィックドライバーのバグにより、システムの起動に失敗する場合があります。
回避策としては、radeon カーネルドライバーをブラックリストに登録します。(BZ#1486100)

CPU のホットアドまたはホットリムーブ操作の後に、Kdump カーネルが起動に失敗する

リトルエンディアン版の IBM Power Systems において Kdump を有効にして Red Hat Enterprise Linux 7 を実行すると、CPU ホットアドまたはホットリムーブ操作後の kexec がトリガーとなった場合、Kdump クラッシュカーネルが起動に失敗します。この問題を回避するには、CPU のホットアドまたはホットリムーブ後に kdump サービスを再起動します。
# systemctl restart kdump.service
(BZ#1549355)

第46章 ネットワーク

MD5 ハッシュアルゴリズムを使用した署名の検証が、Red Hat Enterprise Linux 7 で無効になっている

MD5 で署名された証明書を必要とする Wi-Fi Protected Access (WPA) Enterprise Access Point (AP) に接続することはできません。この問題を回避するには、wpa_supplicant.service ファイルを /usr/lib/systemd/system ディレクトリーから /etc/systemd/system/ ディレクトリーにコピーして、そのファイルの Service のセクションに以下の行を追加します。
Environment=OPENSSL_ENABLE_MD5_VERIFY=1
次に root として systemctl daemon-reload コマンドを実行し、サービスファイルを再読み込みします。
重要: MD5 証明書は安全性が非常に低いため、Red Hat では使用を推奨していません。(BZ#1062656)

第47章 セキュリティー

NSS が RSA-PSS 鍵を使用して作成された無効な RSA PKCS#1 v1.5 署名を受け入れる

RSA 秘密鍵を使用して作成された署名を検証する際、Network Security Services (NSS) ライブラリーはサーバーが使用した対応する公開鍵のタイプを確認しません。したがって、RSA-PSS 鍵を使用して RSA PKCS#1 v1.5 署名が作成された場合、その署名が無効であっても NSS は受け入れてしまいます。(BZ#1510156)

OpenSSH に由来しない ssh-agent を使用した認証が失敗する

バージョン 7.4 以降、OpenSSH はデフォルトでは SHA-2 署名の拡張をネゴシエーションします。したがって、署名を提供する ssh-agent プログラムが現在の OpenSSH スイートに由来せず SHA-2 拡張を理解しない場合、認証は失敗します。この問題を回避するには、署名の提供に OpenSSH ssh-agent を使用します。(BZ#1497680)

OpenSSH 公開鍵の解析の厳密化

以前のリリースで公開鍵の解析手順が変更され、より厳密になりました。その結果、鍵のタイプと鍵のブロブのストリング間に存在する余分なスペースが無視されなくなり、そのような鍵を使用したログインは失敗するようになりました。この問題を回避するには、鍵のタイプと鍵のブロブのストリング間のスペースを、必ず 1 つだけにします。(BZ#1493406)

SCAP Workbench がカスタムプロファイルから結果ベースの修正を生成することができない

SCAP Workbench ツールを使用してカスタムプロファイルから結果ベースの修正ロールを生成しようとすると、以下のエラーが発生します。
Error generating remediation role '.../remediation.sh': Exit code of 'oscap' was 1: [output truncated]
この問題を回避するには、oscap コマンドを使用する際に --tailoring-file オプションを指定します。(BZ#1533108)

Clevis が誤った Device is not initialized エラーメッセージを記録する

Clevis プラグ可能フレームワークが initramfs イメージにあり、起動時にロックを解除する暗号化ボリュームが設定され、偶然 Clevis バインディングを設定していない場合、起動のログに誤った「Device is not initialized」エラーメッセージが表示されます。この問題を回避するには、Clevis バインディングのステップを実施します。ボリュームに関するエラーメッセージは表示されなくなります。(BZ#1538759)

どのような構成でも、seccomp=enabled を設定すると Libreswan が正常に動作しない

Libreswan SECCOMP サポートでの許可される syscall の実装は、まだ完了していません。したがって、ipsec.conf ファイルで SECCOMP を有効にすると、syscall のフィルターは pluto デーモンの正常な動作に必要な syscall であっても拒否してしまいます。デーモンは強制終了され、ipsec サービスが再起動します。
この問題を回避するには、seccomp= オプションの設定を disabled に戻します。ipsec を正しく動作させるには、SECCOMP のサポートを無効のままにしておく必要があります。(BZ#1544463)

VM およびコンテナーファイルシステムでは OpenSCAP RPM 検証ルールが正常に機能しない

rpminforpmverify、および rpmverifyfile プローブは、オフラインモードを完全にはサポートしません。したがって、オフラインモードにある仮想マシン (VM) およびコンテナーファイルシステムをスキャンする場合、OpenSCAP RPM 検証ルールは正常に機能しません。
この問題を回避するには、RPM 検証ルールを無効にするか、SCAP Security Guide のガイダンスを使用して手動でチェックを行います。オフラインモードにある VM およびコンテナーファイルシステムのスキャン結果には、誤検出が含まれる場合があります。(BZ#1556988)

スマートカードが挿入されると、NSS を使用する Firefox およびその他のアプリケーションが反応しなくなる

Network Security Services (NSS) ライブラリーは、スマートカード挿入のイベントおよびその状態を正しく処理しません。したがって、Gnome Display Manager (GDM) で NSS を使用する Firefox ブラウザーおよびその他のアプリケーションは、カード挿入の状態を確実に検出せず、スロットイベントを待機するよう要求している間は反応しなくなります。
この問題を回避するには、nss パッケージをバージョン 3.34 に更新せず、アップストリームのバージョン 3.36 の公開を待ってください。以前のバージョンの NSS であれば、スマートカードは正常に機能します。(BZ#1557015)

第48章 サーバーとサービス

Tunes サービスでプロファイルのアクティベーションエラーの表示が出力されない

Tuned サービス設定のエラーまたは Tuned プロファイルを読み込み中に発生するエラーが systemctl status tuned コマンドの出力に表示されない場合があります。そのため、Tuned の読み込みを阻止するエラーが発生した場合には、Tuned は有効なプロファイルがない状態に陥る可能性があります。考えられるエラーのメッセージを表示するには、tuned-adm active コマンドの出力および /var/log/tuned/tuned.log ファイルの内容を確認します。(BZ#1385838)

db_hotbackup -c は、細心の注意を払って使用する必要がある

db_hotbackup コマンドに -c オプションを指定する場合には、データベースを所有するユーザーが実行する必要があります。ユーザーが異なる場合にログファイルが最大サイズに達すると、コマンドを実行したユーザーを所有者として新規ログファイルが作成され、元の所有者がデータベースを使用できなくなってしまいます。この注記は、db_hotbackup(1) man ページに追加されています。(BZ#1460077)

rpcbind.socketListenStream= オプションを設定すると、systemd-logind が失敗し SSH 接続が遅れる

rpcbind.socket ユニットファイルで ListenStream= オプションを設定すると、現状では systemd-logind サービスが失敗し NIS データベースからシステムユーザーをインポートする SSH 接続が遅れます。この問題を回避するには、rpcbind.socket から ListenStream= オプションに関する行を削除します。(BZ#1425758)

grub2-efi-x64 パッケージがインストールされている非 UEFI システムで、ReaR 復元プロセスが失敗する

UEFI ファームウェアを使用しないシステムにおいて、UEFI システムの GRUB2 ブートローダーが含まれる grub2-efi-x64 パッケージをインストールすると、/boot/grub2/grubenv ファイルがリンク切れになった絶対シンボリックリンクに変更されてしまいます。ReaR (Relax and Recover) 復元ツールを使用してこのようなシステムを復元しようとすると、プロセスが失敗してシステムを起動できなくなります。この問題を回避するには、必要ではないシステム (UEFI ファームウェアがないシステム) に grub2-efi-x64 パッケージをインストールしないでください。(BZ#1498748)

Linux TSM を使用して ReaR で生成した ISO イメージが動作しない

バージョン 8.1.2 以降の Linux TSM (Tivoli Storage Manager) クライアントでは、パスワードの保管方法が変更されています。したがって、TSM を使用して ReaR で生成した ISO イメージは動作しません。TSM ノードのパスワードおよび暗号化キーが ISO ファイルに含まれないためです。この問題を解消するには、/etc/rear/local.conf または /etc/rear/site.conf 設定ファイルに以下の行を追加します。
COPY_AS_IS_TSM=( /etc/adsm /opt/tivoli/tsm/client /usr/local/ibm/gsk8* )
(BZ#1534646)

dbus リベースに伴う予期せぬ問題

設定変更を含む dbus パッケージのリベースにより、予期せぬ問題が生じる場合があります。したがって、以下の操作を避けることが推奨されます。
  • dbus サービスだけを更新する
  • システムの一部分だけを更新する
  • グラフィカルセッションから更新する
一方、yum update コマンドの実行後に再起動することを推奨します。dbus を含む主要コンポーネントを更新しても、再起動しないと期待どおりに機能しないためです。(BZ#1550582)

第49章 ストレージ

高度なストレージコントローラーが使用されている場合、kexec -e コマンドによりストレージエラーが生じることがある

-e オプションを設定して kexec ユーティリティーを使用した場合、システムは Linux の標準シャットダウンシーケンスをすべて実施せずに次のカーネルを起動します。これにより、Qlogic QMH2672 ファイバーチャネルアダプター等の高度なストレージコントローラーを使用するシステムでは、問題が生じる場合があります。これらのコントローラーでは、再起動の時点でストレージの処理が完了していることを、シャットダウンシーケンスにより確保しているためです。このようなシステムで kexec -e コマンドを呼び出すと、kexec のプロセスが進むにつれてストレージに関するエラーが発生し、新たに読み込まれたカーネルがマウントされたストレージの一部または全部を検出できない場合があります。
kexec -e の実行を試みて、システムで同様の現象が認められた場合には、-e オプションを設定せずに kexec を使用してください。この回避策が常に有効であることが確認されています。(BZ#1303244)

第50章 仮想化

perf イベント cmtmbmtmbml を報告するゲストが起動に失敗する

ゲスト仮想マシンで、perf イベント cmtmbmt、または mbml を報告するように設定している場合に、ホストを Red Hat Enterprise Linux 7.5 にアップグレードすると、ゲストを起動できなくなります。
この問題を回避するには、ドメインの XML 設定ファイルの <perf> セクションから event name='cmt'event name='mbmt'、または event name='mbml' を含む行を削除して、この設定を無効にします。(BZ#1532553)

付録A コンポーネントのバージョン

本付録では、Red Hat Enterprise Linux 7.5 リリースの主要コンポーネントとそのバージョンを一覧にして示します。

表A.1 コンポーネントのバージョン

コンポーネント
バージョン
kernel
3.10.0-862
kernel-alt
4.14.0-49
QLogic qla2xxx ドライバー
9.00.00.00.07.5-k1
QLogic qla4xxx ドライバー
5.04.00.00.07.02-k0
Emulex lpfc ドライバー
0:11.4.0.4
iSCSI イニシエーターユニット (iscsi-initiator-utils)
6.2.0.874-7
DM-Multipath (device-mapper-multipath)
0.4.9-119
LVM (lvm2)
2.02.177-4
qemu-kvm[a]
1.5.3-156
qemu-kvm-ma[b]
2.10.0-21
[a] qemu-kvm パッケージにより、AMD64 および Intel 64 システム上で KVM 仮想化が提供されます。
[b] qemu-kvm-ma パッケージにより、IBM POWER8、IBM POWER9、および IBM z Systems 上で KVM 仮想化が提供されます。IBM POWER9 および IBM z Systems 上での KVM 仮想化には、kernel-alt パッケージも使用する必要がある点に注意してください。

付録B コンポーネント別の Bugzilla リスト

本付録では、本リリースノートに含まれるすべてのコンポーネントとそれらに関連する Bugzilla のリストを記載します。

表B.1 コンポーネント別の Bugzilla リスト

コンポーネント新機能重要なバグ修正テクノロジープレビュー既知の問題
389-ds-baseBZ#1274430、BZ#1352121、BZ#1406351、BZ#1458536、BZ#1467777、BZ#1470169BZ#1434335、BZ#1445188、BZ#1453155、BZ#1459946、BZ#1464463、BZ#1464505、BZ#1465600、BZ#1476207、BZ#1476322、BZ#1483681、BZ#1498980、BZ#1501058、BZ#1511462、BZ#1517788、BZ#1523183、BZ#1533571 BZ#1517383、BZ#1544477
Doc-config-command-file-referenceBZ#1479012   
ModemManagerBZ#1483051   
NetworkManagerBZ#1350830、BZ#1398925、BZ#1436531   
OVMF  BZ#653382 
OpenIPMIBZ#1457805   
adcli BZ#1471021  
anacondaBZ#1328576、BZ#1448459、BZ#1450922BZ#1452873、BZ#1465944、BZ#1478970  
ansible  BZ#1313263 
at BZ#1481355  
auditBZ#1476406   
binutilsBZ#1385959、BZ#1406430、BZ#1472955、BZ#1485398BZ#1465318、BZ#1488889  
checkpolicyBZ#1494179   
chronyBZ#1482565   
clevisBZ#1475406、BZ#1475408、BZ#1478888BZ#1500975 BZ#1538759
clufterBZ#1509381   
cockpitBZ#1470780   
conmanBZ#1435840   
control-centerBZ#1481407  BZ#1543631
corosync  BZ#1413573 
criu  BZ#1400230 
cupsBZ#1434153、BZ#1466497   
curlBZ#1409208BZ#1511523 BZ#1510247
custodia  BZ#1403214 
dbusBZ#1460262、BZ#1480264  BZ#1550582
device-mapper-multipathBZ#1452210、BZ#1456955BZ#1459370  
dhcpBZ#1394727、BZ#1396985   
ding-libsBZ#1480270   
distributionBZ#1512020、BZ#1512021  BZ#1062656
dnsmasqBZ#1188259   
emacs-php-modeBZ#1266953   
exiv2 BZ#1420227  
fence-agentsBZ#1451776、BZ#1476009BZ#1519370BZ#1476401 
firewalld BZ#1462977  
freeipmiBZ#1435848   
fwupdBZ#1420913   
gccBZ#1535655BZ#1468546、BZ#1469384、BZ#1487434  
gdb BZ#1228556、BZ#1480498、BZ#1493675、BZ#1518243  
genwqe-tools BZ#1456492  
ghostscript BZ#1473337、BZ#1479852  
gimpBZ#1210840   
gjs BZ#1523121  
glibcBZ#677316、BZ#1375235、BZ#1448822、BZ#1498925BZ#1443236、BZ#1504969  
gnome-settings-daemonBZ#1481410   
gnome-shellBZ#1481381 BZ#1481395BZ#1497303、BZ#1511454、BZ#1539772、BZ#1541021
gnome-shell-extensions   BZ#1544840、BZ#1550115
gnome-software   BZ#1434477
grub2   BZ#1512493
gssproxy BZ#1462974、BZ#1488629  
httpdBZ#1274890   
hwdata BZ#1489281  
ima-evm-utils  BZ#1384450 
initscriptsBZ#1357658、BZ#1478419BZ#1364895、BZ#1380496、BZ#1395391、BZ#1455419 BZ#1444018
inkscapeBZ#1480184   
ipaBZ#1484683BZ#1415162BZ#1115294、BZ#1298286BZ#1478366
ipa-server-docker  BZ#1405325 
iprouteBZ#1435647、BZ#1456539、BZ#1468280   
iptablesBZ#1402021   
kernelBZ#1102454、BZ#1226051、BZ#1272615、BZ#1273769、BZ#1308630、BZ#1349668、BZ#1361287、BZ#1379551、BZ#1400689、BZ#1409365、BZ#1421164、BZ#1429710、BZ#1430637、BZ#1451916、BZ#1454745、BZ#1454965、BZ#1456687、BZ#1457561、BZ#1457572、BZ#1458278、BZ#1465223、BZ#1467288、BZ#1467335、BZ#1468286、BZ#1469857、BZ#1475409、BZ#1481303、BZ#1482253、BZ#1491226、BZ#1494476、BZ#1538911BZ#947004、BZ#1317099、BZ#1373534、BZ#1383691、BZ#1432288、BZ#1438695、BZ#1442618、BZ#1442784、BZ#1445046、BZ#1446684、BZ#1448534、BZ#1450529、BZ#1457046、BZ#1460106、BZ#1460213、BZ#1460641、BZ#1462363、BZ#1465711、BZ#1467280、BZ#1467521、BZ#1467561、BZ#1469200、BZ#1469247、BZ#1472892、BZ#1476040、BZ#1476709、BZ#1479043、BZ#1506338、BZ#1507821BZ#916382、BZ#1109348、BZ#1111712、BZ#1205497、BZ#1206277、BZ#1230959、BZ#1274459、BZ#1299662、BZ#1305092、BZ#1348508、BZ#1350553、BZ#1387768、BZ#1391561、BZ#1393375、BZ#1414957、BZ#1457533、BZ#1460849BZ#1303244、BZ#1367444、BZ#1470932、BZ#1484047、BZ#1486100、BZ#1509444、BZ#1528466、BZ#1535168、BZ#1539686、BZ#1540061、BZ#1540643、BZ#1548055
kernel-rtBZ#1401061、BZ#1462329 BZ#1297061 
kexec-toolsBZ#1431974BZ#1448861、BZ#1476219 BZ#1549355
kmodBZ#1361857   
krb5BZ#1462982BZ#1431198、BZ#1460089  
ksc   BZ#1441455
libdb BZ#1349779 BZ#1460077
libguestfsBZ#1172425、BZ#1438710、BZ#1448739、BZ#1451665BZ#1472719、BZ#1506572BZ#1387213、BZ#1441197、BZ#1477912 
libicaBZ#1376836   
libnftnl  BZ#1332585 
libpfmBZ#1474999   
libreofficeBZ#1474303   
libreswanBZ#1300763、BZ#1457904、BZ#1463062、BZ#1471763、BZ#1475434 BZ#1375750BZ#1544463
libsmbiosBZ#1463329   
libstoragemgmt  BZ#1119909 
libusnic_verbs  BZ#916384 
libvaBZ#1456903   
libvirtBZ#1289368、BZ#1292451、BZ#1472263 BZ#1283251BZ#1532553
libvncserver BZ#1314814  
libyamiBZ#1456906   
linuxptpBZ#1002657   
logrotate BZ#1465720  
loraxBZ#1458937、BZ#1478448BZ#1341280  
lvm2BZ#1113681、BZ#1278192   
m17n-dbBZ#1058510   
mailx BZ#1474130  
mod_nss BZ#1461580  
mpg123BZ#1481753   
mutterBZ#1481386  BZ#1500397、BZ#1537529
net-snmp BZ#1329338  
netpbmBZ#1381122   
nftablesBZ#1472261BZ#1451404  
nmapBZ#1460249   
nssBZ#1395803、BZ#1457789 BZ#1425514、BZ#1431210、BZ#1432142BZ#1510156、BZ#1557015
numpy BZ#1167156  
opal-prdBZ#1456536   
opencryptokiBZ#1456520   
openldapBZ#1400578   
openscBZ#1473418   
openscapBZ#1505517  BZ#1556988
opensshBZ#1478035BZ#1488083、BZ#1496808、BZ#1517226 BZ#1493406、BZ#1497680
openssl-ibmcaBZ#1456516   
oprofileBZ#1465354   
oscap-anaconda-addon   BZ#1547609
otherBZ#1432080、BZ#1499059、BZ#1543995、BZ#1578075 BZ#1062759、BZ#1072107、BZ#1259547、BZ#1464377、BZ#1477977BZ#1451876、BZ#1512940、BZ#1515833、BZ#1515918、BZ#1524193、BZ#1532547、BZ#1536004
pacemakerBZ#1427648、BZ#1461976BZ#1394418、BZ#1489728  
pam BZ#1509338  
partedBZ#1423357BZ#1316239  
pcpBZ#1472153   
pcsBZ#1367808、BZ#1415197BZ#1421702、BZ#1432283、BZ#1508351BZ#1433016 
pcsc-lite-ccidBZ#1435668   
perl-DBD-MySQL BZ#1311646  
perl-DateTime-TimeZoneBZ#1241818   
perl-HTTP-Daemon BZ#1413065  
perl-IO-Socket-SSLBZ#1402588   
perl-version BZ#1378885  
phpBZ#1410010   
pki-coreBZ#1024558、BZ#1400645、BZ#1419761、BZ#1445532、BZ#1446786、BZ#1452347、BZ#1464549、BZ#1469169、BZ#1473452、BZ#1523410、BZ#1523443BZ#1402280、BZ#1404794、BZ#1446579、BZ#1461217、BZ#1461524、BZ#1465142、BZ#1474658、BZ#1479663、BZ#1484359、BZ#1486225、BZ#1491052、BZ#1498957、BZ#1499054、BZ#1500474、BZ#1506819、BZ#1518096、BZ#1520277、BZ#1532759、BZ#1539125、BZ#1541853  
policycoreutilsBZ#1471809   
python BZ#1483438  
python-blivet   BZ#1527319
python-urllib3BZ#1434114   
python-virtualenvBZ#1461154   
qemu-kvmBZ#1379822、BZ#1411490BZ#1455451、BZ#1470244BZ#1103193 
qemu-kvm-maBZ#1400070、BZ#1465503、BZ#1531672   
qgnomeplatformBZ#1479351   
qt5-qtbaseBZ#1479097   
quotaBZ#1393849   
rear BZ#1388653、BZ#1479002、BZ#1492177、BZ#1506231、BZ#1532676 BZ#1498748、BZ#1534646
resource-agentsBZ#1436189BZ#1445628、BZ#1457382、BZ#1462802  
rhn-client-tools BZ#1494389  
rhnlib BZ#1503953  
rhnsd BZ#1475039、BZ#1480306、BZ#1489989  
rpcbind   BZ#1425758
rpmBZ#1278924、BZ#1406611   
rsyncBZ#1393543、BZ#1432899   
sambaBZ#1470048   
sane-backendsBZ#1458903   
sbdBZ#1462002、BZ#1499864BZ#1468580、BZ#1525981  
scap-security-guideBZ#1404429、BZ#1472499   
scap-workbenchBZ#1479036  BZ#1533108
selinux-policyBZ#1480518、BZ#1494172BZ#1470735、BZ#1472722  
setupBZ#1344007BZ#1433020  
smartmontoolsBZ#1369731   
sos BZ#1183243  
spice-gtk   BZ#1540056
squidBZ#1452200   
sssdBZ#1327705、BZ#1400614、BZ#1416150、BZ#1472255 BZ#1068725 
strace BZ#1466535  
strongimcv  BZ#755087 
subscription-managerBZ#1319927、BZ#1329349、BZ#1463325、BZ#1466453、BZ#1499977、BZ#1526622BZ#1476817、BZ#1507158、BZ#1519512  
system-config-kdumpBZ#1384943   
system-config-kickstart BZ#1272068  
systemdBZ#1384014BZ#1455071BZ#1284974 
systemtapBZ#1473722   
tangBZ#1478895   
tbootBZ#1457529   
tcpdumpBZ#1464390、BZ#1490842   
tftpBZ#1328827   
tpm2-abrmdBZ#1492466   
tpm2-tssBZ#1463097   
tss2  BZ#1384452 
tunedBZ#1467576  BZ#1385838
unboundBZ#1251440   
usbguard  BZ#1480100 
valgrindBZ#1473725   
vdoBZ#1480047   
vimBZ#1267826、BZ#1319760   
virt-managerBZ#1472271   
virt-whatBZ#1476878   
virt-whoBZ#1408556、BZ#1436617BZ#1389729、BZ#1461417、BZ#1485865  
wayland  BZ#1481411 
webkitgtk4BZ#1476707   
xorg-x11-drivers   BZ#1516970
xorg-x11-drv-intel   BZ#1545550
xorg-x11-server   BZ#1478625、BZ#1499129
yumBZ#1432319BZ#1458841  
yum-utilsBZ#1437636、BZ#1470647BZ#1428210、BZ#1455318  

付録C 改訂履歴

改訂履歴
改訂 0.1-1.1Mon Jul 9 2018Ludek Janda
翻訳ファイルを XML ソースバージョン 0.1-1 と同期
改訂 0.1-1Thu May 17 2018Lenka Špačková
重複している記述を削除。
改訂 0.1-0Tue May 15 2018Lenka Špačková
Shenandoah ガーベジコレクターを完全サポート機能に移動 (コンパイラーとツール)。
clufter のリベースおよび Sybase ASE フェイルオーバーのサポートに関する記述を新機能のパートに追加 (クラスタリング)。
読み取り専用システムの設定に関連する既知の問題を追加 (インストールと起動)。
バグ修正の記述を多数追加 (クラスタリング、ストレージ)。
テクノロジープレビュー機能 Wayland に関する記述を拡張 (デスクトップ)。
改訂 0.0-9.1Tue Apr 24 2018Ludek Janda
翻訳ファイルを XML ソースバージョン 0.0-9 と同期
改訂 0.0-9Tue Apr 24 2018Lenka Špačková
tpm2-* パッケージをテクノロジープレビューから完全サポート機能に移動 (ハードウェアのサポート)。
CAC Alternate トークンに関連する新たな OpenSC 機能を追加 (セキュリティー)。
NSS およびスマートカードに関連する既知の問題を追加 (セキュリティー)。
改訂 0.0-8.1Fri Apr 20 2018Ludek Janda
翻訳ファイルを XML ソースバージョン 0.0-8 と同期
改訂 0.0-8Tue Apr 17 2018Lenka Špačková
sslwrap() の非推奨化に関連する推奨事項を更新。
PTP デバイス追加の説明を追加 (仮想化)。
改訂 0.0-7Fri Apr 13 2018Lenka Špačková
Intel® Omni-Path Architecture ドキュメントのリンクを更新。
改訂 0.0-6Tue Apr 10 2018Lenka Špačková
Red Hat Enterprise Linux 7.5 リリースノートの公開。
改訂 0.0-1.3Mon Mar 26 2018Ludek Janda
翻訳ファイルを XML ソースバージョン 0.0-1 と同期
改訂 0.0-1.2Mon Mar 5 2018Ludek Janda
翻訳ファイルを XML ソースバージョン 0.0-1 と同期
改訂 0.0-1.1Mon Mar 5 2018Ludek Janda
翻訳ファイルを XML ソースバージョン 0.0-1 と同期
改訂 0.0-1Wed Jan 24 2018Lenka Špačková
ベータ版 Red Hat Enterprise Linux 7.5 リリースノートの公開。

法律上の通知

Copyright © 2018 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.

このページには機械翻訳が使用されている場合があります (詳細はこちら)。