Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.5 リリースノート

Red Hat Enterprise Linux 7

Red Hat Enterprise Linux 7.5 リリースノート

概要

本リリースノートでは、Red Hat Enterprise Linux 7.5 での改良点および実装された追加機能の概要、本リリースにおける既知の問題などを説明します。また、重要なバグ修正、テクニカルプレビュー、非推奨の機能などの詳細も説明します。

はじめに

セキュリティー、機能拡張、バグ修正によるエラータなどを集約したものが Red Hat Enterprise Linux (RHEL) のマイナーリリースになります。『Red Hat Enterprise Linux 7.5 リリースノート』 ドキュメントでは、今回のマイナーリリースで Red Hat Enterprise Linux 7 オペレーティングシステム、および付随するアプリケーションに追加された主な変更を説明します。また、既知の問題、および現在利用可能なすべてのテクノロジープレビューの詳細な一覧も紹介します。
他のバージョンと比較した Red Hat Enterprise Linux 7 の機能および制限は、https://access.redhat.com/articles/rhel-limits で利用可能な Red Hat ナレッジベースの記事を参照してください。
このリリースで配布されるパッケージは、Red Hat EnterpriseLinux7 パッケージマニフェスト に記載されています。Red Hat Enterprise Linux 6 からの移行は、Migration Planning Guide. で説明されています。
Red Hat Enterprise Linux のライフサイクルに関する詳細は、https://access.redhat.com/support/policy/updates/errata/ を参照してください。

第1章 概要

セキュリティーおよびコンプライアンス

  • 起動時に Network Bound Disk Encrypted デバイスをより安全にロック解除できる、クラウドおよびリモートでホストされているシステムのセキュリティーの改善と使いやすさの強化。これにより、しばしば不都合なタイミングの起動プロセス中に手動で介入する必要がなくなります。
  • Red Hat Ansible Automation と OpenSCAP の統合により、コンプライアンスの問題の修正の自動化が容易になり、管理者は環境全体にポリシーをより効率的にデプロイメントできるようになります。
  • Precision Time Protocol (PTP) および Network Time Protocol (NTP) のボンディングインターフェイスを使用したフェイルオーバーの追加により、正確なタイムスタンプと Synchronization のニーズに対するコンプライアンスの改善。
詳細は、14章セキュリティーおよび7章コンパイラーおよびツールを参照してください。

パフォーマンスと効率

  • インライン重複排除とプライマリーストレージの圧縮によってデータの冗長性を削減するように設計された、Virtual Data Optimizer (VDO) の導入。組み込まれたデータ削減テクノロジーにより、ストレージ効率が向上し、ストレージのコストが削減されます。
  • サーバーメッセージブロック (SMB) プロトコルバージョン 2 および 3 でサポートされる分散ファイルシステム (DFS)。これにより、Windows システム管理者は、複数の SMB ファイルシステムを単一の仮想ファイルシステムに結合できます。
詳しくは、16章ストレージ9章ファイルシステム をご覧ください。

プラットフォームの管理性

  • 個々のシステムのストレージ、ネットワーク、コンテナー、サービスなどを管理するためのインターフェイスを簡素化するように設計された Cockpit 管理者コンソールの使いやすさが向上しました。
  • LVM スナップショットとイメージのブートローダーエントリーの管理を改善するためのコマンドラインツールと API を提供する新しいユーティリティー、boom

アイデンティティ管理とアクセス制御

  • Windows Server 2016 のフォレストとドメインの機能レベルは、Identity Management を使用したフォレスト間の信頼でサポートされるようになりました。
  • Directory Server でのレプリケーション競合エントリーの処理が強化されました。
  • OpenLDAP スイートは、ネットワークセキュリティーサービス (Mozilla NSS) の Mozilla 実装ではなく、OpenSSL ライブラリーでコンパイルされるようになりました。
  • samba パッケージがアップストリームバージョン 4.7.1 にアップグレードされました。特に、Red Hat Enterprise Linux の Samba スイートは、デフォルトで SMB プロトコルバージョン 3 を使用するようになりました。
  • System Security Services Daemon (SSSD) の複数の拡張機能が導入されました。
  • Identity Management が提供する Active Directory 統合ソリューションのパフォーマンスと安定性が強化されました。
詳細は、5章認証および相互運用性 を参照してください。

新しいカーネルバージョンでのアーキテクチャーのサポート

Red Hat Enterprise Linux 7.5 は、カーネルバージョン 4.14 を含む kernel -alt パッケージで配布されます。このカーネルバージョンは、次のアーキテクチャーのサポートを提供します。
  • 64 ビット ARM
  • IBM POWER9 (リトルエンディアン)
  • IBM Z
詳細は、2章アーキテクチャー を参照してください。

仮想化

  • KVM 仮想化が IBM POWER8 システムでサポートされるようになりました。さらに、この更新では、IBM POWER9 (リトルエンディアン) および IBM Z アーキテクチャーでの KVM 仮想化のサポートが導入されています。ただし、これらには、kernel-alt パッケージで提供されるカーネルバージョン 4.14 を使用する必要があります。
詳しくは、18章仮想化2章アーキテクチャー をご覧ください。

Red Hat Insights

Red Hat Enterprise Linux 7.2 以降では、Red Hat Insights サービスを利用できます。Red Hat Insights は、デプロイメントに影響を与える前に既知の技術的問題を特定、検証、および解決できるように設計されたプロアクティブなサービスです。Insights は、Red Hat サポートエンジニアの知識、文書化されたソリューション、および解決された問題を活用して、関連する実用的な情報をシステム管理者に提供します。
このサービスは、カスタマーポータルの https://access.redhat.com/products/red-hat-insights で、または Red Hat Satellite を介してホストされ、提供されます。システムを登録するには、Getting Started Guide for Insights に従ってください。

Red Hat Customer Portal Labs

Red Hat カスタマーポータルラボ は、カスタマーポータルの https://access.redhat.com/labs/ セクションで利用可能なツールセットです。Red Hat Customer Portal Labs のアプリケーションは、パフォーマンスの向上、問題の迅速なトラブルシューティング、セキュリティー問題の特定、複雑なアプリケーションの迅速なデプロイメントおよび設定に役立ちます。最も一般的なアプリケーションには、以下のものがあります。

第2章 アーキテクチャー

Red Hat Enterprise Linux 7.5 には、カーネルバージョン 4.18.0-425 が同梱されており、以下のアーキテクチャーに対応します。[1]
  • 64 ビット AMD
  • 64 ビット Intel
  • IBM POWER7+ および POWER8 (ビッグエンディアン) [2]
  • IBM POWER8 (リトルエンディアン) [3]
  • IBM Z [4]

kernel-alt パッケージでのアーキテクチャーのサポート

Red Hat Enterprise Linux 7.5 は、カーネルバージョン 4.14 を含む kernel -alt パッケージで配布されます。このカーネルバージョンは、次のアーキテクチャーのサポートを提供します。
  • 64 ビット ARM
  • IBM POWER9 (リトルエンディアン) [5]
  • IBM Z
以下の表は、Red Hat Enterprise Linux 7.5 で利用可能な 2 つのカーネルバージョンでサポートされるアーキテクチャーの概要を示しています。

表2.1 Red Hat Enterprise Linux 7.5 でサポートされるアーキテクチャー

アーキテクチャー
カーネルバージョン
カーネルバージョン
64 ビット AMD および Intelはいいいえ
64 ビット ARMいいえはい
IBM POWER7 以降 (ビッグエンディアン)はいいいえ
IBM POWER8 (ビッグエンディアン)はいいいえ
IBM POWER8 (リトルエンディアン)はいいいえ
IBM POWER9 (リトルエンディアン)いいえはい
IBM Z Systemsはい[a]はい (構造 A)
[a] 3.10 カーネルバージョンは、IBM Z 上の KVM 仮想化とコンテナーをサポートしません。これらの機能は両方とも、IBM Z 上の 4.14 カーネルでサポートされます。このオファリングは構造 A とも呼ばれます。
詳細については、19章Red Hat Enterprise Linux 7.5 for ARM および 20章IBM Power LE (POWER9) 用 Red Hat Enterprise Linux 7.5 を参照してください。


[1] Red Hat Enterprise Linux 7.5 インストールは、64 ビットハードウェアでのみ対応していることに注意してください。Red Hat Enterprise Linux 7.5 は、以前のバージョンの Red Hat Enterprise Linux を含む 32 ビットのオペレーティングシステムを仮想マシンとして実行できます。
[2] Red Hat Enterprise Linux 7.5 POWER8 (ビッグエンディアン) は、現在、KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 POWER8 システム、および PowerVM の KVM ゲストとしてサポートされます。
[3] Red Hat Enterprise Linux 7.5 POWER8 (リトルエンディアン) は、現在、KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 POWER8 システム、および PowerVM の KVM ゲストとしてサポートされます。また、Red Hat Enterprise Linux 7.5 POWER8 (リトルエンディアン) のゲストは、kernel-alt パッケージを使用するカーネルバージョン 4.14 における POWER8 互換モードで、KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 POWER9 システムでサポートされます。
[4] Red Hat Enterprise Linux 7.5 for IBM Z (カーネルバージョン 3.10 および 4.14 の両方) は、現在、kernel-alt パッケージを使用するカーネルバージョン 4.14 で KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 for IBM Z ホストの KVM ゲストとしてサポートされます。
[5] Red Hat Enterprise Linux 7.5 POWER9 (リトルエンディアン) は、現在、kernel-alt パッケージを使用するカーネルバージョン 4.14 で KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.5 POWER9 システム、および PowerVM で、KVM ゲストとしてサポートされます。

第3章 外部のカーネルパラメーターに対する重要な変更

本章では、システム管理者向けに、Red Hat Enterprise Linux 8.7 に同梱されるカーネルにおける重要な変更の概要について説明します。この変更には、proc エントリー、sysctl および sysfs のデフォルト値、boot パラメーター、カーネル設定オプションの追加や更新、注目すべき動作の変更などが含まれます。

カーネルパラメーター

amd_iommu_intr = [HW,X86-64]
次の AMD IOMMU 割り込み再マッピングモードのいずれかを指定します。
legacy - レガシー割り込みリマッピングモードを使用します。
vapic - 仮想 APIC モードを使用して、IOMMU がゲストに直接割り込みを挿入できるようにします。このモードでは kvm-amd.avic=1 が必要です。これは、IOMMU HW サポートが存在する場合のデフォルトです。
debug_pagealloc = [KNL]
CONFIG_DEBUG_PAGEALLOC が設定されている場合、このパラメーターは起動時に機能を有効にします。これはデフォルトでは無効にされます。デバッグ pagealloc に大量のメモリーを割り当てないようにするには、起動時に有効にしないでください。オペレーティングシステムは、CONFIG_DEBUG_PAGEALLOC なしでビルドされたカーネルと同様に動作します。
この機能を有効にするには、debug_pagealloc = on を使用します。
ftrace_graph_max_depth = uint[FTRACE]
このパラメーターは、関数グラフトレーサと共に使用されます。関数にトレースする最大の深さを定義します。この値は、tracefs トレースディレクトリーにある max_graph_depth ファイル によって、実行時に変更できます。
デフォルト値は 0 で、制限が設定されていないことを意味します。
init_pkru = [x86]
すべてのプロセスのデフォルトのメモリー保護キー権限レジスタの内容を指定します。
デフォルト値は 0x55555554 で、pkey 0 以外へのアクセスを禁止します。ブート後に debugfs ファイルシステムの値をオーバーライドできます。
nopku = [x86]
一部の Intel CPU に見られるメモリー保護キー CPU 機能を無効にします。
mem_encrypt = [X86-64]
AMD Secure Memory Encryption (SME) コントロールを提供します。有効な引数は、on、off です。
デフォルト設定は、カーネル設定オプションによって異なります。
on : CONFIG_AMD_MEM_ENCRYPT_ACTIVE_BY_DEFAULT=y
off : CONFIG_AMD_MEM_ENCRYPT_ACTIVE_BY_DEFAULT=n
mem_encrypt=on: Activate SME
mem_encrypt=off: Do not activate SME

Spectre と Meltdown の問題を軽減するためのカーネルパラメーター

kpti = [X86-64]
カーネルページテーブルの分離を有効にします。
nopti = [X86-64]
カーネルページテーブルの分離を無効にします。
nospectre_v2 = [X86]
Spectre バリアント 2 (間接分岐スペキュレーション) の脆弱性に対する緩和策をすべて無効にします。オペレーティングシステムは、このオプションを使用するとデータリークを許可する場合があります。これは、spectre_v2=off と同等です。
spectre_v2 = [X86]
Spectre バリアント 2 (間接分岐スペキュレーション) の脆弱性の緩和を制御します。
有効な引数は、on、off、auto です。
on: 無条件に有効にする
off: 無条件に無効にする
auto: カーネルが CPU モデルが脆弱かどうかを検出します
on を選択すると、CPU、利用可能なマイクロコード、CONFIG_RETPOLINE 設定オプション、カーネルがビルドされたコンパイラーに応じて、実行時に緩和方法が選択されます (auto も可能です)。
特定の軽減策を手動で選択することもできます。
retpoline: 間接分岐を置き換えます
ibrs: Intel: Indirect Branch Restricted Speculation (カーネル)
ibrs_always: Intel: Indirect Branch Restricted Speculation (カーネルおよびユーザー空間)
このオプションを指定しないことは、spectre_v2=auto と同等です。

/proc/sys/net/core エントリーを更新

dev_weight_rx_bias
RFSaRFS などの RPS 処理は、softirq サイクル netdev_budget ごとに、ドライバーの登録済み NAPI ポーリング関数と競合しています。
このパラメーターは、RX softirq サイクル中に RPS ベースのパケット処理に費やされる設定された netdev_budget の割合に影響を与えます。また、現在の dev_weight を、ネットワークスタックの送信側で受信する際の非対称 CPU のニーズに適応できるようにします。
このパラメーターは、CPU ごとに有効です。決定は dev_weight に基づいており、乗法 (dev_weight * dev_weight_rx_bias) で計算されます。デフォルト値は 1 です。
dev_weight_tx_bias
このパラメーターは、TX softirq サイクル中に処理できるパケットの最大数をスケーリングします。
これは CPU ごとに有効であり、非対称ネットスタック処理のニーズに合わせて現在の dev_weight をスケーリングできます。TX softirq 処理が CPU を占有しないようにしてください。
決定は dev_weight に基づいており、乗法 (dev_weight * dev_weight_rx_bias) で計算されます。デフォルト値は 1 です。

パート I. 新機能

ここでは、Red Hat Enterprise Linux 7.4 で導入された新機能と主な機能拡張について説明します。

第4章 全般的な更新

Red Hat Enterprise Linux 6 から Red Hat Enterprise Linux 7 へのインプレースアップグレード

インプレースアップグレードは、既存のオペレーティングシステムを置き換えて、システムを、次のメジャーリリースの Red Hat Enterprise Linux にアップグレードする方法を提供するものです。インプレースアップグレードを実行するには、Preupgrade Assistant を使用します。このユーティリティーは、実際のアップグレードを実行する前にシステムのアップグレード問題を確認し、Red Hat Upgrade Tool に追加のスクリプトを提供します。Preupgrade Assistant が報告した問題をすべて解決したら、Red Hat Upgrade Tool を使用して、システムをアップグレードします。
Preupgrade Assistant および Red Hat Upgrade Tool は Red Hat Enterprise Linux 6 Extras チャンネルで利用可能であることに注意してください。https://access.redhat.com/support/policy/updates/extras を参照してください。(BZ#1432080)

セットアップ パッケージは、予測できない環境設定を上書きする方法を提供するようになりました

セットアップ パッケージは、最後にソースされる /etc/profile.d ディレクトリーから環境変数をオーバーライドするための sh.local および csh.local ファイルを提供およびソースするようになりました。以前は、特に複数のスクリプトが同じ環境変数を変更した場合に、順序が定義されていないと、環境設定が予測不能になることがありました。(BZ#1344007)

第5章 認証および相互運用性

Windows Server 2016 のフォレストとドメインの機能レベルが信頼のためにサポートされるようになりました

Identity Management を使用する場合、Windows Server 2016 フォレストおよびドメインの機能レベルで実行される Active Directory フォレストに対して、サポートされているフォレストの信頼を確立できるようになりました。(BZ#1484683)

Directory Server は、検索結果にレプリケーションの競合エントリーを表示しなくなりました

以前は、複製トポロジーに複製競合エントリーが存在する場合、Directory Server はそれらを検索結果の一部としてデフォルトで返しました。その結果、サーバーがそのようなエントリーを返した場合、特定の LDAP クライアントが正しく動作しませんでした。今回の更新により、サーバーは検索で競合エントリーを返さなくなり、明示的に要求する必要があります。その結果、クライアントは期待どおりに動作します。
さらに、この更新プログラムは、より複雑な競合シナリオの解決を改善します。

OpenLDAP は、NSS の代わりに OpenSSL でコンパイルされるようになりました

以前は、OpenLDAP スイートは Network Security Services (Mozilla NSS) の Mozilla 実装を使用していました。今回の更新により、OpenLDAP は OpenSSL ライブラリーを使用します。NSS データベース (DB) 内の既存の証明書は、自動的に PEM 形式に抽出され、OpenSSL に渡されます。
NSS DB は引き続きサポートされることに注意してください。ただし、PEM ファイルなどの OpenSSL に似た設定は、NSS DB などの NSS に似た設定よりも優先されます。(BZ#1400578)

samba がバージョン 4.7.1 にリベースされました。

samba パッケージがアップストリームバージョン 4.12.3 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。以下は、主な変更点です。
  • 以前は、rpc server dynamic port range パラメーターの既定値は 1024-1300 でした。今回の更新で、デフォルトが 49152-65535 に変更され、Windows Server 2008 以降で使用される範囲に一致するようになりました。必要に応じてファイアウォールルールを更新します。
  • Samba は現在、Intel CPU の Advanced Encryption Standard (AES) 命令セットを使用して、Server Message Block (SMB) 3 署名および暗号化操作を高速化しています。
  • ntlm auth パラメーターのオプションが拡張されました。このパラメーターは、ntlmv2-only (エイリアス no)、ntlmv1-permitted (エイリアス yes)、mschapv2-and-ntlmv2-only、および 無効 なオプションを受け入れるようになりました。さらに、デフォルト値の名前が no から ntlmv2-only に変更されました。
  • smbclient ユーティリティーは、サーバーへの接続時に、ドメイン、オペレーティングシステム、およびサーバーのバージョンを示すバナーを表示しなくなりました。
  • client max protocol パラメーターのデフォルト値が SMB3_11 に変更されました。これにより、smbclient などのユーティリティーが、プロトコルバージョンを設定せずに SMB 3.11 プロトコルを使用してサーバーに接続できるようになります。
  • 相互運用性を向上させるために、Samba は CTDB クラスターでのマイナーバージョンの混在の使用をサポートしなくなりました。
Samba は、smbd デーモン、nmbd デーモン、または winbind デーモンの起動時に、その tdb データベースファイルを自動的に更新します。Samba を起動する前にデータベースファイルがバックアップされます。Red Hat は、tdb データベースファイルのダウングレードには対応していないことに注意してください。
主な変更の詳細は、更新前にアップストリームのリリースノートを参照してください。

SSSD LDAP プロバイダーは、ユーザーのユーザープライベートグループを自動的に作成できるようになりました

System Security Services Daemon (SSSD) LDAP プロバイダーを使用する場合、ユーザーグループを各ユーザーに割り当てる必要があります。以前は、管理者がユーザーごとに手動でグループを作成する必要がありました。今回の更新により、SSSD はユーザーエントリーからユーザープライベートグループを自動的に生成し、UID と GID が一致するようにします。この機能を有効にするには、/etc/sssd/sssd.conf ファイルの LDAP プロバイダーセクションで auto_private_groups オプションを有効にします。(BZ#1327705)

AD ドメインに登録された SSSD は、最初の接続成功後に検出された AD サイトを記憶します

以前は、System Security Services Daemon (SSSD) は、クライアントの AD サイトを特定するために、任意の Active Directory (AD) ドメインコントローラー (DC) に LDAP ping を送信していました。連絡先の DC に到達できない場合、タイムアウトが発生し、接続が数秒間遅延しました。今回の更新により、SSSD は最初の検出が成功した後にクライアントのサイトを記憶します。以降のすべての LDAP ping は、クライアントのサイトから DC で実行されるため、要求の速度が向上します。(BZ#1400614)

SSSD はそのステータスの変更を syslog に記録します

以前は、System Security Services Daemon (SSSD) は、オンラインまたはオフラインステータスの変更に関する情報を SSSD ログのみに記録していました。今回の更新により、SSSD ステータスの変更が syslog サービスにも記録されるようになり、システム管理者が情報を利用できるようになりました。(BZ#1416150)

SSSD のパフォーマンスが向上しました

この更新では、System Security Services Daemon (SSSD) のパフォーマンス関連の拡張機能がいくつか提供されます。以下に例を示します。
  • SSSD キャッシュに欠落しているいくつかのインデックスが追加され、キャッシュされたオブジェクトの検索が高速化されました。
  • ユーザーとグループの保存方法の変更により、キャッシュに多数のキャッシュされたオブジェクトが取り込まれた後に発生した SSSD キャッシュのパフォーマンスの低下が防止されます。
その結果、SSSD はユーザーおよびグループオブジェクト、特に大規模なグループをより高速に読み取ります。また、SSSD キャッシュのパフォーマンスは、キャッシュサイズとキャッシュオブジェクトの数が増加しても安定した状態を維持できるようになりました。(BZ#1472255, BZ#1482555)

pwdhash ユーティリティーは、設定ディレクトリーからストレージスキームを取得できるようになりました

以前は、設定ディレクトリーへのパスを pwdhash に渡すと、ユーティリティーは Directory Server のデフォルトのストレージスキームを使用してパスワードを暗号化していました。今回の更新により、pwdhash ユーティリティーは、/etc/dirsrv/slapd-instance_name /dse.ldif ファイルに対する読み取り権限を持つユーザーとして pwdhash を実行すると、cn=config エントリーの nsslapd-rootpwstoragescheme 属性に設定されたストレージスキームを使用します。.その結果、Directory Server のデフォルトと異なる場合、上記のシナリオでストレージスキームを指定する必要がなくなりました。(BZ#1467777)

2 つの Directory Server インスタンスを比較する新しいユーティリティー

今回の更新により、ds-replcheck ユーティリティーが Directory Server に追加されました。このユーティリティーは、オンラインモードで 2 つのサーバーのデータを比較するか、オフラインモードで 2 つの LDIF 形式のファイルを比較します。その結果、2 つの Directory Server のレプリケーションの一貫性を検証できるようになりました。

Directory Server は、読み取り専用レプリカでの memberOf プラグインの有効化をサポートするようになりました

以前に読み取り専用の Directory Server レプリカサーバーで memberOf プラグインを有効にした場合、プラグインはメンバーエントリーを更新できませんでした。レプリケーショントポロジーでプラグインを使用するには、書き込みが有効なサーバーでのみプラグインを有効にし、memberOf 属性を読み取り専用レプリカにレプリケートします。今回の更新により、代わりにすべてのサーバーでプラグインを有効にできるようになりました。その結果、書き込み可能なサーバーと同じように、読み取り専用サーバーでプラグインを使用できます。

Directory Server がバージョン 1.4.3.28 にリベース

389-ds-base パッケージがアップストリームバージョン 1.4.3.28 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点の一覧は、更新前にアップストリームのリリースノートを参照してください。

Directory Server は追加のパスワードストレージスキームをサポートします

互換性の理由から、この更新では、次の脆弱なパスワードストレージスキームのサポートが Directory Server に追加されます。
  • CRYPT-MD5
  • CRYPT-SHA256
  • CRYPT-SHA512
セキュリティー上の理由から、これらの脆弱なストレージスキームは既存のインストールに対して一時的にのみ使用し、強力なパスワードストレージスキーマへの移行を検討してください。(BZ#1479012)

Directory Server は、ワーカースレッドごとに個別の正規化された DN キャッシュを使用するようになりました

以前は、複数のワーカースレッドが単一の正規化された識別名 (DN) キャッシュを使用していました。その結果、複数のクライアントが Directory Server で操作を実行すると、パフォーマンスが低下しました。今回の更新により、Directory Server はワーカースレッドごとに個別の正規化された DN キャッシュを作成するようになりました。その結果、前述のシナリオでパフォーマンスが低下することはなくなりました。(BZ#1458536)

バージョン 10.5.1 にリベースされた pki-core

nss パッケージがアップストリームバージョン 3.34 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。特に、この更新は、認証局バージョン 2.1 の Common Criteria Protection Profile の要件に対応しています。(BZ#1473452)

Certificate System は、CMC を使用した CA、KRA、および OCSP サブシステムのインストールをサポートします

この機能強化により、Certificate Management over CMS (CMC) を使用して CA、KRA、または OCSP サブシステムをインストールするメカニズムが提供されます。インストールは 2 つのステップで行われます。インストールの最初のステップでは、システム証明書の証明書署名要求 (CSR) が生成されます。CSR は、CMC を使用してシステム証明書を発行するために使用できます。インストールの 2 番目のステップでは、これらのシステム証明書を使用して、サブシステムのインストールを完了します。(BZ#1464549)

Certificate System は、別のユーザーとして実行されるインスタンスの作成をサポートします

以前は、Certificate System は/usr/lib/systemd/system/ディレクトリーの systemd ユニットファイルのみを使用してサービスを開始していました。したがって、pkiuser とは異なるユーザーまたはグループとして実行するサーバーを作成することはできませんでした。pkispawn ユーティリティーが更新されました。pkispawn に渡された設定ファイルに別のユーザーまたはグループが含まれている場合、ユーティリティーはカスタマイズされた値を使用して上書きファイルを/etc/systemd/system/pki-tomcatd@<instance_name>.service.d/user.conf ファイルに作成するようになりました.その結果、Certificate System ユーザーをデフォルトとして別のユーザーまたはグループで実行することが可能です。(BZ#1523410)

Certificate System は、PBKDF2 鍵派生で PBES2 を使用して PKCS #12 ファイルを作成できるようになりました

この更新プログラムは、Certificate System を強化し、トークンベースのキー回復が無効になっている場合に、キー回復機関 (KRA) から回復された秘密キーの AES 暗号化のサポートを追加します。具体的には、AES 暗号化が有効になっている場合、復元されたキーを含むエクスポートされた PKCS #12 ファイルは、Password-Based Key Derivation Function 2 (PBKDF2) キー派生および AES 128 を使用する PKCS #5 バージョン 2.0 Password-Based Cryptography Specification version 2 (PBES2) を使用します。暗号化。PBKDF2 で PBES2 を使用すると、Certificate System によって作成されたファイルがより安全になります。(BZ#1446786)

Certificate SystemCA は、以前に発行された署名証明書によって署名された CMC 更新要求を処理できるようになりました

この更新により、証明機関 (CA) は、以前に発行された署名証明書によって署名された Certificate Management over CMS (CMC) 更新要求を処理できるようになります。この実装では、caFullCMCUserSignedCertUniqueKeyConstraint 拡張プロファイル制約と共に使用します。これは、失効した証明書によって共有されるキーの更新を禁止するようにも更新されています。さらに、リクエストで同じキーを共有する最新の証明書の origNotAfter 属性を保持するため、RenewGracePeriodConstraint で属性を使用できます。既存の origNotAfter 属性がある場合 、シリアルフローによる既存の更新を 妨げないように、このプロセスでは上書きされません。さらに、caFullCMCUserSignedCert.cfg プロファイルが更新され、正しい順序で配置する必要がある UniqueKeyConstraintRenewGracePeriodConstraint の両方が含まれるようになりました。デフォルトでは、allowSameKeyRenewal パラメーターは UniqueKeyConstrainttrue に設定されていることに注意してください。(BZ#1419761)

Certificate System が Mozilla NSS セキュア乱数ジェネレーターを使用するようになりました

今回の更新により、Certificate System は Mozilla Network Security Services (NSS) が提供する安全な乱数ジェネレーターを使用します。これにより、Red Hat Certificate System は、Federal Information Processing Standard (FIPS) 標準の要件に従って、Deterministic Random Bit Generator (DRBG) を Red Hat Enterprise Linux と同期できます。(BZ#1452347)

Certificate System の監査イベントの変更

Certificate System でより簡潔な監査ログを提供するために、デフォルトで有効になっている監査イベントのリストが更新されました。さらに、特定のイベントが統合または名前変更されました。
デフォルトで有効になっているサブシステムの情報を含む、Red Hat Certificate System の監査イベントの完全なリストについては、https://access.redhat.com/documentation/ja-jp/red_hat_certificate_system/9/html/administration_guide/audit_events を参照してください。.(BZ#1445532)

krb5kdcpolicy インターフェイスが含まれるようになりました

今回の更新では、kdcpolicy と呼ばれる Kerberos キー配布センター (KDC) ポリシーインターフェイスが krb5 パッケージに導入されました。kdcpolicy を使用して、管理者はプラグインを krb5 に提供できます。これにより、管理者はチケットの有効期間を制御できるようになり、サービスチケットの発行をよりきめ細かく制御できるようになります。
詳細については、MIT Kerberos ドキュメント (https://web.mit.edu/kerberos/krb5-1.16/doc/plugindev/kdcpolicy.html) を参照してください。(BZ#1462982)

Certificate System は、SKI 拡張機能の設定可能なハッシュアルゴリズムをサポートするようになりました

以前は、Certificate System は Subject Key Identifier (SKI) 証明書拡張を生成するときに SHA1 ハッシュアルゴリズムのみをサポートしていました。今回の更新により、管理者は証明書プロファイルで SKI 拡張機能のハッシュアルゴリズムを設定できるようになりました。
次のアルゴリズムが利用できるようになりました。
  • SHA1
  • SHA256
  • SHA384
  • SHA512
デフォルトのアルゴリズムは引き続き SHA1 であることに注意してください。したがって、既存のプロファイルは自動的に更新されません。(BZ#1024558)

pki コマンドラインインターフェイスは、デフォルトの NSS データベースを自動的に作成します

pki コマンドラインインターフェイスでは、ユーザー名とパスワードを使用した基本認証など、SSL 接続を介して操作を実行するために、Network Security Services (NSS) データベースとそのパスワードが必要です。以前は、データベースが存在しない場合、またはデータベースのパスワードが指定されていない場合、pki はエラーを表示していました。コマンドラインインターフェイスが更新され、~/.dogtag/nssdb/ ディレクトリーにパスワードなしでデフォルトの NSS データベースが自動的に作成されるようになりました。その結果、SSL 経由の操作は、NSS データベースまたはパスワードを指定せずに実行できます。(BZ#1400645)

Certificate System はデフォルトで脆弱な 3DES 暗号を無効にします

デフォルトでは、Certificate System は脆弱な Triple Data Encryption Standard (3DES) に基づく暗号を無効にします。これにより、仮想マシンのセキュリティーが向上します。ただし、管理者は必要に応じてこれらの暗号を再度有効にすることができます。詳細については、https://access.redhat.com/documentation/ja-jp/red_hat_certificate_system/9/html/administration_guide/configuring-ciphers を参照してください。
その結果、新しい Certificate System のインストールでは、デフォルトで強力な暗号のみが有効になっています。(BZ#1469169)

Certificate System CA サブシステムの OCSP プロバイダーに、応答に nextUpdate フィールドが含まれるようになりました。

認証局 (CA) が証明書失効リスト (CRL) キャッシュを使用するように設定されている場合、CA サブシステムの Online Certificate Status Protocol (OCSP) レスポンダーは、OCSP 応答に nextUpdate フィールドを含めるようになりました。その結果、このようなシナリオでは、Lightweight OCSP Profile (RFC 5019) に準拠するクライアントが OCSP 応答を処理できるようになりました。(BZ#1523443)

バージョン 0.6.1 にリベースされた ding-libs

ding-libs パッケージがバージョン 0.6.1 にアップグレードされました。最も注目すべき変更点は、ding-libs がより大きな値で動作できるようになったことです。これは、値の文字数に対するハードコーディングされた制限が削除され、唯一の制限が使用可能なメモリーの量になったためです。(BZ#1480270)

第6章 クラスタリング

Pacemaker クラスターをクエリーする新しい SNMP エージェント

新しい pcs_snmp_agent エージェントを使用すると、SNMP を使用して Pacemaker クラスターにデータのクエリーを実行できます。このエージェントは、クラスター、そのノード、およびそのリソースに関する基本情報を提供します。このエージェントの設定については、pcs_snmp_agent (8) の man ページと High Availability Add-On Reference を参照してください。(BZ#1367808)

アマゾンウェブサービスでの Red Hat Enterprise Linux High Availability クラスターのサポート

Red Hat Enterprise Linux 7.5 は、Amazon Web Services (AWS) 上の仮想マシン (VM) の高可用性クラスターをサポートします。AWS で Red Hat Enterprise Linux 高可用性クラスターを設定する方法については、https://access.redhat.com/articles/3354781 を参照してください。(BZ#1451776)

Microsoft Azure での Red Hat Enterprise Linux High Availability クラスターのサポート

Red Hat Enterprise Linux 7.5 は、Microsoft Azure で仮想マシン (VM) の高可用性クラスターをサポートします。Microsoft Azure で Red Hat Enterprise Linux High Availability クラスターを設定する方法については、https://access.redhat.com/articles/3252491 を参照してください。(BZ#1476009)

関連するパラメーターが変更された場合にのみ、リソースのクリーンアップでフェンシング解除が行われます

以前は、fence_scsifence_mpath など、フェンシング解除をサポートするフェンスデバイスを含むクラスターでは、一般的なリソースのクリーンアップまたは stonith リソースのクリーンアップを行うと、すべてのリソースの再起動を含め、常にフェンシング解除が行われていました。現在、アンフェンシングは、アンフェンシングをサポートするデバイスへのパラメーターが変更された場合にのみ実行されます。(BZ#1427648)

pcsd ポートが設定可能になりました

pcsd がリッスンしているポートを pcsd 設定ファイルで変更できるようになり、pcs はカスタムポートを使用して pcsd と通信できるようになりました。この機能は、主にコンテナー内で pcsd を使用するためのものです。(BZ#1415197)

フェンシングとリソースエージェントが AWS Python ライブラリーと CLI クライアントでサポートされるようになりました

この機能強化により、Amazon Web Services Python ライブラリー (python-boto3、python-botocore、および python-s3transfer) と CLI クライアント (awscli) が追加され、高可用性セットアップでフェンシングとリソースエージェントがサポートされました。(BZ#1512020)

HA セットアップでのフェンシングが Azure Python ライブラリーでサポートされるようになりました

この機能強化により、Azure Python ライブラリー (python-isodate、python-jwt、python-adal、python-msrest、python-msrestazure、および python-azure-sdk) が追加され、高可用性セットアップでフェンシングがサポートされました。(BZ#1512021)

sbd バイナリーに追加された新機能。

コマンドラインツールとして使用される sbd バイナリーは、次の追加機能を提供するようになりました。
  • ウォッチドッグデバイスの機能を簡単に検証
  • 利用可能なウォッチドッグデバイスのリストを照会する機能
sbd コマンドラインツールの詳細は、man ページの sbd(8) を参照してください。(BZ#1462002)

sbd はバージョン 1.3.1 にリベースされました

sbd パッケージはアップストリームバージョン 1.3.1 にリベースされました。このバージョンでは、次の変更が行われます。
  • ウォッチドッグデバイスをテストおよびクエリーするコマンドを追加
  • コマンドラインオプションと設定ファイルを見直しました
  • 再起動 ではなく オフ アクションを適切に処理する (BZ# 1499864)

リソースアクションが保留中の場合、クラスターステータスがデフォルトで表示されるようになりました

Pacemaker は、以前はデフォルトで false に設定されていた レコード保留 オプションをサポートしています。つまり、クラスターのステータスは、リソースの現在のステータス (開始または停止) のみを表示します。現在、record-pending の デフォルトは true です。これは、リソースが開始または停止中の場合にクラスターのステータスも表示される可能性があることを意味します。(BZ#1461976)

clufter がバージョン 0.77.0 にリベースされました

clufter パッケージがアップストリームバージョン 0.77.0 にアップグレードされました。これにより、以前のバージョンに対して多数のバグ修正、新機能、およびユーザーエクスペリエンスの強化が提供されます。更新内容は、以下のとおりです。
  • clufter を使用して pcs2pcscmd-needle コマンドで既存の設定を変換する場合、同等の corosync.confcluster_name オプションが省略されている場合 (これは、標準の pcs によって開始される設定の場合とは異なります)、含まれている pcs クラスターのセットアップ の呼び出しがありません。これより長いと、最初に指定されたノードの名前が必要なクラスター名の指定として解釈され、クラスターの設定ミスが発生します。元の設定を正確に反映するために、利用可能な場合は同じ呼び出しに --encryption 0|1 スイッチが含まれるようになりました。
  • clufter コマンドの ccs2pcscmd および pcs2pcscmd ファミリーで生成されるようなスクリプトのような出力シーケンスでは、意図したシェルインタープリターが有効な形式で出力されるようになり、それぞれのコメント行がオペレーティングシステムによって受け入れられるようになりました。(BZ#1381531)
  • clufter ツールは、適用可能な場合に既存の設定を反映するように pcs コマンドを設定するシーケンスを生成する際に、pcs (定足数デバイスのヒューリスティック、トップレベルの バンドル リソースユニットのメタ属性) で容易になるように、最近追加された設定の追加手段もカバーするようになりました。
clufter 機能の詳細は、clufter(1) の man ページまたは clufter -h コマンドの出力を参照してください。clufter の使用例は、Red Hat ナレッジベースの記事 https://access.redhat.com/articles/2810031 を参照してください。(BZ#1509381)

Sybase ASE フェイルオーバーのサポート

Red Hat High Availability Add-On は、ocf:heartbeat:sybaseASE リソースを介した Sybase ASE フェイルオーバーのサポートを提供するようになりました。このリソースに設定できるパラメーターを表示するには、pcs resource describe ocf:heartbeat:sybaseASE コマンドを実行します。このエージェントの詳細については、ocf_heartbeat_sybaseASE (7) のマニュアルページを参照してください。(BZ#1436189)

第7章 コンパイラーおよびツール

linuxptp パッケージが、クロック Synchronization のためのアクティブバックアップボンディングをサポートするようになりました

今回の更新により、ptp4l アプリケーションで使用されるアクティブバックアップモードでボンドインターフェイスを指定できるようになりました。その結果、ptp4l は、結合からのアクティブなインターフェイスのクロックを Precision Time Protocol (PTP) クロックとして使用し、フェイルオーバーの場合に結合の別のインターフェイスに切り替えることができます。さらに、自動モード (-a オプション) の phc2sys ユーティリティーは、PTP スレーブとして動作する場合はシステムクロックをアクティブインターフェイスの PTP クロックに同期し、PTP マスターとして動作する場合は PTP クロックをシステムクロックに同期できます。(BZ#1002657)

partedresizepart コマンドを使用してパーティションのサイズを変更できるようになりました

resizepart NUMBER END コマンドを使用してディスクパーティションのサイズを変更する機能は、Red Hat Enterprise Linux 7 で配布される parted ディスクパーティション分割ユーティリティーにバックポートされるようになりました。詳細については、parted (8) のマニュアルページを参照してください。
このコマンドはパーティションのサイズを変更するだけで、そこにあるファイルシステムは変更しないことに注意してください。resize2fs などのファイルシステムユーティリティーを使用して、ファイルシステムを拡大または縮小します。(BZ#1423357)

iprutils がバージョン 2.4.14 にリベース

binutils パッケージはアップストリームバージョン 2.27 にリベースされました。このバージョンでは、次の変更が行われます。
  • 圧縮されたデバッグセクションのサポート
  • リンク中の孤立セクションの処理の改善
  • LLVM プラグインのサポート
  • objcopy ユーティリティーを使用して新しいシンボルをオブジェクトファイルに挿入する機能
  • IBM POWER9 アーキテクチャーのサポート
  • ARMv8.1 および ARMv8.2 命令セット拡張のサポート
さらに、この更新プログラムでは、次のバグが修正されます。
  • 以前は、binutils パッケージには、GNU コーディング標準を説明する standards.info ドキュメントファイルが含まれていませんでした。このファイルが追加され、再び info コマンドで利用できるようになりました。
  • 以前は、IBM Power Systems アーキテクチャーの ld リンカーは、リンカーコマンドラインで指定された最初のオブジェクトファイルに中間データを格納していました。その結果、そのファイルが出力で使用されずに破棄された場合、リンカはセグメンテーション違反で予期せず終了しました。リンカーは、データを出力ファイルに直接格納し、入力ファイルの中間ストレージをスキップするように変更されました。その結果、前述の状況でセグメンテーション違反が発生してリンクが失敗することはなくなりました。(BZ#1385959, BZ#1356856, BZ#1467390, BZ#1513014)

pcp がバージョン 3.11.8 にリベース

Performance Co-Pilot (PCP) アプリケーションはバージョン 3.12.2 にリベースされ、多くの機能強化とバグ修正が含まれています。
コレクターシステムの更新:
  • 次のパフォーマンスメトリックドメインエージェント (PMDA) が更新されました: perfevent、コンテナーと CGroup、MySQL スレーブメトリック、Linux プロセスごとのメトリック、およびエントロピー、slabinfo、IPv6 ソケット、および NFSD ワーカースレッドの Linux カーネルメトリック。
  • 新しい PMDA が利用可能になりました: Prometheus エンドポイントと HAProxy。
  • Device Mapper 統計で API が公開されるようになりました。
システムの更新を監視します。
  • 派生メトリック言語がすべてのモニターに拡張されました。
  • pmchart グラフ作成ユーティリティーには、タイムゾーンと表示のバグに対する修正が含まれています。
  • pmlogconf 設定ユーティリティーは、hotproc メトリックログを自動的に有効にし、最上位のメトリックを追加 ます。パフォーマンスがさらに最適化されました。
  • pcp-atop 監視ユーティリティーは、新しい --hotproc オプションを認識します。いくつかのバグが修正されました。
  • pcp-pidstat および pcp-mpstat 監視ユーティリティーは、いくつかの新しい出力オプションを認識します。
  • pmrep レポートユーティリティーは、sadf ツールと互換性のあるコンマ区切り値 (CSV) 出力をサポートするようになりました。PCP メトリクスをさまざまな形式にエクスポートするための新しいユーティリティーも追加されました: pcp2zabbixpcp2xmlpcp2json、および pcp2elasticsearch。(BZ#1472153)

さまざまなツールでの DWARF 5 サポートの改善

DWARF デバッグフォーマットバージョン 5 のサポートが、次のツールで拡張されました。
  • elfutils パッケージの eu-readelf ツールが、すべての DWARF 5 タグと属性を認識するようになりました。
  • binutils パッケージの readelf および objdump ツールは、DWARF 5 タグ DW_AT_exported_symbols を認識し、デバッグ情報セクションでその存在を正しく報告するようになりました。(BZ#1472955, BZ#1472969)

systemtap がバージョン 3.1 にリベース

SystemTap ユーティリティーがアップストリームバージョン 3.2 に更新されました。主な機能強化は、次のとおりです。
  • 一致した正規表現の抽出のサポートが追加されました。
  • 標準入力からの入力を受け入れるためのプローブエイリアスが追加されました。
  • 翻訳者の診断が改善されました。
  • 新しい statx システムコールのサポートが追加されました。
  • 部分文字列の位置を検出するための新しい文字列関数 strpos () が stap 言語に追加されました。
さらに、この更新プログラムでは、次のバグが修正されます。
  • 以前は、統計抽出関数 @min () および @max () が正しくない値を返していました。その結果、これらの関数に依存するスクリプトは正しく機能しませんでした。@min () および @max () 関数が修正され、正しい最大値と最小値が返されるようになりました。その結果、影響を受けるスクリプトが期待どおりに機能するようになりました。
  • 以前は、一部のカーネルトレースポイントは、調査できなかった場合でも、stap -L コマンドで矛盾してリストされていました。SystemTap が修正され、リストされたプローブ可能なトレースポイントセットが再び一致するようになりました。
  • netdev.receive プローブが修正され、再びデータを収集できるようになりました。
  • 壊れた netdev.receive プローブの影響を受けたサンプルスクリプト nettop.stp が、再び期待どおりに動作するようになりました。
Red Hat Enterprise Linux のカーネルバージョンは拡張された Berkeley Packet Filter (eBPF) をサポートしていないため、関連するアップストリームの SystemTap 機能は利用できないことに注意してください。(BZ#1473722, BZ#1490862, BZ#1506230, BZ#1485228, BZ#1518462)

valgrind がバージョン 3.12 にリベース

valgrind パッケージがアップストリームバージョン 3.12 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべき変更点は次のとおりです。
  • Valgrind は、大規模なプログラムを実行するためにいくつかの方法で拡張されています。Valgrind で使用できるメモリー量が 128 GB に増加しました。結果として、Memcheck ツールは、最大約 60 GB を割り当てる実行中のアプリケーションをサポートします。さらに、Valgrind は、最大 1200 MB のサイズの実行可能ファイルをロードできるようになりました。
  • ツール MemcheckHelgrind、および Massif は、新しい実行ツリー (xtree) 表現を使用して、分析されたアプリケーションのヒープ消費をレポートできるようになりました。
  • シンボルデマングラーが更新され、C++11 標準と Rust プログラミング言語がサポートされるようになりました。
  • Intel および AMD 64 ビットアーキテクチャーで AVX2 命令を使用する長いコードブロックで発生するエラーが修正されました。
  • PowerPC アーキテクチャーの 64 ビット タイムベース レジスタは、Valgrind によって 32 ビットのみとしてモデル化されなくなりました。
  • IBM Power Systems アーキテクチャーのサポートが拡張され、ISA 3.0B 仕様が組み込まれました。
  • 64 ビット ARM アーキテクチャー用の Load-Linked および Store-Conditional 命令の代替実装が追加されました。代替実装は、必要に応じて自動的に有効になります。手動で有効にするには、--sim-hints=fallback-llsc オプションを使用します。(BZ#1473725, BZ#1508148)

ncat はバージョン 7.50 にリベースされました

nmap-ncat パッケージで提供される ncat ユーティリティーは、アップストリームバージョン 7.50 にリベースされました。これにより、以前のバージョンに対して多数のバグ修正と新機能が提供されます。以下は、主な変更点です。
  • SOCKS5 認証のサポートが追加されました。
  • ポートのステータスをすばやく確認するための -z オプションが追加されました。
  • --no-shutdown オプションは、リッスンモードだけでなく、接続モードでも機能するようになりました。(BZ#1460249)

バージョン 3.1.2 にリベースされた rsync

nss パッケージがアップストリームバージョン 3.34 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。
この更新では、次の出力の変更が導入されています。
  • 数値のデフォルトの出力形式が 3 桁のグループに変更されました (例: 1,234,567)
  • --progress オプションの出力が変更されました。次の文字列は短縮されました: xfer から xfr へ、および to-check から to-chk へ
このバージョンの主な機能強化には、次のようなものがあります。
  • I/O 処理が改善され、データ転送が高速になりました。
  • よりきめ細かい出力のために、新しい --info および --debug オプションが追加されました。
  • ナノ秒の変更時刻を同期する機能が追加されました。
  • コピー操作中にファイルの所有権を操作するための新しいオプション --usermap--groupmap、および --chown が追加されました。
  • 新しい --preallocate オプションが追加されました。(BZ#1432899)

tcpdumpvirtio トラフィックを分析できるようになりました

tcpdump ユーティリティーは、virtio-vsock 通信デバイスをサポートするようになりました。これにより、ハイパーバイザーとゲスト仮想マシン間の virtio 通信を tcpdump でフィルタリングおよび分析できるようになります。(BZ#1464390)

Vim が C++11 構文の強調表示をサポートするようになりました

Vim テキストエディターでの C++ の構文強調表示が強化され、C++11 標準がサポートされるようになりました。(BZ#1267826)

Vim は、blowfish2 暗号化方式をサポートするようになりました

Vim テキストエディターに、blowfish2 暗号化方式のサポートが追加されました。この方法は、blowfish よりも強力な暗号化を提供します。blowfish2 暗号化方式を設定するには、:setlocal cm=blowfish2 コマンドを使用します。blowfish2 で暗号化されたファイルは、Red Hat Enterprise Linux 7 と Red Hat Enterprise Linux 6 の間で互換性があることに注意してください。(BZ#1319760)

IO::Socket::SSL Perl モジュールは、デフォルトでシステム全体の CA 証明書ストアを使用するようになりました

以前は、IO::Socket::SSL Perl モジュールに基づく TLS アプリケーションが認証局 (CA) 証明書への明示的なパスを提供しなかった場合、認証局が不明であり、ピアの ID を検証できませんでした。今回の更新により、モジュールはデフォルトでシステム全体の CA 証明書ストアを使用します。ただし、undef 値を IO::Socket::SSL->new () コンストラクターの SSL_ca_file オプションに渡すことによって、任意の証明書ストアを無効にすることができます。(BZ#1402588)

perl-DateTime-TimeZone がバージョン 1.70 にリベースされました

perl-DateTime-TimeZone パッケージがアップストリームバージョン 1.70 にアップグレードされました。これにより、以前のバージョンに対して多数のバグ修正と拡張が行われました。以下に例を示します。
  • 今回の更新により、以前提供されていたシステムよりも新しいバージョンの perl-DateTime-TimeZone を必要とする Bugzilla バージョン 5 をインストールできるようになりました。
  • Olson タイムゾーンデータベースがバージョン 2017b に更新されました。以前は、DateTime::TimeZone モジュールを使用する Perl 言語で記述されたアプリケーションは、古いデータベースが原因でバージョン 2013h 以降に仕様が変更されたタイムゾーンを誤って処理していました。
  • 汚染されたタイムゾーン識別子からのローカルタイムゾーンの使用が修正されました。(BZ#1241818, BZ#1101251)

system-config-kdump は、fadump の実行時に自動または手動の kdump メモリー設定の選択をサポートするようになりました

今回の更新で、fadump メモリー予約サポートが system-config-kdump パッケージに追加されました。その結果、ファームウェアアシストダンプ が選択されている場合、ユーザーは 自動 kdump メモリー設定 または 手動設定 のいずれかを選択できるようになりました。(BZ#1384943)

conman がバージョン 0.2.8 にリベース

nss パッケージがアップストリームバージョン 3.34 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。以下は、主な変更点です。
  • スケーラビリティが改善されました。
  • Coverity ScanClang の警告が修正され、安定性が向上しました。
  • Intelligent Platform Management Interface (IPMI) Serial Over LAN (SOL) コンソールの数に対する任意の制限が修正されました。
  • conman.conf ファイルで、ループバック 設定のデフォルト値が ON に変更されました。(BZ#1435840)

TFTP windowsize オプションのサポートが実装されました

今回の更新により、RFC 7440 に準拠した windowsize オプションのサポートが、Trivial File Transfer Protocol (TFTP) サーバーおよびクライアントに実装されました。windowsize オプションを使用すると、データブロックがバッチで送信されるため、スループットが大幅に向上します。(BZ#1328827)

curl が SOCKS5 での GSSAPI の無効化をサポートするようになりました

SOCKS5 プロキシーの認証方法を制御するために、curl ユーティリティーの新しい --socks5-basic および --socks5-gssapi オプションと、libcurl ライブラリーの対応するオプション CURLOPT_SOCKS5_AUTH が導入されました。(BZ#1409208)

rsync ユーティリティーは、タイムスタンプの元のナノ秒部分でファイルをコピーするようになりました

以前は、rsync ユーティリティーはファイルのタイムスタンプのナノ秒部分を無視していました。その結果、新しく作成されたファイルのナノ秒タイムスタンプは常にゼロでした。今回の更新で、rsync ユーティリティーはナノ秒の部分を認識します。その結果、新しくコピーされたファイルは、それをサポートするシステム上で元のナノ秒のタイムスタンプを保持します。(BZ#1393543)

tcpdump がバージョン 4.9.0 にリベース

tcpdump パッケージがアップストリームバージョン 4.9.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。以下は、主な変更点です。
  • OpenSSL 1.1 のセグメンテーションエラーが修正され、OpenSSL の使用が改善されました。
  • バッファーオーバーフローの脆弱性が修正されました。
  • 無限ループの脆弱性が修正されました。
  • 多くのバッファーオーバーリードの脆弱性が修正されました。(BZ#1490842)

Intel Xeon プロセッサーファミリーの OProfile サポートの拡張

OProfile は、インテル Xeon Phi™ プロセッサー x200 および x205 製品ファミリーをサポートするように拡張されました。(BZ#1465354)

libpfmpcp、および papi での Intel Xeon v4 uncore パフォーマンスイベントのサポート

今回の更新により、Intel Xeon v4 uncore パフォーマンスイベントのサポートが libpfm パフォーマンスモニタリングライブラリー、pcp ツール、および papi インターフェイスに追加されました。(BZ#1474999)

IBM POWER アーキテクチャーでのメモリーコピーのパフォーマンスの向上

以前は、GNU C ライブラリー (glibc) の memcpy () 関数は、64 ビットの IBM POWER システムでアライメントされていないベクトルのロードおよびストア命令を使用していました。その結果、memcpy () を使用して POWER9 システムのデバイスメモリーにアクセスすると、パフォーマンスが低下していました。memcpy () 関数が強化され、位置合わせされたメモリーアクセス命令を使用するようになりました。これにより、POWER9 に含まれるメモリーに関係なく、前世代の POWER アーキテクチャーのパフォーマンスに影響を与えることなく、アプリケーションのパフォーマンスが向上します。(BZ#1498925)

TAI クロックマクロが利用可能

以前は、カーネルが CLOCK_TAI クロックを提供していましたが、それにアクセスするための CLOCK_TAI マクロが glibc ヘッダーファイル time.h にありませんでした。ヘッダーファイルにマクロ定義が追加されました。その結果、アプリケーションは CLOCK_TAI カーネルクロックにアクセスできるようになりました。(BZ#1448822)

IBM Z での 4 KiB ページテーブルの選択的使用のサポート

今回の更新では、オプション --s390-pgstebinutils パッケージの ld リンカに追加され、最下位レベルで 4 KiB メモリーページテーブルを必要とする IBM Z アーキテクチャー用のアプリケーションをマークします。その結果、この機能の使用を、それを必要とするアプリケーションのみに制限することができ、システム上のすべてのアプリケーションがスペースを最適に使用できるようになります。qemu バックエンドは、実行中のすべてのアプリケーションで 4 KiB の最低レベルのページテーブルを強制しなくなったことに注意してください。アプリケーションで必要な場合は、必ず新しいオプションを指定してください。(BZ#1485398)

IBM Z でのより効率的な glibc 関数

IBM Z アーキテクチャーの追加命令のサポートが glibc ライブラリーに追加されました。その結果、このアーキテクチャー用にコンパイルされたプログラムは、glibc 関数のパフォーマンス向上の恩恵を受けることができます。(BZ#1375235)

ld リンカが位置依存コードと独立コードを誤って結合しなくなりました

以前は、ld リンカは、IBM Z プラットフォーム上のオブジェクトファイルを、Position Independent Executable (PIE) 用にビルドされているかどうかを考慮せずに結合していました。PIE コードと非 PIE コードを組み合わせることができないため、実行できない実行可能ファイルが作成される可能性がありました。リンカは、PIE コードと非 PIE コードの混合を検出し、この場合エラーメッセージを生成するように拡張されました。その結果、破損した実行可能ファイルをこの方法で作成することはできなくなりました。(BZ#1406430)

python-virtualenv を 15.1.0 にリベース

python-virtualenv パッケージがバージョン 15.1.0 にアップグレードされ、以前のバージョンに対して多数のバグ修正と拡張が行われました。今回の更新により、次のバンドルパッケージがアップグレードされました: setuptools がバージョン 28.0.0 に、pip がバージョン 9.0.1 に。(BZ#1461154)

python-urllib3subjectAltName で IP アドレスをサポートします

接続プーリングとファイル POST 機能を備えた Python HTTP モジュールである python-urllib3 パッケージは、subjectAltName (SAN) フィールドで IP アドレスをサポートするようになりました。(BZ#1434114)

GCC に追加された retpolines のサポート

今回の更新で、GCC への retpoline に対応するようになりました。Retpolines は、CVE-2017-5715 で説明されている Spectre Variant 2 攻撃を軽減するためのオーバーヘッドを削減するためにカーネルによって使用される手法です。(BZ#1535655)

Shenandoah ガベージコレクターが完全にサポートされるようになりました

以前はテクノロジープレビューとして提供されていた OpenJDK の一時停止時間の短い Shenandoah ガベージコレクターが、Intel 64、AMD64、および 64 ビット ARM アーキテクチャーで完全にサポートされるようになりました。Shenandoah は同時退避を実行します。これにより、ユーザーは長い休止時間なしで大きなヒープで実行できます。詳細は、https://wiki.openjdk.java.net/display/shenandoah/Main を参照してください。(BZ#1578075)

第8章 デスクトップ

バージョン 3.26 にリベースされた GNOME シェル

Red Hat Enterprise Linux 7.5 では、GNOME Shell がアップストリームバージョン 3.26 にリベースされました。主な機能強化は、次のとおりです。
  • システム検索では、更新されたレイアウトで結果が提供されるようになりました。これにより、読みやすくなり、一度により多くのアイテムが表示されます。さらに、システムアクションを検索できるようになりました。
  • 設定 アプリケーションのレイアウトが新しくなりました。
  • 絵文字を挿入するさまざまな方法が GNOME 3.26 で導入されました。これには、Characters アプリケーションと、GNOME IRC クライアントである Polari が含まれます。
  • GNOME の表示設定が再設計されました。
  • GNOME 3.26 では、画面の左下にステータスアイコンが表示されなくなりました。デフォルトのセッションである GNOME クラシックには、ステータストレイ機能を提供するために、デフォルトで TopIcons 拡張機能が含まれるようになりました。GNOME Clasic 以外のセッションタイプのユーザーは、TopIcons 拡張機能を手動でインストールできます。
変更の完全なリストについては、https://help.gnome.org/misc/release-notes/3.26/(BZ# 1481381) を参照してください。

バージョン 3.26 にリベースされた gnome-settings-daemon

gnome-settings-daemon がリベースされ、Wayland ディスプレイサーバープロトコル、より具体的には部分モニタースケーリングが有効になりました。ユーザーは、単一の gnome-settings-daemon プロセスの代わりに、セッションで実行されている gsd-* という名前のプロセスのコレクションに気付くことができるようになりました。(BZ#1481410)

libreoffice はバージョン 5.3 にリベースされました

LibreOffice オフィススイートがバージョン 5.3 にアップグレードされました。これには、以前のバージョンに対する多くの機能強化が含まれています。
  • LibreOffice は、MUFFIN (My User Friendly & Flexible INInterface) と呼ばれる新しい LibreOffice UI を導入します。
  • LibreOffice Writer には、テキスト領域内を移動するための新しい ページ に移動 ダイアログが含まれています。
  • LibreOffice Writer には、新しいテーブルスタイル機能も導入されています。
  • 新しい Arrows ツールボックスが LibreOffice に追加されました。
  • Calc では、数値の書式設定とデフォルトのセルスタイルが改善されました。
  • LibreOffice Impress に新しいテンプレートセレクターが追加されました
LibreOffice BaseFirebird 2.5 データを読み取れなくなりました。以前のバージョンの LibreOffice で作成された埋め込み .odb ファイルは、このバージョンと互換性がありません。
変更の完全なリストについては、https://wiki.documentfoundation.org/ReleaseNotes/5.3 (BZ# 1474303) を参照してください。

GIMP はバージョン 2.8.22 にリベースされました

GNU Image Manipulation Program (GIMP) バージョン 2.8.22 には、次の重要なバグ修正と機能強化が含まれています。
コア
  • 既存の .xcf.bz および .xcf.gz ファイルに保存すると、ファイルが切り詰められ、大きなファイルが作成されなくなりました
  • gimp-text-fontname によって作成されたテキストレイヤーは、サイズ変更時に境界線を尊重します
GUI
  • 特にピックスマップテーマを使用したシングルウィンドウモードでの描画パフォーマンスが改善されました。
  • ペイントダイナミクスエディターダイアログで、y 軸が フロー ではなく レート を示すようになりました
  • スプラッシュスクリーンの進行状況バーのパルスが不明な期間を示している
  • LC-MS 表示フィルターの色域警告色が修正されました
  • 編集時の太字フォントのアンボールドが修正されました
  • 間違った隣接アイテムの誤った名前変更がなくなりました
プラグイン
  • PSD ファイルをインポートするときに、間違ったレイヤーグループ構造を作成することがなくなりました。
  • 大きなイメージまたは大きな解像度が原因で PDF プラグインがクラッシュしなくなりました
  • 無効な PCX ファイルの解析が早期に停止され、その後のセグメンテーションエラーが解消されました。
  • Escape キーで Python コンソールを閉じることができなくなりました
  • フィルター エッジ検出/ガウス分布の差 は空のイメージを返します
  • 印刷時に、透明なイメージの代わりに黒いボックスが印刷されるのを防ぐために、イメージは白い背景に合成されます
  • ガンマ補正を直接適用するように、色覚異常ディスプレイフィルターが修正されました。
  • Script-Fu 正規表現の一致で、Unicode 文字の適切な文字インデックスが返されるようになりました
  • 大きい数の Script-Fu モジュロが修正されました
更新された翻訳には、バスク語、ブラジルポルトガル語、カタロニア語、中国語 (PRC)、チェコ語、デンマーク語、フィンランド語、ドイツ語、ギリシャ語、ハンガリー語、アイスランド語、イタリア語、カザフ語、ノルウェー語、ポーランド語、ポルトガル語、スロバキア語、スロベニア語、スコットランドゲール語、スペイン語が含まれます。(BZ#1210840)

Inkscape はバージョン 0.92.2 にリベースされました

リベースされたベクトルグラフィックスソフトウェアである Inkscape は、以前のバージョンに対して次のような多くの拡張機能を提供します。
  • メッシュグラデーションがサポートされるようになりました。
  • paint-order、mix-blend-mode など、多くの SVG2 および CSS3 プロパティーがサポートされるようになりました。ただし、すべてが GUI から使用できるわけではありません。
  • 新しいオブジェクトダイアログボックスにすべてのオブジェクトが一覧表示され、そこから任意のオブジェクトを選択、ラベル付け、非表示、およびロックできます。
  • 選択セットを使用すると、ドキュメントの構造に関係なくオブジェクトをグループ化できます。
  • 誤って移動しないように、ガイドをロックできるようになりました。
  • Envelope/Perspective、Lattice Deformation、Mirror、Rotate Copys など、いくつかの新しいパス効果が追加されました。
  • シームレスパターン拡張機能を含むいくつかの拡張機能が追加されました。さらに、多くの拡張機能が更新されたり、新しい機能が追加されたりしています。
  • 色覚異常のシミュレーションフィルターが追加されました。
  • スプレーツールと測定ツールにいくつかの新機能が追加されました。
  • 鉛筆ツールは、線のインタラクティブなスムージングを作成できます。
  • B スプラインはペンツールで使用できます。
  • チェッカーボードの背景を使用すると、オブジェクトの透明度をより簡単に確認できます。(BZ#1480184)

webkitgtk4 がバージョン 2.16 にリベースされました

webkitgtk4 パッケージがバージョン 2.16 にアップグレードされ、以前のバージョンより多くの拡張機能が提供されています。主な機能強化は、次のとおりです。
  • メモリー消費を削減するために、ハードウェアアクセラレーションがオンデマンドで有効になりました。
  • webkitgtk4 には、ハードウェアアクセラレーションポリシーを設定するための新しい WebKitSetting プラグインが含まれています。
  • CSS グリッドレイアウトはデフォルトで有効になっています。
  • 一時的な Web ビューを作成する新しい API を追加することで、プライベートブラウジングが改善されました。
  • Web サイトのデータを処理するための新しい API が提供されました。
  • メモリーサンプラーとリソース使用オーバーレイの 2 つの新しいデバッグツールが利用できるようになりました。
  • GTK+ のフォント設定が受け入れられるようになりました。
  • GTK+ バージョン 3.20 以降を使用すると、テーマのレンダリングパフォーマンスが向上します。(BZ#1476707)

qt5 はバージョン 5.9.2 にリベースされました

qt5 パッケージがアップストリームバージョン 5.9.2 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。特に、qt5 には以下が含まれるようになりました。
  • パフォーマンスと安定性の向上
  • 長期サポート
  • C++11 サポートの改善 - Qt 5.9 では C++11 準拠のコンパイラーが必要になったことに注意してください
  • Qt Quick Controls 2 - 組み込みデバイスをサポートする新しいモジュール (BZ# 1479097)

新しいパッケージ: qgnomeplatform

QGnomePlatform テーマモジュールが Red Hat Enterprise Linux に含まれるようになりました。GNOME デスクトップ環境では、Qt 5 で作成されたアプリケーションが現在のビジュアル設定を尊重するようにします。(BZ#1479351)

バージョン 1.6.8 にリベースされた ModemManager

ModemManager パッケージは、新しいモデムハードウェアをサポートするためにアップストリームバージョン 1.6.8 にアップグレードされました。これにより、以前のバージョンより多くの機能が強化されています。特に、libqmi ライブラリーのバージョンは 1.18.0 に、libmbim ライブラリーは 1.14.2 にアップグレードされました。さらに、usb_modeswitch ツールが 2.5.1 にアップグレードされ、usb-modeswitch-data パッケージが 20170806 にアップグレードされました。(BZ#1483051)

新しいパッケージ: libsmbios

Red Hat Enterprise Linux 7.5 には、フラッシュ Trusted Platform Module (TPM) および Synaptics Micro Systems Technology (MST) ハブをサポートするための libsmbios パッケージが含まれるようになりました。Libsmbios は、クライアントプログラムが SMBIOS テーブルなどの標準 BIOS テーブルから情報を取得するために使用できるライブラリーおよびユーティリティーです。(BZ#1463329)

mutter がバージョン 3.26 にリベースされました

ecj パッケージがアップストリームバージョン 4.5.2 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
最も重要なバグ修正は次のとおりです。
  • ショートカット禁止ダイアログを再生成するときに予期せず終了する
  • モニター設定の移行中に予期しない終了が発生しました
  • X11 セッションでのマルチヘッドリグレッション
  • 画面回転のリグレッション
  • タブレット端末再接続時の予期せぬ終了
注目すべき機能強化のリストは次のとおりです。
  • ヘッドレス実行のサポート
  • サンドボックス化されたアプリ ID のスナップパッケージのサポート
  • _NET_RESTACK_WINDOW および ConfigureRequest 兄弟のサポート
  • mutter は _NET_NUMBER_OF_DESKTOPS をエクスポートするようになりました
  • mutter でタイルウィンドウのサイズを変更できるようになりました
  • 非ラテンレイアウトでキーバインドが解決されました。
  • クライアントへのタイル情報のエクスポートのサポート
  • モニターのレイアウトがセッション間で記憶されるようになりました (BZ# 1481386)

SANE_USB_WORKAROUND 環境変数は、古いスキャナーを USB3 で使用できるようにすることができます

以前は、スキャナーアクセスナウイージー (SANE) は、USB3 ポートに接続されている特定の古いタイプのスキャナーと通信できませんでした。今回の更新では、SANE_USB_WORKAROUND 環境変数が導入されました。この変数を 1 に設定すると、この問題を解消できます。(BZ#1458903)

ビデオストリームの処理を改善するために追加された libyami パッケージ

今回の更新で、libyami パッケージが Red Hat Enterprise Linux 7 に追加され、ビデオストリームの処理が改善されました。特に、ビデオストリームは、ハードウェアアクセラレーションの助けを借りて解析およびデコードされます。(BZ#1456906)

netpbm がバージョン 10.79.00 にリベースされました

netpbm パッケージがバージョン 10.79.00 にアップグレードされました。これにより、これらのパッケージに含まれる複数のプログラムに多数のバグ修正と拡張機能が提供されます。詳細な変更ログについては、/usr/share/doc/netpbm/HISTORY ファイルを参照してください。(BZ#1381122)

Red Hat Enterprise Linux 7.5 は libva をサポートします

Libva は、Video Acceleration API (VA-API) の実装です。
VA-API は、ビデオ処理用のグラフィックハードウェアアクセラレーション機能へのアクセスを提供するオープンソースライブラリーおよび API 仕様です。これは、メインライブラリーと、サポートされている各ハードウェアベンダーのドライバー固有のアクセラレーションバックエンドで設定されています。(BZ#1456903)

GStreamermp3 をサポートするようになりました

より一般的には mp3 として知られる MPEG-2 オーディオレイヤ III デコーダが GStreamer に追加されました。mp3 サポートは、mpeg123 ライブラリーおよび対応する GStreamer プラグインを通じて利用できます。
ユーザーは、GNOME ソフトウェア を使用するか、さまざまな GStreamer アプリケーションのコーデックインストーラーを使用して、mp3 プラグインをダウンロードできます。(BZ#1481753)

バージョン 3.26 にリベースされた GNOME コントロールセンター

Red Hat Enterprise Linux 7.5 では、control-center がアップストリームバージョン 3.26 にリベースされました。主な機能強化は、次のとおりです。
  • ナイトライト は、時間帯に応じてディスプレイの色を変える新機能です。画面の色は、特定の場所の日の出と日の入りの時間に従うか、カスタムスケジュールに設定できます。Night Light は、X11Wayland ディスプレイサーバープロトコルの両方で動作します。
  • この更新により、設定 アプリケーションに新しいレイアウトが導入されました。アイコンのグリッドはサイドバーに置き換えられ、さまざまな領域を切り替えることができます。さらに、設定 ウィンドウが大きくなり、サイズを変更できます。
  • GNOME の ネットワーク 設定が改善されました。Wi-Fi には専用の設定エリアがあり、ネットワーク 設定ダイアログが更新されました。
  • GNOME の 表示 設定が再設計されました。新しいデザインにより、関連する設定が前面に表示されます。複数のディスプレイが接続されている場合、ボタンの列があり、好みの用途を選択できます。新しい 表示 設定には、新しいスケーリング設定のプレビューバージョンが含まれています。これにより、画面に表示されるサイズを、ディスプレイの密度 (PPI または DPI で表されることが多い) に合わせて調整できます。X11 ではディスプレイごとの設定がサポートされていないため、WaylandX11 よりも推奨されることに注意してください。
  • 設定 アプリケーションの他の 3 つの領域 (オンラインアカウントプリンター、および ユーザー) のユーザーインターフェイスが再設計されました。(BZ#1481407)

新しいパッケージ: emacs-php-mode

今回の更新により、新しい emacs-php-mode パッケージが Red Hat Enterprise Linux 7 に追加されます。emacs-php-mode は、Emacs テキストエディターに PHP モードを提供するため、より優れた PHP 編集が可能になります。(BZ#1266953)

オランダ語のキーボードレイアウトを提供

Red Hat Enterprise Linux をオランダ語でインストールすると、Windows OS で使用される米国国際マップを模倣した追加のキーボードマップが提供されるようになりました。新しい latn1-pre.mim キーマップ ファイルにより、ユーザーは単一のキーマップ、分音記号を利用できるようになり、英語とオランダ語の両方を簡単に入力できるようになります。(BZ#1058510)

第9章 ファイルシステム

SMB 2 および SMB 3 が DFS をサポートするようになりました

以前はサーバーメッセージブロック (SMB) プロトコルバージョン 1 でのみサポートされていた分散ファイルシステム (DFS) が、SMB 2 および SMB 3 でもサポートされるようになりました。
今回の更新により、SMB 2 および SMB 3 プロトコルを使用して DFS 共有をマウントできるようになりました。(BZ#1481303)

大量のメモリーをマッピングするときのファイルシステム DAX のパフォーマンスが向上しました

この機能強化の前は、Direct Access (DAX) 機能は 4KiB エントリーのみをアプリケーションアドレス空間にマップしていました。これにより、Translation Lookaside Buffer (TLB) の負荷が増加したため、大量のメモリーをマップするワークロードのパフォーマンスに悪影響がありました。今回の更新により、カーネルは永続メモリーマッピングで 2MiB ページミドルディレクトリー (PMD) 障害をサポートします。これにより、TLB の負荷が大幅に軽減され、大量のメモリーをマッピングする際のファイルシステム DAX のパフォーマンスが向上します。(BZ#1457572)

quotacheckext4 で高速になりました

quotacheck ユーティリティーは、個々のファイルの占有ディスクサイズを分析する代わりに、ext4 ファイルシステムのメタデータを直接スキャンするようになりました。ファイルシステムに多くのファイルが含まれている場合、クォータの初期化とクォータチェックが大幅に高速化されました。(BZ#1393849)

CephFS カーネルクライアントは Red Hat Ceph Storage 3 で完全にサポートされる

Ceph File System (CephFS) カーネルモジュールにより、Red Hat Enterprise Linux ノードは、Red Hat Ceph Storage クラスターから Ceph ファイルシステムをマウントできます。Red Hat Enterprise Linux のカーネルクライアントは、Red Hat Ceph Storage に同梱されている Filesystem in Userspace (FUSE) クライアントの効率的な代替手段です。現在、カーネルクライアントでは CephFS クォータに対応していないことに注意してください。
CephFS カーネルクライアントは、テクノロジープレビューとして Red Hat Enterprise Linux 7.3 に導入され、Red Hat Ceph Storage 3 のリリース以降、CephFS を完全にサポートしています。
詳細は、Red Hat Ceph Storage 3 の Ceph File System Guide https://access.redhat.com/documentation/ja-jp/red_hat_ceph_storage/3/html/ceph_file_system_guide/ を参照してください。(BZ#1626526)

第10章 ハードウェアの有効化

ファームウェアが更新された Broadcom 5880 スマートカードリーダーがサポートされるようになりました

この更新には、Broadcom 5880 スマートカードリーダーの更新されたファームウェアバージョンの USB ID エントリーが含まれており、Red Hat Enterprise Linux はこれらのリーダーを正しく認識して使用できるようになりました。
古いファームウェアバージョンを使用している Broadcom 5880 スマートカードリーダーを使用しているユーザーは、ファームウェアを更新する必要があることに注意してください。更新プロセスの詳細については、www.dell.com のサポートセクションを参照してください。(BZ#1435668)

fwupd が Synaptics MST ハブをサポートするようになりました

Red Hat Enterprise Linux 7.5 は、Synaptics MST ハブのプラグインを fwupd ユーティリティーに追加します。このプラグインを使用すると、ファームウェアをフラッシュし、このデバイスのファームウェア情報を照会できます。(BZ#1420913)

kernel-rt ソースが更新されました

kernel-rt ソースが最新の Red Hat Enterprise Linux カーネルソースツリーをベースとするようにアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。(BZ#1462329)

改善された RT スロットリングメカニズム

現在のリアルタイムスロットリングメカニズムは、CPU を集中的に使用するリアルタイムタスクによる非リアルタイムタスクの枯渇を防ぎます。リアルタイム実行キューが調整されると、非リアルタイムタスクの実行が許可されます。タスクがない場合は、CPU がアイドル状態になります。CPU のアイドル時間を減らして CPU 使用率を安全に最大化するために、RT_RUNTIME_GREED スケジューラー機能が実装されました。有効にすると、リアルタイムタスクがスロットリングされる前にリアルタイム以外のタスクが枯渇しているかどうかを確認します。結果として、RT_RUNTIME_GREED スケジューラーオプションは、リアルタイムタスクを可能な限り実行し続けながら、非リアルタイムタスクのすべての CPU である程度の実行時間を保証します。(BZ#1401061)

VMware 準仮想化 RDMA ドライバー

この機能強化更新により、VMware 準仮想化 RDMA ドライバーが Red Hat Enterprise Linux に追加されます。この機能により、VMware ユーザーは Red Hat Enterprise Linux ベースの VM を PVRDMA デバイスでデプロイして使用できます。(BZ#1454965)

opal-prd がバージョン 6.7.1 にリベース

ハードウェア固有の回復プロセスを処理する opal-prd デーモンが、バージョン 5.9 にリベースされました。この機能強化の更新には、次の重要な修正と注目すべき機能強化が含まれています。
  • デバッグモードで stdio にログを記録した後にフラッシュする
  • メモリーリークの修正
  • opal-prd コマンドラインオプションの修正
  • occ_reset 呼び出しの修正
  • ナノスリープ範囲に関する API コメント
  • opal- prd の起動中に pnor ファイルが渡されなくなりました
  • FSP システムホストで、pnor アクセスインターフェイスが無効になっている
  • ZZ でのランタイム OCC ロード/開始のサポートを追加
opal-prd のユーザーは、これらの更新されたパッケージにアップグレードすることをお勧めします。これにより、これらのバグが修正され、これらの拡張機能が追加されます。(BZ#1456536)

libreswan が NIC オフロードをサポートするようになりました

libreswan パッケージのこの更新では、ネットワークインターフェイスコントローラー (NIC) オフロードのサポートが導入されています。Libreswan は NIC ハードウェアオフロードサポートを自動的に検出するようになり、この機能を手動でセットアップするために nic-offload=auto|yes|no オプションが追加されました。(BZ#1463062)

利用可能な Trusted Computing Group TPM 2.0 System API ライブラリーおよび管理ユーティリティー

Trusted Computing Group の Trusted Platform Module (TPM) 2.0 ハードウェアを処理し、以前はテクノロジープレビューとして提供されていた次のパッケージが完全にサポートされるようになりました。
  • tpm2-tss パッケージは、TPM 2.0 System API ライブラリーの Intel 実装を追加します。このライブラリーを使用すると、プログラムが TPM 2.0 デバイスと対話できます。
  • tpm2-tools パッケージは、ユーザースペースから TPM2.0 デバイスを管理および利用するための一連のユーティリティーを追加します。(BZ#1463097, BZ#1463100)

新しいパッケージ: tpm2-abrmd

今回の更新により、tpm2-abrmd パッケージが Red Hat Enterprise Linux 7 に追加されます。tpm2-abrmd パッケージは、Trusted Computing Group の Trusted Plaform Module (TPM) 2.0 Access Broker (TAB) および Resource Manager (RM) 仕様を実装するシステムサービスを提供します。(BZ#1492466)

第11章 インストールおよび起動

キックスタートインストールで、マウントポイントを既存のブロックデバイスに割り当てることができるようになりました。

新しい マウント コマンドがキックスタートで利用できるようになりました。このコマンドは、ファイルシステムを使用して特定のブロックデバイスにマウントポイントを割り当て、--reformat オプションを指定すると再フォーマットすることもできます。
mount と、autopart、part、logvol などの他のストレージ関連コマンドとの違いは、マウントキック スタートファイルにストレージ設定全体を記述する必要がないことです。指定されたブロックデバイスがシステム。ただし、既存のストレージ設定を使用する代わりにストレージ設定を作成し、さまざまなデバイスをマウントする場合は、他のストレージ設定コマンドを使用する必要があります。
同じキックスタートファイル内で他のストレージ設定コマンドと一緒に マウント を使用することはできません。(BZ#1450922)

livemedia-creator ユーティリティーは、UEFI システム用のサンプルキックスタートファイルを提供するようになりました

livemedia-creator パッケージで提供されるキックスタートファイルの例が更新され、32 ビットおよび 64 ビットの UEFI システムがサポートされるようになりました。ファイルは /usr/share/lorax-version/ ディレクトリーにあります。
起動可能な UEFI ディスクイメージを構築するには、livemedia-creator を UEFI システムまたは仮想マシンで実行する必要があることに注意してください。(BZ#1458937)

デバイス設定ファイルをデバイス MAC アドレスにバインドする network Kickstart コマンドの新しいオプション

新しい --bindto=mac オプションを network Kickstart コマンドで使用して、インストールされたシステムのデバイスの ifcfg ファイルでデフォルトの DEVICE の代わりに HWADDR パラメーター (MAC アドレス) を使用できるようになりました。これにより、デバイス設定がデバイス名ではなく MAC にバインドされます。
新しい --bindto オプションは、ネットワーク --device キックスタートオプションとは無関係であることに注意してください。デバイスがその名前、link、または bootif を使用してキックスタートファイルで指定された場合でも、ifcfg ファイルに適用されます。(BZ#1328576)

Kickstart %packages の新しいオプションにより、Yum タイムアウトと再試行回数を設定できます

今回の更新で、キックスタートファイルの %packages セクションに 2 つの新しいオプションが追加されました。
  • --timeout=X - Yum タイムアウトを X 秒に設定します。デフォルトは 30 です。
  • --retries=Y - Yum の再試行回数を Y に設定します。デフォルトは 10 です。
インストール中に複数の %packages セクションを使用する場合、最後に表示されるセクションに設定されたオプションがすべてのセクションに使用されることに注意してください。最後のセクションにこれらのオプションがどちらも設定されていない場合、キックスタートファイルのすべての %packages セクションでデフォルト値が使用されます。
これらの新しいオプションは、パッケージのダウンロード速度がディスクの読み取り速度またはネットワーク速度によって制限されている場合に、1 つのパッケージソースから一度に多数の並列インストールを実行する場合に役立ちます。新しいオプションは、インストール中のシステムにのみ影響し、インストールされたシステムの Yum 設定には影響しません。(BZ#1448459)

Red Hat Enterprise Linux 7 ISO イメージを使用して、IBM Z 上にゲスト仮想マシンを作成できます

このリリースでは、IBM Z アーキテクチャー上の KVM 仮想マシン用の起動可能な Red Hat Enterprise Linux ISO ファイルを作成できます。その結果、IBM Z 上の Red Hat Enterprise Linux ゲスト仮想マシンは、boot.iso ファイルから起動できます。(BZ#1478448)

ifcfg- * ファイルの ARPUPDATE オプションが導入されました

今回の更新では、ifcfg-* ファイルのデフォルト値 yes を持つ ARPUPDATE オプションが導入されました。値を no に設定すると、管理者は、現在のネットワークインターフェイスコントローラー (NIC) に関するアドレス解決プロトコル (ARP) 情報を使用して近隣コンピューターを更新することを無効にすることができます。これは、ダイレクトルーティングを有効にして Linux Virtual Server (LVS) 負荷分散を使用する場合に特に必要です。(BZ#1478419)

rpm -V コマンドに追加された --noconfig オプション

今回の更新で、--noconfig オプションが rpm -V コマンドに追加されました。このオプションを使用すると、変更された非設定ファイルのみをコマンドで一覧表示できるため、システムの問題の診断に役立ちます。(BZ#1406611)

ifcfg-* ファイルで 3 番目の DNS サーバーを指定できるようになりました

ifcfg-* 設定ファイルが DNS3 オプションをサポートするようになりました。このオプションを使用して、以前の最大 2 つの DNS サーバーの代わりに、3 番目のドメインネームサーバー (DNS) アドレスを /etc/resolv.conf で使用するように指定できます。(BZ#1357658)

rpm-build でのマルチスレッドxz 圧縮

今回の更新で、%_source_payload または %_binary_payload マクロを wLTX.xzdio パターンに設定する際に、ソースおよびバイナリーパッケージのマルチスレッド xz 圧縮が追加されました。その中で、L は圧縮レベルを表します。デフォルトでは 6 であり、X は使用されるスレッドの数です (複数桁の場合もあります) (例: w6T12.xzdio)。この機能を有効にするには、/usr/lib/rpm/macros ファイルを編集するか、スペックファイル内またはコマンドラインでマクロを宣言します。
その結果、高度に並列化されたビルドの圧縮にかかる時間が短縮されます。これは、多数のコアを備えたハードウェア上に構築された大規模なプロジェクトの継続的な統合に特に役立ちます。(BZ#1278924)

第12章 カーネル

RHEL 9.1 のカーネルバージョン

Red Hat Enterprise Linux 9.1 は、カーネルバージョン 5.14.0-162 で配布されます。(BZ#1801759)

メモリー保護キーは、最新の Intel プロセッサーでサポートされるようになりました

メモリー保護キーは、ページベースの保護を強化するメカニズムを提供しますが、アプリケーションが保護ドメインを変更した時にページテーブルを修正する必要はありません。プロセッサーがメモリー保護キーをサポートしているかどうかを判断するには、/proc/cpuinfo ファイルで pku フラグを確認します。プログラミングの実例を含む詳しい情報は、kernel-doc パッケージが提供する /usr/share/doc/kernel-doc-*/Documentation/x86/protection-keys.txt を参照してください。(BZ#1272615)

ポンディシェリ 2 メモリーコントローラー用に EDAC サポートを追加

Intel Atom C3000 シリーズプロセッサーベースのマシンで使用される Pondicherry 2 メモリーコントローラーに、エラー検出と修正のサポートが追加されました。(BZ#1273769)

MBA がサポートされるようになりました

メモリー帯域幅割り当て (MBA) は、Broadwell サーバーにある既存のキャッシュ QoS 実施 (CQE) 機能の拡張です。MBA は、アプリケーションのメモリー帯域幅を制御する Intel Resource Director Technology (RDT) の機能です。今回の更新で、MBA サポートが追加されました。(BZ#1379551)

スワップの最適化により、高速ブロックデバイスをセカンダリーメモリーとして使用できるようになります

以前は、回転ディスクのパフォーマンス、特に待ち時間の点で、メモリー管理サブシステムの残りの部分よりも桁違いに悪かったため、スワップサブシステムはパフォーマンス上重要ではありませんでした。高速 SSD デバイスの出現により、スワップサブシステムのオーバーヘッドが大きくなりました。この更新により、このオーバーヘッドを削減する一連のパフォーマンスが最適化されます。(BZ#1400689)

HID Wacom がバージョン 4.12 にリベース

HID Wacom カーネルモジュールパッケージがアップストリームバージョン 4.12 にアップグレードされました。これにより、以前のバージョンに対して多数のバグ修正と拡張が行われました。
  • hid_wacom 電源コードが更新され、既存の問題が修正されました。
  • Bluetooth ベースの Intuos 2 Pro ペンタブレットのサポートが追加されました。
  • Intuos 2 Pro ペンタブレットと Bamboo スレートに影響するバグが修正されました。(BZ#1475409)

新しい livepatch 機能により、kpatch-patch パッケージのレイテンシーと成功率が向上します

今回の更新により、kpatch カーネルのライブパッチインフラストラクチャーがアップグレードされ、カーネルにパッチを適用するための新しいアップストリームの livepatch 機能が使用されるようになりました。この機能により、kpatch-patch ホットフィックスパッケージのスケジューリングの待ち時間と成功率が向上します。(BZ#1430637)

Persistent Kernel Module Upgrade (PKMU) をサポート

kmod パッケージは、カーネルモジュールの自動ロード、アンロード、および管理のためのさまざまなプログラムを提供します。以前は、kmod は/lib/modules/<kernel version> ディレクトリーでのみモジュールを検索していました。そのため、ユーザーは追加のアクションを実行する必要がありました。たとえば、/usr/sbin/weak-modules スクリプトを実行してシンボリックリンクをインストールし、モジュールをロード可能にする必要がありました。今回の更新で、kmod が変更され、ファイルシステム内の任意のモジュールを検索するようになりました。その結果、ユーザーは新しいモジュールを別のディレクトリーにインストールし、そこでモジュールを探すように kmod ツールを設定でき、モジュールは新しいカーネルで自動的に利用できるようになります。ユーザーは、カーネルに複数のディレクトリーを指定したり、異なるカーネルに異なるディレクトリーを指定したりすることもできます。カーネルのバージョンは正規表現で指定します。(BZ#1361857)

Linux カーネルが暗号化された SMB 3 接続をサポートするようになりました

この機能を導入する前は、サーバーメッセージブロック (SMB) プロトコルを使用する場合、カーネルは暗号化されていない接続のみをサポートしていました。この更新プログラムは、SMB 3.0 以降のプロトコルバージョンの暗号化サポートを追加します。その結果、サーバーがこの機能を提供または必要とする場合、ユーザーは暗号化を使用して SMB 共有をマウントできます。
暗号化された SMB プロトコルを使用して共有をマウントするには、seal マウントオプションを、3.0 以降に設定された vers マウントオプションと一緒に マウント コマンドに渡します。詳細と例については、https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/storage_administration_guide/mounting_an_smb_share#tab.frequently_used_mount_optionsseal パラメーターの説明を参照してください。(BZ#1429710)

AMD Naples プラットフォームで有効になっている SME

今回の更新により、AMD Naples プラットフォームに基づくシステムで AMD Secure Memory Encryption (SME) が提供されます。Advanced Encryption Standard (AES) エンジンには、ダイナミックランダムアクセスメモリー (DRAM) を暗号化および復号化する機能があります。AES エンジンによって提供される SME は、ハードウェアプローブ攻撃からマシンを保護することを目的としています。SME を有効にするには、カーネルパラメーター mem_encrypt=on を 使用してシステムを起動します。(BZ#1361287)

ie31200_edac ドライバーのサポート

この機能強化により、ie31200_edac ドライバーのサポートが、Skylake および Kabi Lake CPU ファミリーのコンシューマーバージョンに追加されます。(BZ#1482253)

EDAC が GHES をサポートするようになりました

この拡張機能により、BIOS によって提供される Generic Hardware Error Source (GHES) を使用するための Error Detection and Correction (EDAC) サポートが追加されます。GHES は、ハードウェア固有のドライバーの代わりに、メモリー修正済みおよび未修正エラーのソースとして使用されるようになりました。(BZ#1451916)

CUIR 拡張スコープ検出が完全にサポートされるようになりました

Control Unit Initiated Reconfiguration (CUIR) のサポートにより、Direct Access Storage Device (DASD) デバイスドライバーは、並行サービスのためにオフラインの DASD へのパスを自動的に取得できます。DASD への他のパスが使用可能な場合、DASD は動作し続けます。
パスが再び使用可能になると、CUIR は DASD デバイスドライバーに通知し、デバイスドライバーはパスをオンラインに戻そうとします。
論理パーティション (LPAR) モードで実行している Linux インスタンスのサポートに加えて、IBM z/VM システムでの Linux インスタンスのサポートがテクノロジープレビューとして追加されました。(BZ#1494476)

kdump は、ルートファイルシステムをマウントせずに vmcore コレクションを許可します。

Red Hat Enterprise Linux 7.4 では、kdump はルートファイルシステムをマウントする必要がありましたが、これは vmcore イメージファイルの収集に常に必要なわけではありません。その結果、ダンプターゲットがルートファイルシステム上ではなく、たとえば USB またはネットワーク上にある場合にルートデバイスをマウントできない場合、kdumpvmcore ファイルの収集に失敗していました。今回の機能強化により、ルートデバイスがダンプに不要な場合はマウントされず、vmcore ファイルを収集できるようになりました。(BZ#1431974, BZ#1460652)

KASLR を完全にサポートし、デフォルトで有効にします

AMD64 および Intel 64 アーキテクチャー上の Red Hat Enterprise Linux 7.5 では、以前はテクノロジープレビューとして利用できたカーネルアドレス空間レイアウトのランダム化 (KASLR) が完全にサポートされています。KASLR は、カーネルテキスト KASLR と mm KASLR の 2 つの部分で設定されるカーネル機能です。この 2 つの部分は相互に作用し、Linux カーネルのセキュリティーを強化します。
カーネルテキストの物理アドレスと仮想アドレスの場所が、個別にランダム化されます。カーネルの物理アドレスは 64 TB の任意の場所に配置できますが、カーネルの仮想アドレスは、[0xffffffff80000000, 0xffffffffc0000000] の間の 1 GB 領域に制限されます。
3 つの mm セクション (ダイレクトマッピングセクション、vmalloc セクション、および vmemmap セクション) の開始アドレスは、特定の領域でランダム化されます。以前は、このセクションの開始アドレスが固定値になっていました。
したがって、悪意のコードが、カーネルアドレス領域にその記号が置かれていることを知る必要がある場合に、KASLR は悪意のコードにカーネルの実行を挿入またはリダイレクトしないようにすることができます。
KASLR コードが Linux カーネルにコンパイルされ、デフォルトで有効になりました。明示的に無効にするには、nokaslr カーネルオプションをカーネルコマンドラインに追加します。(BZ#1491226)

Intel® Omni-Path Architecture (OPA) ホストソフトウェア

Red Hat Enterprise Linux 7.9 は、Intel® Omni-Path Architecture (OPA) ホストソフトウェアに完全に対応しています。Intel OPA は、クラスター環境のコンピュートと I/O ノード間の高性能データ転送 (高帯域幅、高メッセージレート、低レイテンシー) のために、初期化とセットアップを行う Host Fabric Interface (HFI) ハードウェアを提供します。
Intel Omni-Path Architecture のインストール方法は、https://www.intel.com/content/dam/support/us/en/documents/network-and-i-o/fabric-products/Intel_OP_Software_RHEL_8_RN_K51383.pdf を参照してください。(BZ#1543995)

noreplace-paravirt がカーネルコマンドラインパラメーターから削除されました

noreplace-paravirt カーネルコマンドラインパラメーターは、スペクターおよびメルトダウンの脆弱性を緩和するパッチとの互換性がなくなったため、削除されました。カーネルコマンドラインで noreplace-paravirt を 使用して AMD64 および Intel 64 システムを起動すると、オペレーティングシステムの再起動が繰り返されます。(BZ#1538911)

新しい EFI memmap 実装が SGI UV2+ システムで利用可能になりました

この更新の前は、kexec 再起動 (memmap) 実装全体での Extensible Firmware Interface (EFI) 安定ランタイムサービスマッピングは、Silicon Graphics International (SGI) UV2 以降のシステムでは利用できませんでした。今回の更新で、EFI memmap のサポートが追加されました。さらに、この更新により、kdump カーネルでセキュアブートを使用できるようになります。(BZ#1102454)

柔軟なファイルレイアウトでの pNFS 共有のマウントが完全にサポートされるようになりました

pNFS クライアントでの柔軟なファイルレイアウトは、Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして初めて導入されました。Red Hat Enterprise Linux 7.5 では、完全にサポートされるようになりました。
pNFSの柔軟なファイルレイアウトにより、ノンストップファイルモビリティーやクライアント側のミラーリングなどの高度な機能を利用できます。これにより、データベース、ビッグデータ、仮想化などの分野での利便性が向上します。pNFS フレキシブルファイルレイアウトの詳細は、https://datatracker.ietf.org/doc/draft-ietf-nfsv4-flex-files/ を参照してください。(BZ#1349668)

第13章 ネットワーク

dhcp-script の出力でのエラー処理が改善されました

以前は、dhcp-script の出力のエラーは無視されていました。今回の更新により、スクリプトの出力は addolddelarp-addarp-deltftp アクションで記録されます。その結果、dnsmasq の実行中にエラーが表示されます。
lease-init アクションは Dnsmasq の開始時にのみ発生することに注意してください。今回の更新により、出力の概要のみがログに記録され、標準エラー出力は記録されず、ログ記録のために systemd サービスに渡されます。(BZ#1188259)

ネットワーク名前空間の分離が ipset に追加されました

以前は、ipset エントリーが表示され、任意のネットワーク名前空間で変更できました。この更新により、ネットワーク名前空間ごとに分離された ipset が提供されます。その結果、ipset 設定は名前空間ごとに分離されます。(BZ#1226051)

NetworkManager が複数のルーティングテーブルをサポートして、ソースルーティングを有効にするようになりました

この更新により、IPv4 および IPv6 ルートの新しい テーブル 属性が追加されます。これは、ユーザーが手動で設定できます。手動の静的なルート 1 つに対して、ルーティングテーブルを 1 つ選択できます。その結果、ルートのテーブルを設定すると、そのテーブルでルートを設定する効果があります。さらに、接続プロファイルのデフォルトのルーティングテーブルは、それぞれ IPv4 と IPv6 の新しい ipv4.route-tableipv6.route-table 設定を介して設定できます。これらの設定は、この設定を明示的に上書きする手動ルートを除いて、ルートが配置されるテーブルを決定します。(BZ#1436531)

nftables がバージョン 0.9.3 にリベースされました

nftables パッケージがアップストリームバージョン 0.9.3 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。以下は、主な変更点です。
  • 任意のキーの組み合わせのサポートハッシュが追加されました。
  • チェックサム調整を含む、非バイトバウンドパケットヘッダーフィールドの設定のサポートが追加されました。
  • セット要素定義の変数参照と要素コマンドからの変数定義が使用できるようになりました。
  • フラッシュセットのサポートが追加されました。
  • ロギングフラグのサポートが追加されました。
  • tc classid パーサーのサポートが追加されました。
  • リンク層アドレスのエンディアンの問題が解決されました。
  • 定義時にマップフラグを保持するパーサーが修正されました。
  • カーネルが期待するように、time データ型はミリ秒を使用するようになりました。(BZ#1472261)

永続的な DHCP クライアントの動作が NetworkManager に追加されました

今回の更新により、ipv4.dhcp-timeout プロパティーを 32 ビット整数 (MAXINT32) 値の最大 値または 無限 値に設定できるようになりました。その結果、NetworkManager による DHCP サーバーからのリースの取得または更新の試行は、成功するまで停止しません。(BZ#1350830)

NetworkManager は新しいプロパティーを公開して、チームオプションを公開します

以前は、NetworkManager は、チーム設定で使用できる唯一のプロパティーである config プロパティーに JSON 文字列を提供する接続にチーム設定を適用していました。この更新により、NetworkManager に新しいプロパティーが追加され、チーム設定オプションと 1 対 1 で一致します。その結果、NetworkManager 設定プロパティーの一意の JSON 文字列を使用するか、新しいチームプロパティーに値を割り当てることにより、設定を提供できます。config に適用された設定の変更は、新しいチームのプロパティーに反映され、その逆も同様です。チームの link-watchers と team.runner の正しい設定が NetworkManager に適用されるようになりました。link-watcher と team.runner の設定が間違っているか不明な場合、チーム接続全体が拒否されます。
新しい ランナー プロパティーを変更すると、特定のランナーに関連するすべてのプロパティーがデフォルトにリセットされることに注意してください。(BZ#1398925)

パケットマークが返信に反映されるようになりました

以前は、クローズされたポートで接続要求を受信すると、エラーパケットがクライアントに返されていました。着信接続がいくつかのファイアウォールルールでマークされている場合、この機能がカーネルに実装されていないため、生成されたエラーメッセージにはこのマークがありませんでした。今回の更新により、生成されたエラーメッセージには、接続を開始しようとした着信パケットと同じマーキングが含まれるようになりました。(BZ#1469857)

NTP の新しいソケットタイムスタンプオプション

今回の更新では、ボンディングおよび chrony などの ネットワークタイムプロトコル (NTP) 実装の他の仮想インターフェイスを使用したハードウェアタイムスタンプの SOF_TIMESTAMPING_OPT_PKTINFO および SOF_TIMESTAMPING_OPT_TX_SWHW ソケットタイムスタンプオプションが追加されます。(BZ#1421164)

バージョン 4.11.0 にリベースされた iproute2

bison パッケージがアップストリームバージョン 3.0.4 にアップグレードされ、バグ修正および機能拡張が数多く追加されました。特に、ip ツールには以下が含まれます。
  • さまざまなコマンドへの JSON 出力のサポートが追加されました。
  • より多くのインターフェイスタイプ属性のサポートが追加されました。
  • カラー出力のサポートが追加されました。
  • labeldev オプション、および ip-monitor 状態の ルール オブジェクトのサポート。
  • ip-rule コマンドでのセレクターのサポートが追加されました。
さらに、tc ユーティリティーの注目すべき改善点は次のとおりです。
  • tc の bash-completion 関数のサポート。
  • tcvlan アクションが導入されました。
  • pedit アクションに拡張モードが導入されました。
  • csum アクションでの Stream Control Transmission Protocol (SCTP) サポートが追加されました。
その他のツールの場合:
  • lnstat ツールでの拡張統計のサポートが追加されました。
  • nstat ユーティリティーでの SCTP のサポートが追加されました。(BZ#1435647)

tc-pedit アクションは、レイヤー 2 およびレイヤー 4 に対する オフセット をサポートするようになりました

tc-pedit アクションを使用すると、パケットデータを変更できます。今回の更新により、レイヤー 2、3、および 4 ヘッダーに関連する オフセット オプションを tc-pedit に指定するためのサポートが 追加 されました。これにより、pedit ヘッダー の処理がより堅牢で柔軟になります。その結果、イーサネットヘッダーの編集がより便利になり、レイヤー 4 ヘッダーへのアクセスはレイヤー 3 ヘッダーサイズとは無関係に機能します。(BZ#1468280)

iproute にバックポートされた機能

多くの拡張機能が iproute パッケージにバックポートされました。以下は、主な変更点です。
  • dpipe サブコマンドを使用して、パイプラインデバッグサポートが devlink ツールに追加されました。
  • ハードウェアオフロードステータスは、in_hw または not_in_hw フラグによって示される tc フィルターで利用できるようになりました。
  • tc pedit アクションでの IPv6 のサポートが追加されました。
  • eswitch カプセル化サポートの設定と取得が devlink ツールに追加されました。
  • tc flower フィルターのマッチング機能が強化されました。
  • TCP フラグでのマッチングのサポート。
  • IP ヘッダーのタイプオブサービス (ToS) フィールドとタイムトゥライブ (TTL) フィールドの照合のサポート。
(BZ#1456539)

Geneve ドライバーがバージョン 4.12 にリベースされました

Geneve ドライバーがバージョン 4.12 に更新されました。これにより、Geneve トンネリングを使用した Open vSwitch (OVS) または Open Virtual Network (OVN) のデプロイメントにいくつかのバグ修正と拡張機能が提供されます。(BZ#1467288)

VXLAN および GENEVE オフロード用に追加された制御スイッチ

今回の更新では、新しい制御スイッチが ethtool ユーティリティーに追加され、ネットワークカードへの VXLAN および GENEVE トンネルのオフロードを有効または無効にします。この機能強化により、VXLAN または GENEVE トンネルに関する問題のデバッグが容易になります。さらに、ethtool を使用して機能を無効にすることで、これらのタイプのトンネルをネットワークカードにオフロードすることによって発生する問題を解決できます。(BZ#1308630)

unbound がバージョン 1.16.2 にリベースされました

unbound パッケージがアップストリームバージョン 1.6.6 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。主な変更点は次のとおりです。
  • RFC 7816 に準拠した DNS クエリー名 (QNAME) の最小化が実装されました。
  • 新しい max-udp-size 設定オプションが追加されました。デフォルト値は 4096 です。
  • 新しい DNS64 モジュールと新しい dns64-prefix オプションが追加されました。
  • ネガティブトラストアンカーを管理するために、新しい insecure_add および insecure_remove コマンドが unbound-control ユーティリティーに追加されました。
  • unbound-control ユーティリティーで、ローカルゾーンとローカルデータを一括で追加および削除できるようになりました。これらのアクションを実行するには、local_zoneslocal_zones_removelocal_datas、および local_datas_remove コマンドを使用します。
  • libldnslibunbound の依存関係ではなくなり、一緒にインストールされません。
  • 新しい so-reuseport: オプションを使用して、Linux のスレッドにクエリーを均等に分散できるようになりました。
  • 新しいリソースレコードタイプが追加されました: CDSCDNSKEYURI (RFC 7553 による)、CSYNC、および OPENPGPKEY
  • 新しい ローカルゾーン タイプが追加されました。クライアント IP を使用してメッセージをログに記録する inform と、クエリーをログに記録し、それに対する回答をドロップする inform_deny です。
  • ローカルソケットのリモートコントロールが利用できるようになりました。control-interface:/path/sock および control-use-cert: no コマンドを使用します。
  • 非ローカル IP アドレスにバインドするための新しい ip-transparent: 設定オプションが追加されました。
  • 新しい ip-freebind: 設定オプションが追加され、インターフェイスまたはアドレスがダウンしているときに IP アドレスにバインドできるようになりました。
  • 新しい harden-algo-downgrade: 設定オプションが追加されました。
  • 次のドメインがデフォルトでブロックされるようになりました: onion (RFC 7686 による)、test、および invalid (RFC 6761 による)。
  • libunbound ライブラリー用のユーザー定義のプラグ可能なイベント API が追加されました。
  • Unbound の作業ディレクトリーを設定するには、ディレクトリー: dirunbound.conf ファイルの include: file ステートメントと共に使用して、インクルードがディレクトリーに対して相対的であることを確認するか、絶対パスで chroot コマンドを使用します。
  • 詳細な localzone コントロールは、次のオプションで実装されています: define-tagaccess-control-tagaccess-control-tag-actionaccess-control-tag-datalocal-zone-tag、および local-zone- オーバーライドします
  • ランダムな 64 ビットローカルパーツを使用するすべてのクエリーに対して Linux の freebind 機能を使用するために、新しい outside -interface: netblock/64 IPv6 オプションが追加されました。
  • DNS 応答のログが追加されました。これは、クエリーログに似ています。
  • キータグクエリーと trustanchor.unbound CH TXT クエリーを使用するトラストアンカーシグナリングが実装されています。
  • DNS (EDNS) クライアントサブネットの拡張メカニズムが実装されました。
  • 日和見 IPsec サポートモジュールである ipsecmod が実装されました。(BZ#1251440)

DHCP が標準の動的 DNS 更新をサポートするようになりました

今回の更新により、DHCP サーバーは標準プロトコルを使用して DNS レコードを更新できるようになりました。その結果、DHCP は、RFC 2136: https://tools.ietf.org/html/rfc2136 で説明されているように、標準の動的 DNS 更新をサポートします。(BZ#1394727)

DDNS が追加のアルゴリズムをサポートするようになりました

以前は、dhcpd デーモンは HMAC-MD5 ハッシュアルゴリズムのみをサポートしていましたが、これは重要なアプリケーションにとって安全ではないと考えられていました。その結果、動的 DNS (DDNS) の更新は潜在的に安全ではありませんでした。今回の更新で、追加のアルゴリズムのサポートが追加されました: HMAC-SHA1HMAC-SHA224HMAC-SHA256HMAC-SHA384、または HMAC-SHA512。(BZ#1396985)

IPTABLES_SYSCTL_LOAD_LISTsysctl.d ファイルをサポートするようになりました

IPTABLES_SYSCTL_LOAD_LISTsysctl 設定は、iptables サービスの再起動時に iptables init スクリプトによって再ロードされます。変更された設定は、以前は /etc/sysctl.conf ファイルでのみ検索されていました。今回の更新により、これらの変更を /etc/sysctl.d/ ディレクトリーでも検索できるようになりました。その結果、/etc/sysctl.d/にあるユーザー提供のファイルが、iptables サービスの再起動時に正しく考慮されるようになりました。(BZ#1402021)

SCTPMSG_MORE をサポートするようになりました

MSG_MORE フラグは、完全なパケットの送信準備が整うまで、またはこのフラグを指定しない呼び出しが実行されるまで、小さなデータをバッファーリングするために設定されます。この更新により、Stream Control Transmission Protocol (SCTP) での MSG_MORE のサポートが追加されます。その結果、小さなデータチャンクをバッファーリングし、完全なパケットとして送信できます。(BZ#1409365)

MACsec がバージョン 4.13 にリベースされました

Media Access Control Security (MACsec) ドライバーがアップストリームバージョン 4.13 にアップグレードされました。これにより、以前のバージョンに対して多数のバグ修正と拡張が行われました。主な機能強化は、次のとおりです。
  • MACsec デバイスでは、Generic Receive Offload (GRO)Receive Packet Steering (RPS) が有効になっています。
  • MODULE_ALIAS_GENL_FAMILY モジュールが追加されました。これにより、モジュールがまだロードされていない場合でも、wpa_supplicant などのツールを開始できます。(BZ#1467335)

Open vSwitch で mlx5 ドライバーを使用する際のパフォーマンスの向上

Open vSwitch (OVS) アプリケーションを使用すると、仮想マシンが相互に通信したり、物理ネットワークと通信したりできます。OVS はハイパーバイザーに常駐し、切り替えはフローでの 12 のタプルマッチングに基づいています。ただし、OVS ソフトウェアベースのソリューションは、CPU を非常に集中的に使用します。これはシステムのパフォーマンスに影響を与え、利用可能な帯域幅を完全に使用できなくなります。
今回の更新により、Mellanox ConnectX-4、ConnectX-4 Lx、および ConnectX-5 アダプター用の mlx5 ドライバーが OVS をオフロードできるようになりました。Mellanox Accelerated Switching And Packet Processing (ASAP2) Direct テクノロジーは、変更されていない OVS コントロールプレーンを維持しながら、Mellanox ConnectX-4 以降のネットワークインターフェイスカードで Mellanox Embedded Switch または eSwitch を使用して OVS データプレーンを処理することにより、OVS のオフロードを可能にします。その結果、OVS のパフォーマンスが大幅に向上し、CPU への負荷が軽減されます。
ASAP2 Direct で現在サポートされているアクションには、パケットの解析と照合、転送、VLAN プッシュ/ポップに伴うドロップ、または VXLAN カプセル化とカプセル化解除が含まれます。(BZ#1456687)

Netronome NFP イーサネットドライバーが、representor netdev 機能をサポートするようになりました

今回の更新では、Netronome NFP イーサネットドライバーのレプレゼンテーション または netdev 機能が Red Hat Enterprise Linux 7.5 にバックポートされます。この機能強化により、次のドライバーが有効になります。
  • フォールバックトラフィックを送受信するには
  • Open vSwitch で使用
  • TC-Flower ユーティリティーを使用して NFP ハードウェアへのプログラミングフローをサポートするには (BZ#1454745)

TC-Flower アクションのオフロードのサポート

今回の更新では、TC-Flower 分類子のオフロードと、Open vSwitch のオフロードに関連するアクションのサポートが追加されました。これにより、Netronome SmartNIC を使用した Open vSwitch の高速化が可能になります。(BZ#1468286)

DNS スタブリゾルバーの改善

glibc パッケージの DNS スタブリゾルバーがアップストリームの glibc バージョン 2.26 に更新されました。主な改善点とバグ修正は次のとおりです。
  • /etc/resolv.conf ファイルへの変更が自動的に認識され、実行中のプログラムに適用されるようになりました。以前の動作に戻すには、/etc/resolv.confオプション 行に no-reload オプションを追加します。システム設定によっては、ネットワークサブシステムの設定の一部として /etc/resolv.conf ファイルが自動的に上書きされ、no-reload オプションが削除される場合があることに注意してください。
  • 6 つの検索ドメインエントリーの以前の制限が削除されます。/etc/resolv.confsearch ディレクティブで任意の数のドメインを指定できるようになりました。エントリーを追加すると、DNS 処理にかなりのオーバーヘッドが追加される可能性があることに注意してください。エントリー数が 3 つを超える場合は、ローカルキャッシングリゾルバーの実行を検討してください。
  • getaddrinfo () 関数でのさまざまな境界条件の処理が修正されました。/etc/hosts ファイル内の非常に長い行 (コメントを含む) が、他の行からの検索結果に影響を与えなくなりました。特定の /etc/hosts 設定を持つシステムでのスタックの枯渇に関連する予期しない終了は発生しなくなりました。
  • 以前は、ローテーション オプションが /etc/resolv.conf で有効になっている場合、新しいプロセスの最初の DNS クエリーは、常に /etc/resolv.conf のネームサーバーリストで設定された 2 番目のネームサーバーに送信されていました。この動作は変更され、最初の DNS クエリーでリストからネームサーバーがランダムに選択されるようになりました。後続のクエリーは、以前と同様に、使用可能なネームサーバーを循環します。(BZ#677316, BZ#1432085, BZ#1257639, BZ#1452034, BZ#1329674)

第14章 セキュリティー

LUKS で暗号化されたリムーバブルストレージデバイスは、NBDE を使用して自動的にロック解除できるようになりました

今回の更新により、clevis パッケージと clevis_udisks2 サブパッケージにより、ユーザーはリムーバブルボリュームを Network-Bound Disk Encryption (NBDE) ポリシーにバインドできるようになりました。USB ドライブなどの LUKS で暗号化されたリムーバブルストレージデバイスを自動的にロック解除するには、clevis luks bind および clevis luks unlock コマンドを使用します。(BZ#1475408)

新しいパッケージ: clevis-systemd

Clevis プラグ可能フレームワークの今回の更新では、clevis -systemd サブパッケージが導入されました。これにより、管理者は起動時に LUKS で暗号化された非ルートボリュームの自動ロック解除を設定できます。(BZ#1475406)

OpenSCAP を Ansible ワークフローに統合できるようになりました

今回の更新により、OpenSCAP スキャナーは、プロファイルまたはスキャン結果に基づいて、Ansible Playbook の形式で修復スクリプトを生成できるようになりました。SCAP セキュリティーガイドプロファイルに基づく Playbook には、すべてのルールの修正が含まれており、スキャン結果に基づく Playbook には、評価中に失敗したルールの修正のみが含まれています。ユーザーは、調整されたプロファイルからプレイブックを生成したり、プレイブックの値を編集して直接カスタマイズしたりすることもできます。プレイブックのタスクのメタデータとして使用されるルール ID、戦略、複雑さ、中断、または参照などのタグは、適用するタスクをフィルタリングするのに役立ちます。(BZ#1404429)

SECCOMP_FILTER_FLAG_TSYNC は、呼び出しプロセススレッドの Synchronization を有効にします。

今回の更新で、SECCOMP_FILTER_FLAG_TSYNC フラグが導入されました。新しいフィルターを追加するとき、このフラグは、呼び出しプロセスの他のすべてのスレッドを同じ seccomp フィルターツリーに同期させます。詳細については、seccomp (2) のマニュアルページを参照してください。
アプリケーションが複数の libseccomp または seccomp-bpf フィルターをインストールする場合、seccomp () syscall を許可されたシステムコールのリストに追加する必要があることに注意してください。(BZ#1458278)

sos がバージョン 3.4 にリベース

nss パッケージがアップストリームバージョン 3.34 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。以下は、主な変更点です。
  • TLS 圧縮はサポートされなくなりました。
  • TLS サーバーコードは、RSA キーなしでセッションチケットをサポートするようになりました。
  • 証明書は、PKCS#11 URI を使用して指定できます。
  • RSA-PSS 暗号署名スキームは、証明書署名の署名と検証に使用できるようになりました。(BZ#1457789)

mod_sslSSLv3 が 無効になっている

SSL/TLS 接続のセキュリティーを向上させるために、httpd mod_ssl モジュールのデフォルト設定が変更され、SSLv3 プロトコルのサポートが無効になり、特定の暗号化スイートの使用が制限されました。この変更は mod_ssl パッケージの新規インストールにのみ影響するため、既存のユーザーは必要に応じて SSL 設定を手動で変更する必要があります。
SSLv3 を使用して、または DES または RC4 に基づく暗号スイートを使用して接続を確立しようとする SSL クライアントは、新しいデフォルト設定で拒否されます。このような安全でない接続を許可するには、/etc/httpd/conf.d /ssl.conf ファイルの SSLProtocol および SSLCipherSuite ディレクティブを変更します。(BZ#1274890)

Libreswan が IKEv2 の分割 DNS 設定をサポートするようになりました

libreswan パッケージの今回の更新では、leftmodecfgdns= および leftcfgdomains= オプションを使用して、Internet Key Exchange バージョン 2 (IKEv2) プロトコルの分割 DNS 設定のサポートが導入されました。これにより、ユーザーは、特定のプライベートドメインの DNS 転送を使用して、ローカルで実行されている DNS サーバーを再設定できます。(BZ#1300763)

libreswan が ESP の AES-GMAC をサポートするようになりました

今回の更新により、phase2alg=null_auth_aes_gmac オプションによる IPsec Encapsulating Security Payload (ESP) 内の Advanced Encryption Standard (AES) Galois Message Authentication Code (GMAC) のサポートが libreswan パッケージに追加されました。(BZ#1475434)

openssl-ibmca が 1.4.0 にリベースされました

opencryptoki パッケージがアップストリームバージョン 3.6.2 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
  • Advanced Encryption Standard Galois/Counter Mode (AES-GCM) のサポートが追加されました。
  • FIPS モードで動作する OpenSSL の修正が組み込まれました。(BZ#1456516)

opencryptoki が 3.7.0 にリベースされました

opencryptoki パッケージがアップストリームバージョン 3.6.2 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
  • ライセンスを Common Public License バージョン 1.0 (CPL) にアップグレードしました。
  • Enterprise PKCS #11 (EP11) および Common Cryptographic Architecture (CCA) の SHA-2 サポートを備えた ECDSA が追加されました。
  • ミューテックスロックからトランザクションメモリー (TM) への移行によるパフォーマンスの向上。(BZ#1456520)

configuration_compliance を使用した アトミックスキャン により、ビルド時にセキュリティーに準拠したコンテナーイメージを作成できます

rhel7/openscap コンテナーイメージは、configuration_compliance スキャンタイプを提供するようになりました。この新しいスキャンタイプを アトミックスキャン コマンドの引数として使用すると、ユーザーは次のことが可能になります。
  • Red Hat Enterprise Linux ベースのコンテナーイメージとコンテナーを、SCAP Security Guide (SSG) によって提供される任意のプロファイルに対してスキャンします。
  • SSG が提供するプロファイルに準拠するように、Red Hat Enterprise Linux ベースのコンテナーイメージを修正します。
  • スキャンまたは修復から HTML レポートを生成します。
修復の結果、設定が変更されたコンテナーイメージが作成され、元のコンテナーイメージの上に新しいレイヤーとして追加されます。
元のコンテナーイメージは変更されず、新しいレイヤーがその上に作成されるだけである点に注意してください。修復プロセスでは、すべての設定の改善を含む新しいコンテナーイメージが構築されます。この層の内容は、スキャンのセキュリティーポリシーによって定義されます。これは、修復されたコンテナーイメージが Red Hat によって署名されなくなったことも意味します。これは想定内であり、修復されたレイヤーが含まれているという点で、元のコンテナーイメージとは異なることが原因となっています。(BZ#1472499)

tang-nagiosNagiosTang を監視できるようにします

tang-nagios サブパッケージは、Tang 用の Nagios プラグインを提供します。このプラグインは、Nagios プログラムが Tang サーバーを監視できるようにします。サブパッケージはオプションチャネルで利用できます。詳細については、tang-nagios (1) の man ページを参照してください。(BZ#1478895)

clevis は特権操作をログに記録するようになりました

今回の更新により、clevis-udisks2 サブパッケージは試行されたすべてのキーリカバリーを監査ログに記録し、Linux 監査システムを使用して特権操作を追跡できるようになりました。(BZ#1478888)

アプリケーションでのメモリーリークを防ぐために、PK11_CreateManagedGenericObject ()NSS に追加されました。

PK11_DestroyGenericObject () 関数は、PK11_CreateGenericObject () によって割り当てられたオブジェクトを適切に破棄しませんが、一部のアプリケーションは、オブジェクトの使用後も存続するオブジェクトを作成する関数に依存しています。このため、Network Security Services (NSS) ライブラリーには PK11_CreateManagedGenericObject () 関数が含まれるようになりました。PK11_CreateManagedGenericObject () でオブジェクトを作成する場合、PK11_DestroyGenericObject () 関数は、基になる関連付けられたオブジェクトも適切に破棄します。curl ユーティリティーなどのアプリケーションは、PK11_CreateManagedGenericObject () を使用してメモリーリークを防止できるようになりました。(BZ#1395803)

OpenSSHopenssl-ibmca および openssl-ibmpkcs11 HSM をサポートするようになりました

今回の更新により、OpenSSH スイートは、openssl-ibmca および openssl-ibmpkcs11 パッケージによって処理されるハードウェアセキュリティーモジュール (HSM) を有効にします。これ以前は、OpenSSH の seccomp フィルターにより、これらのカードが OpenSSH 特権分離で動作することが妨げられていました。seccomp フィルターが更新され、IBM Z の暗号化カードに必要なシステム呼び出しが可能になりました。(BZ#1478035)

cgroup_seclabel は、cgroup できめ細かいアクセス制御を有効にします

今回の更新では、ユーザーがコントロールグループ (cgroup) ファイルにラベルを設定できるようにする cgroup_seclabel ポリシー機能が導入されました。これが追加される前は、cgroup ファイルシステムのラベル付けは不可能でした 。systemd サービスマネージャーをコンテナーで実行するには、cgroup ファイルシステムのコンテンツに対する読み取りと書き込みのアクセス許可を許可する必要がありました。cgroup_seclabel ポリシー機能により、cgroup ファイルシステムできめ細かいアクセス制御が可能になります。(BZ#1494179)

起動プロセスで、ネットワークで接続された暗号化されたデバイスのロックを解除できるようになりました

以前は、ブートプロセスは、ネットワークサービスを開始する前に、ネットワークによって接続されたブロックデバイスのロックを解除しようとしました。ネットワークがアクティブ化されていないため、これらのデバイスに接続して復号化することはできませんでした。
今回の更新で、remote-cryptsetup.target ユニットとその他のパッチが systemd パッケージに追加されました。その結果、システムの起動中にネットワークで接続された暗号化されたブロックデバイスのロックを解除し、そのようなブロックデバイスにファイルシステムをマウントできるようになりました。
システムの起動時にサービス間の正しい順序を確保するには、/etc/crypttab 設定ファイルで _netdev オプションを使用してネットワークデバイスをマークする必要があります。
この機能の一般的な使用例は、ネットワークにバインドされたディスク暗号化と一緒に使用されます。ネットワークにバインドされたディスク暗号化の詳細については、Red Hat Enterprise Linux Security Guide の次の章を参照してください。

SELinuxInfiniBand オブジェクトのラベル付けをサポートするようになりました

このリリースでは、カーネル、ポリシー、および semanage ツールの機能強化を含む、InfiniBand エンドポートと P_Key ラベル付けの SELinux サポートが導入されています。InfiniBand 関連のラベルを管理するには、次のコマンドを使用します。
  • semanage ibendport
  • semanage ibpkey (BZ# 1471809、BZ# 1464484、BZ#1464478)

libica は 3.2.0 にリベースされました

libica パッケージは、アップストリームバージョン 3.2.0 にアップグレードされました。これは、最も顕著な拡張 SIMD 命令セットのサポートを追加するものです。(BZ#1376836)

SELinux で systemdNo New Privileges に対応

今回の更新で、新旧のコンテキスト間で nnp_nosuid_transition が許可されている場合に、No New Privileges (NNP) または nosuid で SELinux ドメインの移行を可能にする nnp_nosuid_transition ポリシー機能が追加されました。selinux-policy パッケージに、NNP セキュリティー機能を使用する systemd サービスのポリシーが含まれるようになりました。
次のルールでは、サービスにこの機能を許可しています。
allow source_domain  target_type:process2 { nnp_transition nosuid_transition };
以下に例を示します。
allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };
ディストリビューションポリシーには、m4 マクロインターフェイスも含まれています。これは、init_nnp_daemon_domain() 関数を使用するサービスの SELinux セキュリティーポリシーで使用できます。(BZ#1480518)

libreswan がバージョン 3.23 にリベース

libreswan パッケージがアップストリームバージョン 3.20 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。以下は、主な変更点です。
  • dnssec -enable=yes|nodnssec-rootkey-file=、および dnssec-anchors = オプションによる拡張 DNS セキュリティー拡張 (DNSSEC) スイートのサポート。
  • ppk=yes|no|insist オプションによる Postquantum Preshared Keys (PPK) の実験的サポート。
  • RSA-SHA の署名認証 (RFC 7427) のサポート。
  • デフォルト値が yes の新しい logip= オプションを使用して、着信 IP アドレスのログを無効にすることができます。これは、プライバシーに関心のある大規模なサービスプロバイダーに役立ちます。
  • DNS で IPSECKEY レコードを使用する Opportunistic IPsec のバインドされていない DNS サーバー ipsecmod モジュール のサポート。
  • decap-dscp=yes オプションによる DiffServ コードポイント (DSCP) アーキテクチャーのサポート。DSCP は、以前は利用規約 (TOS) として知られていました。
  • nopmtudisc=yes オプションによる Path MTU Discovery (PMTUD) の無効化のサポート。
  • マルチドメインデプロイメントを改善するための IDR (識別 - レスポンダー) ペイロードのサポート。
  • 非常にビジーなサーバーで IKE パケットを再送信すると、EAGAIN エラーメッセージが返されます。
  • カスタマイズ用のアップダウンスクリプトに対するさまざまな改善。
  • RFC 8221 および RFC 8247 に従って、暗号化アルゴリズムの設定を更新しました。
  • updown スクリプトを無効にするために、leftupdown= オプションに %none/dev/null の値を追加しました。
  • CREATE_CHILD_SA 交換を使用したキー更新のサポートが改善されました。
  • IKEv1 XAUTH スレッドの競合状態が解決されました。
  • 最適化された pthread ロックにより、パフォーマンスが大幅に向上します。
詳細は、man ページの ipsec.conf(5) を参照してください。(BZ#1457904)

libreswan が IKEv2 MOBIKE をサポートするようになりました

今回の更新では、mobike=yes|no オプションによる XFRM_MIGRATE メカニズムを使用した IKEv2 Mobility and Multihoming (MOBIKE) プロトコル (RFC 4555) のサポートが導入されました。MOBIKE を使用すると、IPsec トンネルを妨害することなく、Wi-Fi や LTE などのネットワークをシームレスに切り替えることができます。(BZ#1471763)

バージョン 1.1.6 にリベースされた scap -workbench

scap-workbench パッケージがバージョン 1.1.6 にアップグレードされ、以前のバージョンに対して多数のバグ修正と拡張が行われました。注目すべき変更点は次のとおりです。
  • プロファイルから Bash および Ansible 修復ロールを生成するためのサポートと、結果をスキャンするためのサポートが追加されました。生成された修正は、後で使用するためにファイルに保存できます。
  • コマンドラインからテーラリングファイルを直接開くためのサポートが追加されました。
  • 32,768 より大きい SSH ポート番号を使用する場合の短整数オーバーフローを修正しました。(BZ#1479036)

OpenSCAPDISA STIG Viewer の結果を生成できるようになりました

OpenSCAP スイートは、DISA STIG Viewer ツールと互換性のある形式で結果を生成できるようになりました。これにより、ユーザーは、国防情報システム局のセキュリティー技術実装ガイド (DISA STIG) 準拠についてローカルシステムをスキャンし、結果を DISA STIG Viewer で開くことができます。(BZ#1505517)

selinux-policy には許容ドメインが含まれなくなりました

セキュリティー強化の手段として、SELinux ポリシーは、デフォルトで以下のドメインを許可モードに設定しなくなりました。
  • blkmapd_t
  • hsqldb_t
  • ipmievd_t
  • sanlk_resetd_t
  • systemd_hwdb_t
  • targetd_t
これらのドメインのデフォルトモードは、enforcing に設定されています。(BZ#1494172)

audit がバージョン 2.7.6 にリベース

tboot パッケージはアップストリームバージョン 1.9.5 にアップグレードされました。これにより、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されます。注目すべき変更点は次のとおりです。
  • アンビエント機能フィールドのサポートが追加されました。
  • Audit デーモンが IPv6 でも動作するようになりました。
  • デフォルトのポートを auditd.conf ファイルに追加しました。
  • Access Vector Cache (AVC) メッセージを報告するように auvirt ツールを修正しました。(BZ#1476406)

OpenSC は SCE7.0 144KDI CAC Alt をサポートするようになりました。トークン

この更新により、SCE7.0 144KDI Common Access Card (CAC) 代替トークンのサポートが追加されます。これらの新しいカードは、以前の米国の規制に準拠していませんでした。国防総省 (DoD) の CAC PIV エンドポイント仕様の実装ガイド 。OpenSC ドライバーは、更新された仕様を反映するように更新されました。(BZ#1473418)

第15章 サーバーおよびサービス

残り の dbus プロセス

Red Hat Enterprise Linux 7.5 には、ユーザーが dbus を使用してアプリケーションをリモートで (SSH や IBM Platform LSF などで) 起動できる機能が追加されています。
ただし、dbus を使用するプロセスがリモートで起動されると、メインプロセスが閉じられた後も dbus プロセスが実行され続け、リモートセッションがブロックされ、適切に終了できなくなります。
この問題を回避するには、https://access.redhat.com/solutions/3257651 の指示に従ってください。(BZ#1460262)

バージョン 1.10 にリベースされた dbus

dbus パッケージがアップストリームバージョン 10.10.5 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。以下は、主な変更点です。
  • dbus-run-session は、ログインセッションの実行時に dbus セッションバスを実行する新しいユーティリティーであり、dbus を使用するアプリケーションを開始する ssh セッションをより予測可能で信頼性の高いものにします。詳細については、man 1 dbus-run-session を参照してください。
  • いくつかのメモリーとファイル記述子のリークが修正されました。これにより、dbus-daemon のメモリー使用量と信頼性が向上します。
  • よく知られているシステムおよびセッションバス設定ファイルは、/etc/dbus-1/ から /usr/share/dbus-1/ ディレクトリーに移動されました。古い場所は引き続き使用できますが、非推奨です (具体的には、session.confsystem.conf は非推奨ですが、session.dsystem.d の下のシステム管理者設定スニペットは許可されています)。(BZ#1480264)

tuned がバージョン 2.8.0 にリベース

tuned パッケージがアップストリームバージョン 2.8.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべき変更点は次のとおりです。
  • net プラグインは、リング一時停止 のパラメーターで拡張されています。
  • プロファイルを手動または自動で設定するという概念が導入されました。
  • プロファイル推奨ファイルのディレクトリーがサポートされるようになりました。(BZ#1467576)

chrony がバージョン 4.2 にリベースされました

tuned パッケージがアップストリームバージョン 3.5 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。主な改善点は以下の通りです。主な機能強化は、次のとおりです。
  • ボンディング、ブリッジング、およびイーサネットインターフェイスを集約するその他の論理インターフェイスによるハードウェアタイムスタンプのサポート
  • 受信したプレシジョンタイムプロトコル (PTP) パケットのみにタイムスタンプを設定でき、ネットワークタイムプロトコル (NTP) パケットにはタイムスタンプを設定できないネットワークカードによる送信専用のハードウェアタイムスタンプのサポート
  • ハードウェアタイムスタンプとインターリーブモードによる Synchronization の安定性の向上
  • 国際原子時 (TAI) と協定世界時 (UTC) の間のシステムクロックのオフセットを自動的に設定する、leapsectz オプションの改善 (BZ# 1482565)

CUPS で SNMP ページカウントを無効にできるようになりました

SNMP (Simple Network Management Protocol) のページカウントでは、現在、特定のプリンターについて正しくない情報が表示されます。今回の更新で、CUPS 印刷システムは SNMP ページカウントをオフにすることをサポートし、問題を防ぎます。これを行うには、*cupsSNMPPages: False をプリンターのポストスクリプトプリンター記述 (PPD) ファイルに追加します。
プリンターの PPD ファイルにオプションを追加する手順は、https://access.redhat.com/solutions/1427573 のソリューション記事に記載されています。(BZ#1434153)

TLS バージョン 1.2 以降の暗号のみを使用するように CUPS を設定できます

CUPS 印刷システムは、TLS バージョン 1.2 以降の暗号のみを使用するように設定できるようになりました。この機能を使用するには、オプション SSLOptions MinTLS1.2 を CUPS クライアントの /etc/cups/client.conf ファイルまたは CUPS デーモンの /etc/cups/cupsd.conf ファイルに追加します。(BZ#1466497)

squid パッケージが kerberos_ldap_group ヘルパーを提供するようになりました

今回の更新により、kerberos_ldap_group 外部アクセス制御リスト (ACL) ヘルパーが squid パッケージに追加されました。kerberos_ldap_group ヘルパーは、LDAP サーバーに対する Simple Authentication and Security Layer (SASL) および Generic Security Services API (GSSAPI) 認証をサポートする参照実装であり、主に Active Directory または OpenLDAP ベースの LDAP サーバーに接続することを目的としています。(BZ#1452200)

OpenIPMI がバージョン 2.0.29 にリベースされました。

dnsmasq パッケージがバージョン 2.76 にアップグレードされ、バグ修正および機能拡張が数多く追加されました。とりわけ:
  • ファンのデューティサイクルを直接設定するコマンドを追加します。
  • コンパイル時にコマンドラインから状態ディレクトリーを指定する方法を追加します。
  • メッセージマップサイズを 32 ビットに変更して、16 メッセージウィンドウ全体を処理できるようにします。
  • IPMI LAN Simulator コマンドのサポートを追加します。ipmi_sim_cmd (5) のマニュアルページを参照してください。
  • IPMI LAN インターフェイス設定ファイルのサポートを追加します。ipmi_lan (5) のマニュアルページを参照してください。(BZ#1457805)

freeIPMI 1.2.9 から freeIPMI 1.5.7 への変更の概要

最も重要な変更点は次のとおりです。
- ipmi-fru ツールが、DDR3 および DDR4 SDRAM モジュールの出力と新しい FRU マルチレコードをサポートするようになりました。- 新しい ipmi-config ツールは、以前は bmc-configipmi-pef-configipmi-sensors-config、および ipmi-chassis-config ツールにあったすべての機能を実装する統合設定ツールです。- ipmi-sel ツールは、IPMI システムイベントログレコードを読み取り、管理します。これにより、このツールはシステムのデバッグに役立ちます。
変更の完全なリストは、インストール後に /usr/share/doc/freeipmi/NEWS ファイルで入手できます。(BZ#1435848)

PHP FPM プール設定で使用可能な新しい clear_env オプション

今回の更新では、PHP の FastCGI Process Manager (FPM) プール設定に新しい clear_env オプションが導入されました。clear_env オプションが無効になっている場合、FPM デーモンの実行時に設定された環境変数は保持され、スクリプトで使用できます。デフォルトでは、clear_env が有効になっており、現在の動作が維持されます。(BZ#1410010)

第16章 ストレージ

VDO を使用したデータの重複排除と圧縮

Red Hat Enterprise Linux 7.5 には、Virtual Data Optimizer (VDO) が導入されています。この機能により、データ重複排除、圧縮、およびシンプロビジョニングを透過的に提供するブロックデバイスを作成できます。標準のファイルシステムとアプリケーションは、これらの仮想ブロックデバイス上で変更なしで実行できます。
VDO は現在、AMD64 および Intel 64 アーキテクチャーでのみ使用できます。
VDO の詳細については、ストレージ管理ガイド (https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/storage_administration_guide/vdo) の VDO によるデータ重複排除と圧縮の章を参照してください。(BZ#1480047)

LVM スナップショットとイメージブートエントリーを管理するための新しい boom ユーティリティー

このリリースでは、システム上の追加のブートローダーエントリーを管理するために使用できる、boom コマンドが追加されています。これを使用して、システムのスナップショットとイメージの補助ブートエントリーを作成、削除、一覧表示、および変更できます。このユーティリティーは、LVM スナップショットのブートメニューエントリーを管理するための単一のツールを提供します。したがって、ブートローダー設定ファイルを手動で編集したり、詳細なカーネルパラメーターを操作したりする必要がなくなりました。このツールは、lvm2-python-boom パッケージによって提供されます。(BZ#1278192)

DM Multipath は、事前に予約キーを必要としなくなりました

DM Multipath は、multipath.conf ファイルで 2 つの新しい設定オプションをサポートするようになりました。
  • unpriv_sgio
  • prkeys_file
defaults および multipaths セクションの reserved_key オプションは、新しいキーワード file を受け入れ ます。設定すると、multipathd サービスは、デフォルト セクションの prkeys_file オプションで設定されたファイルを使用して、マルチパスデバイスのパスに使用する予約キーを取得します。prkeys ファイルは、mpathpersist ユーティリティーによって自動的に更新されます。reserved_key オプションのデフォルトは未定義のままで、prkeys_file デフォルトは /etc/multipath/prkeys です。
新しい unpriv_sgio オプションが yes に設定されている場合、DM Multipath は unpriv_sgio 属性を持つすべての新しいデバイスとそのパスを作成します。このオプションは、他のソフトウェアによって内部的に使用され、ほとんどの DM Multipath ユーザーには必要ありません。デフォルトは no です。
これらの変更により、どの予約キーが使用されるかを事前に知らなくても、それらを multipath.conf 設定ファイルに追加しなくても、mpathpersist ユーティリティーを使用できるようになります。その結果、mpathpersist ユーティリティーを使用して、複数のセットアップでマルチパス永続予約を管理することが容易になりました。(BZ#1452210)

multipath.confblacklist および blacklist_exception セクションでサポートされる新しい プロパティー パラメーター

multipath.conf 設定ファイルは、ファイルの blacklist および blacklist_exception セクションで プロパティー パラメーターをサポートするようになりました。このパラメーターを使用すると、ユーザーは特定タイプのデバイスをブラックリストに指定できます。The property parameter takes a regular expression string that is matched against the udev environment variable names for the device.
blacklist_exceptionプロパティー パラメーターは、他の blacklist_exception パラメーターとは異なる働きをします。このパラメーターを設定した場合は、一致する udev 変数がデバイスに必要になります。この変数がないと、デバイスはブラックリストに指定されます。
このパラメーターを使用すると、USB スティックやローカルハードドライブなど、マルチパスが無視する必要のある SCSI デバイスをブラックリストに登録できます。合理的にマルチパス化できる SCSI デバイスのみを許可するには、multipath.conf ファイルの blacklist_exceptions セクションでこのパラメーターを (SCSI_IDENT_|ID_WWN) に設定します。(BZ#1456955)

smartmontools が NVMe デバイスをサポートするようになりました

この更新により、Nonvolatile Memory Express (NVMe) デバイス、特にソリッドステートドライブ (SSD) ディスクのサポートが smartmontools パッケージに追加されます。その結果、smartmontools ユーティリティーを使用して、自己監視、分析、報告テクノロジーシステム (SMART) で NVMe ディスクを監視できるようになりました。(BZ#1369731)

指定されたハードウェアでの DIF/DIX (T10 PI) のサポート

SCSI T10 DIF/DIX は、ハードウェアベンダーが認定し、特定の HBA およびストレージアレイ設定を完全にサポートしている場合、Red Hat Enterprise Linux 7.4 で完全にサポートされます。DIF/DIX は、他の設定ではサポートされていません。ブートデバイスでの使用もサポートされておらず、仮想化ゲストでの使用もサポートされていません。
現在、このサポートを提供するベンダーは以下のとおりです。
FUJITSU は、以下で DIF および DIX をサポートしています。
EMULEX 16G FC HBA:
  • EMULEX LPe16000/LPe16002、10.2.254.0 BIOS、10.4.255.23 FW (以下と共に)
  • 富士通 ETERNUS DX100 S3、DX200 S3、DX500 S3、DX600 S3、DX8100 S3、DX8700 S3、DX8900 S3、DX200F、DX60 S3、AF250、AF650、DX60 S4、DX100 S4、DX200 S4、AF500 S4、S2 DX600 S2 AF650 S2
QLOGIC 16G FC HBA:
  • QLOGIC QLE2670/QLE2672、3.28 BIOS、8.00.00 FW (以下と共に)
  • 富士通 ETERNUS DX100 S3、DX200 S3、DX500 S3、DX600 S3、DX8100 S3、DX8700 S3、DX8900 S3、DX200F、DX60 S3、AF250、AF650、DX60 S4、DX100 S4、DX200 S4、AF500 S4、S2 DX600 S2 AF650 S2
T10 DIX には、ディスクブロックでチェックサムの生成および検証を行うデータベースまたはその他のソフトウェアが必要です。現在サポートされている Linux ファイルシステムにはこの機能はありません。
EMC は以下で DIF をサポートしています。
EMULEX 8G FC HBA:
  • LPe12000-E および LPe12002-E with firmware 2.01a10 以降 (以下と共に)
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
EMULEX 16G FC HBA:
  • ファームウェア 10.0.803.25 以降の LPe16000B-E および LPe16002B-E (以下と共に)
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
QLOGIC 16G FC HBA:
  • QLE2670-E-SP および QLE2672-E-SP (以下と共に)
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
最新のステータスは、ハードウェアベンダーのサポート情報を参照してください。
他の HBA およびストレージアレイの場合、DIF/DIX へのサポートはテクノロジープレビューのままとなります。(BZ#1499059)

ファイルシステムダイレクトアクセス (DAX) とデバイス DAX がヒュージページをサポートするようになりました

以前は、各ファイルシステム DAX およびデバイス DAX ページフォールトは、ユーザー空間内の 1 つのページにマップされていました。今回の更新により、ファイルシステム DAX とデバイス DAX は、ヒュージページと呼ばれる大きなチャンクに永続メモリーをマップできるようになりました。
ファイルシステム DAX は、たとえば、AMD64 および Intel 64 アーキテクチャーでサイズが 2 MiB のヒュージページをサポートし、デバイス DAX は、AMD64 および Intel 64 で 2 MiB または 1 GiB のヒュージページの使用をサポートします。比較すると、これらのアーキテクチャーでは、標準ページのサイズは 4 KiB です。
DAX 名前空間を作成するときに、名前空間がすべてのページフォールトに使用するページサイズを設定できます。
ヒュージページにより、ページフォールトが少なくなり、ページテーブルが小さくなり、トランスレーションルックアサイドバッファー (TLB) の競合が少なくなります。その結果、ファイルシステム DAX とデバイス DAX のメモリー使用量が減り、パフォーマンスが向上しました。BZ#910453, BZ#910897

fsadm は、LUKS で暗号化された LVM ボリュームを拡張および縮小できるようになりました

fsadm ユーティリティーは、Linux Unified Key Setup (LUKS) で暗号化された Logical Volume Manager (LVM) ボリュームを拡張および縮小できるようになりました。これは、fsadm --lvresize コマンドを使用して fsadm を直接使用する場合と、lvresize --resizefs コマンドを使用して間接的に使用する場合の両方に適用されます。
技術的な制限により、ヘッダーが分離された暗号化されたデバイスのサイズ変更はサポートされていないことに注意してください。(BZ#1113681)

第17章 システムおよびサブスクリプション管理

コックピット をバージョン 154 にリベース

Cockpit ブラウザーベースの管理コンソールを提供する cockpit パッケージは、バージョン 154 にアップグレードされました。このバージョンでは、多数のバグ修正と機能拡張が提供されています。以下は、主な変更点です。
  • アカウント ページで、アカウントのロックとパスワードの有効期限を設定できるようになりました。
  • 負荷グラフは、すべてのネットワークのループバックトラフィックを一貫して無視します。
  • コックピット は、systemd サービスの満たされていない条件に関する情報を提供します。
  • サービス ページで新しく作成されたタイマーが開始され、自動的に有効になります。
  • 端末ウィンドウのサイズを動的に変更して、使用可能なスペースをすべて使用することができます。
  • Internet Explorer のさまざまなナビゲーションおよび JavaScript エラーが修正されました。
  • Cockpit は、自己署名証明書ジェネレーター (SSCG) を使用して SSL 証明書を生成します (利用可能な場合)。
  • 任意のパスからの SSH キーのロードがサポートされるようになりました。
  • 存在しないか無効な /etc/os-release ファイルが適切に処理されるようになりました。
  • 非特権ユーザーは、システム ページのシャットダウン/再起動ボタンを使用できなくなりました。
特定の コックピット パッケージは、Red Hat Enterprise Linux 7 Extras チャンネルで利用できることに注意してください。https://access.redhat.com/support/policy/updates/extras を参照してください。(BZ#1470780, BZ#1425887, BZ#1493756)

yum-utils のユーザーは、トランザクションの前にアクションを実行できるようになりました

新しい yum-plugin-pre-transaction-actions プラグインが yum-utils コレクションに追加されました。これにより、ユーザーはトランザクションの開始前にアクションを実行できます。プラグインの使用法と設定は、既存の yum-plugin-post-transaction-actions プラグインとほぼ同じです。(BZ#1470647)

yum は、root 以外のユーザーとしてユーザーごとのキャッシュの作成を無効にすることができます

yum ユーティリティーの yum.conf (5) 設定ファイルに、新しい usercache オプションが追加されました。yum が root 以外のユーザーとして実行されている場合、ユーザーはユーザーごとのキャッシュの作成を無効にすることができます。この変更の理由は、たとえば $TMPDIR ディレクトリーのスペースがユーザーキャッシュデータによって消費される場合など、ユーザーがユーザーごとのキャッシュを作成および設定したくない場合があるためです。(BZ#1432319)

yum-builddep で RPM マクロを定義できるようになりました

yum-builddep ユーティリティーが強化され、.spec ファイルの解析用に RPM マクロを定義できるようになりました。この変更が行われたのは、yum-builddep が .spec ファイルを正常に解析するために、場合によっては RPM マクロを定義する必要があるためです。rpm ユーティリティーと同様に、yum-builddep ツールで --define オプションを使用して RPM マクロを指定できるようになりました。(BZ#1437636)

subscription-manager は、登録時にホスト名を表示するようになりました

これまで、ユーザーは特定のシステムの有効なホスト名を検索する必要がありました。これは、さまざまな Satellite 設定によって決定されます。今回の更新により、subscription-manager ユーティリティーは、システムの登録時にホスト名を表示します。(BZ#1463325)

subscription-manager プラグインが yum-config-manager で実行されるようになりました

今回の更新により、subscription-manager プラグインは yum-config-manager ユーティリティーで実行されます。yum-config-manager 操作が redhat.repo の 生成をトリガーするようになり、最初に yum コマンドを実行しなくても Red Hat Enterprise Linux コンテナーがリポジトリーを有効または無効にできるようになりました。(BZ#1329349)

subscription-manager/etc/pki/product-default/の すべての製品証明書を保護するようになりました

以前は、subscription-manager ユーティリティーは、タグが rhel-# と一致する redhat-release パッケージによって提供された製品証明書のみを保護していました。その結果、RHEL-ALTHigh Touch Beta などの製品証明書が、product-id yum プラグインによって /etc/pki/product-default/ ディレクトリーから削除されることがありました。今回の更新により、subscription-manager/etc/pki/product-default/ 内のすべての証明書を自動削除から保護するように変更されました。(BZ#1526622)

rhn-migrate-classic-to-rhsm は、subscription-manager および product-id yum プラグインを自動的に有効にするようになりました

今回の更新により、rhn-migrate-classic-to-rhsm ユーティリティーは yum プラグイン (subscription-manager および product-id) を自動的に有効にします。今回の更新により、subscription-manager ユーティリティーは yum プラグイン (subscription-manager および product-id) を自動的に有効にします。この更新は、以前 rhn-client-tools ユーティリティーを使用してシステムを Red Hat Network Classic に登録した Red Hat Enterprise Linux のユーザー、またはまだそれを Satellite 5 エンタイトルメントサーバーで使用していて、yum プラグインを一時的に無効にしている Red Hat Enterprise Linux のユーザーに役立ちます。その結果、rhn-migrate-classic-to-rhsm により、エンタイトルメント用の新しい subscription-manager ツールの使用に簡単に移行できます。rhn-migrate-classic-to-rhsm を 実行すると、望ましくない場合にこのデフォルトの動作を変更する方法を示す警告メッセージが表示されることに注意してください。(BZ#1466453)

subscription-manager は、subscription-manager および product-id yum プラグインを自動的に有効にするようになりました

今回の更新により、subscription-manager ユーティリティーは yum プラグイン (subscription-manager および product-id) を自動的に有効にします。この更新は、以前 rhn-client-tools ユーティリティーを使用してシステムを Red Hat Network Classic に登録した Red Hat Enterprise Linux のユーザー、またはまだそれを Satellite 5 エンタイトルメントサーバーで使用していて、yum プラグインを一時的に無効にしている Red Hat Enterprise Linux のユーザーに役立ちます。その結果、ユーザーは資格付与のための新しい subscription-manager ツールの使用を開始しやすくなります。subscription-manager を実行すると、このデフォルトの動作が望ましくない場合に変更する方法を示す警告メッセージが表示されることに注意してください。(BZ#1319927)

subscription-manager-cockpit は、cockpit-system の サブスクリプション機能を置き換えます

この更新では、新しい subscription-manager-cockpit RPM が導入されています。新しい subscription-manager-cockpit RPM は、新しい dbus ベースの実装と、cockpit-system によって提供される同じサブスクリプション機能に対するいくつかの修正を提供します。両方の RPM がインストールされている場合、subscription-manager-cockpit からの実装が使用されます。(BZ#1499977)

ホストとゲストのマッピングが送信され た virt-who ログ

virt-who ユーティリティーは、rhsm.log ファイルを使用して、ホストとゲストのマッピングが送信される所有者またはアカウントを記録するようになりました。これは virt-who の適切な設定に役立ちます。(BZ#1408556)

virt-who が設定エラー情報を提供するようになりました

virt-who ユーティリティーは、一般的な virt-who 設定エラーをチェックし、これらのエラーの原因となった設定項目を特定するログメッセージを出力するようになりました。その結果、ユーザーは virt-who の 設定エラーを修正しやすくなります。(BZ#1436617)

reposync はデフォルトで、場所が宛先ディレクトリーの外にあるパッケージをスキップするようになりました

以前は、reposync コマンドは、安全でないリモートリポジトリーで指定されたパッケージへのパスをサニタイズしませんでした。CVE-2018-10897 のセキュリティー修正により、reposync のデフォルトの動作が変更され、指定された宛先ディレクトリーの外部にパッケージが保存されなくなりました。元の安全でない動作を復元するには、新しい --allow-path-traversal オプションを使用します。(BZ#1609302)

第18章 仮想化

IBM Z での KVM 仮想化

KVM 仮想化が IBM Z でサポートされるようになりました。ただし、この機能は、kernel-alt パッケージによって提供される、カーネルバージョン 4.14 に基づいて新しく導入されたユーザースペースでのみ使用できます。
また、ハードウェアの違いにより、KVM 仮想化の特定の機能は、AMD64 および Intel 64 システムでサポートされているものとは異なることに注意してください。
KVM 仮想化を IBM Z にインストールして使用する方法の詳細については、Virtualization Deployment and Administration Guide を参照してください。(BZ#1400070, BZ#1379517, BZ#1479525, BZ#1479526, BZ#1471761)

IBM POWER9 でサポートされる KVM 仮想化

今回の更新により、KVM 仮想化が IBM POWER9 システムでサポートされ、IBM POWER9 マシンで KVM 仮想化を使用できるようになります。ただし、この機能は、kernel-alt パッケージによって提供される、カーネルバージョン 4.14 に基づいて新しく導入されたユーザー空間でのみ使用できます。
また、ハードウェアの違いにより、IBM POWER9 での KVM 仮想化の特定の機能は、AMD64 および Intel 64 システムでサポートされているものとは異なることに注意してください。
KVM 仮想化を POWER9 システムにインストールして使用する方法の詳細については、Virtualization Deployment and Administration Guide を参照してください。(BZ#1465503, BZ#1478482, BZ#1478478)

IBM POWER8 でサポートされる KVM 仮想化

今回の更新により、KVM 仮想化が IBM POWER8 システムでサポートされ、IBM POWER8 マシンで KVM 仮想化を使用できるようになります。
ハードウェアの違いにより、IBM POWER8 での KVM 仮想化の特定の機能は、AMD64 および Intel 64 システムでサポートされているものとは異なることに注意してください。
POWER8 システムに KVM 仮想化をインストールして使用する方法の詳細については、Virtualization Deployment and Administration Guide を参照してください。(BZ#1531672)

NVIDIA GPU デバイスを複数のゲストで同時に使用できるようになりました

NVIDIA vGPU 機能が Red Hat Enterprise Linux 7 でサポートされるようになりました。これにより、vGPU 互換の NVIDIA GPU を、仲介型デバイス と呼ばれる複数の仮想デバイスに分割できます。仲介されたデバイスをゲスト仮想マシンに割り当てることで、これらのゲストは単一の物理 GPU のパフォーマンスを共有できます。
この機能を設定するには、libvirt サービス用の仲介デバイスを手動で作成して、vGPU として使用できるようにします。詳細については、仮想化の導入および管理ガイドを参照してください。(BZ#1292451)

KVM ゲスト用の KASLR

Red Hat Enteprise Linux 7.5 では、KVM ゲスト仮想マシンに Kernel Address Space Randomization (KASLR) 機能が導入されています。KASLR は、カーネルイメージを解凍する物理アドレスおよび仮想アドレスをランダム化できるため、カーネルオブジェクトの位置に基づいてゲストのセキュリティー攻撃を防ぎます。
KASLR はデフォルトで有効にされますが、ゲストのカーネルコマンドラインに nokaslr 文字列を追加することで、特定のゲストで無効にできます。
KASLR が有効になっているゲストのカーネルクラッシュダンプは、クラッシュ ユーティリティーを使用して分析できないことに注意してください。これを修正するには、ゲストの XML 設定ファイルの <features> セクションに <vmcoreinfo/> 要素を追加します。ただし、<vmcoreinfo/> を持つ KVM ゲストは、この要素をサポートしていないホストシステムに移行できません。これには、Red Hat Enterprise Linux 7.4 以前を使用するホストが含まれます (BZ# 1411490、BZ# 1395248)。

OVA ファイルの並列解凍対応

このリリースでは、pigz および pxz 解凍ユーティリティーが virt-v2v ユーティリティーによってサポートされています。
これらのユーティリティーは、マルチプロセッサーマシンで gzip および xz ユーティリティーを使用して圧縮された OVA ファイルの抽出を高速化します。さらに、pigz および pxz のコマンドラインインターフェイスは、gzip および xz のコマンドラインインターフェイスと完全に互換性があります。
pigzpxz がインストールされている場合は、デフォルトで使用されます。pigzpxz がインストールされていない場合、抽出動作に変更はありません。(BZ#1448739)

Cannonlake ゲストで SMAP がサポートされるようになりました

今回の更新により、コードネーム Cannonlake の第 7 世代インテルプロセッサーを使用するゲストで、スーペリアモードアクセス防止 (SMAP) 機能がサポートされます。これにより、悪意のあるプログラムがカーネルにユーザー空間プログラムからのデータを強制的に使用することを防ぎ、ゲストのセキュリティーを強化します。
ホスト CPU がゲストに SMAP を提供できることを確認するには、virsh capabilities コマンドを使用して <feature name='smap'/> 文字列を探します。(BZ#1465223)

libvirt は 3.9.0 にリベースされました

samba パッケージがバージョン 4.6.2 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。以下は、主な変更点です。
  • スパースファイルは、別のホストとの間で移動した後も保持されるようになりました。
  • リモートプロシージャコール (RPC) の応答制限が引き上げられました。
  • 仮想化された IBM POWER9 CPU がサポートされるようになりました。
  • デバイスホットプラグとも呼ばれる、実行中のゲスト仮想マシンへのデバイスの接続は、入力デバイスなど、より多くのデバイスタイプをサポートするようになりました。
  • libvirt ライブラリーは、CVE-2017-1000256 および CVE-2017-5715 のセキュリティー問題から保護されています。
  • VFIO を介したデバイスがより確実に機能するようになりました。(BZ#1472263)

virt-manager が 1.4.3 にリベース

samba パッケージがバージョン 4.6.2 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。以下は、主な変更点です。
  • AMD64 および Intel 64 アーキテクチャーを使用しないゲスト仮想マシンを作成するときに、virt-manager インターフェイスが正しい CPU モデルを表示するようになりました。
  • デフォルトのデバイス選択は、IBM POWER、IBM Z、または 64 ビット ARM アーキテクチャーを使用するゲスト向けに最適化されています。
  • ホストシステムにインストールされているネットワークカードがシングルルート I/O 仮想化 (SR-IOV) と互換性がある場合、選択した SR-IOV 対応カードの使用可能な仮想機能のプールを一覧表示する仮想ネットワークを作成できるようになりました。.
  • 新しく作成されたゲストの OS タイプとバージョンの選択が拡張されました。(BZ#1472271)

virt-what がバージョン 1.18 にリベースされました

libvirt パッケージがアップストリームバージョン 3.2.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に、virt-what ユーティリティーは、次のゲスト仮想マシンタイプを検出できるようになりました。
  • 64 ビット ARM ホストで実行され、高度な設定および電源インターフェイスを使用して起動されたゲスト。
  • oVirt または Red Hat Virtualization ハイパーバイザーで実行されているゲスト。
  • 論理パーティション (LPAR) を使用する IBM POWER7 ホストで実行されているゲスト。
  • FreeBSD bhyve ハイパーバイザーで実行されているゲスト。
  • KVM ハイパーバイザーを使用する IBM Z ホストで実行されているゲスト。
  • QEMU Tiny Code Generator (TCG) を使用してエミュレートされたゲスト。
  • OpenBSD 仮想マシンモニター (VMM) サービスで実行されているゲスト。
  • アマゾンウェブサービス (AWS) プラットフォームで実行されているゲスト。
  • Oracle VM Server for SPARC プラットフォームで実行されているゲスト。
さらに、次のバグが修正されました。
  • System Management BIOS (SMBIOS) を使用しないプラットフォームで virt-what ユーティリティーが失敗しなくなりました。
  • $PATH 変数が設定されていない場合でも、virt-what が正しく機能するようになりました。(BZ#1476878)

tboot がバージョン 1.9.5 にリベース

tboot パッケージがアップストリームバージョン 1.96 にアップグレードされ、いくつかのバグが修正され、さまざまな拡張機能が追加されました。以下は、主な変更点です。
  • OpenSSL ライブラリーバージョン 1.1.0 以降が、RSA キー操作と ECDSA 署名検証でサポートされるようになりました。
  • Trusted Computing Group (TCG) のトラステッドプラットフォームモジュール (TPM) のイベントログのサポートが追加されました。
  • Advanced Programmable Interrupt Controller (APIC) の x2APIC シリーズがサポートされるようになりました。
  • カーネルイメージが意図せずに上書きされるのを防ぐために、追加のチェックが追加されました。
  • tboot ユーティリティーは、モジュールの移動中にモジュールを上書きできなくなりました。
  • Amazon Simple Storage Service (S3) シークレットの封印と封印解除が失敗するバグが修正されました。
  • いくつかの null ポインター逆参照のバグが修正されました。(BZ#1457529)

virt-v2v はスナップショットを使用して VMware ゲストを変換できます

virt-v2v ユーティリティーが拡張され、スナップショットを持つ VMware ゲスト仮想マシンを変換できるようになりました。変換後、そのようなゲストのステータスは最上位のスナップショットに設定され、他のスナップショットは削除されることに注意してください。(BZ#1172425)

virt-rescue の 強化

virt-rescue ユーティリティーのこのリリースには、次の機能強化が含まれています。
  • Ctrl+ 文字シーケンスは、virt-rescue 自体ではなく、virt -rescue で実行されるコマンドに作用するようになりました。
  • -i オプションを使用すると、ユーザーはゲストの検査後にすべてのディスクをマウントできます。(BZ#1438710)

virt-v2v が LUKS で暗号化された Linux ゲストを変換するようになりました

今回の更新により、virt-v2v ユーティリティーは、フルディスク LUKS 暗号化 (つまり、/boot パーティション以外のすべてのパーティションが暗号化されている場合) でインストールされた Linux ゲストを変換できるようになりました。
注記:
  • virt-v2v ユーティリティーは、他のタイプの暗号化スキームを使用するパーティション上の Linux ゲストの変換をサポートしていません。
  • virt-p2v ユーティリティーは、フルディスク LUKS 暗号化がインストールされた Linux マシンの変換をサポートしていません。(BZ#1451665)

特定の CPU モデルで libvirt に追加された CAT サポート

libvirt サービスは、特定の CPU モデルで Cache Allocation Technology (CAT) をサポートするようになりました。これにより、ゲスト仮想マシンはホストの CPU キャッシュの一部を vCPU スレッドに割り当てることができます。

KVM ゲストの時刻 Synchronization を改善するために追加された PTP デバイス

KVM ゲスト仮想マシン用に PTP デバイスが追加されました。NTP 調整によるホストとゲスト間のクロックの相違を防ぐことで、kvmclocks サービスを強化します。その結果、PTP デバイスは、KVM ホストとそのゲストの間の時刻 Synchronization の信頼性を高めます。
PTP デバイスの設定の詳細については、Virtualization Deployment and Administration Guide を参照してください。(BZ#1379822)

第19章 Red Hat Enterprise Linux 7.5 for ARM

Red Hat Enterprise Linux 7.5 for ARM は、バージョン 4.14 に基づいており、kernel-alt パッケージによって提供される、更新されたカーネルを備えた Red Hat Enterprise Linux 7.5 ユーザー空間を導入します。オファリングは他の更新パッケージと共に配布されますが、ほとんどのパッケージは標準の Red Hat Enterprise Linux 7 サーバー RPM です。インストール ISO イメージは、カスタマーポータルのダウンロードページ で入手できます。
Red Hat Enterprise Linux 7.5 ユーザー空間の詳細については、Red Hat Enterprise Linux 7 のドキュメント を参照してください。以前のバージョンに関する情報については、Red Hat Enterprise Linux 7.4 for ARM - Release Notes を 参照してください。
このリリースでは、次のパッケージが開発プレビューとして提供されています。
  • libvirt (オプションのチャネル)
  • qemu-kvm-ma (オプションのチャネル)
注記
KVM 仮想化は 64 ビット ARM アーキテクチャーの開発プレビューであるため、Red Hat ではサポートされていません。詳細については、仮想化導入および管理ガイド を参照してください。お客様は Red Hat に連絡して、Red Hat Enterprise Linux の将来のリリースで考慮される使用事例について説明することができます。

19.1. 新機能と更新

コアカーネル

  • 今回の更新で、64 ビット ARM システム用の qrwlock キュー書き込みロックが導入されました。このメカニズムを実装すると、グローバルタスクロックをめぐって競合する複数の CPU を公平に処理できるため、パフォーマンスが向上し、ロック不足が防止されます。この変更により、既知の問題も解決されます。これは以前のリリースに存在し、高負荷時にソフトロックアップを引き起こしました。
    以前のバージョンの Red Hat Enterprise Linux 7 for ARM (kernel-alt パッケージに対して) 用にビルドされたカーネルモジュールは、更新されたカーネルに対して再ビルドする必要があることに注意してください。(BZ#1507568)

セキュリティー

USBGuard が 64 ビット ARM システムで完全にサポートされるようになりました

USBGuard ソフトウェアフレームワークは、デバイスの属性に基づく基本的なホワイトリスト機能およびブラックリスト機能を実装することにより、侵入型 USB デバイスに対してシステムを保護します。以前はテクノロジープレビューとして提供されていた 64 ビット ARM システムでの USBGuard の使用が完全にサポートされるようになりました。

19.2. カーネル設定の変更

ハードウェアの有効化

  • ブルートゥース (無効)
  • ワイヤレス (無効)
  • CPU_IDLE (有効)
  • GPIO_DWAPB (有効)
  • I2C (有効) - デザインウェア、QUP、および XLP9XX
    • センサーのサポート:
      • IIO ドライバー (無効)
      • アクセルセンサー (無効)
      • 光 + 向き + 割り込みトリガー (無効)
  • 入力ドライバー
    • マウス、シナプス、rmi4
  • LED
    • インテル SS4200 (無効)
  • 汎用 IRQ チップ (有効)
  • 休止状態 (有効)
  • クロックソース DATA (有効)
    • OSS_CORE (無効)
    • すべての SND ドライバー (無効)

ネットワークドライバーのサポート

  • Thunder2 ドライバー (有効)
  • アマゾン (有効)
  • アルテラ (無効)
  • ARC (無効)
  • Broadcom B44、BCMGENET、BNX2X_VLAN、CNIC (無効)
  • Hisilicon (有効)
  • ケイデンス MACB (無効)
  • チェルシオ T3 (無効)
  • インテル E1000 (無効)
  • メラノックス (有効)
  • myri10GE (無効)
  • Qlogic - qla2xxx、netxen_nic、Qed、Qede (有効)
  • クアルコム - qcom_emac (有効)
  • Broadcom - bcm7xxx (無効)

インフィニバンドのサポート

  • CXBG4 (有効)
  • I40IW (有効)
  • MLX4 (有効)
  • MLX5 (有効)
  • IPOIB (有効)
  • IPOIB_CM (有効)
  • IPOIB_DEBUG (有効)
  • ISRT (有効)
  • SRP (有効)
  • SRPT (有効)

コアカーネルのサポート

  • スケジュールの不均衡 (有効)
  • 48 ビット VA サポート (有効)
  • tick cpu アカウンティング (無効)
  • コンテキストトラッキング (有効)
  • RCU NOCB (有効)
  • CGROUP-Hugetlb (有効)
  • CRIU (有効)
  • BPF_SYSCALL (無効)
  • PERF_USE_VMALLOC (disabled)
  • HZ_100/HZ (有効)
  • NO_HZ_IDLE (無効)
  • NO_HZ_FULL (有効)
  • BPF_EVENTS (無効)
  • LZ4 圧縮 (無効)
  • BTREE (有効)
  • CPUMASK_OFFSTACK (無効)
  • DEBUG_INFO_DWARF4 (有効)
  • SCHEDSTATS (有効)
  • ストレート DEVMEM (無効)
  • トランスペアレントヒュージページ (HTP) (有効)
  • ZSMaLLOC_STAT, IDLE_PAGE_TRACKING(enabled)
  • PAGE_EXTENSION および PAGE_POISONING (無効)

ネットワークスタックのサポート

  • SLIP - (有効)
  • JME (無効)
  • IPVLAN (無効)
  • BPF_JIT (無効)
  • dccp (無効)
  • ipv4 NET_FOU、Diag、CDG、NV (無効)
  • ipv6 ILA (無効)、GRE (有効)
  • MAC80211 (無効)
  • netfilter_conntrack (有効)

グラフィックと GPU のサポートは GPU

  • DRM_I2C_SIL64 (disabled)
  • TTY
    • serial_nonstandard、cycrades、synclinkmp、synclink_gt、N_HDLC、serial_8250_MID (有効)
    • fbdev (有効)
  • USB - PHY (無効)

ストレージのサポート

  • ブロック SCSI 要求 (有効)
  • ブロック debugfs (有効)
  • ブロックマルチキュー PCI (有効)
  • ブロックマルチキュー VirtIO (有効)
  • ブロックマルチキュー IOSched_deadline (有効)
  • MD ロングライト -(無効)
  • SCSI - ARCMSR、AM53C974、WD719x、BNX2X_FCOE、BNX2_ISCSI、ESAS2R (無効)
  • SCSI - HISI_SAS (有効)
  • SPI - QUP、SLP (有効)
  • SSB(無効)

ファイルシステム

  • FS_DAX (有効)
  • BTRFS (無効)
  • Ceph (有効)
  • DLM (無効)
  • FSCAHE (無効)
  • GFS2 (無効)
  • NFS 経由のスワップ (無効)
  • NFS-FSCACHE (有効)

仮想化と KVM のサポート

  • KVM_IRQCHIP、KVM_IRQ_ROUTING、KVM_MSI (有効)
  • Virtio - noiommu (有効)

19.3. Red Hat Satellite でのサポート

Red Hat Enterprise Linux 7.5 for ARM のシステム管理は、Red Hat Satellite 6 でサポートされていますが、Red Hat Satellite 5 ではサポートされていません。

19.4. 既知の問題

SELinux MLS ポリシーは、カーネルバージョン 4.14 ではサポートされていません

SELinux Multi-Level Security (MLS) ポリシーは不明なクラスとパーミッションを拒否し、kernel-alt パッケージのカーネルバージョン 4.14 は、どのポリシーにも定義されていない map パーミッションを認識します。したがって、MLS ポリシーがアクティブで SELinux が enforcing モードのシステムでは、すべてのコマンドが セグメンテーション違反 エラーで終了します。多くの SELinux 拒否警告は、アクティブな MLS ポリシーと許可モードの SELinux を持つシステムで発生します。SELinux MLS ポリシーとカーネルバージョン 4.14 の組み合わせはサポートされていません。

ipmitool は、Cavium ThunderX で IPMI_SI=no の 場合にのみ BMC と通信します

systemctl コマンドで ipmi.service を開始すると、デフォルト設定では ipmi_si ドライバーをロードしようとします。IPMI SI デバイスを持たない Cavium ThunderX システムでは、ipmi.service が誤って ipmi_devintf ドライバーを削除します。その結果、カーネルの ipmitool ユーティリティーはベースボード管理コントローラー (BMC) と通信できません。この問題を回避するには、/etc/sysconfig/ipmi ファイルを編集して、IPMI_SI変数は次のとおりです。
IPMI_SI=no
その後、必要に応じてオペレーティングシステムを再起動します。その結果、正しいドライバーがロードされ、ipmitoo/dev/ipmi0/ ディレクトリーを介して BMC と通信できるようになります。(BZ#1448181)

SATA ALPM デバイスを低電力モードにすると正しく動作しない

次のコマンドを使用して、64 ビット ARM システムで Aggressive Link Power Management (ALPM) 電源管理プロトコルを使用する Serial Advanced Technology Attachment (SATA) デバイスの低電力モードを有効または無効にすると、SATA が正しく動作しません。
tuned-adm profile powersave
tuned-adm profile performance
その結果、SATA 障害はすべてのディスク I/O を停止し、ユーザーはそれを修正するためにオペレーティングシステムを再起動する必要があります。この問題を回避するには、次のいずれかのオプションを使用します。
  • システムを省電力プロファイルに入れない
  • ALPM のバグを修正する可能性のあるファームウェアの更新については、ハードウェアベンダーに確認してください。
(BZ#1430391)

network-latency合わせ て設定すると、ARM でシステムがハングする

調整され たプロファイルが 64 ビット ARM システムで network-latency に設定されている場合、オペレーティングシステムが応答しなくなり、カーネルがバックトレースをシリアルコンソールに出力します。この問題を回避するには、tuned プロファイルを network-latency に設定しないでください。(BZ#1503121)

modprobe は、正しくないパラメーターを使用してカーネルモジュールのロードに成功します

modprobe コマンドを使用して誤ったパラメーターでカーネルモジュールをロードしようとすると、誤ったパラメーターは無視され、モジュールは ARM および IBM Power LE (POWER9) の Red Hat Enterprise Linux 7 で期待どおりにロードされます。
これは、AMD64 および Intel 64、IBM Z および IBM Power Systems などの従来のアーキテクチャーの Red Hat Enterprise Linux とは異なる動作であることに注意してください。これらのシステムでは、modprobe はエラーで終了し、説明されている状況では、パラメーターが正しくないモジュールはロードされません。
すべてのアーキテクチャーで、エラーメッセージが dmesg 出力に記録されます。(BZ#1449439)

19.5. バグ修正

ld リンカーが正しい動的実行可能ファイルを生成する

以前は、ld リンカが正しい動的実行可能ファイルの作成に失敗し、64 ビット ARM アーキテクチャーの Go 言語コンパイラーによって呼び出されたときに終了していました。リンカーが更新され、コピーの再配置が正しく処理されるようになりました。その結果、前述の状況でリンカーが失敗することはなくなりました。(BZ#1430743)

ld リンカーは、定数データの正しい動的再配置を生成します

以前は、64 ビット ARM アーキテクチャー上のライブラリーと実行可能ファイルの間で共有される定数データに対して、ld リンカが誤った種類の動的再配置を生成していました。その結果、生成された実行可能ファイルはリソースを浪費し、共有データにアクセスすると予期せず終了しました。リンカが更新され、正しい動的再配置が生成されるようになり、説明されている問題は発生しなくなりました。(BZ#1452170)

qrwlock が 64 ビット ARM システムで有効になりました

今回の更新では、64 ビット ARM システム用の qrwlock キュー読み取り/書き込みロックが導入されました。このメカニズムを実装すると、グローバルタスクロックをめぐって競合する複数の CPU を公平に処理できるため、パフォーマンスが向上し、ロック不足が防止されます。この変更により、Red Hat Bugzilla #1454844 で追跡されている既知の問題も解決されます。この問題は、以前のリリースに存在し、高負荷時にソフトロックアップを引き起こしました。
以前のバージョンの Red Hat Enterprise Linux 7 for ARM (kernel-alt パッケージに対して) 用にビルドされたカーネルモジュールは、更新されたカーネルに対して再ビルドする必要があることに注意してください。

CMA はデフォルトで無効になっています

メモリーが 1G 以下に制限されている 64 ビット ARM Red Hat Enterprise Linux システムでは、Contiguous Memory Allocator (CMA) が大量のメモリーを消費したため、残りのカーネル用にメモリーが不足していました。その結果、カーネルまたは特定のユーザー空間アプリケーション (Linux の共有メモリー (SHM) (/dev/shm) など) でメモリー不足 (OOM) 状態が発生することがありました。
Red Hat Enterprise Linux カーネルでの CMA サポートは、すべてのアーキテクチャーでデフォルトで無効になり、CMA によって OOM が発生しなくなりました (BZ# 1519317)。

第20章 IBM Power LE (POWER9) 用 Red Hat Enterprise Linux 7.5

Red Hat Enterprise Linux 7.5 for IBM Power LE (POWER9) は、バージョン 4.14 に基づいており、kernel-alt パッケージによって提供される、更新されたカーネルを備えた Red Hat Enterprise Linux 7.5 ユーザー空間を導入します。このオファリングは他の更新されたパッケージと共に配布されますが、そのほとんどは標準の Red Hat Enterprise Linux 7 サーバー RPM です。インストール ISO イメージは、カスタマーポータルのダウンロードページ で入手できます。
Red Hat Enterprise Linux 7.5 のインストールとユーザー空間については、インストールガイド およびその他の Red Hat Enterprise Linux 7 ドキュメント を参照してください。以前のバージョンに関する情報については、Red Hat Enterprise Linux 7.4 for IBM Power LE (POWER9) - リリースノートを参照してください。
注記
USB ドライブを使用して IBM Power LE にベアメタルをインストールするには、ブートメニューで inst.stage2= ブートオプションを手動で指定する必要があります。詳細については、インストールガイドの ブートオプション の章を参照してください。

20.1. 新機能と更新

仮想化

  • KVM 仮想化が IBM POWER9 システムでサポートされるようになりました。ただし、ハードウェアの違いにより、特定の機能が AMD64 および Intel 64 システムでサポートされているものとは異なります。詳細については、仮想化導入および管理ガイド を参照してください。

プラットフォームツール

  • OProfile には、IBM POWER9 プロセッサーのサポートが含まれるようになりました。PM_RUN_INST_CMPL OProfile パフォーマンス監視イベントはセットアップできないため、このバージョンの OProfile では使用しないでください。(BZ#1463290)
  • 今回の更新により、IBM POWER9 パフォーマンス監視ハードウェアイベントのサポートが papi に追加されました。これには、命令 (PAPI_TOT_INS) やプロセッサーサイクル (PAPI_TOT_CYC) などのイベントの基本的な PAPI プリセットが含まれています。(BZ#1463291)
  • このバージョンの libpfm には、IBM POWER9 パフォーマンス監視ハードウェアイベントのサポートが含まれています。(BZ#1463292)
  • SystemTap には、カーネルに必要なバックポートされた互換性修正が含まれています。
  • 以前は、memcpy() GNU C ライブラリー (glibc) の関数は、64 ビットの IBM POWER システムでアライメントされていないベクトルのロードおよびストア命令を使用していました。その結果、memcpy() POWER9 システムのデバイスメモリーにアクセスするために使用された場合、パフォーマンスが低下します。のmemcpy()機能が強化され、位置合わせされたメモリーアクセス命令を使用するようになりました。これにより、POWER9 に関連するメモリーに関係なく、前世代の POWER アーキテクチャーのパフォーマンスに影響を与えることなく、アプリケーションのパフォーマンスが向上します。(BZ#1498925)

セキュリティー

USBGuard が IBM Power LE (POWER9) のテクノロジープレビューとして利用可能になりました

USBGuard ソフトウェアフレームワークは、デバイスの属性に基づく基本的なホワイトリスト機能およびブラックリスト機能を実装することにより、侵入型 USB デバイスに対してシステムを保護します。USBGuard は、IBM Power LE (POWER9) のテクノロジープレビューとして利用できるようになりました。
USB は IBM z Systems ではサポートされておらず、USBGuard フレームワークはこれらのシステムでは提供できないことに注意してください。

20.2. カーネル設定の変更

ハードウェアの有効化

  • DEVFREQ_GOV_SIMPLE_ONDEMAND (有効)
  • GPIO IRQCHIP (有効)
  • HID プラントロニック (無効)
  • I2C センサー
    • JC42 (無効)
    • NTC サーモスタット (有効)
    • I2C MUX (有効)

ネットワークドライバーのサポート

  • Broadcom B44 ドライバー (無効)
  • Brocade BNA ドライバー (無効)
  • Calxeda ドライバー (無効)
  • IBM イーサネットドライバー ehea (無効)
  • Intel E1000 ドライバー (無効)
  • Mellanox ドライバー mlxsw (無効)
  • ネトロノマドライバー NFP (無効)
  • Qlogic qla3xxx ドライバー (無効)
  • SFC falcon ドライバー (無効)
  • ワイヤレス (無効)
    • 無線 LAN (無効)
    • Ath ドライバー (無効)
    • Ath10k ドライバー (無効)
    • Ath 9k ドライバー (無効)
    • Ath wil6210 (無効)
    • Broadcom WLAN (無効)
    • Broadcom brcm80211 (無効)
    • インテル WLAN (無効)
    • Intel iwlegacy (無効)
    • インテル iwlwifi (無効)
    • Marvell ドライバー (無効)
    • Marvell mwiflex (無効)
    • Ralink WLAN ドライバー (無効)
    • Ralink rt2x00 ドライバー (無効)
    • Realtek ドライバー (無効)
    • Realtek rt1818x ドライバー (無効)
    • Realtek rtiwifi ドライバー (無効)
  • NVME ドライバー + ターゲットドライバー (有効)
  • ptp 1588 ドライバー (無効)
  • s390 HMC ドライバー (無効)
  • RTL8192e ドライバー (無効)
  • RTL8712u ドライバー (無効)
  • シリアル UARTLITE ドライバー (有効)
  • USB LED トリガー USBPORT (無効)
  • USBIP ドライバー (無効)
  • Power Mgt Deubg + Adv Debug + Sleep Debug (有効)

コアカーネルのサポート

  • Sched Imbalance パッチセット (有効)
  • OPTprobes、ftrace の kprobe (有効)
  • 64bit アラインアクセス (無効)
  • Arch Soft Dirty (有効)
  • Arch MMAP Rnd Compat (無効)
  • SWIOTLB (無効)
  • 暗号: akcipher、rsa (有効)
  • 圧縮
    • カーネル gzip サポート (有効)
    • カーネル XZ サポート (有効)
  • ロック: 所有者のミューテックススピン (カーネルのデバッグで有効化)
  • 関数トレーサー (有効)
  • ダイナミック Ftrace (有効)
  • Ftrace mcount レコード (有効)
  • 共通カーネルライブラリー
    • 合理的 (有効)
    • Btree (有効)
    • libfdt (有効)
    • パーマン (無効)
  • MM
    • NO_BOOTMEM (有効)
    • MOVABLE NODE (有効)
    • HMM (異種メモリー管理) (有効)
      • HMM ミラーリング (有効)
      • コヒーレントデバイスメモリー (CDM) (有効)
      • ゾーンデバイス (有効)
  • IMA(有効)
  • 山 (障害者)

ネットワークスタックのサポート

  • コンパクト Netlink メッセージ (無効)
  • bpf_jit_enable
  • DCCP(無効)
  • CCID(無効)
  • IPv6 NF ターゲット NPT (無効)
  • Mac80211 (無効)

デスクトップ、グラフィック、および GPU サポートは GPU

  • DRM_DP_AUX_CHARDEV (有効)
  • STK1160 ビデオ USB ドライバー (無効)
  • V412 BUF2_DMA_SG (有効)

ストレージのサポート

  • DAX (無効)
  • NVDIMM + PFN + DAX (有効)
  • SCSI
    • 3Ware 9xxx ドライバー (無効)
    • 3Ware sAS ドライバー (無効)
    • ARCMSR ドライバー (無効)
    • AIC79xx ドライバー (無効)
    • Broadcom Bnx2x ドライバー (有効)
    • Broadcom Bnx2 ドライバー (無効)
    • QED ドライバー (無効)
    • QEDI ドライバー (無効)

ファイルシステム

  • BTRFS (無効)
  • DLM (無効)
  • GFS2 DLM ロックのサポート (無効)

仮想化と KVM のサポート

  • vhost vsock (無効)
  • VMWare vsock (無効)

20.3. Red Hat Satellite でのサポート

Red Hat Enterprise Linux 7.5 for IBM POWER LE (POWER9) のシステム管理は、Red Hat Satellite 6 ではサポートされていますが、Red Hat Satellite 5 ではサポートされていません。

20.4. 既知の問題

SELinux MLS ポリシーは、カーネルバージョン 4.14 ではサポートされていません

SELinux Multi-Level Security (MLS) ポリシーは不明なクラスとパーミッションを拒否し、kernel-alt パッケージのカーネルバージョン 4.14 は、どのポリシーにも定義されていない map パーミッションを認識します。したがって、MLS ポリシーがアクティブで SELinux が enforcing モードのシステムでは、すべてのコマンドが セグメンテーション違反 エラーで終了します。多くの SELinux 拒否警告は、アクティブな MLS ポリシーと許可モードの SELinux を持つシステムで発生します。SELinux MLS ポリシーとカーネルバージョン 4.14 の組み合わせはサポートされていません。

kdump は、mpt3sas がブラックリストに登録されている場合にのみ vmcore を保存します

kdump カーネルが mpt3sas ドライバーをロードすると、kdump カーネルがクラッシュし、特定の POWER9 システムで vmcore の保存に失敗します。この問題を回避するには、module_blacklist=mpt3sas文字 列を kdump カーネル環境からブラックリストに登録します。KDUMP_COMMANDLINE_APPEND /etc/sysconfig/kdump ファイルの変数:
KDUMP_COMMANDLINE_APPEND="irqpoll maxcpus=1 ... module_blacklist=mpt3sas"
次に、root ユーザーとして systemctl restart コマンドを実行して、kdump サービスを再起動し、設定ファイルへの変更を取得します。
~]# systemctl restart kdump.service
その結果、kdump は POWER9 システムで vmcore を保存できるようになりました。(BZ#1496273)

OOM-killer の機能が正しくないため、OOM 状況からのリカバリーが失敗する

メモリー不足 (OOM) 状態からのリカバリーは、大量のメモリーを備えたシステムでは正しく機能しません。カーネルの OOM キラーは、最も多くのメモリーを使用しているプロセスを強制終了し、メモリーを解放して再び使用できるようにします。ただし、OOM-killer が 2 番目のプロセスを強制終了するまで十分に待機しない場合があります。最終的に、OOM キラーはシステム上のすべてのプロセスを強制終了し、次のエラーをログに記録します。
Kernel panic - not syncing: Out of memory and no killable processes...
これが発生した場合、オペレーティングシステムを再起動する必要があります。利用可能な回避策はありません。(BZ#1405748)

HTM は、IBM POWER システムで実行されているゲストに対して無効になっています

ハードウェアトランザクションメモリー (HTM) 機能は現在、ゲスト仮想マシンを IBM POWER8 から IBM POWER9 ホストに移行できないようにするため、デフォルトで無効になっています。結果として、IBM POWER8 および IBM POWER9 ホストで実行されているゲスト仮想マシンは、HTM 機能を手動で有効にしない限り、HTM を使用できません。
これを行うには、これらのゲストのデフォルト の pseries-rhel7.5 マシンタイプを pseries -rhel7.4 に変更します。このように設定されたゲストは、IBM POWER8 ホストから IBM POWER9 ホストに移行できないことに注意してください。(BZ#1525599)

IBM POWER8 から IBM POWER9 への巨大なページを持つゲストの移行が失敗する

IBM POWER8 ホストは 16MB と 16GB のヒュージページしか使用できませんが、これらのヒュージページサイズは IBM POWER9 ではサポートされていません。そのため、ゲストに静的なヒュージページが設定されている場合、ゲストを IBM POWER8 ホストから IBM POWER9 ホストに移行できません。
この問題を回避するには、ゲストでヒュージページを無効にし、移行前に再起動します。(BZ#1538959)

modprobe は、正しくないパラメーターを使用してカーネルモジュールのロードに成功します

modprobe コマンドを使用して誤ったパラメーターでカーネルモジュールをロードしようとすると、誤ったパラメーターは無視され、モジュールは ARM および IBM Power LE (POWER9) の Red Hat Enterprise Linux 7 で期待どおりにロードされます。
これは、AMD64 および Intel 64、IBM Z および IBM Power Systems などの従来のアーキテクチャーの Red Hat Enterprise Linux とは異なる動作であることに注意してください。これらのシステムでは、modprobe はエラーで終了し、説明されている状況では、パラメーターが正しくないモジュールはロードされません。
すべてのアーキテクチャーで、エラーメッセージが dmesg 出力に記録されます。(BZ#1449439)

20.5. バグ修正

オンボードデバイスからメモリーを読み取ろうとする試みが原因で kdump がハングしなくなりました

IBM Power Systems ハードウェアのリトルエンディアンバリアントでは、カーネルが GPU などのオンボードデバイスからメモリーを読み取ろうとし、それを vmcore の一部として含めようとしたため、kdump メカニズムが応答しなくなりました。今回の更新で、kdump 中にメモリーを読み取ろうとしたときにオンボードデバイスをスキップするように kexec-tools が修正されました。その結果、kdump が正しく機能するようになり、vmcore がディスクに保存され、オペレーティングシステムが期待どおりに再起動します。(BZ#1478049)

第21章 Atomic Host とコンテナー

Red Hat Enterprise Linux Atomic Host

Red Hat Enterprise Linux Atomic Host は、Linux コンテナーの実行のために最適化された安全かつ軽量で、フットプリントを最小限に抑えたオペレーティングシステムです。最新の新機能、既知の問題、テクノロジープレビューについては、Atomic Host and Containers Release Notes を参照してください。

第22章 Red Hat Software Collections

Red Hat Software Collections とは、動的なプログラミング言語、データベースサーバー、関連パッケージを提供する Red Hat のコンテンツセットのことで、AMD64 および Intel 64 アーキテクチャー、64 ビット ARM アーキテクチャー、IBM Z、ならびに IBM POWER (リトルエンディアン) 上の Red Hat Enterprise Linux 7 の全サポートリリースにインストールして使用できます。また、特定のコンポーネントが、AMD64 および Intel 64 アーキテクチャー上の Red Hat Enterprise Linux 6 の全サポートリリースに向けて提供されています。
Red Hat Developer Toolset は、Red Hat Enterprise Linux プラットフォームで作業する開発者向けに設計されています。GNU Compiler Collection、GNU Debugger、その他の開発用ツールやデバッグ用ツール、およびパフォーマンス監視ツールの現行バージョンを提供します。Red Hat Developer Toolset は、別の Software Collection として提供されています。
Red Hat Software Collections で配信される動的言語、データベースサーバーなどのツールは Red Hat Enterprise Linux で提供されるデフォルトのシステムツールに代わるものでも、これらのデフォルトのツールよりも推奨されるツールでもありません。Red Hat Software Collections では、scl ユーティリティーに基づく代替のパッケージ化メカニズムを使用して、パッケージの並列セットを提供しています。Red Hat Software Collections を利用すると、Red Hat Enterprise Linux で別のバージョンのパッケージを使用することもできます。scl ユーティリティーを使用すると、いつでも実行するパッケージバージョンを選択できます。
重要
Red Hat Software Collections のライフサイクルおよびサポート期間は、Red Hat Enterprise Linux に比べて短くなります。詳細は、Red Hat Software Collections Product Life Cycle を参照してください。
セットに含まれるコンポーネント、システム要件、既知の問題、使用方法、および各 Software Collection の詳細は、Red Hat Software Collections documentation を参照してください。
このソフトウェアコレクション、インストール、使用方法、既知の問題などに含まれるコンポーネントの詳細は、Red Hat Developer Toolset のドキュメント を参照してください。

パート II. 主なバグ修正

このパートでは、Red Hat Enterprise Linux 9.1 で修正された、ユーザーに重大な影響を与えるバグについて説明します。

第23章 全般的な更新

runc は、ユーザー指定の CPU クォータ制限について systemd に通知します

以前は、runc プログラムは、コンテナーの開始時にユーザー指定の CPU クォータ制限について systemd に通知しませんでした。その結果、systemd はユーザー指定の制限を認識していなかったため、systemctl daemon-reload 操作中に CPU クォータがデフォルト値 (無制限) にリセットされました。今回の更新により、runc はコンテナーの開始時にユーザー指定の CPU クォータ制限について systemd に通知するようになり、説明されている問題は発生しなくなりました。(BZ#1455071)

LD_LIBRARY_PATH に存在しないパスのみが原因で発生するアプリケーションのセグメンテーションエラーが発生しなくなりました

以前は、LD_LIBRARY_PATH 環境変数に存在しないパスのみが含まれている場合、ダイナミックローダーがセグメンテーションエラーを生成していました。その結果、アプリケーションは、説明されている状況での起動時にセグメンテーション違反で予期せず終了しました。ダイナミックローダーが修正されました。その結果、前述の状況でアプリケーションが予期せず終了することはなくなりました。
影響を受けるアプリケーションのこのバグを修正するには、glibc パッケージを更新するだけで十分であることに注意してください。(BZ#1443236)

セットアップ パッケージは、正しいグループ番号で テープ グループを作成するようになりました

以前は、セットアップ パッケージをインストールすると、Red Hat Enterprise Linux の他のすべてのバージョンと一致しない ID で テープ グループが作成されました。今回の更新で、グループ ID が 30 から標準の 33 に変更されました。その結果、オペレーティングシステムの新規インストールは、テープ グループの正しいグループ番号を持つようになりました。
この問題の影響を受ける以前にインストールされたシステム:
1./etc/group および /etc/gshadow ファイルでグループ ID を編集します。
2.以前の テープ グループが所有していたすべてのファイルのグループ所有権を変更します。(BZ#1433020)

第24章 認証および相互運用性

AD ユーザーの解決に時間がかかる場合に IdM LDAP サーバーが応答しなくなることがなくなりました

System Security Services Daemon (SSSD) が、Identity Management (IdM) サーバー上の信頼された Active Directory (AD) ドメインからユーザーを解決するのに長い時間がかかると、IdM LDAP サーバーが独自のワーカースレッドを使い果たすことがありました。その結果、IdM LDAP サーバーは、SSSD クライアントまたは他の LDAP クライアントからの以降のリクエストに応答できませんでした。今回の更新により、IdM サーバー上の SSSD に新しい API が追加され、ID リクエストのタイムアウトが可能になります。また、IdM LDAP 拡張 ID 操作プラグインとスキーマ互換性プラグインがこの API をサポートするようになり、時間がかかりすぎるリクエストをキャンセルできるようになりました。その結果、IdM LDAP サーバーは上記の状況から回復し、さらなるリクエストに応答し続けることができます。BZ#1767177, BZ#1439896, BZ#1660838

/etc/krb5.conf.d/ のアプリケーション設定スニペットは、既存の設定で自動的に読み込まれるようになりました

以前は、Kerberos は /etc/krb5.conf.d/ ディレクトリーのサポートを既存の設定に自動的に追加しませんでした。その結果、/etc/krb5.conf.d/内のアプリケーション設定スニペットは、ユーザーが手動でディレクトリーの include ステートメントを追加しない限り読み取られませんでした。今回の更新により、既存の設定が変更され、/etc/krb5.conf.d/ を指す適切な includedir 行が含まれるようになりました。その結果、アプリケーションは /etc/krb5.conf.d の設定スニペットに依存できます。
この更新後に includeir 行を手動で削除した場合、以降の更新では再度追加されないことに注意してください。(BZ#1431198)

pam_mkhomedir/ の下にホームディレクトリーを作成できるようになりました

以前は、pam_mkhomedir モジュールは / ディレクトリーの下にサブディレクトリーを作成できませんでした。その結果、/ の下に存在しないディレクトリーにホームディレクトリーを持つユーザーがログインしようとすると、次のエラーで失敗しました。
Unable to create and initialize directory '/<directory_path>'.
今回の更新で上記の問題が修正され、pam_mkhomedir がこの状況でホームディレクトリーを作成できるようになりました。
この更新を適用した後でも、SELinux は pam_mkhomedir がホームディレクトリーを作成することを妨げている可能性があることに注意してください。これは、SELinux の予期される動作です。pam_mkhomedir がホームディレクトリーを作成できるようにするには、カスタム SELinux モジュールを使用して SELinux ポリシーを変更します。これにより、正しい SELinux コンテキストで必要なパスを作成できるようになります。(BZ#1509338)

RODC の使用時に、keytab ファイルの KVNO に依存する Kerberos 操作が失敗しなくなりました

adcli ユーティリティーは、読み取り専用ドメインコントローラー (RODC) で Kerberos キーを更新するときに、キーバージョン番号 (KVNO) を適切に処理しませんでした。その結果、一致する KVNO を持つキーが keytab ファイルに見つからなかったため、Kerberos チケットの検証などの一部の操作が失敗しました。今回の更新により、adcli は RODC が使用されているかどうかを検出し、それに応じて KVNO を処理します。その結果、keytab ファイルには適切な KVNO が含まれ、この動作に依存するすべての Kerberos 操作が期待どおりに機能します。(BZ#1471021)

krb5 は、単一レルム KDC 環境での PKINIT の設定ミスに関するエラーを適切に表示します

以前は、Kerberos (PKINIT) での初期認証用の公開キー暗号化が誤って設定された場合、krb5 パッケージは、誤った設定を管理者に報告しませんでした。たとえば、この問題は、非推奨の pkinit_kdc_ocsp オプションが /etc/krb5.conf ファイルで指定されたときに発生しました。今回の更新により、krb5 は、Kerberos キー配布センター (KDC) で 1 つのレルムのみが指定されている場合に PKINIT 初期化エラーを公開します。その結果、単一レルム KDC は PKINIT の設定ミスを適切に報告します。(BZ#1460089)

Certificate System が ROLE_ASSUME 監査イベントを誤ってログに記録しなくなりました

以前は、Certificate System は、ユーザーに特権アクセスが発生していない場合でも、特定の操作に対して ROLE_ASSUME 監査イベントを誤って生成していました。その結果、イベントが正しく記録されませんでした。この問題は修正され、前述のシナリオで ROLE_ASSUME イベントがログに記録されなくなりました。(BZ#1461524)

CERT_STATUS_CHANGE_REQUEST_PROCESSED 監査ログイベントの更新された属性

以前は、ログファイルの CERT_STATUS_CHANGE_REQUEST_PROCESSED 監査イベントに次の属性が含まれていました。
  • ReqID - リクエスタ ID
  • SubjectID - 証明書のサブジェクト ID
他の監査イベントとの一貫性を保つために、属性が変更され、次の情報が含まれるようになりました。
  • ReqID - リクエスト ID
  • SubjectID - リクエスタ ID (BZ# 1461217)

署名付き監査ログの検証が正しく機能するようになりました

以前は、ロギングシステムの初期化が不適切であり、検証ツールによる署名の計算が正しくないため、最初のログエントリーとログのローテーション後に、署名された監査ログの検証が失敗することがありました。今回の更新で、ロギングシステムと検証ツールが修正されました。その結果、署名された監査ログの検証は、前述のシナリオで正しく機能するようになりました。(BZ#1404794)

Certificate System がバナーファイルを検証するようになりました

Certificate System の以前のバージョンでは、設定可能なアクセスバナーが導入されました。これは、すべての安全なセッションの開始時に PKI コンソールに表示されるカスタムメッセージです。このバナーのコンテンツは検証されていませんでした。メッセージに無効な UTF-8 文字が含まれていると、JAXBUnmarshalException エラーが発生する可能性がありました。今回の更新により、バナーファイルの内容は、サーバーの起動時とクライアントリクエストの両方で検証されます。サーバーの起動時にファイルに無効な UTF-8 文字が含まれていることが判明した場合、サーバーは起動しません。クライアントがバナーを要求したときに無効な文字が見つかった場合、サーバーはエラーメッセージを返し、クライアントにバナーを送信しません。(BZ#1446579)

HSM で対称キーの切り替えを実行するときに、TPS サブシステムが失敗しなくなりました

以前は、ハードウェアセキュリティーモジュール (HSM) トークンのマスターキーを使用して対称キーの切り替えを実行しようとすると、Certificate System Token Processing System (TPS) サブシステムによって報告されたエラーで失敗しました。今回の更新では、HSM のマスターキーを使用して新しいキーセットを計算する方法が修正され、マスターが HSM にある場合に TPS がトークンキーセットを正常にアップグレードできるようになりました。この修正は現在、G&D SmartCafe 6.0 HSM で検証されています。(BZ#1465142)

Certificate System CA は、CN コンポーネントなしでサブジェクト DN を処理するときにエラーを表示しなくなりました

以前は、Common Name (CN) コンポーネントが欠落している着信要求により、Certificate Authority (CA) で NullPointerException が発生しました。これは、実装が CN が CMS を介した証明書管理 (CMC) のサブジェクト識別名 (DN) に存在することを予期していたためです。この更新により、CA は CN コンポーネントなしでサブジェクト DN を処理できるようになり、例外が出力されなくなります。(BZ#1474658)

ターゲットファイルが見つからない場合 に pki-server-upgrade ユーティリティーが失敗しなくなりました

pki-server-upgrade ユーティリティーのバグにより、存在しないファイルを見つけようとしました。その結果、アップグレードプロセスが完了せず、PKI デプロイメントが無効な状態のままになる可能性がありました。今回の更新により、pki-server-upgrade が変更され、ターゲットファイルが見つからない場合を正しく処理できるようになり、PKI のアップグレードが正しく機能するようになりました。(BZ#1479663)

Certificate System CA キーの複製が正しく機能するようになりました

キーアンラッピング機能の 1 つに対する以前の更新により、呼び出しサイトで提供されていないキー使用パラメーターの要件が導入されました。これにより、軽量認証局 (CA) キーレプリケーションが失敗しました。このバグは、キー使用パラメーターを提供するように呼び出しサイトを変更することで修正され、軽量の CA キーレプリケーションが期待どおりに機能するようになりました。(BZ#1484359)

Certificate System が PKCS #12 ファイルのインポートに失敗しなくなりました

Network Security Services (NSS) の PKCS #12 パスワードエンコーディングに対する以前の変更により、Certificate System が PKCS #12 ファイルのインポートに失敗しました。その結果、認証局 (CA) クローンのインストールを完了できませんでした。今回の更新により、PKI は失敗した PKCS #12 復号化を別のパスワードエンコーディングで再試行します。これにより、古いバージョンと新しいバージョンの NSS の両方で生成された PKCS #12 ファイルをインポートできるようになり、CA クローンのインストールが成功します。(BZ#1486225)

TPS ユーザーインターフェイスに、トークンタイプとオリジンフィールドが表示されるようになりました

以前は、tps-cert-find および tps-cert-show Token Processing System (TPS) ユーザーインターフェイスユーティリティーは、レガシー TPS インターフェイスに存在していたトークンタイプおよびオリジンフィールドを表示しませんでした。インターフェイスが更新され、不足している情報が表示されるようになりました。(BZ#1491052)

CA 証明書の有効期限より後の有効期限を持つ Certificate System が発行した証明書

以前は、外部認証局 (CA) の証明書に署名するときに、Certificate System は ValidityConstraint プラグインを使用していました。その結果、発行 CA の有効期限より後の有効期限を持つ証明書を発行することができました。この更新プログラムは CAValidityConstraint プラグインをレジストリーに追加し、登録プロファイルで使用できるようにします。さらに、caCMCcaCert プロファイルの ValidityConstraint プラグインは、効果的に制限を設定する CAValidityConstraint プラグインに置き換えられました。その結果、発行 CA より後の有効期限を持つ証明書の発行は許可されなくなりました。(BZ#1518096)

SKI 拡張機能のない CA 証明書が発行の失敗を引き起こさなくなりました

Certificate System の以前の更新では、Issuer Key Identifier を生成するフォールバック手順が誤って削除されました。その結果、CA 署名証明書に Subject Key Identifier (SKI) 拡張が設定されていない場合、認証局 (CA) は証明書を発行できませんでした。今回の更新で、欠落していた手順が再度追加されました。その結果、CA 署名証明書に SKI 拡張が含まれていない場合でも、証明書の発行は失敗しなくなりました。(BZ#1499054)

Certificate System は、CMC 要求監査イベントでユーザー名を正しく記録します

以前は、Certificate System が Certificate Management over CMS (CMC) 要求を受信すると、サーバーは SubjectID フィールドが $NonRoleUser$ に設定された監査イベントをログに記録していました。その結果、管理者は誰がリクエストを発行したかを確認できませんでした。今回の更新で問題が修正され、前述のシナリオで Certificate System がユーザー名を正しく記録するようになりました。(BZ#1506819)

Directory Server の単純な単語チェックのパスワードポリシーが期待どおりに機能するようになりました

以前は、userPassword 属性を、同じ長さの passwordTokenMin 設定によって制限された属性とまったく同じ値に設定すると、Directory Server は誤ってパスワード更新操作を許可していました。今回の更新により、簡易単語チェックのパスワードポリシー機能がユーザー属性値全体を正しく検証するようになり、説明されている問題は発生しなくなりました。(BZ#1517788)

pkidestroy ユーティリティーは、pki-tomcatd-nuxwdog サービスによって開始されたインスタンスを完全に削除するようになりました

以前は、pkidestroy ユーティリティーは、開始メカニズムとして pki-tomcatd-nuxwdog サービスを使用する Certificate System インスタンスを削除しませんでした。その結果、管理者は、pkidestroy を使用してインスタンスを完全に削除する前に、ウォッチドッグなし で pki-tomcatd-nuxwdog をサービスに移行する必要がありました。ユーティリティーが更新され、上記のシナリオでインスタンスが正しく削除されました。
pkidestroy を実行する前に手動でパスワードファイルを削除した場合、ユーティリティーはセキュリティードメインを更新するためのパスワードを要求することに注意してください。(BZ#1498957)

Certificate System デプロイメントアーカイブファイルにプレーンテキストのパスワードが含まれなくなりました

以前は、設定ファイルの DEFAULT セクションにパスワードを指定して pkispawn ユーティリティーに渡して新しい Certificate System インスタンスを作成すると、アーカイブされたデプロイメントファイルにパスワードが表示されていました。このファイルには誰でも読み取り可能なアクセス許可がありますが、デフォルトでは、Certificate Server インスタンスユーザー (pkiuser) だけがアクセスできるディレクトリー内に含まれています。今回の更新により、このファイルに対する権限は Certificate Server インスタンスユーザーに制限され、pkispawn はアーカイブされたデプロイメントファイルのパスワードをマスクするようになりました。
既存のインストールでパスワードへのアクセスを制限するには、手動で /etc/sysconfig/pki/tomcat/<instance_name>/<subsystem>/deployment.cfg ファイルからパスワードを削除し、ファイルの権限を 600 に設定します。(BZ#1532759)

targetfilter キーワードを含む ACI は正しく機能します

以前は、Directory Server のアクセス制御命令 (ACI) が targetfilter キーワードを使用した場合、テンプレートエントリーに対してコードが実行される前に、geteffective 権限制御を含む検索が返されました。その結果、GetEffectireRights () 関数は、エントリーの作成時にアクセス許可を判断できず、ACI の検証時に偽陰性の結果を返しました。今回の更新により、Directory Server は提供された geteffective 属性に基づいてテンプレートエントリーを作成し、このテンプレートエントリーへのアクセスを検証します。その結果、前述のシナリオの ACI は正しく機能します。(BZ#1459946)

スコープが 1 に設定された Directory Server 検索が修正されました

Directory Server のバグにより、スコープが 1 に設定された検索では、フィルターに一致したものだけではなく、すべての子エントリーが返されました。今回の更新でこの問題が修正されています。その結果、スコープ 1 の検索では、フィルターに一致するエントリーのみが返されます。(BZ#1511462)

非 LDAPS ポートに TLS データを送信するときのエラーメッセージをクリアする

以前は、Directory Server は、LDAPMessage データ型としてプレーンテキストを使用するように設定されたポートに送信された TLS プロトコルハンドシェイクをデコードしていました。ただし、デコードは失敗し、サーバーは誤解を招く BER が 3 バイトであると報告しましたが、実際には <greater> エラーでした。今回の更新により、Directory Server は、TLS データがプレーンテキスト用に設定されたポートに送信されているかどうかを検出し、次のエラーメッセージをクライアントに返します。
Incoming BER Element may be misformed. This may indicate an attempt to use TLS on a plaintext port, IE ldaps://localhost:389. Check your client LDAP_URI settings.
その結果、新しいエラーメッセージは、不適切なクライアント設定が問題の原因であることを示しています。(BZ#1445188)

cleanallruv タスクを実行していない場合、Directory Server はエラーをログに記録しなくなりました。

cleanallruv タスクを実行せずに既存のレプリケーショントポロジーからレプリカサーバーを削除した後、Directory Server は以前、参照エントリーを置換できないというエラーをログに記録しました。この更新プログラムは、重複した参照のチェックを追加し、それらを削除します。その結果、エラーは記録されなくなりました。(BZ#1434335)

多数の CoS テンプレートを使用しても、仮想属性の処理時間が遅くなることはなくなりました

バグが原因で、Directory Server で多数のサービスクラス (CoS) テンプレートを使用すると、仮想属性の処理時間が長くなりました。この更新により、CoS ストレージの構造が改善されます。その結果、多数の CoS テンプレートを使用しても、仮想属性の処理時間が増加することはなくなりました。(BZ#1523183)

Directory Server がオンライン初期化中にバインドを正しく処理するようになりました

ある Directory Server マスターから別のマスターへのオンライン初期化中に、変更を受け取るマスターは一時的に参照モードに設定されます。このモードでは、サーバーは参照のみを返します。以前は、Directory Server はこれらのバインドリフェラルを誤って生成していました。その結果、前述のシナリオでサーバーが予期せず終了する可能性がありました。今回の更新により、サーバーはバインド参照を正しく生成します。その結果、サーバーはオンライン初期化中にバインドを正しく処理するようになりました。(BZ#1483681)

dirsrv@.service メタターゲットが multi-user.target にリンクされるようになりました

以前は、dirsrv@.service メタターゲットの systemd ファイルで Wants パラメーターが dirsrv.target に設定されていました。dirsrv@.service を有効にすると、dirsrv.target へのサービスが正しく有効になりましたが、dirsrv.target は有効になりませんでした。その結果、システムの起動時に Directory Server が起動しませんでした。今回の更新により、dirsrv@.service メタターゲットが multi-user.target にリンクされるようになりました。その結果、dirsrv@.service を有効にすると、システムの起動時に Directory Server が自動的に起動します。(BZ#1476207)

memberOf プラグインが memberOf 属性のすべての更新試行をログに記録するようになりました

特定の状況で、Directory Server はユーザーエントリーの memberOf 属性の更新に失敗します。この場合、memberOf プラグインはエラーメッセージをログに記録し、更新を強制します。以前のバージョンの Directory Server では、2 回目の試行が成功してもログに記録されませんでした。その結果、失敗した試行のみがログに記録されたため、ログエントリーは誤解を招くものでした。今回の更新により、memberOf プラグインは、最初の試行が失敗した場合にも更新の成功をログに記録します。その結果、プラグインは最初の失敗をログに記録し、その後の再試行の成功もログに記録するようになりました。(BZ#1533571)

Directory Server のパスワードポリシーが正しく機能するようになりました

以前は、サブツリーおよびユーザーパスワードポリシーは、グローバルパスワードポリシーと同じデフォルト値を使用していませんでした。その結果、Directory Server は特定の構文チェックを誤ってスキップしていました。このバグは修正されています。その結果、パスワードポリシー機能は、グローバルコンフィギュレーション、サブツリー、およびユーザーポリシーに対して同じように機能します。(BZ#1465600)

Directory Server でのバッファーオーバーフローが修正されました

以前は、属性をインデックス化するように設定し、この属性に大きなバイナリー値を含むエントリーをインポートすると、バッファーオーバーフローが原因でサーバーが予期せず終了していました。バッファーが修正されました。その結果、サーバーは前述のシナリオで期待どおりに動作します。(BZ#1498980)

Directory Server は、猶予ログイン中にパスワード期限切れコントロールを送信するようになりました

以前は、期限切れのパスワードに猶予ログインが残っている場合、Directory Server は期限切れのパスワード制御を送信しませんでした。その結果、クライアントは、パスワードの有効期限が切れていることや、残りの猶予ログイン回数をユーザーに伝えることができませんでした。この問題が修正されました。その結果、クライアントは、パスワードの有効期限が切れているかどうか、および猶予ログインが残っているかどうかをユーザーに伝えることができるようになりました。(BZ#1464505)

不要なグローバルロックが Directory Server から削除されました

以前は、memberOf プラグインが有効で、ユーザーとグループが別々のバックエンドに保存されている場合、デッドロックが発生することがありました。不要なグローバルロックが削除され、その結果、前述のシナリオでデッドロックが発生しなくなりました。(BZ#1501058)

レプリケーションは、TLS クライアント認証と FIPS モードが有効な場合に正しく機能するようになりました

以前は、Federal Information Processing Standard (FIPS) モードが有効になっている Directory Server レプリケーション環境で TLS クライアント認証を使用した場合、内部ネットワークセキュリティーサービス (NSS) データベーストークンは、FIPS モードが無効になっているシステムのトークンとは異なりました。その結果、複製は失敗しました。この問題は修正され、その結果、FIPS モードが有効になっている場合、TLS クライアント認証を使用した複製合意が正しく機能するようになりました。(BZ#1464463)

Directory Server は、仮想属性が操作可能かどうかを正しく設定するようになりました

Directory Server の pwdpolicysubentry サブツリーパスワードポリシー属性は、操作可能としてフラグが立てられます。ただし、以前のバージョンの Directory Server では、このフラグは、処理された次の仮想属性に誤って適用されていました。その結果、検索結果がクライアントに表示されませんでした。今回の更新により、サーバーは次の仮想属性とサービスクラス (CoS) を処理する前に属性をリセットするようになりました。その結果、期待される仮想属性と CoS がクライアントに返されるようになりました。(BZ#1453155)

レプリケーションが有効で、変更ログファイルが存在する場合、バックアップが成功するようになりました

以前は、レプリケーションが有効で、変更ログファイルが存在する場合、このマスターサーバーでバックアップを実行すると失敗していました。この更新により、ファイルを正しくコピーするための内部オプションが設定されます。その結果、前述のシナリオでバックアップの作成が成功するようになりました。(BZ#1476322)

Certificate System は失効理由を正しく更新します

以前は、ユーザーがスマートカードトークンを一時的に紛失した場合、Certificate System Token Processing System (TPS) の管理者が証明書のステータスを 保留中 から 完全な紛失 または 破損 に変更することがありました。ただし、新しい失効理由は CA に反映されませんでした。今回の更新により、証明書のステータスを on hold から revoked に直接変更できるようになりました。その結果、失効理由が正しく更新されます。(BZ#1500474)

Certificate System クローンのインストールプロセスでの競合状態が修正されました。

特定の状況で、セキュリティードメインセッションオブジェクトの LDAP レプリケーションと、ログインが発生したクローン以外のクローンに対する認証操作の実行との間で競合状態が発生しました。その結果、Certificate System インストールの複製に失敗しました。今回の更新により、クローンのインストールプロセスは、セキュリティードメインのログインが完了するのを待ってから、セキュリティードメインのセッションオブジェクトを他のクローンに複製できるようになりました。その結果、クローンのインストールは失敗しなくなりました。(BZ#1402280)

Certificate System はデフォルトで強力な暗号を使用するようになりました

今回の更新で、有効な暗号のリストが変更されました。デフォルトでは、連邦情報処理標準 (FIPS) に準拠した強力な暗号のみが Certificate System で有効になっています。
デフォルトで有効になっている RSA 暗号:
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
インストールおよび設定中に pkispawn ユーティリティーが LDAP サーバーに接続できるようにするには、TLS_RSA_WITH_AES_128_CBC_SHA および TLS_RSA_WITH_AES_256_CBC_SHA 暗号を有効にする必要があることに注意してください。
デフォルトで有効になっている ECC 暗号:
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
さらに、/var/lib/ pki/<instance_name>/conf/server.xml ファイルの sslVersionRangeStream および sslVersionRangeDatagram パラメーターのデフォルト範囲は、TLS 1.1 および TLS 1.2 暗号のみを使用するようになりました。(BZ#1539125)

pkispawn ユーティリティーが誤ったエラーを表示しなくなりました

以前は、Certificate System の正常なインストール中に、一時証明書の削除に関連するエラーが pkispawn ユーティリティーによって誤って表示されていました。この問題は修正され、インストールが成功してもエラーメッセージは表示されなくなりました。(BZ#1520277)

Certificate System プロファイル設定の更新方法で、バックスラッシュが正しく処理されるようになりました

以前は、Certificate System のパーサーは、ユーザーがプロファイルを更新したときにバックスラッシュ文字を設定から削除していました。その結果、影響を受けるプロファイル設定を正しくインポートできず、証明書の発行に失敗したか、システムが誤った証明書を発行しました。Certificate System は、バックスラッシュを正しく処理するパーサーを使用するようになりました。その結果、プロファイル設定の更新により、設定が正しくインポートされます。(BZ#1541853)

第25章 クラスタリング

Pacemaker は、Pacemaker リモートノードのフェンシングとフェンシング解除を正しく実装します

以前は、Pacemaker は Pacemaker リモートノードの unfencing を実装していませんでした。その結果、フェンスデバイスでフェンシングの解除が必要な場合でも、Pacemaker リモートノードはフェンシングされたままになりました。今回の更新により、Pacemaker は Pacemaker リモートノードのフェンシングとアンフェンシングの両方を正しく実装し、説明されている問題は発生しなくなりました。(BZ#1394418)

Pacemaker がゲストノードをプローブするようになりました

ゲストノードのユーザー向けの重要な更新。
Pacemaker は、VirtualDomain などのリソースの remote-node パラメーターを使用して作成された Pacemaker リモートノードであるゲストノードをプローブするようになりました。ユーザーが以前にプローブが実行されていないという事実に依存していた場合、プローブが失敗し、ゲストノードのフェンシングが発生する可能性があります。ゲストノードがリソースのプローブを実行できない場合 (たとえば、ソフトウェアがゲストにインストールされていない場合)、ゲストノードからのリソースを禁止する場所の制約では、resource-discovery オプションを never に設定する必要があります。同じ状況のクラスターノードまたはリモートノードで必要となるものと同じです。(BZ#1489728)

pcs resource cleanup コマンドが不要なクラスター負荷を生成しなくなりました

pcs resource cleanup コマンドは、解決された失敗したリソース操作の記録を消去します。以前は、このコマンドはすべてのノードのすべてのリソースをプローブし、クラスター操作で不要な負荷を生成していました。今回の修正により、コマンドは、リソース操作が失敗したリソースのみをプローブします。pcs resource cleanup コマンドの以前の機能は、すべてのノードのすべてのリソースをプローブする新しい pcs resource refresh コマンドに置き換えられました。クラスターリソースのクリーンアップについては、https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html-single/high_availability_add-on_reference/#s1-resource_cleanup-HAAR を参照してください。(BZ#1508351)

ユーザーが stonith デバイスの アクション 属性を指定すると警告が生成される

以前は、ユーザーが stonith デバイスのアクション属性を設定することができましたが、このオプションは非推奨であり、予期しないフェンシングを引き起こす可能性があるため推奨されません。以下の修正が実装されました。
  • ユーザーが CLI を使用して stonith デバイスの アクション オプションを設定しようとすると、警告メッセージが生成され、--force フラグを使用してこの属性を設定するように指示されます。
  • pcsd Web UI で、アクション オプションフィールドの横に警告メッセージが表示されるようになりました。
  • pcs status コマンドの出力には、stonith デバイスに アクション オプションが設定されている場合に警告が表示されます。(BZ#1421702)

--force フラグを指定せずに stonith エージェントのデバッグを有効にできるようになりました

以前は、debug または verbose パラメーターを設定して stonith エージェントのデバッグを有効にしようとすると、ユーザーが --force フラグを指定する必要がありました。今回の修正により、--force フラグを使用する必要がなくなりました。(BZ#1432283)

fence_ilo3 リソースエージェントには、action パラメーターのデフォルト値である cycle がなくなりました

以前は、fence_ilo3 リソースエージェントには、action パラメーターのデフォルト値が cycle でした。データが破損する可能性があるため、この値はサポートされていません。このパラメーターのデフォルト値は onoff になりました。さらに、stonith デバイスの method オプションが cycle に設定されている場合、pcs status コマンドと Web UI の出力に警告が表示されるようになりました。(BZ#1519370, BZ#1523378)

sbd が有効になっているときに Pacemaker が起動しなくなりましたが、systemd によって正常に起動されません

以前は、sbd が適切に起動しない場合でも、systemd が Pacemaker を起動していました。これにより、fence_sbd によってこれが検出されずに sbd ポイズンピルトリガーによる再起動が実行されなくなり、クォーラムベースのウォッチドッグフェンシングの場合、クォーラムを失ったノードもセルフフェンスしなくなります。今回の修正により、sbd が正常に起動しない場合、Pacemaker が起動されなくなりました。これにより、sbd が起動しないことによるデータ破壊のすべてのソースを防ぐことができます。(BZ#1525981)

sbd セットアップでフェンスされたノードが確実にシャットダウンするようになりました

以前は、ノードが共有ディスク上の sbd によって使用されるポイズンピルメカニズムを介してオフを受信すると、ノードは電源をオフにする代わりに再起動する可能性がありました。この修正により、オフを受信するとノードの電源がオフになります。リセットを受信すると、ノードが再起動します。ノードがソフトウェア主導の再起動または電源オフを適切に実行できない場合、ウォッチドッグがトリガーされ、実行されるアクションはウォッチドッグデバイスが設定されているものになります。ウォッチドッグデバイスがノードの電源をオフにするように設定されていて、フェンシングが共有ディスクのポイズンピルメカニズムを介してオフを要求している場合、sbd セットアップでフェンスされたノードが確実にシャットダウンするようになりました。(BZ#1468580)

IPaddr2 リソースエージェントは、128 のネットマスクを持つ IPv6 アドレスの NIC を検出するようになりました

以前は、IPaddr2 リソースエージェントは、128 のネットマスクを持つ IPv6 アドレスの NIC を見つけることができませんでした。この修正により、その問題が修正されます。(BZ#1445628)

portblock エージェントは不要なメッセージを過度に生成しなくなりました

以前は、ポートブロック エージェントは /var/log/messages ファイルに有益な情報を提供しない監視メッセージをあふれさせていました。今回の修正により、/var/log/messages ファイルには、ポートブロック エージェントからのより制限されたログ出力が含まれるようになりました。(BZ#1457382)

/var/run/resource-agents ディレクトリーが再起動後も維持されるようになりました

以前は、resource-agents パッケージのインストール時に作成された /var/run/resource-agents ディレクトリーは、再起動後に永続化されませんでした。今回の修正により、再起動後にディレクトリーが存在するようになりました。(BZ#1462802)

第26章 コンパイラーおよびツール

パッケージの選択が system-config-kickstart で機能するようになりました

system-config-kickstart グラフィカルキックスタートファイル作成ユーティリティーのバグにより、ツールがリポジトリーからパッケージ情報をダウンロードできなかったため、パッケージを選択できなくなりました。このバグは修正され、system-config-kickstart でパッケージの選択を再度設定できるようになりました。(BZ#1272068)

parted および Anaconda で NVMe デバイスが 不明 として表示されなくなりました

以前は、Non-Volatile Memory Express (NVMe) デバイスは、インストール中に Anaconda インストーラーと parted ストレージ設定ツールによって認識されず、代わりに Model: Unknown (unknown) というラベルが付けられていました。この更新プログラムは、これらのデバイスの認識を可能にするアップストリームパッチをバックポートし、インストール中に NVMe デバイス (nvme) として正しく識別されるようになりました。(BZ#1316239)

DBD::MySQL はビッグエンディアンプラットフォームでより小さな整数を正しく送受信するようになりました

以前、DBD::MySQL Perl ドライバーは、ビッグエンディアンプラットフォームで 64 ビットより小さい整数を誤って処理していました。その結果、準備済みステートメントのテストは、IBM Z アーキテクチャーの特定の変数サイズで失敗しました。このバグは修正され、上記の問題が発生しなくなりました。(BZ#1311646)

バージョン Perl モジュールが汚染された入力オブジェクトと汚染されたバージョンオブジェクトをサポートするようになりました

以前は、Perl の バージョン モジュールは汚染された入力を正しく解析できませんでした。その結果、汚染された変数からバージョンオブジェクトを構築すると、version->new () メソッドが 無効なバージョン形式 (非数値データ) エラーを報告しました。今回の更新で、汚染された入力の解析と、汚染されたバージョンのオブジェクトと文字列の出力のサポートが追加されました。(BZ#1378885)

HTTP::Daemon Perl モジュールが IPv6 をサポートするようになりました

以前は、HTTP::Daemon Perl モジュールは IPv6 アドレスをサポートしていませんでした。その結果、IPv6 アドレスで HTTP::Daemon::SSL サーバーを実行している場合、サーバー は inet_ntoa エラーメッセージの Arg 長で IPv6 アドレスを出力しようとして予期せず終了しました。今回の更新により、HTTP::Daemon モジュールが IO::Socket::INET から IO::Socket::IP モジュールに移植されました。その結果、HTTP::Daemon は期待どおりに IPv6 アドレスを処理します。(BZ#1413065)

GDB はブレークポイントリストにインライン関数名を表示します

以前は、GDB デバッガーは、ブレークポイントを一覧表示するときに、インライン化された呼び出し先関数名ではなく、呼び出し元関数名を表示していました。その結果、GDB ユーザーは関数名からインライン関数に配置されたブレークポイントを識別できませんでした。GDB は、ブレークポイントが配置されたときにインライン呼び出し先関数の名前を格納するように拡張されました。その結果、ブレークポイントを一覧表示するときに、GDB がインライン関数の名前を正しく表示するようになりました。(BZ#1228556)

間違った GCC アライメントが原因でモジュールのロード時に再配置が失敗する問題が修正されました

以前は、GCC は 2^0 アライメントの .toc セクションを含むコードを生成していました。その結果、モジュールのロード時に再配置エラーが発生する可能性がありました。GCC は、2^3 にアラインされた .toc セクションを生成するように変更されました。この修正により、このバグが発生するほとんどのケースが解消されます。(BZ#1487434)

gcc C++ 標準ライブラリーの istream::sentry オブジェクトが例外を出力しなくなりました

以前は、gcc C++ 標準ライブラリーの istream::sentry オブジェクトは、空白のスキップ中に発生する例外を適切に処理しませんでした。その結果、オブジェクトのコードで予期しない例外が発生する可能性がありました。例外をキャッチし、istream オブジェクトのエラー状態を適切に更新するように、sentry クラスのコンストラクターが修正されました。(BZ#1469384)

IBM Power の gdb での複数の修正

以前は、gdb デバッガーのさまざまな機能が IBM Power アーキテクチャーで壊れていました。
  • 記録および再生機能が利用できず、エラーメッセージが表示されるか、以前のレジスタ値が復元されませんでした。
  • 短いベクトルの戻り値を出力すると、誤った値が表示されました。
  • アトミックシーケンスを 1 回ステップオーバーしても、実際にはそれらをステップオーバーできませんでした。プログラムカウンターは変更されませんでした。
この更新プログラムは、これらの機能を修正します。(BZ#1480498, BZ#1480496, BZ#1480497)

終了するプロセスからコアをダンプするときに GDB がクラッシュしなくなりました

以前は、GDB デバッガーは、GDB がプロセスをコアファイルにダンプしている間にプロセスを終了できるとは見なしませんでした。その結果、ダンプされたプログラムが予期しない SIGKILL シグナル を受信した後に終了すると、gcore ユーティリティーも予期せず終了しました。今回の更新で、GDB が拡張され、この状況を処理できるようになりました。その結果、GDBgcore コマンドが予期せず終了し、無効なコアファイルが作成されることがなくなりました。(BZ#1493675)

GDB は、VM_DONTDUMP フラグによって保護されたメモリーを再度ダンプできます。

GNU Debugger GDB に対する以前の変更により、gcore コマンドの動作が、データセキュリティーを強化するためにプロセスメモリーをダンプするときの Linux カーネルの動作により似たものになりました。その結果、GDB のユーザーは、VM_DONTDUMP フラグによって保護されたメモリーをダンプできませんでした。新しい set dump-excluded-mappings 設定が GDB に追加され、このフラグでメモリーのダンプが可能になりました。その結果、ユーザーは GDB を使用してプロセスメモリー全体を再度ダンプできます。(BZ#1518243)

スレッドで CLONE_PTRACE フラグを使用するプログラムが strace で実行されるようになりました

以前は、新しいスレッドに CLONE_PTRACE フラグを設定するプログラムは、操作に ptrace () 関数を使用するため、strace ツールの未定義の動作を引き起こしました。その結果、そのようなプログラムはトレースも実行も適切に行われませんでした。strace ツールが変更され、予期しない CLONE_PTRACE フラグを持つスレッドが無視されるようになりました。その結果、CLONE_PTRACE を使用するプログラムは strace の下で適切に実行されます。(BZ#1466535)

exiv2 はバージョン 0.26 にリベースされました

nss パッケージがアップストリームバージョン 3.34 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。特に、exiv2 には以下が含まれるようになりました。
  • Visual Studio の CMake サポート
  • 再帰的なファイルダンプ
  • ICC プロファイルのサポート
  • メタデータパイピング用の exiv2 コマンド
  • ユーザーレンズ定義用のレンズファイル
  • ユーザー定義のレンズタイプ
  • WebP サポート
完全な変更ログについては、http://www.exiv2.org/changelog.html#v0.26 を参照してください。(BZ#1420227)

ccache を適切に更新するように gssproxy が修正されました

以前は、gssproxy パッケージは、Kerberos 認証情報キャッシュ (ccaches) のキーバージョン番号 (kvno) の増分を正しく処理しませんでした。その結果、古いキャッシュが適切に上書きされませんでした。今回の更新で、gssproxy ccache キャッシングにおけるこれらの問題が修正されました。その結果、キャッシュが適切に更新されるようになり、キャッシュによって過剰な更新要求が防止されます。(BZ#1488629)

IBM Power Systems アーキテクチャーのリトルエンディアンバリアントの gcc は、未使用のスタックフレームを作成しなくなりました

以前は、IBM Power Systems アーキテクチャーのリトルエンディアン版で gcc コンパイラーの -pg -mprofile=kernel オプションを使用すると、未使用のスタックフレームがリーフ関数用に生成されることがありました。gcc コンパイラーが修正され、未使用のスタックフレームがこの状況で発生しなくなりました。(BZ#1468546)

gssproxy で修正されたいくつかのバグ

この更新では、gssproxy パッケージのいくつかのバグが修正されています。バグ修正には、潜在的なメモリーリークや同時実行性の問題の防止が含まれます。(BZ#1462974)

BFD ライブラリーは、バイナリーアドレスをソースコードの位置に変換する機能を取り戻しました。

binutils パッケージの BFD ライブラリーに対する以前の機能強化により、DWARF デバッグ情報の解析でバグが発生しました。その結果、BFD とそれを使用するすべてのツール (gprofperf など) は、バイナリーファイルアドレスをソースコード内の位置に変換できませんでした。今回の更新で、説明されている問題を回避するために BFD が変更されました。その結果、BFD はバイナリーファイル内のアドレスをソースコード内の位置に期待どおりに変換できるようになりました。
この修正を利用するには、BFD ライブラリーを使用するツールを再リンクする必要があることに注意してください。(BZ#1465318)

引数を渡すためにベクトルレジスタを使用するアプリケーションが再び動作する

以前は、GNU C ライブラリー (glibc) のダイナミックローダーには、64 ビット Intel および AMD アーキテクチャーのベクトルレジスタの保存と復元を回避する最適化が含まれていました。その結果、これらのアーキテクチャー用にコンパイルされ、関数の引数を渡すためにサポートされていないベクトルレジスタを使用し、公開された x86-64 psABI 仕様に準拠していないアプリケーションは、失敗し、予期しない結果が生じる可能性があります。今回の更新では、動的ローダーが XSAVE および XSAVEC コンテキストスイッチ CPU 命令を使用するように変更され、すべてのベクトルレジスタを含むより多くの CPU 状態が保持されます。その結果、x86-64 psABI 仕様でサポートされていない方法で、引数の受け渡しにベクトルレジスタを使用するアプリケーションが再び動作するようになりました。(BZ#1504969)

curl が HTTP 認証状態を適切にリセットするようになりました

この更新の前は、HTTP 転送が終了したとき、または curl_easy_reset () 関数が呼び出されたときに、認証状態が正しくリセットされませんでした。そのため、curl ツールはリクエストボディを次の URL に送信しませんでした。今回の更新により、HTTP 転送時や curl_easy_reset () 呼び出し 時に認証状態が正常にリセットされるようになり、上記不具合は発生しなくなりました。(BZ#1511523)

ストリップ ユーティリティーが再び機能します

以前は、BFD ライブラリーは IBM Z アーキテクチャーで NULL ポインターのチェックに失敗していました。その結果、strip ユーティリティーを実行すると、セグメンテーションエラーが発生しました。このバグは修正され、ストリップ は期待どおりに機能するようになりました。(BZ#1488889)

f2py によって生成された Python モジュールのインポートが正しく機能するようになりました

以前は、ダイナミックリンクローダーがシンボルをグローバルにロードするように設定されている場合、f2py ユーティリティーによって生成された Python モジュールをインポートすると、セグメンテーションエラーが発生していました。今回の更新により、PyArray_API シンボルの名前が _npy_f2py_ARRAY_API に変更され、マルチアレイモジュールで同じシンボルと競合する可能性がなくなりました。その結果、f2py によって生成されたモジュールをインポートしても、セグメンテーション違反が発生しなくなりました。(BZ#1167156)

mailx がマルチバイトの件名を正しくエンコードしていない

以前、mailx メールユーザーエージェントは、Multipurpose Internet Mail Extension (MIME) 標準にエンコードするときに、非 ASCII メッセージヘッダーをマルチバイト文字境界で分割しませんでした。その結果、ヘッダーが正しくデコードされませんでした。この更新プログラムでは、MIME エンコーディング機能が変更され、マルチバイト文字境界でヘッダーがエンコードされた単語に分割されるようになりました。その結果、mailx は適切にデコードできるヘッダー付きのメッセージを送信するようになりました。(BZ#1474130)

--all-logs オプションが sosreport で期待どおりに機能するようになりました

以前は、--all-logs オプションは、sosreport ユーティリティーの apachenscd、および logs プラグインによって無視されていました。このバグは修正され、上記のプラグインは --all-logs を正しく処理するようになりました。--all-logs を使用する場合、予期される動作である --log-size オプションでログのサイズを制限することはできないことに注意してください。(BZ#1183243)

ポートを明示的に設定しながら、Python スクリプトがプロキシー経由で HTTPS サーバーに正しく接続できるようになりました

Red Hat Enterprise Linux で提供される Python 標準ライブラリーは、デフォルトで証明書の検証を有効にするように以前に更新されました。ただし、バグにより、標準ライブラリーを使用する Python スクリプトは、接続先のポートを明示的に設定すると、プロキシーを使用して HTTPS サーバーに接続できませんでした。同じバグにより、ユーザーはブートストラップスクリプトを使用してプロキシー経由で Red Hat Satellite 6 に登録することもできませんでした。このバグは修正され、スクリプトは HTTPS サーバーに接続し、Red Hat Satellite を使用して期待どおりに登録できるようになりました。(BZ#1483438)

第27章 デスクトップ

Dell Canvas 27 のスタイラスが修正されました

以前、Dell Canvas 27 には範囲がデフォルトでオフセットされた Wacom タブレットが含まれていました。その結果、スタイラスは画面の左上 4 分の 1 にマッピングされました。Red Hat Enterprise Linux 7.5 は Dell Canvas 27 のスタイラスをサポートし、座標が正確に報告されるようにします。その結果、カーソルは必要に応じてスタイラスの先端の真下に配置されます。(BZ#1507821)

IBM Power Systems で llvmpipe が クラッシュする

IBM Power Systems アーキテクチャーのリトルエンディアンバリアントでは、GNOME シェル コードの競合状態が原因で、Mesa の LLVM エンジンである llvm-private が予期せず終了しました。この更新により、JavaScript エンジンのスレッド化が無効になり、セグメンテーションエラーの発生が防止されます。その結果、IBM Power Systems で llvm-private がクラッシュしなくなりました。(BZ#1523121)

第28章 ファイルシステム

TCP 接続が閉じられた後、NFS 共有が応答しなくなることがなくなりました

以前は、NFS クライアントは、TCP 切断シーケンスを開始した後、60 秒の TIME_WAIT 期間に入ることがありました。これは、接続で TCP タイムスタンプが無効になっている場合にのみ発生しました。待機中、クライアントは NFS TCP 接続に再接続できませんでした。
TIME_WAIT 期間中の待機が原因で、NFS マウントポイントが応答しなくなり、rpciod カーネルスレッドが 100% の CPU を使用し、nfsstat -r コマンドの出力の retrans 数が非常に多くなりました。さらに、timeo および retrans オプションの値が小さい NFS マウントでは、I/O エラーが発生する可能性があります。
今回の更新により、NFS TCP 接続は、別のソースポートを使用して切断シーケンスの直後に再接続できるようになりました。その結果、NFS マウントが応答しなくなることはなくなり、接続が閉じられた後に rpciod がシステムの負荷を高めることもなくなりました。(BZ#1479043)

第29章 ハードウェアの有効化

IBM Power Systems ppc64 および ppc64le アーキテクチャー用に更新された genwqe-tools

genwqe-tools パッケージは、IBM Power Systems および IBM Power Systems のリトルエンディアンバリアント用に更新されました。この機能強化の更新には、genwqe-tools マスターブランチからバックポートされた次の修正が含まれています。
  • adler32 の破損検出チェックサムは、deflateSetDictionary () 関数で修正を返すようになりました
  • deflateSetDictionary () 関数は、仕様ファイルで要求されているように、NULL 辞書でエラーを返すようになりました
  • zpipe_rnd.c ファイルからデバッガーが削除されました
  • 式の潜在的なオーバーフローが回避されました
  • 境界外アクセスとリソースリークの可能性が修正されました
  • コントリビューションを簡素化するために、コントリビューターライセンス契約 (CLA) が開発者の原産地証明書 (DCO) に変更されました。
  • 潜在的なセキュリティーホールが解決されました
  • EEH を引き起こすハードウェアアクセラレータツール genwqe_cksum の障害が解決されました。
genwqe-tools のユーザーは、これらの更新されたパッケージにアップグレードすることをお勧めします。これにより、これらのバグが修正され、これらの拡張機能が追加されます。(BZ#1456492)

ハードウェアユーティリティーツールが、最近リリースされたハードウェアを正しく識別できるようになりました。

この更新の前は、廃止された ID ファイルにより、コンピューターに接続されている最近リリースされたハードウェアが不明として報告されていました。このバグを修正するために、PCI、USB、およびベンダーデバイス識別ファイルが更新されました。その結果、ハードウェアユーティリティーツールが、最近リリースされたハードウェアを正しく識別できるようになりました。(BZ#1489281)

第30章 インストールおよび起動

手動のパーティショニング中に不完全な IMSM RAID アレイを選択しても、インストーラーがクラッシュしなくなりました

以前は、インストール時に破損した Intel Matrix (IMSI) RAID アレイの一部であったストレージドライブがインストールされているシステムにある場合、ディスクはグラフィカルインストーラーの インストール先 画面で 不明 と表示されていました。このドライブをインストールターゲットとして選択しようとすると、インストーラーがクラッシュし、不明なエラーが発生しました というメッセージが表示されました。今回の更新で、そのようなドライブの適切な処理が追加され、標準のインストールターゲットとして使用できるようになりました。(BZ#1465944)

インストーラーは、キックスタートファイルで追加のタイムゾーン定義を受け入れるようになりました

Red Hat Enterprise Linux 7.0 から、Anaconda はタイムゾーンの選択を検証する別のより制限的な方法に切り替えました。これにより、以前のバージョンでは受け入れられていた Japan などの一部のタイムゾーン定義が無効になり、これらの定義を含むレガシーキックスタートファイルを更新する必要がありました。そうしないと、デフォルトで Americas/New_York タイムゾーンになります。
有効なタイムゾーンのリストは、以前は pytz Python ライブラリーの pytz.common_timezones から 取得 されていました。今回の更新により、timezone Kickstart コマンドの検証設定が pytz.all_timezones を使用するように変更されました。これは common_timezones リストのスーパーセットであり、より多くのタイムゾーンを指定できるようにします。この変更により、Red Hat Enterprise Linux 6 用に作成された古い Kickstart ファイルでも有効なタイムゾーンが指定されるようになります。
この変更は timezone Kickstart コマンドにのみ適用されることに注意してください。グラフィカルおよびテキストベースのインタラクティブインターフェイスでのタイムゾーンの選択は変更されていません。有効なタイムゾーンが選択されていた Red Hat Enterprise Linux 7 用の既存のキックスタートファイルは、更新する必要はありません。(BZ#1452873)

起動オプションを使用したプロキシー設定のセットアップが Anaconda で正しく機能するようになりました

以前は、リモートパッケージリポジトリーをプローブするときに、proxy= オプションを使用してブートメニューのコマンドラインで作成されたプロキシー設定が正しく適用されませんでした。これは、ネットワーク設定が変更された場合に、インストールソース 画面の更新を回避しようとしたことが原因でした。この更新により、インストーラーのロジックが改善され、プロキシー設定が常に適用されるようになりましたが、設定の変更時にユーザーインターフェイスがブロックされることは回避されます。(BZ#1478970)

FIPS モードは、インストール中の HTTPS 経由でのファイルのロードをサポートするようになりました

以前は、インストールイメージは、キックスタートファイルが HTTPS ソース (inst.ks=https://<location>/ks.cfg) から読み込まれるインストール中に FIPS モード (fips=1) をサポートしていませんでした。このリリースでは、以前は欠落していたこの機能のサポートが実装されており、FIPS モードでの HTTPS 経由のファイルのロードは期待どおりに機能します。(BZ#1341280)

ネットワークスクリプトが /etc/resolv.conf を正しく更新するようになりました

ネットワークスクリプトが強化され、/etc/resolv.conf ファイルが正しく更新されるようになりました。以下に例を示します。
  • /etc/sysconfig/network-scripts/ ディレクトリーの ifcfg-* ファイルで DNS* オプションと DOMAIN オプションがそれぞれ更新された後、スクリプトは /etc/resolv.conf ファイルの ネームサーバー検索 エントリーを更新するようになりました。
  • スクリプトは、/etc/sysconfig/network-scripts/ifcfg-* ファイルで更新された後、ネームサーバー エントリーの順序も更新するようになりました。
  • DNS3 オプションのサポートが追加されました
  • スクリプトは、重複してランダムに省略された DNS* オプションを正しく処理するようになりました (BZ# 1364895)。

拡張子が .old のファイルは、ネットワークスクリプトによって無視されるようになりました

Red Hat Enterprise Linux のネットワークスクリプトには、.bak.rpmnew.rpmold などの特定の拡張子を持つ ifcfg-* 設定ファイルを無視する正規表現が含まれています。ただし、ドキュメンテーションや一般的な慣行で使用されているにもかかわらず、このセットには .old 拡張子がありませんでした。今回の更新により、拡張子 .old がリストに追加され、それを使用するスクリプトファイルがネットワークスクリプトによって期待どおりに無視されるようになります。(BZ#1455419)

Bridge デバイスが IP アドレスの取得に失敗しなくなりました

以前は、システムの起動直後に、ブリッジデバイスが DHCP サーバーから IP アドレスを取得できない場合がありました。これは、ifup-eth スクリプトがスパニングツリープロトコル (STP) の起動完了を待機しなかった競合状態が原因でした。このバグは、ifup-eth が STP の開始を完了するのに十分な時間待機する原因となる遅延を追加することで修正されました。(BZ#1380496)

rhel-dmesg サービスを正しく無効にできるようになりました

以前は、systemd を使用して rhel-dmesg.service が明示的に無効にされていても、引き続き実行されていました。このバグは修正され、サービスを正しく無効にできるようになりました。(BZ#1395391)

第31章 カーネル

kdump は、nokaslr が設定された vmcore をキャプチャできるようになりました

nokaslr および crashkernel=xxM,high オプションを使用すると、nokaslr の実装のバグにより、kdump メカニズムが vmcore ファイルをキャプチャできませんでした。この修正により、nokaslr が設定されている場合、カーネルの元の読み込みアドレスが返されることが保証されます。その結果、Kernel Address Space Layout Randomization (KASLR) がカーネルでコンパイルされているが、nokaslr で無効になっており、高メモリーが crashkernel パラメーターで指定されている場合、kdump は vmcore を収集できるようになり まし た。(BZ#1467561)

MPOL_PREFERRED ポリシーは、Transparent Huge Pages (THP) で最適なパフォーマンスで動作するようになりました

MPOL_PREFERRED ポリシーを使用してノード 1 にメモリーを割り当てると、Transparent Huge Pages (THP) が有効になっていると機能しませんでしたが、常にノード 0 のローカルノードにフォールバックしていました。その結果、マルチノードシステムのワークロードパフォーマンスに大きな影響がありました。バックポートされたパッチにより、非ローカルノードでの MPOL_PREFERRED ポリシーが尊重され、システムパフォーマンスが最適な状態に戻ります。(BZ#1476709)

cgroup のデッドロックが修正されました

cgroups を使用している特定の状況で、競合状態が原因でシステムのデッドロックが発生しました。今回の更新で、競合状態を修正するワークキューが追加され、デッドロックの発生が防止されます。(BZ#1476040)

ループデバイス上で DM シンプロビジョニングが使用されている場合に、システムが応答しなくなることがなくなりました

以前は、デバイスマッパー (DM) シンプロビジョニングがループデバイス上で使用されている場合、システムが応答しなくなることがありました。今回の更新により、メモリー割り当てで正しい gfp マスクが使用されるようになりました。その結果、上記の問題が発生しなくなりました。(BZ#1469247)

KASLR は、ミラーリングされていない領域へのカーネルメモリーのミラーリングを引き起こさなくなりました

この更新の前は、指定されたミラーリングされたメモリー領域とカーネルアドレス空間レイアウトのランダム化 (KASLR) が有効になっていると、カーネルメモリーがミラーリングされていないメモリー領域に配置される可能性がありました。その結果、ミラー化されていないメモリー領域は移動できなくなりました。今回の更新により、カーネルメモリーの場所がミラー領域から制限されます。その結果、KASLR によってカーネルメモリーがミラーリングされていない領域にミラーリングされることはなくなりました。(BZ#1446684)

/etc/kdump.conf 内の空白文字を削除するよう求めるメッセージがユーザーに表示されるようになりました

以前は、/etc/kdump.confkdump 設定項目の前に 1 つ以上の先頭の空白文字があり、誤った kdump 設定が発生していました。今回の更新により、先頭の空白文字を削除するよう求めるプロンプトを含むエラーメッセージがユーザーに返され、説明されている動作が原因で kdump が失敗しなくなりました。(BZ#1476219)

IBM POWER Systems 上の大きな .bss セグメントを持つアプリケーションは、ランダムなセグメンテーションエラーを引き起こさなくなりました

以前は、IBM POWER Systems アーキテクチャーで、大きな .bss セグメントを持つアプリケーションにより、動的リンカーが予期せず終了することがありました。その結果、動的リンカーを使用して起動されたアプリケーションは、ランダムにセグメンテーションエラーを引き起こす可能性がありました。今回の更新により、ELF_ET_DYN_BASE の値は、このアーキテクチャーでの 64 ビット実装では 4GB、32 ビット実装では 4MB に増加しました。その結果、IBM POWER Systems アーキテクチャー上の大きな .bss セグメントを持つアプリケーションは、ランダムなセグメンテーションフォールトを引き起こしません。(BZ#1432288)

カーネルは、負荷を計算するために過剰な量のリソースを消費しなくなりました

以前は、カーネルは、空のタスクグループを含むすべてのタスクグループの負荷を計算していました。この負荷は、多数のプロセスを持つシステムで過剰な量のシステムリソースを消費していました。この更新により、カーネルが空のタスクグループの負荷を計算できなくなり、上記の状況でシステムの負荷が軽減されます。(BZ#1460641)

Cpuset は、オフラインイベントとオンラインイベントのペアの後、有効な CPU マスクを復元できるようになりました

この更新の前は、プロセスをプロセッサーとメモリーノードのサブセットに限定する cpuset ファイルシステムでは、cpuset で使用される CPU に対して 1 つのビットマップセットが有効になっていました。結果として、CPU オフラインイベントとそれに続く CPU オンラインイベントにより、影響を受けた CPU がすべての非ルート CPU セットから削除されました。今回の更新により、cpuset で 2 つのビットマップセットが有効になります。その結果、cpuset cgroup のマウント時に -o cpuset_v2_mode マウントフラグが使用されている限り、cpuset は CPU のオンラインまたはオフラインイベントを適切に追跡して有効な CPU マスクを復元できるようになりました。(BZ#947004)

/proc/pid/maps へのアクセスが大幅に高速化

以前は、stack:TID アノテーションでスタック仮想メモリー領域 (VMA) のタスクを見つける時間は、システム内のアクティブなタスクの数に直接比例していました。その結果、システムで実行されているタスクが増えるほど、スタック VMA に正しく注釈を付けるのが遅くなり、/proc/pid/maps ファイルへのアクセスが遅くなります。今回の更新により、stack:TID アノテーションは使用されなくなりました。その結果、特にシステムで多くのタスクが実行されている場合に、/proc/pid/maps へのアクセスが大幅に高速になりました。(BZ#1448534)

fadump が再起動に失敗しなくなりました

以前は、fadump が DLPAR メモリーの削除操作中に停止し、その後再起動を開始していました。特定の状況下で、fadump が再起動に失敗しました。今回の更新で、上記の問題は発生しなくなりました。(BZ#1438695)

makedumpfile がページテーブルエントリーを正しくマップできるようになりました

HP ハードウェアで実行されている一部の仮想マシンでは、仮想マシンのメモリーの物理アドレスを正しく取得できず、makedumpfile ユーティリティーが次のようなエラーで失敗しました。
readmem: Can't convert a virtual address(ffffffffb21158a0) to physical address
この問題は、file_size が正しく計算されず、readpage_elf () 関数が正しく機能しないために発生しました。今回の更新により、これらのシステムでの file_size の計算が修正され、vmcore ファイルを収集できるようになり、makedumpfile --mem-usage コマンドが vmcore サイズを正しく推定できるようになりました。(BZ#1448861)

非対称グループは、重複するスケジューリングドメインに使用されます

以前は、特定の Non-Uniform Memory Access (NUMA) システムでグループ構築をスケジューリングすると、スレッドの移行に悪影響がありました。この状況は、タスクを隣接する NUMA ノードに移行できなかった場合に、パフォーマンスに悪影響を及ぼしました。今回の更新で、スケジューリングドメインの重複に非対称グループが使用され、問題が解決されました。(BZ#1373534)

KASLR が原因で、システムの起動中にカーネルが応答しなくなることがなくなりました

以前は、Kernel Address Space Layout Randomization (KASLR) 機能が有効になっていると、特定の SGI UV システムでカーネルが応答しなくなることがありました。その結果、システムを起動できませんでした。今回の更新により、KASLR が有効になっている場合、カーネルはダイレクトマッピングのサイズを適応させようとしなくなりました。その結果、システムが正常に起動するようになり、前述の問題は発生しなくなりました。(BZ#1457046)

ファンクションキーを使用して Wacom タブレットを取り外しても、オペレーティングシステムが再起動しなくなりました

一部の Wacom タブレットが Red Hat Enterprise Linux 7.4 で実行中の GNOME セッションから取り外された場合、オペレーティングシステムは 5 秒以内に再起動しました。この問題は、Wacom モデル 27QHD デバイスで最初に確認されました。この更新により、オペレーティングシステムを再起動せずにタブレットを取り外すことができるようになります。(BZ#1462363)

memory.kmem.limit_in_bytes を設定しても、後でそのメモリー cgroup を削除するときに問題が発生しなくなりました

以前は、cgroup の memory.kmem.limit_in_bytes パラメーターを設定すると、そのメモリー cgroup が後で削除されたときに問題が発生していました。この問題は、メモリー cgroup kmem キャッシュをマージしようとしたときに発生しましたが、これは適切に処理されませんでした。今回の更新では、現在のアップストリームコードをバックポートすることにより、メモリー cgroup の kmem キャッシュマージが無効になり、この機能は使用されなくなりました。(BZ#1442618)

sha1-avx2 暗号化アルゴリズムが再び有効になりました

read-beyond エラー (コードが境界外のメモリーを読み取ろうとした場合) が原因で、sha1-avx2 暗号化アルゴリズムが無効になりました。今回の更新で問題が解決され、管理者は sha1-avx2 を使用できるようになりました。(BZ#1469200)

バージョン 4.14 にリベースされた VXLAN

VXLAN ドライバーがアップストリームバージョン 4.14 にアップグレードされ、以前のバージョンに対して多数のバグ修正が行われました。注目すべき変更点は次のとおりです。
  • トンネルソース IP アドレスは、ルートルックアップで使用されます。
  • VXLAN Generic Protocol Extension (VXLAN-GPE) は、User Datagram Protocol (UDP) ポートに正しい Internet Assigned Numbers Authority (IANA) を使用するようになりました。
  • VNI 0xffffff 値を使用できるようになりました。
  • トンネル削除時の競合状態が修正されました。
  • 静的転送データベース (fdb) エントリーは、Linux ブリッジと一貫して動作するようになりました。(BZ#1467280)

第32章 ネットワーク

ip6mr がすでに登録解除されているデバイスを登録解除すると、ネットワーク操作が持続する

以前は、IPv6 マルチキャストルーティング (ip6mr) コードが、すでに登録解除されているデバイスを登録解除しようとしていました。その結果、syslog にバグが報告され、ネットワーク操作が停止しました。今回の更新により、ip6mr は、すでに未登録としてマークされているデバイスを登録解除しなくなりました。その結果、syslog で報告されるバグはなくなり、説明したシナリオでネットワーク操作が持続します。(BZ#1445046)

VTI 経由で大きなファイルを送信しても失敗しなくなりました

以前は、Virtual Tunnel Interface (VTI) を介して大きなファイルを送信すると、VTIPath Maximum Transmission Unit (PMTU) を処理しなかったために失敗しました。その結果、PMTU サイズを超えるサイズのファイルを送信できませんでした。この更新により、PMTU 処理が追加されます。これにより、Tx パスで PMTU を更新できるようになり、上記の問題は発生しなくなりました。(BZ#1467521)

IPv6 カプセル化を使用した L2TP が名前空間で機能するようになりました

以前は、IPv6 カプセル化で レイヤ 2 トンネリングプロトコル (L2TP) を使用しても名前空間がサポートされませんでした。その結果、L2TP は名前空間で使用できませんでした。今回の更新により、IPv6 カプセル化を使用する L2TP は名前空間を認識するようになり、説明されている問題は発生しなくなりました。(BZ#1465711)

ARP エントリーのフラッシュが失敗しなくなりました

以前は、不完全または失敗した アドレス解決プロトコル (ARP) エントリーをフラッシュしようとしても効果がありませんでした。その結果、不完全な ARP エントリーがそこに残り、システムやネットワークのデバッグで問題が発生する場合がありました。この更新により、不完全または失敗した ARP エントリーを削除できるようになりました。その結果、ユーザーは期待どおりに ARP テーブルを取得できるようになりました。(BZ#1383691, BZ#1469945)

クラスフルキュー規則で cls_matchall を使用しても、カーネルがクラッシュしなくなりました

以前は、matchall 分類子 (cls_matchall)クラシック オプションをパケットに割り当てませんでした。その結果、階層型トークンバケット (HTB) やクラスベースキューイング (CBQ) などのクラスフルキューイング 規則 (クラスフル qdiscs)cls_matchall を使用しようとすると、カーネルが予期せず終了しました。今回の更新により、cls_matchallclassid を 処理するときに、classid がパケットに割り当てられるようになりました。その結果、classful qdiscs を使用した cls_matchall を正常に使用できるようになり、ユーザーが指定した classid の値が上記のシナリオで無視されなくなりました。
classid に関連するカーネルアクションの詳細については、tc-matchall (8) man ページの OPTIONS セクションを参照してください。(BZ#1460213)

ユーザーが閉じた SCTP ポートに接続したときに、ICMP エラーパケットが失われなくなりました。

以前は、閉じられた Stream Control Transmission Protocol (SCTP) ポートに接続しようとすると、サーバーからの Internet Control Message Protocol (ICMP) エラー応答が失われました。これは、非線形バッファーを使用してデータを受信する ネットワークインターフェイスカード (NIC) でのみ発生しました。その結果、閉じられた SCTP ポートへの接続の場合、ユーザーはサーバーから 接続拒否 エラーメッセージをすぐに受け取るのではなく、タイムアウトになるまで待機していました。今回の更新により、受信データは直線的に処理され、ICMP エラー応答は失われません。その結果、ユーザーは、説明されている状況で対応する ICMP エラーを受け取ります。(BZ#1450529)

SCTP が正しい送信元アドレスを選択するようになりました

以前は、セカンダリー IPv6 アドレスを使用する場合、Stream Control Transmission Protocol (SCTP) は、宛先アドレスと一致する最適な接頭辞に基づいて送信元アドレスを選択していました。その結果、場合によっては、パケットが間違った IPv6 アドレスを持つインターフェイスを介して送信されました。今回の更新により、SCTP は、この特定のルートのルーティングテーブルにすでに存在するアドレスを使用します。その結果、ホストでセカンダリーアドレスが使用されている場合、SCTP は予想される IPv6 アドレスを送信元アドレスとして使用します。(BZ#1460106)

名前空間の削除時に、iptables CLUSTERIP ターゲットが保持するデバイス参照が適切に解放されるようになりました

以前は、iptables CLUSTERIP ターゲットは、関連するルールで入力デバイスとして指定されたネットワークデバイスへの直接参照を保持していました。名前空間内のそのルールが削除されたとき、対応する参照は解放されませんでした。その結果、ネームスペースの削除時に、CLUSTERIP ターゲットが保持するダングリング参照によって、ネームスペースに含まれるネットワークデバイスの削除が妨げられることがありました。このため、同じ名前のデバイスを作成できず、関連するメモリーが解放されませんでした。今回の更新により、CLUSTERIP ターゲットルール参照は、関連するデバイスではなく、そのインデックスを保持します。その結果、名前空間を削除すると、この名前空間に関連するすべてのルールと参照も適切に消去されます。(BZ#1472892)

nftables 設定ファイルは公開されなくなりました

以前は、RPM ファイルでのインストール中に、nftables 設定ファイルモードビットが適切に調整されませんでした。その結果、/etc/nftables ディレクトリーの設定テンプレートと etc/sysconfig/nftables.conf のメイン設定ファイルが公開されました。今回の更新により、設定ファイルのインストール時に、ファイルモードビットが明示的に正しい値に設定されるようになりました。その結果、ユーザーは正しい権限で設定ファイルをインストールできるようになりました。
管理者によって変更されていない設定ファイルは、正しい権限を持つ設定ファイルに置き換えられることに注意してください。
変更された設定ファイルは置き換えられません。その場合、/etc/sysconfig/nftables.conf に対して、正しい権限を持つ rpmnew ファイルが作成されます。/etc/nftables 内のファイルについては、rpmnew ファイルは作成されず、ユーザーは手動で権限を設定する必要があります。(BZ#1451404)

SENDER_DRY_EVENTS が有効な場合、Ready to read イベントがアプリケーションに正しく送信されるようになりました

以前は、SENDER_DRY_EVENTS 通知を有効にするとき、または Stream Control Transmission Protocol (SCTP) 部分信頼性によってチャンクの削除がトリガーされたときに、SCTP スタックは、イベントがすでに生成されているというフラグを立ててアプリケーションに送信していました。しかし、フラグはその後削除されませんでした。その結果、アプリケーションは 読み取りイベントの準備ができていません でした。今回の更新により、スタックはそのような場合にイベントにフラグを立てなくなりました。その結果、ready to read イベントがアプリケーションに正しくディスパッチされるようになりました。(BZ#1442784)

SCTP 統計が利用可能になりました

以前は、ストリーム制御伝送プロトコル (SCTP) 統計パーサーが /proc/net/sctp/snmp ソースファイルを処理できませんでした。その結果、ユーザーは統計情報を見ることができませんでした。SCTP 統計の解析が修正されました。その結果、ユーザーは SCTP 統計を利用できるようになりました。(BZ#1329338)

firewalld サービスデーモンが rmmod プロセスでハングしなくなりました。

以前は、一部のネットワークデバイスドライバー、特に一部の wi-fi および IP over InfiniBand Network Interface Cards (IPoIB NIC) ドライバーが、追跡されていないパケットに関連付けられた conntrack エントリーを無期限に保持していました。その結果、削除時に、conntrack カーネルモジュールは、これらのエントリーが解放されるのを待っているビジーループに陥っていました。これにより、rmmod nf_conntrack モジュールが CPU 使用率を 100% 消費し、firewalld がシャットダウン時にハングする原因となりました。今回の更新により、新しいカーネルは notrack conntrack エントリーのサポートを削除し、conntrack はそのようなエントリーが解放されるのを待機しなくなりました。その結果、firewalld のシャットダウンがハングしなくなりました。(BZ#1317099)

第33章 セキュリティー

firewalld の起動時に、設定が存在する場合、net.netfilter.nf_conntrack_max がデフォルトにリセットされなくなりました

以前は、firewalld は、起動または再起動時に nf_conntrack 設定をデフォルト値にリセットしていました。その結果、net.netfilter.nf_conntrack_max 設定がデフォルト値に復元されました。今回の更新により、firewalld が起動するたびに、/etc/sysctl.conf および /etc/sysctl.d で設定されている nf_conntrack sysctl がリロードされます。その結果、net.netfilter.nf_conntrack_max はユーザーが設定した値を維持します。(BZ#1462977)

Tomcat は、強制モードの SELinuxtomcat-jsvc を使用して起動できるようになりました

Red Hat Enterprise Linux 7.4 では、tomcat_t 制限のないドメインが SELinux ポリシーで正しく定義されていませんでした。したがって、Tomcat サーバーは、SELinux が enforcing モードの tomcat-jsvc サービスによって起動できません。今回の更新により、tomcat_t ドメインで dac_overridesetuid、および kill 機能ルールを使用できるようになりました。その結果、Tomcat は enforcing モードの SELinuxtomcat-jsvc を介して起動できるようになりました。(BZ#1470735)

SELinuxvdsmlldpad と通信できるようになりました

この更新の前は、強制モードの SELinux は、vdsm デーモンが lldpad 情報にアクセスすることを拒否していました。その結果、vdsm は正しく機能しませんでした。今回の更新で、virtd_t ドメインが dgram ソケットを介して lldpad_t ドメインにデータを送信できるようにするルールが selinux-policy パッケージに追加されました。その結果、SELinux が強制モードに設定されている場合、virtd_t というラベルの付いた vdsm は、lldpad_t というラベルの付いた lldpad と通信できるようになりました。(BZ#1472722)

特権分離のない OpenSSH サーバーがクラッシュしなくなりました

この更新の前は、有効性がチェックされる前にポインターが逆参照されていました。その結果、特権分離 オプションがオフになっている OpenSSH サーバーは、セッションのクリーンアップ中にクラッシュしました。今回の更新により、ポインターが適切にチェックされ、OpenSSH サーバーが 特権の分離 なしで実行しているときに、説明されているバグが原因でクラッシュしなくなりました。
OpenSSH特権の分離 を無効にすることはお勧めできません。(BZ#1488083)

clevis luks bind コマンドは、DISA STIG 準拠のパスワードポリシーで失敗しなくなりました

以前は、clevis luks bind コマンドの一部として生成されたパスワードは、pwquality.conf ファイルに設定された国防情報システム局セキュリティー技術実装ガイド (DISA STIG) パスワードポリシーに準拠していませんでした。その結果、場合によっては、DISA STIG 準拠のシステムで clevis luks bind が失敗しました。今回の更新では、パスワードポリシーに合格するランダムパスワードを生成するように設計されたユーティリティーを使用してパスワードが生成され、前述のシナリオで clevis luks bind が成功するようになりました。(BZ#1500975)

WinSCP 5.10 が OpenSSH で適切に動作するようになりました

以前、OpenSSHWinSCP バージョン 5.10 を古いバージョン 5.1 として誤って認識していました。その結果、WinSCP バージョン 5.1 の互換性ビットが WinSCP 5.10 で有効になり、新しいバージョンは OpenSSH で正しく動作しませんでした。今回の更新で、バージョンセレクターが修正され、WinSCP 5.10 が OpenSSH サーバーで適切に動作するようになりました。(BZ#1496808)

SFTP では、読み取り専用モードで長さゼロのファイルを作成できなくなりました

この更新の前は、OpenSSH SFTP サーバーの process_open 関数は、読み取り専用モードでの書き込み操作を適切に防止していませんでした。その結果、攻撃者は長さゼロのファイルを作成することができました。今回の更新で機能が修正され、SFTP サーバーは読み取り専用モードでファイルを作成できなくなりました。(BZ#1517226)

第34章 サーバーおよびサービス

内部バッファーロックが原因で libdb でデッドロックが発生しなくなりました

以前は、libdb データベースは、カーソルでの操作の処理中にオフページ複製 (OPD) ツリーにあるページにアクセスすると、内部バッファーを正しい順序でロックしませんでした。ライタープロセスは最初にプライマリーツリーにアクセスし、次に OPD ツリーにアクセスし、リーダープロセスは逆の順序で同じことを行いました。ライタープロセスがプライマリーツリーのページにアクセスし、リーダープロセスが OPD ツリーのページにアクセスすると、ページが他のプロセスによって同時にロックされたため、プロセスは他のツリーのページにアクセスできませんでした。その結果、どちらのプロセスもロックを解放しなかったため、libdb でデッドロックが発生しました。今回の更新で、cursor->get メソッドの btree バージョンが変更され、書き込みメソッドと同じ順序でツリーのページがロックされるようになりました。つまり、プライマリーツリーが最初で、OPD ツリーが 2 番目です。その結果、前述のシナリオで libdb のデッドロックが発生しなくなりました。(BZ#1349779)

毎週のログローテーションがより予測可能にトリガーされるようになりました

以前は、最後のローテーションからちょうど 7 日 (604800 秒) が経過したときに、logrotate ユーティリティーによって毎週のログローテーションが実行されていました。その結果、logrotate コマンドが cron ジョブによって少し早くトリガーされた場合、ローテーションは次の実行まで遅延されました。今回の更新により、毎週のログローテーションで正確な時間が無視されます。その結果、最後のローテーションから日数カウンターが 7 日以上進むと、新しいローテーションがトリガーされます。(BZ#1465720)

大きな PDF ファイルの処理中に Ghostscript がクラッシュしなくなりました

以前は、大きな PDF ファイルを処理すると、特定のまれな状況で Ghostscript ユーティリティーが予期せず終了することがありました。今回の更新により、ghostscript 仮想マシンの内部制限である DEFAULT_VM_THRESHOLD が引き上げられ、説明されている問題は発生しなくなりました。さらに、大きなファイルの処理がわずかに高速になりました。(BZ#1479852)

Ghostscript を使用して大きな PDF ファイルを PNG に変換しても失敗しなくなりました

アップストリームソースコードのバグにより、ghostscript ユーティリティーを使用して大きな PDF ファイルを PNG 形式に変換すると、特定のまれな状況で失敗しました。このバグは修正され、上記の問題が発生しなくなりました。(BZ#1473337)

IPv6 ポートにバインドできないときに krfb がクラッシュしなくなりました

以前は、krfb が IPv6 ポートにバインドできなかった場合に VNC クライアントを使用して krfb アプリケーションに接続すると、krfb が予期せず終了していました。今回の更新で、初期化されていない IPv6 ソケットの不適切な処理が修正され、libvncserver ライブラリーで構築されたアプリケーションが、IPv6 ポートでリッスンしようとして失敗した場合に正しく処理されるようになりました。(BZ#1314814)

mod_nss は Apache のスレッドモデルを適切に検出してパフォーマンスを向上させます

以前は、mod_nss モジュールは Apache でスレッドモデルを適切に検出していませんでした。その結果、TLS セッション ID がハンドシェイク間で維持されず、ハンドシェイクごとに新しいセッション ID が生成されるため、ユーザーのパフォーマンスが低下しました。この更新プログラムは、スレッドモデルの検出を修正します。その結果、TLS セッション ID が適切にキャッシュされるようになり、前述のパフォーマンスの問題がなくなりました。(BZ#1461580)

atd が 100% の CPU 使用率で実行されなくなり、システムログがいっぱいになることもありません

以前は、at ユーティリティーの atd デーモンが、一部のタイプの壊れたジョブ、特に存在しないユーザーのジョブを正しく処理していませんでした。その結果、atd は使用可能なすべての CPU リソースを使い果たし、無制限の頻度で送信されたメッセージによってシステムログがいっぱいになりました。今回の更新により、atd による壊れたジョブの処理が修正され、問題は発生しなくなりました。(BZ#1481355)

grub2 -efi-x64-modules が見つからない場合に、ReaR がより役立つエラーメッセージを表示するようになりました

以前は、rear mkrescue および rear mkbackup コマンドを使用して UEFI システムで ReaR バックアップを作成しようとすると、grub2-efi-x64-modules パッケージが見つからないために失敗しました。このパッケージはデフォルトではインストールされませんが、ReaR が GRUB イメージを生成するために必要です。.コマンドは次のエラーメッセージで失敗しました:
ERROR: Error occurred during grub2-mkimage of BOOTX64.efi
このメッセージは混乱を招き、役に立たないことが判明しました。今回の更新では、同じ状況でエラーが引き続き表示されますが、問題の修正方法が示されます。
WARNING: /usr/lib/grub/x86_64-efi/moddep.lst not found, grub2-mkimage will likely fail. Please install the grub2-efi-x64-modules package to fix this.
更新されたメッセージが説明しているように、UEFI ファームウェアを搭載したシステムで ReaR バックアップを作成する前に、不足している grub2-efi-x64-modules パッケージをインストールする必要があります。(BZ#1492177)

mkrescue 操作中に ReaR がディスクサイズの決定に失敗しなくなりました

以前は、udev との競合状態が原因で、ディスクレイアウトを保存するときにパーティションサイズを照会しているときに、ReaR (リラックスアンドリカバリー) ユーティリティーでエラーが発生することがありました。その結果、mkrescue 操作は次のメッセージで失敗しました。
ERROR: BUG BUG BUG! Could not determine size of disk
そのため、レスキューイメージを作成できませんでした。バグが修正され、レスキューイメージの作成が期待どおりに機能するようになりました。(BZ#1388653)

ReaR は非 UEFI システムで dosfsckefibootmgr を必要としなくなりました

以前は、ReaR (Relax-and-Recover) は、UEFI を使用しないシステムにインストールされた dosfsck および efibootmgr ユーティリティーを誤って要求していました。その結果、ユーティリティーが見つからない場合、rear mkrescue コマンドがエラーで失敗しました。このバグは修正され、ReaR では、前述のユーティリティーを UEFI システムにのみインストールする必要があります。(BZ#1479002)

ReRNetBackup で失敗しなくなり、ネットワーク設定の信頼性が向上しました

以前は、レスキューシステムの起動手順の 2 つの問題により、NetBackup 方式を使用すると、ReaR (リラックスして回復) の復元プロセスが失敗していました。システムの init スクリプトは、ReaR で使用されたときに実行されるのではなく、供給されていました。その結果、NetBackup の init スクリプトがシステムのセットアッププロセスを中止しました。さらに、システムセットアップによって作成されたプロセスはすぐに終了しました。これは dhclient ツールにも影響し、場合によっては IP アドレスの競合を引き起こしました。今回の更新で、両方のバグが修正されました。その結果、ReaRNetBackup 方式で適切に機能し、DHCP を使用したネットワーク設定はより信頼性が高くなります。(BZ#1506231)

バックアップの整合性チェックが有効になっている場合、ReR リカバリーが失敗しなくなりました

以前は、ReaR (Relax-and-Recover) がバックアップ整合性チェック (BACKUP_INTEGRITY_CHECK=1) を使用するように設定されている場合、md5sum コマンドがバックアップアーカイブを見つけられなかったため、リカバリープロセスは常に失敗していました。このバグは修正され、上記の問題が発生しなくなりました。(BZ#1532676)

第35章 ストレージ

空の文字列に機能を追加しても、DM Multipath がクラッシュしなくなりました

以前は、機能文字列を持たない組み込みデバイス設定の機能文字列に機能を追加しようとすると、DM Multipath サービスが予期せず終了していました。今回の更新により、DM Multipath は最初に機能文字列が存在するかどうかを確認し、必要に応じて作成します。その結果、存在しない機能文字列を変更しようとしても、DM Multipath がクラッシュしなくなりました。(BZ#1459370)

RAID1 で I/O 操作がハングしなくなりました

以前は、カーネルは dm-raid で複数デバイス (MD) I/O エラーを適切に処理しませんでした。その結果、I/O が応答しなくなることがありました。今回の更新により、dm-raid は I/O エラーを正しく処理するようになり、I/O 操作は RAID1 でハングしなくなりました。(BZ#1506338)

第36章 システムおよびサブスクリプション管理

特定の nss および nspr 更新シナリオで Yum がクラッシュしなくなりました

以前は、yum インストーラーが nss および nspr パッケージバージョンの特定の組み合わせを更新すると、次のシンボルルックアップエラーが原因で、トランザクションが途中で終了することがありました。
/lib64/libnsssysinit.so: undefined symbol: PR_GetEnvSecure
これにより、古くなった rpm ロックが発生しました。Yum は、この特定の nss および nspr 更新シナリオを正しく処理するように更新されました。その結果、上記のシナリオで yum が終了しなくなりました。(BZ#1458841)

最速 のミラープラグインは、メタデータのダウンロード前にミラーを注文するようになりました

以前は、yum インストーラーがキャッシュのクリーンアップ後に初めて実行されたとき、最速の ミラー プラグインは、メタデータのダウンロード前に最速のミラーを選択しませんでした。一部のミラーが遅いか使用できない場合、これにより遅延が発生することがありました。今回の更新により、最速の ミラー プラグインが変更され、メタデータのダウンロード前にミラーの選択に影響を与えるようになりました。その結果、メタデータのダウンロード前にミラーがポーリングされて配置されるため、このような遅延が防止されます。(BZ#1428210)

package-cleanup スクリプトは、重複していないパッケージの依存関係を削除しなくなりました

以前は、--cleandupes オプションを指定して package-cleanup スクリプトを実行すると、重複に依存するパッケージも削除されました。その結果、一部のパッケージが意図せず削除されました。今回の更新で、package-cleanup スクリプトが修正され、重複していないパッケージの依存関係をスキップするようになりました。代わりに、package-cleanup スクリプトは回避策の提案を含む警告を出力します。(BZ#1455318)

rhnsd.pid は所有者のみが書き込み可能になりました

Red Hat Enterprise Linux 7.4 では、/var/run/rhnsd.pid ファイルのデフォルトのパーミッションが -rw-rw-rw- に変更されました。 .この設定は安全ではありませんでした。今回の更新により、変更が元に戻され、/var/run/rhnsd.pid のデフォルトのパーミッションが -rw-r--r-- になりました。 .(BZ#1480306)

rhn_check は、システムの再起動をサテライトに正しく報告するようになりました

以前は、rhn_check の実行中に Satellite クライアントのシステム再起動が発生した場合、rhn_check はその終了を Satellite に報告しませんでした。その結果、Satellite の rhn_check のステータスが更新されませんでした。今回の更新で、この不適切な動作が修正され、rhn_check がシステムの再起動を処理し、Satellite に正しいステータスを報告するようになりました。(BZ#1494389)

rpm rhnlib -qi コマンドは、現在のアップストリームプロジェクトの Web サイトを参照するようになりました

以前は、rhnlib パッケージの RPM 情報が、非推奨のアップストリームプロジェクト Web サイトを誤って参照していました。今回の更新により、rpm rhnlib -qi コマンドは、現在のアップストリームプロジェクト Web サイトの URL を表示します。(BZ#1503953)

rhnsd を使用したカーネルのインストールが正常に完了しました

カーネルによってスケジュールされたカーネルインストールが Red Hat Network Daemon (rhnsd) を使用して実行された場合、カーネルのインストールが完了する前に停止することがありました。この問題は修正され、rhnsd を使用したカーネルのインストールが正常に完了するようになりました。(BZ#1475039)

rhn_check/var/cache/yum/ 内のファイルのパーミッションを変更しなくなりました

以前は、Red Hat Network Daemon (rhnsd) が rhn_check コマンドを実行すると、コマンドが /var/cache/yum/ ディレクトリー内のファイルの権限を誤って変更し、脆弱性が発生していました。このバグは修正され、rhn_check/var/cache/yum/ ディレクトリー内のファイルのパーミッションを変更しなくなりました。(BZ#1489989)

ベンダーに非 UTF8 文字が含まれている場合、subscription-managerRPM パッケージを報告します

以前は、subscription-manager ユーティリティーは、RPM パッケージベンダーフィールドで UTF-8 データを想定していました。その結果、システムにインストールされた RPM に非 UTF8 文字のベンダーが含まれている場合、subscription-manager はパッケージを報告できませんでした。今回の更新により、subscription-manager が更新され、RPM パッケージベンダーフィールドのエンコードの問題が無視されるようになりました。その結果、インストールされた RPM に非 UTF8 ベンダーが含まれていても、subscription-manager はパッケージプロファイルを正しく報告します。(BZ#1519512)

subscription-manager は、Host ヘッダーを期待するプロキシーで動作するようになりました

以前は、subscription-manager ユーティリティーは、接続時に Host ヘッダーが含まれていなかったため、Host ヘッダーを予期するプロキシーと互換性がありませんでした。今回の更新で、subscription-manager は接続時に Host ヘッダーを含め、これらのプロキシーと互換性があります。(BZ#1507158)

subscription-manager は、最初の DNS 解決が失敗した場合でも、有効な IPv4 アドレスを network.ipv4_address に割り当てます

以前は、subscription-manager ユーティリティーがシステムの IPv4 アドレスの解決に失敗した場合、network.ipv4_address ファクトにループバックインターフェイスアドレス 127.0.0.1 を誤って割り当てていました。これは、有効な IP アドレスを持つ有効なインターフェイスがあった場合でも発生しました。今回の更新で、subscription-manager がシステムの IPv4 アドレスの解決に失敗した場合、ループバックインターフェイスを除くすべてのインターフェイスから IPv4 アドレスを収集し、network.ipv4_address ファクトに有効な IPv4 アドレスを割り当てます。(BZ#1476817)

virt-who は、提供されたオプションが同じ仮想化タイプに適合することを保証します

今回の更新により、virt-who ユーティリティーは、ユーザーが指定したすべてのコマンドラインオプションが意図した仮想化タイプと互換性があることを保証します。さらに、virt-who が互換性のないオプションを検出すると、対応するエラーメッセージが表示されます。(BZ#1461417)

アップグレードまたは再インストール時に virt-who 設定がリセットされなくなりました

以前は、virt-who を アップグレードまたは再インストールすると、/etc/virt- who.conf ファイルの設定がデフォルト値にリセットされました。今回の更新では、virt-who のパッケージが変更され、設定ファイルが上書きされないようになりました。これにより、説明されている問題が発生しなくなりました。(BZ#1485865)

virt-who は、RHEVM によって提供されるアドレスフィールドを読み取り、正しいホスト名を検出して報告するようになりました

以前は、virt-who ユーティリティーが Red Hat Virtualization (RHV) ホストで報告し、hypervisor_id=hostname オプションが使用された場合、virt-who は誤ったホスト名の値を表示していました。今回の更新により、virt-who が上記の状況で正しいフィールド値を読み取るようになり、その結果、適切なホスト名が表示されるようになりました。(BZ#1389729)

第37章 仮想化

再起動中にゲストが予期せずシャットダウンしなくなりました

qemu-kvm-1.5.3-139.el7 で実行されている Red Hat Enterprise Linux 7.4 ゲストで、i6300esb ウォッチドッグpoweroff に設定されている場合、タイムアウトが正しく計算されないため、シャットダウン時にウォッチドッグがトリガーされました。その結果、ゲストを再起動すると、代わりにシャットダウンされました。今回の更新で、qemu-kvm のタイムアウト計算が修正されました。その結果、仮想マシンは適切に再起動します。(BZ#1470244)

シリアルコンソールを使用してアクセスしたゲストが応答しなくなることがなくなりました

以前は、クライアントが KVM ゲスト pty シリアルコンソールでホスト側の疑似端末デバイス (pty) を開き、そこから読み取らなかった場合、読み取り/書き込み呼び出しがブロックされるため、場合によってはゲストが応答しなくなりました。今回の更新で、ホスト側の pty オープンモードが非ブロッキングに設定されました。その結果、上記のシナリオでゲストマシンが応答しなくなることはありません。(BZ#1455451)

virt-v2v が、PCI パススルーデバイスを変換しないことについて警告するようになりました

virt-v2v ユーティリティーは現在、PCI パススルーデバイスを変換できないため、変換プロセスでそれらを無視します。ただし、この更新の前に、PCI パススルーデバイスを使用してゲスト仮想マシンを変換しようとすると、ゲストは正常に変換されましたが、無視された PCI パススルーデバイスに関する警告は表示されませんでした。現在、このようなゲストを変換すると、変換中に適切な警告メッセージがログに記録されます。(BZ#1472719)

OVA のインポート時に、virt-v2v が MAC アドレスを解析するようになりました

以前は、オープン仮想アプライアンス (OVA) をインポートするときに、virt-v2v ユーティリティーはネットワークインターフェイスの MAC アドレスを解析しませんでした。その結果、変換されたゲスト仮想マシンには異なる MAC アドレスを持つネットワークインターフェイスがあり、ネットワークセットアップが壊れていました。今回のリリースでは、virt-v2v は OVA のインポート時にネットワークインターフェイスの MAC アドレス (利用可能な場合) を解析します。その結果、ネットワークに変換されたゲストは、OVA で指定されたものと同じ MAC アドレスを持ち、ネットワーク設定は壊れません。(BZ#1506572)

パート III. テクノロジープレビュー

ここでは、Red Hat Enterprise Linux 8.7 で利用可能なすべてのテクノロジープレビュー機能の一覧を提示します。
テクノロジープレビュー機能に対する Red Hat のサポート範囲の詳細は、https://access.redhat.com/support/offerings/techpreview/ を参照してください。

第38章 全般的な更新

systemd-importd 仮想マシンおよびコンテナーイメージのインポートおよびエクスポートのサービス

最新版の systemd バージョンには、以前のビルドでは有効でなかった systemd-importd デーモンが含まれており、これにより machinectl pull-* コマンドが失敗していました。systemd-importd デーモンはテクノロジープレビューとして提供され、安定性に欠けると見なされている点に注意してください。(BZ#1284974)

第39章 認証および相互運用性

AD および LDAP の sudo プロバイダーの使用

AD (Active Directory) プロバイダーは、AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 以降では、AD sudo プロバイダーを LDAP プロバイダーとともに使用することがテクノロジープレビューとして利用できます。AD sudo プロバイダーを有効にするには、sssd.conf ファイルターミナルの [domain] セクションにsudo_provider=ad 設定を追加します。(BZ#1068725)

DNSSEC が IdM でテクノロジープレビューとして利用可能になりました。

統合 DNS のある Identity Management (IdM) サーバーは、DNS プロトコルのセキュリティーを強化する DNS に対する拡張セットである DNS Security Extensions (DNSSEC) に対応するようになりました。IdM サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。
DNSSEC で DNS ゾーンの安全性を強化する場合は、以下のドキュメントを参照することが推奨されます。
統合 DNS のある IdM サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 回答を検証することに注意してください。これは、Red Hat Enterprise Linux Networking Guide https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices で説明されている、推奨される命名方法に従って設定されていない DNS ゾーンの可用性に影響を与える可能性があります。(BZ#1115294)

Identity Management JSON-RPC API がテクノロジープレビューとして利用可能になりました。

Identity Management (IdM) では API が利用できます。API を表示するために、IdM は、テクノロジープレビューとして API ブラウザーも提供します。
Red Hat Enterprise Linux 7.3 では、複数のバージョンの API コマンドを有効にするために、IdM API が拡張されました。以前は、機能拡張により、互換性のない方法でコマンドの動作が変更することがありました。IdM API を変更しても、既存のツールおよびスクリプトを引き続き使用できるようになりました。これにより、以下が可能になります。
  • 管理者は、管理しているクライアント以外のサーバーで、IdM の以前のバージョンもしくは最近のバージョンを使用できます。
  • サーバーで IdM のバージョンを変更しても、開発者は特定バージョンの IdM コールを使用できます。
すべてのケースでサーバーとの通信が可能になります。たとえば、ある機能向けの新オプションが新しいバージョンに追加されていて、通信の一方の側でこれを使用していたとしても、特に問題はありません。
API の使用方法は、https://access.redhat.com/articles/2728021 (BZ#1298286) 参照してください。

Custodia シークレットサービスプロバイダーが利用可能に

テクノロジープレビューとして、シークレットサービスプロバイダーの Custodia を使用できるようになりました。Custodia は鍵やパスワードなどのシークレットのプロキシーとして保存または機能します。
詳細は、http://custodia.readthedocs.io のアップストリームのドキュメントを参照してください。(BZ#1403214)

コンテナー化された Identity Management サーバーがテクノロジープレビューとして利用可能に

rhel7/ipa-server コンテナーイメージはテクノロジープレビュー機能として利用できます。rhel7/sssd コンテナーイメージが完全にサポートされるようになりました。

第40章 クラスタリング

pcs ツールが Pacemaker でバンドルリソースを管理

Red Hat Enterprise Linux 7.4 以降のテクノロジープレビューとして、pcs ツールはバンドルリソースに対応します。これで、pcs resource bundle create コマンドおよび pcs resource bundle update コマンドを使用して、バンドルを作成および変更できるようになります。pcs resource create コマンドを使用すると、既存バンドルにリソースを追加できます。bundle リソースに設定できるパラメーターの詳細については、pcs resource bundle --help コマンドを実行してください。(BZ#1433016)

新しい fence-agents-heuristics-ping フェンスエージェント

Pacemaker は、テクノロジープレビューとして fence_heuristics_ping エージェントに対応するようになりました。このエージェントの目的は、実際にはフェンシングを行わず、フェンシングレベルの動作を新しい方法で活用する実験的なフェンスエージェントのクラスを開くことです。
ヒューリスティックエージェントが、実際のフェンシングを行うフェンスエージェントと同じフェンシングレベルで設定されいて、そのエージェントよりも順番が前に設定されているとします。その場合、フェンシグを行うエージェントで off 操作を行う前に、ヒューリスティックエージェントで、この操作を行います。このヒューリスティックエージェントが off アクションに対して失敗する場合、このフェンシングレベルが成功しないのは既に明らかです。そのため、Pacemaker フェンシングは、フェンシングを行うエージェントで off 操作を行うステップをスキップします。ヒューリスティックエージェントはこの動作を利用して、特定の条件下で、実際のフェンシングを行うエージェントがフェンシングできないようにできます。
サービスを適切に引き継ぐことができないことを事前に把握できる場合は、ノードがピアをフェンシングする意味がないのであれば、ユーザーは特に 2 ノードクラスターでこのエージェントを使用できます。たとえば、ネットワークアップリンクに到達してサービスがクライアントに到達できない場合は、ノードがサービスを引き継ぐ意味はありません。これは、ルーターへの ping が検出できる状況が考えられます。(BZ#1476401)

テクノロジープレビューとして corosync-qdevice でサポートされるヒューリスティック

ヒューリスティックは、起動、クラスターメンバーシップの変更、corosync-qnetd への正常な接続でローカルに実行され、任意で定期的に実行される一連のコマンドです。すべてのコマンドが時間どおりに正常に終了すると (返されるエラーコードがゼロである場合)、ヒューリスティックは渡されますが、それ以外の場合は失敗します。ヒューリスティックの結果は corosync-qnetd に送信され、クオーラムとなるべきパーティションを判断するための計算に使用されます。(BZ#1413573, BZ#1389209)

第41章 デスクトップ

Wayland がテクノロジープレビューとして利用可能に

Wayland ディスプレイサーバープロトコルが Red Hat Enterprise Linux でテクノロジープレビューとして利用できるようになりました。この更新により、分数スケーリングをサポートする GNOME で Wayland サポートを有効にするために必要な依存パッケージが追加されます。Wayland は、libinput ライブラリーを入力ドライバーとして使用します。
以下の機能は、現在利用できない、または正常に機能しない状態です。
  • 複数の GPU のサポートは不可能です。
  • Wayland では、NVIDIA バイナリードライバーが有効ではありません。
  • xrandr ユーティリティーは、解像度、ローテーション、およびレイアウトの処理方法が異なるため、Wayland では有効ではありません。
  • 画面の録画、リモートデスクトップ、およびアクセシビリティーは、Wayland では正常に機能しない場合があります。
  • クリップボードマネージャーは利用できません。
  • WaylandGNOME Shell を再起動することはできません。
  • Wayland は、仮想マシンビューアーなどの X11 アプリケーションのキーボードグラブを無視します。(BZ#1481411)

分数スケールがテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.5 以降の GNOME では、DPI が低 (scale 1) と高 (scale 2) の中間になってしまうモニターの問題に対処するため、分数スケールがテクノロジープレビューとして提供されています。
技術的な制限により、分数スケールは Wayland でのみ利用できます。(BZ#1481395)

第42章 ファイルシステム

ファイルシステム DAX が、テクノロジープレビューとして ext4 および XFS で利用可能

Red Hat Enterprise Linux 7.3 以降、Direct Access (DAX) は、テクノロジープレビューとして、永続メモリーをそのアドレス領域に直接マッピングする手段を提供します。
DAX を使用するには、システムで利用可能な永続メモリーの形式が必要になります。通常は、NVDIMM (Non-Volatile Dual In-line Memory Module) の形式で、DAX に対応するファイルシステムを NVDIMM に作成する必要があります。また、ファイルシステムは、dax マウントオプションでマウントする必要があります。これにより、dax をマウントしたファイルシステムのファイルの mmap が、アプリケーションのアドレス空間にストレージを直接マッピングされます。(BZ#1274459)

pNFS ブロックレイアウトが利用可能に

テクノロジープレビューとして、Red Hat Enterprise Linux クライアントがブロックレイアウト機能を設定して pNFS 共有をマウントできるようになりました。
Red Hat では、ブロックレイアウトと類似し、より使いやすい pNFS SCSI レイアウトの使用が推奨される点に注意してください。(BZ#1111712)

pNFS SCSI レイアウトがクライアントとサーバーで利用可能になりました

並列 NFS (pNFS) SCSI レイアウトのクライアントおよびサーバーのサポートは、Red Hat Enterprise Linux 7.3 以降のテクノロジープレビューとして提供されます。ブロックレイアウトの作業に基づいて、pNFS レイアウトは SCSI デバイス全体で定義され、SCSI 永続予約をサポートできる必要がある論理ユニットとして一連の固定サイズブロックが含まれています。論理ユニット (LU) デバイスは、SCSI デバイス識別子で識別され、フェンシングは予約の割り当てを介して処理されます。(BZ#1305092)

OverlayFS

OverlayFS は、ユニオンファイルシステムのタイプです。ユーザーは、あるファイルシステムに別のファイルシステムを重ねることができます。変更は上位のファイルシステムに記録され、下位のファイルシステムは変更しません。これにより、ベースイメージが読み取り専用メディアにあるコンテナーや DVD-ROM などのファイルシステムイメージを、複数のユーザーが共有できるようになります。詳細は、カーネルファイル Documentation/filesystems/overlayfs.txt を参照してください。
OverlayFS は、ほとんどの状況で引き続き Red Hat Enterprise Linux 7.4 のテクノロジープレビューになります。このため、OverlayFS を有効にすると、カーネルにより警告のログが記録されます。
Docker で次の制約を付けて使用する場合は、OverlayFS が完全対応となります。
  • OverlayFS は Docker のグラフドライバーとして使用する場合にのみサポートされます。サポートはコンテナー COW コンテンツでの使用に限定され、永続ストレージとしてはサポートされません。永続ストレージは OverlayFS 以外のボリュームに配置している場合に限りサポートの対象となります。使用できるのはデフォルトの Docker 設定のみです。つまり、オーバーレイレベル 1 つ、下層側ディレクトリー 1 つ、同じファイルシステムに配置された上層レベルと下層レベルという設定です。
  • 下層ファイルシステムとして使用がサポートされているのは現在 XFS のみです。
  • Red Hat Enterprise Linux 7.3 以前では、物理マシンで SELinux を有効にして Enforcing モードに設定しておく必要がありますが、コンテナーを分離する場合は、コンテナーで無効にする必要があります。つまり、/etc/sysconfig/docker ファイルに --selinux-enabled を追加しないでください。Red Hat Enterprise Linux 7.4 以降では、OverlayFS は SELinux セキュリティーラベルに対応しているため、/etc/sysconfig/docker--selinux-enabled を指定すると、コンテナーで SELinux サポートを有効にできます。
  • OverlayFS カーネル ABI とユーザー空間の動作については安定性に欠けると見なされているため、今後の更新で変更が加えられる可能性があります。
  • コンテナー内で yum および rpm のユーティリティーを正常に機能させるには、yum-plugin-ovl パッケージを使用する必要があります。
OverlayFS は制限付きで POSIX 標準セットを提供しています。OverlayFS を使用してアプリケーションをデプロイする前に、アプリケーションを十分にテストしてください。
オーバーレイとして使用するように -n ftype=1 オプションを有効にして、XFS ファイルシステムを作成する必要がある点に注意してください。システムのインストール時に作成された rootfs およびファイルシステムを使用して、Anaconda キックスタートに --mkfsoptions=-n ftype=1 パラメーターを設定します。インストール後に新しいファイルシステムを作成する場合は、# mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE コマンドを実行します。既存のファイルシステムがオーバーレイとして使用できるかどうかを確認するには、# xfs_info /PATH/TO/DEVICE | grep ftype コマンドを実行して、ftype=1 オプションが有効になっているかどうかを確認します。
Red Hat Enterprise Linux 7.3 リリース以降、OverlayFS には既知の問題が複数存在します。詳細は、Documentation/filesystems/overlayfs.txt ファイルの Non-standard behavior を参照してください。(BZ#1206277)

Btrfs ファイルシステム

Btrfs (B-Tree) ファイルシステムは、Red Hat Enterprise Linux 7 でテクノロジープレビューとして利用できます。
この機能の更新は、Red Hat Enterprise Linux 7.4 で最後となることが予定されています。Btrfs が非推奨になりました。つまり、Red Hat は、Btrfs を完全にサポートされる機能とせず、今後の Red Hat Enterprise Linux メジャーリリースで削除する予定です。(BZ#1477977)

新しいパッケージ: ima-evm-utils

ima-evm-utils パッケージは、ファイルシステムにラベルを付け、Integrity Measurement Architecture (IMA) および Extended Verification Module (EVM) 機能を使用して実行時にシステムの整合性を検証するためのユーティリティーを提供します。これらのユーティリティーを使用すると、ファイルが誤ってまたは悪意を持って変更されたかどうかを監視できます。
ima-evm-utils パッケージがテクノロジープレビューとして利用できるようになりました。(BZ#1384450)

第43章 ハードウェアの有効化

LSI Syncro CS HA-DAS アダプター

Red Hat Enterprise Linux 7.1 には、LSI Syncro CS の HA-DAS (high-availability direct-attached storage) アダプターを有効にするため、megaraid_sas ドライバーにコードが含まれていました。megaraid_sas ドライバーは、これまで有効であったアダプターに対して完全にサポートされますが、Syncro CS に対してはテクノロジープレビューとして提供されます。このアダプターのサポートは、LSI、システムインテグレーター、またはシステムベンダーにより直接提供されます。Red Hat Enterprise Linux 7.2 以上に Syncro CS をデプロイする場合は、Red Hat および LSI へのフィードバックにご協力ください。LSI Syncro CS ソリューションの詳細は、http://www.lsi.com/products/shared-das/pages/default.aspx を参照してください。(BZ#1062759)

tss2 で IBM Power LE に対して TPM 2.0 が有効に

tss2 パッケージにより、IBM Power LE アーキテクチャー向けに、テクノロジープレビューとして Trusted Computing Group Software Stack (TSS) 2.0 の IBM 実装が追加されます。このパッケージにより、TPM 2.0 デバイスとの対話が可能になります。(BZ#1384452)

ibmvnic デバイスドライバー

Red Hat Enterprise Linux 7.3 以降、ibmvnic デバイスドライバーは、IBM POWER アーキテクチャーのテクノロジープレビューとして利用できるようになりました。vNIC (Virtual Network Interface Controller) は、エンタープライズ機能を提供し、ネットワーク管理を簡素化する PowerVM 仮想ネットワーキングテクノロジーです。SR-IOV NIC と組み合わせると、仮想 NIC レベルで帯域幅制御サービス品質 (QoS) 機能が提供される、高性能で効率的な技術です。vNIC は、仮想化のオーバーヘッドを大幅に削減するため、ネットワーク仮想化に必要な CPU やメモリーなど、待機時間が短縮され、サーバーリソースが少なくなります。(BZ#1391561, BZ#947163)

第44章 カーネル

HMM (heterogeneous memory management) 機能がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.3 では、テクノロジープレビューとして heterogeneous memory management (HMM) 機能が導入されました。この機能は、プロセスアドレス空間を独自のメモリー管理ユニット (MMU) にミラーする必要のあるデバイスのヘルパーレイヤーとして、カーネルに追加されています。これにより、CPU 以外のデバイスプロセッサーは、統一システムアドレス空間を使用してシステムメモリーを読み取ることができます。この機能を有効にするには、experimental_hmm=enable をカーネルコマンドラインに追加します。(BZ#1230959)

criu がバージョン 2.12 にリベース

Red Hat Enterprise Linux 7.2 では、テクノロジープレビューとしてcriu ツールが導入されました。このツールは、実行中のアプリケーションをフリーズさせ、ファイルの集合としてこれを保存する Checkpoint/Restore in User-space (CRIU) を実装します。アプリケーションは、後にフリーズ状態から復元できます。
criu ツールは Protocol Buffers に依存することに注意してください。これは、構造化データをシリアル化するための、言語とプラットフォームに中立的な拡張性のあるメカニズムです。依存パッケージを提供する protobuf パッケージと protobuf-c パッケージも、Red Hat Enterprise Linux 7.2 にテクノロジープレビューとして導入されています。
Red Hat Enterprise Linux 7.5 では、criu パッケージがアップストリームバージョン 3.5 にアップグレードされ、多数のバグ修正と機能拡張が提供されています。さらに、IBM Z および 64 ビット ARM アーキテクチャーのサポートが追加されました。(BZ#1400230, BZ#1464596)

kexec がテクノロジープレビューとして利用可能に

kexec システムコールはテクノロジープレビューとして提供されています。このシステムコールを使用すると現在実行中のカーネルから別のカーネルを読み込んだり、起動したりすることが可能で、カーネル内のブートローダーとして機能します。通常はシステム起動中に実行されるハードウェアの初期化が kexec の起動中に行われないため、再起動にかかる時間が大幅に短縮されます。(BZ#1460849)

テクノロジープレビューとしての kexec fast reboot

テクノロジープレビューとして、今回の更新でkexec fast reboot 機能が追加され、再起動の速度が大幅に速くなりました。この機能を使用するには、kexec カーネルを手動で読み込んでから、オペレーティングシステムを再起動する必要があります。kexec fast reboot をデフォルトの再起動アクションにすることはできません。
特例は、Anacondakexec fast reboot を使用する場合です。この場合でも、kexec fast reboot をデフォルトにすることはできません。ただし、Anaconda と併用すると、anaconda オプションを使用してカーネルを起動してインストールが完了したあと、オペレーティングシステムが自動的に kexec fast reboot を使用します。kexec の再起動スケジュールを設定するには、カーネルコマンドラインの inst.kexec コマンドを使用するか、キックスタートファイルに reboot --kexec 行を追加します。(BZ#1464377)

名前空間への非特権アクセスは、テクノロジープレビューとして有効化できる

必要に応じて、namespace.unpriv_enable カーネルコマンドラインオプションをテクノロジープレビューとして設定できるようになりました。
デフォルト設定は off です。
1 に設定すると、非特権ユーザーとしてフラグ CLONE_NEWNS を持つ clone() 関数の呼び出しを発行したときにエラーが返されなくなり、操作が可能になります。
ただし、名前空間への非特権アクセスを有効にするには、一部のユーザー名前空間で CAP_SYS_ADMIN フラグを設定して、マウント名前空間を作成する必要があります。(BZ#1350553)

qla2xxx ドライバーでのテクノロジープレビューとしての SCSI-MQ

Red Hat Enterprise Linux 7.4 で更新された qla2xxx& ドライバーは、ql2xmqsupport=1 モジュールパラメーターで SCSI-MQ (multiqueue) を使用できるようになりました。デフォルトの値は 0 (無効) です。SCSI-MQ の機能は、qla2xxx ドライバーで使用する際のテクノロジープレビューとして提供されます。
SCSI-MQ を使用してファイバーチャネルアダプター上での非同期 IO のパフォーマンステストを実施したところ、特定の条件下ではパフォーマンスが大幅に低下した点に注意してください。修正はテスト中で、Red Hat Enterprise Linux 7.4 の一般提供に間に合うように準備できませんでした。(BZ#1414957)

NVMe over Fibre Channel がテクノロジープレビューとして利用可能に

NVMe over Fibre Channel トランスポートタイプがテクノロジープレビューとして利用できるようになりました。Red Hat Enterprise Linux に同梱されていた RDMA (Remote Direct Memory Access) プロトコルに加えて、NVMe over Fibre Channel が、NVMe (Nonvolatile Memory Express) プロトコルのファブリックトランスポートタイプとして追加されました。
lpfc ドライバーで NVMe over Fibre Channel を有効にするには、/etc/modprobe.d/lpfc.conf ファイルを編集し、次のオプションのいずれかまたは両方を追加します。
  • NVMe 操作モードを有効にするには、lpfc_enable_fc4_type=3 オプションを追加します。
  • ターゲットモードを有効にするには、lpfc_enable_nvmet=<wwpn list> オプションを追加します。ここで、<wwpn list> は、接頭辞 0x を付けたワールドワイドポート名 (WWPN) 値のコンマ区切りリストです。
NVMe ターゲットを設定するには、nvmetcli ユーティリティーを使用します。
NVMe over Fibre Channel は、既存のファイバーチャネルインフラストラクチャーよりも高性能で低遅延の I/O プロトコルを提供します。このことは、ソリッドステートストレージアレイで特に重要になります。NVMe ストレージのパフォーマンス上の利点を、別のプロトコル (SCSI) にカプセル化するのではなく、ファブリックトランスポートを通じて渡すことができるためです。
Red Hat Enterprise Linux 7.5 では、NVMe over Fibre Channel は、lpfc ドライバーを使用する Broadcom 32Gbit アダプターでのみ使用できます。(BZ#1387768, BZ#1454386)

perf cqmresctrl に置き換え

Intel Cache Allocation Technology (CAT) が Red Hat Enterprise Linux 7.4 でテクノロジープレビューとして導入されました。ただし、perf インストラクチャーと CQM (Cache Quality of Service Monitoring) ハードウェアサポートの不整合により、perf cqm ツールが正常に機能しませんでした。したがって、perf cqm の使用時にさまざまな問題が生じていました。
主な問題は以下のとおりです。
  • perf cqm が、resctrl を使用して割り当てたタスクのグループに対応しない
  • リサイクルに関するさまざまな問題により、perf cqm が不規則で不正確なデータを提供する
  • 異なるタイプのイベント (例: タスク、全システム、cgroup イベント) を同時に実行する場合に、perf cqm のサポートが不十分である
  • cgroup イベントに対して perf cqm は部分的なサポートしか提供しない
  • cgroup イベントが階層構造を持つ場合、または cgroup 内のタスクと cgroup を同時に監視する場合、cgroup イベントに対する部分的なサポートが機能しない
  • ライフタイムの監視タスクにより perf オーバーヘッドが発生する
  • perf cqm がソケット全体のキャッシュ占有の集計値またはメモリー帯域幅を報告するが、多くのクラウドおよび VMM ベースのユースケースでは、ソケットごとの使用状況が求められる
今回の更新で、perf cqmresctrl ファイルシステムに基づくアプローチに置き換えられました。これにより、前述の問題がすべて解決されます。(BZ#1457533, BZ#1288964)

第45章 Real-Time Kernel

テクノロジープレビューとしての SCHED_DEADLINE スケジューラークラス

Red Hat Enterprise Linux 7.4 で導入されたリアルタイムカーネルの SCHED_DEADLINE スケジューラークラスは、テクノロジープレビューとして引き続き利用できます。新しいスケジューラーにより、アプリケーションの期限に基づいた予測可能なタスクのスケジューリングが可能になりました。SCHED_DEADLINE は、アプリケーションタイマーの操作を減らすことにより、定期的なワークロードにメリットをもたらします。(BZ#1297061)

第46章 ネットワーク

Cisco usNIC ドライバー

UCM (Cisco Unified Communication Manager) サーバーには Cisco 専用の usNIC (User Space Network Interface Controller) を提供するオプション機能があります。これを使用すると、ユーザー空間のアプリケーションに対して RDMA (Remote Direct Memory Access) のような動作を実行できるようになります。テクノロジープレビューとして利用可能な libusnic_verbs ドライバーにより、Verbs API に基づいた標準の InfiniBand RDMA プログラミングを介して usNIC デバイスを使用できます。(BZ#916384)

Cisco VIC カーネルドライバー

Cisco VIC Infiniband のカーネルドライバーをテクノロジープレビューとして利用できます。これにより、専用の Cisco アーキテクチャーで、RDMA (Remote Directory Memory Access) のようなセマンティックが使用可能になります。(BZ#916382)

TNC (Trusted Network Connect)

Trusted Network Connect (TNC) は、テクノロジープレビューとして利用可能で、TLS、802.1X、IPsec など既存のネットワークアクセス制御 (NAC) ソリューションと併用し、エンドポイントのポスチャー評価を一体化します。つまりエンドポイントのシステムの情報を収集します (オペレーティングシステムを設定している設定、インストールしているパッケージ、そのほか整合性測定と呼ばれているもの)。TNC を使用して、このような測定値をネットワークアクセスポリシーと照合してから、エンドポイントがネットワークにアクセスできるようにします。(BZ#755087)

qlcnic ドライバーの SR-IOV 機能

SR-IOV (Single-Root I/O virtualization) のサポートがテクノロジープレビューとして qlcnic ドライバーに追加されています。この機能のサポートは QLogic から直接提供されます。QLogic および Red Hat へのご意見ご感想をお寄せください。qlcnic ドライバーのその他の機能は引き続きフルサポートになります。(BZ#1259547)

libnftnl パッケージおよび nftables パッケージ

Red Hat Enterprise Linux 7.3 以降では、nftables および libnftl パッケージがテクノロジープレビューとして利用できます。
nftables パッケージでは、パケットフィルターリングツールが提供され、従来のパケットフィルターリングツールに比べ、利便性、機能、および性能が数多く改善されました。これは、iptables ユーティリティー、ip6tables ユーティリティー、arptables ユーティリティー、および ebtables ユーティリティーの後継として指定されます。
libnftnl パッケージは、libmnl ライブラリーを介した、nftable Netlink の API との低レベルの対話のためにライブラリーを提供します。(BZ#1332585)

オフロードサポートが付いた flower 分類子

flower はトラフィック制御 (TC) 分類子で、各種プロトコルのパケットフィールドで広く知られているマッチング設定を可能にします。これは、複雑なフィルターリングおよび分類タスクの u32 分類子に対するルールの設定を容易にすることを目的としています。また、flower は、ハードウェアが対応している場合、基盤のハードウェアに分類およびアクションルールをオフロードする機能もサポートします。flower TC 分類子はテクノロジープレビューとして提供されるようになりました。(BZ#1393375)

第47章 Red Hat Enterprise Linux System Roles Powered by Ansible

Red Hat Enterprise Linux システムロール

Red Hat Enterprise Linux システムロール (現在テクノロジープレビューとして利用可能) は、Red Hat Enterprise Linux サブシステムの設定インターフェイスを提供します。これにより、Ansible Roles を介したシステム設定が簡単になります。このインターフェイスにより、Red Hat Enterprise Linux の複数のバージョンにわたるシステム設定の管理と、新しいメジャーリリースの導入が可能になります。
Red Hat Enterprise Linux 7.4 では、Red Hat Enterprise Linux システムロールパッケージは Extras チャンネルを介して配布されています。Red Hat Enterprise Linux システムロールの詳細は、https://access.redhat.com/articles/3050101 を参照してください。(BZ#1313263)

第48章 セキュリティー

USBGuard は、画面のロック時に USB デバイスのブロックを有効にする機能をテクノロジープレビューとして提供。

USBGuard フレームワークにより、InsertedDevicePolicy ランタイムパラメーターの値を設定して、すでに実行されている usbguard-daemon インスタンスが、新たに挿入された USB デバイスをどのように処理するかを制御できます。この機能はテクノロジープレビューとして提供されており、デフォルトでは、デバイスを認証するかどうかを判断するポリシールールが適用されます。
画面がロックされている間の USB デバイスのブロック に関するナレッジベースの記事を参照してください: https://access.redhat.com/articles/3230621 (BZ#1480100)

pk12util で、RSA-PSS で署名した証明書のインポートが可能に

pk12util ツールは、テクノロジープレビューとして、RSA-PSS アルゴリズムを使用して署名する証明書をインポートするようになりました。
対応する秘密鍵をインポートして、RSA-PSS への署名アルゴリズムを制限する PrivateKeyInfo.privateKeyAlgorithm フィールドがある場合は、ブラウザーに鍵をインポートするときに無視されることに注意してください。詳細は、https://bugzilla.mozilla.org/show_bug.cgi?id=1413596 を参照してください。(BZ#1431210)

certutil で、RSA-PSS で署名した証明書のサポートが改善

certutil ツールの RSA-PSS アルゴリズムで署名された証明書のサポートが改善されました。主な機能強化および修正は以下のとおりです。
  • --pss オプションのドキュメントが作成されている。
  • 証明書で RSA-PSS の使用が制限されている場合は、自己署名で PKCS#1 v1.5 アルゴリズムが使用されなくなった。
  • subjectPublicKeyInfo フィールドの空の RSA-PSS パラメーターは、証明書の一覧を表示する際に無効と表示されなくなった。
  • RSA-PSS アルゴリズムで署名された通常の RSA 証明書を作成する --pss-sign オプションが追加された。
certutil で、RSA-PSS で署名した証明書のサポートがテクノロジープレビューとして利用できます。(BZ#1425514)

NSS が、証明書の RSA-PSS 署名を確認可能

nss パッケージの RHEL 7.5 バージョン以降、Network Security Services (NSS) ライブラリーが、証明書の RSA-PSS 署名の確認をテクノロジープレビューとして提供します。この更新では、SSL バックエンドとして NSS を使用するクライアントが、RSA-PSS アルゴリズムで署名した証明書のみを提供するサーバーへの TLS 接続が確立できません。
この機能には、以下の制限があります。
  • /etc/pki/nss-legacy/rhel7.config ファイルのアルゴリズムポリシー設定は、RSA-PSS 署名で使用されるハッシュアルゴリズムに適用されます。
  • 証明書チェーン間で RSA-PSS パラメーター制約が無視され、証明書は 1 つだけ考慮されます。(BZ#1432142)

libreswan で SECCOMP の有効化が可能

テクノロジープレビューとして、SECCOMP (Secure Computing) モードの使用を可能にする seccomp=enabled|tolerant|disabled オプションが ipsec.conf 設定ファイルに追加されました。これにより、Libreswan を実行できるシステムコールをすべてホワイトリストに登録することで、syscall セキュリティーが改善されました。詳細は man ページの ipsec.conf(5) を参照してください。(BZ#1375750)

第49章 ストレージ

SCSI 向けのマルチキュー I/O スケジューリング

Red Hat Enterprise Linux 7 には、blk-mq と呼ばれるブロックデバイス用の新しいマルチキュー I/O スケジューリングメカニズムが同梱されています。scsi-mq パッケージにより、Small Computer System Interface (SCSI) サブシステムが、この新しいキューイングメカニズムを利用できるようになります。この機能はテクノロジープレビューのため、デフォルトでは有効になっていません。有効にする場合は scsi_mod.use_blk_mq=Y をカーネルコマンドラインに追加します。
blk-mq は、パフォーマンスを改善するために導入されていますが (特に低レイテンシーデバイス向け)、常にパフォーマンスが改善することは保証されていません。具体的には、特に CPU が多いシステムで scsi-mq を有効にすると、パフォーマンスが大幅に低下する場合があります。(BZ#1109348)

libStorageMgmt API の Targetd プラグイン

Red Hat Enterprise Linux 7.1 から、ストレージアレイから独立した API である libStorageMgmt を使用したストレージアレイの管理が完全サポートされています。提供される API は安定性と整合性を備え、開発者は異なるストレージアレイをプログラム的に管理し、ハードウェアアクセラレーション機能を使用できます。また、システム管理者は libStorageMgmt を使用して手動でストレージを設定したり、コマンドラインインターフェイスを使用してストレージ管理タスクを自動化したりできます。
Targetd プラグインは完全サポートされず、引き続きテクノロジープレビューとして提供されます。(BZ#1119909)

DIF/DIX (Data Integrity Field/Data Integrity Extension) への対応

DIF/DIX は、SCSI 標準に新しく追加されたものです。これは、Red Hat Enterprise Linux 7 では、機能の章で指定されている HBA およびストレージアレイに対して完全に対応していますが、その他の HBA およびストレージアレイはテクノロジープレビューのままとなっています。
DIF/DIX により DIF (Data Integrity Field) が追加され、一般的に使用される 512 バイトのディスクブロックのサイズが 520 バイトに増えます。DIF は、書き込みの発生時に HBA (Host Bus Adapter) により算出されるデータブロックのチェックサム値を保存します。その後、受信時にストレージデバイスがチェックサムを確認し、データとチェックサムの両方を保存します。読み取りが発生すると、チェックサムが、ストレージデバイス、および受信する HBA により検証されます。(BZ#1072107)

第50章 仮想化

KVM ゲスト用の USB 3.0 サポート

Red Hat Enterprise Linux 7 では、KVM ゲスト向けの USB 3.0 ホストアダプター (xHCI) エミュレーションが引き続きテクノロジープレビューとなります。(BZ#1103193)

一部の Intel ネットワークアダプターが Hyper-V のゲストとして SR-IOV をサポート

Hyper-V で実行している Red Hat Enterprise Linux ゲスト仮想マシン用の今回の更新では、新しい PCI パススルードライバーにより、ixgbevf ドライバーでサポートされている Intel ネットワークアダプターの Single Root I/O Virtualization (SR-IOV) 機能を使用できるようになります。この機能は、以下の条件が満たされた場合に有効になります。
  • ネットワークインターフェイスコントローラー (NIC) に対して SR-IOV サポートが有効になっている
  • 仮想 NIC の SR-IOV サポートが有効になっている
  • 仮想スイッチの SR-IOV サポートが有効になっている
NIC の VF (Virtual Function) は、仮想マシンに接続されている
この機能は現在、Microsoft Windows Server 2016 でサポートされています。(BZ#1348508)

VFIO ドライバーの No-IOMMU モード

今回の更新により、VFIO (Virtual Function I/O) ドライバーの No-IOMMU モードがテクノロジープレビューとして追加されました。No-IOMMU モードは、I/O メモリー管理ユニット (IOMMU) を使用せずに直接メモリーアクセス (DMA) 対応デバイスへの完全なユーザー空間 I/O (UIO) アクセスを提供します。しかし、このモードはサポートされないだけでなく、IOMMU で提供される I/O 管理機能がないため、安全に使用することができません。(BZ#1299662)

virt-v2v での vmx 設定ファイルを使用した VMware ゲストの変換が可能に

virt-v2v ユーティリティーには、vmx 入力モードが含まれるようになりました。これにより、ゲスト仮想マシンを VMware vmx 設定ファイルから変換できるようになりました。これを行うには、たとえば NFS を使用してストレージをマウントすることにより、対応する VMware ストレージにもアクセスする必要があることに注意してください。-it ssh パラメーターを追加することで、SSH を使用してストレージにアクセスすることもできます。(BZ#1441197, BZ#1523767)

virt-v2v が Debian ゲストおよび Ubuntu ゲストを変換

テクノロジープレビューとして、virt-v2v ユーティリティーがゲスト仮想マシン Debian および Ubuntu を変換できるようになりました。現時点では、この変換を行うときに以下の問題が発生することに注意してください。
  • virt-v2v は、GRUB2 設定内のデフォルトカーネルを変更できず、ゲストで設定されたカーネルは、ゲストでより最適なバージョンのカーネルが利用可能であっても、変換中に変更されません。
  • Debian または Ubuntu の VMware ゲストを KVM に変換すると、ゲストのネットワークインターフェイス名が変更し、手動での設定が必要になる場合があります。(BZ#1387213)

Virtio デバイスでの vIOMMU の使用が可能に

テクノロジープレビューとして、この更新により、virtio デバイスは仮想入出力メモリー管理ユニット (vIOMMU) を使用できるようになります。これにより、デバイスが許可されたアドレスにのみ Direct Memory Access (DMA) を実行できるようになるため、DMA のセキュリティーが保証されます。ただし、この機能を使用できるのは、Red Hat Enterprise Linux 7.4 以降を使用するゲスト仮想マシンのみであることに注意してください。(BZ#1283251, BZ#1464891)

virt-v2v は VMWare ゲストをより高速かつ確実に変換します

テクノロジープレビューとして、virt-v2v ユーティリティーは VMWare 仮想ディスク開発キット (VDDK) を使用して VMWare ゲスト仮想マシンを KVM ゲストにインポートできるようになりました。これにより、virt-v2v が VMWare ESXi ハイパーバイザーに直接接続できるようになり、変換の速度と信頼性が向上します。
この変換インポート方法には、外部 nbdkit ユーティリティーとその VDDK プラグインが必要であることに注意してください。(BZ#1477912)

OVMF (Open Virtual Machine Firmware)

Red Hat Enterprise Linux 7 では、OVMF (Open Virtual Machine Firmware) がテクノロジープレビューとして利用できます。OVMF は、AMD64 および Intel 64 ゲストに対する、UEFI のセキュアブート環境です。ただし、OVMF は、RHEL 7 で利用可能な仮想化コンポーネントでは起動できません。OVMF は、RHEL 8 で完全に対応することに注意してください。(BZ#653382)

パート IV. デバイスドライバー

ここでは、Red Hat Enterprise Linux 7.4 で新規または更新されたすべてのデバイスドライバーの包括的な一覧を提供します。

第51章 新しいドライバー

ストレージドライバー

  • USB Type-C コネクタークラス (typec.ko.xz):
  • USB Type-C コネクターシステムソフトウェアインターフェイスドライバー (typec_ucsi.ko.xz):
  • TCM QLA2XXX シリーズ NPIV 対応ファブリックドライバー (tcm_qla2xxx.ko.xz):
  • Chelsio FCoE driver (csiostor.ko.xz): 1.0.0-ko

ネットワークドライバー

  • mac80211 用の 802.11 無線のソフトウェアシミュレーター (mac80211_hwsim.ko.xz):
  • Vsock 監視デバイス。nlmon デバイスに基づいています。(vsockmon.ko.xz):
  • Cavium LiquidIO Intelligent Server Adapter Virtual Function Driver (liquidio_vf.ko.xz): 1.6.1
  • Cavium LiquidIO Intelligent Server Adapter Driver (liquidio.ko.xz): 1.6.1
  • Mellanox ファームウェアフラッシュライブラリー (mlxfw.ko.xz):
  • インテル OPA 仮想ネットワークドライバー (opa_vnic.ko.xz):
  • Broadcom NetXtreme-C/E RoCE Driver Driver (bnxt_re.ko.xz):
  • VMware Paravirtual RDMA driver (vmw_pvrdma.ko.xz):

グラフィックスドライバーおよびその他のドライバー

  • ポンディシェリーメモリーコントローラーを使用する Intel SoC 用の MC ドライバー (pnd2_edac.ko.xz):
  • ALPS HID ドライバー (hid-alps.ko.xz):
  • インテルコーポレーション DAX デバイス (device_dax.ko.xz):
  • Synopsys DesignWare DMA Controller platform driver (dw_dmac.ko.xz):
  • Synopsys DesignWare DMA Controller core driver (dw_dmac_core.ko.xz);
  • Intel Sunrisepoint PCH pinctrl/GPIO ドライバー (pinctrl-sunrisepoint.ko.xz):
  • インテルルイスバーグ pinctrl/GPIO ドライバー (pinctrl-lewisburg.ko.xz):
  • Intel Cannon Lake PCH pinctrl/GPIO ドライバー (pinctrl-cannonlake.ko.xz):
  • インテルデンバートン SoC pinctrl/GPIO ドライバー (pinctrl-denverton.ko.xz):
  • Intel Gemini Lake SoC pinctrl/GPIO ドライバー (pinctrl-geminilake.ko.xz):
  • Intel pinctrl/GPIO コアドライバー (pinctrl-intel.ko.xz):

第52章 更新されたドライバー

ストレージドライバーの更新

  • QLogic ファイバーチャネル HBA ドライバー (qla2xxx.ko.xz) がバージョン 10.01.00.15.08.1-k1 に更新されました。
  • Cisco FCoE HBA ドライバー (fnic.ko.xz) がバージョン 1.6.0.34 に更新されました。
  • Emulex OneConnectOpen-iSCSI ドライバー (be2iscsi.ko.xz) がバージョン 11.4.0.1 に更新されました。
  • QLogic FCoE ドライバー (bnx2fc.ko.xz) がバージョン 2.12.13 に更新されました。
  • Microsemi Smart Family Controller ドライバー (smartpqi.ko.xz) がバージョン 1.1.2-126 に更新されました。
  • Emulex LightPulse Fibre Channel SCSI ドライバー (lpfc.ko.xz) がバージョン 0:12.0.0.13 に更新されました。
  • LSI MPT Fusion SAS 3.0 デバイスドライバー (mpt3sas.ko.xz) がバージョン 39.100.00.00 に更新されました。
  • QLogic QEDF 25/40/50/100Gb FCoE ドライバー (qedf.ko.xz) がバージョン 8.37.25.20 に更新されました。
  • Broadcom MegaRAID SAS ドライバー (megaraid_sas.ko.xz) がバージョン 07.719.03.00-rh1 に更新されました。
  • HP Smart Array Controller のドライバー (hpsa.ko.xz) がバージョン 3.4.20-170-RH5 に更新されました。

ネットワークドライバーの更新

  • realtek RTL8152/RTL8153 Based USB Ethernet Adapters (r8152.ko.xz) がバージョン v1.11.11 に更新されました。
  • Intel® 10 Gigabit PCI Express ネットワークドライバー (ixgbe.ko.xz) がバージョン 5.1.0-k-rh8.1.0 に更新されました。
  • Intel® Ethernet Switch Host Interface ドライバー (fm10k.ko.xz) がバージョン 0.26.1-k に更新されました。
  • Intel® Ethernet Connection XL710 ネットワークドライバー (i40e.ko.xz) がバージョン 2.8.20-k に更新されました。
  • Intel® 10 Gigabit Virtual Function ネットワークドライバー (ixgbevf.ko.xz) がバージョン 4.1.0-k-rh8.1.0 に更新されました。
  • Intel (R) XL710 X710 Virtual Function Network ドライバー (i40evf.ko.xz) がバージョン 3.0.1-k に更新されました。
  • Elastic Network Adapter (ENA) ドライバー (ena.ko.xz) がバージョン 1.2.0k に更新されました。
  • Cisco VIC イーサネット NIC ドライバー (enic.ko.xz) がバージョン 2.3.0.42 に更新されました。
  • Broadcom BCM573xx ネットワークドライバー (bnxt_en.ko.xz) がバージョン 1.10.0 に更新されました。
  • QLogic FastLinQ 4xxxx コアモジュールドライバー (qed.ko.xz) がバージョン 8.10.11.21 に更新されました。
  • QLogic 1/10 GbE コンバージド/インテリジェントイーサネットドライバー (qlcnic.ko.xz) がバージョン 5.3.66 に更新されました。
  • Mellanox ConnectX HCA イーサネットドライバー (mlx4_en.ko.xz) がバージョン 4.0-0 に更新されました。
  • Mellanox ConnectX HCA 低レベルドライバー (mlx4_core.ko.xz) がバージョン 4.0-0 に更新されました。
  • Mellanox Connect-IB、ConnectX-4 コアドライバー (mlx5_core.ko.xz) がバージョン 5.0-0 に更新されました。

グラフィックドライバーおよびその他のドライバーの更新

  • スタンドアロンの VMware SVGA デバイス drm ドライバー (vmwgfx.ko.xz) がバージョン 2.14.0.0 に更新されました。

パート V. 非推奨の機能

ここでは、Red Hat Enterprise Linux 7.4 までのすべてのマイナーリリースで非推奨になった機能の概要を説明します。
非推奨の機能は、Red Hat Enterprise Linux 7 のライフサイクルが終了するまでサポートされます。非推奨の機能は、本製品の今後のメジャーリリースではサポートされない可能性が高く、新たに実装することは推奨されません。特定のメジャーリリースにおける非推奨機能の最新情報は、そのメジャーリリースの最新バージョンのリリースノートを参照してください。
現行および今後のメジャーリリースでは、非推奨の ハードウェア コンポーネントの新規実装は推奨されません。ハードウェアドライバーの更新は、セキュリティーと重大な修正にのみ行われます。Red Hat は、このようなハードウェアの早期交換をお勧めします。
パッケージ が非推奨となり、使用の継続が推奨されない場合があります。製品からパッケージが削除されることもあります。その場合には、製品のドキュメントで、非推奨となったパッケージと同様、同一、またはより高度な機能を提供する最近のパッケージが指定され、詳しい推奨事項が記載されます。

第53章 Red Hat Enterprise Linux 7 での非推奨の機能

Python 2 が非推奨に

Python 2 は、次の Red Hat Enterprise Linux (RHEL) メジャーリリースで Python 3 に置き換えられます。
大規模なコードベースを Python 3 に移行する方法は Conservative Python 3 Porting Guide を参照してください。
Python 3 は RHEL のお客様が利用でき、Red Hat Software Collections の一部として RHEL でサポートされていることに注意してください。

LVM ライブラリーおよび LVM Python バインディングが非推奨に

lvm2-python-libs パッケージで提供されている lvm2app ライブラリーおよび LVM Python バインディングが非推奨となりました。
Red Hat は、代わりに以下のソリューションを推奨します。
  • LVM D-Bus API と lvm2-dbusd サービスの組み合わせ。このソリューションでは Python バージョン 3 を使用する必要があります。
  • JSON 形式の LVM コマンドラインユーティリティー。この形式は、lvm2 パッケージのバージョン 2.02.158 以降で利用できます。

LVM でのミラー化されたミラーログが非推奨に

ミラー化された LVM ボリュームでのミラー化されたミラーログ機能が非推奨となりました。Red Hat Enterprise Linux の今後のメジャーリリースでは、ミラー化されたミラーログを持つ LVM ボリュームの作成またはアクティブ化はサポートされない予定です。
推奨される代替ソリューションは以下のとおりです。
  • RAID1 LVM ボリューム。RAID1 ボリュームの優れた点は、劣化モードにおいても機能し、一時的な障害の後に回復できることです。ミラー化されたボリュームを RAID1 に変換する方法は論理ボリュームマネージャーの管理の ミラー化 LVM デバイスの RAID1 デバイスへの変換 セクションを参照してください。
  • ディスクのミラーログ。ミラー化されたミラーログをディスクのミラーログに変換するには、lvconvert --mirrorlog disk my_vg/my_lv コマンドを実行します。

Identity Management およびセキュリティーに関連する非推奨パッケージ

以下のパッケージは非推奨となり、Red Hat Enterprise Linux の今後のメジャーリリースには含まれません。
非推奨パッケージ 代替として提案されるパッケージまたは製品
authconfig authselect
pam_pkcs11 sssd [a]
pam_krb5 sssd [b]
openldap-servers ユースケースに応じて、Red Hat Enterprise Linux に同梱されている Identity Management または Red Hat Directory Server に移行します。[c]
mod_auth_kerb mod_auth_gssapi
python-kerberos
python-krbV
python-gssapi
python-requests-kerberos python-requests-gssapi
hesiod 代替パッケージ/製品はありません。
mod_nss mod_ssl
mod_revocator 代替パッケージ/製品はありません。
[a] SSSD (System Security Services Daemon) には、拡張スマートカード機能が含まれています。
[b] pam_krb5 から sssd への移行の詳細は、アップストリームの SSSD のドキュメント Migrating from pam_krb5 to sssd を参照してください。
[c] Red Hat Directory Server には、有効な Directory Server サブスクリプションが必要です。詳細は、Red Hat ナレッジベース What is the support status of the LDAP-server shipped with Red Hat Enterprise Linux? を参照してください。
注記
Red Hat Enterprise Linux 7.5 では、次のパッケージが上記の表に追加されました。
  • mod_auth_kerb
  • python-kerberos, python-krbV
  • python-requests-kerberos
  • hesiod
  • mod_nss
  • mod_revocator

初期の IdM サーバー、およびドメインレベル 0 の IdM レプリカに対するサポートが制限

Red Hat では、Red Hat Enterprise Linux (RHEL) 7.3 以前で動作している Identity Management (IdM) サーバーと、RHEL の次期メジャーリリースの IdM クライアントの組み合わせをサポートする計画はありません。RHEL の次期メジャーバージョンで動作するクライアントシステムを、現在 RHEL 7.3 以前で動作している IdM サーバーにより管理されているデプロイメントに導入することを計画している場合には、サーバーをアップグレードして RHEL 7.4 以降に移行する必要がある点に注意してください。
RHEL の次期メジャーリリースでは、ドメインレベル 1 のレプリカしかサポートされません。RHEL の次期メジャーバージョン上で動作する IdM レプリカを既存のデプロイメントに導入する前に、すべての IdM サーバーを RHEL 7.4 以降にアップグレードして、ドメインレベルを 1 に変更する必要がある点に注意してください。
使用しているデプロイメントが影響を受ける場合には、事前にアップグレードを計画することを検討してください。

バグ修正は、Red Hat Enterprise Linux の次期メジャーリリースの nss-pam-ldapd パッケージおよび NIS パッケージにのみ提供

Red Hat Enterprise Linux の今後のメジャーリリースでは、nss-pam-ldapd パッケージと、NIS server に関連するパッケージがリリースされる予定ですが、サポートの範囲は限定されます。Red Hat は、バグレポートを受け付けますが、新たな機能強化は対象外となります。以下の代替ソリューションに移行することが推奨されます:
影響を受けるパッケージ 代替として提案されるパッケージまたは製品
nss-pam-ldapd sssd
ypserv
ypbind
portmap
yp-tools
Red Hat Enterprise Linux の Identity Management

golang の代わりに Go Toolset を使用

golang パッケージは、Red Hat Enterprise Linux 7.5 でバージョン 1.9 に更新されました。
オプションチャンネルで利用可能な golang パッケージは、Red Hat Enterprise Linux 7 の今後のマイナーリリースから削除される予定です。開発者は、代わりに Go ツールセット を使用することをお勧めします。これは、Red Hat 開発者プログラム を通じてテクノロジープレビューとして現在利用できます。

mesa-private-llvmllvm-private に置き換え

Mesa の LLVM ベースのランタイムサポートが含まれる mesa-private-llvm パッケージは、Red Hat Enterprise Linux 7 の将来のマイナーリリースで llvm-private パッケージに置き換えられます。

libdbi および libdbi-drivers が非推奨に

libdbi パッケージおよび libdbi-drivers パッケージは、Red Hat Enterprise Linux (RHEL) の次期メジャーリリースには同梱されません。

Extras チャンネルの Ansible が非推奨に

Ansible およびその依存関係は、Extras チャンネルから更新されなくなりました。代わりに、Red Hat Enterprise Linux サブスクリプションで Red Hat Ansible Engine 製品を利用することができ、公式な Ansible Engine チャンネルにアクセスできます。エラータが Extras チャンネルから提供されなくなるため、これまで、Extras チャンネルから Ansible およびその依存関係をインストールしていた場合は、今後、Ansible Engine チャンネルを有効にしてこのチャンネルから更新を行うか、パッケージをアンインストールしてください。
これまで、Ansible は、(AMD64 および Intel 64 アーキティチャーならびに IBM POWER リトルエンディアン用として) Extras チャンネルで Red Hat Enterprise Linux (RHEL) システムロールのランタイム依存関係として提供され、サポートもこの範囲に限られていました。これからは、AMD64 および Intel 64 のアーキテクチャーで Ansible Engine を利用できます。IBM POWER については、近々リトルエンディアンへの対応が開始する予定です。
Extras チャンネルの Ansible は、Red Hat Enterprise Linux FIPS 検証プロセスに含まれていなかった点に注意してください。
以下のパッケージが Extras チャンネルで非推奨となりました。
  • ansible(-doc)
  • libtomcrypt
  • libtommath(-devel)
  • python2-crypto
  • python2-jmespath
  • python-httplib2
  • python-paramiko(-doc)
  • python-passlib
  • sshpass
詳細は、Red Hat ナレッジベースアーティクル https://access.redhat.com/articles/3359651 を参照してください。
テクノロジープレビューとして利用可能な Red Hat Enterprise Linux System Roles は、引き続き Extras チャネルを通じて配布されることに注意してください。Red Hat Enterprise Linux システムロールは ansible パッケージでは提供されなくなりますが、Red Hat Enterprise Linux システムロールを使用する playbook を実行するには、引き続き Ansible Engine リポジトリーから ansible をインストールする必要があります。

signtool は廃止されました

安全でない署名アルゴリズムを使用する nss パッケージの signtool ツールは廃止され、Red Hat Enterprise Linux の将来のマイナーリリースには含まれません。

TLS 圧縮機能のサポートを nss から削除

CRIME 攻撃などのセキュリティー関連リスクを回避するために、NSS ライブラリーにある TLS の全バージョンから、TLS 圧縮機能のサポートを削除しました。この変更では API の互換性は維持されます。

パブリック Web CA がデフォルトではコード署名で信頼されない

Red Hat Enterprise Linux 7.5 とともに配信される Mozilla CA 小聖書信頼一覧では、パブリック Web CA はコード署名として信頼されなくなりました。したがって、NSSOpenSSL 等の関連フラグを使用するソフトウェアは、デフォルトでこの CA をコード署名として信頼しなくなりました。このソフトウェアでは、引き続きコード署名による信頼性が完全にサポートされます。また、システム設定を使用して、引き続き CA 証明書を信頼できるコード署名として設定することは可能です。

Sendmail が非推奨に

Sendmail は、Red Hat Enterprise Linux 7 では非推奨になりました。Postfix を使用することが推奨されます。これは、デフォルトの MTA (Mail Transfer Agent) として設定されます。

dmraid が非推奨に

Red Hat Enterprise Linux 7.5 以降、dmraid パッケージが非推奨となっています。Red Hat Enterprise Linux 7 リリースでは引き続き利用可能ですが、今後のメジャーリリースでは、ハードウェア/ソフトウェアを組み合わせたレガシーハイブリッド RAID ホストバスアダプター (HBA) はサポートされません。

Automatic loading of DCCP modules through socket layer is now disabled by default

セキュリティー上の理由から、ソケットレイヤーからの Datagram Congestion Control Protocol (DCCP) カーネルモジュールの自動読み込みは、デフォルトでは無効になりました。これにより、悪意を持ったユーザー空間アプリケーションは、モジュールを読み込むことができません。All DCCP related modules can still be loaded manually through the modprobe program.
DCCP モジュールをブラックリストに登録する /etc/modprobe.d/dccp-blacklist.conf 設定ファイルが、カーネルパッケージに含まれています。これに含まれるエントリーを削除する場合は、このファイルを編集または削除して以前の動作を復元します。
同じカーネルパッケージまたは異なるバージョンのカーネルパッケージを再インストールしても、手動で加えた変更はオーバーライドされない点に注意してください。手動で変更した場合は、ファイルを手動で編集または削除してもパッケージのインストール後も維持されます。

rsyslog-libdbi が非推奨に

あまり使用されない rsyslog モジュールの 1 つが含まれる rsyslog-libdbi サブパッケージが非推奨となり、Red Hat Enterprise Linux の今後のメジャーリリースには含まれなくなります。使用されない、またはほとんど使用されないモジュールを削除すると、使用するデータベース出力を容易に探すことができます。

rsyslog imudp モジュールの inputname オプションが非推奨になりました。

rsyslog サービスヘの imudp モジュールの inputname オプションが非推奨になりました。代わりに name オプションを使用してください。

SMBv1 が Microsoft Windows 10 および 2016 (更新 1709 以降) にインストールされない

Microsoft 社は、最新バージョンの Microsoft Windows および Microsoft Windows Server に、SMBv1 (Server Message Block version 1) プロトコルをインストールしないと発表しました。また、Microsoft 社は、この製品の旧バージョンでは SMBv1 を無効にすることを推奨しています。
この変更により、Linux と Windows の複合環境でシステムを運用している場合に影響を受けます。Red Hat Enterprise Linux 7.1 以前では、バージョンが SMBv1 のプロトコルしかサポートされません。SMBv2 に対するサポートは、Red Hat Enterprise Linux 7.2 で導入されました。
この変更が Red Hat 製品にどのような影響を及ぼすかは、Red Hat ナレッジベースの SMBv1 no longer installed with latest Microsoft Windows 10 and 2016 update (version 1709) を参照してください。

FedFS が非推奨に

アップストリームの FedFS プロジェクトが積極的に保守されなくなったため、FedFS (Federated File System) が非推奨となりました。Red Hat は、FedFS のインストールを移行して autofs を使用することを推奨します。これにより、柔軟な機能が得られます。

Btrfs が非推奨に

Btrfs ファイルシステムは、Red Hat Enterprise Linux 6 の初回リリース以降、テクノロジープレビュー状態になっています。Red Hat は Btrfs を完全なサポート機能に移行する予定はなく、今後の Red Hat Enterprise Linux メジャーリリースで削除される予定です。
これまでに、Btrfs ファイルシステムは Red Hat Enterprise Linux 7.4 のアップストリームから各種更新を受け取っており、Red Hat Enterprise Linux 7 シリーズでは引き続き利用できます。ただし、この機能に対する更新はこれで最後となる予定です。

tcp_wrappers が非推奨に

tcp_wrappers パッケージが非推奨になりました。tcp_wrappers はライブラリーと、auditcyrus-imapdovecotnfs-utilsopensshopenldapproftpdsendmailsendmailsyslog-ngvsftpd などのさまざまなネットワークサービスに対する着信要求を監視およびフィルターリングできる小規模のデーモンを提供します。

nautilus-open-terminalgnome-terminal-nautilus に置き換えられる

Red Hat Enterprise Linux 7.3 以降、nautilus-open-terminal パッケージは非推奨になり、gnome-terminal-nautilus パッケージに置き換えられました。このパッケージは、Nautilus での右クリックコンテキストメニューに Open in Terminal オプションを追加する Nautilus 拡張機能を提供します。システムアップグレード中、nautilus-open-terminalgnome-terminal-nautilus に置き換えられます。

Python から削除された sslwrap()

sslwrap() 機能が Python 2.7 から削除されました。466 Python Enhancement Proposal が実装されて以降、この機能を使用するとセグメンテーションフォールトになります。この削除は、アップストリームと一致しています。
代わりに、ssl.SSLContext クラスと ssl.SSLContext.wrap_socket() 関数を使用することが推奨されます。ほとんどのアプリケーションでは、ssl.create_default_context() 関数を使用するだけで、安全なデフォルト設定でコンテキストを作成できます。デフォルトのコンテキストでは、システムのデフォルトのトラストストアが使用されます。

依存関係としてリンク付けされたライブラリーのシンボルが、ld では解決されない

以前のリリースでは、リンク付けされた任意のライブラリーのシンボルがすべて ld リンカーによって解決されていました (他のライブラリーの依存関係として暗示的にしかリンク付けされていない場合も同様)。そのため、開発者が暗示的にリンク付けされたライブラリーのシンボルをアプリケーションコードに使用するのに、これらのライブラリーのリンクを明示的に指定する必要はありませんでした。
セキュリティー上の理由から ld が変更し、依存関係として暗黙的にリンク付けされたライブラリーのシンボルに対する参照を解決しないようになりました。
これにより、ライブラリーのリンクを宣言せず依存関係として暗黙的にしかリンク付けしていない場合には、アプリケーションコードでそのライブラリーのシンボルの使用を試みると、ld とのリンクに失敗します。依存関係としてリンク付けされたライブラリーのシンボルを使用する場合、開発者はこれらのライブラリーとも明示的にリンク付けする必要があります。
ld の以前の動作を復元するには、コマンドラインオプション -copy-dt-needed-entries を使用します。(BZ#1292230)

Windows ゲスト仮想マシンのサポートが限定

Red Hat Enterprise Linux 7 以降、Windows ゲスト仮想マシンは、Advanced Mission Critical (AMC) などの特定のサブスクリプションプログラムにおいてのみサポートされています。

libnetlink が非推奨に

iproute-devel に含まれるlibnetlink ライブラリーが非推奨となりました。代わりに、libnl ライブラリーおよび libmnl ライブラリーを使用する必要があります。

KVM の S3 および S4 の電源管理状態が非推奨に

S3 (Suspend to RAM) および S4 (Suspend to Disk) の電源管理状態に対する KVM のネイティブサポートが廃止されました。この機能は、以前はテクノロジープレビューとして提供されていました。

Certificate Server の udnPwdDirAuth プラグインが廃止

Red Hat Certificate Server の udnPwdDirAuth 認証プラグインは、Red Hat Enterprise Linux 7.3 で削除されました。このプラグインを使用するプロファイルはサポートされなくなりました。証明書が udnPwdDirAuth プラグインを使用するプロファイルで作成され、承認されている場合は有効のままになります。

IdM 向けの Red Hat Access プラグインが廃止

Red Hat Enterprise Linux 7.3 で、Identity Management (IdM) 向けの Red Hat Access プラグインが廃止されました。更新中に、redhat-access-plugin-ipa が自動的にアンインストールされます。ナレッジベースへのアクセスやサポートケースエンゲージメントなど、このプラグインにより提供されていた機能は、Red Hat カスタマーポータルで引き続き利用できます。Red Hat では、redhat-support-tool ツールなどの代替手段を使用することを推奨しています。

統合方式のシングルサインオン向けの Ipsilon 認証プロバイダーサービス

ipsilon パッケージは、Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして導入されました。Ipsilon は認証プロバイダーと、アプリケーションまたはユーティリティーをリンクして、シングルサインオン (SSO) を可能にします。
Red Hat は、テクノロジープレビューの Ipsilon を、完全にサポートされる機能にアップグレードする予定はありません。ipsilon パッケージは、今後のマイナーリリースで Red Hat Enterprise Linux から削除される予定です。
Red Hat は、Keycloak コミュニティープロジェクトをベースとした Web SSO ソリューションとして Red Hat Single Sign-On をリリースしました。Red Hat Single Sign-On は、Ipsilon よりも優れた機能を提供し、Red Hat の製品ポートフォリオ全体の標準 Web SSO ソリューションとして設計されています。

rsyslog オプションの一部が非推奨に

Red Hat Enterprise Linux 7.4 の rsyslog ユーティリティーバージョンでは、多くのオプションが非推奨になりました。これらのオプションは有効ではなくなり、警告が表示されます。
  • -c-u-q-x-A-Q-4、および -6 のオプションが以前提供していた機能は、rsyslog 設定を使用して実現できます。
  • -l および -s オプションが以前提供していた機能の代替はありません。

memkind ライブラリーで非推奨のシンボル

memkind ライブラリーでは、以下のシンボルが非推奨になりました。
  • memkind_finalize()
  • memkind_get_num_kind()
  • memkind_get_kind_by_partition()
  • memkind_get_kind_by_name()
  • memkind_partition_mmap()
  • memkind_get_size()
  • MEMKIND_ERROR_MEMALIGN
  • MEMKIND_ERROR_MALLCTL
  • MEMKIND_ERROR_GETCPU
  • MEMKIND_ERROR_PMTT
  • MEMKIND_ERROR_TIEDISTANCE
  • MEMKIND_ERROR_ALIGNMENT
  • MEMKIND_ERROR_MALLOCX
  • MEMKIND_ERROR_REPNAME
  • MEMKIND_ERROR_PTHREAD
  • MEMKIND_ERROR_BADPOLICY
  • MEMKIND_ERROR_REPPOLICY

SCTP (RFC 6458) のソケットの API 拡張オプションが非推奨に

ストリーム制御伝送プロトコルにおけるソケット API 拡張機能の SCTP_SNDRCV オプション、SCTP_EXTRCV オプション、および SCTP_DEFAULT_SEND_PARAM オプションは、RFC 6458 の仕様に従い非推奨になりました。
非推奨になったオプションの代替オプションとして、SCTP_SNDINFOSCTP_NXTINFOSCTP_NXTINFO、および SCTP_DEFAULT_SNDINFO が実装されています。

SSLv2 および SSLv3 を使用した NetApp ONTAP の管理は、libstorageMgmt ではサポートされなくなりました。

NetApp ONTAP ストレージアレイへの SSLv2 および SSLv3 の接続は、libstorageMgmt ライブラリーではサポートされなくなりました。ユーザーは、NetApp サポートに連絡して Transport Layer Security (TLS) プロトコルを有効にすることができます。

dconf-dbus-1 が非推奨になり、dconf-editor が個別に提供されるようになりました。

今回の更新で、dconf-dbus-1 API が削除されました。ただし、バイナリーの互換性を維持するために、dconf-dbus-1 ライブラリーがバックポートされています。Red Hat では、dconf-dbus-1 の代わりに GDBus ライブラリーを使用することを推奨しています。
dconf-error.h ファイルの名前が dconf-enums.h に変更されました。さらに、dconf Editor が別の dconf-editor パッケージで配布されるようになりました。

FreeRADIUSAuth-Type := System を受け付けなくなりました。

FreeRADIUS サーバーは、rlm_unix 認証モジュールの Auth-Type := System オプションを受け付けなくなりました。このオプションは、設定ファイルの authorizeunix モジュールを使用することで置き換えられます。

非推奨となったデバイスドライバー

以下のデバイスドライバーは、Red Hat Enterprise Linux 7 のライフサイクルが終了するまでサポートされます。ただし、本製品の今後のメジャーリリースではサポートされない可能性が高いため、新たに実装することは推奨されません。
  • 3w-9xxx
  • 3w-sas
  • aic79xx
  • 青江
  • arcmsr
  • ata ドライバー:
    • acard-ahci
    • sata_mv
    • sata_nv
    • sata_promise
    • sata_qstor
    • sata_sil
    • sata_sil24
    • sata_sis
    • sata_svw
    • sata_sx4
    • sata_uli
    • sata_via
    • sata_vsc
  • bfa
  • cxgb3
  • cxgb3i
  • hptiop
  • isci
  • iw_cxgb3
  • mptbase
  • mptctl
  • mptsas
  • mptscsih
  • mptspi
  • mtip32xx
  • mvsas
  • mvumi
  • OSD ドライバー:
    • osd
    • libosd
  • osst
  • パタドライバー:
    • pata_acpi
    • pata_ali
    • pata_amd
    • pata_arasan_cf
    • pata_artop
    • pata_atiixp
    • pata_atp867x
    • pata_cmd64x
    • pata_cs5536
    • pata_hpt366
    • pata_hpt37x
    • pata_hpt3x2n
    • pata_hpt3x3
    • pata_it8213
    • pata_it821x
    • pata_jmicron
    • pata_marvell
    • pata_netcell
    • pata_ninja32
    • pata_oldpiix
    • pata_pdc2027x
    • pata_pdc202xx_old
    • pata_piccolo
    • pata_rdc
    • pata_sch
    • pata_serverworks
    • pata_sil680
    • pata_sis
    • pata_via
    • pdc_adma
  • pm80xx(pm8001)
  • pmcraid
  • qla3xxx
  • ステックス
  • sx8
  • ufshcd

非推奨のアダプター

  • aacraid ドライバーの以下のアダプターが非推奨になりました。
    • PERC 2/Si (Iguana/PERC2Si), PCI ID 0x1028:0x0001
    • PERC 3/Di (Opal/PERC3Di), PCI ID 0x1028:0x0002
    • PERC 3/Si (SlimFast/PERC3Si)、PCI ID 0x1028:0x0003
    • PERC 3/Di (Iguana FlipChip/PERC3DiF), PCI ID 0x1028:0x0004
    • PERC 3/Di (バイパー/PERC3DiV)、PCI ID 0x1028:0x0002
    • PERC 3/Di (レクサス/PERC3DiL)、PCI ID 0x1028:0x0002
    • PERC 3/Di (ジャガー/PERC3DiJ)、PCI ID 0x1028:0x000a
    • PERC 3/Di (Dagger/PERC3DiD), PCI ID 0x1028:0x000a
    • PERC 3/Di (ボクスター/PERC3DiB)、PCI ID 0x1028:0x000a
    • カタパルト、PCI ID 0x9005:0x0283
    • tomcat, PCI ID 0x9005:0x0284
    • Adaptec 2120S (クルセイダー)、PCI ID 0x9005:0x0285
    • Adaptec 2200S (バルカン)、PCI ID 0x9005:0x0285
    • Adaptec 2200S (Vulcan-2m)、PCI ID 0x9005:0x0285
    • レジェンド S220 (レジェンドクルセイダー)、PCI ID 0x9005:0x0285
    • レジェンド S230 (レジェンドバルカン)、PCI ID 0x9005:0x0285
    • Adaptec 3230S (ハリアー)、PCI ID 0x9005:0x0285
    • Adaptec 3240S (トルネード)、PCI ID 0x9005:0x0285
    • ASR-2020ZCR SCSI PCI-X ZCR (Skyhawk)、PCI ID 0x9005:0x0285
    • ASR-2025ZCR SCSI SO-DIMM PCI-X ZCR (ターミネータ)、PCI ID 0x9005:0x0285
    • ASR-2230S + ASR-2230SLP PCI-X (ランサー)、PCI ID 0x9005:0x0286
    • ASR-2130S (ランサー)、PCI ID 0x9005:0x0286
    • AAR-2820SA (侵入者)、PCI ID 0x9005:0x0286
    • AAR-2620SA (侵入者)、PCI ID 0x9005:0x0286
    • AAR-2420SA (侵入者)、PCI ID 0x9005:0x0286
    • ICP9024RO (ランサー)、PCI ID 0x9005:0x0286
    • ICP9014RO (ランサー)、PCI ID 0x9005:0x0286
    • ICP9047MA (ランサー)、PCI ID 0x9005:0x0286
    • ICP9087MA (ランサー)、PCI ID 0x9005:0x0286
    • ICP5445AU (Hurricane44)、PCI ID 0x9005:0x0286
    • ICP9085LI (マローダー -X)、PCI ID 0x9005:0x0285
    • ICP5085BR (マローダー -E)、PCI ID 0x9005:0x0285
    • ICP9067MA (侵入者 -6)、PCI ID 0x9005:0x0286
    • Themisto Jupiter プラットフォーム、PCI ID 0x9005:0x0287
    • Themisto Jupiter プラットフォーム、PCI ID 0x9005:0x0200
    • Callisto Jupiter プラットフォーム、PCI ID 0x9005:0x0286
    • ASR-2020SA SATA PCI-X ZCR (Skyhawk)、PCI ID 0x9005:0x0285
    • ASR-2025SA SATA SO-DIMM PCI-X ZCR (ターミネーター)、PCI ID 0x9005:0x0285
    • AAR-2410SA PCI SATA 4ch (ジャガー II)、PCI ID 0x9005:0x0285
    • CERC SATA RAID 2 PCI SATA 6ch (DellCorsair)、PCI ID 0x9005:0x0285
    • AAR-2810SA PCI SATA 8ch (Corsair-8)、PCI ID 0x9005:0x0285
    • AAR-21610SA PCI SATA 16ch (Corsair-16)、PCI ID 0x9005:0x0285
    • ESD SO-DIMM PCI-X SATA ZCR (プラウラー)、PCI ID 0x9005:0x0285
    • AAR-2610SA PCI SATA 6ch、PCI ID 0x9005:0x0285
    • ASR-2240S (SabreExpress)、PCI ID 0x9005:0x0285
    • ASR-4005, PCI ID 0x9005:0x0285
    • IBM 8i (AvonPark), PCI ID 0x9005:0x0285
    • IBM 8i (AvonPark Lite)、PCI ID 0x9005:0x0285
    • IBM 8k/8k-l8 (オーロラ)、PCI ID 0x9005:0x0286
    • IBM 8k/8k-l4 (Aurora Lite)、PCI ID 0x9005:0x0286
    • ASR-4000 (BlackBird), PCI ID 0x9005:0x0285
    • ASR-4800SAS (マローダー -X)、PCI ID 0x9005:0x0285
    • ASR-4805SAS (マローダー -E)、PCI ID 0x9005:0x0285
    • ASR-3800 (Hurricane44)、PCI ID 0x9005:0x0286
    • Perc 320/DC、PCI ID 0x9005:0x0285
    • Adaptec 5400S (ムスタング)、PCI ID 0x1011:0x0046
    • Adaptec 5400S (ムスタング)、PCI ID 0x1011:0x0046
    • Dell PERC2/QC、PCI ID 0x1011:0x0046
    • HP NetRAID-4M, PCI ID 0x1011:0x0046
    • Dell キャッチオール、PCI ID 0x9005:0x0285
    • 凡例キャッチオール、PCI ID 0x9005:0x0285
    • Adaptec Catch All、PCI ID 0x9005:0x0285
    • Adaptec Rocket Catch All、PCI ID 0x9005:0x0286
    • Adaptec NEMER/ARK Catch All、PCI ID 0x9005:0x0288
  • mpt2sas ドライバーの次のアダプターは非推奨になりました:
    • SAS2004、PCI ID 0x1000:0x0070
    • SAS2008、PCI ID 0x1000:0x0072
    • SAS2108_1、PCI ID 0x1000:0x0074
    • SAS2108_2、PCI ID 0x1000:0x0076
    • SAS2108_3、PCI ID 0x1000:0x0077
    • SAS2116_1、PCI ID 0x1000:0x0064
    • SAS2116_2、PCI ID 0x1000:0x0065
    • SSS6200、PCI ID 0x1000:0x007E
  • megaraid_sas ドライバーの次のアダプターは非推奨になりました:
    • Dell PERC5、PCI ID 0x1028:0x15
    • SAS1078R、PCI ID 0x1000:0x60
    • SAS1078DE、PCI ID 0x1000:0x7C
    • SAS1064R、PCI ID 0x1000:0x411
    • VERDE_ZCR、PCI ID 0x1000:0x413
    • SAS1078GEN2、PCI ID 0x1000:0x78
    • SAS0079GEN2、PCI ID 0x1000:0x79
    • SAS0073SKINNY、PCI ID 0x1000:0x73
    • SAS0071SKINNY、PCI ID 0x1000:0x71
  • qla2xxx ドライバーの以下のアダプターが非推奨になりました。
    • ISP24xx、PCI ID 0x1077:0x2422
    • ISP24xx、PCI ID 0x1077:0x2432
    • ISP2422、PCI ID 0x1077:0x5422
    • QLE220、PCI ID 0x1077:0x5432
    • QLE81xx、PCI ID 0x1077:0x8001
    • QLE10000、PCI ID 0x1077:0xF000
    • QLE84xx、PCI ID 0x1077:0x8044
    • QLE8000、PCI ID 0x1077:0x8432
    • QLE82xx、PCI ID 0x1077:0x8021
  • qla4xxx ドライバーの以下のアダプターが非推奨になりました。
    • QLOGIC_ISP8022、PCI ID 0x1077:0x8022
    • QLOGIC_ISP8324、PCI ID 0x1077:0x8032
    • QLOGIC_ISP8042、PCI ID 0x1077:0x8042
  • be2net ドライバーが制御する次のイーサネットアダプターが非推奨になりました。
    • TIGERSHARK NIC, PCI ID 0x0700
  • be2iscsi ドライバーの以下のコントローラーが非推奨になりました。
    • Emulex OneConnect 10Gb iSCSI イニシエーター (一般)、PCI ID 0x212
    • OCe10101、OCm10101、OCe10102、OCm10102 BE2 アダプターファミリー、PCI ID 0x702
    • OCe10100 BE2 アダプターファミリー、PCI ID 0x703
  • lpfc ドライバーの以下のアダプターが非推奨になりました。
    • BladeEngine 2 (BE2) デバイス
      • TIGERSHARK FCOE, PCI ID 0x0704
    • ファイバーチャネル (FC) デバイス
      • FIREFLY, PCI ID 0x1ae5
      • PROTEUS_VF, PCI ID 0xe100
      • BALIUS, PCI ID 0xe131
      • PROTEUS_PF, PCI ID 0xe180
      • RFLY, PCI ID 0xf095
      • PFLY, PCI ID 0xf098
      • LP101, PCI ID 0xf0a1
      • TFLY, PCI ID 0xf0a5
      • BSMB, PCI ID 0xf0d1
      • BMID, PCI ID 0xf0d5
      • ZSMB, PCI ID 0xf0e1
      • ZMID, PCI ID 0xf0e5
      • NEPTUNE, PCI ID 0xf0f5
      • NEPTUNE_SCSP, PCI ID 0xf0f6
      • NEPTUNE_DCSP, PCI ID 0xf0f7
      • FALCON, PCI ID 0xf180
      • SUPERFLY, PCI ID 0xf700
      • DRAGONFLY, PCI ID 0xf800
      • CENTAUR, PCI ID 0xf900
      • PEGASUS, PCI ID 0xf980
      • THOR, PCI ID 0xfa00
      • VIPER, PCI ID 0xfb00
      • LP10000S, PCI ID 0xfc00
      • LP11000S, PCI ID 0xfc10
      • LPE11000S, PCI ID 0xfc20
      • PROTEUS_S, PCI ID 0xfc50
      • HELIOS, PCI ID 0xfd00
      • HELIOS_SCSP, PCI ID 0xfd11
      • HELIOS_DCSP, PCI ID 0xfd12
      • ZEPHYR, PCI ID 0xfe00
      • HORNET, PCI ID 0xfe05
      • ZEPHYR_SCSP, PCI ID 0xfe11
      • ZEPHYR_DCSP, PCI ID 0xfe12
システムでハードウェアの PCI ID を確認するには、lspci -nn コマンドを実行します。
ここに記載されていない、上述のドライバーのその他のアダプターには変更がありません。

libcxgb3 ライブラリーおよび cxgb3 ファームウェアパッケージが非推奨に

libibverbs パッケージおよび cxgb3 ファームウェアパッケージが提供する libcxgb3 ライブラリーは非推奨になりました。Red Hat Enterprise Linux 7 では引き続きサポートされますが、この製品の次期メジャーリリースではサポートされません。この変更は、上記の cxgb3 ドライバー、cxgb3i ドライバー、および iw_cxgb3 ドライバーの非推奨に対応しています。

SFN4XXX アダプターが非推奨に

Red Hat Enterprise Linux 7.4 以降、SFN4XXX Solarflare ネットワークアダプターが非推奨となっています。以前は、Solarflare のすべてのアダプターに対して、ドライバーは 1 つ (sfc) でした。最近では、SFN4XXX への対応が sfc から分割され、sfc-falcon と呼ばれる新しい SFN4XXX 専用ドライバーに変更されました。現時点では、両方のドライバーが引き続きサポートされていますが、sfc-falcon および SFN4XXX のサポートは、今後のメジャーリリースで削除される予定です。

Software-initiated-only FCoE ストレージ技術が非推奨に

Fibre Channel over Ethernet (FCoE) ストレージ技術の software-initiated-only タイプは、広く使用されなかったため非推奨となりました。software-initiated-only ストレージ技術は、Red Hat Enterprise Linux 7 のライフサイクル期間中はサポートされます。非推奨化の通知では、Red Hat Enterprise Linux の今後のメジャーリリースでは software-initiated ベースの FCoE がサポートされない意向が示されています。
ハードウェアサポートおよび関連ユーザー領域ツール (libfc ドライバー、libfcoe ドライバーなど) は、この非推奨通知の影響を受けません。

libvirt-lxc ツールを使用したコンテナーが非推奨に

以下のlibvirt-lxcパッケージは、Red Hat Enterprise Linux 7.1 以降で非推奨になりました。
  • libvirt-daemon-driver-lxc
  • libvirt-daemon-lxc
  • libvirt-login-shell
Linux コンテナーフレームワークに関する今後の開発は、docker コマンドラインインターフェイスをベースにしています。libvirt-lxc ツールは今後の Red Hat Enterprise Linux リリース (Red Hat Enterprise Linux 7 を含む) からは削除される可能性があるため、カスタムなコンテナー管理アプリケーションを開発する際には依存しないようにしてください。
詳細は、Red Hat KnowledgeBase article を参照してください。

パート VI. 既知の問題

ここでは、Red Hat Enterprise Linux 7.4 の既知の問題について説明します。

第54章 認証および相互運用性

軽量 CA キーの取得に失敗した後にクラッシュが報告される

Identity Management (IdM) を使用している場合、ライトウェイト認証局 (CA) キーの取得が何らかの理由で失敗すると、操作は例外をキャッチせずに予期せず終了します。例外により、クラッシュレポートが生成されます。(BZ#1478366)

設定が正しくない場合、OpenLDAP によりプログラムがすぐに失敗する

以前は、Network Security Services (Mozilla NSS) の Mozilla 実装は、OpenLDAP スイートの特定の設定ミスを黙って無視していたため、接続の確立時にのみプログラムが失敗していました。今回の更新で、OpenLDAP は Mozilla NSS から OpenSSL に切り替わりました (BZ# のリリースノートを参照してください)1400578)。OpenSSL を使用すると、TLS コンテキストがすぐに確立されるため、プログラムはすぐに失敗します。この動作により、動作していない TLS ポートを開いたままにしておくなど、潜在的なセキュリティーリスクが回避されます。
この問題を回避するには、OpenLDAP 設定を確認して修正します。(BZ#1515833)

CACertFile または CACertDir が無効な場所を指している場合、OpenLDAP が失敗を報告する

以前は、CACertFile または CACertDir オプションが読み取り不能またはその他の方法でアンロード可能な場所を指している場合、ネットワークセキュリティーサービス (Mozilla NSS) の Mozilla 実装は、必ずしもそれを設定ミスと見なしませんでした。今回の更新により、OpenLDAP スイートは Mozilla NSS から OpenSSL に切り替わりました (BZ# のリリースノートを参照してください)。1400578)。OpenSSL では、CACertFile または CACertDir がそのような無効な場所を指している場合、問題は黙って無視されなくなりました。
失敗を回避するには、誤って設定されたオプションを削除するか、ロード可能な場所を指していることを確認してください。
さらに、OpenLDAP は、CACertDir が指すディレクトリーの内容に対してより厳格なルールを適用するようになりました。このディレクトリーで証明書を使用しているときにエラーが発生した場合は、ディレクトリーが矛盾した状態にある可能性があります。この問題を解決するには、フォルダー に対して cacertdir_rehash コマンドを実行します。
CACertFile および CACertDir の詳細については、ldap.conf (5)、slapd.conf (5)、slapd-config (5)、および ldap_set_option (3) のマニュアルページを参照してください。BZ#910453, BZ#910897

cn=config で一貫性のない変更を行った後、OpenLDAP が TLS 設定を更新しない

今回の更新により、OpenLDAP は Network Security Services (Mozilla NSS) の Mozilla 実装から OpenSSL に切り替わりました (BZ# のリリースノートを参照してください)。1400578)。OpenSSL では、cn=config データベース内の TLS 設定の一貫性のない変更により、サーバー上の TLS プロトコルが壊れ、設定が期待どおりに更新されません。この問題を回避するには、変更レコードを 1 つだけ使用して cn=config の TLS 設定を更新します。変更レコードの定義については、ldif (5) のマニュアルページを参照してください。(BZ#1524193)

Identity Management が予期せず接続を終了する

Directory Server のバグにより、Identity Management (IdM) は一定時間後に予期せず接続を終了し、認証は次のエラーで失敗します。
kinit: Generic error (see e-text) while getting initial credentials
この問題は、オフラインメディアから Red Hat Enterprise Linux 7.5 に IdM をインストールした場合に発生します。この問題を回避するには、yum update を実行して、問題を修正する更新された 389-ds-base パッケージを受け取ります。(BZ#1544477)

シャットダウン中に Directory Server が予期せず終了することがある

Directory Server は、nunc-stans フレームワークを使用して接続イベントを管理します。サーバーのシャットダウン時に接続が閉じられた場合、nunc-stans ジョブは解放された接続構造にアクセスできます。その結果、Directory Server が予期せず終了する可能性があります。この状況はシャットダウンプロセスの後期に発生するため、データが破損したり失われたりすることはありません。現在、回避策はありません。(BZ#1517383)

第55章 クラスタリング

el7 カーネルを使用した VDO 上の RAID 10 再形成でデータ破損が発生します。

VDO 上の RAID 10 reshape (LVM と mdadm の両方を使用) はデータを破損し、最終的には raid10.c:1011 カーネルバグを引き起こす可能性があります。VDO の上に RAID 10 (または他の RAID タイプ) をスタックしても、VDO の重複排除/圧縮機能を利用できないため、推奨されません。(BZ#1528466, BZ#1530776)

第56章 コンパイラーおよびツール

libcurl を使用するアプリケーションのメモリー消費量は、TLS 接続ごとに増加します

ネットワークセキュリティーサービス (NSS) の PK11_DestroyGenericObject () 関数は、PK11_CreateGenericObject () によって割り当てられたリソースを十分早く解放しません。したがって、libcurl パッケージを使用するアプリケーションによって割り当てられるメモリーは、TLS 接続ごとに増加する可能性があります。
この問題を回避するには、以下を実行します。
  • 可能な場合は既存の TLS 接続を再利用するか、
  • libcurl を使用してファイルから証明書とキーを直接ロードする代わりに、NSS データベースから証明書とキーを使用します (BZ# 1510247)。

OProfileperf は、NMI ウォッチドッグが無効になっている場合、第 2 世代 Intel Xeon Phi プロセッサーでイベントをサンプリングできません

パフォーマンスカウンターのハードウェアエラーが原因で、デフォルトのハードウェアイベント CPU_CLK_UNHALTED を使用したパフォーマンスイベントのサンプリングが、第 2 世代インテル Xeon Phi プロセッサーで失敗する場合があります。その結果、NMI ウォッチドッグが無効になっていると、OProfile および perf ツールはサンプルの受信に失敗します。この問題を回避するには、perf または operf コマンドを実行する前に NMI ウォッチドッグを有効にします。
echo 1 > /proc/sys/kernel/nmi_watchdog
...
operf some_examined_program
opreport
...
この回避策では、選択したツールのみが正常に動作し、NMI ウォッチドッグは正常に動作しないことに注意してください。これは、誤ったカウンターを使用する NMI ウォッチドッグに基づいているためです。(BZ#1536004)

KEYBD トラップを使用した ksh がマルチバイト文字を誤って処理

Korn Shell (KSH) は、KEYBD トラップが有効な場合にマルチバイト文字を正しく処理できません。したがって、たとえばユーザーが日本語の文字を入力すると、ksh には間違った文字列が表示されます。この問題を回避するには、以下の行をコメントアウトして、/etc/kshrc ファイルの KEYBD トラップを無効にします。
trap keybd_trap KEYBD
詳細は、ナレッジベースソリューション ksh displays multibyte characters incorrectly when 'KEYBD trap' is enabled in profile file を参照してください。(BZ#1503922)

第57章 デスクトップ

ダウンロードした RPM ファイルを Nautilus からインストールできない

PackageKityum バックエンドは、ローカルファイルに関する詳細の取得をサポートしていません。その結果、Nautilus ファイルマネージャーで RPM ファイルをダブルクリックすると、ファイルがインストールされず、次のエラーメッセージが返されます。
Sorry, this did not work, File is not supported
この問題を回避するには、gnome-packagekit パッケージをインストールしてダブルクリックアクションを処理するか、yum ユーティリティーを使用してファイルを手動でインストールします。(BZ#1434477)

Caps Lock LED の状態

UTF-8 キーマップを使用している場合、Caps Lock 機能が正常に動作していても、TTY モードでは Caps Lock LED が更新されません。LED を正しく更新するには、Red Hat Enterprise Linux 7.5 以降、管理者は次のように/etc/udev/rules.d/99-kbd.rules 設定ファイルを作成する必要があります。
ACTION=="add", SUBSYSTEM=="leds",
ENV{DEVPATH}=="*/input*::capslock",
ATTR{trigger}="kbd-ctrlllock"
新しい udev ルールをリロードするには、次のコマンドを実行します。
# udevadm control --reload-rules
# udevadm trigger
この変更後、Caps Lock キーを押すと、Caps Lock LED のステータスが期待どおりに変わります。BZ#910453, BZ#910897

一貫性のない GNOME シェル バージョン

GNOME デスクトップ環境は現在、さまざまなバージョンの GNOME Shell を表示しています。たとえば、gnome-shell --version コマンドによって返されるバージョンは、SettingsDetails セクションにあるバージョンとは異なります。(BZ#1511454)

flatpak の 32 ビットバージョンをアンインストールします。

multilib の競合を防ぐため、Red Hat Enterprise Linux 7.5 に更新する前に flatpak パッケージの 32 ビットバージョンをアンインストールすることをお勧めします。(BZ#1512940)

GNOME のダウングレードが機能しない

Red Hat Enterprise Linux 7.4 で導入された新しいバージョンの GNOME (3.22) では、yum downgrade または dnf downgrade コマンドを使用して GNOME をバージョン 3.22 から 3.14 にダウングレードすることはできなくなりました。唯一の回避策は、GNOME 関連のパッケージを古いバージョンに置き換えることです。手動でダウングレードする場合は、GNOME 3.16-3.22 のリリースノートを読んで、失われている機能を見つけてください。(BZ#1451876)

Wayland は、仮想マシンビューアーなどの X11 アプリケーションのキーボードグラブを無視します。

現在、XWayland サーバーを介して実行している場合、リモートデスクトップビューアーや仮想マシンマネージャーなど、X11 ソフトウェアに依存するグラフィカルクライアントは、独自に使用するシステムキーボードショートカットを取得できません。その結果、virt-manager ゲストディスプレイなどのゲストウィンドウでこれらのショートカットを有効にすると、ゲストではなくローカルデスクトップに影響します。
この問題を回避するには、Wayland ショートカットインヒビタープロトコルをサポートする Wayland ネイティブクライアントを使用するか、X11 でデフォルトの GNOME セッションに切り替えて、システムキーボードショートカットを必要とする X11クライアント を実行します。
Wayland はテクノロジープレビューとして利用できることに注意してください。(BZ#1500397)

スーパーユーザーはグラフィカルセッションを実行しないでください

root ユーザーのグラフィカルセッションを開くと、さまざまなバグが発生します。その理由は、グラフィカルセッションは、重大で予期しない問題を引き起こす可能性があり、安全ではなく、Unix の原則に反するため、スーパーユーザーが使用することを意図していないためです。(BZ#1539772)

remote-viewer および virt-viewer によって参照される VM でキーボードが機能しない

Wayland セッション内で実行すると、remote-viewer および virt-viewer ユーティリティーは仮想マシンの主要なイベントを認識しません。さらに、Xwayland は次のエラーを報告します。
send_key: assertion 'scancode != 0'
(BZ#1540056)

gnome-system-logWayland で機能しない

現在、Wayland セッションにログインしている場合、root ユーザーはユーザーの Xwayland ディスプレイにアクセスできません。その結果、ターミナルで gnome-system-log ユーティリティーを実行しても、システムログファイルは表示されません。
この問題を回避するには、次の xhost サーバーアクセス制御プログラムを次のように実行します。
$ xhost +si:localuser:root
(BZ#1537529)

GUI 画面が正しく表示されない

Emulex Pilot2 および Pilot3 カードの X ドライバーには、色深度 16 で実行する場合のバグが含まれています。このバグにより、この深さではグラフィック表示が使用できなくなります。
一部の設定でディスプレイを使用できるようにするには、24 bpp イメージ形式を使用します。または、ShadowFB off オプションを使用して、xorg.conf ファイルでシャドウフレームバッファー抽象化レイヤーを無効にします。シャドウ frambuffer を無効にすると、パフォーマンスに重大な影響を与える可能性があることに注意してください。(BZ#1499129)

xrandr が一部のビデオモードを提供できない

X11 のさまざまなビデオドライバーには、ディスプレイ解像度を追加するためのさまざまなヒューリスティックがあります。特に、Intel および汎用モード設定ドライバーは、一部のラップトップディスプレイに対して異なるビデオモードセットを提供します。そのため、一部の非ネイティブビデオモードは、すべての設定で使用できない場合があります。
この問題を回避するには、別のビデオドライバーを使用するか、xrandr (1) コマンドラインユーティリティーを使用して出力に解像度を手動で追加します。(BZ#1478625)

radeon がハードウェアを適切なハードウェアリセットに失敗します。

現在、radeon カーネルドライバーは、kexec コンテキストでハードウェアを正しくリセットしません。代わりに radeon がフェイルオーバーします。これにより、kdump サービスの残りの部分が失敗します。
このバグを回避するには、/etc/kdump.conf ファイルに以下の行を追加して、kdumpradeon をブラックリストとして追加します。
dracut_args --omit-drivers "radeon"
force_rebuild 1
マシンと kdump を再起動します。kdumpの起動後、設定ファイルから force_rebuild 1 行が削除される可能性があります。
このシナリオでは、kdump 時にグラフィックは利用できませんが、kdump は問題なく完了します。(BZ#1509444)

nouveau が Nvidia secboot ファームウェアの読み込みに失敗する

一部の Dell Coffeelake システムでは、nouveau カーネルモジュールが Pascal カード用の Nvidia secboot ファームウェアのロードに失敗します。その結果、これらのシステムの Nvidia GPU が機能しない場合があり、システムの一部のディスプレイポートも機能しません。
このバグが原因で起動に問題が発生した場合は、nouveau をブラックリストに登録して問題を軽減してください。ただし、これはマシン上の機能していないポートを正しく機能させるわけではないことに注意してください。(BZ#1535168)

Xchat ステータスアイコンがトップアイコンパネルから消える

システムを一時停止して再開すると、受信した個人メッセージを示す Xchat ステータスアイコンがトップアイコンパネルから消えます。
Gnome ソフトウェア を使用してインストールされたトップアイコンはサスペンドモードを保持し、パネルから消えません。(BZ#1544840)

GDM がホットプラグされたモニターをアクティブにしない

モニターを接続せずにマシンを起動すると、モニターが接続されているときに GNOME Display Manager (GDM) 画面が非アクティブのままになります。
回避策として、モニターが接続されている間に次のコマンドを実行して GDM を強制終了します。
# systemctl restart gdm.service
または、xrandr ユーティリティーを使用してモニターをアクティブにします。(BZ#1497303)

Wacom Expresskeys Remote がタブレットとして検出されない

gnome-shell および control-center ユーティリティーは、ペアリングされていない Wacom Expresskeys Remote デバイス (EKR) を検出しません。結果として、ワコムの設定内では、EKR のボタンをマッピングする方法がありません。
現在、EKR は、パッドが内蔵されたタブレットとペアリングされている場合にのみ機能します。(BZ#1543631)

Synaptics の依存関係により xorg-x11-drivers が 削除される

Red Hat Enterprise Linux 7 の以降のリリースには、X 用の xorg-x11-drv-libinput ドライバーが含まれており、一部の入力デバイスに優れたエクスペリエンスを提供する可能性があります。xorg-x11-drv-libinput に切り替えようとしているユーザーは、xorg-x11-drivers パッケージに必要な xorg-x11-drv-synaptics ドライバーを削除してみてください。ただし、シナプスを削除するには、xorg-x11-drivers を 削除する必要があります。
この問題を回避するには、xorg-x11-drivers を削除します。このパッケージは、システムのセットアップ時に適切なドライバーのコレクションをインストールするためだけに存在し、削除してもランタイムに影響はありません。すでにインストールされている X ドライバーは、期待どおりに更新されます。(BZ#1516970)

T470s ドッキングステーションのジャックが履歴書で機能しない

アナログオーディオ入力または出力を備えたドッキングステーションに接続されている ThinkPad T470 を一時停止および再開した後、ユーザーは出力サウンドを受信しません。この問題は、ThinkPad ラップトップのアナログオーディオ入力または出力には影響しません。(BZ#1548055)

xrandr 実行時に画面が消えることがある

Nouveau ドライバーでは、画面解像度のクエリーなど、3D 負荷が高い状態で RANDR 操作を行うと、画面のちらつきが発生する場合があります。
ちらつきは、3D と RANDR の同時操作を最小限に抑えることで回避できます。したがって、3D の使用を最小限に抑えながら、画面のクエリーまたはサイズ変更を行ってください。(BZ#1545550)

第 8 世代 Intel Core プロセッサーの HDMI および DP がサウンド入力を列挙しない

Red Hat Enterprise Linux では、アルファ ステータスのハードウェアのサポートはデフォルトで i915 ドライバーで無効になっています。これにより、i915 はオーディオドライバーにバインドされません。結果として、第 8 世代 Intel Core プロセッサーの HDMI および DP ビデオおよびオーディオ規格は、サウンド入力を列挙しません。
この問題を回避するには、カーネルコマンドラインに i915.alpha_support=1 行を追加してシステムを起動します。(BZ#1540643)

トレイアイコンが自動起動アプリケーションに応答しない

画面上部に従来のトレイアイコンを表示する GNOME シェルTopIcons 拡張機能は、自動起動アプリケーションでは機能しません。トレイアイコンは応答しません。このバグには、GNOME セッションの開始後に開始されたアプリケーションは含まれません。
回避策として、次の短い手順に従って GNOME セッションを再起動します。1. Alt + F2 を押し、2. r と入力し、3. Enter を押します。(BZ#1550115)

ログイン画面のパネルの色に一貫性がない

GNOME クラシック セッションにログインし、ラップトップを一時停止してから再開すると、ログイン画面のトップパネルが黒ではなく白になります。
この問題は、GNOME クラシック の機能には影響しません。(BZ#1541021)

VM ゲストを接続した後、追加のディスプレイがミラーリングされます

ゲスト VM モニターを開き、リモートビューアー メニューから追加のディスプレイを有効にすると、最初のディスプレイのコンテンツが新しく接続されたディスプレイにミラーリングされます。
回避策として、ディスプレイの リモートビューアー フレームのサイズを変更します。デスクトップ環境が両方のディスプレイに拡張され、ゲストディスプレイが適切に再配置されます。(BZ#1539686)

第58章 インストールおよび起動

リトアニア語を選択するとインストーラーがクラッシュする

グラフィカルインストーラーの最初の画面でリトアニア語 (Lietuvių) 言語を選択し、続行 (Tęsti) を押すと、インストーラーがクラッシュし、トレースバックメッセージが表示されます。この問題を回避するには、別の言語を使用するか、グラフィカルインストーラーを避けて、テキストモードやキックスタートインストールなどの別の方法を使用します。(BZ#1527319)

キックスタートを使用して TUI にインストールすると、oscap-anaconda-addon が修復に失敗する

OpenSCAP Anaconda アドオンは、テキスト キックスタートコマンドを使用してインストール表示モードをテキストベースのユーザーインターフェイス (TUI) に設定するキックスタートファイルを使用してシステムをインストールすると、マシンを指定されたセキュリティーポリシーに完全に修復できません。この問題は、修復に必要なパッケージがインストールされていないために発生します。
この問題を回避するには、グラフィカルインストーラーを使用するか、セキュリティーポリシーに必要なパッケージをキックスタートファイルの %packages セクションに手動で追加します。(BZ#1547609)

デフォルトでは、UEFI システムで grub2-mkimage コマンドが失敗する

UEFI システムで grub2-mkimage コマンドが失敗し、次のエラーメッセージが表示される場合があります。
error: cannot open `/usr/lib/grub/x86_64-efi/moddep.lst': No such file or directory.
このエラーは、パッケージ grub2-efi-x64-modules パッケージがシステムにないために発生します。このパッケージは、既定のインストールの一部ではなく、grub2-mkimage コマンドを提供する grub2-tools の依存関係としてマークされていないという既知の問題が原因で欠落しています。
このエラーにより、ReaR など、それに依存する他のツールも失敗します。
この問題を回避するには、grub2-efi-x64-modulesYum を使用して手動でインストールするか、システムのインストールに使用するキックスタートファイルに追加してインストールします。(BZ#1512493)

HPE BL920s Gen9 システムへの RHEL 7.5 のインストール中にカーネルパニックが発生する

Meltdown 脆弱性の修正に関連する既知の問題により、HPE BL920s Gen2 (Superdome 2) システムに Red Hat Enterprise Linux 7.5 をインストールする際に、NULL ポインターの逆参照でカーネルパニックが発生します。問題が発生すると、次のエラーメッセージが表示されます。
WARNING: CPU: 576 PID: 3924 at kernel/workqueue.c:1518__queue_delayed_work+0x184/0x1a0
その後、システムが再起動するか、その他の障害のある状態になります。
この問題には複数の回避策があります。
  • ブートローダーを使用して、nopti オプションをカーネルコマンドラインに追加します。システムの起動が完了したら、最新の RHEL 7.5 カーネルにアップグレードします。
  • RHEL 7.4 をインストールしてから、最新の RHEL 7.5 カーネルにアップグレードします。
  • RHEL 7.5 を単一のブレードにインストールします。システムをインストールしたら、最新の RHEL 7.5 カーネルにアップグレードし、必要に応じてブレードを追加します。(BZ#1540061)

READONLY=yes オプションは、読み取り専用システムを設定するのに十分ではありません

Red Hat Enterprise Linux 6 では、/etc/sysconfig/readonly-root ファイルの READONLY=yes オプションを使用して、読み取り専用システムパーティションを設定していました。Red Hat Enterprise Linux 7 では、systemd がシステムパーティションのマウントに新しいアプローチを使用するため、このオプションはもはや十分ではありません。
Red Hat Enterprise Linux 7 で読み取り専用システムを設定するには:
  • /etc/sysconfig/readonly-rootREADONLY=yes オプションを設定します。
  • /etc/fstab ファイルのルートマウントポイントに ro オプションを追加します。(BZ#1444018)

第59章 カーネル

Spectre および Meltdown の問題に対処するセキュリティーパッチにより、パフォーマンスが低下する可能性があります

CVE-2017-5754、CVE-2017-5715、および CVE-2017-5753 で報告された問題に対処するためのセキュリティーパッチが実装されました。影響、検出、解決など、問題の詳細については、https://access.redhat.com/security/vulnerabilities/speculativeexecution にある Red Hat ナレッジベースの記事を参照してください。パッチはデフォルトで有効になっていますが、パフォーマンスが低下する可能性があります。
ユーザーは、Red Hat Enterprise Linux Tunables を使用して影響を制御できます。これらの debugfs tunable は、システムの起動時にカーネルコマンドラインで、またはランタイム時に debugfs コントロールから有効または無効にできます。チューナブルは、Page Table Isolation (PTI)、Indirect Branch Restricted Speculation (IBRS)、および Indirect Branch Prediction Barriers (IBPB) を制御します。Red Hat は、起動時に検出されたアーキテクチャーを保護するために、必要に応じてデフォルトで各機能を有効にします。ただし、IBPB サポートを直接無効にすることはできません。IBPB を間接的に無効にするには、IBRS と retpolines の両方を無効にする必要があります。
自分のシステムが他の手段で十分に保護されていることに自信があり、そのようなパフォーマンスの低下を避けるために CVE 軽減策を無効にしたい場合は、次のオプションのいずれかを使用する必要があります。
1.次のフラグをカーネルコマンドラインに追加し、カーネルを再起動して変更を有効にします。
spectre_v2=off nopti
2.次のコマンドを実行して、実行時にパッチを無効にします。変更はすぐに有効になり、再起動の必要はありません。
# echo 0 > /sys/kernel/debug/x86/pti_enabled
# echo 0 > /sys/kernel/debug/x86/retp_enabled
# echo 0 > /sys/kernel/debug/x86/ibrs_enabled
CVE 軽減策のパフォーマンスへの影響を制御する方法の詳細については、https://access.redhat.com/articles/3311301 で入手可能な Red Hat ナレッジベースの記事を参照してください。
https://access.redhat.com/security/vulnerabilities/speculativeexecution の診断タブも参照してください。(BZ#1532547)

KSC は xz 圧縮をサポートしていません

カーネルモジュールのソースチェッカー (ksc ツール) が xz 圧縮方法を処理できず、次のエラーが報告されます。
File format not recognized (Only kernel object files are supported)
この問題を回避するには、ksc ツールを実行する前に、xz 圧縮を使用してサードパーティーモジュールを手動で解凍します。(BZ#1441455)

megaraid_sas の更新により、パフォーマンスが低下する可能性があります

megaraid_sas ドライバーがバージョン 06.811.02.00-rh1 に更新され、以前のバージョンより多くのパフォーマンスが向上しています。ただし、場合によっては、ソリッドステートドライブ (SSD) に基づく設定でパフォーマンスの低下が観察されています。この問題を回避するには、/sys/ディレクトリーの対応する queue_depth パラメーターを 256 までの高い値に設定します。これにより、パフォーマンスが元のレベルに戻ります。(BZ#1367444)

qede がロードされている場合、qedi は iSCSI PCIe 機能へのバインドに失敗します

QL41xxx ネットワークアダプターのイーサネットドライバーである qede ドライバーは、必要以上の MSI-X ベクトルを割り当てます。その結果、qedi ドライバーは、ハードウェアによって公開されている iSCSI PCIe 機能にバインドできません。この問題を回避するには、qede ドライバーと qedi ドライバーの両方をアンロードしてから、qedi のみをロードします。その結果、qedi はハードウェアを介して公開されている iSCSI 機能をプローブし、接続されている iSCSI ターゲットを見つけることができます。(BZ#1484047)

radeon はカーネルパニックを引き起こします

セカンダリーまたはプライマリー GPU として radeon カーネルドライバーを搭載した一部のシステムでは、amdgpu グラフィックスドライバーのバグが原因で、システムの起動に失敗することがあります。
回避策として、radeon カーネルドライバーをブラックリストに登録します。(BZ#1486100)

CPU のホットアドまたはホットリムーブ操作後に Kdump カーネルが起動に失敗する

Kdump が有効な IBM Power Systems のリトルエンディアンバリアントで Red Hat Enterprise Linux 7 を実行している場合、CPU のホットアドまたはホットリムーブ操作の後に kexec によってトリガーされた場合、Kdump クラッシュカーネルは起動に失敗します。この問題を回避するには、CPU のホットアドまたはホットリムーブ後に kdump サービスを再起動します。
# systemctl restart kdump.service
(BZ#1549355)

第60章 ネットワーク

Red Hat Enterprise Linux 7 で、MD5 ハッシュアルゴリズムを使用した署名の検証が無効になる

MD5 で署名された証明書を必要とする WPA (Wi-Fi Protected Access) の AP (Enterprise Access Point) に接続することはできません。この問題を回避するには、/usr/lib/systemd/system/ ディレクトリーから /etc/systemd/system/ ディレクトリーに wpa_supplicant.service ファイルをコピーして、ファイルの Service セクションに次の行を追加します。
Environment=OPENSSL_ENABLE_MD5_VERIFY=1
次に、root で systemctl daemon-reload コマンドを実行して、サービスファイルを再読み込みします。
重要: MD5 証明書は安全性が非常に低く、Red Hat では使用を推奨していないことに注意してください。(BZ#1062656)

RHEL 7.3 からアップグレードすると、freeradius が失敗する場合があります。

/etc/raddb/radiusd.conf ファイル内の新しい設定プロパティー correct_escapes は、RHEL 7.4 以降に配布されたfreeradius バージョンで導入されました。管理者が correct_escapestrue に設定すると、バックスラッシュエスケープ用の新しい正規表現が使用されるようになります。correct_escapesfalse に設定されている場合は、バックスラッシュもエスケープされる古い構文が想定されます。後方互換性の理由から、false がデフォルト値になります。
アップグレード時に、/etc/raddb/ ディレクトリー内の設定ファイルは、管理者が変更しない限り上書きされるため、correct_escapes の値は、すべての設定ファイルで使用されている構文のタイプに常に対応しているとは限りません。その結果、freeradius での認証に失敗する場合があります。
この問題の発生を防ぐために、freeradiusバージョン 3.0.4(RHEL 7.3 で配布) 以前からアップグレードした後、/etc/raddb/ ディレクトリー内のすべての設定ファイルが新しいエスケープ構文を使用していることを確認してください (ダブルバックスラッシュ記号は見つかりません)。そして /etc/raddb/radiusd.confcorrect_escapes の記号は true に設定されています。
詳細と例については、https://access.redhat.com/solutions/3241961 のソリューションを参照してください。(BZ#1489758)

第61章 セキュリティー

NSS は、RSA-PSS キーで作成された不正な形式の RSA PKCS#1 v1.5 署名を受け入れます

Network Security Services (NSS) ライブラリーは、対応する秘密鍵を使用して作成された署名を検証するときに、サーバーが使用する RSA 公開鍵のタイプをチェックしません。その結果、NSS は、RSA-PSS キーで作成された場合、不正な形式の RSA PKCS#1 v1.5 署名を受け入れます。(BZ#1510156)

OpenSSH 以外 から の ssh-agent を使用した認証が失敗する

バージョン 7.4 以降の OpenSSH は、デフォルトで SHA-2 署名拡張をネゴシエートします。その結果、現在の OpenSSH スイートからではなく、SHA-2 拡張を認識しない ssh-agent プログラムによって署名が提供された場合、認証は失敗します。この問題を回避するには、OpenSSH ssh-agent を使用して署名を提供します。(BZ#1497680)

OpenSSH 公開鍵の解析がより厳密に

以前は、公開鍵の解析がより厳密になるように変更されました。その結果、キータイプ文字列とキー blob 文字列の間の追加のスペースは無視されなくなり、そのようなキーを使用したログイン試行は失敗するようになりました。この問題を回避するには、キータイプとキー BLOB の間にスペース文字が 1 つだけあることを確認します。(BZ#1493406)

SCAP Workbench が、カスタムプロファイルから結果ベースの修正を生成できません。

SCAP Workbench ツールを使用してカスタムプロファイルから結果ベースの修正ロールを生成しようとすると、次のエラーが発生します。
Error generating remediation role '.../remediation.sh': Exit code of 'oscap' was 1: [output truncated]
この問題を回避するには、oscap コマンドを、--tailoring-file オプションとともに使用します。(BZ#1533108)

Clevis は誤っ た Device is not initialized エラーメッセージをログに記録できます

Clevis プラグ可能フレームワークが initramfs イメージにあり、起動時にロックを解除するように設定された暗号化されたボリュームがあり、偶然にも Clevis バインディングを設定していない場合、ブートログに誤った Device is not initialized エラーメッセージが表示されます。この問題を回避するには、Clevis バインド手順を実行すると、ボリュームのエラーメッセージが表示されなくなります。(BZ#1538759)

すべての設定で seccomp=enabled を使用すると Libreswan が正しく動作しない

Libreswan SECCOMP サポート実装で許可された syscall のセットは現在、完全ではありません。したがって、SECCOMP が ipsec.conf ファイルで有効となっている場合、syscall のフィルターリングは、pluto デーモンの正常な機能に必要な syscall まで拒否します。つまり、デーモンは強制終了され、ipsec サービスが再起動されます。
この問題を回避するには、seccomp= オプションを設定して、disabled 状態に戻します。SECCOMP サポートは、ipsec を正常に実行するため、無効のままにしておく必要があります。(BZ#1544463)

OpenSCAP RPM 検証ルールが VM およびコンテナーファイルシステムで正しく機能しない

rpminforpmverify、および rpmverifyfile プローブは、オフラインモードを完全にはサポートしていません。そのため、オフラインモードで仮想マシン (VM) およびコンテナーファイルシステムをスキャンする場合、OpenSCAP RPM 検証ルールは正しく機能しません。
この問題を回避するには、RPM 検証ルールを無効にするか、SCAP Security Guide のガイダンスを使用して手動チェックを実行します。オフラインモードでの VM およびコンテナーファイルシステムのスキャンの結果には、偽陰性が含まれる場合があります。(BZ#1556988)

スマートカードを挿入すると、NSS を使用する Firefox やその他のアプリケーションが応答しなくなる

ネットワークセキュリティーサービス (NSS) ライブラリーは、スマートカードの挿入イベントとそのようなイベントの状態を正しく処理しません。その結果、Gnome Display Manager (GDM) で NSS を使用する Firefox ブラウザーやその他のアプリケーションは、カードの挿入状態を確実に検出せず、スロットイベントの待機を要求しているときに応答しなくなります。
この問題を回避するには、nss パッケージをバージョン 3.34 に更新せず、アップストリームバージョン 3.36 を待ちます。スマートカードは、以前の NSS バージョンで正しく動作します。(BZ#1557015)

第62章 サーバーおよびサービス

Tuned サービスでのプロファイルアクティベーションエラーの明確な表示がない

Tuned サービス設定のエラー、または Tuned プロファイルのロード時に発生するエラーは、systemctl statusTuned コマンドの出力に表示されない場合があります。結果として、Tuned のロードを妨げるエラーが発生した場合、Tuned はプロファイルがアクティブ化されていない状態になることがあります。考えられるエラーメッセージを表示するには、tuned-adm active コマンドの出力を調べて、/var/log/tuned/tuned.log ファイルの内容を確認してください。(BZ#1385838)

db_hotbackup -c は注意して使用する必要があります

-c オプションを指定した db_hotbackup コマンドは、データベースを所有するユーザーが実行する必要があります。ユーザーが異なり、ログファイルが最大サイズに達すると、コマンドを実行したユーザーの所有権で新しいログファイルが作成されるため、その所有者はデータベースを使用できなくなります。この注記は、db_hotbackup (1) マニュアルページに追加されました。(BZ#1460077)

rpcbind.socket で ListenStream= オプションを設定すると、systemd- logind が失敗し、SSH 接続が遅延する

現在、rpcbind.socket ユニットファイルで ListenStream= オプションを設定すると、systemd-logind サービスが失敗し、NIS データベースからシステムユーザーをインポートする SSH 接続で遅延が発生します。この問題を回避するには、rpcbind.socket から ListenStream = オプションを含む行を削除します。(BZ#1425758)

grub2 -efi-x64 パッケージがインストールされている非 UEFI システムで ReaR リカバリープロセスが失敗する

UEFI システム用の GRUB2 ブートローダーを含む grub2-efi-x64 パッケージをインストールすると、ファイル /boot/grub2/grubenv が、UEFI ファームウェアを使用しないシステム上で無効な絶対シンボリックリンクに変更されます。ReaR (Relax and Recover) 回復ツールを使用してこのようなシステムを回復しようとすると、プロセスが失敗し、システムが起動できなくなります。この問題を回避するには、grub2-efi-x64 パッケージを必要としないシステム (UEFI ファームウェアのないシステム) にインストールしないでください。(BZ#1498748)

Linux TSM で ReR によって生成された ISO イメージが機能しない

パスワードストアは、Linux TSM (Tivoli Storage Manager) クライアントバージョン 8.1.2 以降で変更されました。これは、TSM ノードパスワードと暗号化キーが ISO ファイルに含まれないため、TSM を使用して ReaR によって生成された ISO イメージが機能しないことを意味します。この問題を修正するには、次の行を /etc/rear/local.conf または /etc/rear/site.conf 設定ファイルに追加します。
COPY_AS_IS_TSM=( /etc/adsm /opt/tivoli/tsm/client /usr/local/ibm/gsk8* )
(BZ#1534646)

dbus リベースの予期しない問題

設定の変更を伴う dbus パッケージのリベースは、予期しない問題を引き起こす可能性があります。したがって、次のアクションを回避することをお勧めします。
  • dbus サービスのみを更新する
  • システムの一部のみを更新する
  • グラフィカルセッションからの更新
逆に、yum update コマンドを実行した後に再起動することをお勧めします。これは、再起動せずに dbus を含むいくつかの主要コンポーネントを更新すると、期待どおりに機能することがほとんどないためです。(BZ#1550582)

第63章 ストレージ

kexec -e コマンドは、高度なストレージコントローラーでストレージエラーを引き起こす可能性があります

-e オプションを指定して kexec ユーティリティーを使用すると、システムは次のカーネルを起動する前に標準の Linux シャットダウンシーケンスを実行しません。これは、Qlogic QMH2672 ファイバーチャネルアダプターなどの高度なストレージコントローラーを使用するシステムで問題を引き起こす可能性があります。これらのコントローラーは、再起動時にストレージが安定することを保証するためにシャットダウンシーケンスに依存しているためです。このようなシステムで kexec -e コマンドを呼び出すと、kexec 操作が進行するにつれてストレージ関連のエラーが発生し、新しくロードされたカーネルが接続されたストレージの一部またはすべてを検出できない場合があります。
kexec -e を試行したときにシステムに同様の症状が見られる場合は、代わりに -e オプションなしで kexec を使用してください。これは確実に機能することが確認されています。(BZ#1303244)

LVM は、不完全なボリュームグループのイベントベースの自動アクティブ化をサポートしていません

ボリュームグループが完全ではなく、物理ボリュームが見つからない場合、LVM はそのボリュームグループの LVM イベントベースの自動アクティブ化をサポートしません。これは、自動アクティベーションが行われるたびに --activationmode complete の設定を意味します。--activationmode complete オプションと自動アクティベーションの詳細については、vgchange (8) および pvscan (8) のマニュアルページを参照してください。
/etc/lvm/lvm.conf 設定ファイルで global/use_lvmetad=1 設定を使用して lvmetad を有効にすると、イベント駆動型の自動アクティベーションフックが有効になることに注意してください。また、自動アクティブ化を行わない場合、ブート中の正確な時間に直接アクティブ化フックがあり、その時点で利用可能な物理ボリュームのみでボリュームグループがアクティブ化されることにも注意してください。後で表示される物理ボリュームは考慮されません。
この問題は initramfs (dracut) での早期起動には影響せず、vgchange および lvchange 呼び出しを使用し コマンドラインからの直接のアクティブ化にも影響しません。(BZ#1337220)

第64章 仮想化

cmtmbmt、または mbml perf イベントを報告するゲストが起動に失敗する

ゲスト仮想マシンが cmtmbmt、または mbml perf イベントを報告するように設定されている場合、ホストが Red Hat Enterprise Linux 7.5 にアップグレードされた後に起動できなくなります。
この問題を回避するには、ドメイン XML 設定ファイルの <perf> セクションから event name='cmt'event name='mbmt'、または event name='mbml' を含む行を削除して、この設定を無効にします。(BZ#1532553)

付録A コンポーネントのバージョン

この付録では、Red Hat Enterprise Linux 7.4 リリースにおける主要コンポーネントとそのバージョンの一覧を説明します。

表A.1 コンポーネントのバージョン

コンポーネント
Version
kernel
3.10.0-862
kernel-alt
4.14.0-49
QLogic qla2xxx ドライバー
9.00.00.00.07.5-k1
QLogic qla4xxx ドライバー
5.04.00.00.07.02-k0
Emulex lpfc ドライバー
0:11.4.0.4
iSCSI イニシエーターユーティリティー (iscsi-initiator-utils)
6.2.0.874-7
DM-Multipath (device-mapper-multipath)
0.4.9-119
LVM (lvm2)
2.02.177-4
qemu-kvm[a]
1.5.3-156
qemu-kvm-ma[b]
2.10.0-21
[a] qemu-kvm パッケージは、AMD64 システムおよび Intel 64 システムに KVM 仮想システムを提供します。
[b] qemu-kvm-ma パッケージにより、IBM POWER8、IBM POWER9、および IBM Z で KVM 仮想化が提供されます。IBM POWER9 および IBM Z の KVM 仮想化には、kernel-alt パッケージも使用する必要がある点に注意してください。

付録B コンポーネント別の Bugzillas の一覧

この付録では、このドキュメントに含まれるすべてのコンポーネントと関連する Bugzilla の一覧を説明します。

表B.1 コンポーネント別の Bugzillas の一覧

コンポーネント新機能主なバグ修正テクノロジープレビュー既知の問題
389-ds-baseBZ#1274430, BZ#1352121, BZ#1406351, BZ#1458536, BZ#1467777, BZ#1470169BZ#1434335, BZ#1445188, BZ#1453155, BZ#1459946, BZ#1464463, BZ#1464505, BZ#1465600, BZ#1476207, BZ#1476322, BZ#1483681, BZ#1498980, BZ#1501058, BZ#1511462, BZ#1517788, BZ#1523183, BZ#1533571 BZ#1517383, BZ#1544477
Doc-config-command-file-referenceBZ#1479012   
ModemManagerBZ#1483051   
NetworkManagerBZ#1350830, BZ#1398925, BZ#1436531   
OVMF  BZ#653382 
OpenIPMIBZ#1457805   
adcli BZ#1471021  
anacondaBZ#1328576, BZ#1448459, BZ#1450922BZ#1452873, BZ#1465944, BZ#1478970  
ansible  BZ#1313263 
at BZ#1481355  
auditBZ#1476406   
binutilsBZ#1385959, BZ#1406430, BZ#1472955, BZ#1485398BZ#1465318, BZ#1488889  
checkpolicyBZ#1494179   
chronyBZ#1482565   
clevisBZ#1475406, BZ#1475408, BZ#1478888BZ#1500975 BZ#1538759
clufterBZ#1509381   
cockpitBZ#1470780   
conmanBZ#1435840   
control-centerBZ#1481407  BZ#1543631
corosync  BZ#1413573 
criu  BZ#1400230 
cupsBZ#1434153, BZ#1466497   
curlBZ#1409208BZ#1511523 BZ#1510247
custodia  BZ#1403214 
dbusBZ#1460262, BZ#1480264  BZ#1550582
device-mapper-multipathBZ#1452210, BZ#1456955BZ#1459370  
dhcpBZ#1394727, BZ#1396985   
ding-libsBZ#1480270   
distributionBZ#1512020, BZ#1512021  BZ#1062656
dnsmasqBZ#1188259   
emacs-php-modeBZ#1266953   
exiv2 BZ#1420227  
fence-agentsBZ#1451776, BZ#1476009BZ#1519370BZ#1476401 
firewalld BZ#1462977  
freeipmiBZ#1435848   
freeradius   BZ#1489758
fwupdBZ#1420913   
gccBZ#1535655BZ#1468546, BZ#1469384, BZ#1487434  
gdb BZ#1228556, BZ#1480498, BZ#1493675, BZ#1518243  
genwqe-tools BZ#1456492  
ghostscript BZ#1473337, BZ#1479852  
gimpBZ#1210840   
gjs BZ#1523121  
glibcBZ#677316, BZ#1375235, BZ#1448822, BZ#1498925BZ#1443236, BZ#1504969  
gnome-settings-daemonBZ#1481410   
gnome-shellBZ#1481381 BZ#1481395BZ#1497303, BZ#1511454, BZ#1539772, BZ#1541021
gnome-shell-extensions   BZ#1544840, BZ#1550115
gnome-software   BZ#1434477
grub2   BZ#1512493
gssproxy BZ#1462974, BZ#1488629  
httpdBZ#1274890   
hwdata BZ#1489281  
ima-evm-utils  BZ#1384450 
initscriptsBZ#1357658, BZ#1478419BZ#1364895, BZ#1380496, BZ#1395391, BZ#1455419 BZ#1444018
inkscapeBZ#1480184   
ipaBZ#1484683BZ#1415162BZ#1115294, BZ#1298286BZ#1478366
ipa-server-docker  BZ#1405325 
iprouteBZ#1435647, BZ#1456539, BZ#1468280   
iptablesBZ#1402021   
kernelBZ#1102454, BZ#1226051, BZ#1272615, BZ#1273769, BZ#1308630, BZ#1349668, BZ#1361287, BZ#1379551, BZ#1400689, BZ#1409365, BZ#1421164, BZ#1429710, BZ#1430637, BZ#1451916, BZ#1454745, BZ#1454965, BZ#1456687, BZ#1457561, BZ#1457572, BZ#1458278, BZ#1465223, BZ#1467288, BZ#1467335, BZ#1468286, BZ#1469857, BZ#1475409, BZ#1481303, BZ#1482253, BZ#1491226, BZ#1494476, BZ#1538911, BZ#1626526BZ#947004, BZ#1317099, BZ#1373534, BZ#1383691, BZ#1432288, BZ#1438695, BZ#1442618, BZ#1442784, BZ#1445046, BZ#1446684, BZ#1448534, BZ#1450529, BZ#1457046, BZ#1460106, BZ#1460213, BZ#1460641, BZ#1462363, BZ#1465711, BZ#1467280, BZ#1467521, BZ#1467561, BZ#1469200, BZ#1469247, BZ#1472892, BZ#1476040, BZ#1476709, BZ#1479043, BZ#1506338, BZ#1507821BZ#916382, BZ#1109348, BZ#1111712, BZ#1206277, BZ#1230959, BZ#1274459, BZ#1299662, BZ#1305092, BZ#1348508, BZ#1350553, BZ#1387768, BZ#1391561, BZ#1393375, BZ#1414957, BZ#1457533, BZ#1460849BZ#1303244, BZ#1367444, BZ#1470932, BZ#1484047, BZ#1486100, BZ#1509444, BZ#1528466, BZ#1535168, BZ#1539686, BZ#1540061, BZ#1540643, BZ#1548055
kernel-rtBZ#1401061, BZ#1462329 BZ#1297061 
kexec-toolsBZ#1431974BZ#1448861, BZ#1476219 BZ#1549355
kmodBZ#1361857   
krb5BZ#1462982BZ#1431198, BZ#1460089  
ksc   BZ#1441455
libdb BZ#1349779 BZ#1460077
libguestfsBZ#1172425, BZ#1438710, BZ#1448739, BZ#1451665BZ#1472719, BZ#1506572BZ#1387213, BZ#1441197, BZ#1477912 
libicaBZ#1376836   
libnftnl  BZ#1332585 
libpfmBZ#1474999   
libreofficeBZ#1474303   
libreswanBZ#1300763, BZ#1457904, BZ#1463062, BZ#1471763, BZ#1475434 BZ#1375750BZ#1544463
libsmbiosBZ#1463329   
libstoragemgmt  BZ#1119909 
libusnic_verbs  BZ#916384 
libvaBZ#1456903   
libvirtBZ#1289368, BZ#1292451, BZ#1472263 BZ#1283251BZ#1532553
libvncserver BZ#1314814  
libyamiBZ#1456906   
linuxptpBZ#1002657   
logrotate BZ#1465720  
loraxBZ#1458937, BZ#1478448BZ#1341280  
lvm2BZ#1113681, BZ#1278192  BZ#1337220
m17n-dbBZ#1058510   
mailx BZ#1474130  
mod_nss BZ#1461580  
mpg123BZ#1481753   
mutterBZ#1481386  BZ#1500397, BZ#1537529
net-snmp BZ#1329338  
netpbmBZ#1381122   
nftablesBZ#1472261BZ#1451404  
nmapBZ#1460249   
nssBZ#1395803, BZ#1457789 BZ#1425514, BZ#1431210, BZ#1432142BZ#1510156, BZ#1557015
numpy BZ#1167156  
opal-prdBZ#1456536   
opencryptokiBZ#1456520   
openldapBZ#1400578   
openscBZ#1473418   
openscapBZ#1505517  BZ#1556988
opensshBZ#1478035BZ#1488083, BZ#1496808, BZ#1517226 BZ#1493406, BZ#1497680
openssl-ibmcaBZ#1456516   
oprofileBZ#1465354   
oscap-anaconda-addon   BZ#1547609
otherBZ#1432080, BZ#1499059, BZ#1543995, BZ#1578075 BZ#1062759, BZ#1072107, BZ#1259547, BZ#1464377, BZ#1477977BZ#1451876, BZ#1512940, BZ#1515833, BZ#1515918, BZ#1524193, BZ#1532547, BZ#1536004
pacemakerBZ#1427648, BZ#1461976BZ#1394418, BZ#1489728  
pam BZ#1509338  
partedBZ#1423357BZ#1316239  
pcpBZ#1472153   
pcsBZ#1367808, BZ#1415197BZ#1421702, BZ#1432283, BZ#1508351BZ#1433016 
pcsc-lite-ccidBZ#1435668   
perl-DBD-MySQL BZ#1311646  
perl-DateTime-TimeZoneBZ#1241818   
perl-HTTP-Daemon BZ#1413065  
perl-IO-Socket-SSLBZ#1402588   
perl-version BZ#1378885  
phpBZ#1410010   
pki-coreBZ#1024558, BZ#1400645, BZ#1419761, BZ#1445532, BZ#1446786, BZ#1452347, BZ#1464549, BZ#1469169, BZ#1473452, BZ#1523410, BZ#1523443BZ#1402280, BZ#1404794, BZ#1446579, BZ#1461217, BZ#1461524, BZ#1465142, BZ#1474658, BZ#1479663, BZ#1484359, BZ#1486225, BZ#1491052, BZ#1498957, BZ#1499054, BZ#1500474, BZ#1506819, BZ#1518096, BZ#1520277, BZ#1532759, BZ#1539125, BZ#1541853  
policycoreutilsBZ#1471809   
python BZ#1483438  
python-blivet   BZ#1527319
python-urllib3BZ#1434114   
python-virtualenvBZ#1461154   
qemu-kvmBZ#1379822, BZ#1411490BZ#1455451, BZ#1470244BZ#1103193 
qemu-kvm-maBZ#1400070, BZ#1465503, BZ#1531672   
qgnomeplatformBZ#1479351   
qt5-qtbaseBZ#1479097   
quotaBZ#1393849   
rear BZ#1388653, BZ#1479002, BZ#1492177, BZ#1506231, BZ#1532676 BZ#1498748, BZ#1534646
resource-agentsBZ#1436189BZ#1445628, BZ#1457382, BZ#1462802  
rhn-client-tools BZ#1494389  
rhnlib BZ#1503953  
rhnsd BZ#1475039, BZ#1480306, BZ#1489989  
rpcbind   BZ#1425758
rpmBZ#1278924, BZ#1406611   
rsyncBZ#1393543, BZ#1432899   
sambaBZ#1470048   
sane-backendsBZ#1458903   
sbdBZ#1462002, BZ#1499864BZ#1468580, BZ#1525981  
scap-security-guideBZ#1404429, BZ#1472499   
scap-workbenchBZ#1479036  BZ#1533108
selinux-policyBZ#1480518, BZ#1494172BZ#1470735, BZ#1472722  
setupBZ#1344007BZ#1433020  
smartmontoolsBZ#1369731   
sos BZ#1183243  
spice-gtk   BZ#1540056
squidBZ#1452200   
sssdBZ#1327705, BZ#1400614, BZ#1416150, BZ#1472255 BZ#1068725 
strace BZ#1466535  
strongimcv  BZ#755087 
subscription-managerBZ#1319927, BZ#1329349, BZ#1463325, BZ#1466453, BZ#1499977, BZ#1526622BZ#1476817, BZ#1507158, BZ#1519512  
system-config-kdumpBZ#1384943   
system-config-kickstart BZ#1272068  
systemdBZ#1384014BZ#1455071BZ#1284974 
systemtapBZ#1473722   
tangBZ#1478895   
tbootBZ#1457529   
tcpdumpBZ#1464390, BZ#1490842   
tftpBZ#1328827   
tpm2-abrmdBZ#1492466   
tpm2-tssBZ#1463097   
tss2  BZ#1384452 
tunedBZ#1467576  BZ#1385838
unboundBZ#1251440   
usbguard  BZ#1480100 
valgrindBZ#1473725   
vdoBZ#1480047   
vimBZ#1267826, BZ#1319760   
virt-managerBZ#1472271   
virt-whatBZ#1476878   
virt-whoBZ#1408556, BZ#1436617BZ#1389729, BZ#1461417, BZ#1485865  
wayland  BZ#1481411 
webkitgtk4BZ#1476707   
xorg-x11-drivers   BZ#1516970
xorg-x11-drv-intel   BZ#1545550
xorg-x11-server   BZ#1478625, BZ#1499129
yumBZ#1432319BZ#1458841  
yum-utilsBZ#1437636, BZ#1470647BZ#1428210, BZ#1455318  

付録C 更新履歴

改訂履歴
改訂 0.2-7Wed Sep 2 2020Jaroslav Klech
Spectre と Meltdown のパフォーマンス損失に関するカーネルの既知の問題を更新しました。
改訂 0.2-6Wed Feb 12 2020Jaroslav Klech
アーキテクチャーおよび新機能への完全なカーネルバージョンを指定。
改訂 0.2-5Mon Feb 03 2020Lenka Špačková
OpenLDAP の既知の問題の説明を修正しました。
改訂 0.2-5Mon Oct 07 2019Jiří Herrmann
OVMF に関するテクノロジープレビューの注意事項を明確にしました。
改訂 0.2-4Thu Jul 11 2019Lenka Špačková
更新されたアーキテクチャー。
改訂 0.2-3Wed May 29 2019Lenka Špačková
ksh (コンパイラーとツール) に関連する既知の問題を追加しました。
改訂 0.2-2Mon May 13 2019Lenka Špačková
freeradiusのアップグレード (ネットワーク) に関連する既知の問題を追加しました。
改訂 0.2-1Sun Apr 28 2019Lenka Špačková
テクノロジープレビュー機能の説明 (ファイルシステム) の表現が改善されました。
改訂 0.2-0Fri Apr 12 2019Lenka Špačková
nftables 機能 (ネットワーキング) に誤って含まれていた式を削除しました。
改訂 0.1-9Wed Apr 10 2019Lenka Špačková
nftables 機能 (ネットワーキング) から誤って含まれていた nottrack を削除しました。
改訂 0.1-8Mon Feb 04 2019Lenka Špačková
ブックの構造が改善されました。
改訂 0.1-7Thu Sep 13 2018Lenka Špačková
テクノロジープレビューから、サポート対象の機能 (ファイルシステム) にCephFSを移行しました。
改訂 0.1-6Tue Aug 28 2018Lenka Špačková
特定のセキュリティーパッチ (カーネル) によって引き起こされるパフォーマンスの低下に関連する既知の問題を修正しました。
改訂 0.1-5Tue Jul 31 2018Lenka Špačková
新機能 (システムおよび Subscription Management) に、reposync コマンドの動作の変更に関するメモを追加しました。
改訂 0.1-4Tue Jul 17 2018Lenka Špačková
不完全なボリュームグループ (ストレージ) の LVM 処理に関する既知の問題を追加しました。
改訂 0.1-3Wed Jul 04 2018Lenka Špačková
DNS スタブリゾルバーの改善に関する説明 (ネットワーク) のオプション名を修正しました。
改訂 0.1-2Wed Jun 13 2018Lenka Špačková
相互参照リンクを修正しました。
改訂 0.1-1Fri May 18 2018Lenka Špačková
重複した説明を削除しました。
GNOME シェルリベースの説明を更新しました。
改訂 0.1-0Tue May 15 2018Lenka Špačková
Shenandoah ガベージコレクターは、完全にサポートされている機能 (コンパイラーとツール) に移動しました。
clufter リベースの説明と Sybase ASE フェイルオーバーのサポートの説明を機能 (クラスターリング) に追加しました。
読み取り専用システム設定 (インストールと起動) に関連する既知の問題を追加しました。
いくつかのバグ修正の説明を追加しました (クラスターリング、ストレージ)。
Wayland Technology Preview の説明を拡張しました (デスクトップ)。
改訂 0.0-9Tue Apr 24 2018Lenka Špačková
tpm2-* パッケージをテクノロジープレビューから完全にサポートされる機能 (ハードウェア有効化) に移動しました。
CAC 代替トークン (セキュリティー) に関連する新しい OpenSC 機能が追加されました。
NSS とスマートカード (セキュリティー) に関連する既知の問題を追加しました。
改訂 0.0-8Tue Apr 17 2018Lenka Špačková
sslwrap()の非推奨に関連する推奨事項を更新しました。
PTP デバイスの追加メモ (仮想化) を追加しました。
改訂 0.0-7Fri Apr 13 2018Lenka Špačková
インテル® オムニパスアーキテクチャードキュメントへのリンクを更新しました。
改訂 0.0-6Tue Apr 10 2018Lenka Špačková
Red Hat Enterprise Linux 9.1 リリースノートのリリース。
改訂 0.0-1Wed Jan 24 2018Lenka Špačková
Red Hat Enterprise Linux 7.0 Beta リリースノートのリリース。