SSSD が、AD に保存されている sudo ルールを完全にサポート

SSSD (System Security Services Daemon) が、Active Directory (AD) に保存されている sudo ルールに完全に対応するようになりました。この機能は、Red Hat Enterprise Linux 7.0 でテクノロジープレビューとして最初に導入されました。管理者は、sudo ルールをサポートするように AD スキーマを更新する必要があります。

SSSD が、AD ドメインのフォールバックとして [nss] セクションの fallback_homedir 値を使用しなくなりました。

RHEL 7.7 以前では、Active Directory (AD) プロバイダーの SSSD fallback_homedir パラメーターにはデフォルト値がありませんでした。fallback_homedir が設定されていない場合は、/etc/sssd/sssd.conf ファイルの [nss] セクションにある同じパラメーターの値が SSSD によって使用されていました。セキュリティーを向上させるために、RHEL 7.7 の SSSD では、fallback_homedir のデフォルト値が導入されました。これにより、[nss] に設定された値に戻らなくなりました。AD ドメインの fallback_homedir パラメーターにデフォルトとは異なる値を使用する場合は、ドメインのセクションで手動で設定する必要があります。

ディレクトリーサーバーがバージョン 1.3.9.1 にリベース

389-ds-base パッケージがアップストリームバージョン 1.3.9.1 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。

Directory Server Auto Membership プラグインが変更操作で追加で起動できるようになりました。

今回の更新で、Directory Server の Auto Membership プラグインが変更操作と連携するように強化されました。以前は、プラグインは ADD 操作によってのみ呼び出されていました。管理者がユーザーエントリーを変更し、そのユーザーが属する Auto Membership グループに影響を与えると、ユーザーは古いグループから削除されず、新しいグループにのみ追加されていました。今回の更新で、この機能強化により、前述のシナリオで Directory Server が古いグループからユーザーを削除するように設定できるようになりました。

replicaLastUpdateStatusJSON ステータス属性が Directory Server のレプリカ合意に追加されました。

今回の更新で、replicaLastUpdateStatusJSON status 属性が cn=<replication_agreement_name>,cn=replica,cn=<suffix_DN>,cn=mapping tree,cn=config エントリーに導入されています。replicaLastUpdateStatus 属性に表示されるステータスは、vague および unclear でした。新しい属性は、明確なステータスメッセージと結果コードを提供し、JSON 形式をサポートする他のアプリケーションで解析できます。

IdM は、CA を CRL 生成マスターにプロモートするユーティリティーを提供するようになりました。

今回の機能強化により、管理者は既存の Identity Management (IdM) 認証局(CA) を証明書失効リスト (CRL) 生成マスターにプロモートしたり、CA からこの機能を削除したりできます。以前は、IdM CA を CRL 生成マスターとして設定するには、複数の手動の手順が必要で、この手順はエラーが発生していました。これにより、管理者は ipa-crlgen-manage enable コマンドおよび ipa-crlgen-manage disable コマンドを使用して、IdM CA での CRL 生成を有効または無効にすることができるようになりました。

孤立した automember ルールを検出して削除するコマンドが IdM に追加されました。

Identity Management (IdM) の automember ルールは、削除されたホストグループを参照できます。以前は、ipa automember-rebuild コマンドが予期せず失敗し、障害の理由の診断が困難でした。この機能強化により、ipa automember-find-orphans が IdM に追加され、そのような孤立した automember ルールを識別して削除します。

IdM が証明書の SAN 拡張の IP アドレスに対応

特定の状況では、管理者は Subject Alternative Name (SAN)拡張機能の IP アドレスを使用して証明書を発行する必要があります。今回の更新で、この機能が追加されました。その結果、アドレスが IdM DNS サービスで管理され、サブジェクトのホストまたはサービスプリンシパルに関連付けられている場合に、管理者は SAN 拡張機能に IP アドレスを設定できます。

IdM は、サーバーがオフライン時の期限切れのシステム証明書の更新を行えるようになりました。

この機能強化により、Identity Management (IdM) がオフラインのときでも、管理者は期限が切れたシステムの証明書を更新できます。システム証明書の期限が切れると、IdM が起動できません。新しい ipa-cert-fix コマンドは、新しいプロセスを続行するために日付を手動で設定する回避策に取って代わります。その結果、上述のシナリオのダウンタイムとサポートコストが低減します。

pki-core がバージョン 10.5.16 にリベースされました

pki-core パッケージがアップストリームバージョン 10.5.16 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。

証明書システムで、外部 CA 署名用に SKI 拡張を使用して CSR を作成できるようになる

この機能強化により、証明書システムで、外部認証局 (CA) 署名用の SKI (Subject Key Identifier) 拡張子を持つ証明書署名要求 (CSR) の作成に対応します。特定の CA は、特定の値で、または CA 公開鍵から派生したこの拡張を必要とします。これにより、管理者は pkispawn ユーティリティーに渡される設定ファイルの pki_req_ski パラメーターを使用して、SKI 拡張子を持つ CSR を作成できるようになりました。

Certificate System をアンインストールすると、すべてのログファイルが削除されなくなりました。

以前は、サブシステムをアンインストールすると、Certificate System が対応するすべてのログを削除していました。今回の更新で、デフォルトで pkidestroy ユーティリティーがログを削除しなくなりました。サブシステムのアンインストール時にログを削除するには、新しい --remove-logs パラメーターを pkidestroy に渡します。また、今回の更新で、--force パラメーターが pkidestroy に追加されました。以前は、不完全なインストールにより、一部のファイルおよびディレクトリーが残され、Certificate System インスタンスの完全なアンインストールが妨げられていました。--force を pkidestroy に渡して、サブシステムとインスタンスの対応するファイルをすべて完全に削除します。

pkispawn ユーティリティーは、CA、KRA、および OCSP のインストール時に NSS データベースで作成された鍵の使用をサポートするようになりました。

以前は、Certificate System のインストール時に、pkispawn ユーティリティーは、システム証明書の新しいキーの作成と既存のキーのインポートのみをサポートしていました。今回の機能強化により、pkispawn は、認証局 (CA)、鍵回復機関 (KRA)、およびオンライン証明書ステータスプロトコル (OCSP) のインストール時に管理者が NSS データベースに直接生成するキーの使用をサポートするようになりました。

Certificate System は、サービスを再インストールする際に以前のインストールのログを保持するようになりました。

以前は、既存の Certificate System ログディレクトリー構造を持つサーバーに Certificate System サブシステムをインストールすると、pkispawn ユーティリティーは名前の競合エラーを報告していました。この機能強化により、Certificate System は既存のログディレクトリー構造を再利用して、以前のインストールのログを保存します。

Certificate System がデフォルトで追加の強力な暗号に対応するようになりました。

今回の更新で、Certificate System では、連邦情報処理標準 (FIPS) に準拠する以下の追加の暗号がデフォルトで有効になっています。

samba パッケージがバージョン 4.9.1 になりました。

samba パッケージがアップストリームバージョン 4.9.1 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。以下は、主な変更点です。

対応している RHEL HA クラスターの最大サイズが 16 ノードから 32 ノードに増大しました。

今回のリリースで、Red Hat は、最大 32 個の完全クラスターノードのクラスターデプロイメントに対応します。

フェンシングアクションのステータス表示の改善

pcs status コマンドの出力に、失敗したフェンスアクションと保留中のアクションが表示されるようになりました。

新しいパッケージ: python3

新しい python3 パッケージが、Python 3.6 インタープリター、pip ユーティリティーおよび setuptools ユーティリティーを提供する RHEL 7 で利用できるようになりました。以前は、Python 3 バージョンは Red Hat Software Collections の一部としてのみ利用できていました。

新規パッケージ: compat-sap-c++-8

compat-sap-c++-8 パッケージには、SAP アプリケーションに必要なランタイム互換性ライブラリーである compat-sap-c++-8.so という名前の libstdc ++ ライブラリーが含まれています。compat-sap-c++-8 パッケージは GCC 8 に基づいています。

elfutils パッケージがバージョン 0.176 にリベースされました。

elfutils パッケージがアップストリームバージョン 0.176 にアップグレードされました。主な変更点は、以下のとおりです。

gcc-libraries がバージョン 8.3.1 にリベースされました。

gcc-libraries パッケージがアップストリームバージョン 8.3.1 に更新され、バグ修正が数多く追加されました。

Geolite2 Databases が利用可能になりました。

今回の更新で、GeoIP パッケージが提供する従来の Geolite Databases への追加として Geolite2 Databases が導入されました。

日本語の令和に対する日付形式が更新されました。

GNU C ライブラリーは、2019 年 5 月 1 日をもって、令和に正しい日本語の年号フォーマットを利用できるようになりました。strftime 関数および strptime 関数によって使用されるデータなど、API データを処理する時間が更新されました。strftime が %EC、%EY、または %Ey など、いずれかの年号の変換指定子とともに使用されると、すべての API は令和時代を正しく出力します。

systemtap がバージョン 4.0 にリベース

SystemTap インストラクションツールが、アップストリームバージョン 4.0 にアップグレードされました。以下は、主な改善点です。

Valgrind がバージョン 3.14 にリベース

Valgrind パッケージがアップストリームバージョン 3.14 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。

Performance Co-Pilot がバージョン 4.3.2 にリベースされました。

Performance Co-Pilot (PCP)がアップストリームバージョン 4.3.2 に更新されました。以下は、主な改善点です。

ptp4l が active-backup モードでのチームインターフェイスに対応しました。

今回の更新で、PTP Boundary/Ordinary Clock (ptp4) に、active-backup モードのチームインターフェイスサポートが追加されました。

linuxptp がバージョン 2.0 にリベース

linuxptp パッケージがアップストリームバージョン 2.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。

Perl モジュール DateTime::TimeZone が最近のタイムゾーンの更新を認識するようになりました。

オルソンタイムゾーンデータベースがバージョン 2018i に更新されました。以前は、DateTime::TimeZone モジュールを使用する Perl 言語で作成されたアプリケーションは、データベースが古いためにバージョン 2017b 以降仕様が変更されたタイムゾーンを誤って処理していました。

trace-cmd パッケージがバージョン 2.7 に更新されました。

更新されたパッケージは、最新のバグ修正とアップストリーム機能を提供します。その結果、Red Hat Enterprise Linux ユーザーは、最新の trace-cmd コマンドを実行できるようになりました。

vim がバージョン 7.4.629 にリベース

vim パッケージが、RHEL 6 のアップストリームバージョン 7.4.629 にアップグレードされました。このバージョンでは、以前のバージョンに対して多数のバグ修正と拡張が行われています。

cups-filters が更新されました。

バージョン 1.0.35 で配布される cups-filters パッケージが更新され、以下の機能拡張が追加されました。

Muer は、大量にデプロイ可能な結合表示設定が可能になりました。

Mutter ウィンドウマネージャーは、システム上のすべてのユーザー向けに事前に設定された表示設定をデプロイできるようになりました。その結果、Mutter では、各ユーザーの設定が独自の設定ディレクトリーにコピーされる必要がなくなりましたが、代わりにシステム全体の設定ファイルを使用することができます。この機能により、Mutter は、同種ディスプレイ設定の大量デプロイメントに適しています。

quota レポートの改善

非詳細モードの quota ツールは、制限のないファイルシステムと、制限のあるファイルシステムを区別するようになりましたが、リソースは使用されません。以前は、両方のユースケースで none が出力され、混乱が生じました。

グラフィカルインストールプログラムが SMT が有効かどうかを検出するようになりました。

以前は、RHEL 7 グラフィカルインストールプログラムは、Simultaneous Multithreading (SMT) がシステムで有効になっているかどうかを検出しませんでした。今回の更新により、インストールプログラムは、システムで SMT が有効になっているかどうかを検出するようになりました。有効にすると、インストール概要 ウィンドウの下部にある ステータス バーに警告メッセージが表示されます。

find-debuginfo.sh スクリプトの新しい --g-libs オプション

今回の更新で、find-debuginfo.sh スクリプトに新しい --g-libs オプションが追加されました。この新しいオプションは、以前の -g オプションの代替で、スクリプトに対してバイナリーファイルとライブラリーファイルの両方からデバッグシンボルのみを削除するように指示します。新しい --g-libs オプションは、-g と同じように機能しますが、ライブラリーファイルに対してのみ機能します。バイナリーファイルは完全に削除されます。

Image Builder がバージョン 19.7.33 にリベースされ、完全にサポートされるようになりました。

RHEL 7 Extras Channel の lorax-composer パッケージが提供する Image Builder がバージョン 19.7.33 にアップグレードされました。

RHEL 7.7 のカーネルバージョン

Red Hat Enterprise Linux 7.7 は、カーネルバージョン 3.10.0-1062 で配布されます。

カーネルに対するライブパッチが利用可能になりました。

カーネル用のライブパッチ kpatch では、プロセスのリブートまたは再起動なしで、実行中のカーネルにパッチを当てるメカニズムを利用できます。ライブカーネルパッチは、影響度が重大および重要な CVE を修正するための Extended Update Support (EUS) の RHEL で対象となる一部のマイナーリリースストリームに提供されます。

IMA および EVM 機能がすべてのアーキテクチャーでサポートされるようになりました。

Integrity Measurement Architecture (IMA) および Extended Verification Module (EVM) が利用可能なすべてのアーキテクチャーで完全にサポートされるようになりました。RHEL 7.6 では、AMD64 および Intel 64 アーキテクチャーでのみ対応していました。

RHEL 7.7 の新規インストールで Spectre V2 の軽減策のデフォルトが IBRS から Retpoline に変更されました。

第 6 世代 Intel Core プロセッサーが搭載されたシステムに対する Spectre V2 脆弱性 (CVE-2017-5715) のデフォルトの軽減策と、その類似策 [1] が、RHEL 7.7 の新規インストールでは Indirect Branch Speculation (IBRS) から Retpoline に変更になりました。Red Hat は、Linux コミュニティーで使用されるデフォルトに合わせて、損失したパフォーマンスを復元する Intel 社の推奨事項により、この変更を実装しました。ただし、場合によっては、Retpoline を使用すると、Spectre V2 が完全に軽減されない場合があります。Intel 社の Retpoline ドキュメント [2] は、露出時のすべてのケースを説明します。本書は、攻撃のリスクが低いことも示しています。

PMTU 検出およびルートのリダイレクトが VXLAN トンネルおよび GENEVE トンネルで対応するようになりました。

以前では、Red Hat Enterprise Linux (RHEL) のカーネルは、Virtual Extensible LAN (VXLAN) および Generic Network Virtualization Encapsulation (GENEVE) トンネルの Internet Control Message Protocol (ICMP) および ICMPv6 メッセージを処理していませんでした。これにより、パス MTU (PMTU) の検出およびルートのリダイレクトは VXLAN トンネルおよび GENEVE トンネルでサポートされていませんでした。今回の更新で、カーネルが ICMP の Destination Un reachable と Redirect Message、および ICMPv6Packet Too Big エラーメッセージを、PMTU を調整すると転送情報を修正することで、Destination UnPeerEndpoints エラーメッセージを処理するようになりました。その結果、PMTU 検出およびルートのリダイレクトが VXLAN トンネルおよび GENEVE トンネルでサポートされるようになりました。

IBM POWER でハードウェアトランザクションメモリーを無効にする新しいカーネルコマンドラインオプション

RHEL 7.7 では、ppc_tm=off カーネルコマンドラインオプションが追加されました。ユーザーが起動時に ppc_tm=off を渡すと、カーネルは IBM POWER システムのハードウェアトランザクションメモリーを無効にし、アプリケーションで使用できなくなります。以前は、RHEL 7 カーネルは、ハードウェアおよびファームウェアでサポートされているたびに、IBM POWER システムのハードウェアトランザクションメモリー機能を無条件にアプリケーションが利用できるようにしました。

Intel® Omni-Path Architecture (OPA) ホストソフトウェア

Red Hat Enterprise Linux 7.7 は、Intel® Omni-Path Architecture (OPA) ホストソフトウェアに完全に対応しています。Intel OPA は、クラスター環境のコンピュートと I/O ノード間の高性能データ転送 (高帯域幅、高メッセージレート、低レイテンシー) のために、初期化とセットアップを行う Host Fabric Interface (HFI) ハードウェアを提供します。

IBPB を直接無効にできない

この RHEL カーネルソースコードの更新では、Indirect Branch Prediction Barrier (IBPB)制御メカニズムを直接無効にすることはできません。Red Hat は、この設定のパフォーマンスの問題を予測しません。

kernel-rt ソースツリーが、最新の RHEL 7 ツリーに一致するようになりました。

kernel-rt ソースが最新の Red Hat Enterprise Linux カーネルソースツリーをベースとするようにアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。

RHEL 7 の kernel-rt タイマー wheel が、cascading timer wheel に更新されました。

現在のタイマー wheel が、cascading wheel に切り替えられ、タイマーサブシステムが改善され、多くの操作のオーバーヘッドが削減されました。非カスケードタイマー wheel のバックポートにより、kernel-rt は、将来の改善のバックポートを可能にする上で、アップストリームカーネルに非常に近づいています。

rpz-drop が、到達不能なドメインの繰り返し解決を妨げるようになりました。

RHEL 7.7 に同梱される Berkeley Internet Name Domain (BIND) バージョンには、rpz-drop ポリシーが導入され、DNS 増幅攻撃を軽減することができます。以前は、攻撃者が解決できないドメインのクエリーを多数生成した場合、BIND はそのようなクエリーを解決しようとするため、CPU にかなり負荷がかかっていました。rpz-drop では、BIND はターゲットドメインに到達できない場合にクエリーを処理しません。この動作により、CPU 容量が大幅に節約されます。

bind がバージョン 9.11 にリベースされました。

bind パッケージがアップストリームバージョン 9.11 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。

ipset がバージョン 7.1 にリベースされました。

ipset パッケージがアップストリームバージョン 7.1 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。

NetworkManager が、ブリッジインターフェイスでの VLAN フィルタリングに対応

今回の機能強化により、管理者は対応する NetworkManager 接続プロファイルのブリッジインターフェイスで仮想 LAN (VLAN) フィルターを設定できるようになりました。これにより、管理者はブリッジポートで VLAN を直接定義できます。

NetworkManager がポリシールーティングルールの設定をサポート

以前は、NetworkManager-dispatcher-routing-rules パッケージが提供するディスパッチャースクリプトを使用して、NetworkManager 外にポリシールーティングルールを設定する必要がありました。今回の更新で、ユーザーは接続プロファイルの一部としてルールを設定できるようになりました。その結果、プロファイルがアクティブになると、NetworkManager はルールを追加し、プロファイルが非アクティブ化されるとルールを削除します。

NSS が RSASSA-PSS に制限されている鍵に対応

Network Security Services (NSS) ライブラリーは、付録 Probabilistic Signature Scheme (RSASSA-PSS) を使用した Rivest-Shamir-Adleman 署名スキームに制限された鍵をサポートするようになりました。従来の署名スキームである Public Key Cryptography Standard #1 (PKCS#1) v1.5 では、データまたは鍵の暗号化に鍵を再利用できます。これにより、これらの鍵は Bleichenbacher によって公開される攻撃の署名に対して脆弱になります。鍵を RSASSA-PSS アルゴリズムに制限すると、復号化を利用する攻撃に回復性を持たせることができます。

NSS が PKCS#1 v1.5 DigestInfo に正しく含まれる場合にのみ NULL オブジェクトを使用した署名を受け入れるようになりました。

PKCS#1 v1.5 互換署名の最初の仕様では、2 つの異なる方法で解釈できるテキストを使用していました。署名者が暗号化するパラメーターのエンコーディングには、NULL ASN.1 オブジェクトのエンコーディングを含めるか、省略できます。標準の後のリビジョンでは、NULL オブジェクトエンコーディングを明示的に含める必要がありました。

opensc が HID Crescendo 144K スマートカードに対応

今回の機能強化により、OpenSC は HID Crescendo 144K スマートカードをサポートするようになりました。これらのトークンは、Common Access Card (CAC) 仕様と完全に互換性がありません。また、このトークンは、政府が発行する CAC トークンよりも、仕様の高度な部分を使用します。OpenSC ドライバーは、HID Crescendo 144K スマートカードをサポートするために、これらのトークンと特別なケースを管理するように強化されました。

FIPS モードの OpenSSH で AES-GCM 暗号が有効になっている

以前は、AES-GCM 暗号は TLS でのみ FIPS モードで許可されていました。現在のバージョンでは、OpenSSH でもこれらの暗号を許可および認定できることを NIST で明確化しました。

SCAP セキュリティーガイド が Universal Base Image に対応

SCAP セキュリティーガイド のセキュリティーポリシーが強化され、ubi-minimal イメージを含む Universal Base Image (UBI)コンテナーおよび UBI イメージがサポートされるようになりました。これにより、atomic scan コマンドを使用した UBI コンテナーおよびイメージの設定コンプライアンススキャンが可能になります。UBI コンテナーおよびイメージは、SCAP セキュリティーガイド で同梱されているプロファイルに対してスキャンできます。UBI のセキュアな設定に関連するルールのみが評価されます。これにより、誤検出が回避され、関連する結果が生成されます。UBI イメージおよびコンテナーには該当しないルールは自動的にスキップされます。

scap-security-guide がバージョン 0.1.43 にリベース

scap-security-guide パッケージがアップストリームバージョン 0.1.43 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に次のような機能が追加されています。

tangd_port_t で Tang のデフォルトポートの変更が可能に

今回の更新で、SELinux Enforcing モードで制限のある tangd サービスの実行を可能にする SELinux タイプ tangd_port_t が追加されました。この変更により、Tang サーバーを設定してユーザー定義のポートをリッスンするのを簡素化し、SELinux が提供するセキュリティーレベルを Enforcing モードで維持します。

新しい SELinux のタイプ: boltd_t

新しい SELinux のタイプ boltd_t は、Thunderbolt 3 デバイスのマッピングにシステムデーモン boltd を制限します。その結果、boltd が SELinux 強制モードの制限付きサービスとして実行されるようになりました。

新しい SELinux ポリシークラス: bpf

新しい SELinux ポリシークラス bpf が導入されました。bpf クラスを使用すると、ユーザーは SElinux を介して Berkeley Packet Filter (BPF) フローを制御できます。また、Extended Berkeley Packet Filter (eBPF) プログラムと、SELinux が制御するマップの検査と簡単な操作が可能になります。

shadow-utils がバージョン 4.6 にリベース

shadow-utils パッケージがアップストリームバージョン 4.6 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。特に、UID および GID 名前空間のマッピングを操作する newuidmap および newgidmap コマンド）。

chrony がバージョン 3.4 にリベースされました

tuned パッケージがアップストリームバージョン 3.4 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。主な改善点は以下の通りです。

GNU が ISO-8859-15 エンコードに対応しました。

今回の更新で、ISO-8859-15 エンコードへの対応が GNU enscript プログラムに追加されました。

ghostscript がバージョン 9.25 にリベース

ghostscript パッケージはアップストリームバージョン 9.25 にアップグレードされました。これにより、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されます。

libssh2 パッケージがバージョン 1.8.0 にリベース

今回の更新で、libssh2 パッケージがバージョン 1.8.0 にリベースされました。

ReaR が更新されました。

ReaR が新しいバージョンに更新されました。以前のバージョンに対する主なバグ修正および機能強化は、以下のとおりです。

tuned がバージョン 2.11 にリベース

tuned パッケージがアップストリームバージョン 2.11 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。主な改善点は以下の通りです。

新規パッケージ: xorriso

Xorriso は、ISO 9660 イメージを作成して操作し、CD-ROM または DVD-ROM を書き込むプログラムです。プログラムには xorrisofs コマンドが含まれています。これは、genisoimage ユーティリティーの推奨される代替です。xorrisofs コマンドは、genisoimage と互換性があるインターフェイスを持ち、genisoimage に対して複数の機能強化を提供します。たとえば、xorrisofs では、最大ファイルサイズは 4 GB に制限されなくなりました。Xorriso はバックアップに適しています。これは、リカバリーおよびシステム移行ユーティリティーである Relax-and-Recover (ReaR) で使用されます。

DIF/DIX (Data Integrity Field/Data Integrity Extension) のサポート

DIF/DIX は、ハードウェアベンダーが認定している設定でサポートされ、RHEL では特定のホストバスアダプター (HBA) およびストレージアレイ設定に完全に対応しています。

新しい scan_lvs 設定

新しい lvm.conf 設定ファイルの設定 scan_lvs が追加され、デフォルトで 0 に設定されています。新しいデフォルト動作では、LVM が、論理ボリュームに存在する可能性のある物理ボリュームを検索しないようにします。つまり、より多くの物理ボリュームについて、アクティブな論理ボリュームをスキャンしません。デフォルト設定では、LVM が論理ボリュームに物理ボリュームを作成しないようにします。

Web コンソールがバージョン 195 にリベース

cockpit パッケージが提供する Web コンソールがバージョン 195 にアップグレードされ、多くの新機能およびバグ修正が提供されています。

virt-v2v が SUSE Linux VM を変換できるようになりました。

virt-v2v ユーティリティーを使用して、KVM 以外のハイパーバイザーから、SUSE Linux Enterprise Server (SLES) および SUSE Linux Enterprise Desktop (SLED) ゲストオペレーティングシステム (OS) を使用する仮想マシン (VM) を KVM に変換できるようになりました。

virt-v2v での vmx 設定ファイルを使用した VMware ゲストの変換が可能に

virt-v2v ユーティリティーには、vmx 入力モードが含まれるようになりました。これにより、ゲスト仮想マシンを VMware vmx 設定ファイルから変換できるようになりました。これを行うには、たとえば NFS を使用してストレージをマウントすることにより、対応する VMware ストレージにもアクセスする必要があることに注意してください。-it ssh パラメーターを追加すると、SSH を使用してストレージにアクセスすることもできます。

virt-v2v は VMWare ゲストをより高速かつ確実に変換します

virt-v2v ユーティリティーは、VMWare Virtual Disk Development Kit (VDDK)を使用して VMWare ゲスト仮想マシンを KVM ゲストに変換できるようになりました。これにより、virt-v2v が VMWare ESXi ハイパーバイザーに直接接続できるようになり、変換の速度と信頼性が向上します。

virt-v2v が RHV の UEFI ゲストを変換できる

virt-v2v ユーティリティーを使用して、UEFI ファームウェアを使用する仮想マシンを Red Hat Virtualization (RHV)で実行するように変換できるようになりました。

virt-v2v が VMware ツールをより確実に削除

今回の更新で、virt-v2v ユーティリティーが、virt-v2v が KVM に変換している VMware 仮想マシンから VMware Tools ソフトウェアを自動的に削除しようとする可能性が高くなります。特に、virt-v2v は以下のシナリオで VMWare ツールの削除を試みるようになりました。

ディレクトリーサーバーは、バックエンドトランザクションプラグインが失敗した後にエントリーキャッシュをフラッシュします。

以前は、バックエンドトランザクションプラグインが失敗した場合ディレクトリーサーバーは操作をロールバックしますが、エントリーキャッシュの変更を元に戻しませんでした。そのため、エントリーキャッシュに誤ったエントリーが含まれていました。今回の更新で、バックエンドトランザクションプラグインが失敗した後に、ディレクトリーサーバーがエントリーキャッシュをフラッシュするようになりました。その結果、クライアントは上記の状況でデータベースをクエリーする際に正しいデータを取得します。

ds-replcheck ユーティリティーが、レプリカで一致しない tombstone エントリーを誤って報告しなくなりました。

以前は、管理者が tombstones が存在する異なるディレクトリーサーバーレプリカで ds-replcheck ユーティリティーを実行すると、ds-replcheck はレプリカのいずれかに tombstone エントリーがないことを報告していました。各レプリカでは tombstone エントリーが一致しないことが予想されます。今回の更新により、ds-replcheck は tombstone エントリーを検索しなくなりました。その結果、ユーティリティーは、不足している tombstone エントリーを問題として報告しません。

cleanAllRUV タスクの実行中にサービスをシャットダウンするときに Directory Server がクラッシュしなくなりました。

以前は、cleanAllRUV タスクの実行中にディレクトリーサーバーサービスを停止すると、タスクが使用しているリソースが解放されていました。その結果、サービスは予期せず終了しました。今回の更新で、Directory Server は、サービスのシャットダウンプロセスを開始する前にタスクを完了できるようにする参照カウンターをインクリメントします。その結果、上記のシナリオでサーバーがクラッシュしなくなりました。

passwordInHistory が 0に設定されている場合、Directory Server が現在のパスワードを正しく拒否するようになりました。

以前は、管理者はディレクトリーサーバーの passwordInHistory 属性を 0 に設定できませんでした。その結果、現在使用しているパスワードと同じパスワードにパスワードをリセットできました。この更新により、ユーザーは passwordInHistory を 0 に設定し、その結果、現在のパスワードをチェックできるようになりました。

ディレクトリーサーバーが nsSSL3Ciphers の値を 1023 文字を超えて切り捨てなくなりました。

以前は、ディレクトリーサーバーは固定バッファーサイズを使用して、cn=encryption,cn=config エントリーの nsSSL3Ciphers パラメーターに設定された優先 TLS 暗号を保存していました。その結果、値が 1024 文字を超える場合、サーバーは値を切り捨て、最初の 1023 文字で指定された暗号のみを使用します。今回の修正により、ディレクトリーサーバーは固定バッファーサイズを使用して値を保存しなくなりました。その結果、設定は期待どおりに機能します。

ディレクトリーサーバーは、実際の属性よりも優先度が高い CoS 属性を使用しなくなりました。

以前は、ディレクトリーサーバーは、実際の属性よりも優先度が高い operational-default Class of Service (CoS) 属性を使用していました。その結果、サーバーは、サブツリーで定義された CoS ポリシーを使用して、ローカルパスワードに設定された 属性を上書きしました。今回の更新でこの問題が修正されています。その結果、CoS 定義のパスワードポリシーは期待どおりに機能します。

Directory Server は、パスワードの変更時にユーザーの pwdLastSet フィールドを更新するようになりました。

以前は、パスワードの同期が有効になり、ユーザーがディレクトリーサーバーでパスワードを変更すると、サーバーは pwdLastSet 属性を設定しませんでした。その結果、Active Directory (AD) は引き続きパスワードの更新を強制します。ディレクトリーサーバーは、前述のシナリオで pwdLastSet を更新するようになりました。その結果、以下のことが言えます。AD は、ユーザーにパスワードの再変更を強制しません。

スコープ 1 の検索で、ディレクトリーサーバーで不完全な結果が返されなくなりました。

以前のバージョンでは、ユーザーがスコープを one に設定した検索を実行すると、検索操作は予想されるすべてのエントリーを返しませんでした。今回の更新により、ディレクトリーサーバーは、1 つのレベル検索のエントリー候補リストを正しく作成するようになりました。その結果、サーバーは予想されるエントリーを返します。

IPv6 アドレスと IPv4 アドレスの両方が使用されている場合、ディレクトリーサーバーが ACI の IPv6 アドレスを無視しなくなる

管理者は、アクセス制御命令 (ACI) で IPv4 アドレスと IPv6 アドレスの両方を指定して、アクセスを許可または拒否できます。以前は、ACI に IPv4 アドレスと IPv6 アドレスの両方が含まれる場合、ディレクトリーサーバーは IPv6 アドレスを無視していました。その結果、ACI は期待どおりに機能しませんでした。今回の更新で、ACI での ip キーワードの解析が修正されました。その結果、上記のシナリオで IP ベースの ACI が期待どおりに機能します。

modrdn 操作の読み取り専用ディレクトリーサーバーへの複製が成功するようになりました。

ディレクトリーサーバーの競合エントリー管理では、modrdn 操作の追跡エントリーを追加する必要があります。以前は、これらのエントリーの追加は読み取り専用コンシューマーで失敗し、その結果、modrdn 操作はそのようなインスタンスに複製できませんでした。今回の更新でこの問題が修正されています。その結果、modrdn 操作の読み取り専用コンシューマーへの複製は成功します。

ディレクトリーサーバーがタスクを削除する時間を変更

以前は、ディレクトリーサーバーは、タスク完了から 2 分後にタスクエントリーを削除していました。その結果、タスクを監視していたアプリケーションがタスクの結果を見逃す可能性がありました。この更新により、サーバーがタスクを削除するまでの時間が変更されます。デフォルトでは、インポートおよびエクスポートタスクを除き、完了したすべてのタスクは 1 時間後に削除されるようになりました。ただし、完了後は 24 時間削除されます。

passwordWarning が 86400よりも低く設定されている場合、ディレクトリーサーバーは shadowWarning 属性を返しませんでした。

以前は、cn=config エントリーの passwordWarning 属性が 86400 秒 (1 日未満) に設定されている場合、ディレクトリーサーバーは検索で shadowWarning 属性を返しませんでした。今回の更新でこの問題が修正されています。その結果、サーバーは上記のシナリオで shadowWarning 属性の値を返します。

krb5 メモリーキャッシュがスレッドセーフになりました。

以前は、Kerberos V5 ログインプログラム (krb5) のメモリーキャッシュは完全にスレッドセーフではありませんでした。その結果、マルチスレッドアクセスが予期せず終了していました。今回の更新により、メモリーキャッシュはよりスレッドセーフになるようにクリーンアップされます。その結果、クラッシュは発生しません。

FIPS 140-2 で禁止されている krb5 設定が再び機能するようになりました。

以前は、Kerberos V5 (krb5) システムの Red Hat Enterprise Linux 7.6 ビルドで FIPS 140-2 への準拠が強化されました。その結果、FIPS 140-2 で禁止されている特定の許可された設定が機能しなくなりました。今回の更新で、krb5 が FIPS モードで動作し、FIPS に準拠していないため、変更が元に戻されました。その結果、FIPS 140-2 で禁止されている設定が再び機能するようになりました。

Certificate System は、numSubordinates 属性の値がプロファイルエントリーの数を超えた場合でも起動します。

LDAP numSubordinates 操作属性は、予想されるプロファイルエントリーの数を定義します。以前は、Certificate System は、すべてのプロファイルと軽量の認証局(CA)が読み込まれるまで起動しませんでした。そのため、属性の値がプロファイルエントリーの数を超えると、開始プロセスは完了しませんでした。今回の更新で、watchdog タイマーは、前述のシナリオで短時間の遅延後に開始プロセスを強制的に続行し、Certificate System は予期しない状態をログに記録します。その結果、プロファイルまたは軽量の CA サブツリーの numSubordinates が検索結果のエントリー数を超えると、Certificate System は完了します。

Certificate System では、TLS_RSA_* 暗号がデフォルトで無効になりました。

以前は、デフォルトで TLS_RSA_* 暗号が Certificate System で有効になっていました。ただし、連邦情報処理標準 (FIPS) モードで特定のハードウェアセキュリティーモジュール (HSM) を備えた環境では、これらの暗号はサポートされません。そのため、SSL ハンドシェイクが失敗し、接続は確立されませんでした。今回の更新で、デフォルトで TLS_RSA_* 暗号が無効になります。その結果、FIPS モードでこれらの HSM との接続が機能します。

Certificate System REST API がクリアテキストパスワードをログファイルに保存しなくなりました。

以前は、Certificate System REST API はプレーンなパスワード値を除外しませんでした。その結果、パスワードはログファイルのクリアテキストで表示されました。この更新により、サーバーはパスワード属性値を (sensitive) に置き換えます。その結果、クリアテキストパスワードがログに表示されなくなりました。

Certificate System でクライアント認証を無効にできるようになりました。

以前のバージョンの Certificate System には、CMCAuth で認証するときに TLS クライアント認証を強制する機能が追加されました。ただし、一部の古いアプリケーションは TLS クライアント認証をサポートしないため、Certificate System への接続に失敗しました。今回の更新で、/var/lib/pki/pki-instance_name/ca/conf/CS.cfg ファイルに bypassClientAuth 設定パラメーターが追加されました。その結果、管理者はこのパラメーターを true に設定して、特定のアプリケーションでサポートされていない場合にクライアント認証を無効にできるようになりました。

PKCS #12 ファイルの使用時に Certificate System CA のインストールが成功する

以前は、pki_ca_signing_cert_path パラメーターのデフォルト値が事前に定義されたパスに設定されていました。管理者が PKCS #12 ファイルを使用して認証局 (CA) をインストールする際に pkispawn ユーティリティーがパラメーターを検証する方法が最近変更されたため、インストールは Invalid certificate path: pki_ca_signing_cert_path=/etc/pki/pki-tomcat/external_ca.cert エラーで失敗しました。今回の更新では、pki_ca_signing_cert_path のデフォルト値を削除して問題を修正しています。その結果、上記のシナリオで CA のインストールに成功します。

pki ユーティリティーはパスワードを正しく要求します。

以前は、コマンドラインオプションを使用してパスワードを指定しなかった場合、pki ユーティリティーはパスワードを要求しませんでした。その結果、pki は誤って Error: Missing user password と報告し、操作は失敗しました。pki ユーティリティーが修正され、上記の状況でパスワードの入力が求められるようになりました。

ファイルシステム全体が原因の署名済み監査ログを保存できない場合、Certificate System は自動的にシャットダウンします。

以前は、監査署名が有効で、Certificate System が署名済み監査ログを保存するファイルシステムがいっぱいであった場合、Certificate System は動作を継続しますが、それ以上の操作はログに記録されませんでした。署名された監査ログが欠落しないように、Certificate System は、上記のシナリオで自動的にシャットダウンするようになりました。

SSSD は AD LDAP サーバーを使用して initgroup ルックアップの POSIX 属性を取得します。

SSSD サービスは initgroup ルックアップに Active Directory (AD) グローバルカタログ (GC) を使用しますが、ユーザーのホームディレクトリーやシェルなどの POSIX 属性は、デフォルトでは GC に複製されません。したがって、SSSD が SSSD ルックアップ中に POSIX 属性を要求すると、SSSD は、GC に存在しないため、サーバーから削除される属性を誤って考慮し、SSSD キャッシュからも削除します。今回の更新で、AD LDAP サーバーにスキーマの変更なしに POSIX 属性が含まれるため、initgroup ルックアップが LDAP と GC 接続を適切に切り替えるようになりました。その結果、シェルやホームディレクトリーなどの POSIX 属性は上書きされたり、欠落したりしなくなりました。

ypchsh でシェルを変更しても、NIS が passwd.adjunct を使用するとパスワードが上書きされなくなりました。

以前は、NIS サーバーが passwd.adjunct マップをサポートするように設定され、ユーザーが ypchsh コマンドを使用して NIS クライアントのシェルを変更すると、yppasswdd デーモンは、##username 文字列で passwd.adjunct 内でユーザーのパスワードハッシュを上書きしていました。その結果、影響を受けたユーザーは、パスワードハッシュが破損しているため、ログインできなくなりました。このバグは修正され、yppasswdd はユーザーのシェル情報の更新中にユーザーのパスワードハッシュを上書きしなくなりました。これにより、ypchsh の実行後に、ユーザーは新しいシェルに正常にログインできます。

SystemTap Dyninst バックエンドは、dyninst-devel パッケージなしで動作します。

stap --dyninst コマンドは、SystemTap Dyninst バックエンドを使用します。以前は、dyninst-devel パッケージがインストールされていない場合、このバックエンドは機能しませんでした。その結果、SystemTap は予期せず終了し、ユーザーは dyninst-devel を手動でインストールし、回避策として ldconfig ツールを実行する必要がありました。このバグは修正され、SystemTap Dyninst バックエンドは dyninst-devel パッケージなしで機能するようになりました。

GDB ブレークポイントのデフォルトソースファイルがシンボリックリンクで機能する

以前は、GDB デバッガーは、ファイルがシンボリックリンクである場合、デフォルトのソースファイルのシンボルテーブル情報を見つけることができませんでした。その結果、ユーザーはソースファイル名を省略してデフォルト (break 63 など) を使用してブレークポイントを設定できませんでした。このバグは修正され、ユーザーはシンボリックリンクの背後にあるファイルにブレークポイントを持つデフォルトのソースファイルを使用できるようになりました。

glibc の DNS スタブリゾルバーは、hostname-.example.com などの有効なホスト名を拒否しなくなりました。

glibc の DNS スタブリゾルバーは、hostname-.example.com などの特定の有効なホスト名を拒否し、一部の無効な名前を受け入れました。そのため、インターネット上のホスト名を解決できませんでした。この問題を修正するために、res hnok などの DNS 名検証機能が、ユーザーの期待と仕様により詳細に一致するように調整されました。その結果、hostname-.example.com 形式のホスト名は、DNS に存在する場合は正常に解決できるようになりました。

特定の IBM 文字セットから変換するときに iconv がハングしなくなりました。

以前は、IBM930、IBM933、IBM935、IBM937、および IBM393 文字セットの glibc コンバーターはエラーを返し、無効な冗長なシフトシーケンスに遭遇すると、次の入力文字に進むことができませんでした。そのため、-c オプションを指定して iconv ツールを使用してこれらの文字セットから変換すると、冗長なシフトシーケンスの最初の発生を超えて進捗できないため、ツールが応答しなくなっていました。コンバーターは、これらのシーケンスを受け入れ、正しく続行されるように変更されました。その結果、上記の変換が可能になりました。

iconv は、IBM273 と ISO-8859-1 文字セットの間で変換できます。

以前は、IBM273 文字セットの glibc 実装が ISO-8859-1 文字セットと同等ではありませんでした。Unicode 文字 MACRON の表現がありませんでした。代わりに、MACRON と同じ視覚的表現を持つ OVERLINE Unicode 文字を表すために対応するバイトを使用していました。その結果、glibc が提供する iconv ツールを使用して、OVERLINE 文字を含む IBM273 テキストを ISO-8859-1 に変換するか、MACRON 文字を含む ISO-8859-1 テキストを IBM273 に変換すると、変換中にエラーが発生しました。このバグを修正するために、IBM273 文字セットは OVERLINE 表現を MACRON に置き換えることで、ISO-8859-1 文字セットと同等になりました。その結果、両方の文字セットが MACRON Unicode 文字を使用するようになり、一方から別の文字への変換でエラーが発生しなくなりました。

getifaddrs 呼び出しがアプリケーションを予期せず終了しなくなる

以前は、インターフェイスが同時にカーネルで変更された場合には、glibc ライブラリーの getifaddrs 関数によって生成されたネットワークインターフェイスの一覧にインターフェイス名がない可能性がありました。その結果、このような状況では、getifaddrs を使用するアプリケーションが予期せず終了する可能性があります。これは修正され、getifaddrs はリストがカーネルの状態と同じであることを確認するようになりました。その結果、上記の予期しない終了は発生しません。

暗黙的な作業の前に明示的なターゲットを含む Makefile

以前のリリースでは、Makefile での暗黙的な (パターン) および明示的なターゲットの組み合わせが非推奨になりました。バージョン 3.82 に更新した後、make ビルドツールが混合ターゲットのエラーを返しました。そのため、混合ターゲットを含むレガシー Makefile を使用することはできませんでした。今回の更新により、make は暗黙的なターゲットの前に明示的なターゲットが一覧表示される状況を正しく解析できるようになりました。その結果、特定のレガシー Makefile を修正せずに再度使用できるようになりました。ただし、明示的なターゲットの前に暗黙的なターゲットを使用するとエラーが発生します。

PCP が、大規模システムですべてのプロセス詳細を報告するようになりました。

以前は、Performance Co-Pilot (PCP)ツールキットは、非常に大きなシステムで特定のプロセスの詳細を報告できませんでした。プロセス詳細ファイルを読み取るコードは、最初の 1024 バイトだけでなく、任意の長さのデータを読み取ることができるように変更されました。その結果、上記の PCP エラーが発生しなくなりました。

特定の実行可能ファイルで strip がクラッシュしなくなる

以前は、strip ツールには、実行ファイル構造に関する不明な想定が含まれていました。その結果、特定の実行可能ファイルを削除しようとすると、予期せず strip を終了する可能性があります。この問題が発生しなくなり、strip が正しく機能するように、構造に関する仮定が変更されました。

libdb による CPU 消費の最適化

以前の libdb データベースの更新により、trickle スレッドにおける CPU 消費が過剰になっていました。今回の更新で、CPU 使用率が最適化されました。

passwd --stdin は、パスワードの長さを 79 文字に制限しなくなりました。

--stdin オプションを指定して passwd コマンドを使用してパスワードを変更すると、パスワードの長さは 79 文字に制限されていました。そのため、標準入力で 79 文字を超えるパスワードを入力すると、最初の 79 文字のみが受け入れられ、警告が表示されませんでした。今回の更新で、パスワードの使用を許可するサイズを Pluggable Authentication Module (PAM)で定義されたサイズに調整するように passwd が修正されました。その結果、passwd --stdin コマンドは 79 文字を超えるパスワードを受け入れるようになりましたが、PAM_MAX_RESP_SIZE - 1 文字より長くなるようになりました。この制限を超えると、passwd は標準エラー出力にエラーを報告し、終了コード 1 で終了します。

fixfiles が誤って失敗しなくなりました。

以前は、/etc/selinux/fixfiles_exclude_dirs ファイルに少なくとも 1 つのエントリーが含まれており、/etc/selinux/targeted/contexts/files/file_contexts.local ファイルが存在しない場合、fixfiles スクリプトは失敗しました。今回の更新で、/etc/selinux/targeted/contexts/files/file_contexts.local の存在の要件が削除され、上記のシナリオで fixfiles が正常に機能するようになりました。

Xinerama が有効な場合にシステムが空の画面で起動しなくなる

nvidia または nouveau ドライバーを使用するシステムの /etc/X11/xorg.conf で Xinerama 拡張機能を有効にすると、RANDR X 拡張が無効になります。その結果、RANDR X 拡張が無効になっているため、システムの起動時にログイン画面を起動できませんでした。このバグは修正され、Xinerama が有効になっている場合でもログイン画面が適切に起動されるようになりました。

i915を使用したカーネルでの起動時のソフトロックアップが修正されました。

GM45 のシステムに不適切なファームウェア設定がある場合、不適切な DisplayPort ホットプラグシグナルがあると、起動時に i915 ドライバーがオーバーロードする可能性があります。その結果、ビデオドライバーが問題を回避しようとした間、特定の GM45 システムでは起動時間が非常に遅くなっていました。カーネルがソフトロックアップも報告する場合があります。このバグは修正され、上記のシナリオでロックアップが発生しなくなりました。

高速なユーザー切り替え中に X.org サーバーがクラッシュしなくなる

以前は、X.Org X11 qxl ビデオドライバーがシャットダウン時に残りの仮想端末イベントをエミュレートしませんでした。その結果、ユーザーの切り替え時に X.Org ディスプレイサーバーが予期せず終了し、ユーザーの切り替え時に現在のユーザーセッションが終了しました。今回の更新で qxl が修正され、高速なユーザーの切り替え時に X.org サーバーがクラッシュしなくなりました。

root 以外のユーザーが、multiuser オプションを使用してマウントされた SMB 共有にアクセスできるようになりました。

Red Hat Enterprise Linux (RHEL) 7.5 では、ドメインが指定されていないときに NT LAN Manager (NTLM)認証を処理するための修正が追加されました。この変更は、NTLM を使用する際に cifs.ko カーネルモジュールがドメイン名を選択する方法に影響を与えました。その結果、サーバーメッセージブロック(SMB)共有が multiuser オプションでマウントされると、正しくないドメイン名が選択され、root 以外のユーザーがマウントされた SMB 共有にアクセスできませんでした。この更新により、修正が元に戻されます。これにより、multiuser でマウントされたファイル共有に、RHEL 7.7 の root 以外のユーザーがアクセスできるようになりました。

ネットワークファイルシステムの 4 GB 以上の領域を占有している場合、ネットワーク上でディスククォータ制限を設定すると再び機能します。

以前のバージョンでは、setquota ユーティリティーは、使用されているディスクサイズの形式が正しくないため、NFS サーバーと通信するときに 4 GB を超える占有領域を処理できませんでした。したがって、NFS でマウントされたファイルシステムで 4 GB の使用されている領域を超えるユーザーにディスククォータ制限を設定すると、setquota は操作を実行できませんでした。今回の更新で、使用されているディスクサイズを RPC プロトコル形式に変換し、上記の問題が発生しなくなりました。

NVDIMM コマンドがインストール後にキックスタートスクリプトファイル anaconda-ks.cfg に追加される

インストーラーは、システムのインストールに使用する設定と同等のキックスタートスクリプトを作成します。このスクリプトは、/root/anaconda-ks.cfg ファイルに保存されます。以前は、グラフィカルユーザーインターフェイスを使用して RHEL をインストールすると、Non-Volatile Dual In-line Memory (NVDIMM)デバイスの設定に使用される nvdimm コマンドがこのファイルに追加されませんでした。このバグは修正され、キックスタートファイルに期待どおりに nvdimm コマンドが含まれるようになりました。

グラフィカルインストールプログラムで無効なパスフレーズが許可されなくなる

以前は、グラフィカルインストールプログラムを使用して RHEL 7 をインストールすると、Partitioning Disk Encryption Passphrase ダイアログボックスの passphrase フィールドを空のままにし、Save Passphrase ボタンをクリックし、パーティション設定タスクを完了できました。その結果、パーティション設定が間違っており、ディスク暗号化プロセスをキャンセルするか、有効なパスフレーズを入力する必要がありました。今回の更新により、有効かつ空でないパスフレーズを入力する場合にのみ、Save Passphrase ボタンを使用できます。

カーネル起動パラメーター version または inst.version を指定しても、インストールプログラムが停止しなくなります。

以前では、version または inst.version のブートパラメーターを指定してカーネルコマンドラインからインストールプログラムを起動すると、バージョン (例: anaconda 30.25.6) が表示され、インストールプログラムが停止していました。

RHEL 7.7 グラフィカルインストールで、対応している NVDIMM デバイスセクターサイズが表示されるようになりました。

以前は、グラフィカルユーザーインターフェイス(GUI)を使用して NVDIMM デバイスを設定する場合は、サポートされていないセクターサイズを入力できました。警告メッセージは表示されず、その結果、再設定エラーが発生しました。今回の更新では、セクターサイズダイアログボックスに、サポートされているセクターサイズ( 512 および 4096 )のみを表示するドロップダウンリストが含まれるようになりました。

cockpit-composer から開始されたジョブのキャンセルが失敗しなくなりました。

イメージビルドプロセスは、イメージビルドのキャンセルをサポートしていませんでした。その結果、composer-cli compose cancel を使用して cockpit-composer GUI から開始されたジョブをキャンセルすると、ハングした Compose API サーバーがハングし、新たにキューに入れられたジョブビルドが開始されず、待機状態のままになります。この問題を修正するために、イメージビルドプロセスをキャンセルする機能が実装されています。その結果、cockpit-composer から開始されたジョブをキャンセルしても失敗しなくなりました。

rpm コマンドが --setcaps および --restore オプションをサポートするようになりました。

今回の更新で、rpm コマンドに --setcaps および --restore オプションが追加されました。

GRUB 2 regexp コマンドが欠落しなくなりました。

以前は、Grand Unified Bootloader バージョン 2 (GRUB2) の regexp コマンドを提供するモジュールが GRUB2 EFI バイナリーにありませんでした。その結果、セキュアブートが有効になっている UEFI システムでは、regexp を使用すると error: can't find command 'regexp' というメッセージが表示され、失敗していました。今回の更新では、regexp を提供するモジュールが GRUB2 EFI バイナリーに含まれ、上記の状況で正常に機能するようになりました。

特定の IP セットタイプでゼロ長の CIDR 値をサポートするようになりました。

以前は、カーネルは最初の長さの Classless Inter-domain Routing (CIDR)ネットワークマスク値と hash:net,port,net および hash:net6, port,net6 IP セットタイプの最後のパラメーターを拒否していました。そのため、すべてのネットワークの宛先に対してポートを照合できませんでした。今回の更新により、上記の IP セットタイプの最初のパラメーターと最後のパラメーターでゼロ長の CIDR 値が許可されるようになりました。これにより、管理者はすべての宛先に有効なポートに一致するファイアウォールルールを作成できます。

サーバー側にマウントされた NFS マウントディレクトリーの AVC 拒否

NFS crossmnt マウントは、プロセスがサーバー上のマウントポイントとして使用されるサブディレクトリーにアクセスすると、内部マウントを自動的に作成します。その結果、SELinux は NFS マウントディレクトリーにアクセスするプロセスにマウントパーミッションがあるかどうかを確認し、アクセスベクターキャッシュ(AVC)の拒否を引き起こす可能性があります。この更新により、このタイプの内部マウントでは、SELinux パーミッションチェックが省略されます。そのため、サーバー側でマウントされている NFS ディレクトリーにアクセスする場合、マウントパーミッションは必要ありません。

intel_pstate ドライバーは、HWP が無効になっている Intel Skylake-X システムでロードされます。

以前は、Intel Skylake-X システムでは、ハードウェア P-States (HWP)が無効になっている場合は、intel_pstate ドライバーを読み込むことができませんでした。その結果、カーネルは、acpi_cpufreq ドライバーのロードにデフォルト設定されました。今回の更新で問題が修正され、上記のシナリオで intel_pstate が正しく読み込まれるようになりました。

VDO 上の RAID 10 reshape でデータの破損が発生しなくなりました。

以前は、VDO 破損データの上に RAID 10 を再成形 (LVM とmdadm の両方を使用) していました。今回の修正により、データの破損が発生しなくなりました。ただし、VDO の上に RAID 10 (または他の RAID タイプ) をスタッキングすることは、VDO の重複排除機能と圧縮機能を活用しないため、推奨できません。

RAID1 の write-behind がカーネルパニックをトリガーしなくなりました。

以前は、Redundant Array of Independent Disks Mode 1 (RAID1) 仮想化テクノロジーの write-behind モードは、上層の bio 構造を使用していました。この構造は、下層のレイヤーディスクに書き込まれたバイオ構造が戻った直後に解放されました。その結果、カーネルパニックがトリガーされ、write-behind 関数を使用できませんでした。今回の更新で問題が修正され、上記のシナリオでカーネルパニックをトリガーせずに、write-behind を使用できるようになりました。

カーネルが、bitmap:ipmac、hash:ipmac、および hash:mac IP セットタイプでの宛先 MAC アドレスに対応するようになりました。

以前では、bitmap:ipmac、hash:ipmac、および hash:mac IP セットタイプのカーネル実装のみ、ソース MAC アドレスでの一致のみを許可し、宛先の MAC アドレスは指定可能ですが、セットエントリーに対してマッチしていませんでした。これにより、管理者は、これらの IP セットタイプのいずれかで、宛先の MAC アドレスを使用する iptables ルールを作成できましたが、指定の仕様に一致するパケットは実際には分類されていませんでした。今回の更新で、カーネルは、宛先 MAC アドレスを比較し、指定の分類がパケットの宛先 MAC アドレスに対応していル場合に一致を返すようになりました。これにより、宛先の MAC アドレスに対してパケットに一致するルールが正しく動作するようになりました。

kdump カーネルが、CPU のホット追加またはホット削除操作後に起動できるようになりました。

kdump が有効になっている IBM Power Systems のリトルエンディアンバリアントで Red Hat Enterprise Linux 7 を実行すると、CPU のホット追加操作またはホット削除操作後に kexec システムコールによりトリガーされた場合に、kdump クラッシュカーネルを起動できませんでした。今回の更新では、CPU のオンラインイベントとオフラインイベントを使用することで、バグが修正されています。これにより、上記のシナリオで kdump カーネルが起動を管理します。

dnsmasq が 1024 未満のポートをソースポートとして使用しなくなる

以前は、Domain Name System forwarder (dnsmasq) が 1024 未満のすべてのポートをクエリーしていました。ただし、Berkeley Internet Name Domain (BIND)は、一部の低ポートから受信した DNS クエリーを破棄します。そのため、BIND ではターゲットポート 464 が無視されました。今回の更新により、dnsmasq はカスタムのランダムポートジェネレーターを使用しないように修正されましたが、オペレーティングシステムが代わりにランダムポートを割り当てることができるようになりました。その結果、dnsmasq は 1024 未満のポートをソースポートとして使用しなくなり、BIND で上記の問題を防ぎます。

キャッシュが有効な dnsmasq が DNSSEC レコードなしでキャッシュされた応答を返さなくなりました。

以前のバージョンでは、キャッシュが有効な dnsmasq サービスは、クエリーに DNSSEC OK ビットが設定されていても、DNSSEC レコードなしでキャッシュされた応答を返していました。そのため、返される返信は dnsmasq の下でクライアントによる DNSSEC 検証に合格できませんでした。これにより、dnsmasq の下にあるクライアントは DNSSEC 検証を使用できません。これを修正するには、DNSSEC OK ビットが設定されたリクエストを常に転送し、DNSSEC 検証がローカルで有効になっていない限り、キャッシュされた値は使用しないでください。その結果、dnsmasq の下のクライアントはすべての応答を正常に検証できます。

ipset サービスが、他のセットに依存するセットをロードできるようになりました。

EOFhe ipset サービスは、IP セット(IP アドレスのリスト)を別のファイルに保存します。Red Hat Enterprise Linux (RHEL) 7.6 では、サービスの開始時に、各セットが順番に読み込まれ、その間の依存関係を無視していました。その結果、サービスは他のセットへの依存関係で IP セットの読み込みに失敗しました。今回の更新で、ipset サービスが保存した設定に含まれるすべてのセットを作成し、そのエントリーを追加します。その結果、他のセットへの依存関係を持つ IP セットを読み込むことができるようになりました。

ipset サービスにおけるエラーロギングが改善されました。

以前では、ipset サービスにより、systemd ログに、有意の重大度とともにエラーが報告されていませんでした。無効な設定エントリーの重大度レベルは、情報 通知のみで、サービスは、使用できない設定のエラーを報告していませんでした。したがって、管理者が ipset サービスの設定で問題を特定してトラブルシューティングを行うことは困難でした。今回の更新で、ipset が、systemd ログで 警告 として設定問題を報告します。サービスが起動できない場合は、詳細を含む エラー の重大度とともにエントリーをログに記録するようになりました。このため、ipset サービスの設定での問題のトラブルシューティングが可能になりました。

ipset が、システムの起動時に無効な設定エントリーを無視するようになりました。

ipset サービスは、設定を別のファイルにセットとして保存します。以前では、サービスを起動すると、セットを手動で編集して挿入できる無効なエントリーをフィルタリングせずに、1 回の操作ですべてのセットから設定を復元していました。したがって、単一の設定エントリーが無効だった場合でも、このサービスは、それ以上の関連しないセットを復元していませんでした。この問題が修正されました。これにより、ipset サービスが復元操作時に無効な設定エントリーを検出して削除し、無効な設定エントリーを無視します。

firewalld がバージョン 0.6.3 にリベース

firewalld パッケージがアップストリームバージョン 0.6.3 にアップグレードし、以前のバージョンにバグ修正が数多く追加されました。

SELinux ポリシーの再読み込みでは、正しくない ENOMEM が発生しなくなりました。

以前では SELinux ポリシーをリロードすると、内部セキュリティーコンテキストルックアップテーブルが応答しなくなっていました。したがって、ポリシーの再ロード時にカーネルが新しいセキュリティーコンテキストに遭遇すると、正しくない Out of memory (ENOMEM) エラーで操作が失敗していました。今回の更新で、内部セキュリティー識別子 (SID) ルックアップテーブルが再設計され、フリーズしなくなりました。その結果、カーネルは、SELinux ポリシーの再読み込み時に誤解を招くエラーを返さなくなりました。

NSS が IPsec で使用する X.509 証明書を正しく処理するようになりました。

以前は、NSS ライブラリーは IPsec で使用する X.509 証明書を適切に処理しませんでした。その結果、X.509 証明書に serverAuth および clientAuth 属性が含まれていない空でない Extended Key Usage (EKU)属性がある場合、Libreswan IPsec の実装は証明書の検証を誤って拒否していました。今回の更新で、NSS の IPsec プロファイルが修正され、Libreswan が上記の証明書を許可できるようになりました。

NSS は、RSA-PSS 鍵を使用した RSA PKCS#1 v1.5 署名を受け入れなくなりました。

RSA-PSS 鍵は、RSA-PSS 署名のみの作成にのみ使用でき、PKCS#1 v1.5 アルゴリズムを使用する鍵を使用して行われた署名が標準に違反する場合に使用できます。以前は、ネットワークセキュリティーサービス (NSS) ライブラリーは、対応する秘密鍵を使用して作成された署名を検証するときに、サーバーが使用する RSA 公開鍵のタイプをチェックしませんでした。その結果、NSS は、RSA-PSS 鍵で行われた場合でも、PKCS#1 v1.5 署名を有効なものとして受け入れます。

ユーザーの切り替え時に、承認されたキーへのアクセスが失敗しなくなりました。

以前は、AuthorizedKeysCommand* 設定オプションを使用して認証キーを取得するユーザーを変更すると、OpenSSH のグループ情報キャッシュがクリーンアップされませんでした。その結果、グループ情報が正しくないため、新しいユーザーの認証キーにアクセスしようとすると、失敗していました。このバグは修正され、ユーザーが変更されると認証キーが正常にアクセスされるようになりました。

scap-security-guide が、コンテナーおよびコンテナーイメージには適用されないルールを正しくスキップするようになりました。

SCAP セキュリティーガイドのコンテンツを使用して、コンテナーとコンテナーイメージをスキャンできるようになりました。コンテナーおよびコンテナーイメージに該当しないルールは、特定の CPE 識別子でマークされています。その結果、これらのルールの評価は自動的に省略され、コンテナーおよびコンテナーイメージのスキャン時に not applicable という結果が報告されます。

SCAP セキュリティーガイドの Ansible Playbook は、一般的なエラーが原因で失敗しなくなりました。

以前は、SCAP Security Guide コンテンツに含まれる Ansible タスクは、設定ファイルの欠落、存在しないファイル、またはアンインストールされたパッケージなど、特定の一般的なケースを処理できませんでした。その結果、SCAP Security Guide から Ansible Playbook を使用する場合や oscap コマンドで生成された場合、ansible-playbook コマンドはすべてのエラーで終了していました。今回の更新で、一般的なケースを処理するように Ansible タスクが更新され、Playbook の実行中に一般的なエラーが発生した場合でも、SCAP セキュリティーガイドの Ansible Playbook を正常に実行できるようになりました。

SCAP Security Guide が dconf 設定を正しくチェックするようになりました。

今回の更新以前は、SCAP Security Guide プロジェクトで使用される OVAL (Open Vulnerability and Assessment Language) チェックは、dconf バイナリーデータベースを直接チェックしませんでしたが、それぞれのキーファイルのみを確認していました。これにより、スキャン結果が誤検出されたり、負の値になったりする可能性がありました。今回の更新で、SCAP Security Guide は 1 つ以上のチェックコンポーネントを追加し、dconf バイナリーデータベースがそれらのキーファイルに関して最新の状態になるようにします。その結果、複雑なチェックは dconf 設定を正しくチェックするようになりました。

SELinux により、gssd_t プロセスが他のプロセスのカーネルキーリングにアクセスできるようになりました。

以前は、SELinux ポリシーに gssd_t タイプの allow ルールがありませんでした。これにより、Enforcing モードの SELinux により、gssd_t が他のプロセスのカーネルキーリングにアクセスできない可能性があり、sec=krb5 マウントなどがブロックされる可能性があります。このルールがポリシーに追加され、gssd_t として実行されているプロセスが他のプロセスのキーリングにアクセスできるようになりました。

SELinux が snapperd によるセキュリティー以外のディレクトリーの管理をブロックしなくなりました。

今回の更新以前は、snapper デーモン (snapperd) の allow ルールが SELinux ポリシーに欠落していました。したがって、snapper は、Enforcing モードで SELinux を使用して、新しいスナップショットの btrfs ボリューム上に設定ファイルを作成できませんでした。今回の更新で、不足しているルールが追加され、SELinux により snapperd がセキュリティー以外のディレクトリーをすべて管理できるようになりました。

sudo I/O ロギング機能が、SELinux が制限されたユーザーでも機能するようになりました。

今回の SELinux ポリシーの更新前に、ユーザードメインが汎用疑似端末インターフェイスの使用を許可するルールが欠落していました。そのため、sudo ユーティリティーの I/O ロギング機能は、SELinux が制限されたユーザーに対して機能しませんでした。不足しているルールがポリシーに追加され、上記のシナリオで I/O ロギング機能が失敗しなくなりました。

LDAP を使用して設定された sudo が sudoRunAsGroup を正しく処理

以前のバージョンでは、LDAP を使用して設定された sudo ツールは、sudoRunAsGroup 属性が定義され、sudoRunAsUser 属性が定義されていなかった場合にケースを正しく処理しませんでした。これにより、root ユーザーがターゲットユーザーとして使用されていました。今回の更新で、sudoers.ldap (5) man ページに記載されている動作と一致するように sudoRunAsGroup の処理が修正され、上記のシナリオで sudo が適切に動作するようになりました。

chronyd が再起動後に NTP サーバーとの同期に失敗しなくなりました。

以前は、ネットワークスクリプトによってインターフェイスが制御され、NetworkManager が同時に有効になっていると、chrony NetworkManager のディスパッチャースクリプトは、システムの起動時に NTP ソースをオフライン状態に切り替えていました。そのため、chronyd はシステムクロックを同期できませんでした。今回の更新で、chrony ディスパッチャースクリプトは、着信またはダウンしているインターフェイスに関係のないイベントを無視します。その結果、chronyd は、上記の状況で期待どおりに NTP サーバーと同期するようになりました。

同じサーバーで実行している SSSD が ignore_group_members = trueに設定されている場合、CUPS がアクセスを拒否しなくなりました。

SSSD (System Security Services Daemon)が /etc/sssd/sssd.conf ファイルの ignore_group_members = true 設定を使用する場合、getgrnam() 関数は、SSSD が取得したグループのメンバーのないグループ構造を返します。これは予想される動作です。以前は、CUPS は getgrnam() のみを使用して、ユーザーがグループのメンバーであるかどうかを確認していました。その結果、SSSD が、グループのメンバーのサーバーへのアクセスを許可するためにグループを使用する CUPS サーバーの上記の設定で設定されていた場合、CUPS はこれらのグループ内のユーザーへのアクセスを拒否します。今回の更新で、CUPS は追加で getgrouplist() 関数を使用するようになりました。これは、SSSD が ignore_group_members = true で設定されている場合でもグループメンバーを返します。その結果、CUPS は、前述のシナリオのグループメンバーシップに基づいてアクセスを正しく決定します。

dbus-daemon の実行でシステムサービスのアクティブ化に失敗しなくなる

D-Bus メッセージバスデーモン (dbus-daemon) をバージョン 1.10.24 にリベースすると、複数の dbus ツールの場所が移行されました。dbus-send 実行可能ファイルは、/bin ディレクトリーから /usr/bin ディレクトリーに移動されました。dbus-daemon-launch-helper 実行可能ファイルは、libdir ディレクトリーから libexecdir ディレクトリーに移動されました。その結果、dbus-send コマンドと呼ばれるパッケージのスクリプトレットが D-Bus にメッセージを送信し、サービスアクティベーションがトリガーされると、アクティベーションが失敗する可能性があります。今回の更新で、dbus-daemon-launch-helper の古い場所と新しい場所の間に互換性シンボリックリンクを作成することで、バグが修正されました。その結果、実行中のすべての dbus-daemon インスタンスは、システムバスを呼び出し、システムサービスをアクティブにできるようになりました。

レスキューシステムでのチーミングが再度正常に機能する

アドバイザリー RHBA-2019:0498 で提供される更新により、ReaR の複数の問題が修正され、複雑なネットワーク設定に影響が及ぶようになりました。ただし、チーミングの場合は、この更新で別の問題が発生しました。チームに複数のメンバーインターフェイスがある場合、チームデバイスはレスキューシステムで正しく設定されませんでした。そのため、RHBA-2019:0498 が提供する更新を適用した後、以前の動作を維持するために回避策が必要でした。今回の更新で ReaR のバグが修正され、レスキューシステムでのチーミングが正しく機能するようになりました。

RHOSP 10 の RHEL 7 ノードで仮想マシンが正常に機能するようになりました。

以前のリリースでは、Red Hat OpenStack Plaform 10 (RHOSP 10) の Red Hat Enterprise Linux 7 (RHEL 7) ノードを新しいマイナーバージョンにアップグレードすると、そのノードでホストされる仮想マシン (VM) を起動できなくなることがありました。今回の更新で、tuned サービスが kvm-intel モジュールのパラメーターを設定する方法が修正され、上記の問題が発生しなくなりました。

Tuned での ksm および ksmtuned の処理を修正

以前は、ksm サービスおよび ksmtuned サービスが有効になっている場合、Tuned が cpu-partitioning プロファイルの適用に失敗することがありました。今回の更新で、ksm および ksmtuned サービスの処理が修正されました。その結果、Tuned は cpu-partitioning プロファイルを確実に適用するようになりました。

存在しない sysctl 設定を参照する /var/log/tuned/tuned.log のエラーメッセージは、Tuned プロファイルがロードされたときに発生しなくなりました。

以前は、Tuned デーモンは存在しない sysctl 設定をエラーとして処理していました。たとえば、net.bridge.bridge-nf-call-ip6tables、net.bridge.bridge-nf-call-iptables、または net.bridge.bridge-nf-call-arptables (一部のシステムで利用できない)　は、/var/log/tuned/tuned.log ファイルでエラーを引き起こす可能性があります。

LVM が、物理ボリュームの割り当て可能な領域の最初の 128kB でデータが破損することがなくなりました。

以前は、LVM の I/O レイヤーのバグにより、まれにデータが破損する可能性がありました。このバグは、以下の条件が同時に true の場合にのみマニフェストされる可能性がありました。

システムの起動が ndctl によって遅延しなくなる

以前は、ndctl パッケージによりインストールされた udev ルールが、Non-Volatile Dual In-line Memory Module (NVDIMM)デバイスを備えたシステムで、数分間システムの起動プロセスを遅らせることがありました。このような場合、systemd は以下のようなメッセージを表示します。

systemd-importd 仮想マシンおよびコンテナーイメージのインポートおよびエクスポートのサービス

最新版の systemd バージョンには、以前のビルドでは有効でなかった systemd-importd デーモンが含まれており、これにより machinectl pull-* コマンドが失敗していました。systemd-importd デーモンはテクノロジープレビューとして提供され、安定性に欠けると見なされています。

コンテナー化された Identity Management サーバーがテクノロジープレビューとして利用可能に

rhel7/ipa-server コンテナーイメージがテクノロジープレビューとして利用できます。rhel7/sssd コンテナーイメージは完全にサポートされるようになりました。

非表示のレプリカとして IdM を設定することがテクノロジープレビューとして利用可能に

この機能拡張により、管理者は Identity Management (IdM) レプリカを隠しレプリカとして設定できるようになりました。隠しレプリカは、稼働中および利用できるすべてのサービスを持つ IdM サーバーです。ただし、DNS のサービスに SRV レコードが存在せず、LDAP サーバーロールが有効になっていないため、他のクライアントやマスターには通知されません。そのため、クライアントはサービス検出を使用して隠しレプリカを検出することはできません。

DNSSEC が IdM でテクノロジープレビューとして利用可能になりました。

統合 DNS のある Identity Management (IdM) サーバーは、DNS プロトコルのセキュリティーを強化する DNS に対する拡張セットである DNS Security Extensions (DNSSEC) に対応するようになりました。IdM サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。

Identity Management JSON-RPC API がテクノロジープレビューとして利用可能になりました。

Identity Management (IdM) では API が利用できます。API を表示するために、IdM は、テクノロジープレビューとして API ブラウザーも提供します。

AD および LDAP の sudo プロバイダーの使用

AD (Active Directory) プロバイダーは、AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 以降では、AD sudo プロバイダーを LDAP プロバイダーとともに使用することがテクノロジープレビューとして利用できます。AD sudo プロバイダーを有効にするには、sssd.conf ファイルターミナルの [domain] セクションにsudo_provider=ad 設定を追加します。

Custodia シークレットサービスプロバイダーがテクノロジープレビューとして利用可能に

シークレットサービスプロバイダーの Custodia がテクノロジープレビューとして利用できます。Custodia は鍵やパスワードなどのシークレットのプロキシーとして保存または機能します。

テクノロジープレビューとして利用可能な corosync-qdevice のヒューリスティック

ヒューリスティックは、起動、クラスターメンバーシップの変更、corosync-qnetd への正常な接続でローカルに実行され、任意で定期的に実行される一連のコマンドです。すべてのコマンドが時間どおりに正常に終了すると (返されるエラーコードがゼロである場合)、ヒューリスティックは渡されますが、それ以外の場合は失敗します。ヒューリスティックの結果は corosync-qnetd に送信され、クォーラムとなるべきパーティションを判断するための計算に使用されます。

新しい fence-agents-heuristics-ping フェンスエージェント

Pacemaker は、テクノロジープレビューとして fence_heuristics_ping エージェントに対応するようになりました。このエージェントの目的は、実際にはフェンシングを行わず、フェンシングレベルの動作を新しい方法で活用する実験的なフェンスエージェントのクラスを開くことです。

pcs ツールが Pacemaker でバンドルリソースを管理

Pacemaker が、Red Hat Enterprise Linux 7.4 以降のテクノロジープレビューとして、必要とされるインフラストラクチャーを使用する Docker コンテナーを起動する特別な構文に対応します。Pacemaker バンドルを作成したら、バンドルがカプセル化する Pacemaker リソースを作成できます。コンテナーの Pacemaker サポートの詳細は、High Availability Add-On Reference を参照してください。

新しい LVM および LVM ロックマネージャーリソースエージェント

Red Hat Enterprise Linux 7.6 では、lvmlockd および LVM-activate の 2 つのリソースエージェントがテクノロジープレビューとして新たに導入されました。

Wayland がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux で、Wayland のディスプレイサーバープロトコルがテクノロジープレビューとして利用できるようになり、GNOME で Wayland のサポートを有効にするのに必要な分数スケールに対応する依存関係のパッケージが追加されました。Wayland は、libinput ライブラリーを入力ドライバーとして使用します。

分数スケールがテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.5 以降の GNOME では、DPI が低 (scale 1) と高 (scale 2) の中間になってしまうモニターの問題に対処するため、分数スケールがテクノロジープレビューとして提供されています。

ファイルシステム DAX が、テクノロジープレビューとして ext4 および XFS で利用可能

Red Hat Enterprise Linux 7.3 以降、Direct Access (DAX) は、テクノロジープレビューとして、永続メモリーをそのアドレス領域に直接マッピングする手段を提供します。

pNFS ブロックレイアウトが利用可能に

テクノロジープレビューとして、Red Hat Enterprise Linux クライアントがブロックレイアウト機能を設定して pNFS 共有をマウントできるようになりました。

OverlayFS

OverlayFS は、ユニオンファイルシステムのタイプです。ユーザーは、あるファイルシステムに別のファイルシステムを重ねることができます。変更は上位のファイルシステムに記録され、下位のファイルシステムは変更しません。これにより、ベースイメージが読み取り専用メディアにあるコンテナーや DVD-ROM などのファイルシステムイメージを、複数のユーザーが共有できるようになります。追加情報は、Linux カーネルのドキュメント を参照してください。

Btrfs ファイルシステム

B-Tree ファイルシステム (Btrfs) は、Red Hat Enterprise Linux 7 ではテクノロジープレビューとして提供されています。

LSI Syncro CS HA-DAS アダプター

Red Hat Enterprise Linux 7.1 には、LSI Syncro CS の HA-DAS (high-availability direct-attached storage) アダプターを有効にするため、megaraid_sas ドライバーにコードが含まれていました。megaraid_sas ドライバーは、これまで有効であったアダプターに対して完全にサポートされますが、Syncro CS に対してはテクノロジープレビューとして提供されます。このアダプターのサポートは、LSI、システムインテグレーター、またはシステムベンダーにより直接提供されます。Red Hat Enterprise Linux 7.2 以上に Syncro CS をデプロイする場合は、Red Hat および LSI へのフィードバックにご協力ください。

tss2 で IBM Power LE に対して TPM 2.0 が有効に

tss2 パッケージにより、IBM Power LE アーキテクチャー向けに、テクノロジープレビューとして Trusted Computing Group Software Stack (TSS) 2.0 の IBM 実装が追加されます。このパッケージにより、TPM 2.0 デバイスとの対話が可能になります。

ibmvnic デバイスドライバーがテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.3 以降、IBM POWER アーキテクチャー向け IBM Virtual Network Interface Controller (vNIC) ドライバーである ibmvnic がテクノロジープレビューとして利用できるようになりました。vNIC は、エンタープライズ機能を提供し、ネットワーク管理を簡素化する PowerVM 仮想ネットワーク技術です。SR-IOV NIC と組み合わせると、仮想 NIC レベルで帯域幅制御サービス品質 (QoS) 機能が提供される、高性能で効率的な技術です。vNIC は、仮想化のオーバーヘッドを大幅に削減するため、ネットワーク仮想化に必要な CPU やメモリーなど、待機時間が短縮され、サーバーリソースが少なくなります。

Aero アダプターがテクノロジープレビューとして利用可能に

以下の Aero アダプターがテクノロジープレビューとして利用可能になりました。

ice ドライバーがテクノロジープレビューとして利用可能に

Intel® Ethernet Connection E800 Series Linux Driver (ice.ko.xz) はテクノロジープレビューとして利用できます。

igc ドライバーがテクノロジープレビューとして利用可能に

Intel® 2.5G Ethernet Linux Driver (igc.ko.xz) はテクノロジープレビューとして利用できます。

トレースのための eBPF システムコール

Red Hat Enterprise Linux 7.6 では、eBPF (Extended Berkeley Packet Filter) ツールがテクノロジープレビューとして導入されます。このツールは、トレーシングサブシステムに対してのみ有効になります。詳細は Red Hat ナレッジベースアーティクル Kernel tracing using eBPF を参照してください。

HMM (heterogeneous memory management) 機能がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.3 では、テクノロジープレビューとして heterogeneous memory management (HMM) 機能が導入されました。この機能は、プロセスアドレス空間を独自のメモリー管理ユニット (MMU) にミラーする必要のあるデバイスのヘルパーレイヤーとして、カーネルに追加されています。これにより、CPU 以外のデバイスプロセッサーは、統一システムアドレス空間を使用してシステムメモリーを読み取ることができます。この機能を有効にするには、experimental_hmm=enable をカーネルコマンドラインに追加します。

kexec がテクノロジープレビューとして利用可能に

kexec システムコールがテクノロジープレビューとして提供されています。このシステムコールを使用すると現在実行中のカーネルから別のカーネルを読み込んだり、起動したりすることが可能で、カーネル内のブートローダーとして機能します。通常はシステム起動中に実行されるハードウェアの初期化が kexec の起動中に行われないため、再起動にかかる時間が大幅に短縮されます。

テクノロジープレビューとしての kexec fast reboot

Red Hat Enterprise Linux 7.5 で導入された kexec fast reboot 機能は、引き続きテクノロジープレビューとして利用できます。kexec fast reboot を使用するとシステムの再起動の速度が大幅に向上します。この機能を使用するには、kexec カーネルを手動で読み込んでから、オペレーティングシステムを再起動する必要があります。

perf cqm が resctrl に置き換え

Intel Cache Allocation Technology (CAT) が Red Hat Enterprise Linux 7.4 でテクノロジープレビューとして導入されました。ただし、perf インストラクチャーと CQM (Cache Quality of Service Monitoring) ハードウェアサポートの不整合により、perf cqm ツールが正常に機能しませんでした。したがって、perf cqm の使用時にさまざまな問題が生じていました。

TC HW オフロード処理がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.6 以降、トラフィック制御 (TC) ハードウェアのオフロードがテクノロジープレビューとして利用できます。

AMD xgbe ネットワークドライバーがテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.6 以降、AMD xgbe ネットワークドライバーがテクノロジープレビューとして利用できます。

Secure Memory Encryption はテクノロジープレビューとしてのみ利用可能に

現在、Secure Memory Encryption (SME) には、kdump 機能と互換性がありません。これは、kdump カーネルが SME で暗号化したメモリーの暗号化を解除するためのメモリーキーが欠如しているためです。Red Hat は、SME を有効にすると、テスト中のサーバーが一部の機能を実行できない可能性があるため、この機能は実稼働環境での使用には適していないことを把握しています。このため、SME はサポートレベルをサポート対象からテクノロジープレビューに変更しています。Red Hat またはシステムベンダーへの実稼働前のテスト中に見つかった問題を報告することが推奨されます。

criu がバージョン 3.5 にリベース

Red Hat Enterprise Linux 7.2 では、criu ツールがテクノロジープレビューとして導入されました。このツールは、実行中のアプリケーションをフリーズさせ、ファイルの集合としてこれを保存する Checkpoint/Restore in User-space (CRIU) を実装します。アプリケーションは、後にフリーズ状態から復元できます。

mlx5_core ドライバーがテクノロジープレビューとして Mellanox ConnectX-6 Dx ネットワークアダプターに対応

今回の機能拡張により、Mellanox ConnectX-6 Dx ネットワークアダプターの PCI ID が mlx5_core ドライバーに追加されました。このアダプターを使用するホストでは、RHEL は mlx5_core ドライバーを自動的に読み込みます。Red Hat は、この機能をサポート対象外のテクノロジープレビューとして提供していることに注意してください。

Cisco usNIC ドライバー

UCM (Cisco Unified Communication Manager) サーバーには Cisco 専用の usNIC (User Space Network Interface Controller) を提供するオプション機能があります。これを使用すると、ユーザー空間のアプリケーションに対して RDMA (Remote Direct Memory Access) のような動作を実行できるようになります。テクノロジープレビューとして利用可能な libusnic_verbs ドライバーにより、Verbs API に基づいた標準の InfiniBand RDMA プログラミングを介して usNIC デバイスを使用できます。

Cisco VIC カーネルドライバー

Cisco VIC Infiniband のカーネルドライバーをテクノロジープレビューとして利用できます。これにより、専用の Cisco アーキテクチャーで、RDMA (Remote Directory Memory Access) のようなセマンティックが使用可能になります。

TNC (Trusted Network Connect)

TNC (Trusted Network Connect) はテクノロジープレビューとして利用可能で、TLS、802.1X、IPsec など既存のネットワークアクセス制御 (NAC) ソリューションと併用し、エンドポイントのポスチャー評価を一体化します。つまりエンドポイントのシステムの情報を収集します (オペレーティングシステムを設定している設定、インストールしているパッケージ、そのほか整合性測定と呼ばれているもの)。TNC を使用して、このような測定値をネットワークアクセスポリシーと照合してから、エンドポイントがネットワークにアクセスできるようにします。

qlcnic ドライバーの SR-IOV 機能

SR-IOV (Single-Root I/O virtualization) のサポートがテクノロジープレビューとして qlcnic ドライバーに追加されています。この機能のサポートは QLogic から直接提供されます。QLogic および Red Hat へのご意見ご感想をお寄せください。qlcnic ドライバーのその他の機能は引き続きフルサポートになります。

オフロードサポートが付いた flower 分類子

flower はトラフィック制御 (TC) 分類子で、各種プロトコルのパケットフィールドで広く知られているマッチング設定を可能にします。これは、複雑なフィルタリングおよび分類タスクの u32 分類子に対するルールの設定を容易にすることを目的としています。また、flower は、ハードウェアが対応している場合、基盤のハードウェアに分類およびアクションルールをオフロードする機能もサポートします。flower TC 分類子はテクノロジープレビューとして提供されるようになりました。

RHEL システムロールの postfix ロールが、テクノロジープレビューとして利用可能になりました。

Red Hat Enterprise Linux システムロールは、Red Hat Enterprise Linux サブシステムの設定インターフェイスを提供します。これにより、Ansible ロールを介したシステム設定が簡単になります。このインターフェイスにより、複数バージョンの Red Hat Enterprise Linux でシステム設定を管理することや、新しいメジャーリリースを導入することもできます。

RHEL-system-roles-sap がテクノロジープレビューとして利用可能

rhel-system-roles-sap パッケージは、SAP 向けの Red Hat Enterprise Linux (RHEL) システムロールを提供します。これは、RHEL システムの設定を自動化して SAP ワークロードロードを実行するたに使用できます。これらのロールは、関連する SAP ノート記載のベストプラクティスに基づいて最適な設定を自動的に適用することで、SAP ワークロードを実行するようにシステムを設定する時間を大幅に短縮できます。アクセスは、RHEL for SAP Solutions 製品に限定されます。サブスクリプションに関するサポートが必要な場合は、Red Hat カスタマーサポートまでご連絡ください。

libreswan で SECCOMP の有効化が可能

テクノロジープレビューとして、SECCOMP (Secure Computing) モードの使用を可能にする seccomp=enabled|tolerant|disabled オプションが ipsec.conf 設定ファイルに追加されました。これにより、Libreswan を実行できるシステムコールをすべてホワイトリストに登録することで、syscall セキュリティーが改善されました。詳細は man ページの ipsec.conf(5) を参照してください。

pk12util で、RSA-PSS で署名した証明書のインポートが可能に

pk12util ツールは、テクノロジープレビューとして、RSA-PSS アルゴリズムを使用して署名する証明書をインポートするようになりました。

certutil で、RSA-PSS で署名した証明書のサポートが改善

certutil ツールの RSA-PSS アルゴリズムで署名された証明書のサポートが改善されました。主な機能強化および修正は以下のとおりです。

NSS が、証明書の RSA-PSS 署名を確認可能

nss パッケージの RHEL 7.5 バージョン以降、Network Security Services (NSS) ライブラリーが、証明書の RSA-PSS 署名の確認をテクノロジープレビューとして提供します。この更新では、SSL バックエンドとして NSS を使用するクライアントが、RSA-PSS アルゴリズムで署名した証明書のみを提供するサーバーへの TLS 接続が確立できません。

USBGuard は、画面のロック時に USB デバイスのブロックを有効にする機能をテクノロジープレビューとして提供

USBGuard フレームワークにより、InsertedDevicePolicy ランタイムパラメーターの値を設定して、すでに実行している usbguard-daemon インスタンスが、新たに挿入された USB デバイスをどのように処理できるかを制御できます。この機能はテクノロジープレビューとして提供されており、デフォルトでは、デバイスを認証するかどうかを判断するポリシールールが適用されます。

qla2xxx ドライバーを使用して、Qlogic アダプターで NVMe/FC がテクノロジープレビューとして利用可能になりました。

qla2xxx ドライバーを使用した Qlogic アダプターでは、NVMe over Fibre Channel (NVMe/FC)トランスポートタイプがテクノロジープレビューとして利用できます。

SCSI 向けのマルチキュー I/O スケジューリング

Red Hat Enterprise Linux 7 には blk-mq として知られるブロックデバイス用の新しいマルチキュー I/O スケジューリングのメカニズムが含まれています。scsi-mq パッケージを使用すると SCSI (Small Computer System Interface) サブシステムにこの新しいキューメカニズムを利用できるようになります。この機能はテクノロジープレビューのため、デフォルトでは有効になっていません。有効にする場合は scsi_mod.use_blk_mq=Y をカーネルコマンドラインに追加します。

libStorageMgmt API の Targetd プラグイン

Red Hat Enterprise Linux 7.1 から、ストレージアレイから独立した API である libStorageMgmt を使用したストレージアレイの管理が完全サポートされています。提供される API は安定性と整合性を備え、開発者は異なるストレージアレイをプログラム的に管理し、ハードウェアアクセラレーション機能を使用できます。また、システム管理者は libStorageMgmt を使用して手動でストレージを設定したり、コマンドラインインターフェイスを使用してストレージ管理タスクを自動化したりできます。

qla2xxx ドライバーおよび lpfc ドライバーで SCSI-MQ がテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.4 で更新された qla2xxx ドライバーは、ql2xmqsupport=1 モジュールパラメーターで SCSI-MQ (multiqueue) を使用できます。デフォルトの値は 0 (無効) です。

YUM 4 がテクノロジープレビューとして利用可能に

YUM パッケージマネージャーの次世代である YUM バージョン 4 が、Red Hat Enterprise Linux 7 の Extras チャンネル でテクノロジープレビューとして利用できるようになりました。

KVM ゲスト用の USB 3.0 サポート

Red Hat Enterprise Linux 7 では、KVM ゲスト向けの USB 3.0 ホストアダプター (xHCI) エミュレーションが引き続きテクノロジープレビューとなります。

Hyper-V の RHEL 7 ゲスト OS で、Intel ネットワークアダプターが SR-IOV をサポートするようになりました。

テクノロジープレビューとして、Hyper-V ハイパーバイザーで実行している Red Hat Enterprise Linux 7 のゲストオペレーティングシステムは、ixgbevf および i40evf ドライバーがサポートする Intel ネットワークアダプターに、シングルルート I/O 仮想化 (SR-IOV) 機能を使用することができるようになりました。この機能は、以下の条件が満たされると有効になります。

VFIO ドライバーの No-IOMMU モード

今回の更新により、VFIO (Virtual Function I/O) ドライバーの No-IOMMU モードがテクノロジープレビューとして追加されました。No-IOMMU モードは、I/O メモリー管理ユニット (IOMMU) を使用せずに直接メモリーアクセス (DMA) 対応デバイスへの完全なユーザー空間 I/O (UIO) アクセスを提供します。しかし、このモードはサポートされないだけでなく、IOMMU で提供される I/O 管理機能がないため、安全に使用することができません。

RHEL 7 ゲストのホストとしての Azure M416v2

テクノロジープレビューとして、Azure M416v2 インスタンスタイプが、RHEL 7.6 以降をゲストのオペレーティングシステムとして使用する仮想マシンのホストとして使用できるようになりました。

virt-v2v が、Debian ゲストおよび Ubuntu ゲストを変換

テクノロジープレビューとして、virt-v2v ユーティリティーがゲスト仮想マシン Debian および Ubuntu を変換できるようになりました。現時点では、この変換を行うときに以下の問題が発生することに注意してください。

GPU ベースの仲介デバイスが VNC コンソールをサポート

テクノロジープレビューとして、NVIDIA vGPU 技術などの GPU ベースの仲介デバイスを使用した Virtual Network Computing (VNC) コンソールが利用できるようになりました。これにより、仮想マシンのグラフィカル出力のリアルタイムレンダリングにこの仲介デバイスを使用できるようになりました。

OVMF (Open Virtual Machine Firmware)

Red Hat Enterprise Linux 7 では、OVMF (Open Virtual Machine Firmware) がテクノロジープレビューとして利用できます。OVMF は、AMD64 および Intel 64 ゲストに対する、UEFI のセキュアブート環境です。ただし、OVMF は、RHEL 7 で利用可能な仮想化コンポーネントでは起動できません。OVMF は、RHEL 8 で完全に対応することに注意してください。

ID 範囲の変更を適用する際の一貫性のない警告メッセージ

RHEL Identity Management (IdM) では、ローカルの IdM ドメインまたは信頼された Active Directory ドメインに関連付けられた複数の ID 範囲 (ID 範囲) を定義できます。ID 範囲に関する情報は、登録されているすべてのシステムの SSSD デーモンによって取得されます。

ldap_id_use_start_tls オプションのデフォルト値を使用する場合の潜在的なリスク。

ID ルックアップに TLS を使用せずに ldap:// を使用すると、攻撃ベクトルのリスクが生じる可能性があります。特に、中間者 (MITM) 攻撃は、攻撃者が、たとえば、LDAP 検索で返されたオブジェクトの UID または GID を変更することによってユーザーになりすますことを可能にする可能性があります。

RHEL に同梱される GCC スレッドサニタイザーが動作しない

カーネルメモリーマッピングにおける非互換性変更により、RHEL の GNU C Compiler (GCC) コンパイラーのバージョンに同梱されるスレッドサニタイザーが動作しなくなりました。さらには、スレッドサニタイザーが互換性のないメモリーレイアウトには適用されません。これにより、RHEL に同梱される GCC スレッドサニタイザーは使用されなくなります。

SystemTap のコンテキスト変数が常にアクセスできない

GCC コンパイラーでデバッグ情報の生成にはいくつかの制限があります。これにより、SystemTap ツールを使用して作成された実行ファイルを分析する際に、$foo の形式で一覧表示されるコンテキスト変数にアクセスすることが多くなります。この制限を回避するには、$HOME/.systemtap/rc ファイルに -P オプションを追加します。これにより、SystemTap は常に Prologue-searching ヒューリスティックを選択します。その結果、一部のコンテキスト変数にアクセスできるようになります。

KEYBD トラップを使用した ksh がマルチバイト文字を誤って処理

Korn Shell (KSH) は、KEYBD トラップが有効な場合にマルチバイト文字を正しく処理できません。したがって、たとえばユーザーが日本語の文字を入力すると、ksh には間違った文字列が表示されます。この問題を回避するには、以下の行をコメントアウトして、/etc/kshrc ファイルの KEYBD トラップを無効にします。

RHEL 7.6 バージョンからの PCP のアップグレード時のエラー

pcp パッケージを RHEL 7.6 から RHEL 7.7 バージョンにアップグレードすると、yum は以下のエラーメッセージを返します。

GNOME ドキュメントに LibreOffice を使用せずにインストールした場合、一部のドキュメントを表示できない

Gnome Documents は、LibreOffice スイートが提供するライブラリーを使用して、OpenDocument Text や Open Office XML 形式などの特定の種類のドキュメントをレンダリングします。ただし、必須の (libreoffice-filters) が、gnome-documents パッケージの依存関係リストにありません。したがって、LibreOffice がないシステムに Gnome Documents をインストールすると、これらのドキュメントタイプはレンダリングできません。

GNOME Software が署名されていないリポジトリーからパッケージをインストールできない

GNOME Software は、*.repo ファイルに以下の設定を持つリポジトリーからパッケージをインストールできません。

Nautilus は、GNOME クラシックセッションでアイコンを非表示にしません。

アイコンがデフォルトで非表示になっている、GNOME セッションでアイコンを表示または非表示にする GNOME Tweak Tool 設定は、GNOME Classic Session では無視されます。そのため、GNOME Tweak Tool でこのオプションが表示されている場合でも、GNOME Classic Session ではアイコンを非表示にできません。

RHEL 7.7 以降のインストールで spectre_v2=retpoline が Intel Cascade Lake システムに追加される

RHEL 7.7 以降のインストールでは、spectre_v2=retpoline カーネルパラメーターが Intel Cascade Lake システムに追加されるので、システムパフォーマンスに影響があります。この問題を回避して、パフォーマンスを最適な状態に保つには、以下の手順を実施します。

RHEL 7 仮想マシンが ESXi 5.5 で起動に失敗することがある

VMware ESXi 5.5 ハイパーバイザーで RAM が 12GB 以上の Red Hat Enterprise Linux 7 ゲストを実行している場合、一部のコンポーネントは現在、間違ったメモリータイプ範囲レジスター (MTRR) 値で初期化されていたり、システムの起動時に MTRR 値が間違って再設定されています。これにより、ゲストカーネルがパニック状態になったり、ゲストがシステムの起動時に応答しなくなることがあります。

bnx2x で特定の NIC ファームウェアが応答しなくなることがある

ブート前のドライバーのアンロードシーケンスのバグにより、bnx2x ドライバーがデバイスを引き継ぐと、一部のインターネットアダプターのファームウェアが応答しなくなることがあります。bnx2x ドライバーは問題を検出し、カーネルログにメッセージ "storm stats were not updated for 3 times" を返します。この問題を回避するには、ハードウェアベンダーが提供する最新の NIC ファームウェアの更新を適用します。その結果、起動前のファームウェアのアンロードが期待どおりに機能し、bnx2x がデバイスを引き継ぐとファームウェアがハングしなくなりました。

i40iw モジュールがシステムの起動時に自動的に読み込まれない

一部の i40e NIC は iWarp に対応しておらず、i40iw モジュールは一時停止および再開操作を完全にサポートしません。そのため、i40iw モジュールはデフォルトで自動的に読み込まれず、一時停止および再開の操作が正しく機能するようになりました。この問題を回避するには、/lib/udev/rules.d/90-rdma-hw-modules.rules ファイルを編集して、i40iw の自動読み込みを有効にします。

インターリーブされていない永続メモリー設定はストレージを使用できません

以前は、永続メモリーを備えたシステムが 64 MB の境界に合致し、名前空間を作成できませんでした。その結果、非インターリーブな永続メモリー設定がストレージを使用できない場合がありました。この問題を回避するには、永続メモリーにインターリーブモードを使用します。その結果、ほとんどのストレージが使用できるようになり、障害分離が制限されました。

永続メモリーのファイルシステムが原因で、システムの起動が失敗する場合がある

永続メモリーのサイズが大きい場合は、システムの起動に時間がかかります。/etc/fstab ファイルが、永続メモリーのファイルシステムを設定すると、デバイスが利用可能になる前にシステムがタイムアウトになる場合があります。その後システムの起動プロセスに失敗して、緊急プロンプトが表示されます。

radeon がハードウェアを適切なハードウェアリセットに失敗します。

現在、radeon カーネルドライバーは、kexec コンテキストでハードウェアを正しくリセットしません。代わりに、radeon が突然終了するため、残りの kdump サービスが失敗します。

一部の eBPF ツールを使用すると、IBM Z でシステムが応答しなくなることがあります。

JIT コンパイラーのバグにより、IBM Z の bcc-tools パッケージに含まれる特定の eBPF ツールを実行すると、システムが応答しなくなる可能性があります。この問題を回避するには、修正がリリースされるまで、IBM Z の bcc-tools の dcsnoop ツール、runqlen ツール、および slabratetop ツールの使用は避けてください。

/dev/sg の同時 SG_IO 要求により、データが破損する可能性があります。

/dev/sg デバイスドライバーは、カーネルデータの同期がありません。ドライバーの同時要求は、同時に同じデータにアクセスします。

内部および外部 VLAN タグの順序が正しくない

mlx5 ドライバーを使用する場合、システムはレプリゼンターデバイス (IEEE802.1Q は IEEE802.1Q 標準では IEEE802.1Q) を使用する場合にスワップされた順序で内部および外部 VLAN タグを受け取ります。これは、rxvlan オフロードスイッチがこのパスでは有効ではなく、Open vSwitch (OVS) がこのエラーを転送するためです。既知の回避策はありません。

RHEL 7 の Azure インスタンスで kdump が vmcore の生成に失敗する

UEFI ブートローダーを介して起動した Azure インスタンスでのシリアルコンソール実装に関する根本的な問題により、kdump カーネルを起動できません。したがって、クラッシュしたカーネルの vmcore は、/var/crash/ ディレクトリーに取得できません。この問題を回避するには、以下を実行します。

KASLR が有効になっている場合、kdumpctl サービスがクラッシュカーネルのロードに失敗する

kptr_restrict カーネルチューナブルの不適切な設定により、/proc/kcore ファイルの内容がすべてゼロとして生成されます。これにより、Kernel Address Space Layout Randomization (KASLR) が有効になっている場合、kdumpctl サービスは /proc/kcore にアクセスし、クラッシュカーネルを読み込むことができません。この問題を回避するには、kptr_restrict を 1 に設定します。これにより、上記のシナリオで kdumpctl がクラッシュカーネルを読み込むことができます。

kdump が 2 番目のカーネルで失敗する

kdump initramfs アーカイブは、クラッシュダンプを取得するために重要なコンポーネントです。ただし、これは実行するマシン用に厳密に生成され、一般性はありません。ディスクの移行を行ったり、ディスクイメージを含む新しいマシンをインストールした場合に、2 番目のカーネルで kdump が失敗する可能性があります。

Red Hat Enterprise Linux 7 で、MD5 ハッシュアルゴリズムを使用した署名の検証が無効になる

MD5 で署名された証明書を必要とする WPA (Wi-Fi Protected Access) の AP (Enterprise Access Point) に接続することはできません。この問題を回避するには、wpa_supplicant.service ファイルを /usr/lib/systemd/system/ ディレクトリーから /etc/systemd/system/ ディレクトリーにコピーして、そのファイルの Service のセクションに以下の行を追加します。

ネットワークドライバーの再起動時にネットワークデバイスからの起動に失敗する

現在、iSCSI または Fibre Channel over Ethernet (FCoE)を使用するときにブートデバイスがネットワーク経由でマウントされている場合、基盤となるネットワークインターフェイスドライバーの再起動時に Red Hat Enterprise Linux (RHEL)が起動に失敗します。

RHEL 7.3 からアップグレードすると、freeradius が失敗する場合があります。

/etc/raddb/radiusd.conf ファイル内の新しい設定プロパティー correct_escapes は、RHEL 7.4 以降に配布されたfreeradius バージョンで導入されました。管理者が correct_escapes を true に設定すると、バックスラッシュエスケープ用の新しい正規表現構文が予想されます。correct_escapes が false に設定されている場合、バックスラッシュもエスケープされる古い構文が想定されます。後方互換性の理由から、false がデフォルト値になります。

RHEL 7 で、スイッチが長期間使用できなくなってから 802.3ad ボンディングのステータスが Churned と表示

現在、802.3ad ネットワークボンディングを設定し、長期間スイッチがダウンしている場合、Red Hat Enterprise Linux は、接続が稼働状態に戻った後も、ボンディングのステータスを Churned として適切に表示します。Churned のステータスは、重要なリンク停止が発生したことを管理者に通知する目的があるため、これは意図している動作です。このステータスを削除するには、ネットワークボンドを再起動するか、ホストを再起動します。

client-identifier を使用すると、IP アドレスの競合が発生する

client-identifier オプションを使用すると、特定のネットワークスイッチは動的ホスト設定プロトコル (DHCP) 要求の ciaddr フィールドを無視します。その結果、同じ IP アドレスが複数のクライアントに割り当てられ、IP アドレスの競合が発生します。この問題を回避するには、dhclient.conf ファイルに以下の行を追加します。

Libreswan が、すべての設定において seccomp=enabled で正常に動作しません。

Libreswan SECCOMP サポート実装で許可された syscall のセットは現在、完全ではありません。したがって、SECCOMP が ipsec.conf ファイルで有効となっている場合、syscall のフィルタリングは、pluto デーモンの正常な機能に必要な syscall まで拒否します。つまり、デーモンは強制終了され、ipsec サービスが再起動されます。

RSA-PSS に対応していない PKCS#11 デバイスは、TLS 1.3 では使用できません。

TLS プロトコルバージョン 1.3 には RSA-PSS 署名が必要ですが、ハードウェアセキュリティーモジュール(HSM)やスマートカードなどのすべての PKCS#11 デバイスでは対応していません。現在、NSS を使用するサーバーアプリケーションは、TLS 1.3 をネゴシエートする前に PKCS#11 モジュール機能を確認しません。これにより、RSA-PSS に対応していない PKCS#11 デバイスを使用した認証に失敗します。この問題を回避するには、代わりに TLS 1.2 を使用します。

TLS 1.3 は、FIPS モードの NSS で動作しません。

TLS 1.3 は、FIPS モードで動作しているシステムでは対応していません。その結果、相互運用性に TLS 1.3 を必要とする接続が、FIPS モードで動作しているシステムで機能しません。

OpenSCAP がリモートファイルシステムに誤ってアクセス

OpenSCAP スキャナーは、スキャンされたファイルシステムがマウントされたリモートファイルシステムかローカルファイルシステムであるかどうかを正しく検出できず、検出部分に他のバグも含まれます。そのため、スキャナーは、評価されたルールがローカルファイルシステムにのみ適用され、リモートファイルシステムで不要なトラフィックが生成される可能性がある場合でも、マウントされたリモートファイルシステムを読み取ります。

mysql_install_db を使用した MariaDB の手動初期化が失敗する

MariaDB データベースを初期化する mysql_install_db スクリプトは、バイナリーが /usr/bin/ にある状態で、/usr/libexec/ ディレクトリーから resolveip バイナリーを呼び出します。したがって、mysql_install_db を使用したデータベースの手動初期化に失敗します。

mysql-connector-java が MySQL 8.0 で動作しない

RHEL 7 で提供される mysql-connector-java データベースコネクターは、MySQL 8.0 データベースサーバーでは機能しません。この問題を回避するには、Red Hat Software Collections の rh-mariadb103-mariadb-java-client データベースコネクターを使用します。

balanced Tuned プロファイルを使用すると、無害なエラーメッセージが表示されます。

このプロファイルが適用される際に、cpufreq_conservative カーネルモジュールが読み込まれる方法で、balanced Tuned プロファイルが変更されました。ただし、cpufreq_conservative はカーネルに組み込まれているため、モジュールとしては利用できません。したがって、balanced プロファイルを使用すると、以下のエラーメッセージが /var/log/tuned/tuned.log ファイルに表示されることがあります。

php-mysqlnd データベースコネクターが MySQL 8.0 で動作しない

MySQL 8.0 ではデフォルトの文字セットが utf8mb4 に変更になりましたが、この文字セットは php-mysqlnd データベースコネクターではサポートされません。そのため、php-mysqlnd がデフォルト設定で接続できません。この問題を回避するには、既知の文字セットを MySQL サーバー設定のパラメーターとして指定します。たとえば、/etc/opt/rh/rh-mysql80/my.cnf.d/mysql-server.cnf ファイルを read に変更します。

ソフトウェア FCoE で scsi-mq を使用すると、システムが予期せず停止します。

ホストシステムは、マルチキュースケジューリング (scsi-mq) とソフトウェア Fibre Channel over Ethernet (FCoE) の両方を同時に使用するように設定されていると、予期せず停止します。

大規模なシステムでは、システム起動が失敗することがある

起動プロセス時に、udev デバイスマネージャーにより、大規模なシステム上に非常に多くのルールが生成されることがあります。たとえば、32 TB のメモリーと 192 CPU のシステムでこの問題が発生しています。これにより、システムの起動プロセスが応答しなくなるか、タイムアウトになり、緊急シェルに切り替わります。

アクティブ/アクティブクラスターミラーからイメージを分割すると、作成される新しい論理ボリュームにはアクティブなコンポーネントがありません

アクティブ/アクティブクラスターミラーからイメージを分割すると、作成される新しい論理はアクティブで表示されますが、アクティブなコンポーネントはありません。新たに分割された論理ボリュームを有効にするには、ボリュームを非アクティブ化してから、次のコマンドでアクティブにします。

仮想マシンで不要な CPU 脆弱性の軽減が可能になることがある

現在、CPU が Microarchitectural Data Sampling (MDS)の脆弱性に対して脆弱ではないことを示す MDS_NO CPU フラグは、ゲストオペレーティングシステムに公開されません。その結果、ゲストオペレーティングシステムは、現在のホストに必要のない CPU 脆弱性の軽減策機能を自動的に有効にすることがあります。

RHEL 7 ホストで RHEL 8 仮想イメージを変更すると失敗することがある

RHEL 7 ホストで、guestfish、virt-sysprep、または virt-customize などの仮想イメージ操作ユーティリティーを使用すると、RHEL 8 ファイルシステムを使用している仮想イメージをターゲットにすると、ユーティリティーが失敗する可能性があります。これは、RHEL 7 が RHEL 8 の特定のファイルシステム機能と完全に互換性がないためです。

Windows Server 2019 ホストの RHEL 7 ゲストコンソールへの接続が遅い

Windows Server 2019 ホストで、RHEL 7 をマルチユーザーモードでゲストオペレーティングシステムとして使用すると、ゲストのコンソール出力へ接続するのに想定よりもはるかに長い時間がかかります。この問題を回避するには、SSH を使用してゲストに接続するか、ホストとして Windows Server 2016 を使用します。

SMT は AMD EPYC CPU モデルでのみ動作します。

現在、AMD EPYC CPU モデルのみが同時マルチスレッド(SMT)機能をサポートしています。したがって、別の CPU モデルで仮想マシン(VM)を設定する際に、topoext 機能を手動で有効にすると、仮想マシンが vCPU トポロジーを正しく検出せず、vCPU は設定どおりに実行されません。この問題を回避するには、topoext を手動で有効にせず、ホストが AMD EPYC モデルを使用しない限り、AMD ホストで threads vCPU オプションを使用しないでください。