6.6. カーネル

特定の IP セットタイプでゼロ長の CIDR 値をサポートするようになりました。

以前は、カーネルは最初の長さの Classless Inter-domain Routing (CIDR)ネットワークマスク値と hash:net,port,net および hash:net6, port,net6 IP セットタイプの最後のパラメーターを拒否していました。そのため、すべてのネットワークの宛先に対してポートを照合できませんでした。今回の更新により、上記の IP セットタイプの最初のパラメーターと最後のパラメーターでゼロ長の CIDR 値が許可されるようになりました。これにより、管理者はすべての宛先に有効なポートに一致するファイアウォールルールを作成できます。

(BZ#1680426)

サーバー側にマウントされた NFS マウントディレクトリーの AVC 拒否

NFS crossmnt マウントは、プロセスがサーバー上のマウントポイントとして使用されるサブディレクトリーにアクセスすると、内部マウントを自動的に作成します。その結果、SELinux は NFS マウントディレクトリーにアクセスするプロセスにマウントパーミッションがあるかどうかを確認し、アクセスベクターキャッシュ(AVC)の拒否を引き起こす可能性があります。この更新により、このタイプの内部マウントでは、SELinux パーミッションチェックが省略されます。そのため、サーバー側でマウントされている NFS ディレクトリーにアクセスする場合、マウントパーミッションは必要ありません。

(BZ#1077929)

intel_pstate ドライバーは、HWP が無効になっている Intel Skylake-X システムでロードされます。

以前は、Intel Skylake-X システムでは、ハードウェア P-States (HWP)が無効になっている場合は、intel_pstate ドライバーを読み込むことができませんでした。その結果、カーネルは、acpi_cpufreq ドライバーのロードにデフォルト設定されました。今回の更新で問題が修正され、上記のシナリオで intel_pstate が正しく読み込まれるようになりました。

ユーザーが acpi_cpufreq を使用する必要がある場合 (非推奨 )、解決策は intel_pstate=disable パラメーターをカーネルコマンドラインに追加することです。

(BZ#1698453)

VDO 上の RAID 10 reshape でデータの破損が発生しなくなりました。

以前は、VDO 破損データの上に RAID 10 を再成形 (LVM とmdadm の両方を使用) していました。今回の修正により、データの破損が発生しなくなりました。ただし、VDO の上に RAID 10 (または他の RAID タイプ) をスタッキングすることは、VDO の重複排除機能と圧縮機能を活用しないため、推奨できません。

(BZ#1528466)

RAID1 の write-behind がカーネルパニックをトリガーしなくなりました。

以前は、Redundant Array of Independent Disks Mode 1 (RAID1) 仮想化テクノロジーの write-behind モードは、上層の bio 構造を使用していました。この構造は、下層のレイヤーディスクに書き込まれたバイオ構造が戻った直後に解放されました。その結果、カーネルパニックがトリガーされ、write-behind 関数を使用できませんでした。今回の更新で問題が修正され、上記のシナリオでカーネルパニックをトリガーせずに、write-behind を使用できるようになりました。

(BZ#1632575)

カーネルが、bitmap:ipmachash:ipmac、および hash:mac IP セットタイプでの宛先 MAC アドレスに対応するようになりました。

以前では、bitmap:ipmachash:ipmac、および hash:mac IP セットタイプのカーネル実装のみ、ソース MAC アドレスでの一致のみを許可し、宛先の MAC アドレスは指定可能ですが、セットエントリーに対してマッチしていませんでした。これにより、管理者は、これらの IP セットタイプのいずれかで、宛先の MAC アドレスを使用する iptables ルールを作成できましたが、指定の仕様に一致するパケットは実際には分類されていませんでした。今回の更新で、カーネルは、宛先 MAC アドレスを比較し、指定の分類がパケットの宛先 MAC アドレスに対応していル場合に一致を返すようになりました。これにより、宛先の MAC アドレスに対してパケットに一致するルールが正しく動作するようになりました。

(BZ#1607252)

kdump カーネルが、CPU のホット追加またはホット削除操作後に起動できるようになりました。

kdump が有効になっている IBM Power Systems のリトルエンディアンバリアントで Red Hat Enterprise Linux 7 を実行すると、CPU のホット追加操作またはホット削除操作後に kexec システムコールによりトリガーされた場合に、kdump クラッシュカーネルを起動できませんでした。今回の更新では、CPU のオンラインイベントとオフラインイベントを使用することで、バグが修正されています。これにより、上記のシナリオで kdump カーネルが起動を管理します。

(BZ#1549355)