6.6. カーネル

特定の IP セットタイプでゼロ長の CIDR 値に対応

以前のバージョンでは、カーネルは最初の長さの Classless Inter-domain Routing(CIDR)ネットワークマスク値と hash:net、port、net6、port、net6、port、net 6 の IP セットタイプの最後のパラメーターを拒否します。そのため、getfacl がすべてのネットワークの宛先に対してポートを一致しないことができませんでした。今回の更新により、ゼロ長の CIDR 値が、上記の IP セットタイプの最初のパラメーターと最後のパラメーターで許可されるようになりました。これにより、管理者は、すべての宛先で有効なポートに一致するファイアウォールルールを作成できます。

(BZ#1680426)

サーバー側でマウントされた NFS マウントディレクトリーの AVC 拒否

NFS crossmnt マウントは、プロセスがサーバーのマウントポイントとして使用されるサブディレクトリーにアクセスする際に内部マウントを自動的に作成します。したがって、SELinux は、NFS マウントされたディレクトリーにアクセスするプロセスにマウントパーミッションがあるかどうかをチェックします。これにより、アクセスベクターキャッシュ(AVC)拒否が発生する可能性があります。今回の更新で、このタイプの内部マウントに対する SELinux パーミッションの確認は省略されています。そのため、サーバー側にマウントされる NFS ディレクトリーにアクセスする際にマウントパーミッションは必要ありません。

(BZ#1077929)

intel_pstate ドライバーは、HWP が無効な Intel Skylake-X システムでロードします。

以前は、Intel Skylake-X システムの場合には、ハードウェア P-States(HWP)が無効になっていると intel_pstate ドライバーを読み込むことができませんでした。これにより、カーネルは acpi_cpufreq ドライバーを読み込むようにデフォルト設定されています。今回の更新で問題が修正され、上記のシナリオで intel_pstate が正しく読み込まれるようになりました。

ユーザーが acpi_cpufreq (非推奨ではない)を使用する場合は、解決策として intel_pstate=disable パラメーターをカーネルコマンドラインに追加します。

(BZ#1698453)

VDO の上に RAID 10 再成形でデータの破損が発生しなくなりました。

以前は、VDO に RAID 10 再成形(LVM および「mdadm」の両方を使用)が破損していました。今回の修正により、データの破損が発生しなくなりました。ただし、VDO の上に RAID 10(またはその他の RAID タイプ)をスタックしても、VDO の重複排除機能や圧縮機能は利用できません。

(BZ#1528466)

RAID1 の書き込み がカーネルパニックをトリガーしなくなりました。

以前は、Redundant Array of Independent Disks Mode 1(RAID1)仮想化テクノロジーの書き込みモードが、上位レイヤーの bio 構造を使用していました。構造は、下層のレイヤーディスクに書き込まれた bio 構造が即座に解放されました。そのため、カーネルパニックがトリガーされ、write-behind 関数を使用できません。今回の更新で問題が修正され、上記のシナリオでカーネルパニックをトリガーせずに write-behind を使用できるようになりました。

(BZ#1632575)

カーネルが、bitmap:ipmachash:ipmac、および hash:mac IP セットタイプでの宛先 MAC アドレスに対応するようになりました。

以前では、bitmap:ipmachash:ipmac、および hash:mac IP セットタイプのカーネル実装のみ、ソース MAC アドレスでの一致のみを許可し、宛先の MAC アドレスは指定可能ですが、セットエントリーに対してマッチしていませんでした。これにより、管理者は、これらの IP セットタイプのいずれかで、宛先の MAC アドレスを使用する iptables ルールを作成できましたが、指定の仕様に一致するパケットは実際には分類されていませんでした。今回の更新で、カーネルは、宛先 MAC アドレスを比較し、指定の分類がパケットの宛先 MAC アドレスに対応していル場合に一致を返すようになりました。これにより、宛先の MAC アドレスに対してパケットに一致するルールが正しく動作するようになりました。

(BZ#1607252)

kdump カーネルが、CPU ホット追加またはホット削除操作後に起動できるようになりました。

kdump が有効になっている IBM Power Systems のリトルエンディアンバリアントで Red Hat Enterprise Linux 7 を実行すると、CPU ホット追加またはホット削除操作後に kexec システムコールによりトリガーされた場合に kdump クラッシュカーネルが起動できませんでした。今回の更新で、CPU のオンラインおよびオフラインイベントを使用することで、バグが修正されています。これにより、上記のシナリオで kdump カーネルが起動を管理します。

(BZ#1549355)