Menu Close

8.6 リリースノート

Red Hat Enterprise Linux 8

Red Hat Enterprise Linux 8.6 リリースノート

概要

本リリースノートでは、Red Hat Enterprise Linux 8.6 での改良点および実装された追加機能の概要、本リリースにおける既知の問題などを説明します。また、重要なバグ修正、テクニカルプレビュー、非推奨の機能などの詳細も説明します。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、弊社の CTO、Chris Wright のメッセージ を参照してください。

Red Hat ドキュメントへのフィードバックの提供

ご意見ご要望をお聞かせください。ドキュメントの改善点はございませんか。改善点を報告する場合は、以下のように行います。

  • 特定の文章に簡単なコメントを記入する場合は、ドキュメントが Multi-page HTML 形式になっているのを確認してください。コメントを追加する部分を強調表示し、そのテキストの下に表示される Add Feedback ポップアップをクリックし、表示される手順に従ってください。
  • より詳細なフィードバックを行う場合は、Bugzilla のチケットを作成します。

    1. Bugzilla の Web サイトにアクセスします。
    2. Component で Documentation を選択します。
    3. Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも記入してください。
    4. Submit Bug をクリックします。

第1章 概要

1.1. RHEL 8.6 における主な変更点

セキュリティー

RHEL 8.6 では、fapolicyd ポリシーフレームワークである SELinux、および LUKS 暗号化ドライブの自動ロック解除のための Policy-Based Decryption (PBD) が、SAP HANA データベース管理システムをサポートします。詳細については、ナレッジベースの記事である Red Hat Enterprise Linux Security Hardening Guide for SAP HANA 2.0 を参照してください。

fapolicyd のパッケージがアップストリームバージョン 1.1 にアップグレードされました。その他の改善点の中でも、新しい rules.d/ および trust.d/ディレクトリー、fagenrules スクリプト、および fapolicyd-cli コマンドの新しいオプションを使用できるようになりました。

OpenSSH サーバーは、ドロップイン設定ファイルをサポートするようになりました。

pcsc-lite パッケージは、多くの機能拡張とバグ修正を提供するアップストリームバージョン 1.9.5 にリベースされました。

これで、semodule コマンドに新しく追加された --checksum オプションを使用して、インストールされている SELinux ポリシーモジュールのバージョンを確認できるようになりました。

SCAP セキュリティーガイド (SSG) パッケージはアップストリームバージョン 0.1.60 にリベースされ、OpenSCAP パッケージはアップストリームバージョン 1.3.6 にリベースされました。

詳細は、 新機能 - セキュリティー を参照してください。

動的プログラミング言語、Web サーバー、およびデータベースサーバー

以下のコンポーネントの後続のバージョンが、新しいモジュールストリームとして利用できるようになりました。

  • PHP 8.0
  • Perl 5.32

詳細は、新機能 - 動的プログラミング言語、Web サーバー、およびデータベースサーバー を参照してください。

コンパイラーおよび開発ツール

更新されたコンパイラーツールセット

以下のコンパイラーツールセットが更新されました。

  • GCC Toolset 11
  • LLVM Toolset 13.0.1
  • Rust Toolset 1.58.1
  • Go Toolset 1.17.7

詳しくは「新機能 - コンパイラーおよび開発ツール」をご覧ください。

RHEL 8 の Java 実装

RHEL 8 AppStream リポジトリーには、以下が含まれます。

  • java-17-openjdk パッケージ。OpenJDK 17 Java Runtime Environment および OpenJDK 17 Java Software Development Kit を提供します。
  • java-11-openjdk パッケージ。OpenJDK 11 Java Runtime Environment および OpenJDK 11 Java Software Development Kit を提供します。
  • java-1.8.0-openjdk パッケージ。OpenJDK 8 Java Runtime Environment および OpenJDK 8 Java Software Development Kit を提供します。

詳細は、OpenJDK のドキュメント を参照してください。

Java ツール

RHEL 8.6 では、新しい log4j:2 モジュールが導入されています。このモジュールには、Java ロギングユーティリティーである Apache Log4j 2 と、さまざまな出力ターゲットにログステートメントを出力できるライブラリーが含まれています。

詳細については、New features - Compilers and development tools を参照してください。

ID 管理

ansible-freeipa のロールとモジュールが Ansible Automation Hub で利用できるようになりました。これにより、ansible-freeipaコンテンツの高速更新が提供されます。

1.2. インプレースアップグレードおよび OS 移行

RHEL 7 から RHEL 8 へのインプレースアップグレード

現在サポートされているインプレースアップグレードパスは次のとおりです。

  • 64 ビット Intel、IBM POWER 8 (little endian)、IBM Z アーキテクチャーでの RHEL 7.9 から RHEL 8.4 および RHEL 8.6 へのアップグレード。
  • カーネルバージョン 4.14 を必要とするアーキテクチャー (IBM POWER 9 (リトルエンディアン) および IBM Z (Structure A)) での RHEL 7.6 から RHEL 8.8.4 のアップグレード。これは、これらのアーキテクチャの最終のインプレースアップグレードパスです。
  • 64 ビット Intel アーキテクチャーの SAP HANA 搭載システム上における、RHEL 7.9 から RHEL 8.2 および RHEL 8.6 へのアップグレード。RHEL 8.2 にアップグレードした後に SAP HANA のシステムに対応していることを確認するには、RHEL 8.2 Update Services for SAP Solutions (E4S) リポジトリーを有効にします。

詳細は「 Supported in-place upgrade paths for Red Hat Enterprise Linux」を参照してください。インプレースアップグレードの実行方法は、『RHEL 7 から RHEL 8 へのアップグレード』を参照してください。SAP環境があるシステムでインプレースアップグレードを実行する手順については、「How to in-place upgrade SAP environments from RHEL 7 to RHEL 8」を参照してください。

主な機能強化は、次のとおりです。

  • RHEL 8.6 のリリースにより、RHEL 7 から RHEL 8 へのインプレースアップグレードに複数のアップグレードパスが利用できるようになりました。これにより、デフォルトで最新の RHEL 8 マイナーバージョンにアップグレードする代わりに、どの RHEL 8 マイナーバージョンにシステムをアップグレードするか決定できます。使用可能なアップグレードパスは、RHEL システムと SAP HANA 搭載 RHEL システムで異なることに注意してください。
  • Leapp ユーティリティーは、アップグレード前およびインプレースアップグレードの初期段階で大幅に高速に実行されるようになりました。
  • インプレースアップグレードは、次のクラウドイメージタイプの SAP ホスティングシステムでもサポートされています。

    • RHEL サブスクリプションに Red Hat Subscription Manager (RHSM) を使用するパブリッククラウドプラットフォーム上の Bring-your-own-subscription (BYOS) システム。
    • Red Hat Update Infrastructure (RHUI) を使用する Amazon Web Services (AWS) および Microsoft Azure の Pay-as-you-go (PAYG) インスタンス。

RHEL 6 から RHEL 8 へのインプレースアップグレード

RHEL 6.10 から RHEL 8 にアップグレードするには、RHEL 6 から RHEL 8 へのアップグレード の手順に従います。

RHEL 8 から RHEL 9 へのインプレースアップグレード

Leapp ユーティリティーを使用して RHEL 8 から RHEL 9 へのインプレースアップグレードを行う方法は、『RHEL 8 から RHEL 9 へ のアップグレード』を参照してください。RHEL 8 と RHEL 9 の主な相違点は、『RHEL 9 の 導入における検討事項』を参照してください

別の Linux ディストリビューションから RHEL への移行

CentOS Linux 8 または Oracle Linux 8 を使用している場合は、Red Hat がサポートする Convert2RHEL ユーティリティーを使用してオペレーティングシステムを RHEL 8 に変換できます。詳細は、「RPM ベースの Linux ディストリビューションから RHEL への変換」を参照してください。

CentOS Linux または Oracle Linux の旧バージョン (バージョン 6 または 7) を使用している場合は、お使いのオペレーティングシステムを RHEL に移行してから、RHEL 8 へのインプレースアップグレードを実行できます。CentOS Linux 6 および Oracle Linux 6 変換は、サポート対象外の Convert2RHEL ユーティリティーを使用することに注意してください。サポートされていない変換の詳細については、「How to perform an unsupported conversion from a RHEL-derived Linux distribution to RHEL」を参照してください。

Red Hat が他の Linux ディストリビューションから RHEL への移行は、「Convert2RHEL サポートポリシー」を参照してください。

1.3. Red Hat Customer Portal Labs

Red Hat Customer Portal Labs は、カスタマーポータルのセクションにあるツールセットで、https://access.redhat.com/labs/ から入手できます。Red Hat Customer Portal Labs のアプリケーションは、パフォーマンスの向上、問題の迅速なトラブルシューティング、セキュリティー問題の特定、複雑なアプリケーションの迅速なデプロイメントおよび設定に役立ちます。最も一般的なアプリケーションには、以下のものがあります。

1.4. 関連情報

第2章 アーキテクチャー

Red Hat Enterprise Linux 8.6 には、カーネルバージョン 4.18.0-372 が同梱されており、以下のアーキテクチャーに対応します。

  • AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー
  • 64 ビット ARM アーキテクチャー
  • IBM Power Systems (リトルエンディアン)
  • 64 ビット IBM Z

各アーキテクチャーに適切なサブスクリプションを購入してください。詳細はGet Started with Red Hat Enterprise Linux - additional architecturesを参照してください。利用可能なサブスクリプションの一覧は、カスタマーポータルのサブスクリプションの使用状況を参照してください。

第3章 RHEL 8 のコンテンツの配布

3.1. インストール

Red Hat Enterprise Linux 8 は、ISO イメージを使用してインストールします。AMD64、Intel 64 ビット、64 ビット ARM、IBM Power Systems、IBM Z アーキテクチャーで、以下の 2 種類のインストールメディアが利用できます。

  • Binary DVD ISO - BaseOS リポジトリーおよび AppStream リポジトリーが含まれ、リポジトリーを追加しなくてもインストールを完了できる完全インストールイメージです。

    注記

    Binary DVD ISO イメージが 4.7 GB を超え、1 層 DVD に収まらない場合があります。Binary DVD ISO イメージを使用して起動可能なインストールメディアを作成する場合は、2 層 DVD または USB キーが推奨されます。Image Builder ツールを使用すれば、RHEL イメージをカスタマイズできます。Image Builder の詳細はRHEL システムイメージのカスタマイズの作成を参照してください。

  • Boot ISO - インストールプログラムを起動するのに使用する最小限の ISO ブートイメージです。このオプションでは、ソフトウェアパッケージをインストールするのに、BaseOS リポジトリーおよび AppStream リポジトリーにアクセスする必要があります。リポジトリーは、Binary DVD ISO イメージに含まれます。

ISO イメージのダウンロード、インストールメディアの作成、および RHEL インストールの完了方法は、『標準的な RHEL 8 インストールの実行』 を参照してください。自動キックスタートインストールおよびその他の高度なトピックは『 高度な RHEL 8 インストールの実行』 を参照してください。

3.2. リポジトリー

Red Hat Enterprise Linux 8 は、2 つのメインリポジトリーで配布されています。

  • BaseOS
  • AppStream

基本的な RHEL インストールにはどちらのリポジトリーも必要で、すべての RHEL サブスクリプションで利用できます。

BaseOS リポジトリーのコンテンツは、すべてのインストールの基盤となる、基本的な OS 機能のコアセットを提供します。このコンテンツは RPM 形式で提供されており、RHEL の以前のリリースと同様のサポート条件が適用されます。BaseOS から配布されるパッケージの一覧は パッケージマニフェスト を参照してください。

アプリケーションストリーム (AppStream) リポジトリーのコンテンツには、さまざまなワークロードとユースケースに対応するために、ユーザー空間アプリケーション、ランタイム言語、およびデータベースが含まれています。Application Streams は、モジュール と呼ばれる RPM 形式への拡張、または Software Collections として通常の RPM 形式で利用できます。AppStream で利用可能なパッケージの一覧は、パッケージマニフェスト を参照してください。

また、CodeReady Linux Builder リポジトリーは、すべての RHEL サブスクリプションで利用できます。このリポジトリーは、開発者向けの追加パッケージを提供します。CodeReady Linux Builder リポジトリーに含まれるパッケージには対応しません。

RHEL 8 リポジトリーの詳細はパッケージマニフェストを参照してください。

3.3. アプリケーションストリーム

Red Hat Enterprise Linux 8 では、アプリケーションストリームの概念が導入されました。ユーザー空間コンポーネントのバージョンは複数配信され、コアオペレーティングシステムのパッケージよりも頻繁に更新されるようになりました。これによりプラットフォームや特定のデプロイメントの基本的な安定性に影響を及ぼすことなく、Red Hat Enterprise Linux をカスタマイズする柔軟性が向上します。

アプリケーションストリームとして使用できるコンポーネントは、モジュールまたは RPM パッケージとしてパッケージ化され、RHEL 8 の AppStream リポジトリーを介して配信されます。各 Application Stream コンポーネントには、RHEL 8 と同じか、より短いライフサイクルが指定されています。詳細はRed Hat Enterprise Linux のライフサイクルを参照してください。

モジュールは、論理ユニット (アプリケーション、言語スタック、データベース、またはツールセット) を表すパッケージの集まりです。これらのパッケージはまとめてビルドされ、テストされ、そしてリリースされます。

モジュールストリームは、アプリケーションストリームコンポーネントのバージョンを表します。たとえば、postgresql:10 のデフォルトのストリーム以外に、postgresql モジュールでは、PostgreSQL データベースサーバーの複数のストリーム (バージョン) を利用できます。システムにインストールできるモジュールストリームは 1 つだけです。複数のコンテナーで異なるバージョンを使用できます。

詳細なモジュールコマンドは ユーザー空間コンポーネントのインストール、管理、および削除を参照してください。AppStream で利用可能なモジュールの一覧は、Package manifest を参照してください。

3.4. YUM/DNF を使用したパッケージ管理

Red Hat Enterprise Linux 8 へのソフトウェアのインストールは、DNF テクノロジーをベースとした YUM ツールにより行われます。以前のメジャーバージョンの RHEL との一貫性を保つために、yum の用語の使用が意図的に準拠しています。ただし、yum の代わりに dnf を呼び出すと、yum は互換性のために dnf のエイリアスであるため、コマンドが期待どおりに動作します。

詳細は、以下のドキュメントを参照してください。

第4章 新機能

ここでは、Red Hat Enterprise Linux 8.6 に追加された新機能および主要な機能拡張を説明します。

4.1. インストーラーおよびイメージの作成

Image Builder は、LVM でカスタマイズされたファイルシステムパーティションをサポートします

この機能拡張により、複数のパーティションがある場合、LVM でカスタマイズされたファイルシステムパーティションを使用してイメージを作成し、実行時にそれらのパーティションのサイズを変更できます。そのために、ブループリントでカスタマイズされたファイルシステム設定を指定してから、目的のディスクレイアウトでイメージを作成できます。デフォルトのファイルシステムレイアウトは変更されません。ファイルシステムをカスタマイズせずにプレーンイメージを使用する場合、ルートパーティションは cloud-init によってサイズ変更されます。

(JIRA:RHELPLAN-102505)

4.2. RHEL for Edge

RHEL for Edge は、デフォルトで Greenboot ビルトインヘルスチェックをサポートするようになりました

この更新により、RHEL for Edge Greenboot には、再起動中にハードウェアがハングアップまたはフリーズしないようにする watchdog 機能を備えたビルトインヘルスチェックが含まれるようになりました。これにより、次の機能を利用できます。

  • watchdogs ハードウェアユーザーがビルトインヘルスチェックを簡単に導入できるようになります
  • ビルトイン OS コンポーネントに価値を提供するデフォルトのヘルスチェックのセット
  • watchdog がデフォルトのプリセットとして表示されるようになるため、この機能を簡単に有効または無効にできます。
  • すでに利用可能なヘルスチェックに基づいてカスタムヘルスチェックを作成する機能。

(BZ#2083036)

RHEL 8 を rpm-ostreev2022.2 にリベースしました

RHEL 8 は、rpm-ostree バージョン v2022.2 とともに配布され、複数のバグ修正と機能強化が提供されます。以下は、主な変更点です。

  • 新しい --append-if-missing フラグおよび --delete-if-present kargs フラグを使用することで、カーネル引数を idempotent 形式で更新できるようになりました。
  • YUM の Count Me 機能が、すべてのリポジトリークエリーでデフォルトで完全に無効になり、対応する rpm-ostree-countme.timer ユニットおよび rpm-ostree-countme.service ユニットによってのみトリガーされるようになりました。countmeを参照してください。
  • 後処理ロジックで、user.ima IMA 拡張アトリビュートを処理できるようになりました。xattr 拡張属性が見つかると、最終的な OSTree パッケージコンテンツの security.ima に自動的に変換されます。
  • treefile には、新しい repo-packages 項目があります。これを使用して、一連のパッケージを特定のリポジトリーに固定できます。
  • Compose とクライアント側でモジュール性を使用する機能。
  • コンテナーイメージは、作成ターゲットおよびアップグレードソースとして使用されるようになりました。

(BZ#2032594)

4.3. サブスクリプション管理

subscription-manager syspurpose で統合されたシステム目的のコマンド

以前は、システムの目的に関連する属性を設定するための複数の subscription-manager モジュール (addonsroleservice-level、および usage) がありました。これらのモジュールは、新しい subscription-managersyspurpose モジュールに移動しました。

元の subscription-manager モジュール (addonsroleservice-level、および usage) は非推奨になりました。さらに、syspurpose コマンドラインツールを提供するパッケージ (python3-syspurpose) は、RHEL 8.6 で非推奨になりました。このパッケージのすべての機能は、新しい subscription-manager syspurpose モジュールでカバーされています。

この更新により、subscription-manager の 1 つのコマンドを使用して、すべてのシステムの目的属性を表示、設定、および更新する方法が統一されました。これにより、既存のシステムの目的のコマンドがすべて、新しいサブコマンドとして利用可能な同等のバージョンに置き換わります。たとえば、subscription-manager role --set SystemRolesubscription-manager syspurpose role --set SystemRole になります。

新しいコマンド、オプション、およびその他の属性の詳細は、man ページの subscription-managerSYSPURPOSE OPTIONS セクションを参照してください。

(BZ#2000883)

4.4. ソフトウェア管理

modulesync コマンドを使用して、RHEL8 の特定のワークフローを置き換えることができるようになりました

Red Hat Enterprise Linux 8 では、モジュラーメタデータなしでモジュラーパッケージをインストールすることはできません。以前は、yum コマンドを使用してパッケージをダウンロードしてから、createrepo_c コマンドを使用してそれらのパッケージを再配布できました。

この機能拡張により、modulesync コマンドが導入され、モジュラーメタデータの存在が保証され、パッケージのインストールが保証されます。このコマンドは、モジュールからrpmパッケージをダウンロードし、作業ディレクトリーにモジュラーメタデータを含むリポジトリーを作成します。

(BZ#1868047)

新しい --path CLI オプションが RPM に追加されました

この更新により、新しい --path CLI オプションを使用して、現在インストールされていないファイルでパッケージをクエリーできます。このオプションは既存の --file オプションに似ていますが、指定されたパスのみに基づいてパッケージと一致します。そのパスにあるファイルはディスク上に存在する必要はないことに注意してください。

--path CLI オプションは、ユーザーが yum--nodocs オプションを使用して、インストール時にすべてのドキュメントファイルを除外する場合に役立ちます。この場合は、--path オプションを使用すると、そのような除外されたファイルの所有パッケージを表示できますが、--fileオプションは、要求されたファイルが存在しないため、パッケージを表示しません。

(BZ#1940895)

4.5. シェルおよびコマンドラインツール

lsvpd パッケージがバージョン 1.7.13 にリベース

lsvpd パッケージはバージョン 1.7.13 にリベースされる主なバグ修正と機能強化は、以下のとおりです。

  • SCSI ロケーションコードのサポートが追加されました。
  • sysfstreecollector の絶対パス getDevTreePath の長さを修正しました。

(BZ#1993557)

net-snmp-cert gencert ツールは、SHA1 ではなく SHA512 暗号化アルゴリズムを使用するようになる

セキュリティーを強化するために、net-snmp-cert gencert ツールが更新され、デフォルトで SHA512 暗号化アルゴリズムを使用して証明書が生成されるようになりました。

(BZ#1908331)

dnnおよびtextモジュールはopencvパッケージで利用可能

イメージ分類推論用の Deep Neural Network を含む dnn モジュールと、シーンテキストの検出と認識用の text モジュールが opencv パッケージで利用できるようになりました。

(BZ#2007780)

powerpc-utilsパッケージがバージョン 1.3.9 にリベース

powerpc-utils パッケージがバージョン 1.3.9 にアップグレード主なバグ修正と機能強化は、以下のとおりです。

  • drmgr でログサイズを 1MB に増やしました。
  • 起動時のHCNID配列サイズのチェックを修正しました。
  • hcngr で HNV 接続に autoconnect-slaves を実装しました。
  • hcngr で、HNV ボンディングリスト接続が改善されました。
  • hcnmgrvim からの xxd の代わりに util-linuxhexdump を使用します。
  • hcn-init.service は NetworkManager と一緒に起動します。
  • ofpathname でマルチパスの論理 FC ルックアップを修正しました。
  • ofpathname でパーティションを持つ論理ルックアップに対する OF を修正しました。
  • 5 つを超えるパスを持つマルチパスデバイスのブートリストを修正しました。
  • 実行中の LPAR の NUMA アフィニティスコアを検出するための lparnumascore コマンドが導入されました。
  • セキュリティーを強化するために、lpartstat-x オプションを追加しました。
  • hcngrudev名が変更されたofpathname競合を修正しました。
  • HNV の qrydev を修正し、lsdevinfo を削除しました。

(BZ#2028690)

powerpc-utils パッケージは、バックアップデバイスとして vNIC をサポートするようになる

powerpc-utils パッケージは、Hybrid Network Virtualization (HNV) のバックアップ vdevice として仮想ネットワークインターフェイスカード (vNIC) をサポートするようになりました。

(BZ#2022225)

opencryptokiパッケージがバージョン 3.17.0 にリベース

opencryptokiパッケージはバージョン 3.17.0 にリベースされました。主なバグ修正と機能強化は、以下のとおりです。

  • p11sakツールは、キーを一覧表示する新しい機能を提供します。
  • OpenSSL 3.0 のサポートが追加される
  • イベント通知のサポートが追加されました。
  • ICA トークンに SW フォールバックを追加しました。
  • WebSphere Application Server は、ハードウェア暗号アダプターを使用可能にして起動に失敗しなくなりました。
  • opencryptoki.module が削除され、p11-kit list-modules コマンドでエラーメッセージが表示されなくなりました。

(BZ#1984993)

レスキューイメージを作成するときに、特定のネットワークインターフェイスと IP アドレスを除外できます

EXCLUDE_IP_ADDRESSES 変数を使用して特定の IP アドレスを無視し、EXCLUDE_NETWORK_INTERFACES 変数を使用してレスキューイメージを作成するときに特定のネットワークインターフェイスを無視することができます。

フローティングアドレスを持つサーバーでは、元のサーバーが復旧するまで、ReaR レスキュー環境がフェールオーバーサーバーに移動されるフローティングアドレスを設定しないようにする必要があります。そうしないと、フェールオーバーサーバーとの競合が発生し、その結果、フェールオーバーサーバーで実行しているサービスが中断されます。競合を防ぐために、ReaR 設定ファイル /etc/rear/local.conf で次のアクションを実行できます。

  • EXCLUDE_IP_ADDRESSES 変数をアドレスのバッシュ配列として提供することにより、ReaR の IP アドレスを除外します。たとえば、EXCLUDE_IP_ADDRESSES=( 192.0.2.27 192.0.2.10 ) です。
  • EXCLUDE_NETWORK_INTERFACES 変数をインターフェイスのバッシュ配列として提供することにより、ReaR のネットワークインターフェイスを除外します。例: EXCLUDE_NETWORK_INTERFACES =(eno1d1)

(BZ#2035939)

4.6. インフラストラクチャーサービス

新しい bind9.16 パッケージバージョン 9.16.23 が導入されました

bind コンポーネントバージョン 9.11.36 の代わりに、新しい bind9.16 パッケージバージョン 9.16.23 が導入されました。主な機能強化は、次のとおりです。

  • DNSSEC に新しいキーおよび署名ポリシー機能が導入されました。
  • プライバシーを改善するために QNAME 最小化を導入しました。
  • パーマネントに validate-except 機能を導入しました。
  • DNSSEC 検証を一時的に無効にするネガティブトラストアンカー。
  • 応答ポリシーゾーン (RPZ) をリファクタリングしました。
  • ゾーンタイプの新しい命名規則が導入されました。プライマリーゾーンタイプとセカンダリゾーンタイプは、マスタースレーブの同義語として使用されます。
  • digmdig、およびdelvコマンドの補足 YAML 出力モードが導入されました。
  • filter-aaaa機能は、別々の filter-aプラグインとfilter-aaaaプラグインに移動しました。
  • 新しいゾーンタイプのミラーサポートが導入されました (RFC 8806)。

削除された機能:

  • dnssec-enabledオプションは削除され、DNSSEC はデフォルトで有効になり、dnssec-enabledキーワードは受け入れられなくなりました。
  • lwresd軽量リゾルバーデーモンとliblwres軽量リゾルバーライブラリーが削除されました。

(BZ#1873486)

CUPS はコンテナーイメージとして利用可能です

Common Unix Printing System (CUPS) がコンテナーイメージとして利用可能になり、Red Hat Container Catalog からデプロイできるようになりました。

(BZ#1913715)

bind コンポーネントがバージョン 9.11.36 にリベースされました

bind コンポーネントがバージョン 9.11.36 に更新されました。主なバグ修正と機能強化は、以下のとおりです。

  • より安全になるようにlame-ttlオプションが改善されました。
  • RBTDB インスタンスに影響を与える複数スレッドのバグにより、free_rbtdb() でアサーションが失敗することはなくなりました。
  • RFC 8976 に一致するように ZONEMD RR タイプの実装を更新しました。
  • NSEC3 反復の最大サポート回数は 150 回に減りました。反復回数が多いレコードは、安全でないものとして扱われます。
  • LOC レコードの無効な方向フィールドが失敗することはなくなりました。

(BZ#2013993)

CUPS ドライバーレス印刷は CUPS Web UI で利用可能

IPP Everywhere モデルに基づく CUPS ドライバーレス印刷は、CUPS Web UI で使用できます。CLI で使用される lpadmin コマンドに加えて、CUPS Web UI に IPP Everywhere キューを作成して、特別なソフトウェアなしでネットワークプリンターに印刷できます。

詳細については、 Configuring driverless printing を参照してください。

(BZ#2032965)

4.7. セキュリティー

pcsc-lite パッケージが 1.9.5 にリベースされました

pcsc-lite パッケージはアップストリームバージョン 1.9.5 にリベースされました。この更新では、特に次のような新しい拡張機能とバグ修正が提供されます。

  • pcscd デーモンは、手動で起動したときに非アクティブになった後、自動的に終了しなくなりました。
  • pcsc-spy ユーティリティーは、Python 3 と新しい --thread オプションをサポートするようになりました。
  • SCardEndTransaction() 関数のパフォーマンスが改善されました。
  • poll() 関数は select() 関数に取って代わりました。これにより、FD_SETSIZE よりも大きいファイル記述子番号が許可されます。
  • 多くのメモリーリークと同時実行の問題が修正されました。

(BZ#2014641)

暗号化ポリシーは diffie-hellman-group14-sha256 をサポートする

これで、RHEL システム全体の暗号化ポリシーの libssh ライブラリーに diffie-hellman-group14-sha256 キー交換 (KEX) アルゴリズムを使用できます。この更新は、この KEX アルゴリズムもサポートする OpenSSH との同等性も提供します。この更新により、libssh ではデフォルトで diffie-hellman-group14-sha256 が有効になりますが、カスタム暗号化ポリシーを使用して無効にすることができます。

(BZ#2023744)

OpenSSH サーバーがドロップイン設定ファイルをサポートするようになりました

sshd_config ファイルは include ディレクティブをサポートします。これは、設定ファイルを別のディレクトリーに含めることができることを意味します。これにより、Ansible Engine などの自動化ツールを使用して、OpenSSH サーバーにシステム固有の設定を簡単に適用できます。また、ssh_config ファイルの機能との整合性も高くなっています。さらに、ドロップイン設定ファイルを使用すると、着信接続のフィルター処理など、さまざまな用途に合わせてさまざまな設定ファイルを簡単に整理できます。

(BZ#1926103)

sshd_config:ClientAliveCountMax=0 は接続終了を無効にします

SSHD 設定オプション ClientAliveCountMax0 に設定すると、接続の終了が無効になります。これにより、このオプションの動作がアップストリームと一致します。その結果、OpenSSH は、 ClientAliveInterval オプションで設定されたタイムアウトに達したときに、アイドル状態の SSH ユーザーを切断しなくなりました。

(BZ#2015828)

libssh が 0.9.6 にリベース

libssh パッケージは、アップストリームバージョン 0.9.6 にリベースされました。このバージョンでは、主なバグ修正および機能強化が数多く追加されました。

  • 複数の ID ファイルのサポート。ファイルは、〜/.ssh/config ファイルにリストされているように、下から上に処理されます。
  • SFTP での 1 秒未満の時間の解析が修正されました。
  • SSH_AGAIN を予期せず返す ssh_channel_poll_timeout() 関数のリグレッションが修正されました。
  • キーの再交換が修正された後に発生する可能性のあるヒープバッファオーバーフロー。
  • AEAD 暗号が一致しているが、HMAC の重複がない場合のハンドシェイクのバグが修正されました。
  • エラーパスでのいくつかのメモリーリークが修正されました。

(BZ#1896651)

Libreswan を 4.5 にリベース

Libreswan はアップストリームバージョン 4.5 にリベースされるこのバージョンでは、主なバグ修正および機能強化が数多く追加されました。

  • ラベル付き IPsec 用のインターネットキーエクスチェンジバージョン 2 (IKEv2) のサポート。
  • インターネットキーエクスチェンジ (IKE) セキュリティーアソシエーション (SA) の子なしの開始のサポート。

(BZ#2017352)

SELinux モジュールのチェックサムを検証するための新しいオプション

semodule コマンドに新しく追加された --checksum オプションを使用すると、インストールされている SELinux ポリシーモジュールのバージョンを確認できます。

Common Intermediate Language (CIL) はモジュール名とモジュールバージョンをモジュール自体に格納しないため、以前は、インストールされたモジュールがインストールされるはずのモジュールと同じバージョンであることを確認する簡単な方法はありませんでした。

新しいコマンド semodule -l --checksum を使用すると、指定したモジュールの SHA256 ハッシュを受け取り、それを元のファイルのチェックサムと比較できます。これは、モジュールを再インストールするよりも高速です。

使用例:

# semodule -l --checksum | grep localmodule
localmodule sha256:db002f64ddfa3983257b42b54da7b182c9b2e476f47880ae3494f9099e1a42bd

# /usr/libexec/selinux/hll/pp localmodule.pp | sha256sum
db002f64ddfa3983257b42b54da7b182c9b2e476f47880ae3494f9099e1a42bd  -

(BZ#1731501)

OpenSCAP はローカルファイルを読み取ることができます

OpenSCAP は、リモート SCAP ソースデータストリームコンポーネントの代わりにローカルファイルを使用できるようになりました。以前は、インターネットにアクセスできないシステムで、リモートコンポーネントを含む SCAP ソースデータストリームの完全な評価を実行できませんでした。これらのシステムでは、リモートコンポーネントをインターネットからダウンロードする必要があるため、OpenSCAP はこれらのデータストリームの一部のルールを評価できませんでした。この更新により、OpenSCAP スキャンを実行する前にリモート SCAP ソースデータストリームコンポーネントをダウンロードしてターゲットシステムにコピーし、oscap コマンドで --local-files オプションを使用してそれらを OpenSCAP に提供できます。

(BZ#1970529)

SSG は、ホームディレクトリーとインタラクティブユーザーのルールをスキャンして修正するようになりました

対話型ユーザーが使用するホームディレクトリーに関連するすべての既存のルールをチェックおよび修正するための OVAL コンテンツが、SCAP セキュリティーガイド (SSG) スイートに追加されました。多くのベンチマークでは、インタラクティブユーザーのホームディレクトリー内に通常見られるプロパティーとコンテンツの検証が必要です。システム内のインタラクティブユーザーの存在と数はさまざまである可能性があるため、これまで、OVAL 言語を使用してこのギャップを埋める堅牢なソリューションはありませんでした。この更新により、システム内のローカルの対話型ユーザーとそれぞれのホームディレクトリーを検出する OVAL チェックと修復が追加されます。その結果、SSG は、関連するすべてのベンチマーク要件を安全にチェックおよび修正できます。

(BZ#1884687)

SCAP ルールに、大規模システムの監査ログバッファを設定するための警告メッセージが表示されるようになりました

SCAP ルール xccdf_org.ssgproject.content_rule_audit_basic_configuration は、このルールによって設定された監査ログバッファーが小さすぎてカスタム値を上書きできる大規模システムのユーザーを示唆するパフォーマンス警告を表示するようになりました。この警告は、より大きな監査ログバッファーを設定するプロセスについても説明しています。この機能拡張により、大規模システムのユーザーはコンプライアンスを維持し、監査ログバッファーを正しく設定できます。

(BZ#1993826)

SSG が /etc/security/faillock.conf ファイルをサポートするようになりました

この機能拡張により、SCAP セキュリティーガイド (SSG) の/etc/security/faillock.conf ファイルのサポートが追加されます。この更新により、SSG はpam_faillock設定の定義について/etc/security/faillock.confファイルを評価および修正できます。authselectツールは、pamファイルの整合性を確保しながらpam_faillockモジュールを有効にするためにも使用されます。その結果、pam_faillockモジュールの評価と修正は、最新バージョンとベストプラクティスに沿ったものになります。

(BZ#1956972)

SCAP セキュリティーガイドが 0.1.60 にリベースされました。

SCAP セキュリティーガイド (SSG) パッケージは、アップストリームバージョン 0.1.60 にリベースされました。このバージョンは、さまざまな拡張機能とバグ修正を提供します。特に、次のようなものがあります。

  • PAM スタックを強化するルールは、設定ツールとしてauthselectを使用するようになりました。
  • DISA STIG 自動 SCAP コンテンツと SCAP 自動コンテンツ (デルタ調整) の違いを表すプロファイルを定義する調整ファイルがサポートされるようになりました。
  • ルール xccdf_org.ssgproject.content_enable_fips_mode は、FIPS モードが正しく有効になっているかどうかのみをチェックするようになりました。システムコンポーネントが FIPS 認定を受けていることを保証するものではありません。

(BZ#2014485)

DISA STIG プロファイルは Red Hat Virtualization 4.4 をサポートします

DISA STIG for Red Hat Enterprise Linux 8 プロファイルバージョン V1R5 は、Red Hat Virtualization 4.4 をサポートするように拡張されました。このプロファイルは、国防情報システム局 (DISA) が提供する RHEL 8 セキュリティー技術実装ガイド (STIG) の手動ベンチマークに準拠しています。ただし、一部の設定は、Red Hat Virtualization (RHV) がインストールされているホストには適用されません。これは、Red Hat Virtualization のインストールと正常な動作が妨げられるためです。

STIG プロファイルが Red Hat Virtualization ホスト (RHVH)、セルフホストインストール (RHELH)、または RHV Manager がインストールされているホストに適用される場合、次のルールは「適用外」になります。

  • package_gss_proxy_removed
  • package_krb5-workstation_removed
  • package_tuned_removed
  • sshd_disable_root_login
  • sudo_remove_nopasswd
  • sysctl_net_ipv4_ip_forward
  • xwindows_remove_packages
警告

自動修正によりシステムが機能しなくなる場合があります。テスト環境で修復を最初に実行します。

(BZ#2021802)

OpenSCAP が 1.3.6 にリベースされました。

OpenSCAP パッケージがアップストリームバージョン 1.3.6 にリベースされました。このバージョンは、さまざまなバグ修正と機能拡張を提供します。特に、次のとおりです。

  • --local-files ¥オプションを使用して、リモート SCAP ソースデータストリームコンポーネントのローカルコピーを提供できます。
  • OpenSCAP は、複数の--rule引数を受け入れて、コマンドラインで複数のルールを選択します。
  • OpenSCAP では、--skip-rule オプションを使用して一部のルールの評価をスキップできます。
  • OSCAP_PROBE_MEMORY_USAGE_RATIO 環境変数を使用して、OpenSCAP プローブによって消費されるメモリーを制限できます。
  • OpenSCAP は、修復タイプとして OSBuild ブループリントをサポートするようになりました。

(BZ#2041781)

clevis-systemdnc に依存しなくなりました

この機能拡張により、clevis-systemd パッケージは nc パッケージに依存しなくなりました。Extra Packages for Enterprise Linux (EPEL) で使用すると、依存関係が正しく機能しませんでした。

(BZ#1949289)

audit が 3.0.7 にリベースされました。

audit パッケージはバージョン 3.0.7 にアップグレードされ、多くの機能拡張とバグ修正が行われました。以下に例を示します。

  • Audit の基本ルールに sudoers を追加しました。
  • --eoe-timeout オプションを ausearch コマンドに追加し、それに類似した eoe_timeout オプションを auditd.conf ファイルに追加しました。これは、イベント終了タイムアウトの値を指定し、ausearch が同じ場所にあるイベントを解析する方法に影響を与えます。
  • リモートロケーションが利用できないときに CPU 容量の 100% を使用する audisp-remote プラグインの修正を導入しました。

(BZ#1939406)

Audit は、イベントタイムアウトの終了を指定するためのオプションを提供するようになりました

このリリースでは、ausearch ツールは --eoe-timeout オプションをサポートし、auditd.conf ファイルには end_of_event_timeout オプションが含まれています。これらのオプションを使用して、イベントタイムアウトの終了を指定し、同じ場所に配置されたイベントの解析に関する問題を回避できます。イベントタイムアウトの終了のデフォルト値は 2 秒に設定されています。

(BZ#1921658)

Audit の基本ルールに sudoer を追加します。

この機能拡張により、/etc/sudoers および etc/sudoers.d/ ディレクトリーが、Payment Card Industry Data Security Standard (PCI DSS) や Operating Systems Protection Profile (OSPP) などの Audit 基本ルールに追加されます。そのため、sudoers などの特権領域の設定変更を監視することでセキュリティーが強化されます。

(BZ#1927884)

Rsyslog には、より高性能な操作と CEF のための mmfields モジュールが含まれます

Rsyslog には、mmfields モジュールを提供する rsyslog-mmfields サブパッケージが含まれるようになりました。これは、プロパティー置き換えフィールド抽出を使用する代わりの方法ですが、プロパティー置き換えとは対照的に、すべてのフィールドが一度に抽出され、構造化データ部分の内部に格納されます。その結果、特に Common Event Format (CEF) などのログ形式を処理する場合や、多数のフィールドが必要であったり特定のフィールドを再使用したりする場合などに、mmfields を使用できます。このような場合の mmfields のパフォーマンスは、既存の Rsyslog 機能よりも優れています。

(BZ#1947907)

libcapがバージョン 2.48 にリベース

libcap パッケージがアップストリームバージョン 2.48 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。主な改善点は以下の通りです。

  • POSIX セマンティックシステムコール用のヘルパーライブラリー (libpsx)
  • システムコール関数のオーバーライドのサポート
  • 機能セットの IAB 抽象化
  • 追加の capsh テスト機能

(BZ#2032813)

fapolicyd が 1.1 にリベースされました。

fapolicyd パッケージは、多くの改善とバグ修正を含むアップストリームバージョン 1.1 にアップグレードされました。最も注目すべき変更点は次のとおりです。

  • 実行ルールの許可と拒否を含むファイルの/etc/fapolicyd/rules.d/ディレクトリーは、/etc/fapolicyd/fapolicyd.rulesファイルを置き換えます。fagenrulesスクリプトは、このディレクトリー内のすべてのコンポーネントルールファイルを/etc/fapolicyd/compiled.rulesファイルにマージするようになりました。詳細については、新しいfagenrules (8)の man ページを参照してください。
  • RPM データベース外のファイルを信頼できるものとしてマークするための/etc/fapolicyd/fapolicyd.trustファイルに加えて、信頼できるファイルのリストをより多くのファイルに分割することをサポートする新しい/etc/fapolicyd/trust.dディレクトリーを使用できるようになりました。これらのファイルに --trust-file ディレクティブを指定して fapolicyd-cli-f サブコマンドを使用して、ファイルのエントリーを追加することもできます。詳細については、fapolicyd-cli(1)およびfapolicyd.trust(13)の man ページを参照してください。
  • fapolicyd trust データベースは、ファイル名の空白をサポートするようになりました。
  • fapolicyd は、ファイルを信頼データベースに追加するときに、実行可能ファイルへの正しいパスを格納するようになりました。

(BZ#1939379)

libseccomp が 2.5.2 にリベース

libseccompパッケージは、アップストリームバージョン 2.5.2 にリベースされました。このバージョンでは、主なバグ修正および機能強化が数多く追加されました。

  • Linux の syscall テーブルがバージョン v5.14-rc7 に更新されました。
  • 通知ファイル記述子を取得するために、get_notify_fd() 関数が Python バインディングに追加されました。
  • すべてのアーキテクチャーの多重化されたシステムコール処理が 1 つの場所に統合されました。
  • 多重化されたシステムコールのサポートが、PowerPC (PPC) および MIPS アーキテクチャーに追加されました。
  • カーネル内で SECCOMP_IOCTL_NOTIF_ID_VALID 操作の意味が変更されました。
  • libseccomp ファイル記述子通知ロジックは、カーネルの以前および新しい SECCOMP_IOCTL_NOTIF_ID_VALID の使用をサポートするように変更されました。

(BZ#2019893)

4.8. ネットワーキング

CleanUpModulesOnExit firewalld グローバル設定オプションが使用可能になりました。

以前は、firewalld を再起動またはシャットダウンすると、firewalld はカーネルモジュールを再帰的にアンロードしていました。その結果、他のパッケージがこれらのモジュールまたは依存モジュールを使用すると失敗しました。このアップグレードでは、ユーザーは CleanUpModulesOnExit オプションを no に設定して、firewalld によるこれらのカーネルモジュールのアンロードを停止できます。

(BZ#1980206)

大きな nftables セットの復元に必要なメモリーがすくなくなりました

この機能拡張により、nftables フレームワークが大きなセットを復元するために必要なメモリーが大幅に減少しました。netlink メッセージを準備するアルゴリズムが改善され、その結果、セットを復元する際に使用するメモリーが最大 40% 減少しました。

(BZ#2047821)

nmstate API が OVS-DPDK に対応するようになりました。

この改善により、Open vSwitch (OVS) Data Plane Development Kit (DPDK) のスキーマが nmstate API に追加されました。その結果、nmstate を使用して、DPDK ポートで OVS デバイスを設定できます。

(BZ#2003976)

nmstate API が、SR-IOV 仮想機能の VLAN および QoS ID に対応するようになりました。

今回の更新で、SR-IOV (Single root I/O virtualization) 仮想機能で、ローカルエリアネットワーク (VLAN) および QoS (Quality of Service) に対応するようになり、nmstate API が強化されました。その結果、nmstate を使用して、このような機能を設定できます。

(BZ#2004006)

NetworkManager がバージョン 1.36.0 にリベースされました。

NetworkManager パッケージがアップストリームバージョン 1.36.0 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。

  • レイヤ 3 設定の処理は、安定性、パフォーマンス、およびメモリー使用量を改善するために作り直されました。
  • NetworkManager は、IBM Z プラットフォームでrd.znet_ifnames カーネルコマンドラインオプションをサポートするようになりました。
  • blackholeunreachable、および prohibit ルートタイプが追加されました。
  • NetworkManager は、ルーティングサービスによって管理されるルートを無視するようになりました。
  • Wi-Fi Protected Access バージョン 3(WPA3) ネットワークセキュリティーは、SAE (simultaneous authentication of equals) パスワード要素の同時認証を生成するときに H2E (hash-to-element) 方式を有効にすることで改善されました。
  • このサービスは、重複するアドレスまたはマスクオプションを送信する DHCP サーバーからの応答を正しく処理するようになりました。
  • ブリッジの MAC エージングをオフにできるようになりました。
  • NetworkManager は、qdiscsfiltersなどのトラフィック制御オブジェクトのnetlinkイベントをリッスンしなくなりました。
  • ネットワークボンドは、ボンドポートのキュー ID の設定をサポートするようになりました。

主な変更の詳細は、アップストリームのリリースノートを参照してください。

(BZ#1996617)

hostapd パッケージが RHEL 8.6 に追加されました。

今回のリリースで、RHEL は hostapd パッケージを提供します。ただし、Red Hat が hostapd に対応するのは、イーサネットネットワークで RHEL ホストを 802.1X 認証子として設定することのみです。Wi-Fi アクセスポイントや Wi-Fi ネットワークのオーセンティケーターなど、その他のシナリオには対応していません。

FreeRADIUS バックエンドを備えた 802.1X オーセンティケーターとして RHEL を設定する方法の詳細については、Setting up an 802.1x network authentication service for LAN clients using hostapd with FreeRADIUS backend を参照してください。

(BZ#2016946)

NetworkManager は、OVS-DPDK インターフェイスでの受信キュー数 (rx_queue) の設定をサポートするように

この機能拡張により、NetworkManager を使用して、Open vSwitch (OVS) データプレーン開発キット (DPDK) インターフェイスのn_rxq設定を設定できます。NetworkManager のovs-dpdk.n-rxq属性を使用して、OVS-DPDK インターフェイスの受信キューの数を設定します。

たとえば、ovs-iface0という名前の OVS インターフェイスで 2 つの受信キューを設定するには、次のように入力します。

# nmcli connection modify ovs-iface0 ovs-dpdk.nrxq 2

(BZ#2001563)

nftablesフレームワークは、カウンターが接続されたnftセット要素をサポートするようになる

以前は、netfilterフレームワークでは、nftablesセットカウンターはサポートされていませんでした。nftablesフレームワークは、nftツールで設定できます。カーネルを使用すると、このツールは、ステートメントadd @myset {ip saddr counter}を使用して、特定の送信元アドレスからのネットワークパケットをカウントできます。この更新では、動的セットを使用して特定の基準に一致するパケットと、カウンターが接続されている要素をカウントできます。

(BZ#1983635)

4.9. カーネル

RHEL 8.6 のカーネルバージョン

Red Hat Enterprise Linux 8.6 には、カーネルバージョン 4.18.0-372 が同梱されています。

外部カーネルパラメーターの重要な変更」および「 デバイスドライバー 」も参照し てください。

(BZ#1839151)

Extended Berkeley Packet Filter for RHEL 8.6

extended Berkeley Packet Filter (eBPF ) は、限られた一連の関数にアクセスできる制限付きサンドボックス環境において、カーネル領域でのコード実行を可能にするカーネル内の仮想マシンです。この仮想マシンは、特別なアセンブリーのようなコードを実行します。

eBPF バイトコードが最初にカーネルにロードされ、その後に検証が行われます。次に実行時のコンパイルでコードがネイティブマシンコードに変換され、その後、仮想マシンがコードを実行します。

Red Hat は、eBPF 仮想マシンを使用するコンポーネントを数多く提供しています。各コンポーネントの開発フェーズはさまざまです。そのため、現在すべてのコンポーネントが完全にサポートされている訳ではありません。RHEL 8.6 では、以下の eBPF コンポーネントがサポートされています。

  • eBPF を使用して Linux オペレーティングシステムの I/O 分析、ネットワーク、およびモニタリングを行う BPF コンパイラーコレクション (BCC) ツールパッケージ。
  • BCC ライブラリー。これを使用すると、BCC ツールパッケージで提供されるツールと同様のツールを開発できます。
  • eBPF for Traffic Control (tc) 機能。これにより、カーネルネットワークデータパスでのプログラミング可能なパケット処理が可能になります。
  • bpftrace トレース言語
  • カーネルネットワーキングスタックを処理する前に受信パケットへのアクセスを提供する eXpress Data Path (XDP) 機能は、特定の条件でサポートされます。詳細については、XDP is conditionally supported および Overview of networking eBPF features in RHEL を参照してください。
  • libbpf パッケージ。bpftrace および bpf/xdp の開発のようなアプリケーションに関連する bpf に極めて重要です。
  • xdp-tools パッケージが、AMD および Intel 64 ビットアーキテクチャーでサポートされるようになりました。このパッケージには、XDP 機能用のユーザー空間サポートユーティリティーが含まれます。これには、 libxdpライブラリー、XDP プログラムを読み込む xdp-loader ユーティリティー、パケットフィルタリングの xdp-filter サンプルプログラム、XDP が有効になっているネットワークインターフェースからパケットを取得する xdpdump ユーティリティーなどが含まれます。

特定のコンポーネントがサポート対象と示されていない限り、その他のすべての eBPF コンポーネントはテクノロジープレビューとして提供されます。

現在、以下の主要 eBPF コンポーネントは、テクノロジープレビューとして利用できます。

  • eXpress Data Path (XDP) パスをユーザー空間に接続する AF_XDP ソケット

テクノロジープレビューのコンポーネントに関する詳細情報は、eBPF がテクノロジープレビューとして利用可能になりました。 を参照してください。

(BZ#1780124)

Red Hat は、デフォルトでは、特権ユーザーのすべての RHEL バージョンで eBPF を有効にします。

eBPF(extended Berkeley Packet Filter)は、ユーザーが Linux カーネル内でカスタムコードを実行できるようにする複雑なテクノロジーです。性質上、eBPF コードは検証子およびその他のセキュリティーメカニズムを通過する必要があります。CVE(Common Vulnerabilities and Exposures)インスタンスがあり、このコードのバグが承認されていない操作に誤用される可能性があります。このリスクを軽減するため、Red Hat は、特権ユーザーの場合にのみ、すべての RHEL バージョンで eBPF を有効にしています。カーネルコマンドラインパラメーター unprivileged _bpf_disabled=0 を使用して、非特権ユーザーの eBPF を有効にすることができますunprivileged_bpf_disabled=0 を適用すると、Red Hat サポートからカーネルが破損し、システムをセキュリティーリスクに開放することに注意してください。さらに、Red Hat は、CAP_BPF 機能でプロセスを CAP_SYS_ADMIN と同等であるかのように処理できます。

カーネルコマンドラインパラメーターを適用する方法は、「カーネルコマンドラインパラメーター の設定 」を参照してください。

(BZ#2089409)

osnoiseおよびtimerlatトレーサーが RHEL8 に追加される

osnoise トレーサーは、オペレーティングシステムのノイズを測定します。つまり、OS によるアプリケーションの中断とハードウェアの中断です。また、OS ノイズの原因を見つけるのに役立つ一連のトレースポイントも提供します。timerlat トレーサーは、ウェイクアップレイテンシーを測定し、リアルタイム (RT) スレッドのそのようなレイテンシーの原因を特定するのに役立ちます。RT コンピューティングでは、レイテンシーは絶対に重要であり、最小限の遅延でさえ有害になる可能性があります。osnoiseおよびtimerlatトレーサーを使用すると、OS がアプリケーションに干渉したり、RT スレッドのウェイクアップ遅延が発生したりする原因を調査して見つけることができます。

(BZ#1979382)

straceユーティリティーは、実際の SELinux コンテキストと SELinux コンテキストデータベースから抽出された定義との間の不一致を表示できるようになりました

straceの既存の--secontextオプションは、mismatch パラメーターで拡張されました。このパラメーターを使用すると、不一致の場合にのみ、実際のコンテキストとともに期待されるコンテキストを出力できます。出力は、2 つの感嘆符 ( !!) で区切られます。最初は実際のコンテキスト、次に期待されるコンテキストです。以下の例では、コンテキストのユーザー部分が不一致であるため、full,mismatch パラメーターは、実際のコンテキストとともに期待される完全なコンテキストを出力します。ただし、単独の mismatch を使用する場合は、コンテキストのタイプ部分のみをチェックします。コンテキストのタイプ部分が一致するため、予期されるコンテキストは出力されません。

[...]
$ strace --secontext=full,mismatch -e statx stat /home/user/file
statx(AT_FDCWD, "/home/user/file" [system_u:object_r:user_home_t:s0!!unconfined_u:object_r:user_home_t:s0], ...

$ strace --secontext=mismatch -e statx stat /home/user/file
statx(AT_FDCWD, "/home/user/file" [user_home_t:s0], ...

SELinux コンテキストの不一致は、SELinux に関連するアクセス制御の問題を引き起こすことがよくあります。システムコールトレースに出力された不一致により、SELinux コンテキストの正確性のチェックが大幅に迅速化されます。システムコールトレースは、アクセス制御チェックに関する特定のカーネルの動作を説明することもできます。

(BZ#2038992, BZ#2038810)

--cyclictest-thresholdオプションがrtevalユーティリティーに追加されました

この機能拡張により、--cyclictest-threshold=USEC オプションが rteval テストスイートに追加されました。このオプションを使用すると、しきい値を指定できます。待ち時間の測定値がこのしきい値を超えると、rteval テストの実行はすぐに終了します。待ち時間の期待が満たされない場合、実行は失敗ステータスで中止されます。

(BZ#2012285)

4.10. ファイルシステムおよびストレージ

RHEL 8.6 は RHEL 9 XFS イメージと互換性があります

この更新により、RHEL 8.6 は RHEL 9 イメージを使用できるようになりました。RHEL 9 XFS ゲストイメージは、RHEL 8.6 でゲストイメージをマウントするために、bigtime および inode btree カウンター (inobtcount) のオンディスク機能が許可されている必要があります。bigtime および inobtcount 機能を使用して作成されたファイルシステムは、RHEL 8.6 より前のバージョンと互換性がないことに注意してください。

(BZ#2022903, BZ#2024201)

一貫したユーザーエクスペリエンスのために、Samba ユーティリティーのオプションの名前が変更され、削除されました。

Samba ユーティリティーが改善され、一貫したコマンドラインインターフェースが提供されるようになりました。この改善には、オプションの名前変更や削除が含まれます。そのため、更新後の問題を回避するには、Samba ユーティリティーを使用するスクリプトを確認し、必要に応じてスクリプトを更新します。

Samba 4.15 では、Samba ユーティリティーに以下の変更が加えられました。

  • Samba コマンドラインユーティリティーは、不明なオプションを暗黙的に無視していました。予期しない動作を防ぐために、ユーティリティーが、不明なオプションを常に拒否するようになりました。
  • いくつかのコマンドラインオプションには、デフォルト値を制御するのに対応する smb.conf が追加されました。コマンドラインオプションに smb.conf 変数名があるかどうかを確認するには、ユーティリティーの man ページを参照してください。
  • デフォルトで、Samba ユーティリティーが標準エラー (stderr) にログを記録するようになりました。この挙動を変更するには、--debug-stdout を使用します。
  • 一般的なパーサーに --client-protection=off|sign|encrypt が追加されました。
  • 以下のオプションは、すべてのユーティリティーで名前が変更されています。

    • --kerberos から --use-kerberos=required|desired|off
    • --krb5-ccache から --use-krb5-ccache=CCACHE
    • --scope から --netbios-scope=SCOPE
    • --use-ccache から --use-winbind-ccache
  • 以下のオプションがすべてのユーティリティーから削除されました。

    • -e および --encrypt
    • --use-winbind-ccache から削除された -C
    • --netbios-scope から削除された -i
    • -S および --signing
  • オプションの重複を防ぐため、次のユーティリティーから特定のオプションが削除されたり、名前が変更されたりしています。

    • ndrdump: -l は、--load-dso では使用できなくなりました。
    • net: -l は、--long では使用できなくなりました。
    • sharesec: -V は、--viewsddl では使用できなくなりました。
    • smbcquotas: --user の名前が --quota-user に変更になりました。
    • nmbd: --log-stdout の名前が --debug-stdout に変更になりました。
    • smbd: --log-stdout の名前が --debug-stdout に変更になりました。
    • winbindd: --log-stdout の名前が --debug-stdout に変更になりました。

(BZ#2062117)

機能ポインターとの名前の競合を回避するために、コンパイラーバリアが静的インライン機能 compiler_barrier に変更されました

この機能拡張は、潜在的なデータ破損バグに対する追加機能とパッチを提供します。これで、コンパイラーバリアが静的インライ機能 compiler_barrier に設定されます。機能ポインターを使用しているときに、非一時的な memcpy バリアントにハードウェアフェンシングを実装する場合、ハードウェアストアバリアとの名前の競合は発生しません。その結果、RHEL 8.6 には pmdk バージョン 1.11.1 が含まれるようになりました。

(BZ#2009889)

4.11. 高可用性およびクラスター

pcmk_delay_base パラメーターは、ノードごとに異なる値を取る可能性があります

フェンスデバイスを設定するときに、pcmk_delay_base parameter を使用してノードごとに異なる値を指定できるようになりました。これにより、ノードごとに異なる遅延を使用して、単一のフェンスデバイスを 2 ノードクラスターで使用できます。これは、各ノードが同時に他のノードをフェンスしようとする状況を防ぐのに役立ちます。ノードごとに異なる値を指定するには、pcmk_host_map と同様の構文を使用して、ホスト名をそのノードの遅延値にマップします。たとえば、node1:0;node2:10s は、node1 をフェンシングするときに遅延を使用せず、node2 をフェンシングするときに 10 秒の遅延を使用します。

(BZ#1082146)

リソースの移動に伴う場所の制約の自動削除の指定

pcs resource move コマンドを実行すると、現在実行しているノードでリソースが実行されないように、制約がリソースに追加されます。以前はテクノロジープレビューとして使用可能だった pcs resource move コマンドの新しい --autodelete オプションが完全にサポートされるようになりました。このオプションを指定すると、リソースを移動すると、コマンドが作成する場所の制約が自動的に削除されます。

(BZ#1990784)

内部エラーの詳細なペースメーカーステータス表示

エージェントがインストールされていない、内部タイムアウトが発生したなど、何らかの理由で Pacemaker がリソースまたはフェンスエージェントを実行できない場合は、Pacemaker ステータス表示に内部エラーの詳細な終了理由が表示されるようになりました。

(BZ#1470834)

pcmk_host_map 値内の特殊文字のサポート

pcmk_host_map プロパティーは、値の前に円記号 (\) を使用して、pcmk_host_map 値内の特殊文字をサポートするようになりました。たとえば、pcmk_host_map="node3:plug\ 1" を指定して、ホストエイリアスにスペースを含めることができます。

(BZ#1376538)

OCF Resource Agent API 1.1 標準のpcsサポート

pcs コマンドラインインターフェイスは、OCF 1.1 リソースと STONITH エージェントをサポートするようになりました。OCF 1.1 エージェントのメタデータは、OCF 1.1 スキーマに準拠している必要があります。OCF1.1 エージェントのメタデータが OCF1.1 スキーマに準拠していない場合、pcsはエージェントを無効と見なし、--force オプションが指定されていない限り、エージェントのリソースを作成または更新しません。エージェントを一覧表示するための pcsd Web UI および pcs コマンドは、無効なメタデータを持つ OCF1.1 エージェントを一覧表示から除外します。

1.1 以外の OCF バージョンを実装することを宣言する、またはバージョンをまったく宣言しない OCF エージェントは、OCF1.0 スキーマに対して検証されます。検証の問題は警告として報告されますが、これらのエージェントの場合、エージェントのリソースを作成または更新するときに --force オプションを指定する必要はありません。

(BZ#1936833)

OpenShift 用の新しいフェンシングエージェント

現在、fence_kubevirt フェンシングエージェントは、Red Hat OpenShift Virtualization の RHEL High Availability で使用できます。fence_kubevirt エージェントの詳細については、fence_kubevirt(8) man ページを参照してください。

(BZ#1977588)

4.12. 動的プログラミング言語、Web サーバー、およびデータベースサーバー

新しいモジュールストリーム: php:8.0

RHEL 8.6 は PHP 8.0 を追加します。これにより、バージョン 7.4 に比べて多くのバグ修正と機能拡張が提供されます。

主な機能強化は、次のとおりです。

  • 新しい名前付き引数は順序に依存せず、自己ドキュメント化されており、必要なパラメーターのみを指定できるようになりました。
  • 新しい属性により、PHP のネイティブ構文で構造化メタデータを使用できます。
  • 新しいユニオンタイプにより、複数のタイプの組み合わせに対して、PHPDoc アノテーションの代わりに実行時に検証されるネイティブのユニオンタイプ宣言を使用できます。
  • 内部関数は、パラメーターの検証に失敗した場合に警告ではなく、Error 例外を常に発生させるようになりました。
  • Just-In-Timeコンパイルにより、パフォーマンスが向上しました。
  • PHP のXdebugデバッグおよび生産性拡張機能がバージョン 3 に更新されました。このバージョンでは、Xdebug 2 と比較した機能および設定に大きな変更が加えられました。

php:8.0 モジュールストリームをインストールするには、以下を実行します。

# yum module install php:8.0

php:7.4 ストリームからアップグレードする場合は、「後続のストリームへの切り替え」を参照してください。

RHEL 8 での PHP の使用方法の詳細は、PHP スクリプト言語の使用 を参照してください。

(BZ#1978356、BZ#2027285)

新しいモジュールストリーム: perl:5.32

RHEL 8.6 では Perl 5.32 が導入されており、RHEL 8.3 で配布されている Perl 5.30 に比べて多くのバグ修正と機能拡張が提供されています。

主な機能強化は、次のとおりです。

  • Perlがunicodeバージョン13.0に対応しました。
  • qr qoute-like 演算子が強化されました。
  • POSIX::mblen()mbtowcwctomb関数がシフト状態のロケールで動作するようになり、ロケールのスレッドセーフ機能を持つプラットフォームで実行した場合に、C99以上のコンパイラではスレッドセーフになりました。長さのパラメーターはオプションになりました。
  • 新しい実験的なisainfix 演算子は、与えられたオブジェクトが、与えられたクラスのインスタンスであるか、またはそこから派生したクラスであるかをテストします。
  • アルファアサーションはもはや実験的なものではありません。
  • スクリプトの実行は実験的なものではなくなりました。
  • 機能チェックが速くなりました。
  • Perlは最適化の前にコンパイルされたパターンをダンプできるようになりました。

以前の perl モジュールストリームからアップグレードするには、「後続のストリームへの切り替え」を参照してください。

(BZ#2021471)

新しいパッケージ: nginx-mod-devel

新しい nginx-mod-devel パッケージが nginx:1.20 モジュールストリームに追加されました。このパッケージは、nginx の外部動的モジュールを構築するために、RPM マクロや nginx ソースコードを含むすべての必要なファイルを提供します。

(BZ#1991787)

MariaDB Galera には、garbd systemd サービスのアップストリームバージョンとラッパースクリプトが含まれるようになりました

RHEL 8 の MariaDB 10.3 および MariaDB 10.5 には、Red Hat バージョンの garbd systemd サービスと、/usr/lib/systemd/system/garbd.service ファイルおよび /usr/sbin/garbd-wrapper ファイルにそれぞれある galera パッケージのラッパースクリプトが含まれています。

これらのファイルの Red Hat バージョンに加えて、RHEL 8 はアップストリームバージョンも提供するようになりました。アップストリームファイルは、/usr/share/doc/galera/garb-systemd および /usr/share/doc/galera/garbd.service にあります。

RHEL 9 は、/usr/lib/systemd/system/garbd.service および /usr/sbin/garb-systemd にあるこれらのファイルのアップストリームバージョンのみを提供します。

(BZ#2042306BZ#2042298BZ#2050543BZ#2050546)

4.13. コンパイラーおよび開発ツール

glibc 最適化データをキャプチャーするための新しいコマンド

新しい ld.so --list-diagnostics コマンドは、IFUNC の選択や glibc-hwcaps の設定など、glibc の最適化の決定に影響を与えるデータを単一の機械可読ファイルにキャプチャーします。

(BZ#2023420)

glibc 文字列関数が Fujitsu A64FX 用に最適化される

今回の更新により、glibc 文字列関数は A64FX CPU でスループットの向上とレイテンシーの削減を実現します。

(BZ#1929928)

12 時間制の新しい UTF-8 ロケール en_US@ampm

この更新により、12 時間制の新しい UTF-8 ロケール en_US@ampm を使用できるようになりました。この新しいロケールは、LC_TIME 環境変数を使用して他のロケールと組み合わせることができます。

(BZ#2000374)

libffi の自己変更コードの新しい場所

この更新では、libffi の自己変更コードは、RHEL 8 カーネルの機能を利用して、ファイルシステムに依存しない適切なファイルを作成します。その結果、libffi の自己修正コードは、ファイルシステムの一部を不安定にすることに依存しなくなりました。

(BZ#1875340)

GCC Toolset 11 の更新

GCC Toolset 11 は最新バージョンの開発ツールを提供するコンパイラーツールセットです。このツールセットは、AppStream リポジトリーにおいて、Software Collection の形式で、Application Stream として利用できます。

RHEL 8.6 で導入された主な変更点は、以下のとおりです。

  • GCC コンパイラーがバージョン 11.2.1 に更新されました。
  • annobin がバージョン 10.23 に更新されました。

以下のツールおよびバージョンは、GCC Toolset 10 で利用できます。

ツールバージョン

GCC

11.2.1

GDB

10.2

Valgrind

3.17.0

SystemTap

4.5

Dyninst

11.0.0

binutils

2.36.1

elfutils

0.185

dwz

0.14

make

4.3

strace

5.13

ltrace

0.7.91

annobin

10.23

GCC Toolset 11 をインストールするには、root で以下のコマンドを実行します。

# yum install gcc-toolset-11

GCC Toolset 11 のツールを実行するには、以下のコマンドを実行します。

$ scl enable gcc-toolset-11 tool

GCC Toolset バージョン 11 のツールバージョンが、このようなツールのシステムバージョンをオーバーライドするシェルセッションを実行するには、次のコマンドを実行します。

$ scl enable gcc-toolset-11 bash

使用についての詳細は、GCC Toolset の使用 を参照してください。

GCC Toolset 11 コンポーネントが、以下のコンテナーイメージ 2 つで利用可能になりました。

  • GCC コンパイラー、GDB デバッガー、make 自動化ツールを含む rhel8/gcc-toolset-11-toolchain
  • SystemTap や Valgrind などのパフォーマンス監視ツールを含む rhel8/gcc-toolset-11-perftools

コンテナーイメージをプルするには、root で以下のコマンドを実行します。

# podman pull registry.redhat.io/<image_name>

GCC Toolset 11 コンテナーイメージのみがサポートされるようになりました。以前のバージョンの GCC Toolset コンテナーイメージが非推奨になりました。

コンテナーイメージの詳細は、GCC Toolset コンテナーイメージの使用を参照してください。

(BZ#1996862)

GDB 逆アセンブラーが新しい arch14 命令をサポートするようになりました

この更新により、GDB は新しい arch14 命令を逆アセンブルできるようになりました。

(BZ#2012818)

LLVM Toolset がバージョン 13.0.1 にリベース

LLVM Toolset がバージョン 13.0.1 にアップグレードされました。以下は、主な変更点です。

  • Clang は、C++ のステートメント属性 [[clang::musttail]] および C の __attribute__((musttail)) をサポートするようになりました。
  • Clang は、-Wreserved-identifier 警告をサポートするようになりました。これは、コードで予約済み識別子を使用するときに開発者に警告します。
  • Clang の -Wshadow フラグは、シャドウされた構造化バインディングもチェックするようになりました。
  • Clang の -Wextra は、Wnull-pointer-subtraction も意味するようになりました。

(BZ#2001133)

RustToolset が 1.58.1 にリベース

RustToolset はバージョン 1.58.1 にリベース以下は、主な変更点です。

  • Rust コンパイラーは、クロージャーの disjoint キャプチャー、配列の IntoIterator、新しい Cargo 機能リゾルバーなどを備えた 2021 年版の言語をサポートするようになりました。
  • 新しいカスタムプロファイルの Cargo サポートが追加されました。
  • Cargo はコンパイラエラーを重複排除します。
  • 新しいオープンレンジパターンが追加されました。
  • フォーマット文字列にキャプチャーされた識別子を追加しました。

詳細は、以下を参照してください。

(BZ#2002883)

Go Toolset がバージョン 1.17.7 にリベース

Go Toolset がバージョン 1.17.7 にアップグレードされました。以下は、主な変更点です。

  • スライスを配列ポインターに変換するオプションを追加しました。
  • //go:build 行のサポートを追加しました。
  • amd64 での関数呼び出しのパフォーマンスを改善しました。
  • 関数引数を、スタックトレースでより明確にフォーマットしました。
  • クロージャーを含む関数をインライン化できるようにしました。
  • x509 証明書の解析におけるリソース消費を削減しました。

(BZ#2014088)

pcp が 5.3.5-8 にリベースされました。

pcp パッケージはバージョン 5.3.5 にリベースされました。以下は、主な変更点です。

  • CPU とディスクの飽和に関する新しい pmieconf(1) ルールが追加されました。
  • pmproxy(1) サービスの安定性とスケーラビリティが向上しました。
  • pmlogger(1) サービスのサービスレイテンシーと堅牢性が向上しました。
  • 電力に関連する新しいパフォーマンスメトリックを追加しました。
  • pcp-htop(1) ユーティリティーに新機能を追加しました。
  • pcp-atop(1) ユーティリティーに新機能を追加しました。
  • Nvidia GPU メトリックを更新しました。
  • 新しい Linux カーネル KVM とネットワークメトリックを追加しました。
  • 新しい MongoDB メトリクスエージェントが追加されました。
  • 新しいソケットメトリクスエージェントと pcp-ss(1) ユーティリティーが追加されました。
  • pmcd(1) および pmproxy(1) Avahi サービスのアドバタイズをデフォルトで無効にしました。

(BZ#1991763)

grafana パッケージがバージョン 7.5.11 にリベース

grafana パッケージがバージョン 7.5.11 にリベースされました。以下は、主な変更点です。

  • 新しいデータフレーム形式をサポートしないパネルの下位互換性のために、新しい prepare time series 変換が追加されました。

(BZ#1993214)

grafana-pcp が 3.2.0 にリベース

grafana-pcp パッケージがバージョン 3.2.0 にリベースされました。以下は、主な変更点です。

  • PCP Redis 用の新しい MS SQL サーバーダッシュボードに追加
  • PCP Vector eBPF/BCC 概要ダッシュボードに空のヒストグラムバケットの可視性を追加しました。
  • PCP Redis の metric() 関数がすべてのメトリック名を返さないバグを修正しました。

(BZ#1993149)

js-d3-flame-graph が 4.0.7 にリベース

js-d3-flame-graph パッケージはバージョン 4.0.7 にリベースされました。以下は、主な変更点です。

  • 新しい青と緑の配色を追加しました。
  • フレームグラフのコンテキストを表示する機能が追加されました。

(BZ#1993194)

PCPで電力消費メトリクスが利用可能に

新しいpmda-denkiPerformance Metrics Domain Agent (PMDA)は、消費電力に関連するメトリクスを報告します。具体的には以下の項目が報告されます。

  • 最近のインテル製CPUで利用可能なRAPL(Running Average Power Limit)測定値に基づく消費メトリクス
  • バッテリーを搭載したシステムで利用可能な、バッテリー放電に基づく消費メトリクス

(BZ#1629455)

新しいモジュール: log4j:2

新しい log4j:2 モジュールが AppStream リポジトリーで利用できるようになりました。このモジュールには、Java ロギングユーティリティーである Apache Log4j 2 と、さまざまな出力ターゲットにログステートメントを出力できるライブラリーが含まれています。

Log4j 2 は、Log4j 1 よりも大幅に改善されています。特に、Log4j 2 では、Logback フレームワークに拡張機能が導入され、Logback アーキテクチャーでいくつかの固有の問題を修正しています。

log4j:2 モジュールストリームをインストールするには、以下を実行します。

# yum module install log4j:2

(BZ#1937468)

4.14. ID 管理

すべての依存関係を持つ AppStream リポジトリーでansible-freeipaが利用できるようになりました。

以前のRHEL 8では、ansible-freeipaパッケージをインストールする前に、まずAnsibleリポジトリを有効にしてansibleパッケージをインストールする必要がありました。RHEL 8.6 および RHEL 9 では、準備手順なしで ansible-freeipa をインストールできます。ansible-freeipa をインストールすると、依存関係として、ansible のより基本的なバージョンである ansible-core パッケージが自動的にインストールされます。ansible-freeipaansible-core の両方が、rhel-9-for-x86_64-appstream-rpms リポジトリーで利用できます。

RHEL 8.6 および RHEL 9 のansible-freeipaには、RHEL 8で含まれていたモジュールがすべて含まれています。

(JIRA:RHELPLAN-100359)

IdM は、automountlocationautomountmap、および automountkeyAnsible モジュールをサポートするようになりました。

この更新では、ansible-freeipa パッケージに、ipaautomountlocationipaautomountmap、および ipaautomountkey モジュールが含まれています。これらのモジュールを使用して、IdM の場所にある IdM クライアントにログインした IdM ユーザーが自動的にマウントされるようにディレクトリーを設定できます。現在サポートされているのはダイレクトマップのみであることに注意してください。

(JIRA:RHELPLAN-79161)

サブID 範囲の管理は、shadow-utils で可能です。

以前では、shadow-utils が設定したサブID は、/etc/subuid ファイルおよび /etc/subgid ファイルから自動的に範囲を設定していました。今回の更新で、subid フィールドに値を設定することで、/etc/nsswitch.conf ファイルで subID 範囲の設定を利用できるようになりました。詳細は man subuid および man subgid を参照してください。また、今回の更新で、IPA サーバーからのサブID 範囲を提供する、shadow-utils プラグインの SSSD 実装が利用可能になりました。この機能を使用するには、subid: sss/etc/nsswitch.conf に追加します。このソリューションは、コンテナー化した環境でルートレスコンテナを容易にするために役立ちます。

/etc/nsswitch.conf ファイルが authselect ツールで設定されている場合は、authselect のドキュメントに記載されている手順に従う必要があります。そうでない場合は、/etc/nsswitch.conf を手動で修正できます。

(JIRA:RHELPLAN-103579)

従来の RHEL の ansible-freeipa リポジトリーに代わる Ansible 自動化ハブ

この更新では、標準の RHEL リポジトリーからダウンロードする代わりに、Ansible Automation Hub (AAH) からansible-freeipaモジュールをダウンロードできます。AAH を使用することで、このリポジトリーで利用可能な ansible-freeipa モジュールのより高速な更新の恩恵を受けることができます。

AAH では、ansible-freeipa のロールとモジュールがコレクション形式で配布されます。AAH ポータルのコンテンツにアクセスするには、Ansible Automation Platform (AAP) サブスクリプションが必要であることに注意してください。また、ansible バージョン 2.9 以降も必要です。

redhat.rhel_idm コレクションには、従来の ansible-freeipaパッケージと同じコンテンツが含まれています。ただし、コレクション形式では、名前空間とコレクション名で設定される完全修飾コレクション名 (FQCN) が使用されます。たとえば、redhat.rhel_idm.ipadnsconfig モジュールは、RHEL リポジトリーによって提供されるansible-freeipaipadnsconfig モジュールに対応します。名前空間とコレクション名の組み合わせにより、オブジェクトが一意になり、競合することなく共有できるようになります。

(JIRA:RHELPLAN-103147)

ansible-freeipa モジュールを IdM クライアントでリモートで実行できるようになりました

以前は、ansible-freeipa モジュールは IdM サーバーでのみ実行できました。これには、Ansible 管理者が IdM サーバーへのSSHアクセスを持っている必要があり、潜在的なセキュリティーの脅威を引き起こしていました。この更新により、IdM クライアントであるシステム上でansible-freeipaモジュールをリモートで実行できるようになります。その結果、IdM の設定とエンティティーをより安全な方法で管理できます。

IdM クライアントでansible-freeipaモジュールを実行するには、次のいずれかのオプションを選択します。

  • Playbook のhosts変数を IdM クライアントホストに設定します。
  • ansible-freeipa モジュールを使用する Playbook タスクに ipa_context: client 行を追加します。

ipa_context 変数を IdM サーバー上の client に設定することもできます。ただし、通常、サーバーコンテキストの方がパフォーマンスが向上します。ipa_context が設定されていない場合、ansible-freeipa はサーバーまたはクライアントで実行されているかどうかを確認し、それに応じてコンテキストを設定します。IdM クライアントホスト上の servercontext が設定された ansible-freeipa モジュールを実行すると、missing libraries エラーが発生することに注意してください。

(JIRA:RHELPLAN-103146)

ipadnsconfig モジュールには、グローバルフォワーダーを除外するための action: member が必要になりました。

今回の更新で、ansible-freeipa ipadnsconfig モジュールを使用して Identity Management (IdM) のグローバルフォワーダーを除外するには、state: absent オプションの他に action: member オプションを使用する必要があります。Playbook で action: member を使用せずに state: absent だけを使用すると、その Playbook は失敗します。そのため、すべてのグローバルフォワーダーを削除するには、Playbook でこれらをすべて個別に指定する必要があります。一方、state: present オプションに action: member は必要ありません。

(BZ#2046325)

Identity Management はデフォルトで SHA384withRSA 署名をサポートするようになりました

この更新により、IdM の認証局 (CA) は、SHA-384 With RSA 暗号化署名アルゴリズムをサポートします。SHA384withRSA は、連邦情報処理標準 (FIPS) に準拠しています。

(BZ#1731484)

SSSD のデフォルトの SSH ハッシュ値が OpenSSH 設定と一致するようになりました

ssh_hash_known_hosts のデフォルト値が false に変更になりました。これは、デフォルトでホスト名をハッシュしない OpenSSH 設定と一致するようになりました。

ただし、引き続きホスト名をハッシュする必要がある場合は、/etc/sssd/sssd.conf 設定ファイルの [ssh] セクションに ssh_hash_known_hosts = True を追加します。

(BZ#2015070)

samba がバージョン 4.15.5 にリベースされました。

samba パッケージがアップストリームバージョン 4.15.5 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が追加されました。

Samba を起動する前にデータベースファイルがバックアップされます。smbdnmbd、またはwinbind サービスが起動すると、Samba が tdb データベースファイルを自動的に更新します。Red Hat は、tdb データベースファイルのダウングレードをサポートしていないことに留意してください。

Samba を更新したら、testparmユーティリティーを使用して/etc/samba/smb.conf ファイルを確認します。

重要な変更の詳細は、更新の前に アップストリーム のリリースノートを参照してください。

(BZ#2013596)

Directory Server がバージョン 1.4.3.28 にリベース

389-ds-baseパッケージがアップストリームバージョン 1.4.3 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。

  • レプリカで潜在的なデッドロックが修正されました。
  • dnaInterval0 に設定されていると、サーバーが予想外に終了しなくなりました。
  • 接続処理のパフォーマンスが改善されました。
  • アクセス制御命令 (ACI) での targetfilter のパフォーマンスが改善されました。

(BZ#2016014)

Directory Server が、tmpfs ファイルシステムのデータベースのメモリーマッピングされたファイルを保存するようになりました。

Directory Server の nsslapd-db-home-directory パラメーターは、データベースのメモリーマッピングファイルの場所を定義します。この改善により、パラメーターのデフォルト値が /var/lib/dirsrv/slapd-instance_name/db/ から /dev/shm/ に変更になりました。その結果、tmpfs ファイルシステムに保存されている内部データベースがあると、Directory Server のパフォーマンスが向上します。

(BZ#1780842)

4.15. デスクトップ

ログイン時およびデスクトップセッション時のセキュリティー分類バナー

分類バナーを設定して、システムの全体的なセキュリティー分類レベルを示すことができるようになりました。これは、ログインしているシステムのセキュリティー分類レベルをユーザーが認識している必要があるデプロイメントに役立ちます。

分類バナーは、設定に応じて、次のコンテキストで表示されます。

  • 実行中のセッション内
  • ロック画面
  • ログイン画面

分類バナーは、無視できる通知または永続的なバナーのいずれかの形式をとることができます。

詳細については、Displaying the system security classification を参照してください。

(BZ#1751336)

4.16. グラフィックインフラストラクチャー

Intel Alder Lake-P GPU に対応しました

今回のリリースで、統合グラフィックスを備えた Intel Alder Lake-P CPU マイクロアーキテクチャーのサポートが追加されました。これには、以下の CPU モデルを含む Intel UHD グラフィックと Intel Xe 統合 GPU が含まれます。

  • Intel Core i7-1280P
  • Intel Core i7-1270P
  • Intel Core i7-1260P
  • Intel Core i5-1250P
  • Intel Core i5-1240P
  • Intel Core i3-1220P

Alder Lake-P グラフィックのサポートはデフォルトで無効になっています。これを有効にするには、カーネルコマンドラインに次のオプションを追加します。

i915.force_probe=PCI_ID

PCI_ID を、Intel GPU の PCI デバイス ID に置き換えるか、* 文字に置き換えて、i915 ドライバーを使用するすべてのアルファベット品質のハードウェアに対応できるようにします。

(BZ#1964761)

4.17. Web コンソール

sudoおよびWeb コンソールからのSSH用のスマートカード認証

これまでは、スマートカード認証を使用してsudo権限を取得したり、WebコンソールでSSHを使用したりすることはできませんでした。このアップデートにより、Identity Managementのユーザーがスマートカードを使用してsudo権限を取得したり、SSHで別のホストに接続したりできるようになります。

注記

1枚のスマートカードを使用して、認証を行いsudo権限を得ることしかできません。sudo に別のスマートカードを使用することはサポートされていません。

(JIRA:RHELPLAN-95126)

RHEL Web コンソールがデフォルトで Insights 登録を提供

この更新では、Red Hat Enterprise Linux Web コンソールを使用して RHEL システムを登録するときに、このシステムを Red Hat Insights に接続します。 チェックボックスはデフォルトでチェックされています。Insights サービスに接続しない場合は、チェックボックスの選択を解除します。

(BZ#2049441)

コックピットで、既存の TLS 証明書の使用をサポートするようになりました

この機能拡張により、証明書には厳密なファイルパーミッション要件 (root:cockpit-ws 0640 など) がなくなり、他のサービスと共有できるようになりました。

(JIRA:RHELPLAN-103855)

4.18. Red Hat Enterprise Linux システムロール

ファイアウォール RHEL システムのロールが RHEL 8 に追加されました

rhel-system-roles.firewall RHEL System Role が rhel-system-roles パッケージに追加されました。その結果、管理者は管理対象ノードのファイアウォール設定を自動化できます。

(BZ#1854988)

HA クラスター RHEL システムのロールの完全サポート

以前はテクノロジープレビューとして利用可能だった高可用性クラスター (HA クラスター) のロールが完全にサポートされるようになりました。次の注目すべき設定が利用可能です。

  • フェンスデバイス、リソース、リソースグループ、およびリソースクローン (メタ属性およびリソース操作を含む) の設定
  • リソースの場所の制約、リソースのコロケーションの制約、リソースの順序の制約、およびリソースチケットの制約の設定
  • クラスタープロパティーの設定
  • クラスターノード、カスタムクラスター名およびノード名の設定
  • マルチリンククラスターの設定
  • システムの起動時にクラスターが自動的に起動するかどうかの設定

ロールを実行すると、ロールでサポートされていない設定、またはロールの実行時に指定されていない設定が削除されます。

現在、HA Cluster システムロールは SBD をサポートしていません。

(BZ#1893743)

Networking システムロールが、OWE に対応するようになりました。

Opportunistic Wireless Encryption (OWE) は、Wi-Fi ネットワーク向けの日和見セキュリティーのモードで、ワイヤレスメディアの暗号化を提供しますが、公共のホットスポットなどの認証は提供しません。OWE は、Wi-Fi クライアントとアクセスポイント間で暗号化を使用し、クライアントを盗聴攻撃から保護します。この機能拡張により、Networking RHEL システムロールは OWE に対応します。これにより、管理者は Networking システムロールを使用して、OWE を使用する Wi-Fi ネットワークへの接続を設定できるようになりました。

(BZ#1993379)

Networking システムロールが、SAE に対応するようになりました。

Wi-Fi Protected Access バージョン 3 (WPA3) ネットワークでは、SAE (authentication of equals) 方法により、暗号鍵が送信されないようになります。この機能強化により、Networking RHEL システムロールは SAE に対応します。これにより、管理者は Networking RHEL System Role を使用して、WPA-SAE を使用する Wi-Fi ネットワークへの接続を設定できるようになりました。

(BZ#1993311)

Cockpit RHEL System Role がサポートされるようになりました

この機能拡張により、システムに Web コンソールをインストールして設定できます。そのため、Web コンソールを自動化された方法で管理できます。

(BZ#2021661)

LVM ボリュームの raid_level のサポートを追加しました

Storage RHEL System Role で、LVM ボリュームの raid_level パラメーターを指定できるようになりました。その結果、lvmraid 機能を使用して LVM ボリュームを RAID にグループ化できます。

(BZ#2016514)

NBDE クライアントシステムロールは、静的 IP アドレスを持つシステムをサポートします

以前は、静的 IP アドレスを使用してシステムを再起動し、NBDE クライアントシステムロールを使用して設定すると、システムの IP アドレスが変更されていました。この変更により、静的 IP アドレスを持つシステムは NBDE クライアントシステムロールによってサポートされ、それらの IP アドレスは再起動後に変更しません。

(BZ#1985022)

Storage システムロールでキャッシュされたボリュームのサポートを使用できます

Storage RHEL システムロールは、キャッシュされた LVM 論理ボリュームを作成および管理できるようになりました。LVM キャッシュを使用すると、LV のデータのサブセットを SSD などのより小さくて高速なデバイスに一時的に保存することで、より低速な論理ボリュームのパフォーマンスを向上させることができます。

(BZ#2016511)

rsyslog からの認証用に Elasticsearch のユーザー名とパスワードを追加するためのサポート

この更新では、Elasticsearch ユーザー名とパスワードのパラメーターが logging System Role に追加され、rsyslog がユーザー名とパスワードを使用して Elasticsearch に対して認証できるようになります。

(BZ#2010327)

RHEL System Roles の Ansible Core サポート

RHEL 8.6 GA リリースの時点で、サポートの範囲が限定された Ansible Core が提供され、RHEL でサポートされる自動化のユースケースが可能になります。Ansible Core は、以前は別のリポジトリーで提供されていた Ansible Engine を置き換えます。Ansible Core は、RHEL の AppStream リポジトリーで利用できます。サポートされているユースケースの詳細についてはRHEL 9 および RHEL 8.6 移行の AppStream リポジトリーに含まれている Ansible Core パッケージのサポート範囲 を参照してください。ユーザーは、システムを Ansible Engine から Ansible Core に手動で移行する必要があります。

詳細については、RHEL8.6 以降での Ansible の使用 を参照してください。

(BZ#2012316)

network RHEL System Role は、静的ルートで named ルーティングテーブルと numeric ルーティングテーブルの両方をサポートするようになりました。

この更新により、静的ルートの named ルーティングテーブルと numeric ルーティングテーブルの両方のサポートが追加されます。これは、ポリシールーティング (ソースルーティングなど) をサポートするための前提条件です。ユーザーは、後でポリシールーティングルールを定義して、正しいルートを決定するために使用するテーブルをシステムに指示できます。その結果、ユーザーが routetable 属性を指定した後、システムはルーティングテーブルにルートを追加できます。

(BZ#2031521)

Certificate ロールは、フックスクリプトで一貫して "Ansible_managed" コメントを使用します

この機能拡張により、Certificate ロールは、プロバイダーをサポートするためのプレスクリプトとポストスクリプトを生成します。ロールはこれに、Ansible 標準の "ansible_managed" 変数を使用して "Ansible managed" のコメントを挿入します。

  • /etc/certmonger/pre-scripts/script_name.sh
  • /etc/certmonger/post-scripts/script_name.sh

コメントは、Certificate ロールがファイルを上書きする可能性があるため、スクリプトファイルを直接編集してはならないことを示しています。その結果、設定ファイルには、設定ファイルが Ansible によって管理されていることを示す宣言が含まれています。

(BZ#2054364)

Terminal Session Recoring システムロールは、管理対象設定ファイルで "Ansible managed" コメントを使用します

Terminal Session Recording ロールは、以下の 2 つの設定ファイルを生成します。

  • /etc/sssd/conf.d/sssd-session-recording.conf
  • /etc/tlog/tlog-rec-session.conf

この更新により、Terminal Session Recoring ロールは、標準の Ansible 変数 ansible_managed を使用して、Ansible managed コメントを設定ファイルに挿入します。コメントは、Terminal Session Recorging ロールがファイルを上書きする可能性があるため、設定ファイルを直接編集してはならないことを示しています。その結果、設定ファイルには、設定ファイルが Ansible によって管理されていることを示す宣言が含まれています。

(BZ#2054363)

Microsoft SQL システムのロールは、切断されたサブスクリプションまたは Satellite サブスクリプション用にカスタマイズされたリポジトリーをサポートするようになりました

以前は、カスタムサーバーからパッケージをプルする必要がある切断された環境のユーザー、または Satellite または Capsule を指す必要がある Satellite ユーザーは、Microsoft SQL Role のサポートを受けていませんでした。この更新により、ユーザーが RPM キー、client、および server の mssql リポジトリーに使用するカスタマイズされた URL を提供できるようになり、問題が修正されます。URL が指定されていない場合、mssql ロールは公式の Microsoft サーバーを使用して RPM をダウンロードします。

(BZ#2038256)

Microsoft SQL ロールは、管理対象設定ファイルで一貫して "Ansible_managed" コメントを使用します

mssql ロールは、次の設定ファイルを生成します。

  • /var/opt/mssql/mssql.conf

この更新により、Microsoft SQL ロールは、Ansible 標準の ansible_managed 変数を使用して、設定ファイルに "Ansible managed" コメントを挿入します。コメントは、mssql ロールがファイルを上書きする可能性があるため、設定ファイルを直接編集してはならないことを示しています。その結果、設定ファイルには、設定ファイルが Ansible によって管理されていることを示す宣言が含まれています。

(BZ#2057651)

Networking システムロールに追加されたすべてのボンディングオプションのサポート

この更新は、Networking RHEL システムロールへのすべてのボンディングオプションをサポートします。その結果、ボンディングされたインターフェイスを介したネットワーク伝送を柔軟に制御できます。その結果、そのインターフェイスにいくつかのオプションを指定することにより、ボンディングされたインターフェイスを介したネットワーク伝送を制御できます。

(BZ#2008931)

NetworkManager は、PCI アドレスを使用したネットワークカードの指定をサポートしています

以前は、接続プロファイルの設定中に、NetworkManager は名前または MAC アドレスのいずれかを使用してネットワークカードを指定することしか許可されていませんでした。この場合、デバイス名は安定しておらず、MAC アドレスには、使用された MAC アドレスの記録を維持するためのインベントリーが必要です。これで、接続プロファイルの PCI アドレスに基づいてネットワークカードを指定できます。

(BZ#1695634)

新しいオプション auto_gateway は、デフォルトルートの動作を制御します

以前は、DEFROUTE パラメーターは設定ファイルで設定できませんでしたが、すべてのルートに名前を付けることによって手動で設定することしかできませんでした。この更新により、接続の ip 設定セクションに新しい auto_gateway オプションが追加されます。これを使用して、デフォルトルートの動作を制御できます。auto_gateway は、次の方法で設定できます。

  • true に設定すると、デフォルトゲートウェイ設定がデフォルトルートに適用されます。
  • falseに設定すると、デフォルトルートが削除されます。
  • 指定しない場合、network ロールは選択した network_provider のデフォルトの動作を使用します。

(BZ#1897565)

VPN ロールは、管理対象設定ファイルで一貫して Ansible_managed コメントを使用します

VPN ロールは、次の設定ファイルを生成します。

  • /etc/ipsec.d/mesh.conf
  • /etc/ipsec.d/policies/clear
  • /etc/ipsec.d/policies/private
  • /etc/ipsec.d/policies/private-or-clear

この更新により、VPN ロールは、Ansible 標準の ansible_managed 変数を使用して、設定ファイルに Ansible managed コメントを挿入します。コメントは、VPN ロールがファイルを上書きする可能性があるため、設定ファイルを直接編集してはならないことを示しています。その結果、設定ファイルには、設定ファイルが Ansible によって管理されていることを示す宣言が含まれています。

(BZ#2054365)

Firewall システムロールの新しい source パラメーター

これで、Firewall システムロールの source パラメーターを使用して、ファイアウォール設定のソースを追加または削除できるようになりました。

(BZ#1932678)

Networking システムロールは、管理対象設定ファイルで ‘Ansible managed’ コメントを使用します

initscripts プロバイダーを使用する場合、Networking システムロールにより、コメント付きの ifcfg ファイルが /etc/sysconfig/network-scripts ディレクトリーに生成されるようになりました。Networking ロールは、Ansible 標準の ansible_managed 変数を使用して Ansible managed コメントを挿入します。コメントは、ifcfg ファイルが Ansible によって管理されていることを宣言し、Networking ロールによってファイルが上書きされるため、ifcfg ファイルを直接編集してはならないことを示しています。プロバイダーが initscripts の場合、Ansible managed コメントが追加されます。nm (NetworkManager) プロバイダーで Networking ロールを使用する場合、ifcfg ファイルは Networking ロールではなく NetworkManager によって管理されます。

(BZ#2057656)

Firewall システムロールが、ファイアウォールデフォルトゾーンの設定に対応

Firewall System ロールにデフォルトのファイアウォールゾーンを設定できるようになりました。ゾーンは、着信トラフィックをより透過的に管理する概念を表しています。ゾーンはネットワークインターフェースに接続されているか、ソースアドレスの範囲に割り当てられます。各ゾーンのファイアウォールルールは個別に管理されるため、管理者は複雑なファイアウォール設定を定義してトラフィックに適用できます。この機能を使用すると、firewall-cmd --set-default-zone zone-name と同じように、インターフェイスを割り当てるデフォルトゾーンとして使用されるデフォルトゾーンを設定できます。

(BZ#2022458)

Metrics システムロールは、ヘッダーに適切な ansible_managed コメントを含むファイルを生成するようになりました

以前は、Metrics ロールは、ロールによって生成されたファイルに ansible_managed ヘッダーコメントを追加しませんでした。この修正により、Metrics ロールは生成するファイルに ansible_managed ヘッダーコメントを追加するようになりました。その結果、ユーザーは Metrics ロールによって生成されたファイルを簡単に識別できます。

(BZ#2057645)

Postfix システムロールは、ヘッダーに適切な ansible_managed コメントを含むファイルを生成するようになりました

以前は、Postfix ロールは、ロールによって生成されたファイルに ansible_managed ヘッダーコメントを追加しませんでした。この修正により、Postfix ロールは生成するファイルに ansible_managed ヘッダーコメントを追加するようになりました。その結果、ユーザーは Postfix ロールによって生成されたファイルを簡単に識別できます。

(BZ#2057661)

4.19. 仮想化

仲介されたデバイスが、IBM Z の仮想化 CLI で対応するようになりました。

virt-install または virt-xml を使用して、vfio-ap、vfio-ccw などの仲介デバイスを仮想マシンに接続できるようになりました。たとえば、これにより、IBM Z ホストで DASD ストレージデバイスおよび暗号化コプロセッサーをより柔軟に管理できます。また、virt-install を使用して、既存の DASD 仲介デバイスをプライマリーディスクとして使用する仮想マシンを作成できます。手順は、『RHEL 8 での仮想化の設定および管理』ガイドを参照してください。

(BZ#1995125)

Intel Atom P59 シリーズプロセッサーの仮想化サポート

今回の更新で、RHEL 8 の仮想化で、以前の Snow Ridge として知られる Intel Atom P59 シリーズプロセッサーのサポートが追加されました。その結果、RHEL 8 でホストされる仮想マシンは、Snowridge CPU モデルを使用し、プロセッサーが提供する新機能を活用できるようになりました。

(BZ#1662007)

ESXi ハイパーバイザーと SEV-ES が完全にサポートされるようになりました

AMD Secure Encrypted Virtualization-Encrypted State (SEV-ES) を有効にして、VMware の ESXi ハイパーバイザー (バージョン 7.0.2 以降) で RHEL 仮想マシンのセキュリティーを確保できるようになりました。この機能は、以前は RHEL 8.4 でテクノロジープレビューとして導入されていました。今回、完全にサポートされるようになりました。

(BZ#1904496)

Windows 11 および Windows Server 2022 ゲストがサポートされるようになりました

RHEL 8 は、KVM 仮想マシンのゲストオペレーティングシステムとして Windows 11 および Windows Server 2022 の使用をサポートするようになりました。

(BZ#2036863, BZ#2004162)

4.20. クラウド環境の RHEL

RHEL 8 仮想マシンが、Azure 上の特定の ARM64 ホストでサポートされるようになりました

ゲストオペレーティングシステムとして RHEL9 を使用する仮想マシンは、Ampere Altra ARM ベースのプロセッサーで実行されている Microsoft Azure ハイパーバイザーでサポートされるようになりました。

(BZ#1949614)

cloud-initは、MicrosoftAzure 上のユーザーデータをサポートする

--user-data オプションが cloud-init ユーティリティーに導入されました。このオプションを使用すると、Azure で RHEL 8 仮想マシンをセットアップするときに、 Azure Instance Metadata Service (IMDS) からスクリプトとメタデータを渡すことができます。

(BZ#2023940)

cloud-init が VMware GuestInfo データソースに対応

今回の更新で、cloud-init ユーティリティーが VMware guestinfo データのデータソースを読み取ることができるようになりました。その結果、cloud-init を使用して VMware vSphere に RHEL 8 仮想マシンをセットアップすることは、より効率的で信頼性が高くなりました。

(BZ#2026587)

4.21. サポート性

新しいパッケージ: rig

RHEL 8 には、rig システムの監視およびイベント処理ユーティリティーを提供する rig パッケージが導入されています。

rig ユーティリティーは、システム管理者とサポートエンジニアが、発生がランダムに見える問題や、人間の介入が不適切なときに発生する問題の診断データ収集を支援するように設計されています。

(BZ#1888705)

sos report は推定モードの実行を提供するようになりました

この sos report の更新により、RHEL サーバーから sos レポートを収集するために必要なディスク容量を概算できる --estimate-only オプションが追加されます。sos report --estimate-only コマンドの実行:

  • sos report のドライランを実行します
  • すべてのプラグインを連続して模倣し、それらのディスクサイズを推定します。

最終的なディスクスペースの見積もりは非常に概算であることに注意してください。したがって、推定値を 2 倍にすることをお勧めします。

(BZ#1873185)

Red Hat Support Tool が Hydra API を使用するようになる

Red Hat Support Tool は、非推奨の Strata API から新しい Hydra API に移行しました。これは機能に影響を与えません。ただし、Strata API /rs/ パスのみを明示的に許可するようにファイアウォールを設定した場合は、ファイアウォールが正しく機能するように /support/ に更新してください。

さらに、この変更により、Red Hat Support Tool を使用するときに 5GB を超えるファイルをダウンロードできるようになりました。

(BZ#2018194)

Red Hat Support ToolRed Hat Secure FTP をサポートするようになる

Red Hat Support Tool を使用する場合は、Red Hat Secure FTP によってファイルをケースにアップロードできるようになりました。Red Hat Secure FTP は、Red Hat Support Tool が以前のバージョンでサポートしていた非推奨の Dropbox ユーティリティーをより安全に置き換えたものです。

(BZ#2018195)

Red Hat Support Tool が S3 API をサポートする

Red Hat Support Tool は、S3 API を使用してファイルを Red Hat テクニカルサポートケースにアップロードするようになりました。その結果、ユーザーは 1GB を超えるファイルをケースに直接アップロードできます。

(BZ#1767195)

4.22. コンテナー

container-tools:4.0 の安定したストリームが利用可能に

Podman、Buildah、Skopeo、および runc ツールを含む container-tools:4.0 モジュールストリームが利用できるようになりました。今回の更新で、以前のバージョンに対するバグ修正および機能拡張が追加されました。

以前のストリームからアップグレードする場合は、後続のストリームへの切り替え を参照してください。

(JIRA:RHELPLAN-100175)

NFS ストレージが利用可能になりました

ファイルシステムで xattr がサポートされている場合は、NFS ファイルシステムをコンテナーとイメージのバックエンドストレージとして使用できるようになりました。

(JIRA:RHELPLAN-75169)

container-tools:rhel8モジュールが更新されました。

Podman、Buildah、Skopeo、crun、および runc ツールを含む container-tools:rhel8 モジュールが利用できるようになりました。今回の更新で、以前のバージョンに対するバグ修正および機能拡張の一覧が追加されました。

以下は、主な変更点です。

  • ネットワークスタックの変更により、Podman v3 以前で作成されたコンテナーは v4.0 では使用できなくなります。
  • ネイティブオーバーレイファイルシステムは、ルートレスユーザーとして使用できます。
  • コンテナー内の NFS ストレージがサポートされます。
  • すべてのコンテナーの破棄を再作成を行わない限り、Podman の以前のバージョンへのダウングレードはサポートされません

Podman ツールはバージョン 4.0 にアップグレードされました。注目すべき変更の詳細については、アップストリームのリリースノート を参照してください。

(JIRA:RHELPLAN-100174)

ユニバーサルベースイメージがDocker Hubで利用可能に

これまでユニバーサルベースイメージは、Red Hat コンテナカタログからしか入手できませんでした。この機能拡張により、ユニバーサルベースイメージも Docker Hub から 確認済みパブリッシャーイメージ として利用できます。

(JIRA:RHELPLAN-101137)

podman コンテナーイメージが利用可能に

これまでテクノロジープレビューとして提供されていたregistry.redhat.io/rhel8/podmanコンテナイメージが、完全にサポートされるようになりました。registry.redhat.io/rhel8/podman コンテナーイメージは、podman パッケージをコンテナー化した実装です。podman ツールは、コンテナーおよびイメージ、それらのコンテナーにマウントされたボリューム、およびコンテナーのグループから作成された Pod を管理します。

(JIRA:RHELPLAN-57941)

Podman は、YAML ファイルを使用した Pod の自動ビルドと自動実行をサポートするようになりました

podman play kube コマンドは、YAML ファイルを使用して、Pod 内に複数のコンテナーを持つ複数の Pod を自動的にビルドして実行します。

(JIRA:RHELPLAN-108830)

Podman は、IdM から subUID および subGID の範囲を取得できるようになりました。

subUID と subGID の範囲を IdM で管理できるようになりました。同じ /etc/subuid ファイルおよび/etc/subgid ファイルをすべてのホストにデプロイする代わりに、単一の中央ストレージで範囲を定義できるようになりました。/etc/nsswitch.conf ファイルを変更し、services: files sss のようにサービスマップ行に sss を追加する必要があります。

詳細については、IdM ドキュメントの subID 範囲を手動で管理 を参照してください。

(JIRA:RHELPLAN-101133)

openssl コンテナーイメージが利用可能になりました

openssl イメージは、OpenSSL 暗号化ライブラリーのさまざまな機能を使用するための openssl コマンドラインツールを提供します。OpenSSL ライブラリーを使用すると、秘密鍵の生成、証明書署名要求 (CSR) の作成、および証明書情報の表示を行うことができます。

openssl コンテナーイメージは、次のリポジトリーで利用できます。

  • registry.redhat.io/rhel8/openssl
  • registry.access.redhat.com/ubi8/openssl

(JIRA:RHELPLAN-101138)

第5章 外部カーネルパラメーターの重要な変更

本章では、システム管理者向けに、Red Hat Enterprise Linux 8 に同梱されるカーネルの重要な変更点の概要を説明します。変更には、たとえば、proc エントリー、sysctl および sysfs のデフォルト値、ブートパラメーター、カーネル設定オプション、または重要な動作の変更などが含まれます。

新しいカーネルパラメーター

fw_devlink.strict = [KNL]

形式: <bool>

このパラメーターを使用すると、推論されたすべての依存関係を必須の依存関係として扱うことができます。この設定は、fw_devlink=on|rpm の場合にのみ適用されます。

no_hash_pointers
このパラメーターを使用すると、コンソールまたはバッファーに出力されるポインターを強制的にハッシュ化できます。デフォルトでは、ポインターの値がハッシュで隠す %p 形式の文字列を使用してポインターが出力されます。これは、実際のカーネルアドレスを非特権ユーザーから非表示にするセキュリティー機能です。ただし、一致するポインターを比較することができないため、カーネルのデバッグがより困難になります。このコマンドラインパラメーターを指定すると、通常のすべてのポインターの true 値が出力されます。%pK 形式の文字列を使用して出力されるポインターは、引き続きハッシュ化できます。no_hash_pointers は、カーネルをデバッグする時にのみ指定し、実稼働では使用しないでください。
no_entry_flush = [PPC]
このパラメーターを使用すると、カーネルの入力時に L1-D キャッシュをフラッシュしないようにできます。
no_uaccess_flush = [PPC]
このパラメーターを使用すると、ユーザーデータへのアクセス後に L1-D キャッシュをフラッシュしないようにすることができます。
rcutorture.nocbs_nthreads = [KNL]

このパラメーターを使用すると、Read-copy-update(RCU)callback-offload トグライザーの数を設定できます。

デフォルト値は 0(ゼロ)で、トグルを無効にします。

rcutorture.nocbs_toggle = [KNL]
このパラメーターを使用すると、連続するコールバックオフロード間の遅延をミリ秒単位で設定できます。
refscale.verbose_batched = [KNL]

このパラメーターを使用すると、追加の printk() ステートメントをバッチ処理できます。

ゼロ(デフォルト)または負の値を指定するとすべてを出力できます。そうでない場合は、Nth verbose ステートメントをすべて出力します。N は指定された値です。

strict_sas_size = [X86]

形式: <bool>

このパラメーターを使用すると、サポートされる浮動小数点単位(FPU)機能に依存する必要なシグナルフレームサイズに対して、厳密な sigaltstack サイズチェックを有効または無効にできます。このパラメーターを使用して、AT_MINSIGSTKSZ 補助ベクトルを認識していないバイナリーを除外します。

torture.verbose_sleep_frequency = [KNL]

このパラメーターは、各スリープ間で出力される詳細な printk() ステートメントの数を指定します。

デフォルト値の 0(ゼロ)は、verbose-printk()スリープ状態を無効にします。

torture.verbose_sleep_duration = [KNL]
このパラメーターは、jiffies の各 verbose-printk()スリープの期間を指定します。
tsc_early_khz = [X86]

形式: <unsigned int>

このパラメーターにより、初期 Time Stamp Counter(TSC)キャリレーションを省略し、代わりに指定の値を使用できます。このパラメーターは、初期の TSC 周波数の検出手順が信頼性を持たない場合に便利です。たとえば、CPUID.16h サポートのあるオーバーコミットシステムと部分的な CPUID.15h サポート。

更新されたカーネルパラメーター

amd_iommu = [HW,X86-64]

システムの AMD IOMMU ドライバーにパラメーターを渡すことができます。

以下の値が使用できます。

  • fullflush: IO/TLB エントリーがマッピングされていない場合のフラッシュを有効にします。それ以外の場合は、再利用される前にフラッシュされます。これは、はるかに高速です。
  • off: システムにある AMD IOMMU は初期化しないでください。
  • force_isolation: 全デバイスの強制的にデバイスの分離IOMMU ドライバーは、必要に応じて適切に分離要件を遮断できなくなりました。このオプションは iommu=pt を上書きしません。
  • force_enable: IOMMU を有効にして buggy に認識されるプラットフォームで IOMMU を強制有効にします。このオプションは注意して使用してください。
acpi.debug_level = [HW,ACPI,ACPI_DEBUG]

形式: <int>

高度な設定および電源インターフェース(ACPI)デバッグ出力を生成するには、CONFIG_ACPI_DEBUG を有効にする必要があります。debug_layer のビットは、ACPI ソースファイルの _COMPONENT に対応します。たとえば、debug _level の #define _COMPONENT ACPI_EVENTS Bits は、ACPI_DEBUG_PRINT ステートメントのレベルに対応します。例: ACPI_DEBUG_PRINT((ACPI_DB_INFO, …

debug_level マスクのデフォルトは「info」です。デバッグ層およびレベルの詳細は、ドキュメント/acpi/debug.txt を参照してください。

プロセッサードライバー情報メッセージを有効にします。

acpi.debug_layer=0x20000000

AML の「Debug」出力を有効にします。たとえば、AML の解釈中に Debug オブジェクトに保存します。

acpi.debug_layer=0xffffffff,acpi.debug_level=0x2 Enable all messages related to ACPI hardware: acpi.debug_layer=0x2,acpi.debug_level=0xffffffff

一部の値は、システムが使用できないように、多くの出力を生成します。log_buf_len パラメーターは、さらに出力をキャプチャーする必要がある場合に便利です。

acpi_mask_gpe = [HW,ACPI]

形式 - <byte> または <bitmap-list>

_Lxx/_Exx が存在するため、サポートされていないハードウェアまたはファームウェア機能によってトリガーされる汎用イベント(GPE)によっては、GPE フラッディングが発生し、GPE ディスパッチャーが自動的に無効にできません。この機能を使用して、このような制御されていない GPE フラッディングを防ぐことができます。

cgroup_disable = [KNL]

フォーマット: <name of the controller(s)or feature(s)to disable>

このパラメーターを使用して、特定のコントローラーまたは任意の機能を無効にできます。

cgroup_disable = <controller/feature> の影響は次の とおりです。

  • すべての cgroups を 1 つの階層にマウントした場合は、コントローラー/機能 は自動マウントされません。
  • controller/feature is not visible as an individually mountable subsystem(コントローラー/機能が個別にマウント可能なサブシステムとして表示されない)
  • controller/feature がオプション機能である場合、機能は無効になり、対応する cgroups ファイルは作成されません。

    現在、メモリーコントローラーのみがこれを処理し、オーバーヘッドを削減します。その他の場合は使用を無効にします。そのため、cgroup_disable=memory のみが実際に重要です。

    「プレッシャー」を指定すると、cgroup ごとの不足情報アカウンティング機能が無効になります。

clearcpuid = BITNUM[,BITNUM…​] [X86]
このパラメーターを使用すると、カーネルの CPUID 機能 X を無効にできます。有効なビット番号については、arch/x86/include/asm/cpufeatures.h を参照してください。Linux 固有のビットは、必ずしもカーネルオプションよりも安定しているとは限りませんが、ベンダー固有のビットが必ずしも安定しているとは限りません。CPUID を直接呼び出すユーザープログラムや、何も確認せずに機能を使用すると、引き続き表示されます。これにより、カーネルが使用したり、/proc/cpuinfo に表示したりしないようにします。また、重大なビットを無効にすると、カーネルが誤作動する可能性があることに注意してください。
iommu.strict = [ARM64, X86]

形式: <"0" | "1">

このパラメーターを使用して、翻訳されたバッファー(TLB)インバリデーション動作を設定できます。

以下の値が使用できます。

  • 0 - レイジーモード(Direct Memory Access)のアンマップ操作を使用する要求が遅延します。
  • 1: 厳密なモード(デフォルト)、DMA unmap 操作では IOMMU ハードウェア TLB が同期的に無効になる。

    AMD64 および Intel 64 では、デフォルトの動作は同等のドライバー固有のパラメーターによって異なります。ただし、いずれかのメソッドで明示的に指定される厳密モードが優先されます。

rcutree.use_softirq = [KNL]

このパラメーターがゼロに設定されている場合は、すべての RCU_SOFTIRQ 処理を CPU rcuc kthreads に移動します。デフォルトはゼロ以外の値です。つまり、RCU_SOFTIRQ がデフォルトで使用されます。

rcuc kthreads を使用するには rcutree.use_softirq = 0 を指定します。ただし、CONFIG_PREEMPT_RT=y カーネルはこのカーネルブートパラメーターを無効にすることに注意してください(強制的にゼロに設定する)。

rcupdate.rcu_normal_after_boot = [KNL]

このパラメーターを使用すると、ブートが完了すると通常の猶予期間プリミティブのみを使用できます。これは、rcu_end_inkernel_boot() 呼び出しが呼び出された後になります。CONFIG_TINY_RCU カーネルには影響はありません。

CONFIG_PREEMPT_RT=y 設定のあるカーネルは、このカーネルブートパラメーターを有効にして、強制的に値に設定します。つまり、Expedited Read-copy-update(RCU)の猶予期間でブート後試行を変換し、代わりに通常の有効期限なしの猶予期間を使用します。

spectre_v2 = [X86]

このパラメーターを使用すると、Spectre variant 2(indirect branch speculation)脆弱性の軽減策を制御できます。

デフォルトの操作は、ユーザー空間攻撃からカーネルを保護します。

以下の値が使用できます。

  • on - 無条件で有効にし、spectre_v2_user=onを意味します。
  • off - 無条件で無効になり、spectre_v2_user=offを意味します。
  • auto: カーネルは、CPU モデルが脆弱なかどうかを検出します。

    「on」を選択すると、'auto' を選択すると、CPU に応じてランタイム時に軽減策メソッドを選択することができます。利用可能なブリック、CONFIG_RETPOLINE 設定オプションの設定、およびカーネルがビルドされたコンパイラー。

    「on」を選択すると、ユーザー空間タスクの攻撃に対する軽減策も有効になります。

    「off」を選択すると、カーネルとユーザー領域の保護の両方が無効になります。

    特定の軽減策を手動で選択することもできます。

  • pidgin: 間接ブランチの置き換え
  • pidgin,generic - Retpolines
  • pidgin,lfence - LFENCE; indirect branch
  • pidgin,amd - pid,lfence のエイリアス
  • eibrs: Enhanced indirect branch restricted speculation(IBRS)
  • eibrs,gitops - IBRS + Retpolines の強化
  • eibrs,lfence - IBRS + LFENCE の強化
  • ibrs: IBRS を使用してカーネルを保護します。
  • ibrs_always - IBRS を使用してカーネルとユーザーランドの両方を保護します。
  • pidgin,ibrs_user - 間接ブランチを pids に置き換え、IBRS を使用してユーザーランドを保護します。

このオプションを指定しない場合は、spectre_v2=auto と 同じです。

第6章 デバイスドライバー

6.1. 新しいドライバー

ネットワークドライバー

  • MT7921E 802.11ax wireless driver (mt7921e.ko.xz)
  • Realtek 802.11ax wireless core module (rtw89_core.ko.xz)
  • Realtek 802.11ax wireless PCI driver (rtw89_pci.ko.xz)
  • ntb_netdev (ntb_netdev.ko.xz)
  • RDMA 用 Intel® Ethernet Protocol Driver(irdma.ko.xz)
  • Intel® PCI-E Non-Transparent Bridge Driver (ntb_hw_intel.ko.xz)

グラフィックドライバーとその他のドライバー

  • Generic Counter インターフェース(counter.ko.xz)
  • Intel Quadrature Encoder Peripheral ドライバー(intel-qep.ko.xz)
  • AMD ® PCIe MP2 Communication Driver(amd_sfh.ko.xz)
  • Thrustmaster(hid-thrustmaster.ko.xz)からの wheel joysticks の一部を初期化するためのドライバー
  • HID over I2C ACPI ドライバー(i2c-hid-acpi.ko.xz)
  • Intel PMC Core Driver(intel_pmc_core.ko.xz)
  • ThinkLMI Driver (think-lmi.ko.xz)
  • プロセッサー Thermal Reporting Device Driver(int3401_thermal.ko.xz)
  • Processor Thermal Reporting Device Driver (processor_thermal_device_pci.ko.xz)
  • プロセッサーのレポートデバイスドライバー(processor_thermal_device_pci_legacy.ko.xz)
  • TI TPS6598x USB Power Delivery Controller Driver(tps6598x.ko.xz)

6.2. 更新されたドライバー

ネットワークドライバー

  • Intel® PRO/1000 Network Driver(e1000e.ko.xz)が更新されました。
  • Intel® Ethernet Switch Host Interface Driver(fm10k.ko.xz)が更新されました。
  • Intel® Ethernet Connection XL710 ネットワークドライバー(i40e.ko.xz)が更新されました。
  • Intel® Ethernet Adaptive Virtual Function Network Driver(iavf.ko.xz)が更新されました。
  • Intel® Gigabit Ethernet Network Driver(igb.ko.xz)が更新されました。
  • Intel® Gigabit Virtual Function Network Driver(igbvf.ko.xz)が更新されました。
  • Intel® 2.5G Ethernet Linux Driver(igc.ko.xz)が更新されました。
  • Intel® 10 Gigabit PCI Express Network Driver(ixgbe.ko.xz)が更新されました。
  • Intel® 10 Gigabit Virtual Function Network Driver(ixgbevf.ko.xz)が更新されました。
  • Mellanox 5th generation network adapter(ConnectX series)コアドライバー(mlx5_core.ko.xz)が更新されました。
  • VMware vmxnet3 仮想 NIC ドライバー(vmxnet3.ko.xz)がバージョン 1.6.0.0-k に更新されました。

ストレージドライバー

  • Emulex LightPulse Fibre Channel SCSI ドライバー(lpfc.ko.xz)がバージョン 0:14.0.0.4 に更新されました。
  • Broadcom MegaRAID SAS ドライバー(megaraid_sas.ko.xz)がバージョン 07.719.03.00-rh1 に更新されました。
  • LSI MPT Fusion SAS 3.0 Device Driver(mpt3sas.ko.xz)がバージョン 39.100.00.00 に更新されました。
  • QLogic Fibre Channel HBA ドライバー(qla2xxx.ko.xz)がバージョン 10.02.06.200-k に更新されました。
  • Driver for Microchip Smart Family Controller(smartpqi.ko.xz)がバージョン 2.1.12-055 に更新されました。

グラフィックおよびその他ドライバーの更新

  • VMware SVGA デバイス用のスタンドアロンの drm ドライバー(vmwgfx.ko.xz)がバージョン 2.18.1.0 に更新されました。

第7章 バグ修正

ここでは、ユーザーに大きな影響を及ぼしていた Red Hat Enterprise Linux 8.6 のバグで修正されたものを説明します。

7.1. インストーラーおよびイメージの作成

network --defroute オプションが %include スクリプトで正しく機能するようになりました

以前は、キックスタートインストール中に %include スクリプトで使用されると、network --defroute オプションが無視されていました。その結果、デバイスはデフォルトルートとして設定されました。

この更新により、キックスタートインストールは%includeスクリプトで追加されたnetwork --defrouteオプションを無視せず、ネットワーク接続は期待どおりに設定されます。

(BZ#1990145)

ユーザーは、RHEL for Edge インストーラーブループリントでユーザーアカウントを指定できるようになりました

以前は、rpm パッケージの追加など、アップグレードのために RHEL for Edge Commit で定義されたユーザーアカウントなしでブループリントの更新を実行すると、アップグレードが適用された後、ユーザーがシステムからロックアウトされていました。これにより、ユーザーは既存のシステムをアップグレードするときにユーザーアカウントを再定義する必要がありました。この問題は、ユーザーが ostree コミットの一部としてユーザーを作成するのではなく、インストール時にシステムにユーザーを作成する RHEL for Edge インストーラーの青写真でユーザーアカウントを指定できるように修正されました。

(BZ#1951936)

osbuild が 4GB を超える ISO イメージのビルドに失敗しなくなりました。

Image Builder ユーザーは、パッケージを追加してカスタマイズされたイメージを作成できます。パッケージとそれらの依存関係の合計サイズが 4GB を超える場合、RHEL 8.5 以前のバージョンのユーザーは以下のエラーが表示されます。

ubprocess.CalledProcessError: Command '['/usr/bin/xorrisofs', '-verbose', '-V', 'RHEL-8-5-0-BaseOS-x86_64', '-sysid', 'LINUX', '-isohybrid-mbr', '/usr/share/syslinux/isohdpfx.bin', '-b', 'isolinux/isolinux.bin', '-c', 'isolinux/boot.cat', '-boot-load-size', '4', '-boot-info-table', '-no-emul-boot', '-rock', '-joliet', '-eltorito-alt-boot', '-e', 'images/efiboot.img', '-no-emul-boot', '-isohybrid-gpt-basdat', '-o', '/run/osbuild/tree/installer.iso', '/run/osbuild/inputs/tree']' returned non-zero exit status 32.

この問題は、ISO 9660 Level Of Interchange -isolevel 3 の引数が xorrisofs コマンドに渡されないために発生しました。この問題を回避するには、ISO レベルの値を 3 に永続的に変更する必要がありました。

RHEL 8.6 リリースでは、この問題が修正され、ユーザーが ISO レベルの値を永続的に変更する必要がなくなりました。

(BZ#2056451)

7.2. ソフトウェア管理

モジュラーリポジトリーでcreaterepo_c --updateを実行すると、モジュラーメタデータが保持されるようになりました

以前は、モジュラーメタデータの元のソースが存在しない状態で既存のモジュラーリポジトリーで createrepo_c --update コマンドを実行すると、デフォルトのポリシーでは、モジュラーメタデータを含むすべての追加メタデータがこのリポジトリーから削除され、その結果、リポジトリーが破損していました。メタデータを保持するには、追加の --keep-all-metadata オプションを指定して createrepo_c --update コマンドを実行する必要がありました。

この更新では、追加オプションなしで createrepo_c --update を実行することにより、モジュラーリポジトリーにモジュラーメタデータを保持できます。

追加のメタデータを削除するには、新しい --discard-additional-metadata オプションを使用できます。

(BZ#1992209)

7.3. シェルおよびコマンドラインツール

info サブパッケージのインストール中のエラーが発生しなくなる

以前は、fix-info-dirスクリプトは/dev/nullファイルの存在を予期していました。ソフトウェアドキュメンテーション用の新しいバージョンの texinfo パッケージでは、/ dev/null 特殊ファイルを含まないシステムで info サブパッケージのインストールが失敗することはありません。これで、fix-info-dirスクリプトは/dev/null ファイルの存在を予期せず、無限ループの可能性を回避します。

(BZ#2022201)

ReaR は、未使用の LVM 物理ボリュームを持つシステムを正しくバックアップします

以前は、未使用の LVM 物理ボリューム (PV) がシステムに存在する場合、ReaR は誤ったディスクレイアウトを生成していました。その結果、mkrescuemkbackupmkbackuponlysavelayout コマンドなど、ディスクレイアウトを生成する必要のある ReaR コマンドは、次のエラーメッセージを出して中止されました。

ERROR: LVM 'lvmdev' entry in /var/lib/rear/layout/disklayout.conf where volume_group or device is empty or more than one word

この更新により、ReaR はディスクレイアウトファイル内の未使用の PV をコメントアウトするようになり、未使用の PV を含むシステムを正しくバックアップできるようになりました。

(BZ#2048454)

ReaR はバックアップからマルチパスデバイスを誤って除外しません

以前は、ReaR は、バックアップから除外されるべきマルチパスデバイスの名前が名前に含まれている特定のマルチパスデバイスを誤って除外していました。

たとえば、/dev/mapper/mpatha という名前のデバイスがバックアップから除外された場合、/dev/mapper/mpathaa という名前の 2 番目のデバイスも誤って除外されます。これは、27 台以上のマルチパスデバイスで発生します。

バグは修正され、ReaR はマルチパスデバイスを除外する必要がない限り、バックアップから除外しないようになりました。バックアップに含める必要のあるマルチパスデバイスがある場合は、ReaR 設定ファイルで AUTOEXCLUDE_MULTIPATH=n を指定する必要があることに注意してください。指定しない場合、ReaR はすべてのマルチパスデバイスを自動的に除外します。この動作は変更されていません。

(BZ#2049091)

7.4. セキュリティー

リモートユーザーがスマートカードにアクセスするように繰り返し求められることはなくなりました

以前は、pcscd デーモンの polkit ポリシーが誤ってユーザーインタラクションを要求していました。その結果、非ローカルおよび非特権ユーザーはスマートカードにアクセスできず、多数のプロンプトが表示されました。この更新により、pcsc-lite パッケージポリシーにインタラクティブプロンプトが含まれなくなりました。その結果、リモートカードユーザーが特権の昇格を繰り返し要求されることがなくなりました。

非特権ユーザーの特権を昇格させるためのポリシーの調整の詳細については、RHEL 製品ドキュメントのセキュリティー強化polkit を使用したスマートカードへのアクセスの制御を参照してください。

(BZ#1928154)

FIPS モードでインストールするときに 64 ビット IBM Z システムが起動できなくなることはなくなりました

以前は、--no-bootcfg オプションを指定した fips-mode-setup コマンドは zipl ツールを実行しませんでした。fips-mode-setup は初期 RAM ディスク (initrd) を再生成し、その結果であるシステムを起動するには zipl 内部状態を更新する必要があるため、FIPS モードでインストールした後、64 ビット IBM Z システムは起動できない状態になります。今回の更新で、--no-bootcfg で呼び出された場合でも、fips-mode-setup が 64 ビットの IBM Z システムで zipl を実行するようになり、新たにインストールしたシステムが正常に起動するようになりました。

(BZ#2020295)

crypto-policies は OpenSSL の ChaCha20 を無効にできます。

以前は、crypto-policies コンポーネントは誤ったキーワードを使用して OpenSSL で ChaCha20 暗号を無効にしていました。そのため、crypto-policies では、OpenSSL の TLS 1.2 で ChaCha20 の使用を無効にできませんでした。今回の更新で、crypto-policies は、-CHACHA20-POLY1305 キーワードではなく、-CHACHA20 キーワードを使用するようになりました。その結果、crypto-policies を使用して、TLS 1.2 と TLS 1.3 の両方で OpenSSL の ChaCha20 暗号の使用を無効にできるようになりました。

(BZ#2023734)

systemd/home/user/bin からファイルを実行できるようになりました

以前は、SELinux ポリシーにそのようなアクセスを許可するポリシールールが含まれていなかったため、systemd サービスは /home/user/bin/ ディレクトリーからファイルを実行できませんでした。したがって、systemd サービスは失敗し、最終的に Access Vector Cache (AVC) を拒否する監査メッセージがログに記録されました。この更新により、欠落していたアクセスを許可する SELinux ルールが追加され、systemd サービスが /home/user/bin/ からコマンドを正しく実行できるようになりました。

(BZ#1860443)

STIG 固有のデフォルトのバナーテキストが他のプロファイルから削除される

以前は、STIG プロファイルのバナーテキストは、CIS などのデフォルトテキストが定義されていない他のプロファイルによってデフォルトとして使用されていました。結果として、これらのプロファイルを使用するシステムは、DISA が要求する特定のテキストで設定されました。この更新により、一般的なデフォルトテキストが作成され、ガイドラインに沿った標準の CIS バナーが定義されました。その結果、テキストバナーを明示的に要求するガイドラインに基づくプロファイルが要件に合わせられ、正しいテキストが設定されるようになりました。

(BZ#1983061)

ANSSI Enhanced Profile は、"Ensure SELinux State is Enforcing" ルールを正しく選択します

以前は、ANSSI Enhanced プロファイル (anssi_bp28_enhanced) は "Ensure SELinux State is Enforcing" (selinux_state) ルールを選択していませんでした。この更新によりルールの選択が変更され、ANSSI Enhanced Profile が "Ensure SELinux State is Enforcing" ルールを選択するようになりました。

(BZ#2053587)

restoreconおよびseunshareSSGルールの説明が修正される

以前は、"Record Any Attempts to Run restorecon" (CCE-80699-2) および "Record Any Attempts to Run seunshare" (CCE-80933-5) の説明が正しくありませんでした。今回の更新により、これらのルールの説明は自動化された OVAL チェックに合わせて調整されます。その結果、説明で推奨されている修正を適用すると、これらのルールが正しく修正されるようになりました。

(BZ#2023569)

CIS プロファイルが IPv6 を自動的に無効にすることはなくなる

以前、RHEL 8 の CIS プロファイルは、推奨事項「3.6 IPv6 の無効化」に対して不適切な自動修復を提供していました。これは、IPv6 モジュールがロードされないように /etc/modprobe.d/ipv6.conf を設定することで IPv6 を無効にしました。これは、依存する機能やサービスに望ましくない影響を与える可能性があります。RHEL 8 CIS Benchmark v1.0.1 では、推奨事項 3.6 を手動で実装する必要があるため、RHEL8 CIS プロファイルはこの設定アイテムの修正を適用しません。その結果、CIS プロファイルはベンチマークと整合し、IPv6 を自動的に無効にしません。CIS が推奨する GRUB2 または sysctl 設定を設定して IPv6 を手動で無効にするには、Red Hat Enterprise Linux で IPv6 プロトコルを無効または有効にするにはどうすればよいですか? を参照してください。

(BZ#1990736)

CIS プロファイルが SSH サービスをブロックしなくなりました

以前は、xccdf_org.ssgproject.content_rule_file_permissions_sshd_private_key ルールは、デフォルトで SSH 秘密鍵のアクセス許可を 640 に設定していました。その結果、SSH デーモンが起動しませんでした。この更新により、file_permissions_sshd_private_key ルールが CIS プロファイルから削除され、その結果、SSH サービスが正しく機能します。

(BZ#2002850)

/usr/share/audit/sample-rules 内のファイルが SCAP ルールで受け入れられるようになりました

以前は、SCAP ルール xccdf_org.ssgproject.content_rule_audit_ospp_general および xccdf_org.ssgproject.content_rule_audit_immutable_login_uids の説明に従って、ユーザーは /usr/share/audit/sample-rules ディレクトリーから適切なファイルをコピーすることでシステムを準拠させることができました。ただし、これらのルールの OVAL チェックは失敗したため、スキャン後にシステムは非準拠としてマークされました。この更新により、OVAL チェックは /usr/share/audit/sample-rules からのファイルを受け入れるようになり、SCAP ルールは正常に渡されます。

(BZ#2000264)

ANSSI Kickstart は、十分なディスク容量を予約するようになる

以前は、GUI のインストールには、/usr パーティションに予約されている ANSSI Kickstart よりも多くのディスクスペースが必要でした。その結果、RHEL 8.6 GUI のインストールが失敗し、At least 429 MB more space needed on the /usr filesystem を示すエラーメッセージが表示されました。この更新により、/usr パーティションのディスク容量が増加し、scap-security-guide で提供されている ANSSI Kickstart を使用した RHEL8.6 のインストールが正常に完了するようになりました。

(BZ#2058033)

GRUB2 引数の修正が永続化される

以前は、カーネル引数を設定する GRUB2 ルールの修正は誤った手順を使用しており、設定の変更はカーネルのアップグレード間で永続的ではありませんでした。結果として、修正はカーネルのアップグレードごとに再適用する必要がありました。この更新では、修復は永続的な方法で GRUB2 を設定する grubby ツールを使用します。

(BZ#2030966)

RHEL 8 ホストからリモートシステムをスキャンする際に scap-workbench がハングしなくなりました。

以前は、スキャンされたシステムにコンテンツファイルを送信するとハングし、scap-workbench ユーティリティーがスキャンを完了できませんでした。これは、実行された Qt サブプロセスをブロックするカーネルのバグが原因でした。これにより、RHEL 8 ホストの scap-workbench コマンドを使用してリモートシステムのスキャンが機能しませんでした。今回の更新で、基礎となるカーネルバグが修正され、リモートシステムへのファイルのコピー時にリモートスキャンがハングしなくなり、正常に終了するようになりました。

(BZ#2051890)

usbguard-notifier が Journal に記録するエラーメッセージの数が適正になりました

以前は、usbguard-notifier サービスに usbguard-daemon IPC インターフェースに接続するためのプロセス間通信 (IPC) のパーミッションがありませんでした。したがって、usbguard-notifier はインターフェースへの接続に失敗し、対応するエラーメッセージがジャーナルに書き込まれていました。usbguard-notifier--wait オプションで始まるため、デフォルトでは接続障害後に毎秒 usbguard-notifier が IPC インターフェースへの接続を試みるため、ログにはこれらのメッセージが過剰に含まれていました。

今回の更新により、usbguard-notifier はデフォルトで --wait で開始されなくなりました。サービスは、1 秒間隔で 3 回だけデーモンへの接続を試みます。その結果、ログには最大で 3 つのエラーメッセージが含まれます。

(BZ#2000000)

アンビエント機能が root 以外のユーザーに正しく適用されるようになりました

安全対策として、UID (ユーザー識別子) をルートから非ルートに変更すると、許可された有効な一連のアンビエント機能セットが無効になっていました。

しかし、アンビエントセットに含まれる機能は許可されたセットと継承可能なセットの両方に含まれている必要があるため、pam_cap.so モジュールはアンビエント機能を設定できません。さらに、たとえば setuid ユーティリティーを使用して) UID を変更すると許可されたセットが無効になるため、アンビエント機能を設定できません。

この問題を修正するために、pam_cap.so モジュールは keepcaps オプションをサポートするようになりました。これにより、プロセスは、UID をルートから非ルートに変更した後も許可された機能を保持できます。pam_cap.so モジュールは、defer オプションもサポートするようになりました。これにより、pam_cap.so は、pam_end() へのコールバック内でアンビエント機能を再適用します。このコールバックは、UID を変更した後、他のアプリケーションで使用できます。

そのため、su ユーティリティーおよび login ユーティリティーが更新済みで PAM に準拠している場合は、keepcaps オプションおよび defer オプションを指定して pam_cap.so を使用し、root 以外のユーザーにアンビエント機能を設定できるようになりました。

(BZ#1950187)

usbguard-selinux パッケージが usbguard に依存しなくなりました。

usbguard-selinux パッケージは、以前は usbguard パッケージに依存していました。これを、このパッケージの他の依存関係と組み合わせると、usbguard のインストール時にファイル競合が発生しました。そのため、特定システムにusbguard がインストールされなくなりました。このバージョンでは、usbguard-selinuxusbguard に依存しなくなったため、yumusbguard を正しくインストールできるようになりました。

(BZ#1963271)

audisp-remote は、リモートロケーションの可用性を正しく検出するようになりました

以前は、audisp-remote プラグインは、リモートサービスが利用できなくなったことを検出しませんでした。その結果、audisp-remote プロセスの CPU 使用率が高くなっていました。今回の更新で、audisp-remote は利用できなくなったリモートサービスを適切に検出できまるようになりました。したがって、プロセスの CPU 使用率は高くなりません。

(BZ#1906065)

自動ロック解除前に特定の設定で Clevis が停止しなくなりました

以前は、LUKS で暗号化されたボリュームの自動ロック解除を実行する Clevis ユーティリティーは、特定のシステム設定で停止していました。そのため、暗号化されたボリュームは自動的にロック解除されず、管理者はパスフレーズを手動で提供する必要がありました。場合によっては、管理者が Enter キーを押して暗号化されたボリュームのロックを解除しなければ、Clevis は再起動しませんでした。今回の更新で、ユーティリティーはこれらの設定で停止しないように修正され、自動ロック解除のプロセスが正しく機能するようになりました。

(BZ#2018292)

7.5. カーネル

dmidecode --type 17 コマンドは、DDR5 メモリー情報を正常にデコードするようになりました

以前は、dmidecode コマンドは DDR5 メモリー情報のデコードに失敗していました。そのため、dmidecode --type 17<OUT OF SPEC> メッセージを返していました。最新のパッケージ更新 ( dmidecode-3.3-3.el8) でこの問題が修正されました。その結果、dmidecode --type 17 は、DDR5 メモリー情報を正常にデコードするようになりました

(BZ#2027665)

デフォルトのメモリー量を使用する KVM 仮想マシンで kdump が失敗しなくなりました

以前は、デフォルトのメモリー量を使用する一部のカーネルベースの仮想マシン (KVM) で kdump が失敗していました。その結果、クラッシュカーネルは次のエラーでクラッシュダンプファイルをキャプチャできませんでした。

/bin/sh: error while loading shared libraries: libtinfo.so.6: cannot open shared object file: No such file or directory

この更新により、問題が修正され、デフォルトのメモリー量を使用する KVM 仮想マシンで kdump が正しく機能します。

(BZ#2004000)

トンネルのオフロードが期待どおりに機能し、利用可能なハードウェアをサポートするようになりました

以前は、ドライバーは特定の機能フラグを設定していませんでした。したがって、トンネルのオフロードは期待どおりに機能していませんでした。この更新では、ドライバーは必要なフラグを設定してトンネルのオフロードを有効にし、期待どおりに機能します。

(BZ#1910885)

rx リングバッファーを最大に設定する際のカーネル警告を修正しました

以前は、クリーンな入力を期待する内部関数が、再利用され、すでに初期化された構造で呼び出されていました。これにより、カーネルにより「missing unregister, handled but fix driver」という警告メッセージが表示されました。この更新によりバグが修正され、構造を再初期化してから登録を再度試みるようになりました。

(BZ#2040171)

7.6. ファイルシステムおよびストレージ

xfsrestore コマンドは、バックアップの復元中に適切に機能します。

以前は、xfsdump コマンドを使用して作成されたバックアップを復元する際に、xfsrestore で孤立したディレクトリーが作成されました。そのため、以下のメッセージを含むいくつかのファイルが作成された orphanage ディレクトリーに移動されました。

 # xfsdump -L test -M test -f /scratch.dmp /mnt/test
 ...
 xfsdump: NOTE: root ino 128 differs from mount dir ino 1024, bind mount?
 ...
 xfsdump: Dump Status: SUCCESS

 # xfsrestore -f /scratch.dmp /mnt/restore/
 ...
 xfsrestore: restoring non-directory files
 xfsrestore: NOTE: ino 128 salvaging file, placing in orphanage/1024.0/dir17/file60
 xfsrestore: NOTE: ino 129 salvaging file, placing in orphanage/1024.0/dir17/file61
 xfsrestore: NOTE: ino 130 salvaging file, placing in orphanage/1024.0/dir17/file62
 xfsrestore: NOTE: ino 131 salvaging file, placing in orphanage/1024.0/dir17/file63
 xfsrestore: NOTE: ino 132 salvaging file, placing in orphanage/1024.0/dir17/file64
 xfsrestore: NOTE: ino 133 salvaging file, placing in orphanage/1024.0/dir17/file65
 xfsrestore: NOTE: ino 134 salvaging file, placing in orphanage/1024.0/dir17/file66
 ...

今回の更新で問題が修正され、xfsrestore が正しく機能するようになりました。

(BZ#2020494)

multipathd.socket ユニットファイルは、起動の試行回数が多すぎても multipathd を無効にしなくなりました

以前は、multipath.service ユニットファイルの multipathd の開始条件は、multipathd.socket のトリガー条件とは異なりました。その結果、ユニットファイルは multipathd を繰り返し開始しようとして失敗しました。これにより、試行の失敗が多すぎると、multipathd が無効になりました。この修正により、multipathd.socketmultipathd.service の開始条件が同じ値に設定されました。その結果、multipathd.socket ユニットファイルは、multipathd.service の開始条件が満たされていない場合に multipathd を開始しようとしなくなりました。

(BZ#2008101)

保護イベントにより、マルチパスデバイスのリロードエラーが発生しなくなりました

以前は、read-only パスデバイスが再スキャンされると、カーネルは 2 つの書き込み保護イベントを送信しました。1 つはデバイスが read/write に設定され、次はデバイスが read-only に設定されています。その結果、パスデバイスで read/write イベントが検出されると、multipathd はマルチパスデバイスをリロードしようとしました。これにより、リロードエラーメッセージが表示されました。この更新により、multipathd は、デバイスの読み取り/書き込みをリロードする前に、すべてのパスが read/write に設定されていることを確認するようになりました。その結果、multipathd は、read-only デバイスが再スキャンされるたびに read/write をリロードしようとしなくなりました。

(BZ#2009624)

7.7. コンパイラーおよび開発ツール

Makefile で使用した場合に-jフラグが機能するように

以前は、Makefile 内の MAKEFLAGS に -j フラグを追加すると、ターゲットは並列ではなく順次に構築されていました。このバグは修正され、Makefile で -j フラグを使用すると同時にターゲットがビルドされるようになりました。

(BZ#2004246)

静的にリンクされたアプリケーションがクラッシュしなくなる

以前は、静的にリンクされたバイナリーにリンクされている動的ローダーの初期化コードは、リンクマップ変数を正しく初期化しませんでした。その結果、LD_LIBRABY__PATH に動的トークン文字列が含まれていると、静的にリンクされたアプリケーションがクラッシュしました。この更新により、静的にリンクされたアプリケーションがクラッシュしなくなりました。

(BZ#1934162)

glibc の pthread_once() は、C++ 例外を正しくサポートするように修正されました。

以前は、pthread_once() の実装により、libstdc++ ライブラリー関数を使用するときにハングが発生する可能性がありました。たとえば、libstdc++std::call_once() は、ハングを引き起こす例外を出力する関数を呼び出しました。この更新により、pthread_once() が修正され、例外が出力されたときにハングしなくなりました。

(BZ#2007327)

7.8. ID 管理

Certmonger は、登録に challengePassword が必要な場合に、AD を使用して SCEP 証明書を自動的に更新できるようになりました。

以前は、certmonger から Active Directory (AD) Network Device Enrollment Service (NDES) サーバーに送信された SCEP 証明書の更新要求には、証明書を最初に取得するために使用された challengePassword が含まれていました。ただし、AD は challengePassword をワンタイムパスワード (OTP) として扱います。その結果、更新リクエストは拒否されました。

この更新により、challenge_password_otp オプションが certmonger に追加されます。このオプションを有効にすると、certmonger が SCEP 更新要求とともに OTP を送信できなくなります。管理者は、AD レジストリーの HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP サブキーに値 1DisableRenewalSubjectNameMatch エントリーも追加する必要があります。この変更により、AD は署名者証明書と要求された証明書のサブジェクト名を一致させる必要がなくなりました。その結果、SCEP 証明書の更新は成功します。

SCEP 更新が機能するように certmonger と AD サーバーを設定するには、次のようにします。

  1. AD サーバーで regedit を開きます。
  2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP サブキーに、新しい 32 ビットの REG_DWORD エントリー DisableRenewalSubjectNameMatch を追加し、その値を 1 に設定します。
  3. certmonger が実行されているサーバーで、/etc/certmonger/certmonger.conf ファイルを開き、次のセクションを追加します。

    [scep]
    challenge_password_otp = yes
  4. certmonger を再起動します。

    # systemctl restart certmonger

(BZ#1577570)

2 番目の FreeRADIUS サーバーが使用できない場合でも、FreeRADIUS プロキシーサーバーは動作を停止しなくなりました

FreeRADIUS サーバーがプロキシーサーバーとして設定されている場合、要求メッセージを別の FreeRADIUS サーバーに転送します。以前は、これら 2 つのサーバー間の接続が中断された場合、FreeRADIUS プロキシーサーバーは機能しなくなりました。この修正により、FreeRADIUS プロキシーサーバーは、他のサーバーが使用可能になったときに接続を再確立できるようになりました。

(BZ#2030173)

PBKDF2 ハッシュパスワードを使用した FIPS モードの Directory Server への認証が期待どおりに機能するようになりました。

Directory Server が FIPS (Federal Information Processing Standard) モードで実行している場合は、PK11_ExtractKeyValue() 機能を使用できません。これにより、パスワードベースの鍵派生機能 2 (PBKDF2) のハッシュパスワードを持つユーザーは、FIPS モードが有効になっているときにサーバーを認証できませんでした。今回の更新で、Directory Server が PK11_Decrypt() 機能を使用してパスワードハッシュデータを取得するようになりました。その結果、FIPS モードでの Directory Server への認証が、PBKDF2 ハッシュパスワードを使用するユーザーに対して機能するようになりました。

(BZ#2033398)

7.9. グラフィックインフラストラクチャー

VGA ディスプレイを備えた Matrox GPU が期待どおりに動作するようになりました

このリリースより前は、次のシステム設定を使用した場合、ディスプレイにグラフィカル出力が表示されませんでした。

  • Matrox MGA G200 ファミリーの GPU
  • VGA コントローラーで接続されたディスプレイ
  • UEFI のレガシーモードへの切り替え

したがって、この設定で RHEL を使用またはインストールできませんでした。

今回の更新により、mgag200 ドライバーが大幅に書き直され、その結果、グラフィック出力が期待どおりに機能するようになりました。

(BZ#1953926)

7.10. Red Hat Enterprise Linux システムロール

Grafana admin パスワードが変更された場合でも、Metrics ロールを使用する Playbook は複数回の実行で正常に完了します

以前は、metrics_graph_service: yes ブール値で Metrics ロールを実行した後に Grafana admin ユーザーパスワードを変更すると、Metrics ロールの後続の実行が失敗していました。これにより、Metrics ロールを使用した Playbook が失敗し、影響を受けるシステムはパフォーマンス分析用にのみ部分的に設定されました。現在、Metrics ロールは、Grafana deployment API が利用可能であり、必要な設定アクションを実行するためにユーザー名またはパスワードの知識を必要としない場合に、その API を使用します。その結果、管理者が Grafana admin パスワードを変更した場合でも、Metrics ロールを使用する Playbook は複数回の実行で正常に完了します。

(BZ#1967321)

SSHD システムロールは正しいテンプレートファイルを使用する

RHEL 8.5 では、SSHD System Role が間違ったテンプレートファイルを使用していました。結果として、生成された sshd_config ファイルには # Ansible managed コメントが含まれていませんでした。欠落しているコメントは、システムの機能に影響を与えませんでした。この更新により、システムロールは正しいテンプレートファイルを使用し、sshd_config には正しい # Ansible managed コメントが含まれます。

(BZ#2040038)

IPv6 が無効になると、Networking システムロールが DNS 検索ドメインの設定に失敗しなくなりました。

以前では、IPv6 プロトコルが無効になっている場合、libnm ライブラリーの nm_connection_verify() 機能は DNS 検索ドメインを無視していました。そのため、Networking RHEL システムロールを使用し、dns_searchipv6_disabled: true と一緒に設定すると、システムロールに障害が発生し、以下のエラーが表示されます。

nm-connection-error-quark: ipv6.dns-search: this property is not allowed for 'method=ignore' (7)

今回の更新で、IPv6 が無効になっている場合、nm_connection_verify() 機能は DNS 検索ドメインを無視します。これにより、IPv6 が無効になっていても、期待どおりに dns_search を使用できます。

(BZ#2041627)

Networking システムロールの nm プロバイダーがブリッジを正しく管理するようになりました

以前は、initscripts プロバイダーを使用した場合、Networking システムロールは、ブリッジインターフェイスを管理対象外としてマークするように NetworkManager を設定する ifcfg ファイルを作成しました。また、NetworkManager はフォローアップ initscript アクションを検出できませんでした。たとえば、initscript プロバイダーの down および absent アクションは、down および absent アクションの後に接続をリロードしない場合は、このインターフェイスのアンマネージ状態に関する NetworkManager の理解を変更しません。この修正により、Netwoking システムロールは NM.Client.reload_connections_async() 関数を使用して、NetworkManager 1.18 を使用して管理対象ホストに NetworkManager をリロードします。その結果、NetworkManager は、プロバイダーを initscript から nm に切り替えるときにブリッジインターフェイスを管理します。

(BZ#2034908)

SSH サーバーロールは、FIPS モードを検出し、FIPS モードでタスクを正しく処理するようになりました

以前は、RHEL 8 以前のシステムを FIPS モードで管理する場合、デフォルトのホストキーの 1 つを作成することは許可されていませんでした。そのため、SSH サーバーロールの操作では、呼び出し時に not allowed key タイプを生成できませんでした。この修正により、SSH サーバーロールは FIPS モードを検出し、それに応じてデフォルトのホストキーリストを調整するようになりました。その結果、SSH サーバーロールは、デフォルトのホストキー設定を使用して FIPS モードでシステムを管理できるようになりました。

(BZ#1979714)

Logging システムロールロールがタスクを複数回呼び出さなくなりました

以前は、Logging ロールは 1 回だけ呼び出すべきタスクを複数回呼び出していました。そのため、余分なタスク呼び出しによりロールの実行速度が低下していました。この修正では、Logging ロールが変更され、タスクを 1 回だけ呼び出すようになり、Logging ロールのパフォーマンスが向上しました。

(BZ#2005727)

RHEL システムロールは、生成されたファイル内の複数行の ansible_managed コメントを処理するようになりました

以前は、一部の RHEL システムロールは #{{ansible_managed}} を使用して一部のファイルを生成していました。そのため、顧客が複数行のカスタム ansible_managed 設定を持っている場合、ファイルは正しく生成されませんでした。今回の修正により、すべてのシステムロールでファイルの生成時に {{ ansible_managed | comment }} と同等のものが使用されるようになり、複数行の ansible_managed 値を含め、ansible_managed 文字列は常に正しくコメントされるようになりました。その結果、生成されたファイルには正しい複数行の ansible_managed 値が含まれます。

(BZ#2006231)

Logging ロールは、immark モジュールの間隔値の引用を見逃さなくなりました

以前は、immark モジュールが適切に設定されていなかったため、immarkモジュールの interval フィールド値が適切に引用されていませんでした。今回の修正により、interval の値が適切に引用されるようになりました。これで、immark モジュールは期待どおりに機能します。

(BZ#2021678)

group オプションによりグループが証明書にアクセスできなくなる状況が解消されました。

以前は、証明書のグループを設定する際に、mode はグループの読み取り権限を許可するように設定されませんでした。そのため、グループメンバーは、Certificate ロールが発行した証明書を読み取ることができませんでした。今回の修正で、グループ設定により、ファイルモードにグループ読み取り権限が確実に含まれるようになりました。その結果、グループの Certificate ロールにより発行された証明書に、グループメンバーがアクセスできます。

(BZ#2021683)

/etc/tuned/kernel_settings/tuned.conf ファイルには適切な ansible_managed ヘッダーがあります

以前は、カーネル設定の RHEL システムロールには、/etc/tuned/kernel_settings/tuned.conf ファイルの ansible_managed ヘッダーにハードコードされた値がありました。その結果、ユーザーはカスタムの ansible_managed ヘッダーを提供できませんでした。この更新で問題が修正され、kernel_settings/etc/tuned/kernel_settings/tuned.conf のヘッダーをユーザーの ansible_managed 設定で更新するようになりました。つまり、/etc/tuned/kernel_settings/tuned.conf には適切な ansible_managed ヘッダーがあります。

(BZ#2047504)

logging_purge_confs オプションは、不要な設定ファイルの削除に失敗しなくなりました

以前は、logging_purge_confs変数は、不要なロギング設定ファイルを削除するために準備されていましたが、それらをクリーンアップできませんでした。その結果、logging_purge_confs変数が true に設定されていても、不要な設定ファイルはクリーンアップされず、設定ディレクトリーに残されました。この問題は修正され、logging_purge_confs変数が次のように機能するように再定義されました。

  • logging_purge_confstrueに設定されている場合は、rpm パッケージに属していないrsyslog.d内のファイルを削除します。これには、前回のloggingロールの実行によって生成された設定ファイルが含まれます。logging_purge_confsのデフォルト値はfalseです。

(BZ#2040812)

正しいボンディングモードの active-backup をサポートするようにタイプミスを修正する

以前は、active-backup ボンディングモードを指定する際に InfiniBand ポートをサポートする際に、タイプミス (active_backup) がありました。このタイプミスが原因で、接続は InfiniBand ボンディングポートの正しいボンディングモードをサポートできませんでした。この更新では、ボンディングモードを active-backup に変更することで、タイプミスを修正しています。これで、接続は InfiniBand ボンディングポートを正常にサポートします。

(BZ#2064388)

Metrics ロールによる設定がシンボリックリンクを正しくたどるようになりました

mssql pcp パッケージがインストールされると、mssql.conf ファイルは /etc/pcp/mssql/ に配置され、シンボリックリンク /var/lib/pcp/pmdas/mssql/mssql.conf のターゲットになります。ただし、以前の Metrics ロールはシンボリックリンクをたどって、mssql.conf を設定する代わりにシンボリックリンクを上書きしていました。その結果、Metrics ロールを実行すると、シンボリックリンクが通常のファイルに変更され、/var/lib/pcp/pmdas/mssql/mssql.conf ファイルのみ設定の影響を受けました。これによりシンボリックリンクが失敗し、メインの設定ファイル /etc/pcp/mssql/mssql.conf は設定の影響を受けませんでした。この問題は修正され、シンボリックリンクをたどる follow: yes オプションが Metrics ロールに追加されました。その結果、Metrics ロールはシンボリックリンクを保持し、メイン設定ファイルを正しく設定します。

(BZ#2058655)

カーネル設定システムロールが python3-configobj を正しくインストールするようになりました

以前は、カーネル設定ロールは python3-configobj パッケージが見つからないというエラーを返していました。管理対象ホストに python3-configobj がインストールされていないため、ロールはパッケージを見つけることができませんでした。今回の更新で、ロールは管理対象ホストに python3-configobj をインストールし、正しく機能するようになりました。

(BZ#2058772)

Kdump システムロールはホストを無視しなくなりました

以前は、Kdump ロールがクラッシュカーネル用に予約されたメモリーを持たない管理対象ノードを無視し、その結果、システムを正しく設定していなくても成功ステータスで完了していました。このロールは、管理対象ノードにクラッシュカーネル用に予約されたメモリーがない場合は失敗し、管理対象ノード上で kdump を正しく設定するために、ユーザーに kdump_reboot_ok 変数を true に設定するように求めるように再設計されました。その結果、Kdump ロールはホストを無視しなくなり、正しい設定で正常に完了するか、問題を修正するためにユーザーが何を行う必要があるかを説明するエラーメッセージが表示されて失敗します。

(BZ#2029605)

Firewall システムロールは、target が変更されるとすぐにファイアウォールをリロードするようになりました

以前は、target パラメーターが変更されても Firewall システムロールはファイアウォールを再ロードしませんでした。この修正により、target が変更されると Firewall ロールがファイアウォールを再ロードするようになりました。その結果、tatrget の変更は即座に行われ、後続の操作で使用できるようになりました。

(BZ#2057172)

HA Cluster システムロールのデフォルトの pcsd 権限により、グループ haclient へのアクセスが許可されるようになりました

以前は、ユーザーが ha_cluster_pcs_permission_list 変数で設定されたデフォルトの pcsd 権限で HA Cluster システムロールを実行した場合、グループ hacluster のメンバーのみがクラスターにアクセスできました。今回の修正で、デフォルトの pcsd 権限により、グループ haclient がクラスターを管理できるようになり、haclient のすべてのメンバーがクラスターにアクセスして管理できるようになりました。

(BZ#2049747)

7.11. 仮想化

厳密な NUMA バインディングポリシーでランタイムメモリーの移動が許可されなくなりました。

以前は、厳格な NUMA バインディングポリシーが仮想マシン(<memory mode=' strict '/>)で有効にされている場合、場合によってはその仮想マシンから別の NUMA ノードにランタイムメモリーを移動しようとしていました。この問題を回避するには、厳密な ポリシーによりランタイムメモリーの移動が完全に禁止されるようになりました。

さらに、制限的 なポリシーが追加されました。これは以前に 厳密 ポリシーと同じように機能します。つまり、ランタイムメモリーを他の NUMA ノードに移動できますが、メモリーが完全に移動することができなくなります。

(BZ#2014369)

multifd 移行が確実に機能するようになりました

以前は、QEMU の multifd 機能を使用して仮想マシンを移行しようとすると、移行に失敗し、仮想マシンが予期せず終了していました。基になるコードが修正され、multifd 移行が期待どおりに機能するようになりました。

(BZ#1982993)

virtio-balloonにより仮想マシンの移行とスナップショットが失敗しなくなりました。

以前は、仮想マシンが virtio-balloon デバイスを使用している場合に、より新しいゲストオペレーティングシステム(RHEL 9 など)を持つ仮想マシンの移行を試みると失敗していました。同様に、このような仮想マシンのスナップショットの作成に失敗していました。今回の更新で、virtio-balloonページ poison 機能 のバグが修正され、上記の問題が発生しなくなりました。

(BZ#2004416)

PowerVM 上の IBMVFC デバイスのホットアンプラグが期待どおりに機能するようになる

以前は、PowerVM ハイパーバイザー上の RHEL 8 ゲストオペレーティングシステムで仮想マシン (VM) を使用する場合は、実行中の仮想マシンから IBM Power Virtual Fibre Channel (IBMVFC) デバイスを削除しようとすると失敗します。代わりに、outstanding translation エラーが表示されます。基礎となるコードが修正され、IBMVFC デバイスのライブホットアンプラグが PowerVM で正しく機能するようになりました。

(BZ#1959020)

7.12. コンテナー

RHEL 8.5 以前で fuse-overlayfs を使用して作成されたルートレスコンテナーは、削除されたファイルを認識するようになりました

RHEL 8.4 以前では、ルートレスイメージやコンテナは fuse-overlayfs ファイルシステムを使用して作成または保存されていました。RHEL 8.5 以降でこのようなイメージやコンテナを使用すると、カーネルが提供する overlayfs の実装を使用している権限のないユーザーが、RHEL 8.4 のコンテナーやイメージからファイルやディレクトリを削除した場合に問題が発生します。この問題は、root アカウントで作成されたコンテナーには該当しませんでした。

その結果、コンテナーやイメージから削除するファイルやディレクトリーは、fuse-overlayfs ファイルシステムを使用する場合、ホワイトアウトフォーマットを使用して、そのようにマークされていました。しかし、フォーマットの違いにより、カーネルの overlayfs の実装では、fuse-overlayfs を使用して作成されたホワイトアウトフォーマットを認識できませんでした。その結果、削除されたファイルやディレクトリーはそのまま表示されていました。この問題は、root アカウントで作成されたコンテナーには該当しませんでした。

今回の更新で問題は解決しました。

(JIRA:RHELPLAN-92741)

第8章 テクノロジープレビュー

ここでは、Red Hat Enterprise Linux 8.6 で利用可能なすべてのテクノロジープレビュー機能の一覧を提示します。

テクノロジープレビュー機能に対する Red Hat のサポート範囲の詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。

8.1. RHEL for Edge

FDO プロセスがテクノロジープレビューとして利用可能に

RHEL for Edge イメージの自動プロビジョニングおよびオンボード用の FDO プロセスは、テクノロジープレビューとして利用できます。これにより、RHEL for Edge Simplified Installer イメージを構築し、それを RHEL for Edge イメージにプロビジョニングし、FDO(FIDO デバイスオンボーディング) プロセスを使用して、Edge デバイスを自動的にプロビジョニングおよびオンボーディングし、ネットワークに接続されている他のデバイスやシステムとデータを交換できます。その結果、FIDO デバイスのオンボーディングプロトコルは、製造段階でデバイスの初期化を実行し、次に実際にデバイスを使用するための遅延バインディングを実行します。

(BZ#1989930)

8.2. シェルおよびコマンドラインツール

ReaR は、64 ビット IBM Z アーキテクチャーでテクノロジープレビューとして利用できます。

Basic Relax and Recover (ReaR) 機能が、64 ビットの IBM Z アーキテクチャーでテクノロジープレビューとして利用できるようになりました。IBM Z では、z/VM 環境でのみ ReaR レスキューイメージを作成できます。論理パーティション (LPAR) のバックアップおよび復元はテストされていません。

現在利用できる出力方法は、Initial Program Load (IPL) のみです。IPL は、zIPL ブートローダーで使用できるカーネルと初期 ramdisk (initrd) を生成します。

警告

現在、レスキュープロセスは、システムに接続したすべての DASD (Direct Attached Storage Devices) を再フォーマットします。システムのストレージデバイスに貴重なデータが存在する場合は、システムの復旧を行わないでください。これには、レスキュー環境で起動するのに使用された zIPL ブートローダー、ReaR カーネル、および initrd で準備されたデバイスも含まれます。必ずコピーを保管してください。

詳細は、64 ビット IBM Z アーキテクチャーで ReaR レスキューイメージの使用 を参照してください。

(BZ#1868421)

8.3. ネットワーキング

AF_XDP がテクノロジープレビューとして利用可能になりました。

AF_XDP (Address Family eXpress Data Path) ソケットは、高性能パケット処理用に設計されています。さらに処理するために、XDP を取り入れ、プログラムにより選択されたパケットの効率的なリダイレクトをユーザー空間アプリケーションに付与します。

(BZ#1633143)

テクノロジープレビューとして利用できる XDP 機能

Red Hat は、以下の eXpress Data Path (XDP) 機能をサポート対象外のテクノロジープレビューとして提供します。

  • AMD および Intel 64 ビット以外のアーキテクチャーで XDP プログラムを読み込む。libxdp ライブラリーは、AMD および Intel 64 ビット以外のアーキテクチャーでは使用できません。
  • XDP ハードウェアオフロード。

(BZ#1889737)

TC のマルチプロトコルラベルスイッチがテクノロジープレビューとして利用可能に

Multi-protocol Label Switching (MPLS) は、エンタープライズネットワーク全体でトラフィックフローをルーティングするカーネル内データ転送メカニズムです。MPLS ネットワークでは、パケットを受信するルーターは、パケットに割り当てられたラベルに基づいて、パケットの追加のルートを決定します。ラベルを使用すると、MPLS ネットワークは特定の特性を持つパケットを処理する機能があります。たとえば、特定ポートから受信したパケットの管理や、特定のタイプのトラフィックを一貫した方法で伝送する tc filters を追加できます。

パケットがエンタープライズネットワークに入ると、MPLS ルーターは、パケット上で複数の操作を実行します。ラベルの追加には pushswap (ラベルの更新)、ラベルの削除の pop などが含まれます。MPLS では、RHEL の 1 つまたは複数のラベルに基づいて、アクションをローカルに定義できます。ルーターを設定し、トラフィック制御 (tc) フィルターを設定して、labeltraffic classbottom of stacktime to live などの MPLS ラベルスタックエントリー (lse) 要素に基づいて、パケットに対して適切なアクションを実行するように設定することができます。

たとえば、次のコマンドは、フィルターを enp0s1 ネットワークインターフェースに追加して、最初のラベル 12323 と 2 番目のラベル 45832 を持つ着信パケットと一致させます。一致するパケットでは、以下のアクションが実行されます。

  • 最初の MPLS TTL はデクリメントされます (TTL が 0 に達するとパケットがドロップされます)。
  • 最初の MPLS ラベルが 549386 に変更
  • 作成されるパケットは enp0s2 経由で送信されます。宛先 MAC アドレス 00:00:5E:00:53:01、およびソース MAC アドレス 00:00:5E:00:53:02

    # tc filter add dev enp0s1 ingress protocol mpls_uc flower mpls lse depth 1 label 12323 lse depth 2 label 45832 \
    action mpls dec_ttl pipe \
    action mpls modify label 549386 pipe \
    action pedit ex munge eth dst set 00:00:5E:00:53:01 pipe \
    action pedit ex munge eth src set 00:00:5E:00:53:02 pipe \
    action mirred egress redirect dev enp0s2

(BZ#1814836, BZ#1856415)

systemd-resolved サービスがテクノロジープレビューとして利用できるようになりました。

systemd-resolved サービスは、ローカルアプリケーションに名前解決を提供します。このサービスは、DNS スタブリゾルバー、LLMNR (Link-Local Multicast Name Resolution)、およびマルチキャスト DNS リゾルバーとレスポンダーのキャッシュと検証を実装します。

systemd パッケージが systemd-resolved を提供している場合でも、このサービスはサポートされていないテクノロジープレビューであることに注意してください。

(BZ#1906489)

nispor パッケージがテクノロジープレビューとして利用可能になりました。

nispor パッケージがテクノロジープレビューとして利用できるようになりました。これは、Linux ネットワーク状態クエリーの統合インターフェースです。これにより、Python および C api と rust crate を使用して、実行中のすべてのネットワークのステータスにクエリーを実行することができます。nispor は、nmstate ツールの依存関係として機能します。

nispor パッケージは、nmstate の依存関係、または個々のパッケージとしてインストールできます。

  • nispor を個別のパッケージとしてインストールするには、次のコマンドを実行します。

    # yum install nispor
  • nispornmstate の依存関係としてインストールするには、次のコマンドを実行します。

    # yum install nmstate

    nispor は依存関係として一覧表示されます。

nispor の使用の詳細は、/usr/share/doc/nispor/README.md ファイルを参照してください。

(BZ#1848817)

8.4. カーネル

kexec fast reboot 機能は、テクノロジープレビューとしてご利用いただけます。

kexec fast reboot 機能は、引き続きテクノロジープレビューとして利用できます。kexec の高速再起動では、カーネルが最初に Basic Input/Output System (BIOS) を経由せずに、2 番目のカーネルを直接起動できるため、起動プロセスが大幅に高速化されます。この機能を使用するには、以下を実行します。

  1. kexec カーネルを手動で読み込みます。
  2. オペレーティングシステムを再起動します。

(BZ#1769727)

accel-config パッケージがテクノロジープレビューとして利用可能になりました。

accel-config パッケージが、テクノロジープレビューとして、Intel EM64T および AMD64 アーキテクチャーで利用可能になりました。このパッケージは、Linux カーネルでデータストリーミング (DSA) サブシステムを制御し、設定するのに役立ちます。また、sysfs (pseudo-filesystem) を介してデバイスを設定し、設定を json 形式で保存および読み込みます。

(BZ#1843266)

SGX がテクノロジープレビューとして利用可能になりました。

SGX (Software Guard Extensions) は、ソフトウェアコードおよび公開および修正からのデータを保護する Intel® テクノロジーです。RHEL カーネルは、SGX v1 および v1.5 機能を部分的に提供します。バージョン 1 では、Flexible Launch Control メカニズムを使用するプラットフォームが SGX テクノロジーを使用できるようにします。

(BZ#1660337)

eBPF がテクノロジープレビューとして利用可能になりました。

eBPF (extended Berkeley Packet Filter) は、限られた一連の関数にアクセスできる制限付きサンドボックス環境において、カーネル領域でのコード実行を可能にするカーネル内の仮想マシンです。

仮想マシンには、さまざまな種類のマップの作成を可能にする、新しいシステムコール bpf() が含まれ、特別なアセンブリーのコードでプログラムをロードすることも可能です。そして、このコードはカーネルにロードされ、実行時コンパイラーでネイティブマシンコードに変換されます。bpf() は、root ユーザーなど、CAP_SYS_ADMIN が付与されているユーザーのみが利用できます。詳細は、man ページの bpf(2) を参照してください。

ロードしたプログラムは、データを受信して処理するために、さまざまなポイント (ソケット、トレースポイント、パケット受信) に割り当てることができます。

eBPF 仮想マシンを使用する Red Hat には、多くのコンポーネントが同梱されています。各コンポーネントは異なる開発フェーズにあります。特定のコンポーネントがサポート対象と示されていない限り、すべてのコンポーネントはテクノロジープレビューとして提供されます。

現在、以下の主要 eBPF コンポーネントが、テクノロジープレビューとして利用可能です。

  • AF_XDP。これは、eXpress Data Path (XDP) パスを、パケット処理のパフォーマンスを優先するアプリケーションのユーザー空間に接続するためのソケットです。

(BZ#1559616)

カーネルの Intel データストリーミングタブレットドライバーがテクノロジープレビューとして利用可能になりました。

カーネルの Intel データストリーミングアクセラレータードライバー (IDXD) は、現在テクノロジープレビューとして利用できます。これは Intel CPU 統合アクセラレーターで、プロセスアドレス空間 ID (pasid) の送信および共有仮想メモリー (SVM) の共有ワークキューが含まれますます。

(BZ#1837187)

テクノロジープレビューとして利用できる Soft-RoCE

Remote Direct Memory Access (RDMA) over Converged Ethernet (RoCE) は、RDMA over Ethernet を実装するネットワークプロトコルです。Soft-RoCE は、RoCE v1 および RoCE v2 の 2 つのプロトコルバージョンを維持する RoCE のソフトウェア実装です。Soft-RoCE ドライバーの rdma_rxe は、RHEL 8 ではサポートされていないテクノロジープレビューとして利用できます。

(BZ#1605216)

stmmac ドライバーがテクノロジープレビューとして利用可能に

Red Hat は、チップ(SoC)での Intel® Elkhart Lake システムの stmmac の使用をサポート対象外のテクノロジープレビューとして提供します。

(BZ#1905243)

8.5. ファイルシステムおよびストレージ

ファイルシステム DAX が、テクノロジープレビューとして ext4 および XFS で利用可能に

Red Hat Enterprise Linux 8 では、ファイルシステムの DAX がテクノロジープレビューとして利用できます。DAX は、永続メモリーをそのアドレス空間に直接マッピングする手段をアプリケーションに提供します。DAX を使用するには、システムで利用可能な永続メモリーの形式が必要になります。通常は、NVDIMM (Non-Volatile Dual In-line Memory Module) の形式で、DAX 機能を提供するファイルシステムを NVDIMM に作成する必要があります。また、ファイルシステムは dax マウントオプションでマウントする必要があります。これにより、dax をマウントしたファイルシステムのファイルの mmap が、アプリケーションのアドレス空間にストレージを直接マッピングされます。

(BZ#1627455)

OverlayFS

OverlayFS は、ユニオンファイルシステムのタイプです。これにより、あるファイルシステムを別のファイルシステムに重ねることができます。変更は上位のファイルシステムに記録され、下位のファイルシステムは変更しません。これにより、ベースイメージが読み取り専用メディアにあるコンテナーや DVD-ROM などのファイルシステムイメージを、複数のユーザーが共有できるようになります。

OverlayFS は、ほとんどの状況で引き続きテクノロジープレビューになります。したがって、カーネルは、この技術がアクティブになると警告を記録します。

以下の制限下で、対応しているコンテナーエンジン (podmancri-o、または buildah) とともに使用すると、OverlayFS に完全対応となります。

  • OverlayFS は、コンテナーエンジンのグラフドライバーとしての使用のみの対応となります。その使用は、コンテナーの COW コンテンツのみに対応し、永続ストレージには対応していません。非 OverlayFS ボリュームに永続ストレージを配置する必要があります。デフォルトのコンテナーエンジン設定のみを使用できます。つまり、あるレベルのオーバーレイ、1 つの下位ディレクトリー、および下位と上位の両方のレベルが同じファイルシステムにあります。
  • 下層ファイルシステムとして使用に対応しているのは現在 XFS のみです。

また、OverlayFS の使用には、以下のルールと制限が適用されます。

  • OverlayFS カーネル ABI とユーザー空間の動作については安定しているとみなされていないため、今後の更新で変更が加えられる可能性があります。
  • OverlayFS は、POSIX 標準の制限セットを提供します。OverlayFS を使用してアプリケーションをデプロイする前に、アプリケーションを十分にテストしてください。以下のケースは、POSIX に準拠していません。

    • O_RDONLY で開いているファイルが少ない場合は、ファイルの読み取り時に st_atime の更新を受け取りません。
    • O_RDONLY で開いてから、MAP_SHARED でマッピングした下位ファイルは、後続の変更と一貫性がありません。
    • 完全に準拠した st_ino 値または d_ino 値は、RHEL 8 ではデフォルトで有効になっていませんが、モジュールオプションまたはマウントオプションを使用して、この値の完全な POSIX コンプライアンスを有効にできます。

      一貫した inode 番号を付けるには、xino=on マウントオプションを使用します。

      redirect_dir=on オプションおよび index=on オプションを使用して、POSIX コンプライアンスを向上させることもできます。この 2 つのオプションにより、上位レイヤーの形式は、このオプションなしでオーバーレイと互換性がありません。つまり、redirect_dir=on または index=on でオーバーレイを作成し、オーバーレイをアンマウントしてから、このオプションなしでオーバーレイをマウントすると、予期しない結果またはエラーが発生することがあります。

  • 既存の XFS ファイルシステムがオーバーレイとして使用できるかどうかを確認するには、次のコマンドを実行して、ftype=1 オプションが有効になっているかどうかを確認します。

    # xfs_info /mount-point | grep ftype
  • SELinux セキュリティーラベルは、OverlayFS で対応するすべてのコンテナーエンジンでデフォルトで有効になっています。
  • このリリースの既知の問題は、OverlayFS に関連しています。詳細は、Linux カーネルドキュメントのNon-standard behavior (https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt)を参照してください。

OverlayFS の詳細は、Linux カーネルのドキュメント https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt を参照してください

(BZ#1690207)

Straits がテクノロジープレビューとして利用可能になりました。

Stratis は、新しいローカルストレージマネージャーです。ユーザーへの追加機能を備えたストレージプールに、管理されるファイルシステムを提供します。

Stratis を使用すると、次のようなストレージタスクをより簡単に実行できます。

  • スナップショットおよびシンプロビジョニングを管理する
  • 必要に応じてファイルシステムのサイズを自動的に大きくする
  • ファイルシステムを維持する

Stratis ストレージを管理するには、バックグランドサービス stratisd と通信する stratis ユーティリティーを使用します。

Stratis はテクノロジープレビューとして提供されます。

詳細については、Stratis のドキュメント (Stratis ファイルシステムの設定) を参照してください。

RHEL 8.3 は Stratis をバージョン 2.1.0 に更新した。詳細は、Stratis 2.1.0 リリースノート を参照してください。

(JIRA:RHELPLAN-1212)

テクノロジープレビューとして、IdM ドメインメンバーで Samba サーバーを設定できるようになりました。

今回の更新で、Identity Management (IdM) ドメインメンバーに Samba サーバーを設定できるようになりました。同じ名前パッケージに含まれる新しい ipa-client-samba ユーティリティーは、Samba 固有の Kerberos サービスプリンシパルを IdM に追加し、IdM クライアントを準備します。たとえば、ユーティリティーは、sss ID マッピングバックエンドの ID マッピング設定で /etc/samba/smb.conf を作成します。その結果、管理者が IdM ドメインメンバーに Samba を設定できるようになりました。

IdM 信頼コントローラーが Global Catalog Service をサポートしないため、AD が登録した Windows ホストは Windows で IdM ユーザーおよびグループを見つけることができません。さらに、IdM 信頼コントローラーは、Distributed Computing Environment / Remote Procedure Calls (DCE/RPC) プロトコルを使用する IdM グループの解決をサポートしません。これにより、AD ユーザーは、IdM クライアントから Samba の共有およびプリンターにしかアクセスできません。

詳細は、IdM ドメインメンバーでの Samba の設定を参照してください。

(JIRA:RHELPLAN-13195)

NVMe/TCP ホストはテクノロジープレビューとして利用可能です

TCP/IP ネットワーク(NVMe/TCP)での NVMe(Nonvolatile Memory Express)ストレージおよび対応する nvme_tcp.ko カーネルモジュールへのアクセスおよび共有がテクノロジープレビューとして追加されました。ホストとしての NVMe/TCP の使用は、nvme-cli パッケージによって提供されるツールを使用して管理できます。NVMe/TCP ホストテクノロジープレビュー機能はテスト目的としてのみ同梱されており、現時点ではフルサポートの予定はありません。

NVMe/TCP ホストドライバー nvme_tcp.ko は、将来の RHEL 8 リリースで管理対象外のステータスに移行されます。NVMe/TCP を使用する場合は、RHEL 9.0 を使用してください。nvme_tcp.ko カーネルモジュールを備えた NVMe/TCP が完全にサポートされています。

(BZ#1696451)

8.6. 高可用性およびクラスター

Pacemaker の podman バンドルがテクノロジープレビューとして利用可能になりました。

Pacemaker コンテナーバンドルは、テクノロジープレビューとして利用できるコンテナーバンドル機能を使用して、Podman で動作するようになりました。この機能はテクノロジープレビューとして利用できますが、例外が 1 つあります。Red Hat は、Red Hat Openstack 用の Pacemaker バンドルの使用に完全対応します。

(BZ#1619620)

テクノロジープレビューとして利用可能な corosync-qdevice のヒューリスティック

ヒューリスティックは、起動、クラスターメンバーシップの変更、corosync-qnetd への正常な接続でローカルに実行され、任意で定期的に実行される一連のコマンドです。すべてのコマンドが時間どおりに正常に終了すると (返されるエラーコードがゼロである場合)、ヒューリスティックは渡されますが、それ以外の場合は失敗します。ヒューリスティックの結果は corosync-qnetd に送信され、クオーラムとなるべきパーティションを判断するための計算に使用されます。

(BZ#1784200)

新しい fence-agents-heuristics-ping フェンスエージェント

Pacemaker は、テクノロジープレビューとして fence_heuristics_ping エージェントを提供するようになりました。このエージェントの目的は、実際にはフェンシングを行わず、フェンシングレベルの動作を新しい方法で活用する実験的なフェンスエージェントのクラスを開くことです。

ヒューリスティックエージェントが、実際のフェンシングを行うフェンスエージェントと同じフェンシングレベルで設定されいて、そのエージェントよりも順番が前に設定されているとします。その場合、フェンシグを行うエージェントで off 操作を行う前に、ヒューリスティックエージェントで、この操作を行います。このヒューリスティックエージェントが off アクションに対して失敗する場合、このフェンシングレベルが成功しないのは既に明らかです。そのため、Pacemaker フェンシングは、フェンシングを行うエージェントで off 操作を行うステップをスキップします。ヒューリスティックエージェントはこの動作を利用して、特定の条件下で、実際のフェンシングを行うエージェントがフェンシングできないようにできます。

サービスを適切に引き継ぐことができないことを事前に把握できる場合は、ノードがピアをフェンシングする意味がないのであれば、ユーザーは特に 2 ノードクラスターでこのエージェントを使用できます。たとえば、ネットワークアップリンクに到達してサービスがクライアントに到達できない場合は、ノードがサービスを引き継ぐ意味はありません。これは、ルーターへの ping が検出できる状況が考えられます。

(BZ#1775847)

リソース移動後の場所の制約の自動削除がテクノロジープレビューとして利用可能

pcs resource move コマンドを実行すると、現在実行しているノードでリソースが実行されないように、制約がリソースに追加されます。pcs resource move コマンドの --autodelete オプションが、テクノロジープレビューとして利用可能になりました。このオプションを指定すると、リソースを移動すると、コマンドが作成する場所の制約が自動的に削除されます。

(BZ#1847102)

8.7. ID 管理

Identity Management JSON-RPC API がテクノロジープレビューとして利用可能になりました。

Identity Management (IdM) では API が利用できます。API を表示するために、IdM は、テクノロジープレビューとして API ブラウザーも提供します。

以前では、複数のバージョンの API コマンドを有効にするために、IdM API が拡張されました。これらの機能拡張により、互換性のない方法でコマンドの動作が変更することがありました。IdM API を変更しても、既存のツールおよびスクリプトを引き続き使用できるようになりました。これにより、以下が可能になります。

  • 管理者は、管理しているクライアント以外のサーバーで、IdM の以前のバージョンもしくは最近のバージョンを使用できます。
  • サーバーで IdM のバージョンを変更しても、開発者は特定バージョンの IdM コールを使用できます。

すべてのケースでサーバーとの通信が可能になります。たとえば、ある機能向けの新オプションが新しいバージョンに追加されていて、通信の一方の側でこれを使用していたとしても、特に問題はありません。

API の使用方法はIdentity Management API を使用して IdM サーバーに接続する (テクノロジープレビュー)を参照してください。

(BZ#1664719)

DNSSEC が IdM でテクノロジープレビューとして利用可能になりました。

統合 DNS のある Identity Management (IdM) サーバーは、DNS プロトコルのセキュリティーを強化する DNS に対する拡張セットである DNS Security Extensions (DNSSEC) を実装するようになりました。IdM サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。

DNSSEC で DNS ゾーンの安全性を強化する場合は、以下のドキュメントを参照することが推奨されます。

統合 DNS のある IdM サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 回答を検証することに注意してください。これが、推奨される命名方法に従って構成されていない DNS ゾーンの可用性に影響を与える可能性があります。

(BZ#1664718)

RHCS での ACME 実装がテクノロジープレビューとして利用可能に

Automated Certificate Management Environment (ACME) レスポンダーを介したサーバー証明書の発行は、Red Hat Certificate System (RHCS) で利用できます。ACME レスポンダーは ACME v2 プロトコル (RFC 8555) をサポートします。

以前は、ユーザーは認証局 (CA) の独自の証明書署名要求 (CSR) 送信ルーチンを使用する必要がありました。ルーチンでは、要求を手動で確認して証明書を発行するために、認証局 (CA) エージェントが必要になる場合がありました。

RHCS ACME レスポンダーは、CA エージェントを使用せずに、サーバー証明書の自動発行とライフサイクル管理のための標準メカニズムを提供するようになりました。この機能により、RHCS CA を既存の証明書発行インフラストラクチャーと統合して、デプロイメント用のパブリック CA と開発用の内部 CA をターゲットにすることができます。

このテクノロジープレビューには、ACME サーバー実装のみが含まれていることに注意してください。このリリースの一部として ACME クライアントは出荷されていません。さらに、この ACME プレビューは、発行データを保持したり、ユーザー登録を処理したりしません。

将来の RHEL アップデートにより、ACME のインストールが中断される可能性があることに注意してください。

詳細については、IETF definition of ACME および GitHub への Installing ACME Responder を参照してください。

(BZ#1628987)

8.8. デスクトップ

64 ビット ARM アーキテクチャーの GNOME がテクノロジープレビューとして利用できるようになりました。

GNOME デスクトップ環境がテクノロジープレビューとして、64 ビット ARM アーキテクチャーで利用可能になりました。これにより、管理者は VNC セッションを使用して、グラフィカルユーザーインターフェース (GUI) からサーバーをリモートで設定し、管理できます。

そのため、64 ビット ARM アーキテクチャーで新しい管理アプリケーションが利用できるようになりました。たとえば、Disk Usage Analyzer (baobab)、Firewall Configuration (firewall-config)、Red Hat Subscription Manager (subscription-manager)、または Firefox Web ブラウザーなどです。Firefox を使用すると、管理者はローカルの Cockpit デーモンにリモートで接続できます。

(JIRA:RHELPLAN-27394, BZ#1667225, BZ#1667516, BZ#1724302)

IBM Z の GNOME デスクトップがテクノロジープレビューとして利用可能に

Firefox Web ブラウザーを含む GNOME デスクトップが、IBM Z アーキテクチャーでテクノロジープレビューとして利用できるようになりました。VNC を使用して GNOME を実行するリモートグラフィカルセッションに接続し、IBM Z サーバーを設定および管理できるようになりました。

(JIRA:RHELPLAN-27737)

8.9. グラフィックインフラストラクチャー

64 ビット ARM アーキテクチャーで VNC リモートコンソールがテクノロジープレビューとして利用可能に

64 ビットの ARM アーキテクチャーでは、Virtual Network Computing (VNC) リモートコンソールがテクノロジープレビューとして利用できます。グラフィックススタックの残りの部分は、現在、64 ビット ARM アーキテクチャーでは検証されていません。

(BZ#1698565)

8.10. Web コンソール

Stratis が RHEL Web コンソールでテクノロジープレビューとして利用可能に

今回の更新で、Red Hat Enterprise Linux Web コンソールは、Stratis ストレージをテクノロジープレビューとして管理できるようになりました。

Stratis の詳細は、「Stratis とは 」を参照してください。

(JIRA:RHELPLAN-108438)

8.11. 仮想化

KVM 仮想マシンの AMD SEV および SEV-ES

テクノロジープレビューとして、RHEL 8 に、KVM ハイパーバイザーを使用する AMD EPYC ホストマシン用のセキュア暗号化仮想化 (SEV) 機能が同梱されます。仮想マシンで有効になっている場合は、SEV が仮想マシンのメモリーを暗号化して、ホストから仮想マシンへのアクセスを防ぎます。これにより、仮想マシンのセキュリティーが向上します。

さらに、強化された SEV (Encrypted State) バージョンの SEV (SEV-ES) もテクノロジープレビューとして提供されます。SEV-ES は、仮想マシンの実行が停止すると、すべての CPU レジスターの内容を暗号化します。これにより、ホストが仮想マシンの CPU レジスターを変更したり、そこから情報を読み取ったりできなくなります。

SEV および SEV-ES は、第 2 世代の AMD EPYC CPU (コードネーム Rome) 以降でのみ機能することに注意してください。また、RHEL 8 には SEV および SEV-ES の暗号化が含まれますが、SEV および SEV-ES のセキュリティー証明は含まれません。

(BZ#1501618, BZ#1501607, JIRA:RHELPLAN-7677)

Intel vGPU

テクノロジープレビューとして、物理 Intel GPU デバイスを、仲介デバイス と呼ばれる複数の仮想デバイスに分割できるようになりました。この仲介デバイスは、仮想 GPU として複数の仮想マシンに割り当てることができます。これにより、この仮想マシンが、1 つの物理 Intel GPU のパフォーマンスを共有します。

選択した Intel GPU のみが vGPU 機能と互換性があることに注意してください。

さらに、Intel vGPU が操作する VNC コンソールを有効にすることもできます。これを有効にすると、ユーザーは仮想マシンの VNC コンソールに接続し、Intel vGPU がホストする仮想マシンのデスクトップを確認できます。ただし、これは現在 RHEL ゲストオペレーティングシステムでのみ動作します。

(BZ#1528684)

入れ子仮想マシンの作成

入れ子 KVM 仮想化は、RHEL 8 で Intel、AMD64、IBM POWER および IBM Z システムホストで実行している KVM 仮想マシン用のテクノロジープレビューとして提供されます。この機能を使用すると、物理 RHEL 8 ホストで実行中の RHEL 7 または RHEL 8 仮想マシンがハイパーバイザーとして機能し、独自の仮想マシンをホストできます。

(JIRA:RHELPLAN-14047, JIRA:RHELPLAN-24437)

テクノロジープレビュー: 一部の Intel ネットワークアダプターが、Hyper-V の RHEL ゲストに SR-IOV を提供するようになりました

テクノロジープレビューとして、Hyper-V ハイパーバイザーで実行している Red Hat Enterprise Linux のゲストオペレーティングシステムは、ixgbevf および ixgbevf ドライバーがサポートする Intel ネットワークアダプターに、シングルルート I/O 仮想化 (SR-IOV) 機能を使用することができるようになりました。この機能は、以下の条件が満たされると有効になります。

  • ネットワークインターフェースコントローラー (NIC) に対して SR-IOV サポートが有効になっている
  • 仮想 NIC の SR-IOV サポートが有効になっている
  • 仮想スイッチの SR-IOV サポートが有効になっている
  • NIC からの VF (Virtual Function) が仮想マシンに割り当てられている

この機能は現在、Microsoft Windows Server 2016 以降で提供されています。

(BZ#1348508)

virtiofs を使用したホストと仮想マシン間でのファイルの共有

RHEL 8 では、テクノロジープレビューとして virtio ファイルシステム(virtiofs)が追加されました。virtiofs を使用すると、ホストシステムと仮想マシン(VM)との間で、ファイルを効率的に共有できます。

(BZ#1741615)

RHEL 8 Hyper-V 仮想マシンで KVM 仮想化が利用可能に

ネストされた KVM 仮想化は、テクノロジープレビューとして、Microsoft Hyper-V ハイパーバイザーで使用できるようになりました。これにより、Hyper-V ホストで実行している RHEL 8 ゲストシステムで仮想マシンを作成できます。

この機能は、現在 Intel およびAMDシステムでのみ有効です。また、ネストされた仮想化は、Hyper-V でデフォルトで有効になっていない場合があります。これを有効にするには、以下の Microsoft ドキュメントを参照してください。

https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/user-guide/nested-virtualization

(BZ#1519039)

8.12. コンテナー

Netavark ネットワークスタックは、テクノロジープレビューとして利用できます

Netavark は、テクノロジープレビューとして利用できるようになったコンテナー用のネットワークスタックです。

このネットワークスタックには、次の機能があります。

  • ブリッジおよび MACVLAN インターフェイスを含むネットワークインターフェイスの作成、管理、および削除
  • ネットワークアドレス変換 (NAT) やポートマッピングルールなどのファイアウォールの設定
  • IPv4 および IPv6
  • 複数ネットワークのコンテナー機能の向上

デフォルトのネットワークスタックは CNI です。CNI と Netavark のネットワークスタックを切り替える方法については、Switching network stack from CNI to Netavark および Switching network stack from Netavark to CNI を参照してください。

(JIRA:RHELPLAN-100039)

Toolbox がテクノロジープレビューとして利用可能になりました。

これまでのToolboxユーティリティーは、RHEL CoreOSのgithub.com/coreos/toolboxをベースにしていました。今回のリリースでは、Toolboxはgithub.com/containers/toolboxに置き換えられました。

(JIRA:RHELPLAN-77238)

第9章 非推奨になった機能

ここでは、Red Hat Enterprise Linux 8 で 非推奨 となった機能の概要を説明します。

非推奨の機能は、本製品の今後のメジャーリリースではサポートされない可能性が高く、新たに実装することは推奨されません。特定のメジャーリリースにおける非推奨機能の最新情報は、そのメジャーリリースの最新版のリリースノートを参照してください。

非推奨機能のサポートステータスは、Red Hat Enterprise Linux 8 では変更されません。サポート期間の詳細は、Red Hat Enterprise Linux Life Cycle および Red Hat Enterprise Linux Application Streams Life Cycle を参照してください。

現行および今後のメジャーリリースでは、非推奨のハードウェアコンポーネントの新規実装は推奨されません。ハードウェアドライバーの更新は、セキュリティーと重大な修正にのみ行われます。Red Hat は、このようなハードウェアの早期交換をお勧めします。

パッケージが非推奨となり、使用の継続が推奨されない場合があります。製品からパッケージが削除されることもあります。その場合には、製品のドキュメントで、非推奨となったパッケージと同様、同一、またはより高度な機能を提供する最近のパッケージが指定され、詳しい推奨事項が記載されます。

RHEL 7 で使用され、RHEL 8 で 削除された 機能の詳細はRHEL 8 の導入における検討事項を参照してください。

9.1. インストーラーおよびイメージの作成

複数のキックスタートコマンドおよびオプションが非推奨になりました。

RHEL 8 キックスタートファイルで以下のコマンドとオプションを使用すると、ログに警告が表示されます。

  • auth または authconfig
  • device
  • deviceprobe
  • dmraid
  • install
  • lilo
  • lilocheck
  • mouse
  • multipath
  • bootloader --upgrade
  • ignoredisk --interactive
  • partition --active
  • reboot --kexec

特定のオプションだけが一覧表示されている場合は、基本コマンドおよびその他のオプションは引き続き利用でき、非推奨ではありません。

キックスタートの詳細および変更点は、RHEL 8 の導入における検討事項キックスタートの変更を参照してください。

(BZ#1642765)

キックスタートコマンド ignoredisk--interactive オプションが非推奨になりました。

Red Hat Enterprise Linux の将来のリリースで --interactive オプション を使用すると、致命的なインストールエラーが発生します。このオプションを削除するには、キックスタートファイルを変更することが推奨されます。

(BZ#1637872)

キックスタートの autostep コマンドが非推奨に

autostep コマンドが非推奨になりました。このコマンドに関する関連セクションは、RHEL 8 ドキュメント から削除されました。

(BZ#1904251)

9.2. ソフトウェア管理

rpmbuild --sign が非推奨になりました。

rpmbuild --sign コマンドは、RHEL 8.1 以降非推奨になりました。Red Hat Enterprise Linux の今後のリリースでこのコマンドを実行すると、エラーが発生します。代わりに rpmsign コマンドを使用することが推奨されます。

(BZ#1688849)

9.3. シェルおよびコマンドラインツール

OpenEXR コンポーネントが非推奨になりました。

OpenEXR コンポーネントが非推奨になりました。そのため、EXR イメージ形式のサポートは imagecodecs モジュールから削除されました。

(BZ#1886310)

dump からの dump ユーティリティーが非推奨になりました。

ファイルシステムのバックアップに使用される dump ユーティリティーが非推奨になり、RHEL 9 では使用できなくなります。

RHEL 9 では、使用方法に基づいて、tardd、または bacula のバックアップユーティリティーを使用することが推奨されています。これにより、ext2、ext3、および ext4 のファイルシステムで完全で安全なバックアップが提供されます。

dump パッケージの restore ユーティリティーは、RHEL 9 で引き続き利用可能で、サポートされており、restore パッケージとして利用できます。

(BZ#1997366)

ABRT ツールは非推奨になりました

アプリケーションのクラッシュを検出して報告するための自動バグ報告ツール (ABRT) は、RHEL8 で非推奨になりました。代わりに、systemd-coredump ツールを使用して、プログラムのクラッシュ後に自動的に生成されるファイルであるコアダンプをログに記録して保存します。

(BZ#2055826)

ReaR crontab は非推奨になりました

rear パッケージの /etc/cron.d/rear は RHEL 8 で非推奨になり、RHEL 9 では使用できなくなります。crontab は、ディスクレイアウトが変更されたかどうかを毎晩チェックし、変更が発生した場合は rear mkrescue コマンドを実行します。

この機能が必要な場合は、RHEL 9 にアップグレードした後、ReaR の定期的な実行を手動で設定してください。

(BZ#2083301)

hidepid=n マウントオプションが、RHEL 8 systemd で未サポート

マウントオプションの hidepid=n は、/proc/[pid] ディレクトリーの情報にアクセスできるユーザーを制御しますが、RHEL 8 で提供されている systemd インフラストラクチャーと互換性がありません。

また、このオプションを使用すると、systemd が起動する特定のサービスで SELinux の AVC 拒否メッセージが生成され、その他の操作が完了しないようにする場合があります。

詳細は、関連 RHEL7 および RHEL8 では、/proc を「hidepid=2」でマウントすることが推奨されますか? を参照してください。

(BZ#2038929)

/usr/lib/udev/rename_device ユーティリティーは非推奨になる

ネットワークインターフェイスの名前を変更するための udev ヘルパーユーティリティー /usr/lib/udev/rename_device は非推奨になる

(BZ#1875485)

9.4. セキュリティー

NSS SEED 暗号が非推奨になりました。

Mozilla Network Security Services (NSS) ライブラリーでは、今後のリリースで SEED 暗号化を使用する TLS 暗号スイートのサポートがなくなります。NSS がサポートを削除した際に SEED 暗号に依存するデプロイメントを円滑に移行させるため、Red Hat は、他の暗号スイートのサポートを有効にすることを推奨します。

RHEL では、SEED 暗号はデフォルトですでに無効にされています。

(BZ#1817533)

TLS 1.0 および TLS 1.1 が非推奨になりました。

TLS 1.0 プロトコルおよび TLS 1.1 プロトコルは、システム全体の暗号化ポリシーレベル DEFAULT で無効になります。たとえば、Firefox Web ブラウザーのビデオ会議アプリケーションで、非推奨のプロトコルを使用する必要がある場合は、システム全体の暗号化ポリシーを LEGACY レベルに変更してください。

# update-crypto-policies --set LEGACY

詳細は、Red Hat カスタマーポータルのナレッジベースStrong crypto defaults in RHEL 8 and deprecation of weak crypto algorithmsおよび man ページの update-crypto-policies(8) を参照してください。

(BZ#1660839)

RHEL 8 で DSA が非推奨になりました。

デジタル署名アルゴリズム (DSA) は、Red Hat Enterprise Linux 8 では非推奨であると考えられています。DSA キーに依存する認証メカニズムはデフォルト設定では機能しません。OpenSSH クライアントは、LEGACY のシステム全体の暗号化ポリシーレベルでも DSA ホストキーを許可しません。

(BZ#1646541)

NSSSSL2 Client Hello が非推奨に

TLS (Transport Layer Security) プロトコルバージョン 1.2 以前は、SSL (Secure Sockets Layer) プロトコルバージョン 2 と後方互換性がある形式の Client Hello メッセージを使用してネゴシエーションを開始できます。NSS (Network Security Services) ライブラリーでのこの機能への対応は非推奨となっており、デフォルトで無効になっています。

この機能への対応が必要なアプリケーションを有効にするには、新しい API の SSL_ENABLE_V2_COMPATIBLE_HELLO を使用する必要があります。この機能への対応は、Red Hat Enterprise Linux 8 の将来のリリースから完全に削除される可能性があります。

(BZ#1645153)

TPM 1.2 が非推奨になりました。

Trusted Platform Module (TPM) のセキュアな暗号化プロセッサーの標準バージョンが 2016年に バージョン 2.0 に更新されました。TPM 2.0 は TPM 1.2 に対する多くの改良を提供しますが、以前のバージョンと後方互換性はありません。TPM 1.2 は RHEL 8 で非推奨となり、次のメジャーリリースで削除される可能性があります。

(BZ#1657927)

crypto-policies から派生したプロパティーが非推奨に

カスタムポリシーにおける crypto-policies ディレクティブのスコープの導入により、tls_cipherssh_cipherssh_groupike_protocol、および sha1_in_dnssec の派生プロパティーが非推奨になりました。さらに、スコープを指定しない protocol プロパティーの使用も非推奨になりました。推奨される代替は、crypto-policies(7) の man ページを参照してください。

(BZ#2011208)

/etc/selinux/config を使用して SELinux を無効にするランタイムが非推奨になりました。

/etc/selinux/config ファイルの SELINUX=disabled オプションを使用して SELinux を無効にするランタイムが非推奨になりました。RHEL 9 では、/etc/selinux/config でのみ SELinux を無効にすると、システムは SELinux が有効化されますが、ポリシーが読み込まれずに開始します。

SELinux を完全に無効にする必要がある場合には、Red Hat は、selinux=0 パラメーターをカーネルコマンドラインに追加して SELinux を無効にすることを推奨します。これは、SELinux の使用タイトルのシステムの起動時に SELinux モードの変更セクションで説明されています。

(BZ#1932222)

selinux-policy から ipa SELinux モジュールが削除されました。

ipa SELinux はメンテナンスされなくなったため、selinux-policy から削除されました。この機能は、ipa-selinux サブパッケージに含まれるようになりました。

ローカルの SELinux ポリシーで、ipa モジュールからタイプやインターフェースを使用する必要がある場合は、ipa-selinux をインストールします。

(BZ#1461914)

fapolicyd.rules が非推奨に

実行ルールの許可と拒否を含むファイルの/etc/fapolicyd/rules.d/ディレクトリーは、/etc/fapolicyd/fapolicyd.rulesファイルを置き換えます。fagenrulesスクリプトは、このディレクトリー内のすべてのコンポーネントルールファイルを/etc/fapolicyd/compiled.rulesファイルにマージするようになりました。/etc/fapolicyd/fapolicyd.trust のルールは引き続き fapolicyd フレームワークによって処理されますが、下位互換性を確保するためにのみ使用されます。

(BZ#2054741)

9.5. ネットワーキング

RHEL 8 でネットワークスクリプトが非推奨に

Red Hat Enterprise Linux 8 では、ネットワークスクリプトが非推奨になっており、デフォルトでは提供されなくなりました。基本的なインストールでは、nmcli ツール経由で、NetworkManager サービスを呼び出す ifup スクリプトおよび ifdown スクリプトの新しいバージョンが提供されます。Red Hat Enterprise Linux 8 で ifup スクリプトおよび ifdown スクリプトを実行する場合は、NetworkManager を実行する必要があります。

/sbin/ifup-localifdown-pre-local、および ifdown-local の各スクリプトでは、カスタムコマンドが実行されません。

このスクリプトが必要な場合は、次のコマンドを使用すれば、システムに非推奨のネットワークスクリプトをインストールできます。

~]# yum install network-scripts

ifup スクリプトと ifdown スクリプトが、インストールされている従来のネットワークスクリプトにリンクされます。

従来のネットワークスクリプトを呼び出すと、そのスクリプトが非推奨であることを示す警告が表示されます。

(BZ#1647725)

dropwatch ツールが非推奨に

dropwatch ツールが非推奨になりました。このツールは今後のリリースではサポートされませんので、新規デプロイメントにはお勧めできません。このパッケージの代わりに、Red Hat は perf コマンドラインツールを使用することを推奨します。

perf コマンドラインツールの使用方法の詳細は、Red Hat カスタマーポータルのGetting started with Perfセクションまたは perf の man ページを参照してください。

(BZ#1929173)

cgdcbxd パッケージが非推奨に

コントロールグループデータセンターブリッジング交換デーモン(cgdcbxd)は、データセンターのブリッジ(DCB)のネットリンクイベントをモニターし net_prio control グループサブシステムを管理するサービスです。RHEL 8.5 以降では、cgdcbxd パッケージは非推奨となり、次の RHEL メジャーリリースで削除されます。

(BZ#2006665)

xinetd が非推奨に

xinetd サービスが非推奨になり、RHEL 9 では削除される予定です。代わりに systemd を使用します。詳細は、xinetd サービスを systemd に変換する方法 を参照してください。

(BZ#2009113)

WEP Wi-Fi 接続方法が非推奨になりました。

安全でない WEP (wired equivalent privacy) の Wi-Fi 接続方法は、RHEL 8.6 では非推奨となり、RHEL 9.0 では削除されます。安全な Wi-Fi 接続には、Wi-Fi Protected Access 3 (WPA3) または WPA2 の接続方法を使用します。

(BZ#2029338)

サポートされていない xt_u32 モジュールが非推奨になりました。

サポートされていない xt_u32 を使用すると、iptable のユーザーはパケットヘッダーまたはペイロード内の任意の 32 ビットにマッチできます。RHEL 8.6 では、xt_u32 モジュールが非推奨になり、RHEL 9 では削除されます。

xt_u32 を使用する場合は、nftable パケットフィルタリングフレームワークに移行します。たとえば、最初にファイアウォールを、個々のルールを段階的に置き換えるために、ネイティブ一致で iptable を使用するように変更し、その後に iptables-translate と付属のユーティリティーを使用して nftable に移行します。nftable にネイティブマッチが存在しない場合は、nftable の raw ペイロードマッチング機能を使用します。詳細は、nft(8) man ページの raw ペイロード表現 セクションを参照してください。

(BZ#2061288)

9.6. カーネル

カーネルライブパッチが、すべての RHEL マイナーリリースに対応するようになりました。

RHEL 8.1 以降、カーネルライブパッチは、影響度が重大および重要な Common Vulnerabilities and Exposures (CVE) を修正するために、Extended Update Support (EUS) ポリシーの対象となる RHEL の一部のマイナーリリースストリームに提供されています。同時にカバーされるカーネルとユースケースの最大数に対応するため、各ライブパッチのサポート期間は、カーネルのマイナー、メジャー、および zStream の各バージョンで 12 カ月から 6 カ月に減少します。これは、カーネルライブパッチがリリースされると、過去 6 カ月間に配信されたすべてのマイナーリリースとスケジュール済みのエラータカーネルが含まれます。たとえば、8.4.x には 1 年間のサポートウィンドウがありますが、8.4.x+1 には 6 か月があります。

この機能の詳細は、Applying patches with kernel live patchingを参照してください。

利用可能なカーネルライブパッチの詳細は、Kernel Live Patch life cyclesを参照してください。

(BZ#1958250)

ディスクレスブートを使用した RHEL for Real Time 8 のインストールが非推奨になりました。

ディスクレスブートにより、複数のシステムがネットワーク経由で root ファイルシステムを共有できます。メリットはありますが、ディスクレスブートでは、リアルタイムのワークロードでネットワークレイテンシーが発生する可能性が高くなります。RHEL for Real Time 8 の将来のマイナー更新では、ディスクレスブート機能はサポートされなくなります。

(BZ#1748980)

Linux firewire サブシステムおよび関連するユーザー空間コンポーネントは、RHEL 8 では非推奨になりました。

firewire サブシステムは、IEEE 1394 バスでリソースを使用し、維持するインターフェースを提供します。RHEL 9 では、firewire は、kernel パッケージで対応しなくなります。firewire には、libavc1394libdc1394libraw1394 パッケージで提供されるユーザー空間コンポーネントが複数含まれることに注意してください。これらのパッケージも非推奨になります。

(BZ#1871863)

rdma_rxe Soft-RoCE ドライバーが非推奨に

Remote Software Direct Memory Access over Converged Ethernet (Soft-RoCE) は RXE としても知られており、RDMA (Remote Direct Memory Access) をエミュレートする機能です。RHEL 8 では、Soft-RoCE 機能が、サポートされていないテクノロジープレビューとして利用できます。ただし、安定性の問題により、この機能は非推奨になり、RHEL 9 では削除されます。

(BZ#1878207)

9.7. ブートローダー

kernelopts 環境変数は非推奨になる

RHEL 8 では、GRUB2 ブートローダーを使用するシステムのカーネルコマンドラインパラメーターが kernelopts 環境変数で定義されていました。変数は、カーネルブートエントリーごとに /boot/grub2/grubenv ファイルに保存されました。ただし、kernelopts を使用してカーネルコマンドラインパラメーターを保存することは堅牢ではありませんでした。したがって、RHEL の将来のメジャー更新では kernelopts が削除され、代わりにカーネルコマンドラインパラメーターが Boot Loader Specification (BLS) スニペットに格納されます。

(BZ#2060759)

9.8. ファイルシステムおよびストレージ

async 以外の VDO 書き込みモードが非推奨に

VDO は、RHEL 8 で複数の書き込みモードに対応します。

  • sync
  • async
  • async-unsafe
  • auto

RHEL 8.4 以降、以下の書き込みモードが非推奨になりました。

sync
VDO レイヤー上のデバイスは、VDO が同期されているかどうかを認識できないため、デバイスは VDO sync モードを利用できません。
async-unsafe
VDO は、ACID (Atomicity, Consistency, Isolation, and Durability) に準拠する async モードの回避策としてこの書き込みモードを追加しました。Red Hat は、ほとんどのユースケースで async-unsafe を推奨せず、それに依存するユーザーを認識しません。
auto
この書き込みモードは、他の書き込みモードのいずれかのみを選択します。VDO が 1 つの書き込みモードのみに対応している場合は、不要になりました。

この書き込みモードは、今後の RHEL メジャーリリースで削除されます。

推奨される VDO 書き込みモードが async になりました。

VDO 書き込みモードの詳細は、VDO 書き込みモードの選択を参照してください。

(JIRA:RHELPLAN-70700)

NFSv3 over UDP が無効になりました。

NFS サーバーは、デフォルトで UDP (User Datagram Protocol) ソケットを開いたり、リッスンしなくなりました。バージョン 4 では TCP (Transmission Control Protocol) が必要なため、この変更は NFS バージョン 3 にのみ影響を及ぼします。

RHEL 8 では、NFS over UDP に対応しなくなりました。

(BZ#1592011)

cramfs が非推奨になりました。

ユーザーの不足により、cramfs カーネルモジュールが非推奨になりました。代替策として squashfs が推奨されます。

(BZ#1794513)

VDO マネージャーが非推奨に

python ベースの VDO 管理ソフトウェアは非推奨となり、RHEL 9 から削除される予定です。RHEL 9 では、LVM-VDO 統合に置き換えられます。そのため、lvcreate コマンドを使用して VDO ボリュームを作成することが推奨されます。

VDO 管理ソフトウェアを使用して作成した既存のボリュームは、lvm2 パッケージが提供する /usr/sbin/lvm_import_vdo スクリプトを使用して変換できます。LVM-VDO 実装の詳細については、RHEL で論理ボリュームの重複排除と圧縮 を参照してください。

(BZ#1949163)

elevator カーネルコマンドラインパラメーターが非推奨になりました。

カーネルコマンドラインパラメーターの elevator は、すべてのデバイスのディスクスケジューラーを設定するために、以前の RHEL リリースで使用されていました。RHEL 8 では、このパラメーターが非推奨になりました。

アップストリームの Linux カーネルでは、elevator パラメーターに対応しなくなりましたが、互換性のために RHEL 8 でも引き続き利用できます。

カーネルは、デバイスのタイプに基づいてデフォルトのディスクスケジューラーを選択することに注意してください。これは通常、最適な設定です。別のスケジューラーが必要な場合は、udev ルールまたは TuneD サービスを使用して設定することが推奨されます。選択したデバイスを一致させ、それらのデバイスのスケジューラーのみを切り替えます。

詳しい情報は、ディスクスケジューラーの設定を参照してください。

(BZ#1665295)

LVM mirror が非推奨化されました。

LVM mirror セグメントタイプが非推奨になりました。mirror のサポートは、RHEL の今後のメジャーリリースで削除されます。

Red Hat は、セグメントタイプが mirror ではなく、raid1 の LVM RAID 1 デバイスを使用することを推奨します。raid1 のセグメントタイプは、デフォルトの RAID 設定タイプで、mirror の代わりに、推奨のソリューションとしてこのタイプが使用されます。

mirror デバイスを raid1 に変換するには、ミラーリングされた LVM デバイスの RAID1 デバイスへの変換を参照してください。

LVM mirror には既知の問題が複数あります。詳細は、ファイルシステムおよびストレージの既知の問題 を参照してください。

(BZ#1827628)

peripety が非推奨に

peripety パッケージは、RHEL 8.3 以降で非推奨になりました。

Peripety ストレージイベント通知デーモンは、システムストレージログを構造化されたストレージイベントに解析します。ストレージの問題を調査するのに役立ちます。

(BZ#1871953)

9.9. 高可用性およびクラスター

clufter ツールに対応する pcs コマンドが非推奨になりました。

クラスター設定フォーマットを分析する clufter ツールに対応する pcs コマンドが非推奨になりました。これらのコマンドにより、コマンドが非推奨になり、コマンドに関連するセクションが pcs ヘルプ表示と、pcs(8) man ページから削除されていることを示す警告が出力されるようになりました。

以下のコマンドが非推奨になりました。

  • pcs config import-cman: CMAN / RHEL6 HA クラスター設定のインポート
  • pcs config export: クラスター設定を、同じクラスターを再作成するpcs コマンドの一覧にエクスポート

(BZ#1851335)

9.10. コンパイラーおよび開発ツール

libdwarf が非推奨に

RHEL 8 では、libdwarf ライブラリーが非推奨になりました。ライブラリーは、将来のメジャーリリースでサポートされない可能性があります。代わりに、ELF/DWARF ファイルを処理するアプリケーションに elfutils および libdw ライブラリーを使用してください。

libdwarf-tools dwarfdump プログラムの代替は、binutils readelf プログラムまたは elfutils eu-readelf プログラムになります。どちらも --debug-dump フラグを渡すことで使用されます。

(BZ#1920624)

gdb.i686 パッケージが非推奨に

RHEL 8.1 では、別のパッケージの依存関係の問題が原因で、32 ビットバージョンの GNU Debugger(GDB) gdb.i686 が同梱されていました。RHEL 8 は 32 ビットハードウェアに対応していないため、RHEL 8.4 以降、gdb.i686 パッケージは非推奨になりました。64 ビットバージョンの GDB (gdb.x86_64) は、32 ビットアプリケーションをデバッグできます。

gdb.i686 を使用する場合は、以下の重要な問題に注意してください。

  • gdb.i686 パッケージは更新されなくなりました。代わりに gdb.x86_64 をインストールする必要があります。
  • gdb.i686 をインストールしている場合は、gdb.x86_64 をインストールすると、dnfpackage gdb-8.2-14.el8.x86_64 obsoletes gdb < 8.2-14.el8 provided by gdb-8.2-12.el8.i686 を報告します。これは想定される状況です。gdb.i686 をアンインストールするか、--allowerasing オプションを dnf に渡して gdb.i686 を削除し、gdb.x8_64 をインストールします。
  • ユーザーは、64 ビットシステム (つまり、libc.so.6()(64-bit) パッケージのある) に gdb.i686 パッケージをインストールすることができなくなります。

(BZ#1853140)

9.11. ID 管理

openssh-ldap が非推奨に

openssh-ldap サブパッケージは、Red Hat Enterprise Linux 8 で非推奨になり、RHEL 9 で削除されます。openssh-ldap サブパッケージはアップストリームでは維持されないため、Red Hat は SSSD と sss_ssh_authorizedkeys ヘルパーを使用することを推奨しています。これは、他の IdM ソリューションよりも適切に統合でき、安全です。

デフォルトでは、ldap および ipa プロバイダーはユーザーオブジェクトの sshPublicKey LDAP 属性を読み取ります (利用可能な場合)。AD (Active Directory) には公開鍵を保存するためのデフォルトの LDAP 属性がないため、ad プロバイダーまたは IdM の信頼されるドメインのデフォルト SSSD 設定を使用して AD から SSH 公開鍵を取得することはできません。

sss_ssh_authorizedkeys ヘルパーが SSSD から鍵を取得できるようにするには、sssd.conf ファイルの services オプションに ssh を追加して ssh レスポンダーを有効にします。詳細は man ページの sssd.conf(5) を参照してください。

sshdsss_ssh_authorizedkeys を使用できるようにするには、man ページの sss_ssh_authorizedkeys(1) に記載されているように、AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys および AuthorizedKeysCommandUser nobody オプションを /etc/ssh/sshd_config ファイルに追加します。

(BZ#1871025)

DES および 3DES 暗号化タイプが削除されました。

RHEL 7 以降、セキュリティー上の理由から、データ暗号化標準 (DES) アルゴリズムが非推奨になり、デフォルトで無効化になりました。Kerberos パッケージの最近のリベースで、RHEL 8 からシングル DES (DES) およびトリプル DES (3DES) の暗号化タイプが削除されました。

DES または 3DES の暗号化のみを使用するようにサービスまたはユーザーが設定されている場合、以下のようなサービスの中断が発生する可能性があります。

  • Kerberos 認証エラー
  • unknown enctype 暗号化エラー
  • DES で暗号化されたデータベースマスターキー (K/M) を使用した KDC (Kerberos Distribution Center) が起動しない

アップグレードを準備するには、以下の操作を実施します。

  1. KDC が krb5check オープンソース Python スクリプトで DES または 3DES 暗号化を使用しているかどうかを確認します。GitHub の krb5check を参照してください。
  2. Kerberos プリンシパルで DES または 3DES 暗号化を使用している場合は、Advanced Encryption Standard (AES) などのサポート対象の暗号化タイプでキーを変更します。キー変更の手順については、MIT Kerberos ドキュメントのRetiring DESを参照してください。
  3. アップグレードの前に以下の Kerberos オプションを一時的に設定して、DES および 3DES からの独立性をテストします。

    1. KDC の /var/kerberos/krb5kdc/kdc.conf で、supported_enctypes を設定し、des または des3 は含まれません。
    2. すべてのホストについて、/etc/krb5.conf および /etc/krb5.conf.d のすべてのファイルで、allow_weak_cryptofalse に設定します。デフォルトは false です。
    3. すべてのホストについて、/etc/krb5.conf および /etc/krb5.conf.d のすべてのファイルで、permitted_enctypesdefault_tgs_enctypesdefault_tkt_enctypes を設定します。また、des または des3 は含めません。
  4. 前の手順で Kerberos 設定をテストしてサービスが中断されない場合は、サービスを削除してアップグレードします。最新の Kerberos パッケージにアップグレードした後は、この設定は必要ありません。

(BZ#1877991)

ctdb サービスのスタンドアロン使用が非推奨になりました。

RHEL 8.4 以降、以下の条件がすべて適用されている場合に限り、ctdb クラスター Samba サービスを使用することが推奨されます。

  • ctdb サービスは、resource-agent ctdb を使用して pacemaker リソースとして管理されます。
  • ctdb サービスは、Red Hat Gluster Storage 製品または GFS2 ファイルシステムが提供する GlusterFS ファイルシステムのいずれかが含まれるストレージボリュームを使用します。

ctdb サービスのスタンドアロンユースケースは非推奨となり、Red Hat Enterprise Linux の次期メジャーリリースには含まれません。Samba のサポートポリシーの詳細は、ナレッジベースの記事Support Policies for RHEL Resilient Storage - ctdb General Policiesを参照してください。

(BZ#1916296)

Samba を PDC または BDC として実行することは非推奨になりました。

管理者が Samba を NT4 のようなプライマリードメインコントローラー (PDC) として実行し、バックアップドメインコントローラー (BDC) を実行できるようにする従来のドメインコントローラーモードが非推奨になりました。これらのモードを設定するためのコードおよび設定は、今後の Samba リリースで削除されます。

RHEL 8 の Samba バージョンが PDC モードおよび BDC モードを提供している限り、Red Hat は、NT4 ドメインに対応する Windows バージョンを使用する既存のインストールでのみ、これらのモードをサポートします。Red Hat は、新規の Samba NT4 ドメインのセットアップを推奨しません。なぜなら、Microsoft のオペレーティングシステム (Windows 7 以降) および Windows Server 2008 R2 は、NT4 ドメインをサポートしないからです。

PDC を使用して Linux ユーザーのみを認証する場合、Red Hat は、RHEL サブスクリプションに含まれる Red Hat Identity Management (IdM) への移行を推奨します。ただし、Windows システムを IdM ドメインに参加させることはできません。Red Hat は、引き続き IdM が使用する PDC 機能のサポートを継続することに注意してください。

Red Hat は、Samba を AD ドメインコントローラー (DC) として実行することはサポートしていません。

(BZ#1926114)

WinSyncによるIdMとの間接的なAD統合が非推奨に

WinSyncは、さまざまな機能制限のため、RHEL 8では積極的に開発されなくなりました。

  • WinSync は、1 つの Active Directory (AD)ドメインのみをサポートします。
  • パスワードの同期には、ADドメインコントローラに追加のソフトウェアをインストールする必要があります。

リソースとセキュリティの分離を強化したより強固なソリューションとして、レッドハットはActive Directoryとの間接的な統合にフォレスト間の信頼を使用することを推奨しています。Indirect integration のドキュメントを参照してください。

(JIRA:RHELPLAN-100400)

SSSD バージョンの libwbclient が削除される

libwbclient パッケージの SSSD 実装は、RHEL 8.4 で非推奨になりました。最新バージョンの Samba で使用できないため、 libwbclient の SSSD 実装 が削除されています。

(BZ#1947671)

9.12. デスクトップ

libgnome-keyring ライブラリーが非推奨になりました。

libgnome-keyring ライブラリーがアップストリームで維持されず、RHEL に必要な暗号化ポリシーに従っていないため、libsecret ライブラリーが libgnome-keyring ライブラリーを引き継ぎ、libgnome-keyring は非推奨となりました。新しい libsecret ライブラリーは、必要なセキュリティー標準に準拠する代替ライブラリーです。

(BZ#1607766)

9.13. グラフィックインフラストラクチャー

AGP グラフィックカードがサポートされなくなりました。

AGP (Accelerated Graphics Port) バスを使用するグラフィックカードは、Red Hat Enterprise Linux 8 ではサポートされていません。推奨される代替として、PCI-Express バスを備えたグラフィックスカードを使用してください。

(BZ#1569610)

Motif は非推奨になりました

アップストリームの Motif コミュニティーでの開発は非アクティブであるため、Motif ウィジェットツールキットは RHEL で非推奨になりました。

開発バリアントおよびデバッグバリアントを含む、以下の Motif パッケージが非推奨になりました。

  • motif
  • openmotif
  • openmotif21
  • openmotif22

さらに、motif-static パッケージが削除されました。

Red Hat は、GTK ツールキットを代替として使用することを推奨します。GTK は Motif と比較してメンテナンス性が高く、新機能を提供します。

(JIRA:RHELPLAN-98983)

9.14. Web コンソール

Web コンソールは、不完全な翻訳への対応を終了しました。

RHEL Web コンソールは、コンソールの翻訳可能な文字列の翻訳率が 50 % 未満の言語に対する翻訳提供を廃止しました。ブラウザーがこのような言語に翻訳を要求すると、ユーザーインターフェースは英語になります。

(BZ#1666722)

9.15. Red Hat Enterprise Linux システムロール

RHEL 9 ノードでチームを設定すると、networking システムロールが非推奨の警告を表示します。

ネットワークチーミング機能は、RHEL 9 では非推奨になりました。その結果、RHEL 8 コントローラーの networking RHEL システムロールを使用して RHEL 9 ノードにネットワークチームを設定すると、非推奨に関する警告が表示されます。

(BZ#2021685)

Ansible Engine は非推奨になりました

以前のバージョンの RHEL8 は、サポートの範囲が限定された Ansible Engine リポジトリーへのアクセスを提供し、RHEL System Roles や Insights 救済策などのサポートされた RHEL Automation ユースケースを有効にしました。Ansible Engine は非推奨になり、Ansible Engine 2.9 は 2023 年 9 月 29 日以降サポートされなくなります。サポートされているユースケースの詳細については、RHEL 9 AppStream に含まれている Ansible Core パッケージのサポート範囲 を参照してください。

ユーザーは、システムを Ansible Engine から Ansible Core に手動で移行する必要があります。そのためには、以下の手順に従います。

手順

  1. システムが RHEL 8.6 を実行しているかどうかを確認します。

    # cat /etc/redhat-release
  2. Ansible Engine 2.9 をインストールします。

    # yum remove ansible
  3. ansible-2-for-rhel-8-x86_64-rpms リポジトリーを無効にします。

    # subscription-manager repos --disable
    ansible-2-for-rhel-8-x86_64-rpms
  4. RHEL 8 AppStream リポジトリーから Ansible Core パッケージをインストールします。

    # yum install ansible-core

詳細については、RHEL8.6 以降での Ansible の使用を参照してください。

(BZ#2006081)

geoipupdate パッケージが非推奨に

geoipupdate パッケージにはサードパーティーのサブスクリプションが必要で、プロプライエタリーコンテンツもダウンロードします。したがって、geoipupdate パッケージは非推奨となり、次の RHEL メジャーバージョンで削除されます。

(BZ#1874892)

9.16. 仮想化

virsh iface-* コマンドが非推奨になりました。

virsh iface-startvirsh iface-destroy などの virsh iface-* コマンドは非推奨になり、将来のメジャーバージョンの RHEL では削除される予定です。また、このようなコマンドは設定の依存関係により頻繁に失敗します。

したがって、ホストネットワーク接続の設定および管理には virsh iface-* コマンドを使用しないことが推奨されます。代わりに、NetworkManager プログラムと、関連する管理アプリケーション (nmcli など) を使用します。

(BZ#1664592)

virt-manager が非推奨になりました。

Virtual Machine Manager アプリケーション (virt-manager) は非推奨になっています。RHEL Web コンソール (Cockpit) は、後続のリリースで置き換えられる予定です。したがって、GUI で仮想化を管理する場合は、Web コンソールを使用することが推奨されます。ただし、virt-manager で利用可能な機能によっては、RHEL Web コンソールで利用できない場合があります。

(JIRA:RHELPLAN-10304)

仮想マシンスナップショットのサポートが限定されました

仮想マシンのスナップショットの作成は、現在、UEFI ファームウェアを使用していない仮想マシンでのみサポートされています。さらに、スナップショット操作中に QEMU モニターがブロックされる可能性があり、これは特定のワークロードのハイパーバイザーのパフォーマンスに悪影響を及ぼします。

また、現在の仮想マシンスナップショットの作成メカニズムは非推奨となり、Red Hat は実稼働環境での仮想マシンスナップショットの使用を推奨していないことにも注意してください。

(BZ#1686057)

Cirrus VGA 仮想 GPU タイプが非推奨に

Red Hat Enterprise Linux の将来のメジャーアップデートでは、KVM 仮想マシンで Cirrus VGA GPU デバイスに対応しなくなります。したがって、Red Hat は、Cirrus VGA の代わりに stdvga デバイス、virtio-vga デバイス、または qxl デバイスを使用することを推奨します。

(BZ#1651994)

IBM POWER 上の KVM が非推奨に

IBM POWER ハードウェアでの KVM 仮想化の使用は非推奨になりました。その結果、IBM POWER の KVM は、RHEL 8 でも引き続きサポートされますが、RHEL の今後のメジャーリリースではサポートされなくなります。

(JIRA:RHELPLAN-71200)

SHA1 ベースの署名を使用した SecureBoot イメージ検証が非推奨に

UEFI (PE/COFF) 実行ファイルでの SHA1 ベースの署名を使用した SecureBoot イメージ検証の実行は非推奨になりました。代わりに、Red Hat は、SHA2 アルゴリズムまたはそれ以降に基づく署名を使用することを推奨します。

(BZ#1935497)

SPICE を使用したスマートカードリーダーの仮想マシンへの接続が非推奨となりました

RHEL 8 では、SPICE リモートディスプレイプロトコルが非推奨になりました。スマートカードリーダーを仮想マシンに割り当てる唯一の推奨される方法は、SPICE プロトコルに依存するため、仮想マシンでのスマートカードの使用も RHEL 8 で非推奨になりました。

RHEL の将来のメジャーバージョンでは、スマートカードリーダーを仮想マシンに割り当てる機能は、サードパーティーのリモート可視化ソリューションでのみサポートされる予定です。

(BZ#2059626)

SPICE が非推奨になりました

SPICE リモートディスプレイプロトコルが非推奨になりました。RHEL 8 では SPICE が引き続きサポートされていますが、Red Hat はリモートディスプレイストリーミングに代替ソリューションを使用することを推奨しています。

  • リモートコンソールへのアクセスには、VNC プロトコルを使用します。
  • 高度なリモートディスプレイ機能には、RDP、HP RGS、または Mechdyne TGX などのサードパーティーツールを使用します。

(BZ#1849563)

9.17. コンテナー

Podman varlink ベースの API v1.0 が削除されました

Podman varlink ベースの API v1.0 は、以前のリリースの RHEL 8 で非推奨となりました。Podman v2.0 には、新しい Podman v2.0 RESTful API が導入されました。Podman v3.0 のリリースでは、varlink ベースの API v1.0 が完全に削除されました。

(JIRA:RHELPLAN-45858)

container-tools:1.0 が非推奨に

container-tools:1.0 モジュールは非推奨となり、セキュリティー更新を受信しなくなります。container-tools:2.0container-tools:3.0 などの新しいサポートされる安定したモジュールストリームを使用することが推奨されます。

(JIRA:RHELPLAN-59825)

container-tools:2.0 モジュールは非推奨になりました

container-tools:2.0 モジュールは非推奨となり、セキュリティー更新を受信しなくなります。container-tools:3.0 など、サポートされている新しい安定したモジュールストリームの使用をお勧めします。

(JIRA:RHELPLAN-85066)

9.18. 非推奨のパッケージ

このセクションでは、非推奨となり、将来バージョンの Red Hat Enterprise Linux には含まれない可能性があるパッケージの一覧を示します。

RHEL 7 と RHEL 8 との間でパッケージを変更する場合は、RHEL 8 の導入における考慮事項 ドキュメントの パッケージの変更 を参照してください。

以下のパッケージは非推奨となり、RHEL 8 のライフサイクルが終了するまでサポートされ続けます。

  • 389-ds-base-legacy-tools
  • abrt
  • abrt-addon-ccpp
  • abrt-addon-kerneloops
  • abrt-addon-pstoreoops
  • abrt-addon-vmcore
  • abrt-addon-xorg
  • abrt-cli
  • abrt-console-notification
  • abrt-dbus
  • abrt-desktop
  • abrt-gui
  • abrt-gui-libs
  • abrt-libs
  • abrt-tui
  • adobe-source-sans-pro-fonts
  • adwaita-qt
  • alsa-plugins-pulseaudio
  • amanda
  • amanda-client
  • amanda-libs
  • amanda-server
  • ant-contrib
  • antlr3
  • antlr32
  • aopalliance
  • apache-commons-collections
  • apache-commons-compress
  • apache-commons-exec
  • apache-commons-jxpath
  • apache-commons-parent
  • apache-ivy
  • apache-parent
  • apache-resource-bundles
  • apache-sshd
  • apiguardian
  • aspnetcore-runtime-3.0
  • aspnetcore-runtime-3.1
  • aspnetcore-runtime-5.0
  • aspnetcore-targeting-pack-3.0
  • aspnetcore-targeting-pack-3.1
  • aspnetcore-targeting-pack-5.0
  • assertj-core
  • authd
  • auto
  • autoconf213
  • autogen
  • autogen-libopts
  • awscli
  • base64coder
  • batik
  • bea-stax
  • bea-stax-api
  • bind-export-devel
  • bind-export-libs
  • bind-libs-lite
  • bind-pkcs11
  • bind-pkcs11-devel
  • bind-pkcs11-libs
  • bind-pkcs11-utils
  • bind-sdb
  • bind-sdb
  • bind-sdb-chroot
  • bluez-hid2hci
  • boost-jam
  • boost-signals
  • bouncycastle
  • bpg-algeti-fonts
  • bpg-chveulebrivi-fonts
  • bpg-classic-fonts
  • bpg-courier-fonts
  • bpg-courier-s-fonts
  • bpg-dedaena-block-fonts
  • bpg-dejavu-sans-fonts
  • bpg-elite-fonts
  • bpg-excelsior-caps-fonts
  • bpg-excelsior-condenced-fonts
  • bpg-excelsior-fonts
  • bpg-fonts-common
  • bpg-glaho-fonts
  • bpg-gorda-fonts
  • bpg-ingiri-fonts
  • bpg-irubaqidze-fonts
  • bpg-mikhail-stephan-fonts
  • bpg-mrgvlovani-caps-fonts
  • bpg-mrgvlovani-fonts
  • bpg-nateli-caps-fonts
  • bpg-nateli-condenced-fonts
  • bpg-nateli-fonts
  • bpg-nino-medium-cond-fonts
  • bpg-nino-medium-fonts
  • bpg-sans-fonts
  • bpg-sans-medium-fonts
  • bpg-sans-modern-fonts
  • bpg-sans-regular-fonts
  • bpg-serif-fonts
  • bpg-serif-modern-fonts
  • bpg-ucnobi-fonts
  • brlapi-java
  • bsh
  • buildnumber-maven-plugin
  • byaccj
  • cal10n
  • cbi-plugins
  • cdparanoia
  • cdparanoia-devel
  • cdparanoia-libs
  • cdrdao
  • cmirror
  • codehaus-parent
  • codemodel
  • compat-exiv2-026
  • compat-guile18
  • compat-hwloc1
  • compat-libpthread-nonshared
  • compat-libtiff3
  • compat-openssl10
  • compat-sap-c++-11
  • compat-sap-c++-10
  • compat-sap-c++-9
  • createrepo_c-devel
  • ctags
  • ctags-etags
  • custodia
  • cyrus-imapd-vzic
  • dbus-c++
  • dbus-c++-devel
  • dbus-c++-glib
  • dbxtool
  • dhcp-libs
  • dirsplit
  • dleyna-connector-dbus
  • dleyna-core
  • dleyna-renderer
  • dleyna-server
  • dnssec-trigger
  • dnssec-trigger-panel
  • dotnet-apphost-pack-3.0
  • dotnet-apphost-pack-3.1
  • dotnet-apphost-pack-5.0
  • dotnet-host-fxr-2.1
  • dotnet-host-fxr-2.1
  • dotnet-hostfxr-3.0
  • dotnet-hostfxr-3.1
  • dotnet-hostfxr-5.0
  • dotnet-runtime-2.1
  • dotnet-runtime-3.0
  • dotnet-runtime-3.1
  • dotnet-runtime-5.0
  • dotnet-sdk-2.1
  • dotnet-sdk-2.1.5xx
  • dotnet-sdk-3.0
  • dotnet-sdk-3.1
  • dotnet-sdk-5.0
  • dotnet-targeting-pack-3.0
  • dotnet-targeting-pack-3.1
  • dotnet-targeting-pack-5.0
  • dotnet-templates-3.0
  • dotnet-templates-3.1
  • dotnet-templates-5.0
  • dotnet5.0-build-reference-packages
  • dptfxtract
  • drpm
  • drpm-devel
  • dump
  • dvd+rw-tools
  • dyninst-static
  • eclipse-ecf
  • eclipse-emf
  • eclipse-license
  • ed25519-java
  • ee4j-parent
  • elfutils-devel-static
  • elfutils-libelf-devel-static
  • enca
  • enca-devel
  • environment-modules-compat
  • evince-browser-plugin
  • exec-maven-plugin
  • farstream02
  • felix-osgi-compendium
  • felix-osgi-core
  • felix-osgi-foundation
  • felix-parent
  • file-roller
  • fipscheck
  • fipscheck-devel
  • fipscheck-lib
  • firewire
  • fonts-tweak-tool
  • forge-parent
  • freeradius-mysql
  • freeradius-perl
  • freeradius-postgresql
  • freeradius-sqlite
  • freeradius-unixODBC
  • fuse-sshfs
  • fusesource-pom
  • future
  • gamin
  • gamin-devel
  • gavl
  • gcc-toolset-10
  • gcc-toolset-10-annobin
  • gcc-toolset-10-binutils
  • gcc-toolset-10-binutils-devel
  • gcc-toolset-10-build
  • gcc-toolset-10-dwz
  • gcc-toolset-10-dyninst
  • gcc-toolset-10-dyninst-devel
  • gcc-toolset-10-elfutils
  • gcc-toolset-10-elfutils-debuginfod-client
  • gcc-toolset-10-elfutils-debuginfod-client-devel
  • gcc-toolset-10-elfutils-devel
  • gcc-toolset-10-elfutils-libelf
  • gcc-toolset-10-elfutils-libelf-devel
  • gcc-toolset-10-elfutils-libs
  • gcc-toolset-10-gcc
  • gcc-toolset-10-gcc-c++
  • gcc-toolset-10-gcc-gdb-plugin
  • gcc-toolset-10-gcc-gfortran
  • gcc-toolset-10-gdb
  • gcc-toolset-10-gdb-doc
  • gcc-toolset-10-gdb-gdbserver
  • gcc-toolset-10-libasan-devel
  • gcc-toolset-10-libatomic-devel
  • gcc-toolset-10-libitm-devel
  • gcc-toolset-10-liblsan-devel
  • gcc-toolset-10-libquadmath-devel
  • gcc-toolset-10-libstdc++-devel
  • gcc-toolset-10-libstdc++-docs
  • gcc-toolset-10-libtsan-devel
  • gcc-toolset-10-libubsan-devel
  • gcc-toolset-10-ltrace
  • gcc-toolset-10-make
  • gcc-toolset-10-make-devel
  • gcc-toolset-10-perftools
  • gcc-toolset-10-runtime
  • gcc-toolset-10-strace
  • gcc-toolset-10-systemtap
  • gcc-toolset-10-systemtap-client
  • gcc-toolset-10-systemtap-devel
  • gcc-toolset-10-systemtap-initscript
  • gcc-toolset-10-systemtap-runtime
  • gcc-toolset-10-systemtap-sdt-devel
  • gcc-toolset-10-systemtap-server
  • gcc-toolset-10-toolchain
  • gcc-toolset-10-valgrind
  • gcc-toolset-10-valgrind-devel
  • gcc-toolset-9
  • gcc-toolset-9-annobin
  • gcc-toolset-9-build
  • gcc-toolset-9-perftools
  • gcc-toolset-9-runtime
  • gcc-toolset-9-toolchain
  • gcc-toolset-11-make-devel
  • GConf2
  • GConf2-devel
  • gegl
  • genisoimage
  • genwqe-tools
  • genwqe-vpd
  • genwqe-zlib
  • genwqe-zlib-devel
  • geoipupdate
  • geronimo-annotation
  • geronimo-jms
  • geronimo-jpa
  • geronimo-parent-poms
  • gfbgraph
  • gflags
  • gflags-devel
  • glassfish-annotation-api
  • glassfish-el
  • glassfish-fastinfoset
  • glassfish-jaxb-core
  • glassfish-jaxb-txw2
  • glassfish-jsp
  • glassfish-jsp-api
  • glassfish-legal
  • glassfish-master-pom
  • glassfish-servlet-api
  • glew-devel
  • glib2-fam
  • glog
  • glog-devel
  • gmock
  • gmock-devel
  • gnome-abrt
  • gnome-boxes
  • gnome-menus-devel
  • gnome-online-miners
  • gnome-shell-extension-disable-screenshield
  • gnome-shell-extension-horizontal-workspaces
  • gnome-shell-extension-no-hot-corner
  • gnome-shell-extension-window-grouper
  • gnome-themes-standard
  • gnu-free-fonts-common
  • gnu-free-mono-fonts
  • gnu-free-sans-fonts
  • gnu-free-serif-fonts
  • gnupg2-smime
  • gnuplot
  • gnuplot-common
  • gobject-introspection-devel
  • google-gson
  • google-noto-sans-syriac-eastern-fonts
  • google-noto-sans-syriac-estrangela-fonts
  • google-noto-sans-syriac-western-fonts
  • google-noto-sans-tibetan-fonts
  • google-noto-sans-ui-fonts
  • gphoto2
  • gsl-devel
  • gssntlmssp
  • gtest
  • gtest-devel
  • gtkmm24
  • gtkmm24-devel
  • gtkmm24-docs
  • gtksourceview3
  • gtksourceview3-devel
  • gtkspell
  • gtkspell-devel
  • gtkspell3
  • guile
  • gutenprint-gimp
  • gutenprint-libs-ui
  • gvfs-afc
  • gvfs-afp
  • gvfs-archive
  • hamcrest-core
  • hawtjni
  • hawtjni
  • hawtjni-runtime
  • highlight-gui
  • hivex-devel
  • hostname
  • hplip-gui
  • httpcomponents-project
  • hwloc-plugins
  • hyphen-fo
  • hyphen-grc
  • hyphen-hsb
  • hyphen-ia
  • hyphen-is
  • hyphen-ku
  • hyphen-mi
  • hyphen-mn
  • hyphen-sa
  • hyphen-tk
  • ibus-sayura
  • icedax
  • icu4j
  • idm-console-framework
  • iptables
  • ipython
  • isl
  • isl-devel
  • isorelax
  • istack-commons-runtime
  • istack-commons-tools
  • iwl3945-firmware
  • iwl4965-firmware
  • iwl6000-firmware
  • jacoco
  • jaf
  • jakarta-oro
  • janino
  • jansi-native
  • jarjar
  • java-1.8.0-ibm
  • java-1.8.0-ibm-demo
  • java-1.8.0-ibm-devel
  • java-1.8.0-ibm-headless
  • java-1.8.0-ibm-jdbc
  • java-1.8.0-ibm-plugin
  • java-1.8.0-ibm-src
  • java-1.8.0-ibm-webstart
  • java-1.8.0-openjdk-accessibility
  • java-1.8.0-openjdk-accessibility-slowdebug
  • java_cup
  • java-atk-wrapper
  • javacc
  • javacc-maven-plugin
  • javaewah
  • javaparser
  • javapoet
  • javassist
  • javassist-javadoc
  • jaxen
  • jboss-annotations-1.2-api
  • jboss-interceptors-1.2-api
  • jboss-logmanager
  • jboss-parent
  • jctools
  • jdepend
  • jdependency
  • jdom
  • jdom2
  • jetty
  • jffi
  • jflex
  • jgit
  • jline
  • jnr-netdb
  • jolokia-jvm-agent
  • js-uglify
  • jsch
  • json_simple
  • jss-javadoc
  • jtidy
  • junit5
  • jvnet-parent
  • jzlib
  • kernel-cross-headers
  • ksc
  • kurdit-unikurd-web-fonts
  • kyotocabinet-libs
  • ldapjdk-javadoc
  • lensfun
  • lensfun-devel
  • lftp-scripts
  • libaec
  • libaec-devel
  • libappindicator-gtk3
  • libappindicator-gtk3-devel
  • libatomic-static
  • libavc1394
  • libblocksruntime
  • libcacard
  • libcacard-devel
  • libcgroup
  • libcgroup-tools
  • libchamplain
  • libchamplain-devel
  • libchamplain-gtk
  • libcroco
  • libcroco-devel
  • libcxl
  • libcxl-devel
  • libdap
  • libdap-devel
  • libdazzle-devel
  • libdbusmenu
  • libdbusmenu-devel
  • libdbusmenu-doc
  • libdbusmenu-gtk3
  • libdbusmenu-gtk3-devel
  • libdc1394
  • libdnet
  • libdnet-devel
  • libdv
  • libdwarf
  • libdwarf-devel
  • libdwarf-static
  • libdwarf-tools
  • libeasyfc
  • libeasyfc-gobject
  • libepubgen-devel
  • libertas-sd8686-firmware
  • libertas-usb8388-firmware
  • libertas-usb8388-olpc-firmware
  • libgdither
  • libGLEW
  • libgovirt
  • libguestfs-benchmarking
  • libguestfs-devel
  • libguestfs-gfs2
  • libguestfs-gobject
  • libguestfs-gobject-devel
  • libguestfs-java
  • libguestfs-java-devel
  • libguestfs-javadoc
  • libguestfs-man-pages-ja
  • libguestfs-man-pages-uk
  • libguestfs-tools
  • libguestfs-tools-c
  • libhugetlbfs
  • libhugetlbfs-devel
  • libhugetlbfs-utils
  • libIDL
  • libIDL-devel
  • libidn
  • libiec61883
  • libindicator-gtk3
  • libindicator-gtk3-devel
  • libiscsi-devel
  • libjose-devel
  • libkkc
  • libkkc-common
  • libkkc-data
  • libldb-devel
  • liblogging
  • libluksmeta-devel
  • libmalaga
  • libmcpp
  • libmemcached
  • libmemcached-libs
  • libmetalink
  • libmodulemd1
  • libmongocrypt
  • libmtp-devel
  • libmusicbrainz5
  • libmusicbrainz5-devel
  • libnbd-devel
  • liboauth
  • liboauth-devel
  • libpfm-static
  • libpng12
  • libpurple
  • libpurple-devel
  • libraw1394
  • libreport-plugin-mailx
  • libreport-plugin-rhtsupport
  • libreport-plugin-ureport
  • libreport-rhel
  • libreport-rhel-bugzilla
  • librpmem
  • librpmem-debug
  • librpmem-devel
  • libsass
  • libsass-devel
  • libselinux-python
  • libsqlite3x
  • libtalloc-devel
  • libtar
  • libtdb-devel
  • libtevent-devel
  • libtpms-devel
  • libunwind
  • libusal
  • libvarlink
  • libverto-libevent
  • libvirt-admin
  • libvirt-bash-completion
  • libvirt-daemon-driver-storage-gluster
  • libvirt-daemon-driver-storage-iscsi-direct
  • libvirt-devel
  • libvirt-docs
  • libvirt-gconfig
  • libvirt-gobject
  • libvirt-lock-sanlock
  • libvirt-wireshark
  • libvmem
  • libvmem-debug
  • libvmem-devel
  • libvmmalloc
  • libvmmalloc-debug
  • libvmmalloc-devel
  • libvncserver
  • libwinpr-devel
  • libwmf
  • libwmf-devel
  • libwmf-lite
  • libXNVCtrl
  • libyami
  • log4j12
  • log4j12-javadoc
  • lohit-malayalam-fonts
  • lohit-nepali-fonts
  • lorax-composer
  • lua-guestfs
  • lucene
  • mailman
  • mailx
  • make-devel
  • malaga
  • malaga-suomi-voikko
  • marisa
  • maven-antrun-plugin
  • maven-assembly-plugin
  • maven-clean-plugin
  • maven-dependency-analyzer
  • maven-dependency-plugin
  • maven-doxia
  • maven-doxia-sitetools
  • maven-install-plugin
  • maven-invoker
  • maven-invoker-plugin
  • maven-parent
  • maven-plugins-pom
  • maven-reporting-api
  • maven-reporting-impl
  • maven-resolver-api
  • maven-resolver-connector-basic
  • maven-resolver-impl
  • maven-resolver-spi
  • maven-resolver-transport-wagon
  • maven-resolver-util
  • maven-scm
  • maven-script-interpreter
  • maven-shade-plugin
  • maven-shared
  • maven-verifier
  • maven-wagon-file
  • maven-wagon-http
  • maven-wagon-http-shared
  • maven-wagon-provider-api
  • maven2
  • meanwhile
  • mercurial
  • mercurial-hgk
  • metis
  • metis-devel
  • mingw32-bzip2
  • mingw32-bzip2-static
  • mingw32-cairo
  • mingw32-expat
  • mingw32-fontconfig
  • mingw32-freetype
  • mingw32-freetype-static
  • mingw32-gstreamer1
  • mingw32-harfbuzz
  • mingw32-harfbuzz-static
  • mingw32-icu
  • mingw32-libjpeg-turbo
  • mingw32-libjpeg-turbo-static
  • mingw32-libpng
  • mingw32-libpng-static
  • mingw32-libtiff
  • mingw32-libtiff-static
  • mingw32-openssl
  • mingw32-readline
  • mingw32-sqlite
  • mingw32-sqlite-static
  • mingw64-adwaita-icon-theme
  • mingw64-bzip2
  • mingw64-bzip2-static
  • mingw64-cairo
  • mingw64-expat
  • mingw64-fontconfig
  • mingw64-freetype
  • mingw64-freetype-static
  • mingw64-gstreamer1
  • mingw64-harfbuzz
  • mingw64-harfbuzz-static
  • mingw64-icu
  • mingw64-libjpeg-turbo
  • mingw64-libjpeg-turbo-static
  • mingw64-libpng
  • mingw64-libpng-static
  • mingw64-libtiff
  • mingw64-libtiff-static
  • mingw64-nettle
  • mingw64-openssl
  • mingw64-readline
  • mingw64-sqlite
  • mingw64-sqlite-static
  • modello
  • mojo-parent
  • mongo-c-driver
  • mousetweaks
  • mozjs52
  • mozjs52-devel
  • mozjs60
  • mozjs60-devel
  • mozvoikko
  • msv-javadoc
  • msv-manual
  • munge-maven-plugin
  • mythes-mi
  • mythes-ne
  • nafees-web-naskh-fonts
  • nbd
  • nbdkit-devel
  • nbdkit-example-plugins
  • nbdkit-gzip-plugin
  • nbdkit-plugin-python-common
  • nbdkit-plugin-vddk
  • ncompress
  • ncurses-compat-libs
  • net-tools
  • netcf
  • netcf-devel
  • netcf-libs
  • network-scripts
  • network-scripts-ppp
  • nkf
  • nss_nis
  • nss-pam-ldapd
  • objectweb-asm
  • objectweb-asm-javadoc
  • objectweb-pom
  • ocaml-bisect-ppx
  • ocaml-camlp4
  • ocaml-camlp4-devel
  • ocaml-lwt
  • ocaml-mmap
  • ocaml-ocplib-endian
  • ocaml-ounit
  • ocaml-result
  • ocaml-seq
  • opencryptoki-tpmtok
  • opencv-contrib
  • opencv-core
  • opencv-devel
  • openhpi
  • openhpi-libs
  • OpenIPMI-perl
  • openssh-cavs
  • openssh-ldap
  • openssl-ibmpkcs11
  • opentest4j
  • os-maven-plugin
  • pakchois
  • pandoc
  • paps-libs
  • paranamer
  • parfait
  • parfait-examples
  • parfait-javadoc
  • pcp-parfait-agent
  • pcp-pmda-rpm
  • pcp-pmda-vmware
  • pcsc-lite-doc
  • peripety
  • perl-B-Debug
  • perl-B-Lint
  • perl-Class-Factory-Util
  • perl-Class-ISA
  • perl-DateTime-Format-HTTP
  • perl-DateTime-Format-Mail
  • perl-File-CheckTree
  • perl-homedir
  • perl-libxml-perl
  • perl-Locale-Codes
  • perl-Mozilla-LDAP
  • perl-NKF
  • perl-Object-HashBase-tools
  • perl-Package-DeprecationManager
  • perl-Pod-LaTeX
  • perl-Pod-Plainer
  • perl-prefork
  • perl-String-CRC32
  • perl-SUPER
  • perl-Sys-Virt
  • perl-tests
  • perl-YAML-Syck
  • phodav
  • php-recode
  • php-xmlrpc
  • pidgin
  • pidgin-devel
  • pidgin-sipe
  • pinentry-emacs
  • pinentry-gtk
  • pipewire0.2-devel
  • pipewire0.2-libs
  • platform-python-coverage
  • plexus-ant-factory
  • plexus-bsh-factory
  • plexus-cli
  • plexus-component-api
  • plexus-component-factories-pom
  • plexus-components-pom
  • plexus-i18n
  • plexus-interactivity
  • plexus-pom
  • plexus-velocity
  • plymouth-plugin-throbgress
  • powermock
  • prometheus-jmx-exporter
  • prometheus-jmx-exporter-openjdk11
  • ptscotch-mpich
  • ptscotch-mpich-devel
  • ptscotch-mpich-devel-parmetis
  • ptscotch-openmpi
  • ptscotch-openmpi-devel
  • purple-sipe
  • pygobject2-doc
  • pygtk2
  • pygtk2-codegen
  • pygtk2-devel
  • pygtk2-doc
  • python-nose-docs
  • python-nss-doc
  • python-podman-api
  • python-psycopg2-doc
  • python-pymongo-doc
  • python-redis
  • python-schedutils
  • python-slip
  • python-sqlalchemy-doc
  • python-varlink
  • python-virtualenv-doc
  • python2-backports
  • python2-backports-ssl_match_hostname
  • python2-bson
  • python2-coverage
  • python2-docs
  • python2-docs-info
  • python2-funcsigs
  • python2-ipaddress
  • python2-mock
  • python2-nose
  • python2-numpy-doc
  • python2-psycopg2-debug
  • python2-psycopg2-tests
  • python2-pymongo
  • python2-pymongo-gridfs
  • python2-pytest-mock
  • python2-sqlalchemy
  • python2-tools
  • python2-virtualenv
  • python3-bson
  • python3-click
  • python3-coverage
  • python3-cpio
  • python3-custodia
  • python3-docs
  • python3-flask
  • python3-gevent
  • python3-gobject-base
  • python3-hivex
  • python3-html5lib
  • python3-hypothesis
  • python3-ipatests
  • python3-itsdangerous
  • python3-jwt
  • python3-libguestfs
  • python3-mock
  • python3-networkx-core
  • python3-nose
  • python3-nss
  • python3-openipmi
  • python3-pillow
  • python3-ptyprocess
  • python3-pydbus
  • python3-pymongo
  • python3-pymongo-gridfs
  • python3-pyOpenSSL
  • python3-pytoml
  • python3-reportlab
  • python3-schedutils
  • python3-scons
  • python3-semantic_version
  • python3-slip
  • python3-slip-dbus
  • python3-sqlalchemy
  • python3-syspurpose
  • python3-virtualenv
  • python3-webencodings
  • python3-werkzeug
  • python38-asn1crypto
  • python38-numpy-doc
  • python38-psycopg2-doc
  • python38-psycopg2-tests
  • python39-numpy-doc
  • python39-psycopg2-doc
  • python39-psycopg2-tests
  • qemu-kvm-block-gluster
  • qemu-kvm-block-iscsi
  • qemu-kvm-block-ssh
  • qemu-kvm-hw-usbredir
  • qemu-kvm-tests
  • qpdf
  • qpdf-doc
  • qpid-proton
  • qrencode
  • qrencode-devel
  • qrencode-libs
  • qt5-qtcanvas3d
  • qt5-qtcanvas3d-examples
  • rarian
  • rarian-compat
  • re2c
  • recode
  • redhat-menus
  • redhat-support-lib-python
  • redhat-support-tool
  • reflections
  • regexp
  • relaxngDatatype
  • rhsm-gtk
  • rpm-plugin-prioreset
  • rpmemd
  • rsyslog-udpspoof
  • ruby-hivex
  • ruby-libguestfs
  • rubygem-abrt
  • rubygem-abrt-doc
  • rubygem-bson
  • rubygem-bson-doc
  • rubygem-mongo
  • rubygem-mongo-doc
  • s390utils-cmsfs
  • samba-pidl
  • samba-test
  • samba-test-libs
  • samyak-devanagari-fonts
  • samyak-fonts-common
  • samyak-gujarati-fonts
  • samyak-malayalam-fonts
  • samyak-odia-fonts
  • samyak-tamil-fonts
  • sane-frontends
  • sanlk-reset
  • scala
  • scotch
  • scotch-devel
  • SDL_sound
  • selinux-policy-minimum
  • sendmail
  • sgabios
  • sgabios-bin
  • shrinkwrap
  • sisu-inject
  • sisu-mojos
  • sisu-plexus
  • skkdic
  • SLOF
  • smc-anjalioldlipi-fonts
  • smc-dyuthi-fonts
  • smc-fonts-common
  • smc-kalyani-fonts
  • smc-raghumalayalam-fonts
  • smc-suruma-fonts
  • softhsm-devel
  • sonatype-oss-parent
  • sonatype-plugins-parent
  • sos-collector
  • sparsehash-devel
  • spax
  • spec-version-maven-plugin
  • spice
  • spice-client-win-x64
  • spice-client-win-x86
  • spice-glib
  • spice-glib-devel
  • spice-gtk
  • spice-gtk-tools
  • spice-gtk3
  • spice-gtk3-devel
  • spice-gtk3-vala
  • spice-parent
  • spice-protocol
  • spice-qxl-wddm-dod
  • spice-server
  • spice-server-devel
  • spice-qxl-xddm
  • spice-server
  • spice-streaming-agent
  • spice-vdagent-win-x64
  • spice-vdagent-win-x86
  • sssd-libwbclient
  • star
  • stax-ex
  • stax2-api
  • stringtemplate
  • stringtemplate4
  • subscription-manager-initial-setup-addon
  • subscription-manager-migration
  • subscription-manager-migration-data
  • subversion-javahl
  • SuperLU
  • SuperLU-devel
  • supermin-devel
  • swig
  • swig-doc
  • swig-gdb
  • swtpm-devel
  • swtpm-tools-pkcs11
  • system-storage-manager
  • tcl-brlapi
  • testng
  • tibetan-machine-uni-fonts
  • timedatex
  • tpm-quote-tools
  • tpm-tools
  • tpm-tools-pkcs11
  • treelayout
  • trousers
  • trousers-lib
  • tuned-profiles-compat
  • tuned-profiles-nfv-host-bin
  • tuned-utils-systemtap
  • tycho
  • uglify-js
  • unbound-devel
  • univocity-output-tester
  • univocity-parsers
  • usbguard-notifier
  • usbredir-devel
  • utf8cpp
  • uthash
  • velocity
  • vinagre
  • vino
  • virt-dib
  • virt-p2v-maker
  • vm-dump-metrics-devel
  • weld-parent
  • wodim
  • woodstox-core
  • wqy-microhei-fonts
  • wqy-unibit-fonts
  • xdelta
  • xmlgraphics-commons
  • xmlstreambuffer
  • xinetd
  • xorg-x11-apps
  • xorg-x11-drv-qxl
  • xorg-x11-server-Xspice
  • xpp3
  • xsane-gimp
  • xsom
  • xz-java
  • xz-java-javadoc
  • yajl-devel
  • yp-tools
  • ypbind
  • ypserv

9.19. 非推奨のデバイスおよび非保守のデバイス

このセクションは、

  • RHEL 8 のライフサイクルが終了するまで継続してサポートされるデバイス (ドライバー、アダプター) を説明しますが、本製品の今後のメジャーリリースではサポートされない可能性が高いため、新たに実装することは推奨されません。記載以外のデバイスのサポートは変更しません。これは 非推奨 デバイスです。
  • RHEL 8 では入手可能ですが、ルーチンベースでのテストや更新は行われていません。Red Hat は、独自の判断でセキュリティーバグなどの深刻なバグを修正する場合があります。このようなデバイスは実稼働環境では使用しなくなり、次のメジャーリリースでは無効になる可能性が高くなります。これは 未管理 デバイスです。

PCI デバイスID は、vendor:device:subvendor:subdevice の形式です。デバイスIDが記載されていない場合は、対応するドライバーに関連するすべてのデバイスが非推奨になっています。ご使用のシステムでハードウェアの PCI ID を確認するには、lspci -nn コマンドを実行します。

表9.1 非推奨のデバイス

デバイス IDドライバーデバイス名
 

bnx2

QLogic BCM5706/5708/5709/5716 Driver

 

hpsa

Hewlett-Packard Company: Smart アレイコントローラー

0x10df:0x0724

lpfc

Emulex Corporation: OneConnect FCoE Initiator (Skyhawk)

0x10df:0xe200

lpfc

Emulex Corporation: LPe15000/LPe16000 Series 8Gb/16Gb Fibre Channel Adapter

0x10df:0xf011

lpfc

Emulex Corporation: Saturn: LightPulse Fibre Channel Host Adapter

0x10df:0xf015

lpfc

Emulex Corporation: Saturn: LightPulse Fibre Channel Host Adapter

0x10df:0xf100

lpfc

Emulex Corporation: LPe12000 Series 8Gb Fibre Channel Adapter

0x10df:0xfc40

lpfc

Emulex Corporation: Saturn-X: LightPulse Fibre Channel Host Adapter

0x10df:0xe220

be2net

Emulex Corporation: OneConnect NIC (Lancer)

0x1000:0x005b

megaraid_sas

Broadcom / LSI: MegaRAID SAS 2208 [Thunderbolt]

0x1000:0x006E

mpt3sas

Broadcom / LSI: SAS2308 PCI-Express Fusion-MPT SAS-2

0x1000:0x0080

mpt3sas

Broadcom / LSI: SAS2208 PCI-Express Fusion-MPT SAS-2

0x1000:0x0081

mpt3sas

Broadcom / LSI: SAS2208 PCI-Express Fusion-MPT SAS-2

0x1000:0x0082

mpt3sas

Broadcom / LSI: SAS2208 PCI-Express Fusion-MPT SAS-2

0x1000:0x0083

mpt3sas

Broadcom / LSI: SAS2208 PCI-Express Fusion-MPT SAS-2

0x1000:0x0084

mpt3sas

Broadcom / LSI: SAS2208 PCI-Express Fusion-MPT SAS-2

0x1000:0x0085

mpt3sas

Broadcom / LSI: SAS2208 PCI-Express Fusion-MPT SAS-2

0x1000:0x0086

mpt3sas

Broadcom / LSI: SAS2308 PCI-Express Fusion-MPT SAS-2

0x1000:0x0087

mpt3sas

Broadcom / LSI: SAS2308 PCI-Express Fusion-MPT SAS-2

 

myri10ge

Myricom 10G driver (10GbE)

 

netxen_nic

QLogic/NetXen (1/10) GbE Intelligent Ethernet Driver

0x1077:0x2031

qla2xxx

QLogic Corp.: ISP8324-based 16Gb Fibre Channel to PCI Express Adapter

0x1077:0x2532

qla2xxx

QLogic Corp.: ISP2532-based 8Gb Fibre Channel to PCI Express HBA

0x1077:0x8031

qla2xxx

QLogic Corp.: 8300 Series 10GbE Converged Network Adapter (FCoE)

 

qla3xxx

QLogic ISP3XXX ネットワークドライバー v2.03.00-k5

0x1924:0x0803

sfc

Solarflare Communications: SFC9020 10G Ethernet Controller

0x1924:0x0813

sfc

Solarflare Communications: SFL9021 10GBASE-T Ethernet Controller

 

Soft-RoCE (rdma_rxe)

 
 

HNS-RoCE

HNS GE/10GE/25GE/50GE/100GE RDMA Network Controller

 

liquidio

Cavium LiquidIO Intelligent Server Adapter Driver

 

liquidio_vf

Cavium LiquidIO Intelligent Server Adapter Virtual Function Driver

表9.2 未管理デバイス

デバイス IDドライバーデバイス名
 

e1000

Intel® PRO/1000 ネットワークドライバー

 

mptbase

Fusion MPT SAS ホストドライバー

 

mptsas

Fusion MPT SAS ホストドライバー

 

mptscsih

Fusion MPT SCSI ホストドライバー

 

mptspi

Fusion MPT SAS ホストドライバー

0x1000:0x0071 [a]

megaraid_sas

Broadcom / LSI: MR SAS HBA 2004

0x1000:0x0073 [a]

megaraid_sas

Broadcom / LSI: MegaRAID SAS 2008 [Falcon]

0x1000:0x0079 [a]

megaraid_sas

Broadcom / LSI: MegaRAID SAS 2108 [Liberator]

 

nvmet_tcp

NVMe/TCP ターゲットドライバー

[a] RHEL 8.0 で無効になり、顧客の要求により RHEL 8.4 で再度有効になりました。

第10章 既知の問題

このパートでは Red Hat Enterprise Linux 8.6 の既知の問題を説明します。

10.1. インストーラーおよびイメージの作成

LPAR およびセキュアブートが有効になっている IBM Power 10 システムでのインストールが失敗します

RHEL インストーラーは、IBM Power 10 システムの静的キーセキュアブートと統合されていません。したがって、セキュアブートオプションを使用して論理パーティション (LPAR) を有効にすると、インストールに失敗し、Unable to proceed with RHEL-x.x Installation というエラーが表示されます。

この問題を回避するには、セキュアブートを有効にせずに RHEL をインストールします。システムを起動したら、以下を行います。

  1. dd コマンドを使用して、署名されたカーネルを PReP パーティションにコピーします。
  2. システムを再起動し、セキュアブートを有効にします。

ファームウェアがブートローダーとカーネルを検証すると、システムは正常に起動します。

詳細については、https://www.ibm.com/support/pages/node/6528884 を参照してください。

(BZ#2025814)

Anaconda がアプリケーションとして実行されているシステムでの予期しない SELinux ポリシー

Anaconda がすでにインストールされているシステムでアプリケーションとして実行されている場合 (たとえば、–image anaconda オプションを使用してイメージファイルに別のインストールを実行する場合)、システムはインストール中に SELinux のタイプと属性を変更することを禁止されていません。そのため、SELinux ポリシーの特定の要素は、Anaconda が実行されているシステムで変更される可能性があります。この問題を回避するには、実稼働システムで Anaconda を実行せず、一時的な仮想マシンで実行します。そうすることで、実稼働システムの SELinux ポリシーは変更されません。boot.isodvd.iso からのインストールなど、システムインストールプロセスの一部として anaconda を実行しても、この問題の影響は受けません。

(BZ#2050140)

キックスタートコマンドの auth および authconfig で AppStream リポジトリーが必要になる

インストール中に、キックスタートコマンドの auth および authconfigauthselect-compat パッケージが必要になります。auth または authconfig を使用したときに、このパッケージがないとインストールに失敗します。ただし、設計上、 authselect-compat パッケージは AppStream リポジトリーでしか利用できません。

この問題を回避するには、BaseOS リポジトリーおよび AppStream リポジトリーがインストーラーで利用できることを確認するか、インストール中にキックスタートコマンドの authselect コマンドを使用します。

(BZ#1640697)

reboot --kexec コマンドおよび inst.kexec コマンドが、予測可能なシステム状態を提供しない

キックスタートコマンド reboot --kexec またはカーネル起動パラメーター inst.kexec で RHEL インストールを実行しても、システムの状態が完全な再起動と同じになるわけではありません。これにより、システムを再起動せずにインストール済みのシステムに切り替えると、予期しない結果が発生することがあります。

kexec 機能は非推奨になり、Red Hat Enterprise Linux の今後のリリースで削除されることに注意してください。

(BZ#1697896)

USB CD-ROM ドライブが Anaconda のインストールソースとして利用できない

USB CD-ROM ドライブがソースで、キックスタート ignoredisk --only-use= コマンドを指定すると、インストールに失敗します。この場合、Anaconda はこのソースディスクを見つけ、使用できません。

この問題を回避するには、harddrive --partition=sdX --dir=/ コマンドを使用して USB CD-ROM ドライブからインストールします。その結果、インストールは失敗しなくなりました。

(BZ#1914955)

インストールプログラムでは、ネットワークアクセスがデフォルトで有効になっていない

一部のインストール機能、たとえば、コンテンツ配信ネットワーク (CDN) を使用したシステムの登録、NTP サーバーサポート、およびネットワークインストールソースなどには、ネットワークアクセスが必要です。ただし、ネットワークアクセスはデフォルトでは有効になっていません。そのためこの機能は、ネットワークアクセスが有効になるまで使用できません。

この問題を回避するには、インストールの開始時にネットワークアクセスを有効にする起動オプション ip=dhcp を追加します。オプションで、起動オプションを使用して、ネットワーク上にあるキックスタートファイルまたはリポジトリーを渡しても、問題が解決されます。結果として、ネットワークベースのインストール機能を使用できます。

(BZ#1757877)

iso9660 ファイルシステムで、ハードドライブがパーティション分割されたインストールが失敗する

ハードドライブが iso9660 ファイルシステムでパーティションが設定されているシステムには、RHEL をインストールできません。これは、iso9660 ファイルシステムパーティションを含むハードディスクを無視するように設定されている、更新されたインストールコードが原因です。これは、RHEL が DVD を使用せずにインストールされている場合でも発生します。

この問題を回避するには、インストールの開始前に、キックスタートファイルに次のスクリプトを追加して、ディスクをフォーマットします。

メモ: 回避策を実行する前に、ディスクで利用可能なデータのバックアップを作成します。wipefs は、ディスク内の全データをフォーマットします。

%pre
wipefs -a /dev/sda
%end

その結果、インストールでエラーが発生することなく、想定どおりに機能します。

(BZ#1929105)

HASH MMU モードの IBM 電源システムが、メモリー割り当ての障害で起動できない

HASH メモリー割り当てユニット (MMU) モードの IBM Power Systems は、最大 192 コアの kdump に対応します。そのため、kdump が 192 コア以上で有効になっていると、メモリー割り当て失敗が原因でシステムの起動が失敗します。この制限は、HASH MMU モードの起動初期段階での RMA メモリーの割り当てによるものです。この問題を回避するには、kdump を使用する代わりに、fadump を有効にしたRadix MMU モードを使用します。

(BZ#2028361)

10.2. サブスクリプション管理

syspurpose addonssubscription-manager attach --auto 出力に影響しません。

Red Hat Enterprise Linux 8 では、syspurpose コマンドラインツールの 4 つの属性 (roleusageservice_level_agreement、および addons) が追加されました。現在、roleusage、および service_level_agreement のみが、subscription-manager attach --auto コマンドの実行の出力に影響します。addons 引数に値を設定しても、自動登録されたサブスクリプションには影響がありません。

(BZ#1687900)

10.3. ソフトウェア管理

cr_compress_file_with_stat() がメモリーリークを引き起こす可能性がある

createrepo_c C ライブラリーには API cr_compress_file_with_stat() 関数があります。この関数は、char **dst を 2 番目のパラメーターとして宣言します。他のパラメーターによって、cr_compress_file_with_stat() は、入力パラメーターとして dst を使用するか、割り当てられた文字列を返すために使用します。dst の内容をいつ解放するかユーザーに通知しないため、この予測できない動作いよりメモリーリークが発生する可能性があります。

この問題を回避するために、dst パラメーターを入力としてのみ使用する新しい API cr_compress_file_with_stat_v2 関数が追加されました。これは char *dst として宣言されます。これにより、メモリーリークが回避されます。

cr_compress_file_with_stat_v2 関数は一時的で、RHEL 8 のみに存在することに注意してください。後で、cr_compress_file_with_stat() が代わりに修正されます。

(BZ#1973588)

スクリプトレットが失敗したときに成功したと報告された YUM トランザクション

RPM バージョン 4.6 以降、インストール後のスクリプトレットは、トランザクションに致命的な影響を与えることなく失敗することが許可されています。この動作は YUM まで伝播します。これにより、スクリプトレットが作成され、パッケージトランザクション全体が成功したと報告されているときに失敗することがあります。

現在利用できる回避策はありません。

これは、RPM と YUM の間で一貫性を保つことが期待される動作であることに注意してください。スクリプトレットの問題は、パッケージレベルで対処する必要があります。

(BZ#1986657)

セキュリティー DNF のアップグレードにより廃止されたパッケージをスキップできる

RHBA-2022:5816 アドバイザリーでリリースされる BZ#2095764 のパッチにより、以下のリグレッションが生じました。--security オプションなどのセキュリティーフィルターを使用した DNF のアップグレードは、廃止されたパッケージのアップグレードを省略できます。この問題は、インストールされているパッケージが利用可能な別のパッケージによって廃止され、利用可能なパッケージにアドバイザリーが存在する場合に発生します。

したがって、dnf は廃止されたパッケージをシステムに残し、セキュリティーアップグレードが完全に行われず、システムが脆弱な状態のままになる可能性があります。

この問題を回避するには、セキュリティーフィルターなしで完全なアップグレードを実行するか、まずアップグレードプロセスに廃止されたパッケージがないことを確認します。

(BZ#2095764)

10.4. シェルおよびコマンドラインツール

coreutils は、誤解を招く EPERM エラーコードを報告することがあります。

statx() システムコールを使用して、GNU コアユーティリティー (coreutils) が起動しました。seccomp フィルターが、不明なシステムコールに対して EPERM エラーコードを返す場合、EPERM は動作中の statx()の syscall が返す実際の Operation not permitted エラーと区別できないため、coreutils は、誤解を招く EPERM エラーコードを報告します。

この問題を回避するには、seccomp フィルターを更新して、statx() の syscall を許可するか、不明の syscall の ENOSYS エラーコードを返すようにします。

(BZ#2030661)

10.5. インフラストラクチャーサービス

FIPS モードの Postfix TLS フィンガープリントアルゴリズムを SHA-256 に変更する必要があります。

RHEL 8 のデフォルトでは、postfix は後方互換性に TLS を使用する MD5 フィンガープリントを使用します。ただし、FIPS モードでは、MD5 ハッシュ関数が利用できないため、デフォルトの postfix 設定で TLS が誤って機能する可能性があります。この問題を回避するには、postfix 設定ファイルのハッシュ関数を SHA-256 に変更する必要があります。

詳細は、関連するナレッジベースの記事 Fix postfix TLS in the FIPS mode by switch to SHA-256 instead of the MD5 を参照してください。

(BZ#1711885)

brlttyパッケージはmultilib対応ではない

brlttyパッケージの32ビット版と64ビット版の両方をインストールすることはできません。32ビット版(brltty.i686)または64ビット版(brltty.x86_64)いずれかのパッケージをインストールすることができます。64ビット版を推奨します。

(BZ#2008197)

10.6. セキュリティー

/etc/passwd- のファイル権限が CIS RHEL 8 Benchmark 1.0.0 と合致しない

CIS Benchmark の問題により、/etc/passwd- バックアップファイルの権限を保証する SCAP ルールの修正によって、権限が 0644 に設定されます。ただし、CIS Red Hat Enterprise Linux 8 Benchmark 1.0.0 では、そのファイルに対するファイルパーミッション 0600 が必要です。そのため、修正後、/etc/passwd- のファイル権限はベンチマークに合うように設定されません。

(BZ#1858866)

libselinux-python は、そのモジュールからのみ利用可能

libselinux-python パッケージには、SELinux アプリケーション開発用の Python 2 バインディングのみが含まれ、後方互換性に使用されます。このため、yum install libselinux-python コマンドを使用すると、デフォルトの RHEL 8 リポジトリーで libselinux-python コマンドを利用できなくなりました。

この問題を回避するには、libselinux-python モジュールおよび python27 モジュールの両方を有効にし、以下のコマンドで libselinux-python パッケージとその依存関係をインストールします。

# yum module enable libselinux-python
# yum install libselinux-python

または、1 つのコマンドでインストールプロファイルを使用して libselinux-python をインストールします。

# yum module install libselinux-python:2.8/common

これにより、各モジュールを使用して libselinux-python をインストールできます。

(BZ#1666328)

udica は、--env container=podman で開始したときにのみ UBI 8 コンテナーを処理します。

Red Hat Universal Base Image 8 (UBI 8) コンテナーは、podman の値ではなく、コンテナー 環境変数を oci 値に設定します。これにより、udica ツールがコンテナー JavaScript Object Notation (JSON) ファイルを分析しなくなります。

この問題を回避するには、--env container=podman パラメーターを指定して、podman コマンドで UBI 8 コンテナーを起動します。そのため、udica は、上記の回避策を使用している場合に限り、UBI 8 コンテナーの SELinux ポリシーを生成することができます。

(BZ#1763210)

/etc/selinux/configSELINUX=disabled が正常に動作しません。

/etc/selinux/configSELINUX=disabled オプションを使用して SELinux を無効にすると、カーネルが SELinux を有効にして起動し、その後のブートプロセスで無効化モードに切り替わります。これにより、メモリーリークが生じる可能性があります。

この問題を回避するには、SELinux を完全に無効にする必要がある場合にSELinux の使用システムの起動時に SELinux モードの変更で説明されているように、selinux=0 パラメーターをカーネルコマンドラインに追加して SELinux を無効にすることが推奨されます。

(JIRA:RHELPLAN-34199)

sshd -T が、暗号、MAC、および KeX アルゴリズムに関する不正確な情報を提供する

sshd -Tコマンドの出力には、システム全体の暗号化ポリシー設定や、/etc/sysconfig/sshd内の環境ファイルから取得でき、sshdコマンドの引数として適用されるその他のオプションは含まれていません。これは、アップストリームの OpenSSH プロジェクトが RHEL8 で Red-Hat が提供する暗号化のデフォルトをサポートするための Include ディレクティブをサポートしていなかったために発生します。暗号化ポリシーは、EnvironmentFileを使用してサービスを開始するときに、sshd.serviceユニットのsshd実行可能ファイルにコマンドライン引数として適用されます。この問題を回避するには、sshd -T $CRYPTO_POLICYのように、環境ファイルでsourceコマンドを使用し、暗号化ポリシーを引数としてsshdコマンドに渡します。詳細については、暗号、MAC、または KeX アルゴリズムがsshd -Tとは異なり、現在の暗号ポリシーレベルで提供されるものとは異なるを参照してください。その結果、sshd -Tからの出力は、現在設定されている暗号化ポリシーと一致します。

(BZ#2044354)

FIPS モードの OpenSSL が、特定の D-H パラメーターのみを受け入れます。

FIPS モードでは、OpenSSL を使用する TLS クライアントは bad dh value エラーを返し、手動で生成されたパラメーターを使用するようにサーバーへの TLS 接続を中止します。これは、FIPS 140-2 に準拠するよう設定されている場合、OpenSSL が NIST SP 800-56A rev3 付録 D (RFC 3526 で定義されたグループ 14、15、16、17、18、および RFC 7919 で定義されたグループ) に準拠した Diffie-Hellman パラメーターでのみ機能するためです。また、OpenSSL を使用するサーバーは、その他のパラメーターをすべて無視し、代わりに同様のサイズの既知のパラメーターを選択します。この問題を回避するには、準拠するグループのみを使用します。

(BZ#1810911)

crypto-policies が Camellia 暗号を誤って許可する。

RHEL 8 システム全体の暗号化ポリシーでは、製品ドキュメントで説明されているように、すべてのポリシーレベルで Camellia 暗号を無効にする必要があります。ただし、Kerberos プロトコルでは、デフォルトでこの Camellia 暗号が有効になります。

この問題を回避するには、NO-CAMELLIA サブポリシーを適用します。

# update-crypto-policies --set DEFAULT:NO-CAMELLIA

これまでに上記のコマンドで、DEFAULT から切り替えたことがある場合は、DEFAULT を暗号化レベルの名前に置き換えます。

その結果、この回避策を使用して Cemellia 暗号を無効にしている場合に限り、システム全体の暗号化ポリシーを使用する全ポリシーで、この暗号化を適切に拒否できます。

(BZ#1919155)

OpenSC pkcs15-init によるスマートカードのプロビジョニングプロセスが適切に動作しません。

file_caching オプションは、デフォルトの OpenSC 設定で有効になっているため、キャッシュ機能は pkcs15-init ツールから一部のコマンドを適切に処理しません。したがって、OpenSC を使用したスマートカードのプロビジョニングプロセスは失敗します。

この問題を回避するには、以下のスニペットを /etc/opensc.conf ファイルに追加します。

app pkcs15-init {
        framework pkcs15 {
                use_file_caching = false;
        }
}

pkcs15-init を使用したスマートカードのプロビジョニングは、前述の回避策を適用している場合に限り機能します。

(BZ#1947025)

SHA-1 署名を使用するサーバーへの接続が GnuTLS で動作しません。

証明書の SHA-1 署名は、GuTLS セキュアな通信ライブラリーにより、セキュアでないものとして拒否されます。したがって、TLS のバックエンドとして GnuTLS を使用するアプリケーションは、このような証明書を提供するピアへの TLS 接続を確立することができません。この動作は、その他のシステム暗号化ライブラリーと一貫性がありません。

この問題を回避するには、サーバーをアップグレードして、SHA-256 または強力なハッシュを使用して署名した証明書を使用するか、LEGACY ポリシーに切り替えます。

(BZ#1628553)

IKE over TCP 接続がカスタムTCPポートで機能しない

tcp-remoteport Libreswan 設定オプションが適切に動作しません。したがって、デフォルト以外の TCP ポートを指定する必要があるシナリオでは、IKE over TCP 接続を確立することができません。

(BZ#1989050)

キックスタートインストール時のサービス関連のルールの修正が失敗する場合があります。

キックスタートのインストール時に、OpenSCAP ユーティリティーで、サービス enable または disable 状態の修正が必要でないことが誤って表示されることがあります。これにより、OpenSCAP が、インストール済みシステムのサービスを非準拠状態に設定する可能性があります。回避策として、キックスタートインストール後にシステムをスキャンして修復できます。これにより、サービス関連の問題が修正されます。

(BZ#1834716)

インストール時にシステムを強化すると RHV ハイパーバイザーが正しく動作しないことがあります。

Red Hat Virtualization Hypervisor(RHV-H)をインストールし、Red Hat Enterprise Linux 8 STIG プロファイルを適用する際に、OSCAP Anaconda Add-on は、RVH-H の代わりに RHEL としてシステムを強化し、RHV-H に必要なパッケージを削除する場合があります。したがって、RHV ハイパーバイザーが機能しない可能性があります。この問題を回避するには、プロファイルの強化を適用せずに RHV-H システムをインストールし、インストールの完了後に OpenSCAP を使用してプロファイルを適用します。これにより、RHV ハイパーバイザーが正しく機能するようになりました。

(BZ#2075508)

Red Hat は、CVE OVAL レポートを圧縮形式で提供します

Red Hat は bzip2-compressed 形式で CVE OVAL フィードを提供し、XML ファイル形式では使用できなくなりました。RHEL 8 のフィードの場所は、この変更を反映するために適宜更新されています。圧縮されたコンテンツの参照は標準化されていないため、サードパーティーの SCAP スキャナーでは、フィードを使用するスキャンルールで問題が発生する可能性があります。

(BZ#2028428)

SSG における相互依存ルールの特定のセットが失敗する可能性があります。

ルールとその依存関係の順序付けを定義しないため、ベンチマークの SCAP Security Guide (SSG) ルールの修正が失敗する可能性があります。たとえば、特定の順番で複数のルールを実行する必要がある場合、あるルールがコンポーネントをインストールし、別のルールが同じコンポーネントを設定した場合すると、それらは正しくない順序で実行される可能性があり、修正によってエラーが報告されます。この問題を回避するには、修正を回実行して、番目の実行で依存ルールを修正します。

(BZ#1750755)

CIS Server プロファイルを使用すると、Server with GUI および Workstation をインストールできません

CIS Server Level 1 および Level 2 のセキュリティープロファイルは、Server with GUI および Workstation ソフトウェアの選択と互換性がありません。そのため、Server with GUI ソフトウェアの選択と CIS プロファイルを使用して RHEL 8 をインストールすることはできません。CIS Server Level 1 または Level 2 プロファイルと、これらのソフトウェアの選択のいずれかを使用したインストール試行では、エラーメッセージが生成されます。

package xorg-x11-server-common has been added to the list of excluded packages, but it can't be removed from the current software selection without breaking the installation.

CIS ベンチマークに従ってシステムを Server with GUI または Workstation のソフトウェア選択に¥合わせる必要がある場合は、代わりに CIS Workstation Level 1 または Level 2 プロファイルを使用してください。

(BZ#1843932)

RHEL 8 のキックスタートが、com_redhat_oscap の代わりに org_fedora_oscap を使用

キックスタートは、com_redhat_oscap ではなく、org_fedora_oscap として Open Security Content Automation Protocol (OSCAP) Anaconda アドオンを参照します。これが、混乱を招く可能性があります。これは、Red Hat Enterprise Linux 7 との下位互換性のために必要です。

(BZ#1665082)

STIG プロファイルの SSH タイムアウトルールが誤ったオプションを設定している

OpenSSH の更新は、次の米国国防情報システム局のセキュリティー技術実装ガイド (DISA STIG) プロファイルのルールに影響を与えました。

  • RHEL 8 用 DISA STIG (xccdf_org.ssgproject.content_profile_stig)
  • RHEL 8 用の GUI を備えた DISA STIG (xccdf_org.ssgproject.content_profile_stig_gui)

これらの各プロファイルでは、次の 2 つのルールが影響を受けます。

Title: Set SSH Client Alive Count Max to zero
CCE Identifier: CCE-83405-1
Rule ID: xccdf_org.ssgproject.content_rule_sshd_set_keepalive_0
STIG ID: RHEL-08-010200

Title: Set SSH Idle Timeout Interval
CCE Identifier: CCE-80906-1
Rule ID: xccdf_org.ssgproject.content_rule_sshd_set_idle_timeout
STIG ID: RHEL-08-010201

SSH サーバーに適用すると、これらの各ルールは、以前のように動作しなくなったオプション (ClientAliveCountMax および ClientAliveInterval) を設定します。その結果、OpenSSH は、これらのルールで設定されたタイムアウトに達したときに、アイドル状態の SSH ユーザーを切断しなくなりました。回避策として、これらのルールは、ソリューションが開発されるまで、DISA STIG for RHEL8 および DISA STIG with GUI for RHEL8 プロファイルから一時的に削除されました。

(BZ#2038977)

特定の rsyslog 優先度の文字列が正常に動作しません。

imtcpGnuTLS 優先度文字列を設定して、完成していない暗号化をきめ細かく制御できるようになりました。したがって、rsyslog では、以下の優先文字列が正常に動作しません。

NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+DHE-RSA:+AES-256-GCM:+SIGN-RSA-SHA384:+COMP-ALL:+GROUP-ALL

この問題を回避するには、正しく機能する優先度文字列のみを使用します。

NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+ECDHE-RSA:+AES-128-CBC:+SIGN-RSA-SHA1:+COMP-ALL:+GROUP-ALL

したがって、現在の設定は、正しく機能する文字列に限定する必要があります。

(BZ#1679512)

デフォルトのロギング設定がパフォーマンスに与える悪影響

デフォルトのログ環境設定は、メモリーを 4 GB 以上使用する可能性があり、rsyslogsystemd-journald を実行している場合は、速度制限値の調整が複雑になります。

詳細は、ナレッジベースの記事Negative effects of the RHEL default logging setup on performance and their mitigationsを参照してください。

(JIRA:RHELPLAN-10431)

Ansible 修復には追加のコレクションが必要

ansible-core パッケージによる Ansible Engine の代わりとなるため、RHEL サブスクリプションで提供される Ansible モジュールの一覧が減少します。これにより、scap-security-guide パッケージに含まれる Ansible コンテンツを使用する修復を実行するには、rhc-worker-playbook パッケージからのコレクションが必要です。

Ansible 修復の場合は、以下の手順を実行します。

  1. 必要なパッケージをインストールします。

    # dnf install -y ansible-core scap-security-guide rhc-worker-playbook
  2. /usr/share/scap-security-guide/ansible ディレクトリーに移動します。

    # cd /usr/share/scap-security-guide/ansible
  3. 追加の Ansible コレクションへのパスを定義する環境変数を使用して、関連する Ansible Playbook を実行します。

    # ANSIBLE_COLLECTIONS_PATH=/usr/share/rhc-worker-playbook/ansible/collections/ansible_collections/ ansible-playbook -c local -i localhost, rhel9-playbook-cis_server_l1.yml

    cis_server_l1 を、システムを修正するプロファイルの ID に置き換えます。

これにより、Ansible コンテンツは正しく処理されます。

注記

rhc-worker-playbook で提供されるコレクションのサポートは、scap-security-guide で sourced の Ansible コンテンツを有効にすることに制限されます。

(BZ#2114981)

10.7. ネットワーキング

インスタンスのプライマリー IP アドレスは、Alibaba Cloud で nm-cloud-setup サービスを開始した後に変更されます

Alibaba Cloud でインスタンスを起動した後、nm-cloud-setup サービスはプライマリー IP アドレスをインスタンスに割り当てます。ただし、インスタンスに複数のセカンダリー IP アドレスをインスタンスに割り当てて nm-cloud-setup サービスを開始すると、以前のプライマリー IP アドレスはすでに割り当てられているセカンダリー IP アドレスの 1 つに置き換えられます。返されたメタデータのリストは、同じことを確認します。この問題を回避するには、プライマリー IP アドレスが変更されないように、セカンダリー IP アドレスを手動で設定します。その結果、インスタンスは両方の IP アドレスを保持し、プライマリー IP アドレスは変更されません。

(BZ#2079849)

NetworkManager は、特定の順番でボンドおよびチームポートをアクティベートしない

NetworkManager は、インターフェース名のアルファベット順にインターフェースをアクティブにします。ただし、起動中にインターフェイスが後で表示される場合、たとえば、カーネルがインターフェイスを検出するのにより多くの時間が必要な場合、NetworkManagerは後でこのインターフェイスをアクティブにします。NetworkManager は、ボンドおよびチームポートの優先順位の設定に対応していません。したがって、NetworkManager がこのデバイスのポートをアクティブにする順番は、常に予測できるとは限りません。この問題を回避するには、ディスパッチャスクリプトを作成します。

このようなスクリプトの例は、チケット内の対応する コメント を参照してください。

(BZ#1920398)

IPv6_rpfilter オプションが有効になっているシステムでネットワークスループットが低下

firewalld.conf ファイルで IPv6_rpfilter オプションが有効になっているシステムでは、100-Gbps リンクなどの高いトラフィックシナリオの場合、現時点でパフォーマンスは最適ではなくネットワークスループットが低下します。この問題を回避するには、IPv6_rpfilter オプションを無効にします。これを行うには、/etc/firewalld/firewalld.conf ファイルに次の行を追加します。

IPv6_rpfilter=no

その結果、システムはパフォーマンスが向上しますが、同時にセキュリティーは低下します。

(BZ#1871860)

10.8. カーネル

v1 モードでnet_prioまたはnet_clsコントローラーを使用すると、cgroup-v2階層の一部のコントローラーが非アクティブ化されます。

cgroup-v2環境では、v1 モードでnet_prioまたはnet_clsコントローラーのいずれかを使用すると、ソケットデータの階層追跡が無効になります。その結果、ソケットデータトラッキングコントローラーのcgroup-v2階層がアクティブにならず、dmesgコマンドは次のメッセージを報告します。

cgroup: cgroup: disabling cgroup2 socket matching due to net_prio or net_cls activation

(BZ#2046396)

暗号化したデバイスのパスフレーズを入力すると Anaconda が失敗することがあります。

インストールの準備時に kdump が無効になり、ユーザーが暗号化されたディスクのパーティション設定を選択すると、暗号化したデバイスのパスフレーズを入力すると、Anaconda インストーラーがトレースバックで失敗します。

この問題を回避するには、以下のいずれかを実行します。

  • kdump を無効にする前に、暗号化されたディスクパーティションを作成します。
  • インストール時に kdump を有効にし、インストールプロセスの完了後に無効にします。

(BZ#2086100)

同一の crash 拡張機能を再読み込みすると、セグメンテーションフォルトが発生する場合があります。

読み込み済みのクラッシュ拡張ファイルのコピーを読み込むと、セグメンテーションフォルトが発生する場合があります。現在、crash ユーティリティーは、元のファイルが読み込まれているかどうかを検出します。その結果、crash ユーティリティーに同一のファイルが 2 つ共存するため、名前空間コリジョンが発生し、クラッシュユーティリティーが起動してセグメンテーションフォルトが発生します。

この問題を回避するには、クラッシュ拡張ファイルを一度だけ読み込みます。その結果、セグメンテーションフォルトは上記のシナリオでは発生しなくなりました。

(BZ#1906482)

vmcore キャプチャーが、メモリーのホットプラグまたはアンプラグの操作を実行した後に失敗する

メモリーのホットプラグまたはホットアンプラグ操作の実行後に、メモリーのレイアウト情報を含むデバイスツリーを更新するとイベントが発生します。これにより、makedumpfile ユーティリティーは存在しない物理アドレスにアクセスしようとします。以下の条件を満たすと問題が発生します。

  • IBM Power System (little endian) で RHEL 8 を実行する。
  • システムで kdump サービスまたは fadump サービスが有効になっている。

このような場合に、メモリーホットプラグまたはホットアンプラグの操作後にカーネルクラッシュが発生すると、カーネルのキャプチャーで vmcore の保存に失敗します。

この問題を回避するには、ホットプラグまたはホットアンプラグ後に kdump サービスを再起動します。

# systemctl restart kdump.service

これにより、上記のシナリオで vmcore が正常に保存されます。

(BZ#1793389)

RHEL 8 で、デバッグカーネルがクラッシュキャプチャー環境で起動に失敗する

デバッグカーネルはメモリーを大量に消費するので、デバッグカーネルが使用中で、カーネルパニックが発生すると、問題が発生します。その結果、デバッグカーネルはキャプチャーカーネルとして起動できず、代わりにスタックトレースが生成されます。この問題を回避するには、必要に応じてクラッシュカーネルメモリーを増やします。これにより、デバッグカーネルが、クラッシュキャプチャー環境で正常に起動します。

(BZ#1659609)

起動時にクラッシュカーネルメモリーの割り当てに失敗する

一部の Ampere Altra システムでは、BIOS 設定で 32 ビットリージョンが無効になっていると、起動時にクラッシュカーネルメモリーを割り当てることに失敗します。したがって、kdump サービスが起動できません。これは、クラッシュカーネルメモリーを含むのに十分な大きさのフラグメントがない場合に、4 GB 未満のリージョンのメモリーの断片化によって生じます。

この問題を回避するには、以下のように BIOS で 32 ビットのメモリーリージョンを有効にします。

  1. システムで BIOS 設定を開きます。
  2. Chipset メニューを開きます。
  3. Memory Configuration で、Slave 32-bit オプションを有効にします。

これにより、32 ビットリージョン内のクラッシュカーネルメモリー割り当てに成功し、kdump サービスが期待どおりに機能します。

(BZ#1940674)

カーネル ACPI ドライバーは、PCIe ECAM メモリーリージョンにアクセスできないことを報告します。

ファームウェアが提供する Advanced Configuration and Power Interface (ACPI) テーブルは、PCI バスデバイスの現在のリソース設定 (_CRS) メソッドにおいて PCI バス上のメモリーリージョンを定義しません。したがって、システムの起動時に以下の警告メッセージが表示されます。

[    2.817152] acpi PNP0A08:00: [Firmware Bug]: ECAM area [mem 0x30000000-0x31ffffff] not reserved in ACPI namespace
[    2.827911] acpi PNP0A08:00: ECAM at [mem 0x30000000-0x31ffffff] for [bus 00-1f]

ただし、カーネルは依然として 0x30000000-0x31ffffff メモリーリージョンにアクセスできます。また、そのメモリーリージョンを PCI Enhanced Configuration Access Mechanism (ECAM) に適切に割り当てることができます。以下の出力で 256 バイトオフセットで PCIe 設定領域にアクセスして、PCI ECAM が正常に機能することを確認できます。

03:00.0 Non-Volatile memory controller: Sandisk Corp WD Black 2018/PC SN720 NVMe SSD (prog-if 02 [NVM Express])
 ...
        Capabilities: [900 v1] L1 PM Substates
                L1SubCap: PCI-PM_L1.2- PCI-PM_L1.1- ASPM_L1.2+ ASPM_L1.1- L1_PM_Substates+
                          PortCommonModeRestoreTime=255us PortTPowerOnTime=10us
                L1SubCtl1: PCI-PM_L1.2- PCI-PM_L1.1- ASPM_L1.2- ASPM_L1.1-
                           T_CommonMode=0us LTR1.2_Threshold=0ns
                L1SubCtl2: T_PwrOn=10us

これにより、警告メッセージを無視します。

問題の詳細は、Firmware Bug: ECAM area mem 0x30000000-0x31ffffff not reserved in ACPI namespace" appears during system bootを参照してください。

(BZ#1868526)

tuned-adm profile powersave コマンドを使用すると、システムが応答しなくなります。

tuned-adm profile powersave コマンドを実行すると、古い Thunderx (CN88xx) プロセッサーを持つ Penguin Valkyrie 2000 2 ソケットシステムが応答しなくなります。これにより、作業を再開するためシステムを再起動することになります。この問題を回避するには、システムが上記の仕様と一致する場合には powersave プロファイルの使用を避けてください。

(BZ#1609288)

HP NMI ウォッチドッグが常にクラッシュダンプを生成しない

特定に場合において、HP NMI ウォッチドッグの hpwdt ドライバーは、マスク不可割り込み (NMI) が perfmon ドライバーにより使用されたため、HPE ウォッチドッグタイマーが生成した NMI を要求できません。

欠落している NMI は、以下の 2 つの条件のいずれかによって開始されます。

  1. Integrated Lights-Out (iLO) サーバー管理ソフトウェアの NMI 生成 ボタン。このボタンはユーザーがトリガーします。
  2. hpwdt ウォッチドッグ。デフォルトでは、有効期限により NMI がサーバーに送信されます。

通常、両方のシーケンスは、システムが応答しない場合に発生します。通常、これらの状況の NMI ハンドラーは kernel panic() 関数を呼び出します。また、設定されていれば、kdump サービスが vmcore ファイルを生成します。

ただし、NMI が見つからないため、kernel panic() は呼び出されず、vmcore が収集されません。

最初のケース(1.)でシステムが応答しない場合は、その状態のままになります。このシナリオを回避するには、仮想 電源 ボタンを使用してサーバーをリセットするか、電源を切って入れ直します。

2 つ目のケース(2.)では、欠落している NMI が Automated System Recovery (ASR) からのリセットの後 9 秒後に続きます。

HPE Gen9 Server ラインでは、1 桁台の割合でこの問題が発生します。Gen10 の周波数がさらに小さくなる。

(BZ#1602962)

irqpoll を使用すると vmcore の生成に失敗します。

Amazon Web Services Graviton 1 プロセッサーで実行される 64 ビット ARM アーキテクチャー上の nvme ドライバーの既存の問題により、irqpoll カーネルコマンドラインパラメーターを最初のカーネルに指定すると vmcore 生成が失敗します。したがって、カーネルクラッシュ時に vmcore/var/crash/ ディレクトリーにダンプされません。この問題を回避するには、以下を実行します。

  1. /etc/sysconfig/kdump ファイルの KDUMP_COMMANDLINE_REMOVE 変数に irqpoll を追加します。

    # KDUMP_COMMANDLINE_REMOVE="hugepages hugepagesz slub_debug quiet log_buf_len swiotlb"
  2. /etc/sysconfig/kdump ファイルの KDUMP_COMMANDLINE_APPEND 変数から irqpoll を削除します。

    # KDUMP_COMMANDLINE_APPEND="irqpoll nr_cpus=1 reset_devices cgroup_disable=memory udev.children-max=2 panic=10 swiotlb=noforce novmcoredd"
  3. kdump サービスを再起動します。

    # systemctl restart kdump

その結果、最初のカーネルが正常に起動し、カーネルクラッシュ時に vmcore がキャプチャーされることが予想されます。

Amazon Web Services Graviton 2 および Amazon Web Services Graviton 3 プロセッサーでは、/etc/sysconfig/kdump ファイルの irqpoll パラメーターを手動で削除する必要はありません。

kdump サービスは、大量のクラッシュカーネルメモリーを使用して vmcore ファイルをダンプできます。キャプチャーカーネルには、kdump サービス用のメモリーが十分あることを確認します。

この既知の問題の関連情報は、irqpoll カーネルコマンドラインパラメーターにより、vmcore 生成エラーが発生する場合がある を参照してください。

(BZ#1654962)

仮想マシンへの仮想機能の割り当て時に接続に失敗する

ionic デバイスドライバーを使用する Pensando ネットワークカードは、VLAN タグ設定要求を許可し、ネットワーク仮想機能 (VF) を VM に割り当てる間にネットワーク接続の設定を試行します。この機能はカードのファームウェアではサポートされていないため、このようなネットワーク接続は失敗します。

(BZ#1930576)

OPEN MPI ライブラリーは、デフォルトの PML でランタイムが失敗する可能性があります。

OPEN Message Passing Interface (OPEN MPI) 実装 4.0.x シリーズでは、UCX (Unified Communication X) がデフォルトの PPL (ポイントツーポイント) です。OPEN MPI 4.0.x シリーズの新しいバージョンでは、openib Byte Transfer Layer (BTL) が非推奨になりました。

ただし、OPEN MPI は 同種 クラスター (同じハードウェアおよびソフトウェア設定) で実行される場合も、UCX は MPI openlib の一方向操作に BTL を使用します。これにより、実行エラーが発生する可能性があります。この問題を回避するには、以下を実行します。

  • 以下のパラメーターを使用して mpirun コマンドを実行します。
-mca btl openib -mca pml ucx -x UCX_NET_DEVICES=mlx5_ib0

詳細は以下のようになります。

  • -mca btl openib パラメーターは openib BTL を無効にします。
  • -mca pml ucx パラメーターは、ucx PML を使用するように OPEN MPI を設定します。
  • x UCX_NET_DEVICES= パラメーターは、指定したデバイスを使用するように UCX を制限します。

OPEN MPI は、異種 クラスター (ハードウェアおよびソフトウェア設定に異なる) を実行する場合は、デフォルトの PML として UCX を使用します。これにより、OPEN MPI ジョブが不安定なパフォーマンス、応答しない動作で実行されたり、またはクラッシュによる不具合とともに実行される可能性があります。この問題を回避するには、UCX の優先度を以下のように設定します。

  • 以下のパラメーターを使用して mpirun コマンドを実行します。
-mca pml_ucx_priority 5

これにより、OPEN MPI ライブラリーは、UCX を介して利用可能な別のトランスポート層を選択することができます。

(BZ#1866402)

Solarflare が、最大数のVF(Virtual Function)の作成に失敗する

Solarflare NIC は、リソースが十分にないため、最大数のVF の作成に失敗します。PCIeデバイスが作成できるVFの最大数は、/sys/bus/pci/devices/PCI_ID/sriov_totalvfsファイルで確認できます。この問題を回避するには、起動時に Solarflare Boot Manager から、または Solarflare sfboot ユーティリティーの使用により、VF の数または VF MSI 割り込みの値を低い値に調整できます。デフォルトの VF MSI 割り込みの値は 8 です。

  • sfboot を使用して VF MSI 割り込み値を調整するには、以下を実行します。
# sfboot vf-msix-limit=2
注記

VF MSI 割り込みの値を調整すると、VF のパフォーマンスに影響します。

調整されるパラメーターの詳細は、Solarflare Server Adapter user guideを参照してください。

(BZ#1971506)

10.9. ファイルシステムおよびストレージ

LVM writecache の制限

writecache LVM キャッシュメソッドには以下の制限がありますが、cache メソッドには存在しません。

  • pvmove コマンドを使用すると、writecache 論理ボリュームに名前を付けることはできません。
  • writecache を指定した論理ボリュームは、シンプールまたは VDO と組み合わせて使用できません。

以下の制限は、cache メソッドにも適用されます。

  • cache または writecache がアタッチされている間は、論理ボリュームのサイズを変更することはできません。

(JIRA:RHELPLAN-27987, BZ#1798631, BZ#1808012)

XFS クォータ警告が頻繁にトリガーされます

クォータタイマーを使用すると、クォータ警告が頻繁にトリガーされるため、ソフトクォータが必要以上に速く実行されます。この問題を回避するには、警告のトリガーを妨げるソフトクォータを使用しないでください。その結果、警告メッセージの量はソフトクォータ制限を強制せず、設定されたタイムアウトを尊重するようになります。

(BZ#2059262)

LUKS ボリュームを格納する LVM mirror デバイスが応答しなくなることがあります。

セグメントタイプが mirror のミラーリング LVM デバイスで LUKS ボリュームを格納すると、特定の条件下で応答しなくなる可能性があります。デバイスが応答しなくなると、すべての I/O 操作を拒否します。

耐障害性のソフトウェア定義ストレージに、LUKS ボリュームをスタックする必要がある場合に、この問題を回避するには、Red Hat は セグメントタイプが mirror ではなく raid1 の LVM RAID 1 デバイスを使用することを推奨します。

raid1 のセグメントタイプは、デフォルトの RAID 設定タイプで、mirror の代わりに、推奨のソリューションとしてこのタイプが使用されます。

mirror デバイスを raid に変換するには、ミラーリングされた LVM デバイスの RAID1 デバイスへの変換を参照してください。

(BZ#1730502)

/boot ファイルシステムを LVM に配置することができません。

/boot ファイルシステムを LVM 論理ボリュームに配置することはできません。この制限は、以下の理由により存在します。

  • EFI システムでは、EFI システムパーティション が従来の /boot ファイルシステムとして機能します。uEFI 標準では、特定の GPT パーティションタイプと、このパーティションの特定のファイルシステムタイプが必要です。
  • RHEL 8 は、システムブートエントリーに Boot Loader Specification (BLS) を使用します。この仕様では、プラットフォームのファームウェアが /boot ファイルシステムを読み込める必要があります。EFI システムでは、プラットフォームファームウェアは uEFI 標準で定義された /boot 設定のみを読み取ることができます。
  • GRUB 2 ブートローダーでの LVM 論理ボリュームに対するサポートは完全ではありません。Red Hat は、uEFI や BLS などの標準があるので、この機能のユースケース数が減少しているため、サポートを改善する予定はありません。

Red Hat では、LVM での /boot のサポートを提供する予定はありません。代わりに、Red Hat は、/boot ファイルシステムを LVM 論理ボリュームに配置する必要がないシステムスナップショットおよびロールバックを管理するツールを提供します。

(BZ#1496229)

LVM で、複数のブロックサイズを持つボリュームグループが作成できません。

vgcreate または vgextend などの LVM ユーティリティーでは、物理ボリューム (PV) の論理ブロックサイズが異なるボリュームグループ (VG) を作成できなくなりました。別のブロックサイズの PV で基礎となる論理ボリューム (LV) を拡張するとファイルシステムがマウントに失敗するため、LVM はこの変更を採用しました。

ブロックサイズが混在する VG の作成を再度有効にするには、lvm.conf ファイルの allow_mixed_block_sizes=1 オプションを設定します。

(BZ#1768536)

NVMe/TCP ドライバーでデバイスマッパーマルチパスを使用すると、システムが不安定になります

DM マルチパスは、NVMe/TCP ドライバーではサポートされていません。これを使用すると、カーネル内のスリープ関数が Atomic コンテキストで呼び出され、システムが不安定になります。

この問題を回避するには、ネイティブ NVMe マルチパスを有効にします。DM マルチパスツールは使用しないでください。RHEL 8 の場合、オプション nvme_core.multipath=Y をカーネルコマンドラインに追加します。

(BZ#2022359)

blk-availability systemd サービスは、複雑なデバイススタックを非アクティブ化します

systemd では、デフォルトのブロック非アクティブ化コードは、仮想ブロックデバイスの複雑なスタックを常に正しく処理するとは限りません。一部の設定では、シャットダウン中に仮想デバイスが削除されない場合があり、エラーメッセージがログに記録されます。この問題を回避するには、次のコマンドを実行して、複雑なブロックデバイススタックを非アクティブ化します。

# systemctl enable --now blk-availability.service

その結果、複雑な仮想デバイススタックはシャットダウン中に正しく非アクティブ化され、エラーメッセージは生成されません。

(BZ#2011699)

10.10. 動的プログラミング言語、Web サーバー、およびデータベースサーバー

32 ビットアプリケーションで呼び出されると getpwnam() が失敗する場合がある

NIS のユーザーが getpwnam() 関数を呼び出す 32 ビットアプリケーションを使用する場合は、nss_nis.i686 パッケージがないと呼び出しに失敗します。この問題を回避するには、yum install nss_nis.i686 コマンドを使用して、不足しているパッケージを手動でインストールします。

(BZ#1803161)

OQGraph プラグインが有効な場合に、MariaDB 10.5 が存在しないテーブルの破棄について警告しない

OQGraph ストレージエンジンプラグインが MariaDB 10.5 サーバーに読み込まれると、MariaDB は存在しないテーブルの削除について警告しません。特に、ユーザーが DROP TABLE コマンドまたは DROP TABLE または DROP TABLE IF EXISTS SQL コマンドを使用して存在しないテーブルをドロップしようとすると、MariaDB はエラーメッセージを返したり警告をログに記録したりしません。

OQGraph プラグインは mariadb-oqgraph-engine パッケージにより提供されることに注意してください。デフォルトではインストールされません。

(BZ#1944653)

MariaDBでは PAM プラグインバージョン 1.0 が機能しない

MariaDB 10.3 は、PAM (Pluggable Authentication Modules) プラグインバージョン 1.0 を提供します。MariaDB 10.5 は、プラグインバージョン 1.0 および 2.0 を提供します。バージョン 2.0 がデフォルトです。

RHEL 8では、MariaDB PAM プラグインバージョン 1.0 は機能しません。この問題を回避するには、mariadb:10.5 モジュールストリームによって提供される PAM プラグインバージョン 2.0 を使用します。

(BZ#1942330)

OpenLDAP ライブラリー間のシンボルの競合により、httpd でクラッシュが発生することがある

OpenLDAP が提供する libldap ライブラリーと libldap_r ライブラリーの両方が、単一のプロセス内にロードされ、使用されると、これらのライブラリー間でシンボルの競合が発生する可能性があります。そのため、httpd 設定によって mod_security または mod_auth_openidc モジュールもロードされると、PHP ldap 拡張機能を使用する Apache httpd 子プロセスが突然終了する可能性があります。

Apache Portable Runtime (APR) ライブラリーに対する RHEL 8.3 の更新では、APR_DEEPBIND 環境変数を設定することでこの問題を回避できます。これにより、httpd モジュールのロード時に RTLD_DEEPBIND 動的リンカーオプションを使用できるようになります。APR_DEEPBIND 環境変数を有効にすると、競合するライブラリーをロードする httpd 設定でクラッシュが発生しなくなります。

(BZ#1819607)

10.11. ID 管理

Windows Server 2008 R2 以前に対応しなくなった

RHEL 8.4 以降では、Identity Management (IdM) は、Windows Server 2008 R2 以前のバージョンを実行している Active Directory ドメインコントローラーとの間で Active Directory への信頼を確立することに対応していません。RHEL IdM との信頼関係を確立する際に、SMB 暗号化が必要になりました。これは、Windows Server 2012 以降でのみ利用可能です。

(BZ#1971061)

--agent-uid pkidbuser オプションを指定して cert-fix ユーティリティーを使用すると、証明書システムが破損します。

--agent-uid pkidbuser オプションを指定して cert-fix ユーティリティーを使用すると、証明書システムの LDAP 設定が破損します。したがって、証明書システムは不安定になり、システムの復元に手動の操作が必要になる可能性があります。

(BZ#1729215)

IdM ホストの /var/log/lastlog 分析ファイルが、パフォーマンスの問題を引き起こす可能性があります。

IdM のインストール時に、利用できる合計 10,000 の範囲からの 200,000 の UID の範囲が無作為に選択され、割り当てられます。このようにランダムな範囲を選択すると、今後別の 2 つの IdM ドメインを統合する場合に、ID の競合が発生する可能性を大幅に削減できます。

ただし、UID が多いと、/var/log/lastlog ファイルで問題が発生する可能性があります。たとえば、1280000008 の UID を持つユーザーが IdM クライアントにログインすると、ローカルの /var/log/lastlog ファイルサイズは、約 400 GB に増えます。実際のファイルはスパースで、その領域をすべて使用しません。ただし、一部のアプリケーションはデフォルトではスパースファイルを識別するように設計されています。そのため、それらを処理する特定のオプションが必要になる場合があります。たとえば、設定が複雑でバックアップ、コピーアプリケーションがスパースファイルを正しく処理しない場合、ファイルはサイズが 400 GB であるかのようにコピーされます。この動作により、パフォーマンスの問題が発生する可能性があります。

この問題を回避するには、以下を実行します。

  • 標準パッケージの場合は、そのドキュメントを参照して、スパースファイルを処理するオプションを特定します。
  • カスタムアプリケーションの場合、/var/log/lastlog などのスパースファイルを正しく管理できることを確認してください。

(JIRA:RHELPLAN-59111)

FIPS モードは、共有シークレットを使用したフォレスト間の信頼を確立することをサポートしません。

NTLMSSP 認証は FIPS に準拠していないため、FIPS モードでフォレスト間の信頼を確立できません。この問題を回避するには、FIPS モードが有効な IdM ドメインと AD ドメインとの間に信頼を確立する際に、Active Directory (AD) 管理アカウントで認証します。

(BZ#1924707)

FreeRADIUS サーバーが FIPS モードでの実行に失敗する

デフォルトでは、FIPS モードでは、OpenSSL は MD5 ダイジェストアルゴリズムの使用を無効にします。RADIUS プロトコルでは、RADIUS クライアントと RADIUS サーバー間のシークレットを暗号化するために MD5 が必要であるため、FreeRADIUS サーバーが FIPS モードで失敗します。

この問題を回避するには、以下の手順に従います。

手順

  1. radiusd サービスの環境変数 RADIUS_MD5_FIPS_OVERRIDE を作成します。

    systemctl edit radiusd
    
    [Service]
    Environment=RADIUS_MD5_FIPS_OVERRIDE=1
  2. 変更を適用するには、systemd 設定を再読み込みし、radiusd サービスを開始します。

    # systemctl daemon-reload
    # systemctl start radiusd
  3. デバッグモードで FreeRADIUS を実行するには、以下を実行します。

    # RADIUS_MD5_FIPS_OVERRIDE=1 radiusd -X

FreeRADIUS は FIPS モードで実行できますが、FIPS モードでは弱い暗号と関数が使用されるため、これは FIPS に準拠するわけではありません。

FIPS モードでの FreeRADIUS 認証の設定方法は、FIPS モードで FreeRADIUS 認証を設定する方法 を参照してください。

(BZ#1958979)

Samba をプリントサーバーとして実行し、RHEL 8.4 以前から更新する場合にアクションが必要です

今回の更新で、sambaパッケージが /var/spool/samba/ ディレクトリーを作成しなくなりました。プリントサーバーとして Samba を使用し、[printers] 共有の /var/spool/samba/ を使用してプリントジョブをスプールすると、SELinux は Samba ユーザーがこのディレクトリーにファイルを作成しないようにします。したがって、印刷ジョブが失敗し、auditd サービスは /var/log/audit/audit.logdenied メッセージを記録します。8.4 以前からシステムを更新した後にこの問題を回避するには、以下を行います。

  1. /etc/samba/smb.conf ファイルで [printers] 共有を探します。
  2. 共有定義に path = /var/spool/samba/ が含まれる場合は、設定を更新して、path パラメーターを /var/tmp/ に設定します。
  3. smbd サービスを再起動します。

    # systemctl restart smbd

Samba を RHEL 8.5 以降に新しくインストールした場合、アクションは不要です。その場合、samba-common パッケージが提供するデフォルトの /etc/samba/smb.conf ファイルは、すでに /var/tmp/ ディレクトリーを使用してプリントジョブをスプールします。

(BZ#2009213)

バージョン 1.2.2 へのリベース後の authselect のダウングレードにより、システム認証の破損

authselect パッケージが、最新のアップストリームバージョン 1.2.2 にリベースされました。authselect のダウングレードはサポートされておらず、root を含むすべてのユーザーに対してシステム認証が破損しています。

authselect パッケージを 1.2.1 以前にダウングレードした場合は、この問題を回避するために以下の手順を実行します。

  1. GRUB ブート画面で、起動するカーネルのバージョンを含む Red Hat Enterprise Linux を選択し、e を押してエントリーを編集します。
  2. linux で始まる行の末尾で、single を、別の単語で入力し、Ctrl+X を押して起動プロセスを開始します。
  3. シングルユーザーモードでの起動時に、root パスワードを入力します。
  4. 以下のコマンドを使用して authselect 設定を復元します。

    # authselect select sssd --force

(BZ#1892761)

NSSで有効になっている暗号のdefaultキーワードは、他の暗号と組み合わせても機能しません

Directory Serverでは、defaultキーワードを使用して、ネットワークセキュリティサービス(NSS)で有効になっているデフォルトの暗号を参照することができます。しかし、コマンドラインまたはWebコンソールを使用してデフォルトの暗号および追加の暗号を有効にする場合、Directory Serverはdefaultキーワードの解決に失敗します。その結果、サーバーは追加で指定された暗号のみを有効にし、以下のエラーを記録します。

Security Initialization - SSL alert: Failed to set SSL cipher preference information: invalid ciphers <default,+__cipher_name__>: format is +cipher1,-cipher2... (Netscape Portable Runtime error 0 - no error)

回避策としては、追加で有効にしたいものも含めて、NSSでデフォルトで有効になっているすべての暗号を指定してください。

(BZ#1817505)

10.12. デスクトップ

ソフトウェアリポジトリーからの flatpak リポジトリーの無効化ができません。

現時点で、GNOME Software ユーティリティーの Software Repositories ツールで flatpak リポジトリーを無効化または削除することはできません。

(BZ#1668760)

Generation 2 の RHEL 8 仮想マシンが Hyper-V Server 2016 ホストで起動できない場合があります。

Microsoft Hyper-V Server 2016 ホストで実行している仮想マシンで RHEL 8 をゲストオペレーティングシステムとして使用すると、仮想マシンが起動しなくなり、GRUB ブートメニューに戻る場合があります。さらに、以下のエラーが Hyper-V イベントログに記録されます。

The guest operating system reported that it failed with the following error code: 0x1E

このエラーは、Hyper-V ホストの UEFI ファームウェアバグが原因で発生します。この問題を回避するには、Hyper-V Server2019 以降をホストとして使用します。

(BZ#1583445)

ドラッグアンドドロップが、デスクトップとアプリケーション間で機能しません。

gnome-shell-extensions パッケージのバグにより、ドラッグアンドドロップ機能は現在、デスクトップとアプリケーションの間では機能しません。この機能のサポートは、今後のリリースで追加される予定です。

(BZ#1717947)

10.13. グラフィックインフラストラクチャー

radeon がハードウェアを適切なハードウェアリセットに失敗します。

現在、radeon カーネルドライバーは、kexec コンテキストでハードウェアを正しくリセットしません。代わりに radeon がフェイルオーバーします。これにより、kdump サービスの残りの部分が失敗します。

この問題を回避するには、/etc/kdump.conf ファイルに以下の行を追加して、kdumpradeon を無効にします。

dracut_args --omit-drivers "radeon"
force_rebuild 1

マシンと kdump を再起動します。kdumpの起動後、設定ファイルから force_rebuild 1 行が削除される可能性があります。

このシナリオでは、kdump 中にグラフィックは利用できませんが、kdump は正常に動作します。

(BZ#1694705)

1 つの MST トポロジーで複数の HDR ディスプレイを使用すると、電源が入らないことがあります。

nouveau ドライバーの NVIDIA Turing GPUs を使用するシステムで、DisplayPort ハブ (ラップトップのドックなど) を使用して HDR プラグインのサポートがあるモニターを複数接続すると、電源が入らないことがあります。これは、全ディスプレイをサポートする帯域幅がハブ上にないと、システムが誤って判断してしまうことが原因で発生します。

(BZ#1812577)

ビデオメモリーが少なくなったため、ESXi の GUI がクラッシュする可能性がある

vCenter Server 7.0.1 を使用する VMware ESXi 7.0.1 ハイパーバイザーの RHEL 仮想マシンでグラフィカルユーザーインターフェース (GUI) には、一定量のビデオメモリーが必要です。複数のコンソールまたは高解像度のモニターを仮想マシンに接続する場合、GUI には少なくとも 16 MB のビデオメモリーが必要です。ビデオメモリーが少ないで GUI を起動すると、GUI が突然終了する可能性があります。

この問題を回避するには、仮想マシンに 16 MB 以上のビデオメモリーを割り当てるようにハイパーバイザーを設定します。その結果、仮想マシンの GUI がクラッシュしなくなりました。

この問題が発生した場合は、VMware に報告することをお勧めします。

VMware の記事、VMs with high resolution VM console may experience a crash on ESXi 7.0.1 (83194)、も参照してください。

(BZ#1910358)

VNC Viewer が、IBM Z で 16 ビットのカラーデプスで誤った色を表示

VNC Viewer アプリケーションは、16 ビットのカラーデプスで IBM Z サーバーの VNC セッションに接続すると、誤った色を表示します。

この問題を回避するには、VNC サーバーで 24 ビットのカラーデプスを設定します。Xvnc サーバーの場合は、Xvnc 設定で -depth 16 オプションを -depth 24 に置き換えます。

その結果、VNC クライアントで色が正しく表示されますが、サーバーでは、より多くのネットワーク帯域幅が使用されます。

(BZ#1886147)

sudo コマンドを使用してグラフィカルアプリケーションを実行できません。

権限が昇格されたユーザーで、グラフィカルアプリケーションを実行しようとすると、エラーメッセージが表示され、アプリケーションを開くことができません。この障害は、 Xauthority ファイルで、通常ユーザーの認証情報を使用して認証するように、Xwayland に制限が加えられているため発生します。

この問題を回避するには、sudo -E コマンドを使用して、root ユーザーとしてグラフィカルアプリケーションを実行します。

(BZ#1673073)

ARM でハードウェアアクセラレーションがサポートされない

組み込みグラフィックドライバーは、64 ビット ARM アーキテクチャー上のハードウェアアクセラレーションまたは Vulkan API に対応していません。

ARM でハードウェアアクセラレーションまたは Vulkan を有効にするには、プロプライエタリーの Nvidia ドライバーをインストールします。

(JIRA:RHELPLAN-57914)

10.14. Web コンソール

Web コンソールを使用した USB ホストデバイスの削除が期待どおりに機能しない

USB デバイスを仮想マシン (VM) に接続すると、USB デバイスのデバイス番号とバス番号が VM に渡された後に変更される場合があります。結果として、Web コンソールを使用してそのようなデバイスを削除すると、デバイスとバス番号の相関が正しくないために失敗します。この問題を回避するには、VM の XML 設定から USB デバイスの <hostdev> 部分を削除します。

(JIRA:RHELPLAN-109067)

Web コンソールを使用した複数のホストデバイスの接続は機能しない

Web コンソールを使用して仮想マシン (VM) に接続する複数のデバイスを選択すると、1 つのデバイスのみが接続され、残りは無視されます。この問題を回避するには、一度に 1 つのデバイスのみを接続します。

(JIRA:RHELPLAN-115603)

10.15. Red Hat Enterprise Linux システムロール

Playbook またはインベントリーでホスト名 localhost を使用して localhost を管理できません

RHEL に ansible-core 2.12 パッケージが含まれているため、ノードを管理しているのと同じホストで Ansible を実行している場合は、Playbook またはインベントリーで localhost ホスト名を使用して実行することはできません。これは、ansible-core 2.12python38 モジュールを使用し、ライブラリーの多くが欠落しているために発生します。たとえば、storage ロールの場合は blivetnetwork ロールの場合は gobject です。この問題を回避するには、Playbook またはインベントリーでホスト名 localhost をすでに使用している場合は、ansible_connection=local を使用するか、ansible_connection=local オプションを使用して localhost をリストするインベントリーファイルを作成することで接続を追加できます。これにより、localhost 上のリソースを管理できます。詳細については、記事 ローカルホストで実行すると RHEL System Roles のプレイブックが失敗する を参照してください。

(BZ#2041997)

10.16. 仮想化

仮想マシンのネットワークトラフィックのパフォーマンスが低下する可能性があります

RHEL 8.6 ゲスト仮想マシン(VM)では、高レベルのネットワークトラフィックを処理する場合にパフォーマンスが若干低下することがあります。

(BZ#2069047)

多数のキューを使用すると、Windows 仮想マシンが失敗する可能性があります。

仮想Trusted Platform Module(vTPM)デバイスが有効になっていて、multi-queue virtio-net 機能が 250 を超えるキューを使用するように設定されていると、Windows 仮想マシン(VM)が失敗する場合があります。

この問題は、vTPM デバイスの制限により発生します。vTPM デバイスには、オープンファイル記述子の最大数にハードコーディングされた制限があります。新しいキューごとに複数のファイル記述子が開けるため、内部 vTPM の制限を超過し、仮想マシンが失敗します。

この問題を回避するには、以下のいずれかのオプションを選択します。

  • vTPM デバイスを有効にし続けますが、250 以上のキューを使用します。
  • vTPM デバイスを無効にして、250 を超えるキューを使用します。

(BZ#2020133)

フェイルオーバー VF を持つ仮想マシンのライブコピー後の移行が機能しない

現在、VM が仮想機能 (VF) フェイルオーバー機能が有効になっているデバイスを使用している場合、実行中の仮想マシン (VM) のコピー後移行の試行は失敗します。この問題を回避するには、コピー後の移行ではなく、標準の移行タイプを使用します。

(BZ#2054656)

Milan 仮想マシンの CPU タイプは、AMD Milan システムで利用できないことがあります。

特定の AMD Milan システムでは、Enhanced REP MOVSB(erms)および Fast Short REP MOVSB(fsrm)機能フラグがデフォルトで無効になっています。したがって、「Milan」CPU タイプは、これらのシステムで利用できない可能性があります。さらに、機能フラグ設定が異なる Milan ホスト間の仮想マシンのライブマイグレーションが失敗する可能性があります。これらの問題を回避するには、ホストの BIOS で erms および fsrm を手動で有効にします。

(BZ#2077770)

virtio-blk を使用して仮想マシンに LUN デバイスを割り当てると機能しません。

q35 マシンタイプは、移行用の virtio 1.0 デバイスをサポートしないため、RHEL 8 では virtio 1.0 で非推奨となった機能はサポートされません。特に、RHEL 8 ホストで virtio-blk デバイスから SCSI コマンドを送信することはできません。したがって、virtio-blk コントローラーを使用する場合は、物理ディスクを LUN デバイスとして仮想マシンに割り当てると失敗します。

物理ディスクをゲストオペレーティングシステムを通して渡すことは引き続き可能ですが、device='lun' オプションではなく、device='disk' オプションで設定する必要があることに留意してください。

(BZ#1777138)

iommu_platform=on が IBM POWER で起動に失敗する

RHEL 8 は現在、IBM POWER システムの仮想マシン用の iommu_platform=on パラメーターに対応していません。これにより、IBM POWER ハードウェアでこのパラメーターを使用して仮想マシンを起動すると、仮想マシンがシステムの起動プロセス時に応答しなくなります。

(BZ#1910848)

ibmvfc ドライバーを使用すると、IBM POWER ホストがクラッシュする可能性がある

PowerVM 論理パーティション (LPAR) で RHEL 8 を KVM 仮想化ホストとして実行する場合、ibmvfc ドライバーの問題が原因で、現在さまざまなエラーが発生する可能性があります。結果として、ホストのカーネルは、以下のような特定の状況下でパニックになる可能性があります。

  • Live Partition Mobility (LPM) 機能の使用
  • ホストアダプターのリセット
  • SCSI エラー処理機能 (SCSI EH) 機能の使用

(BZ#1961722)

IBM POWER Systems で perf kvm レコード を使用すると、仮想マシンがクラッシュする可能性があります。

IBM POWER ハードウェアのリトルエンディアンバリアントで RHEL 8 ホストを使用する場合は、perf kvm record コマンドを使用して KVM 仮想マシンのイベントサンプルを収集すると、仮想マシンが応答しなくなることがあります。この状況は、以下の場合に発生します。

  • perf ユーティリティーは権限のないユーザーによって使用され、-p オプションは仮想マシンを識別するために使用されます (perf kvm record -e trace_cycles -p 12345)。
  • 仮想マシンが virsh シェルを使用して起動している。

この問題を回避するには、perf kvm ユーティリティーに -i オプションを指定して、virsh シェルを使用して作成した仮想マシンを監視します。以下に例を示します。

# perf kvm record -e trace_imc/trace_cycles/  -p <guest pid> -i

-i オプションを使用する場合、子タスクはカウンターを継承しないため、スレッドは監視されないことに注意してください。

(BZ#1924016)

特定の CPU モデルの使用時に Hyper-V を有効化した Windows Server 2016 仮想マシンが起動に失敗する

現在、Windows Server 2016 をゲストオペレーティングシステムとして使用し、Hyper-V ロールが有効になっていて、以下の CPU モデルのいずれかを使用する仮想マシンを起動できません。

  • EPYC-IBPB
  • EPYC

この問題を回避するには、EPYC-v3 CPU モデルを使用するか、仮想マシンの xsaves CPU フラグを手動で有効にします。

(BZ#1942888)

RHEL 7-ALT ホストから RHEL 8 への POWER9 ゲストの移行に失敗する

現在のリリースでは、RHEL 7-ALT ホストシステムから RHEL 8 に POWER9 仮想マシンを移行すると、Migration status: active のステータスで応答がなくなります。

この問題を回避するには、RHEL 7-ALT ホストで Transparent Huge Pages (THP) を無効にすることで、移行が正常に完了します。

(BZ#1741436)

virt-customize を使用すると、guestfs-firstboot が失敗することがあります。

virt-customize ユーティリティーを使用して仮想マシン (VM) ディスクイメージを変更すると、SELinux パーミッションが正しくないために guestfs-firstboot サービスが失敗します。これにより、ユーザーの作成やシステム登録の失敗など、仮想マシンの起動時にさまざまな問題が発生します。

この問題を回避するには、virt-customize でディスクイメージを変更した後に、仮想マシンのカーネルコマンドラインに --selinux-relabel を追加します。

(BZ#1554735)

macvtap 仮想ネットワークから正引きインターフェースを削除すると、このネットワークの接続数がすべてリセットされます。

現在、複数のフォワードインターフェースを持つ macvtap 仮想ネットワークからフォワードインターフェースを削除すると、ネットワークの他のフォワードインターフェースの接続ステータスもリセットされます。したがって、ライブネットワーク XMLの接続情報が正しくありません。ただし、これは仮想ネットワークの機能に影響を与えるわけではないことに注意してください。この問題を回避するには、ホストで libvirtd サービスを再起動します。

(BZ#1332758)

SLOF が指定された仮想マシンは netcat インターフェースでの起動に失敗する

netcat(nc)インターフェースを使用して、現在 Slimline Open Firmware(SLOF)プロンプトで待機中の仮想マシンのコンソールにアクセスすると、ユーザー入力は無視され、仮想マシンが応答しないままとなります。この問題を回避するには、仮想マシンに接続する場合は nc -C オプションを使用するか、代わりに telnet インターフェースを使用します。

(BZ#1974622)

場合によっては、virt-managerで仲介デバイスを仮想マシンに接続すると失敗します

virt-managerアプリケーションは現在、仲介されたデバイスを検出できますが、デバイスがアクティブであるかどうかを認識できません。結果として、virt-managerを使用して、非アクティブな仲介デバイスを実行中の仮想マシン (VM) に接続しようとすると失敗します。同様に、非アクティブな仲介デバイスを使用する新しい VM を作成しようとすると、device not found エラーで失敗します。

この問題を回避するには、virt-managerで使用する前に、virsh nodedev-start または mdevctl start コマンドを使用して仲介デバイスをアクティブにします。

(BZ#2026985)

RHEL 9 仮想マシンが POWER8 互換モードでの起動に失敗する

現在、仮想マシン (VM) が次のような CPU 設定も使用している場合、ゲストオペレーティングシステムとして RHEL 9 を実行する仮想マシンの起動は失敗します。

  <cpu mode="host-model">
    <model>power8</model>
  </cpu>

この問題を回避するには、RHEL 9 仮想マシンで POWER8 互換モードを使用しないでください。

さらに、POWER8 ホストでは RHEL 9 VM を実行できないことに注意してください。

(BZ#2035158)

多数の virtio-blk ディスクを使用すると、仮想マシンが起動しないことがあります。

多数の virtio-blk デバイスを仮想マシンに追加すると、プラットフォームで利用可能な割り込みベクトルの数が使い切られる可能性があります。これが発生すると、仮想マシンのゲスト OS は起動できず、dracut-initqueue[392]: Warning: Could not boot エラーが表示されます。

(BZ#1719687)

Windows Server 2022 ゲストが AMD Milan で起動が非常に遅くなることがあります。

Windows Server 2022 ゲストオペレーティングシステムを使用する仮想マシンと qemu64 CPU モデルを使用する仮想マシンでは、現在、AMD EPYC 7003 シリーズプロセッサー( AMD Milanとも呼ばれる)を持つホストでの起動に非常に長い時間がかかります。

この問題を回避するには、RHEL 8 の仮想マシンにサポート対象外の設定であるため、qemu64 を CPU モデルとして使用しないでください。たとえば、代わりに host-model CPU を使用します。

(BZ#2012373)

AMD EPYC でホストパススルーモードを使用する際に、SMT CPU トポロジーが仮想マシンで検出されません。

AMD EPYC ホストで行われた CPU ホストパススルーモードで仮想マシンを起動すると、TOPOEXT 機能フラグは存在しません。したがって、仮想マシンは、コアごとに複数のスレッドを持つ仮想 CPU トポロジーを検出できません。この問題を回避するには、ホストパススルーの代わりに EPYC CPU モデルを使用して仮想マシンを起動します。

(BZ#1740002)

10.17. クラウド環境の RHEL

SR-IOV は、Azure 上の ARM 64 RHEL 8 仮想マシンで準最適に動作します

現在、SR-IOV ネットワーキングデバイスは、Microsoft Azure プラットフォームで実行されている ARM 64 RHEL 8 仮想マシンで想定されるよりも、全体でははるかに低くなっており、レイテンシーは高くなっています。

(BZ#2068429)

VMware ホストの RHEL 8 仮想マシンで静的 IP を設定できませんでした。

現在、VMware ホストで RHEL 8 を仮想マシンのゲストオペレーティングシステムとして使用すると、DatasourceOVF 機能は正しく機能しません。これにより、cloud-init ユーティリティーを使用して、仮想マシンのネットワークを静的 IP に設定し、仮想マシンを再起動すると、仮想マシンのネットワークが DHCP に変更されます。

(BZ#1750862)

Azure および Hyper-V で kdump が起動しないことがあります。

Microsoft Azure または Hyper-V ハイパーバイザーでホストされている RHEL 8 ゲストオペレーティングシステムでは、実行後通知が有効な場合に kdump カーネルの起動が失敗することがあります。

この問題を回避するには、crash kexec post notifiers を無効にします。

# echo N > /sys/module/kernel/parameters/crash_kexec_post_notifiers

(BZ#1865745)

複数のゲストディスクで Hyper-V 仮想マシンを起動する際に、SCSI ホストアドレスが変更することがあります。

現在、Hyper-V ハイパーバイザーで RHEL 8 仮想マシンを起動すると、場合によっては、Host, Bus, Target, Lun (HBTL) SCSI アドレスのホスト部分が変わることがあります。したがって、仮想マシンで HBTL SCSI 識別またはデバイスノードで設定した自動タスクは一貫して動作しません。これは、仮想マシンに複数のディスクがある場合、またはディスクに異なるサイズがある場合に発生します。

この問題を回避するには、以下のいずれかの方法でキックスタートファイルを変更します。

方法 1: SCSI デバイスに永続的な識別子を使用します。

たとえば、以下の powershell スクリプトを使用すると、特定のデバイス識別子を特定できます。

# Output what the /dev/disk/by-id/<value> for the specified hyper-v virtual disk.
# Takes a single parameter which is the virtual disk file.
# Note: kickstart syntax works with and without the /dev/ prefix.
param (
    [Parameter(Mandatory=$true)][string]$virtualdisk
)

$what = Get-VHD -Path $virtualdisk
$part = $what.DiskIdentifier.ToLower().split('-')

$p = $part[0]
$s0 = $p[6] + $p[7] + $p[4] + $p[5] + $p[2] + $p[3] + $p[0] + $p[1]

$p = $part[1]
$s1 =  $p[2] + $p[3] + $p[0] + $p[1]

[string]::format("/dev/disk/by-id/wwn-0x60022480{0}{1}{2}", $s0, $s1, $part[4])

このスクリプトは、ハイパーホストで使用することができます。以下に例を示します。

PS C:\Users\Public\Documents\Hyper-V\Virtual hard disks> .\by-id.ps1 .\Testing_8\disk_3_8.vhdx
/dev/disk/by-id/wwn-0x60022480e00bc367d7fd902e8bf0d3b4
PS C:\Users\Public\Documents\Hyper-V\Virtual hard disks> .\by-id.ps1 .\Testing_8\disk_3_9.vhdx
/dev/disk/by-id/wwn-0x600224807270e09717645b1890f8a9a2

その後、以下のようにキックスタートファイルでディスクの値を使用できます。

part / --fstype=xfs --grow --asprimary --size=8192 --ondisk=/dev/disk/by-id/wwn-0x600224807270e09717645b1890f8a9a2
part /home --fstype="xfs" --grow --ondisk=/dev/disk/by-id/wwn-0x60022480e00bc367d7fd902e8bf0d3b4

これらの値は仮想ディスクごとに固有であるため、仮想マシンインスタンスごとに設定を行う必要があります。そのため、%include 構文を使用して、ディスク情報を別のファイルに配置すると便利です。

方法 2: デバイス選択をサイズで設定

サイズに基づいてディスク選択を設定するキックスタートファイルには、以下のような行を含める必要があります。

...

# Disk partitioning information is supplied in a file to kick start
%include /tmp/disks

...

# Partition information is created during install using the %pre section
%pre --interpreter /bin/bash --log /tmp/ks_pre.log

	# Dump whole SCSI/IDE disks out sorted from smallest to largest ouputting
	# just the name
	disks=(`lsblk -n -o NAME -l -b -x SIZE -d -I 8,3`) || exit 1

	# We are assuming we have 3 disks which will be used
	# and we will create some variables to represent
	d0=${disks[0]}
	d1=${disks[1]}
	d2=${disks[2]}

	echo "part /home --fstype="xfs" --ondisk=$d2 --grow" >> /tmp/disks
	echo "part swap --fstype="swap" --ondisk=$d0 --size=4096" >> /tmp/disks
	echo "part / --fstype="xfs" --ondisk=$d1 --grow" >> /tmp/disks
	echo "part /boot --fstype="xfs" --ondisk=$d1 --size=1024" >> /tmp/disks

%end

(BZ#1906870)

cloud-init を使用して AWS で RHEL 8 仮想マシンを起動すると、予想よりも時間がかかります

現在、Amazon Web Services (AWS) で cloud-init サービスを使用して RHEL 8 の EC2 インスタンスを初期化するには、非常に長い時間がかかります。この問題を回避するには、イメージを AWS にアップロードする前に、VM の作成に使用しているイメージから /etc/resolv.conf ファイルを削除します。

(BZ#1862930)

10.18. サポート性

getattachment コマンドが複数の添付ファイルのダウンロードに失敗する

getattachment コマンドは、単一の添付ファイルのみをダウンロードできますが、複数の添付ファイルをダウンロードできません。

回避策として、getattachment コマンドで各添付ファイルのケース番号と UUID を渡すことにより、複数の添付ファイルを 1 つずつダウンロードできます。

(BZ#2064575)

redhat-support-toolFUTURE 暗号化ポリシーを使用すると機能しません。

カスタマーポータル API の証明書が使用する暗号化キーは FUTURE のシステム全体の暗号化ポリシーが定義する要件を満たさないので、現時点で redhat-support-tool ユーティリティーは、このポリシーレベルでは機能しません。

この問題を回避するには、カスタマーポータル API への接続中に DEFAULT 暗号化ポリシーを使用します。

(BZ#1802026)

IBM Power Systems (Little Endian) で sos report を実行するとタイムアウトします

数百または数千の CPU を搭載した IBM Power Systems (Little Endian) で sos report コマンドを実行すると、/sys/devices/system/cpu ディレクトリーの膨大なコンテンツを収集する際のプロセッサープラグインはデフォルトのタイムアウトである 300 秒に達します。回避策として、それに応じてプラグインのタイムアウトを増やします。

  • 1 回限りの設定の場合は、次を実行します。
# sos report -k processor.timeout=1800
  • 永続的な変更を行うには、/etc/sos/sos.conf ファイルの [plugin_options] セクションを編集します。
[plugin_options]
# Specify any plugin options and their values here. These options take the form
# plugin_name.option_name = value
#rpm.rpmva = off
processor.timeout = 1800

値の例は 1800 に設定されています。特定のタイムアウト値は、特定のシステムに大きく依存します。プラグインのタイムアウトを適切に設定するには、次のコマンドを実行して、タイムアウトなしで 1 つのプラグインを収集するために必要な時間を最初に見積もることができます。

# time sos report -o processor -k processor.timeout=0 --batch --build

(BZ#2011413)

10.19. コンテナー

古いコンテナイメージ内でsystemdを実行すると動作しない

古いコンテナイメージ(例:centos:7)でsystemdを実行しても動作しません。

$ podman run --rm -ti centos:7 /usr/lib/systemd/systemd
 Storing signatures
 Failed to mount cgroup at /sys/fs/cgroup/systemd: Operation not permitted
 [!!!!!!] Failed to mount API filesystems, freezing.

この問題を回避するには、以下のコマンドを使用します。

# mkdir /sys/fs/cgroup/systemd
# mount none -t cgroup -o none,name=systemd /sys/fs/cgroup/systemd
# podman run --runtime /usr/bin/crun --annotation=run.oci.systemd.force_cgroup_v1=/sys/fs/cgroup --rm -ti centos:7 /usr/lib/systemd/systemd

(JIRA:RHELPLAN-96940)

ベータ版GPGキーで署名されたコンテナイメージがプルできない

現在、RHEL Betaのコンテナイメージをプルしようとすると、podmanError: Source image rejected: None of the signatures were acceptedのエラーメッセージと共に終了します。現在のビルドでは、RHELベータ版のGPGキーをデフォルトで信頼しないように設定されているため、イメージのプルに失敗します。

回避策としては、Red Hat Beta GPG キーがローカルシステムに保存されていることを確認し、podman image trust setコマンドで適切な beta 名前空間の既存の信頼範囲を更新します。

ベータ版のGPGキーがローカルに保存されていない場合は、以下のコマンドを実行することで、そのキーをプルすることができます。

sudo wget -O /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-beta https://www.redhat.com/security/data/f21541eb.txt

Beta GPG キーを信頼済みとしてネームスペースに追加するには、次のいずれかのコマンドを使用します。

$ sudo podman image trust set -f /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-beta registry.access.redhat.com/namespace

および

$ sudo podman image trust set -f /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-beta registry.redhat.io/namespace

namespaceubi9-betaまたはrhel9-betaに置き換えてください。

(BZ#2020301)

第11章 国際化

11.1. Red Hat Enterprise Linux 8 の多言語

Red Hat Enterprise Linux 8 は、複数の言語のインストールと、要件に応じた言語の変更に対応します。

  • 東アジア言語 - 日本語、韓国語、簡体字中国語、および繁体字中国語。
  • ヨーロッパ言語 - 英語、ドイツ語、スペイン語、フランス語、イタリア語、ポルトガル語、およびロシア語。

次の表は、さまざまな主要言語に提供されるフォントと入力方法を示しています。

言語デフォルトフォント (フォントパッケージ)入力メソッド

英語

dejavu-sans-fonts

 

フランス語

dejavu-sans-fonts

 

ドイツ語

dejavu-sans-fonts

 

イタリア語

dejavu-sans-fonts

 

ロシア語

dejavu-sans-fonts

 

スペイン語

dejavu-sans-fonts

 

ポルトガル語

dejavu-sans-fonts

 

簡体字中国語

google-noto-sans-cjk-ttc-fonts、google-noto-serif-cjk-ttc-fonts

ibus-libpinyin、libpinyin

繁体字中国語

google-noto-sans-cjk-ttc-fonts、google-noto-serif-cjk-ttc-fonts

ibus-libzhuyin、libzhuyin

日本語

google-noto-sans-cjk-ttc-fonts、google-noto-serif-cjk-ttc-fonts

ibus-kkc、libkkc

韓国語

google-noto-sans-cjk-ttc-fonts、google-noto-serif-cjk-ttc-fonts

ibus-hangul、libhangul

11.2. RHEL 8 における国際化の主な変更点

RHEL 8 では、RHEL 7 の国際化に以下の変更が加えられています。

  • Unicode 11 コンピューティングの業界標準のサポートが追加されました。
  • 国際化は複数のパッケージで配布され、より小さなフットプリントのインストールを可能にします。詳細は、Using langpacksを参照してください。
  • 多くの glibc ロケールが Unicode Common Locale Data Repository (CLDR) と同期されています。

付録A コンポーネント別のチケットリスト

本書には Bugzilla と JIRA ID が記載されています。一般にアクセス可能な Bugzilla バグには、チケットへのリンクが含まれます。

コンポーネントチケット

389-ds-base

BZ#2033398, BZ#2016014, BZ#1817505, BZ#1780842

NetworkManager

BZ#1996617, BZ#2001563, BZ#2079849, BZ#1920398

SLOF

BZ#1910848

accel-config

BZ#1843266

anaconda

BZ#1990145, BZ#2050140, BZ#1914955, BZ#1929105

ansible-collection-microsoft-sql

BZ#2038256BZ#2057651

apr

BZ#1819607

audit

BZ#1906065, BZ#1939406, BZ#1921658, BZ#1927884

authselect

BZ#1892761

bind9.16

BZ#1873486

bind

BZ#2013993

brltty

BZ#2008197

certmonger

BZ#1577570

clevis

BZ#1949289, BZ#2018292

cloud-init

BZ#2023940, BZ#2026587, BZ#1750862

cockpit

BZ#1666722

coreutils

BZ#2030661

corosync-qdevice

BZ#1784200

crash

BZ#1906482

createrepo_c

BZ#1992209, BZ#1973588

crypto-policies

BZ#2020295, BZ#2023734, BZ#2023744, BZ#1919155, BZ#1660839

cups-container

BZ#1913715

cups

BZ#2032965

device-mapper-multipath

BZ#2008101, BZ#2009624, BZ#2011699

distribution

BZ#1657927

dmidecode

BZ#2027665

dnf-plugins-core

BZ#1868047

dnf

BZ#1986657

ec2-images

BZ#1862930

edk2

BZ#1741615、BZ#1935497

fapolicyd

BZ#1939379, BZ#2054741

fence-agents

BZ#1977588, BZ#1775847

fido-device-onboard

BZ#1989930

firewalld

BZ#1980206, BZ#1871860

freeradius

BZ#2030173, BZ#1958979

galera

BZ#2042306

gcc

BZ#1996862

gdb

BZ#2012818, BZ#1853140

glibc

BZ#1934162, BZ#2007327, BZ#2023420, BZ#1929928, BZ#2000374

gnome-shell-extensions

BZ#1751336, BZ#1717947

gnome-software

BZ#1668760

gnutls

BZ#1628553

golang

BZ#2014088

grafana-pcp

BZ#1993149

grafana

BZ#1993214

grub2

BZ#1583445

hostapd

BZ#2016946

initscripts

BZ#1875485

ipa

BZ#1731484, BZ#1924707, BZ#1664719, BZ#1664718

js-d3-flame-graph

BZ#1993194

kdump-anaconda-addon

BZ#2086100

kernel

BZ#1953926, BZ#2068429, BZ#1910885, BZ#2040171, BZ#2022903, BZ#2036863, BZ#1979382, BZ#1949614, BZ#1983635, BZ#1964761, BZ#2069047, BZ#2054656, BZ#1868526, BZ#1694705, BZ#1730502, BZ#1609288, BZ#1602962, BZ#1865745, BZ#1906870, BZ#1924016, BZ#1942888, BZ#1812577, BZ#1910358, BZ#1930576, BZ#2046396, BZ#1793389, BZ#1654962, BZ#1940674, BZ#1971506, BZ#2022359, BZ#2059262, BZ#1605216, BZ#1519039, BZ#1627455, BZ#1501618, BZ#1633143, BZ#1814836, BZ#1696451, BZ#1348508, BZ#1837187, BZ#1904496, BZ#1660337, BZ#1905243, BZ#1878207, BZ#1665295, BZ#1871863, BZ#1569610, BZ#1794513

kexec-tools

BZ#2004000

krb5

BZ#1877991

libcap

BZ#1950187, BZ#2032813

libffi

BZ#1875340

libgnome-keyring

BZ#1607766

libguestfs

BZ#1554735

libreswan

BZ#2017352, BZ#1989050

libseccomp

BZ#2019893

libselinux-python-2.8-module

BZ#1666328

libssh

BZ#1896651

libvirt

BZ#2014369, BZ#1664592, BZ#1332758, BZ#1528684

llvm-toolset

BZ#2001133

log4j-2-module

BZ#1937468

lsvpd

BZ#1993557

lvm2

BZ#1496229, BZ#1768536

make

BZ#2004246

mariadb

BZ#1944653BZ#1942330

mesa

BZ#1886147

net-snmp

BZ#1908331

nfs-utils

BZ#1592011

nftables

BZ#2047821

nginx-1.20-module

BZ#1991787

nispor

BZ#1848817

nmstate

BZ#2003976BZ#2004006

nss_nis

BZ#1803161

nss

BZ#1817533, BZ#1645153

opencryptoki

BZ#1984993

opencv

BZ#2007780, BZ#1886310

openmpi

BZ#1866402

opensc

BZ#1947025

openscap

BZ#1970529, BZ#2041781

openssh

BZ#1926103, BZ#2015828, BZ#2044354

openssl

BZ#1810911

osbuild-composer

BZ#1951936, BZ#2056451

oscap-anaconda-addon

BZ#1834716, BZ#2075508, BZ#1843932, BZ#1665082

pacemaker

BZ#1082146, BZ#1470834, BZ#1376538

pcp

BZ#1991763, BZ#1629455

pcs

BZ#1990784、BZ#1936833、BZ#1619620、BZ#1847102、BZ#1851335

pcsc-lite

BZ#1928154, BZ#2014641

perl

BZ#2021471

php

BZ#1978356

pki-core

BZ#1729215, BZ#1628987

pmdk-1_fileformat_v6-module

BZ#2009889

podman

JIRA:RHELPLAN-92741, JIRA:RHELPLAN-108830, JIRA:RHELPLAN-77238

policycoreutils

BZ#1731501

postfix

BZ#1711885

powerpc-utils

BZ#2028690、BZ#2022225

pykickstart

BZ#1637872

qemu-kvm

BZ#1982993,BZ#2004416, BZ#166336, BZ#2020133,BZ#2012373,BZ#1740002,BZ#1719687, BZ#1651994

rear

BZ#2048454, BZ#2049091, BZ#2035939, BZ#1868421, BZ#2083301

redhat-support-tool

BZ#2018194, BZ#2018195, BZ#1767195, BZ#2064575, BZ#1802026

復元

BZ#1997366

rhel-system-roles

BZ#1967321, BZ#2040038, BZ#2041627, BZ#2034908, BZ#1979714, BZ#2005727, BZ#2006231, BZ#2021678, BZ#2021683, BZ#2047504, BZ#2040812, BZ#2064388, BZ#2058655, BZ#2058772, BZ#2029605, BZ#2057172, BZ#2049747, BZ#1854988, BZ#1893743, BZ#1993379, BZ#1993311, BZ#2021661, BZ#2016514, BZ#1985022, BZ#2016511, BZ#2010327, BZ#2012316, BZ#2031521, BZ#2054364, BZ#2054363, BZ#2008931, BZ#1695634, BZ#1897565, BZ#2054365, BZ#1932678, BZ#2057656, BZ#2022458, BZ#2057645, BZ#2057661, BZ#2021685, BZ#2006081

rig

BZ#1888705

rpm-ostree

BZ#2032594

rpm

BZ#1940895, BZ#1688849

rsyslog

BZ#1947907, BZ#1679512, JIRA:RHELPLAN-10431

rteval

BZ#2012285

rust-toolset

BZ#2002883

samba

BZ#2013596、BZ#2009213、JIRA:RHELPLAN-13195

scap-security-guide

BZ#1983061BZ#2053587BZ#2023569、BZ#1990736、BZ#2002850BZ#2000264BZ#2058033BZ#2030966BZ#1884687BZ#1993826BZ#1956972BZ#2014485BZ#2021802BZ#2028428BZ#1858866BZ#1750755BZ#2038977

scap-workbench

BZ#2051890

selinux-policy

BZ#1860443, BZ#1461914

sos

BZ#1873185, BZ#2011413

spice

BZ#1849563

sssd

BZ#2015070, BZ#1947671

strace

BZ#2038992

subscription-manager

BZ#2000883, BZ#2049441

texinfo

BZ#2022201

udica

BZ#1763210

usbguard

BZ#2000000, BZ#1963271

vdo

BZ#1949163

virt-manager

BZ#1995125, BZ#2026985

wayland

BZ#1673073

xfsdump

BZ#2020494

xorg-x11-server

BZ#1698565

その他

BZ#1839151,BZ#1780124, BZ#2089409, JIRA:RHELPLAN-100359, JIRA:RHELPLAN-103147, JIRA:RHELPLAN-103146, JIRA:RHELPLAN-79161, BZ#2046325, JIRA:RHELPLAN-108438, JIRA:RHELPLAN-100175, BZ#2083036, JIRA:RHELPLAN-102505, BZ#2062117, JIRA:RHELPLAN-75169, JIRA:RHELPLAN-100174, JIRA:RHELPLAN-101137, JIRA:RHELPLAN-57941, JIRA:RHELPLAN-101133, JIRA:RHELPLAN-101138, JIRA:RHELPLAN-95126, JIRA:RHELPLAN-103855, JIRA:RHELPLAN-103579, BZ#2025814, BZ#2077770, BZ#1777138, BZ#1640697, BZ#1697896, BZ#1971061, BZ#1959020, BZ#1961722, BZ#1659609, BZ#1687900, BZ#1757877, BZ#1741436, JIRA:RHELPLAN-59111, JIRA:RHELPLAN-27987, JIRA:RHELPLAN-34199, JIRA:RHELPLAN-57914, JIRA:RHELPLAN-96940, BZ#1974622, BZ#2020301, BZ#2028361, BZ#2041997,BZ#2035158, JIRA:RHELPLAN-109067, JIRA:RHELPLAN-115603, BZ#1690207, JIRA:RHELPLAN-1212, BZ#1559616, BZ#1889737, JIRA:RHELPLAN-14047, BZ#1769727, JIRA:RHELPLAN-27394, JIRA:RHELPLAN-27737, BZ#1906489, JIRA:RHELPLAN-100039, BZ#1642765, JIRA:RHELPLAN-10304, BZ#1646541, BZ#1647725, BZ#1932222,BZ#1686057,BZ#1748980, JIRA:RHELPLAN-71200, BZ#1827628, JIRA:RHELPLAN-45858, BZ#1871025,BZ#1871953, BZ#1874892, BZ#1916296, JIRA:RHELPLAN-100400, BZ#1926114, BZ#1904251, BZ#2011208, JIRA:RHELPLAN-59825, BZ#1920624, JIRA:RHELPLAN-70700, BZ#1929173, JIRA:RHELPLAN-85066, BZ#2006665, JIRA:RHELPLAN-98983, BZ#2009113, BZ#1958250,BZ#2038929,BZ#2029338,BZ#2061288,BZ#2060759, BZ#2055826, BZ#2059626

付録B 改訂履歴

0.0-9

Fri Aug 05 2022, Lucie Vařáková (lvarakova@redhat.com)

  • 既知の問題 BZ#2114981 (Security)を追加。
0.0-8

Wed Aug 03 2022, Lenka gitopspagitopsková(lspackova@redhat.com)

  • 既知の問題 BZ#2095764 (ソフトウェア管理)を追加。
0.0-7

Fri Jul 22 2022, Lucie Vařáková (lvarakova@redhat.com)

  • バグ修正 BZ#2020494 (ファイルシステムおよびストレージ)を追加。
  • 既知の問題 BZ#2054656(仮想 化)を追加。
  • その他の若干の更新。
0.0-6

mon Jul 11 2022, Lenka gitopspaでová(lspackova@redhat.com)

  • バグ修正 BZ#2056451 (インストーラーおよびイメージの作成)を追加。
  • バグ修正 BZ#2051890 (セキュリティー)を追加。
  • その他の若干の更新。
0.0-5

Jun 08 2022, Lucie Vařáková (lmanasko@redhat.com)

  • BZ#2089409 (カーネル)の新機能を追加。
0.0-4

May 31 2022, Lucie Vařáková (lmanasko@redhat.com)

0.0-3

May 18 2022, Lucie Maňásková (lmanasko@redhat.com)

  • 新しい機能 BZ#2049441 (Web コンソール)が追加されました。
  • BZ#2086100 (Kernel)および BZ#2020133 (仮想化)の既知の問題を追加。
  • その他の小さな更新。
0.0-2

May 16 2022, Lucie Maňásková (lmanasko@redhat.com)

0.0-1

May 11 2022, Lucie Maňásková (lmanasko@redhat.com)

  • Red Hat Enterprise Linux 8.6 リリースノートのリリース。
0.0-0

Mar 30 2022, Lucie Maňásková (lmanasko@redhat.com)

  • Red Hat Enterprise Linux 8.6 Beta リリースノートのリリース。