5.4.6. ネットワーク

qdisc_run 関数におけるロックによって、カーネルのクラッシュが発生しないようになりました。

以前は、pfifo_fast キュー規律がトラフィックのデキュー中にリセットされる場合の競合状態が、開放後のパケット転送につながっていました。これにより、カーネルが突然終了することがありました。今回の更新で、qdisc_run 関数のロックが改善されました。これにより、上述のシナリオでカーネルがクラッシュしなくなりました。

(BZ#1744397)

org.fedoraproject.FirewallD1.config.service の DBus API が期待どおりに動作するようになりました。

以前は、org.fedoraproject.FirewallD1 内の DBus API getIncludessetIncludes、および queryIncludes 関数が、間違ったインデックスのために「org.fedoraproject.FirewallD1.Exception: list index out of range」というエラーメッセージを返していました。今回の更新で、DBus API 関数 getIncludessetIncludes、および queryIncludes が期待どおりに動作するようになりました。

(BZ#1737045)

RHEL で、ipvs モジュールのアンロード時にカーネル警告をログに記録しなくなりました。

以前は、IP 仮想サーバー (ipvs) モジュールが誤った参照カウントを使用していたため、モジュールのアンロード時に競合状態が発生していました。これにより、RHEL がカーネル警告をログ記録していました。今回の更新で競合状態が修正されています。その結果、ipvs モジュールのアンロード時に、カーネルが警告をログ記録しなくなりました。

(BZ#1687094)

nft ユーティリティーが、最初のオプション以外の引数の後に、引数をコマンドラインオプションとして解釈することがなくなりました。

以前は、nft ユーティリティーは nft コマンド内のどの場所でもオプションを受け入れていました。たとえば、管理者はオプション以外の引数の間や、またはその後に、オプションを使用することができました。これにより、ダッシュ記号のために、nft は負の優先順位の値をオプションとして解釈し、コマンドに失敗していました。nft ユーティリティーのコマンドラインパーサーが、最初のオプション以外の引数を一度読み込んだ後は、ダッシュ記号で始まる引数を解釈しないよう更新されました。その結果、管理者が、負の優先順位の値を nft に渡すための回避策をとる必要がなくなりました。

この変更により、すべてのコマンドオプションは、最初のオプション以外の引数より前にnft に渡さなければならなくなりましたので、留意してください。この更新をインストールした後でも確実に nftables スクリプトが期待どおりに動作するよう、更新前に、スクリプトがこの新しい条件を満たしていることを確認してください。

(BZ#1778883)

/etc/hosts.allow および /etc/hosts.deny ファイルに、削除された tcp_wrappers への古い参照が含まれなくなりました。

以前では、/etc/hosts.allow ファイルおよび /etc/hosts.deny ファイルには tcp_wrappers パッケージに関する古い情報が含まれていました。これは、削除された tcp_wrappers に必要なくなったため、RHEL 8 ではファイルが削除されました。

(BZ#1663556)

ゾーンのドリフトを無効にする設定パラメーターを firewalld に追加されました

以前のリリースでは、firewalld サービスに、「ゾーンのドリフト」として知られる、文書化されていない動作が含まれていました。RHEL 8.0では、この動作がセキュリティ上の悪影響を及ぼす可能性があるため、この動作を削除しました。その結果、この動作を使用して汎用ゾーンまたはフォールバックゾーンを設定するホストでは、以前許可されていた接続を firewalld が拒否するようになりました。今回の更新で、ゾーンのドリフト動作が設定可能な機能として再度追加されました。これにより、ゾーンのドリフトを使用するか、動作を無効化してよりセキュアなファイアウォール設定を使用するかを、ユーザーが決定できるようになりました。

RHEL 8.2では、デフォルトで、/etc/firewalld/firewalld.confファイルの新しいAllowZoneDriftingパラメータがyesに設定されています。このパラメーターが有効な場合、以下のメッセージが firewalld ログに記録されるので注意してください。

WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. It will be removed in a future release. Please consider disabling it now.

(BZ#1772208)