SCAP セキュリティープロファイルのカスタマイズされたファイルをブループリントに追加するためのサポート

この機能拡張により、次のオプションを使用して、プロファイルのカスタマイズ済み調整オプションを osbuild-composer ブループリントのカスタマイズに追加できるようになりました。

最小限の RHEL インストールでは、s390utils-core パッケージのみがインストールされるようになる

RHEL 8.4 以降では、s390utils-base パッケージは、s390utils-core パッケージと補助 s390utils-base パッケージに分割されています。そのため、RHEL インストールを minimal-environment に設定すると、必要な s390utils-core パッケージのみがインストールされ、補助 s390utils-base パッケージはインストールされません。最小限の RHEL インストールで s390utils-base パッケージを使用する場合は、RHEL インストールの完了後にパッケージを手動でインストールするか、キックスタートファイルを使用して s390utils-base を明示的にインストールする必要があります。

Keylime verifier および registrar コンテナーが利用可能になる

Keylime サーバーコンポーネント (verifier および registrar) を、コンテナーとして設定できるようになりました。コンテナー内で実行されるように設定した場合、Keylime registrar はホストにバイナリーがなくてもコンテナーからテナントシステムを監視します。コンテナーのデプロイメントにより、Keylime コンポーネントの分離性、モジュール性、再現性が向上します。

libkcapi が、ハッシュ合計の計算でターゲットファイル名を指定するオプションを提供するようになりました

この libkcapi (Linux カーネル暗号化 API) パッケージの更新では、ハッシュ合計の計算でターゲットファイル名を指定するための新しいオプション -T が導入されます。このオプションの値は、処理済みの HMAC ファイルで指定されたファイル名をオーバーライドします。このオプションは、-c オプションとの併用でのみ使用できます。以下に例を示します。

crypto-policies を使用した SSH の MAC のより細かい制御

システム全体の暗号化ポリシー (crypto-policies) で、SSH プロトコルのメッセージ認証コード (MAC) の追加オプションを設定できるようになりました。この更新により、crypto-policies オプション ssh_etm が、トライステート etm@SSH オプションに変換されました。以前の ssh_etm オプションは非推奨になりました。

semanage fcontext コマンドがローカルの変更を並べ替えなくなりました

semanage fcontext -l -C コマンドは、file_contexts.local ファイルに保存されているローカルファイルコンテキストの変更をリスト表示します。restorecon ユーティリティーは、file_contexts.local 内のエントリーを最も新しいエントリーから最も古いエントリーへと順番に処理します。以前の semanage fcontext -l -C は、エントリーを間違った順序でリスト表示していました。処理順序とリスト表示順序の不一致により、SELinux ルールの管理時に問題が発生していました。この更新により、semanage fcontext -l -C は、最も古いルールから最も新しいルールへと、期待どおりの正しい順序でルールを表示するようになりました。

SELinux ポリシーに制限されている追加サービス

この更新により、次の systemd サービスを制限する追加のルールが SELinux ポリシーに追加されます。

SAP HANA サービス用の新しい SELinux ポリシーモジュール

この更新により、SAP HANA サービスの SELinux ポリシーに追加のルールが追加されます。その結果、サービスは sap_unconfined_t ドメインの SELinux enforcing モードで正常に実行されるようになりました。

glusterd SELinux モジュールは別の glusterfs-selinux パッケージへ移動

この更新により、glusterd SELinux モジュールは別の glusterfs-selinux パッケージで管理されるようになりました。したがって、このモジュールは selinux-policy パッケージの一部ではなくなりました。glusterd モジュールに関係するアクションについては、glusterfs-selinux パッケージをインストールして使用します。

OpenSSL 用の fips.so ライブラリーは別パッケージとして提供される

OpenSSL は、FIPS プロバイダーとして fips.so 共有ライブラリーを使用します。この更新により、認定のために米国立標準技術研究所 (NIST) に提出された fips.so の最新バージョンが、別のパッケージに含まれるようになりました。これにより、OpenSSL の将来のバージョンでは、認定済みのコードまたは認定中のコードが使用されるようになります。

chronyd-restricted サービスは SELinux ポリシーによって制限される

この更新では、新しい chronyd-restricted サービスを制限する追加のルールが SELinux ポリシーに追加されます。その結果、サービスは SELinux で正常に実行されるようになりました。

OpenSSL がプロバイダー設定用のドロップインディレクトリーを追加する

OpenSSL TLS ツールキットは、暗号化アルゴリズムを提供するモジュールのインストールおよび設定のためのプロバイダー API をサポートしています。この更新により、メインの OpenSSL 設定ファイルを変更せずに、プロバイダー固有の設定を /etc/pki/tls/openssl.d ディレクトリー内の個別の .conf ファイルに配置できるようになります。

SELinux ユーザー空間コンポーネントが 3.6 にリベース

SELinux ユーザー空間コンポーネント libsepol、libselinux、libsemanage、policycoreutils、checkpolicy、および mcstrans ライブラリーパッケージが 3.6 にリベースされました。このバージョンでは、さまざまなバグ修正、最適化、機能拡張が行われていますが、特に注目すべき点は次のとおりです。

GnuTLS が 3.8.3 にリベース

GnuTLS パッケージはアップストリームバージョン 3.8.3 にリベースされました。このバージョンでは、さまざまなバグ修正と機能拡張が行われていますが、特に注目すべき点は次のとおりです。

nettle が 3.9.1 にリベース

nettle ライブラリーパッケージが 3.9.1 にリベースこのバージョンでは、さまざまなバグ修正、最適化、機能拡張が行われていますが、特に注目すべき点は次のとおりです。

p11-kit が 0.25.3 にリベース

p11-kit パッケージが、アップストリームバージョン 0.25.3 に更新されました。このパッケージには、PKCS#11 モジュールを管理するための p11-kit ツール、信頼ポリシーストアを操作するための trust ツール、および p11-kit ライブラリーが含まれます。注目すべき機能拡張は次のとおりです。

libkcapi が 1.4.0 にリベース

Linux カーネル暗号化 API へのアクセスを提供する libkcapi ライブラリーは、アップストリームバージョン 1.4.0 にリベースされました。この更新には、さまざまな機能拡張とバグ修正が含まれています。主なものは次のとおりです。

OpenSSH でのユーザーとグループの作成に sysusers.d 形式を使用します

以前、OpenSSH は静的な useradd スクリプトを使用していました。この更新により、OpenSSH は sysusers.d 形式を使用してシステムユーザーを宣言するようになり、システムユーザーをイントロスペクションできるようになりました。

OpenSSH は認証における人為的な遅延を制限します

ログイン失敗後の OpenSSH の応答は、ユーザー列挙攻撃を防ぐために人為的に遅延されます。この更新では、特権アクセス管理 (PAM) の処理などでリモート認証に時間がかかりすぎる場合に、このような遅延に対して上限を導入します。

stunnel が 5.71 にリベースされま3した

stunnel TLS/SSL トンネリングサービスが、アップストリームバージョン 5.71 にリベースされました。

Rsyslog で機能をドロップするための新しいオプション

次のグローバルオプションを使用して、機能をドロップするときの Rsyslog の動作を設定できるようになりました。

audit が 3.1.2 にリベース

Linux の Audit システムがバージョン 3.1.2 に更新されました。これにより、以前にリリースされたバージョン 3.0.7 に対するバグ修正、機能拡張、およびパフォーマンス向上が実現しました。主な機能拡張は、次のとおりです。

Rsyslog が 8.2310 にリベース

Rsyslog ログ処理システムがアップストリームバージョン 8.2310 にリベースされました。この更新では、重要な機能拡張とバグ修正が導入されました。主な機能拡張は、次のとおりです。

SCAP セキュリティーガイドが 0.1.72 にリベース

SCAP セキュリティーガイド (SSG) パッケージが、アップストリームバージョン 0.1.72 にリベースされました。このバージョンでは、バグ修正とさまざまな機能拡張が行われています。主なものは次のとおりです。

FIPS 対応 RHEL for Edge イメージのビルドのサポート

この機能拡張により、次のイメージタイプに対して FIPS 対応の RHEL for Edge イメージをビルドするためのサポートが追加されます。

openCryptoki がバージョン 3.22.0 にリベース

opencryptoki パッケージがバージョン 3.22.0 に更新されました。主な変更点は、以下のとおりです。

synce4l がバージョン 1.0.0 にリベース

synce4l プロトコルがバージョン 1.0.0 に更新されました。この更新では、カーネルの Digital Phase Locked Loop (DPLL) インターフェイスのサポートが追加されます。

chrony がバージョン 4.5 にリベース

chrony スイートがバージョン 4.5 に更新されました。主な変更点は、以下のとおりです。

linuxptp がバージョン 4.2 にリベース

linuxptp プロトコルがバージョン 4.2 に更新されました。主な変更点は、以下のとおりです。

nft ユーティリティーが、nftables ルールに含まれる状態をリセットできるようになりました

この機能拡張により、nft reset コマンドを使用して、nftables ルールに含まれる状態をリセットできるようになりました。たとえば、この機能を使用して、カウンターとクォータステートメントの値をリセットします。

Marvell Octeon PCIe Endpoint Network Interface Controller ドライバーが利用可能になる

この機能拡張により、octeon_ep ドライバーが追加されました。Marvell の Octeon PCIe Endpoint ネットワークインターフェイスカードのネットワークに使用できます。ホストドライバーは、PCI Express (PCIe) エンドポイントネットワークインターフェイス (NIC) として機能し、24 N2 コアのインフラストラクチャープロセッサーファミリーである Marvell OCTEON TX2 CN106XX をサポートします。OCTEON TX2 ドライバーを PCIe NIC として使用することで、セキュリティーファイアウォール、5G Open Radio Access Network (ORAN) と Virtual RAN (VRAN) アプリケーション、データ処理オフロードアプリケーションなど、さまざまな製品の PCIe エンドポイントとして OCTEON TX2 を使用できます。

NetworkManager は、高度なハードウェアオフロード用の switchdev モードの設定をサポートするようになりました

この機能拡張により、NetworkManager 接続プロファイルで次の新しいプロパティーを設定できるようになります。

NetworkManager は ethtool チャネル設定の変更をサポートします

ネットワークインターフェイスには、複数の割り込み要求 (IRQ) と、channels と呼ばれる関連パケットキューを設定できます。この機能拡張により、NetworkManager 接続プロファイルは、接続プロパティー ethtool.channels-rx、ethtool.channels-tx、ethtool.channels-other、および ethtool.channels-combined を使用して、インターフェイスに割り当てるチャネルの数を指定できるようになりました。

Nmstate は設定を元に戻すための YAML ファイルを作成できるようになりました

この機能拡張により、Nmstate は、現在のネットワーク設定と、適用する新しい設定を含む YAML ファイルとの相違点を含む "元に戻すための設定ファイル" を作成できるようになります。YAML ファイルを適用した後、設定が想定どおりに機能しない場合は、元に戻すための設定ファイルを使用して以前の設定を復元できます。

Nmstate API は IPsec 設定に基づいて VPN 接続を設定します

Libreswan ユーティリティーは、VPN を設定するための IPsec の実装です。この更新により、nmstatectl を使用して、設定モード (トンネルとトランスポート) およびネットワークレイアウト (host-to-host、host-to-host、subnet-to-subnet) に加え、IPsec ベースの認証タイプを設定できるようになりました。

nmstate が priority ボンディングプロパティーをサポートするようになりました

この更新では、設定ファイルの ports-config セクションの priority プロパティーを使用して、nmstate フレームワーク内のボンディングポートの優先順位を設定できるようになりました。YAML ファイルの例は次のようになります。

NetworkManager Wi-Fi 接続が新しい MAC アドレスベースのプライバシーオプションをサポートします

この機能拡張により、無作為に生成された MAC アドレスを Wi-Fi ネットワークのサービスセット識別子 (SSID) に関連付けるように NetworkManager を設定できるようになりました。これにより、接続プロファイルを削除して再作成しても、ランダムでありつつ一貫性のある MAC アドレスを Wi-Fi ネットワークで永続的に使用できます。この新機能を使用するには、Wi-Fi 接続プロファイルの 802-11-wireless.cloned-mac-address プロパティーを stable-ssid に設定します。

VLAN インターフェイスの新しい nmstate 属性の導入

今回の nmstate フレームワークの更新により、以下の VLAN 属性が導入されました。

ipv4.dhcp-client-id を none に設定すると、client-identifier が送信されません

NetworkManager で client-identifier オプションが設定されていない場合、実際の値は、使用されている DHCP クライアントのタイプ (NetworkManager の internal DHCP クライアントや dhclient など) によって異なります。通常、DHCP クライアントは client-identifier を送信します。したがって、ほとんどの場合、none オプションを設定する必要はありません。したがって、このオプションは、クライアントが クclient-identifier を送信しないことを要求する、一部の特殊な DHCP サーバー設定の場合にのみ役立ちます。

nmstate が MACsec インターフェイスの作成をサポートするようになりました

この更新により、nmstate フレームワークのユーザーは、Open Systems Interconnection (OSI) モデルのレイヤー 2 で通信を保護するように、MACsec インターフェイスを設定できるようになりました。そのため、後からレイヤー 7 で個々のサービスを暗号化する必要はありません。また、この機能により、関連する課題 (エンドポイントごとに大量の証明書を管理するなど) がなくなります。

netfilter の更新

RHEL 9 では、kernel パッケージがバージョン 5.14.0-405 にアップグレードされました。その結果、リベースにより、RHEL カーネルの netfilter コンポーネントにおいて複数の機能拡張とバグ修正も行われました。以下は、主な変更点です。

firewalld が不要なファイアウォールルールのフラッシュを実行しなくなりました

firewalld サービスは、以下の条件を両方満たす場合、iptables 設定から既存のルールすべてを削除しません。

ss ユーティリティーが TCP バインドされた非アクティブソケットの可視性を改善する

iproute2 スイートは、TCP/IP ネットワークトラフィックを制御するためのユーティリティーのコレクションを提供します。TCP バインドされた非アクティブソケットは、IP アドレスとポート番号に接続されていますが、両方とも TCP ポートに接続もリッスンもされていません。ソケットサービス (ss) ユーティリティーは、TCP バインドされた非アクティブソケットをダンプするためのカーネルのサポートを追加します。次のコマンドオプションを使用して、これらのソケットを表示できます。

Nmstate API が SR-IOV VLAN 802.1ad のタグ付けをサポートするようになりました

この機能拡張により、Nmstate API を使用して、ハードウェアアクセラレーションされた Single-Root I/O Virtualization (SR-IOV) 仮想ローカルエリアネットワーク (VLAN) 802.1ad のタグ付けを有効にできるようになりました。このタグ付けは、ファームウェアでこの機能がサポートされているカードで有効にできます。

TCP Illinois 輻輳アルゴリズムカーネルモジュールが再度有効化されました

TCP Illinois は TCP プロトコルのバリアントです。インターネットサービスプロバイダー (ISP) などのお客様は、TCP Illinois アルゴリズムがないとパフォーマンスが最適に保たれず、Bandwidth and Round-trip propagation time (BBR) アルゴリズムを使用してもネットワークトラフィックが適切にスケーリングされず、結果として待ち時間が長くなります。したがって、TCP Illinois アルゴリズムを使用することで、平均スループットが若干向上し、ネットワークリソースがより公平に割り当てられ、互換性も実現できます。

iptables ユーティリティーがバージョン 1.8.10 にリベース

iptables ユーティリティーは、ファイアウォールを管理するためのパケットフィルタリングのルールを定義します。このユーティリティーはリベースされました。主な変更点は、以下のとおりです。

nftables がバージョン 1.0.9 にリベース

nftables ユーティリティーがバージョン 1.0.9 にアップグレードされ、複数のバグ修正と機能拡張が提供されています。主な変更点は、以下のとおりです。

firewalld がバージョン 1.3 にリベース

firewalld パッケージがバージョン 1.3 にアップグレードされ、複数のバグ修正と機能拡張が提供されます。主な変更点は、以下のとおりです。

RHEL 9.4 のカーネルバージョン

Red Hat Enterprise Linux 9.4 は、カーネルバージョン 5.14.0-427.13.1 で配布されます。

rteval は、デフォルトの測定 CPU リストに対する任意の CPU の追加および削除をサポートするようになりました

rteval ユーティリティーを使用すると、--measurement-cpulist パラメーターの使用時に、新しいリスト全体を指定するのではなく、デフォルトの測定 CPU リストに CPU を追加 (+ 記号を使用) または削除 (- 記号を使用) することができます。さらに、分離されたすべての CPU のセットをデフォルトの測定 CPU リストに追加するために --measurement-run-on-isolcpus が導入されました。このオプションは、分離された CPU 上で実行されるリアルタイムアプリケーションの最も一般的なユースケースをカバーします。その他のユースケースでは、より一般的な機能が必要になります。たとえば、一部のリアルタイムアプリケーションでは、ハウスキーピングのために分離 CPU を 1 つ使用していました。当該 CPU は、デフォルトの測定 CPU リストから除外する必要がありました。その結果、デフォルトの測定 CPU リストに任意の CPU を追加するだけでなく、柔軟な方法で任意の CPU を削除することもできるようになりました。削除は追加よりも優先されます。このルールは、+/- 記号を使用して指定した CPU と、--measurement-run-on-isolcpus で定義した CPU の両方に適用されます。

rtla がアップストリーム kernel ソースコードのバージョン 6.6 にリベース

rtla ユーティリティーが最新のアップストリームバージョンにアップグレードされ、複数のバグ修正および機能拡張が追加されました。主な変更点は、以下のとおりです。

cyclicdeadline がレイテンシーのヒストグラムの生成をサポートするようになりました

このリリースでは、cyclicdeadline ユーティリティーはレイテンシーのヒストグラムの生成をサポートします。この機能を使用すると、最悪のケースの数値を 1 つだけ取得するのではなく、さまざまなサイズのレイテンシースパイクの頻度についてより詳細な情報を得ることができます。

SGX が完全にサポートされるようになりました

Software Guard Extensions (SGX) は、ソフトウェアコードおよび公開および修正からのデータを保護する Intel® テクノロジーです。

Intel データストリーミングアクセラレータードライバーが完全にサポートされるようになりました

Intel データストリーミングアクセラレータードライバー (IDXD) は、Intel CPU 統合アクセラレーターを提供するカーネルドライバーです。これには、プロセスアドレス空間 ID (pasid) の送信および共有仮想メモリー (SVM) の共有ワークキューが含まれます。

eBPF 機能が Linux カーネルバージョン 6.6 にリベース

注目すべき変更点と機能拡張は次のとおりです。

libbpf-tools パッケージが IBM Z で利用可能になりました

BPF Compiler Collection (BCC) 用のコマンドラインツールを提供する libbpf-tools パッケージが、IBM Z アーキテクチャーで利用できるようになりました。その結果、IBM Z で libbpf-tools のコマンドを使用できるようになりました。

起動前段階での DEP/NX サポート

Data Execution Prevention (DEP)、No Execute (NX)、または Execute Disable (XD) と呼ばれるメモリー保護機能は、実行不可としてマークされたコードの実行をブロックします。DEP/NX は、RHEL のオペレーティングシステムレベルで利用可能になりました。

ファイルシステムのサイズ制限の設定がサポートされるようになる

この更新により、ユーザーはファイルシステムを作成または変更する際に、ファイルシステムのサイズ制限を設定できるようになりました。stratisd サービスは、動的なファイルシステムの拡張を可能にしますが、XFS ファイルシステムを過度に拡張すると重大なパフォーマンスの問題が発生する可能性があります。この機能の追加により、XFS ファイルシステムが特定のしきい値を超えて拡張された際に発生する可能性のあるパフォーマンスの問題が対処されます。ファイルシステムのサイズ制限を設定することで、ユーザーはこのような問題を回避し、最適なパフォーマンスを確保できます。さらに、この機能により、ユーザーがファイルシステムのサイズに上限を設定できるようになり、効率的なリソース割り当てが保証されるため、プールのモニタリングとメンテナンスが向上します。

lvconvert を使用して標準 LV をシン LV に変換できるようになりました

標準論理ボリューム (LV) をシンプールデータとして指定することで、lvconvert コマンドを使用して標準 LV をシン LV に変換できるようになりました。この更新により、既存の LV を変換してシンプロビジョニング機能を使用できるようになります。

multipathd が、NVMe デバイスの FPIN-Li イベントの検出をサポートするようになりました

以前は、multipathd コマンドは SCSI デバイス上の Integrity Fabric Performance Impact Notification (PFIN-Li) イベントのみを監視していました。multipathd は、ファイバーチャネルファブリックが送信するリンク整合性イベントをリッスンし、それを使用してパスをマージナルとしてマークすることができました。この機能は、SCSI デバイス上のマルチパスデバイスでのみサポートされていました。この機能の使用の制限により、multipathd は Non-volatile Memory Express (NVMe) デバイスパスをマージナルとしてマークすることができませんでした。

max_retries オプションが multipath.conf の defaults セクションに追加されました

この機能拡張により、multipath.conf ファイルの defaults セクションに max_retries オプションが追加されました。デフォルトではこのオプションは設定されておらず、5 回の再試行を指定する SCSI レイヤーのデフォルト値が使用されます。このオプションの有効な値は 0 から 5 です。このオプションを設定すると、SCSI デバイスの max_retries sysfs 属性のデフォルト値がオーバーライドされます。この属性は、特定のエラータイプが発生した場合に、SCSI 層が失敗を返す前に I/O コマンドを再試行する回数を制御します。

auto_resize オプションが multipath.conf の defaults セクションに追加されました

以前は、マルチパスデバイスのサイズを変更するには、multipathd resize map <name> コマンドを手動で実行する必要がありました。この更新により、multipath.conf ファイルの defaults セクションに auto_resize オプションが追加されました。このオプションは、multipathd コマンドがマルチパスデバイスのサイズを自動的に変更できるタイミングを制御します。auto_resize のさまざまな値を以下に示します。

Arcus NVMeoFC multipath.conf 設定の変更がカーネルに含まれるようになりました

Device-mapper-multipath に、HPE Alletra 9000 NVMeFC アレイ用の設定が組み込まれるようになりました。Arcus は、NVMeoFC の ANA (非対称名前空間アクセス) のサポートを追加しました。これは SCSI の ALUA に似ています。RHEL ホストがこの機能を使用し、利用可能な場合は ANA 最適化パスにのみ I/O を送信するには、multipath.conf の変更が必要です。この変更なしでは、デバイスマッパーは ANA 最適化パスと ANA 非最適化パスの両方に I/O を送信していました。

stratis-cli がバージョン 3.6.0 にリベース

stratis-cli パッケージがバージョン 3.6.0 にアップグレードされました。主なバグ修正と機能拡張は、以下のとおりです。

boom がバージョン 1.6.0 にリベース

boom パッケージがバージョン 3.6.0 にアップグレードされました。主な機能拡張は、次のとおりです。

SAN からの NVMe-FC ブートが完全にサポートされるようになりました

Red Hat Enterprise Linux 9.2 でテクノロジープレビューとして導入された Non-volatile Memory Express (NVMe) over Fibre Channel (NVMe/FC) ブートが、完全にサポートされるようになりました。一部の NVMe/FC ホストバスアダプターは、NVMe/FC ブート機能をサポートします。NVMe/FC ブート機能を有効にするようにホストバスアダプター (HBA) をプログラミングする方法の詳細は、NVMe/FC ホストバスアダプターの製造元のドキュメントを参照してください。

pcs は時刻プロパティーに関して ISO 8601 の duration 仕様をサポートします

pcs コマンドラインインターフェイスで、Pacemaker の時刻プロパティーの値を ISO 8601 の duration 仕様標準に従って指定できるようになりました。

新しい pscd Web UI 機能のサポート

pscd Web UI では、次の機能がサポートされるようになりました。

TLS 暗号リストがデフォルトでシステム全体の暗号化ポリシーを使用するようになりました

以前は、pcsd TLS 暗号リストはデフォルトで DEFAULT:!RC4:!3DES:@STRENGTH に設定されていました。この更新により、暗号リストはデフォルトでシステム全体の暗号化ポリシーによって定義されるようになりました。現在設定されている暗号化ポリシーによっては、このアップグレードにより pcsd デーモンが受け入れる TLS 暗号が変更される可能性があります。暗号化ポリシーフレームワークの詳細は、crypto-policies(7) の man ページを参照してください。

Python 3.12 が RHEL 9 で利用できるようになりました

RHEL 9.4 では、新しいパッケージ python3.12 とそのためにビルドされた一連のパッケージ、および ubi9/python-312 コンテナーイメージによって提供される Python 3.12 が導入されています。

メールアドレスの解析を制御するための Python の新しい環境変数

CVE-2023-27043 の問題を軽減するために、メールアドレスをより厳密に解析するための後方互換性のない変更が Python 3 に導入されました。

新しいモジュールストリーム: ruby:3.3

RHEL 9.4 では、新しい ruby:3.3 モジュールストリームに Ruby 3.3.0 が導入されました。このバージョンでは、RHEL 9.1 で配布される Ruby 3.1 に対するパフォーマンスの向上、バグおよびセキュリティー修正、および新機能がいくつか追加されました。

新しいモジュールストリーム: php:8.2

RHEL 9.4 は、PHP 8.2 を新しい php:8.2 モジュールストリームとして追加します。

perl-DateTime-TimeZone モジュールの name() メソッドは、タイムゾーン名を返すようになりました。

perl-DateTime-TimeZone モジュールがバージョン 2.62 に更新され、name() メソッドによって返される値がタイムゾーンエイリアスからメインのタイムゾーン名に変更されました。

新しいモジュールストリーム: nginx:1.24

nginx 1.24 Web およびプロキシーサーバーが、nginx:1.24 モジュールストリームとして利用できるようになりました。この更新では、以前にリリースされたバージョン 1.22 に対するバグ修正、セキュリティー修正、新機能、および機能拡張がいくつか提供されます。

新しいモジュールストリーム: mariadb:10.11

MariaDB 10.11 が、新しいモジュールストリーム mariadb:10.11 として利用できるようになりました。以前に利用可能であったバージョン 10.5 に対する主な機能拡張は、以下のとおりです。

新しいモジュールストリーム: postgresql:16

RHEL 9.4 では、PostgreSQL 16 が postgresql:16 モジュールストリームとして導入されています。PostgreSQL 16 では、バージョン 15 に比べていくつかの新機能と機能拡張が提供されます。

Git がバージョン 2.43.0 にリベース

Git バージョン管理システムがバージョン 2.43.0 に更新され、以前にリリースされたバージョン 2.39 に対するバグ修正、機能拡張、およびパフォーマンス向上が実現しました。

Git LFS がバージョン 3.4.1 にリベース

Git Large File Storage (LFS) エクステンションがバージョン 3.4.1 に更新されました。これにより、以前にリリースされたバージョン 3.2.0 に対するバグ修正、機能拡張、およびパフォーマンス向上が実現しました。

LLVM Toolset がバージョン 17.0.6 にリベース

LLVM Toolset がバージョン 17.0.6 に更新されました。

Rust Toolset がバージョン 1.75.0 にリベース

Rust Toolset がバージョン 1.75.0 に更新されました。

Go Toolset がバージョン 1.21.0 にリベース

Go Toolset がバージョン 1.21.0 に更新されました。

Clang リソースディレクトリーが移動しました

Clang が内部ヘッダーとライブラリーを保存する Clang リソースディレクトリーが、/usr/lib64/clang/17 から /usr/lib/clang/17 に移動しました。

elfutils が バージョン 0.190 にリベース

elfutils パッケージが、バージョン 0.190 に更新されました。以下は、主な改善点です。

systemtap がバージョン 5.0 にリベース

systemtap パッケージが、バージョン 5.0 に更新されました。主な機能拡張は、次のとおりです。

GCC Toolset 13 の更新

GCC Toolset 13 は、最新バージョンの開発ツールを提供するコンパイラーツールセットです。これは、AppStream リポジトリー内の Software Collection の形式で Application Stream として利用できます。

GCC と -fstack-protector フラグを使用してコンパイルすると、64 ビット ARM での動的スタック割り当ての保護に失敗しなくなる

以前は、64 ビット ARM アーキテクチャーでは、-fstack-protector フラグを指定したシステム GCC コンパイラーは、C99 可変長配列または alloca() 割り当てオブジェクトを含む関数でバッファーオーバーフローを検出できませんでした。その結果、攻撃者はスタック上に保存されたレジスターを上書きする可能性があります。この更新により、64 ビット ARM でのバッファーオーバーフロー検出が修正されました。その結果、システム GCC でコンパイルされたアプリケーションはより安全になります。

GCC ツールセット 13: GCC と -fstack-protector フラグを使用してコンパイルすると、64 ビット ARM での動的スタック割り当ての保護に失敗しなくなる

以前は、64 ビット ARM アーキテクチャーでは、-fstack-protector フラグを指定した GCC コンパイラーは、C99 可変長配列または alloca() 割り当てオブジェクトを含む関数でバッファーオーバーフローを検出できませんでした。その結果、攻撃者はスタック上に保存されたレジスターを上書きする可能性があります。この更新により、64 ビット ARM でのバッファーオーバーフロー検出が修正されました。その結果、GCC でコンパイルされたアプリケーションはより安全になります。

pcp がバージョン 6.2.0 に更新される

pcp パッケージがバージョン 6.2.0 に更新されました。以下は、主な改善点です。

新しい grafana-selinux パッケージ

以前は、grafana-server のデフォルトのインストールは unconfined_service_t SELinux タイプとして実行されていました。この更新では、grafana-server 用の SELinux ポリシーが含まれ、grafana-server とともにデフォルトでインストールされる、新しい grafana-selinux パッケージが追加されます。その結果、grafana-server は grafana_t SELinux タイプとして実行されるようになりました。

papi は、新しいプロセッサーマイクロアーキテクチャーをサポートする

この機能拡張により、次のプロセッサーマイクロアーキテクチャー上の papi イベントプリセットを使用して、パフォーマンス監視ハードウェアにアクセスできるようになります。

新しいパッケージ: maven-openjdk21

maven:3.8 モジュールストリームに、maven-openjdk21 サブパッケージが含まれるようになりました。このサブパッケージは、OpenJDK 21 用の Maven JDK バインディングを提供し、システム OpenJDK 21 を使用するように Maven を設定します。

新しいパッケージ: libzip-tools

RHEL 9.4 では、zipcmp、zipmerge、ziptool などのユーティリティーを提供する libzip-tools パッケージが導入されています。

cmake がバージョン 3.26 にリベース

cmake パッケージがバージョン 3.26 に更新されました。以下は、主な改善点です。

valgrind が 3.22 に更新される

valgrind パッケージがバージョン 3.22 に更新されました。以下は、主な改善点です。

libabigail がバージョン 2.4 にリベース

libabigail パッケージがバージョン 2.4 に更新されました。

SSSD で新しいパスワードレスの認証方法が利用可能になる

この更新により、SSSD でパスワードレス認証を有効にして設定し、FIDO2 仕様と互換性のある生体認証デバイス (YubiKey など) を使用できるようになりました。事前に FIDO2 トークンを登録し、この登録情報を RHEL IdM、Active Directory、または LDAP ストアのユーザーアカウントに保存する必要があります。RHEL は、libfido2 ライブラリーを使用して FIDO2 の互換性を実装していますが、現在は USB ベースのトークンのみをサポートしています。

ansible-freeipa ipauser および ipagroup モジュールが、新しい renamed 状態をサポートするようになる

この更新により、ansible-freeipa ipauser モジュールの renamed 状態を使用して、既存の IdM ユーザーのユーザー名を変更できるようになりました。また、ansible-freeipa ipagroup モジュールでこの状態を使用して、既存の IdM グループのグループ名を変更することもできます。

Identity Management ユーザーは、外部アイデンティティープロバイダーを使用して IdM に認証できるようになる

この機能拡張により、Identity Management (IdM) ユーザーを、OAuth 2 デバイス認証フローをサポートする外部アイデンティティープロバイダー (IdP) に関連付けることができるようになりました。このような IdP の例には、Red Hat build of Keycloak、Microsoft Entra ID （以前の Azure Active Directory）、GitHub、および Google が含まれます。

ipa がバージョン 4.11 にリベース

ipa パッケージがバージョン 4.10 から 4.11 に更新されました。主な変更点は、以下のとおりです。

期限切れの KCM Kerberos チケットの削除

以前は、Kerberos Credential Manager (KCM) に新しい認証情報を追加しようとした際にすでにストレージ領域の上限に達していた場合、新しい認証情報は拒否されていました。ユーザーのストレージ領域は、max_uid_ccaches 設定オプション (デフォルト値は 64) によって制限されます。この更新により、ストレージ領域の上限にすでに達している場合は、最も古い期限切れの認証情報が削除され、新しい認証情報が KCM に追加されます。期限切れの認証情報がない場合、操作は失敗し、エラーが返されます。この問題を防ぐには、kdestroy コマンドを使用して認証情報を削除し、領域を解放します。

IdM は Ansible モジュール idoverrideuser、idoverridegroup、idview をサポートするようになりました

この更新により、ansible-freeipa パッケージに次のモジュールが含まれるようになりました。

idp Ansible モジュールを使用すると、IdM ユーザーを外部 IdP に関連付けることができます

この更新により、idp ansible-freeipa モジュールを使用して、Identity Management (IdM) ユーザーを、OAuth 2 デバイス認可フローをサポートする外部アイデンティティープロバイダー (IdP) に関連付けることができます。IdM に IdP 参照および関連付けられた IdP ユーザー ID が存在する場合は、それらを使用して IdM ユーザーの IdP 認証を有効にすることができます。 

getcert add-ca は、証明書がすでに存在するか追跡されている場合に新しい戻りコードを返します

この更新により、すでに存在するか追跡されている証明書を追加または追跡しようとすると、getcert コマンドは特定の戻りコード 2 を返します。以前は、エラー状態が発生すると、このコマンドは戻りコード 1 を返していました。

DNS ゾーン管理の委譲が ansible-freeipa で有効になりました

dnszone ansible-freeipa モジュールを使用して、DNS ゾーン管理を委譲できるようになりました。dnszone モジュールの permission または managedby 変数を使用して、ゾーンごとのアクセス委譲権限を設定します。

すべての LDAP クライアントに OTP の使用を強制する

RHBA-2024:2558 アドバイザリーのリリースにより、RHEL IdM では、2 要素 (OTP) 認証が設定されたユーザーアカウントの LDAP サーバー認証におけるデフォルトの動作を設定できるようになりました。OTP が強制されている場合、LDAP クライアントは、関連付けられた OTP トークンを持つユーザーに対して、単一要素認証 (パスワード) を使用して LDAP サーバーに対して認証することはできません。この方法は、データなしの OID 2.16.840.1.113730.3.8.10.7 を使用した特別な LDAP 制御を使用することで、Kerberos バックエンドを通じてすでに実施されています。

runasuser_group パラメーターが ansible-freeipa ipasudorule で利用できるようになる

この更新では、ansible-freeipa ipasudorule モジュールを使用して、sudo ルールの RunAs ユーザーのグループを設定できるようになりました。このオプションは、Identity Management (IdM) コマンドラインインターフェイスと IdM Web UI ですでに利用可能です。

389-ds-base がバージョン 2.4.5 にリベース

389-ds-base パッケージがバージョン 2.4.5 に更新されました。バージョン 2.3.4 への主なバグ修正および機能拡張は、以下のとおりです。

ns-slapd プロセスでは、Transparent Huge Pages がデフォルトで無効になりました

大規模なデータベースキャッシュを使用すると、Transparent Huge Pages (THP) によって、高い負荷がかかった状態の Directory Server のパフォーマンスに悪影響が生じる可能性があります。たとえば、メモリーフットプリントの増加、CPU 使用率の上昇、レイテンシースパイクなどが挙げられます。この機能拡張により、dirsrv systemd ユニットの /usr/lib/systemd/system/dirsrv@.service.d/custom.conf ドロップイン設定ファイルに、ns-slapd プロセスの THP を無効にする新しい設定オプション THP_DISABLE=1 が追加されました。

新しい lastLoginHistSize 設定属性が Account Policy プラグインで利用できるようになりました

以前は、ユーザーがバインドを正常に実行した場合、最後のログインの時刻しか利用可能できませんでした。この更新では、新しい lastLoginHistSize 設定属性を使用して、成功したログインの履歴を管理できます。デフォルトでは、成功したログインのうち最後の 5 回が保存されます。

MFA バインドを識別する、アクセスログ内の新しい notes=M メッセージ

この更新により、MFA プラグインなどの事前バインド認証プラグインを使用してユーザーアカウントの二要素認証を設定すると、BIND 操作中に、Directory Server ログファイルに次のメッセージが記録されるようになりました。

新しい inchainMatch マッチングルールが利用可能になる

この更新により、クライアントアプリケーションは新しい inchainMatch マッチングルールを使用して、LDAP エントリーの祖先を検索できるようになります。inchainMatch マッチングルールでは、member、manager、parentOrganization、memberof 属性が使用可能であり、次の検索を実行できます。

HAProxy プロトコルが 389-ds-base パッケージでサポートされるようになりました

以前は、Directory Server はプロキシークライアントと非プロキシークライアント間の着信接続を区別していませんでした。この更新により、新しい多値設定属性 nsslapd-haproxy-trusted-ip を使用して、信頼できるプロキシーサーバーのリストを設定できるようになりました。cn=config エントリーの下に nsslapd-haproxy-trusted-ip が設定されている場合、Directory Server は HAProxy プロトコルを使用して追加の TCP ヘッダー経由でクライアント IP アドレスを受信します。これにより、アクセス制御命令 (ACI) を正しく評価し、クライアントトラフィックをログに記録できるようになります。

samba がバージョン 4.19.4 にリベース

samba パッケージはアップストリームバージョン 4.19.4 にアップグレードされ、以前のバージョンに対するバグ修正と機能拡張が提供されています。主な変更点は以下のとおりです。

Identity Management API が完全にサポートされるようになりました

Identity Management (IdM) API は、RHEL 9.2 でテクノロジープレビューとして利用可能でした。RHEL 9.3 以降では完全にサポートされています。

RHEL Web コンソールで、Ansible およびシェルスクリプトを生成できるようになりました

Web コンソールで、kdump 設定ページの自動化スクリプトに簡単にアクセスしてコピーできるようになりました。生成されたスクリプトを使用して、特定の kdump 設定を複数のシステムに実装できます。

Storage でのストレージ管理およびパーティションサイズ変更の簡素化

Web コンソールの Storage セクションが再設計されました。新しいデザインにより、すべてのビューの視認性が向上しました。概要ページでは、すべてのストレージオブジェクトが包括的なテーブルに表示されるようになり、直接操作を実行しやすくなります。任意の行をクリックすると、詳細情報と追加のアクションが表示されます。さらに、Storage セクションからパーティションのサイズを変更できるようになりました。

ad_integration RHEL システムロールは、動的 DNS 更新オプションの設定をサポートするようになりました

この更新により、ad_integration RHEL システムロールは、Active Directory (AD) との統合時に、SSSD を使用した動的 DNS 更新の設定オプションをサポートするようになりました。デフォルトでは、SSSD は以下の場合に DNS レコードの自動更新を試みます。

Storage RHEL システムロールが共有 LVM デバイス管理をサポートするようになりました

RHEL システムロールが、共有論理ボリュームとボリュームグループの作成と管理をサポートするようになりました。

Microsoft SQL Server 2022 が RHEL 9 で利用可能になる

mssql-server システムロールが RHEL 9 で利用できるようになりました。このロールは 2 つの変数を追加します。

rhc システムロールが RHEL 7 システムをサポートするようになる

rhc システムロールを使用して RHEL 7 システムを管理できるようになりました。RHEL 7 システムを Red Hat Subscription Management (RHSM) および Insights に登録し、rhc システムロールを使用してシステムの管理を開始します。

fapolicyd を設定するための新しい RHEL システムロール

新しい fapolicyd RHEL システムロールを使用すると、Ansible Playbook を使用して fapolicyd フレームワークを管理および設定できます。fapolicyd ソフトウェアフレームワークは、ユーザー定義のポリシーに基づいてアプリケーションの実行を制御します。

RHEL システムロールが LVM スナップショット管理をサポートするようになる

この機能拡張により、新しい snapshot RHEL システムロールを使用して、LVM スナップショットを作成、設定、管理できます。

Nmstate API と network RHEL システムロールが新しいルートタイプをサポートするようになりました

この機能拡張により、Nmstate API と network RHEL システムロールで次のルートタイプを使用できるようになりました。

ad_integration RHEL システムロールは、カスタム SSSD ドメイン設定をサポートするようになりました。

以前は、ad_integration RHEL システムロールを使用する場合、ロールを使用して sssd.conf ファイルのドメイン設定セクションにカスタム設定を追加することはできませんでした。この機能拡張により、ad_integration ロールは sssd.conf ファイルを変更できるようになり、結果としてカスタム SSSD 設定を使用できるようになります。

ad_integration RHEL システムロールがカスタム SSSD 設定をサポートするようになる

以前は、ad_integration RHEL システムロールを使用する場合、ロールを使用して sssd.conf ファイルの [sssd] セクションにカスタム設定を追加することはできませんでした。この機能拡張により、ad_integration ロールは sssd.conf ファイルを変更できるようになり、結果としてカスタム SSSD 設定を使用できるようになります。

rhc ロールに、表示名を設定するための新しい rhc_insights.display_name オプションが追加されました

新しい rhc_insights.display_name パラメーターを使用して、Red Hat Insights に登録されているシステムの表示名を設定または更新できるようになりました。このパラメーターを使用すると、希望に応じてシステムに名前を付けて、Insights Inventory 内のシステムを簡単に管理することができます。システムがすでに Red Hat Insights に接続されている場合は、パラメーターを使用して既存の表示名を更新します。登録時に表示名が明示的に設定されていない場合、表示名はデフォルトでホスト名に設定されます。表示名をホスト名に自動的に戻すことはできませんが、手動でホスト名に設定することは可能です。

fapolicyd を設定するための新しい RHEL システムロール

新しい fapolicyd RHEL システムロールを使用すると、Ansible Playbook を使用して fapolicyd フレームワークを管理および設定できます。fapolicyd ソフトウェアフレームワークは、ユーザー定義のポリシーに基づいてアプリケーションの実行を制御します。

logging RHEL システムロール用の新しい logging_preserve_fqdn 変数

以前は、logging システムロールを使用して完全修飾ドメイン名 (FQDN) を設定することはできませんでした。この更新により、オプションの logging_preserve_fqdn 変数が追加されています。これを使用すると、rsyslog の preserveFQDN 設定オプションを設定して、syslog エントリーで短い名前ではなく完全な FQDN を使用できます。

logging ロールは、出力モジュールの一般的なキューと一般的なアクションパラメーターをサポートします。

以前は、logging ロールで一般的なキューパラメーターと一般的なアクションパラメーターを設定することはできませんでした。この更新により、logging RHEL システムロールは、出力モジュールの一般的なキューパラメーターと一般的なアクションパラメーターの設定をサポートするようになりました。

postgresql RHEL システムロールが PostgreSQL 16 をサポートするようになりました

PostgreSQL サーバーをインストール、設定、管理、起動する postgresql RHEL システムロールが、PostgreSQL 16 をサポートするようになりました。

ファイルシステムを作成せずにボリュームを作成する機能のサポート

この機能拡張により、fs_type=unformatted オプションを指定することで、ファイルシステムを作成せずに新しいボリュームを作成できるようになりました。

新しい ha_cluster システムロール機能のサポート

ha_cluster システムロールは、次の機能をサポートするようになりました。

ForwardToSyslog フラグが journald システムロールでサポートされるようになりました

journald RHEL システムロールでは、journald_forward_to_syslog 変数は、受信したメッセージを従来の syslog デーモンに転送するかどうかを制御します。この変数のデフォルト値は false です。この機能拡張により、インベントリーで journald_forward_to_syslog を true に設定することで、ForwardToSyslog フラグを設定できるようになりました。その結果、Splunk などのリモートロギングシステムを使用する場合、ログは /var/log ファイルで利用できるようになります。

Ansible ホスト名を設定するための rhc ロールの新しい rhc_insights.ansible_host オプション

新しい rhc_insights.ansible_host パラメーターを使用して、Red Hat Insights に登録されているシステムの Ansible ホスト名を設定または更新できるようになりました。このパラメーターを設定すると、/etc/insights-client/insights-client.conf ファイル内の ansible_host 設定が、選択した Ansible ホスト名に変更されます。システムがすでに Red Hat Insights に接続されている場合、このパラメーターによって既存の Ansible ホスト名が更新されます。

新しい mssql_ha_prep_for_pacemaker 変数

以前は、microsoft.sql.server RHEL システムロールには、Pacemaker 用に SQL Server を設定するかどうかを制御する変数がありませんでした。この更新では、mssql_ha_prep_for_pacemaker が追加されます。システムを Pacemaker 用に設定せず、別の HA ソリューションを使用する場合は、変数を false に設定します。

sshd ロールは証明書ベースの SSH 認証を設定するようになりました

sshd RHEL システムロールを使用すると、SSH 証明書を使用して認証する複数の SSH サーバーを設定および管理できるようになりました。これにより、証明書は信頼できる CA によって署名され、きめ細かいアクセス制御、有効期限、集中型管理が提供されるため、SSH 認証がより安全になります。

logging システムロールでは、rsyslog_max_message_size の代わりに、logging_max_message_size パラメーターを使用します。

以前は、rsyslog_max_message_size パラメーターがサポートされていなかったにもかかわらず、logging RHEL システムロールは、logging_max_message_size パラメーターではなく rsyslog_max_message_size を使用していました。この機能拡張により、ログメッセージの最大サイズを設定するために rsyslog_max_message_size ではなく、logging_max_message_size が使用されるようになります。

ratelimit_burst 変数は、logging システムロールで ratelimit_interval が設定されている場合にのみ使用されます。

以前は、logging RHEL システムロールで、ratelimit_interval 変数が設定されていない場合、ロールは ratelimit_burst 変数を使用して rsyslog ratelimit.burst を設定していました。しかし、ratelimit_interval も設定する必要があるため、効果はありませんでした。

selinux ロールは、存在しないモジュールを指定するとメッセージを出力するようになりました。

このリリースでは、selinux_modules.path 変数に存在しないモジュールを指定すると、selinux RHEL システムロールによってエラーメッセージが出力されます。

selinux ロールは、無効モードでの SELinux の設定をサポートするようになりました。

この更新により、selinux RHEL システムロールは、SELinux が無効に設定されているノード上の SELinux ポート、ファイルコンテキスト、およびブールマッピングの設定をサポートするようになりました。これは、システム上で SELinux を許可モードまたは強制モードに有効にする前の設定シナリオに役立ちます。

RHEL System ロールの metrics は、PMIE Webhook の設定をサポートするようになりました。

この更新により、metrics RHEL System Role の metrics_webhook_endpoint 変数を使用して、`global webhook_endpoint` PMIE 変数を自動的に設定できるようになりました。これにより、重要なパフォーマンスイベントに関するメッセージを受信する環境用のカスタム URL を提供できるようになります。これは通常、Event-Driven Ansible などの外部ツールで使用されます。

bootloader RHEL システムロール

この更新では、bootloader RHEL システムロールが導入されます。この機能を使用すると、RHEL システム上のブートローダーとカーネルの安定した一貫した設定を実現できます。要件、ロール変数、およびサンプル Playbook の詳細は、/usr/share/doc/rhel-system-roles/bootloader/ ディレクトリーの README リソースを参照してください。

ARM 64 で仮想化がサポートされるようになりました

この更新により、ARM 64 (別名 AArch64) CPU を使用するシステム上で KVM 仮想マシンを作成するためのサポートが導入されました。ただし、AMD64 および Intel 64 システムで利用可能な特定の仮想化機能は、ARM 64 では動作が異なったり、サポートされなかったりする場合があります。

仮想マシンの外部スナップショット

この更新により、非推奨になった内部スナップショットメカニズムに代わる、仮想マシン (VM) の外部スナップショットメカニズムが導入されました。その結果、完全にサポートされる仮想マシンスナップショットを作成、削除、および復元できるようになりました。外部スナップショットは、コマンドラインインターフェイスと RHEL Web コンソールの両方でより確実に動作します。これは、ライブスナップショットと呼ばれる実行中の仮想マシンのスナップショットにも適用されます。 

RHEL は仮想マシンのマルチ FD 移行をサポートするようになりました

この更新により、仮想マシンの複数のファイル記述子 (マルチ FD) の移行がサポートされるようになりました。マルチ FD 移行では、複数の並列接続を使用して仮想マシンを移行するため、利用可能なネットワーク帯域幅をすべて活用してプロセスを高速化できます。

仮想マシンの移行で、ポストコピープリエンプションがサポートされるようになりました

仮想マシンのポストコピーライブマイグレーションで postcopy-preempt 機能が使用されるようになりました。これにより、移行のパフォーマンスと安定性が向上しました。

Secure Execution VMs on IBM Z が暗号化コプロセッサーをサポートするようになりました。

この更新により、IBM Secure Execution on IBM Z を使用して、暗号化コプロセッサーを仲介デバイスとして仮想マシン (VM) に割り当てることができるようになりました。

KVM ゲストでサポートされる第 4 世代 AMD EPYC プロセッサー

第 4 世代 AMD EPYC プロセッサー (AMD Genoa とも呼ばれる) のサポートが、KVM ハイパーバイザーとカーネルコード、および libvirt API に追加されました。これにより、KVM 仮想マシンは第 4 世代 AMD EPYC プロセッサーを使用できるようになります。

RHEL Web コンソールの新しい仮想化機能

今回の更新で、RHEL Web コンソールに Virtual Machines ページに新機能が追加されました。以下を実行することができます。

virtio-mem が AMD64 および Intel 64 システムでサポートされるようになりました

この更新により、AMD64 および Intel 64 システムでの virtio-mem 機能のサポートが RHEL 9 に導入されました。virtio-mem を使用すると、仮想マシン (VM) のホストメモリーを動的に追加または削除できます。

Web コンソールで SPICE を VNC に置き換えることができるようになる

この更新により、Web コンソールを使用して、既存の仮想マシン (VM) で SPICE リモート表示プロトコルを VNC プロトコルに置き換えることができるようになりました。

virtio-blk ディスクデバイスの I/O パフォーマンスの向上

この更新により、virtio-blk ディスクデバイス内の各 virtqueue に個別の IOThread を設定できるようになります。この設定により、集中的な I/O ワークロード中に複数の CPU を搭載した仮想マシンのパフォーマンスが向上します。

VNC ビューアーが、ramfb のライブマイグレーション後に仮想マシンディスプレイを正しく初期化する

この更新により、仮想マシン (VM) のプライマリーディスプレイとして設定できる ramfb フレームバッファーデバイスが強化されます。以前は、ramfb は移行できなかったため、ramfb を使用する仮想マシンではライブマイグレーション後に空白の画面が表示されていました。現在、ramfb は、ライブマイグレーションと互換性があります。その結果、移行が完了すると仮想マシンデスクトップが表示されます。

EC2 上の RHEL インスタンスが IPv6 IMDS 接続をサポートするようになる

この更新により、Amazon Elastic Cloud コンピュート (EC2) 上の RHEL 8 および 9 インスタンスは IPv6 プロトコルを使用してインスタンスメタデータサービス (IMDS) に接続できるようになります。その結果、EC2 上の cloud-init を使用して、デュアルスタック IPv4 および IPv6 接続を備えた RHEL インスタンスを設定できるようになります。さらに、IPv6 のみのサブネットで cloud-init を使用して RHEL の EC2 インスタンスを起動することもできます。

生成された設定ファイルを削除するための新しい cloud-init clean オプション

cloud-init ユーティリティーに cloud-init clean --configs オプションが追加されました。このオプションを使用すると、インスタンス上の cloud-init によって生成された不要な設定ファイルを削除できます。たとえば、ネットワークのセットアップを定義する cloud-init 設定ファイルを削除するには、次のコマンドを使用します。

Podman が containers.conf モジュールをサポートするようになりました

Podman モジュールを使用して、事前に定義された設定セットをロードできます。Podman モジュールは、TOML 形式の containers.conf ファイルです。

Container Tools パッケージが更新される

Podman、Buildah、Skopeo、crun、runc ツールを含む、更新された Container Tools RPM メタパッケージが利用可能になりました。以前のバージョンに対する主なバグ修正および機能拡張は、以下のとおりです。

Podman v4.9 RESTful API が進捗のデータを表示するようになりました

この機能拡張により、Podman v4.9 RESTful API では、イメージをレジストリーにプルまたはプッシュするときに、進捗データが表示されるようになりました。

Toolbx が利用可能になる

Toolbx を使用すると、ベースオペレーティングシステムに影響を与えることなく、開発およびデバッグのツール、エディター、ソフトウェア開発キット (SDK) を、Toolbx の完全にミュータブルなコンテナーにインストールできます。Toolbx コンテナーは、registry.access.redhat.com/ubi9.4/toolbox:latest イメージをベースとしています。

SQLite は、Podman のデフォルトのデータベースバックエンドとして完全にサポートされるようになりました

Podman v4.9 では、以前テクノロジープレビューとして利用可能だった Podman の SQLite データベースバックエンドが完全にサポートされるようになりました。SQLite データベースは、コンテナーメタデータを操作する際に、より優れた安定性、パフォーマンス、一貫性を提供します。SQLite データベースバックエンドは、RHEL 9.4 の新規インストールのデフォルトバックエンドです。以前の RHEL バージョンからアップグレードする場合、デフォルトバックエンドは BoltDB になります。

管理者は nftables を使用してファイアウォールルールの分離を設定できます。

iptables がインストールされていないシステムでも、Podman コンテナーネットワークスタックである Netavark を使用できます。以前は、Netavark の前身であるコンテナーネットワーキングインターフェイス (CNI) ネットワーキングを使用すると、iptables がインストールされていないシステムでコンテナーネットワーキングを設定する方法はありませんでした。この機能強化により、Netavark ネットワークスタックは、nftables のみがインストールされているシステムでも動作し、自動的に生成されたファイアウォールルールの分離が改善されます。

Containerfile が複数行の命令をサポートするようになりました

Containerfile ファイルで複数行の HereDoc 命令 (Here Document 表記) を使用すると、このファイルを簡素化し、複数の RUN ディレクティブを実行することで発生するイメージレイヤーの数を減らすことができます。

gvisor-tap-vsock パッケージが利用可能になる

gvisor-tap-vsock パッケージは、libslirp ユーザーモードネットワークライブラリーと VPNKit ツールおよびサービスの代替手段です。このパッケージは Go で書かれており、gVisor のネットワークスタックに基づいています。libslirp と比較して、gvisor-tap-vsock ライブラリーは、設定可能な DNS サーバーと動的ポート転送をサポートします。podman-machine の仮想マシンで gvisor-tap-vsock ネットワークライブラリーを使用できます。仮想マシンを管理するための podman machine コマンドは、現在 Red Hat Enterprise Linux ではサポートされていません。

Anaconda は、Installation Destination 画面にマルチパスストレージデバイスの WWID 識別子を表示します

以前、Anaconda は、マルチパスストレージデバイスのデバイス番号、WWPN、LUN などの詳細を表示しませんでした。その結果、Installation Destination > Add a disk 画面から正しいインストール先を選択することは困難でした。この更新により、Anaconda がマルチパスストレージデバイスの WWID 識別子を表示するようになりました。その結果、高度なストレージデバイスの画面で、必要なインストール先を簡単に識別して選択できるようになりました。

インストーラーはキックスタートファイルで追加のタイムゾーン定義を受け入れるようになりました

Anaconda は、タイムゾーンの選択を検証する方法を、より制限的な別の方法に切り替えました。このため、日本などの一部のタイムゾーン定義は、以前のバージョンでは受け入れられていたにもかかわらず、有効ではなくなりました。これらの定義を含むレガシーキックスタートファイルを更新する必要がありました。更新しない場合、デフォルトで Americas/New_York time ゾーンになっていました。

インストーラーが、複数のポートと BOOTIF オプションを使用してボンディングデバイスを正しく作成するようになりました

以前は、複数のポートを持つボンディングネットワークデバイスと BOOTIF ブートオプションを使用してインストールを起動した場合、インストールプログラムが誤った接続プロファイルを作成していました。その結果、BOOTIF オプションで使用されるデバイスは、ポートの 1 つとして設定されていたにもかかわらず、ボンディングデバイスに追加されませんでした。

Anaconda は、インストールイメージの起動に失敗したときに表示される、誤解を招くエラーメッセージを置き換えます

以前は、たとえば inst.stage2 または inst.repo で指定された stage2 のソースが見つからないことが原因で、インストールプログラムがインストールイメージの起動に失敗した場合、Anaconda は誤解を招く以下のエラーメッセージを表示していました。

新しいバージョンの xfsprogs が /boot サイズを縮小しなくなる

以前は、RHEL 9.3 の 5.19 バージョンの xfsprogs パッケージにより、/boot サイズが縮小していました。その結果、RHEL 9.2 バージョンと比較すると、/boot パーティション上の使用可能な領域に違いが生じました。この修正により、すべてのイメージの /boot パーティションが 500 MiB ではなく 600 MiB に増加し、/boot パーティションはスペースの問題の影響を受けなくなりました。

Libreswan は IPv6 SAN エクステンションを受け入れる

以前は、IPv6 アドレスの subjectAltName (SAN) エクステンションを含む証明書を使用して証明書ベースの認証をセットアップすると、IPsec 接続が失敗しました。この更新により、pluto デーモンは IPv4 だけでなく IPv6 SAN も受け入れるように変更されました。その結果、証明書に埋め込まれた IPv6 アドレスを ID として IPsec 接続が正しく確立されるようになりました。

SELinux ポリシーに、ip vrf による仮想ルーティングを管理するためのルールが追加されました

ip vrf コマンドを使用して、他のネットワークサービスの仮想ルーティングを管理できます。以前は、selinux-policy にはこの用途をサポートするルールは含まれていませんでした。この更新により、SELinux ポリシールールによって、ip ドメインから httpd、sshd、および named ドメインへの明示的な遷移が可能になります。これらの遷移は、ip コマンドが setexeccon ライブラリー呼び出しを使用する場合に適用されます。

unconfined_login が off に設定されている場合、SELinux ポリシーは制限のないユーザーの SSH ログインを拒否します。

以前は、unconfined_login ブール値が off に設定されている場合に、制限のないユーザーが SSH 経由でログインすることを拒否するルールが SELinux ポリシーにありませんでした。その結果、unconfined_login が off に設定されている場合でも、ユーザーは SSHD を使用して制限のないドメインにログインできます。この更新により、SELinux ポリシーにルールが追加され、その結果、unconfined_login が off の場合、ユーザーは sshd 経由で制限なしでログインできなくなります。

SELinux ポリシーにより rsyslogd が制限されたコマンドを実行できる

以前は、SELinux ポリシーには、rsyslogd デーモンが systemctl などの SELinux 制限コマンドを実行できるようにするルールがありませんでした。その結果、omprog ディレクティブの引数として実行されたコマンドは失敗しました。この更新により、SELinux ポリシーにルールが追加され、omprog の引数として実行される /usr/libexec/rsyslog ディレクトリー内の実行可能ファイルが syslogd_unconfined_script_t の制限のないドメインに含まれるようになります。その結果、omprog の引数として実行されたコマンドは正常に終了します。

SELinux ポリシーにより rsyslogd が制限されたコマンドを実行できる

以前は、SELinux ポリシーには、rsyslogd デーモンが systemctl などの SELinux 制限コマンドを実行できるようにするルールがありませんでした。その結果、omprog ディレクティブの引数として実行されたコマンドは失敗しました。この更新により、SELinux ポリシーにルールが追加され、omprog の引数として実行される /usr/libexec/rsyslog ディレクトリー内の実行可能ファイルが syslogd_unconfined_script_t の制限のないドメインに含まれるようになります。その結果、omprog の引数として実行されたコマンドは正常に終了します。

kmod が SELinux MLS ポリシーで実行される

以前は、SELinux は /var/run/tmpfiles.d/static-nodes.conf ファイルにプライベートタイプを割り当てていませんでした。その結果、kmod ユーティリティーは SELinux マルチレベルセキュリティー (MLS) ポリシーで動作しない可能性があります。この更新により、SELinux ポリシーに /var/run/tmpfiles.d/static-nodes.conf の kmod_var_run_t ラベルが追加され、その結果、kmod がSELinux MLS ポリシーで正常に実行されるようになりました。

selinux-autorelabel が SELinux MLS ポリシーで実行される

以前は、SELinux ポリシーは /usr/libexec/selinux/selinux-autorelabel ユーティリティーにプライベートタイプを割り当てていませんでした。その結果、selinux-autorelabel.service は SELinux マルチレベルセキュリティー (MLS) ポリシーで動作しなくなる可能性があります。この更新により、semanage_exec_t ラベルが /usr/libexec/selinux/selinux-autorelabel に追加され、その結果、selinux-autorelabel.service が SELinux MLS ポリシーで正常に実行されるようになりました。

/bin = /usr/bin ファイルのコンテキスト同等性ルールが SELinux ポリシーに追加される

以前は、SELinux ポリシーには /bin = /usr/bin ファイルコンテキスト同等性ルールが含まれていませんでした。その結果、restorecond デーモンは正しく動作しませんでした。この更新により、ポリシーに不足しているルールが追加され、その結果、restorecond は SELinux enforcing モードで正しく動作するようになりました。

SELinux ポリシーには追加のサービスとアプリケーションに関するルールが含まれています

selinux-policy パッケージのこのバージョンには追加のルールが含まれています。特に注目すべきは、sysadm_r ロールのユーザーは次のコマンドを実行できることです。

SELinux ポリシーが QAT ファームウェアの権限を追加する

以前は、Intel VT-d カーネルオプションを有効にして Intel QuickAssist Technology (QAT) を更新すると、SELinux 権限がないために拒否されていました。この更新により、qat サービスに権限が追加されます。その結果、QAT を正しく更新できるようになります。

Rsyslog は omprog を使用して特権コマンドを実行できます

以前は、Rsyslog の omprog モジュールは、特定の外部プログラム、特に特権コマンドを含むプログラムを実行できませんでした。その結果、特権コマンドを含むスクリプトを omprog を介して使用することは制限されていました。この更新では、SELinux ポリシーが調整されました。調整された SELinux ポリシーとの互換性を確保するために、スクリプトを /usr/libexec/rsyslog ディレクトリーに配置してください。そうすることで、Rsyslog は omprog モジュールを使用して、特権コマンドを含むスクリプトを実行できます。

semanage fcontext コマンドがローカルの変更を並べ替えなくなりました

semanage fcontext -l -C コマンドは、file_contexts.local ファイルに保存されているローカルファイルコンテキストの変更をリスト表示します。restorecon ユーティリティーは、file_contexts.local 内のエントリーを最も新しいエントリーから最も古いエントリーへと順番に処理します。以前の semanage fcontext -l -C は、エントリーを間違った順序でリスト表示していました。処理順序とリスト表示順序の不一致により、SELinux ルールの管理時に問題が発生していました。この更新により、semanage fcontext -l -C は、最も古いルールから最も新しいルールへと、期待どおりの正しい順序でルールを表示するようになりました。

オフセット付きの CardOS 5.3 カードが OpenSC で問題を引き起こさなくなりました

以前は、単一の PKCS #15 ファイルの異なるオフセットに証明書を保存する一部の CardOS 5.3 カードでは、ファイルのキャッシュが正しく機能しませんでした。これは、ファイルのキャッシュがファイルのオフセット部分を無視し、結果としてキャッシュのオーバーライドが繰り返され、ファイルのキャッシュから無効なデータが読み取られることが原因でした。この問題はアップストリームで特定および修正されました。この更新以降、CardOS 5.3 カードはファイルのキャッシュに関して正常に動作するようになりました。

subscription-manager は端末に不要なテキストを保持しなくなる

RHEL 9.1 以降、subscription-manager は操作の処理中に進行状況情報を表示します。以前は、一部の言語 (通常は非ラテン語) では、操作の終了後に進行状況メッセージがクリーンアップされませんでした。この更新により、操作の終了時にすべてのメッセージが適切にクリーンアップされます。

librhsm ライブラリーは、librhsm がコンテナー内で実行されている場合に、正しい /etc/rhsm-host 接頭辞を返すようになりました

librhsm がコンテナー内で実行されている場合、librhsm ライブラリーは、CA 証明書へのパス接頭辞を /etc/rhsm から /etc/rhsm-host パスに書き換えます。以前は、文字列操作の間違いにより、librhsm は /etc/rhsm-host-host という誤った接頭辞を返していました。この更新により、この問題は修正され、librhsm ライブラリーが /etc/rhsm-host という正しい接頭辞を返すようになりました。

systemd は librepo が作成した /run/user/0 ディレクトリーを正しく管理するようになりました

以前は、root でログインする前に Insights クライアントから librepo 関数が呼び出されると、/run/user/0 ディレクトリーが間違った SELinux コンテキストタイプで作成される場合がありました。これにより、root からのログアウト後に systemd がディレクトリーをクリーンアップすることができませんでした。

systemd は libdnf が作成した /run/user/0 ディレクトリーを正しく管理するようになりました

以前は、root でログインする前に Insights クライアントから libdnf 関数が呼び出されると、/run/user/0 ディレクトリーが間違った SELinux コンテキストタイプで作成される場合がありました。これにより、root からのログアウト後に systemd がディレクトリーをクリーンアップすることができませんでした。

dnf needs-restarting --reboothint コマンドは、CPU マイクロコードを更新するために再起動を推奨するようになりました

CPU マイクロコードを完全に更新するには、システムを再起動する必要があります。以前は、更新された CPU マイクロコードを含む microcode_ctl パッケージをインストールしたときに、dnf needs-restarting --reboothint コマンドは再起動を推奨しませんでした。この更新により、この問題は修正され、dnf needs-restarting --reboothint は CPU マイクロコードを更新するために再起動を推奨するようになりました。

top -u コマンドは、プロセスをメモリー順に並べ替えるときに、少なくとも 1 つのプロセスを表示するようになりました

以前は、-u <user> パラメーターを指定して top コマンドを実行する際に、user がコマンドを実行しているユーザーと異なっていた場合、プロセスをメモリー順に並べ替えるために M キーを押すとすべてのプロセスが消えていました。この更新により、top コマンドは、プロセスをメモリー順に並べ替えるときに、少なくとも 1 つのプロセスを表示するようになりました。

BIOS と UEFI の両方のブートローダーがインストールされている場合に ReaR が BIOS ブートローダーの存在を確認するようになりました

以前は、ハイブリッドブートローダーセットアップ (UEFI と BIOS) で、UEFI を使用して起動すると、Relax-and-Recover (ReaR) によって UEFI ブートローダーのみが復元され、BIOS ブートローダーは復元されませんでした。これにより、システムに GUID Partition Table (GPT) と BIOS ブートパーティションは存在するものの、BIOS ブートローダーは存在しない状態が発生していました。この状況では、ReaR はレスキューイメージの作成に失敗し、rear mkbackup または rear mkrescue コマンドを使用してバックアップまたはレスキューイメージを作成しようとすると、次のエラーメッセージが表示されて失敗していました。

ReaR はリカバリー中に logbsize、sunit、swidth マウントオプションを使用しなくなりました

以前は、MKFS_XFS_OPTIONS 設定を使用して、元のパラメーターとは異なるパラメーターで XFS ファイルシステムを復元する場合、Relax-and-Recover (ReaR) は、元のファイルシステムには適用できるものの復元されたファイルシステムには適用できないマウントオプションを使用して、このファイルシステムをマウントしていました。その結果、ReaR が mount コマンドを実行したときに、ディスクレイアウトの再作成が失敗し、次のエラーメッセージが表示されていました。

シンプールのメタデータサイズが小さいシステムで ReaR リカバリーが失敗しなくなりました

以前は、ReaR は、シンプールを含む LVM ボリュームグループのレイアウトを保存するときに、プールメタデータボリュームのサイズを保存していませんでした。システムがデフォルト以外のプールメタデータサイズを使用していた場合でも、ReaR はリカバリー時にデフォルトサイズでプールを再作成していました。

ReaR は、レスキューシステムとリカバリーされたシステムで NetBackup の bprestore コマンドからのログを保存するようになりました

以前は、NetBackup 統合 (BACKUP=NBU) を使用する場合、ReaR はリカバリー時に、bprestore コマンドからのログを終了時に削除されるディレクトリーに追加していました。さらに、ReaR は、コマンドによって生成された追加のログを、リカバリーされたシステムの /usr/openv/netbackup/logs/bprestore/ ディレクトリーに保存していませんでした。

設定ファイルで TMPDIR 変数が設定されている場合、ReaR はリカバリー中に失敗しなくなりました

以前は、ReaR のデフォルト設定ファイル /usr/share/rear/conf/default.conf には次の手順が記載されていました。

wwan_hwsim は kernel-modules-internal パッケージに含まれるようになりました

wwan_hwsim カーネルモジュールは、ワイヤレス広域ネットワーク (WWAN) デバイスを使用するさまざまなネットワークシナリオをシミュレーションおよびテストするためのフレームワークを提供します。以前は、wwan_hwsim は kernel-modules-extra パッケージの一部でした。しかし、このリリースでは、同様の指向の他のユーティリティーが含まれる kernel-modules-internal パッケージに移動しました。PCI モデムの WWAN 機能はまだテクノロジープレビューであることに注意してください。

xdp-loader features コマンドが期待通りに動作するようになりました

xdp-loader ユーティリティーは、libbpf の以前のバージョンに対してコンパイルされていました。その結果、xdp-loader features はエラーで失敗していました。

Mellanox ConnectX-5 アダプターが DMFS モードで動作する

以前は、イーサネットスイッチデバイスドライバーモデル (switchdev) モードを使用しているときに、ConnectX-5 アダプターのデバイス管理フローステアリング (DMFS) モードで設定されていると、mlx5 ドライバーが失敗していました。したがって、以下のエラーメッセージが表示されていました。

crash がバージョン 8.0.4 にリベース

crash ユーティリティーがバージョン 8.0.4 にアップグレードされ、複数のバグが修正されました。主な修正は次のとおりです。

tuna は、必要に応じて GUI を起動します

以前は、サブコマンドなしで tuna ユーティリティーを実行すると、GUI が起動していました。ディスプレイがある場合、この動作は望ましいものでした。逆の場合、ディスプレイのないマシンの tuna は適切に終了しませんでした。この更新により、tuna はディスプレイがあるかどうかを検出し、それに応じて GUI を起動するどうかを決定するようになりました。

Intel TPM チップが正しく検出されるようになる

以前は、AMD Trusted Platform Module (TPM) チップのバグ修正の副次的影響が Intel TPM チップにも影響を及ぼしていました。その結果、RHEL は特定の Intel TPM チップを検出できませんでした。

VMD が有効になっている場合、RHEL は以前は NVMe ディスクを認識できなかった

ドライバーをリセットまたは再アタッチすると、Volume Management Device (VMD) ドメインは以前はソフトリセットされませんでした。その結果、ハードウェアはデバイスを適切に検出して列挙できませんでした。この更新により、特にサーバーをリセットするときや仮想マシンを操作するときに、VMD が有効になっているオペレーティングシステムが NVMe ディスクを正しく認識するようになりました。

multipathd は、キューに入れられた未処理の I/O を持つデバイスを正常に削除できるようになりました

以前は、multipathd コマンドは、デバイスを削除する前に queue_if_no_path パラメーターを無効にしませんでした。このような動作は、キューに入れられた未処理の I/O が、パーティションデバイスではなくマルチパスデバイス自体に対して存在する場合を除いて不可能でした。結果として、multipathd がハングし、マルチパスデバイスを維持できなくなっていました。この更新により、multipathd は、multipath -F、multipath -f <device>、multipathd remove maps、multipathd remove map <device> などの削除コマンドを実行する前に、キューイングを無効にするようになりました。その結果、multipathd は、キューに入れられた未処理の I/O を持つデバイスを正常に削除できるようになりました。

dm-crypt および dm-verity デバイスの no_read_workqueue、no_write_workqueue、try_verify_in_taskle オプションは一時的に無効になっています

以前は、no_read_workqueue または no_write_workqueue オプションを使用して作成された dm-crypt デバイスと、try_verify_in_tasklet オプションを使用して作成された dm-verity デバイスによってメモリー破損が発生していました。その結果、ランダムにカーネルメモリーが破損し、さまざまなシステムの問題が発生しました。この更新により、これらのオプションは一時的に無効になります。この修正により、一部のワークロードで dm-verity と dm-crypt のパフォーマンスが低下する可能性があることに注意してください。

Multipathd はデバイスが誤って I/O をキューイングしていないかチェックするようになりました

以前は、次の条件下では、マルチパスデバイスが (失敗するように設定されていたにもかかわらず) I/O のキューイングを再開していました。

nvmf_log_connect_error からの重複エントリーの削除

以前は、重複コミットマージエラーにより、nvmf_log_connect_error カーネル関数でログメッセージが繰り返されていました。その結果、ファブリックに接続された不揮発性メモリーエクスプレス (NVMe) デバイスにカーネルが接続できなかった場合、Connect command failed メッセージが 2 回表示されていました。この更新により、重複したログメッセージがカーネルから削除され、エラーごとに 1 つのログメッセージのみが表示されるようになりました。

名前空間の追加や削除時にカーネルがクラッシュしなくなりました

以前は、NVMe 名前空間が素早く追加されたり削除されたりすると、名前空間をプローブするために使用される連続したコマンドの間に、名前空間が消えていました。特定のケースでは、ストレージ配列は invalid namespace エラーを返さず、代わりにゼロで埋められたバッファーを返しました。その結果、divide-by-zero によってカーネルがクラッシュしました。この更新により、カーネルは、ストレージに対して発行された Identify Namespace データ構造に対する応答からのデータを検証するようになりました。その結果、カーネルはクラッシュしなくなりました。

データデバイスの新しく割り当てられたセクションが適切に整列されるようになりました

以前は、Stratis プールが拡張されると、プールの新しいリージョンを割り当てることが可能でした。しかし、新しく割り当てられたリージョンは、以前に割り当てられたリージョンと正しく整列していませんでした。その結果、パフォーマンスが低下し、また sysfs 内の Stratis シンプールの alignment_offset ファイルにゼロ以外のエントリーが発生する場合がありました。この更新により、プールが拡張されると、データデバイスの新しく割り当てられたリージョンが、以前に割り当てられたリージョンと適切に整列するようになりました。その結果、パフォーマンスの低下が発生せず、sysfs 内の Stratis シンプールの alignment_offset ファイルにゼロ以外のエントリーが発生しなくなりました。

/etc/fstab にマウントポイントとして NVMe-FC デバイスを追加すると、システムが正常に起動する

以前は、nvme-cli nvmf-autoconnect systemd サービスの既知の問題により、Non-volatile Memory Express over Fibre Channel (NVMe-FC) デバイスを /etc/fstab ファイルのマウントポイントとして追加すると、システムが起動できませんでした。その結果、システムは緊急モードに入っていました。この更新により、NVMe-FC デバイスをマウントした際に、システムが問題なく起動するようになりました。

オペレーティングシステムのインストール中に LUN が表示されるようになる

以前は、特に iSCSI iBFT (Boot Firmware Table) に保存されている CHAP (Challenge-Handshake Authentication Protocol) 認証による iSCSI ハードウェアオフロードが関係する場合、システムはファームウェアソースからの認証情報を使用していませんでした。その結果、インストール中に iSCSI ログインが失敗しました。

--force を指定しない tls および keep_active_partition_tie_breaker クォーラムデバイスオプションの設定

以前は、クォーラムデバイスを設定するときに、--force オプションを指定せずにクォーラムデバイスモデル net の tls および keep_active_partition_tie_breaker オプションを設定することができませんでした。この更新により、これらのオプションを設定する際に --force を指定する必要がなくなりました。

クローンリソースおよびバンドルリソースの移動および禁止に関する問題が修正されました

このバグ修正により、バンドルされたリソースとクローンリソースの移動に関する 2 つの制限が解消されます。

pcs status コマンドの出力に、期限切れの制約に関する警告が表示されなくなりました

以前は、クラスターリソースを移動すると一時的な場所の制約が作成され、制約の有効期限が切れた後でも pcs status コマンドによって警告が表示されていました。この修正により、pcs status コマンドは期限切れの制約を除外し、コマンド出力に警告メッセージが生成されなくなりました。

SBD フェンシングで必要な場合、auto_tie_breaker クォーラムオプションを無効にできなくなりました

以前は、SBD フェンシングが正しく機能するためにクラスター設定で auto_tie_breaker クォーラムオプションが必要な場合でも、pcs でこのオプションを無効にすることができました。この修正により、SBD フェンシングで auto_tie_breaker オプションを有効にする必要があるシステムで auto_tie_breaker を無効にしようとすると、pcs はエラーメッセージを生成するようになりました。

DAV リポジトリーの場所が正規表現の一致を使用して設定されている場合に httpd が正常に動作します

以前は、Apache HTTP Server で正規表現の一致 (LocationMatch など) を使用して Distributed Authoring and Versioning (DAV) リポジトリーが設定されている場合、mod_dav httpd モジュールがパス名からリポジトリーのルートを特定できませんでした。その結果、サードパーティープロバイダー (たとえば、サブバージョンの mod_dav_svn モジュール) からのリクエストを httpd が処理できませんでした。

システムアップグレードの中断後に ldconfig がクラッシュしなくなりました

以前は、システムアップグレードの中断後、/usr/lib64 ディレクトリーに残された不完全な共有オブジェクトを処理する際に、ldconfig ユーティリティーがセグメンテーション違反で予期せず終了していました。この更新により、ldconfig はシステムのアップグレード中に書き込まれた一時ファイルを無視するようになりました。その結果、システムアップグレードの中断後に ldconfig がクラッシュしなくなりました。

glibc は malloc アリーナのチューニングに設定されたプロセッサーの数を使用するようになる

以前は、glibc はスレッドごとの CPU アフィニティーマスクを使用して、malloc の最大アリーナ数を調整していました。その結果、スレッドアフィニティーマスクをシステム内の CPU の小さなサブセットに制限すると、パフォーマンスが低下する可能性があります。

依存関係のサイクルに関係する共有オブジェクトに dlclose を使用するアプリケーションとの glibc 互換性が向上しました

以前は、glibc の dlclose 関数を使用して依存関係サイクル内の共有オブジェクトをアンロードすると、そのオブジェクトの ELF デストラクターが、他のすべてのオブジェクトがアンロードされるまで呼び出されない場合がありました。ELF デストラクターの実行が遅くなることで、アプリケーションでクラッシュやその他のエラーが発生しました。これは、最初にアンロードした共有オブジェクトの依存関係がすでに初期化解除されていることが原因でした。

make は ディレクトリーの実行を思考しなくなる

以前は、make は実行しようとしている実行可能ファイルが、実際に実行可能ファイルであることを確認していませんでした。その結果、パスに実行可能ファイルと同じ名前のディレクトリーが含まれている場合、make は代わりにそのディレクトリーを実行しようとしました。この更新により、make は実行可能ファイルを検索するときに追加のチェックを行うようになりました。その結果、make はディレクトリーを実行しようとしなくなりました。

glibc ワイド文字書き込みパフォーマンスの向上

以前は、glibc のワイド stdio ストリーム実装では、デフォルトのバッファーサイズがワイド文字の書き込み操作に十分な大きさであるとは扱われず、代わりに 16 バイトのフォールバックバッファーが使用されていたため、パフォーマンスに悪影響がありました。この更新により、バッファー管理が修正され、書き込みバッファー全体が使用されるようになりました。その結果、glibc ワイド文字書き込みパフォーマンスが向上します。

glibc getaddrinfo 関数が ncsd キャッシュ情報を正しく読み取るようになる

以前は、glibc の getaddrinfo 関数のバグにより、リストアドレス情報構造体に空の要素が返されることがありました。この更新により、getaddrinfo 関数が修正され、ncsd キャッシュデータを正しく読み取り、変換できるようになり、結果として正しいアドレス情報が返されるようになりました。

依存関係のサイクルに関係する共有オブジェクトに dlclose を使用するアプリケーションとの glibc 互換性が向上しました

以前は、glibc の dlclose 関数を使用して依存関係サイクル内の共有オブジェクトをアンロードすると、そのオブジェクトの ELF デストラクターが、他のすべてのオブジェクトがアンロードされるまで呼び出されない場合がありました。ELF デストラクターの実行が遅くなることで、アプリケーションでクラッシュやその他のエラーが発生しました。これは、最初にアンロードした共有オブジェクトの依存関係がすでに初期化解除されていることが原因でした。

キャッシュ有効期限情報の不一致により ncsd の起動が失敗しなくなる

以前は、永続キャッシュファイル内のキャッシュ有効期限情報が一貫していないため、glibc Name Service Switch Caching Daemon (nscd) の起動に失敗する可能性がありました。この更新により、ncsd はタイミング情報が一貫していないキャッシュエントリーを削除対象としてマークし、スキップするようになりました。その結果、キャッシュ有効期限情報の不一致により ncsd の起動が失敗することがなくなりました。

一貫して高速な glibc スレッドローカルストレージパフォーマンス

以前は、glibc ダイナミックリンカーは、dlopen() 関数を使用して TLS を持つ共有オブジェクトがロードされた後、特定のスレッドローカルストレージ (TLS) メタデータを調整しなかったため、TLS アクセスが遅くなっていました。この更新により、ダイナミックリンカーは、dlopen() 呼び出しによって発生した TLS の変更に対して、TLS メタデータを更新するようになりました。その結果、TLS アクセスは一貫して高速になります。

割り当てられたメモリーが操作完了後に解放されるようになりました

以前は、各操作に対して KCM によって割り当てられたメモリーは、接続が閉じるまで解放されませんでした。その結果、接続を開いて同じ接続で多くの操作を実行するクライアントアプリケーションでは、接続が閉じるまで割り当てられたメモリーが解放されないため、メモリーが著しく増加しました。この更新により、操作に割り当てられたメモリーは、操作が完了するとすぐに解放されるようになりました。

IdM クライアントは、信頼できる AD ユーザーの名前に大文字と小文字が混在している場合でも、当該 AD ユーザーの情報を適切に取得する

以前は、ユーザーの検索または認証を試行した際に、その信頼できる Active Directory (AD) ユーザーの名前に大文字と小文字が混在しており、かつ IdM でオーバーライドが設定されていた場合、エラーが返され、ユーザーは IdM リソースにアクセスできませんでした。

SSSD は、パスワード変更時に猶予ログインが残っていない場合にエラーを正しく返します

以前は、ユーザーの LDAP パスワードの有効期限が切れた場合、猶予ログインが残っていないためにユーザーの最初のバインドが失敗した後でも、SSSD はパスワードの変更を試みていました。しかし、ユーザーに返されたエラーには失敗の理由が示されていませんでした。この更新により、バインドが失敗した場合、パスワード変更要求は中断されるようになりました。SSSD は、猶予ログインが残っていないため、別の方法でパスワードを変更する必要があることを示すエラーメッセージを返します。

realm leave コマンドを使用したドメインからのシステム削除

以前は、sssd.conf ファイルの ad_server オプションに複数の名前が設定されている場合、realm leave コマンドを実行すると解析エラーが発生し、システムがドメインから削除されませんでした。この更新により、ad_server オプションが適切に評価されるようになり、正しいドメインコントローラー名が使用され、システムがドメインから適切に削除されるようになりました。

KCM は正しい sssd.kcm.log ファイルにログを記録します

以前、logrotate は Kerberos Credential Manager (KCM) ログファイルを正しくローテーションしていましたが、KCM はログを誤って古いログファイル sssd_kcm.log.1 に書き込んでいました。KCM を再起動した場合、正しいログファイルが使用されました。この更新により、logrotate が呼び出されるとログファイルがローテーションされ、KCM は sssd_kcm.log ファイルに正しくログを記録するようになりました。

realm leave --remove コマンドが認証情報を要求しなくなる

以前は、realm ユーティリティーは、realm leave 操作を実行するときに、有効な Kerberos チケットが利用可能かどうかを正しく確認していませんでした。その結果、有効な Kerberos チケットが利用可能であったにもかかわらず、ユーザーはパスワードの入力を求められました。この更新により、realm は有効な Kerberos チケットがあるかどうかを正しく検証するようになり、realm leave --remove コマンドを実行するときにユーザーにパスワードの入力を要求しなくなりました。

KDC は、一般的な制約付き委任リクエストを処理するときに追加のチェックを実行するようになりました

以前は、Red Hat Enterprise Linux 8 で実行中の KDC が発行した Kerberos チケットの forwardable フラグに脆弱性があり、検出されることなく不正な変更を加えることが可能でした。この脆弱性により、特定の権限を持たないユーザーによるなりすまし攻撃が発生する可能性がありました。この更新により、KDC は、一般的な制約付き委任リクエストを処理するときに追加のチェックを実行するようになりました。これにより、不正なフラグ変更を検出および拒否し、脆弱性を排除します。

ドメインに対して SID が生成されている場合、forwardable フラグのチェックは無効になります

以前、CVE-2020-17049 の修正を提供する更新では、KDC が一般的な制約付き委任リクエストを処理するときに、Kerberos PAC を使用して、チケットの forwardable フラグに関する特定のチェックを実行していました。ただし、PAC は、過去に SID 生成タスクが実行されたドメインでのみ生成されます。このタスクは、Red Hat Enterprise Linux (RHEL) 8.5 以降で作成されたすべての IdM ドメインに対しては自動的に実行されますが、古いバージョンで初期化されたドメインでは、このタスクを手動で実行する必要があります。

FIPS モードで IdM Vault 暗号化および復号化に失敗しなくなりました

以前は、IdM Vault は、デフォルトのパディングラッピングアルゴリズムとして OpenSSL RSA-PKCS1v15 を使用していました。しかし、RHEL の FIPS 認定モジュールはいずれも FIPS で承認されたアルゴリズムとして PKCS#1 v1.5 をサポートしていなかったため、IdM Vault は FIPS モードで失敗していました。この更新により、IdM Vault は、RSA-OAEP パディングラッピングアルゴリズムをフォールバックとしてサポートするようになりました。その結果、IdM Vault の暗号化と復号化が FIPS モードで正しく動作するようになりました。

ページ結果検索を中止した後に Directory Server が失敗しなくなりました

以前は、競合状態が、ページ化された結果の検索を中止する際にヒープ破損と Directory Server 障害の原因となっていました。この更新により、競合状態が修正され、Directory Server 障害は発生しなくなりました。

nsslapd-numlisteners 属性値が 2 より大きい場合、Directory Server は失敗しなくなる

以前は、nsslapd-numlisteners 属性値が 2 より大きい場合、Directory Server は受け入れられたファイル記述子ではなく、リスニング中のファイル記述子を閉じることがありました。その結果、Directory Server でセグメンテーションエラーが発生してしまいました。この更新により、Directory Server は正しい記述子を閉じ、ポートを正しくリッスンし続けます。

自動バインド操作が、他の接続で実行される操作に影響を与えなくなる

以前は、自動バインド操作の進行中に、Directory Server は接続時の新しい操作のリッスンを停止していました。この更新により、自動バインド操作は他の接続で実行される操作に影響を与えなくなります。

IdM クライアントインストーラーは、ldap.conf ファイルで TLS CA 設定を指定しなくなる

以前は、IdM クライアントインストーラーは ldap.conf ファイルで TLS CA 設定を指定していました。この更新により、OpenLDAP はデフォルトのトラストストアを使用し、IdM クライアントインストーラーは ldap.conf ファイルに TLS CA 設定をセットアップしません。

VNC コンソールがほとんどの解像度で機能するようになる

以前は、特定のディスプレイ解像度で Virtual Network Computing (VNC) コンソールを使用すると、マウスオフセットの問題が発生したり、インターフェイスの一部しか表示されなかったりしました。そのため、VNC コンソールを使用することはできませんでした。

SBD の delay-start 値が高い場合に、クラスターの起動がタイムアウトしなくなりました

以前は、ユーザーが ha_cluster システムロールを使用してクラスターで SBD フェンシングを設定し、delay-start オプションを 90 秒に近い値または 90 秒を超える値に設定すると、クラスターの起動がタイムアウトしていました。これは、デフォルトの systemd 起動タイムアウトが 90 秒であり、システムが SBD の起動遅延値より前にこの起動タイムアウトに達していたためです。この修正により、ha_cluster システムロールは、delay-start の値を上回るように systemd の sbd.service 起動タイムアウトをオーバーライドします。これにより、delay-start オプションの値が高い場合でも、システムを正常に起動できるようになります。

ネットワーク ロールが、0.0.0.0/0 または ::/0 のルーティングルールを検証する

以前は、ルーティングルールで from: または to: 設定が 0.0.0.0/0 または ::/0 アドレスに設定されていた場合、network RHEL システムロールはルーティングルールを設定できず、設定が無効として拒否されていました。この更新により、network ロールでは、ルーティングルールの検証で from: と to: に 0.0.0.0/0 と ::/0 が許可されるようになりました。その結果、ロールは検証エラーを発生させることなくルーティングルールを正常に設定します。

読み取りスケールクラスターの実行と mssql-server-ha のインストールに特定の変数が不要になる

以前は、mssql RHEL システムロールを使用して、特定の変数 (mssql_ha_virtual_ip、mssql_ha_login、mssql_ha_login_password、および mssql_ha_cluster_run_role) なしで読み取りスケールクラスターを設定すると、ロールは失敗し、“Variable not defined” というエラーメッセージが表示されました。ただし、これらの変数は読み取りスケールクラスターを実行するために必要ではありません。このロールは、読み取りスケールクラスターに必要のない mssql-server-ha のインストールも試みました。この修正により、これらの変数の要件は削除されました。その結果、読み取りスケールクラスターは、エラーメッセージなしで正常に実行されます。

kexec_crash_size ファイルがビジー状態のときでも、Kdump システムロールが正常に動作する

/sys/kernel/kexec_crash_size ファイルは、クラッシュカーネルメモリーに割り当てられたメモリーリージョンのサイズを提供します。

selinux ロールは item ループ変数を使用しなくなりました

以前は、selinux RHEL システムロールは item ループ変数を使用していました。これにより、別のロールから selinux ロールを呼び出したときに、次の警告メッセージが表示される場合があります。

ha_cluster システムロールが qnetd ホスト上のファイアウォールを正しく設定するようになりました

以前は、ユーザーが qnetd ホストを設定し、ha_cluster システムロールを使用して ha_cluster_manage_firewall 変数を true に設定しても、そのロールによってファイアウォールの高可用性サービスが有効になりませんでした。この修正により、ha_cluster システムロールは qnetd ホスト上のファイアウォールを正しく設定するようになりました。

postgresql RHEL システムロールは、正しいバージョンの PostgreSQL をインストールするようになりました。

以前は、RHEL マネージドノードで postgresql_version: "15" 変数を定義して postgresql RHEL システムロールを実行しようとすると、PostgreSQL バージョン 15 ではなくバージョン 13 がインストールされていました。このバグは修正され、postgresql ロールは変数に設定されたバージョンをインストールするようになりました。

keylime_server ロールが registrar サービスのステータスを正しく報告する

以前は、keylime_server ロール Playbook が誤った情報を提供すると、ロールは誤って開始が成功したと報告していました。この更新により、ロールは誤った情報が提供された場合に失敗を正しく報告するようになり、開いているポートを待機する際のタイムアウトが約 300 秒から約 30 秒に短縮されました。

podman RHEL システムロールは、ルートレスコンテナーに対して linger を適切に設定およびキャンセルできるようになりました。

以前は、podman RHEL システムロールは、ルートレスコンテナーに対して linger を適切に設定およびキャンセルしていませんでした。その結果、ルートレスユーザーのシークレットまたはコンテナーをデプロイすると、場合によってはエラーが発生し、場合によってはリソースを削除するときに linger をキャンセルできませんでした。この更新により、podman RHEL システムロールは、シークレットまたはコンテナーリソースの管理を行う前にルートレスユーザーに対して linger が有効になっていることを確認し、管理するシークレットまたはコンテナーリソースがなくなったときにルートレスユーザーに対して linger がキャンセルされるようにします。その結果、このロールはルートレスユーザーの残留を正しく管理します。

nbde_server ロールがソケットオーバーライドで動作するようになる

以前は、nbde_server RHEL システムロールは、tangd ソケットオーバーライドディレクトリー内の唯一のファイルはカスタムポートの override.conf ファイルであると想定していました。その結果、ポートのカスタマイズがないと、ロールは他のファイルをチェックせずにディレクトリーを削除し、システムはその後の実行でディレクトリーを再作成しました。

ボリューム quadlet サービス名が失敗しなくなる

以前は、ボリュームサービス名を開始すると、"Could not find the requested service NAME.volume: host" のようなエラーが発生しました。この更新により、ボリューム quadlet サービス名が basename-volume.service に変更されました。その結果、ボリュームサービスはエラーなしで開始されます。

Ansible はシークレットで使用するために JSON 文字列を保存するようになる

以前は、値がループで使用され、data: "{{ value }}" に類似した文字列である場合、Ansible は JSON 文字列を対応する JSON オブジェクトに変換していました。その結果、JSON 文字列をシークレットとして渡して値を保持できませんでした。この更新により、podman_secret モジュールに渡すときに、データ値が文字列にキャストされます。その結果、JSON 文字列はシークレットで使用するためにそのまま保存されます。

rhc_auth にアクティベーションキーが含まれている場合、rhc システムロールが登録済みシステムで失敗しなくなる

以前は、rhc_auth パラメーターで指定されたアクティベーションキーを使用して登録済みシステムで Playbook ファイルを実行すると、エラーが発生していました。この問題は解決されています。rhc_auth パラメーターにアクティベーションキーが提供されていても、すでに登録されているシステムで Playbook ファイルを実行できるようになりました。

FIFO スケジューラーを備えた RT 仮想マシンが正しく起動するようになる

以前は、リアルタイム (RT) 仮想マシン (VM) で vCPU スケジューラーに fifo 設定を使用するように設定した後、仮想マシンを起動しようとすると応答しなくなりました。代わりに、仮想マシンに Guest has not initialized the display (yet) というエラーが表示されました。この更新により、エラーが修正され、説明した状況で vCPU スケジューラー用に fifo を設定することが期待どおりに動作するようになりました。

ダンプの失敗によって IBM Z VMs with Secure Execution がブロックされなくなりました。

以前は、IBM Z virtual machine (VM) with Secure Execution のダンプが失敗すると、仮想マシンは一時停止状態のままになり、実行がブロックされていました。たとえば、ディスクに十分なスペースがない場合、virsh dump コマンドを使用して仮想マシンをダンプすることは失敗します。

仮想マシンに RHEL をインストールするための予想されるシステムディスクをインストールプログラムが表示するようになりました

以前は、virtio-scsi デバイスを使用して仮想マシンに RHEL をインストールすると、device-mapper-multipath のバグにより、これらのデバイスがインストールプログラムに表示されない可能性がありました。その結果、インストール時に、シリアルセットを持つデバイスとシリアルセットを持たないデバイスがある場合、シリアルセットを持つすべてのデバイスを multipath コマンドが要求していました。このため、仮想マシンに RHEL をインストールするために必要なシステムディスクをインストールプログラムが検出できませんでした。

多数のキューを使用しても仮想マシンで障害が発生しなくなりました

以前は、Virtual Trusted Platform Module (vTPM) デバイスが有効で、マルチキュー virtio-net 機能が 250 を超えるキューを使用するように設定されている場合、仮想マシン (VM) で障害が発生することがありました。

AMD EPYC CPU を搭載したホストで v2v 変換を行った後、Windows ゲストの起動がより安定します。

virt-v2v ユーティリティーを使用して、Windows 11 または Windows Server 2022 をゲスト OS として使用する仮想マシン (VM) を変換した後、以前は仮想マシンの起動に失敗していました。これは、AMD EPYC シリーズ CPU を使用するホストで発生していました。現在、基礎となるコードが修正され、仮想マシンは説明した状況で期待どおりに起動します。

nodedev-dumpxml は、特定の仲介デバイスの属性を正しくリストします。

この更新より前は、nodedev-dumpxml ユーティリティーは、nodedev-create コマンドを使用して作成された仲介デバイスの属性を正しくリストしませんでした。この問題は修正され、nodedev-dumpxml　は、影響を受ける仲介デバイスの属性を適切に表示するようになりました。

virtqemud または libvirtd を再起動した後、virtiofs デバイスを接続できませんでした

以前は、virtqemud サービスまたは libvirtd サービスを再起動すると、virtiofs ストレージデバイスをホスト上の仮想マシン (VM) に接続できなくなりました。このバグは修正されており、説明されているシナリオで期待どおりに virtiofs デバイスをアタッチできるようになりました。

仮想マシンへの Watchdog カードのホットプラグが失敗しなくなる

以前は、使用可能な PCI スロットがない場合、実行中の仮想マシン (VM) に Watchdog カードを追加すると、以下のエラーが発生し、失敗していました。

IBM Z 上の virtio-gpu で blob リソースが正しく動作するようになる

以前は、virtio-gpu デバイスは IBM Z システム上の blob メモリーリソースと互換性がありませんでした。その結果、IBM Z ホスト上で virtio-gpu を使用して仮想マシン (VM) を設定し、blob リソースを使用すると、仮想マシンにグラフィカル出力がありませんでした。

virtio-win ドライバーを再インストールしても、ゲストの DNS 設定がリセットされなくなりました

以前は、Windows ゲストオペレーティングシステムを使用する仮想マシンで、ネットワークインターフェイスコントローラー (NIC) の virtio-win ドライバーを再インストールまたはアップグレードすると、ゲストの DNS 設定がリセットされていました。その結果、Windows ゲストのネットワーク接続が失われる場合がありました。

RHEL インストール用の NVMe over TCP がテクノロジープレビューとして利用可能になる

このテクノロジープレビューにより、ファームウェアの設定後、NVMe over TCP ボリュームを使用して RHEL をインストールできるようになりました。Installation Destination 画面からディスクを追加するときに、NVMe Fabrics Devices セクションで NVMe 名前空間を選択できます。

起動可能な OSTree ネイティブコンテナーのインストールがテクノロジープレビューとして利用可能になる

ostreecontainer キックスタートコマンドが、Anaconda でテクノロジープレビューとして利用できるようになりました。このコマンドを使用すると、OCI イメージにカプセル化された OSTree コミットから、オペレーティングシステムをインストールできます。キックスタートインストールを実行する場合、ostreecontainer とともに次のコマンドが利用できます。

Anaconda の bootupd / bootupctl によるブートローダーのインストールおよび設定が、テクノロジープレビューとして利用可能になる

ostreecontainer キックスタートコマンドが Anaconda でテクノロジープレビューとして利用可能になったため、このコマンドを使用して、OCI イメージにカプセル化された OSTree コミットからオペレーティングシステムをインストールできます。Anaconda は、キックスタートで明示的なブートローダー設定がなくても、コンテナーイメージに含まれる bootupd / bootupctl ツールを使用して、ブートローダーのインストールおよび設定を自動的に調整します。

bootc image builder ツールはテクノロジープレビューとして利用可能になる

現在テクノロジープレビューとして利用可能な bootc image builder ツールは、bootc コンテナー入力から互換性のあるディスクイメージを簡単に作成してデプロイするためのコンテナーとして機能します。bootc image builder を使用してコンテナーイメージを実行した後、必要なアーキテクチャーのイメージを生成できます。その後、生成されたイメージを仮想マシン、クラウド、またはサーバーにデプロイできます。新しい更新が必要になるたびに bootc image builder を使用してコンテンツを再生成するのではなく、bootc を使用してイメージを簡単に更新できます。

新しい rhel9/bootc-image-builder コンテナーイメージがテクノロジープレビューとして利用可能になる

RHEL のイメージモード用の rhel9/bootc-image-builder コンテナーイメージには、起動可能なコンテナーイメージ (rhel-bootc など) を QCOW2、AMI、VMDK、ISO などのさまざまなディスクイメージ形式に変換するイメージビルダーの最小バージョンが含まれています。

gnutls がテクノロジープレビューとして kTLS を使用するようになる

更新された gnutls パッケージは、テクノロジープレビューとして、暗号化チャネルでのデータ転送を加速するためにカーネル TLS (kTLS) を使用できます。kTLS を有効にするには、modprobe コマンドを使用して tls.ko カーネルモジュールを追加し、次の内容を含むシステム全体の暗号化ポリシー用の新しい設定ファイル /etc/crypto-policies/local.d/gnutls-ktls.txt を作成します。

io_uring インターフェイスがテクノロジープレビューとして利用可能

io_uring は、新しく効果的な非同期 I/O インターフェイスであり、現在テクノロジープレビューとして利用可能です。デフォルトでは、この機能は無効にされています。このインターフェイスを有効にするには、kernel.io_uring_disabled sysctl 変数を次のいずれかの値に設定します。

テクノロジープレビューとして、FDO が SQL バックエンドからの Owner Voucher の保存とクエリーを提供するようになる

このテクノロジープレビューでは、SQL バックエンドから Owner Voucher を保存およびクエリーするために、FDO manufacturer-server、onboarding-server、および rendezvous-server が利用できます。その結果、FDO サーバーのオプションで、認証情報やその他のパラメーターとともに SQL データストアを選択して、Owner Voucher を保存できるようになります。

RHEL 9 でテクノロジープレビューとして利用可能な GIMP

GNU Image Manipulation Program (GIMP) 2.99.8 が、テクノロジープレビューとして RHEL 9 で利用できるようになりました。gimp パッケージバージョン 2.99.8 は、改善された一連の改良を含むリリース前のバージョンですが、機能のセットが制限され、安定性の保証は保証されません。公式の GIMP 3 のリリース後すぐに、今回のリリース前のバージョンの更新として RHEL 9 に導入されます。

TuneD 用のソケット API がテクノロジープレビューとして利用可能になる

UNIX ドメインソケットを通じて TuneD を制御するためのソケット API がテクノロジープレビューとして利用可能になりました。ソケット API は D-Bus API と 1 対 1 でマッピングされ、D-Bus が利用できない場合に代替通信方法を提供します。ソケット API を使用すると、TuneD デーモンを制御してパフォーマンスを最適化したり、さまざまなチューニングパラメーターの値を変更したりできます。ソケット API はデフォルトでは無効になっていますが、tuned-main.conf ファイルで有効にできます。

WireGuard VPN はテクノロジープレビューとして利用可能になる

Red Hat がサポートしていないテクノロジープレビューとして提供している WireGuard は、Linux カーネルで実行する高パフォーマンスの VPN ソリューションです。最新の暗号を使用し、その他の VPN ソリューションよりも簡単に設定できます。さらに、WireGuard のコードベースが小さくなり、攻撃の影響が減るため、セキュリティーが向上します。

kTLS がテクノロジープレビューとして利用可能になる

RHEL はカーネル Transport Layer Security (KTLS) をテクノロジープレビューとして提供します。kTLS は AES-GCM 暗号のカーネル内の対称暗号化または復号化アルゴリズムを使用して TLS レコードを処理します。また、kTLS には、この機能を提供するネットワークインターフェイスコントローラー (NIC) に TLS レコード暗号化をオフロードするためのインターフェイスが組み込まれています。

systemd-resolved サービスがテクノロジープレビューとして利用可能になる

systemd-resolved サービスは、ローカルアプリケーションに名前解決を提供します。このサービスは、DNS スタブリゾルバー、LLMNR (Link-Local Multicast Name Resolution)、およびマルチキャスト DNS リゾルバーとレスポンダーのキャッシュと検証を実装します。

PRP および HSR プロトコルがテクノロジープレビューとして利用可能になる

この更新では、次のプロトコルを提供する hsr カーネルモジュールが追加されます。

NetworkManager と Nmstate API は MACsec ハードウェアオフロードをサポートします

ハードウェアが MACsec ハードウェアオフロードをサポートしている場合は、NetworkManager と Nmstate API の両方を使用してこの機能を有効にできます。その結果、暗号化などの MACsec 操作を CPU からネットワークインターフェイスカードにオフロードできるようになります。

NetworkManager で HSR および PRP インターフェイスを設定できます

高可用性 Seamless Redundancy (HSR) と Parallel Redundancy Protocol (PRP) は、単一のネットワークコンポーネントの障害に対してシームレスなフェイルオーバーを提供するネットワークプロトコルです。どちらのプロトコルもアプリケーション層に対して透過的です。すなわち、メインパスと冗長パス間の切り替えはユーザーが認識することなく非常に迅速に行われるため、ユーザーが通信の中断やデータの損失を経験することはありません。NetworkManager サービスで nmcli ユーティリティーと DBus メッセージシステムを使用して、HSR および PRP インターフェイスの有効化および設定を行うことができます。

NIC への IPsec カプセル化のオフロードがテクノロジープレビューとして利用可能になる

今回の更新で、IPsec パケットオフロード機能がカーネルに追加されました。以前は、暗号化をネットワークインターフェイスコントローラー (NIC) にオフロードすることしかできませんでした。今回の機能拡張により、カーネルは IPsec カプセル化プロセス全体を NIC にオフロードし、ワークロードを軽減できるようになりました。

RHEL のモデム用のネットワークドライバーはテクノロジープレビューとして利用可能

デバイスメーカーは、デフォルト設定として連邦通信委員会 (FCC) ロックをサポートしています。FCC は、モデムと通信するためのチャネルを WWAN ドライバーが提供する特定のシステムに、WWAN ドライバーをバインドするロックを提供します。メーカーは、モデム PCI ID に基づいて、ModemManager 用のロック解除ツールを Red Hat Enterprise Linux に統合します。ただし、WWAN ドライバーに互換性があり、機能している場合でも、事前にロックを解除していないとモデムは使用できないままになります。Red Hat Enterprise Linux は、機能が限定された次のモデム用ドライバーをテクノロジープレビューとして提供します。

Segment Routing over IPv6 (SRv6) はテクノロジープレビューとして利用可能

RHEL カーネルは、テクノロジープレビューとして Segment Routing over IPv6 (SRv6) を提供します。この機能を使用すると、エッジコンピューティングのトラフィックフローを最適化したり、データセンターのネットワークプログラマビリティーを向上したりできます。ただし、最も重要な使用例は、5G デプロイメントシナリオにおけるエンドツーエンド (E2E) ネットワークスライシングです。この領域では、SRv6 プロトコルは、特定のアプリケーションまたはサービスのネットワーク要件に対処するために、プログラム可能なカスタムネットワークスライスとリソース予約を提供します。同時に、このソリューションは単一目的のアプライアンスにデプロイでき、より小さい計算フットプリントのニーズを満たします。

kTLS がバージョン 6.3 にリベース

Kernel Transport Layer Security (KTLS) 機能はテクノロジープレビューです。RHEL 9.3 では、kTLS が 6.3 アップストリームバージョンにリベースされました。主な変更点は次のとおりです。

Soft-iWARP ドライバーがテクノロジープレビューとして利用可能になる

Soft-iWARP(siw) は、Linux 用のソフトウェア、インターネットワイドエリア RDMA プロトコル (iWARP)、カーネルドライバーです。soft-iWARP は、TCP/IP ネットワークスタックで iWARP プロトコルスイートを実装します。このプロトコルスイートはソフトウェアで完全に実装されており、特定のリモートダイレクトメモリーアクセス (RDMA) ハードウェアを必要としません。soft-iWARP を使用すると、標準のイーサネットアダプターを備えたシステムが iWARP アダプターまたは他のシステムに接続でき、すでに Soft-iWARP がインストールされている別のシステムに接続できます。

rvu_af、rvu_nicpf、および rvu_nicvf がテクノロジープレビューとして利用可能

次のカーネルモジュールは、Marvell OCTEON TX2 インフラストラクチャープロセッサーファミリーのテクノロジープレビューとして利用できます。

python-drgn がテクノロジープレビューとして利用可能になる

python-drgn パッケージは、プログラマビリティーを重視した高度なデバッグユーティリティーを提供します。Python コマンドラインインターフェイスを使用して、ライブカーネルとカーネルダンプの両方をデバッグできます。さらに、python-drgn は、デバッグタスクを自動化し、Linux カーネルの複雑な分析を実行するためのスクリプト機能を提供します。

IAA 暗号ドライバーがテクノロジープレビューとして利用可能になりました

Intel® In-Memory Analytics Accelerator (Intel® IAA) は、プリミティブな分析機能とともに、非常にスループットの高い圧縮と展開を提供するハードウェアアクセラレーターです。

DAX がテクノロジープレビューとして ext4 および XFS で利用可能になる

RHEL 9 では、DAX ファイルシステムがテクノロジープレビューとして提供されています。DAX は、アプリケーションが永続メモリーをそのアドレス空間に直接マップするための手段を提供します。DAX を使用するには、システムに何らかの形式の永続メモリー (通常は 1 つ以上の不揮発性デュアルインラインメモリーモジュール (NVDIMM) の形式) が必要であり、DAX 互換ファイルシステムを NVDIMM 上に作成する必要があります。)。また、ファイルシステムは dax マウントオプションでマウントする必要があります。これにより、dax をマウントしたファイルシステムのファイルの mmap が、アプリケーションのアドレス空間にストレージを直接マッピングされます。

NVMe-oF Discovery Service 機能がテクノロジープレビューとして利用可能になる

NVMexpress.org Technical Proposals (TP) 8013 および 8014 で定義されている NVMe-oF Discovery Service の機能は、テクノロジープレビューとして利用できます。これらの機能をプレビューするには、nvme-cli 2.0 パッケージを使用して、TP-8013 または TP-8014 を実装する NVMe-oF ターゲットデバイスにホストを割り当てます。TP-8013 および TP-8014 の詳細は、https://nvmexpress.org/specations/ Web サイトから NVM Express 2.0 認定 TP を参照してください。

NVMe-stas パッケージがテクノロジープレビューとして利用可能になる

Linux の Central Discovery Controller (CDC) クライアントである nvme-stas パッケージがテクノロジープレビューとして利用できるようになりました。これは、非同期イベント通知 (AEN)、自動化された NVMe サブシステム接続制御、エラー処理とレポート、および Automatic (zeroconf) 手動設定を処理します。

NVMe TP 8006 インバンド認証がテクノロジープレビューとして利用可能になる

Non-Volatile Memory Express (NVMe) の実装 NVMe over Fabrics (NVMe-oF) のインバンド認証である TP 8006 は、サポートされていないテクノロジープレビューとして利用できるようになりました。NVMe Technical Proposal 8006 で、この機能強化で提供される NVMe-oF の DH-HMAC-CHAP インバンド認証プロトコルが定義されています。

jmc-core および owasp-java-encoder がテクノロジープレビューとして利用可能

RHEL 9 は、AMD および Intel 64 ビットアーキテクチャー用のテクノロジープレビューとして、jmc-core および owasp-java-encoder パッケージとともに配布されます。

libabigail: 柔軟な配列変換の警告抑制がテクノロジープレビューとして利用可能になる

この更新により、バイナリーを比較するときに、次の抑制仕様を使用して、真のフレキシブル配列に変換された偽のフレキシブル配列に関連する警告を抑制できます。

DNSSEC が IdM でテクノロジープレビューとして利用可能

統合 DNS のある Identity Management (IdM) サーバーは、DNS プロトコルのセキュリティーを強化する DNS に対する拡張セットである DNS Security Extensions (DNSSEC) を実装するようになりました。IdM サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。

ACME がテクノロジープレビューとして利用可能

Automated Certificate Management Environment (ACME) サービスが、テクノロジープレビューとして Identity Management (IdM) で利用可能になりました。ACME は、自動化識別子の検証および証明書の発行に使用するプロトコルです。この目的は、証明書の有効期間を短縮し、証明書のライフサイクル管理での手動プロセスを回避することにより、セキュリティーを向上させることです。

64 ビット ARM アーキテクチャーの GNOME がテクノロジープレビューとして利用できるようになりました。

GNOME デスクトップ環境は、テクノロジープレビューとして 64 ビット ARM アーキテクチャーで利用できます。

テクノロジープレビューとして利用可能な IBM Z アーキテクチャー用の GNOME

GNOME デスクトップ環境は、テクノロジープレビューとして IBM Z アーキテクチャーで利用できます。

RHEL Web コンソールで WireGuard 接続を管理できるようになりました

RHEL 9.4 以降では、RHEL Web コンソールを使用して WireGuard VPN 接続を作成および管理できます。なお、WireGuard テクノロジーとその Web コンソール統合は、どちらもサポート対象外のテクノロジープレビューです。

入れ子仮想マシンの作成

入れ子 KVM 仮想化は、RHEL 9 で Intel、AMD64、および IBM Z ホストで実行している KVM 仮想マシン用のテクノロジープレビューとして提供されます。この機能を使用すると、物理 RHEL 9 ホストで実行中の RHEL 7、RHEL 8、または RHEL 9 仮想マシンがハイパーバイザーとして機能し、独自の仮想マシンをホストできます。

KVM 仮想マシンの AMD SEV および SEV-ES

RHEL 9 は、テクノロジープレビューとして、KVM ハイパーバイザーを使用する AMD EPYC ホストマシンに、セキュア暗号化仮想化 (SEV) 機能を提供します。仮想マシンで有効になっている場合は、SEV が仮想マシンのメモリーを暗号化して、ホストから仮想マシンへのアクセスを防ぎます。これにより、仮想マシンのセキュリティーが向上します。

RHEL ゲストのインテル TDX

テクノロジープレビューとして、Intel Trust Domain Extension (TDX) 機能が RHEL 9.2 以降のゲストオペレーティングシステムで使用できるようになりました。ホストシステムが TDX をサポートしている場合は、トラストドメイン (TD) と呼ばれる、ハードウェアから分離された RHEL 9 仮想マシン (VM) をデプロイできます。ただし、TDX は現在 kdump では機能せず、TDX を有効にすると VM 上で kdump が失敗することに注意してください。

RHEL の Unified Kernel Image がテクノロジープレビューとして利用可能になる

テクノロジープレビューとして、RHEL カーネルを仮想マシン (VM) の Unified Kernel Image (UKI) として入手できるようになりました。Unified Kernel Image は、カーネル、initramfs、およびカーネルコマンドラインを単一の署名付きバイナリーファイルに結合します。

Intel vGPU がテクノロジープレビューとして利用可能になる

テクノロジープレビューとして、物理 Intel GPU デバイスを、mediated devices と呼ばれる複数の仮想デバイスに分割できるようになりました。この仲介デバイスは、仮想 GPU として複数の仮想マシンに割り当てることができます。これにより、この仮想マシンが、1 つの物理 Intel GPU のパフォーマンスを共有します。

ARM 64 上の CPU クラスター

テクノロジープレビューとして、CPU トポロジーで複数の ARM 64 CPU クラスターを使用する KVM 仮想マシンを作成できるようになりました。

Mellanox の Virtual Function による仮想マシンのライブマイグレーションがテクノロジープレビューとして利用可能になりました

テクノロジープレビューとして、Mellanox ネットワークデバイスの Virtual Function (VF) がアタッチされた仮想マシン (VM) のライブマイグレーションを利用できるようになりました。

RHEL がテクノロジープレビューとして Azure Confidential VM で利用可能になる

更新された RHEL カーネルを使用すると、RHEL 機密仮想マシン (VM) を Microsoft Azure 上でテクノロジープレビューとして作成して実行できるようになりました。新しく追加された Unified Kernel Image (UKI) により、暗号化された機密 VM イメージを Azure 上で起動できるようになりました。UKI は、RHEL 9 リポジトリーの kernel-uki-virt パッケージとして利用できます。

podman-machine コマンドはサポート対象外です。

仮想マシンを管理するための podman-machine コマンドは、テクノロジープレビューとしてのみ利用可能です。代わりに、コマンドラインから直接 Podman を実行してください。

マルチアーキテクチャーイメージのビルドがテクノロジープレビューとして利用可能になりました

マルチアーキテクチャーコンテナーイメージの作成に使用できる podman farm build コマンドが、テクノロジープレビューとして利用できます。

新しい rhel9/rhel-bootc コンテナーイメージがテクノロジープレビューとして利用可能になる

rhel9/rhel-bootc コンテナーイメージが、テクノロジープレビューとして Red Hat Container Registry で利用できるようになりました。RHEL のブート可能なコンテナーイメージを使用すると、コンテナーとまったく同じように、オペレーティングシステムを構築、テスト、およびデプロイできます。RHEL のブート可能コンテナーイメージは、機能拡張により、既存のアプリケーションの Universal Base Images (UBI) とは異なるものとなっています。すなわち、RHEL のブート可能コンテナーイメージには、カーネル、initrd、ブートローダー、ファームウェアなど、起動に必要な追加コンポーネントが含まれています。既存のコンテナーイメージに変更はありません。詳細は、Red Hat Ecosystem Catalog を参照してください。

composefs ファイルシステムがテクノロジープレビューとして利用可能になる

composefs 読み取り専用ファイルシステムが、テクノロジープレビューとして利用可能になりました。現在、これは一般的に bootc/ostree および podman プロジェクトでのみ使用されることを目的としています。composefs を使用すると、これらのプロジェクトを使用して、読み取り専用のイメージを作成して使用したり、イメージ間でファイルデータを共有したり、実行時にイメージを検証したりできます。その結果、完全に検証されたファイルシステムツリーがマウントされ、同一ファイルが適宜きめ細かく共有されるようになります。

非推奨のキックスタートコマンド

以下のキックスタートコマンドが非推奨になりました。

edge-commit および edge-container ブループリントのユーザーとグループのカスタマイズは非推奨になる

ブループリントでユーザーまたはグループのカスタマイズを指定することは、edge-commit および edge-container イメージタイプでは非推奨になりました。これは、イメージをアップグレードし、ブループリントでユーザーを再度指定しないと、ユーザーのカスタマイズが失われるためです。

initial-setup パッケージが非推奨になる

initial-setup パッケージは、Red Hat Enterprise Linux 9.3 で非推奨になり、次の RHEL メジャーリリースで削除される予定です。代わりに、グラフィカルユーザーインターフェイスの gnome-initial-setup を使用します。

inst.geoloc ブートオプションの provider_hostip 値と provider_fedora_geoip 値が非推奨になる

inst.geoloc= ブートオプションの GeoIP API を指定した provider_hostip 値と provider_fedora_geoip 値が非推奨になる代わりに、geolocation_provider=URL オプションを使用して、インストールプログラム設定ファイルに必要な位置情報を設定できます。inst.geoloc=0 オプションを使用して位置情報を無効にすることもできます。

グローバルホットキーを使用して Anaconda GUI からスクリーンショットをキャプチャーすることが非推奨になりました

以前は、ユーザーはグローバルホットキーを使用して Anaconda GUI のスクリーンショットをキャプチャーできました。つまり、ユーザーはインストール環境からスクリーンショットを手動で抽出し、任意の用途で使用することが可能でした。この機能は非推奨になりました。

Anaconda の組み込みヘルプが非推奨になる

Anaconda のインストール時に利用可能な、全 Anaconda ユーザーインターフェイスのスポークおよびハブの組み込みドキュメントは非推奨になりました。代わりに、Anaconda ユーザーインターフェイスは自己記述型になり、ユーザーは将来の RHEL メジャーリリースで公式の RHEL ドキュメント を参照できます。

NVDIMM デバイスのサポートが非推奨になる

以前は、インストールプログラムにより、インストール中に NVDIMM デバイスを再設定することができました。キックスタートおよび GUI インストール中の NVDIMM デバイスに対する当該サポートは非推奨になり、次の RHEL メジャーリリースで削除される予定です。セクターモードの NVDIMM デバイスは、インストールプログラムで引き続き表示され、使用可能です。

インストール環境でドライバー更新ディスクから更新されたドライバーをロードできない

インストールの初期 RAM ディスクから同じドライバーがすでにロードされている場合、ドライバー更新ディスクからの新しいバージョンのドライバーがロードされない可能性があります。そのため、ドライバーの最新バージョンをインストール環境に適用できません。

SHA-1 は暗号化の目的で非推奨になる

暗号化を目的とした SHA-1 メッセージダイジェストの使用は、RHEL 9 では非推奨になりました。SHA-1 によって生成されたダイジェストは、ハッシュ衝突の検出に基づく多くの攻撃の成功例が記録化されているため、セキュアであるとは見なされません。RHEL コア暗号コンポーネントは、デフォルトで SHA-1 を使用して署名を作成しなくなりました。RHEL 9 のアプリケーションが更新され、セキュリティー関連のユースケースで SHA-1 が使用されないようになりました。

fapolicyd.rules が非推奨になる

実行ルールの許可と拒否を含むファイルの /etc/fapolicyd/rules.d/ ディレクトリーは、/etc/fapolicyd/fapolicyd.rules ファイルを置き換えます。fagenrules スクリプトは、このディレクトリー内のすべてのコンポーネントルールファイルを /etc/fapolicyd/compiled.rules ファイルにマージするようになりました。/etc/fapolicyd/fapolicyd.trust のルールは引き続き fapolicyd フレームワークによって処理されますが、下位互換性を確保するためのみに使用されます。

RHEL 9 で SCP が非推奨になる

SCP (Secure Copy Protocol) には既知のセキュリティー脆弱性があるため、非推奨となりました。SCP API は RHEL 9 ライフサイクルで引き続き利用できますが、システムセキュリティーが低下します。

OpenSSL では、FIPS モードでの RSA 暗号化にパディングが必要です。

OpenSSL は、FIPS モードでのパディングなしの RSA 暗号化をサポートしなくなりました。パディングを使用しない RSA 暗号化は一般的ではないため、ほとんど使用されません。RSA (RSASVE) によるキーのカプセル化はパディングを使用しませんが、引き続きサポートされていることに注意してください。

OpenSSL で Engines API が非推奨になる

OpenSSL 3.0 TLS ツールキットでは、Engines API が非推奨になりました。エンジンインターフェイスはプロバイダー API に置き換えられました。アプリケーションと既存のエンジンのプロバイダーへの移行が進行中です。非推奨の Engines API は、今後のメジャーリリースで削除される可能性があります。

openssl-pkcs11 が非推奨になる

非推奨になった OpenSSL エンジンのプロバイダー API への継続的な移行の一環として、pkcs11-provider パッケージが openssl-pkcs11 パッケージ (engine_pkcs11) を置き換えます。openssl-pkcs11 パッケージは非推奨になりました。openssl-pkcs11 パッケージは、今後のメジャーリリースで削除される可能性があります。

RHEL 8 および 9 OpenSSL 証明書および署名コンテナーが非推奨になる

Red Hat Ecosystem Catalog の ubi8/openssl および ubi9/openssl リポジトリーで利用可能な OpenSSL ポータブル証明書および署名コンテナーは、需要が低いため非推奨になりました。

Digest-MD5 SASL では非推奨となりました。

SASL (Simple Authentication Security Layer) フレームワークの Digest-MD5 認証メカニズムは非推奨になり、将来バージョンのメジャーリリースでは cyrus-sasl パッケージから削除される可能性あり

OpenSSL は、MD2、MD4、MDC2、Whirlpool、Blowfish、CAST、DES、IDEA、RC2、RC4、RC5、SEED、および PBKDF1 を非推奨にします。

OpenSSL プロジェクトは、セキュアではない、一般的ではない、またはその両方であるという理由で、一連の暗号アルゴリズムを非推奨にしました。Red Hat もそれらのアルゴリズムの使用を推奨せず、RHEL 9 では、新しいアルゴリズムを使用するために暗号化されたデータを移行するためにそれらを提供しています。ユーザーは、自分のシステムのセキュリティーのためにこれらのアルゴリズムに依存してはいけません。

/etc/system-fips が非推奨に

/etc/system-fips ファイルで FIPS モードが削除されることを示すサポートにより、ファイルは今後の RHEL バージョンに含まれなくなります。FIPS モードで RHEL をインストールするには、システムのインストール時に fips=1 パラメーターをカーネルコマンドラインに追加します。fips-mode-setup --check コマンドを使用して、RHEL が FIPS モードで動作しているかどうかを確認できます。

libcrypt.so.1 が非推奨に

libcrypt.so.1 ライブラリーは現在非推奨であり、RHEL の将来のバージョンで削除される可能性があります。

subscription-manager register の非推奨の --token オプションは、2024 年 11 月末に機能しなくなります

subscription-manager register コマンドの非推奨の --token=<TOKEN> オプションは、2024 年 11 月末以降はサポート対象の認証方法ではなくなります。デフォルトのエンタイトルメントサーバー subscription.rhsm.redhat.com では、トークンベースの認証が許可されなくなります。したがって、subscription-manager register --token=<TOKEN> を使用すると、次のエラーメッセージが表示されて登録が失敗します。

dump からの dump ユーティリティーが非推奨になりました。

ファイルシステムのバックアップに使用される dump ユーティリティーが非推奨になり、RHEL 9 では使用できなくなります。

Bacula の SQLite データベースバックエンドは廃止されました

Bacula バックアップシステムは、複数のデータベースバックエンド (PostgreSQL、MySQL、および SQLite) をサポートしていました。SQLite バックエンドは廃止され、RHEL の今後のリリースではサポートされなくなります。代わりに、他のバックエンド (PostgreSQL または MySQL) のいずれかに移行し、新しい展開では SQLite バックエンドを使用しないでください。

sysstat パッケージの %vmeff メトリクスは非推奨になりました

ページ再利用効率を測定する sysstat パッケージの %vmeff メトリクスは、将来の RHEL メジャーバージョンではサポートされなくなります。sysstat は、新しいカーネルバージョンで提供されるすべての関連する /proc/vmstat 値を解析しないため、sar -B コマンドによって返される %vmeff 列の値は正しくありません。

ReaR 設定ファイルでの TMPDIR 変数の設定が非推奨になる

export TMPDIR=… などのステートメントを使用して、/etc/rear/local.conf または /etc/rear/site.conf ReaR 設定ファイルで TMPDIR 環境変数を設定することは非推奨となりました。

RHEL 9 で cgroupsv1 が非推奨になりました

cgroups は、プロセス追跡、システムリソースの割り当て、およびパーティション設定に使用されるカーネルサブシステムです。systemd サービスマネージャーは、cgroups v1 モードと cgroups v2 モードでの起動をサポートします。Red Hat Enterprise Linux 9 では、デフォルトのモードは v2 です。Red Hat Enterprise Linux 10 では、systemd は cgroups v1 モードでの起動をサポートせず、cgroups v2 モードのみが利用可能になります。

クライアントサイドおよびサーバーサイドの DHCP パッケージが非推奨になりました

Internet Systems Consortium (ISC) は、2022 年末をもって ISC DHCP のメンテナンスを終了することを発表しました。そのため、Red Hat は、RHEL 9 でのクライアントサイドおよびサーバーサイドの DHCP パッケージの使用を非推奨とし、今後の RHEL メジャーバージョンでは配布しないことを決定しました。お客様は、dhcpcd や ISC Kea などの利用可能な代替手段への移行を準備する必要があります。

sendmail、libotr、mod_security、spamassassin パッケージが非推奨になりました

以下のパッケージは RHEL 9 では非推奨となり、今後の RHEL メジャーバージョンでは配布されません。

RHEL 9 でネットワークチームが非推奨になりました

teamd サービスおよび libteam ライブラリーは、Red Hat Enterprise Linux 9 では非推奨になり、次回のメジャーリリースでは削除される予定です。代替として、ネットワークチームの代わりにボンディングを設定します。

ifcfg 形式の NetworkManager 接続プロファイルが非推奨になりました

RHEL 9.0 以降では、ifcfg 形式の接続プロファイルは非推奨になりました。次の RHEL メジャーリリースでは、この形式のサポートが削除されます。ただし、RHEL 9 では、既存のプロファイルを変更すると、NetworkManager は引き続きこの形式で既存のプロファイル処理および更新します。

firewalld の iptables バックエンドが非推奨になりました

RHEL 9 では、iptables フレームワークは非推奨になりました。結果として、iptables バックエンドと、firewalld の 直接インターフェイス も非推奨になりました。直接インターフェイス の代わりに、firewalld のネイティブ機能を使用して、必要なルールを設定できます。

firewalld のロックダウン機能が非推奨になりました

firewalld のロックダウン機能は非推奨になりました。理由は、root として実行中のプロセスが自身を許可リストに追加するのを防げないためです。ロックダウン機能は、今後の RHEL メジャーリリースで削除される可能性があります。

connection.master、connection.slave-type、connection.autoconnect-slaves プロパティーが非推奨になりました

Red Hat では、意識的な言語の使用に取り組んでいます。この取り組みに関する詳細は、多様性を受け入れるオープンソースの強化 を参照してください。したがって、connection.master、connection.slave-type、connection.autoconnect-slaves プロパティーの名前が変更されました。下位互換性を確保するために、古いプロパティー名を新しいプロパティー名にマップするエイリアスが作成されました。

PF_KEYv2 カーネル API が非推奨になりました

アプリケーションは、PV_KEYv2 および新しい netlink API を使用して、カーネルの IPsec 実装を設定できます。PV_KEYv2 はアップストリームで積極的に保守されておらず、最新の暗号、オフロード、拡張シーケンス番号サポートなどの重要なセキュリティー機能が欠けています。その結果、RHEL 9.3 以降、PV_KEYv2 API は非推奨となり、次の RHEL メジャーリリースで削除される予定です。アプリケーションでこのカーネル API を使用する場合は、代替として最新の netlink API を使用するように移行してください。

RHEL 9 で ATM カプセル化が非推奨になりました

非同期転送モード (ATM) カプセル化により、ATM アダプテーションレイヤー 5(AAL-5) のレイヤー 2(ポイントツーポイントプロトコル、イーサネット) またはレイヤー 3(IP) 接続が可能になります。Red Hat は、RHEL7 以降 ATMNIC ドライバーのサポートを提供していません。ATM 実装のサポートは RHEL 9 で廃止されています。これらのプロトコルは現在、ADSL テクノロジーをサポートし、メーカーによって段階的に廃止されているチップセットのみで使用されています。したがって、ATM カプセル化は Red Hat Enterprise Linux 9 では非推奨です。

kexec-tools の kexec_load システムコールが非推奨になりました

2 番目のカーネルをロードする kexec_load システムコールは、将来の RHEL リリースではサポートされなくなります。kexec_file_load システムコールは kexec_load に代わるもので、現在はすべてのアーキテクチャーのデフォルトのシステムコールです。

RHEL 9 でネットワークチームが非推奨になりました

teamd サービスおよび libteam ライブラリーは、Red Hat Enterprise Linux 9 では非推奨になり、次回のメジャーリリースでは削除される予定です。代替として、ネットワークチームの代わりにボンディングを設定します。

lvm2-activation-generator およびその生成されたサービスが RHEL 9.0 で削除される

lvm2-activation-generator プログラムとその生成されたサービス lvm2-activation、lvm2-activation-early、および lvm2-activation-net は、RHEL 9.0 で削除されています。サービスをアクティベートするために使用される lvm.conf event_activation 設定は機能しなくなりました。ボリュームグループを自動アクティブ化する唯一の方法は、イベントベースのアクティブ化です。

RHEL 9 で永続メモリー開発キット (pmdk) とサポートライブラリーが非推奨になりました

pmdk は、システム管理者とアプリケーション開発者の永続メモリーデバイスの管理とアクセスを簡素化するためのライブラリーとツールのコレクションです。pmdk およびサポートライブラリーは、RHEL 9 で非推奨になりました。これには、-debuginfo パッケージも含まれます。

md-linear および md-faulty モジュールが非推奨になりました

以下の MD RAID カーネルモジュールが非推奨となり、今後の RHEL メジャーリリースで削除される予定です。

VDO sysfs パラメーターが非推奨になりました

Virtual Data Optimizer (VDO) sysfs パラメーターは非推奨となり、今後の RHEL メジャーリリースで削除される予定です。log_level を除き、kvdo モジュールのすべてのモジュールレベルの sysfs パラメーターが削除されます。個々の dm-vdo ターゲットでは、VDO に固有のすべての sysfs パラメーターも削除されます。すべての DM ターゲットに共通するパラメーターには変更はありません。現在、削除されたモジュールレベルのパラメーターを更新することによって設定されている dm-vdo ターゲットの設定値は、変更できなくなります。

libdb が非推奨になりました

RHEL 8 および RHEL 9 は、現在、LGPLv2 ライセンスで配布される Berkeley DB (libdb) バージョン 5.3.28 を提供しています。アップストリームの Berkeley DB バージョン 6 は、より厳しい AGPLv3 ライセンスで利用できます。

Go の FIPS モードの openssl 3.0 で、2048 より小さいサイズのキーが非推奨になりました

2048 ビットより小さい鍵サイズは openssl 3.0 で廃止され、Go の FIPS モードでは機能しなくなりました。

Go の FIPS モードで、一部の PKCS1 v1.5 モードが非推奨になりました

一部の PKCS1 v1.5 モードは、FIPS-140-3 で暗号化が承認されておらず、無効になっています。Go の FIPS モードでは機能しなくなります。

32 ビットパッケージが非推奨になりました

32 ビットの multilib パッケージに対するリンクは非推奨になりました。*.i686 パッケージは Red Hat Enterprise Linux 9 のライフサイクル期間中はサポートされ続けますが、RHEL の次のメジャーバージョンでは削除されます。

OpenDNSSec の SHA-1 が非推奨になりました

OpenDNSSec は、SHA-1 アルゴリズムを使用したデジタル署名および認証レコードのエクスポートに対応しています。SHA-1 アルゴリズムの使用に対応しなくなりました。RHEL 9 リリースでは、OpenDNSSec の SHA-1 が非推奨になり、今後のマイナーリリースで削除される可能性があります。また、OpenDNSSec のサポートは、Red Hat Identity Management との統合に限定されます。OpenDNSSec はスタンドアロンでは対応していません。

SSSD 暗黙的なファイルプロバイダードメインは、デフォルトで無効になっています。

/etc/shadow などのローカルファイルからユーザー情報を取得する SSSD 暗黙的な ファイル プロバイダードメイン、および /etc/group からグループ情報を取得する SSSD 暗黙的な <g id="1">ファイル</g>プロバイダードメインは、デフォルトで無効になりました。

SSSD files プロバイダーが非推奨になりました

SSSD files プロバイダーは Red Hat Enterprise Linux (RHEL) 9 で非推奨になりました。files プロバイダーは、RHEL の将来のリリースから削除される可能性があります。

AD および IdM の enumeration 機能が非推奨になりました

enumeration 機能を使用すると、Active Directory (AD)、Identity Management (IdM)、および LDAP プロバイダーに対して、引数なしで getent passwd または getent group コマンドを使用することで、すべてのユーザーまたはグループをリスト表示できます。Red Hat Enterprise Linux (RHEL) 9 では、AD および IdM に対する enumeration 機能のサポートは廃止されました。RHEL 10 では、AD および IdM に対する enumeration 機能は削除されます。

libsss_simpleifp サブパッケージが非推奨になりました

libsss_simpleifp.so ライブラリーを提供する libsss_simpleifp サブパッケージは、Red Hat Enterprise Linux (RHEL) 9 で非推奨になりました。libsss_simpleifp サブパッケージは、RHEL の今後のリリースから削除される可能性があります。

Samba で SMB1 プロトコルが非推奨になりました

Samba 4.11 以降、安全でない Server Message Block バージョン 1 (SMB1) プロトコルは非推奨となり、今後のリリースでは削除される予定です。

GTK 2 が非推奨になりました

レガシー GTK 2 ツールキットと、以下の関連パッケージが非推奨になりました。

LibreOffice が非推奨になりました

LibreOffice RPM パッケージは非推奨となり、今後の RHEL メジャーリリースで削除される予定です。LibreOffice は、RHEL 7、8、および 9 のライフサイクル全体を通じて引き続き完全にサポートされます。

Motif が非推奨になりました

アップストリームの Motif コミュニティーでの開発は非アクティブであるため、Motif ウィジェットツールキットは RHEL で非推奨になりました。

mssql_ha_cluster_run_role は廃止される

mssql_ha_cluster_run_role 変数は非推奨になりました。代わりに、mssql_manage_ha_cluster 変数を使用します。

RHEL 9 ノードでチームを設定すると、network システムロールが非推奨の警告を表示します。

ネットワークチーミング機能は、RHEL 9 では非推奨になりました。その結果、RHEL 8 制御ノードで network RHEL システムロールを使用して RHEL 9 ノードでネットワークチームを設定すると、非推奨についての警告が表示されます。

SHA1 ベースの署名を使用した SecureBoot イメージ検証が非推奨になりました

UEFI (PE/COFF) 実行ファイルでの SHA1 ベースの署名を使用した SecureBoot イメージ検証の実行は非推奨になりました。代わりに、Red Hat は、SHA2 アルゴリズムまたはそれ以降に基づく署名を使用することを推奨します。

仮想フロッピードライバーが非推奨になりました

仮想フロッピーディスクデバイスを制御する isa-fdc ドライバーが非推奨になり、今後の RHEL ではサポートされなくなります。そのため、移行した仮想マシンとの前方互換性を確保するため、Red Hat では、RHEL 9 でホストされている仮想マシンでのフロッピーディスクデバイスの使用を推奨しません。

qcow2-v2 イメージ形式が非推奨になりました

RHEL 9 では、仮想ディスクイメージの qcow2-v2 形式が非推奨になり、将来バージョンの RHEL ではサポートされなくなります。また、RHEL 9 Image Builder は、qcow2-v2 形式のディスクイメージを作成できません。

virt-manager が非推奨になりました

Virtual Machine Manager アプリケーション (virt-manager) は非推奨になっています。RHEL Web コンソール (Cockpit) は、後続のリリースで置き換えられる予定です。したがって、GUI で仮想化を管理する場合は、Web コンソールを使用することが推奨されます。ただし、virt-manager で利用可能な機能によっては、RHEL Web コンソールで利用できない場合があります。

libvirtd が非推奨になりました

モノリシック libvirt デーモン libvirtd は、RHEL 9 で非推奨になり、RHEL の将来のメジャーリリースで削除される予定です。ハイパーバイザーで仮想化を管理するために libvirtd を引き続き使用できることに注意してください。ただし、Red Hat では、新しく導入されたモジュラー libvirt デーモンに切り替えることを推奨します。手順と詳細は、RHEL 9 の仮想化の設定と管理 に関するドキュメントを参照してください。

レガシー CPU モデルが非推奨になりました

かなりの数の CPU モデルが非推奨になり、RHEL の将来のメジャーリリースで仮想マシン (VM) での使用がサポートされなくなります。非推奨のモデルは次のとおりです。

RDMA ベースのライブマイグレーションが非推奨になりました

この更新により、リモートダイレクトメモリーアクセス (RDMA) を使用した実行中の仮想マシンの移行は非推奨になりました。その結果、rdma:// 移行 URI を使用して RDMA 経由の移行を要求することは可能ですが、この機能は RHEL の将来のメジャーリリースではサポートされなくなります。

Intel vGPU 機能が削除される

以前は、テクノロジープレビューとして、物理 Intel GPU デバイスを、mediated devices と呼ばれる複数の仮想デバイスに分割することができました。続いて、これらの仲介デバイスは、仮想 GPU として複数の仮想マシンに割り当てることができました。その結果、これらの仮想マシンは単一の物理 Intel GPU のパフォーマンスを共有しましたが、この機能と互換性があるのは一部の Intel GPU のみでした。

pmem デバイスパススルーが非推奨になりました

この更新により、不揮発性メモリーライブラリー (nvml) パッケージは非推奨となり、RHEL の今後のメジャーバージョンでは削除される予定です。その結果、パッケージが削除された場合、永続メモリー (pmem) デバイスを仮想マシンに渡すことができなくなります。揮発性メモリーまたはファイルでバックアップした、エミュレートされた NVDIMM デバイスは引き続き使用できますが、永続的に設定することはできない点に注意してください。

Windows Server 2012 または Windows 8 のゲストオペレーティングシステムとしての使用はサポート対象外

Microsoft が以下のバージョンの Windows のサポートを終了したため、Red Hat も今回の更新でこれらのバージョンをゲストオペレーティングシステムとして使用するサポートを終了しました。

RHEL 7 ホストでの RHEL 9 コンテナーの実行がサポート対象外

RHEL 7 ホストでは、RHEL 9 コンテナーの実行に対応していません。正常に動作するかもしれませんが、保証されません。

Podman 内の SHA1 ハッシュアルゴリズムが非推奨になりました

ルートレスネットワーク namespace のファイル名を生成するために使用される SHA1 アルゴリズムは Podman ではサポートされなくなりました。したがって、Podman 4.1.1 以降に更新する前に起動されたルートレスコンテナーは、ネットワークに参加している場合は (slirp4netns を使用するだけでなく) 再起動して、アップグレード後に起動したコンテナーに接続できるようにする必要があります。

rhel9/pause が非推奨になりました

rhel9/pause コンテナーイメージが非推奨になりました

CNI ネットワークスタックが非推奨になりました

Container Network Interface (CNI) ネットワークスタックは非推奨となり、RHEL の今後のマイナーリリースでは Podman から削除される予定です。以前は、コンテナーは DNS 経由のみで単一の Container Network Interface (CNI) プラグインに接続していました。Podman v.4.0 では、新しい Netavark ネットワークスタックが導入されました。Netavark ネットワークスタックは、Podman およびその他の Open Container Initiative (OCI) コンテナー管理アプリケーションとともに使用できます。Podman 用の Netavark ネットワークスタックは、高度な Docker 機能とも互換性があります。複数のネットワーク内のコンテナーは、それらのネットワークのいずれかにあるコンテナーにアクセスできます。

Inkscape および LibreOffice Flatpak イメージが非推奨になりました

テクノロジープレビューとして利用可能な rhel9/inkscape-flatpak および rhel9/libreoffice-flatpak Flatpak イメージは非推奨になりました。

ネットワーク名としての pasta が非推奨になりました

ネットワーク名の値としての pasta に関するサポートは非推奨になり、Podman の次のメジャーリリースであるバージョン 5.0 では使用できなくなります。pasta というネットワーク名の値は、podman run --network コマンドと podman create --network コマンドを使用して、Podman 内に一意のネットワークモードを作成するために使用できます。

BoltDB データベースバックエンドが非推奨になりました

BoltDB データベースバックエンドは、RHEL 9.4 以降では非推奨です。RHEL の今後のバージョンでは、BoltDB データベースバックエンドが削除され、Podman では利用できなくなります。Podman の場合は、RHEL 9.4 以降ではデフォルトとなっている SQLite データベースバックエンドを使用してください。

CNI ネットワークスタックが非推奨になりました

Container Network Interface (CNI) ネットワークスタックは非推奨となり、今後のリリースでは削除される予定です。代わりに Netavark ネットワークスタックを使用してください。詳細は、CNI から Netavark へのネットワークスタックの切り替え を参照してください。

Podman v5.0 における今後の非推奨項目

RHEL 9.5 および RHEL 10.0 ベータ版でリリースされる予定の Podman v5.0 では、以下が非推奨になります。

rhel9/openssl が非推奨になりました

rhel9/openssl コンテナーイメージが非推奨になりました。