웹 콘솔에 방화벽 인터페이스가 추가

RHEL 8 웹 콘솔의 네트워킹 페이지에는 이제 방화벽 섹션이 포함되어 있습니다. 이 섹션에서는 방화벽사용 설정 또는 사용 해제는 물론 방화벽 규칙 추가, 제거, 수정할 수 있습니다.

웹 콘솔을 기본적으로 사용 가능

Cockpit이라고도 하는 RHEL 8 웹 콘솔용 패키지는 이제 Red Hat Enterprise Linux 기본 리포지토리의 일부이므로 등록된 RHEL 8 시스템에 즉시 설치할 수 있습니다.

웹 콘솔 용 IdM 통합 개선

시스템이 IdM(Identity Management) 도메인에 등록된 경우 이제 RHEL 8 웹 콘솔에서 기본적으로 도메인의 중앙 관리 IdM 리소스를 사용합니다. 여기에는 다음과 같은 이점이 있습니다.

웹 콘솔은 모바일 브라우저와 호환 가능

이번 업데이트 통해 모바일 브라우저 변형에서 웹 콘솔 메뉴 및 페이지를 탐색할 수 있습니다. 따라서 모바일 장치에서 RHEL 8 웹 콘솔을 사용하여 시스템을 관리할 수 있습니다.

웹 콘솔의 첫 페이지에 누락된 업데이트 및 서브스크립션 표시

RHEL 8 웹 콘솔에서 관리하는 시스템의 패키지가 오래되었거나 서브스크립션이 만료된 경우 시스템의 웹 콘솔의 첫 페이지에 경고가 표시됩니다.

웹 콘솔에서 PBD 등록 지원

이번 업데이트를 통해 RHEL 8 웹 콘솔 인터페이스를 사용하여 관리되는 시스템의 디스크에 PBD(Policy-Based Decryption) 규칙을 적용할 수 있습니다. Clevis 암호 해독 클라이언트를 사용하여 LUKS 암호화 디스크 파티션의 자동 잠금 해제와 같은 웹 콘솔의 다양한 보안 관리 기능을 용이하게 합니다.

웹 콘솔을 사용하여 가상 머신을 관리 가능

이제 가상 머신 페이지를 RHEL 8 웹 콘솔 인터페이스에 추가할 수 있으므로, 사용자가 libvirt 기반 가상 머신을 생성하고 관리할 수 있습니다.

IBM Z에서 SE 및 HMC를 사용하여 DVD에서 RHEL을 설치하는 기능을 완전 지원

IBM Z 하드웨어에서 SE(Support Element) 및 HMC(Hardware Management Console)를 사용하여 DVD에서 Red Hat Enterprise Linux 8을 설치하는 기능은 이제 완전하게 지원됩니다. 이와 같은 기능이 추가되어 SE와 HMC를 사용하여 IBM Z에 설치하는 프로세스가 간소화되었습니다.

설치 프로그램에서 LUKS2 디스크 암호화 형식을 지원

Red Hat Enterprise Linux 8 설치 프로그램에서는 기본적으로 LUKS2 형식을 사용하지만 Anaconda의 사용자 정의 파티션 설정 창 또는 Kickstart의 autopart, logvol, part 및 RAID 명령을 사용하여 LUKS 버전을 선택할 수 있습니다.

Anaconda에서는 RHEL 8의 시스템 용도를 지원

이전에는 Anaconda에서 서브스크립션 관리자에게 시스템 용도 정보를 제공하지 않았습니다. Red Hat Enterprise Linux 8.0에서는 Anaconda의 System Purpose 창 또는 Kickstart의 syspurpose 명령을 사용하여 설치 중에 시스템의 용도를 설정할 수 있습니다. 설치가 완료되면 서브스크립션 관리자가 시스템을 등록할 때 시스템 용도 정보를 사용합니다.

Pykickstart에서는 RHEL 8의 시스템 용도를 지원

이전에는 pykickstart 라이브러리에서 서브스크립션 관리자에게 시스템 용도 정보를 제공할 수 없었습니다. Red Hat Enterprise Linux 8.0에서 pykickstart는 새로운 syspurpose 명령을 구문 분석하고 전체 자동화 또는 부분적으로 자동화된 설치 중에 시스템의 용도를 기록합니다. 그러면 정보가 Anaconda에 전달되고 새로 설치된 시스템에 저장되어 다음 시스템 등록 시 서브스크립션 관리자가 사용할 수 있게 됩니다.

Anaconda에서는 RHEL 8의 새로운 커널 부트 매개변수를 지원

이전에는 커널 부트 매개변수의 기본 리포지토리만 지정할 수 있습니다. Red Hat Enterprise Linux 8에서 새로운 커널 매개변수, inst.addrepo=<name>,<url>을 사용하면 추가 리포지토리를 지정할 수 있습니다.

Anaconda에서는 RHEL 8의 통합 ISO를 지원

Red Hat Enterprise Linux 8.0에서 통합 ISO를 통해 BaseOS 및 AppStream 설치 소스 리포지토리를 자동으로 로드합니다.

Anaconda에서는 Kickstart 스크립트에 모듈식 패키지를 설치할 수 있습니다.

Anaconda 설치 프로그램은 애플리케이션 스트림과 관련된 모든 기능(모듈, 스트림 및 프로필)을 처리하도록 확장되었습니다. 이제 Kickstart 스크립트에서 모듈 및 스트림 조합을 활성화하고 모듈 프로필을 설치하며 모듈식 패키지를 설치할 수 있습니다. 자세한 내용은 고급 RHEL 설치 수행을 참조하십시오.

이제 RHEL 8 설치 옵션에서 nosmt 부팅 옵션을 사용할 수 있습니다.

새로 설치된 RHEL 8 시스템에 전달되는 설치 옵션에서 nosmt 부팅 옵션을 사용할 수 있습니다.

RHEL 8에서는 로컬 하드 드라이브의 리포지토리에서 설치를 지원

이전에는 하드 드라이브에서 RHEL을 설치하려면 설치 소스로 ISO 이미지가 필요했습니다. 그러나 일부 파일 시스템에는 RHEL 8 ISO 이미지가 너무 클 수 있습니다. 예를 들어 FAT32 파일 시스템은 4GiB보다 큰 파일을 저장할 수 없습니다.

RHEL 8에서 이미지 빌더를 사용하여 사용자 정의 시스템 이미지 생성 가능

Image Builder 도구를 사용하면 사용자가 사용자 지정 RHEL 이미지를 만들 수 있습니다. 이미지 빌더는 lorax-composer 패키지의 AppStream에서 사용할 수 있습니다.

새로운 Kickstart 명령 추가: authselect 및 모듈

이번 릴리스에서는 다음과 같은 kickstart 명령이 추가되었습니다.

RHEL 8.0의 커널 버전

Red Hat Enterprise Linux 8.0은 커널 버전 4.18.0-80과 함께 배포됩니다.

ARM 52비트 물리적 주소 지정이 가능

이번 업데이트에서는 64비트 ARM 아키텍처용 52비트 물리적 주소 지정(PA)을 사용할 수 있습니다. 따라서 이전 48비트 PA보다 큰 주소 공간을 제공합니다.

IOMMU 코드는 RHEL 8의 5 레벨 페이지 테이블을 지원

Linux 커널의 IOMMU(I/O Memory Management Unit)은 Red Hat Enterprise Linux 8의 5레벨 페이지 테이블을 지원하도록 업데이트되었습니다.

5 레벨의 페이징을 지원

Red Hat Enterprise Linux 8에서 5 레벨의 페이징을 지원하기 위해 새로운 P4d_t 소프트웨어 페이지 테이블 유형이 Linux 커널에 추가되었습니다.

메모리 관리에서 5 레벨 페이지 테이블 지원

Red Hat Enterprise Linux 7의 경우 기존 메모리 버스에는 48/46비트의 가상/실제 메모리 주소 지정 용량이 있으며 Linux 커널은 이러한 가상 주소를 실제 주소로 관리하기 위해 4 레벨의 페이지 테이블을 구현하고 있습니다. 물리적 버스 주소 지정 라인은 물리적 메모리 제한 용량을 64TB로 설정합니다.

kernel-signing-ca.cer이 RHEL 8에서 kernel-core로 이동

Red Hat Enterprise Linux 7의 모든 버전에서 kernel-signing-ca.cer 공개 키는 kernel-doc 패키지에 있습니다. 그러나 Red Hat Enterprise Linux 8에서는 kernel-signing-ca.cer 가 모든 아키텍처의 kernel-core 패키지로 재배치되었습니다.

Spectre V2 완화 기본값이 IBRS에서 Retpolines로 변경되었습니다.

Spectre V2 취약점에 대한 기본 완화 (CVE-2017-5715)는 6th Generation Intel Core Processors 및 그 가리체 [1]이 IBRS (Indirect Branch Restricted Speculation)에서 Red Hat Enterprise Linux 8의 Retpolines로 변경되었습니다. Red Hat은 Intel의 권장 사항에 따라 Linux 커뮤니티에서 사용되는 기본값과 손실된 성능을 복구하기 위해 이러한 변경 사항을 구현했습니다. 그러나 경우에 따라 Retpolines를 사용하는 경우 Spectre V2를 완전히 완화하지 못할 수 있습니다. Intel의 Retpoline 문서 [2] 이 문서에서는 또한 공격의 위험이 낮음을 나타냅니다.

Intel® Omni-Path Architecture (OPA) 호스트 소프트웨어

Intel Omni-Path Architecture(OPA) 호스트 소프트웨어는 Red Hat Enterprise Linux 8에서 완전 지원됩니다.

RHEL 8에서 더 많은 노드 지원

이번 업데이트를 통해 NUMA(Non-Uniform Memory Access) 노드 수가 64비트 ARM 아키텍처를 사용하는 시스템에서 Red Hat Enterprise Linux 8의 NUMA 노드 4개에서 8개의 NUMA 노드로 증가했습니다.

RHEL 8에서 IOMMU 패스스루가 기본적으로 활성화되어 있습니다.

IOMMU(Input/Output Memory Management Unit) 패스스루는 기본적으로 활성화되어 있습니다. 이렇게 하면 호스트에 대해 Direct Memory Access(DMA) 재mapping이 비활성화되어 있기 때문에 AMD 시스템의 성능이 향상됩니다. 이번 업데이트에서는 OpenJDK 재mapping도 기본적으로 비활성화되어 있는 Intel 시스템과의 일관성을 제공합니다. 사용자는 하이퍼바이저를 포함하여 커널 명령줄에서 iommu.passthrough=off 또는 iommu=nopt 매개변수를 지정하여 이러한 동작을 비활성화(및 활성화)할 수 있습니다.

RHEL8 커널에서 5 레벨 페이지 테이블 지원

Red Hat Enterprise Linux 커널은 이제 최대 5 레벨의 페이지 테이블이 있는 향후 Intel 프로세서를 완벽하게 지원합니다. 이를 통해 프로세서는 최대 4PB의 물리적 메모리와 128PB의 가상 주소 공간을 지원할 수 있습니다. 대용량 메모리를 활용하는 애플리케이션은 이제 4 레벨 페이지 테이블의 제약 조건 없이 시스템에서 제공하는 최대한 많은 메모리를 사용할 수 있습니다.

RHEL8 커널은 향후 Intel CPU에서 향상된 IBRS 지원

Red Hat Enterprise Linux 커널은 향상된 IBRS(Indirect Branch Restricted Speculation) 기능을 사용하여 Spectre V2 취약점을 완화할 수 있습니다. 이를 활성화하면 IBRS는 스펙터 V2를 완화하기 위해 Retpolines(기본값)보다 더 잘 수행하고 Intel Control-flow Enforcement 기술을 방해하지 않습니다. 결과적으로 향후 Intel CPU에서 Spectre V2 완화 기능을 활성화하면 성능이 저하됩니다.

eBPF 기반 프로그램 및 맵의 검사 및 조작을 위해 bpftool 추가

eBPF(extended Berkeley Packet Filtering)를 기반으로 프로그램과 맵의 검사 및 간단한 조작에 사용되는 bpftool 유틸리티가 Linux 커널에 추가되었습니다. bpftool 은 커널 소스 트리의 일부이며 커널 패키지의 하위 패키지로 포함된 bpftool 패키지에서 제공합니다.

kernel-rt 소스 업데이트

최신 RHEL 커널 소스 트리를 사용하도록 kernel-rt 소스가 업데이트되었습니다. 최신 커널 소스 트리에서는 이제 업스트림 v4.18 실시간 패치 세트를 사용하고 있으며 이전 버전에 비해 많은 버그 수정 및 개선사항이 추가되었습니다.

YUM 성능 개선 및 모듈식 콘텐츠 지원

Red Hat Enterprise Linux 8에서는 DNF 기술(YUM v4)을 기반으로 하는 YUM 툴의 새 버전으로 소프트웨어를 설치합니다.

RHEL 8의 주요 RPM 기능

Red Hat Enterprise Linux 8은 RPM 4.14와 함께 배포됩니다. 이 버전에서는 RHEL 7에서 사용할 수 있는 RPM 4.11에 대한 여러 개선사항을 소개합니다. 주요 기능은 다음과 같습니다.

RPM 이 설치를 시작하기 전에 전체 패키지 콘텐츠를 확인

Red Hat Enterprise Linux 7에서는 압축을 푸는 동안 RPM 유틸리티를 사용하여 개별 파일의 페이로드 콘텐츠를 검증했습니다. 그러나 이 방법은 다음과 같은 이유로 충분하지 않습니다.

RHEL 8 권장 Tuned 프로파일의 주요 변경 사항

이번 업데이트를 통해 다음 규칙에 따라 (tuned-adm recommend 명령을 통해 보고되는) 권장 Tuned 프로파일을 선택할 수 있습니다.일치하는 첫 번째 규칙이 적용됩니다.

named로 생성된 파일은 작업 디렉터리에 쓰기 가능

이전에는 named 데몬에서 일부 데이터를 Red Hat Enterprise Linux에서 읽기 전용인 작업 디렉터리에 저장했습니다. 이번 업데이트에서는 선택한 파일의 경로가 쓰기가 허용된 하위 디렉터리로 변경되었습니다. 이제 기본 디렉터리 Unix와 SELinux 권한을 사용하면 디렉터리에 쓸 수 있습니다. 디렉터리에서 배포된 파일은 여전히 named에 대해 읽기 전용입니다.

Geolite Database는 Geolite2 Database로 대체

Red Hat Enterprise Linux 7에 있는 Geolite Database는 Red Hat Enterprise Linux 8의 Geolite2 Database로 대체되었습니다.

CUPS 로그는 journald에서 처리

RHEL 8에서는 RHEL 7에서 사용된 /var/log/cups 디렉터리의 특정 파일에 CUPS 로그가 더 이상 저장되지 않습니다. RHEL 8에서는 모든 유형의 CUPS 로그가 다른 프로그램의 로그와 함께 systemd journald 데몬으로 중앙에 로깅됩니다. CUPS 로그에 액세스하려면 journalctl -u cups 명령을 사용하십시오. 자세한 내용은 CUPS 로그 작업을 참조하십시오.

RHEL 8의 주요 BIND 기능

RHEL 8에는 9.11 버전의 BIND(Berkeley Internet Name Domain)가 포함되어 있습니다. 이 DNS 서버 버전에서는 버전 9.10에 비해 여러 가지 새로운 기능 및 기능 변경 사항이 도입되었습니다.

nobody 사용자가 nfsnobody로 대체

Red Hat Enterprise Linux 7에는 다음이 설정되어 있습니다.

RHEL 8의 버전 관리 시스템

RHEL 8에서는 다음과 같은 버전 관리 시스템을 제공합니다.

Subversion 1.10의 주요 변경 사항

Subversion 1.10에는 RHEL 7에서 배포한 버전 1.7 이후에 추가된 새로운 기능 및 다음과 같은 호환성 변경 사항이 추가되어 있습니다.

dstat의 주요 변경 사항

RHEL 8은 새로운 버전의 dstat 툴과 함께 배포됩니다. 이 도구는 이제 PCP(Performance Co-inspector) 툴킷의 일부입니다. /usr/bin/dstat 파일과 dstat 패키지 이름은 이제 pcp-system-tools 패키지에서 제공합니다.

Python 3은 RHEL 8의 기본 Python 구현

Red Hat Enterprise Linux 8은 Python 3.6과 함께 배포됩니다. 기본적으로 패키지가 설치되지 않을 수 있습니다. Python 3.6을 설치하려면 yum install python3 명령을 사용합니다.

Python 스크립트는 RPM 빌드 시 인터프리터 지시문에 주요 버전을 지정해야 합니다.

RHEL 8에서는 실행 가능한 Python 스크립트는 주요 Python 버전을 명시적으로 지정하는 인터프리터 지시문(hashbangs)을 사용해야 합니다.

PHP에서 주요 변경 사항

Red Hat Enterprise Linux 8은 PHP 7.2와 함께 배포됩니다. 이 버전에서는 RHEL 7에서 사용할 수 있는 PHP 5.4에 대해 다음과 같은 주요 변경 사항이 추가되었습니다.

Ruby에서 주요 변경 사항

RHEL 8에서는 RHEL 7에서 사용 가능한 Ruby 2.0.0의 새로운 기능과 개선사항이 추가된 Ruby 2.5를 제공합니다. 주요 변경 사항은 다음과 같습니다.

Perl에서 주요 변경 사항

RHEL 8을 통해 배포된 Perl 5.26에서는 RHEL 7에서 제공되었던 버전에 다음과 같은 변경 사항이 추가되었습니다.

RHEL의 Node.js 새로운 기능

JavaScript 프로그래밍 언어로 빠르고 확장 가능한 네트워크 애플리케이션을 구축하기 위한 소프트웨어 개발 플랫폼인 Node.js가 RHEL에서 처음으로 제공됩니다. 이전에는 소프트웨어 컬렉션으로만 제공되었습니다. RHEL 8에서는 Node.js 10이 제공됩니다.

SWIG에서 주요 변경 사항

RHEL 8에는 RHEL 7에서 배포된 버전 2.0에 비해 많은 새로운 기능, 향상된 기능 및 버그 수정사항이 추가된 SWIG(Simplified Wrapper and Interface Generator) 버전 3.0이 포함되어 있습니다. 특히 C++ 11 표준에 대한 지원이 구현됩니다. 이제 SWIG 는 Go 1.6,PHP 7,Octave 4.2 및 Python 3.5 도 지원합니다.

Apache httpd에서 주요 변경 사항

RHEL 8은 Apache HTTP Server 2.4.37과 함께 배포됩니다. 이 버전에서는 RHEL 7에서 사용되던 httpd에 대해 다음과 같은 변경 사항이 추가되었습니다.

RHEL에서 새로 추가된 nginx 웹 서버

RHEL 8에서는 HTTP 및 기타 프로토콜을 지원하는 웹 및 프록시 서버인 nginx 1.14 를 도입하고 높은 동시성, 성능 및 낮은 메모리 사용에 중점을 두고 있습니다. Nginx 는 이전에는 소프트웨어 컬렉션으로만 사용 가능했습니다.

RHEL 8의 데이터베이스 서버

RHEL 8에서는 다음과 같은 데이터베이스 서버를 제공합니다.

MySQL 8.0에서 주요 변경 사항

RHEL 8에 포함되는 MySQL 8.0은 다음과 같은 향상된 기능을 제공합니다.

MariaDB 10.3에서 주요 변경 사항

MariaDB 10.3 에서는 RHEL 7에서 배포된 버전 5.5에 비해 다음과 같은 새로운 기능을 제공합니다.

PostgreSQL에서 주요 변경 사항

RHEL 8.0은 postgresql 모듈의 두 가지 스트림으로 배포된 PostgreSQL 데이터베이스 서버 두 가지 버전을 제공합니다. PostgreSQL 10 (기본 스트림)과 PostgreSQL 9.6. RHEL 7에는 PostgreSQL 버전 9.2가 포함되어 있습니다.

Squid에서 주요 변경 사항

RHEL 8.0은 웹 클라이언트용 고성능 프록시 캐싱 서버, FTP, Gopher 및 HTTP 데이터 오브젝트를 지원하는 Squid 4.4 와 함께 배포됩니다. 이 릴리스에서는 RHEL 7에서 사용할 수 있는 버전 3.5에 대한 다양한 새로운 기능, 개선 사항 및 버그 수정을 제공합니다.

RHEL의 Varnish 캐시 새로운 기능

RHEL에서 처음으로 고성능 HTTP 역방향 프록시인 Varnish 캐시 가 제공됩니다. 이전에는 소프트웨어 컬렉션으로만 제공되었습니다. Varnish Cache 는 향후 동등한 요청에 대한 응답 시간 및 네트워크 대역폭 소비를 줄이는 데 사용되는 파일 또는 파일 내용을 메모리에 저장합니다. RHEL 8.0은 Varnish Cache 6.0 과 함께 배포됩니다.

RHEL 8의 GNOME 쉘 (버전 3.28)

RHEL(Red Hat Enterprise Linux) 8에서는 GNOME 쉘 버전 3.28을 사용할 수 있습니다. 주요 개선 사항은 다음과 같습니다.

Wayland를 기본 디스플레이 서버로 사용

Red Hat Enterprise Linux 8에서 GNOME 세션과 GDM(GNOME Display Manager)에서 기본 디스플레이 서버로 이전 RHEL 주요 버전에서 사용된 X.org 대신 Wayland를 사용합니다.

기본적으로 사용되지 않는 리포지토리에 있는 RPM 패키지 검색

기본적으로 데스크탑의 추가 리포지토리는 사용하도록 설정되어 있지 않습니다. 비활성화는 해당 .repo 파일의 enabled=0 행에 지정됩니다. PackageKit을 사용하여 이러한 리포지토리에서 패키지를 설치하려고 하면 PackageKit에서 애플리케이션을 사용할 수 없다는 오류 메시지가 표시됩니다. 패키지를 사용 가능하게 하려면 각각의 .repo 파일에서 이전에 사용한 enabled=0 행을 enabled=1로 변경합니다.

패키지 관리용 GNOME 소프트웨어

Red Hat Enterprise Linux 7의 그래픽 환경에서 패키지 관리용 툴 컬렉션을 제공한 gnome-packagekit 패키지는 더 이상 제공되지 않습니다. Red Hat Enterprise Linux 8에서는 애플리케이션과 gnome-shell 확장 기능을 설치 및 업데이트할 수 있는 GNOME 소프트웨어 유틸리티에서 유사한 기능을 제공합니다. GNOME 소프트웨어는 gnome-software 패키지로 배포됩니다.

Wayland에서 GNOME Shell에서 사용 가능한 부분 확장

Wayland 세션의 GNOME Shell에서 부분 확장 기능을 사용할 수 있습니다. 이 기능을 사용하면 GUI를 부분적으로 확장할 수 있으므로 특정 디스플레이에서 확장된 GUI의 모양을 개선할 수 있습니다.

fwupd 를 사용하여 펌웨어 업데이트 사용 가능

RHEL 8에서는 fwupd 데몬을 사용하여 UEFI Capsule, Device Firmware Upgrade(DFU) 등의 펌웨어 업데이트를 지원합니다. 데몬을 사용하면 세션 소프트웨어가 로컬 시스템에서 장치 펌웨어를 자동으로 업데이트할 수 있습니다.

Optane DC 영구 메모리 기술의 메모리 모드가 완전히 지원됩니다.

Intel Optane DC 영구 메모리 스토리지 장치는 데이터 센터 클래스 영구 메모리 기술을 제공하므로 트랜잭션 처리량을 크게 높일 수 있습니다.

Directory Server에서 새 암호 구문 검사

이번 개선된 기능에는 Directory Server에 새로운 암호 구문 검사 기능이 추가되었습니다. 예를 들어 관리자는 사전 검사를 활성화하고 문자 순서 및 회문(palindrome)을 사용하여 허용 또는 거부할 수 있습니다. 따라서 이 기능이 활성화된 경우 Directory Server의 암호 정책 구문 검사를 통해 더 안전한 암호가 적용됩니다.

Directory Server에서 개선된 내부 작업 로그 지원 제공

서버 및 클라이언트에서 시작한 Directory Server 작업 때문에 백그라운드에서 추가 작업이 수행됩니다. 이전에는 서버에서 내부 작업을 위해 Internal 연결 키워드만 기록했으며 작업 ID는 항상 -1로 설정되었습니다. 이번 개선된 기능을 통해 Directory Server는 실제 연결 및 작업 ID를 기록합니다. 이제 이 작업을 초래한 서버 또는 클라이언트 작업에 대한 내부 작업을 추적할 수 있습니다.

tomcatjss 라이브러리에서는 AIA 확장의 응답자를 사용하여 OCSP 검사를 지원

이 향상된 기능을 통해 tomcatjss 라이브러리에서는 인증서의 AIA(Authority Information Access) 확장의 응답자를 사용하여 OCSP(Online Certificate Status Protocol) 검사를 지원합니다. 결과적으로 Red Hat Certificate System 관리자는 AIA 확장의 URL을 사용하여 OCSP 검사를 설정할 수 있습니다.

pki subsystem-cert-find 및 pki subsystem-cert-show 명령은 인증서의 일련 번호를 표시

이 향상된 기능을 통해 인증서 시스템의 pki subsystem-cert-find 명령 및 pki subsystem-cert-show 명령에서 출력에 인증서의 일련 번호를 표시할 수 있게 되었습니다. 일련 번호는 중요한 정보이며 여러 다른 명령에 필요합니다. 결과적으로 인증서의 일련 번호를 쉽게 식별할 수 있습니다.

인증서 시스템에서 pki user 명령 및 pki group 명령은 더 이상 사용되지 않음

이번 업데이트를 통해 새로운 pki <subsystem>-user 및 pki <subsystem>-group 명령으로 인증서 시스템의 pki user 명령 및 pki group 명령이 교체되었습니다. 교체된 명령으로 계속 사용할 수 있지만 명령이 더 이상 사용되지 않으며 새 명령을 참조하라는 메시지를 표시합니다.

인증서 시스템에서 시스템 인증서의 오프라인 업데이트를 지원

이 향상된 기능을 통해 관리자는 오프라인 업데이트 기능을 사용하여 인증서 시스템에 구성된 시스템 인증서를 갱신할 수 있습니다. 시스템 인증서가 만료되면 인증서 시스템이 시작되지 않습니다. 이러한 기능 개선으로 관리자는 더 이상 만료된 시스템 인증서를 교체하기 위한 임시 해결방법이 필요하지 않습니다.

인증서 시스템에서 외부 CA 서명을 위해 SKI 확장을 사용하여 CSR을 생성 가능

이 향상된 기능을 통해 인증서 시스템에서는 외부 인증 기관(CA) 서명을 위해 SKI(Subject Key Identifier) 확장을 사용하여 인증서 서명 요청(CSR)을 생성하도록 지원합니다. 특정 CA에서는 이 확장이 특정 값을 사용하거나 CA 공용 키에서 파생되어야 합니다. 결과적으로 관리자는 이제 pkispawn 유틸리티에 전달된 설정 파일에서 pki_req_ski 매개 변수를 사용하여 SKI 확장자가 있는 CSR을 생성할 수 있습니다.

SSSD에서 더 이상 [nss] 섹션의 fallback_homedir 값을 AD 도메인의 폴백으로 사용하지 않습니다.

RHEL 7.7 이전에는 AD(Active Directory) 공급자의 SSSD fallback_homedir 매개변수에 기본값이 없었습니다. fallback_homedir 을 설정하지 않은 경우 SSSD는 대신 /etc/sssd/sssd.conf 파일의 [nss] 섹션과 동일한 매개변수의 값을 사용합니다. 보안을 강화하기 위해 RHEL 7.7의 SSSD는 fallback_homedir 의 기본값을 도입했습니다. 결과적으로 SSSD는 더 이상 [nss] 섹션에 설정된 값으로 되돌아가지 않습니다. AD 도메인의 fallback_homedir 매개변수에 대한 기본값과 다른 값을 사용하려면 도메인의 섹션에서 수동으로 설정해야 합니다.

SSSD를 사용하여 여러 스마트 카드 인증 장치 중 하나를 선택 가능

기본적으로 SSSD(System Security Services Daemon)는 스마트 카드 인증 장치를 자동으로 탐지합니다. 연결된 장치가 여러 개 있는 경우 SSSD에서 감지한 첫 번째 장치를 선택합니다. 결과적으로 특정 장치를 선택할 수 없으므로 때때로 실패로 이어집니다.

로컬 사용자는 SSSD를 통해 캐시하고 nss_sss 모듈을 통해 처리

RHEL 8에서 SSSD(System Security Services Daemon)는 기본적으로 /etc/passwd 및 /etc/groups 파일의 사용자 및 그룹을 제공합니다. sss nsswitch 모듈은 /etc/nsswitch.conf 파일의 파일 앞에 옵니다.

KCM은 KEYRING을 기본 인증 정보 캐시 스토리지로 대체

RHEL 8에서 기본 인증 정보 캐시 스토리지는 sssd-kcm 데몬에서 지원하는 KCM(Kerberos Credential Manager)입니다. KCM에는 이전에 사용된 KEYRING의 제한 사항(예:네임 스페이스가 없기 때문에 컨테이너 환경에서 사용하기가 어렵고 할당량을 표시 및 관리할 수 없음)이 해결되어 있습니다.

Active Directory 사용자가 Identity Management를 관리 가능

이번 업데이트를 통해 RHEL 8에서는 IdM(Identity Management) 그룹의 구성원으로 AD(Active Directory) 사용자에 대한 사용자 ID 재정의를 추가할 수 있습니다. ID 재정의는 특정 ID 보기(이 경우 기본 신뢰 보기) 내에서 특정 AD 사용자 또는 그룹 속성이 표시되는 방식을 설명하는 레코드입니다. 업데이트 결과 IdM LDAP 서버에서 IdM 그룹에 대한 액세스 제어 규칙을 AD 사용자에게 적용할 수 있습니다.

sssctl을 통해 IdM 도메인의 HBAC 규칙 보고서 출력

이번 업데이트에서 SSSD(System Security Services Daemon)의 sssctl 유틸리티를 통해 IdM(Identity Management) 도메인의 액세스 제어 보고서를 출력할 수 있습니다. 이는 특정 환경에서 규제상의 이유로 특정 클라이언트 컴퓨터에 액세스할 수 있는 사용자 및 그룹 목록을 표시하는 기능으로 사용될 수 있습니다. IdM 클라이언트에서 sssctl access-report domain_name을 실행하면 클라이언트 시스템에 적용되는 IdM 도메인의 호스트 기반 액세스 제어(HBAC) 규칙의 구문 분석된 하위 세트를 표시합니다.

Identity Management 패키지는 모듈로 사용 가능

RHEL 8에서는 IdM(Identity Management) 서버 및 클라이언트를 설치하는 데 필요한 패키지가 모듈로 제공됩니다. 클라이언트 스트림은 idm 모듈의 기본 스트림이며 스트림을 활성화하지 않고 클라이언트 설치에 필요한 패키지를 다운로드할 수 있습니다.

RHEL 8의 세션 레코딩 솔루션 추가

세션 레코딩 솔루션이 RHEL 8(Red Hat Enterprise Linux 8)에 추가되었습니다. 새로운 tlog 패키지와 관련 웹 콘솔 세션 플레이어를 사용하여 사용자 터미널 세션을 레코딩하고 재생할 수 있습니다. SSSD(System Security Services Daemon) 서비스를 통해 사용자 또는 사용자 그룹별로 레코딩을 구성할 수 있습니다. 모든 터미널 입력 및 출력은 캡처되어 시스템 저널에 텍스트 기반 형식으로 저장됩니다. 보안상의 이유로 원시 암호 및 기타 중요한 정보를 가로채지 않도록 입력은 기본적으로 비활성화됩니다.

authselect를 통해 사용자 인증 설정 간소화

이번 업데이트에서는 RHEL 8 호스트에서 사용자 인증 설정을 간소화하고 authconfig 유틸리티를 대신하여 authselect 유틸리티를 도입하고 있습니다. authselect에는 시스템 관리자가 PAM 설정을 보다 간단하게 변경할 수 있도록 PAM 스택을 더 안전하게 관리하는 접근 방식이 포함되어 있습니다. authselect는 암호, 인증서, 스마트 카드, 지문과 같은 인증 방법을 설정하는데 사용할 수 있습니다. authselect를 통해서는 원격 도메인에 가입하는 데 필요한 서비스를 설정하지 않습니다. Authselect는 시스템 관리자가 PAM 구성을 더 쉽게 변경할 수 있도록 하는 PAM 스택 관리에 대한 보다 안전한 접근법을 제공합니다. Authselect는 암호, 인증서, 스마트 카드 및 지문과 같은 인증 방법을 구성하는 데 사용할 수 있습니다. authselect 는 원격 도메인을 결합하는 데 필요한 서비스를 구성하지 않습니다. 이 작업은 realmd 또는 ipa-client-install 과 같은 특수 도구에서 수행됩니다.

SSSD가 이제 기본적으로 AD VDDK를 적용

SSSD 옵션 ad_gpo_access_control 의 기본 설정이 강제 적용되었습니다. RHEL 8에서는 SSSD가 기본적으로 Active Directory 그룹 정책 개체(GPO)에 따라 액세스 제어 규칙을 적용합니다.

Boost가 1.66 버전으로 업데이트

Boost C++ 라이브러리가 업스트림 버전 1.66으로 업데이트되었습니다. Red Hat Enterprise Linux 7에 포함된 Boost는 1.53 버전입니다. 자세한 내용은 업스트림 변경 로그 https://www.boost.org/users/history/을 참조하십시오.

유니코드 11.0.0 지원

Red Hat Enterprise Linux 코어 C 라이브러리인 glibc는 유니코드 표준 버전 11.0.0을 지원하도록 업데이트되었습니다. 결과적으로 문자 세트 간 음역 및 변환을 포함한 모든 와이드 문자 및 멀티 바이트 문자 API는 이 표준을 준수하는정확한 정보를 제공합니다.

boost 패키지는 Python에서 독립

이번 업데이트에서는 boost 패키지를 설치해도 더 이상 Boost.Python 라이브러리가 종속 항목으로 설치되지 않습니다. Boost.Python을 사용하려면 boost-python3 또는 boost-python3-devel 패키지를 설치해야 합니다.

새로운 compat-libgfortran-48 패키지 사용 가능

Fortran 라이브러리를 사용하는 Red Hat Enterprise Linux 6 및 7 애플리케이션과의 호환성을 위해 이제 libgfortran.so.3 라이브러리를 제공하는 새로운 compat-libgfortran-48 호환성 패키지가 사용 가능합니다.

GCC에서 Retpoline 지원

이번 업데이트에서는 GCC에 retpolines 지원이 추가되었습니다. 재구성은 CVE-2017-5715에 설명된 Spectre Variant 2 공격을 완화하는 오버헤드를 줄이기 위해 커널에서 사용하는 소프트웨어 구조입니다.

툴체인 구성 요소에서 64비트 ARM 아키텍처의 지원 강화

툴체인 구성 요소인 GCC 및 binutils에서는 이제 64비트 ARM 아키텍처에 대한 확장된 지원을 제공합니다. 예를 들어 다음과 같습니다.

IBM POWER 시스템에 맞게 glibc 최적화

이번 업데이트에서는 IBM POWER 8 및 IBM POWER 9 아키텍처에 최적화된 새 버전의 glibc를 제공합니다. 결과적으로 IBM POWER 8 및 IBM POWER 9 시스템은 이제 런타임 시 최적화된 적절한 glibc 변형으로 자동 전환합니다.

GNU C 라이브러리 2.28 버전으로 업데이트

Red Hat Enterprise Linux 8에는 2.28 버전의 GNU C 라이브러리(glibc)가 포함되어 있습니다. 주요 개선사항은 다음과 같습니다.

RHEL에서 CMake 사용 가능

CMake 빌드 시스템 버전 3.11은 Red Hat Enterprise Linux 8에서 cmake 패키지로 사용 가능합니다.

make 버전 4.2.1

Red Hat Enterprise Linux 8은 make 빌드 툴 버전 4.2.1과 함께 배포됩니다. 주요 변경 사항은 다음과 같습니다.

SystemTap 버전 4.0

Red Hat Enterprise Linux 8은 SystemTap 측정 툴 버전 4.0과 함께 배포됩니다. 주요 개선사항은 다음과 같습니다.

binutils 버전 2.30의 개선사항

Red Hat Enterprise Linux 8에는 2.30 버전의 binutils 패키지가 포함되어 있습니다. 주요 개선사항은 다음과 같습니다.

Performance Co-inspector 버전 4.3.0

Red Hat Enterprise Linux 8은 PCP( Performance Co-inspector) 버전 4.3.0과 함께 배포됩니다. 주요 개선사항은 다음과 같습니다.

메모리 보호 키

이 업데이트를 사용하면 스레드마다 페이지 보호 플래그를 변경할 수 있는 하드웨어 기능을 사용할 수 있습니다. pkey_alloc(), pkey_free() 및 pkey_mprotect() 함수의 새로운 glibc 시스템 호출 래퍼가 추가되었습니다. pkey_alloc(), pkey_free() 및 pkey_mprotect() 함수에 대해 새로운 glibc 시스템 호출 래퍼가 추가되었습니다. 또한 스레드별 보호 플래그에 액세스할 수 있도록 pkey_set() 및 pkey_get() 함수가 추가되었습니다.

IBM Z의 GCC의 기본값은 z13입니다.

이번 업데이트를 통해 IBM Z 아키텍처에서 기본적으로 GCC는 z13 프로세서용 코드를 빌드하고 코드는 z14 프로세서에 맞게 조정됩니다. 이는 -march=z13 및 -mtune=z14 옵션을 사용하는 것과 동일합니다. 사용자는 대상 아키텍처 및 튜닝에 대한 옵션을 사용하여 명시적으로 이 기본값을 재정의할 수 있습니다.

elfutils가 버전 0.174로 업데이트

Red Hat Enterprise Linux 8에서 elfutils 패키지는 버전 0.174에서 사용 가능합니다. 주요 변경 사항은 다음과 같습니다.

Valgrind가 3.14 버전으로 업데이트

Red Hat Enterprise Linux 8은 Valgrind 실행 코드 분석 툴 버전 3.14와 함께 배포됩니다. 주요 변경 사항은 다음과 같습니다.

GDB 버전 8.2

Red Hat Enterprise Linux 8은 GDB 디버거 버전 8.2와 함께 배포됩니다.주요 변경 사항은 다음과 같습니다.

RHEL의 glibc 지역화는 여러 패키지로 배포

RHEL 8에서는 glibc 로케일 및 번역은 단일 glibc-common 패키지에서 더 이상 제공되지 않습니다. 대신, 모든 로케일과 언어는 glibc-langpack-CODE 패키지에서 사용 가능합니다. 또한 대부분의 경우 모든 로케일이 기본적으로 설치되지는 않으며 설치 프로그램에서 선택한 로케일만 설치됩니다. 사용자는 별도로 필요한 추가 로케일 패키지를 설치하거나, glibc-all-langpacks 를 설치하고자 하는 경우 이전과 마찬가지로 설치된 모든 glibc 로케일이 포함된 로케일 아카이브를 가져올 수 있습니다.

GCC 버전 8.2

Red Hat Enterprise Linux 8에서 GCC 툴체인은 GCC 8.2 릴리스 시리즈를 기반으로 합니다. 주요 변경 사항은 다음과 같습니다.

Go 암호화 라이브러리 FIPS 모드에서 시스템 설정 준수

이전 버전에서는 라이브러리를 사용하여 애플리케이션 빌드 시 명시적으로 비활성화한 경우를 제외하고 Go 표준 암호화 라이브러리는 항상 FIPS 모드를 사용했습니다. 그 결과 Go 기반 애플리케이션 사용자는 FIPS 모드 사용 여부를 제어할 수 없었습니다. 이 변경으로 인해 시스템이 FIPS 모드에서 구성되지 않은 경우 라이브러리는 기본적으로 FIPS 모드로 설정되지 않습니다. 결과적으로 RHEL 시스템의 Go 기반 애플리케이션 사용자는 Go 암호화 라이브러리의 FIPS 모드 사용을 제어할 수 있습니다.

strace는 버전 4.24로 업데이트

Red Hat Enterprise Linux 8은 strace 툴 버전 4.24와 함께 배포됩니다. 주요 변경 사항은 다음과 같습니다.

RHEL 8의 컴파일러 툴 세트

RHEL 8.0은 다음과 같은 컴파일러 툴셋을 Application Streams로 제공합니다.

RHEL 8의 Java 구현 및 Java 툴

RHEL 8 AppStream 리포지토리에는 다음이 포함됩니다.

C ++ ABI가 mac ::string 및-4.8 ::list에서 변경

libstdc++ 라이브러리의 ABI(Application Binary Interface) 및 cryptsetup ::list 클래스가 RHEL 7 (GCC 4.8)과 C++11 표준을 준수하도록 RHEL 8(GCC 8) 간에 변경되었습니다. libstdc++ 라이브러리는 이전 ABI와 새로운 ABI를 모두 지원하지만 다른 C++ 시스템 라이브러리는 지원하지 않습니다. 따라서 이러한 라이브러리에 대해 동적으로 연결되는 애플리케이션을 다시 빌드해야 합니다. 이는 C++98을 포함한 모든 C++ 표준 모드에 영향을 미칩니다. RHEL 7용 Red Hat Developer Toolset 컴파일러로 빌드된 애플리케이션에도 영향을 미치므로 시스템 라이브러리와 호환성을 유지하기 위해 이전 ABI를 유지했습니다.

DIF/DIX(데이터 무결성 필드/데이터 무결성 확장) 지원

DIF/DIX는 하드웨어 벤더가 자격을 갖춘 구성에서 지원되며, RHEL에서 특정 HBA(호스트 버스 어댑터) 및 스토리지 어레이 구성에 대한 완전한 지원을 제공합니다.

XFS는 공유 COW(Copy-On-Write) 데이터 Extent 기능 지원

XFS 파일 시스템은 공유 copy-on-write(COW) 데이터Extent 기능을 지원합니다. 이 기능을 사용하면 두 개 이상의 파일이 공통 데이터 블록 집합을 공유할 수 있습니다. 공통 블록을 공유하는 파일 중 하나가 변경되면 XFS는 링크를 공통 블록으로 분리하고 새 파일을 만듭니다. 이는 다른 파일 시스템에 있는 COW(Copy-On-Write) 기능과 유사합니다.

XFS 파일 시스템 최대 크기는 1024TiB

XFS 파일 시스템의 최대 지원 크기가 500TiB에서 1024TiB로 증가했습니다.

ext4 파일 시스템에서 메타데이터 체크섬지원

이번 업데이트를 통해 ext4 메타데이터는 체크섬 으로 보호됩니다. 이를 통해 파일 시스템이 손상된 메타데이터를 인식하여 손상을 방지하고 파일 시스템의 탄력성을 높일 수 있습니다.

모든 아키텍처를 지원하는 VDO

VDO(Virtual Data Optimizer)는 RHEL 8이 지원하는 모든 아키텍처에서 사용할 수 있습니다.

BOOM 부팅 관리자가 부팅 항목을 생성하는 과정을 단순화

BOOM은 부팅 항목 설정을 위해 BootLoader Specification을 지원하는 부팅 로더를 사용하는 Linux 시스템용 부팅 관리자입니다. 유연한 부팅 설정이 가능하며 LVM을 사용하여 생성된 시스템의 스냅샷 이미지를 부팅하는 것과 같이 새롭거나 수정된 부팅 항목을 간단하게 만들 수 있습니다.

LUKS2는 볼륨 암호화를 위한 기본 형식

RHEL 8에서는 LUKS 버전 2(LUKS2) 형식이 기존 LUKS(LUKS1) 형식 대신 사용됩니다. 이제 dm-crypt 하위 시스템과 cryptsetup 툴은 LUKS2를 암호화된 볼륨의 기본 형식으로 사용합니다. LUKS2는 부분적인 메타데이터 손상 이벤트가 발생했을 경우에 대비하여 메타데이터 중복 및 자동 복구 기능을 갖춘 암호화된 볼륨을 제공합니다.

Broadcom Emulex 및 Marvell Qlogic Fibre Channel 어댑터에서 NVMe/FC 완전 지원

Broadcom Emulex 및 Marvell Qlogic Fibre Channel 32Gbit 어댑터와 함께 사용할 때 Initiator 모드에서 NVMe over Fibre Channel (NVMe/FC) 전송 유형이 완전히 지원됩니다.

새로운 scan_lvs 구성 설정

기본적으로 새로운 lvm.conf 구성 파일 설정인 scan_lvs 가 추가되어 0으로 설정됩니다. 새 기본 동작은 LVM에서 LV 상단에 있을 수 있는 PV를 검색하지 않도록 중지합니다. 즉, 추가 PV에 대해 활성 LV를 검사하지 않습니다. 기본 설정은 LVM이 LV에서 PV를 생성하지 못하도록 합니다.

DM Multipath 설정 파일의 새로운 overrides 섹션 추가

/etc/multipath.conf 파일에는 모든 장치에 대한 구성 값을 설정할 수 있는 overrides 섹션이 포함되어 있습니다. DM Multipath는 장치를 포함하는 경로의 /etc/multipath.conf 파일에 있는 multipaths 섹션에서 지정한 속성으로 덮어쓰지 않는 한 모든 장치에 대해 이러한 속성을 사용합니다. 이 기능은 더 이상 지원되지 않는 구성 파일의 devices 섹션에 있는 all_devs 매개변수를 대체합니다.

NVDIMM 장치의 설치 및 부팅 지원

이전에는 설치 프로그램이 모든 모드에서 NVDIMM(Nonvolatile Dual Inline Memory Module) 장치를 무시했습니다.

DM Multipath의 경계 경로 검색 개선

multipathd 서비스의 경계 경로 검색이 개선되었습니다. 이는 멀티패스 장치가 반복적으로 실패할 가능성이 있는 경로를 피하고 성능을 향상시킬 수 있습니다. 경계 경로는 지속적이지만 일시적인 I/O 오류가 있는 경로입니다.

블록 장치의 다중 대기열 스케줄링

Red Hat Enterprise Linux 8에서 블록 장치는 Multi-Queue 스케줄링을 사용합니다. 이를 통해 솔리드 스테이트 드라이브(SSD) 및 멀티 코어 시스템으로 블록 계층 성능을 확장할 수 있습니다.

새로운 pcs 명령으로 사용 가능한 워치독 장치 나열 및 테스트

Pacemaker로 SBD를 구성하려면 워치독 장치가 작동해야 합니다. 이 릴리스에서는 pcs stonith sbd watchdog list 명령을 지원하여 로컬 노드에서 사용 가능한 워치독 장치를 나열하고 pcs stonith sbd watchdog test 명령을 지원하여 워치독 장치를 테스트합니다. sbd 명령행 툴에 대한 자세한 내용은 sbd(8) 매뉴얼 페이지를 참조하십시오.

pcs 명령으로 작업 및 해당 간격 기준으로 리소스 오류 필터링 지원

Pacemaker는 리소스 이름과 노드 상단에서 리소스 작업별로 리소스 오류를 추적합니다. pcs resource failcount show 명령은 리소스, 노드, 작업, 간격별로 오류를 필터링할 수 있으며 리소스 및 노드별로 수집된 오류를 표시하거나 리소스, 노드, 작업, 간격별로 상세한 오류를 표시할 수 있는 옵션을 제공합니다. pcs resource failcount show 명령을 사용하면 리소스, 노드, 작업, 간격별로 오류를 필터링할 수 있습니다. 리소스 및 노드별로 집계된 오류를 표시하거나 리소스, 노드, 작업 및 간격별로 세부 정보를 표시하는 옵션을 제공합니다. 또한 pcs resource cleanup 명령을 사용하면 리소스, 노드, 작업 및 간격별로 오류를 필터링할 수 있습니다.

corosync 로그에서 타임스탬프 활성화

이전에는 corosync 로그에 타임스탬프가 없었으므로 다른 노드 및 데몬의 로그에 연결하기가 어려웠습니다. 이 릴리스에서는 corosync 로그에 타임스탬프가 기록됩니다.

pcs cluster setup, pcs cluster node add 및 pcs cluster node remove 명령의 새로운 형식

Red Hat Enterprise Linux 8에서 pcs는 Corosync 3, knet 및 노드 이름을 완벽하게 지원합니다. 노드 이름은 필수 사항이며 노드 식별자에서 노드 주소를 교체합니다. 노드 주소는 임의로 제공됩니다.

새로운 pcs 명령

Red Hat Enterprise Linux 8에는 다음과 같은 새로운 명령이 도입되었습니다.

RHEL 8에서 Pacemaker 2.0.0

pacemaker 패키지가 Pacemaker 2.0.0 업스트림 버전으로 업그레이드되었으며 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.

마스터 리소스의 이름이 승격 가능한 복제 리소스로 변경

RHEL(Red Hat Enterprise Linux) 8은 Pacemaker 2.0을 지원합니다. 마스터/슬레이브 리소스는 더 이상 별도의 리소스 유형이 아니지만 promotable 메타 속성이 true로 설정된 표준 복제 리소스입니다.이번 업데이트에는 다음과 같은 변경 사항이 구현되었습니다.

클러스터에서 노드를 인증하기 위한 새로운 명령

RHEL(Red Hat Enterprise Linux) 8에서 클러스터 노드 인증에 사용되는 명령에 다음과 같은 변경 사항이 적용됩니다.

pcs 명령으로 펜싱 기록의 표시, 정리 및 동기화 지원

Pacemaker의 fence 데몬은 실행한 모든 fence 작업 내역(보류 중, 성공 및 실패)을 추적합니다. 이번 릴리스에서는 pcs 명령을 사용하여 사용자가 다음과 같은 방법으로 펜싱 기록에 액세스할 수 있습니다.

nftables가 기본 네트워크 패킷 필터링 프레임워크로 iptables 대체

nftables 프레임워크는 패킷 분류 기능을 제공하며 iptables, ip6tables, arptables, ebtables 툴을 대체합니다. 이전의 패킷 필터링 툴에 비해 편의성, 기능 및 성능이 크게 향상되었으며 주요 개선 사항은 다음과 같습니다.

RHEL 8에서 주요 TCP 기능

Red Hat Enterprise Linux 8은 더 높은 성능, 향상된 확장성 및 안정성을 제공하는 TCP 네트워킹 스택 버전 4.18과 함께 배포됩니다. 특히 접속률이 높고 사용량이 많은 TCP 서버의 경우 성능이 향상됩니다.

firewalld는 기본적으로 nftables를 사용

이번 업데이트를 통해 nftables 필터링 하위 시스템이 firewalld 데몬의 기본 방화벽 백엔드가 됩니다. 백엔드를 변경하려면 /etc/firewalld/firewalld.conf 파일에서 FirewallBackend 옵션을 사용하십시오.

RHEL 8 wpa_supplicant에서 주요 변경 사항

RHEL(Red Hat Enterprise Linux) 8에서는 CONFIG_DEBUG_SYSLOG가 활성화된 상태에서 wpa_supplicant 패키지가 구축됩니다. 이렇게 하면 /var/log/wpa_supplicant.log 파일의 콘텐츠를 검사하는 대신 journalctl 유틸리티를 사용하여 wpa_supplicant 로그를 읽을 수 있습니다.

NetworkManager가 SR-IOV 가상 함수 지원

Red Hat Enterprise Linux 8.0에서는 NetworkManager를 사용하여 SR-IOV (Single Root I / O virtualization)를 지원하는 인터페이스에 대해 가상 함수(VF)를 설정할 수 있습니다. 또한 NetworkManager는 MAC 주소, VLAN, spoof checking 설정 및 허용된 비트레이트와 같은 VF의 일부 속성을 설정할 수 있습니다. SR-IOV와 관련된 모든 속성은 sriov 연결 설정에서 사용할 수 있습니다. 자세한 내용은 nm-settings(5) 매뉴얼 페이지를 참조하십시오.

IPVLAN 가상 네트워크 드라이버 지원

Red Hat Enterprise Linux 8.0에서 커널은 IPVLAN 가상 네트워크 드라이버를 지원합니다. 이번 업데이트를 통해 IPVLAN 가상 NIC(네트워크 인터페이스 카드)는 단일 MAC 주소를 로컬 네트워크에 노출하는 여러 컨테이너에 대한 네트워크 연결을 가능하게 합니다. 이제 단일 호스트는 피어 네트워킹 장비가 지원하는 MAC 주소 개수 제한을 개선하기 위해 다수의 컨테이너를 보유할 수 있게 됩니다.

NetworkManager가 연결에 대한 와일드카드 인터페이스 이름 일치 지원

이전에는 인터페이스 이름의 정확한 일치만 사용하여 주어진 인터페이스에 대한 연결을 제한할 수 있었습니다. 이번 업데이트에서는 연결에 와일드카드를 지원하는 새로운 match.interface-name 속성이 포함되어 있습니다. 이제 사용자는 와일드카드 패턴을 사용하여 보다 유연한 방식으로 연결에 대한 인터페이스를 선택할 수 있습니다.

네트워킹 스택 4.18 개선 사항

Red Hat Enterprise Linux 8.0에는 업스트림 버전 4.18로 업그레이드된 네트워킹 스택이 포함되어 있으며, 일부 버그 수정 및 개선사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.

iptables를 nftables로 변환하는 새로운 툴

이번 업데이트에서는 iptables-translate 및 ip6tables-translate 툴을 추가하여 기존의 iptables 또는 ip6tables 규칙을 nftables에 해당하는 규칙으로 변환했습니다. 일부 확장 기능에는 해당 지원이 누락되어 있는 경우도 있습니다. 이러한 해당 기능이 누락된 확장 기능이 있는 경우 툴은 # 기호가 앞에 있는 미변환 규칙을 출력합니다. 예를 들어 다음과 같습니다.

NetworkManager를 사용하여 VPN에 새 기능 추가

Red Hat Enterprise Linux 8.0의 NetworkManager는 VPN에 다음과 같은 새로운 기능을 제공합니다.

새로운 데이터 청크 유형 I-DATA가 SCTP에 추가

이번 업데이트에는 SCTP(Stream Control Transmission Protocol)에 새로운 데이터 청크 유형, I-DATA 및 스트림 스케줄러를 추가되었습니다. 이전에는 SCTP가 사용자가 보낸 것과 동일한 순서로 사용자 메시지를 전송했습니다. 그 결과, 용량이 큰 SCTP 사용자 메시지는 완전히 전송될 때까지 스트림의 다른 모든 메시지를 차단했습니다. I-DATA 청크를 사용하면 TSN(Transmission Sequence Number) 필드가 오버로드되지 않으므로 SCTP는 스트림을 다른 방식으로 스케줄링할 수 있고, I-DATA는 사용자의 메시지 인터리브를 허용합니다(RFC 8260). 결과적으로 SCTP는 이제 다양한 방식으로 스트림을 예약할 수 있으며 I-DATA 는 사용자 메시지를 인터리빙(RFC 8260)할 수 있습니다. 두 피어 모두 I-DATA 청크 유형을 지원해야 합니다.

NetworkManager 가 ethtool 오프로드 기능 구성을 지원

이 향상된 기능을 통해 NetworkManager 는 ethtool 오프로드 기능 구성을 지원하며 사용자는 더 이상 init 스크립트 또는 NetworkManager 디스패처 스크립트를 사용할 필요가 없습니다. 결과적으로 사용자는 다음 방법 중 하나를 사용하여 오프로드 기능을 연결 프로필의 일부로 구성할 수 있습니다.

RHEL 8의 TCP BBR 지원

새로운 TCP 정체 제어 알고리즘, Bottleneck Bandwidth 및 BBR(BBR)이 이제 Red Hat Enterprise Linux (RHEL) 8에서 지원됩니다. BBR은 성능 장애 링크의 대역폭과 round-trip 시간 (RTT)을 확인하려고 시도합니다. 대부분의 혼잡 알고리즘은 패킷 손실(기본 Linux TCP 혼잡 제어 알고리즘 포함)을 기반으로 하는데, 이는 높은 처리량 링크에 문제가 있습니다. BBR은 손실 이벤트에 직접 반응하지 않으며, 사용 가능한 대역폭과 일치하도록 TCP pacing 속도를 조정합니다. TCP BBR 사용자는 모든 관련 인터페이스에서 fq 큐링 설정으로 전환해야 합니다.

RHEL 8의 lksctp-tools, 버전 1.0.18

lksctp-tools 패키지인 3.28 버전은 RHEL(Red Hat Enterprise Linux) 8에서 사용할 수 있습니다. 주요 개선 사항 및 버그 수정 사항은 다음과 같습니다.

RHEL 8에서 기본적으로 SCTP 모듈 블랙리스트 지정

보안을 강화하기 위해 커널 모듈 세트가 kernel-modules-extra 패키지로 변경되었습니다. 이는 기본적으로 설치되지 않습니다. 따라서 루트가 아닌 사용자는 기본적으로 블랙리스트에 올 때 이러한 구성 요소를 로드할 수 없습니다. 이러한 커널 모듈 중 하나를 사용하려면 시스템 관리자가 kernel-modules-extra 를 설치하고 모듈 블랙리스트를 명시적으로 제거해야 합니다. 따라서 루트가 아닌 사용자는 소프트웨어 구성 요소를 자동으로 로드할 수 있습니다.

driverctl 0.101에서 주요 변경 사항

Red Hat Enterprise Linux 8.0은 driverctl 0.101과 함께 배포됩니다. 이 버전에는 다음과 같은 버그 수정이 포함되어 있습니다.

firewalld에 리치 규칙 우선순위 추가

우선 순위 옵션이 리치 규칙에 추가되었습니다. 이를 통해 사용자는 규칙 실행 중에 바람직한 우선 순위 순서를 정의할 수 있으며 리치 규칙에 대한 고급 제어를 제공합니다.

RHEL 8에서 RDMA를 통한 NVMe 지원

RHEL(Red Hat Enterprise Linux) 8에서는 RDMA(Remote Direct Memory Access)를 통한 NVMe(Nonvolatile Memory Express)는 Infiniband, RoCEv2 및 iWARP만 이니시에이터 모드에서 지원합니다.

nf_tables 백엔드는 dmesg를 사용한 디버깅을 지원하지 않습니다.

Red Hat Enterprise Linux 8.0은 dmesg 유틸리티의 출력을 사용하여 방화벽 디버깅을 지원하지 않는 방화벽에 nf_tables 백엔드를 사용합니다. 방화벽 규칙을 디버깅하려면 xtables-monitor -t 또는 nft monitor 추적 명령을 사용하여 규칙 평가 이벤트를 디코딩합니다.

Red Hat Enterprise Linux에서 VRF 지원

RHEL 8.0의 커널은 가상 라우팅 및 전달(VRF)을 지원합니다. ip 유틸리티를 사용하여 규칙 세트와 결합된 VRF 장치를 사용하면 관리자가 Linux 네트워크 스택에서 VRF 도메인을 생성할 수 있습니다. 이러한 도메인은 트래픽을 계층 3에서 분리하므로 관리자는 다른 라우팅 테이블을 생성하고 한 호스트에서 다른 VRF 도메인 내에서 동일한 IP 주소를 재사용할 수 있습니다.

iproute, RHEL 8의 4.18 버전

iproute 패키지는 RHEL(Red Hat Enterprise Linux) 8의 버전 4.18과 함께 배포됩니다. 가장 주목할 만한 변경 사항은 ethX:Y로 표시된 인터페이스 별칭(예: eth0:1)이 더 이상 지원되지 않는다는 것입니다. 이 문제를 해결하려면 ip link show 를 입력하기 전에 콜론과 다음 번호인 별칭 접미사를 제거해야 합니다.

RHEL 8.0 릴리스의 SWID 태그

ISO/IEC 19770-2:2015 메커니즘을 사용하여 RHEL 8.0 설치를 식별할 수 있도록 SWID(소프트웨어 식별) 태그가 /usr/lib/swidtag/redhat.com/com.redhat.RHEL-8-<architecture>.swidtag 및 /usr/lib/swidtag/redhat.com/com.redhat.RHEL-8.0-<architecture>.swidtag에 설치됩니다. 또한 이러한 태그의 상위 디렉터리는 /etc/swid/swidtags.d/redhat.com 심볼릭 링크를 통해 찾을 수 있습니다.

전체 시스템의 암호화 정책이 기본적으로 적용

암호화 정책은 TLS, IPsec, DNSSEC, Kerberos 및 SSH 프로토콜을 다루는 코어 암호화 하위 시스템을 구성하는 Red Hat Enterprise Linux 8의 구성 요소입니다. 이는 관리자가 update-crypto-policies 명령을 사용하여 선택할 수 있는 소규모 정책 세트를 제공합니다.

OpenSSH가 버전 7.8p1로 업데이트

openssh 패키지가 업스트림 버전 7.8p1로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.

자동 OpenSSH 서버 키 생성을 sshd-keygen@.service에서 처리

OpenSSH는 RSA, ECDSA 및 ED25519 서버 호스트 키가 누락된 경우 자동으로 생성합니다. RHEL 8에서 호스트 키 생성을 구성하려면 sshd-keygen@.service 인스턴스화 서비스를 사용하십시오.

SSH 인증에 대해 ECDSA 키 지원

이번 OpenSSH 제품군에서는 PKCS #11 스마트 카드에 저장된 ECDSA 키를 지원합니다. 따라서 사용자는 이제 SSH 인증에 RSA 및 ECDSA 키를 모두 사용할 수 있습니다.

libssh는 코어 암호화 구성 요소로서 SSH를 구현

이러한 변경으로 인해 Red Hat Enterprise Linux 8의 코어 암호화 구성 요소인 libssh 가 도입되었습니다. libssh 라이브러리는 SSH(Secure Shell) 프로토콜을 구현합니다.

암호화 라이브러리에서 TLS 1.3 지원

이번 업데이트에는 모든 주요 백엔드 암호화 라이브러리에서 기본적으로 TLS(Transport Layer Security) 1.3을 사용하도록 설정되어 있습니다. 이를 통해 운영 체제 통신 계층 전반에서 낮은 대기 시간을 단축하고 RSA-PSS 또는 X25519와 같은 새로운 알고리즘을 사용하여 애플리케이션의 개인정보 보호 및 보안을 강화합니다.

NSS는 기본적으로 SQL 사용

이제 NSS(Network Security Services) 라이브러리는 기본적으로 신뢰 데이터베이스에 SQL 파일 형식을 사용합니다. 이전 릴리스에서 기본 데이터베이스 형식으로 사용된 DBM 파일 형식은 여러 프로세스에서 동일한 데이터베이스에 대한 동시 액세스를 지원하지 않으며 업스트림에서 더 이상 사용되지 않습니다. 결과적으로 NSS 신뢰 데이터베이스를 사용하여 키, 인증서 및 취소 정보를 저장하는 애플리케이션에서는 기본적으로 SQL 형식으로 데이터베이스를 생성합니다. 레거시 DBM 형식으로 데이터베이스를 생성하려고 하면 실패합니다. 기존 DBM 데이터베이스는 읽기 전용 모드로 열리고 자동으로 SQL 형식으로 변환됩니다. NSS는 Red Hat Enterprise Linux 6 이후의 SQL 파일 형식을 지원합니다.

스마트 카드 및 HSM에 대한 PKCS #11 지원이 시스템 전반에서 일관성 유지

이번 업데이트를 통해 PKCS #11 암호화 토큰 인터페이스와 함께 스마트 카드 및 HSM(Hardware Security Module) 사용 방법이 시스템 전반에서 일관성을 유지합니다. 즉, 사용자와 관리자는 시스템의 모든 관련 툴에 대해 동일한 구문을 사용할 수 있습니다. 주요 개선 사항은 다음과 같습니다.

Firefox는 이제 시스템 전체에서 등록된 PKCS #11 드라이버와 함께 작동합니다.

Firefox 웹 브라우저는 p11-kit -proxy 모듈을 자동으로 로드하고 p11-kit에 시스템 전체에서 등록된 모든 스마트 카드는 pkcs11.conf 파일을 통해 자동으로 감지됩니다. TLS 클라이언트 인증을 사용하려면 추가 설정이 필요하지 않으며 서버가 요청할 때 스마트 카드의 키가 자동으로 사용됩니다.

RSA-PSS가 OpenSC에서 지원

이번 업데이트에서 RSA-PSS 암호화 서명 체계에 대한 지원이 OpenSC 스마트 카드 드라이버에 추가되었습니다. 이러한 새로운 체계는 클라이언트 소프트웨어에서 TLS 1.3 지원에 필요한 보안 암호화 알고리즘을 사용 가능하게 합니다.

RHEL 8 Libreswan 에서 주요 변경 사항

libreswan 패키지가 업스트림 버전 3.27로 업그레이드되어 이전 버전에 비해 많은 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.

시스템 전체 암호화 정책은 Libreswan의 기본 IKE 버전을 IKEv2로 변경합니다.

Libreswan IPsec 구현의 기본 IKE 버전이 IKEv1(RFC tunnel9)에서 IKEv2(RFC 7296)로 변경되었습니다. IPsec과 함께 사용할 기본 IKE 및 ESP/AH 알고리즘이 시스템 전체 암호화 정책, RFC 8221 및 RFC 8247을 준수하도록 업데이트되었습니다. 이제 256비트의 암호화 키 크기가 128비트의 키 크기보다 우선합니다.

Libreswan의 버전 관련 변경 사항

이번 개선된 기능을 통해 Libreswan은 인터넷 키 교환(IKE) 설정을 다르게 처리합니다.

RHEL 8 OpenSCAP의 새로운 기능

OpenSCAP 제품군이 업스트림 버전 1.3.0으로 업그레이드되어 이전 버전에 비해 다양한 개선 사항을 제공합니다. 주요 기능은 다음과 같습니다.

SCAP Security Guide 가 시스템 전체의 암호화 정책 지원

scap-security-guide 패키지는 코어 암호화 하위 시스템을 구성하기 위해 사전 정의된 시스템 전체 암호화 정책을 사용하도록 업데이트되었습니다. 시스템 전체 암호화 정책과 충돌하거나 과도하게 충돌하는 보안 콘텐츠가 제거되었습니다.

OpenSCAP 명령줄 인터페이스 개선

상세 모드를 모든 oscap 모듈과 하위 모듈에서 사용할 수 있습니다. 툴 출력의 포맷이 개선되었습니다.

SCAP Security Guide PCI-DSS 프로파일이 버전 3.2.1과 일치

scap-security-guide 패키지는 Red Hat Enterprise Linux 8의 PCI-DSS(Payment Card Industry Data Security Standard) 프로필을 제공하며 최신 PCI-DSS 버전 - 3.2.1과 일치하도록 이 프로필이 업데이트되었습니다.

SCAP Security Guide가 OSPP 4.2 지원

scap-security-guide 패키지는 Red Hat Enterprise Linux 8용 OSPP(Protection Profile for General Purpose Operating Systems) 프로파일 버전 4.2 초안을 제공합니다. 이 프로파일은 NIAP Configuration Annex에 포함되어 있는 필수 구성 제어를 범용 운영 체제(Protection Profile Version 4.2)용 보호 프로파일에 반영합니다. SCAP Security Guide는 사용자가 OSPP에 정의된 요구 사항을 충족할 수 있도록 자동 검사 및 스크립트를 제공합니다.

RHEL 8 rsyslog에서 주요 변경 사항

rsyslog 패키지가 업스트림 버전 8.37.0으로 업그레이드되었으며 이전 버전에 대해 여러 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.

새로운 rsyslog 모듈: omkafka

kafka 중앙 데이터 스토리지 시나리오를 활성화하기 위해 새로운 omkafka 모듈을 사용하여 로그를 kafka 인프라로 전송할 수 있습니다.

rsyslog imfile이 symlinks 지원

이번 업데이트에서는 더 나은 성능과 구성 옵션을 갖춘 rsyslog imfile 모듈이 제공됩니다. 이제 더 복잡한 파일 모니터링 사용 사례에 모듈을 사용할 수 있습니다. 예를 들어, 구성된 경로를 따라 어디에서나 Glob 패턴이 있는 파일 모니터를 사용할 수 있으며 데이터 처리량이 증가하는 경우 symlink 대상을 순환시킬 수 있습니다.

기본 rsyslog 설정 파일은 비-레거시 형식 사용

rsyslog 패키지에 있는 설정 파일은 기본적으로 비-레거시 형식을 사용합니다. 레거시 형식은 계속 사용할 수 있지만, 현재 및 기존 설정 문을 혼합하는 데 몇 가지 제약이 있습니다. 이전 RHEL 릴리스에서 적용된 설정을 수정해야 합니다. 자세한 내용은 rsyslog.conf(5) 매뉴얼 페이지를 참조하십시오.

Audit 3.0에서 audispd를 auditd로 교체

이번 업데이트에서 audispd 기능이 auditd로 변경되었습니다. 결과적으로 audispd 설정 옵션이 이제 auditd.conf의 일부가 되었습니다. 또한 plugins.d 디렉터리가 /etc/audit 에서 이동되었습니다. 이제 service auditd state 명령을 실행하여 auditd 및 해당 플러그인을 확인할 수 있습니다.

tangd_port_t 를 사용하면 Tang의 기본 포트를 변경할 수 있습니다.

이번 업데이트에서는 tangd_port_t SELinux 유형이 있어 tangd 서비스가 SELinux 강제 모드로 제한됨으로 실행될 수 있습니다. 이러한 변경으로 인해 사용자 정의 포트에서 수신 대기하도록 Tang 서버 구성이 간소화되고 SELinux가 강제 모드에서 제공하는 보안 수준도 유지하는 데 도움이 됩니다.

새로운 SELinux 부울값

이번 SELinux 시스템 정책 업데이트로 다음과 같은 부울 값이 도입되었습니다.

SELinux가 systemd No New Privileges 지원

이번 업데이트에서는 이전 컨텍스트와 신규 컨텍스트 간에 nnp_nosuid_transition이 허용된 경우 nnp_nosuid_transition 정책 기능을 도입하여 No New Privileges (NNP) 또는 nosuid에서 SELinux 도메인 전환을 가능하게 합니다. 이제 selinux-policy 패키지에는 NNP 보안 기능을 사용하는 systemd 서비스를 위한 정책이 포함되어 있습니다.

mmap syscall에서 새로운 맵 권한 검사 지원

SELinux map 권한이 추가되어 파일, 디렉터리, 소켓 등에 대한 메모리 매핑 액세스를 제어할 수 있습니다. 이를 통해 SELinux 정책은 다양한 파일 시스템 개체에 대한 직접 메모리 액세스를 방지하고 이러한 모든 액세스를 재검증합니다.

SELinux가 process 클래스에서 getrlimit 권한 지원

이번 업데이트에는 새로운 SELinux 액세스 제어 검사인 process:getrlimit를 도입하여 prlimit() 함수에 추가되었습니다. 이것은 SELinux 정책 개발자가 어떤 프로세스가 process:setrlimit 권한을 사용하여 다른 프로세스의 리소스 제한을 읽고 수정하려고 할 때 제어할 수 있게 합니다. SELinux는 프로세스에서 prlimit()를 통해 자체 리소스 제한을 처리하는 작업을 제한하지 않습니다. 자세한 내용은 prlimit(2) 및 getrlimit(2) 매뉴얼 페이지를 참조하십시오.

SELinux-policy 에서 VxFS 라벨 지원

이번 업데이트에서는 Veritas File System (VxFS) 보안 확장 속성(xattrs)을 지원합니다. 이를 통해 일반 vxfs_t 유형 대신 파일 시스템에 오브젝트를 사용하여 적절한 SELinux 레이블을 저장할 수 있습니다. 따라서 SELinux를 완전히 지원하는 VxFS 시스템을 더 안전하게 사용할 수 있습니다.

컴파일 타임 보안 강화 플래그가 더 일관되게 적용됨

컴파일 타임 보안 강화 플래그는 RHEL 8 배포판의 RPM 패키지에 더 일관되게 적용되며 redhat-rpm-config 패키지에서 보안 강화 플래그를 자동으로 제공합니다. 적용된 컴파일 타임 플래그도 CCC(Common Criteria) 요구 사항을 충족하는 데 도움이 됩니다. 다음과 같은 보안 강화 플래그가 적용됩니다.

RHEL 8의 qemu-kvm 2.12

Red Hat Enterprise Linux 8은 qemu-kvm 2.12와 함께 배포됩니다. 이 버전은 Red Hat Enterprise Linux 7에서 사용할 수 있는 버전 1.5.3에 비해 여러 버그가 수정되고 개선 사항이 추가되었습니다.

가상화에서 Q35 시스템 유형 지원

Red hat Enterprise Linux 8은 최신 PCI Express 기반 시스템 유형인 Q35에 대한 지원을 도입했습니다. 이를 통해 가상 장치의 기능 및 성능이 다양하게 개선되고 광범위한 최신 장치가 가상화와 호환될 수 있습니다. 또한 Red Hat Enterprise Linux 8에서 생성된 가상 머신은 기본적으로 Q35를 사용하도록 설정되어 있습니다.

Post-copy 가상 머신 마이그레이션

RHEL 8에서는 KVM 가상 머신(VM)의 사후 복사 마이그레이션을 수행할 수 있습니다. 사용하는 경우 post-copy 마이그레이션은 소스 호스트에서 VM의 vCPU를 일시 중지하고, 최소 메모리 페이지만 전송하고, 대상 호스트에서 VM의 vCPU를 활성화한 다음, VM이 대상에서 실행되는 동안 나머지 메모리 페이지를 전송합니다.

KVM 가상화에서 virtio-gpu 지원

KVM(VM)에 virtio-gpu 디스플레이 장치가 도입되었습니다. virtio-gpu 는 VM 그래픽 성능을 개선하고 가상 GPU 장치가 향후 구현될 수 있도록 다양한 개선사항을 지원합니다.

KVM이 RHEL 8에서 UMIP 지원

이제 KVM 가상화가 UMIP(User-Mode Instruction Prevention) 기능을 지원하므로 사용자 공간 애플리케이션이 시스템 차원 설정에 액세스하는 것을 방지할 수 있습니다. 이렇게 하면 권한 확대 공격의 잠재적인 요소가 줄어들기 때문에 KVM 하이퍼바이저와 게스트 시스템을 보다 안전하게 보호할 수 있습니다.

KVM 게스트 충돌 보고서의 추가 정보

게스트가 예기치 않게 종료되거나 응답하지 않는 경우 KVM 하이퍼바이저가 생성하는 충돌 정보가 상세하게 제공됩니다. 따라서 KVM 가상화 배포에서 문제를 간편하게 진단하고 수정할 수 있습니다.

NVIDIA vGPU가 VNC 콘솔과 호환

NVIDIA vGPU(virtual GPU) 기능을 사용할 때 VNC 콘솔을 사용하여 게스트의 시각적 출력을 표시할 수 있습니다.

가상화에서 Ceph 지원

이번 업데이트를 통해 KVM 가상화가 Red Hat에서 지원하는 모든 CPU 아키텍처에서 Ceph 스토리지를 지원합니다.

IBM Z의 KVM 가상 머신용 대화형 부트 로더

IBM Z 호스트에서 KVM 가상 머신을 부팅할 때 QEMU 부팅 로더 펌웨어가 게스트 OS의 대화형 콘솔 인터페이스를 제공할 수 있습니다. 이렇게 하면 호스트 환경에 액세스하지 않고도 게스트 OS 부팅 문제를 해결할 수 있습니다.

가상 머신에서 IBM z14 ZR1 지원

이제 KVM 하이퍼바이저가 IBM z14 ZR1 서버의 CPU 모델을 지원합니다. 이를 통해 IBM Z 시스템에서 실행되는 KVM 가상 머신에서 이 CPU의 기능을 사용할 수 있습니다.

KVM이 IBM Z에서 Telnet 3270 지원

RHEL 8을 IBM Z 시스템에서 호스트로 사용하는 경우 Telnet 3270 클라이언트를 사용하여 호스트의 가상 머신에 연결할 수 있습니다.

QEMU 샌드박스 추가

Red Hat Enterprise Linux 8에서 QEMU 에뮬레이터(Emulator)는 샌드박스 기능을 도입하고 있습니다. QEMU 샌드박스 기능은 QEMU를 호출하는 시스템에 설정 가능한 제한을 제공하므로 가상 머신의 보안을 더욱 강화합니다. 이 기능은 기본적으로 활성화되어 있습니다.

PV TLB 플러시 Hyper-V 시행

RHEL 8에서는 PV TLB flush Hyper-V Enlightenment 기능이 추가되었습니다. 이를 통해 KVM 하이퍼바이저에서 오버 커밋된 환경에서 실행되는 Windows VM(가상 머신)의 성능이 향상됩니다.

IBM POWER의 KVM 가상 머신 새 머신 유형

IBM POWER 8 및 IBM POWER 9 시스템에서 실행되는 KVM 하이퍼바이저에 대해 새로운 rhel-p 시리즈 머신 유형이 여러 개 활성화되어 있습니다. 이를 통해 IBM POWER 시스템의 RHEL 8에서 호스팅되는 가상 머신(VM)이 이러한 머신 유형의 CPU 기능을 올바르게 사용할 수 있습니다. 또한 IBM POWER의 VM을 KVM 하이퍼바이저의 최신 버전으로 마이그레이션할 수 있습니다.

Intel Xeon SnowRidge에서 GFNI 및 CLDEMOT 명령 집합 활성화

Intel Xeon SnowRidge 시스템의 RHEL 8 호스트에서 실행 중인 가상 머신(VM)은 이제 GFNI 및 CLDEMOT 명령 집합을 사용할 수 있습니다. 이제 특정 시나리오에서 VM 등의 성능을 크게 향상시킬 수 있습니다.

OVMF에 대해 IPv6 활성화

이제 IPv6 프로토콜이 OVMF(Open Virtual Machine Firmware)에서 활성화됩니다. 이를 통해 OVMF를 사용하는 가상 머신은 IPv6에서 제공하는 다양한 네트워크 부팅 개선 사항을 활용할 수 있습니다.

NVMe 장치용 VFIO 기반 블록 드라이버 추가

QEMU 에뮬레이터에서는 NVMe(Non-volatile Memory Express) 장치의 VFIO(가상 기능 I/O) 기반의 드라이버를 도입합니다. 이 드라이버는 가상 머신에 연결된 NVMe 장치와 직접 통신하고 커널 시스템 계층과 해당 NVMe 드라이버를 사용하지 않습니다. 결과적으로 가상 머신에서 NVMe 장치의 성능이 향상됩니다.

Hyper-V 일반 UIO 드라이버에 대한 다중 채널 지원

RHEL 8에서는 이제 Hyper-V 일반 사용자 공간 I/O(UIO) 드라이버의 다중 채널 기능을 지원합니다. 따라서 Hyper-V 하이퍼바이저에서 실행되는 RHEL 8 VM이 DPDK(Data Plane Development Kit) Netvsc Poll Mode 드라이버(PMD)를 사용하여 이러한 VM의 네트워킹 기능을 개선할 수 있습니다.

대규모 페이지 지원 개선

RHEL 8을 가상화 호스트로 사용하는 경우 사용자는 가상 머신(VM) 메모리를 지원하는 페이지 크기를 CPU에서 지원하는 크기로 수정할 수 있습니다. 이렇게 하면 VM의 성능을 크게 향상시킬 수 있습니다.

POWER 9 호스트의 VM은 THP를 사용할 수 있습니다.

IBM POWER 9 아키텍처에서 실행되는 RHEL 8 호스트에서 VM(가상 머신)은 THP(투명한 대규모 페이지) 기능을 활용할 수 있습니다. THP를 사용하면 호스트 커널이 프로세스에 대규모 메모리 페이지를 동적으로 할당할 수 있으므로 메모리 양이 많은 VM의 성능이 향상됩니다.

sosreport가 eBPF 기반 프로그램 및 맵 보고

Red Hat Enterprise Linux 8에서 로드된 eBPF(extended Berkeley Packet Filtering) 프로그램과 맵을 보고하도록 sosreport 툴이 향상되었습니다.

PackageKit 에서 rpm 패키지에서 작동할 수 있음

이번 업데이트를 통해 rpm 패키지에서 작동하는 지원이 PackageKit 에 추가되었습니다.

QEMU에서 8바이트 ggtt 항목을 올바르게 처리하지 않음

QEMU는 때때로 8바이트 ggtt 항목을 연속된 4바이트 쓰기에 씁니다. 이러한 각 부분 쓰기는 별도의 호스트 ggtt 쓰기를 트리거할 수 있습니다. 두 개의 ggtt 쓰기가 잘못 결합되는 경우가 있습니다. 결과적으로 머신 주소로 변환이 실패하고 오류 로그가 발생했습니다.

Enterprise Security Client는 토큰 탐지를 위해 opensc 라이브러리를 사용합니다.

Red Hat Enterprise Linux 8.0은 스마트 카드용 opensc 라이브러리만 지원합니다. 이번 업데이트를 통해 ESC(Enterprise Security Client)는 제거된 cold key 라이브러리 대신 opensc 를 토큰 탐지에 사용합니다. 결과적으로 애플리케이션에서 지원되는 토큰을 올바르게 탐지합니다.

인증서 시스템에서 순환 디버그 로그 지원

이전에는 인증서 시스템이 로그 회전을 지원하지 않는 사용자 지정 로깅 프레임워크를 사용했습니다. 그 결과 /var/log/pki/instance_name/ca/debug grew와 같은 디버그 로그가 무기한으로 제한됩니다. 이번 업데이트를 통해 인증서 시스템은 로그 회전을 지원하는 java.logging.util 프레임워크를 사용합니다. 결과적으로 /var/lib/pki/instance_name/conf/logging.properties 파일에서 로그 회전을 구성할 수 있습니다.

인증서 시스템은 서비스가 시작될 때 SetAllPropertiesRule 작업 경고를 더 이상 기록하지 않습니다.

이전에는 서비스가 시작될 때 /var/log/ ipv 로그 파일의 SetAllPropertiesRule 작업에 대한 인증서 시스템이 기록되어 있었습니다. 문제가 해결되었으며 언급된 경고는 더 이상 기록되지 않습니다.

Certificate System KRA 클라이언트는 키 요청 응답을 올바르게 구문 분석합니다.

이전에는 인증서 시스템이 새 JSON 라이브러리로 전환했습니다. 그 결과 특정 개체의 직렬화가 다르고 Python 키 복구 기관(KRA) 클라이언트가 키 요청 응답을 구문 분석하지 못했습니다. 클라이언트는 이전 JSON 라이브러리와 새 JSON 라이브러리를 모두 사용하여 응답을 지원하도록 수정되었습니다. 결과적으로 Python KRA 클라이언트는 키 요청 응답을 올바르게 구문 분석합니다.

GCC는 아웃 바운드 액세스에 대해 더 이상 false positive 경고를 생성하지 않습니다.

이전 버전에서는 -O3 최적화 수준 옵션으로 컴파일할 때 GNU 컴파일러 컬렉션 (GCC)은 컴파일된 코드에 포함되지 않은 경우에도 아웃 바운드 액세스에 대한 false positive 경고를 반환했습니다. 최적화가 수정되어 GCC는 더 이상 false positive 경고를 표시하지 않습니다.

ltrace 가 대규모 구조를 올바르게 표시합니다.

이전에는 ltrace 툴에서 함수에서 반환된 대규모 구조를 올바르게 출력할 수 없었습니다. ltrace 의 대규모 구조 처리가 개선되어 이제 올바르게 출력됩니다.

GCC 내장 함수 __builtin_clz 는 IBM Z에서 올바른 값을 반환합니다.

이전에는 IBM Z 아키텍처의 FLOGR 명령이 GCC 컴파일러에 의해 잘못 접어졌습니다. 결과적으로 이 명령을 사용하는 __builtin_clz 함수는 -funroll-loops GCC 옵션으로 코드를 컴파일할 때 잘못된 결과를 반환할 수 있습니다. 이 버그가 수정되어 이제 기능이 올바른 결과를 제공합니다.

GDB는 배치 모드에서 마지막 명령이 실패하면 종료 상태가 0이 아닌 상태 제공

이전 버전에서는 GDB는 명령의 오류에 관계없이 항상 일괄 모드에서 실행할 때 status 0 으로 종료됩니다. 그 결과 명령이 성공했는지 여부를 확인할 수 없었습니다. 이 동작이 변경되었으며 GDB는 이제 마지막 명령에서 오류가 발생하면 status 1 로 종료됩니다. 이렇게 하면 모든 명령이 실행되는 이전 동작과 호환성이 유지됩니다. 그 결과 GDB 일괄 처리 모드 실행이 성공했는지 확인할 수 있습니다.

출력 수준이 높을수록 더 이상 iscsiadm 이 예기치 않게 종료되지 않습니다.

이전 버전에서는 사용자가 --print 또는 -P 옵션으로 0보다 높은 출력 수준을 지정하면 iscsiadm 유틸리티가 예기치 않게 종료되었습니다. 이 문제가 해결되어 이제 모든 인쇄 수준이 예상대로 작동합니다.

경로의 WWID를 가져오지 못하면 multipathd 가 더 이상 경로를 비활성화하지 않습니다.

이전에는 multipathd 서비스에서 경로가 비어 있는 WWID를 가져오는 것처럼 실패한 시도를 처리했습니다. multipathd 가 경로의 WWID를 가져오지 못하는 경우 해당 경로가 비활성화된 경우가 있습니다.

클라이언트 시작 SSL/TLS 재협상을 거부하는 새로운 /etc/sysconfig/pcsd 옵션

서버에서 TLS 재협상이 활성화되면 클라이언트에서 재협상 요청을 보내 새 핸드셰이크를 시작할 수 있습니다. 핸드셰이크의 컴퓨터 요구 사항은 클라이언트보다 서버에서 높습니다. 이렇게 하면 서버가 DoS 공격에 취약합니다. 이번 수정으로 /etc/sysconfig/pcsd 설정 파일의 PCSD_SSL_OPTIONS 설정은 재협상을 거부하도록 OP_NO_RENEGOTIATION 옵션을 허용합니다. 클라이언트는 모든 환경에서 수행되는 핸드셰이크를 사용하여 서버에 대한 여러 연결을 계속 열 수 있습니다.

삭제된 클러스터 노드가 더 이상 클러스터 상태에 표시되지 않습니다.

이전 버전에서는 pcs cluster node remove 명령을 사용하여 노드를 제거할 때 제거된 노드는 pcs status 디스플레이 출력에 표시되었습니다. 이번 수정으로 삭제된 노드가 더 이상 클러스터 상태에 표시되지 않습니다.

이제 최신, 기본 매개변수 이름 또는 더 이상 사용되지 않는 매개 변수 이름을 사용하여 펜싱 에이전트를 구성할 수 있습니다.

이전 매개변수 이름은 더 이상 사용되지 않는 동안 많은 수의 펜싱 에이전트 매개변수의 이름이 변경되었습니다. 이전에는 --force 옵션과 함께 사용하지 않는 한 pcs 가 새 매개변수를 설정할 수 없었습니다. 이번 수정으로 pcs 는 이제 더 이상 사용되지 않는 매개변수에 대한 지원을 유지하면서 이름이 변경된 펜싱 에이전트 매개 변수를 지원합니다.

pcs 명령으로 표시할 클러스터의 XML 상태를 올바르게 읽습니다.

pcs 명령은 crm_mon 유틸리티를 실행하여 클러스터의 상태를 XML 형식으로 가져옵니다. crm_mon 유틸리티는 표준 출력 및 경고에 XML을 표준 오류 출력에 출력합니다. 이전에는 pcs mixed XML과 warnings를 하나의 스트림에 포함시키고 XML로 구문 분석할 수 없었습니다. 이번 수정을 통해 표준 및 오류 출력이 pcs 로 분리되어 클러스터의 XML 상태를 읽을 수 있습니다.

기존 클러스터에서 노드를 사용하여 새 클러스터를 생성할 때 사용자가 더 이상 클러스터를 제거하는 것을 권장하지 않습니다.

이전 버전에서는 pcs cluster setup 명령을 실행하거나 pcsd Web UI를 사용하여 클러스터를 생성할 때 사용자가 기존 클러스터에서 노드를 지정한 경우 pcsd Web UI를 사용하여 오류를 보고하여 사용자가 노드에서 클러스터를 삭제하도록 제안했습니다. 결과적으로 사용자는 노드에서 클러스터를 삭제하고, 클러스터를 손상시키고 나머지 노드에서는 삭제된 노드가 클러스터의 일부로 간주되므로 노드가 손상되었습니다. 이번 수정으로 사용자는 대신 클러스터에서 노드를 제거하여 클러스터를 손상시키지 않고 문제를 해결하는 방법을 더 잘 알려주는 것이 좋습니다.

pcs 명령에서 더 이상 대화식으로 인증 정보를 요청하지 않습니다.

루트가 아닌 사용자가 root 권한이 필요한 pcs 명령을 실행하는 경우 pcs 는 로컬로 실행되는 pcsd 데몬에 연결하고 명령을 전달합니다. pcsd 데몬은 root 권한으로 실행되고 명령을 실행할 수 있기 때문입니다. 이전에는 사용자가 로컬 pcsd 데몬에 인증되지 않은 경우 pcs 는 사용자 이름과 암호를 대화식으로 요청했습니다. 이는 사용자에게 혼란스럽고 pcs 를 실행하는 스크립트에서 특수 처리가 필요했습니다. 이번 수정을 통해 사용자가 인증되지 않은 경우 pcs 는 수행할 작업을 설명하는 오류로 종료됩니다. 즉, pcs 를 root로 실행하거나 새로운 pcs client local-auth 명령을 사용하여 인증합니다. 결과적으로 pcs 명령은 대화식으로 인증 정보를 요청하지 않고 사용자 환경을 개선합니다.

이제 crypto-policies 가 FUTURE 로 설정된 경우 pcsd 데몬이 기본 자체 생성된 SSL 인증서로 시작됩니다.

FUTURE 의 crypto-policies 설정은 SSL 인증서의 RSA 키가 3072b 이상이어야 합니다. 이전 버전에서는 2048b 키가 있는 SSL 인증서를 생성하기 때문에 이 정책이 설정된 경우 pcsd 데몬이 시작되지 않았습니다. 이번 업데이트를 통해 pcsd 자체 생성 SSL 인증서의 키 크기가 3072b로 증가했으며, pcsd 가 기본 자체 생성된 SSL 인증서로 시작됩니다.

네트워크가 준비되면 pcsd 서비스가 시작됩니다.

이전 버전에서는 사용자가 특정 IP 주소에 바인딩하도록 pcsd 를 구성했는데 pcsd 를 시작하려고 할 때 부팅 중에 주소가 준비되지 않은 경우 pcsd 를 시작할 수 없어 pcsd 를 시작하는 데 수동 개입이 필요했습니다. 이번 수정으로 pcsd.service 는 network-online.target 에 따라 다릅니다. 결과적으로 pcsd 는 네트워크가 준비될 때 시작되고 IP 주소에 바인딩할 수 있습니다.

약한 TLS 알고리즘은 더 이상 glib-networking에서 허용되지 않습니다.

이전 버전에서는 glib-networking 패키지가 RHEL 8 시스템 전체 Crypto 정책과 호환되지 않았습니다. 그 결과, glib 라이브러리를 네트워킹에 사용하는 애플리케이션에서는 관리자가 의도한 것보다 약한 알고리즘을 사용하여 TLS(Transport Layer Security) 연결을 허용할 수 있습니다. 이번 업데이트를 통해 시스템 전체 암호화 정책이 적용되고 이제 glib 를 네트워킹에 사용하는 애플리케이션은 정책에 따라 허용되는 TLS 연결만 허용합니다.

SELinux 정책에서 iscsiuio 프로세스가 검색 포털에 연결 가능

이전에는 iscsiuio 프로세스에 대해 SELinux 정책이 너무 제한적이며 이러한 프로세스는 mmap 시스템 호출을 사용하여 /dev/uio* 장치에 액세스할 수 없었습니다. 그 결과 검색 포털에 대한 연결이 실패했습니다. 이번 업데이트에서는 SELinux 정책 및 iscsiuio 프로세스에 누락된 규칙이 설명된 시나리오에서 예상대로 작동합니다.

이제 DNF 및 yum 이 subscription-manager 값에 관계없이 저장소에 액세스할 수 있습니다.

이전에는 dnf 또는 yum 명령에서 subscription-manager 서비스에서 추가한 URL의 https:// 접두사를 무시했습니다. 업데이트된 dnf 또는 yum 명령은 유효하지 않은 https:// URL을 무시하지 않습니다. 그 결과 dnf 및 yum 이 리포지토리에 액세스하지 못했습니다. 문제를 해결하기 위해 새 구성 변수 proxy_scheme 가 /etc/rhsm/rhsm.conf 파일에 추가되어 값을 http 또는 https 로 설정할 수 있습니다. 값을 지정하지 않으면 subscription-manager 가 기본적으로 http 를 더 일반적으로 사용합니다.

Azure에서 임시 디스크 마운트가 보다 안정적으로 작동합니다.

이전 버전에서는 VM이 "Stopped(deallocated)"된 다음 VM이 시작된 경우 Microsoft Azure 플랫폼에서 실행 중인 VM(가상 머신)에 임시 디스크를 마운트하지 못했습니다. 이번 업데이트를 통해 설명된 상황에서 디스크를 다시 연결하여 문제가 발생하지 않도록 합니다.

eBPF를 기술 프리뷰로 이용 가능

eBPF(extended Berkeley Packet Filtering) 기능은 네트워킹 및 추적을 위해 기술 프리뷰로 사용할 수 있습니다. eBPF는 사용자 지정 프로그램을 다양한 지점(소켓, 추적 지점, 패킷 수신)에 연결한 다음 데이터를 수신 및 처리할 수 있도록 사용자 공간을 활성화합니다. 이 기능에는 다양한 유형의 맵을 생성하고 다양한 유형의 프로그램을 커널에 삽입할 수 있는 새로운 시스템 호출 bpf()가 포함되어 있습니다. 이 기능에는 다양한 유형의 맵 생성을 지원하는 새로운 시스템 호출 bpf() 가 포함되어 있으며 커널에 다양한 유형의 프로그램을 삽입할 수도 있습니다. bpf() syscall은 root 사용자와 같은 CAP_SYS_ADMIN 기능이 있는 사용자만 성공적으로 사용할 수 있습니다. 자세한 내용은 bpf(2) 매뉴얼 페이지를 참조하십시오.

BCC를 기술 프리뷰로 이용 가능

BCC(BPF Compiler Collection)은 Red Hat Enterprise Linux 8에서 기술 프리뷰로 사용 가능한 효율적인 커널 추적 및 조작 프로그램을 생성하기 위한 사용자 공간 툴킷입니다. BCC는 eBPF(extended Berkeley Packet Filtering)를 사용하여 Linux 운영 체제의 I/O 분석, 네트워킹 및 모니터링을 위한 툴을 제공합니다.

Control Group v2를 RHEL 8에서 기술 프리뷰로 이용 가능

Control Group v2 메커니즘은 통합된 계층 컨트롤 그룹입니다. Control Group v2는 프로세스를 계층적으로 구성하고 제어 및 설정 가능한 방식으로 계층에 따라 시스템 리소스를 배포합니다.

early kdump는 Red Hat Enterprise Linux 8에서 기술 프리뷰로 이용 가능

early kdump 기능을 사용하면 크래시 커널 및 initramfs가 조기 충돌하더라도 vmcore 정보를 캡처할 수 있을 만큼 충분히 일찍 로드할 수 있습니다. early kdump 에 대한 자세한 내용은 /usr/share/doc/kexec-tools/early-kdump-howto.txt 파일을 참조하십시오.

기술 프리뷰로 제공되는 IBMvnic 장치 드라이버

Red Hat Enterprise Linux 8.0을 사용하면 IBM POWER 아키텍처용 IBM Virtual Network Interface Controller(vNIC) 드라이버는 기술 프리뷰로 사용할 수 있습니다. vNIC는 엔터프라이즈 기능을 제공하고 네트워크 관리를 단순화하는 PowerVM 가상 네트워킹 기술입니다. SR-IOV NIC와 결합할 때 가상 NIC 수준에서 대역폭 제어 품질(QoS) 기능을 제공하는 고성능의 효율적인 기술로, vNIC는 가상화 오버헤드를 크게 줄여 네트워크 가상화에 필요한 CPU 및 메모리를 포함한 대기 시간을 줄이고 서버 리소스를 줄일 수 있습니다.

soft-RoCE를 기술 프리뷰로 이용 가능

RoCE(Remote Direct Memory Access) over Converged Ethernet (RoCE)는 이더넷을 통해 RDMA를 구현하는 네트워크 프로토콜입니다. soft-RoCE는 RoCE v1 및 RoCE v2의 두 가지 프로토콜 버전을 지원하는 RoCE의 소프트웨어 구현입니다. soft-RoCE 드라이버인 rdma_rxe 는 RHEL 8에서 지원되지 않는 기술 프리뷰로 사용할 수 있습니다.

64비트 ARM 아키텍처의 기술 프리뷰로 VNC 원격 콘솔 사용 가능

64비트 ARM 아키텍처에서는 VNC(Virtual Network Computing) 원격 콘솔을 기술 프리뷰로 사용할 수 있습니다. 나머지 그래픽 스택은 현재 64비트 ARM 아키텍처용으로 검증되지 않았습니다.

클러스터 인식 MD RAID1은 기술 프리뷰로 사용할 수 있습니다.

RAID1 클러스터는 커널 필드에서 기본적으로 활성화되어 있지 않습니다. RAID1 클러스터를 사용해 보려는 경우 먼저 RAID1 클러스터를 모듈로 커널을 빌드해야 합니다.

DNSSEC를 IdM에서 기술 프리뷰로 이용 가능

통합된 DNS가 있는 IdM(Identity Management) 서버는 이제 DNS 프로토콜의 보안을 향상시키는 DNS에 대한 확장 기능 세트인 DNSSEC(DNS Security Extensions)를 지원합니다. IdM 서버에서 호스팅되는 DNS 영역은 DNSSEC를 사용하여 자동으로 서명할 수 있습니다. 암호화 키는 자동으로 생성되고 순환됩니다.

Identity Management JSON-RPC API를 기술 프리뷰로 사용 가능

IdM(Identity Management)에서 API를 사용할 수 있습니다. API를 보기 위해 IdM은 API 브라우저를 기술 프리뷰로 제공합니다.

Aero 어댑터를 기술 프리뷰로 사용 가능

다음 Aero 어댑터는 기술 프리뷰로 사용할 수 있습니다.

Stratis 사용 가능

Stratis는 새로운 로컬 스토리지 관리자입니다. 이는 스토리지 풀 위에 관리형 파일 시스템을 사용자에게 추가 기능을 제공합니다.

OverlayFS

OverlayFS는 공용 파일 시스템의 유형입니다. 이를 통해 한 파일 시스템을 다른 파일 시스템에 오버레이할 수 있습니다. 변경 사항은 대문자 파일 시스템에 기록되지만 하위 파일 시스템은 수정되지 않은 상태로 유지됩니다. 이를 통해 여러 사용자가 컨테이너 또는 DVD-ROM과 같은 파일 시스템 이미지를 공유할 수 있습니다. 여기서 기본 이미지는 읽기 전용 미디어에 있습니다. 자세한 내용은 Linux 커널 설명서를 참조하십시오. https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt.

이제 파일 시스템 DAX를 기술 프리뷰로 ext4 및 XFS에 사용할 수 있습니다.

Red Hat Enterprise Linux 8.0에서 파일 시스템 DAX는 기술 프리뷰로 제공됩니다. DAX는 애플리케이션이 영구 메모리를 주소 공간에 직접 매핑하는 수단을 제공합니다. DAX를 사용하려면 일반적으로 하나 이상의 비접근 다각형 메모리 모듈(NVDIMM) 및 DAX를 지원하는 파일 시스템을 NVDIMM(NVDIMM)에서 시스템에서 사용할 수 있는 일종의 영구 메모리가 있어야 합니다. 또한 dax 마운트 옵션을 사용하여 파일 시스템을 마운트해야 합니다. 그런 다음 dax-mounted 파일 시스템에 있는 파일의 mmap 을 사용하면 애플리케이션의 주소 공간에 스토리지를 직접 매핑합니다.

Pacemaker podman 번들을 기술 프리뷰로 이용 가능

이제 Pacemaker 컨테이너 번들은 기술 프리뷰로 사용할 수 있는 컨테이너 번들 기능과 함께 podman 컨테이너 플랫폼에서 실행됩니다. 이 기능은 기술 프리뷰로 사용할 수 있지만 한 가지 예외가 있습니다.Red Hat은 Red Hat Openstack에 대한 Pacemaker 번들의 사용을 완전하게 지원합니다.

XDP를 기술 프리뷰로 이용 가능

기술 프리뷰로 사용할 수 있는 eXpress Data Path(XDP) 기능은 커널 수신 데이터 경로의 초기 시점에서 고성능 패킷 처리를 위해 eBPF(extended Berkeley Packet Filter) 프로그램을 첨부할 수 있는 수단을 제공하여, 효율적으로 프로그래밍 가능한 패킷 분석, 필터링 및 조작을 가능하게 합니다.

Tc용 eBPF를 기술 프리뷰로 이용 가능

기술 프리뷰로, Tc(트래픽 제어) 커널 하위 시스템과 tc 툴은 eBPF(extended Berkeley Packet Filtering) 프로그램을 패킷 classified으로 연결하고 수신 및 송신 대기열 작업 모두에 대한 작업을 연결할 수 있습니다. 이를 통해 커널 네트워크 데이터 경로 내에서 프로그래밍 가능한 패킷 처리를 가능하게 합니다.

AF_XDP 를 기술 프리뷰로 이용 가능

주소 제품군 eXpress Data Path (AF_XDP) 소켓은 고성능 패킷 처리를 위해 설계되었습니다. XDP 를 사용하고 추가 처리를 위해 프로그래밍 방식으로 선택된 패킷을 사용자 공간 애플리케이션으로 효율적으로 리디렉션합니다.

KTLS를 기술 프리뷰로 이용 가능

Red Hat Enterprise Linux 8에서 KSM(Kernel Transport Layer Security)은 기술 프리뷰로 제공됩니다. KTLS는 AES-GCM 암호화에 대해 커널의 대칭 암호화 또는 암호 해독 알고리즘을 사용하여 TLS 레코드를 처리합니다. KTLS는 이 기능을 지원하는 NIC(Network Interface Controller)로 TLS 레코드 암호화를 오프로드하는 인터페이스도 제공합니다.

idrac PC를 기술 프리뷰로 이용 가능

EgressPC(Transparent Inter Process Communication)는 느슨하게 연결된 노드의 클러스터 내에서 효율적인 통신을 위해 특별히 설계된 프로토콜입니다. 커널 모듈로 작동하며 iproute2 패키지의 tips c 툴을 제공하여 설계자가 클러스터 내의 위치에 관계없이 다른 애플리케이션과 빠르고 안정적으로 통신할 수 있는 애플리케이션을 만들 수 있습니다. 이 기능은 기술 프리뷰로 제공됩니다.

systemd-resolved 서비스가 기술 프리뷰로 사용 가능

systemd-resolved 서비스는 로컬 애플리케이션에 이름 확인을 제공합니다. 이 서비스는 캐싱 및 DNS 스텁 확인자, LLMNR(Link-Local Multicast Name Resolution), Multicast DNS resolver 및 responder를 구현합니다.

RHEL System Roles의 postfix 역할을 기술 프리뷰로 사용 가능

Red Hat Enterprise Linux System Roles는 Red Hat Enterprise Linux 하위 시스템에 대한 구성 인터페이스를 제공하므로 Ansible 역할이 포함되어 시스템을 보다 쉽게 구성할 수 있습니다. 이 인터페이스를 통해 여러 버전의 Red Hat Enterprise Linux에서 시스템 구성을 관리하고 새로운 주요 릴리스를 채택할 수 있습니다.

KVM 가상 머신용 AMD SEV

RHEL 8은 KVM 하이퍼바이저를 사용하는 AMD EPYC 호스트 시스템을 위한 SEV(Secure Encrypted Virtualization) 기능을 기술 프리뷰로 도입하고 있습니다. 가상 머신(VM)에서 활성화된 경우 SEV는 VM 메모리를 암호화하여 호스트가 VM의 데이터에 액세스할 수 없도록 합니다. 이제 호스트가 악성 코드에에 의해 감염된 경우 VM의 보안이 향상됩니다.

Intel vGPU

기술 프리뷰로 물리적 Intel GPU 장치를 중재 장치라고 하는 여러 가상 장치로 나눌 수 있습니다. 그런 다음 이러한 미디어 장치를 가상 GPU로 여러 가상 머신(VM)에 할당할 수 있습니다. 결과적으로 이러한 VM은 단일 물리적 Intel GPU의 성능을 공유합니다.

IBM POWER 9에서 중첩된 가상화 사용 가능

이제 IBM POWER 9 시스템에서 실행 중인 RHEL 8 호스트 시스템에서 기술 프리뷰로 중첩된 가상화 기능을 사용할 수 있습니다. 중첩된 가상화를 통해 KVM 가상 머신(VM)이 하이퍼바이저로 작동하여 VM 내에서 VM을 실행할 수 있습니다.

RHEL 8 Hyper-V 가상 머신에서 KVM 가상화 사용 가능

기술 프리뷰로 중첩된 KVM 가상화는 이제 Microsoft Hyper-V 하이퍼바이저에서 사용할 수 있습니다. 따라서 Hyper-V 호스트에서 실행되는 RHEL 8 게스트 시스템에서 가상 머신을 만들 수 있습니다.

podman-machine 명령은 지원되지 않음

가상 머신을 관리하는 podman-machine 명령은 기술 프리뷰로만 사용할 수 있습니다. 대신 명령줄에서 직접 Podman을 실행합니다.

ignoredisk Kickstart 명령의 --interactive 옵션이 더 이상 사용되지 않음

Red Hat Enterprise Linux의 향후 릴리스에서 --interactive option을 사용하면 치명적인 설치 오류가 발생합니다. 옵션을 제거하려면 Kickstart 파일을 수정하는 것이 좋습니다.

몇 가지 Kickstart 명령 및 옵션이 더 이상 사용되지 않음

RHEL 8 Kickstart 파일에서 다음 명령과 옵션을 사용하면 로그에 경고가 출력됩니다.

UDP를 통한 NFSv3이 비활성화

NFS 서버는 기본적으로 더 이상 UDP(User Datagram Protocol) 소켓을 열거나 수신하지 않습니다. 버전 4는 TCP(Transmission Control Protocol)가 필요하기 때문에 이 변경은 NFS 버전 3에만 영향을 미칩니다.

멀티플레이어 커널 명령행 매개변수가 더 이상 사용되지 않음

이전 RHEL 릴리스에서 모든 장치에 대한 디스크 스케줄러를 설정하는 데 멀티플레이어 커널 명령줄 매개 변수가 사용되었습니다. RHEL 8에서는 매개변수가 더 이상 사용되지 않습니다.

VDO 패키지의 VDO Ansible 모듈

VDO Ansible 모듈은 현재 controlPlane RPM 패키지에서 제공합니다. 향후 릴리스에서는 VDO Ansible 모듈이 Ansible RPM 패키지로 이동합니다.

RHEL 8에서 네트워크 스크립트가 더 이상 사용되지 않음

네트워크 스크립트가 Red Hat Enterprise Linux 8에서 더 이상 사용되지 않으므로 이제 기본적으로 제공되지 않습니다. 기본 설치는 nmcli 툴을 통해 NetworkManager 서비스를 호출하는 ifup 및 ifdown 스크립트의 새 버전을 제공합니다. Red Hat Enterprise Linux 8에서 ifup 및 ifdown 스크립트를 실행하려면 NetworkManager를 실행해야 합니다.

rdma_rxe soft-RoCE 드라이버가 더 이상 사용되지 않음

RXE(Remote Direct Memory Access over Converged Ethernet)는 RXE(Remote Direct Memory Access)를 에뮬레이션하는 기능입니다. RHEL 8에서는 soft-RoCE 기능을 지원되지 않는 기술 프리뷰로 사용할 수 있습니다. 그러나 안정성 문제로 인해 이 기능은 더 이상 사용되지 않으며 RHEL 9에서 제거됩니다.

RHEL 8에서는 DSA가 더 이상 사용되지 않음

Red Hat Enterprise Linux 8에서는 DSA(Digital Signature Algorithm)가 더 이상 사용되지 않습니다. DSA 키에 의존하는 인증 메커니즘은 기본 구성에서 작동하지 않습니다. OpenSSH 클라이언트는 LEGACY 시스템 전체 암호화 정책 수준에서도 DSA 호스트 키를 허용하지 않습니다.

NSS에서 SSL2 Client Hello 가 더 이상 사용되지 않음

TLS(Transport Layer Security) 프로토콜 버전 1.2 이하에서는SSL(Secure Sockets Layer) 프로토콜 버전 2와 역호환되는 방식으로 포맷된 Client Hello 메시지와 협상을 시작할 수 있습니다. NSS(Network Security Services) 라이브러리에서 이 기능에 대한 지원은 더 이상 사용되지 않으며 기본적으로 비활성화되어 있습니다.

TLS 1.0 및 TLS 1.1이 더 이상 사용되지 않음

TLS 1.0 및 TLS 1.1 프로토콜은 DEFAULT 시스템 전체의 암호화 정책 수준에서 비활성화됩니다. 예를 들어 Firefox 웹 브라우저의 비디오 회의 애플리케이션에 대한 시나리오가 필요한 경우 더 이상 사용되지 않는 프로토콜을 사용해야 하는 경우 시스템 전체 암호화 정책을 LEGACY 수준으로 전환합니다.

RHEL 8에서 가상 머신 스냅샷이 올바르게 지원되지 않음

가상 머신(VM) 스냅샷을 생성하는 현재 메커니즘이 안정적으로 작동하지 않기 때문에 더 이상 사용되지 않습니다. 따라서 RHEL 8에서 VM 스냅샷을 사용하지 않는 것이 좋습니다.

Cirrus VGA 가상 GPU 유형이 더 이상 사용되지 않음

향후 Red Hat Enterprise Linux에 대한 주요 업데이트가 있을 경우 KVM 가상 머신에서 Cirrus VGA GPU 장치가 더 이상 지원되지 않습니다. 따라서 Red Hat은 Cirrus VGA 대신 stdvga, virtio-vga 또는 qxl 장치 사용을 권장합니다.

virt-manager가 더 이상 사용되지 않음

virt-manager라고도 하는 Virtual Machine Manager 애플리케이션은 더 이상 사용되지 않습니다. Cockpit라고도 하는 RHEL 8 웹 콘솔은 후속 릴리스에서 교체될 예정입니다. 따라서 GUI에서 가상화를 관리하기 위해 웹 콘솔을 사용하는 것이 좋습니다. 그러나 Red Hat Enterprise Linux 8.0의 일부 기능은 virt-manager 또는 명령줄에서만 액세스할 수 있습니다.

session_ historying shell을 사용하여 RHEL 웹 콘솔에 로그인할 수 없습니다.

현재 tlog 기록 지원 사용자에 대해 RHEL 웹 콘솔 로그인이 실패합니다. RHEL 웹 콘솔에는 로그인 성공할 수 있도록 /etc/shells 디렉토리에 사용자 쉘이 있어야 합니다. 그러나 tlog-rec-session 이 /etc/shells 에 추가되면 기록된 사용자는 쉘을 tlog-rec-session 에서 /etc/shells 에서 다른 쉘로 변경하여 레코딩을 비활성화할 수 있습니다. Red Hat은 이러한 이유로 tlog-rec-session 을 /etc/shell 에 추가하지 않는 것이 좋습니다.

auth 및 authconfig Kickstart 명령에는 AppStream 리포지토리가 필요

authselect-compat 패키지는 설치하는 동안 auth 및 authconfig Kickstart 명령이 필요합니다. 이 패키지가 없으면 auth 또는 authconfig가 사용되는 경우 설치에 실패합니다. 설계에 따라 authselect-compat 패키지는 AppStream 리포지토리에서만 사용할 수 있습니다.

xorg-x11-drv-fbdev,xorg-x11-drv-vesa 및 xorg-x11-drv-vmware 비디오 드라이버는 기본적으로 설치되지 않습니다.

특정 AMD 가속 처리 장치가 있는 특정 NVIDIA 그래픽 카드 및 워크스테이션이 있는 워크스테이션은 RHEL 8.0 Server 설치 후 그래픽 로그인 창을 표시하지 않습니다.

reboot --kexec 명령을 사용하면 설치에 실패합니다.

reboot --kexec 명령이 포함된 Kickstart 파일을 사용할 때 RHEL 8 설치에 실패합니다. 문제가 발생하지 않도록 하려면 Kickstart 파일에서 --kexec를 재부팅하지 않고 reboot 명령을 사용하십시오.

Binary DVD.iso 파일의 내용을 파티션에 복사해도 .treeinfo 및 .discinfo 파일이 복사되지 않음

로컬 설치 중에 RHEL 8 Binary DVD.iso 이미지 파일을 파티션에 복사하는 동안 cp <path>/\ * <mounted partition>/dir 명령의 *는 .treeinfo 및 .discinfo 파일을 복사하지 못합니다. 이러한 파일은 성공적으로 설치하려면 필요합니다. 결과적으로 BaseOS 및 AppStream 리포지토리가 로드되지 않으며 anaconda.log 파일에 있는 디버그 관련 로그 메시지가 문제의 유일한 레코드입니다.

Anaconda 설치에는 최소한의 리소스 설정 요구 사항이 적은 제한이 포함되어 있습니다.

Anaconda는 최소한의 리소스 설정을 사용하여 시스템에 설치를 시작하고 설치를 성공적으로 수행하는 데 필요한 리소스에 대한 이전 메시지 경고를 제공하지 않습니다. 결과적으로 설치에 실패할 수 있으며 출력 오류로 인해 가능한 디버그 및 복구에 대한 명확한 메시지가 표시되지 않습니다. 이 문제를 해결하려면 시스템에 설치에 필요한 최소한의 리소스 설정이 있는지, PPC64(LE)의 2GB 메모리 및 x86_64의 1GB가 있는지 확인하십시오. 따라서 성공적으로 설치를 수행할 수 있어야 합니다.

reboot --kexec 및 inst.kexec 명령은 예측 가능한 시스템 상태를 제공하지 않습니다.

reboot --kexec Kickstart 명령 또는 inst.kexec 커널 부팅 매개변수를 사용하여 RHEL 설치를 수행해도 전체 재부팅과 동일한 예측 가능한 시스템 상태가 제공되지 않습니다. 결과적으로 재부팅하지 않고 설치된 시스템으로 전환하면 예기치 않은 결과가 발생할 수 있습니다.

부팅 시 i40iw 모듈이 자동으로 로드되지 않음

많은 i40e NIC에서 iWarp를 지원하지 않고 i40iw 모듈이 일시 중지/재개를 완전히 지원하지 않기 때문에 이 모듈이 기본적으로 자동 로드되지 않으므로 일시 중지/재개 동작이 제대로 작동하지 않게 됩니다. 이 문제를 해결하려면 수동으로 /lib/udev/rules.d/90-rdma-hw-modules.rules 파일을 편집하여 i40iw의 자동 로드를 활성화해야 합니다.

많은 장치가 연결되어 있을 때 시스템이 응답하지 않는 경우가 있음

Red Hat Enterprise Linux 8이 다량의 장치를 구성하면, 시스템 콘솔에서 많은 수의 콘솔 메시지가 발생합니다. 예를 들어, 다수의 LUN(Logical Unit Number)이 있고 각 LUN에 대한 다중 경로가 있는 경우에 이러한 상황이 발생합니다. 커널이 수행하고 있는 다른 작업 외에도 콘솔 메시지가 많아 커널이 중지된 것처럼 보이기 때문에 커널 watchdog가 커널 패닉을 일으킬 수 있습니다.

KSM이 NUMA 메모리 정책을 무시하는 경우가 있음

merge_across_nodes=1 매개변수로 커널 공유 메모리(KSM) 기능을 활성화하면 KSM은 mbind() 함수에 의해 설정된 메모리 정책을 무시하고 일부 메모리 영역의 페이지를 정책과 일치하지 않는 NUMA(Non-Uniform Memory Access) 노드에 병합할 수 있습니다.

qede 드라이버는 NIC를 중지하고 사용할 수 없게 만듭니다.

버그로 인해 41000 및 45000 QLogic 시리즈 NIC의 qede 드라이버로 인해 펌웨어 업그레이드 및 디버그 데이터 수집 작업이 실패하고 호스트의 재부팅 (PCI reset)이 재부팅될 때까지 NIC를 사용할 수 없거나 ung 상태가 다시 작동할 수 있습니다.

Rax 트리 기호가 kernel-abi-whitelists에 추가되었습니다.

Red Hat Enterprise Linux 8에서 kernel-abi-whitelists 패키지에 다음과 같은 방사 트리 기호가 추가되었습니다.

Podman 이 RHEL 8에서 컨테이너를 체크포인트하지 못했습니다.

Red Hat Enterprise Linux 8에서는 체크포인트 및 CRIU(사용자 공간 복원) 패키지의 버전이 오래되었습니다. 결과적으로 CRIU는 컨테이너 검사점 및 복원 기능을 지원하지 않으며 podman 유틸리티는 컨테이너를 검사하지 못합니다. podman container checkpoint 명령을 실행하면 다음 오류 메시지가 표시됩니다. '컨테이너 확인에는 CRIU 31100 이상이 필요합니다.

dracut.conf에서 add_dracutmodules+=early kdump 옵션을 사용하면 early-kdump 및 표준 kdump가 실패합니다.

현재 early-kdump 에 설치되어 있는 커널 버전 간에 불일치가 발생하고 커널 버전 initramfs 가 에 대해 생성됩니다. 그 결과 early-kdump 를 사용하여 부팅하면 early-kdump 가 실패합니다. 또한 early-kdump 가 표준 kdump initramfs 이미지에 포함되어 있음을 탐지하면 종료를 강제 적용합니다. 따라서 early- kdump 가 기본 dracut 모듈로 추가된 경우 kdump initramfs를 다시 빌드하려고 할 때 표준 kdump 서비스도 실패합니다. 그 결과 early-kdump 및 표준 kdump 가 모두 실패합니다. 이 문제를 해결하려면 add_dracutmodules+=earlykdump 또는 dracut.conf 파일에 동등한 구성을 추가하지 마십시오. 결과적으로 early-kdump 는 기본적으로 dracut 에 포함되지 않으므로 문제가 발생하지 않습니다. 그러나 early-kdump 이미지가 필요한 경우 수동으로 생성해야 합니다.

디버그 커널은 RHEL 8의 크래시 캡처 환경에서 부팅되지 않음

디버그 커널의 메모리 요구 특성으로 인해 디버그 커널이 사용 중이며 커널 패닉이 트리거되면 문제가 발생합니다. 결과적으로 debug 커널은 캡처 커널로 부팅할 수 없으며, 스택 추적이 대신 생성됩니다. 이 문제를 해결하려면 그에 따라 크래시 커널 메모리를 늘리십시오. 결과적으로 디버그 커널이 크래시 캡처 환경에서 성공적으로 부팅됩니다.

fadump 를 사용할 때 네트워크 인터페이스 이름이 kdump-<interface-name >으로 변경됩니다.

펌웨어 지원 덤프(fadump)를 사용하여 vmcore를 캡처하고 SSH 또는 NFS 프로토콜을 사용하여 원격 머신에 저장할 때 <interface- name>이 일반적인 경우 네트워크 인터페이스 이름이 kdump- < interface-name >으로 변경됩니다(예: *eth# 또는 net#). 이 문제는 초기 RAM 디스크(initrd)의 vmcore 캡처 스크립트가 kdump- 접두사를 네트워크 인터페이스 이름에 추가하기 때문에 발생합니다. 일반 부팅에도 동일한 initrd 가 사용되므로 프로덕션 커널에서도 인터페이스 이름이 변경됩니다.

root가 아닌 사용자에서 yum list를 실행하면 YUM 충돌 발생

libdnf 패키지가 업데이트된 후 root가 아닌 사용자에서 yum list 명령을 실행하면 YUM가 예기치 않게 종료될 수 있습니다. 이 버그가 발견되면 root에서 yum list를 실행하여 문제를 해결할 수 있습니다. 그 결과 root가 아닌 사용자에서 yum list를 실행해도 더 이상 YUM 충돌이 발생하지 않습니다.

YUM v4 는 기본적으로 사용할 수 없는 리포지토리를 건너뜁니다.

YUM v4 는 모든 리포지토리의 기본적으로 "skip_if_unavailable=True" 설정으로 설정됩니다. 결과적으로 필요한 리포지토리를 사용할 수 없는 경우 리포지토리의 패키지는 설치, 검색 또는 업데이트 작업에서 고려되지 않습니다. 결과적으로 일부 yum 명령 및 yum 기반 스크립트는 사용할 수 없는 리포지토리가 있는 경우에도 종료 코드 0으로 성공합니다.

nslookup 및 호스트 유틸리티는 재귀를 사용할 수 없는 이름 서버의 응답을 무시합니다.

이름 서버에서 더 많은 이름 서버를 구성하고 재귀를 사용할 수 없는 경우 nslookup 및 호스트 유틸리티는 마지막으로 구성된 경우가 아니면 이름 서버의 응답을 무시합니다. 마지막으로 구성된 이름 서버의 경우 사용 가능한 재귀 플래그를 사용하지 않고도 응답이 허용됩니다. 그러나 마지막으로 구성된 이름 서버가 응답하지 않거나 연결할 수 없는 경우 이름 확인이 실패합니다.

net-snmp 패키지의 Python 바인딩을 사용할 수 없음

Net-SNMP 툴 제품군은 RHEL 8의 기본 Python 구현인 Python 3에 대한 바인딩을 제공하지 않습니다. 그 결과, python-net-snmp, python2-net-snmp 또는 python3-net-snmp 패키지는 RHEL 8에서 사용할 수 없습니다.

디버그 모드에서 systemd 는 불필요한 로그 메시지 생성

디버그 모드에서 systemd 시스템 및 서비스 관리자는 다음으로 시작하는 불필요한 로그 메시지를 생성합니다.

KEYBD 트랩을 사용한 KSH는 멀티바이트 문자를 잘못 처리

KEYBD 트랩이 활성화된 경우 Korn Shell(KSH)은 멀티바이트 문자를 올바르게 처리할 수 없습니다. 그 결과, 사용자가 (예: 일본어 문자)를 입력하면 ksh 에 잘못된 문자열이 표시됩니다. 이 문제를 해결하려면 다음 줄을 주석으로 처리하여 /etc/kshrc 파일에서 KEYBD 트랩을 비활성화합니다.

데이터베이스 서버를 병렬로 설치할 수 없음

충돌하는 RPM 패키지로 인해 RHEL 8.0에서 mariadb 및 mysql 모듈을 병렬로 설치할 수 없습니다.

mod_cgid 로깅 문제

RHEL 8에서 기본으로 mod_cgid Apache httpd 모듈을 스레드 MPM(Multi-processing module)에서 사용하는 경우 다음과 같은 로깅 문제가 발생합니다.

IO::Socket::SSL Perl 모듈이 TLS 1.3을 지원하지 않음

세션 재개 또는 포스트 핸드셰이크(Post-Handshake) 인증과 같은 TLS 1.3 프로토콜의 새로운 기능이 RHEL 8 OpenSSL 라이브러리에서 구현되었지만 Net::SSLeay Perl 모듈에서는 구현되지 않았기 때문에 IO::Socket::SSL Perl 모듈에서 사용할 수 없습니다. 결과적으로 클라이언트 인증서 인증에 실패하고 세션 재연결이 TLS 1.2 프로토콜보다 느려질 수 있습니다.

생성된 Scala 문서가 읽을 수 없음

scaladoc 명령을 사용하여 문서를 생성할 때 JavaScript 리소스가 누락되어 결과 HTML 페이지를 사용할 수 없습니다.

Q XL은 Wayland 기반 VM에서 작동하지 않습니다.

qxl 드라이버는 특정 하이퍼바이저에서 커널 모드 설정 기능을 제공할 수 없습니다. 그 결과, Wayland 프로토콜을 기반으로 하는 그래픽은 qxl 를 사용하는 가상 머신(VM)에서 사용할 수 없으며 Wayland 기반 로그인 화면이 시작되지 않습니다.

systemctl isolate multi-user.target을 실행할 때 콘솔 프롬프트가 표시되지 않습니다.

systemctl isolate multi-user.target 명령을 GNOME 데스크탑 세션의 GNOME Terminal에서 실행하면 콘솔 프롬프트가 아닌 커서만 표시됩니다. 이 문제를 해결하려면 Ctrl+Alt+F2 키를 누릅니다. 결과적으로 콘솔 프롬프트가 표시됩니다.

X.Org 에서 실행되는 데스크탑은 낮은 화면 해상도로 변경될 때 중지됨

X.Org 디스플레이 서버와 함께 GNOME 데스크탑을 사용할 때 화면 해상도를 낮은 값으로 변경하려고 하면 데스크탑이 응답하지 않습니다. 이 문제를 해결하려면 화면 해상도를 800 × 600픽셀보다 낮은 값으로 설정하지 마십시오.

Radeon 이 하드웨어를 올바르게 재설정하지 못했습니다.

현재 radeon 커널 드라이버는 kexec 컨텍스트의 하드웨어를 올바르게 재설정하지 않습니다. 대신 radeon 이 대체되어 kdump 서비스의 나머지 부분이 실패합니다.

ARP 링크 모니터를 사용할 때 백업 슬레이브 MII 상태가 작동하지 않음

기본적으로 i40e 드라이버에서 관리하는 장치는 수신 필터 중 하나와 일치하는 소스 Media Access Control(MAC) 주소가 있는 패킷을 삭제하는 소스 정리를 수행합니다. 그 결과 채널 본딩에서 Address Resolution Protocol(ARP) 모니터링을 사용할 때 백업 슬레이브 Media Independent Interface (MII) 상태가 작동하지 않습니다. 이 문제를 해결하려면 다음 명령을 사용하여 소스 정리를 비활성화합니다.

경우에 따라 HP NMI watchdog가 크래시 덤프를 생성하지 않음

HP NMI 워치독의 hpwdt 드라이버는 NMI가 대신 perfmon 드라이버에서 소비했기 때문에 HPE 워치독 타이머에 의해 생성된 NMI(Non-maskable interrupt)를 요청할 수 없는 경우가 있습니다.

KCM 인증 정보 캐시가 단일 인증 정보 캐시의 많은 인증 정보에 적합하지 않음

Kerberos 자격 증명 관리자(KCM)는 최대 64KB의 ccache 크기를 처리할 수 있습니다. 인증 정보가 너무 많으면 kinit 와 같은 Kerberos 작업은 sssd-kcm 구성 요소와 기본 데이터베이스 간에 데이터를 전송하는 데 사용되는 버퍼의 하드 코딩된 제한으로 인해 실패합니다.

/etc/nsswitch.conf 를 변경하려면 수동 시스템 재부팅이 필요합니다.

authselect select profile_id 명령을 실행하는 경우와 같이 /etc/nsswitch.conf 파일에 대한 변경 사항을 적용하려면 모든 관련 프로세스에서 업데이트된 버전의 /etc/nsswitch.conf 파일을 사용하도록 시스템 재부팅이 필요합니다. 시스템 재부팅이 불가능한 경우 시스템을 SSSD( System Security Services Daemon ) 또는 winbind 에 해당하는 Active Directory에 결합하는 서비스를 다시 시작합니다.

시간 초과 값의 충돌로 인해 SSSD가 서버에 연결되지 않음

SSSD(System Security Services Daemon)에서 사용하는 장애 조치 작업과 관련된 기본 시간 초과 값 일부가 충돌합니다. 결과적으로 SSSD가 단일 서버와 통신하도록 예약된 시간 초과 값은 전체 시간 초과로 SSSD가 연결 작업 이전에 다른 서버를 시도하지 못하도록 합니다. 이 문제를 해결하려면 dns_resolver_timeout 매개변수 값보다 큰 ldap_opt_timeout 시간 초과 매개변수 값을 설정하고, dns_resolver_op_timeout 매개변수 값보다 큰 dns_resolver_timeout 매개변수 값을 설정합니다.

SSSD에서 ID 덮어쓰기에서 고유한 인증서만 조회할 수 있습니다.

여러 ID 덮어쓰기에 동일한 인증서가 포함된 경우 SSSD(System Security Services Daemon)에서 인증서와 일치하는 사용자에 대한 쿼리를 확인할 수 없습니다. 이러한 사용자를 검색하려고 하면 사용자가 반환되지 않습니다. 사용자 이름 또는 UID를 사용하여 사용자를 찾는 작업이 예상대로 작동합니다.

SSSD는 동일한 우선 순위로 여러 인증서 일치 규칙을 올바르게 처리하지 않습니다.

지정된 인증서가 동일한 우선 순위의 여러 인증서 일치 규칙과 일치하면 SSSD(System Security Services Daemon)는 규칙 중 하나만 사용합니다. 해결 방법으로 LDAP 필터가 | (또는) 연산자와 연결된 개별 규칙 필터로 구성된 단일 인증서 일치 규칙을 사용하십시오. 일치하는 인증서의 예를 보려면 sss-certamp(5) 매뉴얼 페이지를 참조하십시오.

SSSD에서 로컬 사용자에 대해 잘못된 LDAP 그룹 멤버십 반환

SSSD(System Security Services Daemon)가 로컬 파일의 사용자에게 서비스를 제공하는 경우 파일 공급자에 다른 도메인의 그룹 멤버십이 포함되지 않습니다. 결과적으로 로컬 사용자가 LDAP 그룹의 멤버인 경우 id local_user 명령은 사용자의 LDAP 그룹 멤버십을 반환하지 않습니다. 이 문제를 해결하려면 시스템이 /etc/nsswitch.conf 파일의 사용자 그룹 멤버십을 찾고 있는 데이터베이스의 순서를 되돌리거나 ssss 파일을 파일로 교체하거나 ssss.을 추가하여 암시적 파일 도메인을 비활성화하십시오.

sudo 규칙에서 그룹 이름을 참조하는 경우 sudo 규칙이 id_provider=ad 에서 작동하지 않을 수 있습니다.

SSSD(System Security Services Daemon)는 캐시를 사용하여 AD와 SSSD 간의 통신을 최적화하여 initgroups 작업 중에 Active Directory 그룹 이름을 확인하지 않습니다. 캐시 항목에는 이름 또는 ID로 그룹을 요청할 때까지 그룹 이름이 아니라 보안 식별자(SID)만 포함됩니다. 따라서 sudo 규칙이 sudo를 실행하기 전에 그룹이 완전히 해결되지 않는 한 AD 그룹과 일치하지 않습니다.

RHEL 8에서는 systemd-user 의 기본 PAM 설정이 SSSD 동작에 영향을 미칠 수 있음

Red Hat Enterprise Linux 8에서는 PAM(Pluggable Authentication Module) 스택이 변경되었습니다. 예를 들어 systemd 사용자 세션은 이제 systemd-user PAM 서비스를 사용하여 PAM 대화식을 시작합니다. 이제 이 서비스에는 pam_sss.so 인터페이스가 포함될 수 있는 system-auth PAM 서비스가 반복적으로 포함됩니다. 즉, SSSD 액세스 제어를 항상 호출합니다.

IdM 서버가 FIPS에서 작동하지 않음

Tomcat용 SSL 커넥터 구현이 불완전하기 때문에 인증서 서버가 설치된 IdM(Identity Management) 서버가 FIPS 모드가 활성화된 시스템에서 작동하지 않습니다.

sss ID 매핑 플러그인을 사용할 때 Samba에서 액세스를 거부

AD(Active Directory) 도메인에 연결된 RHEL 호스트의 파일 서버로 Samba를 사용하려면 AD에서 사용자 및 그룹을 관리하는 데 SSSD를 사용하는 경우에도 Samba Winbind 서비스를 실행해야 합니다. realm join --client-software=sssd 명령을 사용하여 도메인에 가입하거나 이 명령에서 --client-software 매개변수를 지정하지 않으면 realm 은 /etc/sssd/sssd.conf 파일만 생성합니다. 이 구성을 사용하여 도메인 멤버에서 Samba를 실행하고 sss ID 매핑 백엔드를 /etc/requests/year.conf 파일에 사용하여 구성을 추가하면 ID 매핑 백엔드의 변경으로 인해 오류가 발생할 수 있습니다. 결과적으로 Samba는 사용자 또는 그룹이 존재하고 SSSD에 의해 알려진 특정 경우의 파일에 대한 액세스를 거부합니다.

nuxwdog 서비스가 HSM 환경에서 작동하지 않기 때문에 비 HSM 환경에서 keyutils 패키지를 설치해야 함

nuxwdog watchdog 서비스가 인증서 시스템에 통합되었습니다. 결과적으로 nuxwdog 은 더 이상 별도의 패키지로 제공되지 않습니다. watchdog 서비스를 사용하려면 pki-server 패키지를 설치합니다.

AD 사용자의 ID 덮어쓰기 추가는 IdM CLI에서만 작동합니다.

현재는 IdM 웹 UI에서 관리 역할에 대한 액세스 권한을 부여하기 위해 IdM(Identity Management) 그룹에 AD(Active Directory) 사용자의 ID 덮어쓰기를 추가합니다. 문제를 해결하려면 IdM CLI(명령줄 인터페이스)를 대신 사용하십시오.

IdM에서 AD 신뢰 지원을 활성화할 때 표시되는 필수 DNS 레코드에 대한 정보는 없습니다.

외부 DNS 관리를 사용하여 Red Hat Enterprise Linux IdM(Identity Management) 설치에 AD(Active Directory) 신뢰 지원을 활성화하면 필수 DNS 레코드에 대한 정보가 표시되지 않습니다. 필요한 DNS 레코드가 추가될 때까지 AD에 대한 domain 신뢰는 성공하지 못합니다. 이 문제를 해결하려면 'ipa dns-update-system-records --dry-run' 명령을 실행하여 IdM에 필요한 모든 DNS 레코드 목록을 가져옵니다. IdM 도메인의 외부 DNS에서 필요한 DNS 레코드를 정의하는 경우, AD로 forest 트러스트를 설정할 수 있습니다.

ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 수 있는 위험

TLS없이 ldap:// 를 ID 조회에 사용하는 경우 공격 벡터가 발생할 위험이 있습니다. 특히 MITM(Man-in-the-middle) 공격으로 공격자는 LDAP 검색에 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.

GCC에서 생성된 합성 함수가 SystemTap에 혼란 가중

GCC 최적화는 다른 함수의 부분 인라인 사본에 대해 합성 함수를 생성할 수 있습니다. SystemTap 및 GDB와 같은 툴은 이러한 합성 함수를 실제 함수와 구분할 수 없습니다. 결과적으로 SystemTap은 합성 및 실제 함수 진입점 모두에 프로브를 배치할 수 있으므로 단일 실제 함수 호출에 대해 여러 개의 프로브 히트를 등록합니다.

ltrace 툴이 함수 호출을 보고하지 않음

모든 RHEL 구성 요소에 적용된 바이너리 강화 기능이 개선되었으므로 ltrace 툴은 RHEL 구성 요소의 바이너리 파일에서 함수 호출을 더 이상 감지할 수 없습니다. 따라서 이러한 바이너리 파일에 사용될 때 감지된 모든 호출을 보고하지 않으므로 ltrace 출력이 비어 있습니다. 현재 해결방법은 없습니다.

iscsiuio 패키지를 사용하여 iSCSI 대상을 찾을 수 없음

Red Hat Enterprise Linux 8은 PCI 레지스터 영역에 대한 동시 액세스를 허용하지 않습니다. 결과적으로 could not set host net params (err 29) 오류가 설정된 검색 포털에 대한 연결이 실패했습니다. 이 문제를 해결하려면 iSCSI 오프로드에 대한 커널 명령줄에 커널 매개변수 iomem=relaxed를 설정합니다. 특히 bnx2i 드라이버를 사용하는 모든 오프로드를 포함합니다. 그 결과 검색 포털에 성공적으로 연결되고 iscsiuio 패키지가 올바르게 작동합니다.

VDO 볼륨은 다른 엔드안 플랫폼으로 전환 한 후 중복 제거 조언을 잃게됩니다.

VDO(가상 데이터 최적화 도구)는 UDS(Universal Deduplication Service) 인덱스 헤더를 플랫폼 네이티브 endian 형식으로 씁니다. VDO는 UDS 인덱스가 손상된 것을 고려하고 VDO 볼륨을 다른 endian을 사용하는 플랫폼으로 이동하면 새로운 빈 인덱스로 덮어씁니다.

XFS DAX 마운트 옵션이 공유 COW(Copy-On-Write) 데이터 Extent와 호환되지 않음

공유 COW(Copy-On-Write) 데이터 Extent 기능으로 포맷화된 XFS 파일 시스템이 -o dax 마운트 옵션과 호환되지 않습니다. 그 결과 -o dax와 파일 시스템 마운트에 실패합니다.

특정 SCSI 드라이버는 때때로 과도한 양의 메모리를 사용할 수 있습니다.

특정 SCSI 드라이버는 RHEL 7에서보다 많은 양의 메모리를 사용합니다. HBA(Fibre Channel host bus adapter)에서 vPort 생성과 같은 특정 경우에는 시스템 구성에 따라 메모리 사용량이 과도할 수 있습니다.

nftables이 다차원 IP 집합 유형을 지원하지 않음

nftables 패킷 필터링 프레임워크가 연결 및 간격이 있는 집합 유형을 지원하지 않습니다. 그 결과, hash:net,port와 같은 다차원 IP 집합 유형을 nftables와 함께 사용할 수 없습니다.

iptables-extensions(8) 도움말 페이지의 TRACE 대상은 nf_tables 변형을 참조하지 않습니다.

iptables-extensions(8) 도움말 페이지의 TRACE 대상에 대한 설명은 compat 변형만 참조하지만 RHEL(Red Hat Enterprise Linux) 8.0은 nf_tables 변형을 사용합니다. RHEL의 nftables기반 iptables 유틸리티는 내부적으로 meta nftrace 표현식을 사용합니다. 따라서 커널은 커널 로그에 TRACE 이벤트를 출력하지 않지만 사용자 공간으로 보냅니다. 그러나 도움말 페이지는 이러한 이벤트를 표시하는 xtables-monitor 명령줄 유틸리티를 참조하지 않습니다.

RHEL 8은 스위치를 장기간 사용할 수 없는 후 802.3ad 본딩의 상태를 "Churned"로 표시합니다.

현재 802.3ad 네트워크 본딩을 구성하고 장기간 전환이 중단된 경우 Red Hat Enterprise Linux는 연결이 작동 상태로 복귀한 후에도 "Churned"로 본딩 상태를 올바르게 표시합니다. 그러나 "Churned" 상태는 상당한 링크 중단이 발생했음을 관리자에게 알리는 것을 목표로 하므로 이는 의도한 동작입니다. 이 상태를 지우려면 네트워크 본딩을 다시 시작하거나 호스트를 재부팅합니다.

ebtables 명령은 broute 테이블을 지원하지 않습니다.

Red Hat Enterprise Linux 8.0의 nftables기반 ebtables 명령은 broute 테이블을 지원하지 않습니다. 따라서 사용자는 이 기능을 사용할 수 없습니다.

GRO가 비활성화되면 IPsec 오프로드 중에 IPsec 네트워크 트래픽이 실패합니다.

IPsec 오프로드는 장치에서 Generic Receive Offload (GRO)가 비활성화되면 작동하지 않을 수 있습니다. IPsec 오프로드가 네트워크 인터페이스에 구성되어 해당 장치에서 GRO가 비활성화되어 있는 경우 IPsec 네트워크 트래픽이 실패합니다.

NetworkManager 는 기본적으로 내부 DHCP 플러그인 사용

NetworkManager 는 내부 및 dhclient DHCP 플러그인을 지원합니다. 기본적으로 RHEL(Red Hat Enterprise Linux) 7의 NetworkManager 는 dhclient 및 RHEL 8 내부 플러그인을 사용합니다. 특정 상황에서는 플러그인이 다르게 작동합니다. 예를 들어 dhclient 는 /etc/dhcp/ 디렉터리에 지정된 추가 설정을 사용할 수 있습니다.

IPsec 기반 VPN 의 고급 옵션은 gnome-control-center를 사용하여 변경할 수 없습니다.

gnome-control-center 애플리케이션을 사용하여 IPsec 기반 VPN 연결을 구성할 때 고급 대화 상자에는 설정만 표시되지만 변경할 수는 없습니다. 결과적으로 사용자는 고급 IPsec 옵션을 변경할 수 없습니다. 이 문제를 해결하려면 nm-connection-editor 또는 nmcli 툴을 사용하여 고급 속성 구성을 수행합니다.

/etc/hosts.allow 및 /etc/hosts.deny 파일에는 부정확한 정보가 포함되어 있습니다.

tcp_wrappers 패키지는 RHEL (Red Hat Enterprise Linux) 8에서 제거되지만 파일 /etc/hosts.allow 및 /etc/hosts.deny는 제거되지 않습니다. 결과적으로 이러한 파일에는 RHEL 8에는 적용되지 않는 오래된 정보가 포함되어 있습니다.

IP 조각 모음은 네트워크 트래픽 과부하 하에서 지속 가능한 일 수 없습니다.

Red Hat Enterprise Linux 8에서 가비지 컬렉션 커널 스레드가 제거되었으며 IP 조각은 시간 초과 시에만 만료됩니다. 그 결과 DoS(Denial of Service) 아래의 CPU 사용량이 훨씬 낮으며, 가능한 최대 조각울은 IP 리셀링 단위에 대해 구성된 메모리 양에 따라 제한됩니다. 패킷 드롭이 있을 때 조각화된 트래픽이 필요한 기본 설정 워크로드에서는 패킷 재주문 또는 많은 동시 분할 흐름이 관련 성능 회귀가 발생할 수 있습니다.

RHEL 8에서 네트워크 인터페이스 이름이 변경됨

Red Hat Enterprise Linux 8에서는 기본적으로 RHEL 7과 동일한 일관된 네트워크 장치 이름 지정 스키마를 사용합니다. 그러나 e1000e,nfp,qede,sfc,tg3 및 bnxt_en 과 같은 일부 커널 드라이버는 RHEL 8의 새로운 설치에서 일관된 이름을 변경했습니다. 그러나 이름은 RHEL 7에서 업그레이드하는 데 유지됩니다.

libselinux-python 은 해당 모듈을 통해서만 사용 가능

libselinux-python 패키지에는 SELinux 애플리케이션 개발을 위한 Python 2 바인딩만 포함되어 있으며 이전 버전과의 호환성을 위해 사용됩니다. 이러한 이유로 dnf install libselinux-python 명령을 통해 기본 RHEL 8 리포지토리에서 더 이상 libselinux-python을 사용할 수 없습니다.

libssh가 시스템 차원의 암호화 정책을 따르지 않음

libssh 라이브러리는 시스템 차원의 암호화 정책 설정을 따르지 않습니다. 그 결과, 관리자가 update-crypto-policies 명령을 사용하여 암호 정책 수준을 변경할 때 지원되는 알고리즘 세트가 변경되지 않습니다.

특정 rsyslog 우선순위 문자열이 올바르게 작동하지 않음

암호화를 세부적으로 제어할 수 있는 imtcp 의 GnuTLS 우선순위 문자열 지원은 완료되지 않습니다. 결과적으로 다음 우선순위 문자열이 rsyslog 에서 제대로 작동하지 않습니다.

성능에 대한 기본 로깅 설정의 부정적인 영향

기본 로깅 환경 설정에서는 4GB의 메모리를 사용하거나 rsyslog 를 사용하여 systemd-journald 를 실행할 때 rate-limit 값의 조정이 복잡할 수 있습니다.

OpenSCAP rpmverifypackage가 올바르게 작동하지 않음

chdir 및 chroot 시스템 호출은 rpmverifypackage 프로브에 의해 두 번 호출됩니다. 그 결과, 사용자 지정 OVAL(Open Vulnerability and Assessment Language) 콘텐츠로 OpenSCAP 스캔 중에 프로브를 사용할 때 오류가 발생합니다.

SCAP Workbench가 사용자 정의 프로파일에서 결과를 기반으로 한 수정을 생성하지 못함

SCAP Workbench 툴을 사용하여 사용자 정의된 프로파일에서 결과 기반 수정 역할을 생성하려고 할 때 다음과 같은 오류가 발생합니다.

Kickstart는 RHEL 8에서 com_redhat_oscap 대신 org_fedora_oscap 을 사용합니다.

Kickstart는 OSCAP(Open Security Content Automation Protocol) Anaconda 애드온을 com_redhat_oscap 대신 org_fedora_oscap 으로 참조하여 혼동을 일으킬 수 있습니다. 이는 Red Hat Enterprise Linux 7과의 이전 버전과의 호환성을 유지하기 위해 수행됩니다.

OpenSCAP rpmverifyfile이 작동하지 않음

OpenSCAP 스캐너가 오프라인 모드에서 현재 작업 중인 디렉터리를 올바르게 변경하지 않으며 fchdir 함수가 OpenSCAP rpmverifyfile 프로브에서 올바른 인수와 함께 호출되지 않습니다. 그 결과, oscap-chroot 명령을 사용하여 임의의 파일 시스템을 스캔할 때 SCAP 콘텐츠에서 rpmverifyfile_test가 사용되면 실패합니다. 따라서 설명된 시나리오에서 oscap-chroot이 중단됩니다.

OpenSCAP 에서 가상 머신 및 컨테이너의 오프라인 스캔을 제공하지 않음

OpenSCAP 코드베이스를 리팩토링하면 특정 RPM 프로브에서 VM 및 컨테이너 파일 시스템을 오프라인 모드로 스캔하지 못했습니다. 따라서 다음 도구가 openscap-utils 패키지에서 제거되었습니다. oscap-vm 및 oscap-chroot. 또한 openscap-containers 패키지가 완전히 제거되었습니다.

컨테이너 보안 및 준수 검사를 위한 유틸리티를 사용할 수 없음

Red Hat Enterprise Linux 7에서 oscap-docker 유틸리티는 Atomic 기술을 기반으로 한 Docker 컨테이너 스캔에 사용할 수 있었습니다. Red Hat Enterprise Linux 8에서는 Docker 및 Atomic 관련 OpenSCAP 명령을 사용할 수 없습니다. 그 결과, 현재 RHEL 8에서는 컨테이너 보안 및 준수 검사를 위한 oscap-docker 또는 이와 동등한 유틸리티를 사용할 수 없습니다.

OpenSSL TLS 라이브러리는 PKCS#11 토큰이 원시 RSA 또는 RSA -PSS 서명 생성을 지원하는지 감지하지 않습니다.

TLS-1.3 프로토콜에서는 RSA-PSS 서명을 지원해야 합니다. PKCS#11 토큰이 raw RSA 또는 RSA-PSS 서명을 지원하지 않는 경우, OpenSSL TLS 라이브러리를 사용하는 서버 애플리케이션은 PKCS#11 토큰에 의해 보유되면 RSA 키로 작동하지 않습니다. 결과적으로 TLS 통신이 실패합니다.

PKCS#11 장치와 RSA-PSS 인증서에 저장된 RSA 개인 키를 사용하는 경우 Apache httpd 가 시작되지 않습니다.

PKCS#11 표준은 RSA와 RSA-PSS 키 오브젝트를 구분하지 않으며 두 가지 모두에 대해 CKK_RSA 유형을 사용합니다. 그러나 OpenSSL은 RSA 및 RSA-PSS 키에 대해 다른 유형을 사용합니다. 결과적으로 openssl-pkcs11 엔진은 PKCS#11 RSA 키 오브젝트의 OpenSSL에 제공해야 하는 유형을 결정할 수 없습니다. 현재 엔진은 모든 PKCS#11 CKK_RSA 오브젝트에 대한 키 유형을 RSA 키로 설정합니다. OpenSSL이 인증서에서 얻은 RSA-PSS 공개 키 유형을 엔진에서 제공하는 RSA 개인 키 오브젝트에 포함된 유형과 비교하면 유형이 다른 것으로 간주합니다. 따라서 인증서와 개인 키가 일치하지 않습니다. X509_check_private_key() 함수에서 수행한 검사에서 이 시나리오에서 오류를 반환합니다. httpd 웹 서버는 시작 프로세스에서 이 함수를 호출하여 제공된 인증서와 키가 일치하는지 확인합니다. 이 검사는 RSA-PSS 공개 키와 PKCS#11 모듈에 저장된 RSA 개인 키가 포함된 인증서에 항상 실패하므로 httpd 는 이 설정 사용을 시작하지 못합니다. 이 문제에 대한 해결방법은 없습니다.

PKCS#11 장치에 저장된 해당 공개 키가 없는 ECDSA 개인 키를 사용하는 경우 httpd 가 시작되지 않습니다.

RSA 키와 달리 ECDSA 개인 키에는 공개 키 정보가 반드시 포함되어 있지 않습니다. 이 경우 ECDSA 개인 키에서 공개 키를 가져올 수 없습니다. 이러한 이유로 PKCS#11 장치는 공개 키 오브젝트인지 인증서 오브젝트와 관계없이 별도의 오브젝트에 공개 키 정보를 저장합니다. OpenSSL은 개인 키의 공개 키 정보를 포함할 수 있도록 엔진에서 제공하는 rfcP_PKEY 구조를 예상합니다. openssl-pkcs11 패키지의 엔진에서 공개 키 오브젝트만 가져오고 현재 인증서 오브젝트를 무시합니다.

OpenSSH는 라벨이 일치하지 않는 키의 PKCS #11 URI를 올바르게 처리하지 않습니다.

OpenSSH 제품군은 라벨을 통해 키 쌍을 식별할 수 있습니다. 라벨은 스마트 카드에 저장된 개인 키와 공개 키에 따라 다를 수 있습니다. 그 결과 오브젝트 부분(키 레이블)을 사용하여 PKCS #11 URI를 지정하면 OpenSSH가 PKCS #11에서 적절한 오브젝트를 찾을 수 없습니다.

iptables-ebtables 의 출력은 ebtables와 100% 호환되지 않습니다.

RHEL 8에서는 ebtables 명령은 툴의 nftables기반 재구축이 포함된 iptables-ebtables 패키지에서 제공합니다. 이 툴에는 다른 코드 베이스가 있으며 출력은 부정하거나 고의적 설계 옵션 중 하나 인 측면에서 분리됩니다.

curve25519-sha256 은 OpenSSH에서 기본적으로 지원되지 않습니다.

curve25519-sha256 SSH 키 교환 알고리즘은 기본 정책 수준을 준수하더라도 OpenSSH 클라이언트 및 서버의 시스템 전체 암호화 정책 구성에서 누락됩니다. 결과적으로 클라이언트 또는 서버에서 curve25519-sha256 을 사용하고 호스트에서 이 알고리즘을 지원하지 않는 경우 연결이 실패할 수 있습니다.

OpenSSL 은 원시 RSA 또는 RSA-PSS 서명을 지원하지 않는 PKCS #11 토큰을 잘못 처리합니다.

OpenSSL 라이브러리는 PKCS #11 토큰의 키 관련 기능을 감지하지 않습니다. 그 결과 원시 RSA 또는 RSA-PSS 서명을 지원하지 않는 토큰을 사용하여 서명이 생성될 때 TLS 연결을 설정하는 데 실패합니다.

VMware 호스트 시스템과의 SSH 연결이 작동하지 않음

OpenSSH 제품군의 현재 버전에는 SSH 패킷의 기본 IP 품질(IPQoS) 플래그가 변경되어 VMware 가상화 플랫폼에서 올바르게 처리되지 않습니다. 따라서 VMware의 시스템과의 SSH 연결을 설정할 수 없습니다.

서비스 수준의성공적인 설정 및 설정 해제에 대한 메시지가 인쇄되지 않음

Curve pin 서비스에 'syspurpose' 기능이 없는 경우 서브스크립션 관리자는 다른 코드 경로를 사용하여 서비스 수준 인수를 설정합니다. 이 코드 경로는 작업 결과를 출력하지 않습니다. 결과적으로 서브스크립션 관리자가 서비스 수준을 설정할 때 메시지가 표시되지 않습니다. 이는 서비스 수준 세트에 오타가 있거나 실제로 사용할 수 없는 경우 특히 문제가 됩니다.

syspurpose addons 는 subscription-manager attach --auto 출력에 영향을 미치지 않습니다.

Red Hat Enterprise Linux 8에서 syspurpose 명령줄 툴의 네 가지 속성( 역할,사용법,service_level_agreement 및 addons )이 추가되었습니다. 현재는 role,usage 및 service_level_agreement 만 subscription-manager attach --auto 명령의 출력에 영향을 미칩니다. addons 인수로 값을 설정하려는 사용자는 자동으로 연결된 서브스크립션에 영향을 미치지 않습니다.

cloud-init 및 복제된 부팅이 매우 느리게 설정된 ESXi 가상 머신

현재 cloud-init 서비스를 사용하여 VMware ESXi 하이퍼바이저에서 실행되는 VM(가상 시스템)을 수정하여 고정 IP를 사용하고 VM이 복제되는 경우 일부 경우에 새로 복제된 VM이 재부팅되는 데 시간이 매우 오래 걸립니다. 이로 인해 cloud-init 에서 VM의 고정 IP를 DHCP에 다시 작성한 다음 사용 가능한 데이터 소스를 검색합니다.

중첩된 가상화 블록 활성화 실시간 마이그레이션

현재 중첩된 가상화 기능은 실시간 마이그레이션과 호환되지 않습니다. 따라서 RHEL 8 호스트에서 중첩 가상화를 활성화하면 VM(가상 머신)을 호스트에서 마이그레이션하고 VM 상태 스냅샷을 디스크에 절약할 수 있습니다.

cloud-init 를 사용하여 Microsoft Azure에서 가상 머신 프로비저닝 실패

현재 cloud-init 유틸리티를 사용하여 Microsoft Azure 플랫폼에서 RHEL 8 가상 머신(VM)을 프로비저닝할 수 없습니다. 이 문제를 해결하려면 다음 방법 중 하나를 사용하십시오.

2세대 RHEL 8 가상 머신은 Hyper-V Server 2016 호스트에서 부팅할 수 없는 경우가 있습니다.

Microsoft Hyper-V Server 2016 호스트에서 실행 중인 가상 머신(VM)에서 RHEL 8을 게스트 운영 체제로 사용하는 경우 경우에 따라 VM을 부팅하지 못하고 GRUB 부팅 메뉴로 반환되지 않습니다. 또한 다음 오류는 Hyper-V 이벤트 로그에 기록됩니다.In addition, the following error is logged in the Hyper-V event log:

virsh iface-\* 명령이 일관되게 작동하지 않음

현재는 virsh iface-start 및 virsh iface-destroy 와 같은 virsh iface-* 명령이 구성 종속성으로 인해 자주 실패합니다. 따라서 호스트 네트워크 연결을 구성하고 관리하기 위해 virsh iface-\* 명령을 사용하지 않는 것이 좋습니다. 대신 NetworkManager 프로그램과 관련 관리 애플리케이션을 사용합니다.

Azure용 Linux 가상 머신 확장이 제대로 작동하지 않는 경우

RHEL 8에는 기본적으로 python2 패키지가 포함되어 있지 않습니다. 따라서 경우에 따라 RHEL 8 VM에서 azure-linux-extensions 라고도 하는 Azure용 Linux 가상 머신 확장을 실행하면 실패합니다.

redhat-support-tool 은 공개 사례에서 sosreport 를 자동으로 수집하지 않습니다.

redhat-support-tool 명령은 sosreport 아카이브를 생성할 수 없습니다. 이 문제를 해결하려면 sosreport 명령을 별도로 실행한 다음 redhat-support-tool addattachment -c 명령을 입력하여 아카이브를 업로드하거나 고객 포털에서 웹 UI를 사용합니다. 결과적으로 케이스가 생성되고 sosreport 가 업로드됩니다.