시스템을 등록하고 RHEL 서브스크립션을 연결하며 Red Hat CDN에서 설치할 수 있는 기능

RHEL 8.2에서는 패키지 설치 전에 시스템을 등록하고 RHEL 서브스크립션을 연결한 다음 Red Hat CDN(콘텐츠 전달 네트워크)에서 설치할 수 있습니다. 대화형 GUI 설치와 자동화된 Kickstart 설치는 이 기능을 지원합니다. 이점은 다음과 같습니다.

설치 중에 시스템을 Red Hat Insights에 등록하는 기능

RHEL 8.2에서는 설치 중에 시스템을 Red Hat Insights에 등록할 수 있습니다. 대화형 GUI 설치와 자동화된 Kickstart 설치는 이 기능을 지원합니다.

Image Builder에서 Azure 이미지 생성을 위한 cloud-init 지원 제공

이번 개선된 기능을 통해 Image Builder에서 만든 Azure 이미지에 cloud-init 지원이 제공됩니다. 따라서 신속한 프로비저닝을 통해 온프레미스 이미지를 생성하고 사용자 지정 데이터를 추가하는 기능을 고객에게 사용할 수 있습니다.

새로운 킥스타트 명령 추가: rhsm 및 zipl

이번 릴리스에서는 다음 킥스타트 명령이 추가되었습니다.

user-Agent 헤더 문자열에 /etc/os-release 파일에서 읽은 정보가 포함됩니다.

이번 개선된 기능을 통해 DNF에서 만든 HTTP 요청에 일반적으로 포함된 User-Agent 헤더 문자열이 /etc/os-release 파일에서 읽은 정보를 사용하여 확장되었습니다.

모든 dnf-automatic.timer 타이머 장치는 기본적으로 실시간 시계를 사용합니다.

이전에는 dnf-automatic.timer 타이머 장치가 monotonic 클록을 사용했기 때문에 시스템 부팅 후 예기치 않은 활성화 시간이 발생했습니다. 이번 업데이트를 통해 타이머 장치는 오전 6시에서 오전 7시 사이에 실행됩니다. 이 시간 동안 시스템이 꺼진 경우 시스템을 부팅한 후 1시간 이내에 타이머 장치가 활성화됩니다.

createrepo_c 유틸리티는 이제 메타데이터에 허용하지 않는 제어 문자가 포함된 패키지를 건너뜁니다.

유효한 XML을 확인하려면 패키지 메타데이터에 다음을 제외하고 제어 문자가 없어야 합니다.

Open CV가 3.4.6 버전으로 업데이트

opencv 패키지가 업스트림 버전 3.4.6로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.

Graphviz-python3 이 CRB 리포지토리에 배포

이번 업데이트에서는 graphviz-python3 패키지가 RHEL 8에 추가됩니다. 패키지는 Python의 Graphviz 그래프 시각화 소프트웨어를 사용하는 데 필요한 바인딩을 제공합니다.

버전 2.13.0으로 조정

tuned 패키지가 업스트림 버전 2.13.0으로 업그레이드되었습니다. 주요 개선 사항은 다음과 같습니다.

PowerTOP 버전 2.11로 업데이트

powertop 패키지가 다음과 같은 주요 변경 사항을 제공하는 버전 2.11로 업그레이드되었습니다.

BIND에서 GeoLite Legacy GeoIP 대신 .GeoIP2 지원

GeoLite Legacy GeoIP 라이브러리는 더 이상 BIND에서 지원되지 않습니다. 이번 업데이트를 통해 GeoLite Legacy GeoP가 libmaxminddb 데이터 형식으로 제공되는 GeoIP2로 교체되었습니다.

이제 stale-answer 에서RHEL 공격의 경우 오래된 캐시된 레코드를 제공합니다.

이전에는 DDoS(Distributed Denial of Service) 공격으로 인해 신뢰할 수 있는 서버가 SERVFAIL 오류로 실패했습니다. 이번 업데이트를 통해 새로운 응답을 받을 때까지 오래된 응답이 만료된 레코드를 제공합니다.

BIND를 버전 9.11.13으로 업데이트

bind 패키지가 버전 9.11.13으로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.

RHEL 8에는 DISA STIG 프로필이 포함되어 있습니다.

STIG(Security Technical Implementation Guides)는 DSA( Defense Information Systems Agency)가 게시한 정보 시스템 및 소프트웨어의 보안을 강화하기 위해 게시한 기본 권장 사항 집합입니다. 이 릴리스에는 이 보안 정책에 대한 프로필 및 Kickstart 파일이 포함되어 있습니다. 이 향상된 기능을 통해 사용자는 Red Hat Enterprise Linux 8용 DISA STIG 호환 시스템을 준수하는 시스템을 규정 준수 여부를 확인하고 시스템을 수정할 수 있습니다.

crypto-policies 를 이제 사용자 정의 가능

이번 업데이트를 통해 모든 정책 수준의 특정 알고리즘 또는 프로토콜을 조정하거나 새 전체 정책 파일을 현재 시스템 전체 암호화 정책으로 설정할 수 있습니다. 이를 통해 관리자는 다양한 시나리오에서 필요에 따라 시스템 전체 암호화 정책을 사용자 지정할 수 있습니다.

SCAP Security Guide가 ACSC Essential Eight 지원

scap-security-guide 패키지는 이제 호주 사이버 보안 센터(ACSC) 필수 Eight 규정 준수 프로필과 해당 Kickstart 파일을 제공합니다. 이 향상된 기능을 통해 사용자는 이 보안 기준을 준수하는 시스템을 설치할 수 있습니다. 또한 OpenSCAP 제품군을 사용하여 ACSC에서 정의한 최소 보안 제어 사양으로 보안 준수 및 해결을 확인할 수 있습니다.

컨테이너 보안 및 규정 준수 검사를 위한 oscap-podman 사용 가능

이번 openscap 패키지 업데이트에서는 컨테이너의 보안 및 규정 준수 검사를 위한 새로운 유틸리티가 도입되었습니다. oscap-podman 툴은 RHEL 7에서 컨테이너 및 컨테이너 이미지 스캔을 위해 서비스를 제공하는 oscap-docker 유틸리티와 동등합니다.

setroubleshoot 에서 execmem 액세스 거부를 분석하고 대응할 수 있음

이번 업데이트에서는 새 setroubleshoot 플러그인이 도입되었습니다. 플러그인은 execmem 액세스 거부(AVC)를 분석하고 관련 조언을 제공할 수 있습니다. 결과적으로 setroubleshoot 는 액세스를 허용하는 경우 부울을 전환하거나 부울이 액세스를 허용하지 않을 때 문제를 보고할 수 있습니다.

새 패키지: setools-gui 및 setools-console-analyses

이제 RHEL 7에 포함된 setools-gui 패키지가 RHEL 8에 도입되었습니다. 그래픽 도구를 사용하면 특히 고도의 전문 SELinux 정책이 있는 다단계 시스템에서 관계 및 데이터 흐름을 검사할 수 있습니다. setools-gui 패키지의 apol 그래픽 도구를 사용하면 SELinux 정책의 측면을 검사하고 분석할 수 있습니다. setools-console-analyses 패키지의 툴을 사용하면 도메인 전환 및 SELinux 정책 정보 흐름을 분석할 수 있습니다.

SELinux에서 제한된 사용자가 사용자 세션 서비스를 관리할 수 있음

이전에는 제한된 사용자가 사용자 세션 서비스를 관리할 수 없었습니다. 결과적으로 systemctl --user 또는 busctl --user 명령을 실행하거나 RHEL 웹 콘솔에서 작업할 수 없었습니다. 이번 업데이트를 통해 제한된 사용자는 사용자 세션을 관리할 수 있습니다.

lvmdbusd 서비스가 SELinux에 의해 제한됨

lvmdbusd 서비스는 LVM(논리 볼륨 관리자)에 D-Bus API를 제공합니다. 이전에는 lvm_t에 대한 SELinux 정책이 정의된 경우에도 lvmdbusd 데몬이 lvm_t 컨텍스트로 전환할 수 없었습니다. 결과적으로 lvmdbusd 데몬은 unconfined_service_t 도메인에서 실행되었으며 SELinux는 제한되지 않은 것으로 레이블이 지정되었습니다. 이번 업데이트를 통해 lvmdbusd 실행 파일에 lvm_exec_t 컨텍스트가 정의되어 있으며 lvmdbusd 를 강제 모드에서 SELinux에서 올바르게 사용할 수 있습니다.

semanage 는 SCTP 및 DCCP 포트 목록화 및 수정을 지원합니다.

이전에는 semanage 포트를 통해 TCP 및 UDP 포트만 나열하고 수정할 수 있었습니다. 이번 업데이트에서는 semanage 포트에 SCTP 및 DCCP 프로토콜 지원이 추가되었습니다. 결과적으로 관리자는 두 개의 시스템이 SCTP를 통해 통신할 수 있는지 확인하고 SCTP 기능을 완전히 활성화하여 SCTP 기반 애플리케이션을 성공적으로 배포할 수 있습니다.

semanage 내보내기에 허용 도메인과 관련된 사용자 정의 표시

이번 업데이트를 통해 SELinux용 policycoreutils 패키지에 속하는 semanage 유틸리티가 허용 도메인과 관련된 사용자 지정을 표시할 수 있습니다. 이제 시스템 관리자는 semanage export 명령을 사용하여 시스템 간에 허용된 로컬 수정 사항을 전송할 수 있습니다.

오디카는 SELinux 거부에서 생성된 기존 컨테이너 정책에 새 허용 규칙을 추가할 수 있습니다.

udica 유틸리티에서 생성한 정책에서 실행 중인 컨테이너에서 SELinux 거부를 트리거하면 이제 udica 가 정책을 업데이트할 수 있습니다. 새 매개변수 -a 또는 --append-rules 를 사용하여 AVC 파일에서 규칙을 추가할 수 있습니다.

새로운 SELinux 유형을 사용하면 서비스가 제한된 상태로 실행될 수 있습니다.

이번 업데이트에서는 unconfined_service_t 도메인에서 실행하지 않고 다음 서비스가 SELinux 강제 모드에서 제한된 서비스로 실행될 수 있는 새로운 SELinux 유형이 도입되었습니다.

Clevis는 지정된 LUKS 장치에 대한 정책을 나열 할 수 있습니다.

이번 업데이트를 통해 clevis luks list 명령은 지정된 LUKS 장치에 대한 PBD 정책을 나열합니다. 이렇게 하면 사용 중인 Clevis 고정 및 고정 구성(예: Tang 서버 주소, tpm2 정책 세부 사항, SSS 임계값)에 대한 정보를 더 쉽게 찾을 수 있습니다.

Clevis는 키 상태를 보고하고 만료된 키를 다시 바인딩하기 위한 새로운 명령을 제공합니다.

clevis luks report 명령은 이제 특정 바인딩의 키에 회전이 필요한지 여부를 보고할 수 있는 간단한 방법을 제공합니다. Tang 서버의 일반 키 순환은 NBDE(Network-Bound Disk Encryption) 배포의 보안을 강화하므로 클라이언트는 만료된 키를 감지해야 합니다. 키가 만료되면 Clevis는 만료된 키 슬롯을 현재 키로 다시 바인딩하는 clevis luks regen 명령을 사용하도록 제안합니다. 이렇게 하면 키 순환 프로세스가 크게 간소화됩니다.

Clevis는 LUKS 장치에서 특정 슬롯을 바인딩하는 데 사용되는 암호를 추출할 수 있습니다

이번 업데이트를 통해 Clevis 정책 기반 암호 해독 프레임워크를 통해 LUKS 장치에서 특정 슬롯을 바인딩하는 데 사용되는 암호를 추출할 수 있습니다. 이전 버전에서는 LUKS 설치 암호를 지우면 관리자가 sss 임계값을 변경해야 할 때 Clevis에서 재암호화, 새 키 슬롯 활성화 및 Clevis와 같은 LUKS 관리 작업을 수행할 수 없었습니다. 이번 업데이트에서는 특정 슬롯을 바인딩하는 데 사용되는 암호를 표시하는 clevis luks pass 명령이 도입되었습니다.

Clevis는 부팅 시 여러 LUKS 장치의 암호 해독 지원 개선

부팅 시 여러 LUKS 암호화된 장치의 암호 해독을 지원하도록 clevis 패키지가 업데이트되었습니다. 이 기능이 향상되기 전에 관리자는 부팅 시 Clevis를 통해 여러 장치를 올바르게 해독할 수 있도록 시스템 구성을 복잡한 변경 작업을 수행해야 했습니다. 이번 릴리스에서는 clevis luks bind 명령을 사용하고 dracut -fv --regenerate-all 명령을 통해 initramfs를 업데이트하여 암호 해독을 설정할 수 있습니다.

OpenSSL-pkcs11 을 Salesforce.10으로 업데이트

openssl-pkcs11 패키지가 업스트림 버전 0.2.10으로 업그레이드되어 이전 버전에 비해 많은 버그 수정 및 개선 사항을 제공합니다. openssl-pkcs11 패키지는 엔진 인터페이스를 통해 PKCS #11 모듈에 대한 액세스를 제공합니다. 새 버전에 의해 도입된 주요 변경 사항은 다음과 같습니다.

rsyslog 가 8.1911.0으로 업데이트

rsyslog 유틸리티가 업스트림 버전 8.1911.0으로 업그레이드되었으며 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 다음 목록에는 주요 개선 사항이 포함되어 있습니다.

rsyslog 는 HTTP REST 인터페이스를 통한 통신용 omhttp 플러그인 제공

rsyslog 패키지 업데이트를 통해 새 omhttp 플러그인을 사용하여 Ceph 스토리지 플랫폼, Amazon S3(Amazon Simple Storage Service) 및 Grafana Loki와 같은 REST(Representational State Transfer) API를 사용하여 서비스와 호환되는 출력을 생성할 수 있습니다. 이 새로운 HTTP 출력 모듈은 구성 가능한 REST 경로 및 메시지 형식을 제공하며 다양한 일괄 처리 형식, 압축 및 TLS 암호화를 지원합니다.

rsyslog 의 omelasticsearch 에서 rebindinterval지원

이번 rsyslog 패키지 업데이트에서는 omelasticsearch 모듈에서 기간 재연결 시간을 설정할 수 있도록 지원합니다. 시나리오에 따라 이 매개변수를 설정하여 Elasticsearch 노드의 클러스터에 레코드를 보낼 때 성능을 향상시킬 수 있습니다. rebindinterval 매개 변수 값은 rsyslog 가 연결을 닫고 새 노드를 설정한 후 노드에 제출된 작업 수를 나타냅니다. 기본값 -1 은 rsyslog 가 연결을 다시 설정하지 않음을 의미합니다.

rsyslog mmkubernetes 에서 메타데이터 캐시 만료 제공

이 rsyslog 패키지 업데이트를 통해mm kubernetes 모듈에 두 개의 새 매개변수를 사용하여 메타데이터 캐시 만료를 설정할 수 있습니다. 이렇게 하면 삭제된 Kubernetes 오브젝트가mm kubernetes 정적 캐시에서 제거됩니다. cacheentrytl 매개 변수 값은 캐시 항목의 최대 사용 기간을 초 단위로 나타냅니다. cacheexpireinterval 매개변수의 값은 다음과 같습니다.

감사 버전 3.0-0.14로 업데이트

감사 패키지가 업스트림 버전 3.0-0.14로 업그레이드되어 이전 버전에 대해 많은 버그 수정 및 개선 사항을 제공합니다. 특히 다음과 같습니다.

이제 audit에 커널 v5.5-rc1의 많은 개선 사항이 포함되어 있습니다.

이 Linux 커널에는 감사 하위 시스템과 관련된 대부분의 개선 사항, 버그 수정 및 정리가 포함되며 버전 4.18과 5.5-rc1 간에 도입되었습니다. 다음 목록은 중요한 변경 사항을 강조 표시합니다.

fapolicyd 가 0.2.1-2로 업데이트

RHEL 애플리케이션 화이트리스트를 제공하는 fapolicyd 패키지가 업스트림 버전 0.2.1-2로 업그레이드되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

sudo 가 1.8.29-3.el8로 업데이트

sudo 패키지가 업스트림 버전 1.8.29-3으로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 새 버전에 의해 도입된 주요 변경 사항은 다음과 같습니다.

pam_namespace 모듈을 사용하여 tmpfs에 대한 추가 마운트 옵션을 지정할 수 있습니다.

이제 nosuid,noexec 및 nodev 마운트 옵션을 /etc/security/namespace.conf 구성 파일에서 각각 setuid bit effect를 비활성화하고, 실행 파일을 비활성화하고, 마운트된 tmpfs 파일 시스템에서 파일을 문자 또는 블록 장치로 해석하지 않도록 할 수 있습니다.

pam_faillock 이 이제 faillock.conf 구성 파일에서 설정을 읽을 수 있습니다.

PAM(장착형 인증 모듈)의 일부인 pam_faillock 모듈은 이제 /etc/security/faillock.conf 에 있는 구성 파일에서 설정을 읽을 수 있습니다. 이렇게 하면 인증 실패 시 계정 잠금을 쉽게 설정하고, 이 기능에 대한 사용자 프로필을 제공하고, 단순히 faillock.conf 파일을 편집하여 다른 PAM 구성을 처리할 수 있습니다.

사용자 공간 애플리케이션에서 커널에서 선택한 netns ID를 검색할 수 있습니다

사용자 공간 애플리케이션은 커널을 요청하여 새 netns ID를 선택하고 네트워크 네임 스페이스에 할당할 수 있습니다. 이 향상된 기능을 통해 커널에 RTM _NETNSID netlink 메시지를 보낼 때 NLM_ F_ECHO 플래그를 지정할 수 있습니다. 그런 다음 커널이 netlink 메시지를 사용자에게 다시 전송합니다. 이 메시지에는 커널이 선택한 값으로 설정된 netns ID가 포함됩니다. 결과적으로 사용자 공간 애플리케이션에 커널이 선택한 넷링크 ID를 식별할 수 있는 안정적인 옵션이 있습니다.

firewalld 를 버전으로 업데이트

firewalld 패키지가 버전으로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.

ndptool에서 IPv6 헤더에 대상 주소를 지정할 수 있음

이번 업데이트를 통해 ndptool 유틸리티는 IPv6 헤더에 주소를 지정하여 NS) 또는 Neighbor Advertisement(NA) 메시지를 특정 대상으로 보낼 수 있습니다. 결과적으로 링크-로컬 주소만 아닌 주소로 메시지를 보낼 수 있습니다.

nftables 에서 다차원 IP 집합 유형 지원

이 향상된 기능을 통해 nftables 패킷 필터링 프레임워크는 연결 및 간격이 있는 세트 유형을 지원합니다. 결과적으로 관리자는 더 이상 다차원 IP 집합 유형을 생성하기 위한 임시 해결책이 필요하지 않습니다.

nftables 가 4.4.3 버전으로 업데이트

nftables 패키지가 업스트림 버전 0.2.3으로 업그레이드되어 이전 버전에 비해 많은 버그 수정 및 개선 사항을 제공합니다.

firewalld 서비스의 규칙은 비표준 포트에서 실행되는 서비스에 연결 추적 도우미를 사용할 수 있습니다.

firewalld 서비스의 사용자 정의 도우미는 이제 표준 커널 도우미 모듈을 사용할 수 있습니다. 이를 통해 관리자는 firewalld 규칙을 생성하여 비표준 포트에서 실행되는 서비스에 연결 추적 도우미를 사용할 수 있습니다.

whois 패키지를 사용할 수 있습니다

이번 개선된 기능을 통해 이제 RHEL 8.2.0에서 whois 패키지를 사용할 수 있습니다. 결과적으로 특정 도메인 이름 또는 IP 주소에 대한 정보를 검색할 수 있습니다.

eBPF for tc 가 이제 완전히 지원됨

tc(트래픽 제어) 커널 하위 시스템과 the tc 툴은 eBPF(extended Berkeley Packet Filtering) 프로그램을 패킷 분류기 및 수신 및 송신 큐링 규칙 모두에 대한 작업으로 연결할 수 있습니다. 이는 커널 네트워크 데이터 경로 내에서 프로그래밍 가능한 패킷 처리를 가능하게 합니다. 이전에 기술 프리뷰로 사용 가능한 eBPF for tc 는 이제 RHEL 8.2에서 완전하게 지원됩니다.

RHEL 8.2의 커널 버전

Red Hat Enterprise Linux 8.2는 커널 버전 4.18.0-193과 함께 배포됩니다.

RHEL 8.2에 대한 Extended Berkeley Packet Filter

eBPF(Extended Berkeley Packet Filter) 는 제한된 기능 집합에 액세스할 수 있는 제한된 샌드박스 환경에서 커널 공간에서 코드를 실행할 수 있는 커널 내 가상 시스템입니다. 가상 시스템은 특수 어셈블리와 유사한 코드를 실행합니다. eBPF 바이트코드는 먼저 커널로 로드된 다음 확인, 실시간 컴파일만 사용하여 네이티브 시스템 코드로 코드 변환한 다음 가상 시스템에서 코드를 실행합니다.

Intel ® Fedora-Path Architecture(OPA) 호스트 소프트웨어

Intel-Path Architecture(OPA) 호스트 소프트웨어는 Red Hat Enterprise Linux 8.2에서 완벽하게 지원됩니다. Intel OPA는 클러스터형 환경의 컴퓨팅 노드와 I/O 노드 간의 고성능 데이터 전송(고급 대역폭, 높은 메시지 속도, 짧은 대기 시간)을 위해 HFI(Host Fabric Interface) 하드웨어에 초기화 및 설정을 제공합니다.

Control Group v2 가 RHEL 8에서 완전 지원

Control Group v2 메커니즘은 통합된 계층 컨트롤 그룹입니다. Control Group v2는 프로세스를 계층적으로 구성하고 제어 및 설정 가능한 방식으로 계층에 따라 시스템 리소스를 배포합니다.

사용 가능한 목록 임의화: 다이렉트 매핑 메모리 측 캐시의 성능 및 활용 향상

이 향상된 기능을 통해 페이지 할당자를 활성화하여 무료 목록을 임의로 설정하고 직접 매핑된 메모리 측 캐시의 평균 사용률을 향상시킬 수 있습니다. 커널 명령줄 옵션 page_alloc.shuffle 을 사용하면 페이지 할당자가 사용 가능한 목록을 임의로 설정하고 부울 플래그를 True 로 설정할 수 있습니다. /sys/module/page_alloc/parameters/shuffle 에 있는 sysfs 파일은 플래그 상태를 읽고, DRAM(Dynamic Random Access Memory)이 캐시되고, DRAM과 영구 메모리 사이의 대기 시간 대역폭이 줄어듭니다. 따라서 일반적인 서버 플랫폼에서 더 높은 용량과 낮은 대역폭을 가진 영구 메모리를 사용할 수 있습니다.

TPM 사용자 공간 도구가 마지막 버전으로 업데이트되었습니다

tpm2-tools 사용자 공간 도구가 버전 3.2.1로 업데이트되었습니다. 이번 업데이트에서는 특히 플랫폼 구성 등록 코드 및 도움말 페이지 정리와 관련된 여러 버그 수정을 제공합니다.

C620 시리즈 PCH 칩셋에서 Intel Trace Hub 기능을 지원

이번 업데이트에서는 Lewisburg PCH라고도 하는 C620 시리즈 PCH(Platform Controller Hub)에서 Intel Trace Hub (TH)에 대한 하드웨어 지원을 추가합니다. C620 시리즈 PCH를 사용하는 사용자는 이제 Intel TH를 사용할 수 있습니다.

perf 툴은 CLX-AP 및 CPX 프로세서에 대한 종료 이벤트 집계를 지원합니다.

이번 업데이트를 통해 이제 perf 툴에서 종료된 Intel CPU의 다이별 이벤트 수 집계를 지원합니다. 이 모드를 사용하려면 Xeon Cascade Lake -AP(CLX-AP) 및 CPX(Extended Lake) 시스템 프로세서의 -a 옵션 외에도 --die 옵션을 추가합니다. 결과적으로 이 업데이트는 종료 사이에 균형이 맞지 않습니다. perf stat 명령은 이벤트 수를 캡처하고 출력을 다음과 같이 표시합니다.

crashkernel=auto 의 임계값이 IBM Z에서 감소

이제 crashkernel=auto kernel 명령줄 매개 변수의 임계값이 IBM Z 시스템의 1G에서 1G로 줄어듭니다. 이 구현을 통해 IBM Z는 AMD64 및 Intel 64 시스템의 임계값에 맞춰 crashkernel=auto 의 더 낮은 임계값에서 동일한 예약 정책을 공유할 수 있습니다. 결과적으로 크래시 커널은 4GB 미만의 시스템에서 kdump 메모리를 자동으로 예약할 수 있습니다.

numactl manual 항목은 메모리 사용량 출력을 명확하게 표시합니다.

이번 RHEL 8 릴리스에서는 numactl 의 도움말 페이지에는 시스템의 상주 페이지만 반영되어 메모리 사용량 정보가 반영되어 있음을 명시적으로 언급합니다. 이렇게 추가되는 이유는 메모리 사용량 정보가 상주 페이지 또는 가상 메모리와 관련이 있는지 여부를 사용자에게 혼동할 수 있기 때문입니다.

Kdump FCoE 대상 지원을 포함하도록 kexec-tools 문서가 업데이트되었습니다.

이번 릴리스에서는 FCoE(Kdump Fibre Channel over Ethernet) 대상 지원을 포함하도록 /usr/share/doc/kexec-tools/supported-kdump-targets.txt 파일이 업데이트되었습니다. 결과적으로 사용자는 FCoE 대상 지원에서 kdump 크래시 덤프 메커니즘의 상태 및 세부 사항을 더 잘 이해할 수 있습니다.

펌웨어 지원 덤프에서 PowerNV 지원

이제 PowerNV 플랫폼에서 펌웨어 지원 덤프(fadump) 메커니즘이 지원됩니다. 이 기능은 IBM POWER9 FW941 펌웨어 버전에서 지원됩니다. 시스템 장애 발생 시 fadump 는 vmcore 파일과 함께 opal core 파일도 내보냅니다. opal core 파일에는 분석 시 OpenPOWER 추상화 계층(OPAL) 메모리 상태에 대한 정보가 포함되어 있습니다. opal core 파일은 OPAL 기반 시스템의 충돌을 디버깅하는 데 유용합니다.

kernel-rt 소스 트리가 최신 RHEL 8 트리와 일치

최신 RHEL 커널 소스 트리를 사용하도록 kernel-rt 소스가 업데이트되었습니다. 실시간 패치 세트도 최신 업스트림 v5.2.21-rt13 버전으로 업데이트되었습니다. 이 두 업데이트 모두 여러 버그 수정 및 개선 사항을 제공합니다.

rngd 는 루트가 아닌 권한으로 실행할 수 있습니다.

임의 번호 생성기 데몬(rngd)은 임의로 소스에서 제공한 데이터가 임의로 임의로 지정되었는지 확인한 다음 커널의 임의 번호 엔트로피 풀에 데이터를 저장합니다. 이번 업데이트를 통해 rngd 는 루트가 아닌 사용자 권한으로 를 실행하여 시스템 보안을 강화할 수 있습니다.

RHEL 8.2 이상 POWER 9 이상에서 가상 영구 메모리 지원

IBM POWER9 하드웨어에서 PowerVM 하이퍼바이저를 사용하여 RHEL 8.2 이상의 호스트를 실행하는 경우 이제 호스트에서 vPMEM(Virtual Persistent Memory) 기능을 사용할 수 있습니다. vPMEM을 사용하면 물리적 서버가 꺼질 때까지 애플리케이션에서 데이터가 유지되고 파티션이 다시 시작됩니다. 따라서 vPMEM을 사용하는 워크로드를 다시 시작하면 훨씬 빨라집니다.

LVM에서 dm-writecache 캐싱 방법 지원

이제 LVM 캐시 볼륨에서 기존 dm-cache 방법 외에도 dm-write cache 캐싱 방법을 제공합니다.

VDO 비동기 정책이 ACID와 호환

이번 릴리스에서는 VDO 비동기 쓰기 모드가 이제 Atomicity, Consistency, Isolation, Durability(ACID)와 호환됩니다. VDO가 비동기 모드에서 데이터를 작성하는 동안 시스템이 예기치 않게 중지되면 복구된 데이터가 항상 일관되게 유지됩니다.

VDO 볼륨을 가져올 수 있습니다

vdo 유틸리티를 사용하면 현재 시스템에 등록되어 있지 않은 기존 VDO 볼륨을 가져올 수 있습니다. VDO 볼륨을 가져오려면 vdo import 명령을 사용합니다.

mountstats 및 nfsiostat의 출력에서 새로운 per-op 오류 카운터를 사용할 수 있습니다.

NFS 클라이언트 시스템에서 마이너 지원 기능을 사용할 수 있습니다. nfs -utils 의 mountstats 및 nfsiostat 명령의 출력에는 작업 별 오류 수가 있습니다. 이 향상된 기능을 통해 이러한 툴은 NFS 클라이언트 시스템의 특정 NFS 마운트 지점에서 문제를 줄이는 데 도움이 되는 작업 별 오류 수 및 백분율을 표시할 수 있습니다. 이러한 새 통계는 Red Hat Enterprise Linux 8.2 커널 내에 있는 커널 변경 사항에 따라 달라집니다.

cgroup 인식을 사용하여 쓰기 IO를 XFS에서 사용할 수 있습니다

이번 릴리스에서 XFS는 cgroup 인식을 통해 나중 IO를 지원합니다. 일반적으로 cgroup 쓰기에는 기본 파일 시스템의 명시적 지원이 필요합니다. 지금까지 XFS의 writeback IO는 루트 cgroup 의 속성입니다.

FUSE 파일 시스템에서 copy_file_range()을 구현합니다.

copy_file_range() 시스템 호출은 파일 시스템에서 효율적인 데이터 복사 메커니즘을 구현할 수 있는 방법을 제공합니다. 이번 업데이트를 통해 FUSE(Userspace) 프레임워크에서 Filesystem을 사용하는 GlusterFS는 이 메커니즘을 활용합니다. FUSE 파일 시스템의 읽기/쓰기 기능에는 여러 개의 데이터 사본이 포함되어 있으므로 copy_file_range() 를 사용하면 성능이 크게 향상될 수 있습니다.

mountstats 및 nfsiostat 명령에 대해 작업별 통계 지원을 사용할 수 있습니다.

이제 NFS 클라이언트 시스템에서 지원 기능을 사용할 수 있습니다. /proc/self/mountstats 파일에는 작업 별 오류 카운터 가 있습니다. 이번 업데이트를 통해 각 작업별 통계 행에서 9번째 숫자는 상태 값 0으로 완료된 작업 수를 나타냅니다. 이 상태 값은 오류가 있음을 나타냅니다. 자세한 내용은 이러한 새 오류 수를 표시하는 nfs -utils의 mountstats 및 nfs iostat 프로그램에 대한 업데이트를 참조하십시오.

/proc/self/mountstats 파일에서 새 마운트 stats lease_time 및 lease_expired 를 사용할 수 있습니다.

NFSv4.x 클라이언트 시스템에서 지원 기능을 사용할 수 있습니다. nfsv4로 시작하는 행의 끝에 /proc/self/mountstats 파일에는 lease_time 및 lease_expired 필드가 있습니다. lease_time 필드는 NFSv4 리스 시간의 초 수를 나타냅니다. lease_expired 필드는 리스가 만료된 이후 초 수를 나타내며 리스가 만료되지 않은 경우 0을 나타냅니다.

NVMe 장치 갑작스러운 제거

이번 개선된 기능을 통해 운영 체제에 사전에 알리지 않고도 Linux 운영 체제에서 NVMe 장치를 제거할 수 있습니다. 이렇게 하면 서버 가동 중지 시간을 제거하여 서버를 사용할 수 있도록 장치를 준비하기 위해 추가 단계가 필요하지 않으므로 NVMe 장치의 서비스 성능이 향상됩니다.

다른 리소스에 영향을 미치지 않는 경우에만 리소스를 비활성화하는 새로운 명령 옵션

다른 리소스에 영향을 미치지 않는 경우에만 리소스를 비활성화해야 합니다. 복잡한 리소스 관계가 설정되면 이러한 상황이 직접 수행할 수 없도록 합니다. 이 요구를 해결하기 위해 pcs resource disable 명령에서 다음 옵션을 지원합니다.

리소스 간의 관계를 표시하는 새 명령

새로운 pcs resource Relations 명령을 사용하여 트리 구조에서 클러스터 리소스 간 관계를 표시할 수 있습니다.

기본 사이트 및 복구 사이트 클러스터의 상태를 표시하는 새로운 명령

복구 사이트로 사용할 클러스터를 구성한 경우 pcs dr 명령을 사용하여 해당 클러스터를 복구 사이트 클러스터로 구성할 수 있습니다. 그런 다음 pcs dr 명령을 사용하여 단일 노드에서 기본 사이트 클러스터와 복구 사이트 클러스터의 상태를 모두 표시할 수 있습니다.

제한 조건을 나열할 때 만료된 리소스 제약 조건이 기본적으로 숨겨집니다.

기본적으로 리소스 제한 조건을 나열하지 않으면 만료된 제약 조건이 표시됩니다. 만료된 보존을 포함하려면 pcs constraint 명령 의 --all 옵션을 사용합니다. 그러면 만료된 제약 조건이 나열되고 해당 제한 조건 및 관련 규칙이 디스플레이의 (수료됨) 로 표시됩니다.

정리 노드 종료 시 중지된 상태로 유지되도록 리소스를 구성하는 Pacemaker 지원

클러스터 노드가 종료되면 Pacemaker의 기본 응답은 해당 노드에서 실행 중인 모든 리소스를 중지하고 다른 위치에서 복구하는 것입니다. 일부 사용자는 오류에 대해서만 고가용성을 유지하고 정리된 종료를 예약된 중단으로 처리하는 것을 선호합니다. 이 문제를 해결하기 위해 Pacemaker에서 shutdown-lock 및 shutdown-lock-limit 클러스터 속성을 지원하여 다음 노드가 다시 참여할 때까지 종료할 때 노드에서 활성화된 리소스가 중지되도록 지정합니다. 이제 사용자는 수동 조작 없이 예약된 중단으로 클린 종료를 사용할 수 있습니다. 클린 노드 종료 시 중지된 상태로 유지되도록 리소스를 구성하는 방법에 대한 자세한 내용은 링크를 참조하십시오. 정리 노드 종료 시 중지된 상태로 유지되도록 리소스 구성.

단일 노드에서 클러스터 환경 실행 지원

하나의 멤버만 구성된 클러스터는 이제 클러스터 환경에서 리소스를 시작하고 실행할 수 있습니다. 이를 통해 사용자는 백업에 단일 노드를 사용하는 다중 노드 클러스터에 대해 별도의 재해 복구 사이트를 구성할 수 있습니다. 하나의 노드만 있는 클러스터는 내결함성이 없습니다.

새 모듈: python38

RHEL 8.2에는 새 모듈 python38 및 ubi8/python-38 컨테이너 이미지에서 제공하는 Python 3.8이 도입되었습니다.

mod_wsgi 설치의 변경 사항

이전에는 yum install mod_wsgi 명령을 사용하여 mod_wsgi 모듈을 설치하려고 할 때 python3-mod_wsgi 패키지가 항상 설치되었습니다. RHEL 8.2에서는 Python 3.6에 추가된 Python 3.8이 도입되었습니다. 이번 업데이트를 통해 설치할 mod_wsgi 버전을 지정해야 합니다. 그렇지 않으면 오류 메시지가 반환됩니다.

IBM Z의 zlib 에서 하드웨어 가속화 제거 지원

이번 업데이트에서는 하드웨어 가속화 제거 알고리즘을 IBM Z 메인프레임의 zlib 라이브러리에 추가로 지원합니다. 그 결과 IBM Z 벡터 시스템의 압축 및 압축 해제 성능이 향상되었습니다.

IBM Power Systems에서 gzip 압축을 풀 때 성능이 향상되었습니다. little endian

이번 업데이트에서는 little endian인 IBM Power Systems의 zlib 라이브러리에 32비트 Cyclic 중복 검사(CRC32)에 대한 최적화를 추가합니다. 그 결과 gzip 파일 압축 해제 성능이 향상되었습니다.

새 모듈 스트림: maven:3.6

RHEL 8.2에는 새로운 모듈 스트림 maven:3.6 이 도입되었습니다. 이 버전의 Maven 소프트웨어 프로젝트 관리 및 이해 도구에서는 RHEL 8.0과 함께 배포된 maven:3.5 스트림에 대해 수많은 버그 수정 및 다양한 개선 사항을 제공합니다.

mod_md 가 ACMEv2 프로토콜 지원

mod_md 모듈이 버전 2.0.8로 업데이트되었습니다. 이번 업데이트에는 여러 가지 기능이 추가되어 특히 IETF(Internet Engineering Task Force) 표준(RFC 8555)인 ACME(Automatic Certificate Management Environment) 인증서 발급 및 관리 프로토콜 버전 2를 지원합니다. 원래 ACMEv1 프로토콜은 계속 지원되지만 인기 있는 서비스 프로바이더가 더 이상 사용되지 않습니다.

PHP 7.3의 새로운 확장 기능

php:7.3 모듈 스트림이 2개의 새로운 PHP 확장을 제공하도록 업데이트되었습니다( rrd 및 Xdebug ).

새로운 패키지: perl-LDAP 및 perl-Convert-ASN1

이번 업데이트에서는 perl-LDAP 및 Perl-Convert-ASN1 패키지가 RHEL 8에 추가되었습니다. perl-LDAP 패키지는 Perl 언어에 대한 LDAP 클라이언트를 제공합니다. perl-LDAP 에는 perl-Convert-ASN1 패키지가 필요합니다. 이 패키지는 AASN.1) 데이터 구조를 인코딩 및 디코딩합니다.

SSCG 에서 암호로 보호되는 개인 키 파일 생성 지원

sscg 유틸리티는 이제 암호로 보호되는 개인 키 파일을 생성할 수 있습니다. 이로 인해 개인 키에 대한 또 다른 보호 수준이 추가되며 FreeRADIUS와 같은 일부 서비스에 필요합니다.

Grafana 가 6.3.6 버전으로 업데이트

grafana 패키지가 여러 버그 수정 및 개선 사항을 제공하는 버전 6.3.6으로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.

PCP 는 5.0.2 버전으로 업데이트

pcp 패키지가 여러 버그 수정 및 개선 사항을 제공하는 버전 5.0.2로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.

RHEL 8.2에서 Grafana -pcp 사용 가능

grafana-pcp 패키지는 grafana와 PCP 를 연결하는 새로운 grafana 데이터 소스 및 애플리케이션 플러그인을 제공합니다 . grafana-pcp 패키지를 사용하면 각각 pmseries 쿼리 언어와 pm webapi 라이브 서비스를 사용하여 기록 PCP 지표 및 실시간 PCP 지표를 분석할 수 있습니다. 자세한 내용은 Performance Co-Pilot Grafana 플러그인을 참조하십시오.

업데이트된 GCC 툴 세트 9

GCC Toolset 9는 최신 버전의 개발 툴을 제공하는 컴파일러 툴셋입니다. AppStream 리포지토리의 소프트웨어 컬렉션 형태로 애플리케이션 스트림으로 사용할 수 있습니다.

GCC Toolset 9에서 NVIDIA ICX 대상 오프로딩 지원

GCC Toolset 9의 GCC 컴파일러는 NVIDIA의 OpenMP 대상 오프로딩을 지원합니다.

업데이트된 GCC 컴파일러를 RHEL 8.2에 사용할 수 있습니다.

시스템 GCC 컴파일러 버전 8.3.1이 업스트림 GCC에서 사용할 수 있는 수많은 버그 수정 및 개선 사항을 포함하도록 업데이트되었습니다.

glibc에서 최대 fastbin 크기를 변경하는 새로운 튜닝 가능 항목

fat oc 함수는 재사용 가능한 메모리 청크를 특정 크기까지 유지하는 일련의 fastbins를 사용합니다. 기본 청크 크기는 32비트 시스템의 경우 80바이트이고 64비트 시스템에서 160바이트입니다. 이 향상된 기능으로 최대 fastbin 크기를 변경할 수 있는 새로운 glibc.malloc.mxfast 튜닝 가능 항목이 glibc에 추가되었습니다.

GCC Toolset 9에서 GNU Fortran에 대해 벡터화된 수학 라이브러리가 활성화됨

이 향상된 기능을 통해 GCC 도구 세트의 GNU Fortran은 이제 벡터화된 수학 라이브러리 libmvec 의 루틴을 사용할 수 있습니다. 이전에는 GCC 툴 세트의 Fortran 컴파일러가 GNU C 라이브러리 glibc 에서 제공하는 libmvec 의 루틴을 사용하기 전에 Fortran 헤더 파일이 필요했습니다.

glibc.malloc.tcache 튜닝 가능 항목이 향상되었습니다.

glibc.malloc.tcache_count 튜닝 가능 항목을 사용하면 스레드별 캐시(tcache)에 저장할 수 있는 각 크기의 최대 메모리 청크 수를 설정할 수 있습니다. 이번 업데이트를 통해 glibc.malloc.tcache_count 튜닝 가능 항목의 상한이 127에서 65535로 증가했습니다.

glibc 동적 로더가 상속되지 않는 라이브러리 사전 로드 메커니즘을 제공하도록 향상되었습니다.

이 향상된 기능을 통해 이제 --preload 옵션으로 사용자 프로그램을 로드하도록 로더를 호출하고, 사전 로드할 콜론으로 구분된 라이브러리 목록을 추가할 수 있습니다. 이 기능을 사용하면 상속되지 않는 라이브러리 사전 로드 목록을 사용하여 로더를 통해 직접 프로그램을 호출할 수 있습니다.

GDB는 IBM Z 아키텍처에서 ARCH(13) 확장 지원

이번 개선된 기능을 통해 GDB(GNU Debugger)는 IBM Z 아키텍처에서 ARCH(13) 확장에 의해 구현된 새 명령을 지원합니다.

elfutils 를 버전 0.178로 다시 기반

elfutils 패키지가 여러 버그 수정 및 개선 사항을 제공하는 버전 0.178으로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.

SystemTap 버전 4.2로 업데이트

SystemTap 계측 툴이 버전 4.2로 업데이트되었습니다. 주요 개선 사항은 다음과 같습니다.

IBM Z 시리즈 성능 카운터 개선 사항

IBM Z 시리즈 유형 0x8561, 0x8562 및 0x3907(z14 ZR1) 시스템은 이제 libpfm 에서 인식됩니다. IBM Z 시리즈에서 ECC(elliptic-curve cryptography) 작업을 모니터링하기 위한 성능 이벤트를 사용할 수 있습니다. 이를 통해 IBM Z 시리즈 시스템에서 추가 하위 시스템을 모니터링할 수 있습니다.

히스토리 툴셋을 버전 1.41로 업데이트

satellite Toolset이 1.41 버전으로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.

LLVM Toolset을 버전 9.0.1로 업데이트

LLVM Toolset이 버전 9.0.1로 업그레이드되었습니다. 이번 업데이트를 통해 이제 asm goto 문이 지원됩니다. 이러한 변경으로 AMD64 및 Intel 64 아키텍처에서 Linux 커널을 컴파일할 수 있습니다.

Go Toolset을 버전 1.13으로 다시 설정

Go Toolset이 1.13 버전으로 업그레이드되었습니다. 주요 개선 사항은 다음과 같습니다.

OpenJDK에서 secp256k1도 지원

이전에는 OpenJDK(Open Java Development Kit)에서 NSS 라이브러리의 곡선만 사용할 수 있었습니다. 그 결과 OpenJDK는 ECC(원격 곡선 암호화)를 위한 secp256r1, secp384r1, secp521r1 곡선만 제공했습니다. 이번 업데이트를 통해 OpenJDK는 내부 ECC 구현을 사용하며 secp256k1 곡선도 지원합니다.

IdM에서 새로운 Ansible 관리 모듈 지원

이번 업데이트에서는 Ansible 플레이북을 사용하여 공통 IdM(Identity Management) 작업을 자동화하기 위한 몇 가지 ansible-freeipa 모듈이 도입되었습니다.

IdM 상태 점검 에서 임시 DNS 레코드 지원

이번 업데이트에서는 IdM(Identity Management) 서버의 DNS 레코드에 대한 독립 실행형 수동 테스트가 도입되었습니다.

SSSD를 사용하여 RHEL을 AD에 직접 통합하면 FIPS 지원

이 향상된 기능을 통해 SSSD(System Services Security Daemon)는 이제 ISV(Federal Information Processing Standard)에서 승인한 암호화 유형을 사용하는 AD(Active Directory) 배포와 통합됩니다. 개선된 기능을 통해 FIPS 기준을 충족해야 하는 환경에서 RHEL 시스템을 AD에 직접 통합할 수 있습니다.

기본적으로 Samba 서버 및 클라이언트 유틸리티에서 SMB1 프로토콜이 비활성화되었습니다

Samba 4.11에서는 서버 최소 프로토콜 및 클라이언트 최소 프로토콜 매개 변수의 기본값이 NT1 에서 SMB2_02 로 변경되었습니다. 서버 메시지 블록 버전 1(SMB1) 프로토콜은 더 이상 사용되지 않습니다. /etc/samba/smb.conf 파일에 이러한 매개변수를 설정하지 않은 경우:

Samba 가 버전 4.11.2로 업데이트

samba 패키지가 업스트림 버전 4.11.2로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.

디렉토리 서버가 버전 1.4.2.4로 업데이트

389-ds-base 패키지가 업스트림 버전 1.4.2.4로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항의 전체 목록은 업데이트하기 전에 아카이브된 업스트림 릴리스 노트를 참조하십시오.

일부 레거시 스크립트가 Directory Server에서 교체되었습니다

이 향상된 기능을 통해 Directory Server에서 지원되지 않는 dbverify,validate-syntax.pl,cl-dump.pl,fixup-memberuid.pl 및 repl-monitor.pl 레거시 스크립트를 대체할 수 있습니다. 이러한 스크립트는 다음 명령으로 교체되었습니다.

숨겨진 복제본으로 IdM 설정이 완전히 지원됨

RHEL 8.2의 IdM(Identity Management)은 IdM 서버를 숨겨진 복제본으로 설정할 수 있도록 지원합니다. 숨겨진 복제본은 모든 서비스가 실행 중이고 사용 가능한 IdM 서버입니다. 그러나 DNS의 서비스에 대한 SRV 레코드가 없고 LDAP 서버 역할이 활성화되어 있지 않으므로 다른 클라이언트 또는 마스터에 알리지 않습니다. 따라서 클라이언트는 서비스 검색을 사용하여 숨겨진 복제본을 탐지할 수 없습니다.

Kerberos 티켓 정책이 인증 표시기 지원

인증 표시기는 티켓을 획득하는 데 사용된 사전 인증 메커니즘을 기반으로 Kerberos 티켓에 연결됩니다.

krb5 패키지가 FIPS와 호환됨

이 향상된 기능을 통해 비준수 암호화는 금지됩니다. 결과적으로 관리자는 FIPS로 연결된 환경에서 Kerberos를 사용할 수 있습니다.

Directory Server는 시스템 전체 암호화 정책에 따라 sslVersionMin 매개변수를 설정합니다.

기본적으로 Directory Server는 이제 시스템 전체 암호화 정책에 따라 sslVersionMin 매개변수 값을 설정합니다. /etc/crypto-policies/config 파일에서 crypto 정책 프로필을 다음과 같이 설정하는 경우:

SSSD에서 기본적으로 AD GPO 적용

이제 SSSD 옵션 ad_gpo_access_control 의 기본 설정이 강제 적용됩니다. RHEL 8에서 SSSD는 기본적으로 Active Directory Group Policy Objects(GPO)를 기반으로 액세스 제어 규칙을 적용합니다.

듀얼-GPU 시스템에서 Wayland 활성화

이전 버전에서는 GNOME 환경은 기본적으로 랩탑의 X11 세션과 두 개의 그래픽 처리 장치(GPU)가 있는 기타 시스템에서 기본 설정되어 있었습니다. 이번 릴리스에서는 GNOME이 듀얼-GPU 시스템의 Wayland 세션으로 기본 설정되어 단일 GPU 시스템과 동일한 동작입니다.

새로운 그래픽 카드 지원

이제 다음과 같은 그래픽 카드가 지원됩니다.

이제 관리자는 클라이언트 인증서를 사용하여 RHEL 8 웹 콘솔에 인증할 수 있습니다

이 웹 콘솔의 향상된 기능을 통해 시스템 관리자는 클라이언트 인증서를 사용하여 인증서 인증이 내장된 브라우저를 사용하여 로컬로 또는 원격으로 RHEL 8 시스템에 액세스할 수 있습니다. 추가 클라이언트 소프트웨어는 필요하지 않습니다. 이러한 인증서는 일반적으로 스마트 카드 또는 유비키에서 제공되거나 브라우저로 가져올 수 있습니다.

TLS 클라이언트 인증서를 사용하여 웹 콘솔에 로그인하는 옵션

이번 업데이트를 통해 브라우저 또는 스마트 카드 또는 TitaniumbiKey와 같은 장치에서 제공하는 TLS 클라이언트 인증서로 로그인하도록 웹 콘솔을 구성할 수 있습니다.

웹 콘솔 로그인 관련 변경 사항

RHEL 웹 콘솔이 다음과 같은 변경 사항으로 업데이트되었습니다.

RHEL 웹 콘솔이 PatternFly 4 사용자 인터페이스 설계 시스템을 사용하도록 재설계되었습니다.

새 설계는 더 나은 접근성을 제공하며 OpenShift 4의 설계와 일치합니다. 업데이트는 다음과 같습니다.

가상 머신 페이지 업데이트

웹 콘솔의 Virtual Machines 페이지에 몇 가지 스토리지가 개선되었습니다.

웹 콘솔 스토리지 페이지 업데이트

사용성 테스트에서는 RHEL 웹 콘솔 스토리지 페이지의 기본 마운트 지점 개념이 파악하기가 어렵고 이로 인해 혼란이 발생했습니다. 이번 업데이트를 통해 파일 시스템을 마운트할 때 웹 콘솔에서 더 이상 기본 선택 사항을 제공하지 않습니다. 이제 새 파일 시스템을 생성하려면 항상 지정된 마운트 지점이 필요합니다.

설치 트리에서 RHEL 가상 머신을 생성하려고 하면 이제 더 유용한 오류 메시지가 반환됩니다.

경우에 따라 --location 옵션과 함께 virt-install 유틸리티를 사용하여 생성된 RHEL 7 및 RHEL 8 가상 머신은 부팅되지 않습니다. 이번 업데이트에서는 이 문제를 해결하는 방법에 대한 지침을 제공하는 virt-install 오류 메시지가 추가되었습니다.

KVM 게스트에서 지원되는 Intel Xeon 플래티넘 9200 시리즈 프로세서

Intel Xeon 플래티넘 9200 시리즈 프로세서(이전의 Cascade Lake)에 대한 지원이 이제 KVM 하이퍼바이저 및 커널 코드와 libvirt API에 추가되었습니다. 이를 통해 KVM 가상 머신은 Intel Xeon 플래티넘 9200 시리즈 프로세서를 사용할 수 있습니다.

EDK2 가 stable201908 버전으로 업데이트

EDK2 패키지가 여러 개선사항을 제공하는 stable201908 버전으로 업그레이드되었습니다. 특히:

중첩된 가상 머신 생성

이번 업데이트를 통해 RHEL 8을 사용하는 Intel 64 호스트에서 실행되는 KVM(VM)에 중첩된 가상화가 완전히 지원됩니다. 이 기능을 사용하면 물리적 RHEL 8 호스트에서 실행되는 RHEL 7 또는 RHEL 8 VM이 하이퍼바이저 역할을 하며 고유한 VM을 호스팅할 수 있습니다.

/etc/containers/registries.conf의 기본 레지스트리 검색 목록이 업데이트되었습니다.

/etc/containers/registries .conf의 기본 registries. search 목록은 Red Hat 및 해당 파트너가 큐레이션, 패치 및 유지 관리하는 컨테이너 이미지를 제공하는 신뢰할 수 있는 레지스트리만 포함하도록 업데이트되었습니다.

Podman은 더 이상 oci-systemd-hook에 의존하지 않습니다.

Podman은 container - tools:rhel8 및 container-tools:2.0 모듈 스트림에서 제거된 oci- systemd- hook 패키지를 필요로 하거나 의존하지 않습니다.

버전 또는 inst.version 커널 부팅 매개변수를 사용하면 더 이상 설치 프로그램이 중지되지 않습니다.

이전에는 버전 또는 inst.version 부팅 매개 변수를 사용하여 커널 명령줄에서 설치 프로그램을 부팅하는 경우 버전이 출력되었습니다 (예: anaconda 30.25.6 ).

설치 프로그램에서 s390x의 보안 부팅 지원

이전에는 RHEL 8.1에서 보안 부팅을 사용한 IBM Z 환경에서 사용하기 위한 부팅 디스크 준비 지원이 제공되었습니다. 설치 중에 사용되는 서버 및 하이퍼바이저의 기능은 디스크상의 디스크 형식에 보안 부팅 지원이 포함되어 있는지 여부를 결정합니다. 설치하는 동안 디스크 형식에 영향을 미칠 수 있는 방법이 없었습니다. 결과적으로 보안 부팅을 지원하는 환경에 RHEL 8.1을 설치한 경우 일부 페일오버 시나리오에서처럼 보안 부팅 지원이 부족한 환경으로 이동할 때 시스템을 부팅할 수 없었습니다.

보안 부팅 기능을 사용할 수 있습니다.

이전에는 secure= 부팅 옵션의 기본값이 auto 로 설정되지 않아 보안 부팅 기능을 사용할 수 없었습니다. 이번 업데이트를 통해 이전에 구성하지 않은 경우 기본값이 auto 로 설정되고 보안 부팅 기능을 사용할 수 있습니다.

/etc/sysconfig/kernel 파일은 더 이상 new- kernel-pkg 스크립트를 참조하지 않습니다.

이전에는 /etc/sysconfig/kernel 파일에서 new-kernel-pkg 스크립트를 참조했습니다. 그러나 new-kernel-pkg 스크립트는 RHEL 8 시스템에 포함되지 않습니다. 이번 업데이트를 통해 new-kernel-pkg 스크립트에 대한 참조가 /etc/sysconfig/kernel 파일에서 제거되었습니다.

설치에서 부트 장치 NVRAM 변수에서 허용되는 최대 장치 수를 설정하지 않습니다.

이전에는 RHEL 8 설치 프로그램에서 부트 장치 NVRAM 변수에서 허용되는 최대 장치 수를 설정했습니다. 이로 인해 최대 장치 수를 초과하는 시스템에서 설치에 실패했습니다. 이번 업데이트를 통해 RHEL 8 설치 프로그램은 이제 최대 장치 설정을 확인하고 허용되는 장치 수만 추가합니다.

설치는 네트워크 이외의 위치에 있는 Kickstart 파일에서 URL 명령을 사용하는 이미지 위치에 대해 작동합니다.

이전에는 비네트워크 위치에 있는 Kickstart 파일에서 URL 명령으로 이미지 원격 위치에 의해 트리거된 네트워크 활성화를 프로세스 초기에 설치하지 못했습니다. 이번 업데이트에서는 네트워크 이외의 위치에 있는 Kickstart 파일에서 URL 명령을 사용하여 이미지 위치를 제공하는 문제 및 설치(예: CD-ROM 또는 로컬 블록 장치)가 예상대로 작동합니다.

RHEL 8 설치 프로그램은 포맷되지 않은 장치에 대해서만 ECKD DASD를 확인합니다.

이전에는 포맷되지 않은 장치를 확인할 때 설치 프로그램이 모든 DASD 장치를 확인했습니다. 그러나 설치 프로그램은 ECKD DASD 장치만 확인해야 합니다. 그 결과 SWAPGEN이 있는 FBA DASD 장치를 사용할 때 설치에 실패했습니다. 이번 업데이트를 통해 설치 프로그램이 FBA DASD 장치를 확인하지 않고 설치가 성공적으로 완료되었습니다.

yum repolist 가 첫 번째 사용 가능한 저장소에서 종료되지 않음

이전에는 리포지토리 구성 옵션 skip_if_unavailable 이 기본적으로 다음과 같이 설정되었습니다.

자동 업데이트

RHEL 8.2에는ReaR(Relax-and- recovery) 유틸리티에 대한 여러 업데이트가 도입되었습니다.

mlocate 패키지 설치 중에 mlocate-updatedb.timer 이 활성화되었습니다

이전에는 mlocate 패키지 설치 후 mlocate-updatedb.timer 타이머가 비활성화되었으므로 파일 데이터베이스의 재지정이 자동으로 수행되지 않았습니다. 이번 업데이트를 통해 mlocate-updatedb.timer 타이머는 이제 90-default.preset 파일의 일부이며 mlocate 패키지 설치 후 기본적으로 활성화됩니다. 결과적으로 파일 데이터베이스가 자동으로 업데이트됩니다.

dnsmasq 에서 되풀이되지 않는 DNS 쿼리를 올바르게 처리

이전에는 dnsmasq 가 비재귀적 모든 쿼리를 업스트림 서버에 전달하여 다른 응답을 생성했습니다. 이번 업데이트를 통해 /etc/hosts 파일에서 읽은 DHCP 호스트 리스 이름 또는 호스트와 같은 로컬 알려진 이름에 대한 비재귀적 쿼리는 dnsmasq 에 의해 처리되며 업스트림 서버로 전달되지 않습니다. 결과적으로 알려진 이름에 대한 재귀적 쿼리와 동일한 응답이 반환됩니다.

시스템 시간이 변경된 후 dhclient 가 더 이상 IP 주소를 갱신하지 못합니다.

이전에는 시스템 시간이 변경되면 커널이 제거되어 할당된 IP 주소가 손실될 수 있었습니다. 이번 업데이트를 통해 dhclient 는 monotonic 타이머를 사용하여 이전 시간 건너뛰기를 탐지하고 시스템 시간이 중단되는 경우 리스 확장을 위해 DHCPREQUEST 메시지를 발행합니다. 결과적으로 시스템은 설명된 시나리오에서 더 이상 IP 주소를 손실하지 않습니다.

ipcalc 에서 /31 네트워크의 올바른 브로드캐스트 주소를 반환합니다.

이번 업데이트에서는 RFC 3021 표준을 올바르게 따르도록 ipcalc 유틸리티가 수정되었습니다. 결과적으로 /31 접두사가 인터페이스에 사용되는 경우 ipcalc 는 올바른 브로드캐스트 주소를 반환합니다.

/etc/services 에 적절한 NRPE 포트 정의 포함

이번 업데이트에서는 /etc/services 파일에 적절한 NRPE(Remote Plug-in Executor) 서비스 포트 정의가 추가되었습니다.

postfix DNS 확인자 코드에서 res_ query 대신 res_search 를 사용합니다.

postfix 에서 이전 업데이트 이후 DNS 확인기 코드는 res_ search 함수 대신 res_ query 함수를 사용했습니다. 그 결과 DNS 확인자는 다음 postfix 구성을 사용하여 현재 및 상위 도메인에서 호스트 이름을 검색하지 않았습니다.

PCRE, CDB 및 SQLite를 Postfix와 함께 사용할 수 있음

RHEL 8에서 postfix 패키지는 여러 하위 패키지로 분할되었으며 각 하위 패키지는 특정 데이터베이스에 대한 플러그인을 제공합니다. 이전에는 postfix-pcre,postfix- cdb 및 postfix-sqlite 플러그인을 포함하는 RPM 패키지가 배포되지 않았습니다. 결과적으로 이러한 플러그인의 데이터베이스를 Postfix와 함께 사용할 수 없었습니다. 이번 업데이트에서는 PCRE, CDB 및 SQLite 플러그인을 포함하는 RPM 패키지가 AppStream 리포지토리에 추가되었습니다. 따라서 이러한 플러그인은 적절한 RPM 패키지를 설치한 후 사용할 수 있습니다.

fapolicyd 가 더 이상 RHEL 업데이트를 금지하지 않음

업데이트가 실행 중인 애플리케이션의 바이너리를 교체하면 커널은 " (deleted)" 접미사를 추가하여 메모리의 애플리케이션 바이너리 경로를 수정합니다. 이전에는 fapolicyd 파일 액세스 정책 데몬이 애플리케이션을 신뢰할 수 없는 것으로 처리하여 다른 파일을 열고 실행할 수 없었습니다. 그 결과 업데이트를 적용한 후 시스템을 부팅할 수 없는 경우가 있었습니다.

OpenSSL-pkcs11 은 더 이상 여러 장치에 로그인하여 장치를 잠그지 않습니다.

이전에는 openssl-pkcs11 엔진이 제공된 PKCS #11 URI를 사용하여 첫 번째 검색 결과에 로그인하려고 시도했으며 첫 번째 결과가 의도한 장치가 아니고 PIN이 다른 장치와 일치하는 경우에도 제공된 PIN을 사용했습니다. 이러한 실패한 인증 시도는 장치를 잠급니다.

rpmverifyfile 을 사용하여 OpenSCAP 오프라인 스캔이 제대로 작동합니다

이번 업데이트 이전에는 OpenSCAP 스캐너가 오프라인 모드에서 현재 작업 디렉터리를 올바르게 변경하지 않았으며 fchdir 함수가 OpenSCAP rpmverifyfile 프로브에서 올바른 인수와 함께 호출되지 않았습니다. OpenSCAP 스캐너는 오프라인 모드에서 현재 작업 디렉터리를 올바르게 변경하도록 수정되었으며 rpmverifyfile 에서 올바른 인수를 사용하도록 fchdir 기능이 수정되었습니다. 결과적으로 OVAL rpmverifyfile이 포함된 SCAP 콘텐츠를 사용하여 임의의 파일 시스템을 스캔할 수 있습니다.

PKCS #11 장치에 저장된 공개 키와 일치하지 않고 ECDSA 개인 키를 사용하는 경우 httpd 가 올바르게 시작됩니다.

RSA 키와 달리 ECDSA 개인 키에는 공개 키 정보가 반드시 포함되어 있지 않습니다. 이 경우 ECDSA 개인 키에서 공개 키를 가져올 수 없습니다. 이러한 이유로 PKCS #11 장치는 공개 키 오브젝트인지 인증서 오브젝트인지 여부에 관계없이 공개 키 정보를 별도의 개체에 저장합니다. OpenSSL은 개인 키에 공개 키 정보를 포함하도록 엔진에서 제공하는 EVP_PKEY 구조를 예상했습니다. OpenSSL에 제공할 EVP_PKEY 구조를 채울 때 openssl-pkcs11 패키지의 엔진은 일치하는 공개 키 오브젝트에서만 공개 키 정보를 가져오고 현재 인증서 오브젝트를 무시하려고 했습니다.

감사 규칙의 scap-security-guide PCI-DSS 수정이 올바르게 작동합니다.

이전에는 scap-security-guide 패키지에 다음과 같은 시나리오 중 하나가 될 수 있는 수정 및 검사가 포함되어 있었습니다.

OpenSCAP 에서 가상 머신 및 컨테이너의 오프라인 스캔 제공

이전에는 OpenSCAP 코드베이스를 리팩토링하면 특정 RPM 프로브가 오프라인 모드에서 VM 및 컨테이너 파일 시스템을 스캔하지 못했습니다. 결과적으로 openscap-utils 패키지에 oscap- vm 및 oscap- chroot 를 포함할 수 없었습니다. 또한 openscap-containers 패키지는 RHEL 8에서 완전히 제거되었습니다. 이번 업데이트를 통해 프로브의 문제가 수정되었습니다.

OpenSCAP rpmverifypackage 가 올바르게 작동합니다.

이전에는 chdir 및 chroot 시스템 호출이 rpmverifypackage 프로브에 의해 두 번 호출되었습니다. 그 결과 사용자 지정 OVAL(Open Vulnerability and Assessment Language) 콘텐츠로 OpenSCAP 스캔 중에 프로브를 사용할 때 오류가 발생했습니다. rpmverifypackage 프로브가 chdir 및 chroot 시스템 호출을 올바르게 활용하도록 수정되었습니다. 결과적으로 rpmverifypackage 가 올바르게 작동합니다.

qdisc_run 함수에서 잠금으로 인해 커널 충돌이 발생하지 않습니다

이전에는 트래픽을 분리하는 동안 pfifo_fast 대기열이 재설정될 때 패킷 전송이 해제된 후 경쟁 조건이 발생했습니다. 그 결과 커널이 예기치 않게 종료되는 경우가 있었습니다. 이번 업데이트를 통해 qdisc_run 함수의 잠금이 개선되었습니다. 따라서 설명된 시나리오에서 커널이 더 이상 충돌하지 않습니다.

org.fedoraproject.FirewallD1.config.service의 DBus API가 예상대로 작동합니다.

이전 버전에서는 DBus API getIncludes,setIncludes 및 queryIncludes 함수의 org.fedoraproject.FirewallD1 에서 오류 메시지를 반환했습니다 . org.fedoraproject.FirewallD1.Exception: 잘못된 인덱싱으로 인해 범위를 벗어납니다. 이번 업데이트를 통해 DBus API getIncludes,setIncludes 및 queryIncludes 기능이 예상대로 작동합니다.

RHEL은 더 이상 ipvs 모듈을 언로드 할 때 커널 경고를 기록하지 않습니다

이전에는 IP 가상 서버(ipvs) 모듈에서 잘못된 참조 수를 사용했기 때문에 모듈을 언로드할 때 경쟁 조건이 발생했습니다. 그 결과 RHEL은 커널 경고를 기록했습니다. 이번 업데이트에서는 경합 조건이 수정되었습니다. 결과적으로 ipvs 모듈을 언로드하면 커널에서 경고를 더 이상 기록하지 않습니다.

nft 유틸리티는 더 이상 옵션 이외의 첫 번째 인수 이후 인수를 명령줄 옵션으로 해석하지 않습니다.

이전에는 nft 유틸리티에서 nft 명령의 모든 옵션을 허용했습니다. 예를 들어 관리자는 옵션 이외의 인수 간 또는 이후에 옵션을 사용할 수 있습니다. 그 결과 선행 대시로 인해 nft 가 음수 우선 순위 값을 옵션으로 해석하고 명령이 실패했습니다. 첫 번째 비옵션 인수를 읽은 후 대시로 시작하는 인수를 해석하지 않도록 nft 유틸리티의 명령줄 구문 분석기가 업데이트되었습니다. 결과적으로 관리자는 음수 우선 순위 값을 nft 로 전달하는 해결방법이 더 이상 필요하지 않습니다.

/etc/hosts.allow 및 /etc/hosts.deny 파일에 더 이상 tcp_wrappers제거에 대한 오래된 참조가 포함되어 있지 않습니다.

이전에는 /etc/hosts.allow 및 /etc/hosts.deny 파일에 tcp_wrappers 패키지에 대한 오래된 정보가 포함되어 있었습니다. 파일은 제거된 tcp_wrappers 에 더 이상 필요하지 않으므로 RHEL 8에서 제거됩니다.

영역 드리프트를 비활성화하기 위해 구성 매개 변수가 firewalld 에 추가되었습니다.

이전에는 firewalld 서비스에 "zone drifting"이라는 문서화되지 않은 동작이 포함되어 있었습니다. RHEL 8.0은 보안에 부정적인 영향을 미칠 수 있으므로 이 동작을 제거했습니다. 그 결과 이 동작을 사용하여 범용 또는 폴백 영역을 구성하는 호스트에서 firewalld 는 이전에 허용된 연결을 거부했습니다. 이번 업데이트에서는 영역 드리프트 동작을 구성 가능한 기능으로 다시 추가합니다. 결과적으로 사용자는 이제 영역 드리프트 사용을 결정하거나 더 안전한 방화벽 설정에 대한 동작을 비활성화할 수 있습니다.

하위 섹션 메모리 핫플러그가 완전히 지원됨

이전에는 일부 플랫폼은 DMM(Dual In-Line Modules)과 같은 실제 메모리 영역을 조정하고 인터리브 세트를 64MiB 메모리 경계로 조정했습니다. 그러나 Linux 핫플러그 하위 시스템은 128MiB의 메모리 크기를 사용하므로 새 장치를 핫플러그하면 여러 메모리 영역이 단일 핫플러그 메모리 창에서 중복되었습니다. 이로 인해 다음 또는 유사한 호출 추적을 사용하여 사용 가능한 영구 메모리 네임스페이스가 나열되지 않았습니다.

데이터 손상으로 인해 WARN 메시지 대신 BUG가 트리거됩니다.

이번 개선된 기능을 통해 lib/list_debug.c 의 목록 손상이 이제 vmcore 가 포함된 보고서를 생성하는 BUG가 트리거됩니다. 이전 버전에서는 데이터 손상이 발생하면 눈에 띄지 않은 간단한 WARN이 생성되었습니다. CONFIG_BUG_ON_DATA_CORRUPTION을 설정하면 이제 커널에서 충돌을 생성하고 데이터 손상에 대한 응답으로 BUG를 트리거합니다. 이로 인해 추가 손상을 방지하고 보안 위험을 줄입니다. kdump 는 이제 데이터 손상 버그 보고를 개선하는 vmcore 를 생성합니다.

Intel Valsville 카드 지원은 사용할 수 있지만 RHEL 8.2에서 확인되지 않았습니다.

Intel Valsville 카드 지원은 제공되지만 Red Hat Enterprise Linux 8.2에서는 테스트되지 않았습니다.

RPS 및 XPS가 더 이상 분리된 CPU에 작업을 배치하지 않음

이전에는 RPM(Receive Packet Buildering) 소프트웨어 대기열 메커니즘과 XPS(Transmit Packet Trackering) 전송 대기열 선택 메커니즘이 격리된 CPU를 포함하여 모든 CPU 세트에서 할당된 작업을 수행했습니다. 결과적으로 대기 시간에 민감한 워크로드가 RPS 또는 XPS 작업이 실행 중인 동일한 CPU를 사용하는 경우 실시간 환경에서 예기치 않은 대기 시간이 급증할 수 있었습니다. 이번 업데이트를 통해 store_rps_map() 함수에는 RPS 구성을 위해 격리된 CPU가 포함되지 않습니다. 마찬가지로 XPS 구성에 사용되는 커널 드라이버는 CPU 격리를 사용합니다. 결과적으로 RPS 및 XPS가 설명된 시나리오에서 격리된 CPU에 더 이상 작업을 배치하지 않습니다. /sys/devices/pci*/net/dev/queues/rx-*/rps_cpus 파일에서 격리된 CPU를 구성하는 경우 다음 오류가 나타납니다.

SCSI 드라이버가 더 이상 과도한 양의 메모리를 사용하지 않습니다

이전에는 특정 SCSI 드라이버에서 RHEL 7보다 많은 양의 메모리를 사용했습니다. 특정 경우(예: 파이버 채널 HBA(호스트 버스 어댑터)에 vPort 생성) 시스템 구성에 따라 메모리 사용량이 과도하게 사용되었습니다.

UDS가 다시 빌드를 완료하기 전에 VDO를 일시 중지할 수 있습니다.

이전에는 UDS 인덱스가 다시 빌드되는 동안 VDO 볼륨을 일시 중지하려고 하면 dmsetup suspend 명령이 응답하지 않았습니다. 명령은 다시 빌드한 후에만 완료됩니다.

mod_cgid 로깅의 문제가 해결되었습니다

이 업데이트 이전에는 mod_cgid Apache httpd 모듈이 스레드 MPM(Multi-processing module)에서 사용된 경우 다음과 같은 로깅 문제가 발생했습니다.

dlopen 에 실패하는 경우 할당되지 않고 초기화되지 않은 공유 오브젝트로 인해 더 이상 실패하지 않습니다.

이전에는 dlopen 호출이 실패하면 오류를 보고하기 전에 glibc 동적 링커에서 NODELETE 표시가 있는 공유 개체를 제거하지 않았습니다. 결과적으로 재배치되지 않고 초기화되지 않은 공유 오브젝트가 프로세스 이미지에 남아 있어 어설션 실패 또는 충돌이 발생했습니다. 이번 업데이트를 통해 동적 로더는 보류 중인 NODELETE 상태를 사용하여 dlopen 실패 시 공유 개체를 제거한 후 이를 영구적으로 NODELETE 로 표시합니다. 결과적으로 프로세스가 재배치되지 않은 오브젝트를 그대로 두지 않습니다. 또한 ELF 생성자와 구조자가 실행되는 동안 지연 바인딩 오류는 이제 프로세스를 종료합니다.

64비트 ARM 아키텍처의 고급 SIMD 기능은 lazily가 해결되면 더 이상 잘못 컴파일되지 않습니다.

이전에는 고급 SIMD 기능을 지연할 때 특정 호출자 저장 레지스터를 올바르게 저장하고 복원하지 않은 고급 SIMD의 새로운 CVS(Varlier Procedure Call Standard)가 실패했습니다. 이로 인해 런타임 시 바이너리가 잘못될 수 있었습니다. 이번 업데이트를 통해 기호 테이블의 Advanced SIMD 및 SVE 벡터 함수는 .variant_pcs 와 함께 표시되며 그 결과 동적 링커가 이러한 기능을 조기에 바인딩합니다.

sudo 래퍼 스크립트에서 옵션을 구문 분석합니다

이전에는 /opt/redhat/devtoolset*/root/usr/bin/sudo 래퍼 스크립트가 sudo 옵션을 올바르게 구문 분석하지 않았습니다. 결과적으로 일부 sudo 옵션(예: sudo -i)을 실행할 수 없습니다. 이번 업데이트를 통해 더 많은 sudo 옵션이 올바르게 구문 분석되고 sudo 래퍼 스크립트가 /usr/bin/sudo 처럼 작동합니다.

glibc 에서 TLS 변수 정렬이 수정되었습니다

이전에는 특정 조건에서 정렬된 스레드-로컬 스토리지(TLS) 데이터가 예상 정렬 없이 인스턴스화될 수 있었습니다. 이번 업데이트를 통해 모든 조건에서 올바르게 정렬되도록 POSIX 스레드 라이브러리 libpthread 가 향상되었습니다. 결과적으로 정렬된 TLS 데이터가 올바른 정렬을 통해 모든 스레드에 대해 올바르게 인스턴스화됩니다.

EINTR 또는 E AGAIN 오류 다음에 반복된 pututxline 호출이 더 이상 utmp 파일이 손상되지 않음

pututxline 함수가 잠금을 획득하려고 시도하고 시간 내에 성공하지 못하면 이 함수는 EINTR 또는 E AGAIN 오류 코드를 반환합니다. 이전에는 pututxline 을 즉시 호출하여 잠금을 얻기 위해 관리하면 utmp 파일에서 이미 할당된 일치하는 슬롯을 사용하지 않았지만 다른 항목을 추가했습니다. 그 결과 사용되지 않은 이러한 항목은 utmp 파일의 크기를 크게 높였습니다. 이번 업데이트에서는 문제가 해결되어 이제 utmp 파일에 항목이 올바르게 추가됩니다.

내부 오류가 발생할 때 더 이상 mtrace 가 중단되지 않습니다

이전에는 mtrace 툴 구현의 결함으로 인해 메모리 추적이 중단될 수 있었습니다. 이 문제를 해결하기 위해 mtrace 메모리 추적 구현이 내부 오류가 발생해도 중단되지 않도록 더욱 강력해졌습니다. 결과적으로 사용자가 mtrace 를 호출할 수 있으며 더 이상 중단되지 않고 바인딩된 시간으로 완료합니다.

fork 기능은 pthread_atfork사용과 관련된 특정 교착 상태를 방지합니다.

이전 버전에서는 프로그램이 atfork 핸들러를 등록하고 비동기-신호 처리기에서 포크 를 호출한 경우 내부 구현 의존적 잠금의 결함으로 인해 프로그램이 중단될 수 있었습니다. 이번 업데이트를 통해 단일 스레드 프로그램에서 fork 및 해당 atfork 핸들러 구현이 조정되어 교착 상태가 발생하지 않습니다.

strstr 는 더 이상 잘린 패턴에 대해 잘못된 일치 항목을 반환하지 않습니다

특정 IBM Z 플랫폼(이전 arch13으로 알려짐)에서 페이지 경계를 통과하는 검색 패턴을 처리할 때 strstr 함수가 CPU 레지스터를 올바르게 업데이트하지 않았습니다. 그 결과 strstr 가 잘못된 일치를 반환했습니다. 이번 업데이트에서는 문제가 해결되어 strstr 가 언급된 시나리오에서 예상대로 작동합니다.

glibc 에서 c.UTF-8 로케일 소스 줄임표 표현식이 수정되었습니다.

이전에는 C.UTF-8 소스 로케일의 결함으로 인해 U+10000 이상의 모든 유니코드 코드 포인트에 배치 가중치가 없었습니다. 그 결과 U+10000 이상의 모든 코드 포인트는 예상대로 조회되지 않았습니다. C.UTF-8 소스 로케일이 수정되었으며 새로 컴파일된 바이너리 로케일의 모든 유니코드 코드 포인트에 대한 배치 가중치가 있습니다. 컴파일된 C.UTF-8 로케일은 이번 수정의 결과로 5.3MiB 더 큽니다.

getpwent()를 호출하지 않고 setpwent() 를 호출할 때 glibc 가 더 이상 실패하지 않습니다.

/etc/nsswitch.conf 파일이 Berkeley DB (db) 암호 공급자를 가리키는 경우, 먼저 setpwent()를 호출하지 않고 getpwent() 함수를 사용하여 데이터를 요청할 수 있습니다. endpwent() 함수를 호출할 때, 새 쿼리를 허용하도록 end pwent()를 재설정할 수 없기 때문에 setpwent() 를 먼저 호출하지 않고 get pwent() 에 대한 추가 호출으로 glibc 가 실패했습니다. 이번 업데이트에서는 문제가 해결되었습니다. 결과적으로 endpwent()로 하나의 쿼리를 종료하면 set pwent() 를 호출하지 않아도 getpwent() 에 대한 추가 호출이 새 쿼리를 시작합니다.

ltrace 는 강화된 바이너리에서 시스템 호출을 추적할 수 있음

이전에는 ltrace 가 AMD 및 Intel 64비트 아키텍처에서 시스템 바이너리와 같은 강화된 특정 바이너리에서 결과를 생성하지 않았습니다. 이번 업데이트를 통해 이제 ltrace 가 강화된 바이너리에서 시스템 호출을 추적할 수 있습니다.

Intel의 JCC 취약점이 더 이상 GCC 컴파일러에서 상당한 성능 저하를 초래하지 않음

특정 Intel CPU는 JCC(Jump Conditional Code) 버그의 영향을 받기 때문에 시스템 지침이 잘못 실행됩니다. 결과적으로 영향을 받는 CPU가 프로그램을 제대로 실행하지 못할 수 있습니다. 전체 수정을 위해서는 취약한 CPU의 마이크로 코드를 업데이트하여 성능 저하를 일으킬 수 있습니다. 이번 업데이트를 통해 어셈블러에서 성능 손실을 줄이는 데 도움이 되는 해결 방법을 사용할 수 있습니다. 해결방법은 기본적으로 활성화되어 있지 않습니다.

병렬 빌드를 사용할 때 더 이상 느려지지 않음

이전에는 병렬 빌드를 실행하는 동안 전환을 기다리는 동안 하위 프로세스가 일시적으로 응답하지 않을 수 있었습니다. 결과적으로 높은 -j 값이 있는 빌드가 더 낮은 유효 -j 값에서 느려지거나 실행되었습니다. 이번 업데이트를 통해 이제 make 의 작업 제어 논리가 차단되지 않았습니다. 결과적으로 상위 -j 값이 있는 빌드가 full -j 속도로 실행됩니다.

ltrace 툴에서 함수 호출을 올바르게 보고합니다

모든 RHEL 구성 요소에 적용된 바이너리 강화 기능이 개선되어 이전에 ltrace 툴에서 RHEL 구성 요소의 바이너리 파일의 함수 호출을 탐지할 수 없었습니다. 결과적으로 이러한 바이너리 파일에 사용될 때 탐지된 호출을 보고하지 않았기 때문에 ltrace 출력이 비어 있었습니다. 이번 업데이트에서는 ltrace 가 함수 호출을 처리하는 방식이 수정되어 설명된 문제가 발생하지 않습니다.

dsctl 유틸리티가 하이픈 이름으로 더 이상 인스턴스를 관리하지 못합니다.

이전에는 dsctl 유틸리티가 Directory Server 인스턴스 이름에서 하이픈을 올바르게 구문 분석하지 않았습니다. 결과적으로 관리자는 dsctl 을 사용하여 이름으로 하이픈으로 인스턴스를 관리할 수 없었습니다. 이번 업데이트에서는 문제가 해결되어 이제 dsctl 이 언급된 시나리오에서 예상대로 작동합니다.

Directory Server 인스턴스 이름은 이제 최대 103자를 가질 수 있습니다.

LDAP 클라이언트가 Directory Server에 대한 연결을 설정하면 서버는 로컬 버퍼에 클라이언트 주소와 관련된 정보를 저장합니다. 이전에는 이 버퍼의 크기가 46자보다 긴 LDAPI 경로 이름을 저장하기에 너무 작았습니다. 예를 들어 Directory Server 인스턴스의 이름이 너무 긴 경우입니다. 결과적으로 버퍼 오버플로로 인해 서버가 예기치 않게 종료되었습니다. 이번 업데이트에서는 NSPR(Netscape Portable Runtime) 라이브러리에서 경로 이름에 대해 지원하는 최대 크기까지 버퍼 크기가 증가합니다. 결과적으로 Directory Server가 더 이상 충돌하지 않습니다.

pkidestroy 유틸리티에서 올바른 인스턴스를 선택

이전 버전에서는 pkidestroy --force 명령을 반 삭제 인스턴스에서 실행한 경우 -i 인스턴스 옵션으로 지정된 인스턴스 이름에 관계없이 기본적으로 pki-tomcat 인스턴스를 선택했습니다.

sssd-ldap 도움말 페이지에서 ldap_user_authorized_service 설명이 업데이트되었습니다.

RHEL 8에서는 PAM(Pluggable Authentication Module) 스택이 변경되었습니다. 예를 들어 systemd 사용자 세션은 이제 systemd-user PAM 서비스를 사용하여 PAM 대화를 시작합니다. 이제 이 서비스에는 pam_sss.so 인터페이스가 포함될 수 있는 system-auth PAM 서비스가 재귀적으로 포함됩니다. 즉, SSSD 액세스 제어는 항상 호출됩니다.

IdM에서 AD 신뢰 지원을 활성화하면 필수 DNS 레코드에 대한 정보가 표시됩니다.

이전 버전에서는 외부 DNS 관리를 통한 Red Hat Enterprise Linux IdM(Identity Management) 설치에 대한 AD(Active Directory) 신뢰 지원을 활성화할 때 필수 DNS 레코드에 대한 정보가 표시되지 않았습니다. 수동으로 ipa dns-update-system-records --dry-run 명령을 입력하는 것은 IdM에 필요한 모든 DNS 레코드 목록을 가져오는 것이 바람직했습니다.

통합된 DNS가 있는 IdM 서버에서 재귀 DNS 쿼리가 기본적으로 비활성화됨

이전 버전에서는 통합된 DNS가 있는 IdM(Identity Management) 서버를 사용할 때 재귀 쿼리가 기본적으로 활성화되었습니다. 그 결과 DNS 확장 공격을 위해 서버를 사용할 수 있었습니다. 이번 업데이트를 통해 이제 재귀 DNS 쿼리가 기본적으로 비활성화되어 더 이상 DNS 확장 공격에 서버를 사용할 수 없습니다.

소프트웨어 렌더러를 사용할 때 Wayland의 GNOME 쉘이 더 이상 느리게 작동하지 않음

이전에는 소프트웨어 렌더러를 사용할 때 GNOME Shell의 Wayland 백엔드에서 캐시 가능한 프레임버퍼를 사용하지 않았습니다. 그 결과 Wayland에서 소프트웨어 렌더링 GNOME 쉘이 X.org 백엔드의 소프트웨어 렌더링된 GNOME 쉘과 비교했을 때 속도가 느렸습니다.

10세대 Intel Core 프로세서에서 VM을 시작하면 더 이상 실패하지 않습니다

이전에는 Icelake-Server라고도 하는 10세대 Intel Core 프로세서를 사용하는 호스트 모델에서 VM(가상 시스템)을 시작하지 못했습니다. 이번 업데이트를 통해 libvirt 는 QEMU에서 지원하지 않는 pconfig CPU 기능을 더 이상 비활성화하지 않습니다. 따라서 10세대 Intel 프로세서를 실행하는 호스트 모델에서 VM을 시작하면 더 이상 실패하지 않습니다.

이제 cloud-init 를 사용하여 Microsoft Azure에 가상 머신 프로비저닝이 올바르게 작동합니다.

이전에는 Microsoft Azure 플랫폼에서 RHEL 8 가상 시스템(VM)을 프로비저닝하는 데 cloud-init 유틸리티를 사용할 수 없었습니다. 이번 업데이트에서는 Azure 끝점의 cloud-init 처리가 수정되어 Azure에서 RHEL 8 VM 프로비저닝이 예상대로 진행됩니다.

RHEL 7 호스트의 RHEL 8 가상 머신의 해상도가 매우 높아진 상태에서 안정적으로 볼 수 있습니다.

이전 버전에서는 RHEL 7 호스트 시스템에서 실행 중인 RHEL 8 가상 머신(VM)을 사용할 때 kiosk 모드에서 애플리케이션 실행과 같은 VM의 그래픽 출력을 표시하는 특정 방법을 사용할 수 없었습니다. 더 큰 해상도를 사용할 수 없었습니다. 결과적으로 이러한 방법을 사용하는 VM은 호스트 하드웨어에서 더 높은 해상도를 지원하더라도 최대 redhatx1200까지만 작동했습니다. 이번 업데이트에서는 설명된 문제가 발생하지 않도록 Kiali 및 QXL 드라이버를 조정합니다.

cloud-init 를 사용하여 ESXi VM 사용자 정의 및 VM 재부팅이 올바르게 작동합니다.

이전 버전에서는 VMware ESXi 하이퍼바이저에서 실행 중인 VM(가상 시스템)을 수정하는 데 고정 IP를 사용하고 VM을 복제한 경우, 경우에 따라 새 복제 VM이 재부팅하는 데 시간이 오래 걸렸습니다. 이번 업데이트에서는 cloud-init 에서 VM의 고정 IP를 DHCP에 다시 작성하지 않도록 수정하여 설명된 문제가 발생하지 않습니다.

quay.io 레지스트리에서 이미지를 가져오면 더 이상 의도하지 않은 이미지가 발생하지 않습니다.

이전에는 /etc/containers/registries.conf에 제공된 기본 레지스트리 검색 목록에 quay. io 컨테이너 이미지 레지스트리가 나열되어 짧은 이름을 사용할 때 사용자가 스푸핑된 이미지를 가져올 수 있었습니다. 이 문제를 해결하기 위해 quay.io 컨테이너 이미지 레지스트리가 /etc/containers/registries.conf 의 기본 레지스트리 검색 목록에서 제거되었습니다. 결과적으로 quay.io 레지스트리에서 이미지를 가져오려면 사용자가 quay.io /myorg/myimage 와 같은 전체 리포지토리 이름을 지정해야 합니다. quay.io 레지스트리를 /etc/containers/registries.conf 의 기본 레지스트리 검색 목록에 다시 추가하여 짧은 이름을 사용하여 컨테이너 이미지 가져오기를 다시 활성화할 수 있지만 보안 위험이 발생할 수 있으므로 권장되지는 않습니다.

NMState 를 기술 프리뷰로 사용 가능

NMState는 호스트에 대한 네트워크 API입니다. 기술 프리뷰로 사용할 수 있는 nmstate 패키지는 선언적 방식으로 호스트 네트워크 설정을 관리하는 라이브러리 및 nmstatectl 명령줄 유틸리티를 제공합니다. 네트워킹 상태는 사전 정의된 스키마에서 설명합니다. 현재 상태를 보고하고 원하는 상태로 변경 사항이 모두 스키마를 준수합니다.

AF_XDP 를 기술 프리뷰로 사용 가능(_X)

AF_XDP(Address Family eXpress Data Path ) 소켓은 고성능 패킷 처리를 위해 설계되었습니다. XDP와 결합하고 추가 처리를 위해 프로그래밍 방식으로 선택한 패킷을 사용자 공간 애플리케이션에 효율적으로 리디렉션합니다.

XDP를 기술 프리뷰로 이용 가능

기술 프리뷰로 사용할 수 있는 eXpress Data Path(XDP) 기능은 커널 수신 데이터 경로의 초기 지점에서 고성능 패킷 처리를 위해 eBPF(Extended Berkeley Packet Filter) 프로그램을 연결하여 효율적으로 프로그래밍 가능한 패킷 분석, 필터링 및 조작을 허용합니다.

KTLS는 기술 프리뷰로 사용 가능

Red Hat Enterprise Linux 8에서 KTLS(Kernel Transport Layer Security)는 기술 프리뷰로 제공됩니다. KTLS는 AES-GCM 암호화를 위한 커널에서 대칭 암호화 또는 암호 해독 알고리즘을 사용하여 TLS 레코드를 처리합니다. 또한 KTLS는 이 기능을 지원하는 NIC(네트워크 인터페이스 컨트롤러)로 TLS 레코드 암호화를 오프로드하는 인터페이스를 제공합니다.

dracut 유틸리티는 NetworkManager를 기술 프리뷰로 지원하는 initrd 이미지 생성을 지원

기본적으로 dracut 유틸리티는 쉘 스크립트를 사용하여 초기 RAM 디스크(initrd)의 네트워킹을 관리합니다. 경우에 따라 시스템이 RAM 디스크에서 NetworkManager를 사용하여 네트워크를 구성하는 운영 체제로 전환되는 경우 문제가 발생할 수 있습니다. 예를 들어 RAM 디스크의 스크립트가 이미 IP 주소를 요청한 경우에도 NetworkManager에서 다른 DHCP 요청을 보낼 수 있습니다. 이 RAM 디스크의 요청으로 인해 시간이 초과될 수 있었습니다.

mlx5_core 드라이버는 Mellanox ConnectX-6 Dx 네트워크 어댑터를 기술 프리뷰로 지원

이번 개선된 기능에는 Mellanox ConnectX-6 Dx 네트워크 어댑터의 PCI ID가 mlx5_core 드라이버에 추가됩니다. 이 어댑터를 사용하는 호스트에서 RHEL은 mlx5_core 드라이버를 자동으로 로드합니다. Red Hat은 지원되지 않는 기술 프리뷰로 이 기능을 제공합니다.

systemd-resolved 서비스를 기술 프리뷰로 사용 가능

systemd 확인 서비스는 로컬 애플리케이션에 대한 이름 확인을 제공합니다. 이 서비스는 캐싱을 구현하고 DNS 스텁 확인자, LLMNR(링크-로컬 멀티캐스트 이름 확인자) 및 멀티캐스트 DNS 확인자 및 응답자를 검증합니다.

기술 프리뷰로 kexec 빠른 재부팅

kexec 빠른 재부팅 기능은 기술 프리뷰로 계속 사용할 수 있습니다. 이제 kexec 빠른 재부팅으로 인해 재부팅 속도가 훨씬 빨라졌습니다. 이 기능을 사용하려면 kexec 커널을 수동으로 로드한 다음 운영 체제를 재부팅합니다.

eBPF를 기술 프리뷰로 이용 가능

eBPF(Extended Berkeley Packet Filter) 는 제한된 기능 집합에 액세스할 수 있는 제한된 샌드박스 환경에서 커널 공간에서 코드를 실행할 수 있는 커널 내 가상 시스템입니다.

libbpf는 기술 프리뷰로 사용 가능

libbpf 패키지는 현재 기술 프리뷰로 사용할 수 있습니다. libbpf 패키지는 bpf trace 및 bpf /xdp 개발과 같은 bpf 관련 애플리케이션에 중요합니다.

RHEL 8의 기술 프리뷰로 사용 가능한 igc 드라이버

이제 igc Intel 2.5G 이더넷 Linux 유선 LAN 드라이버를 RHEL 8의 모든 아키텍처에서 기술 프리뷰로 사용할 수 있습니다. ethtool 유틸리티는 igc 유선 LAN도 지원합니다.

soft-RoCE를 기술 프리뷰로 이용 가능

RoCE(Remote Direct Memory Access) over Converged Ethernet (RoCE)는 이더넷을 통해 RDMA를 구현하는 네트워크 프로토콜입니다. 소프트 로빈은 RoCE v1 및 RoCE v2의 두 프로토콜 버전을 지원하는 RoCE의 소프트웨어 구현입니다. soft-RoCE 드라이버인 rdma_rxe 는 RHEL 8에서 지원되지 않는 기술 프리뷰로 사용할 수 있습니다.

NVMe/TCP를 기술 프리뷰로 사용 가능

TCP/IP 네트워크(NVMe/TCP)를 통한 NVMe(Nonvolatile Memory Express) 스토리지 액세스 및 공유 및 해당 nvme-tcp.ko 및 nvmet-tcp.ko 커널 모듈이 기술 프리뷰로 추가되었습니다.

ext4 및 XFS에서 기술 프리뷰로 파일 시스템 DAX 사용 가능

Red Hat Enterprise Linux 8.2에서 DAX 파일 시스템 DAX는 기술 프리뷰로 사용할 수 있습니다. DAX는 애플리케이션이 영구 메모리를 주소 공간으로 직접 매핑할 수 있는 수단을 제공합니다. DAX를 사용하려면 시스템에 몇 가지 형태의 영구 메모리를 사용할 수 있어야 합니다. 일반적으로 하나 이상의 비Volatile 듀얼 인라인 메모리 모듈(NVDIMM) 형식이며 DAX를 지원하는 파일 시스템은 NVDIMM에서 생성해야 합니다. 또한 dax 마운트 옵션을 사용하여 파일 시스템을 마운트해야 합니다. 그런 다음 dax 마운트된 파일 시스템에 있는 파일의 mmap 을 통해 스토리지가 애플리케이션의 주소 공간에 직접 매핑됩니다.

OverlayFS

Overlayfs는 유니언 파일 시스템 유형입니다. 이를 통해 한 파일 시스템을 다른 파일 시스템에서 오버레이할 수 있습니다. 변경 사항은 상위 파일 시스템에 기록되는 반면 하위 파일 시스템은 수정되지 않았습니다. 이를 통해 여러 사용자가 기본 이미지가 읽기 전용 미디어에 있는 컨테이너 또는 DVD-ROM과 같은 파일 시스템 이미지를 공유할 수 있습니다. https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt 에 대한 자세한 내용은 Linux 커널 설명서를 참조하십시오.

Stratis를 기술 프리뷰로 사용 가능

Stratis는 새 로컬 스토리지 관리자입니다. 스토리지 풀에서 사용자에게 추가 기능을 제공하는 관리형 파일 시스템을 제공합니다.

IdM에서 IdM 도메인 멤버에서 기술 프리뷰로 Samba 서버 설정 지원

이번 업데이트를 통해 IdM(Identity Management) 도메인 멤버에 Samba 서버를 설정할 수 있습니다. 동일한 패키지에서 제공하는 새로운 ipa-client-samba 유틸리티는 Samba별 Kerberos 서비스 주체를 IdM에 추가하고 IdM 클라이언트를 준비합니다. 예를 들어 유틸리티는 sss ID 매핑 백엔드에 대한 ID 매핑 구성을 사용하여 /etc/samba/smb.conf 를 만듭니다. 결과적으로 관리자가 IdM 도메인 멤버에 Samba를 설정할 수 있습니다.

Pacemaker podman 번들을 기술 프리뷰로 이용 가능

이제 Pacemaker 컨테이너 번들은 기술 프리뷰로 사용할 수 있는 컨테이너 번들 기능과 함께 podman 컨테이너 플랫폼에서 실행됩니다. 이 기능에는 기술 프리뷰가 한 가지 예외가 있습니다. Red Hat은 Red Hat Openstack을 위한 Pacemaker 번들 사용을 완전히 지원합니다.

corosync-qdevice 의 추론을 기술 프리뷰로 사용 가능

복구는 시작 시 로컬로 실행되는 명령 집합, 클러스터 멤버십 변경, 성공적으로 연결되고 corosync-qnetd 에 연결되며 선택적으로 주기적으로 실행됩니다. 모든 명령이 시간에 성공적으로 완료되면(반환 오류 코드가 0임) 추론이 전달되고, 그렇지 않으면 실패합니다. 추론 결과는 corosync-qnetd 로 전송됩니다. 여기서 어떤 파티션을 정족수로 결정하기 위해 계산에 사용됩니다.

새로운 fence-agents-heuristics-ping 펜스 에이전트

Pacemaker는 기술 프리뷰로 fence_heuristics_ping 에이전트를 지원합니다. 이 에이전트는 자체적으로 실제 펜싱을 수행하지 않고 새로운 방식으로 펜싱 수준의 동작을 활용하는 실험적 펜스 에이전트 클래스를 여는 것을 목표로 합니다.

ID 관리 JSON-RPC API를 기술 프리뷰로 사용 가능

IdM(Identity Management)에 API를 사용할 수 있습니다. API를 보기 위해 IdM은 API 브라우저도 기술 프리뷰로 제공합니다.

IdM에서 DNSSEC 사용 가능

통합된 DNS가 있는 IdM(Identity Management) 서버는 DNS 프로토콜의 보안을 강화하는 DNS로의 확장 기능 세트인 DNSSEC(DNS Security Extensions)를 지원합니다. IdM 서버에서 호스팅되는 DNS 영역은 DNSSEC를 사용하여 자동으로 서명할 수 있습니다. 암호화 키는 자동으로 생성되고 순환됩니다.

공개 키 인프라의 전반적인 상태를 기술 프리뷰로 확인할 수 있습니다

이번 업데이트를 통해 PKI(공개 키 인프라) 상태 점검 툴에서 PKI 하위 시스템의 상태를 RHEL 8.1에서 도입한 IdM(Identity Management) Healthcheck 툴에 보고합니다. IdM Healthcheck를 실행하면 PKI 하위 시스템의 상태 보고서를 수집하고 반환하는 PKI Healthcheck가 호출됩니다.

64비트 ARM 아키텍처용 GNOME을 기술 프리뷰로 사용 가능

이제 64비트 ARM 아키텍처에서 기술 프리뷰로 GNOME 데스크탑 환경을 사용할 수 있습니다. 이를 통해 관리자는 VNC 세션을 사용하여 원격으로 GUI(그래픽 사용자 인터페이스)에서 서버를 구성하고 관리할 수 있습니다.

VNC 원격 콘솔은 64비트 ARM 아키텍처에 대한 기술 프리뷰로 사용 가능

64비트 ARM 아키텍처에서 VNC(Virtual Network Computing) 원격 콘솔은 기술 프리뷰로 사용할 수 있습니다. 나머지 그래픽 스택은 현재 64비트 ARM 아키텍처에 대해 확인되지 않습니다.

RHEL 시스템 역할의 postfix 역할을 기술 프리뷰로 사용 가능

Red Hat Enterprise Linux 시스템 역할은 Red Hat Enterprise Linux 하위 시스템에 대한 구성 인터페이스를 제공하므로 Ansible 역할을 포함하여 시스템 구성이 더 쉬워집니다. 이 인터페이스를 사용하면 여러 버전의 Red Hat Enterprise Linux에서 시스템 구성을 관리할 수 있을 뿐 아니라 새로운 주요 릴리스를 채택할 수 있습니다.

rhel-system-roles-sap 을 기술 프리뷰로 이용 가능

rhel-system-roles-sap 패키지는 SAP 워크로드를 실행하기 위해 RHEL 시스템의 구성을 자동화하는 데 사용할 수 있는 SAP용 RHEL(Red Hat Enterprise Linux) 시스템 역할을 제공합니다. 이러한 역할은 관련 SAP Notes에 설명된 모범 사례를 기반으로 하는 최적의 설정을 자동으로 적용하여 SAP 워크로드를 실행하는 시스템을 구성하는 시간을 크게 단축합니다. 액세스는 SAP 솔루션용 RHEL로 제한됩니다. 서브스크립션에 대한 지원이 필요한 경우 Red Hat 고객 지원에 문의하십시오.

Intel 네트워크 어댑터가 Hyper-V의 RHEL 게스트에서 SR-IOV 지원

Hyper-V 하이퍼바이저에서 실행되는 Red Hat Enterprise Linux 게스트 운영 체제는 이제 ixgbevf 및 i 40evf 드라이버에서 지원하는 Intel 네트워크 어댑터에 SR-IOV(Single-root I/O Virtualization) 기능을 사용할 수 있습니다. 이 기능은 다음 조건이 충족되면 활성화됩니다.

RHEL 8 Hyper-V 가상 머신에서 KVM 가상화 사용 가능

이제 Microsoft Hyper-V 하이퍼바이저에서 중첩된 KVM 가상화를 기술 프리뷰로 사용할 수 있습니다. 결과적으로 Hyper-V 호스트에서 실행 중인 RHEL 8 게스트 시스템에 가상 머신을 생성할 수 있습니다.

KVM 가상 머신용 AMD SEV

RHEL 8은 KVM 하이퍼바이저를 사용하는 AMD EPYC 호스트 시스템을 위한 SEV(Secure Encrypted Virtualization) 기능을 기술 프리뷰로 도입하고 있습니다. 가상 머신(VM)에서 활성화된 경우 SEV는 VM 메모리를 암호화하여 호스트가 VM의 데이터에 액세스할 수 없도록 합니다. 이제 호스트가 악성 코드에에 의해 감염된 경우 VM의 보안이 향상됩니다.

Intel vGPU

이제 기술 프리뷰로 물리적 Intel GPU 장치를 중재 장치라고 하는 여러 가상 장치로 나눌 수 있습니다. 그런 다음 이러한 중재된 장치를 여러 VM(가상 머신)에 가상 GPU로 할당할 수 있습니다. 결과적으로 이러한 VM은 단일 물리적 Intel GPU의 성능을 공유합니다.

Skopeo 컨테이너 이미지는 기술 프리뷰로 사용 가능

registry.redhat.io/rhel8/skopeo 컨테이너 이미지는 skopeo 패키지의 컨테이너화된 구현입니다. skopeo 는 컨테이너 이미지 및 이미지 리포지토리에서 다양한 작업을 수행하는 명령줄 툴 유틸리티입니다. 이 컨테이너 이미지를 사용하면 인증되지 않은 컨테이너 레지스트리에서 다른 컨테이너 레지스트리로 컨테이너 이미지를 검사하고 복사할 수 있습니다.

Buildah 컨테이너 이미지는 기술 프리뷰로 사용할 수 있습니다.

registry.redhat.io/rhel8/buildah 컨테이너 이미지는 buildah 패키지의 컨테이너화된 구현입니다. buildah 는 OCI 컨테이너 이미지를 쉽게 빌드할 수 있는 툴입니다. 이 컨테이너 이미지를 사용하면 시스템에 buildah 패키지를 설치할 필요 없이 컨테이너 이미지를 빌드할 수 있습니다. 사용 사례는 루트가 아닌 사용자로 이 이미지를 rootless 모드에서 실행하는 것을 다루지 않습니다.

podman-machine 명령은 지원되지 않음

가상 머신을 관리하는 podman-machine 명령은 기술 프리뷰로만 사용할 수 있습니다. 대신 명령줄에서 직접 Podman을 실행합니다.

몇 가지 Kickstart 명령 및 옵션이 더 이상 사용되지 않음

RHEL 8 Kickstart 파일에서 다음 명령과 옵션을 사용하면 로그에 경고가 출력됩니다.

ignoredisk Kickstart 명령의 --interactive 옵션이 더 이상 사용되지 않음

Red Hat Enterprise Linux의 향후 릴리스에서 --interactive option을 사용하면 치명적인 설치 오류가 발생합니다. 옵션을 제거하려면 Kickstart 파일을 수정하는 것이 좋습니다.

rpmbuild --sign 이 더 이상 사용되지 않음

이번 업데이트를 통해 rpmbuild --sign 명령이 더 이상 사용되지 않습니다. Red Hat Enterprise Linux의 향후 릴리스에서 이 명령을 사용하면 오류가 발생할 수 있습니다. 대신 rpmsign 명령을 사용하는 것이 좋습니다.

curl에 대한 metalink 지원이 비활성화되었습니다

Metalink를 사용하여 다운로드한 콘텐츠와 자격 증명 및 파일 해시 불일치 처리 방식에 curl 기능에서 취약점이 발견되었습니다. 이 취약점으로 인해 호스팅 서버를 제어하는 악의적인 행위자가 다음을 수행할 수 있습니다.

NSS SEED 암호가 더 이상 사용되지 않음

Mozilla Network Security Services(NSS) 라이브러리는 향후 릴리스에서 SEED 암호를 사용하는 TLS 암호화 제품군을 지원하지 않습니다. SEED 암호를 사용하는 배포의 경우 Red Hat은 다른 암호화 제품군에 대한 지원을 활성화하는 것이 좋습니다. 이렇게 하면 NSS에 대한 지원이 제거될 때 원활한 전환을 보장합니다.

TLS 1.0 및 TLS 1.1이 더 이상 사용되지 않음

TLS 1.0 및 TLS 1.1 프로토콜은 DEFAULT 시스템 전체 암호화 정책 수준에서 비활성화됩니다. 예를 들어 Firefox 웹 브라우저에서 비디오 회의 애플리케이션을 시나리오에 사용해야 하는 경우 더 이상 사용되지 않는 프로토콜을 사용해야 하는 경우 시스템 전체 암호화 정책을 LEGACY 수준으로 전환합니다.

RHEL 8에서 DSA 사용 중단

Red Hat Enterprise Linux 8에서는 DSA(Digital Signature Algorithm)가 더 이상 사용되지 않습니다. DSA 키에 의존하는 인증 메커니즘은 기본 구성에서 작동하지 않습니다. OpenSSH 클라이언트는 LEGACY 시스템 전체 암호화 정책 수준에서도 DSA 호스트 키를 허용하지 않습니다.

SSL2 Client Hello가 NSS에서 더 이상 사용되지 않음

TLS(Transport Layer Security) 프로토콜 버전 1.2 이전의 SSL(Secure Sockets Layer) 프로토콜 버전 2와 역호환되는 방식으로 서식이 지정된 Client Hello 메시지와 협상을 시작할 수 있습니다. NSS(Network Security Services) 라이브러리에서 이 기능에 대한 지원은 더 이상 사용되지 않으며 기본적으로 비활성화되어 있습니다.

TPM 1.2가 더 이상 사용되지 않음

TPM(신뢰할 수 있는 플랫폼 모듈) 보안 암호화 프로세서 표준 버전이 2016년 버전 2.0으로 업데이트되었습니다. TPM 2.0은 TPM 1.2보다 많은 개선 사항을 제공하며 이전 버전과는 역호환되지 않습니다. RHEL 8에서는 TPM 1.2가 더 이상 사용되지 않으며 다음 주요 릴리스에서 제거될 수 있습니다.

RHEL 8에서 네트워크 스크립트가 더 이상 사용되지 않음

네트워크 스크립트가 Red Hat Enterprise Linux 8에서 더 이상 사용되지 않으므로 이제 기본적으로 제공되지 않습니다. 기본 설치는 nmcli 툴을 통해 NetworkManager 서비스를 호출하는 ifup 및 ifdown 스크립트의 새 버전을 제공합니다. Red Hat Enterprise Linux 8에서 ifup 및 ifdown 스크립트를 실행하려면 NetworkManager를 실행해야 합니다.

디스크리스 부팅을 사용하여 실시간 8용 RHEL 설치는 더 이상 사용되지 않음

디스크리스 부팅을 사용하면 여러 시스템에서 네트워크를 통해 루트 파일 시스템을 공유할 수 있습니다. 편리한 디스크 없는 부팅은 실시간 워크로드에서 네트워크 대기 시간을 도입하기 쉽습니다. 향후 RHEL for Real Time 8의 마이너 업데이트에서는 더 이상 디스크리스 부팅 기능이 지원되지 않습니다.

qla3xxx 드라이버가 더 이상 사용되지 않음

RHEL 8에서는 qla3xxx 드라이버가 더 이상 사용되지 않습니다. 드라이버는 이 제품의 향후 주요 릴리스에서 지원되지 않을 가능성이 크므로 새로운 배포에 권장되지 않습니다.

dl2k,dnet,ethoc 및 dlci 드라이버는 더 이상 사용되지 않습니다.

RHEL 8에서는 dl2k,dnet,ethoc 및 dlci 드라이버가 더 이상 사용되지 않습니다. 드라이버는 이 제품의 향후 주요 릴리스에서 지원되지 않을 가능성이 크므로 새로운 배포에 권장되지 않습니다.

The rdma_rxe soft -RoCE 드라이버는 더 이상 사용되지 않습니다.

소프트웨어 RXE(Remote Direct Memory Access over Converged Ethernet)는 RDMA(Remote Direct Memory Access)를 에뮬레이션하는 기능입니다. RHEL 8에서는 soft-RoCE 기능은 지원되지 않는 기술 프리뷰로 사용할 수 있습니다. 그러나 안정성 문제로 인해 이 기능은 더 이상 사용되지 않으며 RHEL 9에서 제거됩니다.

종료된 커널 명령줄 매개변수는 더 이상 사용되지 않습니다.

이전 RHEL 릴리스에서는 모든 장치에 대한 디스크 스케줄러를 설정하는 데 종료된 커널 명령줄 매개 변수가 사용되었습니다. RHEL 8에서는 매개 변수가 더 이상 사용되지 않습니다.

LVM 미러 가 더 이상 사용되지 않음

LVM 미러 세그먼트 유형이 더 이상 사용되지 않습니다. 미러 지원은 향후 RHEL의 주요 릴리스에서 제거될 예정입니다.

UDP를 통한 NFSv3이 비활성화

NFS 서버는 기본적으로 더 이상 UDP(User Datagram Protocol) 소켓을 열거나 수신하지 않습니다. 버전 4는 TCP(Transmission Control Protocol)가 필요하기 때문에 이 변경은 NFS 버전 3에만 영향을 미칩니다.

SMB1 프로토콜은 Samba에서 더 이상 사용되지 않음

Samba 4.11부터 비보안 SMB1(Server Message Block 버전 1) 프로토콜은 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.

libgnome-keyring 라이브러리가 더 이상 사용되지 않음

libgnome-keyring 은 업스트림에서 유지 관리되지 않으며 RHEL에 필요한 암호화 정책을 따르지 않으므로 libgnome-keyring 라이브러리는 lib secret 라이브러리를 대신하여 더 이상 사용되지 않습니다. 새로운 libsecret 라이브러리는 필요한 보안 표준을 따르는 교체입니다.

AGP 그래픽 카드는 더 이상 지원되지 않습니다.

AGP(Acccelerated Graphics Port) 버스를 사용하는 그래픽 카드는 Red Hat Enterprise Linux 8에서는 지원되지 않습니다. PCI-Express 버스를 사용하는 그래픽 카드를 권장되는 대체로 사용합니다.

웹 콘솔에서 더 이상 불완전한 번역을 지원하지 않습니다

RHEL 웹 콘솔은 더 이상 콘솔의 번역 가능한 문자열의 50% 미만으로 사용할 수 있는 언어에 대한 번역을 제공하지 않습니다. 브라우저가 이러한 언어로 번역을 요청하는 경우 사용자 인터페이스는 대신 영어로 진행됩니다.

virt-manager가 더 이상 사용되지 않음

virt-manager라고도 하는 Virtual Machine Manager 애플리케이션은 더 이상 사용되지 않습니다. Cockpit라고도 하는 RHEL 8 웹 콘솔은 후속 릴리스에서 교체될 예정입니다. 따라서 GUI에서 가상화를 관리하기 위해 웹 콘솔을 사용하는 것이 좋습니다. 그러나 virt-manager 에서 사용할 수 있는 일부 기능은 아직 RHEL 8 웹 콘솔을 사용할 수 없다는 점에 유의하십시오.

RHEL 8에서 가상 머신 스냅샷이 올바르게 지원되지 않음

가상 머신(VM) 스냅샷을 생성하는 현재 메커니즘이 안정적으로 작동하지 않기 때문에 더 이상 사용되지 않습니다. 따라서 RHEL 8에서 VM 스냅샷을 사용하지 않는 것이 좋습니다.

Cirrus VGA 가상 GPU 유형이 더 이상 사용되지 않음

향후 Red Hat Enterprise Linux에 대한 주요 업데이트가 있을 경우 KVM 가상 머신에서 Cirrus VGA GPU 장치가 더 이상 지원되지 않습니다. 따라서 Red Hat은 Cirrus VGA 대신 stdvga, virtio-vga 또는 qxl 장치 사용을 권장합니다.

cpu64-rhel6 CPU 모델이 더 이상 사용되지 않으며 삭제되었습니다.

cpu64-rhel6 QEMU 가상 CPU 모델은 RHEL 8.1에서 더 이상 사용되지 않으며 RHEL 8.2에서 제거되었습니다. 호스트 시스템의 CPU에 따라 QEMU 및 libvirt에서 제공하는 다른 CPU 모델을 사용하는 것이 좋습니다.

auth 및 authconfig Kickstart 명령에는 AppStream 리포지토리가 필요

authselect-compat 패키지는 설치하는 동안 auth 및 authconfig Kickstart 명령이 필요합니다. 이 패키지가 없으면 auth 또는 authconfig가 사용되는 경우 설치에 실패합니다. 설계에 따라 authselect-compat 패키지는 AppStream 리포지토리에서만 사용할 수 있습니다.

reboot --kexec 및 inst.kexec 명령은 예측 가능한 시스템 상태를 제공하지 않습니다.

reboot --kexec Kickstart 명령 또는 inst.kexec 커널 부팅 매개 변수를 사용하여 RHEL 설치를 수행해도 전체 재부팅과 동일한 예측 가능한 시스템 상태를 제공하지 않습니다. 결과적으로 재부팅하지 않고 설치된 시스템으로 전환하면 예측할 수 없는 결과가 발생할 수 있습니다.

Anaconda 설치에는 최소한의 리소스 설정 요구 사항의 낮은 제한이 포함되어 있습니다.

Anaconda는 사용 가능한 최소한의 리소스 설정이 있는 시스템에서 설치를 시작하고 성공적으로 설치를 수행하는 데 필요한 리소스에 대한 이전 메시지를 제공하지 않습니다. 결과적으로 설치에 실패할 수 있으며 출력 오류가 가능한 디버그 및 복구를 위한 명확한 메시지를 제공하지 않습니다. 이 문제를 해결하려면 시스템에 설치에 필요한 최소한의 리소스 설정이 있는지 확인합니다. PPC64(LE)의 메모리 2GB, x86_64의 경우 1GB. 따라서 성공적으로 설치를 수행할 수 있어야 합니다.

reboot --kexec 명령을 사용하는 경우 설치 실패

reboot --kexec 명령이 포함된 Kickstart 파일을 사용하면 RHEL 8 설치에 실패합니다. 문제를 방지하려면 Kickstart 파일에서 reboot --kexec 대신 reboot 명령을 사용합니다.

RHEL 8 초기 설정은 SSH를 통해 수행할 수 없습니다.

현재 SSH를 사용하여 시스템에 로그인하면 RHEL 8 초기 설정 인터페이스가 표시되지 않습니다. 따라서 SSH를 통해 관리되는 RHEL 8 시스템에서는 초기 설정을 수행할 수 없습니다. 이 문제를 해결하려면 기본 시스템 콘솔(ttyS0)에서 초기 설정을 수행하고 나중에 SSH를 사용하여 로그인합니다.

설치 프로그램에서는 네트워크 액세스가 기본적으로 활성화되어 있지 않습니다

몇 가지 설치 기능에는 네트워크 액세스(예: CDN(콘텐츠 전달 네트워크), NTP 서버 지원, 네트워크 설치 소스)를 사용하여 시스템 등록이 필요합니다. 그러나 네트워크 액세스는 기본적으로 활성화되어 있지 않으므로 네트워크 액세스가 활성화될 때까지 이러한 기능을 사용할 수 없습니다.

여러 조직에 속한 사용자 계정의 등록 실패

현재 여러 조직에 속하는 사용자 계정으로 시스템을 등록하려고 하면 오류 메시지와 함께 등록 프로세스가 실패합니다. 새 유닛의 조직을 지정해야 합니다.

바이너리 DVD ISO 이미지를 사용한 GUI 설치는 CDN 등록없이 진행되지 않는 경우가 있습니다.

바이너리 DVD ISO 이미지 파일을 사용하여 GUI 설치를 수행할 때 설치 프로그램의 경쟁 조건은 Connect to Red Hat 기능을 사용하여 시스템을 등록할 때까지 설치 진행을 방지할 수 있습니다. 이 문제를 해결하려면 다음 단계를 완료합니다.

Binary DVD.iso 파일의 내용을 파티션에 복사해도 .treeinfo 및 .discinfo 파일이 복사되지 않음

로컬 설치 중에 RHEL 8 바이너리 DVD.iso 이미지 파일의 내용을 파티션에 복사하는 동안 cp <path>/\* <mounted partition>/dir 명령의 * 는 .treeinfo 및. discinfo 파일을 복사하지 못합니다. 이러한 파일은 성공적으로 설치되어야 합니다. 결과적으로 BaseOS 및 AppStream 리포지토리가 로드되지 않으며 anaconda.log 파일의 디버그 관련 로그 메시지가 문제의 유일한 레코드입니다.

Kickstart 설치에는 자체 서명 HTTPS 서버를 사용할 수 없습니다.

현재 설치 소스가 Kickstart 파일에 지정되고 --noverifyssl 옵션이 사용되는 경우 자체 서명된 https 서버에서 설치 프로그램이 설치되지 않습니다.

저장소 새로 고침을 완료하기 전에 CDN을 사용하여 등록 해제를 시도하면 GUI 설치에 실패할 수 있습니다.

RHEL 8.2에서는 시스템을 등록하고 CDN(Content Delivery Network)을 사용하여 서브스크립션을 연결할 때 GUI 설치 프로그램에 의해 리포지토리 메타데이터의 새로 고침이 시작됩니다. 새로 고침 프로세스는 등록 및 서브스크립션 프로세스의 일부가 아니며, 결과적으로 Connect to Red Hat 창에서 Unregister 버튼이 활성화됩니다. 네트워크 연결에 따라 새로 고침 프로세스를 완료하는 데 1분 이상이 걸릴 수 있습니다. 새로 고침 프로세스가 완료되기 전에 Unregister 단추를 클릭하면 unregister 프로세스가 CDN 리포지토리 파일과 CDN과 통신하는 데 필요한 인증서가 제거되므로 GUI 설치가 실패할 수 있습니다.

syspurpose 애드온은 subscription-manager attach --auto 출력에 아무 영향을 미치지 않습니다.

Red Hat Enterprise Linux 8에서는 syspurpose 명령줄 툴의 4가지 속성(role,usage, service _level_agreement, addons )이 추가되었습니다. 현재는 role,usage 및 service_level_agreement 만 subscription-manager attach --auto 명령을 실행하는 출력에 영향을 미칩니다. addons 인수에 값을 설정하려는 사용자는 자동 연결된 서브스크립션에 어떤 영향을 미치지 않습니다.

Kickstart 파일을 사용하여 RHEL을 설치할 때 다중 경로 스토리지 장치의 데이터가 손실됩니다.

Kickstart 파일을 사용하여 RHEL을 설치할 때 호스트에 연결된 다중 경로 스토리지 장치의 데이터는 손실됩니다. 이 문제는 설치 프로그램이 ignoredisk --drives 명령을 사용하여 지정한 다중 경로 스토리지 장치를 무시하지 못하기 때문에 발생합니다. 따라서 장치의 데이터가 손실됩니다.

Wayland 프로토콜을 사용하는 애플리케이션은 원격 디스플레이 서버로 전달할 수 없습니다.

Red Hat Enterprise Linux 8에서 대부분의 애플리케이션은 기본적으로 X11 프로토콜 대신 Wayland 프로토콜을 사용합니다. 결과적으로 ssh 서버는 Wayland 프로토콜을 사용하는 애플리케이션을 전달할 수 없지만 X11 프로토콜을 사용하는 애플리케이션을 원격 디스플레이 서버로 전달할 수 있습니다.

systemd-resolved.service 가 부팅 시 시작되지 않음

systemd 확인 서비스가 부팅 시 시작되지 않는 경우가 있습니다. 이 경우 다음 명령을 사용하여 부팅이 완료된 후 서비스를 수동으로 다시 시작합니다.

symlink의 감사 실행 파일이 작동하지 않음

w 옵션이 제공하는 파일 모니터링은 경로를 직접 추적할 수 없습니다. 실행된 프로그램을 비교하려면 장치와 inode의 경로를 확인해야 합니다. 실행 가능한 symlink를 모니터링하는 감시는 symlink 해상도에서 발견되는 메모리에서 실행되는 프로그램이 아닌 symlink 자체의 inode를 모니터링합니다. 감시에서 symlink를 확인하여 결과 실행 프로그램을 가져오더라도 규칙이 다른 symlink에서 호출된 multi-call 바이너리에 대해 트리거됩니다. 이로 인해 잘못된 양의 로그가 급증하게 됩니다. 결과적으로 symlink의 감사 실행 파일 감시가 작동하지 않습니다.

/etc/selinux/config 에서 SELINUX=disabled 가 제대로 작동하지 않음

/etc/selinux/config 에서 SELINUX=disabled 옵션을 사용하여 SELinux를 비활성화하면 커널이 SELinux가 활성화된 상태로 부팅되고 부팅 프로세스 후반부에서 비활성화 모드로 전환됩니다. 이로 인해 메모리 누수가 발생할 수 있습니다.

libselinux-python 은 모듈을 통해서만 사용할 수 있습니다

libselinux-python 패키지에는 SELinux 애플리케이션 개발을 위한 Python 2 바인딩만 포함되어 있으며 이전 버전과의 호환성에 사용됩니다. 이러한 이유로 libselinux-python 은 dnf install libselinux-python 명령을 통해 기본 RHEL 8 리포지토리에서 더 이상 사용할 수 없습니다.

udica 는 --env container=podman으로 시작되는 경우에만 UBI 8 컨테이너를처리합니다.

Red Hat Universal Base Image 8(UBI 8) 컨테이너는 컨테이너 환경 변수를 podman 값이 아닌 oci 값으로 설정합니다. 이렇게 하면 udica 툴에서 컨테이너 JSON(JavaScript Object Notation) 파일을 분석하지 못합니다.

rpm-plugin-selinux 패키지를 제거하면 시스템에서 모든 selinux-policy 패키지가 제거됩니다.

rpm-plugin-selinux 패키지를 제거하면 시스템에서 SELinux가 비활성화됩니다. 또한 시스템에서 모든 selinux-policy 패키지를 제거합니다. 그런 다음 rpm-plugin-selinux 패키지를 반복적으로 설치한 후 selinux-policy- targeted 정책이 시스템에 있는 경우에도 selinux-policy- minimum SELinux 정책을 설치합니다. 그러나 반복적으로 설치하면 정책 변경 사항을 고려하여 SELinux 구성 파일이 업데이트되지 않습니다. 결과적으로 rpm-plugin-selinux 패키지를 다시 설치해도 SELinux가 비활성화됩니다.

SELinux는 corosync에서 만든 공유 메모리 파일에서 newfstatat() 를 호출하도록 systemd-journal-gatewayd 를 방지합니다.

SELinux 정책에는 systemd-journal-gatewayd 데몬이 corosync 서비스에서 생성한 파일에 액세스할 수 있도록 하는 규칙이 포함되지 않습니다. 그 결과 SELinux는 systemd-journal-gatewayd 를 거부하여 corosync 에서 만든 공유 메모리 파일에 newfstatat() 함수를 호출합니다.

SELinux는 auditd 가 시스템을 중단하거나 전원을 끄지 않도록 방지합니다.

SELinux 정책에는 감사 데몬이 power_unit_file_t systemd 장치를 시작할 수 있는 규칙이 포함되어 있지 않습니다. 결과적으로 auditd 는 로깅 디스크 파티션에 남은 공간 없음과 같은 경우 이를 수행하도록 구성된 경우에도 시스템을 중지하거나 전원을 끌 수 없습니다.

사용자는 잠긴 사용자로 sudo 명령을 실행할 수 있습니다.

sudoers 권한이 ALL 키워드로 정의된 시스템에서 권한이 있는 sudo 사용자는 계정이 잠겨 있는 사용자로 sudo 명령을 실행할 수 있습니다. 따라서 잠김 및 만료된 계정은 명령을 실행하는 데 계속 사용할 수 있습니다.

성능에 대한 기본 로깅 설정의 부정적인 영향

기본 로깅 환경 설정은 rsyslog 를 사용하여 systemd-journald를 실행할 때 4GB 메모리를 사용하거나 rate- limit 값을 조정하는 작업이 복잡할 수 있습니다.

config.enabled 가 포함된 rsyslog 출력의 매개 변수가 알 수 없는 오류

rsyslog 출력에서는 config.enabled 지시문을 사용하여 구성 처리 오류에서 예기치 않은 버그가 발생합니다. 결과적으로 include() 문을 제외하고 config.enabled 지시문을 사용하는 동안 매개 변수가 알 수 없는 오류가 표시됩니다.

특정 rsyslog 우선 순위 문자열이 올바르게 작동하지 않음

암호화를 세밀하게 제어할 수 있는 imtcp 에 대한 GnuTLS 우선순위 문자열 지원은 완료되지 않습니다. 결과적으로, rsyslog 에서 다음 우선 순위 문자열이 제대로 작동하지 않습니다 :

SHA-1 서명이 있는 서버에 대한 연결이 GnuTLS에서 작동하지 않음

인증서의 SHA-1 서명은 GnuTLS 보안 통신 라이브러리에서 안전하지 않은 것으로 거부됩니다. 결과적으로 GnuTLS를 TLS 백엔드로 사용하는 애플리케이션은 이러한 인증서를 제공하는 피어에 TLS 연결을 설정할 수 없습니다. 이 동작은 다른 시스템 암호화 라이브러리와 일치하지 않습니다. 이 문제를 해결하려면 SHA-256 또는 더 강력한 해시로 서명된 인증서를 사용하거나 LEGACY 정책으로 전환하도록 서버를 업그레이드합니다.

TLS 1.3이 FIPS 모드에서 NSS에서 작동하지 않음

FIPS 모드에서 작동하는 시스템에서는 TLS 1.3이 지원되지 않습니다. 따라서 상호 운용성에 TLS 1.3이 필요한 연결은 FIPS 모드에서 작동하는 시스템에서 작동하지 않습니다.

OpenSSL 에서 원시 RSA 또는 RSA-PSS 서명을 지원하지 않는 PKCS #11 토큰을 잘못 처리합니다.

OpenSSL 라이브러리는 PKCS #11 토큰의 키 관련 기능을 탐지하지 않습니다. 결과적으로 원시 RSA 또는 RSA-PSS 서명을 지원하지 않는 토큰으로 서명이 생성되면 TLS 연결 설정에 실패합니다.

OpenSSL은 TLS 1.3의 CertificateRequest 메시지에 잘못된 형식의 status_request 확장을 생성합니다.

status_request 확장 및 클라이언트 인증서 기반 인증을 지원하는 경우 OpenSSL 서버는 CertificateRequest 메시지에 잘못된 형식의 status_request 확장을 전송합니다. 이러한 경우 OpenSSL은 RFC 8446 프로토콜을 준수하는 구현과 상호 운용되지 않습니다. 결과적으로 CertificateRequest 메시지의 확장을 올바르게 확인하는 클라이언트는 OpenSSL 서버와의 중단 연결을 중단합니다. 이 문제를 해결하려면 연결 측에서 TLS 1.3 프로토콜에 대한 지원을 비활성화하거나 OpenSSL 서버에서 status_request 에 대한 지원을 비활성화합니다. 이렇게 하면 서버가 잘못된 형식의 메시지를 보내지 못합니다.

ssh-keyscan 은 FIPS 모드에서 RSA 키를 검색할 수 없습니다

FIPS 모드에서 RSA 서명에 대해 SHA-1 알고리즘이 비활성화되어 ssh-keyscan 유틸리티가 해당 모드에서 작동하는 서버의 RSA 키를 검색하지 못하게 합니다.

Libreswan 이 모든 설정에서 seccomp=enabled 에서 제대로 작동하지 않음

현재 Libreswan SECCOMP 지원 구현에서 허용되는 syscall 세트가 완료되지 않았습니다. 결과적으로 ipsec.conf 파일에서 SECCOMP를 활성화하면 syscall 필터링이 pluto 데몬이 제대로 작동하는 데 필요한 syscall도 거부합니다. 데몬이 종료되고 ipsec 서비스가 다시 시작됩니다.

SSG의 특정 상호 의존 규칙 세트는 실패할 수 있습니다.

규칙 및 해당 종속 항목의 정의되지 않은 순서로 인해 벤치마크의 SCAP 보안 가이드 (SSG) 규칙 수정이 실패할 수 있습니다. 예를 들어, 한 규칙이 구성 요소를 설치하고 다른 규칙이 동일한 구성 요소를 구성하는 경우와 같이 두 개 이상의 규칙을 특정 순서로 실행해야 하는 경우 해당 규칙을 잘못된 순서로 실행하고 수정을 통해 오류를 보고할 수 있습니다. 이 문제를 해결하려면 수정을 두 번 실행하고 두 번째는 종속 규칙을 수정합니다.

SCAP Workbench가 사용자 정의 프로파일에서 결과를 기반으로 한 수정을 생성하지 못함

SCAP Workbench 툴을 사용하여 사용자 정의된 프로파일에서 결과 기반 수정 역할을 생성하려고 할 때 다음과 같은 오류가 발생합니다.

킥스타트에서는 RHEL 8에서 com _redhat_oscap 대신 org_fedora _oscap 을 사용합니다.

Kickstart는 OSCAP(Open Security Content Automation Protocol) Anaconda 애드온을 com_redhat _oscap 대신 org_fedora _oscap 으로 참조하여 혼동을 일으킬 수 있습니다. 이는 Red Hat Enterprise Linux 7과 이전 버전과의 호환성을 유지하기 위해 수행됩니다.

OSCAP Anaconda 애드온은 모든 패키지를 텍스트 모드에 설치하지 않음

OSCAP Anaconda Addon 플러그인은 설치가 텍스트 모드에서 실행 중인 경우 시스템 설치 프로그램에서 설치에 대해 선택한 패키지 목록을 수정할 수 없습니다. 결과적으로 Kickstart를 사용하여 보안 정책 프로필을 지정하고 설치가 텍스트 모드로 실행되는 경우 보안 정책에 필요한 추가 패키지는 설치 중에 설치되지 않습니다.

OSCAP Anaconda 애드온 이 사용자 지정 프로파일을 올바르게 처리하지 않음

OSCAP Anaconda 애드온 플러그인은 별도의 파일의 사용자 지정으로 보안 프로필을 올바르게 처리하지 않습니다. 따라서 해당 Kickstart 섹션에서 적절하게 지정하는 경우에도 RHEL 그래픽 설치에서 사용자 지정된 프로필을 사용할 수 없습니다.

Gnutls가 NSS 서버로 현재 세션을 다시 시작하지 못했습니다

TLS(Transport Layer Security) 1.3 세션을 다시 시작할 때 GnuTLS 클라이언트는 60밀리초 동안 서버에 세션 재개 데이터를 보낼 때까지 예상 왕복 시간을 기다립니다. 서버가 이 시간 내에 재사용 데이터를 전송하지 않으면 클라이언트는 현재 세션을 다시 시작하지 않고 새 세션을 만듭니다. 이로 인해 정기적인 세션 협상에 약간의 성능에 영향을 미치는 것을 제외하고는 심각한 부정적인 영향이 발생하지 않습니다.

oscap-ssh 유틸리티는 --sudo를 사용하여 원격 시스템을 스캔할 때 실패합니다.

oscap-ssh 툴을 --sudo 옵션과 함께 사용하여 원격 시스템을 SCAP(Security Content Automation Protocol) 스캔을 수행할 때 원격 시스템의 oscap 툴은 스캔 결과 파일을 저장하고 파일을 root 사용자로 임시 디렉터리에 보고합니다. 원격 시스템의 umask 설정이 변경되면 oscap-ssh 가 해당 파일에 액세스하지 못할 수 있습니다. 이 문제를 해결하려면 이 솔루션 "oscap -ssh --sudo"에 설명된 대로 oscap -ssh 툴을 수정하십시오. "scp: …​: 권한이 거부되었습니다" error. 결과적으로 oscap 은 파일을 대상 사용자로 저장하고 oscap-ssh 는 일반적으로 파일에 액세스합니다.

OpenSCAP은 YAML 여러 줄 문자열에서 빈 줄을 제거하여 발생하는 오탐을 생성합니다.

OpenSCAP에서 데이터 스트림에서 Ansible 해결을 생성하면 YAML 다중 줄 문자열에서 빈 행을 제거합니다. 일부 Ansible 수정에는 리터럴 구성 파일 내용이 포함되어 있으므로 빈 행을 제거하면 해당 수정 사항에 영향을 미칩니다. 이로 인해 openscap 유틸리티가 빈 줄에 영향을 미치지 않더라도 해당 OVAL(Open Vulnerability and Assessment Language) 검사에 실패합니다. 이 문제를 해결하려면 규칙 설명을 확인하고 빈 줄이 누락되어 실패한 스캔 결과를 건너뜁니다. 또는 Bash 수정으로 인해 잘못된 긍정적인 결과가 생성되지 않으므로 Ansible 해결 대신 Bash 수정을 사용하십시오.

OSPP 기반 프로필은 GUI 패키지 그룹과 호환되지 않습니다.

GUI 패키지 그룹과 함께 서버에서 설치한 GNOME 패키지에는 OSPP(Operating System Protection Profile)와 호환되지 않는 nfs-utils 패키지가 필요합니다. 결과적으로 OSPP 또는 OSPP 기반 프로필(예: STIG(Security Technical Implementation Guide))을 사용하여 시스템을 설치하는 동안 GUI 패키지 그룹이 포함된 서버를 선택하면 설치가 중단됩니다. OSPP 기반 프로필이 설치 후 적용되는 경우 시스템을 부팅할 수 없습니다. 이 문제를 해결하려면 GUI 패키지 그룹이나 OSPP 프로파일과 OSPP 기반 프로필을 사용할 때 GUI를 설치하는 다른 그룹을 사용하여 서버를 설치하지 마십시오. 대신 Server 또는 Minimal Install 패키지 그룹을 사용하는 경우 시스템이 문제 없이 설치되고 올바르게 작동합니다.

GUI 패키지 그룹이 포함된 RHEL 8 시스템은 e8 프로파일을 사용하여 수정할 수 없습니다.

OpenSCAP Anaconda 애드온을 사용하여 Verify Integrity with RPM(RPM 그룹과 무결성 확인)에서 규칙을 선택하는 프로필이 있는 GUI 패키지 그룹과 함께 서버에서 시스템을 강화하려면 시스템의 RAM 크기가 극도로 필요합니다. 이 문제는 OpenSCAP 스캐너로 인해 발생합니다. 자세한 내용은 OpenSCAP로 많은 파일 스캔을 통해 시스템에 메모리가 부족하게 됩니다. 결과적으로 RHEL8 Essential Eight(e8) 프로필을 사용하여 시스템 강화에 성공하지 못했습니다. 이 문제를 해결하려면 더 작은 패키지 그룹(예: Server)을 선택하고 설치 후 필요한 추가 패키지를 설치합니다. 결과적으로 시스템에 더 적은 수의 패키지가 생기므로 검사에 메모리가 적게 필요하므로 시스템을 자동으로 강화할 수 있습니다.

OpenSCAP로 많은 수의 파일을 스캔하면 시스템에 메모리가 부족합니다.

OpenSCAP 스캐너는 검사가 완료될 때까지 수집된 모든 결과를 메모리에 저장합니다. 그 결과 시스템에는 많은 수의 파일을 스캔할 때 RAM이 적은 시스템에서 메모리가 부족할 수 있습니다(예: GUI 및 워크스테이션 을 사용한 대규모 패키지 그룹). 이 문제를 해결하려면 더 작은 패키지 그룹(예: RAM이 제한된 시스템에 Server 및 Minimal Install )을 사용하십시오. 대규모 패키지 그룹을 사용해야 하는 경우 시스템에 가상 또는 스테이징 환경에서 메모리가 충분한지 테스트할 수 있습니다. 또는 전체 / 파일 시스템에 대한 재귀가 필요한 규칙을 선택 취소하도록 검사 프로필을 조정할 수 있습니다.

GRO를 비활성화할 때 IPsec 오프로딩 중에 IPsec 네트워크 트래픽이 실패합니다

장치에서 GRO(Generic Receive Offload)를 비활성화하면 IPsec 오프로딩이 작동하지 않습니다. IPsec 오프로딩이 네트워크 인터페이스에 구성되어 있고 해당 장치에서 GRO가 비활성화되면 IPsec 네트워크 트래픽이 실패합니다.

iptables 는 지정된 체인 유형을 알 수 없는 경우 체인을 업데이트하는 명령에 대한 모듈 로드를 요청하지 않습니다.

참고: 이 문제로 인해 서비스 기본 구성을 사용하는 경우 iptables systemd 서비스를 중지할 때 기능이 작동하지 않는 잘못된 오류가 발생합니다.

nft_compat 모듈로 주소 제품군별 LOG 백엔드 모듈 자동 로드가 중단될 수 있습니다.

네트워크 네임스페이스(netns)에서의 작업이 병렬로 수행되는 동안 nft_compat 모듈이 제품군별 LOG 대상 백엔드를 로드하면 잠금 충돌이 발생할 수 있습니다. 결과적으로 주소 제품군별 LOG 대상 백엔드를 로드하는 것이 중단될 수 있습니다. 이 문제를 해결하려면 iptables-restore 유틸리티를 실행하기 전에 관련 LOG 대상 백엔드(예: as nf_log_ipv4.ko 및 nf_log_ipv6.ko )를 수동으로 로드합니다. 결과적으로 LOG 대상 백엔드를 로드해도 중단되지 않습니다. 그러나 시스템 부팅 중에 문제가 발생하면 해결 방법을 사용할 수 없습니다.

실수로 패치 제거로 인해 huge_page_setup_helper.py 가 오류가 표시됨

huge_page_setup_helper.py 스크립트를 업데이트하는 패치가 실수로 제거되었습니다. 결과적으로 huge_page_setup_helper.py 스크립트를 실행하면 다음과 같은 오류 메시지가 표시됩니다.

부팅 프로세스 중 많은 양의 영구 메모리 경험이 있는 시스템

메모리 초기화가 직렬화되므로 많은 양의 영구 메모리가 있는 시스템은 부팅하는 데 시간이 오래 걸립니다. 결과적으로 /etc/fstab 파일에 영구 메모리 파일 시스템이 나열된 경우 장치를 사용할 수 있을 때까지 기다리는 동안 시스템이 시간 초과될 수 있습니다. 이 문제를 해결하려면 /etc/systemd/system.conf 파일에서 DefaultTimeoutStartSec 옵션을 충분히 큰 값으로 구성하십시오.

KSM이 NUMA 메모리 정책을 무시하는 경우가 있음

merge_across_nodes=1 매개 변수를 사용하여 KSM(커널 공유 메모리) 기능을 활성화하면 KSM은 mbind() 함수에서 설정한 메모리 정책을 무시하고 일부 메모리 영역의 페이지를 정책과 일치하지 않는 NUMA(Non-Uniform Memory Access) 노드에 병합할 수 있습니다.

RHEL 8의 크래시 캡처 환경에서 커널을 부팅하지 못했습니다.

디버그 커널의 메모리 수요 특성으로 인해 디버그 커널이 사용 중이고 커널 패닉이 트리거되면 문제가 발생합니다. 결과적으로 디버그 커널은 캡처 커널로 부팅할 수 없으며 대신 스택 추적이 생성됩니다. 이 문제를 해결하려면 크래시 커널 메모리를 적절하게 늘립니다. 결과적으로 디버그 커널이 크래시 캡처 환경에서 성공적으로 부팅됩니다.

zlib 일부 압축 함수에서 vmcore 캡처 속도가 느려질 수 있습니다.

kdump 구성 파일은 기본적으로 lzo 압축 형식(makedumpfile -l)을 사용합니다. zlib 압축 형식(makedumpfile -c)을 사용하여 구성 파일을 수정할 때 vmcore 캡처 프로세스의 속도를 저하시키는 대신 압축 요인이 향상될 수 있습니다. 그 결과 lzo 에 비해 kdump 가 zlib 를 사용하여 vmcore 를 캡처하는 데 최대 4배 더 걸립니다.

메모리 핫플러그 또는 언플러그 작업 후 vmcore 캡처가 실패합니다.

메모리 핫플러그 또는 핫 플러그 해제 작업을 수행한 후에는 메모리 레이아웃 정보가 포함된 장치 트리를 업데이트한 후 이벤트가 제공됩니다. 따라서 makedumpfile 유틸리티는 존재하지 않는 실제 주소에 액세스를 시도합니다. 다음 모든 조건이 충족되면 문제가 표시됩니다.

fadump 덤프 메커니즘은 네트워크 인터페이스의 이름을 kdump-<interface-name>으로 변경합니다.

펌웨어 지원 덤프(fadump)를 사용하여 vmcore 를 캡처하고 SSH 또는 NFS 프로토콜을 사용하여 원격 머신에 저장하는 경우 네트워크 인터페이스의 이름을 kdump-<interface-name> 으로 변경합니다. <interface-name> 이 일반인 경우 이름 변경이 발생합니다(예: *eth# 또는 net# 등). 이 문제는 초기 RAM 디스크(initrd)의 vmcore 캡처 스크립트를 네트워크 인터페이스 이름에 kdump- 접두사를 추가하여 영구적인 명명을 보안하기 때문에 발생합니다. 동일한 initrd 도 일반 부팅에 사용되므로 프로덕션 커널의 인터페이스 이름도 변경됩니다.

fadump 가 활성화된 경우 부팅 시 시스템이 긴급 모드로 전환됩니다.

systemd 관리자가 마운트 정보를 가져오지 못하고 마운트할 LV 파티션을 구성하지 못하기 때문에 initramfs 스키마에서 fadump (kdump)또는 dracut squash 모듈이 활성화된 경우 시스템이 긴급 모드로 들어갑니다. 이 문제를 해결하려면 다음 커널 명령줄 parameter rd.lvm.lv=<VG>/<LV> 를 추가하여 실패한 LV 파티션을 적절하게 검색하고 마운트합니다. 따라서 설명된 시나리오에서 시스템이 성공적으로 부팅됩니다.

irqpoll 을 사용하면 vmcore 생성에 실패합니다.

AWS(Amazon Web Services) 클라우드 플랫폼에서 실행되는 64비트 ARM 아키텍처의 nvme 드라이버에 대한 기존 문제로 인해 첫 번째 커널에 irqpoll 커널 명령줄 매개변수를 제공할 때 vmcore 생성이 실패합니다. 결과적으로 커널 충돌 후 /var/crash/ 디렉토리에 vmcore 파일이 덤프되지 않습니다. 이 문제를 해결하려면 다음을 수행합니다.

vPMEM 메모리를 덤프 대상으로 사용하면 커널 크래시 캡처 프로세스가 지연됩니다.

vPEM(가상 영구 메모리) 네임스페이스를 kdump 또는 fadump 대상으로 사용하는 경우 papr_scm 모듈은 vPMEM에서 지원하는 메모리를 매핑하고 다시 매핑하고 메모리를 선형 맵에 다시 추가해야 합니다. 결과적으로 이 동작으로 인해 하이퍼바이저 호출(HCalls)이 POWER Hypervisor로 트리거되고 총 시간이 걸리기 때문에 캡처 커널 부팅 속도가 상당히 느립니다. 따라서 vPMEM 네임스페이스를 kdump 또는 fadump의 덤프 대상으로 사용하지 않는 것이 좋습니다.

HP NMI 워치독이 항상 크래시 덤프를 생성하지는 않음

경우에 따라 HP NMI 워치독의 hpwdt 드라이버는 perfmon 드라이버에서 NMI(maskable interrupt)를 사용했기 때문에 HPE 워치독 타이머에서 생성한 NMI(NMI)를 요청할 수 없습니다.

tuned-adm profile powersave 명령을 사용하면 시스템이 응답하지 않습니다.

tuned-adm profile powersave 명령을 실행하면 이전 Thunderx(CN88x) 프로세서가 있는 Penguin Valkymaster 2000 2소켓 시스템이 응답하지 않는 상태가 됩니다. 그 결과 시스템을 재부팅하여 작동을 재개합니다. 이 문제를 해결하려면 시스템에서 언급된 사양과 일치하는 경우 powersave 프로필을 사용하지 마십시오.

cxgb4 드라이버로 인해 kdump 커널에서 충돌이 발생합니다.

vmcore 파일에 정보를 저장하려는 동안 kdump 커널이 충돌합니다. 결과적으로 cxgb4 드라이버는 kdump 커널이 나중에 분석을 위해 코어를 저장하지 못하게 합니다. 이 문제를 해결하려면 핵심 파일을 저장할 수 있도록 kdump 커널 명령줄에 novmcoredd 매개변수를 추가합니다.

모드 5(밸런싱-tlb) 본딩 마스터 인터페이스에 ICE 드라이버 NIC 포트를 추가하려고 하면 실패할 수 있습니다.

모드 5(balance-tlb) 본딩 마스터 인터페이스에 ICE 드라이버 NIC 포트를 추가하려고 하면 Master 'bond0', Slave 'ens1f0' 오류가 발생할 수 있습니다. 오류: enslave failed. 결과적으로 NIC 포트를 본딩 마스터 인터페이스에 추가하는 간헐적인 오류가 발생합니다. 이 문제를 해결하려면 인터페이스 추가를 다시 시도합니다.

인터페이스 type='hostdev'를 사용하여 가상 머신을 가상 머신에 연결하는 데 실패할 수 있습니다.

<interface type='hostdev'> 메서드를 사용하여 할당 후 .XML 파일을 사용하여 가상 머신에 VF(가상 기능)를 연결하는 데 실패할 수 있습니다. 이러한 문제는 Assignment with <interface type='hostdev'> 메서드를 사용하면 VM이 이 가상 머신에 표시되는 VF NIC에 연결할 수 없기 때문입니다. 이 문제를 해결하려면 Assignment with <hostdev> 메서드를 사용하여 .XML 파일을 사용하여 VM에 VF를 연결합니다. 결과적으로 virsh attach-device 명령이 오류 없이 성공합니다. Assignment with <hostdev> 및 Assignment with < interface type='hostdev'> (SRIOV 장치만 해당)의 차이점에 대한 자세한 내용은 호스트 네트워크 장치의 PCI 통과를 참조하십시오.

/boot 파일 시스템을 LVM에 배치할 수 없습니다.

LVM 논리 볼륨에 /boot 파일 시스템을 배치할 수 없습니다. 이 제한은 다음과 같은 이유로 존재합니다.

LVM에서 더 이상 혼합 블록 크기가 있는 볼륨 그룹을 생성할 수 없습니다.

vgcreate 또는 vgextend 와 같은 LVM 유틸리티는 더 이상 물리 볼륨(PV)에 논리 블록 크기가 다른 VG(볼륨 그룹)를 만들 수 없습니다. LVM은 다른 블록 크기의 PV로 기본 논리 볼륨(LV)을 확장하는 경우 파일 시스템이 마운트되지 않으므로 이러한 변경을 채택했습니다.

너무 많은 LUN이 연결되어 있을 때 DM Multipath를 시작하지 못할 수 있습니다.

multipathd 서비스는 시간이 초과될 수 있으며 너무 많은 LUN(논리 단위)이 시스템에 연결되어 있으면 시작되지 않을 수 있습니다. 문제를 유발하는 정확한 LUN 수는 장치 수, 스토리지 어레이의 응답 시간, 메모리 및 CPU 구성, 시스템 로드 등 여러 요인에 따라 달라집니다.

LVM writecache의 제한 사항

writecache LVM 캐싱 방법에는 캐시 방법에 없는 다음과 같은 제한 사항이 있습니다.

LUKS 볼륨을 저장하는 LVM 미러 장치가 응답하지 않는 경우가 있음

LUKS 볼륨을 저장하는 세그먼트 유형의 미러 가 있는 LVM 장치는 특정 조건에서 응답하지 않을 수 있습니다. 응답하지 않는 장치는 모든 I/O 작업을 거부합니다.

NFS 4.0 패치를 통해 개방형 워크로드에서 성능이 저하될 수 있습니다.

이전 버전에서는 경우에 따라 NFS open 작업이 서버에서 파일이 제거되거나 이름이 변경된 사실을 간과할 수 있는 버그가 수정되었습니다. 그러나 많은 오픈 작업이 필요한 워크로드에서 수정으로 인해 성능이 저하될 수 있습니다. 이 문제를 해결하기 위해 NFS 버전 4.1 이상을 사용하는 데 도움이 될 수 있습니다. 이 경우 더 많은 경우 클라이언트에 위임을 부여하여 클라이언트가 로컬에서 빠르고 안전하게 오픈 작업을 수행할 수 있습니다.

getpwnam() 은 32비트 애플리케이션에 의해 호출될 때 실패할 수 있습니다.

NIS 사용자가 getpwnam() 함수를 호출하는 32비트 애플리케이션을 사용하는 경우 nss_nis.i686 패키지가 누락된 경우 호출이 실패합니다. 이 문제를 해결하려면 yum install nss_nis.i686 명령을 사용하여 누락된 패키지를 수동으로 설치합니다.

Nginx 는 하드웨어 보안 토큰에서 서버 인증서를 로드할 수 없습니다.

nginx 웹 서버는 PKCS#11 모듈에서 직접 하드웨어 보안 토큰에서 TLS 개인 키를 로드하는 기능을 지원합니다. 그러나 현재 PKCS#11 URI를 통해 하드웨어 보안 토큰에서 서버 인증서를 로드할 수 없습니다. 이 문제를 해결하려면 파일 시스템에 서버 인증서를 저장하십시오.

php- opcache가 PHP 7.2와 함께 설치되면 PHP- fpm 으로 SELinux AVC가 거부됩니다.

php-opcache 패키지가 설치되면 FastCGI Process Manager(php-fpm)로 인해 SELinux AVC 거부가 발생합니다. 이 문제를 해결하려면 /etc/php.d/10-opcache.ini 파일의 기본 구성을 다음으로 변경합니다.

종속성으로 설치할 때 mod_wsgi 패키지 이름이 누락되었습니다.

BZ#1779705 에 설명된 mod_wsgi 설치의 변경으로 python3-mod_wsgi 패키지는 더 이상 mod_wsgi 라는 이름을 제공하지 않습니다. mod_wsgi 모듈을 설치할 때 전체 패키지 이름을 지정해야 합니다. 이러한 변경으로 인해 타사 패키지의 종속성에 문제가 있습니다.

GCC에서 생성된 합성 함수가 SystemTap에 혼란 가중

GCC 최적화는 다른 함수의 부분 인라인 사본에 대해 합성 함수를 생성할 수 있습니다. SystemTap 및 GDB와 같은 도구는 이러한 온도 함수를 실제 함수와 구분할 수 없습니다. 결과적으로 SystemTap은 온도 및 실제 함수 진입점 모두에 프로브를 배치하므로 단일 실제 함수 호출에 대해 여러 개의 프로브 적중을 등록합니다.

/etc/nsswitch.conf 를 변경하려면 수동 시스템 재부팅이 필요합니다

/etc/nsswitch.conf 파일을 변경하는 경우, 예를 들어 authselect select profile_id 명령을 실행하려면 모든 관련 프로세스에서 업데이트된 /etc/nsswitch.conf 파일을 사용하도록 시스템을 재부팅해야 합니다. 시스템 재부팅이 불가능한 경우 시스템을 Active Directory( System Security Services Daemon ) 또는 winbind 에 조인하는 서비스를 다시 시작합니다.

파일 도메인이 활성화된 경우 SSSD에서 로컬 사용자에 대해 잘못된 LDAP 그룹 멤버십을 반환합니다.

SSSD(System Security Services Daemon)에서 로컬 파일 및 sssd.conf 파일의 [domain/LDAP] 섹션에 있는 ldap_rfc2307_fallback_to_local_users 속성에서 사용자를 제공하는 경우 파일 프로바이더에는 다른 도메인의 그룹 멤버십이 포함되지 않습니다. 그 결과 로컬 사용자가 LDAP 그룹의 멤버인 경우 id local_user 명령은 사용자의 LDAP 그룹 멤버십을 반환하지 않습니다. 이 문제를 해결하려면 암시적 파일 도메인을 추가하여 비활성화하십시오.

SSSD가 동일한 우선 순위로 여러 인증서 일치 규칙을 올바르게 처리하지 않음

지정된 인증서가 여러 인증서 일치 규칙과 동일한 우선 순위의 규칙과 일치하면 SSSD(System Security Services Daemon)는 규칙 중 하나만 사용합니다. 이 문제를 해결하려면 LDAP 필터가 | (또는) 운영자와 연결된 개별 규칙의 필터로 구성된 단일 인증서 일치 규칙을 사용합니다. 인증서 일치 규칙의 예는 sss-certamp(5) 도움말 페이지를 참조하십시오.

여러 도메인을 정의할 때 auto_private_group = hybrid로 프라이빗 그룹을 만들 수 없습니다.

여러 도메인이 정의되어 있고 첫 번째 도메인이 아닌 다른 도메인에서 하이브리드 옵션을 사용하는 경우 auto_private_group = 하이브리드 옵션을 사용하여 프라이빗 그룹을 만들 수 없습니다. 암시적 파일 도메인이 sssd.conf 파일의 AD 또는 LDAP 도메인과 함께 정의되어 있고 MPG_HYBRID 로 표시되지 않는 경우 SSSD는 uid=gid를 가진 사용자의 개인 그룹을 생성하지 못하고 이 gid가 있는 그룹이 AD 또는 LDAP에 존재하지 않습니다.

python-ply 는 FIPS와 호환되지 않습니다

python-ply 패키지의 ✓CC 모듈은 MD5 해싱 알고리즘을 사용하여 CC 서명의 지문을 생성합니다. 그러나 FIPS 모드에서는 비보안 컨텍스트에서만 허용되는 MD5 사용을 차단합니다. 결과적으로 python-ply는 FIPS와 호환되지 않습니다. FIPS 모드의 시스템에서 ply.yacc.yacc() 에 대한 모든 호출이 실패하고 오류 메시지가 표시됩니다.

freeradswitch는 249자보다 긴 터널 암호를 자동으로 잘립니다.

터널 비밀번호가 249자를 초과하면 FreeRADIUS 서비스가 자동으로 잘립니다. 이로 인해 다른 시스템과 예기치 않은 암호 비호환성이 발생할 수 있습니다.

모든 KRA 멤버가 숨겨진 복제본인 경우 KRA 설치에 실패합니다.

첫 번째 KRA 인스턴스가 숨겨진 복제본에 설치된 경우 ipa-kra-install 유틸리티는 KRA(키 복구 기관)가 이미 있는 클러스터에서 실패합니다. 결과적으로 클러스터에 KRA 인스턴스를 추가할 수 없습니다.

검색 필터에서 이러한 속성을 사용하는 경우 Directory Server에서 스키마에서 누락된 속성에 대해 경고합니다.

nsslapd-verify-filter-schema 매개변수를 warn-invalid 로 설정하면 Directory Server에서 스키마에 정의되지 않은 속성으로 검색 작업을 처리하고 경고를 기록합니다. 이 설정을 사용하면 속성이 스키마에 정의되어 있는지 여부에 관계없이 Directory Server에서 요청된 속성을 검색 결과에 반환합니다.

ipa-healthcheck-0.4 이전 버전의 ipa-healthcheck가 사용되지 않음

Healthcheck 툴이 ipa- healthcheck 및 ipa-healthcheck- core 의 두 개의 하위 패키지로 나뉩니다. 그러나 ipa-healthcheck-core 하위 패키지만 사용되지 않는 이전 버전의 ipa-healthcheck 로 올바르게 설정됩니다. 결과적으로 Healthcheck 를 업데이트하면 ipa-healthcheck-core 만 설치되고 업데이트 후에도 ipa-healthcheck 명령이 작동하지 않습니다.

ldap_id_use_start_tls 옵션에 기본값을 사용할 때 발생할 수 있는 위험

TLS없이 ldap:// 를 ID 조회에 사용하는 경우 공격 벡터가 발생할 위험이 있습니다. 특히 MITM(Man-in-the-middle) 공격으로 공격자는 LDAP 검색에 반환된 오브젝트의 UID 또는 GID를 변경하여 사용자를 가장할 수 있습니다.

Wayland 세션의 제한 사항

Red Hat Enterprise Linux 8에서는 GNOME 환경과 GDM(GNOME Display Manager)이 이전 주요 RHEL에서 사용된 X11 세션 대신 Wayland 를 기본 세션 유형으로 사용합니다.

드래그 앤 드롭이 데스크탑과 응용 프로그램 간에 작동하지 않음

gnome-shell-extensions 패키지의 버그로 인해 현재 드래그 앤 드롭 기능이 데스크탑과 애플리케이션 간에 작동하지 않습니다. 이 기능에 대한 지원은 향후 릴리스에서 다시 추가될 예정입니다.

소프트웨어 리포지토리에서 flatpak 리포지토리를 비활성화할 수 없습니다.

현재 GNOME 소프트웨어 유틸리티의 Software Repositories(소프트웨어 리포지토리) 도구에서 flatpak 리포지토리를 비활성화하거나 제거할 수 없습니다.

Generation 2 RHEL 8 가상 머신이 Hyper-V Server 2016 호스트에서 부팅되지 않는 경우가 있습니다.

Microsoft Hyper-V Server 2016 호스트에서 실행되는 VM(가상 머신)에서 RHEL 8을 게스트 운영 체제로 사용하는 경우, 경우에 따라 VM이 부팅되지 않고 GRUB 부팅 메뉴로 돌아갑니다. 또한 Hyper-V 이벤트 로그에 다음 오류가 기록됩니다.

시스템 충돌로 인해 fadump 설정이 손실될 수 있습니다.

이 문제는 펌웨어 지원 덤프(fadump)가 활성화된 시스템에서 확인되며 부팅 파티션은 XFS와 같은 저널링 파일 시스템에 있습니다. 시스템 충돌로 인해 부트 로더가 덤프 캡처 지원이 활성화되어 있지 않은 이전 initrd 를 로드할 수 있습니다. 결과적으로 시스템이 vmcore 파일을 캡처하지 않아 fadump 구성이 손실됩니다.

sudo 명령을 사용하여 그래픽 애플리케이션을 실행할 수 없습니다

상승된 권한이 있는 사용자로 그래픽 애플리케이션을 실행하려고 하면 애플리케이션이 오류 메시지와 함께 열 수 없습니다. 인증에 일반 사용자 자격 증명을 사용하도록 X authority 파일에 의해 X wayland 가 제한되므로 오류가 발생합니다.

Radeon이 하드웨어를 올바르게 재설정하지 못했습니다

현재 radeon 커널 드라이버는 kexec 컨텍스트에서 하드웨어를 올바르게 재설정하지 않습니다. 대신, radeon 이 종료되어 나머지 kdump 서비스가 실패합니다.

단일 MST 토폴로지의 여러 디스플레이의 전원이 켜지지 않을 수 있습니다.

no 독립형 드라이버 와 함께 NVIDIA rpming GPU를 사용하는 시스템에서는 DisplayPort hub(예: 랩탑 부두)와 함께 여러 모니터가 연결되어 있어 이전 RHEL 릴리스에서는 모든 디스플레이가 표시되지 않을 수 있습니다. 이는 시스템이 모든 디스플레이를 지원하는 허브에 대역폭이 충분하지 않다고 잘못 생각하기 때문입니다.

권한이 없는 사용자는 서브스크립션 페이지에 액세스할 수 있습니다.

관리자가 아닌 사용자가 웹 콘솔의 서브스크립션 페이지로 이동하면 웹 콘솔에 일반 오류 메시지 Cockpit에 예기치 않은 내부 오류가 표시되었습니다.

Windows Server 2019 호스트의 RHEL 8 가상 머신의 낮은 GUI 디스플레이 성능

Windows Server 2019 호스트에서 그래픽 모드에서 RHEL 8을 게스트 운영 체제로 사용하는 경우 GUI 디스플레이 성능이 낮고 현재 게스트의 콘솔 출력에 연결하는 데 예상보다 훨씬 오래 걸립니다.

Wayland를 사용하는 가상 머신의 여러 모니터를 QXL에서는 표시할 수 없습니다.

remote-viewer 유틸리티를 사용하여 Wayland 디스플레이 서버를 사용하는 VM(가상 시스템)의 모니터를 두 개 이상 표시하면 VM이 응답하지 않고 표시 상태 메시지가 무기한 표시됩니다.

virsh iface-\* 명령이 일관되게 작동하지 않음

현재 virsh iface- start 및 virsh iface- destroy와 같은 virsh iface- * 명령은 구성 종속성으로 인해 실패하는 경우가 많습니다. 따라서 호스트 네트워크 연결을 구성하고 관리하는 데 virsh iface-\* 명령을 사용하지 않는 것이 좋습니다. 대신 NetworkManager 프로그램과 관련 관리 애플리케이션을 사용합니다.

RHEL 8 가상 머신은 Witherspoon 호스트에서 부팅할 수 없는 경우가 있습니다.

경우에 따라 DD2.2 또는 DD2.3 CPU를 사용하는 HPC 호스트( Witherspoon이라고도 함)용 Power9 S922LC 에서 pseries-rhel7.6.0-sxxm 시스템 유형을 사용하는 RHEL 8 가상 머신(VM)에서 부팅되지 않는 경우가 있습니다.

IBM POWER 가상 머신이 빈 NUMA 노드에서 제대로 작동하지 않음

현재 RHEL 8 호스트에서 실행 중인 IBM POWER 가상 머신(VM)이 제로메모리(memory='0') 및 제로 CPU를 사용하는 NUMA 노드로 구성된 경우 VM을 시작할 수 없습니다. 따라서 RHEL 8에서 빈 NUMA 노드에서 IBM POWER VM을 사용하지 않는 것이 좋습니다.

AMD EPYC에서 호스트 패스스루 모드를 사용할 때 VM에서 SMT CPU 토폴로지를 감지하지 않습니다.

AMD EPYC 호스트에서 CPU 호스트 패스스루 모드로 부팅되는 VM(가상 머신)이 부팅되면 CPU O EXT CPU 기능 플래그가 표시되지 않습니다. 결과적으로 VM은 코어당 여러 스레드가 있는 가상 CPU 토폴로지를 탐지할 수 없습니다. 이 문제를 해결하려면 호스트 통과 대신 EPYC CPU 모델로 VM을 부팅합니다.

RHEL 8.2 VM의 디스크 식별자는 VM 재부팅 시 변경될 수 있습니다.

RHEL 8.2를 Hyper-V 하이퍼바이저에서 게스트 운영 체제로 사용하는 경우 VM(가상 머신)을 Hyper-V 하이퍼바이저에서 게스트 운영 체제로 사용하는 경우, VM이 재부팅될 때 VM의 가상 디스크의 장치 식별자가 변경될 수 있습니다. 예를 들어, 원래 /dev/sda로 식별된 디스크는 /dev/ sdb 가 될 수 있습니다. 결과적으로 VM이 부팅되지 않을 수 있으며 VM 디스크를 참조하는 스크립트가 작동을 중지할 수 있습니다.

여러 virtio-blk 디스크를 사용할 때 가상 머신이 시작되지 않는 경우가 있습니다.

VM(가상 시스템)에 다수의 virtio-blk 장치를 추가하면 플랫폼에서 사용 가능한 인터럽트 벡터 수가 소진될 수 있습니다. 이 경우 VM의 게스트 OS가 부팅되지 않고 dracut-initqueue[392]를 표시합니다. 경고: 부팅할 수 없습니다 오류.

virtio-blk를 사용하여 가상 머신에 LUN 장치를 연결하는 것은 작동하지 않습니다

q35 시스템 유형은 전환된 virtio 1.0 장치를 지원하지 않으므로 RHEL 8에는 virtio 1.0에서 더 이상 사용되지 않는 기능에 대한 지원이 없습니다. 특히 RHEL 8 호스트에서는 virtio-blk 장치에서 SCSI 명령을 보낼 수 없습니다. 결과적으로 virtio-blk 컨트롤러를 사용하면 가상 머신에 LUN 장치로 물리적 디스크를 연결할 수 없습니다.

RHEL 7-ALT 호스트에서 RHEL 8로 POWER9 게스트 마이그레이션에 실패

현재 POWER9 가상 머신을 RHEL 7-ALT 호스트 시스템에서 RHEL 8로 마이그레이션하는 것은 "마이그레이션 상태: active" 상태로 응답하지 않습니다.

redhat-support-tool 이 FUTURE 암호화 정책에서 작동하지 않음

고객 포털 API의 인증서에서 사용하는 암호화 키가 FUTURE 시스템 전체 암호화 정책의 요구 사항을 충족하지 않으므로 redhat-support-tool 유틸리티는 현재 이 정책 수준에서 작동하지 않습니다.

UDICA는 1.0의 안정적인 스트림을 사용할 것으로 예상되지 않습니다.

컨테이너에 대한 SELinux 정책을 생성하는 도구인 UDICA는 container-tools:1.0 모듈 스트림에서 podman 1.0.x를 통해 실행되는 컨테이너와 호환되지 않습니다.

Podman을 사용한 FIPS 지원에 대한 참고 사항

FIPS(Federal Information Processing Standard)를 사용하려면 인증된 모듈을 사용해야 합니다. 이전에는 Podman이 시작 시 적절한 플래그를 활성화하여 컨테이너에 인증된 모듈을 올바르게 설치했습니다. 그러나 이 릴리스에서 Podman은 FIPS 시스템 전체의 crypto-policy 형태로 시스템에서 일반적으로 제공하는 추가 애플리케이션 도우미를 올바르게 설정하지 않습니다. 인증된 모듈에는 시스템 전체의 crypto-policy를 설정할 필요가 없지만 호환 방식으로 crypto 모듈을 사용하는 애플리케이션의 능력을 향상합니다. 이 문제를 해결하려면 다른 애플리케이션 코드가 실행되기 전에 update-crypto-policies --set FIPS 명령을 실행하도록 컨테이너를 변경합니다.