Menu Close

8.5 릴리스 노트

Red Hat Enterprise Linux 8

Red Hat Enterprise Linux 8.5 릴리스 정보

초록

릴리스 노트에서는 Red Hat Enterprise Linux 8.5에서 구현된 개선 사항 및 추가 사항에 대해 개략적으로 설명하고 이번 릴리스의 알려진 문제와 주요 버그 수정, 기술 프리뷰, 사용되지 않는 기능 및 기타 세부 사항을 문서화합니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 용어를 교체하기 위해 최선을 다하고 있습니다. 먼저 마스터(master), 슬레이브(slave), 블랙리스트(blacklist), 화이트리스트(whitelist) 등 네 가지 용어를 교체하고 있습니다. 이러한 변경 작업은 작업 범위가 크므로 향후 여러 릴리스에 걸쳐 점차 구현할 예정입니다. 자세한 내용은 CTO Chris Wright의 메시지를 참조하십시오.

Red Hat 문서에 관한 피드백 제공

문서 개선을 위한 의견을 보내 주십시오. Red Hat이 어떻게 이를 개선할 수 있는지 알려 주십시오. 이렇게 하려면 다음을 수행합니다.

  • 특정 문구에 대해 간단한 의견을 남기려면 문서가 Multi-page HTML 형식으로 되어 있는지 확인하십시오. 주석 처리하려는 텍스트 부분을 강조 표시합니다. 그런 다음 강조 표시된 텍스트 아래에 표시되는 피드백 추가 팝업을 클릭하고 표시된 지침을 따릅니다.
  • 보다 상세하게 피드백을 제출하려면 다음과 같이 Bugzilla 티켓을 생성하십시오.

    1. Bugzilla 웹 사이트로 이동하십시오.
    2. Component로 Documentation을 선택하십시오.
    3. Description 필드에 문서 개선을 위한 제안 사항을 기입하십시오. 관련된 문서의 해당 부분 링크를 알려주십시오.
    4. Submit Bug를 클릭하십시오.

1장. 개요

1.1. RHEL 8.5의 주요 변경 사항

설치 프로그램 및 이미지 생성

RHEL 8.5에서 이미지 빌더는 다음과 같은 기능을 지원합니다.

  • 파일 시스템 구성을 사용자 지정하는 기능.
  • 사용 가능한 공식 리포지터리를 재정의하는 기능
  • 부팅 가능한 설치 프로그램 이미지를 생성하고 베어 메탈 시스템에 설치할 수 있는 기능.

자세한 내용은 4.1절. “설치 프로그램 및 이미지 생성”의 내용을 참조하십시오.

에지용 RHEL

RHEL 8.5에서는 RHEL for Edge 간소화 설치 프로그램 이미지를 도입하고 장치에 무인 설치에 최적화되고 이미지를 RHEL for Edge 이미지에 프로비저닝합니다.

자세한 내용은 4.2절. “에지용 RHEL”의 내용을 참조하십시오.

보안

시스템 전체 암호화 정책은 사용자 지정 정책의 지시문에 대한 범위 및 와일드카드를 지원합니다. 이제 다양한 백엔드에 대해 다양한 알고리즘 세트를 활성화할 수 있습니다.

Rsyslog 로그 처리 애플리케이션이 버전 8.2102.0-5로 업데이트되었습니다. 이번 업데이트에서는 OpenSSL 네트워크 스트림 드라이버가 추가로 개선되었습니다. 이는 OpenSSL 라이브러리를 사용하여 Rsyslog에 TLS 보호 전송을 구현합니다.

SCAP Security Guide 프로젝트에는 몇 가지 새로운 프로필과 기존 프로필 개선 사항이 포함되어 있습니다.

  • 호주 사이버 보안 센터 정보 보안 안내서(ACSC ISM)에 맞춘 새 프로필.
  • CIS(Center for Internet Security) 프로필이 4개의 다른 프로필(워크스테이션 수준 1, 워크스테이션 수준 2, 서버 수준 1, 서버 수준 2)로 재구성되었습니다.
  • STIG(보안 기술 구현 가이드) 보안 프로필이 버전 V1R3으로 업데이트되었습니다.
  • 서버와 GUI 설치와 호환되는 새로운 STIG 프로파일.
  • SCAP 보안 가이드의 모든 ANSSI-BP-028 v1.2 강화 수준에 대한 프로필의 가용성을 완료하는 새로운 프랑스ANSSI(National Security Agency) High Level 프로파일.

이러한 개선 사항을 통해 이러한 보안 기준선 중 하나를 준수하는 시스템을 설치하고 관련 기관에서 정의한 보안 제어에 위험 기반 접근 방식을 사용하여 OpenSCAP 제품군을 사용하여 보안 준수 및 수정을 확인할 수 있습니다.

새로운 기능 - 자세한 내용은 보안 기능을 참조하십시오.

새로운 RHEL VPN 시스템 역할을 사용하면 다수의 호스트에 안전하고 올바르게 구성된 IPsec 터널링 및 VPN(Virtual Private Networking) 솔루션을 쉽게 설정할 수 있습니다. 자세한 내용은 새로운 기능 - Red Hat Enterprise Linux 시스템 역할을 참조하십시오.

네트워킹

이제 NetworkManager에서 모든 트래픽을 허용하도록 장치 구성을 지원합니다. 이 기능은 예를 들어 nmcli 유틸리티를 사용하여 구성할 수 있습니다.

firewalld 서비스는 영역 내의 여러 인터페이스 또는 소스 간에 트래픽 전달을 지원합니다.

firewalld 서비스는 영역 간에 전달되는 트래픽 필터링을 지원합니다.

동적 프로그래밍 언어, 웹 서버 및 데이터베이스 서버

다음 구성 요소의 최신 버전을 새 모듈 스트림으로 사용할 수 있습니다.

  • Ruby 3.0
  • nginx 1.20
  • Node.js 16

다음 구성 요소가 업그레이드되었습니다.

  • PHP 에서 버전 7.4.19로
  • 버전 4.15 Squiid
  • mutt 에서 버전 2.0.7로

새로운 기능 - 동적 프로그래밍 언어, 웹 및 데이터베이스 서버를 참조하십시오.

컴파일러 및 개발 도구

다음 컴파일러 툴 세트가 업데이트되었습니다.

  • GCC 툴 세트 11
  • LLVM Toolset 12.0.1
  • 노르웨이 도구 세트 1.54.0
  • Go Toolset 1.16.7

새로운 기능 - 컴파일러 및 개발 툴 을 참조하십시오.

OpenJDK 업데이트
  • Open Java Development Kit 17(OpenJDK 17)을 사용할 수 있습니다. 이 릴리스에 도입된 기능과 기존 기능의 변경 사항에 대한 자세한 내용은 OpenJDK 기능을 참조하십시오.
  • OpenJDK 11이 버전 11.0.13으로 업데이트되었습니다. 이 릴리스에 도입된 기능과 기존 기능의 변경 사항에 대한 자세한 내용은 OpenJDK 11.0.13 릴리스 노트를 참조하십시오.
  • OpenJDK 8이 버전 8.0.312로 업데이트되었습니다. 이 릴리스에 도입된 기능과 기존 기능의 변경 사항에 대한 자세한 내용은 OpenJDK 8.0.312 릴리스 노트를 참조하십시오.

Red Hat Enterprise Linux 시스템 역할

Postfix RHEL 시스템 역할은 완전히 지원됩니다.

이제 NTP(Network Time Security) 옵션이 Timesync RHEL 시스템 역할에 추가되었습니다.

Storage RHEL 시스템 역할은 LVM VDO 볼륨을 지원하고 볼륨 크기를 백분율로 나타냅니다.

새로운 RHEL VPN 시스템 역할을 사용하면 다수의 호스트에 안전하고 올바르게 구성된 IPsec 터널링 및 VPN(Virtual Private Networking) 솔루션을 쉽게 설정할 수 있습니다.

High Availability Cluster RHEL 시스템 역할은 8.5 GA 릴리스의 기술 프리뷰로 사용할 수 있습니다.

자세한 내용은 Red Hat Enterprise Linux 시스템 역할기술 프리뷰 - Red Hat Enterprise Linux 시스템 역할 참조.

1.2. 즉각적 업그레이드 및 OS 변환

RHEL 7에서 RHEL 8으로의 즉각적 업그레이드

현재 지원되는 즉각적 업그레이드 경로는 다음과 같습니다.

  • 64비트 Intel, IBM POWER 8(little endian) 및 IBM Z 아키텍처의 RHEL 7.9에서 RHEL 8.4까지
  • 커널 버전 4.14가 필요한 아키텍처의 RHEL 7.6에서 RHEL 8.4로: IBM POWER 9(Lttle endian) 및 IBM Z(Structure A). 이는 이러한 아키텍처의 최종 인플레이스 업그레이드 경로입니다.
  • SAP HANA가 있는 시스템의 RHEL 7.7에서 RHEL 8.2까지. RHEL 8.2로 업그레이드한 후에도 SAP HANA 시스템이 계속 지원되도록 하려면 RHEL 8.2 Update Services for SAP Solutions(E4S) 리포지토리를 활성화하십시오.

RHEL 8.4로 업그레이드한 후에도 시스템이 계속 지원되도록 최신 RHEL 8.5 버전으로 업데이트하거나 RHEL 8.4 EUS (Extended Update Support) 리포지토리가 활성화되어 있는지 확인합니다. SAP HANA가 있는 시스템에서 RHEL 8.2 Update Services for SAP Solutions(E4S) 리포지토리를 활성화합니다.

자세한 내용은 Red Hat Enterprise Linux에 대한 지원 내부 업그레이드 경로를 참조하십시오. 즉각적 업그레이드를 수행하는 방법은 RHEL 7에서 RHEL 8로 업그레이드를 참조하십시오. SAP 환경이 포함된 시스템에서 인플레이스 업그레이드를 수행하는 방법은 RHEL 7에서 RHEL 8로 SAP 환경을 인플레이스 업그레이드하는 방법을 참조하십시오.

주요 개선 사항은 다음과 같습니다.

  • 이제 Red Hat Update Infrastructure(RHUI)를 사용하여 AWS에서 Pay-As-you-Go 인스턴스의 SAP HANA로 인플레이스 업그레이드를 수행할 수 있습니다.
  • 이제 즉각적 업그레이드 중에 EUS 또는 E4S 리포지토리를 활성화할 수 있습니다.
  • 이제 yum install leapp-upgrade 명령을 사용하여 Leapp 유틸리티를 설치할 수 있습니다. 이러한 변화의 일환으로 repository 및 leapp-repository -deps RPM 패키지의 이름은 leapp-upgrade-el7toel8leapp-upgrade-el8-deps 로 각각 변경되었습니다. 이전 패키지가 시스템에 이미 설치되어 있으면 yum update 를 실행할 때 새 패키지로 자동 교체됩니다.
  • LeApp 보고서, 로그 및 생성된 기타 생성된 문서는 언어 구성에 관계없이 영어로 제공됩니다.
  • 업그레이드 후 Leapp 패키지는 시스템에서 제거할 수 있기 전에 /etc/dnf/dnf.conf 구성 파일에서 제외 목록에서 수동으로 제거해야 합니다.
  • leapp-data15 .tar.gz 아카이브에 있는 repomap. csv 파일은 더 이상 사용되지 않으며 repomap.json 파일로 교체되었습니다. 더 이상 사용되지 않는 파일은 2022년 3월까지 계속 사용할 수 있습니다.
  • IBM POWER 9(little endian) 및 IBM Z(Structure A) 아키텍처의 라이프사이클이 종료되었습니다. 새로운 업그레이드 경로, 기능 및 버그 픽스를 포함하여 즉각적 업그레이드에 대한 후속 릴리스에는 이러한 아키텍처가 포함되지 않습니다.

RHEL 6에서 RHEL 8로 즉각적 업그레이드

RHEL 6.10에서 RHEL 8.4로 업그레이드하려면 RHEL 6에서 RHEL 8로 업그레이드하는 방법에 대한 지침을 따르십시오.

다른 Linux 배포판에서 RHEL로 변환

CentOS Linux 8 또는 Oracle Linux 8을 사용하는 경우 Red Hat에서 지원하는 Convert2 RHEL 유틸리티를 사용하여 운영 체제를 RHEL 8로 변환할 수 있습니다. 자세한 내용은 RPM 기반 Linux 배포판에서 RHEL로 변환을 참조하십시오.

CentOS Linux 또는 Oracle Linux, 즉 6 또는 7의 이전 버전을 사용하는 경우 운영 체제를 RHEL로 변환한 다음 RHEL 8로 인플레이스 업그레이드를 수행할 수 있습니다. CentOS Linux 6 및 Oracle Linux 6 변환에서는 지원되지 않는 Convert2 RHEL 유틸리티를 사용합니다. 지원되지 않는 변환에 대한 자세한 내용은 RHEL에서 파생된 Linux 배포판에서 RHEL로 지원되지 않는 변환을 수행하는 방법을 참조하십시오.

Red Hat이 다른 Linux 배포판에서 RHEL로의 변환을 지원하는 방법에 대한 자세한 내용은 Convert2 RHEL 지원 정책 문서를 참조하십시오.

1.3. Red Hat Customer Portal 랩

Red Hat 고객 포털 랩 은 고객 포털의 섹션에서 https://access.redhat.com/labs/ 사용할 수 있는 일련의 툴입니다. Red Hat 고객 포털 랩의 애플리케이션은 성능을 개선하고 문제를 신속하게 해결하며 보안 문제를 식별하며 복잡한 애플리케이션을 신속하게 배포하고 구성할 수 있도록 지원합니다. 가장 많이 사용되는 애플리케이션 중 일부는 다음과 같습니다.

1.4. 추가 리소스

  • Red Hat Enterprise Linux 8의 기능 및 제한사항 과 다른 시스템 버전과의 비교는 지식베이스 문서 Red Hat Enterprise Linux 기술 기능 및 제한사항 에서 확인할 수 있습니다.
  • Red Hat Enterprise Linux 라이프사이클에 대한 정보는 Red Hat Enterprise Linux 라이프 사이클 문서를 참조하십시오.
  • 패키지 매니페스트 문서는 RHEL 8의 패키지 목록을 제공합니다.
  • 제거된 기능을 포함하여 RHEL 7과 RHEL 8의 주요 차이점은 RHEL 8 도입 시 고려 사항에 설명되어 있습니다.
  • RHEL 7 에서 RHEL 8로의 즉각적 업그레이드를 수행하는 방법에 대한 지침은 RHEL 7 에서 RHEL 8 로 업그레이드하는 설명서를 참조하십시오.
  • 알려진 기술 문제를 사전에 식별, 검사 및 해결할 수 있는 Red Hat Insights 서비스는 이제 모든 RHEL 서브스크립션을 통해 사용할 수 있습니다. Red Hat Insights 클라이언트를 설치하고 시스템을 서비스에 등록하는 방법에 대한 지침은 Red Hat Insights 시작하기 페이지를 참조하십시오.

2장. 아키텍처

Red Hat Enterprise Linux 8.5는 다음 아키텍처에 대한 지원을 제공하는 커널 버전 4.18.0-348과 함께 배포됩니다.

  • AMD 및 Intel 64비트 아키텍처
  • 64비트 ARM 아키텍처
  • IBM Power Systems, Little Endian
  • 64-bit IBM Z

각 아키텍처에 적합한 서브스크립션을 구매해야 합니다. 자세한 내용은 Red Hat Enterprise Linux - 추가 아키텍처 시작하기 를 참조하십시오. 사용 가능한 서브스크립션 목록은 고객 포털의 서브스크립션 사용률 을 참조하십시오.

3장. RHEL 8의 콘텐츠 배포

3.1. 설치

Red Hat Enterprise Linux 8은 ISO 이미지를 사용하여 설치합니다. AMD64, Intel 64비트, 64비트 ARM, IBM Power Systems, IBM Z 아키텍처에서는 두 가지 유형의 ISO 이미지를 사용할 수 있습니다.

  • 바이너리 DVD ISO: BaseOS 및 AppStream 리포지토리가 포함된 전체 설치 이미지를 사용하여 추가 리포지토리 없이 설치를 완료할 수 있습니다.

    참고

    바이너리 DVD ISO 이미지는 4.7GB보다 크므로 단일 계층 DVD에 적합하지 않을 수 있습니다. 부팅 가능한 설치 미디어를 생성하려면 바이너리 DVD ISO 이미지를 사용하는 경우 듀얼 계층 DVD 또는 USB 키를 사용하는 것이 좋습니다. Image Builder 툴을 사용하여 사용자 지정 RHEL 이미지를 만들 수도 있습니다. 이미지 빌더에 대한 자세한 내용은 사용자 지정된 RHEL 시스템 이미지 구성 문서를 참조하십시오.

  • 부팅 ISO: 설치 프로그램으로 부팅하는 데 사용되는 최소 부팅 ISO 이미지입니다. 설치 프로그램으로 부팅하는 데 사용하는 최소 부트 ISO 이미지입니다. 이 옵션을 사용하여 소프트웨어 패키지를 설치하려면 BaseOS와 AppStream 리포지토리에 액세스해야 합니다.리포지토리는 바이너리 DVD ISO 이미지의 일부입니다.

ISO 이미지 다운로드, 설치 미디어 생성 및 RHEL 설치 완료 방법은 표준 RHEL 8 설치 문서를 참조하십시오. 자동화된 Kickstart 설치 및 기타 고급 주제는 고급 RHEL 8 설치 문서를 참조하십시오.

3.2. 리포지토리

Red Hat Enterprise Linux 8은 다음 두 가지 주요 리포지토리를 통해 배포됩니다.

  • BaseOS
  • AppStream

두 리포지토리 모두 기본 RHEL 설치에 필요하며 모든 RHEL 서브스크립션을 통해 사용할 수 있습니다.

BaseOS 리포지토리의 콘텐츠는 모든 설치의 기반이 되는 기본 OS 기능의 코어 세트를 제공하는 데 사용됩니다. 이 콘텐츠는 RPM 형식으로 사용 가능하며 이전 RHEL 릴리스와 비슷한 지원 조건이 적용됩니다. BaseOS를 통해 배포되는 패키지 목록은 패키지 매니페스트를 참조하십시오.

Application Stream 리포지토리의 콘텐츠에는 다양한 워크로드와 사용 사례를 지원하는 추가 사용자 공간 애플리케이션, 런타임 언어 및 데이터베이스가 포함되어 있습니다. 애플리케이션 스트림은 친숙한 RPM 형식, 모듈 이라는 RPM 형식 또는 소프트웨어 컬렉션으로 사용할 수 있습니다. AppStream에서 사용 가능한 패키지 목록은 패키지 매니페스트를 참조하십시오.

또한 CodeReady Linux Builder 리포지토리는 모든 RHEL 서브스크립션을 통해 사용할 수 있습니다. 이는 개발자가 사용할 수 있는 추가 패키지를 제공합니다. CodeReady Linux Builder 리포지토리에 포함된 패키지는 지원되지 않습니다.

RHEL 8 리포지토리에 관한 자세한 내용은 패키지 매니페스트를 참조하십시오.

3.3. Application Streams

Red Hat Enterprise Linux 8에는 Application Streams의 개념이 도입되어 있습니다. 이제 여러 버전의 사용자 공간 구성 요소가 핵심 운영 체제 패키지보다 더 자주 제공되고 업데이트됩니다. 이는 플랫폼 또는 특정 배포의 기본 안정성에 영향을 주지 않고 Red Hat Enterprise Linux를 사용자 지정할 수 있는 유연성을 향상시킵니다.

Application Stream으로 사용 가능한 구성 요소는 모듈 또는 RPM 패키지로 패키징할 수 있으며 RHEL 8의 AppStream 리포지토리를 통해 제공합니다. 각 Application Stream 구성 요소에는 RHEL 8과 동일하거나 짧은 라이프사이클이 있습니다. 자세한 내용은 Red Hat Enterprise Linux 라이프사이클을 참조하십시오.

모듈은 논리 단위, 애플리케이션, 언어 스택, 데이터베이스 또는 툴 세트를 나타내는 패키지 컬렉션입니다. 이러한 패키지는 함께 빌드, 테스트, 릴리스됩니다.

모듈 스트림은 Application Stream 구성 요소의 버전을 나타냅니다. 예를 들어 PostgreSQL 데이터베이스 서버의 여러 스트림(버전)을 기본 postgresql :10 스트림이 있는 postgresql 모듈에서 사용할 수 있습니다. 시스템에는 하나의 모듈 스트림만 설치할 수 있습니다. 개별 컨테이너에서 서로 다른 버전을 사용할 수 있습니다.

자세한 모듈 명령은 사용자 공간 구성 요소 설치, 관리 및 제거 문서에서 설명합니다. AppStream에서 사용 가능한 모듈 목록은 패키지 매니페스트를 참조하십시오.

3.4. YUM/DNF를 사용한 패키지 관리

Red Hat Enterprise Linux 8에서는 DNF 기술을 기반으로 하는 YUM 툴을 통해 소프트웨어를 설치합니다. 당사는 이전 RHEL 주 버전과의 일관성을 위해 yum 용어 사용을 의도적으로 준수합니다. 그러나 yum 이 호환성을 위해 dnf 에 대한 별칭이므로 yum이 yum 대신 dnf 를 입력하는 경우 명령이 예상대로 작동합니다.

자세한 내용은 다음 설명서를 참조하십시오.

4장. 새로운 기능

이 부분에서는 Red Hat Enterprise Linux 8.5에서 도입된 새로운 기능 및 주요 개선 사항에 대해 설명합니다.

4.1. 설치 프로그램 및 이미지 생성

RHEL for Edge에서 간소화된 설치 프로그램 지원

이 향상된 기능을 통해 Image Builder는 Edge 단순 설치 프로그램(엣지 단순 설치 프로그램) 및 RHEL for Edge Raw Images(edge-raw-image)용 RHEL을 빌드할 수 있습니다.

에지 간소화 설치 프로그램을 위한 RHEL을 사용하면 새로운 청사진 옵션인 installation_device 를 지정할 수 있으므로 장치에 무인 설치를 수행할 수 있습니다. 원시 이미지를 생성하려면 기존 OSTree 커밋을 제공해야 합니다. 그 결과 기존 커밋이 배포된 원시 이미지가 생성됩니다. 설치 프로그램은 이 원시 이미지를 지정된 설치 장치에 사용합니다.

또한 Image Builder를 사용하여 Edge Raw Images용 RHEL을 빌드할 수도 있습니다. 이러한 이미지는 기존에 배포된 OSTree 커밋이 포함된 파티션 레이아웃이 포함된 압축 원시 이미지입니다. Edge Raw Images용 RHEL을 설치하여 하드 드라이브에서 플래시하거나 가상 머신에서 부팅할 수 있습니다.

(BZ#1937854)

더 이상 사용되지 않는 커널 부팅 인수 경고

inst. 접두사(예: ks,stage2,repo 등)가 없는 Anaconda 부팅 인수는 RHEL7부터 더 이상 사용되지 않습니다. 이러한 인수는 다음 주요 RHEL 릴리스에서 제거됩니다.

이번 릴리스에서는 inst 접두사 없이 부팅 인수를 사용할 때 적절한 경고 메시지가 표시됩니다. 설치를 부팅할 때와 터미널에서 설치 프로그램이 시작될 때도 경고 메시지가 dracut 에 표시됩니다.

다음은 터미널에 표시되는 샘플 경고 메시지입니다.

더 이상 사용되지 않는 부팅 인수 ksinst. 접두사와 함께 사용해야 합니다. 대신 inst.ks 를 사용하십시오. inst. 접두사가 없는 Anaconda 부팅 인수는 더 이상 사용되지 않으며 향후 주요 릴리스에서 제거됩니다.

다음은 dracut 에 표시되는 샘플 경고 메시지입니다.

KS는 더 이상 사용되지 않습니다. inst. 접두사가 없는 Anaconda 부팅 인수의 모든 사용은 더 이상 사용되지 않으며 향후 주요 릴리스에서 제거됩니다. 대신 inst.ks 를 사용하십시오.

(BZ#1897657)

Red Hat Connector가 완전 지원됨

Red Hat Connector(rhc)를 사용하여 시스템을 연결할 수 있습니다. Red Hat 커넥터는 사용자가 Insights의 웹 사용자 인터페이스(console.redhat.com) 내의 호스트에서 직접 Insights 해결 플레이북을 실행할 수 있는 명령줄 인터페이스와 데몬으로 구성됩니다. Red Hat 커넥터는 RHEL 8.4에서 기술 프리뷰로 제공되었으며 RHEL 8.5부터 완전하게 지원됩니다.

자세한 내용은 Red Hat 커넥터 구성 가이드를 참조하십시오.

(BZ#1957316)

사용 가능한 공식 리포지터리를 재정의하는 기능

기본적으로 osbuild-composer 백엔드에는 /usr/share/osbuild-composer/repositories 디렉터리에 정의된 자체 공식 리포지토리 세트가 있습니다. 따라서 /etc/yum.repos.d/ 디렉터리에 있는 시스템 리포지토리를 상속하지 않습니다. 이제 공식 리포지토리를 재정의할 수 있습니다. 이렇게 하려면 /etc/osbuild-composer/repositories 에서 재정의를 정의하고 /usr 디렉토리의 파일보다 우선 순위가 높습니다.

(BZ#1915351)

Image Builder에서 파일 시스템 구성 지원

이번 개선된 기능을 통해 청사진에 사용자 지정 파일 시스템 구성을 지정할 수 있으며 원하는 디스크 레이아웃으로 이미지를 생성할 수 있습니다. 결과적으로 기본이 아닌 레이아웃을 사용하면 보안 벤치마크, 기존 설정, 성능 및 디스크 부족 오류에 대한 보호의 이점을 누릴 수 있습니다.

블루프린트에서 파일 시스템 구성을 사용자 정의하려면 다음 사용자 지정을 설정합니다.

[[customizations.filesystem]]
mountpoint = "MOUNTPOINT"
size = MINIMUM-PARTITION-SIZE

(BZ#2011448)

Image Builder에서 부팅 가능한 설치 프로그램 이미지 생성을 지원

이 향상된 기능을 통해 Image Builder를 사용하여 루트 파일 시스템이 포함된 tarball 파일로 구성된 부팅 가능한 ISO 이미지를 만들 수 있습니다. 결과적으로 부팅 가능한 ISO 이미지를 사용하여 tarball 파일 시스템을 베어 메탈 시스템에 설치할 수 있습니다.

(BZ#2019318)

4.2. 에지용 RHEL

Greenboot 서비스가 기본적으로 활성화되어 있습니다

이전에는 greenboot 서비스가 기본 사전 설정에 존재하지 않았으므로 greenboot 패키지를 설치할 때 사용자가 이러한 greenboot 서비스를 수동으로 활성화해야 했습니다. 이번 업데이트를 통해 이제 기본 사전 설정 구성에 greenboot 서비스가 있으므로 사용자가 더 이상 수동으로 활성화할 필요가 없습니다.

(BZ#1935177)

4.3. 소프트웨어 관리

RPM은 이제 sqlite 데이터베이스 백엔드에 대한 읽기 전용 지원

컨테이너와 같은 다른 루트 디렉터리를 검사할 때 sqlite 기반의 RPM 데이터베이스를 쿼리하는 기능이 필요할 수 있습니다. 이 업데이트는 RPM sqlite 데이터베이스 백엔드에 대한 읽기 전용 지원을 추가합니다. 결과적으로 호스트 RHEL 8의 UBI 9 또는 Fedora 컨테이너에 설치된 패키지를 쿼리할 수 있습니다. Podman을 사용하여 이를 수행하려면 다음을 수행합니다.

  1. podman mount 명령을 사용하여 컨테이너의 파일 시스템을 마운트 합니다.
  2. 마운트된 위치를 가리키는 --root 옵션과 함께 rpm -qa 명령을 실행합니다.

RHEL 8의 RPM에서는 여전히 BerkeleyDB 데이터베이스(bdb) 백엔드를 사용합니다.

(BZ#1938928)

libmodulemd 가 버전 2.12.1로 업데이트

libmodulemd 패키지가 버전 2.12.1로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.

  • modulemd-obsoletes 문서 유형의 버전 1에 대한 지원이 추가되어 다른 스트림이 사용되지 않는 스트림 또는 수명 종료에 도달하는 스트림에 대한 정보가 추가되었습니다.
  • 모듈 빌드 시스템에 대한 모듈 스트림 콘텐츠에 대한 패키지 관리자 설명을 제공하는 modulemd-packager 문서 유형의 버전 3에 대한 지원이 추가되었습니다.
  • 버전 2 modulemd 문서 유형의 static_context 특성 지원이 추가되었습니다. 따라서 이제 모듈 빌드 시스템에서 생성하는 대신 패키지 관리자에서 모듈 컨텍스트를 정의합니다.
  • 이제 모듈 스트림 값이 항상 따옴표가 지정된 문자열로 직렬화됩니다.

(BZ#1894573)

libmodulemd 가 버전 2.13.0으로 업데이트

libmodulemd 패키지는 버전 2.13.0으로 업데이트되어 이전 버전에 대해 다음과 같은 주요 변경 사항을 제공합니다.

  • 모듈에서 데모된 패키지의 목록에 대한 지원이 추가되었습니다.
  • modulemd- validator 툴의 새로운 --type 옵션으로 modulemd-packager- v3 문서를 검증하는 지원이 추가되었습니다.
  • 강화된 구문 분석 정수.
  • 다양한 modulemd-validator 문제 해결.

(BZ#1984402)

sslverifystatusdnf 구성에 추가되었습니다

이번 업데이트를 통해 sslverifystatus 옵션이 활성화되면 dnf 는 OCI(Certificate Status Request TLS 확장)를 사용하여 각 서버 인증서 폐기 상태를 확인합니다. 결과적으로 해지된 인증서가 발생하면 dnf 가 서버에서 다운로드를 거부합니다.

(BZ#1814383)

4.4. 쉘 및 명령행 툴

리디렉션이 2.6 버전으로 업데이트되었습니다

휴면 및 복구(ReaR)가 버전 2.6로 업데이트되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • eMMC 장치에 대한 지원이 추가되었습니다.
  • 기본적으로 모든 커널 모듈은 복구 시스템에 포함됩니다. 특정 모듈을 포함하려면 구성 파일에서 MODULES 배열 변수를 다음과 같이 설정합니다. MODULES=(mod1 mod2 )
  • AMD 및 Intel 64비트 아키텍처 및 IBM Power Systems에서 Little Endian은 부트 로더 설치 위치를 제어하기 위해 새로운 설정 변수 GRUB2_INSTALL_DEVICES 가 도입되었습니다. 자세한 내용은 /usr/share/rear/conf/default.conf 의 설명을 참조하십시오.
  • 다중 경로 장치의 백업이 개선되었습니다.
  • /media, / run, / mnt, / tmp 의 파일은 해당 디렉토리에 이동식 미디어 또는 임시 파일을 포함하는 것으로 알려져 있기 때문에 백업에서 자동으로 제외됩니다. /usr/share/rear/conf/default.conf 의 collectdEXCLUDE_PATH 변수에 대한 설명을 참조하십시오.
  • CLONE_ALL_USERS_GROUPS=true 가 기본값입니다. 자세한 내용은 /usr/share/rear/conf/default.conf 의 설명을 참조하십시오.

(BZ#1988493)

modulemd-tools 패키지를 사용할 수 있습니다

이번 업데이트를 통해 modulemd YAML 파일을 구문 분석하고 생성하는 툴을 제공하는 modulemd -tools 패키지가 도입되었습니다.

modulemd-tools 를 설치하려면 다음을 사용합니다.

# yum install modulemd-tools

(BZ#1924850)

opencryptoki 가 버전 3.16.0으로 업데이트

opencryptoki 가 버전 3.16.0으로 업그레이드되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • protected-key 옵션과 EP11 코어 프로세서의 attribute-bound 키에 대한 지원이 향상되었습니다.
  • cycle-count-accurate (CCA) 프로세서에서 보안 키 오브젝트의 가져오기 및 내보내기 향상.

(BZ#1919223)

lsvpd 는 1.7.12 버전으로 업데이트

lsvpd 가 버전 1.7.12로 업그레이드되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • sysvpd에 UUID 속성이 추가되었습니다.
  • NVMe 펌웨어 버전이 개선되었습니다.
  • 고정 PCI 장치 제조업체 구문 분석 논리.
  • lsvpd 구성 파일에 recommends 절이 추가되었습니다.

(BZ#1844428)

ppc64-diag 가 버전 2.7.7로 업데이트

ppc64-diag 가 버전 2.7.7로 업그레이드되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • 향상된 유닛 테스트 사례.
  • sysvpd에 UUID 속성이 추가되었습니다.
  • rtas_errd 서비스는 Linux 컨테이너에서 실행되지 않습니다.
  • 더 이상 사용되지 않는 로깅 옵션은 systemd 서비스 파일에서 더 이상 사용할 수 없습니다.

(BZ#1779206)

ipmi_poweripmi_boot 모듈은 redhat.rhel_mgmt Collection에서 사용할 수 있습니다.

이번 업데이트에서는IPMI(Intelligent Platform Management Interface) Ansible 모듈을 지원합니다. IPMI 는 BMC(Baseboard Management Controller) 장치와 통신하기 위한 관리 인터페이스 집합에 대한 사양입니다. IPMI 모듈 - ipmi_poweripmi_boot - ansible-collection-redhat- rhel_mgmt 패키지를 설치하여 얻을 수 있는 redhat. rhel_mgmt 컬렉션에서 사용할 수 있습니다.

(BZ#1843859)

RHEL에 udftools 2.3 추가

udftools 패키지는 UDF(Universal Disk Format) 파일 시스템을 조작하기 위한 사용자 공간 유틸리티를 제공합니다. 이 향상된 기능을 통해 udftools 는 다음과 같은 도구 세트를 제공합니다.

  • cdrwtool - 빈 형식, 빠른 설정 및 DVD-R/CD-R/CD-RW 미디어에 쓰기 등의 작업을 수행합니다.
  • mkfs.udf,mkudffs - UUID(Universal Disk Format) 파일 시스템을 만듭니다.
  • pktsetup - 패킷 장치를 설정하고 해제합니다.
  • udfinfo - UDF(Universal Disk Format) 파일 시스템에 대한 정보를 표시합니다.
  • udflabel - UDF(Universal Disk Format) 파일 시스템 레이블을 표시하거나 변경합니다.
  • wrudf - 기존 UDF(Universal Disk Format) 파일 시스템에서 cp,rm ,mkdir, rmdir,lscd 작업이 포함된 대화형 쉘을 제공합니다.

(BZ#1882531)

RHEL 8.5에는 Tesseract 4.1.1 이 있습니다.

Tesseract 는 오픈 소스 OCR (optical character reading) 엔진이며 다음과 같은 기능이 있습니다.

  • tesseract 버전 4부터 문자 인식은 LSTM(Long short-Term Memory) neural Network를 기반으로 합니다.
  • UTF-8을 지원합니다.
  • 일반 텍스트, hOCR(HTML), PDF 및 TSV 출력 형식을 지원합니다.

(BZ#1826085)

씬 풀로 LVM을 복원할 때 더 이상 오류가 발생하지 않습니다

이번 개선된 기능을 통해 ReaR은 이제 커널 메타데이터(예: RAID 및 캐시)를 사용하여 씬 풀 및 기타 논리 볼륨 유형(예: VG)을 사용하고 lvcreate 명령을 사용하여 VG에서 모든 논리 볼륨(LV)을 다시 생성하는 모드로 전환됩니다. 따라서 씬 풀이 있는 LVM이 오류 없이 복원됩니다.

참고

이 새로운 방법은 모든 LV 속성(예: LVM UUID)을 유지하지 않습니다. 재현된 스토리지 레이아웃이 요구 사항과 일치하는지 확인하려면 Production 환경에서 ReaR을 사용하기 전에 백업의 복원을 테스트해야 합니다.

(BZ#1747468)

net-SNMP가 RSA 및 ECC 인증서를 감지

이전에는 Net-SNMP(Net-SNMP)에서 Rivest, Shamir, Adleman(RSA) 인증서만 감지했습니다. 이 향상된 기능에는 ECC( Elliptic Curve Cryptography) 지원이 추가되었습니다. 결과적으로 Net-SNMP가 RSA 및 ECC 인증서를 감지합니다.

(BZ#1919714)

FCoE 옵션이 rd.fcoe로 변경됨

이전에는 FCoE(Fibre Channel over Ethernet)를 끄는 명령으로 dracut .cmdline documentedrd.nofcoe=0 의 도움말 페이지가 있었습니다.

이번 업데이트를 통해 명령이 rd.fcoe 로 변경됩니다. FCoE를 비활성화하려면 command rd.fcoe=0 을 실행합니다.

FCoE에 대한 자세한 내용은 Configuring Fibre Channel over Ethernet을 참조하십시오.

(BZ#1929201)

4.5. 인프라 서비스

linuxptp 버전 3.1로 다시 기반

linuxptp 패키지가 버전 3.1로 업데이트되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • PTP(Precision Time Protocol) 하드웨어 클록을 PPS(Pulse Per second) 신호에 동기화하기 위한 ts2phc 프로그램 추가.
  • 프로파일에 대한 지원이 추가되었습니다.
  • 클라이언트 이벤트 모니터링에 대한 지원이 추가되었습니다.

(BZ#1895005)

Chrony 가 버전 4.1로 업데이트

Chrony 가 버전 4.1으로 업데이트되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • NTS(Network Time Security) 인증에 대한 지원이 추가되었습니다. 자세한 내용은 chrony의 NTS(Network Time Security) 개요를 참조하십시오.
  • 기본적으로 인증된 NTP(Network Time Protocol) 소스는 인증되지 않은 NTP 소스에서 신뢰합니다. chrony.conf 파일에 autselectmode ignore 인수를 추가하여 원래 동작을 복원합니다.
  • RIPEMD 키로 인증 지원 - RMD128, RMD 160, RMD 256,RMD 240은 더 이상 사용할 수 없습니다.
  • NTPv4 패킷의 긴 비표준 MAC에 대한 지원은 더 이상 사용할 수 없습니다. chrony 2.x,비MD5/SHA1 키를 사용하는 경우 버전 3 옵션으로 chrony 를 구성해야 합니다.

(BZ#1895003)

PowerTOP 버전 2.14로 업데이트

PowerTOP 가 버전 2.14로 업그레이드되었습니다. 이는 Alder Lake, Sapphire Rapids 및 fastet Lake 플랫폼 지원이 추가된 업데이트입니다.

(BZ#1834722)

불필요한 IRQ를 하우스키핑 CPU로 이동

i40e,iavf,mlx5 와 같은 네트워크 장치 드라이버는 온라인 CPU를 평가하여 대기열 수를 결정하므로 MSIX 벡터가 생성됩니다.

다수의 격리되고 하우스키핑 CPU가 거의 없는 대기 시간이 짧은 환경에서 TuneD가 이러한 장치 IRQ를 하우스키핑 CPU로 이동하려고 할 때 CPU 벡터 제한으로 인해 실패합니다.

이 향상된 기능을 통해 TuneD는 하우스키핑 CPU에 따라 네트워크 장치 채널(및 MSIX 벡터)의 수를 명시적으로 조정합니다. 따라서 이제 모든 장치 IRQ를 하우스키핑 CPU에서 이동하여 대기 시간을 단축할 수 있습니다.

(BZ#1951992)

4.6. 보안

Libreswan 이 4.4로 업데이트

libreswan 패키지가 업스트림 버전 4.4로 업그레이드되어 많은 개선 사항 및 버그 수정이 추가되었습니다. 가장 중요한 것은 다음과 같습니다.

  • IKEv2 프로토콜:

    • 전송 모드의 TCP 캡슐화 및 호스트 간 연결에 대한 수정 사항이 추가되었습니다.
    • 리디렉션 통계를 표시하기 위해 --globalstatus 옵션을 ipsec whack 명령에 추가했습니다.
    • ipsec.conf 구성 파일의 vhostvnet 값은 더 이상 IKEv2 연결에 허용되지 않습니다.
  • pluto IKE 데몬:

    • 비표준 IKE 포트를 사용하는 호스트 간 연결에 대한 수정 사항이 추가되었습니다.
    • 최상의 초기 연결을 선택하기 위해 피어ID(IKEv2 IDr 또는 IKEv1 Aggr)가 추가되었습니다.
    • Libreswan에서 해당 기능을 아직 제공하지 않으므로 interface-ip= 옵션을 비활성화합니다.
    • 전송 모드에서 NAT에 대한 ipsec__updown 스크립트의 PLUTO_PEER_CLIENT 변수를 수정했습니다.
    • PLUTO_CONNECTION_TYPE 변수를 transport 또는 터널 로 설정합니다.
    • 템플릿이 아닌 와일드카드 ID 연결이 일치할 수 있습니다.

(BZ#1958968)

GNUTls가 3.6.16으로 다시 기반

gnutls 패키지가 3.6.16 버전으로 업데이트되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • gnutls_x509_crt_export2() 함수는 이제 성공할 경우 내부 base64 Blob의 크기 대신 0을 반환합니다. 이는 gnutls_x509_crt_export2(3) 도움말 페이지의 설명서와 일치합니다.
  • OCSP(Online Certificate Status Protocol) must-stapling not be followed 플래그로 인한 인증서 확인 실패가 이제 GNUTLS_CERT_INVALID 플래그로 올바르게 표시됩니다.
  • 이전 버전에서는 -VERS-TLS1.2 옵션을 통해 TLS 1.2를 명시적으로 비활성화한 경우에도 서버는 TLS 1.3이 활성화된 경우 계속 TLS 1.2를 제공했습니다. 버전 협상이 수정되었으며 TLS 1.2를 올바르게 비활성화할 수 있습니다.

(BZ#1956783)

socat 이 1.7.4로 업데이트

socat 패키지가 버전 1.7.3에서 1.7.4로 업그레이드되어 많은 버그 수정 및 개선 사항을 제공합니다. 가장 중요한 것은 다음과 같습니다.

  • GOPENUNIX-CLIENT 주소가 이제 SEQPACKET 소켓을 지원합니다.
  • 일반 setockopt-int 및 관련 옵션은 연결된 소켓에 적용되는 주소를 수신하거나 수락하는 경우입니다. 수신 대기 소켓에 옵션을 설정하도록 이제 setsockopt-listen 옵션을 사용할 수 있습니다.
  • 전송된 데이터의 원시 덤프에 대한 -r 및 -R 옵션을 파일에 추가했습니다.
  • ip-transparent 옵션과 IP_TRANSPARENT 소켓 옵션을 추가했습니다.
  • 이제 OPENSSL-CONNECT 에서 SNI 기능을 자동으로 사용하고 openssl-no-sni 옵션은 SNI를 비활성화합니다. openssl-snihost 옵션은 openssl-commonname 옵션 또는 서버 이름을 재정의합니다.
  • accept-timeoutlisten-timeout 옵션이 추가되었습니다.
  • ip-add-source-membership 옵션이 추가되었습니다.
  • 이제 UDP-DATAGRAM 주소는 1.7.3에서와 같이 응답의 피어 포트를 확인하지 않습니다. 시나리오에 이전 동작이 필요한 경우 sourceport optioon을 사용합니다.
  • 새로운 proxy-authorization-file 옵션은 파일에서 PROXY-CONNECT 자격 증명을 읽고 process 테이블에서 이 데이터를 숨길 수 있습니다.
  • VSOCK -CONNECT 및 V SOCK- LISTEN 주소에 대한 AF_V SOCK 지원이 추가되었습니다.

(BZ#1947338)

crypto-policies 가 20210617로 변경

crypto-policies 패키지가 업스트림 버전 20210617로 업그레이드되었으며, 특히 이전 버전에 비해 많은 개선 사항 및 버그 수정을 제공합니다.

  • 이제 범위가 지정된 정책을 사용하여 다양한 백엔드에 대해 다양한 알고리즘 집합을 활성화할 수 있습니다. 이제 각 구성 지시문을 특정 프로토콜, 라이브러리 또는 서비스로 제한할 수 있습니다. 사용 가능한 범위 전체 목록 및 새 구문에 대한 자세한 내용은 crypto-policies(7) 도움말 페이지를 참조하십시오. 예를 들어 다음 지시문을 사용하면 SSH 프로토콜과 함께 AES-256-CBC 암호를 사용할 수 있어 libssh 라이브러리와 OpenSSH 제품군 모두에 영향을 미칩니다.

    cipher@SSH = AES-256-CBC+
  • 지시문은 와일드카드를 사용하여 여러 값을 지정하는 데 별표를 사용할 수 있습니다. 예를 들어 다음 지시문은 libssh 를 사용하는 애플리케이션의 모든 CBC 모드 암호를 비활성화합니다.

    cipher@libssh = -*-CBC

    향후 업데이트에서는 현재 와일드카드와 일치하는 새로운 알고리즘을 도입할 수 있습니다.

(BZ#1960266)

crypto-policies 가 사용자 정의 정책에서 AES-192 암호화 지원

시스템 전체 암호화 정책에서는 사용자 정의 정책 및 하위 정책의 암호화 옵션에 대해 다음 값을 지원합니다. AES-192-GCM, AES-192-CCM, AES-192-CTR, and AES-192-CBC. 결과적으로 Libreswan 애플리케이션에 대해 AES-192-GCMAES-192-CBC 암호를 활성화하고 libssh 라이브러리의 AES-192- CTR 및 AES-192 -CBC 암호를 활성화할 수 있습니다.

(BZ#1876846)

FUTURE 암호화 정책에서 CBC 암호가 비활성화되어 있습니다

이번 crypto-policies 패키지 업데이트는 FUTURE 정책에서 CBC(암호 블록 체인) 모드를 사용하는 암호를 비활성화합니다. FUTURE 의 설정은 가까운 향후 공격에 대비해야 하며, 이러한 변경은 현재 진행 상황을 반영합니다. 따라서 FUTURE 정책이 활성화된 경우 암호화 정책을 준수하는 시스템 구성 요소는 CBC 모드를 사용할 수 없습니다.

(BZ#1933016)

새 커널 AVC 추적점 추가

이번 개선된 기능을 통해 SELinux 거부가 감사될 때 트리거되는 새로운 avc:selinux_audited 커널 추적 포인트가 추가됩니다. 이 기능을 사용하면 SELinux 거부를 보다 편리하게 낮은 수준의 디버깅할 수 있습니다. 새로운 추적 지점은 perf 와 같은 툴에 사용할 수 있습니다.

(BZ#1954024)

SCAP 보안 가이드의 새로운 ACSC ISM 프로파일

scap-security-guide 패키지에서는 이제 호주 크리티컬 보안 센터(ACSC) ISV(정보 보안 안내서) 규정 준수 프로필과 해당 Kickstart 파일을 제공합니다. 이번 개선된 기능을 통해 이 보안 기준을 준수하는 시스템을 설치하고 OpenSCAP 제품군을 사용하여 ACSC에 정의된 보안 제어에 위험 기반 접근 방식을 사용하여 보안 준수 및 수정을 확인할 수 있습니다.

(BZ#1955373)

SCAP 보안 가이드가 0.1.57로 업데이트

scap-security-guide 패키지는 여러 버그 수정 및 개선 사항을 제공하는 업스트림 버전 0.1.57로 업데이트되었습니다. 가장 중요한 것은 다음과 같습니다.

  • 호주 사이버 보안 센터(ACSC) Information Security Manual(ISM) 프로파일이 도입되었습니다. 프로필은 Essential Eight 프로필을 확장하고 ISM에 정의된 보안 제어를 추가합니다.
  • CIS(Center for Internet Security) 프로필은 공식 CIS 벤치마크에 정의된 대로 강화 및 시스템 유형(서버 및 워크스테이션)의 4가지 프로필로 재구성되었습니다.
  • STIG(보안 기술 구현 가이드) 보안 프로필이 업데이트되었으며 최근 릴리스된 버전 V1R3의 규칙을 구현합니다.
  • GUI를사용한 STIG(Security Technical Implementation Guide)보안 프로파일을 소개합니다. 프로필은 STIG 프로필에서 파생되며 GUI 패키지 선택 서버를 선택하는 RHEL 설치와 호환됩니다.
  • 프랑스 국가안보국(AN SSI )의 ANSSI BP-028 권장 사항을 기반으로 하는 ANSSI High level 프로파일이 도입되었습니다. 여기에는 High 강화 수준 규칙을 구현하는 프로필이 포함됩니다.

(BZ#1966577)

OpenSCAP이 1.3.5로 업데이트

OpenSCAP 패키지가 업스트림 버전 1.3.5로 업데이트되었습니다. 주요 수정 사항 및 개선 사항은 다음과 같습니다.

  • ovalxccdf 모듈의 validate 명령에 대해 기본적으로 활성화된 Schematron 기반 검증.
  • SCAP 1.3 소스 데이터 스트림 스키마가 추가되었습니다.
  • XML 서명 검증이 추가되었습니다.
  • SOURCE_DATE_EPOCH 출력 허용.
  • 추가된 심각도역할 특성.
  • XCCDF(규칙 및 그룹)의 요구 사항 및 충돌 요소 지원.
  • HTML 보고서의 Kubernetes 업데이트 적용.
  • gpfs,procsysfs 파일 시스템을 비로컬로 처리.
  • --arg=val 로 스타일화된 공통 옵션의 고정 처리.
  • StateType 연산자의 고정 동작입니다.
  • 불완전한 XPath 쿼리를 허용하기 위해 XPath 표현식(xmlfilecontent)에서 무시된 네임스페이스입니다.
  • 취약한 데이터의 존재에 대한 경고를 야기하는 문제를 해결했습니다.
  • 수정된 여러 segfaults 및 --stig-viewer 기능의 손상된 테스트.
  • TestResult/benchmark/@href 특성을 수정했습니다.
  • 많은 메모리 관리 문제를 해결했습니다.
  • 많은 메모리 누수가 수정되었습니다.

(BZ#1953092)

디지털 서명된 SCAP 소스 데이터 스트림 검증

SCAP(Security Content Automation Protocol) 1.3 사양을 준수하기 위해 OpenSCAP은 디지털 서명 SCAP 소스 데이터 스트림의 디지털 서명을 검증합니다. 결과적으로 OpenSCAP은 디지털 서명된 SCAP 소스 데이터 스트림을 평가할 때 디지털 서명을 검증합니다. 서명 검증은 파일을 로드하는 동안 자동으로 수행됩니다. 잘못된 서명이 있는 데이터 스트림은 거부되고 OpenSCAP은 해당 콘텐츠를 평가하지 않습니다. OpenSCAP은 OpenSSL 암호화 라이브러리와 함께 XML 보안 라이브러리 를 사용하여 디지털 서명을 검증합니다.

oscap xccdf eval 명령에 --skip-signature-validation 옵션을 추가하여 서명 검증을 건너뛸 수 있습니다.

중요

OpenSCAP은 KeyInfo 서명 요소의 일부이며 서명을 확인하는 데 사용되는 인증서 또는 공개 키의 신뢰성을 해결하지 않습니다. 잘못된 행위자가 수정하고 서명한 데이터 스트림의 평가를 방지하려면 이러한 키를 단독으로 확인할 수 있어야 합니다.

(BZ#1966612)

서버와 GUI 설치와 호환되는 새로운 DISA STIG 프로파일

GUI를 사용하는 DISA STIG 라는 새 프로필이 SCAP 보안 가이드에 추가되었습니다. 이 프로필은 DISA STIG 프로필에서 파생되며 GUI 패키지 그룹과 서버를 선택한 RHEL 설치와 호환됩니다. DISA STIG는 그래픽 사용자 인터페이스를 제거해야 했기 때문에 이전의 기존 stig 프로파일은 GUI와 호환되지 않았습니다. 그러나 평가 중에 보안 책임자가 올바르게 문서화한 경우 이 값을 재정의할 수 있습니다. 결과적으로 새 프로필은 DISA STIG 프로필에 정렬된 GUI를 사용하여 RHEL 시스템을 서버로 설치할 때 도움이 됩니다.

(BZ#1970137)

STIG 보안 프로파일이 버전 V1R3으로 업데이트

SCAP 보안 가이드의 Red Hat Enterprise Linux 8 프로필 DISA STIG 가 최신 버전 V1R3 에 맞게 업데이트되었습니다. RHEL 8 STIG(Security Technical Implementation Guide) 매뉴얼 벤치마크가 보다 안정적이고 효과적으로 조정됩니다.

이 두 번째 반복은 STIG와 관련하여 약 90%의 적용 범위를 제공합니다. 이전 버전이 더 이상 유효하지 않으므로 이 프로필의 현재 버전만 사용해야 합니다.

주의

자동 수정을 통해 시스템이 작동하지 않을 수 있습니다. 먼저 테스트 환경에서 수정을 실행합니다.

(BZ#1993056)

SCAP 보안 가이드의 새로운 CIS 프로파일 세 개

CIS(Center for Internet Security) Red Hat Enterprise Linux 8 벤치마크에 맞는 3개의 새 규정 준수 프로필이 SCAP 보안 가이드에 소개되었습니다. CIS RHEL 8 벤치마크는 "Server" 및 "Workstation" 배포에 대한 다양한 구성 권장 사항을 제공하며 각 배포에 대해 "레벨 1" 및 "수준 2"의 두 가지 구성을 정의합니다. 이전에 RHEL8에서 제공된 CIS 프로필은 "Server Level 2"만 표시되었습니다. 3개의 새 프로필은 CIS RHEL8 벤치마크 프로필의 범위를 완료하고 이제 CIS 권장 사항에 대해 시스템을 더 쉽게 평가할 수 있습니다.

현재 사용 가능한 모든 CIS RHEL 8 프로필은 다음과 같습니다.

워크스테이션 수준 1

xccdf_org.ssgproject.content_profile_cis_workstation_l1

워크스테이션 수준 2

xccdf_org.ssgproject.content_profile_cis_workstation_l2

서버 레벨 1

xccdf_org.ssgproject.content_profile_cis_server_l1

서버 레벨 2

xccdf_org.ssgproject.content_profile_cis

(BZ#1993197)

유사한 시스템 호출을 그룹화하여 감사에 대한 업데이트 적용 성능

이전에는 감사 수정에서 프로필에서 감사한 각 시스템 호출에 대한 개별 규칙을 생성했습니다. 이로 인해 많은 수의 감사 규칙이 생성되어 성능이 저하되었습니다. 이번 개선된 기능을 통해 감사에 대한 수정을 통해 동일한 필드를 사용하여 유사한 시스템 호출에 대한 규칙을 단일 규칙으로 그룹화할 수 있으므로 성능이 향상됩니다.

함께 그룹화된 시스템 호출의 예는 다음과 같습니다.

-a always, exit -F arch=b32 -S chown, fchown, fchownat, lchown -F auid>=1000 -F auid!=unset -F key=perm_mod
-a always, exit -F arch=b32 -S unlink, unlinkat, rename, renameat, rmdir -F auid>=1000 -F auid!=unset -F key=delete
-a always, exit -F arch=b32 -S chown, fchown, fchownat, lchown -F exit=-EACCES -F auid>=1000 -F auid!=unset -F key=unsuccesful-perm-change
-a always, exit -F arch=b32 -S unlink, unlinkat, rename, renameat -F auid>=1000 -F auid!=unset -F exit=-EACCES -F auid>=1000 -F auid!=unset -F key=unsuccessful-delete

(BZ#1876483)

ANSSI-BP-028 상위 레벨에 대한 프로필 추가

프랑스 국가안보국(ANSSI)의 ANSSI BP-028 권장 사항을 기반으로 ANSSI 고급 프로필이 도입되었습니다. 이렇게 하면 SCAP 보안 가이드 의 모든 ANSSI-BP-028 v1.2 강화 수준에 대한 프로필의 가용성이 완료됩니다. 새 프로필을 사용하면 High hardening 수준에서 GNU/Linux 시스템용 ANSSI의 권장 사항으로 시스템을 강화할 수 있습니다. 결과적으로 ANSSI Ansible 플레이북 및 ANSSI SCAP 프로필을 사용하여 RHEL 8 시스템의 규정 준수를 가장 엄격한 강화 수준으로 구성하고 자동화할 수 있습니다.

(BZ#1955183)

Rsyslog TCP 및 RELP 트래픽 암호화를 위해 OpenSSL 추가

OpenSSL 네트워크 스트림 드라이버가 Rsyslog에 추가되었습니다. 이 드라이버는 OpenSSL 라이브러리를 사용하여 TLS 보호 전송을 구현합니다. 이는 GnuTLS 라이브러리를 사용하여 스트림 드라이버와 비교하여 추가 기능을 제공합니다. 결과적으로 OpenSSL 또는 GnuTLS를 Rsyslog 네트워크 스트림 드라이버로 사용할 수 있습니다.

(BZ#1891458)

rsyslog가 8.2102.0-5로 업데이트

rsyslog 패키지는 이전 버전에서 다음과 같은 주요 변경 사항을 제공하는 업스트림 버전 8.2102.0-5로 업데이트되었습니다.

  • 변수가 있는지 여부를 확인하기 위해 exists() 스크립트 함수를 추가했습니다(예: $!path!var ).
  • omrelp 및 imrelp 모듈에 대한 새로운 구성 매개 변수 tls.tlscfgcmd 로 OpenSSL 구성 명령 설정 지원이 추가되었습니다.
  • 원격 서버로 전송되는 속도 제한 syslog 메시지를 위해 omfwd 모듈에 새로운 속도 제한 옵션이 추가되었습니다.

    • ratelimit.interval 은 속도 제한 간격(초)을 지정합니다.
    • ratelimit.burst 는 메시지 수의 속도 제한 버스트를 지정합니다.
  • 다양한 개선 사항이 있는 immark 모듈을 다시 작성합니다.
  • max 세션 config 매개 변수를 imptcp 모듈에 추가했습니다. 최대값은 인스턴스당 측정되며 모든 인스턴스에서 전역적으로 측정되지 않습니다.
  • rsyslog-openssl 하위 패키지가 추가되었습니다. 이 네트워크 스트림 드라이버는 OpenSSL 라이브러리를 사용하여 TLS 보호 전송을 구현합니다.
  • Max BytesPerMinute 및 MaxLinesPerMinute 옵션을 사용하여 the imfile 모듈로 분당 속도 제한을 추가했습니다. 이러한 옵션은 정수 값을 허용하고 1분 내에 전송할 수 있는 바이트 또는 행 수를 제한합니다.
  • streamdriver.TlsVerifyDepth 옵션을 사용하여 인증서 체인 확인을 위한 최대 깊이를 구성하기 위해 imtcpomfwd 모듈에 대한 지원이 추가되었습니다.

(BZ#1932795)

4.7. 네트워킹

NetworkManager에서 ethtool 의 pause 매개변수 지원

특정 경우 특정 네트워크 인터페이스에 명시적으로 자동 일시 중지되지 않은 매개 변수를 설정해야 합니다. 이전에는 NetworkManager에서 ethtool 의 제어 흐름 매개 변수를 nmstate 에서 일시 중지할 수 없었습니다. pause 매개변수의 자동 협상을 비활성화하고 RX/TX 일시 중지 지원을 명시적으로 활성화하려면 다음 명령을 사용합니다.

# nmcli connection modify enp1s0 ethtool.pause-autoneg no ethtool.pause-rx true ethtool.pause-tx true

(BZ#1899372)

불규칙 모드로 물리적 및 가상 인터페이스를 설정하기 위한 NetworkManager의 새로운 속성

이번 업데이트를 통해 모든 MAC 주소 모드를 허용하도록 802-3-ethernet.accept-all-mac-addresses 속성이 NetworkManager에 추가되었습니다. 이번 업데이트를 통해 커널은 의 현재 인터페이스의 MAC 주소를 대상으로 하는 네트워크 패키지를 허용할 수 있습니다. 에서 모든 MAC 주소 모드를 수락할 수 있습니다. eth1 에서 모든 MAC 주소 모드를 허용하려면 다음 명령을 사용합니다.

$ sudo nmcli c add type ethernet  ifname eth1 connection.id eth1  802-3-ethernet.accept-all-mac-addresses true

(BZ#1942331)

NetworkManager가 버전 1.32.10으로 업데이트

NetworkManager 패키지가 업스트림 버전 1.32.10으로 업그레이드되어 이전 버전에 비해 여러 개선 사항 및 버그 수정이 제공됩니다.

주요 변경 사항에 대한 자세한 내용은 이 버전의 업스트림 릴리스 노트 를 참조하십시오.

(BZ#1934465)

NetworkManager에서 방화벽 백엔드로 nftables 지원

이번 개선된 기능에는 NetworkManager에 nftables 방화벽 프레임워크 지원이 추가되었습니다. 기본 백엔드를 iptables 에서 nftables 로 전환하려면 다음을 수행합니다.

  1. 다음 콘텐츠를 사용하여 /etc/NetworkManager/conf.d/99-firewall-backend.conf 파일을 만듭니다.

    [main]
    firewall-backend=nftables
  2. NetworkManager 서비스를 다시 로드합니다.

    # systemctl reload NetworkManager

(BZ#1548825)

Firewalld가 버전 0.2.3으로 업데이트

firewalld 패키지가 업스트림 버전 0.2.3으로 업그레이드되어 이전 버전에 비해 여러 개선 사항 및 버그 수정이 제공됩니다.

자세한 내용은 업스트림 릴리스 노트를 참조하십시오.

(BZ#1872702)

firewalld 정책 오브젝트 기능을 사용할 수 있습니다.

이전에는 firewalld 를 사용하여 가상 시스템, 컨테이너 및 영역 간 트래픽 흐름을 필터링할 수 없었습니다. 이번 업데이트를 통해 firewalld 에서 정방향 및 출력 필터링을 제공하는 firewalld 정책 오브젝트 기능이 도입되었습니다.

(BZ#1492722)

다중 경로 TCP가 완전 지원됨

RHEL 8.5부터 MPTCP(Multipath TCP)가 지원됩니다. MPTCP는 네트워크 내에서 리소스 사용량을 개선하고 네트워크 장애에 대한 탄력성을 향상시킵니다. 예를 들어 RHEL 서버에서 Multipath TCP를 사용하면 MPTCP v1이 활성화된 스마트폰이 서버에서 실행 중인 애플리케이션에 연결하고 서버와의 연결을 중단하지 않고 Wi-Fi와 모바일 네트워크 간에 전환할 수 있습니다.

RHEL 8.5에는 다음과 같은 추가 기능이 도입되었습니다.

  • 여러 동시 활성 서브스트림
  • active-backup 지원
  • 스트림 성능 개선
  • 수신전송 버퍼 자동 조정으로 메모리 사용량 개선
  • SYN 쿠키 지원

서버에서 실행되는 애플리케이션은 기본적으로 MPTCP를 지원하거나 관리자가 eBPF 프로그램을 커널에 로드하여 IPPROTO_TCP를 IPPROTO_MPTCP 로 동적으로 변경해야 합니다.

자세한 내용은 Multipath TCP로 시작하기를 참조하십시오.

(JIRA:RHELPLAN-57712)

4.8. 커널

RHEL 8.5의 커널 버전

Red Hat Enterprise Linux 8.5는 커널 버전 4.18.0-348과 함께 배포됩니다.

(BZ#1839151)

Intel Sapphire Rapids 프로세서용 EDAC 지원

이번 개선된 기능으로 Intel Sapphire Rapids 프로세서에 대한 오류 감지 및 수정(EDAC) 장치 지원을 제공합니다. EDAC는 주로 ECC(오류 코드 수정) 메모리를 처리하고 PCI 버스 패리티 오류를 감지 및 보고합니다.

(BZ#1837389)

bpftrace 패키지가 버전 0.12.1로 다시 기반합니다.

bpftrace 패키지가 여러 버그 수정 및 개선 사항을 제공하는 버전 0.12.1로 업그레이드되었습니다. 이전 버전에 대한 주요 변경 사항은 다음과 같습니다.

  • 경로 구조에서 전체 경로를 표시하는 새로운 신뢰할 수 있는 방법인 새로운 내장 경로를 추가했습니다.
  • kfunc 프로브 및 추적 지점에 대한 와일드카드 지원이 추가되었습니다.

(BZ#1944716)

vmcore 캡처는 CPU 핫 애드 또는 핫 제거 작업 후에 예상대로 작동합니다.

이전 버전에서는 IBM POWER 시스템에서 모든 CPU 또는 메모리 핫 플러그 또는 제거 작업 후에 kdump.service 를 다시 로드하지 않는 한 장치 트리의 CPU 데이터가 오래되었습니다. 최신 CPU 정보를 다시 로드하기 위해 kdump.service 는 장치 노드를 통해 구문 분석하여 CPU 정보를 가져옵니다. 그러나 일부 CPU 노드는 핫 마이그레이션 중에 이미 손실되었습니다. 결과적으로 kdump.service 재로드와 CPU 핫 제거 사이의 경쟁 조건이 동시에 발생하여 덤프가 실패할 수 있습니다. 이후 충돌이 발생하면 vmcore 파일을 캡처하지 못할 수 있습니다.

이번 업데이트에서는 CPU 핫 플러그 후 kdump.service 를 다시 로드할 필요가 없으며 설명된 시나리오에서 vmcore 캡처가 예상대로 작동합니다.

참고: 이 향상된 기능은 펌웨어 지원 덤프(fdump)에 대해 예상대로 작동합니다. 표준 kdump 의 경우 핫 플러그 작업 중에 kdump.service 다시 로드가 수행됩니다.

(BZ#1922951)

kdumpctl 명령에서 새로운 kdumpctl 예상 유틸리티 지원

kdumpctl 명령은 kdumpctl 예상 유틸리티를 지원합니다. 기존 kdump 구성에 따라 kdump ctl 예상 값은 kdump 메모리 할당에 적합한 예상 값을 출력합니다.

크래시 커널의 최소 크기는 하드웨어 및 머신 사양에 따라 다를 수 있습니다. 따라서 이전에는 정확한 crashkernel= 값을 추정하기 어려웠습니다.

이번 업데이트를 통해 kdumpctl 예상 유틸리티에서 예상 값을 제공합니다. 이 값은 권장되는 최상의 추정치이며 실행 가능한 crashkernel= 값을 구성하는 데 좋은 참조 역할을 할 수 있습니다.

(BZ#1879558)

IBM TSS 2.0 패키지가 1.6.0으로 다시 기반

IBM의 TSG(신뢰할 수 있는 컴퓨팅 그룹) 2.0 바이너리 패키지가 1.6.0으로 업그레이드되었습니다. 이번 업데이트에서는 AMD64 및 Intel 64 아키텍처에 IBM TSS 2.0 지원이 추가되었습니다.

TSS for Trusted Platform Modules(TPM) 2.0용 사용자 공간 TSS로, 더 간단한 인터페이스를 사용하여 TCG TSS 작업 그룹의 EAPI(Enhanced System Application Interface), SAPI(System Application Interface), TPM Command Transmission Interface(TCTI) API와 동등한 기능을 구현합니다.

애플리케이션과 플랫폼을 통해 TPM을 보안 애플리케이션에 공유하고 통합할 수 있는 보안 미들웨어입니다.

이 리베이스는 이전 버전에 비해 많은 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항에는 다음과 같은 새로운 속성이 포함됩니다.

  • tsscertifyx509: x509 인증서 검증
  • tssgetcryptolibrary: 현재 암호화 라이브러리를 표시합니다.
  • tssprintattr: TPM 속성을 텍스트로 인쇄
  • tsspublicname: 엔터티의 공용 이름 계산
  • tsssetcommandcodeauditstatus: TPM2_SetCommandCodeAuditStatus를 통해 코드를 지우거나 설정합니다.
  • tsstpmcmd: 대역 내 TPM 시뮬레이터 신호 전송

(BZ#1822073)

RHEL 8에서 schedutil CPU 빈도 governor 사용 가능

schedutil CPU governor는 CPU 스케줄러에서 사용할 수 있는 CPU 사용률 데이터를 사용합니다. schedutil 은 CPU 스케줄러의 일부이며 스케줄러의 내부 데이터 구조에 직접 액세스할 수 있습니다. schedutil 은 CPU가 시스템 부하에 대응하여 빈도를 늘리고 줄이는 방법을 제어합니다. schedutil 빈도 governor는 기본값으로 활성화되지 않으므로 수동으로 선택해야 합니다.

CPU당 하나의 policyX 디렉토리가 있습니다. schedutil 은 커널의 기존 CPUFreq governor의 policyX/scaling_governors 목록에서 사용할 수 있으며 /sys/devices/system/cpu/cpufreq/policyx 정책에 연결됩니다. 정책 파일을 덮어쓰어 변경할 수 있습니다.

intel_pstate 확장 드라이버를 사용하는 경우 intel_pstate =passive 명령줄 인수를 사용할 수 있고 governor에 의해 나열되도록 intel_pstate =passive 명령줄 인수를 구성해야 할 수 있습니다. intel_pstate 는 최신 CPU가 있는 Intel 하드웨어의 기본값입니다.

(BZ#1938339)

rt-tests 제품군이 rt-tests-2.1 업스트림 버전으로 업데이트

rt-tests 제품군은 여러 버그 수정 및 개선 사항을 제공하는 rt-tests-2.1 버전으로 업데이트되었습니다. 이전 버전에 대한 주요 변경 사항은 다음과 같습니다.

  • rt-tests 제품군의 다양한 프로그램 수정.
  • 예를 들어 oslat 프로그램의 옵션 -t --runtime 옵션의 경우, 나머지 모음과 일치하도록 실행 기간을 지정하기 위해 oslat 프로그램의 옵션 -t --runtime 옵션의 이름이 -D 로 변경되었습니다.
  • json 형식으로 데이터를 출력하는 새 기능을 구현합니다.

(BZ#1954387)

Intel®QATlib(QATlib)가 21.05 버전으로 업데이트되었습니다.

qatlib 패키지는 여러 버그 수정 및 개선 사항을 제공하는 버전 21.05로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.

  • 여러 암호화 알고리즘에 대한 지원 추가:

    • AES-CCM 192/256
    • ChaCha20-Poly1305
    • PKE 8K (RSA, DH, ModExp, ModInv)
  • 다른 노드에서 장치 열거 수정
  • 32비트 빌드의 pci_vfio_set_command 수정

QATlib 설치에 대한 자세한 내용은 Intel® QuickAssist Technology 스택이 RHEL 8에서 올바르게 작동하는지 확인하십시오.

(BZ#1920237)

4.9. 파일 시스템 및 스토리지

Xfs_quota state 명령은 여러 할당량 유형을 지정하는 경우 모든 유예 시간을 출력합니다.

xfs_quota state 명령은 이제 명령줄에 지정된 여러 할당량 유형에 대한 유예 시간을 출력합니다. 이전에는 -g, -p 또는 - u 중 하나 이상이 지정된 경우에도 한 개만 표시되었습니다.

(BZ#1949743)

-h 옵션은 rpc.gssd 데몬 및 set-home 옵션에 /etc/nfs.conf 파일에 추가되었습니다.

이 패치에서는 -H 옵션을 rpc.gssd에 추가하고 set-home 옵션을 /etc/nfs.conf 에 추가하지만 기본 동작을 변경하지는 않습니다.

기본적으로 rpc.gssd는 사용자 홈 디렉토리가 Kerberos 보안을 사용하여 NFS 공유에 있을 때 발생할 수 있는 교착 상태를 방지하기 위해 $HOME/ 로 설정합니다. -H 옵션이 rpc.gssd 에 추가되거나 set-home=0/etc/nfs.conf에 추가되면rpc. gssd$HOME/ 로 설정하지 않습니다.

이러한 옵션을 사용하면 $HOME/.k5identity에서 Kerberos k5identity 파일을 사용할 수 있으며, Kerberos 보안과 함께 NFS 홈 디렉터리가 NFS 공유에 있다고 가정합니다. 이러한 옵션은 k5identity 파일의 필요성과 같은 특정 환경에서만 사용할 수 있습니다. 자세한 내용은 k5identity 도움말 페이지를 참조하십시오.

(BZ#1868087)

스토리지 RHEL 시스템 역할에서 LVM VDO 볼륨 지원

VDO(가상 데이터 최적화 도구)는 스토리지 볼륨의 사용을 최적화하는 데 도움이 됩니다. 이 향상된 기능을 통해 관리자는 스토리지 시스템 역할을 사용하여 LVM(Logical Manager Volumes) VDO 볼륨에서 압축중복 제거를 관리할 수 있습니다.

(BZ#1882475)

4.10. 고가용성 및 클러스터

pcs cluster setup 명령의 로컬 모드 버전이 완전히 지원됩니다

기본적으로 pcs cluster setup 명령은 모든 구성 파일을 클러스터 노드에 자동으로 동기화합니다. RHEL 8.3 이후 pcs cluster setup 명령은 --corosync-conf 옵션을 기술 프리뷰로 제공했습니다. 이 기능은 이제 RHEL 8.5에서 완전히 지원됩니다. 이 옵션을 지정하면 명령이 로컬 모드로 전환됩니다. 이 모드에서 pcs 명령줄 인터페이스는 corosync.conf 파일을 생성하여 다른 노드와 통신하지 않고 로컬 노드의 지정된 파일에만 저장합니다. 이렇게 하면 스크립트에 corosync.conf 파일을 생성하고 스크립트를 통해 해당 파일을 처리할 수 있습니다.

(BZ#1839637)

클러스터 노드의 하위 집합에서 펜싱을 위해 워치독 전용 SBD 구성 기능

이전에는 워치독 전용 SBD 구성을 사용하려면 클러스터의 모든 노드에서 SBD를 사용해야 했습니다. 이로 인해 일부 노드에서 지원하는 클러스터에서 SBD를 사용하지 못하지만 다른 노드(일반적으로 원격 노드)에는 다른 형태의 펜싱이 필요합니다. 일부 노드에서만 펜싱 및 기타 노드에서 다른 펜싱 유형을 사용하는 클러스터 구성을 허용하는 새로운 fence_watchdog 에이전트를 사용하여 워치독 전용 SBD 설정을 구성할 수 있습니다. 클러스터에는 이러한 장치가 하나뿐일 수 있으며 이름이 watchdog 여야 합니다.

(BZ#1443666)

다른 모든 리소스를 다시 시작하지 않고 SCSI 펜싱 장치를 업데이트하는 새로운 pcs 명령

pcs stonith update 명령으로 SCSI 펜싱 장치를 업데이트하면 stonith 리소스가 실행 중인 동일한 노드에서 실행되는 모든 리소스를 다시 시작합니다. 새로운 pcs stonith update-scsi-devices 명령을 사용하면 다른 클러스터 리소스를 다시 시작하지 않고도 SCSI 장치를 업데이트할 수 있습니다.

(BZ#1872378)

pcs resource safe-disable 명령에 대한 새로운 감소 출력 표시 옵션

pcs resource safe-disablepcs resource disable --safe 명령은 오류 보고서 후 긴 시뮬레이션 결과를 출력합니다. 해당 명령에 대해 --brief 옵션을 지정하여 오류만 출력할 수 있습니다. 이제 오류 보고서에 영향을 받는 리소스의 리소스 ID가 항상 포함됩니다.

(BZ#1909901)

pcs 에서 역할 이름으로 PromotedUnpromoted 허용

pcs 명령행 인터페이스에서 Pacemaker 구성에서 PromotedUnpromoted 임의 역할을 지정할 수 있습니다. 이러한 역할 이름은 MasterSlave Pacemaker 역할과 기능상 동일합니다. masterSlave 는 구성 디스플레이 및 도움말 텍스트에서 이러한 역할의 이름을 유지합니다.

(BZ#1885293)

새로운 pcs resource status 표시 명령

pcs 리소스 상태pcs stonith status 명령에서 다음 옵션을 지원합니다.

  • pcs resource status node_id 명령과 pcs stonith status node=node_id 명령을 사용하여 특정 노드에 구성된 리소스 상태를 표시할 수 있습니다. 다음 명령을 사용하여 클러스터 및 원격 노드 모두에서 리소스 상태를 표시할 수 있습니다.
  • pcs 리소스 status resource _id 및 pcs stonith status resource_id 명령을 사용하여 단일 리소스의 상태를 표시할 수 있습니다.
  • pcs resource status _id 및 pcs stonith status tag_id 명령을 사용하여 지정된 태그가 있는 모든 리소스의 상태를 표시할 수 있습니다.

(BZ#1290830, BZ#1285269)

자동 활성화를 제어하는 새 LVM 볼륨 그룹 플래그

LVM 볼륨 그룹은 이제 setautoactivation 플래그를 지원하여 볼륨 그룹에서 생성한 논리 볼륨이 시작 시 자동으로 활성화되는지 여부를 제어합니다. 클러스터에서 Pacemaker에서 관리하는 볼륨 그룹을 생성할 때 볼륨 그룹에 대해 vgcreate --setautoactivation n 명령을 사용하여 이 플래그를 n 으로 설정하여 데이터 손상을 방지합니다. Pacemaker 클러스터에서 사용된 기존 볼륨 그룹이 있는 경우 vgchange --setautoactivation n 으로 플래그를 설정합니다.

(BZ#1899214)

4.11. 동적 프로그래밍 언어, 웹 서버 및 데이터베이스 서버

nodejs:16 모듈 스트림이 완전히 지원됨

이전에 기술 프리뷰로 사용 가능한 nodejs:16 모듈 스트림은 RHSA-2021:5171 권고 릴리스로 완전 지원됩니다. nodejs:16 모듈 스트림은 이제 LTS(Long Term Support) 버전인 Node.js 16.13.1 을 제공합니다.

RHEL 8.5에 포함된 Node.js 16 은 RHEL 8.3 이후 사용할 수 있는 Node.js 14 에 비해 여러 가지 새로운 기능 및 버그 및 보안 수정 사항을 제공합니다.

주요 변경 사항은 다음과 같습니다.

  • V8 엔진이 버전 9.4로 업그레이드되었습니다.
  • npm 패키지 관리자가 버전 8.1.2로 업그레이드되었습니다.
  • 새로운 타이머 Promises API는 Promise 오브젝트를 반환하는 다른 타이머 기능 세트를 제공합니다.
  • Node.js 에서 실험적 웹 스트림 API를 제공합니다.
  • Node.js 에는 이제 수동으로 설치할 필요 없이 제공된 프로젝트에 구성된 패키지 관리자를 사용할 수 있는 실험적 도구인 Corepack 이 포함되어 있습니다.
  • Node.js 에서는 ESM 로더 후크를 통합하는 실험적 ECMAScript 모듈(ESM) 로더 후크 API를 제공합니다.

nodejs:16 모듈 스트림을 설치하려면 다음을 사용합니다.

# yum module install nodejs:16

nodejs:14 스트림에서 업그레이드하려면 Switching이후 스트림으로 참조하십시오.

(BZ#1953991, BZ#2027610)

새 모듈 스트림: ruby:3.0

RHEL 8.5에는 새로운 ruby:3.0 모듈 스트림에 Ruby 3.0.2 가 도입되었습니다. 이 버전은 RHEL 8.3과 함께 배포되는 Ruby 2.7 에 비해 다양한 성능 개선, 버그 및 보안 수정, 새 기능을 제공합니다.

주요 개선 사항은 다음과 같습니다.

  • 동시성 및 병렬 처리 기능:

    • 스레드 보안 병렬 실행을 제공하는 행위자 모델 추상화인 Ractor 가 실험적 기능으로 제공됩니다.
    • 광 스케줄러 는 실험적 기능으로 도입되었습니다. Fiber Scheduler 는 기존 코드를 변경하지 않고도 경량 동시성을 지원하는 차단 작업을 가로챕니다.
  • 정적 분석 기능:

    • RBS 언어는 Ruby 프로그램의 구조를 설명하는 도입되었습니다. RBS 로 작성된 구문 분석 유형 정의에 rbs gem이 추가되었습니다.
    • Ruby 코드의 유형 분석 툴인 TypeProf 유틸리티가 도입되었습니다.
  • 사례/인식과의 패턴 일치는 더 이상 실험적이지 않습니다.
  • 실험적 기능인 한 줄 패턴 일치가 다시 설계되었습니다.
  • 검색 패턴은 실험적 기능으로 추가되었습니다.

다음과 같은 성능 개선이 구현되었습니다.

  • 긴 코드를 IRB(상사 Ruby Shell) 에 붙여넣는 속도가 훨씬 빨라졌습니다.
  • 측정 명령이 시간 측정을 위해 IRB 에 추가되었습니다.

기타 주요 변경 사항은 다음과 같습니다.

  • 키워드 인수는 다른 인수와 분리되었습니다.
  • 사용자가 설치한 gems의 기본 디렉터리는 $HOME/.local/share/gem/ 디렉터리가 이미 있는 경우를 제외하고 이제 $HOME/.local/share/gem/ 입니다.

ruby:3.0 모듈 스트림을 설치하려면 다음을 사용합니다.

# yum module install ruby:3.0

이전 ruby 모듈 스트림에서 업그레이드하려면 이후 스트림으로 전환을 참조하십시오.

(BZ#1938942)

Python urllib 구문 분석 함수의 기본 구분 기호 변경

Python urllib 라이브러리에서 CVE-2021-23336에 대한 웹 캐시를 완화하려면 urllib .parse.parse_qsl 및 urllib.parse.parse_qs 함수의 기본 구분 기호가 앰퍼샌드(&) 및 세미콜론(;)에서 앰퍼샌드(;)로만 변경됩니다.

이러한 변경 사항은 RHEL 8.4 릴리스와 함께 Python 3.6에서 구현되었으며 이제 Python 3.8 및 Python 2.7으로 백포트되고 있습니다.

기본 구분 기호의 변경은 이전 버전과 호환되지 않을 수 있으므로 Red Hat에서는 기본 구분 기호가 변경된 Python 패키지에서 동작을 구성하는 방법을 제공합니다. 또한 영향을 받는 urllib 구문 분석 기능은 고객의 애플리케이션이 변경의 영향을 받았음을 감지하면 경고 메시지가 표시됩니다.

자세한 내용은 Python urllib 라이브러리의 Web Cache Poisoning(CVE-2021-23336) 지식 베이스 문서를 참조하십시오.

Python 3.9는 영향을 받지 않으며 Python 코드에서 urllib.parse.parse _qsl 및 urllib.parse.parse_q s 함수를 호출할 때 구분 기호 매개 변수를 전달하여 변경할 수 있는 새로운 기본 구분 기호(&)가 이미 포함되어 있습니다.

(BZ#1935686, BZ#1931555, BZ#1969517)

Python ipaddress 모듈에서 더 이상 IPv4 주소에서 제로를 허용하지 않음

CVE-2021-29921 을 완화하기 위해 Python ipaddress 모듈에서 AddressValueError가 있는 선행 0이 있는 IPv4 주소를 거부합니다. 선행 0은 허용되지 않습니다 오류.

이러한 변경은 python38 및 python 39 모듈에서 도입되었습니다. RHEL에 배포된 이전 Python 버전은 CVE-2021-29921의 영향을 받지 않습니다.

이전 동작을 사용하는 고객은 IPv4 주소 입력을 사전 처리하여 선행 제로를 제거할 수 있습니다. 예를 들면 다음과 같습니다.

>>> def reformat_ip(address): return '.'.join(part.lstrip('0') if part != '0' else part for part in address.split('.'))
>>> reformat_ip('0127.0.0.1')
'127.0.0.1'

가독성을 위해 명시적 루프로 선행 0을 제거하려면 다음을 사용합니다.

def reformat_ip(address):
    parts = []
    for part in address.split('.'):
        if part != "0":
            part = part.lstrip('0')
        parts.append(part)
    return '.'.join(parts)

(BZ#1986007, BZ#1970504, BZ#1970505)

php:7.4 모듈 스트림이 버전 7.4.19로 업데이트

php:7.4 모듈 스트림에서 제공하는 PHP 스크립팅 언어가 버전 7.4.6에서 버전 7.4.19로 업그레이드되었습니다. 이번 업데이트에서는 여러 보안 및 버그 수정을 제공합니다.

(BZ#1944110)

새 패키지: pg_repack

pg_repack 패키지가 postgresql:12 및 postgresql :13 모듈 스트림에 추가되었습니다. pg_repack 패키지는 테이블 및 인덱스에서 혼합을 제거하고 선택적으로 클러스터형 인덱스의 물리적 순서를 복원할 수 있는 PostgreSQL 확장 기능을 제공합니다.

(BZ#1967193, BZ#1935889)

새 모듈 스트림: nginx:1.20

nginx 1.20 웹 및 프록시 서버를 이제 nginx:1.20 모듈 스트림으로 사용할 수 있습니다. 이번 업데이트에서는 이전에 출시된 버전 1.18에 비해 많은 버그 수정, 보안 수정, 새 기능 및 개선사항을 제공합니다.

새로운 기능 :

  • Nginx 는 OCSP(Online Certificate Status Protocol)를 사용하여 클라이언트 SSL 인증서 유효성 검사를 지원합니다.
  • Nginx 는 최소 사용 가능한 공간에 따라 캐시 지우기를 지원합니다. 이 지원은 proxy_ cache _path 지시문의 min_ free 매개 변수로 구현됩니다.
  • 변수 값을 설정할 수 있는 new ngx_stream_set_module 모듈이 추가되었습니다.

향상된 지시문 :

  • ssl_conf_command 및 ssl_reject_ handshake 와 같은 새로운 지시문을 여러 개 사용할 수 있습니다.
  • proxy_cookie_flags 지시문은 이제 변수를 지원합니다.

HTTP/2 지원 개선:

  • Then gx_http_v2 모듈에 이제 lingering _close, lingering _time, lingering_timeout 지시문이 포함됩니다.
  • HTTP/2의 연결 처리가 HTTP/1.x에 맞게 조정되었습니다. Nginx 1.20 에서 http2_recv _timeout, http2_idle _timeouthttp2_max_ requests 지시문이 제거된 대신 keepalive _timeout 및 keepalive_requests 지시문을 사용합니다.

nginx:1.20 스트림을 설치하려면 다음을 사용합니다.

# yum module install nginx:1.20

nginx:1.20 스트림에서 업그레이드하려면 이후 스트림으로 전환을 참조하십시오.

(BZ#1945671)

squid:4 모듈 스트림이 버전 4.15로 다시 기반합니다.

squid:4 모듈 스트림에서 사용할 수 있는 Squid 프록시 서버가 버전 4.11에서 버전 4.15로 업그레이드되었습니다. 이번 업데이트에서는 다양한 버그 및 보안 수정을 제공합니다.

(BZ#1964384)

쿼터 에서 HPE XFS 지원

할당량 유틸리티에서 이제 HPE XFS 파일 시스템을 지원합니다. 결과적으로 HPE XFS 사용자는 할당량 유틸리티를 통해 사용자 및 그룹 디스크 사용량을 모니터링하고 관리할 수 있습니다.

(BZ#1945408)

mutt 는 2.0.7 버전으로 업데이트

Mutt 이메일 클라이언트는 버전 2.0.7로 업데이트되어 여러 개선 사항 및 버그 수정을 제공합니다.

주요 변경 사항은 다음과 같습니다.

  • mutt 는 이제 XOAUTH2 메커니즘을 사용하여 OAuth 2.0 인증 프로토콜을 지원합니다. mutt는 이제 IMAP, POP 및 SMTP 프로토콜에 대한 OAUTHBEARER 인증 메커니즘도 지원합니다. OAuth 기반 기능은 외부 스크립트를 통해 제공됩니다. 따라서 인증 토큰을 사용하여 Mutt 와 같은 다양한 클라우드 이메일 프로바이더와 연결할 수 있습니다. OAuth 지원으로 Mutt 를 설정하는 방법에 대한 자세한 내용은 OAuth2 인증을 사용하여 Mutt를 설정하는 방법을 참조하십시오.
  • mutt 는 도메인 리터럴 이메일 주소에 대한 지원을 추가합니다(예: user@[IPv6:fcXX:…​].
  • 새로운 $ssl_use_tlsv1_3 구성 변수는 이메일 서버에서 지원하는 경우 TLS 1.3 연결을 허용합니다. 이 변수는 기본적으로 활성화되어 있습니다.
  • 새로운 $imap_deflate 변수는 COMPRESS=DEFLATE 압축을 지원합니다. 변수는 기본적으로 비활성화되어 있습니다.
  • $ssl_starttls 변수는 더 이상 암호화되지 않은 IMAP PREAUTH 연결을 중단하는 작업을 제어하지 않습니다. STARTTLS 프로세스에 의존하는 경우 $ssl_force_tls 변수를 대신 사용합니다.

Mutt 버전을 업데이트한 후에도 ssl_force_tls 구성 변수는 여전히 기본값이 no 로 설정되어 RHEL 사용자가 기존 환경에서 문제가 발생하지 않도록 합니다. Mutt 의 업스트림 버전에서ssl_force_tls 는 기본적으로 활성화되어 있습니다.

(BZ#1912614, BZ#1890084)

4.12. 컴파일러 및 개발 도구

Go Toolset을 버전 1.16.7로 업데이트

Go Toolset이 1.16.7 버전으로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.

  • GO111MODULE 환경 변수가 기본적으로 on 으로 설정됩니다. 이 설정을 되돌리려면 GO111MODULEauto 로 변경합니다.
  • Go 링커는 더 적은 리소스를 사용하고 코드의 견고성 및 유지 관리 효율성을 향상시킵니다. 이는 지원되는 모든 아키텍처 및 운영 체제에 적용됩니다.
  • 새로운 포함 패키지를 사용하면 프로그램을 컴파일하는 동안 포함된 파일에 액세스할 수 있습니다.
  • the io/ioutil 패키지의 모든 기능이 the ioos 패키지로 이동되었습니다. 여전히 use io/ioutil 을 사용할 수 있지만, the ioos 패키지는 더 나은 정의를 제공합니다.
  • Delve 디버거는 1.6.0으로 다시 기반하여 Go 1.16.7 Toolset을 지원합니다.

자세한 내용은 Go Toolset 사용을 참조하십시오.

(BZ#1938071)

pvc Toolset이 1.54.0 버전으로 다시 기반합니다.

satellite Toolset이 1.54.0 버전으로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.

  • 이제 wasm32-unknown-unknown 대상에 프리뷰 표준 라이브러리를 사용할 수 있습니다. 이 향상된 기능을 통해 새로 안정화된 내장을 포함하여 WebAssembly 바이너리를 생성할 수 있습니다.
  • 이제 온프레미스에는 배열에 대한 IntoIterator 구현이 포함됩니다. 이 향상된 기능을 통해 IntoIterator 특성을 사용하여 값별로 배열을 반복하고 메서드에 대한 전달 배열을 반복할 수 있습니다. 그러나 array.into_iter() 는 2021년 버전까지 참조하여 값을 반복합니다.
  • 또는 패턴의 구문을 사용하면 이제 패턴의 아무 위치에도 중첩할 수 있습니다. 예를 들면 다음과 같습니다. Pattern (1)|Pattern(2) 대신 Pattern(1| 2).
  • 이제 유니코드 식별자에 유니코드 표준에 정의된 모든 유효한 식별자 문자가 포함될 수 있습니다 #31.
  • 메서드 및 특성 구현이 안정화되었습니다.
  • 증분 컴파일은 기본적으로 다시 활성화됩니다.

자세한 내용은 Automate Toolset 사용을 참조하십시오.

(BZ#1945805)

LLVM Toolset을 버전 12.0.1로 업데이트

LLVM Toolset이 버전 12.0.1로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.

  • 새 컴파일러 플래그 -march=x86-64-v[234] 가 추가되었습니다.
  • Clang 컴파일러의 컴파일러 플래그 -fasynchronous-unwind-tables 가 이제 Linux AArch64/PowerPC에서 기본값입니다.
  • Clang 컴파일러는 이제 C++20 가능성 속성 [[likely]] 및 [[unlikely]]을 지원합니다.
  • 새 기능 특성 tune-cpu 가 추가되었습니다. 이를 통해 microarchitectural 최적화를 target-cpu 특성 또는 TargetMachine CPU와 독립적으로 적용할 수 있습니다.
  • 보안 향상을 위해 새 sanitizer -fsanitize=unsigned-shift-base 가 정수 sanitizer -fsanitize=integer 에 추가되었습니다.
  • PowerPC 대상의 코드 생성이 최적화되었습니다.
  • 이제 LLVM에서 WebAssembly 백엔드가 활성화되었습니다. 이 향상된 기능을 통해 LLVM 및 Clang을 사용하여 WebAssembly 바이너리를 생성할 수 있습니다.

자세한 내용은 LLVM Toolset 사용을 참조하십시오.

(BZ#1927937)

CMake는 3.20.2 버전으로 업데이트

CMake는 3.18.2에서 3.20.2로 변경되었습니다. 3.20.2 버전이 필요한 프로젝트에서 CMake를 사용하려면 cmake_minimum_required(버전 3.20.2) 명령을 사용합니다.

주요 변경 사항은 다음과 같습니다.

  • C++23 컴파일러 모드는 이제 대상 속성 CXX_STANDARD,CUDA_STANDARD ,OBJCXX_STANDARD 를 사용하거나 컴파일 기능 함수의 cxx_std_23 메타 기능을 사용하여 지정할 수 있습니다.
  • 이제 CUDA 언어 지원을 통해 NVIDIA CUDA 컴파일러가 심볼릭 링크가 될 수 있습니다.
  • Intel oneAPI NextGen LLVM 컴파일러는 이제 IntelLLVM 컴파일러 ID에서 지원됩니다.
  • CMake는 Android NDK의 툴체인 파일과 병합하여 Android의 크로스 컴파일을 지원합니다.
  • 프로젝트 빌드 시스템을 생성하기 위해 cmake(1) 를 실행하면 하이픈으로 시작하는 알 수 없는 명령줄 인수가 거부됩니다.

새로운 기능 및 사용되지 않는 기능에 대한 자세한 내용은 CMake 릴리스 노트 를 참조하십시오.

(BZ#1957947)

새로운 GCC 툴 세트 11

GCC Toolset 11은 최신 버전의 개발 툴을 제공하는 컴파일러 툴셋입니다. AppStream 리포지토리의 소프트웨어 컬렉션 형태로 애플리케이션 스트림으로 사용할 수 있습니다.

다음 구성 요소는 GCC Toolset 10 이후 다시 기반되었습니다.

  • GCC에서 버전 11.2로
  • GDB에서 버전 10.2
  • Valgrind에서 버전 3.17.0으로
  • SystemTap에서 버전 4.5로
  • binutils에서 버전 2.36으로
  • 버전 0.185의 elfutils
  • DWZ에서 버전 0.14로
  • 버전 9.85의 Annobin

구성 요소의 전체 목록은 GCC Toolset 11 을 참조하십시오.

GCC Toolset 11을 설치하려면 root로 다음 명령을 실행합니다.

# yum install gcc-toolset-11

GCC Toolset 11에서 도구를 실행하려면 다음을 수행합니다.

$ scl enable gcc-toolset-11 tool

쉘 세션을 실행하려면 GCC Toolset 11의 툴 버전이 이러한 툴의 시스템 버전을 재정의합니다.

$ scl enable gcc-toolset-11 bash

자세한 내용은 GCC Toolset 사용을 참조하십시오.

GCC Toolset 11 구성 요소는 두 개의 컨테이너 이미지에서도 사용할 수 있습니다.

  • rhel8/gcc-toolset-11-toolchain 에는 GCC 컴파일러, GDB 디버거 및 make 자동화 도구가 포함됩니다.
  • rhel8/gcc-toolset-11-perftools: SystemTap 및 Valgrind와 같은 성능 모니터링 툴이 포함되어 있습니다.

컨테이너 이미지를 가져오려면 다음 명령을 root로 실행합니다.

# podman pull registry.redhat.io/<image_name>

GCC Toolset 11 컨테이너 이미지만 지원됩니다. 이전 GCC 도구 세트 버전의 컨테이너 이미지는 더 이상 사용되지 않습니다.

(BZ#1953094)

.NET 버전 6.0으로 업데이트

Red Hat Enterprise Linux 8.5는 .NET 버전 6.0과 함께 배포됩니다. 주요 개선사항은 다음과 같습니다.

  • 64비트 Arm (aarch64) 지원
  • IBM Z 및 LinuxONE(s390x) 지원

자세한 내용은 .NET 6.0 RPM 패키지 및 . NET 6.0 컨테이너에 대한 릴리스 노트를 참조하십시오.

(BZ#2022794)

GCC Toolset 11: GCC가 버전 11.2로 업데이트

GCC Toolset 11에서는 GCC 패키지가 버전 11.2로 업데이트되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

일반 개선 사항

  • GCC의 기본값은 DWARF 버전 5 디버깅 형식입니다.
  • 진단에 표시된 열 번호는 기본적으로 실제 열 번호를 나타내고 다중 열 문자를 준수합니다.
  • 간단한 코드 벡터기에서는 벡터를 사용할 때 전체 기능을 고려합니다.
  • 같은 변수를 비교하는 일련의 조건식은 각각 비교 표현식이 포함된 경우 switch 문으로 변환할 수 있습니다.
  • 프로세스 최적화 개선 사항:

    • -fipa-modref 옵션으로 제어되는 새로운 IPA-modref 패스는 함수 호출의 부작용을 추적하고 포인트-투 분석의 정확도를 향상시킵니다.
    • 통합 함수 수를 늘리고 컴파일 시간 메모리 사용을 줄이기 위해 -fipa-icf 옵션으로 제어하는 동일한 코드 접기 패스가 크게 개선되었습니다.
  • 링크 시간 최적화 개선 사항:

    • 최대 메모리 사용을 줄이기 위해 연결 중에 메모리 할당이 개선되었습니다.
  • IDE에서 새로운 GCC_EXTRA_DIAGNOSTIC_OUTPUT 환경 변수를 사용하면 빌드 플래그를 조정하지 않고 시스템에서 읽을 수 있는 "fix-it 힌트"를 요청할 수 있습니다.
  • fan alyzer 옵션에 의해 실행되는 정적 분석기가 수많은 버그 수정 및 개선 사항이 제공됨에 따라 크게 개선되었습니다.

언어별 개선 사항

C 제품군

  • C 및 C++ 컴파일러는 OpenMP 구문과 OpenMP 5.0 사양의 allocator 루틴에서 비rectangular 루프 중첩을 지원합니다.
  • 속성:

    • 새로운 no_stack_protector 특성은 스택 보호(-fstack-protector)로 계측해서는 안 되는 기능을 표시합니다.
    • 향상된 ignore oc 특성은 할당자 및 deallocator API 쌍을 식별하는 데 사용할 수 있습니다.
  • 새로운 경고:

    • Wall 옵션으로 활성화되는 -Wsizeof-array-div 는 첫 번째 배열에 적용되고 배열 요소의 크기와 동일하지 않을 때 두 개의 연산자 의 분할에 대해 경고합니다.
    • -기본적으로 활성화된 wstringop-overread 는 문자열 함수의 호출에 대해 경고합니다. 이 호출은 배열의 끝 부분에서 인수로 전달되었습니다.
  • 향상된 경고 :

    • -Wfree-nonheap-object 는 동적 메모리 할당 함수에서 반환되지 않은 포인터가 있는 deallocation 함수의 호출 인스턴스를 더 많이 감지합니다.
    • -Wmaybe-uninitialized 는 Cont -qualified 인수를 사용하는 함수에 초기화되지 않은 메모리에 대한 포인터 전달과 참조를 진단합니다.
    • -Wuninitialized 는 초기화되지 않은 동적으로 할당된 메모리에서 읽기를 감지합니다.

C

  • -std=c2x 및 -std=gnu2x 옵션으로 향후 C2 X 버전의 몇 가지 새로운 기능이 지원됩니다. 예를 들면 다음과 같습니다.

    • 표준 속성이 지원됩니다.
    • __has_c_attribute 전처리기 연산자가 지원됩니다.
    • 레이블은 선언 전과 복합 명령의 끝에 표시될 수 있습니다.

C++

  • 기본 모드는 -std=gnu++17 로 변경됩니다.
  • C++ 라이브러리 libstdc++ 가 C++17 지원 개선.
  • 여러 가지 새로운 C++20 기능이 구현되었습니다. C++20 지원은 실험적입니다.

    기능에 대한 자세한 내용은 C++20 언어 기능을 참조하십시오.

  • C++ 프런트엔드는 예정된 C++23 초안 기능 중 일부를 실험적으로 지원합니다.
  • 새로운 경고:

    • -Wctad-maybe-unsupported 는 기본적으로 비활성화되어 있으며, 분류 가이드가 없는 유형에서 클래스 템플릿 인수를 수행하는 방법에 대해 경고합니다.
    • -Wrange-loop-construct-Wall 에 의해 활성화되며, 범위 기반 for 반복문이 불필요하고 리소스 비효율적인 복사본을 생성할 때 경고합니다.
    • -Wmismatched-new-delete, -Wall 에 의해 활성화됨)은 새 운영 프로그램 또는 일치하지 않는 다른 할당 함수에서 반환된 포인터를 사용하여 operator delete 호출에 대해 경고합니다.
    • -기본적으로 활성화된 Wvexing-parse 는 가장 vexing 구문 분석 규칙에 대해 경고합니다. 선언이 변수 정의와 유사하지만 C++ 언어는 함수 선언으로 해석되어야 합니다.

아키텍처별 개선 사항

64비트 ARM 아키텍처

  • Armv8-R 아키텍처는 -march=armv8-r 옵션을 통해 지원됩니다.
  • GCC는 더하기, 빼기, 복제 및 누적 및 변형을 포함한 복합 숫자를 수행하는 작업을 자동 검사할 수 있습니다.

AMD 및 Intel 64비트 아키텍처

  • 다음 Intel CPU가 지원됩니다. Sapphire Rapids, Alder Lake 및 Rocket Lake.
  • 인텔 X-VNNI에 대한 새로운 ISA 확장 지원이 추가되었습니다. ma vxvnni 컴파일러 스위치는X-VNNI 내장을 제어합니다.
  • znver3 코어를 기반으로 하는 AMD CPU는 새로운 -march=znver3 옵션에서 지원됩니다.
  • x86-64 psABI 보충 에 정의된 세 가지 마이크로 아키텍처 수준은 새로운 -march=x86-64-v2,-march=x86-64-v3, -march=x86-64-v4 옵션에서 지원됩니다.

(BZ#1946782)

GCC Toolset 11: dwz 에서 DWARF 5 지원

GCC Toolset 11에서 dwz 툴은 이제 DWARF 버전 5 디버깅 형식을 지원합니다.

(BZ#1948709)

GCC Toolset 11: GCC에서 AIA 사용자 인터럽트 지원

GCC Toolset 11에서 GCC는 이제 AIA(Acccelerator Interfacing Architecture) 사용자 인터럽터를 지원합니다.

(BZ#1927516)

GCC Toolset 11: 일반 SVE 튜닝 기본값 개선

GCC Toolset 11에서는 64비트 ARM 아키텍처에서 일반 SVE 튜닝 기본값이 향상되었습니다.

(BZ#1979715)

SystemTap 버전 4.5로 업데이트

SystemTap 패키지가 버전 4.5로 업데이트되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • 32비트 부동 소수점 변수는 자동으로 이중 변수로 확장되므로 $context 변수로 직접 액세스할 수 있습니다.
  • 열거 값은 $context 변수로 액세스할 수 있습니다.
  • BPF uconversions 탭 세트가 확장되었으며 사용자 공간의 값(예: user_long_error())에 더 많은 tapset 함수가 포함되어 있습니다.
  • 대규모 서버에서 안정적인 운영을 제공하기 위해 동시성 제어가 크게 개선되었습니다.

자세한 내용은 업스트림 SystemTap 4.5 릴리스 노트 를 참조하십시오.

(BZ#1933889)

elfutils 를 버전 0.185로 다시 기반

elfutils 패키지가 버전 0.185로 업데이트되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • 이제 eu-elflinteu-readelf 툴은 ELF 섹션에서 SHF_GNU_RETAINSHT_X86_64_UNWIND 플래그를 인식하고 표시합니다.
  • DEBUGINFOD_SONAME 매크로가 to debuginfod.h 에 추가되었습니다. 이 매크로는 dlopen 함수와 함께 사용하여 애플리케이션에서 동적으로 libdebuginfod.so 라이브러리를 로드할 수 있습니다.
  • 새 function debuginfod_set_verbose_fd 가 the debuginfod-client 라이브러리에 추가되었습니다. 이 함수는 자세한 출력을 별도의 파일로 리디렉션하여 the debuginfod_find_* 쿼리 기능을 향상시킵니다.
  • 이제 DEBUGINFOD_VERBOSE 환경 변수를 설정하면 the debuginfod 클라이언트가 연결되는 서버 및 해당 서버의 HTTP 응답에 대한 자세한 정보가 표시됩니다.
  • The debuginfod 서버는 새로운 스레드 사용 지표와 보다 자세한 오류 지표를 제공하여 디버그info d 서버에서 실행되는 프로세스를 더 쉽게 검사할 수 있습니다.
  • 이제 libdw 라이브러리에서 DW_FORM_indirect 위치 값을 투명하게 처리하여 dwarf_whatform 함수에서 특성의 실제 FORM을 반환할 수 있습니다.
  • 네트워크 트래픽을 줄이기 위해 the debuginfod-client 라이브러리는 부정적인 결과를 캐시에 저장하고 클라이언트 오브젝트는 기존 연결을 재사용할 수 있습니다.

(BZ#1933890)

Valgrind를 버전 3.17.0으로 업데이트

Valgrind 패키지가 3.17.0 버전으로 업데이트되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • Valgrind에서는 DWARF 버전 5 디버깅 형식을 읽을 수 있습니다.
  • Valgrind는 the debuginfod 서버에 대한 디버깅 쿼리를 지원합니다.
  • ARMv8.2 프로세서 명령은 부분적으로 지원됩니다.
  • POWER10 프로세서의 Power ISA v.3.1 명령은 부분적으로 지원됩니다.
  • IBM z14 프로세서 명령이 지원됩니다.
  • 대부분의 IBM z15 지침이 지원됩니다. Valgrind 툴 모음은 IBM z15 프로세서의 기타 지침 확장 기능 3과 벡터 개선 기능 2를 지원합니다. 그 결과 Valgrind는 GCC -march=z15 로 컴파일된 프로그램을 올바르게 실행하여 성능 및 디버깅 환경을 개선합니다.
  • track -fds=yes 옵션은 -q (--quiet)를 중시하고 표준 파일 설명자 stdin,stdoutstderr을 기본적으로 무시합니다. 표준 파일 설명자를 추적하려면 --track-fds=all 옵션을 사용합니다.
  • DHAT 도구에는 --mode=copy 및 --mode= ad-hoc 의 두 가지 새로운 작업 모드가 있습니다.

(BZ#1933891)

Dyninst가 버전 11.0.0으로 업데이트

Dyninst 패키지가 버전 11.0.0으로 업데이트되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • debuginfod 서버 및 분리된ebuginfo 파일 가져오기를 지원합니다.
  • RPM(프로세스 연결 테이블) 스텁에 대한 간접 호출 감지 개선.
  • 향상된 C++ 이름 분리.
  • 코드를 내보내는 동안 메모리 누수가 고정되었습니다.

(BZ#1933893)

IBM POWER10의 GDB에서 DAWR 기능 개선

이번 개선된 기능을 통해 IBM POWER10 프로세서의 GDB에 새로운 하드웨어 워치포인트 기능이 활성화되었습니다. 예를 들어 DAWR/DAWRX 레지스터 세트가 추가되었습니다.

(BZ#1854784)

GCC Toolset 11: GDB를 버전 10.2로 업데이트

GCC Toolset 11에서는 GDB 패키지가 버전 10.2로 업데이트되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

새로운 기능

  • 이 기능을 지원하는 아키텍처에서 다중 스레드 기호 로드가 기본적으로 활성화됩니다. 이러한 변경으로 여러 기호가 있는 프로그램에 더 나은 성능을 제공합니다.
  • 텍스트 사용자 인터페이스(TUI) 창을 수평으로 정렬할 수 있습니다.
  • GDB는 여러 대상 연결 디버깅을 동시에 지원하지만, 이 지원은 실험적이며 제한적입니다. 예를 들어 각 유추를 다른 시스템에서 실행되는 다른 원격 서버에 연결하거나 유추형 하나를 사용하여 로컬 네이티브 프로세스 또는 코어 덤프 또는 기타 프로세스를 디버깅할 수 있습니다.

새로운 명령과 개선된 명령

  • 새로운 새 레이아웃 이름 창 가중치 [창 가중치 ] 명령은 새 텍스트 사용자 인터페이스(TUI) 레이아웃을 생성하며 레이아웃 이름 및 표시되는 창을 지정할 수도 있습니다.
  • 향상된 alias [-a] [--] alias = command [default-args] 명령은 새 별칭을 만들 때 기본 인수를 지정할 수 있습니다.
  • exec-file-mismatch를 설정하고 exec-file-mismatch 명령을 설정하고 새 exec-file-mismatch 옵션을 표시합니다. GDB가 실행 중인 프로세스에 연결할 때 이 옵션은 GDB에서 로드한 현재 실행 파일 및 프로세스를 시작하는 데 사용되는 실행 파일 간의 불일치가 감지되는 시기를 GDB에서 반응하는 방법을 제어합니다.

Python API

  • gdb.register_window_type 함수는 Python에서 새로운 TUI 창을 구현합니다.
  • 이제 동적 유형을 쿼리할 수 있습니다. gdb.Type 클래스의 인스턴스는 새 부울 특성 동적 을 가질 수 있으며 gdb.Type.sizeof 속성의 값은 동적 유형에 대해 None 이 될 수 있습니다. Type.fields() 가 동적 유형의 필드를 반환하는 경우 비트포 속성의 값은 None 이 될 수 있습니다.
  • 새로운 gdb.COMMAND_TUI 상수는 Python 명령을 TUI 도움말 클래스의 구성원으로 등록합니다.
  • gdb.Pendingframe.architecture() 메서드는 보류 중인 프레임의 아키텍처를 검색합니다.
  • 새로운 gdb.Architecture.registers 메서드는 gdb.RegisterDescriptorIterator 개체인 gdb.RegisterDescriptor 개체를 반환합니다. 이러한 개체는 레지스터의 값을 제공하지 않지만 어떤 레지스터가 아키텍처에 사용 가능한지 이해하는 데 도움이 됩니다.
  • gdb.Architecture.register_groups 메서드는 gdb.RegisterGroupIterator 개체인 gdb.RegisterGroup Iterator 오브젝트를 반환합니다. 이러한 개체는 아키텍처에 사용할 수 있는 레지스터 그룹을 이해하는 데 도움이 됩니다.

(BZ#1954332)

GCC Toolset 11: SystemTap 버전 4.5로 업데이트

GCC Toolset 11에서는 SystemTap 패키지가 버전 4.5로 업데이트되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • 이제 32비트 부동 소수점 변수가 자동으로 이중 변수로 확장되므로 $context 변수로 직접 액세스할 수 있습니다.
  • 열거 값은 이제 $context 변수로 액세스할 수 있습니다.
  • BPF uconversions 탭 세트가 확장되었으며 이제 사용자 공간의 값(예: user_long_error())에 더 많은 tapset 함수가 포함되어 있습니다.
  • 대규모 서버에서 안정적인 운영을 제공하기 위해 동시성 제어가 크게 개선되었습니다.

자세한 내용은 업스트림 SystemTap 4.5 릴리스 노트 를 참조하십시오.

(BZ#1957944)

GCC Toolset 11: elfutils 를 버전 0.185로 업데이트

GCC Toolset 11에서는 elfutils 패키지가 버전 0.185로 업데이트되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • 이제 eu-elflinteu-readelf 툴은 ELF 섹션에서 SHF_GNU_RETAINSHT_X86_64_UNWIND 플래그를 인식하고 표시합니다.
  • DEBUGINFOD_SONAME 매크로가 to debuginfod.h 에 추가되었습니다. 이 매크로는 dlopen 함수와 함께 사용하여 애플리케이션에서 동적으로 libdebuginfod.so 라이브러리를 로드할 수 있습니다.
  • 새 function debuginfod_set_verbose_fd 가 the debuginfod-client 라이브러리에 추가되었습니다. 이 함수는 자세한 출력을 별도의 파일로 리디렉션하여 the debuginfod_find_* 쿼리 기능을 향상시킵니다.
  • 이제 DEBUGINFOD_VERBOSE 환경 변수를 설정하면 the debuginfod 클라이언트가 연결되는 서버 및 해당 서버의 HTTP 응답에 대한 자세한 정보가 표시됩니다.
  • The debuginfod 서버는 새로운 스레드 사용 지표와 보다 자세한 오류 지표를 제공하여 디버그info d 서버에서 실행되는 프로세스를 더 쉽게 검사할 수 있습니다.
  • 이제 libdw 라이브러리에서 DW_FORM_indirect 위치 값을 투명하게 처리하여 dwarf_whatform 함수에서 특성의 실제 FORM을 반환할 수 있습니다.
  • The debuginfod-client 라이브러리는 이제 캐시에 부정적인 결과를 저장하고 클라이언트 개체는 기존 연결을 재사용할 수 있습니다. 이렇게 하면 라이브러리를 사용할 때 불필요한 네트워크 트래픽이 방지됩니다.

(BZ#1957225)

GCC Toolset 11: Valgrind를 버전 3.17.0으로 업데이트

GCC Toolset 11에서는 Valgrind 패키지가 3.17.0 버전으로 업데이트되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • Valgrind에서 DWARF 버전 5 디버깅 형식을 읽을 수 있습니다.
  • Valgrind에서는 이제 debuginfod 서버에 대한 디버깅 쿼리를 지원합니다.
  • Valgrind에서는 ARMv8.2 프로세서 명령을 부분적으로 지원합니다.
  • Valgrind에서는 이제 IBM z14 프로세서 명령을 지원합니다.
  • Valgrind에서는 POWER10 프로세서의 Power ISA v.3.1 명령을 부분적으로 지원합니다.
  • track -fds=yes 옵션은 이제 -q (--quiet)를 준수하고 표준 파일 설명자 stdin,stdoutstderr을 기본적으로 무시합니다. 표준 파일 설명자를 추적하려면 --track-fds=all 옵션을 사용합니다.
  • DHAT 도구에는 --mode=copy 및 --mode= ad-hoc 의 두 가지 새로운 작업 모드가 있습니다.

(BZ#1957226)

GCC Toolset 11: Dyninst가 버전 11.0.0으로 업데이트

GCC Toolset 11에서는 Dyninst 패키지가 버전 11.0.0으로 업데이트되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • debuginfod 서버 및 분리된ebuginfo 파일 가져오기를 지원합니다.
  • RPM(프로세스 연결 테이블) 스텁에 대한 간접 호출 감지 개선.
  • 향상된 C++ 이름 분리.
  • 코드를 내보내는 동안 메모리 누수가 고정되었습니다.

(BZ#1957942)

Fujitsu A64FX에 대한 PAPI 라이브러리 지원 추가

Fujitsu A64FX에 대한 PAPI 라이브러리 지원이 추가되었습니다. 이 기능을 사용하면 개발자가 하드웨어 통계를 수집할 수 있습니다.

(BZ#1908126)

PCP 패키지는 5.3.1로 업데이트되었습니다.

PCP(Performance Co-Pilot) 패키지가 버전 5.3.1로 업데이트되었습니다. 이 릴리스에는 버그 수정, 개선 사항 및 새로운 기능이 포함되어 있습니다. 주요 변경 사항은 다음과 같습니다.

  • 확장성 개선으로 인해 수백 개의 호스트(pmlogger 팜)에 대한 성능 지표를 중앙에서 기록하고 성능 규칙( pm ie 팜)을 사용한 자동 모니터링 기능을 지원합니다.
  • pmproxy 서비스 및 libpcp_web API 라이브러리에서 메모리 누수를 해결하고 계측과 새 지표를 pmproxy 에 추가했습니다.
  • 기록 소켓 통계를 위한 새로운 pcp-sss 툴.
  • pcp-htop 도구 개선 사항.
  • 더 높은 해상도 타임스탬프를 지원하는 유선 PCP 프로토콜의 확장.

(BZ#1922040)

grafana 패키지는 버전 7.5.9로 업데이트되었습니다.

grafana 패키지가 버전 7.5.9로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.

  • 새로운 시계열 패널 (beta)
  • 새로운 파이 차트 패널 (beta)
  • Loki에 대한 경고 지원
  • 여러 새로운 쿼리 변환

자세한 내용은 Grafana v7.4의 새로운 기능,Grafana v 7.5의 새로운 기능 등을 참조하십시오.

(BZ#1921191)

grafana-pcp 패키지가 3.1.0으로 업데이트되었습니다.

grafana-pcp 패키지가 버전 3.1.0으로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.

  • PCP(Performance Co-Pilot) 벡터 체크리스트 대시보드는 새로운 시계열 패널을 사용하고 그래프에 유닛을 표시하며 업데이트된 도움말 텍스트를 포함합니다.
  • PCP 벡터 호스트 개요 및 PCP 체크리스트 대시보드에 pmproxy URL 및 hostspec 변수 추가.
  • 모든 대시보드에는 데이터 소스 선택 항목이 표시됩니다.
  • 포함된 모든 대시보드를 읽기 전용으로 표시.
  • Grafana 8과의 호환성 추가.

(BZ#1921190)

Grafana-container 가 버전 7.5.9로 업데이트

rhel8/grafana 컨테이너 이미지는 Grafana를 제공합니다. 주요 변경 사항은 다음과 같습니다.

  • grafana 패키지가 이제 버전 7.5.9로 업데이트되었습니다.
  • grafana-pcp 패키지가 이제 3.1.0 버전으로 업데이트되었습니다.
  • 컨테이너에서 GF_INSTALL_PLUGINS 환경 변수를 지원하여 컨테이너 시작 시 사용자 지정 Grafana 플러그인을 설치합니다.

리베이스는 Red Hat Container Registry의 rhel8/grafana 이미지를 업데이트합니다.

이 컨테이너 이미지를 가져오려면 다음 명령을 실행합니다.

# podman pull registry.redhat.io/rhel8/grafana

(BZ#1971557)

PCP-container 가 버전 5.3.1로 업데이트

rhel8/pcp 컨테이너 이미지는 Performance Co-Pilot을 제공합니다. pcp-container 패키지가 버전 5.3.1으로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.

  • pcp 패키지가 버전 5.3.1으로 업데이트되었습니다.

리베이스는 Red Hat Container Registry의 rhel8/pcp 이미지를 업데이트합니다.

이 컨테이너 이미지를 가져오려면 다음 명령을 실행합니다.

# podman pull registry.redhat.io/rhel8/pcp

(BZ#1974912)

새로운 pcp-ss PCP 유틸리티 사용 가능

pcp-ss PCP 유틸리티는 pmdasockets(1) PMDA로 수집된 소켓 통계를 보고합니다. 명령은 많은 ss 명령줄 옵션 및 보고 형식과 호환됩니다. 또한 실시간 모드에서 로컬 또는 원격 모니터링의 이점과 이전에 기록된 PCP 아카이브의 기록 재생을 제공합니다.

(BZ#1879350)

PCP에서 사용 가능한 전력 소비 메트릭

새로운 pmda-denki 성능 지표 도메인 에이전트(PMDA)는 전력 소비와 관련된 지표를 보고합니다. 특히 다음 사항을 보고합니다.

  • 최근 Intel CPU에서 사용할 수 있는 RPL(평균 전원 제한) 판독값에 따른 소비 지표
  • 배터리를 사용하는 시스템에서 사용할 수 있는 배터리를 기반으로 하는 소비 메트릭

(BZ#1629455)

4.13. IdM (Identity Management)

IdM에서 새 암호 정책 옵션 지원

이번 업데이트를 통해 IdM(Identity Management)은 추가 libpwquality 라이브러리 옵션을 지원합니다.

--maxrepeat
동일한 문자의 최대 개수를 순서대로 지정합니다.
--maxsequence
단일 문자 시퀀스(abcd)의 최대 길이를 지정합니다.
--dictcheck
암호가 사전 단어인지 확인합니다.
--usercheck
암호에 사용자 이름이 포함되어 있는지 확인합니다.

ipa pwpolicy-mod 명령을 사용하여 이러한 옵션을 적용합니다. 예를 들어 managers 그룹의 사용자가 제안한 모든 새 암호에 사용자 이름 검사를 적용하려면 다음을 수행합니다.

*$ ipa pwpolicy-mod --usercheck=True managers*

새 암호 정책 옵션이 설정된 경우 --minlength 옵션 값과 관계없이 최소 암호 길이는 6자입니다. 새 암호 정책 설정은 새 암호에만 적용됩니다.

RHEL 7 및 RHEL 8 서버와 혼합된 환경에서는 새 암호 정책 설정이 RHEL 8.4 이상에서 실행되는 서버에만 적용됩니다. 사용자가 IdM 클라이언트에 로그인하고 IdM 클라이언트가 RHEL 8.3 이하에서 실행되는 IdM 서버와 통신하는 경우 시스템 관리자가 설정한 새 암호 정책 요구 사항이 적용되지 않습니다. 일관된 동작을 보장하려면 모든 서버를 RHEL 8.4 이상으로 업그레이드하거나 업데이트합니다.

(JIRA:RHELPLAN-89566)

각 요청에 대한 고유 식별자 태그를 추가하여 SSSD 디버그 로깅 개선

SSSD 프로세스에서 요청을 비동기적으로 처리할 때 다양한 요청의 메시지가 동일한 로그 파일에 추가되므로 백엔드 로그의 개별 요청에 대한 로그 항목을 추적하는 것은 쉬운 일이 아닙니다. 디버그 로그의 가독성을 높이기 위해 이제 RID#<integer> 형식의 로그 메시지에 고유한 요청 식별자가 추가됩니다. 이를 통해 개별 요청과 관련된 로그를 격리할 수 있으며 여러 SSSD 구성 요소의 로그 파일에서 요청을 완료하지 못하도록 추적할 수 있습니다.

예를 들어 SSSD 로그 파일의 다음 샘플 출력은 두 개의 서로 다른 요청에 대한 고유 식별자 RID#3 및 RID#4를 보여줍니다.

(2021-07-26 18:26:37): [be[testidm.com]] [dp_req_destructor] (0x0400): RID#3 Number of active DP request: 0
(2021-07-26 18:26:37): [be[testidm.com]] [dp_req_reply_std] (0x1000): RID#3 DP Request AccountDomain #3: Returning [Internal Error]: 3,1432158301,GetAccountDomain() not supported
(2021-07-26 18:26:37): [be[testidm.com]] [dp_attach_req] (0x0400): RID#4 DP Request Account #4: REQ_TRACE: New request. sssd.nss CID #1 Flags [0x0001].
(2021-07-26 18:26:37): [be[testidm.com]] [dp_attach_req] (0x0400): RID#4 Number of active DP request: 1

(JIRA:RHELPLAN-92473)

IdM에서 automemberserver Ansible 모듈 지원

이번 업데이트를 통해 ansible-freeipa 패키지에는 ipaautomember 및 ipa server 모듈이 포함되어 있습니다.

  • ipaautomember 모듈을 사용하여 automember 규칙 및 조건을 추가, 제거 및 수정할 수 있습니다. 결과적으로 조건을 충족하는 향후 IdM 사용자와 호스트가 IdM 그룹에 자동으로 할당됩니다.
  • ipaserver 모듈을 사용하면 IdM 토폴로지에서 서버가 존재하거나 존재하지 않는 다양한 매개변수가 있는지 확인할 수 있습니다. 복제본이 숨겨져 있거나 표시되는지 확인할 수도 있습니다.

(JIRA:RHELPLAN-96640)

IdM 성능 기준

이번 업데이트를 통해 CPU 4개와 8GB의 RAM을 장착한 RHEL 8.5 IdM 서버가 130개의 IdM 클라이언트를 동시에 성공적으로 등록하도록 테스트되었습니다.

(JIRA:RHELPLAN-97145)

SSSD Kerberos 캐시 성능 개선

이제 SSSD(System Security Services Daemon) KCM(Kerberos Cache Manager) 서비스에 새로운 작업 KCM_GET_CRED_LIST 가 포함됩니다. 이번 개선된 기능을 통해 인증 정보 캐시를 반복하면서 입력 및 출력 작업의 수를 줄여 KCM 성능이 향상되었습니다.

(BZ#1956388)

SSSD에서 기본적으로 역추적 기록

이번 개선된 기능을 통해 SSSD는 이제 메모리 내 버퍼에 자세한 디버그 로그를 저장하고 오류가 발생할 때 로그 파일에 추가합니다. 기본적으로 다음 오류 수준은 역추적을 트리거합니다.

  • 수준 0: 치명적인 오류
  • 레벨 1: 중요한 오류
  • 수준 2: 심각한 실패

sssd.conf 구성 파일의 해당 섹션에서 debug_level 옵션을 설정하여 각 SSSD 프로세스에 대해 이 동작을 수정할 수 있습니다.

  • 디버깅 수준을 0으로 설정하면 수준 0 이벤트만 역추적을 트리거합니다.
  • 디버깅 수준을 1로 설정하면 0 및 1 수준이 역추적을 트리거합니다.
  • 디버깅 수준을 2개 이상 설정하면 수준 0~2의 이벤트가 백트레이스를 트리거합니다.

sssd.conf의 해당 섹션에서 debug_backtrace_enabled 옵션을 false로 설정하여 SSSD 프로세스별로 이 기능을 비활성화할 수 있습니다.

[sssd]
debug_backtrace_enabled = true
debug_level=0
...

[nss]
debug_backtrace_enabled = false
...

[domain/idm.example.com]
debug_backtrace_enabled = true
debug_level=2
...

...

(BZ#1949149)

SSSD KCM에서 티켓 부여 티켓의 자동 갱신 지원

이 향상된 기능을 통해 이제 IdM(Identity Management) 서버의 KCM(System Security Services Daemon)에 저장된 티켓(TGT)을 자동 갱신하도록 SSSD(System Security Services Daemon) 서비스를 구성할 수 있습니다. 갱신은 티켓 수명의 절반에 도달했을 때만 시도됩니다. 자동 갱신을 사용하려면 IdM 서버의 KDC(키 배포 센터)가 재생 가능한 Kerberos 티켓을 지원하도록 구성해야 합니다.

/etc/sssd/sssd.conf 파일의 [kcm] 섹션을 수정하여 TGT 자동 갱신을 활성화할 수 있습니다. 예를 들어 60분마다 재생 가능한 KCM 저장소 TGT를 확인하도록 SSSD를 구성하고 다음 옵션을 추가하여 티켓 수명 절반에 도달한 경우 자동 갱신을 시도할 수 있습니다.

[kcm]
tgt_renewal = true
krb5_renew_interval = 60m

또는 기존 도메인에서 갱신할 krb5 옵션을 상속하도록 SSSD를 구성할 수 있습니다.

[kcm]
tgt_renewal = true
tgt_renewal_inherit = domain-name

자세한 내용은 sssd-kcm 도움말 페이지의 갱신 섹션을 참조하십시오.

(BZ#1627112)

Samba 기반 버전 4.14.4

samba 패키지가 업스트림 버전 4.14.4로 업그레이드되어 이전 버전에 대한 버그 수정 및 개선 사항을 제공합니다.

  • AD(Active Directory)의 프린터를 게시하면 안정성이 향상되었으며 AD에 게시된 정보에 프린터 기능이 추가되었습니다. 또한 Samba는 ARM64 아키텍처에 대한 Windows 드라이버를 지원합니다.
  • ctdb isnotrecmaster 명령이 제거되었습니다. 또는 ctdb pnn 또는 ctdb recmaster 명령을 사용합니다.
  • clustered trivial Database(CTDB) ctdb natgw masterslave-only 매개 변수의 이름이 ctdb natgw leader 및 follower -only 로 변경되었습니다.

Samba를 시작하기 전에 데이터베이스 파일을 백업합니다. smbd,nmbd 또는 winbind 서비스가 Samba를 시작하는 경우 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Red Hat은 tdb 데이터베이스 파일 다운그레이드를 지원하지 않습니다.

Samba를 업데이트한 후 testparm 유틸리티를 사용하여 /etc/samba/smb.conf 파일을 확인합니다.

주요 변경 사항에 대한 자세한 내용은 업데이트하기 전에 업스트림 릴리스 노트 를 참조하십시오.

(BZ#1944657)

The dnaInterval 구성 속성 지원

이번 업데이트를 통해 Red Hat Directory Server는 cn=<DNA_config_entry>,cn=Distributed Numeric Assignment Plugin,cn=plugins,cn=config_config 항목에서 DNA(Distributed Numeric Assignment plugins) 플러그인의 the dnaInterval 속성 설정을 지원합니다. DNA 플러그인은 지정된 속성에 대한 고유한 값을 생성합니다. 복제 환경에서 서버는 동일한 범위를 공유할 수 있습니다. 다른 서버에서 중복되지 않도록 하려면 일부 값을 건너뛰도록 dnaInterval 특성을 설정할 수 있습니다. 예를 들어 간격이 3 이고 범위의 첫 번째 숫자가 1 이면 범위에 사용된 다음 숫자는 4, 7, 10 입니다.

자세한 내용은 the dnaInterval 매개변수 설명을 참조하십시오.

(BZ#1938239)

Directory Server 기반 버전 1.4.3.27

389-ds-base 패키지가 업스트림 버전 1.4.3.27로 업그레이드되어 이전 버전에 비해 많은 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항의 전체 목록은 업데이트하기 전에 업스트림 릴리스 노트를 읽어보십시오.

(BZ#1947044)

Directory Server에서 임시 암호 지원

이 향상된 기능을 통해 관리자는 글로벌 및 로컬 암호 정책에서 임시 암호 규칙을 구성할 수 있습니다. 이러한 규칙을 사용하여 관리자가 사용자의 암호를 재설정할 때 암호가 일시적이며 지정된 시간 동안만 유효한지 지정할 수 있습니다. 또한 관리자가 암호를 변경할 때 만료 시간이 직접 시작되지 않도록 구성할 수 있습니다. 결과적으로 Directory Server를 사용하면 제한된 기간 동안 임시 암호를 사용해서만 인증할 수 있습니다. 사용자가 성공적으로 인증되면 Directory Server는 이 사용자만 암호를 변경할 수 있습니다.

(BZ#1626633)

Directory Server는 잠금 고갈으로 인한 데이터베이스 손상을 방지할 수 있는 모니터링 설정을 제공합니다.

이번 업데이트에서는 nsslapd-db-locks-monitoring-enable 매개변수를 cn=bdb,cn=config,cn=ldbm 데이터베이스,cn=plugins,cn=config 항목에 추가합니다. 기본값인 활성화되어 있는 경우 Directory Server는 활성 데이터베이스 잠금 수가 nsslapd-db-locks-monitoring-threshold 에 구성된 백분율 임계값보다 큰 경우 모든 검색을 중단합니다. 문제가 발생하면 관리자는 cn=b db,cn=config,cn=ldbm 데이터베이스,cn=plugins,cn=config,cn=plugins,cn=config 항목에서 nsslapd-db-locks 매개변수에서 데이터베이스 잠금 수를 늘릴 수 있습니다. 이렇게 하면 데이터 손상을 방지할 수 있습니다. 또한 관리자는 이제 스레드가 확인 사이에 대기하는 시간 간격(밀리초)을 설정할 수 있습니다.

자세한 내용은 Red Hat Directory Server Configuration, Command 및 File Reference 의 매개변수 설명을 참조하십시오.

(BZ#1812286)

Directory Server는 retro changelog 데이터베이스에서 속성 및 접미사를 제외할 수 있습니다.

이번 개선된 기능에는 nsslapd-exclude-attrsnsslapd-exclude-suffix 매개 변수가 Directory Server에 추가되었습니다. cn=Retro Changelog Plugin,cn=plugins,cn=config 항목에서 이러한 매개변수를 설정하여 retro changelog 데이터베이스에서 특정 속성 또는 접미사를 제외할 수 있습니다.

(BZ#1850664)

Directory Server에서 entryUUID 속성을 지원

이 향상된 기능을 통해 Directory Server는 RFC 4530 을 준수하도록 entryUUID 특성을 지원합니다. 예를 들어 entryUUID 를 지원하면 OpenLDAP에서의 마이그레이션이 더 쉬워집니다. 기본적으로 Directory Server는 entryUUID 속성만 새 항목에 추가합니다. 기존 항목에 수동으로 추가하려면 dsconf <instance_name> plugin entryuuid fixup 명령을 사용합니다.

(BZ#1944494)

nsSSLPersonalitySSL설정에 도움이 되는 새 메시지가 추가되었습니다.

이전에는 TLS 인증서 닉네임이 구성 매개 변수 nsSSLPersonalitySSL 의 값과 일치하지 않는 경우 RHDS 인스턴스가 시작되지 않았습니다. 이러한 불일치는 고객이 이전 인스턴스에서 NSS DB를 복사하거나 인증서의 데이터를 내보내지만 nsSSLPersonalitySSL 값을 적절하게 설정하는 것을 잊어버리는 경우 발생했습니다. 이번 업데이트를 통해 사용자가 nsSSLPersonalitySSL 을 올바르게 설정하는 데 도움이 되는 추가 메시지를 로그에 확인할 수 있습니다.

(BZ#1895460)

4.14. 데스크탑

이제 로그인 화면에서 네트워크에 연결할 수 있습니다

이번 업데이트를 통해 이제 GDM(GNOME Display Manager) 로그인 화면에서 네트워크에 연결하고 특정 네트워크 옵션을 구성할 수 있습니다. 결과적으로 홈 디렉터리가 원격 서버에 저장된 엔터프라이즈 사용자로 로그인할 수 있습니다.

로그인 화면은 다음과 같은 네트워크 옵션을 지원합니다.

  • 유선 네트워크
  • 무선 네트워크 (암호로 보호되는 네트워크를 포함)
  • VPN(Virtual Private Network)

로그인 화면에서 추가 네트워크 구성을 위해 창을 열 수 없습니다. 따라서 로그인 화면에서 다음 네트워크 옵션을 사용할 수 없습니다.

  • 전용 포털을 여는 네트워크
  • 모뎀 연결
  • 엔터프라이즈 WPA 또는 WPA2 암호화가 있는 무선 네트워크(사전 구성되지 않음)

로그인 화면의 네트워크 옵션은 기본적으로 비활성화되어 있습니다. 네트워크 설정을 활성화하려면 다음 절차를 따르십시오.

  1. 다음 콘텐츠를 사용하여 /etc/polkit-1/rules.d/org.gnome.gdm.rules 파일을 만듭니다.

    polkit.addRule(function(action, subject) {
        if (action.id == "org.freedesktop.NetworkManager.network-control" &&
            subject.user == "gdm") {
                return polkit.Result.YES;
        }
    
        return polkit.Result.NOT_HANDLED;
    });
  2. GDM을 다시 시작합니다.

    # systemctl restart gdm
    주의

    GDM을 다시 시작하면 그래픽 사용자 세션이 모두 종료됩니다.

  3. 로그인 화면에서 상단 패널 오른쪽에 있는 메뉴의 네트워크 설정에 액세스합니다.

(BZ#1935261)

로그인 시 시스템 보안 분류 표시

사전 정의된 메시지가 포함된 오버레이 배너를 표시하도록 GDM(GNOME Display Manager) 로그인 화면을 구성할 수 있습니다. 이 기능은 사용자가 로그인하기 전에 시스템의 보안 분류를 읽어야 하는 배포에 유용합니다.

오버레이 배너를 활성화하고 보안 분류 메시지를 구성하려면 다음 절차를 사용하십시오.

  1. gnome-shell-extension-heads-up-display 패키지를 설치합니다.

    # yum install gnome-shell-extension-heads-up-display
  2. 다음 콘텐츠를 사용하여 /etc/dconf/db/gdm.d/99-hud-message 파일을 만듭니다.

    [org/gnome/shell]
    enabled-extensions=['heads-up-display@gnome-shell-extensions.gcampax.github.com']
    
    [org/gnome/shell/extensions/heads-up-display]
    message-heading="Security classification title"
    message-body="Security classification description"

    다음 값을 시스템의 보안 분류를 설명하는 텍스트로 바꿉니다.

    보안 분류 제목
    보안 분류를 식별하는 짧은 제목.
    보안 분류 설명
    다양한 지침에 대한 참조와 같은 추가 세부 정보를 제공하는 긴 메시지입니다.
  3. dconf 데이터베이스를 업데이트합니다.

    # dconf update
  4. 시스템을 재부팅합니다.

(BZ#1651378)

깜박임 무료 부팅 사용 가능

이제 시스템에서 깜박이는 무료 부팅을 활성화할 수 있습니다. 사용 가능한 부팅이 활성화되면 시스템 부팅 과정에서 그래픽 전환이 제거되고 부팅 중에 디스플레이가 잠시 꺼지지 않습니다.

깜박임 무료 부팅을 활성화하려면 다음 절차를 따르십시오.

  1. 기본적으로 숨기도록 부트 로더 메뉴를 구성합니다.

    # grub2-editenv - set menu_auto_hide=1
  2. 부트 로더 구성을 업데이트합니다.

    • UEFI 시스템에서:

      # grub2-mkconfig -o /etc/grub2-efi.cfg
    • 레거시 BIOS 시스템에서:

      # grub2-mkconfig -o /etc/grub2.cfg
  3. 시스템을 재부팅합니다.

결과적으로 부트 로더 메뉴는 시스템 부팅 중에 표시되지 않으며 부팅 과정은 그래픽 방식으로 원활하게 진행됩니다.

부트 로더 메뉴에 액세스하려면 시스템을 켜면 Esc 를 반복적으로 누릅니다.

(JIRA:RHELPLAN-99148)

이모티콘에 대한 지원 업데이트

이 릴리스는 이모티콘 표준 버전 11에서 버전 13까지 유니코드 이모티콘 문자를 지원합니다. 결과적으로 RHEL에서 더 많은 이모티콘 문자를 사용할 수 있습니다.

이모티콘 기능을 제공하는 다음 패키지가 다시 기반되었습니다.

패키지이전 버전버전으로 다시 기반

cldr-emoji-annotation

33.1.0

38

google-noto-emoji-fonts

20180508

20200723

unicode-emoji

10.90.20180207

13.0

(JIRA:RHELPLAN-61867)

모든 사용자에 대한 기본 데스크톱 세션을 설정할 수 있습니다

이번 업데이트를 통해 이제 로그인하지 않은 모든 사용자에 대해 사전에 선택된 기본 데스크탑 세션을 설정할 수 있습니다.

사용자가 기본값과 다른 세션을 사용하여 로그인하면 선택 사항이 다음 로그인에 지속됩니다.

기본 세션을 구성하려면 다음 절차를 따르십시오.

  1. 구성 파일 템플릿을 복사합니다.

    # cp /usr/share/accountsservice/user-templates/standard \
         /etc/accountsservice/user-templates/standard
  2. /etc/accountsservice/user-templates/standard 파일을 편집합니다. Session=gnome 행에서 gnome 을 기본값으로 설정하려는 세션으로 바꿉니다.
  3. 선택 사항: 특정 사용자의 기본 세션에 대한 예외를 구성하려면 다음 단계를 따르십시오.

    1. 템플릿 파일을 /var/lib/AccountsService/users/user-name 에 복사합니다.

      # cp /usr/share/accountsservice/user-templates/standard \
           /var/lib/AccountsService/users/user-name
    2. 새 파일에서 ${USER} 및 ${ID} 와 같은 변수를 사용자 값으로 바꿉니다.
    3. 세션 값을 편집합니다.

(BZ#1812788)

4.15. 그래픽 인프라

새로운 GPU 지원

다음과 같은 새로운 GPU가 지원됩니다.

Intel 그래픽:

  • Alder Lake-S (ADL-S)

    Alder Lake-S 그래픽 지원은 기본적으로 비활성화되어 있습니다. 이를 활성화하려면 커널 명령줄에 다음 옵션을 추가합니다.

    i915.force_probe=PCI_ID

    PCI_ID 를 Intel GPU의 PCI 장치 ID로 교체하거나 i915 드라이버를 사용하는 모든 영숫자 하드웨어에 대한 지원을 활성화하려면 * 문자로 바꿉니다.

  • Elkhart Lake (EHL)
  • TGP Platform Controller Hub (PCH)가 포함된 comet Lake Refresh (CML-R)

AMD 그래픽:

  • Cezzane 및 Barcelo
  • Sienna Cichlid
  • Dimgrey Cavefish

(JIRA:RHELPLAN-99040, BZ#1784132, BZ#1784136, BZ#1838558)

Wayland 세션은 독점적인 NVIDIA 드라이버와 함께 사용할 수 있습니다.

독점적인 NVIDIA 드라이버는 이제 Xwayland에서 하드웨어의 OpenGL 및 Vul¢ 렌더링을 가속화했습니다. 결과적으로 독점적인 NVIDIA 드라이버를 사용하여 GNOME Wayland 세션을 활성화할 수 있습니다. 이전에는 드라이버에서 레거시 X11 세션만 사용할 수 있었습니다. X11은 이전 버전의 RHEL에서 업데이트할 때 중단을 방지하기 위한 기본 세션으로 남아 있습니다.

NVIDIA 독점 드라이버를 사용하여 Wayland를 활성화하려면 다음 절차를 사용하십시오.

  1. 커널 명령줄에 다음 옵션을 추가하여 DRM(직접 렌더링 관리자) 커널 modesetting을 활성화합니다.

    nvidia-drm.modeset=1

    커널 옵션 활성화에 대한 자세한 내용은 커널 명령줄 매개변수 구성을 참조하십시오.

  2. 시스템을 재부팅합니다.

    이제 로그인 화면에서 Wayland 세션을 사용할 수 있습니다.

  3. 선택 사항: 시스템을 일시 중단하거나 최대 절전 모드로 전환할 때 비디오 할당 손실을 방지하려면 드라이버를 사용하여 전원 관리 옵션을 활성화합니다. 자세한 내용은 전원 관리 지원 구성을 참조하십시오.

배타적 NVIDIA 드라이버의 커널 modesetting 사용과 관련된 제한 사항은 DRM KMS(Direct Rendering Manager Kernel Modesetting)를 참조하십시오.

(JIRA:RHELPLAN-99049)

GPU 지원 개선 사항

다음과 같은 새로운 GPU 기능이 활성화되었습니다.

  • Intel Tiger Lake 및 이후 그래픽에서 panel Self Refresh (PSR)가 활성화되어 전력 소비가 향상되었습니다.
  • Intel Tiger Lake, Ice Lake 및 이후 그래픽은 이제 DP-MST(DisplayPort Multi-Stream Transport) 전송 방법과 함께 High Bit Rate 3 (HBR3) 모드를 사용할 수 있습니다. 이렇게 하면 부두가 있는 특정 디스플레이 기능을 지원할 수 있습니다.
  • 이제 NVIDIA Ampere GPU에서 Modesetting이 활성화되었습니다. 여기에는 다음과 같은 모델이 포함됩니다. 하이브리드 그래픽 시스템을 포함한 GA102, GA104 및 GA107.
  • Intel 통합 그래픽과 NVIDIA Ampere GPU가 있는 대부분의 노트북은 이제 두 GPU를 사용하여 외부 디스플레이로 출력할 수 있습니다.

(JIRA:RHELPLAN-99043)

업데이트된 그래픽 드라이버

다음 그래픽 드라이버가 업데이트되었습니다.

  • amdgpu
  • ast
  • i915
  • mgag2000
  • 노바토
  • vmwgfx
  • vmwgfx
  • Mesa 라이브러리
  • 취약점 패키지

(JIRA:RHELPLAN-99044)

Intel Tiger Lake 그래픽이 완벽하게 지원됩니다.

이전에 기술 프리뷰로 사용 가능한 Intel Tiger Lake UP3 및 UP4 Xe 그래픽이 이제 완전히 지원됩니다. 하드웨어 가속은 이러한 GPU에서 기본적으로 활성화되어 있습니다.

(BZ#1783396)

4.16. Red Hat Enterprise Linux 시스템 역할

사용자는 timesync_max_distance 매개변수를 사용하여 최대 루트 길이를 구성할 수 있습니다.

이번 업데이트를 통해 새로운 timesync _max_distance 매개 변수를 사용하여 ntpd 의 max distancechronyd 서비스의 maxdistance 매개 변수를 구성할 수 있습니다. timesync_max_distance 매개 변수는 NTP(Network Time Protocol) 서버의 측정을 허용하도록 최대 루트 길이를 구성합니다. 기본값은 0으로, 공급자별 기본값을 유지합니다.

(BZ#1938016)

Elasticsearch는 이제 서버 목록을 허용할 수 있습니다.

이전에는 로깅 RHEL 시스템 역할의 Elasticsearch 출력의 server_host 매개변수에서 단일 호스트의 문자열 값만 허용했습니다. 이번 개선된 기능을 통해 여러 호스트를 지원하기 위한 문자열 목록도 허용합니다. 결과적으로 하나의 Elasticsearch 출력 사전으로 여러 Elasticsearch 호스트를 구성할 수 있습니다.

(BZ#1986463)

시간 동기화 RHEL 시스템 역할에 추가된 NTP(Network Time Security) 옵션

클라이언트 서버에서 NTS를 사용하도록 시간 동기화 RHEL 시스템 역할에 nts 옵션이 추가되었습니다. NTS는 NTP(Network Time Protocol)에 지정된 새로운 보안 메커니즘으로, 클라이언트별 구성 없이 NTP 클라이언트의 동기화를 보호할 수 있으며 다수의 클라이언트에 맞게 확장할 수 있습니다. NTS 옵션은 버전 4.0 이상에서 chrony NTP 공급자에서만 지원됩니다.

(BZ#1970664)

SSHD RHEL 시스템 역할에서 비독점 구성 스니펫 지원

이 기능을 사용하면 네임스페이스를 사용하여 이전 구성을 다시 작성하지 않고도 다양한 역할 및 플레이북을 통해 SSHD를 구성할 수 있습니다. 네임스페이스는 드롭인 디렉터리와 유사하며 SSHD에 대한 비독점 구성 스니펫을 정의합니다. 결과적으로 전체 구성 파일이 아니라 구성의 작은 부분만 구성해야 하는 경우 다른 역할의 SSHD RHEL 시스템 역할을 사용할 수 있습니다.

(BZ#1970642)

SELinux 역할에서 SELinux 모듈을 관리할 수 있음

SElinux RHEL 시스템 역할에는 SELinux 모듈을 관리하는 기능이 있습니다. 이번 업데이트를 통해 사용자는 .pp 또는. cil 파일에서 자체 사용자 지정 모듈을 제공하여 보다 유연한 SELinux 정책 관리를 수행할 수 있습니다.

(BZ#1848683)

사용자는 chrony 인터리브드 모드, NTP 필터링 및 하드웨어 타임스탬프를 관리할 수 있습니다.

이번 업데이트를 통해 시간 동기화 RHEL 시스템 역할을 사용하면 NTP(Network Time Protocol) 인터리브드 모드, NTP 측정의 추가 필터링 및 하드웨어 타임스탬프를 구성할 수 있습니다. 버전 4.0의 chrony 패키지는 이러한 기능을 지원하여 로컬 네트워크에서 클록의 매우 정확하고 안정적인 동기화를 수행합니다.

  • NTP 인터리브드 모드를 활성화하려면 서버가 이 기능을 지원하는지 확인하고 timesync_ntp_servers 목록의 서버에 대해 xleave 옵션을 yes 로 설정합니다. 기본값은 no 입니다.
  • 클럭 업데이트당 NTP 측정 수를 설정하려면 구성 중인 NTP 서버에 대한 필터 옵션을 설정합니다. 기본값은 1 입니다.
  • NTP에 대해 하드웨어 타임스탬프가 활성화되어야 하는 인터페이스 목록을 설정하려면 timesync_ntp_hwts_interfaces 매개변수를 사용합니다. 특별한 값 ["*"] 은 이를 지원하는 모든 인터페이스에서 타임스탬프를 활성화합니다. 기본값은 [] 입니다.

(BZ#1938020)

timesync 역할은 chrony에 대한 사용자 지정 설정을 활성화합니다.

이전에는 timesync 역할을 사용하여 사용자 지정 chrony 구성을 제공할 방법이 없었습니다. 이번 업데이트에서는 timesync_chrony_custom_settings 매개변수가 추가되어 사용자가 다음과 같은 chrony에 대한 사용자 지정 설정을 제공할 수 있습니다.

timesync_chrony_custom_settings:
  - "logdir /var/log/chrony"
  - "log measurements statistics tracking"

(BZ#1938023)

Timesync 역할은 하이브리드 엔드 투 엔드 지연 메커니즘을 지원합니다.

이 향상된 기능을 통해 timesync_ ptp _domains에서 새로운 hybrid_e2e 옵션을 사용하여 timesync 역할에서 하이브리드 엔드 투 엔드 지연 메커니즘을 활성화할 수 있습니다. 하이브리드 엔드 투 엔드 지연 메커니즘은 유니캐스트 지연 요청을 사용하므로 대규모 네트워크의 멀티캐스트 트래픽을 줄이는 데 유용합니다.

(BZ#1957849)

ethtool 에서 패킷 손실 속도 및 대기 시간 감소 지원

TX 또는 Rx 버퍼는 트래픽 버스트를 처리하기 위해 네트워크 어댑터에서 할당하는 메모리 공간입니다. 패킷 손실 속도를 줄이고 허용 가능한 네트워크 대기 시간을 늘리려면 이러한 버퍼 크기를 올바르게 관리하는 것이 중요합니다.

이제 ethtool 유틸리티가 지정된 네트워크 장치의 ring 옵션을 구성하여 패킷 손실 속도 또는 대기 시간을 줄입니다.

지원되는 매개변수 목록은 다음과 같습니다.

  • rX - Rx 링의 링 항목 수를 변경합니다.
  • RX-jumbo - Rx 점보 링의 링 항목 수를 변경합니다.
  • RX-mini - Rx Mini 링의 링 항목 수를 변경합니다.
  • t X - Tx 링의 링 항목 수를 변경합니다.

(BZ#1959649)

새로운 ipv6_disabled 매개변수를 사용할 수 있습니다

이번 업데이트를 통해 이제 ipv6_disabled 매개변수를 사용하여 주소를 구성할 때 ipv6을 비활성화할 수 있습니다.

(BZ#1939711)

RHEL 시스템 역할이 VPN 관리 지원

이전에는 Linux에서 안전하고 올바르게 구성된 IPsec 터널링 및 VPN(Virtual Private Networking) 솔루션을 설정하기 어려웠습니다. 이 향상된 기능을 통해 VPN RHEL 시스템 역할을 사용하여 호스트 대 호스트 및 메시 연결에 대한 VPN 터널을 더욱 쉽게 설정하고 구성할 수 있습니다. 따라서 RHEL 시스템 역할 프로젝트 내에서 VPN 및 IPsec 터널링 구성을 위한 일관되고 안정적인 구성 인터페이스가 있습니다.

(BZ#1943679)

스토리지 RHEL 시스템 역할에서 파일 시스템 레이블 재 레이블 지원

이전에는 스토리지 역할에서 레이블 재지정을 지원하지 않았습니다. 이번 업데이트에서는 문제가 해결되어 파일 시스템 레이블의 레이블을 다시 지정할 있습니다. 이렇게 하려면 storage_ volumesfs_label 매개 변수에 새 레이블 문자열을 설정합니다.

(BZ#1876315)

백분율로 표현된 볼륨 크기에 대한 지원은 스토리지 시스템 역할에서 사용할 수 있습니다

이번 개선된 기능에는 스토리지 RHEL 시스템 역할에 대한 지원이 추가되어 LVM 볼륨 크기를 풀의 전체 크기의 백분율로 표현합니다. LVM 볼륨의 크기를 풀/VG 크기의 백분율로 지정할 수 있습니다. 예를 들면 다음과 같습니다. 50% 는 사람이 읽을 수 있는 파일 시스템 크기(예: 10g,50GiB ) 외에.

(BZ#1894642)

Microsoft SQL Server 관리를 위한 새로운 Ansible 역할

새로운 microsoft.sql.server 역할은 IT 및 데이터베이스 관리자가 Red Hat Enterprise Linux에서 SQL Server의 설정, 구성 및 성능 튜닝과 관련된 프로세스를 자동화할 수 있도록 설계되었습니다.

(BZ#2013853)

RHEL 시스템 역할은 Ansible 2.8을 지원하지 않습니다

이번 업데이트를 통해 버전 라이프사이클이 만료되었으므로 Ansible 2.8에 대한 지원은 더 이상 지원되지 않습니다. RHEL 시스템 역할은 Ansible 2.9를 지원합니다.

(BZ#1989199)

RHEL 시스템 역할의 postfix 역할은 완전히 지원됩니다.

Red Hat Enterprise Linux 시스템 역할은 Red Hat Enterprise Linux 하위 시스템에 대한 구성 인터페이스를 제공하므로 Ansible 역할을 포함하여 시스템 구성이 더 쉬워집니다. 이 인터페이스를 사용하면 여러 버전의 Red Hat Enterprise Linux에서 시스템 구성을 관리할 수 있을 뿐 아니라 새로운 주요 릴리스를 채택할 수 있습니다.

rhel-system-roles 패키지는 AppStream 리포지토리를 통해 배포됩니다.

RHEL 8.5부터 postfix 역할은 완전히 지원됩니다.

자세한 내용은 RHEL 시스템 역할에 대한 지식베이스 문서를 참조하십시오.

(BZ#1812552)

4.17. 가상화

웹 콘솔에서 가상 머신 관리 기능 개선

사용자 환경을 개선하기 위해 RHEL 8 웹 콘솔의 VM(가상 머신) 섹션이 다시 설계되었습니다. 또한 다음과 같은 변경 사항 및 기능도 도입되었습니다.

  • 이제 단일 페이지에 VM 상태, 디스크, 네트워크 또는 콘솔 정보와 같은 관련 VM 정보가 모두 포함됩니다.
  • 웹 콘솔을 사용하여 VM을 실시간 마이그레이션할 수 있습니다.
  • 웹 콘솔에서 VM 네트워크 인터페이스의 MAC 주소를 편집할 수 있습니다.
  • 웹 콘솔을 사용하여 VM에 연결된 호스트 장치 목록을 볼 수 있습니다.

(JIRA:RHELPLAN-79074)

zPCI 장치 할당

이제 zPCI 장치를 IBM Z 하드웨어에서 실행되는 RHEL 8에서 호스팅되는 VM(가상 머신)에 중재 장치로 연결할 수 있습니다. 예를 들어, thís는 VM에서 NVMe 플래시 드라이브를 사용할 수 있습니다.

(JIRA:RHELPLAN-59528)

4.18. 지원 관련 기능

SOS가 버전 4.1로 업데이트

sos 패키지가 버전 4.1로 업그레이드되어 여러 버그 수정 및 개선 사항을 제공합니다. 주요 개선 사항은 다음과 같습니다.

  • 이제RHUI(RedHat Update Infrastructure) 플러그인이 sos 패키지에 기본적으로 구현됩니다. rhui-debug.py python 바이너리를 사용하면 sos 는 기본 구성 파일, rhui-manager 로그 파일 또는 설치 구성을 포함하여 RHUI 에서 보고서를 수집할 수 있습니다.
  • SOS에는 명령 실행에 대한 시간 초과를 수동으로 설정하는 --cmd-timeout 전역 옵션이 도입되었습니다. 일반 명령 시간 제한에 대한 기본 값(-1)은 300초입니다.

(BZ#1928679)

4.19. 컨테이너

기본 컨테이너 이미지 서명 확인을 사용할 수 있습니다.

이전에는 Red Hat Container Registries에 대한 정책 YAML 파일을 /etc/containers/registries.d/ 디렉터리에 수동으로 생성해야 했습니다. 이제 registry.access.redhat.com.yamlregistry.redhat.io.yaml 파일이 containers-common 패키지에 포함되어 있습니다. 이제 podman image trust 명령을 사용하여 RHEL에서 컨테이너 이미지 서명을 확인할 수 있습니다.

(JIRA:RHELPLAN-75166)

container-tools:rhel8 모듈이 업데이트되었습니다.

Podman, Buildah, Skopeo 및 runc 툴이 포함된 container-tools:rhel8 모듈을 사용할 수 있습니다. 이번 업데이트에서는 이전 버전에 대한 버그 수정 및 개선 사항 목록을 제공합니다.

(JIRA:RHELPLAN-76515)

container-common 패키지를 사용 가능

container-common 패키지가 container-tools:rhel8 모듈에 추가되었습니다. containers-common 패키지에는 Podman, Buildah, Skopeo와 같은 컨테이너 도구 에코시스템에 대한 일반 구성 파일 및 문서가 포함되어 있습니다.

(JIRA:RHELPLAN-77542)

커널의 기본 오버레이 파일 시스템 지원 사용 가능

커널 5.11에서 오버레이 파일 시스템 지원을 사용할 수 있습니다. root가 아닌 사용자는 rootless(사용자)를 실행할 때도 기본 오버레이 성능을 보유합니다. 따라서 이 향상된 기능은 바인드 마운트 없이 overlayfs를 사용하려는 루트가 아닌 사용자에게 더 나은 성능을 제공합니다.

(JIRA:RHELPLAN-77241)

podman 컨테이너 이미지를 사용할 수 있습니다.

이전에 기술 프리뷰로 사용할 수 있는 registry.redhat.io/rhel8/podman 컨테이너 이미지가 이제 완전히 지원됩니다. registry.redhat.io/rhel8/podman 컨테이너 이미지는 podman 패키지의 컨테이너화된 구현입니다. podman 툴은 컨테이너 및 이미지, 해당 컨테이너에 마운트된 볼륨 및 컨테이너 그룹으로 구성된 포드를 관리합니다.

(JIRA:RHELPLAN-57941)

Docker Hub에서 Universal Base 이미지를 사용할 수 있습니다.

이전에는 Universal Base Image를 Red Hat 컨테이너 카탈로그에서만 사용할 수 있었습니다. 이제 Docker Hub에서도 Universal Base Image를 사용할 수 있습니다.

자세한 내용은 Red Hat Universal Base Image to Docker Hub 에서 참조하십시오.

(JIRA:RHELPLAN-85064)

Podman의 CNI 플러그인을 사용할 수 있습니다

Podman rootless 모드에서 CNI 플러그인을 사용할 수 있습니다. 이제 rootless 네트워킹 명령이 시스템의 다른 요구 사항 없이 작동합니다.

(BZ#1934480)

Podman이 3.3.1 버전으로 업데이트되었습니다.

Podman 유틸리티가 버전 3.3.1으로 업데이트되었습니다. 주요 개선 사항은 다음과 같습니다.

  • Podman은 시스템을 재부팅한 후 --restart 옵션으로 생성된 컨테이너 재시작을 지원합니다.
  • podman 컨테이너 체크포인트podman 컨테이너 복원 명령은 이제 포드에 있는 컨테이너 점검 및 복원을 지원하고 해당 컨테이너를 포드로 복원합니다. 또한 podman container restore 명령에서는 --publish 옵션을 지원하여 내보낸 체크포인트에서 복원된 컨테이너로 전달된 포트를 변경합니다.

(JIRA:RHELPLAN-87877)

crun OCI 런타임 사용 가능

이제 crun OCI 런타임을 container-tools:rhel8 모듈에 사용할 수 있습니다. crun 컨테이너 런타임은 컨테이너가 rootless 사용자의 추가 그룹에 액세스할 수 있도록 하는 주석을 지원합니다. 이는 setgid가 설정된 디렉터리에 볼륨을 마운트할 때 또는 사용자가 그룹 액세스 권한만 가진 위치인 컨테이너 작업에 유용합니다.

(JIRA:RHELPLAN-75164)

podman UBI 이미지를 사용할 수 있습니다.

registry.access.redhat.com/ubi8/podman이 이제 UBI의 일부로 제공됩니다.

(JIRA:RHELPLAN-77489)

container-tools:rhel8 모듈이 업데이트되었습니다.

Podman, Buildah, Skopeo 및 runc 툴이 포함된 container-tools:rhel8 모듈을 사용할 수 있습니다. 이번 업데이트에서는 이전 버전에 대한 버그 수정 및 개선 사항 목록을 제공합니다.

자세한 내용은 RHEA-2021:85361-01 을 참조하십시오.

(BZ#2009153)

ubi8/nodejs-16ubi8/nodejs-16-minimal 컨테이너 이미지가 완전히 지원됩니다.

이전에 기술 프리뷰로 사용할 수 있는 ubi8/nodejs-16 및 ubi8/nodejs-16-minimal 컨테이너 이미지는 RHBA-2021:5260 권고 릴리스로 완전 지원됩니다. 이러한 컨테이너 이미지에는 LTS(Long Term Support) 버전인 Node.js 16.13 이 포함되어 있습니다.

(BZ#2001020)

5장. 외부 커널 매개변수로 중요한 변경

이 장에서는 시스템 관리자에게 Red Hat Enterprise Linux 8.5에 포함된 커널의 중요한 변경 사항을 요약해서 설명합니다. 이러한 변경에는 추가 또는 업데이트된 proc 항목, sysctlsysfs 기본값, 부팅 매개 변수, 커널 구성 옵션 또는 눈에 띄게 동작 변경이 포함될 수 있습니다.

새 커널 매개변수

idxd.sva = [HW]

형식: <bool>

이 매개변수를 사용하면 idxd 커널 모듈에 대해 공유 가상 메모리(SVA) 지원을 강제로 비활성화할 수 있습니다.

기본값은 true 입니다(1.

lSM.debug = [SECURITY]
이 매개변수를 사용하여 LSM(Linux Security Module) 초기화 디버깅 출력을 활성화할 수 있습니다.
lsm = lsm1,…​,lsmN [SECURITY]

이 매개변수를 사용하여 LSM(Linux Security Module) 초기화 순서를 선택할 수 있습니다.

이 매개 변수는 CONFIG_LSM 옵션과 security= 매개 변수를 재정의합니다.

rcutree.qovld = [KNL]

이 매개변수를 사용하면 대기 중인 RCU(읽기 복사-업데이트) 콜백의 임계값을 설정할 수 있습니다. 이 임계값을 넘어서 RCU의 force-quis advanced-state 스캔은 cond_resched() 시스템 호출의 도움을 받고 CPU가 더 빨리 정지 상태에 도달할 수 있도록 IPI를 예약하는 데 적극적으로 도움을 줍니다.

부팅 시 rcutree.qhimark 매개변수를 기반으로 이 매개변수를 0보다 작은 값으로 설정할 수 있습니다. 또는 보다 적극적인 도움말 등록을 비활성화하려면 이 매개변수를 0으로 설정합니다.

rcutree.rcu_unlock_delay = [KNL]

이 매개변수를 사용하면 구성 부울이 CONFIG _RCU_STRICT_GRACE_PERIOD=y로 설정된 커널에서 rcu_read_unlock() -time delay를 지정할 수 있습니다.

기본값은 0입니다.

더 큰 지연으로 인해 RCU(Read-copy-update) 포인터 누수를 감지할 가능성이 높아집니다. 관련 rcu_read_unlock() 이 완료된 후 RCU 보호 포인터를 사용하는 결함이 있는 것입니다.

rcutorture.irqreader = [KNL]
이 매개변수를 사용하여 RCU(Read-copy-update) 리더를 인터럽트 요청(IRQ) 핸들러에서 실행하거나 타이머 핸들러에서 실행할 수 있습니다.
rcutorture.leakpointer = [KNL]
이 매개변수를 사용하면 RCU(Read-copy-update) 보호 포인터를 리더 외부에서 유출할 수 있습니다. 이 경우 스플릿이 발생할 수 있으며 CONFIG_RCU_STRICT_GRACE_PERIOD=y 와 같은 구성 기능을 테스트하여 이러한 누수를 감지하기 위한 것입니다.
rcutorture.read_exit = [KNL]
이 매개변수를 사용하면 읽기-then-exit kthreads 수를 설정하여 RCU(Read-copy-update) 업데이트 및 task-exit 프로세싱의 상호 작용을 테스트할 수 있습니다.
rcutorture.read_exit_burst = [KNL]
이 매개변수를 사용하면 지정된 read-then-exit 에피소드에서 일련의 read-then-exit kthreads가 생성되는 횟수를 지정할 수 있습니다.
rcutorture.read_exit_delay = [KNL]
이 매개 변수를 사용하여 연속적인 read-then-exit 테스트 에피소드 간에 지연(초)을 지정할 수 있습니다.
rcutorture.stall_cpu_block = [KNL]
이 매개변수를 사용하면 중지하는 동안 유휴 상태로 설정할 수 있습니다. 결과적으로 RRC(Read-copy-update)의 다른 모든 지연 관련 활동 외에 미리 비어 있는 RRC(Read-copy-update)의 경고가 발생할 수 있습니다.
rcutorture.stall_gp_kthread = [KNL]

이 매개변수를 사용하면 RCU CPU 중단 경고를 테스트하기 위해 RCU(Read-copy-update) grace-period kthread 내에서 강제 절전 기간(초)을 지정할 수 있습니다.

기능을 비활성화하려면 이 매개 변수를 0으로 설정합니다.

stall_cpustall_gp_kthread 매개변수가 모두 지정되면 kthread가 먼저 종료된 다음 CPU를 사용합니다.

rcupdate.rcu_cpu_stall_suppress_at_boot = [KNL]
이 매개변수를 사용하면 RCU CPU stall 경고 메시지와 초기 부팅 중에 발생하는 서지 작성기 중단 경고를 억제할 수 있습니다. init 작업이 생성되기 전의 시간입니다.
rcupdate.rcu_task_ipi_delay = [KNL]

이 매개변수를 사용하면 RCU(Read-copy-update) 작업에서 지정된 유예 기간부터 시작하여 IPI를 보내지 않는 시간을 jiffies에 설정할 수 있습니다.

다수의 값을 설정하면 실시간 워크로드 방해가 방지되지만 유예 기간이 길어집니다.

refscale.holdoff = [KNL]
이 매개변수를 사용하면 테스트 시작 유지 기간을 설정할 수 있습니다. 이 매개 변수의 목적은 간섭을 방지하기 위해 부팅이 완료될 때까지 테스트 시작을 지연시키는 것입니다.
refscale.loops = [KNL]

이 매개변수를 사용하여 테스트에서 기본 동기화를 통해 반복문을 설정할 수 있습니다. 이 수를 늘리면 루프 시작/종료 오버헤드로 인한 노이즈가 줄어듭니다.

기본값은 2020년 x86 노트북에서 몇 분량의 피코초로 줄었습니다.

refscale.nreaders = [KNL]

이 매개변수를 사용하여 리더 수를 설정할 수 있습니다.

기본값 -1은 N을 선택합니다. 여기서 N은 CPU 수의 약 75%입니다.

refscale.nruns = [KNL]
이 매개변수를 사용하여 각 실행 수는 콘솔 로그에 덤프됩니다.
refscale.readdelay = [KNL]
이 매개변수를 사용하면 마이크로초 단위로 측정된 읽기 측 심각 섹션 기간을 설정할 수 있습니다.
refscale.scale_type = [KNL]
이 매개변수를 사용하여 테스트할 읽기 보호 구현을 지정할 수 있습니다.
refscale.shutdown = [KNL]

이 매개변수를 사용하면 성능 테스트 종료 시 시스템을 종료할 수 있습니다.

기본값은 1이고 시스템이 종료됩니다. refscale이 커널에 빌드됩니다.

값이 0이고 시스템이 계속 실행되도록 둡니다. refscale은 모듈로 구축됩니다.

refscale.verbose = [KNL]
이 매개변수를 사용하여 추가 printk() 문을 활성화할 수 있습니다.
scftorture.holdoff = [KNL]

이 매개변수를 사용하여 테스트를 시작하기 전에 대기할 시간(초)을 지정할 수 있습니다.

paramter는 모듈 삽입을 위해 기본적으로 0으로, smp_call_function() 테스트의 경우 10초로 설정됩니다.

scftorture.longwait = [KNL]

이 매개변수를 사용하면 선택한 한도(초)까지 임의로 선택한 매우 긴 대기 시간을 요청할 수 있습니다.

기본값은 0이며 이 기능을 비활성화합니다.

심지어 0이 아닌 작은 시간을 요청하면 RCU(Read-copy-update) CPU 중단 경고, 소프트 잠금 문제 등이 발생할 수 있습니다.

scftorture.nthreads = [KNL]

이 매개변수를 사용하여 생성할 kthreads 수를 지정하여 smp_call_function() 함수 제품군을 호출할 수 있습니다.

기본값 -1은 CPU 수와 동일한 kthreads 수를 지정합니다.

scftorture.onoff_holdoff = [KNL]
이 매개변수를 사용하여 CPU-hotplug 작업을 시작하기 전에 테스트를 시작한 후 대기하는 시간(초)을 지정할 수 있습니다.
scftorture.onoff_interval = [KNL]

이 매개변수를 사용하여 연속 CPU-핫플러그 작업 사이에 대기할 시간(초)을 지정할 수 있습니다.

기본값은 0이며 CPU-핫플러그 작업이 비활성화됩니다.

scftorture.shutdown_secs = [KNL]

이 매개변수를 사용하여 테스트를 시작한 후 초 수를 지정할 수 있습니다. 테스트 후 시스템이 종료됩니다.

기본값 0을 사용하면 시스템 종료를 방지할 수 있습니다. 0이 아닌 값은 자동화된 테스트에 유용합니다.

scftorture.stat_interval = [KNL]

이 매개변수를 사용하여 현재 테스트 통계를 콘솔로 출력하는 시간(초)을 지정할 수 있습니다.

값이 0이면 통계 출력을 비활성화합니다.

scftorture.stutter_cpus = [KNL]
이 매개변수를 사용하면 테스트 중인 CPU 세트로 변경될 때마다 대기할 jiffies 수를 지정할 수 있습니다.
scftorture.use_cpus_read_lock = [KNL]
이 매개변수를 사용하면 기본 preempt _disable() 시스템 호출 대신 use_cpus_read_lock() 시스템 호출을 사용하여 smp_call_function*() 함수 중 하나를 호출하는 동안 CPU 핫플러그를 비활성화할 수 있습니다.
scftorture.verbose = [KNL]
이 매개변수를 사용하여 추가 printk() 문을 활성화할 수 있습니다.
scftorture.weight_single = [KNL]

이 매개 변수는 0 "wait" 매개변수가 있는 smp_call_function_single() 함수에 사용할 가능성 가중치를 지정합니다.

-1의 값은 다른 모든 가중치가 -1인 경우 기본값을 선택합니다. 그러나 하나 이상의 가중치에 다른 값이 있는 경우 값 -1 대신 가중치 0을 선택합니다.

scftorture.weight_single_wait = [KNL]
이 매개 변수는 0이 아닌 "wait" 매개변수와 함께 smp_call_function_single() 함수에 사용할 가능성 가중치를 지정합니다. 자세한 내용은 weight_single 을 참조하십시오.
scftorture.weight_many = [KNL]

이 매개 변수는 0 "wait" 매개 변수와 함께 smp_call_function_many() 함수에 사용할 가능성 가중치를 지정합니다.

이 가중치에 대한 높은 가능성을 설정하면 심각한 IPI(Inter-processor Interrupt) 로드가 시스템에 배치될 수 있습니다.

자세한 내용은 weight_single 을 참조하십시오.

scftorture.weight_many_wait = [KNL]

이 매개 변수는 0이 아닌 "wait" 매개변수와 함께 smp_call_function_many() 함수에 사용할 가능성 가중치를 지정합니다.

자세한 내용은 weight_single 및 weight_ many 를 참조하십시오.

scftorture.weight_all = [KNL]

이 매개 변수는 0 "wait" 매개 변수와 함께 smp_call_function_all() 함수에 사용할 가능성 가중치를 지정합니다.

자세한 내용은 weight_single 및 weight_ many 를 참조하십시오.

scftorture.weight_all_wait = [KNL]

이 매개 변수는 0이 아닌 "wait" 매개변수와 함께 smp_call_function_all() 함수에 사용할 가능성 가중치를 지정합니다.

자세한 내용은 weight_single 및 weight_ many 를 참조하십시오.

torture.disable_onoff_at_boot = [KNL]
이 매개변수를 사용하면 init 작업이 생성될 때까지 CPU-hotplug 구성 요소가 차단되지 않을 수 있습니다.
torture.ftrace_dump_at_shutdown = [KNL]

이 매개변수를 사용하면 오류가 없는 경우에도 ftrace 버퍼를 torture-test 종료에 덤프할 수 있습니다.

이 작업은 특히 회전 스토리지가 있는 시스템에서 많은 torture 테스트를 동시에 실행하는 경우 매우 비용이 많이 드는 작업일 수 있습니다.

업데이트된 커널 매개변수

iommu.forcedac = [ARM64, X86]

이 매개변수를 사용하면 PCI 장치에 대한 입력 출력 가상 주소(IOVA) 할당을 제어할 수 있습니다.

형식: { 0 | 1 }

  • 0 - 필요한 경우 전체 범위로 대체하기 전에 32비트 DMA(직접 메모리 액세스) 주소를 먼저 할당해 보십시오.
  • 1 - 사용 가능한 전체 범위에서 직접 할당. 옵션은 32비트 주소 지정보다 큰 기능을 지원하는 PCI 카드의 듀얼 주소 사이클을 강제 적용하는 것입니다.
page_poison = [KNL]

이 부팅 시간 매개 변수를 사용하여 CONFIG_PAGE_POISONING=y 구성에서 사용할 수 있는 버디 할당기에서 손상 상태를 변경할 수 있습니다.

  • off: 침입 해제 (기본값)
  • 켜기: 침입을 켭니다
rcuscale.gp_async = [KNL]
이 매개변수를 사용하면 call_rcu() 와 같은 비동기 유예 상시 기본 개념의 성능을 측정할 수 있습니다.
rcuscale.gp_async_max = [KNL]
이 매개변수를 사용하여 작성자 스레드당 최대 콜백 수를 지정할 수 있습니다. 작성자 스레드가 이 제한을 초과하면 이전에 게시된 콜백이 드레이닝될 수 있도록 rcu_barrier() 의 해당 플레이버를 호출합니다.
rcuscale.gp_exp = [KNL]
이 매개변수를 사용하면 신속한 동기 유예-초기 우선순위의 성능을 측정할 수 있습니다.
rcuscale.holdoff = [KNL]
이 매개변수를 사용하면 테스트 시작 유지 기간을 설정할 수 있습니다. 이 매개 변수의 목적은 간섭을 방지하기 위해 부팅이 완료될 때까지 테스트 시작을 지연시키는 것입니다.
rcuscale.kfree_rcu_test = [KNL]
이 매개변수를 사용하여 kfree_rcu() 플러딩의 성능을 측정할 수 있습니다.
rcuscale.kfree_nthreads = [KNL]
이 매개변수를 사용하여 kfree_rcu() 함수의 반복문을 실행하는 스레드 수를 지정할 수 있습니다.
rcuscale.kfree_alloc_num = [KNL]
이 매개변수를 사용하여 반복에서 수행되는 할당 수와 자유 수를 지정할 수 있습니다.
rcuscale.kfree_loops = [KNL]
이 매개변수를 사용하여 rcuscale.kfree_alloc_num 할당 및 frees를 수행하는 반복문 수를 지정할 수 있습니다.
rcuscale.nreaders = [KNL]

이 매개변수를 사용하여 RCU(Read-copy-update) 리더 수를 설정할 수 있습니다.

값 -1은 N을 선택합니다. 여기서 N은 CPU 수입니다.

rcuscale.nwriters = [KNL]

이 매개변수를 사용하여 RCU(Read-copy-update) 작성자 수를 설정할 수 있습니다.

값은 rcuscale.nreaders=N 과 동일하게 작동합니다. 여기서 N은 CPU 수입니다.

rcuscale.perf_type = [KNL]
이 매개변수를 사용하여 테스트할 RCU(Read-copy-update) 구현을 지정할 수 있습니다.
rcuscale.shutdown = [KNL]
이 매개변수를 사용하면 성능 테스트가 완료된 후 시스템을 종료할 수 있습니다. 이 기능은 실습 자동화된 테스트에 유용합니다.
rcuscale.verbose = [KNL]
이 매개변수를 사용하여 추가 printk() 문을 활성화할 수 있습니다.
rcuscale.writer_holdoff = [KNL]

이 매개변수를 사용하면 마이크로초 단위 유예 기간 간에 나란히 유지될 수 있습니다.

기본값은 0이며 "페어오프 없음"을 의미합니다.

security = [SECURITY]

이 매개변수를 사용하면 부팅 시 활성화할 레거시 "주" 보안 모듈을 선택할 수 있습니다.

이는 lsm 매개 변수에서 더 이상 사용되지 않습니다.

split_lock_detect = [X86]

이 매개변수를 사용하면 분할 잠금 탐지 또는 버스 잠금 탐지를 활성화할 수 있습니다.

활성화되고 하드웨어 지원이 있는 경우 캐시 라인 경계에서 데이터에 액세스하는 원자성 지침으로 인해 다음과 같은 결과가 발생합니다.

  • 분할 잠금 감지를 위한 정렬 검사 예외
  • 버스 잠금 탐지를 위한 디버그 예외

    가능한 값은 다음과 같습니다.

  • off - 기능이 활성화되어 있지 않습니다
  • warn - 커널이 애플리케이션에 대한 속도가 제한된 경고를 내보내고 #AC 예외 또는 #DB 예외를 트리거합니다. 이 모드는 분할 잠금 탐지 또는 버스 잠금 탐지를 지원하는 CPU의 기본값입니다. 두 기능이 모두 하드웨어에서 활성화된 경우 기본 동작은 #AC입니다.
  • fatal - 커널은 #AC 예외 또는 #DB 예외를 트리거하는 애플리케이션에 SIGBUS 신호를 전송합니다. 두 기능이 모두 하드웨어에서 활성화된 경우 기본 동작은 #AC입니다.
  • ratelimit: N - 버스 잠금 감지를 위해 시스템 전체 속도 제한을 초당 N 버스 잠금으로 설정합니다(0 < N ^ 1000). 분할 잠금 감지를 위한 N/A.

    커널 또는 펌웨어에서 #AC 예외가 발생하거나(예: 사용자 모드에서 실행하지 않는 경우) 커널은 경고 또는 치명 모드에 생략 됩니다.

    #CPL > 0인 경우에만 버스 잠금에 대한 DB 예외가 트리거됩니다.

usb-storage.quirks =
k = NO_SAME (WRITE _SAME, UAS 전용 사용하지 않음)

6장. 장치 드라이버

6.1. 새 드라이버

네트워크 드라이버

  • SYNOPSYS DESIGNWARE Ethernet XPCS 드라이버 (pcs-xpcs.ko.xz)
  • INTEL 10/100/1000 이더넷 PCI 드라이버(dwmac-intel.ko.xz)
  • STMMAC 10/100/1000 이더넷 장치 드라이버(stmmac.ko.xz)
  • Chelsio 종료 카드의 암호화 IPSEC. (ch_ipsec.ko.xz): 1.0.0.
  • Chelsio NIC TLSD 드라이버(ch_ktls.ko.xz): 1.0.0.
  • Microsoft Azure Network Adapter 드라이버 (mana.ko.xz)
  • Qualcomm Atheros 802.11ax 무선 LAN 카드를 위한 코어 모듈 (ath11k.ko.xz)
  • Qualcomm Technologies 802.11ax WLAN PCIe 장치 드라이버 지원 (ath11k_pci.ko.xz)
  • MAC ~ 선택 PY 연결 (phylink.ko.xz)

그래픽 드라이버 및 기타 드라이버

  • In-Band ECC를 사용하는 Intel 클라이언트 SoC 용 MC 드라이버 (igen6_edac.ko.xz)
  • RegmapPodWire MBQ 모듈 (regmap-sdw-mbq.ko.xz)
  • Intel 플랫폼 모니터링 기술 PMT 드라이버 (intel_pmt.ko.xz)
  • Intel PMT Crashlog 드라이버 (intel_pmt_crashlog.ko.xz)
  • sysfs 시스템용 sysfs 구조(_sysfs.ko.xz)
  • Intel PMT Telemetry 드라이버 (intel_pmt_telemetry.ko.xz)
  • Intel PMT 클래스 드라이버 (intel_pmt_class.ko.xz)
  • AMD PMC Driver(amd-pmc.ko.xz)
  • MHI 호스트 인터페이스 (mhi.ko.xz)
  • MHI(Modem Host Interface) PCI 컨트롤러 드라이버 (mhi_pci_generic.ko.xz)
  • 블록 장치에 대한 vDPA 장치 시뮬레이션 (vdpa_sim_blk.ko.xz): 0.1
  • 네트워킹 장치에 대한 vDPA 장치 시뮬레이터 (vdpa_sim_net.ko.xz): 0.1
  • vp-vdpa (vp_vdpa.ko.xz): 1
  • Mellanox VDPA 드라이버 (mlx5_vdpa.ko.xz)
  • 기본 STM framing 프로토콜 드라이버 (stm_p_basic.ko.xz)
  • MIPI SyS-T STM framing protocol driver (stm_p_sys-t.ko.xz)
  • QMI 인코딩/디코더 도우미 (qmi_helpers.ko.xz)
  • ACPI DPTF 플랫폼 전원 드라이버 (dptf_power.ko.xz)
  • ACPI 플랫폼 프로파일 sysfs 인터페이스 (platform_profile.ko.xz)
  • Intel Emmitsburg PCH pinctrl/GPIO 드라이버 (pinctrl-emmitsburg.ko.xz)
  • Intel Alder Lake PCH pinctrl/GPIO 드라이버 (pinctrl-alderlake.ko.xz)
  • MPI3 스토리지 컨트롤러 장치 드라이버 (mpi3mr.ko.xz): 00.255.45.01
  • CPU IO를 기반으로 경로를 선택하는 device-mapper 다중 경로 경로 선택기가 실행 중입니다(dm-io-affinity.ko.xz).
  • 장치 매퍼 측정 서비스 시간 중심 경로 선택기 (dm-historical-service-time.ko.xz)

6.2. 업데이트된 드라이버

네트워크 드라이버

  • Mellanox 5세대 네트워크 어댑터(ConnectX 시리즈) 코어 드라이버(kubex5_core.ko.xz)가 4.18.0-348.el8.x86_64 버전으로 업데이트되었습니다.
  • Realtek RTL8152/RTL8153 기반 USB 이더넷 어댑터(r8152.ko.xz)가 버전 v1.11.11로 업데이트되었습니다.

그래픽 및 기타 드라이버 업데이트

  • LSI MPT Fusion SAS 3.0 장치 드라이버(mpt3sas.ko.xz)가 버전 37.101.00.00으로 업데이트되었습니다.
  • Emulex LightPulse Fibre Channel SCSI 드라이버(lpfc.ko.xz)가 버전 0:12.8.0.10으로 업데이트되었습니다.
  • Qlogic 파이버 채널 HBA 드라이버(qla2xxx.ko.xz)가 버전 10.02.00.106-k로 업데이트되었습니다.
  • Microsemi Smart Family Controller 버전(smartpqi.ko.xz)용 드라이버가 버전 2.1.8-045로 업데이트되었습니다.
  • BroadcomRAID SAS Driver(megaraid_sas.ko.xz)가 07.717.02.00-rh1 버전으로 업데이트되었습니다.

7장. 버그 수정

이 부분에서는 사용자에게 중요한 영향을 미치는 Red Hat Enterprise Linux 8.5의 버그에 대해 설명합니다.

7.1. 설치 프로그램 및 이미지 생성

Insights 클라이언트가 시스템 등록에 실패하면 RHEL 설치가 중단되지 않습니다

이전에는 설치 중에 Red Hat Insights 클라이언트가 시스템을 등록하지 못한 경우 마지막에 RHEL 설치에 오류가 발생했습니다. 이번 업데이트를 통해 Insights 클라이언트가 실패하더라도 시스템에서 설치를 완료합니다. 설치 중에 사용자에게 오류에 대한 알림을 받으므로 나중에 오류를 개별적으로 처리할 수 있습니다.

(BZ#1931069)

Anaconda는 사용자 정의 파티션 화면에서 자동으로 생성된 디스크 레이아웃에 대한 데이터 암호화를 허용합니다.

이전에는 사용자 지정 파티션 화면에서 디스크 레이아웃이 자동으로 생성될 때 암호화된 디스크 레이아웃을 요청할 수 없었습니다. 이번 업데이트를 통해 Anaconda는 사용자 지정 파티션 화면에 옵션을 제공하여 자동으로 생성된 디스크 레이아웃을 암호화합니다.

(BZ#1903786)

Kickstart 파일에 파티션 스키마가 지정되지 않을 때 설치 프로그램이 자동 파티셔닝을 시도하지 않습니다

Kickstart 파일을 사용하여 자동 설치를 수행할 때 Kickstart 파일에 파티션 스키마를 지정하지 않을 때 설치 프로그램에서 자동 파티셔닝을 수행하지 않습니다. 설치 프로세스가 중단되고 사용자가 파티셔닝을 구성할 수 있습니다.

(BZ#1954408)

RHEL-Edge 컨테이너 이미지는 nginx 를 사용하고 포트 8080에서 서비스를 제공합니다.

이전에는 에지 컨테이너 이미지 유형을 루트가 아닌 모드에서 실행할 수 없었습니다. 결과적으로 Red Hat OpenShift 4에서 edge-container 이미지 유형을 사용할 수 없었습니다. 이번 개선된 기능을 통해 컨테이너에서는 nginx HTTP 서버를 사용하여 서버가 컨테이너 내에서 루트가 아닌 사용자로 실행될 수 있는 커밋 및 구성 파일을 제공하므로 Red Hat OpenShift 4에서 사용할 수 있습니다. 이제 내부 웹 서버는 80 대신 포트 8080 을 사용합니다.

(BZ#1945238)

7.2. 쉘 및 명령행 툴

Opal-prd 가 6.7.1 버전으로 업데이트

Opal-prd 가 6.7.1 버전으로 업그레이드되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • xscom OPAL 호출로 인해 발생한 xscom 오류 로깅 문제가 해결되었습니다.
  • DEBUG 빌드로 가능한 교착 상태를 수정했습니다.
  • 코어/플랫폼 에서 fast- reboot 실패 경우 full_ reboot 로 폴백합니다.
  • core/cpu 에서 next_ungarded_primary 수정.
  • SBE(Se-Boot Engine)의 속도 제한 타이머 요청 및 타이머 상태 향상.

(BZ#1921665)

libservicelog 버전 1.1.19로 업데이트

libservicelog 가 버전 1.1.19로 업그레이드되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • 수정된 출력 정렬 문제.
  • servicelog_open() 실패에 대한 수정된 segfault.

(BZ#1844430)

ipmitool sol enable 명령이 더 이상 충돌하지 않음

이전 버전에서는 RHEL 7에서 RHEL 8 the ipmitool sol activate 명령을 업그레이드한 후 IBM DataPower 어플라이언스에서 원격 콘솔에 액세스하려고 했습니다.

이번 업데이트를 통해 버그가 수정되었으며, ipmitool 을 사용하여 원격 콘솔에 다시 액세스할 수 있습니다.

(BZ#1951480)

휴면 및 복구 (ReaR) 패키지는 이제 부트리스트 실행 파일에 따라 다릅니다.

이전에는 ReaR에서 IBM Power Systems, Little Endian 아키텍처에서 부트리스트 실행 파일 없이 복구 이미지를 생성할 수 있었습니다. 그 결과 powerpc-utils-core 패키지가 설치되지 않은 경우 복구 이미지에 bootlist 실행 파일이 포함되어 있지 않습니다.

이번 업데이트를 통해 이제 ReaR 패키지가 부트 목록 실행 파일에 따라 다릅니다. 종속성은 부트 목록 실행 파일이 있는지 확인합니다. 부트 목록 실행 파일이 누락된 경우 대체로 복구 이미지가 생성되지 않습니다. 이렇게 하면 잘못된 복구 이미지가 생성되지 않습니다.

(BZ#1983013)

권한이 없는 원격 사용자가 있는 rsync를 이제 ReaR에서 사용할 수 있습니다

이전에는 rsync를 사용하여 시스템 데이터 (BACKUP=RSYNC) 를 백업하고 복원할 때 rsync에 대한 매개 변수가 잘못 인용되었으며 --fake-super 매개 변수가 원격 rsync 프로세스로 전달되지 않았습니다. 결과적으로 파일 메타데이터가 올바르게 저장되어 복원되지 않았습니다.

이번 업데이트를 통해 다음 버그가 수정되었습니다.

  • back은 rsync에 올바른 매개 변수를 사용합니다.
  • 백업 및 복원 중에 오류를 감지하기 위해 rsync 코드 개선:

    • 백업 중에 rsync 오류가 감지되면 ReaR이 오류 메시지로 중단됩니다.
    • 복원 중에 rsync 오류가 감지되면 ReaR에 경고 메시지가 표시됩니다.

/etc/rear/local.conf 파일에서 BACKUP_INTEGRITY_CHECK=1 을 설정하여 경고를 오류 메시지로 전환합니다.

(BZ#1930662)

ReaR을 사용할 때 네트워크 공유에서 백업 데이터 손실이 더 이상 발생하지 않습니다

이전 버전에서는 NFS와 같은 네트워크 파일 시스템을 사용하여 ReaR 백업을 저장하는 경우 ReaR이 NFS가 마운트된 디렉터리를 제거했습니다. 이로 인해 백업 데이터가 손실되었습니다.

이번 업데이트를 통해 ReaR은 새로운 방법을 사용하여 네트워크 공유를 분리합니다. 이 새로운 방법은 마운트 지점이 제거될 때 마운트된 파일 시스템의 내용을 제거하지 않습니다. ReaR을 사용할 때 네트워크 공유에서 백업 데이터 손실이 수정되었습니다.

(BZ#1958247)

재설정을 사용하여 ESP를 사용하는 머신을 백업하고 복구할 수 있습니다.

이전 버전에서는 소프트웨어 RAID(MDRAID)가 UEFI(Unified Extensible Firmware Interface) 펌웨어가 있는 시스템의 EFI 시스템 파티션에 사용되는 경우 ReaR에서 EFI(Extensible Firmware Interface) 항목을 생성하지 않았습니다. 소프트웨어 RAID에 UEFI 펌웨어 및 EFI 시스템 파티션이 있는 시스템이 ReaR을 사용하여 복구되면 복구된 시스템은 부팅할 수 없으며 부팅 EFI 변수를 수정하기 위해 수동 개입이 필요했습니다.

이번 업데이트를 통해 소프트웨어 RAID 장치에 대한 부팅 EFI 항목 생성 지원이 ReaR에 추가되었습니다. 이제 수동 복구 후 개입 없이 소프트웨어 RAID에서 ESP(EFI 시스템 파티션)를 사용하는 시스템을 백업하고 복구하는 데 사용할 수 있습니다.

(BZ#1958222)

openslp 패키지에 /etc/slp.spi 파일 추가

이전에는 openslp 패키지에서 /etc/slp.spi 파일이 누락되었습니다. 결과적으로 /usr/bin/slptool 명령은 출력을 생성하지 않았습니다. 이번 업데이트를 통해 openslp에 /etc/slp.spi 가 추가되었습니다.

(BZ#1965649)

BM Power Systems, 다중 경로가 있는 Little Endian 아키텍처 머신은 이제 ReaR을 사용하여 안전하게 복구할 수 있습니다.

이전에는 ReaR이 시스템을 복구할 때 /sys 파일 시스템이 chroot에 마운트되지 않았습니다. IBM Power Systems에서 ofpathname 실행 파일인 Little Endian 아키텍처는 부트 로더를 설치할 때 실패했습니다. 그 결과 오류는 감지되지 않았으며 복구된 시스템은 부팅되지 않았습니다.

이번 업데이트를 통해 ReaR은 이제 chroot 복구에 /sys 파일 시스템을 마운트합니다. Rarym은 Little Endian 아키텍처 시스템인 Power Systems의 복구 시스템에 ofpathname 이 있는지 확인합니다.

(BZ#1983003)

별칭과 함께 사용할 때 구문 오류 메시지로 더 이상 중단되지 않는 유틸리티는 무엇입니까?

이전 버전에서는 별칭과 함께 어떤 명령을 사용하려고 할 때(예: ls )는 예기치 않은 토큰 '(')에 가까운 구문 오류 메시지 bash: 구문 메시지 bash: 구문 오류와 함께 중단되는 유틸리티입니다.

이 버그는 수정되었으며 오류 메시지 없이 명령의 전체 경로를 올바르게 표시합니다.

(BZ#1940468)

7.3. 인프라 서비스

/var/lib/chrony 의 권한이 변경되었습니다.

이전에는 엔터프라이즈 보안 스캐너가 world-readable 및 실행 가능 권한을 갖도록 /var/lib/chrony 디렉터리에 플래그를 지정했습니다. 이번 업데이트를 통해 root 및 chrony 사용자에 대한 액세스만 제한하도록 /var/lib/chrony 디렉토리의 권한이 변경되었습니다.

(BZ#1939295)

7.4. 보안

신뢰할 수 있는 경우 Gnu tls에서 SHA-1 서명 CA를 더 이상 거부하지 않습니다.

이전에는 CA가 명백하게 신뢰되더라도 GnuTLS 라이브러리에서 모든 CA(인증 기관)의 서명 해시 강점을 확인했습니다. 결과적으로 SHA-1 알고리즘과 함께 서명된 CA가 포함된 체인은 오류 메시지 인증서의 서명 해시 강도와 함께 거부되었습니다. 이번 업데이트를 통해 GnuTLS 는 서명 해시 강도 검사에서 신뢰할 수 있는 CA를 제외하므로, 취약한 알고리즘을 사용하여 서명된 CA가 포함된 CA가 포함된 인증서 체인을 더 이상 거부하지 않습니다.

(BZ#1965445)

FIPS 모드에서 하드웨어 최적화 활성화

이전에는 연방 정보 처리 표준 (FIPS 140-2)에서 하드웨어 최적화를 사용할 수 없었습니다. 따라서 FIPS 모드에서 libgcrypt 패키지에서 작업이 비활성화되었습니다. 이번 업데이트를 통해 FIPS 모드에서 하드웨어 최적화가 가능하므로 모든 암호화 작업이 더 빠르게 수행됩니다.

(BZ#1976137)

leftikeportrightikeport 옵션이 올바르게 작동합니다.

이전에는 Libreswan이 host-to-host Libreswan 연결에서 left ikeport 및 rightikeport 옵션을 무시했습니다. 결과적으로 Libreswam은 기본이 아닌 옵션 설정에 관계없이 기본 포트를 사용했습니다. 이번 업데이트를 통해 문제가 해결되었으며 기본 옵션에 대해 leftikeportrightikeport 연결 옵션을 사용할 수 있습니다.

(BZ#1934058)

SELinux 정책에서 GDM이 GRUB boot_success 플래그를 설정할 수 없습니다

이전에는 SELinux 정책에서 GDM(GNOME Display Manager)이 전원 끄기 및 재부팅 작업 중에 GRUB boot_success 플래그를 설정할 수 없었습니다. 그 결과 GRUB 메뉴가 다음 부팅에 표시됩니다. 이번 업데이트를 통해 SELinux 정책에는 GDM이 GRUB boot _success 플래그를 설정할 수 있고 기본적으로 활성화되어 있는 새로운 xdm_ exec_bootloader 부울이 도입되었습니다. 그 결과 첫 번째 부팅 시 GRUB 부팅 메뉴가 표시되고 깜박이는 부팅 지원 기능이 올바르게 작동합니다.

(BZ#1994096)

SELinux-policy 는 TCP 캡슐화를 사용하여 IPsec 기반 VPN을 지원합니다.

RHEL 8.4 이후 libreswan 패키지는 TCP 캡슐화를 사용하는 IPsec 기반 VPN을 지원했지만 selinux-policy 패키지는 이 업데이트를 반영하지 않았습니다. 결과적으로 Libreswan이 TCP를 사용하도록 구성되면 ipsec 서비스가 지정된 TCP 포트에 바인딩되지 못했습니다. 이번 업데이트를 통해 ipsec 서비스는 일반적으로 사용되는 TCP 포트 4500 바인딩하고 연결할 수 있으므로 IPsec 기반 VPN에서 TCP 캡슐화를 사용할 수 있습니다.

(BZ#1931848)

SELinux 정책으로 staff_u 사용자가 unconfined_r로 전환하지 못하도록 방지

이전에는 secure_mode 부울이 활성화되면 staff_u 사용자가 unconfined_r 역할로 잘못 전환할 수 있었습니다. 그 결과 staff_u 사용자는 시스템의 보안에 영향을 미치는 권한 있는 작업을 수행할 수 있었습니다. 수정판에서는 SELinux 정책을 통해 staff_u 사용자가 newrole 명령을 사용하여 staff_u 사용자가 unconfined_r 역할로 전환하지 못하게 합니다. 따라서 권한이 없는 사용자는 권한 있는 작업을 실행할 수 없습니다.

(BZ#1947841)

OSCAP Anaconda 애드온 에서 사용자 지정 프로파일 처리

이전에는 OSCAP Anaconda 애드온 플러그인이 별도의 파일의 사용자 지정으로 보안 프로필을 올바르게 처리하지 않았습니다. 그 결과 해당 Kickstart 섹션에서 지정한 경우에도 RHEL 그래픽 설치에서 사용자 지정된 프로필을 사용할 수 없었습니다. 처리가 수정되었으며 RHEL 그래픽 설치에서 사용자 지정 SCAP 프로필을 사용할 수 있습니다.

(BZ#1691305)

STIG 프로필 및 기타 SCAP 콘텐츠를 평가하는 동안 OpenSCAP이 더 이상 실패하지 않습니다

이전에는 OpenSCAP의 암호화 라이브러리 초기화가 OpenSCAP, 특히 filehash58 프로브에서 제대로 수행되지 않았습니다. 그 결과 filehash58_test OVAL(Open Vulnerability Assessment Language) 테스트를 포함하는 SCAP 콘텐츠를 평가하는 동안 분할 오류가 발생했습니다. 이는 특히 Red Hat Enterprise Linux 8의 STIG 프로필 평가에 영향을 주었습니다. 평가가 예기치 않게 실패했으며 결과가 생성되지 않았습니다. 라이브러리를 초기화하는 프로세스는 새 버전의 openscap 패키지에서 수정되었습니다. 결과적으로 RHEL 8의 STIG 프로필과 filehash58_test OVAL 테스트가 포함된 기타 SCAP 콘텐츠를 평가하는 동안 OpenSCAP이 더 이상 실패하지 않습니다.

(BZ#1959570)

Ansible은 필요한 경우에만 배너 파일을 업데이트합니다.

이전에는 배너 수정에 사용된 플레이북이 항상 파일을 제거하여 다시 생성했습니다. 결과적으로 배너 파일 inode는 필요에 관계없이 항상 수정되었습니다. 이번 업데이트를 통해 먼저 기존 콘텐츠를 원하는 콘텐츠와 비교하고 필요한 경우에만 파일을 업데이트하는 copy 모듈을 사용하도록 Ansible 해결 플레이북이 개선되었습니다. 결과적으로 기존 콘텐츠가 의도한 콘텐츠와 다를 때만 배너 파일이 업데이트됩니다.

(BZ#1857179)

DISA STIG 프로파일에서 USB 장치가 올바르게 작동합니다.

이전에는 DISA STIG 프로필에서 USBGuard 서비스를 활성화했지만 처음에 연결된 USB 장치를 구성하지 않았습니다. 결과적으로 USBGuard 서비스는 구체적으로 허용되지 않은 장치를 차단했습니다. 이로 인해 스마트 카드와 같은 일부 USB 장치에 연결할 수 없었습니다. 이번 업데이트를 통해 DISA STIG 프로필을 적용할 때 초기 USBGuard 구성이 생성되고 연결된 모든 USB 장치를 사용할 수 있습니다. 결과적으로 USB 장치가 차단되지 않고 올바르게 작동합니다.

(BZ#1946252)

OSCAP Anaconda 애드온 이 선택된 모든 패키지를 텍스트 모드로 설치

이전에는 OSCAP Anaconda Addon 플러그인에서 텍스트 모드에서 실행할 때 설치가 시작되기 전에 특정 파티션 레이아웃 또는 패키지 설치 및 제거가 필요한 규칙을 평가하지 않았습니다. 그 결과 Kickstart를 사용하여 보안 정책 프로필을 지정하고 설치가 텍스트 모드로 실행 중이면 선택한 보안 프로필에 필요한 추가 패키지가 설치되지 않았습니다. OSCAP Anaconda 애드온은 설치가 그래픽 또는 텍스트 기반인지 여부에 관계없이 설치가 시작되기 전에 필수 점검을 수행합니다. 선택한 모든 패키지가 텍스트 모드에도 설치됩니다.

(BZ#1674001)

CIS 프로파일에서 제거된 rpm_verify_permissions

파일 권한을 패키지 기본 권한과 비교하는 rpm_verify_permissions 규칙은 CIS(Center for Internet Security) Red Hat Enterprise Linux 8 벤치마크에서 제거되었습니다. 이번 업데이트를 통해 CIS 프로필은 CIS RHEL 8 벤치마크와 일치하므로 이 규칙은 더 이상 CIS에 따라 시스템을 강화하는 사용자에게 영향을 미치지 않습니다.

(BZ#1843913)

7.5. 커널

업스트림 패치를 되돌리면 일부 systemd 서비스 및 사용자 공간 워크로드가 예상대로 실행될 수 있습니다.

mknod() 시스템 호출에 백포트된 업스트림 변경으로 인해 mknod () 보다 장치 노드에 대한 권한이 부여되었습니다. 결과적으로 컨테이너의 여러 사용자 공간 워크로드와 일부 systemd 서비스가 응답하지 않았습니다. 이번 업데이트를 통해 잘못된 동작이 복원되어 더 이상 충돌이 발생하지 않습니다.

(BZ#1902543)

메모리 계정 작업에서 성능 저하 개선

이전에는 slab 메모리 컨트롤러에서 slab당 메모리 회계 작업의 빈도를 늘리고 있었습니다. 그 결과 메모리 계정 수가 증가하여 성능 저하가 발생했습니다. 문제를 해결하기 위해 메모리 계정 작업이 최대한 많은 캐싱과 원자성 작업을 사용하도록 간소화되었습니다. 그 결과 약간의 성능 저하가 계속 남아 있습니다. 그러나 사용자 환경이 훨씬 더 좋습니다.

(BZ#1959772)

여러 SysRg-T 매직 키를 발행할 때 하드 잠금 및 시스템 패닉이 더 이상 발생하지 않습니다.

시스템에 여러 SysRg-T 매직 키 시퀀스를 실행하면 직렬 콘솔 속도 및 출력되는 정보 볼륨에 따라 인터럽트가 장기간 동안 비활성화되었습니다. 이로 인해 인터럽트 비활성화 시간이 길어지면서 하드 잠금이 발생하여 시스템 패닉이 발생했습니다. 이번 업데이트에서는 SysRg-T 키 시퀀스를 통해 인터럽트가 비활성화되는 기간을 크게 줄일 수 있습니다. 따라서 설명된 시나리오에서는 하드 잠금 또는 시스템 패닉이 발생하지 않습니다.

(BZ#1954363)

특정 BCC 유틸리티가 더 이상 "macro redefined" 경고를 표시하지 않습니다

일부 컴파일러별 커널 헤더의 매크로 재정의로 인해 일부 BCC(BPF Compiler Collection) 유틸리티가 다음과 같은 제로 영향 경고가 표시되었습니다.

warning: '__no_sanitize_address' macro redefined [-Wmacro-redefined]

이번 업데이트를 통해 매크로 재정의를 제거하여 문제가 해결되었습니다. 결과적으로 관련 BCC 유틸리티에서 이 시나리오에 더 이상 경고를 표시하지 않습니다.

(BZ#1907271)

Kdump 는 더 이상 SSH 또는 NFS 대상에서 vmcore 덤프에 실패하지 않습니다

이전에는 NIC(네트워크 인터페이스 카드) 포트를 고정 IP 주소로 구성하고 kdump 를 SSH 또는 NFS 덤프 대상에서 덤프 vmcore 로 설정하면 kdump 서비스가 다음 오류 메시지로 시작되었습니다.

ipcalc: command not found

결과적으로 SSH 또는 NFS 덤프 대상의 kdump 가 실패했습니다.

이번 업데이트에서는 문제가 해결되어 kexec-tools 유틸리티가 더 이상 IP 주소 및 넷마스크 계산을 위한 ipcalc 도구에 의존하지 않습니다. 결과적으로 kdump 는 SSH 또는 NFS 덤프 대상을 사용할 때 예상대로 작동합니다.

(BZ#1931266)

특정 네트워킹 커널 드라이버가 버전을 올바르게 표시

RHEL 8.4에서 많은 네트워킹 커널 드라이버의 모듈 버전 지정에 대한 동작이 변경되었습니다. 결과적으로 해당 드라이버는 버전을 표시하지 않았습니다. 또는 ethtool -i 명령을 실행한 후 드라이버에 드라이버 버전 대신 커널 버전이 표시되었습니다. 이번 업데이트에서는 커널 모듈 문자열을 제공하여 버그가 수정되었습니다. 결과적으로 사용자는 영향을 받는 커널 드라이버 버전을 확인할 수 있습니다.

(BZ#1944639)

hwloc 명령은 단일 CPU Power9 및 Power10 논리 파티션에 올바른 데이터를 반환합니다.

버전 2.2.0의 hwloc 유틸리티를 통해 Power9 또는 Power10 CPU를 실행한 단일 노드 NUMA(Non-Uniform Memory Access) 시스템은 "비허용"으로 간주됩니다. 결과적으로 NODE0(소켓 0, CPU 0)이 오프라인 상태이고 hwloc 소스 코드에서 NODE0이 온라인 상태가 되기 때문에 모든 hwloc 명령이 작동하지 않았습니다. 다음과 같은 오류 메시지가 표시되었습니다.

Topology does not contain any NUMA node, aborting!

이번 업데이트를 통해 소스 코드에서 쿼리하기 전에 NODE0이 온라인 상태인지 확인하도록 hwloc 가 수정되었습니다. NODE0이 온라인 상태가 아닌 경우 코드는 다음 온라인 NODE로 진행됩니다.

결과적으로 hwloc 명령은 설명된 시나리오에 오류를 반환하지 않습니다.

(BZ#1917560)

7.6. 고가용성 및 클러스터

ocf: Heartbeat:pgsql 리소스 에이전트 및 일부 타사 에이전트는 더 이상 종료 프로세스 중에 중지되지 않습니다.

RHEL 8.4 GA 릴리스에서 Pacemaker의 crm_mon 명령줄 툴은 Pacemaker가 종료되기 시작할 때 일반적인 클러스터 정보가 아니라 "종료" 메시지를 표시하도록 수정되었습니다. 결과적으로 리소스 중지와 같은 종료 진행 상황을 모니터링할 수 없었습니다. 이 경우 중지 작업에서 crm_mon 출력을 구문 분석하는 리소스 에이전트(예 : resource-agents 패키지 또는 일부 사용자 지정 또는 타사 에이전트와 함께 배포되는 ocf: Heartbeat:pgsql 에이전트)가 중지되지 않아 클러스터 문제가 발생할 수 있었습니다. 이 버그는 수정되었으며 설명된 문제가 더 이상 발생하지 않습니다.

(BZ#1948620)

7.7. 동적 프로그래밍 언어, 웹 서버 및 데이터베이스 서버

pyodbcMariaDB 10.3에서 다시 작동합니다.

pyodbc 모듈은 RHEL 8.4 릴리스에 포함된 MariaDB 10.3 서버에서 작동하지 않았습니다. mariadb-connector-odbc 패키지의 근본 원인이 수정되었으며 pyodbc 는 이제 MariaDB 10.3 에서 예상대로 작동합니다.

이전 버전의 MariaDB 10.3 서버와 MariaDB 10.5 서버는 이 문제의 영향을 받지 않았습니다.

(BZ#1944692)

7.8. 컴파일러 및 개발 도구

GCC Toolset 11: GCC 11의 기본값은 DWARF 4입니다.

업스트림 GCC 11은 DWARF 5 디버깅 형식을 기본적으로 사용하지만 GCC Toolset 11의 기본값은 DWARF 4로 설정되어 RHEL 8 구성 요소(예: rpmbuild )와 계속 호환됩니다.

(BZ#1974402)

튜닝 가능 항목 프레임워크가 GLIBC_TUNABLES 를 올바르게 구문 분석합니다.

이전에는 setuid 프로그램의 비setuid 하위 항목에 대해 튜닝 가능 프레임워크가 GLIBC_TUNABLES 환경 변수를 올바르게 구문 분석하지 않았습니다. 그 결과, 모든 튜닝 가능 항목은 setuid 프로그램의 비setuid 하위 항목에 남아 있었습니다. 이번 업데이트를 통해 GLIBC_TUNABLES 환경 변수의 튜닝 가능 항목이 올바르게 구문 분석됩니다. 그 결과 이제 setuid 프로그램의 비setuid 하위 항목에 의해 식별된 튜닝 가능 항목의 일부만 상속됩니다.

(BZ#1934155)

glibcsemctl 시스템 호출 래퍼에서 SEM_STAT_ANY를 SEM_STAT 처럼 처리합니다.

이전에는 glibcsemctl 시스템 호출 래퍼에서 커널 인수 SEM_STAT_ANY를 SEM_STAT 처럼 처리하지 않았습니다 . 그 결과 glibc 는 커널이 업데이트하지 못하도록 결과 객체 structemid_ds 의 주소를 커널에 전달하지 않았습니다. 이번 업데이트를 통해 glibc 는 이제 SEM_STAT_ANYSEM_STAT_ ANY와 같이 처리하고 애플리케이션이 SEM_STAT _ANY 를 사용하여 세미드 데이터를 얻을 수 있습니다.

(BZ#1912670)

glibc에는 이제 IPPROTO_ETHERNET,IPPROTO_ MPTCP 및 INADDR_ALLSNOOPERS_GROUP 에 대한 정의가 포함됩니다.

이전에는 Glibc 시스템 라이브러리 헤더(/usr/include/netinet/in.h)에 IPPROTO_ETHERNET,IPPROTO_ MPTCP, INADDR_ ALLSNOOPERS_GROUP 의 정의가 포함되지 않았습니다. 이로 인해 이러한 정의가 필요한 애플리케이션에서 컴파일하지 못했습니다. 이번 업데이트를 통해 이제 시스템 라이브러리 헤더에 IPPROTO_ETHERNET,IPPROTO_ MPTCP 및 INADDR_ ALLSNOOPERS_GROUP 에 대한 새로운 네트워크 상수 정의가 포함되어 애플리케이션을 올바르게 컴파일할 수 있습니다.

(BZ#1930302)

GCC 버전 8.5로 업데이트

GCC(GNU 컴파일러 컬렉션)는 업스트림 버전 8.5로 업데이트되어 이전 버전에 비해 여러 버그 수정을 제공합니다.

(BZ#1946758)

OpenSSL aes-cbc 모드를 사용하여 잘못된 파일 암호 해독

OpenSSL EVP aes-cbc 모드는 파일을 올바르게 해독하지 않았습니다. GoBlocks 인터페이스에서 전체 블록을 예상하는 동안 패딩을 처리할 것으로 예상되기 때문입니다. 이 문제는 OpenSSL에서 EVP 작업을 실행하기 전에 패딩을 비활성화하여 해결되었습니다.

(BZ#1979100)

7.9. IdM (Identity Management)

부트 스트랩 스크립트가 실행될 때 Freeradius가 더 이상 기본 인증서를 잘못 생성하지 않습니다.

FreeRADIUS가 시작될 때마다 부트스트랩 스크립트가 실행됩니다. 이전에는 이 스크립트에서 /etc/raddb/certs 디렉토리에 새 테스트 인증서를 생성했으며, 결과적으로 FreeRADIUS 서버가 이러한 테스트 인증서가 유효하지 않기 때문에 시작하지 못한 경우가 있었습니다. 예를 들어 인증서가 만료되었을 수 있습니다. 이번 업데이트를 통해 부트스트랩 스크립트는 /etc/raddb/certs 디렉토리를 확인하고 테스트 또는 고객 인증서가 포함되어 있으면 스크립트가 실행되지 않고 FreeRADIUS 서버가 올바르게 시작됩니다.

테스트 인증서는 FreeRADIUS 구성 중에 테스트용으로만 사용되며 실제 환경에서 사용해서는 안 됩니다. 사용자의 인증서를 사용하고 나면 부트스트랩 스크립트를 삭제해야 합니다.

(BZ#1954521)

freeraduna가 더 이상 코어 덤프 파일을 만들지 못했습니다.

이전에는 allow_core_dumpsyes 로 설정된 경우 FreeRADIUS에서 코어 덤프 파일을 생성하지 않았습니다. 결과적으로 프로세스가 실패한 경우 코어 덤프 파일이 생성되지 않았습니다. 이번 업데이트를 통해 allow_core_dumpsyes 로 설정하면 프로세스가 실패하는 경우 FreeRADIUS에서 코어 덤프 파일을 생성합니다.

(BZ#1977572)

SSSD는 /etc/krb5.conf의 Kerberos 키탭 이름에 대한 기본 설정을 올바르게 평가합니다.

이전에는 krb5.keytab 파일에 비표준 위치를 정의한 경우 SSSD에서 이 위치를 사용하지 않고 기본 /etc/krb5.keytab 위치를 대신 사용했습니다. 결과적으로 시스템에 로그인하려고 할 때 /etc/krb5.keytab 에 항목이 포함되어 있지 않기 때문에 로그인에 실패했습니다.

이번 업데이트를 통해 SSSD는 이제 /etc/krb5.confdefault_keytab_name 변수를 평가하고 이 변수에서 지정한 위치를 사용합니다. SSSD는 default_ keytab _name 변수가 설정되지 않은 경우에만 기본 /etc/krb5. keytab 위치를 사용합니다.

(BZ#1737489)

sudo 명령을 실행하면 더 이상 KRB5CCNAME 환경 변수를 내보내지 않습니다.

이전에는 sudo 명령을 실행한 후 환경 변수 KRB5CCNAME 에서 원래 사용자의 Kerberos 인증 정보 캐시를 가리키며 대상 사용자가 액세스할 수 없었습니다. 결과적으로 이 캐시에 액세스할 수 없기 때문에 Kerberos 관련 작업이 실패할 수 있습니다. 이번 업데이트를 통해 sudo 명령을 실행하면 더 이상 KRB5CCNAME 환경 변수가 설정되지 않으며 대상 사용자가 기본 Kerberos 인증 정보 캐시를 사용할 수 있습니다.

(BZ#1879869)

Kerberos는 이제 암호화 유형만 허용했습니다

이전에는 default_ tgs_enctypes 또는 default _t kt_enctypes 매개 변수가 설정되지 않은 경우 RHEL에서 /etc/krb5.conf 파일의 allowed_enctypes 매개변수에 지정된 암호화 유형을 적용하지 않았습니다. 결과적으로 Kerberos 클라이언트는 RC4와 같이 더 이상 사용되지 않는 암호화 제품군을 요청할 수 있었기 때문에 다른 프로세스가 실패할 수 있었습니다. 이번 업데이트를 통해 RHEL은 allowed _enctypes 에 설정된 암호화 유형을 기본 암호화 유형에도 적용하고 프로세스는 허용된 암호화 유형만 요청할 수 있습니다.

Red Hat IdM(Identity Management)을 사용하고 AD(Active Directory)와의 신뢰성을 설정하려면 RHEL 8에서 더 이상 사용되지 않는 RC4 암호화 제품군은 AD 포리스트에서 AD 도메인 간 사용자, 서비스 및 신뢰에 대한 기본 암호화 유형입니다. 다음 옵션 중 하나를 사용할 수 있습니다.

(BZ#2005277)

복제 세션 업데이트 속도가 향상되었습니다.

이전에는 changelog에 대규모 업데이트가 포함되면 변경 로그부터 복제 세션이 시작되었습니다. 이로 인해 세션이 느려졌습니다. 소규모 버퍼를 사용하여 복제 세션 중에 변경 로그의 업데이트를 저장하면 이 문제가 발생했습니다. 이번 업데이트를 통해 복제 세션에서 버퍼가 시작 지점에 업데이트를 저장할 수 있을 만큼 충분히 큰지 확인합니다. 복제 세션은 즉시 업데이트 전송을 시작합니다.

(BZ#1898541)

플러그인에서 생성한 데이터베이스 인덱스 활성화

이전에는 서버 플러그인이 자체 데이터베이스 인덱스를 생성할 때 해당 인덱스를 수동으로 활성화해야 했습니다. 이번 업데이트를 통해 기본적으로 인덱스가 생성된 직후 인덱스가 활성화됩니다.

(BZ#1951020)

7.10. Red Hat Enterprise Linux 시스템 역할

동일한 출력을 실행할 때 역할 작업이 더 이상 변경되지 않음

이전 버전에서는 변경 사항이 없어도 동일한 입력을 한 번 실행할 때 여러 역할 작업이 CHANGED 로 보고되었습니다. 그 결과 역할이 멱등이 아니었습니다. 문제를 해결하려면 다음 작업을 수행합니다.

  • 구성 변수를 적용하기 전에 구성 변수가 변경되는지 확인합니다. 이 확인을 위해 --check 옵션을 사용할 수 있습니다.
  • 마지막으로 수정된: $date 헤더를 구성 파일에 추가하지 마십시오.

결과적으로 역할 작업은 멱등입니다.

(BZ#1960375)

relayhost 매개변수가 Postfix 설명서에 더 이상 잘못 정의되지 않음

이전 버전에서는 Postfix RHEL 시스템 역할의 relayhost 매개 변수가 rhel-system-roles에서 제공한 doc /usr/share/doc/rhel-system-roles/postfix/README.md 설명서에 relay_host 로 정의되었습니다. 이번 업데이트에서는 문제가 수정되었으며 relayhost 매개 변수가 Postfix 설명서에 올바르게 정의되었습니다.

(BZ#1866544)

Postfix RHEL 시스템 역할 README.md는 "역할 변수" 섹션에서 더 이상 변수를 누락하지 않습니다

이전 버전에서는 Postfix RHEL 시스템 역할 변수(예: postfix_check,postfix_backup _multiple )를 "역할 변수" 섹션에서 사용할 수 없었습니다. 결과적으로 사용자는 Postfix 역할 문서를 참조할 수 없었습니다. 이번 업데이트에서는 Postfix README 섹션에 역할 변수 설명서를 추가합니다. 역할 변수는 rhel-system-roles에서 제공하는 doc/usr/share/doc/rhel-system-roles/postfix/README.md 문서의 사용자에게 문서화되어 사용할 수 있습니다.

(BZ#1961858)

Postfix 역할 README에서 더 이상 일반 역할 이름을 사용하지 않음

이전에는 /usr/share/ansible/roles/rhel-system-roles.postfix/README.md 에 제공된 예제에서 rhel-system-roles.postfix 를 사용하는 대신 역할 이름의 일반 버전인 postfix 를 사용했습니다. 결과적으로 사용자는 문서를 참조하고 FQRN(전체 자격 역할 이름) 대신 일반 역할 이름을 잘못 사용합니다. 이번 업데이트에서는 문제가 해결되고 이 문서에는 FQRN, rhel-system-roles.postfix 의 예가 포함되어 있어 사용자가 플레이북을 올바르게 작성할 수 있습니다.

(BZ#1958963)

timesync 의 출력 로그에서 비정상적인 오류만 보고합니다.

이전에는 timesync RHEL 시스템 역할에서 ignore_errors 지시문을 여러 작업에서 별도의 검사와 함께 사용했습니다. 결과적으로 성공적인 역할 실행의 출력 로그에 무해한 오류가 발생했습니다. 사용자는 이러한 오류를 무시해도 안전하지만 여전히 볼 수 없게 되었습니다. 이번 업데이트에서는 ignore_errors 를 사용하지 않도록 관련 작업이 다시 작성되었습니다. 결과적으로 출력 로그가 정리되고 역할 중지 오류만 보고됩니다.

(BZ#1938014)

Ansible 컬렉션에서 requirements.txt 파일이 더 이상 누락되지 않음

이전에는 python 종속성을 지정하는 requirements.txt 파일이 Ansible 컬렉션에서 누락되었습니다. 이번 수정에서는 /usr/share/ansible/collections/ansible_collections/redhat/rhel_system_roles/requirements.tx 경로에서 올바른 종속성과 함께 누락된 파일이 추가되었습니다.

(BZ#1954747)

type: storage_pools의 partition을 설정하면 역 추적 더 이상 관찰되지 않습니다.

이전에는 플레이북에서 변수 유형을 storage_pools의 파티션 으로 설정할 때 이 플레이북을 실행하지 못하고 역추적 을 나타냅니다. 이번 업데이트에서는 문제가 해결되어 Traceback 오류가 더 이상 나타나지 않습니다.

(BZ#1854187)

SELinux 역할이 더 이상 불필요한 다시 로드를 수행하지 않음

이전에는 SElinux 역할을 통해 SElinux 정책을 다시 로드하기 전에 변경 사항이 실제로 적용되었는지 확인하지 않았습니다. 그 결과 SElinux 정책이 불필요하게 다시 로드되어 시스템 리소스에 영향을 미쳤습니다. 이번 수정으로 SElinux 역할은 이제 ansible 핸들러 및 조건을 사용하여 변경 사항이 있는 경우에만 정책을 다시 로드합니다. 결과적으로 SElinux 역할은 훨씬 더 빨리 실행됩니다.

(BZ#1757869)

sshd 역할은 RHEL6 호스트에 설치된 sshd_config 파일로 더 이상 시작하지 못합니다.

이전 버전에서는 관리 노드에서 RHEL6을 실행할 때 OpenSSH 버전은 install 작업에서 추가된 일치 기준에서 "Match all"을 지원하지 않았습니다. 그 결과 sshd 는 RHEL6 호스트에 설치된 sshd_config 파일을 시작하지 못했습니다. 이번 업데이트에서는 OpenSSH 버전에서 기준을 지원하므로 "Match all"을 RHEL6 sshd_config 구성 파일의 "Match address *"로 교체하여 문제가 해결되었습니다. 결과적으로 sshd RHEL 시스템 역할은 RHEL6 호스트에 설치된 sshd_config 파일로 성공적으로 시작됩니다.

(BZ#1990947)

README.md 예제의 SSHD 역할 이름이 더 이상 올바르지 않음

이전에는 sshd README.md 파일에서 willshersystems.sshd 이름으로 역할을 호출하는 예제 참조가 있었습니다. 이번 업데이트에서는 문제가 해결되어 이제 예제 참조가 역할을 "rhel_system_roles.sshd"로 올바르게 참조합니다.

(BZ#1952090)

tlsfalse인 경우 키/인증서 소스 파일이 더 이상 복사되지 않습니다.

이전에는 로깅 RHEL 시스템 역할 elasticsearch 출력에서 제어 호스트의 키/인증서 소스 파일 경로가 플레이북에 구성된 경우 tlsfalse 로 설정된 경우에도 관리 호스트에 복사되었습니다. 결과적으로 키/인증서 파일 경로가 구성되어 tlsfalse 로 설정된 경우 복사 소스 파일이 없으므로 명령이 실패합니다. 이번 업데이트에서는 문제가 해결되어 tls param이 true 로 설정된 경우에만 키/인증서 복사가 실행됩니다.

(BZ#1994580)

metric 역할에서 대상 호스트에 대한 로깅을 활성화하는 작업 실행

이전에는 지표 RHEL 시스템 역할의 버그로 인해 성능 지표 로깅 작업의 대상 호스트를 참조할 수 없었습니다. 결과적으로 성능 지표 로깅을 위한 제어 파일이 생성되지 않았습니다. 이번 업데이트에서는 문제가 해결되어 대상 호스트가 올바르게 참조됩니다. 결과적으로 제어 파일이 성공적으로 생성되어 성능 지표 로깅 실행을 활성화합니다.

(BZ#1967335)

sshd_hostkey_groupsshd_hostkey_mode 변수를 플레이북에서 구성할 수 있습니다.

이전 버전에서는 sshd_hostkey_groupsshd_hostkey_mode 변수가 defaultsvars 파일에 의도하지 않게 정의되었습니다. 결과적으로 사용자는 플레이북에서 이러한 변수를 구성할 수 없었습니다. 이번 수정을 통해 sshd_hostkey_group 의 이름은 __sshd_hostkey_group 으로 변경하고, sshd_hostkey_modevars 파일에서 상수 값을 정의하기 위해 __sshd_hostkey_mode 로 변경됩니다. 기본 파일에서 sshd_hostkey_group__sshd_hostkey_group으로 설정되고 sshd_ hostkey_mode__sshd_hostkey_mode 로 설정됩니다. 결과적으로 사용자는 이제 플레이북에서 sshd_hostkey_group 및 sshd_ hostkey_mode 변수를 구성할 수 있습니다.

(BZ#1966711)

README.md 의 RHEL 시스템 역할 내부 링크는 더 이상 손상되지 않습니다

이전에는 README.md 파일에서 사용할 수 있는 내부 링크가 손상되었습니다. 결과적으로 사용자가 특정 섹션 설명서 링크를 클릭하면 사용자를 특정 README.md 섹션으로 리디렉션하지 않습니다. 이번 업데이트에서는 문제가 해결되어 내부 링크가 사용자를 올바른 섹션을 가리킵니다.

(BZ#1962976)

7.11. 클라우드 환경의 RHEL

nm-cloud-setup 유틸리티가 Microsoft Azure에 올바른 기본 경로를 설정

이전에는 Microsoft Azure에서 nm-cloud-setup 유틸리티가 클라우드 환경의 올바른 게이트웨이를 감지하지 못했습니다. 결과적으로 유틸리티에서 잘못된 기본 경로를 설정했으며 연결에 실패했습니다. 이번 업데이트에서는 문제가 해결되었습니다. 결과적으로 nm-cloud-setup 유틸리티는 이제 Microsoft Azure에 올바른 기본 경로를 설정합니다.

(BZ#1912236)

백업 AMI에서 생성된 EC2 인스턴스에서 SSH 키가 올바르게 생성됩니다.

이전에는 백업 AMI(Amazon Machine Image)에서 RHEL 8의 새 Amazon EC2 인스턴스를 생성할 때 cloud-init 에서 VM의 기존 SSH 키를 삭제했지만 새 SSH 키를 생성하지 않았습니다. 결과적으로 일부의 경우 VM을 호스트에 연결할 수 없었습니다.

이 문제는 새로 생성된 RHEL 8.5 VM에 대해 해결되었습니다. RHEL 8.4 또는 이전 버전에서 업그레이드된 VM의 경우 문제를 수동으로 해결해야 합니다.

이렇게 하려면 cloud.cfg 파일을 편집하고 ssh_genkeytypes: ~ 행을 ssh_genkeytypes: ['rsa', 'ecdsa', 'ed25519'] 로 변경합니다. 이렇게 하면 설명된 환경에서 RHEL 8 VM을 프로비저닝할 때 SSH 키를 올바르게 삭제하고 생성할 수 있습니다.

(BZ#1957532)

AWS ARM64 인스턴스에서 실행 중인 RHEL 8이 지정된 네트워크 속도에 도달할 수 있음

AWS(Amazon Web Services) ARM64 인스턴스에서 실행되는 VM(가상 머신)에서 RHEL 8을 게스트 운영 체제로 사용하는 경우 이전에 iommu.strict=1 커널 매개 변수를 사용하거나 no iommu.strict 매개 변수를 정의할 때 VM이 예상 네트워크 성능보다 낮았습니다.

이 문제는 Red Hat에서 제공하는 RHEL 8.5 AMI(Amazon Machine Images)에서 더 이상 발생하지 않습니다. 다른 유형의 이미지에서는 to iommu.strict=0 매개변수를 변경하여 문제를 해결할 수 있습니다. 여기에는 다음이 포함됩니다.

  • RHEL 8.4 및 이전 이미지
  • yum update를 사용하여 이전 버전에서 업그레이드된 RHEL 8.5 이미지
  • Red Hat에서 제공하지 않는 RHEL 8.5 이미지

(BZ#1836058)

이제 Azure의 원격 머신에 RHEL 8 가상 머신 코어 덤프가 더 안정적으로 작동합니다.

이전 버전에서는 kdump 유틸리티를 사용하여 Microsoft Azure 하이퍼바이저에 RHEL 8 가상 머신(VM)의 코어 덤프 파일을 원격 머신에 저장하면 VM이 가속화된 네트워킹이 활성화된 NIC를 사용할 때 올바르게 작동하지 않았습니다. 결과적으로 덤프 파일은 즉시 대신 약 200초 후에 저장되었습니다. 또한 덤프 파일을 저장하기 전에 콘솔에 다음과 같은 오류 메시지가 기록되었습니다.

device (eth0): linklocal6: DAD failed for an EUI-64 address

이번 업데이트를 통해 기본 코드가 수정되었으며 설명된 상황에서 덤프 파일이 즉시 저장됩니다.

(BZ#1854037)

FIPS 모드가 활성화된 경우 RHEL 8 게스트 최대 절전이 올바르게 작동합니다.

이전에는 VM이 FIPS 모드를 사용하는 경우 RHEL 8을 게스트 운영 체제로 사용하는 VM(가상 머신)을 최대 절전 모드로 유지할 수 없었습니다. 기본 코드가 수정되어 영향을 받는 VM이 올바르게 최대 절전할 수 있습니다.

(BZ#1934033, BZ#1944636)

7.12. 컨테이너

UBI 9-Beta 컨테이너는 RHEL 7 및 8 호스트에서 실행할 수 있습니다.

이전에는 UBI 9-Beta 컨테이너 이미지에 container -common 패키지에 잘못된 seccomp 프로필이 설정되어 있었습니다. 이로 인해 컨테이너가 특정 시스템 호출을 처리할 수 없어 오류가 발생했습니다. 이번 업데이트를 통해 문제가 해결되었습니다.

(BZ#2019901)

8장. 기술 프리뷰

다음 부분에서는 Red Hat Enterprise Linux 8.5에서 사용할 수 있는 모든 기술 프리뷰 목록을 설명합니다.

기술 프리뷰 기능에 대한 Red Hat 지원 범위 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.

8.1. 쉘 및 명령행 툴

64비트 IBM Z 아키텍처에서 기술 프리뷰로 다시 사용 가능

Basic Relax and Recover (ReaR) 기능은 이제 64비트 IBM Z 아키텍처에서 기술 프리뷰로 제공됩니다. IBM Z에서 z/VM 환경에서만 복구 이미지를 생성할 수 있습니다. LPAR(Logical partitions) 백업 및 복구는 테스트되지 않았습니다.

현재 사용 가능한 출력 방법은 초기 프로그램 로드(IPL)입니다. IPL은 zIPL 부트로더와 함께 사용할 수 있는 커널 및 초기 램디스크(initrd)를 생성합니다.

자세한 내용은 64비트 IBM Z 아키텍처에서 ReaR rescue 이미지 사용을 참조하십시오.

(BZ#1868421)

8.2. 네트워킹

KTLS는 기술 프리뷰로 사용 가능

RHEL은 KVM(커널 전송 계층 보안)을 기술 프리뷰로 제공합니다. KTLS는 AES-GCM 암호화를 위한 커널에서 대칭 암호화 또는 암호 해독 알고리즘을 사용하여 TLS 레코드를 처리합니다. 또한 KTLS는 이 기능을 지원하는 NIC(네트워크 인터페이스 컨트롤러)로 TLS 레코드 암호화를 오프로드하는 인터페이스를 제공합니다.

(BZ#1570255)

AF_XDP 를 기술 프리뷰로 사용 가능(_X)

AF_XDP(Address Family eXpress Data Path ) 소켓은 고성능 패킷 처리를 위해 설계되었습니다. XDP와 결합하고 추가 처리를 위해 프로그래밍 방식으로 선택한 패킷을 사용자 공간 애플리케이션에 효율적으로 리디렉션합니다.

(BZ#1633143)

기술 프리뷰로 사용 가능한 XDP 기능

Red Hat은 다음 XDP(eXpress Data Path) 기능을 지원되지 않는 기술 프리뷰로 사용합니다.

  • AMD 및 Intel 64비트가 아닌 아키텍처에 XDP 프로그램 로드. AMD 및 Intel 64비트 이외의 아키텍처에는 libxdp 라이브러리를 사용할 수 없습니다.
  • XDP 하드웨어 오프로딩.

(BZ#1889737)

TC용 멀티 프로토콜 레이블 전환을 기술 프리뷰로 사용 가능

MPLS(Multi-protocol Label Switching)는 엔터프라이즈 네트워크 전반에서 트래픽 흐름을 라우팅하는 커널 내 데이터 전달 메커니즘입니다. MPLS 네트워크에서 패킷을 수신하는 라우터는 패킷에 연결된 레이블을 기반으로 패킷의 추가 경로를 결정합니다. 레이블을 사용하면 MPLS 네트워크는 특정 특성을 가진 패킷을 처리할 수 있습니다. 예를 들어 특정 포트에서 수신된 패킷을 관리하거나 일관된 방식으로 특정 유형의 트래픽을 전달하기 위해 add tc 필터를 추가할 수 있습니다.

패킷이 엔터프라이즈 네트워크에 진입한 후 MPLS 라우터는 레이블 추가를 위한 내보내기, 레이블을 업데이트하는 스왑, 라벨을 제거하기 위한 pop 등의 패킷에서 여러 작업을 수행합니다. MPLS를 사용하면 RHEL에서 하나 이상의 레이블을 기반으로 작업을 로컬로 정의할 수 있습니다. 라우터를 구성하고 트래픽 제어(tc) 필터를 설정하여 레이블, 트래픽 클래스, 스택하단, 라이브 시간과 같은 MPLS 레이블 스택(lse)요소를 기반으로 패킷에 적절한 조치를 수행할 수 있습니다.

예를 들어 다음 명령은 첫 번째 레이블이 12323 이고 두 번째 레이블 45832 가 있는 수신 패킷과 일치하도록 필터를 enp0s1 네트워크 인터페이스에 추가합니다. 일치하는 패킷에서 다음 작업이 수행됩니다.

  • 첫 번째 MPLS TTL이 감소합니다 (TTL이 0에 도달하면 패킷이 삭제됩니다)
  • 첫 번째 MPLS 레이블이 549386으로 변경되었습니다.
  • 결과 패킷은 대상 MAC 주소 00:00:5E:53:01 및 소스 MAC 주소 00:00:5E:00:53:02 를 사용하여 enp0s2 를 통해 전송됩니다.

    # tc filter add dev enp0s1 ingress protocol mpls_uc flower mpls lse depth 1 label 12323 lse depth 2 label 45832 \
    action mpls dec_ttl pipe \
    action mpls modify label 549386 pipe \
    action pedit ex munge eth dst set 00:00:5E:00:53:01 pipe \
    action pedit ex munge eth src set 00:00:5E:00:53:02 pipe \
    action mirred egress redirect dev enp0s2

(BZ#1814836, BZ#1856415)

act_mpls 모듈에서 기술 프리뷰로 사용 가능

act_mpls 모듈은 kernel-modules-extra rpm에서 기술 프리뷰로 사용할 수 있습니다. 이 모듈을 사용하면 Traffic Control(TC) 필터(예: TC 필터를 사용하여 푸시 및 팝업 MPLS 레이블 스택 항목) 필터를 사용하는 MPLS(Multiprotocol Label Switching) 작업을 적용할 수 있습니다. 이 모듈은 또한 Label(레이블), Traffic Class(트래픽 클래스), Bottom of Stack(스택의 하단) 및 Time To Live(라이브 간 시간) 필드를 독립적으로 설정할 수 있습니다.

(BZ#1839311)

systemd-resolved 서비스를 기술 프리뷰로 사용 가능

systemd 확인 서비스는 로컬 애플리케이션에 대한 이름 확인을 제공합니다. 이 서비스는 캐싱을 구현하고 DNS 스텁 확인자, LLMNR(링크-로컬 멀티캐스트 이름 확인자) 및 멀티캐스트 DNS 확인자 및 응답자를 검증합니다.

systemd 패키지가 systemd -resolved 를 제공하는 경우에도 이 서비스는 지원되지 않는 기술 프리뷰입니다.

(BZ#1906489)

nispor 패키지가 기술 프리뷰로 사용 가능

nispor 패키지는 이제 Linux 네트워크 상태 쿼리를 위한 통합 인터페이스인 기술 프리뷰로 사용할 수 있습니다. nispor는 python 및 C api를 통해 실행 중인 모든 네트워크 상태를 쿼리하는 통합 방법을 제공합니다. nispornmstate 도구에서 종속성으로 작동합니다.

nispor 패키지를 nmstate 종속성 또는 개별 패키지로 설치할 수 있습니다.

  • nispor 를 개별 패키지로 설치하려면 다음을 입력합니다.

    # yum install nispor
  • nmstate 종속성으로 nispor 를 설치하려면 다음을 입력합니다.

    # yum install nmstate

    nispor 는 종속성으로 나열됩니다.

nispor 사용에 대한 자세한 내용은 /usr/share/doc/nispor/README.md 파일을 참조하십시오.

(BZ#1848817)

8.3. 커널

kexec 빠른 재부팅 기능은 기술 프리뷰로 사용할 수 있습니다.

kexec 빠른 재부팅 기능은 기술 프리뷰로 계속 사용할 수 있습니다. kexec 빠른 재부팅 으로 커널이 BIOS(Basic Input/Output System)를 통과하지 않고 두 번째 커널로 직접 부팅할 수 있어 부팅 프로세스가 훨씬 빨라집니다. 이 기능을 사용하려면 다음을 수행합니다.

  1. kexec 커널을 수동으로 로드합니다.
  2. 운영 체제를 재부팅합니다.

(BZ#1769727)

accel-config 패키지는 기술 프리뷰로 사용 가능

accel-config 패키지는 Intel EM64TAMD64 아키텍처에서 기술 프리뷰로 제공됩니다. 이 패키지는 Linux 커널에서 DSA(Data-streaming 액셀러레이터) 하위 시스템을 제어하고 구성하는 데 도움이 됩니다. 또한 sysfs (pseudo-filesystem)를 통해 장치를 구성하고 json 형식으로 구성을 저장하고 로드합니다.

(BZ#1843266)

SGX를 기술 프리뷰로 이용 가능

SGX( Software Guard Extensions )는 소프트웨어 코드와 데이터를 공개 및 수정하지 못하도록 보호하는 Intel® 기술입니다. RHEL 커널은 SGX v1 및 v1.5를 부분적으로 지원합니다. 버전 1을 사용하면 유연한 시작 제어 메커니즘을 사용하는 플랫폼이 SGX 기술을 사용할 수 있습니다.

(BZ#1660337)

eBPF를 기술 프리뷰로 이용 가능

eBPF(Extended Berkeley Packet Filter) 는 제한된 기능 집합에 액세스할 수 있는 제한된 샌드박스 환경에서 커널 공간에서 코드를 실행할 수 있는 커널 내 가상 시스템입니다.

가상 시스템에는 다양한 유형의 맵 생성을 지원하고 특수 어셈블리와 유사한 코드로 프로그램을 로드할 수 있는 새로운 시스템 호출 bpf() 가 포함되어 있습니다. 그런 다음 코드가 커널로 로드되고 즉시 컴파일을 사용하여 기본 머신 코드로 변환됩니다. bpf() syscall은 root 사용자와 같이 CAP_SYS_ADMIN 기능을 가진 사용자만 사용할 수 있습니다. 자세한 내용은 bpf(2) 매뉴얼 페이지를 참조하십시오.

로드된 프로그램을 다양한 지점(소켓, 추적 지점, 패킷 수신)에 연결하여 데이터를 수신 및 처리할 수 있습니다.

Red Hat은 eBPF 가상 시스템을 활용하는 수많은 구성 요소를 제공합니다. 각 구성 요소는 다른 개발 단계에 있으므로 현재 모든 구성 요소가 완전히 지원되지는 않습니다. 특정 구성 요소가 지원됨으로 표시되지 않는 한 모든 구성 요소는 기술 프리뷰로 사용할 수 있습니다.

다음과 같은 주요 eBPF 구성 요소는 현재 기술 프리뷰로 사용할 수 있습니다.

  • eBPF 가상 시스템을 활용하는 고급 추적 언어인 bpftrace.
  • AF_XDP: 패킷 처리 성능 우선 순위를 지정하는 애플리케이션의 사용자 공간에 eXpress Data Path(XDP) 경로를 연결하는 소켓입니다.

(BZ#1559616)

커널용 Intel 데이터 스트리밍 액셀러레이터 드라이버는 기술 프리뷰로 사용할 수 있습니다.

커널용 Intel 데이터 스트리밍 액셀러레이터 드라이버(IDXD)는 현재 기술 프리뷰로 사용할 수 있습니다. Intel CPU 통합 액셀러레이터로, 프로세스 주소 공간 ID(pasid) 제출 및 공유 가상 메모리(SVM)가 포함된 공유 작업 대기열을 지원합니다.

(BZ#1837187)

soft-RoCE를 기술 프리뷰로 이용 가능

RoCE(Remote Direct Memory Access) over Converged Ethernet (RoCE)는 이더넷을 통해 RDMA를 구현하는 네트워크 프로토콜입니다. 소프트 로빈은 RoCE v1 및 RoCE v2의 두 프로토콜 버전을 지원하는 RoCE의 소프트웨어 구현입니다. soft-RoCE 드라이버인 rdma_rxe 는 RHEL 8에서 지원되지 않는 기술 프리뷰로 사용할 수 있습니다.

(BZ#1605216)

stmmac 드라이버는 기술 프리뷰로 사용할 수 있습니다.

Red Hat은 지원되지 않는 기술 프리뷰로 SoC(Intel® Elkhart Lake) 시스템에 대해 stmmac 을 사용합니다.

(BZ#1905243)

8.4. 파일 시스템 및 스토리지

ext4 및 XFS에서 기술 프리뷰로 파일 시스템 DAX 사용 가능

Red Hat Enterprise Linux 8에서 DAX 파일 시스템은 기술 프리뷰로 사용할 수 있습니다. DAX는 애플리케이션이 영구 메모리를 주소 공간으로 직접 매핑할 수 있는 수단을 제공합니다. DAX를 사용하려면 시스템에 몇 가지 형태의 영구 메모리를 사용할 수 있어야 합니다. 일반적으로 하나 이상의 비Volatile 듀얼 인라인 메모리 모듈(NVDIMM) 형식이며 DAX를 지원하는 파일 시스템은 NVDIMM에서 생성해야 합니다. 또한 dax 마운트 옵션을 사용하여 파일 시스템을 마운트해야 합니다. 그런 다음 dax 마운트된 파일 시스템에 있는 파일의 mmap 을 통해 스토리지가 애플리케이션의 주소 공간에 직접 매핑됩니다.

(BZ#1627455)

OverlayFS

Overlayfs는 유니언 파일 시스템 유형입니다. 이를 통해 한 파일 시스템을 다른 파일 시스템에서 오버레이할 수 있습니다. 변경 사항은 상위 파일 시스템에 기록되는 반면 하위 파일 시스템은 수정되지 않았습니다. 이를 통해 여러 사용자가 기본 이미지가 읽기 전용 미디어에 있는 컨테이너 또는 DVD-ROM과 같은 파일 시스템 이미지를 공유할 수 있습니다.

Overlayfs는 대부분의 환경에서 기술 프리뷰로 남아 있습니다. 따라서 커널은 이 기술이 활성화되면 경고를 기록합니다.

다음 제한 사항에 따라 지원되는 컨테이너 엔진(podman,cri-o 또는 buildah)과 함께 사용할 때 OverlayFS에 완전 지원을 사용할 수 있습니다.

  • Overlayfs는 컨테이너 엔진 그래프 드라이버로만 사용됩니다. 이 용도는 영구저장장치가 아닌 컨테이너 COW 콘텐츠에만 지원됩니다. 비OverlayFS 볼륨에 영구 스토리지를 배치해야 합니다. 기본 컨테이너 엔진 구성만 사용할 수 있습니다. 1 레벨의 오버레이, 한 개의 하위 디렉토리, 하위 수준 및 상위 수준은 모두 동일한 파일 시스템에 있습니다.
  • 현재 XFS만 더 낮은 계층 파일 시스템으로 사용하도록 지원됩니다.

또한 OverlayFS를 사용하는 경우 다음 규칙과 제한 사항이 적용됩니다.

  • OverlayFS 커널 ABI 및 사용자 공간 동작은 안정적이지 않으며 향후 업데이트가 변경될 수 있습니다.
  • Overlayfs는 POSIX 표준의 제한된 집합을 제공합니다. OverlayFS를 사용하여 배포하기 전에 애플리케이션을 철저하게 테스트합니다. 다음 사례는 POSIX와 호환되지 않습니다.

    • O_RDONLY 로 열린 하위 파일은 파일을 읽을 때 st_atime 업데이트를 받지 않습니다.
    • O_RDONLY 로 더 낮은 파일을 연 다음 MAP_SHARED 로 매핑된 파일은 후속 수정과 일치하지 않습니다.
    • 전체 호환 st_ 또는 d_ 값은 RHEL 8에서 기본적으로 활성화되어 있지 않지만 모듈 옵션 또는 마운트 옵션을 사용하여 전체 POSIX 규정 준수를 활성화할 수 있습니다.

      일관된 inode 번호 지정을 얻으려면 x=on 마운트 옵션을 사용합니다.

      redirect_dir=on 및 index=on 옵션을 사용하여 POSIX 규정 준수를 개선할 수도 있습니다. 이 두 가지 옵션은 이러한 옵션 없이 오버레이와 호환되지 않는 상위 계층의 형식을 만듭니다. 즉, redirect_dir=on 또는 index=on 으로 오버레이를 생성하고 오버레이를 마운트 해제한 다음 이러한 옵션 없이 오버레이를 마운트하면 예기치 않은 결과 또는 오류가 발생할 수 있습니다.

  • 기존 XFS 파일 시스템이 오버레이로 사용할 수 있는지 여부를 확인하려면 다음 명령을 사용하여 ftype=1 옵션이 활성화되어 있는지 확인합니다.

    # xfs_info /mount-point | grep ftype
  • SELinux 보안 레이블은 OverlayFS를 사용하여 지원되는 모든 컨테이너 엔진에서 기본적으로 활성화됩니다.
  • 이번 릴리스에서는 OverlayFS와 관련된 여러 가지 알려진 문제가 있습니다. 자세한 내용은 Linux 커널 설명서의 비표준 동작을 참조하십시오 . https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt.

OverlayFS에 대한 자세한 내용은 Linux 커널 설명서 https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt 를 참조하십시오.

(BZ#1690207)

Stratis를 기술 프리뷰로 사용 가능

Stratis는 새 로컬 스토리지 관리자입니다. 스토리지 풀에서 사용자에게 추가 기능을 제공하는 관리형 파일 시스템을 제공합니다.

Stratis를 사용하면 다음과 같은 스토리지 작업을 보다 쉽게 수행할 수 있습니다.

  • 스냅샷 및 씬 프로비저닝 관리
  • 필요에 따라 파일 시스템 크기 자동 확장
  • 파일 시스템 관리

Stratis 스토리지를 관리하려면 stratisd 백그라운드 서비스와 통신하는 stratis 유틸리티를 사용합니다.

Stratis는 기술 프리뷰로 제공됩니다.

자세한 내용은 Stratis 설명서를 참조하십시오. Stratis 파일 시스템 설정.

RHEL 8.3에서 Stratis를 버전 2.1.0으로 업데이트했습니다. 자세한 내용은 Stratis 2.1.0 릴리스 정보를 참조하십시오.

(JIRA:RHELPLAN-1212)

IdM 도메인 멤버에서 Samba 서버 설정이 기술 프리뷰로 제공됩니다.

이번 업데이트를 통해 IdM(Identity Management) 도메인 멤버에 Samba 서버를 설정할 수 있습니다. 동일한 패키지에서 제공하는 새로운 ipa-client-samba 유틸리티는 Samba별 Kerberos 서비스 주체를 IdM에 추가하고 IdM 클라이언트를 준비합니다. 예를 들어 유틸리티는 sss ID 매핑 백엔드에 대한 ID 매핑 구성을 사용하여 /etc/samba/smb.conf 를 만듭니다. 결과적으로 관리자가 IdM 도메인 멤버에 Samba를 설정할 수 있습니다.

IdM Trust 컨트롤러가 글로벌 카탈로그 서비스를 지원하지 않기 때문에 AD-Enrolled Windows 호스트는 Windows에서 IdM 사용자 및 그룹을 찾을 수 없습니다. 또한 IdM Trust 컨트롤러는 분산 컴퓨팅 환경 / DCE/RPC(원격 프로시저 호출) 프로토콜을 사용하여 IdM 그룹 확인을 지원하지 않습니다. 결과적으로 AD 사용자는 IdM 클라이언트의 Samba 공유 및 프린터에만 액세스할 수 있습니다.

자세한 내용은 IdM 도메인 멤버에서 Samba 설정을 참조하십시오.

(JIRA:RHELPLAN-13195)

NVMe/TCP를 기술 프리뷰로 사용 가능

TCP/IP 네트워크(NVMe/TCP)를 통한 NVMe(Nonvolatile Memory Express) 스토리지 액세스 및 공유 및 해당 nvme-tcp.konvmet-tcp.ko 커널 모듈이 기술 프리뷰로 추가되었습니다.

NVMe/TCP를 스토리지 클라이언트 또는 대상으로 사용하는 것은 nvme-cli 및 nvm etcli 패키지에서 제공하는 툴을 사용하여 관리할 수 있습니다.

NVMe/TCP 대상 기술 프리뷰는 테스트 목적으로만 포함되며 현재는 완전 지원을 위해 계획되어 있지 않습니다.

(BZ#1696451)

8.5. 고가용성 및 클러스터

Pacemaker podman 번들을 기술 프리뷰로 이용 가능

이제 Pacemaker 컨테이너 번들이 기술 프리뷰로 사용 가능한 컨테이너 번들 기능과 함께 Podman에서 실행됩니다. 이 기능에는 기술 프리뷰가 한 가지 예외가 있습니다. Red Hat은 Red Hat Openstack을 위한 Pacemaker 번들 사용을 완전히 지원합니다.

(BZ#1619620)

corosync-qdevice 의 추론을 기술 프리뷰로 사용 가능

복구는 시작 시 로컬로 실행되는 명령 집합, 클러스터 멤버십 변경, 성공적으로 연결되고 corosync-qnetd 에 연결되며 선택적으로 주기적으로 실행됩니다. 모든 명령이 시간에 성공적으로 완료되면(반환 오류 코드가 0임) 추론이 전달되고, 그렇지 않으면 실패합니다. 추론 결과는 corosync-qnetd 로 전송됩니다. 여기서 어떤 파티션을 정족수로 결정하기 위해 계산에 사용됩니다.

(BZ#1784200)

새로운 fence-agents-heuristics-ping 펜스 에이전트

Pacemaker는 기술 프리뷰로 fence_heuristics_ping 에이전트를 지원합니다. 이 에이전트는 자체적으로 실제 펜싱을 수행하지 않고 새로운 방식으로 펜싱 수준의 동작을 활용하는 실험적 펜스 에이전트 클래스를 여는 것을 목표로 합니다.

복구 에이전트가 실제 펜싱을 수행하지만 순서대로 구성되기 전에 펜싱을 구성하는 펜스 에이전트와 동일한 펜싱 수준에서 구성된 경우 펜싱은 펜싱을 수행하는 에이전트에서 복구 에이전트에서 끄기 조치를 수행합니다. 복구 에이전트가 off 조치에 대해 부정적인 결과를 제공하는 경우 펜싱 수준이 성공하지 않을 것으로 이미 명확하여 Pacemaker 펜싱에서 펜싱을 수행하는 에이전트에서 off 조치를 건너뛰는 단계를 건너뜁니다. 복구 에이전트는 이 동작을 악용하여 실제 펜싱이 특정 조건에서 노드를 펜싱하지 못하도록 할 수 있습니다.

사용자가 이 에이전트(특히 2-노드 클러스터에서)를 사용하기를 원할 수 있습니다. 이전에 알 수 있는 경우 노드가 피어를 펜싱하는 것이 적절하지 않을 수 있습니다. 예를 들어, 네트워킹 업링크에 도달하는 데 문제가 있는 경우 노드에서 서비스를 인계받는 것이 적절하지 않을 수 있으며, 이러한 경우 라우터에 대한 ping이 탐지될 수 있는 클라이언트에서 서비스에 연결할 수 없습니다.

(BZ#1775847)

기술 프리뷰로 사용 가능한 리소스 이동 후 위치 제한 조건 자동 제거

pcs resource move 명령을 실행하면 현재 실행 중인 노드에서 실행되지 않도록 리소스에 제한 조건이 추가됩니다. pcs resource move 명령의 새로운 --autodelete 옵션을 이제 기술 프리뷰로 사용할 수 있습니다. 이 옵션을 지정하면 리소스가 이동되면 명령이 생성하는 위치 제한 조건이 자동으로 제거됩니다.

(BZ#1847102)

8.6. IdM (Identity Management)

ID 관리 JSON-RPC API를 기술 프리뷰로 사용 가능

IdM(Identity Management)에 API를 사용할 수 있습니다. IdM은 API를 보기 위해 API 브라우저를 기술 프리뷰로 제공합니다.

이전에는 여러 버전의 API 명령을 활성화하도록 IdM API가 개선되었습니다. 이러한 개선 사항은 명령의 동작을 호환되지 않는 방식으로 변경할 수 있습니다. 이제 IdM API가 변경되더라도 사용자가 기존 툴 및 스크립트를 계속 사용할 수 있습니다. 이를 통해 다음을 수행할 수 있습니다.

  • 관리자는 관리 클라이언트보다 이전 버전 이상의 IdM을 사용합니다.
  • 서버에서 IdM 버전이 변경되더라도 개발자는 특정 버전의 IdM 호출을 사용할 수 있습니다.

모든 경우에 한 쪽이 사용하더라도 서버 간 통신이 가능합니다(예: 기능에 대한 새로운 옵션을 도입하는 최신 버전).

API 사용에 대한 자세한 내용은 IdM 서버와 커밋하기 위해 ID 관리 API 사용을 참조하십시오(기술 PREVIEW). https://access.redhat.com/articles/2728021

(BZ#1664719)

IdM에서 DNSSEC 사용 가능

통합된 DNS가 있는 IdM(Identity Management) 서버는 DNS 프로토콜의 보안을 강화하는 DNS로의 확장 기능 세트인 DNSSEC(DNS Security Extensions)를 지원합니다. IdM 서버에서 호스팅되는 DNS 영역은 DNSSEC를 사용하여 자동으로 서명할 수 있습니다. 암호화 키는 자동으로 생성되고 순환됩니다.

DNSSEC를 사용하여 DNS 영역을 보안하기로 결정한 사용자는 다음 문서를 읽고 따르는 것이 좋습니다.

통합된 DNS가 있는 IdM 서버는 DNSSEC를 사용하여 다른 DNS 서버에서 얻은 DNS 응답을 확인합니다. 이는 권장 명명 방식에 따라 구성되지 않은 DNS 영역의 가용성에 영향을 줄 수 있습니다.

(BZ#1664718)

ACME를 기술 프리뷰로 이용 가능

이제 ACME(Automd Certificate Management Environment) 서비스를 기술 프리뷰로 IdM(Identity Management)에서 사용할 수 있습니다. ACME는 자동화된 식별자 검증 및 인증서 발급을 위한 프로토콜입니다. 이 목표는 인증서의 수명을 줄이고 인증서 라이프사이클 관리로부터 수동 프로세스를 방지하여 보안을 강화하는 것입니다.

RHEL에서 ACME 서비스는 RHCS(Red Hat Certificate System) PKI ACME 응답자를 사용합니다. RHCS ACME 하위 시스템은 IdM 배포의 모든 CA(인증 기관) 서버에 자동으로 배포되지만 관리자가 요청을 활성화할 때까지 서비스 요청은 서비스하지 않습니다. RHCS는 ACME 인증서를 발급할 때 acmeIPAServerCert 프로필을 사용합니다. 발급한 인증서의 유효 기간은 90일입니다. ACME 서비스를 활성화하거나 비활성화하면 전체 IdM 배포에 영향을 줍니다.

중요

모든 서버가 RHEL 8.4 이상을 실행하는 IdM 배포에서만 ACME를 활성화하는 것이 좋습니다. 이전 RHEL 버전에는 ACME 서비스가 포함되지 않으므로 혼합 버전 배포에서 문제가 발생할 수 있습니다. 예를 들어 ACME가 없는 CA 서버는 다른 SAN(DNS 주체 대체 이름)을 사용하므로 클라이언트 연결이 실패할 수 있습니다.

주의

현재 RHCS는 만료된 인증서를 제거하지 않습니다. ACME 인증서는 90일 후에 만료되므로 만료된 인증서가 누적되어 성능에 영향을 줄 수 있습니다.

  • 전체 IdM 배포에서 ACME를 활성화하려면 ipa-acme-manage enable 명령을 사용합니다.

    # ipa-acme-manage enable
    The ipa-acme-manage command was successful
  • 전체 IdM 배포에서 ACME를 비활성화하려면 ipa-acme-manage disable 명령을 사용합니다.

    # ipa-acme-manage disable
    The ipa-acme-manage command was successful
  • ACME 서비스가 설치되어 있고 활성화 또는 비활성화되었는지 확인하려면 ipa-acme-manage status 명령을 사용합니다.

    # ipa-acme-manage status
    ACME is enabled
    The ipa-acme-manage command was successful

(JIRA:RHELPLAN-58596)

8.7. 데스크탑

64비트 ARM 아키텍처용 GNOME을 기술 프리뷰로 사용 가능

이제 64비트 ARM 아키텍처에서 기술 프리뷰로 GNOME 데스크탑 환경을 사용할 수 있습니다. 이를 통해 관리자는 VNC 세션을 사용하여 원격으로 GUI(그래픽 사용자 인터페이스)에서 서버를 구성하고 관리할 수 있습니다.

결과적으로 64비트 ARM 아키텍처에서 새 관리 애플리케이션을 사용할 수 있습니다. 예를 들면 다음과 같습니다. 디스크 사용 분석기 (baobab), 방화벽 구성 (firewall-config), Red Hat 서브스크립션 관리자 (subscription-manager) 또는 Firefox 웹 브라우저. 관리자는 Firefox 를 사용하여 로컬 Cockpit 데몬에 원격으로 연결할 수 있습니다.

(JIRA:RHELPLAN-27394, BZ#1667225, BZ#1667516, BZ#1724302)

IBM Z의 GNOME 데스크탑은 기술 프리뷰로 사용 가능

Firefox 웹 브라우저를 포함한 GNOME 데스크탑은 이제 IBM Z 아키텍처에서 기술 프리뷰로 사용할 수 있습니다. 이제 VNC를 사용하여 IBM Z 서버를 구성하고 관리하기 위해 GNOME을 실행하는 원격 그래픽 세션에 연결할 수 있습니다.

(JIRA:RHELPLAN-27737)

8.8. 그래픽 인프라

VNC 원격 콘솔은 64비트 ARM 아키텍처에 대한 기술 프리뷰로 사용 가능

64비트 ARM 아키텍처에서 VNC(Virtual Network Computing) 원격 콘솔은 기술 프리뷰로 사용할 수 있습니다. 나머지 그래픽 스택은 현재 64비트 ARM 아키텍처에 대해 확인되지 않습니다.

(BZ#1698565)

8.9. Red Hat Enterprise Linux 시스템 역할

HA Cluster RHEL 시스템 역할을 기술 프리뷰로 사용 가능

HA(고가용성 클러스터) 역할은 이제 기술 프리뷰로 사용할 수 있습니다. 현재 다음과 같은 주요 설정을 사용할 수 있습니다.

  • 메타 속성 및 리소스 작업을 포함한 노드, 펜스 장치, 리소스 그룹, 리소스 복제본 구성
  • 클러스터 속성 구성
  • 다중 링크 클러스터 구성
  • 사용자 정의 클러스터 이름 및 노드 이름 구성
  • 부팅 시 클러스터가 자동으로 시작되도록 구성
  • 기본 corosync 클러스터 및 pacemaker 클러스터 속성, stonith 및 리소스 구성.

ha_cluster 시스템 역할은 현재 제한 조건을 지원하지 않습니다. 제약 조건을 수동으로 구성한 후 역할과 역할에서 지원하지 않는 구성이 제거됩니다.

ha_cluster 시스템 역할은 현재 SBD를 지원하지 않습니다.

(BZ#1893743, BZ#1978726)

8.10. 가상화

KVM 가상 머신용 AMD SEV 및 SEV-ES

RHEL 8은 KVM 하이퍼바이저를 사용하는 AMD EPYC 호스트 시스템을 위한 SEV(Secure Encrypted Virtualization) 기능을 기술 프리뷰로 제공합니다. VM(가상 시스템)에서 활성화되는 경우 SEV는 VM의 메모리를 암호화하여 호스트의 VM이 액세스하지 못하도록 보호합니다. 그러면 VM의 보안이 강화됩니다.

또한 강화된 SEV(SEV-ES) 버전도 기술 프리뷰로 제공됩니다. SEV-ES는 VM 실행을 중지하면 모든 CPU 레지스터 콘텐츠를 암호화합니다. 이렇게 하면 호스트에서 VM의 CPU 레지스터를 수정하거나 해당 호스트에서 정보를 읽지 못합니다.

SEV 및 SEV-ES는 2세대 AMD EPYC CPU(코드명:) 이상에서만 작동합니다. 또한 RHEL 8에는 SEV 및 SEV-ES 암호화가 포함되지만 SEV 및 SEV-ES 보안 인증은 포함되어 있지 않습니다.

(BZ#1501618, BZ#1501607, JIRA:RHELPLAN-7677)

Intel vGPU

이제 기술 프리뷰로 물리적 Intel GPU 장치를 중재 장치라고 하는 여러 가상 장치로 나눌 수 있습니다. 그런 다음 이러한 중재된 장치를 여러 VM(가상 머신)에 가상 GPU로 할당할 수 있습니다. 결과적으로 이러한 VM은 단일 물리적 Intel GPU의 성능을 공유합니다.

선택한 Intel GPU만 vGPU 기능과 호환됩니다.

또한 Intel vGPU에서 작동하는 VNC 콘솔을 활성화할 수 있습니다. 사용자는 VM의 VNC 콘솔에 연결하여 Intel vGPU에서 호스팅하는 VM의 데스크탑을 확인할 수 있습니다. 그러나 현재 이 기능은 RHEL 게스트 운영 체제에서만 작동합니다.

(BZ#1528684)

중첩된 가상 머신 생성

중첩된 KVM 가상화는 RHEL 8을 사용하여 Intel, AMD64 및 IBM Z 시스템 호스트에서 실행되는 KVM 가상 시스템(VM)을 위한 기술 프리뷰로 제공됩니다. 이 기능을 사용하면 물리적 RHEL 8 호스트에서 실행되는 RHEL 7 또는 RHEL 8 VM이 하이퍼바이저 역할을 하며 고유한 VM을 호스팅할 수 있습니다.

(JIRA:RHELPLAN-14047, JIRA:RHELPLAN-24437)

Intel 네트워크 어댑터가 Hyper-V의 RHEL 게스트에서 SR-IOV 지원

Hyper-V 하이퍼바이저에서 실행되는 Red Hat Enterprise Linux 게스트 운영 체제는 이제 ixgbevf 및 iavf 드라이버에서 지원하는 Intel 네트워크 어댑터에 SR-IOV(Single-root I/O Virtualization) 기능을 사용할 수 있습니다. 이 기능은 다음 조건이 충족되면 활성화됩니다.

  • NIC(네트워크 인터페이스 컨트롤러)에 SR-IOV 지원이 활성화됨
  • 가상 NIC에 대해 SR-IOV 지원이 활성화됨
  • 가상 스위치에 SR-IOV 지원이 활성화됨
  • NIC의 VF(가상 기능)가 가상 머신에 연결되어 있습니다.

이 기능은 현재 Microsoft Windows Server 2019 및 2016에서 지원됩니다.

(BZ#1348508)

ESXi 하이퍼바이저 및 SEV-ES는 RHEL VM의 기술 프리뷰로 사용 가능

RHEL 8.4 이상에서는 기술 프리뷰로 AMD Secure Encrypted Virtualization-Encrypted State (SEV-ES)를 활성화하여 VMware의 ESXi 하이퍼바이저 버전 7.0.2 이상에서 RHEL 가상 시스템(VM)을 보호할 수 있습니다.

(BZ#1904496)

virtiofs를 사용하여 호스트와 VM 간 파일 공유

RHEL 8은 기술 프리뷰로 이제 virtio 파일 시스템(virtiofs)을 제공합니다. virtiofs 를 사용하면 호스트 시스템과 해당 VM(가상 시스템) 간에 파일을 효율적으로 공유할 수 있습니다.

(BZ#1741615)

RHEL 8 Hyper-V 가상 머신에서 KVM 가상화 사용 가능

이제 Microsoft Hyper-V 하이퍼바이저에서 중첩된 KVM 가상화를 기술 프리뷰로 사용할 수 있습니다. 결과적으로 Hyper-V 호스트에서 실행 중인 RHEL 8 게스트 시스템에 가상 머신을 생성할 수 있습니다.

현재 이 기능은 Intel 및 AMD 시스템에서만 작동합니다. 또한 중첩된 가상화는 Hyper-V에서 기본적으로 활성화되어 있지 않은 경우도 있습니다. 이를 활성화하려면 다음 Microsoft 문서를 참조하십시오.

https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/user-guide/nested-virtualization

(BZ#1519039)

8.11. 컨테이너

Toolbox는 기술 프리뷰로 사용 가능

이전에는 툴박스 유틸리티가 RHEL CoreOS github.com/coreos/toolbox를 기반으로 했습니다. 이번 릴리스에서는 Toolbox가 github.com/containers/toolbox로 교체되었습니다.

(JIRA:RHELPLAN-77238)

9장. 사용되지 않는 기능

이 부분에서는 Red Hat Enterprise Linux 8에서 더 이상 사용되지 않는 기능에 대해 설명합니다.

사용되지 않는 기능은 이 제품의 향후 주요 릴리스에서 지원되지 않을 가능성이 높으며 새로운 배포에 구현하는 것은 권장되지 않습니다. 특정 주요 릴리스 내에서 더 이상 사용되지 않는 기능의 최신 목록은 최신 릴리스 노트를 참조하십시오.

더 이상 사용되지 않는 기능의 지원 상태는 Red Hat Enterprise Linux 8에서는 변경되지 않습니다. 지원 기간에 대한 자세한 내용은 Red Hat Enterprise Linux 라이프 사이클Red Hat Enterprise Linux Application Streams 라이프 사이클을 참조하십시오.

사용되지 않는 하드웨어 구성 요소는 현재 또는 향후 주요 릴리스의 새로운 배포에 구현하는 것을 권장하지 않습니다. 하드웨어 드라이버 업데이트는 보안 및 중요 수정 사항으로만 제한됩니다. Red Hat은 최대한 빠른 시일 내에 이 하드웨어를 교체할 것을 권장합니다.

패키지가 더 이상 사용되지 않으며 향후 사용이 권장되지 않는 경우가 있습니다. 경우에 따라 패키지가 제품에서 삭제될 수 있습니다. 제품 설명서에 더 이상 사용되지 않는 기능과 유사 또는 동일하거나 보다 고급 기능을 제공하는 최근 패키지가 지정된 권장 사항이 기재됩니다.

RHEL 7에 있지만 RHEL 8에서 제거된 기능에 관한 자세한 내용은 RHEL 8 채택 고려 사항을 참조하십시오.

9.1. 설치 프로그램 및 이미지 생성

몇 가지 Kickstart 명령 및 옵션이 더 이상 사용되지 않음

RHEL 8 Kickstart 파일에서 다음 명령과 옵션을 사용하면 로그에 경고가 표시됩니다.

  • auth 또는 authconfig
  • device
  • deviceprobe
  • dmraid
  • install
  • lilo
  • lilocheck
  • 마우스
  • 다중 경로
  • bootloader --upgrade
  • ignoredisk --interactive
  • 파티션 --active
  • reboot --kexec

특정 옵션만 나열되는 경우 기본 명령 및 해당 기타 옵션은 계속 사용할 수 있으며 더 이상 사용되지 않습니다.

Kickstart에 대한 자세한 내용 및 관련 변경 사항은 RHEL 8 채택 시 고려 사항의 Kickstart 변경 섹션을 참조하십시오.

(BZ#1642765)

ignoredisk Kickstart 명령의 --interactive 옵션이 더 이상 사용되지 않음

Red Hat Enterprise Linux의 향후 릴리스에서 --interactive option을 사용하면 치명적인 설치 오류가 발생합니다. 옵션을 제거하려면 Kickstart 파일을 수정하는 것이 좋습니다.

(BZ#1637872)

Kickstart autostep 명령이 더 이상 사용되지 않음

autostep 명령은 더 이상 사용되지 않습니다. 이 명령에 대한 관련 섹션은 RHEL 8 설명서에서 제거되었습니다.

(BZ#1904251)

이미지 빌더의 lorax-composer 백엔드는 RHEL 8에서 더 이상 사용되지 않습니다.

Image Builder의 lorax-composer 백엔드는 더 이상 사용되지 않는 것으로 간주됩니다. 나머지 Red Hat Enterprise Linux 8 라이프사이클 동안에는 선택된 수정 사항만 제공되며 향후 주요 릴리스에서는 생략됩니다.  대신 lorax-composer 를 제거하고 osbuild-composer 백엔드를 설치하는 것이 좋습니다.

자세한 내용은 사용자 지정 RHEL 시스템 이미지 구성을 참조하십시오.

(BZ#1893767)

9.2. 소프트웨어 관리

rpmbuild --sign 이 더 이상 사용되지 않음

이번 업데이트를 통해 rpmbuild --sign 명령이 더 이상 사용되지 않습니다. Red Hat Enterprise Linux의 향후 릴리스에서 이 명령을 사용하면 오류가 발생할 수 있습니다. 대신 rpmsign 명령을 사용하는 것이 좋습니다.

(BZ#1688849)

9.3. 쉘 및 명령행 툴

OpenEXR 구성 요소가 더 이상 사용되지 않음

OpenEXR 구성 요소는 더 이상 사용되지 않습니다. 따라서 EXR 이미지 형식에 대한 지원이 imagecodecs 모듈에서 삭제되었습니다.

(BZ#1886310)

dump 패키지의 덤프 유틸리티가 더 이상 사용되지 않음

파일 시스템 백업에 사용되는 덤프 유틸리티는 더 이상 사용되지 않으며 RHEL 9에서는 사용할 수 없습니다.

RHEL 9에서 Red Hat은 사용 유형에 따라 bacula,tar 또는 dd 백업 유틸리티를 사용하여 ext2, ext3 및 ext4 파일 시스템에서 전체 백업을 제공하는 것이 좋습니다.

dump 패키지의 복원 유틸리티는 RHEL 9에서 계속 사용할 수 있으며 복원 패키지로 사용할 수 있습니다.

(BZ#1997366)

RHEL 8 systemd에서는 hidepid=n 마운트 옵션이 지원되지 않습니다.

/proc/[pid] 디렉터리에서 정보에 액세스할 수 있는 사용자를 제어하는 mount 옵션 hidepid=n 은 RHEL 8에서 제공되는 systemd 인프라와 호환되지 않습니다.

또한 이 옵션을 사용하면 systemd 에서 시작한 특정 서비스가 SELinux AVC 거부 메시지를 생성하고 다른 작업이 완료되지 않도록 할 수 있습니다.

자세한 내용은 RHEL7 및 RHEL8에서 권장 "hidepid=2"를 사용하여 /proc 마운트 에 대한 자세한 내용을 참조하십시오.

(BZ#2038929)

9.4. 보안

NSS SEED 암호가 더 이상 사용되지 않음

Mozilla Network Security Services(NSS) 라이브러리는 향후 릴리스에서 SEED 암호를 사용하는 TLS 암호화 제품군을 지원하지 않습니다. NSS에서 지원을 제거할 때 SEED 암호를 사용하는 배포를 원활하게 전환하려면 다른 암호화 제품군에 대한 지원을 활성화하는 것이 좋습니다.

SEED 암호는 RHEL;에서 기본적으로 비활성화되어 있습니다.

(BZ#1817533)

TLS 1.0 및 TLS 1.1이 더 이상 사용되지 않음

TLS 1.0 및 TLS 1.1 프로토콜은 DEFAULT 시스템 전체 암호화 정책 수준에서 비활성화됩니다. 예를 들어 Firefox 웹 브라우저에서 비디오 회의 애플리케이션을 시나리오에 사용해야 하는 경우 더 이상 사용되지 않는 프로토콜을 사용해야 하는 경우 시스템 전체 암호화 정책을 LEGACY 수준으로 전환합니다.

# update-crypto-policies --set LEGACY

자세한 내용은 RHEL 8의 powerful crypto defaults 및 Red Hat Customer Portal의 약한 암호화 알고리즘 지식 베이스 문서 및 update-crypto-policies(8) 도움말 페이지를 참조하십시오.

(BZ#1660839)

RHEL 8에서 DSA 사용 중단

Red Hat Enterprise Linux 8에서는 DSA(Digital Signature Algorithm)가 더 이상 사용되지 않습니다. DSA 키에 의존하는 인증 메커니즘은 기본 구성에서 작동하지 않습니다. OpenSSH 클라이언트는 LEGACY 시스템 전체 암호화 정책 수준에서도 DSA 호스트 키를 허용하지 않습니다.

(BZ#1646541)

SSL2 Client HelloNSS에서 더 이상 사용되지 않음

TLS(Transport Layer Security) 프로토콜 버전 1.2 이전의 SSL(Secure Sockets Layer) 프로토콜 버전 2와 역호환되는 방식으로 서식이 지정된 Client Hello 메시지와 협상을 시작할 수 있습니다. NSS(Network Security Services) 라이브러리에서 이 기능에 대한 지원은 더 이상 사용되지 않으며 기본적으로 비활성화되어 있습니다.

이 기능에 대한 지원이 필요한 애플리케이션은 새로운 SSL_ENABLE_V2_COMPATIBLE_HELLO API를 사용하여 활성화해야 합니다. 이 기능에 대한 지원은 Red Hat Enterprise Linux 8의 이후 릴리스에서 완전히 삭제될 수 있습니다.

(BZ#1645153)

TPM 1.2가 더 이상 사용되지 않음

TPM(신뢰할 수 있는 플랫폼 모듈) 보안 암호화 프로세서 표준 버전이 2016년 버전 2.0으로 업데이트되었습니다. TPM 2.0은 TPM 1.2보다 많은 개선 사항을 제공하며 이전 버전과는 역호환되지 않습니다. RHEL 8에서는 TPM 1.2가 더 이상 사용되지 않으며 다음 주요 릴리스에서 제거될 수 있습니다.

(BZ#1657927)

crypto-policies 파생 속성이 더 이상 사용되지 않음

사용자 지정 정책에 crypto-policies 지시문에 대한 범위를 도입하면서 tls_cipher, ssh_cipher,ssh_ group,ike_ protocol 및 sha1_in_ dnssec 등 파생된 속성은 더 이상 사용되지 않습니다. 또한 범위를 지정하지 않고 protocol 속성의 사용은 더 이상 사용되지 않습니다. 권장되는 대체 사항은 crypto-policies(7) 도움말 페이지를 참조하십시오.

(BZ#2011208)

/etc/selinux/config 를 사용하여 SELinux를 비활성화하는 런타임이 더 이상 사용되지 않음

/etc/selinux/config 파일에서 SELINUX=disabled 옵션을 사용하여 SELinux를 비활성화하는 런타임은 더 이상 사용되지 않습니다. RHEL 9에서 /etc/selinux/config 를 통해서만 SELinux를 비활성화하면 SELinux가 활성화된 상태로 시작되지만 정책이 로드되지 않습니다.

시나리오에서 SELinux를 완전히 비활성화해야 하는 경우 Red Hat은 SELinux 제목 사용의 부팅 시 SELinux 모드 변경 섹션에 설명된 대로 커널 명령줄에 selinux=0 매개 변수를 추가하여 SELinux 비활성화를 권장합니다.

(BZ#1932222)

ipa SELinux 모듈이 selinux-policy에서 제거됨

ipa SELinux 모듈은 더 이상 유지 관리되지 않으므로 selinux-policy 패키지에서 제거되었습니다. 이제 이 기능이 ipa-selinux 하위 패키지에 포함됩니다.

시나리오에서 로컬 SELinux 정책의 ipa 모듈의 유형 또는 인터페이스를 사용해야 하는 경우 ipa-selinux 패키지를 설치합니다.

(BZ#1461914)

9.5. 네트워킹

RHEL 8에서 네트워크 스크립트가 더 이상 사용되지 않음

네트워크 스크립트가 Red Hat Enterprise Linux 8에서 더 이상 사용되지 않으므로 이제 기본적으로 제공되지 않습니다. 기본 설치에서는 nmcli 도구를 통해 NetworkManager 서비스를 호출하는 ifupifdown 스크립트의 새 버전을 제공합니다. Red Hat Enterprise Linux 8에서 ifupifdown 스크립트를 실행하려면 NetworkManager를 실행해야 합니다.

/sbin/ifup-local, ifdown-pre-localifdown-local 스크립트에서 사용자 지정 명령이 실행되지 않습니다.

이러한 스크립트가 필요한 경우 다음 명령을 사용하여 시스템에서 더 이상 사용되지 않는 네트워크 스크립트를 설치할 수 있습니다.

~]# yum install network-scripts

ifupifdown 스크립트는 설치된 레거시 네트워크 스크립트에 연결됩니다.

레거시 네트워크 스크립트를 호출하면 사용 중단을 알리는 경고 메시지가 표시됩니다.

(BZ#1647725)

dropwatch 툴이 더 이상 사용되지 않음

dropwatch 툴이 더 이상 사용되지 않습니다. 툴은 향후 릴리스에서 지원되지 않으므로 새로운 배포에는 사용하지 않는 것이 좋습니다. Red Hat은 이 패키지를 대체하기 위해 perf 명령줄 도구를 사용하는 것을 권장합니다.

perf 명령줄 툴 사용에 대한 자세한 내용은 Red Hat 고객 포털의 Perf로 시작하기 섹션 또는 perf 도움말 페이지를 참조하십시오.

(BZ#1929173)

cgdcbxd 패키지는 더 이상 사용되지 않습니다.

컨트롤 그룹 데이터 센터 브리징 교환 데몬(cgdcbxd)은 DCB(데이터 센터 브리징) 넷링크 이벤트를 모니터링하고 net_prio 제어 그룹 하위 시스템을 관리하는 서비스입니다. RHEL 8.5부터 cgdcbxd 패키지는 더 이상 사용되지 않으며 다음 주요 RHEL 릴리스에서 제거됩니다.

(BZ#2006665)

xinetd 서비스가 더 이상 사용되지 않음

xinetd 서비스는 더 이상 사용되지 않으며 RHEL 9에서 제거될 예정입니다. 대체 방법으로 systemd 를 사용합니다. 자세한 내용은 xinetd 서비스를 systemd로 변환하는 방법을 참조하십시오.

(BZ#2009113)

9.6. 커널

커널 라이브 패칭에서 모든 RHEL 마이너 릴리스를 지원합니다.

RHEL 8.1부터 커널 라이브 패치는 심각 및 중요한 CVE(Common Vulnerabilities and Exposures)를 해결하기 위해 EUS(Extended Update Support) 정책에 따라 적용되는 일부 RHEL의 마이너 릴리스 스트림에 대해 커널 라이브 패치가 제공되었습니다. 동시에 적용되는 최대 커널 및 사용 사례를 수용하려면 커널의 마이너, 메이저 및 zStream 버전마다 각 라이브 패치에 대한 지원 기간이 12개월에서 6개월로 줄어듭니다. 이는 커널 라이브 패치가 릴리스되는 날, 지난 6개월 동안 제공되는 모든 업데이트 릴리스 및 예약된 에라타 커널에 대해 다룹니다. 예를 들어 8.4.x의 지원 기간은 1년이지만 8.4.x+1은 6개월입니다.

이 기능에 대한 자세한 내용은 커널 라이브 패칭으로 패치 적용을 참조하십시오.

사용 가능한 커널 라이브 패치에 대한 자세한 내용은 커널 라이브 패치 라이프 사이클을 참조하십시오.

(BZ#1958250)

디스크리스 부팅을 사용하여 실시간 8용 RHEL 설치는 더 이상 사용되지 않음

디스크리스 부팅을 사용하면 여러 시스템에서 네트워크를 통해 루트 파일 시스템을 공유할 수 있습니다. 편리한 디스크 없는 부팅은 실시간 워크로드에서 네트워크 대기 시간을 도입하기 쉽습니다. 향후 RHEL for Real Time 8의 마이너 업데이트에서는 더 이상 디스크리스 부팅 기능이 지원되지 않습니다.

(BZ#1748980)

Linux firewire 하위 시스템 및 관련 사용자 공간 구성 요소는 RHEL 8에서 더 이상 사용되지 않음

firewire 하위 시스템은 IEEE 1394 버스의 모든 리소스를 사용하고 유지 관리할 수 있는 인터페이스를 제공합니다. RHEL 9에서 firewire커널 패키지에서 더 이상 지원되지 않습니다. firewire 에는 libavc1394,libdc1394,libraw1394 패키지에서 제공하는 여러 사용자 공간 구성 요소가 포함되어 있습니다. 이러한 패키지도 사용 중단의 영향을 받습니다.

(BZ#1871863)

The rdma_rxe soft -RoCE 드라이버는 더 이상 사용되지 않습니다.

소프트웨어 RXE(Remote Direct Memory Access over Converged Ethernet)는 RDMA(Remote Direct Memory Access)를 에뮬레이션하는 기능입니다. RHEL 8에서는 soft-RoCE 기능은 지원되지 않는 기술 프리뷰로 사용할 수 있습니다. 그러나 안정성 문제로 인해 이 기능은 더 이상 사용되지 않으며 RHEL 9에서 제거됩니다.

(BZ#1878207)

9.7. 파일 시스템 및 스토리지

비동기 이외의 VDO 쓰기 모드는 더 이상 사용되지 않음

VDO는 RHEL 8에서 여러 쓰기 모드를 지원합니다.

  • sync
  • async
  • async-unsafe
  • auto

RHEL 8.4부터 다음 쓰기 모드가 더 이상 사용되지 않습니다.

sync
VDO 계층 위의 장치는 VDO가 동기 상태인지 인식할 수 없으므로 장치는 VDO 동기화 모드를 활용할 수 없습니다.
async-unsafe
VDO는 Atomicity, Consistency, Isolation, Durability(ACID)를 준수하는 비동기 모드의 성능을 줄이기 위한 해결 방법으로 이 쓰기 모드를 추가했습니다. Red Hat은 대부분의 사용 사례에 대해 async-unsafe 를 권장하지 않으며 이를 사용하는 사용자를 인식하지 못합니다.
auto
이 쓰기 모드에서는 다른 쓰기 모드 중 하나만 선택합니다. VDO가 단일 쓰기 모드만 지원하는 경우에는 더 이상 필요하지 않습니다.

이러한 쓰기 모드는 향후 주요 RHEL 릴리스에서 제거됩니다.

이제 권장 VDO 쓰기 모드가 async 가 됩니다.

VDO 쓰기 모드에 대한 자세한 내용은 Selecting a VDO write mode 를 참조하십시오.

(JIRA:RHELPLAN-70700)

UDP를 통한 NFSv3이 비활성화

NFS 서버는 기본적으로 더 이상 UDP(User Datagram Protocol) 소켓을 열거나 수신하지 않습니다. 버전 4는 TCP(Transmission Control Protocol)가 필요하기 때문에 이 변경은 NFS 버전 3에만 영향을 미칩니다.

RHEL 8에서는 UDP를 통한 NFS가 더 이상 지원되지 않습니다.

(BZ#1592011)

cramfs 가 더 이상 사용되지 않음

사용자가 부족하기 때문에 cramfs 커널 모듈이 더 이상 사용되지 않습니다. 대체 솔루션으로 squashfs 를 사용하는 것이 좋습니다.

(BZ#1794513)

VDO 관리자가 더 이상 사용되지 않음

python 기반 VDO 관리 소프트웨어는 더 이상 사용되지 않으며 RHEL 9에서 제거됩니다. RHEL 9에서는 LVM-VDO 통합으로 대체됩니다. 따라서 lvcreate 명령을 사용하여 VDO 볼륨을 생성하는 것이 좋습니다.

VDO 관리 소프트웨어를 사용하여 만든 기존 볼륨은 lvm2 패키지에서 제공하는 /usr/sbin/lvm_import_vdo 스크립트를 사용하여 변환할 수 있습니다. LVM-VDO 구현에 대한 자세한 내용은 LVM에서 VDO 소개를 참조하십시오.

(BZ#1949163)

종료된 커널 명령줄 매개변수는 더 이상 사용되지 않습니다.

이전 RHEL 릴리스에서는 모든 장치에 대한 디스크 스케줄러를 설정하는 데 종료된 커널 명령줄 매개 변수가 사용되었습니다. RHEL 8에서는 매개 변수가 더 이상 사용되지 않습니다.

업스트림 Linux 커널은 구성요소 매개 변수에 대한 지원을 제거했지만 호환성을 위해 RHEL 8에서 계속 사용할 수 있습니다.

커널은 장치 유형에 따라 기본 디스크 스케줄러를 선택합니다. 일반적으로 최적의 설정입니다. 다른 스케줄러가 필요한 경우 udev 규칙 또는 Tuned 서비스를 사용하여 구성하는 것이 좋습니다. 선택한 장치와 일치하고 해당 장치에 대해서만 스케줄러를 전환합니다.

자세한 내용은 디스크 스케줄러 설정을 참조하십시오.

(BZ#1665295)

LVM 미러 가 더 이상 사용되지 않음

LVM 미러 세그먼트 유형이 더 이상 사용되지 않습니다. 미러 지원은 향후 RHEL의 주요 릴리스에서 제거될 예정입니다.

Red Hat은 미러 대신 세그먼트 유형이 raid1 인 LVM RAID 1 장치를 사용할 것을 권장합니다. raid1 세그먼트 유형은 기본 RAID 구성 유형이며 권장 솔루션으로 미러 를 바꿉니다.

미러 장치를 raid1 로 변환하려면 미러링된 LVM 장치를 RAID1 장치로 변환을 참조하십시오.

LVM 미러 에는 몇 가지 알려진 문제가 있습니다. 자세한 내용은 파일 시스템 및 스토리지의 알려진 문제를 참조하십시오.

(BZ#1827628)

peripety 는 더 이상 사용되지 않음

peripety 패키지는 RHEL 8.3 이후 더 이상 사용되지 않습니다.

Peripety 스토리지 이벤트 알림 데몬은 시스템 스토리지 로그를 구조화된 스토리지 이벤트에 구문 분석합니다. 스토리지 문제를 조사하는 데 도움이 됩니다.

(BZ#1871953)

9.8. 고가용성 및 클러스터

clcockter 툴을 지원하는 pcs 명령이 더 이상 사용되지 않음

클러스터 구성 형식을 분석하기 위해 cl cockter 툴을 지원하는 pcs 명령이 더 이상 사용되지 않습니다. 이제 명령이 더 이상 사용되지 않으며 이러한 명령과 관련된 섹션이 pcs help 디스플레이 및 pcs(8) 도움말 페이지에서 제거된다는 경고를 출력합니다.

다음 명령은 더 이상 사용되지 않습니다.

  • CMAN / RHEL6 HA 클러스터 구성을 가져오기 위한 pcs config import-cman
  • 클러스터 구성을 동일한 클러스터를 재생성하는 pcs config 내보내기 를 pcs 명령 목록으로 내보내기

(BZ#1851335)

9.9. 컴파일러 및 개발 도구

Libdwarf 가 더 이상 사용되지 않음

RHEL 8에서는 libdwarf 라이브러리가 더 이상 사용되지 않습니다. 라이브러리는 향후 주요 릴리스에서 지원되지 않을 가능성이 큽니다. 대신 ELF/DWARF 파일을 처리하려는 애플리케이션에 elfutilslibdw 라이브러리를 사용합니다.

libdwarf-tools dwarfdump 프로그램의 대안은 모두 --debug -dump 플래그를 전달하여 사용하는 binutils readelf 프로그램 또는 elfutils eu- readelf 프로그램입니다.

(BZ#1920624)

gdb.i686 패키지는 더 이상 사용되지 않습니다.

RHEL 8.1에서는 다른 패키지의 종속성 문제로 인해 32비트 버전의 GDB(GNU Debugger) gdb.i686 이 제공되었습니다. RHEL 8에서는 32비트 하드웨어를 지원하지 않으므로 RHEL 8.4 이후 gdb.i686 패키지는 더 이상 사용되지 않습니다. 64비트 버전의 GDB gdb.x86_64 는 32비트 애플리케이션을 디버깅할 수 있습니다.

gdb.i686 을 사용하는 경우 다음과 같은 중요한 문제를 확인합니다.

  • gdb.i686 패키지는 더 이상 업데이트되지 않습니다. 대신 gdb.x86_64 를 설치해야 합니다.
  • gdb.i686이 설치되어 있으면 gdb. x86_64를 설치하면 dnf패키지 gdb -8.2-14.el8.x86_64가 더 이상 사용되지 않습니다. gdb-8.2-12.el8.i686에서 제공하는 gdb <8.2-14.el8.el8.el8.i686. 이 동작은 다음과 같습니다. gdb.i686 을 제거하거나 dnf--allowerasing 옵션을 전달하여 gdb.i686 을 제거하고 gdb.x8_64 를 설치합니다.
  • 사용자는 더 이상 libc.so .6()(64비트) 패키지를 사용하는 64비트 시스템에 gdb. i686 패키지를 설치할 수 없습니다.

(BZ#1853140)

9.10. IdM (Identity Management)

OpenSSH-ldap 이 더 이상 사용되지 않음

openssh-ldap 하위 패키지는 Red Hat Enterprise Linux 8에서 더 이상 사용되지 않으며 RHEL 9에서 제거됩니다. openssh-ldap 하위 패키지가 업스트림에서 유지 관리되지 않으므로 Red Hat은 SSSD 및 sss_ssh_authorizedkeys 도우미를 사용할 것을 권장합니다. 이 도우미는 다른 IdM 솔루션과 더 잘 통합되고 더 안전합니다.

기본적으로 SSSD ldapipa 공급자는 사용 가능한 경우 사용자 오브젝트의 sshPublicKey LDAP 속성을 읽습니다. AD에는 공개 키를 저장할 기본 LDAP 특성이 없으므로 ad provider 또는 IdM 신뢰할 수 있는 도메인에 기본 SSSD 구성을 사용하여 AD(Active Directory)에서 SSH 공개 키를 검색할 수 없습니다.

sss_ssh_authorizedkeys 도우미가 SSSD에서 키를 가져올 수 있도록 하려면 sssd.conf 파일의 services 옵션에 ssh를 추가하여 ssh 응답자 를 활성화합니다. 자세한 내용은 sssd.conf(5) 도움말 페이지를 참조하십시오.

sshdsss_ssh_authorizedkeys 를 사용할 수 있도록 하려면 AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeysAuthorizedKeysCommandUser nobody 옵션에 sss_ ssh/sshd_config 파일에 설명된 대로 sss_ssh_authorizedkeys(1) 도움말 페이지를 추가합니다.

(BZ#1871025)

DES 및 3DES 암호화 유형이 제거되었습니다.

보안상의 이유로 RHEL 7 이후 기본적으로DES(데이터 암호화 표준) 알고리즘이 더 이상 사용되지 않고 비활성화되어 있습니다. 최근 Kerberos 패키지 리베이스를 변경하면서 단일DES(DES) 및 Triple-DES(3DES) 암호화 유형이 RHEL 8에서 제거되었습니다.

DES 또는 3DES 암호화만 사용하도록 서비스 또는 사용자를 구성한 경우 다음과 같은 서비스 중단이 발생할 수 있습니다.

  • Kerberos 인증 오류
  • 알 수 없는 enctype 암호화 오류
  • K/M(DESed-encrypted Database Master Keys)이 포함된 KDC(Kerberos Distribution Centers)가 시작되지 않습니다.

업그레이드를 준비하려면 다음 작업을 수행합니다.

  1. KDC가 krb5check 오픈소스 Python 스크립트와 함께 DES 또는 3DES 암호화를 사용하는지 확인하십시오. GitHub의 krb5check 를 참조하십시오.
  2. Kerberos 주체와 함께 DES 또는 3DES 암호화를 사용하는 경우 AES(Advanced Encryption Standard)와 같은 지원되는 암호화 유형으로 키를 다시 입력합니다. 재키징에 대한 지침은 MIT Kerberos 문서에서 DES를 폐기 하는 것을 참조하십시오.
  3. 업그레이드하기 전에 다음 Kerberos 옵션을 일시적으로 설정하여 DES 및 3DES에서 독립성을 테스트합니다.

    1. KDC의 /var/kerberos/krb5kdc/kdc.conf 에서 supported_enctypes 를 설정하고 des 또는 des 3 를 포함하지 마십시오.
    2. 모든 호스트에 대해 /etc/krb5.conf/etc/krb5.conf.d 의 모든 파일에 대해 allow_weak_cryptofalse로 설정합니다. 기본적으로 false입니다.
    3. 모든 호스트에 대해 /etc/krb5.conf/etc/krb5.conf.d 에 있는 모든 파일에 대해 allowed _enctypes,default_tgs_enctypesdefault_tkt_enctypes 를 설정하고 des 또는 des 3 을 포함하지 마십시오.
  4. 이전 단계에서 테스트 Kerberos 설정으로 서비스가 중단되지 않으면 해당 서비스를 제거하고 업그레이드합니다. 최신 Kerberos 패키지로 업그레이드한 후에는 이러한 설정이 필요하지 않습니다.

(BZ#1877991)

ctdb 서비스의 독립 실행형 사용이 더 이상 사용되지 않음

RHEL 8.4부터 고객은 다음 두 조건이 모두 적용되는 경우에만 ctdb 클러스터형 Samba 서비스를 사용하는 것이 좋습니다.

  • ctdb 서비스는 resource-agent ctdb 를 사용하여 pacemaker 리소스로 관리됩니다.
  • ctdb 서비스는 Red Hat Gluster Storage 제품 또는 GFS2 파일 시스템에서 제공하는 GlusterFS 파일 시스템을 포함하는 스토리지 볼륨을 사용합니다.

ctdb 서비스의 독립형 사용 사례는 더 이상 사용되지 않으며 차후 Red Hat Enterprise Linux 주요 릴리스에는 포함되지 않습니다. Samba 지원 정책에 대한 자세한 내용은 기술 자료 문서 RHEL 복구 스토리지 지원 정책 - ctdb 일반 정책을 참조하십시오.

(BZ#1916296)

WinSync를 통한 IdM과의 간접 AD 통합이 더 이상 사용되지 않음

WinSync는 다음과 같은 여러 기능 제한으로 인해 RHEL 8에서 더 이상 활발하게 개발되지 않습니다.

  • WinSync는 하나의 AD(Active Directory) 도메인만 지원합니다.
  • 암호 동기화를 수행하려면 AD Domain Controllers에 추가 소프트웨어를 설치해야 합니다.

더 나은 리소스 및 보안 분리 기능을 갖춘 보다 강력한 솔루션을 위해 Red Hat은 Active Directory와의 간접 통합을 위한 토대( cross-forest Trust )를 사용하는 것이 좋습니다. Indirect 통합 문서를 참조하십시오.

(JIRA:RHELPLAN-100400)

PDC 또는 BDC로 Samba 실행이 더 이상 사용되지 않음

관리자가 Samba를 PDC(기본 도메인 컨트롤러)로 실행하고 백업 도메인 컨트롤러(BDC)로 Samba를 실행할 수 있도록 하는 전통적인 도메인 컨트롤러 모드는 더 이상 사용되지 않습니다. 이러한 모드를 구성하는 코드 및 설정은 향후 Samba 릴리스에서 제거됩니다.

RHEL 8의 Samba 버전이 PDC 및 BDC 모드를 제공하는 한, Red Hat은 NT4 도메인을 지원하는 Windows 버전을 사용하는 기존 설치에서만 이러한 모드를 지원합니다. Red Hat은 새로운 Samba NT4 도메인을 설정하지 않는 것이 좋습니다. Microsoft 운영 체제는 Windows 7 및 Windows Server 2008 R2 이후의 경우 NT4 도메인을 지원하지 않기 때문입니다.

PDC를 사용하여 Linux 사용자만 인증하는 경우 RHEL 서브스크립션에 포함된 Red Hat IdM(Identity Management) 으로 마이그레이션하는 것이 좋습니다. 그러나 Windows 시스템을 IdM 도메인에 연결할 수는 없습니다. Red Hat은 백그라운드에서 사용하는 PDC 기능인 IdM을 계속 지원합니다.

Red Hat은 DB(AD 도메인 컨트롤러)로 Samba 실행을 지원하지 않습니다.

(BZ#1926114)

libwbclient 의 SSSD 버전이 제거되었습니다

RHEL 8.4에서는 libwbclient 패키지의 SSSD 구현이 더 이상 사용되지 않습니다. 최신 버전의 Samba와 함께 사용할 수 없으므로 이제 libwbclient 의 SSSD 구현이 제거되었습니다.

(BZ#1947671)

9.11. 데스크탑

libgnome-keyring 라이브러리가 더 이상 사용되지 않음

libgnome-keyring 은 업스트림에서 유지 관리되지 않으며 RHEL에 필요한 암호화 정책을 따르지 않으므로 libgnome-keyring 라이브러리는 lib secret 라이브러리를 대신하여 더 이상 사용되지 않습니다. 새로운 libsecret 라이브러리는 필요한 보안 표준을 따르는 교체입니다.

(BZ#1607766)

9.12. 그래픽 인프라

AGP 그래픽 카드는 더 이상 지원되지 않습니다.

AGP(Acccelerated Graphics Port) 버스를 사용하는 그래픽 카드는 Red Hat Enterprise Linux 8에서는 지원되지 않습니다. PCI-Express 버스를 사용하는 그래픽 카드를 권장되는 대체로 사용합니다.

(BZ#1569610)

motif가 더 이상 사용되지 않음

Motif 위젯 툴킷이 더 이상 사용되지 않습니다. 업스트림 Motif 커뮤니티의 개발이 비활성 상태입니다.

다음 Motif 패키지는 개발 및 디버깅 변형을 포함하여 더 이상 사용되지 않습니다.

  • motif
  • motif-static
  • openmotif
  • openmotif21
  • openmotif22

GTK 툴킷을 대체로 사용하는 것이 좋습니다. GTK는 보다 유지 관리가 가능하며 Motif에 비해 새로운 기능을 제공합니다.

(JIRA:RHELPLAN-98983)

9.13. 웹 콘솔

웹 콘솔에서 더 이상 불완전한 번역을 지원하지 않습니다

RHEL 웹 콘솔은 더 이상 콘솔의 번역 가능한 문자열의 50% 미만으로 사용할 수 있는 언어에 대한 번역을 제공하지 않습니다. 브라우저가 이러한 언어로 번역을 요청하는 경우 사용자 인터페이스는 대신 영어로 진행됩니다.

(BZ#1666722)

9.14. Red Hat Enterprise Linux 시스템 역할

geoipupdate 패키지가 더 이상 사용되지 않음

geoipupdate 패키지에는 타사 서브스크립션이 필요하며 독점 콘텐츠도 다운로드합니다. 따라서 geoipupdate 패키지는 더 이상 사용되지 않으며 다음 주요 RHEL 버전에서 제거됩니다.

(BZ#1874892)

9.15. 가상화

virsh iface-* 명령이 더 이상 사용되지 않음

virsh iface-startvirsh iface-destroy 와 같은 virsh iface-* 명령과 같은 virsh iface-* 명령은 더 이상 사용되지 않으며 RHEL의 향후 주요 버전에서 제거됩니다. 또한 이러한 명령은 구성 종속성으로 인해 자주 실패합니다.

따라서 호스트 네트워크 연결을 구성하고 관리하기 위해 virsh iface-* 명령을 사용하지 않는 것이 좋습니다. 대신 NetworkManager 프로그램과 관련 관리 애플리케이션(예: nmcli )을 사용합니다.

(BZ#1664592)

virt-manager가 더 이상 사용되지 않음

virt-manager라고도 하는 Virtual Machine Manager 애플리케이션은 더 이상 사용되지 않습니다. Cockpit 이라고도 하는 RHEL 웹 콘솔은 후속 릴리스에서 교체될 예정입니다. 따라서 GUI에서 가상화를 관리하기 위해 웹 콘솔을 사용하는 것이 좋습니다. 그러나 virt-manager 에서 사용할 수 있는 일부 기능은 RHEL 웹 콘솔에서 아직 사용할 수 없다는 점에 유의하십시오.

(JIRA:RHELPLAN-10304)

RHEL 8에서 가상 머신 스냅샷이 올바르게 지원되지 않음

가상 머신(VM) 스냅샷을 생성하는 현재 메커니즘이 안정적으로 작동하지 않기 때문에 더 이상 사용되지 않습니다. 따라서 RHEL 8에서 VM 스냅샷을 사용하지 않는 것이 좋습니다.

(BZ#1686057)

Cirrus VGA 가상 GPU 유형이 더 이상 사용되지 않음

향후 Red Hat Enterprise Linux에 대한 주요 업데이트가 있을 경우 KVM 가상 머신에서 Cirrus VGA GPU 장치가 더 이상 지원되지 않습니다. 따라서 Red Hat은 Cirrus VGA 대신 stdvga,virtio-vga 또는 qxl 장치 사용을 권장합니다.

(BZ#1651994)

IBM POWER의 KVM이 더 이상 사용되지 않음

IBM POWER 하드웨어에서 KVM 가상화를 사용하는 것이 더 이상 사용되지 않습니다. 결과적으로 IBM POWER의 KVM은 RHEL 8에서 계속 지원되지만 향후 RHEL의 주요 릴리스에서는 지원되지 않습니다.

(JIRA:RHELPLAN-71200)

SHA1- 기반 서명을 사용한 SecureBoot 이미지 확인이 더 이상 사용되지 않음

UEFI (PE/COFF) 실행 파일에서 SHA1- 기반 서명을 사용하여 SecureBoot 이미지 확인을 수행하는 것이 더 이상 사용되지 않습니다. 대신 Red Hat은 SHA2 알고리즘을 기반으로 하는 서명을 사용하는 것이 좋습니다.

(BZ#1935497)

SPICE가 더 이상 사용되지 않음

SPICE 원격 디스플레이 프로토콜은 더 이상 사용되지 않습니다. SPICE는 RHEL 8에서 계속 지원되지만 원격 디스플레이 스트리밍에 대체 솔루션을 사용하는 것이 좋습니다.

  • 원격 콘솔 액세스의 경우 VNC 프로토콜을 사용합니다.
  • 고급 원격 디스플레이 기능의 경우 RDP, HP RGS 또는 Mechdyne TGX와 같은 타사 툴을 사용하십시오.

(BZ#1849563)

9.16. 지원 관련 기능

s split 옵션은 - f 옵션으로 더 이상 지원되지 않습니다.

Red Hat Secure FTP에 파일을 업로드하여 Red Hat 지원에 파일을 제공할 때 redhat-support-tool addattachment -f 명령을 실행할 수 있습니다. 그러나 인프라 변경으로 인해 이 명령에 -s 옵션을 더 이상 사용하여 큰 파일을 파트로 분할하고 Red Hat Secure FTP 에 업로드할 수 없습니다.

(BZ#2013335)

redhat-support-tool 진단 <file_or_directory> 명령이 더 이상 사용되지 않음

Red Hat 지원 도구는 파일 또는 디렉토리에 대해 고급 진단 서비스에 이전에 사용된 redhat-support-tool diagnostic <file_or_directory> 명령을 더 이상 지원하지 않습니다. redhat-support-tool 진단 명령은 일반 텍스트 분석을 계속 지원합니다.

(BZ#2019786)

9.17. 컨테이너

Podman varlink 기반 API v1.0이 제거되었습니다.

Podman varlink 기반 API v1.0은 이전 RHEL 8 릴리스에서 더 이상 사용되지 않습니다. Podman v2.0에서 새 Podman v2.0 RESTful API를 도입했습니다. Podman v3.0이 릴리스되면서 varlink 기반 API v1.0이 완전히 제거되었습니다.

(JIRA:RHELPLAN-45858)

container-tools:1.0 이 더 이상 사용되지 않음

container-tools:1.0 모듈은 더 이상 사용되지 않으며 더 이상 보안 업데이트를 받지 않습니다. container -tools:2.0 또는 container-tools: 3.0 과 같이 지원되는 최신 모듈 스트림을 사용하는 것이 좋습니다.

(JIRA:RHELPLAN-59825)

9.18. 사용되지 않는 패키지

이 섹션에는 더 이상 사용되지 않으며 향후 Red Hat Enterprise Linux 주요 릴리스에 포함되지 않는 패키지가 나와 있습니다.

RHEL 7과 RHEL 8 간의 패키지 변경 사항은 RHEL 8 문서 채택 시 고려 사항의 패키지 변경을 참조하십시오.

다음 패키지는 더 이상 사용되지 않으며 RHEL 8이 종료될 때까지 계속 지원됩니다.

  • 389-ds-base-legacy-tools
  • adobe-source-sans-pro-fonts
  • adwaita-qt
  • 아만다어
  • Amanda-client
  • amanda-libs
  • amanda-server
  • ant-contrib
  • antlr3
  • antlr32
  • aopalliance
  • apache-commons-collections
  • apache-commons-compress
  • apache-commons-exec
  • apache-commons-jxpath
  • apache-commons-parent
  • apache-ivy
  • apache-parent
  • apache-resource-bundles
  • apache-sshd
  • apiguardian
  • assertj-core
  • authd
  • auto
  • autoconf213
  • autogen
  • base64coder
  • Batik
  • bea-stax
  • bea-stax-api
  • bind-sdb
  • bouncycastle
  • bsh
  • buildnumber-maven-plugin
  • byaccj
  • cal10n
  • cBI-plugins
  • cdparanoia
  • cdparanoia-devel
  • cdparanoia-libs
  • cdrdao
  • cmirror
  • codehaus-parent
  • 코드 모델
  • compat-exiv2-026
  • compat-guile18
  • compat-libpthread-nonshared
  • compat-openssl10
  • compat-sap-c++-10
  • createrepo_c-devel
  • ctags
  • ctags-etags
  • custodia
  • dbus-c++
  • dbus-c++-devel
  • dbus-c++-glib
  • dbxtool
  • dirsplit
  • dleyna-connector-dbus
  • dleyna-core
  • dleyna-renderer
  • dleyna-server
  • dnssec-trigger
  • dptfxtract
  • drpm
  • drpm-devel
  • dvd+rw-tools
  • dyninst-static
  • eclipse-ecf
  • eclipse-emf
  • eclipse-license
  • ed25519-java
  • ee4j-parent
  • elfutils-devel-static
  • elfutils-libelf-devel-static
  • enca
  • enca-devel
  • environment-modules-compat
  • evince-browser-plugin
  • exec-maven-plugin
  • farstream02
  • Felix-osgi-compendium
  • Fe equivalent-osgi-core
  • felix-osgi-foundation
  • Fe equivalent-parent
  • file-roller
  • fipscheck
  • fipscheck-devel
  • fipscheck-lib
  • firewire
  • Forge-parent
  • fuse-sshfs
  • fusesource-pom
  • 향후
  • Gamin
  • Gamin-devel
  • gavl
  • gcc-toolset-10
  • gcc-toolset-10-annobin
  • gcc-toolset-10-binutils
  • gcc-toolset-10-binutils-devel
  • gcc-toolset-10-build
  • gcc-toolset-10-dwz
  • gcc-toolset-10-dyninst
  • gcc-toolset-10-dyninst-devel
  • gcc-toolset-10-elfutils
  • gcc-toolset-10-elfutils-debuginfod-client
  • gcc-toolset-10-elfutils-debuginfod-client-devel
  • gcc-toolset-10-elfutils-devel
  • gcc-toolset-10-elfutils-libelf
  • gcc-toolset-10-elfutils-libelf-devel
  • gcc-toolset-10-elfutils-libs
  • gcc-toolset-10-gcc
  • gcc-toolset-10-gcc-c++
  • gcc-toolset-10-gcc-gdb-plugin
  • gcc-toolset-10-gcc-gfortran
  • gcc-toolset-10-gdb
  • gcc-toolset-10-gdb-doc
  • gcc-toolset-10-gdb-gdbserver
  • gcc-toolset-10-libasan-devel
  • gcc-toolset-10-libatomic-devel
  • gcc-toolset-10-libitm-devel
  • gcc-toolset-10-liblsan-devel
  • gcc-toolset-10-libquadmath-devel
  • gcc-toolset-10-libstdc++-devel
  • gcc-toolset-10-libstdc++-docs
  • gcc-toolset-10-libtsan-devel
  • gcc-toolset-10-libubsan-devel
  • gcc-toolset-10-ltrace
  • gcc-toolset-10-make
  • gcc-toolset-10-make-devel
  • gcc-toolset-10-perftools
  • gcc-toolset-10-runtime
  • gcc-toolset-10-strace
  • gcc-toolset-10-systemtap
  • gcc-toolset-10-systemtap-client
  • gcc-toolset-10-systemtap-devel
  • gcc-toolset-10-systemtap-initscript
  • gcc-toolset-10-systemtap-runtime
  • gcc-toolset-10-systemtap-sdt-devel
  • gcc-toolset-10-systemtap-server
  • gcc-toolset-10-toolchain
  • gcc-toolset-10-valgrind
  • gcc-toolset-10-valgrind-devel
  • gcc-toolset-9
  • gcc-toolset-9-annobin
  • gcc-toolset-9-build
  • gcc-toolset-9-perftools
  • gcc-toolset-9-runtime
  • gcc-toolset-9-toolchain
  • GConf2
  • GConf2-devel
  • genisoimage
  • genwqe-tools
  • genwqe-vpd
  • genwqe-zlib
  • genwqe-zlib-devel
  • geoipupdate
  • Geronimo-annotation
  • geronimo-jms
  • geronimo-jpa
  • geronimo-parent-poms
  • gfbgraph
  • gflags
  • gflags-devel
  • glassfish-annotation-api
  • GlassFish-el
  • glassfish-fastinfoset
  • glassfish-jaxb-core
  • glassfish-jaxb-txw2
  • glassfish-jsp
  • glassfish-jsp-api
  • GlassFish-legal
  • glassfish-master-pom
  • glassfish-servlet-api
  • glew-devel
  • glib2-fam
  • glog
  • glog-devel
  • gmock
  • gmock-devel
  • gnome-boxes
  • gnome-menus-devel
  • gnome-online-miners
  • gnome-shell-extension-disable-screenshield
  • gnome-shell-extension-horizontal-workspaces
  • gnome-shell-extension-no-hot-corner
  • gnome-shell-extension-window-grouper
  • gnome-themes-standard
  • gnupg2-smime
  • gobject-introspection-devel
  • google-gson
  • gphoto2
  • gssntlmssp
  • gtest
  • gtest-devel
  • gtkmm24
  • gtkmm24-devel
  • gtkmm24-docs
  • gtksourceview3
  • gtksourceview3-devel
  • gtkspell
  • gtkspell-devel
  • gtkspell3
  • Guil
  • gutenprint-gimp
  • gvfs-afc
  • gvfs-afp
  • gvfs-archive
  • hawtjni
  • highlight-gui
  • hivex-devel
  • 호스트 이름
  • hplip-gui
  • httpcomponents-project
  • Icedax
  • icu4j
  • idm-console-framework
  • iptables
  • ipython
  • ISL
  • ISL-devel
  • isorelax
  • istack-commons-runtime
  • istack-commons-tools
  • iwl3945-firmware
  • iwl4965-firmware
  • iwl6000-firmware
  • jacoco
  • JAF
  • Jakarta-oro
  • janón
  • jansi-native
  • JarJar
  • java_cup
  • java-atk-wrapper
  • javacc
  • javacc-maven-plugin
  • javaewah
  • javaparser
  • javapoet
  • javassist
  • jaxen
  • jboss-annotations-1.2-api
  • jboss-interceptors-1.2-api
  • jboss-logmanager
  • jboss-parent
  • jctools
  • jdepend
  • jdependency
  • jdom
  • jdom2
  • 투르크티
  • jffi
  • jflex
  • jgit
  • jline
  • jnr-netdb
  • jolokia-jvm-agent
  • js-uglify
  • jsch
  • json_simple
  • jss-javadoc
  • jtidy
  • junit5
  • jvnet-parent
  • jzlib
  • kernel-cross-headers
  • ksc
  • ldapjdk-javadoc
  • 확대/축소
  • lensfun-devel
  • libaec
  • libaec-devel
  • libappindicator-gtk3
  • libappindicator-gtk3-devel
  • libavc1394
  • libblocksruntime
  • libcacard
  • libcacard-devel
  • libcgroup
  • libchamplain
  • libchamplain-devel
  • libchamplain-gtk
  • libcroco
  • libcroco-devel
  • libcxl
  • libcxl-devel
  • libdap
  • libdap-devel
  • libdazzle-devel
  • libdbus menu
  • libdbus menu-devel
  • libdbusmenu-doc
  • libdbusmenu-gtk3
  • libdbusmenu-gtk3-devel
  • libdc1394
  • libdnet
  • libdnet-devel
  • libdv
  • libdwarf
  • libdwarf-devel
  • libdwarf-static
  • libdwarf-tools
  • libepubgen-devel
  • libertas-sd8686-firmware
  • libertas-usb8388-firmware
  • libertas-usb8388-olpc-firmware
  • libgd either
  • libGLEW
  • libgovirt
  • libguestfs-benchmarking
  • libguestfs-devel
  • libguestfs-gfs2
  • libguestfs-gobject
  • libguestfs-gobject-devel
  • libguestfs-java
  • libguestfs-java-devel
  • libguestfs-javadoc
  • libguestfs-man-pages-ja
  • libguestfs-man-pages-uk
  • libguestfs-tools
  • libguestfs-tools-c
  • libhugetlbfs
  • libhugetlbfs-devel
  • libhugetlbfs-utils
  • libIDL
  • libIDL-devel
  • libidn
  • libiec61883
  • libindicator-gtk3
  • libindicator-gtk3-devel
  • libiscsi-devel
  • libjose-devel
  • libldb-devel
  • liblogging
  • libluksmeta-devel
  • libmcpp
  • libmemcached
  • libmetalink
  • libmodulemd1
  • libmongocrypt
  • libmtp-devel
  • libmusicbrainz5
  • libmusicbrainz5-devel
  • libnbd-devel
  • liboauth
  • liboauth-devel
  • libpfm-static
  • libpng12
  • libpurple
  • libpurple-devel
  • libraw1394
  • libSass
  • libsass-devel
  • libselinux-python
  • libsqlite3x
  • libtalloc-devel
  • libtar
  • libtdb-devel
  • libtevent-devel
  • libunwind
  • libusal
  • libvarlink
  • libvirt-admin
  • libvirt-bash-completion
  • libvirt-daemon-driver-storage-gluster
  • libvirt-daemon-driver-storage-iscsi-direct
  • libvirt-devel
  • libvirt-docs
  • libvirt-gconfig
  • libvirt-gobject
  • libvirt-lock-sanlock
  • libvncserver
  • libwinpr-devel
  • libwmf
  • libwmf-devel
  • libwmf-lite
  • libXNVCtrl
  • libyami
  • log4j12
  • lorax-composer
  • Lua-guestfs
  • Lucene
  • mailman
  • mailx
  • make-devel
  • Maven-antrun-plugin
  • maven-assembly-plugin
  • Maven-clean-plugin
  • Maven-dependency-analyzer
  • maven-dependency-plugin
  • Maven-doxia
  • maven-doxia-sitetools
  • maven-install-plugin
  • Maven-invoker
  • maven-invoker-plugin
  • Maven-parent
  • maven-plugins-pom
  • maven-reporting-api
  • maven-reporting-impl
  • Maven-scm
  • maven-script-interpreter
  • maven-shade-plugin
  • Maven-shared
  • Maven-verifier
  • maven2
  • 한편
  • Mercurial
  • Metis
  • metis-devel
  • mingw32-bzip2
  • mingw32-bzip2-static
  • mingw32-cairo
  • mingw32-expat
  • mingw32-fontconfig
  • mingw32-freetype
  • mingw32-freetype-static
  • mingw32-gstreamer1
  • mingw32-harfbuzz
  • mingw32-harfbuzz-static
  • mingw32-icu
  • mingw32-libjpeg-turbo
  • mingw32-libjpeg-turbo-static
  • mingw32-libpng
  • mingw32-libpng-static
  • mingw32-libtiff
  • mingw32-libtiff-static
  • mingw32-openssl
  • mingw32-readline
  • mingw32-sqlite
  • mingw32-sqlite-static
  • mingw64-adwaita-icon-theme
  • mingw64-bzip2
  • mingw64-bzip2-static
  • mingw64-cairo
  • mingw64-expat
  • mingw64-fontconfig
  • mingw64-freetype
  • mingw64-freetype-static
  • mingw64-gstreamer1
  • mingw64-harfbuzz
  • mingw64-harfbuzz-static
  • mingw64-icu
  • mingw64-libjpeg-turbo
  • mingw64-libjpeg-turbo-static
  • mingw64-libpng
  • mingw64-libpng-static
  • mingw64-libtiff
  • mingw64-libtiff-static
  • mingw64-nettle
  • mingw64-openssl
  • mingw64-readline
  • mingw64-sqlite
  • mingw64-sqlite-static
  • Modello
  • Mojo-parent
  • Mongo-c-driver
  • mousetweaks
  • mozjs52
  • mozjs52-devel
  • mozjs60
  • mozjs60-devel
  • mozvoikko
  • msv-javadoc
  • msv-manual
  • munge-maven-plugin
  • nbd
  • nbdkit-devel
  • nbdkit-example-plugins
  • nbdkit-gzip-plugin
  • ncompress
  • net-tools
  • netcf
  • netcf-devel
  • netcf-libs
  • network-scripts
  • nkf
  • nss_nis
  • nss-pam-ldapd
  • objectweb-asm
  • objectweb-pom
  • ocaml-bisect-ppx
  • ocaml-camlp4
  • ocaml-camlp4-devel
  • 오클-lwt
  • ocaml-mmap
  • osl-ocplib-endian
  • osl-ounit
  • ocaml-result
  • osl-seq
  • opencv-contrib
  • opencv-core
  • opencv-devel
  • openhpi
  • openhpi-libs
  • OpenIPMI-perl
  • openssh-cavs
  • openssh-ldap
  • openssl-ibmpkcs11
  • opentest4j
  • os-maven-plugin
  • Pakchois
  • Pandoc
  • 매개변수
  • parfait
  • parfait-examples
  • parfait-javadoc
  • pcp-parfait-agent
  • pcp-pmda-rpm
  • pcsc-lite-doc
  • peripety
  • perl-B-Debug
  • perl-B-Lint
  • perl-Class-Factory-Util
  • perl-Class-ISA
  • perl-DateTime-Format-HTTP
  • perl-DateTime-Format-Mail
  • perl-File-CheckTree
  • perl-homedir
  • perl-libxml-perl
  • perl-Locale- Codes
  • perl-Mozilla-LDAP
  • perl-NKF
  • perl-Object-HashBase-tools
  • perl-Package-DeprecationManager
  • perl-Pod-LaTeX
  • perl-Pod-Plainer
  • perl-prefork
  • perl-String-CRC32
  • perl-SUPER
  • perl-Sys-Virt
  • perl-tests
  • perl-YAML-Syck
  • cfdav
  • Pidgin
  • Pidgin-devel
  • pidgin-sipe
  • pinentry-emacs
  • pinentry-gtk
  • pipewire0.2-devel
  • pipewire0.2-libs
  • plexus-ant-factory
  • plexus-bsh-factory
  • plexus-cli
  • plexus-component-api
  • plexus-component-factories-pom
  • plexus-components-pom
  • plexus-i18n
  • plexus-interactivity
  • plexus-pom
  • plexus-velocity
  • Plymouth-plugin-throbgress
  • powermock
  • ptscotch-mpich
  • ptscotch-mpich-devel
  • ptscotch-mpich-devel-parmetis
  • ptscotch-openmpi
  • ptscotch-openmpi-devel
  • satellite-sipe
  • python-nss-doc
  • python-redis
  • python-schedutils
  • python-slip
  • python-varlink
  • python2-mock
  • python3-click
  • python3-cpio
  • python3-custodia
  • python3-flask
  • python3-gevent
  • python3-gobject-base
  • python3-hivex
  • python3-html5lib
  • python3-hypothesis
  • python3-ipatests
  • python3-itsdangerous
  • python3-jwt
  • python3-libguestfs
  • python3-mock
  • python3-networkx-core
  • python3-nose
  • python3-nss
  • python3-openipmi
  • python3-pillow
  • python3-pydbus
  • python3-pymongo
  • python3-pyOpenSSL
  • python3-pytoml
  • python3-reportlab
  • python3-schedutils
  • python3-scons
  • python3-semantic_version
  • python3-syspurpose
  • python3-virtualenv
  • python3-webencodings
  • python3-werkzeug
  • qemu-kvm-block-gluster
  • qemu-kvm-block-iscsi
  • qemu-kvm-tests
  • qpdf
  • qpid-proton
  • qrencode
  • qrencode-devel
  • qrencode-libs
  • qt5-qtcanvas3d
  • qt5-qtcanvas3d-examples
  • rian
  • rhard-compat
  • re2c
  • redhat-menus
  • redhat-support-lib-python
  • redhat-support-tool
  • 제약
  • REGexp
  • relaxngDatatype
  • rhsm-gtk
  • rpm-plugin-prioreset
  • rsyslog-udpspoof
  • ruby-hivex
  • ruby-libguestfs
  • rubygem-abrt
  • rubygem-abrt-doc
  • rubygem-mongo
  • rubygem-mongo-doc
  • samba-pidl
  • samba-test
  • samba-test-libs
  • sane-frontends
  • sanlk-reset
  • scala
  • 범위
  • Scotch-devel
  • SDL_sound
  • selinux-policy-minimum
  • sendmail
  • sgabios
  • sgabios-bin
  • 다운로드하십시오.
  • SISU-mojos
  • SLOF
  • sonatype-oss-parent
  • sonatype-plugins-parent
  • sparsehash-devel
  • spec-version-maven-plugin
  • SPICE
  • spice-client-win-x64
  • spice-client-win-x86
  • spice-glib
  • spice-glib-devel
  • spice-gtk
  • spice-gtk-tools
  • spice-gtk3
  • spice-gtk3-devel
  • spice-gtk3-vala
  • spice-parent
  • spice-protocol
  • spice-qxl-wddm-dod
  • spice-server-devel
  • spice-streaming-agent
  • spice-vdagent-win-x64
  • spice-vdagent-win-x86
  • sssd-libwbclient
  • stax-ex
  • stax2-api
  • stringtemplate
  • stringtemplate4
  • subscription-manager-initial-setup-addon
  • subscription-manager-migration
  • subscription-manager-migration-data
  • Subversion-javahl
  • SuperLU
  • superLU-devel
  • supermin-devel
  • swig
  • swig-doc
  • swig-gdb
  • system-storage-manager
  • TestNG
  • timedatex
  • 트리레이아웃
  • 마케도니아
  • Tycho
  • uglify-js
  • univocity-output-tester
  • 스리랑카 파서스
  • usbguard-notifier
  • usbredir-devel
  • utf8cpp
  • uthash
  • 속도
  • vinagre
  • 비하마
  • virt-dib
  • virt-p2v-maker
  • vm-dump-metrics-devel
  • weld-parent
  • 카나다임
  • woodstox-core
  • xdelta
  • xmlgraphics-commons
  • xmlstreambuffer
  • xinetd
  • xorg-x11-apps
  • xorg-x11-drv-qxl
  • xorg-x11-server-Xspice
  • xpp3
  • xsane-gimp
  • xsom
  • xz-java
  • yajl-devel
  • jp-tools
  • ypbind
  • ypserv

9.19. 사용되지 않거나 유지 관리되지 않는 장치

이 섹션에는 다음과 같은 장치(드라이버, 어댑터)가 나열되어 있습니다.

  • RHEL 8의 라이프사이클이 종료될 때까지 계속 지원되지만 이 제품의 향후 주요 릴리스에서는 지원되지 않을 가능성이 높으며 새로운 배포에는 사용하지 않는 것이 좋습니다. 나열된 장치 이외의 장치에 대한 지원은 변경되지 않았습니다. 이는 더 이상 사용되지 않는 장치입니다.
  • RHEL 8에서는 사용 가능하지만 더 이상 테스트 또는 업데이트되지 않습니다. Red Hat은 재량에 따라 보안 버그를 포함하여 심각한 버그를 수정할 수 있습니다. 이러한 장치는 프로덕션 환경에서 더 이상 사용되지 않으며 다음 주요 릴리스에서 비활성화될 가능성이 큽니다. 이러한 장치는 유지 관리되지 않는 장치입니다.

PCI 장치 ID는 vendor:device:subvendor:subdevice 형식입니다. 장치 ID가 나열되지 않으면 해당 드라이버와 연결된 모든 장치가 더 이상 사용되지 않습니다. 시스템에서 하드웨어의 PCI ID를 확인하려면 lspci -nn 명령을 실행합니다.

표 9.1. 사용되지 않는 장치

장치 ID드라이버장치 이름
 

bnx2

Qlogic BCM5706/5708/5709/5716 드라이버

 

hpsa

Hewlett-Packard 회사: 스마트 어레이 컨트롤러

0x10df:0x0724

lpfc

Emulex Corporation: OneConnect FCoE 이니시에이터 (Skyhawk)

0x10df:0xe200

lpfc

Emulex Corporation: LPe15000/LPe16000 시리즈 8Gb/16Gb 파이버 채널 어댑터

0x10df:0xf011

lpfc

Emulex Corporation: 토성: LightPulse 파이버 채널 호스트 어댑터

0x10df:0xf015

lpfc

Emulex Corporation: 토성: LightPulse 파이버 채널 호스트 어댑터

0x10df:0xf100

lpfc

Emulex Corporation: LPe12000 시리즈 8Gb 파이버 채널 어댑터

0x10df:0xfc40

lpfc

Emulex Corporation: Saturn-X: LightPulse 파이버 채널 호스트 어댑터

0x10df:0xe220

be2net

Emulex Corporation: OneConnect NIC (Lancer)

0x1000:0x005b

megaraid_sas

Broadcom / LSI: collectdRAID SAS 2208 [Thunderbolt]

0x1000:0x006E

mpt3sas

Broadcom / LSI: SAS2308 PCI-Express Fusion-MPT SAS-2

0x1000:0x0080

mpt3sas

Broadcom / LSI: SAS2208 PCI-Express Fusion-MPT SAS-2

0x1000:0x0081

mpt3sas

Broadcom / LSI: SAS2208 PCI-Express Fusion-MPT SAS-2

0x1000:0x0082

mpt3sas

Broadcom / LSI: SAS2208 PCI-Express Fusion-MPT SAS-2

0x1000:0x0083

mpt3sas

Broadcom / LSI: SAS2208 PCI-Express Fusion-MPT SAS-2

0x1000:0x0084

mpt3sas

Broadcom / LSI: SAS2208 PCI-Express Fusion-MPT SAS-2

0x1000:0x0085

mpt3sas

Broadcom / LSI: SAS2208 PCI-Express Fusion-MPT SAS-2

0x1000:0x0086

mpt3sas

Broadcom / LSI: SAS2308 PCI-Express Fusion-MPT SAS-2

0x1000:0x0087

mpt3sas

Broadcom / LSI: SAS2308 PCI-Express Fusion-MPT SAS-2

 

myri10ge

Myricom 10G 드라이버(10GbE)

 

netxen_nic

Qlogic/NetXen(1/10) GbE Intelligent Ethernet Driver

0x1077:0x2031

qla2xxx

QLogic Corp.: UEFI8324 기반 16Gb 파이버 채널에서 PCI Express 어댑터

0x1077:0x2532

qla2xxx

QLogic Corp.: PXE2532 기반 8Gb 파이버 채널에서 PCI Express HBA

0x1077:0x8031

qla2xxx

QLogic Corp.: 8300 시리즈 10GbE Converged Network Adapter (FCoE)

 

qla3xxx

QLogic ISP3XXX Network Driver v2.03.00-k5

0x1924:0x0803

sfc

Solarflare 통신: SFC9020 10G Ethernet Controller

0x1924:0x0813

sfc

Solarflare 통신: SFL9021 10GBASE-T Ethernet Controller

 

Soft-RoCE (rdma_rxe)

 
 

HNS-RoCE

 

표 9.2. 유지 관리되지 않는 장치

장치 ID드라이버장치 이름
 

e1000

Intel® PRO/1000 네트워크 드라이버

 

mptbase

Fusion MPT SAS Host 드라이버

 

mptsas

Fusion MPT SAS Host 드라이버

 

mptscsih

Fusion MPT SCSI Host 드라이버

 

mptspi

Fusion MPT SAS Host 드라이버

0x1000:0x0071 [a]

megaraid_sas

Broadcom / LSI: MR SAS HBA 2004

0x1000:0x0073 [a]

megaraid_sas

Broadcom / LSI: collectdRAID SAS 2008 [Falcon]

0x1000:0x0079 [a]

megaraid_sas

Broadcom / LSI: collectdRAID SAS 2108 [Liberator]

[a] RHEL 8.0에서 비활성화되었으며 고객 요청으로 인해 RHEL 8.4에서 다시 활성화됩니다.

10장. 확인된 문제

이 부분에서는 Red Hat Enterprise Linux 8.5의 알려진 문제에 대해 설명합니다.

10.1. 설치 프로그램 및 이미지 생성

저장소 새로 고침을 완료하기 전에 CDN을 사용하여 등록 해제를 시도하면 GUI 설치에 실패할 수 있습니다.

RHEL 8.2부터 CDN(Content Delivery Network)을 사용하여 시스템을 등록하고 서브스크립션을 연결할 때 GUI 설치 프로그램에 의해 리포지토리 메타데이터의 새로 고침이 시작됩니다. 새로 고침 프로세스는 등록 및 서브스크립션 프로세스의 일부가 아니며, 결과적으로 Connect to Red Hat 창에서 Unregister 버튼이 활성화됩니다. 네트워크 연결에 따라 새로 고침 프로세스를 완료하는 데 1분 이상이 걸릴 수 있습니다. 새로 고침 프로세스가 완료되기 전에 Unregister 단추를 클릭하면 unregister 프로세스가 CDN 리포지토리 파일과 CDN과 통신하는 데 필요한 인증서가 제거되므로 GUI 설치가 실패할 수 있습니다.

이 문제를 해결하려면 Connect to Red Hat 창에서 Register(등록 ) 버튼을 클릭한 후 GUI 설치에서 다음 단계를 완료합니다.

  1. Connect to Red Hat 창에서 Done(완료)을 클릭하여 Installation Summary (설치 요약) 창으로 돌아갑니다.
  2. Installation Summary(설치 요약 ) 창에서 italics의 Installation Source( 설치 소스) 및 Software Selection (소프트웨어 선택) 상태 메시지에 처리 정보가 표시되지 않는지 확인합니다.
  3. 설치 소스 및 소프트웨어 선택 범주가 준비되면 Connect to Red Hat 을 클릭합니다.
  4. Unregister(등록 취소 ) 버튼을 클릭합니다.

이러한 단계를 수행한 후에는 GUI를 설치하는 동안 시스템을 안전하게 등록 취소할 수 있습니다.

(BZ#1821192)

여러 조직에 속한 사용자 계정의 등록 실패

현재 여러 조직에 속하는 사용자 계정으로 시스템을 등록하려고 하면 오류 메시지와 함께 등록 프로세스가 실패합니다. 새 유닛의 조직을 지정해야 합니다.

이 문제를 해결하려면 다음 중 하나를 수행할 수 있습니다.

  • 여러 조직에 속하지 않는 다른 사용자 계정을 사용합니다.
  • GUI 및 Kickstart 설치를 위한 Connect to Red Hat 기능에서 제공되는 활성화 키 인증 방법을 사용합니다.
  • Connect to Red Hat의 등록 단계를 건너뛰고 서브스크립션 관리자를 사용하여 시스템 설치 후 등록합니다.

(BZ#1822880)

USB CD-ROM 드라이브는 Anaconda에서 설치 소스로 사용할 수 없습니다.

USB CD-ROM 드라이브가 소스인 경우 설치에 실패하고 Kickstart ignoredisk --only-use= 명령이 지정됩니다. 이 경우 Anaconda는 이 소스 디스크를 찾아서 사용할 수 없습니다.

이 문제를 해결하려면 harddrive --partition=sdX --dir=/ 명령을 사용하여 USB CD-ROM 드라이브에서 설치합니다. 결과적으로 설치에 실패하지 않습니다.

(BZ#1914955)

authauthconfig Kickstart 명령에는 AppStream 리포지토리가 필요

authselect-compat 패키지는 설치하는 동안 authauthconfig Kickstart 명령이 필요합니다. 이 패키지가 없으면 auth 또는 authconfig가 사용되는 경우 설치에 실패합니다. 설계에 따라 authselect-compat 패키지는 AppStream 리포지토리에서만 사용할 수 있습니다.

이 문제를 해결하려면 설치 프로그램에 BaseOS 및 AppStream 리포지토리를 사용할 수 있는지 확인하거나 설치 중에 authselect Kickstart 명령을 사용합니다.

(BZ#1640697)

reboot --kexecinst.kexec 명령은 예측 가능한 시스템 상태를 제공하지 않습니다.

reboot --kexec Kickstart 명령 또는 inst.kexec 커널 부팅 매개 변수를 사용하여 RHEL 설치를 수행해도 전체 재부팅과 동일한 예측 가능한 시스템 상태를 제공하지 않습니다. 결과적으로 재부팅하지 않고 설치된 시스템으로 전환하면 예측할 수 없는 결과가 발생할 수 있습니다.

kexec 기능은 더 이상 사용되지 않으며 향후 Red Hat Enterprise Linux 릴리스에서 제거됩니다.

(BZ#1697896)

설치 프로그램에서는 네트워크 액세스가 기본적으로 활성화되어 있지 않습니다

몇 가지 설치 기능에는 네트워크 액세스(예: CDN(콘텐츠 전달 네트워크), NTP 서버 지원, 네트워크 설치 소스)를 사용하여 시스템 등록이 필요합니다. 그러나 네트워크 액세스는 기본적으로 활성화되어 있지 않으므로 네트워크 액세스가 활성화될 때까지 이러한 기능을 사용할 수 없습니다.

이 문제를 해결하려면 ip=dhcp 를 추가하여 설치가 시작될 때 네트워크 액세스를 활성화하도록 옵션을 부팅합니다. 선택적으로 부팅 옵션을 사용하여 네트워크에 있는 Kickstart 파일 또는 리포지토리를 전달하면 문제가 해결됩니다. 결과적으로 네트워크 기반 설치 기능을 사용할 수 있습니다.

(BZ#1757877)

iso9660 파일 시스템을 사용하여 하드 드라이브 파티션 설치에 실패했습니다

하드 드라이브가 iso9660 파일 시스템으로 분할된 시스템에 RHEL을 설치할 수 없습니다. 이는 iso9660 파일 시스템 파티션이 포함된 하드 디스크를 무시하도록 설정된 업데이트된 설치 코드 때문입니다. 이는 DVD를 사용하지 않고 RHEL을 설치하는 경우에도 발생합니다.

이 문제를 해결하려면 kickstart 파일에 다음 스크립트를 추가하여 설치를 시작하기 전에 디스크를 포맷합니다.

참고: 해결 방법을 수행하기 전에 디스크에서 사용할 수 있는 데이터를 백업합니다. wipefs 명령은 디스크의 기존 데이터를 모두 포맷합니다.

%pre
wipefs -a /dev/sda
%end

결과적으로 설치는 오류 없이 예상대로 작동합니다.

(BZ#1929105)

HASH MMU 모드가 있는 IBM Power 시스템은 메모리 할당 실패로 부팅되지 않음

HASH 메모리 할당 단위(MMU) 모드를 사용하는 IBM Power Systems는 최대 192개 코어까지 kdump 를 지원합니다. 그 결과 192개 이상의 코어에서 kdump 가 활성화된 경우 메모리 할당 실패로 시스템이 부팅되지 않았습니다. 이러한 제한은 HASH MMU 모드 초기 부팅 중에 RMA 메모리 할당으로 인해 발생합니다. 이 문제를 해결하려면 kdump 를 사용하는 대신 fadump 가 활성화된 Radix MMU 모드를 사용하십시오.

(BZ#2028361)

블루프린트 및 Kickstart 파일에 동일한 사용자 이름을 추가하면 Edge 이미지 설치가 실패합니다.

에지용 RHEL 이미지를 설치하려면 사용자가 rhel-edge-container 이미지를 빌드하는 청사진을 만들고 Kickstart 파일도 만들어 에지용 RHEL을 설치해야 합니다. 사용자가 청사진 및 Kickstart 파일에 동일한 사용자 이름, 암호 및 SSH 키를 추가하면 에지 이미지 설치용 RHEL이 실패합니다. 현재는 해결방법이 없습니다.

(BZ#1951964)

새로운 osbuild-composer 백엔드는 업그레이드 시 lorax-composer 에서 청사진 상태를 복제하지 않습니다.

lorax-composer 백엔드에서 새로운 osbuild-composer 백엔드로 업그레이드하는 이미지 빌더 사용자는 청사진이 사라질 수 있습니다. 결과적으로 업그레이드가 완료되면 청사진이 자동으로 표시되지 않습니다. 이 문제를 해결하려면 다음 단계를 수행합니다.

사전 요구 사항

  • composer-cli CLI 유틸리티가 설치되어 있어야 합니다.

절차

  1. 명령을 실행하여 이전 lorax-composer 기반 청사진을 새 osbuild-composer 백엔드로 로드합니다.

    $ for blueprint in $(find /var/lib/lorax/composer/blueprints/git/workspace/master -name '*.toml'); do composer-cli blueprints push "${blueprint}"; done

그 결과 osbuild-composer 백엔드에서 동일한 청사진을 사용할 수 있습니다.

(BZ#1897383)

Anaconda가 애플리케이션으로 실행되는 시스템에서 예기치 않은 SELinux 정책

Anaconda가 이미 설치된 시스템에서 애플리케이션으로 실행되는 경우(예: -image anaconda 옵션을 사용하여 이미지 파일에 다른 설치를 수행하는 등) 설치 중에 시스템이 SELinux 유형 및 속성을 수정할 수 없습니다. 결과적으로 Anaconda가 실행되는 시스템에서 SELinux 정책의 특정 요소가 변경될 수 있습니다. 이 문제를 해결하려면 production 시스템에서 Anaconda를 실행하지 말고 임시 가상 머신에서 실행합니다. 따라서 프로덕션 시스템의 SELinux 정책은 수정되지 않습니다. boot.iso 또는 dvd.iso 로 설치하는 것과 같이 시스템 설치 프로세스의 일부로 anaconda를 실행하면 이 문제의 영향을 받지 않습니다.

(BZ#2050140)

10.2. 서브스크립션 관리

syspurpose 애드온은 subscription-manager attach --auto 출력에 아무 영향을 미치지 않습니다.

Red Hat Enterprise Linux 8에서는 syspurpose 명령줄 툴의 4가지 속성(role,usage, service _level_agreement, addons )이 추가되었습니다. 현재는 role,usageservice_level_agreementsubscription-manager attach --auto 명령을 실행하는 출력에 영향을 미칩니다. addons 인수에 값을 설정하려는 사용자는 자동 연결된 서브스크립션에 어떤 영향을 미치지 않습니다.

(BZ#1687900)

10.3. 소프트웨어 관리

시스템에서 CodeReady Linux Builder 리포지토리를 사용할 수 없는 경우 libdnf-devel 업그레이드가 실패합니다.

libdnf-devel 패키지가 BaseOS에서 CodeReady Linux Builder 리포지토리로 이동되었습니다. 결과적으로 시스템에서 CodeReady Linux Builder 리포지토리를 사용할 수 없는 경우 libdnf-devel 업그레이드가 실패합니다.

이 문제를 해결하려면 CodeReady Linux Builder 리포지토리를 활성화하거나 업그레이드 전에 libdnf-devel 패키지를 제거하십시오.

(BZ#1960616)

cr_compress_file_with_stat() 는 메모리 누수를 유발할 수 있습니다.

createrepo_c 라이브러리에는 API cr_compress_file_with_stat() 함수가 있습니다. 이 함수는 문자 **dst를 두 번째 매개 변수로 선언합니다. 다른 매개 변수에 따라 cr_compress_file_with_stat()dst 를 입력 매개 변수로 사용하거나 을 사용하여 할당된 문자열을 반환합니다. 이러한 예측할 수 없는 동작으로 인해 dst 콘텐츠가 사용 가능한 시기를 사용자에게 알리지 않으므로 메모리 누수가 발생할 수 있습니다.

이 문제를 해결하기 위해 dst 매개 변수를 입력으로만 사용하는 새로운 API cr_compress_file_with_stat_v2 함수가 추가되었습니다. 문자 *dst 로 선언됩니다. 이렇게 하면 메모리 누수가 방지됩니다.

cr_compress_file_with_stat_v2 함수는 일시적이며 RHEL 8에서만 존재합니다. 나중에 cr_compress_file_with_stat() 가 대신 수정됩니다.

(BZ#1973588)

10.4. 쉘 및 명령행 툴

coreutils 에서 잘못된 EPERM 오류 코드를 보고할 수 있습니다.

GNU Core utility(coreutils)는 statx() 시스템 호출을 사용하기 시작했습니다. seccomp 필터에서 알 수 없는 시스템 호출을 위해 EPERM 오류 코드를 반환하는 경우, coreutils 는 작업 statx() syscall에서 반환된 실제 Operation not permitted 오류와 구분할 수 없기 때문에 coreutils에서 잘못된 EPERM 오류 코드를 보고할 수 있습니다.

이 문제를 해결하려면 statx() syscall을 허용하거나 알 수 없는 syscall에 대한 ENOSYS 오류 코드를 반환하도록 seccomp 필터를 업데이트합니다.

(BZ#2030661)

10.5. 인프라 서비스

FIPS 모드에서 Postfix TLS 지문 알고리즘은 SHA-256으로 변경해야 합니다.

기본적으로 RHEL 8에서 postfix 는 이전 버전과의 호환성을 위해 TLS와 MD5 지문을 사용합니다. 그러나 FIPS 모드에서 MD5 해싱 기능을 사용할 수 없으므로 기본 postfix 구성에서 TLS가 잘못 작동할 수 있습니다. 이 문제를 해결하려면 postfix 구성 파일에서 해시 기능을 SHA-256으로 변경해야 합니다.

자세한 내용은 MD5 대신 SHA-256으로 전환하여 FIPS 모드에서 관련 Knowledgebase 문서 Fix postfix TLS 를 참조하십시오.

(BZ#1711885)

brltty 패키지는 multilib와 호환되지 않습니다

brltty 패키지의 32비트 및 64비트 버전을 모두 설치할 수 없습니다. 32비트(brltty.i686)또는 64비트(brltty.x86_64) 버전의패키지를 설치할 수 있습니다. 64비트 버전이 권장됩니다.

(BZ#2008197)

10.6. 보안

/etc/passwd- 의 파일 권한은 CIS RHEL 8 벤치마크 1.0.0과 일치하지 않습니다.

CIS 벤치마크의 문제로 인해 /etc/passwd- 백업 파일에 대한 권한을 보장하는 SCAP 규칙의 수정으로 인해 권한을 0644 로 구성합니다. 그러나 CIS Red Hat Enterprise Linux 8 벤치마크 1.0.0 에는 해당 파일에 대한 파일 권한 0600 이 필요합니다. 결과적으로 수정 후 /etc/passwd- 의 파일 권한이 벤치마크와 정렬되지 않습니다.

(BZ#1858866)

libselinux-python 은 모듈을 통해서만 사용할 수 있습니다

libselinux-python 패키지에는 SELinux 애플리케이션 개발을 위한 Python 2 바인딩만 포함되어 있으며 이전 버전과의 호환성에 사용됩니다. 이러한 이유로 libselinux-pythondnf install libselinux-python 명령을 통해 기본 RHEL 8 리포지토리에서 더 이상 사용할 수 없습니다.

이 문제를 해결하려면 libselinux-pythonpython27 모듈을 둘 다 활성화하고 다음 명령을 사용하여 libselinux-python 패키지와 해당 종속성을 설치합니다.

# dnf module enable libselinux-python
# dnf install libselinux-python

또는 단일 명령으로 설치 프로파일을 사용하여 libselinux-python 을 설치합니다.

# dnf module install libselinux-python:2.8/common

결과적으로 해당 모듈을 사용하여 libselinux-python 을 설치할 수 있습니다.

(BZ#1666328)

udica--env container=podman으로 시작되는 경우에만 UBI 8 컨테이너를처리합니다.

Red Hat Universal Base Image 8(UBI 8) 컨테이너는 컨테이너 환경 변수를 podman 값이 아닌 oci 값으로 설정합니다. 이렇게 하면 udica 툴에서 컨테이너 JSON(JavaScript Object Notation) 파일을 분석하지 못합니다.

이 문제를 해결하려면 --env container=podman 매개변수와 함께 podman 명령을 사용하여 UBI 8 컨테이너를 시작합니다. 결과적으로 udica 는 설명된 해결 방법을 사용하는 경우에만 UBI 8 컨테이너에 대한 SELinux 정책을 생성할 수 있습니다.

(BZ#1763210)

성능에 대한 기본 로깅 설정의 부정적인 영향

기본 로깅 환경 설정은 rsyslog 를 사용하여 systemd-journald를 실행할 때 4GB 메모리를 사용하거나 rate- limit 값을 조정하는 작업이 복잡할 수 있습니다.

자세한 내용은 성능 및 완화 기술 자료에 대한 RHEL 기본 로깅 설정의 부정적인 영향을 참조하십시오.

(JIRA:RHELPLAN-10431)

/etc/selinux/config 에서 SELINUX=disabled 가 제대로 작동하지 않음

/etc/selinux/config 에서 SELINUX=disabled 옵션을 사용하여 SELinux를 비활성화하면 커널이 SELinux가 활성화된 상태로 부팅되고 부팅 프로세스 후반부에서 비활성화 모드로 전환됩니다. 이로 인해 메모리 누수가 발생할 수 있습니다.

이 문제를 해결하려면 시나리오가 실제로 SELinux 제목을 완전히 비활성화해야 하는 경우 SELinux 제목 사용의 부팅 시 SELinux 모드 변경 섹션에 설명된 대로 커널 명령줄에 selinux=0 매개 변수를 추가하여 SELinux를 비활성화합니다.

(JIRA:RHELPLAN-34199)

암호화 정책이 Camellia 암호를 잘못 허용

RHEL 8 시스템 전체 암호화 정책은 제품 문서에 명시된 대로 모든 정책 수준에서 Camellia 암호를 비활성화해야 합니다. 그러나 Kerberos 프로토콜에서는 기본적으로 암호를 활성화합니다.

이 문제를 해결하려면 NO-CAMELLIA 하위 정책을 적용합니다.

# update-crypto-policies --set DEFAULT:NO-CAMELLIA

이전 명령에서 DEFAULT 에서 이전에 전환한 경우 DEFAULT 를 암호화 수준 이름으로 바꿉니다.

결과적으로 Camellia 암호는 해결 방법을 통해 비활성화하는 경우에만 시스템 전체 암호화 정책을 사용하는 모든 애플리케이션에서 올바르게 허용하지 않습니다.

(BZ#1919155)

IKEv2 와 함께 라벨이 지정된 여러 IPsec 연결을 사용할 수 없습니다.

Libreswan에서 IKEv2 프로토콜을 사용하는 경우 둘 이상의 연결에 대해 IPsec의 보안 레이블이 올바르게 작동하지 않습니다. 그 결과, 레이블이 지정된 IPsec을 사용하여 Libreswan은 첫 번째 연결만 설정할 수 있지만 후속 연결을 올바르게 설정할 수는 없습니다. 둘 이상의 연결을 사용하려면 IKEv1 프로토콜을 사용합니다.

(BZ#1934859)

OpenSC pkcs15-init 를 통한 스마트 카드 프로비저닝 프로세스가 제대로 작동하지 않음

file_caching 옵션은 기본 OpenSC 구성에서 활성화되며 파일 캐싱 기능이 pkcs15-init 도구의 일부 명령을 올바르게 처리하지 않습니다. 결과적으로 OpenSC를 통한 스마트 카드 프로비저닝 프로세스가 실패합니다.

이 문제를 해결하려면 /etc/opensc.conf 파일에 다음 코드 조각을 추가합니다.

app pkcs15-init {
        framework pkcs15 {
                use_file_caching = false;
        }
}

pkcs15-init 를 통한 스마트 카드 프로비저닝은 이전에 설명한 해결 방법을 적용한 경우에만 작동합니다.

(BZ#1947025)

SHA-1 서명이 있는 서버에 대한 연결이 GnuTLS에서 작동하지 않음

인증서의 SHA-1 서명은 GnuTLS 보안 통신 라이브러리에서 안전하지 않은 것으로 거부됩니다. 결과적으로 GnuTLS를 TLS 백엔드로 사용하는 애플리케이션은 이러한 인증서를 제공하는 피어에 TLS 연결을 설정할 수 없습니다. 이 동작은 다른 시스템 암호화 라이브러리와 일치하지 않습니다.

이 문제를 해결하려면 SHA-256 또는 더 강력한 해시로 서명된 인증서를 사용하거나 LEGACY 정책으로 전환하도록 서버를 업그레이드합니다.

(BZ#1628553)

FIPS 모드에서 OpenSSL은 특정 D-H 매개변수만 허용

FIPS 모드에서 OpenSSL을 사용하는 TLS 클라이언트는 잘못된 dh 값 오류를 반환하고 수동으로 생성된 매개 변수를 사용하는 서버에 대한 TLS 연결을 중단합니다. 이는 FIPS 140-2를 준수하도록 구성된 경우 OpenSSL이 NIST SP 800-56A rev3 부록 D (그룹 14, 15, 16, 17, 18 및 18 및 RFC 7919)에 정의된 그룹을 준수하는 Diffie-Hellman 매개변수에서만 작동하기 때문입니다. 또한 OpenSSL을 사용하는 서버는 다른 모든 매개 변수를 무시하고 대신 유사한 크기의 알려진 매개 변수를 선택합니다. 이 문제를 해결하려면 규정 준수 그룹만 사용하십시오.

(BZ#1810911)

사용자 지정 TCP 포트에서는 TCP 연결을 통한 연결이 작동하지 않습니다

tcp-remoteport Libreswan 구성 옵션이 제대로 작동하지 않습니다. 따라서 시나리오에서 기본이 아닌 TCP 포트를 지정해야 하는 경우 TCP 연결에 대한 IKE를 설정할 수 없습니다.

(BZ#1989050)

SELinux 감사 규칙 및 SELinux 부울 구성에서 충돌

감사 규칙 목록에 subj_* 또는 obj_* 필드가 포함된 감사 규칙과 SELinux 부울 구성이 변경되면 SELinux 부울 설정으로 인해 교착 상태가 발생합니다. 그 결과 시스템이 응답을 중지하고 복구를 위해 재부팅이 필요합니다. 이 문제를 해결하려면 subj_* 또는 obj_* 필드를 포함하는 모든 감사 규칙을 비활성화하거나 SELinux 부울을 변경하기 전에 이러한 규칙을 일시적으로 비활성화합니다.

RHSA-2021:2168 권고가 릴리스되면서 커널은 이 상황을 올바르게 처리하고 더 이상 교착 상태가 아닙니다.

(BZ#1924230)

systemd 는 임의의 경로에서 명령을 실행할 수 없습니다.

systemd 서비스는 SELinux 정책 패키지에 이러한 규칙을 포함하지 않기 때문에 /home/user/bin 임의 경로에서 명령을 실행할 수 없습니다. 결과적으로 비 시스템 경로에서 실행되는 사용자 지정 서비스가 실패하고 SELinux가 액세스를 거부하면 AVC(액세스 벡터 캐시) 거부 감사 메시지를 기록합니다. 이 문제를 해결하려면 다음 중 하나를 수행하십시오.

  • 스크립트를 -c 옵션과 함께 사용하여 명령을 실행합니다. 예를 들면 다음과 같습니다.

    bash -c command
  • /bin, /sbin, / usr/sbin, / usr/local/bin 및 / usr/local/ sbin 공통 디렉토리를 사용하여 공통 경로에서 명령을 실행합니다.

(BZ#1860443)

SSG의 특정 상호 의존 규칙 세트는 실패할 수 있습니다.

규칙 및 해당 종속 항목의 정의되지 않은 순서로 인해 벤치마크의 SCAP 보안 가이드 (SSG) 규칙 수정이 실패할 수 있습니다. 예를 들어, 한 규칙이 구성 요소를 설치하고 다른 규칙이 동일한 구성 요소를 구성하는 경우와 같이 두 개 이상의 규칙을 특정 순서로 실행해야 하는 경우 해당 규칙을 잘못된 순서로 실행하고 수정을 통해 오류를 보고할 수 있습니다. 이 문제를 해결하려면 수정을 두 번 실행하고 두 번째는 종속 규칙을 수정합니다.

(BZ#1750755)

GUI 또는 워크스테이션 소프트웨어 선택 및 CIS 보안 프로파일을 사용하여 서버를 설치할 수 없습니다.

CIS 보안 프로필은 GUI워크스테이션 소프트웨어 선택과 호환되지 않습니다. 결과적으로 GUI 소프트웨어 선택 및 CIS 프로파일을 사용하여 서버를 사용하여 RHEL 8을 설치할 수 없습니다. CIS 프로필을 사용하여 시도한 설치와 이러한 소프트웨어 선택 중 하나가 오류 메시지를 생성합니다.

package xorg-x11-server-common has been added to the list of excluded packages, but it can't be removed from the current software selection without breaking the installation.

이 문제를 해결하려면 GUI 또는 워크스테이션 소프트웨어 선택이 포함된 서버와 함께 CIS 보안 프로필을 사용하지 마십시오.

(BZ#1843932)

킥스타트에서는 RHEL 8에서 com _redhat_oscap 대신 org_fedora _oscap 을 사용합니다.

Kickstart는 OSCAP(Open Security Content Automation Protocol) Anaconda 애드온을 com_redhat _oscap 대신 org_fedora _oscap 으로 참조하여 혼동을 일으킬 수 있습니다. 이는 Red Hat Enterprise Linux 7과 이전 버전과의 호환성을 유지하기 위해 수행됩니다.

(BZ#1665082)

usbguard-notifier 가 저널에 너무 많은 오류 메시지를 기록합니다.

usbguard-notifier 서비스에는 usbguard-daemon IPC 인터페이스에 연결할 수 있는 프로세스 간 통신(IPC) 권한이 없습니다. 결과적으로 usbguard-notifier 가 인터페이스에 연결되지 않으며 해당 오류 메시지를 저널에 씁니다. usbguard-notifier--wait 옵션으로 시작되기 때문에 usbguard-notifier 가 연결 실패 후 1초마다 IPC 인터페이스에 연결을 시도합니다. 기본적으로 로그에는 이러한 메시지의 과도한 양이 곧 포함되어 있습니다.

이 문제를 해결하려면 usbguard-notifier 가 실행 중인 사용자 또는 그룹이 IPC 인터페이스에 연결하도록 허용합니다. 예를 들어 다음 오류 메시지에는 GDM(GNOME Display Manager)의 UID 및 GID 값이 포함되어 있습니다.

IPC connection denied: uid=42 gid=42 pid=8382, where uid and gid 42 = gdm

gdm 사용자에게 누락된 권한을 부여하려면 usbguard 명령을 사용하고 usbguard 데몬을 다시 시작합니다.

# usbguard add-user gdm --group --devices listen
# systemctl restart usbguard

누락된 권한을 부여하면 오류 메시지가 더 이상 로그에 표시되지 않습니다.

(BZ#2000000)

특정 rsyslog 우선 순위 문자열이 올바르게 작동하지 않음

암호화를 세밀하게 제어할 수 있는 imtcp 에 대한 GnuTLS 우선순위 문자열 지원은 완료되지 않습니다. 결과적으로, rsyslog 에서 다음 우선 순위 문자열이 제대로 작동하지 않습니다 :

NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+DHE-RSA:+AES-256-GCM:+SIGN-RSA-SHA384:+COMP-ALL:+GROUP-ALL

이 문제를 해결하려면 우선 순위 문자열이 올바르게 작동하는 경우에만 사용하십시오.

NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+ECDHE-RSA:+AES-128-CBC:+SIGN-RSA-SHA1:+COMP-ALL:+GROUP-ALL

따라서 현재 구성을 올바르게 작동하는 문자열로 제한해야 합니다.

(BZ#1679512)

10.7. 네트워킹

NetworkManager는 본딩 및 팀 포트 활성화를 특정 순서로 지원하지 않습니다

NetworkManager는 인터페이스 이름으로 인터페이스를 알파벳순으로 활성화합니다. 그러나 커널이 검색하는 데 더 많은 시간이 필요하기 때문에 부팅 중에 나중에 인터페이스가 표시되는 경우 NetworkManager는 나중에 이 인터페이스를 활성화합니다. NetworkManager는 본딩 및 팀 포트에서 우선 순위 설정을 지원하지 않습니다. 결과적으로 NetworkManager가 이러한 장치의 포트를 활성화하는 순서는 항상 예측 가능한 것은 아닙니다. 이 문제를 해결하려면 디스패치 스크립트를 작성합니다.

이러한 스크립트의 예는 티켓의 해당 주석 을 참조하십시오.

(BZ#1920398)

IPv6_rpfilter 옵션이 활성화된 시스템은 낮은 네트워크 처리량을 경험합니다.

firewalld.conf 파일에서 IPv6_rpfilter 옵션을 활성화한 시스템은 현재 100Gbps 링크와 같이 높은 트래픽 시나리오에서 차선의 성능과 낮은 네트워크 처리량을 경험합니다. 이 문제를 해결하려면 IPv6_rpfilter 옵션을 비활성화합니다. 이를 위해 /etc/firewalld/firewalld.conf 파일에 다음 행을 추가합니다.

IPv6_rpfilter=no

그 결과 시스템 성능이 향상되지만 보안도 줄어듭니다.

(BZ#1871860)

10.8. 커널

동일한 크래시 확장자를 다시 로드하면 분할 오류가 발생할 수 있습니다.

이미 로드된 크래시 확장자 파일의 사본을 로드하면 분할 오류가 발생할 수 있습니다. 현재 crash 유틸리티는 원본 파일이 로드되었는지 감지합니다. 결과적으로 crash 유틸리티에 공존하는 두 개의 파일이 동일하므로 네임스페이스 충돌이 발생하여 crash 유틸리티가 트리거되어 세그먼트화 오류가 발생합니다.

crash 확장자 파일을 한 번만 로드하여 문제를 해결할 수 있습니다. 따라서 설명된 시나리오에서 분할 오류가 더 이상 발생하지 않습니다.

(BZ#1906482)

메모리 핫플러그 또는 언플러그 작업 후 vmcore 캡처가 실패합니다.

메모리 핫플러그 또는 핫 플러그 해제 작업을 수행한 후에는 메모리 레이아웃 정보가 포함된 장치 트리를 업데이트한 후 이벤트가 제공됩니다. 따라서 makedumpfile 유틸리티는 존재하지 않는 실제 주소에 액세스를 시도합니다. 다음 모든 조건이 충족되면 문제가 표시됩니다.

  • RHEL 8을 실행하는 IBM Power System의 little-endian 변형.
  • kdump 또는 fadump 서비스가 시스템에서 활성화됩니다.

결과적으로 메모리 핫플러그 또는 핫 플러그 작업 후에 커널 충돌이 트리거되면 캡처 커널이 vmcore 를 저장하지 못합니다.

이 문제를 해결하려면 핫 플러그 또는 핫 플러그 후 kdump 서비스를 다시 시작하십시오.

# systemctl restart kdump.service

결과적으로 설명된 시나리오에 vmcore 가 성공적으로 저장됩니다.

(BZ#1793389)

RHEL 8의 크래시 캡처 환경에서 커널을 부팅하지 못했습니다.

디버그 커널의 메모리 집약적인 특성으로 인해 디버그 커널이 사용 중이고 커널 패닉이 트리거되면 문제가 발생합니다. 결과적으로 디버그 커널은 캡처 커널로 부팅할 수 없으며 대신 스택 추적이 생성됩니다. 이 문제를 해결하려면 필요에 따라 크래시 커널 메모리를 늘립니다. 결과적으로 디버그 커널이 크래시 캡처 환경에서 성공적으로 부팅됩니다.

(BZ#1659609)

부팅 시 크래시 커널 메모리 할당 실패

특정 Ampere Altra 시스템에서 BIOS 설정에서 32비트 지역이 비활성화되면 부팅 중에 크래시 커널 메모리를 할당하지 못합니다. 결과적으로 kdump 서비스가 시작되지 않습니다. 이는 4GB 미만의 영역에서 메모리 조각화로 발생하며 크래시 커널 메모리를 포함할 만큼 조각이 크지 않습니다.

이 문제를 해결하려면 다음과 같이 BIOS에서 32비트 메모리 영역을 활성화합니다.

  1. 시스템에서 BIOS 설정을 엽니다.
  2. 설정 메뉴 엽니다.
  3. Memory Configuration(메모리 구성) 에서 Slave 32비트 옵션을 활성화합니다.

결과적으로 32비트 지역 내의 커널 메모리 할당 충돌이 성공하고 kdump 서비스가 예상대로 작동합니다.

(BZ#1940674)

기본 크래시 커널 메모리를 사용하는 일부 KVM 가상 머신에서 kdump가 실패합니다

kdump 의 기본 메모리 양을 사용하여 커널 크래시 덤프를 캡처할 때 일부 KVM 가상 머신 kdump 가 실패합니다. 결과적으로 크래시 커널은 다음 오류를 표시합니다.

/bin/sh: error while loading shared libraries: libtinfo.so.6: cannot open shared object file: No such file or directory

이 문제를 해결하려면 kdump의 크기 요구 사항에 맞게 최소 32M까지 crashkernel= 옵션을 늘립니다. 예를 들어 최종 값은 현재 값과 32M의 합계여야 합니다.

crashkernel=auto 매개변수의 경우:

  1. 현재 메모리 크기를 확인하고 다음과 같이 32M만큼 크기를 늘립니다.

    echo $(($(cat /sys/kernel/kexec_crash_size)/1048576+32))M
  2. kernel crashkernel 매개 변수를 crashkernel=x 로 구성합니다. 여기서 x 는 증가 크기입니다.

(BZ#2004000)

QAT 관리자는 LKCF에 대한 예비 장치를 남겨 두지 않습니다.

Intel®QAT(QuickAssist Technology) 관리자(qatmgr)는 기본적으로 시스템의 모든 QAT 장치를 사용하는 사용자 공간 프로세스입니다. 그 결과 LKCF(Linux Kernel Cryptographic Framework)에 사용할 QAT 장치가 남아 있지 않습니다. 이 상황에서는 이 동작을 할 필요가 없으며 대부분의 사용자가 사용자 공간에서 가속화를 사용할 수 있습니다.

(BZ#1920086)

커널 ACPI 드라이버는 PCIe ECAM 메모리 리전에 액세스할 수 없음을 보고합니다.

펌웨어에서 제공하는 ACPI(Advanced Configuration and Power Interface) 표는 PCI 버스 장치의 현재 리소스 설정(_CRS) 방법의 PCI 버스에서 메모리 영역을 정의하지 않습니다. 결과적으로 시스템 부팅 중에 다음 경고 메시지가 발생합니다.

[    2.817152] acpi PNP0A08:00: [Firmware Bug]: ECAM area [mem 0x30000000-0x31ffffff] not reserved in ACPI namespace
[    2.827911] acpi PNP0A08:00: ECAM at [mem 0x30000000-0x31ffffff] for [bus 00-1f]

그러나 커널이 0x30000000-0x31ffff 메모리 영역에 계속 액세스할 수 있으며 해당 메모리 지역을 PCI ECAM(Enhanced Configuration Access Mechanism)에 올바르게 할당할 수 있습니다. 다음 출력으로 256바이트 오프셋을 통해 PCIe 구성 공간에 액세스하여 PCI ECAM이 올바르게 작동하는지 확인할 수 있습니다.

03:00.0 Non-Volatile memory controller: Sandisk Corp WD Black 2018/PC SN720 NVMe SSD (prog-if 02 [NVM Express])
 ...
        Capabilities: [900 v1] L1 PM Substates
                L1SubCap: PCI-PM_L1.2- PCI-PM_L1.1- ASPM_L1.2+ ASPM_L1.1- L1_PM_Substates+
                          PortCommonModeRestoreTime=255us PortTPowerOnTime=10us
                L1SubCtl1: PCI-PM_L1.2- PCI-PM_L1.1- ASPM_L1.2- ASPM_L1.1-
                           T_CommonMode=0us LTR1.2_Threshold=0ns
                L1SubCtl2: T_PwrOn=10us

결과적으로 경고 메시지를 무시할 수 있습니다.

문제에 대한 자세한 내용은 "Firmware Bug를 참조하십시오. ECAM 영역 mem 0x30000000-0x31ffffffffffff ff in ACPI namespace"는 시스템 부팅 솔루션 중에 표시됩니다.

(BZ#1868526)

tuned-adm profile powersave 명령을 사용하면 시스템이 응답하지 않습니다.

tuned-adm profile powersave 명령을 실행하면 이전 Thunderx(CN88x) 프로세서가 있는 Penguin Valkymaster 2000 2소켓 시스템이 응답하지 않는 상태가 됩니다. 그 결과 시스템을 재부팅하여 작동을 재개합니다. 이 문제를 해결하려면 시스템에서 언급된 사양과 일치하는 경우 powersave 프로필을 사용하지 마십시오.

(BZ#1609288)

irqpoll 을 사용하면 vmcore 생성에 실패합니다.

AWS(Amazon Web Services) 클라우드 플랫폼에서 실행되는 64비트 ARM 아키텍처의 nvme 드라이버에 대한 기존 문제로 인해 첫 번째 커널에 irqpoll 커널 명령줄 매개 변수를 제공할 때 vmcore 생성이 실패합니다. 결과적으로 커널 충돌 시 /var/crash/ 디렉토리에 vmcore 파일이 덤프되지 않습니다. 이 문제를 해결하려면 다음을 수행합니다.

  1. /etc/sysconfig/kdump 파일에 irqpollKDUMP_COMMANDLINE_REMOVE 에 추가합니다.

    KDUMP_COMMANDLINE_REMOVE="hugepages hugepagesz slub_debug quiet log_buf_len swiotlb"
  2. /etc/sysconfig/kdump 파일의 KDUMP_COMMANDLINE_APPEND 에서 irqpoll 을 제거합니다.

    KDUMP_COMMANDLINE_APPEND="irqpoll nr_cpus=1 reset_devices cgroup_disable=memory udev.children-max=2 panic=10 swiotlb=noforce novmcoredd"
  3. kdump 서비스를 다시 시작하십시오.

    systemctl restart kdump

결과적으로 첫 번째 커널이 올바르게 부팅되고 vmcore 파일이 커널 충돌 시 캡처될 것으로 예상됩니다.

kdump 서비스는 상당한 양의 크래시 커널 메모리를 사용하여 vmcore 파일을 덤프할 수 있습니다. 캡처 커널에 kdump 서비스에 사용할 수 있는 메모리가 충분한지 확인합니다.

이 알려진 문제에 대한 관련 정보는 irqpoll 커널 명령줄 매개 변수에서 vmcore 생성 실패 문서를 참조하십시오.

(BZ#1654962)

HP NMI 워치독이 항상 크래시 덤프를 생성하지는 않음

경우에 따라 HP NMI 워치독의 hpwdt 드라이버는 perfmon 드라이버에서 NMI(maskable interrupt)를 사용했기 때문에 HPE 워치독 타이머에서 생성한 NMI(NMI)를 요청할 수 없습니다.

누락된 NMI는 다음 두 가지 조건 중 하나로 시작됩니다.

  1. iLO(Integrated Lights-Out) 서버 관리 소프트웨어에서 Generate NMI 버튼. 이 버튼은 사용자가 트리거합니다.
  2. hpwdt watchdog. 만료는 기본적으로 서버로 NMI를 보냅니다.

두 시퀀스 모두 시스템이 응답하지 않는 경우 일반적으로 발생합니다. 정상적인 상황에서 이러한 두 상황에 대한 NMI 핸들러는 커널 panic() 함수를 호출하고 구성된 경우 kdump 서비스에서 vmcore 파일을 생성합니다.

그러나 누락된 NMI로 인해 kernel panic() 은 호출되지 않으며 vmcore 는 수집되지 않습니다.

첫 번째 사례(1.)에서 시스템이 응답하지 않은 경우 그대로 유지됩니다. 이 시나리오를 수행하려면 virtual Power(가상 전원 ) 버튼을 사용하여 서버를 재설정하거나 전원을 켭니다.

두 번째 경우(2.) 누락된 NMI는 AAS(Automated System Recovery)에서 9초 후에 재설정됩니다.

HPE Gen9 Server 라인은 이 문제를 한 자리 숫자 비율로 경험합니다. Gen10은 훨씬 더 작은 빈도입니다.

(BZ#1602962)

가상 머신에 가상 기능을 연결할 때 연결이 실패합니다

an ionic 장치 드라이버를 사용하는 Pensando 네트워크 카드는 VLAN 태그 구성 요청을 자동으로 수락하고VF(네트워크 가상 기능)를VM(가상 시스템)에 연결하는 동안 네트워크 연결을 구성합니다. 이 기능은 카드 펌웨어에서 아직 지원하지 않으므로 이러한 네트워크 연결이 실패합니다.

(BZ#1930576)

OPEN MPI 라이브러리는 기본 PML을 사용하여 런타임 오류를 트리거할 수 있습니다.

OPEN MPI(Open Message Passing Interface) 구현 4.0.x 시리즈에서 UKX(Unified Communication X)는 기본 PML(Point-to-Point Communicator)입니다. 최신 버전의 OPEN MPI 4.0.x 시리즈의 경우 openib Byte Transfer Layer(BTL)가 더 이상 사용되지 않습니다.

그러나 동일 하드웨어 및 소프트웨어 구성 ( 동일한 하드웨어 및 소프트웨어 구성)을 통해 실행되는 경우, UCX는 여전히 MPI 단면 작업에 openib BTL을 사용합니다. 결과적으로 실행 오류가 발생할 수 있습니다. 이 문제를 해결하려면 다음을 수행합니다.

  • 다음 매개변수를 사용하여 mpirun 명령을 실행합니다.
-mca btl openib -mca pml ucx -x UCX_NET_DEVICES=mlx5_ib0

다음과 같습니다.

  • m ca btl openib 매개 변수는 openib BTL을 비활성화합니다.
  • m ca pml ucx 매개 변수는 OPEN MPI를 구성하여 PM L을 사용합니다.
  • x UCX_NET_DEVICES= 매개변수는 지정된 장치를 사용하도록 UCX를 제한합니다.

OPEN MPI는 이기종 클러스터(다양한 하드웨어 및 소프트웨어 구성)를 통해 실행할 때 UCX를 기본 PML으로 사용합니다. 결과적으로 OPEN MPI 작업이 잘못된 성능, 응답 없는 동작 또는 크래시 오류로 실행될 수 있습니다. 이 문제를 해결하려면 UCX 우선 순위를 다음과 같이 설정합니다.

  • 다음 매개변수를 사용하여 mpirun 명령을 실행합니다.
-mca pml_ucx_priority 5

결과적으로 OPEN MPI 라이브러리는 UCX를 통해 사용 가능한 대체 전송 계층을 선택할 수 있습니다.

(BZ#1866402)

Solarflare는 최대 VF(가상 기능)를 생성하지 못합니다.

Solarflare NIC는 리소스가 부족하여 최대 VF 수를 생성하지 못합니다. PCIe 장치가 /sys/bus/pci/devices/PCI_ID/sriov_totalvfs 파일에 생성할 수 있는 최대 VF 수를 확인할 수 있습니다. 이 문제를 해결하려면 시작 시 Solarflare Boot Manager에서 VF 수 또는 VF MSI 인터럽트 값을 더 낮은 값으로 조정하거나 Solarflare sfboot 유틸리티를 사용할 수 있습니다. 기본 VF MSI 인터럽트 값은 8 입니다.

  • sfboot 를 사용하여 VF MSI 인터럽트 값을 조정하려면 다음을 수행합니다.
# sfboot vf-msix-limit=2
참고

VF MSI 인터럽트 값 조정은 VF 성능에 영향을 미칩니다.

그에 따라 조정할 매개변수에 대한 자세한 내용은 Solarflare Server Adapter 사용자 가이드를 참조하십시오.

(BZ#1971506)

10.9. 하드웨어 활성화

기본값 7 4 1 7 printk 값으로 인해 임시 시스템이 응답하지 않는 경우가 있습니다.

기본값 7 4 1 7 printk 값을 사용하면 커널 활동을 더 효과적으로 디버깅할 수 있습니다. 그러나 직렬 콘솔과 결합되는 경우 이 출력으로 인해 I/O 버스트가 발생하여 RHEL 시스템이 일시적으로 응답하지 않을 수 있습니다. 이 문제를 해결하기 위해 새로운 optimize-serial-console TuneD 프로파일을 추가하여 기본 인쇄 장치 값을 4 4 1 7 로 줄였습니다. 사용자는 다음과 같이 시스템을 계측할 수 있습니다.

# tuned-adm profile throughput-performance optimize-serial-console

재부팅 시 인쇄자 값을 영구적으로 유지하면 시스템이 중단될 가능성이 줄어듭니다.

이 설정은 추가 디버깅 정보를 손실하는 대신 발생합니다.

(JIRA:RHELPLAN-28940)

10.10. 파일 시스템 및 스토리지

LVM writecache의 제한 사항

writecache LVM 캐싱 방법에는 캐시 방법에 없는 다음과 같은 제한 사항이 있습니다.

  • pvmove 명령을 사용할 때는 writecache 논리 볼륨의 이름을 지정할 수 없습니다.
  • 씬 풀 또는 VDO와 함께 writecache 가 있는 논리 볼륨을 사용할 수 없습니다.

다음 제한 사항은 캐시 메서드에도 적용됩니다.

  • 캐시 또는 writecache 가 연결된 동안 논리 볼륨의 크기를 조정할 수 없습니다.

(JIRA:RHELPLAN-27987, BZ#1798631, BZ#1808012)

LUKS 볼륨을 저장하는 LVM 미러 장치가 응답하지 않는 경우가 있음

LUKS 볼륨을 저장하는 세그먼트 유형의 미러 가 있는 LVM 장치는 특정 조건에서 응답하지 않을 수 있습니다. 응답하지 않는 장치는 모든 I/O 작업을 거부합니다.

이 문제를 해결하려면 복원력 있는 소프트웨어 정의 스토리지 위에 LUKS 볼륨을 스택해야 하는 경우 미러 대신 RAID 1 장치를 미러 유형인 raid1 과 함께 사용하는 것이 좋습니다.

raid1 세그먼트 유형은 기본 RAID 구성 유형이며 권장 솔루션으로 미러 를 바꿉니다.

미러 장치를 RAID 로 변환하려면 미러링된 LVM 장치를 RAID1 장치로 변환을 참조하십시오.

(BZ#1730502)

/boot 파일 시스템을 LVM에 배치할 수 없습니다.

LVM 논리 볼륨에 /boot 파일 시스템을 배치할 수 없습니다. 이 제한은 다음과 같은 이유로 존재합니다.

  • EFI 시스템에서 EFI 시스템 파티션 은 일반적으로 /boot 파일 시스템 역할을 합니다. uEFI 표준에는 이 파티션에 대한 특정 GPT 파티션 유형과 특정 파일 시스템 유형이 필요합니다.
  • RHEL 8에서는 시스템 부팅 항목에 부트 로더 사양 (BLS)을 사용합니다. 이 사양을 사용하려면 플랫폼 펌웨어에서 /boot 파일 시스템을 읽을 수 있어야 합니다. EFI 시스템에서 플랫폼 펌웨어는 uEFI 표준에 정의된 /boot 구성만 읽을 수 있습니다.
  • GRUB 2 부트 로더의 LVM 논리 볼륨에 대한 지원은 불완전합니다. 이 기능의 사용 사례 수가 uEFI 및 BLS와 같은 표준으로 인해 감소하기 때문에 Red Hat은 지원을 개선하지 않을 계획입니다.

Red Hat은 LVM에서 /boot 를 지원할 계획도 없습니다. 대신 Red Hat은 /boot 파일 시스템을 LVM 논리 볼륨에 배치할 필요가 없는 시스템 스냅샷 및 롤백을 관리하는 툴을 제공합니다.

(BZ#1496229)

LVM에서 더 이상 혼합 블록 크기가 있는 볼륨 그룹을 생성할 수 없습니다.

vgcreate 또는 vgextend 와 같은 LVM 유틸리티는 더 이상 물리 볼륨(PV)에 논리 블록 크기가 다른 VG(볼륨 그룹)를 만들 수 없습니다. LVM은 다른 블록 크기의 PV로 기본 논리 볼륨(LV)을 확장하는 경우 파일 시스템이 마운트되지 않으므로 이러한 변경을 채택했습니다.

혼합 블록 크기를 사용하여 VG 생성을 다시 활성화하려면 lvm.conf 파일에 allow_ embeded_block_sizes=1 옵션을 설정합니다.

(BZ#1768536)

부팅 중에 초기 오류가 발생한 후 GRUB가 디스크에 액세스하도록 재시도합니다

SAN(Storage Area Networks)이 디스크 호출 열기읽기 를 인식하지 못하는 경우가 있습니다. 이전에는 GRUB 도구를 사용하여 grub_rescue 프롬프트에 들어가 부팅에 실패했습니다. 이번 업데이트를 통해 GRUB는 초기 호출을 통해 디스크를 열고 읽은 후 최대 20회까지 디스크에 액세스하려고 시도합니다. 이러한 시도 후에도 GRUB 도구를 열거나 디스크를 읽을 수 없는 경우 grub_rescue 모드로 들어갑니다.

(BZ#1987087)

XFS 할당량 경고가 너무 자주 트리거됩니다.

할당량 타이머를 사용하면 할당량 경고가 너무 자주 트리거되어 소프트 할당량이 필요한 것보다 빠르게 적용됩니다. 이 문제를 해결하려면 소프트 할당량을 사용하지 마십시오. 그러면 경고가 트리거되지 않습니다. 결과적으로 경고 메시지 양은 더 이상 소프트 할당량 제한을 적용하지 않고 구성된 타임아웃을 유지합니다.

(BZ#2059262)

10.11. 동적 프로그래밍 언어, 웹 서버 및 데이터베이스 서버

OQGraph 플러그인이 활성화된 경우 MariaDB 10.5 는 존재하지 않는 테이블을 삭제할 것을 경고하지 않습니다.

OQGraph 스토리지 엔진 플러그인이 MariaDB 10.5 서버에 로드되면 MariaDB 에서 존재하지 않는 테이블을 삭제할 것을 경고하지 않습니다. 특히 사용자가 DROP TABLE 또는 DROP TABLE IF EXISTS SQL 명령을 사용하여 존재하지 않는 테이블을 삭제하려고 하면 MariaDB 에서 오류 메시지를 반환하거나 경고를 기록하지 않습니다.

OQGraph 플러그인은 기본적으로 설치되지 않는 mariadb-oqgraph-engine 패키지에서 제공합니다.

(BZ#1944653)

PAM 플러그인 버전 1.0이 MariaDB에서 작동하지 않음

MariaDB 10.3 은 PAM(Pluggable Authentication Modules) 플러그인 버전 1.0을 제공합니다. MariaDB 10.5 는 플러그인 버전 1.0 및 2.0을 제공하며 버전 2.0은 기본값입니다.

MariaDB PAM 플러그인 버전 1.0은 RHEL 8에서 작동하지 않습니다. 이 문제를 해결하려면 mariadb:10.5 모듈 스트림에서 제공하는 PAM 플러그인 버전 2.0을 사용합니다.

(BZ#1942330)

getpwnam() 은 32비트 애플리케이션에 의해 호출될 때 실패할 수 있습니다.

NIS 사용자가 getpwnam() 함수를 호출하는 32비트 애플리케이션을 사용하는 경우 nss_nis.i686 패키지가 누락된 경우 호출이 실패합니다. 이 문제를 해결하려면 yum install nss_nis.i686 명령을 사용하여 누락된 패키지를 수동으로 설치합니다.

(BZ#1803161)

OpenLDAP 라이브러리 간의 기호 충돌로 인해 httpd에서 충돌이 발생할 수 있습니다.

OpenLDAP에서 제공하는 libldap 및 libldap_r 라이브러리가 모두 로드되고 단일 프로세스 내에서 사용되는 경우 이러한 라이브러리 간의 기호 충돌이 발생할 수 있습니다. 결과적으로 httpd 구성을 통해 mod_security 또는 mod_auth_ openidc 모듈도 로드하는 경우 PHP ldap 확장을 사용하는 Apache httpd 하위 프로세스가 예기치 않게 종료될 수 있습니다.

RHEL 8.3이 Apache APR(Apache Portable Runtime) 라이브러리로 업데이트되므로 httpd 모듈을 로드할 때 RTLD _DEEPBIND 동적 링커 옵션을 사용할 수 있는 APR _DEEPBIND 환경 변수를 설정하여 문제를 해결할 수 있습니다. APR_DEEPBIND 환경 변수가 활성화되면 라이브러리를 로드하는 httpd 구성에서 충돌이 발생하지 않습니다.

(BZ#1819607)

10.12. 컴파일러 및 개발 도구

CryptBlocks를 동일한 입력 스트림에 여러 번 사용하면 잘못된 암호화로 이어집니다.

Go FIPS 모드가 활성화되면 AES CBC CryptBlocks가 초기화 벡터를 잘못 다시 초기화합니다. 결과적으로 입력 스트림에서 CryptBlocks를 여러 번 사용하면 파일을 잘못 암호화합니다. 이 문제를 해결하려면 aes-cbc 인터페이스에서 IV를 다시 초기화하지 마십시오. 이 작업을 통해 파일을 올바르게 암호화할 수 있습니다.

(BZ#1972825)

10.13. IdM (Identity Management)

Windows Server 2008 R2 이전 버전은 더 이상 지원되지 않음

RHEL 8.4 이상에서 IdM(Identity Management)은 Windows Server 2008 R2 또는 이전 버전을 실행하는 Active Directory 도메인 컨트롤러를 사용하여 Active Directory에 대한 신뢰 설정을 지원하지 않습니다. RHEL IdM은 이제 Windows Server 2012 이상에서만 사용할 수 있는 신뢰 관계를 설정할 때 SMB 암호화가 필요합니다.

(BZ#1971061)

cert-fix 유틸리티를 --agent-uid pkidbuser 옵션과 함께 사용하면 인증서 시스템이 중단됩니다.

cert-fix 유틸리티를 --agent-uid pkidbuser 옵션과 함께 사용하면 인증서 시스템의 LDAP 구성이 손상됩니다. 결과적으로 인증서 시스템이 불안정해질 수 있으며 시스템을 복구하려면 수동 단계가 필요합니다.

(BZ#1729215)

freeradswitch는 249자보다 긴 터널 암호를 자동으로 잘립니다.

터널 비밀번호가 249자를 초과하면 FreeRADIUS 서비스가 자동으로 잘립니다. 이로 인해 다른 시스템과 예기치 않은 암호 비호환성이 발생할 수 있습니다.

문제를 해결하려면 249자 이하의 암호를 선택하십시오.

(BZ#1723362)

IdM 호스트의 /var/log/lastlog 스파스 파일에서 성능 문제가 발생할 수 있습니다.

IdM 설치 중에 총 10,000개의 가능한 범위의 UID 범위가 임의로 선택되어 할당됩니다. 이와 같이 임의의 범위를 선택하면 향후 두 개의 별도의 IdM 도메인을 병합하기로 결정한 경우 ID 충돌 가능성이 크게 줄어듭니다.

그러나 UID가 높으면 /var/log/lastlog 파일에 문제가 발생할 수 있습니다. 예를 들어 UID가 1280000008인 사용자가 IdM 클라이언트에 로그인하면 로컬 /var/log/lastlog 파일 크기가 거의 400GB로 증가합니다. 실제 파일은 스파스이고 모든 공간을 사용하지 않지만, 특정 애플리케이션은 기본적으로 스파스 파일을 식별하도록 설계되지 않으며 이를 처리하기 위해 특정 옵션이 필요할 수 있습니다. 예를 들어 설정이 복잡하고 백업이 있고 copy 애플리케이션이 스파스 파일을 올바르게 처리하지 않으면 파일이 크기가 400GB인 것처럼 복사됩니다. 이 동작으로 인해 성능 문제가 발생할 수 있습니다.

이 문제를 해결하려면 다음을 수행합니다.

  • 표준 패키지의 경우 해당 문서를 참조하여 스파스 파일을 처리하는 옵션을 식별합니다.
  • 사용자 지정 애플리케이션의 경우 /var/log/lastlog 와 같은 스파스 파일을 올바르게 관리할 수 있는지 확인합니다.

(JIRA:RHELPLAN-59111)

FIPS 모드는 공유 시크릿을 사용하여 Pod 간 신뢰성을 설정하는 것을 지원하지 않습니다.

NTLMSSP 인증은 FIPS와 호환되지 않기 때문에 공유 보안을 사용하여 포드 간 트러스트를 설정하는 것은 FIPS 모드에서 실패합니다. 이 문제를 해결하려면 FIPS 모드와 AD 도메인이 활성화된 IdM 도메인 간에 신뢰를 설정할 때 AD(Active Directory) 관리 계정으로 인증합니다.

(BZ#1924707)

freeradminating 서버가 FIPS 모드에서 실행되지 않음

기본적으로 FIPS 모드에서 OpenSSL은 MD5 다이제스트 알고리즘 사용을 비활성화합니다. RADIUS 프로토콜에서는 RADIUS 클라이언트와 RADIUS 서버 간의 시크릿을 암호화하기 위해 MD5가 필요하므로 FreeRADIUS 서버가 FIPS 모드에서 실패합니다.

이 문제를 해결하려면 다음 단계를 따르십시오.

절차

  1. 대체 서비스에 대한 환경 변수 RADIUS_MD5_FIPS_OVERRIDE 생성합니다.

    systemctl edit radiusd
    
    [Service]
    Environment=RADIUS_MD5_FIPS_OVERRIDE=1
  2. 변경 사항을 적용하려면 systemd 구성을 다시 로드하고 pilot d 서비스를 시작합니다.

    # systemctl daemon-reload
    # systemctl start radiusd
  3. 디버그 모드에서 FreeRADIUS를 실행하려면 다음을 수행합니다.

    # RADIUS_MD5_FIPS_OVERRIDE=1 radiusd -X

FreeRADIUS는 FIPS 모드에서 실행할 수 있지만 FIPS 모드에서 취약한 암호와 함수를 사용하기 때문에 FIPS와 호환되지 않는 것은 아닙니다.

FIPS 모드에서 FreeRADIUS 인증 구성에 대한 자세한 내용은 FIPS 모드에서 FreeRADIUS 인증을 구성하는 방법을 참조하십시오.

(BZ#1958979)

Samba를 출력 서버로 실행할 때 필요한 작업

이번 업데이트를 통해 samba 패키지에서 더 이상 /var/spool/samba/ 디렉터리를 생성하지 않습니다. Samba를 출력 서버로 사용하고 [printers] 공유에서 /var/spool/samba/ 를 사용하여 출력 작업을 스풀링하는 경우 SELinux는 Samba 사용자가 이 디렉토리에 파일을 만들지 못하게 합니다. 결과적으로 출력 작업이 실패하고 auditd 서비스는 거부된 메시지를 /var/log/audit/audit.log 에 기록합니다. 시스템을 RHEL 8.5로 업데이트한 후 이 문제를 방지하려면 다음을 수행하십시오.

  1. /etc/samba/smb.conf 파일에서 [printers] 공유를 검색합니다.
  2. 공유 정의에 path = /var/spool/samba/ 가 포함된 경우 설정을 업데이트하고 path 매개 변수를 /var/tmp/ 로 설정합니다.
  3. smbd 서비스를 다시 시작하십시오.

    # systemctl restart smbd

RHEL 8.5에 Samba를 새로 설치한 경우 조치가 필요하지 않습니다. RHEL 8.5의 samba-common 패키지에서 제공하는 기본 /etc/samba/smb.conf 파일은 이미 /var/tmp/ 디렉토리를 사용하여 출력 작업을 스풀링합니다.

(BZ#2009213)

NSS에서 활성화된 암호에 대한 default 키워드는 다른 암호와 함께 작동하지 않습니다.

Directory Server에서는 default 키워드를 사용하여 NSS(네트워크 보안 서비스)에서 활성화된 기본 암호를 참조할 수 있습니다. 그러나 명령줄 또는 웹 콘솔을 사용하여 기본 암호와 추가 암호를 활성화하려면 Directory Server에서 default 키워드를 확인하지 못합니다. 결과적으로 서버는 추가적으로 지정된 암호만 활성화하고 다음 오류를 기록합니다.

Security Initialization - SSL alert: Failed to set SSL cipher preference information: invalid ciphers <default,+__cipher_name__>: format is +cipher1,-cipher2... (Netscape Portable Runtime error 0 - no error)

이 문제를 해결하려면 추가로 활성화하려는 암호를 포함하여 NSS에서 기본적으로 활성화된 모든 암호를 지정합니다.

(BZ#1817505)

10.14. 데스크탑

소프트웨어 리포지토리에서 flatpak 리포지토리를 비활성화할 수 없습니다.

현재 GNOME 소프트웨어 유틸리티의 Software Repositories(소프트웨어 리포지토리) 도구에서 flatpak 리포지토리를 비활성화하거나 제거할 수 없습니다.

(BZ#1668760)

드래그 앤 드롭이 데스크탑과 응용 프로그램 간에 작동하지 않음

gnome-shell-extensions 패키지의 버그로 인해 현재 드래그 앤 드롭 기능이 데스크탑과 애플리케이션 간에 작동하지 않습니다. 이 기능에 대한 지원은 향후 릴리스에서 다시 추가될 예정입니다.

(BZ#1717947)

Generation 2 RHEL 8 가상 머신이 Hyper-V Server 2016 호스트에서 부팅되지 않는 경우가 있습니다.

Microsoft Hyper-V Server 2016 호스트에서 실행되는 VM(가상 머신)에서 RHEL 8을 게스트 운영 체제로 사용하는 경우, 경우에 따라 VM이 부팅되지 않고 GRUB 부팅 메뉴로 돌아갑니다. 또한 Hyper-V 이벤트 로그에 다음 오류가 기록됩니다.

The guest operating system reported that it failed with the following error code: 0x1E

이 오류는 Hyper-V 호스트의 UEFI 펌웨어 버그로 인해 발생합니다. 이 문제를 해결하려면 Hyper-V Server 2019를 호스트로 사용합니다.

(BZ#1583445)

현재 flat pak의 제한사항

flat pak 패키지 관리자를 사용하여 특정 애플리케이션을 설치할 수 있습니다. 그러나 현재 flatpak 은 특정 기능이나 기능이 누락되어 있습니다. 주요 사항:

  • flatpak 은 CVE 및 changelog 기능 패리티가 누락되어 있습니다. 현재 flat pak 애플리케이션의 GNOME Software 애플리케이션을 사용하면 해당 패키지 또는 CVE에 대한 정보가 없습니다.
  • Red Hat flat pak 원격 리포지토리를 추가할 때 GPG 키 검사가 기본적으로 비활성화되어 있습니다.
  • flatpak 애플리케이션에는 고유한 아이콘이 없습니다. Gnome Software 에서 애플리케이션은 rpm 및 flat pak 버전을 모두 표시합니다. 해결 방법으로 해당 아이콘에서 Show Details (세부 정보 표시)를 클릭하여 애플리케이션 원본을 찾을 수 있습니다.
  • flatpak 애플리케이션은 Kerberos 티켓을 처리할 수 없습니다.
  • 현재 south pak 애플리케이션에서 인쇄를 사용할 수 없습니다.
  • Red Hat flatpak 원격 은 자동으로 추가되지 않습니다. 이를 활성화하려면 제품 문서의 지침을 따르십시오. Red Hat flatpak 원격 활성화

(JIRA:RHELPLAN-100230)

10.15. 그래픽 인프라

단일 MST 토폴로지의 여러 디스플레이의 전원이 켜지지 않을 수 있습니다.

no 독립형 드라이버 와 함께 NVIDIA rpming GPU를 사용하는 시스템에서는 DisplayPort 허브(예: 랩탑 소켓)를 여러 모니터와 함께 사용하여 여기에 연결되면 켜지지 않을 수 있습니다. 이는 시스템이 모든 디스플레이를 지원하는 허브에 대역폭이 충분하지 않다고 잘못 생각하기 때문입니다.

(BZ#1812577)

Radeon이 하드웨어를 올바르게 재설정하지 못했습니다

현재 radeon 커널 드라이버는 kexec 컨텍스트에서 하드웨어를 올바르게 재설정하지 않습니다. 대신, radeon 이 종료되어 나머지 kdump 서비스가 실패합니다.

이 문제를 해결하려면 /etc/kdump.conf 파일에 다음 행을 추가하여 kdump 에서 radeon 을 비활성화합니다.

dracut_args --omit-drivers "radeon"
force_rebuild 1

시스템과 kdump 를 다시 시작합니다. kdump 를 시작한 후 force_rebuild 1 행이 구성 파일에서 제거될 수 있습니다.

이 시나리오에서는 kdump 중에 그래픽을 사용할 수 없지만 kdump 가 성공적으로 작동합니다.

(BZ#1694705)

ESXi의 GUI가 낮은 비디오 메모리로 인해 충돌할 수 있습니다.

vCenter Server 7.0.1을 사용하는 VMware ESXi 7.0.1 하이퍼바이저의 RHEL 가상 시스템(VM)의 GUI(그래픽 사용자 인터페이스)에는 특정 양의 비디오 메모리가 필요합니다. VM에 여러 콘솔 또는 고해상도 모니터를 연결하는 경우 GUI에는 최소 16MB의 비디오 메모리가 필요합니다. 더 적은 비디오 메모리로 GUI를 시작하면 GUI가 예기치 않게 종료될 수 있습니다.

문제를 해결하려면 하이퍼바이저를 구성하여 VM에 최소 16MB 이상의 비디오 메모리를 할당하도록 구성합니다. 결과적으로 VM의 GUI가 더 이상 충돌하지 않습니다.

(BZ#1910358)

VNC 뷰어는 IBM Z에서 16비트 색상 깊이로 잘못된 색상 표시

16비트 색상 깊이의 IBM Z 서버의 VNC 세션에 연결할 때 VNC 뷰어 애플리케이션은 잘못된 색상으로 표시합니다.

이 문제를 해결하려면 VNC 서버에서 24비트 색상 깊이를 설정합니다. Xvnc 서버와 함께 -depth 16 옵션을 Xvnc 구성에서 -depth 24 로 바꿉니다.

결과적으로 VNC 클라이언트는 올바른 컬러를 표시하지만 서버와 함께 더 많은 네트워크 대역폭을 사용합니다.

(BZ#1886147)

DF 디스플레이가 있는 Matrox GPU는 출력을 표시하지 않음

다음 시스템 구성을 사용하는 경우 디스플레이에 그래픽 출력이 표시되지 않을 수 있습니다.

  • Matrox MGA G200 제품군의 GPU
  • DVR 컨트롤러를 통해 연결된 디스플레이
  • UEFI가 기존 모드로 전환

따라서 이 구성에 RHEL을 사용하거나 설치할 수 없습니다.

문제를 해결하려면 다음 절차를 따르십시오.

  1. 시스템을 부트 로더 메뉴로 부팅합니다.
  2. 커널 명령줄에 nomodeset 옵션을 추가합니다.

결과적으로 RHEL은 부팅 및 그래픽 출력을 예상대로 표시하지만 최대 해상도는 제한적입니다.

(BZ#1953926)

sudo 명령을 사용하여 그래픽 애플리케이션을 실행할 수 없습니다

상승된 권한이 있는 사용자로 그래픽 애플리케이션을 실행하려고 하면 애플리케이션이 오류 메시지와 함께 열 수 없습니다. 인증에 일반 사용자 자격 증명을 사용하도록 X authority 파일에 의해 X wayland 가 제한되므로 오류가 발생합니다.

이 문제를 해결하려면 sudo -E 명령을 사용하여 그래픽 애플리케이션을 루트 사용자로 실행합니다.

(BZ#1673073)

ARM에서는 하드웨어 가속 기능이 지원되지 않습니다.

내장 그래픽 드라이버는 64비트 ARM 아키텍처에서 하드웨어 가속 또는 Vul¢ API를 지원하지 않습니다.

하드웨어 가속 또는 ARM을 사용하려면 독점형 Nvidia 드라이버를 설치합니다.

(JIRA:RHELPLAN-57914)

10.16. 가상화

PowerVM에서 IBMVFC 장치 핫플러그에 실패

PowerVM 하이퍼바이저에서 RHEL 8 게스트 운영 체제와 함께 VM(가상 머신)을 사용하는 경우 현재 실행 중인 VM에서 IBM Power Virtual Fibre Channel(IBMVFC) 장치를 제거하려고 합니다. 대신 탁월한 번역 오류가 표시됩니다.

이 문제를 해결하려면 VM이 종료되면 IBMVFC 장치를 제거합니다.

(BZ#1959020)

ibmvfc 드라이버를 사용할 때 IBM POWER 호스트가 충돌할 수 있습니다.

LPAR(Logical partition)에서 RHEL 8을 KVM 가상화 호스트로 실행하는 경우 현재 ibmvfc 드라이버에 문제가 있어 다양한 오류가 발생할 수 있습니다. 결과적으로 호스트의 커널은 다음과 같은 특정 상황에서 패닉될 수 있습니다.

  • LPM(Live Partition Mobility) 기능 사용
  • 호스트 어댑터 재설정
  • SCSI 오류 처리 (SCSI EH) 기능 사용

(BZ#1961722)

IBM POWER Systems에서 perf kvm 레코드 를 사용하면 VM이 충돌할 수 있습니다.

little-endian 변형 IBM POWER 하드웨어에서 RHEL 8 호스트를 사용하는 경우 perf kvm record 명령을 사용하여 KVM 가상 시스템(VM)에 대한 추적 이벤트 샘플을 수집하면 VM이 응답하지 않습니다. 이러한 상황은 다음과 같은 경우 발생합니다.

  • perf 유틸리티는 권한이 없는 사용자가 사용하며 -p 옵션은 VM(예: perf kvm record -e trace_cycles -p 12345)을 식별하는 데 사용됩니다.
  • VM은 virsh 쉘을 사용하기 시작했습니다.

이 문제를 해결하려면 perf kvm 유틸리티를 -i 옵션과 함께 사용하여 virsh 쉘을 사용하여 생성된 VM을 모니터링합니다. 예를 들면 다음과 같습니다.

# perf kvm record -e trace_imc/trace_cycles/  -p <guest pid> -i

i 옵션을 사용하면 하위 작업은 카운터를 상속하지 않으므로 스레드를 모니터링하지 않습니다.

(BZ#1924016)

virtio-blk를 사용하여 가상 머신에 LUN 장치를 연결하는 것은 작동하지 않습니다

q35 시스템 유형은 전환된 virtio 1.0 장치를 지원하지 않으므로 RHEL 8에는 virtio 1.0에서 더 이상 사용되지 않는 기능에 대한 지원이 없습니다. 특히 RHEL 8 호스트에서는 virtio-blk 장치에서 SCSI 명령을 보낼 수 없습니다. 결과적으로 virtio-blk 컨트롤러를 사용하면 가상 머신에 LUN 장치로 물리적 디스크를 연결할 수 없습니다.

실제 디스크를 게스트 운영 체제로 전달할 수 있지만 device=' lun'이 아닌 device='disk' 옵션을 사용하여 구성해야 합니다.

(BZ#1777138)

IBM POWER에서 시작하지 않는 가상 머신 with iommu_platform=on

RHEL 8에서는 현재 IBM POWER 시스템의 VM(가상 머신)에 대한 iommu_platform=on 매개 변수를 지원하지 않습니다. 결과적으로 IBM POWER 하드웨어에서 이 매개 변수로 VM을 시작하면 부팅 프로세스 중에 VM이 응답하지 않습니다.

(BZ#1910848)

Hyper-V가 활성화된 Windows Server 2016 가상 머신이 특정 CPU 모델을 사용할 때 부팅되지 않음

현재 Windows Server 2016을 게스트 운영 체제로 사용하고 Hyper-V 역할이 활성화되어 다음 CPU 모델 중 하나를 사용하는 VM(가상 머신)을 부팅할 수 없습니다.

  • EPYC-IBPB
  • EPYC

이 문제를 해결하려면 EPYC-v3 CPU 모델을 사용하거나 VM에 대해 xsaves CPU 플래그를 수동으로 활성화합니다.

(BZ#1942888)

RHEL 7-ALT 호스트에서 RHEL 8로 POWER9 게스트 마이그레이션에 실패

현재 POWER9 가상 시스템을 RHEL 7-ALT 호스트 시스템에서 RHEL 8로 마이그레이션하는 것은 마이그레이션 상태: active 상태로 응답하지 않습니다.

이 문제를 해결하려면 RHEL 7-ALT 호스트에서 THP(투명한 대규모 페이지)를 비활성화하여 마이그레이션을 성공적으로 완료할 수 있습니다.

(BZ#1741436)

virt-customize 를 사용하면 guestfs-firstboot 가 실패하는 경우가 있습니다.

virt-customize 유틸리티를 사용하여 VM(가상 시스템) 디스크 이미지를 수정한 후 잘못된 SELinux 권한으로 인해 guestfs-firstboot 서비스가 실패합니다. 이로 인해 VM을 시작하는 동안 사용자 생성 실패 또는 시스템 등록 실패와 같은 다양한 문제가 발생합니다.

이 문제를 방지하려면 virt -customize로 디스크 이미지를 수정한 후 VM의 커널 명령줄에 --selinux- relabel 을 추가합니다.

(BZ#1554735)

macvtap 가상 네트워크에서 전달 인터페이스를 삭제하면 이 네트워크의 모든 연결 수가 재설정됩니다.

현재 여러 전달 인터페이스를 사용하여 macvtap 가상 네트워크에서 전달 인터페이스를 삭제하면 네트워크의 다른 전달 인터페이스의 연결 상태도 재설정됩니다. 따라서 실시간 네트워크 XML의 연결 정보가 올바르지 않습니다. 그러나 가상 네트워크의 기능에는 영향을 미치지 않습니다. 이 문제를 해결하려면 호스트에서 libvirtd 서비스를 다시 시작합니다.

(BZ#1332758)

SLOF가 있는 가상 머신이 netcat 인터페이스에서 부팅되지 않음

netcat(nc)인터페이스를 사용하여 현재 SLOF(Slimline Open Firmware) 프롬프트에서 대기 중인 VM(가상 머신) 콘솔에 액세스할 때 사용자 입력이 무시되고 VM은 응답하지 않습니다. 이 문제를 해결하려면 VM에 연결할 때 nc -C 옵션을 사용하거나 telnet 인터페이스를 대신 사용합니다.

(BZ#1974622)

RHEL 8 게스트의 특정 상황에서 virtiofs 디렉토리 마운트 실패

현재 virtiofs 기능을 사용하여 VM(가상 머신)에 호스트 디렉터리를 제공할 때 VM에서 디렉터리를 마운트할 때 VM에서 RHEL 8.4 커널을 사용하고 RHEL 8.5 selinux-policy 패키지를 사용하는 경우 "Operation not supported" 오류와 함께 실패합니다.

이 문제를 해결하려면 게스트를 재부팅하고 게스트의 사용 가능한 최신 커널로 부팅합니다.

(BZ#1995558)

여러 virtio-blk 디스크를 사용할 때 가상 머신이 시작되지 않는 경우가 있습니다.

VM(가상 시스템)에 다수의 virtio-blk 장치를 추가하면 플랫폼에서 사용 가능한 인터럽트 벡터 수가 소진될 수 있습니다. 이 경우 VM의 게스트 OS가 부팅되지 않고 dracut-initqueue[392]를 표시합니다. 경고: 부팅할 수 없습니다 오류.

(BZ#1719687)

AMD EPYC에서 호스트 패스스루 모드를 사용할 때 VM에서 SMT CPU 토폴로지를 감지하지 않습니다.

AMD EPYC 호스트에서 CPU 호스트 패스스루 모드로 부팅되는 VM(가상 머신)이 부팅되면 CPU O EXT CPU 기능 플래그가 표시되지 않습니다. 결과적으로 VM은 코어당 여러 스레드가 있는 가상 CPU 토폴로지를 탐지할 수 없습니다. 이 문제를 해결하려면 호스트 통과 대신 EPYC CPU 모델로 VM을 부팅합니다.

(BZ#1740002)

10.17. 클라우드 환경의 RHEL

VMware 호스트의 RHEL 8 가상 머신에서 고정 IP를 설정할 수 없습니다.

현재 RHEL 8을 VMware 호스트에서 VM(가상 머신)의 게스트 운영 체제로 사용할 때 DatasourceOVF 기능이 제대로 작동하지 않습니다. 결과적으로 cloud-init 유틸리티를 사용하여 VM의 네트워크를 고정 IP로 설정한 다음 VM을 재부팅하면 VM의 네트워크가 DHCP로 변경됩니다.

(BZ#1750862)

Kdump가 Azure 및 Hyper-V에서 시작되지 않는 경우가 있습니다.

Microsoft Azure 또는 Hyper-V 하이퍼바이저에서 호스팅되는 RHEL 8 게스트 운영 체제에서는 실행 후 알림기를 활성화하면 kdump 커널을 시작할 수 없는 경우가 있습니다.

이 문제를 해결하려면 크래시 kexec 후 알림기를 비활성화합니다.

# echo N > /sys/module/kernel/parameters/crash_kexec_post_notifiers

(BZ#1865745)

여러 게스트 디스크로 Hyper-V VM을 부팅할 때 SCSI 호스트 주소가 변경될 수 있습니다.

현재 Hyper-V 하이퍼바이저에서 RHEL 8 가상 머신(VM)을 부팅할 때 일부 경우 호스트 , 버스, 대상, LBTL(Lun) SCSI 주소의 호스트 부분이 변경됩니다. 결과적으로 VM의 HBTL SCSI 식별 또는 장치 노드로 설정된 자동화된 작업이 일관적으로 작동하지 않습니다. VM에 디스크가 두 개 이상 있거나 디스크에 크기가 다른 경우 발생합니다.

문제를 해결하려면 다음 방법 중 하나를 사용하여 킥스타트 파일을 수정하십시오.

방법 1: SCSI 장치에 대한 영구 식별자를 사용합니다.

예를 들어 다음 powershell 스크립트를 사용하여 특정 장치 식별자를 확인할 수 있습니다.

# Output what the /dev/disk/by-id/<value> for the specified hyper-v virtual disk.
# Takes a single parameter which is the virtual disk file.
# Note: kickstart syntax works with and without the /dev/ prefix.
param (
    [Parameter(Mandatory=$true)][string]$virtualdisk
)

$what = Get-VHD -Path $virtualdisk
$part = $what.DiskIdentifier.ToLower().split('-')

$p = $part[0]
$s0 = $p[6] + $p[7] + $p[4] + $p[5] + $p[2] + $p[3] + $p[0] + $p[1]

$p = $part[1]
$s1 =  $p[2] + $p[3] + $p[0] + $p[1]

[string]::format("/dev/disk/by-id/wwn-0x60022480{0}{1}{2}", $s0, $s1, $part[4])

다음과 같이 hyper-v 호스트에서 이 스크립트를 사용할 수 있습니다.

PS C:\Users\Public\Documents\Hyper-V\Virtual hard disks> .\by-id.ps1 .\Testing_8\disk_3_8.vhdx
/dev/disk/by-id/wwn-0x60022480e00bc367d7fd902e8bf0d3b4
PS C:\Users\Public\Documents\Hyper-V\Virtual hard disks> .\by-id.ps1 .\Testing_8\disk_3_9.vhdx
/dev/disk/by-id/wwn-0x600224807270e09717645b1890f8a9a2

나중에 디스크 값은 다음과 같이 kickstart 파일에서 사용할 수 있습니다.

part / --fstype=xfs --grow --asprimary --size=8192 --ondisk=/dev/disk/by-id/wwn-0x600224807270e09717645b1890f8a9a2
part /home --fstype="xfs" --grow --ondisk=/dev/disk/by-id/wwn-0x60022480e00bc367d7fd902e8bf0d3b4

이러한 값은 각 가상 디스크에 고유하므로 각 VM 인스턴스에 대해 구성을 수행해야 합니다. 따라서 %include 구문을 사용하여 디스크 정보를 별도의 파일에 배치하는 것이 유용할 수 있습니다.

방법 2: 장치 선택을 크기별로 설정합니다.

크기를 기반으로 디스크 선택을 구성하는 킥스타트 파일에 다음과 유사한 행이 포함되어야 합니다.

...

# Disk partitioning information is supplied in a file to kick start
%include /tmp/disks

...

# Partition information is created during install using the %pre section
%pre --interpreter /bin/bash --log /tmp/ks_pre.log

	# Dump whole SCSI/IDE disks out sorted from smallest to largest ouputting
	# just the name
	disks=(`lsblk -n -o NAME -l -b -x SIZE -d -I 8,3`) || exit 1

	# We are assuming we have 3 disks which will be used
	# and we will create some variables to represent
	d0=${disks[0]}
	d1=${disks[1]}
	d2=${disks[2]}

	echo "part /home --fstype="xfs" --ondisk=$d2 --grow" >> /tmp/disks
	echo "part swap --fstype="swap" --ondisk=$d0 --size=4096" >> /tmp/disks
	echo "part / --fstype="xfs" --ondisk=$d1 --grow" >> /tmp/disks
	echo "part /boot --fstype="xfs" --ondisk=$d1 --size=1024" >> /tmp/disks

%end

(BZ#1906870)

10.18. 지원 관련 기능

redhat-support-toolFUTURE 암호화 정책에서 작동하지 않음

고객 포털 API의 인증서에서 사용하는 암호화 키가 FUTURE 시스템 전체 암호화 정책의 요구 사항을 충족하지 않으므로 redhat-support-tool 유틸리티는 현재 이 정책 수준에서 작동하지 않습니다.

이 문제를 해결하려면 고객 포털 API에 연결하는 동안 DEFAULT 암호화 정책을 사용하십시오.

(BZ#1802026)

10.19. 컨테이너

fuse-overlayfs가 있는 rootless 컨테이너는 제거된 파일을 인식하지 않습니다.

RHEL 8.4 및 이전 버전에서는 fuse-overlayfs 파일 시스템을 사용하여 rootless 이미지 및 컨테이너가 생성 또는 저장되었습니다. RHEL 8.5 이상에서 이러한 이미지와 컨테이너를 사용하면 커널에서 제공하는 overlayfs 구현 및 RHEL 8.4의 이미지에서 파일 또는 디렉터리를 제거한 overlayfs 구현을 사용하는 권한이 없는 사용자에게 문제가 발생할 수 있습니다. 이 문제는 root 계정으로 생성된 컨테이너에는 적용되지 않습니다.

예를 들어, fuse-overlayfs 파일 시스템을 사용할 경우 컨테이너에서 또는 이미지에서 제거할 파일 또는 디렉터리와 같이 화이트아웃 형식을 사용하여 표시됩니다. 그러나 형식 차이로 인해 커널 overlayfs 구현은 fuse-overlayfs에서 생성한 화이트아웃 형식을 인식하지 못합니다. 결과적으로 제거된 파일이나 디렉토리가 계속 표시됩니다. 이 문제는 root 계정으로 생성된 컨테이너에는 적용되지 않습니다.

이 문제를 해결하려면 다음 옵션 중 하나를 사용하십시오.

  1. podman unshare rm -rf $HOME/.local/share/containers/* 명령을 사용하여 권한이 없는 사용자의 컨테이너 및 이미지를 모두 제거합니다. 다음에 Podman을 실행하면 $HOME/.local/share/containers 디렉터리가 다시 생성되며 컨테이너를 다시 생성해야 합니다.
  2. rootless 사용자로 podman 명령을 계속 실행합니다. 업데이트된 버전의 podman 이 시스템에서 호출되면 $HOME/.local/share/containers 디렉터리에 있는 모든 파일을 검사하고 fuse-overlayfs를 사용할지 여부를 감지합니다. Podman은 검사 결과를 기록하여 나중에 검사를 다시 실행하지 않도록 합니다. 결과적으로 제거된 파일이 표시되지 않습니다.

fuse-overlayfs가 여전히 필요한지 감지하는 데 필요한 시간은 검사해야 하는 컨테이너 및 이미지의 수에 따라 달라집니다.

(JIRA:RHELPLAN-92741)

이전 컨테이너 이미지 내에서 systemd를 실행할 수 없습니다.

이전 컨테이너 이미지(예: centos:7) 내에서 systemd를 실행하면 작동하지 않습니다.

$ podman run --rm -ti centos:7 /usr/lib/systemd/systemd
 Storing signatures
 Failed to mount cgroup at /sys/fs/cgroup/systemd: Operation not permitted
 [!!!!!!] Failed to mount API filesystems, freezing.

이 문제를 해결하려면 다음 명령을 사용하십시오.

# mkdir /sys/fs/cgroup/systemd
# mount none -t cgroup -o none,name=systemd /sys/fs/cgroup/systemd
# podman run --runtime /usr/bin/crun --annotation=run.oci.systemd.force_cgroup_v1=/sys/fs/cgroup --rm -ti centos:7 /usr/lib/systemd/systemd

(JIRA:RHELPLAN-96940)

베타 GPG 키로 서명된 컨테이너 이미지를 가져올 수 없습니다.

현재 RHEL Beta 컨테이너 이미지를 가져오려고 하면 podman 이 오류 메시지와 함께 종료됩니다. 오류: 소스 이미지가 거부되었습니다. 서명이 승인되지 않았습니다. 기본적으로 RHEL 베타 GPG 키를 신뢰하지 않도록 현재 빌드로 인해 이미지를 가져오지 않습니다.

이 문제를 해결하려면 Red Hat Beta GPG 키가 로컬 시스템에 저장되어 있는지 확인하고 적절한 베타 네임스페이스에 대해 podman image trust set 명령으로 기존 신뢰 범위를 업데이트합니다.

베타 GPG 키가 로컬에 저장되지 않은 경우 다음 명령을 실행하여 가져올 수 있습니다.

sudo wget -O /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-beta https://www.redhat.com/security/data/f21541eb.txt

네임스페이스에 신뢰할 수 있는 베타 GPG 키를 추가하려면 다음 명령 중 하나를 사용합니다.

$ sudo podman image trust set -f /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-beta registry.access.redhat.com/namespace

$ sudo podman image trust set -f /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-beta registry.redhat.io/namespace

네임스페이스ubi9-beta 또는 rhel9-beta 로 바꿉니다.

(BZ#2020301)

11장. 국제화

11.1. Red Hat Enterprise Linux 8 국제 언어

Red Hat Enterprise Linux 8은 사용자의 요구 사항에 따라 다양한 언어의 설치와 언어 변경을 지원합니다.

  • 동아시아 언어 - 일본어, 한국어, 중국어 간체, 중국어 번체.
  • 유럽 언어 - 영어, 독일어, 스페인어, 프랑스어, 이탈리아어, 포르투갈어, 러시아어.

다음 표에는 다양한 주요 언어에 제공되는 글꼴 및 입력 방법이 나열되어 있습니다.

언어기본 글꼴 (Font Package)입력 방법

영어

dejavu-sans-fonts

 

프랑스어

dejavu-sans-fonts

 

독일어

dejavu-sans-fonts

 

이탈리아어

dejavu-sans-fonts

 

러시아어

dejavu-sans-fonts

 

스페인어

dejavu-sans-fonts

 

포르투갈어

dejavu-sans-fonts

 

중국어 간체

google-noto-sans-cjk-ttc-fonts, google-noto-serif-cjk-ttc-fonts

ibus-libpinyin, libpinyin

중국어 번체

google-noto-sans-cjk-ttc-fonts, google-noto-serif-cjk-ttc-fonts

ibus-libzhuyin, libzhuyin

일본어

google-noto-sans-cjk-ttc-fonts, google-noto-serif-cjk-ttc-fonts

ibus-kkc, libkkc

한국어

google-noto-sans-cjk-ttc-fonts, google-noto-serif-cjk-ttc-fonts

IBus-hangul, libhangul

11.2. RHEL 8 국제화의 주요 변경 사항

RHEL 8에서는 RHEL 7에 비해 국제화에 다음과 같은 변경 사항이 추가되었습니다.

  • 유니코드 11 컴퓨팅 업계 표준에 대한 지원이 추가되었습니다.
  • 국제화는 여러 패키지로 배포되므로 설치 공간을 더 적게 설치할 수 있습니다. 자세한 내용은 langpacks 사용을 참조하십시오.
  • 다수의 glibc 로케일이 Unicode Common Locale Data Repository(CLDR)와 동기화되었습니다.

부록 A. 구성 요소별 티켓 목록

Bugzilla 및 JIRA ID는 참조를 위해 이 문서에 나열되어 있습니다. 공개적으로 액세스할 수 있는 Bugzilla 버그에는 티켓 링크가 포함되어 있습니다.

구성 요소티켓

389-ds-base

BZ#1898541,BZ#1951020,BZ#1938239,BZ#1947044, BZ#1626633, BZ#1812286,BZ#1850664, BZ#1944494, BZ#1895460,BZ#1817505

NetworkManager

BZ#1912236, BZ#1899372, BZ#1942331, BZ#1934465, BZ#1548825, BZ#1920398

SLOF

BZ#1910848

accel-config

BZ#1843266

accountsservice

BZ#1812788

anaconda

BZ#1914955,BZ#1931069,BZ#1903786, BZ#1954408, BZ#1821192, BZ#1822880,BZ#1929105,BZ#1897657

ansible-collection-redhat-rhel_mgmt

BZ#1843859

apr

BZ#1819607

bpftrace

BZ#1944716

brltty

BZ#2008197

Chrony

BZ#1939295, BZ#1895003

cloud-init

BZ#1957532, BZ#1750862

cmake

BZ#1957947

cockpit

BZ#1666722

container-tools-rhel8-module

BZ#2009153

containers-common

BZ#2020301, BZ#2019901

coreutils

BZ#2030661

corosync-qdevice

BZ#1784200

충돌

BZ#1906482

createrepo_c

BZ#1973588

crypto-policies

BZ#1960266, BZ#1876846, BZ#1933016, BZ#1919155, BZ#1660839

distribution

BZ#1953991, BZ#1657927

dotnet6.0

BZ#2022794

dracut

BZ#1929201

DWZ

BZ#1948709

dyninst

BZ#1933893, BZ#1957942

edk2

BZ#1741615, BZ#1935497

elfutils

BZ#1933890, BZ#1957225

fence-agents

BZ#1775847

firewalld

BZ#1872702, BZ#1492722, BZ#1871860

freeradius

BZ#1954521, BZ#1977572, BZ#1723362, BZ#1958979

gcc-toolset-11-gdb

BZ#1954332

gcc-toolset-11

BZ#1953094

gcc

BZ#1974402, BZ#1946758, BZ#1946782, BZ#1927516, BZ#1979715

gdb

BZ#1854784, BZ#1853140

glibc

BZ#1934155, BZ#1912670, BZ#1930302

gnome-shell-extensions

BZ#1717947

gnome-shell

BZ#1935261, BZ#1651378

gnome-software

BZ#1668760

gnutls

BZ#1965445, BZ#1956783, BZ#1628553

go-toolset

BZ#1938071

golang

BZ#1979100, BZ#1972825

grafana-container

BZ#1971557

grafana-pcp

BZ#1921190

grafana

BZ#1921191

grub2

BZ#1583445

hwloc

BZ#1917560

ipa

BZ#1924707, BZ#1664719, BZ#1664718

ipmitool

BZ#1951480

kernel

BZ#1944639, BZ#1907271, BZ#1902543, BZ#1959772, BZ#1954363, BZ#1954363, BZ#1954024, BZ#1837389, BZ#1570255, BZ#18638339, BZ#1865745, BZ#1836058, BZ#1906870, BZ#1934033, BZ#191616, BZ#1959773, BZ#1954363, BZ#1924230 BZ#1942888, BZ#1868526, BZ#1812577, BZ#1694705, BZ#1910358, BZ#1953926, BZ#1730572, BZ#1930576, BZ#1609288, BZ#1793389, BZ#1654962, BZ#1666538, BZ#1602962, BZ#1602962, BZ#140674, BZ#1920086, BZ#1971506, BZ#1605216, BZ#1519039, BZ#1627455, BZ#1501618, BZ#1633143, BZ#1814836, BZ#1696451, BZ#1348508, BZ#1839311, BZ#1783396, JIRA:RHELPLAN-57712, BZ#183787 BZ#1904496, BZ#1660337, BZ#1905243, BZ#1878207, BZ#1665295, BZ#1871863, BZ#1569610, BZ#1794513

kexec-tools

BZ#1922951, BZ#1879558, BZ#1854037, BZ#1931266, BZ#2004000

krb5

BZ#1956388, BZ#1877991

libcomps

BZ#1960616

libgcrypt

BZ#1976137

libgnome-keyring

BZ#1607766

libguestfs

BZ#1554735

libmodulemd

BZ#1894573, BZ#1984402

librepo

BZ#1814383

libreswan

BZ#1958968, BZ#1934058, BZ#1934859, BZ#1989050

libselinux-python-2.8-module

BZ#1666328

libservicelog

BZ#1844430

libvirt

BZ#1664592, BZ#1332758, BZ#1528684

linuxptp

BZ#1895005

llvm-toolset

BZ#1927937

lsvpd

BZ#1844428

lvm2

BZ#1899214, BZ#1496229, BZ#1768536

mariadb-connector-odbc

BZ#1944692

mariadb

BZ#1944653, BZ#1942330

Mesa

BZ#1886147

modulemd-tools

BZ#1924850

mutt

BZ#1912614

net-snmp

BZ#1919714

nfs-utils

BZ#1868087, BZ#1592011

nginx

BZ#1945671

nispor

BZ#1848817

nodejs-16-container

BZ#2001020

nss_nis

BZ#1803161

nss

BZ#1817533, BZ#1645153

opal-prd

BZ#1921665

opencryptoki

BZ#1919223

opencv

BZ#1886310

openmpi

BZ#1866402

opensc

BZ#1947025

openscap

BZ#1959570, BZ#1953092, BZ#1966612

openslp

BZ#1965649

openssl

BZ#1810911

osbuild-composer

BZ#1945238, BZ#1937854, BZ#1915351, BZ#1951964

oscap-anaconda-addon

BZ#1691305, BZ#1674001, BZ#1843932, BZ#1665082

pacemaker

BZ#1948620, BZ#1443666

papi

BZ#1908126

pcp-container

BZ#1974912

pcp

BZ#1922040, BZ#1879350, BZ#1629455

pcs

BZ#1839637,BZ#1872378,BZ#1909901,BZ#1885293,BZ#1290830, BZ#1619620, BZ#1847102, BZ#1851335

pg_repack

BZ#1967193

php

BZ#1944110

pki-core

BZ#1729215

podman

JIRA:RHELPLAN-77542, JIRA:RHELPLAN-77241, BZ#1934480, JIRA:RHELPLAN-77238, JIRA:RHELPLAN-77489, JIRA:RHELPLAN-92741

postfix

BZ#1711885

powertop

BZ#1834722

ppc64-diag

BZ#1779206

pykickstart

BZ#1637872

qatlib

BZ#1920237

qemu-kvm

BZ#1740002, BZ#1719687, BZ#1651994

할당량

BZ#1945408

교체

BZ#1983013,BZ#1930662,BZ#1958247,BZ#1988493,BZ#1958222,BZ#1983003,BZ#1747468, BZ#1868421

redhat-release

BZ#1935177

redhat-support-tool

BZ#1802026

restore

BZ#1997366

rhel-system-roles

BZ#1960375,BZ#1866544,BZ#1961858,BZ#1958963,BZ#1938014,BZ#1954747,BZ#1854187,BZ#1757869,BZ#1990947, BZ#1952090,BZ#1994580,BZ#1967335,BZ#1966711,BZ#1962976,BZ#1938016,BZ#1986463,BZ#1970664,BZ#1970642, BZ#1848683,BZ#1938020,BZ#1938023,BZ#1957849,BZ#1959649,BZ#1939711,BZ#1943679,BZ#1882475,BZ#1876315, BZ#1894642,BZ#1989199,BZ#1893743

rpm

BZ#1938928, BZ#1688849

rsyslog

BZ#1891458, BZ#1932795, BZ#1679512, JIRA:RHELPLAN-10431

rt-tests

BZ#1954387

ruby

BZ#1938942

rust-toolset

BZ#1945805

samba

BZ#1944657, BZ#2009213, JIRA:RHELPLAN-13195

scap-security-guide

BZ#1857179,BZ#1946252, BZ#1955373, BZ#1966577,BZ#1970137,BZ#1993056,BZ#1993197,BZ#1876483,BZ#1955183,BZ#1843913,BZ#1858866,BZ#1750755

selinux-policy

BZ#1994096, BZ#1860443, BZ#1931848, BZ#1947841, BZ#1461914

socat

BZ#1947338

sos

BZ#1928679

spice

BZ#1849563

squid

BZ#1964384

sssd

BZ#1737489, BZ#1879869, BZ#1949149, BZ#1627112, BZ#1947671

systemtap

BZ#1933889, BZ#1957944

tboot

BZ#1947839

tesseract

BZ#1826085

tss2

BZ#1822073

tuned

BZ#1951992

udftools

BZ#1882531

udica

BZ#1763210

usbguard

BZ#2000000

valgrind

BZ#1933891, BZ#1957226

vdo

BZ#1949163

Wayland

BZ#1673073

xfsprogs

BZ#1949743

xorg-x11-server

BZ#1698565

기타

BZ#2005277,BZ#1839151, JIRA:RHELPLAN-89566, JIRA:RHELPLAN-92473, JIRA:RHELPLAN-96640, JIRA:RHELPLAN-97145, BZ#1935686, BZ#198600766, JIRA:RHELPLAN-75166, JIRA:RHELPLAN-92473, JIRA:RHELPLAN-97145, BZ#1986007, JIRA:RHELPLAN-76515 JIRA:RHELPLAN-57941, JIRA:RHELPLAN-85064, JIRA:RHELPLAN-87877, JIRA:RHELPLAN-75164, BZ#2011448 JIRA:RHELPLAN-99040, JIRA:RHELPLAN-99049, JIRA:RHELPLAN-99043, JIRA:RHELPLAN-99043, JIRA:RHELPLAN-87877, JIRA:RHELPLAN-99040 JIRA:RHELPLAN-99049 JIRA:RHELPLAN-99148, JIRA:RHELPLAN-61867, BZ#2013853,BZ#1957316, JIRA:RHELPLAN31674, BZ#2019318, JIRA:RHELPLAN-59528, JIRA:RHELPLAN-95056, BZ#1971061, BZ#1959020, BZ#1897383, BZ#1961722, BZ#1777138, BZ#1640697, BZ#1659609, BZ#1687900, BZ#1697896, BZ#1757877, BZ#1741436, JIRA:RHELPLAN-59111, JIRA:RHELPLAN-27987 JIRA:RHELPLAN-28940, JIRA:RHELPLAN-34199, JIRA:RHELPLAN-57914, JIRA:RHELPLAN-96940, BZ#1987087, BZ#1974622, BZ#1995558, BZ#2028361, BZ#2028071, BZ#15596, BZ#15596, BZ#1889737,BZ#1812552, JIRA:RHELPLAN-14047, BZ#1769727, JIRA:RHELPLAN-27394, JIRA:RHELPLAN-27737, BZ#1906489, JIRA:RHELPLAN-58596, BZ#1642765, JIRA:RHELPLAN-10304, BZ#1646541, BZ#1647725, BZ#1932222,BZ#1686057,BZ#1748980,BZ#1958250, BZJIRA:RHELPLAN-71200, BZ#1827628, JIRA:RHELPLAN-45858, BZ#1871025,BZ#1871953, BZ#1874892, BZ#1893767, BZ#1916296, JIRA:RHELPLAN-100400, BZ#1926114, BZ#1904251, BZ#2011208, JIRA:RHELPLAN-59825, BZ#1920624, JIRA:RHELPLAN-70700, BZ#1929173,BZ#2006665, BZ#PLAN-98983, BZ#2013335, BZ#2019786, BZ#2009113, BZ#2038929

부록 B. 개정 내역

0.1-9

Thu Jun 09, Lucie Vanowkové (lmanasko@redhat.com)

  • 알려진 문제 BZ#2059262 (File 시스템 및 스토리지)
  • 버그 수정 BZ#1940468 (Shells 및 명령줄 툴)이 추가되었습니다.
0.1-8

4월 29일, LRKKKKKKKK (lspackova@redhat.com)

0.1-7

Wed Apr 27, 2022, Gabriela FialovSample (gfialova@redhat.com)

  • BZ#2050140 을 Known Issues (Installer)에 추가했습니다.
0.1-6

2022년 4월 1일, Gabriela Fialovmake (gfialova@redhat.com)

  • 추가 된 RHELPLAN-57712 은 기술 프리뷰에서 기능 개선 (Networking)으로 이동했습니다.
0.1-5

Tue Mar 22, 2022, Lucie Manowskové (lmanasko@redhat.com)

0.1-5

Mon Mar 21, 2022, Jaroslav Klech (jklech@redhat.com)

  • 커널(Known Issues)에서 BZ#1666538을 제거합니다.
0.1-4

Thu Mar 17, 2022, Jaroslav Klech (jklech@redhat.commailto:jklech@redhat.com)

  • 알려진 문제(커널)에서 BZ#1947839를 제거했습니다.
0.1-3

2022년 2월 15일, Lucie Mahieraskovoctets( 참조하십시오.

0.1-2

2022년 2월 04일 Jaroslav Klech (jklech@redhat.commailto:jklech@redhat.com)

  • 더 이상 사용되지 않는 패키지 목록을 업데이트했습니다.
  • 더 이상 사용되지 않는 기능 BZ#1871863 (커널)이 추가되었습니다.
  • 더 이상 사용되지 않는 기능 BZ#2038929 (Shells 및 명령줄 툴)가 추가되었습니다.
0.1-1

2022년 2월 03일, Gabriela Fialovtekton( 참조하십시오.

  • 더 이상 사용되지 않는 기능 BZ#2009113 (Networking)이 추가되었습니다.
  • 더 이상 사용되지 않는 기능 BZ#1794513 (파일 시스템 및 스토리지)이 추가되었습니다.
0.1-0

2022년 2월 01일, Lucie Mahieraskovtekton( 참조하십시오.

  • 더 이상 사용되지 않는 기능 BZ#1997366 (Shells 및 명령줄 툴)이 추가되었습니다.
  • 알려진 문제에서 더 이상 사용되지 않는 기능(가상화)으로 BZ#1664592 가 변경되었습니다.
0.0-9

2022년 1월 27일, Lucie Mahieraskovoctets (lmanasko@redhat.commailto:lmanasko@redhat.com)

  • 알려진 문제(Shells 및 명령줄 툴)에 BZ#2030661 이 추가되었습니다.
  • 더 이상 사용되지 않는 장치 목록을 업데이트했습니다.
0.0-8

2022년 1월 17일, Lucie Mahieraskovoctets (lmanasko@redhat.commailto:lmanasko@redhat.com)

  • 새로운 기능(Containers)에 BZ#2009153 이 추가되었습니다.
  • 알려진 문제(설치 및 이미지 생성)에 BZ#2028361 이 추가되었습니다.
  • 더 이상 사용되지 않는 장치 목록을 업데이트했습니다.
0.0-7

2021년 12월 21일 화요일, Lenka pa¢á(lspackova@redhat.com)

  • soft-RoCE 드라이버인 rdma_rxe 에 대한 정보가 기술 프리뷰 BZ#1605216 및 더 이상 사용되지 않는 기능 BZ#1878207 (커널)에 추가되었습니다.
  • ubi8/nodejs-16 및 ubi8/nodejs -16-minimal 컨테이너 이미지 BZ#2001020 을 기술 프리뷰에서 완전히 지원되는 기능(컨테이너)으로 이동합니다.
0.0-6

2021년 12월 16일, 메니카 -파파산라(lspackova@redhat.com)

  • nodejs:16 모듈 스트림 BZ#1953991 을 기술 프리뷰에서 완벽하게 지원되는 기능(Dynamic 프로그래밍 언어, 웹 및 데이터베이스 서버)으로 이동.
0.0-5

2021년 12월 10일 금요일, Lucie Maásá(lmanasko@redhat.com)

  • 더 이상 사용되지 않는 기능 BZ#1827628 (파일 시스템 및 스토리지) 추가.
  • 알려진 문제(커널)에 BZ#1654962 가 추가되었습니다.
  • 기타 마이너 업데이트.
0.0-4

2021년 11월 22일, Lucie Maásá(lmanasko@redhat.com)

  • 업데이트된 새 기능 BZ#1922951 (커널).
  • 새로운 기능 BZ#1934480 (컨테이너)이 추가되었습니다.
  • 기타 마이너 업데이트.
0.0-3

2021년 11월 19일 금요일, Lucie Maásá(lmanasko@redhat.com)

  • 버그 수정(Kernel)에 BZ#1959772 및 BZ#1954363 이 추가되었습니다.
  • 버그 수정(ID 관리)에 BZ#1977572 가 추가되었습니다.
  • 새로운 기능(Compilers 및 개발 툴)에 BZ#2022794 추가.
  • 외부 커널 매개 변수에 변경에 대한 추가 정보.
0.0-2

2021년 11월 17일 수요일, Prerana Sharma(presharm@redhat.com)

  • 부록 A에 BZ#1944716 (bpftrace)이 추가되었습니다.
0.0-1

2021년 11월 10일 수요일, Lucie Maás¢(lmanasko@redhat.com)

  • Red Hat Enterprise Linux 8.5 릴리스 노트.
0.0-0

2021년 10월 6일, Lucie Maásá(lmanasko@redhat.com)

  • Red Hat Enterprise Linux 8.5 베타 릴리스 정보.