5장. RHEL 8.2.0 릴리스

5.1. 새로운 기능

이 부분에서는 Red Hat Enterprise Linux 8.2에 도입된 새로운 기능 및 주요 개선 사항에 대해 설명합니다.

5.1.1. 설치 프로그램 및 이미지 생성

시스템을 등록하고 RHEL 서브스크립션을 연결하며 Red Hat CDN에서 설치할 수 있는 기능

RHEL 8.2에서는 패키지 설치 전에 시스템을 등록하고 RHEL 서브스크립션을 연결한 다음 Red Hat CDN(콘텐츠 전달 네트워크)에서 설치할 수 있습니다. 대화형 GUI 설치와 자동화된 Kickstart 설치는 이 기능을 지원합니다. 이점은 다음과 같습니다.

  • 작은 부트 ISO 이미지 파일을 사용하면 더 큰 바이너리 DVD ISO 이미지 파일을 다운로드할 필요가 없습니다.
  • CDN은 최신 패키지를 사용하므로 설치 직후에 완전히 서브스크립션되고 최신 시스템이 생성됩니다. 설치 후 패키지 업데이트를 설치할 필요가 없습니다.
  • 등록은 패키지 설치 전에 수행되므로 설치 프로세스가 더 짧고 간소화됩니다.
  • Red Hat Insights에 대한 통합 지원이 제공됩니다.

(BZ#1748281)

설치 중에 시스템을 Red Hat Insights에 등록하는 기능

RHEL 8.2에서는 설치 중에 시스템을 Red Hat Insights에 등록할 수 있습니다. 대화형 GUI 설치와 자동화된 Kickstart 설치는 이 기능을 지원합니다.

이점은 다음과 같습니다.

  • 비즈니스 운영에 영향을 미치기 전에 문제를 쉽게 식별, 우선 순위 지정 및 해결할 수 있습니다.
  • 예측 분석을 통해 보안, 성능, 가용성 및 안정성에 대한 위협을 사전에 식별하고 해결합니다.
  • 귀사의 환경에서 문제와 계획되지 않은 다운타임을 방지할 수 있습니다.

(BZ#1746391)

Image Builder에서 Azure 이미지 생성을 위한 cloud-init 지원 제공

이번 개선된 기능을 통해 Image Builder에서 만든 Azure 이미지에 cloud-init 지원이 제공됩니다. 따라서 신속한 프로비저닝을 통해 온프레미스 이미지를 생성하고 사용자 지정 데이터를 추가하는 기능을 고객에게 사용할 수 있습니다.

(BZ#1754711)

새로운 킥스타트 명령 추가: rhsmzipl

이번 릴리스에서는 다음 킥스타트 명령이 추가되었습니다.

  • rhsm: 설치 중에 Red Hat에 시스템을 등록하려면 rhsm 명령을 사용합니다.
  • zipl: zipl 명령을 사용하여 IBM Z 시스템에 zipl 구성을 지정합니다.

(BZ#1972214)

5.1.2. 소프트웨어 관리

user-Agent 헤더 문자열에 /etc/os-release 파일에서 읽은 정보가 포함됩니다.

이번 개선된 기능을 통해 DNF에서 만든 HTTP 요청에 일반적으로 포함된 User-Agent 헤더 문자열이 /etc/os-release 파일에서 읽은 정보를 사용하여 확장되었습니다.

자세한 내용은 dnf.conf(5) 도움말 페이지에서 user_agent 를 참조하십시오.

(BZ#1676891)

모든 dnf-automatic.timer 타이머 장치는 기본적으로 실시간 시계를 사용합니다.

이전에는 dnf-automatic.timer 타이머 장치가 monotonic 클록을 사용했기 때문에 시스템 부팅 후 예기치 않은 활성화 시간이 발생했습니다. 이번 업데이트를 통해 타이머 장치는 오전 6시에서 오전 7시 사이에 실행됩니다. 이 시간 동안 시스템이 꺼진 경우 시스템을 부팅한 후 1시간 이내에 타이머 장치가 활성화됩니다.

(BZ#1754609)

createrepo_c 유틸리티는 이제 메타데이터에 허용하지 않는 제어 문자가 포함된 패키지를 건너뜁니다.

유효한 XML을 확인하려면 패키지 메타데이터에 다음을 제외하고 제어 문자가 없어야 합니다.

  • 수평 탭
  • 줄 바꿈 문자
  • 캐리지 반환 문자

이번 업데이트를 통해 createrepo_c 유틸리티에는 새로 생성된 리포지토리에 허용하지 않는 제어 문자가 포함된 메타데이터가 포함된 패키지가 포함되어 있지 않으며 다음과 같은 오류 메시지를 반환합니다. 

C_CREATEREPOLIB: Critical: Cannot dump XML for PACKAGE_NAME (PACKAGE_SUM): Forbidden control chars found (ASCII values <32 except 9, 10 and 13)

(BZ#1743186)

5.1.3. 쉘 및 명령행 툴

Open CV가 3.4.6 버전으로 업데이트

opencv 패키지가 업스트림 버전 3.4.6로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.

  • OPENCV_OPENCL_ BUILD_EXTRA_OPTIONS 및 OPENCV_OPENCL_ DEVICE_MAX_WORK_GROUP_SIZE 와 같은 새로운 Open CL 매개변수 지원.
  • 이제 objdetect 모듈에서 IC 코드 탐지 알고리즘을 지원합니다.
  • MatSize::dims 또는 VideoCapture:: getBackendName 과 같은 여러 새 메서드.
  • drawframeAxes 또는 getVersionMajor 와 같은 여러 새 함수.
  • SSSE3 명령을 사용할 때 GaussianBlur 함수, v_load_deinterleavev_store_interleave 내장 기능 개선 등 다양한 성능 향상.

(BZ#1694647)

5.1.4. 인프라 서비스

Graphviz-python3 이 CRB 리포지토리에 배포

이번 업데이트에서는 graphviz-python3 패키지가 RHEL 8에 추가됩니다. 패키지는 Python의 Graphviz 그래프 시각화 소프트웨어를 사용하는 데 필요한 바인딩을 제공합니다.

graphviz-python3 패키지는 지원되지 않는 CRB( CodeReady Linux Builder 리포지토리) 에 배포됩니다.

(BZ#1704875)

버전 2.13.0으로 조정

tuned 패키지가 업스트림 버전 2.13.0으로 업그레이드되었습니다. 주요 개선 사항은 다음과 같습니다.

  • 아키텍처에 따라 튜닝 프레임워크가 추가되었습니다.
  • 여러 include 지시문에 대한 지원이 추가되었습니다.
  • sap-hana,latency-performancerealtime 프로필의 튜닝이 업데이트되었습니다.

(BZ#1738250)

PowerTOP 버전 2.11로 업데이트

powertop 패키지가 다음과 같은 주요 변경 사항을 제공하는 버전 2.11로 업그레이드되었습니다.

  • EHL, TGL, ICL/ICX 플랫폼 지원

(BZ#1716721)

BIND에서 GeoLite Legacy GeoIP 대신 .GeoIP2 지원

GeoLite Legacy GeoIP 라이브러리는 더 이상 BIND에서 지원되지 않습니다. 이번 업데이트를 통해 GeoLite Legacy GeoP가 libmaxminddb 데이터 형식으로 제공되는 GeoIP2로 교체되었습니다.

새 형식에는 일부 구성을 변경해야 할 수 있으며 형식은 레거시 GeoIP ACL(액세스 제어 목록) 설정을 지원하지 않습니다.

  • GeoIP netspeed
  • GeoIP 조직
  • ISO 3166 Alpha-3 국가 코드

(BZ#1564443)

이제 stale-answer 에서RHEL 공격의 경우 오래된 캐시된 레코드를 제공합니다.

이전에는 DDoS(Distributed Denial of Service) 공격으로 인해 신뢰할 수 있는 서버가 SERVFAIL 오류로 실패했습니다. 이번 업데이트를 통해 새로운 응답을 받을 때까지 오래된 응답이 만료된 레코드를 제공합니다.

serve-stale 기능을 활성화하거나 비활성화하려면 다음 중 하나를 사용합니다.

  • 설정 파일
  • 원격 제어 채널(rndc)

(BZ#1664863)

BIND를 버전 9.11.13으로 업데이트

bind 패키지가 버전 9.11.13으로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.

  • tcp-highwater 통계 변수가 추가되었습니다. 이 변수는 실행 중에 기록된 최대 동시 TCP 클라이언트를 표시합니다.
  • SipHash-2-4기반 DNS 표시(RFC7873) 알고리즘이 추가되었습니다.
  • 최소 응답 구성 옵션을 설정하는 방법에 관계없이 루트 설정 쿼리에 대한 라벨 주소가 반환됩니다.
  • named-checkconf 명령은 이제 DNS64 네트워크 접두사의 유효성을 확인합니다.
  • trusted-keys 및 managed-keys 문이 모두 동일한 이름에 대해 구성된 경우 RFC 5011당 자동 롤오버가 더 이상 실패하지 않습니다. 대신 경고 메시지가 기록됩니다.
  • 이제 dignslookup 유틸리티의 국제화된 도메인 이름(IDN) 처리가 터미널에서 실행되지 않을 때 기본적으로 비활성화됩니다(예: 스크립트의). dig 에서 IDN 처리는 +idnin 및 +id nout 옵션을 사용하여 에서 전환할 수 있습니다.

(BZ#1704328)

5.1.5. 보안

RHEL 8에는 DISA STIG 프로필이 포함되어 있습니다.

STIG(Security Technical Implementation Guides)는 DSA( Defense Information Systems Agency)가 게시한 정보 시스템 및 소프트웨어의 보안을 강화하기 위해 게시한 기본 권장 사항 집합입니다. 이 릴리스에는 이 보안 정책에 대한 프로필 및 Kickstart 파일이 포함되어 있습니다. 이 향상된 기능을 통해 사용자는 Red Hat Enterprise Linux 8용 DISA STIG 호환 시스템을 준수하는 시스템을 규정 준수 여부를 확인하고 시스템을 수정할 수 있습니다.

(BZ#1755447)

crypto-policies 를 이제 사용자 정의 가능

이번 업데이트를 통해 모든 정책 수준의 특정 알고리즘 또는 프로토콜을 조정하거나 새 전체 정책 파일을 현재 시스템 전체 암호화 정책으로 설정할 수 있습니다. 이를 통해 관리자는 다양한 시나리오에서 필요에 따라 시스템 전체 암호화 정책을 사용자 지정할 수 있습니다.

RPM 패키지는 해당 정책이 제공하는 정책을 /usr/share/crypto-policies/policies 디렉토리에 저장해야 합니다. /etc/crypto-policies/policies 디렉터리에는 로컬 사용자 지정 정책이 포함되어 있습니다.

자세한 내용은 update -crypto-policies(8) 도움말 페이지 및 update- crypto-policies(8) 도움말 페이지의 Custom Policies 섹션을 참조하십시오.

(BZ#1690565)

SCAP Security Guide가 ACSC Essential Eight 지원

scap-security-guide 패키지는 이제 호주 사이버 보안 센터(ACSC) 필수 Eight 규정 준수 프로필과 해당 Kickstart 파일을 제공합니다. 이 향상된 기능을 통해 사용자는 이 보안 기준을 준수하는 시스템을 설치할 수 있습니다. 또한 OpenSCAP 제품군을 사용하여 ACSC에서 정의한 최소 보안 제어 사양으로 보안 준수 및 해결을 확인할 수 있습니다.

(BZ#1755194)

컨테이너 보안 및 규정 준수 검사를 위한 oscap-podman 사용 가능

이번 openscap 패키지 업데이트에서는 컨테이너의 보안 및 규정 준수 검사를 위한 새로운 유틸리티가 도입되었습니다. oscap-podman 툴은 RHEL 7에서 컨테이너 및 컨테이너 이미지 스캔을 위해 서비스를 제공하는 oscap-docker 유틸리티와 동등합니다.

(BZ#1642373)

setroubleshoot 에서 execmem 액세스 거부를 분석하고 대응할 수 있음

이번 업데이트에서는 새 setroubleshoot 플러그인이 도입되었습니다. 플러그인은 execmem 액세스 거부(AVC)를 분석하고 관련 조언을 제공할 수 있습니다. 결과적으로 setroubleshoot 는 액세스를 허용하는 경우 부울을 전환하거나 부울이 액세스를 허용하지 않을 때 문제를 보고할 수 있습니다.

(BZ#1649842)

새 패키지: setools-guisetools-console-analyses

이제 RHEL 7에 포함된 setools-gui 패키지가 RHEL 8에 도입되었습니다. 그래픽 도구를 사용하면 특히 고도의 전문 SELinux 정책이 있는 다단계 시스템에서 관계 및 데이터 흐름을 검사할 수 있습니다. setools-gui 패키지의 apol 그래픽 도구를 사용하면 SELinux 정책의 측면을 검사하고 분석할 수 있습니다. setools-console-analyses 패키지의 툴을 사용하면 도메인 전환 및 SELinux 정책 정보 흐름을 분석할 수 있습니다.

(BZ#1731519)

SELinux에서 제한된 사용자가 사용자 세션 서비스를 관리할 수 있음

이전에는 제한된 사용자가 사용자 세션 서비스를 관리할 수 없었습니다. 결과적으로 systemctl --user 또는 busctl --user 명령을 실행하거나 RHEL 웹 콘솔에서 작업할 수 없었습니다. 이번 업데이트를 통해 제한된 사용자는 사용자 세션을 관리할 수 있습니다.

(BZ#1727887)

lvmdbusd 서비스가 SELinux에 의해 제한됨

lvmdbusd 서비스는 LVM(논리 볼륨 관리자)에 D-Bus API를 제공합니다. 이전에는 lvm_t에 대한 SELinux 정책이 정의된 경우에도 lvmdbusd 데몬이 lvm_t 컨텍스트로 전환할 수 없었습니다. 결과적으로 lvmdbusd 데몬은 unconfined_service_t 도메인에서 실행되었으며 SELinux는 제한되지 않은 것으로 레이블이 지정되었습니다. 이번 업데이트를 통해 lvmdbusd 실행 파일에 lvm_exec_t 컨텍스트가 정의되어 있으며 lvmdbusd 를 강제 모드에서 SELinux에서 올바르게 사용할 수 있습니다.

(BZ#1726166)

semanage 는 SCTP 및 DCCP 포트 목록화 및 수정을 지원합니다.

이전에는 semanage 포트를 통해 TCP 및 UDP 포트만 나열하고 수정할 수 있었습니다. 이번 업데이트에서는 semanage 포트에 SCTP 및 DCCP 프로토콜 지원이 추가되었습니다. 결과적으로 관리자는 두 개의 시스템이 SCTP를 통해 통신할 수 있는지 확인하고 SCTP 기능을 완전히 활성화하여 SCTP 기반 애플리케이션을 성공적으로 배포할 수 있습니다.

(BZ#1563742)

semanage 내보내기에 허용 도메인과 관련된 사용자 정의 표시

이번 업데이트를 통해 SELinux용 policycoreutils 패키지에 속하는 semanage 유틸리티가 허용 도메인과 관련된 사용자 지정을 표시할 수 있습니다. 이제 시스템 관리자는 semanage export 명령을 사용하여 시스템 간에 허용된 로컬 수정 사항을 전송할 수 있습니다.

(BZ#1417455)

오디카는 SELinux 거부에서 생성된 기존 컨테이너 정책에 새 허용 규칙을 추가할 수 있습니다.

udica 유틸리티에서 생성한 정책에서 실행 중인 컨테이너에서 SELinux 거부를 트리거하면 이제 udica 가 정책을 업데이트할 수 있습니다. 새 매개변수 -a 또는 --append-rules 를 사용하여 AVC 파일에서 규칙을 추가할 수 있습니다.

(BZ#1732704)

새로운 SELinux 유형을 사용하면 서비스가 제한된 상태로 실행될 수 있습니다.

이번 업데이트에서는 unconfined_service_t 도메인에서 실행하지 않고 다음 서비스가 SELinux 강제 모드에서 제한된 서비스로 실행될 수 있는 새로운 SELinux 유형이 도입되었습니다.

  • lldpd 가 as lldpad_t실행
  • rrdcachedrrdcached_t로 실행됩니다
  • stratisd 는 이제 stratisd_t로 실행됩니다.
  • timedatextimedatex_t로 실행됩니다.

(BZ#1726246, BZ#1726255, BZ#1726259, BZ#1730204)

Clevis는 지정된 LUKS 장치에 대한 정책을 나열 할 수 있습니다.

이번 업데이트를 통해 clevis luks list 명령은 지정된 LUKS 장치에 대한 PBD 정책을 나열합니다. 이렇게 하면 사용 중인 Clevis 고정 및 고정 구성(예: Tang 서버 주소, tpm2 정책 세부 사항, SSS 임계값)에 대한 정보를 더 쉽게 찾을 수 있습니다.

(BZ#1766526)

Clevis는 키 상태를 보고하고 만료된 키를 다시 바인딩하기 위한 새로운 명령을 제공합니다.

clevis luks report 명령은 이제 특정 바인딩의 키에 회전이 필요한지 여부를 보고할 수 있는 간단한 방법을 제공합니다. Tang 서버의 일반 키 순환은 NBDE(Network-Bound Disk Encryption) 배포의 보안을 강화하므로 클라이언트는 만료된 키를 감지해야 합니다. 키가 만료되면 Clevis는 만료된 키 슬롯을 현재 키로 다시 바인딩하는 clevis luks regen 명령을 사용하도록 제안합니다. 이렇게 하면 키 순환 프로세스가 크게 간소화됩니다.

(BZ#1564559, BZ#1564566)

Clevis는 LUKS 장치에서 특정 슬롯을 바인딩하는 데 사용되는 암호를 추출할 수 있습니다

이번 업데이트를 통해 Clevis 정책 기반 암호 해독 프레임워크를 통해 LUKS 장치에서 특정 슬롯을 바인딩하는 데 사용되는 암호를 추출할 수 있습니다. 이전 버전에서는 LUKS 설치 암호를 지우면 관리자가 sss 임계값을 변경해야 할 때 Clevis에서 재암호화, 새 키 슬롯 활성화 및 Clevis와 같은 LUKS 관리 작업을 수행할 수 없었습니다. 이번 업데이트에서는 특정 슬롯을 바인딩하는 데 사용되는 암호를 표시하는 clevis luks pass 명령이 도입되었습니다.

(BZ#1436780)

Clevis는 부팅 시 여러 LUKS 장치의 암호 해독 지원 개선

부팅 시 여러 LUKS 암호화된 장치의 암호 해독을 지원하도록 clevis 패키지가 업데이트되었습니다. 이 기능이 향상되기 전에 관리자는 부팅 시 Clevis를 통해 여러 장치를 올바르게 해독할 수 있도록 시스템 구성을 복잡한 변경 작업을 수행해야 했습니다. 이번 릴리스에서는 clevis luks bind 명령을 사용하고 dracut -fv --regenerate-all 명령을 통해 initramfs를 업데이트하여 암호 해독을 설정할 수 있습니다.

자세한 내용은 정책 기반 암호 해독 섹션을 사용하여 암호화된 볼륨의 자동화된 잠금 해제 구성 섹션을 참조하십시오.

(BZ#1784524)

OpenSSL-pkcs11 을 Salesforce.10으로 업데이트

openssl-pkcs11 패키지가 업스트림 버전 0.2.10으로 업그레이드되어 이전 버전에 비해 많은 버그 수정 및 개선 사항을 제공합니다. openssl-pkcs11 패키지는 엔진 인터페이스를 통해 PKCS #11 모듈에 대한 액세스를 제공합니다. 새 버전에 의해 도입된 주요 변경 사항은 다음과 같습니다.

  • ECDSA 개인 키를 로드할 때 개인 키에 해당하는 공개 키 오브젝트를 사용할 수 없는 경우 엔진은 일치하는 인증서에서 공개 키를 로드합니다(있는 경우).
  • openssl-pk cs11 엔진은 지정된 PKCS #11 URI와 일치하는 모든 토큰을 검색하므로 일반 PKCS #11 URI(예: pkcs11:type=public )를 사용할 수 있습니다.
  • 시스템은 단일 장치가 URI 검색과 일치하는 경우에만 PIN으로 로그인하려고 합니다. 이렇게 하면 일치하는 모든 토큰에 PIN을 제공하여 인증 실패를 방지합니다.
  • 장치에 액세스할 때 openssl-pkcs11 엔진은 RSA 메서드가 RSA_FLAG_FIPS_METHOD 플래그로 구조를 나타냅니다. FIPS 모드에서 OpenSSL을 사용하려면 RSA 메서드 구조에 플래그를 설정해야 합니다. 엔진은 장치가 FIPS 인증인지 감지할 수 없습니다.

(BZ#1745082)

rsyslog 가 8.1911.0으로 업데이트

rsyslog 유틸리티가 업스트림 버전 8.1911.0으로 업그레이드되었으며 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 다음 목록에는 주요 개선 사항이 포함되어 있습니다.

  • omhttp 모듈을 사용하면 HTTP REST 인터페이스를 통해 메시지를 보낼 수 있습니다.
  • 파일 입력 모듈이 개선되어 안정성, 오류 보고 및 축소 탐지 기능이 향상됩니다.
  • 모든 작업에 사용할 수 있는 새로운 action.resumeIntervalMax 매개변수는 지정된 값에서 재시도 간격 증가를 제한할 수 있습니다.
  • TLS에 대한 새로운 StreamDriver.PermitExpiredCerts 옵션은 인증서가 만료된 경우에도 연결을 허용합니다.
  • 이제 구성된 외부 파일 콘텐츠를 기반으로 출력을 일시 중지하고 재개할 수 있습니다. 이 기능은 다른 끝에 항상 메시지를 허용하고 메시지를 모두 처리할 수 없을 때 자동으로 메시지를 삭제하는 경우에 유용합니다.
  • file 출력 모듈에 대한 오류 보고가 개선되고 이제 실제 파일 이름 및 오류 원인에 대한 자세한 정보가 포함되어 있습니다.
  • 이제 디스크 대기열에서 다중 스레드를 실행하여 성능을 향상시킵니다.
  • 더 엄격한 TLS 운영 모드를 설정할 수 있습니다. extendedKeyUsage 인증서 필드 확인 및 CN/SAN 인증서 필드의 엄격한 검사.

(BZ#1740683)

rsyslog 는 HTTP REST 인터페이스를 통한 통신용 omhttp 플러그인 제공

rsyslog 패키지 업데이트를 통해 새 omhttp 플러그인을 사용하여 Ceph 스토리지 플랫폼, Amazon S3(Amazon Simple Storage Service) 및 Grafana Loki와 같은 REST(Representational State Transfer) API를 사용하여 서비스와 호환되는 출력을 생성할 수 있습니다. 이 새로운 HTTP 출력 모듈은 구성 가능한 REST 경로 및 메시지 형식을 제공하며 다양한 일괄 처리 형식, 압축 및 TLS 암호화를 지원합니다.

자세한 내용은 rsyslog-doc 패키지를 사용하여 시스템에 설치된 /usr/share/doc/rsyslog/html/configuration/modules/omhttp.html 파일을 참조하십시오.

(BZ#1676559)

rsyslogomelasticsearch 에서 rebindinterval지원

이번 rsyslog 패키지 업데이트에서는 omelasticsearch 모듈에서 기간 재연결 시간을 설정할 수 있도록 지원합니다. 시나리오에 따라 이 매개변수를 설정하여 Elasticsearch 노드의 클러스터에 레코드를 보낼 때 성능을 향상시킬 수 있습니다. rebindinterval 매개 변수 값은 rsyslog 가 연결을 닫고 새 노드를 설정한 후 노드에 제출된 작업 수를 나타냅니다. 기본값 -1rsyslog 가 연결을 다시 설정하지 않음을 의미합니다.

(BZ#1692073)

rsyslog mmkubernetes 에서 메타데이터 캐시 만료 제공

rsyslog 패키지 업데이트를 통해mm kubernetes 모듈에 두 개의 새 매개변수를 사용하여 메타데이터 캐시 만료를 설정할 수 있습니다. 이렇게 하면 삭제된 Kubernetes 오브젝트가mm kubernetes 정적 캐시에서 제거됩니다. cacheentrytl 매개 변수 값은 캐시 항목의 최대 사용 기간을 초 단위로 나타냅니다. cacheexpireinterval 매개변수의 값은 다음과 같습니다.

  • -1 캐시 만료 검사 비활성화
  • 0 캐시 만료 검사 활성화
  • 정규 캐시 만료 검사의 경우 초 단위가 0보다 큽니다.

(BZ#1692072)

감사 버전 3.0-0.14로 업데이트

감사 패키지가 업스트림 버전 3.0-0.14로 업그레이드되어 이전 버전에 대해 많은 버그 수정 및 개선 사항을 제공합니다. 특히 다음과 같습니다.

  • syslog 플러그인의 필드를 해석하는 옵션 추가
  • 30ospp-v42.rules 파일을 더 세분화된 파일로 나눕니다
  • /usr/share/audit/sample-rules/ 디렉토리로 예제 규칙 이동
  • 원격 로깅을 위한 고정 감사 KRB5 전송 모드

(BZ#1757986)

이제 audit에 커널 v5.5-rc1의 많은 개선 사항이 포함되어 있습니다.

이 Linux 커널에는 감사 하위 시스템과 관련된 대부분의 개선 사항, 버그 수정 및 정리가 포함되며 버전 4.18과 5.5-rc1 간에 도입되었습니다. 다음 목록은 중요한 변경 사항을 강조 표시합니다.

  • 필터링을 위한 exe 필드의 추가 사용
  • v3 네임 스페이스 기능 지원
  • 원격 파일 시스템에서 필터링 개선 사항
  • gid 필터 규칙 수정
  • 사용 후 메모리 손상 및 메모리 누수 수정
  • 이벤트-레코드 연결 개선
  • 팬의 인터페이스, 감사 구성 옵션 및 syscall 인터페이스 정리
  • EVM(Extended Verification Module) 반환 값 수정
  • 여러 레코드 형식의 수정 및 정리
  • VFS(가상 파일 시스템) 감사의 간소화 및 수정

(BZ#1716002)

fapolicyd 가 0.2.1-2로 업데이트

RHEL 애플리케이션 화이트리스트를 제공하는 fapolicyd 패키지가 업스트림 버전 0.2.1-2로 업그레이드되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • 프로세스 ID가 고정되었습니다.
  • 제목 부분과 객체 부분은 이제 규칙에 따라 엄격하게 배치됩니다. 두 부분 모두 콜론으로 구분되며 필요한 권한(실행, 열기)이 포함됩니다.
  • subject 및 object 속성이 통합됩니다.

  • 새 규칙 형식은 다음과 같습니다. 

    DECISION PERMISSION SUBJECT : OBJECT

    예를 들면 다음과 같습니다. 

    allow perm=open exe=/usr/bin/rpm : all

(BZ#1759895)

sudo 가 1.8.29-3.el8로 업데이트

sudo 패키지가 업스트림 버전 1.8.29-3으로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 새 버전에 의해 도입된 주요 변경 사항은 다음과 같습니다.

  • sudo 는 표준 출력 또는 표준 오류 출력 대신 PAM(Pluggable Authentication Module) 메시지를 사용자 터미널에 작성합니다. 이렇게 하면 파일 및 파이프로 전송된 PAM 출력과 명령 출력의 혼동을 방지할 수 있습니다.
  • 이제 LDAP 및 SSSD의 notBefore 및 notAfter 옵션이 작동하고 sudo -l 명령으로 올바르게 표시됩니다.
  • 이제 LDIF에서 sudoers 및 JSON 형식으로 변환할 때 cvtsudoers 명령은 LDIF(비LDAP Data Interchange Format) 입력을 거부합니다.
  • sudoers 에 대한 새로운 log_allowedlog_denied 설정을 사용하면 허용 및 거부된 명령의 로깅 및 감사를 비활성화할 수 있습니다.
  • 이제 sudo 옵션을 -g 옵션과 함께 사용하여 runas_spec 사양에 그룹이 없는 경우에도 대상 사용자 그룹과 일치하는 그룹을 지정할 수 있습니다. 이전에는 그룹이 대상 사용자의 기본 그룹과 일치하는 경우에만 이를 수행할 수 있었습니다.
  • sudo 가 호스트 이름과 ipa_hostname 값을 지정하면 sssd.conf 에서 일치하지 않도록 하는 버그 수정.
  • ALL 키워드를 사용하여 Runas 사양에서 root로 명령을 실행할 수 있는 취약점(CVE-2019-14287)이 수정되었습니다.
  • 허용 sudoers 항목에 대해 알 수 없는 사용자 및 그룹 ID(예: ALL 키워드 사용)가 비활성화되었습니다. runas_allow_unknown_id 설정(CVE-2019-19232)으로 활성화할 수 있습니다.

(BZ#1733961)

pam_namespace 모듈을 사용하여 tmpfs에 대한 추가 마운트 옵션을 지정할 수 있습니다.

이제 nosuid,noexecnodev 마운트 옵션을 /etc/security/namespace.conf 구성 파일에서 각각 setuid bit effect를 비활성화하고, 실행 파일을 비활성화하고, 마운트된 tmpfs 파일 시스템에서 파일을 문자 또는 블록 장치로 해석하지 않도록 할 수 있습니다.

추가 마운트 옵션은 tmpfs(5) 도움말 페이지에 지정되어 있습니다.

(BZ#1252859)

pam_faillock 이 이제 faillock.conf 구성 파일에서 설정을 읽을 수 있습니다.

PAM(장착형 인증 모듈)의 일부인 pam_faillock 모듈은 이제 /etc/security/faillock.conf 에 있는 구성 파일에서 설정을 읽을 수 있습니다. 이렇게 하면 인증 실패 시 계정 잠금을 쉽게 설정하고, 이 기능에 대한 사용자 프로필을 제공하고, 단순히 faillock.conf 파일을 편집하여 다른 PAM 구성을 처리할 수 있습니다.

(BZ#1537242)

5.1.6. 네트워킹

사용자 공간 애플리케이션에서 커널에서 선택한 netns ID를 검색할 수 있습니다

사용자 공간 애플리케이션은 커널을 요청하여 새 netns ID를 선택하고 네트워크 네임 스페이스에 할당할 수 있습니다. 이 향상된 기능을 통해 커널에 RTM _NETNSID netlink 메시지를 보낼 때 NLM_ F_ECHO 플래그를 지정할 수 있습니다. 그런 다음 커널이 netlink 메시지를 사용자에게 다시 전송합니다. 이 메시지에는 커널이 선택한 값으로 설정된 netns ID가 포함됩니다. 결과적으로 사용자 공간 애플리케이션에 커널이 선택한 넷링크 ID를 식별할 수 있는 안정적인 옵션이 있습니다.

(BZ#1763661)

firewalld 를 버전으로 업데이트

firewalld 패키지가 버전으로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.

  • firewalld 의 이 버전에는 버전 0.7.0 이후의 모든 버그 수정이 포함되어 있습니다.
  • firewalld 는 이제 libnftables JSON 인터페이스를 nftables 하위 시스템에 사용합니다. 이를 통해 규칙 애플리케이션의 성능과 안정성이 향상됩니다.
  • 서비스 정의에서 새 helper 요소는 모듈을 대체합니다.
  • 이 버전에서는 사용자 지정 도우미가 표준 도우미 모듈을 사용할 수 있습니다.

(BZ#1740670)

ndptool에서 IPv6 헤더에 대상 주소를 지정할 수 있음

이번 업데이트를 통해 ndptool 유틸리티는 IPv6 헤더에 주소를 지정하여 NS) 또는 Neighbor Advertisement(NA) 메시지를 특정 대상으로 보낼 수 있습니다. 결과적으로 링크-로컬 주소만 아닌 주소로 메시지를 보낼 수 있습니다.

(BZ#1697595)

nftables 에서 다차원 IP 집합 유형 지원

이 향상된 기능을 통해 nftables 패킷 필터링 프레임워크는 연결 및 간격이 있는 세트 유형을 지원합니다. 결과적으로 관리자는 더 이상 다차원 IP 집합 유형을 생성하기 위한 임시 해결책이 필요하지 않습니다.

(BZ#1593711)

nftables 가 4.4.3 버전으로 업데이트

nftables 패키지가 업스트림 버전 0.2.3으로 업그레이드되어 이전 버전에 비해 많은 버그 수정 및 개선 사항을 제공합니다.

  • JSON API가 libnftables 라이브러리에 추가되었습니다. 이 라이브러리는 타사 애플리케이션에서 nftables 규칙 세트를 관리할 수 있는 고급 인터페이스를 제공합니다. Python에서 새 API를 사용하려면 python3-nftables 패키지를 설치합니다.
  • 문은 IP 접두사 및 범위를 지원합니다(예: 192.0.2.0/24192.0.2.0-192.0.2.30 ).
  • 예상된 운영 체제를 기반으로 패킷을 표시하기 위해 운영 체제 지문 지원이 추가되었습니다. 자세한 내용은 nft(8) 도움말 페이지의 osf 표현식 섹션을 참조하십시오.
  • 패킷 헤더를 어떠한 방식으로든 변경하지 않고 패킷을 로컬 소켓으로 리디렉션하기 위해 투명한 프록시 지원이 추가되었습니다. 자세한 내용은 nft(8) 도움말 페이지의 tproxy 문 섹션을 참조하십시오.
  • 기본적으로 nft 체인은 nft 체인을 만드는 동안 우선 순위 집합의 텍스트 이름을 표시합니다. 표준 우선 순위 숫자 값을 보려면 -y 옵션을 사용합니다.
  • 보안 마크 지원이 추가되었습니다.
  • 패킷 경로에서 업데이트를 설정하도록 동적 세트 업데이트에 대한 지원이 개선되었습니다.
  • 전송 헤더 포트 일치에 대한 지원이 추가되었습니다.

주요 변경 사항에 대한 자세한 내용은 업데이트하기 전에 업스트림 릴리스 노트를 참조하십시오.

(BZ#1643192)

firewalld 서비스의 규칙은 비표준 포트에서 실행되는 서비스에 연결 추적 도우미를 사용할 수 있습니다.

firewalld 서비스의 사용자 정의 도우미는 이제 표준 커널 도우미 모듈을 사용할 수 있습니다. 이를 통해 관리자는 firewalld 규칙을 생성하여 비표준 포트에서 실행되는 서비스에 연결 추적 도우미를 사용할 수 있습니다.

(BZ#1733066)

whois 패키지를 사용할 수 있습니다

이번 개선된 기능을 통해 이제 RHEL 8.2.0에서 whois 패키지를 사용할 수 있습니다. 결과적으로 특정 도메인 이름 또는 IP 주소에 대한 정보를 검색할 수 있습니다.

(BZ#1734183)

eBPF for tc 가 이제 완전히 지원됨

tc(트래픽 제어) 커널 하위 시스템과 the tc 툴은 eBPF(extended Berkeley Packet Filtering) 프로그램을 패킷 분류기 및 수신 및 송신 큐링 규칙 모두에 대한 작업으로 연결할 수 있습니다. 이는 커널 네트워크 데이터 경로 내에서 프로그래밍 가능한 패킷 처리를 가능하게 합니다. 이전에 기술 프리뷰로 사용 가능한 eBPF for tc 는 이제 RHEL 8.2에서 완전하게 지원됩니다.

(BZ#1755347)

5.1.7. 커널

RHEL 8.2의 커널 버전

Red Hat Enterprise Linux 8.2는 커널 버전 4.18.0-193과 함께 배포됩니다.

외부 커널 매개 변수 및 장치 드라이버에 중요한 변경 사항 도 참조하십시오.

(BZ#1797671)

RHEL 8.2에 대한 Extended Berkeley Packet Filter

eBPF(Extended Berkeley Packet Filter) 는 제한된 기능 집합에 액세스할 수 있는 제한된 샌드박스 환경에서 커널 공간에서 코드를 실행할 수 있는 커널 내 가상 시스템입니다. 가상 시스템은 특수 어셈블리와 유사한 코드를 실행합니다. eBPF 바이트코드는 먼저 커널로 로드된 다음 확인, 실시간 컴파일만 사용하여 네이티브 시스템 코드로 코드 변환한 다음 가상 시스템에서 코드를 실행합니다.

Red Hat은 eBPF 가상 시스템을 활용하는 다양한 구성 요소를 제공합니다. 각 구성 요소는 다른 개발 단계에 있으므로 현재 모든 구성 요소가 완전히 지원되지는 않습니다. RHEL 8.2에서는 다음 eBPF 구성 요소가 지원됩니다.

  • 효율적인 커널 추적 및 조작 프로그램을 생성하기 위해 eBPF 가상 시스템을 사용하는 동적 커널 추적 유틸리티의 사용자 공간 컬렉션인 BCC(BPF Compiler Collection) 툴 패키지. BCCeBPF 를 사용하여 Linux 운영 체제의 I/O 분석, 네트워킹 및 모니터링을 위한 툴을 제공합니다.
  • BCC 라이브러리는 BCC 툴 패키지에서 제공되는 툴과 유사한 툴을 개발할 수 있도록 합니다.
  • 커널 네트워크 데이터 경로 내에서 프로그래밍 가능한 패킷 처리를 가능하게 하는 tc(트래픽 제어) 기능을 위한 eBPF 입니다.

특정 구성 요소가 지원되는 것으로 표시되지 않는 한, 기타 모든 eBPF 구성 요소는 기술 프리뷰로 사용할 수 있습니다.

다음과 같은 주요 eBPF 구성 요소는 현재 기술 프리뷰로 사용할 수 있습니다.

  • bpftrace 추적 언어
  • eXpress Data Path(XDP) 기능

기술 프리뷰 구성 요소에 대한 자세한 내용은 기술 프리뷰를 참조하십시오.

(BZ#1780124)

Intel ® Fedora-Path Architecture(OPA) 호스트 소프트웨어

Intel-Path Architecture(OPA) 호스트 소프트웨어는 Red Hat Enterprise Linux 8.2에서 완벽하게 지원됩니다. Intel OPA는 클러스터형 환경의 컴퓨팅 노드와 I/O 노드 간의 고성능 데이터 전송(고급 대역폭, 높은 메시지 속도, 짧은 대기 시간)을 위해 HFI(Host Fabric Interface) 하드웨어에 초기화 및 설정을 제공합니다.

(BZ#1833541)

Control Group v2 가 RHEL 8에서 완전 지원

Control Group v2 메커니즘은 통합된 계층 컨트롤 그룹입니다. Control Group v2는 프로세스를 계층적으로 구성하고 제어 및 설정 가능한 방식으로 계층에 따라 시스템 리소스를 배포합니다.

이전 버전과 달리 Control Group v2에는 하나의 계층만 있습니다. 이 단일 계층을 통해 Linux 커널에서는 다음을 수행할 수 있습니다.

  • 소유자의 역할에 따라 프로세스 분류
  • 여러 계층에서 충돌하는 정책 문제 해결

Control Group v2 에서는 다양한 컨트롤러를 지원합니다. 몇 가지 예는 다음과 같습니다.

  • CPU 컨트롤러가 CPU 사이클의 배분을 조정합니다. 이 컨트롤러는 다음을 구현합니다.

    • 일반적인 스케줄링 정책에 대한 가중치 및 절대 대역폭 제한 모델
    • 실시간 스케줄링 정책에 대한 절대 대역폭 할당 모델.
  • cpuset 컨트롤러는 프로세스의 프로세서 및/또는 메모리 배치를 cpuset 인터페이스 파일에 지정된 언급된 리소스로만 제한합니다.

  • 메모리 컨트롤러가 메모리 할당을 조정합니다. 현재 다음과 같은 유형의 메모리 사용을 추적할 수 있습니다.

    • Userland 메모리 - 페이지 캐시 및 익명 메모리
    • dentries 및 inode와 같은 커널 데이터 구조
    • TCP 소켓 버퍼
  • I/O 컨트롤러가 I/O 리소스 배분을 제한합니다.
  • 쓰기 저장 컨트롤러는 메모리 및 I/O 컨트롤러와 상호작용하며 Control Group v2 고유의 것입니다.

위의 정보는 Control Group v2 업스트림 문서를 기반으로 했습니다. 동일한 링크를 참조하여 특정 Control Group v2 컨트롤러에 대한 자세한 정보를 얻을 수 있습니다.

아직 RHEL 8에서 업스트림 문서에 언급된 모든 기능이 구현되어 있는 것은 아닙니다.

(BZ#1401552)

사용 가능한 목록 임의화: 다이렉트 매핑 메모리 측 캐시의 성능 및 활용 향상

이 향상된 기능을 통해 페이지 할당자를 활성화하여 무료 목록을 임의로 설정하고 직접 매핑된 메모리 측 캐시의 평균 사용률을 향상시킬 수 있습니다. 커널 명령줄 옵션 page_alloc.shuffle 을 사용하면 페이지 할당자가 사용 가능한 목록을 임의로 설정하고 부울 플래그를 True 로 설정할 수 있습니다. /sys/module/page_alloc/parameters/shuffle 에 있는 sysfs 파일은 플래그 상태를 읽고, DRAM(Dynamic Random Access Memory)이 캐시되고, DRAM과 영구 메모리 사이의 대기 시간 대역폭이 줄어듭니다. 따라서 일반적인 서버 플랫폼에서 더 높은 용량과 낮은 대역폭을 가진 영구 메모리를 사용할 수 있습니다.

(BZ#1620349)

TPM 사용자 공간 도구가 마지막 버전으로 업데이트되었습니다

tpm2-tools 사용자 공간 도구가 버전 3.2.1로 업데이트되었습니다. 이번 업데이트에서는 특히 플랫폼 구성 등록 코드 및 도움말 페이지 정리와 관련된 여러 버그 수정을 제공합니다.

(BZ#1725714)

C620 시리즈 PCH 칩셋에서 Intel Trace Hub 기능을 지원

이번 업데이트에서는 Lewisburg PCH라고도 하는 C620 시리즈 PCH(Platform Controller Hub)에서 Intel Trace Hub (TH)에 대한 하드웨어 지원을 추가합니다. C620 시리즈 PCH를 사용하는 사용자는 이제 Intel TH를 사용할 수 있습니다.

(BZ#1714486)

perf 툴은 CLX-AP 및 CPX 프로세서에 대한 종료 이벤트 집계를 지원합니다.

이번 업데이트를 통해 이제 perf 툴에서 종료된 Intel CPU의 다이별 이벤트 수 집계를 지원합니다. 이 모드를 사용하려면 Xeon Cascade Lake -AP(CLX-AP) 및 CPX(Extended Lake) 시스템 프로세서의 -a 옵션 외에도 --die 옵션을 추가합니다. 결과적으로 이 업데이트는 종료 사이에 균형이 맞지 않습니다. perf stat 명령은 이벤트 수를 캡처하고 출력을 다음과 같이 표시합니다. 

# perf stat -e cycles --per-die -a -- sleep 1
 Performance counter stats for 'system wide':
S0-D0           8         21,029,877      cycles
S0-D1           8         19,192,372      cycles

(BZ#1660368)

crashkernel=auto 의 임계값이 IBM Z에서 감소

이제 crashkernel=auto kernel 명령줄 매개 변수의 임계값이 IBM Z 시스템의 1G에서 1G로 줄어듭니다. 이 구현을 통해 IBM Z는 AMD64 및 Intel 64 시스템의 임계값에 맞춰 crashkernel=auto 의 더 낮은 임계값에서 동일한 예약 정책을 공유할 수 있습니다. 결과적으로 크래시 커널은 4GB 미만의 시스템에서 kdump 메모리를 자동으로 예약할 수 있습니다.

(BZ#1780432)

numactl manual 항목은 메모리 사용량 출력을 명확하게 표시합니다.

이번 RHEL 8 릴리스에서는 numactl 의 도움말 페이지에는 시스템의 상주 페이지만 반영되어 메모리 사용량 정보가 반영되어 있음을 명시적으로 언급합니다. 이렇게 추가되는 이유는 메모리 사용량 정보가 상주 페이지 또는 가상 메모리와 관련이 있는지 여부를 사용자에게 혼동할 수 있기 때문입니다.

(BZ#1730738)

Kdump FCoE 대상 지원을 포함하도록 kexec-tools 문서가 업데이트되었습니다.

이번 릴리스에서는 FCoE(Kdump Fibre Channel over Ethernet) 대상 지원을 포함하도록 /usr/share/doc/kexec-tools/supported-kdump-targets.txt 파일이 업데이트되었습니다. 결과적으로 사용자는 FCoE 대상 지원에서 kdump 크래시 덤프 메커니즘의 상태 및 세부 사항을 더 잘 이해할 수 있습니다.

(BZ#1690729)

펌웨어 지원 덤프에서 PowerNV 지원

이제 PowerNV 플랫폼에서 펌웨어 지원 덤프(fadump) 메커니즘이 지원됩니다. 이 기능은 IBM POWER9 FW941 펌웨어 버전에서 지원됩니다. 시스템 장애 발생 시 fadumpvmcore 파일과 함께 opal core 파일도 내보냅니다. opal core 파일에는 분석 시 OpenPOWER 추상화 계층(OPAL) 메모리 상태에 대한 정보가 포함되어 있습니다. opal core 파일은 OPAL 기반 시스템의 충돌을 디버깅하는 데 유용합니다.

(BZ#1524687)

kernel-rt 소스 트리가 최신 RHEL 8 트리와 일치

최신 RHEL 커널 소스 트리를 사용하도록 kernel-rt 소스가 업데이트되었습니다. 실시간 패치 세트도 최신 업스트림 v5.2.21-rt13 버전으로 업데이트되었습니다. 이 두 업데이트 모두 여러 버그 수정 및 개선 사항을 제공합니다.

(BZ#1680161)

rngd 는 루트가 아닌 권한으로 실행할 수 있습니다.

임의 번호 생성기 데몬(rngd)은 임의로 소스에서 제공한 데이터가 임의로 임의로 지정되었는지 확인한 다음 커널의 임의 번호 엔트로피 풀에 데이터를 저장합니다. 이번 업데이트를 통해 rngd 는 루트가 아닌 사용자 권한으로 를 실행하여 시스템 보안을 강화할 수 있습니다.

(BZ#1692435)

RHEL 8.2 이상 POWER 9 이상에서 가상 영구 메모리 지원

IBM POWER9 하드웨어에서 PowerVM 하이퍼바이저를 사용하여 RHEL 8.2 이상의 호스트를 실행하는 경우 이제 호스트에서 vPMEM(Virtual Persistent Memory) 기능을 사용할 수 있습니다. vPMEM을 사용하면 물리적 서버가 꺼질 때까지 애플리케이션에서 데이터가 유지되고 파티션이 다시 시작됩니다. 따라서 vPMEM을 사용하는 워크로드를 다시 시작하면 훨씬 빨라집니다.

시스템에서 vPMEM을 사용할 수 있으려면 다음 요구 사항을 충족해야 합니다.

  • HMC(하드웨어 관리 콘솔) V9R1 M940 이상
  • 펌웨어 수준 FW940 이상
  • E980 시스템 펌웨어 FW940 이상
  • L922 시스템 펌웨어 FW940 이상
  • PowerVM 수준 V3.1.1

현재 vPMEM과 함께 RHEL 8에서 알려진 여러 문제가 발생합니다. 자세한 내용은 기술 자료 문서를 참조하십시오.

(BZ#1859262)

5.1.8. 파일 시스템 및 스토리지

LVM에서 dm-writecache 캐싱 방법 지원

이제 LVM 캐시 볼륨에서 기존 dm-cache 방법 외에도 dm-write cache 캐싱 방법을 제공합니다.

dm-cache
이 방법은 빠른 볼륨에 캐싱하여 자주 사용하는 데이터에 대한 액세스를 가속화합니다. 이 방법은 읽기 및 쓰기 작업을 모두 캐시합니다.
dm-writecache
이 메서드는 쓰기 작업만 캐시합니다. SSD 또는 영구 메모리(PMEM) 디스크의 빠른 볼륨은 쓰기 작업을 먼저 저장한 다음 백그라운드의 느린 디스크로 마이그레이션합니다.

캐싱 방법을 구성하려면 lvconvert 유틸리티와 함께 --type cache 또는 --type writecache 옵션을 사용합니다.

자세한 내용은 캐싱 활성화를 통해 논리 볼륨 성능을 향상시키는 것을 참조하십시오.

(BZ#1600174)

VDO 비동기 정책이 ACID와 호환

이번 릴리스에서는 VDO 비동기 쓰기 모드가 이제 Atomicity, Consistency, Isolation, Durability(ACID)와 호환됩니다. VDO가 비동기 모드에서 데이터를 작성하는 동안 시스템이 예기치 않게 중지되면 복구된 데이터가 항상 일관되게 유지됩니다.

ACID 규정 준수로 인해 이제 비동기 성능이 이전 릴리스에 비해 더 낮습니다. 원래 성능을 복원하려면 VDO 볼륨의 쓰기 모드를 ACID와 호환되지 않는 비동기-비 보안 모드로 변경할 수 있습니다.

자세한 내용은 Selecting a VDO write mode 에서 참조하십시오.

(BZ#1657301)

VDO 볼륨을 가져올 수 있습니다

vdo 유틸리티를 사용하면 현재 시스템에 등록되어 있지 않은 기존 VDO 볼륨을 가져올 수 있습니다. VDO 볼륨을 가져오려면 vdo import 명령을 사용합니다.

또한 vdo import 명령을 사용하여 VDO 볼륨의 UUID(Universally Unique Identifier)를 수정할 수도 있습니다.

(BZ#1713749)

mountstatsnfsiostat의 출력에서 새로운 per-op 오류 카운터를 사용할 수 있습니다.

NFS 클라이언트 시스템에서 마이너 지원 기능을 사용할 수 있습니다. nfs -utilsmountstatsnfsiostat 명령의 출력에는 작업 별 오류 수가 있습니다. 이 향상된 기능을 통해 이러한 툴은 NFS 클라이언트 시스템의 특정 NFS 마운트 지점에서 문제를 줄이는 데 도움이 되는 작업 별 오류 수 및 백분율을 표시할 수 있습니다. 이러한 새 통계는 Red Hat Enterprise Linux 8.2 커널 내에 있는 커널 변경 사항에 따라 달라집니다.

(BZ#1719983)

cgroup 인식을 사용하여 쓰기 IO를 XFS에서 사용할 수 있습니다

이번 릴리스에서 XFS는 cgroup 인식을 통해 나중 IO를 지원합니다. 일반적으로 cgroup 쓰기에는 기본 파일 시스템의 명시적 지원이 필요합니다. 지금까지 XFS의 writeback IO는 루트 cgroup 의 속성입니다.

(BZ#1274406)

FUSE 파일 시스템에서 copy_file_range()을 구현합니다.

copy_file_range() 시스템 호출은 파일 시스템에서 효율적인 데이터 복사 메커니즘을 구현할 수 있는 방법을 제공합니다. 이번 업데이트를 통해 FUSE(Userspace) 프레임워크에서 Filesystem을 사용하는 GlusterFS는 이 메커니즘을 활용합니다. FUSE 파일 시스템의 읽기/쓰기 기능에는 여러 개의 데이터 사본이 포함되어 있으므로 copy_file_range() 를 사용하면 성능이 크게 향상될 수 있습니다.

(BZ#1650518)

mountstatsnfsiostat 명령에 대해 작업별 통계 지원을 사용할 수 있습니다.

이제 NFS 클라이언트 시스템에서 지원 기능을 사용할 수 있습니다. /proc/self/mountstats 파일에는 작업 별 오류 카운터 가 있습니다. 이번 업데이트를 통해 각 작업별 통계 행에서 9번째 숫자는 상태 값 0으로 완료된 작업 수를 나타냅니다. 이 상태 값은 오류가 있음을 나타냅니다. 자세한 내용은 이러한 새 오류 수를 표시하는 nfs -utils의 mountstats 및 nfs iostat 프로그램에 대한 업데이트를 참조하십시오.

(BZ#1636572)

/proc/self/mountstats 파일에서 새 마운트 stats lease_time 및 lease_expired 를 사용할 수 있습니다.

NFSv4.x 클라이언트 시스템에서 지원 기능을 사용할 수 있습니다. nfsv4로 시작하는 행의 끝에 /proc/self/mountstats 파일에는 lease_time 및 lease_expired 필드가 있습니다. lease_time 필드는 NFSv4 리스 시간의 초 수를 나타냅니다. lease_expired 필드는 리스가 만료된 이후 초 수를 나타내며 리스가 만료되지 않은 경우 0을 나타냅니다.

(BZ#1727369)

NVMe 장치 갑작스러운 제거

이번 개선된 기능을 통해 운영 체제에 사전에 알리지 않고도 Linux 운영 체제에서 NVMe 장치를 제거할 수 있습니다. 이렇게 하면 서버 가동 중지 시간을 제거하여 서버를 사용할 수 있도록 장치를 준비하기 위해 추가 단계가 필요하지 않으므로 NVMe 장치의 서비스 성능이 향상됩니다.

다음을 확인합니다.

  • NVMe 장치를 신속하게 제거하려면 kernel-4.18.0-193.13.2.el8_2.x86_64 버전 이상이 필요합니다.
  • NVMe 장치를 성공적으로 제거하려면 하드웨어 플랫폼 또는 플랫폼에서 실행되는 소프트웨어의 추가 요구 사항이 필요할 수 있습니다.
  • 시스템 작업에 중요한 NVMe 장치를 제거하는 것은 지원되지 않습니다. 예를 들어 운영 체제 또는 스왑 파티션이 포함된 NVMe 장치를 제거할 수 없습니다.

(BZ#1634655)

5.1.9. 고가용성 및 클러스터

다른 리소스에 영향을 미치지 않는 경우에만 리소스를 비활성화하는 새로운 명령 옵션

다른 리소스에 영향을 미치지 않는 경우에만 리소스를 비활성화해야 합니다. 복잡한 리소스 관계가 설정되면 이러한 상황이 직접 수행할 수 없도록 합니다. 이 요구를 해결하기 위해 pcs resource disable 명령에서 다음 옵션을 지원합니다.

  • pcs resource disable --simulate: 클러스터 구성을 변경하지 않고 지정된 리소스 비활성화의 효과 표시
  • pcs resource disable --safe: 한 노드에서 다른 노드로 마이그레이션되는 등 다른 리소스가 영향을 받지 않는 경우에만 지정된 리소스를 비활성화합니다.
  • pcs resource disable --safe --no-strict: 다른 리소스가 중지되거나 강등되지 않는 경우에만 지정된 리소스를 비활성화합니다.

또한 pcs resource safe-disable 명령은 pcs resource disable --safe 의 별칭으로 도입되었습니다.

(BZ#1631519)

리소스 간의 관계를 표시하는 새 명령

새로운 pcs resource Relations 명령을 사용하여 트리 구조에서 클러스터 리소스 간 관계를 표시할 수 있습니다.

(BZ#1631514)

기본 사이트 및 복구 사이트 클러스터의 상태를 표시하는 새로운 명령

복구 사이트로 사용할 클러스터를 구성한 경우 pcs dr 명령을 사용하여 해당 클러스터를 복구 사이트 클러스터로 구성할 수 있습니다. 그런 다음 pcs dr 명령을 사용하여 단일 노드에서 기본 사이트 클러스터와 복구 사이트 클러스터의 상태를 모두 표시할 수 있습니다.

(BZ#1676431)

제한 조건을 나열할 때 만료된 리소스 제약 조건이 기본적으로 숨겨집니다.

기본적으로 리소스 제한 조건을 나열하지 않으면 만료된 제약 조건이 표시됩니다. 만료된 보존을 포함하려면 pcs constraint 명령--all 옵션을 사용합니다. 그러면 만료된 제약 조건이 나열되고 해당 제한 조건 및 관련 규칙이 디스플레이의 (수료됨) 로 표시됩니다.

(BZ#1442116)

정리 노드 종료 시 중지된 상태로 유지되도록 리소스를 구성하는 Pacemaker 지원

클러스터 노드가 종료되면 Pacemaker의 기본 응답은 해당 노드에서 실행 중인 모든 리소스를 중지하고 다른 위치에서 복구하는 것입니다. 일부 사용자는 오류에 대해서만 고가용성을 유지하고 정리된 종료를 예약된 중단으로 처리하는 것을 선호합니다. 이 문제를 해결하기 위해 Pacemaker에서 shutdown-lockshutdown-lock-limit 클러스터 속성을 지원하여 다음 노드가 다시 참여할 때까지 종료할 때 노드에서 활성화된 리소스가 중지되도록 지정합니다. 이제 사용자는 수동 조작 없이 예약된 중단으로 클린 종료를 사용할 수 있습니다. 클린 노드 종료 시 중지된 상태로 유지되도록 리소스를 구성하는 방법에 대한 자세한 내용은 링크를 참조하십시오. 정리 노드 종료 시 중지된 상태로 유지되도록 리소스 구성.

(BZ#1712584)

단일 노드에서 클러스터 환경 실행 지원

하나의 멤버만 구성된 클러스터는 이제 클러스터 환경에서 리소스를 시작하고 실행할 수 있습니다. 이를 통해 사용자는 백업에 단일 노드를 사용하는 다중 노드 클러스터에 대해 별도의 재해 복구 사이트를 구성할 수 있습니다. 하나의 노드만 있는 클러스터는 내결함성이 없습니다.

(BZ#1700104)

5.1.10. 동적 프로그래밍 언어, 웹 서버 및 데이터베이스 서버

새 모듈: python38

RHEL 8.2에는 새 모듈 python38ubi8/python-38 컨테이너 이미지에서 제공하는 Python 3.8이 도입되었습니다.

Python 3.6과 비교하여 주요 개선 사항은 다음과 같습니다.

  • contextvars,dataclasses 또는 importlib.resources와 같은 새로운 Python 모듈
  • 할당 표현식 ( so- called walrus operator, :=) 또는 위치 전용 매개변수와 같은 새로운 언어 기능
  • breakpoint() 기본 제공 함수, = 형식 문자열 사양 및 디버그 및 비디버그 빌드와 확장 모듈 간의 호환성 개선
  • 성능 향상
  • 선택적 정적 유형 힌트 지원 개선
  • 쉬운 디버깅을 위해 형식화된 문자열 리터럴(f-strings)에 = 지정자를 추가했습니다.
  • pip,requests 또는 Cython과 같은 업데이트된 패키지 버전

Python 3.8 및 여기에 구축된 패키지는 동일한 시스템에서 Python 3.6과 병렬로 설치할 수 있습니다.

python38 모듈에는 python 36 모듈에 제공된 시스템 도구(RPM, DNF, SELinux 등)에 대한 동일한 바이너리 바인딩이 포함되어 있지 않습니다.

python38 모듈에서 패키지를 설치하려면 다음을 사용합니다. 예를 들면 다음과 같습니다. 

# yum install python38
# yum install python38-Cython

python38:3.8 모듈 스트림은 자동으로 활성화됩니다.

인터프리터를 실행하려면 다음을 사용합니다. 

$ python3.8
$ python3.8 -m cython --help

자세한 내용은 Python 설치 및 사용을 참조하십시오.

Red Hat은 RHEL 8의 라이프 사이클이 종료될 때까지 Python 3.6에 대한 지원을 계속 제공합니다. Python 3.8은 라이프사이클이 짧고 RHEL 8 Application Streams 라이프 사이클을 참조하십시오.

(BZ#1747329)

mod_wsgi 설치의 변경 사항

이전에는 yum install mod_wsgi 명령을 사용하여 mod_wsgi 모듈을 설치하려고 할 때 python3-mod_wsgi 패키지가 항상 설치되었습니다. RHEL 8.2에서는 Python 3.6에 추가된 Python 3.8이 도입되었습니다. 이번 업데이트를 통해 설치할 mod_wsgi 버전을 지정해야 합니다. 그렇지 않으면 오류 메시지가 반환됩니다.

Python 3.6 버전의 mod_wsgi 를 설치하려면 다음을 수행합니다. 

# yum install python3-mod_wsgi

Python 3.8 버전의 mod_wsgi 를 설치하려면 다음을 수행합니다. 

# yum install python38-mod_wsgi

python3-mod_wsgipython38-mod_wsgi 패키지가 서로 충돌하며 Apache HTTP Server의 제한으로 인해 하나의 mod_wsgi 모듈만 시스템에 설치할 수 있습니다.

이러한 변경으로 BZ#1829692 에 설명된 종속성에 알려진 문제가 발생했습니다.

(BZ#1779705)

IBM Z의 zlib 에서 하드웨어 가속화 제거 지원

이번 업데이트에서는 하드웨어 가속화 제거 알고리즘을 IBM Z 메인프레임의 zlib 라이브러리에 추가로 지원합니다. 그 결과 IBM Z 벡터 시스템의 압축 및 압축 해제 성능이 향상되었습니다.

(BZ#1659433)

IBM Power Systems에서 gzip 압축을 풀 때 성능이 향상되었습니다. little endian

이번 업데이트에서는 little endian인 IBM Power Systems의 zlib 라이브러리에 32비트 Cyclic 중복 검사(CRC32)에 대한 최적화를 추가합니다. 그 결과 gzip 파일 압축 해제 성능이 향상되었습니다.

(BZ#1666798)

새 모듈 스트림: maven:3.6

RHEL 8.2에는 새로운 모듈 스트림 maven:3.6 이 도입되었습니다. 이 버전의 Maven 소프트웨어 프로젝트 관리 및 이해 도구에서는 RHEL 8.0과 함께 배포된 maven:3.5 스트림에 대해 수많은 버그 수정 및 다양한 개선 사항을 제공합니다.

maven:3.6 스트림을 설치하려면 다음을 사용합니다. 

# yum module install maven:3.6

maven:3.5 스트림에서 업그레이드하려면 이후 스트림으로 전환을 참조하십시오.

(BZ#1783926)

mod_md 가 ACMEv2 프로토콜 지원

mod_md 모듈이 버전 2.0.8로 업데이트되었습니다. 이번 업데이트에는 여러 가지 기능이 추가되어 특히 IETF(Internet Engineering Task Force) 표준(RFC 8555)인 ACME(Automatic Certificate Management Environment) 인증서 발급 및 관리 프로토콜 버전 2를 지원합니다. 원래 ACMEv1 프로토콜은 계속 지원되지만 인기 있는 서비스 프로바이더가 더 이상 사용되지 않습니다.

(BZ#1747923)

PHP 7.3의 새로운 확장 기능

php:7.3 모듈 스트림이 2개의 새로운 PHP 확장을 제공하도록 업데이트되었습니다( rrdXdebug ).

rrd 확장에서는 RRDtool C 라이브러리에 대한 바인딩을 제공합니다. RRDtool 은 시계열 데이터를 위한 고성능 데이터 로깅 및 그래프 시스템입니다.

Xdebug 확장 기능은 디버깅 및 개발을 지원하기 위해 포함되어 있습니다. 확장 기능은 개발 목적으로만 제공되며 프로덕션 환경에서 사용해서는 안 됩니다.

RHEL 8에서 PHP를 설치 및 사용하는 방법에 대한 자세한 내용은 PHP 스크립팅 언어 사용을 참조하십시오.

(BZ#1769857, BZ#1764738)

새로운 패키지: perl-LDAPperl-Convert-ASN1

이번 업데이트에서는 perl-LDAPPerl-Convert-ASN1 패키지가 RHEL 8에 추가되었습니다. perl-LDAP 패키지는 Perl 언어에 대한 LDAP 클라이언트를 제공합니다. perl-LDAP 에는 perl-Convert-ASN1 패키지가 필요합니다. 이 패키지는 AASN.1) 데이터 구조를 인코딩 및 디코딩합니다.

(BZ#1663063, BZ#1746898)

SSCG 에서 암호로 보호되는 개인 키 파일 생성 지원

sscg 유틸리티는 이제 암호로 보호되는 개인 키 파일을 생성할 수 있습니다. 이로 인해 개인 키에 대한 또 다른 보호 수준이 추가되며 FreeRADIUS와 같은 일부 서비스에 필요합니다.

(BZ#1717880)

5.1.11. 컴파일러 및 개발 도구

Grafana 가 6.3.6 버전으로 업데이트

grafana 패키지가 여러 버그 수정 및 개선 사항을 제공하는 버전 6.3.6으로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.

  • 데이터베이스: 성능 향상을 위해 시스템 통계 쿼리를 다시 작성합니다.

  • 탐색:

    • Safari 브라우저의 분할 뷰에서 쿼리 필드 레이아웃을 수정합니다.
    • 지원되는 데이터 소스에 대한 Live 옵션을 추가하고 공유를 위해 URL에 orgId 를 추가합니다.
    • 레이블 엔드포인트에 대한 새로운 loki startend 매개 변수에 대한 지원을 추가합니다.
    • Explore에서 원시 쿼리 모드 전환을 지원하여 메트릭과 로그 간에 전환할 수 있습니다.
    • 는 로그 줄 컨텍스트를 표시합니다. 필드 또는 레이블에서 제공하는 경우 로그 수준을 구문 분석하지 않습니다.
    • LogQL 필터링 구문을 지원합니다.
    • Grafana/UI의 새로운 TimePicker 를 사용합니다.
    • LogRow Highlighter에서 줄 바꿈 처리.
    • 대시보드 패널로 돌아가는 수정 사항.
    • 픽스는 로그 그래프의 시리즈 수준별로 필터링합니다.
    • 로드 및 그래프/테이블이 축소될 때 문제를 해결합니다.
    • 로그 행의 선택/복사 수정.
  • 대시보드: 대시보드 init 이 누락된 패널 링크를 사용하여 대시보드 init 로드 오류를 수정하고 쉼표로 구분된 값(CSV) 데이터 링크로 내보내는 동안 시간대 대시보드 설정을 수정합니다.
  • 편집기: 전체 행만 복사되는 문제를 해결합니다.
  • LDAP: 다중 ldap 및 ldap 인증 구성 요소 통합.
  • 프로필/사용자관리자: 32비트 빌드의 grafana-server 를 충돌하는 사용자 에이전트 구문 분석기를 수정합니다.

  • Prometheus:

    • Prometheus 데이터 소스로 전환하는 동안 패널 편집기 충돌을 방지하고 소괄호 삽입 을 덜어줍니다.
    • label_replace 로 쿼리를 수정하고 쿼리 편집기를 로드할 때 $1 일치를 제거합니다.
    • 편집기에서 여러 줄로 쿼리하여 단계 정렬을 고려하는 시간대를 일관되게 허용합니다.
    • 대시보드 범위 대신 $__range 에 재정의된 패널 범위를 사용합니다.
    • 시계열 필터를 쿼리, 이스케이프 | 보간 PromQL 변수의 리터럴에 추가합니다.
    • Explore에 콜론이 포함된 지표의 레이블을 추가하는 동안 수정됩니다.
  • auth: HTTP API에 사용자 인증 토큰을 나열하는 동안 API 키 만료, 장치, os 및 브라우저를 반환하고, UI에서 사용자 인증 토큰을 나열하고 취소할 수 있습니다.
  • DataLinks: 범위가 지정된 변수를 데이터 링크에 올바르게 적용하고, 그래프 컨텍스트 메뉴에 데이터 포인트 타임스탬프를 표시하는 동안 시간대를 따라 변수를 보간 경우 데이터 포인트 타임스탬프를 올바르게 사용하고 ${__series_name} 의 잘못된 보간을 수정합니다.
  • 그래프: 시리즈 줄 아이콘을 클릭하고 창에 수평 스크롤바가 표시되는 문제를 해결하고 새로운 채우기 gradient 옵션을 추가합니다.
  • 그래프: 단일 값 배열 변수의 글러브를 방지하고 별칭 함수가 마지막으로 이동되는 문제를 해결하고 변수 매개 변수를 사용하여 seriesByTag & 함수의 문제를 수정하고 /metrics/find 요청에 POST 를 사용합니다.
  • TimeSeries: 값이 모든 숫자라고 가정합니다.
  • 게이지(Gauge)/가우게(Gauge): 손실된 임계값과 avg 통계를 사용하여 Gauge를 로드하는 문제를 해결합니다.
  • 패널 링크: 패널 링크 (drill down link)로 Gauge & Bar Gauge 패널의 충돌 문제를 수정하고 패널 설명이 없는 동안 렌더링 문제를 해결합니다.
  • OAuth: 동일한 쿠키 정책으로 인해 누락된 상태 OAuth 로그인 오류를 수정하고 DS 프록시의 OAuth 새로 고침에서 잘못된 사용자 토큰에 대한 수정 사항을 수정합니다.
  • 인증 프록시: 추가 헤더를 캐시 키의 일부로 포함합니다.
  • cli: dev 모드에서 sql 오류로 인해 encrypt-datasource-passwords 오류가 발생한 문제를 해결합니다.
  • 권한: 관리자 이외의 사용자의 탐색에 플러그인을 표시하지만 플러그인 구성을 숨깁니다.
  • timepicker: 빠른 범위 드롭다운의 최대 높이를 높이고 사용자 지정 범위 팝업에 대한 스타일 문제를 수정합니다.
  • 로키: 탐색에서 올바른 순서로 실시간 테일링된 로그를 표시합니다.
  • 시간 범위: 사용자 지정 시간 범위가 UC(Universal Time Coordinated)를 따르지 않은 버그 수정.
  • remote_cache: redis connstr 구문 분석 수정.
  • 경고: 지정된 모든 이메일 주소에 이메일 알림을 보내려고 시도하는 경고 규칙에 태그를 추가하고, 경고 규칙 테스트를 개선하며 Discord 경고 알림 알림에 대한 콘텐츠 필드 구성을 지원합니다.
  • Alertmanager: 레이블 이름에서 잘못된 문자를 밑줄로 바꿉니다.
  • AzureMonitor: 변경 사항은 Azure 로그의 기본 제공 Grafana 변수 또는 매크로 이름을 충돌합니다.
  • CloudWatch: AWS(Amazon Web Services) Cloudwatch Expressions에 대해 리전을 표시한 경우 AWS DocDB 지표를 추가합니다.
  • GraphPanel: 범례 테이블과 정렬 열이 표시되지 않을 때 시리즈를 정렬하지 마십시오.
  • InfluxDB: 탐색에서 로그 시각화 지원.
  • MySQL/Postgres/MSSQL: 일, 주, 연도 간격을 매크로에 대한 구문 분석 기능을 추가하여 주기적으로 클라이언트 인증서를 다시 로드할 수 있도록 지원합니다.
  • 플러그인: dataFormats 목록을 plugin.json 파일의 skipDataQuery 플래그로 교체합니다.
  • 새로 고침 선택기: 빈 간격을 처리합니다.
  • singlestat: singlestat에 y min/max 구성을 추가합니다.
  • 템플릿: 페이지를 다시 로드한 후 다중 값 변수에 __text 를 올바르게 표시하고, 다중 값 변수의 필터링된 값을 모두 선택할 수 있습니다.
  • 프론트엔드: Json 트리 구성 요소가 작동하지 않는 문제를 해결합니다.
  • InfluxDB: 레이블 값 필터에서 이스케이프되지 않은 작은따옴표로 문제를 해결합니다.
  • config: defaults.ini 파일의 remote_cache 에 대한 connectionstring 옵션을 수정합니다.
  • Elasticsearch: 빈 쿼리(템플릿 변수를 통해)를 와일드카드로 전송하고 기본 최대 동시 shard 요청을 수정하고 탐색기에서 로그 시각화를 지원합니다.
  • TablePanel: 주석 표시를 수정합니다.
  • Grafana-CLI: 명령줄을 통해 플래그 수신, RPM/DEB 패키지 내의 grafana-cli 에 대한 래퍼 및 config/homepath 가 이제 전역 플래그입니다.
  • HTTPServer: X-XSS-Protection 헤더 포맷, 새 헤더 X-Content-Type-Options,X- XSS-Protection 및 Strict- Transport -Security를 반환하는 옵션에서 Strict-Transport -Security 헤더를 수정하고 사용자 지정 URL 경로 접두사를 사용하여 Grafana를 제공합니다.

(BZ#1725278)

PCP 는 5.0.2 버전으로 업데이트

pcp 패키지가 여러 버그 수정 및 개선 사항을 제공하는 버전 5.0.2로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.

  • pcp-webapp-* 패키지는 이제 grafana-pcp 패키지 및 pmproxy 로 교체됩니다.
  • pcp-collectl 툴이 pmrep 구성으로 교체되었습니다.

  • 새로운 성능 지표 도메인 에이전트(PMDA):

    • pmdamssql: Microsoft SQL Server 구현을 위한 새로운 PMDA.
    • pmdanetcheck: 네트워크 점검을 수행하는 새로운 PMDA.
    • pmdaopenmetrics: prometheus 에이전트의 이름을 openmetrics 로 바꿉니다.
    • pmdanfsclient: 작업 당 및 마운트 rpc 오류 지표를 추가합니다.
    • pmdalmsensors: 이름 구문 분석 및 오류 처리 개선 사항.
    • pmdaperfevent: 다중 노드 시스템에서 hv_24x7 중첩 이벤트를 지원합니다.

    • pmdalinux:

      • 스파스 또는 중단된 마이크로마 노드를 올바르게 처리합니다.
      • CPU 당 numa 통계의 instid가 아닌 cpu in stname 을 사용합니다.
      • slabinfo v2 구문 분석에 활성 및 총 슬래브 추가
      • 여러 unix 소켓, icmp6 메트릭, hugepage 메트릭 값을 수정합니다. 계산, 큰 CPU 수가 있는 인터럽트 코드의 segfault
      • --container 네임스페이스에서 더 많은 네트워크 지표를 가져옵니다.
    • pmdabcc: bcc 0.10.0 이상 버전의 tracepoints 모듈 수정
    • pmdabpftrace: bpftrace 스크립트의 메트릭에 대한 새로운 PMDA

    • pmdaproc:

      • pidlist 새로 고침의 메모리 누수 수정.
      • cgroups_scan 에서 과도한 통계 호출을 방지합니다.
      • cgroup 경로를 유지하고 인스턴스 이름만 분리합니다.
    • pmdaroot: cgroup 동작을 캐시하거나 비활성으로 처리하고 cgroup fs 에서 컨테이너를 완전히 새로 고침합니다.

  • 수집기(서버) 툴 수정:

    • pmproxy: Openmetrics는 /metrics 엔드포인트를 통해 지원하고 pmseries/grafana REST API를 통합하며 새로운 비동기 PMWEBAPI(3) REST API 구현을 추가합니다.
    • selinux: 수많은 pcp 정책 업데이트.
    • python pmdas: 인증 지원, 새로운 set_comm_flags 메서드를 활성화하여 통신 플래그를 설정합니다.
    • python api: pmdaGetContext() 를 내보내고 디버깅 래퍼를 추가합니다.
    • perl api: python 래퍼와 같이 PMDA 저장소에 대해 컨텍스트를 설정합니다.
    • systemd: 모든 서비스에 120s 시간 초과를 추가하고 pmlogger 서비스를 시작하지 못한 수정 사항을 추가합니다.

  • 분석 (클라이언트) 도구 수정:

    • pmchart: 가져오기 오류 조건에서 차트 자동 스케일링을 수정합니다.
    • pmrep: gather l-dm-sD 및 collectl-sD 대한 wait.formula 를 수정합니다.
    • PMseries: delta 키워드 및 더 나은 타임스탬프를 지원합니다.
    • pcp-atop: proc vs hotproc 지표를 처리하도록 쓰기 모드(-w)를 수정합니다.
    • pcp-atopsar: 몇 가지 명령행 인수의 오용을 수정합니다.
    • pcp-dstat: CSV 출력의 헤더가 잘못 정렬되고 --bits 명령줄 옵션 처리가 수정되었습니다.
    • libpcp: 손상된 아카이브에 대한 로컬 컨텍스트 및 다중 아카이브 재생 오류 처리를 사용하여 cockpit-pcp segv 를 수정합니다.

(BZ#1723598)

RHEL 8.2에서 Grafana -pcp 사용 가능

grafana-pcp 패키지는 grafana와 PCP 를 연결하는 새로운 grafana 데이터 소스 및 애플리케이션 플러그인을 제공합니다 . grafana-pcp 패키지를 사용하면 각각 pmseries 쿼리 언어와 pm webapi 라이브 서비스를 사용하여 기록 PCP 지표 및 실시간 PCP 지표를 분석할 수 있습니다. 자세한 내용은 Performance Co-Pilot Grafana 플러그인을 참조하십시오.

(BZ#1685315)

업데이트된 GCC 툴 세트 9

GCC Toolset 9는 최신 버전의 개발 툴을 제공하는 컴파일러 툴셋입니다. AppStream 리포지토리의 소프트웨어 컬렉션 형태로 애플리케이션 스트림으로 사용할 수 있습니다.

RHEL 8.2에서 도입한 주요 변경 사항은 다음과 같습니다.

  • GCC 컴파일러가 버전 9.2.1로 업데이트되어 업스트림 GCC에서 사용할 수 있는 많은 버그 수정 및 개선 사항을 제공합니다.

  • 이제 GCC Toolset 9 구성 요소를 두 컨테이너 이미지에서 사용할 수 있습니다.

    • rhel8/gcc-toolset-9-toolchain 에는 GCC 컴파일러, GDB 디버거 및 make 자동화 도구가 포함됩니다.

    • rhel8/gcc-toolset-9-perftools 는 SystemTap 및 Valgrind와 같은 성능 모니터링 툴을 포함합니다.

      컨테이너 이미지를 가져오려면 다음 명령을 root로 실행합니다. 

      # podman pull registry.redhat.io/<image_name>

다음 도구와 버전은 GCC Toolset 9에서 제공합니다.

버전

GCC

9.2.1

GDB

8.3

valgrind

3.15.0

SystemTap

4.1

Dyninst

10.1.0

binutils

2.32

elfutils

0.176

dwz

0.12

Make

4.2.1

strace

5.1

ltrace

0.7.91

annobin

9.08

GCC Toolset 9를 설치하려면 root로 다음 명령을 실행합니다. 

# yum install gcc-toolset-9

GCC Toolset 9에서 도구를 실행하려면 다음을 수행합니다. 

$ scl enable gcc-toolset-9 tool

쉘 세션을 실행하려면 GCC Toolset 9의 툴 버전이 이러한 툴의 시스템 버전보다 우선합니다. 

$ scl enable gcc-toolset-9 bash

자세한 내용은 GCC Toolset 사용을 참조하십시오.

(BZ#1789401)

GCC Toolset 9에서 NVIDIA ICX 대상 오프로딩 지원

GCC Toolset 9의 GCC 컴파일러는 NVIDIA의 OpenMP 대상 오프로딩을 지원합니다.

(BZ#1698607)

업데이트된 GCC 컴파일러를 RHEL 8.2에 사용할 수 있습니다.

시스템 GCC 컴파일러 버전 8.3.1이 업스트림 GCC에서 사용할 수 있는 수많은 버그 수정 및 개선 사항을 포함하도록 업데이트되었습니다.

GCC(GNU 컴파일러 컬렉션)는 C, C++ 및 Fortran 프로그래밍 언어를 사용하여 애플리케이션을 개발하기 위한 툴을 제공합니다.

사용법 정보는 RHEL 8에서 C 및 C++ 애플리케이션 개발에서 참조하십시오.

(BZ#1747157)

glibc에서 최대 fastbin 크기를 변경하는 새로운 튜닝 가능 항목

fat oc 함수는 재사용 가능한 메모리 청크를 특정 크기까지 유지하는 일련의 fastbins를 사용합니다. 기본 청크 크기는 32비트 시스템의 경우 80바이트이고 64비트 시스템에서 160바이트입니다. 이 향상된 기능으로 최대 fastbin 크기를 변경할 수 있는 새로운 glibc.malloc.mxfast 튜닝 가능 항목이 glibc에 추가되었습니다.

(BZ#1764218)

GCC Toolset 9에서 GNU Fortran에 대해 벡터화된 수학 라이브러리가 활성화됨

이 향상된 기능을 통해 GCC 도구 세트의 GNU Fortran은 이제 벡터화된 수학 라이브러리 libmvec 의 루틴을 사용할 수 있습니다. 이전에는 GCC 툴 세트의 Fortran 컴파일러가 GNU C 라이브러리 glibc 에서 제공하는 libmvec 의 루틴을 사용하기 전에 Fortran 헤더 파일이 필요했습니다.

(BZ#1764238)

glibc.malloc.tcache 튜닝 가능 항목이 향상되었습니다.

glibc.malloc.tcache_count 튜닝 가능 항목을 사용하면 스레드별 캐시(tcache)에 저장할 수 있는 각 크기의 최대 메모리 청크 수를 설정할 수 있습니다. 이번 업데이트를 통해 glibc.malloc.tcache_count 튜닝 가능 항목의 상한이 127에서 65535로 증가했습니다.

(BZ#1746933)

glibc 동적 로더가 상속되지 않는 라이브러리 사전 로드 메커니즘을 제공하도록 향상되었습니다.

이 향상된 기능을 통해 이제 --preload 옵션으로 사용자 프로그램을 로드하도록 로더를 호출하고, 사전 로드할 콜론으로 구분된 라이브러리 목록을 추가할 수 있습니다. 이 기능을 사용하면 상속되지 않는 라이브러리 사전 로드 목록을 사용하여 로더를 통해 직접 프로그램을 호출할 수 있습니다.

이전에는 환경을 통해 모든 하위 프로세스에서 상속한 LD_PRELOAD 환경 변수를 사용해야 했습니다.

(BZ#1747453)

GDB는 IBM Z 아키텍처에서 ARCH(13) 확장 지원

이번 개선된 기능을 통해 GDB(GNU Debugger)는 IBM Z 아키텍처에서 ARCH(13) 확장에 의해 구현된 새 명령을 지원합니다.

(BZ#1768593)

elfutils 를 버전 0.178로 다시 기반

elfutils 패키지가 여러 버그 수정 및 개선 사항을 제공하는 버전 0.178으로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.

  • elfclassify: ELF 객체를 분석하는 새로운 툴입니다.
  • debuginfod: 인덱스에 대한 새로운 서버, 클라이언트 툴 및 라이브러리가 HTTP를 통해 파일 및 RPM 아카이브에서 ELF, DWARF, 소스를 자동으로 가져옵니다.
  • 이제 libebllibdw.so 로 직접 컴파일됩니다.
  • eu-readelf 에는 메모, 섹션 번호 지정 및 기호 테이블에 대한 여러 개의 새 플래그가 있습니다.
  • libdw 는 멀티스레딩 지원이 개선되었습니다.
  • libdw 는 추가 GNU DWARF 확장을 지원합니다.

(BZ#1744992)

SystemTap 버전 4.2로 업데이트

SystemTap 계측 툴이 버전 4.2로 업데이트되었습니다. 주요 개선 사항은 다음과 같습니다.

  • 이제 backtraces에 소스 파일 이름과 행 번호가 포함될 수 있습니다.
  • 이제 반복, 타이밍 및 기타 프로세스와 같이 수많은 BPF(Berkeley Packet Filter) 백엔드 확장을 사용할 수 있습니다.
  • SystemTap 스크립트를 관리하는 새 서비스를 사용할 수 있습니다. 이 서비스는 Prometheus 호환 모니터링 시스템에 지표를 보냅니다.
  • SystemTap은 elfutils 라는 새 HTTP 파일 서버의 기능을 상속했습니다. debuginfod. 이 서버는 디버깅 리소스를 SystemTap에 자동으로 전송합니다.

(BZ#1744989)

IBM Z 시리즈 성능 카운터 개선 사항

IBM Z 시리즈 유형 0x8561, 0x8562 및 0x3907(z14 ZR1) 시스템은 이제 libpfm 에서 인식됩니다. IBM Z 시리즈에서 ECC(elliptic-curve cryptography) 작업을 모니터링하기 위한 성능 이벤트를 사용할 수 있습니다. 이를 통해 IBM Z 시리즈 시스템에서 추가 하위 시스템을 모니터링할 수 있습니다.

(BZ#1731019)

히스토리 툴셋을 버전 1.41로 업데이트

satellite Toolset이 1.41 버전으로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.

  • 이제 고아 규칙이 덜 엄격하기 때문에 새로운 특성을 쉽게 구현할 수 있습니다.
  • 이제 #[non_exhaustive] 특성을 struct, enum 또는 enum 변형에 연결할 수 있습니다.
  • FFI(상하 기능 인터페이스)에서 Box<T> 를 사용하면 이제 더 많은 보장이 제공됩니다. Box<T> 는 FFI에서 T* 포인터와 동일한 ABI(Application Binary Interface)를 가집니다.
  • 컴파일 시 메모리 보안 버그를 감지해야 하지만 이전의 검사기에는 제한 사항이 있으며 정의되지 않은 동작과 메모리가 안전하지 않았습니다. 새로운 비연산 수명 검사기(NLL)는 메모리 안전하지 않은 문제를 하드 오류로 보고할 수 있습니다. 이 에디션은 현재 2015년과 2018년 에디션에 적용됩니다. 이전에는 2015년 NLL에서 이러한 문제에 대한 경고만 제기했습니다.

parent -toolset 모듈을 설치하려면 root로 다음 명령을 실행합니다. 

# yum module install rust-toolset

사용 정보는 Rust Toolset 사용을 참조하십시오.

(BZ#1776847)

LLVM Toolset을 버전 9.0.1로 업데이트

LLVM Toolset이 버전 9.0.1로 업그레이드되었습니다. 이번 업데이트를 통해 이제 asm goto 문이 지원됩니다. 이러한 변경으로 AMD64 및 Intel 64 아키텍처에서 Linux 커널을 컴파일할 수 있습니다.

llvm-toolset 모듈을 설치하려면 root로 다음 명령을 실행합니다. 

# yum module install llvm-toolset

자세한 내용은 LLVM Toolset 사용을 참조하십시오.

(BZ#1747139)

Go Toolset을 버전 1.13으로 다시 설정

Go Toolset이 1.13 버전으로 업그레이드되었습니다. 주요 개선 사항은 다음과 같습니다.

  • 이제 RHEL 시스템이 FIPS 모드에서 부팅될 때 FIPS 인증 암호화 모듈을 사용할 수 있습니다. 사용자는 GOLANG_FIPS=1 환경 변수를 사용하여 이 모드를 수동으로 활성화할 수 있습니다.
  • 이제 Delve 디버거 버전 1.3.2를 Go에 사용할 수 있습니다. Go(golang) 프로그래밍 언어의 소스 수준 디버거입니다.

go-toolset 모듈을 설치하려면 root로 다음 명령을 실행합니다. 

# yum module install go-toolset

Delve 디버거를 설치하려면 root로 다음 명령을 실행합니다. 

# yum install delve

Delve를 사용하여 helloworld.go 프로그램을 디버깅하려면 다음 명령을 실행합니다. 

$ dlv debug helloworld.go

Go Toolset에 대한 자세한 내용은 Go Toolset 사용을 참조하십시오.

Delve에 대한 자세한 내용은 업스트림 Delve 문서를 참조하십시오.

(BZ#1747150)

OpenJDK에서 secp256k1도 지원

이전에는 OpenJDK(Open Java Development Kit)에서 NSS 라이브러리의 곡선만 사용할 수 있었습니다. 그 결과 OpenJDK는 ECC(원격 곡선 암호화)를 위한 secp256r1, secp384r1, secp521r1 곡선만 제공했습니다. 이번 업데이트를 통해 OpenJDK는 내부 ECC 구현을 사용하며 secp256k1 곡선도 지원합니다.

(BZ#1746875, BZ#1746879)

5.1.12. IdM (Identity Management)

IdM에서 새로운 Ansible 관리 모듈 지원

이번 업데이트에서는 Ansible 플레이북을 사용하여 공통 IdM(Identity Management) 작업을 자동화하기 위한 몇 가지 ansible-freeipa 모듈이 도입되었습니다.

  • ipauser 모듈은 사용자 추가 및 제거를 자동화합니다.
  • ipagroup 모듈은 사용자 및 사용자 그룹으로부터 사용자 그룹 추가 및 제거를 자동화합니다.
  • ipahost 모듈은 호스트 추가 및 제거를 자동화합니다.
  • ipahostgroup 모듈은 호스트 그룹 내 및 호스트 그룹 추가 및 제거를 자동화합니다.
  • ipasudorule 모듈은 sudo 명령 및 sudo 규칙의 관리를 자동화합니다.
  • ipapwpolicy 모듈은 IdM에서 암호 정책 구성을 자동화합니다.
  • ipahbacrule 모듈은 IdM에서 호스트 기반 액세스 제어의 관리를 자동화합니다.

두 개 이상의 ipauser 호출을 users 변수와 함께 사용하거나 사용자가 포함된 JSON 파일을 사용할 수 있습니다. 마찬가지로, 두 개 이상의 ipahost 호출을 hosts 변수와 함께 결합하거나 또는 호스트를 포함하는 JSON 파일을 사용할 수 있습니다. 또한 ipahost 모듈은 호스트에 대해 여러 개의 IPv4 및 IPv6 주소가 있는지 확인할 수 있습니다.

(JIRA:RHELPLAN-37713)

IdM 상태 점검 에서 임시 DNS 레코드 지원

이번 업데이트에서는 IdM(Identity Management) 서버의 DNS 레코드에 대한 독립 실행형 수동 테스트가 도입되었습니다.

테스트는 Healthcheck 도구를 사용하고 etc/resolv.conf 파일의 로컬 확인자를 사용하여 DNS 쿼리를 수행합니다. 이 테스트를 통해 자동 검색에 필요한 예상 DNS 레코드를 확인할 수 있습니다.

(JIRA:RHELPLAN-37777)

SSSD를 사용하여 RHEL을 AD에 직접 통합하면 FIPS 지원

이 향상된 기능을 통해 SSSD(System Services Security Daemon)는 이제 ISV(Federal Information Processing Standard)에서 승인한 암호화 유형을 사용하는 AD(Active Directory) 배포와 통합됩니다. 개선된 기능을 통해 FIPS 기준을 충족해야 하는 환경에서 RHEL 시스템을 AD에 직접 통합할 수 있습니다.

(BZ#1841170)

기본적으로 Samba 서버 및 클라이언트 유틸리티에서 SMB1 프로토콜이 비활성화되었습니다

Samba 4.11에서는 서버 최소 프로토콜 및 클라이언트 최소 프로토콜 매개 변수의 기본값이 NT1 에서 SMB2_02 로 변경되었습니다. 서버 메시지 블록 버전 1(SMB1) 프로토콜은 더 이상 사용되지 않습니다. /etc/samba/smb.conf 파일에 이러한 매개변수를 설정하지 않은 경우:

  • SMB1만 지원하는 클라이언트는 더 이상 Samba 서버에 연결할 수 없습니다.
  • smbclient 와 같은 Samba 클라이언트 유틸리티 및 libsmbclient 라이브러리는 SMB1만 지원하는 서버에 연결하지 못합니다.

Red Hat은 SMB1 프로토콜을 사용하지 않는 것이 좋습니다. 그러나 환경에 SMB1이 필요한 경우 프로토콜을 수동으로 다시 활성화할 수 있습니다.

Samba 서버에서 SMB1을 다시 활성화하려면 다음을 수행합니다.

  • /etc/samba/smb.conf 파일에 다음 설정을 추가합니다. 
server min protocol = NT1
  • smb 서비스를 다시 시작하십시오. 
# systemctl restart smb

Samba 클라이언트 유틸리티 및 libsmbclient 라이브러리를 위해 SMB1을 다시 활성화하려면 다음을 수행합니다.

  • /etc/samba/smb.conf 파일에 다음 설정을 추가합니다. 
client min protocol = NT1
  • smb 서비스를 다시 시작하십시오. 
# systemctl restart smb

SMB1 프로토콜은 향후 Samba 릴리스에서 제거될 예정입니다.

(BZ#1785248)

Samba 가 버전 4.11.2로 업데이트

samba 패키지가 업스트림 버전 4.11.2로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.

  • 기본적으로 서버 메시지 블록 버전 1(SMB1) 프로토콜은 이제 Samba 서버, 클라이언트 유틸리티 및 libsmbclient 라이브러리에서 비활성화됩니다. 그러나 server min protocol 및 client min protocol 매개변수를 수동으로 NT1로 설정하여 SMB1 을 다시 활성화할 수 있습니다. Red Hat은 SMB1 프로토콜을 다시 활성화하는 것을 권장하지 않습니다.
  • lanman authencrypt password 매개 변수는 더 이상 사용되지 않습니다. 이러한 매개 변수는 안전하지 않은 인증을 활성화하며 더 이상 사용되지 않는 SMB1 프로토콜에서만 사용할 수 있습니다.
  • o 매개 변수가 onode 클러스터형 일반 데이터베이스(CTDB) 유틸리티에서 제거되었습니다.
  • 이제 Samba에서 암호화를 위해 GnuTLS 라이브러리를 사용합니다. 결과적으로 RHEL의 FIPS 모드가 활성화된 경우 Samba가 FIPS 표준을 준수합니다.
  • ctdbd 서비스는 이제 CPU 스레드의 90% 이상을 사용할 때 로그를 기록합니다.
  • 더 이상 사용되지 않는 Python 2 지원이 제거되었습니다.

smbd,nmbd 또는 winbind 서비스가 시작될 때 Samba는 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Samba를 시작하기 전에 데이터베이스 파일을 백업합니다. Red Hat은 tdb 데이터베이스 파일 다운그레이드를 지원하지 않습니다.

주요 변경 사항에 대한 자세한 내용은 업데이트하기 전에 업스트림 릴리스 노트를 참조하십시오. https://www.samba.org/samba/history/samba-4.11.0.html

(BZ#1754409)

디렉토리 서버가 버전 1.4.2.4로 업데이트

389-ds-base 패키지가 업스트림 버전 1.4.2.4로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항의 전체 목록은 업데이트하기 전에 아카이브된 업스트림 릴리스 노트를 참조하십시오.

389 Directory Server Release Notes 아카이브 에는 다음 릴리스에 대한 릴리스 정보가 포함되어 있습니다. * 389 Directory Server 1.4.2.4 * 389 Directory Server 1.4.2.3 * 389 Directory Server 1.4.2.2 * 389 Directory Server 1.4.2.1

(BZ#1748994)

일부 레거시 스크립트가 Directory Server에서 교체되었습니다

이 향상된 기능을 통해 Directory Server에서 지원되지 않는 dbverify,validate-syntax.pl,cl-dump.pl,fixup-memberuid.plrepl-monitor.pl 레거시 스크립트를 대체할 수 있습니다. 이러한 스크립트는 다음 명령으로 교체되었습니다.

  • dbverify: dsctl instance_name dbverify
  • validate-syntax.pl: dsconf schema validate-syntax
  • CL-dump.pl:dsconf 복제 dump-changelog
  • fixup-memberuid.pl:dsconf plugin posix-winsync fixup
  • REPL-monitor.pl:dsconf 복제 모니터

모든 레거시 스크립트 및 대체 스크립트 목록은 Red Hat Directory Server 11에서 명령행 유틸리티 교체를 참조하십시오.

(BZ#1739718)

숨겨진 복제본으로 IdM 설정이 완전히 지원됨

RHEL 8.2의 IdM(Identity Management)은 IdM 서버를 숨겨진 복제본으로 설정할 수 있도록 지원합니다. 숨겨진 복제본은 모든 서비스가 실행 중이고 사용 가능한 IdM 서버입니다. 그러나 DNS의 서비스에 대한 SRV 레코드가 없고 LDAP 서버 역할이 활성화되어 있지 않으므로 다른 클라이언트 또는 마스터에 알리지 않습니다. 따라서 클라이언트는 서비스 검색을 사용하여 숨겨진 복제본을 탐지할 수 없습니다.

숨겨진 복제본은 주로 클라이언트를 중단할 수 있는 전용 서비스용으로 설계되었습니다. 예를 들어 IdM의 전체 백업은 마스터 또는 복제본의 모든 IdM 서비스를 종료해야 합니다. 숨겨진 복제본을 사용하지 않으므로 관리자는 클라이언트에 영향을 주지 않고 이 호스트의 서비스를 일시적으로 종료할 수 있습니다. 다른 사용 사례에는 IdM API 또는 LDAP 서버의 높은 로드 작업(예: 대량 가져오기 또는 포괄적인 쿼리)이 포함됩니다.

숨겨진 새 복제본을 설치하려면 ipa-replica-install --hidden-replica 명령을 사용합니다. 기존 복제본의 상태를 변경하려면 ipa server-state 명령을 사용합니다.

자세한 내용은 IdM 숨겨진 복제본 설치를 참조하십시오.

(BZ#1719767)

Kerberos 티켓 정책이 인증 표시기 지원

인증 표시기는 티켓을 획득하는 데 사용된 사전 인증 메커니즘을 기반으로 Kerberos 티켓에 연결됩니다.

  • 이중 인증을 위한 OTP (암호 + OTP)
  • RADIUS 인증을 위한 준비
  • PKINIT, 스마트 카드 또는 인증서 인증을 위한 Pkinit
  • 강화된 암호를 위한 강화 (SPAKE 또는 FAST)

KDC(Kerberos Distribution Center)는 인증 표시기를 기반으로 하는 서비스 티켓 요청에 서비스 액세스 제어, 최대 티켓 수명, 최대 재생 기간과 같은 정책을 시행할 수 있습니다.

이 향상된 기능을 통해 관리자는 사용자 티켓에서 특정 인증 표시기가 필요하므로 서비스 티켓 발급에 대해 보다 세부적인 제어를 달성할 수 있습니다.

(BZ#1777564)

krb5 패키지가 FIPS와 호환됨

이 향상된 기능을 통해 비준수 암호화는 금지됩니다. 결과적으로 관리자는 FIPS로 연결된 환경에서 Kerberos를 사용할 수 있습니다.

(BZ#1754690)

Directory Server는 시스템 전체 암호화 정책에 따라 sslVersionMin 매개변수를 설정합니다.

기본적으로 Directory Server는 이제 시스템 전체 암호화 정책에 따라 sslVersionMin 매개변수 값을 설정합니다. /etc/crypto-policies/config 파일에서 crypto 정책 프로필을 다음과 같이 설정하는 경우:

  • DEFAULT,FUTURE 또는 FIPS, Directory Server는 sslVersionMinTLS1.2로 설정합니다.
  • LEGACY, Directory Server는 sslVersionMinTLS1.0으로 설정합니다.

또는 crypto 정책에 정의된 값보다 sslVersionMin 을 수동으로 더 높은 값으로 설정할 수 있습니다. 

# dsconf -D "cn=Directory Manager" __ldap://server.example.com__ security set --tls-protocol-min TLS1.3

(BZ#1828727)

SSSD에서 기본적으로 AD GPO 적용

이제 SSSD 옵션 ad_gpo_access_control 의 기본 설정이 강제 적용됩니다. RHEL 8에서 SSSD는 기본적으로 Active Directory Group Policy Objects(GPO)를 기반으로 액세스 제어 규칙을 적용합니다.

RHEL 7에서 RHEL 8로 업그레이드하기 전에 Active Directory에 GPO가 올바르게 구성되었는지 확인하는 것이 좋습니다. GPO를 적용하지 않으려면 /etc/sssd/sssd.conf 파일의 ad_gpo_access_control 옵션 값을 허용 으로 변경합니다.

(JIRA:RHELPLAN-51289)

5.1.13. 데스크탑

듀얼-GPU 시스템에서 Wayland 활성화

이전 버전에서는 GNOME 환경은 기본적으로 랩탑의 X11 세션과 두 개의 그래픽 처리 장치(GPU)가 있는 기타 시스템에서 기본 설정되어 있었습니다. 이번 릴리스에서는 GNOME이 듀얼-GPU 시스템의 Wayland 세션으로 기본 설정되어 단일 GPU 시스템과 동일한 동작입니다.

(BZ#1749960)

5.1.14. 그래픽 인프라

새로운 그래픽 카드 지원

이제 다음과 같은 그래픽 카드가 지원됩니다.

  • Intel HD Graphics 610, 620, 630은 인텔트레이크 H 및 U 프로세서에서 찾을 수 있습니다.

  • Intel Ice Lakeœ Graphics 910 및 Iris Plus Graphics 930, 940 및 950.

    Intel Ice Lake 그래픽을 지원하기 위해 alpha_support 커널 옵션을 설정할 필요가 없습니다.

  • AMD Navi 10 제품군은 다음과 같은 모델을 포함합니다.

    • Radeon RX 5600
    • Radeon RX 5600 XT
    • Radeon RX 5700
    • Radeon RX 5700 XT
    • Radeon Pro W5700

  • 다음 모델을 포함하는 Nvidia rpming TU116 제품군.

    노보 그래픽 드라이버는 아직 Nvidiaing TU116 제품군으로 3D 가속화를 지원하지 않습니다.

    • GSM GTX 1650 슈퍼
    • GSM GTX 1660
    • GSM GTX 1660 슈퍼
    • Tix GTX 1660 Ti
    • GTX 1660 Ti Max-Q

또한 다음 그래픽 드라이버가 업데이트되었습니다.

  • Matrox mgag2000 드라이버
  • Aspeed ast 드라이버
  • Intel i915 드라이버

(JIRA:RHELPLAN-41384)

5.1.15. 웹 콘솔

이제 관리자는 클라이언트 인증서를 사용하여 RHEL 8 웹 콘솔에 인증할 수 있습니다

이 웹 콘솔의 향상된 기능을 통해 시스템 관리자는 클라이언트 인증서를 사용하여 인증서 인증이 내장된 브라우저를 사용하여 로컬로 또는 원격으로 RHEL 8 시스템에 액세스할 수 있습니다. 추가 클라이언트 소프트웨어는 필요하지 않습니다. 이러한 인증서는 일반적으로 스마트 카드 또는 유비키에서 제공되거나 브라우저로 가져올 수 있습니다.

인증서로 로그인할 때 사용자는 현재 웹 콘솔에서 관리 작업을 수행할 수 없습니다. 그러나 사용자는 암호를 사용하여 인증한 후 sudo 명령을 사용하여 터미널 페이지에서 수행할 수 있습니다.

(JIRA:RHELPLAN-2507)

TLS 클라이언트 인증서를 사용하여 웹 콘솔에 로그인하는 옵션

이번 업데이트를 통해 브라우저 또는 스마트 카드 또는 TitaniumbiKey와 같은 장치에서 제공하는 TLS 클라이언트 인증서로 로그인하도록 웹 콘솔을 구성할 수 있습니다.

(BZ#1678465)

웹 콘솔 로그인 관련 변경 사항

RHEL 웹 콘솔이 다음과 같은 변경 사항으로 업데이트되었습니다.

  • 웹 콘솔은 15분 동안 활동이 없으면 현재 세션에서 자동으로 로그아웃합니다. /etc/cockpit/cockpit.conf 파일에서 시간 제한(분)을 구성할 수 있습니다.
  • SSH와 마찬가지로 웹 콘솔은 이제 로그인 화면에서 배너 파일의 콘텐츠를 선택적으로 표시할 수 있습니다. 사용자는 /etc/cockpit/cockpit.conf 파일에서 기능을 구성해야 합니다.

자세한 내용은 cockpit.conf(5) 매뉴얼 페이지를 참조하십시오.

(BZ#1754163)

RHEL 웹 콘솔이 PatternFly 4 사용자 인터페이스 설계 시스템을 사용하도록 재설계되었습니다.

새 설계는 더 나은 접근성을 제공하며 OpenShift 4의 설계와 일치합니다. 업데이트는 다음과 같습니다.

  • Overview(개요) 페이지가 완전히 다시 설계되었습니다. 예를 들어, 정보는 이해하기 쉬운 패널로 그룹화되고, 상태 정보가 더 중요하며, 리소스 그래프가 자체 페이지로 이동되었으며 하드웨어 정보 페이지를 찾기가 쉬워졌습니다.
  • 사용자는 탐색 메뉴의 새로운 Search(검색) 필드를 사용하여 키워드를 기반으로 하는 특정 페이지를 쉽게 찾을 수 있습니다.

PatternFly에 대한 자세한 내용은 PatternFly 프로젝트 페이지를 참조하십시오.

(BZ#1784455)

가상 머신 페이지 업데이트

웹 콘솔의 Virtual Machines 페이지에 몇 가지 스토리지가 개선되었습니다.

  • 이제 스토리지 볼륨 생성이 libvirt 지원 유형에 적용됩니다.
  • 스토리지 풀은 LVM 또는 iSCSI에서 만들 수 있습니다.

또한 Virtual Machines(가상 시스템 ) 페이지에서는 가상 네트워크 인터페이스의 생성 및 제거를 지원합니다.

(BZ#1676506, BZ#1672753)

웹 콘솔 스토리지 페이지 업데이트

사용성 테스트에서는 RHEL 웹 콘솔 스토리지 페이지의 기본 마운트 지점 개념이 파악하기가 어렵고 이로 인해 혼란이 발생했습니다. 이번 업데이트를 통해 파일 시스템을 마운트할 때 웹 콘솔에서 더 이상 기본 선택 사항을 제공하지 않습니다. 이제 새 파일 시스템을 생성하려면 항상 지정된 마운트 지점이 필요합니다.

또한 웹 콘솔은 구성(/etc/fstab)과 런타임 상태(/proc/mounts) 간의 차이점을 숨깁니다. 웹 콘솔에서 변경한 내용은 항상 구성 및 런타임 상태에 모두 적용됩니다. 구성과 런타임 상태가 서로 다르면 웹 콘솔에 경고가 표시되고 사용자가 쉽게 다시 동기화할 수 있습니다.

(BZ#1784456)

5.1.16. 가상화

설치 트리에서 RHEL 가상 머신을 생성하려고 하면 이제 더 유용한 오류 메시지가 반환됩니다.

경우에 따라 --location 옵션과 함께 virt-install 유틸리티를 사용하여 생성된 RHEL 7 및 RHEL 8 가상 머신은 부팅되지 않습니다. 이번 업데이트에서는 이 문제를 해결하는 방법에 대한 지침을 제공하는 virt-install 오류 메시지가 추가되었습니다.

(BZ#1677019)

KVM 게스트에서 지원되는 Intel Xeon 플래티넘 9200 시리즈 프로세서

Intel Xeon 플래티넘 9200 시리즈 프로세서(이전의 Cascade Lake)에 대한 지원이 이제 KVM 하이퍼바이저 및 커널 코드와 libvirt API에 추가되었습니다. 이를 통해 KVM 가상 머신은 Intel Xeon 플래티넘 9200 시리즈 프로세서를 사용할 수 있습니다.

(JIRA:RHELPLAN-13995)

EDK2 가 stable201908 버전으로 업데이트

EDK2 패키지가 여러 개선사항을 제공하는 stable201908 버전으로 업그레이드되었습니다. 특히:

  • EDK2 에는 이제 OpenSSL-1.1.1 지원이 포함되어 있습니다.
  • 업스트림 프로젝트의 라이센스 요구 사항을 준수하기 위해 EDK2 패키지 라이센스가 BSD 및 OpenSSL 및 MIT에서 BSD -2-Clause-Patent 및 OpenSSL 및 MIT 로 변경되었습니다.

(BZ#1748180)

중첩된 가상 머신 생성

이번 업데이트를 통해 RHEL 8을 사용하는 Intel 64 호스트에서 실행되는 KVM(VM)에 중첩된 가상화가 완전히 지원됩니다. 이 기능을 사용하면 물리적 RHEL 8 호스트에서 실행되는 RHEL 7 또는 RHEL 8 VM이 하이퍼바이저 역할을 하며 고유한 VM을 호스팅할 수 있습니다.

AMD64 시스템에서 중첩된 KVM 가상화는 기술 프리뷰로 남아 있습니다.

(JIRA:RHELPLAN-14047, JIRA:RHELPLAN-24437)

5.1.17. 컨테이너

/etc/containers/registries.conf의 기본 레지스트리 검색 목록이 업데이트되었습니다.

/etc/containers/registries .conf의 기본 registries. search 목록은 Red Hat 및 해당 파트너가 큐레이션, 패치 및 유지 관리하는 컨테이너 이미지를 제공하는 신뢰할 수 있는 레지스트리만 포함하도록 업데이트되었습니다.

다음과 같은 정규화된 이미지 이름을 사용하는 것이 좋습니다.

  • 레지스트리 서버(전체 DNS 이름)
  • 네임스페이스
  • 이미지 이름
  • 태그(예: registry.redhat.io/ubi8/ubu:latest)

짧은 이름을 사용하는 경우 항상 스푸핑할 위험이 있습니다. 예를 들어, 사용자가 레지스트리에서 foobar 라는 이미지를 가져와서 myregistry.com 에서 온 것으로 예상합니다. myregistry.com 이 검색 목록에 먼저 없는 경우 공격자는 검색 목록 앞의 레지스트리에 다른 foobar 이미지를 배치할 수 있습니다. 사용자가 의도한 콘텐츠가 아니라 공격자 이미지 및 코드를 실수로 가져와서 실행했습니다. Red Hat은 알 수 없거나 익명 사용자가 임의 이름으로 계정을 생성할 수 없는 레지스트리인 신뢰할 수 있는 레지스트리만 추가하는 것이 좋습니다. 이렇게 하면 이미지가 스푸핑되거나, 스푸핑되거나, 비보안되지 않게 되는 것을 방지할 수 있습니다.

(BZ#1810053)

Podman은 더 이상 oci-systemd-hook에 의존하지 않습니다.

Podman은 container - tools:rhel8 및 container-tools:2.0 모듈 스트림에서 제거된 oci- systemd- hook 패키지를 필요로 하거나 의존하지 않습니다.

(BZ#1645280)