Uma interface de firewall foi adicionada ao console web

A página Networking no console web RHEL 8 agora inclui uma seção Firewall. Nesta seção, os usuários podem ativar ou desativar o firewall, assim como adicionar, remover e modificar as regras do firewall.

O console web agora está disponível por padrão

Os pacotes para o console web RHEL 8, também conhecido como Cockpit, agora fazem parte dos repositórios default do Red Hat Enterprise Linux, e podem, portanto, ser imediatamente instalados em um sistema RHEL 8 registrado.

Melhor integração IdM para o console web

Se seu sistema estiver registrado em um domínio de Gerenciamento de Identidade (IdM), o console web RHEL 8 agora utiliza os recursos de gerenciamento central de IdM do domínio por padrão. Isto inclui os seguintes benefícios:

O console web agora é compatível com navegadores móveis

Com esta atualização, os menus e páginas do console web podem ser navegados em variantes de navegadores móveis. Isto torna possível gerenciar sistemas usando o console web RHEL 8 a partir de um dispositivo móvel.

A página inicial do console web agora exibe atualizações e assinaturas em falta

Se um sistema gerenciado pelo console web RHEL 8 tiver pacotes desatualizados ou uma assinatura caducada, um aviso é agora exibido na página principal do console web do sistema.

O console web agora suporta a inscrição de PBD

Com esta atualização, você pode usar a interface do console web RHEL 8 para aplicar as regras de Decriptação Baseada em Políticas (PBD) a discos em sistemas gerenciados. Isto utiliza o cliente de decriptação Clevis para facilitar uma variedade de funções de gerenciamento de segurança no console web, como o desbloqueio automático de partições de disco criptografadas pelo LUKS.

As máquinas virtuais podem agora ser gerenciadas usando o console web

A página de Máquinas Virtuais pode agora ser adicionada à interface do console web RHEL 8, que permite ao usuário criar e gerenciar máquinas virtuais baseadas em libvírus.

A instalação da RHEL a partir de um DVD usando SE e HMC é agora totalmente suportada no IBM Z

A instalação do Red Hat Enterprise Linux 8 no hardware IBM Z a partir de um DVD usando o Support Element (SE) e Hardware Management Console (HMC) é agora totalmente suportada. Esta adição simplifica o processo de instalação no IBM Z com SE e HMC.

O instalador agora suporta o formato de criptografia de disco LUKS2

O instalador do Red Hat Enterprise Linux 8 agora usa o formato LUKS2 por default, mas você pode selecionar uma versão LUKS a partir da janela Anaconda’s Particionamento Personalizado ou usando as novas opções nos comandos Kickstart's autopart, logvol, part e RAID.

Anaconda suporta Sistema Propósito no RHEL 8

Anteriormente, Anaconda não fornecia informações sobre a finalidade do sistema para Subscription Manager. No Red Hat Enterprise Linux 8.0, você pode definir o propósito pretendido do sistema durante a instalação, usando a janela Propósito do Sistema Anaconda’s ou o comando Kickstart's syspurpose. Quando a instalação estiver completa, Subscription Manager usa as informações sobre o propósito do sistema ao assinar o sistema.

Pykickstart suporta Sistema Objetivo no RHEL 8

Anteriormente, não era possível para a biblioteca pykickstart fornecer informações sobre a finalidade do sistema para Subscription Manager. No Red Hat Enterprise Linux 8.0, o pykickstart analisa o novo comando syspurpose e registra o propósito pretendido do sistema durante a instalação automatizada e parcialmente automatizada. As informações são então passadas para Anaconda, salvas no sistema recém-instalado, e disponíveis para Subscription Manager ao assinar o sistema.

Anaconda suporta um novo parâmetro de inicialização do kernel no RHEL 8

Anteriormente, você só podia especificar um repositório base a partir dos parâmetros de inicialização do kernel. No Red Hat Enterprise Linux 8, um novo parâmetro do kernel, inst.addrepo=<name>,<url>, permite que você especifique um repositório adicional durante a instalação.

Anaconda suporta uma ISO unificada no RHEL 8

No Red Hat Enterprise Linux 8.0, uma ISO unificada carrega automaticamente os repositórios de fontes de instalação do BaseOS e AppStream.

O Anaconda pode instalar pacotes modulares em scripts Kickstart

O instalador Anaconda foi ampliado para lidar com todas as características relacionadas aos fluxos de aplicação: módulos, fluxos e perfis. Os Kickstart scripts podem agora habilitar combinações de módulos e fluxos, instalar perfis de módulos e instalar pacotes modulares. Para mais informações, consulte Execução de uma instalação RHEL avançada.

A opção de inicialização nosmt está agora disponível nas opções de instalação do RHEL 8

A opção de inicialização nosmt está disponível nas opções de instalação que são passadas para um sistema RHEL 8 recém-instalado.

O RHEL 8 suporta a instalação a partir de um repositório em um disco rígido local

Anteriormente, a instalação da RHEL a partir de um disco rígido exigia uma imagem ISO como fonte de instalação. Entretanto, a imagem ISO RHEL 8 pode ser muito grande para alguns sistemas de arquivos; por exemplo, o sistema de arquivos FAT32 não pode armazenar arquivos maiores que 4 GiB.

Criação de imagens personalizadas do sistema com o Image Builder está disponível no RHEL 8

A ferramenta Image Builder permite que os usuários criem imagens RHEL personalizadas. O Image Builder está disponível em AppStream no lorax-composer pacote.

Versão do Kernel em RHEL 8.0

O Red Hat Enterprise Linux 8.0 é distribuído com o kernel versão 4.18.0-80.

O endereçamento físico ARM de 52 bits já está disponível

Com esta atualização, está disponível suporte para endereçamento físico de 52 bits (PA) para a arquitetura ARM de 64 bits. Isto fornece um espaço de endereçamento maior do que o anterior PA de 48 bits.

O código IOMMU suporta tabelas de 5 níveis de página no RHEL 8

O código da unidade de gerenciamento de memória I/O (IOMMU) no kernel Linux foi atualizado para suportar tabelas de páginas de 5 níveis no Red Hat Enterprise Linux 8.

Suporte para paginação em 5 níveis

O novo tipo de tabela de páginas de software P4d_t foi adicionado ao kernel Linux para suportar paginação em 5 níveis no Red Hat Enterprise Linux 8.

O gerenciamento de memória suporta tabelas de 5 níveis de página

Com o Red Hat Enterprise Linux 7, o barramento de memória existente tinha 48/46 bits de capacidade de endereçamento de memória virtual/física, e o kernel Linux implementou 4 níveis de tabelas de páginas para gerenciar esses endereços virtuais para endereços físicos. A linha de endereçamento do barramento físico colocou a capacidade limite superior de memória física em 64 TB.

kernel-signing-ca.cer é movido para kernel-core no RHEL 8

Em todas as versões do Red Hat Enterprise Linux 7, a chave pública do kernel-signing-ca.cer estava localizada no pacote kernel-doc. Entretanto, no Red Hat Enterprise Linux 8, o kernel-signing-ca.cer foi realocado para o pacote kernel-core para cada arquitetura.

O padrão de mitigação Spectre V2 mudou de IBRS para Retpolines

A mitigação padrão da vulnerabilidade do Spectre V2 (CVE-2017-5715) para sistemas com Processadores Intel Core da 6ª Geração e seus derivados próximos [1] mudou de Indirect Branch Restricted Speculation (IBRS) para Retpolines no Red Hat Enterprise Linux 8. A Red Hat implementou esta mudança como resultado das recomendações da Intel para se alinhar com os padrões usados na comunidade Linux e para restaurar o desempenho perdido. Entretanto, observe que o uso de Retpolines em alguns casos pode não mitigar totalmente o Spectre V2. O documento Retpoline da Intel [2] descreve quaisquer casos de exposição. Este documento também declara que o risco de um ataque é baixo.

Software hospedeiro Intel® Omni-Path Architecture (OPA)

O software hospedeiro Intel Omni-Path Architecture (OPA) é totalmente suportado no Red Hat Enterprise Linux 8.

NUMA suporta mais nós no RHEL 8

Com esta atualização, a contagem de nós NUMA (Non-Uniform Memory Access) foi aumentada de 4 nós NUMA para 8 nós NUMA no Red Hat Enterprise Linux 8 em sistemas com a arquitetura ARM de 64 bits.

A IOMMU passthrough está agora habilitada por padrão no RHEL 8

A passagem da Unidade de Gerenciamento de Memória de Entrada/Saída (IOMMU) foi habilitada por padrão. Isto proporciona melhor desempenho para os sistemas AMD porque o remapeamento do Acesso Direto à Memória (DMA) está desativado para o host. Esta atualização traz consistência com os sistemas Intel onde o remapeamento do DMA também está desabilitado por padrão. Os usuários podem desabilitar tal comportamento (e habilitar o remapeamento do DMA) especificando os parâmetros iommu.passthrough=off ou iommu=nopt na linha de comando do kernel, incluindo o hypervisor.

O kernel RHEL8 agora suporta tabelas de 5 níveis de página

O núcleo do Red Hat Enterprise Linux agora suporta totalmente os futuros processadores Intel com até 5 níveis de tabelas de páginas. Isto permite que os processadores suportem até 4PB de memória física e 128PB de espaço de endereços virtuais. As aplicações que utilizam grandes quantidades de memória podem agora usar a maior quantidade possível de memória fornecida pelo sistema sem as restrições de tabelas de 4 níveis de páginas.

O kernel RHEL8 suporta IBRS aprimorado para futuras CPUs Intel

O kernel do Red Hat Enterprise Linux agora suporta o uso da capacidade aprimorada de Especulação Restrita Indireta (IBRS) para mitigar a vulnerabilidade do Spectre V2. Quando ativado, o IBRS terá um desempenho melhor que o das Retpolines (default) para mitigar o Spectre V2 e não interferirá com a tecnologia Intel Control-flow Enforcement. Como resultado, a penalidade de desempenho de permitir a mitigação do Spectre V2 será menor nas CPUs futuras da Intel.

bpftool para inspeção e manipulação de programas e mapas baseados em eBPF adicionado

O utilitário bpftool que serve para inspeção e manipulação simples de programas e mapas baseados na Filtragem de Pacotes Berkeley estendida (eBPF) foi adicionado ao kernel do Linux. bpftool é uma parte da árvore de fontes do kernel, e é fornecido pelo pacote bpftool, que está incluído como um sub-pacote do pacote kernel.

As fontes do kernel-rt foram atualizadas

As fontes de kernel-rt foram atualizadas para utilizar a última árvore de fontes do kernel RHEL. A última árvore de fontes do kernel está agora usando o conjunto de correções em tempo real upstream v4.18, que fornece uma série de correções de bugs e melhorias em relação à versão anterior.

YUM melhoria do desempenho e suporte para conteúdo modular

No Red Hat Enterprise Linux 8, a instalação do software é assegurada pela nova versão da ferramenta YUM, que é baseada na tecnologia DNF (YUM v4).

Características RPM notáveis no RHEL 8

O Red Hat Enterprise Linux 8 é distribuído com RPM 4.14. Esta versão introduz muitas melhorias em relação ao RPM 4.11, que está disponível no RHEL 7. As características mais notáveis incluem:

RPM agora valida todo o conteúdo do pacote antes de iniciar uma instalação

No Red Hat Enterprise Linux 7, o utilitário RPM verificou o conteúdo da carga útil de arquivos individuais enquanto desempacotava. No entanto, isto é insuficiente por múltiplas razões:

Mudanças notáveis no perfil sintonizado recomendado no RHEL 8

Com esta atualização, o perfil sintonizado recomendado (reportado pelo comando recomendado de sintonização-adm ) é agora selecionado com base nas seguintes regras - a primeira regra que combina entra em vigor:

Os arquivos produzidos por named podem ser escritos no diretório de trabalho

Anteriormente, o daemon named armazenava alguns dados no diretório de trabalho, que foi somente leitura no Red Hat Enterprise Linux. Com esta atualização, os caminhos foram alterados para arquivos selecionados em subdiretórios, onde a escrita é permitida. Agora, as permissões default do diretório Unix e SELinux permitem a escrita no diretório. Os arquivos distribuídos dentro do diretório ainda são somente leitura para named.

Os bancos de dados Geolite foram substituídos pelos Geolite2 Databases

Os Geolite Databases que estavam presentes no Red Hat Enterprise Linux 7 foram substituídos pelos Geolite2 Databases no Red Hat Enterprise Linux 8.

Os logs do CUPS são tratados pelo journald

No RHEL 8, os registros CUPS não são mais armazenados em arquivos específicos dentro do diretório /var/log/cups, que foi usado no RHEL 7. No RHEL 8, todos os tipos de logs CUPS são registrados centralmente no daemon do sistema de diário junto com logs de outros programas. Para acessar os logs do CUPS, use o comando journalctl -u cups. Para mais informações, consulte Trabalhando com os logs do CUPS.

Características notáveis do BIND no RHEL 8

RHEL 8 inclui o BIND (Berkeley Internet Name Domain) na versão 9.11. Esta versão do servidor DNS introduz múltiplas novas características e mudanças de características em comparação com a versão 9.10.

O usuário ninguém substitui o nfsnobody

No Red Hat Enterprise Linux 7, havia:

Sistemas de controle de versão no RHEL 8

A RHEL 8 fornece os seguintes sistemas de controle de versão:

Mudanças notáveis no Subversion 1.10

Subversion 1.10 introduz uma série de novas características desde a versão 1.7 distribuída no RHEL 7, bem como as seguintes alterações de compatibilidade:

Mudanças notáveis no dstat

O RHEL 8 é distribuído com uma nova versão da ferramenta dstat. Esta ferramenta agora faz parte do conjunto de ferramentas do Performance Co-Pilot (PCP). O arquivo /usr/bin/dstat e o nome do pacote dstat é agora fornecido pelo pacote pcp-system-tools.

Python 3 é a implementação padrão Python no RHEL 8

O Red Hat Enterprise Linux 8 é distribuído com o Python 3.6. O pacote pode não ser instalado por default. Para instalar o Python 3.6, use o comando yum install python3.

Os scripts Python devem especificar a versão principal em hashbangs no tempo de construção RPM

No RHEL 8, os scripts Python executáveis devem usar hashbangs (shebangs) especificando explicitamente pelo menos a principal versão Python.

Mudanças notáveis no PHP

O Red Hat Enterprise Linux 8 é distribuído com PHP 7.2. Esta versão introduz as seguintes mudanças principais sobre o PHP 5.4, que está disponível no RHEL 7:

Mudanças notáveis em Ruby

A RHEL 8 fornece o Ruby 2.5, que introduz inúmeras novas características e melhorias em relação ao Ruby 2.0.0 disponível no RHEL 7. As mudanças notáveis incluem:

Mudanças notáveis em Perl

Perl 5.26, distribuído com o RHEL 8, introduz as seguintes mudanças em relação à versão disponível no RHEL 7:

Node.js novo na RHEL

Node.js, uma plataforma de desenvolvimento de software para construir aplicações de rede rápidas e escaláveis na linguagem de programação JavaScript, é fornecida pela primeira vez na RHEL. Anteriormente, estava disponível apenas como uma Coleção de Software. A RHEL 8 fornece o Node.js 10.

Mudanças notáveis no SWIG

RHEL 8 inclui o Empacotador Simplificado e o Gerador de Interface (SWIG) versão 3.0, que fornece inúmeras novas características, melhorias e correções de bugs sobre a versão 2.0 distribuída no RHEL 7. Mais notavelmente, o suporte para o padrão C 11 foi implementado. O SWIG agora suporta também Go 1.6, PHP 7, Octave 4.2, e Python 3.5.

Mudanças notáveis no Apache httpd

O RHEL 8 é distribuído com o Servidor HTTP Apache 2.4.37. Esta versão introduz as seguintes mudanças sobre o httpd disponível no RHEL 7:

O servidor web nginx novo na RHEL

RHEL 8 apresenta o nginx 1.14, um servidor web e proxy que suporta HTTP e outros protocolos, com foco em alta concorrência, desempenho e baixo uso de memória. nginx estava anteriormente disponível apenas como uma Coleção de Software.

Servidores de banco de dados no RHEL 8

A RHEL 8 fornece os seguintes servidores de banco de dados:

Mudanças notáveis no MySQL 8.0

O RHEL 8 é distribuído com o MySQL 8.0, que fornece, por exemplo, os seguintes aprimoramentos:

Mudanças notáveis no MariaDB 10.3

O MariaDB 10.3 oferece inúmeras novidades sobre a versão 5.5 distribuída na RHEL 7, como por exemplo:

Mudanças notáveis no PostgreSQL

O RHEL 8.0 fornece duas versões do servidor de banco de dados PostgreSQL, distribuído em dois fluxos do módulo postgresql: PostgreSQL 10 (o fluxo padrão) e PostgreSQL 9.6. O RHEL 7 inclui a versão 9.2 do PostgreSQL.

Mudanças notáveis no Squid

O RHEL 8.0 é distribuído com o Squid 4.4, um servidor proxy de cache de alto desempenho para clientes web, que suporta FTP, Gopher e objetos de dados HTTP. Este lançamento fornece inúmeras novas características, melhorias e correções de bugs sobre a versão 3.5 disponível no RHEL 7.

Cache de Verniz novo em RHEL

Verniz Cache, um proxy HTTP reverso de alto desempenho, é fornecido pela primeira vez na RHEL. Anteriormente, estava disponível apenas como uma Coleção de Software. O Vernish Cache armazena arquivos ou fragmentos de arquivos em memória que são usados para reduzir o tempo de resposta e o consumo de largura de banda da rede em futuras solicitações equivalentes. O RHEL 8.0 é distribuído com o Verniz Cache 6.0.

GNOME Shell, versão 3.28 em RHEL 8

O GNOME Shell, versão 3.28 está disponível no Red Hat Enterprise Linux (RHEL) 8. Entre as melhorias notáveis estão

Wayland é o servidor de exibição padrão

Com o Red Hat Enterprise Linux 8, a sessão GNOME e o Gerenciador de Exibição GNOME (GDM) usam Wayland como seu servidor de exibição padrão ao invés do servidor X.org, que foi usado com a versão anterior principal da RHEL.

Localização de pacotes RPM que estão em repositórios não habilitados por padrão

Os repositórios adicionais para a área de trabalho não estão habilitados por padrão. A desativação é indicada pela linha habilitada=0 no arquivo .repo correspondente. Se você tentar instalar um pacote de tal repositório usando o PackageKit, o PackageKit mostra uma mensagem de erro anunciando que o aplicativo não está disponível. Para tornar o pacote disponível, substitua a linha habilitado=0 usada anteriormente no respectivo arquivo .repo por habilitado=1.

GNOME Sofware para gerenciamento de pacotes

O pacote gnome-packagekit que forneceu uma coleção de ferramentas para o gerenciamento de pacotes em ambiente gráfico no Red Hat Enterprise Linux 7 não está mais disponível. No Red Hat Enterprise Linux 8, funcionalidade similar é fornecida pelo utilitário GNOME Software, que permite instalar e atualizar aplicativos e extensões gnome-shell. GNOME Software é distribuído no pacote gnome-software.

Escala fracionária disponível para o GNOME Shell em Wayland

Em uma sessão GNOME Shell on Wayland, o recurso de escalonamento fracionário está disponível. O recurso torna possível escalar a GUI por frações, o que melhora a aparência da GUI em escala em determinados displays.

Atualizações de firmware usando fwupd estão disponíveis

O RHEL 8 suporta atualizações de firmware, como cápsula UEFI, Atualização de Firmware do Dispositivo (DFU), e outros, usando o daemon fwupd. O daemon permite que o software da sessão atualize o firmware do dispositivo em uma máquina local automaticamente.

Modo de memória para Optane DC A tecnologia de memória persistente é totalmente suportada

Os dispositivos de armazenamento de memória Intel Optane DC Persistent Memory fornecem tecnologia de memória persistente de classe data center, que pode aumentar significativamente o rendimento das transações.

Novas verificações de sintaxe de senha no Directory Server

Esta melhoria acrescenta novas verificações de sintaxe de senha ao Directory Server. Os administradores podem agora, por exemplo, ativar verificações de dicionário, permitir ou negar usando seqüências de caracteres e palíndromos. Como resultado, se ativada, a verificação da sintaxe da política de senhas no Servidor de Diretório reforça as senhas mais seguras.

O Servidor de Diretório agora oferece suporte melhorado ao registro de operações internas

Várias operações no Directory Server, iniciadas pelo servidor e pelos clientes, causam operações adicionais em segundo plano. Anteriormente, o servidor só registrava para operações internas a palavra-chave Internal connection, e a identificação da operação era sempre definida como -1. Com esta melhoria, o Servidor de Diretório registra a conexão real e o ID da operação. Agora você pode rastrear a operação interna até a operação do servidor ou do cliente que causou esta operação.

A biblioteca tomcatjss suporta a verificação OCSP usando o respondedor da extensão AIA

Com este aperfeiçoamento, a biblioteca tomcatjss suporta a verificação do Protocolo de Status de Certificado Online (OCSP) usando o respondedor da extensão Authority Information Access (AIA) de um certificado. Como resultado, os administradores do Sistema de Certificado da Red Hat podem agora configurar a verificação OCSP que usa a URL da extensão AIA.

Os comandos pki subsystem-cert-find e pki subsystem-cert-show agora mostram o número de série dos certificados

Com este aperfeiçoamento, os comandos pki subsystem-cert-find e pki subsystem-cert-show em Certificate System mostram o número de série dos certificados em sua saída. O número de série é uma informação importante e muitas vezes exigida por vários outros comandos. Como resultado, a identificação do número de série de um certificado é agora mais fácil.

Os comandos do usuário pki e do grupo pki foram depreciados no Sistema de Certificado

Com esta atualização, os novos comandos pki <subsystem>-user e pki <subsystem>-groups substituem os comandos pki user e pki group em Certificate System. Os comandos substituídos ainda funcionam, mas eles exibem uma mensagem de que o comando é depreciado e se referem aos novos comandos.

Sistema de certificados agora suporta a renovação off-line de certificados de sistema

Com este aprimoramento, os administradores podem usar o recurso de renovação off-line para renovar certificados de sistema configurados no Sistema de Certificados. Quando um certificado de sistema expira, o Sistema de Certificados não inicia. Como resultado do aprimoramento, os administradores não precisam mais de soluções para substituir um certificado de sistema expirado.

O Sistema de Certificado pode agora criar CSRs com extensão SKI para assinatura externa da CA

Com este aperfeiçoamento, o Sistema de Certificado suporta a criação de um pedido de assinatura de certificado (CSR) com a extensão Subject Key Identifier (SKI) para assinatura de autoridade de certificado externa (CA). Certas ACs exigem esta extensão com um valor particular ou derivada da chave pública da AC. Como resultado, os administradores podem agora usar o parâmetro pki_req_ski no arquivo de configuração passado para o utilitário pkispawn para criar um CSR com extensão SKI.

O SSSD não usa mais o valor fallback_homedir da seção [nss] como fallback para domínios AD

Antes do RHEL 7.7, o parâmetro fallback_homedir do SSSD em um provedor do Active Directory (AD) não tinha valor padrão. Se fallback_homedir não foi definido, o SSSD usou em vez disso o valor do mesmo parâmetro da seção [nss] no arquivo /etc/sssd/sssd.conf. Para aumentar a segurança, o SSSD no RHEL 7.7 introduziu um valor padrão para fallback_homedir. Como conseqüência, o SSSD não cai mais para o valor definido na seção [nss]. Se você quiser usar um valor diferente do padrão para o parâmetro fallback_homedir em um domínio AD, você deve defini-lo manualmente na seção do domínio.

O SSSD agora permite selecionar um dos múltiplos dispositivos de autenticação Smartcard

Por padrão, o System Security Services Daemon (SSSD) tenta detectar automaticamente um dispositivo para autenticação Smartcard. Se houver vários dispositivos conectados, o SSSD seleciona o primeiro que ele detecta. Consequentemente, não é possível selecionar um determinado dispositivo, o que às vezes leva a falhas.

Os usuários locais são armazenados em cache pelo SSSD e servidos através do módulo nss_sss

No RHEL 8, o System Security Services Daemon (SSSD) atende usuários e grupos dos arquivos /etc/passwd e /etc/groups por padrão. O módulo sss nsswitch precede os arquivos do arquivo /etc/nsswitch.conf.

A KCM substitui a KEYRING como o armazenamento padrão de credenciais

No RHEL 8, o armazenamento padrão do cache de credenciais é o Kerberos Credential Manager (KCM), que é apoiado pelo deamon sssd-kcm. O KCM supera as limitações do KEYRING usado anteriormente, tais como sua dificuldade de uso em ambientes de contêineres por não ser espaçado por nomes, e para visualizar e gerenciar cotas.

Os usuários do Active Directory agora podem administrar a Gestão de Identidade

Com esta atualização, a RHEL 8 permite adicionar uma substituição de ID de usuário para um usuário do Active Directory (AD) como membro de um grupo de Gerenciamento de Identidade (IdM). Uma substituição de ID é um registro que descreve como deve ser um usuário específico de AD ou propriedades de grupo dentro de uma visualização de ID específica, neste caso, a Visualização de Confiança Padrão. Como conseqüência da atualização, o servidor LDAP do IdM é capaz de aplicar regras de controle de acesso para o grupo IdM ao usuário AD.

sssctl imprime um relatório de regras HBAC para um domínio IdM

Com esta atualização, a utilidade sssctl do System Security Services Daemon (SSSD) pode imprimir um relatório de controle de acesso para um domínio de Gerenciamento de Identidade (IdM). Este recurso atende à necessidade de certos ambientes de ver, por razões regulamentares, uma lista de usuários e grupos que podem acessar uma máquina cliente específica. Executando o sssctl access-report domain_name em um cliente IdM imprime o subconjunto de regras de controle de acesso baseado em host (HBAC) no domínio IdM que se aplicam à máquina cliente.

Os pacotes de Gerenciamento de Identidade estão disponíveis como um módulo

No RHEL 8, os pacotes necessários para instalação de um servidor e cliente de Gerenciamento de Identidade (IdM) são enviados como um módulo. O fluxo cliente é o fluxo padrão do módulo idm e você pode baixar os pacotes necessários para a instalação do cliente sem habilitar o fluxo.

Adicionada solução de gravação de sessão para RHEL 8

Uma solução de gravação de sessão foi adicionada ao Red Hat Enterprise Linux 8 (RHEL 8). Um novo pacote tlog e seu leitor de sessão associado ao console web permitem a gravação e reprodução das sessões do terminal do usuário. A gravação pode ser configurada por usuário ou grupo de usuários através do serviço System Security Services Daemon (SSSD). Todas as entradas e saídas do terminal são capturadas e armazenadas em um formato de texto em um diário do sistema. A entrada é inativa por padrão por razões de segurança para não interceptar senhas brutas e outras informações sensíveis.

authselect simplifica a configuração da autenticação do usuário

Esta atualização introduz o utilitário authselect que simplifica a configuração da autenticação do usuário nos hosts RHEL 8, substituindo o utilitário authconfig. o authselect vem com uma abordagem mais segura ao gerenciamento de pilha do PAM que torna as mudanças de configuração do PAM mais simples para os administradores do sistema. o authselect pode ser usado para configurar métodos de autenticação como senhas, certificados, cartões inteligentes e impressão digital. Note que o authselect não configura os serviços necessários para entrar em domínios remotos. Esta tarefa é realizada por ferramentas especializadas, como realmd ou ipa-client-install.

O SSSD agora impõe por padrão os GPO AD

A configuração padrão para a opção SSSD ad_gpo_access_control está agora fazendo cumprir. No RHEL 8, o SSSD aplica por padrão as regras de controle de acesso baseadas nos Objetos de Políticas de Grupos de Diretórios Ativos (GPOs).

Impulso atualizado para a versão 1.66

A biblioteca Boost C foi atualizada para a versão upstream 1.66. A versão de Boost incluída no Red Hat Enterprise Linux 7 é a 1.53. Para detalhes, veja os changelogs upstream: https://www.boost.org/users/history/

Suporte Unicode 11.0.0

A biblioteca do núcleo C do Red Hat Enterprise Linux, glibc, foi atualizada para suportar a versão padrão Unicode 11.0.0. Como resultado, todas as APIs de caracteres amplos e multi-byte, incluindo transliteração e conversão entre conjuntos de caracteres, fornecem informações precisas e corretas em conformidade com este padrão.

O pacote de impulso é agora independente da Python

Com esta atualização, a instalação do pacote boost não mais instala a biblioteca Boost.Python como uma dependência. Para usar o Boost.Python, você precisa instalar explicitamente os pacotes boost-python3 ou boost-python3-devel.

Um novo pacote compat-libgfortran-48 disponível

Para compatibilidade com as aplicações Red Hat Enterprise Linux 6 e 7 usando a biblioteca Fortran, um novo pacote de compatibilidade compat-libgfortran-48 está agora disponível, que fornece a biblioteca libgfortran.so.3.

Suporte de retpolina no GCC

Esta atualização adiciona suporte para retpolinas ao GCC. Uma retpolina é uma construção de software usada pelo kernel para reduzir a sobrecarga dos ataques da Variante 2 do Spectre mitigadora descrita no CVE-2017-5715.

Suporte aprimorado para a arquitetura ARM de 64 bits em componentes da cadeia de ferramentas

Os componentes da cadeia de ferramentas, GCC e binutils, agora fornecem suporte estendido para a arquitetura ARM de 64 bits. Por exemplo:

Otimizações para a glibc para sistemas IBM POWER

Esta atualização fornece uma nova versão da glibc que é otimizada tanto para as arquiteturas IBM POWER 8 como para IBM POWER 9. Como resultado, os sistemas IBM POWER 8 e IBM POWER 9 agora mudam automaticamente para a variante adequada e otimizada da glibc em tempo de execução.

Biblioteca GNU C atualizada para a versão 2.28

O Red Hat Enterprise Linux 8 inclui a versão 2.28 da Biblioteca C GNU (glibc). Melhorias notáveis incluem:

CMake disponível em RHEL

O CMake build system versão 3.11 está disponível no Red Hat Enterprise Linux 8 como o pacote cmake.

fazer a versão 4.2.1

O Red Hat Enterprise Linux 8 é distribuído com a ferramenta make build versão 4.2.1. Mudanças notáveis incluem:

SystemTap versão 4.0

O Red Hat Enterprise Linux 8 é distribuído com a ferramenta de instrumentação SystemTap versão 4.0. As melhorias notáveis incluem:

Melhorias na versão 2.30 do binutils

O Red Hat Enterprise Linux 8 inclui a versão 2.30 do pacote binutils. Melhorias notáveis incluem:

Performance Co-Pilot versão 4.3.0

O Red Hat Enterprise Linux 8 é distribuído com Performance Co-Pilot (PCP) versão 4.3.0. As melhorias notáveis incluem:

Chaves de proteção de memória

Esta atualização permite características de hardware que permitem mudanças na bandeira de proteção por página. Os novos invólucros de chamada do sistema glibc foram adicionados para as funções pkey_alloc(), pkey_free(), e pkey_mprotect(). Além disso, as funções pkey_set( ) e pkey_get( ) foram adicionadas para permitir o acesso aos sinalizadores de proteção por fio.

O GCC agora não cumpre a norma z13 na IBM Z

Com esta atualização, por padrão o GCC na arquitetura IBM Z constrói código para o processador z13, e o código é sintonizado para o processador z14. Isto é equivalente ao uso das opções -march=z13 e -mtune=z14. Os usuários podem anular este padrão usando explicitamente as opções para a arquitetura e ajuste do alvo.

elfutils atualizado para a versão 0.174

No Red Hat Enterprise Linux 8, o pacote elfutils está disponível na versão 0.174. Mudanças notáveis incluem:

Valgrind atualizado para a versão 3.14

O Red Hat Enterprise Linux 8 é distribuído com a ferramenta de análise de código executável Valgrind versão 3.14. Mudanças notáveis incluem:

GDB versão 8.2

O Red Hat Enterprise Linux 8 é distribuído com o depurador GDB versão 8.2 As mudanças notáveis incluem:

a localização daglibc para a RHEL é distribuída em múltiplos pacotes

No RHEL 8, os locais e traduções glibc não são mais fornecidos pelo pacote único glibc-comum. Em vez disso, cada locale e idioma está disponível em um pacote glibc-langpack-CODE. Além disso, na maioria dos casos, nem todos os locales são instalados por padrão, apenas estes selecionados no instalador. Os usuários devem instalar todos os pacotes de locale adicionais que precisam separadamente, ou se desejarem, podem instalar glibc-all-langpacks para obter o arquivo de locales contendo todos os locales da glibc instalados como antes.

GCC versão 8.2

No Red Hat Enterprise Linux 8, o conjunto de ferramentas GCC é baseado na série de lançamentos GCC 8.2. Mudanças notáveis incluem:

A biblioteca criptográfica Go modo FIPS agora honra as configurações do sistema

Anteriormente, a biblioteca criptográfica padrão Go sempre usava seu modo FIPS, a menos que estivesse explicitamente desativada no momento da construção da aplicação usando a biblioteca. Como conseqüência, os usuários de aplicações baseadas em Go- não podiam controlar se o modo FIPS era usado. Com esta mudança, a biblioteca não passa para o modo FIPS por padrão quando o sistema não está configurado no modo FIPS. Como resultado, os usuários de aplicações baseadas em Go- em sistemas RHEL têm mais controle sobre o uso do modo FIPS da biblioteca criptográfica Go.

strace atualizado para a versão 4.24

O Red Hat Enterprise Linux 8 é distribuído com a versão 4.24 da ferramenta strace. Mudanças notáveis incluem:

Conjuntos de ferramentas de compilação no RHEL 8

A RHEL 8.0 fornece os seguintes conjuntos de ferramentas de compilação como Fluxos de Aplicação:

Implementações Java e ferramentas Java no RHEL 8

O repositório AppStream RHEL 8 inclui:

C ABI mudança em std::string e std::list

A Interface Binária de Aplicação (ABI) das classes std::string e std::list da biblioteca libstdc mudou entre a RHEL 7 (GCC 4.8) e a RHEL 8 (GCC 8) para estar em conformidade com o padrão C 11. A biblioteca libstdc suporta tanto a antiga como a nova ABI, mas algumas outras bibliotecas do sistema C não suportam. Como conseqüência, as aplicações que se ligam dinamicamente a estas bibliotecas precisarão ser reconstruídas. Isto afeta todos os modos padrão C, incluindo o C 98. Também afeta as aplicações construídas com compiladores Red Hat Developer Toolset para RHEL 7, que mantiveram a antiga ABI para manter a compatibilidade com as bibliotecas do sistema.

Suporte para Integridade de Dados Campo / Extensão de Integridade de Dados (DIF/DIX)

O DIF/DIX é suportado em configurações onde o fornecedor de hardware o qualificou e fornece suporte total para o adaptador host bus (HBA) particular e configuração da matriz de armazenamento no RHEL.

XFS agora suporta extensões de dados compartilhados de cópia-em-escrita

O sistema de arquivo XFS suporta a funcionalidade compartilhada de cópia-em-escrita de dados. Esta funcionalidade permite que dois ou mais arquivos compartilhem um conjunto comum de blocos de dados. Quando um dos arquivos que compartilham blocos comuns muda, o XFS quebra o link para blocos comuns e cria um novo arquivo. Isto é similar à funcionalidade copy-on-write (COW) encontrada em outros sistemas de arquivos.

O tamanho máximo do sistema de arquivo XFS é 1024 TiB

O tamanho máximo suportado de um sistema de arquivo XFS foi aumentado de 500 TiB para 1024 TiB.

o sistema de arquivoext4 agora suporta o checksum de metadados

Com esta atualização, os metadados ext4 são protegidos por checksums. Isto permite que o sistema de arquivos reconheça os metadados corruptos, o que evita danos e aumenta a resiliência do sistema de arquivos.

VDO agora suporta todas as arquiteturas

O Virtual Data Optimizer (VDO) está agora disponível em todas as arquiteturas suportadas pela RHEL 8.

O gerenciador de boot BOOM simplifica o processo de criação de entradas de boot

BOOM é um gerenciador de inicialização para sistemas Linux que utilizam carregadores de inicialização que suportam a especificação BootLoader para configuração de entrada de inicialização. Ele permite uma configuração de inicialização flexível e simplifica a criação de entradas de inicialização novas ou modificadas: por exemplo, para inicializar imagens instantâneas do sistema criado usando LVM.

LUKS2 é agora o formato padrão para encriptar volumes

No RHEL 8, o formato LUKS versão 2 (LUKS2) substitui o formato antigo LUKS (LUKS1). O subsistema dm-crypt e a ferramenta cryptsetup agora usa o LUKS2 como o formato padrão para volumes criptografados. O LUKS2 fornece volumes criptografados com redundância de metadados e auto-recuperação no caso de um evento de corrupção parcial de metadados.

NVMe/FC é totalmente compatível com os adaptadores Broadcom Emulex e Marvell Qlogic Fibre Channel

O tipo de transporte NVMe sobre Fibre Channel (NVMe/FC) agora é totalmente suportado em modo iniciador quando usado com Broadcom Emulex e Marvell Qlogic Fibre Channel 32Gbit adaptadores que apresentam suporte NVMe.

Novo ajuste de configuração de scan_lvs

Uma nova configuração do arquivo de configuração lvm.conf, scan_lvs, foi adicionada e definida como 0 por padrão. O novo comportamento padrão impede o LVM de procurar PVs que possam existir em cima de LVs; ou seja, ele não irá procurar LVs ativos por mais PVs. A configuração padrão também impede a LVM de criar PVs em cima de LVs.

Nova seção de anulações do arquivo de configuração DM Multipath

O arquivo /etc/multipath.conf agora inclui uma seção de anulações que permite que você defina um valor de configuração para todos os seus dispositivos. Estes atributos são usados pela DM Multipath para todos os dispositivos, a menos que sejam sobrescritos pelos atributos especificados na seção multipercursos do arquivo /etc/multipath.conf para caminhos que contenham o dispositivo. Esta funcionalidade substitui o parâmetro all_devs da seção de dispositivos do arquivo de configuração, que não é mais suportado.

A instalação e inicialização a partir de dispositivos NVDIMM é agora suportada

Antes desta atualização, os dispositivos NVDIMM (Nonvolatile Dual Inline Memory Module) em qualquer modo eram ignorados pelo instalador.

A detecção de caminhos marginais em DM Multipath foi melhorada

O serviço multipathd agora suporta a melhor detecção de caminhos marginais. Isto ajuda os dispositivos multipath a evitar caminhos que podem falhar repetidamente, e melhora o desempenho. Os caminhos marginais são caminhos com erros de E/S persistentes mas intermitentes.

Programação de múltiplas filas em dispositivos de bloco

Os dispositivos de bloco agora usam o agendamento de múltiplas filas no Red Hat Enterprise Linux 8. Isto permite que o desempenho da camada de bloco seja bem dimensionado com drives de estado sólido rápido (SSDs) e sistemas multi-core.

Novos comandos pcs para listar os dispositivos de vigilância disponíveis e testar os dispositivos de vigilância

Para configurar a SBD com Pacemaker, é necessário um dispositivo de vigilância funcional. Esta versão suporta o comando pcs stonith sbd watchdog list para listar os dispositivos de watchdog disponíveis no nó local, e o comando pcs stonith sbd watchdog test comando para testar um dispositivo de watchdog. Para informações sobre a ferramenta de linha de comando sbd, veja a página de manual sbd(8).

O comando pcs agora suporta a filtragem de falhas de recursos por uma operação e seu intervalo

Pacemaker agora rastreia falhas de recursos por uma operação de recurso em cima de um nome de recurso, e um nó. O comando pcs resource failcount show agora permite filtrar as falhas por um recurso, nó, operação e intervalo. Ele fornece uma opção para exibir falhas agregadas por um recurso e nó ou detalhadas por um recurso, nó, operação e seu intervalo. Além disso, o comando de limpeza de recursos pcs agora permite filtrar falhas por um recurso, nó, operação e intervalo.

Timestamps ativados no registro corosync

O registro corosync não continha anteriormente carimbos temporais, o que dificultava sua relação com registros de outros nós e daemons. Com este lançamento, os timestamps estão presentes no log corosync.

Novos formatos para configuração de clusters de pcs, adição de nós de clusters de pcs e remoção de nós de clusters de pcs

No Red Hat Enterprise Linux 8, os pcs suportam totalmente Corosync 3, knet, e nomes de nós. Os nomes dos nós agora são necessários e substituem os endereços dos nós no papel de identificador do nó. Os endereços dos nós agora são opcionais.

Novos comandos pcs

O Red Hat Enterprise Linux 8 introduz os seguintes novos comandos.

Pacemaker 2.0.0 em RHEL 8

Os pacotes de marcapassos foram atualizados para a versão upstream do Pacemaker 2.0.0, que fornece uma série de correções e melhorias de bugs em relação à versão anterior:

Recursos mestres renomeados para recursos de clonagem promocionais

O Red Hat Enterprise Linux (RHEL) 8 suporta Pacemaker 2.0, no qual um recurso mestre/escravo não é mais um tipo de recurso separado, mas um recurso clone padrão com um meta-atributo promocional definido como verdadeiro. As seguintes mudanças foram implementadas em apoio a esta atualização:

Novos comandos para autenticar os nós em um cluster

O Red Hat Enterprise Linux (RHEL) 8 incorpora as seguintes mudanças nos comandos usados para autenticar os nós em um cluster.

Os comandos pcs agora suportam exibição, limpeza e sincronização do histórico das vedações

O daemon da cerca da Pacemaker segue um histórico de todas as ações de cerca tomadas (pendentes, bem sucedidas e fracassadas). Com este lançamento, os comandos pcs permitem aos usuários acessar o histórico das cercas das seguintes maneiras:

nftables substitui o iptables como a estrutura padrão de filtragem de pacotes de rede

A estrutura nftables oferece facilidades de classificação de pacotes e é o sucessor designado para as ferramentas iptables, ip6tables, arptables e ebtables. Ela oferece inúmeras melhorias em conveniência, características e desempenho em relação às ferramentas de filtragem de pacotes anteriores, mais notadamente:

Características notáveis do TCP no RHEL 8

O Red Hat Enterprise Linux 8 é distribuído com a pilha de rede TCP versão 4.18, que oferece maior desempenho, melhor escalabilidade e maior estabilidade. Os desempenhos são aumentados especialmente para servidores TCP ocupados com uma alta taxa de conexão de entrada.

firewalld usa nftables por padrão

Com esta atualização, o subsistema de filtragem nftables é o backend padrão de firewall para o daemon firewalld. Para alterar o backend, use a opção FirewallBackend no arquivo /etc/firewalld/firewalld.conf.

Notável mudança no wpa_supplicant no RHEL 8

No Red Hat Enterprise Linux (RHEL) 8, o pacote wpa_supplicant é construído com CONFIG_DEBUG_SYSLOG habilitado. Isto permite ler o log wpa_supplicant usando o utilitário journalctl em vez de verificar o conteúdo do arquivo /var/log/wpa_supplicant.log.

NetworkManager agora suporta as funções virtuais SR-IOV

No Red Hat Enterprise Linux 8.0, NetworkManager permite configurar o número de funções virtuais (VF) para interfaces que suportam virtualização de E/S de raiz única (SR-IOV). Adicionalmente, NetworkManager permite configurar alguns atributos das VFs, tais como o endereço MAC, VLAN, a configuração de verificação de spoof e bitrates permitidos. Observe que todas as propriedades relacionadas à SR-IOV estão disponíveis na configuração de conexão sriov. Para mais detalhes, consulte a página de manual nm-settings(5).

Os drivers de rede virtual IPVLAN são agora suportados

No Red Hat Enterprise Linux 8.0, o kernel inclui suporte a drivers de rede virtual IPVLAN. Com esta atualização, as placas de interface de rede virtual IPVLAN (NICs) permitem a conectividade de rede para múltiplos containers expondo um único endereço MAC à rede local. Isto permite que um único host tenha muitos containers superando a possível limitação do número de endereços MAC suportados pelo equipamento de rede peer.

NetworkManager suporta uma correspondência de nomes de interface wildcard para conexões

Anteriormente, era possível restringir uma conexão a uma determinada interface usando apenas uma correspondência exata no nome da interface. Com esta atualização, as conexões têm uma nova propriedade match.interface-name que suporta wildcards. Esta atualização permite aos usuários escolher a interface para uma conexão de uma forma mais flexível usando um padrão curinga.

Melhorias na pilha de rede 4.18

O Red Hat Enterprise Linux 8.0 inclui a pilha de rede atualizada para a versão upstream 4.18, que fornece várias correções e melhorias de bugs. Mudanças notáveis incluem:

Novas ferramentas para converter iptables em nftables

Esta atualização adiciona as ferramentas iptables-translate e ip6tables-translate para converter as regras iptables ou ip6tables existentes nas regras equivalentes para nftables. Note que algumas extensões carecem de suporte à tradução. Se tal extensão existir, a ferramenta imprime a regra não traduzida prefixada com o sinal #. Por exemplo:

Novos recursos adicionados à VPN usando NetworkManager

No Red Hat Enterprise Linux 8.0, NetworkManager fornece os seguintes novos recursos para VPN:

Um novo tipo de pedaço de dados, I-DATA, adicionado ao SCTP

Esta atualização acrescenta um novo tipo de pedaço de dados, I-DATA, e programadores de fluxo ao Stream Control Transmission Protocol (SCTP). Anteriormente, o SCTP enviava mensagens de usuário na mesma ordem em que eram enviadas por um usuário. Consequentemente, uma grande mensagem de usuário SCTP bloqueou todas as outras mensagens em qualquer stream até que fossem completamente enviadas. Ao utilizar os pedaços de I-DATA, o campo Número de Seqüência de Transmissão (TSN) não está sobrecarregado. Como resultado, o SCTP agora pode programar os fluxos de diferentes maneiras, e o I-DATA permite a intercalação de mensagens do usuário (RFC 8260). Note que ambos os pares devem suportar o tipo I-DATA chunk.

ONetworkManager suporta a configuração de recursos de descarga de etool

Com este aprimoramento, o NetworkManager suporta a configuração de recursos de descarga de etool, e os usuários não precisam mais usar scripts de inicialização ou um script de despacho do NetworkManager. Como resultado, os usuários podem agora configurar o recurso de descarregar como parte do perfil de conexão usando um dos seguintes métodos:

Suporte TCP BBR em RHEL 8

Um novo algoritmo de controle de congestionamento TCP, largura de banda de gargalo e tempo de ida e volta (BBR) é agora suportado no Red Hat Enterprise Linux (RHEL) 8. BBR tenta determinar a largura de banda do link de gargalo e o tempo de viagem de ida e volta (RTT). A maioria dos algoritmos de congestionamento é baseada na perda de pacotes (incluindo CUBIC, o algoritmo padrão de controle de congestionamento TCP do Linux), que tem problemas em links de alta produtividade. O BBR não reage diretamente a eventos de perda, ele ajusta a taxa de pacotes TCP para corresponder com a largura de banda disponível. Os usuários do TCP BBR devem mudar para a configuração de fila fq em todas as interfaces envolvidas.

lksctp-tools, versão 1.0.18 em RHEL 8

O pacote lksctp-tools, versão 3.28 está disponível no Red Hat Enterprise Linux (RHEL) 8. Melhorias notáveis e correções de bugs incluem:

Colocação do módulo SCTP na lista negra por padrão no RHEL 8

Para aumentar a segurança, um conjunto de módulos do kernel foi movido para o pacote kernel-modules-extra. Estes não são instalados por padrão. Como conseqüência, os usuários não root não podem carregar estes componentes, pois eles estão na lista negra por padrão. Para usar um destes módulos do kernel, o administrador do sistema deve instalar os módulos do kernel-modules-extra e remover explicitamente a lista negra de módulos. Como resultado, os usuários não root poderão carregar o componente de software automaticamente.

Mudanças notáveis no driverctl 0,101

O Red Hat Enterprise Linux 8.0 é distribuído com driverctl 0.101. Esta versão inclui as seguintes correções de erros:

Acrescentou prioridades ricas em regras ao firewalld

A opção prioritária foi acrescentada às ricas regras. Isto permite aos usuários definir a ordem de prioridade desejável durante a execução das regras e proporciona um controle mais avançado sobre as regras ricas.

NVMe sobre RDMA é suportado no RHEL 8

No Red Hat Enterprise Linux (RHEL) 8, o Nonvolatile Memory Express (NVMe) sobre Remote Direct Memory Access (RDMA) suporta Infiniband, RoCEv2, e iWARP somente no modo iniciador.

O back end nf_tables não suporta depuração usando o dmesg

O Red Hat Enterprise Linux 8.0 usa o back end nf_tables para firewalls que não suportam a depuração do firewall usando a saída do utilitário dmesg. Para depurar regras de firewall, use os comandos xtables-monitor -t ou nft monitor trace para decodificar os eventos de avaliação de regras.

O Red Hat Enterprise Linux suporta o VRF

O kernel no RHEL 8.0 suporta encaminhamento e encaminhamento virtual (VRF). Os dispositivos VRF, combinados com o conjunto de regras definidas usando o utilitário ip, permitem aos administradores criar domínios VRF na pilha da rede Linux. Estes domínios isolam o tráfego na camada 3 e, portanto, o administrador pode criar diferentes tabelas de roteamento e reutilizar os mesmos endereços IP dentro de diferentes domínios VRF em um host.

iproute, versão 4.18 em RHEL 8

O pacote iproute é distribuído com a versão 4.18 no Red Hat Enterprise Linux (RHEL) 8. A mudança mais notável é que a interface marcada como ethX:Y, tal como eth0:1, não é mais suportada. Para contornar este problema, os usuários devem remover o sufixo do alias, que é os dois pontos e o seguinte número antes de entrar no ip link show.

Etiqueta SWID da versão RHEL 8.0

Para permitir a identificação das instalações RHEL 8.0 usando o mecanismo ISO/IEC 19770-2:2015, as etiquetas de identificação de software (SWID) são instaladas em arquivos /usr/lib/swidtag/redhat. com/com.redhat.RHEL-8-<arquitetura>.swidtag e /usr/lib/swidtag/redhattag.com/com.redhat.RHEL-8.0-<arquitetura>.swidtag. O diretório pai destas tags também pode ser encontrado seguindo o link simbólico /etc/swid/swidtags.d/redhat.com.

As políticas criptográficas de todo o sistema são aplicadas por padrão

Crypto-policies é um componente do Red Hat Enterprise Linux 8, que configura os subsistemas criptográficos centrais, cobrindo os protocolos TLS, IPsec, DNSSEC, Kerberos e SSH. Ele fornece um pequeno conjunto de políticas, que o administrador pode selecionar usando o comando update-crypto-policies.

OpenSSH rebaseado para a versão 7.8p1

Os pacotes openssh foram atualizados para a versão upstream 7.8p1. Mudanças notáveis incluem:

A geração automática de chaves de servidor OpenSSH é agora tratada pela sshd-keygen@.service

O OpenSSH cria automaticamente chaves de servidor RSA, ECDSA e ED25519 se elas estiverem faltando. Para configurar a criação da chave de host no RHEL 8, use o serviço sshd-keygen@.service instantiated.

As chaves ECDSA são suportadas para autenticação SSH

Este lançamento da suíte OpenSSH introduz suporte para chaves ECDSA armazenadas em Cartões Smart Card PKCS #11. Como resultado, os usuários podem agora usar ambas as chaves RSA e ECDSA para autenticação SSH.

a libssh implementa o SSH como um componente criptográfico central

Esta mudança introduz a libssh como um componente criptográfico central no Red Hat Enterprise Linux 8. A biblioteca libssh implementa o protocolo Secure Shell (SSH).

TLS 1.3 suporte em bibliotecas criptográficas

Esta atualização permite a Segurança da Camada de Transporte (TLS) 1.3 por padrão em todas as principais bibliotecas de criptografia back-end. Isto permite baixa latência em toda a camada de comunicação do sistema operacional e aumenta a privacidade e segurança das aplicações, aproveitando novos algoritmos, como o RSA-PSS ou X25519.

NSS agora usa SQL por padrão

As bibliotecas dos Network Security Services (NSS) agora usam o formato de arquivo SQL para o banco de dados de confiança por padrão. O formato de arquivo DBM, que era usado como formato padrão de banco de dados em versões anteriores, não suporta acesso simultâneo ao mesmo banco de dados por vários processos e tem sido depreciado no upstream. Como resultado, aplicações que usam o banco de dados de confiança NSS para armazenar chaves, certificados e informações de revogação agora criam bancos de dados no formato SQL por padrão. Tentativas de criar bancos de dados no formato DBM antigo falham. Os bancos de dados DBM existentes são abertos em modo somente leitura, e são automaticamente convertidos para o formato SQL. Note que o NSS suporta o formato de arquivo SQL desde o Red Hat Enterprise Linux 6.

O suporte PKCS #11 para Cartões Smart Card e HSMs é agora consistente em todo o sistema

Com esta atualização, o uso de cartões inteligentes e Módulos de Segurança de Hardware (HSM) com a interface criptográfica PKCS #11 se torna consistente. Isto significa que o usuário e o administrador podem usar a mesma sintaxe para todas as ferramentas relacionadas no sistema. As melhorias notáveis incluem:

Firefox agora funciona com drivers PKCS #11 registrados em todo o sistema

O navegador Firefox carrega automaticamente o módulo p11-kit-proxy e cada cartão inteligente registrado em todo o sistema p11-kit através do arquivo pkcs11.conf é detectado automaticamente. Para usar a autenticação do cliente TLS, nenhuma configuração adicional é necessária e as chaves de um smart card são automaticamente usadas quando um servidor as solicita.

RSA-PSS é agora suportado no OpenSC

Esta atualização adiciona suporte ao esquema de assinatura criptográfica RSA-PSS ao condutor do Cartão Smart Card OpenSC. O novo esquema permite um algoritmo criptográfico seguro necessário para o suporte ao TLS 1.3 no software do cliente.

Mudanças notáveis em Libreswan no RHEL 8

Os pacotes da libreswan foram atualizados para a versão upstream 3.27, que fornece muitas correções e melhorias em relação às versões anteriores. As mudanças mais notáveis incluem:

Políticas criptográficas de todo o sistema mudam a versão padrão do IKE em Libreswan para IKEv2

A versão padrão do IKE na implementação do Libreswan IPsec foi alterada de IKEv1 (RFC 2409) para IKEv2 (RFC 7296). Os algoritmos padrão IKE e ESP/AH para uso com IPsec foram atualizados para atender às políticas de criptografia do sistema, RFC 8221, e RFC 8247. Os tamanhos de chave de criptografia de 256 bits são agora preferidos em relação aos tamanhos de chave de 128 bits.

Mudanças relacionadas à versão IKE em Libreswan

Com esta melhoria, Libreswan lida com as configurações de troca de chaves da Internet (IKE) de maneira diferente:

Novas características no OpenSCAP em RHEL 8

O conjunto OpenSCAP foi atualizado para a versão 1.3.0, que introduz muitas melhorias em relação às versões anteriores. As características mais notáveis incluem:

OGuia de Segurança SCAP agora suporta políticas criptográficas de todo o sistema

Os pacotes scap-security-guide foram atualizados para usar políticas criptográficas predefinidas em todo o sistema para configurar os subsistemas criptográficos centrais. O conteúdo de segurança que conflitava com as políticas criptográficas de todo o sistema, ou que as ultrapassava, foi removido.

A interface de linha de comando OpenSCAP foi melhorada

O modo verboso está agora disponível em todos os módulos e submódulos oscap. A saída da ferramenta melhorou a formatação.

Guia de Segurança SCAP O perfil PCI-DSS alinha-se com a versão 3.2.1

Os pacotes scap-security-guide fornecem o perfil PCI-DSS (Payment Card Industry Data Security Standard) para o Red Hat Enterprise Linux 8 e este perfil foi atualizado para se alinhar com a última versão do PCI-DSS - 3.2.1.

O Guia de Segurança SCAP suporta OSPP 4.2

Os pacotes scap-security-guide fornecem um rascunho do perfil OSPP (Protection Profile for General Purpose Operating Systems) versão 4.2 para o Red Hat Enterprise Linux 8. Este perfil reflete os controles de configuração obrigatórios identificados no Anexo de Configuração NIAP do Perfil de Proteção para Sistemas Operacionais de Propósito Geral (Protection Profile Version 4.2). O Guia de Segurança SCAP fornece verificações e scripts automatizados que ajudam os usuários a atender os requisitos definidos no OSPP.

Mudanças notáveis no rsyslog no RHEL 8

Os pacotes rsyslog foram atualizados para a versão upstream 8.37.0, que fornece muitas correções de bugs e melhorias em relação às versões anteriores. As mudanças mais notáveis incluem:

Novo módulo rsyslog: omkafka

Para ativar os cenários de armazenamento de dados centralizado kafka, agora você pode encaminhar os logs para a infra-estrutura kafka usando o novo módulo omkafka.

rsyslog imfile agora suporta symlinks

Com esta atualização, o módulo imfile rsyslog oferece melhor desempenho e mais opções de configuração. Isto permite que você utilize o módulo para casos de uso mais complicado de monitoramento de arquivos. Por exemplo, agora você pode usar monitores de arquivos com padrões globais em qualquer lugar ao longo do caminho configurado e rotacionar alvos de links simbólicos com maior produção de dados.

O formato padrão do arquivo de configuração rsyslog é agora não-legacy

Os arquivos de configuração nos pacotes rsyslog agora usam o formato não legado por padrão. O formato legado ainda pode ser usado, no entanto, misturar declarações de configuração atuais e legados tem várias restrições. As configurações realizadas a partir de versões anteriores do RHEL devem ser revisadas. Veja a página de manual rsyslog.conf(5) para mais informações.

Auditoria 3.0 substitui audispd por auditd

Com esta atualização, a funcionalidade do audispd foi transferida para o auditd. Como resultado, as opções de configuração do audispd são agora parte do auditd.conf. Além disso, o diretório plugins.d foi movido para /etc/audit. O status atual do auditd e seus plug-ins pode agora ser verificado executando o comando de estado do serviço auditd.

tangd_port_t permite mudanças da porta padrão para Tang

Esta atualização introduz o tipo tangd_port_t SELinux que permite a execução do serviço tangd como confinado ao modo de aplicação do SELinux. Essa mudança ajuda a simplificar a configuração de um servidor Tang para ouvir em uma porta definida pelo usuário e também preserva o nível de segurança fornecido pelo SELinux em modo de aplicação.

Novas booleans SELinux

Esta atualização da política do sistema SELinux introduz as seguintes booleans:

SELinux agora apóia systemd Sem novos privilégios

Esta atualização introduz a capacidade da política nnp_nosuid_transition que permite transições de domínio SELinux sob No New Privileges (NNP) ou nosuid se a nnp_nosuid_transition for permitida entre o antigo e o novo contexto. Os pacotes de políticas selinux agora contêm uma política para serviços systemd que utilizam o recurso de segurança do NNP.

Apoio para uma nova verificação de permissão do mapa no syscall do mmap

A permissão do mapa SELinux foi adicionada para controlar o acesso mapeado de memória a arquivos, diretórios, soquetes, e assim por diante. Isto permite que a política SELinux impeça o acesso direto à memória a vários objetos do sistema de arquivos e garanta que todo esse acesso seja revalidado.

A SELinux agora apóia a permissão getrlimit na classe de processo

Esta atualização introduz uma nova verificação de controle de acesso SELinux, process:getrlimit, que foi adicionada para a função prlimit(). Isto permite aos desenvolvedores de políticas do SELinux controlar quando um processo tenta ler e depois modificar os limites de recursos de outro processo usando a função process:setrlimit permission. Note que o SELinux não restringe um processo de manipulação de seus próprios limites de recursos através do prlimit(). Veja as páginas man prlimit(2 ) e getrlimit(2) para mais informações.

selinux-policy agora suporta etiquetas VxFS

Esta atualização introduz o suporte para os atributos estendidos de segurança do Veritas File System (VxFS) (xattrs). Isto permite armazenar etiquetas SELinux apropriadas com objetos no sistema de arquivo em vez do tipo genérico vxfs_t. Como resultado, os sistemas com VxFS com suporte total ao SELinux são mais seguros.

As bandeiras de endurecimento da segurança são aplicadas de forma mais consistente

As bandeiras de endurecimento de segurança de tempo compilar são aplicadas mais consistentemente nos pacotes RPM na distribuição RHEL 8, e o pacote redhat-rpm-config agora fornece automaticamente bandeiras de endurecimento de segurança. As bandeiras de tempo de compilação aplicadas também ajudam a atender às exigências dos Critérios Comuns (CC). Os seguintes sinalizadores de endurecimento de segurança são aplicados:

qemu-kvm 2.12 em RHEL 8

O Red Hat Enterprise Linux 8 é distribuído com qemu-kvm 2.12. Esta versão corrige bugs múltiplos e adiciona uma série de melhorias sobre a versão 1.5.3, disponível no Red Hat Enterprise Linux 7.

O tipo de máquina Q35 é agora suportado pela virtualização

A Red Hat Enterprise Linux 8 introduz o suporte para Q35, um tipo de máquina mais moderno baseado em PCI Express. Isto proporciona uma variedade de melhorias nas características e desempenho dos dispositivos virtuais, e garante que uma gama mais ampla de dispositivos modernos seja compatível com a virtualização. Além disso, as máquinas virtuais criadas no Red Hat Enterprise Linux 8 estão configuradas para usar Q35 por default.

KVM apóia UMIP no RHEL 8

A virtualização KVM agora suporta o recurso de Prevenção de Instruções de Modo de Usuário (UMIP), que pode ajudar a evitar o acesso das aplicações de espaço do usuário às configurações de todo o sistema. Isto reduz os vetores potenciais para ataques de escalada de privilégios, e assim torna o KVM hipervisor e suas máquinas convidadas mais seguras.

Informações adicionais nos relatórios de acidentes de hóspedes da KVM

As informações sobre o acidente que o hipervisor KVM gera se um convidado terminar inesperadamente ou ficar sem resposta foram expandidas. Isto facilita o diagnóstico e a correção de problemas em implementações de virtualização KVM.

NVIDIA vGPU é agora compatível com o console VNC

Ao usar o recurso de GPU virtual NVIDIA (vGPU), agora é possível usar o console VNC para exibir a saída visual do convidado.

A Ceph é apoiada pela virtualização

Com esta atualização, o armazenamento Ceph é suportado pela virtualização da KVM em todas as arquiteturas de CPU suportadas pela Red Hat.

Carregador de inicialização interativo para máquinas virtuais KVM na IBM Z

Ao inicializar uma máquina virtual KVM em um host IBM Z, o firmware do carregador de inicialização QEMU pode agora apresentar uma interface de console interativa do sistema operacional convidado. Isto torna possível solucionar problemas de inicialização do SO hóspede sem acesso ao ambiente host.

IBM z14 ZR1 suportada em máquinas virtuais

O KVM hypervisor agora suporta o modelo de CPU do servidor IBM z14 ZR1. Isto permite utilizar as características desta CPU em máquinas virtuais KVM que rodam em um sistema IBM Z.

A KVM apóia Telnet 3270 na IBM Z

Ao utilizar o RHEL 8 como um host em um sistema IBM Z, agora é possível conectar-se a máquinas virtuais no host usando clientes Telnet 3270.

Foi adicionado o sandboxing QEMU

No Red Hat Enterprise Linux 8, o emulador QEMU introduz o recurso de sandboxing. O QEMU sandboxing oferece limitações configuráveis ao que os sistemas chamam de QEMU pode realizar, e assim torna as máquinas virtuais mais seguras. Note que este recurso é habilitado e configurado por padrão.

Novos tipos de máquinas para máquinas virtuais KVM em IBM POWER

Múltiplos novos tipos de máquinas rel-pseries foram habilitados para KVM hypervisors rodando em sistemas IBM POWER 8 e IBM POWER 9. Isto torna possível que máquinas virtuais (VMs) hospedadas no RHEL 8 em um sistema IBM POWER utilizem corretamente as características de CPU destes tipos de máquinas. Além disso, isto permite a migração de VMs no IBM POWER para uma versão mais recente do KVM hypervisor.

Os sistemas ARM 64 agora suportam máquinas virtuais com até 384 vCPUs

Ao utilizar o KVM hypervisor em um sistema ARM 64, agora é possível atribuir até 384 CPUs virtuais (vCPUs) a uma única máquina virtual (VM).

Conjuntos de instruções GFNI e CLDEMOT habilitados para Intel Xeon SnowRidge

Máquinas virtuais (VMs) rodando em um host RHEL 8 em um sistema Intel Xeon SnowRidge podem agora usar os conjuntos de instruções GFNI e CLDEMOT. Isto pode aumentar significativamente o desempenho de tais VMs em certos cenários.

IPv6 habilitado para OVMF

O protocolo IPv6 está agora habilitado no Open Virtual Machine Firmware (OVMF). Isto torna possível para as máquinas virtuais que utilizam OVMF tirar proveito de uma variedade de melhorias de inicialização da rede que o IPv6 oferece.

Um driver de bloco baseado em VFIO para dispositivos NVMe foi adicionado

O emulador QEMU introduz um driver baseado na função virtual I/O (VFIO) para dispositivos de memória não volátil Express (NVMe). O driver se comunica diretamente com os dispositivos NVMe anexados às máquinas virtuais (VMs) e evita o uso da camada do sistema de kernel e seus drivers NVMe. Como resultado, isto melhora o desempenho dos dispositivos NVMe em máquinas virtuais.

Suporte multicanal para o driver UIO genérico Hyper-V

O RHEL 8 agora suporta o recurso multicanal para o driver de E/S do Hyper-V Generic userspace I/O (UIO). Isto torna possível que as VMs RHEL 8 rodando no Hyper-V hypervisor utilizem o Data Plane Development Kit (DPDK) Netvsc Poll Mode driver (PMD), que melhora as capacidades de rede destas VMs.

Melhoria do suporte de página enorme

Ao utilizar o RHEL 8 como um host de virtualização, os usuários podem modificar o tamanho das páginas que retornam a memória de uma máquina virtual (VM) para qualquer tamanho que seja suportado pela CPU. Isto pode melhorar significativamente o desempenho da VM.

sosreport pode relatar programas e mapas baseados em eBPF

A ferramenta sosreport foi aperfeiçoada para relatar qualquer programa e mapas de Filtragem de Pacotes Berkeley (eBPF) estendida carregada no Red Hat Enterprise Linux 8.

PackageKit agora pode operar em pacotes de rpm

Com esta atualização, o suporte para operar em pacotes de rpm foi adicionado em PackageKit.

QEMU não lida corretamente com entradas de 8 bytes de ggtt

A QEMU ocasionalmente divide uma entrada ggtt de 8 bytes em duas escritas consecutivas de 4 bytes. Cada uma dessas escritas parciais pode desencadear uma escrita ggtt de host separada. Às vezes, as duas escritas de ggtt são combinadas incorretamente. Conseqüentemente, a tradução para um endereço de máquina falha, e ocorre um log de erros.

O Enterprise Security Client utiliza a biblioteca opensc para detecção de token

O Red Hat Enterprise Linux 8.0 suporta apenas a biblioteca opensc para cartões inteligentes. Com esta atualização, o Enterprise Security Client (ESC) usa o opensc para detecção de token ao invés da biblioteca de coolkey removida. Como resultado, os aplicativos detectam corretamente os tokens suportados.

Sistema de certificados agora suporta logs de depuração rotativos

Anteriormente, o Certificate System usava uma estrutura de registro personalizada, que não suportava rotação de registros. Como conseqüência, os logs de depuração como /var/log/pki/instance_name/ca/debug cresceram indefinidamente. Com esta atualização, o Certificate System usa a estrutura java.log.util, que suporta a rotação de logs. Como resultado, você pode configurar a rotação de logs no arquivo /var/lib/pki/instance_name/conf/logging.properties.

Sistema de Certificado não mais registra avisos de operação do SetAllPropertiesRule quando o serviço é iniciado

Anteriormente, o Sistema de Certificado registrava avisos na operação SetAllPropertiesRule no arquivo de log /var/log/messages quando o serviço era iniciado. O problema foi resolvido, e os avisos mencionados não são mais registrados.

O Sistema de Certificado KRA analisa corretamente as respostas de pedidos chave de clientes

Anteriormente, o Sistema de Certificado mudou para uma nova biblioteca JSON. Como conseqüência, a serialização para certos objetos diferia, e o cliente Python key recovery authority (KRA) não conseguiu analisar as respostas ao Key Request. O cliente foi modificado para suportar as respostas usando tanto a antiga quanto a nova biblioteca JSON. Como resultado, o cliente Python KRA analisa corretamente as respostas de Key Request (Pedido de Chave).

A GCC não produz mais falsos avisos positivos sobre o acesso fora dos limites

Anteriormente, ao compilar com a opção -O3 nível de otimização, a Coleção de Compiladores GNU (GCC) ocasionalmente retornava um falso aviso positivo sobre um acesso fora dos limites, mesmo que o código compilado não o contivesse. A otimização foi corrigida e o GCC não exibe mais o aviso falso positivo.

ltrace exibe corretamente grandes estruturas

Anteriormente, a ferramenta ltrace não conseguia imprimir corretamente as grandes estruturas retornadas das funções. O manuseio de grandes estruturas em ltrace foi melhorado e agora elas são impressas corretamente.

Função GCC integrada __builtin_clz retorna valores corretos no IBM Z

Anteriormente, a instrução FLOGR da arquitetura IBM Z era dobrada incorretamente pelo compilador GCC. Como conseqüência, a função __builtin_clz usando esta instrução poderia retornar resultados errados quando o código fosse compilado com a opção -funroll-loops GCC. Este erro foi corrigido e a função agora fornece resultados corretos.

GDB fornece status de saída diferente de zero quando o último comando em modo batch falha

Anteriormente, a GDB sempre saía com status 0 quando em execução em modo batch, independentemente de erros nos comandos. Como conseqüência, não era possível determinar se os comandos eram bem sucedidos. Este comportamento foi alterado e a GDB agora sai com status 1 quando ocorre um erro no último comando. Isto preserva a compatibilidade com o comportamento anterior, onde todos os comandos são executados. Como resultado, agora é possível determinar se a execução em modo batch da GDB é bem sucedida.

Níveis de impressão mais altos não fazem mais com que o iscsiadm termine de forma inesperada

Anteriormente, o utilitário iscsiadm terminou inesperadamente quando o usuário especificou um nível de impressão maior que 0 com a opção --print ou -P. Este problema foi corrigido e todos os níveis de impressão agora funcionam como esperado.

o multipathd não desabilita mais o caminho quando não consegue obter a WWID de um caminho

Anteriormente, o serviço multipathd tratou uma tentativa fracassada de conseguir a WWID de um caminho como se estivesse obtendo uma WWID vazia. Se o serviço multipathd falhou em obter o WWID de um caminho, às vezes ele desativou esse caminho.

Nova opção /etc/sysconfig/pcsd para rejeitar a renegociação SSL/TLS iniciada pelo cliente

Quando a renegociação do TLS é habilitada no servidor, um cliente tem permissão para enviar um pedido de renegociação, o que inicia um novo aperto de mão. Os requisitos computacionais de um aperto de mão são mais altos em um servidor do que em um cliente. Isto torna o servidor vulnerável a ataques do DoS. Com esta correção, a configuração PCSD_SSL_OPTIONS no arquivo de configuração /etc/sysconfig/pcsd aceita a opção OP_NO_RENEGOTIATION para rejeitar renegociações. Note que o cliente ainda pode abrir múltiplas conexões a um servidor com um aperto de mão realizado em todas elas.

Um nó de cluster removido não é mais exibido no status de cluster

Anteriormente, quando um nó era removido com o comando remover nó de cluster pcs, o nó removido permanecia visível na saída de uma exibição de status pcs. Com esta correção, o nó removido não é mais exibido no status do cluster.

Os agentes de vedação podem agora ser configurados usando nomes de parâmetros mais recentes e preferidos ou nomes de parâmetros depreciados

Um grande número de parâmetros de agentes de vedação foram renomeados enquanto os antigos nomes de parâmetros ainda são suportados como depreciados. Anteriormente, os pcs não eram capazes de definir os novos parâmetros, a menos que fossem usados com a opção --force. Com esta correção, pcs agora suporta os parâmetros renomeados de agente de cerca enquanto mantém o suporte para os parâmetros depreciados.

O comando pcs agora lê corretamente o status XML de um cluster para exibição

O comando pcs executa o utilitário crm_mon para obter o status de um cluster em formato XML. O utilitário crm_mon imprime XML para saída padrão e avisos para saída de erro padrão. Anteriormente o pcs misturava XML e avisos em um único fluxo e depois não era capaz de analisá-lo como XML. Com esta correção, as saídas de erro padrão e de erro são separadas em pcs e a leitura do status XML de um cluster funciona como esperado.

Os usuários não são mais aconselhados a destruir clusters ao criar novos clusters com nós de clusters existentes

Anteriormente, quando um usuário especificava nós de um cluster existente ao executar o comando de configuração do cluster pcs ou ao criar um cluster com a interface Web pcsd, pcs relatou isso como um erro e sugeriu que o usuário destruísse o cluster nos nós. Como resultado, os usuários destruiriam o cluster nos nós, quebrando o cluster do qual os nós faziam parte, pois os nós restantes ainda considerariam os nós destruídos como parte do cluster. Com esta correção, os usuários são aconselhados a remover os nós de seu aglomerado, informando-os melhor sobre como abordar o problema sem quebrar seus aglomerados.

os comandospcs não mais pedem credenciais de forma interativa

Quando um usuário não root executa um comando pcs que requer permissão de root, o pcs se conecta ao daemon pcsd em execução local e passa o comando para ele, já que o daemon pcsd roda com permissões de root e é capaz de executar o comando. Anteriormente, se o usuário não fosse autenticado no daemon pcsd local, pcs pedia um nome de usuário e uma senha interativamente. Isto era confuso para o usuário e exigia um tratamento especial em scripts rodando pcsd. Com esta correção, se o usuário não for autenticado, então o pcs sai com um erro que aconselha o que fazer: Executar pcs como root ou autenticar usando o novo comando de autenticação local do cliente pcs. Como resultado, os comandos pcs não pedem credenciais de forma interativa, melhorando a experiência do usuário.

O daemon pcsd agora começa com seu certificado SSL padrão auto-gerado quando as políticas criptográficas estão definidas para FUTURO.

Uma configuração cripto-política de FUTURO requer que as chaves RSA em certificados SSL tenham pelo menos 3072b de comprimento. Anteriormente, o daemon pcsd não começaria quando esta política fosse definida, já que gera certificados SSL com uma chave 2048b. Com esta atualização, o tamanho da chave dos certificados SSL auto-gerados do pcsd foi aumentado para 3072b e o pcsd agora começa com seu certificado SSL auto-gerado padrão.

O serviço pcsd agora começa quando a rede estiver pronta

Anteriormente, quando um usuário configurava o pcsd para ligar-se a um endereço IP específico e o endereço não estava pronto durante a inicialização quando o pcsd tentou iniciar, então o pcsd não conseguiu iniciar e foi necessária uma intervenção manual para iniciar o pcsd. Com esta correção, o pcsd.service depende do network-online.target. Como resultado, o pcsd inicia quando a rede está pronta e é capaz de se ligar a um endereço IP.

Algoritmos fracos de TLS não são mais permitidos para o trabalho em rede glib-net

Anteriormente, o pacote glib-networking não era compatível com a Política Crypto RHEL 8 para todo o sistema. Como conseqüência, as aplicações que utilizam a biblioteca glib para redes podem permitir conexões de Transport Layer Security (TLS) usando algoritmos fracos do que o administrador pretendia. Com esta atualização, a política de criptografia de todo o sistema é aplicada, e agora as aplicações que utilizam a glib para redes permitem somente conexões TLS que são aceitáveis de acordo com a política.

A política SELinux agora permite que os processos iscsiuio se conectem ao portal de descobertas

Anteriormente, a política SELinux era muito restritiva para os processos iscsiuio e estes processos não eram capazes de acessar os dispositivos /dev/uio* usando a chamada ao sistema mmap. Como conseqüência, a conexão com o portal de descoberta falhou. Esta atualização acrescenta as regras ausentes à política SELinux e os processos de iscsiuio funcionam como esperado no cenário descrito.

dnf e yum podem agora acessar os repos, independentemente dos valores do gerenciador de assinaturas

Anteriormente, os comandos dnf ou yum ignoravam o prefixo https:// de uma URL adicionada pelo serviço subscription-manager. Os comandos dnf ou yum atualizados não ignoram as URLs inválidas https://. Como conseqüência, o dnf e yum não conseguiram acessar os repos. Para corrigir o problema, uma nova variável de configuração, proxy_scheme foi adicionada ao arquivo /etc/rhsm/rhsm.conf e o valor pode ser definido tanto para http quanto para https. Se nenhum valor for especificado, subscription-manager define o http como padrão, o que é mais comumente usado.

A montagem de discos efêmeros no Azure agora funciona de forma mais confiável

Anteriormente, a montagem de um disco efêmero em uma máquina virtual (VM) rodando na plataforma Microsoft Azure falhou se a VM foi "parada (desalocada)" e depois começou. Esta atualização garante que os discos de reconexão sejam tratados corretamente nas circunstâncias descritas, o que evita que o problema ocorra.

eBPF disponível como uma prévia de tecnologia

O recurso extended Berkeley Packet Filtering (eBPF) está disponível como uma Technology Preview tanto para rede quanto para rastreamento. eBPF permite ao espaço do usuário anexar programas personalizados em uma variedade de pontos (soquetes, pontos de rastreamento, recepção de pacotes) para receber e processar dados. O recurso inclui uma nova chamada de sistema bpf(), que suporta a criação de vários tipos de mapas, e também a inserção de vários tipos de programas no kernel. Note que a chamada de sistema bpf() só pode ser usada com sucesso por um usuário com a capacidade CAP_SYS_ADMIN, tal como um usuário root. Veja a página de manual bpf(2) para mais informações.

OBCC está disponível como uma Pré-visualização Tecnológica

BPF Compiler Collection (BCC ) é um kit de ferramentas de espaço do usuário para criar programas eficientes de rastreamento e manipulação de kernel, disponível como Technology Preview no Red Hat Enterprise Linux 8. BCC fornece ferramentas para análise de E/S, rede e monitoramento de sistemas operacionais Linux usando o Berkeley Packet Filtering estendido (eBPF).

Control Group v2 disponível como uma prévia de tecnologia no RHEL 8

o mecanismoControl Group v2 é um grupo de controle unificado de hierarquia. Control Group v2 organiza os processos hierarquicamente e distribui os recursos do sistema ao longo da hierarquia de forma controlada e configurável.

kdump inicial disponível como uma prévia de tecnologia no Red Hat Enterprise Linux 8

O recurso de kdump precoce permite que o núcleo e initramas do acidente sejam carregados suficientemente cedo para capturar as informações vmcore, mesmo em caso de acidentes precoces. Para mais detalhes sobre o kdump inicial, veja o arquivo /usr/share/doc/kexec-tools/early-kdump-howto.txt.

O driver do dispositivo ibmvnic disponível como Technology Preview

Com o Red Hat Enterprise Linux 8.0, o driver IBM Virtual Network Interface Controller (vNIC) para arquiteturas IBM POWER, ibmvnic, está disponível como Technology Preview. vNIC é uma tecnologia de rede virtual PowerVM que fornece capacidades empresariais e simplifica o gerenciamento de rede. É uma tecnologia de alto desempenho e eficiente que, quando combinada com o SR-IOV NIC fornece capacidades de controle de largura de banda Qualidade de Serviço (QoS) no nível do NIC virtual. vNIC reduz significativamente a sobrecarga de virtualização, resultando em latências menores e menos recursos de servidor, incluindo CPU e memória, necessários para a virtualização da rede.

Console remoto VNC disponível como Technology Preview para a arquitetura ARM de 64 bits

Na arquitetura ARM de 64 bits, o console remoto da Virtual Network Computing (VNC) está disponível como uma pré-visualização tecnológica. Observe que o resto da pilha de gráficos não está atualmente verificada para a arquitetura ARM de 64 bits.

O MD RAID1 sensível ao cluster está disponível como uma pré-visualização tecnológica.

O cluster RAID1 não é habilitado por padrão no espaço do kernel. Se você quiser ter uma tentativa com cluster RAID1, você precisa primeiro construir o kernel com cluster RAID1 como um módulo, use os seguintes passos:

DNSSEC disponível como Technology Preview na IdM

Os servidores de Gerenciamento de Identidade (IdM) com DNS integrado agora suportam Extensões de Segurança DNS (DNSSEC), um conjunto de extensões para o DNS que aumentam a segurança do protocolo DNS. As zonas DNS hospedadas nos servidores IdM podem ser automaticamente assinadas usando DNSSEC. As chaves criptográficas são geradas e giradas automaticamente.

Gerenciamento da Identidade JSON-RPC API disponível como Technology Preview

Um API está disponível para Gerenciamento de Identidade (IdM). Para visualizar o API, o IdM também fornece um navegador API como Technology Preview (Visualização de Tecnologia).

Adaptadores Aero disponíveis como uma Pré-visualização Tecnológica

Os seguintes adaptadores Aero estão disponíveis como uma Pré-visualização Tecnológica:

Stratis está agora disponível

Stratis é um novo gerente de armazenamento local. Ele fornece sistemas de arquivos gerenciados em cima de pools de armazenamento com características adicionais para o usuário.

OverlayFS

O OverlayFS é um tipo de sistema de arquivo sindical. Ele permite a sobreposição de um sistema de arquivos sobreposto a outro. As mudanças são registradas no sistema de arquivo superior, enquanto o sistema de arquivo inferior permanece inalterado. Isto permite que vários usuários compartilhem uma imagem do sistema de arquivo, como um container ou um DVD-ROM, onde a imagem base está em uma mídia somente de leitura. Consulte a documentação do kernel do Linux para obter informações adicionais: https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt.

O sistema de arquivo DAX agora está disponível para ext4 e XFS como uma pré-visualização tecnológica

No Red Hat Enterprise Linux 8.0, o sistema de arquivo DAX do Red Hat está disponível como uma Pré-visualização Tecnológica. O DAX fornece um meio para um aplicativo mapear diretamente a memória persistente em seu espaço de endereços. Para usar DAX, um sistema deve ter alguma forma de memória persistente disponível, geralmente na forma de um ou mais NVDIMMs (Non-Volatile Dual In-line Memory Modules), e um sistema de arquivo que suporte DAX deve ser criado no(s) NVDIMM(s). Além disso, o sistema de arquivo deve ser montado com a opção de montagem por dax. Então, um mmap de um arquivo no sistema de arquivo montado por eixo resulta em um mapeamento direto do armazenamento no espaço de endereços da aplicação.

Pacemaker podman bundles disponíveis como Technology Preview

Os pacotes de contêineres do Pacemaker agora rodam na plataforma de contêineres do podman, com o recurso de pacote de contêineres disponível como uma Pré-visualização Tecnológica. Há uma exceção a este recurso que é a Technology Preview: A Red Hat suporta totalmente o uso de pacotes de Pacemaker para o Red Hat Openstack.

XDP disponível como uma prévia de tecnologia

O recurso eXpress Data Path (XDP), disponível como Technology Preview, fornece um meio de anexar programas Berkeley Packet Filter (eBPF) estendidos para processamento de pacotes de alto desempenho em um ponto inicial no caminho de entrada de dados do kernel, permitindo análise, filtragem e manipulação de pacotes programáveis eficientes.

eBPF para tc disponível como uma prévia tecnológica

Como uma prévia tecnológica, o subsistema de controle de tráfego (tc) e a ferramenta tc podem anexar programas ampliados de Filtragem de Pacotes Berkeley (eBPF) como classificadores de pacotes e ações para as disciplinas de entrada e saída em fila. Isto permite o processamento programável de pacotes dentro do caminho de dados da rede do kernel.

AF_XDP disponível como uma prévia tecnológica

O soqueteeXpress Data Path(AF_XDP)da família de endereços foi projetado para o processamento de pacotes de alto desempenho. Ele acompanha o XDP e permite o redirecionamento eficiente de pacotes programmaticamente selecionados para aplicações de espaço do usuário para processamento posterior.

KTLS disponível como uma prévia tecnológica

No Red Hat Enterprise Linux 8, a Kernel Transport Layer Security (KTLS) é fornecida como um Preview de Tecnologia. O KTLS trata os registros TLS usando a criptografia simétrica ou algoritmos de decodificação no kernel para a cifra AES-GCM. O KTLS também fornece a interface para descarregar a criptografia de registros TLS para os Controladores de Interface de Rede (NICs) que suportam esta funcionalidade.

TIPC disponível como uma prévia tecnológica

OTIPC (Transparent Inter Process Communication) é um protocolo especialmente projetado para a comunicação eficiente dentro de clusters de nós frouxamente emparelhados. Ele funciona como um módulo de kernel e fornece uma ferramenta tipc no pacote iproute2 para permitir que os projetistas criem aplicações que possam se comunicar de forma rápida e confiável com outras aplicações, independentemente de sua localização dentro do cluster. Esta característica está disponível como uma Pré-visualização Tecnológica.

O serviço de solução de sistema está agora disponível como uma Pré-visualização Tecnológica

O serviço resolvido pelo sistema fornece resolução de nomes para aplicações locais. O serviço implementa um resolvedor de stub DNS de cache e validação, uma Resolução de nomes Multicast local (LLMNR) e um resolvedor e respondedor DNS Multicast.

O papel post-fix do Sistema RHEL Papéis disponíveis como Previsão Tecnológica

As Funções do Sistema Red Hat Enterprise Linux fornecem uma interface de configuração para os subsistemas do Red Hat Enterprise Linux, o que facilita a configuração do sistema através da inclusão de Funções Ansíveis. Esta interface permite o gerenciamento das configurações do sistema em múltiplas versões do Red Hat Enterprise Linux, bem como a adoção de novos lançamentos principais.

AMD SEV para máquinas virtuais KVM

Como uma prévia de tecnologia, a RHEL 8 introduz o recurso Secure Encrypted Virtualization (SEV) para máquinas host AMD EPYC que utilizam o hipervisor KVM. Se ativada em uma máquina virtual (VM), a SEV criptografa a memória da VM para que o host não possa acessar os dados na VM. Isto aumenta a segurança da VM se o host for infectado com sucesso por malware.

Intel vGPU

Como uma prévia de tecnologia, agora é possível dividir um dispositivo físico Intel GPU em múltiplos dispositivos virtuais chamados de dispositivos mediados. Estes dispositivos mediados podem então ser atribuídos a múltiplas máquinas virtuais (VMs) como GPUs virtuais. Como resultado, estas VMs compartilham a performance de uma única GPU física da Intel.

Virtualização aninhada agora disponível no IBM POWER 9

Como uma prévia tecnológica, agora é possível utilizar os recursos de virtualização aninhados nas máquinas host RHEL 8 rodando em sistemas IBM POWER 9. A virtualização aninhada permite que as máquinas virtuais KVM (VMs) atuem como hipervisores, o que permite a execução de VMs dentro de VMs.

A virtualização da KVM é utilizável nas máquinas virtuais RHEL 8 Hyper-V

Como uma prévia de tecnologia, a virtualização KVM aninhada pode agora ser usada no hipervisor Microsoft Hyper-V. Como resultado, você pode criar máquinas virtuais em um sistema RHEL 8 para convidados rodando em um host Hyper-V.

A opção --interativa do comando Kickstart ignorado foi depreciada

O uso da opção --interativa em futuros lançamentos do Red Hat Enterprise Linux resultará em um erro fatal de instalação. É recomendado modificar seu arquivo Kickstart para remover a opção.

Vários comandos e opções de Kickstart foram depreciados

Usando os seguintes comandos e opções nos arquivos Kickstart RHEL 8, será impresso um aviso nos logs.

O NFSv3 sobre UDP foi desativado

O servidor NFS não abre mais ou escuta em um soquete do User Datagram Protocol (UDP) por padrão. Esta mudança afeta apenas a versão 3 do NFS porque a versão 4 requer o Protocolo de Controle de Transmissão (TCP).

O parâmetro da linha de comando do kernel do elevador é depreciado

O parâmetro de linha de comando do kernel do elevador foi usado em versões anteriores do RHEL para definir o programador de discos para todos os dispositivos. No RHEL 8, o parâmetro é depreciado.

O módulo VDO Ansible em pacotes VDO

O módulo VDO Ansible é atualmente fornecido pelo pacote vdo RPM. Em um lançamento futuro, o módulo VDO Ansible será movido para os pacotes Ansible RPM.

Os roteiros de rede são depreciados no RHEL 8

Os scripts de rede são depreciados no Red Hat Enterprise Linux 8 e não são mais fornecidos por default. A instalação básica fornece uma nova versão dos scripts ifup e ifdown que chamam o serviço NetworkManager através da ferramenta nmcli. No Red Hat Enterprise Linux 8, para rodar os scripts ifup e ifdown, o NetworkManager deve estar rodando.

A DSA é depreciada no RHEL 8

O Algoritmo de Assinatura Digital (DSA) é considerado depreciado no Red Hat Enterprise Linux 8. Os mecanismos de autenticação que dependem das chaves DSA não funcionam na configuração default. Note que os clientes OpenSSH não aceitam chaves de host DSA mesmo no nível da política criptográfica do sistema LEGACY.

SSL2 Cliente Olá foi depreciado no NSS

A versão 1.2 e anterior do protocolo Transport Layer Security(TLS) permite iniciar uma negociação com um Cliente Mensagem de Alô formatada de forma retrocompatível com o protocolo Secure Sockets Layer(SSL) versão 2. O suporte a este recurso na biblioteca de Serviços de Segurança de Rede(NSS) foi depreciado e está desativado por padrão.

TLS 1.0 e TLS 1.1 são depreciados

Os protocolos TLS 1.0 e TLS 1.1 estão desabilitados no nível da política criptográfica do sistema DEFAULT. Se seu cenário, por exemplo, uma aplicação de videoconferência no navegador Firefox, exigir o uso dos protocolos depreciados, mude a política criptográfica de todo o sistema para o nível LEGACY:

Snapshots de máquinas virtuais não são devidamente suportados no RHEL 8

O atual mecanismo de criação de instantâneos de máquinas virtuais (VM) foi depreciado, pois não está funcionando de forma confiável. Como conseqüência, recomenda-se não utilizar instantâneos de VM no RHEL 8.

O tipo de GPU virtual Cirrus VGA foi depreciado

Com uma futura grande atualização do Red Hat Enterprise Linux, o dispositivo GPU Cirrus VGA não será mais suportado nas máquinas virtuais KVM. Portanto, a Red Hat recomenda o uso dos dispositivos stdvga, virtio-vga, ou qxl ao invés do Cirrus VGA.

virt-manager foi depreciado

O aplicativo Virtual Machine Manager, também conhecido como virt-manager, foi desativado. O console web RHEL 8, também conhecido como Cockpit, tem a intenção de se tornar seu substituto em um lançamento posterior. É, portanto, recomendado que você utilize o console web para gerenciar a virtualização em uma GUI. Entretanto, no Red Hat Enterprise Linux 8.0, alguns recursos podem ser acessíveis apenas a partir de virt-manager ou da linha de comando.

Não é possível fazer logon no console web RHEL com o shell session_recording

Atualmente, os logins no console Web da RHEL falharão para usuários habilitados para registro de registros. O console web RHEL requer a presença de um shell de usuário no diretório /etc/shells para permitir um login bem sucedido. Entretanto, se o tlog-rec-session for adicionado ao /etc/shells, um usuário gravado poderá desativar a gravação alterando o shell do tlog-rec-session para outro shell do /etc/shells, usando o utilitário "chsh". A Red Hat não recomenda adicionar o tlog-rec-session ao /etc/shells por este motivo.

Os comandos auth e authconfig Kickstart requerem o repositório AppStream

O pacote authselect-compat é exigido pelos comandos auth e authconfig Kickstart durante a instalação. Sem este pacote, a instalação falha se o auth ou authconfig forem usados. Entretanto, por projeto, o pacote authselect-compat está disponível apenas no repositório AppStream.

Os drivers de vídeo xorg-x11-drv-fbdev, xorg-x11-drv-vesa e xorg-x11-drv-vmware não são instalados por padrão

Estações de trabalho com modelos específicos de placas gráficas NVIDIA e estações de trabalho com unidades de processamento acelerado AMD específicas não exibirão a janela de login gráfico após uma instalação do servidor RHEL 8.0.

A instalação falha ao usar o comando reboot --kexec

A instalação do RHEL 8 falha ao utilizar um arquivo Kickstart que contém o comando reboot --kexec. Para evitar o problema, use o comando reboot ao invés de reiniciar --kexec em seu arquivo Kickstart.

Copiar o conteúdo do arquivo Binário DVD.iso para uma partição omite os arquivos .treeinfo e .discinfo

Durante a instalação local, ao copiar o conteúdo do DVD.iso binário RHEL 8 para uma partição, o * no comando cp <path>/\* <mounted partition>/dir não copia os arquivos .treeinfo e .discinfo. Estes arquivos são necessários para uma instalação bem sucedida. Como resultado, os repositórios BaseOS e AppStream não são carregados, e uma mensagem de log relacionada a depuração no arquivo anaconda.log é o único registro do problema.

A instalação do Anaconda inclui baixos limites de recursos mínimos para a definição dos requisitos

O Anaconda inicia a instalação em sistemas com o mínimo de recursos necessários disponíveis e não fornece aviso prévio de mensagens sobre os recursos necessários para realizar a instalação com sucesso. Como resultado, a instalação pode falhar e os erros de saída não fornecem mensagens claras para uma possível depuração e recuperação. Para contornar este problema, certifique-se de que o sistema tenha as configurações mínimas de recursos necessários para a instalação: 2GB de memória em PPC64(LE) e 1GB em x86_64. Como resultado, deve ser possível realizar uma instalação bem sucedida.

Os comandos reboot --kexec e inst.kexec não fornecem um estado previsível do sistema

Realizar uma instalação RHEL com o comando de reinicialização --kexec Kickstart ou os parâmetros de inicialização do kernel inst.kexec não fornecem o mesmo estado previsível do sistema que uma reinicialização completa. Como conseqüência, mudar para o sistema instalado sem reinicialização pode produzir resultados imprevisíveis.

O módulo i40iw não é carregado automaticamente na inicialização

Devido a muitos DNIs i40e não suportarem iWarp e o módulo i40iw não suportar totalmente suspensão/resumo, este módulo não é carregado automaticamente por padrão para garantir que a suspensão/resumo funcione corretamente. Para resolver este problema, edite manualmente o arquivo /lib/udev/rules.d/90-rdma-hw-modules.rules para permitir o carregamento automático de i40iw.

O sistema às vezes fica sem resposta quando muitos dispositivos são conectados

Quando o Red Hat Enterprise Linux 8 configura um grande número de dispositivos, um grande número de mensagens do console ocorre no console do sistema. Isto acontece, por exemplo, quando há um grande número de unidades lógicas (LUNs), com múltiplos caminhos para cada LUN. O fluxo de mensagens do console, além de outros trabalhos que o kernel está fazendo, pode fazer com que o cão de guarda do kernel force o pânico do kernel porque o kernel parece estar pendurado.

A KSM às vezes ignora as políticas de memória NUMA

Quando o recurso de memória compartilhada do kernel (KSM) é ativado com o parâmetro merge_across_nodes=1, o KSM ignora as políticas de memória definidas pela função mbind(), e pode fundir páginas de algumas áreas de memória com nós de Acesso Não-Uniforme à Memória (NUMA) que não correspondem às políticas.

O motorista qede pendura o DNI e o torna inutilizável

Devido a um bug, o driver qede para as séries 41000 e 45000 QLogic NICs pode fazer com que as operações de atualização do Firmware e debug de coleta de dados falhem e tornar o NIC inutilizável ou em estado suspenso até que o reinício (PCI reset) do host torne o NIC operacional novamente.

Símbolos de árvores Radix foram adicionados às listas de kernel-abi-whitelists

Os seguintes símbolos em árvore radix foram adicionados ao pacote kernel-abi-whitelists no Red Hat Enterprise Linux 8:

podman falha no ponto de verificação de um contêiner no RHEL 8

A versão do pacote Checkpoint and Restore In Userspace (CRIU) está desatualizada no Red Hat Enterprise Linux 8. Como conseqüência, o CRIU não suporta o Checkpoint and Restore In Userspace (CRIU) e o utilitário podman falha no Checkpoint Contêiner. Ao executar o comando podman de ponto de verificação de contêineres, a seguinte mensagem de erro é exibida: 'checkpointing a container requires at least CRIU 31100' (ponto de verificação de um contêiner requer pelo menos CRIU 31100)

early-kdump e kdump padrão falham se a opção add_dracutmodules =earlykdump for usada no dracut.conf

Atualmente, ocorre uma inconsistência entre a versão do kernel que está sendo instalada para o kdump inicial e a versão do kernel para a qual é gerado o initramfs. Como conseqüência, a inicialização com o early-kdump ativado, o early-kdump falha. Além disso, se o early-kdump detecta que está sendo incluído em uma imagem padrão do initramfs do kdump, ele força uma saída. Portanto, o serviço de kdump padrão também falha ao tentar reconstruir o kdump initramfs se o early-kdump for adicionado como um módulo de dracut padrão. Como conseqüência, tanto o early-kdump quanto o kdump padrão falham. Para contornar este problema, não adicione add_dracutmodules =earlykdump ou qualquer configuração equivalente no arquivo dracut.conf. Como resultado, o early-kdump não é incluído pelo dracut por padrão, o que impede que o problema ocorra. Entretanto, se uma imagem do early-kdump for necessária, ela tem que ser criada manualmente.

O núcleo de depuração não inicia no ambiente de captura de falhas no RHEL 8

Devido à natureza exigente de memória do núcleo de depuração, ocorre um problema quando o núcleo de depuração está em uso e um pânico do núcleo é desencadeado. Como conseqüência, o kernel debug não é capaz de inicializar como o kernel de captura, e em seu lugar é gerado um traço de pilha. Para contornar este problema, aumente a memória do kernel debug de acordo. Como resultado, o kernel debug arranca com sucesso no ambiente de captura de falhas.

A interface de rede é renomeada para kdump -<interface-nomee> quando o fadump é usado

Quando o dump assistido por firmwares(fadump) é utilizado para capturar um vmcore e armazená-lo em uma máquina remota usando o protocolo SSH ou NFS, a interface de rede é renomeada para kdump -<interface-nome_TERNGREGUNA- se <interface-nome_TERNGREGUNA- for genérica, por exemplo, *eth#, ou net#. Este problema ocorre porque os scripts de captura vmcore no disco inicial da RAM(initrd) adicionam o prefixo kdump- ao nome da interface de rede para garantir a nomeação persistente. O mesmo initrd é usado também para uma inicialização regular, de modo que o nome da interface é alterado também para o kernel de produção.

A execução de uma lista de yum sob um usuário não-rootalista causa YUM crash

Ao executar o comando da lista yum sob um usuário não-root após o pacote libdnf ter sido atualizado, YUM pode terminar inesperadamente. Se você acertar este bug, execute o comando yum list sob root para resolver o problema. Como resultado, tentativas subsequentes de executar a yum list sob um usuário não-root não causam mais o erro YUM.

YUM v4 pula os repositórios indisponíveis por padrão

YUM v4 padrão para a configuração "skip_if_unavailable=True=True=" para todos os repositórios. Como consequência, se o repositório necessário não estiver disponível, os pacotes do repositório não são considerados nas operações de instalação, busca ou atualização. Posteriormente, alguns comandos yum e scripts baseados no yum têm sucesso com o código de saída 0, mesmo que não haja repositórios disponíveis.

As utilidades nslookup e host ignoram respostas de servidores de nomes com recursividade não disponíveis

Se mais servidores de nomes estiverem configurados e não houver recorrência disponível para um servidor de nomes, as utilidades nslookup e host ignoram as respostas de tal servidor de nomes, a menos que seja o último a ser configurado. No caso do último servidor de nomes configurado, a resposta é aceita mesmo sem a bandeira de recursividade disponível. Entretanto, se o último servidor de nomes configurado não estiver respondendo ou for inalcançável, a resolução do nome falha.

A encadernaçãoPython do pacote net-snmp não está disponível

O conjunto de ferramentas Net-SNMP não fornece ligação para o Python 3, que é a implementação padrão do Python no RHEL 8. Consequentemente, os pacotes python-net-snmp, python2-net-snmp, ou python3-net-snmp não estão disponíveis no RHEL 8.

systemd em modo de depuração produz mensagens de registro desnecessárias

O sistema e o gerente de serviços em modo de depuração produzem mensagens de registro desnecessárias que começam com:

ksh com a armadilha KEYBD mishandles caracteres multibyte

A Korn Shell (KSH) é incapaz de lidar corretamente com caracteres multibyte quando a armadilha KEYBD está habilitada. Conseqüentemente, quando o usuário entra, por exemplo, caracteres japoneses, ksh exibe uma string incorreta. Para contornar este problema, desabilite a armadilha KEYBD no arquivo /etc/kshrc comentando a seguinte linha:

Os servidores de banco de dados não podem ser instalados em paralelo

Os módulos mariadb e mysql não podem ser instalados em paralelo no RHEL 8.0 devido a pacotes de RPM conflitantes.

Problemas no mod_cgid logging

Se o módulo mod_cgid Apache httpd for usado sob um módulo de multiprocessamento de rosca (MPM), que é a situação padrão no RHEL 8, os seguintes problemas de registro ocorrem:

O IO::Socket::SSL Perl módulo não suporta TLS 1.3

Novas características do protocolo TLS 1.3, tais como o reinício da sessão ou autenticação pós-venda, foram implementadas na biblioteca RHEL 8 OpenSSL, mas não no módulo Net::SSLeay Perl, e portanto não estão disponíveis no módulo IO::Socket::SSL Perl. Conseqüentemente, a autenticação do certificado do cliente pode falhar e as sessões de restabelecimento podem ser mais lentas do que com o protocolo TLS 1.2.

A documentação Scala gerada é ilegível

Ao gerar documentação usando o comando scaladoc, a página HTML resultante é inutilizável devido à falta de recursos JavaScript.

qxl não funciona em VMs baseadas em Wayland

O driver qxl não é capaz de fornecer características de ajuste do modo kernel em certos hypervisors. Consequentemente, os gráficos baseados no protocolo Wayland não estão disponíveis para máquinas virtuais (VMs) que usam qxl, e a tela de login baseada no Wayland não inicia.

O prompt do console não é exibido ao executar o systemctl isolar multi-usuário.target

Ao executar o systemctl isola o comando multi-user.target do Terminal GNOME em uma sessão do GNOME Desktop, apenas um cursor é exibido, e não o prompt do console. Para contornar o problema, pressione as teclas Ctrl Alt F2. Como resultado, o prompt do console é exibido.

A área de trabalho em X.Org fica pendurada quando se muda para resoluções de tela baixas

Ao usar a área de trabalho do GNOME com o servidor de exibição X.Org, a área de trabalho fica sem resposta se você tentar mudar a resolução da tela para valores baixos. Para contornar o problema, não defina a resolução da tela para um valor inferior a 800 × 600 pixels.

radeon falha em reiniciar o hardware corretamente

O driver do kernel radeon atualmente não reinicia corretamente o hardware no contexto do kexec. Em vez disso, o radeon cai, o que faz com que o resto do serviço kdump falhe.

O status de escravo de backup MII não funciona quando se usa o monitor de link ARP

Por padrão, os dispositivos gerenciados pelo driver i40e, fazem a poda de origem, que deixa cair os pacotes que têm o endereço MAC (Media Access Control) de origem que corresponde a um dos filtros de recepção. Como conseqüência, o status de Interface independente de mídia escrava de backup (MII) não funciona quando se usa o monitoramento do Protocolo de Resolução de Endereço (ARP) na ligação de canais. Para contornar este problema, desabilite a poda de fonte através do seguinte comando:

O cão de guarda da HP NMI em alguns casos não gera um depósito de lixo

O motorista hpwdt para o cão de guarda HP NMI às vezes não é capaz de reivindicar uma interrupção não-máscara (NMI) gerada pelo temporizador HPE, porque o NMI foi consumido pelo motorista perfmon.

O cache de credenciais KCM não é adequado para um grande número de credenciais em um único cache de credenciais

O Gerente de Credenciais Kerberos (KCM) pode lidar com ccache de até 64 kB. Se ele contiver muitas credenciais, as operações Kerberos, tais como kinit, falham devido a um limite de código rígido no buffer usado para transferir dados entre o componente sssd-kcm e o banco de dados subjacente.

A mudança /etc/nsswitch.conf requer uma reinicialização manual do sistema

Qualquer alteração no arquivo /etc/nsswitch.conf, por exemplo rodando o comando authselect select profile_id, requer uma reinicialização do sistema para que todos os processos relevantes usem a versão atualizada do arquivo /etc/nsswitch.conf. Se uma reinicialização do sistema não for possível, reinicie o serviço que une seu sistema ao Active Directory, que é o System Security Services Daemon (SSSD) ou winbind.

Valores de tempo limite conflitantes impedem que o SSSD se conecte aos servidores

Alguns dos valores padrão de timeout relacionados às operações de failover utilizadas pelo System Security Services Daemon (SSSD) são conflitantes. Consequentemente, o valor de timeout reservado ao SSSD para falar com um único servidor impede que o SSSD tente outros servidores antes da operação de conexão como um todo. Para contornar o problema, defina o valor do parâmetro ldap_opt_timeout maior que o valor do parâmetro dns_resolver_timeout, e defina o valor do parâmetro dns_resolver_timeout maior que o valor do parâmetro dns_resolver_op_timeout.

O SSSD só pode procurar certificados únicos nas anulações de identificação

Quando várias sobreposições de ID contêm o mesmo certificado, o System Security Services Daemon (SSSD) não consegue resolver consultas para os usuários que correspondem ao certificado. Uma tentativa de procurar esses usuários não devolve nenhum usuário. Observe que procurar usuários usando seu nome de usuário ou UID funciona como esperado.

O SSSD não lida corretamente com múltiplas regras de correspondência de certificados com a mesma prioridade

Se um determinado certificado corresponde a várias regras de correspondência de certificados com a mesma prioridade, o System Security Services Daemon (SSSD) utiliza apenas uma das regras. Como alternativa, use uma única regra de correspondência de certificado cujo filtro LDAP consiste nos filtros das regras individuais concatenadas com o | (ou) operador. Para exemplos de regras de correspondência de certificados, consulte a página de manual sss-certamp(5).

SSSD devolve a adesão incorreta ao grupo LDAP para usuários locais

Se o Serviço de Segurança do Sistema Daemon (SSSD) atende usuários de arquivos locais, o provedor de arquivos não inclui membros de grupo de outros domínios. Como conseqüência, se um usuário local é membro de um grupo LDAP, o comando id local_user não retorna a filiação do usuário ao grupo LDAP. Para contornar o problema, ou reverta a ordem dos bancos de dados onde o sistema está procurando a filiação em grupo de usuários no arquivo /etc/nsswitch.conf, substituindo arquivos sss por arquivos sss, ou desabilite o domínio de arquivos implícito, adicionando

As regras do sudo podem não funcionar com id_provider=ad se as regras do sudo referirem nomes de grupos

Daemon System Security Services (SSSD) não resolve nomes de grupos do Active Directory durante a operação do initgroups por causa de uma otimização da comunicação entre AD e SSSD usando um cache. A entrada do cache contém apenas um Identificador de Segurança (SID) e não nomes de grupos até que o grupo seja solicitado por nome ou ID. Portanto, as regras do sudo não correspondem ao grupo AD, a menos que os grupos sejam totalmente resolvidos antes da execução do sudo.

As configurações padrão do PAM para o usuário do sistema foram alteradas no RHEL 8, o que pode influenciar o comportamento do SSSD

A pilha de módulos de autenticação Pluggable (PAM) mudou no Red Hat Enterprise Linux 8. Por exemplo, a sessão do usuário do sistema agora inicia uma conversa PAM usando o serviço PAM do usuário do sistema. Este serviço agora inclui recursivamente o serviço PAM system-auth, que pode incluir a interface pam_sss.so. Isto significa que o controle de acesso SSSD é sempre chamado.

O servidor IdM não funciona em FIPS

Devido a uma implementação incompleta do conector SSL para Tomcat, um servidor de Gerenciamento de Identidade (IdM) com um servidor de certificados instalado não funciona em máquinas com o modo FIPS habilitado.

Samba nega o acesso ao usar o plug-in de mapeamento de identificação sss

Para usar o Samba como um servidor de arquivos em um host RHEL unido a um domínio Active Directory (AD), o serviço Samba Winbind deve estar rodando mesmo que o SSSD seja usado para gerenciar usuários e grupos do AD. Se você entrar no domínio usando o comando join --client-software=sssd ou sem especificar o parâmetro --client-software neste comando, o reino cria apenas o arquivo /etc/sssd/sssd.conf. Quando você executa Samba no membro do domínio com esta configuração e adiciona uma configuração que usa o back end de mapeamento de ID sss ao arquivo /etc/samba/smb.conf para compartilhar diretórios, mudanças no back end de mapeamento de ID podem causar erros. Consequentemente, o Samba nega acesso aos arquivos em certos casos, mesmo que o usuário ou grupo exista e seja conhecido pelo SSSD.

O serviço nuxwdog falha em ambientes HSM e requer a instalação do pacote keyutils em ambientes não-HSM

O serviço nuxwdog watchdog foi integrado ao Sistema de Certificação. Como conseqüência, o nuxwdog não é mais fornecido como um pacote separado. Para usar o serviço watchdog, instale o pacote pki-server.

A adição de anulações de ID de usuários AD funciona somente no IdM CLI

Atualmente, a adição de anulações de ID de usuários do Active Directory (AD) a grupos de Gerenciamento de Identidade (IdM) com a finalidade de conceder acesso a funções de gerenciamento falha na IDM Web UI. Para contornar o problema, use antes a interface de linha de comando (CLI) do IdM.

Nenhuma informação sobre os registros DNS necessários exibidos ao permitir o suporte à confiança do AD na IdM

Ao permitir o suporte à confiança do Active Directory (AD) na instalação do Red Hat Enterprise Linux Identity Management (IdM) com gerenciamento DNS externo, nenhuma informação sobre os registros DNS necessários é exibida. A confiança da floresta no AD não é bem sucedida até que os registros DNS requeridos sejam adicionados. Para contornar este problema, execute o comando 'ipa dns-update-system-records --dry-run' para obter uma lista de todos os registros DNS requeridos pelo IdM. Quando o DNS externo para o domínio IdM definir os registros DNS necessários, é possível estabelecer a confiança da floresta no AD.

Funções sintéticas geradas pelo GCC confundem SystemTap

A otimização do GCC pode gerar funções sintéticas para cópias parcialmente simplificadas de outras funções. Ferramentas como SystemTap e GDB não podem distinguir estas funções sintéticas das funções reais. Como conseqüência, o SystemTap pode colocar sondas em ambos os pontos de entrada de funções sintéticas e reais, e assim registrar múltiplos acertos de sondas para uma única chamada de função real.

A ferramenta ltrace não informa as chamadas de função

Devido a melhorias no endurecimento binário aplicadas a todos os componentes RHEL, a ferramenta ltrace não pode mais detectar chamadas de função em arquivos binários provenientes de componentes RHEL. Como conseqüência, a saída ltrace está vazia porque não relata nenhuma chamada detectada quando usada em tais arquivos binários. Não há nenhuma solução atualmente disponível.

Incapaz de descobrir um alvo iSCSI usando o pacote iscsiuio

O Red Hat Enterprise Linux 8 não permite o acesso simultâneo às áreas de registro PCI. Como conseqüência, não foi possível definir o erro dos parâmetros de rede do host (err 29) e a conexão ao portal de descoberta falhou. Para contornar este problema, configure o parâmetro iomem=relaxado do kernel na linha de comando do kernel para a descarga do iSCSI. Isto envolve especificamente qualquer descarregamento usando o driver bnx2i. Como resultado, a conexão ao portal de descoberta é agora bem sucedida e o pacote iscsiuio agora funciona corretamente.

Os volumes da VDO perdem o conselho de deduplicação depois de se mudarem para uma plataforma diferente -endian

Virtual Data Optimizer (VDO) escreve o cabeçalho do índice do Serviço de Deduplicação Universal (UDS) no formato endian nativo de sua plataforma. O VDO considera o índice UDS corrompido e o sobrescreve com um novo índice em branco se você mover seu volume VDO para uma plataforma que usa um endian diferente.

A opção de montagem XFS DAX é incompatível com extensões compartilhadas de dados copy-on-write

Um sistema de arquivo XFS formatado com o recurso de cópia compartilhada de dados não é compatível com a opção -o dax mount. Como conseqüência, a montagem de tal sistema de arquivo com -o dax falha.

Alguns drivers SCSI podem às vezes usar uma quantidade excessiva de memória

Alguns motoristas SCSI usam uma quantidade maior de memória do que na RHEL 7. Em certos casos, tais como a criação de vPort em um adaptador de barramento host Fibre Channel (HBA), o uso de memória pode ser excessivo, dependendo da configuração do sistema.

nftables não suporta os tipos de conjuntos IP multidimensionais

A estrutura de filtragem de pacotes nftables não suporta tipos de conjuntos com concatenações e intervalos. Consequentemente, não é possível usar tipos de conjunto IP multidimensional, como hash:net, porta, com nftables.

O alvo TRACE na página man do iptables-extensions(8 ) não se refere à variante nf_tables

A descrição do alvo TRACE na página man do iptables-extensions(8 ) refere-se apenas à variante compatriota, mas o Red Hat Enterprise Linux (RHEL) 8.0 usa a variante nf_tables. O utilitário iptables baseado em nftables no RHEL usa a expressão meta nftrace internamente. Portanto, o kernel não imprime eventos TRACE no log do kernel, mas os envia para o espaço do usuário. Entretanto, a página man não faz referência ao utilitário de linha de comando xtables-monitor para exibir esses eventos.

RHEL 8 mostra o status de uma ligação 802.3ad como "Churned" depois que uma chave não estava disponível por um período de tempo prolongado

Atualmente, quando você configura um vínculo de rede 802.3ad e o switch está desligado por um longo período de tempo, o Red Hat Enterprise Linux mostra corretamente o status do vínculo como "Churned", mesmo depois que a conexão retorna a um estado de funcionamento. No entanto, este é o comportamento pretendido, já que o status de "rotacionado" visa dizer ao administrador que ocorreu uma interrupção significativa da conexão. Para limpar este status, reinicie a ligação de rede ou reinicialize o host.

O comando ebtables não suporta broute table

O comando ebtables baseado em nftables no Red Hat Enterprise Linux 8.0 não suporta a tabela de broute. Conseqüentemente, os usuários não podem usar este recurso.

O tráfego de rede IPsec falha durante a descarga de IPsec quando o GRO é desativado

Não se espera que a descarga IPsec funcione quando a descarga de recepção genérica (GRO) estiver desativada no dispositivo. Se o descarregamento de IPsec estiver configurado em uma interface de rede e o GRO estiver desabilitado nesse dispositivo, o tráfego de rede IPsec falha.

NetworkManager agora usa o plug-in interno DHCP por padrão

NetworkManager suporta os plug-ins DHCP internos e dhclient. Por default, NetworkManager no Red Hat Enterprise Linux (RHEL) 7 usa o dhclient e o RHEL 8 o plug-in interno. Em certas situações, os plug-ins se comportam de forma diferente. Por exemplo, o dhclient pode usar configurações adicionais especificadas no diretório /etc/dhcp/.

Opções avançadas de VPN baseadas em IPsec não podem ser alteradas utilizando o gnome-control-center

Ao configurar uma conexão VPN baseada em IPsec usando a aplicação gnome-control-center, o diálogo Avançado exibirá apenas a configuração, mas não permitirá fazer nenhuma alteração. Como conseqüência, os usuários não podem alterar nenhuma opção IPsec avançada. Para contornar este problema, use o editor de nm-conexão ou ferramentas nmcli para realizar a configuração das propriedades avançadas.

Os arquivos /etc/hosts.allow e /etc/hosts.deny contêm informações imprecisas

O pacote tcp_wrappers é removido no Red Hat Enterprise Linux (RHEL) 8, mas não seus arquivos, /etc/hosts.allow e /etc/hosts.deny. Como conseqüência, estes arquivos contêm informações desatualizadas, o que não é aplicável para o RHEL 8.

A desfragmentação de IP não pode ser sustentável sob sobrecarga de tráfego na rede

No Red Hat Enterprise Linux 8, o fio do núcleo de coleta de lixo foi removido e os fragmentos de IP expiram apenas no tempo limite. Como resultado, o uso de CPU sob Negação de Serviço (DoS) é muito menor, e a taxa máxima de queda de fragmentos sustentável é limitada pela quantidade de memória configurada para a unidade de remontagem de IP. Com as configurações padrão, as cargas de trabalho que requerem tráfego fragmentado na presença de queda de pacotes, reordenamento de pacotes ou muitos fluxos fragmentados simultâneos podem incorrer em regressão de desempenho relevante.

Mudança do nome da interface de rede no RHEL 8

No Red Hat Enterprise Linux 8, o mesmo esquema consistente de nomenclatura de dispositivos de rede é usado por default como no RHEL 7. Entretanto, alguns drivers do kernel, como e1000e, nfp, qede, sfc, tg3 e bnxt_en mudaram seu nome consistente em uma nova instalação do RHEL 8. Entretanto, os nomes são preservados na atualização a partir do RHEL 7.

libselinux-python só está disponível através de seu módulo

O pacote libselinux-python contém apenas ligas Python 2 para o desenvolvimento de aplicações SELinux e é usado para compatibilidade retroativa. Por esta razão, libselinux-python não está mais disponível nos repositórios padrão RHEL 8 através do comando dnf install libselinux-python.

a libssh não cumpre com a política de criptografia do sistema

A biblioteca libssh não segue as configurações de política criptográfica de todo o sistema. Como conseqüência, o conjunto de algoritmos suportados não é alterado quando o administrador muda o nível de políticas criptográficas usando o comando update-crypto-policies.

Certas cordas prioritárias rsyslog não funcionam corretamente

O suporte para a cadeia de prioridade GnuTLS para imtcp que permite um controle fino sobre a criptografia não está completo. Conseqüentemente, as seguintes cadeias de prioridade não funcionam corretamente no rsyslog:

Efeitos negativos da configuração padrão de registro sobre o desempenho

A configuração padrão do ambiente de registro pode consumir 4 GB de memória ou até mais e os ajustes dos valores limite de taxa são complexos quando o sistema-journald está rodando com o rsyslog.

OpenSCAP rpmverifypackage não funciona corretamente

As chamadas ao sistema chdir e chroot são chamadas duas vezes pela sonda rpmverifypackage. Conseqüentemente, ocorre um erro quando a sonda é utilizada durante uma varredura OpenSCAP com conteúdo personalizado de Open Vulnerability and Assessment Language (OVAL).

SCAP Workbench não gera remediações baseadas em resultados a partir de perfis personalizados

O seguinte erro ocorre quando se tenta gerar funções de remediação baseadas em resultados a partir de um perfil personalizado usando a ferramenta SCAP Workbench:

Kickstart usa org_fedora_oscap em vez de com_redhat_oscap no RHEL 8

O Kickstart faz referência ao Protocolo de Automação de Conteúdo de Segurança Aberta (OSCAP) Anaconda add-on como org_fedora_oscap em vez de com_redhat_oscap, o que pode causar confusão. Isto é feito para preservar a retrocompatibilidade com o Red Hat Enterprise Linux 7.

OpenSCAP rpmverifyfile não funciona

O scanner OpenSCAP não muda corretamente o diretório de trabalho atual no modo off-line, e a função fchdir não é chamada com os argumentos corretos na sonda OpenSCAP rpmverifyfile. Conseqüentemente, o escaneamento de sistemas de arquivos arbitrários usando o comando oscap-chroot falha se o rpmverifyfile_test for usado em um conteúdo SCAP. Como resultado, o oscap-chroot aborta no cenário descrito.

OpenSCAP não fornece escaneamento offline de máquinas e recipientes virtuais

A refatoração do OpenSCAP codebase fez com que certas sondas RPM falhassem na varredura de VM e sistemas de arquivos de containers em modo off-line. Por esse motivo, as seguintes ferramentas foram removidas do pacote openscap-utils: oscap-vm e oscap-chroot. Além disso, o pacote openscap-containers foi completamente removido.

Um serviço de segurança e verificação de conformidade de contêineres não está disponível

No Red Hat Enterprise Linux 7, o utilitário oscap-docker pode ser usado para escaneamento de containers Docker baseado em tecnologias atômicas. No Red Hat Enterprise Linux 8, os comandos Docker- e Atomic relacionados a OpenSCAP não estão disponíveis. Como resultado, o oscap-docker ou um utilitário equivalente para segurança e verificação de conformidade de containers não está disponível no RHEL 8 no momento.

A biblioteca OpenSSL TLS não detecta se a ficha PKCS#11 suporta a criação de assinaturas RSA ou RSA-PSS brutas

O protocolo TLS-1.3 requer o suporte para a assinatura do RSA-PSS. Se o token PKCS#11 não suportar assinaturas RSA ou RSA-PSS brutas, as aplicações servidoras que usam a biblioteca OpenSSL TLS não funcionarão com a chave RSA se ela estiver na posse do token PKCS#11. Como resultado, a comunicação TLS falhará.

O Apache httpd não inicia se usar uma chave privada RSA armazenada em um dispositivo PKCS#11 e um certificado RSA-PSS

O padrão PKCS#11 não diferencia entre objetos chave RSA e RSA-PSS e usa o tipo CKKK_RSA para ambos. Entretanto, OpenSSL usa tipos diferentes para chaves RSA e RSA-PSS. Como consequência, o motor openssl-pkcs11 não pode determinar que tipo deve ser fornecido ao OpenSSL para objetos chave PKCS#11 RSA. Atualmente, o mecanismo define o tipo de chave como chaves RSA para todos os objetos PKCS#11 CKKK_RSA. Quando OpenSSL compara os tipos de uma chave pública RSA-PSS obtida do certificado com o tipo contido em um objeto de chave privada RSA fornecido pelo motor, conclui que os tipos são diferentes. Portanto, o certificado e a chave privada não correspondem. A verificação realizada na função X509_check_private_key() OpenSSL retorna um erro neste cenário. O servidor web httpd chama esta função em seu processo de inicialização para verificar se o certificado e a chave fornecida coincidem. Como esta verificação sempre falha para um certificado contendo uma chave pública RSA-PSS e uma chave privada RSA armazenada no módulo PKCS#11, o httpd falha ao começar a usar esta configuração. Não há nenhuma solução disponível para este problema.

httpd não inicia se usar uma chave privada ECDSA sem a correspondente chave pública armazenada em um dispositivo PKCS#11

Ao contrário das chaves da RSA, as chaves privadas da ECDSA não contêm necessariamente informações de chave pública. Neste caso, você não pode obter a chave pública de uma chave privada ECDSA. Por este motivo, um dispositivo PKCS#11 armazena informações de chave pública em um objeto separado, seja um objeto de chave pública ou um objeto de certificado. A OpenSSL espera que a estrutura EVP_PKEY fornecida por um motor para uma chave privada contenha as informações da chave pública. Ao preencher a estrutura EVP_PKEY a ser fornecida à OpenSSL, o mecanismo no pacote openssl-pkcs11 tenta buscar as informações da chave pública apenas de objetos de chave pública correspondentes e ignora os objetos certificados atuais.

OpenSSH não lida com PKCS #11 URIs para chaves com etiquetas inadequadas corretamente

A suíte OpenSSH pode identificar os pares de chaves por uma etiqueta. A etiqueta pode diferir em chaves privadas e públicas armazenadas em um cartão inteligente. Consequentemente, especificar o PKCS #11 URIs com a parte do objeto (etiqueta da chave) pode impedir que o OpenSSH encontre objetos apropriados no PKCS #11.

A saída de iptables-ebtables não é 100ompatível com ebtables

No RHEL 8, o comando ebtables é fornecido pelo pacote iptables-ebtables, que contém uma reimplementação da ferramenta baseada em nftables. Esta ferramenta tem uma base de código diferente, e sua saída se desvia em aspectos que são negligenciáveis ou escolhas deliberadas de projeto.

curve25519-sha256 não é suportado por padrão no OpenSSH

O algoritmo de troca de chaves SSH curva25519-sha256 está faltando nas configurações de políticas criptográficas de todo o sistema para o cliente e servidor OpenSSH, apesar de estar em conformidade com o nível padrão de políticas. Como conseqüência, se um cliente ou um servidor usar a curva25519-sha256 e este algoritmo não for suportado pelo host, a conexão pode falhar.

OpenSSL manipula incorretamente as fichas PKCS #11 que não suportam assinaturas RSA ou RSA-PSS brutas

A biblioteca OpenSSL não detecta as capacidades relacionadas às chaves de fichas PKCS #11. Conseqüentemente, o estabelecimento de uma conexão TLS falha quando uma assinatura é criada com um token que não suporta assinaturas RSA ou RSA-PSS brutas.

As conexões SSH com sistemas hospedados em VMware não funcionam

A versão atual da suíte OpenSSH introduz uma mudança da bandeira padrão de Qualidade de Serviço IP (IPQoS) nos pacotes SSH, que não é tratada corretamente pela plataforma de virtualização VMware. Conseqüentemente, não é possível estabelecer uma conexão SSH com sistemas na VMware.

Nenhuma mensagem é impressa para o sucesso da configuração e desajuste do nível de serviço

Quando o serviço candlepin não tem uma funcionalidade 'syspurpose', o gerente de assinatura usa um caminho de código diferente para definir o argumento de nível de serviço. Este caminho de código não imprime o resultado da operação. Como conseqüência, nenhuma mensagem é exibida quando o nível de serviço é definido pelo gerente de assinatura. Isto é especialmente problemático quando o conjunto de nível de serviço tem um erro de digitação ou não está verdadeiramente disponível.

os addons syspurpose addons não têm efeito sobre o gerenciador de assinaturas anexar --auto saída.

No Red Hat Enterprise Linux 8, quatro atributos da ferramenta de linha de comando syspurpose foram adicionados: role,use, service_level_agreement e addons. Atualmente, apenas role, usage e service_level_agreement afetam a saída da execução do gerenciador de assinatura anexado --auto comando. Os usuários que tentarem definir valores para o argumento dos addons não observarão qualquer efeito nas assinaturas que são auto-atribuídas.

Máquinas virtuais ESXi que foram customizadas usando a bota cloud-init e clonada muito lentamente

Atualmente, se o serviço cloud-init é utilizado para modificar uma máquina virtual (VM) que roda no VMware ESXi hypervisor para utilizar IP estático e a VM é então clonada, a nova VM clonada em alguns casos leva um tempo muito longo para reiniciar. Isto é causado pela reescrita em nuvem do IP estático da VM para DHCP e, em seguida, a busca por uma fonte de dados disponível.

Permitindo a virtualização aninhada bloqueia a migração ao vivo

Atualmente, o recurso de virtualização aninhado é incompatível com a migração ao vivo. Portanto, permitindo a virtualização aninhada em um host RHEL 8 impede a migração de qualquer máquina virtual (VMs) do host, bem como salvar instantâneos do estado da VM para o disco.

O uso do cloud-init para fornecer máquinas virtuais no Microsoft Azure falha

Atualmente, não é possível usar o utilitário de nuvem para fornecer uma máquina virtual RHEL 8 (VM) na plataforma Microsoft Azure. Para contornar este problema, use um dos seguintes métodos:

Geração 2 RHEL 8 máquinas virtuais às vezes não inicializam nos hosts do Hyper-V Server 2016

Ao usar o RHEL 8 como sistema operacional convidado em uma máquina virtual (VM) rodando em um host Microsoft Hyper-V Server 2016, a VM, em alguns casos, falha no boot e retorna ao menu de boot do GRUB. Além disso, o seguinte erro é registrado no registro de eventos do Hyper-V:

os comandos devirsh iface-* não funcionam de forma consistente

Atualmente, comandos virsh iface-*, tais como virsh iface-start e virsh iface-destruição, frequentemente falham devido a dependências de configuração. Portanto, recomenda-se não usar comandos virsh iface-* para configurar e gerenciar as conexões de rede do host. Ao invés disso, use o programa NetworkManager e suas aplicações de gerenciamento relacionadas.

Extensões de máquinas virtuais Linux para Azure às vezes não funcionam

O RHEL 8 não inclui o pacote python2 por padrão. Como conseqüência, a execução de extensões de máquinas virtuais Linux para Azure, também conhecidas como azure-linux-extensions, em um RHEL 8 VM em alguns casos falha.

a ferramenta redhat-support não coleta automaticamente o sosreport do opencase

O comando redhat-support-tool não pode criar um arquivo sosreport. Para contornar este problema, execute o comando sosreport separadamente e depois digite o comando redhat-support-tool addattachment -c para carregar o arquivo ou usar a interface web no Portal do Cliente. Como resultado, será criado um caso e o sosreport será carregado.