JDK Mission Control rebaseado para a versão 7.1.1

O JDK Mission Control (JMC) para JVMs HotSpot, fornecido pelo fluxo de módulos jmc:rhel8, foi atualizado para a versão 7.1.1 com o lançamento RHEL 8.2.1.

Rust Toolset rebaseado para a versão 1.43

O Rust Toolset foi atualizado para a versão 1.43. As mudanças notáveis incluem:

Os registros de contêineres agora suportam o comando skopeo sync

Com este aperfeiçoamento, os usuários podem usar o comando skopeo sync para sincronizar os registros de contêineres e os registros locais. O comando de sincronização skopeo é útil para sincronizar um espelho de registro de contêineres local, e para preencher registros em execução dentro de ambientes com ar comprimido.

O arquivo de configuração container.conf já está disponível

Com este aperfeiçoamento, usuários e administradores podem especificar opções de configuração padrão e bandeiras de linha de comando para motores de contêineres. Os motores de contêineres lêem os arquivos /usr/share/containers/containers.conf e /etc/containers/containers.conf, se eles existirem. No modo sem raiz, os motores de contêineres lêem os arquivos $HOME/.config/containers/containers.conf.

Agora você pode entrar e sair de um servidor de registro

Com este aperfeiçoamento, você pode entrar e sair de um servidor de registro especificado usando os comandos de login e logout do skopeo. O comando de login do skopeo lê no nome de usuário e na senha a partir da entrada padrão. O nome de usuário e a senha também podem ser definidos usando as opções --username (ou -u) e --password (ou -p).

Agora você pode reiniciar o armazenamento do podman

Com este aprimoramento, os usuários podem usar o comando de reset do sistema podman para repor o armazenamento do podman de volta ao estado inicial. O comando de reinicialização do sistema podman remove todos os pods, containers, imagens e volumes. Para mais informações, consulte a página de manual de reinicialização do sistema podman.

Capacidade de registrar seu sistema, anexar assinaturas RHEL, e instalar a partir do Red Hat CDN

No RHEL 8.2, você pode registrar seu sistema, anexar assinaturas RHEL e instalar a partir da Red Hat Content Delivery Network (CDN) antes da instalação do pacote. Instalações interativas GUI, bem como instalações Kickstart automatizadas, suportam este recurso. Os benefícios incluem:

Capacidade de registrar seu sistema na Red Hat Insights durante a instalação

No RHEL 8.2, você pode registrar seu sistema no Red Hat Insights durante a instalação. Instalações interativas GUI, bem como instalações Kickstart automatizadas, suportam este recurso.

O Image Builder oferece agora suporte de nuvens para a criação de imagens Azure

Com este aprimoramento, o suporte de nuvens está disponível para as imagens Azure criadas pelo Image Builder. Como resultado, a criação de imagens on-premise com rápido fornecimento e a capacidade de adicionar dados personalizados está disponível aos clientes.

A seqüência de cabeçalho doAgente-usuário agora inclui informações lidas do arquivo /etc/os-release

Com este aperfeiçoamento, a cadeia de cabeçalho User-Agent, que normalmente é incluída nas solicitações HTTP feitas pelo DNF, foi ampliada com informações lidas no arquivo /etc/os-release.

Todas as unidades dnf-automatic.timer agora usam o relógio em tempo real por padrão

Anteriormente, as unidades temporizadas dnf-automatic.timer utilizavam o relógio monotônico, o que resultava em um tempo de ativação imprevisível após a inicialização do sistema. Com esta atualização, as unidades temporizadas funcionam entre 6h e 7h. Se o sistema estiver desligado durante este tempo, as unidades temporizadas são ativadas dentro de uma hora após a inicialização do sistema.

O utilitário createrepo_c agora salta pacotes cujos metadados contêm os caracteres de controle não permitidos

Para garantir um XML válido, os metadados do pacote não devem conter nenhum caractere de controle, com exceção de:

opencv rebaseado para a versão 3.4.6

Os pacotes opencv foram atualizados para a versão upstream 3.4.6. Mudanças notáveis incluem:

graphviz-python3 é agora distribuído no repositório CRB

Esta atualização adiciona o pacote graphviz-python3 ao RHEL 8. O pacote fornece os bindings necessários para o uso do software de visualização gráfica Graphviz da Python.

sintonizado rebaseado para a versão 2.13.0

Os pacotes ajustados foram atualizados para a versão upstream 2.13.0. Melhorias notáveis incluem:

powertop rebaseado para a versão 2.11

O pacote powertop foi atualizado para a versão 2.11, o que proporciona uma mudança notável a seguir:

BIND agora suporta .GeoIP2 ao invés de GeoLite Legacy GeoIP

A biblioteca do GeoLite Legacy GeoIP não é mais suportada no BIND. Com esta atualização, o GeoLite Legacy GeoP foi substituído pelo GeoIP2, que é fornecido no formato de dados libmaxminddb.

stale-answer agora fornece antigos registros em cache em caso de ataque DDoS

Anteriormente, o ataque de Negação de Serviço Distribuído (DDoS) causou a falha dos servidores autorizados com o erro SERVFAIL. Com esta atualização, a funcionalidade de stale-answer fornece os registros expirados até que uma nova resposta seja obtida.

BIND rebaseado para a versão 9.11.13

Os pacotes de encadernação foram atualizados para a versão 9.11.13. Mudanças notáveis incluem:

RHEL 8 contém agora o perfil DISA STIG

Os Guias de Implementação Técnica de Segurança (STIG) são um conjunto de recomendações de base publicadas pela Agência de Sistemas de Informação de Defesa (DISA) para reforçar a segurança dos sistemas de informação e software que, de outra forma, poderiam ser vulneráveis. Esta versão inclui o perfil e o arquivo Kickstart para esta política de segurança. Com esta melhoria, os usuários podem verificar a conformidade dos sistemas, corrigir os sistemas para que estejam em conformidade e instalar sistemas em conformidade com o DISA STIG para o Red Hat Enterprise Linux 8.

as políticas criptográficas podem agora ser personalizadas

Com esta atualização, você pode ajustar certos algoritmos ou protocolos de qualquer nível de política ou definir um novo arquivo de política completo como a política criptográfica atual de todo o sistema. Isto permite aos administradores personalizar a política criptográfica de todo o sistema, conforme exigido por diferentes cenários.

Guia de Segurança SCAP agora suporta ACSC Essential Eight

Os pacotes scap-security-guide fornecem agora o perfil de conformidade Essential Cyber Security Centre (ACSC) da Austrália e um arquivo Kickstart correspondente. Com esta melhoria, os usuários podem instalar um sistema que esteja em conformidade com esta linha de base de segurança. Além disso, é possível usar a suíte OpenSCAP para verificar a conformidade e correção de segurança usando esta especificação de controles mínimos de segurança definidos pelo ACSC.

oscap-podman para segurança e verificação de conformidade de containers está agora disponível

Esta atualização dos pacotes openscap introduz uma nova utilidade para segurança e verificação de conformidade de contêineres. A ferramenta oscap-podman fornece um equivalente do utilitário oscap-docker que serve para escanear imagens de contêineres e contêineres no RHEL 7.

asolução de problemas pode agora analisar e reagir às negações de acesso de execmem

Esta atualização introduz um novo setroubleshoot plugin. O plugin pode analisar as negações de acesso execmem (AVCs) e fornecer conselhos relevantes. Como resultado, o setroubleshoot pode agora sugerir a possibilidade de trocar um booleano se ele permitir o acesso, ou relatar o problema quando nenhum booleano puder permitir o acesso.

Novos pacotes: setools-gui e setools-console-análises

O pacote setools-gui, que fez parte do RHEL 7, está agora sendo apresentado ao RHEL 8. Ferramentas gráficas ajudam a inspecionar relações e fluxos de dados, especialmente em sistemas multiníveis com políticas SELinux altamente especializadas. Com a ferramenta gráfica apol do pacote setools-gui, você pode inspecionar e analisar aspectos de uma política SELinux. As ferramentas do pacote setools-console-analyses permitem analisar as transições de domínio e os fluxos de informações sobre políticas SELinux.

Usuários confinados no SELinux podem agora gerenciar os serviços de sessão do usuário

Anteriormente, os usuários confinados não eram capazes de gerenciar os serviços de sessão do usuário. Como resultado, eles não podiam executar comandos de usuário do systemctl --usuário ou busctl -- ou trabalhar no console web RHEL. Com esta atualização, os usuários confinados podem gerenciar as sessões de usuários.

O serviço lvmdbusd está agora confinado pela SELinux

O serviço lvmdbusd fornece um D-Bus API para o gerenciador de volume lógico (LVM). Anteriormente, o daemon lvmdbusd não podia fazer a transição para o contexto lvm_t, embora a política SELinux para o lvm_t estivesse definida. Como conseqüência, o daemon lvmdbusd era executado no domínio lvmdbusd não-confinado_t e o SELinux rotulado lvmdbusd como não-confinado. Com esta atualização, o arquivo executável do lvmdbusd tem o contexto lvm_exec_t definido e o lvmdbusd pode agora ser usado corretamente com o SELinux no modo de execução.

semanage agora suporta a listagem e modificação de portas SCTP e DCCP.

Anteriormente, as portas semanais permitiam a listagem e modificação apenas das portas TCP e UDP. Esta atualização adiciona suporte ao protocolo SCTP e DCCP à porta semanage. Como resultado, os administradores podem agora verificar se duas máquinas podem se comunicar via SCTP e habilitar totalmente os recursos do SCTP para implementar com sucesso aplicações baseadas no SCTP.

aexportação semanal mostra agora customizações relacionadas a domínios permissivos

Com esta atualização, o utilitário semanário, que faz parte do pacote de policoreutils para SELinux, é capaz de exibir personalizações relacionadas a domínios permissivos. Os administradores do sistema podem agora transferir modificações locais permissivas entre máquinas usando o comando de exportação semanage.

udica pode adicionar novas regras de permissão geradas a partir de recusas da SELinux à política de contêineres existente

Quando um contêiner que está funcionando sob uma política gerada pelo utilitário udica aciona uma negação da SELinux, a udica agora é capaz de atualizar a política. O novo parâmetro -a ou --as regras abertas- pode ser usado para anexar regras de um arquivo AVC.

Os novos tipos de SELinux permitem que os serviços funcionem confinados

Esta atualização introduz novos tipos de SELinux que permitem que os seguintes serviços sejam executados como serviços confinados no modo de aplicação do SELinux, em vez de serem executados no domínio não-confinado_service_t:

Clevis é capaz de listar as políticas em vigor para um determinado dispositivo LUKS

Com esta atualização, o comando clevis luks luks lista as políticas PBD em vigor para um determinado dispositivo LUKS. Isto facilita encontrar informações sobre os pinos Clevis em uso e a configuração dos pinos, por exemplo, endereços de servidores Tang, detalhes sobre políticas tpm2 e limites SSS.

Clevis fornece novos comandos para informar o status da chave e rebobinar chaves vencidas

O comando clevis luks report agora fornece uma maneira simples de informar se as chaves para uma determinada ligação requerem rotação. Rotações regulares de chaves em um servidor Tang melhoram a segurança das implementações de Criptografia de Disco Ligado à Rede (NBDE) e, portanto, o cliente deve fornecer a detecção de chaves expiradas. Se a chave estiver expirada, Clevis sugere o uso do comando clevis luks regen que religa o slot da chave expirada com uma chave atual. Isto simplifica significativamente o processo de rotação da chave.

Clevis pode agora extrair a frase-senha utilizada para encadernar um determinado slot em um dispositivo LUKS

Com esta atualização da estrutura de decriptação baseada na política Clevis, você pode agora extrair a senha usada para encadernar um determinado slot em um dispositivo LUKS. Anteriormente, se a senha de instalação do LUKS fosse apagada, Clevis não poderia realizar tarefas administrativas do LUKS, tais como reencriptação, permitindo um novo slot chave com uma senha de usuário, e religando Clevis quando o administrador precisar alterar o limiar sss. Esta atualização introduz o comando clevis luks pass que mostra a frase-chave usada para encadernar um determinado slot.

Clevis agora fornece melhor suporte para decodificação de múltiplos dispositivos LUKS na inicialização

Os pacotes clevis foram atualizados para fornecer melhor suporte à decriptação de múltiplos dispositivos criptografados LUKS na inicialização. Antes desta melhoria, o administrador teve que realizar alterações complicadas na configuração do sistema para permitir a decriptação adequada de múltiplos dispositivos pela Clevis no momento da inicialização. Com este lançamento, você pode configurar a decriptação usando o comando clevis luks bind e atualizando o initramfs através do comando dracut -fv --regenerate-all.

openssl-pkcs11 rebaseado para 0,4,10

O pacote openssl-pkcs11 foi atualizado para a versão 0.4.10, que fornece muitas correções de bugs e melhorias em relação à versão anterior. O pacote openssl-pkcs11 fornece acesso aos módulos PKCS #11 através da interface do motor. As principais mudanças introduzidas pela nova versão são:

rsyslog rebaseado para 8.1911.0

O utilitário rsyslog foi atualizado para a versão upstream 8.1911.0, que fornece uma série de correções de bugs e melhorias em relação à versão anterior. A lista a seguir inclui melhorias notáveis:

rsyslog agora fornece o plugin omhttp para comunicação através de uma interface HTTP REST

Com esta atualização dos pacotes rsyslog, você pode usar o novo plugin omhttp para produzir uma saída compatível com serviços usando uma API Representational State Transfer (REST), como a plataforma de armazenamento Ceph, Amazon Simple Storage Service (Amazon S3), e Grafana Loki. Este novo módulo de saída HTTP fornece um caminho REST configurável e formato de mensagem, suporte a vários formatos de lotes, compressão e criptografia TLS.

omelasticsearch no rsyslog agora suporta rebindintervalo

Esta atualização dos pacotes rsyslog introduz suporte para definir o tempo de reconexão periódica no módulo de pesquisa omelástica. Você pode melhorar o desempenho ao enviar registros para um cluster de nós de Elasticsearch definindo este parâmetro de acordo com seu cenário. O valor do parâmetro rebindintervalo indica o número de operações submetidas a um nó após o qual o rsyslog fecha a conexão e estabelece uma nova. O valor padrão -1 significa que o rsyslog não restabelece a conexão.

rsyslog mmkubernetes agora fornece o prazo de validade do cache de metadados

Com esta atualização dos pacotes rsyslog, você pode usar dois novos parâmetros para o módulo mmkubernetes para definir a expiração do cache de metadados. Isto assegura que objetos Kubernetes apagados sejam removidos do cache estático mmkubernetes. O valor do parâmetro cacheentryttl indica a idade máxima das entradas de cache em segundos. O parâmetro cacheexpireintervalo tem os seguintes valores:

auditoria rebaseada para a versão 3.0-0.14

Os pacotes de auditoria foram atualizados para a versão upstream 3.0-0.14, que fornece muitas correções e melhorias em relação à versão anterior, mais notadamente:

A auditoria agora contém muitas melhorias do kernel v5.5-rc1

Esta adição ao kernel Linux contém a maioria das melhorias, correções de bugs e limpezas relacionadas ao subsistema de Auditoria e introduzidas entre a versão 4.18 e 5.5-rc1. A lista a seguir destaca mudanças importantes:

fapolicyd rebaseado para 0,9,1-2

Os pacotes fapolicyd que fornecem a lista branca de aplicações RHEL foram atualizados para a versão 0.9.1-2. Correções de erros notáveis e melhorias incluem:

sudo rebaseado para 1.8.29-3.el8

os pacotessudo foram atualizados para a versão upstream 1.8.29-3, que fornece uma série de correções de bugs e melhorias em relação à versão anterior. As principais mudanças introduzidas pela nova versão são:

O módulo pam_namespace agora permite especificar opções adicionais de montagem para tmpfs

As opções de montagem nosuid, noexec e nodev podem agora ser usadas no arquivo de configuração /etc/security/namespace.conf para respectivamente desativar o efeito setuid bit, desativar os executáveis em execução e impedir que os arquivos sejam interpretados como caracteres ou dispositivos de bloqueio no sistema de arquivos tmpfs montados.

pam_faillock agora pode ler os ajustes do arquivo de configuração faillock.conf

O módulo pam_faillock, parte dos módulos de autenticação plugáveis (PAM), agora pode ler as configurações do arquivo de configuração localizado em /etc/security/faillock.conf. Isto facilita a configuração de um bloqueio de conta nas falhas de autenticação, fornece perfis de usuário para esta funcionalidade e lida com diferentes configurações PAM simplesmente editando o arquivo faillock.conf.

As aplicações de espaço do usuário podem agora recuperar a identificação da rede selecionada pelo kernel

Aplicações de espaço do usuário podem solicitar ao kernel para selecionar um novo ID de rede e atribuí-lo a um espaço de nome de rede. Com este aperfeiçoamento, os usuários podem especificar a bandeira NLM_F_ECHO ao enviar uma mensagem RTM_NETNSID netlink para o kernel. O kernel então envia a mensagem netlink de volta para o usuário. Esta mensagem inclui o ID netns definido para o valor do kernel selecionado. Como resultado, as aplicações de espaço do usuário agora têm uma opção confiável para identificar o ID netlink do kernel selecionado.

firewalld rebaseado para a versão 0.8

Os pacotes firewalld foram atualizados para a versão 0.8. Mudanças notáveis incluem:

a ndptool pode agora especificar um endereço de destino no cabeçalho IPv6

Com esta atualização, o utilitário ndptool pode enviar uma mensagem de Solicitação de Vizinhança (NS) ou um Anúncio de Vizinhança (NA) para um destino específico, especificando o endereço no cabeçalho IPv6. Como resultado, uma mensagem pode ser enviada para outros endereços que não apenas para o endereço local do link.

nftables agora suporta tipos de conjuntos IP multidimensionais

Com este aperfeiçoamento, a estrutura de filtragem de pacotes nftables suporta tipos definidos com concatenações e intervalos. Como resultado, os administradores não precisam mais de soluções para criar tipos de conjuntos IP multidimensionais.

nftables rebaseado para a versão 0.9.3

Os pacotes nftables foram atualizados para a versão 0.9.3, que fornece uma série de correções de bugs e melhorias em relação à versão anterior:

As regras para o serviço firewalld podem agora usar ajudantes de rastreamento de conexão para serviços executados em um porto não-padrão

Os ajudantes definidos pelo usuário no serviço firewalld podem agora usar módulos de ajuda padrão do kernel. Isto permite que os administradores criem regras firewalld para usar helpers de rastreamento de conexão para serviços executados em uma porta não-standard.

O pacote whois já está disponível

Com este aperfeiçoamento, o pacote whois está agora disponível em RHEL 8.2.0. Como resultado, a recuperação de informações sobre um nome de domínio ou endereço IP específico é agora possível.

o eBPF para tc é agora totalmente suportado

O subsistema de Controle de Tráfego (tc) e a ferramenta tc podem anexar programas ampliados de Filtragem de Pacotes Berkeley (eBPF) como classificadores de pacotes e ações para ambas as disciplinas de entrada e saída em fila. Isto permite o processamento programável de pacotes dentro do caminho de dados da rede do kernel. O eBPF para tc, anteriormente disponível como uma previsão tecnológica, é agora totalmente suportado no RHEL 8.2.

Versão do Kernel em RHEL 8.2

O Red Hat Enterprise Linux 8.2 é distribuído com o kernel versão 4.18.0-193.

Filtro de Pacote Extendido Berkeley para RHEL 8.2

A Extended Berkeley Packet Filter (eBPF) é uma máquina virtual in-kernel que permite a execução do código no espaço do kernel, no ambiente restrito do sandbox com acesso a um conjunto limitado de funções. A máquina virtual executa um código especial tipo montagem. O bytecode eBPF primeiro carrega para o kernel, seguido por sua verificação, tradução do código para o código da máquina nativa com compilação just-in-time, e então a máquina virtual executa o código.

Software hospedeiro Intel ® Omni-Path Architecture (OPA)

O software hospedeiro Intel Omni-Path Architecture (OPA) é totalmente suportado no Red Hat Enterprise Linux 8.2. A Intel OPA fornece hardware Host Fabric Interface (HFI) com inicialização e configuração para transferências de dados de alto desempenho (alta largura de banda, alta taxa de mensagens, baixa latência) entre nós de computação e de E/S em um ambiente cluster.

Control Group v2 é agora totalmente suportado na RHEL 8

o mecanismoControl Group v2 é um grupo de controle unificado de hierarquia. Control Group v2 organiza os processos hierarquicamente e distribui os recursos do sistema ao longo da hierarquia de forma controlada e configurável.

Randomização de listas livres: Melhor desempenho e utilização da cache lateral de memória com mapeamento direto

Com este aprimoramento, você pode habilitar o alocador de páginas para randomizar listas livres e melhorar a utilização média de uma cache lateral de memória com mapeamento direto. A opção de linha de comando do kernel page_alloc.shuffle, permite que o alocador de páginas aleatorize as listas livres e coloca a bandeira booleana em True. O arquivo sysfs, que está localizado em /sys/module/page_alloc/parameters/shuffle lê o status da bandeira, embaralha as listas livres, de modo que a Memória Dinâmica de Acesso Aleatório (DRAM) é armazenada em cache, e a banda de latência entre a DRAM e a memória persistente é reduzida. Como resultado, a memória persistente com maior capacidade e menor largura de banda está disponível em plataformas de servidores de uso geral.

A ferramenta TPM userspace foi atualizada para a última versão

A ferramenta tpm2-tools userspace foi atualizada para a versão 3.2.1. Esta atualização fornece várias correções de erros, em particular relacionados à configuração da plataforma Código de registro e limpeza manual da página.

O chipset PCH série C620 suporta agora o recurso Intel Trace Hub

Esta atualização adiciona suporte de hardware para o Intel Trace Hub (TH) na série C620 Platform Controller Hub (PCH), também conhecido como Lewisburg PCH. Os usuários com a série C620 PCH podem agora usar o Intel TH.

A ferramenta perf agora suporta a agregação de eventos por matriz para processadores CLX-AP e CPX

Com esta atualização, a ferramenta perf agora fornece suporte para a agregação de contagens por evento para algumas CPUs Intel com múltiplas matrizes. Para ativar este modo, adicione a opção --per-die além da opção -a para os processadores do sistema Xeon Cascade Lake-AP (CLX-AP) e Cooper Lake (CPX). Como resultado, esta atualização detecta qualquer desequilíbrio entre os estampos. O comando perf stat captura a contagem do evento e exibe a saída como:

O limiar de crashkernel=auto é reduzido na IBM Z

O limite inferior do parâmetro de linha de comando crashkernel=auto kernel é agora reduzido de 4G para 1G nos sistemas IBM Z. Esta implementação permite que o IBM Z se alinhe com o limiar dos sistemas AMD64 e Intel 64 para compartilhar a mesma política de reserva no limiar inferior do crashkernel=auto. Como resultado, o crash kernel é capaz de reservar automaticamente memória para kdump em sistemas com menos de 4GB de RAM.

A entrada manual numctl esclarece a saída de uso de memória

Com este lançamento do RHEL 8, a página do manual de numctl menciona explicitamente que as informações de uso da memória refletem apenas as páginas residentes no sistema. A razão para este acréscimo é eliminar possíveis confusões para os usuários, quer as informações de uso de memória estejam relacionadas às páginas residentes ou à memória virtual.

O documento kexec-tools é agora atualizado para incluir o suporte ao alvo Kdump FCoE

Neste lançamento, o arquivo /usr/share/doc/kexec-tools/supported-kdump-targets.txt foi atualizado para incluir o suporte ao alvo Kdump Fibre Channel over Ethernet (FCoE). Como resultado, os usuários agora podem ter um melhor entendimento do status e detalhes do mecanismo de despejo do kdump em um suporte de alvo FCoE.

O depósito de lixo assistido agora suporta o PowerNV

O mecanismo de despejo assistido por firmware(fadump) é agora suportado na plataforma PowerNV. O recurso é suportado com a versão do firmware IBM POWER9 FW941 e mais tarde. No momento da falha do sistema, o fadump, junto com o arquivo vmcore, também exporta o arquivo opalcore. O arquivo opalcore contém informações sobre o estado da memória OpenPOWER Abstraction Layer (OPAL) no momento da falha. O arquivo opalcore é útil na depuração de falhas dos sistemas baseados em OPAL.

kernel-rt agora combina com a última árvore RHEL 8

As fontes de kernel-rt foram atualizadas para utilizar a última árvore de fontes do kernel RHEL. O conjunto de correções em tempo real também foi atualizado para a última versão upstream v5.2.21-rt13. Ambas as atualizações fornecem uma série de correções e melhorias de bugs.

rngd agora é capaz de funcionar com privilégios não-root

O daemon gerador de números aleatórios(rngd) verifica se os dados fornecidos pela fonte de aleatoriedade são suficientemente aleatórios e então armazena os dados no pool de entropia de números aleatórios do kernel. Com esta atualização, o rngd é capaz de rodar com privilégios de usuário não-root para aumentar a segurança do sistema.

Memória Virtual Persistente agora suportada para RHEL 8.2 e posteriormente POWER 9

Ao executar um host RHEL 8.2 ou posterior com um PowerVM hypervisor em hardware IBM POWER9, o host pode agora usar o recurso de Memória Virtual Persistente (vPMEM). Com o vPMEM, os dados persistem em toda a aplicação e a partição é reiniciada até que o servidor físico seja desligado. Como resultado, reiniciar as cargas de trabalho que utilizam o vPMEM é significativamente mais rápido.

LVM agora suporta o método dm-writecache caching

Os volumes de cache LVM agora fornecem o método de cache dm-writecache, além do método de cache dm existente.

A política de assimetria da VDO agora está em conformidade com o ACID

Com este lançamento, o modo de escrita assimétrica VDO está agora em conformidade com Atomicidade, Consistência, Isolamento, Durabilidade (ACID). Se o sistema parar inesperadamente enquanto o VDO estiver escrevendo dados em modo assíncrono, os dados recuperados agora são sempre consistentes.

Agora você pode importar volumes VDO

O utilitário vdo agora permite importar volumes VDO existentes que atualmente não estão registrados em seu sistema. Para importar um volume VDO, use o comando de importação vdo.

Novo contador de erros per-op agora está disponível na saída dos mountstats e nfsiostat

Um pequeno recurso de suporte está disponível para os sistemas clientes NFS: a saída dos comandos mountstats e nfsiostat em nfs-utils tem uma contagem de erros por operação. Este aprimoramento permite que estas ferramentas exibam contagens de erros por operação e porcentagens que podem ajudar a reduzir os problemas em pontos de montagem específicos do NFS em uma máquina cliente NFS. Note que estas novas estatísticas dependem de mudanças no kernel que estão dentro do kernel do Red Hat Enterprise Linux 8.2.

As IOs de retorno com cgroup awareness estão agora disponíveis em XFS

Com este lançamento, a XFS suporta IOs de retorno com consciência de cgroup. De modo geral, a reversão de dados de cgroup requer apoio explícito do sistema de arquivos subjacente. Até agora, as IOs de writeback no XFS eram o atributo apenas para o cgroup raiz.

Os sistemas de arquivo FUSE agora implementam copy_file_range()

A chamada de sistema copy_file_range() fornece uma maneira para os sistemas de arquivos implementarem um mecanismo eficiente de cópia de dados. Com esta atualização, o GlusterFS, que está usando a estrutura do sistema de arquivos no espaço do usuário (FUSE), aproveita este mecanismo. Como a funcionalidade de leitura/gravação dos sistemas de arquivos FUSE envolve múltiplas cópias de dados, o uso do copy_file_range() pode melhorar significativamente o desempenho.

Suporte para estatísticas per-op agora está disponível para os comandos mountstats e nfsiostat

Um recurso de suporte está agora disponível para os sistemas clientes NFS: o arquivo /proc/self/mountstats tem o contador de erros per-op. Com esta atualização, sob cada linha de estatísticas per-op, o nono número indica o número das operações que foram concluídas com um valor de status inferior a zero. Este valor de status indica um erro. Para maiores informações, veja as atualizações dos programas mountstats e nfsiostat nos nfs-utils que exibem estas novas contagens de erros.

Novas estatísticas de montarias lease_time e lease_expired estão disponíveis no arquivo /proc/self/mountstats

Um recurso de suporte está disponível para sistemas clientes NFSv4.x. O arquivo /proc/self/mountstats tem os campos lease_time e lease_expired no final da linha, começando com nfsv4:. O campo lease_time indica o número de segundos no tempo de locação do NFSv4. O campo lease_expired indica o número de segundos desde que a locação expirou, ou 0 se a locação não tiver expirado.

Novas opções de comando para desativar um recurso somente se isso não afetar outros recursos

S vezes é necessário desativar recursos somente se isso não tiver efeito sobre outros recursos. Assegurar que este seria o caso pode ser impossível de fazer à mão quando relações complexas de recursos são estabelecidas. Para resolver esta necessidade, o comando de desativação de recursos pcs agora suporta as seguintes opções:

Novo comando para mostrar as relações entre os recursos

O novo comando pcs resource relations permite exibir as relações entre os recursos de cluster em uma estrutura em árvore.

Novo comando para exibir o status de um site primário e de um cluster de sites de recuperação

Se você configurou um cluster para usar como um local de recuperação, agora você pode configurar esse cluster como um cluster de local de recuperação com o comando pcs dr. Você pode então usar o comando pcs dr para exibir o status tanto de seu cluster de site principal quanto de seu cluster de site de recuperação de um único nó.

Restrições expiradas de recursos são agora escondidas por padrão ao listar restrições

A listagem de restrições de recursos não mais por padrão exibe restrições expiradas. Para incluir os consumos expirados, use a opção --all do comando pcs constraint. Isto listará as restrições expiradas, anotando as restrições e suas regras associadas como (expiradas) no display.

Suporte de marcapasso para configuração de recursos para permanecer parado no desligamento do nó limpo

Quando um nó de cluster se desliga, a resposta padrão do Pacemaker é interromper todos os recursos que correm naquele nó e recuperá-los em outro lugar. Alguns usuários preferem ter alta disponibilidade apenas para falhas, e tratar as paradas limpas como interrupções programadas. Para resolver isso, o Pacemaker agora suporta as propriedades de cluster de bloqueio e limite de bloqueio para especificar que os recursos ativos em um nó quando ele se desliga devem permanecer parados até que o próximo nó se junte novamente. Os usuários podem agora usar desligamentos limpos como interrupções programadas sem qualquer intervenção manual. Para informações sobre como configurar recursos para permanecerem parados em um desligamento de nó limpo, consulte o link: Configurando os recursos para permanecerem parados no desligamento do nó limpo.

Suporte para o funcionamento do ambiente de cluster em um único nó

Um cluster com apenas um membro configurado é agora capaz de iniciar e executar recursos em um ambiente de cluster. Isto permite que um usuário configure um site separado de recuperação de desastres para um cluster com vários nós que usa um único nó para backup. Note que um cluster com apenas um nó não é, por si só, tolerante a falhas.

Um novo módulo: python38

RHEL 8.2 apresenta o Python 3.8, fornecido pelo novo módulo python38 e a imagem do recipiente ubi8/python-38.

Mudanças na instalação do mod_wsgi

Anteriormente, quando o usuário tentava instalar o módulo mod_wsgi usando o comando yum install mod_wsgi, o pacote python3-mod_wsgi era sempre instalado. O RHEL 8.2 introduz o Python 3.8 como uma adição ao Python 3.6. Com esta atualização, você precisa especificar qual versão do mod_wsgi você deseja instalar, caso contrário, uma mensagem de erro é retornada.

Suporte para deflacionar em zlib com aceleração de hardware no IBM Z

Esta atualização adiciona suporte para um algoritmo de deflacionamento acelerado por hardware à biblioteca zlib nos mainframes IBM Z. Como resultado, o desempenho de compressão e descompressão nas máquinas vetoriais IBM Z foi melhorado.

Desempenho melhorado na descompressão de gzip em IBM Power Systems, little endian

Esta atualização adiciona otimização para a verificação da redundância cíclica de 32 bits (CRC32) à biblioteca zlib em IBM Power Systems, little endian. Como resultado, o desempenho dos arquivos gzip descompactadores foi melhorado.

Um novo fluxo de módulos: maven:3.6

RHEL 8.2 apresenta um novo fluxo de módulos, maven:3.6. Esta versão da ferramenta de gerenciamento e compreensão do projeto de software Maven fornece numerosas correções de bugs e várias melhorias sobre o fluxo maven:3.5 distribuído com o RHEL 8.0.

mod_md agora suporta o protocolo ACMEv2

O módulo mod_md foi atualizado para a versão 2.0.8. Esta atualização acrescenta uma série de características, notadamente o suporte à versão 2 do protocolo de emissão e gerenciamento de certificados do Ambiente de Gerenciamento de Certificados Automáticos (ACME), que é o padrão da Internet Engineering Task Force (IETF) (RFC 8555). O protocolo ACMEv1 original continua a ter suporte, mas é depreciado pelos provedores de serviços populares.

Novas extensões para PHP 7.3

O fluxo do módulo php:7.3 foi atualizado para fornecer duas novas extensões PHP: rrd e Xdebug.

Novos pacotes: perl-LDAP e perl-Convert-ASN1

Esta atualização adiciona os pacotes perl-LDAP e Perl-Convert-ASN1 à RHEL 8. O pacote perl-LDAP fornece um cliente LDAP para a linguagem Perl. perl-LDAP requer o pacote perl-Convert-ASN1, que codifica e decodifica a Notação de Sintaxe Abstrata Um (ASN.1) estruturas de dados usando Regras Básicas de Codificação (BER) e Regras de Codificação Distinta (DER).

sscg agora suporta gerar arquivos chave privados protegidos por uma senha

O utilitário sscg é agora capaz de gerar arquivos chave privados protegidos por uma senha. Isto acrescenta outro nível de proteção para chaves privadas, e é exigido por alguns serviços, como o FreeRADIUS.

grafana rebaseada para a versão 6.3.6

O pacote grafana foi atualizado para a versão 6.3.6, que fornece múltiplas correções e melhorias de bugs. Mudanças notáveis incluem:

pcp rebaseado para a versão 5.0.2

O pacote pcp foi atualizado para a versão 5.0.2, que fornece múltiplas correções e melhorias de bugs. Mudanças notáveis incluem:

grafana-pcp está agora disponível em RHEL 8.2

O pacote grafana-pcp fornece novas fontes de dados de grafana e plugins de aplicação conectando o PCP com a grafana. Com o pacote grafana-pcp, você pode analisar métricas históricas de PCP e métricas de PCP em tempo real usando a linguagem de consulta pmseries e serviços ao vivo pmwebapi, respectivamente. Para mais informações, veja Performance Co-Pilot Grafana Plugin.

Conjunto de Ferramentas GCC Atualizadas 9

O GCC Toolset 9 é um conjunto de ferramentas de compilação que fornece versões recentes de ferramentas de desenvolvimento. Ele está disponível como um Application Stream na forma de uma Coleção de Software no repositório AppStream.

O GCC Toolset 9 agora suporta a descarga do alvo NVIDIA PTX

O compilador GCC no GCC Toolset 9 agora suporta o OpenMP target offloading para NVIDIA PTX.

O compilador GCC atualizado está agora disponível para a RHEL 8.2

O compilador do sistema GCC, versão 8.3.1, foi atualizado para incluir numerosas correções de erros e melhorias disponíveis no GCC a montante.

Um novo sintonizador para mudar o tamanho máximo do fastbin em glibc

A função malloc utiliza uma série de caixotes rápidos que retêm pedaços de memória reutilizáveis até um tamanho específico. O tamanho máximo padrão do pedaço é 80 bytes em sistemas de 32 bits e 160 bytes em sistemas de 64 bits. Este aperfeiçoamento introduz uma nova glibc.malloc.mxfast tunable para a glibc que permite mudar o tamanho máximo da fastbin.

Biblioteca matemática vetorizada está agora habilitada para o GNU Fortran no GCC Toolset 9

Com esta melhoria, o GNU Fortran do GCC Toolset pode agora usar rotinas da biblioteca matemática vetorizada libmvec. Anteriormente, o compilador Fortran do GCC Toolset precisava de um arquivo de cabeçalho Fortran antes de poder usar as rotinas da libmvec fornecidas pela glibc da GNU C Library.

O glibc.malloc.tcache sintonizável foi melhorado

A glibc.malloc.tcache_count tunable permite definir o número máximo de pedaços de memória de cada tamanho que podem ser armazenados no cache por fio (tcache). Com esta atualização, o limite superior do glibc.malloc.tcache_count tunable foi aumentado de 127 para 65535.

O carregador dinâmico glibc é aperfeiçoado para fornecer um mecanismo de pré-carga não hermético da biblioteca

Com este aperfeiçoamento, o carregador pode agora ser invocado para carregar um programa de usuário com uma opção --preload seguido por uma lista de bibliotecas separadas por dois pontos para pré-carregar. Este recurso permite que os usuários invoquem seus programas diretamente através do carregador com uma lista de pré-carga de biblioteca não-interferida.

GDB agora suporta a extensão ARCH(13) sobre a arquitetura IBM Z

Com este aperfeiçoamento, o GNU Debugger (GDB) agora suporta as novas instruções implementadas pela extensão ARCH(13) sobre a arquitetura IBM Z.

elfutils rebaseado para a versão 0.178

O pacote elfutils foi atualizado para a versão 0.178, que fornece múltiplas correções e melhorias de bugs. Mudanças notáveis incluem:

SystemTap rebaseado para a versão 4.2

A ferramenta de instrumentação SystemTap foi atualizada para a versão 4.2. As melhorias notáveis incluem:

Melhorias nos contadores de desempenho da série IBM Z

As máquinas IBM série Z tipo 0x8561, 0x8562, e 0x3907 (z14 ZR1) são agora reconhecidas pela libpfm. Eventos de desempenho para monitoramento de operações de criptografia de curvas elípticas (ECC) na série IBM Z estão agora disponíveis. Isto permite o monitoramento de subsistemas adicionais em máquinas da série IBM Z.

Rust Toolset rebaseado para a versão 1.41

O Rust Toolset foi atualizado para a versão 1.41. As mudanças notáveis incluem:

LLVM Toolset rebaseado para a versão 9.0.1

O conjunto de ferramentas LLVM foi atualizado para a versão 9.0.1. Com esta atualização, as declarações asm goto agora são suportadas. Esta mudança permite compilar o kernel Linux nas arquiteturas AMD64 e Intel 64.

Go Toolset rebaseado para a versão 1.13

O Go Toolset foi atualizado para a versão 1.13. Melhorias notáveis incluem:

OpenJDK agora também suporta secp256k1

Anteriormente, o Open Java Development Kit (OpenJDK) podia usar apenas curvas da biblioteca NSS. Consequentemente, o OpenJDK forneceu apenas as curvas secp256r1, secp384r1, e secp521r1 para criptografia de curvas elípticas (ECC). Com esta atualização, o OpenJDK utiliza a implementação interna do ECC e suporta também a curva secp256k1.

IdM agora suporta novos módulos de gerenciamento Ansible management

Esta atualização introduz vários módulos ansible-freeipa para automatizar tarefas comuns de Gerenciamento de Identidade (IdM) usando Livros de Jogadas Ansíveis:

IdM Healthcheck agora suporta a triagem de registros DNS

Esta atualização introduz um teste manual independente dos registros DNS em um servidor de Gerenciamento de Identidade (IdM).

A integração direta da RHEL no AD usando SSSD agora suporta FIPS

Com este aperfeiçoamento, o System Services Security Daemon (SSSD) agora se integra às implantações do Active Directory (AD) cujos mecanismos de autenticação utilizam tipos de criptografia que foram aprovados pelo Federal Information Processing Standard (FIPS). O aprimoramento permite integrar diretamente os sistemas RHEL ao AD em ambientes que devem atender aos critérios FIPS.

O protocolo SMB1 foi desativado por padrão no servidor Samba e nas utilidades do cliente

No Samba 4.11, os valores padrão do protocolo servidor min e os parâmetros do protocolo cliente min foram alterados de NT1 para SMB2_02 porque o protocolo de bloco de mensagens do servidor versão 1 (SMB1) foi depreciado. Se você não tiver definido estes parâmetros no arquivo /etc/samba/smb.conf:

samba rebaseado para a versão 4.11.2

Os pacotes samba foram atualizados para a versão 4.11.2, que fornece uma série de correções e melhorias em relação à versão anterior. Mudanças notáveis incluem:

Servidor de Diretório rebaseado para a versão 1.4.2.4

Os pacotes 389-ds-base foram atualizados para a versão upstream 1.4.2.4, que fornece uma série de correções e melhorias de bugs em relação à versão anterior. Para uma lista completa de mudanças notáveis, leia as notas de lançamento upstream antes de atualizar:

Alguns scripts legados foram substituídos no Directory Server

Este aprimoramento fornece substitutos para os scripts legados dbverify, validate-syntax.pl, cl-dump.pl, fixup-memberuid.pl e repl-monitor.pl não suportados no Directory Server. Estes scripts foram substituídos com os seguintes comandos:

A criação do IdM como uma réplica oculta é agora totalmente suportada

O Gerenciamento de Identidade (IdM) no RHEL 8.2 suporta totalmente a configuração de servidores IdM como réplicas ocultas. Uma réplica oculta é um servidor IdM que tem todos os serviços funcionando e disponíveis. Entretanto, ela não é anunciada para outros clientes ou masters porque não existem registros SRV para os serviços no DNS, e as funções do servidor LDAP não estão habilitadas. Portanto, os clientes não podem usar a descoberta de serviços para detectar réplicas ocultas.

A política de bilhetes Kerberos agora suporta indicadores de autenticação

Os indicadores de autenticação são anexados aos bilhetes Kerberos com base nos quais o mecanismo de pré-autenticação foi usado para adquirir o bilhete:

O pacote krb5 agora está em conformidade com o FIPS

Com este aprimoramento, a criptografia não conforme é proibida. Como resultado, os administradores podem usar Kerberos em ambientes regulados por FIPS.

O servidor de diretório define o parâmetro sslVersionMin com base na política de criptografia de todo o sistema

Por padrão, o Directory Server agora define o valor do parâmetro sslVersionMin com base na política de criptografia do sistema. Se você definir o perfil da política de criptografia no arquivo /etc/crypto-policies/config para:

O SSSD agora impõe por padrão os GPO AD

A configuração padrão para a opção SSSD ad_gpo_access_control está agora fazendo cumprir. No RHEL 8, o SSSD aplica por padrão as regras de controle de acesso baseadas nos Objetos de Políticas de Grupos de Diretórios Ativos (GPOs).

A Wayland agora está habilitada em sistemas dual-GPU

Anteriormente, o ambiente do GNOME era padronizado para a sessão X11 em laptops e outros sistemas que possuem duas unidades de processamento gráfico (GPUs). Com este lançamento, o GNOME agora tem como padrão a sessão Wayland nos sistemas dual-GPU, que é o mesmo comportamento que nos sistemas single-GPU.

Suporte para novas placas gráficas

As seguintes placas gráficas são agora suportadas:

Os administradores podem agora usar certificados de clientes para autenticar no console web RHEL 8

Com este aperfeiçoamento do console web, um administrador de sistema pode usar certificados de cliente para acessar um sistema RHEL 8 localmente ou remotamente, usando um navegador com autenticação de certificados embutida. Nenhum software cliente adicional é necessário. Estes certificados são normalmente fornecidos por um cartão inteligente ou Yubikey, ou podem ser importados para o navegador.

Opção de login no console web com um certificado de cliente TLS

Com esta atualização, é possível configurar o console web para fazer o login com um certificado de cliente TLS que é fornecido por um navegador ou um dispositivo como um cartão inteligente ou um YubiKey.

Mudanças no login do console web

O console web RHEL foi atualizado com as seguintes mudanças:

O console web RHEL foi redesenhado para usar o sistema de design da interface de usuário PatternFly 4

O novo design oferece melhor acessibilidade e combina com o design do OpenShift 4. As atualizações incluem:

Atualizações da página deMáquinas Virtuais

A página de Máquinas Virtuais do console web obteve várias melhorias em termos de armazenamento:

Atualizações da página de armazenamento do console Web

Os testes de usabilidade mostraram que o conceito default mount point na página de armazenamento do console web RHEL era difícil de entender, e levou a muita confusão. Com esta atualização, o console web não oferece mais uma opção Default ao montar um sistema de arquivo. A criação de um novo sistema de arquivo agora requer sempre um ponto de montagem especificado.

A tentativa de criar uma máquina virtual RHEL a partir de uma árvore instalada agora retorna uma mensagem de erro mais útil.

As máquinas virtuais RHEL 7 e RHEL 8 criadas usando o utilitário virt-install com a opção --location em alguns casos não inicializam. Esta atualização adiciona uma mensagem de erro de instalação vir-install que fornece instruções sobre como contornar este problema.

Processadores Intel Xeon Platinum série 9200 suportados por convidados da KVM

O suporte para processadores Intel Xeon Platinum série 9200 (anteriormente conhecido como Cascade Lake) foi agora adicionado ao hipervisor KVM e ao código do kernel, e ao libvirt API. Isto permite que as máquinas virtuais KVM utilizem processadores Intel Xeon Platinum série 9200.

EDK2 rebaseado para a versão estável201908

O pacote EDK2 foi atualizado para a versão stable201908, que oferece vários aprimoramentos. Notadamente:

Criando máquinas virtuais aninhadas

Com esta atualização, a virtualização aninhada é totalmente suportada para máquinas virtuais KVM (VMs) rodando em um host Intel 64 com RHEL 8. Com este recurso, uma RHEL 7 ou RHEL 8 VM que roda em um host RHEL 8 físico pode atuar como um hipervisor, e hospedar suas próprias VMs.

A lista de busca padrão de registros em /etc/containers/registries.conf foi atualizada

A lista padrão de registros.search em /etc/containers/registries.conf foi atualizada para incluir apenas registros confiáveis que fornecem imagens de contêineres curados, corrigidos e mantidos pela Red Hat e seus parceiros.

Podman não depende mais do gancho do sistema ocito-gancho

Podman não precisa ou depende do pacote de gancho do sistema Oci que foi removido do módulo container-tools:rhel8 e container-tools:2.0.

O uso dos parâmetros de inicialização da versão ou inst.version kernel não pára mais o programa de instalação

Anteriormente, a inicialização do programa de instalação a partir da linha de comando do kernel utilizando os parâmetros de inicialização da versão ou inst.version imprimiu a versão, por exemplo, anaconda 30.25.6, e parou o programa de instalação.

Suporte de inicialização segura para s390x no instalador

Anteriormente, a RHEL 8.1 fornecia suporte para preparar discos de inicialização para uso em ambientes IBM Z que forçavam o uso de inicialização segura. As capacidades do servidor e do hipervisor utilizados durante a instalação determinavam se o formato resultante no disco continha suporte de inicialização segura. Não havia maneira de influenciar o formato on-disk durante a instalação. Conseqüentemente, se você instalou o RHEL 8.1 em um ambiente que suportava boot seguro, o sistema não foi capaz de inicializar quando movido para um ambiente que não tinha suporte de boot seguro, como é feito em alguns cenários de failover.

O recurso de boot seguro está agora disponível

Anteriormente, o valor padrão para a opção secure= boot não estava definido para auto, e como resultado, o recurso de boot seguro não estava disponível. Com esta atualização, a menos que previamente configurado, o valor padrão é definido para auto, e o recurso de boot seguro está agora disponível.

O arquivo /etc/sysconfig/kernel não faz mais referência ao script new-kernel-pkg

Anteriormente, o arquivo /etc/sysconfig/kernel referenciava o script new-kernel-pkg. Entretanto, o script do novo kernel-pkg não está incluído em um sistema RHEL 8. Com esta atualização, a referência ao script new-kernel-pkg foi removida do arquivo /etc/sysconfig/kernel.

A instalação não define mais do que o número máximo de dispositivos permitidos na variável NVRAM do dispositivo de inicialização

Anteriormente, o programa de instalação RHEL 8 definia mais do que o número máximo de dispositivos permitidos na variável NVRAM do dispositivo de inicialização. Como resultado, a instalação falhou em sistemas que possuíam mais do que o número máximo de dispositivos. Com esta atualização, o programa de instalação RHEL 8 agora verifica a configuração máxima do dispositivo e apenas adiciona o número permitido de dispositivos.

As instalações funcionam para um local de imagem que usa um comando URL em um arquivo Kickstart localizado em um local não-rede

Anteriormente, a instalação falhou no início do processo quando a ativação da rede acionada pela localização remota da imagem foi especificada por um comando URL em um arquivo Kickstart localizado em um local não-rede. Esta atualização corrige o problema e as instalações que fornecem o local da imagem usando um comando URL em um arquivo Kickstart que está localizado em um local não-rede, por exemplo, um CD-ROM ou um dispositivo de bloco local, agora funcionam como esperado.

O programa de instalação RHEL 8 verifica apenas ECKD DASD para dispositivos não formatados

Anteriormente, na verificação de dispositivos não formatados, o programa de instalação verificava todos os dispositivos DASD. Entretanto, o programa de instalação só deveria ter verificado os dispositivos DASD do ECKD. Como conseqüência, a instalação falhou com um traceback quando um dispositivo FBA DASD com SWAPGEN foi usado. Com esta atualização, o programa de instalação não verifica os dispositivos FBA DASD, e a instalação é concluída com sucesso.

yum repolist não termina mais no primeiro repositório indisponível

Anteriormente, a opção de configuração do repositório Skip_if_una disponível era, por padrão, definida como segue:

Atualizações doReaR

RHEL 8.2 introduz uma série de atualizações na utilidade Relax-and-Recover(ReaR).

mlocate-updatedb.timer agora está habilitado durante a instalação do pacote mlocate

Anteriormente, a reindexação do banco de dados do arquivo não era realizada automaticamente, porque o mlocate-updatedb.timer era desativado após a instalação do pacote mlocate. Com esta atualização, o temporizador mlocate-updatedb.timer agora faz parte do arquivo 90-default.preset e é habilitado por padrão após a instalação do pacote mlocate. Como resultado, o banco de dados do arquivo é atualizado automaticamente.

o dnsmasq agora trata corretamente as consultas DNS não recursivas

Anteriormente, o dnsmasq encaminhou todas as consultas não recursivas para um servidor upstream, o que levou a respostas diferentes. Com esta atualização, as consultas não recursivas a nomes conhecidos locais, tais como nomes de DHCP para locação de host ou hosts lidos do arquivo /etc/hosts, são tratadas pelo dnsmasq e não são encaminhadas a um servidor upstream. Como resultado, a mesma resposta às consultas recursivas a nomes conhecidos é devolvida.

dhclient não mais falha em renovar o endereço IP após mudanças no tempo do sistema

Anteriormente, se o tempo do sistema mudasse, o sistema poderia perder o endereço IP atribuído devido à remoção pelo kernel. Com esta atualização, o dhclient usa o temporizador monotônico para detectar saltos no tempo para trás e emite a mensagem DHCPREQUEST para extensão do aluguel em caso de salto descontínuo no tempo do sistema. Como resultado, o sistema não perde mais o endereço IP no cenário descrito.

ipcalc agora retorna o endereço de transmissão correto para as redes /31

Esta atualização corrige o utilitário ipcalc para seguir corretamente a norma RFC 3021. Como resultado, o ipcalc retorna o endereço de transmissão correto quando o prefixo /31 é usado em uma interface.

/etc/services contém agora uma definição adequada do porto NRPE

Esta atualização adiciona a definição apropriada da porta de serviço Nagios Remote Plug-in Executor (NRPE) ao arquivo /etc/services.

O código de resolução DNS postfix agora usa res_search em vez de res_query

Após sua atualização anterior no postfix, o código resolvedor DNS usou a função res_query em vez da função res_search. Como conseqüência, o resolvedor DNS não procurou nomes de host nos domínios atual e pai com a seguinte configuração postfix:

PCRE, CDB, e SQLite agora podem ser usados com Postfix

No RHEL 8, o pacote postfix foi dividido em vários subpacotes, cada subpacote fornecendo um plug-in para um banco de dados específico. Anteriormente, os pacotes RPM contendo os plug-ins postfix-pcre, postfix-cdb, e postfix-sqlite não eram distribuídos. Consequentemente, bancos de dados com estes plug-ins não podiam ser usados com Postfix. Esta atualização adiciona pacotes RPM contendo os plug-ins PCRE, CDB, e SQLite ao repositório AppStream. Como resultado, estes plug-ins podem ser usados depois que o pacote RPM apropriado for instalado.

fapolicyd não impede mais as atualizações da RHEL

Quando uma atualização substitui o binário de uma aplicação em execução, o kernel modifica o caminho binário da aplicação na memória anexando o sufixo " (excluído). Anteriormente, o daemon da política de acesso a arquivos fapolicyd tratava tais aplicações como não confiáveis, e as impedia de abrir e executar quaisquer outros arquivos. Como conseqüência, o sistema às vezes era incapaz de inicializar após a aplicação de atualizações.

openssl-pkcs11 não trava mais os dispositivos ao tentar entrar em múltiplos dispositivos

Anteriormente, o motor openssl-pkcs11 tentou entrar no primeiro resultado de uma busca usando o PKCS #11 URI fornecido e usou o PIN fornecido mesmo que o primeiro resultado não fosse o dispositivo pretendido e o PIN correspondesse a outro dispositivo. Estas tentativas de autenticação falhadas bloquearam o dispositivo.

OpenSCAP varreduras offline usando rpmverifyfile agora funcionam corretamente

Antes desta atualização, o scanner OpenSCAP não alterou corretamente o diretório de trabalho atual no modo offline, e a função fchdir não foi chamada com os argumentos corretos na sonda OpenSCAP rpmverifyfile. O scanner OpenSCAP foi corrigido para mudar corretamente o diretório de trabalho atual em modo offline, e a função fchdir foi corrigida para usar os argumentos corretos no rpmverifyfile. Como resultado, o conteúdo SCAP que contém o OVAL rpmverifyfile pode ser usado pelo OpenSCAP para escanear sistemas de arquivos arbitrários.

httpd agora começa corretamente se usar uma chave privada ECDSA sem correspondência de chave pública armazenada em um dispositivo PKCS #11

Ao contrário das chaves da RSA, as chaves privadas da ECDSA não contêm necessariamente informações de chave pública. Neste caso, você não pode obter a chave pública de uma chave privada ECDSA. Por esta razão, um dispositivo PKCS #11 armazena informações de chave pública em um objeto separado, seja ele um objeto de chave pública ou um objeto de certificado. OpenSSL esperava que a estrutura EVP_PKEY fornecida por um motor para uma chave privada contivesse a informação da chave pública. Ao preencher a estrutura EVP_PKEY a ser fornecida à OpenSSL, o mecanismo no pacote openssl-pkcs11 tentou buscar as informações da chave pública somente de objetos de chave pública correspondentes e ignorou os objetos certificados atuais.

as remediações das regras de Auditoria agora funcionamcorretamente

Anteriormente, o pacote de guia de segurança do scap continha uma combinação de remediação e uma verificação que poderia resultar em um dos seguintes cenários:

OpenSCAP agora fornece varredura offline de máquinas e recipientes virtuais

Anteriormente, a refatoração do codebase OpenSCAP fez com que certas sondas RPM falhassem na varredura de sistemas de arquivos VM e containers em modo off-line. Consequentemente, as seguintes ferramentas não podiam ser incluídas no pacote openscap-utils: oscap-vm e oscap-chroot. Além disso, o pacote openscap-containers foi completamente removido do RHEL 8. Com esta atualização, os problemas nas sondas foram resolvidos.

OpenSCAP rpmverifypackage agora funciona corretamente

Anteriormente, as chamadas ao sistema chdir e chroot eram chamadas duas vezes pela sonda rpmverifypackage. Consequentemente, ocorreu um erro quando a sonda foi utilizada durante uma varredura OpenSCAP com conteúdo personalizado de Open Vulnerability and Assessment Language (OVAL). A sonda rpmverifypackage foi fixada para utilizar corretamente as chamadas de sistema chdir e chroot. Como resultado, o rpmverifypackage agora funciona corretamente.

O bloqueio na função qdisc_run agora não causa falha do núcleo

Anteriormente, uma condição de corrida quando a disciplina da fila pfifo_fast é reiniciada, enquanto o tráfego de decoleção levava à transmissão de pacotes após serem liberados. Como conseqüência, às vezes o kernel era terminado de forma inesperada. Com esta atualização, o bloqueio na função qdisc_run foi melhorado. Como resultado, o kernel não trava mais no cenário descrito.

As APIs DBus em org.fedoraproject.FirewallD1.config.service funcionam como esperado

Anteriormente, o DBus API getIncludes, setIncludes e queryInclui funções em org.fedoraproject.FirewallD1 retornou uma mensagem de erro: org.fedoraproject.FirewallD1.Exceção: índice de lista fora do intervalo devido a má indexação. Com esta atualização, o DBus API getIncludes, setIncludes, e queryInclui funções que funcionam como esperado.

A RHEL não registra mais um aviso de kernel ao descarregar o módulo ipvs

Anteriormente, o módulo servidor virtual IP(ipvs) usava uma contagem de referência incorreta, o que causava uma condição de corrida ao descarregar o módulo. Consequentemente, a RHEL registrou um aviso de kernel. Esta atualização corrige a condição de raça. Como resultado, o kernel não registra mais o aviso quando você descarrega o módulo ipvs.

A utilidade nft não interpreta mais os argumentos como opções de linha de comando após o primeiro argumento de não-opção

Anteriormente, a utilidade nft aceitava opções em qualquer lugar em um comando nft. Por exemplo, os administradores podiam usar opções entre ou após argumentos de não-opção. Como conseqüência, devido ao traço principal, nft interpretou valores de prioridade negativa como opções, e o comando falhou. O analisador da linha de comando do utilitário nft foi atualizado para não interpretar argumentos que começam com um traço após a leitura do primeiro argumento de não-opção. Como resultado, os administradores não precisam mais de soluções para passar valores de prioridade negativa para nft.

Os arquivos /etc/hosts.allow e /etc/hosts.deny não contêm mais referências desatualizadas para remover tcp_wrappers

Anteriormente, os arquivos /etc/hosts.allow e /etc/hosts.deny continham informações desatualizadas sobre o pacote tcp_wrappers. Os arquivos são removidos no RHEL 8, pois não são mais necessários para o tcp_wrappers que é removido.

Um parâmetro de configuração foi adicionado ao firewalld para desativar a deriva da zona

Anteriormente, o serviço firewalld continha um comportamento indocumentado conhecido como "zone drifting". O RHEL 8.0 removeu este comportamento porque poderia ter um impacto negativo na segurança. Como conseqüência, nos hospedeiros que usavam este comportamento para configurar uma zona de "catch-all" ou "fallback", o serviço firewalld negava conexões que anteriormente eram permitidas. Esta atualização readiciona o comportamento de deriva da zona, mas como uma característica configurável. Como resultado, os usuários podem agora decidir usar o drifting de zona ou desativar o comportamento para uma configuração de firewall mais segura.

O hotplug de memória da subseção é agora totalmente suportado

Anteriormente, algumas plataformas alinhavam regiões de memória física, tais como Módulos em linha duplos (DIMMs) e conjuntos de intercalação para limites de memória de 64MiB. Entretanto, como o subsistema hotplug Linux usa um tamanho de memória de 128MiB, novos dispositivos hot-plugging causaram sobreposição de múltiplas regiões de memória em uma única janela de memória hotplug. Consequentemente, isto causou falha na listagem dos espaços de nomes de memória persistentes disponíveis com o seguinte ou um traço de chamada similar:

A corrupção de dados agora aciona um BUG em vez de uma mensagem WARN

Com este aprimoramento, a lista corrompe na lib/list_debug.c agora aciona um BUG, que gera um relatório com um vmcore. Anteriormente, ao encontrar uma corrupção de dados, era gerada uma simples WARN, que provavelmente passaria desapercebida. Com o conjunto CONFIG_BUG_ON_DATA_CORRUPTION, o kernel agora cria uma falha e aciona um BUG em resposta à corrupção de dados. Isto evita mais danos e reduz o risco de segurança. O kdump agora gera um vmcore, o que melhora os relatórios de bugs de corrupção de dados.

Suporte para o cartão Intel Carlsville está disponível, mas não verificado no RHEL 8.2

O suporte ao cartão Intel Carlsville está disponível mas não foi testado no Red Hat Enterprise Linux 8.2.

RPS e XPS não colocam mais empregos em CPUs isoladas

Anteriormente, o mecanismo de fila de recepção de pacotes de direção (RPS) e o mecanismo de fila de transmissão de pacotes de direção (XPS) transmitem trabalhos alocados em todos os conjuntos de CPU, incluindo CPUs isoladas. Consequentemente, isto poderia causar um pico de latência inesperado em um ambiente em tempo real quando uma carga de trabalho sensível à latência estava usando a mesma CPU onde os trabalhos RPS ou XPS estavam sendo executados. Com esta atualização, a função store_rps_map() não inclui nenhuma CPUs isolada para fins de configuração RPS. Da mesma forma, os drivers do kernel usados para a configuração do XPS estão respeitando o isolamento da CPU. Como resultado, o RPS e o XPS não mais colocam trabalhos em CPUs isoladas no cenário descrito. Se você configurar uma CPU isolada no arquivo /sys/devices/pci*/net/dev/queues/rx-*/rps_cpus, o seguinte erro aparece:

Os drivers SCSI não usam mais uma quantidade excessiva de memória

Anteriormente, alguns drivers SCSI usavam uma quantidade maior de memória do que na RHEL 7. Em certos casos, como a criação de vPort em um adaptador de barramento host de canal de fibra (HBA), o uso de memória era excessivo, dependendo da configuração do sistema.

VDO pode agora suspender antes que a UDS tenha terminado a reconstrução

Anteriormente, o comando de suspensão dmsetup tornou-se insensível se você tentasse suspender um volume VDO enquanto o índice UDS estava sendo reconstruído. O comando só terminou após a reconstrução.

Os problemas no mod_cgid logging foram resolvidos

Antes desta atualização, se o módulo mod_cgid Apache httpd era usado sob um módulo de multiprocessamento (MPM) rosqueado, ocorreram os seguintes problemas de registro:

Objetos compartilhados não deslocados e não inicializados não mais resultam em falhas se o dlopen falhar

Anteriormente, se a chamada dlopen falhou, o linker dinâmico glibc não removia objetos compartilhados com a marca NODELETE antes de relatar o erro. Conseqüentemente, os objetos compartilhados não localizados e não inicializados permaneceram na imagem do processo, resultando eventualmente em falhas de afirmação ou travamentos. Com esta atualização, o carregador dinâmico usa um estado NODELETE pendente para remover objetos compartilhados em caso de falha de dlopen, antes de marcá-los como NODELETE permanentemente. Como resultado, o processo não deixa nenhum objeto não deslocado para trás. Além disso, falhas de amarração preguiçosas enquanto os construtores e destruidores ELF executam agora terminam o processo.

As funções avançadas SIMD na arquitetura ARM de 64 bits não mais se confundem quando resolvidas preguiçosamente

Anteriormente, o novo Padrão de Chamada de Procedimento Vetorial (PCS) para SIMD Avançado não salvavava e restaurava corretamente certos registros salvos de calle quando resolvia preguiçosamente as funções do SIMD Avançado. Como conseqüência, os binários poderiam se comportar mal em tempo de execução. Com esta atualização, as funções vetoriais do SIMD Avançado e SVE na tabela de símbolos são marcadas com .variant_pcs e, como resultado, o linker dinâmico ligará tais funções mais cedo.

O roteiro do sudo wrapper agora analisa as opções

Anteriormente, o script /opt/redhat/devtoolset*/root/usr/bin/sudo wrapper não analisava corretamente as opções do sudo. Como conseqüência, algumas opções de sudo (por exemplo, sudo -i) não podiam ser executadas. Com esta atualização, mais opções sudo são corretamente analisadas e, como resultado, o script sudo wrapper funciona mais como /usr/bin/sudo.

O alinhamento das variáveis TLS na glibc foi fixado

Anteriormente, os dados do armazenamento local de fios alinhados (TLS) podiam, sob certas condições, se tornar instanciados sem o alinhamento esperado. Com esta atualização, o POSIX Thread Library libpthread foi melhorado para assegurar o alinhamento correto sob quaisquer condições. Como resultado, os dados TLS alinhados são agora instanciados corretamente para todas as roscas com o alinhamento correto.

As chamadas pututxline repetidas após erro EINTR ou EAGAIN não corrompem mais o arquivo utmp

Quando a função pututxline tenta adquirir uma trava e não consegue a tempo, a função retorna com código de erro EINTR ou EAGAIN. Anteriormente nesta situação, se a pututxline fosse chamada novamente imediatamente e conseguisse obter a trava, ela não usava um slot correspondente já alocado no arquivo utmp, mas acrescentava outra entrada em seu lugar. Como conseqüência, estas entradas não utilizadas aumentaram substancialmente o tamanho do arquivo de utmp. Esta atualização corrige o problema, e as entradas são agora adicionadas corretamente ao arquivo utmp.

mtrace não fica mais pendurado quando ocorrem falhas internas

Anteriormente, um defeito na implementação da ferramenta mtrace podia fazer com que o traçado da memória ficasse pendurado. Para resolver este problema, a implementação da ferramenta mtrace memory tracing foi tornada mais robusta para evitar o pendurar mesmo em face de falhas internas. Como resultado, os usuários podem agora chamar o mtrace e ele não fica mais pendurado, completando em tempo delimitado.

A função garfo evita certos bloqueios relacionados ao uso de pthread_atfork

Anteriormente, se um programa registrava um manipulador de trabalho e invocava o garfo de um manipulador de sinais assíncronos, um defeito na fechadura interna dependente da implementação poderia causar o congelamento do programa. Com esta atualização, a implementação do garfo e de seus manipuladores de atfork é ajustada para evitar o bloqueio em programas de rosca única.

strstr não retorna mais correspondências incorretas para um padrão truncado

Em certas plataformas IBM Z (z15, anteriormente conhecidas como arch13), a função strstr não atualizou corretamente um registro de CPU ao lidar com padrões de busca que cruzam os limites de uma página. Como conseqüência, strstr retornou correspondências incorretas. Esta atualização corrige o problema e, como resultado, strstr funciona como esperado no cenário mencionado.

C.UTF-8 locale fonte ellipsis expressões em glibc são fixas

Anteriormente, um defeito no local de origem C.UTF-8 resultava em todos os pontos de código Unicode acima de U 10000 sem pesos de colação. Como conseqüência, todos os pontos de código acima de U.10000 não foram agrupados como esperado. O locale fonte C.UTF-8 foi corrigido, e o locale binário recentemente compilado agora tem pesos de agrupamento para todos os pontos de código Unicode. O locale C.UTF-8 compilado é 5,3MiB maior, como resultado desta correção.

glibc não falha mais quando a getpwent() é chamada sem chamar setpwent()

Se seu arquivo /etc/nsswitch.conf apontar para o fornecedor da senha Berkeley DB(db), você poderia solicitar dados usando a função getpwent() sem primeiro chamar setpwent( ) apenas uma vez. Quando você chamou a função endpwent( ), outras chamadas para getpwent() sem a primeira chamada setpwent( ) causaram a falha da glibc porque endpwent() não pôde redefinir os internos para permitir uma nova consulta. Esta atualização corrige o problema. Como resultado, após terminar uma consulta com endpwent(), novas chamadas para getpwent() iniciarão uma nova consulta mesmo que você não chame setpwent().

ltrace pode agora rastrear chamadas de sistema em binários endurecidos

Anteriormente, a ltrace não produzia nenhum resultado em certos binários endurecidos, tais como binários de sistema, nas arquiteturas AMD e Intel 64-bit. Com esta atualização, ltrace pode agora rastrear chamadas de sistema em binários endurecidos.

A falha da Intel no JCC não causa mais perda significativa de desempenho no compilador GCC

Certas CPUs da Intel são afetadas pelo bug do Jump Conditional Code (JCC), fazendo com que as instruções da máquina sejam executadas incorretamente. Conseqüentemente, as CPUs afetadas podem não executar os programas corretamente. A correção completa envolve a atualização do microcódigo das CPUs vulneráveis, o que pode causar uma degradação do desempenho. Esta atualização permite uma solução no assembler que ajuda a reduzir a perda de desempenho. A alternativa é not ativado por padrão.

não retarda mais quando utiliza construçõesparalelas

Anteriormente, enquanto funcionavam em construções paralelas, os subprocessos podiam tornar-se temporariamente insensíveis quando esperavam sua vez de funcionar. Como conseqüência, as construções com altos valores -j abrandaram ou funcionaram com valores -j mais baixos efetivos. Com esta atualização, a lógica de controle de trabalho da marca é agora sem bloqueio. Como resultado, as construções com valores altos de -j rodam na velocidade -j total.

A ferramenta ltrace agora informa corretamente as chamadas de função

Devido a melhorias no endurecimento binário aplicadas a todos os componentes RHEL, a ferramenta ltrace anteriormente não conseguia detectar chamadas de função em arquivos binários provenientes de componentes RHEL. Como conseqüência, a saída do ltrace estava vazia porque não relatou nenhuma chamada detectada quando usada em tais arquivos binários. Esta atualização corrige a forma como o ltrace ltrace lida com as chamadas de função, o que evita a ocorrência do problema descrito.

A utilidade dsctl não deixa mais de gerenciar instâncias com um hífen em seu nome

Anteriormente, o utilitário dsctl não analisava corretamente os hífens nos nomes das instâncias do Servidor de Diretório. Como conseqüência, os administradores não podiam usar o dsctl para gerenciar instâncias com um hífen em seu nome. Esta atualização corrige o problema e o dsctl agora funciona como esperado no cenário mencionado.

Nomes de instâncias de servidores de diretório podem agora ter até 103 caracteres

Quando um cliente LDAP estabelece uma conexão com o Directory Server, o servidor armazena informações relacionadas com o endereço do cliente em um buffer local. Anteriormente, o tamanho deste buffer era muito pequeno para armazenar um nome de caminho LDAPI com mais de 46 caracteres. Por exemplo, este é o caso se o nome da instância do Servidor de Diretório for muito longo. Como conseqüência, o servidor terminou inesperadamente devido a um estouro de buffer. Esta atualização aumenta o tamanho do buffer para o tamanho máximo que a biblioteca Netscape Portable Runtime (NSPR) suporta para o nome do caminho. Como resultado, o Servidor de Diretório não trava mais no cenário mencionado.

A utilidade do pkidestroy agora escolhe a instância correta

Anteriormente, o comando pkidestroy --force executado em uma instância semi-eliminada escolheu a instância pki-tomcat por padrão, independentemente do nome da instância especificada com a opção -i instance.

A descrição do serviço ldap_user_authorized_service foi atualizada na página de manual sssd-ldap

A pilha de módulos de autenticação Pluggable (PAM) foi alterada no RHEL 8. Por exemplo, a sessão do usuário do sistema agora inicia uma conversa PAM usando o serviço PAM de usuário do sistema. Este serviço agora inclui recursivamente o serviço PAM system-auth, que pode incluir a interface pam_sss.so. Isto significa que o controle de acesso SSSD é sempre chamado.

As informações sobre os registros DNS necessários são agora exibidas quando se permite o suporte à confiança do AD na IdM

Anteriormente, ao permitir o suporte à confiança do Active Directory (AD) na instalação do Red Hat Enterprise Linux Identity Management (IdM) com gerenciamento DNS externo, nenhuma informação sobre os registros DNS necessários era exibida. Ao entrar no ipa dns-update-system-records -- o comando secy-run manualmente era necessário para obter uma lista de todos os registros DNS requeridos pelo IdM.

O GNOME Shell no Wayland não funciona mais lentamente quando se usa um renderizador de software

Anteriormente, o Wayland back end do GNOME Shell não usava um framebuffer cacheable quando usava um renderizador de software. Como conseqüência, a Shell GNOME renderizada por software no Wayland era lenta em comparação com a Shell GNOME renderizada por software no back end do X.org.

Iniciar um VM em um processador Intel Core de 10ª geração não falha mais

Anteriormente, a partida de uma máquina virtual (VM) falhou em um modelo host que usava um processador Intel Core de 10ª geração, também conhecido como Icelake-Server. Com esta atualização, a libvirt não tenta mais desativar o recurso de CPU pconfig, que não é suportado pelo QEMU. Como resultado, iniciar uma VM em um modelo host que usava um processador Intel de 10ª geração não falha mais.

A utilização de nuvens para o fornecimento de máquinas virtuais no Microsoft Azure agora funciona corretamente

Anteriormente, não era possível usar o utilitário de nuvem para fornecer uma máquina virtual RHEL 8 (VM) na plataforma Microsoft Azure. Esta atualização corrige o manuseio com a nuvem de dados dos pontos finais do Azure, e o provisionamento da RHEL 8 VMs no Azure agora prossegue como esperado.

As máquinas virtuais RHEL 8 nos hosts RHEL 7 podem ser visualizadas de forma confiável em resolução superior a 1920x1200

Anteriormente, ao utilizar uma máquina virtual RHEL 8 (VM) rodando em um sistema host RHEL 7, certos métodos de exibição da saída gráfica da VM, tais como rodar a aplicação em modo quiosque, não podiam utilizar uma resolução maior do que 1920x1200. Como conseqüência, exibir VMs usando esses métodos só funcionava em resoluções até 1920x1200, mesmo que o hardware do host suportasse resoluções mais altas. Esta atualização ajusta os drivers DRM e QXL de forma a evitar que o problema descrito ocorra.

A personalização de uma VM ESXi usando a nuvem e o reinício da VM agora funciona corretamente

Anteriormente, se o serviço cloud-init era utilizado para modificar uma máquina virtual (VM) rodando no VMware ESXi hypervisor para utilizar IP estático e a VM era então clonada, a nova VM clonada em alguns casos demorou muito tempo para reiniciar. Esta atualização modifica a nuvem - não para reescrever o IP estático da VM para DHCP, o que impede que o problema descrito ocorra.

Puxar imagens do registro do cais.io não leva mais a imagens não intencionais

Anteriormente, ter o registro de imagem do cais.io contentor listado na lista de busca padrão de registros fornecida em /etc/containers/registries.conf podia permitir que um usuário puxasse uma imagem falsificada ao usar um nome curto. Para corrigir este problema, o registro de imagem de container do cais.io foi removido da lista de busca padrão de registros em /etc/containers/registries.conf. Como resultado, puxar imagens do registro do cais.io agora requer que os usuários especifiquem o nome completo do repositório, como quay.io/myorg/myimage. O registro do cais.io pode ser adicionado de volta à lista de busca padrão de registros em /etc/containers/registries.conf para reativar a extração de imagens de contêineres usando nomes curtos, no entanto, isto não é recomendado, pois poderia criar um risco de segurança.

nmstate disponível como uma Pré-visualização Tecnológica

O Nmstate é um API de rede para hosts. Os pacotes nmstate, disponíveis como uma Technology Preview, fornecem uma biblioteca e o utilitário de linha de comando nmstatectl para gerenciar as configurações de rede do host de forma declarativa. O estado da rede é descrito por um esquema pré-definido. Os relatórios do estado atual e as mudanças para o estado desejado estão ambos de acordo com o esquema.

AF_XDP disponível como uma prévia tecnológica

O soqueteeXpress Data Path(AF_XDP)da família de endereços foi projetado para o processamento de pacotes de alto desempenho. Ele acompanha o XDP e permite o redirecionamento eficiente de pacotes programmaticamente selecionados para aplicações de espaço do usuário para processamento posterior.

XDP disponível como uma prévia de tecnologia

O recurso eXpress Data Path (XDP), disponível como Technology Preview, fornece um meio de anexar programas Berkeley Packet Filter (eBPF) estendidos para processamento de pacotes de alto desempenho em um ponto inicial no caminho de entrada de dados do kernel, permitindo análise, filtragem e manipulação de pacotes programáveis eficientes.

KTLS disponível como uma prévia tecnológica

No Red Hat Enterprise Linux 8, a Kernel Transport Layer Security (KTLS) é fornecida como um Preview de Tecnologia. O KTLS trata os registros TLS usando a criptografia simétrica ou algoritmos de decodificação no kernel para a cifra AES-GCM. O KTLS também fornece a interface para descarregar a criptografia de registros TLS para os Controladores de Interface de Rede (NICs) que suportam esta funcionalidade.

O utilitário dracut agora suporta a criação de imagens initrd com suporte ao NetworkManager como uma pré-visualização tecnológica

Por padrão, o utilitário dracut usa um script shell para gerenciar a rede no disco RAM inicial(initrd). Em certos casos, isto pode causar problemas quando o sistema muda do disco RAM para o sistema operacional que usa o NetworkManager para configurar a rede. Por exemplo, o NetworkManager poderia enviar outra solicitação DHCP, mesmo que o script no disco RAM já solicitasse um endereço IP. Esta solicitação do disco RAM poderia resultar em um intervalo de tempo.

O driver mlx5_core suporta o adaptador de rede Mellanox ConnectX-6 Dx como uma pré-visualização tecnológica

Este aprimoramento acrescenta as IDs PCI do adaptador de rede Mellanox ConnectX-6 Dx ao driver mlx5_core. Nos hosts que utilizam este adaptador, a RHEL carrega o driver mlx5_core automaticamente. Note que a Red Hat fornece este recurso como uma visualização da tecnologia não suportada.

O serviço de solução de sistema está agora disponível como uma Pré-visualização Tecnológica

O serviço resolvido pelo sistema fornece resolução de nomes para aplicações locais. O serviço implementa um resolvedor de stub DNS de cache e validação, uma Resolução de nomes Multicast local (LLMNR) e um resolvedor e respondedor DNS Multicast.

kexec reinicialização rápida como uma prévia de tecnologia

O recurso de reinicialização rápida do kexec continua disponível como uma Pré-visualização Tecnológica. A reinicialização é agora significativamente mais rápida graças à reinicialização rápida do kexec. Para usar este recurso, carregue o kexec manualmente, e então reinicialize o sistema operacional.

eBPF disponível como uma prévia de tecnologia

Extended Berkeley Packet Filter (eBPF) é uma máquina virtual in-kernel que permite a execução do código no espaço do kernel, no ambiente restrito do sandbox com acesso a um conjunto limitado de funções.

libbpf está disponível como uma prévia tecnológica

O pacote da libbpf está atualmente disponível como uma Pré-visualização Tecnológica. O pacote libbpf é crucial para aplicações relacionadas ao bpf como bpftrace e desenvolvimento bpf/xdp.

O motorista do igc disponível como uma Tecnologia de Pré-visualização para RHEL 8

O driver Intel Intel 2.5G Ethernet Linux com fio LAN está agora disponível em todas as arquiteturas para o RHEL 8 como uma prévia tecnológica. O utilitário ethtool também suporta as LANs com fio igc.

O NVMe/TCP está disponível como uma prévia tecnológica

Acesso e compartilhamento do armazenamento de memória não volátil expressa (NVMe) através de redes TCP/IP (NVMe/TCP) e seus correspondentes módulos nvme-tcp.ko e nvmet-tcp.ko kernel foram adicionados como uma Pré-visualização tecnológica.

O sistema de arquivo DAX agora está disponível para ext4 e XFS como uma pré-visualização tecnológica

No Red Hat Enterprise Linux 8.2, o sistema de arquivo DAX do Red Hat está disponível como uma Pré-visualização Tecnológica. O DAX fornece um meio para um aplicativo mapear diretamente a memória persistente em seu espaço de endereços. Para usar DAX, um sistema deve ter alguma forma de memória persistente disponível, geralmente na forma de um ou mais NVDIMMs (Non-Volatile Dual In-line Memory Modules), e um sistema de arquivo que suporte DAX deve ser criado no(s) NVDIMM(s). Além disso, o sistema de arquivo deve ser montado com a opção de montagem por dax. Então, um mmap de um arquivo no sistema de arquivo montado por eixo resulta em um mapeamento direto do armazenamento no espaço de endereços da aplicação.

OverlayFS

O OverlayFS é um tipo de sistema de arquivo sindical. Ele permite a sobreposição de um sistema de arquivos sobreposto a outro. As mudanças são registradas no sistema de arquivo superior, enquanto o sistema de arquivo inferior permanece inalterado. Isto permite que vários usuários compartilhem uma imagem do sistema de arquivo, como um container ou um DVD-ROM, onde a imagem base está em uma mídia somente de leitura. Consulte a documentação do kernel do Linux para obter informações adicionais: https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt.

Stratis está agora disponível como uma Pré-visualização Tecnológica

Stratis é um novo gerente de armazenamento local. Ele fornece sistemas de arquivos gerenciados em cima de pools de armazenamento com características adicionais para o usuário.

IdM agora suporta a criação de um servidor Samba em um membro do domínio IdM como uma prévia tecnológica

Com esta atualização, você pode agora configurar um servidor Samba em um membro do domínio de Gerenciamento de Identidade (IdM). O novo utilitário ipa-cliente-samba fornecido pelo pacote com o mesmo nome adiciona um serviço Kerberos específico do Samba-principal à IdM e prepara o cliente IdM. Por exemplo, o utilitário cria o /etc/samba/smb.conf com a configuração de mapeamento de ID para o back end do mapeamento de IDs sss. Como resultado, os administradores podem agora configurar o Samba em um membro do domínio IdM.

Pacemaker podman bundles disponíveis como Technology Preview

Os pacotes de contêineres do Pacemaker agora rodam na plataforma de contêineres do podman, com o recurso de pacote de contêineres disponível como uma Pré-visualização Tecnológica. Há uma exceção a este recurso que é a Technology Preview: A Red Hat suporta totalmente o uso de pacotes de Pacemaker para o Red Hat Openstack.

Heurística em corosync-qdevice disponível como uma Pré-visualização Tecnológica

Heurísticas são um conjunto de comandos executados localmente na inicialização, mudança de membros do cluster, conexão bem sucedida com corosync-qnetd, e, opcionalmente, periodicamente. Quando todos os comandos terminam com sucesso no prazo (seu código de erro de retorno é zero), a heurística passou; caso contrário, falhou. O resultado heurístico é enviado para corosync-qnetd onde é usado nos cálculos para determinar qual partição deve ser quorada.

Novo agente de vedação-agentes-heurístico-ping agente de vedação

Como uma prévia de tecnologia, a Pacemaker agora suporta o agente de vedação_heurística_ping. Este agente visa abrir uma classe de agentes de vedação experimentais que não fazem cercas de verdade por si mesmos, mas, em vez disso, exploram o comportamento dos níveis de cercas de uma nova maneira.

Gerenciamento da Identidade JSON-RPC API disponível como Technology Preview

Um API está disponível para Gerenciamento de Identidade (IdM). Para visualizar o API, o IdM também fornece um navegador API como Technology Preview (Visualização de Tecnologia).

DNSSEC disponível como Technology Preview na IdM

Os servidores de Gerenciamento de Identidade (IdM) com DNS integrado agora suportam Extensões de Segurança DNS (DNSSEC), um conjunto de extensões para o DNS que aumentam a segurança do protocolo DNS. As zonas DNS hospedadas nos servidores IdM podem ser automaticamente assinadas usando DNSSEC. As chaves criptográficas são geradas e giradas automaticamente.

A verificação da saúde geral de sua infra-estrutura de chave pública está agora disponível como uma Pré-visualização Tecnológica

Com esta atualização, a ferramenta Healthcheck de infra-estrutura de chave pública (PKI) informa a saúde do subsistema PKI à ferramenta Healthcheck de Gerenciamento de Identidade (IdM), que foi introduzida no RHEL 8.1. A execução do IdM Healthcheck invoca o PKI Healthcheck, que coleta e devolve o relatório de saúde do subsistema PKI.

O Desktop GNOME no ARM está disponível como uma Pré-visualização Tecnológica

O ambiente de trabalho GNOME está agora disponível como uma prévia tecnológica sobre a arquitetura ARM de 64 bits. Os usuários que requerem uma sessão gráfica para configurar e gerenciar seus servidores podem agora conectar-se a uma sessão gráfica remota rodando o Desktop GNOME usando VNC.

GNOME para a arquitetura ARM de 64 bits disponível como Technology Preview

O ambiente de trabalho GNOME está agora disponível para a arquitetura ARM de 64 bits como uma prévia tecnológica. Isto permite aos administradores configurar e gerenciar servidores a partir de uma interface gráfica de usuário (GUI) remotamente, usando a sessão VNC.

Console remoto VNC disponível como Technology Preview para a arquitetura ARM de 64 bits

Na arquitetura ARM de 64 bits, o console remoto da Virtual Network Computing (VNC) está disponível como uma pré-visualização tecnológica. Observe que o resto da pilha de gráficos não está atualmente verificada para a arquitetura ARM de 64 bits.

O papel post-fix do Sistema RHEL Papéis disponíveis como Previsão Tecnológica

As Funções do Sistema Red Hat Enterprise Linux fornecem uma interface de configuração para os subsistemas do Red Hat Enterprise Linux, o que facilita a configuração do sistema através da inclusão de Funções Ansíveis. Esta interface permite o gerenciamento das configurações do sistema em múltiplas versões do Red Hat Enterprise Linux, bem como a adoção de novos lançamentos principais.

rhel-system-roles-sap disponível como uma Pré-visualização Tecnológica

O pacote rhel-system-roles-sap fornece as funções do sistema Red Hat Enterprise Linux (RHEL) para SAP, que pode ser usado para automatizar a configuração de um sistema RHEL para executar cargas de trabalho SAP. Estas funções reduzem muito o tempo de configuração de um sistema para executar cargas de trabalho SAP, aplicando automaticamente as configurações ideais que são baseadas nas melhores práticas descritas nas Notas SAP relevantes. O acesso é limitado às ofertas da RHEL para soluções SAP. Favor entrar em contato com o Suporte ao Cliente da Red Hat se você precisar de assistência com sua assinatura.

Selecione adaptadores de rede Intel agora suportam SR-IOV em convidados da RHEL no Hyper-V

Como uma prévia tecnológica, os sistemas operacionais convidados do Red Hat Enterprise Linux rodando em um Hyper-V hypervisor podem agora usar o recurso de virtualização de E/S de raiz única (SR-IOV) para adaptadores de rede Intel suportados pelos drivers ixgbevf e i40evf. Este recurso é ativado quando as seguintes condições são atendidas:

A virtualização da KVM é utilizável nas máquinas virtuais RHEL 8 Hyper-V

Como uma prévia de tecnologia, a virtualização KVM aninhada pode agora ser usada no hipervisor Microsoft Hyper-V. Como resultado, você pode criar máquinas virtuais em um sistema RHEL 8 para convidados rodando em um host Hyper-V.

AMD SEV para máquinas virtuais KVM

Como uma prévia de tecnologia, a RHEL 8 introduz o recurso Secure Encrypted Virtualization (SEV) para máquinas host AMD EPYC que utilizam o hipervisor KVM. Se ativada em uma máquina virtual (VM), a SEV criptografa a memória da VM para que o host não possa acessar os dados na VM. Isto aumenta a segurança da VM se o host for infectado com sucesso por malware.

Intel vGPU

Como uma prévia de tecnologia, agora é possível dividir um dispositivo físico Intel GPU em múltiplos dispositivos virtuais chamados de dispositivos mediados. Estes dispositivos mediados podem então ser atribuídos a múltiplas máquinas virtuais (VMs) como GPUs virtuais. Como resultado, estas VMs compartilham a performance de uma única GPU física da Intel.

a imagem do contêinerskopeo está disponível como uma Pré-visualização Tecnológica

A imagem do contêiner registry.redhat.io/rhel8/skopeo é uma implementação contentorizada do pacote skopeo. O skopeo é uma ferramenta de linha de comando que realiza várias operações em imagens de contêineres e repositórios de imagens. Esta imagem de contêiner permite inspecionar e copiar imagens de contêineres de um registro de contêineres não autenticado para outro.

a imagem do containerbuildah está disponível como uma Technology Preview

A imagem do container register.redhat.io/rhel8/buildah é uma implementação em container do pacote buildah. O buildah é uma ferramenta que facilita a construção de imagens de contêineres OCI. Esta imagem de container permite que você construa imagens de container sem a necessidade de instalar o pacote buildah em seu sistema. O caso de uso não cobre a execução desta imagem no modo rootless como um usuário não-root.

Vários comandos e opções de Kickstart foram depreciados

Usando os seguintes comandos e opções nos arquivos Kickstart RHEL 8, será impresso um aviso nos logs.

A opção --interativa do comando Kickstart ignorado foi depreciada

O uso da opção --interativa em futuros lançamentos do Red Hat Enterprise Linux resultará em um erro fatal de instalação. É recomendado modificar seu arquivo Kickstart para remover a opção.

rpmbuild --sign é depreciado

Com esta atualização, o comando rpmbuild --sign tornou-se depreciado. O uso deste comando em futuros lançamentos do Red Hat Enterprise Linux pode resultar em um erro. É recomendado que você use o comando rpmsign em seu lugar.

As cifras doNSS SEED são depreciadas

A biblioteca do Mozilla Network Security Services(NSS) não suportará os conjuntos de cifras TLS que usam uma cifra SEED em um lançamento futuro. Para implantações que dependem de cifras SEED, a Red Hat recomenda habilitar o suporte para outras suítes de cifras. Desta forma, você garante transições suaves quando o NSS removerá o suporte a elas.

TLS 1.0 e TLS 1.1 são depreciados

Os protocolos TLS 1.0 e TLS 1.1 estão desabilitados no nível da política criptográfica do sistema DEFAULT. Se seu cenário, por exemplo, uma aplicação de videoconferência no navegador Firefox, exigir o uso dos protocolos depreciados, mude a política criptográfica de todo o sistema para o nível LEGACY:

A DSA é depreciada no RHEL 8

O Algoritmo de Assinatura Digital (DSA) é considerado depreciado no Red Hat Enterprise Linux 8. Os mecanismos de autenticação que dependem das chaves DSA não funcionam na configuração default. Note que os clientes OpenSSH não aceitam chaves de host DSA mesmo no nível da política criptográfica do sistema LEGACY.

SSL2 Cliente Olá foi depreciado no NSS

A versão 1.2 e anterior do protocolo Transport Layer Security(TLS) permite iniciar uma negociação com um Cliente Mensagem de Alô formatada de forma retrocompatível com o protocolo Secure Sockets Layer(SSL) versão 2. O suporte a este recurso na biblioteca de Serviços de Segurança de Rede(NSS) foi depreciado e está desativado por padrão.

TPM 1.2 é depreciado

A versão padrão do processador criptográfico seguro Trusted Platform Module (TPM) foi atualizada para a versão 2.0 em 2016. O TPM 2.0 oferece muitas melhorias em relação ao TPM 1.2, e não é retrocompatível com a versão anterior. O TPM 1.2 é depreciado no RHEL 8, e pode ser removido no próximo grande lançamento.

Os roteiros de rede são depreciados no RHEL 8

Os scripts de rede são depreciados no Red Hat Enterprise Linux 8 e não são mais fornecidos por default. A instalação básica fornece uma nova versão dos scripts ifup e ifdown que chamam o serviço NetworkManager através da ferramenta nmcli. No Red Hat Enterprise Linux 8, para rodar os scripts ifup e ifdown, o NetworkManager deve estar rodando.

A instalação do RHEL para Real Time 8 usando a bota sem disco é agora depreciada

A inicialização sem disco permite que vários sistemas compartilhem um sistema de arquivos raiz através da rede. Embora conveniente, o diskless boot é propenso a introduzir a latência da rede em cargas de trabalho em tempo real. Com uma atualização menor futura do RHEL para Real Time 8, o recurso de inicialização diskless não será mais suportado.

O motorista qla3xxx é depreciado

O driver qla3xxx foi depreciado no RHEL 8. O driver provavelmente não será suportado em futuros lançamentos importantes deste produto e, portanto, não é recomendado para novas implantações.

Os motoristas dl2k, dnet, ethoc, e dlci são depreciados

Os motoristas dl2k, dnet, ethoc e dlci foram depreciados no RHEL 8. Os motoristas provavelmente não serão apoiados em grandes lançamentos futuros deste produto e, portanto, não são recomendados para novas implantações.

O parâmetro da linha de comando do kernel do elevador é depreciado

O parâmetro de linha de comando do kernel do elevador foi usado em versões anteriores do RHEL para definir o programador de discos para todos os dispositivos. No RHEL 8, o parâmetro é depreciado.

O espelho LVM é depreciado

O tipo de segmento espelho LVM está agora depreciado. O suporte ao espelho será removido em um futuro grande lançamento da RHEL.

O NFSv3 sobre UDP foi desativado

O servidor NFS não abre mais ou escuta em um soquete do User Datagram Protocol (UDP) por padrão. Esta mudança afeta apenas a versão 3 do NFS porque a versão 4 requer o Protocolo de Controle de Transmissão (TCP).

A biblioteca de pirâmides de librogênios foi desativada

A biblioteca libgnome-keyring foi depreciada em favor da biblioteca libsecret, pois a libgnome-keyring não é mantida a montante, e não segue as políticas criptográficas necessárias para a RHEL. A nova biblioteca libsecret é a substituição que segue os padrões de segurança necessários.

As placas gráficas AGP não são mais suportadas

Placas gráficas usando o barramento Accelerated Graphics Port (AGP) não são suportadas no Red Hat Enterprise Linux 8. Use as placas gráficas com o barramento PCI-Express como a substituição recomendada.

O console web não suporta mais traduções incompletas

O console web RHEL não fornece mais traduções para os idiomas que têm traduções disponíveis para menos de 50% das cordas traduzíveis do Console. Se o navegador solicitar a tradução para tal idioma, a interface do usuário será em inglês.

virt-manager foi depreciado

O aplicativo Virtual Machine Manager, também conhecido como virt-manager, foi desativado. O console web RHEL 8, também conhecido como Cockpit, tem a intenção de se tornar seu substituto em um lançamento posterior. É, portanto, recomendado que você utilize o console web para gerenciar a virtualização em uma GUI. Observe, entretanto, que alguns recursos disponíveis em virt-manager podem ainda não estar disponíveis no console web RHEL 8.

Snapshots de máquinas virtuais não são devidamente suportados no RHEL 8

O atual mecanismo de criação de instantâneos de máquinas virtuais (VM) foi depreciado, pois não está funcionando de forma confiável. Como conseqüência, recomenda-se não utilizar instantâneos de VM no RHEL 8.

O tipo de GPU virtual Cirrus VGA foi depreciado

Com uma futura grande atualização do Red Hat Enterprise Linux, o dispositivo GPU Cirrus VGA não será mais suportado nas máquinas virtuais KVM. Portanto, a Red Hat recomenda o uso dos dispositivos stdvga, virtio-vga, ou qxl ao invés do Cirrus VGA.

O modelo de CPU cpu64-rhel6 foi depreciado e removido

O modelo de CPU virtual cpu64-rhel6 QEMU foi depreciado na RHEL 8.1, e foi removido da RHEL 8.2. Recomenda-se o uso dos outros modelos de CPU fornecidos pela QEMU e libvirt, de acordo com a CPU presente na máquina hospedeira.

Os comandos auth e authconfig Kickstart requerem o repositório AppStream

O pacote authselect-compat é exigido pelos comandos auth e authconfig Kickstart durante a instalação. Sem este pacote, a instalação falha se o auth ou authconfig forem usados. Entretanto, por projeto, o pacote authselect-compat está disponível apenas no repositório AppStream.

Os comandos reboot --kexec e inst.kexec não fornecem um estado previsível do sistema

Realizar uma instalação RHEL com o comando de reinicialização --kexec Kickstart ou os parâmetros de inicialização do kernel inst.kexec não fornecem o mesmo estado previsível do sistema que uma reinicialização completa. Como conseqüência, mudar para o sistema instalado sem reinicialização pode produzir resultados imprevisíveis.

A instalação do Anaconda inclui baixos limites de recursos mínimos para a definição dos requisitos

O Anaconda inicia a instalação em sistemas com o mínimo de recursos necessários disponíveis e não fornece aviso prévio de mensagens sobre os recursos necessários para realizar a instalação com sucesso. Como resultado, a instalação pode falhar e os erros de saída não fornecem mensagens claras para uma possível depuração e recuperação. Para contornar este problema, certifique-se de que o sistema tenha as configurações mínimas de recursos necessários para a instalação: 2GB de memória em PPC64(LE) e 1GB em x86_64. Como resultado, deve ser possível realizar uma instalação bem sucedida.

A instalação falha ao usar o comando reboot --kexec

A instalação do RHEL 8 falha ao utilizar um arquivo Kickstart que contém o comando reboot --kexec. Para evitar o problema, use o comando reboot ao invés de reiniciar --kexec em seu arquivo Kickstart.

A configuração inicial do RHEL 8 não pode ser feita via SSH

Atualmente, a interface de configuração inicial do RHEL 8 não é exibida quando conectado ao sistema usando SSH. Como conseqüência, é impossível realizar a configuração inicial em uma máquina RHEL 8 gerenciada via SSH. Para contornar este problema, realize a configuração inicial no console principal do sistema (ttyS0) e, posteriormente, efetue o log in usando SSH.

O acesso à rede não é habilitado por padrão no programa de instalação

Vários recursos de instalação exigem acesso à rede, por exemplo, registro de um sistema usando a Rede de Entrega de Conteúdo (CDN), suporte ao servidor NTP e fontes de instalação de rede. Entretanto, o acesso à rede não é habilitado por padrão e, como resultado, estes recursos não podem ser usados até que o acesso à rede seja habilitado.

O registro falha para contas de usuários que pertencem a múltiplas organizações

Atualmente, quando você tenta registrar um sistema com uma conta de usuário que pertence a várias organizações, o processo de registro falha com a mensagem de erro You must specify an organization for new units.

Uma instalação GUI utilizando a imagem ISO do DVD Binário às vezes não pode prosseguir sem o registro CDN

Ao executar uma instalação GUI usando o arquivo de imagem ISO do DVD Binário, uma condição de corrida no instalador pode, às vezes, impedir que a instalação prossiga até que você registre o sistema usando o recurso Conectar à Red Hat. Para contornar este problema, complete os seguintes passos:

Copiar o conteúdo do arquivo Binário DVD.iso para uma partição omite os arquivos .treeinfo e .discinfo

Durante a instalação local, ao copiar o conteúdo do DVD.iso binário RHEL 8 para uma partição, o * no comando cp <path>/\* <mounted partition>/dir não copia os arquivos .treeinfo e .discinfo. Estes arquivos são necessários para uma instalação bem sucedida. Como resultado, os repositórios BaseOS e AppStream não são carregados, e uma mensagem de log relacionada a depuração no arquivo anaconda.log é o único registro do problema.

O servidor HTTPS autoassinado não pode ser usado na instalação Kickstart

Atualmente, o instalador falha na instalação a partir de um servidor https autoassinado quando a fonte de instalação é especificada no arquivo kickstart e a opção --noverifyssl é utilizada:

A instalação da GUI pode falhar se for feita uma tentativa de cancelar o registro usando o CDN antes que a atualização do repositório seja concluída

No RHEL 8.2, ao registrar seu sistema e anexar assinaturas usando a Rede de Entrega de Conteúdo (CDN), uma atualização dos metadados do repositório é iniciada pelo programa de instalação da GUI. O processo de atualização não faz parte do processo de registro e assinatura, e como conseqüência, o botão Unregister é habilitado na janela Connect to Red Hat. Dependendo da conexão de rede, o processo de atualização pode levar mais de um minuto para ser concluído. Se você clicar no botão Unregister antes de concluir o processo de atualização, a instalação da GUI pode falhar, pois o processo de não registro remove os arquivos do repositório CDN e os certificados exigidos pelo programa de instalação para se comunicar com o CDN.

os addons syspurpose addons não têm efeito sobre o gerenciador de assinaturas anexar --auto saída.

No Red Hat Enterprise Linux 8, quatro atributos da ferramenta de linha de comando syspurpose foram adicionados: role,use, service_level_agreement e addons. Atualmente, apenas role, usage e service_level_agreement afetam a saída da execução do gerenciador de assinatura anexado --auto comando. Os usuários que tentarem definir valores para o argumento dos addons não observarão qualquer efeito nas assinaturas que são auto-atribuídas.

Os dados dos dispositivos de armazenamento multi-path são perdidos ao instalar o RHEL usando um arquivo Kickstart

Os dados dos dispositivos de armazenamento multi-path que estão conectados a um host são perdidos ao instalar o RHEL usando um arquivo Kickstart. Este problema ocorre porque o instalador não ignora os dispositivos de armazenamento multi-path que você especifica usando o comando ignoredisk --drives. Como resultado, os dados sobre os dispositivos são perdidos.

As aplicações que utilizam o protocolo Wayland não podem ser encaminhadas para servidores de exibição remota

No Red Hat Enterprise Linux 8, a maioria das aplicações usa o protocolo Wayland por default ao invés do protocolo X11. Como conseqüência, o servidor ssh não pode encaminhar as aplicações que usam o protocolo Wayland, mas é capaz de encaminhar as aplicações que usam o protocolo X11 para um servidor de exibição remota.

systemd-resolved.service não inicia na inicialização

O serviço resolvido pelo sistema ocasionalmente não inicia na inicialização. Se isto acontecer, reinicie o serviço manualmente após o boot terminar, usando o seguinte comando:

Relógios executáveis de auditoria em links simbólicos não funcionam

O monitoramento de arquivos fornecido pela opção -w não pode rastrear diretamente um caminho. Ele tem que resolver o caminho para um dispositivo e um inode para fazer uma comparação com o programa executado. Um relógio monitorando um symlink executável monitora o dispositivo e um inode do próprio symlink ao invés do programa executado em memória, que é encontrado a partir da resolução do symlink. Mesmo que o relógio resolva o link simbólico para obter o programa executável resultante, a regra aciona em qualquer binário de chamadas múltiplas chamado de um link simbólico diferente. Isto resulta em registros de inundação com falsos positivos. Conseqüentemente, os relógios executáveis de auditoria em links simbólicos não funcionam.

SELINUX=desabilitado em /etc/selinux/config não funciona corretamente

Desabilitar o SELinux utilizando a opção SELINUX=disabled no /etc/selinux/config resulta em um processo no qual o kernel inicia com o SELinux habilitado e muda para o modo desabilitado mais tarde no processo de inicialização. Isto pode causar vazamentos de memória e condições de corrida e, conseqüentemente, também pânico no kernel.

libselinux-python só está disponível através de seu módulo

O pacote libselinux-python contém apenas ligas Python 2 para o desenvolvimento de aplicações SELinux e é usado para compatibilidade retroativa. Por esta razão, libselinux-python não está mais disponível nos repositórios padrão RHEL 8 através do comando dnf install libselinux-python.

udica processa recipientes UBI 8 somente quando iniciada com --env container=podman

Os recipientes Red Hat Universal Base Image 8 (UBI 8) definem a variável de ambiente do recipiente para o valor oci ao invés do valor podman. Isto impede que a ferramenta udica analise um arquivo JavaScript Object Notation (JSON) de um recipiente.

A remoção da embalagem rpm-plugin-selinux leva à remoção de todas as embalagens de selinux-policy do sistema

A remoção do pacote rpm-plugin-selinux desabilita a SELinux na máquina. Também remove todas as embalagens de selinux-policy do sistema. Instalação repetida do pacote rpm-plugin-selinux, então instala a política SELinux-policy-minimum SELinux, mesmo que a política selinux-policy-target estivesse previamente presente no sistema. Entretanto, a instalação repetida não atualiza o arquivo de configuração do SELinux para contabilizar a mudança na política. Como conseqüência, o SELinux é desativado mesmo após a reinstalação do pacote rpm-plugin-selinux.

SELinux impede que o systemd-journal-gatewayd chame newfstat() em arquivos de memória compartilhada criados pela corosync

A política SELinux não contém uma regra que permita que o daemon do sistema-journal-gatewayd tenha acesso aos arquivos criados pelo serviço corosync. Como consequência, o SELinux nega a função systemd-journal-gatewayd para chamar a função newfstat() nos arquivos de memória compartilhada criados pela corosync.

SELinux impede que a auditoria interrompa ou desligue o sistema

A política SELinux não contém uma regra que permita que o daemon de Auditoria inicie uma unidade do sistema power_unit_file_t. Conseqüentemente, a Auditd não pode parar ou desligar o sistema mesmo quando configurada para fazê-lo em casos como o de não sobrar espaço em uma partição de disco de registro.

os usuários podem executar comandos sudo como usuários bloqueados

Em sistemas onde as permissões dos sudoers são definidas com a palavra-chave ALL, os usuários sudo com permissões podem executar comandos sudo como usuários cujas contas estão bloqueadas. Consequentemente, as contas bloqueadas e expiradas ainda podem ser usadas para executar comandos.

Efeitos negativos da configuração padrão de registro sobre o desempenho

A configuração padrão do ambiente de registro pode consumir 4 GB de memória ou até mais e os ajustes dos valores limite de taxa são complexos quando o sistema-journald está rodando com o rsyslog.

Parâmetro errosnão conhecidos na saída do rsyslog com config.enabled

Na saída do rsyslog, ocorre um erro inesperado no processamento da configuração usando a diretiva config.enabled. Como conseqüência, os erros não conhecidos são exibidos durante o uso da diretiva config.enabled, exceto para as instruções include().

Certas cordas prioritárias rsyslog não funcionam corretamente

O suporte para a cadeia de prioridade GnuTLS para imtcp que permite um controle fino sobre a criptografia não está completo. Conseqüentemente, as seguintes cadeias de prioridade não funcionam corretamente no rsyslog:

As conexões a servidores com assinaturas SHA-1 não funcionam com GnuTLS

As assinaturas SHA-1 nos certificados são rejeitadas pela biblioteca de comunicações seguras GnuTLS como inseguras. Consequentemente, as aplicações que usam GnuTLS como backend TLS não podem estabelecer uma conexão TLS com os colegas que oferecem tais certificados. Este comportamento é inconsistente com outras bibliotecas criptográficas do sistema. Para contornar este problema, atualize o servidor para usar certificados assinados com SHA-256 ou hash mais forte, ou mude para a política LEGACY.

TLS 1.3 não funciona em NSS no modo FIPS

O TLS 1.3 não é suportado em sistemas que funcionam no modo FIPS. Como resultado, as conexões que requerem o TLS 1.3 para interoperabilidade não funcionam em um sistema que trabalha em modo FIPS.

OpenSSL manipula incorretamente as fichas PKCS #11 que não suportam assinaturas RSA ou RSA-PSS brutas

A biblioteca OpenSSL não detecta as capacidades relacionadas às chaves de fichas PKCS #11. Conseqüentemente, o estabelecimento de uma conexão TLS falha quando uma assinatura é criada com um token que não suporta assinaturas RSA ou RSA-PSS brutas.

OpenSSL gera uma extensão de status_request malformado na mensagem CertificateRequest no TLS 1.3

Os servidores OpenSSL enviam uma extensão mal-formada status_request na mensagem CertificateRequest se o suporte para a extensão status_request e autenticação baseada no certificado do cliente estiverem habilitados. Nesse caso, o OpenSSL não interopera com implementações que estejam em conformidade com o protocolo RFC 8446. Como resultado, os clientes que verificam corretamente as extensões na mensagem CertificateRequest abortam as conexões com o servidor OpenSSL. Para contornar este problema, desabilite o suporte para o protocolo TLS 1.3 em ambos os lados da conexão ou desabilite o suporte para status_request no servidor OpenSSL. Isto evitará que o servidor envie mensagens mal-formadas.

o ssh-keyscan não pode recuperar chaves RSA de servidores em modo FIPS

O algoritmo SHA-1 é desativado para assinaturas RSA no modo FIPS, o que impede que o utilitário ssh-keyscan recupere chaves RSA de servidores que operam nesse modo.

Libreswan não funciona corretamente com seccomp=enabled em todas as configurações

O conjunto de syscalls permitidos na implementação do suporte de Libreswan SECCOMP não está atualmente completo. Consequentemente, quando o SECCOMP é habilitado no arquivo ipsec.conf, a filtragem de chamadas do syscall rejeita até mesmo as chamadas necessárias para o bom funcionamento do daemon pluto; o daemon é morto e o serviço ipsec é reiniciado.

Certos conjuntos de regras interdependentes no SSG podem falhar

A remediação das regras do Guia de Segurança SCAP (SSG) em um padrão de referência pode falhar devido à ordenação indefinida das regras e suas dependências. Se duas ou mais regras precisam ser executadas em uma determinada ordem, por exemplo, quando uma regra instala um componente e outra regra configura o mesmo componente, elas podem ser executadas na ordem errada e a remediação informa um erro. Para contornar este problema, execute a correção duas vezes e a segunda execução corrige as regras dependentes.

SCAP Workbench não gera remediações baseadas em resultados a partir de perfis personalizados

O seguinte erro ocorre quando se tenta gerar funções de remediação baseadas em resultados a partir de um perfil personalizado usando a ferramenta SCAP Workbench:

Kickstart usa org_fedora_oscap em vez de com_redhat_oscap no RHEL 8

O Kickstart faz referência ao Protocolo de Automação de Conteúdo de Segurança Aberta (OSCAP) Anaconda add-on como org_fedora_oscap em vez de com_redhat_oscap, o que pode causar confusão. Isto é feito para preservar a retrocompatibilidade com o Red Hat Enterprise Linux 7.

OSCAP Anaconda Addon não instala todos os pacotes em modo texto

O plugin OSCAP Anaconda Addon não pode modificar a lista de pacotes selecionados para instalação pelo instalador do sistema se a instalação estiver rodando em modo texto. Conseqüentemente, quando um perfil de política de segurança é especificado usando Kickstart e a instalação está rodando em modo texto, quaisquer pacotes adicionais exigidos pela política de segurança não são instalados durante a instalação.

OSCAP Anaconda Addon não lida corretamente com perfis personalizados

O plug-in OSCAP Anaconda Addon não lida adequadamente com perfis de segurança com personalizações em arquivos separados. Conseqüentemente, o perfil personalizado não está disponível na instalação gráfica RHEL, mesmo quando você o especifica corretamente na seção Kickstart correspondente.

GnuTLS falha em retomar a sessão atual com o servidor NSS

Ao retomar uma sessão TLS (Transport Layer Security) 1,3, o cliente GnuTLS espera 60 milissegundos mais um tempo estimado de ida e volta para o servidor enviar os dados de retomada da sessão. Se o servidor não enviar os dados de retomada dentro deste tempo, o cliente cria uma nova sessão em vez de retomar a sessão atual. Isto não causa efeitos adversos sérios, exceto por um pequeno impacto de desempenho em uma negociação de sessão regular.

O utilitário oscap-ssh falha ao digitalizar um sistema remoto com --sudo

Ao realizar um scan do Protocolo de Automação de Conteúdo de Segurança (SCAP) de um sistema remoto usando a ferramenta oscap-ssh com a opção --sudo, a ferramenta oscap no sistema remoto salva os arquivos de resultados do scan e informa os arquivos em um diretório temporário como usuário root. Se as configurações umask na máquina remota tiverem sido alteradas, o oscap-ssh pode não ter acesso a estes arquivos. Para contornar este problema, modificar a ferramenta oscap-ssh, como descrito nesta solução. O "oscap-ssh --sudo" não consegue recuperar os arquivos de resultados com o "scp: Erro "Permissão negada". Como resultado, o oscap salva os arquivos como usuário alvo, e o oscap-ssh acessa os arquivos normalmente.

OpenSCAP produz falsos positivos causados pela remoção de linhas em branco das cordas multi-linhas da YAML

Quando o OpenSCAP gera remediações possíveis a partir de um fluxo de dados, ele remove linhas em branco das cordas multi-linhas da YAML. Como algumas remediações possíveis contêm conteúdo de arquivo de configuração literal, a remoção de linhas em branco afeta as remediações correspondentes. Isto faz com que o utilitário openscap falhe as correspondentes verificações de Vulnerabilidade Aberta e Linguagem de Avaliação (OVAL), mesmo que as linhas em branco não tenham qualquer efeito. Para contornar este problema, verifique as descrições das regras e pule os resultados da varredura que falharam por falta de linhas em branco. Alternativamente, use remediações Bash em vez de Remediações Ansíveis, porque as remediações Bash não produzem estes resultados falsos positivos.

Os perfis baseados em OSPP são incompatíveis com os grupos de pacotes GUI.

Os pacotesGNOME instalados pelo grupo de pacotes Server with GUI requerem o pacote nfs-utils que não esteja em conformidade com o Perfil de Proteção do Sistema Operacional (OSPP). Como conseqüência, a seleção do grupo de pacotes Server with GUI durante a instalação de um sistema com perfis baseados em OSPP ou OSPP, por exemplo, Guia de Implementação Técnica de Segurança (STIG), aborta a instalação. Se o perfil baseado em OSPP for aplicado após a instalação, o sistema não é inicializável. Para contornar este problema, não instale o grupo de pacotes Server with GUI ou qualquer outro grupo que instale a GUI ao usar o perfil baseado em OSPP e perfis baseados em OSPP. Ao utilizar os grupos de pacotes Server ou Minimal Install, o sistema se instala sem problemas e funciona corretamente.

O sistema RHEL8 com o grupo de pacotes Server with GUI não pode ser remediado usando o perfil do e8

O uso do OpenSCAP Anaconda Add-on para endurecer o sistema no grupo de pacotes Server With GUI com perfis que selecionam regras do grupo Verify Integrity with RPM requer uma quantidade extrema de RAM no sistema. Este problema é causado pelo scanner do OpenSCAP; para mais detalhes, veja Digitalizando grandes números de arquivos com o OpenSCAP faz com que os sistemas fiquem sem memória. Como conseqüência, o endurecimento do sistema usando o perfil RHEL8 Essential Eight (e8) não é bem sucedido. Para contornar este problema, escolha um grupo menor de pacotes, por exemplo, Servidor, e instale pacotes adicionais necessários após a instalação. Como resultado, o sistema terá um número menor de pacotes, a varredura exigirá menos memória e, portanto, o sistema pode ser endurecido automaticamente.

A digitalização de grandes números de arquivos com OpenSCAP faz com que os sistemas fiquem sem memória

O scanner OpenSCAP armazena todos os resultados coletados na memória até que a varredura termine. Como conseqüência, o sistema pode ficar sem memória em sistemas com pouca memória RAM ao digitalizar um grande número de arquivos, por exemplo, dos grandes grupos de pacotes Server with GUI e Workstation. Para contornar este problema, utilize grupos de pacotes menores, por exemplo, Server e Minimal Install em sistemas com pouca memória RAM. Se você precisar usar grandes grupos de pacotes, você pode testar se seu sistema tem memória suficiente em um ambiente virtual ou de encenação. Alternativamente, você pode adaptar o perfil de escaneamento para desmarcar as regras que envolvem recorrência sobre todo o sistema / de arquivos:

O tráfego de rede IPsec falha durante a descarga de IPsec quando o GRO é desativado

Não se espera que a descarga IPsec funcione quando a descarga de recepção genérica (GRO) estiver desativada no dispositivo. Se o descarregamento de IPsec estiver configurado em uma interface de rede e o GRO estiver desabilitado nesse dispositivo, o tráfego de rede IPsec falha.

iptables não solicita o carregamento de módulos para comandos que atualizam uma cadeia se o tipo de cadeia especificado não for conhecido

Nota: Este problema causa erros espúrios sem nenhuma implicação funcional ao interromper o serviço iptables systemd se você estiver usando a configuração padrão dos serviços.

O carregamento automático dos módulos back end LOG específicos da família de endereços pelo módulo nft_compat pode ser pendurado

Quando o módulo nft_compat carrega o alvo LOG específico de uma família, enquanto uma operação em espaços de nomes de rede(netns) acontece em paralelo, pode ocorrer uma colisão com cadeado. Como conseqüência, o carregamento do alvo LOG específico da família de endereços pode ficar suspenso. Para contornar o problema, carregue manualmente os back ends de alvo LOG relevantes, tais como nf_log_ipv4.ko e nf_log_ipv6.ko, antes de executar o utilitário iptables-restore. Como resultado, o carregamento dos back ends dos alvos LOG não fica pendurado. Entretanto, se o problema aparecer durante a inicialização do sistema, não há nenhuma solução de trabalho disponível.

A remoção acidental do patch faz com que o enorme_page_setup_helper.py mostre erro

Um adesivo que atualiza o enorme_página_setup_helper.py script, foi removido acidentalmente. Consequentemente, após a execução do script huge_page_setup_helper.py, aparece a seguinte mensagem de erro:

Sistemas com uma grande quantidade de experiências de memória persistente atrasam durante o processo de inicialização

Sistemas com uma grande quantidade de memória persistente levam muito tempo para arrancar porque a inicialização da memória é feita em série. Consequentemente, se houver sistemas de arquivo de memória persistente listados no arquivo /etc/fstab, o sistema pode demorar enquanto espera que os dispositivos fiquem disponíveis. Para contornar este problema, configure a opção DefaultTimeoutStartSec no arquivo /etc/systemd/system.conf para um valor suficientemente grande.

A KSM às vezes ignora as políticas de memória NUMA

Quando o recurso de memória compartilhada do kernel (KSM) é ativado com o parâmetro merge_across_nodes=1, o KSM ignora as políticas de memória definidas pela função mbind(), e pode fundir páginas de algumas áreas de memória com nós de Acesso Não-Uniforme à Memória (NUMA) que não correspondem às políticas.

O núcleo de depuração não inicia no ambiente de captura de falhas no RHEL 8

Devido à natureza exigente de memória do núcleo de depuração, ocorre um problema quando o núcleo de depuração está em uso e um pânico do núcleo é desencadeado. Como conseqüência, o kernel debug não é capaz de inicializar como o kernel de captura, e em seu lugar é gerado um traço de pilha. Para contornar este problema, aumente a memória do kernel debug de acordo. Como resultado, o kernel debug arranca com sucesso no ambiente de captura de falhas.

zlib pode retardar uma captura de vmcore em algumas funções de compressão

O arquivo de configuração kdump usa o formato de compressão lzo(makedumpfile -l) por padrão. Ao modificar o arquivo de configuração usando o formato de compressão zlib(makedumpfile -c), é provável que ele traga um fator de compressão melhor às custas de retardar o processo de captura do vmcore. Como conseqüência, o kdump leva até quatro vezes mais tempo para capturar um vmcore com zlib, em comparação com o lzo.

Uma captura vmcore falha após a operação de hot-plug de memória ou de desconectar a tomada

Após realizar a operação hot-plug ou hot-unplug de memória, o evento vem após a atualização da árvore do dispositivo que contém informações sobre o layout da memória. Assim, o utilitário makedump tenta acessar um endereço físico inexistente. O problema aparece se todas as seguintes condições forem atendidas:

O mecanismo fadump dumping renomeia a interface da rede para kdump-<interface-name>

Ao utilizar o lixão assistido por firmwares (fadump) para capturar um vmcore e armazená-lo em uma máquina remota usando o protocolo SSH ou NFS, renomeia a interface de rede para kdump-<interface-name>. A renomeação acontece quando o <interface-name> é genérico, por exemplo, *eth#, ou net# e assim por diante. Este problema ocorre porque os scripts de captura do vmcore no disco RAM inicial (initrd) adicionam o prefixo kdump- ao nome da interface de rede para garantir a nomeação persistente. Como o mesmo initrd também é usado para uma inicialização regular, o nome da interface é alterado também para o kernel de produção.

O sistema entra no modo de emergência no momento da inicialização quando o fadump é ativado

O sistema entra no modo de emergência quando fadump (kdump) ou dracut o módulo squash é ativado no esquema initramfs porque o gerente systemd não consegue pegar as informações de montagem e configurar a partição LV para montar. Para contornar este problema, adicione o seguinte parâmetro de linha de comando do kernel rd.lvm.lv=<VG>/<LV> para descobrir e montar a partição LV falhada de forma apropriada. Como resultado, o sistema inicializará com sucesso no cenário descrito.

O uso do irqpoll causa falha na geração de vmcore

Devido a um problema existente com o driver nvme nas arquiteturas ARM de 64 bits que rodam nas plataformas de nuvem Amazon Web Services (AWS), a geração vmcore falha quando você fornece o parâmetro de linha de comando do kernel irqpoll para o primeiro kernel. Conseqüentemente, nenhum arquivo vmcore é despejado no diretório /var/crash/ após uma falha do kernel. Para contornar este problema:

O uso da memória vPMEM como alvo de despejo atrasa o processo de captura de falhas do kernel

Quando você usa a Memória Virtual Persistente (vPEM) como alvo kdump ou fadump, o módulo papr_scm é forçado a desenhar e refazer a memória com o respaldo do vPMEM e readicionar a memória em seu mapa linear. Conseqüentemente, este comportamento aciona as chamadas Hypervisor (HCalls) para o Hypervisor POWER, e o tempo total gasto, retarda consideravelmente a inicialização do kernel de captura. Portanto, recomenda-se não usar os espaços de nomes vPMEM como alvo de despejo para kdump ou fadump.

O cão de guarda HP NMI nem sempre gera um depósito de lixo

Em certos casos, o motorista hpwdt para o cão de guarda HP NMI não é capaz de reivindicar uma interrupção não-máscara (NMI) gerada pelo temporizador HPE porque o NMI foi consumido pelo motorista perfmon.

O comando powersave de perfil afinado faz com que o sistema não responda

A execução do comando powersave de perfil tuned-adm leva a um estado não responsivo dos sistemas de 2-socket Penguin Valkyrie 2000 com os processadores Thunderx (CN88xx) mais antigos. Consequentemente, reinicialize o sistema para retomar o funcionamento. Para contornar este problema, evite usar o perfil powersave se seu sistema estiver de acordo com as especificações mencionadas.

O driver cxgb4 causa uma falha no kdump kernel

O kdump kernel quebra ao tentar salvar informações no arquivo vmcore. Conseqüentemente, o driver cxgb4 impede que o kdump kernel salve um núcleo para análise posterior. Para contornar este problema, adicione o parâmetro novmcoredd à linha de comando do kdump kernel para permitir salvar arquivos do núcleo.

A tentativa de adicionar a porta NIC do driver ICE a um modo 5(balance-tlb) de ligação da interface mestre pode levar a falhas

Tentar adicionar a porta NIC do driver ICE a uma interface mestre de ligação modo 5 (balance-tlb) pode levar a uma falha com um erro Master 'bond0', Slave 'ens1f0': Erro: Ens1f0": Erro: Falha no escravo. Conseqüentemente, você experimenta uma falha intermitente ao adicionar a porta NIC à interface mestre de colagem. Para solucionar este problema, tente tentar novamente adicionar a interface.

Anexar a Função Virtual à máquina virtual com interface tipo='hostdev' pode falhar em alguns momentos

Anexar uma função virtual (VF) a uma máquina virtual usando um arquivo .XML, seguindo o método Assignment with <interface type='hostdev'>, pode falhar em alguns momentos. Isto ocorre porque a utilização do método Assignment with <interface type='hostdev'> impede a VM de anexar a VF NIC apresentada a esta máquina virtual. Para resolver este problema, anexe a VF à VM usando o arquivo .XML, usando o método Assignment with <hostdev>. Como resultado, o comando virsh attach-device é bem sucedido sem erros. Para mais detalhes sobre a diferença entre Assignment with <hostdev> e Assignment with <interface type='hostdev'> (somente dispositivos SRIOV), veja PCI Passthrough de dispositivos de rede host.

O sistema de arquivo /boot não pode ser colocado na LVM

Você não pode colocar o sistema de arquivo /boot em um volume lógico LVM. Esta limitação existe pelas seguintes razões:

LVM não mais permite criar grupos de volume com blocos de tamanhos mistos

As utilidades LVM como vgcreate ou vgextend não permitem mais a criação de grupos de volume (VGs) onde os volumes físicos (PVs) têm tamanhos de blocos lógicos diferentes. O LVM adotou esta mudança porque os sistemas de arquivo não conseguem montar se você estender o volume lógico subjacente (LV) com um PV de um bloco de tamanho diferente.

DM Multipath pode não começar quando muitos LUNs estiverem conectados

O serviço multipathd poderá ficar sem tempo e não começar se muitas unidades lógicas (LUNs) estiverem conectadas ao sistema. O número exato de LUNs que causam o problema depende de vários fatores, incluindo o número de dispositivos, o tempo de resposta da matriz de armazenamento, a configuração da memória e da CPU, e a carga do sistema.

Limitações da LVM writecache

O método de cache writecache LVM tem as seguintes limitações, que não estão presentes no método de cache:

Os dispositivos espelhos LVM que armazenam um volume LUKS às vezes se tornam insensíveis

Dispositivos LVM espelhados com um tipo de segmento de espelho que armazenam um volume LUKS pode se tornar insensível sob certas condições. Os dispositivos que não respondem rejeitam todas as operações de E/S.

Um patch NFS 4.0 pode resultar em um desempenho reduzido sob uma carga de trabalho pesada e aberta

Anteriormente, foi corrigido um bug que, em alguns casos, poderia fazer com que uma operação NFS aberta ignorasse o fato de que um arquivo tinha sido removido ou renomeado no servidor. Entretanto, a correção pode causar um desempenho mais lento com cargas de trabalho que requerem muitas operações abertas. Para contornar este problema, poderia ajudar a usar a versão 4.1 ou superior do NFS, que foi melhorada para conceder delegações aos clientes em mais casos, permitindo aos clientes realizar operações abertas localmente, de forma rápida e segura.

getpwnam() pode falhar quando chamado por uma aplicação de 32 bits

Quando um usuário do NIS usa uma aplicação de 32 bits que chama a função getpwnam(), a chamada falha se o pacote nss_nis.i686 estiver faltando. Para contornar este problema, instale manualmente o pacote que falta usando o comando yum install nss_nis.i686.

nginx não pode carregar certificados de servidor a partir de fichas de segurança de hardware

O servidor web nginx suporta o carregamento de chaves privadas TLS a partir de tokens de segurança de hardware diretamente dos módulos PKCS#11. Entretanto, atualmente é impossível carregar certificados de servidor a partir de tokens de segurança de hardware através do URI PKCS#11. Para contornar este problema, armazenar certificados de servidor no sistema de arquivos

php-fpm faz com que o SELinux AVC seja negado quando o php-opcache é instalado com PHP 7.2

Quando o pacote php-opcache é instalado, o Gerenciador de Processos FastCGI(php-fpm) faz com que a SELinux AVC seja negada. Para contornar este problema, altere a configuração padrão no arquivo /etc/php.d/10-opcache.ini para o seguinte:

O nome do pacote mod_wsgi está faltando ao ser instalado como uma dependência

Com uma mudança na instalação mod_wsgi, descrita no BZ#1779705, o pacote python3-mod_wsgi não fornece mais o nome mod_wsgi. Ao instalar o módulo mod_wsgi, você deve especificar o nome completo do pacote. Esta mudança causa problemas com as dependências de pacotes de terceiros.

Funções sintéticas geradas pelo GCC confundem SystemTap

A otimização do GCC pode gerar funções sintéticas para cópias parcialmente simplificadas de outras funções. Ferramentas como SystemTap e GDB não podem distinguir estas funções sintéticas das funções reais. Como conseqüência, o SystemTap coloca sondas em pontos de entrada de funções sintéticas e reais e, assim, registra múltiplos acertos de sondas para uma única chamada de função real.

A mudança /etc/nsswitch.conf requer uma reinicialização manual do sistema

Qualquer alteração no arquivo /etc/nsswitch.conf, por exemplo rodando o comando authselect select profile_id, requer uma reinicialização do sistema para que todos os processos relevantes usem a versão atualizada do arquivo /etc/nsswitch.conf. Se uma reinicialização do sistema não for possível, reinicie o serviço que une seu sistema ao Active Directory, que é o System Security Services Daemon (SSSD) ou winbind.

SSSD retorna a adesão incorreta ao grupo LDAP para usuários locais quando o domínio de arquivos está habilitado

Se o Daemon System Security Services (SSSD) serve usuários dos arquivos locais e o atributo ldap_rfc2307_fallback_to_local_users na seção [domínio/LDAP] do arquivo sssd.conf é definido como True, então o provedor de arquivos não inclui membros de grupo de outros domínios. Como conseqüência, se um usuário local é membro de um grupo LDAP, o comando id local_user não retorna a filiação do usuário ao grupo LDAP. Para contornar este problema, desabilite o domínio de arquivos implícito, adicionando

O SSSD não lida corretamente com múltiplas regras de correspondência de certificados com a mesma prioridade

Se um determinado certificado corresponde a várias regras de correspondência de certificados com a mesma prioridade, o System Security Services Daemon (SSSD) utiliza apenas uma das regras. Como alternativa, use uma única regra de correspondência de certificado cujo filtro LDAP consiste nos filtros das regras individuais concatenadas com o | (ou) operador. Para exemplos de regras de correspondência de certificados, consulte a página de manual sss-certamp(5).

Grupos privados não podem ser criados com auto_private_group = híbrido quando múltiplos domínios são definidos

Grupos privados não podem ser criados com a opção auto_private_group = híbrido quando múltiplos domínios são definidos e a opção híbrida é usada por qualquer domínio que não seja o primeiro. Se um domínio de arquivos implícito for definido junto com um domínio AD ou LDAP no arquivo sssd.conf e não estiver marcado como MPG_HYBRID, então o SSSD falha em criar um grupo privado para um usuário que tem uid=gid e o grupo com este gid não existe no AD ou LDAP.

python-ply não é compatível com FIPS

O módulo YACC do pacote python-ply utiliza o algoritmo de hashing MD5 para gerar a impressão digital de uma assinatura YACC. Entretanto, o modo FIPS bloqueia o uso do MD5, que só é permitido em contextos sem segurança. Como conseqüência, o python-ply não é compatível com o FIPS. Em um sistema em modo FIPS, todas as chamadas para ply.yacc.yacc() falham com a mensagem de erro:

FreeRADIUS truncata silenciosamente Túnel-Palavras-palavras com mais de 249 caracteres

Se uma senha de túnel tiver mais de 249 caracteres, o serviço FreeRADIUS a truncará silenciosamente. Isto pode levar a incompatibilidades inesperadas de senhas com outros sistemas.

A instalação da KRA falha se todos os membros da KRA forem réplicas ocultas

O utilitário ipa-kra-install falha em um cluster onde a Key Recovery Authority (KRA) já está presente se a primeira instância da KRA for instalada em uma réplica oculta. Conseqüentemente, não é possível adicionar mais instâncias KRA ao cluster.

O Servidor de Diretório adverte sobre atributos ausentes no esquema se esses atributos forem utilizados em um filtro de busca

Se você definir o parâmetro nsslapd-verify-filter-schema para alertar-invalidar, o Servidor de Diretório processa operações de busca com atributos que não estão definidos no esquema e registra um aviso. Com esta configuração, o Servidor de Diretório retorna os atributos solicitados nos resultados da busca, independentemente de os atributos estarem ou não definidos no esquema.

ipa-healthcheck-0.4 não torna obsoletas as versões mais antigas do ipa-healthcheck

A ferramenta Healthcheck foi dividida em dois sub-pacotes: ipa-healthcheck e ipa-healthcheck-core. Entretanto, apenas o sub-pacote ipa-healthcheck-core está corretamente configurado para versões obsoletas do ipa-healthcheck. Como resultado, a atualização do Healthcheck apenas instala o ipa-healthcheck-core e o comando ipa-healthcheck não funciona após a atualização.

Limitações da sessão Wayland

Com o Red Hat Enterprise Linux 8, o ambiente GNOME e o Gerenciador de Exibição GNOME (GDM) usam Wayland como o tipo de sessão default ao invés da sessão X11, que foi usada com a versão anterior principal da RHEL.

O drag-and-drop não funciona entre a área de trabalho e as aplicações

Devido a um bug no pacote gnome-shell-extensions, a funcionalidade de arrastar e soltar não funciona atualmente entre o desktop e as aplicações. O suporte para este recurso será adicionado de volta em um lançamento futuro.

Não é possível desativar os repositórios flatpak dos Repositórios de Software

Atualmente, não é possível desativar ou remover os repositórios flatpak na ferramenta Repositórios de Software no utilitário Software GNOME.

Geração 2 RHEL 8 máquinas virtuais às vezes não inicializam nos hosts do Hyper-V Server 2016

Ao usar o RHEL 8 como sistema operacional convidado em uma máquina virtual (VM) rodando em um host Microsoft Hyper-V Server 2016, a VM, em alguns casos, falha no boot e retorna ao menu de boot do GRUB. Além disso, o seguinte erro é registrado no registro de eventos do Hyper-V:

A falha do sistema pode resultar na perda da configuração do fadump

Este número é observado em sistemas onde o dump assistido por firmwares (fadump) está habilitado, e a partição de inicialização está localizada em um sistema de arquivo de journaling como o XFS. Uma falha do sistema pode fazer com que o carregador de inicialização carregue um initrd mais antigo que não tenha o suporte de captura de dump habilitado. Conseqüentemente, após a recuperação, o sistema não captura o arquivo vmcore, o que resulta na perda da configuração fadump.

Incapaz de executar aplicações gráficas usando o comando sudo

Ao tentar executar aplicações gráficas como um usuário com privilégios elevados, a aplicação não consegue abrir com uma mensagem de erro. A falha acontece porque Xwayland é restrito pelo arquivo Xauthority para usar credenciais de usuário regulares para autenticação.

radeon falha em reiniciar o hardware corretamente

O driver do kernel radeon atualmente não reinicia corretamente o hardware no contexto do kexec. Em vez disso, o radeon cai, o que faz com que o resto do serviço kdump falhe.

Múltiplos displays HDR em uma única topologia MST podem não ligar

Em sistemas que utilizam GPUs NVIDIA Turing com o novo driver, o uso de um hub DisplayPort (como uma doca para laptop) com vários monitores que suportam HDR conectados a ele pode resultar na falha em ligar todos os monitores, apesar de ter feito isso em versões anteriores da RHEL. Isto é devido ao sistema pensar erroneamente que não há largura de banda suficiente no hub para suportar todos os monitores.

Usuários sem privilégios podem acessar a página de Assinaturas

Se um não-administrador navegar para a página Subscriptions do console web, o console web exibe uma mensagem de erro genérica O Cockpit teve um erro interno inesperado.

Baixo desempenho de display GUI em máquinas virtuais RHEL 8 em um host Windows Server 2019

Ao usar o RHEL 8 como um sistema operacional convidado em modo gráfico em um host Windows Server 2019, o desempenho da tela GUI é baixo, e a conexão a um console de saída do convidado leva atualmente muito mais tempo do que o esperado.

A exibição de vários monitores de máquinas virtuais que utilizam Wayland não é possível com QXL

Usar o utilitário de visualização remota para exibir mais de um monitor de uma máquina virtual (VM) que está usando o servidor de exibição Wayland faz com que a VM fique sem resposta e que a mensagem de status Waiting for display seja exibida indefinidamente.

os comandos devirsh iface-* não funcionam de forma consistente

Atualmente, comandos virsh iface-*, tais como virsh iface-start e virsh iface-destruição, frequentemente falham devido a dependências de configuração. Portanto, recomenda-se não usar comandos virsh iface-* para configurar e gerenciar as conexões de rede do host. Ao invés disso, use o programa NetworkManager e suas aplicações de gerenciamento relacionadas.

As máquinas virtuais RHEL 8 às vezes não podem inicializar em máquinas Witherspoon

As máquinas virtuais RHEL 8 (VMs) que utilizam o tipo de máquina pseries-rhel7.6.0-sxxm em alguns casos não inicializam nos hosts Power9 S922LC for HPC (também conhecidos como Witherspoon) que utilizam a CPU DD2.2 ou DD2.3.

As máquinas virtuais IBM POWER não funcionam corretamente com os nós NUMA vazios

Atualmente, quando uma máquina virtual IBM POWER (VM) rodando em um host RHEL 8 é configurada com um nó NUMA que usa memória zero(memória='0') e zero CPUs, a VM não pode iniciar. Portanto, a Red Hat recomenda fortemente não usar VMs POWER IBM com tais nós NUMA vazios no RHEL 8.

A topologia de CPU SMT não é detectada por VMs quando se usa o modo host passthrough no AMD EPYC

Quando uma máquina virtual (VM) inicia com o modo de passagem da CPU em um host AMD EPYC, a bandeira de recurso TOPOEXT CPU não está presente. Conseqüentemente, a VM não é capaz de detectar uma topologia de CPU virtual com múltiplas roscas por núcleo. Para contornar este problema, inicialize a VM com o modelo de CPU EPYC em vez de passthrough do host.

Os identificadores de disco na RHEL 8.2 VMs podem mudar na reinicialização da VM.

Ao utilizar uma máquina virtual (VM) com RHEL 8.2 como sistema operacional convidado em um hipervisor Hyper-V, os identificadores do dispositivo para os discos virtuais da VM em alguns casos mudam quando a VM é reinicializada. Por exemplo, um disco originalmente identificado como /dev/sda pode se tornar /dev/sdb. Como conseqüência, a VM pode falhar o boot, e scripts que referenciam os discos da VM podem parar de funcionar.

As máquinas virtuais às vezes falham ao utilizar muitos discos virtio-blk

A adição de um grande número de dispositivos virtio-blk a uma máquina virtual (VM) pode esgotar o número de vetores de interrupção disponíveis na plataforma. Se isso ocorrer, o sistema operacional convidado da VM não inicializa e exibe uma fila de entrada de dados com dracut-initqueue[392]: Advertência: Não foi possível inicializar o erro.

Anexar dispositivos LUN a máquinas virtuais usando o virtio-blk não funciona

O tipo de máquina q35 não suporta dispositivos de virtio 1.0 de transição e, portanto, a RHEL 8 não suporta características que foram depreciadas no virtio 1.0. Em particular, não é possível em um host RHEL 8 enviar comandos SCSI de dispositivos virtio-blk. Como conseqüência, a conexão de um disco físico como um dispositivo LUN a uma máquina virtual falha ao usar o controlador virtio-blk.

A migração de um convidado POWER9 de um hospedeiro RHEL 7-ALT para o RHEL 8 falha

Atualmente, a migração de uma máquina virtual POWER9 de um sistema host RHEL 7-ALT para o RHEL 8 torna-se insensível com um status "Migration status: active".

aferramenta de apoio aos adesivos não funciona com a política de criptografia do FUTURO

Como uma chave criptográfica utilizada por um certificado no API do Portal do Cliente não atende aos requisitos da política de criptografia do FUTURO em todo o sistema, o utilitário de suporte de adesivos não funciona com este nível de política no momento.

Não se espera que a UDICA trabalhe com o fluxo estável 1.0

A UDICA, a ferramenta para gerar políticas SELinux para contêineres, não deve trabalhar com contêineres que são executados via podman 1.0.x no fluxo do módulo container-tools:1.0.

Notas sobre o apoio FIPS com Podman

O Federal Information Processing Standard (FIPS) exige a utilização de módulos certificados. Anteriormente, Podman instalava corretamente os módulos certificados em contêineres, habilitando as bandeiras adequadas na partida. Entretanto, neste lançamento, a Podman não configura corretamente os ajudantes de aplicação adicionais normalmente fornecidos pelo sistema na forma da política criptográfica do sistema FIPS. Embora a configuração da política criptográfica de todo o sistema não seja exigida pelos módulos certificados, ela melhora a capacidade das aplicações de utilizar os módulos criptográficos de forma compatível. Para contornar este problema, troque seu recipiente para executar o comando update-crypto-policies --set FIPS antes que qualquer outro código de aplicação seja executado.