安装程序中支持自动 FCP SCSI LUN 扫描

当在 IBM Z 系统上附加 FCP SCSI LUN 时，安装程序现在可以使用自动 LUN 扫描。如果没有通过 zfcp.allow_lun_scan 内核模块参数禁用，自动 LUN 扫描可用于在 NPIV 模式下对 FCP 设备的操作。它会被默认启用。它提供了对附加到具有指定的设备总线 ID 的 FCP 设备的存储区域网络中发现的所有 SCSI 设备的访问。不需要指定 WWPN 和 FCP LUN，只提供 FCP 设备总线 ID 就足够了。

内部镜像构建器现在支持 /boot 分区自定义

内部镜像构建器版本现在支持使用自定义的 /boot 挂载点分区大小构建镜像。您可以在蓝图自定义中指定 /boot 挂载点分区的大小，以便在默认引导分区太小时增加 /boot 分区的大小。例如：

内部镜像构建器现在支持将镜像上传至 GCP

有了这个增强，您可以使用镜像构建器 CLI 来构建 gce 镜像，为您要上传镜像的用户或服务帐户提供凭证。因此，镜像构建器会创建镜像，然后将 gce 镜像直接上传到您指定的 GCP 环境中。

内部镜像构建器 CLI 支持将容器镜像直接推送到注册中心

有了这个增强，您可以使用镜像构建器 CLI 将 Edge 的 RHEL 容器镜像直接推送到容器注册中心。要构建容器镜像：

镜像构建器内部用户现在可以在镜像创建过程中自定义其蓝图

有了这个更新，Edit Blueprint 页面已被删除，来统一镜像构建器服务中和 cockpit-composer 中镜像构建器应用程序的用户体验。现在，用户可以在镜像创建过程中创建他们的蓝图并添加他们的自定义，如添加软件包和创建用户。蓝图版本也已被删除，这样蓝图只有一个版本：当前版本。用户能够通过其已创建的镜像访问旧的蓝图版本。

Cronie 添加了对所选范围内随机时间的支持

Cronie 工具现在支持 cronjob 执行的 ~ （范围内随机）运算符。因此，您可以在所选范围内的随机时间启动 cronjob。

新软件包：xmlstarlet

XMLStarlet 是一组用于解析、转换、查询、验证和编辑 XML 文件的命令行工具。新的 xmlstarlet 软件包提供了一组简单的 shell 命令，您可以像使用 UNIX 命令处理纯文本文件（如 grep、sed、awk 、diff、patch、join 等）那样使用它们。

ReaR 添加了在恢复前后执行命令的新变量

有了这个增强，ReaR 引进了两个新变量，用于在恢复前后轻松地自动化要执行的命令：

libva rebase 到版本 2.13.0

视频加速 API 的 libva 库已更新至版本 2.13.0。主要的改进和新功能包括：

PowerPC-utils rebase 到版本 1.3.10

为 PowerPC 平台提供了各种工具的 powerpc-utils 软件包已更新至版本 1.3.10。主要改进包括：

opencryptoki rebase 到版本 3.18.0

opencryptoki 软件包，它是公匙加密标准(PKCS)#11 的实现，已更新到版本 3.18.0。主要改进包括：

Redfish 模块现在是 redhat.rhel_mgmt Ansible 集合的一部分

redhat.rhel_mgmt Ansible 集合现在包含以下模块：

sysctl 现在与 systemd 目录顺序匹配

sysctl 工具的配置目录顺序现在与 systemd-sysctl 目录顺序同步。配置目录在运行时检查并更改内核参数。/etc/sysctl.d 目录中的配置文件的优先级高于 /run/sysctl.d 中的配置文件，且在 sysctl 和 systemd 之间文件的优先级不再发生中断。

chrony rebase 到版本 4.2

chrony 套件已更新至版本 4.2。与版本 4.1 相比，主要的改进包括：

unbound rebase 到版本 1.16.2

unbound 组件已更新至版本 1.16.2。unbound 是一种验证、递归和缓存 DNS 解析器。主要改进包括：

NSS 不再支持少于 1023 位的 RSA 密钥

网络安全服务(NSS)库的更新将所有 RSA 操作的最小密钥大小从 128 改为 1023 位。这意味着 NSS 不再执行以下功能：

SCAP 安全指南 rebase 到 0.1.63

SCAP 安全指南(SSG)软件包已更新到上游版本 0.1.63。此版本提供各种改进和程序错误修复，最重要的是：

SSG CIS 配置文件与 CIS RHEL 8 基准 2.0.0 保持一致

SCAP 安全指南(SSG)现在包含将互联网安全中心(CIS)配置文件与 CIS Red Hat Enterprise Linux 8 基准版本 2.0.0 保持一致的更改。这个基准版本添加了新的要求，删除了不再相关的要求，并对一些现有的要求进行了重新排序。更新会影响相关规则中的引用，以及对应配置文件的准确性。

RHEL 8 STIG 配置文件现在与 DISA STIG 内容保持一致

包括在 scap-security-guide (SSG)软件包中的 Red Hat Enterprise Linux 8 的 DISA STIG 配置文件(xccdf_org.ssgproject.content_profile_stig) 可用于根据国防部信息系统(DISA)制定的安全技术实施指南(STIG)来评估系统。您可以使用 SSG 中的内容修复您的系统，但您可能需要使用 DISA STIG 自动化内容来评估您的系统。有了这个更新，DISA STIG RHEL 8 配置文件与 DISA 的内容更加一致。这会导致 SSG 修复后对 DISA 内容的发现较少。

如果 /tmp 和 /var/tmp 分区不存在，则挂载选项的 SSG 规则不再失败

在以前的版本中，如果系统上不存在此类分区，则 /tmp 和 /var/tmp 分区的挂载选项的 SCAP 安全指南(SSG)规则会错误地报告 失败 结果。

STIG 安全配置文件已更新到版本 V1R7

SCAP 安全指南中的 Red Hat Enterprise Linux 8 的 DISA STIG 配置文件已更新为与最新的 V1R7 版本保持一致。

clevis-luks-askpass 现在被默认启用

/lib/systemd/system-preset/90-default.preset 文件现在包含 enable clevis-luks-askpass.path 配置选项，并且 clevis-systemd 子软件包的安装确保 clevis-luks-askpass.path 单元文件被启用。这使 Clevis 加密客户端也可解锁在引导过程后期挂载的 LUKS 加密的卷。在此次更新之前，管理员必须使用 systemctl enable clevis-luks-askpass.path 命令来使 Clevis 解锁此类卷。

为 Rsyslog 错误文件添加了一个最大大小选项

使用新的 action.errorfile.maxsize 选项，您可以为 Rsyslog 日志处理系统指定错误文件的最大字节数。当错误文件达到指定大小时，Rsyslog 无法在其中写入额外的错误或其他数据。这可防止错误文件填满文件系统，并使主机不可用。

fapolicyd rebase 到 1.1.3

fapolicyd 软件包已升级到版本 1.1.3。主要改进和 bug 修复包括：

改进了大 iptables 规则集的保存速度

此增强优化了 iptables-save 工具，来减少保存大规则集时的开销。当从 /etc/protocols 文件中读取条目时，这个工具已被改进，在不需要的情况下，它不再搜索扩展共享对象文件。因此，当您在具有高存储访问延迟的环境中保存大规则集时，iptables-save 的运行时已显著提高。

NetworkManager rebase 到版本 1.40

NetworkManager 软件包升级到上游版本 1.40，与之前的版本相比，它提供了大量的改进和 bug 修复：

cloud-init 每次在 Microsoft Azure 上引导时都更新网络配置

当管理员在虚拟机离线时更新网络接口配置时，Microsoft Azure 不会更改实例 ID。有了这个增强，cloud-init 服务始终会在虚拟机引导时更新网络配置，以确保 Microsoft Azure 上的 RHEL 使用最新的网络设置。

NetworkManger 现在将 DHCP 租期信息存储在 /run/NetworkManager/devices/ 目录中

NetworkManager 现在将 DHCP 服务器的租期信息保存在 /run/NetworkManager/devices/ 目录中。在以前的版本中，基于文件的 API 不可用，且此信息仅在 nmcli -f all devices show DEVICE 命令的输出中可见。有了这个增强，其他工具和脚本可以访问 DHCP 选项，而无需调用 nmcli 。

RHEL 8.7 中的内核版本

Red Hat Enterprise Linux 8.7 与内核版本 4.18.0-425 一起发行。

SSBD 和 STIBP 的默认缓解方案已被更改

spec_store_bypass_disable (SSBD)和 spectre_v2_user (STIBP)引导参数的默认缓解已从 seccomp 模式改为 prctl。有了这个更新，seccomp 控制下的容器和应用程序的性能得到了提高。

vmcore 转储文件在 debug 内核变体上正确生成

有了这个更新，当当前内核是 debug 变体时，kdump 机制现在使用与捕获内核相同的非调试内核版本。通过将非调试内核用作捕获内核，kdump 消耗的内存比 debug 变体要少。因此，kdump 可以正确地生成 vmcore 文件，并捕获崩溃内核的内存内容。

Intel E800 设备现在支持 iWARP 和 RoCE 协议

有了这个增强，现在您可以使用 enable_iwarp 和 enable_roce devlink 参数打开和关闭 iWARP 或 RoCE 协议支持。有了这个强制功能，您可以使用其中一个协议配置设备。Intel E800 设备不同时支持同一端口上的这两个协议。

GRUB 由新密钥签名

由于安全原因，GRUB 现在使用新密钥签名。因此，如果您在启用了安全引导功能的 IBM POWER 的 little-endian 变体上使用 RHEL，您必须将固件更新至 FW1010.30 （或更新版本）或 FW1020 才能引导。

在 IBM POWER 上启动虚拟机时可配置的磁盘访问重试

现在，当逻辑分区(lpar)虚拟机(VM)在 IBM POWER 构架上引导时，您可以配置 GRUB 引导装载程序重试访问远程磁盘的次数。降低重试次数可防止某些情况下引导较慢。

nfsrahead 已添加到 RHEL 8 中

随着 nfsrahead 工具的引入，您可以使用它来修改 NFS 挂载的 readahead 值，因此会影响 NFS 的读性能。

rpcctl 命令现在显示 SunRPC 连接信息

有了这个更新，您可以使用 rpcctl 命令来显示 SunRPC sysfs 文件中收集的有关系统的 SunRPC 对象的信息。您可以通过 sysfs 文件系统显示、删除和设置 SunRPC 网络层中的对象。

multipath.conf 现在可以在 DM 多路径中包括特定于协议的配置覆盖

您可以通过各种协议访问多路径设备的路径。由于各种协议可以有各种优化配置，因此在没有 per-protocol 选项的情况下，无法为设备映射器多路径功能中的所有协议设置最佳配置。有了这个增强，您可以在 multipath.conf 文件中包含特定于协议的配置覆盖。现在，您可以在每协议的基础上配置多路径设备路径，允许通过多协议访问多路径设备的正确配置。

multipathd 现在支持检测 FPIN-Li 事件

当您为 marginal_pathgroups 配置选项添加新值 fpin 时，您可以启用 multipathd 来监控 Link Integrity Fabric Performance Impact 通知(PFIN-Li)事件，并将带有链路完整性问题的路径移到边缘 pathgroup。设置 fpin 值后，multipathd 会覆盖其现有的边缘路径检测方法，并依赖光纤通道光纤来识别链路完整性问题。

pcs 命令行支持更新多路径 SCSI 设备，而无需系统重启

现在，您可以使用 pcs stonith update-scsi-devices 命令更新多路径 SCSI 设备。这个命令更新 SCSI 设备，而不会导致运行在同一节点上其他集群资源的重启。

支持集群 UUID

在集群设置过程中，pcs 命令现在会为每个集群生成一个 UUID。因为集群名称不是一个唯一的集群标识符，因此您可以在管理多个集群时使用集群 UUID 来识别具有相同名称的集群。

现在，multi-active 资源参数接受 stop_unexpected 的值

当资源在其不应该在的多个节点上处于活跃状态时，multiple-active 资源参数决定了恢复行为。默认情况下，这种情况需要资源的全面重启，即使资源在其应该运行的地方在成功运行。有了这个更新，multiple-active 资源参数接受 stop_unexpected 的值，它允许您指定只停止多活动资源的意外实例。用户负责验证服务及其资源代理是否可以与额外的活跃实例一起正常工作，而无需全面重启。

新的 allow-unhealthy-node Pacemaker 资源 meta-attribute

pacemaker 现在支持 allow-unhealthy-node 资源 meta-attribute。当此 meta-attribute 设为 true 时，由于降级节点健康状况，资源不会强制关闭节点。当健康资源设置了此属性时，集群可以自动检测节点的健康状态恢复，并将资源移回节点。

支持 Red Hat OpenStack 平台上的高可用性

现在，您可以在 Red Hat OpenStack 平台上配置高可用性集群。为了支持这个功能，红帽提供了以下新的集群代理：

pacemaker 现在支持为系统组指定访问控制列表(ACL)

Pacemaker 之前允许为单个用户指定 ACL，但有时更简单，更符合本地策略，来为系统组指定 ACL，并将其应用到该组中的所有用户。pcs acl group 命令出现在早期版本中，但没有影响。现在，用户可以使用这个命令为系统组指定 ACL。

新的 pcs stonith config 命令选项来显示重新创建配置的隔离设备的 pcs 命令

pcs stonith config 命令现在接受 --output-format=cmd 选项。指定这个选项会显示您用来在不同系统上重新创建配置的隔离设备的 pcs 命令。

新的 pcs resource config 命令选项来显示重新创建配置的资源的 pcs 命令

pcs resource config 命令现在接受 --output-format=cmd 选项。指定这个选项会显示用来在不同系统上重新创建配置的资源的 pcs 命令。

nodejs:18 模块流现在完全支持

以前作为技术预览提供的 nodejs:18 模块流，现在在 RHSA-2022:8833 公告版中完全支持。nodejs:18 模块流现在提供 Node.js 18.12，它是一个长期支持(LTS)版本。

nodejs:18 rebase 到版本 18.14，npm rebase 到版本 9

Node.js 18.14 在 RHSA-2023:1583 中发布，包括 npm 从版本 8 升级到版本 9 的 SemVer 主要升级。由于维护原因，这个更新是必需的，可能需要调整 npm 配置。

新模块流：ruby:3.1

RHEL 8.7 在新的 ruby:3.1 模块流中引入了 Ruby 3.1.2。这个版本提供了很多性能改进、bug和安全修复，以及与 RHEL 8.5 一起发布的 Ruby 3.0 的新功能。

新模块流：mercurial:6.2

RHEL 8.7 将 Mercurial 6.2 添加为新的模块流。从 RHEL 8.0 开始，此版本提供了很多 bug 修复、增强，以及 Mercurial 4.8 方面的性能改进。

mariadb-java-client rebase 到版本 2.7.1

为用 Java 开发的应用程序提供 MariaDB 连接器的 mariadb-java-client 软件包更新至版本 2.7.1。

Redis rebase 到版本 6.2.7

Redis 6 是提供 redis:6 模块流的高级键值存储，现已更新到版本 6.2.7。这个更新提供了 RHEL 8.4 以来的 bug 修复、安全修复以及对 6.0 版本的改进。

httpd 配置中 LimitRequestBody 指令的新默认值

要修复 CVE-2022-29404，Apache HTTP 服务器中的 LimitRequestBody 指令的默认值已从 0 (无限)变为 1 GiB。

新的 GCC 工具集 12

GCC Toolset 12 是一个编译器工具集，提供了开发工具的最新版本。它在 AppStream 存储库中以软件集合的形式作为应用程序流提供。

GCC 工具集 12：Anobin rebase 到版本 10.76

在 GCC 工具集 12 中，Anobin 软件包已更新至版本 10.76。

GCC 工具集 12：binutils rebase 到版本 2.38

在 GCC 工具集 12 中，binutils 软件包已更新至版本 2.38。

GCC 12 和更高版本支持 _FORTIFY_SOURCE 级别 3

有了此增强，用户在使用 GCC 版本 12 或更高版本构建时，可以在编译器命令行中使用 -D_FORTIFY_SOURCE=3 来构建应用程序。_FORTIFY_SOURCE 级别 3 提高了源代码强化的覆盖率，从而提高了在编译器命令行中使用 -D_FORTIFY_SOURCE=3 构建的应用的安全性。这在 GCC 版本 12 及更高版本，以及 Clang 版本 9.0 和之后带有 __builtin_dynamic_object_size 内置的版本中支持。

DNS stub 解析器选项现在支持 no-aaaa 选项

有了这个增强，glibc 现在识别 /etc/resolv.conf 和 RES_OPTIONS 环境变量中的 no-aaaa stub 解析器选项。当此选项处于活跃状态时，不会通过网络发送 AAAA 查询。系统管理员可以出于诊断目的禁用 AAAA DNS 查询，例如，例如排除仅在 IPv4网络上的多余查询不会导致 DNS 问题。

添加了对 glibc 中 IBM Z 系列 z16 的支持

现在，对使用 glibc 中的 IBM z16 平台设置的 s390 指令提供支持。IBM z16 提供了两个额外的硬件功能，即 HWCAP_S390_VXRS_PDE2 和 HWCAP_S390_NNPA。因此，应用程序现在可以使用这些功能来交付优化的库和功能。

新的 make-latest 软件包

这个增强引进了 make-latest 软件包，其包括 make 工具的最新版本。在以前的版本中，我们通过 GCC 工具集提供最新的 make 版本。现在，您可以单独安装 make-latest 软件包，并使用 scl enable make43 /bin/bash 运行最新版本（如果 make43 版本是最新的）。

GCC 工具集 12：GDB 已 rebase 到版本 11.2

在 GCC 工具集 12 中，GDB 软件包已更新至版本 11.2。

libpfm 现在支持 AMD Zen 2 和 Zen 3 处理器

有了这个增强，用户现在可以使用 libpfm 来访问 AMD Zen 2 和 Zen 3 性能监控硬件。

papi 现在支持 AMD Zen 2 和 Zen 3 处理器

有了这个增强，用户现在可以使用 papi 来访问 AMD Zen 2 和 Zen 3 性能监控硬件。

改进了 ARM 处理器的硬件标识

有了这个增强，papi_avail 工具可以正确地报告各种 ARM 供应商的供应商字符串和代码信息。这个工具允许 PAPI_get_hardware_info （） 函数识别由 ARM 以外的公司生产的处理器，这些公司仅限于 arch64 架构。因此，开发人员可以调优所需架构的代码。

更新了 Fujitsu A64FX 事件映射

为 Fujitsu A64FX 处理器更新了 PAPI 库。用户现在可以在可用于分析程序性能的 papi_avail 输出中使用额外的预设置。

dyninst 更新到版本 12.1

dyninst 软件包已更新至 12.1 版本。重要的程序错误修复和增强包括：

systemtap 软件包 rebase 到版本 4.7

systemtap 软件包已 rebase 到版本 4.7。重要的程序错误修复和增强包括：

Rust Toolset rebase 到版本 1.62.1

Rust Toolset 已更新到版本 1.62.1。主要变更包括：

LLVM 工具集 rebase 到版本 14.0.6

LLVM 工具集已 rebase 到版本 14.0.6。主要变更包括：

Go 工具集 rebase 到版本 1.18.2

Go 工具集已 rebase 到版本 1.18.2。

LLVM 黄金插件 现在在 IBM Z 构架上提供

有了这个增强，用户可以在 IBM Z (s390x)构架上使用 clang 和 ld.bfd 创建 LTO 构建。s390x 架构现在支持与 ld.bfd 和 LTO 的链接。

新模块流：maven:3.8

RHEL 8.7 引入了 Maven 3.8 来作为新模块流。

.NET 版本 7.0 可用

Red Hat Enterprise Linux 8.7 与 .NET 版本 7.0 一起发布。主要改进包括：

SSSD 现在支持 SID 请求的内存缓存

有了这个增强，SSSD 现在支持 SID 请求的内存缓存，它们是按 SID 查询的 GID 和 UID ，反之亦然。内存缓存提高了性能，例如，当向或从 Samba 服务器拷贝大量文件时。

IdM 现在支持使用 Windows Server 2022 配置 AD Trust

有了这个增强，您可以在身份管理(IdM)域和使用运行 Windows Server 2022 的域控制器的活动目录林之间建立跨林信任。

IdM 现在支持在用户密码过期后对允许的 LDAP 绑定数量的限制

有了这个增强，当身份管理(IdM)用户的密码已过期时，您可以设置允许 LDAP 绑定的数量：

IdM 现在指示在名称搜索过程中给定的名称是否是可信 AD 域中的用户或组

有了这个更新，新的 getorigbyusername （） 和 getorigbygroupname （） 调用被添加到 libsss_nss_idmap ，一个基于 SID 查询的工具库。当身份管理(IdM)处于与活动目录(AD)域的信任之中时，这个添加使用户和组查找更加健壮。当执行用户或组查找时，IdM 现在可以显示是否指定的名称属于可信域中的用户或组。

新的 ipasmartcard_server 和 ipasmartcard_client 角色

有了这个更新，ansible-freeipa 软件包提供了 Ansible 角色来配置身份管理(IdM)服务器和客户端，以进行智能卡验证。ipasmartcard_server 和 ipasmartcard_client 角色替代了 ipa-advise 脚本来自动化和简化集成。使用与其它 ansible-freeipa 角色相同的清单和命名方案。

samba rebase 到版本 4.16.1

samba 软件包升级至上游版本 4.16.1，它提供程序错误修复和增强：

SSSD 现在支持直接与 Windows Server 2022 集成

有了这个增强，您可以使用 SSSD 将 RHEL 系统直接与使用运行 Windows Server 2022 的域控制器的活动目录林集成。

目录服务器现在支持取消 Auto Membership 插件任务。

在以前的版本中，如果目录服务器有复杂的配置（大的组、复杂的规则以及与其他插件的交互），则 Auto Membership 插件任务会在服务器上产生很高的 CPU 使用率。有了这个增强，您可以取消 Auto Membership 插件任务。因此，性能问题不会再发生。

目录服务器现在在使用 ldapdelete 时支持递归删除操作

在这个版本中，Directory 服务器支持 Tree Delete Control [1.2.840.113556.1.4.805] OpenLDAP 控制。因此，您可以使用 ldapdelete 程序以递归方式删除父条目的子条目。

现在，您可以在目录服务器安装过程中设置基本复制选项

有了这个增强，您可以在实例安装过程中使用 .inf 文件配置基本复制选项，如身份验证凭证和 changelog 修剪。

现在，在目录服务器中默认启用复制 changelog 修剪

在以前的版本中，目录服务器没有配置为默认自动修剪 changelog 文件。因此，changelog 文件可能会变得非常大。有了这个更新，目录服务器默认配置为修剪 7 天前的 changelog 条目，从而防止 changelog 文件的过度增长。

pki 软件包重命名为 idm-pki

以下 pki 软件包现在被重命名为 idm-pki，以更好地区分 IDM 软件包和 Red Hat 证书系统软件包：

vulkan 软件包在 64 位 IBM POWER 上提供

现在，支持 Vulkan 3D 图形 API 的软件包在 little-endian 64 位 IBM POWER 架构(ppc64le)上提供：

支持新的 AMD GPU

此发行版本添加了对几个 AMD Radeon RX 6000 系列 GPU 和 AMD Ryzen 6000 系列 CPU 的集成图形的支持。

第 12 代 Intel Core GPU 不再需要 force_probe 选项

在本发行版前，您必须设置 i915.alpha_support=1 或 i915.force_probe=* 内核选项来启用对第 12 代 Intel Core GPU 的支持，其以前被称为 Alder Lake-S 和 Alder Lake-P。

RHEL web 控制台现在将 RHEL 作为 Download an OS VM 工作流的一个选项

有了这个增强，RHEL web 控制台支持使用默认的 Download an OS 工作流的 RHEL 虚拟机的安装。因此，您可以在 web 控制台中直接下载并安装 RHEL OS 作为虚拟机。

RHEL web 控制台中用于单独安装内核补丁的一个新按钮

有了这个更新，RHEL web 控制台提供 Install kpatch updates 按钮。您可以使用它来仅安装内核补丁，而无需安装其他更新并重启系统。

现在，诊断报告页面提供了新的功能

在更新的 web 控制台诊断报告(sos 报告)页面，您现在可以：

从 web 控制台 UI 设置加密策略

有了这个更新，您可以直接从 RHEL web 控制台用户界面(UI)直接更改不同的加密策略级别。您可以从 UI 的 Overview 页面中的 Configuration 字段访问加密策略配置选项。

Web 控制台中的更新进度页面现在支持自动重启选项

更新进度页面现在有一个 Reboot after completion 开关。这会在安装更新后自动重启系统。

ha_cluster RHEL 系统角色现在支持 SBD 隔离和 Corosync 设置的配置

ha_cluster 系统角色现在支持以下功能：

用户可以使用 network RHEL 系统角色创建具有 IPoIB 能力的连接

network RHEL 系统角色的 infiniband 连接类型现在支持 Infiniband (IPoIB)功能上的互联网协议。要启用此功能，请为 infiniband 的 p_key 选项定义一个值。请注意，如果指定了 p_key，则 network_connections 变量的 interface_name 选项必须保留为未设置。网络 RHEL 系统角色以前的实现没有正确地验证 p_key 值以及 infiniband 连接类型的 interface_name 选项。因此，IPoIB 功能在以前不能工作。如需更多信息，请参阅 /usr/share/doc/rhel-system-roles/network/ 目录中的 README 文件。

network RHEL 系统角色现在为路由规则配置网络设置

在以前的版本中，您可以根据数据包中的目标地址字段路由数据包，但您不能定义源路由和其他策略路由规则。有了这个增强，network RHEL 系统角色支持路由规则，以便用户可以控制数据包传输或路由选择。

Networking 系统角色现在在其管理的配置文件中使用 Ansible managed 注释

使用 initscripts 提供者时，网络系统角色现在会在 /etc/sysconfig/network-scripts 目录中生成已注释的 ifcfg 文件。Networking 角色使用 Ansible 标准的 ansible_managed 变量插入 Ansible managed 注释。注释声明 ifcfg 文件由 Ansible 管理，并且表示不应直接编辑 ifcfg 文件，因为网络角色将覆盖该文件。当提供者是 initscripts 时，会添加 Ansible managed 注释。当使用具有 nm (NetworkManager)提供者的网络角色时，ifcfg 文件是由 NetworkManager 管理的，而不是网络角色。

新 previous:replaced 配置可让 firewall 系统角色将防火墙设置重置为默认值

管理不同机器集合（其中每台机器都有不同的预先存在的防火墙设置）的系统管理员，现在可以使用 firewall 角色中的 previous: replaced 配置，来确保所有机器都有相同的防火墙配置设置。previous: replaced 配置可能会清除所有现有的防火墙设置，并使用一致的设置替换它们。

增强的 Microsoft SQL Server RHEL 系统角色

以下新变量现在可用于 microsoft.sql.server RHEL 系统角色：

logging RHEL 系统角色在文件输入中支持 startmsg.regex 和 endmsg.regex

有了这个更新，您现在可以使用正则表达式过滤来自文件的日志消息。startmsg_regex 和 endmsg_regex 选项现在包含在文件的输入中。startmsg_regex 代表与消息的开始部分匹配的正则表达式，而 endmsg_regex 代表与消息的最后部分匹配的正则表达式。因此，您可以根据日期、优先级和严重性等属性过滤消息。

storage RHEL 系统角色中提供了对精简置备的卷的支持

storage RHEL 系统角色现在可以创建和管理精简配置的 LVM 逻辑卷。精简配置的 LV 会在写时分配，因此在创建卷时具有更好的灵活性，因为提供给精简配置的 LV 的物理存储可以在以后需要时增加。LVM 精简配置还允许创建效率更高的快照，因为精简 LV 的通用数据块及其任何快照都是共享的。

logging RHEL 系统角色现在支持 template、severity 和 facility 选项

logging RHEL 系统角色现在对文件输入提供新的有用的 severity 和 facility 选项，对文件和转发输出提供 template 选项。使用 template 选项使用 traditional 参数指定传统时间格式，使用参数 syslog 指定 syslog 协议 23 格式，使用参数 modern 指定现代风格格式。您现在可以使用 logging 角色根据 severity 和 facility 进行过滤，并根据 template 指定输出格式。

RHEL 系统角色现在在禁用事实收集的 playbook 中提供

由于性能或其他原因，可能会在您的环境中禁用 Ansible 事实收集。在以前的版本中，无法在这样的配置中使用 RHEL 系统角色。有了这个更新，系统会在您的配置中检测 ANSIBLE_GATHERING=explicit 参数，在 playbook 中检测 gather_facts: false 参数，并使用 setup: 模块来仅收集给定角色所需要的事实（如果在事实缓存中没有）。

sshd RHEL 系统角色验证置入目录的 include 指令

RHEL 9 上的 sshd RHEL 系统角色只管理置入目录中的文件，但之前没有验证目录中是否包含在主 sshd_config 文件中。有了这个更新，该角色会验证 sshd_config 是否包含置入目录的 include 指令。因此，该角色可以更可靠地应用提供的配置。

sshd RHEL 系统角色可以通过 /etc/ssh/sshd_config 进行管理

应用到 RHEL 9 受管节点d sshd RHEL 系统角色将 SSHD 配置放在置入目录中(默认为/etc/ssh/sshd_config.d/00-ansible_system_role.conf )。在以前的版本中，对 /etc/ssh/sshd_config 文件的任何更改都会覆盖 00-ansible_system_role.conf 中的默认值。在这个版本中，您可以使用 /etc/ssh/sshd_config 而不是 00-ansible_system_role.conf 管理 SSHD，同时在 00-ansible_system_role.conf 中保留系统的默认值。

在配置 masquerade 或 icmp_block_inversion 时，firewall RHEL 系统角色不需要 state 参数

在配置自定义防火墙区时，变量 masquerade 和 icmp_block_inversion 是布尔值设置。true 值表示 state: present 和 false 值表示 state: absent。因此，配置 masquerade 或 icmp_block_inversion 时不需要 state 参数。

metrics 角色可以导出 postfix 性能数据

现在，您可以使用 metrics 角色中的新 metrics_from_postfix 布尔变量来记录并进行详细的性能分析。有了这个增强，设置变量会再系统上启用 pmdapostfix 指标代理，生成关于 postfix 的统计信息。

storage 系统角色现在默认具有较少的详细信息

storage 角色输出现在默认具有较少的详细信息。有了这个更新，用户可以提高 storage 角色输出的详细信息，使其只有在使用 Ansible 详细程度 1 或更高程度时才生成调试输出。

metrics 系统角色现在生成标头中有合适的 ansible_managed 注释的文件

在以前的版本中，metrics 角色不会向角色生成的文件中添加 ansible_managed 标头注释。有了这个修复，metrics 角色将 ansible_managed 标头注释添加到它生成的文件中，因此用户可以轻松地识别 metrics 角色生成的文件。

postfix 系统角色现在生成标头中有合适的 ansible_managed 注释的文件

在以前的版本中，postfix 角色不会向角色生成的文件中添加 ansible_managed 标头注释。有了这个修复，postfix 角色向其生成的文件中添加 ansible_managed 标头注释，因此用户可以轻松地识别 postfix 角色生成的文件。

postfix RHEL 系统角色中的新选项可覆盖以前的配置

如果您管理一组具有 postfix 配置不一致的系统，则可能要在所有这些配置上保持一致。在这个版本中，您可以指定 postfix_conf 字典中的 previous: replaced 选项，以移除任何现有配置并在清 postfix 安装之上应用所需的配置。因此，您可以清除任何现有的 postfix 配置并确保所有被管理的系统上的一致性。

现在，您可以使用 firewall RHEL 系统角色中的 absent 和 present 状态添加、更新或删除服务

在这个版本中，您可以使用 present 状态来添加端口、模块、协议、服务和目标地址，或使用 absent 状态来删除它们。请注意，要在 firewall RHEL 系统角色中使用 absent 和 present 状态，请将 permanent 选项设置为 true。将 permanent 选项设置为 true 时，状态设置将应用至更改后，并且保持不受角色重新加载的影响。

firewall 系统角色可以使用 PCI 设备 ID 向区添加或删除接口

使用 PCI 设备 ID，firewall 系统角色现在可以为区分配或删除网络接口。在以前的版本中，如果只有 PCI 设备 ID 已知而不是接口名称，用户必须首先识别对应的接口名称才能使用 firewall 系统角色。在这个版本中，firewall 系统角色可以使用 PCI 设备 ID 来管理区中的网络接口。

network RHEL 系统角色支持使用 nmstate API 的网络配置

在这个版本中，network RHEL 系统角色支持通过 nmstate API 进行网络配置。用户现在可以将所需网络状态的配置直接应用到网络接口，而不是创建连接配置集。该功能还允许部分配置网络。因此，存在以下优点：

新的 cockpit 系统角色变量用于设置自定义监听端口

cockpit 系统角色引入了 cockpit_port 变量，它允许您设置默认的 9090 端口以外的自定义监听端口。请注意，如果您决定设置自定义监听端口，您还需要调整 SELinux 策略以允许 Web 控制台监听该端口。

firewall RHEL 系统角色可以提供 Ansible 事实

在这个版本中，您可以通过在 playbook 中包含不带参数的 playbook 中的 firewall: 变量，从所有系统收集 firewall RHEL 系统角色的 Ansible 事实。要收集更多 Ansible 事实的详细版本，请使用 detailed: true 参数，例如：

将 seuser 和 selevel 的设置添加到 selinux RHEL 系统角色

有时，在设置 SELinux 上下文文件系统映射时，需要设置 seuser 和 selevel 参数。在这个版本中，您可以使用 selinux_fcontext 中的 seuser 和 selevel 可选参数来指定 SELinux 上下文文件系统映射中的 SELinux 用户和级别。

ap-check 现在在 RHEL 8 中提供

mdevctl 工具现在提供了一个新的 ap-check 支持工具。您可以使用 mdevctl 永久配置加密适配器和域，允许将它们直通到虚拟机以及 矩阵 和 vfio-ap 设备。使用 mdevctl ，您无需在每次 IPL 后重新配置这些适配器、域和设备。此外，mdevctl 可以防止服务器发明其他方法来重新配置它们。

IBM Z 上所选的虚拟机现在可以使用大于 896 字节的内核命令行启动

在以前的版本中，如果虚拟机的内核命令行超过 896 字节，启动 RHEL 8 IBM Z 主机上的虚拟机(VM)会始终失败。有了这个更新，QEMU 模拟器可以处理大于 896 字节的内核命令行。现在，如果 VM 内核支持，您可以对虚拟机使用具有非常长的内核命令行的 QEMU 直接内核引导。具体来说，要使用大于 896 字节的命令行，虚拟机必须使用 Linux 内核版本 5.16-rc1 或更高版本。

使用多线程的虚拟机内存预分配

现在，您可以在域 XML 配置中为虚拟机(VM)内存分配定义多个 CPU 线程，例如，如下所示：

现在完全支持 ESXi hypervisor 和 SEV-ES

现在，您可以启用 AMD Secure Encrypted Virtualization-Encrypted State(SEV-ES)来保护 VMware 的 ESXi hypervisor 版本 7.0.2 及更新版本上的 RHEL 虚拟机(VM)。此功能以前作为技术预览在 RHEL 8.4 中引入。它现已被全面支持。

IBM Z 上的安全执行现在支持远程认证

IBM Z 架构上的安全执行功能现在支持远程认证。pvattest 工具可以创建远程认证请求，以验证启用了安全执行的虚拟机(VM)的完整性。

现在，在 Ampere Altra 构架上支持 RHEL 虚拟机

有了这个更新，在带有基于 Ampere® Altra® 构架的 Azure 虚拟机上支持运行 RHEL 操作系统。

open-vm-tools rebase 到 12.0.5

open-vm-tools 软件包升级至版本 12.0.5，它引入了大量的 bug 修复和新功能。最值得注意的是，增加了对通过客户机操作系统变量管理的 Salt Minion 工具的支持。

cloud-init 的新的 SSH 模块

有了这个更新，SSH 模块已添加到 cloud-init 工具中，它会在实例创建过程中自动生成主机密钥。

Container Tools 软件包已更新

包含 Podman、Buildah、Skopeo、crun 和 runc 工具的 Container Tools 现在可用。与之前的版本相比，这个更新提供了 bug 修复和增强的列表。

GitLab Runner 现在可使用 Podman 在 RHEL 上提供

从 GitLab Runner 15.1 开始，您可以使用 Podman 作为 GitLab Runner Docker Executor 中的容器运行时。如需了解更多详细信息，请参阅 GitLab 的发行注记。

Podman 现在支持 --health-on-failure 选项

podman run 和 podman create 命令现在支持 --health-on-failure 选项，来确定容器状态变为不健康时要执行的操作。

Netavark 网络堆栈现在可用

从 Podman 4.0 开始，新网络堆栈包括两个工具：Netavark 网络设置工具和 Aardvark DNS 服务器。在 RHEL 8 中，以前作为技术预览提供的 Netavark 堆栈现在完全支持。

安装程序不再安装早期版本的软件包

在以前的版本中，在安装过程中安装程序无法正确载入 DNF 配置文件。因此，安装程序有时会在 RPM 事务中安装所选软件包的早期版本。

即使在阶段 2 中更改网络配置，Anaconda 安装也会成功

在以前的版本中，当使用 rd.live.ram 引导参数时，Anaconda 不会卸载在 initramfs 中用来将安装镜像提取到内存中的 NFS 挂载点。因此，如果阶段 2 中更改了网络配置，安装过程可能会变得没有响应，或因为超时错误而失败。

在安装过程中安装程序会要求在 Kickstart 文件中缺少的加密设备的密码短语

在以前的版本中，当在图形模式运行安装程序时，如果 Kickstart 文件中没有指定密码短语，安装程序不会要求输入加密设备的密码短语。因此，在安装过程中不会应用在 Kickstart 文件中指定的分区。

镜像现在可以成功构建包含有条件依赖项的蓝图中的软件包

在以前的版本中，当使用 Web 控制台自定义带有软件包的包含条件依赖项的蓝图时（如 ipa-client,cockpit ，podman），会由于缺失依赖项而导致构建失败。因此，dep-solve 软件包过程中不会满足条件依赖项。这个问题现已解决，当分解条件依赖项时，构建将不再失败。

DNF 现在可以正确地回滚一个带有 Reason Change Action 类型的项的事务

在以前的版本中，对包含 Reason Change Action 类型的项的事务运行 dnf history rollback 命令会失败。有了这个更新，此问题已被解决，dnf history rollback 现在可以按预期工作。

没有参数的 cmx 操作不再使 CIM 客户端崩溃

cmx 操作调用一个方法，并返回 XML，一个参数指定调用的方法的名称。在以前的版本中，当在运行没有附加参数的 cmx 操作时，命令行 sblim-wbemcli 公共信息模型(CIM)客户端会崩溃。有了这个更新，cmx 操作需要定义调用的方法的名称。在没有此参数的情况下调用 cmx 操作会导致错误消息，CIM 客户端不再崩溃。

opencv 库中的 cvSaveImage 函数不再终止用户应用程序

在以前的版本中，opencv 库无法正确使用 cvSaveImage 函数。因此，用户应用程序会意外终止。有了这个更新，cvSaveImage 函数会在磁盘上写镜像数据，不再终止用户应用程序。

如果没有更新 /etc/fstab中的 UUID，ReaR 不再失败并显示错误消息

在以前的版本中，当 ReaR 不能更新 /etc/fstab 中的通用唯一标识符(UUID)，来匹配在 UUID 不同的情况下新创建的分区时 ，ReaR 不会在恢复过程中显示一条错误消息。如果救援镜像与备份不同步，则会出现这种情况。有了这个更新，如果恢复的基本系统文件与重新创建系统不匹配，则在恢复过程中会显示一条错误消息。

带有 PXE 输出方法的 ReaR 不再无法在 rsync OUTPUT_URL 位置存储输出文件

在 RHEL 8.5 中，删除了带有 OUTPUT=PXE 和 BACKUP=RSYNC 选项的 OUTPUT_URL 变量的处理。因此，当为 OUTPUT_URL 使用 rsync 位置时，ReaR 无法将 initrd 和内核文件拷贝到此位置，虽然其它们上传到了 BACKUP_URL 指定的位置。有了这个更新，RHEL 8.4 和更早版本的行为被恢复了。ReaR 使用 rsync 在指定的 OUTPUT_URL 目的地中创建所需的文件。

ReaR 现在支持使用 NetBackup 版本 9 恢复系统

在以前的版本中，使用 NetBackup 版本 9 或更高版本的 NetBackup (NBU) 恢复系统会因为缺少库和其他文件而失败。有了这个更新，NBU_LD_LARY_PATH 变量包含所需的库路径，救援系统现在包含所需的文件，ReaR 可以使用 NetBackup 方法。

ReaR 不再显示有关丢失符号链接目标的假错误消息

在以前的版本中，ReaR 在创建救援镜像时，会对 /usr/lib/modules/ 下的 build 和 source 符号链接缺失符号链接目标而显示不正确的错误消息。这个情况是无害的，您可以安全地忽略此错误消息。有了这个更新，在这种情况下，ReaR 不会报告缺少 符号链接目标的假错误消息。

SR-IOV 设备的回退现在可以成功完成

在以前的版本中，因为 hcnmgr 脚本中使用了不正确的 active_slave 属性而不是 primary 属性，在设备故障切换后，单根 I/O 虚拟化(SR-IOV)设备不会回退。有了这个更新，hcnmgr 脚本对 SR-IOV 设备使用正确的属性可以成功完成。

ppc64-diag rebase 到版本 2.7.8

平台诊断的 ppc64-diag 软件包已更新至版本 2.7.8。主要改进和 bug 修复包括：

lsvpd rebase 到版本 1.7.14

提供构成硬件清单系统命令的lsvpd 软件包已更新至版本 1.7.14。有了这个更新，lsvpd 工具可防止在运行 vpdupdate 命令时数据库文件的崩溃。

libvpd rebase 到版本 2.2.9

包含访问 Vital 产品数据(VPD)的类的 libvpd 软件包已更新至版本 2.2.9。主要改进和 bug 修复包括：

RHEL 8 中的打印机测试页面布局已更改

在以前的版本中，如果目标文档格式为 PDF，则不会打印打印测试页。这个更新引入了一个新的测试页面布局，用于更广泛的打印机。请注意，测试页面不包含有关打印机或测试页面打印作业的任何信息。

frr 二进制文件和脚本有一个新位置

在以前的版本中，管理动态路由堆栈的 frr 软件包将其二进制文件和脚本包含在 /usr/lib/frr 目录中，这会在应用新目标 SELinux 策略时引起某些问题。因此，SELinux 会在向量缓存(AVC)中记录拒绝信息，并阻止 frr 正常启动。

OpenSCAP 补救为 /etc/tmux.conf 设置正确的权限

在以前的版本中，当重新修复 SCAP 规则 configure_tmux_lock_after_time 时，/etc/tmux.conf 文件是使用与 umask (600)相关的权限创建的。这会导致 /etc/tmux.conf 对常规用户不可读。如果常规用户登录，它们会收到一条错误消息，必须在超时到期前等待几分钟，然后才能登录。有了这个更新，规则 configure_tmux_lock_after_time 的修复将 /etc/tmux.conf 的特定权限设为 644。因此，常规用户不会再遇到错误消息或登录延迟。

Rsyslog 的 SCAP 规则可以正确识别 .conf 文件

在以前的版本中，规则"确保系统日志文件拥有正确的权限" (xccdf_org.ssgproject.content_rule_rsyslog_files_permissions)没有在 Rsyslog include 语句中扩展 glob 表达式。因此，该规则没有解析所有相关配置文件，有些日志文件没有检查它们的权限。有了这个更新，该规则可以正确地扩展 glob 表达式，以识别它需要解析的 .conf 文件。现在，该规则可以正确地处理所需的 .conf 文件，以确保所有配置的日志文件都有正确的权限。

chronyd 的规则不需要显式的 chrony 用户配置

RHEL 默认在 chrony 用户下运行 chronyd。在以前的版本中，chronyd 服务配置用户的检查和修复过于严格。过于严格的检查导致误报和过度的补救。在这个版本中，规则 xccdf_org.ssgproject.content_rule_chronyd_run_as_chrony_user 的检查和补救会更新,以便最低限度的正确配置和传统的显式正确配置可以通过。因此，规则尊重默认的 RHEL 行为，不需要显式的 chrony 用户配置。

警告添加到 rsyslog_remote_loghost 中

SCAP 规则 xccdf_org.ssgproject.content_rule_rsyslog_remote_loghost 确保 Rsyslog 守护进程被配置为将日志消息发送到远程日志主机。但是，该规则没有配置 TCP 队列。因此，如果没有配置 TCP 队列，系统会挂起，远程日志主机变得不可用。这个更新添加了一条警告消息，解释了如何配置 TCP 队列。如果您在使用这个规则时遇到系统挂起，请读取警告并正确配置系统。

sudo_custom_logfile 的修复也适用于自定义 sudo 日志文件

在以前的版本中，SCAP 安全指南规则 xccdf_org.ssgproject.content_sudo_custom_logfile 的修复不适用于与 /var/log/sudo.log 不同路径的自定义 sudo 日志文件。有了这个更新，规则已被修复，如果系统有一个与预期路径不匹配的自定义的 sudo 日志文件，则该规则可以正确修复。

firewalld_sshd_port_enabled 的修复现在可以正常工作

在以前的版本中，SCAP 规则 xccdf_org.ssgproject.content_rule_firewalld_sshd_port_enabled 的 Bash 修复会错误地处理网络接口列表。另外，配置文件的名称与所需名称不同。这个更新已修复了补救。因此，补救可以正确地处理所有网络接口，配置文件有可预测的名称。

fagenrules --load 现在可以正常工作

在以前的版本中，fapolicyd 服务无法正确处理信号挂起(SIGHUP)。因此，在收到 SIGHUP 信号后 fapolicyd 会终止，fagenrules --load 命令无法正常工作。此更新包含了对此问题的修复。因此，fagenrules --load 现在可以正常工作，规则更新不再需要手动重启 fapolicyd。

NetworkManager 工具会强制对来自各种源的 IPv6 地址进行正确排序

通常，IPv6 地址的顺序会影响源地址选择的优先级。例如，当您进行传出 TCP 连接时，在以前的版本中，通过 manual、dhcpv6 和 autoconf6 方法添加 IPv6 地址的相对优先级是不正确的。有了这个更新，此问题已被解决，排序优先级现在反映了这个逻辑：manual > dhcpv6 > autoconf6。但是，ipv6.addresses 设置下的地址顺序没有变化，最后添加的地址仍具有最高的优先级。

非对称路由现在可以正常工作

以前的 RHEL 8 次要版本包含一个更改，其在某些情况下会导致连接跟踪失败。因此，非对称路由无法正常工作。此发行版本恢复了在 RHEL 8.6 中引入的更改。因此，非对称路由可以正常工作。

弃用 CgroupV1 memory.swappiness 的新功能，允许一致的交换行为

CgroupV1 包括 memory.swappiness 每 cgroup swappiness 值，用于控制给定 cgroup 的交换行为。

在为加密设备输入密码短语后，Anaconda 不再失败

在以前的版本中，如果在准备安装时禁用了 kdump，并且用户所选了加密磁盘分区，则 Anaconda 安装程序在为加密设备输入密码短语后会失败，并出现回溯。

v1 模式中的 net_prio 或 net_cls 控制器现在可以正常工作

在以前的版本中，在 cgroup-v2 环境中，在 v1 模式下使用 net_prio 或 net_cls 控制器禁用了套接字数据的层次结构跟踪。因此，套接字数据跟踪控制器的 cgroup-v2 层次结构不处于活跃状态，dmesg 命令会报告以下信息：

grubby 现在将参数传递给未来的内核

当安装较新版本的内核时，grubby 工具不会传递来自上一内核版本的内核命令行参数。因此，GRUB 引导装载程序会忽略用户设置。有了这个修复，在安装了新内核版本后，用户设置仍然有效。

在创建新 Booth 票据时，pcs 现在识别 mode 选项

在以前的版本中，当用户在添加新的 Booth 票据时指定了 mode 选项，pcs 会报告错误 invalid booth ticket option 'mode'。有了这个修复，您可以在创建 Booth 票据时指定 mode 选项。

pcs 现在验证 stonith-watchdog-timeout 的值

在以前的版本中，可以将 stonith-watchdog-timeout 属性设为与 SBD 配置不兼容的值。这可能会导致隔离循环，或者可能导致集群将隔离操作视为成功，即使操作没有完成。有了这个修复，pcs 会在您设置它时验证 stonith-watchdog-property 的值，以防止不正确的配置。

现在，当启用 OQGraph 插件时，MariaDB 10.5 会发出删除不存在的表的警告

在以前的版本中，当 OQGraph 存储引擎插件加载到 MariaDB 10.5 服务器时，MariaDB 不会发出删除不存在的表的警告。特别是，当用户尝试使用 DROP TABLE 或 DROP TABLE IF EXISTS SQL 命令删除不存在的表时，MariaDB 不会返回错误消息，也不会记录警告。这个 bug 已解决，会在上述场景中显示一条警告。

当从 fork 处理程序回调调用 pthread_atfork 或 dclose 时，应用程序不再死锁

在以前的版本中，当 glibc 获取内部锁时，应用程序会调用 pthread_atfork 处理程序回调。因此，注册 fork 处理程序或从 fork 处理程序调用 dclose 可能会导致应用程序死锁。

当只有目录时，Makefile 中的通配符功能不再返回符号链接

在以前的版本中，glob() 使用的 GLOB_ONLYDIR 提示会将符号链接错误地报告为某个 XFS 文件系统上的目录。使用 glob() 时，make 不会确认提示是否是实际的目录，因此，当只有目录时，Makefile 中的通配符功能会返回符号链接。

popen() 不再导致多线程进程崩溃

在以前的版本中，在使用多线程进程中的接口时,popen() 会导致应用程序崩溃。有了这个更新，bug 已修复，在使用 popen() 时，多线程进程不会再崩溃。

有些 IBM 字符集的 0xBC 代码点的映射现在是 U+00AF MACRON

在以前的版本中，IBM256、IBM277、IBM278、IBM280、IBM284、IBM297 和 IBM424 字符集编码了 EBCDIC 代码点 0xBC 来作为 Unicode 字符 U+203E OVERLINE。因此，当使用 glibc 提供的 iconv 程序时，在这些字符集合中包含 0xBC 代码点的转换文本对于非Unicode 字符集（比如 ISO-8859-1）会失败，因为它们不能编码 U+203E OVERLINE 字符。

tempnam 函数现在使用 getrandom 来增加生成的文件名的随机性

在以前的版本中，Red Hat Enterprise Linux 8.4 及之后的版本中的 tempnam 函数使用时间派生的随机性来选择路径。因此，在快速连续调用时，tempnam 函数不会生成可能文件名的全集。这个 bug 已被一个新的实现修复，它使用 getrandom 函数来提高生成的文件名称的随机性。现在，tempnam 函数可以生成更多不同的文件名。

POWER9-optimized strncpy 功能不再给出不正确的结果

在以前的版本中，POWER9 strncpy 功能没有使用正确的注册作为 padding NUL 字节的来源。因此，输出缓冲包含未初始化的寄存器内容，而不是 NUL padding。在这个版本中，strncpy 功能已被修复，输出缓冲区的末尾会正确添加 NUL 字节。

en_US@ampm 区域现在可以使用 locale -a 正确列出

在以前的版本中，在 locale -a 命令输出的 en_US@ampm 列表中有一个缺陷。因此，当尝试使用 locale -a 打印的名称/别名设置这个区域时，setlocale API 会失败。有了这个更新，en_US@ampm 现在可被正确列出，并为 locale -a 打印的所有区域成功调用 setlocale。

事件的单元掩码现在都包括在 papi_xml_event_info 输出中

在以前的版本中，papi_xml_event_info 中测试事件单元掩码信息不完整。在某些情况下，事件的单元掩码不包含在 papi_xml_event_info 输出中。这个 bug 已修复，因此 papi_xml_event_command 现在可以打印出事件的所有单元掩码。

默认情况下，调试消息不再记录到 /var/log/messages

在以前的版本中，ipa-dnskeysyncd 和 ipa-ods-exporter 守护进程会默认将所有调试消息记录到 /var/log/messages，导致日志大幅增大。现在，您可以通过在 /etc/ipa/dns.conf 文件中设置 debug=True 来配置调试日志级别。有关详细信息，请参阅 default.conf (5) 手册页。

保留用户帐户

在以前的版本中，如果您运行 ipa user-del --preserve user_login 命令来保留用户帐户，输出会错误地返回信息 Deleted user "user_login"。这个消息错误地表示用户已被删除，且未按预期保留。有了这个更新，输出现在返回 Preserved user “user_login”。

传输大于 4 GB 的 Kerberos 数据库

在以前的版本中，kprop 服务和 kpropd 命令在存储 Kerberos KDC 数据库的大小时使用 32 位值。因此，如果数据库大小超过 4 GB，则将 Kerberos 数据库转储文件从主 Kerberos 服务器传输到副本服务器会失败。

处理 LDAP 组成员列表中的不可读对象

在此次更新之前，SSSD 处理 LDAP 组成员列表中的不可读取对象不一致，这会导致不可读取对象出错或在某些情况下不可读取对象被忽略。

Airplane Mode 开关始终显示

在以前的版本中，在启用了 airplane 模式后，Settings 应用的 Wi-Fi 部分中的 Airplane Mode 切换消失了。有了这个更新，这个问题已被解决，并且 Settings 始终会显示 Airplane Mode 开关，无论其状态是什么。

Motif 应用程序中的热键激活正确的项目

在以前的版本中，菜单热键使用 Motif 工具包激活应用程序中错误的菜单项。当子菜单处于打开状态时，您按与其项目关联的热键，应用程序会改为在父菜单中激活一个项目。

禁用 IPv6 和 DisallowTCP=false 后，桌面不再无法启动

在以前的版本中，在以下情况下登录后，X11 桌面会话无法启动：

使用 Web 控制台删除 USB 主机设备现在可以按预期工作

在以前的版本中，当您将 USB 设备附加到虚拟机时，USB 设备的设备号和总线号会在传给虚拟机后改变。因此，由于设备和总线号关联不正确，因此使用 Web 控制台删除这样的设备会失败。有了这个更新，这个问题已被解决，您可以使用 web 控制台删除 USB 主机设备。

使用 Web 控制台附加多个主机设备现在可以按预期工作

在以前的版本中，当使用 web 控制台选择多个设备来附加到虚拟机(VM)时，只会附加一个设备，剩余的设备都会被忽略。有了这个更新，这个问题已被解决，现在您可以使用 web 控制台同时附加多个主机设备。

修复了一个拼写错误，为正确的绑定模式支持 active-backup

在以前的版本中，在指定 active-backup 绑定模式时，在支持 InfiniBand 端口时，active_backup 有一个拼写错误 。由于这个拼写错误，对于 InfiniBand 绑定端口，连接无法支持正确的绑定模式。这个更新通过将绑定模式改为 active-backup 解决了拼写错误。现在，连接可以成功支持 InfiniBand 绑定端口。

IPRouteUtils.get_route_tables_mapping() 函数现在接受任何空白序列

在以前的版本中，iproute2 路由表数据库的一个解析程序（如 /etc/iproute2/rt_tables ）断言，文件中条目的格式为 254 main ，只有一个空格字符将数字 ID 和名称分开。因此，解析器无法缓存路由表名称和表 ID 之间的所有映射。因此用户无法通过定义路由表名称来在路由表中添加静态路由。有了这个更新，解析器会接受表 ID 和表名称之间的任何空格序列。因此，因为解析器会缓存路由表名称和表 ID 之间的所有映射，所以用户可以通过定义路由表名称来在路由表中添加静态路由。

metrics RHEL 系统角色所做的配置会正确遵循符号链接

安装 mssql pcp 软件包后，mssql.conf 文件位于 /etc/pcp/mssql/ 中，由被符号链接 /var/lib/pcp/pmdas/mssql/mssql.conf 定为目标。但是，metrics 角色覆盖了符号链接，而不是遵循它，并配置 mssql.conf。因此，运行 metrics 角色会更改到常规文件的符号链接，因此配置只影响 /var/lib/pcp/pmdas/mssql/mssql.conf 文件。这会导致符号链接失败，而主配置文件 /etc/pcp/mssql.conf 没有受到配置的影响。这个问题现已解决，遵循符号链接的 follow: yes 选项已添加到 metrics 角色中。因此，metrics 角色会保留符号链接，并正确配置主配置文件。

tlog RHEL 系统角色现在可以被 SSSD 正确覆盖

在以前的版本中，tlog RHEL 系统角色依赖系统安全服务守护进程(SSSD)文件提供者和启用的 authselect 选项 with-files-domain 来在 nsswitch.conf 文件中设置正确的 passwd 条目。有了这个修复，tlog 角色现在可以更新 nsswitch.conf，来确保tlog-rec-session 被 SSSD 正确覆盖。

卷的 mount_options 参数现在对卷有效

在以前的版本中，该参数会从卷的有效参数列表中意外删除。因此，用户无法为卷设置 mount_options 参数。有了这个 bug 修复，mount_options 参数已被添加到有效参数列表中，并且已重构了代码来捕获错误。因此，storage RHEL 系统角色可以为卷设置 mount_options 参数。

metrics RHEL 系统角色 README 和文档现在明确指定角色在 RHEL 的特定版本上支持的 Redis 和 Grafana 版本

在以前的版本中，当尝试在不支持的平台上使用具有不支持的 Redis 和 Grafana 版本的 metrics 角色时，角色会失败。这个更新澄清了关于角色在哪个 RHEL 版本上支持哪个 Redis 和 Grafana 版本的文档。因此，您可以避免在不支持的平台上使用不支持的 Redis 和 Grafana 的版本。

kernel_settings RHEL 系统角色现在可以正确地安装 python3-configobj

在以前的版本中，kernel_settings 角色返回一个错误：python3-configobj package could not be found。角色找不到软件包，是因为它没有在受管主机上安装 python3-configobj。有了这个更新，该角色现在可以在受管主机上安装 python3-configobj，并可以正常工作。

storage RHEL 系统角色现在可正确支持 LVM 卷的 striped 和 raid0 级别

storage RHEL 系统角色以前错误地报告 RAID 级别 条状 和 raid0，因为 LVM 卷不支持 raid0。现在，这个问题已被解决，角色现在可以正确创建由 LVM 支持的所有 RAID 级别的 LVM 卷： raid0、raid1、raid4、raid5、raid6、raid10、striped 和 mirror。

metrics RHEL 系统角色会在其配置更新后自动重启 pmie 和 pmlogger 服务

在以前的版本中，pmie 和 pmlogger 服务在配置更改后不会重启，并等待处理程序执行。这会导致其他 metrics 服务出现错误，这些服务需要 pmie 和 pmlogger 配置来匹配其运行时行为。有了这个更新，角色会在配置更新后立即重启 pmie 和 pmlogger，其配置与依赖 metrics 服务的运行时行为匹配，且它们可以正常工作。

forward_port 参数现在接受 字符串和字典选项

在以前的版本中，在 firewall RHEL 系统角色中，forward_port 参数只接受 字符串 选项。但是，该角色文档声明了 字符串 和 字典 选项的支持。因此，用户读取并遵循文档收到错误。这个程序错误已通过使 forward_port 接受这两个选项来解决。因此，用户可以安全地按照文档配置端口转发。

nbde_client 系统角色现在在指定额外的 Dracut 命令行参数时使用正确的空间

Dracut 框架需要在指定附加参数时正确启动，如内核命令行参数。如果没有通过正确的空间指定参数，则 Dracut 可能不会将指定的额外参数附加到内核命令行中。有了这个更新，nbde_client 系统角色在对 Dracut 配置文件创建附加组件时使用正确的空间。因此，该角色可以正确地设置 Dracut 命令行参数。

ssh 和 sshd RHEL 系统角色中最小 RSA 密钥位数选项

意外使用短 RSA 密钥可能会使系统更易受到攻击。在这个版本中，您可以使用 ssh 和 sshd RHEL 系统角色中的 RSAMinSize 选项为 OpenSSH 客户端和服务器设置 RSA 密钥最小长度。

NBDE 客户端系统角色支持静态 IP 地址

在之前的 RHEL 版本中，使用静态 IP 地址重启系统，并使用 Network Bound Disk Encryption(NBDE)客户端系统角色更改系统的 IP 地址。在这个版本中，NBDE 客户端系统角色支持具有静态 IP 地址的系统，重启后不会更改其 IP 地址。

带有故障转移 VF 的虚拟机的实时预复制迁移现在可以正常工作

在以前的版本中，如果虚拟机使用启用了虚拟功能(VF)故障转移功能的设备，则尝试预复制迁移正在运行的虚拟机(VM)会失败。这个更新解决了这个问题，现在可在上述场景中正常迁移虚拟机。

现在，即使在 Alibaba 云上启动 nm-cloud-setup 服务后，实例也可以保留主 IP 地址

在以前的版本中，在 Alibaba 云上启动实例后，nm-cloud-setup 服务会在多 IPv4 地址的情况下将不正确的 IP 地址配置为主 IP 地址。因此，这会影响出站连接的 IPv4 源地址的选择。有了这个更新，在手动配置二级 IP 地址后，NetworkManager 软件包会从 primary-ip-address 元数据中获取主 IP 地址，并正确配置主和辅 IP 地址。

SR-IOV 在 Azure 上的 ARM 64 RHEL 8 虚拟机中不再表现不佳

在以前的版本中，在运行在 Microsoft Azure 平台上的 ARM 64 RHEL 8 虚拟机中，SR-IOV 网络设备比预期的吞吐量要低的多，延迟要高的多。这个问题已被解决，受影响的虚拟机现在运行正常。

在 AWS 上使用 cloud-init 启动 RHEL 8 虚拟机不再超过预期的时间

在以前的版本中，在 Amazon Web Services (AWS)上使用 cloud-init 服务初始化 RHEL 8 的 EC2 实例需要更长的时间。RHEL 8 的 Amazon 机器镜像(AMI)已被更新来包括此问题的修复，初始化 RHEL 8 的 EC2 实例现在可以正常工作。

由于不匹配存储库 ID，DNF 和 YUM 不再失败

在以前的版本中，DNF 和 YUM 存储库 ID 与 DNF 或 YUM 期望的格式不匹配。例如，如果您运行以下示例，则会发生错误：

现在，可以拉取使用 Beta GPG 密钥签名的容器镜像

在以前的版本中，当您拉取 RHEL Beta 容器镜像时，Podman 会失败，并显示错误消息：Error: Source image rejected: None of the signatures are accepted.由于当前构建被配置为默认不信任 RHEL Beta GPG 密钥，所以镜像无法被拉取。有了这个更新，/etc/containers/policy.json 文件支持一个新的 keyPaths 字段，该字段接受一个包含可信密钥的文件列表。因此，在默认配置中，现在接受使用 GA 和 Beta GPG 密钥签名的容器镜像。

ReaR 在 64 位 IBM Z 构架中作为技术预览提供

64 位 IBM Z 构架中现在作为技术预览提供了基本的 Relax 和 Recover(ReaR)功能。您只能在 z/VM 环境中的 IBM Z 上创建 ReaR 救援镜像。备份和恢复逻辑分区(LPAR)还没有测试。

KTLS 作为技术预览提供

RHEL 作为技术预览提供内核传输层(KTLS)。KTLS 使用内核中的对称加密或者解密算法为 AES-GCM 密码处理 TLS 记录。KTLS 还包括将 TLS 记录加密卸载到提供此功能的网络接口控制器(NIC)的接口。

AF_XDP 作为技术预览

Address Family eXpress Data Path (AF_XDP) 是设计用于处理高性能数据包。它伴随 XDP，并将编程选择的数据包的高效重定向授予给用户空间应用程序，以便做进一步处理。

可作为技术预览的 XDP 功能

红帽提供了以下 eXpress Data Path(XDP)功能作为不受支持的技术预览：

TC 的多协议标签交换，作为技术预览提供

Multi-protocol Label Switching（MPLS）是一个内核内数据转发机制，用于跨企业网络路由流量。在 MPLS 网络中，接收数据包的路由器根据附加到数据包的标签决定数据包的其他路由。使用标签时，MPLS 网络可以处理带有特定特征的数据包。例如，您可以添加 tc 过滤器，以一致的方式管理从特定端口接收的数据包或执行特定类型的流量。

systemd-resolved 服务现在作为技术预览提供

systemd-resolved 为本地应用程序提供名字解析。该服务实现了缓存和验证 DNS 存根解析器、链接本地多播名称解析(LLMNR)和多播 DNS 解析器和响应器。

The nispor 软件包现在作为技术预览提供

The nispor 软件包现在作为技术预览提供，它是 Linux 网络状态查询的统一接口。它提供了一个通过 python 和 C api 以及 rust crate 查询所有正在运行的网络状态的统一方法。nispor 作为nmstate 工具中的依赖项使用。

kexec 快速重启功能作为一种技术预览提供

kexec 快速重启功能作为一种技术预览继续提供。kexec 快速重启可以显著加快引导过程，因为内核允许直接引导到第二个内核，而无需首先通过基本输入/输出系统(BIOS)。要使用这个功能：

accel-config 软件包作为技术预览提供

accel-config 软件包现在作为技术预览在 Intel EM64T 和 AMD64 构架上提供。这个软件包有助于控制并配置 Linux 内核中的数据流化器（DSA）子系统。另外，它还通过 sysfs (pseudo-文件系统)配置设备，以 json 格式保存并载入配置。

SGX 作为技术预览

软件扩展（SGX）是一个 Intel® 技术，用于保护软件代码和数据不受公开和修改的影响。RHEL 内核部分提供了 SGX v1 和 v1.5 功能。版本 1 启用使用 Flexible Launch Control 机制的平台使用 SGX 技术。

eBPF 作为技术预览

Extended Berkeley Packet Filter(eBPF) 是一个内核中的虚拟机,允许在可访问有限功能的受限沙箱环境中在内核空间中执行代码。

用于内核的 Intel 数据流加速器驱动程序作为技术预览提供

内核的 Intel 数据流加速器驱动程序(IDXD)目前作为技术预览提供。它是一个 Intel CPU 集成加速器，包括一个带有处理地址空间 ID(pasid)提交和共享虚拟内存(SVM)的共享工作队列。

Soft-RoCE 作为一个技术预览提供

通过融合以太网的远程直接内存访问(RDMA)是一个通过以太网实现 RDMA 的网络协议。Soft-RoCE 是 RoCE 的软件实现，它维护两个协议版本：RoCE v1 和 RoCE v2。在 RHEL 8 中，Soft-RoCE 驱动程序 rdma_rxe 作为不受支持的技术预览提供。

stmmac 驱动程序作为技术预览提供

红帽将芯片(SoC)上 Intel® Elkhart Lake 系统的 stmmac 作为不受支持的技术预览提供。

现在 ext4 和 XFS 作为技术预览提供文件系统 DAX

在 Red Hat Enterprise Linux 8 中，文件系统 DAX 作为技术预览提供。DAX 提供了将持久内存直接映射到其地址空间的方法。要使用 DAX，系统必须有某种形式的持久性内存可用，通常是以一个或多个非易失性双内联内存模块(NVDIMM)的形式，并且提供 DAX 能力的文件系统必须在 NVDIMM 上创建。另外，该文件系统必须使用 dax 挂载选项挂载。然后，挂载了 dax 的文件系统上的文件的 mmap 会导致存储直接映射到应用程序的地址空间。

OverlayFS

OverlayFS 是一种联合文件系统。它允许您在另一个文件系统上覆盖一个文件系统。更改记录在上面的文件系统中，而较小的文件系统则未修改。这允许多个用户共享文件系统镜像，如容器或 DVD-ROM，基础镜像使用只读介质。

Stratis 现在作为技术预览提供

Stratis 是一个新的本地存储管理器。它在存储池的上面为用户提供额外的功能。

在 IdM 域成员中设置 Samba 服务器作为技术预览提供

在这个版本中，您可以在 Identity Management(IdM)域成员中设置 Samba 服务器。由同名软件包提供的新 ipa-client-samba 程序为 IdM 添加了特定于 Samba 的 Kerberos 服务主体并准备 IdM 客户端。例如，实用程序使用 sss ID 映射后端的 ID 映射配置创建 /etc/samba/smb.conf。现在，管理员可以在 IdM 域成员中设置 Samba。

NVMe/TCP 主机作为技术预览提供

访问和共享通过 TCP/IP 网络(NVMe/TCP)的 Nonvolatile Memory Express(NVMe/TCP)存储及其相应的 nvme_tcp.ko 内核模块已被添加为技术预览。使用 nvme-cli 软件包提供的工具可以将 NVMe/TCP 作为主机管理。NVMe/TCP 主机技术预览仅用于测试目的，目前没有计划提供全面支持。

pacemaker podman bundles 作为技术预览

pacemaker 容器捆绑包现在在 Podman 上运行，容器捆绑包功能作为技术预览提供。其中一个功能例外于技术预览：红帽完全支持在 Red Hat Openstack 中使用 Pacemaker 捆绑包。

作为技术预览的 corosync-qdevice 中的 Heuristics

Heuristics是一组在启动、集群成员资格更改、成功连接到 corosync-qnetd 时本地执行的命令，以及可选的定期执行的命令。当所有命令及时成功完成（返回的错误代码为零），代表 heuristics 通过，否则代表失败。Heuristics 结果发送到 corosync-qnetd，在计算中用来决定哪个分区应该是 quorate。

新的 fence-agents-heuristics-ping 保护代理

作为技术预览，Pacemaker 现在提供 fence_heuristics_ping 代理。这个代理旨在打开一组实验性保护代理，它们本身没有实际隔离，而是以新的方式利用隔离级别。

在资源移动后自动删除位置约束作为技术预览提供

当您执行 pcs resource move 命令时，这会为资源添加一个约束，以防止其在当前运行的节点上运行。pcs resource move 命令的新 --autodelete 选项现在作为技术预览提供。当您指定这个选项时，命令创建的位置约束会在资源移动后自动删除。

身份管理 JSON-RPC API 作为技术预览

一个 API 可用于 Identity Management(IdM)。要查看 API，IdM 还提供了一个 API 浏览器作为技术预览。

DNSSEC 在 IdM 中作为技术预览提供

带有集成 DNS 的身份管理(IdM)服务器现在实现了 DNS 安全扩展(DNSSEC)，这是一组增强 DNS 协议安全的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。

ACME 作为技术预览提供

自动证书管理环境(ACME)服务现在作为技术预览在 Identity Management(IdM)中提供。ACME 是一个用于自动标识符验证和证书颁发的协议。它的目标是通过缩短证书生命周期并避免证书生命周期管理中的手动过程来提高安全性。

RHEL IdM 允许将用户身份验证委派给外部身份提供程序作为技术预览

在 RHEL IdM 中，您可以把用户与支持 OAuth 2 设备授权流的外部身份提供程序(IdP)关联。当这些用户使用 RHEL 8.7 中提供的 SSSD 版本进行身份验证时，它们将在外部 IdP 执行身份验证和授权后会接收带有 Kerberos 票据的 RHEL IdM 单点登录功能。

sssd-idp 子软件包作为技术预览提供

SSSD 的 sssd-idp 子软件包包含 oidc_child 和 krb5 idp 插件，它们是对身份管理(IdM)服务器执行 OAuth2 身份验证的客户端组件。这个功能只在 RHEL 8.7 及更高版本，以及 RHEL 9.1 及更高版本上的 IdM 服务器中提供。

SSSD 内部 krb5 idp 插件作为技术预览提供

SSSD krb5 idp 插件允许您使用 OAuth2 协议对外部身份提供者(IdP)进行身份验证。这个功能只在 RHEL 8.7 及更高版本，以及 RHEL 9.1 及更高版本上的 IdM 服务器中提供。

GNOME 用于 64 位 ARM 架构，作为一个技术预览

GNOME 桌面环境现在可作为技术预览用于 64 位 ARM 架构。这可让管理员使用 VNC 会话从图形用户界面(GUI)远程配置和管理服务器。

IBM Z 上的 GNOME 桌面作为技术预览提供

GNOME 桌面，包括 Firefox 网页浏览器,现在在 IBM Z 构架中作为技术预览提供。现在，您可以使用 VNC 连接到运行 GNOME 的远程图形会话来配置和管理您的 IBM Z 服务器。

VNC 远程控制台作为 64 位 ARM 架构的一个技术预览提供

在 64 位 ARM 架构中,虚拟网络计算(VNC)远程控制台可作为技术预览使用。请注意,在 64 位 ARM 架构中,目前图形堆栈的其它部分没有被验证。

用于 KVM 虚拟机的 AMD SEV 和 SEV-ES

作为技术预览，RHEL 8 为使用 KVM 虚拟机的 AMD EPYC 主机提供安全加密虚拟化（SEV）功能。如果在虚拟机(VM)上启用，SEV 会加密虚拟机的内存来保护虚拟机被主机访问。这提高了虚拟机的安全性。

Intel vGPU

作为技术预览，现在可以将物理 Intel GPU 设备划分为多个虚拟设备（称为 mediated devices）。然后可将这些 mediated devices 分配给多个虚拟机(VM)作为虚拟 GPU。因此,这些虚拟机共享单个物理 Intel GPU 的性能。

创建嵌套虚拟机

对于装有 RHEL 8 的 Intel、AMD64、IBM POWER 以及 IBM Z 系统主机上运行的 KVM 虚拟机，嵌套的 KVM 虚拟化作为技术预览提供。使用此功能,在物理 RHEL 8 主机上运行的 RHEL 7 或 RHEL 8 虚拟机可作为虚拟机监控程序,并托管自己的虚拟机。

技术预览：选择 Intel 网络适配器现在在 Hyper-V 上的 RHEL 客户端中提供 SR-IOV

作为技术预览，运行在 Hyper-V hypervisor 上的 Red Hat Enterprise Linux 客户机操作系统现在可以对 ixgbevf 和 iavf 驱动程序支持的 Intel 网络适配器使用单根 I/O 虚拟化(SR-IOV)功能。此功能在满足以下条件时启用：

使用 virtiofs 在主机和虚拟机之间共享文件

作为技术预览，RHEL 8 现在提供 virtio 文件系统(virtiofs)。使用 virtiofs，您可以在主机系统及其虚拟机(VM)之间高效地共享文件。

KVM 虚拟化可用于 RHEL 8 Hyper-V 虚拟机

作为技术预览，现在可将嵌套的 KVM 虚拟化用于 Microsoft Hyper-V hypervisor。因此，您可以在运行在 Hyper-V 主机的 RHEL 8 虚拟机中创建虚拟机。

RHEL 机密虚拟机现在在 Azure 上作为技术预览提供

有了更新的 RHEL 内核，现在您可以在 Microsoft Azure 上创建并运行机密虚拟机(VM)作为技术预览。但是，在 Azure 上引导时无法加密 RHEL 机密虚拟机镜像。

Toolbox 作为技术预览提供

在以前的版本中，Toolbox 工具是基于 RHEL CoreOS coreos/toolbox 的。有了这个版本，Toolbox 已被 containers/toolbox 替代。

sigstore 签名现在作为技术预览提供

从 Podman 4.2 开始，您可以使用容器镜像签名的 sigstore 格式。sigstore 签名会与容器镜像一起存储在容器注册中心 ，而无需有单独的签名服务器来存储镜像签名。

多个签名镜像的可信 GPG 密钥的功能是作为技术预览提供

/etc/containers/policy.json 文件支持一个新的 keyPaths 字段，该字段接受一个包含可信密钥的文件的列表。因此，在默认配置中，现在接受使用 GA 和 Beta GPG 密钥签名的容器镜像。

podman-machine 命令不被支持

用于管理虚拟机的 podman-machine 命令仅作为技术预览提供。相反，请直接从命令行运行 Podman。

弃用了一些 Kickstart 命令和选项

在 RHEL 8 Kickstart 文件中使用以下命令和选项将会在日志中打印警告信息：

ignoredisk Kickstart 命令的 --interactive 选项已被弃用

在以后的 Red Hat Enterprise Linux 版本中使用 --interactive 选项会导致严重安装错误。建议您修改 Kickstart 文件删除该选项。

Kickstart autostep 命令已弃用

autostep 命令已弃用。有关这个命令的相关部分已从 RHEL 8 文档中删除。

rpmbuild --sign 已弃用

从 RHEL 8.1 开始，rpmbuild --sign 命令被弃用。在以后的 Red Hat Enterprise Linux 版本中使用这个命令可能会导致错误。建议您使用 rpmsign 命令替代。

OpenEXR 组件已弃用

OpenEXR 组件已弃用。因此，对 EXR 镜像格式的支持已从 imagecodecs 模块中去掉了。

dump 软件包中的 dump 工具已弃用

用于文件系统备份的 dump 工具已弃用，在 RHEL 9 中将不再提供。

ABRT 工具已被弃用

用于检测和报告应用程序崩溃的自动错误报告工具(ABRT) 在 RHEL 8 中已弃用。作为替代，使用 systemd-coredump 工具记录和存储核心转储，其是程序崩溃后自动生成的文件。

ReaR crontab 已被弃用

rear 软件包中的 /etc/cron.d/rear crontab 已在 RHEL 8 中弃用，且不在 RHEL 9 中提供。crontab 会每晚检查磁盘布局是否已更改，如果发生了更改，则运行 rear mkrescue 命令。

Bacula 中的 SQLite 数据库后端已被弃用

Bacula 备份系统支持多个数据库后端：PostgreSQL、MySQL 和 SQLite。SQLite 后端已被弃用，并将在以后的 RHEL 版本中不被支持。作为一种替代，迁移到其他一种后端(PostgreSQL 或 MySQL)，且在新部署中不使用 SQLite 后端。

RHEL 8 systemd 不再支持 hidepid=n 挂载选项

挂载选项 hidepid=n，其控制谁可以访问 /proc/[pid] 目录中的信息，与 RHEL 8 提供的 systemd 基础架构不兼容。

/usr/lib/udev/rename_device 工具已被弃用

用于重命名网络接口的 udev 帮助工具 /usr/lib/udev/rename_device 已被弃用。

raw 命令已被弃用

raw (/usr/bin/raw)命令已被弃用。在以后的 Red Hat Enterprise Linux 版本中使用这个命令可能会导致错误。

NSS SEED 密码已弃用

Mozilla Network Security Services (NSS) 库将不支持在以后的版本中使用 SEED 密码的 TLS 密码组合。为确保在 NSS 取消支持时依赖 SEED 密码的部署平稳过渡，红帽推荐对其它密码套件的支持。

TLS 1.0 和 TLS 1.1 已弃用

TLS 1.0 和 TLS 1.1 协议在 DEFAULT 系统范围的加密策略级别被禁用。如果需要使用启用的协议，如 Firefox 网页浏览器中的视频检查程序，把系统范围的加密策略切换到 LEGACY 级别：

在 RHEL 8 中弃用 DSA

数字签名算法(DSA)在 Red Hat Enterprise Linux 8 中被视为已弃用。依赖于 DSA 密钥的身份验证机制在默认配置中不起作用。请注意，即使使用系统范围的 LEGACY 加密策略级别中，OpenSSH 客户端都不接受 DSA 主机密钥。

SSL2 Client Hello 在 NSS 中已弃用

传输层安全性(TLS)协议版本 1.2 和更早版本允许以与安全套接字层(SSL)协议版本 2 向后兼容方式与 Client Hello 消息开始协商。网络安全服务(NSS)库中对这个功能的支持已被弃用，默认是禁用的。

TPM 1.2 已被弃用

可信平台模块(TPM)安全加密处理器标准将在 2016 年更新至版本 2.0。TPM 2.0 比 TPM 1.2 提供了很多改进，它和之前的版本不向后兼容。在 RHEL 8 中弃用了 TPM 1.2，它可能会在下一个主发行版本中删除。

crypto-policies 派生的属性现已被弃用

随着自定义策略中 crypto-policies 指令作用域的引入，以下派生属性已被弃用： tls_cipher、ssh_cipher、ssh_group、ike_protocol 和 sha1_in_dnssec。另外，使用 protocol 属性而不指定范围现也已被弃用。有关推荐的替代品，请参阅 crypto-policies(7) 手册页。

使用 /etc/selinux/config 运行时禁用 SELinux 现已弃用

使用 /etc/selinux/config 文件中的 SELINUX=disabled 选项禁用 SELinux 已被弃用。在 RHEL 9 中，当您只通过 /etc/selinux/config 禁用 SELinux 时，系统启动时会启用SELinux ，但没有载入任何策略。

ipa SELinux 模块从 selinux-policy中删除了

ipa SELinux 模块已从 selinux-policy 软件包中删除，因为不再维护它了。这个功能现在包括在 ipa-selinux 子软件包中。

fapolicyd.rules 已被弃用

包含允许和拒绝执行规则的文件的 /etc/fapolicyd/rules.d/ 目录替代了 /etc/fapolicyd/fapolicyd.rules 文件。fagenrules 脚本现在将此目录中的所有组件规则文件合并到 /etc/fapolicyd/compiled.rules 文件。/etc/fapolicyd/fapolicyd 中的规则仍由 fapolicyd 框架处理，但只是为了保证向后兼容。

在 RHEL 8 中已弃用网络脚本

网络脚本在 Red Hat Enterprise Linux 8 中已弃用，且不再默认提供。基本安装提供了 ifup 和 ifdown 脚本的新版本，它们通过 nmcli 工具调用 NetworkManager 服务。在 Red Hat Enterprise Linux 8 中，要运行 ifup 和 ifdown 脚本，NetworkManager 必须正在运行。

dropwatch 工具已弃用

dropwatch 工具已弃用。以后的发行版本中不再支持该工具，因此不建议在新部署中使用它。作为这个软件包的替代品，红帽建议使用 perf 命令行工具。

cgdcbxd 软件包已被弃用

控制组数据中心桥接交换守护进程(cgdcbxd)是监控数据中心桥接(DCB)netlink 事件和管理 net_prio 控制组子系统的服务。从 RHEL 8.5 开始，cgdcbxd 软件包被弃用，并将在下一个主要 RHEL 发行版本中删除。

xinetd 服务已被弃用

xinetd 服务已被弃用，并将在 RHEL 9 中删除。作为替换，请使用 systemd。详情请查看 如何将 xinetd 服务转换为 systemd。

WEP Wi-Fi 连接方法已被弃用

在 RHEL 8 中弃用了不安全的有线等效隐私(WEP) Wi-Fi 连接方法，并将在 RHEL 9.0 中删除。对于安全的 Wi-Fi 连接，请使用 Wi-Fi Protected Access 3(WPA3)或 WPA2 连接方法。

不受支持的 xt_u32 模块现已被弃用

使用不受支持的 xt_u32 模块，iptables 用户可以匹配数据包头或有效负载中的任意 32 位数据。从 RHEL 8.6 开始，xt_u32 模块已被弃用，并将在 RHEL 9 中删除。

内核实时补丁现在涵盖所有 RHEL 次版本

从 RHEL 8.1 开始，已为延长更新支持(EUS)策略涵盖的所选定的 RHEL 次版本提供了内核实时补丁，以修复级别为关键(Critical)和重要(Important)的通用漏洞披露(CVE)。要容纳同时涵盖内核和用例的最大数量，对于内核的每个次版本、主要版本和 zStream 版本，每个实时补丁的支持窗口已从 12 月减少到 6 个月。这意味着，在内核实时补丁发布的那天，它将覆盖过去 6 个月所交付的每个次要版本和计划勘误表内核。

crash-ptdump-command 软件包已被弃用

crash-ptdump-command 软件包（这是 crash 工具的 ptdump 扩展模块）已被弃用，且可能在以后的 RHEL 版本中不提供。在 Single Range Output 模式下工作时，ptdump 命令无法检索日志缓冲区，且只能在物理地址(ToPA)表模式下工作。crash-ptdump-command 当前没有在上游维护

使用无磁盘引导为 Real Time 8 安装 RHEL 现已弃用

无盘引导允许多个系统通过网络共享根文件系统。虽然方便，无盘引导会在实时工作负载中容易引入网络延迟。在以后的 RHEL for Real Time 8 的更新中，无盘引导功能将不再被支持。

Linux firewire 子系统及其关联的用户空间组件在 RHEL 8 中已被弃用

firewire 子系统提供了接口来使用和维护 IEEE 1394 总线上的任何资源。在 RHEL 9 中，内核 软件包将不再支持 firewire 。请注意，firewire 包含几个由 libavc1394、libdc1394、libraw1394 软件包提供的用户空间组件。这些软件包也会被弃用。

rdma_rxe Soft-RoCE 驱动程序已被弃用

通过融合以太网(Soft-RoCE)的软件远程直接内存（也称为 RXE）是模拟远程直接内存访问(RDMA)的一个特性。在 RHEL 8 中，Soft-RoCE 特性作为一个不受支持的技术预览提供。但是，由于稳定性问题，此特性已被弃用，并将在 RHEL 9 中删除。

kernelopts 环境变量已被弃用

在 RHEL 8 中，使用 GRUB2 引导装载程序的系统的内核命令行参数定义在 kernelopts 环境变量中。变量保存在每个内核引导条目的 /boot/grub2/grubenv 文件中。但是，使用 kernelopts 存储内核命令行参数并不可靠。因此，在以后的 RHEL 主更新中，kernelopts 将被删除，且内核命令行参数会存储在 Boot Loader Specification(BLS)片断中。

除 async 之外的 VDO 写模式已被弃用

VDO 支持 RHEL 8 中的几种写入模式：

禁用了 NFSv3 over UDP

默认情况下，NFS 服务器不再默认在 User Datagram Protocol(UDP)套接字上打开或监听。这个变化只影响 NFS 版本 3，因为版本 4 需要传输控制协议(TCP)。

cramfs 已被弃用

由于缺少用户，cramfs 内核模块已被弃用。建议将 squashfs 作为一个替代解决方案。

VDO 管理器已被弃用

基于 python 的 VDO 管理软件已被弃用，并将从 RHEL 9 中删除。在 RHEL 9 中，它将被 LVM-VDO 集成替代。因此，建议您使用 lvcreate 命令创建 VDO 卷。

elevator 内核命令行参数已弃用

在之前的 RHEL 版本中使用 elevator 内核命令行参数为所有设备设置磁盘调度程序。在 RHEL 8 中，该参数已弃用。

LVM mirror 已弃用

LVM mirror segment 类型已弃用。以后的 RHEL 主发行版本中会删除对 mirror 的支持。

peripety 已被弃用

从 RHEL 8.3 开始，pipety 软件包已弃用。

支持 clufter 工具的 pcs 命令已被弃用

支持 clufter 工具来分析群集配置格式的 pcs 命令已被弃用。现在，这些命令会显示一个警告信息，提示该命令已弃用，并且与这些命令相关的部分已从 pcs 帮助显示和pcs(8)手册页中删除。

PHP 提供的与 Apache HTTP 服务器一起使用的 mod_php 模块已被弃用

PHP 提供的与 RHEL 8 中的 Apache HTTP 服务器一起使用的 mod_php 模块可用，但在默认配置中未启用。RHEL 9 不再提供该模块。

libdwarf 已弃用

libdwarf 库在 RHEL 8 中已弃用。将来的主版本中可能也不支持该程序库。对于打算处理 ELF/DWARF 文件的应用程序，请使用 elfutils 和 libdw 库。

gdb.i686 软件包已弃用

在 RHEL 8.1 中，GNU Debugger(GDB)gdb.i686 的 32 位版本因为另一个软件包中的依赖问题而提供。因为 RHEL 8 不支持 32 位硬件，所以 gdb.i686 软件包从 RHEL 8.4 开始已弃用。GDB的64 位版本gdb.x86_64完全能够调试 32 位应用程序。

openssh-ldap 已被弃用

在 Red Hat Enterprise Linux 8 中弃用 openssh-ldap 子软件包，并将在 RHEL 9 中删除。因为 openssh-ldap 子软件包没有被上游维护，红帽建议您使用 SSSD 和 sss_ssh_authorizedkeys 帮助程序，它们与其他 IdM 解决方案更好地集成且更安全。

已经删除了 DES 和 3DES 加密类型

由于安全考虑，自 RHEL 7 开始，数据加密标准(DES)算法已被弃用并默认禁用。通过最近重新构建 Kerberos 软件包，已从 RHEL 8 中删除了 single-DES(DES)和 triple-DES（3DES） 加密类型。

单独使用 ctdb 服务已弃用

从 RHEL 8.4 开始，建议客户仅在满足以下条件时使用 ctdb 集群 Samba 服务：

以 PDC 或 BDC 的形式运行 Samba 已被弃用

传统的域控制器模式使管理员能够作为类似 NT4 的主域控制器（PDC）和备份域控制器（BDC）运行 Samba。用于配置这些模式的代码和设置将在以后的 Samba 发行版本中删除。

通过 WinSync 与 IdM 间接集成的 AD 已被弃用

由于一些功能的限制，不会在 RHEL 8 中对 WinSync 进行积极的开发：

libwbclient 的 SSSD 版本已被删除

libwbclient 软件包的 SSSD 实现在 RHEL 8.4 中已被弃用。因为无法与 Samba 的最新版本一起使用， libwbclient 的 SSSD 实现现已被删除。

SMB1 协议在 Samba 中已弃用

从 Samba 4.11 开始，不安全的服务器消息块版本 1 (SMB1)协议已弃用，并将在以后的发行版本中删除。

libgnome-keyring 库已弃用

libgnome-keyring 库已弃用，现在使用 libsecret 库，因为 libgnome-keyring 没有被上游维护，且不会遵循 RHEL 所需的加密策略。新的 libsecret 库是符合所需安全标准的替换。

不再支持 AGP 图形卡

Red Hat Enterprise Linux 8 不支持使用图形端口(AGP)总线的图形卡。推荐使用 PCI-Express bus 图形卡替换。

Motif 已被弃用

Motif 小部件工具包已在 RHEL 中被弃用，因为上游 Motif 社区的开发不活跃。

Web 控制台不再支持不完整翻译

RHEL web 控制台不再提供翻译少于 50% 的语言支持。如果浏览器要求转换成这种语言，用户界面将为英语。

当在 RHEL 9 节点上配置协作时，networking 系统角色会显示一个弃用警告

RHEL 9 中弃用了网络协作功能。因此，在 RHEL 8 控制器上使用 networking RHEL 系统角色在 RHEL 9 节点上配置网络协作，会显示有关其弃用的警告。

Ansible Engine 已被弃用

RHEL 8 的早期版本提供了对 Ansible Engine 存储库的访问（有限范围的支持），以启用支持的 RHEL 自动化用例，如 RHEL 系统角色和 Insights 补救措施。Ansible Engine 已被弃用，2023 年 9 月 29 日之后将不再支持 Ansible Engine 2.9 。有关支持的用例的详情，请参阅 RHEL 9 AppStream 中包含的 Ansible Core 软件包的支持范围。

geoipupdate 软件包已弃用

geoipupdate 软件包需要第三方订阅，同时下载专有内容。因此，geoipupdate 软件包已被弃用，并将在下一个主要 RHEL 版本中删除。

virsh iface-* 命令已被弃用

virsh iface-* 命令（如 virsh iface-start 和 virsh iface-destroy ）现已被弃用，并将在以后的 RHEL 主版本中删除。另外，这些命令会因为配置依赖而经常失败。

virt-manager 已被弃用

虚拟机管理器（也称 virt-manager） 已弃用。RHEL web 控制台（也称为 Cockpit ）旨在在以后的版本中成为它的替代。因此，建议您使用 web 控制台使用 GUI 管理虚拟化。但请注意，在 RHEL web 控制台中，virt-manager 中的一些功能可能还不可用。

对虚拟机快照的支持有限

目前只对使用 UEFI 固件的虚拟机支持创建虚拟机(VM)的快照。另外，在快照操作过程中，QEMU 监控可能会被阻止，这会影响某些工作负载的 hypervisor 性能。

Cirrus VGA 虚拟 GPU 类型已弃用

随着 Red Hat Enterprise Linux 的主要更新，Cirrus VGA GPU 设备将在 KVM 虚拟机中不再被支持。因此，红帽建议使用 stdvga、virtio-vga 或 qxl 设备，而不是 Cirrus VGA。

IBM POWER 上的 KVM 已被弃用

在 IBM POWER 硬件中使用 KVM 虚拟化已被弃用。因此，RHEL 8 仍支持 IBM POWER 上的 KVM，但在以后的 RHEL 主发行版本中将不被支持。

使用基于 SHA1 的签名进行 SecureBoot 镜像验证已弃用

在 UEFI（PE/COFF）可执行文件中使用基于 SHA1 的签名执行 SecureBoot 镜像验证已过时。反之，红帽建议使用基于 SHA2 算法或更新版本的签名。

使用 SPICE 将智能卡读取器附加到虚拟机已被弃用

SPICE 远程显示协议已在 RHEL 8 中被弃用。由于将智能卡读取器附加到虚拟机(VM)的唯一方法取决于 SPICE 协议，因此在虚拟机中使用智能卡已在 RHEL 8 中被弃用。

SPICE 已被弃用

SPICE 远程显示协议已弃用。请注意，RHEL 8 中仍支持 SPICE，但红帽建议您为远程显示流使用备选解决方案：

基于 Podman varlink 的 API v1.0 已被删除

基于 Podman varlink 的 API v1.0 在之前的 RHEL 8 版本中已弃用。podman v2.0 引入了一个新的 Podman v2.0 RESTful API。Podman v3.0 发行版本中，基于 varlink 的 API v1.0 已被完全删除。

container-tools:1.0 已弃用

container-tools:1.0 模块已弃用，将不再接收安全更新。建议您使用较新支持的稳定模块流，如 container-tools:2.0 或 container-tools:3.0。

container-tools:2.0 模块已被弃用

container-tools:2.0 模块已被弃用，并将不再接受安全更新。建议您使用更新的支持的稳定模块流，如 container-tools:3.0。

除了 GIMP ，Flatpak 镜像已弃用

rhel8/firefox-flatpak,rhel8/thunderbird-flatpak,rhel8/inkscape-flatpak 和 rhel8/libreoffice-flatpak RHEL 8 Flatpak 应用程序已被弃用，并被 RHEL 9 版本替代。rhel8/gimp-flatpak Flatpak 应用程序已被弃用，因为在 RHEL 9 中还没有替代品。

在具有 LPAR 并启用了 secure boot 的 IBM Power 10 系统上安装失败

RHEL 安装程序没有与 IBM Power 10 系统上静态密钥安全引导集成。因此，当使用 secure 引导选项启用逻辑分区(LPAR)时，安装会失败并显示错误，Unable to proceed with RHEL-x.x Installation。

在 Anaconda 作为应用程序运行的系统上意外的 SELinux 策略

当 Anaconda 作为应用程序运行在已安装的系统上（例如，使用 -image anaconda 选项对镜像文件执行另一次安装）时，不禁止系统在安装过程中修改 SELinux 类型和属性。因此，某些 SELinux 策略的元素可能会在运行Anaconda 的系统上发生更改。要临时解决这个问题，请不要在生产环境系统上运行 Anaconda，而在临时虚拟机中执行它。因此，生产系统上的 SELinux 策略没有被修改。作为系统安装过程的一部分运行 anaconda，如从 boot.iso 或 dvd.iso 安装不会受此问题的影响。

auth 和 authconfig Kickstart 命令需要 AppStream 软件仓库

auth 和 authconfig Kickstart 命令在安装过程中需要 authselect-compat 软件包。如果没有这个软件包，如果使用了 auth 或 authconfig，则安装会失败。但根据设计，authselect-compat 软件包只包括在 AppStream 仓库中。

reboot --kexec 和 inst.kexec 命令不提供可预测的系统状态

使用 reboot --kexec Kickstart 命令或 inst.kexec 内核引导参数执行 RHEL 安装不会提供与完全重启相同的可预期系统状态。因此，在不重启的情况下切换安装的系统可能会导致无法预计的结果。

USB CD-ROM 驱动器作为 Anaconda 中的安装源不可用

当源为 USB CD-ROM 驱动器，并且指定了 Kickstart ignoredisk --only-use= 命令时，安装会失败。在这种情况下，Anaconda 无法找到并使用这个源磁盘。

在安装程序中不默认启用网络访问

几个安装功能需要网络访问，例如：使用 Content Delivery Network(CDN)、NTP 服务器支持和网络安装源注册系统。但默认情况下不启用网络访问，因此在启用网络访问前无法使用这些功能。

使用 iso9660 文件系统的硬盘分区安装失败

您不能在使用 iso9660 文件系统进行分区的系统中安装 RHEL。这是因为将设置为忽略包含 iso9660 文件系统分区的硬盘的更新安装代码。即使在没有使用 DVD 的情况下安装 RHEL，也会发生这种情况。

具有 HASH MMU 模式的 IBM Power 系统无法引导，显示内存分配失败

具有 HASH 内存分配单元(MMU) 模式的 IBM Power Systems 最多支持 192 个核的 kdump 。因此，如果在超过 192 个核上启用了 kdump，则系统会无法引导，显示内存分配失败。这个限制是因为 HASH MMU 模式下早期引导过程中的 RMA 内存分配。要临时解决这个问题，请使用启用了 fadump 的 Radix MMU 模式，而不是使用 kdump。

RHEL for Edge 安装程序镜像在安装 rpm-ostree 有效负载时无法创建挂载点

当部署 rpm-ostree 有效负载时，例如在 RHEL for Edge 安装程序镜像中，安装程序不会为自定义分区正确创建一些挂载点。因此，安装会中止，并报以下错误：

composer-cli compose 的 --size 参数将值视为字节，而不是 MiB

当使用 composer-cli compose start --size size_value blueprint_name image_type 命令时，--size 参数应该以 MiB 格式使用其参数。但是，设置中的一个 bug 导致 composer-cli 工具将此参数视为字节。

syspurpose addons 对 subscription-manager attach --auto 输出没有影响。

在 Red Hat Enterprise Linux 8 中，添加了 syspurpose 命令行工具的四个属性：role、usage、service_level_agreement 和 addons目前，只有 role、usage 和 service_level_agreement 会影响到运行 subscription-manager attach --auto 命令的输出。试图为 addons 参数设置值的用户不会观察到对自动附加的订阅有任何影响。

cr_compress_file_with_stat（） 可能会导致内存泄漏

createrepo_c C 库包含 API cr_compress_file_with_stat（） 函数。这个函数被声明为以 char **dst 作为第二个参数。根据其他参数，cr_compress_file_with_stat（） 要么使用 dst 作为输入参数，要么使用它来返回一个分配的字符串。这种无法预测的行为可能会导致内存泄漏，因为它不会通知用户何时释放 dst内容。

当 scriptlet 失败时，YUM 事务被报告为成功

从 RPM 版本 4.6 开始，允许安装后 scriptlet 失败，而不会对事务造成致命影响。这个行为也被传播到 YUM。这导致 scriptlets 可能会偶尔失败，而整个软件包事务报告为成功。

对通过升级更改其架构的软件包的安全 YUM 升级会失败

与 RHBA-2022:7711 公告一起发布的 BZ#2088149 的补丁引入了以下回归：对通过升级将其架构从或 noarch 更改为 noarch 的使用安全过滤器的 YUM 升级会失败。因此，它可以使系统处于脆弱的状态。

ipmitool 与某些服务器平台不兼容

ipmitool 工具为监控、配置和管理支持智能平台管理接口(IPMI)的设备提供服务。ipmitool 的当前版本默认使用 Cipher Suite 17，而不是之前的 Cipher Suite 3。因此，ipmitool 无法与在协商过程中与声称支持 Cipher Suite 17 的某些裸机节点通信，但实际上不支持这个加密套件。因此，ipmitool 会中止，并发出 no matching cipher suite 错误消息。

在不使用清洁磁盘进行恢复时，ReaR 无法重新创建卷组

当您要恢复到包含现有数据的磁盘时，ReaR 无法执行恢复。

coreutils 可能会报告误导性的 EPERM 错误代码

GNU Core 工具(coreutils)使用 statx（） 系统调用启动了。如果 seccomp 过滤器返回一个未知系统调用的 EPERM 错误代码，coreutils 可能会报告误导性 EPERM 错误代码，因为无法将 EPERM 与正常工作的 statx（） 系统调用所返回的实际的 Operation not permitted 错误区分开。

FIPS 模式中的 postfix TLS 指纹算法需要改为 SHA-256

默认情况下，在 RHEL 8中，postfix使用带有TLS 的MD5 指纹来进行向后兼容。但是在 FIPS 模式中，MD5 哈希功能不可用，这可能会导致 TLS 在默认 postfix 配置中不正确正常工作。要解决这个问题，在 postfix 配置文件中需要将哈希功能改为 SHA-256。

在将 --delete 和 --filter '-x string.*' 选项一起使用时，rsync 会失败

用于传输和同步文件的 rsync 工具无法正确处理 RHEL 8 中的扩展属性。因此，如果您将 --delete 选项与扩展属性的 --filter '-x string.*' 选项一起传给 rsync 命令，并且系统上的文件满足正则表达式，则会发生协议不兼容错误。例如，如果您使用 --filter '-x system.*' 选项，过滤器会找到您系统上存在的 system.mwmrc 文件，则rsync 会失败。请参阅使用 --filter '-x system.*' 选项后发生的以下错误信息：

brltty 软件包与 multilib 不兼容

不可能同时安装 32 位和 64 位版本的 brltty 软件包。您要么安装 32 位(brltty.i686)，要么安装 64 位(brltty.x86_64)版本的软件包。建议使用 64 位版本。

/etc/passwd- 的文件权限与 CIS RHEL 8 基准 1.0.0 不一致

由于 CIS Benchmark 存在问题，修正 SCAP 规则可以确保 /etc/passwd- backup 文件中的权限被配置为 0644。但是 CIS Red Hat Enterprise Linux 8 Benchmark 1.0.0 需要该文件的文件权限 0600。因此，在修复后, /etc/passwd- 的文件权限与基准数据不一致。

libselinux-python 只能通过其模块提供

libselinux-python 软件包只包含用于开发 SELinux 应用程序的 Python 2 绑定，它用于向后兼容。因此，通过 yum install libselinux-python 命令，默认的 RHEL 8 软件仓库中不再提供 libselinux-python。

UDICA 仅在使用 --env container=podman 启动时才会处理 UBI 8 容器

Red Hat Universal Base Image 8(UBI 8)容器将 container 环境变量设置为 oci 值，而不是 podman 值。这可以防止 udica 工具分析容器 JavaScript 对象表示法(JSON)文件。

/etc/selinux/config 中的SELINUX=disabled 无法正常工作

在 /etc/selinux/config 中使用 SELINUX=disabled 选项禁用 SELinux 会导致一个进程，在这个进程中，内核启动时启用了 SELinux，并在稍后的启动过程中切换到禁用模式。这可能导致内存泄漏。

sshd -T 提供关于 Ciphers、MAC 和 KeX 算法的不准确的信息

sshd -T 命令的输出不包含系统范围的加密策略配置或可能来自于环境文件 /etc/sysconfig/sshd 的其他选项，它们作为 sshd 命令的参数被应用。这种情况的发生是因为上游 OpenSSH 项目不支持 Include 指令，以支持 RHEL 8 中红帽提供的加密默认值。在使用 EnvironmentFile 启动sshd.service 单元服务的过程中，加密策略作为命令行参数被应用到 sshd 可执行文件中。要临时解决这个问题，请对环境文件使用 source 命令，并将加密策略作为参数传给 sshd 命令，如 sshd -T $CRYPTO_POLICY 。如需更多信息，请参阅 Ciphers、MAC 或 KeX 算法与 sshd -T 的不同，以了解当前加密策略级别所提供的内容。因此，sshd -T 的输出与当前配置的加密策略匹配。

FIPS 模式中的 openssl 只接受特定的 D-H 参数

在 FIPS 模式中，使用 OpenSSL 的 TLS 客户端返回一个bad dh value 错误，并中止与使用手动生成参数的服务器的 TLS 连接。这是因为 OpenSSL 当配置为符合 FIPS 140-2 时，只可用于符合 NIST SP 800-56A rev3 附加 D（RFC 3526 中定义的组 14、15、16、17 和 18，以及 RFC 7919）中定义的组。另，,使用 OpenSSL 的服务器会忽略所有其他参数，并选择类似大小的已知参数。要临时解决这个问题，请只使用兼容的组。

crypto-policies 错误地允许 Camellia 密码