8.9 发行注记

支持 AWS EC2 镜像的传统和 UEFI 引导

在以前的版本中，RHEL 镜像构建器创建的 EC2 AMD 或 Intel 64 位架构 AMI 镜像只支持旧的引导类型。因此，无法利用某些需要 UEFI 引导的 AWS 功能，如安全引导。除了支持旧的 BIOS 引导外，此增强还扩展了 AWS EC2 AMD 或 Intel 64 位架构 AMI 镜像，以支持 UEFI 引导。现在，可以利用需要使用 UEFI 引导镜像的 AWS 功能。

新的引导选项 inst.wait_for_disks= ，来为载入 kickstart 文件或内核驱动程序添加等待时间

有时，在引导过程中可能需要几秒钟才能从带有 OEMDRV 标签的设备加载 kickstart 文件或内核驱动程序。要调整等待时间，您现在可以使用新的引导选项 inst.wait_for_disks=。使用这个选项，您可以指定安装前要等待多少秒。默认时间被设置为 5 秒，但您可以使用 0 秒来最小化延迟。有关这个选项的更多信息，请参阅 存储引导选项。

新的 network kickstart 选项来控制 DNS 处理

现在，您可以使用带有以下新选项的 network kickstart 命令控制 DNS 处理：通过 --device 选项使用这些新选项。

opencryptoki rebase 到 3.21.0

opencryptoki 软件包已 rebase 到版本 3.21.0，它提供很多改进和 bug 修复。最值得注意的是， opencryptoki 现在支持以下功能：

fapolicyd 现在为故障排除提供规则号

有了这个增强，新的内核和 Audit 组件允许 fapolicyd 服务发送导致拒绝 fanotify API 的规则号。因此，您可以更精确地对与 fapolicyd 相关的问题进行故障排除。

ANSSI-BP-028 安全配置文件更新至版本 2.0

SCAP 安全指南中的以下法国信息系统安全局(ANSSI) BP-028 配置文件已更新为与版本 2.0 保持一致：

更好地定义交互式用户

scap-security-guide 软件包中的规则已被改进，以提供更一致的交互式用户配置。在以前的版本中，一些规则使用不同的方法来识别交互式和非交互式用户。有了这个更新，我们已统一了交互用户的定义。UID 大于或等于 1000 的用户帐户现在被视为交互式用户，但 nobody 和 nfsnobody 帐户以及使用 /sbin/nologin 作为登录 shell 的帐户除外。

DISA STIG 配置文件现在支持 audit_rules_login_events_faillock

有了这个增强，SCAP 安全指南 audit_rules_login_events_faillock 规则（其引用了 STIG ID RHEL-08-030590）已添加到 RHEL 8 的 DISA STIG 配置文件中。此规则检查 Audit 守护进程是否已配置为记录任何尝试修改存储在 /var/log/faillock 目录中的登录事件日志。

OpenSCAP rebase 到 1.3.8

OpenSCAP 软件包已更新到上游版本 1.3.8。此版本提供各种程序错误修复和增强，最重要的是：

SCAP 安全指南 rebase 到版本 0.1.69

SCAP 安全指南(SSG)软件包已 rebase 到上游版本 0.1.69。此版本提供各种改进和 bug 修复，特别是为 RHEL 9 提供的三个新的 SCAP 配置文件，它们与 2022 年 10 月西班牙国家加密中心发布的三级 CCN-STIC-610A22 指南一致：

支持从 RHEL 8.8 及更新版本到 RHEL 9.2 及更新版本的启用了 FIPS 的原位升级

随着 RHBA-2023:3824 公告的发布，您可以执行 RHEL 8.8 及更新版本系统到 RHEL 9.2 及更新版本系统的启用了 FIPS 模式的原位升级。

crypto-policies permitted_enctypes 不再在 FIPS 模式下破坏复制

在此次更新之前，在 RHEL 8 上运行的 IdM 服务器发送一个 AES-256-HMAC-SHA-1- 加密的服务票据，即在 FIPS 模式下运行 RHEL 9 的一个 IdM 副本。因此，默认的 permitted_enctypes krb5 配置在 FIPS 模式下破坏了 RHEL 8 IdM 服务器和 RHEL 9 IdM 副本之间的复制。

审计现在支持 FANOTIFY 记录字段

audit 软件包的这个更新引进了对 FANOTIFY 审计记录字段的支持。审计子系统现在在 AUDIT_FANOTIFY 记录中记录额外的信息，特别是：

新的 SELinux 布尔值，以允许 QEMU 客户机代理执行受限命令

在以前的版本中，应该通过 QEMU 客户机代理守护进程程序在受限上下文中执行的命令，如 mount 失败，并显示 Access Vector Cache (AVC) denial。要能够执行这些命令，guest-agent 必须在 virt_qemu_ga_unconfined_t 域中运行。

Postfix 现在支持 SRV 查找

有了这个增强，您现在可以使用 Postfix DNS 服务记录解析(SRV)来自动配置邮件客户端并平衡服务器的负载。另外，您可以通过在 Postfix 配置中使用以下与 SRV 相关的选项来防止由临时的 DNS 问题或错误配置的 SRV 记录导致的邮件发送中断：

现在您可以在 vsftpd中指定 TLS 1.3 密码套件

有了这个增强，您可以使用新的 ssl_ciphersuites 选项来配置 vsftpd 使用哪个密码套件。因此，您可以指定与之前 TLS 版本不同的 TLS 1.3 密码套件。要指定多个密码套件，请使用冒号(:)分隔条目。

cups-filters中提供了通用 LF-to-CRLF 驱动程序

有了这个增强，您现在可以使用通用 LF-to-CRLF 驱动程序，它为接受 CR+LF 字符的打印机将 LF 字符转换为 CR+LF 字符。回车返回(CR)，换行(LF)是标记行末尾的控制字符。因此，通过使用这个驱动程序，您可以将应用程序中的 LF 字符终止的文件发送到只接受 CR+LF 字符的打印机。通用 LF-to-CRLF 驱动程序是 RHEL 7 中 text-only 驱动程序的重命名版本。新名称反映了其实际功能。

iproute rebase 到版本 6.2.0

iproute 软件包已升级到上游版本 6.2.0，与之前的版本相比，它提供了很多改进和 bug 修复。最显著的更改有：

默认 nftables 服务配置的安全改进

此增强将 do_masquerade 链添加到 /etc/sysconfig/nftables/nat.nft 文件中的默认 nftables 服务配置中。这降低了端口影子攻击的风险，这在 CVE-2021-3773 中进行了描述。do_masquerade 链中的第一个规则检测到合适的数据包，并强制实施源端口随机化，以减少端口影子攻击的风险。

NetworkManager 支持 no-aaaa DNS 选项

现在，您可以通过抑制由 stub 解析器生成的 AAAA 查询，使用 no-aaaa 选项在受管主机上配置 DNS 设置。在以前的版本中，没有选项来抑制 stub 解析器生成的 AAAA 查询，包括由基于 NSS 的接口（如 getaddrinfo ）触发的 AAAA 查找；只有 DNS 查找受到影响。有了这个增强，您可以使用 nmcli 工具禁用 IPv6 解析。重启 NetworkManager 服务后，no-aaaa 设置会反映在 /etc/resolv.conf 文件中，并具有对 DNS 查找的额外控制。

nm-cloud-setup 工具现在支持 IMDSv2 配置

用户可以使用 nm-cloud-setup 工具配置带有实例元数据服务版本 2 (IMDSv2)的 AWS Red Hat Enterprise Linux EC2 实例。要遵守改进的安全性，其限制对 EC2 元数据和新功能未经授权的访问，需要 AWS 和红帽服务间的集成来提供高级功能。此增强使 nm-cloud-setup 工具能够获取并保存 IMDSv2 令牌，验证 EC2 环境，并使用安全 IMDSv2 令牌检索有关可用接口和 IP 配置的信息。

libnftnl 软件包 rebase 到版本 1.2.2

到内核 nf_tables 子系统的 Netlink API (libnftnl)软件包已更新。主要变化和增强包括：

RHEL 8.9 中的内核版本

Red Hat Enterprise Linux 8.9 与内核版本 4.18.0-513.5.1 一起分发。

RHEL 内核现在支持 AutoIBRS

自动 Indirect Branch Restricted Speculation (AutoIBRS)是由 AMD EPYC 9004 Genoa 处理器系列以及更新的 CPU 版本提供的一种功能。AutoIBRS 是 Spectre v2 CPU 漏洞的默认缓解方案，它提高了性能并改进了可扩展性。

Intel® QAT 内核驱动程序 rebase 到上游版本 6.2

Intel® Quick Assist Technology (QAT)已 rebase 到上游版本 6.2。Intel® QAT 包括针对对称和非对称加密、压缩性能和其他 CPU 密集型任务优化的加速器。

makedumpfile rebase 到版本 1.7.2

makedumpfile 工具，其通过压缩页或排除不需要的内存页使崩溃转储文件变小，已从版本 1.7.2 rebase 到版本 1.7.2。rebase 包括很多 bug 修复和增强。

支持在创建 GFS2 文件系统时指定 UUID

mkfs.gfs2 命令现在支持新的 -U 选项，该选项可让您为所创建的文件系统指定文件系统 UUID。如果省略这个选项，文件系统的 UUID 会随机生成。

fuse3 现在允许在不触发 umount的情况下使目录条目无效

有了此更新，已在 fuse3 软件包中添加了一个新的机制，它允许使目录条目无效，而无需自动触发条目上存在的任何挂载的 umount。

Pacemaker 的调度程序现在在尝试满足可选托管约束之前，尝试满足所有强制托管约束

在以前的版本中，无论它们是强制的还是可选的，托管约束都会被逐一考虑。这意味着，即使节点分配是可能的，某些资源也无法运行。在尝试满足可选的托管约束之前，Pacemaker 的调度程序现在会尝试满足所有强制托管约束，包括组成员之间的隐式限制。因此，混合了可选和强制托管约束的资源现在更有可能运行。

IPaddr2 和 IPsrcaddr 集群资源代理现在支持基于策略的路由

IPaddr2 和 IPsrcaddr 集群资源代理现在支持基于策略的路由，这可让您配置复杂的路由场景。基于策略的路由要求您配置资源代理的 table 参数。

Filesystem 资源代理现在支持 EFS 文件系统类型

ocf:heartbeat:Filesystem 集群资源代理现在支持 Amazon Elastic File System (EFS)。现在，您可以在配置 Filesystem 资源时指定 fstype=efs。

alert_snmp.sh.sample 警报代理现在支持 SNMPv3

alert_snmp.sh.sample 警报代理（这是 Pacemaker 提供的示例警报代理）现在支持 SNMPv3 协议和 SNMPv2。有了这个更新，您可以复制 alert_snmp.sh.sample 代理，而无需修改，以使用带有 Pacemaker 警报的 SNMPv3。

新 enabled 警报元选项，以禁用 Pacemaker 警报

Pacemaker 警报和警报接收者现在支持 enabled 元选项。

pacemaker 远程节点现在在短暂的连接中断后可保留临时节点属性

在以前的版本中，当 Pacemaker 远程连接丢失时，Pacemaker 通常会清除其临时节点属性。如果连接快速恢复，且远程守护进程在此期间没有重启，则不需要此项。Pacemaker 远程节点现在在短暂的、可恢复的连接中断后可保留临时节点属性。

对 pcs property 命令的改进

pcs property 命令现在支持以下改进：

完全支持新的 nodejs:20 模块流

以前作为技术预览提供的新模块流 nodejs:20 被发布的 RHEA-2023:7249 公告完全支持 。nodejs:20 模块流现在提供 Node.js 20.9，它是一个长期支持(LTS)版本。

Python tarfile 提取函数的一个新 filter 参数

要缓解 CVE-2007-4559，Python 向 tarfile 提取函数添加了一个 filter 参数。参数允许关闭 tar 功能以提高安全性（包括阻止 CVE-2007-4559 目录遍历攻击）。如果没有指定过滤器，则在 RHEL 中默认使用 'data' 过滤器，这是最安全但最有限的。另外，当应用程序受到影响时，Python 会发出一个警告。

HTTP::Tiny Perl 模块现在默认验证 TLS 证书

HTTP::Tiny Perl 模块中的 verify_SSL 选项的默认值已从 0 变为 1，以在使用 HTTPS 时验证 TLS 证书。这个更改修复了 HTTP::Tiny 的 CVE-2023-31486 和 CPAN Perl 模块的 CVE-2023-31484 。

Python 中的一个控制电子邮件地址解析的新环境变量

为缓解 CVE-2023-27043，一个向后兼容的更改，以确保在 Python 3 中引入了更严格的电子邮件地址的解析。

改进了 glibc 中基于 Intel® Xeon® v5 硬件的字符串和内存例程性能

在以前的版本中，glibc 用于字符串和内存例程的默认缓存量会导致基于 Intel® Xeon® v5 的系统上的性能低于预期。有了此更新，已调整了要使用的缓存量，以提高性能。

GCC 现在支持保留寄存器参数

有了此更新，您可以将参数寄存器内容存储到堆栈，并生成合适的 Call Frame Information (CFI)，以允许 unwinder 找到它，而不会给性能造成负面影响。

新的 GCC Toolset 13

GCC Toolset 13 是一个编译器工具集，其提供开发工具的最新版本。它在 AppStream 存储库中以 Software Collection 的形式作为 Application Stream 提供。

GCC Toolset 13：GCC rebase 到版本 13.1.1

在 GCC Toolset 13 中，GNU Compiler Collection (GCC)已更新至版本 13.1.1.。主要变更包括：

GCC Toolset 13: annobin rebase 到版本 12.20

GCC Toolset 13 提供了 annobin 软件包版本 12.20。主要改进包括：

GCC Toolset 13：GDB rebase 到版本 12.1

GCC Toolset 13 提供 GDB 版本 12.1。

GCC Toolset 13：bintuils rebase 到版本 2.40

GCC Toolset 13 提供 binutils 软件包版本 2.40。主要改进包括：

GCC Toolset 13: annobin rebase 到版本 12.20

GCC Toolset 13 提供了 annobin 软件包版本 12.20。主要改进包括：

Valgrind rebase 到版本 3.21.0

Valgrind 已更新至版本 3.21.0。主要改进包括：

SystemTap rebase 到版本 4.9

systemtap 软件包已升级到版本 4.9。主要变更包括：

elfutils rebase 到版本 0.189

elfutils 软件包已更新至版本 0.189。主要改进和 bug 修复包括：

libpfm rebase 到版本 4.13

libpfm 软件包已更新至版本 4.13。有了此更新，libpfm 现在可以访问以下处理器微架构的性能监控硬件原生事件：

papi 支持新的处理器微架构

有了此增强，您可以使用以下处理器微架构上预设置的 papi 事件访问性能监控硬件：

papi 现在支持 64 位 ARM 的快速性能事件数读取操作

以前在 64 位 ARM 处理器上，所有性能事件计数器读取操作都需要使用资源密集型的系统调用。已对 64 位 ARM 更新了 papi，以便让使用性能计数器监控其自身的进程使用更快的性能事件计数器的用户空间读取。将 /proc/sys/kernel/perf_user_access 参数设置为 1 ，来将 papi 读取 2 个计数器的平均时钟周期数从 724 周期减少到 29 周期。

LLVM Toolset rebase 到版本 16.0.6

LLVM Toolset 已更新至版本 16.0.6。

Rust Toolset rebase 到版本 1.71.1

Rust Toolset 已更新至版本 1.71.1。主要变更包括：

Rust profiler_builtins 运行时组件现在可用

有了此增强，Rust profile_builtins 运行时组件现在可用。此运行时组件启用了以下编译器选项：

Go Toolset rebase 到版本 1.20.10

Go Toolset 已更新到版本 1.20.10。

grafana rebase 到版本 9.2.10

grafana 软件包已更新至版本 9.2.10。主要变更包括：

grafana-pcp rebase 到版本 5.1.1

提供 Performance Co-Pilot Grafana 插件的 grafana-pcp 软件包已更新至版本 5.1.1。主要变更包括：

.NET 8.0 可用

Red Hat Enterprise Linux 8.9 与 .NET 版本 8.0 一起分发。主要改进包括：

samba rebase 到版本 4.18.4

samba 软件包已升级到上游版本 4.18.4，与之前的版本相比，它提供了 bug 修复和增强。最显著的更改：

ipa rebase 到版本 4.9.12

ipa 软件包已升级到版本 4.9.12 。如需更多信息，请参阅 上游 FreeIPA 发行注记。

现在，可以在单个 Ansible 任务中管理多个 IdM 组和服务

通过 ansible-freeipa 中的这一增强，您可以使用单个 Ansible 任务添加、修改和删除多个身份管理(IdM)用户组和服务。为此，请使用 ipagroup 和 ipaservice 模块的 groups 和 services 选项。

ansible-freeipa ipaserver 角色现在支持随机序列号

有了此更新，您可以将 ipaserver_random_serial_numbers=true 选项与 ansible-freeipa ipaserver 角色一起使用。这样，您可以在使用 Ansible 安装身份管理(IdM)服务器时，为 PKI 中的证书和请求生成完全随机的序列号。使用 RSNv3，您可以避免大型 IdM 安装中的范围管理，并防止重新安装 IdM 时常见的冲突。

ipaserver_remove_on_server 和 ipaserver_ignore_topology_disconnect 选项现在在 ipaserver 角色中提供

如果使用 ipaserver ansible-freeipa 角色的 remove_server_from_domain 选项从身份管理(IdM)拓扑中删除一个副本导致一个断开的拓扑，则必须指定您要保留域的哪一部分。具体来说，您必须执行以下操作：

ipaclient 角色现在允许在 IdM 级别上配置用户 subID 范围

有了此更新，ipaclient 角色提供了 ipaclient_subid 选项，您可以使用它在身份管理(IdM)级别上配置 subID 范围。没有明确设置为 true 的新选项，ipaclient 角色会保持默认行为，并在没有为 IdM 用户配置 subID 范围的情况下安装客户端。

现在，您可以使用 ipacert Ansible 模块管理 IdM 证书

现在，您可以使用 ansible-freeipa ipacert 模块为身份管理(IdM)用户、主机和服务请求或检索 SSL 证书。然后，用户、主机和服务可以使用这些证书向 IdM 进行身份验证。您还可以撤销证书，以及恢复已搁置的证书。

MIT Kerberos 现在支持扩展的 KDC MS-PAC 签名

哟了此更新，红帽使用的 MIT Kerberos 实现了对 Microsoft 引入的两种 Privilege Attribute Certificate (PAC) 签名的支持，以响应最新的 CVE。具体来说，RHEL 8 中的 MIT Kerberos 支持 KB5020805 中发布的扩展 KDC 签名，并解决了 CVE-2022-37967。

RHEL 8.9 提供了 389-ds-base 1.4.3.37

RHEL 8.9 与 389-ds-base 软件包版本 1.4.3.37 一起分发。

新的 passwordAdminSkipInfoUpdate: on/off 配置选项现在可用

您可以在 cn=config 条目下添加一个新的 passwordAdminSkipInfoUpdate: on/off 设置，以对密码管理员执行的密码更新提供精细控制。当您启用此设置时，密码更新不会更新某些属性，例如 passwordHistory,passwordExpirationTime,passwordRetryCount,pwdReset 和 passwordExpWarned。

现在完全支持 Intel Arc A 系列图形

以前作为技术预览提供的 Intel Arc A 系列图形(Alchemist 或 DG2)功能现在被完全支持。Intel Arc A 系列图形是一个启用了硬件加速的 GPU，主要用于 PC 游戏。

Podman 健康检查操作现在可用

您可以在创建新容器时选择以下 Podman 健康检查操作之一：

Web 控制台的帐户页更新

此更新在 Accounts 页中引入了以下更新：

postgresql RHEL 系统角色现在可用

新的 postgresql RHEL 系统角色安装、配置、管理和启动 PostgreSQL 服务器。角色还优化了数据库服务器设置，以提高性能。

keylime_server RHEL 系统角色

使用新的 keylime_server RHEL 系统角色，您可以使用 Ansible playbook 在 RHEL 9 系统上配置 verifier 和 registrar Keylime 组件。Keylime 是一个使用可信平台模块(TPM)技术的远程机器验证工具。

支持新的 ha_cluster 系统角色功能

ha_cluster 系统角色现在支持以下功能：

storage 系统角色支持为 RAID LVM 卷配置条带大小

有了此更新，您可以在创建 RAID LVM 设备时指定自定义条带大小。为了更好的性能，请为 SAP HANA 使用自定义条带大小。建议的 RAID LVM 卷的条带大小为 64 KB。

Podman RHEL 系统角色现在支持 Quadlets、healthchecks 和 secret

从 Podman 4.6 开始，您可以在 podman RHEL 系统角色中使用 podman_quadlet_specs 变量。您可以通过指定一个单元文件来定义一个 Quadlet，或按名称、单元类型和规范在清单中定义一个 Quadlet。单元类型可以是以下：container、kube、network 和 volume。请注意，Qadlets 仅适用于 RHEL 8 上的 root 容器。Quadlets 适用于 RHEL 9 上的无根容器。

RHEL 系统角色现在对挂载点自定义有新的卷选项

有了此更新，您现在可以为挂载目录指定 mount_user、mount_group 和 mount_permissions 参数。

kdump RHEL 系统角色更新

kdump RHEL 系统角色已更新至更新的版本，其带来以下值得注意的改进：

ad_integration RHEL 系统角色现在可以重新加入 AD 域

有了此更新，您可以使用 ad_integration RHEL 系统角色重新加入活动目录(AD)域。为此，请将 ad_integration_force_rejoin 变量设置为 true。如果 realm_list 输出显示该主机已在一个 AD 域中，则它将在重新加入前离开现有域。

rhc 系统角色现在支持设置代理服务器类型

rhc_proxy 参数下新引入的属性 scheme 使您可以使用 rhc 系统角色来配置代理服务器类型。您可以设置两个值：http 默认值和 https。

ssh 角色中禁用配置备份的新选项

现在，您可以通过将新的 ssh_backup 选项设置为 false 来防止旧配置文件被覆盖前备份它们。在以前的版本中，备份配置文件是自动创建的，这可能不是必需的。ssh_backup 选项的默认值为 true，其保留原始行为。

certificate RHEL 系统角色现在在使用 certmonger 时允许更改证书文件模式

在以前的版本中，由具有 certmonger 提供者的 certificate RHEL 系统角色创建的证书使用默认的文件模式。但是，在某些用例中，您可能需要更严格的模式。有了此更新，您现在可以使用 mode 参数设置一个不同的证书和密钥文件模式。

用于管理 systemd 单元的新的 RHEL 系统角色

rhel-system-role 软件包现在包含 systemd RHEL 系统角色。您可以使用此角色来部署单元文件，并在多个系统上管理 systemd 单元。您可以通过提供 systemd 单元文件和模板，并通过指定这些单元的状态（如 started、stoped、masked 和其他）来自动化 systemd 功能。

network RHEL 系统角色支持 no-aaaa DNS 选项

现在，您可以使用 no-aaaa 选项在受管节点上配置 DNS 设置。在以前的版本中，没有选项来抑制 stub 解析器生成的 AAAA 查询，包括由基于 NSS 的接口（如 getaddrinfo ）触发的 AAAA 查找；只有 DNS 查找受到影响。有了这个增强，您可以压制由 stub 解析器产生的 AAAA 查询。

network RHEL 系统角色支持 auto-dns 选项，来控制自动 DNS 记录更新

此功能增强为定义的名称服务器和搜索域提供支持。现在，您只能使用 dns 和 dns_search 属性中指定的名称服务器和搜索域，同时禁用自动配置的名称服务器和搜索域，如 DHCP 中的 dns record。有了这个增强，您可以通过更改 auto-dns 设置来禁用自动 dns 记录。

firewall RHEL 系统角色支持与 ipset 相关的变量

有了 firewall RHEL 系统角色的这个更新，您可以定义、修改和删除 ipset。您还可以从防火墙区中添加和删除 ipset。或者，您可以在定义防火墙富规则时使用这些 ipset。

使用 restorecon -T 0 提高了 selinux 系统角色的性能

在所有适用的情况下，selinux 系统角色现在将 -T 0 选项和 restorecon 命令一起使用。这提高了在文件上恢复默认的 SELinux 安全上下文的任务的性能。

firewall RHEL 系统角色有一个禁用冲突服务的选项，如果 firewalld 被屏蔽，它不再失败

在以前的版本中，当角色运行时 firewalld 被屏蔽或存在冲突服务时，firewall 系统角色失败。这个更新引入了两个显著改进：

podman RHEL 系统角色现在使用 getsubids 获取子指南和子gid

podman RHEL 系统角色现在使用 getsubids 命令分别获取用户和组的 subuid 和 subgid 范围。podman RHEL 系统角色也使用这个命令来验证用户和组是否与身份管理一起使用。

podman_kube_specs 变量现在支持 pull_image 和 continue_if_pull_fails 字段

podman_kube_specs 变量现在支持新字段：

重置 firewall RHEL 系统角色配置现在需要较少的停机时间

在以前的版本中，当使用 previous: replaced 变量重置 firewall 角色配置时，firewalld 服务会重启。重启会增加停机时间并延长打开连接的时间，在此期间，firewalld 不会阻止来自活跃连接的流量。有了这个增强，firewalld 服务通过重新加载而不是重启来完成配置重置。重新加载最小化了停机时间，并减少了绕过防火墙规则的机会。因此，使用 previous: replaced 变量重置 firewall 角色配置现在需要最少的停机时间。

cloud-init 支持 NetworkManager keyfiles

有了此更新，cloud-init 工具可以使用 NetworkManager (NM) keyfile 来配置创建的云实例的网络。

cloud-init 现在默认使用 ESXi 上的 VMware 数据源

在使用 VMware ESXi hypervisor （如 VMware vSphere 云平台）的主机上创建 RHEL 虚拟机(VM)时。这提高了使用 cloud-init 创建 RHEL 的 ESXi 实例的性能和稳定性。但请注意，ESXi 仍与 Open Virtualization Format (OVF)数据源兼容，如果 VMware 数据源不可用，您可以使用 OVF 数据源。

sos rebase 到版本 4.6

用于收集配置、诊断和故障排除数据的 sos 工具已 rebase 到版本 4.6。这个版本提供了以下改进：

Podman 支持拉取和推送 zstd 压缩的镜像

您可以拉取和推送使用 zstd 格式压缩的镜像。zstd 压缩比 gzip 效率更高，更快。它可以减少拉取和推送镜像所需的网络流量和存储量。

Podman 中的 Quadlet 现在可用

从 Podman v4.6 开始，您可以使用 Quadlet 从容器描述中自动生成一个 systemd 服务文件。Quadlets 可能比 podman generate systemd 命令更容易使用，因为描述侧重于相关的容器详情，且没有在 systemd 下运行容器的技术复杂性。请注意，Qadlets 仅适用于有根容器。

Container Tools 软件包已更新

现在提供更新的 Container Tools 软件包，其包括 Podman、Buildah、Skopeo、crun 和 runc 工具。与之前的版本相比，这个版本应用了一系列 bug 修复和增强。

Podman 现在支持 Podmansh 登录 shell

从 Podman v4.6 开始，您可以使用 Podmansh 登录 shell 管理用户访问权限和控制。要切换到 CGroups v2，请将 systemd.unified_cgroup_hierarchy=1 添加到内核命令行。配置用户的设置，以使用 /usr/bin/podmansh 命令作为登录 shell ，而不是标准的 shell 命令，例如 /usr/bin/bash。当用户登录到系统设置时，podmansh 命令在名为 podmansh 的 Podman 容器中运行用户的会话。用户登录的容器是使用 Quadlet 文件定义的，这些文件是在 /etc/containers/systemd/users/ 目录中创建的。在这些文件中，将 [Container] 部分中的 ContainerName 字段设置为 podmansh。当用户会话启动时，systemd 会自动启动 podmansh，并继续运行，直到所有用户会话退出为止。

现在，可提供带有 Fulcio 和 Rekor 的 sigstore 签名的客户端

有了 Fulcio 和 Rekor 服务器，您现在可以根据 OpenID Connect (OIDC)服务器身份验证使用短期证书来创建签名，而不是手动管理私钥。以前作为技术预览提供的具有 Fulcio 和 Rekor 的 sigstore 签名的客户端现在完全支持。这个添加的功能只是客户端侧支持，不包括 Fulcio 或 Rekor 服务器。

liveimg 的 --noverifyssl 选项不再检查服务器的使用 HTTPS 下载的镜像的证书

在以前的版本中，安装程序忽略 liveimg kickstart 命令的 --noverifyssl 选项。因此，如果无法验证服务器的使用 HTTPS 协议下载的镜像的证书，安装过程会失败。有了这个更新，这个问题已被解决，liveimg kickstart 命令的 --noverifyssl 选项可以按预期工作。

从 NFS 文件系统引导现在可以在 SELinux 设置为 enforcing 模式的情况下工作

在以前的版本中，当使用 NFS 作为 root 文件系统时，SELinux 标签不会从服务器转发，从而导致 SELinux 设置为 enforcing 模式时引导失败。

现在，自动屏幕锁定可以正常工作，即使删除了 USB 智能卡读卡器，

在 RHEL 8.9 之前，opensc 软件包不能正确处理删除 USB 智能卡读卡器。因此，即使 GNOME 显示管理器(GDM)被配置为在删除智能卡时锁定屏幕，系统仍保持解锁。另外，重新连接 USB 读卡器后，在删除智能卡后，屏幕也不会锁定。在本发行版本中，用于处理删除 USB 智能卡读卡器的代码已被修复。因此，屏幕被正确锁定，即使智能卡或 USB 智能卡读卡器被删除了。

SCAP enable_fips_mode 规则现在仅在 64 位 IBM Z 构架上检查 fips=1

在以前的版本中，SCAP 安全指南规则 enable_fips_mode 确实检查 /boot/grub2/grubenv 文件的内容。因此，64 位 IBM Z 架构没有对 FIPS 模式使用 /boot/grub2/grubenv 文件。有了此更新，OVAL 规则 enable_fips_mode 现在测试 Linux 内核的参数 fips=1 是否在 64 位 IBM Z 架构上的 /boot/loader/entries/rhcs.conf 文件中存在。

SCAP journald 规则不再修复无效的配置

在以前的版本中，SCAP 安全指南规则 journald_compress、journald_forward_to_syslog 和 journald_storage 在补救脚本中包含一个 bug，其在 /etc/systemd/journald.conf 配置文件中向相应的选项添加了额外的引号。因此，journald 服务无法解析配置选项，并忽略它们。因此，配置选项无效，OpenSCAP 报告假的通过结果。有了此更新，规则和补救脚本已被修复，不会添加额外的引号。规则现在为 journald 创建了一个有效的配置。

现在可以使用安全配置文件配置镜像

配置挂载点选项的 SCAP 安全指南规则已重新制定，现在您还可以在镜像构建器中构建操作系统镜像时使用它们来强化镜像。因此，您现在可以使用与特定安全配置文件一致的分区配置来构建镜像。

从与 AIDE 配置相关的 SSG 规则中删除严格的要求

在以前的版本中，SCAP 安全指南(SSG)规则 aide_build_database 需要存在 /var/lib/aide/aide.db.new.gz 和 /var/lib/aide/aide.db.gz 文件才能通过。因为 AIDE 工具不需要 /var/lib/aide/aide.db.new.gz 文件，所以这个更新从 aide_build_database 规则中删除了相应的要求。因此，该规则只需要 /var/lib/aide/aide.db.gz 文件就能通过。

与 pam_faillock 相关的 SCAP 规则有正确的描述

在以前的版本中，与 pam_faillock 相关的 SCAP 安全指南规则包含与一些配置文件值不一致的描述。因此，描述不正确。有了此更新，规则描述现在使用 XCCDF 变量。

当挂载 /boot/efi 时，file_permissions_efi_user_cfg SCAP 规则不再失败

在以前的版本中，UEFI 文件的默认权限不被接受。因此，当 /boot/efi 分区使用虚拟文件分配表(VFAT)文件系统时，不可能使用 chmod 命令更改权限。因此，file_permissions_efi_user_cfg 规则失败。此更新将默认权限从 0600 改为 0700。因为 CIS 也接受 0700 权限，所以评估和补救现在与 CIS 配置文件很好地保持一致。

SSG 补救现在与 configure_openssl_cryptopolicy保持一致

在以前的版本中，SCAP 安全指南(SSG)补救向 opensslcnf.config 文件中添加了 = 字符。此语法与 configure_openssl_cryptopolicy 规则的描述不匹配。因此，在向 opensslcnf.config 插入 .include = 而不是 .include 的补救后，合规性检查可能会失败。有了这个版本，补救脚本与规则描述保持一致，使用 configure_openssl_cryptopolicy 的 SSG 补救不再因为额外的 = 而失败。

postfix_prevent_unrestricted_relay 规则现在接受 = 符号周围的空格

在以前的版本中，SCAP 规则 xccdf_org.ssgproject.content_rule_postfix_prevent_unrestricted_relay 的 OVAL 检查太严格，它不考虑在 = 符号周围包含空格的 postconf 配置赋值语句。因此，即使对技术上满足规则要求的配置，最终报告也将此规则报告为失败。有了此更新，规则被修改了，检查接受 = 符号周围有空格的语句。现在，对于正确的配置语句，最终的报告规则将此规则标记为通过。

SCAP 规则现在正确地评估 /var/log 和 /var/log/audit 分区是否存在

在以前的版本中，一些与 /var/log 和 /var/log/audit 分区相关的 SCAP 规则会被评估和修复，即使合适的磁盘分区不存在。这会影响以下规则：

SCAP 规则 accounts_passwords_pam_faillock_interval 现在涵盖新的 STIG ID

在以前的版本中，SCAP 安全指南规则 accounts_passwords_pam_faillock_interval 没有涵盖 RHEL-08-020012 和 RHEL-08-020013。因此，规则 accounts_passwords_pam_faillock_interval 检查所有这三个文件中的 faillock 配置：/etc/pam.d/password-auth,/etc/pam.d/system-auth 和 /etc/security/faillock.conf。有了此更新，规则现在涵盖 STIG ID RHEL-08-020012 和 RHEL-08-020013。

Red Hat CVE 源已更新

红帽常见漏洞和披露(CVE)源版本 1 (CVE) https://access.redhat.com/security/data/oval/ 已下架，并被 https://access.redhat.com/security/data/oval/v2/ 的 CVE 源版本 2 所替代。

wget 工具在访问受限资源时不再使 TLS 握手失败

在以前的版本中，当在 TLS 中启用了基于票据的会话恢复时，wget 工具预期恢复一个 TLS 会话，即使服务器要求客户端重新验证以访问受限资源。这个行为会导致 wget 使第二个 TLS 握手失败。有了此更新，wget 可以正确发起一个新的握手，对受限资源的访问不再失败。

pam_cap 中的设置被正确地应用到 SELinux 的系统

在以前的版本中，SELinux 策略不包含用于 pam_cap 模块的规则。因此，当使用 ssh 或控制台登录时，在/etc/security/capability.conf 配置文件中将 pam_cap 控制的登录功能授予用户无法正常工作。此更新在策略中添加了一个新规则。因此，在 /etc/security/capability.conf 中授予能力现在可以正常工作，登录时会考虑使用 pam_cap 配置的用户能力。

systemd-fsck-root 服务现在在启用了 SELinux 的系统上可以被正确标记

在以前的版本中，/run/fsck 目录是由 systemd-fsck-root 服务或 fsck 命令创建的，但 SELinux 策略不包含用于正确标记目录的规则。因此，systemd-fsck-root 服务无法正常工作。有了此更新，/run/fsck 的正确标签和文件转换被添加到策略中。因此，systemd-fsck-root 服务可以正常工作，而不报告错误。

SELinux 策略现在允许 D-Bus 上的双向通信

在以前的版本中，SELinux 策略包含只允许 D-Bus 消息总线系统上两个域之间单向通信的规则。但是，此类通信在两个方向上都必须被允许。当 Pacemaker 高可用性集群资源管理器执行 hostnamectl 或 timedatectl 命令时也会发生这种情况。因此，Pacemaker 执行的这些命令会超时，而没有收到 D-Bus 上的响应，因为 SELinux 阻止了它。对 SELinux 策略的此更新允许 D-Bus 上的双向通信。因此，需要 D-Bus 上双向通信的由 Pacemaker 执行的命令可以成功完成。

tangd-keygen 现在可以正确地处理非默认 umask

在以前的版本中，tangd-keygen 脚本不会更改生成的密钥文件的文件权限。因此，在具有阻止其他用户读取密钥的默认用户文件创建模式掩码(umask)的系统上，tang-show-keys 命令会返回错误消息 Internal Error 500 ，而不是显示密钥。有了这个更新，tangd-keygen 为生成的密钥文件设置文件权限，因此脚本现在可以在具有非默认 umask 的系统上正常工作。

Clevis 现在处理 SHA-256 指纹

在此更新之前，Clevis 客户端无法识别通过 thp 配置选项指定的 SHA-256 指纹。因此，客户端没有绑定到使用 SHA-256 指纹的 Tang 服务器，每个对应的 clevis encrypt tang 命令都会报告一个错误。有了此更新，Clevis 使用 SHA-256 识别指纹，并正确处理它们。因此，Clevis 客户端不仅可以使用 SHA-1 绑定到 Tang 服务器，还可以使用 SHA-256 指纹绑定到 Tang 服务器。

Rsyslog 即使没有能力也可以启动

当 Rsyslog 以普通用户或在容器化环境中执行时，rsyslog 进程没有能力。因此，在这种情况下 Rsyslog 无法丢弃能力，并在启动时退出。有了此更新，如果没有能力，进程不再尝试丢弃能力。因此，Rsyslog 可以启动，即使它没有能力。

fapolicyd 服务不再运行从可信数据库中删除的程序

在以前的版本中，fapolicyd 服务错误地将一个程序作为可信程序处理，即使它已从可信数据库中删除了。因此，输入 fapolicyd-cli --update 命令无效，即使程序被删除了也可以执行。有了此更新，fapolicyd-cli --update 命令可以正确地更新可信程序数据库，删除的程序不再被执行。

fapolicyd 服务现在创建具有正确所有权的 RPM 数据库文件

在以前的版本中，fapolicyd 服务在 /var/lib/rpm/ 目录中创建并拥有 RPM 数据库文件。因此，其他程序无法访问文件，这导致可用性控制错误。有了此更新，fapolicyd 创建具有正确所有权的文件，不再发生错误。

yum needs-restarting -s 命令现在可以正确地显示 systemd 服务的列表

在以前的版本中，当您使用带有 -s 或 --services 选项的 needs-restarting 命令时，当检测到非 systemd 或故障进程时会出现一个错误。有了此更新，yum needs-restarting -s 命令会忽略这样的进程，并显示警告信息，其中包含受影响的 systemd 服务的列表。

dnf-automatic 命令现在正确地报告交易的退出状态

在以前的版本中，dnf-automatic 命令返回交易的成功退出码，即使此交易过程中一些操作没有成功完成。这可能对使用 dnf-automatic 自动部署勘误的机器构成安全风险。有了此更新，这个问题已被解决，dnf-automatic 现在会在交易过程中报告软件包的每个问题。

YUM 现在可以正确地处理 proxy=_none_

您可以使用 YUM proxy=_none_ 配置选项来禁止更改代理设置。在以前的版本中，如果您在主配置文件中设置了 proxy=_none_，YUM 会检测到一个错误。此更新修复了这个 bug，YUM 现在可以正确处理 proxy=_none_。

现在，当 dbus 拥有的文件被 zlib更新时，needs-restarting 插件现在可以正确地要求系统重启

在以前的版本中，当运行 YUM needs-restarting 插件时，当 dbus 软件包拥有的文件被依赖的 zlib 软件包更新时，它不会提示重启系统。有了此更新，这个问题已被解决，needs-restarting 插件现在会显示一个信息，即当 zlib 被更新时您必须重启 dbus。

对于长路径，which 命令不再失败

在以前的版本中，当您在路径超过 256 个字符的目录中执行 which 命令时，命令会失败，并显示 Can't get current working directory 错误信息。有了此修复，which 命令现在对路径长度限制使用 PATH_MAX 值。因此，命令不再失败。

ReaR 现在支持带有 OUTPUT=USB的 UEFI 安全引导

在以前的版本中，OUTPUT=USB ReaR 输出方法（其将救援镜像保存在可引导磁盘驱动器上）不尊重 SECURE_BOOT_BOOTLOADER 设置。因此，在启用了 UEFI 安全引导的系统上，带有救援镜像的磁盘不会引导，因为引导装载程序没有签名。

ipmievd 现在会在 SEL 请求超时时正确识别 SEL 响应

ipmievd 服务通过 /dev/ipmi0 设备发送系统事件日志(SEL)请求。在以前的版本中，由于返回的 IPMI 消息缺少 ID 检查，超时请求会导致下一个请求的不正确处理。例如，如果重置了 Baseboard Management Controller (BMC)，来自 ipmievd 服务的 SEL 请求会因为没有 SEL 响应而超时。因此，因为没有相应的 SEL 响应，ipmievd 无法正常工作，。因此，您不能获得正确的硬件状态，大量错误的硬件信息被输出到 /var/log/messages。有了此修复，ipmitool 和 ipmievd 会根据请求的 ID 检查返回的 IPMI 消息的 ID，并跳过非相应的 SEL 请求。ipmevd 不再记录不正确的硬件信息。

Intel Corporation I350 Gigabit Fiber Network Connection 现在在内核更新后提供一个链接

在以前的版本中，带有 Small Formfactor Pluggable (SFP) transceiver 模块而没有 External Thermal Sensor (ETS)的硬件配置导致 igb 驱动程序错误地初始化 Inter-Integrated Circuit (I2C)来读取 ETS。因此，连接无法获得链接。有了此 bug 修复，igb 驱动程序仅在带有 ETS 的 SFP 可用时初始化 I2C。因此，连接获得链接。

grubby 现在可以正确地将参数传给新内核

当您使用 grubby 工具添加新内核且不指定任何参数，或者将参数留空时，grubby 不会将任何参数传给新内核，也不会设置 root。使用 --args 和 --copy-default 选项可确保新参数被追加到默认参数后面。

multipathd 在所有路径中添加了持久保留注册密钥

在以前的版本中，当 multipathd 守护进程启动时，它识别现有多路径设备的一个路径上的持久保留的注册密钥，而不是该设备的所有路径都有注册密钥。因此，如果在 multipathd 停止时，带有持久保留的多路径设备出现新路径，则不会在那些路径上建立持久保留。这允许路径上的 IO 处理，即使它们应该被保留密钥禁止。

LUN 现在在操作系统安装过程中可见

在以前的版本中，系统没有使用固件源的身份验证信息，特别是在涉及带有存储在 iSCSI iBFT (Boot Firmware Table)中 CHAP (Challenge-Handshake Authentication Protocol) 的 iSCSI 硬件卸载的情况。因此，在安装过程中 iSCSI 登录失败。

在所有待处理的操作完成前，Pacemaker Designated Controller 选举不再完成

当集群选择一个新的 Designated Controller (DC)时，所有节点都将其当前历史记录发送给新的 DC，后者将其保存到 CIB。因此，如果在选择新 DC 时操作已在进行中，且节点将当前历史记录发送给新 DC 后的操作完成了，则操作的结果可能会丢失。有了此修复，在所有待处理的操作都完成前，DC 选举不会完成，且没有丢失操作结果。

fence_scsi 代理现在可以自动检测共享的 lvmlockd 设备

在以前的版本中，fence_scsi 代理没有自动检测共享的 lvmlockd 设备。有了此更新，当 devices 属性没有设置时，fence_scsi 可以自动检测 lvmlockd 设备。

资源粘性现在可以与托管分数正确进行比较

链式资源托管是指与被分配的资源托管的资源一起托管的资源。在以前的版本中，如果原始托管有一个有限的负分数，并且链式托管是强制的，则可以从其节点禁止被分配的原始资源，即使 resource-stickiness 被设置为 INFINITY。有了此修复，链式托管现在被按比例考虑，粘性可以正确地与托管分数进行比较。

crm_resource 命令现在允许禁止或移动只有一个活跃副本的捆绑包

在以前的版本中，当 crm_resource 命令检查带有单个副本的捆绑包是否处于活跃状态时，命令会计算容器处于活跃状态的节点，以及为容器本身创建的客户机节点。因此，crm_resource 命令不会禁止或移动具有单个活跃副本的捆绑包。有了此修复，crm_resource 命令在在决定活跃副本数时，仅计算捆绑包容器处于活跃状态的节点。

mysql 资源代理现在可以与可升级的克隆资源一起正常工作

在以前的版本中，由于提升分数在提升的和非提升的值之间发生了变化，mysql 资源代理会移动在节点间 Master 角色中操作的克隆资源。有了此修复，已提升的节点保持已提升状态。

未提升的克隆实例不再不必要重启

在以前的版本中，按数字顺序分配可升级的克隆实例，已提升的实例排第一。因此，如果需要启动已提升的克隆实例，在某些情况下会意外重启未提升的实例，因为实例号更改了。有了此修复，当为节点分配实例号时，角色会被考虑，因此不会发生不必要的重启。

将隔离 watchdog 配置为第二个隔离设备，现在在第一个设备超时时会隔离节点

在以前的版本中，当将 watchdog 隔离设备配置为隔离拓扑中的第二个设备时，在计算隔离操作时不会考虑 watchdog 超时。因此，如果第一个设备超时了，隔离操也会超时作，即使 watchdog 会隔离节点。有了此修复，watchdog 超时包含在隔离操作超时中，如果第一个设备超时，则隔离操作成功。

当列表按节点分组时，带有规则的位置约束不再显示

不会给带有规则的位置约束分配节点。在以前的版本中，当您按节点分组列表时，带有规则的位置约束会在空节点下显示。有了此修复，不再显示带有规则的位置约束，并给出一条警告信息，表示带有规则的约束没有显示。

更新多路径 SCSI 设备的 pcs 命令现在可以正常工作

由于 Pacemaker CIB 文件中的变化，pcs stonith update-scsi-devices 命令会按设计停止工作，从而导致一些集群资源不需要的重启。有了此修复，这个命令可以正常工作，并更新 SCSI 设备，而无需重启在同一节点上运行的其他集群资源。

当打开 pscd Web UI 时，pcsd-ruby 守护进程的内存占用量现在减少了

在以前的版本中，当 pcsd Web UI 打开时，pcsd-ruby 守护进程的内存用量会在几个小时内稳步增加。有了此修复，在 pcsd-ruby 守护进程中运行的 web 服务器现在定期执行安全重启。这会释放分配的内存，并减少内存占用。

azure-events-az 资源代理不再对 Pacemaker 2.1 及之后的版本产生错误

azure-events-az 资源代理执行 crm_simulate -Ls 命令，并解析输出。使用 Pacemaker 2.1 及更高版本，crm_simulate 命令的输出不再包含文本 Transition Summary:，这会导致一个错误。有了此修复，当缺失此文本时，代理不再会产生错误。

使用 guru 模式的 systemtap 脚本现在可以更快地编译

systemtap guru 模式存活度分析使用 dyninst 库来解析二进制文件。较新的内核通过 CONFIG_RETPOLINE=y 启用缓解代码，替换传统的 RET 指令，并跳转到到一个 thunk。因此，二进制分析需要很长时间，因为存活度分析需要检查跳到 thunk 所导致的控制流图的所有额外的边缘。

eu-addr2line -C 现在可以正确地识别其他参数

在以前的版本中，当您在来自 elfutils 的 eu-addr2line 命令中使用 -C 参数时，以下单个字符参数会消失。因此，eu-addr2line -Ci 命令的行为方式与 eu-addr2line -C 相同，而 eu-addr2line -iC 可以按预期正常工作。这个bug 已被修复，eu-addr2line -Ci 现在可以识别这两个参数。

eu-addr2line -i 现在可以正确地处理使用 GCC 链接时间优化编译的代码

在以前的版本中，elfutils 中包含的 libdw 库中的 dwarf_getscopes 函数无法找到使用 GCC link-time 优化编译的函数的抽象原始定义。因此，当您在 eu-addr2line 命令中使用 -i 参数时，eu-addr2line 无法显示使用 gcc -flto 编译的代码的内联函数。有了此更新，libdw dwarf_getscopes 函数在内联范围的正确编译单元中查找，eu-addr2line -i 可以按预期正常工作。

SSSD 现在在评估基于 GPO 的访问控制时使用 sAMAccountName

在以前的版本中，如果 ldap_user_name 在 AD 客户端上被设置为 sAMAccountName 以外的值，则基于 GPO 的访问控制失败。有了此更新，在评估基于 GPO 的访问控制时，SSSD 总是使用 sAMAccountName。即使 ldap_user_name 在 AD 客户端上被设置为与 sAMAccountName 不同的值，基于 GPO 的访问控制现在也可以正常工作。

SSSD 现在在检索用户时可以处理 user_attributes 选项中的重复属性

在以前的版本中，如果 sssd.conf 在 user_attributes 选项中包含重复属性，则 SSSD 无法正确处理这些重复。因此，无法检索具有这些属性的用户。有了此更新，SSSD 可以正确处理重复。因此，现在可以检索具有重复属性的用户。

更改安全参数现在可以正常工作

在以前的版本中，当使用 dsconf instance_name security set 命令更改安全参数时，操作会失败并显示错误：

目录服务器现在根据打开的描述符的最大数计算 dtablesize

在以前的版本中，管理员可以使用 nsslapd-conntablesize 配置参数手动设置连接表大小。因此，当连接表大小设置的太低时，它会影响服务器可以支持的连接数。有了这个更新，目录服务器现在可以动态计算连接表的大小，从而有效地解决了连接表大小太小的问题。另外，您不再需要手动更改连接表大小。

dsctl healthcheck 命令现在默认使用密码存储模式 PBKDF2-SHA512

在以前的版本中，dsctl healthcheck 命令默认使用 SSHA512 密码存储模式。因此，命令会报一个警告，因为它不能检测新的密码存储模式 PBKDF2-SHA512。有了此更新，dsctl healthcheck 命令现在默认使用 PBKDF2-SHA512 密码存储模式，且不会发生警告。

现在，常规用户的分页搜索不会影响性能

在以前的版本中，当目录服务器位于搜索负载下时，常规用户的分页搜索可能会影响服务器性能，因为锁与轮询网络事件的线程发生冲突。另外，如果在发送页搜索时发生网络问题，则整个服务器都没有响应，直到 nsslapd-iotimeout 参数过期为止。有了此更新，锁被分成几个部分，以避免与网络事件争用。因此，在常规用户的分页搜索过程中不会影响性能。

现在，您可以如预期在目录服务器中启用和禁用密码

在以前的版本中，当您试图使用 Web 控制台启用或禁用默认密码之外启用或禁用特定密码时，服务器只启用或禁用特定的密码，并记录类似如下的错误：

现在不再允许删除 IdM admin 用户

在以前的版本中，如果您是 admins 组的成员，则无法阻止您删除身份管理(IdM) admin 用户。缺少 admin 用户会导致 IdM 和活动目录 (AD)之间的信任停止正常工作。有了此更新，您不再可以删除 admin 用户。因此，IdM-AD 信任可以正常工作。

当可信 AD 用户的名称包含混合问题单字符时，IdM 客户端可以正确地检索它们的信息

在以前的版本中，如果您尝试用户查找或用户的身份验证，并且可信活动目录(AD)用户在其名称中包含混合大小写字符，且在 IdM 中使用覆盖进行了配置，则会返回一个错误，阻止用户访问 IdM 资源。

安装程序不再在具有 ASPEED 2600 的服务器上冻结

在以前的版本中，当您在具有 ASPEED 2600 On System Management Chipset 的服务器上启动安装程序时，图形 RHEL 8.8 安装程序会出现黑屏，无响应。因此，您无法在服务器上安装 RHEL 8.8。

Web 控制台 NBDE 绑定步骤现在也适用于带有根文件系统的卷组

在 RHEL 8.8 中，由于确定用户是否向 root 文件系统添加 Tang 密钥的代码中有一个 bug，当 LUKS 容器上根本没有文件系统时，web 控制台中的绑定过程会崩溃。因为在点击了 Verify key 对话框中的 Trust key 按钮后， web 控制台会显示出错信息 TypeError: Qe (…​) is undefined，所以您必须在上述场景中的命令行界面中执行所有必要的步骤。

VNC 控制台现在可以在大多数分辨率下正常工作

在以前的版本中，当在某些显示分辨率下使用虚拟网络计算(VNC)控制台时，会出现鼠标偏移问题，或者只有接口的一部分可见。因此，无法使用 VNC 控制台。

storage 角色现在可以在不卸载的情况下调整挂载的文件系统的大小

在以前的版本中，storage 角色无法调整挂载的设备的大小，即使文件系统支持在线调整大小。因此，storage 角色在调整大小前卸载所有文件系统，例如，对于正在使用的文件系统，调整大小会失败，例如，在调整正在运行的系统的 / 目录的大小时。

certificate RHEL 系统角色现在在确定是否执行新证书请求时检查证书密钥大小

在以前的版本中，在评估是否请求新证书时，certificate RHEL 系统角色不会检查证书的密钥大小。因此，角色有时在应该发布新证书请求时没有发布新证书请求。有了此更新，certificate 现在检查 key_size 参数，以确定是否应执行一个新证书请求。

使用 rhc 角色创建的 Insights 标签现在可以正确应用

在以前的版本中，当使用 rhc 角色创建 Insights 标签时，标签没有存储在正确的文件中。因此，标签没有发送给 Insights，因此它们没有应用到 Insights 清单中的系统。

RHEL 7 上的 firewall RHEL 系统角色不再尝试安装不存在的 Python 软件包

在以前的版本中，当从另一个角色调用 RHEL 7 上的 firewall 角色，且该角色在使用 python3 时，firewall 角色会尝试为该 Python 版本安装 python3-firewall 库。但是，该库在 RHEL 7 中不提供。因此，python3-firewall 库没有找到，您会收到以下出错信息：

在创建前无法从成员磁盘中删除数据的问题不再存在

在以前的版本中，当创建 RAID 卷时，在组成 RAID 卷前，系统不能有效地从成员磁盘中删除现有的数据。有了此更新，RAID 卷可以根据需要从成员磁盘中删除任何已存在的数据。

podman_registries_conf 变量现在可以正确地配置 unqualified-search-registries 字段

在以前的版本中，配置了 podman_registries_conf 变量后，podman RHEL 系统角色失败。因此，在 /etc/containers/registries.conf.d/50-systemroles.conf 文件中不会生成 unqualified-search-registries = ["registry.access.redhat.com"] 设置。有了此更新，这个问题已被解决。

raid_chunk_size 参数不再返回一个错误信息

在以前的版本中，RAID 池和卷不允许用于 raid_chunk_size 属性。有了此更新，您现在可以为 RAID 池和卷配置 raid_chunk_size 属性，而不会遇到任何限制。

在有不存在服务的检查模式下运行 firewall RHEL 系统角色不再失败

在以前的版本中，在检查模式下将 firewall 角色与不存在的服务一起运行会失败。此修复实现了对检查模式的 Ansible 最佳实践的最好遵守。因此，启用或禁用不存在的服务不再在检查模式下使角色失败。相反，会显示一个警告提示您确认服务是否已在之前的 playbook 中定义了。

kdump 角色以幂等方式添加 authorized_keys

在以前的版本中，添加 authorized_key 的任务每次都添加一个额外的换行符。因此，该角色不是幂等的。有了此修复，添加新的 authorized_key 可以正常工作，并智能以幂等方式添加单个密钥值。

如果缺少 authorized_keys，kdump 系统角色不会失败

在以前的版本中，如果 kdump_ssh_user 变量中定义的用户无法访问 主目录中的 .ssh 目录或空的.ssh/authorized_keys 文件，kdump 系统角色将无法添加 SSH 授权密钥。有了此修复，kdump 系统角色可以正确地将授权密钥添加到 SSH 配置中。因此，基于密钥的身份验证可以在上述场景中可靠地工作。

在检查模式下使用 previous: replaced 时，firewall RHEL 系统角色可以正确地报告变化

在以前的版本中，当在检查模式中使用 previous: replaced 参数时，firewall 角色不会检查是否有文件更改了。因此，该角色会给出一个有关未定义变量的错误。此修复在检查模式中添加了新的检查变量，以评估是否 previous: replaced 参数了更改任何文件。检查 firewalld.conf 文件会评估 rpm 数据库，以确定同软件包中提供的版本相比，文件是否已更改了。因此，在使用 previous: replaced 参数时，firewall 角色现在可以正确地报告更改。

为系统角色启用 kdump 需要在 RHEL 9 及更新的版本上使用 failure_action 配置参数

在以前的版本中，在 kdump 配置过程中使用default选项不成功，并在日志中打印以下警告：

在将区域分配给网络管理器接口时，firewall RHEL 系统角色可以正确地报告更改

在以前的版本中，当不存在任何更改时，网络管理器接口分配会报告更改。有了此修复，文件 library/firewall_lib.py 中的 try_set_zone_of_interface 模块返回第二个值，它表示接口的区是否已更改。当向 Network Manager 处理的接口分配区域时，模块现在可以正确地报告更改。

kdump 角色成功为 kdump_ssh_server 身份验证更新了 .ssh/authorized_keys

在以前的版本中，kdump 角色无法访问 .ssh 目录，来安全地验证用户，以登录到 kdump_ssh_server。因此，kdump 角色没有更新 .ssh/authorized_keys 文件和 SSH 机制，来验证kdump_ssh_server是否失败。在这个版本中解决了这个问题。因此，kdump_ssh_server 上的 kdump_ssh_user 身份验证可以可靠地工作。

firewall 系统角色的 previous: replaced 参数现在覆盖以前的配置，而不删除它

在以前的版本中，如果您将 previous: replaced 参数添加到变量列表中，firewall 系统角色会删除所有现有用户定义的设置，并将 firewalld 重置为默认设置。此修复在 firewalld 中使用 EL7 版本中引入的回退配置来保留之前的配置。因此，当您在变量列表中使用 previous: replaced 参数时，在重置时不会删除 firewall.conf 配置文件，但文件中的文件和注释被保留。

kdump 角色以等幂方式向 authorized_keys 添加多个密钥

在以前的版本中，同时向 authorized_keys 文件中添加多个 SSH 密钥会将一个主机的密钥值替换为另一个主机的密钥值。此更新通过使用 lineinfile 模块来管理 authorized_keys 文件解决了这个问题。lineinfile 按顺序迭代任务，检查现有的密钥，并一次在一台主机上的一个原子操作中写入新密钥。因此，在多个主机上添加 SSH 密钥可以正常工作，不会替换另一个主机的密钥值。

向虚拟机热插一块 Watchdog 卡不再失败

在以前的版本中，如果没有 PCI 插槽可用，向正在运行的虚拟机(VM)添加一块 Watchdog 卡会失败，并显示以下错误：

TuneD 的套接字 API 作为技术预览提供

通过 UNIX 域套接字控制 TuneD 的套接字 API 现在作为技术预览提供。套接字 API 将一对一与 D-Bus API 映射，并为 D-Bus 不可用的情况提供替代通信方法。通过使用套接字 API，您可以控制 TuneD 守护进程来优化性能，并更改各种调优参数的值。套接字 API 默认被禁用，您可以在 tuned-main.conf 文件中启用它。

AF_XDP 作为技术预览

Address Family eXpress Data Path (AF_XDP) 是设计用于处理高性能数据包。它包含 XDP，并允许通过编程方式将选定的数据包高效地重定向到用户空间应用，以便进一步处理。

可作为技术预览的 XDP 功能

红帽提供了以下 eXpress Data Path(XDP)功能作为不受支持的技术预览：

TC 的多协议标签交换，作为技术预览提供

Multi-protocol Label Switching（MPLS）是一个内核内数据转发机制，用于跨企业网络路由流量。在 MPLS 网络中，接收数据包的路由器根据附加到数据包的标签决定数据包的其他路由。使用标签时，MPLS 网络可以处理带有特定特征的数据包。例如，您可以添加 tc 过滤器，以一致的方式管理从特定端口接收的数据包或执行特定类型的流量。

act_mpls 模块作为技术预览提供

act_mpls 模块现在作为技术预览在 kernel-modules-extra rpm 中找到。该模块允许使用流量控制（TC）过滤器进行多协议标签交换（MPLS）操作，例如：通过 TC 过滤器推送和弹出 MPLS 标签堆栈条目。模块还允许独立设置 Label、Traffic Class、Stack 的 Bottom 和 Time to Live 字段。

systemd-resolved 服务现在作为技术预览提供

systemd-resolved 服务为本地应用提供名称解析。该服务实现了缓存和验证 DNS 存根解析器、链接本地多播名称解析(LLMNR)和多播 DNS 解析器和响应器。

soft-RoCE 作为技术预览提供

通过融合以太网的远程直接内存访问(RDMA)是一个通过以太网实现 RDMA 的网络协议。Soft-RoCE 是 RoCE 的软件实现，它维护两个协议版本：RoCE v1 和 RoCE v2。在 RHEL 8 中，Soft-RoCE 驱动程序 rdma_rxe 作为不受支持的技术预览提供。

eBPF 作为技术预览

Extended Berkeley Packet Filter(eBPF) 是一个内核中的虚拟机,允许在可访问有限功能的受限沙箱环境中在内核空间中执行代码。

kexec 快速重启功能作为一种技术预览提供

kexec 快速重启功能作为一种技术预览继续提供。kexec 快速重启可显著加快引导过程，因为您可以直接引导到第二个内核，而无需首先通过基本输入/输出系统(BIOS)或固件。要使用这个功能：

用于内核的 Intel 数据流加速器驱动程序作为技术预览提供

内核的 Intel 数据流加速器驱动程序(IDXD)目前作为技术预览提供。它是一个 Intel CPU 集成加速器，包括一个带有处理地址空间 ID(pasid)提交和共享虚拟内存(SVM)的共享工作队列。

accel-config 软件包作为技术预览提供

accel-config 软件包现在作为技术预览在 Intel EM64T 和 AMD64 构架上提供。这个软件包有助于控制并配置 Linux 内核中的数据流化器（DSA）子系统。另外，它还通过 sysfs (pseudo-文件系统)配置设备，以 json 格式保存并载入配置。

SGX 作为技术预览

软件扩展（SGX）是一个 Intel® 技术，用于保护软件代码和数据不受公开和修改的影响。RHEL 内核部分提供 SGX v1 和 v1.5 功能。版本 1 使用 Flexible Launch Control 机制启用平台，以使用 SGX 技术。版本 2 添加了 Enclave Dynamic Memory Management (EDMM)。主要特性包括：

现在 ext4 和 XFS 作为技术预览提供文件系统 DAX

在 Red Hat Enterprise Linux 8 中，文件系统 DAX 作为技术预览提供。DAX 提供了将持久内存直接映射到其地址空间的方法。要使用 DAX，系统必须有某种形式的持久性内存可用，通常是以一个或多个非易失性双内联内存模块(NVDIMM)的形式，并且提供 DAX 能力的文件系统必须在 NVDIMM 上创建。另外，该文件系统必须使用 dax 挂载选项挂载。然后，挂载了 dax 的文件系统上的文件的 mmap 会导致存储直接映射到应用程序的地址空间。

OverlayFS

OverlayFS 是一种联合文件系统。它允许您在另一个文件系统上覆盖一个文件系统。更改记录在上面的文件系统中，而较小的文件系统则未修改。这允许多个用户共享文件系统镜像，如容器或 DVD-ROM，基础镜像使用只读介质。

Stratis 现在作为技术预览提供

Stratis 是一个新的本地存储管理器，它使用额外的功能在存储池之上提供受管的文件系统。它作为技术预览提供。

NVMe/TCP 主机作为技术预览提供

访问和共享通过 TCP/IP 网络(NVMe/TCP)的 Nonvolatile Memory Express(NVMe/TCP)存储及其相应的 nvme_tcp.ko 内核模块已被添加为技术预览。使用 nvme-cli 软件包提供的工具可以将 NVMe/TCP 作为主机管理。NVMe/TCP 主机技术预览仅用于测试目的，目前没有计划提供全面支持。

在 IdM 域成员中设置 Samba 服务器作为技术预览提供

在这个版本中，您可以在 Identity Management(IdM)域成员中设置 Samba 服务器。由同名软件包提供的新 ipa-client-samba 程序为 IdM 添加了特定于 Samba 的 Kerberos 服务主体并准备 IdM 客户端。例如，实用程序使用 sss ID 映射后端的 ID 映射配置创建 /etc/samba/smb.conf。现在，管理员可以在 IdM 域成员中设置 Samba。

pacemaker podman bundles 作为技术预览

pacemaker 容器捆绑包现在在 Podman 上运行，容器捆绑包功能作为技术预览提供。此功能的一个例外是技术预览：红帽完全支持将 Pacemaker 捆绑包用于 Red Hat OpenStack。

作为技术预览的 corosync-qdevice 中的 Heuristics

Heuristics是一组在启动、集群成员资格更改、成功连接到 corosync-qnetd 时本地执行的命令，以及可选的定期执行的命令。当所有命令及时成功完成（返回的错误代码为零），代表 heuristics 通过，否则代表失败。Heuristics 结果发送到 corosync-qnetd，在计算中用来决定哪个分区应该是 quorate。

新的 fence-agents-heuristics-ping 保护代理

作为技术预览，Pacemaker 现在提供 fence_heuristics_ping 代理。这个代理旨在打开一组实验性保护代理，它们本身没有实际隔离，而是以新的方式利用隔离级别。

身份管理 JSON-RPC API 作为技术预览

一个 API 可用于 Identity Management(IdM)。要查看 API，IdM 还提供了一个 API 浏览器作为技术预览。

DNSSEC 在 IdM 中作为技术预览提供

带有集成 DNS 的身份管理(IdM)服务器现在实现了 DNS 安全扩展(DNSSEC)，这是一组增强 DNS 协议安全的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。

ACME 作为技术预览提供

自动证书管理环境(ACME)服务现在作为技术预览在 Identity Management(IdM)中提供。ACME 是一个用于自动标识符验证和证书颁发的协议。它的目标是通过缩短证书生命周期并避免证书生命周期管理中的手动过程来提高安全性。

sssd-idp 子软件包作为技术预览提供

SSSD 的 sssd-idp 子软件包包含 oidc_child 和 krb5 idp 插件，它们是对身份管理(IdM)服务器执行 OAuth2 身份验证的客户端组件。此功能仅适用于 RHEL 8.7 及更高版本上的 IdM 服务器。

SSSD 内部 krb5 idp 插件作为技术预览提供

SSSD krb5 idp 插件允许您使用 OAuth2 协议对外部身份提供者(IdP)进行身份验证。此功能仅适用于 RHEL 8.7 及更高版本上的 IdM 服务器。

RHEL IdM 允许将用户身份验证委派给外部身份提供程序作为技术预览

作为 RHEL IdM 中的技术预览，您现在可以将用户与支持 OAuth 2 设备授权流的外部身份提供者(IdP)关联。当这些用户使用 RHEL 8.7 或更高版本中提供的 SSSD 版本进行身份验证时，它们会在执行身份验证和在外部 IdP 授权后得到带有 Kerberos 票据的 RHEL IdM 单点登录功能。

GNOME 用于 64 位 ARM 架构，作为一个技术预览

GNOME 桌面环境可用于 64 位 ARM 架构，作为技术预览。

用于 IBM Z 架构的 GNOME 作为技术预览提供

对于 IBM Z 架构，GNOME 桌面环境作为技术预览。

VNC 远程控制台作为 64 位 ARM 架构的一个技术预览提供

在 64 位 ARM 架构中,虚拟网络计算(VNC)远程控制台可作为技术预览使用。请注意,在 64 位 ARM 架构中,目前图形堆栈的其它部分没有被验证。

KVM 虚拟化可用于 RHEL 8 Hyper-V 虚拟机

作为技术预览，现在可将嵌套的 KVM 虚拟化用于 Microsoft Hyper-V hypervisor。因此，您可以在运行在 Hyper-V 主机的 RHEL 8 虚拟机中创建虚拟机。

用于 KVM 虚拟机的 AMD SEV 和 SEV-ES

作为技术预览，RHEL 8 为使用 KVM 虚拟机的 AMD EPYC 主机提供安全加密虚拟化（SEV）功能。如果在虚拟机(VM)上启用，SEV 会加密虚拟机的内存来保护虚拟机被主机访问。这提高了虚拟机的安全性。

Intel vGPU 作为技术预览提供

作为技术预览，可以将物理 Intel GPU 设备分为多个虚拟设备，称为 介质设备。然后可将这些 mediated devices 分配给多个虚拟机(VM)作为虚拟 GPU。因此,这些虚拟机共享单个物理 Intel GPU 的性能。

创建嵌套虚拟机

对于装有 RHEL 8 的 Intel、AMD64、IBM POWER 以及 IBM Z 系统主机上运行的 KVM 虚拟机，嵌套的 KVM 虚拟化作为技术预览提供。使用此功能,在物理 RHEL 8 主机上运行的 RHEL 7 或 RHEL 8 虚拟机可作为虚拟机监控程序,并托管自己的虚拟机。

技术预览：选择 Intel 网络适配器现在在 Hyper-V 上的 RHEL 客户端中提供 SR-IOV

作为技术预览，运行在 Hyper-V hypervisor 上的 Red Hat Enterprise Linux 客户机操作系统现在可以对 ixgbevf 和 iavf 驱动程序支持的 Intel 网络适配器使用单根 I/O 虚拟化(SR-IOV)功能。此功能在满足以下条件时启用：

RHEL 客户机中的 Intel TDX

作为技术预览，Intel Trust Domain Extension (TDX)功能现在可在 RHEL 8.8 及之后的版本中使用。如果主机系统支持 TDX，您可以部署硬件隔离的 RHEL 9 虚拟机(VM)，称为信任域(TD)。但请注意，TDX 目前无法与 kdump 一起工作，启用 TDX 会导致 kdump 在虚拟机上失败。

使用 virtiofs 在主机和虚拟机之间共享文件

作为技术预览，RHEL 8 现在提供 virtio 文件系统(virtiofs)。使用 virtiofs，您可以在主机系统及其虚拟机(VM)之间高效地共享文件。

RHEL 机密虚拟机现在在 Azure 上作为技术预览提供

有了更新的 RHEL 内核，现在您可以在 Microsoft Azure 上创建并运行机密虚拟机(VM)作为技术预览。但是，在 Azure 上引导时无法加密 RHEL 机密虚拟机镜像。

Podman 的 SQLite 数据库后端作为技术预览提供

从 Podman v4.6 开始，Podman 的 SQLite 数据库后端作为技术预览提供。要将数据库后端设置为 SQLite，请在 /etc/containers/containers.conf 配置文件中添加 database_backend = "sqlite" 选项。在切换到 SQLite 数据库后端前，请运行 podman system reset 命令，来将存储重置回初始状态。请注意，您必须重新创建所有容器和 pod。SQLite 数据库保证好的稳定性和一致性。容器堆栈中的其他数据库也会被移到 SQLite。BoltDB 保留默认的数据库后端。

podman-machine 命令不被支持

用于管理虚拟机的 podman-machine 命令仅作为技术预览提供。相反，可以直接从命令行运行 Podman。

弃用了一些 Kickstart 命令和选项

在 RHEL 8 Kickstart 文件中使用以下命令和选项将会在日志中打印警告信息：

ignoredisk Kickstart 命令的 --interactive 选项已被弃用

在以后的 Red Hat Enterprise Linux 版本中使用 --interactive 选项会导致严重安装错误。建议您修改 Kickstart 文件删除该选项。

Kickstart autostep 命令已弃用

autostep 命令已弃用。有关这个命令的相关部分已从 RHEL 8 文档中删除。

NSS SEED 密码已弃用

Mozilla Network Security Services (NSS) 库将不支持在以后的版本中使用 SEED 密码的 TLS 密码组合。为确保在 NSS 取消支持时依赖 SEED 密码的部署平稳过渡，红帽推荐对其它密码套件的支持。

TLS 1.0 和 TLS 1.1 已弃用

TLS 1.0 和 TLS 1.1 协议在 DEFAULT 系统范围的加密策略级别被禁用。如果需要使用启用的协议，如 Firefox 网页浏览器中的视频检查程序，把系统范围的加密策略切换到 LEGACY 级别：

在 RHEL 8 中弃用 DSA

数字签名算法(DSA)在 Red Hat Enterprise Linux 8 中被视为已弃用。依赖于 DSA 密钥的身份验证机制在默认配置中不起作用。请注意，即使使用系统范围的 LEGACY 加密策略级别中，OpenSSH 客户端都不接受 DSA 主机密钥。

fapolicyd.rules 已被弃用

包含允许和拒绝执行规则的文件的 /etc/fapolicyd/rules.d/ 目录替代了 /etc/fapolicyd/fapolicyd.rules 文件。fagenrules 脚本现在将此目录中的所有组件规则文件合并到 /etc/fapolicyd/compiled.rules 文件。/etc/fapolicyd/fapolicyd 中的规则仍由 fapolicyd 框架处理，但只是为了保证向后兼容。

在 NSS中弃用了SSL2 Client Hello

传输层安全(TLS)协议版本 1.2 及更早版本允许以向后兼容安全套接字层(SSL)协议版本 2 的方式与 客户端 Hello 消息进行协商。网络安全服务(NSS)库中对这个功能的支持已被弃用，默认是禁用的。

NTLM 和 Krb4 已在 Cyrus SASL 中弃用

NTLM 和 Kerberos 4 验证协议已弃用，并可能在以后的 RHEL 主版本中删除。这些协议不再被视为安全的，已从上游实现中删除。

使用 /etc/selinux/config 运行时禁用 SELinux 现已弃用

使用 /etc/selinux/config 文件中的 SELINUX=disabled 选项禁用 SELinux 已被弃用。在 RHEL 9 中，当您只通过 /etc/selinux/config 禁用 SELinux 时，系统启动时会启用SELinux ，但没有载入任何策略。

ipa SELinux 模块从 selinux-policy中删除了

ipa SELinux 模块已从 selinux-policy 软件包中删除，因为不再维护它了。这个功能现在包括在 ipa-selinux 子软件包中。

TPM 1.2 已被弃用

可信平台模块(TPM)安全加密处理器标准将在 2016 年更新至版本 2.0。TPM 2.0 比 TPM 1.2 提供了很多改进，它和之前的版本不向后兼容。在 RHEL 8 中弃用了 TPM 1.2，它可能会在下一个主发行版本中删除。

crypto-policies 派生的属性现已被弃用

随着自定义策略中 crypto-policies 指令作用域的引入，以下派生属性已被弃用： tls_cipher、ssh_cipher、ssh_group、ike_protocol 和 sha1_in_dnssec。另外，使用 protocol 属性而不指定范围现也已被弃用。有关推荐的替代品，请参阅 crypto-policies(7) 手册页。

subscription-manager 命令的 --token 选项已弃用

subscription-manager register 命令的 --token=<TOKEN> 选项是一种身份验证方法，可帮助将您的系统注册到红帽。这个选项取决于授权服务器提供的功能。默认授权服务器 subscription.rhsm.redhat.com 计划关闭此功能。因此，尝试使用 subscription-manager register --token=<TOKEN> 可能会失败，并显示以下错误消息：

rpmbuild --sign 已弃用

从 RHEL 8.1 开始，rpmbuild --sign 命令被弃用。在以后的 Red Hat Enterprise Linux 版本中使用这个命令可能会导致错误。建议您使用 rpmsign 命令替代。

OpenEXR 组件已弃用

OpenEXR 组件已弃用。因此，对 EXR 镜像格式的支持已从 imagecodecs 模块中去掉了。

dump 软件包中的 dump 工具已弃用

用于文件系统备份的 dump 工具已弃用，在 RHEL 9 中将不再提供。

RHEL 8 systemd 不再支持 hidepid=n 挂载选项

挂载选项 hidepid=n，其控制谁可以访问 /proc/[pid] 目录中的信息，与 RHEL 8 提供的 systemd 基础架构不兼容。

/usr/lib/udev/rename_device 工具已被弃用

用于重命名网络接口的 udev 帮助工具 /usr/lib/udev/rename_device 已被弃用。

ABRT 工具已被弃用

用于检测和报告应用程序崩溃的自动错误报告工具(ABRT) 在 RHEL 8 中已弃用。作为替代，使用 systemd-coredump 工具记录和存储核心转储，其是程序崩溃后自动生成的文件。

ReaR crontab 已被弃用

rear 软件包中的 /etc/cron.d/rear crontab 已在 RHEL 8 中弃用，且不在 RHEL 9 中提供。crontab 会每晚检查磁盘布局是否已更改，如果发生了更改，则运行 rear mkrescue 命令。

Bacula 中的 SQLite 数据库后端已被弃用

Bacula 备份系统支持多个数据库后端：PostgreSQL、MySQL 和 SQLite。SQLite 后端已被弃用，并将在以后的 RHEL 版本中不被支持。作为一种替代，迁移到其他一种后端(PostgreSQL 或 MySQL)，且在新部署中不使用 SQLite 后端。

raw 命令已被弃用

raw (/usr/bin/raw)命令已被弃用。在以后的 Red Hat Enterprise Linux 版本中使用这个命令可能会导致错误。

PF_KEYv2 内核 API 已弃用

应用程序可以使用 PV_KEYv2 和较新的 netlink API 配置内核的 IPsec 实现。PV_KEYv2 不是在上游主动维护的，且缺少重要的安全功能，如现代密码、卸载和扩展的序列号支持。因此，从 RHEL 8.9 开始，PV_KEYv2 API 被弃用。如果您在应用程序中使用此内核 API，请迁移它，以使用现代 netlink API 作为替代。

在 RHEL 8 中已弃用网络脚本

网络脚本在 Red Hat Enterprise Linux 8 中已弃用，且不再默认提供。基本安装提供了 ifup 和 ifdown 脚本的新版本，它们通过 nmcli 工具调用 NetworkManager 服务。在 Red Hat Enterprise Linux 8 中，要运行 ifup 和 ifdown 脚本，NetworkManager 必须正在运行。

dropwatch 工具已弃用

dropwatch 工具已弃用。以后的发行版本中不再支持该工具，因此不建议在新部署中使用它。作为此软件包的替代品，红帽建议使用 perf 命令行工具。

xinetd 服务已弃用

xinetd 服务已弃用，并将在 RHEL 9 中删除。作为替换，请使用 systemd。详情请查看 如何将 xinetd 服务转换为 systemd。

cgdcbxd 软件包已被弃用

控制组数据中心桥接交换守护进程(cgdcbxd)是监控数据中心桥接(DCB)netlink 事件和管理 net_prio 控制组子系统的服务。从 RHEL 8.5 开始，cgdcbxd 软件包被弃用，并将在下一个主要 RHEL 发行版本中删除。

WEP Wi-Fi 连接方法已被弃用

在 RHEL 8 中弃用了不安全的有线等效隐私(WEP) Wi-Fi 连接方法，并将在 RHEL 9.0 中删除。对于安全的 Wi-Fi 连接，请使用 Wi-Fi Protected Access 3(WPA3)或 WPA2 连接方法。

不受支持的 xt_u32 模块现已被弃用

使用不受支持的 xt_u32 模块，iptables 用户可以匹配数据包头或有效负载中的任意 32 位数据。从 RHEL 8.6 开始，xt_u32 模块已被弃用，并将在 RHEL 9 中删除。

术语 slave在 nmstate API 中被弃用

红帽承诺使用适当的语言。因此，slaves 术语在 Nmstate API 中被弃用。使用 nmstatectl 时使用术语 port。

rdma_rxe Soft-RoCE 驱动程序已弃用

软件直接内存通过融合以太网(Soft-RoCE)（也称为 RXE）是模拟远程直接内存访问(RDMA)的功能。在 RHEL 8 中，Soft-RoCE 功能作为一个不受支持的技术预览提供。但是，由于稳定性问题，此功能已被弃用，并将在 RHEL 9 中删除。

Linux firewire 子系统及其关联的用户空间组件在 RHEL 8 中已弃用

firewire 子系统提供了接口来使用和维护 IEEE 1394 总线上的任何资源。在 RHEL 9 中，内核 软件包将不再支持 firewire 。请注意，firewire 包含几个由 libavc1394、libdc1394、libraw1394 软件包提供的用户空间组件。这些软件包也会被弃用。

使用无磁盘引导为 Real Time 8 安装 RHEL 现已弃用

无盘引导允许多个系统通过网络共享根文件系统。虽然方便，无盘引导会在实时工作负载中容易引入网络延迟。在以后的 RHEL for Real Time 8 的更新中，无盘引导功能将不再被支持。

内核实时补丁现在涵盖所有 RHEL 次要版本

从 RHEL 8.1 开始，已为延长更新支持(EUS)策略涵盖的所选定的 RHEL 次版本提供了内核实时补丁，以修复级别为关键(Critical)和重要(Important)的通用漏洞披露(CVE)。要容纳同时涵盖内核和用例的最大数量，对于内核的每个次版本、主要版本和 zStream 版本，每个实时补丁的支持窗口已从 12 月减少到 6 个月。这意味着，在内核实时补丁发布的那天，它将覆盖过去 6 个月所交付的每个次要版本和计划勘误表内核。

crash-ptdump-command 软件包已被弃用

crash-ptdump-command 软件包（这是 crash 工具的 ptdump 扩展模块）已被弃用，且可能在以后的 RHEL 版本中不提供。在 Single Range Output 模式下工作时，ptdump 命令无法检索日志缓冲区，且只能在物理地址(ToPA)表模式下工作。crash-ptdump-command 当前没有在上游维护

kernelopts 环境变量已被弃用

在 RHEL 8 中，使用 GRUB 引导装载程序的系统的内核命令行参数在 kernelopts 环境变量中定义。变量保存在每个内核引导条目的 /boot/grub2/grubenv 文件中。但是，使用 kernelopts 存储内核命令行参数并不可靠。因此，在以后的 RHEL 主更新中，kernelopts 将被删除，且内核命令行参数会存储在 Boot Loader Specification(BLS)片断中。

elevator 内核命令行参数已弃用

在之前的 RHEL 版本中使用 elevator 内核命令行参数为所有设备设置磁盘调度程序。在 RHEL 8 中，该参数已弃用。

禁用了 NFSv3 over UDP

默认情况下，NFS 服务器不再默认在 User Datagram Protocol(UDP)套接字上打开或监听。这个变化只影响 NFS 版本 3，因为版本 4 需要传输控制协议(TCP)。

peripety 已被弃用

从 RHEL 8.3 开始，pipety 软件包已弃用。

除了 async 以外的 VDO 写模式都被弃用了

VDO 支持 RHEL 8 中的几种写入模式：

VDO 管理器已被弃用

基于 python 的 VDO 管理软件已被弃用，并将从 RHEL 9 中删除。在 RHEL 9 中，它将被 LVM-VDO 集成替代。因此，建议您使用 lvcreate 命令创建 VDO 卷。

cramfs 已被弃用

由于缺少用户，cramfs 内核模块已被弃用。建议使用 squashfs 作为替代解决方案。

支持 clufter 工具的 pcs 命令已被弃用

支持 clufter 工具来分析群集配置格式的 pcs 命令已被弃用。现在，这些命令会显示一个警告信息，提示该命令已弃用，并且与这些命令相关的部分已从 pcs 帮助显示和pcs(8)手册页中删除。

PHP 提供的与 Apache HTTP 服务器一起使用的 mod_php 模块已被弃用

PHP 提供的与 RHEL 8 中的 Apache HTTP 服务器一起使用的 mod_php 模块可用，但在默认配置中未启用。RHEL 9 不再提供该模块。

gdb.i686 软件包已弃用

在 RHEL 8.1 中，GNU Debugger(GDB)gdb.i686 的 32 位版本因为另一个软件包中的依赖问题而提供。因为 RHEL 8 不支持 32 位硬件，所以 gdb.i686 软件包从 RHEL 8.4 开始已弃用。GDB的64 位版本gdb.x86_64完全能够调试 32 位应用程序。

libdwarf 已弃用

libdwarf 库在 RHEL 8 中已弃用。将来的主版本中可能也不支持该程序库。对于打算处理 ELF/DWARF 文件的应用程序，请使用 elfutils 和 libdw 库。

openssh-ldap 已被弃用

在 Red Hat Enterprise Linux 8 中弃用 openssh-ldap 子软件包，并将在 RHEL 9 中删除。因为 openssh-ldap 子软件包没有被上游维护，红帽建议您使用 SSSD 和 sss_ssh_authorizedkeys 帮助程序，它们与其他 IdM 解决方案更好地集成且更安全。

已经删除了 DES 和 3DES 加密类型

由于安全考虑，自 RHEL 7 开始，数据加密标准(DES)算法已被弃用并默认禁用。通过最近重新构建 Kerberos 软件包，已从 RHEL 8 中删除了 single-DES(DES)和 triple-DES（3DES） 加密类型。

libwbclient 的 SSSD 版本已被删除

libwbclient 软件包的 SSSD 实现在 RHEL 8.4 中已被弃用。因为无法与 Samba 的最新版本一起使用， libwbclient 的 SSSD 实现现已被删除。

单独使用 ctdb 服务已弃用

从 RHEL 8.4 开始，建议客户仅在满足以下条件时使用 ctdb 集群 Samba 服务：

通过 WinSync 与 IdM 的间接 AD 集成已弃用

由于一些功能的限制，不会在 RHEL 8 中对 WinSync 进行积极的开发：

以 PDC 或 BDC 的形式运行 Samba 已被弃用

传统的域控制器模式使管理员能够作为类似 NT4 的主域控制器（PDC）和备份域控制器（BDC）运行 Samba。用于配置这些模式的代码和设置将在以后的 Samba 发行版本中删除。

SMB1 协议在 Samba 中已弃用

从 Samba 4.11 开始，不安全的服务器消息块版本 1 (SMB1)协议已弃用，并将在以后的发行版本中删除。

对 FreeRADIUS 的有限支持

在 RHEL 8 中，以下外部身份验证模块作为 FreeRADIUS 产品的一部分被弃用：

libgnome-keyring 库已弃用

libgnome-keyring 库已弃用，现在使用 libsecret 库，因为 libgnome-keyring 没有被上游维护，且不会遵循 RHEL 所需的加密策略。新的 libsecret 库是符合所需安全标准的替换。

libreoffice 已被弃用

LibreOffice RPM 软件包现已弃用，并将在以后的主 RHEL 发行版本中删除。LibreOffice 在 RHEL 7、8 和 9 的整个生命周期中仍然被完全支持。

不再支持 AGP 图形卡

Red Hat Enterprise Linux 8 不支持使用图形端口(AGP)总线的图形卡。推荐使用 PCI-Express bus 图形卡替换。

Motif 已被弃用

Motif 小部件工具包已在 RHEL 中被弃用，因为上游 Motif 社区的开发不活跃。

Web 控制台不再支持不完整翻译

RHEL web 控制台不再提供翻译少于 50% 的语言支持。如果浏览器要求转换成这种语言，用户界面将为英语。

remotectl 命令已弃用

remotectl 命令已弃用，并将在以后的 RHEL 版本中不可用。您可以使用 cockpit-certificate-ensure 命令作为替代。但请注意，cockpit-certificate-ensure 没有与 remotectl 相同的功能。它不支持捆绑的证书和密钥 keychain 文件，并要求将它们拆分。

geoipupdate 软件包已弃用

geoipupdate 软件包需要第三方订阅，同时下载专有内容。因此，geoipupdate 软件包已被弃用，并将在下一个主要 RHEL 版本中删除。

在 RHEL 9 节点上配置 team 时，network 系统角色显示一条弃用警告

RHEL 9 中弃用了网络协作功能。因此，在 RHEL 8 控制节点上使用 network RHEL 系统角色在 RHEL 9 节点上配置网络团队，会显示有关弃用的警告。

Ansible Engine 已被弃用

以前的 RHEL 8 版本提供对 Ansible Engine 存储库的访问（有限范围的支持），以启用支持的 RHEL Automation 用例，如 RHEL 系统角色和 Insights 补救措施。Ansible Engine 已被弃用，2023 年 9 月 29 日之后将不再支持 Ansible Engine 2.9 。有关支持的用例的详情，请参阅 RHEL 9 AppStream 中包含的 Ansible Core 软件包的支持范围。

virsh iface-* 命令已被弃用

virsh iface-* 命令（如 virsh iface-start 和 virsh iface-destroy ）现已被弃用，并将在以后的 RHEL 主版本中删除。另外，这些命令会因为配置依赖而经常失败。

virt-manager 已被弃用

虚拟机管理器（也称 virt-manager） 已弃用。RHEL web 控制台（也称为 Cockpit ）旨在在以后的版本中成为其替代品。因此，建议您使用 web 控制台使用 GUI 管理虚拟化。但请注意，virt-manager 中的一些可用功能可能在 RHEL web 控制台中不可用。

对虚拟机快照的支持有限

目前只对使用 UEFI 固件的虚拟机支持创建虚拟机(VM)的快照。另外，在快照操作过程中，QEMU 监控可能会被阻止，这会影响某些工作负载的 hypervisor 性能。

Cirrus VGA 虚拟 GPU 类型已弃用

随着 Red Hat Enterprise Linux 的主要更新，Cirrus VGA GPU 设备将在 KVM 虚拟机中不再被支持。因此，红帽建议使用 stdvga 或 virtio-vga 设备，而不是 Cirrus VGA。

SPICE 已被弃用

SPICE 远程显示协议已弃用。因此，RHEL 8 中仍支持 SPICE，但红帽建议对远程显示流使用备用解决方案：

IBM POWER 上的 KVM 已被弃用

在 IBM POWER 硬件中使用 KVM 虚拟化已被弃用。因此，RHEL 8 仍支持 IBM POWER 上的 KVM，但在以后的 RHEL 主发行版本中将不被支持。

使用基于 SHA1 的签名进行 SecureBoot 镜像验证已弃用

在 UEFI（PE/COFF）可执行文件中使用基于 SHA1 的签名执行 SecureBoot 镜像验证已过时。反之，红帽建议使用基于 SHA2 算法或更新版本的签名。

使用 SPICE 将智能卡读取器附加到虚拟机已被弃用

SPICE 远程显示协议已在 RHEL 8 中被弃用。由于将智能卡读取器附加到虚拟机(VM)的唯一方法取决于 SPICE 协议，因此在虚拟机中使用智能卡已在 RHEL 8 中被弃用。

基于 RDMA 的实时迁移已弃用

有了这个更新，使用 Remote Direct Memory Access (RDMA)迁移正在运行的虚拟机已被弃用。因此，仍可以使用 rdma:// 迁移 URI 来通过 RDMA 请求迁移，但这个功能将在以后的 RHEL 主发行版本中不被支持。

基于 Podman varlink 的 API v1.0 已被删除

基于 Podman varlink 的 API v1.0 在之前的 RHEL 8 版本中已弃用。podman v2.0 引入了一个新的 Podman v2.0 RESTful API。Podman v3.0 发行版本中，基于 varlink 的 API v1.0 已被完全删除。

container-tools:1.0 已弃用

container-tools:1.0 模块已弃用，将不再接收安全更新。建议您使用较新支持的稳定模块流，如 container-tools:2.0 或 container-tools:3.0。

container-tools:2.0 模块已被弃用

container-tools:2.0 模块已被弃用，并将不再接受安全更新。建议您使用更新的支持的稳定模块流，如 container-tools:3.0。

除了 GIMP ，Flatpak 镜像已弃用

rhel8/firefox-flatpak,rhel8/thunderbird-flatpak,rhel8/inkscape-flatpak 和 rhel8/libreoffice-flatpak RHEL 8 Flatpak 应用程序已被弃用，并被 RHEL 9 版本替代。rhel8/gimp-flatpak Flatpak 应用程序已被弃用，因为在 RHEL 9 中还没有替代品。

CNI 网络堆栈已弃用

容器网络接口 (CNI)网络堆栈已弃用，并将在以后 RHEL 次要发行本中从 Podman 中删除。在以前的版本中，容器只能通过 DNS 连接到单个 Container Network Interface (CNI)插件。podman v.4.0 引入了一个新的 Netavark 网络堆栈。您可以将 Netavark 网络堆栈与 Podman 和其他Open Container Initiative(OCI)容器管理应用程序一起使用。Podman 的 Netavark 网络堆栈也与高级 Docker 功能兼容。多个网络中的容器可以访问任何这些网络上的容器。

container-tools:3.0 已弃用

container-tools:3.0 模块已弃用，将不再接收安全更新。要继续在 RHEL 上构建并运行 Linux 容器，请使用较新的、稳定且受支持的模块流，如 container-tools:4.0。

Inkscape 和 LibreOffice Flatpak 镜像已弃用

作为技术预览提供的 rhel9/inkscape-flatpak 和 rhel9/libreoffice-flatpak Flatpak 镜像已被弃用。