Red Hat Training
A Red Hat training course is available for RHEL 8
8.0發行說明 (機器翻譯)
Red Hat Enterprise Linux 8.0的發行說明 (機器翻譯)
摘要
提供有關Red Hat文檔的反饋 (機器翻譯)
感謝您對我們的文檔的意見。請告訴我們如何才能讓它變得更好。為此:
- 有關特定段落的簡單註釋,請確保以多頁HTML格式查看文檔。突出顯示要評論的文本部分。然後,單擊 添加反饋 出現在突出顯示的文本下方的彈出窗口,並按照顯示的說明操作。
要提交更複雜的反饋,請創建Bugzilla票證:
- 去吧 Bugzilla 網站。
- 作為組件,使用 文檔。
- 填寫 描述 你提出改進的建議。包括指向相關文檔部分的鏈接。
- 點擊 提交錯誤。
章 1. 概觀 (機器翻譯)
Red Hat Enterprise Linux 8.0基於Fedora 28和上游內核4.18,為用戶提供了跨混合雲部署的穩定,安全,一致的基礎,以及支持傳統和新興工作負載所需的工具。該版本的亮點包括:
分配
- 內容可通過 BaseOS 和應用流(AppStream)存儲庫。
- 該 AppStream repository支持傳統RPM格式的新擴展 - 模塊。這允許組件的多個主要版本可用於安裝。
看到 章 3, 在RHEL 8中分發內容 (機器翻譯) 欲獲得更多信息。
軟件管理
- 該 YUM 包管理器現在基於 DNF 技術,它為模塊化內容提供支持,提高性能,並提供精心設計的穩定API,以便與工具集成。
看到 節 4.4, “軟件管理 (機器翻譯)” 更多細節。
Web服務器,數據庫,動態語言
- 蟒蛇 3.6是RHEL 8中的默認Python實現;提供了對Python 2.7的有限支持。默認情況下不安裝任何版本的Python。
- RHEL 8提供以下內容 數據庫服務器:MariaDB 10.3,MySQL 8.0,PostgreSQL 10,PostgreSQL 9.6和Redis 4.0。
看到 節 4.7, “動態編程語言,Web和數據庫服務器 (機器翻譯)” 欲獲得更多信息。
桌面
- GNOME Shell 已經重新定位到版本3.28。
- GNOME會話和GNOME Display Manager使用 韋蘭 作為其默認顯示服務器。該 X.Org 服務器,也是RHEL 7中的默認顯示服務器,也可用。
看到 節 4.8, “桌面 (機器翻譯)” 欲獲得更多信息。
安裝程序和映像創建
- 該 蟒蛇 安裝人員可以利用 LUKS2 磁盤加密,並安裝系統 NVDIMM 設備。
- 新的 作曲家 工具使用戶能夠以各種格式創建自定義系統映像,包括為在各種提供商的雲上部署而準備的映像。作曲家可以作為一個 技術預覽。
- 使用硬件管理控制台從DVD安裝(HMC)和支持元素(SE) 上 IBM Z.。
看到 節 4.2, “安裝程序和映像創建 (機器翻譯)” 了解更多詳情。
文件系統和存儲
- 該 STRATIS 本地存儲管理器已經介紹。通過Stratis,您可以使用統一界面輕鬆執行複雜的存儲任務並管理存儲堆棧。
-
LUKS版本2(LUKS2)format替換傳統的LUKS(LUKS1)格式。該
dm-crypt子系統和cryptsetup工具現在使用LUKS2作為加密卷的默認格式。
看到 節 4.11, “文件系統和存儲 (機器翻譯)” 欲獲得更多信息。
安全
-
全系統 加密政策, 默認情況下應用配置核心加密子系統,包括TLS,IPSec,SSH,DNSSec和Kerberos協議。隨著新的
update-crypto-policies命令,管理員可以輕鬆切換模式:默認,遺留,未來和fips。 - 支持 智能卡 和硬件安全模塊(HSM) PKCS#11 現在整個系統都是一致的。
看到 節 4.14, “安全 (機器翻譯)” 欲獲得更多信息。
聯網
-
該
nftables框架取代iptables在默認網絡數據包過濾工具的作用。 -
該
firewalld守護進程現在使用nftables作為其默認後端。 - 支持 IPVLAN 虛擬網絡驅動程序,支持多個容器的網絡連接。
看到 節 4.13, “聯網 (機器翻譯)” 了解更多細節。
虛擬化
- 更現代的基於PCI Express的機器類型(Q35)現在支持並在RHEL 8中創建的虛擬機中自動配置。這為虛擬設備的功能和兼容性提供了各種改進。
- 現在可以使用RHEL 8 Web控制台創建和管理虛擬機,也稱為 座艙。
- 該 QEMU 模擬器介紹了 沙盒 功能,它為QEMU可以執行的系統調用提供可配置的限制,從而使虛擬機更安全。
看到 節 4.15, “虛擬化 (機器翻譯)” 欲獲得更多信息。
編譯器和開發工具
- 該 GCC 基於版本8.2的編譯器支持更新的C ++語言標準版本,更好的優化,新的代碼強化技術,改進的警告和新的硬件功能。
- 用於代碼生成,操作和調試的各種工具現在可以通過實驗來處理 DWARF5 調試信息格式。
-
內核支持 eBPF 某些工具可以使用跟踪,例如
BCC, ,PCP, ,和SystemTap。 -
該
glibc基於2.28版的庫增加了對Unicode 11的支持,更新的Linux系統調用,DNS存根解析器的關鍵改進,額外的安全加固以及改進的性能。
看到 節 4.10, “編譯器和開發工具 (機器翻譯)” 了解更多細節。
高可用性和集群
- 該 起搏器 群集資源管理器已升級到上游版本2.0.0,它提供了許多錯誤修復和增強功能。
-
在RHEL 8中, 個 配置系統完全支持Corosync 3,
knet, 和節點名稱。
看到 節 4.12, “高可用性和集群 (機器翻譯)” 欲獲得更多信息。
其他資源
- 知識庫文章中提供了與其他版本系統相比的Red Hat Enterprise Linux 8.0的功能和限制 Red Hat Enterprise Linux technology capabilities and limits。
- 有關Red Hat Enterprise Linux生命週期的信息,請參閱 Red Hat Enterprise Linux Life Cycle 文獻。
- 該 Package manifest document提供了RHEL 8的軟件包列表。
章 2. 架構 (機器翻譯)
Red Hat Enterprise Linux 8.0隨內核版本4.18一起發布,它為以下架構提供支持:
- AMD和Intel 64位架構
- 64位ARM架構
- IBM Power Systems,Little Endian
- IBM Z
章 3. 在RHEL 8中分發內容 (機器翻譯)
3.1. 安裝 (機器翻譯)
使用ISO映像安裝Red Hat Enterprise Linux 8。兩種類型的ISO映像可用於AMD64,Intel 64位,64位ARM,IBM Power Systems和IBM Z架構:
- 二進制DVD ISO:包含BaseOS和AppStream存儲庫的完整安裝映像,允許您在沒有其他存儲庫的情況下完成安裝。
- 啟動ISO:用於引導至安裝程序的最小引導ISO映像。此選項需要訪問BaseOS和AppStream存儲庫才能安裝軟件包。存儲庫是Binary DVD ISO映像的一部分。
見 Performing a standard RHEL installation 有關下載ISO映像,創建安裝介質和完成RHEL安裝的說明的文檔。有關自動Kickstart安裝和其他高級主題,請參閱 Performing an advanced RHEL installation 文獻。
3.2. 庫 (機器翻譯)
Red Hat Enterprise Linux 8通過兩個存儲庫分發:
- BaseOS
- AppStream
這兩個存儲庫都是基本RHEL安裝所必需的,並且可用於所有RHEL訂閱。
BaseOS存儲庫中的內容旨在提供底層操作系統功能的核心集,為所有安裝提供基礎。此內容以RPM格式提供,並受類似於以前版本的RHEL中的支持條款的約束。有關通過BaseOS分發的軟件包列表,請參閱 Package manifest。
Application Stream存儲庫中的內容包括其他用戶空間應用程序,運行時語言和數據庫,以支持各種工作負載和用例。AppStream中的內容有兩種格式 - 熟悉的RPM格式和RPM格式的擴展名 模塊。有關AppStream中可用的程序包列表,請參閱 Package manifest。
此外,CodeReady Linux Builder存儲庫可用於所有RHEL訂閱。它提供了供開發人員使用的附加軟件包。生產使用不支持CodeReady Linux Builder存儲庫中包含的軟件包。
有關RHEL 8存儲庫的更多信息,請參閱 Package manifest。
3.3. 應用程序流 (機器翻譯)
Red Hat Enterprise Linux 8.0引入了Application Streams的概念。現在,多個版本的用戶空間組件比核心操作系統軟件包更頻繁地交付和更新。這為定制Red Hat Enterprise Linux提供了更大的靈活性,而不會影響平台或特定部署的底層穩定性。
作為Application Streams提供的組件可以打包為模塊或RPM包,並通過RHEL 8中的AppStream存儲庫提供。每個Application Stream組件都有一個給定的生命週期。有關詳情,請參閱 Red Hat Enterprise Linux Life Cycle。
模塊是表示邏輯單元的包的集合:應用程序,語言堆棧,數據庫或一組工具。這些包是一起構建,測試和發布的。
模塊流表示Application Stream組件的版本。例如,postgresql模塊中提供了PostgreSQL數據庫服務器的兩個流(版本):PostgreSQL 10(默認流)和PostgreSQL 9.6。系統上只能安裝一個模塊流。不同的版本可以在單獨的容器中使用。
詳細的模塊命令在中描述 Using Application Stream 文獻。有關AppStream中可用模塊的列表,請參閱 Package manifest。
章 4. 新功能 (機器翻譯)
本部分介紹了Red Hat Enterprise Linux 8中引入的新功能和主要增強功能。
4.1. Web控制台 (機器翻譯)
Web控制台的“訂閱”頁面現在由新提供 subscription-manager-cockpit 包。
防火牆界面已添加到Web控制台
該 聯網 RHEL 8 Web控制台中的頁面現在包含一個 火牆 部分。在本節中,用戶可以啟用或禁用防火牆,以及添加,刪除和修改防火牆規則。
(BZ#1647110)
Web控制台現在默認可用
RHEL 8 Web控制台的軟件包(也稱為Cockpit)現在是Red Hat Enterprise Linux默認存儲庫的一部分,因此可以立即安裝在已註冊的RHEL 8系統上。
此外,在RHEL 8的非最小安裝中,將自動安裝Web控制台,並且控制台所需的防火牆端口將自動打開。登錄前還添加了一條系統消息,提供有關如何啟用或訪問Web控制台的信息。
(JIRA:RHELPLAN-10355)
Web控制台的更好的IdM集成
如果您的系統已註冊到Identity Management(IdM)域,則RHEL 8 Web控制台現在默認使用域的集中管理的IdM資源。這包括以下好處:
- IdM域的管理員可以使用Web控制台來管理本地計算機。
- 控制台的Web服務器自動切換到由IdM證書頒發機構(CA)頒發並由瀏覽器接受的證書。
- 在IdM域中具有Kerberos票證的用戶無需提供登錄憑據即可訪問Web控制台。
- 無需手動添加SSH連接即可訪問Web控制台可訪問IdM域已知的SSH主機。
請注意,要使IdM與Web控制台集成以正常工作,用戶首先需要運行 ipa-advise 實用與 enable-admins-sudo IdM主系統中的選項。
(JIRA:RHELPLAN-3010)
Web控制台現在與移動瀏覽器兼容
通過此更新,可以在移動瀏覽器變體上導航Web控制台菜單和頁面。這使得可以從移動設備使用RHEL 8 Web控制台管理系統。
(JIRA:RHELPLAN-10352)
Web控制台首頁現在顯示缺少的更新和訂閱
如果RHEL 8 Web控制台管理的系統已過期軟件包或已失效的預訂,則係統的Web控制台首頁上將顯示警告。
(JIRA:RHELPLAN-10353)
Web控制台現在支持PBD註冊
通過此更新,您可以使用RHEL 8 Web控制台界面將基於策略的解密(PBD)規則應用於受管系統上的磁盤。這使用Clevis解密客戶端來促進Web控制台中的各種安全管理功能,例如自動解鎖LUKS加密的磁盤分區。
(JIRA:RHELPLAN-10354)
現在可以使用Web控制台管理虛擬機
該 Virtual Machines 頁面現在可以添加到RHEL 8 Web控制台界面,該界面使用戶能夠創建和管理基於libvirt的虛擬機。
(JIRA:RHELPLAN-2896)
4.2. 安裝程序和映像創建 (機器翻譯)
使用DVD從DVD安裝RHEL SE 和 HMC 現在IBM Z完全支持
使用Linux從DVD上安裝Red Hat Enterprise Linux 8在IBM Z硬件上 支持元素(SE) 和 硬件管理控制台(HMC) 現在完全支持。此添加簡化了IBM Z上的安裝過程 SE 和 HMC。
從二進制DVD啟動時,安裝程序會提示用戶輸入其他內核參數。要將DVD設置為安裝源,請附加 inst.repo=hmc 到內核參數。然後安裝程序啟用 SE 和 HMC 文件訪問,從DVD獲取stage2的圖像,並提供對DVD上的軟件包的訪問以供軟件選擇。
新功能消除了外部網絡設置的要求,並擴展了安裝選項。
(BZ#1500792)
安裝程序現在支持LUKS2磁盤加密格式
Red Hat Enterprise Linux 8安裝程序現在默認使用LUKS2格式,但您可以從中選擇LUKS版本 蟒蛇的 自定義分區窗口或使用Kickstart中的新選項 autopart, ,logvol, ,part, ,和 RAID 命令。
LUKS2提供了許多改進和功能,例如,它擴展了磁盤格式的功能,並提供了存儲元數據的靈活方式。
(BZ#1547908)
蟒蛇 支持RHEL 8中的系統用途
先前, 蟒蛇 沒有提供系統目的信息 訂閱管理器。在Red Hat Enterprise Linux 8.0中,您可以使用安裝期間設置系統的預期用途 蟒蛇的 System Purpose 窗口或Kickstart的 syspurpose 命令。安裝完成後, 訂閱管理器 訂閱系統時使用系統目的信息。
(BZ#1612060)
Pykickstart 支持RHEL 8中的系統用途
以前,這是不可能的 pykickstart 庫提供系統目的信息 訂閱管理器。在Red Hat Enterprise Linux 8.0中, pykickstart 解析新的 syspurpose 在自動和部分自動安裝期間命令並記錄系統的預期用途。然後將信息傳遞給 蟒蛇, ,保存在新安裝的系統上,可用於 訂閱管理器 訂閱系統時
(BZ#1612061)
蟒蛇 在RHEL 8中支持新的內核引導參數
以前,您只能從內核引導參數指定基本存儲庫。在Red Hat Enterprise Linux 8中,一個新的內核參數, inst.addrepo=<name>,<url>, ,允許您在安裝期間指定其他存儲庫。
此參數有兩個必需值:存儲庫的名稱和指向存儲庫的URL。有關更多信息,請參閱 https://anaconda-installer.readthedocs.io/en/latest/boot-options.html#inst-addrepo
(BZ#1595415)
蟒蛇 支持RHEL 8中的統一ISO
在Red Hat Enterprise Linux 8.0中,統一的ISO會自動加載BaseOS和AppStream安裝源存儲庫。
此功能適用於安裝期間加載的第一個基本存儲庫。例如,如果在沒有配置存儲庫的情況下引導安裝並且在GUI中具有統一的ISO作為基本存儲庫,或者如果使用 inst.repo= 指向統一ISO的選項。因此,AppStream存儲庫在。下啟用 其他存儲庫 部分 安裝源 GUI窗口。您無法刪除AppStream存儲庫或更改其設置,但您可以將其禁用 安裝源。如果使用其他基本存儲庫引導安裝,然後將其更改為統一ISO,則此功能不起作用。如果這樣做,則替換基本存儲庫。但是,AppStream存儲庫未替換並指向原始文件。
(BZ#1610806)
4.3. 核心 (機器翻譯)
ARM 52位物理尋址現已推出
通過此更新,可以支持64位ARM體系結構的52位物理尋址(PA)。這提供了比以前的48位PA更大的地址空間。
(BZ#1643522)
IOMMU代碼支持RHEL 8中的5級頁表
Linux內核中的I / O內存管理單元(IOMMU)代碼已更新,以支持Red Hat Enterprise Linux 8中的5級頁表。
(BZ#1485546)
支持5級分頁
新 P4d_t 軟件頁表類型已添加到Linux內核中,以支持Red Hat Enterprise Linux 8中的5級分頁。
(BZ#1485532)
內存管理支持5級頁表
在Red Hat Enterprise Linux 7中,現有內存總線具有48/46位的虛擬/物理內存尋址能力,而Linux內核實現了4級頁表來管理這些虛擬地址到物理地址。物理總線尋址線將物理內存上限容量設置為64 TB。
這些限制已擴展到57/52位虛擬/物理內存尋址,具有128 PiB的虛擬地址空間和4 PB的物理內存容量。
通過擴展的地址範圍,Red Hat Enterprise Linux 8中的內存管理增加了對5級頁表實現的支持,以便能夠處理擴展的地址範圍。
(BZ#1485525)
kernel-signing-ca.cer 被移動到 kernel-core 在RHEL 8中
在所有版本的Red Hat Enterprise Linux 7中, kernel-signing-ca.cer 公鑰位於 kernel-doc 包。但是,在Red Hat Enterprise Linux 8中, kernel-signing-ca.cer 已經搬遷到了 kernel-core 每個架構的包。
(BZ#1638465)
bpftool 用於檢查和操作基於eBPF的程序和地圖
該 bpftool 已經在Linux內核中添加了用於檢查和基於擴展Berkeley數據包過濾(eBPF)的程序和映射的簡單操作的實用程序。 bpftool 是內核源代碼樹的一部分,由提供者提供 bpftool 包,作為子包的包含 核心 包。
(BZ#1559607)
該 kernel-rt 來源已更新
該 kernel-rt 源已更新為使用最新的RHEL內核源代碼樹。最新的內核源代碼樹現在使用上游v4.18實時補丁集,它提供了許多錯誤修復和增強功能。
(BZ#1592977)
4.4. 軟件管理 (機器翻譯)
YUM 性能改進和對模塊化內容的支持
在Red Hat Enterprise Linux 8上,新版本的軟件確保安裝軟件 YUM 工具,它是基於 DNF 技術。
YUM 基於 DNF 與以前相比具有以下優點 YUM v3 用於RHEL 7:
- 提高性能
- 支持模塊化內容
- 精心設計的穩定API,可與工具集成
有關新的差異的詳細信息 YUM 工具和以前的版本 YUM v3 來自RHEL 7,請參閱 http://dnf.readthedocs.io/en/latest/cli_vs_yum.html。
YUM 基於 DNF 兼容 YUM v3 從命令行使用時,編輯或創建配置文件。
對於安裝軟件,您可以使用 yum 命令及其特定選項與RHEL 7相同。可以使用以前的名稱安裝包 Provides。包還提供兼容性符號鏈接,因此可以在通常的位置找到二進製文件,配置文件和目錄。
請注意,提供的舊版Python API YUM v3 並且Libdnf C API不穩定,可能會在Red Hat Enterprise Linux 8生命週期中發生變化。建議用戶將其插件和腳本遷移到新的DNF Python API,這是穩定且完全支持的。DNF Python API可在以下位置獲得 https://dnf.readthedocs.io/en/latest/api.html
某些 YUM v3 功能可能表現不同 YUM 基於 DNF。如果任何此類更改對您的工作流程產生負面影響,請打開Red Hat支持案例,如中所述 How do I open and manage a support case on the Customer Portal?
(BZ#1581198)
RHEL 8中值得注意的RPM功能
Red Hat Enterprise Linux 8隨RPM 4.14一起發布。此版本引入了許多針對RPM 4.11的增強功能,可在RHEL 7中使用。最顯著的功能包括:
-
該
debuginfo包可以並行安裝 - 支持弱依賴
- 支持rich或boolean依賴項
- 支持打包大小超過4 GB的文件
- 支持文件觸發器
此外,最顯著的變化包括:
- 更嚴格的spec-parser
- 簡化簽名檢查非詳細模式下的輸出
- 宏中的添加和棄用
(BZ#1581990)
RPM 現在在開始安裝之前驗證整個包的內容
在Red Hat Enterprise Linux 7上 RPM 實用程序在解包時驗證了各個文件的有效負載內容。但是,由於多種原因,這是不夠的:
- 如果有效負載損壞,則僅在執行不可逆轉的腳本操作後才會注意到。
- 如果有效負載損壞,則在更換先前版本的某些文件後,程序包的升級將中止,從而中斷正在運行的安裝。
- 單個文件的哈希值是在未壓縮的數據上執行的 RPM 容易受到解壓縮漏洞的影響。
在Red Hat Enterprise Linux 8上,整個軟件包在安裝之前在單獨的步驟中使用最佳可用散列進行驗證。
在Red Hat Enterprise Linux 8上構建的軟件包使用新的軟件包 SHA256 壓縮有效負載上的哈希值。在簽名包上,有效負載散列還受簽名保護,因此在不破壞包頭上的簽名和其他散列的情況下不能更改。較舊的包使用 MD5 標頭和有效負載的散列,除非通過配置禁用,例如FIPS模式。
`%_pkgverify_level`宏可用於在安裝之前另外啟用強制簽名驗證或完全禁用有效負載驗證。除此之外 %_pkgverify_flags 宏可用於限制允許哪些哈希值和簽名。例如,可以禁用弱者的使用 MD5 哈希以與舊軟件包的兼容性為代價。
(JIRA:RHELPLAN-1499)
4.5. 基建服務 (機器翻譯)
RHEL 8中推薦的Tuned配置文件的顯著變化
通過此更新,推薦的Tuned配置文件(由 tuned-adm recommend 現在根據以下規則選擇命令) - 匹配的第一個規則生效:
如果
syspurpose角色(由報告syspurpose show命令)包含atomic, ,同時:-
如果Tuned在裸機上運行,那麼
atomic-host配置文件被選中 -
如果Tuned正在虛擬機中運行,那麼
atomic-guest配置文件被選中
-
如果Tuned在裸機上運行,那麼
-
如果Tuned正在虛擬機中運行,那麼
virtual-guest配置文件被選中 -
如果
syspurpose角色包含desktop要么workstation和機箱類型(由報告dmidecode)是Notebook, ,Laptop, , 要么Portable, 那麼balanced配置文件被選中 -
如果以上規則都不匹配,則
throughput-performance配置文件被選中
(BZ#1565598)
由...生成的文件 命名 可以寫在工作目錄中
以前, 命名 守護進程將一些數據存儲在工作目錄中,該目錄在Red Hat Enterprise Linux中是只讀的。通過此更新,已將選定文件的路徑更改為子目錄,允許寫入。現在,默認目錄Unix和SELinux權限允許寫入目錄。在目錄中分發的文件仍然是只讀的 命名。
(BZ#1588592)
Geolite數據庫已被Geolite2數據庫取代
Red Hat Enterprise Linux 7中存在的Geolite數據庫被Red Hat Enterprise Linux 8上的Geolite2數據庫取代。
Geolite數據庫由提供 GeoIP 包。上游不再支持此包與舊數據庫一起使用。
Geolite2數據庫由多個包提供。該 libmaxminddb 包包括圖書館和 mmdblookup 命令行工具,可以手動搜索地址。該 geoipupdate 傳統的二進製文件 GeoIP 包現在由。提供 geoipupdate 包,並能夠下載舊數據庫和新的Geolite2數據庫。
(JIRA:RHELPLAN-6746)
CUPS日誌由journald處理
在RHEL 8中,CUPS日誌不再存儲在其中的特定文件中 /var/log/cups 目錄,在RHEL 7中使用。在RHEL 8中,所有類型的CUPS日誌都集中在systemd中 journald 守護進程和其他程序的日誌。要訪問CUPS日誌,請使用 journalctl -u cups 命令。有關更多信息,請參閱 https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/deploying_different_types_of_servers/working-with-cups-logs_configuring-printing [使用CUPS日誌]。
(JIRA:RHELPLAN-12764)
4.6. 外殼和命令行工具 (機器翻譯)
該 nobody 用戶替換 nfsnobody
在Red Hat Enterprise Linux 7中,有:
-
該
nobodyID為99的用戶和組對 -
該
nfsnobodyID為65534的用戶和組對,也是默認的內核溢出ID。
這兩個都已合併到了 nobody 用戶和組對,在Red Hat Enterprise Linux 8中使用65534 ID。新安裝不再創建 nfsnobody 對。
此更改減少了對所擁有文件的混淆 nobody 但與NFS無關。
(BZ#1591969)
RHEL 8中的版本控制系統
RHEL 8提供以下版本控制系統:
-
Git 2.18,具有分散架構的分佈式版本控制系統。 -
Mercurial 4.8,輕量級分佈式版本控制系統,專為高效處理大型項目而設計。 -
Subversion 1.10,集中版本控制系統。有關更多信息,請參閱 Notable changes in Subversion 1.10。
請注意,RHEL 7中提供的並發版本系統(CVS)不隨RHEL 8一起分發。
(BZ#1693775)
值得注意的變化 Subversion 1.10
Subversion 1.10 自RHEL 7中分發的1.7版本以來,引入了許多新功能,以及以下兼容性更改:
-
由於不兼容性
Subversion用於支持語言綁定的庫,Python 3綁定Subversion 1.10不可用。因此,需要的應用程序Python綁定Subversion不受支持。 -
存儲庫基於
Berkeley DB不再受支持。遷移之前,請備份使用創建的存儲庫Subversion 1.7通過使用svnadmin dump命令。安裝RHEL 8後,使用以下命令還原存儲庫svnadmin load命令。 -
現有的工作副本由
Subversion 1.7RHEL 7中的客戶端必須先升級到新格式才能使用Subversion 1.10。安裝RHEL 8後,運行svn upgrade每個工作副本中的命令。 -
用於訪問存儲庫的智能卡身份驗證
https://不再受支持。
(BZ#1571415)
4.7. 動態編程語言,Web和數據庫服務器 (機器翻譯)
Python 3 是默認值 Python 在RHEL 8中實現
Red Hat Enterprise Linux 8隨附 Python 3.6。默認情況下不安裝該程序包。安裝 Python 3.6, , 使用 yum install python3 命令。
Python 2.7 可以在 python2 包。然而, Python 2 將有一個較短的生命週期,其目的是促進更順利的過渡 Python 3 為客戶。
既不是默認值 python 包裝也沒有無版本 /usr/bin/python 可執行文件隨RHEL 8一起分發。建議客戶使用 python3 要么 python2 直。或者,管理員可以配置未版本控制 python 命令使用 alternatives 命令。
有關詳情,請參閱 Using Python in Red Hat Enterprise Linux 8。
(BZ#1580387)
Python腳本必須在RPM構建時指定hashbang中的主要版本
在RHEL 8中,可執行的Python腳本應該使用hashbangs(shebangs)至少明確指定主要的Python版本。
該 /usr/lib/rpm/redhat/brp-mangle-shebangs 構建任何RPM包時會自動運行buildroot策略(BRP)腳本。此腳本嘗試更正所有可執行文件中的hashbang。當腳本遇到無法解析為主要版本的Python的模糊hashbang時,會產生錯誤。這種模棱兩可的hashbang的例子包括:
-
#! /usr/bin/python -
#! /usr/bin/env python
要修改Python腳本中的hashbang,導致RPM構建時出現這些構建錯誤,請使用 pathfix.py 來自的腳本 平台的Python-devel的 包:
pathfix.py -pn -i %{__python3} PATH ...
多 路徑s可以指定。如果一個 路徑 是一個目錄, pathfix.py 遞歸掃描與模式匹配的任何Python腳本 ^[a-zA-Z0-9_]+\.py$, ,不僅是那些含糊不清的人。將此命令添加到 %prep 部分或在結束時 %install 部分。
有關更多信息,請參閱 Handling hashbangs in Python scripts。
(BZ#1583620)
值得注意的變化 PHP
Red Hat Enterprise Linux 8隨附 PHP 7.2。此版本引入了以下主要更改 PHP 5.4, ,在RHEL 7中可用:
-
PHP默認情況下使用FastCGI Process Manager(FPM)(安全使用帶螺紋的httpd) -
該
php_value和php-flag變量不應再用於httpd配置文件;它們應該在池配置中設置:/etc/php-fpm.d/*.conf -
PHP腳本錯誤和警告記錄到/var/log/php-fpm/www-error.log文件而不是/var/log/httpd/error.log -
更改PHP時
max_execution_time配置變量,httpdProxyTimeout應增加設置以匹配 -
用戶正在運行
PHP現在,在FPM池配置中配置了腳本(/etc/php-fpm/d/www.conf文件;該apache用戶是默認值) -
該
php-fpm配置更改後或安裝新擴展後,需要重新啟動服務
已刪除以下擴展程序:
-
aspell -
mysql(請注意mysqli和pdo_mysql擴展仍然可用,由提供php-mysqlnd包) -
zip -
memcache
(BZ#1580430, BZ#1691688)
值得注意的變化 Ruby
RHEL 8提供 Ruby 2.5, ,它引入了許多新功能和增強功能 Ruby 2.0.0 可在RHEL 7中獲得。值得注意的變化包括:
- 增量垃圾收集器已添加。
-
該
Refinements語法已添加。 - 符號現在是垃圾收集。
-
該
$SAFE=2和$SAFE=3安全水平現已過時。 -
該
Fixnum和Bignum班級已經統一到了Integer類。 -
通過優化,性能得到了提高
Hashclass,改進了對實例變量的訪問,以及Mutex班級越小越快。 - 某些舊API已被棄用。
-
捆綁的庫,例如
RubyGems, ,Rake, ,RDoc, ,Psych, ,Minitest, ,和test-unit, ,已經更新。 -
其他圖書館,如
mathn, ,DL, ,ext/tk, ,和XMLRPC, ,以前分發的Ruby, ,已棄用或不再包括在內。 -
該
SemVer版本控制方案現在用於Ruby版本。
(BZ#1648843)
值得注意的變化 Perl
Perl 5.26與RHEL 8一起分發,對RHEL 7中提供的版本進行了以下更改:
-
Unicode 9.0現在支持。 -
新
op-entry, ,loading-file, ,和loaded-fileSystemTap提供探針。 - 在分配標量以提高性能時使用寫時復制機制。
-
該
IO::Socket::IP已添加透明處理IPv4和IPv6套接字的模塊。 -
該
Config::Perl::V模塊訪問perl -V已添加結構化數據。 -
一個新的
perl-App-cpanminus已添加包,其中包含cpanm用於從Comprehensive Perl Archive Network(CPAN)存儲庫獲取,提取,構建和安裝模塊的實用程序。 -
當前目錄
.已被刪除@INC模塊搜索路徑出於安全原因。 -
該
do語句現在在由於上述行為更改而無法加載文件時返回棄用警告。 -
該
do subroutine(LIST)不再支持調用並導致語法錯誤。 -
哈希現在默認是隨機的。從哈希返回鍵和值的順序在每個哈希上都會發生變化
perl跑。要禁用隨機化,請設置PERL_PERTURB_KEYS環境變量到0。 -
未轉義的文字
{正則表達式模式中的字符不再允許。 -
詞彙範圍支持
$_變量已被刪除。 -
使用
defined數組或哈希上的運算符導致致命錯誤。 -
從中導入函數
UNIVERSAL模塊導致致命錯誤。 -
該
find2perl, ,s2p, ,a2p, ,c2ph, ,和pstruct工具已被刪除。 -
該
${^ENCODING}設施已被刪除。該encoding不再支持pragma的默認模式。用其他編碼編寫源代碼UTF-8, ,使用編碼Filter選項。 -
該
perl包裝現在與上游對齊。該perl包安裝也是核心模塊,而/usr/bin/perl口譯員是由。提供的perl-interpreter包。在以前的版本中,perl包中只包含一個最小的解釋器,而perl-core包括解釋器和核心模塊。
(BZ#1511131)
Node.js RHEL 8中的新功能
Node.js,這是一個用於在JavaScript編程語言中構建快速,可擴展的網絡應用程序的軟件開發平台,這是RHEL首次提供的。它以前只能作為軟件集合使用。RHEL 8提供 Node.js 10。
(BZ#1622118)
SWIG的顯著變化
RHEL 8包括簡化的包裝器和接口生成器(SWIG)3.0版,它提供了許多新功能,增強功能和錯誤修復,而不是RHEL 7中分發的2.0版本。最值得注意的是,支持C ++ 11標準已經實現。SWIG現在也支持Go 1.6,PHP 7。Octave 4.2和Python 3.5。
(BZ#1660051)
Apache的顯著變化 httpd
RHEL 8隨Apache HTTP Server 2.4.37一起分發。此版本引入了以下更改 httpd RHEL 7中提供:
-
現在提供HTTP / 2支持
mod_http2包,這是一部分httpd模塊。 -
現在支持使用自動證書管理環境(ACME)協議進行自動TLS證書配置和續訂
mod_md包(用於證書提供者,如Let’s Encrypt) -
Apache HTTP Server現在支持直接從硬件安全令牌加載TLS證書和私鑰
PKCS#11模塊。結果,一個mod_ssl配置現在可以使用PKCS#11用於標識TLS私鑰的URL,以及可選的TLS證書SSLCertificateKeyFile和SSLCertificateFile指令。 -
默認情況下使用Apache HTTP Server配置的多處理模塊(MPM)已從多進程分叉模型(稱為
prefork)到一個高性能的多線程模型,event。任何非線程安全的第三方模塊都需要更換或刪除。要更改已配置的MPM,請編輯/etc/httpd/conf.modules.d/00-mpm.conf文件。見httpd.conf(5)手冊頁以獲取更多信息。
有關的更多信息 httpd, ,見 Setting up the Apache HTTP web server。
(BZ#1632754, BZ#1527084, BZ#1581178)
該 nginx RHEL 8中新增的Web服務器
RHEL 8介紹 nginx 1.14, ,支持HTTP和其他協議的Web和代理服務器,重點是高並發性,性能和低內存使用率。 nginx 以前只能作為軟件集合使用。
該 nginx Web服務器現在支持直接從硬件安全令牌加載TLS私鑰 PKCS#11 模塊。結果,一個 nginx 配置可以使用 PKCS#11 用於標識TLS私鑰的URL ssl_certificate_key 指示。
(BZ#1545526)
RHEL 8中的數據庫服務器
RHEL 8提供以下數據庫服務器:
-
MySQL 8.0,一個多用戶,多線程的SQL數據庫服務器。它由...組成MySQL服務器守護進程,mysqld, ,以及許多客戶端程序。 -
MariaDB 10.3,一個多用戶,多線程的SQL數據庫服務器。出於所有實際目的,MariaDB與二進制兼容MySQL。 -
PostgreSQL 10和PostgreSQL 9.6, ,一種高級的對象 - 關係數據庫管理系統(DBMS)。 -
Redis 5,一個先進的鍵值存儲。它通常被稱為數據結構服務器,因為鍵可以包含字符串,散列,列表,集和有序集。Redis在RHEL首次提供。
注意NoSQL MongoDB 數據庫服務器未包含在RHEL 8.0中,因為它使用服務器端公共許可證(SSPL)。
(BZ#1647908)
值得注意的變化 MySQL 8.0
RHEL 8隨附 MySQL 8.0, ,例如,它提供了以下增強功能:
-
MySQL現在包含一個事務數據字典,它存儲有關數據庫對象的信息。 -
MySQL現在支持角色,這是特權的集合。 -
默認字符集已更改
latin1至utf8mb4。 - 添加了對非遞歸和遞歸的公用表表達式的支持。
-
MySQL現在支持窗口函數,它使用相關的行對查詢中的每一行執行計算。 -
InnoDB現在支持了NOWAIT和SKIP LOCKED鎖定讀取語句的選項。 - 與GIS相關的功能得到了改進。
- JSON功能已得到增強。
-
新的
mariadb-connector-c包提供了一個通用的客戶端庫MySQL和MariaDB。該庫可用於任何版本的MySQL和MariaDB數據庫服務器因此,用戶能夠將應用程序的一個版本連接到任何一個MySQL和MariaDB與RHEL 8一起分發的服務器。
除此之外 MySQL 8.0 與RHEL 8一起分發的服務器配置為使用 mysql_native_password 作為默認身份驗證插件,因為RHEL 8中的客戶端工具和庫與 caching_sha2_password 方法,默認情況下在上游使用 MySQL 8.0 版。
要將默認身份驗證插件更改為 caching_sha2_password, ,編輯 /etc/my.cnf.d/mysql-default-authentication-plugin.cnf 文件如下:
[mysqld] default_authentication_plugin=caching_sha2_password
(BZ#1649891, BZ#1519450, BZ#1631400)
值得注意的變化 MariaDB 10.3
MariaDB 10.3 與RHEL 7中分發的5.5版相比,它提供了許多新功能。一些最顯著的變化是:
-
MariaDB Galera Cluster,同步多主集群,現在是標準的一部分MariaDB。 -
InnoDB用作默認存儲引擎而不是XtraDB。 - 公用表表達式
- 系統版本的表
-
FOR循環 - 隱形列
- 序列
-
瞬間
ADD COLUMN對於InnoDB - 存儲引擎獨立列壓縮
- 並行複制
- 多源複製
另外,新的 mariadb-connector-c 包提供了一個通用的客戶端庫 MySQL 和 MariaDB。該庫可用於任何版本的 MySQL 和 MariaDB 數據庫服務器因此,用戶能夠將應用程序的一個版本連接到任何一個 MySQL 和 MariaDB 與RHEL 8一起分發的服務器。
也可以看看 Using MariaDB on Red Hat Enterprise Linux 8。
(BZ#1637034, BZ#1519450)
4.8. 桌面 (機器翻譯)
GNOME Shell,RHEL 8中的3.28版
GNOME Shell,版本3.28在Red Hat Enterprise Linux(RHEL)8中可用。顯著的增強功能包括:
- 新的GNOME Boxes功能
- 新的屏幕鍵盤
- 擴展設備支持Thunderbolt 3接口的最顯著集成
- GNOME軟件,dconf編輯器和GNOME終端的改進
(BZ#1649404)
韋蘭 是默認的顯示服務器
使用Red Hat Enterprise Linux 8,GNOME會話和GNOME顯示管理器(GDM)使用 韋蘭 作為他們的默認顯示服務器而不是 X.org 服務器,與之前的RHEL主要版本一起使用。
韋蘭 提供多種優勢和改進 X.org。最為顯著地:
- 更強大的安全模型
- 改進了多顯示器處理
- 改進的用戶界面(UI)縮放
- 桌面可以直接控制窗口處理。
請注意,以下功能目前不可用或無法按預期工作:
- 不支持多GPU設置 韋蘭。
- 該 NVIDIA 二進制驅動程序不起作用 韋蘭。
-
該
xrandr實用程序不起作用 韋蘭 由於其處理,分辨率,旋轉和佈局的不同方法。注意其他 X.org 用於操作屏幕的實用程序不起作用 韋蘭, ,或者。 - 屏幕錄製,遠程桌面和輔助功能並不總能正常工作 韋蘭。
- 沒有剪貼板管理器可用。
- 韋蘭 忽略X11應用程序發出的鍵盤抓取,例如虛擬機查看器。
- 韋蘭 內部來賓虛擬機(VM)存在穩定性和性能問題,因此建議將X11會話用於虛擬環境。
如果從使用了RHEL 7系統的RHEL 7系統升級到RHEL 8 X.org GNOME會話,您的系統繼續使用 X.org。系統也會自動回退 X.org 當使用以下圖形驅動程序時:
- NVIDIA二進制驅動程序
-
該
cirrus司機 -
該
mga司機 -
該
aspeed司機
你可以禁用使用 韋蘭 手動:
-
要禁用 韋蘭 在 GDM, ,設置
WaylandEnable=false選項/etc/gdm/custom.conf文件。 - 要禁用 韋蘭 在GNOME會話中,輸入登錄名後,使用登錄屏幕上的cogwheel菜單選擇舊版X11選項。
有關詳細信息 韋蘭, ,見 https://wayland.freedesktop.org/。
(BZ#1589678)
找不到默認情況下未啟用的存儲庫中的RPM軟件包
默認情況下,不啟用桌面的其他存儲庫。禁用由...表示 enabled=0 在相應的行 .repo 文件。如果您嘗試使用PackageKit從此類存儲庫安裝軟件包,PackageKit會顯示一條錯誤消息,通知該應用程序不可用。要使包裝可用,請替換以前使用的包裝 enabled=0 在相應的行 .repo 文件 enabled=1。
(JIRA:RHELPLAN-2878)
GNOME軟件 用於包管理
該 gnome-packagekit 在Red Hat Enterprise Linux 7上為圖形環境中的包管理提供了一系列工具的軟件包已不再可用。在Red Hat Enterprise Linux 8上,提供了類似的功能 GNOME軟件 實用程序,使您可以安裝和更新應用程序和gnome-shell擴展。GNOME軟件 分佈在 gnome-software 包。
(JIRA:RHELPLAN-3001)
4.9. 身份管理 (機器翻譯)
Directory Server中的新密碼語法檢查
此增強功能會向Directory Server添加新的密碼語法檢查。例如,管理員現在可以啟用字典檢查,允許或拒絕使用字符序列和回文。因此,如果啟用,Directory Server中的密碼策略語法檢查會強制使用更安全的密碼。
(BZ#1334254)
Directory Server現在提供改進的內部操作日誌記錄支持
Directory Server中的幾個操作由服務器和客戶端啟動,在後台執行其他操作。以前,服務器只記錄內部操作 Internal 連接關鍵字,操作ID始終設置為 -1。通過此增強功能,Directory Server會記錄實際連接和操作ID。您現在可以跟踪導致此操作的服務器或客戶端操作的內部操作。
有關內部操作日誌記錄的更多詳細信息,請參閱鏈接:https://access.redhat.com/documentation/en-us/red_hat_directory_server/11/html-single/administration_guide/#logging_internal_operations。
(BZ#1358706)
該 tomcatjss 庫支持使用來自AIA擴展的響應者進行OCSP檢查
有了這個增強, tomcatjss 庫支持使用來自證書的授權信息訪問(AIA)擴展的響應者進行在線證書狀態協議(OCSP)檢查。因此,紅帽證書系統的管理員現在可以配置使用來自AIA擴展的URL的OCSP檢查。
(BZ#1636564)
Directory Server引入了新的命令行實用程序來管理實例
Red Hat Directory Server 11.0引入了 dscreate, ,dsconf, ,和 dsctl 公用事業。這些實用程序使用命令行簡化了對Directory Server的管理。例如,您現在可以使用帶參數的命令來配置功能,而不是將復雜的LDIF語句發送到服務器。
以下是每個實用程序的用途概述:
-
使用
dscreate使用交互模式或INF文件創建新Directory Server實例的實用程序。請注意,INF文件格式與安裝程序在以前的Directory Server版本中使用的格式不同。 使用
dsconf用於在運行時管理Directory Server實例的實用程序。例如,使用dsconf至:-
配置中的設置
cn=config條目 - 配置插件
- 配置複製
- 備份和還原實例
-
配置中的設置
使用
dsctl用於在脫機時管理Directory Server實例的實用程序。例如,使用dsctl至:- 啟動和停止實例
- 重新索引服務器數據庫
- 備份和還原實例
這些實用程序替換Directory Server 10中標記為已棄用的Perl和shell腳本。腳本仍然在不受支持的情況下可用 389-ds-base-legacy-tools 但是,Red Hat僅支持使用新實用程序管理Directory Server。
請注意,仍然支持使用LDIF語句配置Directory Server,但Red Hat建議使用這些實用程序。
有關使用實用程序的更多詳細信息,請參閱 Red Hat Directory Server 11 Documentation。
該 pki subsystem-cert-find 和 pki subsystem-cert-show 命令現在顯示證書的序列號
有了這個增強, pki subsystem-cert-find 和 pki subsystem-cert-show 證書系統中的命令顯示其輸出中的證書序列號。序列號是一個重要的信息,通常需要多個其他命令。因此,現在可以更輕鬆地識別證書的序列號。
(BZ#1566360)
該 pki user 和 pki group 證書系統中已棄用命令
有了這個更新,新的 pki <subsystem>-user 和 pki <subsystem>-group 命令取代了 pki user 和 pki group 證書系統中的命令。替換的命令仍然有效,但它們會顯示一條消息,指出該命令已棄用並引用新命令。
(BZ#1394069)
證書系統現在支持系統證書的脫機續訂
通過此增強功能,管理員可以使用脫機續訂功能續訂在證書系統中配置的系統證書。系統證書過期後,證書系統無法啟動。作為增強功能的結果,管理員不再需要解決方法來替換過期的系統證書。
證書系統現在可以使用SKI擴展創建CSR以進行外部CA簽名
通過此增強功能,證書系統支持使用主題密鑰標識符(SKI)擴展創建證書籤名請求(CSR),以進行外部證書頒發機構(CA)簽名。某些CA要求此擴展具有特定值或從CA公鑰派生。因此,管理員現在可以使用 pki_req_ski 傳遞給配置文件的參數 pkispawn 用於創建具有SKI擴展的CSR的實用程序。
(BZ#1656856)
本地用戶由SSSD緩存並通過 nss_sss 模
在RHEL 8中,系統安全服務守護程序(SSSD)為用戶和組提供服務 /etc/passwd 和 /etc/groups 默認情況下的文件該 sss nsswitch模塊在文件之前 /etc/nsswitch.conf 文件。
通過SSSD為本地用戶提供服務的優勢在於 nss_sss 模塊有一個快速 memory-mapped cache 與訪問磁盤和打開每個NSS請求上的文件相比,它可以加速名稱服務交換機(NSS)查找。以前,名稱服務緩存守護程序(nscd)幫助加快了訪問磁盤的過程。但是,使用 nscd 與SSSD並行是很麻煩的,因為SSSD和 nscd 使用自己獨立的緩存。因此,使用 nscd 在SSSD也為來自遠程域(例如LDAP或Active Directory)的用戶提供服務的設置中,可能會導致不可預測的行為。
通過此更新,RHEL 8中本地用戶和組的分辨率更快。請注意 root 因此,用戶永遠不會被SSSD處理 root 分辨率不會受到SSSD潛在錯誤的影響。另請注意,如果SSSD未運行,則 nss_sss 模塊通過回退來優雅地處理情況 nss_files 避免問題。您不必以任何方式配置SSSD,自動添加文件域。
(JIRA:RHELPLAN-10439)
KCM將KEYRING替換為默認憑證緩存存儲
在RHEL 8中,默認憑據緩存存儲是Kerberos憑據管理器(KCM),它由 sssd-kcm 守護進程。KCM克服了以前使用的KEYRING的局限性,例如它很難在容器化環境中使用,因為它沒有命名空間,以及查看和管理配額。
通過此更新,RHEL 8包含一個更適合容器化環境的憑據緩存,並為將來版本中構建更多功能提供了基礎。
(JIRA:RHELPLAN-10440)
Active Directory用戶現在可以管理身份管理
通過此更新,RHEL 8允許為Active Directory(AD)用戶添加用戶ID覆蓋,作為Identity Management(IdM)組的成員。ID覆蓋是描述特定ID用戶或組屬性在特定ID視圖中應該是什麼樣的記錄,在本例中為默認信任視圖。作為更新的結果,IdM LDAP服務器能夠將IdM組的訪問控制規則應用於AD用戶。
AD用戶現在可以使用IdM UI的自助服務功能,例如上傳他們的SSH密鑰或更改他們的個人數據。AD管理員無需擁有兩個不同的帳戶和密碼即可完全管理IdM。請注意,目前,IDM中的所選功能可能仍然無法供AD用戶使用。
(JIRA:RHELPLAN-10442)
sssctl 打印IdM域的HBAC規則報告
有了這個更新, sssctl 系統安全服務守護程序(SSSD)的實用程序可以打印身份管理(IdM)域的訪問控制報告。出於監管原因,此功能可滿足某些環境的需要,以查看可以訪問特定客戶端計算機的用戶和組列表。運行 sssctl access-report domain_name 在IdM客戶端上打印應用於客戶端計算機的IdM域中基於主機的訪問控制(HBAC)規則的已解析子集。
請注意,除IdM之外,沒有其他提供商支持此功能。
(JIRA:RHELPLAN-10443)
身份管理包作為模塊提供
在RHEL 8中,安裝Identity Management(IdM)服務器和客戶端所需的軟件包作為模塊提供。該 client stream是默認的流 idm 模塊,您可以下載安裝客戶端所需的軟件包,而無需啟用流。
IdM服務器模塊流稱為 DL1 流。該流包含與不同類型的IdM服務器對應的多個配置文件:server,dns,adtrust,client和default。要下載特定配置文件中的軟件包 DL1 流:。啟用流。 。切換到通過流傳遞的RPM。 。跑過 yum module install idm:DL1/profile_name 命令。
(JIRA:RHELPLAN-10438)
添加了RHEL 8的會話錄製解決方案
Red Hat Enterprise Linux 8(RHEL 8)中添加了會話記錄解決方案。一個新的 tlog 包及其關聯的Web控制台會話播放器使得能夠記錄和回放用戶終端會話。可以通過系統安全服務守護程序(SSSD)服務按用戶或用戶組配置記錄。捕獲所有終端輸入和輸出,並以基於文本的格式存儲在系統日誌中。出於安全原因,默認情況下輸入處於非活動狀態,不會攔截原始密碼和其他敏感信息。
該解決方案可用於審核安全敏感系統上的用戶會話。如果發生安全漏洞,可以將記錄的會話作為取證分析的一部分進行審核。系統管理員現在可以在本地配置會話記錄,並使用RHEL 8 Web控制台界面或命令行界面查看結果。 tlog-play 效用。
(JIRA:RHELPLAN-1473)
authselect 簡化了用戶身份驗證的配置
此更新介紹了 authselect 實用程序,簡化了RHEL 8主機上的用戶身份驗證配置,替換了 authconfig 效用。 authselect 提供了一種更安全的PAM堆棧管理方法,使系統管理員可以更輕鬆地更改PAM配置。 authselect 可用於配置身份驗證方法,如密碼,證書,智能卡和指紋。注意 authselect 不配置加入遠程域所需的服務。此任務由專門的工具執行,例如 realmd 要么 ipa-client-install。
(JIRA:RHELPLAN-10445)
SSSD現在允許您選擇多個智能卡身份驗證設備之一
通過此更新,您可以配置PKCS#11 URI以選擇智能卡身份驗證設備。
默認情況下,SSSD會嘗試自動檢測設備以進行智能卡身份驗證。如果連接了多個設備,SSSD將選擇找到的第一個設備,您無法選擇特定設備。它可能導致失敗。
因此,您現在可以配置新的 p11_uri 選項 [pam] 部分 sssd.conf。此選項使您可以定義將用於智能卡身份驗證的設備。
例如,要選擇OpenSC PKCS#11模塊檢測到插槽ID為“2”的閱讀器,請添加
p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2
到了 [pam] 部分 sssd.conf。
請參閱 man sssd-conf 詳情。
(BZ#1620123)
4.10. 編譯器和開發工具 (機器翻譯)
Boost已更新至1.66版
該 促進 C ++庫已更新到上游版本1.66。版本 促進 包含在Red Hat Enterprise Linux 7中的是1.53。有關詳細信息,請參閱上游更改日誌: https://www.boost.org/users/history/
此更新引入了以下更改,破壞了與先前版本的兼容性:
-
該
bs_set_hook()功能,splay_set_hook()來自展開容器的功能,以及bool splay = true額外的參數splaytree_algorithms()功能在 侵入 庫已被刪除。 - 解析器不再支持JSON文件中的註釋或字符串連接 物業樹 圖書館。
-
一些發行版和特殊功能 數學 已經修復了庫以表現為文檔並提出了一個
overflow_error而不是返回最大有限值。 -
一些標題來自 數學 庫已被移入目錄
libs/math/include_private。 -
的行為
basic_regex<>::mark_count()和basic_regex<>::subexpression(n)功能來自 正則表達式 庫已更改為與其文檔相匹配。 - 在中使用可變參數模板 變種 庫可能會破壞元編程功能。
-
該
boost::python::numericAPI已被刪除。用戶可以使用boost::python::numpy代替。 - 原子庫中不再提供對非對像類型指針的算術運算。
(BZ#1494495)
Unicode 11.0.0支持
紅帽企業Linux核心C庫, glibc的, ,已更新為支持Unicode標準版本11.0.0。因此,所有寬字符和多字節字符API(包括字符集之間的音譯和轉換)都能提供符合此標準的準確和正確的信息。
(BZ#1512004)
該 boost package現在獨立於Python
有了這個更新,安裝 boost 包不再安裝了 Boost.Python 庫作為依賴。為了使用 Boost.Python, ,你需要明確安裝 boost-python3 要么 boost-python3-devel 包。
(BZ#1616244)
一個新的 compat-libgfortran-48 包可用
為了與使用Fortran庫的Red Hat Enterprise Linux 6和7應用程序兼容,一個新的 compat-libgfortran-48 兼容包現在可用,它提供了 libgfortran.so.3 圖書館。
(BZ#1607227)
GCC中的Retpoline支持
此更新增加了對GCC的retpolines的支持。retpoline是內核使用的軟件構造,用於減少CVE-2017-5715中描述的減輕Spectre Variant 2攻擊的開銷。
(BZ#1535774)
增強了對工具鏈組件中64位ARM體系結構的支持
工具鏈組件, GCC 和 binutils, ,現在為64位ARM體系結構提供擴展支持。例如:
-
GCC和binutils現在支持可伸縮矢量擴展(SVE)。 -
支持
FP16數據類型由ARM v8.2提供,已添加到GCC。該FP16數據類型提高了某些算法的性能。 -
來自的工具
binutils現在支持ARM v8.3架構定義,包括指針驗證。指針驗證功能通過製作自己的函數指針來防止惡意代碼破壞程序或內核的正常執行。因此,在分支到代碼中的不同位置時,僅使用可信地址,這提高了安全性。
(BZ#1504980, BZ#1550501, BZ#1504995, BZ#1504993, BZ#1504994)
優化到 glibc 對於IBM POWER系統
此更新提供了新版本 glibc 它針對IBM POWER 8和IBM POWER 9體系結構進行了優化。因此,IBM POWER 8和IBM POWER 9系統現在可以自動切換到相應的優化系統 glibc 運行時的變體。
(BZ#1376834)
GNU C Library已更新至2.28版
Red Hat Enterprise Linux 8包含GNU C庫2.28版(glibc)。顯著的改進包括:
安全加固功能:
-
安全的二進製文件標有
AT_SECURE國旗忽略了LD_LIBRARY_PATH環境變量。 - 不再打印回溯以進行堆棧檢查失敗,以加速關閉並避免在受損環境中運行更多代碼。
-
安全的二進製文件標有
性能改進:
-
表現的
malloc()函數已通過線程本地緩存進行了改進。 -
添加了
GLIBC_TUNABLES環境變量,以改變庫性能特徵。 -
線程信號量的實現已得到改進,並且具有新的可擴展性
pthread_rwlock_xxx()功能已添加。 - 數學庫的性能得到了改進。
-
表現的
- 添加了對Unicode 11.0.0的支持。
- 增加了對ISO / IEC / IEEE 60559:2011,IEEE 754-2008和ISO / IEC TS 18661-3:2015標准定義的128位浮點數的改進支持。
域名服務(DNS)存根解析器改進相關的
/etc/resolv.conf配置文件:- 更改文件時會自動重新加載配置。
- 增加了對任意數量搜索域的支持。
-
適當的隨機選擇
rotate選項已添加。
增加了新的開發功能,包括:
-
Linux的包裝函數
preadv2和pwritev2內核調用 -
新功能包括
reallocarray()和explicit_bzero() -
新的標誌
posix_spawnattr_setflags()功能如POSIX_SPAWN_SETSID
-
Linux的包裝函數
(BZ#1512010, BZ#1504125, BZ#506398)
可在RHEL中使用CMake
CMake構建系統版本3.11在Red Hat Enterprise Linux 8中可用作 cmake 包。
(BZ#1590139, BZ#1502802)
make 版本4.2.1
Red Hat Enterprise Linux 8隨附了 make 構建工具版本4.2.1。值得注意的變化包括:
- 配方失敗時,將顯示生成文件的名稱和配方的行號。
-
該
--trace已添加選項以啟用目標跟踪。使用此選項時,每個配方都會在調用之前打印,即使它將被抑制,也可以與此配方所在的文件名和行號一起打印,還可以使用先決條件來調用它。 -
混合顯式和隱式規則不再導致
make終止執行。而是打印一個警告。請注意,此語法已棄用,將來可能會完全刪除。 -
該
$(file …)已添加函數以將文本寫入文件。在沒有文本參數的情況下調用時,它只會打開並立即關閉文件。 -
一個新的選擇,
--output-sync要么-O, ,使每個作業對多個作業的輸出進行分組,並使並行構建的調試更容易。 -
該
--debug選項現在也接受了n(無)標誌禁用所有當前啟用的調試設置。 -
該
!=shell賦值運算符已被添加為$(shell …)用於增加與BSD makefile的兼容性。有關運算符和函數之間的更多詳細信息和差異,請參閱GNU make手冊。
請注意,結果是名稱以感嘆號結尾並緊接著賦值的變量,例如 variable!=value, ,現在被解釋為新語法。要恢復以前的行為,請在感嘆號後面添加一個空格,例如 variable! =value。
+
-
該
::=已添加由POSIX標准定義的賦值運算符。 -
當。。。的時候
.POSIX指定變量,make遵守處理反斜杠和新行的POSIX標準要求。在此模式下,保留反斜杠之前的任何尾隨空格,並且每個反斜杠後跟一個新行和空格字符將轉換為單個空格字符。 -
的行為
MAKEFLAGS和MFLAGS現在可以更精確地定義變量。 -
一個新變量,
GNUMAKEFLAGS, ,被解析make標誌相同MAKEFLAGS。因此,GNUmake- 特定標誌可以存儲在外面MAKEFLAGS並且增加了makefile的可移植性。 -
一個新變量,
MAKE_HOST, ,包含主機架構已添加。 -
新變量,
MAKE_TERMOUT和MAKE_TERMERR, ,表明是否make正在將標準輸出和錯誤寫入終端。 -
設置
-r和-R中的選項MAKEFLAGSmakefile中的變量現在可以正常工作,並分別刪除所有內置規則和變量。 -
該
.RECIPEPREFIX現在每個食譜都會記住這個設置。此外,在該配方中擴展的變量也使用該配方前綴設置。 -
該
.RECIPEPREFIX設置和所有特定於目標的變量顯示在輸出中-p選項就好像在makefile中,而不是作為註釋。
(BZ#1641015)
Go程序用 去工具集 符合FIPS標準
可用的加密庫 去工具集 已改為使用了 OpenSSL的 如果主機系統配置為FIPS模式,則為庫版本1.1.0。因此,使用此版本構建的程序 去工具集 符合FIPS標準。
要使Go程序僅使用未經認證的標準加密例程,請使用 -tags no_openssl 的選擇 go 編譯器在構建時。
(BZ#1512570)
SystemTap的 版本4.0
Red Hat Enterprise Linux 8隨附了 SystemTap的 儀表工具4.0版。顯著的改進包括:
-
擴展的Berkeley Packet Filter(eBPF)後端已得到改進,尤其是字符串和函數。要使用此後端,請啟動 SystemTap的 隨著
--runtime=bpf選項。 - 增加了與Prometheus監測系統一起使用的新的出口網絡服務。
- 系統調用探測實現已得到改進,以便在必要時使用內核跟踪點。
(BZ#1641032)
改進 binutils 版本2.30
紅帽企業Linux 8包括版本2.30 binutils 包。顯著的改進包括:
- 對新的s390x架構擴展的支持已得到改進。
彙編程序:
- 添加了對WebAssembly文件格式的支持,以及WebAssembly到wasm32 ELF文件格式的轉換。
- 增加了對ARMv8-R架構和Cortex-R52,Cortex-M23和Cortex-M33處理器的支持。
- 增加了對RISC-V架構的支持。
鏈接器:
- 現在,鏈接器默認將代碼和只讀數據放入單獨的段中。因此,創建的可執行文件更大,運行更安全,因為動態加載程序可以禁用包含只讀數據的任何內存頁面的執行。
- 添加了對動態加載程序提供有關二進製文件的提示的GNU屬性註釋的支持。
- 以前,鏈接器為英特爾間接分支跟踪(IBT)技術生成了無效的可執行代碼。因此,生成的可執行文件無法啟動。此錯誤已得到修復。
-
以前,
gold鏈接器合併屬性說明不正確。因此,可能會在生成的代碼中啟用錯誤的硬件功能,並且代碼可能會意外終止。此錯誤已得到修復。 -
以前,
gold鏈接器在末尾創建了帶有填充字節的註釋部分,以根據體系結構實現對齊。因為動態加載器沒有期望填充,所以它會意外終止它正在加載的程序。此錯誤已得到修復。
其他工具:
-
該
readelf和objdump現在,工具可以選擇將鏈接跟踪到單獨的調試信息文件中,並在其中顯示信息。 -
新的
--inlines選項擴展了現有的--line-numbers的選擇objdump用於顯示內聯函數的嵌套信息的工具。 -
該
nm工具獲得了新的選擇--with-version-strings顯示符號名稱後的版本信息(如果存在)。
(BZ#1641004, BZ#1637072, BZ#1501420, BZ#1504114, BZ#1614908, BZ#1614920)
執行副駕駛 版本4.1.3
Red Hat Enterprise Linux 8隨附 績效副駕駛 (pcp)4.1.3版。顯著的改進包括:
-
該
pcp-dstat工具現在包括歷史分析和逗號分隔值(CSV)格式輸出。 - 日誌實用程序可以使用度量標籤和幫助文本記錄。
-
該
pmdaperfevent工具現在可以在較低的同步多線程(SMT)級別報告正確的CPU編號。 -
該
pmdapostgresql工具現在支持 Postgres的 系列10.x. -
該
pmdaredis工具現在支持 Redis的 5.x系列 -
該
pmdabcc工具已通過動態流程過濾和每進程系統調用,ucalls和ustat得到增強。 -
該
pmdammv工具現在導出度量標籤,格式版本增加到3。 -
該
pmdagfs2工具支持額外的格洛克和格洛克持有人指標。 - 已對SELinux策略進行了一些修復。
(BZ#1641034)
內存保護密鑰
此更新啟用了允許每線程頁面保護標誌更改的硬件功能。新的 glibc 系統調用包裝器已添加為 pkey_alloc(), ,pkey_free(), ,和 pkey_mprotect() 功能。除此之外 pkey_set() 和 pkey_get() 添加了函數以允許訪問每線程保護標誌。
(BZ#1304448)
elfutils 已更新至0.174版
在Red Hat Enterprise Linux 8中 的elfutils 軟件包的版本號為0.174。值得注意的變化包括:
-
以前,
eu-readelf工具可以顯示具有負值的變量,就好像它具有較大的無符號值,或者將大的無符號值顯示為負值。這已得到糾正eu-readelf現在查找常量值類型的大小和符號以正確顯示它們。 -
一個新功能
dwarf_next_lines()閱讀.debug_line缺少CU的數據已被添加到 libdw 圖書館。此功能可用作替代dwarf_getsrclines()和dwarf_getsrcfiles()功能。 -
以前,超過65280節的文件可能會導致錯誤 了libelf 和 libdw 庫和使用它們的所有工具。此錯誤已得到修復。結果,延長了
shnum和shstrndx正確處理ELF文件頭中的值。
(BZ#1641007)
Valgrind已更新至3.14版
Red Hat Enterprise Linux 8隨Valgrind可執行代碼分析工具3.14版一起發布。值得注意的變化包括:
-
一個新的
--keep-debuginfo已添加選項以保留已卸載代碼的調試信息。因此,保存的堆棧跟踪可以包含內存中不再存在的代碼的文件和行信息。 - 已添加基於源文件名和行號的抑制。
-
該
Helgrind工具已經擴展了一個選項--delta-stacktrace指定完整歷史堆棧跟踪的計算。值得注意的是,與此一起使用此選項--history-level=full可以改善Helgrind性能高達25%。 -
假陽性率
Memcheck用於優化英特爾和AMD 64位架構和ARM 64位架構代碼的工具已經減少。請注意,您可以使用--expensive-definedness-checks控制定義檢查的處理並以犧牲性能為代價來提高速率。 - Valgrind現在可以識別IBM Power Systems的little-endian變體的更多指令。
- Valgrind現在可以部分處理IBM Z體系結構z13處理器的整數和字符串向量指令。
有關新選項及其已知限制的詳細信息,請參閱 valgrind(1) 手冊頁。
(BZ#1641029, BZ#1501419)
GDB版本8.2
Red Hat Enterprise Linux 8隨GDB調試器版本8.2一起發布。值得注意的變化包括:
-
支持IPv6協議進行GDB和GDB的遠程調試
gdbserver。 - 沒有調試信息的調試已得到改進。
- GDB用戶界面中的符號完成已得到改進,通過使用更多語法結構(如ABI標記或命名空間)提供更好的建議。
- 命令現在可以在後台執行。
- 現在可以使用Rust編程語言創建調試程序。
-
調試C和C ++語言已得到改進,解析器支持
_Alignof和alignof運算符,C ++右值引用和C99可變長度自動數組。 - GDB擴展腳本現在可以使用Guile腳本語言。
-
擴展的Python腳本語言接口已經通過新的API函數,框架裝飾器,過濾器和展開器進行了改進。另外,腳本在
.debug_gdb_scriptsGDB配置部分自動加載。 - GDB現在使用Python版本3來運行其腳本,包括漂亮的打印機,幀裝飾器,過濾器和展開器。
- ARM和64位ARM體系結構已通過流程執行記錄和重放進行了改進,包括Thumb 32位和系統調用指令。
- 增加了對英特爾MPX寄存器和綁定違規,PKU寄存器和英特爾處理器跟踪的支持。
-
記錄和重播功能已擴展到包括
rdrand和rdseed有關基於Intel的系統的說明。 -
GDB在IBM Z體系結構上的功能已得到擴展,支持跟踪點和快速跟踪點,向量寄存器和ABI,以及
Catch系統調用。此外,GDB現在支持該架構的最新指令。 - GDB現在可以在64位ARM體系結構上使用SystemTap靜態用戶空間探測器(SDT)。
(BZ#1641022, BZ#1497096, BZ#1505346, BZ#1592332)
RHEL的本地化分佈在多個包中
在RHEL 8中,單一不再提供語言環境和翻譯 glibc-common 包。相反,每個語言環境和語言都可用 glibc-langpack-CODE 包。此外,默認情況下不會安裝所有語言環境,只會在安裝程序中選擇這些語言環境。用戶必須單獨安裝所需的所有其他語言環境包。
有關使用langpacks的更多信息,請參閱 Installing and using langpacks。
(BZ#1512009)
strace 已更新至4.24版
Red Hat Enterprise Linux 8隨附了 strace 工具版本4.24。值得注意的變化包括:
-
系統調用篡改功能已添加
-e inject=選項。這包括注入錯誤,返回值,延遲和信號。 系統調用資格已得到改進:
-
一個
-e trace=/regex已添加選項以使用正則表達式過濾系統調用。 -
將問號添加到系統調用資格中
-e trace=選項讓strace即使資格與任何系統調用都不匹配,也要繼續。 -
個性化指定已被添加到系統調用資格中
-e trace選項。
-
一個
-
解碼
kvm vcpu退出原因已被添加。為此,請使用-e kvm=vcpu選項。 -
該
libdw庫現在用於堆棧展開時-k使用選項。此外,當符號消除時,符號消除是可能的libiberty庫已安裝在系統上。 -
以前,
-r選項造成的strace忽略了-t選項。這已經修復,現在兩個選項是獨立的。 - 添加了[option]`-A選項,用於在追加模式下打開輸出文件。
-
該
-X已添加選項以進行配置xlat輸出格式。 -
使用。解碼套接字地址
-yy選項已得到改進。另外,打印塊和字符設備號-yy模式已添加。
此外,還添加,改進或更新了以下項目的解碼:
-
netlink協議,消息和屬性 -
arch_prctl,bpf, ,getsockopt, ,io_pgetevent, ,kern_features, ,keyctl, ,prctl, ,pkey_alloc, ,pkey_free, ,pkey_mprotect, ,ptrace, ,rseq, ,setsockopt, ,socket, ,statx和其他系統調用 -
很多命令
ioctl系統調用 - 各種常數
-
路徑追踪
execveat, ,inotify_add_watch, ,inotify_init, ,select, ,symlink, ,symlinkat系統調用和mmap系統調用間接參數 -
特定於ARM體系結構的系統調用
__ARM_NR_* - 信號代碼列表
(BZ#1641014)
4.11. 文件系統和存儲 (機器翻譯)
XFS現在支持共享的寫時復制數據范圍
XFS文件系統支持共享的寫時復制數據擴展功能。此功能允許兩個或多個文件共享一組公共數據塊。當共享公共塊的任一文件發生更改時,XFS會斷開與公共塊的鏈接並創建新文件。這類似於其他文件系統中的寫時復制(COW)功能。
共享的寫時復制數據范圍是:
- 快速
- 創建共享副本不使用磁盤I / O.
- 空間高效
- 共享塊不會佔用額外的磁盤空間。
- 透明
- 共享公共塊的文件就像常規文件一樣。
用戶空間實用程序可以使用共享的寫時復制數據范圍:
-
高效的文件克隆,例如
cp --reflink命令 - 每個文件的快照
內核子系統(如Overlayfs和NFS)也使用此功能來實現更高效的操作。
現在,在創建XFS文件系統時,默認情況下會啟用共享的寫時復制數據擴展區 xfsprogs 包版本 4.17.0-2.el8。
請注意,Direct Access(DAX)設備當前不支持具有共享寫時復制數據范圍的XFS。要創建沒有此功能的XFS文件系統,請使用以下命令:
# mkfs.xfs -m reflink=0 block-deviceRed Hat Enterprise Linux 7只能以只讀模式安裝具有共享寫時復制數據擴展區的XFS文件系統。
(BZ#1494028)
最大XFS文件系統大小為1024 TiB
XFS文件系統支持的最大大小已從500 TiB增加到1024 TiB。
大於500 TiB的文件系統要求:
- 元數據CRC功能和免費inode btree功能都以文件系統格式啟用,並且
- 分配組大小至少為512 GiB。
在RHEL 8中, mkfs.xfs 實用程序默認創建滿足這些要求的文件系統。
不支持將不滿足這些要求的較小文件系統發展為大於500 TiB的新大小。
(BZ#1563617)
VDO現在支持所有體系結構
虛擬數據優化器(VDO)現在可用於RHEL 8支持的所有體系結構。
有關支持的體系結構列表,請參閱 章 2, 架構 (機器翻譯)。
(BZ#1534087)
BOOM啟動管理器簡化了創建啟動條目的過程
BOOM是Linux系統的啟動管理器,它使用支持引導入口配置的BootLoader規範的引導加載程序。它支持靈活的引導配置,並簡化了新的或修改的引導條目的創建:例如,引導使用LVM創建的系統的快照映像。
BOOM不會修改現有的引導加載程序配置,只會插入其他條目。維護現有配置,並且任何分發集成(例如內核安裝和更新腳本)將繼續像以前一樣運行。
BOOM具有簡化的命令行界面(CLI)和API,可簡化創建引導條目的任務。
(BZ#1649582)
LUKS2現在是加密卷的默認格式
在RHEL 8中,LUKS版本2(LUKS2)格式取代了傳統的LUKS(LUKS1)格式。該 dm-crypt 子系統和 cryptsetup 工具現在使用LUKS2作為加密卷的默認格式。LUKS2為部分元數據損壞事件提供元數據冗餘和自動恢復的加密卷。
由於內部靈活的佈局,LUKS2也是未來功能的推動者。它支持通過內置的通用內核密鑰環令牌自動解鎖 libcryptsetup 允許用戶使用存儲在內核密鑰環保留服務中的密碼來解鎖LUKS2卷。
其他值得注意的增強功能包括:
- 使用包裝密鑰密碼方案的受保護密鑰設置。
- 更容易與基於策略的解密(Clevis)集成。
- 最多32個密鑰插槽 - LUKS1僅提供8個密鑰插槽。
有關詳細信息,請參閱 cryptsetup(8) 和 cryptsetup-reencrypt(8) 手冊頁。
(BZ#1564540)
Broadcom Emulex光纖通道適配器完全支持NVMe / FC
當與Broadcom Emulex光纖通道32Gbit適配器一起使用時,NVMe over Fibre Channel(NVMe / FC)傳輸類型現在在Initiator模式下得到完全支持。
除了之前在Red Hat Enterprise Linux中引入的遠程直接內存訪問(RDMA)協議之外,NVMe over Fibre Channel是非易失性存儲器快速(NVMe)協議的附加結構傳輸類型。
啟用NVMe / FC lpfc 司機,編輯 /etc/modprobe.d/lpfc.conf 文件並添加以下選項:
lpfc_enable_fc4_type=3
以外的司機 lpfc 仍然留在技術預覽版中。
附加限制:
- NVMe / FC不支持多路徑。
- NVMe / FC不支持NVMe群集。
- 目前,Red Hat Enterprise Linux不支持同時在啟動器端口上使用NVMe / FC和SCSI / FC。
- 該 內核ALT 包不支持NVMe / FC。
-
kdumpNVMe / FC不支持。 - 從存儲區域網絡(SAN)引導NVMe / FC不受支持。
(BZ#1649497)
新 overrides DM Multipath配置文件的一部分
該 /etc/multipath.conf 文件現在包括一個 overrides 允許您為所有設備設置配置值的部分。DM Multipath將這些屬性用於所有設備,除非它們被指定的屬性覆蓋 multipaths 部分 /etc/multipath.conf 包含設備的路徑的文件。此功能取代了 all_devs 的參數 devices 配置文件的一部分,不再受支持。
(BZ#1643294)
現在支持從NVDIMM設備安裝和引導
在此更新之前,安裝程序會忽略任何模式下的非易失性雙列直插式內存模塊(NVDIMM)設備。
通過此更新,支持NVDIMM設備的內核改進為數據庫或分析工作負載等寫密集型應用程序提供了改進的系統性能和增強的文件系統訪問,並降低了CPU開銷。
此更新引入了以下支持:
-
使用NVDIMM設備進行安裝
nvdimmKickstart命令和GUI,可以在扇區模式下從NVDIMM設備安裝和啟動,並在安裝過程中將NVDIMM設備重新配置為扇區模式。 -
延伸
Kickstart的腳本 蟒蛇 用於處理NVDIMM設備的命令。 -
的能力
grub2, ,efibootmgr, ,和efivar用於處理和啟動NVDIMM設備的系統組件。
(BZ#1499442)
DM Multipath中邊緣路徑的檢測得到了改進
該 multipathd service現在支持改進邊緣路徑的檢測。這有助於多路徑設備避免可能重複失敗的路徑,並提高性能。邊際路徑是具有持久但間歇性I / O錯誤的路徑。
以下選項中 /etc/multipath.conf 文件控制邊際路徑行為:
-
marginal_path_double_failed_time, -
marginal_path_err_sample_time, -
marginal_path_err_rate_threshold,和 -
marginal_path_err_recheck_gap_time.
DM Multipath禁用路徑並使用重複的I / O對配置的採樣時間進行測試,如果:
-
列出的
multipath.conf選項設置, - 路徑在配置的時間內失敗兩次,並且
- 其他路徑可用。
如果在此測試期間路徑的配置錯誤率超過配置的錯誤率,則DM Multipath會在配置的間隔時間內忽略它,然後重新測試它以查看它是否運行良好以便恢復。
有關更多信息,請參閱 multipath.conf 手冊頁。
(BZ#1643550)
多種默認行為
塊設備現在在Red Hat Enterprise Linux 8中使用多隊列調度。這使得塊層性能可以通過快速固態驅動器(SSD)和多核系統很好地擴展。
SCSI Multiqueue(scsi-mq)默認情況下,驅動程序已啟用,並且內核使用 scsi_mod.use_blk_mq=Y 選項。此更改與上游Linux內核一致。
Device Mapper Multipath(DM Multipath)需要 scsi-mq 司機要活躍。
(BZ#1647612)
Stratis現已上市
Stratis是一位新的本地存儲經理。它在存儲池之上提供託管文件系統,並為用戶提供其他功能。
Stratis使您可以更輕鬆地執行存儲任務,例如:
- 管理快照和精簡配置
- 根據需要自動增大文件系統大小
- 維護文件系統
要管理Stratis存儲,請使用 stratis 實用程序,與之通信 stratisd 後台服務。
有關更多信息,請參閱Stratis文檔: Managing layered local storage with Stratis。
(JIRA:RHELPLAN-1212)
4.12. 高可用性和集群 (機器翻譯)
新 pcs 命令列出可用的看門狗設備和測試看門狗設備
為了使用Pacemaker配置SBD,需要一個有效的看門狗設備。此版本支持 pcs stonith sbd watchdog list 命令列出本地節點上的可用監視程序設備,以及 pcs stonith sbd watchdog test 命令測試看門狗設備。有關的信息 sbd 命令行工具,請參閱 sbd(8)手冊頁。
(BZ#1578891)
該 pcs 命令現在支持按操作過濾資源故障及其間隔
Pacemaker現在可以在資源名稱和節點之上跟踪每個資源操作的資源故障。該 pcs resource failcount show 命令現在允許按資源,節點,操作和間隔過濾失敗。它提供了一個選項,用於顯示按資源和節點聚合的故障,或按資源,節點,操作及其間隔詳細說明的故障。另外, pcs resource failcount reset 命令現在允許按資源,節點,操作和間隔過濾失敗。
(BZ#1591308)
啟用時間戳 corosync 日誌
該 corosync log之前沒有包含時間戳,這使得很難將其與來自其他節點和守護進程的日誌相關聯。在此版本中,時間戳存在於 corosync 登錄。
(BZ#1615420)
新的格式 pcs cluster setup, ,pcs cluster node add 和 pcs cluster node remove 命令
在Red Hat Enterprise Linux 8中, pcs 完全支持Corosync 3, knet, 和節點名稱。現在需要節點名稱,並以節點標識符的角色替換節點地址。節點地址現在是可選的。
-
在裡面
pcs host auth命令,節點地址默認為節點名稱 -
在裡面
pcs cluster setup和pcs cluster node add命令,節點地址默認為中指定的節點地址pcs host auth命令。
通過這些更改,用於設置群集,向群集添加節點以及從群集中刪除節點的命令的格式已更改。有關這些新命令格式的信息,請參閱幫助顯示 pcs cluster setup, ,pcs cluster node add 和 pcs cluster node remove 命令。
(BZ#1158816)
RHEL 8中的Pacemaker 2.0.0
該 pacemaker 軟件包已升級到Pacemaker 2.0.0的上游版本,它提供了許多錯誤修復和增強功能:
-
Pacemaker詳細日誌現在是
/var/log/pacemaker/pacemaker.log默認情況下(不直接在/var/log或與...結合corosync登錄/var/log/cluster)。 -
Pacemaker守護程序進程已重命名,以便更直觀地讀取日誌。例如,
pengine已重命名為pacemaker-schedulerd。 -
支持棄用
default-resource-stickiness和is-managed-default群集屬性已被刪除。該resource-stickiness和is-managed應該在資源默認值中設置屬性。使用已棄用語法的現有配置(儘管不是新創建的配置)將自動更新以使用支持的語法。 - 有更完整的更改列表,請訪問: https://access.redhat.com/articles/3681151。
建議運行使用Red Hat Enterprise Linux 7或更早版本升級現有集群的用戶 pcs cluster cib-upgrade 在所有群集節點上升級RHEL之前和之後的任何群集節點上。
主資源重命名為可升級的克隆資源
紅帽企業Linux(RHEL)8支持Pacemaker 2.0,其中主/從資源不再是單獨的資源類型,而是具有標準克隆資源的標準克隆資源 promotable 元屬性設置為 true。為支持此更新,已實施以下更改:
-
不再可以使用。創建主資源
pcs命令。相反,它可以創建promotable克隆資源。相關的關鍵詞和命令已經改變master至promotable。 - 所有現有主資源都顯示為可升級克隆資源。
- 在Web UI中管理RHEL7集群時,主資源仍稱為master,因為RHEL7集群不支持可升級克隆。
(BZ#1542288)
用於驗證集群中節點的新命令
紅帽企業Linux(RHEL)8對用於驗證群集中節點的命令進行了以下更改。
-
用於身份驗證的新命令是
pcs host auth。此命令允許用戶指定主機名,地址和pcsd端口。 -
該
pcs cluster authcommand僅對本地群集中的節點進行身份驗證,並且不接受節點列表 -
現在可以為每個節點指定一個地址。
pcs/pcsd然後將使用指定的地址與每個節點通信。這些地址可能與那些地址不同corosync在內部使用。 -
該
pcs pcsd clear-auth命令已被替換pcs pcsd deauth和pcs host deauth命令。新命令允許用戶取消驗證單個主機以及所有主機。 -
以前,節點身份驗證是雙向的,並運行
pcs cluster auth命令導致所有指定的節點相互進行身份驗證。該pcs host auth但是,命令僅導致本地主機針對指定節點進行身份驗證。這樣可以在運行此命令時更好地控制對其他節點進行身份驗證的節點。在群集設置本身以及添加節點時,pcs自動同步集群上的令牌,因此集群中的所有節點仍然像以前一樣自動進行身份驗證,並且集群節點可以相互通信。
請注意,這些更改不向後兼容。在RHEL 7系統上進行身份驗證的節點需要再次進行身份驗證。
(BZ#1549535)
該 pcs 命令現在支持屏蔽歷史記錄的顯示,清理和同步
Pacemaker的fence守護進程跟踪所有圍欄操作的歷史記錄(待處理,成功和失敗)。有了這個版本, pcs 命令允許用戶通過以下方式訪問防護歷史記錄:
-
該
pcs status命令顯示失敗和掛起的防護操作 -
該
pcs status --full命令顯示整個屏蔽歷史記錄 -
該
pcs stonith historycommand提供顯示和清除防護歷史記錄的選項 -
雖然防護歷史是自動同步的,但是
pcs stonith history命令現在支持update允許用戶在必要時手動同步防護歷史記錄的選項
(BZ#1620190, BZ#1615891)
4.13. 聯網 (機器翻譯)
nftables 取代 iptables 作為默認的網絡包過濾框架
該 nftables 框架提供了數據包分類工具,它是指定的繼承者 iptables, ,ip6tables, ,arptables, ,和 ebtables 工具。與以前的數據包過濾工具相比,它在方便性,功能和性能方面提供了許多改進,最值得注意的是:
- 查找表而不是線性處理
-
兩者的單一框架
IPv4和IPv6協議 - 所有規則都以原子方式應用,而不是獲取,更新和存儲完整的規則集
-
支持在規則集中進行調試和跟踪(
nftrace並監控跟踪事件(在nft工具) - 更一致和緊湊的語法,沒有特定於協議的擴展
- 適用於第三方應用程序的Netlink API
與...類似 iptables, ,nftables 使用表來存儲鏈。鏈包含執行操作的單獨規則。該 nft 工具取代了以前的數據包過濾框架中的所有工具。該 libnftables 庫可以用於低級別的交互 nftables Netlink API上 libmnl 圖書館。
該 iptables, ,ip6tables, ,ebtables 和 arptables 工具由具有相同名稱的基於nftables的插入式替換替換。雖然外部行為與傳統行為相同,但在內部使用 nftables 與遺產 netfilter 內核模塊通過所需的兼容性接口。
模塊對模塊的影響 nftables 可以使用。來觀察規則集 nft list ruleset 命令。由於這些工具將表,鍊和規則添加到 nftables 規則集,請注意 nftables 規則集操作,例如 nft flush ruleset 命令可能會影響使用以前單獨的舊命令安裝的規則集。
要快速識別工具的哪個變體,版本信息已更新為包含後端名稱。在RHEL 8中,基於nftables iptables 工具打印以下版本字符串:
$ iptables --version iptables v1.8.0 (nf_tables)
為了進行比較,如果是舊版,則打印以下版本信息 iptables 工具存在:
$ iptables --version iptables v1.8.0 (legacy)
(BZ#1644030)
RHEL 8中值得注意的TCP功能
紅帽企業版Linux 8與TCP網絡堆棧版本4.16一起分發,提供更高的性能,更好的可擴展性和更高的穩定性。特別是對於具有高入口連接速率的繁忙TCP服務器,性能得到提升。
另外,兩個新的TCP擁塞算法, BBR 和 NV, ,可用,在大多數情況下提供比立方更低的延遲和更好的吞吐量。
(BZ#1562998)
firewalld 使用 nftables 默認情況下
有了這個更新, nftables 過濾子系統是默認的防火牆後端 firewalld 守護進程。要更改後端,請使用 FirewallBackend 選項 /etc/firewalld.conf 文件。
此更改在使用時引入了以下行為差異 nftables:
iptables規則執行總是在之前發生firewalld規則-
DROP在iptables表示從未見過數據包firewalld -
ACCEPT在iptables表示數據包仍然受制於firewalld規則
-
-
firewalld直接規則仍然通過實施iptables而其他firewalld功能使用nftables -
直接規則執行發生之前
firewalld對已建立的連接的一般接受
(BZ#1509026)
值得注意的變化 wpa_supplicant 在RHEL 8中
在Red Hat Enterprise Linux(RHEL)8中 wpa_supplicant 包是用 CONFIG_DEBUG_SYSLOG 啟用。這允許閱讀 wpa_supplicant 用日誌記錄 journalctl 實用程序而不是檢查的內容 /var/log/wpa_supplicant.log 文件。
(BZ#1582538)
網絡管理器 現在支持SR-IOV虛擬功能
在Red Hat Enterprise Linux 8.0中, 網絡管理器 允許為支持單根I / O虛擬化(SR-IOV)的接口配置虛擬功能(VF)的數量。另外, 網絡管理器 允許配置VF的某些屬性,例如MAC地址,VLAN,等 spoof checking 設置和允許比特率。請注意,所有與SR-IOV相關的屬性都可以在 sriov 連接設置。有關詳細信息,請參閱 nm-settings(5) 手冊頁。
(BZ#1555013)
現在支持IPVLAN虛擬網絡驅動程序
在Red Hat Enterprise Linux 8.0中,內核包括對IPVLAN虛擬網絡驅動程序的支持。通過此更新,IPVLAN虛擬網絡接口卡(NIC)可為多個容器啟用網絡連接,從而將單個MAC地址暴露給本地網絡。這允許單個主機具有許多容器,以克服對等網絡設備支持的MAC地址數量的可能限制。
(BZ#1261167)
網絡管理器 支持連接的通配符接口名稱匹配
以前,可以僅使用接口名稱上的完全匹配來限制與給定接口的連接。通過此更新,連接有一個新的 match.interface-name 支持通配符的屬性。此更新使用戶能夠使用通配符模式以更靈活的方式為連接選擇接口。
(BZ#1555012)
網絡堆棧的改進4.18
紅帽企業Linux 8.0包括升級到上游版本4.18的網絡堆棧,它提供了一些錯誤修復和增強功能。值得注意的變化包括:
-
引入了新的卸載功能,例如
UDP_GSO, ,對於某些設備驅動程序,GRO_HW。 - 改進了用戶數據報協議(UDP)的顯著可擴展性。
- 改進了通用繁忙輪詢代碼。
- 改進了IPv6協議的可擴展性。
- 改進了路由代碼的可擴展性。
-
添加了新的默認傳輸隊列調度算法,
fq_codel, ,這改善了傳輸延遲。 -
改進了一些傳輸隊列調度算法的可擴展性。例如,
pfifo_fast現在無鎖。
(BZ#1562987)
轉換的新工具 iptables 至 nftables
此更新添加了 iptables-translate 和 ip6tables-translate 轉換現有的工具 iptables 要么 ip6tables 規則等同於 nftables。請注意,某些擴展缺少翻譯支持。如果存在這樣的擴展名,則該工具將打印帶有前綴的未翻譯規則 # 標誌。例如:
| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill | nft # -A INPUT -j CHECKSUM --checksum-fill
此外,用戶可以使用 iptables-restore-translate 和 ip6tables-restore-translate 翻譯規則轉儲的工具。請注意,在此之前,用戶可以使用 iptables-save 要么 ip6tables-save 用於打印當前規則轉儲的命令。例如:
| % sudo iptables-save >/tmp/iptables.dump | % iptables-restore-translate -f /tmp/iptables.dump | # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018 | add table ip nat | ...
(BZ#1564596)
使用添加到VPN的新功能 網絡管理器
在Red Hat Enterprise Linux 8.0中, 網絡管理器 為VPN提供以下新功能:
- 支持Internet密鑰交換版本2(IKEv2)協議。
-
添加了一些 Libreswan 選項,例如
rightid, ,leftcert, ,narrowing, ,rekey, ,fragmentation選項。有關支持的選項的更多詳細信息,請參閱nm-settings-libreswan手冊頁。 -
更新了默認密碼。這意味著當用戶沒有指定密碼時, NetworkManager的-libreswan 插件允許 Libreswan 應用程序選擇系統默認密碼。唯一的例外是用戶選擇IKEv1主動模式配置。在這種情況下,
ike = aes256-sha1;modp1536和eps = aes256-sha1值傳遞給 Libreswan。
(BZ#1557035)
一種新的數據塊類型, I-DATA, ,添加到SCTP
此更新添加了新的數據塊類型, I-DATA, ,以及流調度傳輸協議(SCTP)的流調度程序。以前,SCTP以與用戶發送的順序相同的順序發送用戶消息。因此,大型SCTP用戶消息會阻止任何流中的所有其他消息,直到完全發送。使用時 I-DATA 塊,傳輸序列號(TSN)字段不會過載。因此,SCTP現在可以以不同的方式安排流,並且 I-DATA 允許用戶消息交錯(RFC 8260)。請注意,兩個對等方都必須支持 I-DATA 塊類型。
(BZ#1273139)
4.14. 安全 (機器翻譯)
SCAP安全指南PCI-DSS配置文件與版本3.2.1一致
該 SCAP Security Guide 該項目為Red Hat Enterprise Linux 8提供了PCI-DSS(支付卡行業數據安全標準)配置文件,並且已經更新以符合最新的PCI-DSS版本 - 3.2.1。
(BZ#1618528)
OpenSSH的 重新定義為7.8p1版本
該 openssh 軟件包已升級到上游版本7.8p1。值得注意的變化包括:
-
刪除了支持
SSH version 1協議。 -
刪除了支持
hmac-ripemd160消息驗證碼。 -
刪除了對RC4的支持(
arcfour)密碼。 -
刪除了支持
Blowfish密碼。 -
刪除了支持
CAST密碼。 -
更改了默認值
UseDNS選項no。 -
殘
DSA公鑰算法默認情況下。 -
更改了最小模數大小
Diffie-Hellman參數為2048位。 -
改變了語義
ExposeAuthInfo配置選項。 -
該
UsePrivilegeSeparation=sandbox選項現在是強制性的,無法禁用。 -
設置接受的最小值
RSA密鑰大小為1024位。
(BZ#1622511)
現在支持RSA-PSS OpenSC
此更新增加了對RSA-PSS加密簽名方案的支持 OpenSC 智能卡驅動程序。新方案支持客戶端軟件中TLS 1.3支持所需的安全加密算法。
(BZ#1595626)
值得注意的變化 rsyslog 在RHEL 8中
該 rsyslog 軟件包已升級到上游版本8.37.0,它提供了許多錯誤修復和增強功能。最值得注意的變化包括:
- 增強處理 rsyslog現在 內部消息;限制它們的可能性;修復了可能的死鎖。
- 一般來說,增強了速率限制;實際上 垃圾郵件源 現在已記錄。
- 改進了對超大消息的處理 - 用戶現在可以設置如何在核心和某些模塊中使用單獨的操作來處理它們。
-
mmnormalize規則庫現在可以嵌入到config文件而不是為它們創建單獨的文件。 -
用戶現在可以設置 的GnuTLS 優先級字符串
imtcp允許對加密進行細粒度控制。 -
所有
config變量(包括JSON中的變量)現在不區分大小寫。 - PostgreSQL輸出的各種改進。
-
添加了使用shell變量來控制的可能性
config處理,例如條件加載其他配置文件,執行語句或包含文本config。請注意,過度使用此功能會使調試問題變得非常困難 rsyslog現在。 -
現在可以在中指定4位文件創建模式
config。 - 可靠的事件記錄協議(RELP)輸入現在也只能綁定在指定的地址上。
-
默認值
enable.body郵件輸出選項現在與文檔對齊 - 用戶現在可以指定應該忽略的插入錯誤代碼 MongoDB的 輸出。
- 並行TCP(pTCP)輸入現在具有可配置的積壓,以實現更好的負載平衡。
(BZ#1613880)
新 rsyslog現在 模塊: omkafka
啟用 卡夫卡 集中式數據存儲方案,您現在可以將日誌轉發到 卡夫卡 使用新的基礎設施 omkafka 模塊。
(BZ#1542497)
libssh 將SSH實現為核心加密組件
這個改變介紹了 libssh 作為Red Hat Enterprise Linux 8中的核心加密組件。該 libssh library實現了Secure SHell(SSH)協議。
注意 libssh 不符合系統範圍的加密策略。
(BZ#1485241)
PKCS#11對智能卡和HSM的支持現在在整個系統中保持一致
通過此更新,使用智能卡和硬件安全模塊(HSM)與PKCS#11加密令牌接口變得一致。這意味著用戶和管理員可以對系統中的所有相關工具使用相同的語法。顯著的增強功能包括:
- 支持PKCS#11統一資源標識符(URI)方案,確保在管理員和應用程序編寫者的RHEL服務器上簡化啟用令牌。
-
一種用於智能卡和HSM的系統級註冊方法
pkcs11.conf。 -
NSS,GnuTLS和OpenSSL提供對HSM和智能卡的一致支持(通過
openssl-pkcs11引擎)應用程序。 -
Apache HTTP服務器(
httpd)現在無縫支持HSM。
有關更多信息,請參閱 pkcs11.conf(5) 手冊頁。
(BZ#1516741)
默認情況下應用系統範圍的加密策略
加密策略是紅帽企業Linux 8中的一個組件,它配置核心加密子系統,涵蓋TLS,IPSec,SSH,DNSSec和Kerberos協議。它提供了一小組策略,管理員可以使用這些策略進行選擇 update-crypto-policies 命令。
該 DEFAULT 系統範圍的加密策略為當前威脅模型提供安全設置。它允許TLS 1.2和1.3協議,以及IKEv2和SSH2協議。如果大於2047位,則接受RSA密鑰和Diffie-Hellman參數。
見 Consistent security by crypto policies in Red Hat Enterprise Linux 8 關於紅帽博客的文章和 update-crypto-policies(8) 手冊頁以獲取更多信息。
(BZ#1591620)
SCAP安全指南支持OSPP 4.2
SCAP Security Guide 提供了針對Red Hat Enterprise Linux 8的OSPP(通用操作系統保護配置文件)配置文件4.2的草案。此配置文件反映了通用操作系統保護配置文件(保護配置文件版本4.2)的NIAP配置附件中標識的強製配置控制。SCAP安全指南提供自動檢查和腳本,使用戶能夠滿足OSPP中定義的要求。
(BZ#1618518)
OpenSCAP命令行界面得到了改進
現在可以使用詳細模式 oscap 模塊和子模塊。工具輸出改進了格式。
已刪除不推薦使用的選項以提高命令行界面的可用性。
以下選項不再可用:
-
--show在oscap xccdf generate report已完全刪除。 -
--probe-root在oscap oval eval已被刪除。它可以通過設置環境變量來替換,OSCAP_PROBE_ROOT。 -
--sce-results在oscap xccdf eval已被取代--check-engine-results -
validate-xml子模塊已從CPE,OVAL和XCCDF模塊中刪除。validate可以使用子模塊來根據XML模式和XSD架構來驗證SCAP內容。 -
oscap oval list-probes命令已被刪除,可以使用顯示可用探針列表oscap --version代替。
OpenSCAP允許評估給定XCCDF基準測試中的所有規則,無論使用何種配置文件 --profile '(all)'。
(BZ#1618484)
支持新的地圖權限檢查 mmap 系統調用
SELinux map 已添加權限以控制對文件,目錄,套接字等的內存映射訪問。這允許SELinux策略阻止對各種文件系統對象的直接內存訪問,並確保重新驗證每個此類訪問。
(BZ#1592244)
SELinux現在支持 systemd No New Privileges
此更新介紹了 nnp_nosuid_transition 策略功能,啟用SELinux域轉換 No New Privileges (NNP)或 nosuid 如果 nnp_nosuid_transition 允許在新舊環境之間進行。該 selinux-policy 包現在包含一個策略 systemd 使用該服務的服務 NNP 安全功能。
以下規則描述了為服務允許此功能:
allow source_domain target_type:process2 { nnp_transition nosuid_transition };例如:
allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };
分發策略現在還包含m4宏接口,可以在SELinux安全策略中用於使用該服務的服務 init_nnp_daemon_domain() 功能。
(BZ#1594111)
SELinux現在支持 getrlimit 許可 process 類
此更新引入了一個新的SELinux訪問控制檢查, process:getrlimit, ,已添加為 prlimit() 功能。這使SELinux策略開發人員能夠控制一個進程何時嘗試讀取,然後使用該進程修改另一個進程的資源限制 process:setrlimit 允許。請注意,SELinux不會限制進程通過操縱自己的資源限制 prlimit()。見 prlimit(2) 和 getrlimit(2) 手冊頁了解更多信息。
(BZ#1549772)
加密庫中的TLS 1.3支持
此更新默認在所有主要後端加密庫中啟用傳輸層安全性(TLS)1.3。這樣可以在整個操作系統通信層實現低延遲,並通過利用新算法(如RSA-PSS或X25519)增強應用程序的隱私性和安全性。
(BZ#1516728)
新功能 OpenSCAP 在RHEL 8中
該 OpenSCAP 套件已升級到上游版本1.3.0,它引入了許多先前版本的增強功能。最顯著的功能包括:
- API和ABI已合併 - 已刪除已更新,已棄用和/或未使用的符號。
-
探針不作為獨立進程運行,而是作為獨立進程運行
oscap處理。 - 命令行界面已更新。
-
Python 2綁定已被替換為Python 3綁定。
(BZ#1614273)
Audit 3.0取代了 audispd 同 auditd
有了這個更新,功能 audispd 已被轉移到 auditd。結果是, audispd 配置選項現在是其中的一部分 auditd.conf。除此之外 plugins.d 目錄已被移動 /etc/audit。目前的狀況 auditd 現在可以通過運行來檢查其插件 service auditd state 命令。
(BZ#1616428)
rsyslog現在 imfile 現在支持符號鏈接
有了這個更新, rsyslog現在 imfile 模塊提供更好的性能和更多配置選項。這允許您將模塊用於更複雜的文件監視用例。例如,您現在可以在配置的路徑中的任何位置使用具有glob模式的文件監視器,並使用增加的數據吞吐量旋轉符號鏈接目標。
(BZ#1614179)
自動 OpenSSH 服務器密鑰生成現在由處理 sshd-keygen@.service
OpenSSH 如果缺少RSA,ECDSA和ED25519服務器主機密鑰,則會自動創建它們。要在RHEL 8中配置主機密鑰創建,請使用 sshd-keygen@.service 實例化的服務。
例如,要禁用自動創建RSA密鑰類型:
# systemctl mask sshd-keygen@rsa.service
見 /etc/sysconfig/sshd 文件以獲取更多信息。
(BZ#1228088)
默認 rsyslog 配置文件格式現在是非遺留的
中的配置文件 rsyslog 軟件包現在默認使用非傳統格式。遺留格式仍然可以使用,但是,混合當前和遺留配置語句有幾個限制。應修改先前RHEL版本中的配置。見 rsyslog.conf(5) 手冊頁以獲取更多信息。
(BZ#1619645)
新的SELinux布爾
SELinux系統策略的此更新引入了以下布爾值:
- colord_use_nfs
- mysql_connect_http
- pdns_can_network_connect_db
- ssh_use_tcpd
- sslh_can_bind_any_port
- sslh_can_connect_any_port
- virt_use_pcscd
有關更多詳細信息,請參閱以下命令的輸出:
# semanage boolean -l
(JIRA:RHELPLAN-10347)
4.15. 虛擬化 (機器翻譯)
KVM支持5級分頁
借助Red Hat Enterprise Linux 8,KVM虛擬化支持5級分頁功能,可顯著增加主機和客戶機系統可以使用的物理和虛擬地址空間。
(BZ#1485229)
KVM支持RHEL 8中的UMIP
KVM虛擬化現在支持用戶模式指令防護(UMIP)功能,該功能有助於防止用戶空間應用程序訪問系統範圍的設置。這減少了特權升級攻擊的潛在載體,從而使KVM管理程序及其客戶機更安全。
(BZ#1494651)
KVM來賓崩潰報告中的其他信息
如果guest虛擬機意外終止或無響應,KVM管理程序生成的崩潰信息已經擴展。這樣可以更輕鬆地診斷和修復KVM虛擬化部署中的問題。
(BZ#1508139)
qemu-kvm RHEL 8中的2.12
Red Hat Enterprise Linux 8隨附 qemu-kvm 2.12。此版本修復了多個錯誤,並在1.5.3版本中添加了許多增強功能,可在Red Hat Enterprise Linux 7中使用。
值得注意的是,已經引入了以下功能:
- Q35客機類型
- UEFI來賓啟動
- NUMA在客人中調整和固定
- vCPU熱插拔和熱插拔
- 客戶I / O線程
請注意一些可用的功能 qemu-kvm Red Hat Enterprise Linux 8不支持2.12。有關詳細信息,請參閱Red Hat客戶門戶上的“RHEL 8虛擬化中的功能支持和限制”。
(BZ#1559240)
NVIDIA vGPU現在與VNC控制台兼容
使用NVIDIA虛擬GPU(vGPU)功能時,現在可以使用VNC控制台顯示來賓的可視輸出。
(BZ#1497911)
Ceph受虛擬化支持
通過此更新,Red Hat支持的所有CPU架構上的KVM虛擬化都支持Ceph存儲。
(BZ#1578855)
該 Q35 虛擬化現在支持機器類型
Red Hat Enterprise Linux 8引入了支持 Q35, ,一種更現代的基於PCI Express的機器類型。這為虛擬設備的功能和性能提供了各種改進,並確保更廣泛的現代設備與虛擬化兼容。此外,在Red Hat Enterprise Linux 8中創建的虛擬機也可以使用 Q35 默認情況下。
還要注意以前的默認值 個人計算機 機器類型已被棄用,只應在虛擬化不支持Q35的舊操作系統時使用。
(BZ#1599777)
IBM Z上虛擬機的交互式引導加載程序
在IBM Z主機上引導虛擬機(VM)時,QEMU引導加載程序固件現在提供交互式控制台界面。這使得可以在不訪問主機環境的情況下解決客戶操作系統引導問題。
(BZ#1508137)
QEMU沙盒已添加
在Red Hat Enterprise Linux 8中,QEMU仿真器引入了沙盒功能。QEMU沙盒為QEMU可以執行的系統調用提供了可配置的限制,從而使虛擬機更加安全。請注意,默認情況下已啟用並配置此功能。
(JIRA:RHELPLAN-10628)
為Intel Xeon SnowRidge啟用了GFNI和CLDEMOT指令集
在Intel Xeon SnowRidge系統上的RHEL 8主機中運行的虛擬機(VM)現在可以使用GFNI和CLDEMOT指令集。在某些情況下,這可能會顯著提高此類VM的性能。
(BZ#1494705)
添加了一個用於NVMe設備的基於VFIO的塊驅動程序
QEMU仿真器為非易失性存儲器快速(NVMe)設備引入了基於虛擬功能I / O(VFIO)的驅動程序。驅動程序直接與連接到虛擬機(VM)的NVMe設備通信,並避免使用內核系統層及其NVMe驅動程序。因此,這增強了NVMe設備在虛擬機中的性能。
(BZ#1519004)
改進了巨大的頁面支持
使用RHEL 8作為虛擬化主機時,用戶可以將支持虛擬機(VM)內存的頁面大小修改為CPU支持的任何大小。這可以顯著提高VM的性能。
要配置VM內存頁面的大小,請編輯VM的XML配置並將<hugepages>元素添加到<memoryBacking>部分。
(JIRA:RHELPLAN-14607)
4.16. 保障性 (機器翻譯)
sosreport 可以報告基於eBPF的程序和地圖
該 sosreport 工具已得到增強,可在Red Hat Enterprise Linux 8中報告任何已加載的擴展Berkeley數據包過濾(eBPF)程序和映射。
(BZ#1559836)
章 5. 技術預覽 (機器翻譯)
本部分提供了Red Hat Enterprise Linux 8.0中可用的所有技術預覽的列表。
有關Red Hat技術預覽功能支持範圍的信息,請參閱 Technology Preview Features Support Scope。
5.1. 核心 (機器翻譯)
XDP 作為技術預覽版提供
該 eXpress數據路徑(XDP) 功能,作為技術預覽版提供,提供了一種上傳伯克利數據包過濾器(BPF)程序的方法,用於內核中的高性能數據包處理,使內核的網絡數據路徑可編程。
(BZ#1503672)
eBPF 作為技術預覽版提供
該 擴展伯克利包過濾(eBPF) 功能可用作網絡和跟踪的技術預覽。 eBPF 使用戶空間能夠將自定義程序附加到各種點(套接字,跟踪點,數據包接收)以接收和處理數據。該功能包括一個新的系統調用 bpf(), ,它允許創建各種類型的地圖,並且還可以將各種類型的程序插入到內核中。見 bpf(2)手冊頁了解更多信息。
(BZ#1559616)
BCC 可用作技術預覽版
BPF Compiler Collection (BCC) 是一個用戶空間工具包,用於創建高效的內核跟踪和操作程序,可作為Red Hat Enterprise Linux 8中的技術預覽版提供。 BCC 提供了使用Linux進行I / O分析,聯網和監視Linux操作系統的工具 extended Berkeley Packet Filtering (eBPF)。
(BZ#1548302)
控制組v2 在RHEL 8中作為技術預覽版提供
控制組v2 機制是統一的層次控制組。控制組v2 按層次組織流程,並以受控和可配置的方式沿層次結構分配系統資源。
與以前的版本不同, 控制組v2 只有一個層次結構。這個單一的層次結構使Linux內核能夠:
- 根據所有者的角色對流程進行分類。
- 消除多個層次結構的衝突策略的問題。
控制組v2 支持眾多控制器:
CPU控制器調節CPU週期的分佈。該控制器實現:
- 正常調度策略的權重和絕對帶寬限制模型。
- 實時調度策略的絕對帶寬分配模型。
內存控制器調節內存分配。目前,跟踪以下類型的內存使用情況:
- Userland內存 - 頁面緩存和匿名內存。
- 內核數據結構,例如dentries和inode。
- TCP套接字緩衝區。
- I / O控制器調節I / O資源的分配。
- 寫回控制器與內存和I / O控制器進行交互 控制組v2 具體。
以上信息基於鏈接: https://www.kernel.org/doc/Documentation/cgroup-v2.txt。您可以參考相同的鏈接以獲取有關特定信息的更多信息 控制組v2 控制器。
(BZ#1401552)
early kdump 在Red Hat Enterprise Linux 8中作為技術預覽版提供
該 early kdump 功能允許崩潰內核和initramfs儘早加載以捕獲 vmcore 即使是早期崩潰的信息。有關的更多詳細信息 early kdump, ,見 /usr/share/doc/kexec-tools/early-kdump-howto.txt 文件。
(BZ#1520209)
5.2. 文件系統和存儲 (機器翻譯)
VDO可用作LVM邏輯卷類型
LVM現在可用於創建邏輯卷 虛擬數據優化器 (VDO)類型。VDO是一種虛擬塊設備,能夠壓縮和重複數據刪除。
這是技術預覽功能。
(BZ#1643553)
支持數據完整性字段/數據完整性擴展(DIF / DIX)
DIF / DIX是SCSI標準的補充。它保留在所有HBA和存儲陣列的技術預覽中,但特別列為支持的那些除外。
DIF / DIX將常用的512字節磁盤塊的大小從512增加到520字節,添加了數據完整性字段(DIF)。DIF存儲數據塊的校驗和值,該值由主機總線適配器(HBA)在發生寫入時計算。然後,存儲設備在接收時確認校驗和,並存儲數據和校驗和。相反,當發生讀取時,校驗和可以由存儲設備和接收HBA驗證。
(BZ#1649493)
NVMe / FC可作為Qlogic適配器中的技術預覽版使用 qla2xxx
NVMe over Fibre Channel(NVMe / FC)傳輸類型可在Qlogic適配器中作為技術預覽使用 qla2xxx 驅動程序。
(BZ#1649922)
5.3. 高可用性和集群 (機器翻譯)
起搏器 podman 捆綁包可用作技術預覽版
Pacemaker容器捆綁現在運行在 podman 容器平台,容器捆綁功能可用作技術預覽。此功能有一個例外是技術預覽:Red Hat完全支持在Red Hat Openstack中使用Pacemaker捆綁包。
(BZ#1619620)
5.4. 安全 (機器翻譯)
RHEL 8.0版本的SWID標記
要使用ISO / IEC 19770-2:2015機制識別RHEL 8.0安裝,軟件標識(SWID)標籤安裝在文件中 /usr/lib/swidtag/redhat.com/com.redhat.RHEL-8-<architecture>.swidtag 和 /usr/lib/swidtag/redhat.com/com.redhat.RHEL-8.0-<architecture>.swidtag。這些標籤的父目錄也可以通過以下方式找到 /etc/swid/swidtags.d/redhat.com 象徵性的聯繫。
可以使用以下命令驗證SWID標記文件的XML簽名 xmlsec1 verify 命令,例如:
xmlsec1 verify --trusted-pem /etc/pki/swid/CA/redhat.com/redhatcodesignca.cert /usr/share/redhat.com/com.redhat.RHEL-8-x86_64.swidtag
代碼簽名證書頒發機構的證書也可以從中獲取 Product Signing Keys 客戶門戶網站上的頁面。
(BZ#1636338)
5.5. 虛擬化 (機器翻譯)
適用於KVM虛擬機的AMD SEV
作為技術預覽版,RHEL 8為使用KVM管理程序的AMD EPYC主機引入了安全加密虛擬化(SEV)功能。如果在虛擬機(VM)上啟用,則SEV會加密VM內存,以便主機無法訪問VM上的數據。如果主機被惡意軟件成功感染,這可以提高VM的安全性。
請注意,在單個主機上一次可以使用此功能的VM數由主機硬件決定。目前的AMD EPYC處理器使用SEV支持15個或更少的運行VM。
(BZ#1501618, BZ#1501607)
嵌套虛擬化現在可在IBM POWER 9上使用
作為技術預覽版,現在可以在IBM POWER 9系統上運行的RHEL 8主機上使用嵌套虛擬化功能。嵌套虛擬化使KVM虛擬機(VM)充當虛擬機管理程序,允許在虛擬機內運行虛擬機。
請注意,對於可在IBM POWER 9上運行的嵌套虛擬化,主機,guest虛擬機和嵌套guest虛擬機當前都需要運行以下操作系統之一:
- RHEL 8
- RHEL 7 for POWER 9
(BZ#1505999)
章 6. 不推薦使用的功能 (機器翻譯)
本部分概述了Red Hat Enterprise Linux 8.0中已棄用的功能。
在Red Hat Enterprise Linux 8生命週期結束之前,將繼續支持不推薦使用的功能。在此產品的未來主要版本中可能不支持不推薦使用的功能,不建議用於新部署。有關特定主要版本中最新的已棄用功能列表,請參閱最新版本的發行文檔。
建議不要將棄用的硬件組件用於當前或未來主要版本的新部署。硬件驅動程序更新僅限於安全性和關鍵修復程序。Red Hat建議在合理可行的情況下盡快更換此硬件。
可以棄用軟件包,不建議將其用於進一步使用。在某些情況下,可以從產品中刪除包裝。然後,產品文檔會識別更新的軟件包,這些軟件包提供與已棄用的軟件類似,相同或更高級的功能,並提供進一步的建議。
6.1. 安裝程序和映像創建 (機器翻譯)
該 --interactive 的選擇 ignoredisk Kickstart命令已被棄用
使用 --interactive option 在未來的Red Hat Enterprise Linux版本中,將導致致命的安裝錯誤。建議您修改Kickstart文件以刪除該選項。
(BZ#1637872)
6.2. 文件系統和存儲 (機器翻譯)
已禁用UDP上的NFSv3
默認情況下,NFS服務器不再打開或偵聽用戶數據報協議(UDP)套接字。此更改僅影響NFS版本3,因為版本4需要傳輸控制協議(TCP)。
RHEL 8不再支持NFS over UDP。
(BZ#1592011)
不推薦使用NVMe / FC目標模式
非光纖內存高速通過光纖通道(NVMe / FC)傳輸協議的目標模式以前在RHEL 7中作為技術預覽版提供。在RHEL 8中,不推薦使用NVMe / FC目標模式。
在NVMe目標模式下啟用FC主機總線適配器(HBA)端口會導致以下錯誤消息:
Warning: NVMe over FC Target - This driver has not undergone sufficient testing by Red Hat for this release and therefore cannot be used in production systems.
(BZ#1664838)
6.3. 聯網 (機器翻譯)
RHEL 8中不推薦使用網絡腳本
Red Hat Enterprise Linux 8中不推薦使用網絡腳本,默認情況下不再提供它們。基本安裝提供了新版本的 ifup 和 ifdown 調用的腳本 網絡管理器 通過服務 nmcli 工具。在Red Hat Enterprise Linux 8中,運行 ifup 和 ifdown 腳本,NetworkManager必須正在運行。
請注意,自定義命令 /sbin/ifup-local, ,ifdown-pre-local 和 ifdown-local 腳本不會被執行。
如果需要這些腳本中的任何一個,則仍可以使用以下命令在系統中安裝已棄用的網絡腳本:
~]# yum install network-scripts
該 ifup 和 ifdown 腳本鏈接到已安裝的舊網絡腳本。
調用舊網絡腳本會顯示有關其棄用的警告。
(BZ#1647725)
6.4. 安全 (機器翻譯)
DSA在Red Hat Enterprise Linux 8中已棄用
數字簽名算法(DSA)在Red Hat Enterprise Linux 8中被認為已棄用。依賴於DSA密鑰的身份驗證機制在默認配置中不起作用。注意 OpenSSH 即使在LEGACY策略中,客戶端也不接受DSA主機密鑰。
(BZ#1646541)
SSL2 Client Hello 已被棄用 NSS
傳輸層安全性(TLS)協議版本1.2及更早版本允許與a開始協商 Client Hello 以與安全套接字層向後兼容的方式格式化的消息(SSL)協議版本2。在網絡安全服務中支持此功能(NSS)庫已被棄用,默認情況下禁用。
需要支持此功能的應用程序需要使用新功能 SSL_ENABLE_V2_COMPATIBLE_HELLO 用於啟用它的API。在未來的Red Hat Enterprise Linux 8版本中,可能會完全刪除對此功能的支持。
(BZ#1645153)
6.5. 虛擬化 (機器翻譯)
RHEL 8中未正確支持虛擬機快照
目前創建虛擬機(VM)快照的機制已被棄用,因為它無法可靠地運行。因此,建議不要在RHEL 8中使用VM快照。
請注意,新的VM快照機制正在開發中,將在RHEL 8的未來次要版本中完全實現。
該 Cirrus VGA 虛擬GPU類型已被棄用
隨著紅帽企業Linux的未來重大更新, Cirrus VGA KVM虛擬機將不再支持GPU設備。因此,Red Hat建議使用 stdvga, ,為Virtio-VGA, , 要么 QXL 設備而不是Cirrus VGA。
(BZ#1651994)
virt-manager中 已被棄用
Virtual Machine Manager應用程序,也稱為 virt-manager中, ,已被棄用。RHEL 8 Web控制台,也稱為 座艙, ,旨在成為後續版本的替代品。因此,建議您使用Web控制台在GUI中管理虛擬化。但是,在Red Hat Enterprise Linux 8.0中,某些功能只能從兩者中訪問 virt-manager中 或命令行。
(JIRA:RHELPLAN-10304)
章 7. 已知的問題 (機器翻譯)
本部分介紹了Red Hat Enterprise Linux 8中的已知問題。
7.1. 安裝程序和映像創建 (機器翻譯)
該 auth 和 authconfig Kickstart命令需要AppStream存儲庫
該 authselect-compat 包裹是必需的 auth 和 authconfig 安裝期間Kickstart命令。如果沒有此軟件包,安裝將失敗 auth 要么 authconfig 使用。但是,按設計, authselect-compat package僅在AppStream存儲庫中可用。
要解決此問題,請驗證安裝程序是否可以使用BaseOS和AppStream存儲庫,或使用 authselect 安裝過程中的Kickstart命令。
(BZ#1640697)
複製內容 Binary DVD.iso 文件到分區省略了 .treeinfo 和 .discinfo 檔
將RHEL 8.0 Binary DVD.iso映像文件的內容複製到本地安裝的分區時,“*”在 cp <path>/\* <mounted partition>/dir 命令無法複製 .treeinfo 和 .discinfo 文件,這是成功安裝所必需的。因此,不會加載BaseOS和AppStream存儲庫,並且會在其中加載調試日誌消息 anaconda.log 文件是唯一的問題記錄。
要解決此問題,請複制缺失的內容 .treeinfo 和 .discinfo 文件到分區。
(BZ#1692746)
7.2. 核心 (機器翻譯)
該 i40iw 模塊在啟動時不會自動加載
由於許多i40e網卡不支持iWarp和 i40iw 模塊不完全支持掛起/恢復,默認情況下不會自動加載此模塊以確保掛起/恢復正常工作。要解決此問題,請手動編輯 /lib/udev/rules.d/90-rdma-hw-modules.rules 文件以啟用自動加載 i40iw。
另請注意,如果在同一台計算機上安裝了另一台帶有i40e設備的RDMA設備,則非i40e RDMA設備會觸發 RDMA service,加載所有已啟用的RDMA堆棧模塊,包括 i40iw 模塊。
(BZ#1623712)
連接許多設備時,系統有時會無響應
當Red Hat Enterprise Linux 8配置大量設備時,系統控制台上會出現大量控制台消息。例如,當存在大量邏輯單元號(LUN)時,會發生這種情況,每個LUN都有多條路徑。除了內核正在進行的其他工作之外,大量的控制台消息可能會導致內核監視程序強制內核出現緊急情況,因為內核似乎已掛起。
由於掃描在引導週期的早期發生,因此在連接許多設備時系統無響應。這通常發生在啟動時。
如果 kdump 在啟動後的設備掃描事件期間在您的計算機上啟用,硬鎖定會導致捕獲a vmcore 圖片。
若要解決此問題,請增加看門狗鎖定計時器。為此,請添加 watchdog_thresh=N 內核命令行的選項。更換 N 用秒數:
-
如果您的設備少於一千台,請使用
30。 -
如果您有超過一千台設備,請使用
60。
對於存儲,設備的數量是到所有LUN的路徑數量:通常是數量 /dev/sd* 設備。
應用解決方法後,系統在配置大量設備時不再無響應。
(BZ#1598448)
KSM有時會忽略NUMA記憶政治
當使用“merge_across_nodes = 1”參數啟用內核共享內存(KSM)功能時,KSM忽略由mbind()函數設置的內存策略,並可能將頁面從某些內存區域合併到非統一內存訪問(NUMA)節點與政策不符。
要解決此問題,請禁用KSM或將merge_across_nodes參數設置為“0”(如果使用與QEMU綁定的NUMA內存)。因此,為KVM VM配置的NUMA內存策略將按預期工作。
(BZ#1153521)
7.3. 軟件管理 (機器翻譯)
運行 yum list 在非root用戶的原因下 YUM 緊急
什麼時候跑 yum list 在非root用戶之後的命令 libdnf 包已更新, YUM 可以意外終止。如果您遇到此錯誤,請運行 yum list 在root下解決問題。結果,後續嘗試運行 yum list 在非root用戶下不再導致 YUM 崩潰。
(BZ#1642458)
該 yum(8) 手冊錯誤地提到了 yum module profile 命令
該 yum(8) 手冊頁錯誤地指出了 YUM 包管理工具包括 yum module profile 命令提供有關模塊配置文件的詳細信但是,此命令不再可用,使用時, YUM 顯示有關無效命令的錯誤消息。有關模塊配置文件的詳細信息,請使用新的 yum module info --profile 而命令。
(BZ#1622580)
yum-plugin-aliases 當前不可用
該 yum-plugin-aliases 包,提供 alias 用於添加自定義yum別名的命令目前不可用。因此,目前無法使用別名。
(BZ#1647760)
yum-plugin-changelog 當前不可用
該 yum-plugin-changelog package,它允許在包更新之前和之後查看包更改日誌,目前無法使用。
(BZ#1581191)
7.4. 基建服務 (機器翻譯)
調諧 不設置內核啟動命令行參數
該 調諧 工具不支持默認啟用的引導加載程序規範(BLS)。所以, 調諧 沒有設置某些內核引導命令行參數,這會導致一些問題,例如性能下降或CPU內核未被隔離。若要解決此問題,禁用BLS並重新啟動 調諧。
- 安裝 骯髒 包。
從中刪除以下行
/etc/default/grub文件:GRUB_ENABLE_BLSCFG=true
重新生成
grub2.cfg通過運行非EFI系統來運行文件:grub2-mkconfig -o /etc/grub2.cfg
或EFI系統:
grub2-mkconfig -o /etc/grub2-efi.cfg
重新開始 調諧 通過運行:
systemctl重啟調整
結果是, 調諧 按預期設置內核引導參數。
(BZ#1576435)
7.5. 外殼和命令行工具 (機器翻譯)
Python 綁定的 net-snmp 包不可用
該 Net-SNMP 工具套件不提供綁定 Python 3, ,這是默認值 Python 在RHEL 8中實現。所以, python-net-snmp, ,python2-net-snmp, , 要么 python3-net-snmp RHEL 8中不提供包。
(BZ#1584510)
7.6. 動態編程語言,Web和數據庫服務器 (機器翻譯)
數據庫服務器不能並行安裝
該 mariadb 和 mysql 由於RPM軟件包衝突,因此無法在RHEL 8.0中並行安裝模塊。
按照設計,不可能並行安裝同一模塊的多個版本(流)。例如,您只需要從中選擇一個可用的流 postgresql 模塊,或者 10 (默認)或 9.6。RHEL 6和RHEL 7的Red Hat軟件集合中可以並行安裝組件。在RHEL 8中,可以在容器中使用不同版本的數據庫服務器。
(BZ#1566048)
問題在於 mod_cgid 記錄
如果 mod_cgid Apache httpd模塊在線程多處理模塊(MPM)下使用,這是RHEL 8中的默認情況,發生以下日誌記錄問題:
-
該
stderrCGI腳本的輸出沒有標準時間戳信息的前綴。 -
該
stderrCGI腳本的輸出未正確重定向到特定於的日誌文件VirtualHost, ,如果配置。
(BZ#1633224)
該 IO::Socket::SSL Perl模塊不支持TLS 1.3
在RHEL 8中實現了TLS 1.3協議的新功能,例如會話恢復或握手後身份驗證 OpenSSL 圖書館但不在 Net::SSLeay Perl模塊,因此在不可用 IO::Socket::SSL Perl模塊。因此,客戶端證書身份驗證可能會失敗,並且重新建立會話可能比使用TLS 1.2協議慢。
要解決此問題,請通過設置禁用TLS 1.3的使用 SSL_version 選項 !TLSv1_3 創建時的值 IO::Socket::SSL 賓語。
(BZ#1632600)
7.7. 身份管理 (機器翻譯)
KCM憑證緩存不適用於單個憑證緩存中的大量憑據
如果憑據緩存包含太多憑據,則Kerberos操作,例如 使用kinit, ,由於用於在數據之間傳輸數據的緩衝區的硬編碼限製而失敗 SSSD,KCM 組件和底層數據庫。
要解決此問題,請添加 ccache_storage = memory 選項 KCM 部分 /etc/sssd/sssd.conf 文件。這指示了 KCM 響應者只將憑證緩存存儲在內存中,而不是持久存儲。如果您這樣做,請重新啟動系統或 SSSD,KCM 清除憑證緩存。請注意,KCM可以處理高達64 kB的ccache。
(BZ#1448094)
衝突的超時值會阻止SSSD連接到服務器
與系統安全服務守護程序(SSSD)使用的故障轉移操作相關的某些默認超時值是衝突的。因此,為SSSD保留與單個服務器通信的超時值可防止SSSD在連接操作之前嘗試其他服務器作為整個超時。要解決此問題,請設置值 ldap_opt_timeout 超時參數高於的值 dns_resolver_timeout 參數,並設置值 dns_resolver_timeout 參數高於的值 dns_resolver_op_timeout 參數。
(BZ#1382750)
使用智能卡登錄IdM Web UI不起作用
當用戶嘗試使用存儲在其智能卡上的證書登錄Identity Management(IdM)Web UI時,系統安全服務守護程序(SSSD)D-Bus接口代碼使用不正確的回調來查看用戶。因此,查找崩潰。要解決此問題,請使用其他身份驗證方法。
(BZ#1642508)
IdM服務器在FIPS中不起作用
由於Tomcat的SSL連接器實現不完整,安裝了證書服務器的IdM服務器在啟用了FIPS模式的計算機上不起作用。
該 nuxwdog HSM環境中的服務失敗,需要安裝 keyutils 在非HSM環境中打包
該 nuxwdog 看門狗服務已集成到證書系統中。作為結果, nuxwdog 不再作為單獨的包提供。要使用監視程序服務,請安裝 pki-server 包。
請注意 nuxwdog 服務有以下已知問題:
-
該
nuxwdog如果使用硬件存儲模塊(HSM),則服務不起作用。對於此問題,沒有可用的解決方法。 -
在非HSM環境中,Red Hat Enterprise Linux 8.0不會自動安裝
keyutils包作為依賴。要手動安裝軟件包,請使用dnf install keyutils命令。
7.8. 編譯器和開發工具 (機器翻譯)
GCC生成的綜合函數會混淆SystemTap
GCC優化可以為其他函數的部分內聯副本生成合成函數。SystemTap和GDB等工具無法將這些合成函數與實際函數區分開來。因此,SystemTap可以在合成和實際功能入口點上放置探針,從而為單個實際函數調用註冊多個探針命中。
要解決此問題,必須使用諸如檢測遞歸和抑制與內聯部分函數相關的探針等措施來調整SystemTap腳本。例如,一個腳本
probe kernel.function("can_nice").call { }可以嘗試避免所描述的問題如下:
global in_can_nice%
probe kernel.function("can_nice").call {
in_can_nice[tid()] ++;
if (in_can_nice[tid()] > 1) { next }
/* code for real probe handler */
}
probe kernel.function("can_nice").return {
in_can_nice[tid()] --;
}請注意,此示例腳本未考慮所有可能的方案,例如錯過的kprobes或kretprobes,或者真正意圖的遞歸。
(BZ#1169184)
該 ltrace 工具不報告函數調用
由於改進了應用於所有RHEL組件的二進制加固,因此 ltrace 工具無法再檢測來自RHEL組件的二進製文件中的函數調用。作為結果, ltrace 輸出為空,因為在此類二進製文件上使用時,它不會報告任何檢測到的調用。目前沒有可用的解決方法。
作為一個說明, ltrace 可以正確地報告在沒有相應強化標誌的情況下構建的自定義二進製文
(BZ#1618748, BZ#1655368)
7.9. 文件系統和存儲 (機器翻譯)
無法使用。發現iSCSI目標 iscsiuio 包
Red Hat Enterprise Linux 8不允許並發訪問PCI寄存器區域。結果,一個 could not set host net params (err 29) 已設置錯誤,並且與發現門戶的連接失敗。要解決此問題,請設置內核參數 iomem=relaxed 在iSCSI卸載的內核命令行中。這特別涉及使用的任何卸載 bnx2i 驅動程序。因此,現在可以成功連接到發現門戶 iscsiuio 包現在可以正常工作。
(BZ#1626629)
XFS DAX掛載選項與共享的寫時復制數據擴展區不兼容
使用共享寫時復制數據擴展區功能格式化的XFS文件系統與 -o dax 掛載選項。因此,安裝這樣的文件系統 -o dax 失敗。
要解決此問題,請使用以下命令格式化文件系統 reflink=0 元數據選項,用於禁用共享的寫時復制數據范圍:
# mkfs.xfs -m reflink=0 block-device
因此,安裝文件系統 -o dax 很成功。
(BZ#1620330)
7.10. 聯網 (機器翻譯)
nftables 不支持多維IP集類型
該 nftables 包過濾框架不支持具有連接和間隔的集類型。因此,您無法使用多維IP集類型,例如 hash:net,port, ,與 nftables。
若要解決此問題,請使用 iptables 框架與 ipset 工具,如果您需要多維IP集類型。
(BZ#1593711)
7.11. 安全 (機器翻譯)
OpenSCAP rpmverifypackage 不能正常工作
該 chdir 和 chroot 系統調用由兩次調用 rpmverifypackage 探測。因此,在探測期間使用探測器時會發生錯誤 OpenSCAP 使用自定義開放漏洞和評估語言(OVAL)內容進行掃描。
若要解決此問題,請不要使用 rpmverifypackage_test OVAL測試您的內容或僅使用來自的內容 scap-security-guide 包在哪裡 rpmverifypackage_test 未使用。
(BZ#1646197)
libssh 不符合系統範圍的加密策略
該 libssh 庫不遵循系統範圍的加密策略設置。因此,當管理員使用更改加密策略級別時,不會更改支持的算法集 update-crypto-policies 命令。
要解決此問題,需要由使用的每個應用程序單獨設置廣告算法集 libssh。因此,當系統設置為LEGACY或FUTURE策略級別時,使用的應用程序 libssh 與...相比,表現不一致 OpenSSH。
(BZ#1646563)
SCAP Workbench 無法從定制的配置文件生成基於結果的補救措施
嘗試使用自定義配置文件生成基於結果的修復角色時,會發生以下錯誤 SCAP Workbench 工具:
Error generating remediation role .../remediation.sh: Exit code of oscap was 1: [output truncated]
若要解決此問題,請使用 oscap 命令與 --tailoring-file 選項。
(BZ#1640715)
OpenSCAP rpmverifyfile 不起作用
該 OpenSCAP 掃描程序無法在脫機模式下正確更改當前工作目錄,並且 fchdir 使用正確的參數調用函數 OpenSCAP rpmverifyfile 探測。因此,使用。掃描任意文件系統 oscap-chroot 如果命令失敗 rpmverifyfile_test 用於SCAP內容。結果是, oscap-chroot 在描述的場景中中止。
(BZ#1636431)
無法使用用於安全性和合規性掃描容器的實用程序
在Red Hat Enterprise Linux 7中 oscap-docker 實用程序可用於基於Atomic技術掃描Docker容器。在Red Hat Enterprise Linux 8中,與Docker-和Atomic相關 OpenSCAP 命令不可用。結果是, oscap-docker 或者,目前RHEL 8中沒有用於安全性和合規性掃描容器的等效實用程序。
(BZ#1642373)
章 8. 容器的顯著變化 (機器翻譯)
Red Hat Enterprise Linux(RHEL)8.0提供了一組容器映像。值得注意的變化包括:
Docker不包含在RHEL 8.0中。要使用容器,請使用 podman, ,buildah, ,skopeo, ,和 runc 工具。
有關這些工具以及在RHEL 8中使用容器的信息,請參閱 Building, running, and managing containers。
該 podman 工具已作為完全支持的功能發布。
該 podman 工具管理單個節點上的pod,容器映像和容器。它建立在 libpod library,它允許管理容器和容器組,稱為pods。
要學習如何使用 podman, ,見 Building, running, and managing containers。
在RHEL 8 GA中,紅帽通用基礎映像(UBI)是最新推出的。UBI取代了Red Hat先前提供的一些圖像,例如標準和最小RHEL基礎圖像。
與舊的Red Hat圖像不同,UBI可以自由再發行。這意味著它們可以在任何環境中使用並在任何地方共享。即使您不是Red Hat客戶,也可以使用它們。
有關UBI文檔,請參閱 Building, running, and managing containers。
-
在RHEL 8 GA中,可以使用其他容器映像來提供AppStream組件,容器映像隨之分發 紅帽軟件系列 在RHEL 7中。所有這些RHEL 8圖像都基於
ubi8基本形象。 - RHEL 8完全支持容器映像64位ARM體系結構的ARM。
-
該
rhel-tools容器已在RHEL 8中刪除。該sos和redhat-support-tool工具提供在support-tools容器。系統管理員還可以使用此映像作為構建系統工具容器映像的基礎。 對無根容器的支持在RHEL 8中作為技術預覽提供。
無根容器是由沒有管理權限的常規系統用戶創建和管理的容器。
附錄 A. 按組件列出的票證列表
| 零件 | 門票 |
|---|---|
|
| BZ#1334254, BZ#1358706, BZ#1693159 |
|
| BZ#1555013, BZ#1555012, BZ#1557035 |
|
| BZ#1559414 |
|
| BZ#1499442, BZ#1500792, BZ#1547908, BZ#1612060, BZ#1595415, BZ#1610806, BZ#1533904 |
|
| BZ#1616428 |
|
| BZ#1548302 |
|
| BZ#1588592 |
|
| BZ#1649582 |
|
| BZ#1494495, BZ#1616244 |
|
| BZ#1615599 |
|
| BZ#1590139 |
|
| BZ#1619993 |
|
| BZ#1591620 |
|
| BZ#1564540 |
|
| BZ#1643550 |
|
| BZ#1566048, BZ#1516741, BZ#1516728 |
|
| BZ#1622580, BZ#1647760, BZ#1581191 |
|
| BZ#1538645 |
|
| BZ#1509026 |
|
| BZ#1169184, BZ#1607227, BZ#1535774, BZ#1504980, BZ#1246444 |
|
| BZ#1589678 |
|
| BZ#1512004, BZ#1376834, BZ#1512010, BZ#1304448, BZ#1512009, BZ#1512006, BZ#1514839, BZ#1533608 |
|
| BZ#1512570 |
|
| BZ#1633224, BZ#1632754 |
|
| BZ#1640991 |
|
| BZ#1644030, BZ#1564596 |
|
| BZ#1626629, BZ#1582099 |
|
| BZ#1592977 |
|
| BZ#1598448, BZ#1643522, BZ#1485546, BZ#1562998, BZ#1485229, BZ#1494651, BZ#1485532, BZ#1494028, BZ#1563617, BZ#1485525, BZ#1261167, BZ#1562987, BZ#1273139, BZ#1559607, BZ#1401552, BZ#1638465, BZ#1598776, BZ#1503672, BZ#1664838, BZ#1596240, BZ#1534870, BZ#1501618, BZ#1153521, BZ#1494705, BZ#1620330, BZ#1505999 |
|
| BZ#1520209 |
|
| BZ#1534087, BZ#1639512 |
|
| BZ#1642458 |
|
| |
|
| BZ#1485241 |
|
| BZ#1618748, BZ#1584322 |
|
| BZ#1643553, BZ#1643543, BZ#1643545, BZ#1643547, BZ#1643549, BZ#1643562, BZ#1643576 |
|
| BZ#1637034 |
|
| BZ#1584510 |
|
| BZ#1592011, BZ#1639432 |
|
| BZ#1593711 |
|
| BZ#1545526 |
|
| BZ#1622118 |
|
| BZ#1645153 |
|
| |
|
| BZ#1570056 |
|
| BZ#1595626 |
|
| BZ#1646197, BZ#1636431, BZ#1642373, BZ#1618484, BZ#1614273, BZ#1618464 |
|
| BZ#1622511, BZ#1228088 |
|
| |
|
| BZ#1578891, BZ#1591308, BZ#1615420, BZ#1158816, BZ#1542288, BZ#1549535, BZ#1620190, BZ#1566430, BZ#1595829, BZ#1436217, BZ#1578955, BZ#1596050, BZ#1554310, BZ#1638852, BZ#1640477, BZ#1619620 |
|
| BZ#1632600 |
|
| BZ#1511131 |
|
| BZ#1565073, BZ#1623444, BZ#1566360, BZ#1394069, BZ#1669257,BZ#1656856, BZ#1673296 |
|
| BZ#1637872, BZ#1612061 |
|
| BZ#1508139, BZ#1559240, BZ#1497911, BZ#1578855, BZ#1651994, BZ#1621817, BZ#1508137, BZ#1519004 |
|
| BZ#1636338 |
|
| BZ#1613880, BZ#1542497, BZ#1614179, BZ#1619645 |
|
| BZ#1618528, BZ#1618518 |
|
| BZ#1640715 |
|
| BZ#1592244, BZ#1594111, BZ#1549772, BZ#1626446 |
|
| BZ#1591969 |
|
| BZ#1559836 |
|
| BZ#1448094, BZ#1382750, BZ#1642508, BZ#1620123 |
|
| BZ#1571415 |
|
| BZ#1660051 |
|
| BZ#1424966, BZ#1636564 |
|
| BZ#1576435, BZ#1565598 |
|
| BZ#1500481, BZ#1538009 |
|
| BZ#1599777, BZ#1643609 |
|
| BZ#1582538 |
| 其他 | BZ#1646563, BZ#1640697, BZ#1623712, BZ#1649404, BZ#1581198, BZ#1581990, BZ#1649497, BZ#1643294, BZ#1647612, BZ#1641015, BZ#1641032, BZ#1641004, BZ#1641034, BZ#1647110, BZ#1641007, BZ#1641029, BZ#1641022, BZ#1649493, BZ#1649922, BZ#1559616, BZ#1646541, BZ#1647725, BZ#1686057, BZ#1582530, BZ#1581496, BZ#1650618, BZ#1650675, BZ#1650701, JIRA:RHELPLAN-10347, JIRA:RHELPLAN-10439, JIRA:RHELPLAN-10440, JIRA:RHELPLAN-10442, JIRA:RHELPLAN-10443, JIRA:RHELPLAN-10438, JIRA:RHELPLAN-2878, JIRA:RHELPLAN-10355, JIRA:RHELPLAN-3010, JIRA:RHELPLAN-10352, JIRA:RHELPLAN-10353, JIRA:RHELPLAN-1212, JIRA:RHELPLAN-1473, JIRA:RHELPLAN-10445, JIRA:RHELPLAN-1499, JIRA:RHELPLAN-3001, JIRA:RHELPLAN-6746, JIRA:RHELPLAN-10354, JIRA:RHELPLAN-2896, JIRA:RHELPLAN-10304, JIRA:RHELPLAN-10628, JIRA:RHELPLAN-10441, JIRA:RHELPLAN-10444, JIRA:RHELPLAN-1842, JIRA:RHELPLAN-12764, JIRA:RHELPLAN-14607, BZ#1641014, BZ#1692746, BZ#1693775, BZ#1580387, BZ#1583620, BZ#1580430, BZ#1648843, BZ#1647908, BZ#1649891 |
