添加链接
link管理
链接快照平台
  • 输入网页链接,自动生成快照
  • 标签化管理网页链接
相关文章推荐
逼格高的板栗  ·  Azul Zulu Java ...·  5 天前    · 
玩足球的红薯  ·  API: Filters·  1 周前    · 
文质彬彬的自行车  ·  Comparing Starlink ...·  2 周前    · 
气宇轩昂的铁链  ·  Etcd - Storage ...·  3 周前    · 
含蓄的火腿肠  ·  德源科技·  3 周前    · 
痴情的感冒药  ·  ASMI P2 IP simulation ...·  2 周前    · 
俊秀的熊猫  ·  fatal error C1083: ...·  4 月前    · 
搜索

7.4 发行注记

download PDF
Red Hat Enterprise Linux 7

Red Hat Enterprise Linux 7.4 发行注记

摘要

本发行注记提供了在 Red Hat Enterprise Linux 7.4 和文档中已知问题改进和附加组件的高级信息,以及重要的程序错误修复、技术预览、已弃用的功能和其他详情。 Red Hat Enterprise Linux 次要发行本是单个安全、功能增强和程序错误修复勘误的聚合。 Red Hat Enterprise Linux 7.4 发行注记 文档描述了对 Red Hat Enterprise Linux 7 操作系统及其与该次发行版本相关的应用程序的主要更改,以及已知问题以及目前所有可用技术预览的完整列表。 与其它系统版本相比,Red Hat Enterprise Linux 7 的功能和限制包括在 https://access.redhat.com/articles/rhel-limits 中。 此发行版本提供的软件包列在 Red Hat Enterprise Linux 7 Package Manifest 中。 迁移规划指南中介绍了从 Red Hat Enterprise Linux 6 迁移的过程。 有关 Red Hat Enterprise Linux 生命周期的详情,请参考 https://access.redhat.com/support/policy/updates/errata/

第 1 章 概述

安全性
  • Red Hat Enterprise Linux 7.4 引入了对 Network Bound Disk Encryption(NBDE)的支持,它可让系统管理员在裸机机器上加密硬盘的 root 卷,而无需在系统重启时手动输入密码。 USBGuard 软件框架通过基于设备属性实施基本的白名单和黑名单功能来提供系统保护,从而免受入侵 USB 设备的保护。 OpenSSH 库更新包括在安全文件传送协议(SFTP)中恢复中断上传的功能,并增加了对使用 SHA-256 算法的新指纹类型的支持。这个 OpenSSH 版本还移除了对 SSH-1 协议的服务器端支持。 添加了多个新的 Linux Audit 功能,以便更轻松地管理、过滤审计系统记录的事件,从关键事件收集更多信息,以及解读大量记录。 OpenSC 库和实用程序添加了对通用访问卡(CAC)卡的支持,现在还提供 CoolKey 小程序功能。 OpenSSL 更新包括多个改进,比如对 Datagram Transport Layer Security(DTLS)版本 1.2 协议和 Application-Layer Protocol Negotiation(ALPN)的支持。 OpenSCAP 工具已经过 NIST 认证,可在监管环境中实现更轻松的采用。 被视为不安全的密码协议和算法已被弃用。但是,这个版本还引进了很多其他与加密相关的改进。如需更多信息,请参阅红帽客户门户网站中的 Red Hat Enterprise Linux 7.4 知识库文章 第 V 部分 “弃用的功能” 和 Enhanion the Operating System Security of the Cryptography Changes 。 有关安全增强的更多信息,请参阅 第 15 章 安全性
    Identity Management
    • 现在完全支持容器中的系统安全服务守护进程(SSSD)。Identity Management(IdM)服务器容器作为技术预览提供。 用户现在可以在启用了 FIPS 模式的系统中安装新的身份管理服务器、副本和客户端。 引进了与智能卡验证相关的几个改进。 有关 IdM 中更改的详情,请参考 第 5 章 认证和互操作性 。有关与 IdM 相关的弃用功能的详情,请参考 第 V 部分 “弃用的功能”
      Networking
      • NetworkManager 支持路由的额外功能,启用 Media Access Control Security(MACsec)技术,并现在可以处理非受管设备。 改进了内核通用路由封装(GRE)隧道。 如需了解更多网络功能,请参阅 第 14 章 Networking 。 NVM-Express 内核驱动程序添加了对 NVMe Over Fabric 的支持,这提高了在以太网或 Infiniband fabric 基础架构上访问位于数据中心的高性能 NVMe 存储设备时的灵活性。 有关内核的其他更改,请参阅 第 12 章 内核
        存储和文件系统
        • LVM 提供对 RAID 接管的完全支持,允许用户将一个 RAID 逻辑卷从一个 RAID 级别转换成另一个 RAID 级别,对于 RAID reshaping,允许用户重塑属性,如 RAID 算法、条状大小或镜像数。 现在,当您在 Docker 中使用 OverlayFS 时,您可以为容器启用 SELinux 支持。 现在,当 Red Hat Enterprise Linux 客户端访问时会完全支持使用 RDMA(NFSoRDMA)服务器。 如需了解对文件系统的改进,请参阅 第 17 章 Storage 的其他与存储相关的功能和 第 9 章 文件系统 Performance Co-Pilot (PCP)应用程序已被改进,以支持新的客户端工具,如 pcp2influxdb pcp-mpstat pcp-pidstat 。另外,各种 Performance Co-Pilot 分析工具提供了多个子系统的新 PCP 性能指标。 有关对各种工具更新的详情请参考 第 7 章 编译器和工具 。 Red Hat Enterprise Linux 7.4 引入了对以下功能的完整支持: clufter 是一个转换和分析集群配置格式的工具 Pacemaker 集群中用于管理扩展集群的仲裁设备(QDevice) Booth 集群票据管理器 有关这个版本中引入的高可用性功能的更多信息,请参阅 第 6 章 集群 。 Red Hat Enterprise Linux 7 客户机虚拟机现在支持 Elastic Network Adapter(ENA),从而在 Amazon Web Services(AWS)云上运行时提供增强的网络功能。 有关虚拟化的改进,请参阅 第 19 章 虚拟化
          管理和自动化

第 2 章 构架

Red Hat Enterprise Linux 7.4 带有内核版本 3.10.0-693,它支持以下构架: [1] 64 位 AMD 64 位 Intel IBM POWER7+ 和 POWER8(big endian) [2] IBM POWER8 (little endian) [3] IBM z 系统 [4] 请注意,只有 64 位硬件支持 Red Hat Enterprise Linux 7.4 安装。Red Hat Enterprise Linux 7.4 可以作为虚拟机运行 32 位的操作系统,包括以前的 Red Hat Enterprise Linux 版本。 目前,Red Hat Enterprise Linux 7.4(big endian)作为 KVM 客户机在 Red Hat Enterprise Virtualization for Power 和 PowerVM 上被支持。 Red Hat Enterprise Linux 7.4(little endian)目前作为 KVM 客户机在 Red Hat Enterprise Virtualization for Power、on PowerVM 和 PowerNV(裸机)上被支持。 请注意,Red Hat Enterprise Linux 7.4 支持 IBM zEnterprise 196 硬件或更新;IBM z10 Systems 大型机系统不再被支持,且不会引导 Red Hat Enterprise Linux 7.4。

第 3 章 对外部内核参数的重要更改

本章为系统管理员提供了与 Red Hat Enterprise Linux 7.4 附带的内核有显著变化的总结。这些更改包括添加或更新的 proc 条目、 sysctl sysfs 默认值、引导参数、内核配置选项或任何可见的行为更改。

更新了 /proc/sys/kernel 条目

hung_task_panic
在检测到无响应任务时控制内核的行为。如果启用了 CONFIG_DETECT_HUNG_TASK ,就会发生这个文件。 格式:{ "0" | "1" } 0 - 继续操作。默认行为。 1 - 立即 panic。
hung_task_check_count
提供所检查的任务数上限。如果启用了 CONFIG_DETECT_HUNG_TASK ,就会发生这个文件。
hung_task_timeout_secs
检查间隔。报告警告,如果 D 状态的任务没有调度时间超过这个值的时间。如果启用了 CONFIG_DETECT_HUNG_TASK ,就会发生这个文件。 0 - 无限超时 - 不检查操作。
hung_task_warning
提供检查间隔期间报告的最大警告数。达到这个值时,不会报告更多警告。如果启用了 CONFIG_DETECT_HUNG_TASK ,就会发生这个文件。 -1 - 报告无限警告数。
panic_on_rcu_stall
当设置为 1 时,在 RCU 停止检测信息后调用 panic()函数。这可用于定义 RCU 使用 vmcore 的根本原因。 0 - 当 RCU 停止发生时不会 panic。默认行为。 1 - 打印 RCU 停止信息后出现 panic。

更新了 /proc/sys/user 条目

您可以使用 /proc/sys/user 目录中的文件覆盖命名空间数量以及每个用户命名空间限制的其他对象的默认限制。这些限制的目的是停止出现故障并尝试创建大量对象的程序。这些限制的默认值会被调整,以便正常操作中的任何程序都无法访问它们。 每个用户命名空间对象的创建均负责创建对象的用户命名空间中的用户,并在该用户命名空间中的每个用户限制下被验证。在用户命名空间中进行创建此类对象,同时也负责创建用户命名空间的所有用户。 这个创建的对象的递归计数可确保创建用户命名空间不允许用户超过其当前限制。 /proc/sys/user 中更新的文件有:
max_cgroup_namespaces
当前用户命名空间中的任何用户可以创建的控制组群命名空间的最大数量。
max_ipc_namespaces
当前用户命名空间中的任何用户可以创建的进程间通信命名空间的最大数量。
max_mnt_namespaces
当前用户命名空间中的任何用户可以创建的挂载命名空间的最大数量。
max_net_namespaces
当前用户命名空间中的任何用户可以创建的网络命名空间的最大数量。
max_pid_namespaces
当前用户命名空间中的任何用户可以创建的最大进程 ID 命名空间数。
max_user_namespaces
当前用户命名空间中的任何用户可以创建的用户 ID 命名空间的最大数量。
max_uts_namespaces
当前用户命名空间中的任何用户可以创建的 UNIX 时间共享系统(UTS)命名空间的最大数量。

内核参数

acpi_force_table_verification [HW,ACPI]
在早期阶段启用表 checksum 验证。默认情况下,因为早期映射大小限制,在 32 位 AMD 和 Intel 构架中被禁用。
acpi_no_auto_ssdt [HW,ACPI]
禁用自动加载次要系统描述表(SSDT)。
acpi_no_static_ssdt [HW,ACPI]
禁止在早期引导时安装静态 SSDT。默认情况下,根磁盘系统描述表(RSDT)或 eXtended System Descriptor Table(XSDT)中包含的 SSDT 会被自动安装,并显示在 /sys/firmware/acpi/tables 目录中。 这个选项关闭这个功能。指定这个选项不会影响将 SSDT 表安装到 /sys/firmware/acpi/tables/dynamic 目录的动态表安装。
irqaffinity= [SMP]
使用以下格式设置默认 irq 关联性掩码: 格式: <cpu number>,..., <cpu number> <cpu number>-<cpu number> 您可以以升序或组合使用正范围。 <cpu number>,...,<cpu number>-<cpu number>
nokaslr [KNL]]
禁止在早期引导时安装静态 SSDT。默认情况下,自动安装 RSDT 或 XSDT 中的 SSDT,它们会出现在 /sys/firmware/acpi/tables 目录中。 如果设置了 CONFIG_RANDOMIZE_BASE ,则禁用内核和模块偏移地址 SpaceLayout Randomization(ASLR)。
nohibernate
禁用休眠和恢复。
crash_kexec_post_notifiers
运行 panic-notifiers 和 dump kmsg 后运行 kdump
[PCI] hpbussize=nn
在热插拔桥下方为总线提供最少的附加总线号。默认为 1。
pcie_port_pm=[PCIE]
PCIe 端口电源管理处理: 格式:{ "off" | "force" } off - 禁用所有 PCIe 端口的电源管理。 1 - 启用所有 PCIe 端口的电源管理。
sunrpc.svc_rpc_per_connection_limit=[NFS,SUNRPC]
将服务器的请求数量限制为与单一连接并行处理。默认值为 0(无限制)。

部分 I. 新功能

这部分记录了 Red Hat Enterprise Linux 7.4 中的新功能及主要改进。

第 4 章 常规更新

从 Red Hat Enterprise Linux 6 原位升级到 Red Hat Enterprise Linux 7

原位(in-place)升级提供了一种通过替换现有操作系统将系统升级到 Red Hat Enterprise Linux 的新主版本的方法。要进行原位升级,请使用 Preupgrade Assistant ,它是一个在运行实际升级前检查系统升级问题的实用程序,同时还为 Red Hat Upgrade Tool 提供了额外的脚本。当您解决了 Preupgrade Assistant 报告的所有问题时,请使用 Red Hat Upgrade Tool 升级该系统。 有关流程和支持的场景的详情,请参考 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Migration_Planning_Guide/chap-Red_Hat_Enterprise_Linux-Migration_Planning_Guide-Upgrading.html https://access.redhat.com/solutions/637583 。 请注意, Preupgrade Assistant Red Hat Upgrade Tool 在 Red Hat Enterprise Linux 6 Extras 频道中提供,请参阅 https://access.redhat.com/support/policy/updates/extras 。(BZ#1432080)

cloud-init 移动到基本频道

从 Red Hat Enterprise Linux 7.4 开始, cloud-init 软件包及其依赖项已从 Red Hat Common channel 移到 Base 频道。 cloud-init 是一个使用环境提供的元数据处理系统的早期初始化的工具。它通常用于在云环境中配置启动的服务器,如 OpenStack 或 Amazon Web Services。请注意,自通过 Red Hat Common 频道提供的最新版本以来, cloud-init 软件包还没有更新。(BZ#1427280)

第 5 章 认证和互操作性

容器中的 SSSD 现在被完全支持

rhel7/sssd 容器镜像(提供系统安全服务守护进程(SSSD))不再是一项技术预览功能。现在,镜像被完全支持。请注意, rhel7/ipa-server 容器镜像仍是一个技术预览功能。 详情请查看 https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/using_containerized_identity_management_services 。(BZ#1467260)

身份管理现在支持 FIPS

在这个版本中,身份管理(IdM)支持联邦信息处理标准(FIPS)。这可让您在必须满足 FIPS 条件的环境中运行 IdM。要运行启用了 FIPS 模式的 IdM,您必须使用启用了 FIPS 模式的 Red Hat Enterprise Linux 7.4 设置 IdM 环境中的所有服务器。 请注意,您无法: 在以前安装的带有 FIPS 模式的现有 IdM 服务器中启用 FIPS 模式。 当使用禁用了 FIPS 模式的现有 IdM 服务器时,以 FIPS 模式安装副本。 详情请查看 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#prerequisites 。(BZ# 1125174 )

SSSD 支持用户在使用智能卡进行身份验证时获取 Kerberos ticket

系统安全服务守护进程(SSSD)现在支持 Kerberos PKINIT 预身份验证机制。当使用在 Identity Management(IdM)域注册的桌面客户端系统验证到智能卡时,如果身份验证成功,用户会收到有效的 Kerberos ticket-granting ticket(TGT)。然后,用户可以使用 TGT 从客户端系统进行进一步的单点登录(SSO)身份验证。 详情请查看 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/sc-pkinit-auth.html 。(BZ# 1200767 , BZ# 1405075 )

SSSD 支持使用相同的智能卡证书登录到不同的用户帐户

在以前的版本中,系统安全服务守护进程(SSSD)需要每个证书被唯一标识到单个用户。当使用智能卡验证时,具有多个帐户的用户无法使用相同的智能卡证书登录到所有这些帐户。例如,拥有个人帐户和功能帐户(如数据库管理员帐户)的用户只能登录到个人帐户。 在这个版本中,SSSD 不再需要将证书唯一标识到单个用户。现在,用户可以使用单个智能卡证书登录到不同的帐户。 详情请查看 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/smart-cards.html 。(BZ# 1340711 , BZ# 1402959 )

IdM Web UI 启用智能卡登录

新软件包: keycloak-httpd-client-install

keycloak-httpd-client-install 软件包提供各种库和工具,在注册作为 Red Hat Single Sign-On(RH-SSO,也称为 Keycloak)的 Identity Provider(IdP)客户端时,可以自动化和简化 Apache httpd 验证模块的配置。 有关 RH-SSO 的详情,请参考 https://access.redhat.com/products/red-hat-single-sign-on 。 作为这个更新的一部分,在 Red Hat Enterprise Linux 中添加了新的依赖软件包: python-requests-oauthlib 软件包:此软件包提供对 python-requests 软件包的 OAuth 库支持,该软件包可让 python-requests 使用 OAuth 进行身份验证。 python-oauthlib 软件包:此软件包是一个 Python 库,提供 OAuth 身份验证消息的创建和消耗。它旨在与提供消息传输的工具一起使用。(BZ# 1401781 , BZ#1401783, BZ#1401784)

新的 Kerberos 凭证缓存类型:KCM

在这个版本中,添加了名为 kcm 的新 SSSD 服务。该服务包含在 sssd-kcm 子软件包中。 安装 kcm 服务后,您可以将 Kerberos 库配置为使用名为 KCM 的新凭据缓存类型。当配置了 KCM 凭证缓存类型时, sssd-kcm 服务管理凭证。 KCM 凭证缓存类型非常适合容器化环境: 使用 KCM 时,您可以根据需求在容器间共享凭证缓存,基于 kcm 服务侦听的 UNIX 套接字。 kcm 服务在内核之外的用户空间中运行,这与 RHEL 默认使用的 KEYRING 凭证缓存类型不同。使用 KCM 时,您只能在所选容器中运行 kcm 服务。使用 KEYRING 时,所有容器共享凭据缓存,因为它们共享内核。 此外,KCM 凭据缓存类型支持缓存集合,这与 FILE ccache 类型不同。 详情请查看 sssd-kcm(8)man page。(BZ# 1396012 )

AD 用户可以登录到 Web UI,以访问其自助服务页面

在以前的版本中,Active Directory(AD)用户只能从命令行使用 kinit 程序进行验证。在这个版本中,AD 用户也可以登录到 Identity Management(IdM)Web UI。请注意,IdM 管理员必须在用户登录前为 AD 用户创建 ID 覆盖。 因此,AD 用户可以通过 IdM Web UI 访问其自助服务页面。自助服务页面显示 AD 用户 ID 覆盖的信息。 详情请查看 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/using-the-ui.html#ad-users-idm-web-ui 。(BZ# 872671 )

SSSD 在 SSSD 服务器模式中启用配置 AD 子域

在以前的版本中,System Security Services Daemon(SSSD)会自动配置可信的 Active Directory(AD)域。在这个版本中,SSSD 支持以与加入域相同的方法为可信 AD 域配置某些参数。 因此,您可以为可信域设置独立设置,如 SSSD 通信的域控制器。要做到这一点,请在 /etc/sssd/sssd.conf 文件中创建一个部分,其名称如下: [domain/main_domain/trusted_domain] 例如,如果主 IdM 域名为 ipa.com,并且可信 AD 域名为 ad.com,则对应的部分名称为: [domain/ipa.com/ad.com] (BZ#1214491)

SSSD 支持使用 AD 环境中的短名称进行用户和组群查找和验证

在以前的版本中,System Security Services Daemon(SSSD)在没有域组件的情况下支持的用户名(也称为短名称)仅在守护进程加入到独立域时用于用户和组群。现在,您可以在这些环境中的所有 SSSD 域中使用短名称用于这些目的: 在客户端上,加入 Active Directory(AD) 在 Identity Management(IdM)部署中,信任与 AD 林的关系 所有命令的输出格式始终为完全限定的,即使在使用短名称时也是如此。当您以下列一种方式设置域的解析顺序列表后(按首选顺序列出)后,默认启用此功能: 本地,通过在 /etc/sssd/sssd.conf 文件的 [sssd] 部分中使用 domain_resolution_order 选项配置列表 使用 ID 视图 在 IdM 配置中全局使用 要禁用该功能,请在 /etc/sssd/sssd.conf 文件的 [domain/example.com] 部分中将 use_fully_qualified_names 选项设置为 True 。(BZ#1330196)

SSSD 在没有 UID 或 SID 的设置中支持用户和组群解析、验证和授权

在传统的系统安全服务守护进程(SSSD)部署中,用户和组设置了 POSIX 属性,或者 SSSD 可以根据 Windows 安全标识符(SID)解析用户和组。 在这个版本中,在使用 LDAP 作为身份提供程序的设置中,SSSD 现在支持以下功能,即使 LDAP 目录中没有包括 UID 或 SID: 通过 D-Bus 接口用户和组群解析 通过插件验证模块(PAM)接口(BZ# 1425891 )进行身份验证和授权

SSSD 引入了 sssctl user-checks 命令,该命令在单个操作中检查基本的 SSSD 功能

sssctl 程序现在包含一个名为 user-checks 的新命令。 sssctl user-checks 命令有助于调试使用系统安全服务守护进程(SSSD)作为用户查找、身份验证和授权的后端的问题。 sssctl user-checks [USER_NAME] 命令显示通过 Name Service Switch(NSS)和 D-Bus 接口的 InfoPipe 响应程序可用的用户数据。显示的数据显示用户是否被授权使用 system-auth 可插拔验证模块(PAM)服务进行登录。 sssctl user-checks 检查验证或不同的 PAM 服务接受的附加选项。 如需有关 sssctl user-checks 的详细信息,请使用 sssctl user-checks --help 命令。(BZ#1414023)

支持 secret 作为服务

在这个版本中,在系统安全服务守护进程(SSSD)中添加了名为 secret 的响应程序。此响应器允许应用程序使用 Custodia API 通过 UNIX 套接字与 SSSD 通信。这可让 SSSD 将 secret 存储在其本地数据库中,或将其转发到远程 Custodia 服务器。(BZ# 1311056 )

IdM 在外部 DNS 服务器中启用 IdM DNS 记录的半自动升级

为了简化在外部 DNS 服务器上更新身份管理(IdM)DNS 记录,IdM 引入了 ipa dns-update-system-records --dry-run --out [file] 命令。命令以 nsupdate 实用程序接受的格式生成记录列表。 您可以使用通过 Transaction Signature(TSIG)协议保护的标准动态 DNS 更新机制或 TSIG(GSS-TSIG)协议的 GSS 算法来使用生成的文件来更新外部 DNS 服务器上的记录。 详情请查看 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/dns-updates-external.html 。(BZ# 1409628 )

IdM 现在生成 SHA-256 证书和密钥密钥指纹

在以前的版本中,在为证书和公钥生成指纹时,身份管理(IdM)使用 MD5 哈希算法。为提高安全性,IdM 现在在上述场景中使用 SHA-256 算法。(BZ# 1444937 )

IdM 支持将智能卡证书链接到用户帐户的灵活映射机制

在以前的版本中,查找与 Identity Management(IdM)中与特定智能卡对应的用户帐户的唯一方法是以 Base64 编码的 DER 字符串提供整个智能卡证书。在这个版本中,可以通过指定智能卡证书的属性而不是仅通过证书字符串本身来查找用户帐户。例如,管理员可以定义匹配和映射规则,将特定证书颁发机构(CA)发布的智能卡证书链接到 IdM 中的用户帐户。 详情请查看 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/smart-cards.html#sc-one-card-multiple-accounts-links 。(BZ# 1402959 )

新的用户空间工具启用更方便的 LMDB 调试

在这个版本中,在 /usr/libexec/openldap/ 目录中引入了 mdb_copy mdb_dump mdb_load mdb_stat 工具。此外,还在 man/man1 子目录中包含相关的 man page。使用新工具调试与 Lightning Memory-Mapped Database(LMDB)后端相关的问题。(BZ#1428740)

openldap rebase 到版本 2.4.44

openldap 软件包已升级到上游版本 2.4.44,它提供很多程序错误修复和增强。特别是,这个版本修复了许多复制和 Lightning Memory-Mapped Database(LMDB)错误。(BZ#1386365)

改进了身份管理中服务主体查询的 DNS 查找和稳健性的安全性

在发出 ticket-granting 服务器(TGS)请求时,Kerberos 客户端库不再尝试规范主机名。这个功能改进了: 安全性,因为之前在规范过程中需要的 DNS 查找不再执行 在更复杂的 DNS 环境中实现服务主体查找的稳健性,如云或容器化应用程序 确保在主机和服务主体中指定正确的完全限定域名(FQDN)。由于此行为有这种变化,Kerberos 不会试图使用主体(如短名称)解析任何其他形式的名称。(BZ# 1404750 )

samba rebase 到版本 4.6.2

samba 软件包已升级到 4.6.2 版本,它提供很多程序错误修复和增强: Samba 现在会在 winbindd 服务启动前验证 ID 映射配置。如果配置无效,则 winbindd 无法启动。使用 testparm 实用程序验证您的 /etc/samba/smb.conf 文件。详情请查看 smb.conf man page 中的 IDENTITY MAPPING CONSIDERATIONS 部分。 从 Windows 10 上传打印机驱动程序现在可以正常工作。 在以前的版本中, rpc 服务器动态端口范围 参数的默认值是 1024-1300 。在这个版本中,默认值被改为 49152-65535 ,现在与 Windows Server 2008 及之后的版本中使用的范围匹配。如果需要,更新您的防火墙规则。 net ads unregister 命令现在可以在离开域时从 Active Directory DNS 区域中删除主机的 DNS 条目。 现在,在 smb2 租期参数中默认启用 SMB 2.1 租期 。SMB leasing 使客户端能够积极缓存文件。 为提高安全性,现在默认禁用 NT LAN Manager 版本 1(NTLMv1)协议。如果您需要不安全的 NTLMv1 协议,请将 /etc/samba/smb.conf 文件中的 ntlm auth 参数设置为 yes event 子命令已添加到 ctdb 实用程序中,用于与事件脚本交互。 idmap_hash ID 映射后端将在以后的 Samba 版本中删除。 弃用 的唯一用户 和用户名 参数已被删除。 当 smbd 、nmbd 或 winbind 守护进程启动时,Samba 会自动更新其 tdb 数据库文件。 在启动 Samba 前备份数据库文件。请注意,红帽不支持降级 tdb 数据库文件。 有关显著变化的更多信息,请在更新前阅读上游发行注记。(BZ#1391954)

authconfig 可以启用 SSSD 来使用智能卡验证用户

这个新功能允许 authconfig 命令配置系统安全服务守护进程(SSSD)以使用智能卡验证用户,例如: # authconfig --enablesssd --enablesssdauth --enablesmartcard --smartcardmodule=sssd --smartcardaction=0 --updateall 在这个版本中,智能卡验证可以在没有安装 pam_pkcs11 的系统中执行。但是,如果安装了 pam_pkcs11 ,则忽略 --smartcardmodule=sssd 选项。相反, /etc/pam_pkcs11/pam_pkcs11.conf 中定义的第一个 pkcs11_module 被用作默认。 详情请查看 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/auth-idm-client-sc.html 。(BZ# 1378943 )

authconfig 现在可以启用帐户锁定

在这个版本中,为 authconfig 命令添加了 --enablefaillock 选项。启用 选项时,配置的帐户将在 15 分钟间隔内连续 4 个登录尝试后锁定 20 分钟。(BZ#1334449)

提高了 IdM 服务器的性能

Identity Management(IdM)服务器在许多常见工作流和设置之间性能较高。这些改进包括: 通过减少 IdM 服务器管理框架中的往返情况,提高了 Vault 性能。 IdM 服务器管理框架经过调整,可缩短内部通信和验证所需的时间。 使用 nunc-stans 框架使得 Directory 服务器连接管理更具扩展性。 在新安装中,Directory 服务器现在根据服务器的硬件资源自动调整数据库条目缓存和线程数量。 使用大型或嵌套组时, memberOf 插件性能有所提高。(BZ# 1395940 , BZ# 1425906 , BZ# 1400653 )

IdM web UI 中的默认会话过期周期已改变

在以前的版本中,当用户使用用户名和密码登录到 Identity Management(IdM)web UI 时,web UI 会在 20 分钟不活跃后自动将用户注销。在这个版本中,默认会话长度与在登录操作过程中获得的 Kerberos 票据的过期期限相同。要更改默认会话长度,请使用 /etc/ipa/default.conf 文件中的 kinit_lifetime 选项,然后重新启动 httpd 服务。(BZ# 1459153 )

dbmon.sh 脚本现在使用实例名称来连接 Directory 服务器实例

dbmon.sh shell 脚本可让您监控 Directory Server 数据库和条目缓存使用情况。在这个版本中,该脚本不再使用 HOST PORT 环境变量。为了支持安全绑定,脚本现在从 SERVID 环境变量读取 Directory Server 实例名称,并在服务器需要安全连接时检索主机名、端口和信息。例如,要监控 slapd-localhost 实例,请输入: SERVID=slapd-localhost INCR=1 BINDDN="cn=Directory Manager" BINDPW="password" dbmon.sh (BZ# 1394000 )

目录服务器现在使用 SSHA_512 密码存储方案作为默认方案

在以前的版本中,Directory 服务器使用弱 160 位 salted 安全哈希算法(SSHA)作为 passwordStorageScheme nsslapd-rootpwstoragescheme 参数中的默认密码存储方案。 为提高安全性,这两个参数的默认值都改为强大的 512 位 SSHA 方案(SSHA_512)。 使用新默认: 执行新目录服务器安装时。 如果没有设置 passwordStorageScheme 参数,并更新存储在 userPassword 属性中的密码。 当未设置 nsslapd-rootpw storagescheme 参数时,您将更新 nsslapd-rootpw 属性中设置的 Directory Server Manager 密码。(BZ# 1425907 )

目录服务器现在使用 tcmalloc memory allocator

Red Hat Directory Server 现在使用 tcmalloc 内存分配器。以前使用的标准 glibc Allocator 需要更多内存,在某些情况下,服务器可能会耗尽内存。使用 tcmalloc memory allocator 时,Directory 服务器现在需要较少的内存,且性能会提高。(BZ# 1426275 )

目录服务器现在使用 nunc-stans 框架

nunc-stans 事件框架已集成到目录服务器中。在以前的版本中,当将许多同时传入的连接时与 Directory Server 建立时,性能可能会较慢。在这个版本中,服务器可以在不降低性能下降的情况下处理大量连接。(BZ# 1426278 , BZ# 1206301 , BZ# 1425906 )

提高了 Directory Server memberOf 插件的性能

在以前的版本中,当使用大型或嵌套组时,插件操作可能需要很长时间。在这个版本中,Red Hat Directory Server memberOf 插件的性能有所提高。现在, memberOf 插件会添加并更快地从组中删除用户。(BZ# 1426283 )

目录服务器现在在错误日志文件中记录严重性级别

目录服务器现在在 /var/log/dirsrv/slapd-instance_name/errors 日志文件中记录严重性级别。在以前的版本中,很难区分错误日志文件中的条目的严重性。在这个版本中,管理员可以使用严重性级别来过滤错误日志。 详情请查看 Red Hat Directory Server Configuration、命令和文件参考中对应的部分: https://access.redhat.com/documentation/en-US/Red_Hat_Directory_Server/10/html/Configuration_Command_and_File_Reference/error-logs.html#error-logs-content (BZ# 1426289 )

目录服务器现在支持 PBKDF2_SHA256 密码存储方案

为提高安全性,这个更新将基于 256 位密码的密钥分隔功能 2(PBKDF2_SHA256)添加到目录服务器中支持的 password-storage 方案列表中。方案使用 30,000 迭代来应用 256 位安全哈希算法(SHA256)。 请注意,在版本 7.4 之前的 Red Hat Enterprise Linux 中的网络安全服务(NSS)数据库不支持 PBKDF2。因此,您不能在带有上一目录服务器版本的复制拓扑中使用这个密码方案。(BZ# 1436973 )

改进了 Directory 服务器的自动调整支持

在以前的版本中,您需要监控数据库并手动调整设置以提高性能。在这个版本中,Directory 服务器支持针对以下情况进行优化: 数据库和条目缓存 创建的线程数量 目录服务器根据服务器的硬件资源调整这些设置。 现在,如果您安装一个新的 Directory Server 实例,则会自动启用自动调整。在从早期版本升级的实例中,红帽建议启用自动调整。详情请查看: 数据库和条目缓存: https://access.redhat.com/documentation/en-US/Red_Hat_Directory_Server/10/html/Performance_Tuning_Guide/memoryusage.html#DB_and_entry_cache_RAM_usage 目录服务器线程 :https://access.redhat.com/documentation/en-US/Red_Hat_Directory_Server/10/html/Performance_Tuning_Guide/ds-threads (BZ# 14262 86)

新的 PKI 配置参数允许控制 TCP keepalive 选项

在这个版本中,在 CS.cfg 配置文件中添加了 tcp.keepAlive 参数。此参数接受布尔值,默认设置为 true 。使用此参数为 PKI 子系统创建的所有 LDAP 连接配置 TCP keepalive 选项。当证书需要很长时间且连接闲置过长时,这个选项非常有用。(BZ#1413132)

PKI Server 现在使用强加密创建 PKCS #12 文件

在生成 PKCS #12 文件时, pki pkcs12 命令以前使用 PKCS #12 弃用的键 derivation 功能(KDF)和 triple DES(3DES)算法。在这个版本中,命令使用基于密码的加密标准 2(PBES2)方案,并带有基于密码的身份验证功能 2(PBKDF2)和高级加密标准(AES)算法来加密私钥。因此,这个功能增强提高了安全性并符合通用标准认证要求。(BZ#1426754)

用于加密操作的 CC 兼容算法

通用标准要求使用已批准的算法进行加密和解密操作。这些算法在为认证颁发机构保护配置集中的 FCS_COP.1.1(1)中指定。这个版本修改 KRA 中的加密和解密,以使用批准的 AES 加密并在 secret 和密钥的传输和存储中嵌套算法。此更新在服务器和客户端软件中均需要更改。(BZ#1445535)

新的选项,允许在 TPS 接口中配置菜单项可见性

在以前的版本中,在令牌处理 系统 (TPS)用户界面下分组的菜单项根据用户角色进行静态决定。在某些情况下,显示的菜单项与用户实际访问的组件不匹配。在这个版本中,TPS 用户界面中的 System 菜单只根据 TPS 管理员的 target.configure.list 参数和 TPS 代理的 target.agent_approve.list 参数显示菜单项。这些参数可以在实例 CS.cfg 文件中修改,以匹配可访问的组件。(BZ#1391737)

添加了配置集组件,将证书 Subject Common Name 复制到 Subject Alternative Name 扩展

现在,当 DNS 名称只出现在 Subject Common Name(CN)字段中时,一些 TLS 库会警告或拒绝验证 DNS 名称,这是 RFC 2818 中弃用的实践。在这个版本中,添加了 CommonNameToSANDefault 配置集组件,它将 Subject Common Name 复制到 Subject Alternative Name(SAN)扩展中,并确保证书符合当前标准。(BZ# 1305993 )

在 LDIF 导入前删除 LDAP 条目的新选项

迁移 CA 时,如果 LDIF 导入前存在 LDAP 条目,则不会从 LDAP 导入重新创建该条目,从而导致缺少一些字段。因此,请求 ID 会显示为 undefined。在这个版本中,添加了一个选项,删除 pkispawn 进程末尾的签名证书的 LDAP 条目。然后会在后续的 LDIF 导入中重新创建此条目。现在,如果删除了签名条目并在 LDIF 导入中重新添加,请求 ID 和其他字段会正确显示。要添加的正确参数是(X 代表正在导入的签名证书的序列号,以十进制表示): pki_ca_signing_record_create=False pki_ca_signing_serial_number=X (BZ#1409946)

证书系统现在支持外部验证的用户

在以前的版本中,您需要在证书系统中创建用户和角色。在这个版本中,您可以将证书系统配置为接受外部身份提供程序验证的用户。另外,您还可以使用特定于域的授权访问控制列表(ACL)。因此,不再需要在证书系统中创建用户。(BZ# 1303683 )

证书系统现在支持启用和禁用证书和 CRL 发布

在此次更新之前,如果在证书颁发机构(CA)中启用了发布,证书系统会自动启用证书撤销列表(CRL)和证书发布。因此,在没有启用证书发布的服务器中,错误消息会被记录。证书系统已被改进,现在支持独立于 /var/lib/pki/<instance>/ca/conf/CS.cfg 文件中的启用和禁用证书和 CRL 发布。 要启用或禁用证书和 CRL 发布功能,请设置: ca.publish.enable = True|False 要只启用 CRL 发布,请设置: ca.publish.enable = True ca.publish.cert.enable = False 要只启用证书发布,请设置: ca.publish.enable = True ca.publish.crl.enable = False (BZ# 1325071 )

searchBase 配置选项已添加到 DirAclAuthz PKI Server 插件中

为了支持读取不同组授权访问控制列表(ACL),在 DirAclAuthz PKI 服务器插件中添加了 searchBase 配置选项。因此,您可以设置插件从中加载 ACL 的子树。(BZ# 1388622 )

为了提高性能,证书系统现在支持临时

在此次更新之前,证书系统密钥恢复代理(KRA)实例始终存储在 LDAP 后端中的 secret 的恢复和存储请求。如果多个代理必须批准请求,则需要此项来存储状态。但是,如果立即处理请求,且只有一个代理必须批准请求,则不需要存储状态。要提高性能,您现在可以在 /var/lib/pki/<instance>/kra/conf/CS.cfg 文件中设置 kra. ephemeralRequests=true 选项,使其不再将请求存储在 LDAP 后端中。(BZ# 1392068 )

PKI 部署配置文件中的部分标头不再区分大小写

PKI 部署配置文件中的部分标头(如 [Tomcat] )在之前区分大小写。这个行为会增加错误的机会,而无好处。从本发行版本起,配置文件中部分标头不区分大小写,减少了发生错误的机会。(BZ# 1447144 )

证书系统现在支持在启用了 FIPS 的 Red Hat Enterprise Linux 上使用 HSM 安装 CA

在安装证书系统证书颁发机构(CA)实例期间,安装程序需要重启该实例。在这个重启过程中,操作系统中的实例启用了联邦信息处理标准(FIPS)模式并使用硬件安全模块(HSM),需要连接到不安全的 HTTP 端口而不是 HTTPS 端口。在这个版本中,可以使用 HSM 在启用了 FIPS 的 Red Hat Enterprise Linux 上安装证书系统实例。(BZ# 1450143 )

CMC 请求现在为 AES 和 3DES 加密使用一个随机 IV

在这个版本中,PKI 服务器中的证书管理通过 CMS(CMC)请求在加密要存档的密钥时使用随机生成的初始化向量(IV)。在以前的版本中,在这种情况下,客户端和服务器代码使用固定 IV。CMC 客户端代码已被改进,因此,当为高级加密标准(AES)和 Triple Data Encryption Algorithm(3DES)进行加密时,使用随机 IVs 增加安全性。(BZ# 1458055 )

第 6 章 集群

clufter rebase 到版本 0.76.0 并被完全支持

clufter 软件包提供了一个转换和分析集群配置格式的工具。它们可用于协助从旧的堆栈配置迁移到利用 Pacemaker 的较新配置。以前作为技术预览提供的 clufter 工具现已获得全面支持。有关排除功能的详情,请查看 clu fter (1) man page 或 clufter -h 命令的输出。有关 排除 用途的示例,请参阅以下红帽知识库文章 :https://access.redhat.com/articles/2810031。 clufter 软件包已升级到上游版本 0.76.0,它提供了大量的程序错误修复和新功能。主要更新包括: 当使用 ccs2pcs* 系列命令将 CMAN + RGManager 特定配置转换为相应的 Pacemaker 配置(或 pcs 命令序列), clufter 工具不再拒绝转换完全有效的 lvm 资源代理配置。 当使用 ccs2pcs 系列命令将基于 CMAN 的配置转换为与 Pacemaker 堆栈类似的配置时,一些资源相关的配置位现在会被正确传播。 maximum number of failures before returning a failure to a status check 当使用 cib 2 pcs pcs2pcscmd family of clufter 命令生成 pcs 命令时,现在将正确完成的语法用于警报处理程序定义,其中(默认)配置更改行为现在被尊重。 在生成 pcs 命令时, clufter 工具现在支持生成 pcs 命令的首选功能,该命令只通过不同的更新方式更新配置,而不是推送整个配置的销售更新。同样, clufter 工具支持指示 pcs 工具配置用户权限(ACL)。为了在文档 schema 的各种主要版本之间工作,排除了获得内部需求格式升级的排除人员,对 pacemaker 的内部机学镜像。 同样, clufter 现在可以配置 捆绑包 功能。 在任何类似脚本的输出序列中,比如由 ccs2pcscmd pcs2pcscmd 系列生成的 clufter 命令生成的输出顺序,现在,预期 shell 解释器作为第一个注释行,因为操作系统也可以直接了解,以便阐明 Bash 而不是 mere POSIX shell。在过去的一些情况下,这可能会误导。 当 = 字符是在完成的顺序中指定选项值时, fter 的 Bash 完成文件将无法正常工作。 现在, clufter 工具可以正确地探测到终端的互动使用,以便提供更方便的输出表示,并为之前禁用的错误条件提供更好的诊断。(BZ# 1387424 , BZ# 1381522 , BZ# 1440876 , BZ# 1381531 , BZ# 1381565 )

支持 Pacemaker 集群中的仲裁设备

Red Hat Enterprise Linux 7.4 完全支持仲裁设备(以前作为技术预览提供)。此功能提供配置单独的仲裁设备(QDevice)的功能,该设备充当集群第三方仲裁设备。它的主要用途是允许集群保持比标准仲裁规则允许的更多的节点故障。我们推荐在具有偶数节点的集群中使用仲裁设备,并强烈建议在在双节点集群中使用制裁设备。有关配置仲裁设备的详情,请参考 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/ 。(BZ#1158805)

支持 Booth 集群票据管理器

Red Hat Enterprise Linux 7.4 对 Booth 集群票据管理器提供完全支持。此功能以前作为技术预览提供,允许您在单独的站点中配置通过分布式服务进行通信的多个高可用性集群,以协调管理资源。Booth 票据管理器可以为单独的票据提供共识决策过程,以确保指定资源一次只在一个站点中运行,并为其提供 ticket。有关使用 Booth ticket 管理器配置多站点集群的详情,请查看 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/ (BZ# 1302087 , BZ#1305049)

添加了对在 SBD 守护进程中使用共享存储的支持

Red Hat Enterprise Linux 7.4 支持使用带有共享块设备的 SBD(基于Storage 的 Death)守护进程支持。这样,除了之前支持的 watchdog 设备外,除了进行隔离之外,还启用了共享的 block-device。 fence-agents 软件包现在提供 fence_sbd 隔离代理,该代理需要使用 RHCS 风格的隔离代理触发和控制实际隔离。Pacemaker 远程节点不支持 SBD。(BZ# 1413951 )

完全支持 CTDB 资源代理

Red Hat Enterprise Linux 现在支持用于实施 Samba 部署的 CTDB 资源代理。(BZ# 1077888 )

High Availability 和 Resilient Storage 附加组件现在可用于 IBM POWER, little endian

Red Hat Enterprise Linux 7.4 添加了对 IBM POWER, little endian 架构的 High Availability 和 Resilient Storage Add-Ons 的支持。请注意,这个支持只适用于在 POWER8 服务器中运行的集群节点提供。(BZ# 1289662 , BZ# 1426651 )

pcs 现在提供设置带有加密 corosync 通信的群集的功能

pcs cluster setup 命令现在支持一个新的 --encryption 标志,用于控制集群中 corosync 加密的设置。这允许用户在非完全可信环境中使用加密的 corosync 通信设置群集。(BZ# 1165821 )

支持和删除远程和客户机节点的新命令

Red Hat Enterprise Linux 7.4 提供了以下新命令来创建和删除远程和客户机节点: pcs cluster node add-guest pcs cluster node remove-guest pcs cluster node add-remote pcs cluster node remove-remote 这些命令替换 pcs cluster remote-node add pcs cluster remote-node remove 命令,该命令已弃用。(BZ# 1176018 , BZ# 1386512 )

配置 pcsd 绑定地址的功能

现在,您可以在 /etc/sysconfig/pcsd 文件中配置 pcsd 绑定地址。在以前的版本中, pcsd 可以绑定到所有接口,但不适用于某些用户的情况。默认情况下, pcsd 会绑定到所有接口。(BZ# 1373614 )

pcs resource unmanage 命令的新选项来禁用监控操作

即使资源处于非受管模式,监控操作仍然由集群运行。这可能会导致集群报告错误,因为当资源处于非托管资源时,可能会预期以特定用例显示这些错误。 pcs resource unmanage 命令现在支持 --monitor 选项,该选项可在将资源放入非受管模式时禁用监控操作。此外, pcs resource manage 命令还支持 --monitor 选项,该选项可在将资源重新置于受管模式时启用 monitor 操作。(BZ# 1303969 )

在配置位置限制时支持 pcs 命令行中的正则表达式

pcs 现在支持命令行中的位置限制中的正则表达式。这些限制适用于基于正则表达式匹配资源名称的多个资源。这简化了集群管理,因为之前需要几个限制可能会使用一个约束。(BZ# 1362493 )

通过正则表达式或节点属性及其值在隔离拓扑中指定节点

现在,可通过在节点名称、节点属性及其值中应用的正则表达式在隔离拓扑中指定节点。 例如:以下命令将节点 node1、 node 2 node3 配置为使用隔离设备 apc1 apc2 ,以及节点 node4、 node5 node6 来使用隔离设备 apc3 apc4 。 pcs stonith level add 1 "regexp%node[1-3]" apc1,apc2 pcs stonith level add 1 "regexp%node[4-6]" apc3,apc4 以下命令通过使用节点属性匹配得到同样的结果。 pcs node attribute node1 rack=1 pcs node attribute node2 rack=1 pcs node attribute node3 rack=1 pcs node attribute node4 rack=2 pcs node attribute node5 rack=2 pcs node attribute node6 rack=2 pcs stonith level add 1 attrib%rack=1 apc1,apc2 pcs stonith level add 1 attrib%rack=2 apc3,apc4 (BZ# 1261116 )

支持 Oracle 和 OraLsnr Oracle 11g

Red Hat Enterprise Linux 7.4 支持与 Pacemaker 一起使用的 Oracle Database 11g 和 OraLsnr 资源代理。(BZ#1336847)

支持将 SBD 与共享存储搭配使用

使用 pcs 命令为配置的 SBD (基于Storage 的 Death)提供支持。有关 SBD fending 的详情,请参考 https://access.redhat.com/articles/2943361 。(BZ# 1413958 )

支持 NodeUtilization 资源代理

Red Hat Enterprise Linux 7.4 支持 NodeUtilization 资源代理。 NodeUtilization 代理可以检测可用 CPU、主机内存可用性和虚拟机监控程序内存可用性的系统参数,并将这些参数添加到 CIB 中。您可以将代理作为克隆资源运行,使其在每个节点上自动填充这些参数。有关 NodeUtilization 资源代理和此代理的资源选项的信息,请运行 pcs resource describe NodeUtilization 命令。有关 Pacemaker 中使用和放置策略的详情,请参考 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/s1-utilization-HAAR.html 。(BZ#1430304)

第 7 章 编译器和工具

pcp rebase 到版本 3.11.8

Performance Co-Pilot 应用程序(PCP)已升级到上游版本 3.11.81,它提供很多程序错误修复和增强。主要改进包括: 添加了一个新的客户端工具 pcp2influxdb ,允许将性能指标值导出到 influxdb 数据库。 添加了新的客户端工具 pcp-mpstat pcp-pidstat ,以允许重新执行对 mpstat 和 pidstat 值的重新介绍。 为设备映射器、 Ceph 设备、cpusched cgroup、每个处理器软 IRQs、buddy info zoneinfo 、共享内存、 libvirt 、同一页面共享共享、LOLA、LOHI 和 Docker 增加了新的性能指标。 现在,为各种 PCP 分析工具提供了来自多个子系统的其他性能指标。(BZ# 1423020 )

systemtap rebase 到版本 3.1

systemtap 软件包升级至上游版本 3.1,它提供很多程序错误修复和增强。主要变更包括: 系统调用的探测不再默认基于 debuginfo 信息。 添加了对探测 Python 功能的支持。 对 Java 功能参数的访问变得更加统一。 改进了统计聚合变量的性能。 添加了一个新的统计 operator @variance 。 添加了用于获取和设置用户空间值的更多选项。 通过示例改进了 NFS 监控 脚本和 tapset 兼容性修复。(BZ# 1398393 , BZ# 1416204 , BZ#1433391)

valgrind rebase 到版本 3.12

valgrind 软件包升级至上游版本 3.12,它提供了大量的程序错误修复和增强。主要变更包括: 在 memcheck 工具中添加了一个新的 --ignore-range-below-sp 选项,以忽略堆栈指针下的内存访问。这是现在已弃用的选项 --workaround-gcc296-bugs=yes 的一个通用替代选项。 由 --gen-suppressions=yes 选项生成的隐藏条目中的最大调用数现在等于 --num-callers 选项给出的值。 对于最常见用例,工具代码块的成本是 AMD64 和 Intel 64 构架中的 memcheck 工具。 对调试程序进行了改进,它丢弃了大量指令地址范围为 8KB 或者更少。 添加了对 IBM Power 9(ISA 3.0)架构的支持。 添加了对 AMD FMA4 指令的部分支持。 添加了对 64 位 ARM 架构版本 8 的加密和 CRC 指令的支持。(BZ# 1391217 )

新软件包: unitsofmeasurement

unitsofmeasurement 软件包在 Java 代码中启用表达测量单位。随着新的 API 用于测量单位,物理量处理变得更加容易,而且容易出错。软件包的 API 高效使用内存和资源。(BZ#1422263)

现在,在 Python 标准库中默认启用 HTTP 客户端的 SSL/TLS 证书验证

在 Python 标准库中更改了 HTTP 客户端的默认全局设置,以默认验证 SSL/TLS 证书。使用基于文件配置的文件配置不会受到影响。详情请查看 https://access.redhat.com/articles/2039753 。(BZ#1219110)

添加了对 %gemspec_add_dep %gemspec_remove_dep 的支持

在这个版本中,增加了对 %gemspec_add_dep %gemspec_remove_dep macros 的支持。这些宏可以更轻松地调整 rubygem-* 软件包依赖项。另外,所有当前的宏都扩展为改进对预发行包版本的支持。(BZ# 1397390 )

ipmitool rebase 到版本 1.8.18

ipmitool 软件包升级至上游版本 1.8.18,它提供了大量的程序错误修复和增强。主要变更包括: 重新设计 PEF 用户界面 为 IP 版本 6 局域网参数添加了新的子命令 lan6 添加了对 VITA 特定感器类型和事件的支持 添加了对 HMAC_MD5 和 HMAC_SHA256 加密的支持 添加了对检查 PICMG 扩展 5.x 的支持 添加了对 USB 介质作为新通信接口的支持 对于 GNU Linux 系统(BZ#1398658))默认启用 USB 驱动程序。

lshw 针对 IBM Power 的 little-endian 变体更新

lshw 软件包提供了机器硬件配置的详细信息,它为 IBM Power System 的 little-endian 变体更新。(BZ#1368704)

perf 现在支持 Intel Xeon v5 上的未核事件

在这个版本中,Linux(perf)的性能分析工具已更新,以支持 Intel Xeon v5 服务器 CPU 上的未核事件。这些事件为高级用户提供额外的性能监控信息。(BZ#1355919)

dmidecode 已更新

dmidecode 软件包已更新至更新的版本,它提供一些程序错误修复和硬件启用改进。(BZ#1385884)

iSCSI 现在支持使用 targetcli 配置 ALUA 操作

对于从启动器到目标的多个路径,您可以使用 Asymmetric Logical Unit Assignment(ALUA)来配置有关如何以非统一方式使用路径的首选项。Linux-IO(LIO)内核目标始终支持此功能。借助此次更新,您可以使用 targetcli 命令 shell 来配置 ALUA 操作。(BZ#1243410)

jansson rebase 到版本 2.10

jansson 库已更新至 2.10 版本,它提供了几个程序错误修复和增强。值得注意的是,添加了支持 clevis tang jose 应用程序的接口。(BZ# 1389805 )

egrep fgrep 的新兼容性环境变量

在以前的 grep rebase 中, egrep fgrep 命令分别被 grep -E grep -F 替代。这个更改可能会影响客户脚本,因为只在 ps 命令之外显示 grep 。为防止出现这个问题,这个更新引入了一个新的兼容性环境变量: GREP_LEGACY_EGREP_FGREP_PS 。要在 ps 输出中保留显示 egrep fgrep ,请将变量设置为 1: GREP_LEGACY_EGREP_FGREP_PS=1 (BZ#1297441)

lastcomm 现在支持 --pid 选项

lastcomm 命令现在支持 --pid 选项。此选项显示内核支持的每个记录的进程 ID(PID)和父进程进程 ID(PPID)。(BZ# 1255183 )

新软件包: perl-Perl4-CoreLibs

Red Hat Enterprise Linux 7 基本频道中提供了一个新的 perl-Perl4-CoreLibs 软件包。这个软件包包含之前在 Perl 4 中可用的库,但已从 Perl 5.16 中删除,它随 Red Hat Enterprise Linux 7 一起发布。在以前的版本中,这些库通过 Optional 频道在 Perl 子软件包中提供。(BZ#1366724)

现在 ,tar 在从存档中提取时会显示到目录的符号链接

在这个版本中,在 tar 命令中添加了 --keep-directory-symlink 选项。当它遇到与要提取的目录同名的符号链接时,此选项会更改 tar 的行为。默认情况下, tar 会首先删除符号链接,然后继续提取目录。 --keep-directory-symlink 选项禁用此行为,并指示 tar 在从存档中提取时跟踪至目录的符号链接。(BZ#1350640)

IO::Socket::SSL Perl 模块现在支持限制 TLS 版本

Net:SSLeay Perl 模块已被更新,以支持 TLS 协议版本 1.1 或 1.2 的显式规格以提高安全性,并且 IO::Socket::SSL 模块已更新。创建新的 IO::Socket::SSL 对象时,现在可以通过将 SSL_version 选项设置为 TLSv1_1 TLSv1_2 将 TLS 版本限制为 1.1 或 1.2。另外,可以使用 TLSv11 TLSv12 。请注意,这些值区分大小写。(BZ# 1335035 )

Net:SSLeay Perl 模块现在支持限制 TLS 版本

Net:SSLeay Perl 模块已更新,以支持 TLS 协议版本的明确规格,可用于提高安全性。要将 TLS 版本限制为 1.1 或 1.2,请将 Net::SSLeay::ssl_version 变量设置为 11 12 。(BZ# 1335028 )

wget 现在支持 TLS 协议版本规格

在以前的版本中,在连接到远程服务器时, wget 工具默认使用最高 TLS 协议版本 1.2。在这个版本中, wget 已被改进,允许用户通过在 wget 命令中添加 --secure-protocol=TLSv1_1 --secure-protocol=TLSv1_2 命令行选项来显式选择 TLS 协议次要版本。(BZ#1439811)

tcpdump rebase 到版本 4.9.0

tcpdump 软件包升级至上游版本 4.9.0,它提供了大量的程序错误修复和增强。主要变更包括: 修复了多个安全漏洞 在常见网络协议的交集中已进行大量改进 默认 snaplen 功能已增加到 262144 字节 捕获缓冲区已扩大到 4 MiB(BZ#1422473)

tcpdump 的捕获方向从 -P 改为 -Q 的选项

在以前的版本中,Red Hat Enterprise Linux 中的 tcpdump 工具使用 -P 选项在上游版本使用了 -Q 时设置捕获方向。实现了 -Q 选项,现在首选。 P 选项会将 之前的功能保留为 -Q 的别名,但会显示警告。(BZ# 1292056 )

OpenJDK 现在支持 64 位 ARM 架构上的 SystemTap

OpenJDK 平台现在支持使用 64 位 ARM 架构的 SystemTap 检测工具进行内省。(BZ#1373986)

sos rebase 到版本 3.4

sos 软件包已更新至上游版本 3.4,它提供了一些改进、新功能和程序错误修复,其中包括: 为 ceph_ansible 增加了新的插件、 collectd crypto dracut 、dracut、 gnocchi 、jar、 nfs ganesha nodejs npm openstack_ansible openstack_instack openstack_manila salt saltmaster Storageconsole API 插件增强 当网络名称包含单引号字符 " 时,网络插件不再崩溃。 foreman-debug 插件现在使用更长的超时来运行,以防止收集的不完整 foreman-debug 信息 不再收集某些私有 SSL 证书文件(BZ# 1414879 )

targetd rebase 到版本 0.8.6

targetd 软件包已升级到上游版本 0.8.6,它提供很多程序错误修复和增强。值得注意的是, targetd 服务现在在 Python 2 或 Python 3 运行时中运行,并添加了以下 API: initiator_list , access_group_list , access_group_create , access_group_destroy , access_group_init_add access_group_init_del access_group_map_list access_group_map_create ,以及 access_group_map_destroy 。 主要程序错误修复包括: targetd 现在与 JSON-RPC 响应版本 2.0 兼容。 export_create API 现在可用于将相同的 LUN 映射到多个启动器。 targetd 现在确保在启动时存在 SSL 证书。(BZ# 1162381 )

shim rebase 到版本 12-1

在这个版本中, shim 软件包升级至上游版本 12-1,它提供了大量的程序错误修复和增强。值得注意的是,增加了对 32 位 UEFI 固件和可扩展固件接口(EFI)实用程序的支持。(BZ#1310766)

rubygem-abrt rebase 到版本 0.3.0

rubygem-abrt 软件包已更新至版本 0.3.0,它比之前的版本提供一些程序错误修复和增强。值得注意的是: Ruby ABRT 处理程序现在支持 uReports ,自动匿名微reports。启用 uReports 后,开发人员会及时通知应用程序问题,并且能够更快地修复错误并解决问题。 在以前的版本中,当 Ruby 应用程序使用 Bundler 管理其依赖项和发生错误时,会使用不正确的逻辑来加载 Ruby ABRT 处理程序的组件。因此,为用户报告意外的 LoadReport 错误,而不是正确的 ABRT 报告。现在,加载的逻辑已被修复, Ruby 应用程序错误会被正确处理并使用 ABRT 报告。(BZ# 1418750 )

新软件包: http-parser

新的 http-parser 软件包提供了解析 HTTP 信息的工具。它解析请求和响应。解析器设计为在管理 HTTP 性能的应用中使用。它不会使任何系统调用或分配,它不会缓冲数据,并且可以随时中断。根据您的构架,每个消息流只需要大约 40 字节的数据。(BZ#1393819)

Intel 和 IBM POWER 事务内存支持所有默认的 POSIX mutexes

默认的 POSIX mutexes 可以使用 Intel 和 IBM POWER 事务内存支持透明地替换,这可显著减少锁定购置成本。要启用对所有默认的 POSIX mutexes 的事务内存支持,请将 RHEL_GLIBC_TUNABLES=glibc.elision.enable 环境变量设置为 1 。因此,可以提高某些应用程序的性能。 建议开发人员使用性能分析来决定是否启用此功能,以提高其应用程序的性能。(BZ# 841653 , BZ#731835)

glibc 现在支持组合并

glibc 中添加了对来自不同名称服务模块的组成员的功能。因此,对跨多个主机的集中用户访问控制和组成员身份的管理现在变得更加容易。(BZ# 1298975 )

glibc 现在支持 IBM POWER9 架构中优化的字符串比较功能

glibc 库中的字符串比较功能 strcmp strncmp 已针对 IBM POWER9 架构进行了优化。(BZ#1320947)

提高了使用 Intel SSE、AVX 和 AVX512 功能动态载入的库的性能

使用 Intel SSE、AVX 和 AVX512 功能的库载入已更新。因此,在载入这些库时性能有所改进。另外,增加了对 LD_AUDIT 风格的审计的支持。(BZ# 1421155 )

elfutils rebase 到版本 0.168

elfutils 软件包升级至上游版本 0.168,它提供了大量的程序错误修复和增强: eu-readelf 程序的选项 --symbols 现在允许选择部分来显示符号。 创建 ELF/DWARF 字符串表的新功能已添加到 libdw 库中。 DW_LANG_PL1 常量已改为 DW_LANG_PLI 。之前的名称仍被接受。 libelf 库的 gelf_newehdr gelf_newphdr 功能的返回类型已被修改为 void* ,用于与其他 libelf 实现的源兼容性。这个更改会保留对 Red Hat Enterprise Linux 支持的所有平台的二进制兼容性。(BZ# 1400302 )

bison rebase 到版本 3.0.4

bison 软件包升级至上游版本 3.0.4,它提供了大量的程序错误修复和增强: 修复了因小心错误造成的无结束诊断问题。 现在,添加了 -Werror=CATEGORY 选项,以将指定的警告视为错误。不能使用 -W 选项显式激活警告。 处理优先规则和无用规则的许多改进。 另外,引进了以下更改会破坏向后兼容性: 以下功能已弃用: YYFAIL , YYLEX_PARAM , YYPARSE_PARAM , yystype , yyltype 不再自动添加操作末尾的分号。 要在 autoconf 实用程序版本 2.69 及更早版本中使用 Bison 扩展,请将选项 -Wno-yacc 传递给 (AM_)YFLAGS 。(BZ# 1306000 )

系统默认 CA 捆绑包在 Mutt 中的编译的默认设置或配置中被设置为默认值

在以前的版本中,当通过 TLS/SSL 连接到新系统时, Mutt 电子邮件客户端需要用户保存证书。在这个版本中,系统证书颁发机构(CA)捆绑包会被默认设置为 Mutt 。现在, Mutt 通过 SSL/TLS 连接到具有有效证书的主机,而不提示用户批准或拒绝证书。(BZ# 1388511 )

objdump 混合列表加快

在以前的版本中,用于解析 DWARF debug 信息和查找源代码的 BFD 库非常慢。BFD 库被 objdump 工具使用。因此,在生成源代码混合列表和解装时, objdump 会变得非常慢。BFD 库的性能有所提高。因此,生成带有 objdump 的混合列表速度更快。(BZ# 1366052 )

ethtool 支持来自 fjes 驱动程序的人类可读输出

ethtool 实用程序已被改进,以提供来自 fjes 驱动程序的注册转储输出的人类可读形式。因此, ethtool 的用户可以更加快速地检查 Fujitsu Extended Socket Network Device 驱动程序。(BZ#1402701)

ecj rebase 到版本 4.5.2

ecj 软件包升级至上游版本 4.5.2,它提供了大量的程序错误修复和增强。值得注意的是,已完成对添加到版本 8 中的 Java 语言的功能的支持。因此,使用 Java 8 功能编译 Java 代码不再会失败。这包括不使用 Java 8 功能使用这些功能所引用的代码的情况,比如 Java Runtime Environment 提供的系统类。(BZ# 1379855 )

rhino rebase 到版本 1.7R5

rhino 软件包升级至上游版本 1.7R5,它提供了大量的程序错误修复和增强。值得注意的是,在解析正则表达式时,以前的问题已被修复。使用 Rhino 的应用程序之前遇到此错误现在可以正常工作。(BZ# 1350331 )

scap-security-guide oscap-docker 现在支持容器

用户现在可以使用 oscap-docker 实用程序和 SCAP 安全指南来评估容器或容器镜像的合规性,而无需遇到假的正结果。现在,容器上下文(如分区)没有意义的测试(如分区)被设置为 不适用 值,现在可以使用所选安全策略扫描容器。(BZ# 1404392 )

第 8 章 Desktop

gnome rebase 到版本 3.22.3

GNOME 桌面已更新至上游版本 3.22.3,它提供了大量的程序错误修复和增强。主要变更包括: 彻底的桌面通知 内置与世界时钟和媒体播放器集成 自动调整屏幕适度(针对具有集成式传感器的系统) 在许多应用程序中,支持标准对话框,以记录键盘快捷方式 改进多个设置面板(打印机、鼠标、触出、键盘快捷方式) 选项一次重命名多个文件 对压缩文件和 Google Drive 的内置支持 undo 支持 trash(BZ# 1383353 )

xorg-x11-drv-libinput 驱动程序已添加到 X.Org 输入驱动程序

xorg-x11-drv-libinput X.Org 驱动程序是低级 libinput 库的 wrapper 驱动程序。在这个版本中,在 X.Org 输入驱动程序中添加了驱动程序。安装 xorg-x11-drv-libinput 后,可以删除 xorg-x11-drv-synaptics 驱动程序,并访问由 libinput 提供的一些改进输入设备处理。(BZ#1413811)

更改某些 Intel 和 nVidia 硬件的默认驱动程序

这个变化会影响: 4th Generation Intel Core Processors 及更新的版本 Nvidia GeForce 8 硬件及更新版本 默认的 DDX 驱动程序已更改为 xf86-video-modesetting 。 在以前的版本中,默认是 xf86-video-nouveau xf86-video-intel 用于 nVidia 和 Intel 硬件。(BZ#1404868)

dconf-editor 现在由一个单独的软件包提供

上游 dconf 团队已将 dconf-editor 分成自己的软件包。此发行版本反映了这一变化。 另外,在 3.22 版本中被重新设计了用户界面。 左侧的树视图已被删除。 密钥和目录现在在同一窗口中显示。 在层次结构中返回的能力已移到标题栏中显示的路径。(BZ#1388931)

第 9 章 文件系统

现在,OverlayFS 文件系统支持 SELinux 安全标签

在这个版本中,OverlayFS 文件系统支持 SELinux 安全标签。当将 Docker 容器与 OverlayFS 存储驱动程序搭配使用时,您不再需要配置 Docker 来禁用容器的 SELinux 支持。(BZ# 1297929 )

NFSoRDMA 服务器现已获得全面支持

现在,当 Red Hat Enterprise Linux 客户端访问时,通过 RDMA(NFSoRDMA)服务器(以前作为技术预览提供)的 NFS 被完全支持。有关 NFSoRDMA 的更多信息,请参见《Red Hat Enterprise Linux 7 存储管理指南》中的章节 :https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Storage_Administration_Guide/index.html#nfs-rdma (BZ#1400501)

autofs 现在支持 amd 格式映射的浏览选项

浏览 sun 格式映射功能使得挂载自动挂载管理的挂载列表中的可用自动挂载点可见,现已可用于 autofs amd 格式映射。 现在,您可以在 autofs 配置中为 amd 格式挂载添加挂载点部分,其方式与在 amd 中配置自动挂载点相同,无需向主映射添加对应的条目。因此,您可以在共享多供应商环境中避免在 autofs 主映射中没有不兼容的主映射条目。 在 autofs [ amd ] configuration 部分中,可以使用 browsable_dirs 选项,或遵循 amd 挂载点部分。也可以使用 amd 类型的 自动 映射条目 的可浏览 utimeout 映射选项。 请注意, owsable_dirs 选项只能设置为 yes no 。(BZ# 1367576 )

为了更轻松地搜索日志, autofs 现在提供挂载请求日志条目的标识符

对于忙碌站点,在检查挂载问题时,很难识别特定挂载尝试的日志条目。如果记录了大量活动,则条目通常与其他并发挂载请求和活动混合。现在,如果您启用添加挂载请求标识符来在 autofs 配置中挂载请求日志条目,您可以快速过滤特定挂载请求请求请求条目。新日志记录默认关闭,并由 use_mount_request_log_id 选项控制,如 autofs.conf 文件中所述。(BZ#1382093)

SSI 环境支持 IBM z Systems 上的 GFS2

从 Red Hat Enterprise Linux 7.4 开始,IBM z Systems( s390x 附加组件上的Resilient Storage)的 GFS2 开始在 z/VM Single System Image(SSI)环境中支持多个中央电子复杂(CEC)环境。这可让集群在逻辑分区(LPAR)或 CEC 重启时保留。由于高可用性(HA)集群的实时要求,不支持实时迁移。IBM z Systems 上 4 个节点的最大节点限制仍然适用。有关为 IBM z 系统配置高可用性和弹性存储的详情,请参考 https://access.redhat.com/articles/1543363 。(BZ#1273401)

gfs2-utils rebase 到版本 3.1.10

gfs2-utils 软件包已升级到上游版本 3.1.10,它提供很多程序错误修复和增强。值得注意的是,这个更新提供了: fsck.gfs2 命令的各种检查和性能改进 在 mkfs.gfs2 命令中更好地处理奇数块设备 geometry。 gfs2_edit 保存meta leaf chain 块处理错误修复。 通过 libuuid 库而不是自定义功能处理 UUID。 新的 --enable-gprof 配置选项用于性能分析。 文档改进。(BZ#1413684)

FUSE 现在支持 lseek 调用中的 SEEK_HOLE SEEK_DATA

这个版本为用户空间(FUSE) lseek 系统调用提供 Filesystem 的 SEEK_HOLE SEEK_DATA 功能。现在,您可以使用 FUSE lseek 将文件的偏移量调整为包含数据的下一位置,使用 SEEK_DATA SEEK_HOLE 。(BZ#1306396)

NFS 服务器现在支持有限的 copy-offload

NFS 服务器端复制功能现在允许 NFS 客户端在两个驻留在同一 NFS 服务器上的同一文件系统中复制文件数据,而无需通过 NFS 客户端传输数据。请注意,NFS 协议还允许不同文件系统或服务器之间的副本,但 Red Hat Enterprise Linux 实施目前不支持此类操作。(BZ#1356122)

GFS2 文件系统支持 SELinux

现在,GFS2 文件系统支持使用 Security Enhanced Linux(SELinux)。由于在 GFS2 中使用 SELinux 会导致性能小,您可能选择在 GFS2 中使用 SELinux,即使在强制模式下 SELinux 的系统也是如此。有关如何配置的详情,请参考 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Global_File_System_2/index.html 。(BZ#437984)

NFSoRDMA 客户端和服务器现在支持 Kerberos 验证

在这个版本中,增加了对 RDMA(NFSoRDMA)客户端和服务器的 NFS 的 Kerberos 身份验证支持,供您使用 NFSoRDMA 功能使用 krb5、krb5i 和 krb5p 身份验证。现在,您可以使用 Kerberos 和 NFSoRDMA 保护每个远程过程调用(RPC)事务的身份验证。请注意,您需要版本 1.3.0-0.36 或更高版本的 nfs-utils 软件包来安装,以便使用带 NFSoRDMA 的 Kerberos。(BZ#1401797)

RPC.idmapd 现在支持从 DNS 获取 NFSv4 ID 域

ID 映射中使用的 NFS 域名现在可以从 DNS 检索。如果在 /etc/idmapd.conf 文件中没有设置 Domain 变量,则会查询 DNS 来搜索 _nfsv4idmapdomain 文本记录。如果找到某个值,则会将它用作 NFS 域。(BZ#980925)

NFSv4.1 现在是默认的 NFS 挂载协议

在以前的版本中,NFS4.0 是默认的 NFS 挂载协议。NFSv4.1 对 NFSv4.0 提供了显著改进,如会话、pNFS、并行 OPEN 和会话中继。在这个版本中,NFSv4.1 是默认的 NFS 挂载协议。 如果您已经指定了挂载协议次版本,这个更新不会造成行为改变。如果您指定了一个没有特定次版本的 NFSv4,则这个更新会导致行为变化。如果服务器只支持 NFSv4.0,则挂载仍保留 NFSv4.0 挂载。您可以通过将 0 指定为次版本来保留原始行为: 在 mount 命令行上, 在 /etc/fstab 文件中, 或在 /etc/nfsmount.conf 文件中。(BZ# 1375259 )

设置 nfs-utils 配置选项在 nfs.conf 中已集中

在这个版本中, nfs-utils 使用 nfs.conf 文件中的配置集中式,每个 nfs-utils 程序被结构化为段落。每个 nfs-utils 程序都可以直接从文件读取配置,因此您不需要使用 systemctl restart nfs-config.service 命令,但只重启特定的程序。如需更多信息,请参阅 nfs.conf(5) 手册页。 为了与早期版本兼容,旧的 /etc/sysconfig/nfs 配置方法仍然可用。但是,建议避免在 /etc/sysconfig/nfs /etc/nfs.conf 文件中指定配置设置。(BZ# 1418041 )

对于某些工作负载,NFSv4.1 挂载的锁定性能有所提高

NFSv4 客户端间隔轮询服务器,以在竞争下获得锁定。因此,NFSv4 的内容锁定性能比 NFSv3 的性能要慢。 CB_NOTIFY_LOCK 操作已添加到 NFS 客户端和服务器中,因此 NFSv4.1 和更高版本允许服务器返回等待锁定的客户端。 这个版本改进了特定工作负载的 NFSv4.1 挂载中的内容锁定性能。请注意,在较长的锁定时间上,性能可能会不会提高。(BZ#1377710)

Red Hat Ceph Storage 3 完全支持 CephFS 内核客户端

Ceph 文件系统(CephFS)内核模块使 Red Hat Enterprise Linux 节点可以从 Red Hat Ceph Storage 集群中挂载 Ceph 文件系统。Red Hat Enterprise Linux 中的内核客户端是 Red Hat Ceph Storage 包括在用户空间(FUSE)客户端中的文件系统的一个更有效替代选择。请注意,内核客户端目前缺少对 CephFS 配额的支持。 CephFS 内核客户端在 Red Hat Enterprise Linux 7.3 中作为技术预览引进,自 Red Hat Ceph Storage 3 发行版本中,CephFS 被完全支持。 有关更多信息,请参阅 Red Hat Ceph Storage 3 的 Ceph 文件系统指南:https://access.redhat.com/documentation/en-us/red_hat_ceph_storage/3/html/ceph_file_system_guide/。 https://access.redhat.com/documentation/en-us/red_hat_ceph_storage/3/html/ceph_file_system_guide/ (BZ#1626527)

第 10 章 硬件启用

硬件工具现在可以正确识别最新发布的硬件

在此次更新之前,过期的 ID 文件会导致最近发布的硬件被报告为未知。为修复这个问题,已更新了 PCI、USB 和 vendor 设备识别文件。现在,硬件工具可以正确地识别最新发布的硬件。(BZ#1386133)

7.4 中引入了新的 Wacom 驱动程序,以支持即将推出的标签页

在这个版本中,引入了一个新的 Wacom 驱动程序来支持最近发布的和即将推出的标签页,同时当前驱动程序继续支持之前发行的 tablet。 主要特性: wacom 27QHT(touch)现在支持 ExpressKey Remote(BZ#1385026)

wacom 内核驱动程序现在支持 ThinkPad X1 Yoga touch screen

在这个版本中,在 Wacom 内核驱动程序中添加了对 ThinkPad X1 Yoga touch 屏幕的支持。因此,在这些机器上运行 Red Hat Enterprise Linux 7 时,可以正确使用 touch 屏幕。(BZ#1388646)

在 Wacom Cintiq 27 QHDT tablets 中增加了 touch 功能

这个版本添加了对 Cintiq 27 QHDT tablet(在这些机器上运行 Red Hat Enterprise Linux 7 时)的 touch 功能支持。(BZ#1391668)

AMDGPU 现在支持 南部群岛 ,Secanic Islands Volcanic Islands Arctic Islands 芯片组

添加了对 南方群岛 Vol canic Islands Arctic Islands 芯片组的支持。 AMDGPU 图形驱动程序是最新 AMD/ATI Radeon 图形卡的下一代开源图形驱动程序系列。它基于 南部群岛 、Bearcanic Islands Volcanic Islands Arctic Islands 芯片组。对于 linux-firmware 软件包提供的卡,需要安装正确的固件或 microcode。(BZ#1385757)

添加了对 AMD 移动图形的支持

添加了对基于 Polaris 架构的 AMD 移动图形的支持。 另一种架构 基于 Arctic Islands 芯片组。对于 linux-firmware 软件包提供的卡,需要安装正确的固件或 microcode。(BZ#1339127)

支持 Netronome NFP 设备

在这个版本中, nfp 驱动程序被添加到 Linux 内核。因此,Red Hat Enterprise Linux 7 现在支持 Netronome Network Flow Processor(Netronome NFP 4000/6000 VF)设备。(BZ#1377767)

nvme-cli rebase 到版本 1.3

nvme-cli 工具已更新至 1.3 版本,其中包括对 Nonvolatile Memory Express(NVMe)的支持。使用对 NVMe 的支持,您可以通过 Remote Direct Memory Access(RDMA)找到目标并连接到这些目标。(BZ#1382119)

排队的 spinlocks 已被实施到 Linux 内核中

在这个版本中,内核中的 spinlock 实现从 ticket spinlocks 改为 AMD64 和 Intel 64 架构上排队的 spinlocks。排队的 spinclocks 比 ticket spinlocks 更容易扩展。因此,系统性能在有大量 CPU 的 Symmetric Multi Processing(SMP)系统中已被改进。现在,性能会随着 CPU 数量增加而线性增加。请注意,由于此更改的 spinlock 实施,在 Red Hat Enterprise Linux 7 基础上构建的内核模块可能无法在早期版本的内核中加载。在之前的 Red Hat Enterprise Linux(RHEL)版本中发布的内核模块在 RHEL 7.4 中发布的内核可以加载。(BZ#1241990)

RAPL 现在支持 Intel Xeon v2 服务器

Intel rapl 驱动程序已更新,以支持 Intel Xeon v2 服务器。(BZ#1379590)

进一步支持 Intel Platform Controller Hub [PCH] 设备

内核已更新,在 Intel Xeon Processor E3 v6 Family CPU 上支持新的 Intel PCH 硬件。(BZ#1391219)

包括 genwqe-tools 在 IBM Power 和 s390x 上启用硬件加速 zLib

genwqe-tools 软件包允许用户 IBM Power 和 s390x 硬件使用基于 FPGA 的 PCIe 卡进行 zLib 压缩和解压缩进程。 这些工具允许使用 RFC1950、RFC1951 和 RFC1952 兼容硬件来提高性能。(BZ#1275663)

librtas rebase 到版本 2.0.1

librtas 软件包已升级到上游版本 2.0.1,它提供很多程序错误修复和增强。值得注意的是,这个所提供的库的 soname 改变: librtas.so.1 更改为 librtas.so.2 librtasevent.so.1 更改为 librtasevent.so.2 。(BZ#1380656)

NFP 驱动程序

Network Flow Processor(NFP)驱动程序已从 Linux 内核的 4.11 版本向后移植。这个驱动程序支持 Netronome NFP4000 和基于 NFP6000 的卡,它们作为高级以太网 NIC 工作。驱动程序可用于 SR-IOV 物理和虚拟功能。(BZ#1406197)

在 Nouveau 中启用最新的 NVIDIA 卡

这个版本包括启用代码,以确保基于 Pascal 平台的更多 NVIDIA 卡可以正常工作。(BZ#1330457)

支持 Wacom ExpressKey Remote

Red Hat Enterprise Linux 7 现在支持 Wacom ExpressKey Remote(EKR)。EKR 是一个外部设备,可让您访问快捷方式、菜单和命令。(BZ#1346348)

wacom Cintiq 27 QHD 现在支持 ExpressKey Remote

借助此次更新,Wacom Cintiq 27 QHD 选项卡支持 ExpressKey Remote(EKR)。EKR 是一个外部设备,可让您访问快捷方式、菜单和命令。(BZ#1342990)

第 11 章 安装和引导

Anaconda 可让用户设置 RAID 块大小

在这个版本中,用户可以在 kickstart 文件中为 raid 工具设置 --chunksize 参数来指定 RAID 存储的块大小(单位 KiB)。使用 --chunksize 参数会覆盖默认值。因此,新的块大小可能会阻止对默认值造成负面影响。(BZ# 1332316 )

Anaconda 文本模式现在支持 IPoIB 接口

在这个版本中,在以文本模式手动安装过程中,增加了对使用 InfiniBand(IPoIB)网络接口的 IP over InfiniBand(IPoIB)网络接口的支持。现在,您可以查看 IPoIB 接口状态信息并更改接口配置。(BZ# 1366935 )

inst.debug 启用更方便地调试 Anaconda 安装问题

在这个版本中,使用 inst.debug 引导选项启动 Anaconda 安装来保存与机器的初始状态相关的日志。这个选项在 /tmp/pre-anaconda-logs/ 目录中存储三个额外的日志,包括 lsblk 、Searle 和 lvmdump ,从而可以更轻松地调试安装过程中出现的问题。 (BZ# 1255659 )

Kickstart 安装失败会自动触发 %onerror 脚本

此增强可确保在 Anaconda 安装失败时运行 kickstart 文件中的 %onerror 部分。脚本可用于自动收集日志以进一步考试。因此,当在安装过程中发生回溯或另一个致命错误时,安装程序会执行 %onerror 脚本和 %traceback 脚本检查是否由回溯导致的错误。(BZ# 1412538 )

现在, Anaconda 可以在开始安装前等待网络可用

在一些环境中,第一个 DHCP 请求可能会失败。在以前的版本中,第一个 DHCP 失败会导致 Anaconda 开始安装,这可能会造成问题,特别是以后无法手动设置连接的自动安装。这个版本引入了一个新的 Anaconda 引导选项 inst.waitfornet= X ,它会强制安装程序在继续前等待网络连接。一旦建立连接或指定的时间间隔通过后,安装将继续。(BZ#1315160)

可以指定 stage2 或 Kickstart 文件的多个网络位置以防止安装失败

在这个版本中,可以使用 stage2 和 Kickstart 文件的网络位置指定多个 inst.stage2 inst.ks 引导选项。这可避免发生因为无法访问 stage2 或 Kickstart 文件而导致无法获得需要的文件并使安装失败。 在这个版本中,如果指定了多个位置,可以避免安装失败。如果所有定义的位置都是 URL(即 HTTP HTTPS 或者 FTP ),它们将按顺序尝试,直到成功获取请求的文件为止。如果有一个不是 URL 的位置,则只尝试最后一个指定的位置。剩余的位置会被忽略。(BZ#1391724)

kickstart 文件中的 autopart --nohome 禁止在自动分区中创建 /home/

在这个版本中,在 kickstart 文件中的 autopart 命令中添加了 --nohome 选项,以禁用自动创建 /home/ 分区。如果 /home/ 分区被转换,则此功能增强可以避免需要执行手动分区。因此,如果分区被自动执行,则不会创建 /home 分区。(BZ# 663099 )

从硬盘驱动器载入驱动程序磁盘并启用 USB

这个版本启用从硬盘或者类似的设备载入驱动程序磁盘,而不是通过网络或 initrd 加载它们。安装可以使用 kickstart 或引导选项进行。 该流程如下: 1. 在硬盘、USB 或者类似设备中载入驱动程序磁盘。 2.将标签(如 DD )设置为这个设备。 对于 kickstart 安装,请添加 driverdisk LABEL=DD:/e1000.rpm 到您的 kickstart 文件。 对于引导选项,使用 开始安装 inst.dd=hd:LABEL=DD:/dd.rpm 作为引导参数。 在 kickstart 和引导选项中,使用特定标签替换 DD ,并使用特定名称替换 dd.rpm 。使用 inst.repo 命令支持的任何内容而不是 LABEL 指定您的硬盘。不要在参数中使用非字母数字字符,指定 kickstart 驱动程序磁盘的 LABEL 。(BZ#1377233)

LVM 精简池自动分区行为的更改

在以前的版本中,在安装期间创建的或使用的每个逻辑卷管理(LVM)精简池,无论使用 Kickstart 还是保留其大小,20 % 是保留的大小。 这个版本有以下更改: 如果您创建具有自动分区的 LVM 精简池,则会保留卷组大小 20 %,最小为 1 GiB,最多为 100 GiB。 如果您在 Kickstart 文件中使用 logvol --thinpool --grow 命令,则精简池将增大到最大可能的大小,这意味着卷组中没有要增大的空间。在这种情况下,您可以使用 volgroup --reserved-space volgroup --reserved-percent 命令保留卷组中一些空间,建议这样做。(BZ#1131247)

32 位引导装载程序现在可以在 UEFI 中引导 64 位内核

在这个版本中,在带有 UEFI 固件的系统中使用 32 位引导装载程序(如 grub2-i386-efi )启用引导 64 位内核。(BZ#1310775)

lorax 现在可以忽略 SSL 错误

在以前的版本中, lorax 工具无法使用带有自签名证书的 HTTPS 软件仓库。尝试这样做会导致错误,而不会继续。在这个版本中,在 实用程序中添加了 --noverifyssl 命令行选项,它可用于跳过验证服务器证书并绕过错误。(BZ#1430483)

shim-signed rebase 到版本 12

在这个版本中, shim-signed 软件包升级至上游版本 12,它提供了大量的程序错误修复和增强。值得注意的是,增加了对 32 位 UEFI 固件和可扩展固件接口(EFI)实用程序的支持。(BZ#1310764)

gnu-efi rebase 到版本 3.0.5.-9

在这个版本中, gnu-efi 软件包升级至上游版本 3.0.5.-9,它提供很多程序错误修复和增强。值得注意的是,增加了对 32 位 UEFI 固件和可扩展固件接口(EFI)实用程序的支持。(BZ#1310782)

killproc() status() 启用向后兼容性。

在此次更新之前,Red Hat Enterprise Linux 7 中提供的 /etc/rc.d/init.d/functions 脚本缺少 Red Hat Enterprise Linux 6 对应的部分功能。 initscripts 软件包已更新,为 /etc/rc.d/init.d/functions 文件中的 killproc() status() 函数中添加对 -b 选项的支持。这为 Red Hat Enterprise Linux 6 提供了向后兼容性,可防止在从 Red Hat Enterprise Linux 6 升级到 Red Hat Enterprise Linux 7 时可能回归问题。(BZ# 1428935 )

DHCP_FQDN 允许指定系统的完全限定域名

在以前的版本中, ifcfg 接口配置文件需要 DHCP_HOSTNAME 指令来指定系统的主机名。新的 initscripts DHCP_FQDN 指令现在还允许指定系统的完全限定域名。这是对 DHCP_HOSTNAME 指令的一个补充。如果同时指定了 DHCP_HOSTNAME DHCP_FQDN ,则只使用 DHCP_FQDN 。(BZ# 1260552 )

现在您可以在安装过程中创建精简逻辑卷快照

这个版本添加了对新 Kickstart 命令、 快照 的支持。这个命令允许您在安装前或安装后创建 LVM 精简卷快照。可用的选项有: <VG_NAME>/<lv_name > 指定要生成快照的卷组和逻辑卷的名称。 --name= 指定快照的名称。 --when= 指定 pre-install (如果您想要在安装开始前获取快照),如果您想要在升级前保留系统状态,则指定安装非常有用。另外,还可指定 post-install 以在对新安装系统进行任何更改之前生成新安装系统的快照。 所有三个选项都是必需的。另请注意,您可以在安装前和安装后使用这个命令多次使用这个命令来拍摄快照,或者对多个逻辑卷进行快照。确保每个 -name= 参数指定一个唯一名称。(BZ# 1113207 )

第 12 章 内核

RHEL 7.4 中的内核版本

Red Hat Enterprise Linux 7.4 带有内核版本 3.10.0-693。(BZ#1801759)

NVMe 驱动程序 rebase 到版本 4.10

NVM-Express 内核驱动程序已更新至上游内核版本 4.10,它提供了大量的程序错误修复和增强。最显著的变化是:初始 NVMe-over-Fabrics 传输实现使用现有的 RDMA NIC(Infiniband、RoCE、iWARP)和现有的 NVMe SSD,但不包括对 DIF/DIX 和多路径的支持。(BZ#1383834)

crash rebase 到版本 7.1.9

在这个版本中, crash 软件包升级至上游版本 7.1.9,它提供了大量的程序错误修复和增强。(BZ# 1393534 )

崩溃 现在为 IBM Power ISA 3.0 分析 vmcore 转储

crash 工具已更新,与 IBM Power ISA 版本 3.0 架构相关的内核页表中的更改对应。因此, crash 工具现在可以在 IBM Power ISA 3.0 系统中分析内核的 vmcore 转储。(BZ#1368711)

crash 针对 IBM Power 以及 IBM Power 的 little-endian 变体进行更新

crash 软件包已更新,以支持 IBM Power 系统和 IBM Power Systems 的 little-endian 变体。这些软件包提供内核分析套件,它是一个自包含的工具,可用于调查实时系统,以及 kexec-tools 软件包或 Red Hat Enterprise Linux 内核创建的内核内核转储。(BZ#1384944)

memkind 更新至 1.3.0 版本

memkind 库已更新至 1.3.0 版本,它比之前的版本提供一些程序错误修复和增强。 主要变更包括: 引入了一个日志记录机制。 硬件位置(hwloc)已被集成,可以使用 --with-hwloc 选项打开。 libmemkind.so 公开的符号被清理掉。例如: libnuma jemalloc 不再公开。 AutoHBW 文件已移到 /memkind/autohbw/ 目录中,代码被重构,并且测试已添加到适当的场景中。 标记提高安全性已添加到 memkind 中。可使用 --disable-secure 配置 time 选项关闭标志。 jemalloc 的配置已被修改为关闭未使用的功能。 弃用了几个符号。详情请查看已弃用的功能部分。(BZ#1384549)

jitter Entropy RNG 添加到内核中

在这个版本中,添加了 Jitter Entropy Random Number Generator(RNG),它会通过 Linux 内核的 CPU 计时差异收集熵。此 RNG 默认通过 algif_rng 接口提供。生成的数字可以通过 /dev/random 文件添加到内核中,这使得这些数字可供其他 /dev/random 用户使用。因此,操作系统现在有更多可用的熵源。(BZ#1270982)

/dev/random 现在显示 urandom 池初始化的通知和警告

在这个版本中,随机驱动程序(/dev/random)被修改为在非阻塞池(由 /dev/urandom 使用)时打印一条消息。(BZ#1298643)

fjes 更新至 1.2 版本

fjes 驱动程序已更新至 1.2 版本,它比之前的版本包括了很多程序错误修复和增强。(BZ#1388716)

完全支持用户命名空间

现在完全支持在 Red Hat Enterprise Linux 7.2 中引进的用户命名空间(userns)。通过改进主机和容器之间的隔离,此功能为运行 Linux 容器的服务器提供额外的安全性。容器的管理员不再能够在主机上执行管理操作,这会提高安全性。 user.max_user_namespaces 的默认值为 0。 您可以将其设定为非零值,这样可停止出现故障的应用程序。建议将 user.max_usernamespaces 设置为一个大的值,如 15000 ,以便在正常操作过程中不需要重新访问该值。(BZ#1340238)

makedumpfile 更新至 1.6.1

makedumpfile 软件包已升级至上游版本 1.6.1,作为 kexec-tools 2.0.14 rpm 的一部分,它提供了大量的程序错误修复和增强。(BZ#1384945)

qat 更新至最新的上游版本

qat 驱动程序已更新至最新的上游版本,它提供了大量的程序错误修复和增强。 主要程序错误修复和增强: 添加了对 Diffie-Hellman(DH)软件的支持 添加了对 Elliptic Curve Diffie-Hellman(ECDH)软件的支持 添加了对 Error-correcting Code(ECC)软件的支持,用于 curve P-192 和 P-256(BZ#1382849)

添加 intel-cmt-cat 软件包

此软件包中提供的 pqos 实用程序可让管理员监控和操作 L3 缓存来提高实用程序和性能。 该工具绕过内核 API 并直接在硬件上运行,这需要 CPU 固定用于目标进程,然后才能使用。(BZ#1315489)

i40e 现在支持可信的 VF

在这个版本中,增加了对可信的虚拟功能和不受信任的虚拟功能的支持,并添加到 i40e NIC 驱动中。(BZ#1384456)

支持 OVS 802.1ad(QinQ)的内核支持

在这个版本中,通过在内核中启用 802.1ad(QinQ)网络标准,将两个 VLAN 标签用于 Open vSwitch(OVS)网络标准。请注意,这个更新的用户空间部分由 openvswitch 软件包提供。(BZ#1155732)

对共享内存和 hugetlbfs 的实时复制迁移支持

这个版本增强了内核以启用实时后复制迁移,以支持共享内存和 hugetlbfs 文件系统。得益于此功能: 在主机上配置 2MiB 巨页, 创建具有 2MiB 巨页的客户机虚拟机, 运行 guest 虚拟机和 stress-test 应用来测试内存, 使用 post-copy 实时迁移 guest 虚拟机。(BZ#1373606)

新软件包: dbxtool

dbxtool 软件包提供了一个命令行工具和一个-shot systemd 服务,用于应用 UEFI 安全引导 DBX 更新。(BZ#1078990)

mlx5 现在支持 SRIOV 信任的 VF

在这个版本中,为 mlx5 驱动程序添加了对单根 I/O 虚拟化(SRIOV)信任的虚拟功能(VF)的支持。(BZ#1383280)

来自 4.9 内核的 rwsem 软件更新

在这个版本中,大多数上游 R/W semaphores( rwsem )性能与 Linux 内核版本 4.9 的性能变化在维护内核应用程序二进制接口(kABI)期间向后移植到 Linux 内核。 主要变更包括: writer-optimistic spinning,这可以减少锁定延迟并改进锁定性能。 锁定无等待,无阻碍内部销锁.(BZ#1416924)

将random 添加到 Linux 内核

在这个版本中,在 Linux 内核中添加了 getrandom 系统调用。现在,用户空间可以从 /dev/urandom 使用的相同非阻塞熵池请求随机性,用户空间可以阻断直到至少 128 位熵在这个池中被请求。(BZ#1432218)

一个新的状态行 Umask 包含在 /proc/<PID>/status

在以前的版本中,在没有修改的情况下无法读取进程 umask。如果没有此更改,库将无法安全地读取 umask,特别是在主程序被多线程时。proc 文件系统(procfs)现在在 /proc/<PID>/status 文件中公开 umask。格式是 Umask: OOOO ,其中 OOOOO 是任务的 umask 的数值。(BZ#1391413)

Intel® Omni-Path Architecture(OPA)主机软件

从 Red Hat Enterprise Linux 7.3 开始,完全支持 Intel® Omni-Path Architecture(OPA)主机软件。Intel® OPA 为在集群环境中的计算和 I/O 节点之间的高性能数据传输(高带宽、高消息率、低延迟)提供主机 Fabric Interface(HFI)硬件初始化和设置。 有关如何获取 Intel® Omni-Path 架构文档的步骤,请参考 https://access.redhat.com/articles/2039623 。(BZ#1459948)

XTS-AES 密钥验证现在满足 FIPS 140-2 要求

在这个版本中,当以 FIPS 模式运行 Red Hat Enterprise Linux 并使用内核 XTS-AES 密钥验证时,AES 密钥被强制与调整密钥不同。这样可确保满足 FIPS 140-2 IG A.9 要求。另外,使用 passwordtext stealing(XTS)测试向量进行基于 XEX 的调整代码书模式现在可以被标记为跳过。(BZ#1314179)

现在 IBM z Systems 支持 mlx5

现在,IBM z Systems 上的 Linux 支持 Mellanox mlx5 设备驱动程序,并可用于以太网 TCP/IP 网络。(BZ#1394197)

perf 工具现在支持处理器缓存内容检测

perf 工具现在为 Shared Data Cache-to-Cache(C2C)分析提供 c2c 子命令。这可让您检查缓存行争用并检测到 true 共享和假共享。 当 Symmetric Multi Processing(SMP)系统上的处理器核心修改其他处理器缓存行中的数据项目时,会发生争用。使用这个缓存行的所有其他处理器必须使复制结果无效并请求更新后,这可能会导致性能下降。 新的 c2c 子命令提供有关检测到争用、进程读取和写入数据、导致争用的指令以及涉及 Non-Uniform Memory Access(NUMA)节点的缓存行的详细信息。(BZ#1391243)

lpfc 驱动程序中的 SCSI-MQ 支持

在 Red Hat Enterprise Linux 7.4 中更新的 lpfc 驱动程序现在可以启用使用带有 lpfc_use_blk_mq=1 模块参数的 SCSI-MQ(multiqueue)。默认值为 0( 禁用)。 请注意,在特定情况下,在带有同步 IO 到使用 SCSI-MQ 的光纤通道适配器时,最近进行的性能会明显降低。一个修复程序已被测试,但不适用于 Red Hat Enterprise Linux 7.4 正式发布(GA)。(BZ#1382101)

第 13 章 实时内核

关于 Red Hat Enterprise Linux for Real Time Kernel

Red Hat Enterprise Linux for Real Time Kernel 旨在为具有极高确定性要求的系统启用微调。结果一致性的主要增长可通过调整标准内核来实现。实时内核可以大幅增加通过调优标准内核来实现的增长。 实时内核位于 rhel-7-server-rt-rpms 存储库中。 安装指南 包含安装说明以及文档的其余部分,请参阅 Red Hat Enterprise Linux for Real Time 的产品文档

kernel-rt rebase

kernel-rt 源已升级为基于最新的 Red Hat Enterprise Linux 内核源树,它提供了大量的程序错误修复和增强。(BZ#1391779)

第 14 章 Networking

NetworkManager rebase 到版本 1.8

NetworkManager 软件包升级至上游版本 1.8,它提供了大量的程序错误修复和增强。主要变更包括: 添加了对其他路由选项的支持。 在重启之前,受管设备状态一直存在。 现在,外部管理的设备可以被正确处理。 在多方主机上网络的可靠性已被改进。 现在,主机名管理更加灵活地配置。 添加了对更改和强制实施 802-3 链接属性 的支持。(BZ# 1414103 )

NetworkManager 现在支持路由的其他功能

在这个版本中, NetworkManager 可以设置一些高级选项: source_address (src、IPv4 only)、 type_of_service (tos)、 窗口 max_transmission_unit (mtu)、 congestion_window (cwnd)、 initial_congestion_window (initcwnd)和 initial_receiver_window (initrwnd)用于静态 IPv4 和 IPv6 连接的连接。(BZ#1373698)

NetworkManager 现在更好地处理设备状态

在这个版本中, NetworkManager 在服务重启后维护设备状态,并在重启过程中接管设置为受管模式的接口。另外, NetworkManager 还可处理未明确设置为非受管设备,但由用户或者其它网络服务手动控制。(BZ# 1394579 )

NetworkManager 现在支持 MACsec(IEEE 802.1AE)

在这个版本中,增加了对将 Media Access Control Security(MACsec)加密配置为 NetworkManager 的支持。(BZ#1337997)

NetworkManager 现在支持更改和强制实施 802-3 链接属性

在以前的版本中, NetworkManager 只公开 802-3 链接属性 : 802-3-ethernet.speed , 802-3 ethernet.duplex , 和 802-3-ethernet.auto-negotiate 。在这个版本中,可以更改和强制实施。您可以使用自动协商 =yes 自动执行此操作,也可以使用自动协商 = no、 speed=< Mbit/s> , duplex =[half,full] 。 请注意, 如果没有设置自动协商=no ,并且未设置 速度 duplex ,则将跳过链路协商,并且 自动协商=no, speed=0, duplex=NULL 默认值会被保留。 另请注意, 自动协商默认值 已从 yes 改为 no 来保持向后兼容性。在以前的版本中,这个属性会被忽略,但现在会 自动协商 yes 可以强制链路协商。在取消 速度和 /或双工时将其设置为 no ,表示链接协商将被忽略。 (BZ#1353612)

NetworkManager 现在支持根据设备名称排序绑定从设备

在以前的版本中,从连接激活的现有顺序可能会导致问题确定主接口的 MAC 地址。在这个版本中,根据设备名称增加了更可预测的排序。您可以使用 NetworkManager 配置中的 slaves-order=name 设置启用新排序。 请注意,新排序默认为禁用,必须明确启用。(BZ# 1420708 )

NetworkManager 现在支持 SR-IOV 设备的 VF

在这个版本中,NetworkManager 系统服务 支持为单根 I/O 虚拟化(SR-IOV)PCI 设备创建虚拟功能(VF)。可使用 NetworkManager 配置文件的 device 部分的 sriov-num-vfs 选项指定 VF 的数量。创建 VF 后, NetworkManager 可以在它们上激活连接配置集。 请注意,VF 接口的一些属性(如最大传输单元(MTU))只能设置为与物理接口上设置的值兼容的值。(BZ# 1398934 )

内核 GRE rebase 到版本 4.8

内核通用路由封装(GRE)隧道已更新至上游版本 4.8,它提供了大量的程序错误修复和增强。最显著的变化包括: 用于传输和接收 IPv4 GRE 和 IPv6 GRE 的路径的代码合并 允许在不关闭 gre (IPv4 GRE)或 ip6gre (IPv6 GRE)设备的情况下进行链路层地址更改的改进 支持用于 IPv6 GRE 流量的各种卸载,如 checksum 、scatter -gather highdma gso gro 添加 ip6gretap 设备时自动内核模块载入 各种隧道修复(如错误处理、MTU 计算、路径 MTU 发现)以及影响 GRE 隧道(BZ#1369158)的 Linux 内核版本 4.8

dnsmasq rebase 到版本 2.76

dnsmasq 软件包已升级到 2.76 版本,它提供了很多程序错误修复和增强。主要变更包括: 现在支持 dhcp_release6 工具程序。 添加了 ra-param 选项。 添加了对回复 DHCPv6 信息请求的 RFC-4242 information-refresh-time 选项的支持。 添加了 RFC-3775- 兼容移动 IPv6 支持的 ra-advrouter 模式。 添加 script-arp 脚本,并包括了 dhcp-script 脚本的两个新功能。 现在,可以将随机地址用于 DHCPv6 临时地址分配,而不是以算法确定的稳定地址。 禁用了新的可选的 DNS 安全扩展(DNSSEC)支持。 dnsmasq 可以更改 IPv6 路由器公告的默认值。因此, ra-param 选项用于更改 dnsmasq 公告的路由的默认优先级和时间间隔。如需更多信息,请参阅 dnsmasq(1) 手册页。(BZ# 1375527 , BZ# 1398337 )

BIND 更改了处理 URI 资源记录的方式,会影响 URI 向后兼容性

在这个版本中,在使用 URI 资源记录时,BIND 套件不再为值字段添加额外的长度字节。这也意味着 Red Hat Enterprise Linux(RHEL)7.4 中的 BIND 仅以 RFC 7553 中描述的格式进行通信。 https://tools.ietf.org/html/rfc7553 请注意,此次更新使新的 URI 记录与在之前的 RHEL 版本中使用 BIND 创建的记录不兼容。即,RHEL 7.4 中的 BIND 无法: 了解 RHEL 中以前由 BIND 版本提供的 URI 记录。 在 RHEL 中使用之前版本的 BIND,为客户端提供 URI 记录。 但是,RHEL 7.4 中的 BIND 仍然可以: 在 RHEL 中缓存和接收来自之前和将来的 BIND 版本中的记录。 提供旧 URI 格式的记录,编码为 Unknown DNS Resource Record。详情请查看 RFC 35 97 。 在此次更新之后,您不需要对 DNS 区域文件进行任何更改。(BZ# 1388534 )

为 Microsoft Azure 云添加了 DDNS 的 DHCP 客户端 hook 示例

为 Microsoft Azure 云的 DHCP 客户端 hook 示例已添加到 dhclient 软件包中。管理员现在可以轻松启用此 hook,并使用 DDNS 服务器注册 Red Hat Enterprise Linux 客户端。(BZ#1374119)

dhcp_release6 现在发行 IPv6 地址

在这个版本中, dhcp_release6 实用程序可以为本地 dnsmasq 服务器上的 IPv6 地址释放 DHCPv6)租期。有关 dhcp_release6 命令的详情,请查看 dhcp_release6 (1)man page。(BZ# 1375569 )

Sendmail 现在支持 ECDHE

在这个版本中,Red Hat Enterprise Linux 7 Sendmail 添加了对 Elliptic Curve Diffie-Hellman Ephemeral Keys(ECDHE)支持。ECDHE 是 Diffie-Hellman 协议的一个变体,它使用 elliptic curve 加密。这是一个匿名密钥协议,允许两个方通过不安全的频道建立共享 secret。(BZ# 1124827 )

telnet 现在支持 -6 选项

在这个版本中, telnet 工具支持 -6 选项测试 IPv6 连接。(BZ# 1367415 )

Unbound 中调整可缓存负 DNS 响应的 TTL 限制

在这个版本中,为 Unbound 服务添加了 cache-max-negative-ttl 配置选项,它启用了调整专用于缓存负 DNS 响应的最大 TTL。在以前的版本中,这个限制由域 SOA 记录决定,或者它自动与缓存所有 DNS 响应的最大 TTL 限值相同(如果配置了)。 请注意,如果 Unbound 正在确定 DNS 响应缓存的 TTL,则为 cache-min-ttl 选项设置的值优先于 cache-max-negative-ttl 指定的值。(BZ#1382383)

改进了 UDP 套接字的可扩展性

这个版本改进了 UDP 转发内存核算,并减少了 UDP 套接字的锁定争用。因此,在没有发生功能改变的情况下,从多个 peer 接收流量的 UDP 套接字的整体入口吞吐量会显著提高。(BZ#1388467)

IP 现在支持内核中 IP_BIND_ADDRESS_NO_PORT

在这个版本中,内核添加了 IP_BIND_ADDRESS_NO_PORT 套接字选项。这允许内核在将 bind() 请求用于端口号 0 时跳过 L4 tuple 保留。因此,可以维护多个到不同目标主机的同步连接。(BZ#1374498)

IPVS Source Hash 调度现在支持 L4 散列和 SH 回退

在这个版本中,IP Virtual Server(IPVS)源散列调度算法包括: L4 哈希 如果目标服务器的权重为 0, 则向下一个活动服务器的请求回退到下一个活动服务器,这表明目标服务器不活动。 因此,可以根据端口号平衡来自一个源 IP 地址的请求负载。对不活跃服务器的请求不再超时。(BZ#1365002)

iproute 现在支持更改网桥端口选项

在这个版本中,在 iproute 软件包中添加了新的桥接端口选项,如 state priority cost 。因此, iproute 可用作 bridge-utils 软件包的替代选择。(BZ#1373971)

SCTP(RFC 6458)的 Sockets API Extensions 的新选项

这个版本实现选项 SCTP_SNDINFO SCTP_NXTINFO SCTP_NXTINFO SCTP_DEFAULT_SNDINFO ,到 Sockets API 扩展,用于流控制传输协议(RFC 6458)。 这些新选项替换了 SCTP_SNDRCV SCTP_EXTRCV SCTP_DEFAULT_SEND_PARAM 选项,它们现已弃用。另请参阅已弃用的功能部分。(BZ#1339791)

s 现在支持 SCTP 套接字列表

在以前的版本中, netstat 实用程序提供了流控制传输协议(SCTP)套接字列表。在这个版本中, ss 实用程序可以显示相同的列表。(BZ# 1063934 )

wpa_supplicant rebase 到版本 2.6

wpa_supplicant 软件包已升级到上游版本 2.6,它提供很多程序错误修复和增强。值得注意的是, wpa_supplicant 程序现在支持 Media Access Control Security(MACsec)加密 802.1AE,它默认启用 MACsec。(BZ# 1404793 , BZ#1338005)

Linux 内核现在包含 switchdev 基础架构和 mlxsw

这个版本将以下功能反向移植到 Linux 内核中: 以太网交换机设备驱动程序模型 - switchdev 基础架构; 因此,交换机设备现在可以从内核卸载转发数据平面 mlxsw 驱动程序 mlxsw 支持的交换机硬件: Mellanox SwitchX-2(仅以下路径) Mellanox SwitchIB 和 SwitchIB-2 Mellanox Spectrum mlxsw 支持的功能: 每个端口巨型帧,速度设置、状态设置、统计信息 端口分割和分割电缆 QoS: 802.1p,Data Center Bridging(DCB) 使用 TC 流卸载的访问控制列表(ACL)作为技术预览引进 第 2 层功能: 生成树协议(STP) 使用团队或绑定卸载链接聚合(LAG) 链路层发现协议(LLDP) 第 3 层功能: 要配置所有这些功能,请使用已经更新的 iproute 软件包提供的标准工具。(BZ# 1297841 , BZ#1275772, BZ#1414400, BZ#1434587, BZ#1434591)

Linux 网桥代码 rebase 到版本 4.9

Linux 网桥代码升级至上游版本 4.9,它提供了大量的程序错误修复和增强。主要变更包括: 支持 802.1ad VLAN 过滤和 Tx VLAN 加速 支持 802.11 代理地址解析协议(ARP) 支持使用 switchdev 进行切换卸载 对用户 mdb 条目的 VLAN 支持 支持 mdb 条目中的扩展属性 支持临时端口路由器 支持每个 VLAN 统计 支持互联网组管理协议/多广播发现(IGMP/MLD)统计 netlink 现在支持使用 sysfs 支持的所有配置设置 添加了每个端口标记来控制未知的多播 flood(BZ#1352289)

bind-dyndb-ldap rebase 到版本 11.1

bind-dyndb-ldap 软件包升级至上游版本 11.1,它提供了大量的程序错误修复和增强。 值得注意的是, /etc/named.conf 文件现在使用新的 DynDB API。更新 bind-dyndb-ldap 软件包会自动将文件转换为新的 API 风格。(BZ# 1393889 )

从 Red Hat Enterprise Linux 中添加了 BIND 的上游版本 9.11.0 的 DynDB API

这个版本反向移植 dyndb 系统插件的 API,它在上游社区的 bind 软件包版本 9.11.0 中引入。因此,Red Hat Enterprise Linux 中的 bind-dyndb-ldap 插件现在使用新的 API。在之前的 Red Hat Enterprise Linux 版本中使用的下游功能 dynamic_db 不再被支持。 因为上游 dyndb 使用与下游 dynamic_db 不同的配置语法,所以语法也会随着这一更新而变化。但是,您不需要进行任何手动配置更改。(BZ# 1393886 )

tboot rebase 到版本 1.9.5

tboot 软件包已升级到上游版本 1.9.5,它提供很多程序错误修复和增强。主要变更包括: 这个版本为受信任的平台模块(TPM)2.0 以及更新的 LCP 创建实用程序添加了第二代链接控制协议(LCP)创建实用程序。 已实施一个临时解决方案,以确保 Intel Platform Trust Technology(PTT)和 Linux PTT 驱动程序的正确行为。 在 Linux 内核标题 struct 声明中添加了新的字段,以便适应 Linux 内核的新功能。(BZ#1384210)

rdma 相关的软件包由 rebase 合并到 rdma-core 版本 13 中

rdma 软件包相关的软件包已升级并整合到单一源软件包 rdma-core 版本 13 中。软件包是: iwpmd libibverbs librdmacm ibacm libibumad libocrdma libmlx4 libmlx5 libhfi1verbs libi40iw srp_daemon(以前为 srptools) libmthca libcxgb3 libcxgb4 libnes libipathverbs librxe rdma-ndd 以前没有包括的软件包作为新软件包 rdma-core 的一部分提供: libqedr libhns libvmw_pvrdma 现在, libibverbs 子软件包中捆绑了所有与硬件相关的供应商库,简化了安装过程并防止可能不匹配的情况。 (BZ#1404035)

为静态 MAC 地址添加的 OVN IP 地址管理支持

在这个版本中,增加了对使用用户指定的静态 MAC 地址的动态 IP 地址分配的支持。因此,Open Virtual Network(OVN)用户现在可以使用与静态 MAC 地址关联的动态 IP 创建配置。(BZ# 1368043 )

在多方主机上增强的网络可靠性

在另一个接口上已存在的路由的接口中,NetworkManager 工具现在会自动将反向路径过滤方法从 Strict 切换到 Loose 。这提高了多方主机上的网络可靠性。(BZ# 1394344 )

现在支持 GENEVE、VXLAN 和 GRE 隧道卸载

借助此次更新,增加了对 GENEVE、VXLAN 和 GRE 隧道卸载的基础架构。另外,在 GENEVE 隧道实现中修复了各种程序错误。(BZ#1326309)

现在支持用于隧道流量的 LCO

在这个版本中,添加了 Local Checksum Offloading (LCO)技术来启用某些网卡,以将校验和卸载用于隧道流量。此功能增强提高了 VXLAN、GRE 和其他隧道的性能。(BZ#1326318)

改进了 NIC 的隧道性能

在这个版本中,一些不支持隧道卸载的网络接口卡(NIC)的隧道性能已被改进。现在,用户可以利用这些 NIC 上的现有硬件卸载功能。(BZ#1326353)

现在在内核中支持 NPT

在这个版本中,在 Netfilter 框架中添加了 RFC 6296 中定义的 IPv6-to-IPv6 网络前缀转换 (NPTv6)函数。现在,可以在 IPv6 前缀之间为无状态转换启用 NPT 。(BZ#1432897)

DNS 配置现在通过 D-Bus API 支持

在以前的版本中,外部应用程序无法轻松地检索 NetworkManager 使用的 DNS 参数。在这个版本中,DNS 配置已通过 D-Bus API 支持。因此,所有 DNS 相关信息(包括名称服务器和域)都可通过 NetworkManager 的 D-Bus API 提供给客户端应用程序。例如,mcli 工具是 nmcli 工具,它现在可以显示 DNS 配置。(BZ# 1404594 )

PPP 支持现在被移到一个单独的软件包中

在这个版本中,点对点协议(PPP)支持被移到一个单独的可选 NetworkManager-ppp 软件包中。因此, NetworkManager 的依赖项链会较小,并且可以限制安装的软件包的数量。 请注意,要配置 PPP 设置,您必须确保安装了 NetworkManager-ppp 软件包。(BZ# 1404598 )

tc 工具现在支持 flower

tc 工具已被改进,以使用内核 流量控制分类。在这个版本中,用户可以从接口中添加、修改或删除 流程 分类规则。(BZ# 1422629 )

修复了对 SCTP 转发路径中的 CRC32c 值计算的问题

在以前的版本中,当内核将其转发到不支持卸载的接口时,内核会错误地计算流控制传输协议(SCTP)数据包的 CRC32c 值。在这个版本中,转发路径中的 CRC32c 计算已被修复。现在,在上述情况下,SCTP 数据包会被正确传输。(BZ#1072503)

新软件包: iperf3

在这个版本中, iperf3 软件包版本 3.1.7 添加到 Red Hat Enterprise Linux 7 中。 iperf3 实用程序启用 IP 网络的最大可利用带宽的活动测量。(BZ#913329)

OVN 的安装现在支持易配置的 firewalld 规则

此功能为 openvswitch 软件包添加了 Open Virtual Network(OVN)的 firewalld 配置规则。因此,用户可以通过启用 firewalld 来更轻松地安装 OVN,而不必手动创建 firewalld 配置。(BZ# 1390938 )

netlink 现在支持网桥 master 属性

在这个版本中,当网桥属性被改变时,都会向监听器发送通知。这包括 sysfs、rtnl、ioctl 或用户应用程序(如 NetworkManager )触发的更改。(BZ#950243)

第 15 章 安全性

新软件包: tang clevis jose luksmeta

网络绑定磁盘加密(NBDE)允许用户在物理和虚拟机上加密硬盘驱动器的根卷,而无需在系统重启时手动输入密码。 Tang 是一个将数据绑定到网络存在的服务器。它包含一个守护进程,它为绑定到远程服务提供加密操作。 tang 软件包提供 NBDE 项目的服务器端。 Clevis 是自动化解密的可插入框架。它可用于提供数据自动解密,甚至可自动解锁 LUKS 卷。 clevis 软件包提供 NBDE 项目的客户端一侧。 José 是 Javascript 对象签名和加密标准的 C 语言实施。 jose 软件包是 clevis tang 软件包的依赖项。 LUKSMeta 是一个简单的库,可在 LUKSv1 标头中存储元数据。 luksmeta 软件包是 clevis tang 软件包的依赖项。 请注意, tang-nagios clevis-udisk2 子软件包仅作为技术预览提供。(BZ# 1300697 , BZ#1300696, BZ#1399228, BZ#1399229)

新软件包: usbguard

USBGuard 软件框架通过基于设备属性实施基本的白名单和黑名单功能来提供系统保护,从而免受入侵 USB 设备的保护。要强制执行用户定义的策略, USBGuard 使用 Linux 内核 USB 设备授权功能。 USBGuard 框架提供以下组件: 守护进程组件具有用于动态交互和策略强制执行的进程间通信(IPC)接口 与正在运行的 USBGuard 实例交互的命令行界面 编写 USB 设备授权策略的规则语言 用于与共享库中实施的守护进程组件交互的 C++ API(BZ#1395615)

openssh rebase 到版本 7.4

openssh 软件包已更新至上游版本 7.4,它提供了大量的改进、新功能和程序错误修复,其中包括: 添加了对 SFTP 中中断上传的重新消耗支持。 添加了身份验证失败消息的扩展日志格式。 添加了使用 SHA-256 算法的新指纹类型。 添加了对使用带有外部 PIN 条目设备的 PKCS#11 设备的支持。 从 OpenSSH 服务器中删除了对 SSH-1 协议的支持。 删除了对旧 v00 证书格式 的支持。 添加了 ssh 实用程序和 sshd 守护进程的 PubkeyAcceptedKeyTypes HostKeyAlgorithms 配置选项,以允许有选择禁用密钥类型。 添加了 OpenSSH 客户端的 AddKeysToAgent 选项。 添加了 ProxyJump ssh 选项以及相应的 -J 命令行标记。 添加了对 Diffie-Hellman 2K、4K 和 8K 组的关键交换方法的支持。 添加了 ssh_config 文件的 Include 指令。 删除了对 UseLogin 选项的支持。 删除了对服务器中预身份验证压缩的支持。 seccomp 过滤器现在用于预身份验证过程。(BZ#1341754)

audit rebase 到版本 2.7.6

audit 软件包已更新至上游版本 2.7.6,它提供了大量的改进、新功能和程序错误修复,其中包括: auditd 服务现在在启动时自动调整日志记录目录权限。这有助于在执行软件包升级后保持目录权限正确。 ausearch 程序具有一个新的 --format 输出选项。 --format 文本 选项将事件呈现为英语句子,描述正在发生的情况。 --format csv 选项将日志记录到一个主题、对象、操作、结果以及一些元数据字段(在 Comma Separated Value(CSV)格式输出)中输出的 metadata 字段。这适用于将事件信息推送到数据库、电子表格或其他分析程序中,以查看、图表或分析审计事件。 auditctl 程序现在可以通过 --reset-lost 命令行选项重置内核中丢失的事件计数器。这样可以更轻松地检查丢失的事件,因为您可以每天将值重置为零。 ausearch aureport 现在有一个 引导选项 ,用于在系统启动时查找事件。 ausearch aureport 提供一个新的 --escape 命令行选项,以更好地控制对审计字段进行的转义类型。它目前支持 raw tty shell shell_quote 转义。 auditctl 不再允许使用条目过滤器的规则。从 Red Hat Enterprise Linux 5 开始不支持这个过滤器。在此发行版本前,在 Red Hat Enterprise Linux 6 和 7 中, auditctl 会将任何进入规则移到 exit 过滤器中,并显示条目过滤器已弃用的警告。(BZ# 1381601 )

opensc rebase 到版本 0.16.0

OpenSC 库和工具组提供对使用智能卡的支持。 OpenSC 侧重于支持加密操作的卡,并启用它们用于身份验证、邮件加密或数字签名。 Red Hat Enterprise Linux 7.4 中的显著改进包括: OpenSC 添加了对通用访问卡(CAC)卡的支持。 OpenSC 实施 PKCS#11 API,现在还提供 CoolKey 小程序功能。 opensc 软件包替换了 coolkey 软件包。 请注意,Red Hat Enterprise Linux 7 生命周期中会保留 coolkey 软件包,但新的硬件启用将通过 opensc 软件包提供。(BZ# 10810 88, BZ# 1373164 )

openssl rebase 到版本 1.0.2k

openssl 软件包已更新至上游版本 1.0.2k,它提供了大量的改进、新功能和程序错误修复,其中包括: 添加了对 Datagram Transport Layer Security TLS(DTLS)协议版本 1.2 的支持。 添加了对 TLS 中 ECDHE 密钥交换的自动电曲选择的支持。 添加了对 Application-Layer Protocol Negotiation(ALPN)的支持。 添加了对以下方案的 Cryptographic Message syntax(CMS)支持: RSA-PSS、RSA-OAEP、ECDH 和 X9.42 DH。 请注意,这个版本与之前 Red Hat Enterprise Linux 7 版本的 OpenSSL 库版本中的 API 和 ABI 兼容。(BZ# 1276310 )

openssl-ibmca rebase 到版本 1.3.0

openssl-ibmca 软件包已更新至上游版本 1.3.0,它提供很多程序错误修复和增强。主要变更包括: 添加了对 SHA-512 的支持。 当 ibmca 引擎启动时,会动态加载加密方法。这可让 ibmca 通过 libica 库支持它们。 修复了块大小处理流加密模式的错误。(BZ#1274385)

OpenSCAP 1.2 is NIST-certified

OpenSCAP 1.2 是安全内容自动化协议(SCAP)扫描程序,由国家标准与技术研究院(NIST)认证,是红帽企业 Linux 6 和 7 的政府评估配置和漏洞扫描程序。 OpenSCAP 分析并正确评估安全自动化内容,它提供 NIST 在敏感、安全意识环境中运行所需的功能和文档。另外, OpenSCAP 是第一个经过 NIST 认证的配置扫描程序,用于评估 Linux 容器。用例包括评估红帽企业 Linux 7 主机的 PCI 和安全技术实施指南(STIG)合规性,以及使用红帽常见漏洞和暴露(CVE)数据执行已知的漏洞扫描。(BZ#1363826)

libreswan rebase 到版本 3.20

libreswan 软件包已升级到上游版本 3.20,它提供很多程序错误修复和增强。主要改进包括: 添加了对 Opportunistic IPsec(Mesh Encryption)的支持,它启用了使用所有主机上简单配置覆盖大量主机的 IPsec 部署。 进一步加强 FIPS。 添加了对使用虚拟 Tunnel Interface(VTI)的基于路由的 VPN 的支持。 改进了对非 root 配置的支持。 改进了在线证书状态协议(OCSP)和证书 Revocation Lists(CRL)支持。 添加了新的 whack 命令选项:-- fipsstatus、-- fetchcrls 、-- globalstatus --shuntstatus 。 添加了对 NAT Opportunistic Encryption(OE)客户端地址转换的支持: leftcat=yes 。 添加了对流量流冲突机制的支持: tfc= 。 根据 RFC 4307bis 和 RFC 7321bis 更新的密码首选项。 添加了对扩展序列号(ESN)的支持: esn=yes 。 添加了对禁用和增加 replay 窗口的支持: replay-window= 。(BZ# 1399883 )

审计现在支持基于会话 ID 进行过滤

在这个版本中,Linux Audit 系统支持用户规则根据 sessionid 值过滤审计消息。(BZ#1382504)

libseccomp 现在支持 IBM Power 架构

在这个版本中,libseccomp 库支持 IBM Power、64 位 IBM Power 和 64 位 little-endian IBM Power 架构,它启用了 GNOME rebase。 (BZ# 1425007 )

AUDIT_KERN_MODULE 现在记录模块加载

AUDIT_KERN_MODULE 辅助记录已添加到 init_module()、finit_module()、f init_module() delete_module() 函数中的 AUDIT_SYSCALL 记录中。此信息存储在 audit_context 结构中。(BZ#1382500)

OpenSSH 现在将 SHA-2 用于公钥签名

在以前的版本中, OpenSSH 使用 SHA-1 哈希算法使用 RSA 和 DSA 密钥进行公钥签名。SHA-1 不再被视为安全,新的 SSH 协议扩展允许使用 SHA-2。在这个版本中,SHA-2 是公钥签名的默认算法。SHA-1 仅适用于向后兼容目的。(BZ#1322911)

firewalld 现在支持额外的 IP 集合

在这个版本中, 添加了对 以下 ipset 类型的支持: hash:ip,port hash:ip,port,ip hash:ip,port,net hash:ip,mark hash:net,net hash:net,port hash:net,port,net hash:net,iface firewalld 中不支持同时提供来源和目的地组合的 ipset 类型。使用这些类型的 IP 设置由 firewalld 创建,但其用途仅限于直接规则: hash:ip,port,ip hash:ip,port,net hash:net,net hash:net,port,net ipset 软件包已更新至上游版本 6.29,现在还支持以下 ipset 类型: hash:mac hash:net,port,net hash:net,net hash:ip,mark(BZ# 1419058 )

firewalld 现在支持在富规则中对 ICMP 类型的操作

在这个版本中, firewalld 服务守护进程允许在带有接受、日志和标记操作的富规则中使用互联网控制消息协议(ICMP)类型。(BZ# 1409544 )

firewalld 现在支持禁用的自动帮助程序分配

这个 firewalld 服务守护进程更新引进了对禁用自动帮助程序分配功能的支持。现在,如果自动帮助程序分配关闭,则可以使用 firewalld 帮助程序,而无需添加额外的规则。(BZ#1006225)

nss nss-util 现在默认使用 SHA-256

在这个版本中,在创建数字签名时,NSS 库的默认配置已被修改为使用更强大的哈希算法。使用 RSA、EC 和 2048 位(或更长) DSA 密钥,现在使用 SHA-256 算法。 请注意: 另外,NSS 工具(如 certutil ccutil cmsutil )现在在默认配置中使用 SHA-256。(BZ# 1309781 )

审计日志过滤器排除规则现在包含其他字段

exclude 过滤器已被改进,现在它只包含 msgtype 字段,以及 pid uid gid uid sessionID SELinux 类型。(BZ#1382508)

PROCTITLE 现在在审计事件中提供完整命令

这个版本引进了在审计事件外的 PROCTITLE 记录。 PROCTITLE 提供正在执行的完整命令。 PROCTITLE 值经过编码,因此无法绕过审计事件解析器。请注意, PROCTITLE 值仍然不被信任,因为它会因用户空间日期起不被信任。(BZ#1299527)

nss-softokn rebase 到版本 3.28.3

nss-softokn 软件包已升级到上游版本 3.28.3,它提供很多程序错误修复和增强: 添加了对 ChaCha20-Poly1305(RFC 7539)算法(RFC 7905)、互联网密钥交换协议(IKE)和 IPsec(RFC 7634)的支持。 对于密钥交换目的,增加了对 Curve25519/X25519 curve 的支持。 添加了对扩展 Master Secret(RFC 7627)扩展的支持。(BZ# 1369055 )

libica rebase 到版本 3.0.2

libica 软件包升级至上游版本 3.0.2,它提供了大量的修复。主要附加组件包括 支持联邦信息处理标准(FIPS)模式 支持生成伪随机数字,包括对 determineistic Random Bit Generator 的支持与更新的安全规格 NIST SP 800-90A。(BZ#1391558)

opencryptoki rebase 到版本 3.6.2

opencryptoki 软件包已升级到上游版本 3.6.2,它提供很多程序错误修复和增强: 添加了对 OpenSSL 1.1 的支持 替换了弃用的 OpenSSL 接口。 替换已弃用的 libica 接口。 提高了 IBM Crypto 加速器(ICA)的性能。 添加了对 rc=8、reasoncode=2028 错误消息的支持。 (BZ#1391559)

现在, AUDIT_NETFILTER_PKT 事件被规范化

现在, AUDIT_NETFILTER_PKT 审计事件已被简化,信息字段会以一致的方式显示。(BZ#1382494)

P11tool 现在支持通过指定存储的 ID 来写入对象

在这个版本中, p11tool GnuTLS PKCS#11 工具支持 new --id 选项,通过指定存储的 ID 来写入对象。这允许写入的对象可以被超过 p11tool 的应用程序寻址。(BZ# 1399232 )

新软件包: nss-pem

这个版本引进了 nss-pem 软件包,它以前是 nss 软件包的一部分,作为单独的软件包。 nss-pem 软件包为作为 PKCS#11 模块实现的网络安全服务(NSS)提供 PEM 文件读取器。(BZ#1316546)

pmrfc3164 替换 pmrfc3164sd rsyslog

随着 rsyslog 软件包的更新, pmrfc3164sd 模块用于在 BSD syslog 协议格式(RFC 3164)中解析日志,由官方 pmrfc3164 模块替代。官方模块没有完全涵盖 pmrfc3164sd 功能,因此它仍可在 rsyslog 中提供。但是,建议您尽可能使用新的 pmrfc3164 模块。 pmrfc3164sd 模块不再被支持。(BZ#1431616)

libreswan 现在支持 right=%opportunisticgroup

在这个版本中,支持 conn 部分的 conn 部分的 %opportunisticgroup 值。这允许带有 X.509 身份验证的 opportunistic IPsec,这可显著减少大型环境中的管理开销。(BZ#1324458)

ca-certificates 现在满足 Mozilla Firefox 52.2 ESR 要求

网络安全服务(NSS)代码和证书颁发机构(CA)列表已更新,以满足最新 Mozilla Firefox Extended Support Release(ESR)发布的建议。更新的 CA 列表改进了与互联网公钥基础架构(PKI)中使用的证书的兼容性。为了避免证书验证的 refusals,红帽建议在 2017 年 6 月 12 日安装更新的 CA 列表。(BZ#1444413)

nss 现在满足 Mozilla Firefox 52.2 ESR 对证书的要求

证书颁发机构(CA)列表已更新,以满足最新 Mozilla Firefox 扩展支持发行本(ESR)发布的建议。更新的 CA 列表改进了与互联网公钥基础架构(PKI)中使用的证书的兼容性。为了避免证书验证的 refusals,红帽建议在 2017 年 6 月 12 日安装更新的 CA 列表。(BZ#1444414)

scap-security-guide rebase 到版本 0.1.33

scap-security-guide 软件包已升级到上游版本 0.1.33,它提供很多程序错误修复和增强。特别是,这个新版本增强了现有的合规性配置集,并扩展了覆盖范围,使其包含两个新的配置基线: PCI-DSS v3 Control Baseline 的扩展支持 美国政府商业云服务(C2S)的扩展支持。 延长对 Red Hat Corporate Profile for Certified Cloud Providers 的支持。 添加了对 Red Hat Enterprise Linux 7 配置集的 Defense Information Systems Agency(DISA)安全技术实施指南(STIG)的支持,这与 Red Hat Enterprise Linux V1R1 配置集的 DISA STIG 一致。 添加了对 Non-federal Information Systems 和机构(NIST 800-171)中未分类的信息的支持,将 Red Hat Enterprise Linux 7 配置为 NIST Special Publication 800-53 控制,用于保护控制未分类的信息(CUI)。 添加了对 United States Government Configuration Baseline(USGCB/STIG)配置集的支持,它们与 U. S 合作开发。美国国家标准与技术研究院(NIST)。国防部、国家安全局和红帽公司部门. USGCB/STIG 配置集通过以下文档实现配置要求: 国家安全系统说明"N. 1253"(CNSSI 1253) NIST 可控制未分类的信息(NIST 800-171) NIST 800-53 控制中等影响系统的选择(NIST 800-53) U. S.政府配置基线(USGCB) NIAP Protection Profile for General Purpose Operating Systems v4.0(OSPP v4.0) DISA 操作系统安全要求指南(OS SRG) 请注意,一些之前包含的配置集已被删除或合并。(BZ# 1410914 )

第 16 章 服务器和服务

chrony rebase 到版本 3.1

chrony 软件包升级至上游版本 3.1,它提供很多程序错误修复和增强。主要改进包括: 添加了对软件和硬件时间戳的支持,以便提高准确性(可能为微秒级准确性)。 改进了对称网络 jitter 的准确性。 添加了对交集模式的支持。 添加了对 Unix 域套接字配置和监控配置和监控的支持,以使用命令密钥替换身份验证(不再可能进行远程配置)。 改进了自动替换服务器。 添加了与 ntpd 守护进程兼容的孤立模式。 添加了 NTP 服务器的响应速率限制。 添加了详细的 man page,以 info 格式替换文档。(BZ#1387223)

linuxptp rebase 到版本 1.8

linuxptp 软件包已升级到上游版本 1.8,它提供很多程序错误修复和增强。主要改进包括: 添加了对混合端到端(E2E)延迟测量的支持,以使用单播信息减少大型网络中的网络流量。 添加了对使用独立精确时间协议(PTP)硬件时钟(BC)运行边界时钟(BC)的支持。 添加了配置 PTP 消息时间为 Live(TTL)和差异化服务代码点(DSCP)的选项。(BZ# 1359311 )

tuned rebase 到版本 2.8.0

tuned 软件包已升级到上游版本 2.8.0,它提供很多程序错误修复和增强。主要变更包括: 添加了 CPU 分区配置集。 添加了对内核隔离的支持。 添加了对 initrd overlay 的支持。 改进了继承。 已启用基于 udev 设备管理器的 regexp 设备匹配。(BZ# 1388454 , BZ# 1395855 , BZ# 1395899 , BZ# 1408308 , BZ# 1394965 )

logrotate 现在使用 /var/lib/logrotate/logrotate.status 作为默认状态文件

在以前的版本中, logrotate cron 作业使用到 logrotate 状态文件的修改路径。因此,cron 任务使用的路径与 logrotate 本身使用的默认状态文件路径不匹配。为防止混淆, logrotate 使用的默认状态文件路径已更改为与 logrotate cron 作业使用的状态文件路径相符。因此, logrotate 现在使用 /var/lib/logrotate/logrotate.status 作为这两种场景中的默认状态文件路径。(BZ# 1381719 )

rsyslog rebase 到版本 8.24.0

rsyslog 实用程序已更新至上游版本 8.24.0,其中包括大量改进、新功能和程序错误修复。主要改进包括: 实施了一个新的核心引擎,提供更快的消息处理。 改进了处理 JSON 格式的数据时速度和稳定性。 RainerScript 配置格式已被默认选择,使用更多选项进行了改进。 添加了一个新的 mmexternal 模块,用于使用外部应用程序处理 rsyslog 内的消息。 omprog 模块改进了改进,以更好地与外部二进制文件通信。 模块 imrelp omrelp 现在支持使用 TLS 协议的加密传输。 imuxsock 模块现在支持独立套接字的规则集,它会覆盖全局规则集。 当使用 imuxsock 模块时,速率限制信息现在包含导致速率限制的进程的 PID。 TCP 服务器错误消息现在包含远程主机的 IP 地址。 在切换到 persistent journald 配置后, imjournal 模块不再停止接收日志。 当机器的时钟被设置为更早的时间时,记录到运行时日志不再完全停止。 在以前的版本中,当带有 copytruncate 选项的 logrotate 程序轮转日志文件时, imfile 模块可能没有从文件中轮转的所有日志消息。因此,这些日志消息会丢失。 imfile 模块已扩展以处理此情况。由于 consquence,当对日志文件使用 logrotate copytruncate 时,消息将不再丢失。 建议使用自定义模块的客户为当前的 rsyslog 版本更新模块。 有关已弃用 rsyslog 选项的信息,请参阅已弃用的功能章节。(BZ# 1313490 , BZ#1174345, BZ# 1053641 , BZ#1196230, BZ#1326216, BZ# 1088021 , BZ# 1419228 , BZ# 1133687 )

mod_nss 的新缓存配置选项

这个版本添加了新的选项来控制对 mod_nss 模块的 OCSP 响应的 cah。新选项允许用户控制: 等待 OCSP 响应的时间 OCSP 缓存的大小 项存在于缓存中的最小和最大持续时间,包括完全不缓存(BZ# 1392582)

已从 nss_pcache 中删除数据库和前缀选项

nss_pcache pin-caching 服务不再共享 mod_nss Apache 模块的 Network Security Services(NSS)数据库,因为 nss_pcache 不需要访问令牌。NSS 数据库和前缀的选项已被删除,现在由 mod_nss 自动处理。(BZ#1382102)

新软件包: libfastjson

在这个版本中引进了 libfastjson 库作为 rsyslog json-c 库的替代。与 json-c 相比,有限的功能集 libfastjson 可以大大提高性能。(BZ#1395145)

tuned 现在支持 initrd 覆盖

tuned 现在支持 initrd overlay,它可以扩展默认(Dracut)initrd 镜像。它由 bootloader 插件支持。这个示例显示了 Tuned 配置集中的典型用法: [bootloader] initrd_add_dir=${i:PROFILE_DIR}/overlay.img 这会在激活配置集时将 overlay.img 目录的内容添加到当前 initrd 中。(BZ# 1414098 )

openwsman 现在支持禁用特定的 SSL 协议

在以前的版本中,使用 openwsman 实用程序无法禁用特定的 SSL 协议。添加了对已禁用协议列表的新配置文件选项。因此,现在可以通过 openwsman 配置文件禁用特定的 SSL 协议。(BZ#1190689)

rear rebase 到版本 2.0

更新了 rear 软件包,它修复几个程序错误,并添加了对 Red Hat Enterprise Linux 7 的各种改进。主要变更包括: Cyclic Redundancy 检查 (CRC)功能现在在 XFS 文件系统中默认启用。在以前的版本中, 重新 忽略了此行为,并使用不兼容的 UUID 标志格式化 /boot 分区。这会导致恢复过程失败。在这个版本中, 重新检查 CRC 功能,并在恢复过程中正确保留 UUID。 添加了对 IBM Power Systems 架构的 GRUB GRUB2 引导装载程序的支持。 现在,如果将指令 NETFS_RESTORE_CAPABILITIES 设置为 /usr/share/rear/conf/default.conf 配置文件中的 y 选项,则 Linux 能力会被保留。 现在,在救援镜像中会保留 CIFS 凭证。 已丢弃 GRUB_SUPERUSER GRUB_RESCUE_PASSWORD 指令,以避免当前正在运行的系统中 GRUB2 引导装载程序的可能意外行为。 文档有所改进。 启用了创建多个备份。(BZ# 1355667 )

python-tornado rebase 到版本 4.2.1

python-tornado 软件包升级至上游版本 4.2.1,它提供很多程序错误修复和增强。主要变更包括: 新的 tornado.netutil.Resolver 类,它为 DNS 解析提供了一个异步接口 新的 tornado.tcpclient 模块,它可创建带有非阻塞 DNS、SSL 握手和对 IPv6 的 TCP 连接 IOLoop.instance() 功能现在是 thread-safe 改进了日志记录;低级日志不频繁; Tornado 使用自己的日志记录器,而不是根日志记录器,这会启用更详细的配置 在 python-tornado 中分离多个引用周期,在 CPython 上启用更有效的垃圾回收 Coroutines 现在速度更快,在 Tornado 内广泛使用。(BZ# 1158617 )

第 17 章 Storage

在 LVM 中添加了对 RAID 级别的支持

LVM 现在完全支持 RAID 接管(以前作为技术预览提供),允许用户将 RAID 逻辑卷从一个 RAID 级别转换成另一个 RAID 级别。此发行版本扩展了 RAID 接管组合的数量。支持某些转换可能需要中间步骤。较早的发布的内核版本中不支持使用 RAID 添加新 RAID 类型;这些 RAID 类型是 raid0_meta、raid5_n 和 raid6_{ls、rs、la、n}_6。用户在 Red Hat Enterprise Linux 7.4 中创建这些 RAID 类型或转换为那些 RAID 类型的用户无法激活在运行之前版本的系统中的逻辑卷。RAID 接管只在单一机器模式的顶层逻辑卷中可用(即,对集群卷组不可用,或者 RAID 位于精简池中或精简池的一部分)。(BZ# 1366296 )

LVM 现在支持 RAID reshaping

LVM 现在提供对 RAID reshaping 的支持。当接管允许用户从一个 RAID 类型改为另一个 RAID 类型时,重塑允许用户更改属性,如 RAID 算法、条带大小、区域大小或镜像数量。例如,用户可以通过添加两个额外的设备,将三向条带更改为 5 路条带。reshaping 仅在单一机器模式的顶级逻辑卷上可用,但只有逻辑卷没有使用(例如,如果逻辑卷被文件系统挂载)。(BZ# 1191935 , BZ#834579, BZ# 1191978 , BZ# 1392947 )

设备映射器线性设备现在支持 DAX

直接访问(DAX)支持被添加到 dm-linear dm-stripe 目标中。现在,可以合并多个非线性内存模块(NVDIMM)设备,以提供更大的持久内存(PMEM)块设备。(BZ#1384648)

libstoragemgmt rebase 到版本 1.4.0

libstoragemgmt 软件包已升级到上游版本 1.4.0,它提供很多程序错误修复和增强。值得注意的是,添加了以下库: Query serial number of local disk: lsm_local_disk_serial_num_get()/lsm.LocalDisk.serial_num_get() Query LED status of local disk: lsm_local_disk_led_status_get()/lsm.LocalDisk.led_status_get() Query link speed of local disk: lsm_local_disk_link_speed_get()/lsm.LocalDisk.link_speed_get() 主要程序错误修复包括: 已修复 Dell PowerEdge RAID Controller(PERC)的 megaraid 插件。 修复了 NVM Express(NVMe)磁盘上的本地磁盘轮转速度查询。 在本地磁盘查询中解决了 lsmcli 错误处理错误。 修正了所有 gcc 编译警告。 修复了 autoconf AC_OUTPUT 宏的过时用法。(BZ# 1403142 )

mpt3sas 更新至版本 15.100.00

mpt3sas 存储驱动程序已更新至版本 15.100.00.00,它增加了对新设备的支持。请联系您的供应商以获取更多详情。(BZ#1306453)

lpfc _no_hba_reset 模块参数现在可用

在这个版本中,通过添加 lpfc _no_hba_reset 模块参数来提高 Emulex Fibre Channel Host Bus Adapters(HBAs)的特定模型的 lpfc 驱动程序。此参数接受在 SCSI 错误处理过程中没有重置的 HBA 的一个或多个十六进制端口号(WWPN)列表。 现在, lpfc 允许您控制在 SCSI 错误处理过程中可以重置 HBA 的端口。另外, lpfc 现在允许您设置 eh_deadline 参数,它代表 SCSI 错误处理时间的上限。(BZ#1366564)

LVM 现在检测到 Veritas Dynamic Multi-Pathing 系统,不再直接访问底层设备路径

要使 LVM 正确使用 Veritas Dynamic Multi-Pathing,您必须在配置文件 /etc/lvm/lvm.conf 的 devices 部分中将 get _device_list_from_udev 设置为 0。这些多路径设备不会通过标准 udev 接口公开,因此,如果没有此设置 LVM,则不能了解其存在。(BZ#1346280)

libnvdimm 内核子系统现在支持 PMEM 子部门

Intel 的 Non-Volatile Dual In-line Memory Module(NVDIMM)标签规格已被扩展,允许每个区域配置多个 Persistent Memory(PMEM)命名空间(interleave set)。Red Hat Enterprise Linux 7.4 附带的内核已被修改来支持这些新配置。 没有子部门支持,我们以前只能在一个模式下使用: pmem device dax 扇区 。在这个版本中,一个地区可以划分,每个子部门都可以独立于其他区进行配置。(BZ#1383827)

multipathd 没有运行时的警告信息

现在,如果用户运行 multipath 命令,则当它们运行 multipathd 时无法创建或列出多路径设备,则会收到警告消息。 如果 multipathd 未运行,则设备将无法恢复失败或响应设备设置更改的路径。现在,如果多路径设备和 multipathd 没有运行,则 multipathd 守护进程会显示警告信息。(BZ# 1359510 )

c 库接口添加到 multipathd 中,以提供结构化输出

用户现在可以使用 libdmmp 库从 multipathd 获取结构化信息。想从 multipathd 获取信息的其它程序现在可以在不运行命令并解析结果的情况下获得这些信息。(BZ# 1430097 )

删除重试 多路径配置值

如果多路径设备在多路径尝试删除时临时使用,则移除将失败。现在,可以通过设置 remove_retries 配置值来控制 multipath 命令重试移除的多路径设备的次数。默认值为 0,在本例中,多路径不会重试失败的删除。(BZ# 1368211 )

新的 multipathd 重置 multipaths stats 命令

多路径现在支持两个新 multipathd 命令: multipathd reset multipaths stats multipathd reset multipath dev stats 。这些命令重置 多路径 跟踪所有设备或指定的设备统计信息。这允许用户在对设备进行更改后重置其设备统计信息。(BZ# 1416569 )

新的 disable_changed_wwids mulitpath 配置参数

多路径现在支持一个新的 multipath.conf defaults 部分参数, disable_changed_wwids 。设置后,当路径设备在使用时更改其 wwid 时,这将进行多路径通知,并将禁用对路径设备的访问,直到它的 wwid 返回之前的值。 当 scsi 设备更改的 wwid 时,通常是表示设备已重新映射到其他 LUN。如果在使用 scsi 设备时发生这种情况,它可能会导致数据崩溃。当 scsi 设备更改其 wwid 时,设置 disable_changed_wwids 参数将警告用户。在很多情况下, multipathd 会在从原始 LUN 取消 map 时立即禁用对路径设备的访问,从而造成损坏的可能性。但是 multipathd 在重新映射 scsi 设备之前无法捕获更改,这意味着可能仍存在损坏窗口。目前不支持重新映射使用 scsi 设备。(BZ#1169168)

更新了 HPE 3PAR 阵列的内置配置

3PAR 阵列的内置配置现在将 no_path_retry 设置为 12。(BZ#1279355)

添加了 NFINIDAT InfiniBox.* 设备的内置配置

多路径现在会自动配置 NFINIDAT InfiniBox.* 设备(BZ#1362409)

device-mapper-multipath 现在支持 max_sectors_kb 配置参数

在这个版本中, device-mapper-multipath multipath.conf 文件的 defaults、device 和 multipaths 部分中提供了一个新的 max_sectors_kb 参数。 max_sectors_kb 参数允许您在第一个激活多路径设备前将 max_sectors_kb 设备队列参数设置为在多路径设备的所有底层路径上的指定的值。 创建多路径设备时,设备会从路径设备中继承 max_sectors_kb 值。为多路径设备手动增加这个值或减少路径设备的此值可能会导致多路径创建大于路径设备的 I/O 操作。 使用 max_sectors_kb multipath.conf 参数是在路径设备上创建多路径设备之前设置这些值的简单方法,并防止无效的 I/O 操作被传递。(BZ#1394059)

new detect_checker multipath 配置参数

某些设备(如 VNX2)可以在 ALUA 模式中进行配置。在这个模式中,它们需要使用不同的 path_checker 优先级,而不是在非ALUA 模式中的优先顺序 。多路径现在支持 multipath.conf defaults 和 devices 部分中的 detect_checker 参数。如果设置此项,多路径将检测设备是否支持 ALUA,如果是这样,它将覆盖配置的 path_checker 并使用 TUR 检查程序。 detect_checker 选项允许正确配置带有可选 ALUA 模式的设备,无论它们所处的模式是什么。(BZ#1372032)

多路径现在有一个用于 Nimble 存储设备的内置默认配置

多路径默认硬件表现在包含 Nimble 存储阵列条目。(BZ# 1406226 )

LVM 支持缩小 RAID 逻辑卷的大小

从 Red Hat Enterprise Linux 7 7 开始,您可以使用 lvreduce lvresize 命令减少 RAID 逻辑卷的大小。(BZ# 1394048 )

iprutils rebase 到版本 2.4.14

iprutils 软件包已升级到上游版本 2.4.14,它提供很多程序错误修复和增强。值得注意的是: endian swapped device_id 现在与更早的版本兼容。 现在,允许采用裸机模式的 VSET 写缓存。 修复了在双适配器设置中创建 RAIDS。 现在默认禁用单个适配器配置的重新构建。(BZ#1384382)

mdadm rebase 到版本 4.0

mdadm 软件包已升级到上游版本 4.0,它提供很多程序错误修复和增强。值得注意的是,这个版本对 Intel Matrix Storage Manager(IMSM)元数据添加了错误的块管理支持。此更新中包含的功能受到外部元数据格式的支持,红帽继续支持 Intel Fast Storage Technology enterprise(Intel RSTe)软件堆栈。(BZ#1380017)

当精简池容量超过 50% 时,LVM 会扩展精简池逻辑卷的大小

当精简池逻辑卷填充超过 50% 时,默认情况下, dmeventd 精简插件现在会调用 dmeventd thin _command 命令,每隔 5% 的增加。这会在配置文件的 激活 部分中填充了配置的 thin_pool_autoextend_threshold ,这将调整精简池的大小。用户可通过配置外部命令来覆盖此默认设置,并将此命令指定为 lvm.conf 文件的 dmeventd 部分的 thin_command 的值。有关 精简 插件和配置外部命令维护精简池的详情,请参考 dmeventd(8) man page。 在以前的版本中,当精简池重新定义大小失败时, dmeventd 插件会在达到 95% 以上时尝试卸载与精简池关联的所有精简卷。默认情况下, dmeventd 插件不再卸载任何卷。重现前面的逻辑需要配置外部脚本。(BZ# 1442992 )

LVM 现在支持 dm-cache 元数据版本 2

LVM/DM 缓存已被显著改进。它提供对更大的缓存大小的支持,更好地适应不断变化的工作负载,大大提高了启动和关机时间,以及更高的性能整体。现在,在使用 LVM 的缓存逻辑卷时,dm-cache 元数据格式的版本 2 是默认设置。版本 1 将继续支持之前创建的 LVM 缓存逻辑卷。升级到版本 2 将需要删除旧缓存层并创建新的缓存层。(BZ# 1436748 )

支持在指定硬件上对 DIF/DIX(T10 PI)的支持

Red Hat Enterprise Linux 7.4 完全支持 SCSI T10 DIF/DIX,只要硬件供应商已授权,并提供对特定 HBA 和存储阵列配置的全面支持。其他配置不支持 DIF/DIX,它不支持在引导设备中使用,而且虚拟机不支持它。 目前,我们知道了以下供应商来提供此支持。 FUJITSU 支持 DIF 和 DIX: EMULEX 16G FC HBA: EMULEX LPe16000/LPe16002、10.2.254.0 BIOS、10.4.255.23 FW,包含以下内容: FUJITSU ETERNUS DX100 S3, DX200 S3, DX500 S3, DX600 S3, DX8100 S3, DX8700 S3, DX8900 S3, DX200F, DX60 S3, AF250, AF650 QLOGIC 16G FC HBA: QLOGIC QLE2670/QLE2672, 3.28 BIOS, 8.00.00 FW, with: FUJITSU ETERNUS DX100 S3, DX200 S3, DX500 S3, DX600 S3, DX8100 S3, DX8700 S3, DX8900 S3, DX200F, DX60 S3 请注意,T10 DIX 需要数据库或某些其他软件,用于在磁盘块上提供校验和的生成和验证。当前不支持的 Linux 文件系统具有此功能。 EMC 支持 DIF on: EMULEX 8G FC HBA: LPe12000-E 和 LPe12002-E 带有固件 2.01a10 或更高版本,包含以下内容: EMC VMAX3 系列及 Enginuity 5977; EMC Symmetrix VMAX 系列含 Enginuity 5876.82.57 及更新的版本 EMULEX 16G FC HBA: LPe16000B-E 和 LPe16002B-E 带有固件 10.0.803.25 或更高版本,使用: EMC VMAX3 系列及 Enginuity 5977; EMC Symmetrix VMAX 系列含 Enginuity 5876.82.57 及更新的版本 QLOGIC 16G FC HBA: QLE2670-E-SP 和 QLE2672-E-SP,带有: EMC VMAX3 系列及 Enginuity 5977; EMC Symmetrix VMAX 系列含 Enginuity 5876.82.57 及更新的版本 有关最新状态,请参阅硬件供应商的支持信息。 对于其他 HBA 和存储阵列,对 DIF/DIX 的支持仍只是一个技术预览。(BZ#1457907)

dmstats 工具现在可以跟踪更改的文件统计信息

在以前的版本中, dmstats 工具能够报告大小不更改的文件的统计信息。现在,它能够监视文件的更改并更新其跟踪文件 I/O 的映射,即使文件的大小发生变化(或填充文件可能位于文件中的漏洞)。(BZ# 1378956 )

支持缓存的逻辑卷的精简快照

Red Hat Enterprise Linux 7.4 中的 LVM 允许您创建缓存的逻辑卷的精简快照。这个功能在以前的版本中不可用。这些外部原始缓存的逻辑卷将转换为只读状态,因此可由不同的精简池使用。(BZ# 1189108 )

新软件包: nvmetcli

nvmetcli 实用程序允许您使用 NVME-over-RDMA 结构类型将 Red Hat Enterprise Linux 配置为 NVMEoF 目标。使用 nvmetcli ,您可以以交互方式配置 nvmet ,或者使用 JSON 文件保存和恢复配置。(BZ#1383837)

设备 DAX 现在可用于 NVDIMM 设备

设备 DAX 可让用户(如虚拟机监控程序和数据库)在不干预文件系统的情况下具有对持久内存的原始访问。特别是,设备 DAX 允许应用程序具有可预测的故障粒度,并可从用户空间将数据刷新到持久性域。从 Red Hat Enterprise Linux 7.4 开始,Device Dax 可用于 Non-Volatile Dual In-line Memory Module(NVDIMM)设备。(BZ#1383489)

第 18 章 系统和订阅管理

yum 添加了新的 payload_gpgcheck 选项

在这个版本中,新配置选项 payload_gpgcheck 已添加到 yum 实用程序中。这个选项在软件包有效负载部分启用 GNU Privacy Guard(GPG)签名检查,从而在安装软件包时增强安全性和完整性。在以前的版本中,当启用 gpgcheck 选项时, yum 只对标头执行 GPG 签名检查。因此,如果有效负载数据被修改或损坏,RPM 解包错误发生,且软件包已处于部分安装状态。这可能会让操作系统处于不一致且存在安全漏洞的状态。 您可以将新的 payload_gpgcheck 选项与 gpgcheck localpkg_gpgcheck 选项结合使用,以防止此问题。因此,当启用 payload_gpgcheck 时, yum 在有效负载上执行 GPG 签名检查,并在未验证事务时中止事务。使用 payload_gpgcheck 等同于在下载的软件包上手动运行 rpm -K 。(BZ# 1343690 )

virt-who 可以使用 no-proxy 配置

在这个版本中,可以将 virt-who 服务设置为忽略代理设置。这可让 virt-who 在使用带有单向通信的代理连接的环境中正常工作。 要设置此功能,请将 NO_PROXY 环境变量添加到 /etc/sysconfig/virt-who 文件。或者,您可以将 no_proxy 变量添加到 /etc/rhsm/rhsm.conf 文件的 [server] 部分。 请注意,在使用 Red Hat Satellite 5 同步虚拟机监控程序时,NO_PROXY 设置无法正常工作。(BZ#1299643)

virt-who respects 独立间隔设置

在这个版本中, virt-who 命令在所有有更新的源都会报告每个间隔。另外,如果 virt-who 被配置为将更新发送到多个目的地,例如到 Red Hat Satellite 实例和 Red Hat Subscription Management(RHSM),则单独维护一个间隔。这意味着,所有更新都可以发送到每个配置的目的地,无论与其他目的地的通信状态如何。(BZ# 1436811 )

添加到 virt-who-password 中的密码选项

在这个版本中, -p --password 选项被添加到 virt-who-password 工具中。这可让在脚本中使用 实用程序。(BZ# 1426058 )

在某些 virt-who 配置参数可以使用正则表达式和通配符

在这个版本中,正则表达式和通配符可用于 filter_hosts exclude_hosts 配置参数。这可让 virt-who 用户维护一个主机列表以更简便地进行报告。 通过使用正则表达式和通配符来指定要报告或排除的主机,主机列表更为简洁。(BZ# 1405967 )

virt-who 配置文件更易于管理

virt-who 服务现在只使用 /etc/virt-who.d/ 目录中以 .conf 扩展结尾的配置文件。这可更轻松地管理 virt-who 配置文件,例如用于测试或备份目的。(BZ# 1369107 )

第 19 章 虚拟化

Amazon Web Services 的 ENA 驱动程序

在这个版本中,增加了对 Red Hat Enterprise Linux 7 内核的 Amazon Elastic Network Adapter(ENA)驱动程序的支持。ENA 显著提高了红帽企业 Linux 7 客户机虚拟机的网络效率,适用于某些类型的 Amazon Web Services 云。 有关 ENA 的更多信息,请参阅 https://aws.amazon.com/blogs/aws/elastic-network-adapter-high-performance-network-interface-for-amazon-ec2 。(BZ# 1357491 , BZ# 1410047 )

stnthetic Hyper-V FC 适配器由 storvsc 驱动程序支持

这个版本改进了 storvsc 驱动程序在 Hyper-V 虚拟化中处理光纤通道(FC)设备的方式。值得注意的是,当在 Hyper-V hypervisor 上配置了新的仿真光纤通道(FC)适配器时,将在 /sys/class/fc_host/ /sys/class/scsi_host/ 目录中创建新的 host1 文件。 此文件包含由 Hyper-V FC Adapter 全局范围的端口号(WWPN)和全局范围的节点数(WWN)确定的 port_name host_name 条目。(BZ# 1308632 , BZ#1425469)

父 HBA 可以由 WWNN/WWPN 对定义

在这个版本中,除 scsi_host# 外,父主机总线适配器(HBA)可以通过 World Wide Node Name(WWN)和 World Wide Port Name(WWPN)标识。当由 scsi_host# 定义时,如果将硬件添加到主机计算机,则 scsi_host# 可能会在主机重启后更改。通过使用 WWNN/WWPN 对,分配不会更改,与主机机器的硬件更改无关。(BZ#1349696)

libvirt rebase 到版本 3.2.0

libvirt 软件包已升级到上游版本 3.2.0,它提供很多程序错误修复和增强。主要更改: 在这个版本中,可以安装和卸载特定的 libvirt 存储子驱动程序,这可以减少安装占用空间。 现在,您可以将 /etc/nsswitch.conf 文件配置为指示 Name Services Switch(NSS)自动解析 KVM 虚拟客户机的名称到其网络地址。(BZ# 1382640 )

KVM 现在支持 MCE

在这个版本中,对 KVM 内核模块的机器检查例外(MCE)提供支持,这样就可以在 KVM 客户机虚拟机中使用 Intel Xeon v5 处理器的本地 MCE(LMCE)功能。LMCE 可以向单个处理器线程(而不是广播到所有线程)提供 MCE,这样可确保机器健康检查不会影响比所需的 vCPU 更多 vCPU 的性能。因此,在有大量处理器线程的机器上处理 MCE 时,这降低了软件负载。(BZ# 1402102 , BZ#1402116)

添加了对 tun/tap 设备上的 rx 批处理的支持

在这个版本中,支持 tun/tap 设备的 rx 批处理。这可让接收捆绑的网络帧来提高性能。(BZ# 1414627 )

libguestfs rebase 到版本 1.36.3

libguestfs 软件包已升级到上游版本 1.36.3,它提供很多程序错误修复和增强。主要变更包括: 这个版本添加了 virt-tail 工具,可用于在客户机中跟踪(tail)日志文件,类似于 tail -f 命令。详情请查看 virt-tail(1)man page。 virt-v2v 实用程序支持更多操作系统和更多输入源。此外,Windows 客户机的转换已大大重写和简化。 为 virt-customize virt-builder virt-systprep 工具添加了多个选项。(BZ# 1359086 )

改进了 QXL 驱动程序的 virt-v2v 安装

在这个版本中,在 Windows guest 虚拟机中重新设计了 virt-v2v 实现 QXL 驱动程序安装,这样可确保在这些客户机上正确安装了 QXL 驱动程序。(BZ# 1233093 , BZ# 1255610 , BZ# 1357427 , BZ# 1374651 )

virt-v2v 可以将磁盘映像导出为 qcow2 格式 1.1

在这个版本中, virt-v2v 实用程序在使用 -o rhev 选项时导出与 qcow2 格式版本 1.1 兼容的磁盘镜像。另外, virt-v2v 为 vdsm 输出模式添加了 --vdsm-compat=COMPAT 选项。此选项指定使用 -o vdsm 选项导出镜像时使用的 qcow2 格式 virt-v2v 使用的版本。(BZ# 1400205 )

其他 virt 工具可在 LUKS 完整加密的客户端中工作

在这个版本中,增加了对使用 virt-customize virt-get-kernel virt-sparsify virt-sysprep 工具处理 LUKS 全磁盘加密的客户机的支持。因此,这些工具可以提供密钥或密码短语来打开 LUKS 完整加密客户机。(BZ# 1362649 )

所有 libguestfs 命令的 tab 自动完成

所有 libguestfs 工具添加了 Bash 补全脚本。因此,现在可以将 bash 的 Tab 补全用于每个 libguestfs 命令。(BZ# 1367738 )

重新定义大小的磁盘可直接写入远程位置

在这个版本中, virt-resize 实用程序可将其输出写入远程位置。例如,这在直接将调整大小的磁盘镜像写入 Ceph 存储卷时很有用。 virt-resize 输出磁盘可使用 URI 指定。任何支持的输入协议和格式都可用于指定输出。(BZ# 1404182 )

现在完全支持用户命名空间

现在完全支持用户命名空间功能,以前作为技术预览提供。它通过在主机和容器之间提供更好的隔离,为运行 Linux 容器的服务器提供额外的安全性。容器的管理员不再能够在主机上执行管理操作,这会提高安全性。(BZ#1138782)

为在 Hyper-V 下的客户机虚拟机中通过 PCI Express 总线连接的设备添加了驱动

在这个版本中,添加了一个新驱动程序,当通过 PCI Express 总线连接的设备将公开 root PCI 总线时,它会传递给在 Hyper-V hypervisor 上运行的 Red Hat Enterprise Linux 客户机虚拟机。目前,Microsoft Windows Server 2016 支持该功能。(BZ#1302147)

第 20 章 Atomic Host 和容器

Red Hat Enterprise Linux Atomic Host

红帽企业 Linux 原子主机(Atomic Host)是一种安全、轻量级和低足迹的操作系统,专为运行 Linux 容器而优化。有关最新功能、已知问题和技术预览,请参阅 Atomic Host 和 Containers 发行注记

第 21 章 Red Hat Software Collections

Red Hat Software Collections 是一个红帽内容集合,它提供一组动态编程语言、数据库服务器和相关软件包,您可以在 AMD64 和 Intel 64 构架中在所有支持的 Red Hat Enterprise Linux 6 和 Red Hat Enterprise Linux 7 版本中安装和使用。Red Hat Developer Toolset 作为一个单独的 Software Collection 提供。 Red Hat Developer Toolset 是为在 Red Hat Enterprise Linux 平台上工作的开发人员设计的。它提供了 GNU Compiler Collection、GNU Debugger 和其他开发、调试和性能监控工具的当前版本。自 Red Hat Software Collections 2.3 起,Eclipse 开发平台作为一个单独的 Software Collection 提供。 Red Hat Software Collections 提供的动态语言、数据库服务器和其他工具不会取代 Red Hat Enterprise Linux 提供的默认系统工具,也不首选使用这些工具。Red Hat Software Collections 使用基于 scl 实用程序的替代打包机制,以提供一组并行的软件包。这个集合启用了 Red Hat Enterprise Linux 中使用的软件包的替代版本。通过使用 scl 实用程序,用户可以选择想要随时运行哪个软件包版本。 Red Hat Software Collections 的生命周期及支持期限比 Red Hat Enterprise Linux 要短。如需更多信息,请参阅 Red Hat Software Collections 产品生命周期 。 有关集合、系统要求、已知问题、使用以及单个 Software Collections 的具体内容,请参阅 Red Hat Software Collections 文档 。 有关此 Software Collection 中包含的组件、安装、使用、已知问题等的更多信息,请参阅 Red Hat Developer Toolset 文档

部分 II. 显著的程序漏洞修复

这部分论述了 Red Hat Enterprise Linux 7.4 中修复的、对用户有严重影响的错误。

第 22 章 常规更新

Addition of CtrlAltDelBurstAction for Systemd

systemd 响应现在可以通过设置 /etc/systemd/system.conf 中的 CtrlAltDelBurstAction 选项(BZ#1353028)来配置对多个 CTRL+ALT+DEL 事件的可配置。

cgred 现在可以解决有关 NSS 用户和组的规则

在以前的版本中,在提供 Name Service Switch(NSS)用户和组的服务后, cgred 服务不会被配置为启动。另外,仅在调试模式下显示跳过无效规则的信息。因此,与 NSS 用户和组相关的 cgrules.conf 文件中的规则有时会被忽略,且不会记录任何日志消息。在这个版本中, cgred 配置为在 nss-user-lookup 目标之后启动,有关跳过规则的日志消息级别被改为 warning,这也会设置为 cgred 守护进程的默认日志级别。因此,在启动 cgred 前,NSS 用户和组总是被解决。另外,如果 cgrules.conf 无效,则会记录警告信息。(BZ#1406927)

第 23 章 认证和互操作性

安装后 yum 不再报告软件包冲突 ipa-client

用户安装了 ipa-client 软件包后, yum 工具意外报告 ipa freeipa 软件包之间的软件包冲突。这些错误在事务失败或者使用 yum check 命令后发生。在这个版本中, yum 不再报告关于自信软件包的错误,因为 RPM 允许冲突。因此,安装 ipa-client yum 不再显示上述错误。(BZ# 1370134 )

在 FIPS 模式中,现在使用 slapd_pk11_getInternalKeySlot() 功能检索令牌的密钥插槽

在安全数据库中启用了 FIPS 模式时,Red Hat Directory Server 以前会尝试从固定令牌名称检索密钥插槽。但是,令牌名称可能会改变。如果没有找到密钥插槽,Directory 服务器将无法解码复制管理器的密码和复制会话失败。要解决这个问题, slapd_pk11_getInternalKeySlot() 函数现在使用 FIPS 模式来检索当前的密钥插槽。因此,使用 SSL STTARTTLS 的复制会话不再失败。(BZ# 1378209 )

在 FIPS 模式的系统上,证书系统不再无法安装 HSM

当使用 Thales 硬件安全模块(HSM)安装证书系统(CS)后,如果您在 HSM 上生成了所有系统密钥,则 SSL 协议将无法正常工作。因此,CS 无法在启用了 FIPS 模式的系统中安装,需要您手动修改 server.xml 文件中的 sslRangeCiphers 参数。这个问题已被解决,使用 Thales HSM 安装启用了 FIPS 的系统可以正常工作。(BZ#1382066)

pkispawn 的依赖项列表现在可以正确地包含 openssl

在以前的版本中,当没有安装 openssl 软件包时,使用 pkispawn 工具会失败并显示以下错误: Installation failed: [Errno 2] No such file or directory 这是因为 openssl 软件包没有作为 pki-server 软件包中所含的 pki-core 软件包的运行时依赖项包含。这个程序错误已被添加缺少的依赖项来解决, pkispawn 安装不再因为缺少 openssl 而失败。(BZ#1376488)

PKI Server 配置集框架中的错误消息现在传递给客户端

在以前的版本中,PKI 服务器不会通过配置文件框架生成的特定错误消息,由证书请求到客户端。因此,web UI 或 pki 命令的输出中显示的错误消息没有描述请求失败的原因。现在,代码已被修复,现在通过错误消息。现在,用户可以查看注册失败或被拒绝的原因。(BZ#1249400)

证书系统不会在安装过程中启动轻量级 CA 密钥复制

在以前的版本中,证书系统在两个步骤安装过程中错误地启动了轻量级 CA 密钥复制。因此,安装会失败并显示错误。在这个版本中,两个步骤安装不会启动轻量级 CA 密钥复制,安装可以成功完成。(BZ# 1378275 )

PKI 服务器现在在启动期间正确比较主题 DN

由于常规情况中存在一个为主 CA 添加轻量 CA 条目的一个错误,PKI 服务器以前无法比较主题区分的名称(DN)(如果使用 UTF8String 以外的编码)来比较主题区分名称(DN)。因此,每次启动主 CA 时,都会添加额外的轻量级 CA 条目。PKI 服务器现在以规范形式比较主题 DN。因此,PKI 服务器不再在上述场景中添加其他轻量级 CA 条目。(BZ# 1378277 )

当连接到带有不完整证书链的中间 CA 时,KRA 安装不再失败

在以前的版本中,如果 KRA 试图连接到具有可信 CA 证书的中间 CA,安装密钥恢复授权(KRA)子系统会失败并显示 UNKNOWN_ISSUER 错误。在这个版本中,KRA 安装会忽略错误并成功完成。(BZ# 1381084 )

证书配置集中的 startTime 字段现在使用长整数格式

在以前的版本中,证书系统将值保存在证书配置集的 startTime 字段中,作为 整数 。如果您输入更大的数字,证书系统会将该值解释为负数。因此,证书认证机构签发包含过去开始日期的证书。在这个版本中, startTime 字段的输入格式被改为一个长整数。因此,签发的证书现在有一个正确的开始日期。(BZ#1385208)

因为一个 PKCS#11 令牌没有记录错误,从属 CA 安装不再会失败

在以前的版本中,因为网络安全服务(NSS)库中的一个错误导致证书颁发机构(sub-CA)安装失败,它会生成 SEC_ERROR_TOKEN_NOT_LOGGED_IN 错误。在这个版本中,为安装程序添加了一个临时解决方案,允许进行安装。如果仍显示错误,它现在可以被忽略。(BZ# 1395817 )

pkispawn 脚本现在可以正确设置 ECC 密钥大小

在以前的版本中,当用户使用 Elliptic Curve Cryptography(ECC)密钥大小参数设置为不同于默认值(默认为 nistp256 )的 pkispawn 脚本时,设置会被忽略。因此,创建的 PKI 服务器实例发出系统证书,它错误地使用了默认的 ECC 密钥曲线。在这个版本中,PKI 服务器将 pkispawn 配置中设置的值用于 ECC 键曲线名称。因此,PKI 服务器实例现在使用设置实例时设置的 ECC 密钥大小。(BZ#1397200)

使用 FIPS 模式安装的 CA clone 安装不再失败

在以前的版本中,因为处理内部 NSS 令牌名称时,在 FIPS 模式中安装 CA 克隆或密钥恢复授权(KRA)会失败。在这个版本中,处理令牌名称的代码已被合并,以确保一致地处理所有令牌名称。T 允许 KRA 和 CA 克隆安装以 FIPS 模式正确完成。(BZ# 1411428 )

entryUSN 属性包含大于 32 位的值时,PKI 服务器不再启动

在以前的版本中,*LDAP Profile Monitor" 和 lightweight CA Monitor 解析值为 32 位整数的 entryUSN 属性中的轻量级 CA Monitor。因此,当 属性包含大于该值时,会记录 NumberFormatException 错误,服务器无法启动。这个问题已被解决,服务器在上述场景中不再启动。(BZ# 1412681 )

Tomcat 现在默认用于 IPv6

IPv4 - 特定的 127.0.0.1 环回地址之前在默认服务器配置文件中用作默认 AJP 主机名。这会导致连接在 IPv6 - 只在 IPv6 中运行的服务器上失败。在这个版本中,默认值更改为 localhost ,它可用于 IPv4 IPv6 协议。此外,可以使用升级脚本自动更改现有服务器实例上的 AJP 主机名。(BZ# 1413136 )

pkispawn 不再生成无效的 NSS 数据库密码

在此次更新之前, pkispawn NSS 数据库生成随机密码,在某些情况下包含反斜杠( \ )字符。这会在 NSS 建立 SSL 连接时造成问题,从而导致安装失败并显示 ACCESS_SESSION_ESTABLISH_FAILURE 错误。 在这个版本中,可确保随机生成的密码不能包含反斜杠字符,而且始终可以建立连接,从而可以成功完成安装。(BZ# 1447762 )

当使用 --serial 选项添加用户证书时,证书检索不再失败

使用带有 --serial 参数的 pki user-cert-add 命令使用错误地将 SSL 连接到证书颁发机构(CA),从而导致证书检索失败。在这个版本中,命令使用正确配置的 SSL 连接到 CA,操作现在可以成功完成。(BZ#1246635)

如果只有一个条目,CA Web 界面不再显示空白证书请求页面

在以前的版本中,当 CA Web 用户界面中的证书请求页面仅包含一个条目时,它会显示一个空页面,而不是显示单个条目。在这个版本中,web 用户界面和证书请求页面在所有情况下都正确显示条目。(BZ# 1372052 )

在容器环境中安装 PKI Server 不再显示警告

在以前的版本中,当在容器环境中安装 pki-server RPM 软件包时,会重新载入 systemd 守护进程。因此,会显示警告。已应用补丁来仅在 RPM 升级过程中重新载入守护进程。因此,在上述场景中不再显示警告。(BZ# 1282504 )

使用 G&D 智能卡重新注册令牌不再失败

在以前的版本中,当使用 Giesecke 和 Devrient(G&D)智能卡重新注册令牌时,在某些情况下,令牌注册可能会失败。这个问题已被解决,因此重新注册令牌可以正常工作。(BZ#1404881)

PKI Server 提供有关启动时证书验证错误的更多详细信息

在以前的版本中,如果服务器启动时发生证书验证错误,PKI Server 不会提供足够的信息。因此,很难对问题进行故障排除。PKI 服务器现在使用新的 Java 安全服务(JSS)API,它提供有关上述场景中错误原因的更多详细信息。(BZ# 1330800 )

PKI Server 不再无法重新初始化 LDAPProfileSubsystem 配置集

由于重新初始化 LDAPProfileSubsystem 配置集出现竞争条件,PKI Server 之前可能会错误地报告请求的配置集不存在。因此,使用配置集的请求可能会失败。这个问题已被解决,使用配置集的请求不再失败。(BZ# 1376226 )

提取 HSM 上生成的私钥不再失败

在以前的版本中,当在 Lunasa 或 Thales 硬件安全模块(HSM)上生成非对称密钥时,在密钥恢复代理(KRA)上使用新的 Asymmetric Key Generation REST 服务设置不正确的标志。因此,用户无法检索生成的私钥。代码已更新,为这些 HSM 上生成的密钥设置正确的标志。现在,用户可以在上述场景中检索私钥。(BZ# 1386303 )

pkispawn 不再生成只由数字组成的密码

在以前的版本中, pkispawn 可能会为仅包含数字的 NSS 数据库生成随机密码。此类密码与 FIPS 不兼容。在这个版本中,安装程序已被修改,以生成与 FIPS 兼容的随机密码,其包含数字、小写字母、大写字母和某些标点标记。(BZ# 1400149 )

CA 证书现在使用正确的信任标记导入

在以前的版本中, pki client-cert-import 命令导入了 CT,c, trust 标记的 CA 证书,它们与其他 PKI 工具不一致。在这个版本中,命令已被修复,现在将 CA 证书的信任标记设置为 CT,C,C 。(BZ# 1458429 )

当使用 --usage 验证 选项时生成对称密钥不再会失败

pki 实用程序检查要生成的对称密钥的有效使用列表。在以前的版本中,这个列表缺少了 验证 用法。因此,使用 key-generate --usage verify 选项会返回错误消息。这个代码已被修复, 验证 选项可以正常工作。(BZ#1238684)

后续 PKI 安装不再失败

在以前的版本中,当在批处理模式中安装多个公钥基础架构(PKI)实例时,安装脚本不会等到 CA 实例被重启为止。因此,后续 PKI 实例安装可能会失败。脚本已被更新,现在会等待新子系统就绪来处理请求,然后再继续。(BZ# 1446364 )

在 FIPS 模式中的两步从属 CA 安装不再失败

在以前的版本中,在 FIPS 模式中的从属 CA 安装中的一个错误会导致两个步骤安装失败,因为安装程序需要实例不存在。在这个版本中,会更改工作流,以便第一步(安装)需要实例不存在,第二个步骤(配置)需要实例存在。 两个新的选项"--skip-configuration' 和 --skip-installation 已添加到 pkispawn 命令中,以替换之前的 pki_skip_configuration pki_skip_installation 部署参数。这样,您可以在不修改的情况下对这两个步骤使用相同的部署配置文件。(BZ#1454450)

当证书请求被拒绝或取消时,审计日志不再记录成功

在以前的版本中,当证书请求被拒绝或取消时,服务器会使用 Outcome=Success 生成一个 CERT_REQUEST_PROCESSED 审计日志条目。这是因为请求没有签发证书。这个错误已被修复,被拒绝或已取消的请求的 CERT_REQUEST_PROCESSED 审计日志条目现在显示为 Outcome=Failure 。(BZ# 1452250 )

现在在启动时自动启用自测试失败的 PKI 子系统

在以前的版本中,如果 PKI 子系统因为自测试失败而启动失败,它会被自动禁用以防止它以不一致的状态运行。管理员应使用 pki-server 子系统 手动重新启用子系统,并在修复问题后启用。但是,这并没有明确交流,这可能会导致管理员对这个要求不知的混乱。 要解决该问题,现在默认在启动时自动启用所有 PKI 子系统。如果自测试失败,则子系统会像以前一样被禁用,但它不再需要手动重新启用。 此行为由 /etc/pki/pki.conf 文件中的一个新布尔值选项控制,该选项 PKI_SERVER_AUTO_ENABLE_SUBSYSTEMS 。(BZ# 1454471 )

CERT_REQUEST_PROCESSED 审计日志条目现在包含证书序列号,而不是编码的数据

在以前的版本中, CERT_REQUEST_PROCESSED 审计日志条目包含 Base64 编码的证书数据。例如: [AuditEvent=CERT_REQUEST_PROCESSED]...[InfoName=certificate][InfoValue=MIIDBD...] 此信息非常有用,因为证书数据需要单独进行解码。代码已被修改,将证书序列号直接包含在日志条目中,如下例所示: [AuditEvent=CERT_REQUEST_PROCESSED]...[CertSerialNum=7] (BZ# 1452344 )

更新 LDAPProfileSubsystem 配置集现在支持删除属性

在以前的版本中,当更新 PKI Server 上的 LDAPProfileSubsystem 配置集时,无法删除属性。因此,在某些情况下,PKI 服务器在更新配置集后无法加载配置集或问题证书。已应用补丁,现在 PKI Server 在载入新配置前清除现有的配置集配置。因此, LDAPProfileSubsystem 配置集中的更新现在可以删除配置属性。(BZ# 1445088 )

第 24 章 集群

pacemaker 远程可能会关闭,即使它连接到集群是非受管

在以前的版本中,如果 Pacemaker 远程连接是非受管的,Pacemaker 远程守护进程永远不会收到集群的关闭机制。因此,Pacemaker Remote 无法关闭。在这个版本中,如果 Pacemaker 远程连接是非受管,集群现在会立即向 Pacemaker 远程节点发送关闭的关闭,而不是等待资源停止。因此,Pacemaker Remote 可能会关闭,即使它连接到集群不是非受管状态。(BZ#1388489)

pcs 现在验证远程和客户机节点的名称和主机

在以前的版本中, pcs 命令无法验证远程或客户机节点的名称或主机是否与资源 ID 或集群节点冲突,从而导致集群无法正常工作。在这个版本中,已将验证添加到相关命令, pcs 不允许用户配置具有远程或客户机节点的有冲突名称或冲突主机的集群。(BZ# 1386114 )

pcs resource create 命令中的 master 选项的新语法可正确创建 meta 属性

在以前的版本中,当 pcs resource creation 命令包含 --master 标志时,关键字 meta 后的所有选项都解释为 master meta 属性。因此,在指定 --master 标志时,无法为原语创建元数据属性。 在这个版本中,使用以下命令的以下格式将资源指定为主从克隆: pcs resource create resource_id standard:provider:type|type [resource options] master [master_options...] 这可让您指定 meta 选项,如下所示: pcs resource create resource_id standard:provider:type|type [resource_options] meta meta_options... master [master_options...] 另外,在以前的版本中,您可以使用 clone 选项而不是 --clone 标志来指定克隆资源。指定克隆资源的新格式如下: pcs resource create resource_id standard:provider:type|type [resource_options] clone (BZ# 1378107 )

第 25 章 编译器和工具

PCRE 库现在可以正确地识别 Unicode 所需的非 ASCII 字符

当使用 Perl Compatible Regular Expressions(PCRE)库与非 ASCII 字符串匹配时,程序库无法正确识别可打印的非 ASCII 字符。现在,应用了补丁程序,PCRE 库可以在 UTF-8 模式中识别可打印的非 ASCII 字符。(BZ# 1400267 )

使用 Bundler 管理依赖项的应用程序现在可以正确加载 JSON

在以前的版本中,当使用 Bundler 管理 Ruby 应用程序依赖项时,有时无法加载 JSON 库。因此,应用程序会失败并显示 LoadError 。这会导致问题特别重要,因为 Ruby on Rails 不再明确指定对 JSON 库的依赖项。在这个版本中,加载路径中始终可以使用 JSON ,上面描述的问题不再发生。(BZ# 1308992 )

Git 现在可用于 HTTP 或 HTTPS 和 SSO

libcurl 版本 7.21.7 开始,因为 CVE-2011-2192 需要用于委派 Kerberos 票据的新参数。在以前的版本中, Git 不提供设置这样的参数的方法。因此,在 HTTP 或 HTTPS 连接中使用带有 Single Sign-On 的 Git 会失败。在这个版本中, Git 提供了一个新的 http.delegation 配置变量,它对应于 cURL --delegation 参数。用户需要在委派 Kerberos 票据时设置此参数。(BZ# 1369173 )

Rescan-scsi-bus.sh --luns=1 现在仅扫描以 1 为数字的 LUN

sg3_utils 软件包包含向设备发送 SCSI 命令的工具。在版本 1.28-5 和所有之前版本的 sg3_utils 中,重新scan -scsi-bus.sh --luns=1 命令只扫描逻辑单元号(LUN),用 1 表示。更新至 1.28-6 版本后,重新scan -scsi-bus.sh --luns=1 会错误地重新扫描所有 LUN。在这个版本中,底层源代码已被修复,重新scan -scsi-bus.sh --luns=1 现在仅扫描以 1 为数字的 LUN。(BZ#1380744)

ps 不再从等待频道名称中删除前缀

ps 实用程序之前从等待频道( WCHAN )数据中删除 sys_ do_ 前缀。这可以防止用户通过在 ps 输出中有意包含这些前缀的名称区分函数。删除前缀的代码已被删除, ps 现在会显示完整的 wait 频道名称。(BZ# 1373246 )

.history 文件位于网络文件系统中时, tcsh 不再变得无响应

在以前的版本中,如果 .history 文件位于网络文件系统中,如 NFS 或 Samba,则 tcsh 命令语言解释器有时会在登录过程中变得无响应。已应用补丁来避免 .history 文件锁定(如果 .history )位于网络文件系统中,而 tcsh 在上述情形中不再变得无响应。 请注意,运行多个 tcsh 实例可能会导致 .history 损坏。要解决这个问题,请通过在 savehist 选项中添加 lock 参数来启用显式文件锁定机制。例如: $ cat /etc/csh.cshrc # csh configuration for all shell invocations. set savehist = (1024 merge lock) lock 选项必须是 savehist 选项的第三个参数,以便在 .history 位于网络文件系统时强制使用文件锁定。 红帽不保证使用 lock 参数阻止 tcsh 在登录过程中变得无响应。(BZ#1388426)

fcoeadm --target 不再会导致 fcoeadm 崩溃

在以前的版本中,执行 fcoeadm --target 命令有时会导致 fcoeadm 实用程序意外终止分段错误。在这个版本中,Fcoeadm 已被修改来忽略非FCoE 目标的 sysfs 路径, fcoe adm --target 不再会导致 fcoeadm 崩溃。(BZ#1384707)

tar 选项 --directory 不再被忽略

在以前的版本中,当与 --remove-files 选项结合使用时, tar 命令的 --directory 选项会被忽略。因此,当前工作目录中的文件已被删除,而不是 --directory 选项指定的目录中的文件。为修复这个程序错误,添加了对 --directory 选项的检索、存储和操作的新函数和属性。现在,文件可以从 --directory 选项指定的目录中正确删除。(BZ# 1319820 )

tar 选项 --xattrs-exclude --xattrs-include 不再忽略

在以前的版本中, tar 命令会忽略 --xattrs-exclude --xattrs-include 选项。要修复这个程序错误,对 tar 进行修改,以便在获取扩展属性时应用包含和排除掩码。因此, --xattrs-exclude --xattrs-include 选项不再被忽略。(BZ# 1341786 )

tar 现在可以正确地恢复增量备份

在以前的版本中, tar 命令无法正确恢复增量备份。因此,在恢复时不会删除增量备份中删除的文件。这个程序错误已被解决,tar 现在可以正确地 恢复增量备份。(BZ# 1184697 )

perl-homedir 配置集脚本现在支持 csh

在以前的版本中, perl-homedir 配置集脚本无法处理 C shell (csh)语法。因此,当安装 perl-homedir 软件包且 /etc/sysconfig/perl-homedir 文件包含 PERL_HOMEDIR=0 行时,执行配置集脚本会导致以下错误: PERL_HOMEDIR=0: Command not found. 这个版本添加了对 csh 语法的支持,上面描述的问题不再发生。(BZ# 1122993 )

getaddrinfo 不再访问未初始的数据

在启用了 nscd 守护进程的系统中, glibc 库中的 getaddrinfo() 函数可以访问未初始化的数据,因此可能会返回假地址信息。这个版本可防止未初始化的数据访问并确保返回正确的地址。(BZ# 1324568 )

glibc 中的 malloc 实现 中的其他安全检查

在以前的版本中,因为 glibc 库在没有断言的情况下编译,所以使用 malloc 的功能不会检查堆一致性。这增加了利用基于堆的缓冲区溢出的风险。堆一致性检查已从断言转换为显式检查。因此, glibc 中对 malloc 实现 的调用 安全现在已被增加。(BZ#1326739)

chrpath rebase 到版本 0.16

chrpath 软件包升级至上游版本 0.16,它修复了几个程序错误。值得注意的是, chrpath 工具只能在 64 位系统中修改 64 位二进制的 run path 属性,并在 32 位系统中修改 32 位二进制文件。这个程序错误已被解决,现在 64 位系统中的 chrpath 可以修改 32 位系统的二进制代码,并在 64 位系统中修改 32 位系统的二进制代码。(BZ# 1271380 )

更新了 system-config-language 软件包的翻译

要解决 system-config-language 缺少翻译,添加了以下 10 种语言:de、es、fr、ja、ko、pt_BR、ru、zh_CN、zh_TW。(BZ#1304223)

当主机名缺少域部分时, Mutt 不再发送带有不完整的 From 标头的电子邮件

在以前的版本中,当主机名不包含域名时, Mutt 电子邮件客户端发送了一个带有 From 标头(缺少主机名)的电子邮件。因此,无法回复这样的电子邮件。这个程序错误已被解决, Mutt 现在可以正确地处理不包含域部分的主机名。(BZ# 1388512 )

strace 正确显示 O_TMPFILE 标志和 open() 函数的模式

在以前的版本中, strace 实用程序无法识别是否存在 system 功能 open() O_TMPFILE 标志,以及存在 mode 选项的要求。因此, strace 输出不会显示相应标志的名称,且缺少 mode 选项值。 strace 实用程序已扩展以识别此情况。因此, O_TMPFILE 标志和模式会被正确显示。(BZ# 1377847 )

当链接大型程序时, ld 不再进入无限循环

在 IBM Power 系统架构的大型程序中, .text 片段由两个 stub 部分提供服务。在以前的版本中,在调整此类片段时,d linker 大小终止条件永远不会满足,因为其中一个部分始终需要增长。 因此, 如果输入 无限循环,必须被终止。 ld 已扩展,可识别此情况并更改大小终止条件。因此,ld 会正确 终止。(BZ#1406498)

跨对象引用隐藏符号的 金级 警告信息

当链接共享库时, 金级 linker 会产生一个警告信息,其中单个库中的代码引用第二个库或对象文件中的隐藏符号。在以前的版本中,即使另一个库或对象文件提供了同一符号的可见定义,这个警告信息也会生成这个警告信息。 要修复这个程序错误,带有检查了这个特定情况的 金级 扩展,只有在符号没有可见定义时才会生成警告消息。因此, 金级 不再显示错误的警告信息。(BZ#1326710)

OProfile 默认事件在 Intel Xeon® C3xxx Processors 中修复 Denverton SOC。

在以前的版本中,不正确的值用于带有 Denverton SOC 的 Intel Xeon® C3xxx Processors 的 OProfile 的默认周期计数事件。因此, O Profile 抽样并使用默认事件计数无法正常工作。修正了相关的 OProfile 设置。现在,默认事件可用于带有 Denverton SOC 的 Intel Xeon® C3xxx Processors。(BZ#1380809)

第 26 章 Desktop

Empathy 现在可以验证 Google Talk 的证书链

在以前的版本中, Empathy instant 消息传递客户端无法通过忽略禁用的传统证书颁发机构(如 Equifax 安全证书颁发机构(如 Equifax 安全证书颁发机构)来验证 Google Talk 的证书链。因此, Empathy 在连接到 Google Talk 时提示用户输入无效证书,即使链没有问题。在这个版本中修复了程序错误, Empathy 现在会忽略服务器返回的列表中禁用的传统证书颁发机构,并尝试构建可能有效的备用链。(BZ#1386616)

第 27 章 文件系统

设置重试超时现在可以阻止 autofs 在不使用 SSSD 挂载的情况下启动

在启动 autofs 实用程序时,s sss map 源有时无法提供映射信息,但 sss 不会返回适当的错误,以区分 映射不存在 不可用的情况 。因此,automounting 无法正常工作, autofs 在未从 SSSD 挂载的情况下启动。要修复这个程序错误, autofs 会重试在映射 没有存在错误时,为 master map 请求 SSSD。现在,您可以将重试超时设置为合适的值,以便 master 映射读取, autofs 会如预期启动。(BZ# 1101782 )

autofs 软件包现在包含 README.autofs-schema 文件和更新 schema

samples/autofs.schema 分发文件已过时且不正确。因此,一些人可能会使用不正确的 LDAP 模式。但是,无法使用中的模式更改。在这个版本中: 现在,添加了 README.autofs-schema 文件来描述问题,并建议尽可能使用哪些 schema。 autofs 软件包中包含的 schema 已更新至 samples/autofs.schema.new 。(BZ# 1383910 )

自动挂载 不再需要重新启动,以访问存储在 NIS 服务器中的映射

在以前的版本中, autofs 工具不会在启动时等待 NIS 客户端服务。因此,如果程序启动时没有可用的网络映射源,则主映射无法读取,且必须重启 自动挂载 服务才能访问 NIS 服务器上存储的映射。在这个版本中, autofs 会等到主映射可用来获取启动映射。因此, 自动挂载 可以从 NIS 域访问映射,并且 autofs 不再需要在每次引导时重新启动。 如果在配置的等待时间后,如果 NIS 映射仍不可用,则可能需要增加 autofs 配置 master_wait 选项。在大多数情况下,软件包使用的等待时间就足够了。(BZ#1383194)

使用 autofs 检查本地挂载可用性不再会导致长时间超时

在以前的版本中,对于 autofs 认为本地的挂载请求没有服务器可用性探测,因为本地机器上的绑定挂载应该可供使用。如果绑定挂载失败,则尝试本地机器上的 NFS 挂载。但是,如果 NFS 服务器没有在本地机器上运行,则挂载尝试有时会在失败前遇到冗长的超时。 在首次尝试绑定挂载的情况下添加了一个探测,但会失败, autofs 现在会返回在本地机器上尝试使用 NFS 服务器。因此,如果本地机器上绑定挂载失败,则回退以在本地机器上尝试 NFS 挂载失败,如果本地 NFS 服务器没有运行,则回退失败。(BZ# 1420574 )

当将 GFS2 文件系统挂载为只读时,日志会被标记为空闲

在以前的版本中,当挂载 GFS2 文件系统时,内核不会将文件系统日志标记为空闲。因此, GFS2_log_flush() 函数会错误地尝试将标头块写入日志,并会记录顺序错误。当以只读方式挂载 GFS2 文件系统时,补丁已被应用为空闲日志。因此,上述错误不再在上述场景中发生。(BZ#1213119)

id 命令不再显示不正确的 UID 和 GID

当在连接到 NFSv4 服务器的 NFSv4 客户端中运行 Red Hat Enterprise Linux 时,id 命令显示了在 NFS id mapper 密钥环已过期后错误的 UID 和 GID。该问题持续 5 分钟,直到收集过期密钥之前,在密钥环中创建了新密钥并且 id 命令提供正确的输出。在这个版本中,密钥环设备已被修复, id 命令不会在上述情况下显示错误的输出。(BZ#1408330)

现在默认关闭标记的 NFS

Red Hat Enterprise Linux NFS 服务器上的 SELinux 标签通常对 NFS 客户端不可见。NFS 客户端会看到标记为 nfs_t 类型的所有文件,无论该文件在服务器中有什么标签。 从 Red Hat Enterprise Linux 7.3 开始,NFS 服务器能够将单个文件标签与客户端通信。当前最新的客户端(如最新的 Fedora 客户端),请参阅使用相同标签标记那些文件在服务器上标记的 NFS 文件。这在某些情况下很有用,但在服务器升级到 Red Hat Enterprise Linux 7.3 及更新的版本后,这可能会导致最近客户端出现意外的访问问题。 请注意,在 NFS 服务器中默认关闭标记的 NFS 支持。您可以使用 security_label export 选项重新启用标记的 NFS 支持。(BZ# 1406885 )

在达到关闭状态后, autofs 挂载不再进入无限循环

如果 autofs 挂载达到关闭状态,并且已到达挂载请求并在挂载线程读取关闭通知前进行处理,则之前退出的挂载线程但不清理 autofs 挂载。因此,主程序永远不会达到其退出条件,并进入无限循环,因为 autofs 管理的挂载已经被挂载。要修复这个程序错误,现在会在处理每个请求后执行退出条件检查,并在 autofs mount 达到其关闭状态时执行清理操作。因此,autofs 守护进程现在在关闭时如预期退出。(BZ#1420584)

现在,在处理命名空间时 autofs 更为可靠

在以前的版本中, autofs 内核模块无法检查路径的最后一个组件是当前命名空间中的挂载点,而它只是任何命名空间中的挂载点。由于这个错误, autofs 有时会错误地决定挂载点克隆至传播私有命名空间是否已存在。 因此,自动挂载挂载点无法挂载,并返回错误消息 Too many level of symbolic link。例如,当 autofs 挂载处于活动状态时,使用 PrivateTmp 选项的 systemd 服务被重启。 在这个版本中,内核中添加了命名空间识别的挂载检查。现在,在将包括 autofs 挂载的挂载命名空间克隆到 propagation 私有命名空间的挂载命名空间时,autofs 现在更具弹性。 详情请查看 KBase 文章 https://access.redhat.com/articles/3104671 。(BZ#1320588)

第 28 章 安装和引导

现在,当在 IBM z 系列的单一 FBA DASD 中安装自动分区时,自动分区可以正常工作

在以前的版本中,当在带有单一修复的 Block Architecture(FBA) Direct Access Storage Device(DASD)的 IBM z 系列系统中安装 Red Hat Enterprise Linux 7 时,因为安装程序试图在该设备中创建多个分区,它不支持在 cms 格式的 FBA DASD 上。这会导致安装完成并损坏磁盘。 在这个版本中,安装程序首先在目标 DASD 中创建一个 msdos 分区表,它允许该设备中的三个分区。只要安装程序只创建三个或更少分区,安装就可以成功。请注意,建议您使用 autopart --nohome Kickstart 选项确保安装程序不会创建单独的 /home 分区。(BZ#1214407)

当从磁盘进行 Kickstart 时,在 Kickstart 中配置的桥接激活不再会失败

在以前的版本中,如果在 Kickstart 文件中配置了桥接设备,且从磁盘获取 Kickstart 文件,则缺少网络连接意味着不会创建该桥接,且安装在早期阶段失败。在这个版本中,bridge Kickstart 配置在早期阶段传递给 dracut 工具。因此,即使安装早期不需要网络, dracut 可以创建并激活桥接设备。(BZ#1373360)

Anaconda 现在可以正确地创建用户而无需密码

在以前的版本中,在互动安装过程中,无法取消选择 Require a password to use this account 选项。 因此,在安装过程中创建的所有用户帐户都需要一个密码。这个程序错误已被解决,现在可以创建没有密码的用户。(BZ#1380277)

最小安装不再安装 open-vm-tools-desktop 和 dependencies

open-vm-tools-desktop 软件包之前在 @platform-vmware 软件包组中标记为默认值(VMWare 的虚拟化工具和驱动程序)。当 Anaconda 检测到安装使用 VMWare hypervisor 时,Anaconda 会自动安装该组。同时,此软件包有很多依赖软件包,包括大量在最小安装中有用的 X 库,这会导致 Anaconda 安装大量不必要的软件包。 open-vm-tools-desktop 软件包现在在 @platform-vmware 组中是可选的,因此默认不会安装。这个组中的其它软件包 open-vm-tools 仍为强制状态,因此会被默认安装。(BZ# 1408694 )

Anaconda 不再生成无效的 Kickstart 文件

在以前的版本中,如果在安装过程中使用 Kickstart 文件,它定义了一些 LVM 逻辑卷绝对(即 --size= 参数)和其它相对( -- percent= 参数),则生成的 Kickstart 文件保存在安装的系统中,使用这两个参数定义所有逻辑卷。这些参数是互斥的,生成的 Kickstart 文件无效。在这个版本中, Anaconda 可以正确处理相对和绝对大小的使用,生成的安装后 Kickstart 文件有效。(BZ#1317370)

Anaconda 不再无法识别名称指定的 RAID 阵列

在以前的版本中,当在 Kickstart 文件中由 ignoredisk clearpart 命令的名称指定 RAID 阵列时,安装无法继续,因为 RAID 名称在安装的初始阶段不可用。这个版本通过确保 Anaconda 还检查 /dev/md/ 中的对应名称的设备,从而改进了 RAID 支持。例如,如果 Kickstart 文件包含命令 ignoredisk --only-use=myraid Anaconda 现在也将尝试找到位于 /dev/md/myraid 的数组。这可让安装程序在安装过程中找到名称在任意时间点上指定的 RAID 阵列,并启用在 Kickstart 文件中只指定 RAID 阵列名称。(BZ#1327439)

Kickstart 不再接受太短的密码

在以前的版本中,当使用 Kickstart 文件安装 Red Hat Enterprise Linux 7 时,如果密码足够长(默认为 50 或更高版本),Anaconda 安装程序会立即接受比 --minlen Kickstart 选项定义的最短长度(默认为 50 或更高版本)。这个程序错误已被解决,-- minlen 选项即使使用强大的密码也可以正常工作。(BZ#1356975)

Initial Setup 现在在 IBM z Systems 上的 SSH 图形界面中正确打开

在以前的版本中,当使用 SSH 连接到 IBM z Systems 机器时, Initial Setup 接口的文本版本也会打开,即使启用了 X 转发也是如此。这个程序错误已被解决,在使用 X 转发时, Initial Setup 的图形版本现在可以被正确打开。(BZ#1378082)

启用地理位置服务时,不再需要安装更多时间

当安装带有有限或没有互联网访问的 Red Hat Enterprise Linux 7.3 时,以前在安装概述屏幕中暂停了几分钟,其中 Security Policy 部分为 Not ready 。这是因为地理位置服务无法确定系统的位置。因此,安装无法在服务超时前继续。在这个版本中,如果地理位置服务无法在 3 秒内找到位置,并且安装几乎可以立即进行,甚至没有网络连接,它可以正常工作。(BZ#1380224)

现在,在添加新 IP 地址时,ifup -aliases 脚本现在发送 gratuitous ARP 更新

将一个或多个 IP 别名从一个服务器移动到另一个服务器时,相关的 IP 地址在某些情况下可能无法访问,具体取决于在上游路由器中配置的地址解析协议(ARP)超时值。这个程序错误已在 initscripts 软件包中解决,如果更新网络中的其它系统现在会在这个情形中更快地更新。 (BZ# 1367554 )

netconsole 工具现在可以正确地启动

在以前的版本中,如果 /etc/resolv.conf 文件中不存在 名称服务器 地址行,启动 netconsole 有时会导致错误,且 netconsole 无法启动。 initscripts 软件包已更新, netconsole 现在可以正确地启动。(BZ# 1278521 )

rc.debug 内核允许更轻松地调试 initscripts

此功能增强引入了内核命令行的 rc.debug 选项。在引导前,在内核命令行中添加 rc.debug 选项会在引导和终止进程期间生成 initscripts 文件的所有活动的日志。日志显示为 /var/log/dmesg 日志文件的一部分。因此,在内核命令行中添加 rc.debug 选项可以更轻松地调试 initscripts 。(BZ# 1394191 )

iSCSI NFS 中使用 /usr 终止系统不再失败

在以前的 Red Hat Enterprise Linux 7 版本中,如果 /usr 文件夹挂载在网络(如 NFS iSCSI )上,系统有时会失败。这个问题已解决,系统现在应该正常关闭。(BZ# 1369790 , BZ# 1446171 )

rhel-autorelabel 不再破坏文件系统

在以前的 Red Hat Enterprise Linux 7 版本中,通过创建 /.autorelabel 文件来强制 SELinux autorelabel 文件有时部分损坏文件系统。使系统无法引导。已应用补丁以防止这种行为。因此,使用 touch /. autorelabel 命令应用 autorelabel 操作不再会破坏文件系统。(BZ# 1385272 )

rpmbuild 命令现在可以正确地处理 Perl 的要求

在以前的版本中, rpm 中的错误导致 my variable = &lt ;< 块在使用 rpmbuild 命令构建软件包时被视为代码,而不是字符串常量。这会导致 rpm 在构建时,为构建的软件包添加意外的依赖关系,其中 变量包含 单词 use 后跟另一个单词。在这个版本中, rpm 在搜索依赖项时可以正确地跳过这些块,软件包不再包含意外的依赖项。(BZ#1378307)

现在,安装程序在 Kickstart 中使用 ignoredisk 时可以正确地识别 BIOS RAID 设备

在以前的版本中,当在安装过程中使用带有 ignoredisk --onlyuse=<bios raid name > 命令的 Kickstart 文件时,有些 BIOS RAID 设备不会被正确识别。这会导致安装失败,并报告缺少可用空间,因为无法使用该设备。在这个版本中,当在 Kickstart 文件中指定时,Anaconda 可可靠地识别 BIOS RAID 设备,安装也不会失败。(BZ#1327463)

单引号现在可以处理 ifcfg-* 文件中的值

在以前的版本中,只能在 ifcfg-* 文件中使用双引号来指定值。使用单引号无法正常工作。在这个版本中,单引号也可以工作,例如: ONBOOT='yes' (BZ#1428574)

rhel-import-state 不再更改 /dev/shm/ 的访问权限,从而使系统可以正确引导

在以前的版本中,因为在 dracut 更新中引入新脚本,引导过程中的问题会发生。当 dracut 实用程序将目录设置为 /run/initramfs/state/ 时,新脚本更改了对 /dev/shm/ 目录的访问权限。在这个版本中,rhel-import-state 不再更改 /dev/shm/ 的访问权限,且系统可以正确启动。(BZ# 1406254 )

为 Red Hat Enterprise Linux 6 启用向后兼容性 initscripts

Red Hat Enterprise Linux 7 中的 initscripts 文件已被修补,以便启用向后兼容性并防止从 Red Hat Enterprise Linux 6 升级到 Red Hat Enterprise Linux 7 时可能会出现回归问题。(BZ# 1392766 )

initscripts 现在将 /etc/rwtab /etc/statetab 指定为配置文件

在以前的版本中, initscripts 软件包的重新安装替换了 /etc/rwtab /etc/statetab 文件。如果这些文件包含用户的配置,则重新安装过程会覆盖它。 initscripts 软件包已更新,将 /etc/rwtab /etc/statetab 文件指定为配置文件。如果用户修改了这些文件,执行重新安装现在会创建包含 /etc/ 文件夹中的新配置的 *.rpmnew 文件。在这个版本中, initscripts 软件包的重新安装会留下 /etc/rwtab /etc/statetab 文件。(BZ#1434075)

ifup 脚本不再减慢 NetworkManager

在以前的版本中,当通知 NetworkManager 时, ifup 脚本非常慢。这尤其会影响 Red Hat Virtualization(RHV)网络启动时间。patch 已被应用于 initscripts,上面描述的问题不再发生。(BZ# 1408219 )

现在, firstboot --disable 命令可以在 kickstart 中禁用 GNOME Initial Setup

在这个版本中, gnome-initial-setup 软件包已被修复,以遵守 firstboot --disable kickstart 命令。因此,在 kickstart 安装过程中可强关闭 Gnome Initial Setup,且因为安装 kickstart 包含 firstboot --disable 命令,用户就不再强制在第一个引导中创建用户帐户。(BZ# 1226819 )

设置 NM_CONTROLLED 现在可在所有 ifcfg-* 文件中正常工作

当为 ifcfg-* 文件中的接口设置 NM_CONTROLLED=no 参数时,一些情况下会继承此配置。这个行为阻止 NetworkManager 守护进程控制这些接口。这个问题现已解决,设置 NM_CONTROLLED 参数现在可以在所有 ifcfg-* 文件中正常工作。因此,用户可以选择哪个接口由 NetworkManager 控制,而不是由它控制。(BZ# 1374837 )

未设置 主机名 时,dhclient 命令不再错误使用 localhost

当未设置主机名变量时, dhclient 命令会错误地将 localhost 发送到 DHCP 服务器作为主机名。 这个问题已被解决,dhclient 不再会在这些情况下发送不正确的主机名。(BZ#1398686)

initscripts 工具现在可以正确处理 LVM2

在以前的版本中,initscripts 实用程序的后续版本会在引导期间对 vgchange 命令使用一个新的 --ignoreskippedcluster 选项。 在早期版本的 lvm2 实用程序中缺少这个选项。因此,使用早期版本的逻辑卷管理器设备映射器(LVM2)的系统可能无法正确引导。在这个版本中,initscripts RPM 会显示所需的 lvm2 版本,如果安装了足够的版本,则引导有 LVM2 的系统。 (BZ#1398683)

service network stop 命令不再尝试停止的服务

在以前的版本中,当存在隧道接口时, 服务 network stop 命令会错误地尝试停止已经停止的服务,显示出错信息。这个程序错误已被解决, 服务 network stop 命令现在只停止运行的服务。(BZ#1398679)

如果回环设备中的关闭现在可以正常工作

在以前的 Red Hat Enterprise Linux 7 版本中,在本地回环设备上执行 ifdown 命令无法删除该设备。应用了补丁,使用 ifdown 删除现有的回环设备现在可以成功。(BZ#1398678)

initscripts 中的脚本处理静态 IPv6 地址分配

在以前的版本中,如果系统初始化过程中收到路由器公告(RA), initscripts 软件包中的脚本有时无法正确分配静态 IPv6 地址。这个程序错误已被解决,现在在上述情况下正确应用静态分配的地址。(BZ#1398671)

Software Selection 中取消选择附加组件选项不再需要双击

安装 Red Hat Enterprise Linux 7.3 时,用户必须双击,以便在 基本环境 更改后取消 附加 复选框。在进行图形安装的 软件选择 对话框中会出现错误。在这个版本中,系统在 基本环境 更改后选择选项时不再需要双击。单个点击即可完成。(BZ# 1404158 )

目标系统主机名可以通过 Kickstart 安装中的安装程序引导选项进行配置

在 Red Hat Enterprise Linux 7.3 中,以前没有为安装的系统设置通过 Anaconda 安装程序引导选项指定的主机名,并改用默认的 localhost.localdomain 主机名。在这个版本中, Anaconda 被修复,将引导选项设置的主机名应用到目标系统配置。现在,用户还可通过安装程序引导选项为 Kickstart 安装配置目标系统主机名。(BZ#1441337)

Anaconda 在网络配置后不再要求提供安装源验证

在以前的版本中,在 Anaconda 安装过程中,当用户选择仓库软件包后更改网络设置时,需要验证安装源。即使存储库在网络更改后仍然可访问,也会发出此请求,从而导致不必要的步骤。在这个版本中,Anaconda 安装程序会保留原始源存储库,并验证是否仍可在 Network & Hostname 配置后访问。因此,只有在原始存储库无法访问时才需要用户重新配置安装源。(BZ#1358778)

现在,在自动安装过程中,使用 OEMDRV 标签的磁盘可以被正确忽略

OEMDRV 磁盘标签在安装过程中用于驱动程序更新磁盘。由于一个程序错误,Anaconda 使用此标签的磁盘在自动安装过程中作为安装目标使用,这意味着它们被清除并用作安装的系统存储的一部分。在这个版本中,确保 Anaconda 忽略具有此标签的磁盘,除非它们被明确选择为安装目标,且问题不再发生。(BZ# 1412022 )

第 29 章 内核

RAID 4 和 RAID 10 创建和激活被完全支持

在 Red Hat Enterprise Linux 7.3 中,使用之前版本创建的现有 RAID4 或 RAID10 逻辑卷无法激活。另外,用户不会被指示在 Red Hat Enterprise Linux 7.3 中创建新的 RAID4 逻辑卷,因为这些逻辑卷可能无法使用以后的版本和更新激活。在这个版本中,Red Hat Enterprise Linux 7.4 完全支持 RAID 4 和 RAID 10 创建和激活,并拒绝可能使用 Red Hat Enterprise Linux 7.3 创建的 RAID 4 和 RAID 10 布局。(BZ#1385149)

kdump 现在可以使用旧类型 12 NVDIMM

在以前的版本中,带有旧类型 12 Non-Volatile Dual In-Volatile Dual In-line Memory Modules(NVDIMMs)的系统,可以是真正的双线内存模块(DIMM),或使用 memmap=XG!YG 内核命令行参数无法成功捕获内核崩溃转储。对于具有 real NVDIMM 的系统,尝试捕获内核崩溃转储偶尔会导致数据崩溃。在这个版本中,底层源代码已被修复,旧类型 12 NVDIMM 的系统现在可以捕获内核崩溃转储。(BZ#1351098)

创建继承 ACL 的文件不再丢失掩码

在以前的版本中,创建继承访问控制列表(ACL)的文件会导致掩码丢失,这与本地文件系统中的不同。在这个版本中,在创建文件时使用 NFSv4.2 的客户端可以在创建文件时设置 umask 属性,使得服务器始终应用 umask ,除非从父目录继承权限。因此,新的 NFS 文件将获得与本地创建的文件相同的权限。请注意,您需要在 NFS 客户端和 NFS 服务器上应用此更新,并使用 -overs=4.2 参数挂载。(BZ#1217546)

第 30 章 实时内核

删除 USB 不再会在 MRG 实时内核上导致 may _sleep() 警告

在以前的版本中,删除 MRG 实时内核上的 USB 设备会导致在禁用中断的情况下造成睡眠锁定。因此,日志记录了 may _sleep() 警告的系统。这个版本会替换 local_irq_disable local_irq_enable 调用中的 local_irq_disable_nort local_irq_enable_nort ,它可分别修复这个程序错误。(BZ#1443711)

第 31 章 Networking

SNMP 响应不再被超时

在以前的版本中,所有简单网络管理协议版本 1(SNMPv1 和 SNMPv2c 响应)都会针对最近记录的 SNMPv3 最大消息大小 属性进行检查。因此,带有较小的 消息大小的 SNMPv3 请求可能会导致 SNMPv1 和 SNMPv2c 批量请求超时。在这个版本中,仅针对 SNMPv3 请求检查会话最大消息大小,SNMPv1 和 SNMPv2c 响应将不再超时。(BZ# 1324306 )

ICMP 重定向不再会导致内核崩溃

在以前的版本中,套接字在用户空间和互联网控制消息协议(ICMP)重定向数据包的过程间被锁定,创建一个竞争条件。因此,内核会意外终止。当套接字被用户空间锁定时,跳过 ICMP 重定向数据包的过程已被修复,现在上面描述的问题不再发生。(BZ#1387485)

net.ipv4.ip_nonlocal_bind 内核参数在命名空间中设置

在以前的版本中,在某些情况下在网络命名空间内使用浮动 IP 地址失败,并显示以下错误信息: bind: Cannot assign requested address. 在这个版本中, net.ipv4.ip_nonlocal_bind 参数的 kernel respects 设置在命名空间中设为 1 ,浮动 IP 地址现在会如预期分配。(BZ#1363661)

netfilter REJECT 规则现在可以在 SCTP 数据包中工作

在以前的版本中, conntrack 工具不会检查流控制传输协议(SCTP)数据包的 CRC32c 值。因此,在 SCTP 数据包上不会应用 netfilter REJECT 规则。这个问题已通过在 SCTP 数据包上设置 CHECKSUM_UNNECESSARY 来解决 。因此,Netfilter REJECT 可以生成互联网控制消息协议(ICMP)响应。(BZ#1353218)

NetworkManager 不再复制与 already-set DHCP_HOSTNAME 的连接

在以前的版本中,在重启 NetworkManager 服务后,重复与 already-set DHCP_HOSTNAME 属性的连接。因此,DHCP 租期并不总是在其到期后续订。在这个版本中,连接不再被重复,在这种情况下,DHCP 租期会被正确更新。 请注意,这个修复包括忽略匹配过程中已经设置的主机名属性。为避免可能的问题,请删除带有不正确的 ipv4.dhcp-hostname 的所有未使用的连接。如需更多信息,请参阅 https://access.redhat.com/articles/2948041 。(BZ# 1393997 )

改进了 SCTP congestion_window 管理

在以前的版本中,小型数据块导致流控制传输协议(SCTP)在 从零 浏览器恢复时错误地考虑 receiver_window (rwnd)值。因此,窗口更新没有发送到 peer,aartificial 增长 rwnd 会导致数据包丢失。此更新正确考虑了这样的小数据块,并在重新打开窗口时忽略 rwnd pressure 值。现在,窗口更新会被发送,并宣布的 rwnd 反映了接收缓冲区的实际状态。(BZ#1084802)

DCTCP alpha 的值现在降至 0,cw nd 的值则保持在 137 个以上。

在以前的版本中,Data TCP(DCTCP)的 alpha 值会在减法前被转换,从而导致精确丢失。因此,真实的 alpha 值不会低于 15,未协调流最终会丢弃到 congestion_window (cw nd )值 137。这个程序错误已通过取消 alpha 较低时的切换操作来解决。因此,Alpha 丢弃到 0,c wnd 仍是 137 个非最不协调的流。 (BZ#1370638)

现在,ss 会显示正确的 cwnd

在以前的版本中, ss 实用程序显示来自内核的传输控制协议拥塞窗口(TCP cwnd)值,从未签名到已签名的 32 位整数执行广播。因此,一些值可能会溢出,并解释为负值。在这个版本中, ss 代码已被修复,实用程序不再显示负 cwnd 值。(BZ# 1375215 )

cwnd 的值在使用 DCTCP 时不再增加

在以前的版本中,在数据包丢失后, congestion_window ( cwnd )会意外增加。因此,数据中心 TCP(DCTCP)拥塞控制模块会变得高效,以避免拥塞,因为发生同一流程上的重复问题。在这个版本中,c wnd 值会在丢失时保存,并在恢复时恢复旧的值。因此,c wnd 保持稳定。(BZ#1386923)

修复了 negated 范围匹配

在以前的版本中,在 negated 匹配中使用一系列值永远不会评估为 true。在这个版本中,这些匹配可以正常工作。例如: # nft add rule ip ip_table filter_chain_input ip length != 100-200 drop 现在可以正确地丢弃小于 100 字节或大于 200 字节的数据包。(BZ#1418967)

nmcli connection show 命令现在显示 NULL 值的正确输出

在以前的版本中, nmcli connection show 命令的输出不会显示在不同的属性中同时显示 NULL 值。因此, 空值 -- 或没有值显示。在这个版本中,ncli connection show 命令的输出都以 正常 或用户模式显示 NULL 值的 -- 请注意,在 terse 模式中,值仅以其原始形式打印,并且根本不打印 空白 NULL 值。(BZ# 1391170 )

snmpd 不再拒绝来自 AgentX 子代理的大型数据包

在以前的版本中,SNMP 守护进程(snmpd)将从 AgentX 子代理发送的数据包大小限制为 1472 字节。这会导致 snmpd 会拒绝来自 AgentX 子代理的大数据包。数据包大小限制已增加到 65535 字节。因此, snmpd 不再拒绝来自 AgentX 子代理的大数据包。(BZ#1286693)

macvlan 现在可以被正确取消注册

在以前的版本中,尝试取消注册 Macvlan 驱动程序,它会失败,它带有来自或到另一个命名空间中的设备被破坏的 sysfs 链接。在这个版本中, Macvlan 已被修复,因此修复了这个程序错误。(BZ#1412898)

第 32 章 安全性

依赖于用户非搜索路径的 chroot 的配置现在可以正常工作

在 Red Hat Enterprise Linux 7.3 中, OpenSSH 工具中的 chroot 进程已被修改来帮助强化 SELinux 系统策略,并且 root UID 在执行 chroot 前已丢弃。因此,依赖于在用户非搜索路径中的 chroot 的现有配置已停止工作。在这个版本中, openssh 软件包的更新已恢复。另外,如果管理员启用了 selinuxuser_use_ssh_chroot 布尔值,则在 SELinux 系统策略中解决了这个问题。 上述配置现在的工作方式与 Red Hat Enterprise Linux 7.2 相同。(BZ# 1418062 )

firewalld 现在支持所有 ICMP 类型

在以前的版本中,Internet Control Message Protocol(ICMP)类型列表没有完成。因此,一些 ICMP 类型(如 packet-too-big )无法被阻断或允许。在这个版本中,添加了对其他 ICMP 类型的支持,而 firewalld 服务守护进程现在允许处理所有 ICMP 类型。(BZ# 1401978 )

Docker.pp 替换成 中的 container.pp selinux-policy

在以前的版本中, container-selinux 软件包中的 container.te 文件包含 Docker 接口,后者指向对应的容器接口,以及 docker.if 文件。因此,在编译 container.te 文件时,编译器会警告有关重复的接口。在这个版本中, selinux-policy 软件包中的 docker.pp 文件已被 container.pp 文件替代,警告不再会在上述场景中发生。(BZ# 1386916 )

最近添加的内核类和权限(在内定义) selinux-policy

在以前的版本中,内核中添加了几个新的类和权限。因此,系统策略中没有定义的这些类和权限会导致 SELinux 拒绝或警告。在这个版本中,所有最近添加的内核类和权限都在 selinux-policy 软件包中定义,不再会出现拒绝和警告。(BZ#1368057)

nss 现在可以正确地处理 PKCS#12 文件

在以前的版本中,当使用 pk12util 工具列出使用 PKCS#5 v2.0 格式的强大密码的 PKCS#12 文件中的证书时,没有输出。另外,当使用 pk12util 列出带有 SHA-2 Message Authentication Code(MAC)的 PKCS#12 文件中的证书时,会报告 MAC 错误,但不会输出任何证书。在这个版本中,导入和导出 PKCS#12 文件已更改为与 OpenSSL 处理兼容,在上述场景中可以正确处理 PKCS#12 文件。(BZ# 1220573 )

OpenSCAP 现在只生成有用的消息和警告

在以前的版本中,默认的扫描输出设置已被更改,调试信息也会输出到标准输出中。因此, OpenSCAP 输出缺少错误和警告。输出很难读取, SCAP Workbench 无法处理这些消息。在这个版本中,默认输出设置的更改已被恢复, OpenSCAP 现在会生成有用的输出。(BZ# 1447341 )

AIDE 现在以 syslog 格式记录

在这个版本中, AIDE 通过 syslog_format 选项以 rsyslog - 兼容格式的日志来检测系统。在远程 rsyslog 服务器上解析时,多行日志会导致问题。使用新的 syslog_format 选项, AIDE 现在可以以一行的形式记录每个更改。(BZ#1377215)

使用 OpenSCAP security-hardening 配置集安装现在

在以前的版本中, scap-security-guide 软件包中的拼写错误会导致 Anaconda 安装程序退出并重启机器。因此,在 Red Hat Enterprise Linux 7.4 安装过程中,无法选择任何安全强化的配置集,如 Criminal Justice Information Services(CJIS)。解决了拼写错误,现在使用 OpenSCAP security-hardening 配置集进行安装。(BZ#1450731)

OpenSCAP 和 SSG 现在可以正确地扫描 RHV-H 系统

在以前的版本中,使用 OpenSCAP 和 SCAP 安全指南(SSG)工具来扫描充当 Red Hat Virtualization Host(RHV-H)的 Red Hat Enterprise Linux 系统返回的 Not Applicable 结果。在这个版本中,OpenSCAP 和 SSG 将 RHV-H 正确识别为 Red Hat Enterprise Linux,它允许 OpenSCAP 和 SSG 正确扫描 RHV-H 系统。(BZ# 1420038 )

OpenSCAP 现在在 CVE OVAL 源中正确处理未压缩 XML 文件

在以前的版本中, OpenSCAP 工具只能处理源中压缩的 CVE OVAL 文件。因此,红帽提供的 CVE OVAL 源不能用作漏洞扫描的基础。在这个版本中, OpenSCAP 不仅支持 ZIP 和 BZIP2 文件,也支持在 CVE OVAL 源中解压缩 XML 文件,而基于 CVE OVAL 的扫描可以正常进行,无需额外步骤。(BZ# 1440192 )

第 33 章 服务器和服务

ReaR 现在可以正确地保留 Linux 功能

在以前的版本中,在备份阶段不会保留原始系统中设定的 Linux 功能。 恢复的系统随后丢失了这些功能。在这个版本中,如果将指令 NETFS_RESTORE_CAPABILITIES 设置为 /usr/share/rear/conf/default.conf 配置文件中的 y 选项,则 Linux 功能会被正确保留。(BZ#1343119)

sblim-cmpi-fsvol 不再显示使用 DM 挂载的文件系统作为禁用

在以前的版本中,sblim-cmpi-fsvol 通用信息模型(CIM)供应商无法正确识别使用设备映射器(DM)挂载的文件系统(FS)。因此,当省略 CIM_UnixLocalFileSystem 类实例时,sblim-cmpi-fsvol 会显示一些已经挂载为 disabled 的 FS。在这个版本中,sblim-cmpi-fsvol 已被修复,以便解析 dmsetup 命令的输出,而不是解析挂载了 DM 的 FS 的 FS 的输出。因此,sblim-cmpi-fsvol 现在会显示使用 DM 挂载的 FS。(BZ#1136116)

Cyrus SASL 中的 SPNEGO 现在与 Microsoft Windows 兼容

在此更新之前,Cyrus Simple Authentication and Security Layer(SASL)中的 Simple 和 Protected GSSAPI Negotiation Mechanism(SPNEGO)实施(SPNEGO)不兼容。因此,在尝试连接到 Windows 服务时,使用 cyrus-sasl 软件包的 Red Hat Enterprise Linux 工具无法使用 SPNEGO。这些工具还无法接受来自 Windows 客户端的连接。 cyrus-sasl 软件包已被修复,Red Hat Enterprise Linux Cyrus SASL 版本中的 SPNEGO 现在与 Microsoft Windows 对应的部分兼容。(BZ# 1421663 )

MariaDB 初始化脚本失败时数据不再丢失

在以前的版本中,如果 MariaDB init 脚本失败,它会在整个目录中调用 rm -rf 。这会导致数据丢失,甚至删除挂载点。在这个版本中,在 init 脚本中添加了几个额外的检查机制。现在,如果脚本失败,则只删除文件比关键文件操作前生成的时间戳更新的文件。另外,添加了一组人类可读的状态报告和错误消息。(BZ# 1356897 )

保证访问网络前,ypbind 不再启动

ypbind 服务设置为在 systemd 目标 network.target 后启动。但是 network.target 不保证 ypbind 所需的 网络功能 。因此,在引导过程中启动 ypbind 服务有时会无法访问网络。 ypbind 的服务文件已被修改为在目标 network-online.target 后启动 ypbind ,现在 ypbind 现在保证在启动时能够访问网络。(BZ#1382804)

由于 ypbind,远程用户的帐户设置不再恢复到重启 时的默认设置

由于服务启动顺序错误,因此,在所有名称服务交换机(NSS)查找操作完成之前, ypbind 无法启动。这会导致用户的帐户设置文件恢复到重启时为用户满足所有条件的默认设置: 使用 Gnome Display Manager 自动登录 使用 NIS 验证 位于 NFS 的主目录 修复了 ypbind 服务文件排序,在设置 user/group 数据库前使 ypbind start 生效。现在,用户的帐户设置文件被正确处理。(BZ# 1217435 )

由于使用的网络信息系统安全功能, yppasswd 不再崩溃

yppasswd 客户端在检查密码时尝试使用错误的字符串作为 salt,因为它无法识别以下情况: NIS 服务器配置为使用 passwd.adjunct 映射 NIS 服务器的文件 /var/yp/Makefile 中设置了变量 MERGE_PASSWD=false 因此, yppasswd 失败并显示以下错误消息: crypt()失败 。已修复 yppasswd 客户端,可识别这些问题,现在将检查委托给服务器上运行的 yppasswdd 守护进程。(BZ# 1401432 )

evince 现在再次显示 PostScript 文件

由于程序漏洞, evince 文档查看器无法显示 PostScript 文件的内容。已应用补丁, evince 现在可再次显示 PostScript 文件。(BZ# 1411725 )

db_verify 不再使 libdb 耗尽空闲 mutexes

在以前的版本中, lib db 数据库无法正确释放所有未使用的 mutexes。当多次在 libdb 数据库文件上运行 db_verify 命令时, lib db 快速耗尽 mutex 操作的资源。因此, lib db 会退出并显示错误消息: Unable to allocate memory for mutex; resize mutex region 将数据库处于不一致的状态。这个程序错误已被解决,lib db 现在可以正确地发布 mutexes,上面描述的问题不再发生。(BZ#1277887)

在某些情况下, Ghost script 不再变得无响应

在某些情况下, ghostscript 应用程序之前输入了无限循环,变得无响应,并造成过量 CPU 负载。在这个版本中解决了底层代码,这可以防止上面描述的问题发生。(BZ# 1424752 )

将 postscript 转换为 PDF 不再会导致 ps2pdf 意外终止

在以前的版本中,在某些情况下将 postscript 文件转换为 PDF,会导致 ps2pdf 实用程序意外终止分段错误。这个程序错误已被解决,将 postscript 转换为 PDF 不再会导致 ps2pdf 崩溃。(BZ#1390847)

sapconf 现在可以与更高的 kernel.shmall kernel.shmmax 值一起正常工作

在以前的版本中, kernel.shmall kernel.shmmax 值默认在 sapconf 程序中显示错误。因此, sapconf 失败并显示以下错误信息: integer expression expected 在这个版本中添加了一个新检查,允许大量 kernel.shmall kernel.shmmax ,上面描述的问题不再发生。(BZ#1391881)

第 34 章 Storage

lvconvert --repair 现在可以在缓存逻辑卷中正常工作

由于 lvm2-2.02.166-1.el 软件包中发布的回归问题,在 Red Hat Enterprise Linux 7.3 中发布的 lvconvert --repair 命令无法在缓存逻辑卷上正确运行。因此,无法 转换内部 LV 错误。底层源代码已被修改来修复这个程序错误, lvconvert --repair 现在可以正常工作。(BZ# 1380532 )

LVM2 库不兼容不再会导致设备监控失败,并在升级过程中丢失

由于 lvm2-2.02.166-1.el 软件包中的一个错误,在 Red Hat Enterprise Linux 7.3 中发布的程序库与早期版本的 Red Hat Enterprise Linux 7 不兼容。不兼容可能会导致设备监控失败,并在升级过程中丢失。因此,设备故障可能会意外处理(RAID),或者没有正确处理空间不足(thin-p)。在这个版本中解决了不兼容的问题,逻辑卷监控现在可以正常工作。(BZ# 1382688 )

be2iscsi 驱动程序错误不再会导致系统变得无响应

在以前的版本中,因为 be2iscsi 驱动程序错误,操作系统有时会变得无响应。此更新修复为2iscsi,由于 be2iscsi 错误,操作系统不再会挂起。(BZ#1324918)

当使用 mirror segment 类型时,不再使用 lvmetad 守护进程的互动问题

在以前的版本中,当使用旧的 镜像 片段类型创建带有 3 个或更多图的镜像逻辑卷时,则可能使用 lvmetad 守护进程进行交互问题。只有在使用 lvmetad 时,仅当镜像错误策略设置为非默认 分配 选项时,观察到的问题才会发生,且在设备故障事件之间没有重启机器。这个程序错误已被解决,上面描述的交互问题不再发生。(BZ# 1380521 )

multipathd 守护进程不再显示黑名单设备的错误信息

在以前的版本中, multipathd 守护进程会显示不正确的错误信息,它无法找到带有黑名单的设备,从而导致用户在没有错误时看到错误信息。在这个版本中, 多路径 会在发出错误消息前检查设备是否已列入黑名单。(BZ#1403552)

现在,当没有可用的路径时,多路径标记设备会重新载入

在以前的版本中,当删除到多路径设备的最后一个路径设备时, lvmetad 的状态变得不正确,在多路径之上的 lvm 设备可能会停止正常工作。这是因为 device-mapper 无法知道多路径设备重新加载时有多少个工作路径。因此,处理禁用扫描和其他 dm 规则的多路径 udev 规则仅在多路径设备丢失其上次可用的路径时工作,而不是因设备表重新加载而丢失。在这个版本中,当没有可用的路径时,多路径现在会重新载入设备。当多路径设备丢失最后一个可用路径时,多路径 udev 规则可以正确地禁用扫描和其他 dm 规则。因此, lvmetad 的状态仍正确,而在多路径之上的 LVM 设备仍可以正常工作。(BZ#1239173)

在写入失败后发送的读取请求将始终返回多路径设备上的相同数据

在以前的版本中,如果写入请求在 rbd 模块中挂起,并且 iSCSI 启动器和多路径层决定失败对应用的请求,则故障后发送的读取请求可能没有反映写入状态。这是因为,当 Ceph rbd 镜像通过多个 iSCSI 目标导出时, rbd 内核模块将在收到写入请求时获取专用锁定。在这个版本中, rbd 模块会同时获取读取和写入的专用锁定。这会导致在执行读取前清除或失败的写入操作。因此,在写入失败后发送的读取请求总是返回相同的数据。(BZ# 1380602 )

当多路径设备中的路径设备切换到只读时,多路径设备将被重新载入只读

在以前的版本中,当重新载入多路径设备时,多路径代码总是会尝试首先重新加载设备读写,然后回退为只读。如果一个路径设备已在内核中打开了读写设备,则它将继续以读写模式打开,即使设备已切换到只读模式,并且读-write 重新加载也会成功。因此,当从读写设备切换到只读时,多路径设备仍将读写(即使所有写入只读设备都会失败)。在这个版本中,当一个路径设备为只读时,multipathd 现在会以只读方式重新载入多路径设备。 因此,当多路径设备中的路径设备切换到只读时,多路径设备将被以只读方式重新载入。(BZ#1431562)

用户不再为未检查的多路径设备造成潜在的过时数据

在以前的版本中,当路径设备孤立(不是多路径设备的成员)时,设备状态和检查器 状态会在 设备被孤立前显示在设备的状态中。因此, 显示 paths 命令会在不再检查的设备中显示日期信息。在这个版本中, 显示 paths 命令会在检查器状态作为检查程序状态和 未知状态 显示为孤立路径的设备,用户不再会给未检查的设备造成混淆的过时数据。 (BZ# 1402092 )

multipathd 守护进程不再因为在失败路径中运行优先级程序而挂起

在以前的版本中, multipathd 在在某些情况下在出现问题的路径中运行优先级。因此,如果多路径配置了同步优先级,它可能会挂起尝试在失败的路径中运行优先级。 在这个版本中,当路径失败时, multipathd 不再运行优先级,且因为这个原因不再失败。(BZ#1362120)

新的 RAID4 卷,在系统升级后现有的 RAID4 或者 RAID10 逻辑卷现在被正确激活

在 Red Hat Enterprise Linux 版本 7.3 中创建 RAID4 逻辑卷后,或者在将现有 RAID4 或 RAID10 逻辑卷的系统升级到版本 7.3 后,系统有时会无法激活这些卷。在这个版本中,系统会成功激活这些卷。(BZ# 1386184 )

由于 PV 状态不正确,LVM 工具不再崩溃

当 LVM 观察卷组中物理卷(PV)的元数据之间的特定类型的不一致时,LVM 可以自动修复它们。发生这种不一致的情况,例如,如果 VG 在某些 PV 临时对系统可见,然后 PV 重新应用时,则会出现不一致的情况。 在以前的版本中,当执行此类修复操作时,所有 PV 有时都会临时考虑返回,即使不是这种情况。因此,LVM 工具有时会意外终止并带有 segmentation 错误。在这个版本中,上面描述的问题不再发生。(BZ# 1434054 )

第 35 章 系统和订阅管理

undercloud 不再会在没有配置的软件仓库的系统中失败

在以前的版本中,当用户尝试在没有配置的软件仓库的系统中安装 OpenStack Undercloud 时, yum 软件包管理器需要安装已安装 MySQL 依赖项。作为聚合,undercloud 安装 脚本失败。为修复这个错误, yum 已被修复,以正确地检测已安装的 MySQL 依赖项。因此, Undercloud 安装脚本不再会在没有配置的软件仓库的系统中失败。(BZ#1352585)

yum -plugin-verify 提供的 yum 命令现在会在找到不匹配时将退出状态设置为 1

yum -plugin-verify 插件为软件包中找到的任何差异 0 提供了 yum-plugin-verify 插件的退出代码 0。这个程序错误已被解决,如果找到不匹配,退出状态现在被设置为 1 。(BZ#1406891)

第 36 章 虚拟化

SeaBIOS 可识别带有非零 LUN 的 SCSI 设备

在以前的版本中,当逻辑单元号(LUN)被设置为零时,SeanBIOS 只会识别 SCSI 设备。因此,如果定义了带有零个 LUN 的 SCSI 设备,SeanBIOS 无法引导。在这个版本中,SeceBIOS 可识别带有 0 之外的 LUN 的 SCSI 设备。因此,SeceBIOS 可以成功引导。(BZ# 1020622 )

libguestfs 工具现在可以正确处理客户机,其中 /usr/ 不是与 root 相同的分区

在以前的版本中,当 /usr/ 目录不位于和 root 目录位于同一分区中时, libguestfs 库无法识别客户端操作系统。因此,在这类客户机上使用时,多个 libguestfs 工具(如 virt-v2v 实用程序)不会如预期执行。在这个版本中,当 /usr/ 不是与 root 位于同一分区时, libguestfs 可识别客户端操作系统。因此,受影响的 libguestfs 工具可以正常工作。(BZ# 1401474 )

virt-v2v 可以使用损坏或损坏的 Windows registry 转换 Windows 客户机

在以前的版本中, libguestfs 用来操作 Windows registry 的 hivex 库无法处理损坏的 registry。因此, virt-v2v 实用程序无法转换 Windows 客户机并带有损坏或损坏的 Windows registry。在这个版本中, libguestfs 在读取 Windows registry 时将 hivex 配置为严格。因此, virt-v2v 现在可以转换大多数 Windows 虚拟机,并损坏或损坏 Windows registry。(BZ# 1311890 , BZ# 1423436 )

使用 virt-v2v 使用非系统动态磁盘转换 Windows 客户机现在可以正常工作

在以前的版本中,使用 virt-v2v 实用程序转换带有非系统动态磁盘的 Windows 客户机虚拟机无法正常工作,且客户机在转换后不可用。这个版本修复了底层代码,因此可防止上面描述的问题。 请注意,在系统磁盘(C: 驱动器)上使用动态磁盘的 Windows 客户机转换仍不受支持。(BZ# 1265588 )

无论 Glance 客户端版本如何,guest 都可以转换为 Glance 映像

在以前的版本中,如果 Glance 命令行客户端版本 1.0.0 或更高版本安装在 virt-v2v 转换服务器上,则使用 virt-v2v 实用程序将客户机虚拟机转换为 Glance 镜像失败。在这个版本中,当导出镜像时, virt-v2v 直接设置镜像的所有属性。因此,转换至 Glance 的工作原理,无论 virt-v2v 转换服务器上安装的 Glance 客户端的版本如何。(BZ# 1374405 )

Red Hat Enterprise Linux 6.2 - 6.5 guest 虚拟机现在可以使用 virt-v2v 转换

在以前的版本中,Red Hat Enterprise Linux 版本 6.2 - 6.5 的 SELinux file_contexts 文件中出现错误 - 6.5 禁止使用 virt-v2v utiltiy 转换这些客户机。在这个版本中, virt-v2v 会自动修复 SElinux file_contexts 文件中的错误。因此,Red Hat Enterprise Linux 6.2-6.5 虚拟机现在可以使用 virt-v2v 转换。(BZ# 1374232 )

/etc/fstab 中的 btrfs 条目现在由 libguestfs 正确解析

在以前的版本中, /etc/fstab 中带有多个逗号分隔的选项的 Btrfs 子卷条目不会被 libguestfs 正确解析。因此,无法检查使用这些配置的 Linux 客户机虚拟机, virt-v2v 实用程序无法转换它们。借助此次更新, libguestfs 会正确使用 /etc/fstab 中的逗号分隔选项解析 Btrfs 子卷条目。因此,可以使用 virt-v2v 检查和转换这些条目。(BZ# 1383517 )

libguestfs 现在可以正确打开需要身份验证的 libvirt 域磁盘

在以前的版本中,当从 libvirt 域添加磁盘时, libguestfs 不会读取任何磁盘 secret。因此, libguestfs 无法打开需要身份验证的磁盘。在这个版本中, libguestfs 会在 libvirt 域中读取磁盘 secret(如果存在)。现在, libguestfs 可以正确地打开需要身份验证的 libvirt 域的磁盘。(BZ# 1392798 )

正确转换 Windows UEFI 客户机引导

在以前的版本中,当转换 Windows 8 UEFI 虚拟客户机时, virtio 驱动程序不会被正确安装。因此,转换的客户机无法引导。在这个版本中,在 Windows UEFI 客户端中可以正确地安装 virtio 驱动程序。因此,正确转换 Windows UEFI 虚拟机引导。(BZ# 1431579 )

virt-v2v 工具现在一致忽略代理环境变量

在此次更新之前,当使用 virt-v2v 实用程序转换 VMware 客户机虚拟机时,virt-v2v 将代理环境变量用于 VMware 的一些连接,但不适用于其他连接。在某些情况下会导致转换失败。现在, virt-v2v 在转换过程中忽略所有代理设置,这可以防止上面描述的问题。(BZ# 1354507 )

virt-v2v 只在需要时复制 rhev-apt.exe rhsrvany.exe

在以前的版本中, virt-v2v 在转换 Windows 虚拟客户机时总是复制 rhev-apt.exe rhsrvany.exe 文件。因此,即使在不需要时,它们也会出现在转换的 Windows 客户端中。在这个版本中, virt-v2v 仅在 Windows 客户端需要时复制这些文件。(BZ# 1161019 )

带有绑定间 VLAN 的客户机在故障切换后不再停止传输流量

在以前的版本中,在使用 ixgbe 虚拟功能(VF)配置的绑定接口配置了 VLAN 的客户机虚拟机上,绑定的网络接口在发生故障转移时停止传递流量。管理程序控制台还会将此错误作为 请求的 MACVLAN 过滤器记录,但会被管理拒绝 的消息。在这个版本中,可确保正确处理故障切换,从而防止上面描述的问题。(BZ#1379787)

virt-v2v 导入没有 < ovf:Name > 属性的 OVAs

在以前的版本中, virt-v2v 实用程序会拒绝在没有 < ovf:Name > 属性的情况下的 Open Virtual Appliance(OVA)导入。因此, virt-v2v 实用程序不会导入 Amazon Web Services(AWS)导出的 OVA。在本发行版本中,如果缺少 & lt;ovf:Name > 属性, virt-v2v 将使用磁盘镜像文件的基本名称作为虚拟机的名称。因此, virt-v2v 实用程序现在导入 AWS 导出的 OVA。(BZ# 1402301 )

部分 III. 技术预览

这部分列出了 Red Hat Enterprise Linux 7.4 中的所有技术预览。 有关红帽对技术预览功能支持范围的信息,请参阅 https://access.redhat.com/support/offerings/techpreview/

第 37 章 常规更新

systemd-importd VM 和容器镜像导入和导出服务

最新的 systemd 版本现在包含之前构建中没有启用的 systemd-importd 守护进程,这会导致 machinectl pull-* 命令失败。请注意, systemd-importd 守护进程作为技术预览提供,且不应被视为不稳定。(BZ# 1284974 )

第 38 章 认证和互操作性

使用 AD 和 LDAP sudo 供应商

Active Directory(AD)供应商是用于连接到 AD 服务器的后端。从 Red Hat Enterprise Linux 7.2 开始,将 AD sudo 供应商和 LDAP 供应商作为技术预览提供。要启用 AD sudo 供应商,请在 sssd.conf 文件的 [domain] 部分添加 sudo_provider=ad 设置。(BZ# 1068725 )

DNSSEC 在 IdM 中作为技术预览提供

带有集成 DNS 的身份管理(IdM)服务器现在支持 DNS 安全扩展(DNSSEC),这是一组增强 DNS 协议安全性的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。 建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档: DNSSEC Operational Practices, Version 2: http://tools.ietf.org/html/rfc6781#section-2 安全域名系统(DNS)部署指南 :http://dx.doi.org/10.6028/NIST.SP.800-81-2 DNSSEC Key Rollover Timing 注意事项 :http://tools.ietf.org/html/rfc7583 请注意,集成了 DNSSEC 的 IdM 服务器验证从其他 DNS 服务器获取的 DNS 答案。这可能会影响未按照 Red Hat Enterprise Linux 网络指南中推荐的命名方法配置的 DNS 区域可用性:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices。 https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices (BZ# 1115294 )

身份管理 JSON-RPC API 作为技术预览

一个 API 可用于 Identity Management(IdM)。要查看 API,IdM 还提供了一个 API 浏览器作为技术预览。 在 Red Hat Enterprise Linux 7.3 中,IdM API 被改进来启用多个 API 命令版本。在以前的版本中,增强功能可能会以不兼容的方式改变命令的行为。用户现在可以继续使用已有的工具和脚本,即使 IdM API 发生了变化。这可启用: 管理员要在服务器中使用之前或更高版本的 IdM,而不是在管理客户端中使用。 开发人员使用 IdM 调用的特定版本,即使 IdM 版本在服务器上发生了变化。 在所有情况下,与服务器进行通信是可能的,无论是否一方使用,例如,一个新的版本会为这个功能引进新的选项。 有关使用 API 的详情,请查看 https://access.redhat.com/articles/2728021 (BZ# 12982 86)

Custodia secret 服务供应商现在可用

作为技术预览,现在可以使用 Custodia,它是一个 secret 服务供应商。Custodia 可以存储或充当 secret(如密钥或密码)的代理。 详情请查看上游文档 http://custodia.readthedocs.io 。(BZ# 1403214 )

容器化身份管理服务器作为技术预览

rhel7/ipa-server 容器镜像作为技术预览提供。请注意, rhel7/sssd 容器镜像现已获得全面支持。 详情请查看 https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/using_containerized_identity_management_services 。(BZ# 1405325 , BZ#1405326)

第 39 章 集群

pcs 工具现在管理 Pacemaker 中的捆绑包资源

从 Red Hat Enterprise Linux 7.4 开始, pcs 工具支持捆绑包资源。现在,您可以使用 pcs resource bundle create pcs resource bundle update 命令来创建和修改捆绑包。您可以使用 pcs resource create 命令将资源添加到现有捆绑包中。有关您可以为 捆绑包 资源设置的参数的信息,请运行 pcs resource bundle --help 命令。(BZ# 1433016 )

第 40 章 编译器和工具

Shenandoah 垃圾收集器

现在,在 Intel 64、AMD64 和 64 位 ARM 架构中,新的、暂停时间 Shenandoah 垃圾收集器现在作为 OpenJDK 的一个技术预览。Shenandoah 执行并行电台,允许用户在不长暂停时间的情况下使用大型堆运行。如需更多信息,请参阅 https://wiki.openjdk.java.net/display/shenandoah/Main 。(BZ#1400306)

第 41 章 文件系统

现在 ext4 和 XFS 作为技术预览提供文件系统 DAX

从 Red Hat Enterprise Linux 7.3 开始,直接访问(DAX)作为技术预览提供,一个应用程序用于将持久内存直接映射到其地址空间中。 要使用 DAX,系统必须有某种可用的持久内存,通常使用一个或多个非线内存模块(NVDIMM),且必须在 NVDIMM 上创建支持 DAX 的文件系统。另外,该文件系统必须使用 dax 挂载选项挂载。然后,在 dax 挂载的文件系统中的一个文件 mmap 会把存储直接映射到应用程序的地址空间中。(BZ#1274459)

pNFS 和块布局支持

作为技术预览,上游代码被向后移植到 Red Hat Enterprise Linux 客户端中,以提供 pNFS 块布局功能。 另外,Red Hat Enterprise Linux 7.4 包含 pNFS SCSI 布局的技术预览。这个功能和 pNFS 块布局类似,但仅限于 SCSI 设备,因此更易于使用。因此,红帽建议使用 pNFS SCSI 布局而不是 pNFS 块布局。(BZ#1111712)

OverlayFS

OverlayFS 是一种联合文件系统。它允许用户在一个文件系统上覆盖另一个文件系统。更改记录在上面的文件系统中,而较小的文件系统则未修改。这允许多个用户共享文件系统镜像,如容器或 DVD-ROM,基础镜像使用只读介质。详情请参考 kernel 文件 Documentation/filesystems/overlayfs.txt。 在大多数情况下,OverlayFS 在 Red Hat Enterprise Linux 7.4 中仍是一个技术预览。因此,当这个技术被激活时,内核会记录警告信息。 与 Docker 一起使用时,在以下限制下可以对 OverlayFS 提供全面支持: OverlayFS 仅支持作为 Docker 图形驱动程序。它只支持容器 COW 内容,而不适用于持久性存储。任何持久性存储都必须放在非 OverlayFS 卷中才能被支持。只能使用默认的 Docker 配置 ; 即,一个级别的 overlay,一个 lowerdir,且低级别和高级别都位于同一个文件系统中。 目前只支持 XFS 作为较低层文件系统使用。 在 Red Hat Enterprise Linux 7.3 及更早版本中,必须在物理机上启用 SELinux 并处于 enforcing 模式,但在执行容器分离时必须禁用 SELinux,即 /etc/sysconfig/docker 文件不得包含 --selinux-enabled 。从 Red Hat Enterprise Linux 7.4 开始,OverlayFS 支持 SELinux 安全标签,您可以通过在 /etc/sysconfig/docker 中指定 --selinux-enabled 来为容器启用 SELinux 支持。 OverlayFS 内核 ABI 和用户空间的行为被视为不稳定,并可能会在以后的版本中有所变化。 为了使 yum 和 rpm 实用程序在容器内正常工作,该用户应使用 yum-plugin-ovl 软件包。 请注意,OverlayFS 提供了一组受限的 POSIX 标准。在使用 OverlayFS 部署前,先测试您的应用程序。 请注意,必须创建 XFS 文件系统,并启用了 -n ftype=1 选项以用作 overlay。使用 rootfs 和系统安装期间创建的任意文件系统,在 Anaconda kickstart 中设置 --mkfsoptions=-n ftype=1 参数。在安装后创建新文件系统时,运行 # mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE 命令。要确定现有文件系统是否有资格用作 overlay,请运行 # xfs_info /PATH/TO/DEVICE | grep ftype 命令以查看 ftype=1 选项是否已启用。 对于 Red Hat Enterprise Linux 7.3 发行版本,还有一些与 OverlayFS 相关的已知问题。详情请查看 Documentation/filesystems/overlayfs.txt 文件中的 非标准行为 。(BZ#1206277)

现在提供了 pNFS SCSI 布局客户端和服务器支持

从 Red Hat Enterprise Linux 7.3 开始,对并行 NFS(pNFS)SCSI 布局的客户端和服务器支持作为技术预览提供。基于块布局的构建,pNFS 布局在 SCSI 设备中定义,包含一系列固定大小的块,作为必须支持 SCSI 持久预留的逻辑单元。逻辑单元(LU)设备由其 SCSI 设备识别,并通过分配保留来处理隔离。(BZ#1305092)

btrfs 文件系统

Btrfs (B-Tree)文件系统在 Red Hat Enterprise Linux 7 中作为技术预览提供。 Red Hat Enterprise Linux 7.4 引入了对这个功能的最后计划更新。 Btrfs 已被弃用,这意味着红帽将不会将 Btrfs 移到完全支持的功能,它将在以后的 Red Hat Enterprise Linux 主发行版本中删除。(BZ#1477977)

第 42 章 硬件启用

可信计算组 TPM 2.0 系统 API 库和管理工具可用

在 Red Hat Enterprise Linux 中增加了两个新软件包来支持受信任的计算组信任的平台模块(TPM)2.0 硬件作为技术预览: tpm2-tss 软件包添加了 TPM 2.0 系统 API 库的 Intel 实现。这个程序库可让程序与 TPM 2.0 设备交互。 tpm2-tools 软件包从用户空间添加一组用于管理和使用 TPM 2.0 设备的工具。(BZ# 1275027 , BZ#1275029)

新软件包: tss2

tss2 软件包添加了受信任的计算组软件堆栈(TSS)2.0 的 IBM 实现作为技术预览。这个软件包允许用户与 TPM 2.0 设备交互。(BZ#1384452)

LSI 同步 CS HA-DAS 适配器

Red Hat Enterprise Linux 7.1 包括 megaraid_sas 驱动程序中的代码来启用 LSI Syncro CS 高可用性直接附加存储(HA-DAS)适配器。虽然 megaraid_sas 驱动程序在以前启用的适配器中被完全支持,但此驱动程序用于 Syncro CS 作为技术预览提供。对这个适配器的支持由 LSI、您的系统集成程序或系统厂商直接提供。我们鼓励在 Red Hat Enterprise Linux 7.2 及更新的版本上部署 Syncro CS 的用户向红帽和 LSI 提供反馈意见。有关 LSI Syncro CS 解决方案的更多信息,请访问 http://www.lsi.com/products/shared-das/pages/default.aspx (BZ#1062759)

第 43 章 安装和引导

中的多线程 xz 压缩 rpm-build

压缩可能需要很长时间才能进行高度并行构建,因为它目前只使用一个核心。对于在有大量内核的硬件上创建的大型项目而言,这可能会造成问题。 这个功能是作为技术预览提供的,在将 %_source_payload %_binary_payload macros 设置为 wLTX.xzdio 模式时,为源启用多线程 xz 压缩。在这里, L 代表压缩级别(默认为 6), X 是要使用的线程数(可为多个数字),如 w6T12.xzdio 。要这样做,可以编辑 /usr/lib/rpm/macros 文件,或者在 spec 文件中声明宏,或在命令行中声明宏。(BZ#1278924)

第 44 章 内核

异构内存管理作为技术预览包含

Red Hat Enterprise Linux 7.3 作为技术预览引入了异构内存管理(HMM)功能。这个功能已添加到内核中,作为希望将进程地址空间镜像到自己的内存管理单元(MMU)的设备的帮助层。因此,非 CPU 设备处理器可以使用统一系统地址空间读取系统内存。要启用此功能,请在内核命令行中添加 experimental_hmm=enable 。(BZ#1230959)

criu rebase 到版本 2.12

Red Hat Enterprise Linux 7.2 将 criu 工具作为技术预览引进。这个工具实现了 Checkpoint/Restore in User-space(CRIU) ,它可以用来冻结正在运行的应用程序并将其保存为文件集合。之后,应用程序可以从其冻结状态进行恢复。 请注意, criu 工具依赖于 协议 Buffers (一种语言中立且平台中立的可扩展机制),用于序列化结构化数据。Red Hat Enterprise Linux 7.2 中还引进了提供这个依赖关系的 protobuf protobuf-c 软件包作为技术预览。 在 Red Hat Enterprise Linux 7.4 中, criu 软件包已升级到上游版本 2.12,它提供很多程序错误修复和增强。(BZ# 1400230 )

kexec 作为技术预览

kexec 系统调用作为技术预览提供。这个系统调用启用从当前运行的内核载入并引导到另一个内核,从而从内核中执行引导装载程序的功能。在 kexec 引导过程中不会执行硬件初始化(通常在标准系统引导过程中完成),这可显著减少重启所需的时间。(BZ#1460849)

kexec fast reboot 作为技术预览

作为技术预览,这个更新添加了 kexec fast reboot 功能,这使得重启速度更快。要使用这个功能,您必须手动载入 kexec 内核,然后重启操作系统。对于默认的重启操作,无法使 kexec fast reboot 生效。 特殊情况用于 Anaconda 使用 kexec fast reboot 。它仍然不会启用 kexec fast reboot default。但是,当与 Anaconda 一起使用时,如果该用户使用 anaconda 选项,则操作系统可以在完成安装后自动使用 kexec fast reboot 。要调度 kexec 重启,在内核命令行中使用 inst.kexec 命令,或者在 Kickstart 文件中包含 reboot --kexec 行。(BZ#1464377)

可启用对命名空间进行非特权访问作为技术预览

现在,如果需要,您可以设置 namespace.unpriv_enable kernel 命令行选项(如果需要)。 默认设置为 off。 当设置为 1 时,以未授权用户身份使用标记 CLONE_NEWNS 来向 clone()函数发出调用,不再返回错误并允许操作。 但是,要启用对命名空间进行非特权访问,必须在一些用户名空间中设置 CAP_SYS_ADMIN 标志才能创建挂载命名空间。(BZ#1350553)

KASLR 作为技术预览

内核地址空间布局随机化(KASLR)现在作为技术预览提供。KASLR 是一种内核功能,它包含两个部分:内核文本 KASLR 和 mm KASLR。这两个部分协同工作,以增强 Linux 内核的安全性。 内核文本本身的物理地址和虚拟地址随机化为不同的位置。内核的物理地址可以是 64TB 下的任意位置,而内核的虚拟地址则限制在 [0xffffPROGRESS80000000, 0x EDT EDTc0000000](1GB 空间)。 这三个 mm 部分的起始地址(直接映射、 vmalloc 、和 vmemmap 部分)在特定区域中随机随机。在以前的版本中,启动这些部分的地址是固定的值。 因此,如果此代码需要知道在内核地址空间中定位,则 KASLR 可能会防止将内核执行并重定向到恶意代码。 请注意,KASLR 代码现在编译在 Linux 内核中,但默认禁用它。如果要使用它,在内核命令行中添加 kaslr 内核选项以明确启用它。(BZ#1449762)

使用灵活的文件布局更新 NFSv4 pNFS 客户端

NFSv4 客户端上的灵活的文件布局是首先在 Red Hat Enterprise Linux 7.2 中作为技术预览引入的。Red Hat Enterprise Linux 7.4 为这个功能添加了更新,但它仍作为技术预览提供。 NFSv4 灵活的文件布局支持高级功能,如非破坏性文件移动性和客户端侧镜像,在数据库、大数据和虚拟化等领域中提供了增强的可用性。有关 NFS 灵活文件布局的详情,请查看 https://datatracker.ietf.org/doc/draft-ietf-nfsv4-flex-files/ 。(BZ#1349668)

CUIR 增强的范围检测

对控制单元初始配置(CUIR)的 Linux 支持启用并发存储服务,无需或最小化停机时间。除了支持以逻辑分区(LPAR)模式运行的 Linux 实例外,还添加了对 IBM z/VM 系统上 Linux 实例的支持。(BZ#1274456)

qla2xxx 驱动程序中,SCSI-MQ 作为技术预览

Red Hat Enterprise Linux 7.4 中更新的 qla2xxx& amp; 驱动程序现在可以启用在 ql2xmqsupport=1 模块参数中使用 SCSI-MQ(multiqueue)。默认值为 0( 禁用)。与 qla2xxx 驱动程序一起使用时,SCSI-MQ functinality 作为技术预览提供。 请注意,在特定情况下,在带有同步 IO 到使用 SCSI-MQ 的光纤通道适配器时,最近进行的性能会明显降低。一个修复程序已被测试,但不适用于 Red Hat Enterprise Linux 7.4 正式发布(GA)。(BZ#1414957)

Intel Cache Allocation Technology 作为技术预览

在这个版本中,添加了 Intel Cache Allocation Technology(CAT)作为技术预览。该技术可让软件将缓存分配限制到定义的缓存子集。定义的子集可以与其他子集重叠。(BZ#1288964)

第 45 章 实时内核

新调度程序类: SCHED_DEADLINE

这个版本为实时内核引入了 SCHED_DEADLINE 调度程序类作为技术预览。新的调度程序可根据应用截止时间启用可预测的任务调度。 SCHED_DEADLINE 通过减少应用计时器操作来获得定期工作负载的好处。(BZ#1297061)

第 46 章 Networking

Cisco usNIC 驱动程序

思科统一通信管理器(UCM)服务器具有可选功能,可为用户空间应用程序执行类似用户空间应用程序的思科专有用户空间网络接口控制器(usNIC)的操作。libusnic_verbs 驱动程序作为技术预览提供,可通过基于 Verbs API 的标准 InfiniBand RDMA 编程使用 usNIC 设备。(BZ#916384)

Cisco VIC 内核驱动程序

Cisco VIC Infiniband 内核驱动程序(作为技术预览提供)允许在专有 Cisco 架构中使用远程目录内存访问(RDMA)的语义。(BZ#916382)

可信网络连接

可信网络连接作为一个技术预览,可与现有网络访问控制(NAC)解决方案一起使用,如 TLS、802.1X 或 IPsec 以集成端点后评估;即,收集端点系统信息(如操作系统配置设置、安装的软件包,以及作为完整性测量的术语)。可信网络连接用于根据网络访问策略验证这些测量,然后允许端点访问网络。(BZ#755087)

qlcnic 驱动程序中的 SR-IOV 功能

对 Single-Root I/O 虚拟化(SR-IOV)的支持已作为技术预览添加到 qlcnic 驱动程序中。QLogic 将直接提供对这个功能的支持,并鼓励用户向 QLogic 和红帽提供反馈意见。qlcnic 驱动程序中的其他功能仍被完全支持。(BZ#1259547)

libnftnl nftables 软件包

从 Red Hat Enterprise Linux 7.3 开始, nftables libnftl 软件包作为技术预览提供。 nftables 软件包提供了一个数据包过滤工具,与以前的数据包过滤工具相比,在方便、特性和性能方面有很多改进。它是 iptables ip6tables arptables ebtables 工具的指定成功者。 libnftnl 软件包提供了一个库,用于通过 libmnl 库与 nftables Netlink 的 API 进行低级交互。(BZ#1332585)

带有卸载支持的 flower classifier

flower 是流量控制(TC)分类器,允许用户为各种协议在众所周知的数据包字段上配置匹配。为了便于使用 u32 分类器为复杂的过滤和分类任务配置规则。流程序也支持将负载分类和操作规则卸载到底层硬件(如果硬件支持)。 TC 分类器现在作为技术预览提供。(BZ#1393375)

第 47 章 Ansible 支持的 Red Hat Enterprise Linux 系统角色

新软件包: ansible

Red Hat Enterprise Linux 系统角色现在作为技术预览提供,它是 Red Hat Enterprise Linux 子系统的配置界面,这有助于通过包含 Ansible 角色 来更轻松地进行系统配置。这个界面支持在多个 Red Hat Enterprise Linux 版本间管理系统配置,并使用新的主发行版本。 在 Red Hat Enterprise Linux 7.4 中,Red Hat Enterprise Linux 系统角色软件包通过 Extras 频道发布。有关 Red Hat Enterprise Linux 系统角色的详情,请参考 https://access.redhat.com/articles/3050101 。 目前, Ansible 不是 Red Hat Enterprise Linux FIPS 验证过程的一部分。我们希望在未来版本中解决这个问题。 Ansible 包含在不受支持的运行时依赖项中。(BZ#1313263)

第 48 章 安全性

tang-nagios clevis-udisk2 子软件包作为技术预览

tang clevis 软件包(属于 Red Hat Enterprise Linux Network Bound Disk Encryption(NBDE)项目的一部分,还包含 tang-nagios clevis-udisk2 子软件包。这些子软件包仅作为技术预览提供。(BZ#1467338)

usbguard 现在作为技术预览提供

现在,提供了针对入侵 USB 设备提供系统保护的 usbguard 软件包。在这个版本中,IBM Power 构架的 USBGuard 软件框架作为技术预览提供。完全支持适用于 Red Hat Enterprise Linux 以后的发行版本。 请注意,IBM z Systems 不支持 USB,无法在这些系统中提供 USBGuard 框架。(BZ# 1467369 )

第 49 章 Storage

SCSI 的多队列 I/O 调度

Red Hat Enterprise Linux 7 为块设备包含一个新的多队列 I/O 调度机制,称为 blk-mq。scsi-mq 软件包允许小型计算机系统接口(SCSI)子系统使用这一新的排队机制。这个功能是作为技术预览提供的,默认不会启用。要启用它,请将 scsi_mod.use_blk_mq=Y 添加到内核命令行。 虽然 blk-mq 旨在提高性能,特别是低延迟设备,但不能保证始终提供更好的性能。特别是在某些情况下,启用 scsi-mq 可能会导致性能显著提高,特别是对于有很多 CPU 的系统。(BZ#1109348)

libStorageMgmt API 中的 Targetd 插件

从 Red Hat Enterprise Linux 7.1 开始,完全支持使用 libStorageMgmt(一个存储阵列独立 API)的存储阵列管理。所提供的 API 是稳定且一致的,允许开发人员以编程方式管理不同的存储阵列,并利用所提供的硬件加速功能。系统管理员还可以使用 libStorageMgmt 手动配置存储,并使用包含的命令行界面自动执行存储管理任务。 Targetd 插件没有被完全支持,仍是一个技术预览。(BZ#1119909)

支持 Data Integrity Field/Data Integrity Extension(DIF/DIX)

DIF/DIX 是 SCSI 标准的新增功能。在功能一章中指定的 HBA 和存储阵列的 Red Hat Enterprise Linux 7 中完全支持它,但它仍处于所有其他 HBA 和存储阵列的技术预览。 DIF/DIX 将常用的 512 字节磁盘块从 512 增加到 520 字节,从而添加 Data Integrity 字段(DIF)。DIF 为数据块存储了在写入时由主机总线适配器(HBA)计算的 checksum 值。然后,存储设备会在收到时确认校验和,并同时存储数据和校验和。相反,当发生读取时,由存储设备以及接收 HBA 可以验证校验和。(BZ#1072107)

第 50 章 虚拟化

USB 3.0 支持 KVM 客户机

KVM 客户机的 USB 3.0 主机适配器(xHCI)模拟在 Red Hat Enterprise Linux 7.4 中仍是一个技术预览。(BZ#1103193)

选择 Intel 网络适配器现在支持 SR-IOV 作为 Hyper-V 上的客户机

在这个版本中,在 Hyper-V 上运行的 Red Hat Enterprise Linux 客户机虚拟机,新的 PCI 透传驱动增加了为 ixgbevf 驱动程序支持的 Intel 网络适配器使用单根 I/O 虚拟化(SR-IOV)功能的功能。此功能在满足以下条件时启用: 对网络接口控制器(NIC)启用了 SR-IOV 支持 对虚拟 NIC 启用了 SR-IOV 支持 对虚拟交换机启用 SR-IOV 支持 NIC 中的虚拟功能(VF)附加到虚拟机。 目前,Microsoft Windows Server 2016 支持该功能。(BZ#1348508)

VFIO 驱动程序的 No-IOMMU 模式

作为技术预览,这个更新为虚拟功能 I/O(VFIO)驱动程序添加了 No-IOMMU 模式。No-IOMMU 模式为用户提供完整的用户空间 I/O(UIO)访问直接内存访问(DMA)的设备,而无需 I/O 内存管理单元(IOMMU)。请注意,除了不被支持外,使用这个模式可能也不安全,因为缺少 INMU 提供的 I/O 管理。(BZ# 1299662 )

添加了 ibmvnic Device Driver

IBM POWER 架构的 Red Hat Enterprise Linux 7.3 中引入了 ibmvnic Device Driver。vNIC(虚拟网络接口控制器)是一个新的 PowerVM 虚拟网络技术,它提供企业级功能并简化网络管理。它是一个高性能、高效的技术,与 SR-IOV NIC 结合时,在虚拟 NIC 级别上提供带宽控制服务质量(QoS)功能。vNIC 显著降低虚拟化开销,从而减少延迟和较少的服务器资源,包括网络虚拟化所需的 CPU 和内存。(BZ#947163)

virt-v2v 现在可以使用 vmx 配置文件转换 VMware 客户端

作为技术预览, virt-v2v 实用程序现在包含 vmx 输入模式,允许用户从 VMware vmx 配置文件转换客户机虚拟机。请注意,为此,您还需要访问对应的 VMware 存储,例如使用 NFS 挂载存储。(BZ# 1441197 )

virt-v2v 可以转换 Debian 和 Ubuntu 客户端

作为技术预览, virt-v2v 实用程序现在可以转换 Debian 和 Ubuntu 虚拟机。请注意,在执行此转换时当前会出现以下问题: virt-v2v 无法更改 GRUB2 配置中的默认内核,在转换过程中不会更改客户机中配置的内核,即使客户机中有更理想的内核版本也是如此。 将 Debian 或 Ubuntu VMware 客户端转换为 KVM 后,虚拟客户机的网络接口的名称可能会变化,因此需要手动配置。(BZ# 1387213 )

virtio 设备现在可以使用 vIOMMU

作为技术预览,这个更新可让 virtio 设备使用虚拟输入/输出内存管理单元(vIOMMU)。这样可保证直接内存访问(DMA)的安全性,允许设备 DMA 仅允许的地址。但请注意,只有使用 Red Hat Enterprise Linux 7.4 或更高版本的客户机虚拟机可以使用此功能。(BZ# 1283251 , BZ#1464891)

Open Virtual Machine Firmware

在 Red Hat Enterprise Linux 7 中,OVMF(Open Virtual Machine Firmware)作为技术预览提供。OVMF 是 AMD64 和 Intel 64 客户端的 UEFI 安全引导环境。但是,OVMF 无法使用 RHEL 7 中可用的虚拟化组件引导。请注意,RHEL 8 完全支持 OVMF。(BZ#653382)

部分 IV. 设备驱动程序

这部分提供了在 Red Hat Enterprise Linux 7.4 中新增或者已更新的所有设备驱动程序的综合列表。

第 51 章 新驱动程序

存储驱动程序
  • nvme-fabrics nvme-rdma nvmet nvmet-rdma nvme-loop
网络驱动程序
  • rdma_rxe ntb_transport ntb_perf vfio_mdev amd-xgbe atlantic libcxgb rocker amd8111e mlxsw_core mlxsw_i2c mlxsw_spectrum mlxsw_pci mlxsw_switchx2 mlxsw_switchib mlxsw_minimal
图形驱动程序和各种驱动程序
  • uio_hv_generic usbip-core vhost_vsock tpm_tis_spi gpio-amdpt joydev sdio_uart ptp_kvm mei_wdt dell-rbtn dell-smo8800 intel-hid dell-smbios skx_edac kvmgt pinctrl-intel pinctrl-sunrisepoint pinctrl-amd dax_pmem ledtrig-usbport

第 52 章 更新的驱动程序

存储驱动程序更新
  • aacraid 驱动程序已更新至 1.2.1[50792]-custom。 lpfc 驱动程序已更新至 0:11.2.0.6 版本。 vmw_pvscsi 驱动程序已更新至 1.0.7.0-k 版本。 megaraid_sas 驱动已更新至版本 07.701.17.00-rh1。 bfa 驱动程序已更新至 3.2.25.1 版本。 hpsa 驱动程序已更新至 3.4.18-0-RH1 版本。 be2iscsi 驱动程序已更新至 11.2.1.0 版本。 qla2xxx 驱动程序已更新至 8.07.00.38.07.4-k1 版本。 mpt2sas 驱动程序已更新至版本 20.103.00.00。 mpt3sas 驱动程序已更新至版本 15.100.00.00。
网络驱动程序更新
  • ntb 驱动程序已更新至版本 1.0。 igbvf 驱动程序已更新至 2.4.0-k 版本。 igb 驱动程序已更新至 5.4.0-k 版本。 ixgbevf 驱动程序已更新至 3.2.2-k-rh7.4 版本。 i40e 驱动程序已更新至 1.6.27-k 版本。 fm10k 驱动程序已更新至 0.21.2-k 版本。 i40evf 驱动程序已更新至 1.6.27-k 版本。 ixgbe 驱动程序已更新至版本 4.4.0-k-rh7.4。 be2net 驱动程序已更新至版本 11.1.0.0r。 qede 驱动程序已更新至 8.10.10.21 版本。 qlge 驱动程序已更新至 1.00.00.35 版本。 qed 驱动程序已更新至 8.10.10.21 版本。 bna 驱动程序已更新至 3.2.25.1r 版本。 bnxt 驱动程序已更新至版本 1.7.0。 enic 驱动程序已更新至 2.3.0.31 版本。 fjes 驱动程序已更新至 1.2 版本。 hpwdt 驱动程序已更新至 1.4.02 版本。
图形驱动程序和杂项驱动程序更新
  • vmwgfx 驱动程序已更新至 2.12.0.0 版本。 hpilo 驱动程序已更新至 1.5.0 版本。

部分 V. 弃用的功能

这部分提供了在 Red Hat Enterprise Linux 7.4 的所有次版本中已弃用的功能概述。 弃用的功能在 Red Hat Enterprise Linux 7 生命周期结束前一直被支持。弃用的功能可能在以后的主要发行本中不被支持,因此不建议在新的部署中使用。有关特定主要发行本中已弃用功能的最新列表,请参考最新版本的发行文档。 对于当前或将来的主发行版本中的新部署,我们不推荐使用已弃用的 硬件 组件。硬件驱动程序更新仅限于安全和关键修复。红帽建议尽快替换这个硬件。 一个 软件包 可能被弃用,我们不推荐在以后使用。在某些情况下,软件包可从产品中删除。然后,产品文档可识别提供类似、完全相同或者更高级功能的最新软件包,并提供进一步建议。

第 53 章 Red Hat Enterprise Linux 7 中已弃用的功能

弃用了与身份管理相关的软件包

以下软件包已弃用,将不会包括在 Red Hat Enterprise Linux 未来的主发行版本中:
弃用的软件包 建议替换软件包或产品
authconfig authselect
pam_pkcs11 sssd [a]
pam_krb5 sssd [b]
openldap-servers 根据具体的用例,迁移到 Red Hat Enterprise Linux 或 Red Hat Directory Server 中包含的身份管理。 [c]
[a] 系统安全服务守护进程(SSSD)包含增强的智能卡功能。 有关从 pam_krb5 迁移到 sssd 的详情 ,请参考红帽客户门户网站中的 pam_krb5 到 SSSD 知识库文章。 Red Hat Directory Server 需要有效的 Directory Server 订阅。

弃用的 Insecure Algorithms 和协议

提供加密哈希和加密以及加密协议的算法具有生命周期,之后它们被视为使用或纯不安全的风险。如需更多信息 ,请参阅红帽客户门户网站上的 Red Hat Enterprise Linux 7.4 知识库文章中的使用 Cryptography 更改的操作系统安全性 https://bugzilla.redhat.com/show_bug.cgi?id=1335929
OpenSSH 中不再默认使用弱的密码和算法 在这个版本中, OpenSSH 库从默认配置中删除一些弱的密码和算法。但是,大多数情形中都确保了向后兼容性。 以下已从 OpenSSH 服务器和客户端中删除: 主机密钥算法: [email protected] [email protected] 加密系统: arcfour256 arcfour128 arcfour [email protected] Macs: hmac-md5 hmac-md5-96 [email protected] [email protected] hmac-ripemd160 [email protected] [email protected] hmac-sha1-96 [email protected] 以下已从 OpenSSH 客户端中删除: 加密系统: blowfish-cbc cast128-cbc 3des-cbc
OpenSSH 不会在 FIPS 模式中使用基于 SHA-1- 的密钥交换算法 在这个版本中,在 FIPS 模式的默认列表中删除基于 SHA-1- 的密钥交换算法。要启用这些算法,请为 ~/.ssh/config /etc/ssh/sshd_config 文件使用以下配置片断:
KexAlgorithms=+diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1
SSH-1 协议已从 OpenSSH 服务器 中删除, SSH-1 协议支持已从 OpenSSH 服务器中删除。如需更多信息, 请参阅从 RHEL 7.4 文章中删除服务器端 SSH-1 协议
MD5、MD4 和 SHA0 不再用作 OpenSSL 中的签名算法 在这个版本中,支持在证书中的 MD5、MD4 和 SHA0 签名验证,证书 Revocation Lists(CRL)和消息签名已被删除。 另外,生成数字签名的默认算法已从 SHA-1 改为 SHA-256。为旧目的仍启用 SHA-1 签名验证。 系统管理员可以通过修改 etc/pki/tls/legacy-settings 策略配置文件中的 LegacySigningMDs 选项来启用 MD5、MD4 或 SHA0 支持,例如:
echo 'LegacySigningMDs algorithm' >> /etc/pki/tls/legacy-settings
要添加多个传统算法,请使用逗号或任意空格字符,除了新行。如需更多信息,请参阅 OpenSSL 软件包中的 README.legacy-settings 文件。 您还可以通过设置 OPENSSL_ENABLE_MD5_VERIFY 环境变量来启用 MD5 验证。
openssl 客户端不再允许连接 DH 少于 1024 位的服务器, 这个版本可防止 OpenSSL 客户端连接到具有 Diffie-Hellman(DH)参数小于 1024 位的服务器。这样可确保使用 OpenSSL 的客户端容易受到漏洞的影响,如 Logjam。 系统管理员可以通过修改 /etc/pki/tls/legacy-settings 中的 MinimumDHBits 选项来启用较短的 DH 参数支持,例如:
echo 'MinimumDHBits 768' > /etc/pki/tls/legacy-settings
如果系统管理员需要,也可使用这个选项来提升最小值。
已从 OpenSSL 中完全删除 SSL 2.0 支持 SSL 协议版本 2.0(被视为不安全时间超过七年)已在 2011 年的 RFC 6176 弃用。在 Red Hat Enterprise Linux 中,默认禁用对 SSL 2.0 的支持。在这个版本中,SSL 2.0 支持已被完全删除。使用这个协议版本的 OpenSSL 库 API 调用现在返回一个错误消息。
OpenSSL 中的 EXPORT 密码套件已弃用 这个更改从 OpenSSL 工具包中删除对 EXPORT 密码套件的支持。禁用这些弱密码套件可确保使用 OpenSSL 的客户端对漏洞的影响,如 FREAK。任何 TLS 协议配置中都不再需要 EXPORT 密码套件。
gnutls 客户端不再允许连接 DH 比 1024 位短的服务器的连接 这个更改可防止 GNU Transport Layer Security(GnuTLS)客户端连接到使用 Diffie-Hellman(DH)参数小于 1024 位的服务器。这样可确保使用 GnuTLS 的客户端容易受到漏洞的影响,如 Logjam。 在从用户或配置直接接受优先级字符串的应用程序中,可以通过将优先级字符串 %PROFILE_VERY_WEAK 附加到使用的优先级字符串来恢复此更改。
使用 TLS NSS 客户端不再允许连接到 DH 小于 1024 位 此更改可防止网络安全服务(NSS)客户端连接到位于低于 1024 位的 Diffie-Hellman(DH)参数的服务器。这样可保证使用 NSS 的客户端容易受到漏洞的影响,如 Logjam。 系统管理员可以通过修改 /etc/pki/nss-legacy/nss-rhel7.config 策略配置文件来启用较短的 DH 参数支持: library= name=Policy NSS=flags=policyOnly,moduleDB config="allow=DH-MIN=767:DSA-MIN=767:RSA-MIN=767" 请注意,文件末尾需要一个空行。
NSS 中的 EXPORT 密码套件已弃用 这个更改删除了对网络安全服务(NSS)库中的 EXPORT 密码套件的支持。禁用这些弱密码套件可防止漏洞,如 FREAK。任何 TLS 协议配置中都不需要密码套件。

ca-certificates 软件包中删除的传统 CA 证书

在以前的版本中,要允许旧版本的 GnuTLS OpenSSL glib-networking 库保持与公钥基础架构(PKI)兼容, ca-certificates 软件包默认包含一组带有 1024 位 RSA 密钥的传统 CA 证书。 从 Red Hat Enterprise Linux 7.4 开始,有 OpenSSL GnuTLS glib-networking 的更新版本,它们可以正确地识别 root CA 证书的替代版本。公共 Web PKI 兼容性不再需要信任这些旧的 CA 证书。 旧的配置机制(可以用来禁用旧的 CA 证书)不再被支持。旧的 CA 证书列表已被改为为空。 ca-legacy 工具仍然可用,它还保留当前的配置设置以供将来重复使用。

coolkey 替换为 opensc

OpenSC 库实施 PKCS#11 API,并替换 coolkey 软件包。在 Red Hat Enterprise Linux 7 中, opensc 软件包还提供 CoolKey Applet 功能。 在 Red Hat Enterprise Linux 7 生命周期中, coolkey 软件包将继续被支持,但新硬件启用将通过 opensc 软件包提供。

rsyslog imudp 模块的 inputname 选项已弃用

rsyslog 服务的 imudp 模块的 inputname 选项已弃用。改为使用 name 选项。

FedFS 已被弃用

Federated File System(FedFS)已被弃用,因为上游 FedFS 项目不再被主动维护。红帽建议将 FedFS 安装迁移到使用 autofs ,它提供更灵活的功能。

Btrfs 已被弃用

Btrfs 文件系统自 Red Hat Enterprise Linux 6 初始发布后处于技术预览状态。红帽将不会将 Btrfs 迁移到完全支持的功能,并将在以后的 Red Hat Enterprise Linux 主发行版本中删除。 Btrfs 文件系统从 Red Hat Enterprise Linux 7.4 中的上游社区收到大量更新,并将在 Red Hat Enterprise Linux 7 系列中保留。但是,这是计划的对此功能的最后一个更新。

tcp_wrappers 已弃用

tcp_wrappers 软件包提供了一个库和一个库和一个小型守护进程程序,它可监控和过滤 systat 、finger、 FTP telnet rlogin 、rlogin、 exec tftp 、p talk sshd 以及其他网络服务的传入请求。

nautilus-open-terminal 替换为 gnome-terminal-nautilus

从 Red Hat Enterprise Linux 7.3 开始, nautilus-open-terminal 软件包已弃用,并替换为 gnome-terminal-nautilus 软件包。这个软件包提供了一个 Nautilus 扩展,它在 Nautilus 的右键上下文菜单中添加 Open in Terminal 选项。 nautilus-open-terminal 在系统升级过程中由 gnome-terminal-nautilus 替换。

Python 中删除了 sslwrap()

sslwrap() 函数已从 Python 2.7 中删除。在实施了 466 Python Enhancement Proposal 后,使用这个功能会导致 segmentation 错误。这个删除与上游一致。 红帽建议使用 ssl.SSLContext 类和 ssl.SSLContext.wrap_socket() 函数。大多数应用程序只需使用 ssl.create_default_context() 函数,它会创建带有安全默认设置的上下文。默认上下文也使用系统的默认信任存储。

来自库的符号不再被 ld 解析

在以前的版本中, ld linker 会解析任何链接库中出现的符号,即使有些库只被隐式链接为其它库的依赖项。这允许开发人员使用应用程序代码中隐式链接库中的符号,并明确指定这些库以链接。 出于安全考虑, ld 被修改为不解析到作为依赖项隐式链接的库中的符号引用。 因此,当应用程序代码尝试使用未声明来自库的符号时,带有 ld 的链接会失败。要使用链接到依赖项的库中的符号,开发人员还必须明确链接到这些库。 要恢复 ld 的之前行为,请使用 -copy-dt - needed 命令行选项。(BZ# 1292230 )

Windows 客户机虚拟机支持有限

从 Red Hat Enterprise Linux 7 开始,只有特定订阅程序(如 Advanced mission Critical)支持 Windows 客户机虚拟机。

libnetlink 已被弃用

iproute-devel 软件包中包含的 libnetlink 库已弃用。用户应该使用 libnl libmnl 库。

KVM 的 S3 和 S4 电源管理状态已弃用

对 S3(挂起到 RAM)和 S4(磁盘暂停)电源管理状态的原生 KVM 支持已停用。这个功能以前作为技术预览提供。

Certificate Server 插件 udnPwdDirAuth 已停用

Red Hat Certificate Server 的 udnPwdDirAuth 验证插件已在 Red Hat Enterprise Linux 7.3 中删除。使用插件的配置集不再被支持。如果证书已通过 udnPwdDirAuth 插件的批准,使用 udnPwdDirAuth 插件创建的证书仍然有效。

IdM 的 Red Hat Access 插件已停用

Red Hat Enterprise Linux 7.3 中删除了 Identity Management(IdM)的 Red Hat Access 插件。在更新过程中, redhat-access-plugin-ipa 软件包会自动卸载。之前由插件提供的功能(如知识库访问和支持案例参与)仍可通过红帽客户门户网站获得。红帽建议尝试替代的方案,如 redhat-support-tool 工具。

federated 单点登录的 Ipsilon 身份提供程序服务

ipsilon 软件包在 Red Hat Enterprise Linux 7.2 中作为技术预览引进。Ipsilon 链接到身份验证提供程序、应用程序或工具来允许单点登录(SSO)。 红帽不计划将 Ipsilon 从技术预览升级到完全支持的功能。在以后的次版本中将从 Red Hat Enterprise Linux 中删除 ipsilon 软件包。 红帽已发布了 Red Hat Single Sign-On 作为基于 Keycloak 社区项目的 Web SSO 解决方案。Red Hat Single Sign-On 提供了比 Ipsilon 更大的功能,并被指定为红帽产品系列的标准 Web SSO 解决方案。

弃用了一些 rsyslog 选项

Red Hat Enterprise Linux 7.4 中的 rsyslog 工具版本已弃用大量选项。这些选项不再起作用,并会发出警告信息。 以前由选项 -c -u -q -x -A -Q -4 -6 提供的功能可通过 rsyslog 配置来实现。 以前由选项 -l -s

memkind 库中弃用的符号

memkind 库中的以下符号已弃用: memkind_finalize() memkind_get_num_kind() memkind_get_kind_by_partition() memkind_get_kind_by_name() memkind_partition_mmap() memkind_get_size() MEMKIND_ERROR_MEMALIGN MEMKIND_ERROR_MALLCTL MEMKIND_ERROR_GETCPU MEMKIND_ERROR_PMTT MEMKIND_ERROR_TIEDISTANCE MEMKIND_ERROR_ALIGNMENT MEMKIND_ERROR_MALLOCX MEMKIND_ERROR_REPNAME MEMKIND_ERROR_PTHREAD MEMKIND_ERROR_BADPOLICY MEMKIND_ERROR_REPPOLICY

SCTP 的套接字 API 扩展选项(RFC 6458)弃用

根据 RFC 6458 规格已弃用 SCTP_SNDRCV SCSC_EXTRCV 和 SCTP_DEFAULT_SEND_SEND_PARAM 选项。 新的选项 SCTP_SNDINFO , SCTP_NXTINFO SCTP_NXTINFO SCTP_DEFAULT_SNDINFO 作为已弃用选项的替代选择。

libstorageMgmt 不再支持使用 SSLv2 和 SSLv3 管理 NetApp ONTAP

libstorageMgmt 库不再支持到 NetApp ONTAP 存储阵列的 SSLv2 和 SSLv3 连接。用户可以联系 NetApp 支持以启用传输层安全(TLS)协议。

dconf-dbus-1 已被弃用, dconf-editor 现在单独提供

在这个版本中, dconf-dbus-1 API 已被删除。但是, dconf-dbus-1 库已被向后移植来保持二进制兼容性。红帽建议使用 GDBus 库而不是 dconf-dbus-1 dconf-error.h 文件已重命名为 dconf-enums.h 。另外, dconf Editor 现在以单独的 dconf-editor 软件包提供,如需更多信息,请参阅 第 8 章 Desktop

FreeRADIUS 不再接受 Auth-Type := System

FreeRADIUS 服务器不再接受 rlm_unix 身份验证模块的 Auth-Type := System 选项。这个选项已被配置文件的 authorize 部分中的 unix 模块替代。

弃用的设备驱动程序

  • 3w-9xxx 3w-sas mptbase mptctl mptsas mptscsih mptspi mvsas qla3xxx megaraid_sas 驱动程序中的以下控制器已弃用: Dell PERC5, PCI ID 0x15 SAS1078R, PCI ID 0x60 SAS1078DE, PCI ID 0x7C SAS1064R, PCI ID 0x411 VERDE_ZCR, PCI ID 0x413 SAS1078GEN2, PCI ID 0x78 qla2xxx 驱动程序中的以下适配器已被弃用: ISP24xx, PCI ID 0x2422 ISP24xx, PCI ID 0x2432 ISP2422, PCI ID 0x5422 QLE220, PCI ID 0x5432 QLE81xx, PCI ID 0x8001 QLE10000, PCI ID 0xF000 QLE84xx, PCI ID 0x8044 QLE8000, PCI ID 0x8432 QLE82xx, PCI ID 0x8021 由 be2net 驱动程序控制的以下以太网适配器已被弃用:subvers TIGERSHARK NIC, PCI ID 0x0700 be2iscsi 驱动程序中的以下控制器已弃用: Emulex OneConnect 10Gb iSCSI Initiator(generic), PCI ID 0x212 OCe10101, OCm10101, OCe10102, OCm10102 BE2 adapter family, PCI ID 0x702 OCe10100 BE2 adapter family, PCI ID 0x703 lpfc 驱动程序的以下 Emulex 主板已被弃用:
    BladeEngine 2 (BE2) Devices
    • TIGERSHARK FCOE, PCI ID 0x0704
    Fibre Channel (FC) Devices
    • FIREFLY, PCI ID 0x1ae5 PROTEUS_VF, PCI ID 0xe100 BALIUS, PCI ID 0xe131 PROTEUS_PF, PCI ID 0xe180 RFLY, PCI ID 0xf095 PFLY, PCI ID 0xf098 LP101, PCI ID 0xf0a1 TFLY, PCI ID 0xf0a5 BSMB, PCI ID 0xf0d1 BMID, PCI ID 0xf0d5 ZSMB, PCI ID 0xf0e1 ZMID, PCI ID 0xf0e5 NEPTUNE, PCI ID 0xf0f5 NEPTUNE_SCSP, PCI ID 0xf0f6 NEPTUNE_DCSP, PCI ID 0xf0f7 FALCON, PCI ID 0xf180 SUPERFLY, PCI ID 0xf700 DRAGONFLY, PCI ID 0xf800 CENTAUR, PCI ID 0xf900 PEGASUS, PCI ID 0xf980 THOR, PCI ID 0xfa00 VIPER, PCI ID 0xfb00 LP10000S, PCI ID 0xfc00 LP11000S, PCI ID 0xfc10 LPE11000S, PCI ID 0xfc20 PROTEUS_S, PCI ID 0xfc50 HELIOS, PCI ID 0xfd00 HELIOS_SCSP, PCI ID 0xfd11 HELIOS_DCSP, PCI ID 0xfd12 ZEPHYR, PCI ID 0xfe00 HORNET, PCI ID 0xfe05 ZEPHYR_SCSP, PCI ID 0xfe11 ZEPHYR_DCSP, PCI ID 0xfe12 要在您的系统中检查硬件的 PCI ID,请运行 lspci -nn 命令。 请注意,以上驱动程序中的其他控制器在此处未列出。

      SFN4XXX 适配器已弃用

      从 Red Hat Enterprise Linux 7.4 开始, SFN4XXXJapanflare 网络适配器已被弃用。在以前的版本中,Solarflare 为所有适配器都有一个驱动程序 sfc 。最近,SFN4XXX 的支持被从 sfc 分割,并移到一个新的 SFN4XXX-only 驱动程序,名为 sfc-falcon 。现在继续支持这两个驱动程序,但 sfc-falcon 和 SFN4XXX 支持被调度到以后的主发行版本中删除。

      仅启动 FCoE 存储技术的软件已弃用

      由于客户使用有限,软件仅通过以太网(FCoE)存储技术启动了部分光纤通道。在 Red Hat Enterprise Linux 7 生命周期中,只有存储技术的软件才被支持。弃用通知表示,计划在以后的 Red Hat Enterprise Linux 主发行版本中删除基于软件的 FCoE 支持。请注意,硬件支持和相关用户空间工具(如驱动程序、libfc 或 libfcoe )不受此弃用通知的影响。

      使用 libvirt-lxc 工具的容器已弃用

      从 Red Hat Enterprise Linux 7.1 开始,以下 libvirt-lxc 软件包已弃用: libvirt-daemon-driver-lxc libvirt-daemon-lxc libvirt-login-shell Linux 容器框架的未来开发现在基于 docker 命令行界面。 libvirt-lxc 以后的 Red Hat Enterprise Linux 版本(包括 Red Hat Enterprise Linux 7)可以删除工具,且不应依赖于开发自定义容器管理应用程序。 如需更多信息,请参阅 红帽知识库文章

    部分 VI. 已知问题

    这部分记录了 Red Hat Enterprise Linux 7.4 中已知的问题。

    第 54 章 认证和互操作性

    sudo 在执行组查找时意外拒绝访问

    此问题会在满足所有这些条件的系统中发生: 在 sudoers 规则中通过多个名称服务切换(NSS)源(如 文件或 ss)源配置组名称。 NSS 优先级设置为本地组定义。当 /etc/nsswitch.conf 文件包含以下行时,这是如此: sudoers: files sss 名为 match_group_by_gid sudo Defaults 选项设为 true 。这是 选项的默认值。 由于 NSS 源优先级,当 sudo 实用程序尝试查找指定组的 GID 时,sudo 会收到只描述本地组定义的结果。因此,如果用户是远程组的成员,但不是本地组, sudoers 规则不匹配,而 sudo 拒绝访问。 要临时解决这个问题,请选择以下之一: 为 sudoers 明确禁用 match_group_by_gid Defaults。打开 /etc/sudoers 文件,并添加以下行: Defaults !match_group_by_gid 配置 NSS 以对文件 NSS 源进行优先排序。 打开 /etc/nsswitch.conf 文件,并确保它在 文件 前面列出 ss: sudoers: sss files 这可确保 sudo 允许访问属于该资源组的用户。(BZ#1293306)

    KCM 凭证缓存不适用于单个凭证缓存中的大量凭证

    如果凭证缓存包含太多凭证,则 Kerberos 操作(如 klist )会失败,因为用于在 sssd-kcm 组件和 sssd-secrets 组件间传输数据的硬编码限制失败。 要临时解决这个问题,请在 /etc/sssd/sssd.conf 文件的 [kcm] 部分添加 ccache_storage = memory 选项。这会指示 kcm 响应器仅存储凭证缓存,而不是持久保存。请注意,如果您执行此操作,则重新启动系统或 sssd-kcm 会清除凭证缓存。(BZ# 1448094 )

    sssd-secrets 组件在加载时崩溃

    sssd-secrets 组件收到多个请求时,这种情况会触发导致 sssd-secrets 意外终止的 Network Security Services(NSS)库中的一个错误。但是, systemd 服务会为下一个请求重启 sssd-secrets ,这意味着拒绝服务只是临时的。(BZ# 1460689 )

    SSSD 无法正确处理具有相同优先级的多个证书匹配规则

    如果给定证书与多个具有相同优先级的证书匹配规则匹配,系统安全服务守护进程(SSSD)只使用其中一个规则。作为临时解决方案,请使用单个证书匹配规则,该规则 LDAP 过滤器由与 | (或)运算符串联的单独规则的过滤器组成。有关证书匹配规则的示例,请参阅 sss-certamp(5)man page。(BZ# 1447945 )

    SSSD 只能查找 ID 覆盖中的唯一证书

    当多个 ID 覆盖包含同一证书时,系统安全服务守护进程(SSSD)将无法解析与证书匹配的用户的查询。尝试查找这些用户不会返回任何用户。请注意,通过使用用户名或 UID 查找用户可以正常工作。(BZ# 1446101 )

    ipa-advise 命令不完全配置智能卡验证

    ipa-advise config-server-for-smart-card-auth ipa-advise config-client-for-smart-card-auth 命令不会完全为智能卡验证配置身份管理(IdM)服务器和客户端。因此,在运行 ipa-advise 命令生成的脚本后,智能卡验证会失败。要临时解决这个问题,请参阅 Linux 域身份、身份验证和策略指南中的独立用例的手动步骤 :https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/smart-cards.html (BZ# 1455946 )

    libwbclient 库无法连接到在 Red Hat Enterprise Linux 7.4 中托管的 Samba 共享。

    Samba 和系统安全服务守护进程(SSSD)Winbind 插件实现间的接口已更改。但是,SSSD 中缺少这个更改。因此,使用 SSSD libwbclient 库的系统而不是 Winbind 守护进程无法访问在 Red Hat Enterprise Linux 7.4 上运行的 Samba 提供的共享。没有可用的临时解决方案,红帽建议在不运行 Winbind 守护进程的情况下使用 libwbclient 库来升级到 Red Hat Enterprise 7.4。(BZ# 1462769 )

    证书系统ub系统遇到与 TLS_ECDHE_RSA_* 密码以及某些 HSMs 的通信问题

    当启用了 TLS_ECDHE_RSA_* 密码时,子系统会遇到通信问题。此问题在以下情况下发生: 安装 CA 且安装了第二个子系统后,并尝试将 CA 作为安全域联系,从而防止安装成功。 在 CA 上执行证书注册时,当需要归档时,CA 会出现与 KRA 相同的通信问题。只有在为安装临时禁用禁用密码时,才能发生这种情况。 要临时解决这个问题,请尽可能保持 TLS_ECDHE_RSA_* 密码关闭。请注意,当 Perfect Forward Secrecy 使用 TLS_ECDHE_RSA_* 密码提供了提高安全性,但每个 SSL 会话需要花费较长时间才能建立。另外,默认的 TLS_RSA_* 密码适用于证书系统操作。(BZ#1256901)

    第 55 章 编译器和工具

    如果禁用了可执行堆栈,则无法使用 JIT 技术提升正则表达式的性能

    SELinux 策略不允许执行堆栈时, PCRE 库无法使用 JIT 编译来加快正则表达式。因此,尝试正则表达式的 JIT 编译会被忽略,且不会提高其性能。 要临时解决这个问题,使用对受影响的 SELinux 域启用 execmem 操作的规则来设置 SELinux 策略,以启用 JIT 编译。其中一些规则已经提供,并可由特定 SELinux 布尔值启用。要列出这些布尔值,请查看以下命令的输出结果: getsebool -a | grep execmem 另一种解决方法是将应用程序代码更改为不请求 JIT 编译以及对 pcre_study() 函数的调用。(BZ# 1290432 )

    当某些应用程序在卸载 Gluster 库后无法退出时,会出现内存泄漏的问题

    Gluster 由许多内部组件和不同的转换器组成,实施功能和特性。添加了 gfapi 访问方法,将 Gluster 与应用紧密集成。但是,并非所有组件和转换程序都设计为在运行的应用程序中卸载。因此,卸载 Gluster 库后不会退出的程序无法发布一些由 Gluster 内部执行的内存分配。 要减少内存泄漏数量,防止应用程序在可能时调用 glfs_init() glfs_fini() 函数。要释放泄漏的内存,您必须重启长时间运行的应用程序。(BZ# 1409773 )

    DISA SRG 的 URL 不正确

    SCAP 安全指南(SSG)规则指的是 Defense Information Systems Agency Security Requirement Guide(DISA SRG)。连接到 URL 会失败并显示 404 - not found 错误。因此,用户没有直接引用 SRG。要临时解决这个问题,请使用新 URL :http://iase.disa.mil/stig/os/general/Pages/index.aspx/ (BZ# 1464899 )

    ensure_gpgcheck_repo_metadata 规则失败

    在修复 ensure_gpgcheck_repo_metadata 规则期间,某些配置集会更新 yum.conf 文件以启用 repo_gpgcheck 选项。红帽目前不提供签名的存储库元数据。因此, yum 工具无法从官方仓库安装任何软件包。要临时解决这个问题,请使用定制文件从配置集中删除 ensure_gpgcheck_repo_metadata 。如果补救已经破坏系统,请更新 yum.conf 并将 repo_gpgcheck 设置为 0。 (BZ# 1465677 )

    SSG pam_faillock 模块利用率检查错误地接受 default=die

    SCAP 安全指南(SSG)pam_faillock 模块利用率检查错误地接受 default=die 选项。因此,当使用 pam_unix 模块进行身份验证时,pam 堆栈评估会立即停止,无需增加 pam_faillock 计数器。要临时解决这个问题,请不要在 authfail 选项前使用 default=die 。这样可确保 pam_faillock 计数器正确递增。(BZ#1448952)

    第 56 章 Desktop

    更新 totem 单独失败

    缺少 totem gstreamer1-plugins-bad-free 软件包之间的明确依赖项。因此,当只尝试更新 totem 软件包时,操作会失败。要临时解决这个问题,请不要自行更新 totem 软件包,并依赖系统更新。(BZ# 1451211 )

    操作系统在启动时始终假设 Wacom Expresskeys 远程模式 1

    Wacom Expresskeys Remote(EKR)是一个独立设备,因此可在操作系统(OS)引导时切换到任何操作模式。然而,操作系统总是假设 EKR 在引导时被设置为 mode 1。因此,当 EKR 模式在系统引导前没有设置为 1 时,EKR 不会与操作系统同步。要临时解决这个问题,请在启动操作系统前将 EKR 设置为 mode 1。(BZ# 1458351 )

    无法从 Nautilus 安装下载的 RPM 文件

    当在 Nautilus 文件手册页中双击 RPM 文件时,会返回以下错误,而不是正在安装的文件: Sorry, this did not work, File is not supported 这是因为 yum backend to PackageKit 不支持获取本地文件的详细信息。 可通过安装 gnome-packagekit 来处理双击操作,或者使用 yum 手动安装文件,可以解决这个问题。(BZ# 1434477 )

    yelp 无法正确显示 HTML 格式的文件

    在早期版本的 yelp 中,可能会显示 HTML 格式化文件。在版本 3.22 中,这个功能不再有效,返回带有正确文本 URL 的 Unknown Error 将无法显示 。 目前还没有临时解决方案,因为问题可能与 yelp 本身中的架构变化相关。 系统管理员应该注意 yelp 不支持这个用例,并且要求 Mallard 或 Docbook 数据作为输入。 应考虑显示 HTML 格式化内容的另一种方法。(BZ# 1443179 )

    将 monitor 附加到某些 AMD 硬件时,自动模式设置会失败

    对于某些配置,在使用 AMD 硬件的系统中添加额外的监控器可能无法自动激活新硬件。 这个问题目前正在调查中。 要解决这个问题,系统管理员应该手动调用 xrandr(1)来启用该监控器。(BZ# 1393951 )

    由于缺少 依赖项,GNOME 文档不会在没有 LibreOffice 的情况下显示一些文档

    GNOME 文档 使用 LibreOffice 套件提供的库来呈现某些类型的文档,如 OpenDocument Text 或 Open Office XML 格式。但是,所需的库( libreoffice-filters )不包括在 gnome-documents 软件包的依赖项列表中。因此,如果您将 Gnome 文档 安装到没有 LibreOffice 的系统上,无法呈现上述文档类型。 要临时解决这个问题,请手动安装 libreoffice-filters 软件包,即使您没有计划使用 libreoffice 本身。(BZ# 1466164 )

    应用程序安装程序 显示软件包,尽管它们无法在 big endian 构架中安装

    当您在 大型系统 (如 IBM Power Systems 或 IBM z Systems)中使用应用程序安装程序图形安装程序( gnome-software 软件包), 列出的一些软件包将无法安装。造成这个问题的原因是,软件包元数据当前只为 64 位 AMD 和 Intel 兼容(little-endian)系统生成,并且假设所有软件包也位于 big-endian 架构上,这不是这种情况。 这个问题还没有临时解决方案,但错误消息没有除软件包外被安装。(BZ# 1464139 )

    添加/删除软件 工具(gpk-application)不会在第一次尝试使用新导入的密钥

    当在 GNOME 中使用 "添加/删除软件 图形界面"以安装由尚未导入的密钥签署的软件包时,工具会显示一条提示您导入密钥。但是,即使导入了密钥,安装也会失败,因为存在一个防止立即使用密钥的错误。要临时解决这个问题,请再次安装同一软件包;此时,密钥是从上一尝试中导入的,安装会成功。(BZ#1387181)

    使用多个 PCI 设备重新定义显示数个虚拟机的显示会导致 X 崩溃

    QXL 驱动程序( xorg-x11-drv-qxl )中的一个错误可使虚拟机中的 X.Org 显示服务器在调整大小时崩溃,如果虚拟机有多个显示配置为使用多个 PCI 设备。确保运行带有多个监控器的 Red Hat Enterprise Linux 的客户机虚拟机被配置为使用一个 PCI 设备。在 Red Hat Virtualization 中,此设置由 Edit -> Console 下的 Single PCI Device 复选框控制,并默认启用。(BZ# 1428340 )

    Nautilus 不隐藏 GNOME Classic 会话中的图标

    GNOME Tweak 工具在 gnome 会话中显示或隐藏图标,其中图标默认隐藏在 GNOME Classic 会话中。因此,即使 GNOME Tweak 工具显示这个选项,也无法隐藏 GNOME Classic 会话中的图标。(BZ# 1474852 )

    中依赖项不正确 flatpak

    由于 flatpak 软件包中的依赖关系错误,用户可能会遇到以下错误: flatpak: error while loading shared libraries: libostree-1.so.1: cannot open shared object file: No such file or directory 要临时解决这个问题,请安装 flatpak-libs 软件包。或者,无需先安装 flatpak ,而是通过运行以下命令安装这两个软件包: sudo yum -y install flatpak flatpak-libs (BZ# 1476905 )

    更新后,Firefox 不会启动 Firefox

    升级到 firefox-52.1.2-.el7.x86_64 之后,浏览器在某些情况下不会启动。这是因为 nspr nss 软件包没有从 Red Hat Enterprise Linux 7.4 批量更新。要临时解决这个问题,从 Red Hat Enterprise 7.4 发行版本中更新 nspr nss 软件包。另一种可能的解决方法是降级 Firefox,但不推荐使用这个选项。因此,可以再次启动 Firefox Web 浏览器。(BZ# 1455798 )

    对 Xorg 中的视觉功能提供有限支持

    在 Xorg 服务器中,硬件驱动程序仅支持 TrueColor 和 DirectColor visuals。对于需要 PseudoColor 可视化的旧应用程序,可以对 Xephyr 嵌套的 X 服务器运行,它在 TrueColor 屏幕上显示时实施 PseudoColor 转换。(BZ#1185690)

    第 57 章 文件系统

    建议 NetApp 存储设备为 NFSv4 服务,以检查其配置

    请注意,当使用提供 NFSv4 的 NetApp 存储设备时,可以启用或禁用该功能。 建议验证配置以确保根据需要启用适当的功能,例如使用以下 Data ONTAP 命令: vserver nfs show -vserver <vserver-name> -fields v4.0-acl,v4.0-read-delegation,v4.0-write-delegation,v4.0-referrals,v4.0-migration,v4.1-referrals,v4.1-migration,v4.1-acl,v4.1-read-delegation,v4.1-write-delegation (BZ# 1450447 )

    第 58 章 硬件启用

    i40e 驱动程序拒绝大多数常规 HWTSTAMP 过滤器

    由于在 Intel 以太网控制器 X710 和 XL710 系列的安全修正中禁用 L4 时间戳(UDP),所以 i40e 设备驱动程序会拒绝最常规的 HWTSTAMP 过滤器。此问题仅影响 Intel X710 设备,而非较新的 X722 设备。(BZ#1431964)

    第 59 章 安装和引导

    从 HTTPS kickstart 源安装时不支持的 FIPS 模式

    安装镜像在安装过程中不支持使用 HTTPS kickstart 源的 FIPS 模式。因此,目前无法安装带有 fips=1 inst.ks=https://<location>/ks.cfg 选项的系统。(BZ# 1341280 )

    使用 UEFI 和 IPv6 的 PXE 引导显示 GRUB2 shell 而不是操作系统选择菜单

    当使用 UEFI 和 IPv6 配置的客户端启动 Pre-Boot Execution Environment(PXE) 时,不会显示 /boot/grub/grub.cfg 文件中的引导菜单。超时后,会显示 GRUB2 shell,而不是配置的操作系统选择菜单。(BZ#1154226)

    使用非字母数字字符指定驱动程序磁盘分区会生成无效的输出 Kickstart 文件

    当使用 Anaconda 安装程序安装 Red Hat Enterprise Linux 时,您可以通过在 Kickstart 文件中包含驱动程序磁盘的分区的路径来添加驱动程序磁盘。目前,如果您通过 LABEL 或 CDLABEL 指定分区,它里有一个非字母数字字符,例如: driverdisk "CDLABEL=Fedora 23 x86_64:/path/to/rpm" 在 Anaconda 安装期间创建的 Kickstart 文件将包含不正确的信息。要临时解决这个问题,在通过 LABEL 或 CDLABEL 指定分区时仅使用字母数字字符。(BZ# 1452770 )

    在某些安全配置集时, Scientific Computing 变体缺少软件包

    安装 用于科学计算变体(也称为 Compute 节点)的红帽企业 Linux 时,您可以选择与其它变体安装过程类似的安全配置集。但是,由于这个变体是最小的,所以某些配置集所需的软件包缺失,如 United States Government Configuration Baseline 。如果选择这个配置集,安装程序会显示一个缺少一些软件包的警告。 这个警告允许您继续安装,尽管缺少软件包,它们可用于解决这个问题。但是,安装会正常完成,请注意,如果系统虽然有警告,然后尝试在安装后运行安全扫描,则扫描会报告因为这些缺少的软件包而失败的规则。这个行为是正常的。(BZ#1462647)

    第 60 章 内核

    kexec 当二级内核没有离线时失败

    在某些情况下,在 AppliedMicro X-Gene 平台(如 HP ProLiant m400 和 AppliedMicro Mustang)上,次要内核关林会失败。因此,当内核 panic 发生时,内核有时无法通过 kexec 触发 kdump 崩溃转储机制。因此,不会保存内核崩溃转储文件。(BZ#1218374)

    修复了因为清除缓存错误导致文件系统崩溃,但 I/O 操作可能会较慢

    由于 megaraid_sas 驱动程序中的一个错误,在系统关闭、重启或电源丢失的过程中,文件系统会损坏。在这个版本中修复了 megaraid_sas ,以将 flush 缓存命令正确传输到 raid 卡。因此,如果您还更新 raid 卡固件,在上述情况下不再发生文件系统崩溃。 通过 Broadcom megaraid_sas raid 适配器,您可以检查系统日志(dmesg)中的功能。以下文本字符串表示正确的功能: FW supports sync cache Yes 请注意,这个修复可能会减慢 I/O 操作速度,因为缓存现在可以正确清除。(BZ#1380447)

    当未插入和插入时,Cacom Cintiq 12WX 不会重新探测到

    当在同一 USB 端口中拔下并快速插入 Wacom Cintiq 12WX 时,tablet 目前不支持。要临时解决这个问题,请在插入表后等待 3-5 秒。(BZ#1458354)

    使用虚拟 DVD 安装到某些 IBM POWER8 机器在启动 GUI 时会失败

    在启动 Anaconda GUI 时,Red Hat Enterprise Linux 7.4 无法在一些 IBM POWER8 硬件(包括 S822LC 机器)上安装。 这个问题的特征是启动 X11 的错误,然后在 Anaconda 屏幕中出现 Pane is dead message。 临时解决方案是在内核命令行中附加 inst.text 并在文本模式中安装。 这个问题仅限于虚拟 DVD 安装,使用 netboot 镜像进行额外的测试可让 GUI 安装。(BZ#1377857)

    使用键盘快捷方式进入完整屏幕模式会导致 VMWare ESXi 5.5 出现显示问题

    当使用 Red Hat Enterprise Linux 7.4 作为在 VMWare ESXi 5.5 主机上运行的虚拟机客户机时,按 Ctrl+Alt+Enter 键以进入控制台的完整屏幕模式,会导致显示不可用。同时,以下示例等错误保存在系统日志中( dmesg ): [drm:vmw_cmdbuf_work_func [vmwgfx]] *ERROR* Command buffer error. 要临时解决这个问题,请关闭虚拟机,打开其 .vmx 配置文件,并添加或修改以下参数: svga.maxWidth = X svga.maxHeight = Y svga.vramSize = "X * Y * 4" 在上面的 中,将 X 和 Y 替换为您的屏幕的横向和垂直分辨率。 svga.vramSize 参数取等于 X times Y 次 4 的值。以下是解决 1920x1080 的屏幕设置示例: svga.maxWidth = 1920 svga.maxHeight = 1080 svga.vramSize = "8294400" 请注意,VMWare ESXi 5.5 是报告有这个问题的唯一版本,其他版本可能会进入完整的屏幕模式,而不会出现问题。(BZ#1451242)

    KSC 目前不支持 xz 压缩

    Kernel module Source Checker( ksc 工具)目前无法处理 xz 压缩方法并报告以下错误: Invalid architecture, supported architectures are x86_64, ppc64, s390x 在这种限制得到解决前,系统管理员应该在运行 ksc 工具前,使用 xz 压缩手动解压缩任何第三方模块。(BZ#1463600)

    第 61 章 Networking

    在 Red Hat Enterprise Linux 7 中禁用了使用 MD5 hash 算法验证签名的功能

    无法连接到任何需要 MD5 签名证书的 Wi-Fi Protected Access(WPA)企业访问点(AP)。要临时解决这个问题,将 /usr/lib/systemd/system/ 目录中的 wpa_supplicant.service 文件复制到 /etc/systemd/system/ 目录,并在文件的 Service 部分添加以下行: Environment=OPENSSL_ENABLE_MD5_VERIFY=1 然后,以 root 用户身份运行 systemctl daemon-reload 命令以重新加载服务文件。 重要: 请注意,MD5 证书非常不安全,红帽不推荐使用它们。(BZ#1062656)

    从 RHEL 7.3 升级时,FreeRADIUS 可能会失败

    从 RHEL 7.4 开始,在 /etc/raddb/radiusd.conf 文件中引入了一个新的配置属性 correct_escapes 当管理员将 correct_escapes 设置为 true 时,预期为反斜杠转义的新正则表达式语法。如果 correct_escapes 设置为 false ,则旧语法预期也会被转义。出于向后兼容的原因 false 是默认值。 升级时, /etc/raddb/ 目录中的配置文件会被覆盖,除非被管理员修改,因此 correct_escapes 的值可能并不总是与所有配置文件中使用的语法类型对应。因此,使用 freeradius 进行身份验证可能会失败。 要防止这个问题的发生,在升级使用 RHEL 7.3 及更早的版本 3.0.4(通过 RHEL 7.3 进行分布式)后,请确保 /etc/raddb/ 目录中的所有配置文件都使用新的转义语法(找不到双反斜杠字符),并在 /etc/raddb/radiusd.conf 中被设置为 correct_escapes 有关更多信息和示例,请访问 https://access.redhat.com/solutions/3241961 。(BZ#1489758)

    第 62 章 安全性

    certutil 在 FIPS 模式中没有返回 NSS 数据库密码要求

    当使用 certutil 工具创建新网络安全服务(NSS)数据库时,用户无法在 FIPS 模式下运行时查找数据库密码的要求。提示信息不提供密码要求, certutil 只返回通用错误消息: certutil: could not authenticate to token NSS FIPS 140-2 Certificate DB.: SEC_ERROR_IO: An I/O error occurred during security authorization. (BZ# 1401809 )

    systemd-importd runs as init_t

    systemd-importd 服务使用 systemd 单元文件中的 NoNewPrivileges security 标记。这会阻止 SELinux 域从 init_t 转换为 systemd_importd_t 域。(BZ# 1365944 )

    在 kickstart 安装中忽略 SCAP 密码长度要求

    交互式 kickstart 安装不会强制 SCAP 规则定义的密码长度检查,并且接受较短的 root 密码。要临时解决这个问题,在 kickstart 文件中使用带有 pwpolicy root 命令的 --strict 选项。(BZ#1372791)

    rhnsd.pid 由组和其他可写

    在 Red Hat Enterprise Linux 7.4 中, /var/run/rhnsd.pid 文件的默认权限被设置为 -rw-rw-rw- 。此设置不安全。要临时解决这个问题,请将此文件的权限更改为只能由所有者写入: # chmod go-w /var/run/rhnsd.pid (BZ#1480306)

    第 63 章 Storage

    不支持在集群的 RAID 之上进行精简置备

    虽然可以在单独激活时,可以使用 RAID 逻辑卷和精简置备的逻辑卷,但目前在集群中的 RAID 之上不支持精简配置。即使组合被专门激活,也是如此。目前,只有 LVM 的单一机器非集群模式支持这个组合。(BZ# 1014758 )

    当 LVM 或 md 设备具有之前安装的元数据时,Anaconda 安装可能会失败

    在 Red Hat Enetr Enterprise Linux 7 安装中,要多路径的机器上已经从 LVM 启动或者 md 元数据从之前安装,多路径将不会在该设备中设置,LVM/md 将在 Anaconda 启动时在一个路径设备中进行设置。这可能会造成 Anaconda 出现问题,并导致安装失败。这个问题的临时解决方案是在引导安装时将 mpath .wwid=<WWID > 添加到内核命令行中。 <WWID > 是多路径应声明的设备的 wwid。这个值也与 scsi 设备的 ID_SERIAL udev 数据库值和 DASD 设备的 ID_UID 相同。(BZ#1378714)

    第 64 章 系统和订阅管理

    如果安装了 rdma-core ,系统升级可能会导致 Yum 安装不需要 32 位软件包

    在 Red Hat Enterprise Linux 7.4 中, rdma-core.noarch 软件包由 rdma-core.i686 rdma-core.x86_64 弃用。在系统升级过程中, Yum 将原始软件包替换为两个新的软件包,并安装任何所需的依赖项。这意味着 32 位软件包以及可能安装大量 32 位依赖项,即使不需要,也是如此。 要临时解决这个问题,您可以使用带有 --exclude=\\*.i686 选项的 yum update 命令,或者在升级后使用 yum remove rdma-core.i686 来移除 32 位软件包。(BZ#1458338)

    第 65 章 虚拟化

    引导 OVMF 客户机失败

    尝试使用 qemu-kvm 软件包在 Red Hat Enterprise Linux 主机上引导使用 Open Virtual Machine Firmware(OVMF)的客户机虚拟机当前失败,且客户机变得无响应,并显示空白屏幕。(BZ#1174132)

    使用 virsh iface-bridge 创建桥接失败

    从网络以外的其他源安装 Red Hat Enterprise Linux 7 时,默认情况下不会在接口配置文件中指定网络设备名称(这通过 DEVICE= 行来完成)。因此,使用 virsh iface-bridge 命令创建网络桥接会失败,并显示出错信息。要临时解决这个问题,请将 DEVICE= 行添加到 /etc/sysconfig/network-scripts/ifcfg-* 文件中。 如需更多信息,请参阅红帽知识库 :https://access.redhat.com/solutions/2792701 (BZ#1100588)

    客户机有时无法在 ESXi 5.5 上引导

    当在 VMware ESXi 5.5 管理程序上运行具有 12 GB RAM 或更高版本的 Red Hat Enterprise Linux 7 虚拟客户机时,某些组件目前使用不正确的内存类型注册(MTRR)值或在引导期间错误地重新配置 MTRR 值。这有时会导致客户机内核 panic,或者客户机在启动过程中变得无响应。 要临时解决这个问题,请在客户机的内核命令行中添加 disable_mtrr_trim 选项,这样可让 guest 在配置 MTRR 时继续引导。请注意,使用这个选项时,客户机会在启动时打印 WARNING: BIOS 错误消息,可以安全地忽略。(BZ#1429792)

    Anaconda 中不会显示 Red Hat Virtualization Hypervisor 配置集的 STIG

    oscap-anaconda-addon 模块目前无法正确地解析 Red Hat Virtualization Hypervisor 安全强化配置集的 STIG 。因此,配置集的名称显示为 Red Hat Enterprise Linux 7 的 DISA STIG United States Government Configuration Baseline(USGCB / STIG)- Anaconda 接口选择中的 DRAFT 。但是,这只是显示问题,可以安全地将 DISA STIG 用于 Red Hat Enterprise Linux 7 配置集,而不是 Red Hat Virtualization Hypervisor 配置集中的 STIG 。(BZ# 1437106 )

    附录 A. 组件版本

    本附录提供了 Red Hat Enterprise Linux 7.4 发行版本中的关键组件及其版本列表。
    表 A.1. 组件版本
    3.10.0-693 QLogic qla2xxx driver 8.07.00.38.07.4-k1 QLogic qla4xxx driver 5.04.00.00.07.02-k0 Emulex lpfc 驱动程序 0:11.2.0.6 iSCSI initiator utils iscsi-initiator-utils-6.2.0.874-4 DM-Multipath device-mapper-multipath-0.4.9-111 lvm2-2.02.171-8

    附录 B. 组件的 Bugzilla 列表

    本附录提供了本书中包含的所有组件及其相关 Bugzilla 的列表。
    表 B.1. 组件的 Bugzilla 列表
    组件 新功能 显著的程序漏洞修复 技术预览 已知问题
    389-ds-base BZ# 1394000 , BZ# 1395940 , BZ# 1425907 BZ# 1378209
    doc-administration-guide BZ# 1426286 , BZ# 1426289
    doc-release-notes BZ# 1426275 , BZ# 1426278 , BZ# 1426283 , BZ# 1436973
    NetworkManager BZ# 1337997 , BZ# 1353612 , BZ# 1373698 , BZ# 1394344 , BZ# 1394579 , BZ# 1398934 , BZ# 1404594 , BZ# 1404598 , BZ# 1414103 , BZ# 1420708 BZ# 1391170 , BZ# 1393997
    AIDE BZ# 1377215
    anaconda BZ# 663099 , BZ# 1113207 , BZ# 1131247 , BZ# 1255659 , BZ# 1315160 , BZ# 1332316 , BZ# 1366935 , BZ# 1377233 , BZ# 1391724 , BZ# 1412538 BZ# 1317370 , BZ# 1327439 , BZ# 1356975 , BZ# 1358778 , BZ# 1373360 , BZ# 1380224 , BZ# 1380277 , BZ# 1404158 , BZ# 1412022 , BZ# 1441337 BZ# 1378714
    Ansible BZ# 1313263
    audit BZ# 1381601
    authconfig BZ# 1334449 , BZ# 1378943
    autofs BZ# 1367576 , BZ# 1382093 BZ# 1101782 , BZ# 1383194 , BZ# 1383910 , BZ# 1420574 , BZ# 1420584 , BZ# 1320588
    bind BZ# 1388534 , BZ# 1393886
    bind-dyndb-ldap BZ# 1393889
    binutils BZ# 1366052 BZ# 1326710 , BZ# 1406498
    bison BZ# 1306000
    Booth BZ# 1302087
    ca-certificates BZ# 1444414
    chrony BZ# 1387223
    chrpath BZ# 1271380
    clevis BZ# 1300697
    cloud-init BZ# 1427280
    clufter BZ# 1387424
    crash BZ# 1368711 , BZ# 1384944 , BZ# 1393534
    criu BZ# 1400230
    custodia BZ# 1403214
    cyrus-sasl BZ# 1421663
    dbxtool BZ# 1078990
    dconf-editor BZ# 1388931
    device-mapper-multipath BZ# 1169168 , BZ# 1279355 , BZ# 1359510 , BZ# 1362409 , BZ# 1368211 , BZ# 1372032 , BZ# 1394059 , BZ# 1406226 , BZ# 1416569 , BZ# 1430097 BZ# 1239173 , BZ# 1362120 , BZ# 1380602 , BZ# 1402092 , BZ# 1403552 , BZ# 1431562
    dhcp BZ# 1374119
    distribution BZ# 1062656
    dmidecode BZ# 1385884
    dnsmasq BZ# 1375527 , BZ# 1375569
    ecj BZ# 1379855
    elfutils BZ# 1400302
    empathy BZ# 1386616
    ethtool BZ# 1402701
    fcoe-utils BZ# 1384707
    firefox BZ# 1455798
    firewalld BZ# 1006225 , BZ# 1409544 , BZ# 1419058 BZ# 1401978
    flatpak BZ# 1476905
    freeradius BZ# 1489758
    genwqe-tools BZ# 1275663
    gfs2-utils BZ# 1413684
    ghostscript BZ# 1390847 , BZ# 1411725 , BZ# 1424752
    git BZ# 1369173
    glibc BZ# 841653 , BZ# 1298975 , BZ# 1320947 , BZ# 1421155 BZ# 1324568 , BZ# 1326739
    glusterfs BZ# 1409773
    gnome-initial-setup BZ# 1226819
    gnome-packagekit BZ# 1387181
    gnome-shell BZ# 1383353
    gnome-software BZ# 1434477 , BZ# 1464139
    gnu-efi BZ# 1310782
    gnutls BZ# 1399232
    grep BZ# 1297441
    grub2 BZ# 1154226
    gstreamer1-plugins-good BZ# 1451211
    http-parser BZ# 1393819
    hwdata BZ# 1386133
    initial-setup BZ# 1378082
    initscripts BZ# 1260552 , BZ# 1428935 BZ# 1278521 , BZ# 1367554 , BZ# 1369790 , BZ# 1374837 , BZ# 1385272 , BZ# 1392766 , BZ# 1394191 , BZ# 1398671 , BZ# 1398678 , BZ# 1398679 , BZ# 1398683 , BZ# 1398686 , BZ# 1406254 , BZ# 1408219 , BZ# TRIPLEO, BZ# 1428574 1434075
    intel-cmt-cat BZ# 1315489
    ipa BZ# 872671 , BZ# 1125174 , BZ# 1200767 , BZ# 1366572 , BZ# 1402959 , BZ# 1404750 , BZ# 1409628 , BZ# 1459153 BZ# 1115294 , BZ# 1298286 BZ# 1455946
    ipa-server-docker BZ# 1405325
    iperf3 BZ# 913329
    ipmitool BZ# 1398658
    iproute BZ# 1063934 , BZ# 1422629 BZ# 1375215
    iprutils BZ# 1384382
    jansson BZ# 1389805
    java-1.7.0-openjdk BZ# 1373986
    java-1.8.0-openjdk BZ# 1400306
    内核 BZ# 437984 , BZ# 950243 , BZ# 1072503 , BZ# 1138782 , BZ# 1155732 , BZ# 1241990 , BZ# 1270982 , BZ# 1273401 , BZ# 1297841 , BZ# 1297929 , BZ# 1298643 , BZ# 1299527 , BZ# 1302147 , BZ# 1306396 , BZ#则, BZ#则, BZ# CLUSTERROLE, BZ#APC, BZ#则, 1306453 1308632 1314179 1326309 1326318 1326353 BZ# 1330457 , BZ# 1339127 , BZ# 1339791 , BZ# 1340238 , BZ# 1346348 , BZ# 1352289 , BZ# 1355919 , BZ# 1356122 , BZ# 1357491 , BZ# 1365002 , BZ# 1366564 , BZ# 1369158 , BZ# 1373606 , BZ# 1373971 , BZ#则, BZ#则, BZ# CLUSTERROLE, BZ#APC, BZ#则, 1374498 1377710 1377767 1379590 1382101 1382494 BZ# 1382500 , BZ# 1382504 , BZ# 1382508 , BZ# 1382849 , BZ# 1383280 , BZ# 1383827 , BZ# 1383834 , BZ# 1384456 , BZ# 1384648 , BZ# 1385026 , BZ# 1385757 , BZ# 1388467 , BZ# 1388646 , BZ# 1388716 , BZ#则, BZ#则, BZ# CLUSTERROLE, BZ#APC, BZ#则, 1391219 1391243 1391413 1391668 1394197 1400501 BZ# 1401797 , BZ# 1402102 , BZ# 1406197 , BZ# 1416924 , BZ# 1432218 , BZ# 1432897 , BZ# 1383489 , BZ# 1626527 BZ# 1084802 , BZ# 1213119 , BZ# 1217546 , BZ# 1324918 , BZ# 1351098 , BZ# 1353218 , BZ# 1363661 , BZ# 1370638 , BZ# 1379787 , BZ# 1385149 , BZ# 1386923 , BZ# 1387485 , BZ# 1406885 , BZ# 1408330 , BZ# 1412898 BZ# 916382 , BZ# 947163 , BZ# 1109348 , BZ# 1111712 , BZ# 1206277 , BZ# 1230959 , BZ# 1274456 , BZ# 1274459 , BZ# 1299662 , BZ# 1305092 , BZ# 1348508 , BZ# 1349668 , BZ# 1350553 , BZ# 1393375 , BZ#则, BZ#则, BZ#196, BZ## 1414957 1449762 1460849 1288964 BZ# 1377857 , BZ# 1380447 , BZ# 1429792 , BZ# 1431964 , BZ# 1451242 , BZ# 1458354
    kernel-aarch64 BZ# 1218374
    kernel-rt BZ# 1391779 BZ# 1443711 BZ# 1297061
    kexec-tools BZ# 1384945
    keycloak-httpd-client-install BZ# 1401781
    libcgroup BZ# 1406927
    libdb BZ# 1277887
    libfastjson BZ# 1395145
    libguestfs BZ# 1233093 , BZ# 1359086 , BZ# 1362649 , BZ# 1367738 , BZ# 1400205 , BZ# 1404182 BZ# 1161019 , BZ# 1265588 , BZ# 1311890 , BZ# 1354507 , BZ# 1374232 , BZ# 1374405 , BZ# 1383517 , BZ# 1392798 , BZ# 1401474 , BZ# 1402301 , BZ# 1431579 BZ# 1387213 , BZ# 1441197
    libica BZ# 1391558
    libnfsidmap BZ# 980925
    libnftnl BZ# 1418967 BZ# 1332585
    libreoffice BZ# 1466164
    libreswan BZ# 1324458 , BZ# 1399883
    librtas BZ# 1380656
    libseccomp BZ# 1425007
    libstoragemgmt BZ# 1403142 BZ# 1119909
    libusnic_verbs BZ# 916384
    libvirt BZ# 1349696 , BZ# 1382640 , BZ# 1414627 BZ# 1283251
    libwacom BZ# 1342990 BZ# 1458351
    linuxptp BZ# 1359311
    logrotate BZ# 1381719
    lorax BZ# 1310775 , BZ# 1430483 BZ# 1341280
    lshw BZ# 1368704
    lvm2 BZ# 1189108 , BZ# 1191935 , BZ# 1346280 , BZ# 1366296 , BZ# 1378956 , BZ# 1394048 , BZ# 1436748 , BZ# 1442992 BZ# 1380521 , BZ# 1380532 , BZ# 1382688 , BZ# 1386184 , BZ# 1434054 BZ# 1014758
    mariadb BZ# 1356897
    mdadm BZ# 1380017
    memkind BZ# 1384549
    mod_nss BZ# 1382102 , BZ# 1392582
    Mutt BZ# 1388511 BZ# 1388512
    mutter BZ# 1393951
    nautilus BZ# 1474852
    net-snmp BZ# 1286693 , BZ# 1324306
    netcf BZ# 1100588
    nfs-utils BZ# 1375259 , BZ# 1418041 BZ# 1450447
    nss BZ# 1309781 , BZ# 1316546 , BZ# 1444413 BZ# 1220573 BZ# 1401809
    nss-softokn BZ# 1369055
    nvme-cli BZ# 1382119
    nvmetcli BZ# 1383837
    opencryptoki BZ# 1391559
    openldap BZ# 1386365 , BZ# 1428740
    opensc BZ# 1081088
    openscap BZ# 1363826 BZ# 1420038 , BZ# 1440192 , BZ# 1447341
    openssh BZ# 1322911 , BZ# 1341754 BZ# 1418062
    openssl BZ# 1276310
    openssl-ibmca BZ# 1274385
    openvswitch BZ# 1368043 , BZ# 1390938
    openwsman BZ# 1190689
    oprofile BZ# 1380809
    oscap-anaconda-addon BZ# 1372791 , BZ# 1437106 , BZ# 1462647
    其他 BZ# 1432080 , BZ# 1444937 , BZ# 1457907 , BZ# 1459948 , BZ# 1467260 BZ# 1408694 BZ# 1062759 , BZ# 1072107 , BZ# 1259547 , BZ# 1464377 , BZ# 1467338 , BZ# 1477977 BZ# 1174132 , BZ# 1458338 , BZ# 1463600
    OVMF BZ# 653382
    pacemaker BZ# 1289662 BZ# 1388489
    pcp BZ# 1422263 , BZ# 1423020
    pcre BZ# 1400267 BZ# 1290432
    pcs BZ# 1158805 , BZ# 1165821 , BZ# 1176018 , BZ# 1261116 , BZ# 1303969 , BZ# 1362493 , BZ# 1373614 , BZ# 1413958 BZ# 1386114 , BZ# 1378107 BZ# 1433016
    perl-IO-Socket-SSL BZ# 1335035
    perl-Net-SSLeay BZ# 1335028
    perl-Perl4-CoreLibs BZ# 1366724
    perl-local-lib BZ# 1122993
    pki-core BZ# 1303683 , BZ# 1305993 , BZ# 1325071 , BZ# 1388622 , BZ# 1391737 , BZ# 1392068 , BZ# 1409946 , BZ# 1413132 , BZ# 1426754 , BZ# 1445535 , BZ# 1447144 , BZ# 1450143 , BZ# 1458055 BZ# 1238684 , BZ# 1246635 , BZ# 1249400 , BZ# 1282504 , BZ# 1330800 , BZ# 1372052 , BZ# 1376226 , BZ# 1376488 , BZ# 1378275 , BZ# 1378277 , BZ# 1381084 , BZ# 1382066 , BZ# 1385208 , BZ# 1386303 , BZ#则, BZ#则, BZ# CLUSTERROLE, BZ#APC, BZ#则, 1395817 1397200 1400149 1404881 1411428 1412681 BZ# 1413136 , BZ# 1445088 , BZ# 1446364 , BZ# 1447762 , BZ# 1452250 , BZ# 1452344 , BZ# 1454450 , BZ# 1454471 , BZ# 1458429 BZ# 1256901
    procps-ng BZ# 1373246
    psacct BZ# 1255183
    pykickstart BZ# 1452770
    Python BZ# 1219110
    python-blivet BZ# 1214407 , BZ# 1327463
    python-tornado BZ# 1158617
    qemu-kvm BZ# 1103193
    rdma-core BZ# 1404035
    rear BZ# 1355667 BZ# 1343119
    resource-agents BZ# 1077888 , BZ# 1336847 , BZ# 1430304
    rhino BZ# 1350331
    rhnsd BZ# 1480306
    rpm BZ# 1378307 BZ# 1278924
    rsyslog BZ# 1313490 , BZ# 1431616
    Ruby BZ# 1397390 BZ# 1308992
    rubygem-abrt BZ# 1418750
    samba BZ# 1391954
    sapconf BZ# 1391881
    sbd BZ# 1413951
    sblim-cmpi-fsvol BZ# 1136116
    scap-security-guide BZ# 1404392 , BZ# 1410914 BZ# 1450731 BZ# 1448952 , BZ# 1464899 , BZ# 1465677
    seabios BZ# 1020622
    selinux-policy BZ# 1368057 , BZ# 1386916 BZ# 1365944
    sendmail BZ# 1124827
    sg3_utils BZ# 1380744
    shim BZ# 1310766
    shim-signed BZ# 1310764
    scs BZ# 1414879
    sssd BZ# 1214491 , BZ# 1311056 , BZ# 1330196 , BZ# 1340711 , BZ# 1396012 , BZ# 1414023 , BZ# 1425891 BZ# 1068725 BZ# 1446101 , BZ# 1447945 , BZ# 1448094 , BZ# 1460689 , BZ# 1462769
    strace BZ# 1377847
    strongimcv BZ# 755087
    sudo BZ# 1293306
    system-config-language BZ# 1304223
    systemd BZ# 1353028 BZ# 1284974
    systemtap BZ# 1398393
    tar BZ# 1350640 BZ# 1184697 , BZ# 1319820 , BZ# 1341786
    targetcli BZ# 1243410
    targetd BZ# 1162381
    tboot BZ# 1384210
    tcpdump BZ# 1292056 , BZ# 1422473
    tcsh BZ# 1388426
    telnet BZ# 1367415
    tpm2-tss BZ# 1275027
    tss2 BZ# 1384452
    tuned BZ# 1388454 , BZ# 1414098
    unbound BZ# 1382383
    usbguard BZ# 1395615 BZ# 1467369
    valgrind BZ# 1391217
    virt-who BZ# 1299643 , BZ# 1369107 , BZ# 1405967 , BZ# 1426058 , BZ# 1436811
    wget BZ# 1439811
    wpa_supplicant BZ# 1404793
    xorg-x11-drv-libinput BZ# 1413811
    xorg-x11-drv-qxl BZ# 1428340
    xorg-x11-server BZ# 1404868 BZ# 1185690
    yelp BZ# 1443179
    yp-tools BZ# 1401432
    ypbind BZ# 1217435 , BZ# 1382804
    yum BZ# 1343690 BZ# 1352585 , BZ# 1370134
    yum-utils BZ# 1406891

    附录 C. 修订历史记录

    修订历史
    修订 0.5-0 Wed Feb 12 2020 Jaroslav Klech
    为架构和新功能提供了完整的内核版本.
    修订 0.4-9 Mon Oct 07 2019 Jiří Herrmann
    阐明一个与 OVMF 相关的技术预览。
    修订 0.4-8 Mon May 13 2019 Lenka Špačková
    添加了与 freeradius 升级(Networking)相关的已知问题。
    修订 0.4-7 Sun Apr 28 2019 Lenka Špačková
    改进了技术预览功能描述(文件系统)。
    修订 0.4-6 Mon Feb 04 2019 Lenka Špačková
    改进的书结构。
    修订 0.4-5 Thu Sep 13 2018 Lenka Špačková
    CephFS 从技术预览移到完全支持的功能(文件系统)。
    修订 0.4-4 Tue Apr 17 2018 Lenka Špačková
    更新了与 sslwrap() 弃用相关的建议。
    修订 0.4-3 Tue Apr 10 2018 Lenka Špačková
    添加了与 rsyslog imudp 模块的 inputname 选项相关的弃用备注。
    修订 0.4-2 Thu Apr 05 2018 Lenka Špačková
    将 CAT 移动到技术预览(内核)。
    修订 0.4-1 Thu Mar 22 2018 Lenka Špačková
    修复了 openldap-servers 软件包名称(已弃用功能)。
    修订 0.4-0 Fri Mar 16 2018 Lenka Špačková
    添加了与 pcs 相关的程序错误修复(集群)。
    修订 0.3-9 Mon Feb 19 2018 Mirek Jahoda
    错误地将 TPM 相关功能放入了技术学预览部分。
    修订 0.3-8 Tue Feb 06 2018 Lenka Špačková
    添加了一个缺少的技术预览 - OVMF(虚拟化)。
    添加了使用 libvirt-lxc 工具弃用容器的信息。
    修订 0.3-7 Wed Jan 17 2018 Lenka Špačková
    更新了 FCoE 弃用通知。
    修订 0.3-6 Wed Jan 10 2018 Lenka Špačková
    将 NVDIMM 设备的设备 DAX 状态从技术预览改为完全支持(Storage)。
    修订 0.3-5 Thu Dec 14 2017 Lenka Špačková
    统一已弃用驱动程序的结构。
    修订 0.3-4 Tue Dec 12 2017 Lenka Špačková
    qla2xxx 驱动程序中更新了已弃用的适配器。
    修订 0.3-3 Wed Nov 22 2017 Lenka Špačková
    pam_krb5 迁移中添加有关 sssd 迁移的信息(已弃用功能)。
    修订 0.3-2 Wed Nov 15 2017 Lenka Špačková
    修复了一个拼写错误。
    修订 0.3-1 Tue Oct 31 2017 Lenka Špačková
    添加了与 LVM 相关的程序错误修复描述(Storage)。
    修订 0.3-3 Mon Oct 30 2017 Lenka Špačková
    添加了 autofs 错误修复描述(文件系统)。
    添加了有关 ld linker 行为中更改的信息到已弃用的功能。
    修订 0.3-2 Wed Sep 13 2017 Lenka Špačková
    添加了对 Xorg 服务器中的用于视觉化呈现的有限支持的信息。
    修订 0.3-1 Mon Sep 11 2017 Lenka Špačková
    向技术预览(Kernel)中添加了 CUIR 增强的范围检测。
    更新了新功能(Security)中的 openssh rebase 描述。
    修订 0.3-0 Mon Sep 04 2017 Lenka Špačková
    添加了两个已知问题(安全性,桌面)。
    修订 0.2-9 Mon Aug 21 2017 Lenka Špačková
    tcp_wrappers 添加到已弃用的功能中。
    修订 0.2-8 Tue Aug 15 2017 Lenka Špačková
    添加了几个新功能和已知问题。
    修订 0.2-7 Mon Aug 14 2017 Lenka Špačková
    删除重复备注。
    修订 0.2-6 Thu Aug 10 2017 Lenka Špačková
    更新了几个已知问题。
    修订 0.2-5 Tue Aug 08 2017 Lenka Špačková
    添加了两个已知问题:
    修订 0.2-4 Mon Aug 07 2017 Lenka Špačková
    更新了 FCoE 弃用通知。
    小幅更新和添加.
    修订 0.2-3 Fri Aug 04 2017 Lenka Špačková
    将多个新功能从虚拟化移至系统和订阅管理。
    修订 0.2-2 Thu Aug 03 2017 Lenka Špačková
    Btrfs 上的更新信息 ; 现在它是技术预览和已弃用的功能部分。
    小幅更新和添加.
    修订 0.2-1 Tue Aug 01 2017 Lenka Špačková
    发布 Red Hat Enterprise Linux 7.4 发行注记。
    修订 0.0-4 Tue May 23 2017 Lenka Špačková