Une nouvelle façon améliorée de créer des plans et des images dans la console web du constructeur d'images

Grâce à cette amélioration, vous avez accès à une version unifiée de l'outil de création d'images et vous bénéficiez d'une amélioration significative de votre expérience utilisateur.

Possibilité de créer des fichiers et des répertoires personnalisés dans le répertoire /etc

Avec cette amélioration, deux nouvelles personnalisations de plans sont disponibles. Les personnalisations [[customizations.files]] et [[customizations.directories]] vous permettent de créer des fichiers et des répertoires personnalisés dans le répertoire /etc de votre image. Actuellement, vous ne pouvez utiliser ces personnalisations que dans le répertoire /etc.

Possibilité de spécifier l'utilisateur dans un plan pour les images simplified-installer

Auparavant, lors de la création d'un plan pour une image d'installateur simplifié, vous ne pouviez pas spécifier un utilisateur dans la personnalisation du plan, car la personnalisation n'était pas utilisée et était rejetée. Avec cette mise à jour, lorsque vous créez une image à partir d'un modèle, celui-ci crée un utilisateur dans le répertoire /usr/lib/passwd et un mot de passe dans le répertoire /usr/etc/shadow lors de l'installation. Vous pouvez vous connecter à l'appareil avec le nom d'utilisateur et le mot de passe que vous avez créés pour le projet. Notez qu'après avoir accédé au système, vous devez créer des utilisateurs, par exemple à l'aide de la commande useradd.

Prise en charge de l'architecture ARM 64 bits pour les images .vhd créées à l'aide de l'outil de création d'images

Auparavant, les images Microsoft Azure .vhd créées avec l'outil de construction d'images n'étaient pas prises en charge sur les architectures ARM 64 bits. Cette mise à jour ajoute la prise en charge des images ARM 64 bits de Microsoft Azure .vhd. Vous pouvez désormais créer vos images .vhd à l'aide de l'outil de création d'images et les télécharger vers le nuage Microsoft Azure.

L'installation minimale de RHEL n'installe plus que le paquet s390utils-core

Dans RHEL 8.4 et les versions ultérieures, le paquet s390utils-base est divisé en un paquet s390utils-core et un paquet auxiliaire s390utils-base. Par conséquent, si vous définissez l'installation RHEL sur minimal-environment, vous n'installez que le paquet s390utils-core nécessaire et non le paquet auxiliaire s390utils-base. Si vous souhaitez utiliser le paquet s390utils-base avec une installation RHEL minimale, vous devez installer manuellement le paquet après avoir terminé l'installation RHEL ou installer explicitement s390utils-base à l'aide d'un fichier kickstart.

Prise en charge d'Ignition dans RHEL pour les images simplifiées Edge

Grâce à cette amélioration, vous pouvez ajouter un fichier Ignition aux images de l'installateur simplifié en personnalisant votre plan. L'interface graphique et l'interface de commande sont toutes deux compatibles avec la personnalisation d'Ignition. RHEL for Edge utilise l'utilitaire de provisionnement Ignition pour injecter la configuration de l'utilisateur dans les images à un stade précoce du processus de démarrage. Au premier démarrage, Ignition lit sa configuration à partir d'une URL distante ou d'un fichier intégré dans l'image de l'installateur simplifié et applique cette configuration à l'image.

Les images de l'installateur simplifié peuvent désormais être composées sans la section de personnalisation FDO dans le plan

Auparavant, pour créer une image RHEL for Edge Simplified Installer, vous deviez ajouter des détails à la section de personnalisation FIDO device onboarding (FDO). Dans le cas contraire, la création de l'image échouait. Avec cette mise à jour, la personnalisation FDO dans les blueprints est désormais facultative et vous pouvez créer une image RHEL for Edge Simplified Installer sans erreur.

Red Hat construit l'activation de MicroShift pour les images RHEL for Edge

Avec cette amélioration, vous pouvez activer la construction Red Hat des services MicroShift dans un système RHEL for Edge. En utilisant la personnalisation du blueprint [[customizations.firewalld.zones]], vous pouvez ajouter la prise en charge des sources firewalld dans la personnalisation du blueprint. Pour cela, spécifiez un nom pour la zone et une liste de sources dans cette zone spécifique. Les sources peuvent être de la forme source[/mask]|MAC|ipset:ipset.

Nouvelle commande dnf offline-upgrade pour les mises à jour hors ligne sur RHEL

Grâce à cette amélioration, vous pouvez appliquer des mises à jour hors ligne à RHEL en utilisant la nouvelle commande dnf offline-upgrade du plug-in DNF system-upgrade.

L'application de filtres de sécurité consultatifs à dnf offline-upgrade est désormais prise en charge

Avec cette amélioration, la nouvelle fonctionnalité de filtrage des avis a été ajoutée. Par conséquent, vous pouvez désormais télécharger des paquets et leurs dépendances uniquement à partir de l'avis spécifié en utilisant la commande dnf offline-upgrade avec les filtres de sécurité de l'avis (--advisory, --security, --bugfix, et d'autres filtres).

La fonction unload_plugins est maintenant disponible pour l'API DNF

Avec cette amélioration, une nouvelle fonction unload_plugins a été ajoutée à l'API DNF pour permettre le déchargement des plug-ins.

Nouvelle option --nocompression pour rpm2archive

Avec cette amélioration, l'option --nocompression a été ajoutée à l'utilitaire rpm2archive. Vous pouvez utiliser cette option pour éviter la compression lors du décompactage direct d'un paquetage RPM.

ReaR est désormais entièrement pris en charge sur l'architecture IBM Z 64 bits

La fonctionnalité de base Relax and Recover (ReaR), précédemment disponible sur l'architecture IBM Z 64 bits en tant qu'aperçu technologique, est entièrement prise en charge avec le paquetage rear version 2.6-17.el9 ou ultérieure. Vous pouvez créer une image de secours ReaR sur l'architecture IBM Z dans l'environnement z/VM uniquement. La sauvegarde et la restauration des partitions logiques (LPAR) ne sont pas prises en charge pour le moment. ReaR prend en charge la sauvegarde et la restauration de l'agencement du disque uniquement sur les périphériques de stockage à accès direct (DASD) Extended Count Key Data (ECKD). Les DASD à accès par bloc fixe (FBA) et les disques SCSI attachés via le protocole Fibre Channel (FCP) ne sont pas pris en charge à cette fin. La seule méthode de sortie actuellement disponible est Initial Program Load (IPL), qui produit un noyau et un ramdisk initial (initrd) compatible avec le bootloader zIPL.

chrony repassé à la version 4.3

La suite chrony a été mise à jour à la version 4.3. Les améliorations notables par rapport à la version 4.2 sont les suivantes :

frr repassé à la version 8.3.1

Le paquetage frr pour la gestion de la pile de routage dynamique a été mis à jour à la version 8.3.1. Les changements notables par rapport à la version 8.2.2 sont les suivants :

vsftpd repassé à la version 3.0.5

Le démon FTP très sécurisé (vsftpd) fournit une méthode sécurisée de transfert de fichiers entre hôtes. Le paquetage vsftpd a été mis à jour à la version 3.0.5. Les changements et améliorations notables incluent les modernisations SSL suivantes :

Le paquet frr contient désormais une politique SELinux ciblée

En raison du développement rapide du paquetage frr pour la gestion de la pile de routage dynamique, de nouvelles fonctionnalités et des problèmes de cache de vecteur d'accès (AVC) sont apparus fréquemment. Grâce à cette amélioration, les règles SELinux sont désormais intégrées au FRR afin de résoudre les problèmes plus rapidement. SELinux ajoute un niveau de protection supplémentaire au paquet en appliquant des politiques de contrôle d'accès obligatoires.

powertop repassé à la version 2.15

Le paquet powertop pour l'amélioration de l'efficacité énergétique a été mis à jour à la version 2.15. Les changements et améliorations notables sont les suivants :

L'utilitaire systemd-sysusers est disponible dans les paquets chrony, dhcp, radvd et squid

L'utilitaire systemd-sysusers crée des utilisateurs et des groupes système lors de l'installation du paquet et les supprime lors de la suppression du paquet. Avec cette amélioration, les paquets suivants contiennent l'utilitaire systemd-sysusers dans leurs scriptlets :

Le nouveau paquet synce4l pour la synchronisation des fréquences est maintenant disponible

SyncE (Synchronous Ethernet) est une fonction matérielle qui permet aux horloges PTP de réaliser une synchronisation précise de la fréquence au niveau de la couche physique. SyncE est pris en charge par certaines cartes d'interface réseau (NIC) et certains commutateurs de réseau.

tuned repassé à la version 2.20.0

L'utilitaire TuneD, qui permet d'optimiser les performances des applications et des charges de travail, a été mis à jour avec la version 2.20.0. Les changements et améliorations notables par rapport à la version 2.19.0 sont les suivants :

Libreswan rebasé à 4,9

Les paquets libreswan ont été mis à jour vers la version 4.9. Les changements notables par rapport à la version précédente sont les suivants :

OpenSSL repassé à la version 3.0.7

Les paquets OpenSSL ont été rebasés vers la version 3.0.7, qui contient plusieurs corrections de bogues et améliorations. En particulier, le fournisseur par défaut inclut désormais la fonction de hachage RIPEMD160.

libssh prend désormais en charge les cartes à puce

Vous pouvez désormais utiliser des cartes à puce par le biais de l'identificateur de ressources uniformes (URI) #11 de la norme de cryptographie à clé publique (PKCS). Par conséquent, vous pouvez utiliser des cartes à puce avec la bibliothèque SSH libssh et avec les applications qui utilisent libssh.

libssh repassé à la version 0.10.4

La bibliothèque libssh, qui implémente le protocole SSH pour l'accès à distance sécurisé et le transfert de fichiers entre machines, a été mise à jour à la version 0.10.4.

Mise à jour des paquets SELinux pour l'espace utilisateur vers la version 3.5

Les paquets SELinux pour l'espace utilisateur libselinux, libsepol, libsemanage, checkpolicy, mcstrans, et policycoreutils, qui inclut l'utilitaire sepolicy, ont été mis à jour vers la version 3.5. Les améliorations notables et les corrections de bogues incluent :

OpenSCAP repassé à la version 1.3.7

Les paquets OpenSCAP ont été rebasés vers la version amont 1.3.7. Cette version apporte diverses corrections de bogues et améliorations, notamment :

Le guide de sécurité SCAP passe à la version 0.1.66

Les paquets du guide de sécurité SCAP (SSG) ont été rebasés vers la version amont 0.1.66. Cette version apporte diverses améliorations et corrections de bogues, notamment :

Nouvelle règle SCAP pour la fin de session inactive

Une nouvelle règle SCAP logind_session_timeout a été ajoutée au paquet scap-security-guide dans les profils ANSSI-BP-028 pour les niveaux Enhanced et High. Cette règle utilise une nouvelle fonctionnalité du gestionnaire de services systemd et met fin aux sessions utilisateur inactives après un certain temps. Cette règle fournit une configuration automatique d'un mécanisme robuste de fin de session inactive qui est requis par plusieurs politiques de sécurité. Par conséquent, OpenSCAP peut automatiquement vérifier l'exigence de sécurité liée à la fin des sessions utilisateur inactives et, si nécessaire, y remédier.

scap-security-guide les règles pour les fichiers journaux Rsyslog sont compatibles avec les journaux RainerScript

Les règles de scap-security-guide pour la vérification et la correction de la propriété, de la propriété du groupe et des permissions des fichiers journaux Rsyslog sont désormais également compatibles avec la syntaxe RainerScript. Les systèmes modernes utilisent déjà la syntaxe RainerScript dans les fichiers de configuration Rsyslog et les règles correspondantes n'étaient pas en mesure de reconnaître cette syntaxe. Par conséquent, les règles scap-security-guide peuvent désormais vérifier et corriger la propriété, la propriété de groupe et les permissions des fichiers journaux Rsyslog dans les deux syntaxes disponibles.

Keylime passe à la version 6.5.2

Les paquets keylime ont été rebasés vers la version amont - keylime-6.5.2-5.el9. Cette version contient diverses améliorations et corrections de bogues, notamment les suivantes :

Clevis accepte les jetons externes

Avec la nouvelle option -e introduite dans l'outil de chiffrement automatisé Clevis, vous pouvez fournir un jeton d'identification externe pour éviter d'entrer votre mot de passe pendant cryptsetup. Cette fonctionnalité rend le processus de configuration plus automatisé et plus pratique, et est particulièrement utile pour les paquets tels que stratis qui utilisent Clevis.

La journalisation cryptée TLS de Rsyslog prend désormais en charge plusieurs fichiers d'autorité de certification

La nouvelle directive NetstreamDriverCaExtraFiles permet de spécifier une liste de fichiers d'autorité de certification (CA) supplémentaires pour la journalisation à distance cryptée par TLS. Notez que cette nouvelle directive n'est disponible que pour le pilote de flux réseau Rsyslog de ossl (OpenSSL).

Les privilèges Rsyslog sont limités

Les privilèges du système de traitement des logs Rsyslog sont désormais limités aux seuls privilèges explicitement requis par Rsyslog. Cela minimise l'exposition à la sécurité en cas d'erreur potentielle dans les ressources d'entrée, par exemple, un plugin de réseau. Par conséquent, Rsyslog dispose des mêmes fonctionnalités, mais n'a pas de privilèges superflus.

La politique SELinux permet à Rsyslog de supprimer les privilèges au démarrage

Les privilèges du système de traitement des journaux Rsyslog étant désormais plus limités afin de minimiser l'exposition à la sécurité(RHBZ#2127404), la politique SELinux a été mise à jour afin de permettre au service rsyslog d'abandonner ses privilèges au démarrage.

Tang utilise maintenant systemd-sysusers

Le serveur de présence réseau Tang ajoute désormais les utilisateurs et les groupes du système par l'intermédiaire du service systemd-sysusers au lieu de scripts shell contenant des commandes useradd. Cela simplifie la vérification de la liste des utilisateurs du système et vous pouvez également remplacer les définitions des utilisateurs du système en fournissant des fichiers sysuser.d avec une priorité plus élevée.

opencryptoki repassé à la version 3.19.0

Le paquet opencryptoki est passé à la version 3.19.0, qui apporte de nombreuses améliorations et corrections de bogues. En particulier, opencryptoki prend désormais en charge les fonctionnalités suivantes :

SELinux limite désormais mptcpd et udftools

Avec cette mise à jour des paquets selinux-policy, SELinux restreint les services suivants :

fapolicyd permet désormais de filtrer la base de données RPM

Avec le nouveau fichier de configuration /etc/fapolicyd/rpm-filter.conf, vous pouvez personnaliser la liste des fichiers de la base de données RPM que le cadre logiciel fapolicyd stocke dans la base de données de confiance. Vous pouvez ainsi bloquer certaines applications installées par RPM ou autoriser une application refusée par le filtre de configuration par défaut.

GnuTLS peut ajouter et supprimer du rembourrage lors du décryptage et du cryptage

La mise en œuvre de certains protocoles nécessite un remplissage PKCS#7 lors du décryptage et du cryptage. Les fonctions de chiffrement par bloc gnutls_cipher_encrypt3 et gnutls_cipher_decrypt3 ont été ajoutées à GnuTLS pour gérer de manière transparente le remplissage. Par conséquent, vous pouvez désormais utiliser ces fonctions en combinaison avec le drapeau GNUTLS_CIPHER_PADDING_PKCS7 pour ajouter ou supprimer automatiquement le remplissage si la longueur du texte clair original n'est pas un multiple de la taille du bloc.

Les NSS ne prennent plus en charge les clés RSA de moins de 1023 bits

La mise à jour des bibliothèques Network Security Services (NSS) modifie la taille minimale des clés pour toutes les opérations RSA de 128 à 1023 bits. Cela signifie que les NSS n'exécutent plus les fonctions suivantes :

NetworkManager passe à la version 1.42.2

Les paquets NetworkManager ont été mis à jour vers la version amont 1.42.2, qui apporte un certain nombre d'améliorations et de corrections de bogues par rapport à la version précédente :

Introduction de la propriété weight dans le routage ECMP avec NetworkManager

Avec cette mise à jour, RHEL 9 prend en charge une nouvelle propriété weight lors de la définition des itinéraires IPv4 Equal-Cost Multi-Path (ECMP). Vous pouvez configurer le routage par trajets multiples à l'aide de NetworkManager pour équilibrer la charge et stabiliser le trafic réseau. Cela permet d'utiliser plusieurs chemins pour la transmission de données entre deux nœuds, ce qui améliore l'efficacité du réseau et fournit une redondance en cas de défaillance d'un lien. Les conditions d'utilisation de la propriété weight sont les suivantes

La mise à jour de NetworkManager améliore la flexibilité de la configuration DNS sur plusieurs réseaux

Avec cette mise à jour, vous pouvez utiliser la section [global-dns] existante dans le fichier /etc/Networkmanager/NetworkManager.conf pour configurer les options DNS sans spécifier la valeur nameserver dans la section [global-dns-domain-*]. Cela vous permet de configurer les options DNS dans le fichier /etc/resolv.conf tout en continuant à vous fier aux serveurs DNS fournis par la connexion réseau pour la résolution DNS réelle. Cette fonctionnalité facilite et assouplit la gestion de vos paramètres DNS lorsque vous vous connectez à différents réseaux dotés de différents serveurs DNS. En particulier lorsque vous utilisez le fichier /etc/resolv.conf pour configurer les options DNS.

NetworkManager supporte désormais une nouvelle propriété vlan.protocol

Avec cette mise à jour, le type d'interface vlan accepte désormais une nouvelle propriété protocol. Le type de propriété est une chaîne de caractères. Les valeurs acceptées sont soit 802.1Q (par défaut), soit 802.1ad. La nouvelle propriété spécifie quel protocole VLAN contrôle l'identificateur de balise pour l'encapsulation.

NetworkManager permet maintenant de configurer un VLAN sur une interface non gérée

Grâce à cette amélioration, vous pouvez utiliser une interface réseau non gérée comme interface de base lors de la configuration d'un réseau local virtuel (VLAN) avec NetworkManager. Par conséquent, l'interface de base du VLAN reste intacte à moins qu'elle ne soit modifiée explicitement par le biais de la commande nmcli device set enp1s0 managed true ou d'une autre API de NetworkManager.

La configuration de TCP Multipath à l'aide de NetworkManager est maintenant entièrement supportée

Avec cette mise à jour, l'utilitaire NetworkManager vous offre la fonctionnalité Multipath TCP (MPTCP). Vous pouvez utiliser les commandes nmcli pour contrôler MPTCP et rendre ses paramètres persistants.

L'utilitaire NetworkManager permet désormais d'activer les connexions sur l'interface loopback

Les administrateurs peuvent gérer l'interface loopback pour :

Le mode de liaison balance-slb est désormais pris en charge

Le nouveau mode de liaison balance-slb Source load balancing ne nécessite aucune configuration du commutateur. Le balance-slb divise le trafic sur l'adresse Ethernet source en utilisant xmit_hash_policy=vlan srcmac, et NetworkManager ajoute les règles nftables nécessaires au filtrage du trafic. Par conséquent, vous pouvez maintenant créer des profils de liaison avec l'option balance-slb activée en utilisant NetworkManager.

firewalld repassé à la version 1.2

Le paquetage firewalld a été mis à jour vers la version 1.2, qui apporte de nombreuses améliorations. Les changements notables sont les suivants :

Le site firewalld prend désormais en charge le mécanisme de sécurité au démarrage

Avec cette amélioration, firewalld revient aux valeurs par défaut de sécurité en cas d'échec du démarrage. Cette fonctionnalité protège l'hôte en cas de configurations invalides ou d'autres problèmes de démarrage. Par conséquent, même si la configuration de l'utilisateur n'est pas valide, les hôtes utilisant firewalld sont maintenant à l'abri des pannes au démarrage.

conntrack-tools repassé à la version 1.4.7

Le paquetage conntrack-tools a été mis à jour vers la version 1.4.7, qui apporte de nombreuses corrections de bogues et améliorations. Les changements notables sont les suivants :

L'API nmstate prend désormais en charge les adresses locales de liaison IPv6 en tant que serveurs DNS

Grâce à cette amélioration, vous pouvez utiliser l'API nmstate pour définir des adresses IPv6 link-local comme serveurs DNS. Utilisez le format <link-local_address>%<interface>, par exemple :

L'API nmstate prend désormais en charge les drapeaux MPTCP

Cette mise à jour améliore l'API nmstate avec la prise en charge des drapeaux TCP MultiPath (MPTCP). Par conséquent, vous pouvez utiliser nmstate pour définir les drapeaux d'adresse MPTCP sur les interfaces avec des adresses IP statiques ou dynamiques.

Les propriétés min-mtu et max-mtu ont été ajoutées au MTU sur toutes les interfaces

Auparavant, un message d'exception n'était pas suffisamment clair pour comprendre les plages de MTU prises en charge. Cette mise à jour introduit les propriétés min-mtu et max-mtu dans toutes les interfaces. Par conséquent, nmstate indiquera la plage de MTU prise en charge lorsque le MTU souhaité n'est pas compris dans cette plage.

NetworkManager permet maintenant de configurer un VLAN sur une interface non gérée

Grâce à cette amélioration, vous pouvez utiliser une interface réseau non gérée comme interface de base lors de la configuration d'un réseau local virtuel (VLAN) avec NetworkManager. Par conséquent, l'interface de base du VLAN reste intacte à moins qu'elle ne soit modifiée explicitement par le biais de la commande nmcli device set enp1s0 managed true ou d'une autre API de NetworkManager.

Le mode de liaison balance-slb est désormais pris en charge

Le nouveau mode de liaison balance-slb L'équilibrage de la charge de la source ne nécessite aucune configuration du commutateur. Le balance-slb divise le trafic sur l'adresse Ethernet source en utilisant xmit_hash_policy=vlan srcmac, et NetworkManager ajoute les règles nftables nécessaires au filtrage du trafic. Par conséquent, vous pouvez maintenant créer des profils de liaison avec l'option balance-slb activée en utilisant NetworkManager.

Une nouvelle propriété weight à Nmstate

Cette mise à jour introduit la propriété weight dans l'API et la suite d'outils Nmstate. Vous pouvez utiliser weight pour spécifier le poids relatif de chaque chemin dans le groupe ECMP (Equal Cost Multi-Path routes). Le poids est un nombre compris entre 1 et 256. En conséquence, la propriété weight dans Nmstate offre une plus grande flexibilité et un meilleur contrôle sur la distribution du trafic dans un groupe ECMP.

xdp-tools repassé à la version 1.3.1

Les paquets xdp-tools ont été mis à jour vers la version amont 1.3.1, qui apporte un certain nombre d'améliorations et de corrections de bogues par rapport à la version précédente :

iproute repassé à la version 6.1.0

Le paquetage iproute a été mis à jour vers la version 6.1.0, qui apporte de nombreuses corrections de bogues et améliorations. Les changements notables sont les suivants :

Le noyau enregistre désormais l'adresse d'écoute dans les messages SYN flood

Cette amélioration ajoute l'adresse IP d'écoute aux messages d'inondation SYN :

Version du noyau dans RHEL 9.2

Red Hat Enterprise Linux 9.2 est distribué avec la version 5.14.0-284.11.1 du noyau.

Le noyau avec une taille de page de 64k est maintenant disponible

En plus du noyau RHEL 9 for ARM qui prend en charge 4k pages, Red Hat propose désormais un paquetage de noyau optionnel qui prend en charge 64k pages : kernel-64k.

virtiofs prise en charge de kexec-tools activée

Cette amélioration ajoute la fonction virtiofs à kexec-tools en introduisant la nouvelle option virtiofs myfs, où myfs est un nom de balise variable à définir dans la ligne de commande qemu, par exemple, -device vhost-user-fs-pci,tag=myfs

Le paquet kexec-tools apporte désormais des améliorations sur les cibles kdump distantes

Avec cette amélioration, le paquet kexec-tools ajoute des corrections de bogues et des améliorations significatives. Les changements les plus notables sont les suivants :

Le FBP passe à la version 6.0

Le filtre de paquets Berkeley (BPF) a été rebasé sur la version 6.0 du noyau Linux avec de nombreuses améliorations. Cette mise à jour active toutes les fonctionnalités BPF qui dépendent du format de type BPF (BTF) pour les modules du noyau. Ces fonctionnalités comprennent l'utilisation des trampolines BPF pour le traçage, la disponibilité du principe Compile Once - Run Everywhere (CO-RE), et plusieurs fonctionnalités liées au réseau. En outre, les modules du noyau contiennent désormais des informations de débogage, ce qui signifie qu'il n'est plus nécessaire d'installer les paquets debuginfo pour inspecter les modules en cours d'exécution.

Le méta-outil rtla ajoute les traceurs osnoise et timerlat pour améliorer les capacités de traçage

Real-Time Linux Analysis (rtla) est un méta-outil qui comprend un ensemble de commandes permettant d'analyser les propriétés en temps réel de Linux. rtla exploite les capacités de traçage du noyau pour fournir des informations précises sur les propriétés et les causes profondes des résultats inattendus du système. rtla ajoute actuellement la prise en charge des commandes de traçage osnoise et timerlat:

Le module argparse permet désormais de configurer les sockets de l'unité centrale

Grâce à cette amélioration, vous pouvez spécifier un socket de CPU spécifique lorsque vous en avez plusieurs. Vous pouvez visualiser l'utilisation de l'aide en utilisant -h sur une sous-commande, par exemple, tuna show_threads -h.

Le format de sortie pour cgroups et irqs a été amélioré pour une meilleure lisibilité

Grâce à cette amélioration, la sortie de la commande tuna show_threads pour l'utilitaire cgroup est désormais structurée en fonction de la taille du terminal. Vous pouvez également configurer un espacement supplémentaire pour la sortie de cgroups en ajoutant la nouvelle option -z ou --spaced à la commande show_threads.

Une nouvelle interface de ligne de commande a été ajoutée à l'outil tuna en temps réel

Cette amélioration ajoute une nouvelle interface de ligne de commande à l'outil tuna, qui est basé sur le module d'analyse argparse. Avec cette mise à jour, vous pouvez désormais effectuer les tâches suivantes :

La sortie de la commande rteval comprend maintenant les chargements de programme et les informations sur les fils de mesure

La commande rteval affiche désormais un résumé du rapport avec le nombre de charges de programme, les threads de mesure et le CPU correspondant qui a exécuté ces threads. Ces informations permettent d'évaluer les performances d'un noyau temps réel sous charge sur des plates-formes matérielles spécifiques.

Les options -W et --bucket-width ont été ajoutées au programme oslat pour mesurer la latence

Grâce à cette amélioration, vous pouvez spécifier une plage de latence pour un seul godet avec une précision de l'ordre de la nanoseconde. Les largeurs qui ne sont pas des multiples de 1000 nanosecondes indiquent une précision de l'ordre de la nanoseconde. En utilisant les nouvelles options, -W ou --bucket-width, vous pouvez modifier l'intervalle de latence entre les godets pour mesurer la latence avec un temps de retard inférieur à la microseconde.

Le protocole de transport NVMe/FC est activé en tant que cible de stockage kdump

Le mécanisme kdump prend désormais en charge le protocole Nonvolatile Memory Express (NVMe) over Fibre Channel (NVMe/FC) en tant que cible de vidage. Avec cette mise à jour, vous pouvez configurer kdump pour enregistrer les fichiers de vidage de crash du noyau sur des cibles de stockage NVMe/FC.

L'outil crash-utility est passé à la version 8.0.2

Le programme crash-utility, qui analyse l'état d'un système actif ou après un crash du noyau, est passé à la version 8.0.2. Le changement le plus important est l'ajout de la prise en charge des périphériques multiqueue(blk-mq). En utilisant la commande dev -d ou dev -D, vous pouvez afficher les statistiques d'entrées/sorties sur disque pour les périphériques multiqueue(blk-mq).

openssl-ibmca repassé à la version 2.3.1

Le moteur et le fournisseur OpenSSL dynamique pour IBMCA sur l'architecture IBM Z 64 bits ont été rebasés vers la version amont 2.3.1. Il est recommandé aux utilisateurs de RHEL 9 d'utiliser OpenSSL provider pour garantir la compatibilité avec les futures mises à jour d'OpenSSL. La fonctionnalité engine a été supprimée dans la version 3 d'OpenSSL.

Cryptage de la décharge de l'invité Secure Execution avec les clés du client

Cette nouvelle fonctionnalité permet aux invités dumps for Secure Execution initiés par l'hyperviseur de collecter des informations sur les pannes du noyau à partir de KVM dans des scénarios où l'utilitaire kdump ne fonctionne pas. Notez que les dumps initiés par l'hyperviseur pour Secure Execution sont conçus pour le matériel IBM Z Series z16 et LinuxONE Emperor 4.

Le protocole TSN pour le temps réel a été activé sur la plateforme ADL-S

Avec cette amélioration, la spécification IEEE Time Sensitive Networking (TSN) permet la synchronisation temporelle et le traitement déterministe des charges de travail en temps réel sur le réseau sur la plateforme Intel Alder Lake S (ADL-S). Elle prend en charge les périphériques réseau suivants :

Le pilote Intel ice est passé à la version 6.0.0

Le pilote Intel ice a été mis à jour vers la version amont 6.0.0, qui apporte un certain nombre d'améliorations et de corrections de bogues par rapport aux versions précédentes. Les améliorations notables sont les suivantes :

L'option d'écriture de données pour le module gnss est maintenant disponible

Cette mise à jour offre la possibilité d'écrire des données sur le récepteur gnss. Auparavant, gnss n'était pas entièrement configurable. Avec cette amélioration, toutes les fonctions de gnss sont désormais disponibles.

Hébergement de certificats Secure Boot pour les systèmes IBM zSystems

À partir d'IBM z16 A02/AGZ et de LinuxONE Rockhopper 4 LA2/AGL, vous pouvez gérer les certificats utilisés pour valider les noyaux Linux lors du démarrage du système avec l'option Secure Boot activée sur la console de gestion du matériel (HMC). Notamment :

nvme-cli repassé à la version 2.2.1

Les paquets nvme-cli ont été mis à jour vers la version 2.2.1, qui apporte de nombreuses corrections de bogues et améliorations. Les changements notables sont les suivants :

libnvme repassé à la version 1.2

Les paquets libnvme ont été mis à jour vers la version 1.2, qui apporte de nombreuses corrections de bogues et améliorations. Le changement le plus notable est la suppression de la dépendance de la bibliothèque libuuid.

Stratis assure la cohérence de la taille des blocs dans les pools

Stratis applique désormais une taille de bloc cohérente dans les pools afin de résoudre les problèmes potentiels qui peuvent survenir lorsque des périphériques de taille de bloc différente existent dans un pool. Grâce à cette amélioration, les utilisateurs ne peuvent plus créer un pool ou ajouter de nouveaux périphériques dont la taille de bloc est différente de celle des périphériques existants dans le pool. Par conséquent, le risque de défaillance du pool est réduit.

Prise en charge de la croissance des disques existants dans le pool Stratis

Auparavant, lorsqu'un utilisateur ajoutait de nouveaux disques à la matrice RAID, la taille de la matrice RAID augmentait généralement. Cependant, dans tous les cas, Stratis ignorait l'augmentation de la taille et continuait à utiliser uniquement l'espace disponible sur la matrice RAID lors de son ajout au pool. Par conséquent, Stratis n'était pas en mesure d'identifier le nouveau périphérique et les utilisateurs ne pouvaient pas augmenter la taille du pool.

Amélioration de la fonctionnalité de la commande lvreduce

Avec cette amélioration, lorsque le volume logique (LV) est actif, la commande lvreduce vérifie si la réduction de la taille du LV n'endommagerait pas un système de fichiers présent sur celui-ci. Si un système de fichiers sur le LV nécessite une réduction et que l'option lvreduce resizefs n'a pas été activée, le LV ne sera pas réduit.

Des informations sur l'alignement des E/S directes pour statx ont été ajoutées

Cette mise à jour introduit une nouvelle valeur de masque, "STATX_DIOALIGN", dans l'appel statx(2). Lorsque cette valeur est définie dans le champ stx_mask, elle demande les valeurs stx_dio_mem_align et stx_dio_offset_align, qui indiquent respectivement l'alignement requis (en octets) pour les tampons de mémoire utilisateur, les décalages de fichiers et les longueurs de segments d'E/S pour les E/S directes (O_DIRECT) sur ce fichier. Si l'E/S directe n'est pas prise en charge sur le fichier, les deux valeurs seront 0. Cette interface est désormais mise en œuvre pour les périphériques bloc ainsi que pour les fichiers sur les systèmes de fichiers xfs et ext4 dans RHEL9.

Découverte du trunking de session NFSv4.1

Avec cette mise à jour, le client peut utiliser plusieurs connexions au même serveur et à la même session, ce qui accélère le transfert des données. Lorsqu'un client NFS monte un serveur NFS multi-homé avec différentes adresses IP, une seule connexion est utilisée par défaut, ignorant les autres. Pour améliorer les performances, cette mise à jour ajoute la prise en charge des options de montage trunkdiscovery et max_connect, qui permettent au client de tester chaque connexion et d'associer plusieurs connexions au même serveur et à la même session NFSv4.1.

Les tailles d'entrées-sorties de NFS peuvent désormais être définies comme des multiples de PAGE_SIZE pour TCP et RDMA

Cette mise à jour permet aux utilisateurs de définir la taille des IO de NFS comme un multiple de PAGE_SIZE pour les connexions TCP et RDMA. Cela offre une plus grande flexibilité dans l'optimisation des performances de NFS pour certaines architectures.

nfsrahead a été ajouté à RHEL 9

Avec l'introduction de l'outil nfsrahead, vous pouvez l'utiliser pour modifier la valeur de readahead pour les montages NFS, et ainsi affecter les performances de lecture de NFS.

Nouvelle option de configuration du stand enable-authfile

Lorsque vous créez une configuration Booth pour utiliser le gestionnaire de tickets Booth dans une configuration cluster, la commande pcs booth setup active désormais par défaut la nouvelle option de configuration Booth enable-authfile. Vous pouvez activer cette option sur un cluster existant avec la commande pcs booth enable-authfile. En outre, les commandes pcs status et pcs booth status affichent désormais des avertissements lorsqu'elles détectent une éventuelle mauvaise configuration de enable-authfile.

pcs peut maintenant exécuter l'action validate-all des agents des ressources et des stoniths

Lors de la création ou de la mise à jour d'une ressource ou d'un dispositif STONITH, il est désormais possible de spécifier l'option --agent-validation. Avec cette option, pcs utilise l'action validate-all d'un agent, lorsqu'elle est disponible, en plus de la validation effectuée par pcs sur la base des métadonnées de l'agent.

Python 3.11 disponible dans RHEL 9

RHEL 9.2 introduit Python 3.11, fourni par le nouveau paquet python3.11 et une suite de paquets construits pour lui, ainsi que l'image de conteneur ubi9/python-311.

nodejs:18 rebasé à la version 18.14 avec npm rebasé à la version 9

La mise à jour de Node.js 18.14 inclut une mise à jour majeure SemVer de npm de la version 8 à la version 9. Cette mise à jour était nécessaire pour des raisons de maintenance et peut nécessiter une adaptation de la configuration de npm.

git repassé à la version 2.39.1

Le système de contrôle de version Git a été mis à jour à la version 2.39.1, qui apporte des corrections de bogues, des améliorations et des gains de performance par rapport à la version 2.31 publiée précédemment.

git-lfs repassé à la version 3.2.0

L'extension Git Large File Storage (LFS) a été mise à jour à la version 3.2.0, qui apporte des corrections de bogues, des améliorations et des gains de performance par rapport à la version 2.13 publiée précédemment.

Un nouveau flux de modules : nginx:1.22

Le serveur web et proxy nginx 1.22 est maintenant disponible en tant que module stream nginx:1.22. Cette mise à jour apporte un certain nombre de corrections de bogues, de correctifs de sécurité, de nouvelles fonctionnalités et d'améliorations par rapport à la version 1.20 publiée précédemment.

mod_security repassé à la version 2.9.6

Le module mod_security pour le serveur HTTP Apache a été mis à jour à la version 2.9.6, qui apporte de nouvelles fonctionnalités, des corrections de bogues et des correctifs de sécurité par rapport à la version 2.9.3 précédemment disponible.

Nouveaux paquets : tomcat

RHEL 9.2 introduit la version 9 du serveur Apache Tomcat. Tomcat est le conteneur de servlets utilisé dans l'implémentation de référence officielle des technologies Java Servlet et JavaServer Pages. Les spécifications de Java Servlet et JavaServer Pages sont développées par Sun dans le cadre du Java Community Process. Tomcat est développé dans un environnement ouvert et participatif et publié sous la licence Apache Software License version 2.0.

Un nouveau flux de modules : postgresql:15

RHEL 9.2 introduit PostgreSQL 15 en tant que flux de modules postgresql:15. PostgreSQL 15 offre un certain nombre de nouvelles fonctionnalités et d'améliorations par rapport à la version 13. Les changements notables sont les suivants :

openblas repassé à la version 0.3.21

La bibliothèque OpenBLAS a été mise à jour vers la version 0.3.21. Cette mise à jour inclut des correctifs d'optimisation des performances pour la plateforme IBM POWER10.

Un nouveau flux de modules : swig:4.1

RHEL 9.2 introduit la version 4.1 de Simplified Wrapper and Interface Generator (SWIG) en tant que flux de modules swig:4.1 disponible dans le dépôt CodeReady Linux Builder (CRB). Notez que les paquets inclus dans le dépôt CodeReady Linux Builder ne sont pas pris en charge.

Nouveau paquet : jmc dans le référentiel CRB

RHEL 9.2 introduit le profileur JDK Mission Control (JMC) pour les JVM HotSpot version 8.2.0, disponible en tant que paquet jmc dans le dépôt CodeReady Linux Builder (CRB) pour les architectures AMD et Intel 64 bits.

Les attributs des services OpenJDK sont désormais disponibles en mode FIPS

Auparavant, les services et algorithmes cryptographiques disponibles pour OpenJDK en mode FIPS étaient filtrés de manière trop stricte et les attributs de service n'étaient pas disponibles. Avec cette amélioration, ces attributs de service sont désormais disponibles en mode FIPS.

Performance Co-Pilot passe à la version 6.0

Performance Co-Pilot (PCP) a été mis à jour à la version 6.0. Les améliorations notables sont les suivantes :

grafana repassé à la version 9.0.9

Le paquet grafana a été rebasé à la version 9.0.9. Les changements notables sont les suivants :

grafana-pcp repassé à la version 5.1.1

Le paquetage grafana-pcp a été rebasé à la version 5.1.1. Les changements notables sont les suivants :

Mise à jour du jeu d'outils GCC 12

GCC Toolset 12 est un ensemble d'outils de compilation qui fournit des versions récentes d'outils de développement. Il est disponible en tant que flux d'application sous la forme d'une collection de logiciels dans le dépôt AppStream.

Le compilateur GCC mis à jour est désormais disponible pour RHEL 9.2

Le compilateur GCC du système, version 11.3.1, a été mis à jour pour inclure de nombreuses corrections de bogues et améliorations disponibles dans le GCC en amont.

Le jeu d'outils LLVM passe à la version 15.0.7

LLVM Toolset a été mis à jour à la version 15.0.7. Les changements notables sont les suivants :

Rust Toolset repassé à la version 1.66.1

Rust Toolset a été mis à jour à la version 1.66.1. Les changements notables sont les suivants :

Go Toolset passe à la version 1.19.6

Go Toolset a été mis à jour à la version 1.19.6. Les changements notables sont les suivants :

Le paquet tzdata comprend désormais le fichier /usr/share/zoneinfo/leap-seconds.list

Auparavant, le paquetage tzdata ne fournissait que le fichier /usr/share/zoneinfo/leapseconds. Certaines applications s'appuient sur le format alternatif fourni par le fichier /usr/share/zoneinfo/leap-seconds.list et, par conséquent, rencontrent des erreurs.

Prise en charge par SSSD de la conversion des répertoires personnels en minuscules

Avec cette amélioration, vous pouvez désormais configurer SSSD pour qu'il convertisse les répertoires personnels des utilisateurs en minuscules. Cela permet de mieux s'intégrer à la nature sensible à la casse de l'environnement RHEL. L'option override_homedir de la section [nss] du fichier /etc/sssd/sssd.conf reconnaît désormais la valeur du modèle %h. Si vous utilisez %h dans le cadre de la définition de override_homedir, SSSD remplace %h par le répertoire personnel de l'utilisateur en minuscules.

SSSD prend désormais en charge la modification des mots de passe des utilisateurs LDAP à l'aide de la stratégie de mot de passe shadow

Avec cette amélioration, si vous définissez ldap_pwd_policy sur shadow dans le fichier /etc/sssd/sssd.conf, les utilisateurs LDAP peuvent désormais modifier leur mot de passe stocké dans LDAP. Auparavant, les modifications de mot de passe étaient rejetées si ldap_pwd_policy était défini sur shadow, car il n'était pas clair si les attributs LDAP shadow correspondants étaient mis à jour.

IdM prend désormais en charge le paramètre min_lifetime

Avec cette amélioration, le paramètre min_lifetime a été ajouté au fichier /etc/gssproxy/*.conf. Le paramètre min_lifetime déclenche le renouvellement d'un ticket de service si sa durée de vie restante est inférieure à cette valeur.

Le module ipapwpolicy ansible-freeipa prend désormais en charge de nouvelles options de politique de mot de passe

Avec cette mise à jour, le module ipapwpolicy inclus dans le paquetage ansible-freeipa prend en charge des options supplémentaires de la bibliothèque libpwquality:

IdM prend désormais en charge le module de gestion Ansible ipanetgroup

En tant qu'administrateur du système de gestion des identités (IdM), vous pouvez intégrer IdM aux domaines NIS et aux groupes nets. Le module ipanetgroup ansible-freeipa vous permet de réaliser les opérations suivantes :

Nouvelles variables de rôle ipaclient_configure_dns_resolver et ipaclient_dns_servers Ansible ipaclient spécifiant le résolveur DNS du client

Auparavant, lors de l'utilisation du rôle ansible-freeipa ipaclient pour installer un client Identity Management (IdM), il n'était pas possible de spécifier le résolveur DNS pendant le processus d'installation. Vous deviez configurer le résolveur DNS avant l'installation.

L'utilisation du rôle ipaclient pour installer un client IdM avec un OTP ne nécessite aucune modification préalable du contrôleur Ansible

Auparavant, la commande kinit sur le contrôleur Ansible était une condition préalable à l'obtention d'un mot de passe à usage unique (OTP) pour le déploiement du client Identity Management (IdM). La nécessité d'obtenir l'OTP sur le contrôleur était un problème pour Red Hat Ansible Automation Platform (AAP), où le paquetage krb5-workstation n'était pas installé par défaut.

L'IdM impose désormais la présence de la structure MS-PAC dans les tickets Kerberos

À partir de RHEL 9.2, pour renforcer la sécurité, Identity Management (IdM) et MIT Kerberos imposent désormais la présence de la structure du certificat d'attribut de privilège (MS-PAC) dans les tickets Kerberos émis par le centre de distribution Kerberos (KDC) de RHEL IdM.

Nouveau modèle de configuration de domaine pour le KDC permettant un cryptage des clés conforme à la norme FIPS 140-3

Cette mise à jour fournit un nouvel exemple de configuration du domaine ( EXAMPLE.COM) dans le fichier /var/kerberos/krb5kdc/kdc.conf. Elle apporte deux changements :

Configurer pam_pwhistory à l'aide d'un fichier de configuration

Avec cette mise à jour, vous pouvez configurer le module pam_pwhistory dans le fichier de configuration /etc/security/pwhistory.conf. Le module pam_pwhistory enregistre le dernier mot de passe de chaque utilisateur afin de gérer l'historique des changements de mot de passe. Un support a également été ajouté dans authselect qui vous permet d'ajouter le module pam_pwhistory à la pile PAM.

samba repassé à la version 4.17.5

Les paquets samba ont été mis à jour vers la version amont 4.17.5, qui apporte des corrections de bogues et des améliorations par rapport à la version précédente. Les changements les plus notables :

ipa-client-install supporte désormais l'authentification avec PKINIT

Auparavant, le site ipa-client-install ne prenait en charge que l'authentification par mot de passe. Cette mise à jour permet à ipa-client-install de prendre en charge l'authentification par PKINIT.

Red Hat IdM et Certificate System prennent désormais en charge le protocole EST

Enrollment over Secure Transport (EST) est une nouvelle fonctionnalité du sous-système de certification qui est spécifiée dans la RFC 7030 et qui est utilisée pour fournir des certificats à partir d'une autorité de certification (CA). EST met en œuvre le côté serveur de l'opération, comme /getcacerts, /simpleenroll, et /simplereenroll.

Purge automatique des certificats expirés

Cette mise à jour ajoute un mécanisme automatique pour purger les certificats expirés et les enregistrements de demande de la base de données. Vous pouvez activer cette fonction en fonction de certaines règles, telles que la limite de taille de la recherche, la limite de temps de la recherche et la durée de conservation.

Améliorer l'utilisation du cache négatif

Cette mise à jour améliore les performances du SSSD pour les recherches par identifiant de sécurité (SID). Elle stocke désormais les SID non existants dans le cache négatif pour les domaines individuels et demande le domaine auquel le SID appartient.

ACME prend désormais en charge la suppression automatique des certificats expirés

Auparavant, le service ACME (Automated Certificate Management Environment) de la gestion des identités (IdM) ne supprimait pas les certificats expirés de l'autorité de certification (AC). Comme ACME émet des certificats de courte durée (90 jours), les certificats expirés s'accumulaient dans l'autorité de certification, ce qui affectait les performances.

Le serveur d'annuaire prend désormais en charge les clés privées ECDSA pour TLS

Auparavant, vous ne pouviez pas utiliser d'algorithmes cryptographiques plus puissants que RSA pour sécuriser les connexions au serveur Directory. Avec cette amélioration, Directory Server prend désormais en charge les clés ECDSA et RSA.

Directory Server prend désormais en charge la journalisation étendue des opérations de recherche

Auparavant, les enregistrements dans le journal des accès n'indiquaient pas pourquoi certaines opérations de recherche avaient une valeur etime très élevée. Avec cette version, vous pouvez activer l'enregistrement de statistiques telles que le nombre de consultations d'index (opérations de lecture de la base de données) et la durée totale des consultations d'index pour chaque opération de recherche. Ces enregistrements statistiques peuvent aider à analyser pourquoi la valeur etime peut être si coûteuse en ressources.

Le niveau de journalisation des erreurs NUNC_STANS a été remplacé par le nouveau niveau de journalisation 1048576

Auparavant, vous ne pouviez pas facilement déboguer les problèmes liés à la politique de mot de passe. Avec le nouveau niveau de journalisation 1048576 pour le journal des erreurs, vous pouvez maintenant vérifier les informations suivantes sur la politique de mot de passe :

Directory Server introduit le journal de sécurité

Pour suivre correctement les problèmes au fil du temps, Directory Server dispose désormais d'un journal spécialisé qui conserve les données de sécurité. Le journal de sécurité ne tourne pas rapidement et consomme moins de ressources disque que le journal d'accès qui contient toutes les informations, mais nécessite une analyse coûteuse pour obtenir les données de sécurité.

Directory Server peut désormais compresser les fichiers journaux archivés

Auparavant, les fichiers journaux archivés n'étaient pas compressés. Avec cette version, vous pouvez activer la compression des fichiers journaux d'accès, d'erreur, d'audit, d'échec d'audit et de sécurité afin d'économiser de l'espace disque. Notez que seule la compression des fichiers journaux de sécurité est activée par défaut.

Nouveau paramètre de configuration nsslapd-auditlog-display-attrs pour le journal d'audit du serveur d'annuaire

Auparavant, il était difficile de déterminer qui avait modifié une entrée si le nom distinctif (DN) de l'entrée ne contenait pas d'informations d'identification claires. Avec le nouveau paramètre nsslapd-auditlog-display-attrs, vous pouvez définir des attributs supplémentaires que Directory Server affiche dans le journal d'audit pour fournir plus de détails sur l'entrée modifiée.

Une nouvelle option de configuration pamModuleIsThreadSafe est désormais disponible

Lorsqu'un module PAM est thread-safe, vous pouvez améliorer le débit d'authentification PAM et le temps de réponse de ce module spécifique en définissant la nouvelle option de configuration pamModuleIsThreadSafe sur yes:

Directory Server peut désormais importer un paquet de certificats

Auparavant, lorsque vous essayiez d'ajouter un paquet de certificats à l'aide de l'utilitaire dsconf ou dsctl, la procédure échouait avec une erreur et le paquet de certificats n'était pas importé. Ce comportement était dû à l'utilitaire certutil qui ne pouvait importer qu'un seul certificat à la fois. Avec cette mise à jour, Directory Server contourne le problème avec l'utilitaire certutil, et un paquet de certificats est ajouté avec succès.

Désactiver le swipe pour changer d'espace de travail

Auparavant, le fait de balayer vers le haut ou vers le bas avec trois doigts changeait toujours l'espace de travail sur un écran tactile. Avec cette version, vous pouvez désactiver le changement d'espace de travail.

Wayland est maintenant activé sur les GPU Aspeed

Auparavant, le pilote GPU Aspeed n'était pas suffisamment performant pour permettre l'exécution d'une session Wayland. Pour contourner ce problème, la session Wayland a été désactivée pour les GPU Aspeed.

Menu personnalisé de clic droit sur le bureau

Vous pouvez désormais personnaliser le menu qui s'ouvre lorsque vous cliquez avec le bouton droit de la souris sur l'arrière-plan du bureau. Vous pouvez créer des entrées personnalisées dans le menu qui exécutent des commandes arbitraires.

Certaines sous-politiques cryptographiques sont désormais disponibles dans la console web

Cette mise à jour de la console web RHEL étend les options de la boîte de dialogue Change crypto policy. Outre les quatre politiques cryptographiques applicables à l'ensemble du système, vous pouvez désormais appliquer les sous-politiques suivantes via l'interface graphique :

La console web exécute désormais des étapes supplémentaires pour lier les volumes racine chiffrés LUKS à l'EDNB

Avec cette mise à jour, la console Web RHEL exécute des étapes supplémentaires requises pour lier les volumes racine chiffrés LUKS aux déploiements NBDE (Network-Bound Disk Encryption). Après avoir sélectionné un système de fichiers racine chiffré et un serveur Tang, vous pouvez ignorer l'ajout du paramètre rd.neednet=1 à la ligne de commande du noyau, l'installation du paquet clevis-dracut et la régénération d'un ramdisk initial (initrd). Pour les systèmes de fichiers non racine, la console web active désormais les unités remote-cryptsetup.target et clevis-luks-akspass.path systemd , installe le paquet clevis-systemd et ajoute le paramètre _netdev aux fichiers de configuration fstab et crypttab. Par conséquent, vous pouvez désormais utiliser l'interface graphique pour toutes les étapes de configuration du client Clevis lors de la création de déploiements NBDE pour le déverrouillage automatisé des volumes racine cryptés LUKS.

La règle de routage permet de consulter une table de routage par son nom

Avec cette mise à jour, le rôle système rhel-system-roles.network RHEL prend en charge la recherche d'une table de routage par son nom lorsque vous définissez une règle de routage. Cette fonctionnalité permet une navigation rapide pour les configurations réseau complexes où vous devez avoir différentes règles de routage pour différents segments du réseau.

Le rôle de système network permet de définir une valeur de priorité DNS

Cette amélioration ajoute le paramètre dns_priority au rôle système RHEL network. Vous pouvez attribuer à ce paramètre une valeur comprise entre -2147483648 et 2147483647. La valeur par défaut est 0. Les valeurs inférieures ont une priorité plus élevée. Notez que les valeurs négatives conduisent le rôle de système à exclure d'autres configurations ayant une valeur de priorité numérique supérieure. Par conséquent, en présence d'au moins une valeur de priorité négative, le rôle de système n'utilise que les serveurs DNS des profils de connexion ayant la valeur de priorité la plus basse.

Nouveaux paramètres de personnalisation IPsec pour le rôle de système vpn RHEL

Étant donné que certains périphériques réseau nécessitent une personnalisation d'IPsec pour fonctionner correctement, les paramètres suivants ont été ajoutés au rôle de système vpn RHEL :

Le rôle de système selinux RHEL prend désormais en charge le paramètre local

Cette mise à jour du rôle système selinux RHEL introduit la prise en charge du paramètre local. En utilisant ce paramètre, vous pouvez supprimer uniquement les modifications de votre politique locale et préserver la politique SELinux intégrée.

Le rôle de système ha_cluster prend désormais en charge l'exécution automatisée des rôles de système firewall, selinux et certificate

Le rôle de système RHEL ha_cluster prend désormais en charge les fonctionnalités suivantes :

Le rôle de système RHEL postfix peut désormais utiliser les rôles de système RHEL firewall et selinux pour gérer l'accès aux ports

Grâce à cette amélioration, vous pouvez automatiser la gestion de l'accès aux ports en utilisant les nouvelles variables de rôle postfix_manage_firewall et postfix_manage_selinux:

Le rôle de système RHEL vpn peut désormais utiliser les rôles firewall et selinux pour gérer l'accès aux ports

Grâce à cette amélioration, vous pouvez automatiser la gestion de l'accès aux ports dans le rôle de système RHEL vpn via les rôles firewall et selinux. Si vous définissez les nouvelles variables de rôle vpn_manage_firewall et vpn_manage_selinux sur true, les rôles gèrent l'accès aux ports.

Le rôle de système logging RHEL prend désormais en charge l'accès aux ports et la génération des certificats

Grâce à cette amélioration, vous pouvez utiliser le rôle de journalisation pour gérer l'accès aux ports et générer des certificats à l'aide de nouvelles variables de rôle. Si vous définissez les nouvelles variables de rôle logging_manage_firewall et logging_manage_selinux sur true, les rôles gèrent l'accès aux ports. La nouvelle variable de rôle pour la génération de certificats est logging_certificates. Le type et l'utilisation sont les mêmes que pour le rôle certificate certificate_requests . Vous pouvez maintenant automatiser ces opérations directement en utilisant le rôle logging.

Le rôle de système RHEL metrics peut désormais utiliser les rôles firewall et selinux pour gérer l'accès aux ports

Grâce à cette amélioration, vous pouvez contrôler l'accès aux ports. Si vous définissez les nouvelles variables de rôle metrics_manage_firewall et metrics_manage_firewall sur true, les rôles gèrent l'accès aux ports. Vous pouvez désormais automatiser et effectuer ces opérations directement en utilisant le rôle metrics.

Le rôle de système RHEL nbde_server peut désormais utiliser les rôles firewall et selinux pour gérer l'accès aux ports

Avec cette amélioration, vous pouvez utiliser les rôles firewall et selinux pour gérer l'accès aux ports. Si vous définissez les nouvelles variables de rôle nbde_server_manage_firewall et nbde_server_manage_selinux sur true, les rôles gèrent l'accès aux ports. Vous pouvez maintenant automatiser ces opérations directement en utilisant le rôle nbde_server.

Le fournisseur du réseau initscripts prend en charge la configuration de la métrique de route de la passerelle par défaut

Avec cette mise à jour, vous pouvez utiliser le fournisseur de réseau initscripts dans le rôle de système RHEL rhel-system-roles.network pour configurer la métrique de route de la passerelle par défaut.

Intégration du rôle de système RHEL cockpit avec les rôles firewall, selinux et certificate

Cette amélioration vous permet d'intégrer le rôle cockpit avec les rôles firewall et selinux pour gérer l'accès aux ports et le rôle certificate pour générer des certificats.

Nouveau rôle de système RHEL pour une intégration directe avec Active Directory

Le nouveau rôle de système RHEL rhel-system-roles.ad_integration a été ajouté au package rhel-system-roles. Ainsi, les administrateurs peuvent désormais automatiser l'intégration directe d'un système RHEL avec un domaine Active Directory.

Nouveau rôle Ansible pour Red Hat Insights et la gestion des abonnements

Le paquetage rhel-system-roles inclut désormais le rôle système de configuration d'hôte à distance (rhc). Ce rôle permet aux administrateurs d'enregistrer facilement les systèmes RHEL sur les serveurs Red Hat Subscription Management (RHSM) et Satellite. Par défaut, lorsque vous enregistrez un système en utilisant le rôle système rhc, le système se connecte à Red Hat Insights. Avec le nouveau rôle système rhc, les administrateurs peuvent désormais automatiser les tâches suivantes sur les nœuds gérés :

Ajout de la prise en charge de l'adresse MAC clonée

L'adresse MAC clonée est l'adresse MAC du port WAN de l'appareil qui est la même que l'adresse MAC de la machine. Avec cette mise à jour, les utilisateurs peuvent spécifier l'interface de liaison ou de pont avec l'adresse MAC ou la stratégie telle que random ou preserve pour obtenir l'adresse MAC par défaut pour l'interface de liaison ou de pont.

Le rôle Ansible de Microsoft SQL Server prend en charge les répliques asynchrones à haute disponibilité

Auparavant, le rôle Ansible de Microsoft SQL Server ne prenait en charge que les répliques primaires, synchrones et témoins de haute disponibilité. Désormais, vous pouvez définir la variable mssql_ha_replica_type sur asynchronous pour la configurer avec un type de réplique asynchrone pour une réplique nouvelle ou existante.

Le rôle Ansible de Microsoft SQL Server prend en charge le type de cluster "read-scale"

Auparavant, le rôle Microsoft SQL Ansible ne prenait en charge que le type de cluster externe. Désormais, vous pouvez configurer le rôle avec une nouvelle variable mssql_ha_ag_cluster_type. La valeur par défaut est external, utilisez-la pour configurer le cluster avec Pacemaker. Pour configurer le cluster sans Pacemaker, utilisez la valeur none pour cette variable.

Le rôle Ansible de Microsoft SQL Server peut générer des certificats TLS

Auparavant, vous deviez générer manuellement un certificat TLS et une clé privée sur les nœuds avant de configurer le rôle Microsoft SQL Ansible. Avec cette mise à jour, le rôle Microsoft SQL Server Ansible peut utiliser le rôle redhat.rhel_system_roles.certificate à cette fin. Désormais, vous pouvez définir la variable mssql_tls_certificates au format de la variable certificate_requests du rôle certificate pour générer un certificat TLS et une clé privée sur le nœud.

Microsoft SQL Server Le rôle Ansible prend en charge la configuration de la version 2022 du serveur SQL

Auparavant, le rôle Microsoft SQL Ansible ne prenait en charge que la configuration de SQL Server version 2017 et version 2019. Cette mise à jour prend en charge la version 2022 de SQL Server pour le rôle Microsoft SQL Ansible. Désormais, vous pouvez définir la valeur mssql_version sur 2022 pour configurer un nouveau serveur SQL 2022 ou mettre à niveau un serveur SQL de la version 2019 à la version 2022. Notez que la mise à niveau d'un serveur SQL de la version 2017 à la version 2022 n'est pas disponible.

Microsoft SQL Server Le rôle Ansible prend en charge la configuration de l'authentification Active Directory

Avec cette mise à jour, le rôle Microsoft SQL Ansible prend en charge la configuration de l'authentification Active Directory pour un serveur SQL. Désormais, vous pouvez configurer l'authentification Active Directory en définissant des variables avec le préfixe mssql_ad_.

Le rôle de système journald RHEL est désormais disponible

Le service journald collecte et stocke les données de journalisation dans une base de données centralisée. Avec cette amélioration, vous pouvez utiliser les variables de rôle du système journald pour automatiser la configuration du journal systemd et configurer la journalisation persistante à l'aide de Red Hat Ansible Automation Platform.

Le rôle de système ha_cluster prend désormais en charge la configuration des dispositifs de quorum

Un dispositif quorum fait office de dispositif d'arbitrage tiers pour une grappe. Il est recommandé d'utiliser un dispositif quorum pour les grappes comportant un nombre pair de nœuds. Dans le cas des clusters à deux nœuds, l'utilisation d'un dispositif quorum permet de mieux déterminer quel nœud survit dans une situation de cerveau divisé. Vous pouvez maintenant configurer un dispositif de quorum avec le rôle système ha_cluster, à la fois qdevice pour une grappe et qnetd pour un nœud d'arbitrage.

Les dispositifs cryptographiques matériels peuvent désormais être automatiquement branchés à chaud

Auparavant, il n'était possible de définir des périphériques cryptographiques pour le passage que s'ils étaient présents sur l'hôte avant le démarrage du périphérique médiatisé. Désormais, vous pouvez définir une matrice de dispositif médiatisé qui répertorie tous les dispositifs cryptographiques que vous souhaitez transmettre à votre machine virtuelle (VM). Ainsi, les dispositifs cryptographiques spécifiés sont automatiquement transférés à la machine virtuelle en cours d'exécution s'ils deviennent disponibles ultérieurement. De même, si les périphériques deviennent indisponibles, ils sont supprimés de la machine virtuelle, mais le système d'exploitation invité continue à fonctionner normalement.

Amélioration des performances des périphériques PCI passthrough sur IBM Z

Avec cette mise à jour, l'implémentation du PCI passthrough sur le matériel IBM Z a été améliorée grâce à de multiples améliorations de la gestion des E/S. Par conséquent, les périphériques PCI transmis aux machines virtuelles KVM (VM) sur les hôtes IBM Z sont désormais nettement plus performants.

Nouveau paquet : passt

Cette mise à jour ajoute le paquetage passt, qui permet d'utiliser le back-end réseau en mode utilisateur passt pour les machines virtuelles.

affectation des périphériques zPCI

Il est désormais possible d'attacher des périphériques zPCI en tant que périphériques pass-through à des machines virtuelles (VM) hébergées sur RHEL fonctionnant sur du matériel IBM Z. Par exemple, cela permet d'utiliser des lecteurs flash NVMe dans les machines virtuelles.

Le service public sos passe à une cadence de mise à jour de 4 semaines

Au lieu de publier les mises à jour de sos avec les versions mineures de RHEL, la cadence de publication de l'utilitaire sos passe de 6 mois à 4 semaines. Vous pouvez trouver des détails sur les mises à jour du paquet sos dans le journal des modifications RPM toutes les 4 semaines ou vous pouvez lire un résumé des mises à jour sos dans les notes de mise à jour RHEL tous les 6 mois.

La commande sos clean obscurcit désormais les adresses IPv6

Auparavant, la commande sos clean n'obscurcissait pas les adresses IPv6, ce qui laissait des données sensibles dans le rapport sos. Avec cette mise à jour, sos clean détecte et obscurcit les adresses IPv6 comme prévu.

Le nouveau rôle de système podman RHEL est maintenant disponible

À partir de Podman 4.2, vous pouvez utiliser le rôle de système podman pour gérer la configuration de Podman, les conteneurs et les services systemd qui exécutent les conteneurs Podman.

Podman prend désormais en charge les événements pour l'audit

À partir de Podman v4.4, vous pouvez rassembler toutes les informations pertinentes sur un conteneur directement à partir d'un seul événement et de l'entrée journald. Pour activer l'audit de Podman, modifiez le fichier de configuration container.conf et ajoutez l'option events_container_create_inspect_data=true à la section [engine]. Les données sont au format JSON, le même que celui de la commande podman container inspect. Pour plus d'informations, voir Comment utiliser les nouveaux événements de conteneurs et les fonctionnalités d'audit dans Podman 4.4.

Le méta-paquet container-tools a été mis à jour

Le méta-paquet RPM container-tools, qui contient les outils Podman, Buildah, Skopeo, crun et runc, est désormais disponible. Cette mise à jour applique une série de corrections de bogues et d'améliorations par rapport à la version précédente.

Aardvark et Netavark prennent désormais en charge la sélection de serveurs DNS personnalisés

Les piles réseau Aardvark et Netavark prennent désormais en charge la sélection d'un serveur DNS personnalisé pour les conteneurs au lieu des serveurs DNS par défaut de l'hôte. Vous disposez de deux options pour spécifier le serveur DNS personnalisé :

Skopeo permet désormais de générer des paires de clés sigstore

Vous pouvez utiliser la commande skopeo generate-sigstore-key pour générer une paire de clés publiques/privées Sigstore. Pour plus d'informations, voir la page de manuel skopeo-generate-sigstore-key.

La boîte à outils est désormais disponible

Avec l'utilitaire toolbox, vous pouvez utiliser l'environnement de ligne de commande conteneurisé sans installer les outils de dépannage directement sur votre système. Toolbox s'appuie sur Podman et d'autres technologies de conteneurs standard de l'OCI. Pour plus d'informations, voir toolbx.

Les images des conteneurs ont désormais une étiquette à deux chiffres

Dans RHEL 9.0 et RHEL 9.1, les images de conteneurs avaient une étiquette à trois chiffres. À partir de RHEL 9.2, les images de conteneurs ont désormais une étiquette à deux chiffres.

Il est possible d'utiliser plusieurs clés GPG de confiance pour signer les images

Le fichier /etc/containers/policy.json prend en charge un nouveau champ keyPaths qui accepte une liste de fichiers contenant les clés de confiance. De ce fait, les images de conteneurs signées avec les clés GPG General Availability et Beta de Red Hat sont désormais acceptées dans la configuration par défaut.

Podman prend désormais en charge les crochets de pré-exécution

Les scripts d'extension appartenant à la racine et situés dans les répertoires /usr/libexec/podman/pre-exec-hooks et /etc/containers/pre-exec-hooks définissent un contrôle fin sur les opérations du conteneur, notamment en bloquant les actions non autorisées.

Les signatures sigstore sont maintenant disponibles

À partir de Podman 4.2, vous pouvez utiliser le format sigstore pour les signatures d'images de conteneurs. Les signatures sigstore sont stockées dans le registre des conteneurs avec l'image du conteneur, sans qu'il soit nécessaire d'avoir un serveur de signatures distinct pour stocker les signatures des images.

La boîte à outils permet de créer des conteneurs RHEL 9

Auparavant, l'utilitaire Toolbox ne prenait en charge que les images RHEL UBI 8. Avec cette version, Toolbox prend désormais également en charge RHEL UBI 9. Par conséquent, vous pouvez créer un conteneur Toolbox basé sur RHEL 8 ou 9.

Nouveau paquet : passt

Cette mise à jour ajoute le paquet passt, qui permet d'utiliser le réseau sans racine pasta pour les conteneurs.

Le programme d'installation affiche désormais correctement l'espace disque total dans le cas d'un partitionnement personnalisé avec des périphériques RAID multipath ou DDF

Auparavant, lorsque le partitionnement personnalisé était sélectionné dans l'installateur sur un système doté d'un périphérique RAID multipath ou DDF, l'espace disque total n'était pas indiqué correctement et les périphériques de disque membres étaient répertoriés comme étant disponibles pour le partitionnement.

L'installateur ajoute désormais correctement les options de configuration dans les fichiers yum repo

Auparavant, le programme d'installation n'ajoutait pas correctement les options de configuration dans les fichiers yum repo lors de l'inclusion et de l'exclusion de paquets provenant de dépôts d'installation supplémentaires. Avec cette mise à jour, les fichiers yum repo sont créés correctement. Par conséquent, l'utilisation des options --excludepkgs= ou --includepkgs= dans la commande repo kickstart exclut ou inclut les paquets spécifiés pendant l'installation, comme prévu.

L'utilisation de l'option DHCP filename ne bloque plus le téléchargement du fichier kickstart pour l'installation

Auparavant, lors de la création d'un chemin d'accès pour obtenir le fichier kickstart à partir d'un serveur NFS, le programme d'installation ne prenait pas en compte l'option DHCP filename. Par conséquent, le programme d'installation ne téléchargeait pas le fichier kickstart et bloquait le processus d'installation. Avec cette mise à jour, l'option DHCP filename construit correctement un chemin vers le fichier kickstart. Par conséquent, le fichier kickstart est téléchargé correctement et le processus d'installation démarre correctement.

Le programme d'installation crée désormais une nouvelle configuration de disque GPT lors du partitionnement personnalisé

Auparavant, le programme d'installation ne modifiait pas l'agencement du disque en GPT lorsque inst.gpt était spécifié sur la ligne de commande du noyau, et l'utilisateur supprimait toutes les partitions d'un disque avec l'agencement MBR sur le rayon de partitionnement personnalisé. Par conséquent, l'agencement du disque MBR est resté sur le disque.

L'installateur répertorie désormais toutes les partitions PPC PreP Boot ou BIOS Boot lors d'un partitionnement personnalisé

Auparavant, lors de l'ajout de plusieurs partitions PPC PreP Boot ou BIOS Boot pendant le partitionnement personnalisé, l'écran Partitionnement personnalisé n'affichait qu'une seule partition d'un type apparenté. Par conséquent, l'écran de partitionnement personnalisé ne reflétait pas l'état réel de la disposition de partitionnement prévue, ce qui rendait le processus de partitionnement difficile et non transparent.

Le gestionnaire d'abonnement ne refuse plus l'enregistrement et la récupération du contenu Red Hat

Auparavant, subscription-manager fonctionnait en mode conteneur lorsqu'il était exécuté sous OpenShift Container Platform (OCP) en raison de l'amélioration de la logique de détection des conteneurs dans RHEL 9. Par conséquent, le système n'était pas en mesure d'utiliser les informations d'identification de l'abonnement fournies et ne récupérait donc pas le contenu Red Hat.

subscription-manager ne conserve plus le texte non essentiel dans le terminal

À partir de RHEL 9.1, subscription-manager affiche des informations de progression pendant le traitement de toute opération. Auparavant, pour certaines langues, généralement non latines, les messages de progression n'étaient pas nettoyés à la fin de l'opération. Avec cette mise à jour, tous les messages sont nettoyés correctement à la fin de l'opération.

RPM ne se bloque plus lors d'une transaction impliquant le redémarrage du service fapolicyd

Auparavant, si vous essayiez de mettre à jour un paquet qui entraînait le redémarrage du service fapolicyd, par exemple systemd, la transaction RPM cessait de répondre parce que le plug-in fapolicyd ne parvenait pas à communiquer avec le démon fapolicyd.

L'annulation d'une transaction de mise à niveau DNF est désormais possible pour un groupe de paquets ou un environnement

Auparavant, la commande dnf history rollback échouait lors d'une tentative d'annulation d'une transaction de mise à niveau pour un groupe de paquets ou un environnement.

La mise à jour des DNF de sécurité est désormais possible pour les paquets dont l'architecture est modifiée par la mise à jour

Le correctif pour BZ#2108969 introduit avec RHBA-2022:8295 a causé une régression où la mise à niveau DNF utilisant des filtres de sécurité a ignoré les paquets qui ont changé leur architecture de ou à noarch à travers la mise à niveau. Par conséquent, les mises à jour de sécurité manquantes pour ces paquets pouvaient laisser le système dans un état vulnérable.

Les fichiers Qt message QM avec des noms de 3 lettres sont maintenant empaquetés lorsqu'un paquet RPM est construit ou reconstruit

Auparavant, le script find-lang.sh ne pouvait pas trouver les fichiers Qt message QM (.qm) dont les noms étaient composés de 3 caractères. Par conséquent, ces fichiers n'étaient pas ajoutés à un paquetage RPM.

ReaR gère correctement les DASD exclus sur l'architecture IBM Z

Auparavant, sur l'architecture IBM Z, ReaR reformatait tous les périphériques de stockage à accès direct (DASD) connectés pendant le processus de récupération, y compris les DASD que les utilisateurs excluaient de la configuration sauvegardée et dont ils n'avaient pas l'intention de restaurer le contenu. Par conséquent, si vous excluiez certains DASD de la configuration sauvegardée, leurs données étaient perdues lors de la restauration du système. Avec cette mise à jour, ReaR ne formate plus les DASD exclus lors de la restauration du système, y compris le périphérique à partir duquel le système de secours ReaR a été démarré (à l'aide du chargeur de démarrage zIPL). Vous êtes également invité à confirmer le script de formatage du DASD avant que ReaR ne reformate les DASD. Cela permet de s'assurer que les données des DASD exclus survivent à une restauration du système.

ReaR n'échoue plus à restaurer des systèmes de fichiers XFS non-LVM

Auparavant, lorsque vous utilisiez ReaR pour restaurer un système de fichiers XFS non LVM avec certains paramètres et un mappage de disque, ReaR créait le système de fichiers avec les paramètres par défaut au lieu des paramètres spécifiés. Par exemple, si vous aviez un système de fichiers avec les paramètres sunit et swidth définis sur des valeurs non nulles et que vous restauriez le système de fichiers à l'aide de ReaR avec un mappage de disque, le système de fichiers était créé avec les paramètres par défaut sunit et swidth en ignorant les valeurs spécifiées. En conséquence, ReaR échouait lors du montage du système de fichiers avec des options XFS spécifiques. Avec cette mise à jour, ReaR restaure correctement le système de fichiers avec les paramètres spécifiés.

wsmancli gère correctement les statuts HTTP 401 non autorisés

L'utilitaire wsmancli pour la gestion des systèmes utilisant le protocole de gestion des services Web gère désormais l'authentification pour mieux se conformer à la RFC 2616.

USBGuard enregistre les règles même si RuleFile n'est pas défini

Auparavant, si la directive de configuration RuleFile dans USBGuard était définie mais que RuleFolder ne l'était pas, le jeu de règles ne pouvait pas être modifié. Avec cette mise à jour, vous pouvez désormais modifier le jeu de règles même si RuleFolder est défini mais pas RuleFile. Par conséquent, vous pouvez modifier la politique permanente dans USBGuard pour enregistrer de manière permanente les règles nouvellement ajoutées.

python-sqlalchemy repassé à la version 1.4.45

Le paquetage python-sqlalchemy a été rebasé à la version 1.4.45, qui apporte de nombreuses corrections de bogues par rapport à la version 1.4.37. Cette version contient notamment un correctif pour un bogue de mémoire critique dans la génération de la clé de cache.

crypto-policies désactive maintenant NSEC3DSA pour BIND

Auparavant, les règles cryptographiques applicables à l'ensemble du système ne contrôlaient pas l'algorithme NSEC3DSA dans la configuration de BIND. Par conséquent, NSEC3DSA, qui ne répond pas aux exigences de sécurité actuelles, n'était pas désactivé sur les serveurs DNS. Avec cette mise à jour, toutes les politiques cryptographiques désactivent par défaut NSEC3DSA dans la configuration BIND.

OpenSSL dans SECLEVEL=3 fonctionne désormais avec les suites de chiffrement PSK

Auparavant, les suites de chiffrement à clé pré-partagée (PSK) n'étaient pas reconnues comme des méthodes d'échange de clés à secret parfait (PFS). Par conséquent, les suites de chiffrement ECDHE-PSK et DHE-PSK ne fonctionnaient pas avec OpenSSL configuré sur SECLEVEL=3, par exemple, lorsque la politique cryptographique du système était définie sur FUTURE. La nouvelle version du paquet openssl corrige ce problème.

Clevis saute désormais correctement les dispositifs commentés dans les crypttab

Auparavant, Clevis essayait de déverrouiller les périphériques commentés dans le fichier crypttab, ce qui entraînait l'exécution du service clevis-luks-askpass même si le périphérique n'était pas valide. Cela entraînait des exécutions de service inutiles et rendait le dépannage difficile.

Clevis ne demande plus trop d'entropie de la part de pwmake

Auparavant, l'utilitaire de génération de mots de passe pwmake affichait des avertissements indésirables lorsque Clevis utilisait pwmake pour créer des mots de passe destinés à stocker des données dans les métadonnées LUKS, ce qui amenait Clevis à utiliser une entropie plus faible. Avec cette mise à jour, Clevis est limité à 256 bits d'entropie fournis à pwmake, ce qui élimine l'avertissement indésirable et utilise la quantité correcte d'entropie.

USBGuard ne provoque plus d'avertissement déroutant

Auparavant, une condition de course pouvait se produire dans USBGuard lorsqu'un processus parent se terminait plus tôt que le premier processus enfant. En conséquence, systemd signalait qu'un processus était présent avec un PID parent (PPID) mal identifié. Avec cette mise à jour, un processus parent attend que le premier processus enfant se termine en mode travail. Par conséquent, systemd ne signale plus ce type d'avertissement.

L'OOM killer ne met plus fin prématurément à usbguard

Auparavant, le fichier usbguard.service ne contenait pas de définition de l'option OOMScoreAdjust pour le service systemd. Par conséquent, lorsque le système manquait de ressources, le processus usbguard-daemon pouvait être interrompu avant d'autres processus non privilégiés. Avec cette mise à jour, le fichier usbguard.service contient désormais l'option OOMScoreAdjust, ce qui évite que le processus usbguard-daemon ne soit interrompu prématurément par un tueur en mémoire (Out-of-Memory, OOM).

logrotate ne signale plus incorrectement Rsyslog dans la rotation des journaux

Auparavant, l'ordre des arguments était mal défini dans le script logrotate, ce qui provoquait une erreur de syntaxe. De ce fait, logrotate ne signalait pas correctement Rsyslog lors de la rotation des journaux.

imklog ne fait plus appel à free() pour les objets manquants

Auparavant, le module imklog appelait une fonction free() sur un objet déjà libéré. Par conséquent, imklog pouvait provoquer une erreur de segmentation. Avec cette mise à jour, l'objet n'est plus libéré deux fois.

fagenrules --load fonctionne désormais correctement

Auparavant, le service fapolicyd ne gérait pas correctement le signal de raccrochage (SIGHUP). Par conséquent, fapolicyd se terminait après avoir reçu le signal SIGHUP et la commande fagenrules --load ne fonctionnait pas correctement. Cette mise à jour contient un correctif pour ce problème. Par conséquent, fagenrules --load fonctionne désormais correctement et les mises à jour des règles ne nécessitent plus le redémarrage manuel de fapolicyd.

Les analyses et les remédiations ignorent correctement les règles d'audit SCAP Clé d'audit

Auparavant, les règles de surveillance d'audit définies sans clé d'audit (clé-k ou -F ) rencontraient les problèmes suivants :

Keylime n'échoue plus dans l'attestation des systèmes qui accèdent à plusieurs fichiers mesurés par l'IMA

Auparavant, si un système qui exécute l'agent Keylime accédait à plusieurs fichiers mesurés par l'architecture de mesure de l'intégrité (IMA) en succession rapide, le vérificateur Keylime traitait incorrectement les ajouts au journal de l'IMA. En conséquence, le hachage en cours d'exécution ne correspondait pas à l'état correct du registre de configuration de la plate-forme (PCR), et le système échouait à l'attestation. Cette mise à jour corrige le problème et les systèmes qui accèdent rapidement à plusieurs fichiers mesurés n'échouent plus à l'attestation.

Le script de génération de la politique Keylime ne provoque plus d'erreur de segmentation ni de vidage du noyau

Le script create_mb_refstate génère des politiques pour l'attestation de démarrage mesurée dans Keylime. Auparavant, create_mb_refstate calculait incorrectement la longueur des données dans le champ DevicePath. En conséquence, le script essayait d'accéder à une mémoire invalide en utilisant la longueur incorrectement calculée, ce qui entraînait une erreur de segmentation et un vidage du noyau.

Les certificats TPM ne font plus planter le registraire Keylime

Auparavant, certains certificats dans le magasin de certificats de Keylime TPM étaient des certificats x509 malformés et provoquaient le plantage du registraire de Keylime. Cette mise à jour corrige le problème, et le registraire Keylime ne se bloque plus à cause de certificats malformés.

NetworkManager préserve désormais les adresses IP lors de la réapplication avant l'acquisition d'un nouveau bail DHCP

Auparavant, après avoir modifié les paramètres de connexion et utilisé la commande nmcli device reapply, NetworkManager n'a pas conservé le bail DHCP. Par conséquent, l'adresse IP était temporairement supprimée. Avec cette correction, NetworkManager préserve le bail DHCP et l'utilise jusqu'à ce qu'il expire ou que le client en demande un nouveau. Par conséquent, lorsque la commande nmcli device reapply redémarre le client DHCP, elle ne supprime pas temporairement l'adresse IP.

Le service firewalld ne déclenche désormais l'avertissement de dépréciation de ipset que lors de l'utilisation de règles directes

Auparavant, le service firewalld utilisait le module de noyau ipset obsolète alors que ce n'était pas nécessaire. Par conséquent, RHEL consignait l'avertissement de dépréciation du module, ce qui pouvait être trompeur car la fonctionnalité ipset de firewalld n'est pas dépréciée. Avec cette mise à jour, firewalld n'utilise que le module obsolète ipset et enregistre l'avertissement si l'utilisateur utilise explicitement ipsets avec l'option --direct.

L'interface HNV affiche désormais les options après le redémarrage

Auparavant, l'utilitaire nmcli a créé un lien de virtualisation de réseau hybride (HNV) à l'aide de l'API NetworkManager. Par conséquent, après un redémarrage, le lien HNV perdait le paramètre du port primaire. Avec cette correction, nmcli utilise désormais hcnmgr pour définir les options de liaison pour le port primaire. L'utilitaire hcnmgr prend en charge la migration des partitions actives avec la virtualisation d'entrée/sortie à racine unique (SR-IOV) pour les réseaux hybrides. Par conséquent, l'interface de liaison HNV affiche l'option active slave/primary_reselect après le redémarrage.

FADump activé avec Secure Boot fonctionne correctement

Auparavant, lorsque la fonction FADump (Firmware Assisted Dump) était activée dans l'environnement Secure Boot et que l'un des composants de démarrage dépassait la zone de mémoire allouée, les redémarrages du système provoquaient un état GRUB Out of Memory (OOM). Cette mise à jour apporte une correction dans kexec-tools afin que Secure Boot et FADump fonctionnent correctement ensemble.

grubby transmet désormais correctement les arguments à un nouveau noyau

Lorsque vous ajoutez un nouveau noyau à l'aide de l'outil grubby et que vous ne spécifiez aucun argument, ou que vous laissez les arguments vides, grubby ne transmettra aucun argument au nouveau noyau et root ne sera pas défini. L'utilisation des options --args et --copy-default permet de s'assurer que les nouveaux arguments sont ajoutés aux arguments par défaut.

Le programme d'installation crée des périphériques LUKSv2 avec une taille de secteur de 512 octets

Auparavant, le programme d'installation RHEL créait des périphériques LUKSv2 avec des secteurs de 4096 octets si le disque avait des secteurs physiques de 4096 octets. Avec cette mise à jour, le programme d'installation crée désormais des périphériques LUKSv2 avec une taille de secteur de 512 octets afin d'offrir une meilleure compatibilité de disque avec différentes tailles de secteur physique utilisées ensemble dans un groupe de volumes LVM, même lorsque les volumes physiques LVM sont chiffrés.

supported_speeds sysfs l'attribut indique des valeurs de vitesse correctes

Auparavant, en raison d'une définition incorrecte dans le pilote qla2xxx, l'attribut supported_speeds sysfs pour le HBA indiquait une vitesse de 20 Gb/s au lieu de la vitesse attendue de 64 Gb/s. Par conséquent, si l'adaptateur de bus hôte prenait en charge une vitesse de liaison de 64 Gb/s, la valeur de supported_speeds sysfs était incorrecte, ce qui affectait la valeur de la vitesse signalée.

pcs ne permet plus de modifier les propriétés d'un cluster qui ne devraient pas être modifiées

Auparavant, l'interface de ligne de commande pcs vous permettait de modifier les propriétés de la grappe qui ne devraient pas être modifiées ou pour lesquelles la modification n'a pas d'effet. Avec cette correction, pcs ne vous permet plus de modifier ces propriétés de cluster : cluster-infrastructure, cluster-name, dc-version, have-watchdog, et last-lrm-refresh.

pcs affiche désormais les propriétés du cluster qui ne sont pas explicitement configurées

Auparavant, la commande pcs permettant d'afficher la valeur d'une propriété de cluster spécifique ne répertoriait pas les valeurs qui n'étaient pas explicitement configurées dans la CIB. Avec cette correction, si une propriété de cluster n'est pas définie, pcs affiche la valeur par défaut de la propriété.

Les ressources du cluster qui font appel à crm_mon s'arrêtent désormais proprement lors de la fermeture

Auparavant, l'utilitaire crm_mon renvoyait un état de sortie non nul alors que Pacemaker était en cours d'arrêt. Les agents de ressources qui appelaient crm_mon dans leur action de surveillance, tels que ocf:heartbeat:pqsql, pouvaient incorrectement renvoyer un échec lors de l'arrêt du cluster. Avec cette correction, crm_mon renvoie un succès même si le cluster est en cours d'arrêt. Les ressources qui appellent crm_mon s'arrêtent maintenant proprement lors de l'arrêt du cluster.

Les actions de métadonnées de l'agent de ressources OCF peuvent désormais appeler crm_node sans provoquer de clôtures inattendues

Depuis RHEL 8.5, les actions de métadonnées de l'agent de ressources OCF bloquent le contrôleur et les requêtes crm_node exécutent les demandes du contrôleur. Par conséquent, si l'action de métadonnées d'un agent appelle crm_node, elle bloque le contrôleur pendant 30 secondes jusqu'à ce que l'action se termine. Cela peut entraîner l'échec d'autres actions et la clôture du nœud.

Pacemaker revérifie désormais les affectations de ressources immédiatement lorsque l'ordre des ressources est modifié

Depuis RHEL 8.7, Pacemaker ne revérifie pas les affectations de ressources lorsque l'ordre des ressources dans la CIB change sans que la définition des ressources ne soit modifiée. Si la réorganisation de la configuration entraînait un déplacement des ressources, celui-ci n'avait pas lieu avant la prochaine transition naturelle, jusqu'à la valeur de cluster-recheck-interval-property. Cela pouvait poser des problèmes si l'adhérence des ressources n'était pas configurée pour une ressource.

L'activation d'une ressource unique et d'une opération de surveillance ne permet plus d'effectuer des opérations de surveillance pour toutes les ressources d'un groupe de ressources

Auparavant, après avoir supprimé la gestion de toutes les ressources et opérations de surveillance dans un groupe de ressources, la gestion d'une des ressources de ce groupe avec son opération de surveillance réactivait les opérations de surveillance pour toutes les ressources du groupe de ressources. Cela pouvait entraîner un comportement inattendu de la grappe.

La recherche DNS peut désormais aboutir même si certains enregistrements CNAME sont invalides

Auparavant, le résolveur de stub DNS glibc traitait les enregistrements CNAME avec des noms de propriétaires qui ne sont pas des noms d'hôtes comme des erreurs de paquets DNS. Par conséquent, la requête DNS échouait à cause des erreurs de paquets DNS. Avec cette mise à jour, le résolveur de stub glibc ignore désormais les enregistrements CNAME invalides et les informations d'alias correspondantes ne sont pas extraites. Par conséquent, les recherches DNS peuvent maintenant réussir même si la réponse du serveur inclut une chaîne CNAME qui contient un nom de domaine qui n'est pas un nom d'hôte.

golang supporte désormais les clés de 4096 bits en mode x509 FIPS

Auparavant, golang ne prenait pas en charge les clés de 4096 bits en mode x509 FIPS. Par conséquent, lorsque l'utilisateur utilisait des clés de 4096 bits, le programme se bloquait. Avec cette mise à jour, golang prend désormais en charge les clés de 4096 bits en mode x509 FIPS.

Vous pouvez installer SciPy à l'aide de pip sur toutes les architectures

Auparavant, le paquetage openblas-devel ne contenait pas de fichier pkg-config pour la bibliothèque OpenBLAS. Par conséquent, dans certains cas, il était impossible de déterminer les drapeaux du compilateur et de l'éditeur de liens à l'aide de l'utilitaire pkgconf lors de la compilation avec OpenBLAS. Par exemple, cela a provoqué l'échec de la commande pip install scipy sur les architectures 64 bits IBM Z et IBM Power Systems, Little Endian.

La fonction tzset de glibc attribue désormais une valeur non nulle à la variable "lumière du jour" si les données TZ contiennent une règle d'heure avancée

Auparavant, la fonction tzset de glibc définissait la variable daylight à 0 si la dernière transition DST dans le fichier de données du fuseau horaire n'entraînait pas de changement d'horloge en raison d'un changement simultané du décalage de l'heure standard. Par conséquent, lorsque les applications utilisent la variable daylight pour vérifier si l'heure d'été a été active, elles n'obtiennent pas le bon résultat et effectuent des actions incorrectes sur la base de cette information. Pour remédier à ce problème, la fonction tzset attribue désormais une valeur non nulle à la variable daylight s'il existe une règle DST dans les données du fuseau horaire, quel que soit le décalage. Par conséquent, les applications observent désormais la présence de règles d'heure avancée, indépendamment des changements de décalage.

L'implémentation OpenJDK RSAPSSSignature valide désormais les clés RSA avant de les utiliser

Auparavant, l'implémentation de RSAPSSSignature dans OpenJDK ne vérifiait pas complètement si des clés RSA données pouvaient être utilisées par le fournisseur SunRSASign avant de tenter de les utiliser, ce qui entraînait des erreurs lors de l'utilisation de fournisseurs de sécurité personnalisés. Le bogue est maintenant corrigé et, par conséquent, l'implémentation de RSAPSSSignature valide désormais les clés RSA et permet à d'autres fournisseurs de gérer ces clés lorsqu'elle ne le peut pas.

Le fournisseur de signature XML d'OpenJDK est maintenant fonctionnel en mode FIPS

Auparavant, le fournisseur de signature XML d'OpenJDK ne pouvait pas fonctionner en mode FIPS. Grâce aux améliorations apportées au support du mode FIPS, le fournisseur de signature XML d'OpenJDK est désormais activé en mode FIPS.

OpenJDK en mode FIPS ne rencontre plus d'erreurs inattendues avec certains jetons PKCS#11

Auparavant, certains jetons PKCS#11 n'étaient pas complètement initialisés avant d'être utilisés par OpenJDK en mode FIPS, ce qui entraînait des erreurs inattendues. Avec cette mise à jour, ces erreurs sont désormais attendues et gérées par le code de support FIPS.

L'authentification auprès d'IdP externes nécessitant un secret client est désormais possible

Auparavant, SSSD ne transmettait pas correctement les secrets client aux fournisseurs d'identité externes (IdP). Par conséquent, l'authentification échouait contre les IdP externes que vous aviez précédemment configurés avec la commande ipa idp-add --secret pour exiger un secret client. Avec cette mise à jour, SSSD transmet le secret client à l'IdP et les utilisateurs peuvent s'authentifier.

IdM prend désormais en charge la définition des masques d'hôtes pour les règles sudo à l'aide d'Ansible

Auparavant, la commande ipa sudorule-add-host permettait de définir un masque d'hôte à utiliser par la règle sudo, mais cette option n'était pas présente dans le paquet ansible-freeipa. Avec cette mise à jour, vous pouvez désormais utiliser la variable ansible-freeipa hostmask pour définir une liste de masques d'hôtes auxquels s'applique une règle sudo particulière, définie dans Identity Management (IdM).

L'utilitaire dscreate fonctionne désormais correctement lorsqu'il utilise un chemin personnalisé avec le paramètre db_dir

Auparavant, une instance qui utilisait des chemins d'accès personnalisés n'arrivait pas à démarrer parce que les répertoires personnalisés avaient une mauvaise étiquette SELinux. En conséquence, SELinux refusait l'accès à ces répertoires et l'instance n'était pas créée. Avec cette version, l'utilitaire dscreate définit les étiquettes SELinux correctes pour les répertoires d'instance personnalisés.

Un changement de mot de passe pour le compte du gestionnaire de réplication du serveur d'annuaire fonctionne désormais correctement

Auparavant, après un changement de mot de passe, Directory Server ne mettait pas correctement à jour le cache de mot de passe pour l'accord de réplication. Par conséquent, lorsque vous changiez le mot de passe du compte du gestionnaire de réplication, la réplication échouait. Avec cette mise à jour, Directory Server met correctement à jour le cache et, par conséquent, la réplication fonctionne comme prévu.

Le programme d'installation du client IdM ne spécifie plus la configuration de l'autorité de certification TLS dans le fichier ldap.conf

Auparavant, le programme d'installation du client IdM spécifiait la configuration de l'autorité de certification TLS dans le fichier ldap.conf. Avec cette mise à jour, OpenLDAP utilise le magasin de confiance par défaut et le programme d'installation du client IdM ne définit pas la configuration de l'autorité de certification TLS dans le fichier ldap.conf.

Le rôle du système nbde_client gère désormais correctement les différents noms de clevis-luks-askpass

Le rôle de système nbde_client a été mis à jour pour gérer les systèmes sur lesquels l'unité clevis-luks-askpass systemd a un nom différent. Le rôle fonctionne désormais correctement avec les différents noms de clevis-luks-askpass sur les nœuds gérés, ce qui nécessite de déverrouiller également les volumes cryptés LUKS qui se montent tardivement dans le processus de démarrage.

Les journaux des rôles du système ha_cluster n'affichent plus les mots de passe et les secrets non chiffrés

Le rôle de système ha_cluster accepte des paramètres qui peuvent être des mots de passe ou d'autres secrets. Auparavant, certaines tâches consignaient leurs entrées et sorties. Par conséquent, les journaux des rôles pouvaient contenir des mots de passe non cryptés et d'autres secrets.

Les clusters configurés avec le rôle de système ha_cluster pour utiliser le SBD et ne pas démarrer au démarrage fonctionnent désormais correctement

Auparavant, si un utilisateur configurait un cluster à l'aide du rôle système ha_cluster pour utiliser le SBD et ne pas démarrer au démarrage, le service SBD était désactivé et le SBD ne démarrait pas. Avec cette correction, le service SBD est toujours activé si un cluster est configuré pour utiliser le SBD, qu'il soit ou non configuré pour démarrer au démarrage.

L'activation du fournisseur de fichiers implicites permet de corriger la configuration de cockpit-session-recording SSSD

Un fournisseur de fichiers implicites SSSD désactivé entraînait la création d'une configuration SSSD (System Security Services Daemon) invalide par les modules cockpit-session-recording. Cette mise à jour active inconditionnellement le fournisseur de fichiers et, par conséquent, la configuration SSSD créée par cockpit-session-recording fonctionne désormais comme prévu.

Le rôle nbde_client_clevis ne signale plus de traceback aux utilisateurs

Auparavant, le rôle nbde_client_clevis échouait parfois dans une exception, ce qui entraînait un retour en arrière et la communication de données sensibles, telles que le champ encryption_password, à l'utilisateur. Avec cette mise à jour, le rôle ne signale plus de données sensibles, mais uniquement les messages d'erreur appropriés.

La définition de la propriété stonith-watchdog-timeout avec le rôle de système ha_cluster fonctionne désormais dans un cluster arrêté

Auparavant, lorsque vous définissiez la propriété stonith-watchdog-timeout avec le rôle système ha_cluster dans un cluster arrêté, la propriété reprenait sa valeur précédente et le rôle échouait. Avec cette correction, la configuration de la propriété stonith-watchdog-timeout à l'aide du rôle système ha_cluster fonctionne correctement.

Le trafic réseau est désormais dirigé vers l'interface réseau prévue lors de l'utilisation de initscripts avec le rôle de système RHEL networking

Auparavant, lors de l'utilisation du fournisseur initscripts, la configuration du routage pour les connexions réseau ne spécifiait pas le périphérique de sortie par lequel le trafic devait passer. Par conséquent, le noyau pouvait utiliser un périphérique de sortie différent de celui prévu par l'utilisateur. Désormais, si le nom de l'interface réseau est spécifié dans le playbook pour la connexion, il est utilisé comme périphérique de sortie dans le fichier de configuration de l'itinéraire. Cela aligne le comportement avec NetworkManager, qui configure le périphérique de sortie dans les routes lors de l'activation des profils sur les périphériques. Ainsi, les utilisateurs peuvent s'assurer que le trafic est dirigé vers l'interface réseau prévue.

Le rôle selinux gère désormais les modules de politique de manière idempotente

Auparavant, le rôle selinux copiait un module existant sur le nœud géré à chaque fois, signalant un changement même si le module était déjà présent. Avec cette mise à jour, le rôle selinux vérifie si le module a été installé sur le nœud géré et ne tente pas de copier et d'installer le module s'il est déjà installé.

L'heure système sur les VM imbriquées fonctionne désormais de manière fiable

Auparavant, l'heure système des machines virtuelles (VM) imbriquées était parfois désynchronisée par rapport aux hôtes de niveau 0 et de niveau 1. Il arrivait également que la machine virtuelle imbriquée ne réponde plus ou se termine de manière inattendue.

Le démarrage des VM sur IBM Z n'échoue plus lors de l'utilisation de memfd memory backing

Auparavant, sur les hôtes IBM Z, les machines virtuelles (VM) ne démarraient pas si elles étaient configurées pour utiliser le type memfd de support de mémoire hugepage, par exemple comme suit :

VNC peut désormais se connecter de manière fiable aux machines virtuelles UEFI après migration

Auparavant, si vous activiez ou désactiviez une file d'attente de messages lors de la migration d'une machine virtuelle (VM), le client Virtual Network Computing (VNC) ne parvenait pas à se connecter à la VM une fois la migration terminée.

Le programme d'installation affiche le disque système prévu pour l'installation de RHEL sur la VM

Auparavant, lors de l'installation de RHEL sur une VM utilisant des périphériques virtio-scsi, il était possible que ces périphériques n'apparaissent pas dans le programme d'installation en raison d'un bogue de device-mapper-multipath. Par conséquent, lors de l'installation, si certains périphériques disposaient d'un jeu de série et d'autres non, la commande multipath réclamait tous les périphériques disposant d'un jeu de série. De ce fait, le programme d'installation n'a pas pu trouver le disque système attendu pour installer RHEL dans la VM.

Les périphériques NVMe sur Fibre Channel sont désormais disponibles dans le programme d'installation RHEL en tant qu'aperçu technologique

Vous pouvez désormais ajouter des périphériques NVMe over Fibre Channel à votre installation RHEL en tant qu'aperçu technologique. Dans RHEL Installer, vous pouvez sélectionner ces périphériques dans la section NVMe Fabrics Devices lors de l'ajout de disques sur l'écran Destination de l'installation.

GIMP disponible en avant-première technologique dans RHEL 9

GNU Image Manipulation Program (GIMP) 2.99.8 est maintenant disponible dans RHEL 9 en tant qu'aperçu technologique. La version 2.99.8 du paquet gimp est une pré-version avec un ensemble d'améliorations, mais un ensemble limité de fonctionnalités et aucune garantie de stabilité. Dès que la version officielle de GIMP 3 sera publiée, elle sera introduite dans RHEL 9 en tant que mise à jour de cette version préliminaire.

L'API Socket pour TuneD est disponible en avant-première technologique

L'API socket permettant de contrôler TuneD par l'intermédiaire d'un socket de domaine Unix est désormais disponible en tant qu'aperçu technologique. L'API socket correspond à l'API D-Bus et fournit une méthode de communication alternative pour les cas où D-Bus n'est pas disponible. En utilisant l'API socket, vous pouvez contrôler le démon TuneD pour optimiser les performances et modifier les valeurs de divers paramètres de réglage. L'API socket est désactivée par défaut, vous pouvez l'activer dans le fichier tuned-main.conf.

gnutls utilise désormais KTLS en tant qu'avant-première technologique

Les paquets gnutls mis à jour peuvent utiliser Kernel TLS (KTLS) pour accélérer le transfert de données sur des canaux cryptés en tant qu'aperçu technologique. Pour activer KTLS, ajoutez le module de noyau tls.ko à l'aide de la commande modprobe, et créez un nouveau fichier de configuration /etc/crypto-policies/local.d/gnutls-ktls.txt pour les politiques cryptographiques du système avec le contenu suivant :

WireGuard VPN est disponible en avant-première technologique

WireGuard, que Red Hat fournit en tant qu'aperçu technologique non pris en charge, est une solution VPN de haute performance qui fonctionne dans le noyau Linux. Elle utilise une cryptographie moderne et est plus facile à configurer que d'autres solutions VPN. En outre, la petite base de code de WireGuard réduit la surface d'attaque et, par conséquent, améliore la sécurité.

KTLS disponible en avant-première technologique

RHEL fournit Kernel Transport Layer Security (KTLS) en tant qu'aperçu technologique. KTLS traite les enregistrements TLS à l'aide des algorithmes de chiffrement ou de déchiffrement symétriques du noyau pour le chiffrement AES-GCM. KTLS inclut également l'interface permettant de décharger le chiffrement des enregistrements TLS sur les contrôleurs d'interface réseau (NIC) qui fournissent cette fonctionnalité.

Le service systemd-resolved est disponible en tant qu'aperçu technologique

Le service systemd-resolved fournit la résolution de noms aux applications locales. Le service met en œuvre un résolveur de stub DNS avec mise en cache et validation, un résolveur et un répondeur de DNS multidiffusion (Link-Local Multicast Name Resolution - LLMNR) et de DNS multidiffusion.

SGX disponible en avant-première technologique

Software Guard Extensions (SGX) est une technologie Intel® destinée à protéger le code et les données des logiciels contre la divulgation et la modification. Le noyau RHEL fournit partiellement les fonctionnalités SGX v1 et v1.5. La version 1 permet aux plateformes utilisant le mécanisme Flexible Launch Control d'utiliser la technologie SGX.

Le pilote Intel data streaming accelerator pour le noyau est disponible en tant qu'aperçu technologique

Le pilote de l'accélérateur de flux de données Intel (IDXD) pour le noyau est actuellement disponible en tant qu'aperçu technologique. Il s'agit d'un accélérateur intégré au processeur Intel qui comprend la file d'attente partagée avec la soumission de l'espace d'adressage du processus (pasid) et la mémoire virtuelle partagée (SVM).

Le pilote Soft-iWARP est disponible en tant qu'aperçu technologique

Soft-iWARP (siw) est un logiciel, Internet Wide-area RDMA Protocol (iWARP), pilote de noyau pour Linux. Soft-iWARP met en œuvre la suite de protocoles iWARP sur la pile réseau TCP/IP. Cette suite de protocoles est entièrement mise en œuvre dans le logiciel et ne nécessite pas de matériel RDMA (Remote Direct Memory Access) spécifique. Soft-iWARP permet à un système doté d'un adaptateur Ethernet standard de se connecter à un adaptateur iWARP ou à un autre système sur lequel Soft-iWARP est déjà installé.

SGX disponible en avant-première technologique

Software Guard Extensions (SGX) est une technologie Intel® destinée à protéger le code et les données des logiciels contre la divulgation et la modification. Le noyau RHEL fournit partiellement les fonctionnalités SGX v1 et v1.5. La version 1 permet aux plateformes utilisant le mécanisme Flexible Launch Control d'utiliser la technologie SGX. La version 2 ajoute Enclave Dynamic Memory Management (EDMM). Les caractéristiques notables sont les suivantes

rvu_af, rvu_nicpf, et rvu_nicvf disponibles sous forme d'aperçu technologique

Les modules de noyau suivants sont disponibles en tant qu'aperçu technologique pour la famille de processeurs d'infrastructure Marvell OCTEON TX2 :

DAX est maintenant disponible pour ext4 et XFS en tant qu'aperçu technologique

Dans RHEL 9, le système de fichiers DAX est disponible en tant qu'aperçu technologique. DAX permet à une application de mapper directement la mémoire persistante dans son espace d'adressage. Pour utiliser DAX, un système doit disposer d'une certaine forme de mémoire persistante, généralement sous la forme d'un ou plusieurs modules de mémoire double en ligne non volatile (NVDIMM), et un système de fichiers compatible DAX doit être créé sur le(s) module(s) NVDIMM. Le système de fichiers doit également être monté avec l'option de montage dax. Ensuite, mmap d'un fichier sur le système de fichiers monté sur dax entraîne un mappage direct du stockage dans l'espace d'adressage de l'application.

Stratis est disponible en avant-première technologique

Stratis est un gestionnaire de stockage local. Il fournit des systèmes de fichiers gérés au-dessus des pools de stockage avec des fonctionnalités supplémentaires pour l'utilisateur :

Fonctionnalités du service de découverte NVMe-oF disponibles en tant qu'aperçu technologique

Les fonctions du service de découverte NVMe-oF, définies dans les propositions techniques (TP) 8013 et 8014 de NVMexpress.org, sont disponibles en tant qu'aperçu technologique. Pour obtenir un aperçu de ces fonctionnalités, utilisez le paquetage nvme-cli 2.0 et attachez l'hôte à un périphérique cible NVMe-oF qui implémente le TP-8013 ou le TP-8014. Pour plus d'informations sur les TP-8013 et TP-8014, voir les TPs NVM Express 2.0 Ratifiés sur le site web https://nvmexpress.org/specifications/.

nvme-stas disponible en avant-première technologique

Le paquetage nvme-stas, qui est un client Central Discovery Controller (CDC) pour Linux, est maintenant disponible en tant qu'aperçu technologique. Il gère les notifications d'événements asynchrones (AEN), les contrôles automatisés des connexions au sous-système NVMe, la gestion et le signalement des erreurs, ainsi que la configuration automatique (zeroconf) et manuelle.

L'authentification en bande NVMe TP 8006 est disponible en tant qu'aperçu technologique

L'implémentation du TP 8006 de Non-Volatile Memory Express (NVMe), qui est une authentification en bande pour NVMe over Fabrics (NVMe-oF), est maintenant disponible en tant qu'aperçu technologique non pris en charge. La proposition technique NVMe 8006 définit le protocole d'authentification en bande DH-HMAC-CHAP pour NVMe-oF, qui est fourni avec cette amélioration.

jmc-core et owasp-java-encoder disponible en avant-première technologique

RHEL 9 est distribué avec les paquets jmc-core et owasp-java-encoder en tant que fonctionnalités Technology Preview pour les architectures AMD et Intel 64 bits.

DNSSEC disponible en tant qu'aperçu technologique dans IdM

Les serveurs de gestion de l'identité (IdM) avec DNS intégré mettent désormais en œuvre les extensions de sécurité DNS (DNSSEC), un ensemble d'extensions du DNS qui renforcent la sécurité du protocole DNS. Les zones DNS hébergées sur les serveurs IdM peuvent être automatiquement signées à l'aide de DNSSEC. Les clés cryptographiques sont générées automatiquement et font l'objet d'une rotation.

L'API JSON-RPC de gestion des identités est disponible en avant-première technologique

Une API est disponible pour la gestion des identités (IdM). Pour visualiser l'API, IdM fournit également un navigateur API en tant qu'aperçu technologique.

le sous-paquet sssd-idp est disponible en tant qu'aperçu technologique

Le sous-paquet sssd-idp pour SSSD contient les plugins oidc_child et krb5 idp, qui sont des composants côté client qui effectuent l'authentification OAuth2 contre les serveurs de gestion d'identité (IdM). Cette fonctionnalité n'est disponible qu'avec les serveurs IdM sur RHEL 9.1 et les versions ultérieures.

Le plugin idp krb5 interne de SSSD est disponible en tant qu'aperçu technologique

Le plugin SSSD krb5 idp vous permet de vous authentifier auprès d'un fournisseur d'identité externe (IdP) à l'aide du protocole OAuth2. Cette fonctionnalité n'est disponible qu'avec les serveurs IdM sur RHEL 9.1 et les versions ultérieures.

RHEL IdM permet de déléguer l'authentification des utilisateurs à des fournisseurs d'identité externes en tant qu'aperçu technologique

Dans RHEL IdM, vous pouvez désormais associer des utilisateurs à des fournisseurs d'identité externes (IdP) qui prennent en charge le flux d'autorisation de périphérique OAuth 2. Lorsque ces utilisateurs s'authentifient avec la version SSSD disponible dans RHEL 9.1 ou une version ultérieure, ils bénéficient des fonctionnalités d'authentification unique de RHEL IdM avec des tickets Kerberos après avoir effectué l'authentification et l'autorisation auprès du fournisseur d'identité externe.

GNOME pour l'architecture ARM 64 bits disponible en tant qu'aperçu technologique

L'environnement de bureau GNOME est disponible pour l'architecture ARM 64 bits en tant qu'aperçu technologique.

GNOME pour l'architecture IBM Z disponible en avant-première technologique

L'environnement de bureau GNOME est disponible pour l'architecture IBM Z en tant qu'aperçu technologique.

Les cartes graphiques Intel Arc A-Series disponibles en avant-première technologique

Les cartes graphiques Intel Arc A-Series, également connues sous le nom d'Alchemist ou DG2, sont désormais disponibles en tant qu'aperçu technologique.

Stratis disponible en tant qu'aperçu technologique dans la console web RHEL

Avec cette mise à jour, la console web de Red Hat Enterprise Linux permet de gérer le stockage Stratis en tant qu'aperçu technologique.

Intel SGX disponible pour les machines virtuelles en tant qu'aperçu technologique

En tant qu'aperçu technologique, les Intel Software Guard Extensions (SGX) peuvent désormais être configurées pour les machines virtuelles (VM) hébergées sur RHEL 9. SGX aide à protéger l'intégrité et la confidentialité des données pour des processus spécifiques sur le matériel Intel. Après avoir configuré SGX sur votre hôte, la fonctionnalité est transmise à ses VM, de sorte que les systèmes d'exploitation invités (OS) puissent l'utiliser.

AMD SEV et SEV-ES pour les machines virtuelles KVM

En tant qu'aperçu technologique, RHEL 9 fournit la fonction Secure Encrypted Virtualization (SEV) pour les machines hôtes AMD EPYC qui utilisent l'hyperviseur KVM. Si elle est activée sur une machine virtuelle (VM), SEV crypte la mémoire de la VM pour la protéger contre l'accès de l'hôte. La sécurité de la VM s'en trouve renforcée.

La virtualisation est désormais disponible sur ARM 64

En tant qu'aperçu technologique, il est désormais possible de créer des machines virtuelles KVM sur des systèmes utilisant des processeurs ARM 64.

virtio-mem est désormais disponible sur AMD64, Intel 64 et ARM 64

En tant qu'aperçu technologique, RHEL 9 introduit la fonctionnalité virtio-mem sur les systèmes AMD64, Intel 64 et ARM 64. L'utilisation de virtio-mem permet d'ajouter ou de supprimer dynamiquement de la mémoire hôte dans les machines virtuelles (VM).

Intel TDX dans les hôtes RHEL

En tant qu'aperçu technologique, la fonctionnalité Intel Trust Domain Extension (TDX) peut désormais être utilisée dans les systèmes d'exploitation invités RHEL 9.2. Si le système hôte prend en charge TDX, vous pouvez déployer des machines virtuelles (VM) RHEL 9 isolées matériellement, appelées domaines de confiance (TD). Notez toutefois que TDX ne fonctionne pas actuellement avec kdump, et que l'activation de TDX entraînera l'échec de kdump sur la VM.

Une image unifiée du noyau de RHEL est désormais disponible en tant qu'aperçu technologique

Dans le cadre d'un aperçu technologique, vous pouvez désormais obtenir le noyau RHEL sous forme d'image de noyau unifié (UKI) pour les machines virtuelles (VM). Une image de noyau unifiée combine le noyau, les initramfs et la ligne de commande du noyau en un seul fichier binaire signé.

RHEL est désormais disponible sur les VM confidentielles Azure en tant qu'aperçu technologique

Avec le noyau RHEL mis à jour, vous pouvez désormais créer et exécuter des machines virtuelles (VM) confidentielles RHEL sur Microsoft Azure en tant qu'aperçu technologique. L'image de noyau unifiée (UKI) récemment ajoutée permet désormais de démarrer des images de machines virtuelles confidentielles cryptées sur Azure. L'UKI est disponible sous la forme d'un paquetage kernel-uki-virt dans les dépôts RHEL 9.

Quadlet dans Podman est maintenant disponible en avant-première technologique

À partir de Podman v4.4, vous pouvez utiliser Quadlet pour générer automatiquement un fichier de service systemd à partir de la description du conteneur en tant qu'aperçu technologique. La description du conteneur est au format de fichier unitaire systemd. La description se concentre sur les détails pertinents du conteneur et cache la complexité technique de l'exécution des conteneurs sous systemd. Les Quadlets sont plus faciles à écrire et à maintenir que les fichiers unitaires systemd.

Les clients pour les signatures sigstore avec Fulcio et Rekor sont maintenant disponibles en tant qu'aperçu technologique

Avec les serveurs Fulcio et Rekor, vous pouvez désormais créer des signatures en utilisant des certificats à court terme basés sur l'authentification d'un serveur OpenID Connect (OIDC), au lieu de gérer manuellement une clé privée. Les clients pour les signatures sigstore avec Fulcio et Rekor sont maintenant disponibles en tant qu'aperçu technologique. Cette fonctionnalité supplémentaire ne concerne que le support côté client et n'inclut pas les serveurs Fulcio ou Rekor.

Commandes Kickstart obsolètes

Les commandes Kickstart suivantes sont obsolètes :

Les personnalisations d'utilisateurs et de groupes dans les blueprints edge-commit et edge-container ont été supprimées

La spécification d'une personnalisation d'utilisateur ou de groupe dans les blueprints est obsolète pour les types d'image edge-commit et edge-container, car la personnalisation de l'utilisateur disparaît lorsque vous mettez à niveau l'image et que vous ne spécifiez plus l'utilisateur dans le blueprint. Par conséquent, vous devez spécifier les utilisateurs et les groupes directement dans les blueprints pour les types d'image de bord qui sont utilisés pour déployer un commit OSTree existant, tel que edge-raw-image, edge-installer, et edge-simplified-installer.

L'option --token de la commande subscription-manager est obsolète

L'option --token=<TOKEN> de la commande subscription-manager register est une méthode d'authentification qui permet d'enregistrer votre système auprès de Red Hat. Cette option dépend des capacités offertes par le serveur de droits. Le serveur de droits par défaut, subscription.rhsm.redhat.com, prévoit de désactiver cette fonctionnalité. Par conséquent, une tentative d'utilisation de subscription-manager register --token=<TOKEN> peut échouer avec le message d'erreur suivant :

L'utilitaire dump du paquetage dump est obsolète

L'utilitaire dump utilisé pour la sauvegarde des systèmes de fichiers est obsolète et ne sera pas disponible dans RHEL 9.

Le backend de la base de données SQLite dans Bacula est obsolète

Le système de sauvegarde Bacula prend en charge plusieurs bases de données : PostgreSQL, MySQL et SQLite. Le backend SQLite a été déprécié et ne sera plus supporté dans une version ultérieure de RHEL. En remplacement, migrez vers l'un des autres backends (PostgreSQL ou MySQL) et n'utilisez pas le backend SQLite dans les nouveaux déploiements.

SHA-1 est déprécié à des fins cryptographiques

L'utilisation du condensé de message SHA-1 à des fins cryptographiques a été supprimée dans RHEL 9. Le condensé produit par SHA-1 n'est pas considéré comme sûr en raison des nombreuses attaques réussies documentées basées sur la recherche de collisions de hachage. Les composants cryptographiques de base de RHEL ne créent plus de signatures à l'aide de SHA-1 par défaut. Les applications de RHEL 9 ont été mises à jour pour éviter d'utiliser SHA-1 dans les cas d'utilisation liés à la sécurité.

fapolicyd.rules est obsolète

Le répertoire /etc/fapolicyd/rules.d/, qui contient les fichiers contenant les règles d'exécution d'autorisation et de refus, remplace le fichier /etc/fapolicyd/fapolicyd.rules. Le script fagenrules fusionne désormais tous les fichiers de règles de ce répertoire dans le fichier /etc/fapolicyd/compiled.rules. Les règles contenues dans /etc/fapolicyd/fapolicyd.trust sont toujours traitées par le cadre fapolicyd, mais uniquement dans un souci de compatibilité ascendante.

SCP est obsolète dans RHEL 9

Le protocole de copie sécurisée (SCP) est obsolète car il présente des failles de sécurité connues. L'API SCP reste disponible pour le cycle de vie de RHEL 9, mais son utilisation réduit la sécurité du système.

Digest-MD5 dans SASL est obsolète

Le mécanisme d'authentification Digest-MD5 du cadre Simple Authentication Security Layer (SASL) est obsolète et pourrait être supprimé des paquets cyrus-sasl dans une prochaine version majeure.

OpenSSL supprime MD2, MD4, MDC2, Whirlpool, Blowfish, CAST, DES, IDEA, RC2, RC4, RC5, SEED et PBKDF1

Le projet OpenSSL a déprécié un ensemble d'algorithmes cryptographiques parce qu'ils ne sont pas sûrs, qu'ils sont peu utilisés, ou les deux. Red Hat déconseille également l'utilisation de ces algorithmes, et RHEL 9 les fournit pour migrer les données chiffrées afin d'utiliser de nouveaux algorithmes. Les utilisateurs ne doivent pas dépendre de ces algorithmes pour la sécurité de leurs systèmes.

/etc/system-fips est désormais obsolète

La prise en charge de l'indication du mode FIPS par le fichier /etc/system-fips a été supprimée et le fichier ne sera pas inclus dans les versions futures de RHEL. Pour installer RHEL en mode FIPS, ajoutez le paramètre fips=1 à la ligne de commande du noyau lors de l'installation du système. Vous pouvez vérifier si RHEL fonctionne en mode FIPS à l'aide de la commande fips-mode-setup --check.

libcrypt.so.1 est désormais obsolète

La bibliothèque libcrypt.so.1 est désormais obsolète et pourrait être supprimée dans une prochaine version de RHEL.

OpenSSL requiert du padding pour le chiffrement RSA en mode FIPS

OpenSSL ne supporte plus le cryptage RSA sans padding en mode FIPS. Le chiffrement RSA sans remplissage est peu courant et rarement utilisé. Notez que l'encapsulation de clés avec RSA (RSASVE) n'utilise pas de rembourrage mais est toujours prise en charge.

Les équipes réseau sont obsolètes dans RHEL 9

Le service teamd et la bibliothèque libteam sont obsolètes dans Red Hat Enterprise Linux 9 et seront supprimés dans la prochaine version majeure. En remplacement, configurez un lien au lieu d'une équipe réseau.

NetworkManager stocke les nouvelles configurations de réseau sur /etc/NetworkManager/system-connections/ dans un fichier clé

Auparavant, NetworkManager stockait les nouvelles configurations réseau à l'adresse /etc/sysconfig/network-scripts/ au format ifcfg. À partir de RHEL 9.0, RHEL stocke les nouvelles configurations réseau à l'adresse /etc/NetworkManager/system-connections/ dans un format de fichier clé. Les connexions pour lesquelles les configurations sont stockées sur /etc/sysconfig/network-scripts/ dans l'ancien format continuent de fonctionner sans interruption. Les modifications apportées aux profils existants continuent de mettre à jour les anciens fichiers.

Le back-end iptables dans firewalld est obsolète

Dans RHEL 9, le cadre iptables est obsolète. Par conséquent, le backend iptables et le direct interface dans firewalld sont également obsolètes. Au lieu de direct interface, vous pouvez utiliser les fonctionnalités natives de firewalld pour configurer les règles requises.

L'encapsulation ATM est obsolète dans RHEL 9

L'encapsulation du mode de transfert asynchrone (ATM) permet une connectivité de couche 2 (protocole point à point, Ethernet) ou de couche 3 (IP) pour la couche d'adaptation ATM 5 (AAL-5). Red Hat ne fournit plus de support pour les pilotes ATM NIC depuis RHEL 7. La prise en charge de l'implémentation ATM est abandonnée dans RHEL 9. Ces protocoles ne sont actuellement utilisés que dans les chipsets, qui prennent en charge la technologie ADSL et sont progressivement abandonnés par les fabricants. Par conséquent, l'encapsulation ATM est dépréciée dans Red Hat Enterprise Linux 9.

L'appel système kexec_load pour kexec-tools a été supprimé

L'appel système kexec_load, qui charge le deuxième noyau, ne sera plus pris en charge dans les prochaines versions de RHEL. L'appel système kexec_file_load remplace kexec_load et est désormais l'appel système par défaut sur toutes les architectures.

Les équipes réseau sont obsolètes dans RHEL 9

Le service teamd et la bibliothèque libteam sont obsolètes dans Red Hat Enterprise Linux 9 et seront supprimés dans la prochaine version majeure. En remplacement, configurez un lien au lieu d'une équipe réseau.

lvm2-activation-generator et ses services générés sont supprimés dans RHEL 9.0

Le programme lvm2-activation-generator et ses services générés lvm2-activation, lvm2-activation-early, et lvm2-activation-net sont supprimés dans RHEL 9.0. Le paramètre lvm.conf event_activation, utilisé pour activer les services, n'est plus fonctionnel. La seule méthode d'activation automatique des groupes de volumes est l'activation basée sur les événements.

libdb a été supprimé

RHEL 8 et RHEL 9 fournissent actuellement la version 5.3.28 de Berkeley DB (libdb), qui est distribuée sous la licence LGPLv2. La version 6 de Berkeley DB en amont est disponible sous la licence AGPLv3, qui est plus restrictive.

Les clés de taille inférieure à 2048 sont dépassées par openssl 3.0

Les tailles de clés inférieures à 2048 bits sont dépréciées par openssl 3.0 et ne fonctionnent plus dans le mode FIPS de Go.

Certains modes de PKCS1 v1.5 sont désormais obsolètes

Certains modes de PKCS1 v1.5 ne sont pas approuvés dans FIPS-140-3 pour le cryptage et sont désactivés. Ils ne fonctionneront plus dans le mode FIPS de Go.

SHA-1 dans OpenDNSSec est maintenant obsolète

OpenDNSSec prend en charge l'exportation de signatures numériques et d'enregistrements d'authentification à l'aide de l'algorithme SHA-1. L'utilisation de l'algorithme SHA-1 n'est plus prise en charge. Avec la version RHEL 9, SHA-1 dans OpenDNSSec est déprécié et pourrait être supprimé dans une future version mineure. En outre, la prise en charge d'OpenDNSSec est limitée à son intégration avec Red Hat Identity Management. OpenDNSSec n'est pas pris en charge de manière autonome.

Le domaine du fournisseur de fichiers implicites SSSD est désactivé par défaut

Le domaine fournisseur implicite SSSD files, qui récupère les informations sur les utilisateurs à partir de fichiers locaux tels que /etc/shadow et les informations sur les groupes à partir de /etc/groups, est désormais désactivé par défaut.

-h et -p ont été supprimées dans les utilitaires clients OpenLDAP.

Le projet OpenLDAP en amont a déprécié les options -h et -p dans ses utilitaires et recommande d'utiliser l'option -H pour spécifier l'URI LDAP. Par conséquent, RHEL 9 a supprimé ces deux options dans tous les utilitaires clients OpenLDAP. Les options -h et -p seront supprimées des produits RHEL dans les prochaines versions.

Le fournisseur SSSD files est obsolète

Le fournisseur SSSD files a été supprimé dans Red Hat Enterprise Linux (RHEL) 9. Le fournisseur files pourrait être supprimé dans une prochaine version de RHEL.

Le paramètre nsslapd-idlistscanlimit est obsolète et sa valeur par défaut a été modifiée

Avec la nouvelle optimisation de la réorganisation des filtres, l'impact de l'attribut nsslapd-idlistscanlimit sur les performances de recherche est plus néfaste qu'utile. Par conséquent, cet attribut est obsolète. En outre, la valeur par défaut a été remplacée par 2147483646 (illimité).

GTK 2 est désormais obsolète

L'ancienne boîte à outils GTK 2 et les paquets suivants ont été supprimés :

Motif a été supprimé

La boîte à outils Motif a été supprimée dans RHEL, car le développement de la communauté Motif en amont est inactif.

Le rôle de système network affiche un avertissement de dépréciation lors de la configuration des équipes sur les nœuds RHEL 9

Les capacités d'équipe réseau ont été dépréciées dans RHEL 9. Par conséquent, l'utilisation du rôle de système network RHEL sur un nœud de contrôle RHEL 8 pour configurer une équipe réseau sur des nœuds RHEL 9, affiche un avertissement concernant la dépréciation.

La vérification de l'image SecureBoot à l'aide de signatures basées sur SHA1 est obsolète

La vérification de l'image SecureBoot à l'aide de signatures basées sur l'algorithme SHA1 sur les exécutables UEFI (PE/COFF) est devenue obsolète. Red Hat recommande plutôt d'utiliser des signatures basées sur l'algorithme SHA2 ou plus récent.

Prise en charge limitée des instantanés de machines virtuelles

La création d'instantanés de machines virtuelles (VM) n'est actuellement prise en charge que pour les VM n'utilisant pas le micrologiciel UEFI. En outre, pendant l'opération de snapshot, le moniteur QEMU peut se bloquer, ce qui a un impact négatif sur les performances de l'hyperviseur pour certaines charges de travail.

Le pilote de disquette virtuelle est devenu obsolète

Le pilote isa-fdc, qui contrôle les périphériques de disquette virtuels, est désormais obsolète et ne sera plus pris en charge dans une prochaine version de RHEL. Par conséquent, pour assurer la compatibilité avec les machines virtuelles (VM) migrées, Red Hat déconseille l'utilisation de périphériques à disquette dans les VM hébergées sur RHEL 9.

le format d'image qcow2-v2 est obsolète

Avec RHEL 9, le format qcow2-v2 pour les images de disques virtuels est devenu obsolète et ne sera plus pris en charge dans une prochaine version majeure de RHEL. En outre, RHEL 9 Image Builder ne peut pas créer d'images de disque au format qcow2-v2.

virt-manager a été supprimé

L'application Virtual Machine Manager, également connue sous le nom de virt-manager, a été supprimée. La console web RHEL, également connue sous le nom de Cockpit, est destinée à la remplacer dans une version ultérieure. Il est donc recommandé d'utiliser la console web pour gérer la virtualisation dans une interface graphique. Notez toutefois que certaines fonctionnalités disponibles sur virt-manager peuvent ne pas être encore disponibles dans la console web RHEL.

libvirtd est devenu obsolète

Le démon monolithique libvirt, libvirtd, a été abandonné dans RHEL 9 et sera supprimé dans une prochaine version majeure de RHEL. Notez que vous pouvez toujours utiliser libvirtd pour gérer la virtualisation sur votre hyperviseur, mais Red Hat recommande de passer aux démons modulaires libvirt récemment introduits. Pour obtenir des instructions et des détails, consultez le document RHEL 9 Configuring and Managing Virtualization (Configuration et gestion de la virtualisation ).

Les anciens modèles de CPU sont désormais obsolètes

Un nombre important de modèles de CPU sont devenus obsolètes et ne seront plus pris en charge pour une utilisation dans des machines virtuelles (VM) dans une prochaine version majeure de RHEL. Les modèles obsolètes sont les suivants :

La migration en direct basée sur RDMA est obsolète

Avec cette mise à jour, la migration des machines virtuelles en cours d'exécution à l'aide de l'accès direct à la mémoire à distance (RDMA) est devenue obsolète. Par conséquent, il est toujours possible d'utiliser l'URI de migration rdma:// pour demander une migration via RDMA, mais cette fonctionnalité ne sera plus prise en charge dans une prochaine version majeure de RHEL.

L'exécution de conteneurs RHEL 9 sur un hôte RHEL 7 n'est pas prise en charge

L'exécution de conteneurs RHEL 9 sur un hôte RHEL 7 n'est pas prise en charge. Cela peut fonctionner, mais ce n'est pas garanti.

L'algorithme de hachage SHA1 utilisé dans Podman est obsolète

L'algorithme SHA1 utilisé pour générer le nom de fichier de l'espace de noms du réseau sans racine n'est plus pris en charge dans Podman. Par conséquent, les conteneurs sans racine démarrés avant la mise à jour vers Podman 4.1.1 ou une version ultérieure doivent être redémarrés s'ils sont reliés à un réseau (et pas seulement en utilisant slirp4netns) pour s'assurer qu'ils peuvent se connecter aux conteneurs démarrés après la mise à jour.

rhel9/pause a été supprimé

L'image du conteneur rhel9/pause a été supprimée.

La pile réseau CNI est obsolète

La pile réseau Container Network Interface (CNI) a été supprimée. Auparavant, les conteneurs se connectaient au plugin Container Network Interface (CNI) uniquement via DNS. Podman v.4.0 a introduit une nouvelle pile réseau Netavark. Vous pouvez utiliser la pile réseau Netavark avec Podman et d'autres applications de gestion de conteneurs de l'Open Container Initiative (OCI). La pile réseau Netavark pour Podman est également compatible avec les fonctionnalités avancées de Docker. Les conteneurs situés sur plusieurs réseaux peuvent accéder aux conteneurs situés sur n'importe lequel de ces réseaux.

Les commandes auth et authconfig Kickstart nécessitent le dépôt AppStream

Le paquetage authselect-compat est requis par les commandes Kickstart auth et authconfig lors de l'installation. Sans ce paquet, l'installation échoue si auth ou authconfig est utilisé. Cependant, par conception, le paquet authselect-compat n'est disponible que dans le dépôt AppStream.

Les commandes reboot --kexec et inst.kexec ne fournissent pas un état prévisible du système

L'installation de RHEL à l'aide de la commande reboot --kexec Kickstart ou des paramètres de démarrage du noyau inst.kexec n'offre pas le même état prévisible du système qu'un redémarrage complet. Par conséquent, le passage au système installé sans redémarrage peut produire des résultats imprévisibles.

Politiques SELinux inattendues sur les systèmes où Anaconda s'exécute en tant qu'application

Lorsqu'Anaconda est exécuté en tant qu'application sur un système déjà installé (par exemple pour effectuer une autre installation sur un fichier image à l'aide de l'option –image anaconda), il n'est pas interdit au système de modifier les types et attributs SELinux au cours de l'installation. Par conséquent, certains éléments de la politique SELinux peuvent changer sur le système où Anaconda est exécuté. Pour contourner ce problème, n'exécutez pas Anaconda sur le système de production et exécutez-le dans une machine virtuelle temporaire. Ainsi, la politique SELinux sur un système de production n'est pas modifiée. L'exécution d'Anaconda dans le cadre du processus d'installation du système, tel que l'installation à partir de boot.iso ou dvd.iso, n'est pas concernée par ce problème.

Local Media la source d'installation n'est pas détectée lors du démarrage de l'installation à partir d'une clé USB créée à l'aide d'un outil tiers

Lors du démarrage de l'installation RHEL à partir d'une clé USB créée à l'aide d'un outil tiers, le programme d'installation ne détecte pas la source d'installation Local Media (seule Red Hat CDN est détectée).

Le lecteur de CD-ROM USB n'est pas disponible comme source d'installation dans Anaconda

L'installation échoue lorsque le lecteur de CD-ROM USB en est la source et que la commande Kickstart ignoredisk --only-use= est spécifiée. Dans ce cas, Anaconda ne peut pas trouver et utiliser ce disque source.

Échec des installations de disques durs partitionnés avec le système de fichiers iso9660

Vous ne pouvez pas installer RHEL sur des systèmes dont le disque dur est partitionné avec le système de fichiers iso9660. Cela est dû à la mise à jour du code d'installation qui est configuré pour ignorer tout disque dur contenant une partition du système de fichiers iso9660. Cela se produit même lorsque RHEL est installé sans utiliser de DVD.

Anaconda ne parvient pas à vérifier l'existence d'un compte d'utilisateur administrateur

Lors de l'installation de RHEL à l'aide d'une interface graphique, Anaconda ne vérifie pas si le compte administrateur a été créé. En conséquence, les utilisateurs peuvent installer un système sans aucun compte d'utilisateur administrateur.

De nouvelles fonctionnalités XFS empêchent le démarrage des systèmes PowerNV IBM POWER dont le microprogramme est antérieur à la version 5.10

Les systèmes PowerNV IBM POWER utilisent un noyau Linux pour le micrologiciel et Petitboot en remplacement de GRUB. Ainsi, le noyau du microprogramme monte /boot et Petitboot lit la configuration de GRUB et démarre RHEL.

L'image d'installation de RHEL for Edge ne parvient pas à créer des points de montage lors de l'installation d'une charge utile rpm-ostree

Lors du déploiement des charges utiles rpm-ostree, utilisées par exemple dans une image d'installation RHEL for Edge, le programme d'installation ne crée pas correctement certains points de montage pour les partitions personnalisées. En conséquence, l'installation est interrompue avec l'erreur suivante :

NetworkManager ne démarre pas après l'installation lorsqu'il est connecté à un réseau mais qu'il n'y a pas d'adresse DHCP ou d'adresse IP statique configurée

À partir de RHEL 9.0, Anaconda active automatiquement les périphériques réseau lorsqu'il n'y a pas de configuration réseau spécifique ip= ou kickstart. Anaconda crée un fichier de configuration persistant par défaut pour chaque périphérique Ethernet. Dans le profil de connexion, les valeurs ONBOOT et autoconnect sont définies sur true. Par conséquent, lors du démarrage du système installé, RHEL active les périphériques réseau et le service networkManager-wait-online échoue.

Impossible de charger un pilote mis à jour à partir du disque de mise à jour des pilotes dans l'environnement d'installation

Une nouvelle version d'un pilote provenant du disque de mise à jour des pilotes peut ne pas se charger si le même pilote provenant du disque d'installation initial a déjà été chargé. Par conséquent, une version mise à jour du pilote ne peut pas être appliquée à l'environnement d'installation.

L'installateur se bloque en mode FIPS lors de la création de dispositifs LUKS avec une phrase de passe courte

La longueur minimale d'une phrase de passe utilisée pour les périphériques LUKS est de 8 octets lorsque le système fonctionne en mode FIPS. Par conséquent, lors de la création d'un périphérique LUKS avec une phrase de passe inférieure à 8 octets et d'une installation en mode FIPS, le programme d'installation se bloque. Pour contourner ce problème, utilisez une phrase de passe LUKS d'au moins 8 octets. Par conséquent, le programme d'installation ne se bloque pas lors de la création de périphériques LUKS en mode FIPS.

Les installations Kickstart ne parviennent pas à configurer la connexion réseau

Anaconda effectue la configuration réseau du kickstart uniquement par le biais de l'API NetworkManager. Anaconda traite la configuration du réseau après la section %pre kickstart. Par conséquent, certaines tâches de la section de démarrage %pre sont bloquées. Par exemple, le téléchargement de paquets à partir de la section %pre échoue en raison de l'indisponibilité de la configuration du réseau.

Le processus d'installation ne répond parfois plus

Lorsque vous installez RHEL, le processus d'installation ne répond parfois plus. Le fichier /tmp/packaging.log affiche le message suivant à la fin :

Le renommage des interfaces réseau à l'aide des fichiers ifcfg échoue

Sur RHEL 9, le paquetage initscripts n'est pas installé par défaut. Par conséquent, le renommage des interfaces réseau à l'aide des fichiers ifcfg échoue. Pour résoudre ce problème, Red Hat vous recommande d'utiliser les règles udev ou les fichiers de liens pour renommer les interfaces. Pour plus de détails, reportez-vous à Nommage cohérent des périphériques d'interface réseau et à la page de manuel systemd.link(5).

Le paquet chkconfig n'est pas installé par défaut dans RHEL 9

Le paquet chkconfig, qui met à jour et interroge les informations de niveau d'exécution des services système, n'est pas installé par défaut dans RHEL 9.

Les deux sites bind et unbound désactivent la validation des signatures basées sur SHA-1

Les composants bind et unbound désactivent la prise en charge de la validation de toutes les signatures RSA/SHA1 (algorithme numéro 5) et RSASHA1-NSEC3-SHA1 (algorithme numéro 7), et l'utilisation de SHA-1 pour les signatures est restreinte dans la politique cryptographique DEFAULT applicable à l'ensemble du système.

named ne démarre pas si le même fichier de zone inscriptible est utilisé dans plusieurs zones

BIND n'autorise pas l'utilisation du même fichier de zone inscriptible dans plusieurs zones. Par conséquent, si une configuration comprend plusieurs zones qui partagent un chemin d'accès à un fichier qui peut être modifié par le service named, named ne démarre pas. Pour contourner ce problème, utilisez la clause in-view pour partager une zone entre plusieurs vues et veillez à utiliser des chemins différents pour les différentes zones. Par exemple, incluez les noms des vues dans le chemin d'accès.

libotr n'est pas conforme à la norme FIPS

La bibliothèque libotr et la boîte à outils pour la messagerie off-the-record (OTR) fournissent un chiffrement de bout en bout pour les conversations de messagerie instantanée. Cependant, la bibliothèque libotr n'est pas conforme aux normes FIPS (Federal Information Processing Standards) en raison de son utilisation des fonctions gcry_pk_sign() et gcry_pk_verify(). Par conséquent, vous ne pouvez pas utiliser la bibliothèque libotr en mode FIPS.

tangd-keygen ne gère pas correctement les umask qui ne sont pas par défaut

Le script tangd-keygen ne modifie pas les autorisations de fichiers pour les fichiers de clés générés. Par conséquent, sur les systèmes dotés d'un masque de mode de création de fichiers utilisateur par défaut (umask) qui empêche la lecture des clés par d'autres utilisateurs, la commande tang-show-keys renvoie le message d'erreur Internal Error 500 au lieu d'afficher les clés.

OpenSSL ne détecte pas si un jeton PKCS #11 supporte la création de signatures RSA ou RSA-PSS brutes

Le protocole TLS 1.3 nécessite la prise en charge des signatures RSA-PSS. Si un jeton PKCS #11 ne prend pas en charge les signatures RSA ou RSA-PSS brutes, les applications serveur qui utilisent la bibliothèque OpenSSL ne fonctionnent pas avec une clé RSA si la clé est détenue par le jeton PKCS #11. Par conséquent, la communication TLS échoue dans le scénario décrit.

OpenSSL traite incorrectement les jetons PKCS #11 qui ne prennent pas en charge les signatures RSA ou RSA-PSS brutes

La bibliothèque OpenSSL ne détecte pas les capacités liées aux clés des jetons PKCS #11. Par conséquent, l'établissement d'une connexion TLS échoue lorsqu'une signature est créée avec un jeton qui ne prend pas en charge les signatures RSA ou RSA-PSS brutes.

scp vide les fichiers copiés sur eux-mêmes lorsqu'une syntaxe spécifique est utilisée

L'utilitaire scp est passé du protocole de copie sécurisée (SCP) au protocole de transfert de fichiers SSH (SFTP), plus sûr. Par conséquent, la copie d'un fichier d'un emplacement vers le même emplacement efface le contenu du fichier. Le problème concerne la syntaxe suivante :

Le module complémentaire OSCAP Anaconda ne récupère pas les profils personnalisés dans l'installation graphique

Le module complémentaire OSCAP Anaconda ne fournit pas d'option pour sélectionner ou désélectionner l'adaptation des profils de sécurité dans l'installation graphique RHEL. À partir de RHEL 8.8, le module complémentaire ne prend pas en compte l'adaptation par défaut lors de l'installation à partir d'archives ou de paquets RPM. Par conséquent, l'installation affiche le message d'erreur suivant au lieu de récupérer un profil OSCAP adapté :

Les remédiations Ansible nécessitent des collectes supplémentaires

Avec le remplacement d'Ansible Engine par le paquetage ansible-core, la liste des modules Ansible fournis avec l'abonnement RHEL est réduite. Par conséquent, l'exécution de remédiations qui utilisent le contenu Ansible inclus dans le paquetage scap-security-guide nécessite des collections du paquetage rhc-worker-playbook.

oscap-anaconda-addon ne permet pas au CIS de durcir les systèmes avec le groupe de paquets Network Servers

Lors de l'installation de RHEL Network Servers avec un profil de sécurité CIS (cis, cis_server_l1, cis_workstation_l1, ou cis_workstation_l2) sur des systèmes où le groupe de paquets Network Servers est sélectionné, oscap-anaconda-addon envoie le message d'erreur package tftp has been added to the list of excluded packages, but it can’t be removed from the current software selection without breaking the install. Pour poursuivre l'installation, revenez à la sélection des logiciels et décochez la case Network Servers additional software pour permettre à l'installation et au durcissement de se terminer. Installez ensuite les paquets requis.

Keylime n'accepte pas les certificats PEM concaténés

Lorsque Keylime reçoit une chaîne de certificats sous la forme de plusieurs certificats au format PEM concaténés dans un seul fichier, le composant Keylime keylime-agent-rust n'utilise pas correctement tous les certificats fournis lors de la vérification de la signature, ce qui entraîne un échec de la poignée de main TLS. En conséquence, les composants clients (keylime_verifier et keylime_tenant) ne peuvent pas se connecter à l'agent Keylime. Pour contourner ce problème, utilisez un seul certificat au lieu de plusieurs.

Keylime nécessite un fichier spécifique pour tls_dir = default

Lorsque la variable tls_dir est définie sur default dans la configuration du vérificateur ou du registraire Keylime, Keylime vérifie la présence du fichier cacert.crt dans le répertoire /var/lib/keylime/cv_ca. Si le fichier n'est pas présent, le service keylime_verifier ou keylime_registrar ne démarre pas et enregistre le message suivant dans un journal : Exception: It appears that the verifier has not yet created a CA and certificates, please run the verifier first. En conséquence, Keylime rejette les certificats d'autorité de certification (CA) personnalisés qui ont un nom de fichier différent même s'ils sont placés dans le répertoire /var/lib/keylime/ca_cv.

La politique SELinux par défaut autorise les exécutables non confinés à rendre leur pile exécutable

L'état par défaut du booléen selinuxuser_execstack dans la politique SELinux est activé, ce qui signifie que les exécutables non confinés peuvent rendre leur pile exécutable. Les exécutables ne devraient pas utiliser cette option, qui pourrait indiquer des exécutables mal codés ou une attaque possible. Cependant, en raison de la compatibilité avec d'autres outils, paquetages et produits tiers, Red Hat ne peut pas modifier la valeur du booléen dans la stratégie par défaut. Si votre scénario ne dépend pas de ces aspects de compatibilité, vous pouvez désactiver l'option booléenne dans votre politique locale en entrant la commande setsebool -P selinuxuser_execstack off.

Les règles de délai SSH dans les profils STIG configurent des options incorrectes

Une mise à jour d'OpenSSH a affecté les règles des profils suivants du Guide de mise en œuvre technique de la sécurité de l'Agence des systèmes d'information de la défense (DISA STIG) :

GnuPG permet incorrectement d'utiliser des signatures SHA-1 même si cela est interdit par la norme crypto-policies

Le logiciel cryptographique GNU Privacy Guard (GnuPG) peut créer et vérifier des signatures qui utilisent l'algorithme SHA-1 indépendamment des paramètres définis par les politiques cryptographiques du système. Par conséquent, vous pouvez utiliser SHA-1 à des fins cryptographiques dans la politique cryptographique DEFAULT, ce qui n'est pas cohérent avec la dépréciation de cet algorithme peu sûr pour les signatures à l'échelle du système.

gpg-agent ne fonctionne pas comme agent SSH en mode FIPS

L'outil gpg-agent crée des empreintes MD5 lors de l'ajout de clés au programme ssh-agent, même si le mode FIPS désactive le condensé MD5. Par conséquent, l'utilitaire ssh-add ne parvient pas à ajouter les clés à l'agent d'authentification.

Problèmes de consommation de mémoire d'OpenSCAP

Sur les systèmes disposant d'une mémoire limitée, l'analyseur OpenSCAP peut se terminer prématurément ou ne pas générer les fichiers de résultats. Pour contourner ce problème, vous pouvez personnaliser le profil d'analyse afin de désélectionner les règles qui impliquent une récursivité sur l'ensemble du système de fichiers /:

Le service nm-cloud-setup supprime les adresses IP secondaires configurées manuellement sur les interfaces

Sur la base des informations reçues de l'environnement cloud, le service nm-cloud-setup configure les interfaces réseau. Désactivez nm-cloud-setup pour configurer manuellement les interfaces. Cependant, dans certains cas, d'autres services sur l'hôte peuvent également configurer les interfaces. Par exemple, ces services peuvent ajouter des adresses IP secondaires. Pour éviter cela, nm-cloud-setup supprime les adresses IP secondaires :

L'absence de mise à jour de la clé de session entraîne l'interruption de la connexion

Le protocole Kernel Transport Layer Security (kTLS) ne prend pas en charge la mise à jour de la clé de session, qui est utilisée par le chiffrement symétrique. Par conséquent, l'utilisateur ne peut pas mettre à jour la clé, ce qui entraîne une interruption de la connexion. Pour contourner ce problème, il faut désactiver le protocole kTLS. Par conséquent, avec la solution de contournement, il est possible de mettre à jour la clé de session avec succès.

Le paquet initscripts n'est pas installé par défaut

Par défaut, le paquetage initscripts n'est pas installé. Par conséquent, les utilitaires ifup et ifdown ne sont pas disponibles. Vous pouvez utiliser les commandes nmcli connection up et nmcli connection down pour activer et désactiver les connexions. Si l'alternative proposée ne fonctionne pas, signalez le problème et installez le paquetage NetworkManager-initscripts-updown, qui fournit une solution NetworkManager pour les utilitaires ifup et ifdown.

Le mécanisme kdump dans le noyau provoque des erreurs OOM sur le noyau 64K

La taille de page du noyau de 64 Ko sur l'architecture ARM 64 bits utilise plus de mémoire que le noyau de 4 Ko. Par conséquent, kdump provoque une panique du noyau et l'allocation de mémoire échoue avec des erreurs de type "out of memory" (OOM). Pour contourner le problème, configurez manuellement la valeur de crashkernel à 640 Mo. Par exemple, définissez le paramètre crashkernel= comme crashkernel=2G- :640M.

Les applications clients qui dépendent de la taille de page du noyau peuvent nécessiter une mise à jour lors du passage d'un noyau de 4k à 64k pages

RHEL est compatible avec les noyaux de taille de page 4k et 64k. Les applications clients qui dépendent d'un noyau de 4k peuvent nécessiter une mise à jour lors du passage d'un noyau de 4k à un noyau de 64k. Parmi les cas connus, citons jemalloc et les applications dépendantes.

Le service kdump ne parvient pas à créer le fichier initrd sur les systèmes IBM Z

Sur les systèmes IBM Z 64 bits, le service kdump ne parvient pas à charger le disque RAM initial (initrd) lorsque les informations de configuration liées à znet, telles que s390-subchannels, se trouvent dans un profil de connexion NetworkManager inactif. Par conséquent, le mécanisme kdump échoue avec l'erreur suivante :

kTLS ne prend pas en charge le délestage de TLS 1.3 vers les cartes réseau

Kernel Transport Layer Security (kTLS) ne prend pas en charge le délestage de TLS 1.3 vers les cartes réseau. Par conséquent, le chiffrement logiciel est utilisé avec TLS 1.3 même lorsque les cartes réseau prennent en charge le délestage TLS. Pour contourner ce problème, désactivez TLS 1.3 si le délestage est nécessaire. Par conséquent, vous ne pouvez décharger que TLS 1.2. Lorsque TLS 1.3 est utilisé, les performances sont moindres, car TLS 1.3 ne peut pas être déchargé.

La fonctionnalité Delay Accounting n'affiche pas par défaut les colonnes de statistiques SWAPIN et IO%

La fonctionnalité Delayed Accounting, contrairement aux premières versions, est désactivée par défaut. Par conséquent, l'application iotop n'affiche pas les colonnes de statistiques SWAPIN et IO% et affiche l'avertissement suivant :

Le mécanisme kdump ne parvient pas à capturer le fichier vmcore sur les cibles chiffrées par LUKS

Lors de l'exécution de kdump sur des systèmes dotés de partitions chiffrées Linux Unified Key Setup (LUKS), les systèmes requièrent une certaine quantité de mémoire disponible. Lorsque la mémoire disponible est inférieure à la quantité de mémoire requise, le service systemd-cryptsetup ne parvient pas à monter la partition. Par conséquent, le second noyau ne parvient pas à capturer le fichier de vidage d'urgence (vmcore) sur les cibles chiffrées LUKS.

L'allocation de la mémoire du noyau de crash échoue au démarrage

Sur certains systèmes Ampere Altra, l'allocation de la mémoire du noyau de crash pour l'utilisation de kdump échoue au démarrage lorsque la mémoire disponible est inférieure à 1 Go. Par conséquent, la commande kdumpctl ne parvient pas à démarrer le service kdump.

RHEL ne reconnaît pas les disques NVMe lorsque VMD est activé

Lorsque vous réinitialisez ou rattachez le pilote, le domaine Volume Management Device (VMD) ne se réinitialise pas en douceur. Par conséquent, le matériel ne peut pas détecter et énumérer correctement ses périphériques. Par conséquent, le système d'exploitation avec VMD activé ne reconnaît pas les disques NVMe, en particulier lors de la réinitialisation d'un serveur ou de l'utilisation d'une machine virtuelle.

Le site iwl7260-firmware interrompt le Wi-Fi sur Intel Wi-Fi 6 AX200, AX210, et Lenovo ThinkPad P1 Gen 4

Après la mise à jour du pilote iwl7260-firmware ou iwl7260-wifi vers la version fournie par RHEL 9.1 et plus, le matériel se retrouve dans un état interne incorrect et signale son état de manière incorrecte. Par conséquent, les cartes Intel Wifi 6 peuvent ne pas fonctionner et afficher le message d'erreur :

weak-modules from kmod ne fonctionne pas avec les interdépendances de modules

Le script weak-modules fourni par le paquet kmod détermine quels modules sont compatibles avec les noyaux installés. Cependant, lors de la vérification de la compatibilité des modules avec le noyau, weak-modules traite les dépendances des symboles des modules de la version supérieure à la version inférieure du noyau pour lequel ils ont été construits. Par conséquent, les modules avec des interdépendances construits pour différentes versions du noyau peuvent être interprétés comme non compatibles, et le script weak-modules ne fonctionne donc pas dans ce cas.

Le pilote mlx5 échoue lors de l'utilisation de l'adaptateur Mellanox ConnectX-5

En mode de pilote de commutateur Ethernet (switchdev), le pilote mlx5 échoue lorsqu'il est configuré avec le paramètre DMFS (device managed flow steering) et le matériel pris en charge par l'adaptateur ConnectX-5. En conséquence, vous pouvez voir le message d'erreur suivant :

Impossible d'installer RHEL lorsque la taille du PReP n'est pas de 4 ou 8 MiB

Le programme d'installation RHEL ne peut pas installer le chargeur de démarrage si la partition PowerPC Reference Platform (PReP) est d'une taille différente de 4 MiB ou 8 MiB sur un disque qui utilise des secteurs de 4 kiB. Par conséquent, vous ne pouvez pas installer RHEL sur le disque.

Anaconda ne parvient pas à se connecter au serveur iSCSI à l'aide de la méthode no authentication après une tentative d'authentification CHAP infructueuse

Lorsque vous ajoutez des disques iSCSI à l'aide de l'authentification CHAP et que la tentative de connexion échoue en raison d'informations d'identification incorrectes, une nouvelle tentative de connexion aux disques à l'aide de la méthode no authentication échoue. Pour contourner ce problème, fermez la session en cours et connectez-vous à l'aide de la méthode no authentication.

Device Mapper Multipath n'est pas pris en charge avec NVMe/TCP

L'utilisation de Device Mapper Multipath avec le pilote nvme-tcp peut entraîner des avertissements Call Trace et une instabilité du système. Pour contourner ce problème, les utilisateurs de NVMe/TCP doivent activer le multipathing NVMe natif et ne pas utiliser les outils device-mapper-multipath avec NVMe.

Le service blk-availability systemd désactive les piles de périphériques complexes

Dans systemd, le code de désactivation des blocs par défaut ne gère pas toujours correctement les piles complexes de blocs virtuels. Dans certaines configurations, les périphériques virtuels peuvent ne pas être supprimés lors de l'arrêt, ce qui entraîne l'enregistrement de messages d'erreur. Pour contourner ce problème, désactivez les piles de blocs complexes en exécutant la commande suivante :

La désactivation de la comptabilisation des quotas n'est plus possible pour un système de fichiers XFS monté avec des quotas activés

Depuis RHEL 9.2, il n'est plus possible de désactiver la comptabilisation des quotas sur un système de fichiers XFS qui a été monté avec des quotas activés.

Le système ne démarre pas lors de l'ajout d'un périphérique NVMe-FC en tant que point de montage dans le fichier /etc/fstab

Les périphériques NVMe-FC (Non-volatile Memory Express over Fibre Channel) montés via le fichier /etc/fstab ne se montent pas au démarrage et le système passe en mode d'urgence. Cela est dû à un bogue connu dans les services nvme-cli nvmf-autoconnect systemd.

Tâches LVM suspendues avec l'hôte SAN Boot après l'émission d'une restitution NetApp

Avec l'hôte RHEL 9.2 SAN Boot, l'exécution de l'opération NetApp Giveback entraîne des avertissements de tâches suspendues LVM et des E/S bloquées, même lorsque des chemins alternatifs sont disponibles dans un environnement DM-Multipath. Pour remédier à cette situation, redémarrez votre système. Il n'existe actuellement aucune solution connue ou solution de contournement pour ce problème.

modification de la règle udev pour les périphériques NVMe

Il y a un changement de règle udev pour les périphériques NVMe qui ajoute le paramètre OPTIONS="string_escape=replace". Cela entraîne un changement de nom du disque by-id pour certains fournisseurs, si le numéro de série de votre périphérique comporte des espaces blancs.

python3.11-lxml ne fournit pas le sous-module lxml.isoschematron

Le paquet python3.11-lxml est distribué sans le sous-module lxml.isoschematron car il n'est pas sous licence open source. Le sous-module implémente le support ISO Schematron. Comme alternative, la validation pré-ISO-Schematron est disponible dans la classe lxml.etree.Schematron. Le reste du contenu du paquetage python3.11-lxml n'est pas affecté.

L'option --ssl-fips-mode dans MySQL et MariaDB ne modifie pas le mode FIPS

L'option --ssl-fips-mode dans MySQL et MariaDB dans RHEL fonctionne différemment que dans upstream.

Certaines sondes basées sur des symboles ne fonctionnent pas dans SystemTap sur l'architecture ARM 64 bits

La configuration du noyau désactive certaines fonctionnalités nécessaires à SystemTap. Par conséquent, certaines sondes basées sur des symboles ne fonctionnent pas sur l'architecture ARM 64 bits. Par conséquent, les scripts SystemTap concernés peuvent ne pas s'exécuter ou ne pas recueillir de résultats sur les points de sonde souhaités.

GCC dans GCC Toolset 12 : la détection du processeur peut échouer sur les processeurs Intel Sapphire Rapids

La détection du CPU sur les processeurs Intel Sapphire Rapids repose sur l'existence de la fonctionnalité AVX512_VP2INTERSECT. Cette fonctionnalité a été supprimée de la version 12 du GCC Toolset et, par conséquent, la détection du processeur peut échouer sur les processeurs Intel Sapphire Rapids.

La configuration d'un renvoi pour un suffixe échoue dans Directory Server

Si vous définissez une référence de back-end dans Directory Server, la définition de l'état du back-end à l'aide de la commande dsconf <instance_name> backend suffix set --state referral échoue avec l'erreur suivante :

L'utilitaire dsconf n'a pas d'option pour créer des tâches de correction pour le plug-in entryUUID

L'utilitaire dsconf ne propose pas d'option permettant de créer des tâches de correction pour le plug-in entryUUID. Par conséquent, les administrateurs ne peuvent pas utiliser dsconf pour créer une tâche permettant d'ajouter automatiquement des attributs entryUUID aux entrées existantes. Une solution de contournement consiste à créer une tâche manuellement :

MIT Kerberos ne prend pas en charge les certificats ECC pour PKINIT

MIT Kerberos n'implémente pas le document RFC5349 request for comments, qui décrit la conception de la prise en charge de la cryptographie à courbe elliptique (ECC) dans la cryptographie à clé publique pour l'authentification initiale (PKINIT). Par conséquent, le paquet MIT krb5-pkinit, utilisé par RHEL, ne prend pas en charge les certificats ECC. Pour plus d'informations, voir Prise en charge de la cryptographie à courbe elliptique (ECC) dans la cryptographie à clé publique pour l'authentification initiale dans Kerberos (PKINIT).

La sous-politique DEFAULT:SHA1 doit être définie sur les clients RHEL 9 pour que PKINIT fonctionne contre les KDC AD

L'algorithme de condensé SHA-1 a été supprimé dans RHEL 9, et les messages CMS pour la cryptographie à clé publique pour l'authentification initiale (PKINIT) sont désormais signés avec l'algorithme SHA-256, plus puissant.

L'authentification PKINIT d'un utilisateur échoue si un agent Kerberos RHEL 9 communique avec un agent Kerberos non RHEL-9 et non AD

Si un agent Kerberos RHEL 9, qu'il s'agisse d'un client ou d'un centre de distribution Kerberos (KDC), interagit avec un agent Kerberos non RHEL-9 qui n'est pas un agent Active Directory (AD), l'authentification PKINIT de l'utilisateur échoue. Pour contourner le problème, effectuez l'une des actions suivantes :

La prise en charge FIPS de la confiance AD nécessite la sous-politique cryptographique AD-SUPPORT

Active Directory (AD) utilise des types de chiffrement AES SHA-1 HMAC, qui ne sont pas autorisés par défaut en mode FIPS sur RHEL 9. Si vous souhaitez utiliser des hôtes IdM RHEL 9 avec une confiance AD, activez la prise en charge des types de chiffrement AES SHA-1 HMAC avant d'installer le logiciel IdM.

Le client Heimdal ne parvient pas à authentifier un utilisateur à l'aide de PKINIT contre le KDC RHEL 9

Par défaut, un client Heimdal Kerberos initie l'authentification PKINIT d'un utilisateur IdM en utilisant Modular Exponential (MODP) Diffie-Hellman Group 2 pour Internet Key Exchange (IKE). Cependant, le Centre de distribution Kerberos (KDC) du MIT sur RHEL 9 ne prend en charge que les groupes MODP 14 et 16.

IdM en mode FIPS ne prend pas en charge l'utilisation du protocole NTLMSSP pour établir une confiance bidirectionnelle entre forêts

L'établissement d'une confiance bidirectionnelle entre Active Directory (AD) et Identity Management (IdM) avec le mode FIPS activé échoue parce que l'authentification NTLMSSP (New Technology LAN Manager Security Support Provider) n'est pas conforme à la norme FIPS. IdM en mode FIPS n'accepte pas le hachage NTLM RC4 que le contrôleur de domaine AD utilise lors de la tentative d'authentification.

Échec des demandes de certificats de transfert de technologie entre IdM et AD

Les informations du certificat d'attributs de privilèges (PAC) dans les tickets IdM Kerberos sont désormais signées avec le cryptage AES SHA-2 HMAC, qui n'est pas pris en charge par Active Directory (AD).

Le chiffrement et le déchiffrement de la chambre forte IdM échouent en mode FIPS

Le chiffrement OpenSSL RSA-PKCS1v15 est bloqué si le mode FIPS est activé. Par conséquent, les chambres fortes de gestion de l'identité (IdM) ne fonctionnent pas correctement, car IdM utilise actuellement le cryptage PKCS1v15 pour envelopper la clé de session avec le certificat de transport.

Les utilisateurs qui n'ont pas de SID ne peuvent pas se connecter à IdM après une mise à jour

Après la mise à niveau de votre réplique IdM vers RHEL 9.2, le centre de distribution Kerberos (KDC) IdM peut ne pas délivrer de tickets d'attribution de tickets (TGT) aux utilisateurs qui n'ont pas d'identifiants de sécurité (SID) attribués à leurs comptes. Par conséquent, les utilisateurs ne peuvent pas se connecter à leurs comptes.

Les utilisateurs IdM migrés peuvent être incapables de se connecter en raison de la non-concordance des identifiants de domaine

Si vous avez utilisé le script ipa migrate-ds pour migrer des utilisateurs d'un déploiement IdM à un autre, ces utilisateurs peuvent avoir des problèmes pour utiliser les services IdM parce que leurs identifiants de sécurité (SID) n'ont pas le SID du domaine de l'environnement IdM actuel. Par exemple, ces utilisateurs peuvent récupérer un ticket Kerberos avec l'utilitaire kinit, mais ils ne peuvent pas se connecter. Pour résoudre ce problème, consultez l'article suivant de la base de connaissances : Migrated IdM users unable to log in due to mismatching domain SIDs (Utilisateurs IdM migrés incapables de se connecter en raison de la non-concordance des SID de domaine).

MIT krb5 L'utilisateur ne parvient pas à obtenir un TGT AD en raison de l'incompatibilité des types de chiffrement générant le PAC de l'utilisateur

Dans MIT krb5 1.20 et les paquets ultérieurs, un certificat d'attribut de privilège (PAC) est inclus par défaut dans tous les tickets Kerberos. Le Centre de distribution Kerberos (KDC) du MIT sélectionne le type de chiffrement le plus puissant disponible pour générer la somme de contrôle du KDC dans le PAC, qui est actuellement le type de chiffrement AES HMAC-SHA2 défini dans la RFC8009. Cependant, Active Directory (AD) ne prend pas en charge cette RFC. Par conséquent, dans une configuration AD-MIT cross-realm, un utilisateur de MIT krb5 ne parvient pas à obtenir un ticket AD (TGT) parce que le TGT cross-realm généré par MIT KDC contient un type de somme de contrôle KDC incompatible dans le PAC.

Risque potentiel lié à l'utilisation de la valeur par défaut de l'option ldap_id_use_start_tls

L'utilisation de ldap:// sans TLS pour les recherches d'identité peut constituer un risque pour un vecteur d'attaque. En particulier une attaque de type "man-in-the-middle" (MITM) qui pourrait permettre à un pirate d'usurper l'identité d'un utilisateur en modifiant, par exemple, l'UID ou le GID d'un objet renvoyé lors d'une recherche LDAP.

L'ajout d'une réplique RHEL 9 en mode FIPS à un déploiement IdM en mode FIPS initialisé avec RHEL 8.6 ou une version antérieure échoue

La politique cryptographique FIPS par défaut de RHEL 9 visant à se conformer à la norme FIPS 140-3 n'autorise pas l'utilisation de la fonction de dérivation de clé des types de chiffrement AES HMAC-SHA1, telle que définie par la RFC3961, section 5.1.

SSSD enregistre correctement les noms DNS

Auparavant, si le DNS était mal configuré, SSSD échouait toujours lors de la première tentative d'enregistrement du nom DNS. Pour contourner ce problème, cette mise à jour fournit un nouveau paramètre : dns_resolver_use_search_list. Définissez dns_resolver_use_search_list = false pour éviter d'utiliser la liste de recherche DNS.

Directory Server se termine de manière inattendue lorsqu'il est démarré en mode de référence

En raison d'un bogue, le mode de renvoi global ne fonctionne pas dans Directory Server. Si vous démarrez le processus ns-slapd avec l'option refer en tant qu'utilisateur dirsrv, Directory Server ignore les paramètres du port et se termine de manière inattendue. Essayer d'exécuter le processus en tant qu'utilisateur root modifie les étiquettes SELinux et empêche le service de démarrer à l'avenir en mode normal. Il n'y a pas de solution de rechange disponible.

Directory Server ne peut importer des fichiers LDIF qu'à partir de /var/lib/dirsrv/slapd-instance_name/ldif/

Depuis RHEL 8.3, Red Hat Directory Server (RHDS) utilise ses propres répertoires privés et la directive PrivateTmp systemd est activée par défaut pour les services LDAP. Par conséquent, RHDS ne peut importer des fichiers LDIF qu'à partir du répertoire /var/lib/dirsrv/slapd-instance_name/ldif/ . Si le fichier LDIF est stocké dans un répertoire différent, tel que /var/tmp, /tmp, ou /root, l'importation échoue avec une erreur similaire à la suivante :

Les modules complémentaires de Firefox sont désactivés après la mise à niveau vers RHEL 9

Si vous passez de RHEL 8 à RHEL 9, tous les modules complémentaires que vous avez précédemment activés dans Firefox sont désactivés.

VNC ne fonctionne pas après la mise à niveau vers RHEL 9

Après une mise à niveau de RHEL 8 vers RHEL 9, le serveur VNC ne démarre pas, même s'il était activé auparavant.