在镜像构建器 Web 控制台中创建蓝图和镜像的一种新的改进方法

有了这个增强，您可以访问镜像构建器工具的统一版本，并大大改进用户体验。

能够在 /etc 目录中创建自定义文件和目录

有了这个增强，可以提供两个新的蓝图自定义。[[customizations.files]] 和 [[customizations.directories]] 蓝图自定义使您能够在镜像的 /etc 目录中创建自定义文件和目录。目前，您只能在 /etc 目录中使用这些自定义。

能够在蓝图中为 simplified-installer 镜像指定用户

在以前的版本中，当为简化的安装程序镜像创建蓝图时，您无法在蓝图自定义中指定用户，因为自定义没有被使用，且被丢弃了。有了这个更新，当您从蓝图创建镜像时，此蓝图会在安装过程中在 /usr/lib/passwd 目录下创建一个用户，并在 /usr/etc/shadow 目录下创建一个密码。您可以使用您为蓝图创建的用户名和密码登录到设备。请注意，在访问系统后，您需要使用 useradd 命令创建用户。

支持镜像构建器构建的 .vhd 镜像的 64 位 ARM

在以前的版本中，使用镜像构建器工具创建的 Microsoft Azure .vhd 镜像在 64 位 ARM 架构上不支持。这个更新增加了对 64 位 ARM Microsoft Azure .vhd 镜像的支持，现在您可以使用镜像构建器构建 .vhd 镜像，并将其上传到 Microsoft Azure 云。

最小 RHEL 安装现在只安装 s390utils-core 软件包

在 RHEL 8.4 及之后的版本中，s390utils-base 软件包被分成 s390utils-core 软件包，以及一个辅助 s390utils-base 软件包。因此，将 RHEL 安装设置为 minimal-environment 只安装必要的 s390utils-core 软件包，而不是辅助 s390utils-base 软件包。如果要在最小 RHEL 安装中使用 s390utils-base 软件包，则必须在完成 RHEL 安装或使用 kickstart 文件显式安装 s390utils-base 后手动安装软件包。

RHEL for Edge Simplified 镜像中的 Ignition 支持

有了这个增强，您可以通过自定义蓝图在简化的安装程序镜像中添加 Ignition 文件。GUI 和 CLI 都支持 Ignition 自定义。RHEL for Edge 使用 Ignition 置备工具在引导过程的早期阶段将用户配置注入镜像。首次启动时，Ignition 从远程 URL 或简化的安装程序镜像中嵌入的文件读取其配置，并将该配置应用到镜像中。

现在，可在蓝图中制作没有 FDO 自定义部分的简化的安装程序镜像

在以前的版本中，要构建 RHEL for Edge Simplified Installer 镜像，您必须在 FIDO 设备载入(FDO)自定义部分中添加详情。否则，镜像构建将失败。有了这个更新，蓝图中的 FDO 自定义现在是可选的，您可以构建 RHEL for Edge Simplified Installer 镜像，且无错误。

对 RHEL for Edge 镜像的启用 MicroShift 的红帽构建

有了这个增强，您可以在 RHEL for Edge 系统中启用 MicroShift 服务的红帽构建。通过使用 [[customizations.firewalld.zones]] 蓝图自定义，您可以为蓝图自定义中的 firewalld 源添加支持。为此，为区域指定名称以及该特定区域的源列表。源可以是 source[/mask]|MAC|ipset:ipset 的形式。

新的 dnf offline-upgrade 命令，用于在 RHEL 上离线更新

有了这个增强，您可以使用 DNF system-upgrade 插件中的新的 dnf offline-upgrade 命令对 RHEL 应用离线更新。

现在支持将公告安全过滤器应用到 dnf offline-upgrade

使用这个增强，添加了公告过滤的新功能。现在，您只能使用带有公告安全过滤器(--advisory、--security、--bugfix 及其他过滤器)的 dnf offline-upgrade 从指定的公告下载软件包及其依赖项。

unmount_plugins 函数现在可用于 DNF API

有了这个增强，在 DNF API 中已添加了新的 unload_plugins 函数，以允许插件卸载。

rpm2archive 的新的 --nocompression 选项

有了这个增强，--nocompression 选项已添加到 rpm2archive 工具中。您可以使用这个选项来避免在直接解包 RPM 软件包时压缩。

ReaR 现在在 64 位 IBM Z 构架上也被完全支持

在以前的版本中，基本的 Relax 和 Recover (ReaR)功能在 64 位 IBM Z 构架上作为技术预览提供，并完全支持 rear 软件包版本 2.6-17.el9 或更高版本。您只能在 z/VM 环境中的 IBM Z 架构上创建 ReaR 救援镜像。目前不支持备份和恢复逻辑分区(LPAR)。ReaR 仅在扩展计数密钥数据(ECKD)直接访问存储设备(DASD)上保存和恢复磁盘布局。不支持通过光纤通道协议(FCP)连接的固定的块访问(FBA) DASD 和 SCSI 磁盘用于此目的。当前唯一可用的输出方法是 Initial Program Load (IPL)，它会生成一个内核和一个与 zIPL 引导装载程序兼容的初始 ramdisk (initrd)。

systemd rebase 到版本 252

systemd 软件包已升级到版本 252。主要变更包括：

更新的 systemd-udevd 将一致的网络设备名称分配给 InfiniBand 接口

RHEL 9 中引入的 systemd 软件包的新版本包含更新的 systemd-udevd 设备管理器。设备管理器将 InfiniBand 接口的默认名称更改为 systemd-udevd 选择的一致性名称。

chrony rebase 到版本 4.3

chrony 套件已更新至版本 4.3。与版本 4.2 相比，主要改进包括：

frr rebase 到版本 8.3.1

用于管理动态路由堆栈的 frr 软件包已更新至版本 8.3.1。8.2.2 版本的显著变化包括：

vsftpd rebase 到版本 3.0.5

Very Secure FTP 守护进程(vsftpd)提供了一种在主机之间传输文件的安全方法。vsftpd 软件包已更新至版本 3.0.5。主要变化和增强包括以下 SSL 现代化：

frr 软件包现在包含目标 SELinux 策略

由于管理动态路由堆栈的 frr 软件包快速发展，新的功能和访问向量缓存(AVC)会频繁地出现问题。有了这个增强，SELinux 规则与 FRR 一起打包，以更快地解决任何问题。SELinux 通过实行强制访问控制策略，为软件包添加了额外的保护级别。

powertop rebase 到版本 2.15

用于提高能源效率的 powertop 软件包已更新至版本 2.15。主要变化和增强包括：

systemd-sysusers 工具在 chrony、dhcp、radvd 和 squid 软件包中提供

systemd-sysusers 工具在软件包安装过程中创建系统用户和组，并在删除软件包时删除它们。有了这个增强，以下软件包在其 scriptlets 中包含 systemd-sysusers 工具：

现在提供了用于频率同步的新 synce4l 软件包

SyncE (Synchronous Ethernet)是一个硬件功能，它使 PTP 时钟能够在物理层上实现频率的精确同步。在某些网络接口卡(NIC)和网络交换机中支持 SyncE。

tuned rebase 到版本 2.20.0

优化应用程序和工作负载性能的 TuneD 工具已更新至版本 2.20.0。2.19.0 的主要变化和增强包括：

libreswan rebase 到 4.9

libreswan 软件包已升级到版本 4.9。与以前版本相比的显著变化包括：

OpenSSL rebase 到 3.0.7

OpenSSL 软件包已更新至版本 3.0.7，其中包含各种 bug 修复和增强。最值得注意的是，默认供应商现在包含 RIPEMD160 哈希函数。

libssh 现在支持智能卡

现在，您可以通过公钥加密标准(PKCS)#11 统一资源标识符(URI)使用智能卡。因此，您可以将智能卡与 libssh SSH 库以及使用 libssh 的应用程序一起使用。

libssh rebase 到 0.10.4

用于实现安全远程访问和机器间文件传输的 SSH 协议的 libssh 库已更新至版本 0.10.4。

SELinux user-space 软件包已更新至 3.5

SELinux user-space 软件包 libselinux、libsepol、libsemanage、checkpolicy、mcstrans 和 policycoreutils ，其包含 sepolicy 工具，已更新至版本 3.5。主要改进和程序错误修复包括：

OpenSCAP rebase 到 1.3.7

OpenSCAP 软件包已 rebase 到上游版本 1.3.7。此版本提供各种程序错误修复和增强，最重要的是：

SCAP 安全指南 rebase 到 0.1.66

SCAP 安全指南(SSG)软件包已 reb ase到上游版本 0.1.66。此版本提供各种改进和程序错误修复，最重要的是：

新的用于闲置会话终止的 SCAP 规则

新的 SCAP 规则 logind_session_timeout 已添加到用于增强和高级别的 ANSSI-BP-028 配置文件中的 scap-security-guide 软件包中。此规则使用 systemd 服务管理器的新功能，并在一定时间后终止闲置用户会话。此规则提供多个安全策略所需的健壮的空闲会话终止机制的自动配置。因此，OpenSCAP 可以自动检查与终止闲置用户会话相关的安全要求，如有必要，修复它。

Rsyslog 日志文件的 scap-security-guide 规则与 RainerScript 日志兼容

scap-security-guide 中用于检查和修复 Rsyslog 日志文件的所有权、组所有权和权限的规则现在也与 RainerScript 语法兼容。现代系统已在 Rsyslog 配置文件中使用 RainerScript 语法，相应的规则无法识别此语法。因此，scap-security-guide 规则现在在两种可用语法中可以检查并修复 Rsyslog 日志文件的所有权、组所有权和权限。

Keylime rebase 到 6.5.2

keylime 软件包已 rebase 至上游版本 - keylime-6.5.2-5.el9。这个版本包含各种改进和 bug 修复，最重要的是：

Clevis 接受外部令牌

随着新的 -e 选项引入到 Clevis 自动加密工具，您可以提供一个外部令牌 ID，以避免在 cryptsetup 过程中输入密码。此功能使配置过程更加自动化、方便，特别是对于使用 Clevis 的软件包（如 stratis）等非常有用。

Rsyslog TLS 加密的日志现在支持多个 CA 文件

使用新的 NetstreamDriverCaExtraFiles 指令，您可以为 TLS 加密的远程日志记录指定额外的证书颁发机构(CA)文件的列表。请注意，新指令仅适用于 ossl (OpenSSL) Rsyslog 网络流驱动程序。

Rsyslog 权限是有限制的

Rsyslog 日志处理系统的权限现在仅限于 Rsyslog 明确所需的权限。这可最小化在输入资源（如网络插件）中出现潜在的错误时，最大限度地减少安全风险。因此，Rsyslog 具有相同的功能，但没有不必要的特权。

SELinux 策略允许 Rsyslog 在启动时丢弃特权

因为 Rsyslog 日志处理系统的特权现在被限制为最大程度减少安全风险(RHBZ#2127404），所以 SELinux 策略已被更新，以允许 rsyslog 服务在启动时丢弃特权。

Tang 现在使用 systemd-sysusers

Tang 网络呈现服务器现在通过 systemd-sysusers 服务，而不是包含 useradd 命令的 shell 脚本来添加系统用户和组，。这简化了系统用户列表的检查，您还可以通过提供具有更高优先级的 sysuser.d 文件来覆盖系统用户的定义。

opencryptoki rebase 到 3.19.0

opencryptoki 软件包已 rebase 至版本 3.19.0，它提供很多改进和 bug 修复。最值得注意的是， opencryptoki 现在支持以下功能：

SELinux 现在限制 mptcpd 和 udftools

有了这个 selinux-policy 软件包的更新，SELinux 会限制以下服务：

fapolicyd 现在提供对 RPM 数据库的过滤

使用新的配置文件 /etc/fapolicyd/rpm-filter.conf，您可以自定义 fapolicyd 软件框架存储在信任数据库中的 RPM-database 文件的列表。这样，您可以阻止 RPM 安装的某些应用程序，或者允许被默认的配置过滤器拒绝的应用程序。

GnuTLS 可以在解密和加密过程中添加和删除填充

在解密和加密过程中，某些协议的实现需要 PKCS#7 填充。gnutls_cipher_encrypt3 和 gnutls_cipher_decrypt3 块密码函数已添加到 GnuTLS 中，以透明地处理填充。因此，如果原始纯文本的长度不是块大小的倍数，则您现在可以将这些函数与 GNUTLS_CIPHER_PADDING_PKCS7 标志结合使用，以自动添加或删除填充。

NSS 不再支持少于 1023 位的 RSA 密钥

网络安全服务(NSS)库的更新将所有 RSA 操作的最小密钥大小从 128 位改为 1023 位。这意味着 NSS 不再执行以下功能：

现在，在启用了 FIPS 的系统上强制 Extended Master Secret TLS 扩展

随着 RHSA-2023:3722 公告的发布，在启用了 FIPS 的 RHEL 9 系统上，对 TLS 1.2 连接强制Extended Master Secret (EMS)扩展 (RFC 7627) 。这符合 FIPS-140-3 要求。TLS 1.3 不受影响。

NetworkManager rebase 到版本 1.42.2

NetworkManager 软件包已升级到上游版本 1.42.2，与以前的版本相比，它提供很多改进和 bug 修复：

使用 NetworkManager ，在 ECMP 路由中引入了 weight 属性

有了这个更新，在定义 IPv4 Equal-Cost Multi-Path (ECMP)路由时，RHEL 9 支持一个新的属性 weight。您可以使用 NetworkManager 配置多路径路由来负载均衡和稳定网络流量。这允许对两个节点之间的数据传输使用多路径，这提高了网络效率，并在链接失败时提供冗余。使用 weight 属性的条件包括：

NetworkManager 更新为跨多个网络的 DNS 配置提高了灵活性

有了这个更新，您可以使用 /etc/Networkmanager/NetworkManager.conf 文件中现有的 [global-dns] 部分来配置 DNS 选项，而无需在 [global-dns-domain-*] 部分中指定 nameserver 值。这使您能够在 /etc/resolv.conf 文件中配置 DNS 选项，同时仍依赖于网络连接为实际 DNS 解析提供的 DNS 服务器。因此，这个功能可在使用不同的 DNS 服务器连接到不同的网络时更轻松更灵活地管理 DNS 设置。特别是当您使用 /etc/resolv.conf 文件来配置 DNS 选项时。

NetworkManager 现在支持一个新的 vlan.protocol 属性

有了这个更新，vlan 接口类型接受一个新的 protocol 属性。属性类型是字符串。接受的值是 802.1Q（默认）或 802.1ad。新属性指定哪个 VLAN 协议控制封装的标签标识符。

NetworkManager 现在允许通过非受管接口的 VLAN 配置

有了这个增强，在使用 NetworkManager 配置虚拟 LAN (VLAN)时，您可以使用非受管网络接口作为基本接口。因此，VLAN 基础接口保持不变，除非通过 nmcli device set enp1s0 managed true 命令明确更改，或者通过 NetworkManager 的其他 API。

现在完全支持使用 NetworkManager 配置多路径 TCP

在这个版本中，NetworkManager 工具为您提供了多路径 TCP (MPTCP) 功能。您可以使用 nmcli 命令控制 MPTCP，并使其设置持久。

NetworkManager 工具现在支持激活 loopback 接口上的连接

管理员可以管理 loopback ，来：

现在支持 balance-slb 绑定模式

新的 balance-slb 绑定模式源负载均衡不需要交换机配置。balance-slb 使用 xmit_hash_policy=vlan+srcmac划分源以太网地址上的流量，NetworkManager 为流量过滤添加必要的 nftables 规则。现在，您可以使用 NetworkManager 启用的 balance-slb 选项创建绑定配置文件。

firewalld rebase 到版本 1.2

firewalld 软件包已升级到版本 1.2，该版本提供了多个改进。主要变更包括：

firewalld 现在支持启动 failsafe 机制

有了这个增强，firewalld 会在启动失败时回到 failsafe 默认值。此功能在出现无效配置或其他启动问题时保护主机。因此，即使用户配置无效，运行 firewalld 的主机也会启动 failsafe。

conntrack-tools rebase 到版本 1.4.7

conntrack-tools 软件包已升级至版本 1.4.7，它提供多个 bug 修复和增强。主要变更包括：

nmstate API 现在支持 IPv6 本地链接地址作为 DNS 服务器

有了这个增强，您可以使用 nmstate API 将 IPv6 本地链接地址设置为 DNS 服务器。使用 <link-local_address>%<interface> 格式，例如：

nmstate API 现在支持 MPTCP 标记

这个更新增强了支持 MultiPath TCP (MPTCP)标记的 nmstate API。因此，您可以使用 nmstate 来对具有静态或动态 IP 地址的接口设置 MPTCP 地址标记。

min-mtu 和 max-mtu 属性已添加到所有接口上的 MTU

在以前的版本中，异常信息不够清晰，不足以了解支持的 MTU 范围。此更新为所有接口引入了 min-mtu 和 max-mtu 属性。因此，当所需的 MTU 超出范围时，nmstate 将指示支持的 MTU 范围。

NetworkManager 现在允许通过非受管接口的 VLAN 配置

有了这个增强，在使用 NetworkManager 配置虚拟 LAN (VLAN)时，您可以使用非受管网络接口作为基本接口。因此，VLAN 基础接口保持不变，除非通过 nmcli device set enp1s0 managed true 命令明确更改，或者通过 NetworkManager 的其他 API。

现在支持 balance-slb 绑定模式

新的 balance-slb 绑定模式源负载均衡不需要交换机配置。balance-slb 使用 xmit_hash_policy=vlan+srcmac划分源以太网地址上的流量，NetworkManager 为流量过滤添加必要的 nftables 规则。现在，您可以使用 NetworkManager 启用的 balance-slb 选项创建绑定配置文件。

Nmstate 中的新 weight 属性

此更新在 Nmstate API 和工具套件中引入了 weight 属性。您可以使用 weight 来指定 Equal Cost Multi-Path 路由(ECMP)组中每个路径的相对权重。权重是 1 到 256 之间的数字。因此，Nmstate 中的 weight 属性对 ECMP 组中流量分布提供了更大的灵活性和控制。

xdp-tools rebase 到版本 1.3.1

xdp-tools 软件包已升级到上游版本 1.3.1，与之前的版本相比，其提供了很多改进和 bug 修复：

iproute rebase 到版本 6.1.0

iproute 软件包已升级至版本 6.1.0，其提供多个 bug 修复和增强。主要变更包括：

现在，内核会在 SYN 洪水信息中记录侦听地址

此增强将侦听的 IP 地址添加到 SYN 洪水信息中：

为 VLAN 接口引进新的 nmstate 属性

使用此 nmstate 框架的更新，引进了以下 VLAN 属性：

RHEL 9.2 中的内核版本

Red Hat Enterprise Linux 9.2 与内核版本 5.14.0-284.11.1 一起分发。

64k 页大小内核现在可用

除了支持 4k 页的 ARM 内核的 RHEL 9 外，红帽现在还提供了支持 64k 页的可选内核软件包： kernel-64k。

启用了对 kexec-tools 的 virtiofs 支持

此增强通过引入新选项为 kexec-tools 添加了 virtiofs 功能，virtiofs myfs，其中 myfs 是 qemu 命令行中设置的变量标签名称，例如 -device vhost-user-fs-pci,tag=myfs

kexec-tools 软件包现在对远程 kdump 目标添加了改进

有了此增强，kexec-tools 软件包添加了重要的 bug 修复和增强。最显著的变化包括：

BPF rebase 到版本 6.0

Berkeley Packet Filter (BPF)工具已 rebase 至具有多个增强的 Linux 内核版本 6.0。此更新使启用了所有依赖于 BPF 类型格式(BTF)的 BPF 功能。这些功能包括使用 BPF trampolines 进行追踪、Compile Once - Run Everywhere (CO-RE)机制的可用性以及几个与网络相关的功能。另外，内核模块现在包含调试信息，这意味着您不再需要安装 debuginfo 软件包来检查正在运行的模块。

rtla meta-tool 添加了 osnoise 和 timerlat 追踪程序，以提高追踪能力

Real-Time Linux Analysis (rtla)是一个 meta-tool，其中包含一组用于分析 Linux 实时属性的命令。rtla 利用内核追踪功能来提供有关意外系统结果的属性和根本原因的确切信息。rtla 目前添加了对 osnoise 和 timerlat 追踪程序命令的支持：

Tuna 的 argparse 模块现在支持配置 CPU 套接字

有了这个增强，当有多个 CPU 套接字时，您可以指定特定的 CPU 套接字。您可以在子命令上使用 -h 来查看帮助用法，例如 tuna show_threads -h。

Tuna 中 cgroups 和 irqs 的输出格式已被改进，以提供更好的可读性

有了这个增强，cgroup 工具的 tuna show_threads 命令输出现在根据终端大小进行构建。您还可以通过向 show_threads 命令添加新的 -z 或 --spaced 选项，将额外的空格配置到 cgroups 输出。

向 tuna 工具中实时添加了一个新的命令行界面

此增强向 tuna 工具添加了一个新的命令行界面，该工具基于 argparse 解析模块。有了这个更新，您可以执行以下任务：

rteval 命令输出现在包括程序加载和测量线程信息

rteval 命令现在显示带有程序负载、测量线程以及运行这些线程的相应 CPU 的报告概述。这些信息有助于评估特定硬件平台上负载下实时内核的性能。

在 oslat 程序中添加了 -W 和 --bucket-width 选项来测量延迟

有了这个增强，您可以以纳秒的精度为单个存储桶指定延迟范围。不是 1000 纳秒倍数的 Widths 表示纳秒的精度。通过使用新选项 -W 或 --bucket-width，您可以修改存储桶之间的延迟间隔，以便在微秒延迟时间内测量延迟。

NVMe/FC 传输协议作为 kdump 存储目标启用

kdump 机制现在提供对通过 Fibre Channel (NVMe/FC)协议作为转储目标的 Nonvolatile Memory Express (NVMe)协议的支持。有了这个更新，您可以配置 kdump 来将内核崩溃转储文件保存在 NVMe/FC 存储目标上。

crash-utility 工具已 rebase 至版本 8.0.2

分析活跃系统状态或在内核崩溃后分析活跃系统状态的 crash-utility 已 rebase 到版本 8.0.2。主要更改包括添加了对 multiqueue (blk-mq) 设备的支持。通过使用 dev -d 或 dev -D 命令，您可以显示 multiqueue (blk-mq) 设备的磁盘 I/O 统计信息。

openssl-ibmca rebase 到版本 2.3.1

64 位 IBM Z 架构上的 IBMCA 的动态 OpenSSL 引擎和提供程序已 rebase 到上游版本 2.3.1。建议 RHEL 9 用户使用 OpenSSL 提供程序 来确保与 OpenSSL 的未来更新兼容。engine 功能已在 OpenSSL 版本 3 中弃用。

使用客户密钥的安全客户机转储加密

这个新功能允许安全执行客户机的 hypervisor 发起的转储在 kdump 工具无法正常工作的情况下从 KVM 收集内核崩溃信息。请注意，安全执行的 hypervisor 发起的转储是为 IBM Z 系列 z16 和 LinuxONE Emperor 4 硬件设计的。

ADL-S 平台上实时的 TSN 协议已启用

有了这个增强，I IEEE Time Sensitive Networking (TSN)规范允许在 Intel Alder Lake S (ADL-S)平台上通过网络启用时间同步和实时工作负载的确定性处理。它支持以下网络设备：

Intel ice 驱动程序 rebase 到版本 6.0.0

Intel ice 驱动程序已升级至上游版本 6.0.0，与之前的版本相比，它提供了大量的改进和 bug 修复。主要改进包括：

gnss 模块的写数据的选项现在可用

这个更新提供了将数据写到 gnss 接收器的选项。在以前的版本中，gnss 不能完全配置。有了这个增强，所有 gnss 功能现在都可用。

为 IBM zSystems 托管安全引导证书

从 IBM z16 A02/AGZ 和 LinuxONE Rockhopper 4 LA2/AGL 开始，您可以在硬件管理控制台(HMC)上启动启用了安全引导的系统时管理用于验证 Linux 内核的证书。值得注意的是：

zipl 支持 64 位 IBM Z 上的安全引导 IPL 和转储

使用此更新，zipl 工具支持 64 位 IBM Z 架构上Extended Count Key Data (ECKD) Direct Access Storage Devices (DASD)中的 List-Directed IPL 和 List-Directed 转储。因此，IBM Z 上 RHEL 的安全引导也适用于 DASD 的 ECKD 类型。

rtla rebase 到上游 kernel 源代码的 6.6 版本

rtla 工具已升级到最新的上游版本，其提供多个 bug 修复和增强。主要变更包括：

nvme-cli rebase 到版本 2.2.1

nvme-cli 软件包已升级到版本 2.2.1，其提供多个 bug 修复和增强。主要变更包括：

libnvme rebase 到版本 1.2

libnvme 软件包已升级到版本 1.2，其提供多个 bug 修复和增强。最显著的变化是丢弃了 libuuid 库的依赖项。

Stratis 在池中强制实施一致的块大小

Stratis 现在在池中强制实施一致的块大小，以解决池中存在混合块大小设备时可能会出现的潜在边缘情况问题。有了这个增强，用户无法再创建池，或者添加与池中现有设备有不同块大小的设备。因此，池失败的风险降低了。

支持 Stratis 池中现有磁盘增长

在以前的版本中，当用户向 RAID 阵列中添加新磁盘时，RAID 阵列的大小通常会增加。然而，在所有情况下，Stratis 会忽略大小的增加，并继续使用 RAID 阵列中第一个添加到池中的空间。因此，Stratis 无法识别新设备，用户无法增加池的大小。

改进了 lvreduce 命令的功能

有了这个增强，当逻辑卷(LV)处于活跃状态时，lvreduce 命令会检查是否缩小 LV 大小是否会破坏其上存在的任何文件系统。如果 LV 上的文件系统需要减少，并且没有启用 lvreduce resizefs 选项，则不会缩小 LV。

添加了 statx 的直接 I/O 对齐信息

此更新向 statx(2) 调用引入了一个新的掩码值 "STATX_DIOALIGN" 。当在 stx_mask 字段中设置这个值时，它会请求 stx_dio_mem_align 和 stx_dio_offset_align 值，这两个值分别表示用户内存缓冲区所需的对齐（以字节为单位）以及该文件上直接I/O（O_DIRECT）的文件偏移和I/O 段长度。如果不支持文件上的直接 I/O，则两个值都是 0。现在，这个接口已为块设备以及 RHEL9 中的 xfs 和 ext4 文件系统上的文件实现。

NFSv4.1 会话中继发现

有了这个更新，客户端可以使用到同一服务器的多个连接和会话，从而加快数据传输。当 NFS 客户端挂载具有不同 IP 地址的多主目录 NFS 服务器时，默认只使用一个连接，忽略其余的连接。为提高性能，这个更新添加了对 trunkdiscovery 和 max_connect 挂载选项的支持，该选项可让客户端测试每个连接，并将多个连接与同一个 NFSv4.1+ 服务器和会话关联。

NFS IO 大小现在可以设为 TCP 和 RDMA 的 PAGE_SIZE 的倍数

此更新允许用户将 NFS IO 大小设为 TCP 和 RDMA 连接的 PAGE_SIZE 的倍数。这在优化某些构架的 NFS 性能方面提供了更大的灵活性。

nfsrahead 已添加到 RHEL 9 中

随着 nfsrahead 工具的引入，您可以使用它来修改 NFS 挂载的 readahead 值，因此会影响 NFS 的读性能。

新的 enable-authfile Booth 配置选项

当您在集群配置中创建 Booth 配置以使用 Booth 票据管理器时，pcs booth setup 命令现在默认启用新的 enable-authfile Booth 配置选项。您可以使用 pcs booth enable-authfile 命令在现有集群上启用这个选项。另外，pcs status 和 pcs booth status 命令现在会在检测到可能的 enable-authfile 错误配置时显示警告。

pcs 现在可以运行资源和 stonith 代理的 validate-all 操作

当创建或更新资源或 STONITH 设备时，您现在可以指定 --agent-validation 选项。有了此选项，pcs 使用代理的 validate-all 操作（当它可用时），除了 pcs 根据代理元数据的所完成的验证外。

RHEL 9 中 Python 3.11 可用

RHEL 9.2 引入了 Python 3.11，由新软件包 python3.11 提供，以及为其构建的一套软件包，以及 ubi9/python-311 容器镜像。

nodejs:18 rebase 到版本 18.14，npm rebase 到版本 9

更新的 Node.js 18.14 包括 npm 从版本 8 到 9 的 SemVer 主升级。由于维护原因，这个更新是必需的，可能需要调整 npm 配置。

git rebase 到版本 2.39.1

Git 版本控制系统已更新至版本 2.39.1，与之前发布的版本 2.31 相比，它提供了 bug 修复、功能增强和性能改进。

git-lfs rebase 到版本 3.2.0

Git 大文件存储(LFS) 扩展已更新至版本 3.2.0，与之前发布的版本 2.13 相比，其提供了 bug 修复、增强和性能改进。

新模块流：nginx:1.22

nginx 1.22 web 和代理服务器现在作为 nginx:1.22 模块流提供。与之前发布的版本 1.20 相比，这个更新提供了很多 bug 修复、安全修复、新功能和增强。

mod_security rebase 到版本 2.9.6

Apache HTTP 服务器的 mod_security 模块已更新至版本 2.9.6，与之前可用的版本 2.9.3 相比，其提供了新功能、bug 修复和安全修复。

新软件包：tomcat

RHEL 9.2 引入了 Apache Tomcat 服务器版本 9。Tomcat 是 Java Servlet 和 JavaServer Pages 技术官方参考实现中使用的 servlet 容器。Java Servlet 和 JavaServer Pages 规范是由 Sun 在 Java 社区流程下开发的。Tomcat 是在开放和参与的环境中开发的，并在 Apache 软件许可证版本 2.0 下发布。

新模块流：postgresql:15

RHEL 9.2 引入了 PostgreSQL 15 作为 postgresql:15 模块流。与版本 13 相比，PostgreSQL 15 提供了很多新功能和增强。主要变更包括：

openblas rebase 到版本 0.3.21

OpenBLAS 库已更新至版本 0.3.21。这个更新包括 IBM POWER10 平台的性能优化补丁。

新模块流：swig:4.1

RHEL 9.2 引入了 Simplified Wrapper 和 Interface Generator (SWIG)版本 4.1 作为 CodeReady Linux Builder (CRB)存储库中提供的 swig:4.1 模块流。请注意，不支持 CodeReady Linux Builder 存储库中包含的软件包。

新软件包：CRB 存储库中的 jmc

RHEL 9.2 引入了 HotSpot JVMs 版本 8.2.0 的 JDK Mission Control (JMC)配置集，作为 AMD 和 Intel 64 位架构的 CodeReady Linux Builder (CRB)存储库中的 jmc 软件包提供。

OpenJDK 服务属性现在在 FIPS 模式下可用

在以前的版本中，OpenJDK 在 FIPS 模式下提供的加密服务和算法被严格过滤，导致服务属性不可用。有了这个增强，这些服务属性在 FIPS 模式下可用。

Performance Co-Pilot rebase 到版本 6.0

Performance Co-Pilot (PCP)已更新至版本 6.0。主要改进包括：

grafana rebase 到版本 9.0.9

grafana 软件包已 rebase 至版本 9.0.9。主要变更包括：

grafana-pcp rebase 到版本 5.1.1

grafana-pcp 软件包已 rebase 到版本 5.1.1。主要变更包括：

更新了 GCC Toolset 12

GCC Toolset 12 是一个编译器工具集，提供了开发工具的最新版本。它在 AppStream 存储库中以软件集合的形式作为应用程序流提供。

现在，更新的 GCC 编译器可用于 RHEL 9.2

系统 GCC 编译器版本 11.3.1 已更新，以包含上游 GCC 中的很多 bug 修复和增强。

LLVM Toolset rebase 到版本 15.0.7

LLVM Toolset 已更新至版本 15.0.7。主要变更包括：

Rust Toolset rebase 到版本 1.66.1

Rust Toolset 已更新到版本 1.66.1。主要变更包括：

Go Toolset rebase 到版本 1.19.6

Go Toolset 已更新到版本 1.19.6。主要变更包括：

tzdata 软件包现在包含 /usr/share/zoneinfo/leap-seconds.list 文件

在以前的版本中，tzdata 软件包只提供 /usr/share/zoneinfo/leapseconds 文件。有些应用程序依赖于 /usr/share/zoneinfo/leap-seconds.list 文件提供的备用格式，因此会出现错误。

SSSD 支持将主目录转换为小写

有了这个增强，您现在可以配置 SSSD ，来将用户主目录转换为小写。这有助于与 RHEL 环境的区分大小写的性质更好地集成。/etc/sssd/sssd.conf 文件的 [nss] 部分中的 override_homedir 选项现在可识别 %h 模板值。如果您使用 %h 作为 override_homedir 定义的一部分，SSSD 会用小写的用户主目录替换 %h。

SSSD 现在支持使用 shadow 密码策略更改 LDAP 用户密码

有了这个增强，如果您在 /etc/sssd/sssd.conf 文件中将 ldap_pwd_policy 设为 shadow，则 LDAP 用户现在可以更改存储在 LDAP 中的密码。在以前的版本中，如果 ldap_pwd_policy 设为 shadow，则密码更改将被拒绝，因为不清楚是否正在更新相应的 shadow LDAP 属性。

IdM 现在支持 min_lifetime 参数

有了此增强，min_lifetime 参数已添加到 /etc/gssproxy114.conf 文件中。如果剩余生命周期低于这个值，则 min_lifetime 参数会触发续订服务票据。

ipapwpolicy ansible-freeipa 模块现在支持新的密码策略选项

有了这个更新，ansible-freeipa 软件包中包含的 ipapwpolicy 模块支持额外的 libpwquality 库选项：

IdM 现在支持 ipanetgroup Ansible 管理模块

作为身份管理(IdM)系统管理员，您可以将 IdM 与 NIS 域和 netgroup 集成。使用 ipanetgroup ansible-freeipa 模块，您可以实现以下内容：

新的 ipaclient_configure_dns_resolver 和 ipaclient_dns_servers Ansible ipaclient 角色变量指定客户端的 DNS 解析器  

在以前的版本中，当使用 ansible-freeipa ipaclient 角色安装身份管理(IdM)客户端时，无法在安装过程中指定 DNS 解析器。您必须在安装前配置 DNS 解析器。   

使用 ipaclient 角色安装带有 OTP 的 IdM 客户端不需要之前修改 Ansible 控制器

在以前的版本中，Ansible 控制器上的 kinit 命令是获取身份管理(IdM)客户端部署的一次性密码(OTP)的先决条件。在 Red Hat Ansible Automation Platform (AAP)上获取 OTP 是一个问题，因为默认情况下没有安装 krb5-workstation 软件包。

IdM 现在在 Kerberos 票据中强制存在 MS-PAC 结构

从 RHEL 9.2 开始，为了提高安全性，身份管理(IdM)和 MIT Kerberos 现在强制在 RHEL IdM Kerberos 分发中心(KDC)发布的 Kerberos 票据存在特权属性证书(MS-PAC)结构。

KDC 的新领域配置模板启用 FIPS 140-3 兼容密钥加密

此更新在 /var/kerberos/krb5kdc/kdc.conf 文件中提供了一个新的 EXAMPLE.COM 示例领域配置。它会带来两个变化：

使用配置文件配置 pam_pwhistory

有了这个更新，您可以在 /etc/security/pwhistory.conf 配置文件中配置 pam_pwhistory 模块。pam_pwhistory 模块保存了每个用户的最后一个密码，以管理密码更改历史记录。authselect 中还添加了支持，允许您向 PAM 堆栈中添加 pam_pwhistory 模块。

IdM 现在支持新的活动目录证书映射模板

活动(AD)域管理员可以使用 altSecurityIdentities 属性手动将证书映射到 AD 中的用户。此属性有六个值，但三个映射现在被视为不安全。作为 2022 年 5 月 10 日安全更新 的一部分，当这个更新安装在域控制器上后，所有设备都处于兼容性模式。如果证书被弱映射到用户，则身份验证会如预期发生，但会记录一条警告信息，标识与完整执行模式不兼容的证书。从 2023 年 11 月 14 日起，所有设备都将更新为全强制模式，如果证书不符合强映射标准，则身份验证将被拒绝。

samba rebase 到版本 4.17.5

samba 软件包已升级到上游版本 4.17.5，与之前的版本相比，它提供了 bug 修复和增强。最显著的更改：

ipa-client-install 现在支持使用 PKINIT 进行身份验证

在以前的版本中，ipa-client-install 仅支持基于密码的身份验证。这个更新支持使用 PKINIT 进行身份验证的 ipa-client-install 。

Red Hat IdM 和证书系统现在支持 EST 协议

通过安全传输(EST)注册是一个新的证书系统子系统功能，它在 RFC 7030 中指定，用于提供证书颁发机构(CA)的证书。EST 实现服务器端的操作，如 /getcacerts、/simpleenroll 和 /simplereenroll。

增强负缓存使用率

这个更新提高了按安全标识符(SID)查找的 SSSD 性能。现在，它将在单个域的负缓存中存储不存在的 SID，并请求 SID 所属的域。

目录服务器现在支持 TLS 的 ECDSA 私钥

在以前的版本中，您无法使用比 RSA 更强大的加密算法来保护目录服务器连接。有了这个增强，目录服务器现在同时支持 ECDSA 和 RSA 密钥。

目录服务器现在支持搜索操作的扩展日志记录

在以前的版本中，访问日志中的记录不显示为何一些搜索操作有非常大的 etime 值。有了这个版本，您可以启用统计信息的日志，如多个索引查找（数据库读取操作）以及每个搜索操作的索引查找的整个持续时间。这些统计信息记录有助于分析为什么 etime 值会如此耗费资源。

NUNC_STANS 错误日志记录级别被新的 1048576 日志记录级别替代

在以前的版本中，您无法轻松地调试密码策略问题。对错误日志使用新的 1048576 日志记录级别，您现在可以检查以下密码策略信息：

目录服务器引入了安全日志

为了为了随着时间的推移正确地跟踪问题，目录服务器现在有一个专门维护安全数据的日志。与具有所有信息的访问日志相比，安全日志不会快速轮转，且消耗较少的磁盘资源，但需要昂贵的解析来获取安全数据。

目录服务器现在可以压缩归档的日志文件

在以前的版本中，不压缩归档的日志文件。有了这个版本，您可以启用访问、错误、审计、审计失败日志、安全日志文件压缩来保存磁盘空间。请注意，默认只启用安全日志文件压缩。

新的 pamModuleIsThreadSafe 配置选项现在可用

当 PAM 模块是线程安全的时，您可以通过将新的 pamModuleIsThreadSafe 配置选项设置为 yes 来提高 PAM 身份验证吞吐量和特定模块的响应时间：

目录服务器现在可以导入证书包

在以前的版本中，当尝试使用 dsconf 或 dsctl 工具添加证书包时，流程会失败，并显示错误，证书包没有被导入。此行为是由 certutil 工具造成的，其一次只能导入一个证书。有了这个更新，目录服务器可以使用 certutil 临时解决问题，证书包可被成功添加。

默认行为更改：目录服务器现在返回一个与添加到数据库时拼写完全相同的 DN

使用 cn=config 条目下的新的 nsslapd-return-original-entrydn 参数，您可以管理目录服务器如何在搜索操作期间返回条目的可分辨名称(DN)。

MIT Kerberos 支持 Ticket 和 Extended KDC MS-PAC 签名

使用此更新，红帽使用的 MIT Kerberos 实现对 Microsoft 引入的两种 Privilege Attribute 证书(PAC)签名类型的支持，以响应最新的 CVE。具体来说，支持以下签名：

用于目录服务器审计日志的新的 nsslapd-auditlog-display-attrs 配置参数

在以前的版本中，区分名称(DN)是在审计日志事件中识别目标条目的唯一方法。使用新的 nsslapd-auditlog-display-attrs 参数，您可以将目录服务器配置为在审计日志中显示额外的属性，提供有关修改的条目的更多详情。

禁用滑动切换工作区

在以前的版本中，用三个手指向上或向下滑动总是能在触摸屏上切换工作区。有了这个版本，您可以禁用工作区切换。

Wayland 现在在 Aspeed GPU 上启用

在以前的版本中，Aspeed GPU 驱动程序表现不够好，不能运行 Wayland 会话。要临时解决这个问题，对 Aspeed GPU 禁用 Wayland 会话。

在桌面上自定义右键菜单

现在，您可以自定义在右键点击桌面背景时打开的菜单。您可以在运行任意命令的菜单中创建自定义条目。

现在，Web 控制台中提供了某些加密子策略

这个 RHEL web 控制台的更新扩展了 Change crypto policy 对话框中的选项。除了四个系统范围的加密策略外，您现在还可以通过图形界面应用以下子策略：

Web 控制台现在执行额外的步骤，将 LUKS 加密根卷绑定到 NBDE

有了这个更新，RHEL web 控制台执行将 LUKS 加密的根卷绑定到网络绑定磁盘加密(NBDE)部署所需的额外步骤。选择加密的根文件系统和 Tang 服务器后，您可以跳过将 rd.neednet=1 参数添加到内核命令行中，安装 clevis-dracut 软件包，以及重新生成初始的 ramdisk (initrd)。对于非 root 文件系统，web 控制台现在启用 remote-cryptsetup.target 和 clevis-luks-akspass.path systemd 单元，安装 clevis-systemd 软件包，并将 _netdev 参数添加到 fstab 和 crypttab 配置文件中。现在，在为自动解锁 LUKS 加密的根卷创建 NBDE 部署时，您可以对所有 Clevis-client 配置步骤使用图形界面。

路由规则可根据其名称查找路由表

有了这个更新，rhel-system-roles.network RHEL 系统角色支持在定义路由规则时按名称查找路由表。此功能为复杂网络配置提供快速导航，其中您需要对不同的网络段有不同的路由规则。

network 系统角色支持设置 DNS 优先级值

此增强向 RHEL network 系统角色添加 dns_priority 参数。您可以将此参数设为 -2147483648 到 2147483647 的值。默认值为 0。较低的值具有较高的优先级。请注意，负值会导致系统角色排除带有更大数字优先级值的其他配置。因此，如果至少有一个负优先级值，系统角色只使用具有最低优先级值的连接配置文件中的 DNS 服务器。

vpn RHEL 系统角色的新 IPsec 自定义参数

因为某些网络设备需要 IPsec 自定义才能正常工作，所以以下参数必须添加到 vpn RHEL 系统角色中：

selinux RHEL 系统角色现在支持 local 参数

这个 selinux RHEL 系统角色的更新引进了对 local 参数的支持。通过使用此参数，您只能删除本地策略修改，并保留内置的 SELinux 策略。

ha_cluster 系统角色现在支持对 firewall、selinux 的自动执行，以及 certificate 系统角色

ha_cluster RHEL 系统角色现在支持以下功能：

postfix RHEL 系统角色现在可以使用 firewall 和 selinux RHEL 系统角色来管理端口访问

有了这个增强，您可以使用新角色变量 postfix_manage_firewall 和 postfix_manage_selinux 自动管理端口访问：

vpn RHEL 系统角色现在可以使用 firewall 和 selinux 角色来管理端口访问

有了这个增强，您可以通过 firewall 和 selinux 角色在 vpn RHEL 系统角色中自动管理端口访问。如果将新角色变量 vpn_manage_firewall 和 vpn_manage_selinux 设为 true，则角色将管理端口访问。

logging RHEL 系统角色现在支持端口访问和证书的生成

有了这个增强，您可以使用 logging 角色来管理端口访问，并使用新角色变量生成证书。如果将新角色变量 logging_manage_firewall 和 logging_manage_selinux 设为 true，则角色将管理端口访问。用于生成证书的新角色变量是 logging_certificates。类型和用法与 certificate 角色 certificate_requests 相同。现在，您可以使用 logging 角色直接自动化执行这些操作。

metrics RHEL 系统角色现在可以使用 firewall 角色和 selinux 角色管理端口访问

有了这个增强，您可以控制对端口的访问。如果将新角色变量 metrics_manage_firewall 和 metrics_manage_firewall 设为 true，则角色将管理端口访问。现在，您可以使用 metrics 角色直接自动化并执行这些操作。

nbde_server RHEL 系统角色现在可以使用 firewall 和 selinux 角色管理端口访问

有了这个增强，您可以使用 firewall 和 selinux 角色管理端口访问。如果将新角色变量 nbde_server_manage_firewall 和 nbde_server_manage_selinux 设为 true，则角色将管理端口访问。现在，您可以使用 nbde_server 角色直接自动化这些操作。

initscripts 网络供应商支持默认网关的路由指标配置

有了这个更新，您可以使用 rhel-system-roles.network RHEL 系统角色中的 initscripts 网络供应商来配置默认网关的路由指标。

cockpit RHEL 系统角色与 firewall、selinux 和 certificate 角色集成

此功能增强使您能够将 cockpit 角色与 firewall 角色和 selinux 角色集成，来管理端口访问和 certificate 角色集成来生成证书。

直接与活动目录集成的新的 RHEL 系统角色

新的 rhel-system-roles.ad_integration RHEL 系统角色已添加到 rhel-system-roles 软件包中。因此，现在管理员可以自动将 RHEL 系统直接与活动目录域集成。

新的 Red Hat Insights 和订阅管理的 Ansible 角色

rhel-system-roles 软件包现在包含远程主机配置(rhc)系统角色。此角色使管理员能够轻松地将 RHEL 系统注册到 Red Hat Subscription Management (RHSM)和 Satellite 服务器。默认情况下，当使用 rhc 系统角色注册系统时，系统会连接到 Red Hat Insights。有了新的 rhc 系统角色，管理员现在可以在受管节点上自动执行以下任务：

添加了对克隆的 MAC 地址的支持

克隆的 MAC 地址是设备 WAN 端口的 MAC 地址，它与机器的 MAC 地址相同。有了这个更新，用户可以使用 MAC 地址或策略（如 random 或 preserve）指定绑定或网桥接口，以获取绑定或网桥接口的默认 MAC 地址。

Microsoft SQL Server Ansible 角色支持异步高可用性副本

在以前的版本中，Microsoft SQL Server Ansible 角色只支持主、同步和见证高可用性副本。现在，您可以将 mssql_ha_replica_type 变量设为 asynchronous，以使用新的或现有副本的异步副本类型对其进行配置。

Microsoft SQL Server Ansible 角色支持 read-scale 集群类型

在以前的版本中，Microsoft SQL Ansible 角色只支持外部集群类型。现在，您可以使用新的变量 mssql_ha_ag_cluster_type 配置角色。默认值为 external，使用它来配置具有 Pacemaker 的集群。要配置没有 Pacemaker 的集群，请对该变量使用值 none。

Microsoft SQL Server Ansible 角色可以生成 TLS 证书

在以前的版本中，您需要在配置 Microsoft SQL Ansible 角色前，手动在节点上生成 TLS 证书和私钥。有了这个更新，Microsoft SQL Server Ansible 角色可以使用 redhat.rhel_system_roles.certificate 角色来实现这一目的。现在，您可以使用 certificate 角色的 certificate_requests 变量格式设置 mssql_tls_certificates 变量，以便在节点上生成 TLS 证书和私钥。

Microsoft SQL Server Ansible 角色支持配置 SQL Server 版本 2022

在以前的版本中，Microsoft SQL Ansible 角色只支持配置 SQL Server 版本 2017 和版本 2019。这个更新为您提供对 Microsoft SQL Ansible 角色的 SQL Server 版本 2022 的支持。现在，您可以将 mssql_version 值设为 2022 ，以配置新的 SQL Server 2022 或将 SQL Server 从版本 2019 升级到版本 2022。请注意，不提供从 SQL Server 版本 2017 到版本 2022 的升级。

Microsoft SQL Server Ansible 角色支持活动目录身份验证的配置

有了这个更新，Microsoft SQL Ansible 角色支持 SQL Server 的活动目录身份验证的配置。现在，您可以使用 mssql_ad_ 前缀设置变量来配置活动目录身份验证。

journald RHEL 系统角色现在可用

journald 服务收集日志数据并将其存储在集中式数据库中。有了这个增强，您可以使用 journald 系统角色变量来自动化 systemd 日志的配置，并使用 Red Hat Ansible Automation Platform 配置持久性日志。

ha_cluster 系统角色现在支持仲裁设备配置

仲裁设备充当集群的第三方仲裁设备。对于偶数节点的集群，建议使用仲裁设备。对于双节点集群，使用仲裁设备可以更好地决定在脑裂情况下保留哪些节点。现在，您可以使用 ha_cluster 系统角色、集群的 qdevice 和仲裁节点的 qnetd 配置仲裁设备。

硬件加密设备现在可以自动热插拔

在以前的版本中，如果在介质设备启动前它们在主机上存在，则只能为 passthrough 定义加密设备。现在，您可以定义一个介质设备阵列，列出您要传递给虚拟机(VM)的所有加密设备。因此，如果指定的加密设备在以后可用，则它们会自动传递给正在运行的虚拟机。另外，如果设备不可用，它们会从虚拟机中删除，但客户机操作系统会保持正常运行。

提高了 IBM Z 上 PCI 透传设备的性能

有了这个更新，IBM Z 硬件上的 PCI passthrough 实现已通过对 I/O 处理的多个改进得到了增强。因此，传递到 IBM Z 主机上的 KVM 虚拟机(VM)的 PCI 设备现在性能显著提高。

新软件包：passt

此更新添加了 passt 软件包，这样就可以为虚拟机使用 passt 用户模式网络后端。

zPCI 设备分配

现在，可以将 zPCI 设备作为 passthrough 设备附加到在 IBM Z 硬件上运行 RHEL 的虚拟机(VM)。例如，这允许在虚拟机中使用 NVMe 闪存驱动器。

新软件包：python-virt-firmware

此更新添加了 python-virt-firmware 软件包，其包含处理 Open Virtual Machine Firmware (OVMF)固件镜像的工具。您可以对以下情况使用这些工具：

sos 工具移到 4 周更新节奏

不是与 RHEL 次版本一起发布 sos 更新，sos 工具发行节奏从 6 个月改为 4 周。您可以在每 4 周的 RPM 更改日志中找到 sos 软件包的更新详情，也可以每 6 个月在 RHEL 发行注记中阅读 sos 更新概述。

sos clean 命令现在模糊处理 IPv6 地址

在以前的版本中，sos clean 命令不会模糊处理 IPv6 地址，将一些客户敏感数据留在收集的 sos 报告中。有了这个更新，sos clean 会预期检测并模糊处理 IPv6 地址。

新的 podman RHEL 系统角色现在可用

从 Podman 4.2 开始，您可以使用 podman 系统角色来管理 Podman 配置、容器以及运行 Podman 容器的 systemd 服务。

Podman 现在支持审计事件

从 Podman v4.4 开始，您可以直接从单个事件和 journald 条目中收集关于容器的所有相关信息。要启用 Podman 审计，请修改 container.conf 配置文件，并将 events_container_create_inspect_data=true 选项添加到 [engine] 部分中。数据采用 JSON 格式，与 podman container inspect 命令的格式相同。如需更多信息，请参阅 如何在 Podman 4.4 中使用新的容器事件和审计功能。

container-tools meta-package 已更新

container-tools RPM 元软件包现已正式发布，其中包括 Podman、Buildah、Skopeo，crun 和 runc 工具现在可用。与之前的版本相比，这个版本应用了一系列 bug 修复和增强。

Aardvark 和 Netavark 现在支持自定义 DNS 服务器选择

Aardvark 和 Netavark 网络堆栈现在支持容器的自定义 DNS 服务器选择，而不是主机上的默认 DNS 服务器。您有两个用于指定自定义 DNS 服务器的选项：

Skopeo 现在支持生成 sigstore 密钥对

您可以使用 skopeo generate-sigstore-key 命令生成一个 sigstore 公钥/私钥对。如需更多信息，请参阅 skopeo-generate-sigstore-key 手册页。

Toolbox 现在可用

有了 toolbox 工具，您可以在系统上使用容器化的命令行环境，而无需直接安装故障排除工具。Toolbox 构建在 Podman 和其他来自 OCI 的标准容器技术之上。如需更多信息，请参阅 toolbx。

容器镜像现在有一个两位标签

在 RHEL 9.0 和 RHEL 9.1 中，容器镜像有一个三位标签。从 RHEL 9.2 开始，容器镜像现在有一个两位标签。

提供签名镜像的多个可信的 GPG 密钥功能

/etc/containers/policy.json 文件支持一个新的 keyPaths 字段，该字段接受一个包含可信密钥的文件的列表。因此，在默认配置中现在接受使用红帽正式发行(GA)和 Beta GPG 密钥签名的容器镜像。

Podman 现在支持预执行钩子

位于 /usr/libexec/podman/pre-exec-hooks 和 /etc/containers/pre-exec-hooks 目录中的 root 拥有的插件脚本定义了对容器操作的精细控制，特别是阻止了未授权的操作。

sigstore 签名现在可用

从 Podman 4.2 开始，您可以使用容器镜像签名的 sigstore 格式。sigstore 签名会与容器镜像一起存储在容器注册中心 ，而无需有单独的签名服务器来存储镜像签名。

Toolbox 可以创建 RHEL 9 容器

在以前的版本中，Toolbox 工具只支持 RHEL UBI 8 镜像。有了这个版本，Toolbox 现在还支持 RHEL UBI 9。因此，您可以创建基于 RHEL 8 或 9 的 Toolbox 容器。

新软件包：passt

此更新添加了 passt 软件包，这样就可以为容器使用 pasta 无根网络后端。

安装程序现在显示具有多路径或 DDF RAID 设备的自定义分区中正确的磁盘空间总量

在以前的版本中，当在具有多路径或 DDF RAID 设备的系统上的安装程序中选择了自定义分区时，不能正确报告总磁盘空间，成员磁盘设备被列为可用于分区。

安装程序现在将配置选项正确地添加到 yum repo 文件中

在以前的版本中，安装程序在从附加安装存储库中包含和排除软件包时，不能正确地将配置选项添加到 yum repo 文件中。有了这个更新，yum repo 文件会被正确创建。因此，在 repo kickstart 命令中使用 --excludepkgs= 或 --includepkgs= 选项现在在安装过程中按预期排除或包括指定的软件包。

使用 filename DHCP 选项不再阻止下载 kickstart 文件进行安装

在以前的版本中，当构建从 NFS 服务器获取 kickstart 文件的路径时，安装程序不会考虑 filename DHCP 选项。因此，安装程序不下载 kickstart 文件，并会阻止安装过程。有了这个更新，filename DHCP 选项可以正确地构造到 kickstart 文件的路径。因此，Kickstart 文件会被正确下载，安装过程会正确启动。

安装程序现在在自定义分区过程中会创建一个新的 GPT 磁盘布局

在以前的版本中，当在内核命令行上指定 inst.gpt 时，安装程序不会将磁盘布局改为 GPT，用户在自定义分区 spoke 上删除具有 MBR 磁盘布局的磁盘中的所有分区。因此，MBR 磁盘布局保留在磁盘上。

安装程序现在在自定义分区过程中列出所有 PPC PreP Boot 或BIOS Boot 分区

在以前的版本中，当在自定义分区中添加多个 PPC PreP Boot 或 BIOS Boot 分区时，自定义分区屏幕只显示相关类型的一个分区。因此，自定义分区屏幕没有反映预期分区布局的实际状态，从而导致分区过程变得困难和不透明。

Anaconda 现在验证 FIPS 要求的 LUKS 密码短语

在以前的版本中，Anaconda 不会检查 LUKS 密码短语的长度是否满足 FIPS 要求，底层工具会执行这个检查。因此，使用小于 8 个字符的密码短语在 FIPS 模式下安装会导致安装程序提前终止。

订阅管理器不再拒绝红帽内容的注册和获取

之前，由于 RHEL 9 中的容器检测逻辑有所改进，当在 OpenShift Container Platform (OCP)下运行时，subscription-manager 在容器模式下进行操作。因此，该系统无法使用提供的订阅凭证，因此不会获取红帽内容。

subscription-manager 不再在终端中保留非必要的文本

从 RHEL 9.1 开始，subscription-manager 在处理任何操作时会显示进度信息。在以前的版本中，对于某些语言（通常为非拉丁语言），在操作完成后不会清除进度消息。有了这个更新，在操作完成后，所有信息都会被正确清除。

在涉及 fapolicyd 服务重启的事务过程中，RPM 不再挂起

在以前的版本中，如果您尝试更新导致 fapolicyd 服务重启的软件包，例如 systemd，RPM 事务会停止响应，因为 fapolicyd 插件无法与 fapolicyd 守护进程进行通信。

现在，可以为软件包组或环境还原 DNF 升级事务

在以前的版本中，当尝试为软件包组或环境还原升级事务时，dnf history rollback 命令会失败。

现在，对于通过升级更改其架构的软件包，可以进行安全 DNF 升级

与 RHBA-2022:8295 一起引入的 BZ#2108969 引入的补丁会导致回归，其中 DNF 升级会使用安全过滤器跳过的软件包，这些软件包会通过升级将架构改为 noarch。因此，缺少这些软件包的安全升级可能会使系统处于易受攻击的状态。

现在，当 RPM 软件包被构建或重新构建时，会打包带有 3 个字母名称的 qt 消息 QM 文件

在以前的版本中，find-lang.sh 脚本无法找到名称由 3 个字符组成的 Qt 消息 QM 文件(.qm)。因此，这些文件没有添加到 RPM 软件包中。

ReaR 在 IBM Z 构架上可正确处理排除的 DASD

在以前的版本中，在 IBM Z 构架上，ReaR 在恢复过程中重新格式化所有直接连接的存储设备(DASD)，包括用户从保存的布局排除的 DASD，且不会恢复其内容。因此，如果您从保存的布局中排除了一些 DASD，则其数据会在系统恢复过程中丢失。有了这个更新，ReaR 不再在系统恢复过程中格式排除的 DASD，包括从中引导 ReaR 救援系统的设备（使用 zIPL 引导装载程序）。在 ReaR 重新格式化 DASD 前，系统会提示您确认 DASD 格式化脚本。这样可确保排除的 DASD 中的数据在系统恢复后依然存在。

ReaR 不再无法恢复非 LVM XFS 文件系统

在以前的版本中，当您使用 ReaR 恢复带有某些设置和磁盘映射的非 LVM XFS 文件系统时，ReaR 会使用默认设置而不是指定的设置创建文件系统。例如，如果您有一个 sunit 和 swidth 参数设为非零值的文件系统，并且您使用带有磁盘映射的 ReaR 恢复了文件系统，则使用忽略指定的值的默认 sunit 和 swidth 参数创建文件系统。因此，ReaR 会在使用特定 XFS 选项挂载文件系统过程中失败。有了这个更新，ReaR 可以使用指定的设置正确地恢复文件系统。

wsmancli 正确地处理 HTTP 401 Unauthorized 状态

使用 Web 服务管理协议的管理系统的 wsmancli 工具现在处理身份验证，以更好地符合 RFC 2616。

即使未定义 RuleFile ，USBGuard 也会保存规则

在以前的版本中，如果在 USBGuard 中设置了 RuleFolder 配置指令，但没有设置 RuleFile，则规则集无法更改。有了这个更新，即使设置了 RulePRESS，但没有设置 RuleFile，您也可以更改规则集。因此，您可以修改 USBGuard 中的永久策略，以永久保存新添加的规则。

python-sqlalchemy rebase 到 1.4.45

python-sqlalchemy 软件包已 rebase 至版本 1.4.45，与版本 1.4.37 相比，它提供了很多 bug 修复。最值得注意的是，这个版本包含了对缓存密钥生成中关键内存 bug 的一个修复。

crypto-policies 现在为 BIND 禁用了 NSEC3DSA

在以前的版本中，系统范围的加密策略不会控制 BIND 配置中的 NSEC3DSA 算法。因此，在 DNS 服务器上没有禁用不满足当前安全要求的 NSEC3DSA。有了这个更新，所有加密策略默认在 BIND 配置中禁用 NSEC3DSA。

SECLEVEL=3 中的 openssl 现在可以与 PSK 密码套件一起使用

在以前的版本中，预共享密钥(PSK)密码套件不被识别为执行完美转发保密(PFS)密钥交换方法。因此，ECDHE-PSK 和 DHE-PSK 密码套件无法与 OpenSSL 一起使用来配置为 SECLEVEL=3 ，例如当系统范围的加密策略被设为 FUTURE 时。openssl 软件包的新版本解决了这个问题。

Clevis 现在可以正确跳过 crypttab中注释的设备

在以前的版本中，Clevis 会尝试解锁 crypttab 文件中注释的设备，从而导致即使设备无效，clevis-luks-askpass 服务也会运行。这会导致不必要的服务运行，并很难进行故障排除。

Clevis 不再从 pwmake请求太多的熵

在以前的版本中，当 Clevis 使用 pwmake 创建密码，以在 LUKS 元数据中存储数据时，pwmake 密码生成工具会显示不需要的警告，这会导致 Clevis 使用较低的熵。有了这个更新，Clevis 仅限于为 pwmake 提供的 256 熵位，这消除了不需要的警告，并使用正确的熵数。

USBGuard 不再造成混淆的警告

在以前的版本中，当父进程比第一个子进程早完成时，USBGuard 中可能会发生竞争条件。因此，systemd 会报告存在一个具有错误标识的父 PID (PPID)的进程。有了这个更新，父进程会在工作模式下等待第一个子进程完成。因此，systemd 不再报告这样的警告。

OOM 终止程序不再过早地终止 usbguard

在以前的版本中，usbguard.service 文件不包含 systemd 服务的 OOMScoreAdjust 选项的定义。因此，当系统资源不足时，usbguard-daemon 进程可能会在其他非特权进程之前被终止。有了这个更新，usbguard.service 文件现在包含 OOMScoreAdjust 设置，这可防止内存不足(OOM)终止程序过早终止 usbguard-daemon 进程。

logrotate 不再错误地在日志轮转中发送 Rsyslog 信号

在以前的版本中，logrotate 脚本中参数顺序被错误地设置，这会导致语法错误。这会导致 logrotate 在日志轮转过程中无法正确发送 Rsyslog 信号。

imklog 不再对缺失的对象调用 free（）

在以前的版本中，imklog 模块对已经释放的对象调用称为 free（） 的函数。因此，imklog 可能会导致分段错误。有了这个更新，对象不再释放两次。

fagenrules --load 现在可以正常工作

在以前的版本中，fapolicyd 服务无法正确处理信号挂起 (SIGHUP)。因此，在接收 SIGHUP 后 fapolicyd 终止，fagenrules --load 命令无法正常工作。此更新包含针对此问题的修复。因此，fagenrules --load 现在可以正常工作，规则更新不再需要手动重启 fapolicyd。

扫描和补救可以正确地忽略 SCAP 审计规则审计密钥

在以前的版本中，在没有审计密钥(-k 或 -F 密钥)的情况下定义的审计监控规则可能会遇到以下问题：

在测试访问多个 IMA 测量文件的系统时，Keylime 不再失败

在以前的版本中，如果运行 Keylime 代理的系统快速连续访问由完整性测量架构(IMA)测量的多个文件时，Keylime 验证器会错误地处理 IMA 日志添加。因此，运行的哈希值与正确的平台配置寄存器(PCR)状态不匹配，系统会在测试时失败。这个更新解决了这个问题，快速访问多个测量文件的系统不会再在测试时失败。

Keylime 策略生成脚本不再导致分段错误和内核转储

create_mb_refstate 脚本为 Keylime 中测量的引导测试生成策略。在以前的版本中，create_mb_refstate 错误地计算 DevicePath 字段中的数据长度。因此，脚本会尝试使用错误计算的长度访问无效的内存，这会导致分段错误和内核转储。

TPM 证书不再导致 Keylime 注册中心崩溃

在以前的版本中，Keylime TPM 证书存储中的一些证书是格式错误的 x509 证书，并导致 Keylime 注册中心崩溃。这个更新解决了这个问题，Keylime 注册中心不再会因为错误的证书而崩溃。

NetworkManager 现在会在获取新的 DHCP 租期前在重新应用期间保留 IP 地址

在以前的版本中，在更改连接设置并使用 nmcli device reapply 命令后，NetworkManager 不会保留 DHCP 租期。因此，IP 地址会被临时删除。有了这个修复，NetworkManager 保留 DHCP 租期，并使用它直到租期过期或客户端请求了新的租期。因此，当 nmcli device reapply 命令重启 DHCP 客户端时，它不会临时删除 IP 地址。

firewalld 服务现在只在使用直接规则时触发 ipset 弃用警告

在以前的版本中，firewalld 服务在不需要时使用已弃用的 ipset 内核模块。因此，RHEL 会记录模块的弃用警告，这可能是误导，因为 firewalld 的 ipset 功能未弃用。有了这个更新，firewalld 只使用已弃用的 ipset 模块，并在用户明确使用带有 --direct 选项的 ipsets 时记录警告。

HNV 接口现在在重启后显示选项

在以前的版本中，nmcli 工具使用 NetworkManager API 创建混合网络虚拟化(HNV)绑定。因此，在重启后，HNV 绑定会丢失主端口设置。有了这个修复，nmcli 现在使用 hcnmgr 来为主端口设置绑定选项。hcnmgr 工具支持使用混合网络的单根输入/输出虚拟化(SR-IOV)的实时分区的迁移。因此，HNV 绑定接口在重启后会显示 active slave/primary_reselect 选项。

启用了安全引导的 fadump 可以正常工作

在以前的版本中，当在安全引导环境中启用了固件辅助转储(FADump)，且任何引导组件超过了分配的内存区域，系统重启会导致 GRUB 内存不足(OOM)状态。这个更新在 kexec-tools 中提供了一个修复，这样安全引导和 FA 转储可以一起工作。

grubby 现在可以正确地将参数传给新内核

当您使用 grubby 工具添加新内核且不指定任何参数，或者将参数留空时，grubby 不会将任何参数传给新内核，也不会设置 root。使用 --args 和 --copy-default 选项可确保新参数被追加到默认参数后面。

现在，即使 PReP 大小不是 4 或 8 MiB，RHEL 安装也会成功

在以前的版本中，如果 PowerPC Reference Platform (PReP)分区的大小与使用 4 kiB 扇区的磁盘上的 4 MiB 或 8 MiB 不同，RHEL 安装程序无法安装引导装载程序。因此，您无法在磁盘上安装 RHEL。

安装程序创建扇区大小为 512 字节的 LUKSv2 设备

在以前的版本中，如果磁盘有 4096 字节的物理扇区，RHEL 安装程序会创建 4096 字节扇区的 LUKSv2 设备。有了这个更新，安装程序会创建扇区大小为 512 字节的 LUKSv2 设备，以提供更好的磁盘兼容性，与不同物理扇区大小一起在一个 LVM 物理卷组中使用，即使 LVM 物理卷是加密的。

supported_speeds sysfs 属性报告正确的速度值

在以前的版本中，由于 qla2xxx 驱动程序中不正确的定义，HBA 的 supported_speeds sysfs 属性会报告 20 Gb/s 速度，而不是预期的 64 Gb/s 速度。因此，如果 HBA 支持 64 Gb/s 连接速度，则 supported_speeds sysfs 值不正确，这会影响报告的速度值。

lpfc 驱动程序在 D_ID 端口交换过程中处于有效状态

在以前的版本中，在发出 NetApp giveback 操作后 SAN Boot 主机会导致 LVM 挂起任务警告和停滞的 I/O。由于光纤通道 D_ID 端口交换，也会在 DM-Multipath 环境中提供备用路径时发生此问题。由于竞争条件，D_ID 端口交换会导致 lpfc 驱动程序中的状态不一致，这会阻止 I/O 被发出。

pcs 不再允许您修改不应更改的集群属性

在以前的版本中，pcs 命令行界面允许您修改不应更改或更改不起作用的集群属性。有了这个修复，pcs 不再允许您修改这些集群属性：cluster-infrastructure、cluster-name、dc-version、have-watchdog、last-lrm-refresh。

pcs 现在显示没有明确配置的集群属性

在以前的版本中，要显示特定集群属性值的 pcs 命令不会列出 CIB 中没有明确配置的值。有了这个修复，如果集群属性没有设置， pcs 会显示属性的默认值。

调用 crm_mon 的集群资源现在在关闭时完全停止

在以前的版本中，crm_mon 工具会在 Pacemaker 关闭过程中返回一个非零退出状态。在监控操作中调用 crm_mon 的资源代理（如 ocf:heartbeat:pqsql ）可能会在集群关闭时错误地返回一个错误。有了这个修复，即使集群处于关闭过程中，crm_mon 也会返回成功。现在，调用 crm_mon 的资源会在集群关闭时完全停止。

OCF 资源代理元数据操作现在可以调用 crm_node，而不会导致意外隔离

从 RHEL 8.5 开始，OCF 资源代理元数据操作会阻止控制器，crm_node 查询会执行控制器请求。因此，如果代理的元数据操作调用 crm_node，则它将阻止控制器 30 秒，直到操作超时为止。这可能导致其他操作失败，并使节点被隔离。

Pacemaker 现在会在资源顺序更改时立即重新检查资源分配

从 RHEL 8.7 开始，当 CIB 中的资源顺序发生改变而没有更改资源定义时，Pacemaker 不会重新检查资源分配。如果配置重新排序会导致资源移动，则这不会在下一次自然转换前发生，直到达到值 cluster-recheck-interval-property 为止。如果没有为资源配置粘性，这可能会导致问题。

启用单个资源并监控操作不再为资源组中的所有资源启用监控操作

在以前的版本中，在不管理资源组中所有资源和监控操作后，管理该组中的一个资源及其监控操作，会为资源组中的所有资源重新启用监控操作。这可能会出发意外的集群行为。

现在，即使某些 CNAME 记录无效，DNS 查找也会成功

在以前的版本中，glibc DNS stub 解析器使用不是主机名的所有者名称作为 DNS 数据包错误来处理 CNAME 记录。因此，由于 DNS 数据包错误，DNS 查询失败。有了这个更新，glibc stub 解析器会跳过无效的 CNAME 记录，且不会提取相应的别名信息。因此，即使服务器响应包含不是主机名的域名的 CNAME 链，DNS 查找也可以成功。

在 x509 FIPS 模式下，golang 现在支持 4096 位密钥

在以前的版本中，在 x509 FIPS 模式下，golang 不支持 4096 位密钥。因此，当用户使用 4096 位密钥时，程序会崩溃。有了这个更新，在 x509 FIPS 模式下，golang 现在支持 4096 位密钥。

您可以使用 pip 在所有构架上安装 SciPy

在以前的版本中，openblas-devel 软件包不包含 OpenBLAS 库的 pkg-config 文件。因此，在某些情况下，在使用 OpenBLAS 编译时，无法使用 pkgconf 工具确定编译器和链接器标志。例如，这会导致 64 位 IBM Z 和 IBM Power Systems Little Endian 架构上 pip install scipy 命令失败。

如果 TZ 数据中存在任何 DST 规则，则 glibc 中的 tzset 函数现在将 daylight 变量设为非零值

在以前的版本中，如果时区数据文件中最后的 DST 转换没有因为标准时间偏移的同时变化而导致时钟变化，则 glibc 中的 tzset 函数会将 daylight 变量设为 0。因此，当应用程序使用 daylight 变量检查 DST 是否活跃时，它们不会得到正确的结果，会根据此信息执行错误的操作。要解决这个问题，如果时区数据中存在任何 DST 规则，则 tzset 功能现在将 daylight 变量设为非零值，而不考虑偏移量。现在，无论偏移如何变化，应用程序都会观察 DST 规则是否存在。

OpenJDK RSAPSS 签名实现现在在使用 RSA 密钥前会先验证它们

在以前的版本中，OpenJDK 中的 RSAPSS 签名实现不会完全检查是否在尝试使用 RSA 密钥前，它们可以被 SunRSASign 使用，这会在使用自定义安全提供商时产生错误。这个 bug 现已修复，因此 RSAPSS 签名实现现在会验证 RSA 密钥，并允许其他提供商在无法处理这些密钥时处理这些密钥。

OpenJDK XML 签名提供者现在可以在 FIPS 模式下正常工作

在以前的版本中，OpenJDK XML 签名提供者无法在 FIPS 模式下操作。由于对 FIPS 模式支持的改进，OpenJDK XML 签名提供者现在在 FIPS 模式下启用。

FIPS 模式下的 OpenJDK 不再遇到某些 PKCS#11 令牌的意外错误

在以前的版本中，在 FIPS 模式下被 OpenJDK 使用前，一些 PKCS#11 令牌没有被完全初始化，从而导致意外错误。有了这个升级，这些错误是预期的，可由 FIPS 支持的代码处理。

现在，对外部 IdP 进行身份验证都需要客户端 secret

在以前的版本中，SSSD 无法正确将客户端 secret 传给外部身份提供者(IdP)。因此，针对之前使用 ipa idp-add --secret 命令配置的需要一个客户端 secret 的外部 IdP 的身份验证会失败。有了这个更新，SSSD 将客户端 secret 传给 IdP，用户可以进行身份验证。

IdM 现在支持使用 Ansible 为 sudo 规则设置 hostmask

在以前的版本中，ipa sudorule-add-host 命令允许设置 sudo 规则使用的 hostmask，但此选项没有出现在 ansible-freeipa 软件包中。有了这个更新，您现在可以使用 ansible-freeipa hostmask 变量定义一个 hostmask 的列表，以便身份管理中定义的一个特定的 sudo 规则应用于此表。

现在，当使用带有 db_dir 参数的自定义路径时，dscreate 工具现在可以正常工作

在以前的版本中，使用自定义目录路径的实例启动失败，因为自定义目录有错误的 SELinux 标签。因此，SELinux 拒绝访问这些目录，实例没有被创建。有了这个版本，dscreate 工具为自定义实例目录设置正确的 SELinux 标签。

目录服务器复制管理器帐户的密码更改现在可以正常工作

在以前的版本中，更改密码后，目录服务器无法正确更新复制协议的密码缓存。因此，当您更改复制管理器帐户的密码时，复制会失败。有了这个更新，目录服务器可以正确地更新缓存，因此复制可以按预期工作。

IdM 客户端安装程序不再在 ldap.conf 文件中指定 TLS CA 配置

在以前的版本中，IdM 客户端安装程序在 ldap.conf 文件中指定 TLS CA 配置。有了这个更新，OpenSSH 使用默认的信任存储，IdM 客户端安装程序不会在 ldap.conf 文件中设置 TLS CA 配置。

当可信 AD 用户的名称包含混合问题单字符时，IdM 客户端可以正确地检索它们的信息

在以前的版本中，如果您尝试用户查找或用户的身份验证，并且可信活动目录(AD)用户在其名称中包含混合大小写字符，且在 IdM 中使用覆盖进行了配置，则会返回一个错误，阻止用户访问 IdM 资源。

Matrox G200e 现在在 VGA 显示器上显示输出

在以前的版本中，如果您使用以下系统配置，您的显示器可能不会显示图形输出：

Web 控制台 NBDE 绑定步骤现在也适用于带有根文件系统的卷组

在 RHEL 9.2.0 中，由于用来确定用户是否向 root 文件系统添加了 Tang 密钥的代码中有一个错误，当 LUKS 容器上没有文件系统时，web 控制台中的绑定过程会崩溃。因为在点 Verify key 对话框中的 Trust key 按钮后 web 控制台会显示错误信息 TypeError: Qe (…​) is undefined，所以在上述场景中，您必须在命令行界面中执行所有必要的步骤。

nbde_client 系统角色现在可以正确地处理 clevis-luks-askpass的不同名称。

nbde_client 系统角色已更新，以处理在其上 clevis-luks-askpass systemd 单元有不同名称的系统。该角色现在可以与受管节点上的 clevis-luks-askpass 不同的名称一起正常工作，这需要解锁在引导过程后期挂载的 LUKS 加密的卷。

ha_cluster 系统角色日志不再显示未加密的密码和 secret

ha_cluster 系统角色接受可以是 password 或其他 secret 的参数。在以前的版本中，一些任务会记录其输入和输出。因此，角色日志可能包含未加密的密码和其他 secret。

使用 ha_cluster 系统角色配置使用 SBD 的，且在引导时不启动的集群现在可以正常工作

在以前的版本中，如果用户使用 ha_cluster 系统角色配置了使用 SBD ，且不在引导时启动的集群，则 SBD 服务会被禁用，且 SBD 不能启动。有了这个修复，如果集群被设置为使用 SBD，而不管集群是否配置为在引导时启动，SBD 服务总是被启用。

启用隐式文件提供程序来修复 cockpit-session-recording SSSD 配置

禁用的 SSSD 隐式文件提供程序会导致 cockpit-session-recording 模块创建无效的系统安全服务守护进程(SSSD)配置。此更新无条件地启用文件提供程序，因此 cockpit-session-recording 创建的 SSSD 配置现在可以按预期工作。

nbde_client_clevis 角色不再向用户报告回溯

在以前的版本中，nbde_client_clevis 角色有时会失败，从而导致回溯并报告敏感数据返回给用户，如 encryption_password 字段。有了这个更新，该角色不再报告敏感数据，只报告合适的错误消息。

使用 ha_cluster 系统角色设置 stonith-watchdog-timeout 属性现在可以在停止的集群中正常工作

在以前的版本中，当您使用 ha_cluster 系统角色在停止的集群中设置 stonith-watchdog-timeout 属性时，属性会恢复回之前的值，角色会失败。有了这个修复，使用 ha_cluster 系统角色配置 stonith-watchdog-timeout 属性可以正常工作。

在通过 networking RHEL 系统角色使用 initscripts 时，网络流量现在被定向到预期的网络接口

在以前的版本中，当使用 initscripts 提供程序时，网络连接的路由配置没有指定流量应该通过的输出设备。因此，内核可以使用与用户预期的输出设备不同的输出设备。现在，如果在 playbook 中为连接指定了网络接口名称，则它将用作路由配置文件中的输出设备。这与 NetworkManager 的行为一致后者会在设备上激活配置集时在路由中配置输出设备。因此，用户可以确保流量被定向到预期的网络接口。

selinux 角色现在以幂等方式管理策略模块

在以前的版本中，selinux 角色每次都将现有模块复制到受管节点，即使模块已存在也会报告更改。有了此更新，selinux 角色会检查该模块是否已安装到受管节点上，如果已安装，则不会尝试复制并安装该模块。

当 rhc_auth 包含激活码时，rhc 系统角色不会在注册的系统上失败

在以前的版本中，当使用 rhc_auth 参数中指定的激活码在注册的系统上执行 playbook 文件时，会出现失败。这个问题已解决。现在，可以在已经注册的系统上执行 playbook 文件，即使在 rhc_auth 参数中提供了激活码。

嵌套虚拟机上的系统时间现在工作正常

在以前的版本中，在某些情况下，嵌套虚拟机(VM)上的系统时间与级别 0 和级别 1 主机不同步。这有时会导致嵌套虚拟机变得无响应或意外终止。

在使用 memfd 内存支持时，IBM Z 上的虚拟机不再启动失败

在以前的版本中，在 IBM Z 主机上，如果虚拟机(VM)被配置为使用 memfd 的巨页内存支持，则其无法启动，如下所示：

VNC 现在可在迁移后可靠地连接到 UEFI 虚拟机

在以前的版本中，如果您在迁移虚拟机(VM)过程中启用或禁用了消息队列，则虚拟网络计算(VNC)客户端在迁移完成后无法连接到虚拟机。

安装程序显示要在虚拟机上安装 RHEL 的预期的系统磁盘

在以前的版本中，当使用 virtio-scsi 设备在虚拟机上安装 RHEL 时，这些设备可能会因为 device-mapper-multipath bug 而不在安装程序中出现。因此，在安装过程中，如果某些设备设置了串口，而有些设备没有，则 multipath 命令会声明所有具有串口的设备。因此，安装程序无法在虚拟机中找到要安装 RHEL 的预期的系统磁盘。

现在在 RHEL 安装程序中，光纤通道设备上的 NVMe 作为技术预览提供

现在，您可以将光纤通道设备上的 NVMe 作为技术预览添加到 RHEL 安装中。在 RHEL 安装程序中，您可以在 Installation Destination 屏幕上添加磁盘时，在 NVMe Fabrics Devices 部分中选择这些设备。

GIMP 在 RHEL 9 中作为技术预览提供

GNU Image Manipulation Program(GIMP)2.99.8 现在作为技术预览在 RHEL 9 中提供。gimp 软件包版本 2.99.8 是一个预发行版本，它有一组改进，但只能保证稳定性。发布官方 GIMP 3 后，将作为此预发布版本的更新，在 RHEL 9 中引入。

TuneD 的套接字 API 作为技术预览提供

通过 Unix 域套接字控制 TuneD 的套接字 API 现在作为技术预览提供。套接字 API 将一对一与 D-Bus API 映射，并为 D-Bus 不可用的情况提供替代通信方法。通过使用套接字 API，您可以控制 TuneD 守护进程来优化性能，并更改各种调优参数的值。套接字 API 默认被禁用，您可以在 tuned-main.conf 文件中启用它。

gnutls 现在使用 KTLS 作为技术预览

更新的 gnutls 软件包可以使用 Kernel TLS (KTLS) 在加密频道上加速数据传输作为技术预览。要启用 KTLS，请使用 modprobe 命令添加 tls.ko 内核模块，并创建一个新的配置文件 /etc/crypto-policies/local.d/gnutls-ktls.txt，其中包含以下内容：

WireGuard VPN 作为技术预览提供

WireGuard（红帽作为技术预览提供）是一个在 Linux 内核中运行的高性能 VPN 解决方案。它使用现代加密，比其他 VPN 解决方案更容易配置。此外，因为 WireGuard 较小的代码基础，减少了受攻击的风险，因此提高了安全性。

KTLS 作为技术预览提供

RHEL 作为技术预览提供内核传输层(KTLS)。KTLS 使用内核中的对称加密或者解密算法为 AES-GCM 密码处理 TLS 记录。KTLS 还包括将 TLS 记录加密卸载到提供此功能的网络接口控制器(NIC)的接口。

systemd-resolved 服务作为技术预览提供

systemd-resolved 为本地应用程序提供名字解析。该服务实现了缓存和验证 DNS stub 解析器、链接本地多播名称解析(LLMNR)和多播 DNS 解析器和响应程序。

SGX 作为技术预览

软件扩展（SGX）是一个 Intel® 技术，用于保护软件代码和数据不受公开和修改的影响。RHEL 内核部分提供 SGX v1 和 v1.5 功能。版本 1 启用使用 Flexible Launch Control 机制的平台使用 SGX 技术。

用于内核的 Intel 数据流加速器驱动程序作为技术预览提供

内核的 Intel 数据流加速器驱动程序(IDXD)目前作为技术预览提供。它是一个 Intel CPU 集成的加速器，包括共享工作队列 ID(pasid)提交和共享虚拟内存(SVM)。

Soft-iWARP 驱动程序作为技术预览提供

软硬件硬件(siw)是一种软件，互联网是 RDMA 协议(iWARP)，适用于 Linux 的内核驱动程序。soft-iWARP 通过 TCP/IP 网络堆栈实施 iWARP 协议套件。这个协议套件在软件中完全实现，不需要特定的远程直接内存访问(RDMA)硬件。Soft-iWARP 使具有标准以太网适配器的系统连接到 iWARP 适配器或安装了 Soft-iWARP 的其他系统。

SGX 作为技术预览

软件扩展（SGX）是一个 Intel® 技术，用于保护软件代码和数据不受公开和修改的影响。RHEL 内核部分提供 SGX v1 和 v1.5 功能。版本 1 使用 Flexible Launch Control 机制启用平台，以使用 SGX 技术。版本 2 添加了 Enclave Dynamic Memory Management (EDMM)。主要特性包括：

rvu_af,rvu_nicpf 和 rvu_nicvf 作为技术预览提供

对于 Marvell OCTEON TX2 Infrastructure Processor 系列，以下内核模块作为技术预览提供：

DAX 现在作为技术预览供 ext4 和 XFS 使用

在 RHEL 9 中，DAX 文件系统作为技术预览提供。DAX 提供了将持久内存直接映射到其地址空间的方法。要使用 DAX，系统必须有某种可用的持久性内存，通常使用一个或多个非线性内存模块(NVDIMM)，必须在 NVDIMM 上创建 DAX 兼容文件系统。另外，该文件系统必须使用 dax 挂载选项挂载。然后，在 dax 挂载的文件系统中的一个文件 mmap 会导致存储直接映射到应用程序的地址空间中。

Stratis 作为技术预览提供

Stratis 是一个本地存储管理器。它在存储池的上面为用户提供额外的功能：

NVMe-oF Discovery Service 功能作为技术预览

NVMe-oF Discovery Service 功能（在 NVMexpress.org 技术 Proposals(TP)8013 和 8014 中）作为技术预览提供。要预览这些功能，请使用 nvme-cli 2.0 软件包，并将主机附加到实现 TP-8013 或 TP-8014 的 NVMe-oF 目标设备。有关 TP-8013 和 TP-8014 的更多信息，请参阅 https://nvmexpress.org/specifications/ 网站中的 NVM Express 2.0 Ratified TPs。

NVMe-stas 软件包作为技术预览

nvme-stas 软件包，它是 Linux 的中央 Discovery Controller (CDC) 客户端，现在作为技术预览提供。它处理异步事件通知 (AEN)、自动化的 NVMe 子系统连接控制、错误处理和报告以及自动 (zeroconf) 和手动配置。

NVMe TP 8006 in-band 身份验证作为技术预览提供

实现 Non-Volatile Memory Express (NVMe) TP 8006，它是一种针对 NVMe over Fabrics (NVMe-oF) 的带内验证，现在作为不支持的技术预览提供。NVMe Technical Proposal 8006 为 NVMe-oF 定义了 DH-HMAC-CHAP 带内验证协议，该协议由这个增强提供。

jmc-core 和 owasp-java-encoder 作为技术预览

RHEL 9 与 jmc-core 和 owasp-java-encoder 软件包一起分发，作为 AMD 和 Intel 64 位架构的技术预览功能提供。

DNSSEC 在 IdM 中作为技术预览提供

带有集成 DNS 的身份管理(IdM)服务器现在实现了 DNS 安全扩展(DNSSEC)，这是一组增强 DNS 协议安全的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。

身份管理 JSON-RPC API 作为技术预览

一个 API 可用于 Identity Management(IdM)。要查看 API，IdM 还提供了一个 API 浏览器作为技术预览。

sssd-idp 子软件包作为技术预览提供

SSSD 的 sssd-idp 子软件包包含 oidc_child 和 krb5 idp 插件，它们是对身份管理(IdM)服务器执行 OAuth2 身份验证的客户端组件。此功能仅适用于 RHEL 9.1 及更高版本上的 IdM 服务器。

SSSD 内部 krb5 idp 插件作为技术预览提供

SSSD krb5 idp 插件允许您使用 OAuth2 协议对外部身份提供者(IdP)进行身份验证。此功能仅适用于 RHEL 9.1 及更高版本上的 IdM 服务器。

RHEL IdM 允许将用户身份验证委派给外部身份提供程序作为技术预览

在 RHEL IdM 中，您可以把用户与支持 OAuth 2 设备授权流的外部身份提供程序(IdP)关联。当这些用户使用 RHEL 9.1 或更高版本中的 SSSD 版本进行身份验证时，它们会在执行身份验证和在外部 IdP 授权后接收到带有 Kerberos 票据的 RHEL IdM 单点登录功能。

ACME 支持将自动删除过期的证书作为一个技术预览

身份管理(IdM)中的自动证书管理环境(ACME)服务添加了一个自动机制，来作为一个技术预览清除证书颁发机构(CA)中的过期证书。现在，ACAC 可以在指定间隔自动删除过期的证书。默认情况下，删除过期的证书被禁用。要启用它，请输入：

GNOME 用于 64 位 ARM 架构，作为一个技术预览

GNOME 桌面环境可用于 64 位 ARM 架构，作为技术预览。

用于 IBM Z 架构的 GNOME 作为技术预览提供

对于 IBM Z 架构，GNOME 桌面环境作为技术预览。

Intel Arc A 系列图形作为技术预览提供

Intel Arc A 系列图形（也称为 Alchemist 或 DG2）现在作为技术预览提供。

Stratis 在 RHEL web 控制台中作为技术预览提供

有了这个更新，Red Hat Enterprise Linux web 控制台提供了将 Stratis 存储作为技术预览管理的能力。

创建嵌套虚拟机

对于运行在 Intel、AMD64 和 IBM Z 主机上的 RHEL 9 KVM 虚拟机，嵌套的 KVM 虚拟化作为技术预览提供。有了这个功能，运行在物理 RHEL 9 主机上的 RHEL 7、RHEL 8 或 RHEL 9 虚拟机可以充当 hypervisor，并托管自己的虚拟机。

虚拟机的 Intel SGX 作为技术预览提供

作为技术预览，现在可以为 RHEL 9 上托管的虚拟机(VM)配置 Intel Software Guard Extensions (SGX)。SGX 有助于保护 Intel 硬件上特定进程的数据完整性和保密性。在主机上设置 SGX 后，该功能被传递给其虚拟机，以便客户机操作系统(OS)可以使用它。

用于 KVM 虚拟机的 AMD SEV 和 SEV-ES

作为技术预览，RHEL 9 为使用 KVM 管理程序的 AMD EPYC 主机提供安全加密虚拟化(SEV)功能。如果在虚拟机(VM)上启用，SEV 会加密虚拟机的内存来保护虚拟机被主机访问。这提高了虚拟机的安全性。

虚拟化现在在 ARM 64 上可用

作为技术预览，现在可以使用 ARM 64 CPU 在系统中创建 KVM 虚拟机。

virtio-mem 现在包括在 AMD64、Intel 64 和 ARM 64 中

作为技术预览，RHEL 9 在 AMD64、Intel 64 和 ARM 64 系统中引入了 virtio-mem 功能。使用 virtio-mem 可让虚拟机(VM)动态添加或删除主机内存。

RHEL 客户机中的 Intel TDX

作为技术预览，Intel Trust Domain Extension (TDX)功能现在可以在 RHEL 9.2 客户机操作系统中使用。如果主机系统支持 TDX，您可以部署硬件隔离的 RHEL 9 虚拟机(VM)，称为信任域(TD)。但请注意，TDX 目前无法与 kdump 一起工作，启用 TDX 会导致 kdump 在虚拟机上失败。

RHEL 的统一内核镜像现在作为技术预览提供

作为技术预览，您现在可以获取 RHEL 内核作为虚拟机(VM）的统一内核镜像(UKI)。统一内核镜像将 kernel、initramfs 和内核命令行合并成一个签名的二进制文件。

Intel vGPU 作为技术预览提供

作为技术预览，可以将物理 Intel GPU 设备划分为多个虚拟设备，称为 介质设备。然后可将这些介质设备分配给多个虚拟机(VM)作为虚拟 GPU。因此,这些虚拟机共享单个物理 Intel GPU 的性能。

RHEL 现在在 Azure 机密虚拟机上作为技术预览提供

使用更新的 RHEL 内核，您现在可以在 Microsoft Azure 上作为技术预览创建并运行 RHEL 机密虚拟机(VM)。新添加的统一内核镜像(UKI)现在在 Azure 上可以引导加密的机密虚拟机镜像。UKI 作为 RHEL 9 存储库中的 kernel-uki-virt 软件包提供。

Podman 中的 Quadlet 现在作为技术预览提供

从 Podman v4.4 开始，您可以作为技术预览，使用 Quadlet 从容器描述中自动生成 systemd 服务文件。容器描述采用 systemd 单元文件格式。该描述侧重于相关的容器详情，隐藏了在 systemd 下运行容器的技术复杂性。与 systemd 单元文件相比，Qdlet 更易于编写和维护。

具有 Fulcio 和 Rekor 的 sigstore 签名的客户端现在作为技术预览提供

有了 Fulcio 和 Rekor 服务器，您现在可以根据 OpenID Connect (OIDC)服务器身份验证使用短期证书来创建签名，而不是手动管理私钥。具有 Fulcio 和 Rekor 的 sigstore 签名的客户端现在作为技术预览提供。这个添加的功能只是客户端侧支持，不包括 Fulcio 或 Rekor 服务器。

podman-machine 命令不受支持

用于管理虚拟机的 podman-machine 命令仅作为技术预览提供。相反，请直接从命令行运行 Podman。

弃用的 Kickstart 命令

以下 Kickstart 命令已弃用：

edge-commit 和 edge-container 蓝图中的用户和组自定义已弃用

在蓝图中指定用户或组自定义对于 edge-commit 和 edge-container 镜像类型已弃用，因为在升级镜像时用户自定义会消失，且不能在蓝图中再次指定用户。因此，您应该在蓝图中为用来部署现有 OSTree 提交的边缘镜像类型直接指定用户和组，如 edge-raw-image、edge-installer、edge-simplified-installer。

subscription-manager 命令的 --token 选项已弃用

subscription-manager register 命令的 --token=<TOKEN> 选项是一种身份验证方法，可帮助将您的系统注册到红帽。这个选项取决于授权服务器提供的功能。默认授权服务器 subscription.rhsm.redhat.com 计划关闭此功能。因此，尝试使用 subscription-manager register --token=<TOKEN> 可能会失败，并显示以下错误消息：

dump 软件包中的 dump 工具已弃用

用于文件系统备份的 dump 工具已弃用，在 RHEL 9 中将不再提供。

Bacula 中的 SQLite 数据库后端已被弃用

Bacula 备份系统支持多个数据库后端：PostgreSQL、MySQL 和 SQLite。SQLite 后端已被弃用，并将在以后的 RHEL 版本中不被支持。作为一种替代，迁移到其他一种后端(PostgreSQL 或 MySQL)，且在新部署中不使用 SQLite 后端。

对于加密目的，SHA-1 已被弃用

使用 SHA-1 消息摘要用于加密目的在 RHEL 9 中已被弃用。SHA-1 生成的摘要不被视为是安全的，因为已发现多个基于哈希进行的安全攻击。RHEL 核心加密组件不再默认使用 SHA-1 创建签名。RHEL 9 中的应用程序已更新，以避免在与安全相关的用例中使用 SHA-1。

fapolicyd.rules 已被弃用

包含允许和拒绝执行规则的文件的 /etc/fapolicyd/rules.d/ 目录替代了 /etc/fapolicyd/fapolicyd.rules 文件。fagenrules 脚本现在将此目录中的所有组件规则文件合并到 /etc/fapolicyd/compiled.rules 文件。/etc/fapolicyd/fapolicyd 中的规则仍由 fapolicyd 框架处理，但只是为了保证向后兼容。

在 RHEL 9 中弃用 SCP

安全复制协议(SCP)已弃用，因为它有已知的安全漏洞。SCP API 仍可用于 RHEL 9 生命周期，但使用它可以降低系统安全性。

SASL 中的 digest-MD5 已被弃用

Simple Authentication Security Layer(SASL)框架中的 Digest-MD5 身份验证机制已弃用，并可能在以后的主发行版本中从 cyrus-sasl 软件包中删除。

OpenSSL 弃用了 MD2, MD4, MDC2, Whirlpool, Blowfish, CAST, DES, IDEA, RC2, RC4, RC5, SEED, 和 PBKDF1

OpenSSL 项目已弃用了一组加密算法，因为它们不安全，不常用，或两者都不安全。红帽还不建议使用这些算法，RHEL 9 则为其提供迁移加密数据以使用新的算法。对于系统的安全性，用户不得依赖于这些算法。

/etc/system-fips 现已弃用

支持通过 /etc/system-fips 文件指定 FIPS 模式，该文件将不会包含在将来的 RHEL 版本中。要在 FIPS 模式中安装 RHEL，请在系统安装过程中将 fips=1 参数添加到内核命令行。您可以使用 fips-mode-setup --check 命令检查 RHEL 是否以 FIPS 模式运行。

libcrypt.so.1 现已弃用

libcrypt.so.1 库现已弃用，它可能会在以后的 RHEL 版本中删除。

OpenSSL 需要在 FIPS 模式下对 RSA 加密进行填充

OpenSSL 在 FIPS 模式下不再支持没有填充的 RSA 加密。没有填充的 RSA 加密不常见，很少使用。请注意，带有 RSA (RSASVE)的密钥封装不使用填充，但仍支持。

RHEL 9 中已弃用网络团队（Network teams）

teamd 服务和 libteam 库在 Red Hat Enterprise Linux 9 中已弃用，并将在下一个主发行版本中删除。作为替换，配置绑定而不是网络组。

ifcfg 格式的 NetworkManager 连接配置文件已弃用

在 RHEL 9.0 及更高版本中，ifcfg 格式的连接配置文件已弃用。下一个主要 RHEL 发行版本将删除对这个格式的支持。但是，在 RHEL 9 中，如果修改了配置文件，NetworkManager 仍然会使用这个格式处理和更新现有的配置文件。

firewalld 中的 iptables 后端已弃用

在 RHEL 9 中，iptables 框架已弃用。因此，firewalld 中的 iptables 后端和 direct interface 也被弃用。您可以使用 firewalld 中的原生功能，而不是 direct interface 来配置所需的规则。

在 RHEL 9 中弃用 ATM 封装

异步传输模式(ATM)封装为 ATM Adaptation Layer 5(AAL-5)提供第 2 层（Point-to-Point 协议、以太网）或第 3 层（IP）连接。从 RHEL 7 开始，红帽尚未为 ATM NIC 驱动程序提供支持。RHEL 9 中丢弃对 ATM 实施的支持。这些协议目前仅在芯片组中使用，该协议支持 ADSL 技术，并由制造商逐步淘汰。因此，Red Hat Enterprise Linux 9 中已弃用 ATM 封装。

kexec-tools 的 kexec_load 系统调用已弃用

在以后的 RHEL 版本中将不支持 kexec_load 系统调用（其载入第二个内核）。kexec_file_load 系统调用替换了 kexec_load，它现在是所有架构上的默认系统调用。

RHEL 9 中已弃用网络团队（Network teams）

teamd 服务和 libteam 库在 Red Hat Enterprise Linux 9 中已弃用，并将在下一个主发行版本中删除。作为替换，配置绑定而不是网络组。

lvm2-activation-generator 及其生成的服务在 RHEL 9.0 中删除

lvm2-activation-generator 程序及其生成的服务 lvm2-activation、lvm2-activation-early、lvm2-activation-net 已在 RHEL 9.0 中删除。lvm.conf event_activation 设置用于激活服务将不再起作用。自动激活卷组的唯一方法是基于事件激活。

libdb 已被弃用

RHEL 8 和 RHEL 9 目前提供 Berkeley DB(libdb)版本 5.3.28，该版本根据 LGPLv2 许可证发布。上游 Berkeley DB 版本 6 在 AGPLv3 许可证下提供，该许可证更严格。

openssl 3.0 弃用了比 2048 小的密钥

openssl 3.0 弃用了小于 2048 位的密钥，在 Go 的 FIPS 模式中无法正常工作。

有些 PKCS1 v1.5 模式现已弃用

一些 PKCS1 v1.5 模式在 FIPS-140-3 中未被批准用于加密，并被禁用。它们将不再在 Go 的 FIPS 模式下工作。

OpenDNSSec 中的 SHA-1 现已弃用

OpenDNSSEC 支持使用 SHA-1 算法导出数字签名和身份验证记录。不再支持使用 SHA-1 算法。在 RHEL 9 发行版本中，OpenDNSSec 中的 SHA-1 已被弃用，并可能在以后的次版本中删除。另外，OpenDNSSec 支持仅限于与红帽身份管理的集成。OpenDNSSEC 不支持独立。

SSSD 隐式文件供应商域默认禁用

SSSD 隐式 文件 供应商域，从 /etc/shadow 和 /etc/ groups 等本地文件检索用户信息，现已默认禁用。

-h 和 -p 选项在 OpenLDAP 客户端工具中被弃用。

上游 OpenLDAP 项目已在其工具中弃用了 -h 和 -p 选项，建议使用 -H 选项来指定 LDAP URI。因此，RHEL 9 已在所有 OpenLDAP 客户端工具中都弃用了这两个选项。-h 和 -p 选项将在以后的版本中从 RHEL 产品中删除。

SSSD 文件 提供者已弃用

SSSD 文件 提供者已在 Red Hat Enterprise Linux (RHEL) 9 中弃用。文件 提供者可能会从以后的版本中删除。

nsslapd-idlistscanlimit 参数已弃用，其默认值已更改

使用新的过滤器重新排序优化时，nsslapd-idlistscanlimit 属性对搜索性能的影响弊大于利。因此，属性已弃用。另外，默认值已改为 2147483646 （无限）。

SMB1 协议在 Samba 中已弃用

从 Samba 4.11 开始，不安全的服务器消息块版本 1 (SMB1)协议已弃用，并将在以后的发行版本中删除。

GTK 2 现已弃用

旧的 GTK 2 工具包及以下相关软件包已弃用：

libreoffice 已被弃用

LibreOffice RPM 软件包现已弃用，并将在以后的主 RHEL 发行版本中删除。LibreOffice 在 RHEL 7、8 和 9 的整个生命周期中仍然被完全支持。

Motif 已被弃用

Motif 小部件工具包已在 RHEL 中被弃用，因为上游 Motif 社区的开发不活跃。

在 RHEL 9 节点上配置团队时，network 系统角色会显示一条弃用警告

RHEL 9 中弃用了网络协作功能。因此，在 RHEL 8 控制节点上使用 network RHEL 系统角色在 RHEL 9 节点上配置网络团队，会显示有关弃用的警告。

使用基于 SHA1 的签名进行 SecureBoot 镜像验证已弃用

在 UEFI（PE/COFF）可执行文件中使用基于 SHA1 的签名执行 SecureBoot 镜像验证已过时。反之，红帽建议使用基于 SHA2 算法或更新版本的签名。

对虚拟机快照的支持有限

目前只对使用 UEFI 固件的虚拟机支持创建虚拟机(VM)的快照。另外，在快照操作过程中，QEMU 监控可能会被阻止，这会影响某些工作负载的 hypervisor 性能。

虚拟软盘驱动程序已弃用

用于控制虚拟软盘设备的 isa-fdc 驱动程序现已弃用，并将在以后的 RHEL 发行版本中不被支持。因此，为了确保与迁移的虚拟机(VM)兼容，红帽不建议在 RHEL 9 上托管的虚拟机中使用软盘磁盘设备。

qcow2-v2 镜像格式已弃用

在 RHEL 9 中，虚拟磁盘镜像的 qcow2-v2 格式已弃用，并将在以后的 RHEL 主发行版本中不被支持。另外，RHEL 9 Image Builder 无法以 qcow2-v2 格式创建磁盘镜像。

virt-manager 已被弃用

虚拟机管理器（也称 virt-manager） 已弃用。RHEL web 控制台（也称为 Cockpit ）旨在在以后的版本中成为它的替代。因此，建议您使用 web 控制台使用 GUI 管理虚拟化。但请注意，在 RHEL web 控制台中，virt-manager 中的一些功能可能还不可用。

libvirtd 已被弃用

单体 libvirt 守护进程 libvirtd 已在 RHEL 9 中弃用，并将在以后的 RHEL 主发行版本中删除。请注意，您仍然可以使用 libvirtd 在虚拟机监控程序上管理虚拟化，但红帽建议您切换到新引入的模块化 libvirt 守护进程。具体说明和详情，请参阅 RHEL 9 配置和管理虚拟化 文档。

旧的 CPU 型号现已弃用

大量 CPU 模型已被弃用，并将在以后的 RHEL 主发行版本中的虚拟机 (VM) 不被支持。弃用的模型如下：

基于 RDMA 的实时迁移已弃用

有了这个更新，使用 Remote Direct Memory Access (RDMA)迁移正在运行的虚拟机已被弃用。因此，仍可以使用 rdma:// 迁移 URI 来通过 RDMA 请求迁移，但这个功能将在以后的 RHEL 主发行版本中不被支持。

不支持在 RHEL 7 主机上运行 RHEL 9 容器

不支持在 RHEL 7 主机上运行 RHEL 9 容器。它可能可以正常工作，但却没有保证。

Podman 中的 SHA1 哈希算法已弃用

Podman 不再支持用来生成无根网络命名空间的文件名的 SHA1 算法。因此，如果在使用 Podman 4.1.1 或更高版本之前启动无根容器，则必须重启它们（而不只是使用 slirp4netns），以确保它们可以在升级后启动容器。

rhel9/pause 已被弃用

rhel9/pause 容器镜像已被弃用。

CNI 网络堆栈已弃用

Container Network Interface (CNI)网络堆栈将在以后的次版本中被弃用。在以前的版本中，容器只能通过 DNS 连接到单个 Container Network Interface (CNI)插件。podman v.4.0 引入了一个新的 Netavark 网络堆栈。您可以将 Netavark 网络堆栈与 Podman 和其他Open Container Initiative(OCI)容器管理应用程序一起使用。Podman 的 Netavark 网络堆栈也与高级 Docker 功能兼容。多个网络中的容器可以访问任何这些网络上的容器。

auth 和 authconfig Kickstart 命令需要 AppStream 软件仓库

auth 和 authconfig Kickstart 命令在安装过程中需要 authselect-compat 软件包。如果没有这个软件包，如果使用了 auth 或 authconfig，则安装会失败。但根据设计，authselect-compat 软件包只包括在 AppStream 仓库中。

reboot --kexec 和 inst.kexec 命令不提供可预测的系统状态

使用 reboot --kexec Kickstart 命令或 inst.kexec 内核引导参数执行 RHEL 安装不会提供与完全重启相同的可预期系统状态。因此，在不重启的情况下切换安装的系统可能会导致无法预计的结果。

在 Anaconda 作为应用程序运行的系统中意外 SELinux 策略

当 Anaconda 作为应用程序运行在已安装的系统上（例如，使用 -image anaconda 选项对镜像文件执行另一次安装）时，不禁止系统在安装过程中修改 SELinux 类型和属性。因此，某些 SELinux 策略的元素可能会在运行Anaconda 的系统上发生更改。要临时解决这个问题，请不要在生产环境系统上运行 Anaconda，而在临时虚拟机中执行它。因此，生产系统上的 SELinux 策略没有被修改。作为系统安装过程的一部分运行 anaconda，如从 boot.iso 或 dvd.iso 安装不会受此问题的影响。

当使用使用第三方工具创建的 USB 引导安装时，不会检测 本地介质 安装源

当从使用第三方工具创建的 USB 引导 RHEL 安装时，安装程序无法检测 Local Media 安装源（只检测到 Red Hat CDN ）。

USB CD-ROM 驱动器作为 Anaconda 中的安装源不可用

当源为 USB CD-ROM 驱动器，并且指定了 Kickstart ignoredisk --only-use= 命令时，安装会失败。在这种情况下，Anaconda 无法找到并使用这个源磁盘。

驱动程序磁盘菜单无法在控制台上显示用户输入

当您在内核命令行上将 inst.dd 选项与驱动程序磁盘一起使用来开始 RHEL 安装时，控制台无法显示用户输入。因此，看上去应用程序不会响应用户输入和冻结，但会显示使用户混淆的输出。但是，此行为不会影响功能，用户输入会在按 Enter 后被注册。

使用 iso9660 文件系统的硬盘分区安装失败

您不能在使用 iso9660 文件系统进行分区的系统中安装 RHEL。这是因为将设置为忽略包含 iso9660 文件系统分区的硬盘的更新安装代码。即使在没有使用 DVD 的情况下安装 RHEL，也会发生这种情况。

Anaconda 无法验证管理员用户帐户是否存在

在使用图形用户界面安装 RHEL 时，Anaconda 无法验证管理员帐户是否已创建。因此，用户可以在没有管理员用户帐户的情况下安装系统。

新的 XFS 功能可防止使用比版本 5.10 更早的固件引导 PowerNV IBM POWER 系统

PowerNV IBM POWER 系统使用 Linux 内核进行固件，并使用 Petitboot 作为 GRUB 的替代。这会导致固件内核挂载 /boot，Petitboot 读取 GRUB 配置和引导 RHEL。

RHEL for Edge 安装程序镜像在安装 rpm-ostree 有效负载时无法创建挂载点

当部署 rpm-ostree 有效负载时，例如在 RHEL for Edge 安装程序镜像中，安装程序不会为自定义分区正确创建一些挂载点。因此，安装会中止，并报以下错误：

当连接到网络但没有配置 DHCP 或静态 IP 地址时，NetworkManager 无法在安装后启动

从 RHEL 9.0 开始，当没有设置特定的 ip= 或 kickstart 网络配置时，Anaconda 会自动激活网络设备。Anaconda 为每个以太网设备创建默认的持久配置文件。连接配置文件的 ONBOOT 和 autoconnect 值设为 true。因此，在启动安装的系统的过程中，RHEL 会激活网络设备，networkManager-wait-online 服务会失败。

无法从安装环境中的驱动程序更新磁盘载入更新的驱动程序

如果已加载了安装初始 ramdisk 中同样的驱动程序，则驱动程序更新磁盘中的驱动程序的新版本可能无法加载。因此，驱动程序的更新版本无法应用到安装环境。

Kickstart 安装无法配置网络连接

Anaconda 只能通过 NetworkManager API 执行 kickstart 网络配置。Anaconda 在 %pre kickstart 部分后处理网络配置。因此，Kickstart %pre 部分中的一些任务会被阻止。例如，因为网络配置不可用，从 %pre 部分中下载软件包会失败。

安装过程有时将变为无响应

安装 RHEL 时，安装过程有时会变得无响应。/tmp/packaging.log 文件在末尾显示以下消息：

使用 ifcfg 文件重命名网络接口失败

在 RHEL 9 中，默认情况下不会安装 initscripts 软件包。因此，使用 ifcfg 文件重命名网络接口会失败。要解决这个问题，红帽建议您使用 udev 规则或链接文件来重命名接口。详情请查看 Consistent 网络接口设备命名 和 systemd.link(5) man page。

RHEL 9 中不默认安装 chkconfig 软件包

RHEL 9 中不默认安装 chkconfig 软件包（更新和查询系统服务运行级别信息）。

服务位置协议(SLP)易受到通过 UDP 的攻击

OpenSLP 为本地区域网络中的应用程序提供动态配置机制，如打印机和文件服务器。但是，SLP 会受到通过连接到互联网的系统上的 UDP 的反射性拒绝服务放大攻击。SLP 允许未经身份验证的攻击者注册新服务，而不受由 SLP 实现设置的限制。通过使用 UDP 和欺骗源地址，攻击者可以请求服务列表，在欺骗地址上创建拒绝服务。

bind 和 unbound 都禁用基于 SHA-1- 的签名验证

bind 和 unbound 组件禁用所有 RSA/SHA1（算法 5）和 RSASHA1-NSEC3-SHA1（算法号 7）签名，且签名的 SHA-1 用法在 DEFAULT 系统范围的加密策略中受到限制。

如果在多个区域中使用相同的可写区域文件，named 无法启动

BIND 不允许在多个区域中具有相同的可写区域文件。因此，如果配置包含多个区域，它们共享到可由 named 服务修改的文件的路径，则 named 无法启动。要临时解决这个问题，请使用 in-view 子句在多个视图间共享一个区域，并确保为不同的区使用不同的路径。例如，在路径中包含视图名称。

libotr 与 FIPS 不兼容

libotr 库和非记录(OTR)消息的工具包为即时消息会话提供了端到端加密。但是，由于其使用了 gcry_pk_sign() 和 gcry_pk_verify() 函数，libotr 库不符合联邦信息处理标准(FIPS)。因此，您无法在 FIPS 模式下使用 libotr 库。

设置控制台 keymap 在最小安装上需要 libxkbcommon 库

在 RHEL 9 中，某些 systemd 库依赖项已从动态链接转换为动态加载，以便您的系统在运行时打开并使用库（当它们可用时）。有了这个更改，除非您安装必要的库，否则无法使用依赖于此类库的功能。这也会影响在最小安装的系统上设置键盘布局。因此，localectl --no-convert set-x11-keymap gb 命令会失败。

sysstat 软件包中的 %vmeff 指标显示不正确的值

sysstat 软件包提供 %vmeff 指标来测量页面回收效率。sar -B 命令返回的 %vmeff 列的值不正确，因为 sysstat 不会解析后续内核版本提供的所有相关的 /proc/vmstat 值。要临时解决这个问题，您可以从 /proc/vmstat 文件中手动计算 %vmeff 值。详情请查看 为什么在 RHEL 8 和 RHEL 9 中 sar (1) 工具报告 %vmeff 值超过 100 % ？

tangd-keygen 无法正确处理非默认的 umask

tangd-keygen 脚本不会更改生成的密钥文件的文件权限。因此，在具有阻止向其他用户读取密钥的默认用户文件创建模式掩码(umask)的系统上，tang-show-keys 命令会返回错误消息 Internal Error 500 ，而不是显示密钥。

OpenSSL 不会检测 PKCS#11 令牌是否支持创建原始 RSA 或 RSA-PSS 签名

TLS 1.3 协议需要支持 RSA-PSS 签名。如果 PKCS #11 令牌不支持原始 RSA 或 RSA-PSS 签名，如果密钥由 PKCS#11 令牌保存，则使用 OpenSSL 库的服务器应用程序将无法使用 RSA 密钥。因此，在上述场景中 TLS 通信会失败。

OpenSSL 错误处理 PKCS #11 tokens 不支持原始 RSA 或 RSA-PSS 签名

OpenSSL 库不会检测到 PKCS #11 令牌的与键相关的功能。因此，当使用不支持原始 RSA 或 RSA-PSS 签名的令牌创建签名时，建立 TLS 连接会失败。

当使用特定语法时，scp 会让将文件复制到自己的文件

scp 实用程序从安全复制协议 (SCP) 改为更安全的 SSH 文件传输协议 (SFTP)。因此，将文件从位置复制到同一位置，从而擦除文件内容。此问题会产生以下语法：

OSCAP Anaconda 附加组件不会在图形安装中获取定制的配置文件

OSCAP Anaconda 附加组件不提供一个选项，来在 RHEL 图形安装中选择或取消选择安全配置文件的定制。从 RHEL 8.8 开始，当从存档或 RPM 软件包安装时，附加组件不会考虑定制。因此，安装会显示以下出错信息，而不是获取 OSCAP 定制的配置文件：

Ansible 补救需要额外的集合

用 ansible-core 软件包替换 Ansible Engine 时，RHEL 订阅提供的 Ansible 模块的列表会减少。因此，运行使用包含在 scap-security-guide 软件包中的 Ansible 内容的补救需要来自 rhc-worker-playbook 软件包的集合。

oscap-anaconda-addon 不允许带有 Network Servers 软件包组的系统的 CIS 强化

当在选择了 Network Servers 软件包组的系统上使用 CIS 安全配置文件(cis,cis_server_l1,cis_workstation_l1, 或 cis_workstation_l2)安装 RHEL 网络服务器时，oscap-anaconda-addon 会发送错误消息 package tftp has been added to the list of excluded packages, but it can’t be removed from the current software selection without breaking the install。要继续安装，请回到 Software Selection ，并取消选择 Network Servers 附加软件，以允许安装和强化完成。然后，安装所需的软件包。

Keylime 不接受串联的 PEM 证书

当 Keylime 将证书链作为 PEM 格式的、串联在一个文件中的多个证书接收时，keylime-agent-rust Keylime 组件在签名验证过程中不能正确地使用所有提供的证书，导致 TLS 握手失败。因此，客户端组件(keylime_verifier 和 keylime_tenant)无法连接到 Keylime 代理。要临时解决这个问题，请只使用一个证书而不是多个证书。

Keylime 需要 tls_dir = default的特定文件

当在 Keylime verifier 或 registrar 配置中将 tls_dir 变量设为 default 时，Keylime 会检查 /var/lib/keylime/cv_ca 目录中是否存在 cacert.crt 文件。如果文件不存在，则 keylime_verifier 或 keylime_registrar 服务无法启动，会在日志中记录以下信息：Exception: It appears that the verifier has not yet created a CA and certificates, please run the verifier first。因此，Keylime 会拒绝具有不同文件名的自定义证书颁发机构(CA)证书，即使它们被在 /var/lib/keylime/ca_cv 目录中。

默认 SELinux 策略允许无限制的可执行文件使其堆栈可执行

SELinux 策略中的 selinuxuser_execstack 布尔值的默认状态是 on，这意味着无限制的可执行文件可以使其堆栈为可执行。可执行文件不应该使用这个选项，这通常代表开发的可执行代码的质量较差，或可能存在安全攻击的风险。但是，由于需要与其他工具、软件包和第三方产品保持兼容，红帽无法更改默认策略中的这个布尔值。如果您的环境没有此类兼容性问题，请使用 setsebool -P selinuxuser_execstack off 命令在您的本地策略中将这个布尔值设置为 off。

STIG 配置文件中的 SSH 超时规则配置了不正确的选项

对 OpenSSH 的更新会影响以下 Defense Information Systems Agency Security Technical Implementation Guide (DISA STIG) 配置集中的规则：

GnuPG 错误地允许使用 SHA-1 签名，即使通过 crypto-policies 禁止使用 SHA-1 签名

无论系统范围的加密策略中定义的设置如何，GNU Privacy Guard(GnuPG)加密软件可以创建和验证使用 SHA-1 算法的签名。因此，您可以在 DEFAULT 加密策略中将 SHA-1 用于加密目的，这与这个不安全算法的系统范围弃用没有一致的。

gpg-agent 在 FIPS 模式下不作为 SSH 代理工作

在将密钥添加到 ssh-agent 程序时，gpg-agent 工具会创建 MD5 指纹，即使 FIPS 模式禁用了 MD5 摘要。因此，ssh-add 程序无法将密钥添加到身份验证代理中。

OpenSCAP 内存消耗问题

在具有有限内存的系统上，OpenSCAP 扫描程序可能会预先终止，或者可能无法产生结果文件。要临时解决这个问题，您可以自定义扫描配置文件，以取消选择涉及递归整个 / 文件系统的规则：

在 kickstart 安装过程中修复与服务相关的规则可能会失败

在 kickstart 安装过程中，OpenSCAP 工具有时会错误地显示服务的 enable 或disable 状态补救不需要。因此，OpenSCAP 可能会将安装的系统上的服务设置为不合规的状态。作为临时解决方案，您可以在 kickstart 安装后扫描并修复该系统。这可以解决与服务相关的问题。

nm-cloud-setup 服务从接口中删除了手动配置的辅助 IP 地址

根据从云环境收到的信息，nm-cloud-setup 服务会配置网络接口。禁用 nm-cloud-setup 以手动配置接口。然而，在某些情况下，主机上的其他服务也可以配置接口。例如，这些服务可以添加辅助 IP 地址。为了避免 nm-cloud-setup 删除辅助 IP 地址：

更新会话密钥失败会导致连接中断

内核传输层安全(kTLS)协议不支持更新会话密钥，这些密钥由对称密码使用。因此，用户无法更新密钥，从而导致连接中断。要临时解决这个问题，请禁用 kTLS。因此，解决这一问题，可以成功更新会话密钥。

默认情况下不安装 initscripts 软件包

默认情况下，不会安装 initscripts 软件包。因此，ifup 和 ifdown 工具不可用。一个替代的方法是，可以使用 nmcli connection up 和 nmcli connection down 命令来启用和禁用连接。如果这个替代方法无法正常工作，请报告这个问题并安装 NetworkManager-initscripts-updown 软件包，该软件包为 ifup 和 ifdown 工具提供了一个 NetworkManager 解决方案。

使用带有 mlx5 驱动程序的 XDP 多缓冲模式，大于 3498 字节的 MTU 需要禁用 RX Striding RQ

在与以下所有条件匹配的主机上运行具有多缓冲区模式的 eXpress Data Path (XDP)脚本失败：

内核中的 kdump 机制会引起 64K 内核的 OOM 错误

64 位 ARM 架构上的 64K 内核页大小使用的内存比 4KB 内核使用的多。因此，kdump 会导致内核 panic，内存分配失败，并报内存不足(OOM)错误。作为临时解决方案，手动将 crashkernel 的值配为 640 MB。例如，将 crashkernel= 参数设为 crashkernel=2G- :640M。

当从 4k 变为 64k 页大小内核时，依赖内核页大小的客户应用程序可能需要更新

RHEL 与 4k 和 64k 页大小内核都兼容。当从 4k 变为 64k 页大小内核时，依赖 4k 内核页大小的客户应用程序可能需要更新。已知的实例包括 jemalloc 和依赖的应用程序。

kdump 服务无法在 IBM Z 系统中构建 initrd 文件

在 64 位 IBM Z 系统中，当 znet 相关配置信息（如 s390-subchannels ）位于不活跃 NetworkManager 连接配置集时，kdump 服务无法加载初始 RAM 磁盘 (initrd)。因此，kdump 机制会失败并显示以下错误：

KTLS 不支持将 TLS 1.3 卸载到 NIC

内核传输层安全(kTLS)不支持将 TLS 1.3 卸载到 NIC。因此，即使 NIC 支持 TLS 卸载，软件加密也会与 TLS 1.3 一起使用。要临时解决这个问题，如果需要卸载，禁用 TLS 1.3。因此，您只能卸载 TLS 1.2。当使用 TLS 1.3 时，性能较低，因为无法卸载 TLS 1.3。

默认情况下，Delay Accounting 功能不会显示 SWAPIN 和 IO% 统计列

Delayed Accounting 功能与早期版本不同，它们会被默认禁用。因此，iotop 应用程序不显示 SWAPIN 和 IO% 统计列，并显示以下警告：

kdump 机制无法捕获 LUKS 加密目标上的 vmcore 文件

当在使用 Linux Unified Key Setup(LUKS)加密分区的系统中运行 kdump 时，系统需要特定的可用内存。当可用内存小于所需内存量时，systemd-cryptsetup 服务将无法挂载分区。因此，第二个内核无法捕获 LUKS 加密目标上的崩溃转储文件(vmcore)。

在引导时分配崩溃内核内存失败

在某些 Ampere Altra 系统中，在可用内存低于 1GB 时为 kdump 分配崩溃内核内存会失败。因此，kdumpctl 命令无法启动 kdump 服务。

启用 VMD 时，RHEL 无法识别 NVMe 磁盘

当您重置或重新附加驱动程序时，卷组管理设备(VMD)域目前不会软重置。因此，硬件无法正确检测并枚举其设备。因此，启用了 VMD 的操作系统无法识别 NVMe 磁盘，特别是在重置服务器或使用虚拟机时。

iwl7260-firmware 破坏了 Intel Wi-Fi 6 AX200、AX210 和 Lenovo ThinkPad P1 Gen 4 上的 Wi-Fi

在将 iwl7260-firmware 或 iwl7260-wifi 驱动程序更新到 RHEL 9.1 及之后的版本提供的版本后，硬件会进入不正确的内部状态。错误地报告其状态。因此，Intel Wifi 6 卡可能无法正常工作，并显示错误信息：

kmod 中的 weak-modules 不能与模块间依赖一起工作

kmod 软件包提供的 weak-modules 脚本决定了哪些模块与安装的内核 kABI 兼容。但是，在检查模块的内核兼容性时，weak-modules 会从它们构建的内核的高版本到低版本来处理模块符号依赖关系。因此，针对不同内核版本构建的具有相互依赖关系的模块可能会被解释为不兼容，因此 weak-modules 脚本无法在此场景下工作。

使用 Mellanox ConnectX-5 适配器时，mlx5 驱动程序会失败

在以太网交换机设备驱动程序型号(switchdev)模式下，当使用设备管理的流控制(DMFS)参数和 ConnectX-5 适配器支持的硬件配置时，mlx5 驱动程序会失败。因此，您可以看到以下错误信息：

在具有大量核数的系统上实时内核的硬件认证可能需要传递 skew-tick=1 引导参数来避免锁争用

具有大量插槽和大量核数的大型系统可能会因为 xtime_lock 上的锁争用而经历延迟峰值，xtime_lock 用于计时系统中。因此，在多处理系统上的硬件认证中可能会发生延迟峰值和延迟。作为临时解决方案，您可以通过添加 skew_tick=1 引导参数来偏移每个 CPU 的计时器刻度，以便在不同的时间启动。

DKMS 对 64 位 ARM CPU 上正确编译的驱动程序提供一条不正确的程序失败警告

动态内核模块支持(dkms)工具无法识别用于 4 KB 内核和 64 KB 页面大小的 64 位 ARM CPU 的内核标头。因此，当执行内核更新且 kernel-64k-devel 软件包未安装时，dkms 提供一条错误警告，关于为什么程序在正确编译的驱动程序上失败。要临时解决这个问题，请安装 kernel-headers 软件包，其包含两种类型的 ARM CPU 架构的头文件，且不特定于 dkms 及其要求。

在出现不成功的 CHAP 验证尝试后，Anaconda 无法使用 no authentication 方法登录 iSCSI 服务器

当您使用 CHAP 身份验证添加 iSCSI 磁盘时，如果因为凭证不正确而导致登录失败，使用 no authentication 方法尝试重新登录也将失败。要解决这个问题，请先关闭当前会话，再使用 no authentication 方法登录。

NVMe/TCP 不支持设备映射器多路径

使用带有 nvme-tcp 驱动程序的设备映射器多路径可能会导致 Call Trace 警告和系统不稳定。要临时解决这个问题，NVMe/TCP 用户必须启用原生 NVMe 多路径，且不能在 NVMe 中使用 device-mapper-multipath 工具。

blk-availability systemd 服务停用了复杂的设备堆栈

在 systemd 中，默认的块停用代码并不总是正确处理虚拟块设备的复杂堆栈。在一些配置中，虚拟设备在关闭过程中可能无法被删除，这会导致记录错误信息。要临时解决这个问题，请执行以下命令来停用复杂块设备堆栈：

对于启用了配额的情况下挂载的 XFS 文件系统，不再可能禁用配额记帐

从 RHEL 9.2 开始，不再可能对启用了配额的情况下挂载的 XFS 文件系统禁用配额记帐。

当在 /etc/fstab 中将 NVMe-FC 设备添加为挂载点时系统无法引导

通过 /etc/fstab 文件挂载的光纤通道(NVMe-FC)设备上的 Non-volatile Memory Express 无法在引导时挂载，系统进入紧急模式。这是因为 nvme-cli nvmf-autoconnect systemd 服务中的一个已知的 bug。

对 NVMe 设备的 udev 规则更改

对 NVMe 设备有一个 udev 规则更改，即添加了 OPTIONS="string_escape=replace" 参数。如果您设备的序列号前面有空格，则这会导致某些厂商的对按 id 命名的磁盘进行更改。