red hat enterprise linux 8 · servidor de visualización predeterminado. el servidor x.org, que es...

Red Hat Enterprise Linux 8

8.0 notas de publicación (traducciónautomática)

Notas de la versión para Red Hat Enterprise Linux 8.0 (traducción automática)

Last Updated: 2019-05-03

Red Hat Enterprise Linux 8 8.0 notas de publicación (traducciónautomática)

Notas de la versión para Red Hat Enterprise Linux 8.0 (traducción automática)

Legal Notice

Copyright © 2019 Red Hat, Inc.

The text of and illustrations in this document are licensed by Red Hat under a Creative CommonsAttribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA isavailable athttp://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you mustprovide the URL for the original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert,Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinitylogo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and othercountries.

Linux ® is the registered trademark of Linus Torvalds in the United States and other countries.

Java ® is a registered trademark of Oracle and/or its affiliates.

XFS ® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United Statesand/or other countries.

MySQL ® is a registered trademark of MySQL AB in the United States, the European Union andother countries.

Node.js ® is an official trademark of Joyent. Red Hat Software Collections is not formally related toor endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack ® Word Mark and OpenStack logo are either registered trademarks/service marksor trademarks/service marks of the OpenStack Foundation, in the United States and othercountries and are used with the OpenStack Foundation's permission. We are not affiliated with,endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

Resumen

Las notas de la versión proporcionan una cobertura de alto nivel de las mejoras y adiciones que sehan implementado en Red Hat Enterprise Linux 8.0 y documentan problemas conocidos en estaversión, así como notables correcciones de errores, previsualizaciones de tecnología,funcionalidades obsoletas, funcionalidades eliminadas y otros detalles.

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Table of Contents

PROPORCIONAR COMENTARIOS SOBRE LA DOCUMENTACIÓN DE RED HAT (TRADUCCIÓNAUTOMÁTICA)

CAPÍTULO 1. PANORAMA GENERAL (TRADUCCIÓN AUTOMÁTICA)DistribuciónGestión de softwareServidores web, bases de datos, lenguajes dinámicosEscritorioInstalador y creación de imágenesSistemas de archivos y almacenamientoSeguridadTrabajo en redVirtualizaciónCompiladores y herramientas de desarrolloAlta disponibilidad y clustersRecursos adicionales

CAPÍTULO 2. ARQUITECTURAS (TRADUCCIÓN AUTOMÁTICA)

CAPÍTULO 3. DISTRIBUCIÓN DE CONTENIDOS EN RHEL 8 (TRADUCCIÓN AUTOMÁTICA)3.1. INSTALACIÓN (TRADUCCIÓN AUTOMÁTICA)3.2. REPOSITORIOS (TRADUCCIÓN AUTOMÁTICA)3.3. CORRIENTES DE APLICACIONES (TRADUCCIÓN AUTOMÁTICA)

CAPÍTULO 4. NUEVAS CARACTERÍSTICAS (TRADUCCIÓN AUTOMÁTICA)4.1. LA CONSOLA WEB (TRADUCCIÓN AUTOMÁTICA)4.2. INSTALADOR Y CREACIÓN DE IMÁGENES (TRADUCCIÓN AUTOMÁTICA)4.3. KERNEL (TRADUCCIÓN AUTOMÁTICA)4.4. GESTIÓN DE SOFTWARE (TRADUCCIÓN AUTOMÁTICA)4.5. SERVICIOS DE INFRAESTRUCTURA (TRADUCCIÓN AUTOMÁTICA)4.6. SHELLS Y HERRAMIENTAS DE LÍNEA DE COMANDOS (TRADUCCIÓN AUTOMÁTICA)4.7. LENGUAJES DE PROGRAMACIÓN DINÁMICOS, SERVIDORES WEB Y DE BASES DE DATOS(TRADUCCIÓN AUTOMÁTICA)4.8. ESCRITORIO (TRADUCCIÓN AUTOMÁTICA)4.9. GESTIÓN DE IDENTIDADES (TRADUCCIÓN AUTOMÁTICA)4.10. COMPILADORES Y HERRAMIENTAS DE DESARROLLO (TRADUCCIÓN AUTOMÁTICA)4.11. SISTEMAS DE ARCHIVOS Y ALMACENAMIENTO (TRADUCCIÓN AUTOMÁTICA)4.12. ALTA DISPONIBILIDAD Y CLUSTERS (TRADUCCIÓN AUTOMÁTICA)4.13. TRABAJO EN RED (TRADUCCIÓN AUTOMÁTICA)4.14. SEGURIDAD (TRADUCCIÓN AUTOMÁTICA)4.15. VIRTUALIZACIÓN (TRADUCCIÓN AUTOMÁTICA)4.16. SOPORTE TÉCNICO (TRADUCCIÓN AUTOMÁTICA)

CAPÍTULO 5. PREVISIONES DE TECNOLOGÍA (TRADUCCIÓN AUTOMÁTICA)5.1. KERNEL (TRADUCCIÓN AUTOMÁTICA)5.2. SISTEMAS DE ARCHIVOS Y ALMACENAMIENTO (TRADUCCIÓN AUTOMÁTICA)5.3. ALTA DISPONIBILIDAD Y CLUSTERS (TRADUCCIÓN AUTOMÁTICA)5.4. SEGURIDAD (TRADUCCIÓN AUTOMÁTICA)5.5. VIRTUALIZACIÓN (TRADUCCIÓN AUTOMÁTICA)

CAPÍTULO 6. FUNCIONALIDAD DESAPROBADA (TRADUCCIÓN AUTOMÁTICA)6.1. INSTALADOR Y CREACIÓN DE IMÁGENES (TRADUCCIÓN AUTOMÁTICA)6.2. SISTEMAS DE ARCHIVOS Y ALMACENAMIENTO (TRADUCCIÓN AUTOMÁTICA)

4

5555556666777

8

9999

1111

1214151617

18242630394346505557

585859606060

626262

Table of Contents

1

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6.3. TRABAJO EN RED (TRADUCCIÓN AUTOMÁTICA)6.4. SEGURIDAD (TRADUCCIÓN AUTOMÁTICA)6.5. VIRTUALIZACIÓN (TRADUCCIÓN AUTOMÁTICA)

CAPÍTULO 7. PROBLEMAS CONOCIDOS (TRADUCCIÓN AUTOMÁTICA)7.1. INSTALADOR Y CREACIÓN DE IMÁGENES (TRADUCCIÓN AUTOMÁTICA)7.2. KERNEL (TRADUCCIÓN AUTOMÁTICA)7.3. GESTIÓN DE SOFTWARE (TRADUCCIÓN AUTOMÁTICA)7.4. SERVICIOS DE INFRAESTRUCTURA (TRADUCCIÓN AUTOMÁTICA)7.5. SHELLS Y HERRAMIENTAS DE LÍNEA DE COMANDOS (TRADUCCIÓN AUTOMÁTICA)7.6. LENGUAJES DE PROGRAMACIÓN DINÁMICOS, SERVIDORES WEB Y DE BASES DE DATOS(TRADUCCIÓN AUTOMÁTICA)7.7. GESTIÓN DE IDENTIDADES (TRADUCCIÓN AUTOMÁTICA)7.8. COMPILADORES Y HERRAMIENTAS DE DESARROLLO (TRADUCCIÓN AUTOMÁTICA)7.9. SISTEMAS DE ARCHIVOS Y ALMACENAMIENTO (TRADUCCIÓN AUTOMÁTICA)7.10. TRABAJO EN RED (TRADUCCIÓN AUTOMÁTICA)7.11. SEGURIDAD (TRADUCCIÓN AUTOMÁTICA)

CAPÍTULO 8. CAMBIOS NOTABLES EN LOS CONTENEDORES (TRADUCCIÓN AUTOMÁTICA)

APÉNDICE A. LISTA DE TICKETS POR COMPONENTE

636363

656565666767

686869707171

73

74

Red Hat Enterprise Linux 8 8.0 notas de publicación (traducción automática)

2

Table of Contents

3

PROPORCIONAR COMENTARIOS SOBRE LADOCUMENTACIÓN DE RED HAT (TRADUCCIÓN

AUTOMÁTICA)Agradecemos su aportación a nuestra documentación. Por favor, háganos saber cómo podemosmejorarlo. Para hacerlo:

Para comentarios simples sobre pasajes específicos, asegúrese de que está viendo ladocumentación en formato HTML de varias páginas. Resalte la parte del texto que deseacomentar. A continuación, haga clic en la ventana emergente Agregar comentarios queaparece debajo del texto resaltado y siga las instrucciones que se muestran.

Para enviar comentarios más complejos, cree un ticket de Bugzilla:

1. Vaya al sitio Bugzillaweb.

2. Como Componente, utilice Documentación.

3. Rellene el campo Descripción con su sugerencia de mejora. Incluya un enlace a la(s)parte(s) relevante(s) de la documentación.

4. Haga clic en Enviar error.


4

https://bugzilla.redhat.com/enter_bug.cgi?product=Red Hat Enterprise Linux 8

CAPÍTULO 1. PANORAMA GENERAL (TRADUCCIÓNAUTOMÁTICA)

Basado en Fedora 28 y en el kernel 4.18, Red Hat Enterprise Linux 8.0 proporciona a los usuarios unabase estable, segura y consistente a través de implementaciones híbridas en nube con las herramientasnecesarias para soportar cargas de trabajo tradicionales y emergentes. Los aspectos más destacados dela versión incluyen:

Distribución

El contenido está disponible a través de los repositorios BaseOS y Application Stream(AppStream).

El repositorio AppStream soporta una nueva extensión de los módulos tradicionales de formatoRPM. Esto permite que múltiples versiones principales de un componente estén disponiblespara su instalación.

Ver Capítulo 3, Distribución de contenidos en RHEL 8 (traducción automática) para más información.

Gestión de software

El gestor de paquetes YUM se basa ahora en la tecnología DNF y proporciona soporte paracontenido modular, mayor rendimiento y una API estable y bien diseñada para la integracióncon herramientas.

Ver Sección 4.4, “Gestión de software (traducción automática)” para más detalles.

Servidores web, bases de datos, lenguajes dinámicos

Python 3.6 es la implementación predeterminada de Python en RHEL 8; se proporcionasoporte limitado para Python 2.7. No hay ninguna versión de Python instalada por defecto.

RHEL 8 ofrece los siguientes servidores de base de datos: MariaDB 10.3, MySQL 8.0,PostgreSQL 10, PostgreSQL 9.6 y Redis 4.0.

Ver Sección 4.7, “Lenguajes de programación dinámicos, servidores web y de bases de datos(traducción automática)”para más información.

Escritorio

El Shell de GNOME se ha vuelto a basar en la versión 3.28.

La sesión de GNOME y el Gestor de visualización de GNOME utilizan Wayland como suservidor de visualización predeterminado. El servidor X.Org, que es el servidor de visualizaciónpredeterminado de RHEL 7, también está disponible.

Ver Sección 4.8, “Escritorio (traducción automática)” para más información.

Instalador y creación de imágenes

El instalador de Anaconda puede utilizar el cifrado de disco LUKS2 e instalar el sistema endispositivos NVDIMM.

La nueva herramienta Composer permite a los usuarios crear imágenes de sistemapersonalizadas en una variedad de formatos, incluyendo imágenes preparadas para sudespliegue en nubes de varios proveedores. Composer está disponible como una vista previa de

CAPÍTULO 1. PANORAMA GENERAL (TRADUCCIÓN AUTOMÁTICA)

5

la tecnología.

Instalación desde un DVD utilizando Hardware Management Console (HMC) y Support Element(SE) en IBM Z.

Ver Sección 4.2, “Instalador y creación de imágenes (traducción automática)” para más detalles.

Sistemas de archivos y almacenamiento

Se ha introducido el gestor de almacenamiento local de Stratis. Stratis le permite realizarfácilmente tareas de almacenamiento complejas y gestionar su pila de almacenamientomediante una interfaz unificada.

El formato LUKS versión 2 (LUKS2) sustituye al formato LUKS heredado (LUKS1). El dm-cryptsubsistema y la cryptsetupherramienta utilizan ahora LUKS2 como formatopredeterminado para los volúmenes cifrados.

Ver Sección 4.11, “Sistemas de archivos y almacenamiento (traducción automática)” para másinformación.

Seguridad

Por defecto se aplican políticas criptográficas a nivel de todo el sistema, que configuran lossubsistemas criptográficos principales, cubriendo los protocolos TLS, IPSec, SSH, DNSSec yKerberos. Con el nuevo update-crypto-policiescomando, el administrador puede cambiarfácilmente entre los modos: predeterminado, heredado, futuro y fips.

El soporte para tarjetas inteligentes y módulos de seguridad de hardware (HSM) con PKCS #11ahora es consistente en todo el sistema.

Ver Sección 4.14, “Seguridad (traducción automática)”para más información.

Trabajo en red

El nftablesmarco reemplaza iptablesen el papel de la instalación de filtrado de paquetes de redpor defecto.

El firewallddemonio ahora usa nftablescomo su backend por defecto.

Soporte para controladores de red virtual IPVLAN que permiten la conectividad de red paramúltiples contenedores.

Consulte para Sección 4.13, “Trabajo en red (traducción automática)” obtener más detalles.

Virtualización

Un tipo de máquina más moderno basado en PCI Express (Q35) es ahora compatible yconfigurado automáticamente en máquinas virtuales creadas en RHEL 8. Esto proporciona unavariedad de mejoras en las características y la compatibilidad de los dispositivos virtuales.

Ahora es posible crear y gestionar máquinas virtuales utilizando la consola web RHEL 8, tambiénconocida como Cockpit.

El emulador de QEMU introduce la característica de sandboxing, que proporciona limitacionesconfigurables a lo que los sistemas llamados QEMU pueden realizar, y por lo tanto hace que lasmáquinas virtuales sean más seguras.

Ver Sección 4.15, “Virtualización (traducción automática)” para más información.


6

Compiladores y herramientas de desarrollo

El compilador GCC basado en la versión 8.2 ofrece soporte para versiones estándar de lenguajeC++ más recientes, mejores optimizaciones, nuevas técnicas de endurecimiento de código,mejores advertencias y nuevas características de hardware.

Varias herramientas para la generación, manipulación y depuración de código pueden ahoraexperimentar con el formato de información de depuración DWARF5.

El soporte de kernel para el rastreo de eBPF está disponible para algunas herramientas, talescomo BCC, PCP, y SystemTap.

Las glibcbibliotecas basadas en la versión 2.28 añaden soporte para Unicode 11, llamadas asistemas Linux más recientes, mejoras clave en la resolución de stub de DNS, endurecimientode seguridad adicional y rendimiento mejorado.

Consulte para Sección 4.10, “Compiladores y herramientas de desarrollo (traducciónautomática)”obtener más detalles.

Alta disponibilidad y clusters

El gestor de recursos de clúster de marcapasos ha sido actualizado a la versión 2.0.0, queproporciona una serie de correcciones y mejoras.

En RHEL 8, el sistema de configuración pcs es totalmente compatible con Corosync 3, knet, ylos nombres de nodos.

Ver Sección 4.12, “Alta disponibilidad y clusters (traducción automática)” para más información.

Recursos adicionales

Las capacidades y límites de Red Hat Enterprise Linux 8.0 en comparación con otras versionesdel sistema están disponibles en el artículo Red Hat Enterprise Linux technology capabilitiesand limitsde Knowledgebase .

En el Red Hat Enterprise Linux Life Cycle documento se proporciona información sobre el ciclode vida de Red Hat Enterprise Linux.

El Package manifestdocumento proporciona una lista de paquetes para RHEL 8.

CAPÍTULO 1. PANORAMA GENERAL (TRADUCCIÓN AUTOMÁTICA)

7

https://access.redhat.com/articles/rhel-limits

https://access.redhat.com/support/policy/updates/errata/

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/package_manifest/

CAPÍTULO 2. ARQUITECTURAS (TRADUCCIÓN AUTOMÁTICA)Red Hat Enterprise Linux 8.0 se distribuye con la versión 4.18 del núcleo, que proporciona soporte paralas siguientes arquitecturas:

Arquitecturas AMD e Intel de 64 bits

La arquitectura ARM de 64 bits

IBM Power Systems, Little Endian

IBM Z


8

CAPÍTULO 3. DISTRIBUCIÓN DE CONTENIDOS EN RHEL 8(TRADUCCIÓN AUTOMÁTICA)

3.1. INSTALACIÓN (TRADUCCIÓN AUTOMÁTICA)

Red Hat Enterprise Linux 8 se instala utilizando imágenes ISO. Hay dos tipos de imágenes ISOdisponibles para las arquitecturas AMD64, Intel 64-bit, ARM 64-bit, IBM Power Systems, e IBM Z:

DVD binario ISO: Una imagen de instalación completa que contiene los repositorios BaseOS yAppStream y le permite completar la instalación sin repositorios adicionales.

Arrancar ISO: Una imagen ISO de arranque mínima que se utiliza para arrancar el programa deinstalación. Esta opción requiere acceso a los repositorios BaseOS y AppStream para instalarpaquetes de software. Los repositorios son parte de la imagen ISO del DVD Binario.

Consulte el Performing a standard RHEL installation documento para obtener instrucciones sobre cómodescargar imágenes ISO, crear medios de instalación y completar la instalación de RHEL. Parainstalaciones Kickstart automatizadas y otros temas avanzados, consulte el Performing an advancedRHEL installationdocumento.

3.2. REPOSITORIOS (TRADUCCIÓN AUTOMÁTICA)

Red Hat Enterprise Linux 8 se distribuye a través de dos repositorios:

BaseOS

AppStream

Ambos repositorios son necesarios para una instalación básica de RHEL y están disponibles con todaslas suscripciones a RHEL.

El contenido en el repositorio BaseOS tiene por objeto proporcionar el conjunto central de lafuncionalidad subyacente del sistema operativo que proporciona la base para todas las instalaciones.Este contenido está disponible en formato RPM y está sujeto a condiciones de soporte similares a las deversiones anteriores de RHEL. Para obtener una lista de los paquetes distribuidos a través de BaseOS,consulte la Package manifestsección

El contenido en el repositorio del flujo de aplicaciones incluye aplicaciones de espacio de usuarioadicionales, lenguajes de ejecución y bases de datos en apoyo de las diversas cargas de trabajo y casosde uso. El contenido de AppStream está disponible en uno de dos formatos: el conocido formato RPM yuna extensión del formato RPM llamada módulos. Para obtener una lista de los paquetes disponibles enAppStream, consulte la Package manifestsección

Además, el repositorio CodeReady Linux Builder está disponible con todas las suscripciones a RHEL.Proporciona paquetes adicionales para uso de los desarrolladores. Los paquetes incluidos en elrepositorio CodeReady Linux Builder no son compatibles con el uso en producción.

Para obtener más información sobre los repositorios de RHEL 8, consulte la sección Package manifest.

3.3. CORRIENTES DE APLICACIONES (TRADUCCIÓN AUTOMÁTICA)

Red Hat Enterprise Linux 8.0 introduce el concepto de flujos de aplicaciones. Ahora se suministran yactualizan múltiples versiones de componentes de espacio de usuario con mayor frecuencia que lospaquetes del sistema operativo central. Esto proporciona una mayor flexibilidad para personalizar Red

CAPÍTULO 3. DISTRIBUCIÓN DE CONTENIDOS EN RHEL 8 (TRADUCCIÓN AUTOMÁTICA)

9

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/performing_a_standard_rhel_installation/

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/performing_an_advanced_rhel_installation/

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/package_manifest/#chap-BaseOS-repository

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/package_manifest/#chap-AppStream-repository

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/package_manifest/

Hat Enterprise Linux sin afectar la estabilidad subyacente de la plataforma o implementacionesespecíficas.

Los componentes disponibles como flujos de aplicación se pueden empaquetar como módulos opaquetes RPM y se entregan a través del repositorio AppStream en RHEL 8. Cada componente del flujode aplicaciones tiene un ciclo de vida determinado. Para más detalles, véaseRed Hat Enterprise LinuxLife Cycle

Los módulos son colecciones de paquetes que representan una unidad lógica: una aplicación, una pila deidiomas, una base de datos o un conjunto de herramientas. Estos paquetes se construyen, se prueban yse liberan juntos.

Los flujos de módulos representan versiones de los componentes del flujo de aplicaciones. Por ejemplo,dos streams (versiones) del servidor de base de datos PostgreSQL están disponibles en el módulopostgresql: PostgreSQL 10 (el flujo por defecto) y PostgreSQL 9.6. Sólo se puede instalar un flujo demódulos en el sistema. Se pueden utilizar diferentes versiones en contenedores separados.

Los comandos detallados del módulo se describen en el Using Application Streamdocumento. Paraobtener una lista de los módulos disponibles en AppStream, consulte la Package manifestsección


10

https://access.redhat.com/support/policy/updates/errata

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/using_application_stream/

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/package_manifest/#chap-AppStream_Modules

CAPÍTULO 4. NUEVAS CARACTERÍSTICAS (TRADUCCIÓNAUTOMÁTICA)

Esta parte describe las nuevas características y las principales mejoras introducidas en Red HatEnterprise Linux 8.

4.1. LA CONSOLA WEB (TRADUCCIÓN AUTOMÁTICA)

NOTA

La página de Suscripciones de la consola web está ahora disponible en el nuevo subscription-manager-cockpitpaquete.

Se ha añadido una interfaz de cortafuegos a la consola web

La página Networking de la consola web RHEL 8 incluye ahora una sección Firewall. En esta sección, losusuarios pueden habilitar o deshabilitar el firewall, así como agregar, quitar y modificar las reglas delfirewall.

(BZ#1647110)

La consola web ya está disponible por defecto

Los paquetes para la consola web RHEL 8, también conocida como Cockpit, ahora forman parte de losrepositorios por defecto de Red Hat Enterprise Linux y, por lo tanto, pueden instalarse inmediatamenteen un sistema RHEL 8 registrado.

Además, en una instalación no mínima de RHEL 8, la consola web se instala automáticamente y lospuertos de cortafuegos requeridos por la consola se abren automáticamente. También se ha añadido unmensaje del sistema antes de iniciar sesión que proporciona información sobre cómo habilitar o accedera la consola web.

(JIRA:RHELPLAN-10355)

Mejor integración de IdM para la consola web

Si su sistema está inscrito en un dominio de gestión de identidades (IdM), la consola web RHEL 8 utilizade forma predeterminada los recursos IdM del dominio gestionados de forma centralizada. Esto incluyelos siguientes beneficios:

Los administradores del dominio IdM pueden utilizar la consola web para gestionar el equipolocal.

El servidor web de la consola cambia automáticamente a un certificado emitido por la autoridadde certificación IdM (CA) y aceptado por los navegadores.

Los usuarios con un ticket Kerberos en el dominio IdM no necesitan proporcionar credencialesde inicio de sesión para acceder a la consola web.

Los hosts SSH conocidos por el dominio IdM son accesibles a la consola web sin necesidad deañadir manualmente una conexión SSH.

Tenga en cuenta que para que la integración IdM con la consola web funcione correctamente, el usuariodebe ejecutar primero la ipa-adviseutilidad con la enable-admins-sudoopción en el sistema maestroIdM.

CAPÍTULO 4. NUEVAS CARACTERÍSTICAS (TRADUCCIÓN AUTOMÁTICA)

11


La consola web es ahora compatible con los navegadores móviles

Con esta actualización, los menús y páginas de la consola web se pueden navegar en variantes denavegadores móviles. Esto permite gestionar los sistemas utilizando la consola web RHEL 8 desde undispositivo móvil.


La página principal de la consola web ahora muestra las actualizaciones y suscripciones quefaltan

Si un sistema gestionado por la consola web RHEL 8 tiene paquetes obsoletos o una suscripcióncaducada, aparecerá una advertencia en la página principal de la consola web del sistema.


La consola web ahora soporta la inscripción a PBD

Con esta actualización, puede utilizar la interfaz de la consola web RHEL 8 para aplicar reglas dedesencriptación basada en políticas (PBD) a los discos de los sistemas gestionados. Esto utiliza el clientede descifrado de Clevis para facilitar una variedad de funciones de gestión de seguridad en la consolaweb, como el desbloqueo automático de las particiones de disco cifradas de LUKS.


Las Máquinas Virtuales ahora pueden ser administradas usando la consola web

La Virtual Machinespágina ahora puede añadirse a la interfaz de la consola web de RHEL 8, quepermite al usuario crear y gestionar máquinas virtuales basadas en bibliotecas.


4.2. INSTALADOR Y CREACIÓN DE IMÁGENES (TRADUCCIÓNAUTOMÁTICA)

La instalación de RHEL desde un DVD utilizando SE y HMC es ahora totalmente compatiblecon IBM Z

La instalación de Red Hat Enterprise Linux 8 en hardware IBM Z desde un DVD utilizando el Elementode Soporte (SE) y la Consola de Gestión de Hardware (HMC) es ahora totalmente compatible. Estaadición simplifica el proceso de instalación en IBM Z con SE y HMC.

Al arrancar desde un DVD binario, el instalador solicita al usuario que introduzca parámetros adicionalesdel kernel. Para configurar el DVD como fuente de instalación, añada inst.repo=hmclos parámetros delnúcleo. El instalador habilita el acceso a los archivos SE y HMC, obtiene las imágenes de la etapa 2 delDVD y proporciona acceso a los paquetes del DVD para la selección del software.

La nueva característica elimina el requisito de una configuración de red externa y amplía las opciones deinstalación.

(BZ#1500792)

El instalador ahora soporta el formato de encriptación de discos LUKS2

El instalador de Red Hat Enterprise Linux 8 ahora usa el formato LUKS2 por defecto, pero puede


12

El instalador de Red Hat Enterprise Linux 8 ahora usa el formato LUKS2 por defecto, pero puedeseleccionar una versión de LUKS desde la ventana de Particionado Personalizado de Anaconda ousando las nuevas opciones en los autopartcomandos logvol, part, , y RAIDcomandos de Kickstart.

LUKS2 proporciona muchas mejoras y características, por ejemplo, amplía las capacidades del formatoen disco y proporciona formas flexibles de almacenar metadatos.

(BZ#1547908)

Anaconda apoya el propósito del sistema en RHEL 8

Anteriormente, Anaconda no proporcionaba información sobre el propósito del sistema alAdministrador de suscripciones. En Red Hat Enterprise Linux 8.0, puede establecer el propósito delsistema durante la instalación usando la System Purposeventana de Anaconda o el syspurposecomando Kickstart. Cuando se completa la instalación, el Administrador de suscripcionesutiliza la información de propósito del sistema al suscribirse al sistema.

(BZ#1612060)

Pykickstart soporta el propósito del sistema en RHEL 8

Anteriormente, la pykickstartbiblioteca no podía proporcionar información sobre el propósito delsistema al Administrador de suscripciones. En Red Hat Enterprise Linux 8.0, pykickstartanaliza elnuevo syspurposecomando y registra el propósito del sistema durante la instalación automatizada yparcialmente automatizada. La información se pasa a Anaconda, se guarda en el sistema reciéninstalado y está disponible para el Administrador de suscripciones al suscribirse al sistema.

(BZ#1612061)

Anaconda soporta un nuevo parámetro de arranque del kernel en RHEL 8

Anteriormente, sólo podía especificar un repositorio base desde los parámetros de arranque del núcleo.En Red Hat Enterprise Linux 8, un nuevo parámetro de kernel, inst.addrepo=<name>,<url>, le permiteespecificar un repositorio adicional durante la instalación.

Este parámetro tiene dos valores obligatorios: el nombre del repositorio y la URL que apunta alrepositorio. Para más información, véase https://anaconda-installer.readthedocs.io/en/latest/boot-options.html#inst-addrepo

(BZ#1595415)

Anaconda soporta una ISO unificada en RHEL 8

En Red Hat Enterprise Linux 8.0, una ISO unificada carga automáticamente los repositorios de origen deinstalación de BaseOS y AppStream.

Esta característica funciona para el primer repositorio base que se carga durante la instalación. Porejemplo, si arranca la instalación sin ningún repositorio configurado y tiene la ISO unificada comorepositorio base en la GUI, o si arranca la instalación usando la inst.repo=opción que apunta a la ISOunificada. Como resultado, el repositorio AppStream está habilitado en la sección Repositoriosadicionales de la ventana de la GUI de origen de la instalación. No puede eliminar el repositorio deAppStream ni cambiar su configuración, pero puede desactivarlo en Fuente de instalación. Estacaracterística no funciona si arranca la instalación usando un repositorio base diferente y luego lacambia a la ISO unificada. Si lo hace, el repositorio base es reemplazado. Sin embargo, el repositorio deAppStream no se reemplaza y apunta al archivo original.

(BZ#1610806)


13

https://anaconda-installer.readthedocs.io/en/latest/boot-options.html#inst-addrepo

4.3. KERNEL (TRADUCCIÓN AUTOMÁTICA)

Ya está disponible el direccionamiento físico de 52 bits ARM

Con esta actualización, el soporte para direccionamiento físico (PA) de 52 bits para la arquitectura ARMde 64 bits está disponible. Esto proporciona un espacio de direcciones más grande que el anterior PAde 48 bits.

(BZ#1643522)

El código IOMMU soporta tablas de página de 5 niveles en RHEL 8

El código de la unidad de gestión de memoria de E/S (IOMMU) en el kernel de Linux ha sido actualizadopara soportar tablas de página de 5 niveles en Red Hat Enterprise Linux 8.

(BZ#1485546)

Soporte para paginación de 5 niveles

Se ha añadido un nuevo P4d_ttipo de tabla de páginas de software al núcleo de Linux para soportar lapaginación de 5 niveles en Red Hat Enterprise Linux 8.

(BZ#1485532)

La gestión de memoria soporta tablas de página de 5 niveles

Con Red Hat Enterprise Linux 7, el bus de memoria existente tenía 48/46 bits de capacidad dedireccionamiento de memoria física/virtual, y el núcleo de Linux implementó 4 niveles de tablas depágina para gestionar estas direcciones virtuales a direcciones físicas. La línea de direccionamiento delbus físico sitúa el límite superior de capacidad de la memoria física en 64 TB.

Estos límites se han ampliado a 57/52 bits de direccionamiento de memoria virtual/física con 128 PiB deespacio de direcciones virtual y 4 PB de capacidad de memoria física.

Con el rango de direcciones extendido, la gestión de memoria en Red Hat Enterprise Linux 8 añadesoporte para la implementación de tablas de páginas de 5 niveles, para poder manejar el rango dedirecciones expandido.

(BZ#1485525)

kernel-signing-ca.cer se traslada a kernel-coreen RHEL 8

En todas las versiones de Red Hat Enterprise Linux 7, la clave kernel-signing-ca.cerpública seencontraba en el kernel-docpaquete. Sin embargo, en Red Hat Enterprise Linux 8, kernel-signing-ca.cerha sido reubicado al kernel-corepaquete para cada arquitectura.

(BZ#1638465)

bpftool para la inspección y manipulación de programas y mapas basados en eBPF añadidos

La bpftoolutilidad que sirve para la inspección y manipulación sencilla de programas y mapas basados enel Berkeley Packet Filtering (eBPF) extendido ha sido añadida al núcleo de Linux. bpftooles una partedel árbol de fuentes del núcleo, y es proporcionada por el paquete bpftool, que se incluye como unsubpaquete del paquete del núcleo.

(BZ#1559607)

Las kernel-rtfuentes han sido actualizadas


14

Las kernel-rtfuentes han sido actualizadas para usar el último árbol de fuentes del núcleo RHEL. Elúltimo árbol de fuentes del kernel está usando ahora el conjunto de parches en tiempo real upstreamv4.18, que proporciona una serie de correcciones y mejoras con respecto a la versión anterior.

(BZ#1592977)

4.4. GESTIÓN DE SOFTWARE (TRADUCCIÓN AUTOMÁTICA)

Mejora del rendimiento de YUM y soporte para contenido modular

En Red Hat Enterprise Linux 8, la instalación del software está garantizada por la nueva versión de laherramienta YUM, que se basa en la tecnología DNF.

El YUM basado en DNF tiene las siguientes ventajas sobre el anterior YUM v3 utilizado en RHEL 7:

Mayor rendimiento

Soporte para contenido modular

API estable y bien diseñada para la integración con herramientas

Para obtener información detallada sobre las diferencias entre la nueva herramienta YUM y la versiónanterior YUM v3 de RHEL 7, véase http://dnf.readthedocs.io/en/latest/cli_vs_yum.html.

El YUM basado en DNF es compatible con el YUM v3 cuando se utiliza desde la línea de comandos,editando o creando archivos de configuración.

Para la instalación del software, puede utilizar el yumcomando y sus opciones particulares de la mismamanera que en RHEL 7. Los paquetes se pueden instalar bajo los nombres anteriores usando Provides.Los paquetes también proporcionan enlaces simbólicos de compatibilidad, por lo que los binarios,archivos de configuración y directorios se pueden encontrar en las ubicaciones habituales.

Tenga en cuenta que la API Python heredada proporcionada por YUM v3 y la API Libdnf C soninestables y probablemente cambiarán durante el ciclo de vida de Red Hat Enterprise Linux 8. Seaconseja a los usuarios migrar sus plugins y scripts a la nueva API de DNF Python, que es estable ytotalmente compatible. La API de DNF Python está disponible enhttps://dnf.readthedocs.io/en/latest/api.html

Algunas de las características del YUM v3 pueden comportarse de forma diferente en el YUM basadoen DNF. Si alguno de estos cambios afecta negativamente a sus flujos de trabajo, abra un caso con elsoporte técnico de Red Hat, tal y como se describe en How do I open and manage a support case on theCustomer Portal?

(BZ#1581198)

Características destacables de RPM en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con RPM 4.14. Esta versión introduce muchas mejoras conrespecto a la RPM 4.11, que está disponible en RHEL 7. Las características más notables incluyen:

Los debuginfopaquetes se pueden instalar en paralelo

Soporte para dependencias débiles

Soporte para dependencias ricas o booleanas

Compatibilidad con archivos de empaquetado de más de 4 GB de tamaño


15

http://dnf.readthedocs.io/en/latest/cli_vs_yum.html

https://dnf.readthedocs.io/en/latest/api.html

https://access.redhat.com/articles/38363

Compatibilidad con activadores de archivos

También, los cambios más notables incluyen:

Especificaciones más estrictas

Comprobación simplificada de la firma de la salida en modo sin verborrea

Adiciones y depreciación en las macros

(BZ#1581990)

RPM ahora valida el contenido de todo el paquete antes de comenzar la instalación

En Red Hat Enterprise Linux 7, la utilidad RPM verificó el contenido de la carga útil de los archivosindividuales mientras se desempaquetaban. Sin embargo, esto es insuficiente por múltiples razones:

Si la carga útil está dañada, sólo se nota después de ejecutar acciones de script, que sonirreversibles.

Si la carga útil está dañada, la actualización de un paquete se interrumpe después dereemplazar algunos archivos de la versión anterior, lo que rompe una instalación enfuncionamiento.

Los hash de los archivos individuales se realizan en datos no comprimidos, lo que hace que RPMsea vulnerable a las vulnerabilidades de los descompresores.

En Red Hat Enterprise Linux 8, el paquete completo es validado antes de la instalación en un pasoseparado, utilizando el mejor hash disponible.

Los paquetes construidos sobre Red Hat Enterprise Linux 8 utilizan un nuevo SHA256hash en la cargaútil comprimida. En los paquetes firmados, el hash de la carga útil está adicionalmente protegido por lafirma, y por lo tanto no puede ser alterado sin romper una firma y otros hashes en el encabezado delpaquete. Los paquetes más antiguos utilizan el MD5hash de la cabecera y la carga útil, a menos que estédeshabilitado por la configuración, como el modo FIPS.

La macro`%_pkgverify_level` puede usarse para habilitar adicionalmente la verificación de firmas antesde la instalación o deshabilitar la verificación de la carga útil completamente. Además, la %_pkgverify_flagsmacro puede utilizarse para limitar qué hashes y firmas están permitidos. Porejemplo, es posible desactivar el uso del MD5hash débil a costa de la compatibilidad con paquetes másantiguos.


4.5. SERVICIOS DE INFRAESTRUCTURA (TRADUCCIÓN AUTOMÁTICA)

Cambios notables en el perfil recomendado Tuned en RHEL 8

Con esta actualización, el perfil sintonizado recomendado (informado por el tuned-adm recommendcomando) se selecciona ahora en base a las siguientes reglas: la primera regla que coincidaentra en vigor:

Si el syspurposerol (reportado por el syspurpose showcomando) contiene atomic, y almismo tiempo:

si Tuned se ejecuta sobre metal desnudo, se selecciona el atomic-hostperfil


16

si Tuned se está ejecutando en una máquina virtual, se selecciona el atomic-guestperfil

Si Tuned se está ejecutando en una máquina virtual, se selecciona el virtual-guestperfil

Si el syspurposerol contiene desktopo workstationy el tipo de chasis (notificadopordmidecode) es Notebook, Laptop, o Portable,, se selecciona el balancedperfil

Si ninguna de las reglas anteriores coincide, se selecciona el throughput-performanceperfil

(BZ#1565598)

Los archivos producidos por nombre pueden ser escritos en el directorio de trabajo

Anteriormente, el demonio nombrado almacenaba algunos datos en el directorio de trabajo, que ha sidode sólo lectura en Red Hat Enterprise Linux. Con esta actualización, las rutas se han cambiado para losarchivos seleccionados en subdirectorios, donde se permite la escritura. Ahora, los permisospredeterminados de los directorios Unix y SELinux permiten escribir en el directorio. Los archivosdistribuidos dentro del directorio siguen siendo de sólo lectura con nombre.

(BZ#1588592)

Las bases de datos de Geolite han sido reemplazadas por las bases de datos de Geolite2

Las bases de datos Geolite que estaban presentes en Red Hat Enterprise Linux 7 fueron reemplazadaspor las bases de datos Geolite2 en Red Hat Enterprise Linux 8.

Las bases de datos Geolite fueron proporcionadas por el GeoIPpaquete. Este paquete, junto con labase de datos heredada, ya no es compatible con la versión anterior.

Las bases de datos Geolite2 son proporcionadas por múltiples paquetes. El libmaxminddbpaqueteincluye la biblioteca y la herramienta de línea de mmdblookupcomandos, que permite la búsquedamanual de direcciones. El geoipupdatebinario del paquete heredado GeoIPes ahora proporcionado porel geoipupdatepaquete, y es capaz de descargar tanto las bases de datos heredadas como las nuevasbases de datos de Geolite2.


Los registros de CUPS son manejados por journald

En RHEL 8, los registros CUPS ya no se almacenan en archivos específicos dentro del /var/log/cupsdirectorio que se utilizó en RHEL 7. En RHEL 8, todos los tipos de registros CUPS seregistran de forma centralizada en el journalddemonio systemd junto con los registros de otrosprogramas. Para acceder a los registros CUPS, utilice el journalctl -u cupscomando. Para obtener másinformación, consulte[Trabajar https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/deploying_different_types_of_servers/working-with-cups-logs_configuring-printingcon registros CUPS].


4.6. SHELLS Y HERRAMIENTAS DE LÍNEA DE COMANDOS(TRADUCCIÓN AUTOMÁTICA)

El nobodyusuario sustituye nfsnobody

En Red Hat Enterprise Linux 7, la había:

el par de nobodyusuarios y grupos con el ID de 99, y


17

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/deploying_different_types_of_servers/working-with-cups-logs_configuring-printing

el par de nfsnobodyusuario y grupo con el ID de 65534, que también es el ID dedesbordamiento predeterminado del núcleo.

Ambos se han fusionado en el par de nobodyusuarios y grupos, que utiliza el ID 65534 en Red HatEnterprise Linux 8. Las nuevas instalaciones ya no crean el nfsnobodypar.

Este cambio reduce la confusión sobre los archivos que son propiedad de NFS nobodypero que notienen nada que ver con NFS.

(BZ#1591969)

Sistemas de control de versiones en RHEL 8

RHEL 8 ofrece los siguientes sistemas de control de versiones:

Git 2.18un sistema de control de revisiones distribuido con una arquitectura descentralizada.

Mercurial 4.8un sistema de control de versiones distribuido y ligero, diseñado para el manejoeficiente de grandes proyectos.

Subversion 1.10un sistema de control de versiones centralizado. Para más información,véaseNotable changes in Subversion 1.10

Tenga en cuenta que el sistema de versiones simultáneas (CVS), disponible en RHEL 7, no se distribuyecon RHEL 8.

(BZ#1693775)

Cambios notables en Subversion 1.10

Subversion 1.10 introduce una serie de nuevas características desde la versión 1.7 distribuida en RHEL7, así como los siguientes cambios de compatibilidad:

Debido a incompatibilidades en las Subversionlibrerías utilizadas para soportar los enlaces delenguaje, Python 3los enlaces para Subversion 1.10no están disponibles. Como consecuencia,las aplicaciones que requieren Pythonfijaciones no Subversionestán soportadas.

Ya no Berkeley DBse soportan los repositorios basados en. Antes de migrar, haga una copia deseguridad de Subversion 1.7los repositorios creados utilizando el svnadmin dumpcomando.Después de instalar RHEL 8, restaure los repositorios utilizando el svnadmin loadcomando.

Las copias de trabajo existentes obtenidas por el Subversion 1.7cliente en RHEL 7 deben seractualizadas al nuevo formato antes de que puedan ser utilizadas a partir Subversion 1.10de .Después de instalar RHEL 8, ejecute el svn upgradecomando en cada copia de trabajo.

Ya no se soporta la autenticación por tarjeta inteligente para acceder a los repositoriosmediante https://el uso de repositorios.

(BZ#1571415)

4.7. LENGUAJES DE PROGRAMACIÓN DINÁMICOS, SERVIDORES WEBY DE BASES DE DATOS (TRADUCCIÓN AUTOMÁTICA)

Python 3 es la implementación por defecto Pythonen RHEL 8

Red Hat Enterprise Linux 8 se distribuye conPython 3.6 El paquete no está instalado por defecto. ParainstalarPython 3.6, use el yum install python3comando.


18

https://access./documentation/en-us/red_hat_enterprise_linux/8/html-single/8.0_release_notes/#BZ-1571415

Python 2.7 está disponible en el python2paquete. Sin embargo, Python 2tendrá un ciclo de vida máscorto y su objetivo es facilitar una transición más suave para Python 3los clientes.

Con RHEL 8 no se distribuye ni el paquete por defecto pythonni el ejecutable noversionado/usr/bin/python. Se aconseja a los clientes que utilicen python3o python2directamente.Alternativamente, los administradores pueden configurar el comando sin versionar pythonusando el alternativescomando.

Para más detalles, véaseUsing Python in Red Hat Enterprise Linux 8

(BZ#1580387)

Los scripts Python deben especificar la versión principal en hashbangs en el momento de laconstrucción de RPM

En RHEL 8, se espera que los scripts Python ejecutables utilicen hashbangs (shebangs) especificandoexplícitamente al menos la versión principal de Python.

El script /usr/lib/rpm/redhat/brp-mangle-shebangsbuildroot policy (BRP) se ejecuta automáticamenteal crear cualquier paquete RPM. Este script intenta corregir los hashbangs en todos los archivosejecutables. Cuando el script encuentra hashbangs ambiguos que no pueden ser resueltos en unaversión mayor de Python, genera errores. Ejemplos de estos ambiguos hashbangs incluyen:

#! /usr/bin/python

#! /usr/bin/env python

Para modificar los hashbangs en los scripts Python que causan estos errores de compilación en elmomento de la compilación RPM, utilice el pathfix.pyscript del paquete platform-python-devel:

pathfix.py -pn -i %{__python3} PATH ...

Se pueden especificar varios PATHs. Si un PATH es un directorio, busca pathfix.pyrecursivamentecualquier script Python que coincida con el patrón^[a-zA-Z0-9_]+\.py$, no sólo aquellos con unhashbang ambiguo. Añada este comando a la %prepsección o al final de la %installsección.

Para más información, véaseHandling hashbangs in Python scripts

(BZ#1583620)

Cambios notables en PHP

Red Hat Enterprise Linux 8 se distribuye conPHP 7.2 En esta versión se introducen los siguientescambios importantes a lo largo de PHP 5.4, que están disponibles en RHEL 7:

PHP utiliza FastCGI Process Manager (FPM) por defecto (seguro para su uso con unaroscahttpd)

Las variables php_valuey php-flagno deben seguir utilizándose en los archivos de httpdconfiguración, sino que deben configurarse en la configuración del pool: /etc/php-fpm.d/*.conf

PHP los errores de guión y las advertencias se registran en el /var/log/php-fpm/www-error.logarchivo en lugar de /var/log/httpd/error.log

Cuando se cambia la variable de max_execution_timeconfiguración de PHP, la httpd ProxyTimeoutconfiguración debe ser incrementada para que coincida con


19

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/configuring_basic_system_settings/#using-python3

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/configuring_basic_system_settings/#python-shebang-mangling

El usuario que ejecuta PHPscripts está ahora configurado en la configuración del pool FPM (el /etc/php-fpm/d/www.confarchivo; el apacheusuario es el predeterminado)

El php-fpmservicio debe reiniciarse después de un cambio de configuración o después deinstalar una nueva extensión

Las siguientes extensiones han sido eliminadas:

aspell

mysql (tenga en cuenta que las pdo_mysqlextensiones mysqliy las extensiones todavía estándisponibles, proporcionadas por el php-mysqlndpaquete)

zip

memcache

(BZ#1580430, BZ#1691688)

Cambios notables en Ruby

RHEL 8 ofrece Ruby 2.5, que introduce numerosas funciones nuevas y mejoras con respecto Ruby 2.0.0a las disponibles en RHEL 7. Los cambios notables incluyen:

Se ha añadido un recolector de basura incremental.

Se ha añadido la Refinementssintaxis.

Los símbolos son ahora basura recolectada.

Los $SAFE=2niveles de $SAFE=3seguridad son ahora obsoletos.

Las clases Fixnumy Bignumlas clases se han unificado en la Integerclase.

Se ha mejorado el rendimiento optimizando la Hashclase, mejorando el acceso a las variables dela instancia, y la Mutexclase es más pequeña y rápida.

Algunas APIs antiguas han sido obsoletas.

Se han actualizado las bibliotecas agrupadas, como RubyGemsRake, RDoc, , Psych, , Minitest,y test-unit,.

Otras bibliotecas, como mathnDL, ext/tk, , y XMLRPC,, que se distribuían anteriormente con Ruby,, están obsoletas o ya no se incluyen.

El esquema de SemVerversionado se utiliza ahora para Rubyversionar.

(BZ#1648843)

Cambios notables en Perl

Perl 5.26distribuido con RHEL 8, introduce los siguientes cambios en la versión disponible en RHEL 7:

Unicode 9.0 ahora está soportado.

Nuevosop-entry, loading-filey se suministran loaded-file SystemTapsondas.

El mecanismo de copia sobre escritura se utiliza cuando se asignan escalares para mejorar el


20

https://bugzilla.redhat.com/show_bug.cgi?id=1691688

El mecanismo de copia sobre escritura se utiliza cuando se asignan escalares para mejorar elrendimiento.

Se ha añadido el IO::Socket::IPmódulo para el manejo transparente de sockets IPv4 e IPv6.

Se ha añadido el Config::Perl::Vmódulo para acceder perl -Va los datos de forma estructurada.

Se ha añadido un nuevo perl-App-cpanminuspaquete, que contiene la cpanmutilidad paraobtener, extraer, construir e instalar módulos desde el repositorio de la Red Integral de ArchivosPerl (CPAN).

El directorio .actual ha sido eliminado de la ruta de búsqueda del @INCmódulo por razones deseguridad.

La dosentencia ahora devuelve una advertencia de deprecación cuando no puede cargar unarchivo debido al cambio de comportamiento descrito anteriormente.

La do subroutine(LIST)llamada ya no se soporta y se produce un error de sintaxis.

Los hash son aleatorios por defecto ahora. El orden en el que se devuelven las claves y losvalores de un hash cambia en cada perlejecución. Para desactivar la aleatorización, establezca lavariable de PERL_PERTURB_KEYSentorno en 0.

Los caracteres literales {inescapables en los patrones de expresión regulares ya no sonpermitidos.

Se ha eliminado el soporte de alcance léxico para la $_variable.

Usar el definedoperador en un arreglo o un hash resulta en un error fatal.

La importación de funciones desde el UNIVERSALmódulo produce un error fatal.

Se han quitado losfind2perl, s2p, a2p, , c2ph, y las pstructherramientas.

La ${^ENCODING}instalación ha sido removida. El modo predeterminado de encodingpragmaya no es compatible. Para escribir código fuente en otra codificación que no sea UTF-8, utilice laFilteropción de codificación.

El perlembalaje está ahora alineado con el anterior. El perlpaquete instala también los módulosprincipales, mientras que el /usr/bin/perlintérprete es proporcionado por el perl-interpreterpaquete. En versiones anteriores, el perlpaquete incluía sólo un intérprete mínimo,mientras que el perl-corepaquete incluía tanto al intérprete como a los módulos principales.

(BZ#1511131)

Node.js nuevo en RHEL 8

Node.jsuna plataforma de desarrollo de software para la creación de aplicaciones de red rápidas yescalables en el lenguaje de programación JavaScript, que se ofrece por primera vez en RHEL.Anteriormente sólo estaba disponible como una colección de software. La RHEL 8 proporcionaNode.js 10...

(BZ#1622118)

Cambios notables en SWIG

RHEL 8 incluye la versión 3.0 de Simplified Wrapper and Interface Generator (SWIG), que ofrecenumerosas funciones nuevas, mejoras y correcciones de errores en la versión 2.0 distribuida en RHEL 7.


21

En particular, se ha implementado el soporte de la norma C++11. SWIG ahora también soporta Go 1.6,PHP 7. Octava 4.2 y Pitón 3.5.

(BZ#1660051)

Cambios notables en Apache httpd

RHEL 8 se distribuye con el servidor HTTP Apache 2.4.37. Esta versión introduce los siguientes cambioscon respecto a la httpddisponible en RHEL 7:

El mod_http2paquete, que forma parte del httpdmódulo, es ahora compatible con HTTP/2.

El mod_mdpaquete ahora admite el aprovisionamiento y la renovación automatizados decertificados TLS mediante el protocolo ACME (Automatic Certificate ManagementEnvironment) (para su uso con proveedores de certificados como Let’s Encrypt)

El servidor HTTP Apache ahora soporta la carga de certificados TLS y claves privadas desdetokens de seguridad de hardware directamente desde los PKCS#11módulos. Como resultado,una mod_sslconfiguración ahora puede usar PKCS#11URLs para identificar la clave privada deTLS y, opcionalmente, el certificado de TLS en las SSLCertificateFiledirectivas SSLCertificateKeyFiley.

El módulo de multiprocesamiento (MPM) configurado por defecto con el servidor HTTPApache ha cambiado de un modelo multiproceso en horquilla (conocido como prefork)) a unmodelo multihilo de alto rendimientoevent. Los módulos de otros fabricantes que no seanseguros para roscas deben ser reemplazados o retirados. Para cambiar el MPM configurado,edite el /etc/httpd/conf.modules.d/00-mpm.confarchivo. Vea la página de httpd.conf(5)manual para más información.

Para obtener más información sobre httpdel producto, véase Setting up the Apache HTTP web server...

(BZ#1632754, BZ#1527084, BZ#1581178)

El servidor nginxweb nuevo en RHEL 8

RHEL 8 presenta nginx 1.14un servidor web y proxy que soporta HTTP y otros protocolos, con unenfoque en alta concurrencia, rendimiento y bajo uso de memoria.nginx

El servidor nginxweb ahora soporta la carga de claves privadas de TLS desde los tokens de seguridadde hardware directamente desde los PKCS#11módulos. Como resultado, una nginxconfiguraciónpuede utilizar PKCS#11URLs para identificar la clave privada de TLS en la ssl_certificate_keydirectiva.

(BZ#1545526)

Servidores de base de datos en RHEL 8

RHEL 8 ofrece los siguientes servidores de base de datos:

MySQL 8.0un servidor de base de datos SQL multiusuario y multihilo. Consiste en el demoniodel MySQLservidor, mysqld, y muchos programas cliente.

MariaDB 10.3un servidor de base de datos SQL multiusuario y multihilo. Para todos los finesprácticos, MariaDBes binario-compatible con MySQL.

PostgreSQL 10 y PostgreSQL 9.6un sistema avanzado de gestión de base de datos objeto-relacional (DBMS).

Redis 5un almacén avanzado de clave-valor. A menudo se le llama servidor de estructura de


22

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/deploying_different_types_of_servers/#setting-apache-web-server_Deploying-different-types-of-servers

Redis 5un almacén avanzado de clave-valor. A menudo se le llama servidor de estructura dedatos porque las claves pueden contener cadenas, hashes, listas, conjuntos y conjuntosordenados. Redisse proporciona por primera vez en RHEL.

Tenga en cuenta que el servidor de base de datos NoSQL MongoDBno está incluido en RHEL 8.0porque utiliza la Licencia Pública del Lado del Servidor (SSPL).

(BZ#1647908)

Cambios notables en MySQL 8.0

RHEL 8 se distribuye con MySQL 8.0, que proporciona, por ejemplo, las siguientes ampliaciones:

MySQL incorpora ahora un diccionario de datos transaccionales, que almacena informaciónsobre los objetos de la base de datos.

MySQL ahora soporta roles, que son colecciones de privilegios.

El juego de caracteres por defecto se ha cambiado de latin1utf8mb4.

Se ha añadido soporte para expresiones de tabla comunes, tanto no recursivas como recursivas.

MySQL ahora soporta las funciones de ventana, que realizan un cálculo para cada línea de unaconsulta, utilizando líneas relacionadas.

InnoDB ahora soporta las SKIP LOCKEDopciones NOWAITy con el bloqueo de las sentenciasde lectura.

Se han mejorado las funciones relacionadas con el SIG.

Se ha mejorado la funcionalidad de JSON.

Los nuevos mariadb-connector-cpaquetes proporcionan una biblioteca de clientes común paraMySQLy MariaDBpara... Esta biblioteca es utilizable con cualquier versión de los MySQLservidores de MariaDBbase de datos. Como resultado, el usuario puede conectar unaconstrucción de una aplicación a cualquiera de los MySQLMariaDBservidores distribuidos conRHEL 8.

Además, el MySQL 8.0servidor distribuido con RHEL 8 está configurado para utilizar mysql_native_passwordcomo plug-in de autenticación predeterminado, ya que las herramientas decliente y las bibliotecas de RHEL 8 son incompatibles con el caching_sha2_passwordmétodo, que seutiliza de forma predeterminada en la versión anteriorMySQL 8.0.

Para cambiar el plug-in de autenticación predeterminado a caching_sha2_password,, edite el /etc/my.cnf.d/mysql-default-authentication-plugin.cnfarchivo de la siguiente manera:

[mysqld]default_authentication_plugin=caching_sha2_password

(BZ#1649891, BZ#1519450, BZ#1631400)

Cambios notables en MariaDB 10.3

MariaDB 10.3 ofrece numerosas novedades sobre la versión 5.5 distribuida en RHEL 7. Algunos de loscambios más notables son:

MariaDB Galera Clusterun cluster multi-master síncrono, es ahora una parte estándar de


23

MariaDB Galera Clusterun cluster multi-master síncrono, es ahora una parte estándar de MariaDB.

InnoDB se utiliza como el motor de almacenamiento predeterminado en lugar de XtraDB.

Expresiones de tabla comunes

Tablas versionadas del sistema

FOR presillas

Columnas invisibles

Secuencias

Instantáneo ADD COLUMNpara InnoDB

Compresión de columna independiente del motor de almacenamiento

Replicación paralela

Replicación de múltiples fuentes

Además, los nuevos mariadb-connector-cpaquetes proporcionan una biblioteca de clientes común paraMySQLy paraMariaDB... Esta biblioteca es utilizable con cualquier versión de los MySQLservidores de MariaDBbase de datos. Como resultado, el usuario puede conectar una construcción de una aplicación acualquiera de los MySQLMariaDBservidores distribuidos con RHEL 8.

Véase tambiénUsing MariaDB on Red Hat Enterprise Linux 8 ...

(BZ#1637034, BZ#1519450)

4.8. ESCRITORIO (TRADUCCIÓN AUTOMÁTICA)

GNOME Shell, versión 3.28 en RHEL 8

GNOME Shell, versión 3.28 está disponible en Red Hat Enterprise Linux (RHEL) 8. Las mejoras notablesincluyen:

Nuevas características de las cajas de GNOME

Nuevo teclado en pantalla

Compatibilidad con dispositivos extendidos, lo que es más importante, integración con lainterfaz de Thunderbolt 3

Mejoras para el software GNOME, el editor de dconf y el terminal de GNOME

(BZ#1649404)

Wayland es el servidor de visualización por defecto

Con Red Hat Enterprise Linux 8, la sesión de GNOME y el gestor de pantalla de GNOME (GDM) utilizanWayland como su servidor de pantalla predeterminado en lugar del servidor X.org, que se utilizaba conla versión principal anterior de RHEL.

Wayland ofrece múltiples ventajas y mejoras sobre X.org. Más notablemente:


24

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/deploying_different_types_of_servers/#using-mariadb

Modelo de seguridad más sólido

Manejo mejorado de múltiples monitores

Escalado mejorado de la interfaz de usuario (UI)

El escritorio puede controlar directamente el manejo de ventanas.

Tenga en cuenta que las siguientes funciones no están disponibles actualmente o no funcionan como seespera:

En Wayland no se admiten configuraciones de varias GPUs.

El controlador binario de NVIDIA no funciona con Wayland.

La xrandrutilidad no funciona bajo Wayland debido a su diferente enfoque de manejo,resoluciones, rotaciones y diseño. Tenga en cuenta que otras utilidades de X.org para manipularla pantalla tampoco funcionan bajo Wayland.

La grabación de pantalla, el escritorio remoto y la accesibilidad no siempre funcionancorrectamente bajo Wayland.

No hay ningún administrador de portapapeles disponible.

Wayland ignora las capturas de teclado emitidas por las aplicaciones X11, como los visores demáquinas virtuales.

Wayland dentro de las máquinas virtuales huéspedes (VMs) tiene problemas de estabilidad yrendimiento, por lo que se recomienda utilizar la sesión X11 para entornos virtuales.

Si actualiza a RHEL 8 desde un sistema RHEL 7 en el que utilizó la sesión de GNOME de X.org, susistema seguirá utilizando X.org. El sistema también vuelve automáticamente a X.org cuando se utilizanlos siguientes controladores de gráficos:

El controlador binario de NVIDIA

El cirrusconductor

El mgaconductor

El aspeedconductor

Puede desactivar el uso de Wayland manualmente:

Para deshabilitar Wayland en GDM, establezca la WaylandEnable=falseopción en el /etc/gdm/custom.confarchivo.

Para desactivar Wayland en la sesión de GNOME, seleccione la opción X11 heredada utilizandoel menú de rueda dentada en la pantalla de inicio de sesión después de introducir su nombre deusuario.

Para más detalles sobre Wayland, véasehttps://wayland.freedesktop.org/...

(BZ#1589678)

Localización de paquetes RPM que están en repositorios no habilitados por defecto

Los repositorios adicionales para el escritorio no están habilitados de forma predeterminada. La


25

https://wayland.freedesktop.org/

desactivación se indica por la enabled=0línea del archivo correspondiente .repo. Si intenta instalar unpaquete desde dicho repositorio usando PackageKit, PackageKit muestra un mensaje de erroranunciando que la aplicación no está disponible. Para que el paquete esté disponible, reemplace la enabled=0línea usada anteriormente en el archivo respectivo .repocon enabled=1.


Software de GNOME para la gestión de paquetes

El gnome-packagekitpaquete que proporcionaba una colección de herramientas para la gestión depaquetes en un entorno gráfico en Red Hat Enterprise Linux 7 ya no está disponible. En Red HatEnterprise Linux 8, la utilidad del Software GNOME, que le permite instalar y actualizar aplicaciones yextensiones gnome-shell, proporciona una funcionalidad similar. El Software GNOME se distribuye en elgnome-softwarepaquete.


4.9. GESTIÓN DE IDENTIDADES (TRADUCCIÓN AUTOMÁTICA)

Nuevas comprobaciones de sintaxis de contraseñas en el servidor de directorios

Esta mejora añade nuevas comprobaciones de sintaxis de contraseñas al servidor de directorios. Losadministradores pueden ahora, por ejemplo, habilitar las comprobaciones del diccionario, permitir odenegar el uso de secuencias de caracteres y palíndromos. Como resultado, si está habilitado, lacomprobación de la sintaxis de la política de contraseñas en el Servidor de directorios hace que lascontraseñas sean más seguras.

(BZ#1334254)

El servidor de directorios ahora proporciona soporte mejorado para el registro deoperaciones internas

Varias operaciones en el servidor de directorios, iniciadas por el servidor y los clientes, causanoperaciones adicionales en segundo plano. Anteriormente, el servidor sólo registraba la palabra clave deInternalconexión para las operaciones internas, y el ID de la operación siempre se establecía en -1. Conesta mejora, el servidor de directorio registra el ID de conexión y operación real. Ahora puede rastrear laoperación interna hasta la operación del servidor o cliente que causó esta operación.

Para más detalles sobre el registro de operaciones internas, véase el enlace:https://access.redhat.com/documentation/en-us/red_hat_directory_server/11/html-single/administration_guide/#logging_internal_operations.

(BZ#1358706)

La tomcatjssbiblioteca admite la comprobación OCSP utilizando el respondedor de laextensión AIA

Con esta mejora, la tomcatjssbiblioteca admite la comprobación en línea del protocolo de estado decertificados (OCSP) utilizando el respondedor de la extensión Authority Information Access (AIA) de uncertificado. Como resultado, los administradores de Red Hat Certificate System ahora puedenconfigurar la comprobación OCSP que utiliza la URL de la extensión AIA.

(BZ#1636564)

Directory Server presenta nuevas utilidades de línea de comandos para gestionarinstancias

Red Hat Directory Server 11.0 presenta el dscreate, dsconf, y dsctlutilidades. Estas utilidades


26

simplifican la gestión del servidor de directorios mediante la línea de comandos. Por ejemplo, ahorapuede utilizar un comando con parámetros para configurar una característica en lugar de enviarcomplejas instrucciones LDIF al servidor.

A continuación se ofrece una descripción general del propósito de cada utilidad:

Utilice la dscreateutilidad para crear nuevas instancias del servidor de directorios utilizando elmodo interactivo o un archivo INF. Tenga en cuenta que el formato de archivo INF es diferenteal que el instalador usaba en versiones anteriores del servidor de directorios.

Utilice la dsconfutilidad para gestionar las instancias del servidor de directorios durante eltiempo de ejecución. Por ejemplo, use dsconfto:

Configurar las opciones en la cn=configentrada

Configurar plug-ins

Configurar la replicación

Realizar una copia de seguridad y restaurar una instancia

Utilice la dsctlutilidad para gestionar las instancias del servidor de directorios mientras estándesconectadas. Por ejemplo, use dsctlto:

Iniciar y detener una instancia

Re-indexar la base de datos del servidor

Realizar una copia de seguridad y restaurar una instancia

Estas utilidades sustituyen a los scripts Perl y shell marcados como obsoletos en Directory Server 10.Los scripts siguen estando disponibles en el paquete no soportado389-ds-base-legacy-tools, sinembargo, Red Hat sólo soporta la gestión de Directory Server utilizando las nuevas utilidades.

Tenga en cuenta que la configuración del servidor de directorios mediante sentencias LDIF sigue siendocompatible, pero Red Hat recomienda utilizar las utilidades.

Para más detalles sobre la utilización de las utilidades, véase la Red Hat Directory Server 11Documentationsección

(BZ#1693159)

Los pki subsystem-cert-showcomandos pki subsystem-cert-findy muestran ahora el númerode serie de los certificados

Con esta mejora, los comandos pki subsystem-cert-findy pki subsystem-cert-showde Sistema decertificados muestran el número de serie de los certificados en su salida. El número de serie es una piezaimportante de información y a menudo es requerido por varios otros comandos. Como resultado, ahoraes más fácil identificar el número de serie de un certificado.

(BZ#1566360)

Los pki groupcomandos pki usery han sido obsoletos en Sistema de certificados

Con esta actualización, los nuevos pki <subsystem>-usery pki <subsystem>-groupcomandossustituyen a los comandos pki usery pki groupen el sistema de certificados. Los comandosreemplazados siguen funcionando, pero muestran un mensaje de que el comando está obsoleto y serefieren a los nuevos comandos.


27

https://access.redhat.com/documentation/en-us/red_hat_directory_server/11/


(BZ#1394069)

El sistema de certificados ahora admite la renovación fuera de línea de los certificados delsistema

Con esta mejora, los administradores pueden utilizar la función de renovación fuera de línea para renovarlos certificados de sistema configurados en Sistema de certificados. Cuando un certificado de sistemaexpira, el sistema de certificado no se inicia. Como resultado de la mejora, los administradores ya nonecesitan soluciones para reemplazar un certificado de sistema caducado.

(BZ#1669257)

El sistema de certificados ahora puede crear CSRs con extensión SKI para la firma externade CA

Con esta mejora, el Sistema de certificados admite la creación de una solicitud de firma de certificado(CSR) con la extensión Subject Key Identifier (SKI) para la firma de autoridad de certificación externa(CA). Algunas CA requieren esta extensión, ya sea con un valor particular o derivada de la clave públicade la CA. Como resultado, los administradores ahora pueden utilizar el pki_req_skiparámetro delarchivo de configuración pasado a la pkispawnutilidad para crear una CSR con extensión SKI.

(BZ#1656856)

Los usuarios locales son almacenados en caché por SSSD y atendidos a través del nss_sssmódulo

En RHEL 8, el demonio de servicios de seguridad del sistema (SSSD) sirve por defecto a usuarios ygrupos desde los archivos /etc/passwdy/etc/groups. El módulo sssnsswitch precede a los archivos en el/etc/nsswitch.confarchivo.

La ventaja de servir a los usuarios locales a través de SSSD es que el nss_sssmódulo tiene un rápido memory-mapped cacheque acelera las búsquedas de Name Service Switch (NSS) en comparación conel acceso al disco y la apertura de los archivos en cada solicitud NSS. Anteriormente, el demonio decaché del servicio Name (nscd) ayudó a acelerar el proceso de acceso al disco. Sin embargo, el uso nscden paralelo con SSSD es engorroso, ya que tanto SSSD como nscdel uso de su propio cachingindependiente. Por consiguiente, el uso nscden configuraciones en las que los SSSD también sirven ausuarios de un dominio remoto, por ejemplo LDAP o Active Directory, puede causar uncomportamiento impredecible.

Con esta actualización, la resolución de los usuarios y grupos locales es más rápida en RHEL 8. Tenga encuenta que el rootusuario nunca es manejado por SSSD, por lo tanto, la rootresolución no puede verseafectada por un posible fallo en SSSD. Tenga en cuenta también que si el SSSD no se está ejecutando,el nss_sssmódulo maneja la situación con elegancia al retroceder para nss_filesevitar problemas. Noes necesario configurar los SSSD de ninguna manera, el dominio de los archivos se añadeautomáticamente.


KCM reemplaza a KEYRING como almacenamiento de caché de credencialespredeterminado

En RHEL 8, el almacenamiento de caché de credenciales predeterminado es el Kerberos CredentialManager (KCM), que está respaldado por el sssd-kcmdeamon. KCM supera las limitaciones de laLLAVE utilizada anteriormente, como la dificultad de su uso en entornos contenedorizados al no estarespaciada por nombres, así como para visualizar y gestionar cuotas.

Con esta actualización, RHEL 8 contiene una caché de credenciales que se adapta mejor a entornoscontenedorizados y que proporciona una base para crear más funciones en futuras versiones.


28



Los usuarios de Active Directory ahora pueden administrar la gestión de identidades

Con esta actualización, RHEL 8 permite añadir una sustitución de ID de usuario para un usuario deActive Directory (AD) como miembro de un grupo de gestión de identidades (IdM). Una sustitución deID es un registro que describe cómo deben verse las propiedades de un usuario o grupo de ADespecífico dentro de una vista de ID específica, en este caso la Vista de confianza predeterminada.Como consecuencia de la actualización, el servidor LDAP IdM puede aplicar reglas de control de accesopara el grupo IdM al usuario AD.

Los usuarios de AD ahora pueden utilizar las funciones de autoservicio de la interfaz IdM, por ejemplo,para cargar sus claves SSH o cambiar sus datos personales. Un administrador de AD puede administrarcompletamente la IdM sin tener dos cuentas y contraseñas diferentes. Tenga en cuenta queactualmente, las funciones seleccionadas en IdM pueden no estar disponibles para los usuarios de AD.


sssctl imprime un informe de reglas HBAC para un dominio IdM

Con esta actualización, la sssctlutilidad de System Security Services Daemon (SSSD) puede imprimirun informe de control de acceso para un dominio de gestión de identidades (IdM). Esta característicasatisface la necesidad de ciertos entornos de ver, por razones regulatorias, una lista de usuarios y gruposque pueden acceder a un equipo cliente específico. La ejecución sssctl access-report domain_nameen un cliente IdM imprime el subconjunto analizado de reglas de control de accesobasadas en host (HBAC) en el dominio IdM que se aplican a la máquina cliente.

Tenga en cuenta que ningún otro proveedor que no sea IdM admite esta función.


Los paquetes de gestión de identidades están disponibles como un módulo

En RHEL 8, los paquetes necesarios para instalar un servidor y un cliente de gestión de identidades(IdM) se envían como un módulo. La clientsecuencia es la secuencia predeterminada del idmmódulo ypuede descargar los paquetes necesarios para instalar el cliente sin habilitar la secuencia.

El flujo del módulo del servidor IdM se denomina DL1flujo. La secuencia contiene múltiples perfilescorrespondientes a diferentes tipos de servidores IdM: servidor, dns, adtrust, cliente y predeterminado.Para descargar los paquetes en un perfil específico del DL1stream: . Habilitar el flujo. Cambie a lasRPMs entregadas a través del flujo. Ejecute el yum module install idm:DL1/profile_namecomando.


Añadida la solución de grabación de sesiones para RHEL 8

Se ha añadido una solución de grabación de sesiones a Red Hat Enterprise Linux 8 (RHEL 8). Un nuevo tlogpaquete y su reproductor de sesiones de consola web asociado permiten grabar y reproducir lassesiones del terminal de usuario. La grabación se puede configurar por usuario o grupo de usuarios através del servicio System Security Services Daemon (SSSD). Todas las entradas y salidas del terminalse capturan y almacenan en formato de texto en un diario del sistema. La entrada está inactiva pordefecto por razones de seguridad para no interceptar contraseñas sin procesar y otra informaciónsensible.

La solución puede utilizarse para auditar las sesiones de usuario en sistemas sensibles a la seguridad. Encaso de una violación de la seguridad, las sesiones grabadas pueden ser revisadas como parte de unanálisis forense. Los administradores del sistema pueden ahora configurar localmente la grabación de la


29

sesión y ver el resultado desde la interfaz de la consola web RHEL 8 o desde la interfaz de la línea decomandos utilizando la tlog-playutilidad.


authselect simplifica la configuración de la autenticación de usuarios

Esta actualización introduce la authselectutilidad que simplifica la configuración de la autenticación deusuario en los hosts RHEL 8, reemplazando a la authconfigutilidad. authselectviene con un enfoquemás seguro para la gestión de la pila de PAM que simplifica los cambios de configuración de PAM paralos administradores del sistema. authselectpuede utilizarse para configurar métodos de autenticacióncomo contraseñas, certificados, tarjetas inteligentes y huellas dactilares. Tenga en cuenta que authselectno configura los servicios necesarios para unir dominios remotos. Esta tarea se realizamediante herramientas especializadas, como por ipa-client-installejemplorealmd


SSSD ahora le permite seleccionar uno de los múltiples dispositivos de autenticaciónSmartcard

Con esta actualización, puede configurar PKCS#11 URI para la selección de dispositivos de autenticaciónSmartcard.

De forma predeterminada, el SSSD intenta detectar automáticamente un dispositivo para laautenticación de Smartcard. Si hay varios dispositivos conectados, el SSSD seleccionará el primero quese encuentre y no podrá seleccionar el dispositivo en particular. Puede conducir a fallos.

Por lo tanto, ahora puede configurar una nueva p11_uriopción para la [pam]sección de sssd.conf. Estaopción le permite definir qué dispositivo se utilizará para la autenticación con Smartcard.

Por ejemplo, para seleccionar el lector con el identificador de ranura '2' detectado por el móduloOpenSC PKCS#11, añada

p11_uri = library-description=OpenSC%20smartcard%20framework;slot-id=2

a la [pam]sección de sssd.confla ficha de datos de seguridad

Por favor, consulte man sssd-confpara más detalles.

(BZ#1620123)

4.10. COMPILADORES Y HERRAMIENTAS DE DESARROLLO(TRADUCCIÓN AUTOMÁTICA)

Boost actualizado a la versión 1.66

La biblioteca Boost C++ ha sido actualizada a la versión 1.66. La versión de Boost incluida en Red HatEnterprise Linux 7 es la 1.53. Para más detalles, vea los registros de cambios:https://www.boost.org/users/history/

Esta actualización introduce los siguientes cambios que rompen la compatibilidad con las versionesanteriores:

Se han eliminado la bs_set_hook()función, la splay_set_hook()función de los contenedoressplay y el parámetro bool splay = trueadicional de la splaytree_algorithms()función de labiblioteca Intrusive.

Los comentarios o la concatenación de cadenas en archivos JSON ya no son compatibles con


30

https://www.boost.org/users/history/

Los comentarios o la concatenación de cadenas en archivos JSON ya no son compatibles conel analizador de la biblioteca de árboles de propiedades.

Algunas distribuciones y funciones especiales de la librería Math se han arreglado para que secomporten como están documentadas y aumenten en overflow_errorlugar de devolver el valorfinito máximo.

Algunas cabeceras de la biblioteca Math se han movido al directorio libs/math/include_private.

El comportamiento de las basic_regex<>::mark_count()basic_regex<>::subexpression(n)funciones de la bibliotecaRegex ha sido cambiado para que coincida con su documentación.

El uso de modelos variádicos en la biblioteca de variantes puede romper las funciones demetaprogramación.

La boost::python::numericAPI ha sido eliminada. Los usuarios pueden usar en su boost::python::numpylugar.

Las operaciones aritméticas en punteros a tipos que no son objetos ya no se proporcionan en labiblioteca Atómica.

(BZ#1494495)

Compatibilidad con Unicode 11.0.0

La biblioteca C de Red Hat Enterprise Linux core, glibc, ha sido actualizada para soportar la versión11.0.0 del estándar Unicode. Como resultado, todas las APIs de caracteres anchos y de caracteresmultibyte, incluyendo la transliteración y la conversión entre conjuntos de caracteres, proporcionaninformación precisa y correcta conforme a este estándar.

(BZ#1512004)

El boostpaquete es ahora independiente de Python

Con esta actualización, la instalación del boostpaquete ya no instala la Boost.Pythonbiblioteca comouna dependencia. Para poder utilizar Boost.Python, es necesario que instale explícitamente lospaquetes boost-python3oboost-python3-devel.

(BZ#1616244)

Un nuevo compat-libgfortran-48paquete disponible

Para la compatibilidad con las aplicaciones Red Hat Enterprise Linux 6 y 7 que utilizan la biblioteca deFortran, ahora hay disponible un nuevo paquete de compat-libgfortran-48compatibilidad, queproporciona la libgfortran.so.3biblioteca.

(BZ#1607227)

Soporte de Retpoline en GCC

Esta actualización añade soporte para retpolines a GCC. Una retpolina es una construcción de softwareutilizada por el núcleo para reducir la sobrecarga de la mitigación de los ataques de Spectre Variant 2descritos en CVE-2017-5715.

(BZ#1535774)

Soporte mejorado para la arquitectura ARM de 64 bits en componentes de la cadena de


31

Soporte mejorado para la arquitectura ARM de 64 bits en componentes de la cadena deherramientas

Toolchain, GCCy binutilsahora ofrecen soporte extendido para la arquitectura ARM de 64 bits. Porejemplo:

GCC y binutilsahora soporta Extensión Vectorial Escalable (SVE).

El soporte para el tipo de FP16datos, proporcionado por ARM v8.2, ha sido agregado a GCC. Eltipo de FP16datos mejora el rendimiento de ciertos algoritmos.

Las herramientas a partir binutilsde ahora soportarán la definición de la arquitectura ARM v8.3,incluyendo la Autenticación de Punteros. La característica de Autenticación de Punteros evitaque el código malicioso corrompa la ejecución normal de un programa o del kernel al crear suspropios punteros de función. Como resultado, sólo se utilizan direcciones de confianza cuandose bifurcan a diferentes lugares del código, lo que mejora la seguridad.

(BZ#1504980, BZ#1550501, BZ#1504995, BZ#1504993, BZ#1504994)

Optimizaciones para glibcsistemas IBM POWER

Esta actualización proporciona una nueva versión optimizada glibcpara las arquitecturas IBM POWER 8e IBM POWER 9. Como resultado, los sistemas IBM POWER 8 e IBM POWER 9 cambianautomáticamente a la variante adecuada y optimizada glibcen tiempo de ejecución.

(BZ#1376834)

La biblioteca C de GNU actualizada a la versión 2.28

Red Hat Enterprise Linux 8 incluye la versión 2.28 de la biblioteca C de GNU (glibc). Entre las mejorasnotables se incluyen

Elementos de seguridad de endurecimiento:

Los archivos binarios seguros marcados con la AT_SECUREbandera ignoran la variable de LD_LIBRARY_PATHentorno.

Los backtraces ya no se imprimen para comprobar las fallas de la pila para acelerar elapagado y evitar la ejecución de más código en un entorno comprometido.

Mejoras en el rendimiento:

El rendimiento de la malloc()función se ha mejorado con una caché local de hilos.

Adición de la variable de GLIBC_TUNABLESentorno para alterar las características derendimiento de la biblioteca.

Se ha mejorado la implementación de semáforos roscados y se han añadido nuevasfunciones escalablespthread_rwlock_xxx().

Se ha mejorado el rendimiento de la biblioteca de matemáticas.

Se ha añadido soporte para Unicode 11.0.0.

Se ha añadido una compatibilidad mejorada con los números de coma flotante de 128 bitsdefinidos por las normas ISO/IEC/IEEE 60559:2011, IEEE 754-2008 e ISO/IEC TS 18661-3:2015.

Mejoras en la resolución de talones del Servicio de nombres de dominio (DNS) relacionadas con


32

Mejoras en la resolución de talones del Servicio de nombres de dominio (DNS) relacionadas conel archivo de /etc/resolv.confconfiguración:

La configuración se recarga automáticamente cuando se cambia el archivo.

Se ha añadido soporte para un número arbitrario de dominios de búsqueda.

Se ha añadido la selección aleatoria adecuada para la rotateopción.

Se han añadido nuevas características para el desarrollo, entre ellas:

Funciones del envoltorio de Linux para las llamadas al preadv2y al pwritev2kernel

Nuevas funciones que incluyen reallocarray()y explicit_bzero()

Nuevos indicadores para la posix_spawnattr_setflags()función, como por ejemplo POSIX_SPAWN_SETSID

(BZ#1512010, BZ#1504125, BZ#506398)

CMake disponible en RHEL

La versión 3.11 del sistema de construcción CMake está disponible en Red Hat Enterprise Linux 8 comoel cmakepaquete.

(BZ#1590139, BZ#1502802)

make versión 4.2.1

Red Hat Enterprise Linux 8 se distribuye con la versión 4.2.1 de la herramienta de makeconstrucción.Los cambios notables incluyen:

Cuando una receta falla, se muestran el nombre del makefile y el número de línea de la receta.

Se ha añadido esta --traceopción para permitir el seguimiento de los objetivos. Cuando se utilizaesta opción, cada receta se imprime antes de la invocación, incluso si se suprime, junto con elnombre de archivo y el número de línea en el que se encuentra esta receta, y también con lascondiciones previas que hacen que se invoque.

La mezcla de reglas explícitas e implícitas ya no causa makela terminación de la ejecución. En sulugar, se imprime un mensaje de advertencia. Tenga en cuenta que esta sintaxis está obsoleta ypuede que se elimine por completo en el futuro.

Se ha añadido la $(file … )función para escribir texto en un archivo. Cuando se llama sin unargumento de texto, sólo se abre y cierra inmediatamente el archivo.

Una nueva opción, --output-synco -O, hace que una salida de varios trabajos se agrupe portrabajo y permite una depuración más fácil de las compilaciones paralelas.

La --debugopción ahora acepta también el indicador (none n) para desactivar todos los ajustesde depuración actualmente habilitados.

El operador de asignación de !=shell ha sido añadido como una alternativa a la $(shell … )función para incrementar la compatibilidad con makefiles BSD. Para más detalles y diferenciasentre el operador y la función, vea el manual de GNU make.

Tenga en cuenta que, en consecuencia, las variables con un nombre que terminan en signo deexclamación e inmediatamente seguidas de una asignación, como por ejemplo variable!=value,, seinterpretan ahora como la nueva sintaxis. Para restaurar el comportamiento anterior, añada un espacio


33

después del signo de exclamación, como por ejemplovariable! =value

+

Se ha añadido el operador de ::=asignación definido por el estándar POSIX.

Cuando se especifica la .POSIXvariable, se makeobservan los requisitos de la norma POSIXpara manejar la barra invertida y la nueva línea. En este modo, cualquier espacio de arrastreantes de la barra invertida se conserva, y cada barra invertida seguida de una nueva línea ycaracteres de espacio en blanco se convierte en un solo carácter de espacio.

El comportamiento de las variables MAKEFLAGSy MFLAGSde las variables se define ahoracon mayor precisión.

Una nueva variable, GNUMAKEFLAGS, se analiza para los makeindicadores de forma idéntica aMAKEFLAGS. Como consecuencia, las banderas makeespecíficas de GNU pueden seralmacenadas fuera MAKEFLAGSy la portabilidad de los makefiles se incrementa.

Se ha añadido una nueva variable, MAKE_HOST, que contiene la arquitectura del host.

Las nuevas variables, MAKE_TERMOUTe MAKE_TERMERRindican si makese estáescribiendo salida estándar y error en un terminal.

Establecer las -Ropciones -ry en la MAKEFLAGSvariable dentro de un makefile ahora funcionacorrectamente y elimina todas las reglas y variables incorporadas, respectivamente.

El .RECIPEPREFIXajuste se recuerda ahora por receta. Además, las variables expandidas enesa receta también utilizan esa configuración de prefijo de receta.

El .RECIPEPREFIXajuste y todas las variables específicas del objetivo se muestran en la salidade la -popción como si estuvieran en un makefile, en lugar de como comentarios.

(BZ#1641015)

Los programas Go creados con Go Toolset son compatibles con FIPS

La biblioteca criptográfica disponible en Go Toolset se ha cambiado para utilizar la versión 1.1.0 de labiblioteca OpenSSL si el sistema host está configurado en modo FIPS. Como consecuencia, losprogramas creados con esta versión de Go Toolset son compatibles con FIPS.

Para hacer que los programas Go utilicen sólo las rutinas criptográficas estándar no certificadas, utilicela -tags no_opensslopción del gocompilador en el momento de la compilación.

(BZ#1512570)

SystemTap versión 4.0

Red Hat Enterprise Linux 8 se distribuye con la herramienta de instrumentación SystemTap versión 4.0.Entre las mejoras notables se incluyen

Se ha mejorado el backend del Berkeley Packet Filter (eBPF) extendido, especialmente lascadenas y funciones. Para utilizar este backend, inicie SystemTap con la --runtime=bpfopción.

Se ha añadido un nuevo servicio de red de exportación para su uso con el sistema demonitorización Prometheus.

Se ha mejorado la implementación de la llamada de sondeo del sistema para utilizar los puntosde seguimiento del núcleo si es necesario.


34

(BZ#1641032)

Mejoras en la binutilsversión 2.30

Red Hat Enterprise Linux 8 incluye la versión 2.30 del binutilspaquete. Entre las mejoras notables seincluyen

Se ha mejorado la compatibilidad con las nuevas extensiones de la arquitectura de la s390x.

Ensamblador:

Se ha agregado soporte para el formato de archivo WebAssembly y la conversión deWebAssembly al formato de archivo ELF wasm32.

Se ha agregado soporte para la arquitectura ARMv8-R y los procesadores Cortex-R52, Cortex-M23 y Cortex-M33.

Se ha añadido soporte para la arquitectura RISC-V.

Enlazadores:

El enlazador ahora pone el código y los datos de sólo lectura en segmentos separados pordefecto. Como resultado, los archivos ejecutables creados son más grandes y seguros deejecutar, ya que el cargador dinámico puede desactivar la ejecución de cualquier página dememoria que contenga datos de sólo lectura.

Se ha añadido soporte para notas de propiedades de GNU que proporcionan pistas al cargadordinámico sobre el archivo binario.

Anteriormente, el enlazador generaba código ejecutable no válido para la tecnología IntelIndirect Branch Tracking (IBT). Como consecuencia, los archivos ejecutables generados nopudieron iniciarse. Este error ha sido corregido.

Anteriormente, el goldenlazador fusionaba las notas de propiedad de forma incorrecta. Comoconsecuencia, se podrían habilitar características de hardware incorrectas en el códigogenerado, y el código podría terminar inesperadamente. Este error ha sido corregido.

Anteriormente, el goldenlazador creaba secciones de nota con bytes de relleno al final paralograr la alineación según la arquitectura. Debido a que el cargador dinámico no esperaba elrelleno, podía terminar inesperadamente el programa que estaba cargando. Este error ha sidocorregido.

Otras herramientas:

Las objdumpherramientas readelfy ahora tienen opciones para seguir los enlaces en archivosde información de depuración separados y mostrar información en ellos también.

La nueva --inlinesopción amplía la opción existente --line-numbersde la objdumpherramientapara mostrar información de anidamiento para funciones en línea.

La nmherramienta obtuvo una nueva opción --with-version-stringspara mostrar la informaciónde la versión de un símbolo después de su nombre, si está presente.

(BZ#1641004, BZ#1637072, BZ#1501420, BZ#1504114, BZ#1614908, BZ#1614920)

Realizar co-piloto versión 4.1.3

Red Hat Enterprise Linux 8 se distribuye con Performance co-pilot (pcp) versión 4.1.3. Entre las


35

Red Hat Enterprise Linux 8 se distribuye con Performance co-pilot (pcp) versión 4.1.3. Entre lasmejoras notables se incluyen

La pcp-dstatherramienta ahora incluye análisis histórico y salida en formato CSV (Valoresseparados por comas).

Las utilidades de registro pueden utilizar etiquetas métricas y registros de texto de ayuda.

La pmdaperfeventherramienta ahora reporta los números de CPU correctos en los nivelesinferiores de Enhebrado Múltiple Simultáneo (SMT).

La pmdapostgresqlherramienta ahora soporta Postgres serie 10.x.

La pmdaredisherramienta ahora es compatible con la serie 5.x de Redis.

La pmdabccherramienta ha sido mejorada con filtrado dinámico de procesos y syscalls, ucalls yustat por proceso.

La pmdammvherramienta ahora exporta etiquetas métricas y la versión de formato seincrementa a 3.

La pmdagfs2herramienta soporta métricas adicionales de glock y soporte de glock.

Se han realizado varias correcciones a la política de SELinux.

(BZ#1641034)

Teclas de protección de memoria

Esta actualización habilita características de hardware que permiten cambios de bandera de protecciónpor página de hilo. Se han añadido las nuevas envolturas de llamadas del glibcsistema para las pkey_alloc()pkey_mprotect()funciones , pkey_free(), y. Además, se han añadido las funciones pkey_set()y pkey_get()para permitir el acceso a los indicadores de protección por hilo.

(BZ#1304448)

elfutils actualizado a la versión 0.174

En Red Hat Enterprise Linux 8, el paquete elfutils está disponible en la versión 0.174. Los cambiosnotables incluyen:

Anteriormente, la eu-readelfherramienta podía mostrar una variable con un valor negativocomo si tuviera un gran valor sin signo, o mostrar un gran valor sin signo como un valornegativo. Esto se ha corregido y eu-readelfahora busca el tamaño y la firma de los tipos devalores constantes para visualizarlos correctamente.

Se ha añadido una nueva función dwarf_next_lines()para leer .debug_linelos datos quecarecen de CU a la biblioteca libdw. Esta función puede utilizarse como alternativa a lasfunciones dwarf_getsrclines()ydwarf_getsrcfiles().

Anteriormente, los archivos con más de 65280 secciones podían causar errores en lasbibliotecas libelf y libdw y en todas las herramientas que las utilizaban. Este error ha sidocorregido. Como resultado, los valores extendidos shnumy shstrndxlos valores en lascabeceras de los archivos ELF se manejan correctamente.

(BZ#1641007)

Valgrind actualizado a la versión 3.14


36

Red Hat Enterprise Linux 8 se distribuye con la herramienta de análisis de código ejecutable Valgrindversión 3.14. Los cambios notables incluyen:

Se ha añadido una nueva --keep-debuginfoopción para permitir la retención de la informaciónde depuración para el código descargado. Como resultado, las trazas de pila guardadas puedenincluir información de archivos y líneas para código que ya no está presente en la memoria.

Se han añadido supresiones basadas en el nombre del archivo fuente y el número de línea.

La Helgrindherramienta se ha ampliado con una opción --delta-stacktracepara especificar elcálculo de trazas completas de la pila de historial. En particular, el uso de esta opción junto con --history-level=fullpuede mejorar Helgrindel rendimiento hasta en un 25%.

Se ha reducido la tasa de falsos positivos en la Memcheckherramienta para código optimizadoen las arquitecturas Intel y AMD de 64 bits y en la arquitectura ARM de 64 bits. Observe quepuede utilizar la --expensive-definedness-checksfunción para controlar la gestión deverificaciones de definición y mejorar la tasa a expensas del rendimiento.

Valgrind ahora puede reconocer más instrucciones de la variante de pequeño dinosaurio de IBMPower Systems.

Valgrind puede ahora procesar parcialmente instrucciones vectoriales enteras y en cadena delprocesador IBM Z architecture z13.

Para obtener más información sobre las nuevas opciones y sus limitaciones conocidas, consulte lapágina del valgrind(1)manual.

(BZ#1641029, BZ#1501419)

GDB versión 8.2

Red Hat Enterprise Linux 8 se distribuye con la versión 8.2 del depurador de GDB:

El protocolo IPv6 es compatible con la depuración remota con GDB ygdbserver...

Se ha mejorado la depuración sin información de depuración.

Se ha mejorado la finalización de símbolos en la interfaz de usuario del GDB para ofrecermejores sugerencias mediante el uso de construcciones más sintácticas, como etiquetas ABI oespacios de nombre.

Ahora los comandos pueden ejecutarse en segundo plano.

Los programas de depuración creados en el lenguaje de programación Rust ahora son posibles.

La depuración de los lenguajes C y C++ ha sido mejorada con soporte de parser para los _Alignofalignofoperadores, referencias de valor de C++, y arreglos automáticos de longitudvariable C99.

Los scripts de extensión GDB ahora pueden usar el lenguaje de scripts Guile.

La interfaz de lenguaje de scripting de Python para extensiones ha sido mejorada con nuevasfunciones de API, decoradores de marcos, filtros y desbobinadores. Además, los scripts en la .debug_gdb_scriptssección de configuración de GDB se cargan automáticamente.

GDB ahora utiliza Python versión 3 para ejecutar sus scripts, incluyendo bonitas impresoras,decoradores de marcos, filtros y desbobinadores.


37

Las arquitecturas ARM y ARM de 64 bits han sido mejoradas con el registro y reproducción de laejecución del proceso, incluyendo instrucciones de llamada de sistema y Thumb 32 bits.

Se ha agregado soporte para el registro Intel MPX y la violación de límites, el registro PKU y IntelProcessor Trace.

La funcionalidad de grabación y reproducción se ha ampliado para incluir las rdrandrdseedinstrucciones de los sistemas basados en Intel.

La funcionalidad del GDB en la arquitectura IBM Z se ha ampliado con soporte para tracepointsy traceppoints rápidos, registros vectoriales y ABI, y la llamada al Catchsistema. Además, GDBahora soporta instrucciones más recientes de la arquitectura.

GDB ahora puede utilizar las sondas estáticas de espacio de usuario SystemTap (SDT) en laarquitectura ARM de 64 bits.

(BZ#1641022, BZ#1497096, BZ#1505346, BZ#1592332)

La localización para RHEL se distribuye en varios paquetes

En RHEL 8, las localizaciones y las traducciones ya no se proporcionan en un solo glibc-commonpaquete. En su lugar, cada lugar e idioma está disponible en un glibc-langpack-CODEpaquete. Además, no todas las locales se instalan de forma predeterminada, sólo lasseleccionadas en el instalador. Los usuarios deben instalar todos los demás paquetes de localizaciónque necesiten por separado.

Para obtener más información sobre el uso de langpacks, véaseInstalling and using langpacks

(BZ#1512009)

strace actualizado a la versión 4.24

Red Hat Enterprise Linux 8 se distribuye con la versión 4.24 de la straceherramienta. Los cambiosnotables incluyen:

Se han añadido funciones de manipulación de llamadas del sistema con esta -e inject=opción.Esto incluye inyección de errores, valores de retorno, retardos y señales.

Se ha mejorado la calificación de las llamadas del sistema:

Se ha añadido una -e trace=/regexopción para filtrar las llamadas del sistema conexpresiones regulares.

Pendiente de un signo de interrogación a una cualificación de llamada de sistema en la -e trace=opción, permite stracecontinuar, incluso si la cualificación no coincide con ningunallamada de sistema.

Se ha añadido la designación de personalidad a las cualificaciones de llamada del sistema enla -e traceopción.

Se ha añadido la decodificación del motivo de kvm vcpusalida. Para ello, utilice la -e kvm=vcpuopción.

La libdwbiblioteca se utiliza ahora para el desbobinado de pilas cuando se utiliza la -kopción.Además, es posible el desmantelamiento de símbolos cuando la libibertybiblioteca estáinstalada en el sistema.

Anteriormente, la -ropción causó que se ignorara la -topción. Esto se ha arreglado y las dos


38

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/configuring_basic_system_settings/installing-using-langpacks

Anteriormente, la -ropción causó que se ignorara la -topción. Esto se ha arreglado y las dosopciones son ahora independientes.

Se ha añadido la opción[option]`-A para abrir archivos de salida en modo append.

Se ha añadido la -Xopción para configurar el formato de xlatsalida.

Se ha mejorado la decodificación de las direcciones de los zócalos con la -yyopción. Además, seha añadido la impresión de números de bloque y de dispositivo de caracteres en -yymodo.

Además, se ha añadido, mejorado o actualizado la decodificación de los siguientes elementos:

netlink protocolos, mensajes y atributos

arch_prctl, bpf, getsockopt, io_pgetevent, , kern_featureskeyctl, prctl, , pkey_alloc, pkey_free, pkey_mprotect, , ptrace, rseq, , , setsockopt, socketstatxy otras llamadas delsistema

Muchos comandos para la llamada del ioctlsistema

Constantes de varios tipos

Rastreo de rutas para execveatllamadas inotify_add_watchde symlinkatsistema y mmapllamadas de sistema con argumentos indirectos inotify_initselect

Llamadas al sistema específicas para las arquitecturas ARM __ARM_NR_*

Listas de códigos de señales

(BZ#1641014)

4.11. SISTEMAS DE ARCHIVOS Y ALMACENAMIENTO (TRADUCCIÓNAUTOMÁTICA)

XFS ahora soporta extensiones de datos de copia sobre escritura compartidas

El sistema de archivos XFS soporta la funcionalidad de extensión de datos de copia sobre escrituracompartida. Esta función permite que dos o más archivos compartan un conjunto común de bloques dedatos. Cuando cualquiera de los archivos que comparten bloques comunes cambia, XFS rompe el enlacecon los bloques comunes y crea un nuevo archivo. Esto es similar a la funcionalidad de copia sobreescritura (COW) que se encuentra en otros sistemas de archivos.

Los extensiones de datos de copia sobre escritura compartidos lo son:

Rápido

La creación de copias compartidas no utiliza E/S de disco.

Eficiencia de espacio

Los bloques compartidos no consumen espacio de disco adicional.

Transparente

Los archivos que comparten bloques comunes actúan como archivos normales.

Las utilidades del espacio de usuario pueden usar extensiones de datos de copia sobre escrituracompartidas para:

Clonación eficiente de archivos, como con el cp --reflinkcomando


39

Instantáneas por archivo

Esta funcionalidad también es utilizada por subsistemas del núcleo como Overlayfs y NFS para unaoperación más eficiente.

Los extensiones de datos de copia sobre escritura compartidos ahora están habilitados de formapredeterminada al crear un sistema de archivos XFS, comenzando con la versión del xfsprogspaquete4.17.0-2.el8.

Tenga en cuenta que los dispositivos de acceso directo (DAX) actualmente no admiten XFS conextensiones de datos de copia sobre escritura compartidas. Para crear un sistema de archivos XFS sinesta función, utilice el siguiente comando:

# mkfs.xfs -m reflink=0 block-device

Red Hat Enterprise Linux 7 puede montar sistemas de archivos XFS con extensiones de datos de copiasobre escritura compartidas sólo en el modo de sólo lectura.

(BZ#1494028)

El tamaño máximo del sistema de archivos XFS es de 1024 TiB

El tamaño máximo admitido de un sistema de archivos XFS se ha aumentado de 500 TiB a 1024 TiB.

Los sistemas de archivos de más de 500 TiB lo requieren:

la función CRC de metadatos y la función de inode btree libre están habilitadas en el formatodel sistema de archivos, y

el tamaño del grupo de asignación es de al menos 512 GiB.

En RHEL 8, la mkfs.xfsutilidad crea sistemas de archivos que cumplen estos requisitos de formapredeterminada.

No se admite el crecimiento de un sistema de archivos más pequeño que no cumpla estos requisitos aun nuevo tamaño superior a 500 TiB.

(BZ#1563617)

VDO ahora soporta todas las arquitecturas

Virtual Data Optimizer (VDO) ya está disponible en todas las arquitecturas soportadas por RHEL 8.

Para ver la lista de arquitecturas soportadas, véaseCapítulo 2, Arquitecturas (traducción automática)

(BZ#1534087)

El gestor de arranque BOOM simplifica el proceso de creación de entradas de arranque

BOOM es un gestor de arranque para sistemas Linux que utilizan cargadores de arranque que soportanla especificación BootLoader para la configuración de la entrada de arranque. Permite unaconfiguración de arranque flexible y simplifica la creación de entradas de arranque nuevas o modificadas:por ejemplo, para arrancar imágenes instantáneas del sistema creadas utilizando LVM.

BOOM no modifica la configuración existente del gestor de arranque y sólo inserta entradas adicionales.Se mantiene la configuración existente y cualquier integración de la distribución, como la instalación delkernel y los scripts de actualización, continúan funcionando como antes.


40

BOOM tiene una interfaz de línea de comandos (CLI) y una API simplificadas que facilitan la tarea decrear entradas de arranque.

(BZ#1649582)

LUKS2 es ahora el formato por defecto para cifrar volúmenes

En RHEL 8, el formato LUKS versión 2 (LUKS2) sustituye al formato LUKS heredado (LUKS1). El dm-cryptsubsistema y la cryptsetupherramienta utilizan ahora LUKS2 como formato predeterminado paralos volúmenes cifrados. LUKS2 proporciona volúmenes cifrados con redundancia de metadatos y auto-recuperación en caso de un evento parcial de corrupción de metadatos.

Gracias a su diseño interno flexible, LUKS2 es también un facilitador de características futuras. Soportael autodesbloqueo a través del token genérico de kernel-keyring incorporado libcryptsetupquepermite a los usuarios desbloquear volúmenes LUKS2 utilizando una frase de contraseña almacenada enel servicio de retención de kernel-keyring.

Otras mejoras notables incluyen:

La configuración de la clave protegida utilizando el esquema de cifrado de clave envuelto.

Integración más fácil con el descifrado basado en políticas (Clevis).

Hasta 32 ranuras para llaves - LUKS1 proporciona sólo 8 ranuras para llaves.

Para más detalles, vea las páginas cryptsetup(8)y cryptsetup-reencrypt(8)man.

(BZ#1564540)

NVMe/FC es totalmente compatible con los adaptadores de canal de fibra BroadcomEmulex

El tipo de transporte NVMe over Fibre Channel (NVMe/FC) es ahora totalmente compatible en modoInitiator cuando se utiliza con los adaptadores Broadcom Emulex Fibre Channel 32Gbit.

NVMe sobre Fibre Channel es un tipo de tejido de transporte adicional para el protocolo NonvolatileMemory Express (NVMe), además del protocolo Remote Direct Memory Access (RDMA) que seintrodujo previamente en Red Hat Enterprise Linux.

Para habilitar NVMe/FC en el lpfccontrolador, edite el /etc/modprobe.d/lpfc.confarchivo y añada lasiguiente opción:

lpfc_enable_fc4_type=3

Los controladores que no sean lpfcde este tipo permanecen en la vista previa de la tecnología.

Restricciones adicionales:

Con NVMe/FC no se admite la multitrayecto.

La agrupación en clúster de NVMe no es compatible con NVMe/FC.

Actualmente, Red Hat Enterprise Linux no soporta el uso de NVMe/FC y SCSI/FC en un puertoiniciador al mismo tiempo.

El paquete kernel-alt no soporta NVMe/FC.

kdump no es compatible con NVMe/FC.


41

No se admite el arranque desde una red de área de almacenamiento (SAN) NVMe/FC.

(BZ#1649497)

Nueva overridessección del archivo de configuración DM Multipath

El /etc/multipath.confarchivo ahora incluye una overridessección que le permite establecer un valor deconfiguración para todos sus dispositivos. Estos atributos son usados por DM Multipath para todos losdispositivos a menos que sean sobrescritos por los atributos especificados en la multipathssección del /etc/multipath.confarchivo para las rutas que contienen el dispositivo. Esta funcionalidad sustituye al all_devsparámetro de la devicessección del archivo de configuración, que ya no es compatible.

(BZ#1643294)

Ahora se soporta la instalación y el arranque desde dispositivos NVDIMM

Antes de esta actualización, el instalador ignoraba los dispositivos de Módulo de memoria en línea dualno volátil (NVDIMM) en cualquier modo.

Con esta actualización, las mejoras del kernel para soportar dispositivos NVDIMM proporcionancapacidades mejoradas de rendimiento del sistema y acceso mejorado al sistema de archivos paraaplicaciones intensivas en escritura como bases de datos o cargas de trabajo analíticas, así como unareducción de la sobrecarga de la CPU.

Esta actualización introduce soporte para:

El uso de dispositivos NVDIMM para la instalación utilizando el comando nvdimmKickstart y laGUI, lo que permite instalar y arrancar desde dispositivos NVDIMM en modo sector yreconfigurar dispositivos NVDIMM en modo sector durante la instalación.

La extensión de Kickstartscripts para Anaconda con comandos para el manejo de dispositivosNVDIMM.

La capacidad de grub2, efibootmgr, y los componentes del efivarsistema para manejar yarrancar desde dispositivos NVDIMM.

(BZ#1499442)

Se ha mejorado la detección de trayectos marginales en DM Multipath

El multipathdservicio ahora soporta la detección mejorada de rutas marginales. Esto ayuda a losdispositivos multitrayecto a evitar los trayectos que pueden fallar repetidamente y mejora elrendimiento. Las rutas marginales son rutas con errores de E/S persistentes pero intermitentes.

Las siguientes opciones en el /etc/multipath.confarchivo controlan el comportamiento de las rutasmarginales:

marginal_path_double_failed_time,

marginal_path_err_sample_time,

marginal_path_err_rate_thresholdy

marginal_path_err_recheck_gap_time.

DM Multipath desactiva una ruta y la prueba con E/S repetidas durante el tiempo de muestreoconfigurado si:


42

se fijan las opciones listadasmultipath.conf,

una ruta falla dos veces en el tiempo configurado, y

hay otros caminos disponibles.

Si la ruta tiene más de la tasa de errores configurada durante esta prueba, DM Multipath la ignoradurante el tiempo de intervalo configurado, y luego la vuelve a probar para ver si está funcionando losuficientemente bien como para ser reinstalada.

Para obtener más información, consulte la página de multipath.confmanual.

(BZ#1643550)

Comportamiento predeterminado de la cola múltiple

Los dispositivos de bloque ahora utilizan la programación de múltiples colas en Red Hat Enterprise Linux8. Esto permite que el rendimiento de la capa de bloques se pueda escalar bien con unidades de estadosólido (SSD) rápidas y sistemas multinúcleo.

El controlador SCSI Multiqueue (scsi-mq) está ahora habilitado por defecto, y el kernel arranca con la scsi_mod.use_blk_mq=Yopción. Este cambio es consistente con el kernel de Linux.

Device Mapper Multipath (DM Multipath) requiere que el scsi-mqcontrolador esté activo.

(BZ#1647612)

Stratis ya está disponible

Stratis es un nuevo gestor de almacenamiento local. Proporciona sistemas de archivos administrados enla parte superior de los pools de almacenamiento con características adicionales para el usuario.

Stratis le permite realizar más fácilmente tareas de almacenamiento como:

Gestionar instantáneas y thin provisioning

Aumente automáticamente el tamaño del sistema de archivos según sea necesario

Actualizar sistemas de ficheros

Para administrar el almacenamiento de Stratis, utilice la stratisutilidad, que se comunica con el serviciode stratisdfondo.

Para más información, véase la documentación de Stratis: Managing layered local storage with Stratis .


4.12. ALTA DISPONIBILIDAD Y CLUSTERS (TRADUCCIÓNAUTOMÁTICA)

Nuevos pcscomandos para listar los dispositivos de vigilancia disponibles y probar losdispositivos de vigilancia

Para configurar el SBD con Marcapasos, se requiere un dispositivo de vigilancia que funcione. Estaversión soporta el pcs stonith sbd watchdog listcomando para listar los dispositivos de vigilanciadisponibles en el nodo local, y el pcs stonith sbd watchdog testcomando para probar un dispositivo de


43

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8-beta/html/configuring_and_managing_file_systems/managing-layered-local-storage-with-stratis_configuring-and-managing-file-systems

vigilancia. Para obtener información sobre la herramienta de línea de sbdcomandos, consulte la página sbd(8) man.

(BZ#1578891)

El pcscomando ahora soporta el filtrado de fallos de recursos por una operación y suintervalo

El marcapasos ahora rastrea las fallas de recursos por operación de un recurso encima de un nombre derecurso y un nodo. El pcs resource failcount showcomando ahora permite filtrar fallas por recurso,nodo, operación e intervalo. Proporciona una opción para mostrar fallos agregados por recurso y nodo odetallados por recurso, nodo, operación y su intervalo. Además, el pcs resource failcount resetcomando ahora permite filtrar fallas por recurso, nodo, operación e intervalo.

(BZ#1591308)

Sellos de tiempo habilitados en el corosyncregistro

El corosyncregistro no contenía previamente marcas de tiempo, lo que hacía difícil relacionarlo conregistros de otros nodos y demonios. Con esta versión, las marcas de tiempo están presentes en el corosyncregistro.

(BZ#1615420)

Nuevos formatos para pcs cluster setup, pcs cluster node addy pcs cluster node removecomandos

En Red Hat Enterprise Linux 8, soporta pcscompletamente Corosync 3, knet, y nombres de nodos. Losnombres de nodo son ahora obligatorios y sustituyen a las direcciones de nodo en la función deidentificador de nodo. Las direcciones de nodo son ahora opcionales.

En el pcs host authcomando, las direcciones de nodo son predeterminadas para los nombresde nodo

En los pcs cluster node addcomandos pcs cluster setupy, las direcciones de nodopredeterminadas son las direcciones de nodo especificadas en el pcs host authcomando.

Con estos cambios, los formatos de los comandos para configurar un clúster, añadir un nodo a un clústery eliminar un nodo de un clúster han cambiado. Para obtener información sobre estos nuevos formatosde comando, consulte la pantalla de ayuda de los pcs cluster node removecomandos y pcs cluster setup,pcs cluster node add.

(BZ#1158816)

Marcapasos 2.0.0 en RHEL 8

Los pacemakerpaquetes han sido actualizados a la versión upstream de Pacemaker 2.0.0, queproporciona una serie de correcciones y mejoras con respecto a la versión anterior:

El registro de detalles del marcapasos está ahora /var/log/pacemaker/pacemaker.logpordefecto (no directamente en /var/logo combinado con el corosyncregistro en /var/log/cluster).

Los procesos del demonio Marcapasos han sido renombrados para que la lectura de losregistros sea más intuitiva. Por ejemplo, pengineha sido renombrado a pacemaker-schedulerd.

Se ha eliminado la compatibilidad con las propiedades obsoletas default-resource-stickinessy is-managed-defaultde clústeres. En su lugar, las is-managedpropiedades resource-


44

stickinessy deberían establecerse en los valores predeterminados de los recursos. Lasconfiguraciones existentes (aunque no las de nueva creación) con la sintaxis obsoleta seactualizarán automáticamente para utilizar la sintaxis soportada.

Una lista más completa de los cambios está disponible enhttps://access.redhat.com/articles/3681151.

Se recomienda que los usuarios que estén actualizando un clúster existente utilizando Red HatEnterprise Linux 7 o versiones anteriores, se ejecuten pcs cluster cib-upgradeen cualquier nodo declúster antes y después de actualizar RHEL en todos los nodos de clúster.

(BZ#1543494)

Recursos maestros rebautizados como recursos de clonación promocionables

Red Hat Enterprise Linux (RHEL) 8 es compatible con Pacemaker 2.0, en el que un recursomaestro/esclavo ya no es un tipo de recurso separado, sino un recurso de clonación estándar con un promotablemeta-atributo configurado atrue... Los siguientes cambios han sido implementados enapoyo a esta actualización:

Ya no es posible crear recursos maestros con el pcscomando. En su lugar, es posible crear promotablerecursos de clonación. Las palabras clave y los comandos relacionados han sidocambiados de masterpromotable.

Todos los recursos maestros existentes se visualizan como recursos de clonaciónpromocionables.

Cuando se gestiona un clúster de RHEL7 en la interfaz web, los recursos maestros siguenllamándose maestros, ya que los clústeres de RHEL7 no admiten clones promocionables.

(BZ#1542288)

Nuevos comandos para autentificar nodos en un cluster

Red Hat Enterprise Linux (RHEL) 8 incorpora los siguientes cambios en los comandos utilizados paraautenticar nodos en un cluster.

El nuevo comando para la autenticación es pcs host auth. Este comando permite a los usuariosespecificar nombres de host, direcciones y pcsdpuertos.

El pcs cluster authcomando autentica sólo los nodos de un cluster local y no acepta una listade nodos

Ahora es posible especificar una dirección para cada nodo ypcs, a continuación,pcsd secomunicará con cada nodo utilizando la dirección especificada. Estas direcciones pueden serdiferentes a las que se corosyncutilizan internamente.

El pcs pcsd clear-authcomando ha sido reemplazado por los comandos pcs pcsd deauthypcs host deauth. Los nuevos comandos permiten a los usuarios desautorizar un único host así comotodos los hosts.

Anteriormente, la autenticación de nodos era bidireccional, y al ejecutar el pcs cluster authcomando todos los nodos especificados se autenticaban entre sí. El pcs host authcomando, sin embargo, hace que sólo el host local se autentique contra los nodosespecificados. Esto permite un mejor control de qué nodo se autentica contra qué otros nodoscuando se ejecuta este comando. En la propia configuración del clúster, y también al añadir un


45

https://access.redhat.com/articles/3681151


nodo, sincroniza pcsautomáticamente los tokens en el clúster, de modo que todos los nodos delclúster se autentican automáticamente como antes y los nodos del clúster pueden comunicarseentre sí.

Tenga en cuenta que estos cambios no son compatibles con versiones anteriores. Los nodos que hayansido autenticados en un sistema RHEL 7 deberán serlo de nuevo.

(BZ#1549535)

Los pcscomandos ahora soportan la visualización, limpieza y sincronización del historial deesgrima

El demonio de la valla del marcapasos rastrea un historial de todas las acciones de la valla tomadas(pendientes, exitosas y fallidas). Con esta versión, los pcscomandos permiten a los usuarios acceder alhistorial de esgrima de las siguientes maneras:

El pcs statuscomando muestra las acciones de vallado fallidas y pendientes

El pcs status --fullcomando muestra todo el historial de esgrima

El pcs stonith historycomando proporciona opciones para mostrar y limpiar el historial deesgrima

Aunque el historial de esgrima se sincroniza automáticamente, el pcs stonith historycomandoahora soporta una updateopción que permite al usuario sincronizar manualmente el historial deesgrima en caso de ser necesario

(BZ#1620190, BZ#1615891)

4.13. TRABAJO EN RED (TRADUCCIÓN AUTOMÁTICA)

nftables reemplaza iptablescomo el marco de filtrado de paquetes de red predeterminado

El nftablesmarco proporciona instalaciones de clasificación de paquetes y es el sucesor designado delos iptablesip6tables, arptables, y ebtablesherramientas. Ofrece numerosas mejoras en comodidad,características y rendimiento en comparación con las herramientas de filtrado de paquetes anteriores,sobre todo:

tablas de búsqueda en lugar de procesamiento lineal

un marco único tanto para los IPv6protocolos IPv4como para los protocolos

todas las reglas se aplican atómicamente en lugar de obtener, actualizar y almacenar unconjunto de reglas completo

soporte para depuración y rastreo en el conjunto de reglas (nftrace) y monitoreo de eventos derastreo (en la nftherramienta)

sintaxis más consistente y compacta, sin extensiones específicas de protocolo

una API de Netlink para aplicaciones de terceros

Al igual que en el caso de las cadenas de almacenamientoiptables, nftablesutilice tablas paraalmacenarlas. Las cadenas contienen reglas individuales para realizar acciones. La nftherramientareemplaza todas las herramientas de los marcos de trabajo de filtrado de paquetes anteriores. La libnftablesbiblioteca se puede utilizar para la interacción de bajo nivel con la API de nftablesNetlink através de la libmnlbiblioteca.


46

Las iptablesherramientas , ip6tables, ebtablesy las arptablesherramientas se sustituyen porreemplazos sin cita previa basados en nftables con el mismo nombre. Mientras que el comportamientoexterno es idéntico al de sus homólogos heredados, internamente utilizan nftablescon módulos del netfilternúcleo heredados a través de una interfaz de compatibilidad cuando es necesario.

El efecto de los módulos sobre el nftablesconjunto de reglas se puede observar usando el nft list rulesetcomando. Dado que estas herramientas añaden tablas, cadenas y reglas al nftablesconjunto dereglas, tenga en cuenta que las operaciones de conjunto nftablesde reglas, como el nft flush rulesetcomando, pueden afectar a los conjuntos de reglas instalados utilizando los comandosheredados anteriormente separados.

Para identificar rápidamente qué variante de la herramienta está presente, se ha actualizado lainformación de la versión para incluir el nombre del back-end. En RHEL 8, la herramienta basada ennftables iptablesimprime la siguiente cadena de versión:

$ iptables --versioniptables v1.8.0 (nf_tables)

Para la comparación, se imprime la siguiente información de versión si la herramienta heredada iptablesestá presente:

$ iptables --versioniptables v1.8.0 (legacy)

(BZ#1644030)

Funciones TCP notables en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con la versión 4.16 de la pila de redes TCP, que proporciona unmayor rendimiento, mejor escalabilidad y más estabilidad. Las prestaciones se incrementanespecialmente para servidores TCP ocupados con una alta tasa de conexión de entrada.

Además, están disponibles dos nuevos algoritmos de congestión TCP, BBRy NV,, que ofrecen unalatencia más baja y un mejor rendimiento que el cúbico en la mayoría de los escenarios.

(BZ#1562998)

firewalld usos nftablespor defecto

Con esta actualización, el subsistema de nftablesfiltrado es el backend predeterminado del firewall parael firewallddemonio. Para cambiar el módulo de servicio, utilice la FirewallBackendopción del /etc/firewalld.confarchivo.

Este cambio introduce las siguientes diferencias en el comportamiento cuando se utilizanftables..:

1. iptables las ejecuciones de reglas siempre ocurren antes firewalldque las reglas

DROP en iptablessignifica que un paquete nunca es visto por firewalld

ACCEPT en iptablessignifica que un paquete sigue estando sujeto a firewalldreglas

2. firewalld las reglas directas se siguen implementando a través de otras firewalldfunciones, iptablesmientras que otras utilizan nftables

3. la ejecución directa de la regla ocurre antes de la aceptación firewalldgenérica de lasconexiones establecidas


47

(BZ#1509026)

Cambios notables en wpa_supplicantRHEL 8

En Red Hat Enterprise Linux (RHEL) 8, el wpa_supplicantpaquete está construido con la opción CONFIG_DEBUG_SYSLOGenabled. Esto permite leer el wpa_supplicantregistro utilizando la journalctlutilidad en lugar de comprobar el contenido del /var/log/wpa_supplicant.logarchivo.

(BZ#1582538)

NetworkManager ahora soporta funciones virtuales SR-IOV

En Red Hat Enterprise Linux 8.0, NetworkManager permite configurar el número de funciones virtuales(VF) para interfaces que soportan la virtualización de E/S de raíz única (SR-IOV). Además,NetworkManager permite configurar algunos atributos de los VFs, como la dirección MAC, VLAN, la spoof checkingconfiguración y las velocidades de bits permitidas. Tenga en cuenta que todas laspropiedades relacionadas con SR-IOV están disponibles en la configuración de sriovconexión. Paramás detalles, consulte la página de nm-settings(5)manual.

(BZ#1555013)

Ahora se admiten controladores de red virtual IPVLAN

En Red Hat Enterprise Linux 8.0, el kernel incluye soporte para controladores de red virtual IPVLAN.Con esta actualización, las Tarjetas de Interfaz de Red virtuales IPVLAN (NICs) permiten la conectividadde red para múltiples contenedores exponiendo una sola dirección MAC a la red local. Esto permite queun único host tenga muchos contenedores, superando la posible limitación en el número de direccionesMAC soportadas por el equipo de red de pares.

(BZ#1261167)

NetworkManager soporta un nombre de interfaz comodín que coincide con el nombre delas conexiones

Anteriormente, era posible restringir una conexión a una interfaz determinada utilizando sólo unacoincidencia exacta en el nombre de la interfaz. Con esta actualización, las conexiones tienen una nuevamatch.interface-namepropiedad que soporta comodines. Esta actualización permite a los usuarioselegir la interfaz para una conexión de forma más flexible utilizando un patrón de caracteres comodín.

(BZ#1555012)

Mejoras en la pila de redes 4.18

Red Hat Enterprise Linux 8.0 incluye la pila de redes actualizada a la versión 4.18, que proporciona variascorrecciones y mejoras. Los cambios notables incluyen:

Se introdujeron nuevas funciones de descarga, como UDP_GSO, y, para algunos controladoresde dispositivos, GRO_HW.

Escalabilidad significativa mejorada para el Protocolo de Datagramas de Usuario (UDP).

Mejorado el código genérico de sondeo de ocupado.

Escalabilidad mejorada para el protocolo IPv6.

Escalabilidad mejorada para el código de enrutamiento.

Añadido un nuevo algoritmo de programación de colas de transmisión por defecto,fq_codel,que mejora el retardo de transmisión.


48

Escalabilidad mejorada para algunos algoritmos de programación de colas de transmisión. Porejemplo, pfifo_fastahora no tiene cerradura.

(BZ#1562987)

Nuevas herramientas para convertir iptablesa nftables

Esta actualización añade las herramientas iptables-translatey ip6tables-translatepara convertir lasreglas existentes iptableso ip6tableslas reglas en las equivalentes para nftables. Tenga en cuenta quealgunas extensiones carecen de soporte de traducción. Si existe tal extensión, la herramienta imprime laregla no traducida precedida por el #signo. Por ejemplo:

| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill| nft # -A INPUT -j CHECKSUM --checksum-fill

Además, los usuarios pueden utilizar las herramientas iptables-restore-translatey ip6tables-restore-translatepara traducir un volcado de reglas. Tenga en cuenta que antes de eso, los usuarios puedenusar los comandos iptables-saveo ip6tables-savepara imprimir un volcado de las reglas actuales. Porejemplo:

| % sudo iptables-save >/tmp/iptables.dump| % iptables-restore-translate -f /tmp/iptables.dump| # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018| add table ip nat| ...

(BZ#1564596)

Nuevas características añadidas a la VPN usando NetworkManager

En Red Hat Enterprise Linux 8.0, NetworkManager proporciona las siguientes características nuevas aVPN:

Soporte para el protocolo Internet Key Exchange versión 2 (IKEv2).

Añadidas algunas opciones más de Libreswan, como las rightidfragmentationopciones leftcert, narrowing, , , rekey,. Para más detalles sobre las opciones soportadas, consulte lapágina nm-settings-libreswanman.

Actualizado las cifras por defecto. Esto significa que cuando el usuario no especifica las cifras, elplugin NetworkManager-libreswan permite a la aplicación Libreswan elegir el cifrado pordefecto del sistema. La única excepción es cuando el usuario selecciona una configuración demodo agresivo de IKEv1. En este caso, los eps = aes256-sha1valores ike = aes256-sha1;modp1536y se pasan a Libreswan.

(BZ#1557035)

Un nuevo tipo de trozo de datos, I-DATA, añadido a SCTP

Esta actualización añade un nuevo tipo de chunk de datos, I-DATA, y programadores de streams alProtocolo de Transmisión de Control de Stream (SCTP). Anteriormente, SCTP enviaba los mensajes delos usuarios en el mismo orden en que fueron enviados por un usuario. En consecuencia, un mensaje deusuario SCTP de gran tamaño bloqueó todos los demás mensajes de cualquier secuencia hasta que seenviaron por completo. Cuando se utilizan I-DATAtrozos, el campo Número de secuencia de transmisión(TSN) no se sobrecarga. Como resultado, SCTP ahora puede programar las transmisiones de diferentesmaneras, y I-DATApermite el entrelazado de mensajes de usuario (RFC 8260). Tenga en cuenta queambos pares deben apoyar el tipo de I-DATAtrozo.


49

(BZ#1273139)

4.14. SEGURIDAD (TRADUCCIÓN AUTOMÁTICA)

El perfil PCI-DSS de la Guía de Seguridad SCAP se alinea con la versión 3.2.1

El SCAP Security Guideproyecto proporciona el perfil PCI-DSS (Payment Card Industry Data SecurityStandard) para Red Hat Enterprise Linux 8 y ha sido actualizado para alinearlo con la última versión PCI-DSS - 3.2.1.

(BZ#1618528)

OpenSSH ha vuelto a basar en la versión 7.8p1

Los opensshpaquetes han sido actualizados a la versión 7.8p1. Los cambios notables incluyen:

Se ha eliminado el soporte para el SSH version 1protocolo.

Se ha eliminado el soporte para el código de autenticación de hmac-ripemd160mensajes.

Eliminado el soporte para RC4 (arcfour) cifrado.

Eliminado el soporte para las Blowfishcifras.

Eliminado el soporte para las CASTcifras.

Cambiado el valor por defecto de la UseDNSopción a no.

Algoritmos de clave pública desactivados DSApor defecto.

Cambiado el tamaño mínimo del módulo para los Diffie-Hellmanparámetros a 2048 bits.

Cambiada la semántica de la opción de ExposeAuthInfoconfiguración.

La UsePrivilegeSeparation=sandboxopción es ahora obligatoria y no se puede desactivar.

Configure el tamaño mínimo aceptado RSAde la clave en 1024 bits.

(BZ#1622511)

RSA-PSS está ahora soportado en OpenSC

Esta actualización añade soporte para el esquema de firma criptográfica RSA-PSS al controlador de latarjeta OpenSCinteligente. El nuevo esquema permite un algoritmo criptográfico seguro requerido parael soporte de TLS 1.3 en el software cliente.

(BZ#1595626)

Cambios notables en rsyslogRHEL 8

Los rsyslogpaquetes han sido actualizados a la versión 8.37.0, que proporciona muchas correcciones ymejoras con respecto a las versiones anteriores. Los cambios más notables incluyen

Mejora del procesamiento de los mensajes internos de rsyslog; posibilidad de limitar lavelocidad de los mensajes; se ha corregido un posible punto muerto.

Mejora de la limitación de la velocidad en general; la fuente real de spam se registra ahora.

Manejo mejorado de mensajes de gran tamaño - el usuario puede ahora establecer cómo


50

Manejo mejorado de mensajes de gran tamaño - el usuario puede ahora establecer cómotratarlos tanto en el núcleo como en ciertos módulos con acciones separadas.

mmnormalize las bases de reglas ahora pueden ser incrustadas en el configarchivo en lugar decrear archivos separados para ellas.

El usuario ahora puede configurar la cadena de prioridad de GnuTLS para imtcpque permita uncontrol detallado sobre el cifrado.

Todas configlas variables, incluyendo las variables en JSON, son ahora insensibles a mayúsculasy minúsculas.

Varias mejoras en la salida de PostgreSQL.

Añadida la posibilidad de usar variables shell para controlar configel procesamiento, como lacarga condicional de archivos de configuración adicionales, la ejecución de sentencias o lainclusión de un texto en config. Tenga en cuenta que un uso excesivo de esta característicapuede hacer que sea muy difícil depurar problemas con rsyslog.

Los modos de creación de archivos de 4 dígitos se pueden especificar ahora en config.

La entrada Relp (Relief Event Logging Protocol) ahora puede enlazar también sólo en unadirección especificada.

El valor predeterminado de la enable.bodyopción de salida de correo ahora está alineado con ladocumentación

El usuario puede ahora especificar códigos de error de inserción que deben ser ignorados en lasalida de MongoDB.

La entrada paralela TCP (pTCP) tiene ahora el retraso configurable para un mejor balanceo decarga.

(BZ#1613880)

Nuevo módulo rsyslog: omkafka

Para habilitar los escenarios de almacenamiento de datos centralizado de kafka, ahora puede reenviarlos registros a la infraestructura de kafka utilizando el nuevo omkafkamódulo.

(BZ#1542497)

libssh implementa SSH como un componente criptográfico central

Este cambio se introduce libsshcomo un componente criptográfico central en Red Hat EnterpriseLinux 8. La libsshbiblioteca implementa el protocolo Secure SHell (SSH).

Tenga en cuenta que libsshno cumple con la política de cifrado de todo el sistema.

(BZ#1485241)

El soporte de PKCS #11 para tarjetas inteligentes y HSM ahora es consistente en todo elsistema

Con esta actualización, el uso de tarjetas inteligentes y módulos de seguridad de hardware (HSM) coninterfaz de token criptográfico PKCS #11 se vuelve consistente. Esto significa que el usuario y eladministrador pueden utilizar la misma sintaxis para todas las herramientas relacionadas en el sistema.Las mejoras notables incluyen:


51

Soporte para el esquema PKCS #11 Uniform Resource Identifier (URI) que asegura unahabilitación simplificada de tokens en servidores RHEL tanto para administradores como paraescritores de aplicaciones.

Un método de registro a nivel de sistema para tarjetas inteligentes y HSM que utilizanelpkcs11.conf...

Soporte consistente para HSMs y tarjetas inteligentes está disponible en aplicaciones NSS,GnuTLS y OpenSSL (a través del openssl-pkcs11motor).

El servidor HTTP Apache (httpd) ahora soporta sin problemas los HSM.

Para obtener más información, consulte la página de pkcs11.conf(5)manual.

(BZ#1516741)

Las políticas criptográficas de todo el sistema se aplican por defecto

Crypto-policies es un componente de Red Hat Enterprise Linux 8, que configura los principalessubsistemas criptográficos, cubriendo los protocolos TLS, IPSec, SSH, DNSSec y Kerberos. Proporcionaun pequeño conjunto de políticas, que el administrador puede seleccionar utilizando el update-crypto-policiescomando.

La política criptográfica de todo DEFAULTel sistema ofrece una configuración segura para los modelosde amenazas actuales. Permite los protocolos TLS 1.2 y 1.3, así como los protocolos IKEv2 y SSH2. Lasclaves RSA y los parámetros Diffie-Hellman se aceptan si son mayores de 2047 bits.

Vea el Consistent security by crypto policies in Red Hat Enterprise Linux 8 artículo en el Blog de Red Haty la página de update-crypto-policies(8)manual para más información.

(BZ#1591620)

La Guía de seguridad SCAP es compatible con OSPP 4.2

SCAP Security Guide proporciona un borrador del perfil OSPP (Protection Profile for GeneralPurpose Operating Systems) versión 4.2 para Red Hat Enterprise Linux 8. Este perfil refleja loscontroles de configuración obligatorios identificados en el Anexo de Configuración NIAP del Perfil deProtección para Sistemas Operativos de Propósito General (Perfil de Protección Versión 4.2). SCAPSecurity Guide proporciona comprobaciones y scripts automatizados que permiten a los usuarioscumplir con los requisitos definidos en el OSPP.

(BZ#1618518)

Se ha mejorado la interfaz de línea de comandos de OpenSCAP

El modo detallado está ahora disponible en todos oscaplos módulos y submódulos. La salida de laherramienta ha mejorado el formateo.

Se han eliminado las opciones desaprobadas para mejorar la usabilidad de la interfaz de la línea decomandos.

Las siguientes opciones ya no están disponibles:

--show in oscap xccdf generate reportha sido completamente eliminado.

--probe-root en oscap oval evalha sido removido. Puede ser sustituido por el ajuste de lavariable de entorno, OSCAP_PROBE_ROOT.


52

https://www.redhat.com/en/blog/consistent-security-crypto-policies-red-hat-enterprise-linux-8

--sce-results in oscap xccdf evalse ha sustituido por --check-engine-results

validate-xml el submódulo ha sido eliminado de los módulos CPE, OVAL y XCCDF. Los validatesubmódulos pueden ser usados en su lugar para validar el contenido SCAP contra losesquemas XML y los patrones XSD.

oscap oval list-probes se ha eliminado, la lista de sondas disponibles puede mostrarse en su oscap --versionlugar.

OpenSCAP permite evaluar todas las reglas en un punto de referencia XCCDF dado,independientemente del perfil, mediante el uso de --profile '(all)'.

(BZ#1618484)

Soporte para una nueva comprobación de permisos de mapa en la mmapllamada al sistema

Se ha añadido el mappermiso SELinux para controlar el acceso asignado a la memoria a archivos,directorios, sockets, etc. Esto permite que la política SELinux impida el acceso directo a la memoria devarios objetos del sistema de archivos y asegure que cada uno de estos accesos sea revalidado.

(BZ#1592244)

SELinux ahora soporta systemd No New Privileges

Esta actualización introduce la capacidad de nnp_nosuid_transitionpolítica que permite lastransiciones de dominio de SELinux bajo (NNPNo New Privileges) o nosuidsi nnp_nosuid_transitionse permite entre el contexto antiguo y el nuevo. Los selinux-policypaquetesahora contienen una política para los servicios systemd que utilizan la función de NNPseguridad.

La siguiente regla describe cómo permitir esta capacidad para un servicio:

allow source_domain target_type:process2 { nnp_transition nosuid_transition };

Por ejemplo:

allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };

La política de distribución contiene ahora también la interfaz de la macro m4, que puede ser utilizada enlas políticas de seguridad de SELinux para los servicios que utilizan la init_nnp_daemon_domain()función.

(BZ#1594111)

SELinux ahora soporta getrlimitpermisos en la processclase

Esta actualización introduce un nuevo control de acceso SELinux, process:getrlimitque se ha añadidopara la prlimit()función. Esto permite a los desarrolladores de políticas de SELinux controlar cuándo unproceso intenta leer y luego modificar los límites de recursos de otro proceso utilizando el process:setrlimitpermiso. Tenga en cuenta que SELinux no restringe un proceso de manipular suspropios límites de recursos a través de prlimit(). Vea las páginas prlimit(2)y getrlimit(2)man para másinformación.

(BZ#1549772)

Soporte de TLS 1.3 en librerías criptográficas

Esta actualización permite Transport Layer Security (TLS) 1.3 de forma predeterminada en todas las


53

principales bibliotecas criptográficas de back-end. Esto permite una baja latencia en toda la capa decomunicaciones del sistema operativo y mejora la privacidad y seguridad de las aplicaciones alaprovechar los nuevos algoritmos, como RSA-PSS o X25519.

(BZ#1516728)

Novedades en OpenSCAPRHEL 8

La OpenSCAPsuite ha sido actualizada a la versión 1.3.0, que introduce muchas mejoras con respecto alas versiones anteriores. Las características más notables incluyen:

API y ABI se han consolidado - se han eliminado los símbolos actualizados, obsoletos y/o noutilizados.

Las sondas no se ejecutan como procesos independientes, sino como roscas dentro del oscapproceso.

La interfaz de la línea de comandos ha sido actualizada.

Python 2 las fijaciones han sido reemplazadas por Python 3fijaciones.

(BZ#1614273)

Audit 3.0 reemplaza audispdcon auditd

Con esta actualización, la funcionalidad de audispdse ha movido a auditd. Como resultado, las opcionesde audispdconfiguración son ahora parte de auditd.conf. Además, el plugins.ddirectorio se ha movidobajo /etc/audit. El estado actual de los plug-ins auditdy sus plug-ins se puede comprobar ejecutando el service auditd statecomando.

(BZ#1616428)

rsyslog imfileahora soporta symlinks

Con esta actualización, el imfilemódulo rsyslog ofrece un mejor rendimiento y más opciones deconfiguración. Esto le permite utilizar el módulo para casos de uso más complicados de monitorizaciónde archivos. Por ejemplo, ahora puede utilizar monitores de archivos con patrones glob en cualquierlugar a lo largo de la ruta configurada y rotar objetivos symlink con un mayor rendimiento de datos.

(BZ#1614179)

La generación automática de las claves del OpenSSHservidor es ahora manejada por [email protected]

OpenSSH crea automáticamente las claves de host de servidor RSA, ECDSA y ED25519 si faltan. Paraconfigurar la creación de la clave del host en RHEL 8, utilice el servicio [email protected].

Por ejemplo, para desactivar la creación automática del tipo de clave RSA:

# systemctl mask [email protected]

Vea el /etc/sysconfig/sshdarchivo para más información.

(BZ#1228088)

El formato de archivo de rsyslogconfiguración predeterminado es ahora no heredado


54

Los archivos de configuración en los rsyslogpaquetes ahora usan el formato no-legacy por defecto. Elformato heredado puede seguir utilizándose, sin embargo, la mezcla de sentencias de configuraciónactuales y heredadas tiene varias limitaciones. Las configuraciones realizadas desde versionesanteriores de RHEL deben ser revisadas. Vea la página de rsyslog.conf(5)manual para más información.

(BZ#1619645)

Nuevo SELinux booleans

Esta actualización de la política del sistema SELinux introduce los siguientes booleanos:

colord_use_nfs

mysql_connect_http

pdns_can_network_connect_db

ssh_use_tcpd

sslh_can_bind_any_port

sslh_can_connect_any_port

virt_use_pcscd

Para más detalles, vea la salida del siguiente comando:

# semanage boolean -l


4.15. VIRTUALIZACIÓN (TRADUCCIÓN AUTOMÁTICA)

KVM soporta paginación de 5 niveles

Con Red Hat Enterprise Linux 8, la virtualización KVM soporta la característica de paginación de 5niveles, que aumenta significativamente el espacio de direcciones físico y virtual que pueden utilizar lossistemas huésped y host.

(BZ#1485229)

KVM soporta UMIP en RHEL 8

La virtualización KVM ahora soporta la función User-Mode Instruction Prevention (UMIP), que puedeayudar a evitar que las aplicaciones de espacio de usuario accedan a la configuración de todo el sistema.Esto reduce los vectores potenciales para los ataques de escalamiento de privilegios y, por lo tanto, haceque el hipervisor KVM y sus máquinas huéspedes sean más seguros.

(BZ#1494651)

Información adicional en los informes de accidentes de los huéspedes de KVM

Se ha ampliado la información sobre colisiones que genera el hipervisor KVM si un huésped se da de bajade forma inesperada o no responde. Esto facilita el diagnóstico y la solución de problemas enimplementaciones de virtualización KVM.

(BZ#1508139)


55

qemu-kvm 2.12 en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con la versión 2qemu-kvm.12. Esta versión corrige múltipleserrores y añade una serie de mejoras sobre la versión 1.5.3, disponible en Red Hat Enterprise Linux 7.

En particular, se han introducido las siguientes características:

Q35 tipo de máquina huésped

Arranque de huésped UEFI

Sintonización y fijación de NUMA en el huésped

vCPU hot plug y hot unplug

roscado de E/S de invitado

Tenga en cuenta que algunas de las características disponibles en la versión 2qemu-kvm.12 no soncompatibles con Red Hat Enterprise Linux 8. Para obtener información detallada, consulte"Compatibilidad y limitaciones de las funciones en la virtualización RHEL 8" en el Portal del cliente deRed Hat.

(BZ#1559240)

NVIDIA vGPU es ahora compatible con la consola VNC

Al utilizar la función de GPU virtual NVIDIA (vGPU), ahora es posible utilizar la consola VNC paramostrar la salida visual del invitado.

(BZ#1497911)

Ceph es compatible con la virtualización

Con esta actualización, el almacenamiento Ceph es compatible con la virtualización KVM en todas lasarquitecturas de CPU compatibles con Red Hat.

(BZ#1578855)

El tipo de máquina Q35 está ahora soportado por la virtualización

Red hat Enterprise Linux 8 introduce el soporte para Q35, un tipo de máquina más moderno basado enPCI Express. Esto proporciona una variedad de mejoras en las características y el rendimiento de losdispositivos virtuales y garantiza que una gama más amplia de dispositivos modernos sean compatiblescon la virtualización. Además, las máquinas virtuales creadas en Red Hat Enterprise Linux 8 estánconfiguradas para utilizar Q35 de forma predeterminada.

Tenga en cuenta también que el tipo de equipo de PC previamente predeterminado ha quedadoobsoleto y sólo debería utilizarse al virtualizar sistemas operativos más antiguos que no seancompatibles con Q35.

(BZ#1599777)

Cargador de arranque interactivo para máquinas virtuales en IBM Z

Al arrancar una máquina virtual (VM) en un host IBM Z, el firmware del cargador de arranque QEMUpresenta ahora una interfaz de consola interactiva. Esto permite solucionar problemas de arranque delSO huésped sin necesidad de acceder al entorno del host.

(BZ#1508137)


56

Se ha añadido el sandboxing de QEMU

En Red Hat Enterprise Linux 8, el emulador QEMU introduce la característica de sandboxing. Elsandboxing de QEMU proporciona limitaciones configurables a lo que los sistemas llamados QEMUpueden realizar, y por lo tanto hace que las máquinas virtuales sean más seguras. Tenga en cuenta queesta función está activada y configurada de forma predeterminada.


Juegos de instrucciones GFNI y CLDEMOT habilitados para Intel Xeon SnowRidge

Las máquinas virtuales (VM) que se ejecutan en un host RHEL 8 en un sistema Intel Xeon SnowRidgeahora pueden utilizar los conjuntos de instrucciones GFNI y CLDEMOT. Esto puede aumentarsignificativamente el rendimiento de estas máquinas virtuales en determinadas situaciones.

(BZ#1494705)

Se ha añadido un controlador de bloques basado en VFIO para dispositivos NVMe

El emulador QEMU introduce un controlador basado en funciones virtuales de E/S (VFIO) paradispositivos de memoria no volátil express (NVMe). El controlador se comunica directamente con losdispositivos NVMe conectados a las máquinas virtuales (VM) y evita el uso de la capa de sistema delnúcleo y sus controladores NVMe. Como resultado, esto mejora el rendimiento de los dispositivos NVMeen máquinas virtuales.

(BZ#1519004)

Mejoras en el soporte de páginas gigantes

Cuando se utiliza RHEL 8 como host de virtualización, los usuarios pueden modificar el tamaño de laspáginas que respaldan la memoria de una máquina virtual (VM) a cualquier tamaño que soporte la CPU.Esto puede mejorar significativamente el rendimiento de la máquina virtual.

Para configurar el tamaño de las páginas de memoria de la VM, edite la configuración XML de la VM yañada el elemento <hugepages> a la sección <memoryBacking>.


4.16. SOPORTE TÉCNICO (TRADUCCIÓN AUTOMÁTICA)

sosreport puede reportar programas y mapas basados en eBPF

La herramienta sosreport ha sido mejorada para reportar cualquier programa extendido de BerkeleyPacket Filtering (eBPF) cargado y mapas en Red Hat Enterprise Linux 8.

(BZ#1559836)


57

CAPÍTULO 5. PREVISIONES DE TECNOLOGÍA (TRADUCCIÓNAUTOMÁTICA)

Esta parte proporciona una lista de todas las vistas previas de tecnología disponibles en Red HatEnterprise Linux 8.0.

Para obtener información sobre el alcance del soporte de Red Hat para las funciones de Vista previa dela tecnología, consulte Technology Preview Features Support Scope .


XDP disponible como un avance tecnológico

La función eXpress Data Path (XDP), que está disponible como Technology Preview, proporciona unmedio para cargar programas Berkeley Packet Filter (BPF) para el procesamiento de paquetes de altorendimiento en el kernel, haciendo que la ruta de datos de red del kernel sea programable.

(BZ#1503672)

eBPF disponible como un avance tecnológico

La función ampliada de Berkeley Packet Filtering (eBPF) está disponible como una vista previa de latecnología tanto para la creación de redes como para el rastreo. eBPF permite al espacio de usuarioconectar programas personalizados en una variedad de puntos (tomas, puntos de rastreo, recepción depaquetes) para recibir y procesar datos. La característica incluye una nueva llamada bpf()de sistema,que permite crear varios tipos de mapas, y también insertar varios tipos de programas en el kernel. Veala página de manual bpf(2) para más información.

(BZ#1559616)

BCC está disponible como un avance de la tecnología

BPF Compiler Collection (BCC) es un kit de herramientas de espacio de usuario para crear programaseficientes de rastreo y manipulación del kernel que está disponible como una Muestra de tecnología enRed Hat Enterprise Linux 8. BCCproporciona herramientas para el análisis de E/S, la creación de redes yla monitorización de sistemas operativos Linux utilizando la herramientaextended Berkeley Packet Filtering (eBPF).

(BZ#1548302)

Control Group v2 disponible como una vista previa de la tecnología en RHEL 8

El mecanismo Control Group v2 es un grupo de control de jerarquía unificada. Control Group v2organiza los procesos jerárquicamente y distribuye los recursos del sistema a lo largo de la jerarquía deuna manera controlada y configurable.

A diferencia de la versión anterior, Control Group v2 tiene una sola jerarquía. Esta única jerarquíapermite al núcleo de Linux:

Categorizar los procesos en función de la función de su propietario.

Eliminar problemas con políticas conflictivas de múltiples jerarquías.

Control Group v2 soporta numerosos controladores:

El controlador de CPU regula la distribución de los ciclos de CPU. Este controlador implementa:


58

https://access.redhat.com/support/offerings/techpreview/

Modelos de límite de peso y ancho de banda absoluto para la política de programaciónnormal.

Modelo absoluto de asignación de ancho de banda para la política de programación entiempo real.

El controlador de memoria regula la distribución de la memoria. Actualmente, se realiza unseguimiento de los siguientes tipos de usos de memoria:

Memoria de Userland - memoria caché de páginas y memoria anónima.

Estructuras de datos del núcleo como dentrías e inodos.

Buffers de sockets TCP.

El controlador de E/S regula la distribución de los recursos de E/S.

El controlador de escritura interactúa con los controladores de memoria y de E/S y esespecífico del Grupo de control v2.

La información anterior se basó en el siguiente enlace:https://www.kernel.org/doc/Documentation/cgroup-v2.txt. Puede consultar el mismo enlace paraobtener más información sobre los controladores de Grupo de control v2.

(BZ#1401552)

early kdump disponible como una Muestra de tecnología en Red Hat Enterprise Linux 8

La early kdumpcaracterística permite que el kernel e initramfs se carguen con la suficiente antelacióncomo para capturar la vmcoreinformación incluso en caso de caídas tempranas. Para más detalles sobreearly kdump, ver el /usr/share/doc/kexec-tools/early-kdump-howto.txtarchivo.

(BZ#1520209)


VDO disponible como un tipo de volumen lógico LVM

LVM puede utilizarse ahora para crear volúmenes lógicos de tipo Virtual Data Optimizer (VDO). VDO esun dispositivo de bloque virtual con la capacidad de comprimir y deduplicar datos.

Se trata de una función de vista previa de la tecnología.

(BZ#1643553)

Compatibilidad con el campo de integridad de datos/extensión de la integridad de datos(DIF/DIX)

DIF/DIX es una adición al estándar SCSI. Permanece en la vista previa de la tecnología para todos losHBA y matrices de almacenamiento, excepto para los que se enumeran específicamente comocompatibles.

DIF/DIX aumenta el tamaño del bloque de disco de 512 bytes utilizado habitualmente de 512 a 520bytes, añadiendo el Campo de integridad de datos (DIF). El DIF almacena un valor de suma decomprobación para el bloque de datos que es calculado por el adaptador de bus de host (HBA) cuandose produce una escritura. El dispositivo de almacenamiento confirma entonces la suma de

CAPÍTULO 5. PREVISIONES DE TECNOLOGÍA (TRADUCCIÓN AUTOMÁTICA)

59

https://www.kernel.org/doc/Documentation/cgroup-v2.txt

comprobación en el momento de la recepción y almacena tanto los datos como la suma decomprobación. Por el contrario, cuando se produce una lectura, la suma de comprobación puede serverificada por el dispositivo de almacenamiento y por el HBA receptor.

(BZ#1649493)

NVMe/FC está disponible como una vista previa de la tecnología en adaptadores Qlogicutilizando qla2xxx

El tipo de transporte NVMe over Fibre Channel (NVMe/FC) está disponible como una vista previa detecnología en adaptadores Qlogic utilizando el qla2xxxcontrolador.

(BZ#1649922)

5.3. ALTA DISPONIBILIDAD Y CLUSTERS (TRADUCCIÓNAUTOMÁTICA)

podmanPaquetes de marcapasos disponibles como una vista previa de la tecnología

Los paquetes de contenedores de marcapasos ahora se ejecutan en la plataforma del podmancontenedor, y la función de paquete de contenedores está disponible como una vista previa dela tecnología. Hay una excepción a esta característica que es la Vista previa de la tecnología: Red Hat estotalmente compatible con el uso de paquetes de marcapasos para Red Hat Openstack.

(BZ#1619620)


Etiqueta SWID de la versión RHEL 8.0

Para permitir la identificación de las instalaciones de RHEL 8.0 utilizando el mecanismo ISO/IEC 19770-2:2015, se instalan etiquetas de identificación de software (SWID) en los archivos /usr/lib/swidtag/redhat.com/com.redhat.RHEL-8-<architecture>.swidtagy/usr/lib/swidtag/redhat.com/com.redhat.RHEL-8.0-<architecture>.swidtag... El directorio principal de estas etiquetas también se puede encontrarsiguiendo el enlace /etc/swid/swidtags.d/redhat.comsimbólico.

La firma XML de los archivos de etiquetas SWID se puede verificar utilizando el xmlsec1 verifycomando, por ejemplo:

xmlsec1 verify --trusted-pem /etc/pki/swid/CA/redhat.com/redhatcodesignca.cert /usr/share/redhat.com/com.redhat.RHEL-8-x86_64.swidtag

El certificado de la autoridad de certificación de firma de código también se puede obtener en laProduct Signing Keys página del Portal del Cliente.

(BZ#1636338)


AMD SEV para máquinas virtuales KVM

Como avance tecnológico, RHEL 8 presenta la función de virtualización encriptada segura (SEV) paramáquinas host AMD EPYC que utilizan el hipervisor KVM. Si está habilitado en una máquina virtual (VM),SEV cifra la memoria VM para que el host no pueda acceder a los datos de la VM. Esto aumenta la


60

https://access.redhat.com/security/team/key

seguridad de la máquina virtual si el host se infecta con éxito con malware.

Tenga en cuenta que el número de máquinas virtuales que pueden utilizar esta función a la vez en unúnico host viene determinado por el hardware del host. Los actuales procesadores AMD EPYC soportan15 o menos VM en ejecución que utilizan SEV.

(BZ#1501618, BZ#1501607)

Virtualización anidada ahora disponible en IBM POWER 9

Como presentación preliminar de la tecnología, ahora es posible utilizar las funciones de virtualizaciónanidadas en los equipos host RHEL 8 que se ejecutan en sistemas IBM POWER 9. La virtualizaciónanidada permite que las máquinas virtuales (VM) de KVM actúen como hipervisores, lo que permiteejecutar VM dentro de las VM.

Tenga en cuenta que para que la virtualización anidada funcione en IBM POWER 9, el host, el invitado ylos invitados anidados deben ejecutar uno de los siguientes sistemas operativos:

RHEL 8

RHEL 7 para POWER 9

(BZ#1505999)

CAPÍTULO 5. PREVISIONES DE TECNOLOGÍA (TRADUCCIÓN AUTOMÁTICA)

61

CAPÍTULO 6. FUNCIONALIDAD DESAPROBADA(TRADUCCIÓN AUTOMÁTICA)

Esta parte proporciona una visión general de las funcionalidades que han sido obsoletas en Red HatEnterprise Linux 8.0.

La funcionalidad desaprobada continúa siendo soportada hasta el final de la vida útil de Red HatEnterprise Linux 8. Es probable que la funcionalidad desaprobada no esté soportada en futurasversiones importantes de este producto y no se recomienda para nuevas implementaciones. Paraobtener la lista más reciente de funciones obsoletas dentro de una versión principal en particular,consulte la última versión de la documentación de la versión.

Los componentes de hardware desaprobados no se recomiendan para nuevas implementaciones en lasversiones principales actuales o futuras. Las actualizaciones de los controladores de hardware se limitanúnicamente a la seguridad y a las correcciones críticas. Red Hat recomienda sustituir este hardware tanpronto como sea razonablemente posible.

Un paquete puede ser obsoleto y no se recomienda para su uso posterior. Bajo ciertas circunstancias,un paquete puede ser retirado de un producto. La documentación del producto identifica los paquetesmás recientes que ofrecen funcionalidades similares, idénticas o más avanzadas a las obsoletas, yproporciona recomendaciones adicionales.


La --interactiveopción del comando ignorediskKickstart ha sido obsoleta

El uso de las --interactive optionversiones futuras de Red Hat Enterprise Linux resultará en un error deinstalación fatal. Se recomienda que modifique el archivo Kickstart para eliminar la opción.

(BZ#1637872)


NFSv3 sobre UDP ha sido desactivado

El servidor NFS ya no se abre o escucha en un socket User Datagram Protocol (UDP) por defecto. Estecambio afecta sólo a la versión 3 de NFS porque la versión 4 requiere el Protocolo de Control deTransmisión (TCP).

NFS sobre UDP ya no es compatible con RHEL 8.

(BZ#1592011)

El modo de destino NVMe/FC es obsoleto

El modo de destino del protocolo de transporte Nonvolatile Memory Express over Fibre Channel(NVMe/FC) estaba disponible anteriormente como Technology Preview en RHEL 7. En RHEL 8, elmodo NVMe/FC es obsoleto.

Si se activan los puertos del adaptador de bus de host FC (HBA) en el modo de destino NVMe,aparecerá el siguiente mensaje de error:


62

Warning: NVMe over FC Target - This driver has not undergone sufficient testing by Red Hat for this release and therefore cannot be used in production systems.

(BZ#1664838)


Los scripts de red están obsoletos en RHEL 8

Los scripts de red son obsoletos en Red Hat Enterprise Linux 8 y ya no se proporcionan por defecto. Lainstalación básica proporciona una nueva versión de los ifupifdownscripts que llaman al servicioNetworkManager a través de la herramienta nmcli. En Red Hat Enterprise Linux 8, para ejecutar los ifdownscripts ifupy los scripts, NetworkManager debe estar ejecutándose.

Tenga en cuenta que los comandos personalizados en /sbin/ifup-local, ifdown-pre-localy los ifdown-localscripts no se ejecutan.

Si se requiere cualquiera de estos scripts, la instalación de los scripts de red obsoletos en el sistemasigue siendo posible con el siguiente comando:

~]# yum install network-scripts

Los scripts ifupy ifdownse enlazan con los scripts de red heredados instalados.

La llamada a los scripts de red heredados muestra una advertencia sobre su deprecación.

(BZ#1647725)


DSA está obsoleto en Red Hat Enterprise Linux 8

El algoritmo de firma digital (DSA) se considera obsoleto en Red Hat Enterprise Linux 8. Losmecanismos de autenticación que dependen de las claves DSA no funcionan en la configuraciónpredeterminada. Tenga en cuenta que los OpenSSHclientes no aceptan claves de host DSA ni siquieraen la política LEGACY.

(BZ#1646541)

SSL2Client Hello ha sido desaprobado en NSS

El protocolo Transport Layer Security (TLS) versión 1.2 y anteriores permite iniciar una negociación conun Client Hellomensaje formateado de forma compatible con el protocolo Secure Sockets Layer (SSL)versión 2. La compatibilidad con esta función de la biblioteca Network Security Services (NSS) haquedado obsoleta y está desactivada de forma predeterminada.

Las aplicaciones que requieren soporte para esta característica necesitan usar la nueva SSL_ENABLE_V2_COMPATIBLE_HELLOAPI para habilitarla. El soporte para esta característicapuede ser eliminado completamente en futuras versiones de Red Hat Enterprise Linux 8.

(BZ#1645153)


Las instantáneas de máquinas virtuales no son compatibles con RHEL 8

CAPÍTULO 6. FUNCIONALIDAD DESAPROBADA (TRADUCCIÓN AUTOMÁTICA)

63

El mecanismo actual de creación de instantáneas de máquinas virtuales (VM) ha quedado obsoleto, yaque no funciona de forma fiable. Por consiguiente, se recomienda no utilizar instantáneas de VM enRHEL 8.

Tenga en cuenta que se está desarrollando un nuevo mecanismo de instantáneas de la máquina virtualque se implementará completamente en una futura versión menor de RHEL 8.

(BZ#1686057)

El tipo de GPU virtual Cirrus VGA ha sido obsoleto

Con una futura actualización importante de Red Hat Enterprise Linux, el dispositivo de GPU Cirrus VGAya no será compatible con las máquinas virtuales KVM. Por lo tanto, Red Hat recomienda utilizar losdispositivos stdvga, virtio-vga o qxl en lugar de Cirrus VGA.

(BZ#1651994)

virt-manager ha sido desaprobado

La aplicación Virtual Machine Manager, también conocida como virt-manager, ha sido obsoleta. Laconsola web RHEL 8, también conocida como Cockpit, está destinada a ser su sustituta en una versiónposterior. Por lo tanto, se recomienda utilizar la consola web para gestionar la virtualización en unainterfaz gráfica de usuario. Sin embargo, en Red Hat Enterprise Linux 8.0, algunas características sólopueden ser accesibles desde el virt-manager o la línea de comandos.



64


CAPÍTULO 7. PROBLEMAS CONOCIDOS (TRADUCCIÓNAUTOMÁTICA)

Esta parte describe los problemas conocidos en Red Hat Enterprise Linux 8.


Los comandos authy authconfigKickstart requieren el repositorio de AppStream

El authselect-compatpaquete es requerido por los comandos authy authconfigKickstart durante lainstalación. Sin este paquete, la instalación falla si se utiliza autho authconfigse utiliza. Sin embargo, pordiseño, el authselect-compatpaquete sólo está disponible en el repositorio de AppStream.

Para solucionar este problema, verifique que los repositorios BaseOS y AppStream estén disponiblespara el instalador o utilice el comando authselectKickstart durante la instalación.

(BZ#1640697)

Al copiar el contenido del Binary DVD.isoarchivo a una partición se omiten los archivos .treeinfoy.discinfo

Cuando se copia el contenido del archivo de imagen RHEL 8.0 Binary DVD.iso en una partición para unainstalación local, el '*' del comando cp <path>/\* <mounted partition>/dirno copia los archivos .treeinfoy, .discinfoque son necesarios para una instalación correcta. Como resultado, los repositoriosBaseOS y AppStream no se cargan, y un mensaje de registro de depuración en el anaconda.logarchivoes el único registro del problema.

Para solucionar el problema, copie los archivos que faltan .treeinfoy .discinfolos archivos en lapartición.

(BZ#1692746)


El módulo i40iw no se carga automáticamente en el arranque

Debido a que muchas NICs i40e no soportan iWarp y el módulo i40iw no soporta completamente lasuspensión/reanudación, este módulo no se carga automáticamente por defecto para asegurar que lasuspensión/reanudación funcione correctamente. Para solucionar este problema, edita manualmente el /lib/udev/rules.d/90-rdma-hw-modules.rulesarchivo para habilitar la carga automática de i40iw.

Tenga en cuenta también que si hay otro dispositivo RDMA instalado con un dispositivo i40e en lamisma máquina, el dispositivo RDMA no i40e activa el servicio rdma, que carga todos los módulos depila RDMA habilitados, incluido el módulo i40iw.

(BZ#1623712)

El sistema a veces no responde cuando hay muchos dispositivos conectados

Cuando Red Hat Enterprise Linux 8 configura un gran número de dispositivos, se produce un grannúmero de mensajes de consola en la consola del sistema. Esto sucede, por ejemplo, cuando hay ungran número de números de unidad lógica (LUN), con múltiples rutas para cada LUN. La avalancha demensajes de consola, además de otros trabajos que el núcleo está haciendo, puede hacer que el perroguardián del núcleo fuerce un pánico en el núcleo porque el núcleo parece estar colgado.

CAPÍTULO 7. PROBLEMAS CONOCIDOS (TRADUCCIÓN AUTOMÁTICA)

65

Debido a que el análisis se realiza al principio del ciclo de arranque, el sistema se vuelve insensiblecuando se conectan muchos dispositivos. Esto ocurre típicamente en el momento del arranque.

Si kdumpse habilita en su equipo durante el evento de análisis del dispositivo después del inicio, elbloqueo duro da como resultado la captura de una vmcoreimagen.

Para solucionar este problema, aumente el temporizador de bloqueo del perro guardián. Para ello,añada la watchdog_thresh=Nopción a la línea de comandos del núcleo. Sustitúyalo Npor el número desegundos:

Si tiene menos de mil dispositivos, use30

Si tiene más de mil dispositivos, use60

Para el almacenamiento, el número de dispositivos es el número de rutas a todos los LUNs:generalmente, el número de /dev/sd*dispositivos.

Después de aplicar la solución, el sistema ya no se vuelve insensible a la hora de configurar una grancantidad de dispositivos.

(BZ#1598448)

KSM a veces ignora las políticas de memoria de NUMA

Cuando la función de memoria compartida del núcleo (KSM) está habilitada con el parámetro"merge_across_across_nodes=1", KSM ignora las políticas de memoria establecidas por la funciónmbind(), y puede fusionar páginas de algunas áreas de memoria con nodos de acceso a memoria nouniforme (NUMA) que no coinciden con las políticas.

Para solucionar este problema, deshabilite KSM o establezca el parámetro merge_across_nodes en "0"si utiliza el enlace de memoria NUMA con QEMU. Como resultado, las políticas de memoria NUMAconfiguradas para la KVM VM funcionarán como se espera.

(BZ#1153521)

7.3. GESTIÓN DE SOFTWARE (TRADUCCIÓN AUTOMÁTICA)

Si se ejecuta yum listbajo un usuario que no es usuario root, se produce un fallo en YUM

Cuando se ejecuta el yum listcomando bajo un usuario que no es root después de que el libdnfpaqueteha sido actualizado, YUM puede terminar inesperadamente. Si golpea este error, ejecute yum listbajoroot para resolver el problema. Como resultado, los intentos subsecuentes de ejecutarse yum listbajoun usuario que no sea root ya no causan el fallo de YUM.

(BZ#1642458)

La página de yum(8)manual menciona incorrectamente el yum module profilecomando

La página del yum(8)manual indica incorrectamente que la herramienta de gestión de paquetes YUMincluye el yum module profilecomando para proporcionar detalles sobre los perfiles de los módulos. Sinembargo, este comando ya no está disponible y cuando se usa, YUM muestra un mensaje de error sobreun comando inválido. Para obtener más información sobre los perfiles de los módulos, utilice en su lugarel nuevo yum module info --profilecomando.

(BZ#1622580)

yum-plugin-aliases actualmente no disponible


66

El yum-plugin-aliasespaquete, que proporciona el aliascomando para agregar alias personalizados deyum, actualmente no está disponible. Por consiguiente, actualmente no es posible utilizar alias.

(BZ#1647760)

yum-plugin-changelog actualmente no disponible

El yum-plugin-changelogpaquete, que permite ver los registros de cambios de paquete antes ydespués de la actualización del paquete, no está disponible actualmente.

(BZ#1581191)

7.4. SERVICIOS DE INFRAESTRUCTURA (TRADUCCIÓN AUTOMÁTICA)

Tuned no establece los parámetros de la línea de comandos de arranque del kernel

La herramienta Tuned no es compatible con la especificación del cargador de arranque (BLS), que estáactivada de forma predeterminada. En consecuencia, Tuned no establece ciertos parámetros de la líneade comandos de arranque del kernel, lo que causa algunos problemas, como la disminución delrendimiento o que los núcleos de la CPU no se aíslen. Para solucionar este problema, desactive BLS yreinicie Tuned.

1. Instale el paquete grubby.

2. Elimine la siguiente línea del /etc/default/grubarchivo:

GRUB_ENABLE_BLSCFG=true

3. Re-generar el grub2.cfgarchivo ejecutándolo para sistemas que no sean de EficienciaEnergética:

grub2-mkconfig -o /etc/grub2.cfg

o para sistemas EFI:

grub2-mkconfig -o /etc/grub2-efi.cfg

4. Reinicie Tuned ejecutando:

systemctl reinicio sintonizado

Como resultado, Tuned establece los parámetros de arranque del kernel como se espera.

(BZ#1576435)

7.5. SHELLS Y HERRAMIENTAS DE LÍNEA DE COMANDOS(TRADUCCIÓN AUTOMÁTICA)

Python la encuadernación del net-snmppaquete no está disponible

El Net-SNMPconjunto de herramientas no proporciona un enlace para Python 3, que es laimplementación predeterminada Pythonde RHEL 8. Por consiguiente, python-net-snmp, python2-net-snmp, o python3-net-snmppaquetes no están disponibles en RHEL 8.


67

(BZ#1584510)

7.6. LENGUAJES DE PROGRAMACIÓN DINÁMICOS, SERVIDORES WEBY DE BASES DE DATOS (TRADUCCIÓN AUTOMÁTICA)

Los servidores de base de datos no son instalables en paralelo

Los módulos mariadby mysqlno se pueden instalar en paralelo en RHEL 8.0 debido a los paquetesRPM en conflicto.

Por diseño, es imposible instalar más de una versión (stream) del mismo módulo en paralelo. Porejemplo, necesita elegir sólo una de las secuencias disponibles en el postgresqlmódulo, ya sea (pordefecto10) o 9.6(por defecto). La instalación paralela de componentes es posible en las colecciones desoftware de Red Hat para RHEL 6 y RHEL 7. En RHEL 8 se pueden utilizar diferentes versiones deservidores de bases de datos en contenedores.

(BZ#1566048)

Problemas en el mod_cgidregistro

Si el módulo httpd de mod_cgidApache se utiliza bajo un módulo multiprocesador (MPM), que es lasituación por defecto en RHEL 8, se producen los siguientes problemas de registro:

La stderrsalida del script CGI no está precedida por la información de marca de tiempoestándar.

La stderrsalida del script CGI no se redirige correctamente a un archivo de registro específicopara el archivo VirtualHost, si está configurado.

(BZ#1633224)

El módulo IO::Socket::SSLPerl no soporta TLS 1.3

Las nuevas funciones del protocolo TLS 1.3, como la reanudación de sesión o la autenticación posterioral apretón de manos, se implementaron en la biblioteca RHEL 8 OpenSSLpero no en el módulo Net::SSLeayPerl, por lo que no están disponibles en el módulo IO::Socket::SSLPerl. En consecuencia,la autenticación del certificado de cliente puede fallar y el restablecimiento de las sesiones puede sermás lento que con el protocolo TLS 1.2.

Para solucionar este problema, desactive el uso de TLS 1.3 configurando la SSL_versionopción al !TLSv1_3valor al crear un IO::Socket::SSLobjeto.

(BZ#1632600)

7.7. GESTIÓN DE IDENTIDADES (TRADUCCIÓN AUTOMÁTICA)

La caché de credenciales de KCM no es adecuada para un gran número de credenciales enuna única caché de credenciales

Si la caché de credenciales contiene demasiadas credenciales, las operaciones de Kerberos, como kinit,fallan debido a un límite de código duro en el búfer utilizado para transferir datos entre el componentesssd-kcm y la base de datos subyacente.

Para solucionar este problema, añada la ccache_storage = memoryopción en la sección kcm del /etc/sssd/sssd.confarchivo. Esto le indica al kcm responder que sólo almacene las cachés decredenciales en memoria, no de forma persistente. Si hace esto, reiniciar el sistema o sssd-kcm borra


68

las cachés de credenciales. Tenga en cuenta que KCM puede manejar tamaños de caché de hasta 64kB.

(BZ#1448094)

Los valores de tiempo de espera en conflicto impiden que los SSSD se conecten a losservidores

Algunos de los valores de tiempo de espera predeterminados relacionados con las operaciones deconmutación por error utilizadas por el demonio de los servicios de seguridad del sistema (SSSD) soncontradictorios. Por consiguiente, el valor de tiempo de espera reservado para que los SSSD hablen conun único servidor impide que los SSSD prueben otros servidores antes de la operación de conexión ensu totalidad. Para solucionar el problema, establezca el valor del parámetro ldap_opt_timeouttimeoutpor encima del valor del dns_resolver_timeoutparámetro, y establezca el valor del dns_resolver_timeoutparámetro por encima del valor del dns_resolver_op_timeoutparámetro.

(BZ#1382750)

El uso de una tarjeta inteligente para iniciar sesión en la interfaz web de IdM no funciona

Cuando un usuario intenta iniciar sesión en la interfaz web de gestión de identidades (IdM) utilizando uncertificado almacenado en su tarjeta inteligente, el código de interfaz D-Bus del demonio de serviciosde seguridad del sistema (SSSD) utiliza una llamada de retorno incorrecta para buscar al usuario. Enconsecuencia, la búsqueda se bloquea. Para solucionar el problema, utilice otros métodos deautenticación.

(BZ#1642508)

El servidor IdM no funciona en FIPS

Debido a una implementación incompleta del conector SSL para Tomcat, un servidor IdM con unservidor de certificados instalado no funciona en máquinas con el modo FIPS activado.

(BZ#1673296)

El nuxwdogservicio falla en entornos HSM y requiere la instalación del keyutilspaquete enentornos no HSM

El servicio de nuxwdogvigilancia se ha integrado en el sistema de certificados. Como consecuencia, nuxwdogya no se ofrece como un paquete separado. Para utilizar el servicio watchdog, instale el pki-serverpaquete.

Tenga en cuenta que el nuxwdogservicio tiene los siguientes problemas conocidos:

El nuxwdogservicio no funciona si utiliza un módulo de almacenamiento de hardware (HSM).Para este número, no se dispone de soluciones alternativas.

En un entorno que no sea HSM, Red Hat Enterprise Linux 8.0 no instala automáticamente el keyutilspaquete como una dependencia. Para instalar el paquete manualmente, use el dnf install keyutilscomando.

(BZ#1652269)

7.8. COMPILADORES Y HERRAMIENTAS DE DESARROLLO(TRADUCCIÓN AUTOMÁTICA)

Las funciones sintéticas generadas por el GCC confunden a SystemTap


69



La optimización de GCC puede generar funciones sintéticas para copias parcialmente alineadas de otrasfunciones. Herramientas como SystemTap y GDB no pueden distinguir estas funciones sintéticas de lasfunciones reales. Como consecuencia, SystemTap puede colocar sondas tanto en puntos de entrada defunciones sintéticas como reales, y así registrar múltiples coincidencias de sondas para una sola llamadade función real.

Para solucionar este problema, los scripts SystemTap deben adaptarse con medidas como la detecciónde recursión y la supresión de sondas relacionadas con funciones parciales en línea. Por ejemplo, unscript

probe kernel.function("can_nice").call { }

puede tratar de evitar el problema descrito a continuación:

global in_can_nice%

probe kernel.function("can_nice").call { in_can_nice[tid()] ++; if (in_can_nice[tid()] > 1) { next } /* code for real probe handler */}

probe kernel.function("can_nice").return { in_can_nice[tid()] --;}

Tenga en cuenta que este script de ejemplo no tiene en cuenta todos los escenarios posibles, comokprobes o kretprobes perdidos, o recursión intencionada genuina.

(BZ#1169184)

La ltraceherramienta no notifica llamadas de función

Debido a las mejoras en el endurecimiento binario aplicado a todos los componentes de RHEL, la ltraceherramienta ya no puede detectar llamadas de función en archivos binarios procedentes decomponentes de RHEL. Como consecuencia, la ltracesalida está vacía porque no reporta ningunallamada detectada cuando se usa en dichos archivos binarios. Actualmente no hay ninguna soluciónalternativa disponible.

Como nota, ltracepuede reportar correctamente llamadas en archivos binarios personalizadosconstruidos sin las respectivas banderas de endurecimiento.

(BZ#1618748, BZ#1655368)


No se puede descubrir un objetivo iSCSI utilizando el iscsiuiopaquete

Red Hat Enterprise Linux 8 no permite el acceso simultáneo a las áreas de registro PCI. Comoconsecuencia, se estableció un could not set host net params (err 29)error y falló la conexión al portalde descubrimiento. Para solucionar este problema, establezca el parámetro iomem=relaxedkernel en lalínea de comandos del kernel para la descarga de iSCSI. Esto implica específicamente cualquierdescarga que utilice el bnx2iconductor. Como resultado, la conexión al portal de descubrimiento esahora exitosa y el iscsiuiopaquete funciona correctamente.


70

(BZ#1626629)

La opción de montaje XFS DAX es incompatible con los extensiones de datos de copiasobre escritura compartidos

Un sistema de archivos XFS formateado con la función de extensión de datos de copia sobre escrituracompartida no es compatible con la opción de -o daxmontaje. Como consecuencia, montar un sistemade ficheros de este tipo con -o daxfallos.

Para solucionar el problema, formatee el sistema de archivos con la opción de reflink=0metadatos paradeshabilitar las extensiones de datos de copia sobre escritura compartidas:

# mkfs.xfs -m reflink=0 block-device

Como resultado, el montaje del sistema de ficheros con -o daxes exitoso.

(BZ#1620330)


nftables no soporta tipos de conjuntos IP multidimensionales

El marco de trabajo de filtrado de nftablespaquetes no soporta tipos de conjuntos con concatenacionese intervalos. Por consiguiente, no se pueden utilizar tipos de sets IP multidimensionales, como porejemplo, hash:net,port, con nftables.

Para solucionar este problema, utilice el iptablesmarco de trabajo con la ipsetherramienta si necesitatipos de conjuntos IP multidimensionales.

(BZ#1593711)


OpenSCAPrpmverifypackage no funciona correctamente

Las llamadas al sistema chdiry chrootal sistema son llamadas dos veces por la rpmverifypackagesonda.En consecuencia, se produce un error cuando la sonda se utiliza durante una exploración OpenSCAPcon contenido personalizado de Open Vulnerability and Assessment Language (OVAL).

Para solucionar este problema, no utilice la prueba rpmverifypackage_testOVAL en su contenido outilice sólo el contenido del scap-security-guidepaquete donde rpmverifypackage_testno se utiliza.

(BZ#1646197)

libssh no cumple con la política de cifrado a nivel de todo el sistema

La libsshbiblioteca no sigue la configuración de políticas criptográficas de todo el sistema. Comoconsecuencia, el conjunto de algoritmos soportados no se cambia cuando el administrador cambia elnivel de políticas de cifrado usando el update-crypto-policiescomando.

Para solucionar este problema, el conjunto de algoritmos anunciados debe ser configurado de formaindividual por cada aplicación que utilice libssh. Como resultado, cuando el sistema está configurado enel nivel de políticas LEGADO o FUTURO, las aplicaciones que se usan se libsshcomportan de manerainconsistente cuando se comparan con OpenSSH.....

(BZ#1646563)


71

SCAP Workbench no logra generar correcciones basadas en resultados a partir de perfilespersonalizados

El siguiente error se produce al intentar generar funciones de reparación basadas en resultados a partirde un perfil personalizado utilizando la herramienta SCAP Workbench:

Error generating remediation role .../remediation.sh: Exit code of oscap was 1: [output truncated]

Para solucionar este problema, utilice el oscapcomando con la --tailoring-fileopción.

(BZ#1640715)

OpenSCAPrpmverifyfile no funciona

El escáner de OpenSCAP no cambia correctamente el directorio de trabajo actual en modo offline, y la fchdirfunción no se llama con los argumentos correctos en la sonda rpmverifyfilede OpenSCAP. Enconsecuencia, el análisis de sistemas de archivos arbitrarios que utilizan el oscap-chrootcomando falla sirpmverifyfile_testse utiliza en un contenido SCAP. Como resultado, oscap-chrootaborta en elescenario descrito.

(BZ#1636431)

No se dispone de una utilidad para el escaneado de seguridad y cumplimiento de lasnormas de los contenedores

En Red Hat Enterprise Linux 7, la oscap-dockerutilidad se puede utilizar para escanear contenedoresDocker basados en tecnologías Atomic. En Red Hat Enterprise Linux 8, los comandos OpenSCAPrelacionados con Docker y Atomic no están disponibles. Como resultado, oscap-dockero una utilidadequivalente para el control de seguridad y cumplimiento de las normas de los contenedores no estádisponible en RHEL 8 en este momento.

(BZ#1642373)


72

CAPÍTULO 8. CAMBIOS NOTABLES EN LOS CONTENEDORES(TRADUCCIÓN AUTOMÁTICA)

Un conjunto de imágenes de contenedores está disponible para Red Hat Enterprise Linux (RHEL) 8.0.Los cambios notables incluyen:

El Docker no está incluido en RHEL 8.0. Para trabajar con contenedores, utilice las herramientaspodman, buildah, skopeo y runc.Para obtener información sobre estas herramientas y sobre el uso de contenedores en RHEL 8,véase Building, running, and managing containers.

La herramienta podman ha sido lanzada como una característica totalmente soportada.La herramienta podman gestiona pods, imágenes de contenedores y contenedores en un solonodo. Está construido sobre la librería libpod, que permite la gestión de contenedores y gruposde contenedores, llamados pods.

Para aprender a utilizar podman, véaseBuilding, running, and managing containers

En RHEL 8 GA, Red Hat Universal Base Images (UBI) está disponible por primera vez. Los UBIssustituyen a algunas de las imágenes que Red Hat ofrecía anteriormente, como las imágenes debase RHEL estándar y mínima.A diferencia de las imágenes más antiguas de Red Hat, las UBI se pueden redistribuirlibremente. Esto significa que pueden utilizarse en cualquier entorno y compartirse en cualquierlugar. Puede utilizarlos aunque no sea cliente de Red Hat.

Para obtener documentación sobre UBI, véaseBuilding, running, and managing containers

En RHEL 8 GA, hay disponibles imágenes de contenedores adicionales que proporcionancomponentes de AppStream, para los cuales las imágenes de contenedores se distribuyen conRed Hat Software Collections en RHEL 7. Todas estas imágenes de RHEL 8 se basan en laimagen ubi8base.

RHEL 8 es totalmente compatible con ARM de imágenes de contenedor para la arquitecturaARM de 64 bits.

El rhel-toolscontenedor ha sido retirado en RHEL 8. Las sosredhat-support-toolherramientasse suministran en el support-toolscontenedor. Los administradores del sistema tambiénpueden utilizar esta imagen como base para crear la imagen del contenedor de herramientasdel sistema.

La compatibilidad con los contenedores rootless está disponible como avance tecnológico enRHEL 8.Los contenedores Rootless son contenedores creados y gestionados por usuarios regulares delsistema sin permisos administrativos.

CAPÍTULO 8. CAMBIOS NOTABLES EN LOS CONTENEDORES (TRADUCCIÓN AUTOMÁTICA)

73

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/building_running_and_managing_containers/index




Componente Billetes

389-ds-base BZ#1334254, BZ#1358706, BZ#1693159

NetworkManager BZ#1555013, BZ#1555012, BZ#1557035

PackageKit BZ#1559414

anaconda BZ#1499442, BZ#1500792, BZ#1547908, BZ#1612060, BZ#1595415,BZ#1610806, BZ#1533904

audit BZ#1616428

bcc BZ#1548302

bind BZ#1588592

boom-boot BZ#1649582

boost BZ#1494495, BZ#1616244

cloud-init BZ#1615599

cmake BZ#1590139

cockpit BZ#1619993

crypto-policies BZ#1591620

cryptsetup BZ#1564540

device-mapper-multipath BZ#1643550

distribution BZ#1566048, BZ#1516741, BZ#1516728

dnf BZ#1622580, BZ#1647760, BZ#1581191

esc BZ#1538645

firewalld BZ#1509026

gcc BZ#1169184, BZ#1607227, BZ#1535774, BZ#1504980, BZ#1246444

gdm BZ#1589678


74


glibc BZ#1512004, BZ#1376834, BZ#1512010, BZ#1304448, BZ#1512009,BZ#1512006, BZ#1514839, BZ#1533608

go-toolset BZ#1512570

httpd BZ#1633224, BZ#1632754

iproute BZ#1640991

iptables BZ#1644030, BZ#1564596

iscsi-initiator-utils BZ#1626629, BZ#1582099

kernel-rt BZ#1592977

kernel BZ#1598448, BZ#1643522, BZ#1485546, BZ#1562998, BZ#1485229,BZ#1494651, BZ#1485532, BZ#1494028, BZ#1563617, BZ#1485525,BZ#1261167, BZ#1562987, BZ#1273139, BZ#1559607, BZ#1401552,BZ#1638465, BZ#1598776, BZ#1503672, BZ#1664838, BZ#1596240,BZ#1534870, BZ#1501618, BZ#1153521, BZ#1494705, BZ#1620330,BZ#1505999

kexec-tools BZ#1520209

kmod-kvdo BZ#1534087, BZ#1639512

libdnf BZ#1642458

libreswan BZ#1657854

libssh BZ#1485241

ltrace BZ#1618748, BZ#1584322

lvm2 BZ#1643553, BZ#1643543, BZ#1643545, BZ#1643547, BZ#1643549,BZ#1643562, BZ#1643576

mariadb BZ#1637034

net-snmp BZ#1584510

nfs-utils BZ#1592011, BZ#1639432

nftables BZ#1593711

Componente Billetes


75


nginx BZ#1545526

nodejs-10-module BZ#1622118

nss BZ#1645153

nuxwdog BZ#1652269

openldap BZ#1570056

opensc BZ#1595626

openscap BZ#1646197, BZ#1636431, BZ#1642373, BZ#1618484, BZ#1614273,BZ#1618464

openssh BZ#1622511, BZ#1228088

pacemaker BZ#1543494

pcs BZ#1578891, BZ#1591308, BZ#1615420, BZ#1158816, BZ#1542288,BZ#1549535, BZ#1620190, BZ#1566430, BZ#1595829, BZ#1436217,BZ#1578955, BZ#1596050, BZ#1554310, BZ#1638852, BZ#1640477,BZ#1619620

perl-IO-Socket-SSL BZ#1632600

perl BZ#1511131

pki-core BZ#1565073, BZ#1623444, BZ#1566360, BZ#1394069, BZ#1669257,BZ#1656856, BZ#1673296

pykickstart BZ#1637872, BZ#1612061

qemu-kvm BZ#1508139, BZ#1559240, BZ#1497911, BZ#1578855, BZ#1651994,BZ#1621817, BZ#1508137, BZ#1519004

redhat-release BZ#1636338

rsyslog BZ#1613880, BZ#1542497, BZ#1614179, BZ#1619645

scap-security-guide BZ#1618528, BZ#1618518

scap-workbench BZ#1640715

selinux-policy BZ#1592244, BZ#1594111, BZ#1549772, BZ#1626446

Componente Billetes


76





setup BZ#1591969

sos BZ#1559836

sssd BZ#1448094, BZ#1382750, BZ#1642508, BZ#1620123

subversion BZ#1571415

swig-3.0-module BZ#1660051

tomcatjss BZ#1424966, BZ#1636564

tuned BZ#1576435, BZ#1565598

valgrind BZ#1500481, BZ#1538009

virt-manager BZ#1599777, BZ#1643609

wpa_supplicant BZ#1582538

otro BZ#1646563, BZ#1640697, BZ#1623712, BZ#1649404, BZ#1581198,BZ#1581990, BZ#1649497, BZ#1643294, BZ#1647612, BZ#1641015,BZ#1641032, BZ#1641004, BZ#1641034, BZ#1647110, BZ#1641007,BZ#1641029, BZ#1641022, BZ#1649493, BZ#1649922, BZ#1559616,BZ#1646541, BZ#1647725, BZ#1686057, BZ#1582530, BZ#1581496,BZ#1650618, BZ#1650675, BZ#1650701, JIRA:RHELPLAN-10347,JIRA:RHELPLAN-10439, JIRA:RHELPLAN-10440, JIRA:RHELPLAN-10442, JIRA:RHELPLAN-10443, JIRA:RHELPLAN-10438,JIRA:RHELPLAN-2878, JIRA:RHELPLAN-10355, JIRA:RHELPLAN-3010, JIRA:RHELPLAN-10352, JIRA:RHELPLAN-10353,JIRA:RHELPLAN-1212, JIRA:RHELPLAN-1473, JIRA:RHELPLAN-10445,JIRA:RHELPLAN-1499, JIRA:RHELPLAN-3001, JIRA:RHELPLAN-6746,JIRA:RHELPLAN-10354, JIRA:RHELPLAN-2896, JIRA:RHELPLAN-10304, JIRA:RHELPLAN-10628, JIRA:RHELPLAN-10441,JIRA:RHELPLAN-10444, JIRA:RHELPLAN-1842, JIRA:RHELPLAN-12764, JIRA:RHELPLAN-14607, BZ#1641014, BZ#1692746,BZ#1693775, BZ#1580387, BZ#1583620, BZ#1580430, BZ#1648843,BZ#1647908, BZ#1649891

Componente Billetes


77



red hat enterprise linux 8 · servidor de visualización predeterminado. el servidor x.org, que es...

Documents