Kapitel 9. Server und Dienste

Eingeschränkte Verschlüsselungsverfahren in standardmäßiger httpd-Konfiguration

In dieser Aktualisierung aktiviert die Standardkonfiguration des mod_ssl-Moduls im httpd-Webserver nicht länger die Unterstützung für SSL-Verschlüsselungsverfahren, welche die einfachen DES-, IDEA- oder SEED-Verschlüsselungsalgorithmen verwenden.

Zulässige SSL-Protokolle im Cyrus IMAP-Server konfigurierbar

Mit dieser Aktualisierung ist es möglich, die zulässigen SSL-Protokolle (Secure Sockets Layer) für den Cyrus IMAP-Server zu konfigurieren. Beispielsweise können Benutzer SSLv3-Verbindungen deaktivieren und so der POODLE-Sicherheitslücke entgegenwirken.

Der dstat-Befehl unterstützt nun symbolische Links

Der dstat-Befehl wurde erweitert, um die Verwendung von symbolischen Links als Parameterwerte zu ermöglichen. Dies ermöglicht es Benutzern, den Namen des Boot-Geräts dynamisch anzugeben, wodurch sichergestellt wird, dass dstat nach Operationen wie Hot Plugs o. ä. die korrekten Informationen anzeigt. Beachten Sie, dass symbolische Links im Verzeichnis /dev/disk/ angegeben werden müssen und dass der vollständige Pfad mit dem Befehl verwendet werden muss.

rng-tools überarbeitet auf Version 5

Das rng-tools-Paket, das User-Space-Dienstprogramme zur Generierung von Zufallszahlen enthält, wurde auf Upstream-Version 5 aktualisiert. Diese Aktualisierung aktiviert standardmäßig den Random Number Generator Daemon (rngd) auf den Intel x86- und Intel 64-basierten EM64T/AMD64 CPU-Modellen und nutzt die Entropie, die von der RDRAND-Instruktion geliefert wird. Diese Veränderung verbessert zudem die Leistung und Sicherheit von Intel-Architekturhardware, insbesondere in den Server-Applikationen.

Verbesserungen an nm-connection-editor

Diese Aktualisierung führt Verbesserungen an nm-connection-editor ein, um die Bearbeitung von IP-Adressen und Routen zu vereinfachen. Darüber hinaus versucht nm-connection-editor, automatisch Tippfehler und fehlerhafte Konfigurationen zu erkennen und hervorzuheben.

ypbind kann nun auf bestimmte Intervalle zur Neuverbindung festgelegt werden

Der NIS-Binding-Prozess ypbind prüfte in der Vergangenheit alle 15 Minuten auf den schnellsten NIS-Server, allerdings haben viele Firewalls einen Standard-Timeout von 10 Minuten. Dies verursachte sporadische Fehler, wenn ypbind sich neu zu verbinden versuchte. Diese Aktualisierung fügt die konfigurierbare Option -r zu ypbind hinzu, um ein bestimmtes Intervall zur Neuverbindung festzulegen.

Überarbeitung der squid-Pakete

Die squid-Pakete wurden auf Upstream-Version 3.1.23 aktualisiert, was eine Reihe von Fehlerbehebungen und Verbesserungen gegenüber der vorherigen Version bietet. Unter anderem fügt diese Aktualisierung Unterstützung für HTTP/1.1 POST- und PUT-Antworten ohne Nachrichtenhauptteil zu squid hinzu.

DHCP handhabt DHCP-Option 97 - Kennung für Client-Rechner (pxe-client-id)

Es ist nun möglich, für einen bestimmten Client basierend auf dessen in Option 97 angegebener Kennung eine IP-Adresse zu reservieren (statisch zuzuweisen). Zum Beispiel:
host pixi {   option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff;   fixed-address 1.2.3.4; }

Tomcat-Protokolldatei-Rotation kann nun deaktiviert werden

Standardmäßig werden Tomcat-Protokolldateien beim ersten Schreibvorgang nach Mitternacht rotiert und erhalten den Dateinamen {präfix}{datum}{suffix}, wobei das Format für datum JJJJ-MM-TT lautet. Damit die Tomcat-Protokolldatei-Rotation deaktiviert werden kann, wurde der Parameter rotatable hinzugefügt. Wenn dieser Parameter auf false gesetzt wird, erfolgt keine Protokolldatei-Rotation und der Dateiname lautet {präfix}{suffix}. Der Standardwert ist true.

CUPS unterstützt Ausfallsicherung

Es ist nun möglich, Druckaufträge an einen einzigen Drucker zu leiten mit der Möglichkeit, im Falle eines Ausfalls auf andere Drucker auszuweichen, statt die in CUPS integrierte Lastverteilung unter den Druckern zu verwenden. Druckaufträge können an den ersten funktionsfähigen Drucker in einer Gruppe – den bevorzugten Drucker – geleitet werden, und andere Drucker werden nur dann verwendet, wenn der bevorzugte Drucker nicht verfügbar ist.

openssh unterstützt Anpassung von LDAP-Anfragen

Administratoren können nun Lightweight Directory Access Protocol (LDAP) Anfragen anpassen, um öffentliche Schlüssel von Servern zu erhalten, die ein anderes Schema verwenden.

ErrorPolicy-Beschreibung zur man-Seite für cupsd.conf(5) hinzugefügt

Eine Beschreibung der ErrorPolicy-Direktive mit unterstützten Werten wurde zur man-Seite für cupsd.conf(5) hinzugefügt. Die ErrorPolicy-Direktive definiert die zu verwendende Standardrichtlinie, falls ein Back-End nicht dazu in der Lage ist, einen Druckauftrag an den Drucker zu senden.

Zulässige SSL-Protokolle in dovecot konfigurierbar

Mit dieser Aktualisierung ist es möglich, die zulässigen SSL-Protokolle (Secure Sockets Layer) für dovecot zu konfigurieren. Beispielsweise können Benutzer SSLv3-Verbindungen deaktivieren und so der POODLE-Sicherheitslücke entgegenwirken. Aufgrund von Sicherheitsrisiken sind SSLv2 und SSLv3 nun ebenfalls deaktiviert; falls Benutzer diese Protokolle benötigen, müssen Sie manuell wieder zugelassen werden.

openssh unterstützt Platzhalter für PermitOpen-Option

Die PermitOpen-Option in der sshd_config-Datei unterstützt nun Platzhalterzeichen.

tomcatjss unterstützt TLS-Versionen 1.1 und 1.2

Tomcat wurde aktualisiert, um die TLS kryptografische Protokollversion 1.1 (TLSv1.1) und die TLS kryptografische Protokollversion 1.2 (TLSv1.2) unter Verwendung von Java Security Services zu unterstützen.

squid unterstützt das Verbergen oder Umschreiben von HTTP-Headern

Die squid-Pakete enthalten nun die Option --enable-http-violations und ermöglichen es dem Benutzer, HTTP-Header zu verbergen oder umzuschreiben.

bind unterstützt RPZ-NSIP und RPZ-NSDNAME

Es ist nun möglich, RPZ-NSIP- und RPZ-NSDNAME-Einträge mit Response Policy Zone (RPZ) in der BIND-Konfiguration zu verwenden.

openssh unterstützt das Erzwingen exakter Berechtigungen auf hochgeladenen Dateien

Mit dieser Aktualisierung kann OpenSSH exakte Berechtigungen erzwingen auf Dateien, die mittels Secure File Transfer Protocol (SFTP) neu hochgeladen werden.

Mailman bietet nun verbesserte DMARC-konforme Verarbeitung

Mit dieser Aktualisierung führt Mailman mehrere verbesserte Features für die Domain-based Message Authentication, Reporting & Conformance (DMARC)-konforme Verarbeitung ein. Beispielsweise kann Mailman dazu konfiguriert werden, Sender-Alignment für Domain Key Identified Mail (DKIM) Signaturen anzuerkennen, und kann nun weitergeleitete E-Mails von Domains mit der DMARC-Richtlinie reject korrekt handhaben.