Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Chapitre 9. Serveurs et services

Suites Cipher restreintes dans la configuration httpd par défaut

Avec cette mise à jour, la configuration par défaut du module mod_ssl dans le serveur web httpd ne permet plus la prise en charge des suites de chiffrement SSL utilisant les algorithmes de chiffrement uniques DES, IDEA, ou SEED.

Les protocoles SSL configurables dans le serveur IMAP Cyrus sont autorisés

Avec cette mise à jour, il est possible de configurer les protocoles SSL (« Secure Sockets Layer ») autorisés par le serveur IMAP Cyrus. Par exemple, les utilisateurs peuvent désactiver les connexions SSLv3, limitant ainsi l'impact de la vulnérabilité POODLE.

La comande dstat prend désormais en charge les liens symboliques

La commande dstat a été améliorée pour prendre en charge l'utilisation de liens symboliques en tant que valeurs de paramètres. Ceci permet aux utilisateurs de spécifier dynamiquement le nom du périphérique de démarrage, qui veille à ce que dstat affiche des informations correctes après les enfichements à chaud et autres opérations similaires. Remarquez que les liens symboliques doivent être spécifiés dans le répertoire /dev/disk/ et que le chemin complet doit être utilisé avec la commande.

Rebasement de rng-tools sur la version 5

Les paquets rng-tools, qui fournissent des utilitaires d'espace utilisateur générant des chiffres aléatoires, ont été mis à niveau à la version en amont 5. Cette mise à jour active par défaut le démon du générateur de chiffres aléatoires (rngd) sur les modèles Intel x86 et Intel 64 basés sur CPU EM64T/AMD64 et tire profit de l'entropie fournie par l'instruction du générateur de chiffres aléatoires du matériel RDRAND. L'amélioration mise à jour augmente également les performances et la sécurité sur le matériel des architectures Intel, particulièrement dans les applications de serveur.

Améliorations apportées à nm-connection-editor

Cette mise à jour offre une amélioration de nm-connection-editor qui permet de modifier les adresses IP et le routage plus facilement. En outre, nm-connection-editor tente de détecter et de surligner automatiquement toute erreur de typographie et toute mauvaise configuration.

ypbind peut désormais être défini à des intervalles de reliaison spécifiques

Habituellement, le processus de liaison NIS ypbind recherche le serveur NIS le plus rapide toutes les 15 minutes, cependant de nombreux pare-feux possèdent un délai d'expiration fixé par défaut sur 10 minutes. Ceci a causé des échecs intermittents de ypbind lors des tentatives de reliaison. Cette mise à jour ajoute une option réglable, -r, à ypbind qui permet de paramétrer un intervalle particulier de reliaison en secondes.

Rebasement des paquet squid

Les paquets squid ont été mis à niveau à la version en amont 3.1.23, qui fournit un certain nombre d'améliorations et de correctifs de bogues comparé à la version précédente. Cette mise à jour offre à squid la prise en charge des réponses HTTP/1.1 POST et PUT sans corps de message.

dhcpd gère l'option dhcp 97 - Identificateur de machine client (pxe-client-id)

Il est désormais possible de réserver (ou d'allouer de manière statique) des adresses IP pour un client particulier en se basant sur son identificateur, envoyé dans l'option 97 ; par exemple : 
host pixi {   option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff;   fixed-address 1.2.3.4; }

L'échange de fichiers journaux Tomcat peut désormais être désactivé

Par défaut, les fichiers journaux Tomcat sont échangés à la première opération d'écriture se produisant après minuit et se voient octroire un nom de fichier {prefix}{date}{suffix}, dans lequel le format de la date est de type AAAA-MM-JJ. Pour autoriser la désactivation des échanges de fichiers journaux Tomcat, le paramètre rotatable a été ajouté. Si ce paramètre est défini sur false, le fichier journal ne sera pas mis en rotation et le nom du fichier sera sous le format {prefix}{suffix}. La valeur par défaut est true.

cups prend en charge le basculement

Il est désormais possible de diriger des tâches vers une seule imprimante avec un basculement vers d'autres imprimantes au lieu d'utiliser l'équilibrage des charges entre imprimantes intégré à CUPS. Les tâches peuvent être dirigées vers la première imprimante fonctionnant dans un ensemble, vers l'imprimante préférée, et les autres imprimantes peuvent être utilisées si l'imprimante préférée est indisponible uniquement.

openssh prend en charge l'ajustement des requêtes LDAP

Les administrateurs peuvent désormais ajuster les requêtes LDAP (« Lightweight Directory Access Protocol ») pour obtenir des clés publiques de serveurs utilisant des schémas différents.

La description d'ErrorPolicy a été ajoutée à la page du manuel cupsd.conf(5)

La description de la directive ErrorPolicy avec des valeurs prises en charge a été ajoutée à la page du manuel cupsd.conf(5). La directive ErrorPolicy définit la politique par défaut utilisée lorsqu'un serveur d'arrière-plan est incapable d'envoyer une tâche d'impression à l'imprimante.

Les protocoles SSL autorisés sont configurables dans dovecot

Avec cette mise à jour, il est possible de configurer quels protocoles SSL (« Secure Sockets Layer ») dovecot autorise. Par exemple, les utilisateurs peuvent désactiver les connexions SSLv3, limitant ainsi l'impact de la vulnérabilité POODLE. En raisons de préocupations de sécurité, SSLv2 et SSLv3 sont désormais désactivés par défaut, et doivent être autorisés manuellement si l'utilisateur les nécessite.

Openssh prend en charge les caractère génériques pour l'option PermitOpen

L'option PermitOpen dans le fichier sshd_config prend désormais en charge les caractères génériques.

tomcatjss prend en charge les versions 1.1 et 1.2 de TLS

Tomcat a été mis à jour pour prendre en charge les versions 1.1 et 1.2 du protocole de chiffrement TLS (« Transport Layer Security ») (TLSv1.1, et TLSv1.2) en utilisant les services de sécurité Java (« Java Security Services »).

squid prend en charge le masquage ou la réécriture des en-têtes HTTP

Les paquets squid sont désormais créés avec l'option --enable-http-violations et permettent à l'utilisateur de masquer ou de réécrire des en-têtes HTTP.

bind prend en charge RPZ-NSIP et RPZ-NSDNAME

Il est désormais possible d'utiliser des enregistrements RPZ-NSIP et RPZ-NSDNAME avec RPZ (« Response Policy Zone ») dans la configuration BIND.

Openssh prend en charge l'application forcée des permissions exactes sur les fichiers téléversés

Avec cette mise à jour, OpenSSH peut forcer des permissions exactes sur des fichiers nouvellement téléversés à l'aide du protocole SFTP (« Secure File Transfer Protocol »).

Mailman inclut désormais des fonctionnalités de limitation DMARC améliorées

Avec cette mise à jour, Mailman présente plusieurs améliorations des fonctionnalités de limitation DMARC (« Domain-based Message Authentication, Reporting & Conformance »). Par exemple, Mailman peut être configuré pour reconnaître l'alignement de l'envoyeur pour les signatures DKIM (« Domain Key Identified Mail ») et est désormais capable de correctement gérer les messages transférés depuis des domaines avec une politique DMARC de rejet (« reject »).