第13章 サーバーとサービス

ErrorPolicy ディレクティブの有効化

ErrorPolicy の設定ディレクティブは起動時に有効にならないため、意図しないデフォルトのエラーポリシーが警告なしに使用される場合がありました。ディレクティブが起動時に有効にされ、設定された値が誤っている場合にはデフォルト値にリセットされるようになります。意図したポリシーが使用される、または警告メッセージがログ記録されるようになります。

CUPS で SSLv3 の暗号化をデフォルトで無効にする

CUPS スケジューラーでは SSLv3 の暗号化は無効にできませんでした。このため SSLv3 に対する攻撃に脆弱性が残っていました。この問題を解決するため、cupsd.conf SSLOptions キーワードが拡張され AllowRC4AllowSSL3 の 2 種類の新しいオプションが含まれるようになります。このオプションによって cupsd 内の named 機能が有効になります。この新しいオプションは /etc/cups/client.conf ファイルでもサポートされています。デフォルトでは cupsd の RC4 と SSL3 の両方が無効になります。

cups でのプリンター名の下線文字の使用

cups サービスでローカルのプリンター名に下線文字 (_) を使えるようになります。

不要な依存性を tftp-server パッケージから削除

tftp-server パッケージをインストールすると追加パッケージがインストールされていました。本更新では不必要なパッケージの依存性が削除され、tftp-server のインストールで不要なパッケージはデフォルトではインストールされなくなります。

廃止予定の /etc/sysconfig/conman ファイルを削除

systemd マネージャーを導入する前はサービスに対する各種の制限は /etc/sysconfig/conman ファイルで設定することができました。systemd に移行してからは /etc/sysconfig/conmanが使用されなくなるため削除されていました。LimitCPU=、LimitDATA=、LimitCORE= などの制限や他のデーモンパラメーターを設定する場合は conman.service ファイルを編集します。詳細については systemd.exec(5) の man ページをご覧ください。また、新しい変数 LimitNOFILE=10000 が systemd.service ファイルに追加されています。この変数はデフォルトではコメントアウトされています。systemd 設定に何らかの変更を加えたら変更が反映されるよう必ず systemctl daemon-reload コマンドを実行してください。

mod_nss がバージョン 1.0.11 にリベース

mod_nss packages がアップストリームのバージョン 1.0.11 にアップグレードされ、旧バージョンに対するバグ修正および機能強化が行われています。特に、mod_nss が TLSv1.2 を有効にして、SSLv2 を完全に削除することができます。また、一般的に最も安全と考えられている暗号のサポートが追加されています。

vsftpd デーモンが DHE と ECDHE の暗号化スイートをサポート

vsftpd デーモンが、DHE (Diffie–Hellman Exchange) およびECDHE (Elliptic Curve Diffie–Hellman Exchange) キー交換プロトコルをベースとした暗号化スイートに対応するようになりました。

sftp でアップロードされたファイルにパーミッション設定が可能

sftp ユーティリティーを使ってアップロードをすると、ユーザー環境に一貫性がなく umask 設定が厳格な場合、ファイルにアクセスできなくなることがありました。今回の更新により、管理者は sftp を使ってアップロードしたファイルに正確なパーミッションを強制することができるようになったので、この問題を避けることができます。

ssh-ldap-helper が使用する LDAP クエリの調整が可能

ssh-ldap-helper ツールが予測するデフォルトのスキーマをすべての LDAP サーバーが使用するわけではありません。今回の更新により、管理者は、ssh-ldap-helper が使用する LDAP クエリを調整し、異なるスキーマを使用するサーバーからパブリックキーを取得できるようになりました。デフォルトの機能は、未処理のままになります。

logrotate ユーティリティーの新たな createolddir ディレクティブ

新たな logrotate createolddir ディレクティブが追加され、olddir ディレクトリーの自動作成が可能になりました。詳細情報は、logrotate(8) man ページを参照してください。

/etc/cron.daily/logrotate からのエラーメッセージが /dev/null にリダイレクトされない

logrotate の cronjob で毎日生成されるエラーメッセージが静的に破棄されず、root ユーザーに送信されるようになりました。さらに、/etc/cron.daily/logrotate スクリプトが RPM で設定ファイルとしてマークされます。

SEED および IDEA ベースのアルゴリズムを mod_ssl で制限

Apache HTTP サーバーの mod_ssl モジュールでデフォルトで有効になっている暗号化スイートが制限され、セキュリティーが改善されています。SEED および IDEA ベースの暗号化アルゴリズムは、mod_ssl のデフォルト設定では有効にされません。

Apache HTTP サーバーが UPN に対応

Microsoft User Principle Name など、SSL/TLS クライアント証明書の subject alternative name に保存される名前が SSLUserName ディレクティブから使用できるようになり、mod_ssl 環境変数で利用可能になりました。ユーザーは Common Access Card (CAC) または証明書の中にあるユーザープリンシパル名 (UPN) で認証し、UPN を認証済みユーザー情報として使用できるほか、Apache のアクセス制御で使用したり、REMOTE_USER 環境変数やアプリケーション内の同様のメカニズムに使用することが可能になっています。このため、ユーザーは UPN を使った認証に SSLUserName SSL_CLIENT_SAN_OTHER_msUPN_0 を設定できます。

mod_dav ロックデータベースが mod_dav_fs モジュールでデフォルトで有効

Apache HTTP mod_dav_fs モジュールが読み込まれている場合、mod_dav ロックデータベースがデフォルトで有効になります。デフォルトの場所である ServerRoot/davlockdb は、DAVLockDB 設定ディレクティブを使って上書きすることができます。

mod_proxy_wstunnel が WebSockets に対応

Apache HTTP mod_proxy_wstunnel モジュールがデフォルトで有効となり、wss:// スキームの SSL 接続に対応するようになりました。また、ws:// スキームを mod_rewrite ディレクティブで使用することも可能になっています。これにより、WebSockets を mod_rewrite のターゲットとして使用することができ、proxy モジュール内の WebSockets が有効になります。

Oracle データベースサーバー向けに最適化された Tuned プロファイルが含まれる

Oracle データベースのロード向けに特別に最適化された新しい oracle Tuned プロファイルが利用可能になりました。新しいプロファイルは tuned-profiles-oracle サブパッケージで提供されるため、関連する他のプロファイルを将来的に追加できます。oracle プロファイルは enterprise-storage プロファイルに基づきますが、Oracle データベースの要件に基づいてカーネルパラメーターが変更され、Transparent Huge Page が無効になります。