Menu Close

8.5. ネットワーク

Red Hat Enterprise Linux 7 で、MD5 ハッシュアルゴリズムを使用した署名の検証が無効になる

MD5 で署名された証明書を必要とする WPA (Wi-Fi Protected Access) の AP (Enterprise Access Point) に接続することはできません。この問題を回避するには、wpa_supplicant.service ファイルを /usr/lib/systemd/system/ ディレクトリーから /etc/systemd/system/ ディレクトリーにコピーして、そのファイルの Service のセクションに以下の行を追加します。

Environment=OPENSSL_ENABLE_MD5_VERIFY=1

次に、root で systemctl daemon-reload コマンドを実行し、サービスファイルを再ロードします。

重要

MD5 証明書は安全性が非常に低いため、Red Hat は使用を推奨していません。

(BZ#1062656)

bind-utils DNS ルックアップユーティリティーがサポートする検索ドメインは glibc よりも少ない

bind-utils パッケージの dighost および nslookup DNS ルックアップユーティリティーがサポートする検索ドメインは最大 8 個であるのに対して、システムの glibc リゾルバーがサポートする検索ドメイン数に制限はありません。これにより、/etc/resolv.conf ファイルの検索にドメインが 8 個以上含まれる場合には、アプリケーションとは異なる結果が返される可能性があります。

この問題を回避するには、以下のいずれかを使用します。

  • フルネームをドットで終了させる
  • resolv.conf の検索句に含めるドメイン数を 8 個以下にする

3 つを超えるドメインを使用することは推奨されません。

(BZ#1758317)

BIND 9.11 ではクエリーロギングが有効な場合にクエリーエラーのログ重大度が変更される

BIND 9.11 の更新により、クエリーロギングが有効な場合に query-errors のログの重大度が debug 1 から info に変わります。その結果、エラーを説明する追加のログエントリーがクエリーログに表示されるようになりました。この問題を回避するには、/etc/named.conf ファイルの logging セクションに以下のステートメントを追加します。

category query-errors { default_debug; };

これにより、クエリーエラーがデバッグログに戻ります。

または、以下のステートメントを使用して、クエリーエラーメッセージをすべて破棄します。

category querry-errors { null; };

その結果、以前の BIND 9.9.4 リリースと同様の形式で、名前クエリーのみがロギングされます。

(BZ#1853191)

正引きゾーンcheck-names オプションが許可されていない場合に named-chroot サービスが起動に失敗する

以前のリリースでは、正引きゾーン 定義で check-names オプションの使用が許可されていました。

bind 9.11 にリベース。以下の zone タイプのみ:

  • master
  • slave
  • stub
  • hint

check-names ステートメントを使用します。

そのため、以前は 正引きゾーン 定義で許可されていた check-names オプションが受け入れられなくなり、named-chroot サービスの開始時に失敗します。この問題を回避するには、masterslavestub または hint を除き、すべての ゾーン タイプから check-names オプションを削除します。

これにより、named-chroot サービスがエラーなしで起動できるようになります。無視されたステートメントでは、提供されるサービスは変更されないことに注意してください。

(BZ#1851836)

NFQUEUE ターゲットによって queue-cpu-fanout フラグがオーバーライドされる

--queue-bypass および --queue-cpu-fanout オプションを使用した iptables の NFQUEUE ターゲットによって、--queue-cpu-fanout オプションが誤ってオーバーライドされます (--queue-bypass オプションの後に配置された場合)。つまり、--queue-cpu-fanout オプションが無視されます。

この問題を回避するには、--queue-cpu-fanout オプションの前に --queue-bypass オプションを配置し直します。

(BZ#1851944)