Capítulo 13. Servidores e Serviços

A diretiva ErrorPolicy está agora validada

A diretiva de configuração ErrorPolicy não estava validada mediante inicialização e uma política de erro padrão não intencional poderia ser usada sem aviso. A diretiva está validada agora mediante inicialização e restauração como padrão, caso o valor configurado esteja incorreto. A polícia proposta é usada ou uma mensagem de aviso é registrada.

CUPS desabilita a criptografia SSLv3 por padrão

Anteriormente, não era possível desabilitar a criptografia SSLv3 no agendador CUPS, deixando-o vulnerável a ataques contra SSLv3. Para resolver este problema, a palavra-chave cupsd.conf SSLOptions foi estendida para incluir duas novas opções, AllowRC4 e AllowSSL3, ambas permitindo o recurso nomeado no arquivo cupsd. As novas opções também possuem suporte no arquivo /etc/cups/client.conf. A medida padrão agora é desabilitar tanto RC4 e SSL3 para cupsd.

cups permite sublinhado em nomes de impressora.

O serviço cups agora permite aos usuários incluir o caractere de sublinhado (_) nos nomes de impressora locais.

Dependências desnecessárias removidas do pacote tftp-server

Anteriormente, um pacote adicional era instalado por padrão durante a instalação do pacote tftp-server. Com esta atualização, a dependência do pacote supérfluo foi removida e o pacote desnecessário não é mais instalado por padrão durante a instalação do tftp-server.

O arquivo /etc/sysconfig/conman preterido foi removido

Antes de introduzir o gerenciador systemd, vários limites para os serviços podiam ser configurados no arquivo /etc/sysconfig/conman. Após migrar para systemd, /etc/sysconfig/conman passou a não ser mais usado e, portanto, foi removido. Para estabelecer limites e outros parâmetros daemon, tais como LimitCPU=, LimitDATA= ou LimitCORE=, edite o arquivo conman.service. Para mais informações, consulte a página manual systemd.exec(5). Além disso, uma nova variável LimitNOFILE=10000 foi adicionada ao arquivo systemd.service e está convertida em comentário por padrão. Observe que após fazer quaisquer alterações à configuração systemd, o comando systemctl daemon-reload precisa ser executado para que as alterações passem a funcionar.

Rebase do mod_nss para a versão 1.0.11

mod_nss packages foi atualizado para a versão upstream 1.0.11, a qual fornece várias correções de erros e aprimoramentos em relação à versão anterior. mod_nss agora habilita, em especial, TLSv1.2 e SSLv2 foi completamente removido. Além disto, foi adicionado suporte para codificações geralmente consideradas mais seguras.

O daemon vstfpd fornece suporte aos conjuntos de codificação DHE e ECDHE

O daemon vsftpd agora fornece suporte aos conjuntos de codificação baseados no protocolo de troca de chaves Diffie–Hellman Exchange (DHE) e Elliptic Curve Diffie–Hellman Exchange (ECDHE).

Permissões podem ser definidas para arquivos carregados com sftp

Os ambientes de usuários inconsistentes e as configurações umask estritas podiam resultar em arquivos inacessíveis durante o carregamento ao fazer uso do utilitário sftp. Com esta atualização, o administrador é capaz de forçar permissões exatas para os arquivos carregados usando sftp, evitando, assim, o problema descrito.

Consultas LDAP usadas por ssh-ldap-helper podem ser ajustadas

Nem todos os servidores LDAP utilizam um esquema padrão como esperado pela ferramenta ssh-ldap-helper. Esta atualização permite que o administrador ajuste a consulta LDAP usada por ssh-ldap-helper para obter chaves públicas de servidores usando um esquema diferente. A funcionalidade padrão mantém-se inalterada.

Nova diretiva createolddir no utilitário logrotate

Uma nova diretiva createolddir no logrotate foi adicionada para habilitar a criação automática do diretório olddir. Para mais informações, consulte a página manual logrotate(8).

As mensagens de erro do /etc/cron.daily/logrotate não são mais redirecionadas a /dev/null

As mensagens de erro geradas por cronjob diários do logrotate agora são enviadas ao usuário root em vez de serem descartadas silenciosamente. Além disto, o script /etc/cron.daily/logrotate é marcado como um arquivo de configuração no RPM.

Algoritmos baseados em SEED e IDEA estão restritos em mod_ssl

Os conjuntos de codificações habilitados por padrão no módulo mod_ssl do Apache HTTP Server foram restringidos para melhorar a segurança. Os algoritmos de criptografia baseada em SEED e IDEA não são mais habilitados na configuração padrão do mod_ssl.

Apache HTTP Server passa a fornecer suporte a UPN

Os nomes armazenados na porção subject alternative name dos certificados de cliente SSL/TLS, como o Microsoft User Principle Name, podem ser usados agora a partir da diretiva SSLUserName e estão disponíveis nas variáveis de ambiente mod_ssl. Os usuários podem agora ser autenticados com seus Common Access Card (CAC) ou certificados com um UPN dentro e ter seus UPN usados como informações de usuário autenticado - consumidos por ambos, o controle de acesso no Apache e usando a variável de ambiente REMOTE_USER ou um mecanismo semelhante nos aplicativos. Como resultado, os usuários podem agora definir SSLUserName SSL_CLIENT_SAN_OTHER_msUPN_0 para autenticação usando UPN.

O banco de dados de bloqueio mod_dav está habilitado por padrão no módulo mod_dav_fs

O banco de dados de bloqueio mod_dav passa a ser habilitado por padrão agora, se o módulo mod_dav_fs do Apache HTTP estiver carregado. O local padrão ServerRoot/davlockdb pode ser substituído usando a diretiva de configuração DAVLockDB.

mod_proxy_wstunnel passa a fornecer suporte a WebSockets

O módulo mod_proxy_wstunnel do Apache HTTP agora está habilitado por padrão e inclui suporte a conexões SSL no esquema wss://. Além disto, é possível usar o esquema ws:// nas diretivas mod_rewrite. Isto permite o uso de WebSockets como um destino para mod_rewrite e a habilitação de WebSockets no módulo proxy.