Глава 9. Серверы и службы

Ограничение на использование ослабленных наборов шифров в стандартной конфигурации httpd

Конфигурация модуля mod_ssl для httpd больше не использует ослабленные наборы шифров SSL на основе алгоритмов DES, IDEA, SEED, что снижает риск несанкционированного доступа к передаваемым данным.

Изменение протокола SSL на IMAP-сервере Cyrus

Новый параметр конфигурации позволяет изменить версию протокола SSL для связи с сервером Cyrus. Одним из вариантов его применения является возможность отключения SSLv3 с целью защиты каналов коммуникаций от уязвимости POODLE.

dstat поддерживает символьные ссылки

dstat может принимать символьные ссылки в качестве аргументов, что делает возможным динамическое определение имени загрузочного устройства и гарантирует, что dstat будет отражать актуальную информацию об устройствах. Значение должно содержать полный путь к файлу в /dev/disk/.

Обновление rng-tools

Пакеты rng-tools, предоставляющие инструменты для генерации случайных чисел, были обновлены до версии 5. Теперь генератор случайный чисел rngb будет по умолчанию применяться на процессорах Intel x86 и Intel 64 EM64T/AMD64, что позволяет в полной мере воспользоваться преимуществами процессорного источника энтропии через инструкцию RDRAND. Это обновление повышает уровень производительности и защиты серверных приложений на оборудовании Intel.

Графическая реализация nm-connection-editor

Усовершенствования графического интерфейса nm-connection-editor призваны облегчить редактирование IP-адресов и маршрутов посредством визуального выделения опечаток и ошибок формата.

ypbind: интервал поиска серверов

ypbind по умолчанию выполняет поиск активного сервера каждые 15 минут, однако для многих межсетевых экранов время ожидания ограничивается 10 минутами, поэтому попытка привязки к серверу периодически завершалась неудачей. В этом обновлении добавлен параметр -r, с помощью которого можно контролировать интервал проверки, тем самым предотвратив конфликт с межсетевым экраном.

Обновление squid

Пакеты squid обновлены до версии 3.1.23 и включают ряд исправлений и дополнений. В частности, добавлена поддержка пустых ответов на запросы HTTP/1.1 POST и PUT.

dhcpd поддерживает опцию 97 (pxe-client-id)

Выделение статического IP-адреса теперь осуществляется корректно исходя из уникального идентификатора клиента, предоставленного опцией 97. Соответствующее определение в dhcpd.conf будет выглядеть примерно так:
host pixi {   option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff;   fixed-address 1.2.3.4; }

Отключение циклического ведения журналов Tomcat

По умолчанию циклический сдвиг журналов инициируется первой операцией записи после полуночи. При этом именование журналов происходит в соответствии со схемой {префикс}{дата}{суффикс}, где дата представлена в виде ГГГГ-ММ-ДД. Новый параметр rotatable позволяет отключить циклическое ведение журналов. Для этого ему надо присвоить значение false, что также изменит схему именования файлов на {префикс}{суффикс}. По умолчанию rotatable установлен в true (циклическое ведение журналов включено).

Порядок выбора принтеров в CUPS

Раньше в случае сбоя принтера внутренний механизм CUPS распределял задания печати между другими принтерами этого класса по циклическому принципу. Теперь стало возможным явно определить порядок выбора принтеров. Так, например, задания могут отправляться на предпочтительный принтер, а в случае его отказа — на заданный резервный принтер.

OpenSSH допускает изменение запросов LDAP

Добавлена возможность определения фильтра для модификации запросов LDAP с целью получения открытых ключей с серверов, использующих другие схемы данных.

ErrorPolicy на справочной странице cupsd.conf(5)

Справочная страница cupsd.conf(5) была дополнена описанием директивы ErrorPolicy и ее возможных значений. ErrorPolicy определяет дальнейшие действия в случае ошибки при передаче задания печати принтеру.

Изменение протокола SSL в Dovecot

Новый параметр конфигурации позволяет изменить версию протокола SSL для связи с сервером Dovecot. Одним из вариантов его применения является возможность отключения SSLv3 с целью защиты каналов коммуникаций от уязвимости POODLE. Версии SSLv2 и SSLv3 по умолчанию отключены из соображений безопасности.

OpenSSH: поддержка подстановок в PermitOpen

Добавлена поддержка символов подстановки в значении параметра PermitOpen в файле sshd_config.

tomcatjss поддерживает TLS 1.1 и 1.2

В tomcatjss реализована поддержка версий протокола TLS 1.1 и 1.2.

Squid: удаление и модификация заголовков HTTP

Новый параметр --enable-http-violations позволяет изменить или скрыть заголовки HTTP из ответов.

BIND: поддержка RPZ-NSIP и RPZ-NSDNAME

Добавлена поддержка правил RPZ-NSIP и RPZ-NSDNAME для зон RPZ в конфигурации BIND.

OpenSSH: изменение разрешений для полученных файлов

OpenSSH допускает принудительное изменение разрешений для файлов, полученных по протоколу SFTP.

Mailman поддерживает расширенные функции DMARC

В обновленной версии Mailman усилена поддержка стандарта DMARC (Domain-based Message Authentication, Reporting and Conformance). Mailman теперь признает результат верификации отправителя письма в соответствии с подписью DKIM (Domain Key Identified Mail) и корректно обрабатывает сообщения, перенаправленные из доменов, на которых DMARC применяет политику reject.