Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
Глава 9. Серверы и службы
Ограничение на использование ослабленных наборов шифров в стандартной конфигурации httpd
Конфигурация модуля mod_ssl для httpd больше не использует ослабленные наборы шифров SSL на основе алгоритмов DES, IDEA, SEED, что снижает риск несанкционированного доступа к передаваемым данным.
Изменение протокола SSL на IMAP-сервере Cyrus
Новый параметр конфигурации позволяет изменить версию протокола SSL для связи с сервером Cyrus. Одним из вариантов его применения является возможность отключения SSLv3 с целью защиты каналов коммуникаций от уязвимости POODLE.
dstat поддерживает символьные ссылки
dstat
может принимать символьные ссылки в качестве аргументов, что делает возможным динамическое определение имени загрузочного устройства и гарантирует, что dstat
будет отражать актуальную информацию об устройствах. Значение должно содержать полный путь к файлу в /dev/disk/
.
Обновление rng-tools
Пакеты rng-tools, предоставляющие инструменты для генерации случайных чисел, были обновлены до версии 5. Теперь генератор случайный чисел rngb будет по умолчанию применяться на процессорах Intel x86 и Intel 64 EM64T/AMD64, что позволяет в полной мере воспользоваться преимуществами процессорного источника энтропии через инструкцию RDRAND. Это обновление повышает уровень производительности и защиты серверных приложений на оборудовании Intel.
Графическая реализация nm-connection-editor
Усовершенствования графического интерфейса nm-connection-editor призваны облегчить редактирование IP-адресов и маршрутов посредством визуального выделения опечаток и ошибок формата.
ypbind: интервал поиска серверов
ypbind
по умолчанию выполняет поиск активного сервера каждые 15 минут, однако для многих межсетевых экранов время ожидания ограничивается 10 минутами, поэтому попытка привязки к серверу периодически завершалась неудачей. В этом обновлении добавлен параметр -r
, с помощью которого можно контролировать интервал проверки, тем самым предотвратив конфликт с межсетевым экраном.
Обновление squid
Пакеты squid обновлены до версии 3.1.23 и включают ряд исправлений и дополнений. В частности, добавлена поддержка пустых ответов на запросы HTTP/1.1 POST и PUT.
dhcpd поддерживает опцию 97 (pxe-client-id)
Выделение статического IP-адреса теперь осуществляется корректно исходя из уникального идентификатора клиента, предоставленного опцией 97. Соответствующее определение в dhcpd.conf будет выглядеть примерно так:
host pixi { option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff; fixed-address 1.2.3.4; }
Отключение циклического ведения журналов Tomcat
По умолчанию циклический сдвиг журналов инициируется первой операцией записи после полуночи. При этом именование журналов происходит в соответствии со схемой {префикс}{дата}{суффикс}, где дата представлена в виде ГГГГ-ММ-ДД. Новый параметр
rotatable
позволяет отключить циклическое ведение журналов. Для этого ему надо присвоить значение false
, что также изменит схему именования файлов на {префикс}{суффикс}. По умолчанию rotatable
установлен в true
(циклическое ведение журналов включено).
Порядок выбора принтеров в CUPS
Раньше в случае сбоя принтера внутренний механизм CUPS распределял задания печати между другими принтерами этого класса по циклическому принципу. Теперь стало возможным явно определить порядок выбора принтеров. Так, например, задания могут отправляться на предпочтительный принтер, а в случае его отказа — на заданный резервный принтер.
OpenSSH допускает изменение запросов LDAP
Добавлена возможность определения фильтра для модификации запросов LDAP с целью получения открытых ключей с серверов, использующих другие схемы данных.
ErrorPolicy на справочной странице cupsd.conf(5)
Справочная страница cupsd.conf(5) была дополнена описанием директивы ErrorPolicy и ее возможных значений. ErrorPolicy определяет дальнейшие действия в случае ошибки при передаче задания печати принтеру.
Изменение протокола SSL в Dovecot
Новый параметр конфигурации позволяет изменить версию протокола SSL для связи с сервером Dovecot. Одним из вариантов его применения является возможность отключения SSLv3 с целью защиты каналов коммуникаций от уязвимости POODLE. Версии SSLv2 и SSLv3 по умолчанию отключены из соображений безопасности.
OpenSSH: поддержка подстановок в PermitOpen
Добавлена поддержка символов подстановки в значении параметра PermitOpen в файле sshd_config.
tomcatjss поддерживает TLS 1.1 и 1.2
В tomcatjss реализована поддержка версий протокола TLS 1.1 и 1.2.
Squid: удаление и модификация заголовков HTTP
Новый параметр
--enable-http-violations
позволяет изменить или скрыть заголовки HTTP из ответов.
BIND: поддержка RPZ-NSIP и RPZ-NSDNAME
Добавлена поддержка правил RPZ-NSIP и RPZ-NSDNAME для зон RPZ в конфигурации BIND.
OpenSSH: изменение разрешений для полученных файлов
OpenSSH допускает принудительное изменение разрешений для файлов, полученных по протоколу SFTP.
Mailman поддерживает расширенные функции DMARC
В обновленной версии Mailman усилена поддержка стандарта DMARC (Domain-based Message Authentication, Reporting and Conformance). Mailman теперь признает результат верификации отправителя письма в соответствии с подписью DKIM (Domain Key Identified Mail) и корректно обрабатывает сообщения, перенаправленные из доменов, на которых DMARC применяет политику
reject
.