第 9 章 服务器和服务

默认 httpd 配置中的限制密码套件

在这个更新中,httpd 网页服务器中的 mod_ssl 模块的默认配置不再支持使用单一 DES、IDEA 或 SEED 加密算法的 SSL 密码套件。

允许在 Cyrus IMAP 服务器中配置 SSL 协议

使用这个更新可配置 Cyrus IMAP 服务器允许的安全套接字层(SSL)。例如:用户可禁用 SSLv3 连接,并因此减小 POODLE 漏洞的影响。

dstat 命令现在支持符号链接

已改进 dstat 命令,支持使用符号链接作为其参数。这样可让用户动态指定引导设备名称,保证 dstat 在热插拔和类似操作后显示正确信息。注:必须在 /dev/disk/ 目录中指定符号链接,且在该命令中必须使用完整路径。

将 rng-tools 恢复到版本 5

已将提供随机数字生成器用户空间程序 rng-tools 软件包升级为 upstream 版本 5。这个更新可在 Intel x86- 和基于 Intel 64 的 EM64T/AMD64 CPU 型号中默认启用随机数字生成器守护进程(rngd),并利用 RDRAND 硬件随机数字生成器指令提供的熵。增强的更新还会增加 Intel 架构硬件的性能和安全性,特别是服务器应用程序。

加强 nm-connection-editor

这个更新加强了 nm-connection-editor 功能,现在提供更简便的 IP 地址和路由编辑。此外,nm-connection-editor 还尝试自动探测并标出所有拼写错误和错误配置。

现在可以将 ypbind 设定为具体重新绑定间隔

NIS 绑定进程 ypbind 一般是每 15 分钟查看最快的 NIS 服务器,但很多防火墙的默认超时时间为 10 分钟。这样 ypbind 在尝试重新绑定时会造成间歇性失败。这个更新为 ypbind 添加了可调节选项 -r,以便以秒为单位设定具体重新绑定间隔。

恢复 squid 软件包

已将 squid 软件包升级至 upstream 版本 3.1.23,与上一个版本相比,该版本提供大量 bug 修复和改进。此外,这个更新还添加了 HTTP/1.1 POST 和 PUT 响应支持,但不会再 squid 中添加信息。

dhcpd 可处理 dhcp 选项 97 - 客户端机器识别符(pxe-client-id)

现在可以根据发送到选项 97 中的具体客户端的识别符为其保留(静态分配)IP 地址。例如:
host pixi {   option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff;   fixed-address 1.2.3.4; }

现在可禁用 Tomcat 日志文件轮换

默认情况下,Tomcat 日志文件在网页后首次执行写入操作后轮换,并将该文件命名为 {prefix}{date}{suffix},其中 date 格式为 YYYY-MM-DD。为允许禁用 Tomcat 日志文件轮换添加了参数 rotatable。如果将该参数设定为 false,则不会轮换日志文件,且其文件名为 {prefix}{suffix}。默认值为 true

cups 支持故障转移

现在可将单一打印机中的直接任务故障转移至其他打印机中,而不是使用 CUPS 中内置的打印机负载平衡功能。可将任务直接指向第一个工作打印机,即首选打印机,而其他打印机只在首选打印机无法工作时使用。

openssh 支持调整 LDAP 查询

管理员现在可以调整轻型目录访问协议(LDAP)查询,以便从使用不同架构的服务器中获取公钥。

在 cupsd.conf(5) Manual Page 中添加 ErrorPolicy 描述

已在 cupsd.conf(5) 手册页中添加附带支持值的 ErrorPolicy 指令描述。ErrorPolicy 指令规定当后端无法向打印机发送打印任务时使用的默认策略。

允许在 dovecot 中配置 SSL 协议

使用这个更新可配置 dovecot 允许的安全套接字层(SSL)。例如:用户可禁用 SSLv3 连接,并因此减小 POODLE 漏洞的影响。出于安全考虑,现在还默认禁用 SSLv2 和 SSLv3,如果用户需要它们,则需手动启用。

openssh 支持在 PermitOpen 选项中使用通配符

sshd_config 文件中的 PermitOpen 选项现在支持通配符。

tomcatjss 支持 TLS 版本 1.1 和 1.2

已将 Tomcat 更新为支持使用 Java 安全服务的传输层安全性加密协议版本 1.1(TLSv1.1)和传输层安全性加密协议版本 1.2(TLSv1.2)。

squid 支持隐藏或重新写入 HTTP 标头

Squid 软件包现在内置 --enable-http-violations 选项,并允许用户隐藏或重新写入标头。

bind 现在支持 RPZ-NSIP 和 RPZ-NSDNAME

现在可在 BIND 配置的响应策略区(RPZ)中使用的 RPZ-NSIP 和 RPZ-NSDNAME 记录。

openssh 支持上传文件中的强制权限

在这个更新中,OpenSSH 可以使用安全文件传输协议(SFTP)为新上传的文件强制提供权限。

Mailman 现在包含加强的 DMARC 缓解功能

在这个更新中,Mailman 引进了一些加强的基于域的信息认证、报告 & 一致性(DMARC)缓解功能。例如:可将 Mailman 配置将发信人与域名密钥识别邮件(DKIM)签名对应,同时现在可以正确处理来自使用 reject DMARC 策略域转发的信息。