Show Table of Contents
logrotate 程序中的新
不再将
基于算法的 SEED 和 IDEA 仅限于
现在,默认在
第 13 章 服务器和服务
已验证 ErrorPolicy 指令
ErrorPolicy 配置指令以前在启动时并未生效,而是使用了计划之外的默认错误策略且没有警告。现在这个指令在启动时已生效,如果配置的值不正确还会重置为默认选项。或者使用计划中的策略,或者登记一条警告信息。
CUPS 现在默认会禁用 SSLv3 加密
以前在 CUPS 调度程序中无法禁用 SSLv3 加密,这使其容易受到 SSLv3 的攻击。为解决这个问题,我们扩展了
cupsd.conf SSLOptions 关键字以包含两个新的选项:AllowRC4 和 AllowSSL3,两者都启用了 cupsd 中的命名功能。/etc/cups/client.conf 文件也支持这些新的选项。现在默认会禁用 cupsd 的 RC4 和 SSL3。
cups 现在允许在打印机名称中使用下划线
cups 服务现在运行用户在本地打印机名称中包含下划线(_)。
从 tftp-server 软件包中删除了不需要的依赖关系
之前,在安装 tftp-server 软件包时都默认安装了一个额外的软件包。在这次更新后,这个多余的软件包依赖关系已被删除,安装 tftp-server 时不会再默认安装不需要的软件包。
删除已废弃的 /etc/sysconfig/conman 文件
在引入
systemd 管理器前,可在 /etc/sysconfig/conman 文件中配置各种服务限制。迁移到 systemd 后已不再使用/etc/sysconfig/conman,因此将其删除。要设置限制和其他守护进程参数,如 LimitCPU=、LimitDATA= 或 LimitCORE=,请编辑 conman.service 文件。详情请参考 systemd.exec(5) 的手册页。此外,还在 systemd.service 文件中添加了一个新的 LimitNOFILE=10000 变量。默认注释出这个变量。注:修改 systemd 配置后,必须执行 systemctl daemon-reload 命令以便修改生效。
mod_nss 恢复至 1.0.11
将 mod_nss 软件包升级至上游版本 1.0.11,该版本提供大量针对上一个版本的程序错误修复和增强。值得注意的是现在
mod_nss 可启用 TLSv1.2,并完全删除 SSLv2。另外,添加了被认为是最安全的密码支持。
现在 vsftpd 守护进程支持 DHE 和 ECDHE 密码套件
现在
vsftpd 守护进程支持基于 Diffie–Hellman 交换(DHE)和椭圆 Diffie–Hellman 交换(ECDHE)密钥交换协议的密钥套件。
现在可为使用 sftp 上传的文件设置权限
不一致的用户环境和严格的
umask 设置可造成在使用 sftp 程序上传时无法访问文件。使用这个更新,管理员可以为使用 sftp 命令上传的文件强制设置具体权限,因此避免了上述问题。
现在可以调节使用 ssh-ldap-helper 的 LDAP 查询
不是所有的 LDAP 服务器都如预期由
ssh-ldap-helper 工具使用默认架构。这个更新可让管理员调节由 ssh-ldap-helper 使用的 LDAP 查询,以便从使用不同架构的服务器中获取公钥。默认功能仍无法使用。
logrotate 程序中的新 createolddir 指令
添加了新的 logrotate
createolddir 指令,可自动生成 olddir 目录。详情请查看 logrotate(8) 手册页。
不再将 /etc/cron.daily/logrotate 中的出错信息重新指向 /dev/null
现在会将
logrotate 每日 cronjob 生成的出错信息发送到 root 用户,而不是静默忽略。另外,会将 /etc/cron.daily/logrotate 脚本中 RPM 中标记为配置文件。
基于算法的 SEED 和 IDEA 仅限于 mod_ssl
限制了默认在 Apache HTTP 服务器的
mod_ssl 模块中启用的加密套件,以提高安全性。mod_ssl 的默认配置中不再启用基于 SED 和 IDEA 的加密算法。
Apache HTTP 服务器现在支持 UPN
现在可将保存在 SSL/TLS 客户端证书中
subject alternative name 部分的名称,比如微软用户主体名,用于 SSLUserName 指令,也可在 mod_ssl 环境变量中使用。用户现在可以使用其通用访问卡(Common Access Card,CAC)或附带 UPN 的证书进行验证,并使用其 UPN 验证用户信息,并由 Apache 中的访问控制使用,也可以在应用程序中使用 REMOTE_USER 环境变量或类似机制。现在,用户可使用 UPN 为验证设置 SSLUserName SSL_CLIENT_SAN_OTHER_msUPN_0。
现在,默认在 mod_dav_fs 模块中启用 mod_dav 锁定数据库
现在如果载入 Apache HTTP
mod_dav_fs 模块,则默认启用 mod_dav 锁定数据库。可使用 DAVLockDB 配置指令覆盖默认位置 ServerRoot/davlockdb。
mod_proxy_wstunnel 现在支持 WebSockets
现在默认启用 Apache HTTP
mod_rewritemod_proxy_wstunnel 模块,它支持方案 wss:// 的 SSL 连接。另外,还可以在 mod_rewrite 指令中使用 ws:// 方案。这样可使用 WebSockets 作为 mod_rewrite 的目标,并在代理服务器模块中启用 WebSockets。