Show Table of Contents
logrotate 程序中的新
不再将
基于算法的 SEED 和 IDEA 仅限于
现在,默认在
第 13 章 服务器和服务
已验证 ErrorPolicy 指令
ErrorPolicy 配置指令以前在启动时并未生效,而是使用了计划之外的默认错误策略且没有警告。现在这个指令在启动时已生效,如果配置的值不正确还会重置为默认选项。或者使用计划中的策略,或者登记一条警告信息。
CUPS 现在默认会禁用 SSLv3 加密
以前在 CUPS 调度程序中无法禁用 SSLv3 加密,这使其容易受到 SSLv3 的攻击。为解决这个问题,我们扩展了
cupsd.conf SSLOptions 关键字以包含两个新的选项:AllowRC4 和 AllowSSL3,两者都启用了 cupsd 中的命名功能。/etc/cups/client.conf 文件也支持这些新的选项。现在默认会禁用 cupsd 的 RC4 和 SSL3。
cups 现在允许在打印机名称中使用下划线
cups 服务现在运行用户在本地打印机名称中包含下划线(_)。
从 tftp-server 软件包中删除了不需要的依赖关系
之前,在安装 tftp-server 软件包时都默认安装了一个额外的软件包。在这次更新后,这个多余的软件包依赖关系已被删除,安装 tftp-server 时不会再默认安装不需要的软件包。
删除已废弃的 /etc/sysconfig/conman 文件
在引入
systemd 管理器前,可在 /etc/sysconfig/conman 文件中配置各种服务限制。迁移到 systemd 后已不再使用/etc/sysconfig/conman,因此将其删除。要设置限制和其他守护进程参数,如 LimitCPU=、LimitDATA= 或 LimitCORE=,请编辑 conman.service 文件。详情请参考 systemd.exec(5) 的手册页。此外,还在 systemd.service 文件中添加了一个新的 LimitNOFILE=10000 变量。默认注释出这个变量。注:修改 systemd 配置后,必须执行 systemctl daemon-reload 命令以便修改生效。
mod_nss 恢复至 1.0.11
将 mod_nss 软件包升级至上游版本 1.0.11,该版本提供大量针对上一个版本的程序错误修复和增强。值得注意的是现在
mod_nss 可启用 TLSv1.2,并完全删除 SSLv2。另外,添加了被认为是最安全的密码支持。
现在 vsftpd 守护进程支持 DHE 和 ECDHE 密码套件
现在
vsftpd 守护进程支持基于 Diffie–Hellman 交换(DHE)和椭圆 Diffie–Hellman 交换(ECDHE)密钥交换协议的密钥套件。
现在可为使用 sftp 上传的文件设置权限
不一致的用户环境和严格的
umask 设置可造成在使用 sftp 程序上传时无法访问文件。使用这个更新,管理员可以为使用 sftp 命令上传的文件强制设置具体权限,因此避免了上述问题。
现在可以调节使用 ssh-ldap-helper 的 LDAP 查询
不是所有的 LDAP 服务器都如预期由
ssh-ldap-helper 工具使用默认架构。这个更新可让管理员调节由 ssh-ldap-helper 使用的 LDAP 查询,以便从使用不同架构的服务器中获取公钥。默认功能仍无法使用。
logrotate 程序中的新 createolddir 指令
添加了新的 logrotate
createolddir 指令,可自动生成 olddir 目录。详情请查看 logrotate(8) 手册页。
不再将 /etc/cron.daily/logrotate 中的出错信息重新指向 /dev/null
现在会将
logrotate 每日 cronjob 生成的出错信息发送到 root 用户,而不是静默忽略。另外,会将 /etc/cron.daily/logrotate 脚本中 RPM 中标记为配置文件。
基于算法的 SEED 和 IDEA 仅限于 mod_ssl
限制了默认在 Apache HTTP 服务器的
mod_ssl 模块中启用的加密套件,以提高安全性。mod_ssl 的默认配置中不再启用基于 SED 和 IDEA 的加密算法。
Apache HTTP 服务器现在支持 UPN
现在可将保存在 SSL/TLS 客户端证书中
subject alternative name 部分的名称,比如微软用户主体名,用于 SSLUserName 指令,也可在 mod_ssl 环境变量中使用。用户现在可以使用其通用访问卡(Common Access Card,CAC)或附带 UPN 的证书进行验证,并使用其 UPN 验证用户信息,并由 Apache 中的访问控制使用,也可以在应用程序中使用 REMOTE_USER 环境变量或类似机制。现在,用户可使用 UPN 为验证设置 SSLUserName SSL_CLIENT_SAN_OTHER_msUPN_0。
现在,默认在 mod_dav_fs 模块中启用 mod_dav 锁定数据库
现在如果载入 Apache HTTP
mod_dav_fs 模块,则默认启用 mod_dav 锁定数据库。可使用 DAVLockDB 配置指令覆盖默认位置 ServerRoot/davlockdb。
mod_proxy_wstunnel 现在支持 WebSockets
现在默认启用 Apache HTTP
mod_rewritemod_proxy_wstunnel 模块,它支持方案 wss:// 的 SSL 连接。另外,还可以在 mod_rewrite 指令中使用 ws:// 方案。这样可使用 WebSockets 作为 mod_rewrite 的目标,并在代理服务器模块中启用 WebSockets。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.