第 13 章 服务器和服务

已验证 ErrorPolicy 指令

ErrorPolicy 配置指令以前在启动时并未生效,而是使用了计划之外的默认错误策略且没有警告。现在这个指令在启动时已生效,如果配置的值不正确还会重置为默认选项。或者使用计划中的策略,或者登记一条警告信息。

CUPS 现在默认会禁用 SSLv3 加密

以前在 CUPS 调度程序中无法禁用 SSLv3 加密,这使其容易受到 SSLv3 的攻击。为解决这个问题,我们扩展了 cupsd.conf SSLOptions 关键字以包含两个新的选项:AllowRC4AllowSSL3,两者都启用了 cupsd 中的命名功能。/etc/cups/client.conf 文件也支持这些新的选项。现在默认会禁用 cupsd 的 RC4 和 SSL3。

cups 现在允许在打印机名称中使用下划线

cups 服务现在运行用户在本地打印机名称中包含下划线(_)。

从 tftp-server 软件包中删除了不需要的依赖关系

之前,在安装 tftp-server 软件包时都默认安装了一个额外的软件包。在这次更新后,这个多余的软件包依赖关系已被删除,安装 tftp-server 时不会再默认安装不需要的软件包。

删除已废弃的 /etc/sysconfig/conman 文件

在引入 systemd 管理器前,可在 /etc/sysconfig/conman 文件中配置各种服务限制。迁移到 systemd 后已不再使用/etc/sysconfig/conman,因此将其删除。要设置限制和其他守护进程参数,如 LimitCPU=、LimitDATA= 或 LimitCORE=,请编辑 conman.service 文件。详情请参考 systemd.exec(5) 的手册页。此外,还在 systemd.service 文件中添加了一个新的 LimitNOFILE=10000 变量。默认注释出这个变量。注:修改 systemd 配置后,必须执行 systemctl daemon-reload 命令以便修改生效。

mod_nss 恢复至 1.0.11

mod_nss 软件包升级至上游版本 1.0.11,该版本提供大量针对上一个版本的程序错误修复和增强。值得注意的是现在 mod_nss 可启用 TLSv1.2,并完全删除 SSLv2。另外,添加了被认为是最安全的密码支持。

现在 vsftpd 守护进程支持 DHE 和 ECDHE 密码套件

现在 vsftpd 守护进程支持基于 Diffie–Hellman 交换(DHE)和椭圆 Diffie–Hellman 交换(ECDHE)密钥交换协议的密钥套件。

现在可为使用 sftp 上传的文件设置权限

不一致的用户环境和严格的 umask 设置可造成在使用 sftp 程序上传时无法访问文件。使用这个更新,管理员可以为使用 sftp 命令上传的文件强制设置具体权限,因此避免了上述问题。

现在可以调节使用 ssh-ldap-helper 的 LDAP 查询

不是所有的 LDAP 服务器都如预期由 ssh-ldap-helper 工具使用默认架构。这个更新可让管理员调节由 ssh-ldap-helper 使用的 LDAP 查询,以便从使用不同架构的服务器中获取公钥。默认功能仍无法使用。

logrotate 程序中的新 createolddir 指令

添加了新的 logrotate createolddir 指令,可自动生成 olddir 目录。详情请查看 logrotate(8) 手册页。

不再将 /etc/cron.daily/logrotate 中的出错信息重新指向 /dev/null

现在会将 logrotate 每日 cronjob 生成的出错信息发送到 root 用户,而不是静默忽略。另外,会将 /etc/cron.daily/logrotate 脚本中 RPM 中标记为配置文件。

基于算法的 SEED 和 IDEA 仅限于 mod_ssl

限制了默认在 Apache HTTP 服务器的 mod_ssl 模块中启用的加密套件,以提高安全性。mod_ssl 的默认配置中不再启用基于 SED 和 IDEA 的加密算法。

Apache HTTP 服务器现在支持 UPN

现在可将保存在 SSL/TLS 客户端证书中 subject alternative name 部分的名称,比如微软用户主体名,用于 SSLUserName 指令,也可在 mod_ssl 环境变量中使用。用户现在可以使用其通用访问卡(Common Access Card,CAC)或附带 UPN 的证书进行验证,并使用其 UPN 验证用户信息,并由 Apache 中的访问控制使用,也可以在应用程序中使用 REMOTE_USER 环境变量或类似机制。现在,用户可使用 UPN 为验证设置 SSLUserName SSL_CLIENT_SAN_OTHER_msUPN_0

现在,默认在 mod_dav_fs 模块中启用 mod_dav 锁定数据库

现在如果载入 Apache HTTP mod_dav_fs 模块,则默认启用 mod_dav 锁定数据库。可使用 DAVLockDB 配置指令覆盖默认位置 ServerRoot/davlockdb

mod_proxy_wstunnel 现在支持 WebSockets

现在默认启用 Apache HTTP mod_rewritemod_proxy_wstunnel 模块,它支持方案 wss:// 的 SSL 连接。另外,还可以在 mod_rewrite 指令中使用 ws:// 方案。这样可使用 WebSockets 作为 mod_rewrite 的目标,并在代理服务器模块中启用 WebSockets。