章 9. 伺服器與服務

預設的 httpd 配置會限制使用加密組

透過這次更新,httpd 網站伺服器的 mod_ssl 模組之預設配置不再支援使用 DES、IDEA 或 SEED 加密演算法則的 SSL 加密組(cipher suite)。

可在 Cyrus IMAP 伺服器中配置 SSL 通訊協定

透過這次更新,使用者能配置 Cyrus IMAP 所允許的 SSL 通訊協定。舉例來說,使用者可以停用 SSLv3 連線,以降低 POODLE 弱點的影響。

現在 dstat 指令支援符號連結

dstat 指令更為精進,支援符號連結作為參數。這能讓使用者動態指定開機裝置名稱,以確保 dstat 在熱插拔與類似操作後,能顯示正確的資訊。請注意,符號連結必須在 /dev/disk/ 目錄中指定,指令必須使用完整路徑。

rng-tools 已更新至第 5 版

rng-tools 套件提供了使用者空間應用程式所使用的亂數產生器,這套件已經更新至上游版本 5。這項更新能讓 Intel x86 與以 Intel 64 為基礎的 EM64T/AMD64 處理器在預設上使用亂數產生器 daemon(rngd),並善用 RDRAND 硬體亂數產生器指令集所提供的熵值。這項加強功能也增加了 Intel 硬體架構(尤其是伺服器應用程式)的效能與安全性。

加強 nm-connection-editor

nm-connection-editor 更為精進,提供了更容易編輯 IP 位址與路由器的方法。除此之外,這程式還會自動偵測、標出任何錯字與錯誤的配置。

現在 ypbind 可以設定為特定的重新綁定間隔

傳統上,NIS 綁定程序 ypbind 會每 15 分鐘檢查何者是最快的 NIS 伺服器;然而,許多防火牆的預設逾時值是 10 分鐘。這會導致 ypbind 試圖重新綁定時,遇到間歇性的失敗。這項更新新增了可調整參數 -rypbind,設定重新綁定的間隔,單位為秒。

squid 套件已大幅升級

squid 套件已更新至上游版本 3.1.23,並修正了一些錯誤、增強了若干功能。其中較重要的,是新增了對 HTTP/1.1 POST 與 PUT 回應、但沒有內容至 squid 訊息的支援。

現在 dhcpd 能處理 dhcp 選項 97:用戶端機器識別子(pxe-client-id)

現在可以根據用戶端以選項 97 所發送的識別子,保留(靜態分配)IP 位址給特定用戶端。例如:
host pixi {   option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff;   fixed-address 1.2.3.4; }

現在可以停用 Tomcat 的日誌檔輪替功能

就預設值,Tomcat 的日誌檔案會在經過午夜後第一次寫入時被輪替,檔案名稱為 {prefix}{date}{suffix},其中 date 的格式為 YYYY-MM-DD。現在加入了 rotatable 參數,以提供停用 Tomcat 日誌檔案的輪替功能。如果此參數設為 false,日誌檔案就不會被輪替,檔名會是 {prefix}{suffix}。預設值為 true

cups 支援備援功能

現在可以將列印工作從擁有備援功能的單一印表機,轉移到其它印表機上,而不是使用 CUPS 內建的負載平衡印表機。列印工作可以轉移到一組印表機的第一台可用印表機,即首選印表機;其它印表機只有在首選印表機不能使用時,才會用到。

openssh 可調整 LDAP 查詢

管理者現在可以調整 LDAP 的查詢,以取得使用不同 schema 的伺服器之公開金鑰。

ErrorPolicy 的描述已新增至 cupsd.conf(5) man page

ErrorPolicy 指示的描述與支援的值已經加入 cupsd.conf(5) 的 man page。ErrorPolicy 指示定義了預設政策,用於後端無法發送列印工作至印表機時。

允許配置 dovecot 中的 SSL 通訊協定

透過這次更新,使用者可以配置 dovecot 允許的 SSL 通訊協定。舉例來說,使用者可以停用 SSLv3 連線,以降低 POODLE 弱點的影響。由於安全性考量,SSLv2 與 SSLv3 預設上都是停用的;使用者若需要用到這兩個版本,需手動啟用。

openssh 的 PermitOpen 選項支援萬用字元

sshd_config 檔案的 PermitOpen 選項現在支援萬用字元。

tomcatjss 支援 TLS 1.1 與 1.2

Tomcat 已升級,支援 TLS 加密通訊協定 1.1 版(TLSv1.1)與使用 Java 安全服務的 1.2 版(TLSv1.2)。

squid 支援隱藏或改寫 HTTP 表頭

現在 squid 套件已包括 --enable-http-violations 選項,允許使用者隱藏或改寫 HTTP 表頭。

bind 支援 RPZ-NSIP 與 RPZ-NSDNAME

現在在 BIND 配置中,RPZ(回應政策區,response policy zone)已可搭配 RPZ-NSIP 與 RPZ-NSDNAME 紀錄使用。

上傳檔案時,強制使用同樣的存取權限

透過這次更新,OpenSSH 會強制透過 SFTP 上傳的新檔案,有著完全一樣的存取權限。

現在 Mailman 納入了加強型的 DMARC 減緩功能

透過這次更新,Mailman 推介了加強型 DMARC 的消除功能。舉例來說,Mailman 配置後可以辨識 DKIM 數位簽章的發送者是否一致,正確處理來自網域、擁有 reject DMARC 政策的轉送訊息。