Capítulo 9. Servidores y servicios
Paquetes de cifras restringidas en una configuración httpd predeterminada.
En esta actualización, la configuración predeterminada del módulo mod_ssl en el servidor web httpd ya no permite soporte para paquetes de cifras SSL, mediante los algoritmos cifrados individuales DES, IDEA, o SEED.
Protocolos SSL configurables permitidos en el servidor Cyrus IMAP
En esta actualización, es posible configurar cuáles protocolos de Capa de sockets seguros (SSL) acepta el servidor Cyrus IMAP. Por ejemplo, los usuarios pueden desactivar conexiones SSLv3 y por lo tanto, mitigar el impacto de la vulnerabilidad POODLE.
El comando dstat ahora soporta enlaces simbólicos
El comando
dstat ha sido mejorado para soportar el uso de enlaces simbólicos como valores de parámetros. Esta acción le permite a los usuarios especificar de forma dinámica el nombre de dispositivos de arranque, el cual garantiza que dstat muestra información correcta después de correcciones en caliente y operaciones similares. Observe que los enlaces simbólicos deben especificarse en el directorio /dev/disk/ y se debe utilizar la ruta completa con el comando.
rng-tools se rebasa a la versión 5
Los paquetes rng-tools, que proporcionan herramientas de espacio de usuario de generador numérico aleatorio, han sido actualizadas a la versión 5 de la corriente de desarrollo principal. Esta actualización habilita de forma predeterminada al demonio generador de números aleatorios (rngd) en los modelos de CPU EM64T/AMD64 basados en Intel x86- e Intel 64 y aprovecha la entropía provista por la instrucción del generador numérico aleatorio RDRAND. Esta actualización también aumenta el rendimiento y seguridad en el hardware de arquitectura Intel, en particular, en las aplicaciones de servidor.
Mejoras para nm-connection-editor
Esta actualización mejora nm-connection-editor, para facilitar modificaciones a direcciones IP y rutas. Además, intenta detectar y resaltar automáticamente los errores tipográficos y configuraciones erradas.
ypbind ahora puede establecerse para especificar intervalos rebind
El proceso de vinculación NIS
ypbind tradicionalmente buscaba el servidor NIS más eficaz cada 15 minutos, sin embargo, muchos cortafuegos tienen un tiempo de espera predeterminado de 10 minutos. Esto se debe a fallas intermitentes de ypbind cuando tratan de vincular. Esta actualización agrega una opción ajustable, -r, a ypbind que permite establecer un intervalo específico de revinculación en segundos.
Rebase de los paquetes squid
Los paquetes squid han sido actualizados a la versión 3.1.23 de la corriente principal de desarrollo, la cual proporciona correcciones de errores y mejoras con respecto a la versión anterior. Entre otras, esta actualización añade el soporte para las respuestas HTTP/1.1 POST y PUT sin ningún cuerpo de mensaje para squid.
dhcpd maneja la opción 97 dhcp - Identificador de máquina de cliente (pxe-client-id)
Ahora es posible reservar (asignar de forma estática) direcciones IP para un cliente específico, con base en el identificador enviado en la opción 97; por ejemplo:
host pixi { option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff; fixed-address 1.2.3.4; }La rotación del archivo de registro Tomcat ahora puede ser desactivado
Los archivos de registro Tomcat se rotan de forma predeterminada en la primera operación de escritura que ocurra después de media noche y reciben el nombre de archivo {prefix}{date}{suffix}, donde el formato para
date es AAAA-MM-DD. Para permitir que la rotación de archivos Tomcat sea desactivada, se ha agregado el parámetro rotatable. Si este parámetro se establece a false, el archivo de registro no se rotará y será {prefix}{suffix}. El valor predeterminado es true.
Cups soporta conmutación
No es posible dirigir tareas a una sola impresora mediante conmutación a otras impresoras, en lugar de usar el equilibrio de carga entre impresoras que viene incorporado en CUPS. Las tareas pueden dirigirse a la primera impresora del conjunto, la preferida, y solamente usar alguna otra si la preferida no está disponible.
openssh soporta el ajuste de solicitudes LDAP
Los administradores ahora pueden ajustar la solicitudes del Protocolo de acceso de directorio liviano (LDAP) para obtener llaves públicas desde servidores que usan un esquema diferente.
Se agregó descripción de ErrorPolicy a la página de manual cupsd.conf(5).
Se agregó la descripción de la directiva ErrorPolicy con valores soportados, a la página de manual cupsd.conf(5). La directiva ErrorPolicy define la política predeterminada utilizada cuando el backend no puede enviar una tarea de impresión a la impresora.
Protocolos SSL configurables permitidos en dovecot
En esta actualización, es posible configurar los protocolos de capa de sockets seguros, SSL que acepta dovecot. Por ejemplo, los usuarios pueden desactivar las conexiones SSSLv3 y así mitigar el impacto de la vulnerabilidad POODLE. Por motivos de seguridad, SSLv2 y SSLv3 ahora están desactivados de forma predeterminada y deben ser autorizados de forma manual si el usuario los necesita.
openssh soporta comodines para la opción PermitOpen
La opción PermitOpen en el archivo sshd_config ahora soporta comodines.
tomcatjss soporta las versiones TLS 1.1 y 1.2
Tomcat ha sido actualizado para soportar la versión 1.1 del protocolo criptográfico de Seguridad de capa de transporte (TLSv1.1) y la versión 1.2 del protocolo criptográfico de Seguridad de capa de transporte (TLSv1.2) mediante Servicios de seguridad Java.
squid soporta la posibilidad de ocultar o rescribir encabezados HTTP
Los paquetes squid ahora se construyen con la opción
--enable-http-violations y permiten al usuario ocultar o rescribir encabezados HTTP.
bind soporta RPZ-NSIP y RPZ-NSDNAME
Ahora se pueden usar registros RPZ-NSIP y RPZ-NSDNAME con Zona de política de respuesta (RPZ) en la configuración BIND.
openssh soporta la imposición de permisos exactos en archivos cargados
En esta actualización, OpenSSH puede imponer los permisos exactos en archivos cargados recientemente con el Protocolo de transferencia de archivos seguros (SFTP).
Mailman ahora incluye funcionalidades de mitigación DMARC
Con esa actualización, Mailman introduce varias funcionalidades de mitigación mejoradas: Domain-based Message Authentication, Reporting & Conformance (DMARC). Por ejemplo, Mailman ahora puede configurarse para reconocer la alineación del Remitente para firmas de Correo identificado por claves de dominio (DKIM) y está disponible para manejar correctamente mensajes enviados desde dominios con una política DMARC
reject.
