第14章 サーバーとサービス
mod_nss がサーバー側の SNI をサポート
このアップデートでは、サーバーサイドのサーバー名表示(SNI)サポートが
mod_nss
パッケージ。 (BZ#1295490)
httpd
mod_rewrite
での root 以外のユーザーのサポート
ザ
mod_rewrite
Apache HTTP Serverに付属しているモジュールは、非rootユーザーとして外部マッピングプログラムを実行できるようになりました。これにより、セキュリティリスクが軽減されます。 mod_rewrite
非特権プロセスを使用することができるためです。 (BZ#1035230)
tomcat6 が disableURLRewriting をサポート
このアップデートでは、
disableURLRewriting
Tomcat 6サーブレットコンテナへの属性。この属性を使用すると、URL再書き込みを使用して特定のコンテキストのセッションIDを追跡するサポートを無効にすることができます。 (BZ#1221877)
tftp
サーバーのログ機能が拡張
改善されたロギングの結果、Trivial File Transfer Protocol(TFTP)サーバーは現在、成功と失敗を追跡できます。たとえば、クライアントがファイルのダウンロードを正常に終了すると、ログイベントが作成されます。
file not found
障害発生時にメッセージが表示されます。 (BZ#917817)
Squid
リモートホストのIPアドレスとポートを記録できます
以前のバージョンでは、
Squid
Webプロキシのキャッシュと転送には、ホスト名を含むURLを記録する機能がありました。しかしながら、 Squid
宛先サーバーのIPアドレスを記録できませんでした。このアップデートにより、 Squid
リモートホストのIPアドレスとポートをログに記録します。これは、複数のIPアドレスを持つホストを扱う場合に特に便利です。 (BZ#848124)
新しいignore-client-uidsオプション
クライアントマシンが異なるオペレーティングシステム(OS)を起動できる場合、各OSは異なるDHCPクライアント識別子(UID)を送信し、結果的にサーバから異なるIPアドレスを取得することができます。今、ユーザーは、そのマシンを現時点で稼働しているOSに関係なく、単一のエンティティーとして扱うようにサーバーを構成することができます
ignore-client-uids
オプション。
このオプションを使用すると、サーバーはクライアントのUIDをリースに記録しません。設定するには
ignore-client-uids
, 、次の行を /etc/dhcp/dhcpd.conf
ファイル:
ignore-client-uids true;
この構成により、クライアントのUIDは記録されません。このステートメントが存在しないか、falseまたはoffの値を持つ場合、クライアントUIDが記録されます。 (BZ#1196768)
A Tuned
Oracleデータベースサーバー用に最適化されたプロファイルが含まれています
新しい
oracle
Tuned
プロファイルは、Oracleデータベースの負荷に対して特に最適化されています。新しいプロファイルは、 tuned-profiles-oracle 他の関連するプロファイルを将来追加することができるようにする。ザ oracle
プロフィールは、 enterprise-storage
Oracleデータベースの要件に基づいてカーネル・パラメータを変更し、透過的な巨大なページをオフにします。 (BZ#1196294)
新しいパッケージ: squid34
新しいパッケージ squid34 バージョン3.4.14がリリースされました。このパッケージは、 squid パッケージ。 squid34 安定性を改善し、元々報告された複数のバグを修正 squid。
最も重要な新機能 squid34 以下を含みます:
- ヘルパープロトコル拡張
- SSLサーバー証明書検証ツール
- 店舗ID
- TPROXY OpenBSD 5.1以降、FreeBSD 9以降のサポート
- トランザクション注釈
- マルチキャストDNS(BZ#1265328)
BIND サーバーは CAA レコードをサポートします。
Berkeley Internet Name Domain(BIND)サーバーにCAA(Certification Authority Authorization)サポートが追加されました。これで、ユーザーはDNSレコードを指定して証明機関を制限できます。 (BZ#1252611)
ザ LocalAddress
そして LocalPort
キーワードは現在サポートされています Match
の条件 sshd_config
複数の物理ネットワークに接続されたシステムでは、異なるアクセスポリシーが必要になる場合があります。このアップデートでは、異なるローカルアドレスまたはポートに対して異なるポリシーを直接適用することができます
sshd_config
, 異なる設定ファイルで複数のサービスを実行する必要はありません。 (BZ#1211673)
選択されたGSSAPI鍵交換アルゴリズムの無効化のサポート
CVE-2015-4000(Logjam)が発見された後、
gss-group1-sha1
アルゴリズムはもはや安全とはみなされない。以前は、この単一の鍵交換方式を無効にする可能性はありませんでした。このアップデートでは、管理者はGSSAPI鍵交換で使用されるこのアルゴリズムまたは他の選択されたアルゴリズムを無効にすることができます。 sshd_config
。 (BZ#1253060)
新しい authorized_keys_command
のオプション pam_ssh_agent_auth
管理します
sudo
複数のシステムにまたがるルールでは、以前は不可能だったLDAPからのSSH鍵をリストする必要があるかもしれません。このアップデートでは、 pam_ssh_agent_auth
承認された鍵をLDAPまたは別のサービスから簡単に取得できます。この機能は上流バージョンからバックポートされています。 (BZ#1299555)