第9章 サーバーとサービス
デフォルトの httpd 設定の暗号スィートに付く制限
httpd web サーバーの mod_ssl のデフォルト設定では単一の DES、IDEA、SEED 暗号化アルゴリズムを使った SSL 暗号スィートには対応しなくなります。
Cyrus IMAP サーバーで許可する SSL プロトコルの種類を設定
本更新により Cyrus IMAP サーバーで許可する SSL (Secure Sockets Layer) の種類を設定できるようになります。たとえば、ユーザー側で SSLv3 接続を無効にすることで POODLE 脆弱性による影響を緩和できるようになります。
dstat コマンドでシンボリックリンクに対応
dstat
コマンドが強化されそのパラメーターにシンボリックリンクを使用できるようになります。これによりユーザーによる起動デバイス名の動的な指定が可能になり、ホットプラグや同様の動作を行った後でも dstat
で正確な情報が表示されるようになります。シンボリックリンクは /dev/disk/
ディレクトリー内で指定しフルパスを使用します。
rng-tools のバージョン 5 へのリベース
ランダムに番号を生成する rng-tools パッケージがアップストリームバージョン 5 にアップグレードされました。Intel x86 および Intel 64 ベースの EM64T/AMD64 CPU モデルで rngd (ランダムナンバージェネレーターデーモン) がデフォルトで動作できるようになるため、RDRAND ハードウェアランダムナンバージェネレーターの説明に記載されているようにエントロピーを利用できるようになります。また、今回の更新ににより Intel アーキテクチャハードウェア、特にサーバーアプリケーションでのパフォーマンスと安全性が向上されています。
nm-connection-editor に対する機能強化
nm-connection-editor が強化され IP アドレスやルートの編集が容易になります。また、誤植や間違った設定を自動的に検出して強調表示するようになります。
ypbind で再結合の間隔の設定
NIS の結合プロセス
ypbind
は従来、最速となる NIS サーバーを 15 分ごとにチェックしていましたが、ファイアウォールの多くはデフォルトのタイムアウトが 10 分になっています。このため、再結合が試行されると ypbind
が断続的に失敗する原因となっていました。今回の更新では調節可能なオプション -r
が追加され、ypbind
で再結合の間隔を秒単位で設定できるようになります。
squid パッケージのリベース
squid パッケージがアップストリームバージョン 3.1.23 にアップグレードされ、バグ修正や機能強化が加えられています。特に、squid に対して本文のない HTTP/1.1 POST と PUT の応答に対するサポートが加えられています。
dhcpd による dhcp オプション 97 の処理 - クライアントマシンの識別子 (pxe-client-id)
オプション 97 で送信される識別子に応じて特定のクライアントの IP アドレスを予約できるようになります(静的な割り当て)。以下に例を示します。
host pixi { option pxe-client-id 0 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ff; fixed-address 1.2.3.4; }
Tomcat ログファイルのローテーションの無効化
デフォルトでは Tomcat ログファイルは最初の書き込み動作で回転します。回転は深夜に発生し、{prefix}{date}{suffix} という形式のファイル名が与えられます。
date
は YYYY-MM-DD の表記になります。Tomcat ログファイルの回転を無効にできるよう rotatable
パラメーターが追加されています。このパラメーターを false
に設定するとログファイルが回転しなくなるため与えられるファイル名は {prefix}{suffix} になります。デフォルト値は true
です。
cups でフェールオーバーに対応
CUPS に内蔵されている複数プリンター間の負荷分散機能は使用せず、他プリンターへのフェールオーバーを設定しておきジョブは一つのプリンターに送ることが可能になります。ジョブは優先プリンターに送られ、そのプリンターが使用できない場合にのみ他のプリンターが使用されます。
openssh で LDAP クエリーの調整に対応
異なるスキーマを使用するサーバーからそれぞれパブリックキーを取得するため LDAP (Lightweight Directory Access Protocol) クエリーを調整することができるようになります。
cupsd.conf(5) の man ページに ErrorPolicy の説明を追加
ErrorPolicy ディレクティブの詳細および使用できる値についての説明が cupsd.conf(5) の man ページに追加されています。バックエンドでプリンターへプリントジョブを送信できない場合に使用するデフォルトのポリシーを ErrorPolicy ディレクティブで定義します。
dovecot
で使用する SSL プロトコルの種類を設定
dovecot で使用する SSL (Secure Sockets Layer) プロトコルの種類を設定できるようになります。たとえば、SSLv3 接続を無効にして POODLE 脆弱性による影響を緩和させることができるようになります。安全対策上、SSLv2 と SSLv3 はデフォルトで無効になります。必要な場合には手作業で使用するよう設定する必要があります。
openssh で PermitOpen オプションでのワイルドカードの使用に対応
sshd_config ファイルの PermitOpen オプションでワイルドカードに対応するようになります。
tomcatjss で TLS バージョンの 1.1 と 1.2 に対応
Java Security Services を使った TLSv1.1 (Transport Layer Security 暗号プロトコルバージョン 1.1) および TLSv1.2 (Transport Layer Security 暗号プロトコルバージョン 1.2) に対応するよう Tomcat が更新されました。
squid で HTTP ヘッダーの非表示および再書き込みに対応
squid は
--enable-http-violations
オプションでビルドされるようになり、ユーザー側で HTTP ヘッダーを非表示にしたり再書き込みをしたりすることができるようになります。
bind で RPZ-NSIP と RPZ-NSDNAME に対応
BIND 設定の RPZ (Response Policy Zone) で RPZ-NSIP と RPZ-NSDNAME のレコードを使用できるようになります。
openssh でアップロードしたファイルへの正確なパーミッションの実施に対応
OpenSSH では SFTP (Secure File Transfer Protocol) を使って新規にアップロードしたファイルに正確なパーミッションを実施できるようになります。
Mailman に機能強化した DMARC 緩和機能を収納
Mailman には機能強化された DMARC (Domain-based Message Authentication, Reporting & Conformance) 緩和機能が採用されています。たとえば、DKIM (Domain Key Identified Mail) 署名の Sender アライメントを認識するよう Mailman を設定し、
reject
DMARC ポリシーでドメインからの転送メッセージを正しく処理できるようになります。